專利名稱:基于移動通信獨立通道的雙身份認(rèn)證方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全認(rèn)證技術(shù)。
背景技術(shù):
目前的網(wǎng)絡(luò)銀行交易、網(wǎng)絡(luò)游戲等涉及帳戶資金的服務(wù)提供商系統(tǒng)為了保證交易的合法性,在其網(wǎng)絡(luò)前端都安裝有身份認(rèn)證系統(tǒng),用于驗證進(jìn)行交易的用戶的身份是否合法。身份認(rèn)證系統(tǒng)可以內(nèi)置于服務(wù)提供商系統(tǒng)中的應(yīng)用服務(wù)器內(nèi),也可單獨作為一個身份認(rèn)證服務(wù)器,或者獨立于服務(wù)提供商系統(tǒng)以權(quán)威第三方身份認(rèn)證系統(tǒng)的方式出現(xiàn)。目前,最常用的身份認(rèn)證方法為靜態(tài)密碼認(rèn)證,即服務(wù)提供商為用戶提供一個賬號,用戶針對該賬號設(shè)置密碼,服務(wù)提供商側(cè)的身份認(rèn)證系統(tǒng)保存賬號與其對應(yīng)的密碼,在用戶進(jìn)行交易前需進(jìn)行的身份認(rèn)證是,用戶在服務(wù)終端輸入賬號與密碼,由身份認(rèn)證系統(tǒng)判斷該賬號與密碼是否匹配,如匹配,則表示身份認(rèn)證成功,用戶可進(jìn)行下一步的操作;否不匹配,則身份認(rèn)證失敗,身份認(rèn)證系統(tǒng)控制服務(wù)提供商應(yīng)用服務(wù)器終止交易。由于目前自助銀行柜機(jī)、網(wǎng)絡(luò)銀行等種種不安全因素,如鍵盤鉤子、木馬程序、釣魚網(wǎng)站的出現(xiàn)使得銀行卡賬號、網(wǎng)銀卡號以及對應(yīng)的密碼頻繁被盜、防不勝防。 為了進(jìn)一步保證身份認(rèn)證的有效性,數(shù)字證書、U盾、電子銀行口令卡以及DKEY動態(tài)密碼手機(jī)令牌應(yīng)運而生。 數(shù)字證書是由第三方權(quán)威機(jī)構(gòu)——CA證書授權(quán)中心發(fā)行的,安全性高,能提供互聯(lián)網(wǎng)上進(jìn)行身份驗證的一種權(quán)威性電子文檔。但數(shù)字證書的私鑰只能保存至固定的身份驗證終端設(shè)備上,使用不靈活。 U盾(USBKey)作為一種移動數(shù)字證書的出現(xiàn)解決了原有數(shù)字證書使用不靈活的缺點,U盾存放著不可讀取的數(shù)字證書,當(dāng)需要進(jìn)行身份驗證時,將U盾上的USB接口插入身份驗證終端設(shè)備時即可,但用戶需購買U盾,花費較大。 電子銀行口令卡相當(dāng)于一種動態(tài)的電子銀行密碼??诹羁ㄉ弦跃仃嚨男问接∮腥?br>
干字符串,用戶在進(jìn)行支付交易時,電子銀行系統(tǒng)就會隨機(jī)給出一組口令卡坐標(biāo),客戶根據(jù)
坐標(biāo)從卡片中找到口令組合并輸入電子銀行系統(tǒng)。只有當(dāng)口令組合輸入正確時,客戶才能
完成相關(guān)交易。這種口令組合是動態(tài)變化的,使用者每次使用時輸入的密碼都不一樣,交易
結(jié)束后即失效。電子銀行口令卡隨機(jī)產(chǎn)生動態(tài)密碼,安全級別較高且使用較方便,價格比U
盾低,但用戶需妥善保管口令卡片,由于口令卡是卡片的形式容易遺失與損壞。 DKEY動態(tài)密碼手機(jī)令牌是一種基于挑戰(zhàn)/應(yīng)答方式的身份認(rèn)證終端,在令牌和服
務(wù)器之間除相同算法外沒有需要進(jìn)行同步的條件,在該軟件上輸入服務(wù)端下發(fā)的挑戰(zhàn)碼,
手機(jī)軟件上生成一個6位的隨機(jī)數(shù)字,這個密碼只能使用一次,可以充分的保證登錄認(rèn)證
的安全,在生成密碼的過程中,不會產(chǎn)生任何通信,也不會產(chǎn)生任何通信費用,欠費和無信
號對其不產(chǎn)生任何影響。由于目前手機(jī)幾乎是生活的必須品,一般都是隨身攜帶,以手機(jī)作
為動態(tài)密碼生成的載體,比U盾與電子銀行口令卡的使用更符合用戶的生活習(xí)慣。 無論身份認(rèn)證系統(tǒng)以何種形式出現(xiàn),其進(jìn)行身份認(rèn)證的信息傳輸載體均為互聯(lián)網(wǎng)
5絡(luò),其身份認(rèn)證方法無論以上述的靜態(tài)密碼、動態(tài)密碼或數(shù)字證書方式實現(xiàn),均是基于互聯(lián)網(wǎng)實現(xiàn)的?;诨ヂ?lián)網(wǎng)的多種不安全因素均會對上述身份認(rèn)證方法造成影響。如非法用戶獲得了用戶賬號、密碼就能成功訪問服務(wù)提供商服務(wù)器并進(jìn)行操作,用戶無法監(jiān)控。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題是,提供一種基于移動通信獨立通道的雙身份認(rèn)證安全方法以及實現(xiàn)該方法的系統(tǒng)。 本發(fā)明為解決上述技術(shù)所采用的技術(shù)方案是,基于移動通信獨立通道的雙身份認(rèn)證方法,包括以下步驟
a、 第一身份認(rèn)證終端通過互聯(lián)網(wǎng)絡(luò)與第一身份認(rèn)證模塊進(jìn)行第一次身份認(rèn)證;如認(rèn)證通過,進(jìn)入步驟b ;否則第一次身份認(rèn)證失敗,拒絕第一身份認(rèn)證終端對服務(wù)提供商服務(wù)器的訪問;所述第一身份認(rèn)證終端為用戶交易終端;
b、 第一身份認(rèn)證終端向服務(wù)提供商服務(wù)器提交操作請求;
C、第二身份認(rèn)證模塊通過移動通信網(wǎng)絡(luò)與用戶手機(jī)進(jìn)行第二次身份認(rèn)證;如第二次身份認(rèn)證通過,則進(jìn)入步驟d ;否則,第二次身份認(rèn)證失敗,終止第一身份認(rèn)證終端對服務(wù)提供商服務(wù)器的操作;
d、服務(wù)提供商服務(wù)器執(zhí)行第一身份認(rèn)證終端的操作請求。
可選的,所述步驟C具體包括以下步驟
第二身份認(rèn)證模塊接收并緩存第一身份認(rèn)證終端提交的操作請求,并通過移動通信網(wǎng)絡(luò)向用戶手機(jī)發(fā)送第二次身份認(rèn)證請求;
第二身份認(rèn)證模塊判斷在設(shè)定時間內(nèi)是否收到用戶手機(jī)通過移動通信網(wǎng)絡(luò)回送的第二次身份認(rèn)證信息,如收到,進(jìn)入下一步;否則,第二次身份認(rèn)證失敗,終止第一身份認(rèn)證終端對服務(wù)提供商服務(wù)器的操作;
第二身份認(rèn)證模塊驗證第二次身份認(rèn)證信息,如第二次身份認(rèn)證通過,則向服務(wù)提供商服務(wù)器轉(zhuǎn)發(fā)所述緩存的操作請求后進(jìn)入步驟d;否則,第二次身份認(rèn)證失敗,終止第一身份認(rèn)證終端對服務(wù)提供商服務(wù)器的操作。 在常規(guī)的第一次身份認(rèn)證后,在第一身份認(rèn)證終端欲對服務(wù)提供商服務(wù)器進(jìn)行操作時,增加的第二次身份認(rèn)證啟動,使得用戶能對操作實時進(jìn)行監(jiān)控。第二次身份認(rèn)證過程不在互聯(lián)網(wǎng)絡(luò)上進(jìn)行,而是通過獨立的移動通信網(wǎng)絡(luò)進(jìn)行,斷絕了互聯(lián)網(wǎng)絡(luò)上各種盜號途徑。當(dāng)基于互聯(lián)網(wǎng)絡(luò)的第一次身份認(rèn)證被非法用戶掌握時,基于移動通信網(wǎng)絡(luò)的第二次身份認(rèn)證過程仍能對用戶身份的合法性再次進(jìn)行有效地鑒別。且第二身份認(rèn)證終端在用戶手機(jī)上實現(xiàn),既保證了唯一性,同時又符合用戶的生活習(xí)慣,使用方便;即保證了合法用戶在服務(wù)提供商服務(wù)器上帳戶的安全,又不必增加額外購買數(shù)字證書或動態(tài)口令載體的費用。
可選的,所述步驟c具體包括以下步驟
第二身份認(rèn)證模塊接收并緩存所述操作請求,通過移動通信網(wǎng)絡(luò)向第二身份認(rèn)證終端發(fā)送第二次身份認(rèn)證請求;
第二身份認(rèn)證模塊判斷在第一設(shè)定時間內(nèi)是否收到第二身份認(rèn)證終端通過移動通信網(wǎng)絡(luò)發(fā)送的第二次身份認(rèn)證信息,如收到,進(jìn)入下一步;否則,第二次身份認(rèn)證失敗,終止第一身份認(rèn)證終端對服務(wù)提供商服務(wù)器的操作;第二身份認(rèn)證模塊驗證第二次身份認(rèn)證信息,如第二次身份認(rèn)證通過,則通過內(nèi)部網(wǎng)絡(luò)向服務(wù)提供商服務(wù)器轉(zhuǎn)發(fā)所述操作請求后進(jìn)入步驟d;否則,第二次身份認(rèn)證失敗,終止第一身份認(rèn)證終端對服務(wù)提供商服務(wù)器的操作。
或者,步驟C具體包括以下步驟
服務(wù)提供商服務(wù)器接收并通過內(nèi)部網(wǎng)絡(luò)向第二身份認(rèn)證模塊轉(zhuǎn)發(fā)所述操作請求后,等待第二身份認(rèn)證模塊的認(rèn)證回復(fù);
第二身份認(rèn)證模塊接收所述操作請求后,通過移動通信網(wǎng)絡(luò)向第二身份認(rèn)證終端發(fā)送第二次身份認(rèn)證請求;
第二身份認(rèn)證模塊判斷在第一設(shè)定時間內(nèi)是否收到第二身份認(rèn)證終端通過移動通信網(wǎng)絡(luò)發(fā)送的第二次身份認(rèn)證信息,如收到,進(jìn)入下一步;否則,第二次身份認(rèn)證失敗,通過互聯(lián)網(wǎng)絡(luò)向服務(wù)提供商服務(wù)器回復(fù)認(rèn)證失敗,終止第一身份認(rèn)證終端對服務(wù)提供商服務(wù)器的操作;
第二身份認(rèn)證模塊驗證第二次身份認(rèn)證信息,如第二次身份認(rèn)證通過,則通過內(nèi)部網(wǎng)絡(luò)向服務(wù)提供商服務(wù)器回復(fù)認(rèn)證成功后,進(jìn)入步驟d;否則,第二次身份認(rèn)證失敗,通過互聯(lián)網(wǎng)絡(luò)向服務(wù)提供商服務(wù)器回復(fù)認(rèn)證失敗,終止第一身份認(rèn)證終端對服務(wù)提供商服務(wù)器的操作。第二次身份認(rèn)證請求與第二次身份認(rèn)證信息可以是短消息或GPRS/EDGE、 CDMA、
3D、4D的寬帶無線數(shù)據(jù)包形式進(jìn)行傳送。上述兩種步驟c的具體實現(xiàn)方式,均能有效地進(jìn)行
第二次身份認(rèn)證。第一種可選方式無需改動原有的服務(wù)提供商服務(wù)器;第二種選方式需要
升級原有的服務(wù)提供商服務(wù)器,改動較大。在上述兩種方式中如第二身份認(rèn)證模塊將第一
身份認(rèn)證終端的操作請求的具體信息添加至第二次身份認(rèn)證請求中,用戶便可通過第二身
份認(rèn)證終端實時了解到操作的具體信息。 另外可選的,步驟c具體包括以下步驟
第二身份認(rèn)證模塊接收第一身份認(rèn)證終端提交操作請求后,通過移動通信網(wǎng)絡(luò)向用戶手機(jī)發(fā)送第二次身份認(rèn)證請求;
第二身份認(rèn)證模塊判斷在設(shè)定時間內(nèi)是否收到用戶手機(jī)通過移動通信網(wǎng)絡(luò)回送的第二次身份認(rèn)證信息,如收到,進(jìn)入下一步;否則,第二次身份認(rèn)證失敗,向服務(wù)提供商服務(wù)器回復(fù)認(rèn)證失敗,終止第一身份認(rèn)證終端對服務(wù)提供商服務(wù)器的操作;
第二身份認(rèn)證模塊驗證第二次身份認(rèn)證信息,如第二次身份認(rèn)證通過,則向服務(wù)提供商服務(wù)器回復(fù)認(rèn)證成功,進(jìn)入步驟d ;否則,第二次身份認(rèn)證失敗,向服務(wù)提供商服務(wù)器回復(fù)認(rèn)證失敗,終止第一身份認(rèn)證終端對服務(wù)提供商服務(wù)器的操作。 優(yōu)選的,為防止手機(jī)"木馬"病毒提取手機(jī)記錄并進(jìn)行自動收發(fā)短消息或自動接收回復(fù)電話,所述步驟c具體包括以下步驟
第二身份認(rèn)證模塊接收并緩存第一身份認(rèn)證終端提交的操作請求并生成隨機(jī)碼顯示于第一身份認(rèn)證終端;通知電話自動撥號模塊通過移動通信網(wǎng)絡(luò)向用戶手機(jī)以電話語音形式發(fā)送第二次身份認(rèn)證請求,同時向移動通信網(wǎng)絡(luò)中的歸屬位置寄存器申請關(guān)閉用戶手機(jī)的短消息、GPRS或數(shù)據(jù)包業(yè)務(wù)接收功能;
電話自動撥號模塊判斷在設(shè)定時間內(nèi)用戶手機(jī)是否通過移動通信網(wǎng)絡(luò)回送第二次身份認(rèn)證信息,如是,進(jìn)入下一步;否則,電話自動撥號模塊通知第二身份認(rèn)證模塊第二次身份認(rèn)證失敗,終止第一身份認(rèn)證終端對服務(wù)提供商服務(wù)器的操作,同時向移動通信網(wǎng)絡(luò)中 的歸屬位置寄存器申請恢復(fù)用戶手機(jī)的短消息、GPRS或數(shù)據(jù)包業(yè)務(wù)接收功能;
電話自動撥號模塊驗證第二次身份認(rèn)證信息是否與隨機(jī)碼一致,如是,電話自動撥號 模塊通知第二身份認(rèn)證模塊第二次身份認(rèn)證通過,第二身份認(rèn)證模塊向服務(wù)提供商服務(wù)器 轉(zhuǎn)發(fā)所述緩存的操作請求,同時向移動通信網(wǎng)絡(luò)中的歸屬位置寄存器申請恢復(fù)用戶手機(jī)的 短消息、GPRS或數(shù)據(jù)包業(yè)務(wù)接收功能后進(jìn)入步驟d ;否則,電話自動撥號模塊通知第二身份 認(rèn)證模塊第二次身份認(rèn)證失敗,終止第一身份認(rèn)證終端對服務(wù)提供商服務(wù)器的操作,同時 向移動通信網(wǎng)絡(luò)中的歸屬位置寄存器申請恢復(fù)用戶手機(jī)的短消息、GPRS或數(shù)據(jù)包業(yè)務(wù)接收 功能。 進(jìn)一步的,在申請關(guān)閉用戶手機(jī)的短消息、GPRS或數(shù)據(jù)包業(yè)務(wù)接收功能的同時申
請取消用戶手機(jī)的呼叫轉(zhuǎn)移功能及已呼轉(zhuǎn)的號碼;在申請恢復(fù)用戶手機(jī)的短消息、GPRS或
數(shù)據(jù)包業(yè)務(wù)接收功能的同時申請恢復(fù)用戶手機(jī)的呼叫轉(zhuǎn)移功能及已呼轉(zhuǎn)的號碼。 另外,本發(fā)明針對上述身份認(rèn)證方法提供了一種實現(xiàn)其方法的系統(tǒng),基于移動通
信獨立通道的雙身份認(rèn)證系統(tǒng),包括服務(wù)提供商服務(wù)器、第一身份認(rèn)證模塊、第一身份認(rèn)證
終端,所述第一身份認(rèn)證終端為用戶交易終端;所述第一身份認(rèn)證模塊為基于互聯(lián)網(wǎng)絡(luò)通
道的身份認(rèn)證模塊;
第一身份認(rèn)證模塊與服務(wù)提供商服務(wù)器相連,第一身份認(rèn)證模塊與互聯(lián)網(wǎng)絡(luò)相連,第 一身份認(rèn)證終端與互聯(lián)網(wǎng)絡(luò)相連,第一身份認(rèn)證模塊通過互聯(lián)網(wǎng)絡(luò)與第一身份認(rèn)證終端進(jìn) 行第一次身份認(rèn)證;還包括第二身份認(rèn)證模塊、用戶手機(jī),第二身份認(rèn)證模塊與服務(wù)提供商 服務(wù)器相連,第二身份認(rèn)證模塊通過內(nèi)部網(wǎng)絡(luò)與服務(wù)提供商服務(wù)器相連,第二身份認(rèn)證模 塊還與移動通信網(wǎng)絡(luò)連接,用戶手機(jī)與移動通信網(wǎng)絡(luò)無線連接;第二身份認(rèn)證模塊與用戶 手機(jī)之間通過移動通信網(wǎng)絡(luò)進(jìn)行第二次身份認(rèn)證;
所述第二身份認(rèn)證模塊用于根據(jù)第二次身份認(rèn)證結(jié)果控制服務(wù)提供商服務(wù)器執(zhí)行或 終止第一身份認(rèn)證終端的操作請求。 具體的,第一身份認(rèn)證模塊通過第二身份認(rèn)證模塊與服務(wù)提供商服務(wù)器相連,所 述第二身份認(rèn)證模塊在收到第一身份認(rèn)證終端作的操作請求時,緩存操作請求;發(fā)起二次 身份認(rèn)證請求;根據(jù)第二次身份認(rèn)證結(jié)果轉(zhuǎn)發(fā)或丟棄所述操作請求;或者,第二身份認(rèn)證 模塊通過第一身份認(rèn)證模塊與服務(wù)提供商服務(wù)器相連,所述第二身份認(rèn)證模塊在收到第一 次身份認(rèn)證信息時,不做處理而透傳給第一身份認(rèn)證模塊;但當(dāng)?shù)诙矸菡J(rèn)證模塊接收到 第一身份認(rèn)證終端的操作請求時,緩存該操作請求,并發(fā)起二次身份認(rèn)證請求;根據(jù)第二次 身份認(rèn)證結(jié)果轉(zhuǎn)發(fā)或丟棄所述操作請求。 進(jìn)一步的,系統(tǒng)還包括電話自動撥號模塊,所述第二身份認(rèn)證模塊通過電話自動 撥號模塊與數(shù)字蜂窩移動通信網(wǎng)絡(luò)中的移動交換中心相連;所述第二身份認(rèn)證模塊還與數(shù) 字蜂窩移動通信網(wǎng)絡(luò)中的歸屬位置寄存器相連;所述第二身份認(rèn)證模塊還與數(shù)字蜂窩移動 通信網(wǎng)絡(luò)中的短信中心或短信網(wǎng)關(guān)相連;所述第二身份認(rèn)證模塊還與短消息送達(dá)通知系統(tǒng) 相連,歸屬位置寄存器與移動交換中心相連;第二身份認(rèn)證模塊還用于在緩存第一身份認(rèn) 證終端操作請求時,在第一身份認(rèn)證終端上生成并顯示隨機(jī)碼,同時,通知電話自動撥號模 塊向用戶手機(jī)自動拔號,以進(jìn)行第二次身份認(rèn)證請求;向歸屬位置寄存器申請關(guān)閉或恢復(fù) 用戶手機(jī)的短消息、GPRS或數(shù)據(jù)包業(yè)務(wù)接收功能;電話自動撥號模塊用于通過電話語音形式向用戶手機(jī)發(fā)送第二身份認(rèn)證請求;驗證用戶手機(jī)輸入的第二身份認(rèn)證信息是否與隨機(jī) 碼一致,并向第二身份認(rèn)證模塊發(fā)送第二次身份認(rèn)證結(jié)果。 進(jìn)一步的,第二身份認(rèn)證模塊還用于在向歸屬位置寄存器申請關(guān)閉或恢復(fù)用戶手 機(jī)的短消息、GPRS、數(shù)據(jù)包業(yè)務(wù)接收功能的同時申請關(guān)閉或恢復(fù)用戶手機(jī)的呼叫轉(zhuǎn)移功能 及呼轉(zhuǎn)號碼;在恢復(fù)用戶手機(jī)的短消息、GPRS或數(shù)據(jù)包業(yè)務(wù)接收功能后,第二身份認(rèn)證模 塊通過短消息送達(dá)通知系統(tǒng)將關(guān)閉短消息、GPRS或數(shù)據(jù)包業(yè)務(wù)接收功能期間的被叫用戶數(shù) 據(jù)活動事件通知主叫用戶重發(fā)。 本發(fā)明的有益效果是,安全級別高、用戶使用方便,且能對服務(wù)提供商服務(wù)器端的 帳戶變化進(jìn)行實時監(jiān)控。
圖1為實施例1的網(wǎng)絡(luò)示意圖; 圖2為實施例2的網(wǎng)絡(luò)示意圖3為實施例7的網(wǎng)絡(luò)示意圖。
具體實施方式
實施例1
如圖1所示,系統(tǒng)包括服務(wù)提供商服務(wù)器、第一身份認(rèn)證模塊、第一身份認(rèn)證終端、第 二身份認(rèn)證模塊、用戶手機(jī),第一身份認(rèn)證終端為用戶交易終端;第一身份認(rèn)證模塊為基于 互聯(lián)網(wǎng)絡(luò)的身份認(rèn)證模塊;第一身份認(rèn)證模塊與服務(wù)提供商服務(wù)器相連,第一身份認(rèn)證模 塊通過第二身份認(rèn)證模塊與互聯(lián)網(wǎng)絡(luò)相連,第一身份認(rèn)證終端與互聯(lián)網(wǎng)絡(luò)相連,第一身份 認(rèn)證模塊透過第二身份認(rèn)證模塊與第一身份認(rèn)證終端進(jìn)行第一次身份認(rèn)證;第一身份認(rèn)證 模塊可以內(nèi)置于服務(wù)提供商系統(tǒng)中的應(yīng)用服務(wù)器內(nèi),也可單獨作為一個身份認(rèn)證服務(wù)器實 體,或者獨立于服務(wù)提供商系統(tǒng)以權(quán)威第三方身份認(rèn)證系統(tǒng)的方式出現(xiàn);第二身份認(rèn)證模 塊與移動通信網(wǎng)絡(luò)無線連接,用戶手機(jī)與移動通信網(wǎng)絡(luò)無線連接;第二身份認(rèn)證模塊與用 戶手機(jī)之間通過移動通信網(wǎng)絡(luò)進(jìn)行第二次身份認(rèn)證。 第一身份認(rèn)證終端用于通過互聯(lián)網(wǎng)向第一身份認(rèn)證模塊發(fā)送第一次身份認(rèn)證信 息;第一身份認(rèn)證模塊用于驗證第一次身份認(rèn)證信息,根據(jù)驗證結(jié)果同意或拒絕第一身份 認(rèn)證終端對服務(wù)提供商服務(wù)器的訪問。第一次身份認(rèn)證可采用當(dāng)前的靜態(tài)密碼、動態(tài)密碼、 數(shù)字證書等方式。 第二次身份認(rèn)證過程流程如下
第二身份認(rèn)證模塊接收并緩存第一身份認(rèn)證終端提交的操作請求,并通過移動通信網(wǎng) 絡(luò)向用戶手機(jī)發(fā)送第二次身份認(rèn)證請求;
第二身份認(rèn)證模塊判斷在設(shè)定時間內(nèi)是否收到用戶手機(jī)通過移動通信網(wǎng)絡(luò)回送的第 二次身份認(rèn)證信息,如收到,進(jìn)入下一步;否則,第二次身份認(rèn)證失敗,終止第一身份認(rèn)證終 端對服務(wù)提供商服務(wù)器的操作;
第二身份認(rèn)證模塊驗證第二次身份認(rèn)證信息,如第二次身份認(rèn)證通過,則向服務(wù)提供 商服務(wù)器轉(zhuǎn)發(fā)所述緩存的操作請求后進(jìn)入步驟d;否則,第二次身份認(rèn)證失敗,終止第一身 份認(rèn)證終端對服務(wù)提供商服務(wù)器的操作。
9
第二身份認(rèn)證模塊位于服務(wù)提供商服務(wù)器及第一身份認(rèn)證終端之后,其透傳第一
次身份認(rèn)證請求。在第一身份認(rèn)證終端對服務(wù)提供商服務(wù)器進(jìn)行訪問并試圖對帳戶進(jìn)行
操作時,第二身份認(rèn)證模塊緩存第一身份認(rèn)證終端發(fā)往服務(wù)提供商服務(wù)器的操作請求,并
通過移動通信網(wǎng)絡(luò)向用戶手機(jī)發(fā)送短消息(即通過移動通信網(wǎng)絡(luò)中的短消息服務(wù)中心SMSC
向用戶手機(jī)發(fā)送)或其它數(shù)據(jù)包(如通過GPRS/EDGE、 CDMA或3G、4G等寬帶無線模式向用戶
手機(jī)發(fā)送),請求用戶手機(jī)對操作請求進(jìn)行確認(rèn),即第二身份認(rèn)證模塊發(fā)出第二次身份認(rèn)證
請求并在設(shè)定時間內(nèi)收到用戶手機(jī)通過移動通信網(wǎng)絡(luò)發(fā)送的第二次身份認(rèn)證信息后,對第
二次身份認(rèn)證信息進(jìn)行驗證,如驗證通過,則通過互聯(lián)網(wǎng)絡(luò)向服務(wù)提供商服務(wù)器回復(fù)第二
次身份認(rèn)證通過并轉(zhuǎn)發(fā)操作請求;服務(wù)提供商服務(wù)器接收到操作請求后,對執(zhí)行操作;否
則,不轉(zhuǎn)發(fā)操作請求,終止第一身份認(rèn)證終端對服務(wù)提供商服務(wù)器的操作。 第二次身份認(rèn)證請求可以是要求用戶手機(jī)確認(rèn)是否同意操作請求;對應(yīng)的,用戶
手機(jī)發(fā)出的第二次身份認(rèn)證信息即為同意(Y)或不同意(N)即可;優(yōu)選的,在第二身份請求
中可包含本次操作請求的具體信息及并要求用戶手機(jī)確認(rèn)是否同意操作請求,這樣,用戶
可對其在服務(wù)提供商服務(wù)器上對應(yīng)帳戶的具體變化進(jìn)行監(jiān)控。為了防止IP換號和類似自
動短消息回復(fù)等手機(jī)病毒,則需再提高第二次身份認(rèn)證過程中的安全級別,第二次身份認(rèn)
證請求也可以是要求用戶手機(jī)輸入靜態(tài)密碼或動態(tài)密碼。 另外,第二身份認(rèn)證模塊與第一身份認(rèn)證模塊的前后位置關(guān)系可以變化。第二身 份認(rèn)證模塊可通過第一身份認(rèn)證模塊與服務(wù)提供商服務(wù)器相連,第二身份認(rèn)證模塊在收到 第一次身份認(rèn)證信息時,不做處理而透傳給第一身份認(rèn)證模塊;但當(dāng)?shù)诙矸菡J(rèn)證模塊接 收到第一身份認(rèn)證終端的操作請求時,緩存該操作請求,并發(fā)起二次身份認(rèn)證請求;根據(jù)第 二次身份認(rèn)證結(jié)果轉(zhuǎn)發(fā)或丟棄所述操作請求。
實施例2
如圖l所示,系統(tǒng)與實施例l基本相同,包括服務(wù)提供商服務(wù)器、第一身份認(rèn)證模塊、第 一身份認(rèn)證終端、第二身份認(rèn)證模塊、用戶手機(jī),第一身份認(rèn)證終端為用戶交易終端;第一 身份認(rèn)證模塊為基于互聯(lián)網(wǎng)絡(luò)的身份認(rèn)證模塊;第一身份認(rèn)證模塊與服務(wù)提供商服務(wù)器相 連,第一身份認(rèn)證模塊與互聯(lián)網(wǎng)絡(luò)相連,第一身份認(rèn)證終端與互聯(lián)網(wǎng)絡(luò)相連,第一身份認(rèn)證 模塊通過互聯(lián)網(wǎng)絡(luò)與第一身份認(rèn)證終端進(jìn)行第一次身份認(rèn)證;第二身份認(rèn)證模塊與服務(wù)提 供商服務(wù)器相連,第二身份認(rèn)證模塊可與服務(wù)提供商服務(wù)器通過電纜或內(nèi)部網(wǎng)絡(luò)相連,第 二身份認(rèn)證模塊還與移動通信網(wǎng)絡(luò)無線連接,用戶手機(jī)與移動通信網(wǎng)絡(luò)無線連接;第二身 份認(rèn)證模塊與用戶手機(jī)之間通過移動通信網(wǎng)絡(luò)進(jìn)行第二次身份認(rèn)證。
第二次身份認(rèn)證過程流程如下
第二身份認(rèn)證模塊在接收第一身份認(rèn)證終端提交操作請求后,通過移動通信網(wǎng)絡(luò)向用 戶手機(jī)發(fā)送第二次身份認(rèn)證請求;
第二身份認(rèn)證模塊判斷在設(shè)定時間內(nèi)是否收到用戶手機(jī)通過移動通信網(wǎng)絡(luò)回送的第 二次身份認(rèn)證信息,如收到,進(jìn)入下一步;否則,第二次身份認(rèn)證失敗,向服務(wù)提供商服務(wù)器 回復(fù)認(rèn)證失敗,終止第一身份認(rèn)證終端對服務(wù)提供商服務(wù)器的操作;
第二身份認(rèn)證模塊驗證第二次身份認(rèn)證信息,如第二次身份認(rèn)證通過,則向服務(wù)提供 商服務(wù)器回復(fù)認(rèn)證成功,進(jìn)入步驟d ;否則,第二次身份認(rèn)證失敗,向服務(wù)提供商服務(wù)器回 復(fù)認(rèn)證失敗,終止第一身份認(rèn)證終端對服務(wù)提供商服務(wù)器的操作。
在第一身份認(rèn)證終端對服務(wù)提供商服務(wù)器進(jìn)行訪問并試圖對用戶帳戶進(jìn)行操作 時,服務(wù)提供商服務(wù)器暫不執(zhí)行第一身份認(rèn)證終端的操作請求,先通知第二身份認(rèn)證模塊 發(fā)出第二次身份認(rèn)證請求后,等待第二身份認(rèn)證模塊回復(fù)的第二次身份認(rèn)證結(jié)果。第二身 份認(rèn)證模塊通過移動通信網(wǎng)絡(luò)向用戶手機(jī)發(fā)送短消息(即通過移動通信網(wǎng)絡(luò)中的短消息服 務(wù)中心SMSC或數(shù)據(jù)平臺向用戶手機(jī)發(fā)送)或其它形式的數(shù)據(jù)包,請求用戶手機(jī)對該操作 進(jìn)行確認(rèn),即第二身份認(rèn)證模塊發(fā)出第二次身份認(rèn)證請求并在設(shè)定時間內(nèi)收到用戶手機(jī)通 過移動通信網(wǎng)絡(luò)發(fā)送的第二次身份認(rèn)證信息后,對第二次身份認(rèn)證信息進(jìn)行驗證,如驗證 通過,則向服務(wù)提供商服務(wù)器回復(fù)第二次身份認(rèn)證通過;服務(wù)提供商服務(wù)器執(zhí)行操作請求; 否則,第二身份認(rèn)證模塊回復(fù)第二次身份認(rèn)證失敗,終止第一身份認(rèn)證終端對服務(wù)提供商 服務(wù)器的操作。 在第一預(yù)設(shè)時間內(nèi)如返回消息超時或消息接收不及時,在規(guī)定時限內(nèi)第二身份認(rèn) 證模塊可通過語音主動呼叫用戶的手機(jī)。 實施例1無需改動原有的服務(wù)提供商服務(wù)器;實施例2需要升級原有的服務(wù)提供
商服務(wù)器,改動較大。
實施例3
除了類似換號業(yè)務(wù)的IP網(wǎng)絡(luò)欺詐之外,目前已存在手機(jī)自動回復(fù)短消息病毒。如目前 已有手機(jī)自動回復(fù)短消息的病毒,即,當(dāng)?shù)谌?非法入侵者)將銀行卡號及密碼輸入,并請 求服務(wù)器操作時,第二認(rèn)證模塊向用戶手機(jī)發(fā)短消息請求第二次身份認(rèn)證。此時,第三者可 以讓持卡用戶的手機(jī)自動向第二認(rèn)證模塊回復(fù)"YES",而用戶全然不知。特別是當(dāng)用戶在開 車或沒聽見短消息到達(dá)時,更是危險。為了防止手機(jī)自動回復(fù)病毒對身份認(rèn)證過程的擾亂, 提高身份認(rèn)證過程中的安全級別,第二次身份認(rèn)證請求也可以是要求用戶手機(jī)輸入靜態(tài)密 碼或動態(tài)密碼。本實施例與實施例1基本相同,僅存在第二次身份認(rèn)證請求內(nèi)容不同的區(qū) 別,本實施例的第二次身份認(rèn)證請求為要求用戶手機(jī)輸入靜態(tài)密碼。 即第一次身份認(rèn)證通過后,第二身份認(rèn)證模塊通過移動通信網(wǎng)絡(luò)與第二認(rèn)證終端 之間還進(jìn)行第二次身份認(rèn)證,具體步驟為
第二身份認(rèn)證模塊通過移動通信網(wǎng)絡(luò)以短消息形式向用戶手機(jī)發(fā)出第二身份認(rèn)請
求;
第二身份認(rèn)證模塊判斷在設(shè)定時間內(nèi)是否收到用戶手機(jī)通過移動通信網(wǎng)絡(luò)中的短消 息服務(wù)中心回送的第二次身份認(rèn)證信息,如是,進(jìn)入下一步;否則,終止第一身份認(rèn)證終端 對服務(wù)提供商服務(wù)器的操作;
第二身份認(rèn)證模塊將收到的第二次身份認(rèn)證信息與用戶預(yù)先設(shè)置的密碼相比較,如匹 配,則認(rèn)證通過,則向服務(wù)提供商服務(wù)器轉(zhuǎn)發(fā)緩存的操作請求,進(jìn)入步驟d ;否則,終止第一 身份認(rèn)證終端對服務(wù)提供商服務(wù)器的操作。 當(dāng)?shù)诙紊矸菡J(rèn)證信息中僅有用戶手機(jī)輸入的靜態(tài)密碼時,第二次身份認(rèn)證信息 與用戶預(yù)先設(shè)置的密碼相同,則為匹配;當(dāng)?shù)诙紊矸菡J(rèn)證信息包括了同意(Y)或不同意 (N),以及輸入的靜態(tài)密碼時,當(dāng)?shù)诙紊矸菡J(rèn)證信息中含有同意(Y),且靜態(tài)密碼與用戶預(yù) 先設(shè)置的密碼相同,則為匹配。 通過密碼進(jìn)行認(rèn)證,需要合法用戶事先通過座機(jī)或銀行柜臺(當(dāng)然也可以用手機(jī), 若用戶已中病毒則不能用手機(jī))在第二認(rèn)證模塊上設(shè)定靜態(tài)密碼。由于自動回短消息病毒
11不知道用戶的預(yù)設(shè)密碼,因此,可以有效防范自動回短消息病毒對合法用戶的賬戶的非法 操作。 實施例4
在實施例3的基礎(chǔ)上,第二次身份認(rèn)證的具體步驟進(jìn)行改進(jìn)
第二身份認(rèn)證模塊通過移動通信網(wǎng)絡(luò)向用戶手機(jī)發(fā)出第二次身份認(rèn)證請求時,在第二 身份認(rèn)證模塊號碼中添加了隨機(jī)密碼;
第二身份認(rèn)證模塊判斷在設(shè)定時間內(nèi)是否收到目標(biāo)號碼為所述第二身份認(rèn)證模塊號 碼,且由用戶手機(jī)通過移動通信網(wǎng)絡(luò)回送的第二次身份認(rèn)證信息,如收到,進(jìn)入下一步;否 則,第二次身份認(rèn)證失敗,向服務(wù)提供商服務(wù)器回復(fù)認(rèn)證失敗,終止第一身份認(rèn)證終端對服 務(wù)提供商服務(wù)器的操作;
第二身份認(rèn)證模塊將收到的第二次身份認(rèn)證信息與用戶預(yù)先設(shè)置的密碼相比較,如匹 配,則認(rèn)證通過,則向服務(wù)提供商服務(wù)器轉(zhuǎn)發(fā)緩存的操作請求,進(jìn)入步驟d ;否則,終止第一 身份認(rèn)證終端對服務(wù)提供商服務(wù)器的操作。 S卩,有帳號操作請求時,由第二認(rèn)證模塊給用戶發(fā)送再次確認(rèn)請求,用戶手機(jī)要回 復(fù)再次確認(rèn)密碼的回復(fù)號碼就是第二認(rèn)證模塊號碼。本實施例中,第二認(rèn)證模塊在給用戶 發(fā)短消息時,有意在第二認(rèn)證模塊號碼中的尾部多增加固定位數(shù)的隨機(jī)密碼。如,第二認(rèn)證 模塊號碼本來是6位的106888,但其給用戶發(fā)短消息時卻將第二認(rèn)證模塊號碼增加到11 位,10688878653,后5位78653為隨機(jī)密碼。當(dāng)用戶手機(jī)返回短消息時可直接回復(fù)帶隨機(jī) 密碼的此第二認(rèn)證模塊號碼10688878653,此舉可有效防IP換號用戶的偷盜行為,因為非 法IP用戶(第三方)收不到第二認(rèn)證模塊號碼中的隨機(jī)密碼。在用戶回復(fù)短消息時,不僅要 輸入"YES"或"NO",即同意或拒絕操作請求,還要需輸入再次確認(rèn)密碼。只有當(dāng)用戶手機(jī)手 機(jī)回復(fù)"YES"以及再次確認(rèn)密碼與用戶在第二認(rèn)證模塊預(yù)設(shè)的密碼相同時,第二認(rèn)證模塊 才能判斷為認(rèn)證通過,向服務(wù)提供商服務(wù)器轉(zhuǎn)發(fā)緩存的操作請求,服務(wù)提供商服務(wù)器執(zhí)行 第一身份認(rèn)證終端的操作請求;否則,向服務(wù)提供商服務(wù)器回復(fù)認(rèn)證失敗,終止第一身份認(rèn) 證終端對服務(wù)提供商服務(wù)器的操作。當(dāng)然用戶回復(fù)該類短消息后應(yīng)立即刪除短消息。在規(guī) 定的第一預(yù)設(shè)時間內(nèi),第二認(rèn)證模塊沒收到回復(fù)的正確信息,則終止該次操作。當(dāng)有非法短 消息回復(fù)時(如第二認(rèn)證模塊號碼中隨機(jī)密碼不正確或輸入的靜態(tài)密碼不正確,第二認(rèn)證 模塊可以通過移動通信網(wǎng)絡(luò)以短消息或電話語音形式通知用戶手機(jī)有非法用戶侵入,通知 用戶立即修改相應(yīng)密碼。對于第二認(rèn)證模塊轉(zhuǎn)發(fā)操作請求,可有意延長一段時間(有可能用 戶預(yù)先設(shè)置的密碼會泄漏),以等待合法用戶的回復(fù),防止自動短消息搶先回復(fù)而造成合法 用戶資金流失,因此,若在該時間內(nèi)有兩條信息且內(nèi)容不一致的回復(fù),則第二認(rèn)證模塊判斷 為認(rèn)證失敗,終止第一身份認(rèn)證終端對服務(wù)提供商服務(wù)器的操作。
實施例5
相對于實施例4,對第二次身份認(rèn)證信息的內(nèi)容進(jìn)行改變,用戶無需在第二認(rèn)證模塊預(yù) 設(shè)密碼,而是將第二認(rèn)證模塊號碼中的隨機(jī)密碼作為第二次身份認(rèn)證信息或第二次身份認(rèn) 證信息的一部分(第二次身份認(rèn)證信息另一部分包括同意或拒絕操作請求),那么本實施例 進(jìn)行的第二次身份認(rèn)證具體步驟如下
第二身份認(rèn)證模塊通過移動通信網(wǎng)絡(luò)向用戶手機(jī)發(fā)出第二次身份認(rèn)證請求,并在第二 身份認(rèn)證模塊號碼中添加隨機(jī)密碼;第二身份認(rèn)證模塊判斷在設(shè)定時間內(nèi)是否收到用戶手機(jī)通過移動通信網(wǎng)絡(luò)回送的第 二次身份認(rèn)證信息,如是,進(jìn)入下一步;否則,向服務(wù)提供商服務(wù)器回復(fù)認(rèn)證失敗,終止第一 身份認(rèn)證終端對服務(wù)提供商服務(wù)器的操作;
第二身份認(rèn)證模塊將收到的第二次身份認(rèn)證信息與第二身份認(rèn)證模塊號碼中添加的 隨機(jī)密碼相比較,如匹配,則認(rèn)證通過,則向服務(wù)提供商服務(wù)器轉(zhuǎn)發(fā)緩存的操作請求,服務(wù) 提供商服務(wù)器執(zhí)行第一身份認(rèn)證終端的操作請求;否則,向服務(wù)提供商服務(wù)器回復(fù)認(rèn)證失 敗,終止第一身份認(rèn)證終端對服務(wù)提供商服務(wù)器的操作。 實施例6 本實施的第二次身份認(rèn)證過程通過電話語音形式確認(rèn),具體過程如 下
第二身份認(rèn)證模塊通過移動通信網(wǎng)絡(luò)以電話語音形式向用戶手機(jī)發(fā)出第二次身份認(rèn) 證請求;
第二身份認(rèn)證模塊判斷用戶手機(jī)是否摘機(jī)并在線回復(fù)第二次身份認(rèn)證信息;如是,進(jìn) 入下一步;否則,向服務(wù)提供商服務(wù)器回復(fù)認(rèn)證失敗,終止第一身份認(rèn)證終端對服務(wù)提供商 服務(wù)器的操作;
第二身份認(rèn)證模塊將回復(fù)的第二次身份認(rèn)證信息進(jìn)行認(rèn)證,如認(rèn)證通過,則向服務(wù)提 供商服務(wù)器轉(zhuǎn)發(fā)緩存的操作請求或向服務(wù)提供商服務(wù)器回復(fù)認(rèn)證成功,服務(wù)提供商服務(wù)器 執(zhí)行第一身份認(rèn)證終端的操作請求;否則,向服務(wù)提供商服務(wù)器回復(fù)認(rèn)證失敗,終止第一身 份認(rèn)證終端對服務(wù)提供商服務(wù)器的操作。 當(dāng)?shù)诙矸荽_認(rèn)模塊收到操作請求后,便向用戶手機(jī)拔出電話,以讓用戶在線確 認(rèn),若按"lll"或超過三個以上的1回復(fù)(第二次身份認(rèn)證信息),第二身份確認(rèn)模塊便認(rèn)為 用戶同意交易;若什么數(shù)字也沒有或直接掛機(jī)或按忙鍵等,則為不同意。第二身份確認(rèn)模塊 在此只能做主叫,不能做被叫,以防第三方IP電話作亂。即,第二身份確認(rèn)模塊只作為主叫 呼出的流程方算有效,用戶不能回拔,也避免了 IP電話對語音通道的強(qiáng)行插入。另外用戶 第一次沒有接聽手機(jī),第二身份確認(rèn)模塊可再呼叫2次后終止第一身份認(rèn)證終端對服務(wù)提 供商服務(wù)器的操作。同時給用戶手機(jī)發(fā)送本次認(rèn)證情況短消息。當(dāng)然,若擔(dān)心第二身份確 認(rèn)模塊負(fù)荷過重,可將該電話拔出功能用另一個獨立的電話撥出服務(wù)器擔(dān)任,電話撥出服 務(wù)器即可設(shè)置在移動電話運營商側(cè),也可以設(shè)置在銀行或其他服務(wù)提供商側(cè)并與第二身份 確認(rèn)模塊進(jìn)行信息交互,受第二身份確認(rèn)模塊的控制。
實施例7
此實施例為最佳實施例。以上實施例l-6仍不能完全避免木馬等病毒入侵手機(jī)。如, 自動收/發(fā)短消息、自動回/接電話、自動提取手機(jī)記錄等。 本實施主要是通過語音自動拔號方式實現(xiàn),系統(tǒng)如圖3所示,包括服務(wù)提供商服 務(wù)器、第一身份認(rèn)證模塊、第一身份認(rèn)證終端、第二身份認(rèn)證模塊、用戶手機(jī)、電話自動撥號 模塊,第一身份認(rèn)證終端為用戶交易終端;第一身份認(rèn)證模塊為基于互聯(lián)網(wǎng)絡(luò)的身份認(rèn)證 模塊;第一身份認(rèn)證模塊與服務(wù)提供商服務(wù)器相連,第一身份認(rèn)證模塊與互聯(lián)網(wǎng)絡(luò)相連,第 一身份認(rèn)證終端與互聯(lián)網(wǎng)絡(luò)相連;第一身份認(rèn)證模塊與服務(wù)提供商服務(wù)器相連,第二身份 認(rèn)證模塊與互聯(lián)網(wǎng)絡(luò)相連,第二身份認(rèn)證模塊還與移動通信網(wǎng)絡(luò)中的HLR (歸屬位置寄存 器)連接,還與新增的電話自動撥號模塊相連,電話自動撥號模塊、HLR還分別與MSC (移動 交換中心)相連;用戶手機(jī)與移動通信網(wǎng)絡(luò)無線連接;第二身份認(rèn)證模塊與用戶手機(jī)之間通
13過移動通信網(wǎng)絡(luò)進(jìn)行第二次身份認(rèn)證。
第二次身份認(rèn)證方法如下
第一次身份認(rèn)證成功后,第二認(rèn)證模塊緩存操作請求,并生成隨機(jī)碼,并通過第一身份 認(rèn)證終端顯示該隨機(jī)碼;
第二認(rèn)證模塊控制電話自動拔號模塊發(fā)出對該用戶手機(jī)號碼拔號的指令,并立即向 HLR申請關(guān)閉該用戶的短消息、GPRS或數(shù)據(jù)包業(yè)務(wù)接收功能。此時關(guān)閉該用戶的短消息、 GPRS或數(shù)據(jù)包業(yè)務(wù)接收功能是為了防止黑客利用手機(jī)木馬向用戶手機(jī)發(fā)送隨機(jī)驗證碼,讓 用戶手機(jī)自動回復(fù)電話自動拔號模塊。此時,雖然黑客獲取了隨機(jī)碼,但卻無法將該隨機(jī) 碼發(fā)往真實用戶手機(jī)上,此情況下,用戶手機(jī)收到語音拔號系統(tǒng)的電話后,便會終止該次操 作;
電話自動拔號模塊接到出對該用戶手機(jī)號碼拔號的指令后,便語音通知該用戶輸入隨 機(jī)碼。若電話沒接通或輸入密碼錯誤,電話自動拔號模塊向則第二認(rèn)證模塊返回終止操作 信息,同時,第二認(rèn)證模塊向HLR申請恢復(fù)該用戶的短消息、GPRS或數(shù)據(jù)包業(yè)務(wù)接收功能。 若真實用戶在第一身份認(rèn)證終端前,則會向電話自動拔號模塊回復(fù)該隨機(jī)碼,電話自動拔 號模塊對隨機(jī)碼進(jìn)行驗證。第二認(rèn)證模塊收到電話自動拔號系統(tǒng)的確認(rèn)驗證通過信息后, 第二認(rèn)證模塊發(fā)送緩存的操作請求至服務(wù)提供商服務(wù)器,同時,第二認(rèn)證模塊向HLR申請 恢復(fù)該用戶的短消息、GPRS或數(shù)據(jù)包業(yè)務(wù)接收功能。 另一方面,在關(guān)閉用戶短消息、GPRS或數(shù)據(jù)包業(yè)務(wù)接收功能期間,為防止該類數(shù)據(jù) 信息的掉失,還需通過現(xiàn)有的與短消息中心相連的短消息送達(dá)通知系統(tǒng)將用戶的數(shù)據(jù)信息 事件記錄(包括有主叫號碼,可以沒有短消息內(nèi)容),以便在用戶恢復(fù)數(shù)據(jù)功能后通知主叫 用戶重發(fā)。 同時,也為防止黑客利用手機(jī)木馬將用戶的電話呼叫轉(zhuǎn)移到自己手機(jī)上,在用戶 在第一身份認(rèn)證終端提交操作請求時,由第二認(rèn)證模塊將用戶手機(jī)的呼叫轉(zhuǎn)移功能以及已 呼轉(zhuǎn)號碼取消,以防電話自動拔號模塊的電話接到了黑客手機(jī)上。在向HLR申請關(guān)閉或恢 復(fù)用戶手機(jī)的短消息、GPRS或數(shù)據(jù)包業(yè)務(wù)接收功能的同時申請關(guān)閉或恢復(fù)用戶手機(jī)的呼叫 轉(zhuǎn)移功能及呼轉(zhuǎn)號碼。 本發(fā)明能有效地認(rèn)證用戶身份。應(yīng)用到現(xiàn)有的銀行系統(tǒng)中,不僅能阻止網(wǎng)絡(luò)非法 轉(zhuǎn)帳,極力保障資金安全,同時還能有效地防止復(fù)制的銀行卡在ATM機(jī)上瘋狂套現(xiàn)。應(yīng)用到 網(wǎng)絡(luò)游戲服務(wù)器中也能有效阻止用戶游戲裝備被盜。 以上實施例中,只要不是互斥的技術(shù)方案,均可根據(jù)應(yīng)用環(huán)境的需要選擇性地進(jìn) 行結(jié)合。以上所述僅為本發(fā)明的較佳實施方案而已,并不用以限制本發(fā)明,凡在本發(fā)明的精 神、理念和原則之內(nèi),所作的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之 內(nèi)。
權(quán)利要求
基于移動通信獨立通道的雙身份認(rèn)證方法,包括以下步驟a、第一身份認(rèn)證終端通過互聯(lián)網(wǎng)絡(luò)與第一身份認(rèn)證模塊進(jìn)行第一次身份認(rèn)證;如認(rèn)證通過,進(jìn)入步驟b;否則第一次身份認(rèn)證失敗,拒絕第一身份認(rèn)證終端對服務(wù)提供商服務(wù)器的訪問;所述第一身份認(rèn)證終端為用戶交易終端;b、第一身份認(rèn)證終端向服務(wù)提供商服務(wù)器提交操作請求;d、服務(wù)提供商服務(wù)器執(zhí)行第一身份認(rèn)證終端的操作請求;其特征在于,步驟b之后、步驟d之前還包括步驟c第二身份認(rèn)證模塊通過移動通信網(wǎng)絡(luò)與用戶手機(jī)進(jìn)行第二次身份認(rèn)證;如第二次身份認(rèn)證通過,則進(jìn)入步驟d;否則,第二次身份認(rèn)證失敗,終止第一身份認(rèn)證終端對服務(wù)提供商服務(wù)器的操作。
2. 如權(quán)利要求1所述基于移動通信獨立通道的雙身份認(rèn)證方法,其特征在于,所述步驟C具體包括以下步驟第二身份認(rèn)證模塊接收并緩存第一身份認(rèn)證終端提交的操作請求,并通過移動通信網(wǎng)絡(luò)向用戶手機(jī)發(fā)送第二次身份認(rèn)證請求;第二身份認(rèn)證模塊判斷在設(shè)定時間內(nèi)是否收到用戶手機(jī)通過移動通信網(wǎng)絡(luò)回送的第二次身份認(rèn)證信息,如收到,進(jìn)入下一步;否則,第二次身份認(rèn)證失敗,終止第一身份認(rèn)證終端對服務(wù)提供商服務(wù)器的操作;第二身份認(rèn)證模塊驗證第二次身份認(rèn)證信息,如第二次身份認(rèn)證通過,則向服務(wù)提供商服務(wù)器轉(zhuǎn)發(fā)所述緩存的操作請求后進(jìn)入步驟d ;否則,第二次身份認(rèn)證失敗,終止第一身份認(rèn)證終端對服務(wù)提供商服務(wù)器的操作。
3. 如權(quán)利要求1所述基于移動通信獨立通道的雙身份認(rèn)證方法,其特征在于,所述步驟C具體包括以下步驟第二身份認(rèn)證模塊接收第一身份認(rèn)證終端提交操作請求后,通過移動通信網(wǎng)絡(luò)向用戶手機(jī)發(fā)送第二次身份認(rèn)證請求;第二身份認(rèn)證模塊判斷在設(shè)定時間內(nèi)是否收到用戶手機(jī)通過移動通信網(wǎng)絡(luò)回送的第二次身份認(rèn)證信息,如收到,進(jìn)入下一步;否則,第二次身份認(rèn)證失敗,向服務(wù)提供商服務(wù)器回復(fù)認(rèn)證失敗,終止第一身份認(rèn)證終端對服務(wù)提供商服務(wù)器的操作;第二身份認(rèn)證模塊驗證第二次身份認(rèn)證信息,如第二次身份認(rèn)證通過,則向服務(wù)提供商服務(wù)器回復(fù)認(rèn)證成功,進(jìn)入步驟d;否則,第二次身份認(rèn)證失敗,向服務(wù)提供商服務(wù)器回復(fù)認(rèn)證失敗,終止第一身份認(rèn)證終端對服務(wù)提供商服務(wù)器的操作。
4. 如權(quán)利要求2或3所述基于移動通信獨立通道的雙身份認(rèn)證方法,其特征在于,第二次身份認(rèn)證請求與第二次身份認(rèn)證信息以短消息或GPRS/EDGE、 CDMA、3D、4D的寬帶無線數(shù)據(jù)包形式進(jìn)行傳送。
5. 如權(quán)利要求1所述基于移動通信獨立通道的雙身份認(rèn)證方法,其特征在于,所述步驟c具體包括以下步驟第二身份認(rèn)證模塊接收并緩存第一身份認(rèn)證終端提交的操作請求并生成隨機(jī)碼顯示于第一身份認(rèn)證終端,并通知電話自動撥號模塊通過移動通信網(wǎng)絡(luò)向用戶手機(jī)以電話語音形式發(fā)送第二次身份認(rèn)證請求,同時向移動通信網(wǎng)絡(luò)中的歸屬位置寄存器HLR申請關(guān)閉用戶手機(jī)的短消息、GPRS或數(shù)據(jù)包業(yè)務(wù)接收功能;電話自動撥號模塊判斷在設(shè)定時間內(nèi)用戶手機(jī)是通過移動通信網(wǎng)絡(luò)回送第二次身份認(rèn)證信息,如是,進(jìn)入下一步;否則,電話自動撥號模塊通知第二身份認(rèn)證模塊第二次身份認(rèn)證失敗,終止第一身份認(rèn)證終端對服務(wù)提供商服務(wù)器的操作,同時向移動通信網(wǎng)絡(luò)中的歸屬位置寄存器申請恢復(fù)用戶手機(jī)的短消息、GPRS或數(shù)據(jù)包業(yè)務(wù)接收功能;電話自動撥號模塊驗證第二次身份認(rèn)證信息是否與隨機(jī)碼一致,如是,電話自動撥號模塊通知第二身份認(rèn)證模塊第二次身份認(rèn)證通過,第二身份認(rèn)證模塊向服務(wù)提供商服務(wù)器轉(zhuǎn)發(fā)所述緩存的操作請求,同時向移動通信網(wǎng)絡(luò)中的歸屬位置寄存器申請恢復(fù)用戶手機(jī)的短消息、GPRS或數(shù)據(jù)包業(yè)務(wù)接收功能后進(jìn)入步驟d ;否則,電話自動撥號模塊通知第二身份認(rèn)證模塊第二次身份認(rèn)證失敗,終止第一身份認(rèn)證終端對服務(wù)提供商服務(wù)器的操作,同時向移動通信網(wǎng)絡(luò)中的歸屬位置寄存器申請恢復(fù)用戶手機(jī)的短消息、GPRS或數(shù)據(jù)包業(yè)務(wù)接收功能。
6. 如權(quán)利要求5所述基于移動通信獨立通道的雙身份認(rèn)證方法,其特征在于,在所述申請關(guān)閉用戶手機(jī)的短消息、GPRS或數(shù)據(jù)包業(yè)務(wù)接收功能的同時申請取消用戶手機(jī)的呼叫轉(zhuǎn)移功能及已呼轉(zhuǎn)的號碼;在所述申請恢復(fù)用戶手機(jī)的短消息、GPRS或數(shù)據(jù)包業(yè)務(wù)接收功能的同時申請恢復(fù)用戶手機(jī)的呼叫轉(zhuǎn)移功能及已呼轉(zhuǎn)的號碼。
7. 基于移動通信獨立通道的雙身份認(rèn)證系統(tǒng),包括服務(wù)提供商服務(wù)器、第一身份認(rèn)證模塊、第一身份認(rèn)證終端,所述第一身份認(rèn)證終端為用戶交易終端;所述第一身份認(rèn)證模塊為基于互聯(lián)網(wǎng)絡(luò)通道的身份認(rèn)證模塊;第一身份認(rèn)證模塊與服務(wù)提供商服務(wù)器相連,第一身份認(rèn)證模塊與互聯(lián)網(wǎng)絡(luò)相連,第一身份認(rèn)證終端與互聯(lián)網(wǎng)絡(luò)相連,第一身份認(rèn)證模塊通過互聯(lián)網(wǎng)絡(luò)與第一身份認(rèn)證終端進(jìn)行第一次身份認(rèn)證;其特征在于,還包括第二身份認(rèn)證模塊、用戶手機(jī),第二身份認(rèn)證模塊與服務(wù)提供商服務(wù)器相連,第二身份認(rèn)證模塊還與移動通信網(wǎng)絡(luò)連接,用戶手機(jī)與移動通信網(wǎng)絡(luò)無線連接;第二身份認(rèn)證模塊與用戶手機(jī)之間通過移動通信網(wǎng)絡(luò)進(jìn)行第二次身份認(rèn)證;所述第二身份認(rèn)證模塊用于根據(jù)第二次身份認(rèn)證結(jié)果控制服務(wù)提供商服務(wù)器執(zhí)行或終止第一身份認(rèn)證終端的操作請求。
8. 如權(quán)利要求7所述基于移動通信獨立通道的雙身份認(rèn)證系統(tǒng),其特征在于,所述第二身份認(rèn)證模塊在收到第一身份認(rèn)證終端作的操作請求時,緩存操作請求;發(fā)起二次身份認(rèn)證請求;根據(jù)第二次身份認(rèn)證結(jié)果轉(zhuǎn)發(fā)或丟棄所述操作請求。
9. 如權(quán)利要求8所述基于移動通信獨立通道的雙身份認(rèn)證系統(tǒng),其特征在于,還包括電話自動撥號模塊,所述第二身份認(rèn)證模塊通過電話自動撥號模塊與數(shù)字蜂窩移動通信網(wǎng)絡(luò)中的移動交換中心相連;所述第二身份認(rèn)證模塊還與數(shù)字蜂窩移動通信網(wǎng)絡(luò)中的歸屬位置寄存器相連;所述第二身份認(rèn)證模塊還與數(shù)字蜂窩移動通信網(wǎng)絡(luò)中的短信中心或短信網(wǎng)關(guān)相連;所述第二身份認(rèn)證模塊還與短消息送達(dá)通知系統(tǒng)相連,歸屬位置寄存器與移動交換中心相連;所述第二身份認(rèn)證模塊還用于在緩存第一身份認(rèn)證終端操作請求時,在第一身份認(rèn)證終端上生成并顯示隨機(jī)碼,同時,通知電話自動撥號模塊向用戶手機(jī)自動拔號,以進(jìn)行第二次身份認(rèn)證請求;向歸屬位置寄存器申請關(guān)閉或恢復(fù)用戶手機(jī)的短消息、GPRS或數(shù)據(jù)包業(yè)務(wù)接收功能;所述電話自動撥號模塊用于通過電話語音形式向用戶手機(jī)發(fā)送第二身份認(rèn)證請求;驗證用戶手機(jī)輸入的第二身份認(rèn)證信息是否與隨機(jī)碼一致,并向第二身份認(rèn)證模塊發(fā)送第二次身份認(rèn)證結(jié)果。
10.如權(quán)利要求9所述基于移動通信獨立通道的雙身份認(rèn)證系統(tǒng),其特征在于,所述第二身份認(rèn)證模塊還用于在向歸屬位置寄存器申請關(guān)閉或恢復(fù)用戶手機(jī)的短消息、GPRS、數(shù)據(jù)包業(yè)務(wù)接收功能的同時申請關(guān)閉或恢復(fù)用戶手機(jī)的呼叫轉(zhuǎn)移功能及呼轉(zhuǎn)號碼;在恢復(fù)用戶手機(jī)的短消息、GPRS或數(shù)據(jù)包業(yè)務(wù)接收功能后,第二身份認(rèn)證模塊通過短消息送達(dá)通知系統(tǒng)將關(guān)閉短消息、GPRS或數(shù)據(jù)包業(yè)務(wù)接收功能期間的被叫用戶數(shù)據(jù)活動事件通知主叫用戶重發(fā)。
全文摘要
本發(fā)明涉及網(wǎng)絡(luò)安全認(rèn)證技術(shù)。本發(fā)明提供一種基于移動通信獨立通道的雙身份認(rèn)證安全方法以及實現(xiàn)該方法的系統(tǒng)。基于移動通信獨立通道的雙身份認(rèn)證方法,包括以下步驟a、第一身份認(rèn)證終端通過互聯(lián)網(wǎng)絡(luò)與第一身份認(rèn)證模塊進(jìn)行第一次身份認(rèn)證;b、第一身份認(rèn)證終端向服務(wù)提供商服務(wù)器提交操作請求;c、第二身份認(rèn)證模塊通過移動通信網(wǎng)絡(luò)與用戶手機(jī)進(jìn)行第二次身份認(rèn)證;如第二次身份認(rèn)證通過,則進(jìn)入步驟d;否則,第二次身份認(rèn)證失敗,終止第一身份認(rèn)證終端對服務(wù)提供商服務(wù)器的操作;d、服務(wù)提供商服務(wù)器執(zhí)行第一身份認(rèn)證終端的操作請求。本發(fā)明安全級別高、用戶使用方便,且能對服務(wù)提供商服務(wù)器端的帳戶變化進(jìn)行實時監(jiān)控。
文檔編號H04L29/06GK101795454SQ201010108538
公開日2010年8月4日 申請日期2010年2月10日 優(yōu)先權(quán)日2010年2月10日
發(fā)明者熊文俊 申請人:熊文俊