CN103384248B - 一种可以防止黑客程序再次登陆的方法 - Google Patents
一种可以防止黑客程序再次登陆的方法 Download PDFInfo
- Publication number
- CN103384248B CN103384248B CN201310284077.1A CN201310284077A CN103384248B CN 103384248 B CN103384248 B CN 103384248B CN 201310284077 A CN201310284077 A CN 201310284077A CN 103384248 B CN103384248 B CN 103384248B
- Authority
- CN
- China
- Prior art keywords
- client
- password
- dynamic password
- server
- dynamic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Computer And Data Communications (AREA)
Abstract
一种可以防止黑客程序再次登陆的方法,通过引入并比较动态口令使服务器和客户端能区分是用户登陆,还是黑客程序登陆,能防止黑客程序再次登陆。这样做的好处是:可以规定客户端与服务器的每次连接都必须进行用户身份验证,涉及支付、重要数据更新等操作,规定必须二次确认,这样,黑客程序即使通过密码拦截进行了第一次操作虚构,由于客户端与服务器的动态口令已不一致,客户端不可能再次登陆,不能被黑客程序继续利用,黑客程序虽然得到动态口令但因初始密码缺失也无法进行加密密码的生成,从而无法进行第二次确认,确保了系统安全。
Description
技术领域
本发明涉及互联网安全技术,尤其是在互联网上用户通过手机注册与身份验证的安全问题。
背景技术
用户身份验证技术涉及密码传输的主要问题是:客户端与服务器进行数据交换前的用户身份验证信息,有可能被黑客程序拦截。用户身份验证信息被黑客程序拦截后,黑客程序可以复制拦截的密码,用于黑客程序登陆,可以使服务器错误认为黑客程序就是原客户端程序用户。
由于黑客程序拦截密码是通过破解操作系统漏洞实现的。因此,客户端程序是不能阻止黑客程序拦截密码的。也就是说,黑客程序利用操作系统漏洞,拦截客户端程序向服务器传输用户名和密码,冒用用户身份登陆是无法防止的。
现有用户身份验证技术的缺陷是:在黑客程序冒用用户身份登陆无法防止的前提下,现有技术没有阻止黑客程序和客户端程序再次登陆,没有向用户明示存在黑客程序冒名登陆的事实。现有技术可能的后果是:由于在黑客程序冒名登陆后没有向用户明示的机制,用户会继续登陆,这会造成黑客程序有可能持续冒名登陆。
《一种保护账号安全的方法》(专利申请号200810019981.9),采用双通道传送,三组密码三次分别(激活码、动态密码A、静态密码和动态密码B)认证,操作过程是:
用户需向注册认证服务器系统提交用户的账号名以及手机号码,系统将用户的账号名和手机号码相互绑定,并约定与手机号码相互绑定的激活码(账号或者约定的激活指令);
需登录时,
用户以手机短信的形式通过短信网关向系统短信平台提交自己的激活码;系统短信平台在接受到用户的登陆请求后提取用户短信中的激活码及用户的手机号码,并转送到系统认证服务器,认证服务器收到激活码后在系统认证服务器的数据库中对其进行检索,如果用户登陆请求中的激活码和手机号码与认证服务器内部信息相符,则验证通过,系统认证服务器临时生成两组随机字符串A和B作为此用户的登录动态密码,动态密码以短信的方式通过短信网关传输到该用户手机,同时这两组动态密码被保存在认证服务器的验证表中;如果激活码和手机号码与系统内部绑定信息不符,则通过系统短信平台提示用户登录失败;
用户收到动态密码后,在系统客户端登录,登录时
先将账号名和动态密码A在系统的客户端输入;认证服务器对用户输账号名和动态密码A进行有效性验证,将用户输入的账号名与动态密码A与保存在认证服务器的信息进行对比验证其是否合法,如果验证通过,系统认证服务器验证表中的动态密码A即时失效,用户进行第二次登录验证,将静态密码和动态密码B在系统的客户端输入;认证服务器对用户输入静态密码和动态密码B进行有效性验证,将静态密码和动态密码B与保存在认证服务器中的信息进行对比验证其是否合法,当用户登录成功后,系统认证服务器验证表中的动态密码B即时失效,如果验证失败,则通过网络在客户端提示用户登录失败,当用户再次需要登陆系统时,需重复登录请求的步骤。
上述账号安全的保护方法:
登录时,用户第二次输入密码后,客户端程序向服务器传送密码数据就有可能被黑客程序拦截。黑客程序拦截客户端程序向服务器传送密码数据后,就可以冒用用户身份,继续将密码数据传输给服务器,从而完成登录。
尽管上述账号安全的保护方法具有动态密码即时失效机制,即动态密码一旦被黑客程序利用,原用户就不能再次使用同一动态密码登陆。即用户第二次输入密码后,黑客程序拦截密码登陆,原用户因密码失效将出现登陆失败的提示。此时的问题是,系统并没有向用户明示有黑客拦截密码,并且,客观的技术后果是,黑客程序已成功登陆,达到了黑客程序拦截密码的目的。
发明内容
本发明的核心思想是:即使不能防止黑客程序通过拦截客户端向服务器传输的身份验证信息登陆,也应在黑客程序登陆发生后阻止黑客程序再次登陆,确保系统安全,同时向用户明示有黑客程序冒名登陆,从而使用户有可能采取措施,删除黑客程序。
一种可以防止黑客程序再次登陆的方法,其特征是:
1、客户端产生用户名、初始密码和初始动态口令,初始动态口令是一个随机数值,可以进行大小比较;
2、通过手机将用户名、初始密码和初始动态口令通过短信平台发送给服务器;
3、用户身份验证的步骤是:
(1)客户端准备数据与传输数据
①客户端将初始密码、动态口令与一任意产生的随机字符串混合产生加密密码;
②客户端将用户名、加密密码、动态口令、随机字符串传输给服务器;
(2)服务器验证
①令向客户端返回的动态口令等于客户端向服务器传输的动态口令;
②如果客户端向服务器传输的动态口令小于服务器保存的动态口令,表明有黑客登陆,令向客户端返回的动态口令等于0,向客户端返回有黑客登陆信息,转向结束,否则,继续下一步骤;
③服务器按客户端相同规则将初始密码、动态口令与随机字符串混合产生加密密码;
④服务器将服务器产生的加密密码与客户端传输的加密密码匹配,如果两个加密密码匹配正确,动态口令加1并作为新的动态口令保存,同时,令向客户端返回的动态口令等于新的动态口令,向客户端返回身份验证正确信息,转向结束,否则,继续下一步骤;
⑤查询服务器客户端密码传输错误次数记录,如果错误次数记录超过设定次数,向客户端返回密码错误次数太多信息,暂停服务器对客户端的开放,转向结束,否则,继续下一步骤;
⑥服务器客户端密码传输错误次数记录加1并保存;
⑦结束;
(3)客户端得到返回动态口令的进一步处理
①如果客户端得到的返回动态口令小于客户端保存的动态口令,则表明有黑客程序登陆,向用户明示黑客程序登陆,转向结束,否则,继续下一步;
②如果客户端得到的返回动态口令等于客户端保存的动态口令,则表明密码传输错误,需要重新进行登陆过程,转向结束,否则,继续下一步骤;
③更新客户端保存的动态口令为客户端得到的返回动态口令。
所述“将初始密码、动态口令与随机数混合产生加密密码”可以采用公知的方法。比如通过hash算法,可以得到:
加密密码=hash(hash(初始密码)+动态口令+随机字符串)
进行密码加密的目的是防止黑客程序反推原密码。
所述“初始密码”不论在客户端或在服务器都可以以hash加密的方式存储,以确保初始密码的安全。
所述“如果客户端传输的动态口令小于服务器保存的动态口令,表明有黑客登陆”的原理是:每次正确登陆服务器都会“动态口令加1并作为新的动态口令保存”并将新的动态口令返回客户端,客户端更新客户端保存的动态口令,确保服务器与客户端的动态口令保持一致。如果黑客程序登陆,服务器的动态口令会加1更新,并回传给客户端,但是,此时客户端不能接收到服务器的返回信息,这样,服务器与客户端保存的动态口令就会不一致。
本发明的有益效果是:
本发明通过引入并比较动态口令使服务器和客户端能区分是用户登陆,还是黑客程序登陆,能防止黑客程序再次登陆。
这样做的好处是:可以规定客户端与服务器的每次连接都必须进行用户身份验证,涉及支付、重要数据更新等操作,规定必须二次确认,这样,黑客程序即使通过密码拦截进行了第一次操作虚构,由于客户端与服务器的动态口令已不一致,客户端不可能再次登陆,不能被黑客程序继续利用,黑客程序虽然得到动态口令但因初始密码缺失也无法进行加密密码的生成,从而无法进行第二次确认,确保了系统安全。
附图说明
图1是客户端与服务器的身份验证信息的交换图示。正常情况下,客户端登陆后,服务器返回动态口令加1,客户端和服务器的动态口令是一致的。身份验证信息被黑客程序拦截后,服务器动态口令加1不能返回客户端,这样,客户端与服务器的动态口令就不再一致。
具体实施方式
在本发明中:
1、动态口令可以是系统时间戳。服务器更新动态口令可以不采取加1方式,新的动态口令可以通过服务器赋值时间戳。这是黑客程序不能干预的。这样就彻底杜绝了黑客程序仿冒服务器向客户端回传动态口令的可能性。黑客程序仿冒服务器向客户端回传动态口令,将与服务器保存的动态口令不一致。
2、客户端的用户名可以先进行唯一性验证。特别地,客户端的用户名可以沿用运行客户端程序的手机号。这样,通过手机将用户名、初始密码和初始动态口令通过短信平台发送给服务器就无需用户输入用户名,无需增加用户名与手机号的绑定操作,服务器可以自动从接收到的短信信息中剥离出手机号。
Claims (2)
1.一种可以防止黑客程序再次登陆的方法,其特征是:客户端产生用户名、初始密码和初始动态口令,初始动态口令是一个随机数值,可以进行大小比较;通过手机将用户名、初始密码和初始动态口令通过短信平台发送给服务器;用户身份验证的步骤是:
(1)客户端准备数据与传输数据
①客户端将初始密码、动态口令与一任意产生的随机字符串混合产生加密密码;
②客户端将用户名、加密密码、动态口令、随机字符串传输给服务器;
(2)服务器验证
①令向客户端返回的动态口令等于客户端向服务器传输的动态口令;
②如果客户端向服务器传输的动态口令小于服务器保存的动态口令,表明有黑客登陆,令向客户端返回的动态口令等于0,向客户端返回有黑客登陆信息,转向结束,否则,继续下一步骤;
③服务器按客户端相同规则将初始密码、动态口令与随机字符串混合产生加密密码;
④服务器将服务器产生的加密密码与客户端传输的加密密码匹配,如果两个加密密码匹配正确,动态口令加1并作为新的动态口令保存,同时,令向客户端返回的动态口令等于新的动态口令,向客户端返回身份验证正确信息,转向结束,否则,继续下一步骤;
⑤查询服务器客户端密码传输错误次数记录,如果错误次数记录超过设定次数,向客户端返回密码错误次数太多信息,暂停服务器对客户端的开放,转向结束,否则,继续下一步骤;
⑥服务器客户端密码传输错误次数记录加1并保存;
⑦结束;
(3)客户端得到返回动态口令的进一步处理
①如果客户端得到的返回动态口令小于客户端保存的动态口令,则表明有黑客程序登陆,向用户明示黑客程序登陆,转向结束,否则,继续下一步;
②如果客户端得到的返回动态口令等于客户端保存的动态口令,则表明密码传输错误,需要重新进行登陆过程,转向结束,否则,继续下一步骤;
③更新客户端保存的动态口令为客户端得到的返回动态口令。
2.根据权利要求1所述一种可以防止黑客程序再次登陆的方法,其特征是:动态口令可以是系统时间戳。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310284077.1A CN103384248B (zh) | 2013-07-08 | 2013-07-08 | 一种可以防止黑客程序再次登陆的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310284077.1A CN103384248B (zh) | 2013-07-08 | 2013-07-08 | 一种可以防止黑客程序再次登陆的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103384248A CN103384248A (zh) | 2013-11-06 |
| CN103384248B true CN103384248B (zh) | 2016-03-02 |
Family
ID=49491943
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310284077.1A Active CN103384248B (zh) | 2013-07-08 | 2013-07-08 | 一种可以防止黑客程序再次登陆的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103384248B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104469769B (zh) * | 2014-11-18 | 2018-11-20 | 张忠义 | 一种新的一键注册方法 |
| CN107733852B (zh) * | 2017-08-24 | 2019-06-21 | 北京三快在线科技有限公司 | 一种身份验证方法及装置,电子设备 |
| CN109150903A (zh) * | 2018-09-25 | 2019-01-04 | 平安科技(深圳)有限公司 | 一种账号管理方法、装置、存储介质和终端设备 |
| CN113422832B (zh) * | 2021-06-25 | 2022-11-15 | 北京百度网讯科技有限公司 | 文件传输方法、装置、设备和存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7127607B1 (en) * | 2000-06-30 | 2006-10-24 | Landesk Software Limited | PKI-based client/server authentication |
| CN101252437A (zh) * | 2008-01-15 | 2008-08-27 | 深圳市九思泰达技术有限公司 | C/s架构下客户端身份的动态验证方法、系统及装置 |
| CN101257489A (zh) * | 2008-03-20 | 2008-09-03 | 陈珂 | 一种保护账号安全的方法 |
| CN102202067A (zh) * | 2011-07-15 | 2011-09-28 | 席勇良 | 动态随机密码登录方法 |
| CN102299922A (zh) * | 2011-08-08 | 2011-12-28 | 张忠义 | 在互联网上用户通过手机注册与身份验证的方法 |
| CN102833220A (zh) * | 2011-06-17 | 2012-12-19 | 同方股份有限公司 | 一种基于动态口令的密钥同步方法及系统 |
-
2013
- 2013-07-08 CN CN201310284077.1A patent/CN103384248B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7127607B1 (en) * | 2000-06-30 | 2006-10-24 | Landesk Software Limited | PKI-based client/server authentication |
| CN101252437A (zh) * | 2008-01-15 | 2008-08-27 | 深圳市九思泰达技术有限公司 | C/s架构下客户端身份的动态验证方法、系统及装置 |
| CN101257489A (zh) * | 2008-03-20 | 2008-09-03 | 陈珂 | 一种保护账号安全的方法 |
| CN102833220A (zh) * | 2011-06-17 | 2012-12-19 | 同方股份有限公司 | 一种基于动态口令的密钥同步方法及系统 |
| CN102202067A (zh) * | 2011-07-15 | 2011-09-28 | 席勇良 | 动态随机密码登录方法 |
| CN102299922A (zh) * | 2011-08-08 | 2011-12-28 | 张忠义 | 在互联网上用户通过手机注册与身份验证的方法 |
Non-Patent Citations (3)
| Title |
|---|
| "信息安全系统中用户身份认证技术的研究";张怡华;《中国优秀硕士学位论文全文数据库信息科技辑》;20080415(第4期);第I138-22页 * |
| "动态口令身份认证系统研究及应用方案设计";文小波;《中国优秀硕士学位论文全文数据库》;20060615(第6期);第I139-55页 * |
| "基于一次性口令的身份认证系统的设计与实现";刘阳;《中国优秀硕士学位论文全文数据库信息科技辑》;20060115(第1期);第I139-58 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103384248A (zh) | 2013-11-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108834144B (zh) | 运营商码号与账号的关联管理方法与系统 | |
| CN107483509B (zh) | 一种身份验证方法、服务器及可读存储介质 | |
| US8196186B2 (en) | Security architecture for peer-to-peer storage system | |
| CN105516195B (zh) | 一种基于应用平台登录的安全认证系统及其认证方法 | |
| CN111027036B (zh) | 一种基于区块链的身份关联方法 | |
| CN110990827A (zh) | 一种身份信息验证方法、服务器及存储介质 | |
| CN104125565A (zh) | 一种基于oma dm实现终端认证的方法、终端及服务器 | |
| CN107342984A (zh) | 一种用于设备绑定的系统、方法及装置 | |
| CN110611569B (zh) | 一种认证方法及相关设备 | |
| CN1937498A (zh) | 一种动态密码认证方法、系统及装置 | |
| CN108243176B (zh) | 数据传输方法和装置 | |
| CN101087193A (zh) | 使用与帐号绑定的手机号码进行身份确认的新方法 | |
| EP2705642A1 (en) | System and method for providing access credentials | |
| CN110662091B (zh) | 第三方直播视频接入方法、存储介质、电子设备及系统 | |
| CN104753674A (zh) | 一种应用身份的验证方法和设备 | |
| CN105743638A (zh) | 基于b/s架构系统客户端授权认证的方法 | |
| CN103384248B (zh) | 一种可以防止黑客程序再次登陆的方法 | |
| CN104753954A (zh) | 一种利用堡垒机保障网络安全的方法 | |
| CN106161348A (zh) | 一种单点登录的方法、系统以及终端 | |
| CN101841814B (zh) | 终端鉴权方法及系统 | |
| CN102868702A (zh) | 系统登录装置和系统登录方法 | |
| CN104506321A (zh) | 一种更新动态令牌中种子数据的方法 | |
| KR101273285B1 (ko) | 인증 에이전트 장치, 온라인 서비스 인증 방법 및 시스템 | |
| CN104580063A (zh) | 一种网管安全认证方法和装置、网管安全认证系统 | |
| CN105282166A (zh) | 一种linux操作系统的身份认证方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |