網絡用戶身份認證系統及方法
2023-04-25 00:50:11
專利名稱:網絡用戶身份認證系統及方法
技術領域:
本發明涉及一種用戶身份認證系統,尤其是一種通過網絡進行的用戶身份認證系統。本發明還涉及一種網絡用戶身份認證方法。
背景技術:
在各種各樣的網絡應用中,根據不同的應用環境需要將不同的用戶進行區分,因此就需要對他們進行身份驗證後,再提供相應的服務。在電子商務、網上支付等領域,由於涉及到資金和財產,所以更加需要有安全可靠的身份確認手段。網絡交易是一種不見面的交流方式,現有的各種認證手段中,安全性和便利性一直是一對相互矛盾的因素。
對於不熟悉計算機和網絡的普通用戶,他們習慣的是使用物理憑證來進行身份認證,如鑰匙、存摺,或者磁卡加密碼等物理設備與密碼結合的方式,向他們提供一種類似銀行卡這樣即安全又方便的認證手段,對於推廣使用網絡服務非常必要。
目前使用最廣泛的網絡安全認證是傳統的基於帳號名和密碼的認證系統。這種系統通常會要求用戶先註冊一個帳號,並自己定義密碼,註冊成功後才能正常使用。這種方式由於對用戶註冊缺乏控制,常常導致許多使用垃圾註冊信息的無效用戶充斥在系統中,他們從不使用服務,但是卻又佔據了大部分用戶名空間,導致真正想註冊並且使用服務的有效用戶,無法註冊到自己容易記憶的用戶名。
此類普通的認證方式,僅是一個輸入用戶名和密碼進行登錄的過程,不但不夠直觀,而且在網絡環境下容易失竊。有些用戶為了貪圖方便,還會在不同的網絡服務中使用同一個密碼,這樣會帶來極大的安全隱患,一旦一個密碼被網絡監聽程序竊取到,往往會造成多個網絡服務帳號密碼失竊。
雖然為了使用戶登錄方便,系統可以採取把用戶的帳號密碼保存在網絡服務客戶端,但這種方式下對帳號密碼的訪問和使用,受到該客戶端限制,如果客戶端出現了不安全因素,如被植入木馬或者被多人合用一個客戶端,就會對用戶帳號的安全性產生很大威脅。
此外對於客戶端或者系統進行重新安裝,或者在他人的計算機上使用,都會需要重新回憶相應的帳號密碼,對用戶產生極大的困擾。
這些用戶密碼在客戶端存儲和網絡上傳輸的不安全性,導致了需要用戶經常修改密碼,加劇了使用上的不便。
發明內容本發明所要解決的問題是提供一種網絡用戶身份認證系統,能夠大大提高網絡用戶認證的安全性,使用戶的信息不易被竊取;同時兼顧用戶的易用性。
為解決上述技術問題,本發明網絡用戶身份認證系統的技術方案是,包括客戶端計算機、動態密碼發生器和伺服器;所述動態密碼發生器與客戶端計算機相連,所述動態密碼發生器上記錄有唯一的發生器序列號並可以產生動態密碼;所述客戶端計算機與伺服器通過通信網絡相連;所述伺服器上設有與所述動態密碼發生器相對應的動態密碼校驗模塊。
本發明所要解決的另一技術問題是提供一種網絡用戶身份認證方法,其步驟簡單,在保證帳戶安全的前提下,能夠使用戶很方便的進行登錄,而不必進行繁瑣的用戶名及密碼的記憶。
為解決上述技術問題,本發明網絡用戶身份認證方法的技術方案是,包括如下步驟(1)用戶註冊,將註冊獲得的用戶帳號信息記錄在客戶端計算機中;(2)用戶登錄,首先由所述動態密碼發生器將其記錄的發生器序列號及產生的動態密碼發送給客戶端的計算機,再由客戶端計算機將用戶帳號信息連同對應的動態密碼通過通信網絡發送給伺服器;(3)伺服器對該登錄申請進行判斷,伺服器上的動態密碼校驗模塊對該用戶標識和動態密碼進行校驗,如果校驗正確,該登錄申請就通過判斷完成認證,並且向客戶端返回登錄成功的信息,如果校驗不正確,該登錄申請就不能通過判斷,並且將該不能登錄的信息返回給客戶端。
本發明通過上述的系統和方法,實現了網絡用戶的身份認證。該認證系統結構簡單,方法操作容易,可以使用戶無論是否熟悉網絡的操作,都可以很方便的進行登錄,並且大大的提高了系統的安全性能。
下面結合附圖和實施例對本發明作進一步描述圖1為本發明網絡用戶身份認證方法的流程圖。
具體實施方式為解決普通認證及登陸遇到的諸多問題,本發明給不熟悉計算機和網絡技術的用戶提供一個方便安全的註冊使用、登錄認證的方法,並且該方法還可以應用於通過網絡進行電子支付安全認證等諸多領域。
本發明網絡用戶身份認證系統,包括客戶端的計算機、動態密碼發生器和伺服器,所述動態密碼發生器與客戶端計算機相連,其上記錄有唯一的發生器序列號並可以產生動態密碼;所述客戶端計算機與伺服器通過通信網絡相互連接;所述伺服器上設有與所述動態密碼發生器相對應的動態密碼校驗模塊,以保證動態密碼發生器所生成的動態密碼,都可以準確的由動態密碼校驗模塊進行識別。所述客戶端(含客戶端計算機和動態密碼發生器)設有一控制密碼生成與登錄申請發送的登錄鍵。使用者通過按壓該按鍵,使動態密碼發生器生成動態密碼,然後將包含該密碼的登錄申請發送給伺服器。
本發明還包括利用上述的系統實現的網絡用戶身份認證方法,包括如下步驟(1)用戶註冊,首先由所述動態密碼發生器將其記錄的發生器序列號及產生的動態密碼發送給客戶端的計算機,客戶端計算機通過通信網絡將其發送到伺服器,通過伺服器進行相應序列號的動態密碼驗證後客戶端將伺服器返回的用戶帳號信息記錄在客戶端計算機中;(2)用戶登錄,首先由所述動態密碼發生器將其記錄的發生器序列號及產生的動態密碼發送給客戶端的計算機,再由客戶端計算機將用戶帳號信息連同對應的動態密碼通過通信網絡發送給伺服器;
(3)伺服器對該登錄申請進行判斷,伺服器上的動態密碼校驗模塊對該用戶標識和動態密碼進行校驗,如果校驗正確,該登錄申請就通過判斷完成認證,並且向客戶端返回登錄成功的信息,如果校驗不正確,該登錄申請就不能通過判斷,並且將該不能登錄的信息返回給客戶端。
在上述方法中,所述動態密碼通過以種子和當前時間為參數進行計算得到。並且在生成動態密碼的步驟之前,還包括一個客戶端的計算機通過通信網絡與伺服器進行時間校準的步驟。另外,在其它需要的情況下,客戶端的計算機也可以通過通信網絡與伺服器進行時間校準。
所述動態密碼的生成方式和校驗方式每隔一定的時間進行一次更新。所述動態密碼生成方式和校驗方式的更新可以是參數內容的更新,也可以是計算方法的更新,還可以是參數內容和計算方法同時更新。所述校驗方式更新之後,原有的校驗方式在一段時間內仍然有效,在該時間段內,對於客戶端傳輸過來的動態密碼,即使新的校驗方式認為該密碼不正確,但是如果原有的校驗方式認為該密碼正確,系統就認為該密碼仍然是正確的。這樣,如果是客戶端是在前一時間段末尾的時刻發送動態密碼,由於網絡傳輸存在延時,可能會導致當伺服器接收到該動態密碼時已經是後一個時間段,如果用後一個時間段的校驗方式就會認為該密碼是錯誤的,從而造成身份認證發生錯誤。但是由於本發明中原有的校驗方式在一段時間內仍然有效,因此即便上述情況出現,後一時間段的校驗方式認為該密碼不正確,然而在該有效時間段內再用前一時間段的校驗方式對該密碼進行校驗,就會更準確的判斷出本次登錄是否真的合法,從而杜絕此類身份認證錯誤的發生。另外,為了保證對該用戶信息的操作始終是合法的,所述遙控器每隔一段時間向伺服器發送一次當前的動態密碼,伺服器對該動態密碼進行判斷,如果該密碼通過判斷,則當前的操作繼續進行;如果該密碼沒有通過判斷,則伺服器註銷本次登錄,並要求用戶重新登錄。
在所述動態密碼進行過一次校驗之後,所述動態密碼的生成方式和校驗方式立即更新,因此相同的動態密碼無法連續兩次進行登錄,使得用過的動態密碼,即使被竊取,非法用戶也無法實施登錄。
以下提供一個本發明具體應用的實例。
在本發明中,採用事先發放的遙控器,作為用戶身份的憑據,用戶只要擁有該憑據,即遙控器,就可以獲得並擁有同該憑據對應的標識。憑據的發放控制在網絡服務提供方手裡,用戶通過一定的手續,例如購買,或者其它合法方式,才能獲得該憑據,同時伺服器上記錄該用戶的用戶標識以及其它的一些信息。當用戶第一次使用時,只要依靠該憑據本身所固有的硬體,就能自動為其激活該用戶帳號的過程,以後用戶在使用該硬體時就可以在不需要了解用戶帳號其他細節的情況下,能夠進行任何同該用戶帳號相關的操作。
本發明中涉及的遙控器,可以是紅外遙控器裝置。所述動態密碼發生器置於客戶端的計算機中,因此紅外遙控器是特定密碼生成的控制設備,能夠存儲和輸出可定製的、具有唯一性的與硬體對應的序列號,把該硬體序列號作為區分和識別不同用戶的標誌,用戶的其他相關信息,都綁定在該序列號上,以此作為唯一索引。此序列號無需用戶記憶,按下物理裝置上特定按鍵,即可輸出該序列號,並由遙控器通過紅外方式發送。網絡服務客戶端通過紅外接收器,可接收到該序列號信息。
本發明把用戶登錄認證這一過程,改進為一個像使用鑰匙開門那樣,用一個對遙控器的實際操作動作即可完成的方式,對用戶而言,避免了帳號密碼這些他難以理解和記憶的因素。
在登錄時,除了提供硬體序列號作為用戶的唯一性標識外,還需要提供該用戶進行認證所用的憑據——動態密碼。該動態密碼,是硬體中的動態密碼發生器根據內置的種子和當前時間,採用安全的單向算法計算出來的一串數字。該種子是一種數據,其具有硬體唯一性,與遙控器的用戶標識相對應,並且是保密的,內置在硬體中只能參與運算而不可導出。對於不知道該種子的人,這樣的動態密碼具有不可預測並隨著時間變化的特性,除了網絡服務提供者可以根據自己保存的對應各硬體序列號的種子,同樣計算出該硬體當前時間的動態密碼,對用戶身份進行認證以外,任何其他人如果不持有該設備,就無法得到該密碼,即使其偶爾獲得了某一動態密碼,也只能在短暫的一段時間內有效,並且如果用戶一旦用某一動態密碼登錄過,其馬上就失效,即無法再使用同一動態密碼登錄,必須等待下一時間段產生一個新的動態密碼才能使用新密碼登錄。
這種一次性密碼認證系統,有效地防止了在用戶認證過程中竊取密碼的攻擊,因為通過網絡偷聽只能竊取到用過的無效的密碼。動態密碼生成和輸出設備,獨立於客戶端而存在,是可隨身攜帶的手持設備,使用是完全由用戶控制的,只需要用戶按下遙控器上相應鍵一次,便可發送密碼完成登錄,即安全又方便,避免認證信息被非法使用。並且該設備小巧玲瓏用戶可以隨身攜帶移動,通過他人的計算機登錄認證使用服務。
本發明還有一個特點是,動態密碼的安全傳遞技術,它不通過鍵盤輸入等容易被木馬程序監控的途徑,而是由獨立的硬體設備生成,通過紅外發送到客戶端,有系統服務截獲並加密,再發送到伺服器進行認證。
除了網絡服務需要用戶認證,現在,用戶直接通過電子商務進行支付費用,獲取信息或者實物的應用也越來越廣泛。通常,在電子支付過程中,為了更好地保障用戶資金安全,用戶進行普通操作,如登錄帳號查詢收支,進行支付劃帳等敏感操作,所使用的是2個密碼。應有本發明所提供的系統和方法,還可以在不降低安全性的前提下,解決這一傳統方法給用戶的使用帶來的不便。
用戶在進行支付時,使用該遙控器進行支付確認,即輸出一個當時的動態密碼供伺服器認證通過後,伺服器才為該用戶劃帳,充分保障安全。由於該密碼認證系統的一次性密碼系統特性,用戶登錄和其進行支付時的動態密碼,必然是不一致的,而用戶卻不必去記憶這些不同的密碼。同樣,由於動態密碼只能使用一次,這種機制還完全防止了網絡故障數據重發造成的重複扣費,以及把支付信息進行惡意重發的網絡攻擊。
本發明所描述的系統,還具有良好的容錯特性,作為一個依靠物理硬體來識別用戶的系統,該硬體的遺失或者損壞,並不會造成該硬體對應的用戶帳號從此失效而不可用。用戶可以申請將老的硬體設備作廢,將老設備綁定的用戶帳號,重新同一個新的硬體設備綁定,新的硬體設備就代替了老設備,與該用戶信息一一對應,並且保留了原來的所有信息和記錄。
權利要求
1.一種網絡用戶身份認證系統,其特徵在於,包括客戶端計算機、動態密碼發生器和伺服器;所述動態密碼發生器與客戶端計算機相連,所述動態密碼發生器上記錄有唯一的發生器序列號並可以產生動態密碼;所述客戶端計算機與伺服器通過通信網絡相連;所述伺服器上設有與所述動態密碼發生器相對應的動態密碼校驗模塊。
2.根據權利要求
1所述的網絡用戶身份認證系統,其特徵在於,所述網絡用戶身份認證系統還包括一個遙控器,所述客戶端計算機設有與所述遙控器對應接收器,所述動態密碼發生器或者置於客戶端計算機內部,或者置於所述遙控器上;所述網絡用戶身份認證系統還包括一個觸發動態密碼發生器產生動態密碼的按鍵,該按鍵或者設置於所述客戶端計算機上,或者設置於所述遙控器上。
3.一種利用權利要求
1所述的系統實現的網絡用戶身份認證方法,其特徵在於,包括如下步驟(1)用戶註冊,將註冊獲得的用戶帳號信息記錄在客戶端計算機中;(2)用戶登錄,首先由所述動態密碼發生器將其記錄的發生器序列號及產生的動態密碼發送給客戶端的計算機,再由客戶端計算機將用戶帳號信息連同對應的動態密碼通過通信網絡發送給伺服器;(3)伺服器對該登錄申請進行判斷,伺服器上的動態密碼校驗模塊對該用戶標識和動態密碼進行校驗,如果校驗正確,該登錄申請就通過判斷完成認證,並且向客戶端返回登錄成功的信息,如果校驗不正確,該登錄申請就不能通過判斷,並且將該不能登錄的信息返回給客戶端。
4.根據權利要求
3所述的網絡用戶身份認證方法,其特徵在於,所述動態密碼通過以對應動態密碼發生器序列號對應的秘密種子和當前時間為參數進行計算得到;動態密碼的產生只能由用戶觸發,其計算過程獨立於客戶端計算機。
5.根據權利要求
3或4所述的網絡用戶身份認證方法,其特徵在於,還包括一次或多次客戶端通過通信網絡與伺服器進行時間校準的步驟。
6.根據權利要求
5所述的網絡用戶身份認證方法,其特徵在於,所述客戶端通過通信網絡與伺服器進行時間校準的步驟在所述生成動態密碼的步驟之前。
7.根據權利要求
3所述的網絡用戶身份認證方法,其特徵在於,所述動態密碼的生成方式和校驗方式每隔一定的時間進行一次更新。
8.根據權利要求
7所述的網絡用戶身份認證方法,其特徵在於,所述動態密碼生成方式和校驗方式的更新可以是參數內容的更新,也可以是計算方法的更新,還可以是參數內容和計算方法同時更新。
9.根據權利要求
7所述的網絡用戶身份認證方法,其特徵在於,所述校驗方式更新之後,原有的校驗方式在一段時間內仍然有效,在該時間段內,對於客戶端傳輸過來的動態密碼,即使新的校驗方式認為該密碼不正確,但是如果原有的校驗方式認為該密碼正確,系統就認為該密碼仍然是正確的。
10.根據權利要求
3或7所述的網絡用戶身份認證方法,其特徵在於,所述客戶端每隔一段時間向伺服器發送一次當前的動態密碼,伺服器對該動態密碼進行判斷,如果該密碼通過判斷,則當前的操作繼續進行;如果該密碼沒有通過判斷,則伺服器註銷本次登錄,並要求用戶重新登錄。
11.根據權利要求
3所述的網絡用戶身份認證方法,其特徵在於,所述動態密碼進行過一次校驗之後,所述動態密碼的生成方式和校驗方式立即更新。
專利摘要
本發明公開了一種網絡用戶身份認證系統,包括客戶端的計算機、動態密碼發生器和伺服器,所述計算機與伺服器通過通信網絡相互連接,所述動態密碼發生器連接到該計算機上,所述伺服器上設有動態密碼校驗模塊。本發明還公開了一種網絡用戶身份認證的方法,包括先進行用戶註冊,然後客戶端進行登錄申請,由動態密碼發生器生成動態密碼,再由計算機通過通信網絡將用戶的標識及該動態密碼傳輸給伺服器,之後伺服器上的動態密碼校驗模塊對該動態密碼進行校驗,從而判斷該登錄申請是否合法。本發明的認證系統結構簡單,方法操作容易,可以使使用者無論是否熟悉網絡的操作,都可以很方便的進行用戶登錄,並且大大的提高了系統的安全性能。
文檔編號H04L9/16GK1992590SQ200510112288
公開日2007年7月4日 申請日期2005年12月29日
發明者陶春, 奚嘉迪, 張曉軍, 胡灝 申請人:盛大計算機(上海)有限公司導出引文BiBTeX, EndNote, RefMan