[发明专利]保护账号安全的方法

权利要求书

1.保护账号安全的方法，其包括以下步骤：(1)、注册，(2)、登录请求，(3)、服务器验证，(4)、发送动态密码和动态识别码，(5)、用户登录，(6)、服务器验证，(7)、用户识别，其特征在于：(5)和(6)这两个步骤必须分别执行两次，且两次用户登录的密码均为动态密码，第一次登录输入动态密码A和用户账号，通过验证后动态密码A即时失效，然后输入动态密码B，进行第二次登录并验证登录，成功登录后动态密码B即时失效。

2.根据权利要求1所述保护账号安全的方法，其特征在于：在进行第二次登录时输入动态密码B的同时输入静态密码，成功登录后动态密码B即时失效。

3.根据权利要求2所述保护账号安全的方法，其特征在于：在通过第一次登录验证后的登录界面中显示动态识别码，用户需对登录界面中显示的动态识别码与手机短信中收到的动态识别码进行比对，确认两组动态识别码显示完全相同后再进行输入动态密码B和静态密码的登录步骤，成功登录后动态识别码和动态密码B即时失效。

4.根据权利要求3所述保护账号安全的方法，其特征在于：其包括以下步骤

(1)、注册，用户需向管理工作站提交用户的账号名、手机号码和静态密码，并约定与手机号码相互绑定的激活码；

(2)、登录请求：用户以手机短信的形式通过短信网关向系统短信平台提交自己的激活码；

(3)、服务器认证：系统短信平台在接收到用户的登录请求后提取用户短信中的激活码及用户的手机号码，并转送到系统认证服务器，认证服务器收到激活码和用户手机号码后在系统认证服务器的数据库中对其进行检索，如果用户登录请求中的激活码和手机号码与认证服务器内部信息相符，则验证通过，系统认证服务器临时生成三组随机字符串，随机字符串A和随机字符串B作为此用户的登录动态密码，随机字符串C作为用户判断登录界面真伪的识别码，此识别码显示在用户通过第一次登录验证后的登录界面中，如果用户手机号码、约定的激活码与系统内部绑定的信息不符，则通过系统短信平台提示用户验证失败；

(4)、发送验证码：所述步骤(3)验证通过后，由系统短信平台将步骤(3)产生的两组动态密码A与B和动态识别码以短信的方式通过短信网关传输到该用户手机，同时动态密码A、B和动态识别码被保存在认证服务器的数据库中；

(5)、用户登录1：用户收到步骤(4)发送的动态密码A、B和动态识别码后，在系统客户端登录，登录时先将账号名与动态密码A在系统的客户端输入； 

(6)、服务器认证1：认证服务器端对用户输入的账号名与动态密码A进行有效性验证，将用户输入的账号名与动态密码A和保存在认证服务器中的信息进行比对验证其是否合法，如果验证通过，则系统认证服务器数据库中的动态密码A即时注销，同时用户进入下一步骤，如果验证失败，则通过网络在客户端提示用户登录失败；

(7)、用户识别：通过步骤(6)的验证后，在登录界面中显示由步骤（3）所生成的动态识别码，用户比对登录界面中显示的动态识别码和步骤（4）收到的动态识别码两者是否一致，如果两组识别码信息显示不一致，用户可判定此登录界面不是由服务商提供的真实登录界面，从而放弃登录，如果两组识别码信息显示一致，用户可判定此登录界面为服务商提供的真实登录界面，用户进入下一步骤；

 (8)、用户登录2：通过步骤(7)的验证后，用户将静态密码和步骤(4)中得到的动态密码B在系统的客户端输入；

(9)、服务器认证2：认证服务器端对用户输入的静态密码和动态密码B进行有效性验证，对用户输入的静态密码和动态密码B与保存在认证服务器中的信息进行比对验证其是否合法，如果验证通过，用户可以成功登录，当用户登录成功后，系统认证服务器数据库中的动态识别码和动态密码B即时失效，如果验证失败，则通过网络在客户端提示用户登录失败；

(10)、当用户再次需要登录系统时，需重复(2)、(3)、(4)、(5)、(6)、(7)、(8)、（9）步骤。

5.根据权利要求3所述保护账号安全的方法，其特征在于：其包括以下步骤

(1)、注册，用户需向管理工作站提交用户的账号名、手机号码和静态密码，并约定与手机号码相互绑定的激活码，获取服务商提供的动态口令卡并与用户的账号绑定；

(2)、登录请求：用户以手机短信的形式通过短信网关向系统短信平台提交自己的激活码；

(3)、服务器认证：系统短信平台在接收到用户的登录请求后提取用户短信中的激活码、手机号码，并转送到系统认证服务器，认证服务器收到激活码和用户手机号码后在系统认证服务器的数据库中对其进行检索，如果用户登录请求中的手机号码和约定的激活码与认证服务器内部信息相符，则验证通过，系统认证服务器临时生成两组随机字符串A和C，随机字符串A作为此用户的登录动态密码，随机字符串C作为用户判断登录界面真伪的识别码，此识别码显示在用户通过第一次登录验证后的登录界面中，如果用户手机号码、约定的激活码与系统内部绑定信息不符，则通过系统短信平台提示用户验证失败；

(4)、发送动态密码：所述步骤(3)验证通过后，由系统短信平台将步骤(3)产生的动态密码A和动态识别码C以短信的方式通过短信网关传输到该用户手机，同时动态密码A和动态识别码被保存在认证服务器的数据库中；

(5)、用户登录1：用户收到步骤(4)发送的动态密码A和动态识别码后，在系统客户端登录，登录时先将账号名与动态密码A在系统的客户端输入；

(6)、服务器认证1：认证服务器端对用户输入的账号名与动态密码A进行有效性验证，将用户输入的账号名与动态密码A和保存在认证服务器中的信息进行比对验证其是否合法，如果验证通过，则系统认证服务器数据库中的动态密码A即时注销，同时用户进入下一步骤，如果验证失败，则通过网络在客户端提示用户登录失败；

(7)、用户识别：通过步骤(6)的验证后，在登录界面中显示由步骤（3）所生成的动态识别码，用户比对登录界面中显示的动态识别码和步骤（4）收到的动态识别码两者是否一致，如果两组识别码信息显示不一致，用户可判定此登录界面不是由服务商提供的真实登录界面，从而放弃登录，如果两组识别码信息显示一致，用户可判定此登录界面为服务商提供的真实登录界面，用户进入下一步骤；

(8)、用户登录2：通过步骤(7)的验证后，用户使用由服务商提供的动态口令卡在系统客户端登录，登录时将动态口令卡中生成的动态密码B和静态密码在系统的客户端输入； 

(9)、服务器认证2：认证服务器端对用户输入的静态密码和动态密码B进行有效性验证，对用户输入的静态密码和动态密码B与保存在认证服务器中的信息进行比对验证其是否合法，如果验证通过，用户可以成功登录，当用户登录成功后，系统认证服务器数据库中的动态识别码和动态密码B即时失效，如果验证失败，则通过网络在客户端提示用户登录失败；

(10)、当用户再次需要登录系统时，需重复(2)、(3)、(4)、(5)、(6)、(7)、(8)、（9）步骤。