[发明专利]帐号保护的方法及系统

权利要求书

1.一种帐号保护的方法，包括以下步骤：

(1)客户端登录单元与服务器认证单元建立网络连接，服务器认证单元认证客户端登录单元发送的帐号信息为有效；

其特征在于，所述步骤(1)后还包括：

(2)服务器认证单元判断该帐号信息是否绑定客户端验证单元，如果判断结果为否，则步骤结束；如果判断结果为是，则进入步骤(3)；

(3)服务器认证单元验证该客户端验证单元的信息是否有效，如果有效，则允许该帐号登录，如果无效，则禁止该帐号登录。

2.按照权利要求1所述的帐号保护的方法，其特征在于，所述步骤(3)具体为：

(31)服务器认证单元产生验证码返回给客户端登录单元；

(32)客户端验证单元使用其内部存储的数字证书的私钥对客户端登录单元收到的验证码进行加密，并将数字证书和加密后的验证码通过客户端登录单元发送给服务器认证单元；

(33)服务器认证单元分别验证数字证书信息和加密后的验证码是否有效，如果有效，则允许该帐号登录，如果无效，则禁止该帐号登录。

3.按照权利要求2所述的的帐号保护的方法，其特征在于，步骤(33)中所述服务器认证单元分别验证数字证书信息和加密后的验证码是否有效的方法包括以下三种认证：

(a)服务器认证单元判断收到的数字证书是否是其颁发的；

(b)从帐号的数字证书中提取公钥解密验证码，并校验验证码是否与发送给客户端登录单元的验证码一致；

(c)提取数字证书中的证书序列号并查询是否与在服务器认证单元中存贮帐号的唯一证书序列号一致。

4.按照权利要求2或3所述的帐号保护的方法，其特征在于，所述的验证码为一个随机数。

5.按照权利要求2所述的帐号保护的方法，其特征在于，所述步骤(33)后还包括：

(4)服务器认证单元产生随机会话密钥，并用客户端验证单元的数字证书的公钥加密会话密钥，将结果发送给客户端登录单元；

(5)客户端验证单元解密结果，服务器认证单元和客户端登录单元都设置该会话密钥为通信密钥，进行通信数据的加解密。

6.按照权利要求1所述的帐号保护的方法，其特征在于，步骤(2)中所述帐号信息绑定客户端验证单元为：

帐号信息与客户端验证单元内部的数字证书进行绑定。

7.按照权利要求1所述的帐号保护的方法，其特征在于，步骤(2)中所述的客户端验证单元为：支持公开密钥体系的智能卡或电子钥匙。

8.一种帐号保护的系统，包括：客户端登录单元和与其连接的服务器认证单元，其特征在于，所述的系统还包括：

与客户端登录单元连接的客户端验证单元，用于使用其内部存储的数字证书的私钥对客户端登录单元收到的验证码进行加密，并将加密后的验证码和数字证书信息发送给服务器认证单元；

所述的服务器认证单元还包括：

绑定信息验证模块，用于在帐号认证成功后发送验证码给客户端登录单元，并接收、验证客户端验证单元发送的加密后的验证码和数字证书信息。

9.按照权利要求8所述的帐号保护的系统，其特征在于，所述绑定信息验证模块包括：

数字证书验证模块，用于验证数字证书是否是服务器认证模块颁发；

验证码验证模块，用于从帐号的数字证书中提取公钥解密验证码，并校验验证码是否与发送给客户端登录单元的验证码一致；

序列号验证模块，用于提取数字证书中的证书序列号并查询是否与在服务器认证单元中存贮帐号的唯一证书序列号一致。

10.按照权利要求8所述的帐号保护的系统，其特征在于，所述的客户端验证单元为：支持公开密钥体系的智能卡或电子钥匙。