[发明专利]基于移动通信独立通道的双身份认证方法及系统

说明书

技术领域

本发明涉及网络安全认证技术。

背景技术

目前的网络银行交易、网络游戏等涉及帐户资金的服务提供商系统为了保证交易的合法 性，在其网络前端都安装有身份认证系统，用于验证进行交易的用户的身份是否合法。身份 认证系统可以内置于服务提供商系统中的应用服务器内，也可单独作为一个身份认证服务器， 或者独立于服务提供商系统以权威第三方身份认证系统的方式出现。目前，最常用的身份认 证方法为静态密码认证，即服务提供商为用户提供一个账号，用户针对该账号设置密码，服 务提供商侧的身份认证系统保存账号与其对应的密码，在用户进行交易前需进行的身份认证 是，用户在服务终端输入账号与密码，由身份认证系统判断该账号与密码是否匹配，如匹配， 则表示身份认证成功，用户可进行下一步的操作；否不匹配，则身份认证失败，身份认证系 统控制服务提供商应用服务器终止交易。由于目前自助银行柜机、网络银行等种种不安全因 素，如键盘钩子、木马程序、钓鱼网站的出现使得银行卡账号、网银卡号以及对应的密码频 繁被盗、防不胜防。

为了进一步保证身份认证的有效性，数字证书、U盾、电子银行口令卡以及DKEY动态密 码手机令牌应运而生。

数字证书是由第三方权威机构——CA证书授权中心发行的，安全性高，能提供互联网上 进行身份验证的一种权威性电子文档。但数字证书的私钥只能保存至固定的身份验证终端设 备上，使用不灵活。

U盾(USBKey)作为一种移动数字证书的出现解决了原有数字证书使用不灵活的缺点，U 盾存放着不可读取的数字证书，当需要进行身份验证时，将U盾上的USB接口插入身份验证 终端设备时即可，但用户需购买U盾，花费较大。

电子银行口令卡相当于一种动态的电子银行密码。口令卡上以矩阵的形式印有若干字符 串，用户在进行支付交易时，电子银行系统就会随机给出一组口令卡坐标，客户根据坐标从 卡片中找到口令组合并输入电子银行系统。只有当口令组合输入正确时，客户才能完成相关 交易。这种口令组合是动态变化的，使用者每次使用时输入的密码都不一样，交易结束后即 失效。电子银行口令卡随机产生动态密码，安全级别较高且使用较方便，价格比U盾低，但 用户需妥善保管口令卡片，由于口令卡是卡片的形式容易遗失与损坏。

DKEY动态密码手机令牌是一种基于挑战/应答方式的身份认证终端，在令牌和服务器之 间除相同算法外没有需要进行同步的条件，在该软件上输入服务端下发的挑战码，手机软件 上生成一个6位的随机数字，这个密码只能使用一次，可以充分的保证登录认证的安全，在 生成密码的过程中，不会产生任何通信，也不会产生任何通信费用，欠费和无信号对其不产 生任何影响。由于目前手机几乎是生活的必须品，一般都是随身携带，以手机作为动态密码 生成的载体，比U盾与电子银行口令卡的使用更符合用户的生活习惯。

无论身份认证系统以何种形式出现，其进行身份认证的信息传输载体均为互联网络，其 身份认证方法无论以上述的静态密码、动态密码或数字证书方式实现，均是基于互联网实现 的。基于互联网的多种不安全因素均会对上述身份认证方法造成影响。如非法用户获得了用 户账号、密码就能成功访问服务提供商服务器并进行操作，用户无法监控。

发明内容

本发明所要解决的技术问题是，提供一种基于移动通信独立通道的双身份认证安全方法 以及实现该方法的系统。

本发明为解决上述技术所采用的技术方案是，基于移动通信独立通道的双身份认证方法， 包括以下步骤：

a、第一身份认证终端通过互联网络与第一身份认证模块进行第一次身份认证；如认证通 过，进入步骤b；否则第一次身份认证失败，拒绝第一身份认证终端对服务提供商服务器的 访问；所述第一身份认证终端为用户交易终端；

b、第一身份认证终端向服务提供商服务器提交操作请求；

c、第二身份认证模块通过移动通信网络与用户手机进行第二次身份认证；如第二次身份 认证通过，则进入步骤d；否则，第二次身份认证失败，终止第一身份认证终端对服务提供 商服务器的操作；

d、服务提供商服务器执行第一身份认证终端的操作请求。

可选的，所述步骤c具体包括以下步骤：

第二身份认证模块接收并缓存第一身份认证终端提交的操作请求，并通过移动通信网络 向用户手机发送第二次身份认证请求；