本發(fā)明公開(kāi)了基于手機(jī)身份的驗(yàn)證碼短信透明加密方法，該方法包括步驟，首先用戶(hù)通過(guò)網(wǎng)站或者APP發(fā)送獲取驗(yàn)證碼請(qǐng)求；接入商的服務(wù)器獲得用戶(hù)請(qǐng)求之后，生成隨機(jī)驗(yàn)證碼；接入商的服務(wù)器觸發(fā)模塊請(qǐng)求可信中心PKG，將對(duì)生成地驗(yàn)證碼進(jìn)行加密操作；對(duì)于加密過(guò)驗(yàn)證碼以短信方式發(fā)送到用戶(hù)手機(jī)，手機(jī)端觸發(fā)模塊請(qǐng)求PKG，PKG認(rèn)證用戶(hù)，根據(jù)用戶(hù)標(biāo)識(shí)身份字符串生成私鑰，并將私鑰通過(guò)安全信道返回給對(duì)應(yīng)用戶(hù)；用戶(hù)手機(jī)打開(kāi)短信應(yīng)用，觸發(fā)模塊自動(dòng)將保存在手機(jī)內(nèi)加密的驗(yàn)證碼短信進(jìn)行解密；用戶(hù)將解密的驗(yàn)證碼信息在網(wǎng)頁(yè)上填寫(xiě)，或者直接復(fù)制、粘貼到APP應(yīng)用中；在網(wǎng)頁(yè)上或者APP應(yīng)用當(dāng)中填寫(xiě)的驗(yàn)證碼驗(yàn)證成功，則立即刪除解密后驗(yàn)證碼內(nèi)容。該基于手機(jī)身份的驗(yàn)證碼短信透明加密方法與技術(shù)在實(shí)現(xiàn)當(dāng)中，具有安全性及效率高、良好的用戶(hù)體驗(yàn)與成本低優(yōu)點(diǎn)。

技術(shù)領(lǐng)域

本發(fā)明涉及一種基于手機(jī)身份的驗(yàn)證碼短信透明加密方法與技術(shù)，屬于信息安全領(lǐng)域。

背景技術(shù)

手機(jī)驗(yàn)證碼短信是通過(guò)發(fā)送短信方式，將驗(yàn)證碼信息傳到用戶(hù)手機(jī)。目前大型網(wǎng)站都使用手機(jī)驗(yàn)證碼短信功能；通過(guò)手機(jī)驗(yàn)證碼保護(hù)交易安全性，驗(yàn)證用戶(hù)的正確性。某些驗(yàn)證碼接入商提供手機(jī)短信驗(yàn)證碼服務(wù)，各網(wǎng)站通過(guò)接口發(fā)送請(qǐng)求到接入商的服務(wù)器，服務(wù)器發(fā)送隨機(jī)數(shù)字或字母到手機(jī)中，由接入商的服務(wù)器統(tǒng)一做驗(yàn)證碼的驗(yàn)證。

手機(jī)驗(yàn)證碼短信已經(jīng)成為我們生活的一部分，為我們提供方便的同時(shí)也存在一定的安全風(fēng)險(xiǎn)。如今，幾乎每個(gè)人的手機(jī)號(hào)都綁定了各種賬號(hào)，例如支付寶、微信及各種銀行卡等重要的賬號(hào)，這些賬號(hào)是跟個(gè)人資金財(cái)產(chǎn)息息相關(guān)。然而，這些賬號(hào)綁定手機(jī)號(hào)碼，主要作用是無(wú)外乎是通過(guò)短信進(jìn)行二次驗(yàn)證。另外，利用短信驗(yàn)證碼驗(yàn)證來(lái)注冊(cè)會(huì)員，大大降低了非法注冊(cè)、爛注冊(cè)的數(shù)據(jù)。最近出現(xiàn)一種語(yǔ)音驗(yàn)證碼，但語(yǔ)音驗(yàn)證碼相比短信驗(yàn)證碼，用戶(hù)體驗(yàn)不是很好，需要用戶(hù)進(jìn)行記憶；而在手機(jī)APP上填寫(xiě)驗(yàn)證碼時(shí)，驗(yàn)證碼短信可以直接復(fù)制、粘貼操作。手機(jī)驗(yàn)證碼短信驗(yàn)證方式具有成本低，簡(jiǎn)單便捷的優(yōu)點(diǎn)，從而這種方式被廣泛使用，并且將來(lái)手機(jī)驗(yàn)證碼短信也是不會(huì)褪去歷史舞臺(tái)。但與此同時(shí)，人們也為其安全性而擔(dān)憂(yōu)。

手機(jī)短信驗(yàn)證正在遭遇什么樣的威脅呢：

情形一，在智能手機(jī)的時(shí)代，手機(jī)短信驗(yàn)證方式受到最大的威脅，就是來(lái)自于智能手機(jī)平臺(tái)上的木馬鏈接，讓用戶(hù)在不知情的情況下下載安裝木馬，當(dāng)木馬安裝在手機(jī)之內(nèi)就會(huì)將用戶(hù)的涉及財(cái)產(chǎn)的應(yīng)用賬號(hào)密碼重置，并攔截短信驗(yàn)證碼，實(shí)現(xiàn)重置用戶(hù)的賬號(hào)。并且像這類(lèi)的木馬由于編寫(xiě)實(shí)現(xiàn)簡(jiǎn)單，早已形成一個(gè)非常完整的產(chǎn)業(yè)鏈，所以木馬成了手機(jī)短信驗(yàn)證碼最大的威脅。

情形二，通過(guò)無(wú)線(xiàn)電監(jiān)聽(tīng)，利用偽基站對(duì)用戶(hù)手機(jī)進(jìn)行監(jiān)聽(tīng)。這樣的方式通過(guò)監(jiān)聽(tīng)空中短信，也包括GSM監(jiān)聽(tīng)，獲取短信內(nèi)容然后進(jìn)行盜竊活動(dòng)，這種方法可以與短信木馬相輔相成，又能單獨(dú)作案。

情形三，通過(guò)補(bǔ)卡、克隆卡得到一個(gè)與用戶(hù)相同的手機(jī)號(hào)，來(lái)接收用戶(hù)的驗(yàn)證碼短信，重置用戶(hù)的各種賬號(hào)，然后盜竊財(cái)產(chǎn)。由于現(xiàn)在手機(jī)號(hào)碼都需要進(jìn)行實(shí)名制，然而這一類(lèi)的威脅相比前兩種情況，危害性小很多。

基于身份加密體制的思想在1984年就由Shamir提出，此后基于身份的密碼體制得到了廣泛的發(fā)展與應(yīng)用?；谏矸莸拿艽a體制也是一種公鑰密碼體制，不過(guò)這種體制直接利用用戶(hù)的唯一身份標(biāo)志（用戶(hù)郵箱等等）作為公鑰，不需要使用一堆無(wú)意義的數(shù)字組作為公鑰了，相對(duì)于傳統(tǒng)的PKI技術(shù)，從而不采用數(shù)字證書(shū)，使得用戶(hù)使用和后臺(tái)管理都很簡(jiǎn)單，有著廣泛的應(yīng)用場(chǎng)景。

透明加解密技術(shù)是一種保護(hù)重要信息技術(shù)，在保護(hù)過(guò)程中，相對(duì)于用戶(hù)終端是透明的、不會(huì)改變用戶(hù)習(xí)慣。當(dāng)重要信息或者文檔保存在設(shè)備硬盤(pán)上是已經(jīng)加密過(guò)得，稱(chēng)為密文，這個(gè)系統(tǒng)對(duì)那些沒(méi)有加密的信息或者文檔進(jìn)行自動(dòng)加密；而在內(nèi)存當(dāng)中，打開(kāi)或者編輯時(shí)，系統(tǒng)是自動(dòng)進(jìn)行解密，稱(chēng)為明文。

由于目前手機(jī)短信驗(yàn)證碼加密方法與技術(shù)當(dāng)中，采用驗(yàn)證碼運(yùn)算處理，或者是調(diào)用混淆加密算法進(jìn)行加固驗(yàn)證碼操作，而對(duì)驗(yàn)證碼解密或解固時(shí)需要進(jìn)行手動(dòng)操作；這些原因影響了移動(dòng)設(shè)備的用戶(hù)體驗(yàn)，并且有的方法實(shí)現(xiàn)驗(yàn)證碼短信加解密時(shí)沒(méi)有做到用戶(hù)身份認(rèn)證等等不足。