[发明专利]一种信息验证方法

权利要求书

1.一种信息验证方法，其特征在于：包括以下步骤：

(1)客户端向服务器发送用户注册信息，请求验证用户身份；

所述服务器用于验证用户身份，并在验证用户身份成功之后，根据所述用户注册信息，产生对应所述客户端的密钥容器文件；

(2)客户端在从服务器收到表示验证用户身份成功的消息之后，从服务器下载所述密钥容器文件或更新原密钥容器文件为所述密钥容器文件，所述密钥容器文件包含待匹配信息，以及非对称密钥的公私密钥对或者对称密钥，所述待匹配信息，以及非对称密钥的公私密钥对或者对称密钥与所述密钥容器文件绑定，以用于认证客户端；

(3)当客户端中实际信息与所述待匹配信息匹配成功后，在客户端的应用业务需要进行用户身份真实性认证的时候，客户端对服务器进行基于非对称密钥的双向认证或者基于对称密钥的单向认证；

所述步骤(1)中采用语音主叫号码或者语音主叫号码截位的方式验证用户身份，所述步骤(1)包括以下步骤：

(11)服务器接收来自客户端的语音主叫号码或语音主叫号码截位的验证请求和用户注册信息；

(12)服务器先将主叫号码发送给客户端，再由对应的主叫电话拨打用户注册信息中的电话号码；

(13)服务器将客户端发来的主叫号码或主叫号码的部分截位与实际拨出的主叫号码比较，如果相符，则回复客户端，用户身份验证成功；如果不相符，则回复客户端，用户身份验证失败；在一定时间内没有收到客户端发来的主叫来电，则客户端用于显示时间超时验证失败；所述一定时间为设定值。

2.根据权利要求1所述的信息验证方法，其特征在于：所述待匹配信息为用户名和客户端硬件系统信息；所述密钥容器文件还包含密钥核心算法的二进制代码；

优选地，所述密钥容器文件通过以下方式形成：根据不同的CPU和编译器，对编译好的可执行软件的二进制代码进行二次变换或者部分信息替换，将密钥或者算法以二进制的形式与可执行软件的二进制代码以及二进制数据混淆得到；

优选地，所述密钥容器文件的逻辑进行加密后保存在动态链接库中，对应的加密密钥由用户或者后台管理；

优选地，只有指定的进程才可以访问所述密钥容器文件；

优选地，所述密钥容器文件在使用过程中，将相关的信息解密后放在内存或者缓存中使用，使用后用垃圾数据覆盖对应的使用区域，以达到快速和安全使用的要求。

3.根据权利要求1所述的信息验证方法，其特征在于：所述步骤(1)中采用语音主叫号码或语音主叫号码截位的方式验证用户身份时，所述步骤(1)包括：

(11)客户端向服务器发起语音主叫号码或语音主叫号码截位验证请求，提交用户注册信息；所述服务器用于根据所述用户注册信息，向客户端发送主叫号码，再由对应的主叫电话拨打所述用户注册信息中的电话号码；

(12)客户端接收服务器发来的主叫号码；如果客户端是带公网话音通信功能终端到步骤(13)，否则到步骤(14)；

(13)客户端检测服务器来电，如果在时间T_interval内检测到来电号码与所述主叫号码一致，则截停客户端振铃，并将所述主叫号码发送给服务器，到步骤(15)；如果在时间T_interval内没有检测到来电，客户端向服务器发起查询，查询用户号码是否拨通，如果已拨通到步骤(14)，如果没有拨通继续在下一个T_interval时间内检测来电，当总检测时间大于n×T_interval时，显示时间超时验证失败；其中，T_interval和n为设定值；

(14)客户端显示对话框，要求用户输入完整的主叫号码或主叫号码的部分截位，客户端将主叫号码或主叫号码的部分截位发送给服务器，到步骤(15)；

(15)若客户端发给服务器的主叫号码或主叫号码的部分截位与服务器发给客户端的主叫号码相符，则客户端收到服务器发来的用户身份验证成功的消息；如果不相符，则客户端收到服务器发来的用户身份验证失败的消息；若客户端所发出的主叫来电在一定时间内未被服务器收到，则客户端显示时间超时验证失败；所述一定时间为设定值；

优选地，所述步骤(11)中拨打用户注册信息中的电话号码通过公众电话网络；

优选地，所述电话号码为手机号码。