一种验证码安全加固的认证方法及系统技术方案
Authentication method and system for security reinforcement of verification code
The invention discloses a reinforced security verification code authentication method, including: the server receives the user sent to get verification code request, send SMS verification code to the user; the client will access the SMS verification code using the pre stored encrypted ciphertext message generation algorithm has been verified; client access times, and add the verification, verified the count; the client user information, send verification count and SMS verification form ciphertext file to the server; the server receives verification documents and verify. In addition to providing a reinforcement verification code secure authentication system, including server, client and server connected to the client, including the first transceiver module, encryption, information statistics module and a control module, a control module is respectively connected with the first transceiver module, information encryption plug-in and statistics module. Through the invention, the security of the authentication code is greatly enhanced, and the user experience is improved without affecting the user experience.
【技术实现步骤摘要】
一种验证码安全加固的认证方法及系统
本专利技术涉及信息安全领域,尤其涉及一种验证码安全加固的认证方法及系统。
技术介绍
随着移动互联网技术的发展,手机银行已经走入大众生活,使用手机银行进行转账支付变得非常普遍。转账支付涉及用户资金,所以其安全性必需得到保证。目前的手机银行多是通过短信验证码来保护交易的安全性。然而随着手机木马程序的出现,以及越来越多的廉价伪基站,短信验证码变得非常容易被截获。目前流行的短信验证码认证机制已经在很大程度上丧失了有效性,用户手机银行的资金安全备受威胁。
技术实现思路
本专利技术提供一种验证码安全加固的认证方法及系统,用以解决现有技术中存在如何才能更安全的保障我们的短信验证码的安全性,如何在用户无感知,即不影响用户体验的前提下保障用户的权益,避免短信验证码被非法分子冒用损坏合法用户权益。本专利技术一方面提供一种验证码安全加固的认证方法,包括步骤:S100服务器接收用户发送的获取验证码请求后,下发短信验证码给所述用户;S200所述客户端将所述用户获取的所述短信验证码通过算法进行加密生成短信密文;S300所述客户端获取已验证次数,并添加本次验证,得到验证计数值;S400所述客户端将用户信息,所述验证计数值和短信密文组成的验证文件发送给所述服务器;S500所述服务器接收所述验证文件并进行验证。客户端通过对短信验证码进行加密,统计客户端的已验证次数使得验证码认证更为安全,用户在获得短信验证码后,只需要将该短信验证码填入客户端,客户端即可自行完成短信的加密及已验证次数的统计,将包含用户信息、已验证计数值和加密后生成的短信密文组成的验证文件发给服...
【技术保护点】
一种验证码安全加固的认证方法,其特征在于,包括步骤:S100服务器接收用户发送的获取验证码请求后,下发短信验证码给所述用户;S200所述客户端将所述用户获取的所述短信验证码通过算法进行加密生成短信密文;S300所述客户端获取已验证次数,并添加本次验证,得到验证计数值;S400所述客户端将用户信息,所述验证计数值和短信密文组成的验证文件发送给所述服务器;S500所述服务器接收所述验证文件并进行验证。
【技术特征摘要】
1.一种验证码安全加固的认证方法,其特征在于,包括步骤:S100服务器接收用户发送的获取验证码请求后,下发短信验证码给所述用户;S200所述客户端将所述用户获取的所述短信验证码通过算法进行加密生成短信密文;S300所述客户端获取已验证次数,并添加本次验证,得到验证计数值;S400所述客户端将用户信息,所述验证计数值和短信密文组成的验证文件发送给所述服务器;S500所述服务器接收所述验证文件并进行验证。2.根据权利要求1所述的一种验证码安全加固的认证方法,其特征在于,在所述步骤S300之后还包括步骤:S350所述客户端对所述验证计数值进行加密生成计数密文;所述步骤S400包括步骤:S410所述客户端将用户信息、客户端标识信息、所述计数密文、及短信密文组成的验证文件发送给所述服务器。3.根据权利要求1所述的一种验证码安全加固的认证方法,其特征在于,还包括步骤:S010所述客户端获取所述用户信息,并将所述用户信息发送至所述服务器;S020所述服务器接收所述用户信息,并根据所述用户信息生成与所述用户信息唯一关联的密钥参数,同时将所述密钥参数进行存储;S030所述服务器根据所述密钥参数,通过算法重构机制将所述服务器内部存储的算法进行重构生成新算法;S040所述服务器将所述新算法发送至所述客户端进行存储。4.根据权利要求3所述的一种验证码安全加固的认证方法,其特征在于,所述步骤S020包括:所述服务器根据接收的所述用户信息结合存储的SOTP算法生成与所述用户信息唯一关联的密钥参数;所述步骤S030包括步骤:S031所述服务器结合所述密钥参数和数据码编码算法重构生成所述服务器的新算法;S032所述服务器结合所述密钥参数和数据码解码算法重构生成所述客户端的新算法;所述步骤S040包括步骤:S041所述服务器将所述重构后生成的客户端的新算法发送至客户端。5.根据权利要求3所述的一种验证码安全加固的认证方法,其特征在于,在步骤S030中,所述服务器结合所述密钥参数和所述算法重构机制将所述服务器内部存储的算法进行重构生成新算法,至少包括以下一个步骤:根据所述密钥参数,确定所述新算法的运算顺序;根据所述密钥参数,确定所述新算法的分组数据块的结构,以及所述分组数据块的运算顺序;根据所述密钥参数,确定所述新算法中的固定参数。6.根据权利要求2所述的一种验证码安全加固的认证方法,其特征在于,所述步骤S310包括步骤:S311所述客户端对所述计数值采用RSA加密算法进行加密,生成计数密文。7.根据权利要求2-6任一项所述的一种验证码安全加固的认证方法,其特征在于,所述步骤S500包括步骤:S510所述服务器接收所述验证文件;S520所述服务器使用解密算法解密所述验证文件中的所述计数密文,获得所述验证计数值S530所述服务器判断所述验证计数值是否大于所述服务器存储的所述客户端的已验证计数值,若是则进入步骤S540,否则进入步骤S550;S540所述服务器解密接收的所述验证文件中的短信密文,获得短信验证码,并判断所述短信验证码是否与之前下发给所述用户的短信验证码是否一致,若是,则验证所述用户身份成功,并将所述服务器存储的所述客户端的已验证计数值更新为解密计数密文获得的计数值;否则验证所述用户身份失败;S550判断所述报文被重放,验证所述用户身份失败。8.根据权利要求7所述的一种验证码安全加固的认证方法,其特征在于,还包括步骤:S080当所述客户端存储的验证计数值与所述服务器存储的所述客户端的已验证计数值的差值大于预设值时,校准所述客户端存储的验证计数值与所述服务器存储的所述客户端的已验证计数值。9.一种验证码安全加固的认证系统,其特征在于,包括服务器、与所述服务器相连的客户端,所述客户端包括第一信息收发模块、加密插件、统计模块及控制模块,其中,所述控制模块分别与所述第一信息收发模块、加密插件及统计模块相连,其中:所述服务器接收用户发送的获取验证码请求后,下发短信验证码给所述用户;所述客户端的第一信息收发模块获取到所述短信验证码后,所述加密插件在所述控制模块的作用下将所述短信验证码进行加密生成短信密文;所述客户端的统计模块统计已验证次数,并添加本次验证,得到验证计数值;所述客户端的第一信息收发模块在所述控制模块的作用下,将用...
【专利技术属性】
技术研发人员:谈剑锋,梅阳,姜立稳,胡剑波,谢勇,钱金金,
申请(专利权)人:上海众人网络安全技术有限公司,
类型:发明
国别省市:上海,31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。