[发明专利]保护账号安全的方法

说明书

技术领域

本发明涉及短信传输和计算机数据库相结合的操作运用技术，具体为保护账号安全的方法。

背景技术

目前，公知的账号保护主要有以下四种方式：

第一种，静态密码认证技术，其用用户的“账号名”和“密码”来认证和识别用户的合法性，其主要特点是用一个固定的密码去激活一个特定的账号，但由于密码和账号作为软性标识，静态不变，且在网络中传输，存在许多弊端和安全漏洞，针对它的破解技术在不断发展，产生了许多可以盗取账号密码的工具和方法，例如采用窃取、破译、偷窥、骗取等，此外对用户创建、记忆、修改口令的要求较高，口令设定太简单容易被破解，设得太复杂，就容易被遗忘。

第二种，动态密码认证技术，其包括用户的口令卡、认证服务器和管理工作站组成。管理工作站负责用户的注册、初始化、生成和发放密码卡、信息修改、卡的注销等。这种认证系统为每个用户配一块“动态口令卡”（即令牌）。口令卡中的专用芯片和服务器从同样的时间开始，依据相同的安全算法，每一定时间内生成一个口令，口令卡上的口令用一个液晶窗口显示出来。用户登录时，输入卡上显示的口令，由认证服务器进行比较认证，由于时间同步，口令卡和服务器生成的口令完全相同，所以能登录系统。由于口令随时间动态变化的，任何人没有口令卡就不可能知道口令，因此这种口令技术比静态口令安全得多，其优点是：不怕窃听、不怕偷窥，破解，也不需记忆，体积小，便于携带。其与第四种技术有个共同的缺点是无法防范新型木马（此木马的特征为：在用户登录时，造成客户端断线，或者反复出现登录框阻止用户顺利登录，与此同时截获用户密码并转发至木马传播者指定的电子信箱。）的攻击，由于此种类型木马的攻击方式是在用户登录客户端时采用阻止用户成功登录并同时截获用户的账号和密码，因为用户在客户端并没有完成登录，所以在一定时间段内动态口令卡或手机短信发送的动态密码不会变化，一旦与静态密码同时被盗取依旧不能完全保护账号的安全。

第三种，USB Key认证即ePass密码锁，ePass密码锁采用的是国际先进的USB技术和算法加密认证技术，其硬件包括CPU、安全存储器及运行在其上的智能微系统，只要把用户的账户和密码信息以密钥形式存入防盗锁中，在使用过程中密钥信息永不出锁，实现真正意义上的保护。这是因为用于身份认证的账户信息和密钥是设定为不可直接读取，外部应用只能送入计算所用的输入因子，而整个计算过程完全在ePass网游防盗锁内的CPU完成，只将计算的结果传到外部应用，这样密钥就绝对不可能被外部的黑客程序侦听到，并且密钥的计算是不可逆算法，也无法通过计算结构倒推出密钥的值，而传到ePass网游防盗锁外部的计算结果也会随着每次输入数据的不同而变化，即使记录每次认证将计算的值也无法达到冒用身份的目的，其优点是：不怕窃听、不怕偷窥，破解，也不需记忆，体积小，便于携带，本技术的缺陷：使用成本高，容易丢失，容易损坏，可靠性较低，不法分子可以通过计算机中的木马病毒破译出Ukey密码，另外用户使用U盾需要安装驱动，并不断升级驱动，操作繁琐。

第四种，手机短信发送动态密码+静态密码，其包括用户的手机，认证服务器，管理工作站和短信网关组成，管理工作站负责用户的注册，手机号码的绑定及取消绑定。用户登录时，发送一组激活指令，认证服务器随机生成一组动态密码通过短信网关发送到用户在注册时绑定的手机上，用户输入静态密码和这组动态密码，这组动态密码与认证服务器中的信息进行比较认证。由于这组动态密码是随机生成并且绑定用户手机所以更安全可靠一点。其优点是：不怕窃听、不怕偷窥，破解，也不需记忆，手机普及率较高便于实现。缺陷与第二种方法相同。

以上所述方法既无法防范盗号木马的攻击，同时用户也无法对登录界面的真伪进行验证，如果不法分子利用钓鱼网站对用户进行诈骗攻击，账号的安全无法得到保障：不法分子利用各种手段，仿冒真实网站的URL地址以及页面内容，或者利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码，骗取用户的账号、密码等私人资料，同时在极短的时间内使用用户的账号，密码登录真实网站，盗取用户的财物。

发明内容

针对上述几种密码保护技术的不足之处，本发明提供了保护账号安全的方法，系统的可靠性高，验证码信息传送保密度高，不但能够有效防范盗号木马病毒的攻击，并且能够防御钓鱼网站对用户实施的诈骗攻击，用户操作起来简单直观，易于上手。

其技术方案是这样的：