本文探讨了一种基于手机的动态密码验证系统,用于提高安全性,避免传统固定密码方式的隐患。该系统利用手机计算能力生成一次一密的动态密码,通过GPRS或SMS与服务器交互。用户丢失手机或更换SIM卡将影响服务使用,但不会泄露用户信息。适合高安全需求的行业如电子交易、邮件服务等,企业可选择自建或租用认证系统。未来可能发展为类似Yahoo OpenID的单一登录解决方案。
传统的身份识别系统,采用固定的用户名-密码方式。用户通过客户端输入用户名-密码,将信息提交到服务器段进行身份识别。一旦用户机器被恶性代码或木马所控制,用户的隐私信息将得不到保护。
目前对于安全级别较高的系统(例如:银行,交易网站等),通常会给用户提供USB Key(Token)。例如:RSA的安全方案。但是这种方案的成本和对于应急性消费是有局限性的,用户不可能随身携带各种USB Key,而且各种机构颁发的Key也是种类繁多,用户难以管理。
是否能够找到便捷、安全的身份管理方案?
目前手机的应用非常普及。Wireless Intelligence预测到2007年年底,全球手机用户数量将达到30亿。全球手机用户在2006年9月达到了25亿。手机已成为每个人生活的必需品。如果能够让手机作为USB Key,利用手机提供的计算能力,作为身份识别的工具,将为用户提供极大的方便。
假设:一个手机只有一个Seed(Token)
过程1说明:
1, 手机发送请求信息(IMEI,手机号码)到认证服务器。可以同过GPRS网络或者SMS短信等。
2, 认证服务器下发响应信息(Seed,Time,手机号码)到手机。可以同过GPRS或者SMS短信等。
3, 手机存储接收到的Seed,Time,手机号码。
过程2说明:
假设:
1, 用户以前在该网站注册过,并且使用过密码保护功能。
2,
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
