[发明专利]一种验证码安全加固的认证方法及系统

说明书

技术领域

本发明涉及信息安全领域，尤其涉及一种验证码安全加固的认证方法及系统。

背景技术

随着移动互联网技术的发展，手机银行已经走入大众生活，使用手机银行进行转账支付变得非常普遍。转账支付涉及用户资金，所以其安全性必需得到保证。目前的手机银行多是通过短信验证码来保护交易的安全性。

然而随着手机木马程序的出现，以及越来越多的廉价伪基站，短信验证码变得非常容易被截获。目前流行的短信验证码认证机制已经在很大程度上丧失了有效性，用户手机银行的资金安全备受威胁。

发明内容

本发明提供一种验证码安全加固的认证方法及系统，用以解决现有技术中存在如何才能更安全的保障我们的短信验证码的安全性，如何在用户无感知，即不影响用户体验的前提下保障用户的权益，避免短信验证码被非法分子冒用损坏合法用户权益。

本发明一方面提供一种验证码安全加固的认证方法，包括步骤：

S100服务器接收用户发送的获取验证码请求后，下发短信验证码给所述用户；

S200所述客户端将所述用户获取的所述短信验证码通过算法进行加密生成短信密文；

S300所述客户端获取已验证次数，并添加本次验证，得到验证计数值；

S400所述客户端将用户信息，所述验证计数值和短信密文组成的验证文件发送给所述服务器；

S500所述服务器接收所述验证文件并进行验证。

客户端通过对短信验证码进行加密，统计客户端的已验证次数使得验证码认证更为安全，用户在获得短信验证码后，只需要将该短信验证码填入客户端，客户端即可自行完成短信的加密及已验证次数的统计，将包含用户信息、已验证计数值和加密后生成的短信密文组成的验证文件发给服务器。以便服务器需要对验证计数值、短信密文进行双层验证，确定用户身份。相对于传统的短信验证码，本发明大大增强了验证码认证的安全性，且这一切是在用户无感知的情况下进行的，用户体验度也高。

进一步的，在所述步骤S300之后还包括步骤：

S350所述客户端对所述验证计数值进行加密生成计数密文；

所述步骤S400包括步骤：

S410所述客户端将用户信息、客户端标识信息、所述计数密文、及短信密文组成的验证文件发送给所述服务器。

客户端统计验证次数，得到计数值后，进一步对计数值进行加密，更加保证了传输的安全性。且客户端统计验证次数是存储在客户端本地的，安全级别高。相应的，服务器也存储有不同客户端的已验证次数，因此，客户端发送的验证文件，需包含用户信息、客户端标识信息(即终端标识信息)、计数密文和短信密文。

进一步的，在认证之前，用户在服务器中的注册过程，至少包括以下步骤：

S010所述客户端获取所述用户信息，并将所述用户信息发送至所述服务器；

S020所述服务器接收所述用户信息，并根据所述用户信息生成与所述用户信息唯一关联的密钥参数，同时将所述密钥参数进行存储；

S030所述服务器根据所述密钥参数，通过算法重构机制将所述服务器内部存储的算法进行重构生成新算法；

S040所述服务器将所述新算法发送至所述客户端进行存储。

根据用户信息获取密钥参数，使得不同用户具有不同的算法，避免了不法分子批量破解，大大增强了广大用户的安全性。

进一步的，所述步骤S020包括：

所述服务器根据接收的所述用户信息结合存储的SOTP算法生成与所述用户信息唯一关联的密钥参数；

所述步骤S030包括步骤：

S031所述服务器结合所述密钥参数和数据码编码算法重构生成所述服务器的新算法；

S032所述服务器结合所述密钥参数和数据码解码算法重构生成所述客户端的新算法；

所述步骤S040包括步骤：

S041所述服务器将所述重构后生成的客户端的新算法发送至客户端。

SOTP(strong one time password，增强型动态口令)算法是一种对称算法，是众人科技有限公司独创的一种算法，该算法分初始注册阶段、认证阶段和会话阶段实现，该算法已被公开，具体内容参见专利CN201510033834.7，此处不再详细说明。此外，服务器通过编码、解码算法结合密钥参数分别重构服务器和客户端对应的算法，该算法非常复杂，且难度高，不法分子难以破解。即使破解了客户端的算法，也不知道服务器端的算法，安全性非常高。