[发明专利]一种信息验证方法

说明书

本发明提出了一种信息验证方法，包括以下步骤：(1)客户端向服务器发送用户注册信息，请求验证用户身份；服务器用于验证用户身份，并在成功之后，根据用户注册信息，产生对应客户端的密钥容器文件；(2)客户端从服务器下载或更新为该密钥容器文件，该密钥容器文件包含待匹配信息以及非对称密钥的公私密钥对或者对称密钥，这些信息与密钥容器文件绑定，以用于认证客户端；(3)当客户端中实际信息与待匹配信息匹配后，在客户端的应用业务需要进行用户身份真实性认证的时候，客户端与服务器进行基于非对称密钥的双向认证或者基于对称密钥的单向认证。本发明在大大提高验证可靠性和安全性的同时，大幅简化验证的流程，降低了验证的成本。

技术领域

本发明属于信息安全技术领域，涉及一种信息验证技术。

背景技术

随着移动通信和互联网技术的高速发展，个人身份的认证在银行、证券、商务、贸易、办公、教育等各个行业的应用需求越来越多，个人身份认证的安全问题也引起了广泛的重视。目前在互联网领域常用的有通过动态令牌、U盾、指纹等方式进行认证的技术。但是，这些技术一般需要用户随身携带认证的硬件产品，很不方便。短信验证相对简便且用户体验好，但每次验证都需要短信发送明文验证码给用户，除了验证成本高，而且有安全风险。

校验短信的原理是让用户感知到此为其某种行为，比如支付行为正在发生，给盗刷用户帐号的骗子提高门槛，因为骗子可能拿到了支付密码，却未必掌握了用户的手机。并且用户收到了莫名其妙的支付短信验证码，会对帐号可能被盗有所感知，进而提高了安全性。但是短信验证码作为安全的中流砥柱，又有其突出的弱点，即明文发送，在通信途中被拦截和转发从而失去了安全性，还有各类采用人工手段欺骗受害者泄漏验证码的骗局，针对的都是这个弱点。

除了明文外，短信验证采用的是单边验证的方式，也就是说发的人能确保接收的人就是这个手机号，收的人却验证不了到底是谁发的短信。这种情况非常容易引起手机木马的快速传播，市面上有各种修改显示号码的黑客软件，能发出显示成银行电信等服务号码的短信，内容就是各种官方口气的通知，诱使客户去点击链接。用户点进去后有一个APK下载下来提示安装，安装后手机就中了木马。木马的传播是非常迅速的，中了木马的手机，会悄悄地给通讯录里面的人发送钓鱼短信，还会智能地按照通讯录里面的记录称呼，给儿子的短信可能就是儿子的小名，给爱人的短信可能就是很少有人知道的爱称，短信的内容大多是什么我最近拍了些照片，点击链接就可以看到这类的。这就大大增强了钓鱼短信的可信度，促使更多人中招。中招的手机继续向通讯录发短信扩散木马，这样一传十，十传百，木马迅速就传播开了。

木马种植到手机里面之后，将隐藏起来。它会专门监视各个支付平台的短信验证码和银行的扣款通知短信，对短信验证码木马会自动转发到骗子控制的设备上，对于银行扣款的通知短信，木马悄悄删掉，从而用户根本感知不到支付行为的发生。骗子利用钓鱼网站收集过来的客户信息进行诈骗，验证中需要支付密码的，骗子就用木马转发来的短信验证码填写就可以了。这样一来，短信验证码在安全上的防护作用就被彻底地破坏了。

虽然近年来出现了语音验证，但需要每次给用户拨打电话播报语音验证码，用户需要记住验证码，不仅不方便，而且还存在成本高的问题。

发明内容

本发明的目的在于提供一种信息验证方法，以大大提高验证的可靠性和安全性，同时大幅简化验证的流程，降低验证的成本。

为了达到上述目的，本发明的解决方案是：

一种信息验证方法，包括以下步骤：

(1)客户端向服务器发送用户注册信息，请求验证用户身份；

所述服务器用于验证用户身份，并在验证用户身份成功之后，根据所述用户注册信息，产生对应所述客户端的密钥容器文件；