专利名称:基于无线通讯终端的交互式动态口令安全服务系统的制作方法
技术领域:
本发明涉及一种保证计算机软件应用系统安全运行的动态口令产生、验证安全服务系统,更具体地说,本发明涉及一种为持有无线通讯终端的用户提供交互式动态口令的安全服务系统。
背景技术:
随着互联网、企业内部局域网、无线通讯网络等网络技术的发展和成熟,与网络相关的计算机软件应用和系统应用不断地更新丰富,一些传统的不依赖网络的计算机技术也获得了采用新技术的可能。但是,如何保证计算机软件应用和系统的安全,防止文件的丢失、被盗、黑客的攻击一直是计算机技术领域的一项重要课题。
目前,人们使用的安全验证机制主要有两种一种是使用用户本人所知道的静态密码进行安全验证,这种安全验证机制的缺点是安全性较差,容易被其他人盗用而造成损失;另一种安全验证机制是使用动态口令进行安全验证。
广泛应用于各领域的动态口令安全验证机制中的动态口令通常是由动态口令卡产生的。动态口令卡由用户本人所拥有,它是一个可产生随机动态口令的物理设备,其内置有特殊的硬件,该硬件利用时间序列,结合其所存储的特征信息(如随机种子、序列号等唯一性信息,每个动态口令卡的特征信息都不相同),根据特定的算法计算生成当前时刻的动态口令并显示给用户。动态口令卡的主要功能就是在用户需要使用动态口令的时候,生成一个动态口令,并在物理设备的显示端(如液晶屏幕)上显示当前的动态口令供用户使用,每一个动态口令都是一次性的。
动态口令卡需要与相应的动态口令安全服务应用系统配合使用来进行动态口令卡的初始化、动态口令卡的同步、以及对动态口令的验证。
与动态口令卡相应的动态口令安全服务应用系统在每一个动态口令卡被使用之前需要对动态口令卡进行初始化,将上面所述的每一个动态口令卡物理设备中所存储的特征信息在系统中进行存储,使两方面的信息得以一致,同时也与用户的相关信息进行关联。这样,动态口令安全服务应用系统就能够使用与动态口令卡相同或同类型原理的算法结合特征信息计算出某个特定用户所持有的动态口令卡在特定时间点上所产生的动态口令了,以便进行安全验证。
这一机制确保在任一时间任何两个同类型的动态口令卡生成的动态口令各不相同,而且动态口令安全服务应用系统又能够通过计算与任何一个特定的动态口令卡的动态口令进行匹配验证,从而保证了该动态口令卡在安全验证中的唯一性。从动态口令的产生以及验证的原理可以看出,动态口令安全服务系统与静态口令安全服务系统相比,其安全性有显著的提高,所以,目前动态口令卡已被广泛应用,其安全性也受到各权威机构的认可,许多安全设备厂商和服务商都有自己独特的动态口令卡和相应的动态安全服务应用系统技术。
虽然,动态口令安全验证机制与静态口令安全验证机制相比,其安全性有显著的提高,但是,在实践中人们发现,这种使用动态口令进行安全验证的机制也存在以下问题1)动态口令卡是一个特殊的物理设备,内置有特殊的硬件用以完成相应的动态口令计算,不同厂商生成的动态口令卡一般不能通用。而且,一旦动态口令卡被遗失或损坏,就需要重新给用户配置一个新的动态口令卡并重新进行初始化。
2)由于动态口令的计算是在动态口令卡一端及相应的动态口令安全服务应用系统一端分别独立进行的,在计算过程中没有任何信息交互,用户获得动态口令不需要与动态口令安全服务应用系统进行交互,这样如果他人对动态口令卡进行了破解,动态口令安全服务应用系统也无从得知,其安全机制的安全性有待进一步提高。而且,随着黑客攻击各种安全机制技术的不断提高,业界技术人员也认识到在不同安全机制中如果采用了与客户交互的方式来进行安全验证,可以通过交互对用户进行更加全面的检验,其安全性将有进一步地提高。
3)由于动态口令卡及动态安全服务应用系统两端动态口令的计算是通过与时间序列相关的算法来完成的,并保证与时间序列同步,而动态口令卡及动态安全服务应用系统所使用的时间序列可能会由于物理设备因素而不同步,造成整个安全机制失效,所以,在这种情况下需要对动态口令卡及动态安全服务应用系统不断地进行时间同步校正。
4)动态口令卡作为特殊的物理设备,为了防止被人打开改动一般都完全密封,由于里面的电池有一定的使用寿命,所以,电池寿命结束就意味着动态口令卡寿命的结束。动态口令卡使用寿命结束后,还必须给用户重新配置动态口令卡。
5)动态口令卡一般受其物理设备的限制,所生成的动态口令都是固定长度的,一般仅包括英文字母及数字字符串,不能显示图片和文字。而,目前,将字符串如英文字母、数字、汉字或其他字符等嵌入有背景的图片中显示给用户,可以防止计算机程序或相关设备自动读取图片中所包含的字符串,防止恶意程序的自动攻击。
6)动态口令卡每次只能生成一个动态口令,且每个动态口令只是一次性有效,无法满足部分用户较为多样化的使用需求。
发明内容
为了克服使用动态口令卡进行动态口令安全验证的弊端,本发明的目的是提供一种基于无线通讯终端、以交互式方式为持有无线通讯终端的用户提供动态口令的安全服务系统。
本发明的另一目的是提供一种以交互式方式为持有无线通讯终端的用户提供动态口令安全服务的方法。
为实现上述目的,本发明采用以下技术方案一种基于无线通讯终端的交互式动态口令安全服务系统,它由无线通讯终端、无线通讯网络和动态口令安全服务系统组成;所述动态口令安全服务系统由内嵌有无线通讯功能模块的应用服务器和与之相连的数据库组成;该动态口令安全服务系统根据无线通讯功能模块传递来的用户静态密码及无线通讯终端物理设备本身所具备的唯一的设备识别信息,计算生成相应的动态口令,并存储到本地数据库中;并以无线通讯信息的方式经无线通讯功能模块和无线通讯网络发送给所述无线通讯终端;所述无线通讯终端和动态口令安全服务系统通过无线通讯网络连接,彼此之间以无线通讯方式进行信息的传递。
该基于无线通讯终端的交互式动态口令安全服务系统还包括有一集成有动态口令安全验证模块的第三方客户服务应用系统;该第三方客户服务应用系统由客户应用终端和集成有客户端动态口令安全验证模块的应用服务器组成,其中,应用服务器通过互联网与所述动态口令安全服务系统中的服务器相连;所述动态口令安全服务系统中的应用服务器内也集成有服务器端动态口令安全验证模块;所述客户端动态口令安全验证模块与第三方客户服务应用系统集成在一起,将用户输入的动态口令通过加密传输给所述服务器端动态口令安全验证模块,请求对相关用户信息进行验证;并接收所述服务器端动态口令安全验证模块对用户信息进行验证后的验证结果,返回给第三方客户服务应用系统;所述服务器端动态口令安全验证模块与动态口令安全服务系统集成在一起,响应客户端动态口令安全验证模块的通讯要求,获取由客户端动态口令安全验证模块发送来的动态口令;对用户及动态口令进行验证,并将验证结果返回给客户端动态口令安全模块。
一种为持有无线通讯终端的用户提供交互式动态口令的方法,它包括以下步骤(1)、用户通过其本人所持有的无线通讯终端上传用户信息a.用户在无线通讯终端中输入只有用户自己知道的静态密码及动态口令配置信息;b.通过无线通讯终端以无线通讯方式,将用户输入的信息连同无线通讯终端物理设备本身所具备的唯一设备识别信息一起发送到无线通讯网络,用户可以指定发送地址;c.无线通讯网络中的无线通讯网关接收到用户无线通讯终端发来的无线通讯信息后,根据用户指定的发送地址通过无线通讯网络及无线通讯网关运营商的内部系统寻找到该无线通讯信息所指向的动态口令安全服务系统,将无线通讯信息发送给动态口令安全服务系统;d.集成在动态口令安全服务系统内的无线通讯功能模块对无线通讯网关发送来的无线通讯信息响应,对无线通讯信息进行处理提取用户信息及无线通讯终端物理设备本身所具备的唯一的设备识别信息,并将相关信息发送给动态口令安全服务系统;(2)、动态口令安全服务系统生成动态口令a.动态口令安全服务系统对无线通讯功能模块发送来的信息进行处理,根据用户信息和无线通讯终端物理设备本身所具备唯一的设备识别信息与本地数据库中的记录进行匹配;b.若匹配成功,动态口令安全服务系统将调用相关的随机算法生成符合用户动态口令配置要求的动态口令,并在将动态口令及相关用户信息存入数据库后发送给无线通讯功能模块;c.若匹配失败,动态口令安全服务系统会随机生成一个字符串并发送给无线通讯功能模块;(3)、动态口令安全服务系统将生成的动态口令返回给用户持有的无线通讯终端
a.无线通讯功能模块对动态口令安全服务系统发送来的相关信息转换成无线通讯网关能够接收的数据包发送给无线通讯网关;b.无线通讯网关对无线通讯功能模块发送来的动态口令及用户无线通讯终端信息发送给指定用户的无线通讯终端;c.用户在无线通讯终端读取到动态口令。
为持有无线通讯终端的用户提供交互式动态口令验证的方法,它包括以下步骤(1)、用户在第三方客户服务应用系统输入相关用户信息及动态口令a.用户在无线通讯终端读取到动态口令后,在第三方客户服务应用系统的用户登录界面输入本人在第三方客户服务应用系统的用户名、相应的静态密码以及动态口令;(2)、第三方客户服务应用系统将用户信息上传给动态口令安全服务系统a.第三方客户服务应用系统在获取相关用户信息后,从本地数据库中提取事先存储的用户无线通讯终端物理设备本身所具备唯一的设备识别信息,并将这些信息发送给客户端动态口令安全验证模块;b.客户端动态口令安全验证模块将收到的信息发送到动态口令安全服务系统的服务器端动态口令安全验证模块;(3)、动态口令安全服务系统验证用户动态口令a.服务器端动态口令安全验证模块与动态口令安全服务系统的数据库交互,对用户信息、动态口令、及动态口令的有效性进行匹配;b.若匹配成功,服务器端动态口令安全验证模块将验证成功信息返回给客户端动态口令安全验证模块;c.若匹配失败,服务器端动态口令安全验证模块将验证失败信息返回给第三方客户服务应用系统的客户端动态口令安全验证模块;(4)、第三方客户服务应用系统验证客户身份a.客户端动态口令安全验证模块在收到服务器端动态口令安全验证模块发送来的验证结果后,将相应结果返回第三方客户服务应用系统;b.第三方客户服务应用系统根据验证结果确认用户身份或拒绝用户身份;若确认用户身份,则第三方客户服务应用系统将提供相应服务给用户使用,反之,将拒绝提供相应服务给用户使用。
图1为本发明基于无线通讯终端的交互式动态口令安全服务系统的系统框图具体实施方式
如图1所示,本发明公开的基于无线通讯终端的交互式动态口令安全服务系统主要由无线通讯终端、无线通讯网络和动态口令安全服务系统组成。其中,动态口令安全服务系统又主要由内嵌有无线通讯功能模块的应用服务器和与之相连的数据库组成;无线通讯终端和动态口令安全服务系统通过无线通讯网络连接,彼此之间以无线通讯方式进行信息的传递。
用户通过无线通讯终端,利用本发明公开的基于无线通讯终端的交互式动态口令安全系统,以交互式方式获得动态口令。本发明的工作原理是1)用户通过其本人所持有的无线通讯终端输入本人密码等相关信息(如静态密码);2)无线通讯终端将用户输入的信息及无线通讯终端本身所具有的设备特征信息(如手机的号码和SIM卡信息等),通过无线通讯网络发送给动态口令安全服务系统;3)动态口令安全服务系统中的应用服务器根据收到的用户信息和无线通讯终端相关信息与数据库中存储的信息进行比对、计算生成用户所需要的动态口令码(可能具备一些特性,比如在一定时期内有效、使用特殊语言、长度不定等等),然后动态口令安全服务系统中的应用服务器在服务器端将生成的动态口令码与相应的用户关联存储,再以文字或图片码的形式将动态口令通过无线通讯网络发回给无线通讯终端;4)用户从无线通讯终端读取动态口令信息。其整个过程就是用户通过其所持有的带有特征信息(如手机号码、SIM卡信息、静态密码等)的无线通讯终端,通过无线通讯网络,向动态口令安全服务系统发出请求,动态口令安全服务系统通过与用户的交互,产生一动态口令,再通过无线通讯网络,将动态口令返回到用户所持有的无线通讯终端上。
用户在使用该动态口令获取其所需要的软件应用时,第三方客户服务应用系统还要对用户所输入的动态口令进行验证,所以,如图所示,本发明基于无线通讯终端的交互式动态口令安全服务系统还包括一集成有动态口令安全验证模块的第三方客户服务应用系统。该第三方客户服务应用系统由客户应用终端和集成有动态口令安全验证模块的应用服务器组成,其中,应用服务器通过互联网与动态口令安全服务系统中的服务器相连;为了验证用户输入的动态口令,在动态口令安全服务系统的应用服务器内也集成有动态口令安全验证模块。其动态口令验证过程是用户在收到安全动态口令后,用户通过第三方客户服务应用系统的客户应用终端输入用户身份信息和持有的动态口令;第三方客户服务应用系统的应用服务器通过与动态口令安全服务系统中的应用服务器的交互,由动态口令安全服务系统对相应信息及动态口令进行验证;验证通过则客户服务应用系统将会为用户提供相应的服务,若验证不通过则客户服务应用系统将拒绝为用户提供服务。
在本发明的具体实施例中,无线通讯终端可以是手机、呼机、PDA、Blackberry、连接无线网络的电脑或终端、GPS设备等一切能够通过无线通讯网络进行信息交互的设备。这些无线通讯终端必须在物理设备层面具备某一唯一的设备识别信息来体现该无线通讯终端的唯一性,比如,手机号码,呼机的序列号,无线网卡的物理地址等等。
在本发明的具体实施例中,无线通讯网络包括卫星通讯、无线基站、GSM、CDMA、PHS、小灵通、GPRS、蓝牙、红外、3G等一切以无线手段实现的通讯方式。通常,无线通讯网络运营商在其运营的无线通讯网络中会设立专门的无线通讯网关,用于接收和发送无线通讯信息。例如用户在其无线通讯终端发起指令,经无线通讯网络把无线通讯信息发送给无线通讯网关,无线通讯网关进而将接收到的无线通讯传递给指定的与无线通讯网关连接的相关系统。又如与无线通讯网关连接的相关系统发起指令,把无线通讯信息发送给无线通讯网关,无线通讯网关进而将相关系统发送来的通讯信息经无线通讯网络传递给指定的用户所持有的无线通讯终端。
无线通讯网关是无线网络运营商所拥有的相对公开的系统,对无线通讯网关的连接和使用可以通过无线网络运营商公开的无线通讯协议及相应的标准应用程序接口来进行,如中国移动目前使用CMPP协议,中国联通使用SGIP协议等等。相关无线通讯网关的应用程序接口是可公开获得的,所以,一般程序员可以使用C++,C#,Java等语言按照公开的应用程序接口,编写与相应无线通讯网关交互通讯的内嵌在动态口令安全服务系统应用服务器中的无线通讯功能模块。
无线通讯功能模块作为一个应用程序功能模块,与动态口令安全服务系统集成在一起,接收无线通讯网关传来的无线通讯信息,并传送给动态口令安全服务系统,并将动态口令安全服务系统发送的无线通讯信息发送给无线通讯网关。
动态口令安全服务系统生成储存动态口令,并对用户身份和动态口令进行验证的安全服务系统。动态口令安全服务系统的主要功能就是a.根据无线通讯功能模块传递来的用户静态密码及无线通讯终端物理设备本身所具备的唯一的设备识别信息(比如SIM卡号,手机号码等等)计算生成相应的动态口令,并存储到本地数据库中;b.动态口令的生成和计算可以是采用一些安全的公开随机算法进行;c.动态口令安全服务系统计算生成动态口令后,以无线通讯信息的方式(比如手机短信或彩信)经无线通讯功能模块和无线通讯网关发送给用户的无线通讯终端上;d.用户可以通过动态口令安全服务系统提供的管理界面(比如公开的互联网应用或手机短信服务)对其动态口令的长短、有效次数和有效时间、语言、发送方式、以及用户静态密码等等进行设定和管理;e.动态口令安全服务系统还集成了动态口令安全验证模块,用于对第三方客户服务应用系统传送来的用户身份及动态口令信息进行验证并将相关结果返回第三方客户服务应用系统。
集成在动态口令安全服务系统内的服务器端动态口令安全验证模块是与动态口令安全服务系统集成在一起的一个程序模块,相对于与第三方客户服务应用系统集成的客户端动态口令安全验证模块来说,这个功能模块可以被称为服务器端,其主要功能是a.响应客户端动态口令安全验证模块的通讯要求,获取由客户端动态口令安全验证模块发送来的相关数据信息(一般包括第三方客户服务应用系统中的用户信息、动态口令等);b.与动态口令安全服务系统通过加密传输方式进行数据交互,对用户及动态口令进行验证,并将验证结果返回给客户端动态口令安全模块。
第三方客户服务应用系统指为客户提供某种应用服务第三方系统,可以是基于互联网的B2C应用(如网上银行、网络游戏等),也可以是某种企业内部的应用系统(如企业门户、VPN网络等)。用户在通过无线通讯终端与动态口令安全服务系统交互获得了动态口令后,在第三方客户服务应用系统提供的基于网络的用户登录界面或客户端应用中输入自己在第三方客户服务应用系统中的用户信息(如用户名、静态口令)和动态口令;第三方客户服务应用系统将通过集成的客户端动态口令安全验证模块与服务器端动态口令安全验证模块通讯,对用户的动态口令和身份进行认证;若认证通过则第三方客户服务应用系统允许用户的服务请求并提供相应的服务,若不通过则拒绝用户的服务请求。
客户端动态口令安全验证模块是与第三方客户服务应用系统集成在一起的一个程序模块,相对于与动态口令安全服务系统集成的服务器端动态口令安全验证模块来说,这个功能模块可以被称为客户端,其主要功能是a.当用户在第三方客户服务应用系统输入用户信息及动态口令后,第三方客户服务应用系统将相关信息发送给客户端动态口令安全验证模块,客户端动态口令安全验证模块将通过加密信息传输方式与服务器端动态口令安全验证模块交互,请求对相关用户信息进行验证;b.当服务器端动态口令安全验证模块对用户信息进行验证后将验证结果发还给客户端动态口令安全验证模块,客户端动态口令安全模块将验证结果返回给第三方客户服务应用系统。
本发明提供的持有无线通讯终端的用户基于无线通讯终端通过交互式获得动态口令的方法是1、用户通过其本人所持有的无线通讯终端上传用户信息a.用户在无线通讯终端(比如手机)中输入只有用户自己知道的静态密码及动态口令配置信息(如动态口令的有效期、有效次数、展现形式等进行简单的设定);b.通过无线通讯终端以无线通讯方式(如手机短信),将用户输入的信息连同无线通讯终端物理设备本身所具备的唯一设备识别信息(如SIM卡号,手机号码等)一起发送到无线通讯网络,用户可以指定发送地址(如接收手机短信的特定号码);c.无线通讯网络中的无线通讯网关接收到用户无线通讯终端发来的无线通讯信息后,根据用户指定的发送地址通过无线通讯网络及无线通讯网关运营商的内部系统寻找到该无线通讯信息所指向的动态口令安全服务系统,将无线通讯信息发送给动态口令安全服务系统;d.集成在动态口令安全服务系统内的无线通讯功能模块对无线通讯网关发送来的无线通讯信息响应,对无线通讯信息进行处理提取用户信息(比如处理短信的内容获得静态密码和动态口令配置信息)及无线通讯终端物理设备本身所具备的唯一的设备识别信息(比如SIM卡号,手机号码等等),并将相关信息发送给动态口令安全服务系统。
2、动态口令安全服务系统生成动态口令a.动态口令安全服务系统对无线通讯功能模块发送来的信息进行处理,根据用户信息(如静态密码、动态口令配置信息等)和无线通讯终端物理设备本身所具备的唯一的设备识别信息(如SIM卡号,手机号码等)与本地数据库中的记录进行匹配;b.若匹配成功,动态口令安全服务系统将调用相关的随机算法(相关随机算法可以采用业界公认的一些标准算法)生成符合用户动态口令配置要求的动态口令(如多次有效口令、在一段时间内有效的口令、图片或文字形式的口令等等),并在将动态口令及相关用户信息存入数据库后发送给无线通讯功能模块;c.若匹配失败,动态口令安全服务系统会随机生成一个字符串并发送给无线通讯功能模块(不保存入数据库)。
3、动态口令安全服务系统将生成的动态口令返回给用户持有的无线通讯终端a.无线通讯功能模块对动态口令安全服务系统发送来的相关信息(动态口令及用户无线通讯终端信息,如手机号码)转换成无线通讯网关能够接收的数据包发送给无线通讯网关;b.无线通讯网关对无线通讯功能模块发送来的动态口令及用户无线通讯终端信息发送给指定用户的无线通讯终端;c.用户在无线通讯终端读取到动态口令。
本发明提供的交互式动态口令验证方法是1、用户在第三方客户服务应用系统输入相关用户信息及动态口令a.用户在无线通讯终端读取到动态口令后,在第三方客户服务应用系统的用户登录界面(比如网上银行的登录页面、网络游戏的登录窗口、企业VPN通道的拨号登录窗口等等)输入本人在第三方客户服务应用系统的用户名、相应的静态密码以及动态口令;2、第三方客户服务应用系统将用户信息上传给动态口令安全服务系统a.第三方客户服务应用系统在获取相关用户信息(用户名、静态密码、动态口令等)后,从本地数据库中提取事先存储的用户无线通讯终端物理设备本身所具备的唯一的设备识别信息,并将这些信息发送给客户端动态口令安全验证模块;b.客户端动态口令安全验证模块将收到的信息发送到动态口令安全服务系统的服务器端动态口令安全验证模块;3、动态口令安全服务系统验证用户动态口令a.服务器端动态口令安全验证模块与动态口令安全服务系统的数据库交互,对用户信息、动态口令、及动态口令的有效性进行匹配;b.若匹配成功,服务器端动态口令安全验证模块将验证成功信息返回给客户端动态口令安全验证模块;c.若匹配失败,服务器端动态口令安全验证模块将验证失败信息返回给第三方客户服务应用系统的客户端动态口令安全验证模块;4、第三方客户服务应用系统验证客户身份a.客户端动态口令安全验证模块在收到服务器端动态口令安全验证模块发送来的验证结果后,将相应结果返回第三方客户服务应用系统;b.第三方客户服务应用系统根据验证结果确认用户身份或拒绝用户身份;若确认用户身份,则第三方客户服务应用系统将提供相应服务给用户使用,反之,将拒绝提供相应服务给用户使用。
下面列表对本发明与前述的动态口令卡技术进行了一系列的比较,以表示两者在本质上有着明显的区别,而且两者在技术实现上也有非常大的差距
本发明与传统的基于动态口令卡生成动态口令的安全服务系统相比突出的特点是1)用户获得安全动态口令的方式是交互的用户在无线通讯终端输入预先输入的只有其本人知道的静态密码,并通过无线通讯网络,以例如手机短信、彩信等方式发送到动态口令安全服务系统,然后由安全服务系统生成动态口令后发还给用户的无线通讯终端。与传统的被动式的完全依靠动态口令卡生成动态口令相比,其安全性更强。
2)本发明是基于人们日益普遍使用的无线通讯终端向动态口令安全服务系统发出请求生成动态口令,并接收动态口令的,故,本发明更易于推广使用,且使用更方便。在本发明中无线通讯终端所起的主要作用是一是作为用户与动态口令安全服务系统交互的工具;二是作为最终装载动态口令并将其展现给用户的物理介质;三是通过无线通讯终端作为用户所拥有的某特定设备提供安全机制中的第二安全验证因素(一般所有的无线通讯终端在硬件上都有唯一识别的特征信息,如手机的SIM卡等等)。
3)动态安全口令的生成和计算仅在动态口令安全服务系统服务器一端进行,无线通讯终端不参与任何动态口令计算。
4)任一集成了相应的动态口令安全模块的客户端与动态口令安全服务系统也是通过交互来对用户输入的身份信息和动态安全口令进行验证。
5)安全动态口令展现的方式可以是文字的形式,也可以是包含动态口令字符串的图片码形式。
6)安全动态口令可以根据预先设置或用户主动的设置具备一些特性,比如说将动态口令设置成在某一个特定时间段内有效,将动态口令设置为可以包含特殊文字和语言,将动态口令的设置为固定长度或可变长度等等。
7)注册用户可以用预先设定的静态密码与动态口令安全服务系统服务器交互获得动态口令,而非注册用户则可以直接向动态口令安全服务系统服务器发送请求进行交互来获得动态口令。
8)无线通讯终端是交互的工具和动态口令显示的载体,也是通用的通讯工具,当用户无线通讯终端损坏或丢失的时候,用户无需进行任何涉及动态口令安全服务系统服务的操作就可以直接从相关无线通讯服务商获得的无线通讯终端继续使用动态口令技术。
9)获得动态口令之后,用户可以使用动态口令在相应的客户应用服务中进行验证,这需要相应的客户应用服务集成专门的安全验证模块,通过与动态口令安全服务系统服务器的验证服务应用模块的交互来对用户身份、无线通讯终端及动态口令进行安全验证。
10)整体方案上提供相应的用户管理和用户验证两大部分功能,包括了用户注册开户、用户销户、用户关联、用户变更、注册用户验证、非注册用户验证、客户应用服务管理等等。
纵上所述,本发明的创新之处在于基于无线通讯终端和无线通讯网络,通过交互的方式产生以及验证动态口令的安全机制。即用户使用其本人所持有的无线通讯终端,通过无线通讯网络及无线通讯网关,与动态口令安全服务系统交互,由动态口令安全服务系统生成动态口令并返回给用户所持有的无线通讯终端;以及,当用户通过第三方客户服务应用系统输入动态口令后,第三方客户服务应用系统与动态口令安全服务系统交互,由动态口令安全服务系统对该动态口令进行验证,并将验证结果返回给第三方客户服务应用系统。
特别需要说明的是1)用户的无线通讯终端与动态口令安全服务系统交互的载体可以主要是无线通讯网络,也可以是其他通信网络。
2)对用户动态口令及身份的验证可以是发生在动态口令安全服务系统端,也可以是由动态口令安全服务系统将相关的客户信息发送到客户服务应用系统,由客户服务应用系统将相关信息本地存储并直接对用户身份和动态口令进行验证。
3)动态口令安全服务系统对动态口令的验证可以仅仅验证用户无线通信终端特征信息与动态口令的组合,也可以对更多用户所提供的信息进行组合验证(比如用户通过特定客户应用服务发送来相关信息,动态口令安全服务系统需要对该客户应用服务的渠道进行验证)。
本发明可以广泛地应用于那些为用户提供相应服务,需要对用户身份进行验证的客户应用服务中。如网上银行、网上证券、网上理财、网上保险、手机银行、电话银行、ATM、网络游戏、网上社区、网上论坛、网上影院、网络下载、网络存储、网络数据共享、网络聊天、即时消息通讯、网上商店、网上支付、网上拍卖等等服务应用,也可以应用于企业内部安全通道、VPN、企业安全登录、企业信息系统安全集成等等企业内部应用,甚至可以替代某些传统身份验证机制(如身份证、户口簿、会员卡等)为最终用户及相关机构提供方便可靠的安全服务。
另外,本发明还可以以第三方服务应用的发生为需要相应安全服务的商业、团体、个人提供服务,建立起一个B2B2C的三方业务模式。同时,本项发明技术也可以是集成在相关商业、团体、个人的服务应用内部,成为B2B、B2C、P2P业务模式的一个组成部分。
由于本发明技术的应用和实施十分广泛,只要是需要对用户身份进行安全验证的应用服务都能够由用户通过无线通讯终端与动态口令安全服务系统交互获得动态口令,并在相关应用服务上得以验证。下面将就本发明在各个方面的实施方式和方案进行介绍。
1.本发明在网上银行等基于网络的金融类服务应用中的实施在网上银行等基于网络的金融类服务应用中,系统安全及用户身份验证是安全保障体系的最关键因素。不论是个人网上银行应用还是企业网上银行应用中,本项技术可以使用在任何需要对用户身份进行安全验证的方面,如用户登录、执行关键操作(比如向他人转账、缴费等等)、使用某些管理功能(比如更新用户资料)等等。首先需在网上银行服务器上集成动态口令安全验证模块,而用户在登录网上银行、执行某些网上银行关键操作、或者是使用某些网上银行管理功能的时候,需先通过无线通信终端与动态口令安全服务系统交互(比如从无线通信终端发送短信到指定服务号码),由动态口令安全服务系统计算生成动态口令并发回无线通信终端,从而获得所需要的动态口令,然后在网上银行相关用户操作界面输入用户相关信息(比如用户名、用户静态密码)及动态口令,由网上银行服务器与动态口令安全服务系统交互对用户进行验证;若验证通过,用户就能在网上银行执行相应的操作,反之用户就会被拒绝服务。
动态口令安全服务系统可以是第三方的应用服务,也可以是在银行内部与网上银行系统集成在一起的银行内部应用。在使用本技术的同时,网上银行本身也可以同时使用数字证书、图片附加码等等其他安全技术。对比目前一些网上银行已经采用的动态口令卡技术,本发明技术具有银行的总拥有成本低(无需进行动态口令卡的采购,甚至可以省去采购动态口令安全服务系统的成本)、用户使用成本低(手机已经成为大多数人的必备无线通讯设备)、操作方便(难度与发短信一样)、便于管理(银行无需对用户的无线通讯设备进行管理,也无需负责设备的更换和维修)、使用寿命长等许多优点,虽然在用户体验方面可能稍有点繁复,但对于面向大众用户的网上银行应用而言成本的优势十分明显。同时,用户使用动态口令进行的相关操作具有不可抵赖性。
以上实施方式也适用于网上证券、网上理财、网上保险等基于网络的金融类应用。
2.本发明在手机银行等基于无线通讯终端的服务应用中的实施对手机银行等基于无线通讯终端的服务应用来说,在安全方面最关键的是对当前使用相关应用的无线通讯终端设备持有人的身份验证,而本发明技术恰好就解决了这一问题通过交互式的方式来对这一关键事实进行验证。
从具体实施来说,首先手机银行应用服务器应集成动态口令安全验证模块,用户在登录使用手机银行等应用时,需先通过无线通信终端与动态口令安全服务系统交互(比如从无线通信终端发送短信到指定服务号码),由动态口令安全服务系统计算生成动态口令并发回无线通信终端,从而获得所需要的动态口令,然后在手机银行相关用户操作界面输入用户相关信息(比如用户名、用户静态密码)及动态口令,由手机银行服务器与动态口令安全服务系统交互对用户进行验证;若验证通过,用户就能在手机银行执行相应的操作,反之用户就会被拒绝服务。尽管一些手机银行和其他基于无线通讯终端的服务应用本身也具备对无线通讯终端相关特征信息进行验证的机制,但总体而言不如本项发明技术灵活便捷多样化。同样,动态口令安全服务系统可以是第三方的应用服务,也可以是在银行内部与手机银行等基于无线通讯终端的服务应用系统集成在一起的银行内部应用。同时,用户使用动态口令进行的相关操作具有不可抵赖性3.本发明在电话银行、ATM等基于传统渠道的服务应用中的实施对电话银行、ATM等基于传统渠道的服务应用来说,最重要的安全考虑是对当前电话银行、ATM等服务的使用者身份进行验证和正确识别,以及银行内部操作人员的盗取用户身份信息的风险,本发明技术能够提供高效安全的用户身份验证,并通过自动身份验证的方式防止了用户身份信息被盗用。
从具体实施来说,首先电话银行中后台的应用服务器应集成动态口令安全验证模块,用户通过电话使用电话银行及相关渠道应用时,需先通过无线通信终端与动态口令安全服务系统交互(比如从无线通信终端发送短信到指定服务号码),由动态口令安全服务系统计算生成动态口令并发回无线通信终端,从而获得所需要的动态口令。
电话银行用户在电话上通过按键输入用户相关信息(比如用户名、用户静态密码)及动态口令,由中后台电话银行服务器与动态口令安全服务系统交互对用户进行验证;若验证通过,用户的身份就得到了验证能够继续进行电话银行相关操作,反之用户就会被拒绝服务。相比目前许多电话银行通过用户账号、身份证号码等用户信息,加上用户静态密码的安全验证机制,本发明技术的实施一方面避免了用户敏感信息(账号、身份证号码等等)的泄露,又简化了用户验证的步骤,提供了更好的用户体验。
ATM应用用户在ATM设备上插入银行卡并通过按键输入动态口令,由ATM中后台服务器与动态口令安全服务系统交互对用户进行验证;若验证通过,用户的身份就得到了验证能够继续进行ATM相关操作,反之用户就会被拒绝服务。目前大多银行的ATM是通过用户银行卡及用户银行卡密码来对用户进行身份验证,有大量的盗用事件发生。同时,由于用户量大,新增其他安全验证机制的总成本高,银行无法进一步提高ATM渠道应用对用户财产的安全防范能力。若采用本发明技术,新的安全机制成本低,用户普及性强,能够很快地集成到ATM渠道并为广大用户所接受。通过ATM的改造,用户甚至无需携带银行卡,仅凭借用户名和动态口令就可以在ATM上方便地取现。
动态口令安全服务系统可以是第三方的应用服务,也可以是在银行内部与电话银行等基于传统渠道的服务应用系统集成在一起的银行内部应用。同时,用户使用动态口令进行的相关操作具有不可抵赖性4.本发明在网络游戏等基于一些网络的B2C服务应用中的实施本项发明技术在网络游戏等网络应用中一方面可以作为用户身份验证的安全机制,一方面可以作为用户之间相互通讯的媒体。
从具体实施来说,首先网络游戏等应用的应用服务器应集成动态口令安全验证模块,用户在登录网络游戏或在网络游戏中执行一些关键操作(比如删除账户,转移特殊物品等等)时,需先通过无线通信终端与动态口令安全服务系统交互(比如从无线通信终端发送短信到指定服务号码),由动态口令安全服务系统计算生成动态口令并发回无线通信终端,从而获得所需要的动态口令。然后,用户将用户身份信息及动态口令输入相应界面由网络游戏等应用的应用服务器与动态口令安全服务系统交互对用户进行验证;若验证通过,用户的身份就得到了验证能够登录网络游戏或进行相关操作,反之用户就会被拒绝服务。
目前,网络游戏等基于网络的B2C服务应用出现过一些虚拟财产盗用及用户身份盗用事件,由于相关服务运营商无法投入过多的资金建立更加安全的验证机制,同时,一般用户也无法承担相对较高的设备拥有成本。本项发明技术的各种特性能够使以上的问题切实地得到解决。
5.本发明在网上社区、网上论坛等基于网络的非赢利性服务应用中的实施本项发明技术在网上社区、网上论坛等非赢利性的网络应用中可以作为廉价的用户身份验证安全机制提供更高级别的安全防范手段,使得非赢利性组织无需大量投入即可拥有覆盖全部用户的较为先进的安全保护。
从具体实施来说,首先网上社区等应用的应用服务器应集成动态口令安全验证模块,用户在登录网上社区或在网上社区中执行一些关键操作(比如发文章、建立虚拟家庭、管理论坛版面等等)时,需先通过无线通信终端与动态口令安全服务系统交互(比如从无线通信终端发送短信到指定服务号码),由动态口令安全服务系统计算生成动态口令并发回无线通信终端,从而获得所需要的动态口令。然后,用户将用户身份信息及动态口令输入相应界面由网上社区等应用的应用服务器与动态口令安全服务系统交互对用户进行验证;若验证通过,用户的身份就得到了验证能够登录网上社区或进行相关操作,反之用户就会被拒绝服务。
6.本发明在网上影院、网上下载等基于网络的数据浏览和下载服务应用中的实施本项发明技术在网上影院、网上下载、网上阅览室等网络的数据浏览和下载服务应用中可以作为廉价的用户身份验证安全机制提供更高级别的安全防范手段,使得服务提供商无需大量投入即可拥有覆盖全部用户的较为先进的安全保护。另外,用户在使用网上影院、网上下载、网上阅览室等应用时往往需要下载大量数据,因此需要在一段时间内保持登录的状态,否则就有可能造成相关应用服务的中断而影响用户体验。本项发明技术可以在动态口令上增加特性,从而指定动态口令在一段时间内保持有效,但又只能由唯一的接入点接入,这样就能够保证用户使用相关应用时的延续性和安全性。
从具体实施来说,首先网上影院、网上下载、网上阅览室等应用的应用服务器应集成动态口令安全验证模块,用户在登录网上影院、网上下载、网上阅览室或执行一些关键操作(比如在线看电影、下载加密文件、阅读长篇小说或有声读物等等)时,需先通过无线通信终端与动态口令安全服务系统交互(比如从无线通信终端发送短信到指定服务号码),并在交互中指明所需动态口令的有效时间长度及允许同时接入的接入点数量(缺省的情况下,动态口令一次性有效,且仅允许一次接入使用),由动态口令安全服务系统计算生成动态口令并发回无线通信终端,从而获得所需要的动态口令。然后,用户将用户身份信息及动态口令输入相应界面由网上影院、网上下载、网上阅览室等应用的应用服务器与动态口令安全服务系统交互对用户进行验证;若验证通过,用户的身份就得到了验证能够登录或进行相关操作,并在用户指定的时间段和允许接入的数量内享受相应服务,反之用户就会被拒绝服务。
7.本发明在网上数据共享等基于网络的点对点(P2P)数据下载/交互应用中的实施网上数据共享等基于网络的点对点(P2P)数据下载/交互的应用的使用方往往是众多个人用户,应用平台本身没有专门的运营商,因此在某些关键应用上需要第三方的身份验证服务。本项发明技术在这些应用中可以设置成为一个第三方的用户身份验证安全机制提供权威的安全防范手段。另外,用户在使用网上数据共享等基于网络的点对点(P2P)数据下载/交互的应用中往往需要下载大量数据,需要在一段时间内保持登录的状态,否则就有可能造成相关应用服务的中断而影响用户体验。本发明技术可以在动态口令上增加特性,从而指定动态口令在一段时间内保持有效,但又只能由唯一的接入点接入,这样就能够保证用户使用相关应用时的延续性和安全性。
从具体实施来说,首先网上数据共享等基于网络的点对点(P2P)数据下载/交互的应用的客户端应与动态口令安全验证模块进行集成(具体集成的方式可能是多种多样的,在此不做赘述),用户在登录网上数据共享等基于网络的点对点(P2P)数据下载/交互的应用或执行一些关键操作时,需先通过无线通信终端与动态口令安全服务系统交互(比如从无线通信终端发送短信到指定服务号码),并在交互中指明所需动态口令的有效时间长度及允许同时接入的接入点数量(缺省的情况下,动态口令一次性有效,且仅允许一次接入使用),由动态口令安全服务系统计算生成动态口令并发回无线通信终端,从而获得所需要的动态口令。然后,用户将用户身份信息及动态口令输入相关应用的客户端,相关应用客户端与动态口令安全服务系统交互对用户进行验证;若验证通过,用户的身份就得到了第三方的权威验证能够登录或进行相关操作,并在用户指定的时间段和允许接入的数量内享受相应服务,反之用户就会被拒绝服务。
8.本发明在网上聊天等基于网络的即时消息通讯应用中的实施本项发明技术在网上聊天等基于网络的即时消息通讯应用中可以作为用户身份验证安全机制来提供比用户名加静态密码更高级别的安全防范手段,使得用户的即时消息通讯应用不易为他人窃取和盗用,并使得用户对即时消息通讯的交互内容不可抵赖,在某种程度上为未来相关应用的发展提供了技术基础。
从具体实施来说,首先网上聊天等基于网络的即时消息通讯应用的服务器端应与动态口令安全验证模块进行集成,用户在登录网上聊天等基于网络的即时消息通讯应用或执行一些关键操作时,需先通过无线通信终端与动态口令安全服务系统交互(比如从无线通信终端发送短信到指定服务号码),由动态口令安全服务系统计算生成动态口令并发回无线通信终端,从而获得所需要的动态口令。然后,用户将用户身份信息及动态口令输入相关网上聊天等基于网络的即时消息通讯应用的相应界面,相关应用服务器与动态口令安全服务系统交互对用户进行验证;若验证通过,用户的身份就得到了验证能够登录或进行相关操作,反之用户就会被拒绝服务。
9.本发明在网上支付、网上拍卖等基于网络的交易及支付类应用中的实施本项发明技术在网上支付、网上支付等基于网络的交易及支付类应用中可以作为用户身份验证的安全机制来提供比用户名加静态密码更高级别的安全防范手段,使得用户的网上账户不易为他人窃取和盗用,并使得用户对在网上执行的交易和支付行为具不可抵赖性。
从具体实施来说,首先网上支付、网上支付等基于网络的交易及支付类应用的服务器端应与动态口令安全验证模块进行集成,用户在登录网上支付、网上支付等基于网络的交易及支付类应用或执行一些关键操作(购买、预订、支付、投诉等等)时,需先通过无线通信终端与动态口令安全服务系统交互(比如从无线通信终端发送短信到指定服务号码),由动态口令安全服务系统计算生成动态口令并发回无线通信终端,从而获得所需要的动态口令。然后,用户将用户身份信息及动态口令输入相关网上应用的相应界面,相关应用服务器与动态口令安全服务系统交互对用户进行验证;若验证通过,用户的身份就得到了验证能够登录或进行相关操作,反之用户就会被拒绝服务。
10.本发明在企业内部安全通道、企业信息系统安全集成等等企业内部应用中的实施本项发明技术在企业内部安全通道、VPN、企业信息系统安全集成等等企业内部应用中可以作为企业用户和员工身份验证的安全机制,对比普通的用户名加静态密码的企业内部用户验证机制,本发明技术能够提供更高级别的安全防范能力。目前,有许多企业在内部安全通道、VPN等企业内部应用中使用了动态口令卡作为安全验证机制,本发明技术可以对动态口令卡实现替代,并且降低企业的总拥有成本,企业内部用户的使用和维护都会更加方便。
从具体实施来说,首先企业内部安全通道、VPN服务、企业信息系统等企业内部应用的服务器应与动态口令安全验证模块进行集成,用户在登录企业内部安全通道、VPN服务、企业信息系统等企业内部应用或执行一些关键操作(收发邮件、安全文档处理等等)时,需先通过无线通信终端与动态口令安全服务系统交互(比如从无线通信终端发送短信到指定服务号码),由动态口令安全服务系统计算生成动态口令并发回无线通信终端,从而获得所需要的动态口令。然后,用户将用户身份信息及动态口令输入相关的企业内部应用的相应界面,相关应用服务器与动态口令安全服务系统交互对用户进行验证;若验证通过,用户的身份就得到了验证能够登录企业内部应用或进行相关操作,反之用户就会被拒绝服务。
企业内部应用的种类很多包括企业财务信息系统、数据仓库、各种业务系统等等,往往会跨越不同企业内部安全区域和物理地点,本发明技术能够使企业用户在不同地点、不同应用间用同一的无线通讯终端和动态口令安全服务进行身份验证。动态口令安全服务系统对于企业来说可以是第三方的应用服务,也可以是在企业内部与企业内部安全通道等企业内部应用系统集成在一起的企业内部安全应用。
11.本发明替代身份证、会员卡等某些传统身份验证机制的实施应用传统的身份验证机制往往要求用户携带本人身份证件及相关身份证明,这对用户而言会造成一定程度的不方便,而且身份证件和相关身份证明偶而会遗失或者为他人所盗用。通过与本发明技术的集成,可以在一定程度上替代传统的身份验证机制为有关部门、机构提供权威的用户真实身份验证。
具体的实施如下,以某部门需对用户身份证进行验证为例首先该部门的相关软件应用系统需与动态口令安全验证模块进行集成,用户到该部门验证身份时,需先通过无线通信终端与动态口令安全服务系统交互(比如从无线通信终端发送短信到指定服务号码),由动态口令安全服务系统计算生成动态口令并发回无线通信终端,从而获得所需要的动态口令。然后,用户将用户身份信息及动态口令提供给有关部门的相关人员,相关人员将之输入相关软件应用系统并与动态口令安全服务系统交互对用户进行验证;若验证通过,用户更多的相关信息(可以包括照片、家庭等等详细内容)就会传递到相关软件应用系统,有关部门人员可以进一步验证该用户的身份。
以上所述对本发明技术的应用可以跨越不同地区和物理地点,在任意集成了相关安全服务的机构或服务部门都能够对用户身份进行安全验证。动态口令安全服务系统对于有关部门和机构来说可以是第三方的应用服务,也可以是在某权威机构、部门内部与相关应用系统集成在一起的内部安全应用。
上述十一项实施仅是本发明技术在实际应用中的一部分,具体的实施和应用会更加丰富和广泛,本说明书不一一赘述。在本发明所有的实施应用中,用户通过无线通讯终端与动态口令安全服务器交互获得动态口令是其核心特点,而动态口令本身可能会带有各种各样的特性。
权利要求
1.一种基于无线通讯终端的交互式动态口令安全服务系统,其特征在于它由无线通讯终端、无线通讯网络和动态口令安全服务系统组成;所述动态口令安全服务系统由内嵌有无线通讯功能模块的应用服务器和与之相连的数据库组成;该动态口令安全服务系统根据无线通讯功能模块传递来的用户静态密码及无线通讯终端物理设备本身所具备的唯一的设备识别信息,计算生成相应的动态口令,并存储到本地数据库中;并以无线通讯信息的方式经无线通讯功能模块和无线通讯网络发送给所述无线通讯终端;所述无线通讯终端和动态口令安全服务系统通过无线通讯网络连接,彼此之间以无线通讯方式进行信息的传递。
2.根据权利要求1所述的基于无线通讯终端的交互式动态口令安全服务系统,其特征在于所述无线通讯功能模块与所述动态口令安全服务系统集成在一起,用于接收无线通讯网络传来的无线通讯信息,并传送给所述动态口令安全服务系统,并将动态口令安全服务系统发送的无线通讯信息发送给所述无线通讯网络。
3.根据权利要求1或2所述的基于无线通讯终端的交互式动态口令安全服务系统,其特征在于该系统还包括有一集成有动态口令安全验证模块的第三方客户服务应用系统;该第三方客户服务应用系统由客户应用终端和集成有客户端动态口令安全验证模块的应用服务器组成,其中,应用服务器通过互联网与所述动态口令安全服务系统中的服务器相连;所述动态口令安全服务系统中的应用服务器内也集成有服务器端动态口令安全验证模块;所述客户端动态口令安全验证模块与第三方客户服务应用系统集成在一起,将用户输入的动态口令通过加密传输给所述服务器端动态口令安全验证模块,请求对相关用户信息进行验证;并接收所述服务器端动态口令安全验证模块对用户信息进行验证后的验证结果,返回给第三方客户服务应用系统;所述服务器端动态口令安全验证模块与动态口令安全服务系统集成在一起,响应客户端动态口令安全验证模块的通讯要求,获取由客户端动态口令安全验证模块发送来的动态口令;对用户及动态口令进行验证,并将验证结果返回给客户端动态口令安全模块。
4.一种为持有无线通讯终端的用户提供交互式动态口令的方法,它包括以下步骤(1)、用户通过其本人所持有的无线通讯终端上传用户信息a.用户在无线通讯终端中输入只有用户自己知道的静态密码及动态口令配置信息;b.通过无线通讯终端以无线通讯方式,将用户输入的信息连同无线通讯终端物理设备本身所具备的唯一设备识别信息一起发送到无线通讯网络,用户可以指定发送地址;c.无线通讯网络中的无线通讯网关接收到用户无线通讯终端发来的无线通讯信息后,根据用户指定的发送地址通过无线通讯网络及无线通讯网关运营商的内部系统寻找到该无线通讯信息所指向的动态口令安全服务系统,将无线通讯信息发送给动态口令安全服务系统;d.集成在动态口令安全服务系统内的无线通讯功能模块对无线通讯网关发送来的无线通讯信息响应,对无线通讯信息进行处理提取用户信息及无线通讯终端物理设备本身所具备的唯一的设备识别信息,并将相关信息发送给动态口令安全服务系统;(2)、动态口令安全服务系统生成动态口令a.动态口令安全服务系统对无线通讯功能模块发送来的信息进行处理,根据用户信息和无线通讯终端物理设备本身所具备唯一的设备识别信息与本地数据库中的记录进行匹配;b.若匹配成功,动态口令安全服务系统将调用相关的随机算法生成符合用户动态口令配置要求的动态口令,并在将动态口令及相关用户信息存入数据库后发送给无线通讯功能模块;c.若匹配失败,动态口令安全服务系统会随机生成一个字符串并发送给无线通讯功能模块;(3)、动态口令安全服务系统将生成的动态口令返回给用户持有的无线通讯终端a.无线通讯功能模块对动态口令安全服务系统发送来的相关信息转换成无线通讯网关能够接收的数据包发送给无线通讯网关;b.无线通讯网关对无线通讯功能模块发送来的动态口令及用户无线通讯终端信息发送给指定用户的无线通讯终端;c.用户在无线通讯终端读取到动态口令。
5.一种为持有无线通讯终端的用户提供交互式动态口令验证的方法,它包括以下步骤(1)、用户在第三方客户服务应用系统输入相关用户信息及动态口令a.用户在无线通讯终端读取到动态口令后,在第三方客户服务应用系统的用户登录界面输入本人在第三方客户服务应用系统的用户名、相应的静态密码以及动态口令;(2)、第三方客户服务应用系统将用户信息上传给动态口令安全服务系统a.第三方客户服务应用系统在获取相关用户信息后,从本地数据库中提取事先存储的用户无线通讯终端物理设备本身所具备唯一的设备识别信息,并将这些信息发送给客户端动态口令安全验证模块;b.客户端动态口令安全验证模块将收到的信息发送到动态口令安全服务系统的服务器端动态口令安全验证模块;(3)、动态口令安全服务系统验证用户动态口令a.服务器端动态口令安全验证模块与动态口令安全服务系统的数据库交互,对用户信息、动态口令、及动态口令的有效性进行匹配;b.若匹配成功,服务器端动态口令安全验证模块将验证成功信息返回给客户端动态口令安全验证模块;c.若匹配失败,服务器端动态口令安全验证模块将验证失败信息返回给第三方客户服务应用系统的客户端动态口令安全验证模块;(4)、第三方客户服务应用系统验证客户身份a.客户端动态口令安全验证模块在收到服务器端动态口令安全验证模块发送来的验证结果后,将相应结果返回第三方客户服务应用系统;b.第三方客户服务应用系统根据验证结果确认用户身份或拒绝用户身份;若确认用户身份,则第三方客户服务应用系统将提供相应服务给用户使用,反之,将拒绝提供相应服务给用户使用。
全文摘要
本发明公开了一种基于无线通讯终端的交互式动态口令安全服务系统,它包括无线通讯终端、无线通讯网络、动态口令安全服务系统和第三方客户服务应用系统。本发明的特征在于基于无线通讯终端和无线通讯网络,通过交互的方式产生以及验证动态口令的安全机制。即用户使用其本人所持有的无线通讯终端,通过无线通讯网络及无线通讯网关,与动态口令安全服务系统交互,由动态口令安全服务系统生成动态口令并返回给用户所持有的无线通讯终端;以及,当用户通过第三方客户服务应用系统输入动态口令后,第三方客户服务应用系统与动态口令安全服务系统交互,由动态口令安全服务系统对该动态口令进行验证,并将验证结果返回给第三方客户服务应用系统。
文档编号H04L9/00GK101060403SQ20061007569
公开日2007年10月24日 申请日期2006年4月18日 优先权日2006年4月18日
发明者钟曦辰 申请人:钟曦辰