技術(shù)領(lǐng)域

本發(fā)明涉及短信傳輸和計(jì)算機(jī)數(shù)據(jù)庫(kù)相結(jié)合的操作運(yùn)用技術(shù)，具體為一種基于異步動(dòng)態(tài)口令技術(shù)的保護(hù)賬戶安全的方法。???

背景技術(shù)

目前，公知的手機(jī)動(dòng)態(tài)口令和異步動(dòng)態(tài)口令技術(shù)主要有以下幾種方式：

第一種，異步動(dòng)態(tài)口令技術(shù)，也叫挑戰(zhàn)應(yīng)答方式，顧名思義，基于挑戰(zhàn)/應(yīng)答方式的身份認(rèn)證系統(tǒng)就是每次認(rèn)證時(shí)認(rèn)證服務(wù)器都給客戶端發(fā)送一個(gè)不同的“挑戰(zhàn)”字串，客戶端程序收到這個(gè)“挑戰(zhàn)”字串后，做出相應(yīng)的“應(yīng)答”，以此機(jī)制而研制的系統(tǒng)。驗(yàn)證步驟為：1、進(jìn)入應(yīng)用登錄界面，輸入賬號(hào)名和靜態(tài)密碼值獲取挑戰(zhàn)碼數(shù)字；2、在動(dòng)態(tài)密碼令牌上輸入挑戰(zhàn)碼數(shù)字后獲得動(dòng)態(tài)密碼；3、在動(dòng)態(tài)密碼輸入框輸入動(dòng)態(tài)密碼令牌顯示的動(dòng)態(tài)密碼；4、認(rèn)證服務(wù)器驗(yàn)證用戶信息和用戶提交動(dòng)態(tài)密碼的正確性；5、認(rèn)證服務(wù)器將認(rèn)證結(jié)果反饋給應(yīng)用服務(wù)器或應(yīng)用程序，完成用戶身份認(rèn)證。其缺陷為：用戶每次登錄都需要在登錄界面中向認(rèn)證服務(wù)器發(fā)出請(qǐng)求，要求進(jìn)行身份認(rèn)證，通常也使用賬號(hào)名和靜態(tài)密碼來(lái)進(jìn)行身份認(rèn)證，認(rèn)證通過(guò)后認(rèn)證服務(wù)器發(fā)送“挑戰(zhàn)”字串到客戶端，挑戰(zhàn)碼采用明文發(fā)送，沒(méi)有任何保護(hù)措施，當(dāng)遭遇到釣魚(yú)網(wǎng)站詐騙攻擊時(shí)，賬號(hào)名和靜態(tài)密碼就處于不安全的狀態(tài)下，動(dòng)態(tài)密碼還是會(huì)被釣魚(yú)網(wǎng)站盜取。另外生成動(dòng)態(tài)密碼的令牌都由服務(wù)商提供給用戶，登錄使用的動(dòng)態(tài)口令的算法集成在硬件（令牌）中，用戶無(wú)法得知算法，更不能隨意更改算法。

第二種，手機(jī)短信發(fā)送動(dòng)態(tài)口令認(rèn)證方式，其包括用戶的手機(jī)，認(rèn)證服務(wù)器，管理工作站和短信網(wǎng)關(guān)組成，管理工作站負(fù)責(zé)用戶的注冊(cè)，手機(jī)號(hào)碼的綁定及取消綁定。用戶登錄時(shí)，先在客戶端輸入靜態(tài)密碼并發(fā)送，認(rèn)證服務(wù)器驗(yàn)證用戶發(fā)送的靜態(tài)密碼后通過(guò)短信發(fā)送一組明文的動(dòng)態(tài)口令到用戶綁定賬號(hào)名的手機(jī)，用戶使用接收到的動(dòng)態(tài)口令再次在客戶端進(jìn)行登錄驗(yàn)證，通過(guò)后動(dòng)態(tài)口令失效，用戶登錄成功。其優(yōu)點(diǎn)是：操作簡(jiǎn)單，不需記憶，手機(jī)普及率較高便于實(shí)現(xiàn)。其缺陷是：動(dòng)態(tài)口令以明文發(fā)送，不具備保密性，無(wú)法防范不法分子利用釣魚(yú)網(wǎng)站的詐騙攻擊，無(wú)法防范不法分子利用“隱身大盜”等手機(jī)木馬截獲并轉(zhuǎn)發(fā)用戶用于登錄的動(dòng)態(tài)密碼，同時(shí)也無(wú)法防范不法分子的“補(bǔ)卡攻擊”，即通過(guò)事先獲取到的用戶資料惡意掛失用戶的手機(jī)卡，重新補(bǔ)辦用戶的手機(jī)卡來(lái)騙取用戶的動(dòng)態(tài)密碼。?“隱身大盜”是一種手機(jī)木馬，運(yùn)行后會(huì)對(duì)用戶短信實(shí)施攔截，同時(shí)全部以短信的形式轉(zhuǎn)發(fā)到不法分子手機(jī)上，然后才對(duì)短信放行，放行后用戶才會(huì)看到短信提示，也就是說(shuō)木馬是比手機(jī)使用者更早看到短信內(nèi)容的。另?yè)?jù)分析，“隱身大盜”會(huì)對(duì)特定短信進(jìn)行刪除，比如不法分子在竊取受害者網(wǎng)銀賬戶時(shí)的手機(jī)驗(yàn)證碼等短信，就會(huì)被木馬直接刪除，受害者根本看不到，也就不能第一時(shí)間發(fā)現(xiàn)有人在盜取網(wǎng)銀賬戶。

第三種，手機(jī)短信發(fā)送兩組動(dòng)態(tài)口令+識(shí)別碼認(rèn)證方式

其包括用戶的手機(jī)，認(rèn)證服務(wù)器，管理工作站和短信網(wǎng)關(guān)組成，管理工作站負(fù)責(zé)用戶的注冊(cè)，手機(jī)號(hào)碼的綁定及取消綁定。用戶登錄時(shí)，發(fā)送和手機(jī)號(hào)碼、賬號(hào)名相互綁定的激活碼短信到認(rèn)證服務(wù)器，驗(yàn)證通過(guò)后，認(rèn)證服務(wù)器通過(guò)短信的方式發(fā)送兩組動(dòng)態(tài)密碼+識(shí)別碼到用戶手機(jī)，動(dòng)態(tài)密碼和識(shí)別碼都以明文發(fā)送，用戶先使用第一組動(dòng)態(tài)密碼在客戶端登錄，通過(guò)以后查看登錄界面顯示的識(shí)別碼與之前發(fā)送到自己手機(jī)中的識(shí)別碼是否相同，用戶識(shí)別通過(guò)后，輸入并發(fā)送第二組動(dòng)態(tài)口令，驗(yàn)證通過(guò)后登錄成功。其優(yōu)點(diǎn)是：操作簡(jiǎn)單，用戶上手難度較低，由于需要使用綁定賬號(hào)名的手機(jī)發(fā)送激活碼來(lái)獲取動(dòng)態(tài)口令和識(shí)別碼，不法分子不能在用戶無(wú)察覺(jué)的情況下進(jìn)行盜號(hào)行為，手機(jī)普及率較高便于實(shí)現(xiàn)。其缺陷是：動(dòng)態(tài)口令以明文發(fā)送，不具備保密性，識(shí)別碼在用戶登錄前就以明文發(fā)送，給了不法分子把識(shí)別碼放入釣魚(yú)網(wǎng)站的時(shí)間，用戶不能有效的判斷服務(wù)端的真?zhèn)危瑹o(wú)法防范不法分子利用“隱身大盜”等手機(jī)木馬截獲并轉(zhuǎn)發(fā)用戶用于登錄的動(dòng)態(tài)密碼來(lái)入侵用戶的賬戶。

以上所述方法既無(wú)法防范“補(bǔ)卡攻擊”和盜號(hào)木馬的攻擊，也無(wú)法防范不法分子利用釣魚(yú)網(wǎng)站對(duì)用戶進(jìn)行詐騙攻擊，賬戶的安全無(wú)法得到保障。不法分子利用各種手段，仿冒真實(shí)網(wǎng)站的URL地址以及頁(yè)面內(nèi)容，或者利用真實(shí)網(wǎng)站服務(wù)器程序上的漏洞在站點(diǎn)的某些網(wǎng)頁(yè)中插入危險(xiǎn)的HTML代碼，騙取用戶的賬號(hào)名、密碼等私人資料，同時(shí)在極短的時(shí)間內(nèi)使用用戶的賬號(hào)名，密碼登錄真實(shí)網(wǎng)站，盜取用戶的財(cái)物。?

發(fā)明內(nèi)容

針對(duì)上述幾種密碼保護(hù)技術(shù)的不足之處，本發(fā)明提供了一種基于異步動(dòng)態(tài)口令技術(shù)的保護(hù)賬戶安全的方法，其系統(tǒng)可靠性高，挑戰(zhàn)碼等驗(yàn)證信息傳送保密度高，能有效避免用戶密碼信息泄露，不但能夠有效防范不法分子的“補(bǔ)卡攻擊”和盜號(hào)木馬病毒的攻擊，并且能夠防御釣魚(yú)網(wǎng)站對(duì)用戶實(shí)施的詐騙攻擊，用戶操作起來(lái)安全可靠。