[发明专利]一种网络账户安全防护方法和系统

说明书

技术领域

本发明涉及金融安全防范领域，尤其涉及电子商务、网上虚拟货币交易账户安全防护方法和系统。

背景技术

随着技术进步和社会的不断发展，现在因特网已经深入影响到人们生活的方方面面，网上购物、网络游戏、网上贸易、网上在线支付等等新兴的商务模式为用户带来更多生活便利。同时，由于这些基于因特网的用户活动常常会涉及用户与系统之间或用户与用户之间的账户交易，其用户账户的安全性就显得日益重要，一旦其账户信息被黑客或不法分子窃取就会给用户造成物质和精神上的损失。

虽然电子商务网站、网络游戏网站、网上第三方支付平台等服务都采用了一系列安全防范技术，如加密、密钥管理、电子签名、采用CA安全认证系统等等，但是这些防范措施主要针对网络信息传输环节，对于用户账户本身的安全保护仍嫌不足。这是由于网站后台系统通常通过用户账户的名称和密码来进行用户登陆认证，而账户认证信息直到用户下一次主动修改完成之前都是固定不变的，由于网络的相对开放性和通达性，不法分子一旦窃取了他人网络账户信息就可以很轻易地骗过网站的鉴权认证环节进入用户在网站上的个人空间随意操作，包括对个人账户的余额转移、支付、交易以及积分兑换等。而用户却毫不知情，往往要到下次登陆网站进行账户操作时才会发现。

由此可见，消费者需要一种简单易行、成本可控的防止网络账户被盗用的方法，用以保护网络账户安全以及自己的合法权益。

发明内容

本发明提出一种利用动态密码技术防止网络账户被盗用的方法。该方法包括以下步骤：

(1)确认和记录网络账户初始认证密码；

(2)在随后的第一次账户操作中使用初始认证密码进行认证；

(3)在每次账户操作完成后通过随机算法生成新的认证密码用于下次认证。

所述新认证密码由网站后台处理系统或用户手机中的密码服务客户端程序生成并通知对方。

本发明同时还提出一种利用动态密码技术防止网络账户被盗用的系统，包括网站后台处理系统、用户手机和接入Internet的终端，该系统将用户设置或修改的账户认证密码作为初始密码，用于随后的第一次账户操作时的密码验证，并在每次账户密码认证完成后自动更新认证密码，作为下次账户操作的认证密码。

上述网络账户操作是指网络账户登陆以及登陆后的任何涉及该账户名下网络虚拟资产的操作，包括账户查询、账户内虚拟货币的买入卖出、虚拟货币在不同账户之间的转移和支付、账户名下积分兑换和修改账户密码等操作。用户手机是指用户在注册开通网络账户时登记的与此账户绑定的手机。

运用本发明的系统和方法不用改变现有网站系统的构成和业务流程，实施成本低廉，用户使用方便。对于一些网络虚拟电子支付账户，象支付宝和快钱等电子商务第三方支付平台的账户、网络游戏网站的用户充值账户、其它各类电子商务网站的用户充值账户等等，都可以采用本发明提出的动态密码技术来保护用户的账户安全，防止他人盗用，增强系统安全性能。

附图说明

图1是本发明方法基本思想示意图；

图2是本发明中实施例中随机密码生成算法的流程图；

图3是本发明一个实施例的示意图；

图4是本发明系统动态改变银行卡交易密码的流程图；

图5是本发明一个实施例中采用的一种新密码通知方式示意图。

具体实施方式

下面结合附图详细说明本发明的具体实施方式：

本发明利用动态密码技术可以较好地改善目前网站在用户账户安全防护方面的薄弱环节，该方法的基本思想如图1所示，即改变目前用户帐号的认证密码固定不变的做法，网站后台处理系统在每次账户操作后都主动更新交易密码并通知用户。具体步骤如下：

第一步，确认和记录用户账户的初始认证密码；

第二步，网站后台处理系统自动选择初始密码作为随后第一次账户操作的认证密码；

第三步，每次账户操作后，网站后台处理系统采用随机算法计算出下一次账户操作的认证密码，并通过通信网络即时通知用户。

上述账户操作包括用户登陆以及登陆后的任何涉及该用户名下网络虚拟资产的操作，包括账户查询、账户内虚拟货币的买入卖出、虚拟货币在不同账户之间的转移、支付、账户名下积分兑换和修改密码等操作。

业界有很多随机密码生成算法可供上述自动产生新认证密码时采用，以下仅以最常用的伪随机序列生成方法——线性同余法为例，说明如何随机生成一个由0-9，a-z，A-Z随机组合而成的6位密码序列。如图2所示，该方法由一个初始值(也称种子)经下面的递推公式产生一个均匀分布的伪随机序列：