一種實現用戶驗證客戶端可信度的方法及裝置的製作方法
2023-05-31 06:06:26 3
專利名稱:一種實現用戶驗證客戶端可信度的方法及裝置的製作方法
技術領域:
本發明涉及信息安全領域,特別是指一種實現用戶驗證客戶端可信度的方法及裝置。
背景技術:
計算機和通信領域中,客戶端(Client)/伺服器(Server)架構早已經被廣泛採用,在客戶端與伺服器能夠正常連接的時候,客戶端與伺服器之間可通過數字證書來進行交叉認證。但如果客戶端與伺服器之間不能建立連接,或客戶端本來就不是一個合法的客戶端,根本就不與伺服器建立連接,通過伺服器驗證客戶端的合法性就變得毫無意義,為用戶的財產和個人隱私帶來極大的安全隱患。
例如,在銀行的自動取款系統中,曾經發生過不法分子私自設立假的自動取款機(ATM,Automated Teller Machine),誘騙用戶將自己的銀行卡插入該自動取款機。用戶將銀行卡插入非法的自動提款機並輸入取款密碼後,該非法自動取款機就會對用戶輸入的取款密碼進行存儲,然後將銀行卡吞掉,從而對用戶的財產安全構成極大的威脅。類似於自動取款機的應用還包括特約商鋪使用的刷卡終端,目前,還沒有相應機制來保障這類客戶端可信度。
又例如,有人在網際網路上創建冒充著名銀行網站的假網站。在用戶無法辨別網站真假的情況下,極有可能將自己的帳號和密碼提供給網站,使不法分子非法獲取,從而對用戶的財產安全構成極大的威脅。
上面的一些舉例都是發生在網絡應用領域中的,在非網絡應用的情況下,也會存在安全隱患。例如,一臺對安全性要求非常高、如用於國防或國安等領域的計算機,該計算機必然包括一個用於對用戶進行認證的模塊,然而,這樣一個認證模塊是完全有可能被替換的,如果用戶在不加鑑別的情況下輸入自己的密碼,則會被冒充的認證模塊將用戶名和密碼記錄下來,從而造成嚴重的洩密。
根據以上描述可見,由於客戶端是否可信而帶來的安全隱患,已經出現在各種客戶端的應用中,並且還有繼續加劇的趨勢,因此,如何使用戶驗證客戶端可信度是一個亟待解決的問題。
發明內容
有鑑於此,本發明的一個目的在於提供一種實現用戶驗證客戶端可信度的方法,本發明的另一目的在於提供一種實現用戶驗證客戶端可信度的裝置,可使用戶自行確定客戶端的可信度。
為了達到上述目的,本發明提供了一種實現用戶驗證客戶端可信度的方法,該方法包含以下步驟A、用戶向客戶端提供質詢信息;B、客戶端向用戶提供對應於質詢信息的驗證信息,用戶根據該驗證信息確定客戶端是否可信。
設置用於存儲質詢信息與驗證信息之間對應關係的質詢伺服器,所述步驟A與所述步驟B之間,進一步包括客戶端向質詢伺服器提供該質詢信息,查詢與質詢信息相對應的驗證信息,質詢伺服器向客戶端返回對應於質詢信息的驗證信息。
所述向客戶端返回對應於質詢信息的驗證信息之前,進一步包括質詢伺服器判斷是否能夠搜索到對應於質詢信息的驗證信息,如果是,則向客戶端返回對應於質詢信息的驗證信息;否則,通過客戶端通知用戶質詢信息錯誤。
如果用戶確定客戶端可信,則所述步驟B之後進一步包括步驟C用戶請求客戶端對其進行認證。
所述步驟C為用戶向客戶端提供認證信息;所述步驟C之後進一步包括客戶端向認證伺服器發送所述認證信息,認證伺服器收到認證信息後,根據存儲的用戶的認證信息,對步驟C中所述的用戶進行認證,並向客戶端返回認證結果。
所述質詢信息為用戶信息;或為用戶信息與質詢密碼的組合。
所述質詢密碼為用戶輸入的密碼,或用戶的指紋,或用戶的虹膜,或用戶的數字證書。
本發明還提供了一種實現用戶驗證客戶端可信度的裝置,該裝置包括客戶端和質詢伺服器,其中,客戶端用於接收用戶提供的質詢信息,並向質詢伺服器查詢對應於質詢信息的驗證信息;質詢伺服器用於存儲質詢信息與驗證信息之間的對應關係,並根據客戶端提供的質詢信息,向客戶端提供對應於質詢信息的驗證信息。
該裝置進一步包括認證伺服器,客戶端進一步用於接收用戶提供的認證信息,並向認證伺服器發送該認證信息;認證伺服器用於存儲用戶的認證信息,並根據客戶端提供的認證信息,對用戶進行認證,然後向客戶端返回認證結果。
根據本發明提出的方案,用戶向客戶端提供質詢信息,客戶端根據質詢信息向用戶提供驗證信息,用戶根據該驗證信息判斷客戶端是否可信,在確定客戶端可信的情況下,可進一步請求客戶端對其進行認證,可有效防止用戶的認證信息的洩漏,有效避免了由此而為用戶帶來的損失;並且,根據本發明提出的方案,可有效抵制假冒設備的攻擊。
圖1示出了本發明中用戶驗證客戶端可信度裝置的結構示意圖;圖2示出了本發明中用戶與客戶端相互採信流程圖。
具體實施例方式
為使本發明的目的、技術方案和優點更加清楚,下面結合附圖對本發明作進一步的詳細描述。
本發明中,在客戶端對用戶進行認證之前,用戶首先對客戶端的可信度進行驗證,具體過程如下用戶向客戶端提供質詢信息,客戶端根據質詢信息向用戶提供驗證信息,用戶根據該驗證信息判斷客戶端是否可信,如果可信,則可進一步請求客戶端對其進行認證;否則,結束當前流程。以上所述質詢信息可為用戶信息,也可為用戶信息與質詢密碼的組合。
圖1示出了本發明中用戶驗證客戶端可信度裝置的結構示意圖,如圖1所示,設置質詢伺服器(Inquiry Server)103,該裝置包括客戶端102和質詢伺服器103,客戶端102用於接收用戶101提供的質詢信息,並向質詢伺服器103查詢對應於質詢信息的驗證信息;質詢伺服器103用於存儲質詢信息與驗證信息之間的對應關係,並根據客戶端102提供的質詢信息,向客戶端102提供對應於質詢信息的驗證信息。這樣,客戶端102可通過與質詢伺服器103的交互,獲取與用戶101提供的質詢信息相對應的驗證信息。
用戶101確認客戶端102可信後,可請求客戶端102對其進行認證,這樣,該裝置可進一步包括認證伺服器104,客戶端102進一步用於接收用戶101提供的認證信息,並向認證伺服器104發送認證信息;認證伺服器104用於存儲的用戶的認證信息,並根據客戶端102發送的認證信息,對用戶101進行認證,然後向客戶端102返回認證結果。客戶端102可根據認證伺服器104返回的認證結果,確定後續操作,例如,如果用戶通過認證,則接受用戶的業務請求;如果用戶未通過認證,則結束當前流程。
通過質詢伺服器103與認證伺服器104相結合,可實現用戶與客戶端的相互採信。質詢伺服器103和認證伺服器104由服務提供者放置在比較安全的地方,質詢伺服器103與認證伺服器104實現的功能可在一個伺服器中實現,也可在兩個伺服器中實現,在兩個伺服器中實現安全程度更高,可有效避免一個伺服器被非法攻擊後,用於用戶驗證客戶端的驗證信息及客戶端認證用戶的認證信息均被非法竊取。質詢伺服器103和認證伺服器104為兩個不同的伺服器時,可放置在同一地點,也可放置在不同地點。
圖2示出了本發明中用戶與客戶端相互採信流程圖,如圖2所示,用戶與客戶端相互採信的實現過程包括以下步驟步驟201用戶向客戶端發送質詢信息,該質詢信息可為用戶信息,也可為用戶信息與質詢密碼的組合。例如,用戶通過客戶端的輸入單元向客戶端輸入用戶信息和質詢密碼,質詢密碼的形式可為各種形式,如,可將用戶向客戶端輸入的密碼、問題等作為質詢密碼,或將用戶向客戶端輸入的指紋、虹膜等用戶的自然信息作為質詢密碼,還可將用戶的數字證書作為質詢密碼,以上實例中質詢信息為用戶信息與質詢密碼的組合;又例如,用戶將智慧卡插入客戶端,客戶端可直接通過用戶插入的智慧卡讀取用戶信息,然後向質詢伺服器提供該用戶信息,查詢與該用戶信息相對應的驗證信息,此時,質詢信息即為用戶信息。
步驟202客戶端收到用戶的質詢信息後,向質詢伺服器提供該質詢信息,查詢對應於該質詢信息的驗證信息。
步驟203質詢伺服器收到質詢信息後,判斷是否能夠搜索到與該質詢信息相對應的驗證信息,如果搜索到對應於質詢信息的驗證信息,則向客戶端返回相應的驗證信息;如果未搜索到對應於質詢信息的驗證信息,則通過客戶端通知用戶質詢信息錯誤。如果用戶多次輸入的質詢信息均不正確,如三次,則客戶端可允許用戶取消操作,例如,作為客戶端的自動取款機可允許用戶將銀行卡取走,並且,客戶端的運營者可在一段時間內禁止用戶使用相應業務,此時,用戶可到業務受理地獲取質詢密碼。
用戶可在籤約業務時,設置質詢信息與驗證信息之間的對應關係,質詢伺服器存儲質詢信息與驗證信息之間的對應關係。一個用戶可設置多個質詢信息與驗證信息之間的對應關係,即不同質詢信息對應於不同的驗證信息。
步驟204客戶端收到驗證信息後,對該驗證信息進行顯示。
步驟205用戶根據客戶端顯示的驗證信息,判斷客戶端是否可信,如果是,則可繼續執行步驟206;否則,結束當前流程。
通過步驟201~步驟205可使用戶對客戶端的可信度進行驗證,確定客戶端是否可信。
步驟206用戶請求客戶端對其進行認證,向客戶端提供認證信息,例如,用戶向客戶端輸入用戶名和密碼。
步驟207客戶端收到認證信息後,向認證伺服器提供該認證信息;認證伺服器收到認證信息後,根據存儲的用戶的認證信息,對用戶進行認證,然後向客戶端返回認證結果;客戶端根據認證伺服器返回的認證結果,確定後續操作,如果用戶通過認證,則客戶端可接受用戶的業務請求;如果用戶未通過認證,則結束當前流程。
通過步驟206~步驟207可使客戶端對用戶的合法性進行認證,確定用戶是否合法。這樣,通過步驟201~步驟207可完成用戶與客戶端的相互採信,本發明中將其稱為四次握手機制。
總之,以上所述僅為本發明的較佳實施例而已,並非用於限定本發明的保護範圍。
權利要求
1.一種實現用戶驗證客戶端可信度的方法,其特徵在於,該方法包含以下步驟A、用戶向客戶端提供質詢信息;B、客戶端向用戶提供對應於質詢信息的驗證信息,用戶根據該驗證信息確定客戶端是否可信。
2.根據權利要求1所述的方法,其特徵在於,設置用於存儲質詢信息與驗證信息之間對應關係的質詢伺服器,所述步驟A與所述步驟B之間,進一步包括客戶端向質詢伺服器提供該質詢信息,查詢與質詢信息相對應的驗證信息,質詢伺服器向客戶端返回對應於質詢信息的驗證信息。
3.根據權利要求2所述的方法,其特徵在於,所述向客戶端返回對應於質詢信息的驗證信息之前,進一步包括質詢伺服器判斷是否能夠搜索到對應於質詢信息的驗證信息,如果是,則向客戶端返回對應於質詢信息的驗證信息;否則,通過客戶端通知用戶質詢信息錯誤。
4.根據權利要求1所述的方法,其特徵在於,如果用戶確定客戶端可信,則所述步驟B之後進一步包括C、用戶請求客戶端對其進行認證。
5.根據權利要求4所述的方法,其特徵在於,所述步驟C為用戶向客戶端提供認證信息;所述步驟C之後進一步包括客戶端向認證伺服器發送所述認證信息,認證伺服器收到認證信息後,根據存儲的用戶的認證信息,對步驟C中所述的用戶進行認證,並向客戶端返回認證結果。
6.根據權利要求1所述的方法,其特徵在於,所述質詢信息為用戶信息;或為用戶信息與質詢密碼的組合。
7.根據權利要求6所述的方法,其特徵在於,所述質詢密碼為用戶輸入的密碼,或用戶的指紋,或用戶的虹膜,或用戶的數字證書。
8.一種實現用戶驗證客戶端可信度的裝置,其特徵在於,該裝置包括客戶端和質詢伺服器,客戶端,用於接收用戶提供的質詢信息,並向質詢伺服器查詢對應於質詢信息的驗證信息;質詢伺服器,用於存儲質詢信息與驗證信息之間的對應關係,並根據客戶端提供的質詢信息,向客戶端提供對應於質詢信息的驗證信息。
9.根據權利要求8所述的裝置,其特徵在於,該裝置進一步包括認證伺服器,客戶端,進一步用於接收用戶提供的認證信息,並向認證伺服器發送該認證信息;認證伺服器,用於存儲用戶的認證信息,並根據客戶端提供的認證信息,對用戶進行認證,然後向客戶端返回認證結果。
全文摘要
本發明公開了一種實現用戶驗證客戶端可信度的方法,該方法包含用戶向客戶端提供質詢信息,客戶端向用戶提供對應於質詢信息的驗證信息,用戶根據該驗證信息確定客戶端是否可信;本發明還公開了一種實現用戶驗證客戶端可信度的裝置,該裝置包括客戶端和質詢伺服器,其中,客戶端用於接收用戶提供的質詢信息,並向質詢伺服器查詢對應於質詢信息的驗證信息,質詢伺服器用於存儲質詢信息與驗證信息之間的對應關係,並根據客戶端提供的質詢信息,向客戶端提供對應於質詢信息的驗證信息,這樣,有效防止了用戶的認證信息的洩漏,並有效避免了由此而為用戶帶來的損失,有效抵制了假冒設備的攻擊。
文檔編號G06F1/00GK1905444SQ20051008554
公開日2007年1月31日 申請日期2005年7月25日 優先權日2005年7月25日
發明者鄭志彬, 單長虹 申請人:華為技術有限公司