CN107864115B - 一种利用便携式终端进行用户账号登录验证的方法 - Google Patents
一种利用便携式终端进行用户账号登录验证的方法 Download PDFInfo
- Publication number
- CN107864115B CN107864115B CN201710295561.2A CN201710295561A CN107864115B CN 107864115 B CN107864115 B CN 107864115B CN 201710295561 A CN201710295561 A CN 201710295561A CN 107864115 B CN107864115 B CN 107864115B
- Authority
- CN
- China
- Prior art keywords
- login
- user
- mobile terminal
- portable mobile
- authentication request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/006—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3215—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a plurality of channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Power Engineering (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明提供了一种利用便携式终端进行用户账号登录验证的方法。该方法包括:生成验证请求号,将生成的验证请求号发送给便携式终端显示;获取用户在目标登录页面输入的验证请求号;判断生成的验证请求号与用户输入的验证请求号是否匹配;当生成的验证请求号与用户输入的验证请求号匹配时,发送登录验证请求至便携式终端,由用户通过便携式终端选择批准、拒绝或忽略登录验证请求;当登录验证请求被用户批准后,接收便携式终端通过不同的通信通道上传来的对应目标登录页面的用户账号登录信息;利用便携式终端上传的用户账号登录信息,通过目标登录页面登录用户账号。本发明方法提高了用户账号登录验证的安全性。
Description
技术领域
本发明涉及用户账号登录验证技术领域,特别涉及一种利用便携式终端进行用户账号登录验证的方法。
背景技术
目前,在互联网领域,对用户账号登录验证的实施方式为:用户欲登录的对象(如网站、应用程序、电子设备、智能设备等)存储每个注册用户的用户账号登录信息例如用户名和密码值等登录验证信息;用户在想要登录该对象、想要使用该对象提供的服务时在该对象的登录页面中输入用户账号登录信息。这种用户登录验证的方法存在以下问题:
用户需要记住自己在每个对象所注册的账号登录信息,增加了用户的记忆负担而且很难保证不会忘记;
用户在登录页面中输入用户账号登录信息时,用户账号登录信息容易被键盘记录器、密码暴力破解和URL钓鱼等黑客技术获得,对用户账号安全造成多种直接威胁;
每个对象必须存储用户账号登录信息,增加了敏感数据泄露的风险。
发明内容
本发明提供一种利用便携式终端进行用户账号登录验证的方法,用以提供一种安全性较高的用户账号登录验证技术。
本发明实施例提供了一种利用便携式终端进行用户账号登录验证的方法,用于第三方验证服务器,包括:
生成验证请求号,将所述生成的验证请求号发送给便携式终端显示;
获取用户在目标登录页面输入的验证请求号;
判断所述生成的验证请求号与所述用户输入的验证请求号是否匹配;
当所述生成的验证请求号与用户输入的验证请求号匹配时,发送登录验证请求至所述便携式终端,由所述用户通过所述便携式终端选择批准、拒绝或忽略所述登录验证请求;
当所述登录验证请求被用户批准后,接收所述便携式终端通过不同的通信通道上传来的对应所述目标登录页面的用户账号登录信息;
利用所述便携式终端上传的用户账号登录信息,通过所述目标登录页面登录用户账号。
在一个实施例中,所述生成验证请求号之前,还包括:
与所述便携式终端进行绑定操作,记录所述便携式终端的独特硬件标识。
在一个实施例中,所述生成验证请求号,将所述生成的验证请求号发送给便携式终端显示,包括:
按照预设刷新频率生成位数不同的验证请求号,并在每次生成一验证请求号时,将该次生成的验证请求号发送给所述便携式终端,由所述便携式终端将之前显示的验证请求号替换显示为该次发送来的验证请求号;
所述判断所述生成的验证请求号与所述用户输入的验证请求号是否匹配,包括:
判断当前移动终端显示的验证请求号与所述用户输入的验证请求号是否匹配。
在一个实施例中,所述便携式终端中存储有数据库,所述数据库对应存储有每个登录页面的标识及其用户账号登录信息;
所述当所述生成的验证请求号与用户输入的验证请求号匹配时,发送登录验证请求至所述便携式终端,包括:当用户输入的验证请求号与移动终端显示的验证请求号匹配时,生成第一登录验证请求,所述第一登录验证请求中包括所述目标登录页面的标识;将所述第一登录验证请求发送给所述便携式终端;
所述当所述登录验证请求被用户批准后,接收所述便携式终端通过不同的通信通道上传来的对应所述目标登录页面的用户账号登录信息,包括:当所述第一登录验证请求被用户批准后,接收所述便携式终端发送来的对应所述目标登录页面的用户账号登录信息;其中,所述便携式终端在所述第一登录验证请求被用户批准后,从所述第一登录验证请求中获取所述目标登录页面的标识,并在所述数据库中查找所述目标登录页面的标识对应的用户账号登录信息。
在一个实施例中,所述生成第一登录验证请求之后,包括:根据所述第一登录验证请求生成第二登录验证请求,所述第二登录验证请求包括所述目标登录页面的标识、和针对用户本次登录的特定标识ID1;
所述将所述第一登录验证请求发送给所述便携式终端,包括:将所述第二登录验证请求发送给所述便携式终端;
所述当所述登录验证请求被用户批准后,接收所述便携式终端通过不同的通信通道上传来的对应所述目标登录页面的用户账号登录信息,包括:
当第二登录验证请求被用户批准后,接收所述便携式终端上传的对应所述目标登录页面的用户账号登录信息、和特定登录标识ID2;所述特定登录标识ID2由所述便携式终端根据所述特定标识ID1生成;
所述利用所述便携式终端上传的用户账号登录信息,通过所述目标登录页面登录用户账号之前,还包括:
判断所述特定标识ID1与所述特定登录标识ID2是否匹配;
当匹配时,执行所述利用所述便携式终端上传的用户账号登录信息,通过所述目标登录页面登录用户账号的步骤。
在一个实施例中,所述生成验证请求号之前,还包括:
由通信服务器与所述便携式终端进行绑定操作、记录所述便携式终端的独特硬件标识;
所述生成验证请求号,将所述生成的验证请求号发送给便携式终端显示,包括:
由通信服务器生成所述验证请求号、将所述生成的验证请求号发送给所述便携式终端显示、建立所述生成的验证请求号与所述便携式终端的独特硬件标识之间的关联关系;第三方验证服务器获取所述通信服务器生成的验证请求号。
在一个实施例中,所述由通信服务器生成所述验证请求号、将所述生成的验证请求号发送给所述便携式终端显示、建立所述生成的验证请求号与所述便携式终端的独特硬件标识之间的关联关系,包括:由通信服务器按照预设刷新频率生成不同位数的验证请求号,并在每次生成一验证请求号时,将所述关联关系中的验证请求号替换为该次生成的验证请求号,并将该次生成的验证请求号发送给所述便携式终端,由所述便携式终端将之前显示的验证请求号替换显示为该次发送来的验证请求号;
所述判断所述生成的验证请求号与所述用户输入的验证请求号是否匹配,包括:判断所述用户输入的验证请求号与移动终端显示的验证请求号是否匹配。
在一个实施例中,所述便携式终端中存储有数据库,所述数据库对应存储有每个登录页面的标识及其用户账号登录信息;
所述当所述生成的验证请求号与所述用户输入的验证请求号匹配时,发送验证请求至所述用户的便携式终端,包括:当所述用户输入的验证请求号与移动终端显示的验证请求号匹配时,生成预置信息,所述预置信息包括所述目标登录页面的标识、所述生成的验证请求号和针对用户本次登录的特定标识ID1;将所述预置信息发送给通信服务器;由所述通信服务器生成包括所述目标登录页面的标识和所述特定标识ID1的第二登录验证请求、并根据所述生成的验证请求号和所述关联关系将所述第二登录验证请求发送给与所述生成的验证请求号关联的便携式终端;
所述当所述账号验证请求被用户批准后,接收所述便携式终端通过不同的通信通道上传的对应所述目标登录页面的用户账号登录信息,包括:当所述第二登录验证请求被批准时,接收所述便携式终端上传的对应目标登录页面的用户账号登录信息和特定登录标识ID2;其中,所述便携式终端在所述第二登录验证请求被用户批准后,根据所述目标登录页面的标识在所述数据库中查找到对应的用户账号登录信息,并根据所述特定标识ID1生成所述特定登录标识ID2;
所述利用所述便携式终端上传的用户账号登录信息,通过所述目标登录页面登录用户账号,还包括:
判断所述特定标识ID1与所述特定登录标识ID2是否匹配;
当匹配时,执行所述利用所述便携式终端上传的用户账号登录信息,通过所述目标登录页面登录用户账号的步骤。
在一个实施例中,所述利用所述便携式终端上传的用户账号登录信息,通过所述目标登录页面登录用户账号,包括:
从所述便携式终端的数据库中获取目标登录页面的网络地址;将所述用户账号登录信息直接发送到该获取到的网络地址进行登录验证;或者
由第三方验证服务器对所述用户账号登录信息进行验证,将验证结果发送给所述目标登录页面。
在一个实施例中,所述发送登录验证请求至所述用户的便携式终端的同时、之前或之后,还包括:
在所述目标登录页面显示反欺骗图案或单词;
将所述反欺骗图案或单词发送给所述便携式终端显示。
在一个实施例中,所述当所述登录验证请求被用户批准后,接收所述便携式终端通过不同的通信通道上传来的对应所述目标登录页面的用户账号登录信息,包括:
当所述登录验证请求被用户批准后,接收所述便携式终端发送来的数字签名后的登录验证请求批准;其中,便携式终端利用私有密钥对登录验证请求批准进行数字签名;所述登录验证请求批准中包括所述便携式终端收到的所述登录验证请求内的原始信息、随机安全码、所述私有密钥对应的公共密钥以及数字签名时间;所述私有密钥和公共密钥通过如下方式生成:首先将目标登录页面网址中的域名部分、便携式终端中保存的用户全局固定ID作为单向散列函数的输入参数进行计算,得到密钥生成种子;然后,将密钥生成种子作为密钥对儿生成参数,通过公私密钥对儿生成算法获得所述私有密钥和公共密钥;
利用所述私有密钥对应的公共密钥,对所述数据签名后的登录验证请求批准进行真实性检验;
当通过真实性检验时,执行所述利用所述便携式终端上传的用户账号登录信息,通过所述目标登录页面登录用户账号的步骤。
在一个实施例中,所述便携式终端包括具有绑定关系的至少两个设备;
所述将所述生成的验证请求号发送给便携式终端显示,包括:将所述生成的验证请求号发送给所述具有绑定关系的至少两个设备显示;
所述发送登录验证请求至所述便携式终端,包括:将登录验证请求发送给所述具有绑定关系的至少两个设备。
本发明实施例还提供了一种利用便携式终端进行用户登录验证的方法,用于便携式终端,包括:
接收服务器发送来的验证请求号,并显示所述验证请求号,所述服务器包括通信服务器或者第三方验证服务器;
接收所述服务器发送来的登录验证请求,并显示所述登录验证请求供用户选择批准、拒绝或忽略;
当所述登录验证请求被批准时,从自身存储的数据库中获取对应所述目标登录页面的用户账号登录信息,所述数据库对应存储有每个登录页面的标识及其用户账号登录信息;
将对应所述目标登录页面的用户账号登录信息上传。
在一个实施例中,所述将对应所述目标登录页面的用户账号登录信息上传,包括:
将对应所述目标登录页面的用户账号登录信息上传给所述第三方验证服务器;或者
将目标登录页面网址中的域名部分、便携式终端中保存的用户全局固定ID作为单向散列函数的输入参数进行计算,得到密钥生成种子;然后,将密钥生成种子作为密钥对儿生成参数,通过公私密钥对儿生成算法获得私有密钥和公共密钥;利用所述私有密钥对登录验证请求批准进行数字签名;将数字签名后的登录验证请求批准发送给第三方验证服务器;所述登录验证请求批准中包括所述便携式终端收到的所述登录验证请求内的原始信息、随机安全码、所述私有密钥对应的公共密钥以及数字签名时间。
本发明实施例提供的上述方法,从便携式终端中获取用户账号登录信息,代替了现有技术中用户向登录页面直接输入用户账号登录信息,不需要用户记住自己在目标登录对象的用户账号登录信息,减轻了用户的记忆负担,简化了用户的登录操作,用户体验较好;用户不需要在登录页面中输入用户账号登录信息,因而可以有效防止键盘记录器、密码暴力破解和URL钓鱼等黑客技术获得用户账号登录信息,有效地增强了对用户敏感信息的保护;用户账号登录信息不必存储在目标登录对象的数据库中,降低了用户账号登录信息泄露的风险;是一种非常不同于现行的,安全性极高的用户账号登录验证技术。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1A为本发明实施例中一种利用便携式终端进行用户账号登录验证的系统结构图;
图1B为本发明实施例中另一种利用便携式终端进行用户账号登录验证的系统结构图;
图2为本发明实施例一中一种利用便携式终端进行用户账号登录验证的方法流程图;
图3为本发明实施例一中另一种利用便携式终端进行用户账号登录验证的方法流程图;
图4为本发明实施例一中再一种利用便携式终端进行用户账号登录验证的方法流程图;
图5为本发明实施例一中又一种利用便携式终端进行用户账号登录验证的方法流程图;
图6为本发明实施例一中又一种利用便携式终端进行用户账号登录验证的方法流程图;
图7为本发明实施例一中又一种利用便携式终端进行用户账号登录验证的方法流程图;
图8A、8B为本发明实施例一中又两种利用便携式终端进行用户账号登录验证的方法流程图。
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
本发明实施例提供了一种利用便携式终端进行用户登录验证的技术。用于实施该技术的系统包括第三方验证服务器、目标登录对象的主机、目标登录对象的登录页面(即目标登录页面)、便携式终端,如图1A所示;或者,该系统包括第三方验证服务器、目标登录对象的主机、目标登录页面、便携式终端、和用于承担验证服务器与便携式终端之间通信任务的通信服务器,如图1B所示。本发明实施例所述的便携式终端可以是但不限于智能手机、智能手表、平板电脑、或类似设备。本发明实施例所述的目标登录对象是指用户想要登录到的对象,可以是网站、网页、客户端、应用程序、移动应用、硬件设备等需要用户登录到自己的账号后才能使用的对象。
本发明实施例提供的上述技术中,从便携式终端中获取用户账号登录信息,代替了现有技术中用户向登录页面直接输入用户账号登录信息,不需要用户记住自己在目标登录对象的用户账号登录信息,减轻了用户的记忆负担,简化了用户的登录操作,用户体验较好;用户不需要在登录页面中输入用户账号登录信息,因而可以有效防止键盘记录器、密码暴力破解和URL钓鱼等黑客技术获得用户账号登录信息,有效地增强了对用户敏感信息的保护;用户账号登录信息不必存储在目标登录对象的数据库中,降低了用户账号登录信息泄露的风险;是一种非常不同于现行的,安全性极高的用户账号登录验证技术。
下面按照方法的执行主体的不同,来通过几个实施例来对本发明实施例提供的利用便携式终端进行用户账号登录验证的技术进行说明。但这几个实施例的方法是一个整体,共同构成了上述技术。这几个实施例中对于同一技术点的解释说明可在不同的实施方案中通用。
需要说明的是,本发明实施例提供的方法,可与现行的用户账号登录验证方法兼容共用。例如:目标登录页面上可设置传统的用户账号登录信息的输入框,也可以同时设置本发明方法的启动选项;用户可以选择在输入框输入用户账号登录信息来登录到目标登录对象,也可以选择启动选项来启动本发明方法来进行用户账号登录验证。
实施例一、用于第三方验证服务器的方法
如图2所示,本发明实施例提供了一种利用便携式终端进行用户账号登录验证的方法,用于第三方验证服务器,包括:
步骤S11、生成验证请求号,将生成的验证请求号发送给便携式终端显示。
验证请求号可以是通过随机生成的数字。随机生成方式能够有效避免生成的验证请求号被预测的可能性;当然,也可以利用一些相对安全的算法来生成。
用户通过便携式终端便可以得知生成的验证请求号。
步骤S12、获取用户在目标登录页面输入的验证请求号。
由于用户通过便携式终端可以得知便携式终端所显示的验证请求号,因此,用户在目标登录页面中输入的验证请求号与步骤S11生成的验证请求号会是匹配的。如果非法用户想要登录别人的账号,由于非法用户不容易得到别人的便携式终端,因此,非法用户无法得知步骤S11生成的验证请求号,从而无法通过以下步骤S13的匹配判断,因而无法发送验证请求,也因此无法冒用他人的账号。
步骤S13、判断生成的验证请求号与用户输入的验证请求号是否匹配。
本文中,判断所述生成的验证请求号与所述用户输入的验证请求号是否匹配,等同于判断便携式终端显示的验证请求号与用户输入的验证请求号是否匹配。
步骤S14、当生成的验证请求号与用户输入的验证请求号匹配时,发送登录验证请求至便携式终端,由用户通过便携式终端选择批准、拒绝或忽略登录验证请求。
步骤S15、当账号验证请求被用户批准时,接收便携式终端通过不同的通信通道上传来的对应目标登录页面的用户账号登录信息。
当登录验证请求被用户忽略时,结束流程,不继续执行后续步骤。
当登录验证请求被用户拒绝时,整个流程与用户批准验证请求是一致的,只是验证请求批准答复的内容不含正确的用户账号登录信息,因此用户在最终的目标登录页面会看到登录失败的信息。
步骤S16、利用所述便携式终端上传的用户账号登录信息,通过所述目标登录页面登录用户账号。
上述方法中,设置了至少三道安全防护措施,第一道措施是验证用户输入的验证请求号与生成的验证请求号是否匹配,如果匹配,进入第二道措施;第二道措施是通过便携式终端询问用户是否批准登录验证请求,如果批准,进入第三道措施;第三道措施是从便携式终端获取用户账号登录信息,来代替用户向登录页面直接输入用户账号登录信息。这里需要特别指出,第三道措施是通过与用户登录所用的不同的通信通道来完成的,因此进一步保护了用户账号登录信息不会外露,即使在用户所用的登录设备本身或其网络链接已被第三方监控的前提下。
优选的,如图3所示,在生成验证请求号之前,还可包括步骤S10:与便携式终端进行绑定操作,记录便携式终端的独特硬件标识。
优选的,如图4所示,步骤S11“生成验证请求号,将生成的验证请求号发送给便携式终端显示”可实施为如下步骤S110:
步骤S110、按照预设刷新频率生成位数(即字符数目)不同的验证请求号,并在每次生成一验证请求号时,将该次生成的验证请求号发送给便携式终端,由便携式终端将之前显示的验证请求号替换显示为该次发送来的验证请求号;
此时,步骤S13“判断生成的验证请求号与用户输入的验证请求号是否匹配”可实施为步骤S130:判断输入的验证请求号与移动终端当前显示的验证请求号是否匹配。
其中,预设刷新频率可以任意设定;也可根据当前生成的验证请求号的位数来设定,当前生成的验证请求号的位数越多,接下来所要使用的预设刷新频率越低;位数越少,接下来所要使用的预设刷新频率越高。这样组合是考虑到位数越多的验证请求号越难被第三方猜测或尝试,因此,低刷新频率可以节省通信与运算资源;位数少的验证请求号更易输入和操作但也更容易被第三方猜测或尝试。因此,位数少的验证码需要更频繁的刷新来使其更难预测。每次生成的验证请求号的位数可以进行变化,位数可维持在一定数目范围内,例如5位到10位之间,能进一步降低生成的验证请求号被预测的几率。例如,第N1次生成的验证请求号为“267”,是三位数字,则接下来可按照预设刷新频率例如20秒来重新生成验证请求号并发送给便携式终端进行刷新;假设重新生成的验证请求号为“4598”,是四位数字,则接下来可按照预设刷新频率例如60秒来重新生成验证请求号并发送给便携式终端进行刷新。
优选的,便携式终端中存储有数据库,数据库对应存储有每个登录页面的标识及其用户账号登录信息;登录页面的标识可以是登录页面的名称、网络地址等任意一项唯一标识或者多项唯一标识,用来唯一的标志。
此时,如图5所示,步骤S14“当户输入的验证请求号与移动终端当前显示的验证请求号匹配时,发送验证请求至便携式终端”可实施为步骤S140:
当用户输入的验证请求号与移动终端当前显示的验证请求号匹配时,生成第一登录验证请求,第一登录验证请求中包括目标登录页面的标识;将第一登录验证请求发送给便携式终端。
相应地,步骤S15“当登录验证请求被用户批准后,接收便携式终端通过不同的通信通道上传来的对应目标登录页面的用户账号登录信息”可实施为步骤S151:
步骤S151、当第一登录验证请求被批准时,接收便携式终端发送来的对应目标登录页面的用户账号登录信息;其中,便携式终端在第一登录验证请求被用户批准后,从第一登录验证请求中获取目标登录页面的标识,并在数据库中查找目标登录页面的标识对应的用户账号登录信息。
优选的,如图6所示,生成第一登录验证请求之后,还可以:根据第一登录验证请求生成第二登录验证请求,第二登录验证请求括目标登录页面的标识、和针对用户本次登录的特定标识ID1;
对应地,将第一登录验证请求发送给便携式终端,实施为:将第二登录验证请求发送给便携式终端(对应图6中的步骤S141);
此时,步骤S15可实施为步骤S1510:当第二登录验证请求被用户批准后,接收便携式终端上传的对应目标登录页面的用户账号登录信息、和特定登录标识ID2;特定登录标识ID2由便携式终端根据特定标识ID1生成;
相应地,步骤S16之前,还可以包括步骤S17:
步骤S17、判断特定标识ID1与特定登录标识ID2是否匹配;当匹配时,才继续执行步骤S16;当不匹配时,结束流程。增加了特定标识ID1与特定登录标识ID2的匹配步骤,进一步提高了安全性。
优选的,如图7所示,执行步骤S11之前,还可包括步骤S09:
由通信服务器与便携式终端进行绑定操作、记录便携式终端的独特硬件标识;
此时,步骤S11“生成验证请求号,将生成的验证请求号发送给便携式终端显示”可实施为步骤S111-S112:
步骤S111、由通信服务器生成验证请求号、将生成的验证请求号发送给便携式终端显示、建立生成的验证请求号与便携式终端的独特硬件标识之间的关联关系;
其中,通信服务器生成验证请求号,可以是利用随机数生成器和硬件随机信号种子来生成的。
步骤S112、获取通信服务器生成的验证请求号。
优选地,步骤S111可实施为:由通信服务器按照预设刷新频率生成不同的验证请求号,并在每次生成一验证请求号时,将关联关系中的验证请求号替换为该次生成的验证请求号,并将该次生成的验证请求号发送给便携式终端,由便携式终端将之前显示的验证请求号替换显示为该次发送来的验证请求号;
此时,步骤S112可实施为:在通信服务器每次生成一验证请求号时,获取该次生成的验证请求号;
此时,步骤S13“判断生成的验证请求号与用户输入的验证请求号是否匹配”可实施为:判断用户输入的验证请求号与移动终端当前显示的验证请求号是否匹配。
预设刷新频率同前述,这里不再赘述。
优选的,再如图7所示,便携式终端中可存储有数据库,数据库对应存储有每个登录页面的标识及其用户账号登录信息;
此时,步骤S14“当用户输入的验证请求号与移动终端当前显示的验证请求号匹配时,发送验证请求至便携式终端”可实施为步骤S141-S143:
步骤S141、当用户输入的验证请求号与移动终端当前显示的验证请求号匹配时,生成预置信息,预置信息中包括目标登录页面的标识、生成的验证请求号和针对用户本次登录的特定标识ID1;步骤S142、将预置信息发送给通信服务器;步骤S143、由通信服务器生成包括目标登录页面的标识和特定标识ID1的第二登录验证请求、并根据生成的验证请求号和关联关系将第二登录验证请求发送给与生成的验证请求号关联的便携式终端;
相应地,步骤S15“当登录验证请求被用户批准时,接收便携式终端通过不同的通信通道上传的对应目标登录页面的用户账号登录信息”可实施为步骤S153:
步骤S153、当第二登录验证请求被批准时,接收便携式终端上传的对应目标登录页面的用户账号登录信息和特定登录标识ID2;其中,便携式终端在第二登录验证请求被用户批准后,根据目标登录页面的标识在数据库中查找到对应的用户账号登录信息,并根据特定标识ID1生成特定登录标识ID2;
相应地,步骤S16之前,还可以包括步骤S171:
步骤S171、判断特定标识ID1与特定登录标识ID2是否匹配;当匹配时,才继续执行步骤S16。
优选的,步骤S16“利用所述便携式终端上传的用户账号登录信息,通过所述目标登录页面登录用户账号”可实施为如下任一种方式:
方式一、如图8A所示,实施为步骤S161:从便携式终端的数据库中获取目标登录页面的网络地址;将用户账号登录信息直接发送到该获取到的网络地址进行登录验证。其中,可以是便携式终端从自身的数据库中获取目标登录页面的网络地址后,便携式终端将用户账号登录信息直接发送到该获取到的网络地址进行登录验证。也可以是第三方验证服务器从便携式终端的数据库中获取目标登录页面的网络地址后,第三方验证服务器将用户账号登录验证结果发送到该获取到的网络地址进行用户登录,省去了目标登录对象自己需要验证登录批准的步骤。该方式一同样适用于图7中的步骤S16,图未示出。这种方式中,是将用户账号登录信息发送到数据库中存储的目标登录页面的网络地址,通常,数据库中存储的该网络地址是目标登录页面的合法地址,因此利用该方法,最后只有目标登录页面的合法地址能获取到用户账号登录信息,其他地址无法获取到,可有效避免第三方以误导或其他方式非法窃取用户账号登录信息,从本质上提高了网络商务的安全性。
方式二、如图8B所示,实施为步骤S162:步骤S162、由第三方验证服务器对用户账号登录信息进行验证,将验证结果发送给目标登录页面。该方式二同样适用于图7中的步骤S16,图未示出。这种方式中,目标登录对象的主机不用存储每个用户的用户账号登录信息,可降低用户账号登录信息泄露的风险,增强用户信息的安全性。
上述方法中,通信服务器可承载任何一个第三方验证服务器与便携式终端之间的通信功能,其存在的主要目的是保证登录验证请求能够被及时地发送到正确的移动终端。通信服务器不参与登录批准的发送与验证过程,因此即使通信服务器被攻破,用户的账号登录与信息仍然不会遭到安全威胁,因为通信服务器本身不会获得也不处理用户账号登录信息。
优选的,在执行步骤S14的“发送登录验证请求至用户的便携式终端”的同时、之前或之后,还可以:
在所述目标登录页面显示反欺骗图案或单词;
将反欺骗图案或单词发送给便携式终端显示。
便携式终端的用户可比对目标登录页面显示出的反欺骗图案或单词与便携式终端显示出的反欺骗图案或单词是否匹配,如果匹配,则用户可以在后续过程中批准登录验证请求;如果不一致,则用户可以拒绝或忽略登录验证请求,相当于又增加了一道防护屏障,从而进一步增加了安全性。
优选的,目标登录页面输出的反欺骗图案或单词(简称第一信息)与发送给便携式终端的反欺骗图案或单词(简称第二信息)之间有某种关联关系,例如第一信息和第二信息能拼接为一幅完整的图案;此时,用户只需要判断第一信息和第二信息是否能拼接为一幅完整的图案即可,如果能,则用户可以批准登录验证请求,否则拒绝或忽略。
或者,优选的,目标登录页面输出的反欺骗图案与发送给便携式终端的反欺骗图案是同一幅或同一类图案,此时,用户只需要判断目标登录页面输出的反欺骗图案与便携式终端显示的反欺骗图案是否是同一个或同一类图案即可,如果是,则用户可以批准登录验证请求,否则拒绝或忽略。进一步地,反欺骗图案或单词可以是用户预先提交的图案或单词;此时,即使用户判定目标登录页面输出的反欺骗图案或单词与便携式终端显示的反欺骗图案或单词是相同的,但如果不是用户预先提交的图案或单词,则用户可拒绝或忽略登录验证请求;如果是用户预先提交的图案或单词,则用户可批准登录验证请求。此种方法,由于第三方很难知道用户预先提交的图案或单词是什么样的,因此,降低了非法第三方成功误导用户的可能性,进一步提高了系统整体安全性。
在一个实施例中,步骤S15“当登录验证请求被用户批准后,接收便携式终端通过不同的通信通道上传来的对应目标登录页面的用户账号登录信息”,可实施为如下步骤H1-H3:
步骤H1、当登录验证请求被用户批准后,接收便携式终端发送来的数字签名后的登录验证请求批准。
其中,便携式终端利用私有密钥对登录验证请求批准进行数字签名。登录验证请求批准中包括便携式终端收到的登录验证请求内的原始信息、随机安全码、所述私有密钥对应的公共密钥(该公共密钥可视为用户在目标登录对象的识别ID或账号)以及数字签名时间。密钥通过如下方式生成:首先将目标登录页面网址中的域名部分、便携式终端中保存的用户全局固定ID作为单向散列函数(SHA1或MD5等)的输入参数进行计算,得到密钥生成种子;然后,将密钥生成种子作为密钥对儿生成参数,通过公私密钥对儿生成算法获得前述私有密钥和公共密钥。公私密钥对儿生成算法可以是椭圆曲线密钥对儿生成算法,也可以是包括RSA在内的其它密钥对儿生成算法。
其中,前述私有密钥和前述公共密钥可由便携式终端生成,其中私有密钥由便携式终端单独存储,而且在任何使用条件下都不会发送给其他终端或者服务器或任何其他设备(例如第三方验证服务器或者通信服务器),以此保证了它不会被他人或第三方窃取;公共密钥由便携式终端上传给第三方验证服务器或目标登录对象。利用单向散列函數(SHA1或MD5等)采用上述方法得到密钥生成种子,可以有效防止通过用户在网站A的注册ID导出该用户在网站B的注册ID。
其中,数字签名时,可以是使用椭圆曲线数字签名算法,这是因为寻找特定椭圆曲线公共和私有密钥对的计算成本要比其他算法低,也更易于实现。但其他类似数字签名算法(包括基于RSA的签名算法)也适用本发明。
其中,用户全局固定ID可以是预先随机生成,用来唯一标识用户。
步骤H2、利用私有密钥对应的公共密钥,对数据签名后的登录验证请求批准进行真实性检验。
进行真实性验证的过程如下:当目标登录对象或第三方验证服务器收到便携式终端上传的登录验证请求批准后,首先查找预先存储的公共密钥库中,是否存在与登录验证请求批准内的公共密钥所匹配的公共密钥;如果存在,则利用查找到的公共密钥对登录验证请求批准的数字签名进行核实。数字签名的核实算法可以是上面提到的基于椭圆曲线的数字签名算法,也可以是类似的包括基于RSA的数字签名算法。
如果对登录验证请求批准的数字签名核实失败,放弃下面的继续核实步骤,转而执行用户登录失败的步骤并由目标登录页面显示登录无效信息。
如果对登录验证请求批准的数字签名核实成功,目标登录对象或第三方验证服务器会检验用户的数字签名时间与当前时间是否相吻合,吻合的条件可以是满足一定的关系,例如数字签名时间在当前时间之前、并且数字签名时间与当前时间之间的时间差距在预设差距范围内(即时间差距不能太大);如果相吻合,则继续核实登录验证请求批准中所包括的登录验证请求内的原始信息、随机安全码,是否与之前发送给便携式终端的登录验证请求中的对应信息相吻合。如果有任一项信息不吻合,则未通过真实性验证,执行用户登录失败的步骤并由目标登录页面显示登录无效信息;如果全部吻合,则通过真实性验证。
步骤H3、当通过真实性检验时,执行步骤S16“利用便携式终端上传的用户账号登录信息,通过目标登录页面登录用户账号”。
上述方法,因为每一个登录页面对应的密钥对儿中的公共密钥,是根据登录页面网址中的域名部分结合用户全局固定ID生成的,该公共密钥可视为用户在目标登录对象的识别ID或账号,因此,可视为用户在每个目标登录对象的识别ID或账号是不一样的,因此可以有效地防止用户的网络行踪被跟踪从而保护用户的隐私。并且,登录验证请求批准中所包括的登录验证请求中的原始信息、随机安全码以及数字签名时间都是不重复的,从而有效的防止用户的登录验证请求批准被偷录然后通过重放来非法登录用户账号。
优选的,便携式终端可以是具有绑定关系的至少两个设备;例如绑定的手机和智能手表。
此时,步骤S11中的“将生成的验证请求号发送给便携式终端显示”可实施为:将生成的验证请求号发送给上述具有绑定关系的至少两个设备显示。这样,用户可向目标登录页面输入自己在任何一个设备上看到的验证请求号,方便用户获取验证请求号。
相应地,步骤S14中的“发送验证请求至便携式终端”可实施为:将登录验证请求发送给上述具有绑定关系的至少两个设备。
其中,上述具有绑定关系的至少两个设备中,针对同一个登录页面,每个设备的数据库中只存储其用户账号登录信息中的一部分,每个设备所存储那部分用户账号登录信息不重叠、不重复;所有设备各自所存储的同一个登录页面的部分用户账号登录信息,共同构成该同一个登录页面的完整的用户账号登录信息。从安全上考虑,用户账号登录信息不是重复地存储在每一个设备中,而是分段存储在不同的设备上,因此,要求所有绑定的设备必须同时存在才能完成用户登录认证;窃取绑定设备中的任一设备都不会得到完整或有效的用户账号登录信息,这种通过分散数据存储的方式保障一个绑定设备的丢失不会直接造成用户数据的丢失。
或者,优选地,便携式终端包括具有绑定关系的N个便携式终端,此时,步骤S11中的“将生成的验证请求号发送给便携式终端显示”可实施为:将生成的验证请求号分成N个部分,建立N个部分与N个便携式终端之间的一一对应关系,将每个部分发送给对应的便携式终端显示。例如当生成的验证请求号是6位的字符“123456”时,可按照字符从前往后的排列顺序,将该字符分成两个部分为第一部分“123”和第二部分“456”,建立第一部分“123”与手机的对应关系、建立第二部分“456”与智能手表的对应关系;将第一部分“123”发送给手机显示,将第二部分“456”发送给智能手表显示。
另外,在将每个部分发送给对应的便携式终端时,还可以同时将该部分在验证请求号中的排列位置发送给对应的便携式终端、或者任一个便携式终端显示,使得用户知道在向目标登录页面输入每个便携式终端显示的部分验证码时,应该以什么样的顺序输入,例如将第一部分“123”发送给手机显示的同时,将该部分在验证请求号的排列位置“第一部分”发送给手机显示;将第二部分“456”发送给智能手表显示的同时,将该部分在验证请求号的排列位置“第二部分”发送给智能手表显示;用户查看到手机和智能手表上显示的上述信息之后,向登录页面输入“123456”。或者,还可以预先设定不同排列位置的部分验证码与N个便携式终端之间的对应关系(可以是用户设定的,也可以是系统设定的;如果是系统设定的,系统需要预先告知用户该对应关系、或者在发送前述部分验证码的同时将该对应关系发送给N个便携式终端中的任一个或多个,使用户得知该对应关系),在按照字符从前往后的排列顺序将验证请求号分成N个部分之后,按照预先设定的上述对应关系,将每部分验证码发送给对应的便携式终端;后续,用户根据上述对应关系、和自己所看到的每个便携式终端上显示的部分验证码,按顺序向目标登录页面输入每部分验证码。
相应地,步骤S14中的“发送登录验证请求至便携式终端”可实施为:将登录验证请求发送给N个便携式终端中的任一个或多个便携式终端;这样,用户可在接收到登录验证请求的便携式终端上,对登录验证请求进行批准、拒绝或忽略操作;当接收到登录验证请求的便携式终端有多个时,只要有一个便携式终端接收到用户的批准、拒绝或忽略操作,该便携式终端接收到的用户操作将结果便可认为是最终的用户操作结果,该便携式终端可将该用户操作结果发送给其他便携式终端,其他便携式终端根据该用户操作结果判定登录验证请求是被批准了还是被拒绝了,继而进行后续操作。
相应地,步骤S15中“接收便携式终端通过不同的通信通道上传来的对应目标登录页面的用户账号登录信息”可实施为:从N个便携式终端中的任一个或多个便携式终端获取对应目标登录页面的用户账号登录信息。其中,N个便携式终端各自的数据库均相同,即存储有目标登录页面的标识及其用户账号登录信息;此时,只要从任一个便携式终端获取对应目标登录页面的用户账号登录信息即可;这样做的好处是如果用户丢失了某个便携式终端,还可以有其他便携式终端来提供服务,方便用户使用。或者,每个便携式终端的数据库中存储有目标登录页面的标识及其用户账号登录信息,此时,需要从存储有相关数据的那个便携式终端获取。
实施例二、用于便携式终端的方法
本发明实施例还提供了一种利用便携式终端进行用户登录验证的方法,用于便携式终端,与前述实施例一的方法对应。该种方法中,便携式终端中存储有数据库,数据库对应存储有每个登录页面的标识及其用户账号登录信息,该方法包括如下步骤E1-E4:
步骤E1、接收服务器发送来的验证请求号,并显示验证请求号,服务器包括通信服务器或者第三方验证服务器。
其中,当便携式终端只有一个时,所接收到的验证码是前述生成的验证请求号;当便携式终端有多个绑定的便携式终端时,每个便携式终端所接收到的验证请求号是生成的验证请求号的一部分。详见前述实施例一中关于N个便携式终端的相关描述。
步骤E2、接收服务器发送来的登录验证请求,并显示登录验证请求供用户选择批准、拒绝或忽略。
其中,当服务器是第三方验证服务器时,验证请求为前述实施例一中的第一验证请求或第二验证请求;当服务器是通信服务器时,验证请求为前述实施例一中的第二验证请求。
步骤E3、当登录验证请求被批准时,从自身存储的数据库中获取对应目标登录页面的用户账号登录信息,数据库对应存储有每个登录页面的标识及其用户账号登录信息。
其中,当接收到验证请求的便携式终端有多个时,只要有一个便携式终端接收到用户的批准、拒绝或忽略操作,该便携式终端接收到的用户操作将结果便可认为是最终的用户操作结果,该便携式终端可将该用户操作结果发送给其他便携式终端,其他便携式终端根据该用户操作结果判定验证请求是被批准了还是被拒绝了,继而进行后续操作。
步骤E4、将对应目标登录页面的用户账号登录信息上传。
在一个实施例中,步骤E4“将对应目标登录页面的用户账号登录信息上传”,可实施为以下方式A或方式B:
方式A、将对应所述目标登录页面的用户账号登录信息上传给所述第三方验证服务器。
方式B、将目标登录页面网址中的域名部分、便携式终端中保存的用户全局固定ID作为单向散列函数的输入参数进行计算,得到密钥生成种子;然后,将密钥生成种子作为密钥对儿生成参数,通过公私密钥对儿生成算法获得所述私有密钥和公共密钥;利用私有密钥对登录验证请求批准进行数字签名;将数字签名后的登录验证请求批准发送给第三方验证服务器;所述登录验证请求批准中包括所述便携式终端收到的所述登录验证请求内的原始信息、随机安全码、私有密钥对应的公共密钥以及数字签名时间。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种利用便携式移动终端进行用户账号登录验证的方法,用于第三方验证服务器,其特征在于,包括:
获取预先生成的验证请求号,将所述预先生成的验证请求号发送给便携式移动终端显示;
获取用户在目标登录页面输入的验证请求号;
判断所述预先生成的验证请求号与所述用户输入的验证请求号是否匹配;
当所述预先生成的验证请求号与用户输入的验证请求号匹配时,发送登录验证请求至所述便携式移动终端,由所述用户通过所述便携式移动终端选择批准、拒绝或忽略所述登录验证请求;
当所述登录验证请求被用户批准后,接收所述便携式移动终端通过不同的通信通道上传来的对应所述目标登录页面的用户账号登录信息;
利用所述便携式移动终端上传的用户账号登录信息,通过所述目标登录页面登录用户账号;
所述便携式移动终端中存储有数据库,所述数据库对应存储有每个登录页面的标识及其用户账号登录信息;
所述当所述预先生成的验证请求号与用户输入的验证请求号匹配时,发送登录验证请求至所述便携式移动终端,包括:当用户输入的验证请求号与移动终端显示的验证请求号匹配时,生成第一登录验证请求,所述第一登录验证请求中包括所述目标登录页面的标识;将所述第一登录验证请求发送给所述便携式移动终端;
所述当所述登录验证请求被用户批准后,接收所述便携式移动终端通过不同的通信通道上传来的对应所述目标登录页面的用户账号登录信息,包括:当所述第一登录验证请求被用户批准后,接收所述便携式移动终端发送来的对应所述目标登录页面的用户账号登录信息;其中,所述便携式移动终端在所述第一登录验证请求被用户批准后,从所述第一登录验证请求中获取所述目标登录页面的标识,并在所述数据库中查找所述目标登录页面的标识对应的用户账号登录信息;
所述生成第一登录验证请求之后,包括:根据所述第一登录验证请求生成第二登录验证请求,所述第二登录验证请求包括所述目标登录页面的标识、和针对用户本次登录的特定标识ID1;
所述将所述第一登录验证请求发送给所述便携式移动终端,包括:将所述第二登录验证请求发送给所述便携式移动终端;
所述当所述登录验证请求被用户批准后,接收所述便携式移动终端通过不同的通信通道上传来的对应所述目标登录页面的用户账号登录信息,包括:
当第二登录验证请求被用户批准后,接收所述便携式移动终端上传的对应所述目标登录页面的用户账号登录信息、和特定登录标识ID2;所述特定登录标识ID2由所述便携式移动终端根据所述特定标识ID1生成;
所述利用所述便携式移动终端上传的用户账号登录信息,通过所述目标登录页面登录用户账号之前,还包括:
判断所述特定标识ID1与所述特定登录标识ID2是否匹配;
当匹配时,执行所述利用所述便携式移动终端上传的用户账号登录信息,通过所述目标登录页面登录用户账号的步骤。
2.如权利要求1所述的方法,其特征在于,所述预先生成的验证请求号之前,还包括:
与所述便携式移动终端进行绑定操作,记录所述便携式移动终端的独特硬件标识。
3.如权利要求1所述的方法,其特征在于,
所述预先生成的验证请求号,将所述预先生成的验证请求号发送给便携式移动终端显示,包括:
按照预设刷新频率生成位数不同的验证请求号,并在每次生成一验证请求号时,将该次生成的验证请求号发送给所述便携式移动终端,由所述便携式移动终端将之前显示的验证请求号替换显示为该次发送来的验证请求号;
所述判断所述预先生成的验证请求号与所述用户输入的验证请求号是否匹配,包括:
判断当前移动终端显示的验证请求号与所述用户输入的验证请求号是否匹配。
4.如权利要求1所述的方法,其特征在于,
所述预先生成的验证请求号之前,还包括:
由通信服务器与所述便携式移动终端进行绑定操作、记录所述便携式移动终端的独特硬件标识;
所述预先生成的验证请求号,将所述预先生成的验证请求号发送给便携式移动终端显示,包括:
由通信服务器预先生成所述验证请求号、将所述预先生成的验证请求号发送给所述便携式移动终端显示、建立所述预先生成的验证请求号与所述便携式移动终端的独特硬件标识之间的关联关系;第三方验证服务器获取所述通信服务器预先生成的验证请求号。
5.如权利要求4所述的方法,其特征在于,
所述由通信服务器预先生成的所述验证请求号、将所述预先生成的验证请求号发送给所述便携式移动终端显示、建立所述预先生成的验证请求号与所述便携式移动终端的独特硬件标识之间的关联关系,包括:由通信服务器按照预设刷新频率生成不同位数的验证请求号,并在每次生成一验证请求号时,将所述关联关系中的验证请求号替换为该次生成的验证请求号,并将该次生成的验证请求号发送给所述便携式移动终端,由所述便携式移动终端将之前显示的验证请求号替换显示为该次发送来的验证请求号;
所述判断所述预先生成的验证请求号与所述用户输入的验证请求号是否匹配,包括:判断所述用户输入的验证请求号与便携式移动终端显示的验证请求号是否匹配。
6.如权利要求4所述的方法,其特征在于,
所述便携式移动终端中存储有数据库,所述数据库对应存储有每个登录页面的标识及其用户账号登录信息;
所述当所述预先生成的验证请求号与所述用户输入的验证请求号匹配时,发送验证请求至所述用户的便携式移动终端,包括:当所述用户输入的验证请求号与移动终端显示的验证请求号匹配时,生成预置信息,所述预置信息包括所述目标登录页面的标识、所述预先生成的验证请求号和针对用户本次登录的特定标识ID1;将所述预置信息发送给通信服务器;由所述通信服务器生成包括所述目标登录页面的标识和所述特定标识ID1的第二登录验证请求、并根据所述预先生成的验证请求号和所述关联关系将所述第二登录验证请求发送给与所述预先生成的验证请求号关联的便携式移动终端;
所述当所述账号验证请求被用户批准后,接收所述便携式移动终端通过不同的通信通道上传的对应所述目标登录页面的用户账号登录信息,包括:当所述第二登录验证请求被批准时,接收所述便携式移动终端上传的对应目标登录页面的用户账号登录信息和特定登录标识ID2;其中,所述便携式移动终端在所述第二登录验证请求被用户批准后,根据所述目标登录页面的标识在所述数据库中查找到对应的用户账号登录信息,并根据所述特定标识ID1生成所述特定登录标识ID2;
所述利用所述便携式移动终端上传的用户账号登录信息,通过所述目标登录页面登录用户账号,还包括:
判断所述特定标识ID1与所述特定登录标识ID2是否匹配;
当匹配时,执行所述利用所述便携式移动终端上传的用户账号登录信息,通过所述目标登录页面登录用户账号的步骤。
7.如权利要求1至6中任一所述的方法,其特征在于,
所述利用所述便携式移动终端上传的用户账号登录信息,通过所述目标登录页面登录用户账号,包括:
从所述便携式移动终端的数据库中获取目标登录页面的网络地址;将所述用户账号登录信息直接发送到该获取到的网络地址进行登录验证;或者
由第三方验证服务器对所述用户账号登录信息进行验证,将验证结果发送给所述目标登录页面。
8.如权利要求1所述的方法,其特征在于,所述发送登录验证请求至所述用户的便携式移动终端的同时、之前或之后,还包括:
在所述目标登录页面显示反欺骗图案或单词;
将所述反欺骗图案或单词发送给所述便携式移动终端显示。
9.如权利要求1所述的方法,其特征在于,所述当所述登录验证请求被用户批准后,接收所述便携式移动终端通过不同的通信通道上传来的对应所述目标登录页面的用户账号登录信息,包括:
当所述登录验证请求被用户批准后,接收所述便携式移动终端发送来的数字签名后的登录验证请求批准;其中,便携式移动终端利用私有密钥对登录验证请求批准进行数字签名;所述登录验证请求批准中包括所述便携式移动终端收到的所述登录验证请求内的原始信息、随机安全码、所述私有密钥对应的公共密钥以及数字签名时间;所述私有密钥和公共密钥通过如下方式生成:首先将目标登录页面网址中的域名部分、便携式移动终端中保存的用户全局固定ID作为单向散列函数的输入参数进行计算,得到密钥生成种子;然后,将密钥生成种子作为密钥对生成参数,通过公私密钥对生成算法获得所述私有密钥和公共密钥;
利用所述私有密钥对应的公共密钥,对所述数字签名后的登录验证请求批准进行真实性检验;
当通过真实性检验时,执行所述利用所述便携式移动终端上传的用户账号登录信息,通过所述目标登录页面登录用户账号的步骤。
10.如权利要求1所述的方法,其特征在于,所述便携式移动终端包括具有绑定关系的至少两个设备;
所述将所述预先生成的验证请求号发送给便携式移动终端显示,包括:将所述预先生成的验证请求号发送给所述具有绑定关系的至少两个设备显示;
所述发送登录验证请求至所述便携式移动终端,包括:将登录验证请求发送给所述具有绑定关系的至少两个设备。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201562221323P | 2015-09-21 | 2015-09-21 | |
US15/272,381 US10313881B2 (en) | 2015-09-21 | 2016-09-21 | System and method of authentication by leveraging mobile devices for expediting user login and registration processes online |
US15/272,381 | 2016-09-21 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107864115A CN107864115A (zh) | 2018-03-30 |
CN107864115B true CN107864115B (zh) | 2020-10-23 |
Family
ID=58283781
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710295561.2A Active CN107864115B (zh) | 2015-09-21 | 2017-04-28 | 一种利用便携式终端进行用户账号登录验证的方法 |
Country Status (2)
Country | Link |
---|---|
US (1) | US10313881B2 (zh) |
CN (1) | CN107864115B (zh) |
Families Citing this family (35)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10491587B2 (en) * | 2013-10-28 | 2019-11-26 | Singou Technology Ltd. | Method and device for information system access authentication |
US11005859B1 (en) * | 2016-09-23 | 2021-05-11 | EMC IP Holding Company LLC | Methods and apparatus for protecting against suspicious computer operations using multi-channel protocol |
US10911441B2 (en) * | 2017-01-18 | 2021-02-02 | CertifID LLC | Verifying party identities for secure transactions |
US11115403B2 (en) | 2017-02-21 | 2021-09-07 | Baldev Krishan | Multi-level user device authentication system for internet of things (IOT) |
US10491588B2 (en) * | 2017-03-23 | 2019-11-26 | Baldev Krishan | Local and remote access apparatus and system for password storage and management |
US10529327B1 (en) * | 2017-03-29 | 2020-01-07 | Parallels International Gmbh | System and method for enabling voice recognition for operating system |
US11785104B2 (en) | 2017-11-27 | 2023-10-10 | Lacework, Inc. | Learning from similar cloud deployments |
US12058160B1 (en) | 2017-11-22 | 2024-08-06 | Lacework, Inc. | Generating computer code for remediating detected events |
US12034754B2 (en) | 2017-11-27 | 2024-07-09 | Lacework, Inc. | Using static analysis for vulnerability detection |
US20220232024A1 (en) | 2017-11-27 | 2022-07-21 | Lacework, Inc. | Detecting deviations from typical user behavior |
US12021888B1 (en) | 2017-11-27 | 2024-06-25 | Lacework, Inc. | Cloud infrastructure entitlement management by a data platform |
US12126643B1 (en) | 2017-11-27 | 2024-10-22 | Fortinet, Inc. | Leveraging generative artificial intelligence (‘AI’) for securing a monitored deployment |
US11765249B2 (en) | 2017-11-27 | 2023-09-19 | Lacework, Inc. | Facilitating developer efficiency and application quality |
US10419469B1 (en) | 2017-11-27 | 2019-09-17 | Lacework Inc. | Graph-based user tracking and threat detection |
US12095794B1 (en) | 2017-11-27 | 2024-09-17 | Lacework, Inc. | Universal cloud data ingestion for stream processing |
US12095796B1 (en) | 2017-11-27 | 2024-09-17 | Lacework, Inc. | Instruction-level threat assessment |
US12130878B1 (en) | 2017-11-27 | 2024-10-29 | Fortinet, Inc. | Deduplication of monitored communications data in a cloud environment |
US11979422B1 (en) | 2017-11-27 | 2024-05-07 | Lacework, Inc. | Elastic privileges in a secure access service edge |
US11792284B1 (en) | 2017-11-27 | 2023-10-17 | Lacework, Inc. | Using data transformations for monitoring a cloud compute environment |
US10931667B2 (en) | 2018-01-17 | 2021-02-23 | Baldev Krishan | Method and system for performing user authentication |
EP3817280A4 (en) * | 2018-06-26 | 2022-03-16 | Japan Communications, Inc. | SYSTEM FOR PROVIDING ONLINE SERVICES, IC CHIP AND APPLICATION PROGRAM |
CN110995682A (zh) * | 2019-11-26 | 2020-04-10 | 深圳市思迪信息技术股份有限公司 | 防止多终端异地登录的方法及装置 |
US11201955B1 (en) | 2019-12-23 | 2021-12-14 | Lacework Inc. | Agent networking in a containerized environment |
US10873592B1 (en) | 2019-12-23 | 2020-12-22 | Lacework Inc. | Kubernetes launch graph |
US11256759B1 (en) | 2019-12-23 | 2022-02-22 | Lacework Inc. | Hierarchical graph analysis |
US11188571B1 (en) | 2019-12-23 | 2021-11-30 | Lacework Inc. | Pod communication graph |
CN113127768A (zh) * | 2020-01-14 | 2021-07-16 | 北京沃东天骏信息技术有限公司 | 一种处理用户请求的方法和装置 |
US12093353B2 (en) * | 2020-09-04 | 2024-09-17 | Shopify Inc. | Systems and methods for user authentication |
US12081979B2 (en) * | 2020-11-05 | 2024-09-03 | Visa International Service Association | One-time wireless authentication of an Internet-of-Things device |
US11697301B2 (en) * | 2020-11-10 | 2023-07-11 | Baysoft LLC | Remotely programmable wearable device |
WO2022140469A1 (en) * | 2020-12-21 | 2022-06-30 | HYPR Corp. | Domain unrestricted mobile initiated login |
US12021861B2 (en) * | 2021-01-04 | 2024-06-25 | Bank Of America Corporation | Identity verification through multisystem cooperation |
CN113824727B (zh) * | 2021-09-26 | 2023-05-19 | 中国联合网络通信集团有限公司 | 网页登录验证方法、装置、服务器及存储介质 |
US12081970B2 (en) * | 2022-04-26 | 2024-09-03 | Citrix Systems, Inc. | Contextual authentication for secure remote sessions |
US20240129299A1 (en) * | 2022-10-14 | 2024-04-18 | Microsoft Technology Licensing, Llc | Selectively and intelligently displaying authentication notifications to protect users |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102638447A (zh) * | 2012-02-10 | 2012-08-15 | 宗祥后 | 基于用户自主产生的口令对系统登录的方法和装置 |
CN105262588A (zh) * | 2015-11-03 | 2016-01-20 | 网易(杭州)网络有限公司 | 基于动态口令的登录方法、账号管理服务器及移动终端 |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7735122B1 (en) * | 2003-08-29 | 2010-06-08 | Novell, Inc. | Credential mapping |
US7748031B2 (en) * | 2005-07-08 | 2010-06-29 | Sandisk Corporation | Mass storage device with automated credentials loading |
US20080201768A1 (en) * | 2005-07-08 | 2008-08-21 | Hong-Sik Koo | Method For Managing A Large Number Of Passwords, Portable Apparatus And Certification Information Storing Device Using The Same, And Certification Information Management Method Using The Same |
US8602293B2 (en) * | 2009-05-15 | 2013-12-10 | Visa International Service Association | Integration of verification tokens with portable computing devices |
US7891560B2 (en) * | 2009-05-15 | 2011-02-22 | Visa International Service Assocation | Verification of portable consumer devices |
KR101137523B1 (ko) * | 2011-09-26 | 2012-04-20 | 유승훈 | 인증매체, 인증단말, 인증서버 및 이들을 이용한 인증방법 |
US9166777B2 (en) * | 2012-03-05 | 2015-10-20 | Echoworx Corporation | Method and system for user authentication for computing devices utilizing PKI and other user credentials |
US9642005B2 (en) * | 2012-05-21 | 2017-05-02 | Nexiden, Inc. | Secure authentication of a user using a mobile device |
DE102012108866A1 (de) * | 2012-09-20 | 2014-03-20 | Endress + Hauser Flowtec Ag | Verfahren zum sicheren Bedienen eines Feldgerätes |
US20150281227A1 (en) * | 2014-03-31 | 2015-10-01 | Symple ID Inc. | System and method for two factor user authentication using a smartphone and nfc token and for the automatic generation as well as storing and inputting of logins for websites and web applications |
US20160034990A1 (en) * | 2014-07-31 | 2016-02-04 | Robert J. Kannair | System and method for securely retrieving private data from customer mobile device |
US9407762B2 (en) * | 2014-10-10 | 2016-08-02 | Bank Of America Corporation | Providing enhanced user authentication functionalities |
US10454974B2 (en) * | 2015-06-29 | 2019-10-22 | Citrix Systems, Inc. | Systems and methods for flexible, extensible authentication subsystem that enabled enhance security for applications |
-
2016
- 2016-09-21 US US15/272,381 patent/US10313881B2/en active Active
-
2017
- 2017-04-28 CN CN201710295561.2A patent/CN107864115B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102638447A (zh) * | 2012-02-10 | 2012-08-15 | 宗祥后 | 基于用户自主产生的口令对系统登录的方法和装置 |
CN105262588A (zh) * | 2015-11-03 | 2016-01-20 | 网易(杭州)网络有限公司 | 基于动态口令的登录方法、账号管理服务器及移动终端 |
Also Published As
Publication number | Publication date |
---|---|
CN107864115A (zh) | 2018-03-30 |
US10313881B2 (en) | 2019-06-04 |
US20170086069A1 (en) | 2017-03-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107864115B (zh) | 一种利用便携式终端进行用户账号登录验证的方法 | |
CN106330850B (zh) | 一种基于生物特征的安全校验方法及客户端、服务器 | |
CN109325342B (zh) | 身份信息管理方法、装置、计算机设备和存储介质 | |
US11281762B2 (en) | Method and apparatus for facilitating the login of an account | |
CN107294900A (zh) | 基于生物特征的身份注册方法和装置 | |
CN112559993B (zh) | 身份认证方法、装置、系统及电子设备 | |
CN108243176B (zh) | 数据传输方法和装置 | |
EP3206329B1 (en) | Security check method, device, terminal and server | |
CN106897631B (zh) | 数据处理方法、装置及系统 | |
CN111130798B (zh) | 一种请求鉴权方法及相关设备 | |
CN105553926A (zh) | 一种认证方法、服务器以及终端 | |
CN113536250B (zh) | 令牌生成方法、登录验证方法及相关设备 | |
CN105577619B (zh) | 一种客户端登录方法、客户端以及系统 | |
CN111510442A (zh) | 一种用户验证方法、装置、电子设备及存储介质 | |
CN104717224A (zh) | 一种登录方法及装置 | |
CN109101797A (zh) | 智能设备控制方法、智能设备和服务器 | |
CN114944921A (zh) | 登录认证方法、装置、电子设备及存储介质 | |
CN109327475B (zh) | 一种多层身份认证方法、装置、设备及存储介质 | |
KR101451638B1 (ko) | 본인 확인 및 도용 방지 시스템 및 방법 | |
CN108282332A (zh) | 一种数据签名方法及装置 | |
CN111641657B (zh) | 智能医疗环境下基于rfid的信息匿名检索方法和系统 | |
CN114238915A (zh) | 数字证书添加方法、装置、计算机设备和存储介质 | |
CN109561093B (zh) | 越权行为检测方法、装置、计算机设备和存储介质 | |
CN105610811A (zh) | 认证方法及其相关的设备和系统 | |
CN116866093B (zh) | 身份认证方法、身份认证设备以及可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |