CN102130893A - 一种网络账户安全防护方法和系统 - Google Patents
一种网络账户安全防护方法和系统 Download PDFInfo
- Publication number
- CN102130893A CN102130893A CN2010100229188A CN201010022918A CN102130893A CN 102130893 A CN102130893 A CN 102130893A CN 2010100229188 A CN2010100229188 A CN 2010100229188A CN 201010022918 A CN201010022918 A CN 201010022918A CN 102130893 A CN102130893 A CN 102130893A
- Authority
- CN
- China
- Prior art keywords
- account
- password
- mobile phone
- authentication
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Telephonic Communication Services (AREA)
Abstract
本发明提出一种防止网络账户被盗用的方法。该方法在完成每次网络账户操作的密码认证流程后按照随机算法自动生成新的账户认证密码用于下次账户操作时的密码认证。本发明还提出防止网络账户被盗用的系统,包括网站后台处理系统、用户手机和接入Internet的终端,该系统在每次账户密码认证完成后自动生成一个新的随机密码,作为下次账户操作的认证密码。新认证密码由网站后台处理系统或用户手机中的密码服务客户端程序生成并通知对方。本发明实施成本低,基本不用改变现有网站系统的配置和工作流程,用户使用简便,应用本发明可有效保护网络账户的安全,防止他人盗用,增强系统安全性能。
Description
技术领域
本发明涉及金融安全防范领域,尤其涉及电子商务、网上虚拟货币交易账户安全防护方法和系统。
背景技术
随着技术进步和社会的不断发展,现在因特网已经深入影响到人们生活的方方面面,网上购物、网络游戏、网上贸易、网上在线支付等等新兴的商务模式为用户带来更多生活便利。同时,由于这些基于因特网的用户活动常常会涉及用户与系统之间或用户与用户之间的账户交易,其用户账户的安全性就显得日益重要,一旦其账户信息被黑客或不法分子窃取就会给用户造成物质和精神上的损失。
虽然电子商务网站、网络游戏网站、网上第三方支付平台等服务都采用了一系列安全防范技术,如加密、密钥管理、电子签名、采用CA安全认证系统等等,但是这些防范措施主要针对网络信息传输环节,对于用户账户本身的安全保护仍嫌不足。这是由于网站后台系统通常通过用户账户的名称和密码来进行用户登陆认证,而账户认证信息直到用户下一次主动修改完成之前都是固定不变的,由于网络的相对开放性和通达性,不法分子一旦窃取了他人网络账户信息就可以很轻易地骗过网站的鉴权认证环节进入用户在网站上的个人空间随意操作,包括对个人账户的余额转移、支付、交易以及积分兑换等。而用户却毫不知情,往往要到下次登陆网站进行账户操作时才会发现。
由此可见,消费者需要一种简单易行、成本可控的防止网络账户被盗用的方法,用以保护网络账户安全以及自己的合法权益。
发明内容
本发明提出一种利用动态密码技术防止网络账户被盗用的方法。该方法包括以下步骤:
(1)确认和记录网络账户初始认证密码;
(2)在随后的第一次账户操作中使用初始认证密码进行认证;
(3)在每次账户操作完成后通过随机算法生成新的认证密码用于下次认证。
所述新认证密码由网站后台处理系统或用户手机中的密码服务客户端程序生成并通知对方。
本发明同时还提出一种利用动态密码技术防止网络账户被盗用的系统,包括网站后台处理系统、用户手机和接入Internet的终端,该系统将用户设置或修改的账户认证密码作为初始密码,用于随后的第一次账户操作时的密码验证,并在每次账户密码认证完成后自动更新认证密码,作为下次账户操作的认证密码。
上述网络账户操作是指网络账户登陆以及登陆后的任何涉及该账户名下网络虚拟资产的操作,包括账户查询、账户内虚拟货币的买入卖出、虚拟货币在不同账户之间的转移和支付、账户名下积分兑换和修改账户密码等操作。用户手机是指用户在注册开通网络账户时登记的与此账户绑定的手机。
运用本发明的系统和方法不用改变现有网站系统的构成和业务流程,实施成本低廉,用户使用方便。对于一些网络虚拟电子支付账户,象支付宝和快钱等电子商务第三方支付平台的账户、网络游戏网站的用户充值账户、其它各类电子商务网站的用户充值账户等等,都可以采用本发明提出的动态密码技术来保护用户的账户安全,防止他人盗用,增强系统安全性能。
附图说明
图1是本发明方法基本思想示意图;
图2是本发明中实施例中随机密码生成算法的流程图;
图3是本发明一个实施例的示意图;
图4是本发明系统动态改变银行卡交易密码的流程图;
图5是本发明一个实施例中采用的一种新密码通知方式示意图。
具体实施方式
下面结合附图详细说明本发明的具体实施方式:
本发明利用动态密码技术可以较好地改善目前网站在用户账户安全防护方面的薄弱环节,该方法的基本思想如图1所示,即改变目前用户帐号的认证密码固定不变的做法,网站后台处理系统在每次账户操作后都主动更新交易密码并通知用户。具体步骤如下:
第一步,确认和记录用户账户的初始认证密码;
第二步,网站后台处理系统自动选择初始密码作为随后第一次账户操作的认证密码;
第三步,每次账户操作后,网站后台处理系统采用随机算法计算出下一次账户操作的认证密码,并通过通信网络即时通知用户。
上述账户操作包括用户登陆以及登陆后的任何涉及该用户名下网络虚拟资产的操作,包括账户查询、账户内虚拟货币的买入卖出、虚拟货币在不同账户之间的转移、支付、账户名下积分兑换和修改密码等操作。
业界有很多随机密码生成算法可供上述自动产生新认证密码时采用,以下仅以最常用的伪随机序列生成方法——线性同余法为例,说明如何随机生成一个由0-9,a-z,A-Z随机组合而成的6位密码序列。如图2所示,该方法由一个初始值(也称种子)经下面的递推公式产生一个均匀分布的伪随机序列:
Xi+1=(a*Xi+b)mod M,(i=1,2,3,......,n) (1)
式中,M>0,2<=a<M,0<b<M,0<=X1<m
(1)首先设定一个数组A(n)=[0,1,...9,a,b,...z,A,B,...Z],1<=n<=62;
(2)选取M=62,X1为初始认证密码的最低位字符,任意选取2-M之间的一个整数作为a,0-M之间的一个整数作为b,就可以通过公式(1)得到一个0-63之间均匀分布的序列,此序列标记为L1(i);
(3)以L1(i)作为下标对应的数组A的元素组成一个新的序列A(L1(i));
(4)依次选取X1为初始认证密码的次低位直至最高位,重复(2)、(3)步骤得到新序列A(L2(i))、A(L3(i))、A(L4(i))、A(L5(i))、A(L6(i));
(5)构建第i个新密码如下:最低位字符为A(L1(i))的第i个元素,次低位字符为A(L2(i))的第i个元素,依次类推。
对于不同的用户账户上述方法中的参数a和b应选择不同数值以便增强安全性,也可以同样通过随机算法获得a和b的数值。
随机产生新的认证密码后网站后台处理系统可将新密码通过短信发送给用户手机,即用户注册开通此账户时登记的绑定手机。为了进一步增强安全防范功能,可以在每次发送短信通知用户下次账户操作的认证密码的同时通告本次账户操作情况。当网站后台系统发现某用户账户操作认证请求中使用的是上一个有效认证密码时,可以发送提醒短信给用户手机,提醒用户认证密码已经自动变更,且已于某月某日通过短信发送至该手机。若发现多次认证都重复尝试上一个有效认证密码,则给用户手机发送警示信息,通告多次不成功尝试的时间和网络地址信息。
上述各步骤中的网络账户操作流程完全按照前述现有网站业务流程进行,避免改变用户已经熟悉的使用习惯,同时也避免了对现有网站系统进行大规模的改造,大大降低实施难度和成本。对用户而言,只需在操作网络账户前后留意来自网站后台处理系统的手机提示短信,及时获取下次账户操作的认证密码并注意保密就可以达到很好的安全防范效果。即使犯罪分子通过某种手段窃取了用户的网络账户信息,也无法利用这些信息立即窃取他人网络账户内的虚拟资产,这是因为此时原密码已经暂时失效,网站后台系统已经自动更新此账户的认证密码,而新密码只有用户本人知道且网站后台鉴权认证系统有记录。理论上,犯罪分子可以长时间利用窃取的账户信息不断尝试直到网站后台系统通过循环使用再次绑定这个认证密码。但实际上这种风险几乎不存在,这是因为网站后台系统在密码认证失败后自动发出的提示或警示信息会马上让用户意识到其网络账户正在被盗用,用户可以据此马上采取措施防止损失。
本发明提出的网络账户安全防范方法可以通过图3所示的系统实现。该系统包括:
接入Internet的计算机为用户提供登陆网站进行账户操作的终端;
用户手机,用户通过手机接收网站后台处理系统发送的新密码通知和异常交易提醒通知;
网站后台处理系统,连接Internet网络,包括由鉴权认证单元、Web服务单元、数据库单元、管理单元组成的原有网站后台处理子系统和一个新增的用户密码服务单元。该密码服务单元专门负责在每次账户操作后自动根据随机算法生成新的认证密码并通知用户手机,它通过通信网络连接移动网络短信网关;
通信网络,为网站后台处理子系统用户手机之间的通信提供安全传输通道。
图4进一步说明了上述系统的工作流程:
1)Internet接入终端将用户账户操作请求发送至网站后台处理系统,其中包括操作类型和认证密码等信息;
2)原有网站后台处理子系统鉴权认证单元通过核对数据库单元中的用户账户记录,向接入终端返回认证结果,在确认操作的合法性后返回成功信息,若认证失败则返回拒绝操作的信息;
3)原有网站后台处理子系统完成用户账户的操作,接入终端输出完成操作的信息;
4)原有网站后台处理子系统向密码服务单元通报账户操作信息;
5)密码服务单元启动密码更新流程,采用随机数生成算法产生新的认证密码并更新原有网站后台处理子系统中的用户账户记录,以便鉴权认证单元在该账户下次操作时采用新密码进行认证;
6)密码服务单元通过短信网关向用户手机发送短信通知,通告用户下次账户操作认证密码,若本次账户操作认证失败,还同时发送提醒内容。
以上实施例中网站后台处理子系统中的密码服务单元在自动更新用户账户认证密码后通过短信通知用户手机,本行业技术人员应该理解,基于同样的构思,密码服务单元还可以采用其它方式利用公共通信网络发送此通知,如通过多媒体彩信等。为了进一步地增强密码通知环节的安全性,可以向用户手机中预先下载安装一个密码服务客户端程序PWA,它和网站后台处理子系统中的密码服务单元之间通过通信网络连接,在应用层采用私有协议通信。用户手机中的密码客户端程序PWA在收到密码服务单元发来的消息后按照预先定义的私有协议解析出其中的内容呈现给用户,包括新的认证密码、认证失败提醒信息等。还可以采用加密技术对用户手机中的密码客户端程序PWA和网站后台处理子系统中的密码服务单元之间交互的消息进行加密,密钥可在安装密码服务客户端程序时就内嵌在程序中。图5给出了上述方法的示意图。
以上结合实例介绍了本发明提供的方法和系统,不脱离本发明的范围和构思,上述防止他人盗用网络账户的系统和方法可以做出多种改变和变形。如每次账户操作后新密码也可以由用户手机内的密码服务客户端程序PWA采用随机算法生成并通知网站后台处理子系统中的密码服务单元。本发明的范围由所附权利要求书确定。
Claims (14)
1.一种防止网络账户被盗用的方法,所述方法包括以下步骤:
(1)确认和记录网络账户初始认证密码;
(2)在随后的第一次账户操作中使用初始认证密码进行认证;
(3)在每次账户操作完成后通过随机算法生成新的认证密码用于下次认证。
2.根据权利要求1所述的方法,其特征进一步在于,所述网络账户操作是指网络账户登陆以及登陆后的任何涉及该账户名下网络虚拟资产的操作,包括账户查询、账户内虚拟货币的买入卖出、虚拟货币在不同账户之间的转移和支付、账户名下积分兑换和修改账户密码等操作。
3.根据权利要求1或2任一项中所述的方法,其特征进一步在于,步骤(3)所述的新认证密码由网站后台处理系统生成并通知用户手机,所述用户手机是指用户在注册开通网络账户时登记的与此账户绑定的手机。
4.根据权利要求1或2任一项中所述的方法,其特征进一步在于,步骤(3)所述的新认证密码由用户手机中的密码服务客户端程序生成并通知网站后台处理系统。
5.根据权利要求3或4任一项中所述的方法,其特征进一步在于,所述的新密码通知方法包括:
(a)通过短信通知;或者,
(b)通过多媒体彩信通知;或者,
(c)通过预先定义的私有协议消息通知,该私有协议是承载于TCP/IP或短信之上的应用层协议。
6.根据权利要求1-5任一项中所述的方法,其特征进一步在于,网站后台处理系统在完成每次账户操作认证后自动向用户手机发出提示、提醒或警示信息。
7.根据权利要求6中所述的方法,其特征进一步在于,所述网站后台处理系统自动向用户手机发出提醒或警示信息提醒或警示信息的方法包括以下步骤:
(a)当网站后台处理系统发现某用户账户操作认证请求中使用的是上一个有效认证密码时,可以发送提醒短信给用户手机,提醒用户认证密码已经自动变更,且已于某月某日通过短信发送至该手机;
(b)若发现多次认证都重复尝试上一个有效认证密码,则给用户手机发送警示信息,通告多次不成功尝试的时间和网络地址信息。
8.一种防止网络账号被盗用的系统,包括网站后台处理系统、用户手机和接入Internet的终端,其特征在于所述系统将用户设置或修改的账户认证密码作为初始密码,用于随后的第一次账户操作时的密码验证,并在每次账户密码认证完成后自动更新认证密码,作为下次账户操作的认证密码,所述用户手机是指用户在注册开通网络账户时登记的与此账户绑定的手机。
9.根据权利要求8所述的系统,其特征进一步在于,所述网络账户操作是指网络账户登陆以及登陆后的任何涉及该账户名下网络虚拟资产的操作,包括账户查询、账户内虚拟货币的买入卖出、虚拟货币在不同账户之间的转移和支付、账户名下积分兑换和修改账户密码等操作。
10.根据权利要求8或9任一项中所述的系统,其特征进一步在于,所述认证密码自动更新由网站后台处理系统完成并通知用户手机。
11.根据权利要求8或9任一项中所述的系统,其特征进一步在于,所述认证密码自动更新由用户手机中的密码服务客户端程序完成并通知网站后台处理系统。
12.根据权利要求10或11任一项中所述的系统,其特征进一步在于,所述的新密码通知方式包括:
(a)通过短信通知;或者,
(b)通过多媒体彩信通知;或者,
(c)通过预先定义的私有协议消息通知,该私有协议是承载于TCP/IP或短信之上的应用层协议。
13.根据权利要求8-12任一项中所述的系统,其特征进一步在于,网站后台处理系统在每次账户操作认证失败后自动向用户手机发出提醒或警示信息。
14.根据权利要求13中所述的系统,其特征进一步在于,所述网站后台处理系统自动向用户手机发出提醒或警示信息提醒或警示信息的操作包括以下步骤:
(a)当网站后台处理系统发现某用户账户操作认证请求中使用的是上一个有效认证密码时,可以发送提醒短信给用户手机,提醒用户认证密码已经自动变更,且已于某月某日通过短信发送至该手机;
(b)若发现多次认证都重复尝试上一个有效认证密码,则给用户手机发送警示信息,通告多次不成功尝试的时间和网络地址信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010100229188A CN102130893A (zh) | 2010-01-18 | 2010-01-18 | 一种网络账户安全防护方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010100229188A CN102130893A (zh) | 2010-01-18 | 2010-01-18 | 一种网络账户安全防护方法和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102130893A true CN102130893A (zh) | 2011-07-20 |
Family
ID=44268785
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010100229188A Pending CN102130893A (zh) | 2010-01-18 | 2010-01-18 | 一种网络账户安全防护方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102130893A (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102685115A (zh) * | 2012-04-24 | 2012-09-19 | 华为软件技术有限公司 | 一种资源的访问方法、资源管理设备和系统 |
| CN103428178A (zh) * | 2012-05-18 | 2013-12-04 | 北京新媒传信科技有限公司 | 一种保护网络账号的方法和系统 |
| CN103873437A (zh) * | 2012-12-11 | 2014-06-18 | 姚德明 | 账户管理及保护方法和账户管理中介 |
| CN104616191A (zh) * | 2014-08-11 | 2015-05-13 | 上海萨图西网络有限公司 | 线上到线下的虚拟资产交易方法和装置 |
| CN104933347A (zh) * | 2014-03-17 | 2015-09-23 | 联想(北京)有限公司 | 一种信息处理方法及电子设备 |
| CN104954350A (zh) * | 2014-03-31 | 2015-09-30 | 腾讯科技(深圳)有限公司 | 账号信息保护方法和系统 |
| CN104980403A (zh) * | 2014-04-10 | 2015-10-14 | 腾讯科技(深圳)有限公司 | 业务请求的处理方法及装置 |
| CN105335647A (zh) * | 2014-08-12 | 2016-02-17 | 精英电脑(苏州工业园区)有限公司 | 数据保密方法、电子装置和外部储存装置 |
| CN106302457A (zh) * | 2016-08-16 | 2017-01-04 | 上海斐讯数据通信技术有限公司 | 一种数据通信方法及系统 |
| CN106407212A (zh) * | 2015-07-31 | 2017-02-15 | 阿里巴巴集团控股有限公司 | 一种网络账户的类别确定方法、对象聚类方法及装置 |
| CN108924101A (zh) * | 2018-06-20 | 2018-11-30 | 北京车和家信息技术有限公司 | 一种数据库的操作方法及相关设备 |
| CN113141251A (zh) * | 2020-01-20 | 2021-07-20 | 北京京东振世信息技术有限公司 | 一种登录网站的方法和装置 |
| US20210273935A1 (en) * | 2018-10-17 | 2021-09-02 | Wayne Taylor | Systems, methods, and media for managing user credentials |
-
2010
- 2010-01-18 CN CN2010100229188A patent/CN102130893A/zh active Pending
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102685115B (zh) * | 2012-04-24 | 2015-05-27 | 华为软件技术有限公司 | 一种资源的访问方法、资源管理设备和系统 |
| CN102685115A (zh) * | 2012-04-24 | 2012-09-19 | 华为软件技术有限公司 | 一种资源的访问方法、资源管理设备和系统 |
| CN103428178A (zh) * | 2012-05-18 | 2013-12-04 | 北京新媒传信科技有限公司 | 一种保护网络账号的方法和系统 |
| CN103873437A (zh) * | 2012-12-11 | 2014-06-18 | 姚德明 | 账户管理及保护方法和账户管理中介 |
| CN104933347B (zh) * | 2014-03-17 | 2018-11-09 | 联想(北京)有限公司 | 一种信息处理方法及电子设备 |
| CN104933347A (zh) * | 2014-03-17 | 2015-09-23 | 联想(北京)有限公司 | 一种信息处理方法及电子设备 |
| CN104954350A (zh) * | 2014-03-31 | 2015-09-30 | 腾讯科技(深圳)有限公司 | 账号信息保护方法和系统 |
| CN104954350B (zh) * | 2014-03-31 | 2020-06-23 | 腾讯科技(深圳)有限公司 | 账号信息保护方法和系统 |
| CN104980403A (zh) * | 2014-04-10 | 2015-10-14 | 腾讯科技(深圳)有限公司 | 业务请求的处理方法及装置 |
| CN104980403B (zh) * | 2014-04-10 | 2019-03-08 | 腾讯科技(深圳)有限公司 | 业务请求的处理方法及装置 |
| CN104616191A (zh) * | 2014-08-11 | 2015-05-13 | 上海萨图西网络有限公司 | 线上到线下的虚拟资产交易方法和装置 |
| CN105335647A (zh) * | 2014-08-12 | 2016-02-17 | 精英电脑(苏州工业园区)有限公司 | 数据保密方法、电子装置和外部储存装置 |
| CN106407212A (zh) * | 2015-07-31 | 2017-02-15 | 阿里巴巴集团控股有限公司 | 一种网络账户的类别确定方法、对象聚类方法及装置 |
| CN106407212B (zh) * | 2015-07-31 | 2019-11-05 | 阿里巴巴集团控股有限公司 | 一种网络账户的类别确定方法、对象聚类方法及装置 |
| CN106302457A (zh) * | 2016-08-16 | 2017-01-04 | 上海斐讯数据通信技术有限公司 | 一种数据通信方法及系统 |
| CN108924101A (zh) * | 2018-06-20 | 2018-11-30 | 北京车和家信息技术有限公司 | 一种数据库的操作方法及相关设备 |
| US20210273935A1 (en) * | 2018-10-17 | 2021-09-02 | Wayne Taylor | Systems, methods, and media for managing user credentials |
| CN113141251A (zh) * | 2020-01-20 | 2021-07-20 | 北京京东振世信息技术有限公司 | 一种登录网站的方法和装置 |
| CN113141251B (zh) * | 2020-01-20 | 2024-05-21 | 北京京东振世信息技术有限公司 | 一种登录网站的方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102130893A (zh) | 一种网络账户安全防护方法和系统 | |
| EP2425583B1 (en) | Out of ban system and method for authentication | |
| CN101711472B (zh) | 用于验证网页的真实性的方法和系统 | |
| CN105262779B (zh) | 身份认证方法、装置及系统 | |
| US9037514B2 (en) | Authentication for service server in wireless internet and settlement using the same | |
| CN101938471A (zh) | 安全的电子信息请求传递系统 | |
| CN104541475A (zh) | 用于交易认证的经提取且随机化的一次性密码 | |
| CN101577917A (zh) | 一种安全的基于手机的动态密码验证方法 | |
| CN101461209A (zh) | 安全的数据传输的装置与方法 | |
| CN101589569A (zh) | 至网络中的客户端设备的安全口令分发 | |
| CN103929307A (zh) | 密码输入方法、智能密钥设备以及客户端装置 | |
| MX2007007511A (es) | Dispositivo y/o metodo de autentificacion. | |
| CN105357186A (zh) | 一种基于带外验证和增强otp机制的二次认证方法 | |
| WO2007069831A1 (en) | Method and system for transmitting and receiving user's personal information using agent | |
| CN101141252A (zh) | 一种网络密码认证方法 | |
| CN105260890A (zh) | 基于多域用户信息大数据分析的线上安全支付方法 | |
| CN106911722B (zh) | 一种智能密码签名身份鉴别双向认证方法及系统 | |
| CN102223354A (zh) | 一种网络支付鉴权方法、服务器及系统 | |
| US20210234705A1 (en) | Improved system and method for internet access age-verification | |
| US20050238174A1 (en) | Method and system for secure communications over a public network | |
| CN104125230A (zh) | 一种短信认证服务系统以及认证方法 | |
| CN102025498A (zh) | 保护用户隐私的方法、装置及系统 | |
| CN102130892A (zh) | 一种网络账户安全防护方法 | |
| CN1987938A (zh) | 一种动态密码方法、系统及动态密码卡 | |
| CN110634072B (zh) | 一种基于多签和硬件加密的区块链交易系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20110720 |