您的位置:360文档中心› 活动方案之动态短信密码验证功能系统解决方案

活动方案之动态短信密码验证功能系统解决方案

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

动态短信密码验证功能系统解决方案

摘要:为进一步丰富网上银行等电子支付渠道安全手段,改善

客户安全体验,各商业银行正在陆续推出短信验证服务,通过动态

短信码方式实现账户转账、发放贷款等金融服务。但随着短信验证

服务在网银、手机银行、自助终端等各渠道的应用推广,短信验证

系统、短信平台与应用系统的关系越来越复杂,本文将介绍商业银

行基于现有短信平台的两种系统解决方案。

关键词:电子支付;短信验证;解决方案

中图分类号:tn918 文献标识码:a 文章编号:1007-9599 (2013) 04-0000-02

1 引言

随着电子商务及网络金融的普遍发展,网上银行等电子支付方

式给人们的生产、生活带来了前所未有的变化。但伴随着网络安全

事件的频频发生,安全问题依然成为各金融机构面临的严峻问题,

目前各商业银行普遍采取的安全认证方式有动态口令、数字证书、

短信密码或者上述几种方式的组合,其中短信密码由于具有算法独

立性、密码时效性高、安全性较其他方式更好,成为近年来各商业

银行所大力推行的认证方式。本文将介绍短信密码验证系统的系统

解决方案。

2 短信密码验证系统功能

短信密码验证系统是通过sms(短信)将包含一次性密码发送

到用户手机中,用户以此作为登录、支付、查询环节的密码认证或

者公共场所上网凭据。主要有短信密码生成模块、短信密码验证模

块以及短信密码管理服务模块组成。其中短信密码生成模块负责接

收应用系统短信密码生产请求、实现对短信密码生成算法的封装,

并根据不同账号、手机号等信息生成与时间关联的唯一的密码;短

信密码验证模块负责与各种应用系统的短信密码认证对接,实现短

信密码的验证算法的封装,并为应用系统返回验证结果,认证逻辑

中间件可扩展、可定制,具有高稳定性和高并发性;短信密码管理

服务是指对短信密码生命周期中状态的管理,包括短信密码的启用、作废等状态管理功能。

3 短信密码验证系统与应用系统集成方案

3.1 方案介绍

如上图,该方案将短信密码生成、验证功能与应用系统(如网

上银行系统等)集成,应用系统自身负责短信密码的生成、验证以

及短信密码启用、失效等状态管理服务功能;应用系统与短信平台

之间通过接口方式实现包含动态短信密码短信内容的发送。

3.2 典型流程

以网上银行跨行转账超过限额后的短信验证业务为例,说明短

信生成以及验证流程。

(1)客户登录网上银行系统,选择跨行转账业务,输入转账账号、交易金额后,网上银行系统判断交易金额是否超过转账短信验

证指定限额;若超过限额,则网上银行系统将通过短信密码生成模

块生成短信验证码,并把验证码保存于数据库中,然后再通过接口

方式利用短信平台将验证码发送至客户手机号码上;

(2)客户在网上银行页面输入接收到的验证码提交转账业务后,网上银行系统获取客户输入验证码,通过调用短信验证模块检查短

信验证码的时效性以及正确性完成合法性验证。验证通过后,再发

起跨行转账业务请求,否则业务结束。

3.3 方案分析

优点:

(2)系统改造范围小,实施工期短。因仅涉及有短信验证需求

的应用系统改造,改造范围小,实施工期短。

缺点:

(1)后续二次开发工作量大,系统维护困难。随着使用短信验

证需求的业务系统不断增加,短信生成与验证功能需要在各业务系

统单独开发,造成重复开发工作;且各业务系统在短信生成和验证

的具体实现方式可能存在不一致,容易造成系统维护困难。

(2)系统安全性不高。因短信验证码的生成和验证均有应用系

统全部完成,认证过程缺乏独立性,短信验证码容易被熟悉该应用

系统的人员所掌握,容易造成资金风险,给客户带来损失。

4 短信密码验证系统方案

4.1 方案介绍

如上图,该方案引入了短信密码验证系统,该系统与使用短信

验证服务的应用系统物理上和逻辑上独立,应用系统仅负责业务逻

辑处理,当应用系统需要进行短信验证服务时通过应用系统与第三

方短信验证系统之间的接口实现短信验证码的生成以及短信验证码

的验证;第三方短信验证系统负责短信验证码的生成、验证,并通

过接口方式与短信平台交互实现短信验证码的发送。

4.2 典型流程

仍以网上银行跨行转账超过限额后短信验证业务为例,说明短

信验证码生成以及验证流程。

(1)客户登录网上银行系统,选择跨行转账业务,输入转账账号、交易金额后,网上银行系统判断交易金额是否超过转账短信验

证指定限额;若超过限额,网上银行系统向第三方短信验证码认证

系统发送短信密码生成请求;

(2)第三方短信验证码认证系统接收短信验证码生成请求后,

通过短信验证码生成模块生成短信验证码,并把验证码保存于数据

库中,然后再通过接口方式利用短信平台将验证码发送至客户手机

号码上;

(3)网上银行系统根据转账业务请求,获取客户输入的短信验

证码后,向第三方短信验证码认证系统发送短信验证请求;

(4)第三方短信验证码认证系统获取验证请求后,通过短信验

证码验证模块完成短信验证码的合法性验证,并把结果返回给网上

银行系统;

(5)网上银行系统获取验证结果,验证通过后发起跨行转账业

务请求,否则业务结束。

4.3 方案分析

优点:

(1)系统安全性高。短信验证码生成、验证与应用系统独立,

验证码生成算法相对复杂、周密,在随机验证码重复率检测等方面

更完善,短信验证码不容易被盗用。

(2)后续开发工作量小。通过建立第三方短信验证码认证系统,将短信验证码的生成、验证以及验证码状态管理服务独立于业务系统,今后新增短信认证渠道时,使用短信验证码认证服务的应用系

统可以直接调用第三方短信认证系统接口,减少二次开发工作量。

缺点:关联系统较多,短信生成和验证的系统间交互流程复杂,容易产生异常。

5 总结

相关文档
最新文档