CN102299922A - 在互联网上用户通过手机注册与身份验证的方法 - Google Patents
在互联网上用户通过手机注册与身份验证的方法 Download PDFInfo
- Publication number
- CN102299922A CN102299922A CN2011102364649A CN201110236464A CN102299922A CN 102299922 A CN102299922 A CN 102299922A CN 2011102364649 A CN2011102364649 A CN 2011102364649A CN 201110236464 A CN201110236464 A CN 201110236464A CN 102299922 A CN102299922 A CN 102299922A
- Authority
- CN
- China
- Prior art keywords
- user
- server
- registration
- note
- superencipher
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
在互联网上用户通过手机注册与身份验证的方法,涉及互联网安全技术,尤其是在互联网上用户通过手机注册与身份验证的安全问题,通过该方法用户注册所需要的用户密码由服务器自动产生,通过手机短信发送到用户的于机程序中,用户手机程序与服务器任何时候都不交换明码形式的密码,黑客即使拦截手机程序与服务器的数据交换,也只能靠破解经两次加密的加密密码才能还原出用户密码,而服务器保证了用户密码的高安全等级,因此,黑客还原出用户密码的难度是非常大的。
Description
技术领域
本发明涉及互联网安全技术,尤其是在互联网上用户通过手机注册与身份验证的安全问题。
背景技术
一般而言,互联网用户在电脑上的注册过程是,一、输入用户名,用户名经注册服务器核实具有唯一性即可使用;二、设定初始密码。对于用户自己设定的初始密码,注册服务器尽管结合密码长度与密码字符的选用可给出密码的安全等级,但为了兼顾用户记忆方便,注册服务器往往不会强制要求用户选用安全等级高的密码。
现在,用户通过手机在互联网上的注册方式基本上沿用了互联网用户在电脑上的注册方式,输入用户名和设定初始密码,并且仍然为了兼顾用户记忆方便,对用户设定的初始密码也同样未强制进行安全等级要求。
这实际上存在严重的安全问题。与电脑操作系统相比,手机操作系统明显受内存、CPU限制,功能相对较弱。手机与互联网服务器交换数据时,数据更容易被驻留在手机内的黑客程序拦截。用户设定的初始密码在安全等级不高的情况下就容易被黑客破解。
因此,针对互联网用户通过手机注册与身份验证必须强化密码的安全等级,确保用户身份验证机制不被黑客不法利用。
发明内容
互联网用户通过输入用户名和设定初始密码的注册方式具有的明显问题:
一、为了记忆方便,用户在不同的系统中往往采用相同的密码,这可能导致某系统的密码被破解,其他系统的安全性就随之得不到保证;
二、为了记忆方便,用户密码的安全等级不可能被强制使用最高等级。使用安全等级较低的密码无疑为密码破解提供机会。
事实上,用户通过手机注册时,与电脑操作系统相比,手机操作系统明显受内存、CPU限制,功能相对较弱。手机与互联网服务器交换数据时,数据更容易被驻留在手机内的黑客程序拦截。用户设定的初始密码在安全等级不高的情况下就容易被黑客破解。
因此,针对用户通过手机注册与身份验证,密码安全等级必须足够高,确保黑客的破解难度足够大。即设定初始密码不能再以用户是否记忆方便为前提。
本发明的核心思想是:对用户通过手机注册与身份验证,
一、由互联网服务器自动给出安全等级足够高的密码,该密码无需用户记录、记忆;
二、由独立于互联网的短信通道将密码送达到手机程序;
三、手机与服务器交换数据时,密码被两次加密,确保密码不被破解;
四、密码经两次加密后,只被一次性使用,确保密码即使被拦截,也不能被再次使用。
具体的发明方案是:
用户通过手机注册与身份验证的方法,包括:
(1)手机注册;
(2)服务器注册处理;
(3)身份验证;
其中手机注册,步骤:
(1)用户将程序下载并安装至手机,通过手机程序输入手机号,连接服务器,将手机号作为用户名发送到服务器上,同时将手机程序的用户密码值赋空;
(2)考虑到短信传输可能延迟,设短信监测周期为3分钟,开启手机程序内的短信监测周期,在短信监测周期内,每隔1秒钟定时监测来自服务器的短信到达,如果用户密码短信到达,则手机程序从该短信中取出密码,赋值给手机程序的用户密码,同时停止短信监测;
(3)超过短信监测周期,来自服务器的用户密码短信仍未到达,则提示用户重新开启短信监测周期或手机号输入错误需要重新输入手机号;
其中服务器注册处理,步骤:
(1)服务器接收到手机程序传送的手机号后,生成一个随机的安全等级高的密码,服务器将该密码通过短信按用户输入的手机号发送给用户;
(2)同时,服务器将该密码经加密后,称一次加密,暂存于服务器的数据库中,该数据库称注册数据库;
(3)如果身份校验时,暂存于服务器的一次加密与手机程序上传随机字符串合成后再加密形成的二次加密与手机程序上传的二次加密匹配,则在服务器的校验数据库中新增或更新记录项,该记录项以作为用户名的手机号为关键字,至少含有暂存于服务器的一次加密;
其中身份验证,步骤:
(1)需要身份验证时,手机程序先自动生成一个随机字符串;
(2)手机程序将用户密码加密,称一次加密;
(3)手机程序将一次加密与先自动生成的随机字符串合成,成为一个新的字符串,将此字符串加密,称二次加密;
(4)将二次加密和先自动生成的随机字符串同时上传至服务器;
(5)服务器首先在校验数据库中按手机号查找对应项,如果有对应项,则提取一次加密,转向(6),否则,转向注册数据库继续查找对应项,如果有对应项,则提取一次加密,转向(7),否则,视同黑客攻击,记录相关攻击信息后退出;
(6)将提取的一次加密与手机程序上传随机字符串合成后再加密形成的二次加密与手机程序上传的二次加密匹配,如果两个二次加密匹配,则身份验证成功,记录登陆信息后继续手机程序的其他操作,否则,转向注册数据库继续查找对应项,如果有对应项,则提取一次加密,转向(7),否则,视同黑客攻击,记录相关攻击信息后退出;
(7)将提取的一次加密与手机程序上传随机字符串合成后再加密形成的二次加密与手机程序上传的二次加密匹配,如果两个二次加密匹配,则身份验证成功,进一步完成服务器注册处理步骤(3),且记录相关登陆信息后,继续手机程序的其他操作,否则,视同黑客攻击,记录相关攻击信息后退出。
本发明的有益效果是:
一、用户通过手机注册成为互联网用户所需要的用户密码不再与用户的记忆挂钩,不再需要用户记录、记忆,可以提高密码的安全等级。
二、用户密码由服务器自动产生,仅与用户涉及的系统相关。用户在其他系统可能因为黑客攻击,导致密码被破解而引发的安全性问题不会蔓延到本发明中。
三、本发明所产生的用户密码是通过手机短信到达用户的手机程序中,用户手机程序与服务器任何时候都不交换明码形式的密码。黑客即使拦截手机程序与服务器的数据交换,也只能靠破解经两次加密的加密密码才能还原出用户密码,而服务器保证了用户密码的高安全等级,因此,黑客还原出用户密码的难度是非常大的。
四、用户密码通过手机短信到达用户的手机程序中,这也说明用户密码是不需要用户输入的,因此,黑客靠监听键盘输入从而获取用户密码的路也被堵死了。
五、综上所述,本发明提高了用户通过手机注册与身份验证的安全性,免除了用户对用户密码的记忆问题,切断了其他系统安全性问题对本发明的牵连,对在互联网上日益普及的手机应用具有非常重要的意义。
附图说明
图1是服务器、手机程序、短信三者关系图。
具体实施方式
在本发明中:
一、为了减少用户输入手机号可能出现的错误,在手机程序中可以增加一个手机号校验功能。就是在用户输入手机号后,通过程序向输入的手机号发送一条测试短信。如果手机程序能接收到该测试短信,则手机号输入正确,否则,则提示用户手机号可能输入错误。
二、尽管短信在发送过程中是可能延迟的,但是大多数情况下短信的延迟也有限度,因此,短信监测周期设为3分钟是合理的。调整短信监测周期的长度是不能从本质上克服短信延迟的。
三、本发明实现加密的方式是MD5。本发明不排除其他的加密实现方式。
四、尽管本发明仅讨论了用户密码的二次加密,但是,二次加密不是本发明必需的。因此应用本发明也可以采用一次加密方式,只是一次加密被黑客破解的可能性会增大。
五、显然,如果不进行任何加密,采用用户密码原形传输,用户密码就形同虚设,其安全性是有严重欠缺的。这不在本发明的讨论范畴内。
六、在本发明中,服务器用户密码的短信发送过程,可以简化为:用一个手机作为短信服务器。在该短信服务器上通过程序定时监测服务器的注册信息,一旦服务器有用户注册需要发送用户密码,则从服务器中获取手机号和用户密码,自动将用户密码按手机号发送到对应手机上。
七、在本发明中,用户密码的发送是通过短信实现的。这与通过电子邮件方式发送用户密码不冲突。即本发明的用户密码的短信发送也可以变更为电子邮件发送。但是,电子邮件是可以被黑客读取的,其数据传送的独立性没有短信强,其安全性保证没有短信高。
八、本发明实现的是手机注册与身份验证的最佳方式。其他简化的方式在本发明中也一并提及,在互联网上使用用户手机注册与身份验证的这些简化方式或本质上类似方式也同样构成对本发明的侵权。
Claims (1)
1.用户通过手机注册与身份验证的方法,包括:
(1)手机注册;
(2)服务器注册处理;
(3)身份验证;
其中手机注册,步骤:
(1)用户将程序下载并安装至手机,通过手机程序输入手机号,连接服务器,将手机号作为用户名发送到服务器上,同时将手机程序的用户密码值赋空;
(2)考虑到短信传输可能延迟,设短信监测周期为3分钟,开启手机程序内的短信监测周期,在短信监测周期内,每隔1秒钟定时监测来自服务器的短信到达,如果用户密码短信到达,则手机程序从该短信中取出密码,赋值给手机程序的用户密码,同时停止短信监测;
(3)超过短信监测周期,来自服务器的用户密码短信仍未到达,则提示用户重新开启短信监测周期或手机号输入错误需要重新输入手机号;
其中服务器注册处理,步骤:
(1)服务器接收到手机程序传送的手机号后,生成一个随机的安全等级高的密码,服务器将该密码通过短信按用户输入的手机号发送给用户;
(2)同时,服务器将该密码经加密后,称一次加密,暂存于服务器的数据库中,该数据库称注册数据库;
(3)如果身份校验时,暂存于服务器的一次加密与手机程序上传随机字符串合成后再加密形成的二次加密与手机程序上传的二次加密匹配,则在服务器的校验数据库中新增或更新记录项,该记录项以作为用户名的手机号为关键字,至少含有暂存于服务器的一次加密;
其中身份验证,步骤:
(1)需要身份验证时,手机程序先自动生成一个随机字符串;
(2)手机程序将用户密码加密,称一次加密;
(3)手机程序将一次加密与先自动生成的随机字符串合成,成为一个新的字符串,将此字符串加密,称二次加密;
(4)将二次加密和先自动生成的随机字符串同时上传至服务器;
(5)服务器首先在校验数据库中按手机号查找对应项,如果有对应项,则提取一次加密,转向(6),否则,转向注册数据库继续查找对应项,如果有对应项,则提取一次加密,转向(7),否则,视同黑客攻击,记录相关攻击信息后退出;
(6)将提取的一次加密与手机程序上传随机字符串合成后再加密形成的二次加密与手机程序上传的二次加密匹配,如果两个二次加密匹配,则身份验证成功,记录登陆信息后继续手机程序的其他操作,否则,转向注册数据库继续查找对应项,如果有对应项,则提取一次加密,转向(7),否则,视同黑客攻击,记录相关攻击信息后退出;
(7)将提取的一次加密与手机程序上传随机字符串合成后再加密形成的二次加密与手机程序上传的二次加密匹配,如果两个二次加密匹配,则身份验证成功,进一步完成服务器注册处理步骤(3),且记录相关登陆信息后,继续手机程序的其他操作,否则,视同黑客攻击,记录相关攻击信息后退出。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011102364649A CN102299922A (zh) | 2011-08-08 | 2011-08-08 | 在互联网上用户通过手机注册与身份验证的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011102364649A CN102299922A (zh) | 2011-08-08 | 2011-08-08 | 在互联网上用户通过手机注册与身份验证的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102299922A true CN102299922A (zh) | 2011-12-28 |
Family
ID=45360097
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011102364649A Pending CN102299922A (zh) | 2011-08-08 | 2011-08-08 | 在互联网上用户通过手机注册与身份验证的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102299922A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102694794A (zh) * | 2012-05-06 | 2012-09-26 | 北京深思洛克软件技术股份有限公司 | 一种用于安卓应用程序的场景信息保护方法 |
| CN102791024A (zh) * | 2012-06-25 | 2012-11-21 | 华为软件技术有限公司 | 一种注册方法及客户端设备 |
| CN103188665A (zh) * | 2011-12-31 | 2013-07-03 | 中国移动通信集团北京有限公司 | 提高接收广告的手机的安全性的系统、方法及装置 |
| CN103384248A (zh) * | 2013-07-08 | 2013-11-06 | 张忠义 | 一种可以防止黑客程序再次登陆的方法 |
| CN103391292A (zh) * | 2013-07-18 | 2013-11-13 | 百度在线网络技术(北京)有限公司 | 针对移动应用的安全登录方法、系统和装置 |
| CN104469769A (zh) * | 2014-11-18 | 2015-03-25 | 张忠义 | 一种新的一键注册方法 |
| CN110149625A (zh) * | 2019-06-14 | 2019-08-20 | 北京么登科技有限公司 | 手机号码验证方法及系统 |
| CN112836200A (zh) * | 2021-02-02 | 2021-05-25 | 嘉应学院 | 一种物联网Paas平台系统 |
| CN116319046A (zh) * | 2023-04-04 | 2023-06-23 | 广州市单元信息科技有限公司 | 一种账户身份核验方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1956375A (zh) * | 2005-10-24 | 2007-05-02 | 潘静 | 一种基于网络的动态口令身份认证方法及系统 |
| CN101163014A (zh) * | 2007-11-30 | 2008-04-16 | 中国电信股份有限公司 | 一种动态口令身份认证系统和方法 |
| CN101257489A (zh) * | 2008-03-20 | 2008-09-03 | 陈珂 | 一种保护账号安全的方法 |
| US20090210712A1 (en) * | 2008-02-19 | 2009-08-20 | Nicolas Fort | Method for server-side detection of man-in-the-middle attacks |
| CN101616409A (zh) * | 2009-07-28 | 2009-12-30 | 徐嵩 | 一种动态口令认证方法 |
-
2011
- 2011-08-08 CN CN2011102364649A patent/CN102299922A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1956375A (zh) * | 2005-10-24 | 2007-05-02 | 潘静 | 一种基于网络的动态口令身份认证方法及系统 |
| CN101163014A (zh) * | 2007-11-30 | 2008-04-16 | 中国电信股份有限公司 | 一种动态口令身份认证系统和方法 |
| US20090210712A1 (en) * | 2008-02-19 | 2009-08-20 | Nicolas Fort | Method for server-side detection of man-in-the-middle attacks |
| CN101257489A (zh) * | 2008-03-20 | 2008-09-03 | 陈珂 | 一种保护账号安全的方法 |
| CN101616409A (zh) * | 2009-07-28 | 2009-12-30 | 徐嵩 | 一种动态口令认证方法 |
Non-Patent Citations (1)
| Title |
|---|
| 景笑梅: "《统一身份认证平台技术开发与应用》", 《信息安全与通信保密 》, 30 June 2010 (2010-06-30) * |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103188665B (zh) * | 2011-12-31 | 2016-01-27 | 中国移动通信集团北京有限公司 | 提高接收广告的手机的安全性的系统、方法及装置 |
| CN103188665A (zh) * | 2011-12-31 | 2013-07-03 | 中国移动通信集团北京有限公司 | 提高接收广告的手机的安全性的系统、方法及装置 |
| CN102694794A (zh) * | 2012-05-06 | 2012-09-26 | 北京深思洛克软件技术股份有限公司 | 一种用于安卓应用程序的场景信息保护方法 |
| CN102694794B (zh) * | 2012-05-06 | 2016-05-04 | 北京深思数盾科技股份有限公司 | 一种用于安卓应用程序的场景信息保护方法 |
| CN102791024A (zh) * | 2012-06-25 | 2012-11-21 | 华为软件技术有限公司 | 一种注册方法及客户端设备 |
| CN103384248A (zh) * | 2013-07-08 | 2013-11-06 | 张忠义 | 一种可以防止黑客程序再次登陆的方法 |
| CN103384248B (zh) * | 2013-07-08 | 2016-03-02 | 张忠义 | 一种可以防止黑客程序再次登陆的方法 |
| CN103391292A (zh) * | 2013-07-18 | 2013-11-13 | 百度在线网络技术(北京)有限公司 | 针对移动应用的安全登录方法、系统和装置 |
| CN104469769A (zh) * | 2014-11-18 | 2015-03-25 | 张忠义 | 一种新的一键注册方法 |
| CN104469769B (zh) * | 2014-11-18 | 2018-11-20 | 张忠义 | 一种新的一键注册方法 |
| CN110149625A (zh) * | 2019-06-14 | 2019-08-20 | 北京么登科技有限公司 | 手机号码验证方法及系统 |
| CN112836200A (zh) * | 2021-02-02 | 2021-05-25 | 嘉应学院 | 一种物联网Paas平台系统 |
| CN116319046A (zh) * | 2023-04-04 | 2023-06-23 | 广州市单元信息科技有限公司 | 一种账户身份核验方法及系统 |
| CN116319046B (zh) * | 2023-04-04 | 2023-09-01 | 广州市单元信息科技有限公司 | 一种账户身份核验方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102299922A (zh) | 在互联网上用户通过手机注册与身份验证的方法 | |
| US8984295B2 (en) | Secure access to electronic devices | |
| CN108092776B (zh) | 一种基于身份认证服务器和身份认证令牌的系统 | |
| WO2020237868A1 (zh) | 数据传输方法、电子设备、服务器及存储介质 | |
| EP3319292B1 (en) | Methods, client and server for checking security based on biometric features | |
| CN103906054B (zh) | 物联网软件功能模块授权方法及系统 | |
| CN101051904B (zh) | 一种保护网络应用程序使用账号密码进行登录的方法 | |
| CN111783075A (zh) | 基于密钥的权限管理方法、装置、介质及电子设备 | |
| US20210105270A1 (en) | Identity authentication method and system based on wearable device | |
| CN105743638B (zh) | 基于b/s架构系统客户端授权认证的方法 | |
| US20080010673A1 (en) | System, apparatus, and method for user authentication | |
| CN105656862B (zh) | 认证方法及装置 | |
| US9313185B1 (en) | Systems and methods for authenticating devices | |
| US20210014226A1 (en) | Wearable device-based identity authentication method and system | |
| CN101420298B (zh) | 协商密钥的方法和系统 | |
| CN104917748B (zh) | 一种用于对密码信息进行换算和处理的方法和装置 | |
| CN101808077A (zh) | 信息安全输入处理系统和方法以及智能卡 | |
| CN105978688B (zh) | 一种基于信息分离管理的跨网域安全认证方法 | |
| CN114697113B (zh) | 一种基于硬件加速卡的多方隐私计算方法、装置及系统 | |
| CN115801287A (zh) | 签名认证方法和装置 | |
| CN104394532A (zh) | 移动端防暴力破解的安全登录方法 | |
| CN101527706B (zh) | 一种提高网络安全的数字认证方法 | |
| KR102104823B1 (ko) | 인증프로세스의 단계분할과 생체인증을 접목한 개인정보침해 방어 방법 및 시스템 | |
| CN109462620A (zh) | 一种基于多种安全验证方式实现密码找回方法及系统 | |
| KR20180029932A (ko) | 암호화 보안 메시지 제공 방법 및 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20111228 |