[发明专利]一种基于移动终端的身份验证方法及装置

说明书

技术领域

本申请涉及信息安全领域，特别是涉及一种基于移动终端的身份验证方法，以及，一种基于移动终端的身份验证装置。

背景技术

随着中国电子商务的快速发展，电子商务网站的账号的信息安全出现威胁，由于账号信息过于简单(用户名+密码)，导致用户账号容易被窃取，窃取后非法分子利用账号的信用度发送违规商品、发送钓鱼链接或动用账号资金，这给用户和网站带来重大损失。

为提高安全性，目前已经出现了基于手机的OTP(One-time Password，一次一密的动态口令)产品，该产品是运行在手机上的程序，利用了手机的网络通信优势，通过网络将自己随机生成的“种子”推送给服务器端，以保证客户端与服务器端的种子一致，从而保证校验精准率。用户在使用该产品时，首先需要将手机与用户信息进行绑定，然后登录相应的网站，发出校验请求，此时，手机上的OTP软件会依据“种子”生成动态口令，当用户正确输入动态口令后，即可通过验证。

该产品主要应用在客户群体较大的行业，如网络游戏、网上银行、网上证券、SAAS等的登录和支付场景。

上述现有技术主要存在以下的问题：

首先、手机发送OTP进行验证时，只要OTP和服务器端计算的OTP一致，便可通过验证。而实际情况中，若用户账号被盗，并且在用户发送校验请求的同时，盗用者也发送了校验请求，那么在这极短的时间段内，在服务器端可能会存在两个验证请求，若OTP验证通过，这两个请求可能会都通过验证，或者只通过了盗用者发出的请求。这样即使用户账号被盗用了，OTP的二次验证也不能保护用户验证的安全性，校验准确率低。

其次，服务器端返回动态密码后，用户需要再手动输入动态密码，手动输入本身存在一定的危险，目前已有一些钓鱼软件可以通过这个操作获取用户的身份信息；其次，用户输入的过程，发送和接收短信都会耗费一定的时间，使得用户需要等待较长时间才能完成验证的操作。

因此，目前需要本领域技术人员解决的一个技术问题就是，如何创造性地提出一种基于移动终端的身份验证机制，用以提高用户身份验证的准确率，提高身份验证的速度。

发明内容

本申请所要解决的技术问题是，提供一种基于移动终端的身份验证方法，用以提高用户身份验证的准确率，提高身份验证的速度。

本申请还提供了一种基于移动终端的身份验证装置，用以保证上述方法在实际中的应用及实现。

为了解决上述问题，本申请公开了一种基于移动终端的身份验证方法，包括：

获取浏览器端提交的身份验证请求，所述身份验证请求中包括用户信息和当前会话标识Session ID；

根据所述用户信息和当前会话标识Session ID，生成对应的校验标识符；

根据移动终端提交的校验标识符获取请求，返回相应的校验标识符；

获得移动终端提交的校验标识符的选取请求，提取相应校验标识符的会话标识Session ID，并对所述会话标识Session ID添加验证通过标记；

依据所述会话标识Session ID的验证通过标记，判定用户身份验证通过。

优选地，所述方法还包括：

在服务器端保存当前用户信息与对应的用户标识符的关联关系。

优选地，所述在服务器端保存当前用户信息与对应的用户标识符的关联关系的步骤包括：

根据浏览器端提交的当前用户信息，生成对应的用户标识符，并展示在浏览器端；

获取移动终端采集的所述用户标识符；

判断移动终端采集的用户标识符与服务器端生成的用户标识符是否一致，若是，则将用户标识符和当前用户信息进行关联，并保存该关联关系，并将所述用户标识符保存在移动终端。

优选地，所述根据移动终端提交的校验标识符获取请求，返回相应的校验标识符的步骤包括：

接收移动终端提交的校验标识符获取请求，所述校验标识符获取请求中包括移动终端生成的第一动态口令和用户标识符；

验证所述第一动态口令是否合法，若是，则根据所述用户标识符提取对应的用户信息，并根据所述用户信息提取对应的校验标识符；

将所述用户信息按照预设格式转化为校验信息，并将所述校验信息及对应的校验标识符发送至移动终端。

优选地，所述根据移动终端提交的校验标识符获取请求，返回相应的校验标识符的步骤还包括：

在移动终端展示所述校验信息。