CN104780170A - 一种安全验证方法和装置 - Google Patents
一种安全验证方法和装置 Download PDFInfo
- Publication number
- CN104780170A CN104780170A CN201510178700.4A CN201510178700A CN104780170A CN 104780170 A CN104780170 A CN 104780170A CN 201510178700 A CN201510178700 A CN 201510178700A CN 104780170 A CN104780170 A CN 104780170A
- Authority
- CN
- China
- Prior art keywords
- user
- verification
- safety verification
- safety
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
本发明提供一种安全验证方法和装置,由用户对系统在线进行安全验证,或同时系统也能在同一过程中对用户进行验证,验证时机可以灵活选择,可通过专用客户端也可通过非专用客户端,可不提供也可提供相关信息,用户依据反馈信息、系统依据提交信息来判断是否通过验证,反馈信息可以由用户预先定义的也可是系统预先准备好的或者是动态计算出来的,自身信息提供的形式可为用户名、口令、属性、电子化或实体化标识物等。另本发明还提供了相关结果运用和安全保护方法及采用上述方法的系统。本发明提供的方法和装置,可以实现用户对系统的主动验证,防止被假冒仿冒篡改等情况下用户操作可能带来的损失和危害,也可用来验证用户从而可防止用户被冒用盗用。
Description
技术领域
本发明属于计算机领域及机电电子产品领域,尤其涉及一种安全验证方法和装置。
背景技术
互联网已经渗透到人们生活的方方面面,而相关的诈骗、偷窃也延伸到互联网上,钓鱼网站如假冒银行等与资金账号、支付账号、个人信息有关的网站充斥其中,许多人上当受骗蒙受经济损失、信息泄露。随着移动互联网和移动支付的快速发展,网上诈骗、偷窃行为也拓展到移动终端上,恶意或有陷阱的链接或内容,让许多人同样上当受骗蒙受经济损失、信息泄露,有人在手机上一点甚至仅仅是查看一下,关联账号上的钱就被骗被偷。上述只是不慎落入陷阱的情形,只要稍加小心,很多损失还是可以避免的。但如果系统被侵入篡改,或是其他用户在系统的误操作、非法操作,这时系统还是表面上合法有效甚至完全合法有效的系统,但可能给用户带来无法预计的损失,而且对于用户来说再小心也不可能避免,钱被划走了取现了一点招也没有。
现有的安全认证机制都是系统对用户进行安全验证,验证通过就可以进行各种操作,而对于系统本身,用户则没有办法对其进行安全验证。目前还没有一种用户对系统进行安全验证的机制,只能系统验证用户,而用户无法验证系统,这实际上对于所述用户来说是不公的,用户也应该能够安全中发挥积极作用,而非仅仅被动接受系统的安全措施。如果用户也应该能够对系统进行安全验证,通过安全验证的用户才能进行有效的操作或相关的操作才能得到用户的认可,这样就能够更好的保护用户安全。
发明内容
本发明的目的在于弥补当前仅有系统可以对用户进行安全验证这种单向验证的不足,提供一种全新的安全验证方法和装置,使用户可以主动验证想要访问或正在访问的系统,从而避免上当受骗或访问已被侵入篡改的系统,这样就能够更好的保护用户。
安全验证方法的技术方案如下:
由所述用户对系统在线进行安全验证,或者同时所述系统也能在同一过程中对所述用户对进行安全验证;
所述系统是即将操作或正在操作或完成操作的系统,所述用户可在登录前、登录中或登录后或者操作前、操作中或操作后进行安全验证;
所述用户可通过专用客户端且无任何其它辅助执行安全验证或者通过专用客户端形式且有工具辅助或第三方系统辅助执行安全验证或者通过非专用客户端且无任何其它辅助执行安全验证或者通过非专用客户端形式且有工具辅助或第三方系统辅助执行安全验证;
对于安全验证所述用户可不提供任何信息或需要提供自身信息或需要提供所述用户在所述系统中预先定义的验证用户名或者验证口令;
所述用户可依据所述系统的反馈信息来判断所述系统是否通过安全验证,或同时所述系统也可依据所获取的所述用户提交信息判断所述用户是否通过安全验证。
所述专用客户端可是软件、硬件或包含软件的硬件;
所述自身信息可为用户名、口令、用户属性、电子化用户标识物和/或实体化用户标识物;
所述反馈信息可是所述用户在所述系统预先定义的或者可是所述系统预先准备好的或者可是所述系统动态计算出来的,或同时所述用户还在本地预先定义了可据此判断系统是否通过安全验证的反馈信息分析模型;
所述用户提交信息可是所述用户在响应所述系统反馈信息时通过本地操作提交的,或同时所述用户还在所述系统预先定义了可据此判断所述用户是否通过安全验证的所述用户提交信息分析模型;
通过所述用户安全验证的反馈信息和/或没有通过所述用户安全验证的反馈信息可被设置为确定一种信息或可被设置为超过一种信息中任意一种或者任意多种;
通过系统安全验证的所述用户提交信息和/或没有通过系统安全验证的所述用户提交信息可被设置为确定一种信息或可被设置为超过一种信息中任意一种或者任意多种。
所述反馈信息的类型可包括字符、图片、声音、视频、数据文件、本地执行功能和/或接受本地操作;
所述用户提交信息的类型可包括字符、图片、声音、视频、数据文件、本地执行功能和/或响应所述系统反馈信息的操作;
所述用户名可为用户名称、用户ID、用户别名或其它等价用户标识名;
所述电子化用户标识物可为文件形式的数字证书或其它身份文件;
所述实体化用户标识物可为U盘形式的数字证书、其它U盘形式或存储卡形式或其它扩展卡形式的用户标识物。
上述安全验证方法的安全验证结果可以按以下方法进行运用:
所述用户不为该用户在没有通过其采用上述安全验证方法所实施的安全验证的所述系统上的操作行为授权或完全授权;
所述用户不为没有通过其采用上述安全验证方法所实施的安全验证的所述系统的非该用户操作的但涉及该用户的行为授权或完全授权;
上述所述用户不授权或不完全授权的运用方法可不与没有通过安全验证挂钩而是所述用户根据安全需要主动为之;
上述操作行为可以是先前的操作行为、后续的操作行为、按其它方法选定的部分操作行为或全部操作行为,上述不完全授权是按操作行为种类部分种类不授权或设定限制条件的其它有限授权。
可以为上述安全验证方法配套采取更加严格的安全保护措施,其技术方案是:
为设置实施采用上述安全验证方法的安全验证所需要的权限提供独立的安全保护措施或提供累加的安全保护措施,如采用专门提供的专用用户、专用口令、专用用户属性、专用电子化用户标识物、专用实体化用户标识物、专用软件、专用硬件、包括专用软件的专用硬件和/或专用网络地址集合或单一专用网络地址等。
一种实现了上述安全验证方法及相关方法的软件系统,其技术方案是:
可以采用上述安全验证方法由所述用户对所述软件系统在线进行安全验证,或同时所述软件系统也能在同一过程中对所述用户对进行安全验证;
接受上述安全验证结果运用方法承认所述软件系统没有通过所述用户采用上述安全验证方法的安全认证时所述用户在其上的操作行为是没有得到所述用户授权的或是没有得到所述用户完全授权的,或者承认所述用户不与没有通过安全验证挂钩而是根据安全需要主动不授权或不完全授权的操作行为是没有得到所述用户授权的或是没有得到所述用户完全授权的;
采用了上述安全保护方法为设置实施采用上述安全验证方法的安全验证所需要的权限提供了独立的安全保护措施或提供了累加的安全保护措施。
一种实现了上述安全验证方法及相关方法的更为广泛的系统,其技术方案是包含了上述软件系统。
与上述安全验证方法相应的安全验证装置,其技术方案是:
由所述用户对系统在线进行安全验证,或者同时所述系统也能在同一过程中对所述用户对进行安全验证;
或者在前面基础上所述系统是即将操作或正在操作或完成操作的系统,和/或所述用户是在登录前、登录中或登录后或者操作前、操作中或操作后进行安全验证,和/或所述用户是通过专用客户端且无任何其它辅助执行安全验证或者通过专用客户端形式且有工具辅助或第三方系统辅助执行安全验证或者通过非专用客户端且无任何其它辅助执行安全验证或者通过非专用客户端形式且有工具辅助或第三方系统辅助执行安全验证,和/或对于安全验证所述用户不需提供任何信息或需要提供自身信息或需要提供所述用户在所述系统中预先定义的验证用户名或者验证口令,和/或所述用户是依据所述系统的反馈信息来判断所述系统是否通过安全验证或同时所述系统也依据所接收的所述用户提交信息判断所述用户是否通过安全验证;
所述专用客户端是软件、硬件或包含软件的硬件;
所述自身信息为用户名、口令、用户属性、电子化用户标识物和/或实体化用户标识物;
所述反馈信息的类型可包括字符、图片、声音、视频、数据文件、本地执行功能和/或接受本地操作;
所述用户提交信息的类型可包括字符、图片、声音、视频、数据文件、本地执行功能和/或响应所述系统反馈信息的操作;
所述用户名可为用户名称、用户ID、用户别名或其它等价用户标识名;
所述电子化用户标识物可为文件形式的数字证书或其它身份文件;
所述实体化用户标识物可为U盘形式的数字证书、其它U盘形式或存储卡形式或其它扩展卡形式的用户标识物。
上述方法和装置的技术方案详述如下:
本安全验证方法和装置最关键的创新就是用户可主动验证所述系统,包括验证系统真伪、验证系统是否被入侵及篡改、验证系统是否合法及有效以及验证系统是否状态正常等,而非传统模式下用户只能被动接受系统的验证。由用户对系统在线进行安全验证,在线是指相对于要安全验证的系统是在线,杀毒软件也可以对各种系统进行某些方面的安全验证,但对于被安全验证的系统来说不是在线,而且这个在线验证是根据预先确定的安全验证策略配置进行的验证,而非仅仅凭肉眼或借助工具等根据其它的规则、规律去检验验证;这里的用户,是指对系统能够进行安全验证的用户,包括系统本来就有的用户,以及为进行安全验证而专门设置的验证用户(验证口令也是一种特殊的验证用户,只不过形式上采用口令的形式),还可以是无需在系统中注册、登记或备案就能对系统进行安全验证的操作用户。所述系统可以是即将操作或正在操作或完成操作的系统,这其实也是一种对于安全验证时机的一种表述,这里的系统,首先最典型的就是各种软件系统,互联网上的、内部局域网上的、单机的软件系统,包括操作系统、数据库管理系统、办公自动化系统、文字编辑及演示系统,其它基础软件、应用软件、工具软件等。由于现在微系统、片上系统、嵌入式系统相关技术日益成熟并用途日广,这类系统其实也是软件系统的一种形态,只是对于一般人来说不常见或见了也知道,当然也包括在内;其次还包括其中包含软件系统的其它系统(如计算机系统)、设备(如智能手机)和装置(如楼宇安全系统),也包括这类系统、设备和装置中包含软件系统的的组件、部件、构件,这就结合了硬件,而不是纯软件,当软件系统集成到一个设备、装置(这里含义是广义的设备、装置,可以是手持的、可移动、小型的的设备、装置,如密码锁、保险箱等,也可以是更大的设备、装置,如含片上系统的大型机械设备、智能楼宇系统等等)时其外形就是一个设备、装置,这些都涵盖在内,为了描述的文字精简这里都统称为系统,所以后文除非特别注明,系统一词均包括各种软件系统及包含软件系统的其它系统、设备和装置中包含软件系统的的组件、部件、构件等。对于需要用户登录验证的系统,验证系统的时机用户可选择在登录前、登录中或登录后进行安全验证,在登录前的话,就完全不需要提供任何信息也可以只需要部分用户信息如用户名、用户邮箱,登录中则需要用户验证过程所需的全部信息,登录后则是利用原先在登录时提供的用户验证过程所需的全部信息。对于不需要用户登录验证的系统,验证系统的时机用户可选择在操作前、操作中或操作后进行安全验证,也就是无论什么时候都行,一般不需要提供任何用户信息。为了安全验证更加准确,可以提供所述用户在所述系统中预先定义的验证用户名或者验证口令,当然这就需要用户在系统中预先定义的验证用户名或者验证口令(其实也是一种特殊的验证用户,只不过形式上为口令而已),这样便于配置个性化的安全验证策略,不与用户进行匹配的公共安全验证策略则适合于对系统本身的程序进行校验。
有时还可以允许同时系统也能在同一过程(即用户验证系统的过程)中对用户对进行安全验证,实现双向的安全验证。后文会提到系统可以在反馈中接受本地操作从而接收的用户提交信息的情况,这种情况下用户不仅可以对系统设备进行安全验证,所述系统可以同时对用户进行安全验证,这样就在验证中实现了双向交互。当前银行卡经常出现被复制的案例,危害特别严重,如果用上这种用户系统双向验证的机制,就可以大大减少甚至完全避免这种危害,因为复制卡使用者不知道合法用户预先定义的双向验证策略,不知道如何验证系统也不知道如何正确操作接受系统验证用户,这样就无法使用复制卡了。
用户主动验证所述系统,一般情况下是为了实现这样的效果:只有在系统通过用户的验证后用户后续的所有操作或后续有影响的操作才有效。具体来讲有两种安全结果运用方式:第一种是用户不为该用户在没有通过其采用上述安全验证方法所实施的安全验证的所述系统上的操作行为授权或完全授权,不授权即用户对其在这种没有通过安全验证的系统上的操作,完全不负责、完全不认账、完全不承担任何责任,这样就完全避免了自身操作可能带来的危害、损失,上述操作行为可以是先前的操作行为、后续的操作行为,以通过安全验证这个时间点为界分为先前和后续,也可是按其它方法选定的部分操作行为,比如增删改等某种种类的操作行为,按种类选择的操作行为还可以与前面的先前、后续相结合,还可以是全部操作行为。不完全授权,是指一个系统的操作行为可能有很多种,比如在数据库系统中就有查询、增删改等操作,而查询对于数据本身是没有实际影响的(除了泄密),而增删改则对数据有实际影响,在涉及资金的系统操作中也类似,对于查询操作可以放宽一些默认授权,以便于安全审计,而对于有实际影响的操作则可以要求严格一些,除非是通过安全验证的系统,否则禁止一切有影响的操作,当然不同的系统有不同的具体情况,其默认授权的操作类型和范围可以根据实际需要进行设定;上述不完全授权是根据操作行为种类部分种类不授权,也可以采用设定限制条件的其它有限授权,比如限定授权的有效时间段范围、操作的次数、操作金额的单笔最大、最小额度或总额等等,还可以限定在某个可以鉴别的硬件(如可通过MAC地址来鉴别)上、网络地址(如IP地址)上;下同。第二种是所述用户不为没有通过其采用上述安全验证方法所实施的安全验证的所述系统的非该用户操作的但涉及该用户的行为授权或完全授权。第一种是对于所述用户自身操作的限制,这里是对于其它用户涉及本用户的操作的限制。有一些黑客经常入侵一些关键系统,如银行系统、军方系统,入侵后对其中的数据进行篡改,而第二种安全结果运用方式就有效避免了这种可能,即算入侵了仍然无法取得合法用户的授权,因为没有正常的用户验证系统这一过程(除非这一过程也能够被复制才能实施有效的篡改操作)而没有办法进行授权。没有通过安全验证的系统很可能就是假冒的系统、仿冒系统、被侵入的系统、被篡改的系统、不合法的系统、无效的系统、状态不正常的系统,对于这样的系统,一般不得进行继续操作或者认为在其上的操作有效,当然一些无损利益的浏览查询可以无所谓。通过所述用户验证的系统,则所述用户可以默认对后续的操作行为授权,完全负责、完全认可、视为承认操作后果,因此通过安全验证也算是一种授权或认可的形式,这样就可以避免一些非法者跳过所述用户验证、系统(设备)验证而直接操作系统,因为这样没有所述用户的授权和认可的记录,从而堵塞了内部作案的可能性。上述所述用户不授权或不完全授权的运用方法可以不与没有通过安全验证挂钩而是所述用户根据安全需要主动为之,这样就给用户赋予与系统对等的权利,现有的系统都是系统给用户授权,而用户不能给系统设限,这样的话用户和系统的地位就不是平等的,用户显然处于弱势地位,在现实生活中,就经常出现银行客户的账户被异常操作而用户很难保护自己权利的情况,若用户也可以通过授权或不授权或不完全授权而给系统设置相应的限制的话,没有授权系统的任何操作可以不认可、不承认,这样就方便了用户的保护自己的利益,同时也方便维权。
用户可以通过专用客户端且无任何其它辅助执行安全验证或者通过专用客户端形式且有工具辅助或第三方系统辅助执行安全验证或者通过非专用客户端且无任何其它辅助执行安全验证或者通过非专用客户端形式且有工具辅助或第三方系统辅助执行安全验证。专用客户端可以是软件、硬件或包含软件的硬件。软件即程序,C/S和B/S是当前系统开发两种最流行的模式,前者通过专用客户端程序访问系统,单机版程序也算是一种特殊的C/S程序(服务器在本地),后者则是通过浏览器访问系统,没有客户端程序,浏览器是一种通用的软件,因此属于非专用客户端程序,由于现代软件越来越复杂,客户端程序有可能需要利用其它辅助程序,比如后台运行的程序(如驱动)、常住内存的程序(过去DOS时代常用,现在在片上系统中也许还有)来辅助,在WEB形式的系统中,除了利用后台运行的程序、常住内存的程序所述用户外,还有一种浏览器的扩展组件也经常被利用,比如插件、微件等,随着软件技术的发展,可能还会有其它形式的可以利用的辅助工具。除了利用一些辅助工具,也可以利用第三方系统,第三方软件系统或第三方其它系统,第三方软件系统如第三方的身份验证系统,补助所述用户和系统实现单向验证或双向验证。硬件如密码器、小键盘等,把软件集成到一定硬件载体上就是包含软件的硬件。
用户依据所述系统的反馈信息来判断所述系统是否通过安全验证,一般用户通过分析反馈信息来判断所述系统是否通过用户验证,最常用的是简单的对比,看反馈信息是否符合原先配置的信息,如果是则通过安全验证,系统是可以正常访问的正确的系统,如果不是则不能通过安全验证,不宜继续访问或不能授权后续的操作行为有效(即不对后续行为负责);复杂的则需要计算、执行动作或按要求进行操作,这些放在后面描述。验证时用户可以不需提供任何信息进行安全验证,这时可以通过相应程序或相关的辅助工具直接对系统进行安全验证,这种验证方式其反馈信息一般情况下不能自定义(除非和具体硬件进行捆绑等情况),一般用于对系统本身合法性、有效性和是否被篡改情况进行安全验证;验证也可以需要提供自身信息,这时就可以获得用户相关的反馈信息,这种验证方式适合用户自定义验证策略的情况。在系统同时也利用同一过程验证用户的情况中,系统也需要依据所接收的用户交互信息判断用户是否通过安全验证,验证过程与前面类似,只是方向相反。
自身信息提供的形式包括用户名、用户属性(如电子邮箱、联系地址、身份证号等)、电子化用户标识物、实体化用户标识物及口令或其它形态形式的标识物,在需要提供自身信息的验证模式中,可以不需要完整的所述用户信息,只需一个用户名称或邮箱或其它与验证策略配套的信息即可,关键只要能够获取验证策略所配置的反馈信息即可;通过用户安全验证的反馈信息和/或没有通过用户安全验证的反馈信息被设置为确定一种信息或被设置为超过一种信息中任意一种或者任意多种,一般建议在安全要求较高的系统中可设置为对应一种以上反馈信息,这多种信息随机出现或顺序出现,这样可以防止他人通过偷窥而破译验证策略。通过系统安全验证的所述用户提交信息和/或没有通过系统安全验证的所述用户提交信息被设置为确定一种信息或被设置为超过一种信息中任意一种或者任意多种,与上面类似,不再赘述。所述用户名可以为用户名称(易记忆的)、用户ID(不易记忆的)、用户别名(易记忆的)或其它等价用户标识名(一般为易记忆的),所述电子化用户标识物可以为计算机存储文件形式的数字证书或其它身份文件(如包含用户名及口令的计算机存储的文本文件),所述实体化用户标识物为U盘形式的数字证书、其它U盘形式或存储卡形式或其它扩展卡形式的用户标识物,电子化的数字证书固化到一个载体中就构成一个实物数字证书,也可以是将用户名及口令等信息固化到一个载体中构成其它形式的用户标识物。
反馈信息可以是用户在系统预先定义的或者是系统预先准备好的或者是系统动态计算出来的,用户预先定义反馈信息或系统预先准备好的反馈信息可以为字符、图片、声音、视频、数据文件、本地执行功能和/或接受本地操作,动态计算一般用于计算程序本身的指纹、摘要和校验码(如用MD5算法算出来的)等,也可按约定计算其它内容,只要能够进行安全验证即可。本地执行功能是指在用户端执行某种功能,比如显示文字、播放视音频(前面是通过客户端自身显示没有调用本地其它的功能),当然一般是无害的功能,如播放视音频等。同时用户还可在本地预先定义了可据此判断系统是否通过安全验证的反馈信息分析模型,这适用于本地客户端自动判断的情况。有些判断,比如预定义文字可以通过用户自行手动判断,但如果是系统指纹、摘要,一堆长长的乱码,这种情况还是通过程序自动判断比较好。当然用于验证的系统指纹、摘要事先要从安全渠道获取,并注意在系统更新升级时同步更新系统指纹、摘要。用户提交信息是用户在响应所述系统反馈信息时通过本地操作提交的,或同时用户还在系统预先定义了可据此判断用户是否通过安全验证的用户提交信息分析模型,用户提交信息的类型可包括字符、图片、声音、视频、数据文件、本地执行功能和/或响应系统反馈信息的操作;这些和反馈信息都非常类似,但有些是相应的操作,这里不再赘述。
可以为上述安全验证方法配套采取更加严格的安全保护措施,如为设置实施采用上述安全验证方法的安全验证所需要的权限提供独立的安全保护措施或提供累加的安全保护措施,独立的安全保护措施是指与现有的安全措施没有关系的专门用保护上述权限的措施,累加的安全保护措施是指在现有的安全保护措施基础上在增加专门用保护上述权限的措施,具体有专门提供的专用用户、专用口令、专用用户属性、专用电子化用户标识物、专用实体化用户标识物、专用软件、专用硬件、包括专用软件的专用硬件和/或专用网络地址集合或单一专用网络地址等。专用用户如专门用于安全验证配置的用户,专用口令如专门用于安全验证配置的口令,专用用户属性如专门用于安全验证配置的某个属性,可以是邮箱、地址、身份证号等,专用电子化用户标识物如专门用于安全验证配置的数字证书,专用实体化用户标识物如专门用于安全验证配置的U盾、U盘等,专用软件如专门用于安全验证配置的安全支持软件等,专用硬件如专门用于安全验证配置的密码器、小键盘等,包括专用软件的专用硬件如专门用于安全验证配置的小终端、智能手机等,专用网络地址集合或单一专用网络地址则是用于限制能够进行操作的设备、机器。在独立的安全保护措施下,这些专门措施是独立使用的与现有的安全手段无关,在累加的安全保护措施下,一般是先使用现有的安全手段进行验证,如通过用户验证后,再使用上述这些专门的软硬件措施。
现有的软件系统如果有验证功能的都是系统单向验证用户的软件系统,有必要进行改造,改造成一种实现了上述安全验证方法及相关方法的软件系统,这样的软件系统可以采用上述安全验证方法由用户对软件系统在线进行安全验证,或同时软件系统也能在同一过程中对用户对进行安全验证;可以接受上述安全验证结果运用方法承认软件系统没有通过用户采用上述安全验证方法的安全认证时用户在其上的操作行为是没有得到用户授权的或是没有得到用户完全授权的,或是承认用户不与没有通过安全验证挂钩而是根据安全需要主动不授权或不完全授权的操作行为是没有得到用户授权的或是没有得到用户完全授权的;可以采用上述安全保护方法为设置实施采用上述安全验证方法的安全验证所需要的权限提供了独立的安全保护措施或提供了累加的安全保护措施。当然要达到上述效果,需要对现有软件系统进行必要的调整开发,增加相应的模块,以支持上述功能的实现。
现实中还存在大量包含软件系统的各种系统(前文有详细说明这里不再重复),也有必要对其中只能进行单向验证的软件系统进行改造,这时这种包含了经上述改造的软件系统的系统也能所述用户对系统进行验证。
本发明提供安全验证方法和装置,可以通过用户主动验证系统(设备),使那些假冒仿冒网站、被篡改的系统、被非法使用的系统不能再欺骗用户,从而减少用户的损失;同时对于被验证的系统(设备)来说也增加了一种安全措施,避免被非法访问非法篡改,自身有问题或发现有假冒仿冒者均可以及时被发现。另外,还是减少复制银行卡、冒用盗用银行卡等违法犯罪发生,使得犯罪分子无法得逞,从而更好的保护用户资金的安全。
具体实施方式
实施例1
一种支持所述用户验证系统的证券网上交易系统及使用方法
对于一个现有的证券网上交易系统进行改造,使其支持用户验证系统。需要此功能的用户设有一个专门用于配置安全验证策略的验证口令,用于在系统中进行相关的设置。用户先在一个确认安全的环境进行以下登录系统并设置系统反馈信息,在用户名正确的情况下返回提示“这是我设置的验证系统通过的信息”。在访问系统时先输入正确的用户名来验证系统,系统根据其提供正确的用户名,返回提示“这是我设置的验证系统通过的信息”,所述用户依据此信息判断验证系统通过从而给后续的操作行为授权,表示完全承担操作带来的后果。一个假系统通过域名与真系统相近而等待误操作的用户上钩,用户由于打字错误结果误上了此假系统,同样先先输入正确的用户名来验证系统,假系统根据其提供的用户名,返回提示“验证系统通过”,用户发现与自己预先设置的信息不符,判断是假系统,停止操作。由于假系统也可以通过接收的用户名去验证真系统获取正确的反馈信息,因此上述系统可以进一步改进,专门设置若干用于用户安全验证系统的验证用户并配置相应的反馈信息,每个验证用户只能使用一次用完失效,这样假系统就无从利用已用过的验证用户来获取信息然后再去蒙蔽合法用户了。
对于要对系统程序本身进行安全验证的情况(即检查是否被篡改等),可以在反馈信息中增加系统指纹(根据MD5算法对服务器端程序系统结合用户信息进行计算而得,用户不同而用于验证的系统指纹不同,防止非法复制),同时用户在反馈信息中增加系统指纹种类,并在安全环境下获取该系统指纹,用户在验证系统时,系统实时计算系统指纹反馈给所述用户,用户把刚收到的系统指纹和原来保存的系统指纹进行比对,如果是则系统验证通过。假系统即算用同样的算法,因为本身程序和真系统不一样,所以计算出来的系统指纹肯定和原来保存的系统指纹对不上,所以能够判断出是假系统。由于假系统同样可以通过接收的用户名去获取真系统正确的系统指纹,因此也可以进行改进,就是通过可信的第三方系统进行对比验证,系统和用户均把自己的系统指纹交第三方系统进行对比验证,这样假系统就无从获取真系统正确的系统指纹,也就无法蒙蔽合法用户了。
实施例2
一种防止复制银行卡使用的银行系统及使用方法
对于一个现有的银行系统进行改造,使其支持用户系统双向验证。需要此功能的用户设有一个专门用于配置安全验证策略的验证口令,用于在系统中进行相关的设置。用户先在一个确认安全的环境进行以下登录系统并设置系统反馈信息,在用户名正确的情况下返回提示“这是我设置的验证系统通过的信息”并同时设置接收本地操作,该操作是一个有10个选项的多选菜单,用户设置选择1、5、7项是正确选项。该卡被正常使用时,如果碰到被犯罪复制加装了盗区银行卡信息的装置的假ATM机,所述用户一开始不知,插卡输密码开始登录系统同时验证系统,该假ATM机显示“验证系统通过”,用户发现与自己预先设置的信息不符,判断是假ATM机,停止操作。
犯罪分子通过该装置获取了该银行卡及密码信息,复制了一个卡然后到正规的ATM机取现,插卡输密码开始登录系统同时验证系统, ATM机显示“这是我设置的验证系统通过的信息”,并弹出10选项多选菜单,复制卡使用者无法选择,胡乱选择的成功率很低(成功的可能性是个小概率事件),所以不能继续操作取现。同时复制卡使用者不知道验证口令,无法查看、修改反馈信息设置,这样他复制了卡也没有用。
Claims (10)
1.一种安全验证方法,其特征在于:
由用户对系统在线进行安全验证;
或者同时所述系统也能在同一过程中对所述用户对进行安全验证。
2. 根据权利要求1所述的安全验证方法,其特征在于:
所述系统是即将操作或正在操作或完成操作的系统;
同时/或者所述用户是在登录前、登录中或登录后或者操作前、操作中或操作后进行安全验证;
同时/或者所述用户是通过专用客户端且无任何其它辅助执行安全验证或者通过专用客户端形式且有工具辅助或第三方系统辅助执行安全验证或者通过非专用客户端且无任何其它辅助执行安全验证或者通过非专用客户端形式且有工具辅助或第三方系统辅助执行安全验证;
同时/或者对于安全验证所述用户不需提供任何信息或需要提供自身信息或需要提供所述用户在所述系统中预先定义的验证用户名或者验证口令;
同时/或者所述用户是依据所述系统的反馈信息来判断所述系统是否通过安全验证或同时所述系统也依据所获取的所述用户提交信息判断所述用户是否通过安全验证。
3. 根据权利要求2所述的安全验证方法,其特征在于:
所述专用客户端是软件、硬件或包含软件的硬件;
同时/或者所述自身信息为用户名、口令、用户属性、电子化用户标识物和/或实体化用户标识物;
同时/或者所述反馈信息是所述用户在所述系统预先定义的或者是所述系统预先准备好的或者是所述系统动态计算出来的,或同时所述用户还在本地预先定义了可据此判断系统是否通过安全验证的反馈信息分析模型;
同时/或者所述用户提交信息是所述用户在响应所述系统反馈信息时通过本地操作提交的,或同时所述用户还在所述系统预先定义了可据此判断所述用户是否通过安全验证的所述用户提交信息分析模型;
同时/或者通过所述用户安全验证的反馈信息和/或没有通过所述用户安全验证的反馈信息被设置为确定一种信息或被设置为超过一种信息中任意一种或者任意多种;
同时/或者通过系统安全验证的所述用户提交信息和/或没有通过系统安全验证的所述用户提交信息被设置为确定一种信息或被设置为超过一种信息中任意一种或者任意多种。
4. 根据权利要求3所述的安全验证方法,其特征在于:
所述反馈信息的类型包括字符、图片、声音、视频、数据文件、本地执行功能和/或接受本地操作;
同时/或者所述用户提交信息的类型包括字符、图片、声音、视频、数据文件、本地执行功能和/或响应所述系统反馈信息的操作;
同时/或者所述用户名为用户名称、用户ID、用户别名或其它等价用户标识名;
同时/或者所述电子化用户标识物为文件形式的数字证书或其它身份文件;
同时/或者所述实体化用户标识物为U盘形式的数字证书、其它U盘形式或存储卡形式或其它扩展卡形式的用户标识物。
5.权利要求1、2、3或4所述的安全验证方法的安全验证结果运用方法,其特征在于:
所述用户不为该用户在没有通过其采用权利要求1、2、3或4所述的安全验证方法所实施的安全验证的所述系统上的操作行为授权或完全授权;
同时/或者所述用户不为没有通过其采用权利要求1、2、3或4所述的安全验证方法所实施的安全验证的所述系统的非该用户操作的但涉及该用户的行为授权或完全授权;
或者上述所述用户不授权或不完全授权的运用方法不与没有通过安全验证挂钩而是所述用户根据安全需要主动为之;
或者在前面基础上所述操作行为是先前的操作行为、后续的操作行为、按其它方法选定的部分操作行为或全部操作行为,和/或所述不完全授权是按操作行为种类部分种类不授权或设定限制条件的其它有限授权。
6.权利要求1、2、3或4所述的安全验证方法配套的安全保护方法,其特征在于:
为配置实施权利要求1、2、3或4所述的安全验证方法的安全验证策略提供独立的安全保护措施或提供累加的安全保护措施。
7. 根据权利要求6所述的安全保护方法,其特征在于:
所述安全保护措施为配置实施权利要求1、2、3或4所述的安全验证方法的安全验证策略而专门提供的专用用户、专用口令、专用用户属性、专用电子化用户标识物、专用实体化用户标识物、专用软件、专用硬件、包括专用软件的专用硬件和/或专用网络地址集合或单一专用网络地址。
8. 一种软件系统,其特征在于:
可以采用权利要求1、2、3或4所述的安全验证方法由所述用户对所述软件系统在线进行安全验证,或同时所述软件系统也能在同一过程中对所述用户对进行安全验证;
和/或接受权利要求5所述的安全验证结果运用方法承认所述软件系统没有通过所述用户采用权利要求1、2、3或4所述的安全验证方法的安全认证时所述用户在其上的操作行为是没有得到所述用户授权的或是没有得到所述用户完全授权的,或者承认所述用户不与没有通过安全验证挂钩而是根据安全需要主动不授权或不完全授权的操作行为是没有得到所述用户授权的或是没有得到所述用户完全授权的;
和/或采用了权利要求6或7所述的安全保护方法为配置实施权利要求1、2、3或4所述的安全验证方法的安全验证策略提供了独立的安全保护措施或提供了累加的安全保护措施。
9. 一种系统,其特征在于:
包含权利要求8所述的软件系统。
10.一种安全验证装置,其特征在于:
由所述用户对系统在线进行安全验证,或者同时所述系统也能在同一过程中对所述用户对进行安全验证;
或者在前面基础上所述系统是即将操作或正在操作或完成操作的系统,和/或所述用户是在登录前、登录中或登录后或者操作前、操作中或操作后进行安全验证,和/或所述用户是通过专用客户端且无任何其它辅助执行安全验证或者通过专用客户端形式且有工具辅助或第三方系统辅助执行安全验证或者通过非专用客户端且无任何其它辅助执行安全验证或者通过非专用客户端形式且有工具辅助或第三方系统辅助执行安全验证,和/或对于安全验证所述用户不需提供任何信息或需要提供自身信息或需要提供所述用户在所述系统中预先定义的验证用户名或者验证口令,和/或所述用户是依据所述系统的反馈信息来判断所述系统是否通过安全验证或同时所述系统也依据所获取的所述用户提交信息判断所述用户是否通过安全验证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510178700.4A CN104780170A (zh) | 2015-04-16 | 2015-04-16 | 一种安全验证方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510178700.4A CN104780170A (zh) | 2015-04-16 | 2015-04-16 | 一种安全验证方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104780170A true CN104780170A (zh) | 2015-07-15 |
Family
ID=53621414
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510178700.4A Pending CN104780170A (zh) | 2015-04-16 | 2015-04-16 | 一种安全验证方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104780170A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107911340A (zh) * | 2017-10-25 | 2018-04-13 | 平安普惠企业管理有限公司 | 应用程序的登录验证方法、装置、设备及存储介质 |
| CN108351926A (zh) * | 2015-09-30 | 2018-07-31 | F·吉斯特斯 | 通过具有模块化的结构的安全组件来验证对象或人的方法与装置 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1278333A1 (en) * | 2001-04-19 | 2003-01-22 | NTT DoCoMo, Inc. | Terminal communication system |
| CN101119196A (zh) * | 2006-08-03 | 2008-02-06 | 西安电子科技大学 | 一种双向认证方法及系统 |
| CN101136750A (zh) * | 2007-10-15 | 2008-03-05 | 胡祥义 | 一种网络实名制的实现方法 |
| CN101150407A (zh) * | 2007-10-25 | 2008-03-26 | 王松 | 基于指纹的网络身份验证方法 |
| CN101207483A (zh) * | 2006-12-20 | 2008-06-25 | 吴琛 | 一种双向双因子认证方法 |
| CN101222488A (zh) * | 2007-01-10 | 2008-07-16 | 华为技术有限公司 | 控制客户端访问网络设备的方法和网络认证服务器 |
| EP2160864B1 (en) * | 2007-06-26 | 2012-02-15 | G3-Vision Limited | Authentication system and method |
-
2015
- 2015-04-16 CN CN201510178700.4A patent/CN104780170A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1278333A1 (en) * | 2001-04-19 | 2003-01-22 | NTT DoCoMo, Inc. | Terminal communication system |
| CN101119196A (zh) * | 2006-08-03 | 2008-02-06 | 西安电子科技大学 | 一种双向认证方法及系统 |
| CN101207483A (zh) * | 2006-12-20 | 2008-06-25 | 吴琛 | 一种双向双因子认证方法 |
| CN101222488A (zh) * | 2007-01-10 | 2008-07-16 | 华为技术有限公司 | 控制客户端访问网络设备的方法和网络认证服务器 |
| EP2160864B1 (en) * | 2007-06-26 | 2012-02-15 | G3-Vision Limited | Authentication system and method |
| CN101136750A (zh) * | 2007-10-15 | 2008-03-05 | 胡祥义 | 一种网络实名制的实现方法 |
| CN101150407A (zh) * | 2007-10-25 | 2008-03-26 | 王松 | 基于指纹的网络身份验证方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108351926A (zh) * | 2015-09-30 | 2018-07-31 | F·吉斯特斯 | 通过具有模块化的结构的安全组件来验证对象或人的方法与装置 |
| CN107911340A (zh) * | 2017-10-25 | 2018-04-13 | 平安普惠企业管理有限公司 | 应用程序的登录验证方法、装置、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10567385B2 (en) | System and method for provisioning a security token | |
| US10855690B2 (en) | Management of secrets using stochastic processes | |
| US9967249B2 (en) | Distributed passcode verification system | |
| US7908645B2 (en) | System and method for fraud monitoring, detection, and tiered user authentication | |
| CA2591968C (en) | Authentication device and/or method | |
| RU2445689C2 (ru) | Способ повышения ограничения доступа к программному обеспечению | |
| CN110149328B (zh) | 接口鉴权方法、装置、设备及计算机可读存储介质 | |
| US20080216172A1 (en) | Systems, methods, and apparatus for secure transactions in trusted systems | |
| US20220201478A1 (en) | Intelligent method for sim-swap fraud detection and prevention | |
| KR20070036125A (ko) | 네트워크 보안 및 사기 탐지 시스템 및 방법 | |
| JP2017507552A (ja) | クライアント側のスコアベース認証を与える方法及び装置 | |
| US20100050268A1 (en) | Password protection system and method | |
| KR20080010003A (ko) | 통합 인터넷 보안 시스템 및 방법 | |
| EP1160648A2 (en) | Restriction method for utilization of computer file with use of biometrical information, method of logging in computer system and recording medium | |
| US20160149893A1 (en) | Strong authentication method | |
| CN104780170A (zh) | 一种安全验证方法和装置 | |
| Papaspirou et al. | Security Revisited: Honeytokens meet Google Authenticator | |
| KR101195027B1 (ko) | 서비스 보안시스템 및 그 방법 | |
| EP2479696A1 (en) | Data security | |
| KR101594315B1 (ko) | 제3자 인증을 이용한 서비스 제공 방법 및 서버 | |
| CN109284615B (zh) | 移动设备数字资源安全管理方法 | |
| KR101592475B1 (ko) | 회원제 인터넷 사이트 불법 이용 방지 시스템 | |
| KR20150146085A (ko) | 인증서를 이용한 전자거래에서의 본인확인기능을 강화한 보안 시스템 | |
| CN117240570A (zh) | 一种基于区块链的身份验证和访问控制方法 | |
| CN112615879A (zh) | 一种网络请求的处理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| EXSB | Decision made by sipo to initiate substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150715 |
|
| RJ01 | Rejection of invention patent application after publication |