[发明专利]随机隐询式密码认证技术

说明书

所属技术领域

本技术是一种在有线或无线互联网系统、独立网络系统、金融系统、保险系统以及需要身份验证的应用领域内，为保障合法用户信息安全的全新技术。该技术旨在建立一种让帐号、密码信息只存在于服务器和用户头脑中，并杜绝在输入过程中造成帐号泄密可能性的解决方案。

背景技术

随着网络化、信息化的发展，利用电脑、手机，通过网络收发电子邮件，聊天，网络游戏，操作网上银行、股票已经普及。各种网络服务提供商、金融机构为了缓解柜面工作压力和排队现象，也鼓励用户通过网络平台进行自助操作。现行的身份认证机制，仍然沿用传统的方法，即：用户首先在官方注册，填写帐号(或取得卡、证)、设定密码及相关信息；使用时填写帐号(或出具卡、证)并填写密码，系统在数据库中查找该用户，并比对其密码，若两者完全一致则认定为合法用户，否则拒绝操作请求。但由于电脑软、硬件体系设计和互联网的开放式构架，各种用于监控和盗窃的恶意程序、木马程序、与官方网站拥有相似域名和完全相同外观，骗取帐号密码的钓鱼网站，以及用摄像头偷拍或人为剽窃他人输入过程等犯罪行为，使传统的身份密码认证机制无法保护用户帐号的安全。由于帐号和密码原本只存在于服务器和用户记忆中，现在各种帐号泄密事件的发生，绝大多数发生在帐号的输入过程中，这是由传统的密码验证机制以下缺陷造成的：

1.每个按键代表一个有效字符(可以在帐号和密码中出现的字符)。

2.每个按键的位置固定不变。

3.每次的输入完全相同，包括位数和每位所对应的字符。

4.为防止钓鱼网站骗取用户帐号密码，用户在注册或开户时，与官方约定一个固定不变的静态服务信息，当用户登录后看到该信息即可确认登录的是官方网站。由于只能在登录后确认网站的合法性，对于钓鱼网站而言，用户输入帐号密码后，就已经骗取了帐号和密码。所以这种“被动”式的证明方式，证明时为时已晚。

发明内容

为了杜绝输入过程的泄密可能，同时对现有的电脑、手机等设备的体系设计和已有的输入习惯保持兼容，本技术包含以下特点：

1.密码有效字符(允许使用的字符)为：0～9，A～Z共36个字符，字母不必区分大小写(不需要用到字符按键区)，密码固定为10位。输入设备默认使用鼠标。没有鼠标则使用其原有键盘上的某一键模拟鼠标输入的开始，然后用其他键输入所需字符。

2.“随机分配”特点：36个密码有效字符在每次用户登录操作时，都将随机的分配在10个按键上，并在显示设备的屏幕上显示。

3.“字符集合”特点：每个按键上包含3～4个有效的字符，每个字符用图片表示。当用户按下某一按键，该键上对应多个字符，解除了传统技术中按键与字符的唯一对应性。

4.“防智能识别”特点：用图片表示字符是为了让非法程序成不能识别字符，因为人可以清楚的理解图片代表的含义，虽然理论上程序可以识别，但将非常困难。例如：程序不知道两竖一横是字符“H”。(为防止软件智能识别，图片可定期更换或随机进行旋转、变形等变化，以增加识别难度)

5.每个按键上所包含的字符在每一次操作过程中将随机变化，保证每次字符在按键上的分布都不相同，用户的输入也就不会相同。解除了传统技术中输入位置的固定性。