交第三方系统进行对比验证,这样假系统就无从获取真系统正确的系统指纹,也就无法蒙蔽合法用户了。
[0026]实施例2
一种防止复制银行卡使用的银行系统及使用方法
对于一个现有的银行系统进行改造,使其支持用户系统双向验证。需要此功能的用户设有一个专门用于配置安全验证策略的验证口令,用于在系统中进行相关的设置。用户先在一个确认安全的环境进行以下登录系统并设置系统反馈信息,在用户名正确的情况下返回提示“这是我设置的验证系统通过的信息”并同时设置接收本地操作,该操作是一个有10个选项的多选菜单,用户设置选择1、5、7项是正确选项。该卡被正常使用时,如果碰到被犯罪复制加装了盗区银行卡信息的装置的假ATM机,所述用户一开始不知,插卡输密码开始登录系统同时验证系统,该假ATM机显示“验证系统通过”,用户发现与自己预先设置的信息不符,判断是假ATM机,停止操作。
[0027]犯罪分子通过该装置获取了该银行卡及密码信息,复制了一个卡然后到正规的ATM机取现,插卡输密码开始登录系统同时验证系统,ATM机显示“这是我设置的验证系统通过的信息”,并弹出10选项多选菜单,复制卡使用者无法选择,胡乱选择的成功率很低(成功的可能性是个小概率事件),所以不能继续操作取现。同时复制卡使用者不知道验证口令,无法查看、修改反馈信息设置,这样他复制了卡也没有用。
【主权项】
1.一种安全验证方法,其特征在于: 由用户对系统在线进行安全验证; 或者同时所述系统也能在同一过程中对所述用户对进行安全验证。
2.根据权利要求1所述的安全验证方法,其特征在于: 所述系统是即将操作或正在操作或完成操作的系统; 同时/或者所述用户是在登录前、登录中或登录后或者操作前、操作中或操作后进行安全验证; 同时/或者所述用户是通过专用客户端且无任何其它辅助执行安全验证或者通过专用客户端形式且有工具辅助或第三方系统辅助执行安全验证或者通过非专用客户端且无任何其它辅助执行安全验证或者通过非专用客户端形式且有工具辅助或第三方系统辅助执行安全验证; 同时/或者对于安全验证所述用户不需提供任何信息或需要提供自身信息或需要提供所述用户在所述系统中预先定义的验证用户名或者验证口令; 同时/或者所述用户是依据所述系统的反馈信息来判断所述系统是否通过安全验证或同时所述系统也依据所获取的所述用户提交信息判断所述用户是否通过安全验证。
3.根据权利要求2所述的安全验证方法,其特征在于: 所述专用客户端是软件、硬件或包含软件的硬件; 同时/或者所述自身信息为用户名、口令、用户属性、电子化用户标识物和/或实体化用户标识物; 同时/或者所述反馈信息是所述用户在所述系统预先定义的或者是所述系统预先准备好的或者是所述系统动态计算出来的,或同时所述用户还在本地预先定义了可据此判断系统是否通过安全验证的反馈信息分析模型; 同时/或者所述用户提交信息是所述用户在响应所述系统反馈信息时通过本地操作提交的,或同时所述用户还在所述系统预先定义了可据此判断所述用户是否通过安全验证的所述用户提交信息分析模型; 同时/或者通过所述用户安全验证的反馈信息和/或没有通过所述用户安全验证的反馈信息被设置为确定一种信息或被设置为超过一种信息中任意一种或者任意多种; 同时/或者通过系统安全验证的所述用户提交信息和/或没有通过系统安全验证的所述用户提交信息被设置为确定一种信息或被设置为超过一种信息中任意一种或者任意多种。
4.根据权利要求3所述的安全验证方法,其特征在于: 所述反馈信息的类型包括字符、图片、声音、视频、数据文件、本地执行功能和/或接受本地操作; 同时/或者所述用户提交信息的类型包括字符、图片、声音、视频、数据文件、本地执行功能和/或响应所述系统反馈信息的操作; 同时/或者所述用户名为用户名称、用户ID、用户别名或其它等价用户标识名; 同时/或者所述电子化用户标识物为文件形式的数字证书或其它身份文件; 同时/或者所述实体化用户标识物为U盘形式的数字证书、其它U盘形式或存储卡形式或其它扩展卡形式的用户标识物。
5.权利要求1、2、3或4所述的安全验证方法的安全验证结果运用方法,其特征在于: 所述用户不为该用户在没有通过其采用权利要求1、2、3或4所述的安全验证方法所实施的安全验证的所述系统上的操作行为授权或完全授权; 同时/或者所述用户不为没有通过其采用权利要求1、2、3或4所述的安全验证方法所实施的安全验证的所述系统的非该用户操作的但涉及该用户的行为授权或完全授权;或者上述所述用户不授权或不完全授权的运用方法不与没有通过安全验证挂钩而是所述用户根据安全需要主动为之; 或者在前面基础上所述操作行为是先前的操作行为、后续的操作行为、按其它方法选定的部分操作行为或全部操作行为,和/或所述不完全授权是按操作行为种类部分种类不授权或设定限制条件的其它有限授权。
6.权利要求1、2、3或4所述的安全验证方法配套的安全保护方法,其特征在于: 为配置实施权利要求1、2、3或4所述的安全验证方法的安全验证策略提供独立的安全保护措施或提供累加的安全保护措施。
7.根据权利要求6所述的安全保护方法,其特征在于: 所述安全保护措施为配置实施权利要求1、2、3或4所述的安全验证方法的安全验证策略而专门提供的专用用户、专用口令、专用用户属性、专用电子化用户标识物、专用实体化用户标识物、专用软件、专用硬件、包括专用软件的专用硬件和/或专用网络地址集合或单一专用网络地址。
8.一种软件系统,其特征在于: 可以采用权利要求1、2、3或4所述的安全验证方法由所述用户对所述软件系统在线进行安全验证,或同时所述软件系统也能在同一过程中对所述用户对进行安全验证; 和/或接受权利要求5所述的安全验证结果运用方法承认所述软件系统没有通过所述用户采用权利要求1、2、3或4所述的安全验证方法的安全认证时所述用户在其上的操作行为是没有得到所述用户授权的或是没有得到所述用户完全授权的,或者承认所述用户不与没有通过安全验证挂钩而是根据安全需要主动不授权或不完全授权的操作行为是没有得到所述用户授权的或是没有得到所述用户完全授权的; 和/或采用了权利要求6或7所述的安全保护方法为配置实施权利要求1、2、3或4所述的安全验证方法的安全验证策略提供了独立的安全保护措施或提供了累加的安全保护措施。
9.一种系统,其特征在于: 包含权利要求8所述的软件系统。
10.一种安全验证装置,其特征在于: 由所述用户对系统在线进行安全验证,或者同时所述系统也能在同一过程中对所述用户对进行安全验证; 或者在前面基础上所述系统是即将操作或正在操作或完成操作的系统,和/或所述用户是在登录前、登录中或登录后或者操作前、操作中或操作后进行安全验证,和/或所述用户是通过专用客户端且无任何其它辅助执行安全验证或者通过专用客户端形式且有工具辅助或第三方系统辅助执行安全验证或者通过非专用客户端且无任何其它辅助执行安全验证或者通过非专用客户端形式且有工具辅助或第三方系统辅助执行安全验证,和/或对于安全验证所述用户不需提供任何信息或需要提供自身信息或需要提供所述用户在所述系统中预先定义的验证用户名或者验证口令,和/或所述用户是依据所述系统的反馈信息来判断所述系统是否通过安全验证或同时所述系统也依据所获取的所述用户提交信息判断所述用户是否通过安全验证。
【专利摘要】本发明提供一种安全验证方法和装置,由用户对系统在线进行安全验证,或同时系统也能在同一过程中对用户进行验证,验证时机可以灵活选择,可通过专用客户端也可通过非专用客户端,可不提供也可提供相关信息,用户依据反馈信息、系统依据提交信息来判断是否通过验证,反馈信息可以由用户预先定义的也可是系统预先准备好的或者是动态计算出来的,自身信息提供的形式可为用户名、口令、属性、电子化或实体化标识物等。另本发明还提供了相关结果运用和安全保护方法及采用上述方法的系统。本发明提供的方法和装置,可以实现用户对系统的主动验证,防止被假冒仿冒篡改等情况下用户操作可能带来的损失和危害,也可用来验证用户从而可防止用户被冒用盗用。
【IPC分类】H04L29-06, H04L9-32
【公开号】CN104780170
【申请号】CN201510178700
【发明人】倪龙, 倪子妍
【申请人】宁波保税区攀峒信息科技有限公司
【公开日】2015年7月15日
【申请日】2015年4月16日