CN103973644B - 一种身份验证方法、装置和系统 - Google Patents

一种身份验证方法、装置和系统 Download PDF

Info

Publication number
CN103973644B
CN103973644B CN201310035457.1A CN201310035457A CN103973644B CN 103973644 B CN103973644 B CN 103973644B CN 201310035457 A CN201310035457 A CN 201310035457A CN 103973644 B CN103973644 B CN 103973644B
Authority
CN
China
Prior art keywords
user
scene information
basic elements
information
operation scene
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201310035457.1A
Other languages
English (en)
Other versions
CN103973644A (zh
Inventor
阳荣辉
曾星
蒋臻甄
程谟野
郭晓
王钊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN201310035457.1A priority Critical patent/CN103973644B/zh
Priority to PCT/CN2013/087208 priority patent/WO2014117563A1/en
Priority to US14/201,868 priority patent/US20140215592A1/en
Publication of CN103973644A publication Critical patent/CN103973644A/zh
Application granted granted Critical
Publication of CN103973644B publication Critical patent/CN103973644B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/84Protecting input, output or interconnection devices output devices, e.g. displays or monitors
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/42Confirmation, e.g. check or permission by the legal debtor of payment
    • G06Q20/425Confirmation, e.g. check or permission by the legal debtor of payment using two different networks, one for transaction and one for security confirmation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2105Dual mode as a secondary aspect

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Accounting & Taxation (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Business, Economics & Management (AREA)
  • Strategic Management (AREA)
  • Software Systems (AREA)
  • Finance (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本发明实施例公开了一种身份验证方法、装置和系统。本发明实施例采用在接收到身份验证请求时,获取操作场景信息和操作基本要素,并显示该操作场景信息和操作基本要素,以供用户进行确认,在用户确认后,才接收用户发送的身份验证信息,然后在对用户身份进行验证的过程中,再次提示用户该操作场景信息和操作基本要素,从而达到提醒用户,帮助用户识别钓鱼欺骗行为的目的,使得可以很好地预防钓鱼手段,提高身份验证的有效性,以及提高用户数据的安全性。

Description

一种身份验证方法、装置和系统
技术领域
本发明涉及通信技术领域,具体涉及一种身份验证方法、装置和系统。
背景技术
伴随着科技的进步,特别是互联网的蓬勃发展,社会的财富组成和人们的互动行为发生了很大的改变,这其中就包括了财富形式的和交易方式的改变。时至今日,虚拟财富和传统财富的界限越来越模糊,人们对财富的处置和交易也越来越多的使用非传统方式来进行,比如,人们可以通过互联网来进行购物、转账等财富操作,等等。在这种情况下,如何提高用户身份验证的安全性就成了尤其重要的问题。
虽然目前存在有很多身份验证方法来保护用户数据(比如用户身份信息和财富数据)的安全,但是,不法分子同样也会想尽办法去绕过这样的验证,其中一种典型的手法就是通过钓鱼的方式来欺骗用户输入正确的验证信息,并以此得到可以通过验证的凭证,从而获得用户的操作权限以进行非法操作,比如对用户财产进行转移,等等,这种情况严重影响了用户数据的安全。
针对这种情况,现有技术一般采用用户设定问题、静态口令、动态口令或短信验证码等方法来防止钓鱼手段的发生,但是,在对现有技术的研究和实践过程中,本发明的发明人发现,现有的这些方法同样也可能会遭遇到钓鱼问题,安全性不高。
发明内容
本发明实施例提供一种身份验证方法、装置和系统,可以预防钓鱼手段,提高身份验证的有效性,从而提高用户数据的安全性。
一种身份验证方法,包括:
接收业务系统发送的身份验证请求时,获取操作场景信息和操作基本要素;
显示所述操作场景信息和操作基本要素,以供用户进行确认;
在用户确认所述操作场景信息和操作基本要素后,接收用户发送的身份验证信息;
根据所述身份验证信息对用户身份的合法性进行验证,并在验证的过程中,提示用户所述操作场景信息和操作基本要素;
发送验证结果给业务系统。
一种身份验证装置,包括:
获取单元,用于接收业务系统发送的身份验证请求时,获取操作场景信息和操作基本要素;
显示单元,用于显示所述操作场景信息和操作基本要素,以供用户进行确认;
接收单元,用于在用户确认所述操作场景信息和操作基本要素后,接收用户发送的身份验证信息;
验证单元,用于根据所述身份验证信息对用户身份的合法性进行验证,并在验证的过程中,提示用户所述操作场景信息和操作基本要素;
发送单元,用于发送验证结果给业务系统。
一种通信系统,包括业务系统和本发明实施例提供的任一种身份验证装置;
业务系统,用于发送身份验证请求给身份验证装置,并提供操作场景信息和操作基本要素给身份验证装置,以及接收身份验证装置发送的验证结果。
本发明实施例采用在接收到身份验证请求时,获取操作场景信息和操作基本要素,并显示该操作场景信息和操作基本要素,以供用户进行确认,在用户确认后,才接收用户发送的身份验证信息,然后在对用户身份进行验证的过程中,再次提示用户该操作场景信息和操作基本要素,从而达到提醒用户,帮助用户识别钓鱼欺骗行为的目的,使得可以很好地预防钓鱼手段,提高身份验证的有效性,以及提高用户数据的安全性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的身份验证方法的流程图;
图2是本发明实施例提供的身份验证方法的另一流程图;
图3是本发明实施例提供的身份验证装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供一种身份验证方法、装置和系统。以下分别进行详细说明。
实施例一、
本实施例将从身份验证装置的角度进行描述,该身份验证装置具体可以为验证服务器等设备。
一种身份验证方法,包括:接收业务系统发送的身份验证请求时,获取操作场景信息和操作基本要素,显示该操作场景信息和操作基本要素,以供用户进行确认,在用户确认该操作场景信息和操作基本要素后,接收用户发送的身份验证信息,根据该身份验证信息对用户身份的合法性进行验证,并在验证的过程中,提示用户该操作场景信息和操作基本要素,发送验证结果给业务系统。
如图1所示,具体流程可以如下:
101、接收业务系统发送的身份验证请求时,获取操作场景信息和操作基本要素;
其中,具体可以采用多种方式来获取操作场景信息和操作基本要素,例如,即步骤101具体可以如下:
接收业务系统发送的身份验证请求,根据该身份验证请求向业务系统获取操作场景信息和操作基本要素;或者,
接收业务系统发送的身份验证请求,其中,该身份验证请求中携带操作场景信息和操作基本要素。
其中,业务系统具体可以为业务服务器,操作场景信息可以包括当前操作场景下的操作名称和/或操作状态等信息,用于及时告知用户当前操作的状态。而操作基本要素主要用于帮助用户界定一个操作是否真是自己发起的操作。
例如,对于转账操作,基本要素可以包括转账金额和/或目标对象等信息;而对于支付操作,基本要素可以包括支付金额、购买商品、受益人和/或收货地址等信息;同理,对于虚拟世界如网络游戏中的操作,也一样可以包括多种基本要素,在此不再赘述。
102、显示步骤101中获取到的操作场景信息和操作基本要素,以供用户进行确认;
例如,具体可以在验证界面上显示该操作场景信息和操作基本要素,并要求用户予以确认,若用户确认这些操作场景信息和操作基本要素与自己所发起的操作相符,则执行步骤103,否则,若用户确认这些操作场景信息和操作基本要素与自己所发起的操作不符,则表示可能存在钓鱼行为,于是流程结束,或者,此时也可以提醒用户当前可能存在钓鱼行为,让用户选择下一步操作,等等。
103、在用户确认这些操作场景信息和操作基本要素后,接收用户发送的身份验证信息;
比如,具体可以接收用户发送的账号、密码和/或验证码等信息。
104、根据接收到的身份验证信息对用户身份的合法性进行验证,得到验证结果;其中,在验证的过程中,比如在有任何需要获取凭证相关的环节,则再次提示与该环节相关的用户操作场景信息和操作基本要素;例如,具体可以如下:
在下发手机验证码时,提示用户该操作场景信息和操作基本要素;和/或,
在界面上提供机器验证码时,提示用户该操作场景信息和操作基本要素;和/或,
在提示用户输入密码时,提示用户该操作场景信息和操作基本要素;和/或,
在提示用户确认所输入的信息时,提示用户该操作场景信息和操作基本要素。
当然,除了上述所列举的环节之外,还可以在其他的环节提示用户该操作场景信息和操作基本要素,在此不再赘述。
其中,提示用户该操作场景信息和操作基本要素的方式可以有多种,比如,具体可以通过弹窗的方式来提示用户所述操作场景信息和操作基本要素,或者,也可以将该操作场景信息和操作基本要素携带在消息中发送给用户,等等。
105、发送验证结果给业务系统。
例如,若在步骤103中,确定用户身份为合法的,则此时具体可以发送指示验证通过的验证结果给业务系统,而若在步骤103中,确定用户身份为非法的,则此时具体可以发送指示验证没有通过的验证结果给业务系统。
业务系统在接收到验证结果后,若该验证结果指示验证通过,则允许用户执行操作,否则,若验证结果指示验证没有通过,则拒绝用户执行操作。
由上可知,本发明实施例采用在接收到身份验证请求时,获取操作场景信息和操作基本要素,并显示该操作场景信息和操作基本要素,以供用户进行确认,在用户确认后,才接收用户发送的身份验证信息,然后在对用户身份进行验证的过程中,再次提示用户该操作场景信息和操作基本要素,从而达到提醒用户,帮助用户识别钓鱼欺骗行为的目的,使得可以很好地预防钓鱼手段,提高身份验证的有效性,以及提高用户数据的安全性。
实施例二、
根据实施例一所描述的方法,以下将举例作进一步详细说明。
在本实施例中,将以身份验证装置具体为验证服务器,业务系统具体为业务服务器为例进行说明。
如图2所示,一种身份验证方法,具体流程可以如下:
201、业务服务器发送身份验证请求给验证服务器。
202、验证服务器接收到该身份验证请求之后,根据该身份验证请求向业务服务器获取操作场景信息和操作基本要素。
其中,操作场景信息主要用于及时告知用户当前操作的状态,具体可以包括当前操作场景下的操作名称和/或操作状态等信息,而基本要素主要用于帮助用户界定一个操作是否真是自己发起的操作。
例如,对于转账操作而言,操作名称可以为“转账”,操作状态则可以是当前转账所处的进程或状态,如“即将转账”或“正在转账中”等,而基本要素则可以包括转账金额和/或目标对象等信息。
又例如,对于支付操作,操作名称可以为“支付”,操作状态则可以是当前支付所处的进程或状态,比如“即将支付”或“支付中”等等,而基本要素可以包括支付金额、购买商品、受益人和/或收货地址等信息;同理,其他操作也与此类似,在此不再赘述。
需说明的是,业务服务器也可以在发送身份验证请求给验证服务器时,将操作场景信息和操作基本要素携带在身份验证请求中提供给验证服务器,其实现方式与此类似,在此不再赘述。
203、验证服务器显示该操作场景信息和操作基本要素,以供用户进行确认。
例如,具体可以在验证界面上显示该操作场景信息和操作基本要素,并要求用户予以确认,若用户确认这些操作场景信息和操作基本要素与自己所发起的操作相符,则执行步骤204,否则,若用户确认这些操作场景信息和操作基本要素与自己所发起的操作不符,则表示可能存在钓鱼行为,于是流程结束,或者,此时也可以提醒用户当前可能存在钓鱼行为,让用户选择下一步操作,等等。
204、在用户确认这些操作场景信息和操作基本要素后,验证服务器接收用户发送的身份验证信息。
比如,具体可以接收用户发送的账号、密码和/或验证码等信息。
205、验证服务器根据接收到的身份验证信息对用户身份的合法性进行验证,得到验证结果;其中,在验证的过程中,比如在有任何需要获取凭证相关的环节,则可以再次提示与该环节相关的用户操作场景信息和操作基本要素。
例如,具体可以在下发手机验证码时,提示用户该操作场景信息和操作基本要素;其中,提示的方法可以有多种,比如,既可以通过在发送验证码的消息中携带该操作场景信息和操作基本要素来进行提示,也可以以独立的消息的形式来进行提示,等等。
又例如,在界面上提供机器验证码时,可以在界面上同时显示该操作场景信息和操作基本要素,以便用户进行再次确认。比如对于转账操作,此时就可以提醒用户当前正在进行转账操作,并显示转账金额是多少,目标对象是谁等等,这样用户就可以识别当前操作是否与自己将要进行的操作相符合,如果不符合,则当前可能存在钓鱼现象,那么,用户就可以及早防备,比如可以结束当前的操作,等等。其中,具体显示时,可以与验证码显示在同一页面中,也可以以弹窗的方式来显示。
又例如,还可以在提示用户输入密码时,和/或,在提示用户确认所输入的信息时,提示用户该操作场景信息和操作基本要素。比如,对于支付操作,则此时可以显示操作状态则可以提醒用户当前正在进行支付操作,并且显示支付金额、购买商品、受益人和/或收货地址等信息,以便用户进行再次确认,如果用户确定这些信息与自己所发起的操作相符合,则当前的支付操作时安全的,否则,如果用户确定这些信息与自己所发起的操作不符合,则当前的支付操作可能存在钓鱼现象,那么,用户就可以及早防备,比如结束当前的操作等等。具体显示时,可以与验证码显示在同一页面中,也可以以弹窗的方式来显示。
当然,除了上述所列举的环节之外,还可以在其他的环节提示用户该操作场景信息和操作基本要素,在此不再赘述。
206、验证服务器发送验证结果给业务系统。
例如,若在步骤205中,验证服务器确定用户身份为合法的,则此时具体可以发送指示验证通过的验证结果给业务系统,而若在步骤205中,验证服务器确定用户身份为非法的,则此时具体可以发送指示验证没有通过的验证结果给业务系统。
207、业务系统在接收到验证结果后,若该验证结果指示验证通过,则允许用户执行操作,否则,若验证结果指示验证没有通过,则拒绝用户执行操作。
由上可知,本发明实施例的验证服务器采用在接收到身份验证请求时,向业务服务器获取操作场景信息和操作基本要素,并显示该操作场景信息和操作基本要素,以供用户进行确认,在用户确认后,才接收用户发送的身份验证信息,然后在对用户身份进行验证的过程中,再次提示用户该操作场景信息和操作基本要素,从而达到提醒用户,帮助用户识别钓鱼欺骗行为的目的,使得可以很好地预防钓鱼手段,提高身份验证的有效性,以及提高用户数据的安全性。
实施例三、
相应的,本发明实施例还提供一种身份验证装置,如图3所示,该身份验证装置包括获取单元301、显示单元302、接收单元303、验证单元304和发送单元305;
获取单元301,用于接收业务系统发送的身份验证请求时,获取操作场景信息和操作基本要素;
其中,业务系统具体可以为业务服务器;操作场景信息主要用于及时告知用户当前操作的状态,其具体可以包括当前操作场景下的操作名称和/或操作状态等信息。而操作基本要素主要用于帮助用户界定一个操作是否真是自己发起的操作。
例如,对于转账操作,基本要素可以包括转账金额和/或目标对象等信息;而对于支付操作,基本要素可以包括支付金额、购买商品、受益人和/或收货地址等信息;同理,对于虚拟世界如网络游戏中的操作,也一样可以包括多种基本要素,在此不再赘述。
显示单元302,用于显示操作场景信息和操作基本要素,以供用户进行确认;
接收单元303,用于在用户确认该操作场景信息和操作基本要素后,接收用户发送的身份验证信息;
其中,身份验证信息具体可以包括账号、密码和/或验证码等信息。
验证单元304,用于根据接收到的身份验证信息对用户身份的合法性进行验证,并在验证的过程中,提示用户该操作场景信息和操作基本要素;
发送单元305,用于发送验证结果给业务系统。
例如,如果验证单元304确定用户身份为合法的,则此时,发送单元305具体可以发送指示验证通过的验证结果给业务系统,而如果验证单元304确定用户身份为非法的,则此时,发送单元305具体可以发送指示验证没有通过的验证结果给业务系统。
其中,获取单元301具体可以采用多种方式来获取操作场景信息和操作基本要素,例如,具体可以如下:
获取单元301,具体可以用于接收业务系统发送的身份验证请求,根据该身份验证请求向业务系统获取操作场景信息和操作基本要素;或者,
获取单元301,具体可以用于接收业务系统发送的身份验证请求,其中,该身份验证请求中携带操作场景信息和操作基本要素。
其中,验证单元304,具体可以用于在下发手机验证码时,提示用户该操作场景信息和操作基本要素;和/或,
验证单元304,具体可以用于在界面上提供机器验证码时,提示用户该操作场景信息和操作基本要素;和/或,
验证单元304,具体可以用于在提示用户输入密码时,提示用户该操作场景信息和操作基本要素;和/或,
验证单元304,具体可以用于在提示用户确认所输入的信息时,提示用户该操作场景信息和操作基本要素。
当然,除了上述所列举的环节之外,验证单元304还可以在其他的环节提示用户该操作场景信息和操作基本要素,在此不再赘述。
其中,提示用户该操作场景信息和操作基本要素的方式可以有多种,比如,具体可以通过弹窗的方式来提示用户该操作场景信息和操作基本要素,或者,也可以将该操作场景信息和操作基本要素携带在消息中发送给用户,等等。即:
验证单元304,具体可以用于通过弹窗的方式提示用户该操作场景信息和操作基本要素,或者,将该操作场景信息和操作基本要素携带在消息中发送给用户。
该身份验证装置具体可以为验证服务器等设备。具体实施时,以上各个单元可以作为独立的实体来实现,也可以进行任意组合,作为同一或若干个实体来实现,以上各个单元的实施具体可参见前面的方法实施例,在此不再赘述。
由上可知,本发明实施例的身份验证装置的获取单元301可以在接收到身份验证请求时,获取操作场景信息和操作基本要素,并由显示单元302显示该操作场景信息和操作基本要素,以供用户进行确认,在用户确认后,才由接收单元303接收用户发送的身份验证信息,然后在验证单元304对用户身份进行验证的过程中,再次提示用户该操作场景信息和操作基本要素,从而达到提醒用户,帮助用户识别钓鱼欺骗行为的目的,使得可以很好地预防钓鱼手段,提高身份验证的有效性,以及提高用户数据的安全性。
实施例四、
相应的,本发明实施例还提供一种通信系统,包括业务系统和本发明实施例提供的任一种身份验证装置,该身份验证装置具体可参见实施例三,例如,具体可以如下:
业务系统,用于发送身份验证请求给身份验证装置,并提供操作场景信息和操作基本要素给身份验证装置,以及接收身份验证装置发送的验证结果;
身份验证装置,用于接收业务系统发送的身份验证请求时,获取操作场景信息和操作基本要素,显示该操作场景信息和操作基本要素,以供用户进行确认,在用户确认该操作场景信息和操作基本要素后,接收用户发送的身份验证信息,根据该身份验证信息对用户身份的合法性进行验证,并在验证的过程中,提示用户该操作场景信息和操作基本要素,发送验证结果给业务系统。
其中,具体可以采用多种方式来获取操作场景信息和操作基本要素,例如,具体可以如下:
身份验证装置,具体可以用于接收业务系统发送的身份验证请求,根据该身份验证请求向业务系统获取操作场景信息和操作基本要素;或者,
身份验证装置,具体可以用于接收业务系统发送的身份验证请求,其中,该身份验证请求中携带操作场景信息和操作基本要素。
其中,操作场景信息可以包括当前操作场景下的操作名称和/或操作状态等信息。而操作基本要素主要用于帮助用户界定一个操作是否真是自己发起的操作。
例如,对于转账操作,基本要素可以包括转账金额和/或目标对象等信息;而对于支付操作,基本要素可以包括支付金额、购买商品、受益人和/或收货地址等信息;同理,对于虚拟世界如网络游戏中的操作,也一样可以包括多种基本要素,在此不再赘述。
可选的,身份验证装置,具体可以用于在下发手机验证码时,提示用户该操作场景信息和操作基本要素;和/或,在界面上提供机器验证码时,提示用户该操作场景信息和操作基本要素;和/或,在提示用户输入密码时,提示用户该操作场景信息和操作基本要素;和/或,在提示用户确认所输入的信息时,提示用户该操作场景信息和操作基本要素。
其中,提示用户该操作场景信息和操作基本要素的方式可以有多种,比如,具体可以通过弹窗的方式来提示用户所述操作场景信息和操作基本要素,或者,也可以将该操作场景信息和操作基本要素携带在消息中发送给用户,等等。
其中,该身份验证装置具体可以为验证服务器等设备,而业务系统具体可以为业务服务器等设备。
以上各个设备的具体实施可参见前面的实施例,在此不再赘述。
由上可知,本发明实施例的通信系统中的身份验证装置采用在接收到身份验证请求时,获取操作场景信息和操作基本要素,并显示该操作场景信息和操作基本要素,以供用户进行确认,在用户确认后,才接收用户发送的身份验证信息,然后在对用户身份进行验证的过程中,再次提示用户该操作场景信息和操作基本要素,从而达到提醒用户,帮助用户识别钓鱼欺骗行为的目的,使得可以很好地预防钓鱼手段,提高身份验证的有效性,以及提高用户数据的安全性。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:只读存储器(ROM,Read Only Memory)、随机存取记忆体(RAM,Random Access Memory)、磁盘或光盘等。
以上对本发明实施例所提供的一种身份验证方法、装置和系统进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。

Claims (11)

1.一种身份验证方法,其特征在于,包括:
接收业务系统发送的身份验证请求时,获取操作场景信息和操作基本要素,所述操作基本要素用于帮助用户界定一个操作是否真是自己发起的操作;
显示所述操作场景信息和操作基本要素,以供用户进行确认;
在用户确认所述操作场景信息和操作基本要素后,接收用户发送的身份验证信息;
根据所述身份验证信息对用户身份的合法性进行验证,并在验证的过程中,提示用户所述操作场景信息和操作基本要素;
发送验证结果给业务系统。
2.根据权利要求1所述的方法,其特征在于,所述接收业务系统发送的身份验证请求时,获取操作场景信息和操作基本要素,包括:
接收业务系统发送的身份验证请求,根据所述身份验证请求向业务系统获取操作场景信息和操作基本要素;或者,
接收业务系统发送的身份验证请求,所述身份验证请求中携带操作场景信息和操作基本要素。
3.根据权利要求1所述的方法,其特征在于,
所述操作场景信息包括当前操作场景下的操作名称和/或操作状态。
4.根据权利要求1所述的方法,其特征在于,所述在验证的过程中,提示用户所述操作场景信息和操作基本要素,包括:
在下发手机验证码时,提示用户所述操作场景信息和操作基本要素;和/或,
在界面上提供机器验证码时,提示用户所述操作场景信息和操作基本要素;和/或,
在提示用户输入密码时,提示用户所述操作场景信息和操作基本要素;和/或,
在提示用户确认所输入的信息时,提示用户所述操作场景信息和操作基本要素。
5.根据权利要求1至4中任一项所述的方法,其特征在于,所述提示用户所述操作场景信息和操作基本要素,包括:
通过弹窗的方式提示用户所述操作场景信息和操作基本要素,或者,
将所述操作场景信息和操作基本要素携带在消息中发送给用户。
6.一种身份验证装置,其特征在于,包括:
获取单元,用于接收业务系统发送的身份验证请求时,获取操作场景信息和操作基本要素,所述操作基本要素用于帮助用户界定一个操作是否真是自己发起的操作;
显示单元,用于显示所述操作场景信息和操作基本要素,以供用户进行确认;
接收单元,用于在用户确认所述操作场景信息和操作基本要素后,接收用户发送的身份验证信息;
验证单元,用于根据所述身份验证信息对用户身份的合法性进行验证,并在验证的过程中,提示用户所述操作场景信息和操作基本要素;
发送单元,用于发送验证结果给业务系统。
7.根据权利要求6所述的身份验证装置,其特征在于,
所述获取单元,具体用于接收业务系统发送的身份验证请求,根据所述身份验证请求向业务系统获取操作场景信息和操作基本要素;或者,
所述获取单元,具体用于接收业务系统发送的身份验证请求,所述身份验证请求中携带操作场景信息和操作基本要素。
8.根据权利要求6所述的身份验证装置,其特征在于,
所述获取单元,具体用于接收业务系统发送的身份验证请求时,获取操作场景信息和操作基本要素;所述操作场景信息包括当前操作场景下的操作名称和/或操作状态。
9.根据权利要求6所述的身份验证装置,其特征在于,所述验证单元,具体用于:
在下发手机验证码时,提示用户所述操作场景信息和操作基本要素;和/或,
在界面上提供机器验证码时,提示用户所述操作场景信息和操作基本要素;和/或,
在提示用户输入密码时,提示用户所述操作场景信息和操作基本要素;和/或,
在提示用户确认所输入的信息时,提示用户所述操作场景信息和操作基本要素。
10.根据权利要求6至9中任一项所述的身份验证装置,其特征在于,
所述验证单元,具体用于通过弹窗的方式提示用户所述操作场景信息和操作基本要素,或者,将所述操作场景信息和操作基本要素携带在消息中发送给用户。
11.一种通信系统,其特征在于,包括业务系统和权利要求6至10任一项所述的身份验证装置;
业务系统,用于发送身份验证请求给身份验证装置,并提供操作场景信息和操作基本要素给身份验证装置,以及接收身份验证装置发送的验证结果。
CN201310035457.1A 2013-01-30 2013-01-30 一种身份验证方法、装置和系统 Active CN103973644B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN201310035457.1A CN103973644B (zh) 2013-01-30 2013-01-30 一种身份验证方法、装置和系统
PCT/CN2013/087208 WO2014117563A1 (en) 2013-01-30 2013-11-15 Method, apparatus and system for user authentication
US14/201,868 US20140215592A1 (en) 2013-01-30 2014-03-09 Method, apparatus and system for user authentication

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310035457.1A CN103973644B (zh) 2013-01-30 2013-01-30 一种身份验证方法、装置和系统

Publications (2)

Publication Number Publication Date
CN103973644A CN103973644A (zh) 2014-08-06
CN103973644B true CN103973644B (zh) 2015-07-08

Family

ID=51242694

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310035457.1A Active CN103973644B (zh) 2013-01-30 2013-01-30 一种身份验证方法、装置和系统

Country Status (2)

Country Link
CN (1) CN103973644B (zh)
WO (1) WO2014117563A1 (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140215592A1 (en) * 2013-01-30 2014-07-31 Tencent Technology (Shenzhen) Company Limited Method, apparatus and system for user authentication
CN112769834B (zh) * 2016-08-30 2023-09-26 创新先进技术有限公司 身份验证系统、方法和平台
CN113592654A (zh) * 2021-08-10 2021-11-02 深圳云图科技文化有限公司 一种利用ai防止区块链加密货币转账钓鱼的方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1527528A (zh) * 2003-03-05 2004-09-08 一种通过通讯工具提供安全交易的方法
CN101025843A (zh) * 2006-02-23 2007-08-29 中国农业银行 自助金融交易系统和方法
CN101465733A (zh) * 2007-12-17 2009-06-24 彭勇 一种基于电话的身份认证方法
CN102143482A (zh) * 2011-04-13 2011-08-03 中国工商银行股份有限公司 一种手机银行客户端信息认证方法、系统及移动终端

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020174062A1 (en) * 2001-05-16 2002-11-21 Sines Randy D. Purchasing on the internet using verified order information and bank payment assurance
JP2009043012A (ja) * 2007-08-08 2009-02-26 Nippon Telegr & Teleph Corp <Ntt> 決済システム、店舗装置、決済機関装置および決済方法
CN101561956A (zh) * 2009-05-26 2009-10-21 普天信息技术研究院有限公司 信息交互的方法及系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1527528A (zh) * 2003-03-05 2004-09-08 一种通过通讯工具提供安全交易的方法
CN101025843A (zh) * 2006-02-23 2007-08-29 中国农业银行 自助金融交易系统和方法
CN101465733A (zh) * 2007-12-17 2009-06-24 彭勇 一种基于电话的身份认证方法
CN102143482A (zh) * 2011-04-13 2011-08-03 中国工商银行股份有限公司 一种手机银行客户端信息认证方法、系统及移动终端

Also Published As

Publication number Publication date
CN103973644A (zh) 2014-08-06
WO2014117563A1 (en) 2014-08-07

Similar Documents

Publication Publication Date Title
US11715086B2 (en) Data interaction method, verification terminal, server, and system
CN105933119B (zh) 一种认证方法及设备
TWI607335B (zh) 密碼重置方法、裝置和系統
CN104580125B (zh) 一种支付验证方法、装置和系统
US9942217B2 (en) System and method for generating a service provider based secure token
US20140380508A1 (en) Method and system for authenticating user identity
CN108683667B (zh) 账户保护方法、装置、系统和存储介质
WO2017157185A1 (zh) 一种账号绑定和业务处理的方法及装置
CN104408622B (zh) 基于独立密码设备实现电子交易确认的系统及方法
CN105184567B (zh) 信息的处理方法、处理装置和移动终端
CN103353973B (zh) 基于音频验证的银行业务交易认证方法及系统
CN105991519B (zh) 一种校验验证码的方法、装置及系统
CN105989485B (zh) 一种业务管理方法和装置
CN107851251A (zh) 一种支付验证方法及装置
CN111861457B (zh) 支付令牌申请方法、设备、系统和服务器
CN103345703A (zh) 基于图像验证的银行业务交易认证方法及系统
CN107358763A (zh) 一种自动取款机验证身份的方法、装置及系统
CN107169766A (zh) 一种支付环境的安全检测方法、装置及电子设备
CN107453871A (zh) 口令生成方法、口令验证方法、支付方法及装置
CN103973644B (zh) 一种身份验证方法、装置和系统
CN105591746B (zh) 一种在线绑定受理终端的处理方法以及处理系统
Park et al. A study on secure authentication system using integrated user authentication service
US20140215592A1 (en) Method, apparatus and system for user authentication
US20170206530A1 (en) Method and system for call authentication and providing reliability
CN106060791A (zh) 一种发送和获取短信验证码的方法和系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant