安全验证实现方法及装置制造方法及图纸

本申请提供了一种安全验证实现方法及装置，其中的安全验证实现方法包括：获取来自用户设备的验证请求，所述验证请求包括用户标识、用户设备标识、验证码以及基于第一安全证书进行数字签名的签名信息；根据所述验证请求中的用户标识和用户设备标识获取第二安全证书；根据所述第二安全证书对所述验证请求中的签名信息进行验证；在所述签名信息验证成功的情况下，根据对所述验证请求中的验证码进行验证的结果确定所述验证请求的验证结果。本申请提供的技术方案提高了基于验证码进行验证的安全性。

Implementation method and device for security verification

The invention provides a method and device for realizing security authentication, security verification of the realization of the method comprises the following steps: obtaining verification requests from the user equipment, the authentication request includes user identification, user identification, equipment verification code and digital signature based on the first security certificate signature information; according to user identification and user security certificate second the authentication request device identification; according to the second security certificate of the verification of signature information in the request for verification; verification of the signature information in the case of success, according to the verification of the authentication request verification code in the verification request results confirm the validation results. The technical scheme provided by this application improves the security of verification based on the verification code.

【技术实现步骤摘要】
安全验证实现方法及装置
本申请涉及通讯技术，尤其涉及一种安全验证实现方法以及安全验证实现装置。
技术介绍
由于利用验证码(如短信验证码)进行验证可以有效识别出相应操作的操作实体是真实的人，还是机器，因此，对于账户登录、交易、支付、转账以及红包活动等敏感操作而言，通常会采用验证码进行验证，以降低操作的安全风险。然而，随着Root设备、越狱设备以及短信恶意劫持等现象的出现，利用验证码进行验证的安全性越来越低，例如通过对包含有验证码的短信进行拦截，可以将包含有验证码的短信发送给攻击者，攻击者利用接收到的短信验证码仿冒真实用户实现验证，从而使真实用户的隐私/重要数据以及资金等蒙受损失。为了提高验证的安全性，通常会对验证码进行加密，如在客户端预先设置秘钥，并利用安全加固、混淆以及反调试等技术对存储于客户端的秘钥进行保护，网络侧将加密后的验证码传输至客户端，客户端利用本地存储的秘钥对接收到的验证码进行解密处理，并将解密后的验证码显示给用户。专利技术人在实现本申请过程中发现，对验证码进行加密避免了验证码明文被恶意劫持的现象，攻击者只有成功破解其劫持到的验证码密文才能够仿冒真实用户实现安全验证，该方式虽然在很大程度上增强了验证的安全性，然而，验证的安全性依赖于攻击者的密文破解技术；所以，验证的安全性仍有待于进一步提高。
技术实现思路
本申请的目的是提供一种安全验证实现方法及装置。根据本申请的第一个方面，提供了一种安全验证实现方法，包括：获取来自用户设备的验证请求，所述验证请求包括用户标识、用户设备标识、验证码以及基于第一安全证书进行数字签名的签名信息；根据所述验证请求中的用户标识和用户设备标识获取第二安全证书；根据所述第二安全证书对所述验证请求中的签名信息进行验证；在所述签名信息验证成功的情况下，根据对所述验证请求中的验证码进行验证的结果确定所述验证请求的验证结果。根据本申请的第二个方面，提供了一种安全验证实现方法，包括：在接收到来自网络侧的验证码的情况下，获取第一安全证书、用户标识以及用户设备标识；根据第一安全证书以及待签名信息产生签名信息，其中所述待签名信息包括：用户标识、用户设备标识以及验证码中的至少一个；向网络侧发送包含有用户标识、用户设备标识、验证码以及签名信息的验证请求，以使网络侧对所述签名信息和验证码分别进行验证，所述用户标识和用户设备标识用于网络侧获取第二安全证书。根据本申请的第三个方面，提供了一种安全验证实现装置，包括：获取验证请求模块，用于获取来自用户设备的验证请求，所述验证请求包括用户标识、用户设备标识、验证码以及基于第一安全证书进行数字签名的签名信息；获取安全证书模块，用于根据所述验证请求中的用户标识和用户设备标识获取第二安全证书；第一验证模块，用于根据所述第二安全证书对验证请求中的签名信息进行验证；第二验证模块，用于在所述签名信息验证成功的情况下，根据对所述验证请求中的验证码进行验证的结果确定所述验证请求的验证结果。可选的，前述的安全验证实现装置，其中，所述获取验证请求模块包括：发送验证码子模块，用于在根据来自用户设备的业务请求确定出存在异常业务的情况下，向用户设备发送验证码；接收验证请求子模块，用于接收来自用户设备的根据所述验证码而产生的验证请求。可选的，前述的安全验证实现装置，其中，所述用户标识包括：移动电话号码，且所述验证码包括：短信验证码。可选的，前述的安全验证实现装置，其中，所述获取安全证书模块包括：第一获取子模块，用于在预先存储的用户标识、用户设备标识和第二安全证书的对应关系中查找与所述验证请求中的用户标识和用户设备标识匹配的对应关系，从所述匹配的对应关系中获取第二安全证书；或者，所述验证请求中还包括有应用标识，且所述获取安全证书模块包括：第二获取子模块，用于在预先存储的应用标识、用户标识、用户设备标识和第二安全证书的对应关系中查找与所述验证请求中的应用标识、用户标识和用户设备标识匹配的对应关系，从所述匹配的对应关系中获取第二安全证书。可选的，前述的安全验证实现装置，其中，所述第二验证模块还用于，在所述签名信息验证失败的情况下，确定所述验证请求的验证结果为验证失败。可选的，前述的安全验证实现装置，其中，所述装置还包括：判断模块，用于在接收到来自用户设备的安全证书请求的情况下，判断所述安全证书请求是否来自可信用户设备；部署模块，用于在判断模块判断出所述安全证书请求来自可信用户设备的情况下，执行第二安全证书和第一安全证书的部署操作。可选的，前述的安全验证实现装置，其中，所述安全证书请求中包含有用户标识和用户设备标识，且所述判断模块具体用于：判断是否预先存储有所述安全证书请求中的用户标识和用户设备标识的对应关系；如果预先存储有安全证书请求中的用户标识和用户设备标识的对应关系，则判断出所述安全证书请求来自可信用户设备，否则，判断出所述安全证书请求来自非可信用户设备。可选的，前述的安全验证实现装置，其中，所述装置还包括：身份认证模块，用于在判断模块判断出所述安全证书请求来自非可信用户设备的情况下，执行用户身份认证操作，如果所述用户身份认证通过，则通知部署模块执行第二安全证书和第一安全证书的部署操作，否则，禁止部署模块执行第二安全证书和第一安全证书的部署操作。可选的，前述的安全验证实现装置，其中，所述部署模块包括：第一部署子模块，用于在网络侧存储用户标识、用户设备标识与第二安全证书的对应关系；或者，所述安全证书请求中还包括有应用标识，且所述部署模块包括：第二部署子模块，用于在网络侧存储应用标识、用户标识、用户设备标识与第二安全证书的对应关系。可选的，前述的安全验证实现装置，其中，所述装置还包括：安全证书维护模块，用于在根据所述验证请求中的用户标识以及用户设备标识未获取到相应的第二安全证书、而根据所述验证请求中的用户设备标识获取到第二安全证书，且根据该第二安全证书对验证请求中的签名信息验证成功的情况下，将所述第二安全证书作为失效证书，并通知用户设备第一安全证书失效。根据本申请的第四个方面，提供了一种安全验证实现装置，该装置主要包括：获取模块，用于在接收到来自网络侧的验证码的情况下，获取第一安全证书、用户标识以及用户设备标识；签名模块，用于根据第一安全证书以及待签名信息产生签名信息，其中所述待签名信息包括：用户标识、用户设备标识以及验证码中的至少一个；发送模块，用于向网络侧发送包含有用户标识、用户设备标识、验证码以及签名信息的验证请求，以使网络侧对所述签名信息和验证码分别进行验证，所述用户标识和用户设备标识用于网络侧获取第二安全证书。与现有技术相比，本申请具有以下优点：本申请中的第一安全证书和第二安全证书均是与用户标识以及用户设备标识相关联的安全证书，且本申请对验证码的验证过程同时涉及用户标识、用户设备标识、第一安全证书以及第二安全证书，这样，即便是网络侧下发的验证码被恶意劫持，由于劫持者无法完全得知被劫持方的用户标识、用户设备标识以及第一安全证书，因此，劫持者并也不能实现利用其劫持到的验证码来仿冒真实用户进行安全验证的目的，从而使被劫持的验证码失去其应有的利用价值；由此可知，本申请提供的技术方案提高了基于验证码进行验证的安全性。附图说明通过阅读参照以下附图所作的对非限制性实施例所作的详细本文档来自技高网...

【技术保护点】
一种安全验证实现方法，其中，所述方法包括以下步骤：获取来自用户设备的验证请求，所述验证请求包括用户标识、用户设备标识、验证码以及基于第一安全证书进行数字签名的签名信息；根据所述验证请求中的用户标识和用户设备标识获取第二安全证书；根据所述第二安全证书对所述验证请求中的签名信息进行验证；在所述签名信息验证成功的情况下，根据对所述验证请求中的验证码进行验证的结果确定所述验证请求的验证结果。

【技术特征摘要】
1.一种安全验证实现方法，其中，所述方法包括以下步骤：获取来自用户设备的验证请求，所述验证请求包括用户标识、用户设备标识、验证码以及基于第一安全证书进行数字签名的签名信息；根据所述验证请求中的用户标识和用户设备标识获取第二安全证书；根据所述第二安全证书对所述验证请求中的签名信息进行验证；在所述签名信息验证成功的情况下，根据对所述验证请求中的验证码进行验证的结果确定所述验证请求的验证结果。2.根据权利要求1所述的方法，其中，所述获取来自用户设备的验证请求的步骤包括：在根据来自用户设备的业务请求确定出存在异常业务的情况下，向用户设备发送验证码；接收来自用户设备的根据所述验证码而产生的验证请求。3.根据权利要求1所述的方法，其中，所述用户标识包括：移动电话号码，且所述验证码包括：短信验证码。4.根据权利要求1所述的方法，其中，所述根据所述验证请求中的用户标识和用户设备标识获取第二安全证书的步骤包括：在预先存储的用户标识、用户设备标识和第二安全证书的对应关系中查找与所述验证请求中的用户标识和用户设备标识匹配的对应关系，从所述匹配的对应关系中获取第二安全证书；或者所述验证请求中还包括有应用标识，且所述根据所述验证请求中的用户标识和用户设备标识获取第二安全证书的步骤包括：在预先存储的应用标识、用户标识、用户设备标识和第二安全证书的对应关系中查找与所述验证请求中的应用标识、用户标识和用户设备标识匹配的对应关系，从所述匹配的对应关系中获取第二安全证书。5.根据权利要求1所述的方法，其中，所述方法还包括：在所述签名信息验证失败的情况下，确定所述验证请求的验证结果为验证失败。6.根据权利要求1所述的方法，其中，所述方法还包括：在接收到来自用户设备的安全证书请求的情况下，判断所述安全证书请求是否来自可信用户设备；在判断出所述安全证书请求来自可信用户设备的情况下，执行第二安全证书和第一安全证书的部署操作。7.根据权利要求6所述的方法，其中，所述安全证书请求中包含有用户标识和用户设备标识，且所述判断所述安全证书请求是否来自可信用户设备的步骤包括：判断是否预先存储有所述安全证书请求中的用户标识和用户设备标识的对应关系；如果预先存储有安全证书请求中的用户标识和用户设备标识的对应关系，则判断出所述安全证书请求来自可信用户设备，否则，判断出所述安全证书请求来自非可信用户设备。8.根据权利要求6所述的方法，其中，所述方法还包括：在判断出所述安全证书请求来自非可信用户设备的情况下，执行用户身份认证操作；如果所述用户身份认证通过，则执行第二安全证书和第一安全证书的部署操作，否则，禁止执行第二安全证书和第一安全证书的部署操作。9.根据权利要求6或7或8所述的方法，其中，所述执行第二安全证书和第一安全证书的部署操作的步骤包括：在网络侧存储用户标识、用户设备标识与第二安全证书的对应关系；或者所述安全证书请求中还包括有应用标识，且所述执行第二安全证书和第一安全证书的部署操作的步骤包括：在网络侧存储应用标识、用户标识、用户设备标识与第二安全证书的对应关系。10.根...

【专利技术属性】
技术研发人员：李航，栗志果，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛,KY