专利名称:一种网络账户安全防护方法
技术领域:
本发明涉及金融安全防范领域,尤其涉及电子商务、网上虚拟货币交易账户安全 防护方法。
背景技术:
随着技术进步和社会的不断发展,现在因特网已经深入影响到人们生活的方方面 面,网上购物、网络游戏、网上贸易、网上在线支付等等新兴的商务模式为用户带来更多生 活便利。同时,由于这些基于因特网的用户活动常常会涉及用户与系统之间或用户与用户 之间的账户交易,其用户账户的安全性就显得日益重要,一旦其账户信息被黑客或不法分 子窃取就会给用户造成物质和精神上的损失。虽然电子商务网站、网络游戏网站、网上第三方支付平台等服务都采用了一系列 安全防范技术,如加密、密钥管理、电子签名、采用CA安全认证系统等等,但是这些防范措 施主要针对网络信息传输环节,对于用户账户本身的安全保护仍嫌不足。网站后台系统通 常通过用户账户的名称和密码来进行用户登陆认证,而账户认证信息直到用户下一次主动 修改完成之前都是固定不变的,由于网络的相对开放性和通达性,不法分子一旦窃取了他 人网络账户信息就可以很轻易地骗过网站的鉴权认证环节进入用户在网站上的个人空间 随意操作,包括对个人账户的余额转移、支付、交易以及积分兑换等。而用户却毫不知情,往 往要到下次登陆网站进行账户操作时才会发现。由此可见,消费者需要一种简单易行、成本可控的防止网络账户被盗用的方法,用 以保护网络账户安全以及自己的合法权益。
发明内容
本发明提出一种利用动态密码技术防止网络账户被盗用的方法。该方法包括以下 步骤(1)确定与用户账户绑定的N个认证密码,N > 1 ;(2)在随后的用户账户操作中循环使用这N个密码作为认证密码。其中N个认证 密码的确定包括设置或修改N的数值,设置或修改N个密码的内容以及先后顺序;循环使用 这N个密码进一步包括以下步骤(a)自动选择第一个密码作为随后第一次账户操作的认证密码;(b)每次用户账户操作完成后,按照先后顺序自动选择下一个密码作为下次账户 操作的认证密码,依次类推直到用完N个密码后再次回到第一个密码;(C)重复步骤(b)的操作,直到下一次修改密码后回到步骤(a)。运用本发明的方法不用改变现有网站系统的构成和业务流程,实施成本低廉,用 户使用方便。对于一些网络虚拟电子支付账户,象支付宝和快钱等电子商务第三方支付平 台的账户、网络游戏网站的用户充值账户、其它各类电子商务网站的用户充值账户等等,都 可以采用本发明提出的动态密码技术来保护用户的账户安全,防止他人盗用,增强系统安全性能。
图1是本发明方法基本思想示意图;图2是本发明方法实施步骤说明;图3是本发明一个实施例的示意图;图4是本发明另一个实施例的示意图。
具体实施例方式下面结合附图详细说明本发明的
具体实施例方式本发明利用动态密码技术可以较好地改善目前各类网站在用户账户安全防护方 面的薄弱环节,该方法的基本思想如图1所示,即改变目前用户账户和认证密码是一对一 绑定的做法,改成一个账号和多个认证密码绑定,网站后台系统循环使用这些密码进行账 户操作认证。所述账户操作包括用户登陆以及登陆后的任何涉及该用户名下网络虚拟资产 的操作,包括账户查询、账户内虚拟货币的买入卖出、虚拟货币在不同账户之间的转移、支 付、账户名下积分兑换和修改密码等操作。该方法的具体步骤如图2所示第一步,确定用户账户认证密码的数量N以及这N个密码的内容;第二步,网站后台系统自动选择第一个密码作为此后第一次用户账户操作的认证 密码;第三步,每次账户操作后,网站后台系统按照预先设定的先后顺序自动选择下一 个密码作为用户下次账户操作的认证密码,依次类推直到用完N个密码后再次回到第一个 密码,如此循环使用N个密码,直到下一次修改密码。为了促使用户尽快熟悉这个循环使用多个密码的新方法并进一步提供安全防范, 可以在每次变更密码后发送短信通知给用户手机,通告本次账户操作情况并提醒用户认证 密码已经自动变更为第η个密码,η为系统自动设置的下次操作的认证密码序号。当网站 后台系统发现某用户账户在请求认证时使用的是上一个有效认证密码时,可以发送提醒短 信给用户手机,提醒用户认证密码已经自动变更为第η个密码。若发现有人多次重复尝试 上一个有效认证密码,则给用户手机发送警示信息,通告多次不成功尝试的时间和认证请 求发起端的网络地址信息。上述用户手机是指用户在注册开通此网络账户时登记的绑定手 机。采用上述方法后的安全防范效果显而易见,即使犯罪分子通过某种手段窃取了用 户的网络账户信息,也无法利用这些信息立即窃取他人网络账户内的虚拟资产,这是因为 此时原密码已经暂时失效,网站后台系统已经自动更新此账户的认证密码,而新密码只有 用户本人知道且网站后台鉴权认证系统有记录。理论上,犯罪分子可以长时间利用窃取的 账户信息不断尝试直到网站后台系统通过循环使用再次绑定这个认证密码。但实际上这种 风险几乎不存在,这是因为网站后台系统在密码认证失败后自动发出的提示或警示信息会 马上让用户意识到其网络账户正在被盗用,用户可以据此马上采取措施防止损失。本发明提出的网络账户和多个认证密码绑定并循环使用这多个密码的方法可以 通过两种途径实现
第一种如图3所示,对原有网站后台系统中的Web服务单元进行软件升级,使得用 户可以设置N个密码及其先后顺序,N > 1。同时升级数据库和鉴权认证单元,使得用户账 户的数据库记录中银行卡号和交易密码的绑定关系变为一对N的关系,认证服务器依次循 环使用这N个认证密码。这种实现途径不需要改变现有网站后台系统的功能单元和工作流 程,只需要对上述涉及的单元做功能上的升级,对一些功能单元内部工作流程做稍许变动。第二种途径如图4所示,在网站后台系统中增加一个独立的用户网络账户密码服 务单元,专门负责用户为自己的网络账户设置/修改多个密码。该密码服务单元通过因特 网向用户提供设置、修改密码的用户界面,并且在用户完成N个密码的设置/修改后自动更 新网站后台系统数据库中该用户账户信息,将其中的账户认证密码更新为用户设置的第一 个认证密码。随后在每次用户账户操作后,密码服务单元受用户账户操作信息触发自动针 对该用户账户进行一次认证密码更新操作,将认证密码设置为当前密码的下一个密码,如 果当前密码已经是第N个即最后一个,则设置为第一个密码。这种实现途径不需要改变现 有网站后台系统的任何功能单元和主要工作流程,只需增加一个独立的密码服务单元。本行业技术人员应该理解,前述短信通知功能有很多现有的实现技术,如内置短 信机或内置短信发送模块并连接移动网络中的短信网关,因此在上述本发明实施方式中没 有详细说明。以上结合实例介绍了本发明提供的方法,不脱离本发明的范围和构思,上述防止 他人盗用网络帐户的方法可以做出多种改变和变形。本发明的范围由所附权利要求书确定。
权利要求
1.一种网络账户安全防范方法,所述方法包括以下步骤(1)确定与用户账户绑定的N个认证密码,N> 1 ;(2)在随后的用户账户操作中循环使用这N个密码作为认证密码。
2.根据权利要求1所述的方法,其特征进一步在于,步骤(1)所述方法进一步包括以下 步骤(a)确定N的数值;(b)确定N个密码的内容和先后顺序。
3.根据权利要求1中所述的方法,其特征进一步在于,步骤( 所述方法进一步包括以 下步骤(a)自动选择第一个密码作为随后第一次账户操作的认证密码;(b)每次用户账户操作完成后,按照先后顺序自动选择下一个密码作为下次账户操作 的认证密码,依次类推直到用完N个密码后再次回到第一个密码;(c)重复步骤(b)的操作,直到下一次修改密码后回到步骤(a)。
4.根据权利要求1-3任一项中所述的方法,其特征进一步在于,所述账户操作包括账 户登陆、查询、账户内虚拟货币的买入卖出、虚拟货币在不同账户之间的转移、支付、账 户名 下积分兑换和修改密码操作。
5.根据权利要求1-4任一项中所述的方法,其特征进一步在于,在完成每次账户操作 的密码认证后自动向关联手机发出提示、提醒或警示信息,所述关联手机是指用户在注册 开通此账户时登记的绑定手机。
6.根据权利要求1-5任一项中所述的方法,其特征进一步在于,所述在完成每次账户 操作的密码认证后自动向关联手机发出提示、提醒或警示信息的方法包括以下步骤(a)在密码认证成功后向关联手机发送提示信息,提示下次账户认证密码已经自动变 更为第n+1个密码,n+1为下次操作的验证密码序号;(b)当认证请求中使用的是上一个有效认证密码时,向关联手机发送提醒短信,提醒账 户认证密码已经自动变更为第η个密码,η为本次账户操作的认证密码序号;(c)当多次不成功认证均是由于使用了上一个有效认证密码时,向关联手机发送警示 信息,通告多次不成功操作的时间和网络地址信息。
全文摘要
本发明提出一种利用动态密码技术防止网络账户被盗用的方法。该方法将用户网络账户和N个认证密码绑定,然后在用户账户操作时循环使用这些密码进行认证。本发明实施成本低,基本不用改变现有网站系统的配置和工作流程,用户使用简便。对于一些网络虚拟电子支付账户,象支付宝和快钱等电子商务第三方支付平台的账户、网络游戏网站的用户充值账户、其它各类电子商务网站的用户充值账户等等,都可以采用本发明提出的方法来保护用户的账户安全,防止他人盗用,增强系统安全性能。
文档编号H04L9/32GK102130892SQ20101002291
公开日2011年7月20日 申请日期2010年1月18日 优先权日2010年1月18日
发明者胡乐乐 申请人:上海启电信息科技有限公司