短信密码

短信密码也叫短信动态密码，短信密码以手机短信形式请求包含若干位（通常4-6位）随机符号的动态密码，也是一种手机动态口令形式。身份认证系统通常以短信形式发送随机密码到客户的手机上，客户在登录或者交易认证时候输入此动态密码，从而确保系统身份认证的安全性与可靠性。

短信密码形式

（1）防止由于盗号而产生的财产损失。

（2）使用简单便捷：只要能收到短信就能使用，大大增强这项技术的普及性。

（3）移动性，与位置无关

（4）通用性：与需要登录的业务系统无关。

（5）开发整合便捷。

（1）需要运营成本，每条短信都会产生通信费。

（2）通信信号不好时，影响业务处理

（3）手机丢失，如果来不及挂失，可能成为危险行为的帮凶

（1）可以作为登录或者交易密码（如网上银行登录或者支付，作为登录密码或支付密码认证、企业内部登录），增强身份认证的安全强度，减少盗号给用户带来的损失。

（2）企业使用短信密码解决方案，无需密码因定期修改各种应用系统登录密码给IT管理和员工带来的麻烦。

短信密码验证系统是通过SMS（短信）将一次性密码发送到用户手机中，用户以此作为登陆、支付、查询环节的密码认证或者公用场所上网依据。主要有短信密码生成模块、短信密码验证模块以及短信密码管理服务模块组成。其中短信密码生成模块负责接收应用系统短信密码生产请求、实现对短信密码生成算法的封装，并根据不同账号、手机号等信息生成与时间关联的唯一密码；短信密码验证模块负责与各种应用系统的短信密码认证对接，实现短信密码的验证算法封装，并为应用系统返回验证结果，认证逻辑中间件可扩展、可定制，具有高稳定性和高并发性；短信密码管理服务是指对短信密码生命周期中状态的管理，包括短信密码的启用、作废等状态管理功能。

以网上银行跨行转账超过限额后短信验证业务为例，说明短信验证码生成以及验证流程。 

(1)客户登录网上银行系统，选择跨行转账业务，输入转账账号、交易金额后，网上银行系统判断交易金额是否超过转账短信验证指定限额；若超过限额，网上银行系统向第三方短信验证码认证系统发送短信密码生成请求； 

(2) 第三方短信验证码认证系统接收短信验证码生成请求后，通过短信验证码生成模块生成短信验证码，并把验证码保存于数据库中，然后再通过接口方式利用短信平台将验证码发送至客户手机号码上； 

(3)网上银行系统根据转账业务请求，获取客户输入的短信验证码后，向第三方短信验证码认证系统发送短信验证请求； 

(4)第三方短信验证码认证系统获取验证请求后，通过短信验证码验证模块完成短信验证码的合法性验证，并把结果返回给网上银行系统； 

(5)网上银行系统获取验证结果，验证通过后发起跨行转账业务请求，否则业务结束。

该方案引入了短信密码验证系统，该系统与使用短信验证服务的应用系统物理上和逻辑上独立，应用系统仅负责业务逻辑处理，当应用系统需要进行短信验证服务时通过应用系统与第三方短信验证系统之间的接口实现短信验证码的生成以及短信验证码的验证；第三方短信验证系统负责短信验证码的生成、验证，并通过接口方式与短信平台交互实现短信验证码的发送。

优点： 

(1)系统安全性高。短信验证码生成、验证与应用系统独立，验证码生成算法相对复杂、周密，在随机验证码重复率检测等方面更完善，短信验证码不容易被盗用 。 

(2)后续开发工作量小。通过建立第三方短信验证码认证系统，将短信验证码的生成、验证以及验证码状态管理服务独立于业务系统，今后新增短信认证渠道时使用短信验证码认证服务的应用系统可以直接调用第三方短信认证系统接口，减少二次开发工作量。 

缺点：关联系统较多，短信生成和验证的系统间交互流程复杂，容易产生异常。