具体实施方式
下面详细描述本申请的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本申请,而不能理解为对本申请的限制。相反,本申请的实施例包括落入所附加权利要求书的精神和内涵范围内的所有变化、修改和等同物。
下面参考附图描述根据本申请实施例的安全验证方法和装置。
图1是本申请一个实施例的安全验证方法的流程示意图,该方法包括:
S101:接收用户使用第一设备发送的验证请求,并根据验证请求得到第一验证信息。
其中,本实施例的执行主体可以是服务器。
第一设备可以是智能设备(例如电脑)或移动设备(例如手机或平板电脑)等。
验证请求中可以携带用户的身份信息或交易信息,例如,用户在进行登录时,可以通过第一设备向服务器发送验证请求,其中携带用户的身份信息,以进行身份验证,或者,用户在网上交易时,可以通过第一设备向服务器发送验证请求,其中携带用户的交易信息。
服务器接收到验证请求后,可以生成第一验证信息。第一验证信息可以为动态密码,或者,第一验证信息也可以为操作状态信息。操作状态信息可以是服务器根据第一设备发送的验证请求确定的,例如,用户在进行网上交易时,可以将当前交易的操作状态信息携带在验证请求中发送给服务器,服务器从验证请求中获取操作状态信息,操作状态信息例如包括交易时间、交易对方和交易金额等。
S102:向第二设备发送第一验证信息,以使第二设备根据第一验证信息获取第二验证信息。
其中,第二设备可以智能设备或非智能设备,优选的,第二设备是非智能设备,非智能设备例如非智能手机或者电子签名工具等,电子签名工具例如为key、U盾等。
需要说明的是,本申请实施例中所提及的智能设备是指能够被远程控制的设备,这类设备可能被植入木马。非智能设备是指不能被远程控制的设备,这类设备不能被植入木马,但可能丢失。
第二设备接收到服务器发送的第一验证信息时,可以根据第一验证信息得到第二验证信息,例如,当第一验证信息是动态密码时,第二验证信息可以包括该动态密码以及预设的静态密码。或者,当第一验证信息是操作状态信息时,第二验证信息包括验证结果信息,验证结果信息可以是通过或者不通过,具体的,第二设备可以根据用户的选择得到验证结果信息,例如,第二设备将操作状态信息展示给用户,由用户选择是否通过验证。
S103:接收第二设备发送的第二验证信息,并根据第二验证信息得到验证结果。
其中,可以根据第二验证信息的不同形式采用不同方式得到验证结果。例如,第二验证信息包括动态密码和静态密码时,可以将第二验证信息与预先存储的信息进行比对,比对一致通过验证,否则为不通过。或者,当第二验证信息包括验证结果信息时,服务器直接从该第二验证信息中获取验证结果。
本实施例通过第一设备发起验证请求,并根据第二设备发送的信息进行安全验证,可以实现采用隔离的双通道进行安全验证,即使第一设备被植入木马,由于依然需要第二设备的信息才能完成验证,可以提高安全验证的安全性。
图2是本申请另一个实施例的安全验证方法的流程示意图。本实施例以第一设备是电脑,第二设备是非智能手机为例,参见图2,本实施例的方法包括:
S201:用户在电脑上进行登录或者交易时,向服务器发送验证请求。
其中,在用户登录时,可以输入预设的第一静态密码,在交易时可以输入预设的第二静态密码,第一静态密码和第二静态密码可以相同或者不同。
本实施例以用户进行交易为例。在进行交易时,可以在验证请求中携带当前的操作状态信息,例如,交易时间、交易对方和交易金额等。
S202:服务器根据验证请求,得到第一验证信息。
其中,本实施例以第一验证信息是操作状态信息为例,服务器可以从验证请求中获取操作状态信息作为第一验证信息。
具体的,服务器接收到验证请求后可以首先将结果挂起,在得到之后的验证结果后再进行或不进行交易。
S203:服务器将第一验证信息发送给非智能手机。
其中,服务器可以采用短信的方式将操作状态信息发送给非智能手机。
S204:用户根据操作状态信息得到验证结果,非智能手机将验证结果发送给服务器。
例如,用户根据操作状态信息可以判断当前操作是否是自身发起的操作,如果是,可以得到验证通过的验证结果,否则为不通过。之后,如验证通过时,用户可以通过非智能手机提供功能项,如点击确认键,或者回复表明确认的短信,将验证结果发送给服务器。
S205:服务器根据非智能手机发送的验证结果,并根据验证结果向第一设备发送相应的响应消息。
例如,当验证结果是通过验证时,可以向电脑发送允许交易的响应,如果是不通过验证时,可以向电脑发送没有权限处理等信息。
本实施例中,假设通过大数据得出智能设备被植入木马的风险概率为15%,社会盗窃产生的非智能设备丢失的风险概率为5%,两者同时获得的概率为1%,由此可知该安全验证方法被破解的概率为0.15*0.05*0.01=0.000075,即0.0075%,是非常低的概率,因此可以提高安全性。
本实施例通过第一设备发起验证请求,并根据第二设备发送的信息进行安全验证,可以实现采用隔离的双通道进行安全验证,即使第一设备被植入木马,由于依然需要第二设备的信息才能完成验证,可以提高安全验证的安全性。本实施例可以应用到各种场景,以降低登陆、身份验证、数据传输的风险。本实施例由于智能设备和非智能设备被获取的概率是可以获知,因此可以定性、定量的对已实施的安全场景进行数据化的评估,实现安全部署风险计量,为风险的有效界定和部署带来依据和标准。本实施例分别采用智能设备和非智能设备作为第一设备和第二设备,可以建立智能远场平台结合非智能近场平台的方案,建立完整的认证体系。本实施例通过将操作状态信息发送给非智能手机,可以由用户进行验证,方便得到验证结果。
图3是本申请另一个实施例的安全验证方法的流程示意图。
如图3所示,该安全验证方法包括:
S301:用户在电脑上进行登录或者交易时,向服务器发送验证请求,该验证请求中携带用户标识。
其中,在用户登录时,可以输入预设的第一静态密码,在交易时可以输入预设的第二静态密码,第一静态密码和第二静态密码可以相同或者不同。
本实施例以用户进行交易为例。在进行交易时,可以在验证请求中还携带当前的操作状态信息,例如,交易时间、交易对方和交易金额等。
S302:服务器根据验证请求,得到第一验证信息。
其中,本实施例以第一验证信息是动态密码为例。服务器可以随机生成动态密码。进一步的,还可以设置动态密码的过期时间。
另外,服务器中还可以预先设置用户标识与静态密码的对应关系,当接收到验证请求后,可以根据验证请求中携带的用户标识确定保存的静态密码,并建立动态密码与静态密码的对应关系。
具体的,服务器接收到验证请求后可以首先将结果挂起,在得到之后的验证结果后再进行或不进行交易。
S303:服务器将第一验证信息发送给非智能手机。
其中,服务器可以采用短信的方式将动态密码发送给非智能手机。
S304:用户通过非智能手机将接收的动态密码与预设静态密码发送给服务器。
例如,用户在非智能手机中输入动态密码和预设的静态密码,并通过短信方式等发送给服务器。
S305:服务器根据接收的动态密码和静态密码以及预先保存的信息,判断是否通过验证。
例如,如果服务器接收到动态密码时没有过期,且接收的静态密码与自身保存的与该动态密码对应的静态密码一致,则确定通过验证,否则为未通过验证。
例如,当验证结果是通过验证时,可以允许交易,如果是不通过验证时,可以返回没有权限处理等信息。
S306:服务器根据验证结果向第一设备发送相应的响应消息。
例如,当验证结果是通过验证时,可以向电脑发送允许交易的响应,如果是不通过验证时,可以向电脑发送没有权限处理等信息。
本实施例通过第一设备发起验证请求,并根据第二设备发送的信息进行安全验证,可以实现采用隔离的双通道进行安全验证,即使第一设备被植入木马,由于依然需要第二设备的信息才能完成验证,可以提高安全验证的安全性。本实施例可以应用到各种场景,以降低登陆、身份验证、数据传输的风险。本实施例由于智能设备和非智能设备被获取的概率是可以获知,因此可以定性、定量的对已实施的安全场景进行数据化的评估,实现安全部署风险计量,为风险的有效界定和部署带来依据和标准。本实施例分别采用智能设备和非智能设备作为第一设备和第二设备,可以建立智能远场平台结合非智能近场平台的方案,建立完整的认证体系。本实施例通过将动态密码发送给非智能手机,可以降低发送给非智能手机的信息量,降低信息开销。
为了实现上述实施例,本申请还提出一种安全验证装置。
图4是本申请一个实施例提出的安全验证装置的结构示意图。如图4所示,该安全验证装置包括:第一接收模块10、生成模块20、发送模块30、第二接收模块40和验证模块50。
具体地,第一接收模块10用于接收用户使用第一设备发送的验证请求。其中,第一设备可以是智能设备(例如电脑)或移动设备(例如手机或平板电脑)等。验证请求中可以携带用户的身份信息或交易信息,例如,用户在进行登录时,可以通过第一设备向第一接收模块10发送验证请求,其中携带用户的身份信息,以进行身份验证,或者,用户在网上交易时,可以通过第一设备向服务器发送验证请求,其中携带用户的交易信息。
生成模块20用于根据验证请求生成第一验证信息。更具体地,第一接收模块10接收到验证请求后,生成模块20可以生成第一验证信息。第一验证信息可以为动态密码,或者,第一验证信息也可以为操作状态信息。操作状态信息可以是生成模块20根据第一设备发送的验证请求确定的,例如,用户在进行网上交易时,可以将当前交易的操作状态信息携带在验证请求中发送给第一接收模块10,生成模块20从验证请求中获取操作状态信息,操作状态信息例如包括交易时间、交易对方和交易金额等。
发送模块30用于向第二设备发送第一验证信息,以使第二设备根据第一验证信息获取第二验证信息。其中,第二设备可以智能设备或非智能设备,优选的,第二设备是非智能设备,非智能设备例如非智能手机或者电子签名工具等,电子签名工具例如为key、U盾等。
需要说明的是,本申请实施例中所提及的智能设备是指能够被远程控制的设备,这类设备可能被植入木马。非智能设备是指不能被远程控制的设备,这类设备不能被植入木马,但可能丢失。
第二设备接收到发送模块30发送的第一验证信息时,可以根据第一验证信息得到第二验证信息,例如,当第一验证信息是动态密码时,第二验证信息可以包括该动态密码以及预设的静态密码。或者,当第一验证信息是操作状态信息时,第二验证信息包括验证结果信息,验证结果信息可以是通过或者不通过,具体的,第二设备可以根据用户的选择得到验证结果信息,例如,第二设备将操作状态信息展示给用户,由用户选择是否通过验证。
第二接收模块40用于接收第二设备发送的第二验证信息。
验证模块50用于根据第二验证信息得到验证结果。其中,验证模块50可以根据第二验证信息的形式不同采用不同方式得到验证结果。例如,第二验证信息包括动态密码和静态密码时,可以将第二验证信息与预先存储的信息进行比对,比对一致通过验证,否则为不通过。或者,当第二验证信息包括验证结果信息时,验证模块50直接从该第二验证信息中获取验证结果。
本实施例的安全验证装置,通过第一设备发起验证请求,并根据第二设备发送的信息进行安全验证,可以实现采用隔离的双通道进行安全验证,即使第一设备被植入木马,由于依然需要第二设备的信息才能完成验证,可以提高安全验证的安全性。
在本申请的另一实施例中,以第一设备是电脑,第二设备是非智能手机为例,在用户登录时,可以输入预设的第一静态密码,在交易时可以输入预设的第二静态密码,第一静态密码和第二静态密码可以相同或者不同。
本实施例以用户进行交易为例。在进行交易时,可以在验证请求中携带当前的操作状态信息,例如,交易时间、交易对方和交易金额等。
生成模块20可以从验证请求中获取操作状态信息作为第一验证信息。第一接收模块10接收到验证请求后可以首先将结果挂起,在得到之后的验证结果后再进行或不进行交易。然后发送模块30可以采用短信的方式将操作状态信息发送给非智能手机,用户根据操作状态信息得到验证结果,非智能手机将验证结果发送给第二接收模块40。例如,用户根据操作状态信息可以判断当前操作是否是自身发起的操作,如果是,可以得到验证通过的验证结果,否则为不通过。之后,如验证通过时,用户可以通过非智能手机提供功能项,如点击确认键,或者回复表明确认的短信,将验证结果发送给第二接收模块40。
本实施例通过第一设备发起验证请求,并根据第二设备发送的信息进行安全验证,可以实现采用隔离的双通道进行安全验证,即使第一设备被植入木马,由于依然需要第二设备的信息才能完成验证,可以提高安全验证的安全性。本实施例可以应用到各种场景,以降低登陆、身份验证、数据传输的风险。本实施例由于智能设备和非智能设备被获取的概率是可以获知,因此可以定性、定量的对已实施的安全场景进行数据化的评估,实现安全部署风险计量,为风险的有效界定和部署带来依据和标准。本实施例分别采用智能设备和非智能设备作为第一设备和第二设备,可以建立智能远场平台结合非智能近场平台的方案,建立完整的认证体系。
在本申请的另一个实施例中,生成模块20还可以根据验证请求随机生成动态验证码。进一步的,生成模块20还可以设置动态密码的过期时间。另外,验证请求中可以携带用户标识,生成模块20还可以预先设置用户标识与静态密码的对应关系,当接收到验证请求后,可以根据验证请求中携带的用户标识确定保存的静态密码,并建立动态密码与静态密码的对应关系。此时,第一接收模块10接收到验证请求后可以首先将结果挂起,在得到之后的验证结果后再进行或不进行交易。然后发送模块30采用短信的方式将动态密码发送给非智能手机,用户通过非智能手机将接收的动态密码与预设静态密码发送给第二接收模块40。如果第二接收模块40接收到动态密码时没有过期,且接收的静态密码与自身保存的与该动态密码对应的静态密码一致,则验证模块50确定通过验证,否则为未通过验证。当验证结果是通过验证时,可以允许交易,并向电脑发送允许交易的响应,如果是不通过验证时,可以返回没有权限处理等信息。本实施例通过将动态密码发送给非智能手机,可以降低发送给非智能手机的信息量,降低信息开销。
需要说明的是,在本申请的描述中,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性。此外,在本申请的描述中,除非另有说明,“多个”的含义是两个或两个以上。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本申请的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本申请的实施例所属技术领域的技术人员所理解。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
在本申请的描述中,需要理解的是,术语“中心”、“纵向”、“横向”、“长度”、“宽度”、“厚度”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”“内”、“外”、“顺时针”、“逆时针”、“轴向”、“径向”、“周向”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本申请和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本申请的限制。
在本申请中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”、“固定”等术语应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或成一体;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通或两个元件的相互作用关系。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本申请中的具体含义。
在本申请中,除非另有明确的规定和限定,第一特征在第二特征“上”或“下”可以是第一和第二特征直接接触,或第一和第二特征通过中间媒介间接接触。而且,第一特征在第二特征“之上”、“上方”和“上面”可是第一特征在第二特征正上方或斜上方,或仅仅表示第一特征水平高度高于第二特征。第一特征在第二特征“之下”、“下方”和“下面”可以是第一特征在第二特征正下方或斜下方,或仅仅表示第一特征水平高度小于第二特征。
尽管上面已经示出和描述了本申请的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本申请的限制,本领域的普通技术人员在本申请的范围内可以对上述实施例进行变化、修改、替换和变型。