[发明专利]一种可以防止黑客程序再次登陆的方法

说明书

技术领域

本发明涉及互联网安全技术，尤其是在互联网上用户通过手机注册与身份验证的安全问题。 

背景技术

用户身份验证技术涉及密码传输的主要问题是：客户端与服务器进行数据交换前的用户身份验证信息，有可能被黑客程序拦截。用户身份验证信息被黑客程序拦截后，黑客程序可以复制拦截的密码，用于黑客程序登陆，可以使服务器错误认为黑客程序就是原客户端程序用户。 

由于黑客程序拦截密码是通过破解操作系统漏洞实现的。因此，客户端程序是不能阻止黑客程序拦截密码的。也就是说，黑客程序利用操作系统漏洞，拦截客户端程序向服务器传输用户名和密码，冒用用户身份登陆是无法防止的。 

现有用户身份验证技术的缺陷是：在黑客程序冒用用户身份登陆无法防止的前提下，现有技术没有阻止黑客程序和客户端程序再次登陆，没有向用户明示存在黑客程序冒名登陆的事实。现有技术可能的后果是：由于在黑客程序冒名登陆后没有向用户明示的机制，用户会继续登陆，这会造成黑客程序有可能持续冒名登陆。 

《一种保护账号安全的方法》（专利申请号200810019981.9），采用双通道传送，三组密码三次分别（激活码、动态密码A、静态密码和动态密码B）认证，操作过程是： 

用户需向注册认证服务器系统提交用户的账号名以及手机号码，系统将用户的账号名和手机号码相互绑定，并约定与手机号码相互绑定的激活码（账号或者约定的激活指令）；

需登录时，

用户以手机短信的形式通过短信网关向系统短信平台提交自己的激活码；系统短信平台在接受到用户的登陆请求后提取用户短信中的激活码及用户的手机号码，并转送到系统认证服务器，认证服务器收到激活码后在系统认证服务器的数据库中对其进行检索，如果用户登陆请求中的激活码和手机号码与认证服务器内部信息相符，则验证通过，系统认证服务器临时生成两组随机字符串A和B作为此用户的登录动态密码，动态密码以短信的方式通过短信网关传输到该用户手机，同时这两组动态密码被保存在认证服务器的验证表中；如果激活码和手机号码与系统内部绑定信息不符，则通过系统短信平台提示用户登录失败；

用户收到动态密码后，在系统客户端登录，登录时

先将账号名和动态密码A在系统的客户端输入；认证服务器对用户输账号名和动态密码A进行有效性验证，将用户输入的账号名与动态密码A与保存在认证服务器的信息进行对比验证其是否合法，如果验证通过，系统认证服务器验证表中的动态密码A即时失效，用户进行第二次登录验证，将静态密码和动态密码B在系统的客户端输入；认证服务器对用户输入静态密码和动态密码B进行有效性验证，将静态密码和动态密码B与保存在认证服务器中的信息进行对比验证其是否合法，当用户登录成功后，系统认证服务器验证表中的动态密码B即时失效，如果验证失败，则通过网络在客户端提示用户登录失败，当用户再次需要登陆系统时，需重复登录请求的步骤。

上述账号安全的保护方法： 

登录时，用户第二次输入密码后，客户端程序向服务器传送密码数据就有可能被黑客程序拦截。黑客程序拦截客户端程序向服务器传送密码数据后，就可以冒用用户身份，继续将密码数据传输给服务器，从而完成登录。

尽管上述账号安全的保护方法具有动态密码即时失效机制，即动态密码一旦被黑客程序利用，原用户就不能再次使用同一动态密码登陆。即用户第二次输入密码后，黑客程序拦截密码登陆，原用户因密码失效将出现登陆失败的提示。此时的问题是，系统并没有向用户明示有黑客拦截密码，并且，客观的技术后果是，黑客程序已成功登陆，达到了黑客程序拦截密码的目的。 

发明内容

本发明的核心思想是：即使不能防止黑客程序通过拦截客户端向服务器传输的身份验证信息登陆，也应在黑客程序登陆发生后阻止黑客程序再次登陆，确保系统安全，同时向用户明示有黑客程序冒名登陆，从而使用户有可能采取措施，删除黑客程序。 

一种可以防止黑客程序再次登陆的方法，其特征是： 

1、客户端产生用户名、初始密码和初始动态口令，初始动态口令是一个随机数值，可以进行大小比较；

2、通过手机将用户名、初始密码和初始动态口令通过短信平台发送给服务器；

3、用户身份验证的步骤是：

（1） 客户端准备数据与传输数据

① 客户端将初始密码、动态口令与一任意产生的随机字符串混合产生加密密码；

② 客户端将用户名、加密密码、动态口令、随机字符串传输给服务器；

（2） 服务器验证