計算機網絡帳號安全防護方法及服務系統的製作方法

2023-10-06 13:29:54 2

專利名稱：計算機網絡帳號安全防護方法及服務系統的製作方法
技術領域：
本發明涉及計算機網絡帳號密碼保護的方法，可應用於計算機網絡安全領域，以及網路遊戲、電子商務、集團管理、網絡軟體等所有頒發籤證合作的網絡運營商。
背景技術：
過去，僅使用一個由網絡用戶名以及與其相關聯的登錄密碼組成的有效憑據組合，用戶就可以通過身份驗證。
然而，不能排除用戶可能會在公共場合使用此憑證被別人看到、或者很容易被猜到，以及木馬病毒、釣魚網站等盜取此憑證的可能性。一但有效憑據失去私密性，當用戶通過身份驗證可以訪問網絡後，能夠對其進行限制的其他安全壁壘太少。並且，在僅需要登錄名和密碼進行訪問的環境下，很難檢測並阻止某一持有有效憑據但未經授權的個人的活動。其認證圖如附圖1所示，由客戶端發送帳號密碼至伺服器端的時候，沒有任何防護措施，根本無法防止木馬病毒的盜取用戶安全憑證的行為。
圖二所示系統用於安全性非常敏感的系統(例如工商銀行網上銀行)。圖中CA是一個證書頒發機構，為用戶頒發數字證書，用於為要驗證身份的聯機實體提供證明。客戶端在發送登陸憑證的同時，還要發送數字證書，從而實現只憑登陸憑證無法驗證來達到防盜的目的。圖中插件的作用在於安全的存儲數字證書不被非法複製。這種系統的硬體投入巨大，並不適合很多網絡系統。
為解決此問題，近幾年不斷有新的用戶識別方法及系統被提出.如中國專利02154144.2公開了一種網絡本人確認方式和裝置，採用移動存儲器(軟盤或U盤)存儲系統給定的密碼。由於不需要用戶記憶戶名和密碼，可以將存儲在移動存儲器中的密碼和戶名設置較長，防止被破譯和記憶的可能。但是其缺陷是密碼是可讀的，只是增加了難度，並不能杜絕被記憶；同時對木馬病毒、釣魚網站和黑客網站採用非法手段從客戶端盜取用戶有效憑證沒有防護作用。
同時，中國專利還公開了一種自動隨機一次性密碼提高網絡交易安全的認證方法(專利申請號02132554.5)，儘管該方法使用了包括USB驅動程序、8-32存儲器及微處理器硬體的密碼安全裝置，但是只是在密碼安全裝置和伺服器之間設置了內存裝置中的加密解密裝置和對應程序。該方法附帶了複雜的密碼生成器和解密裝置，不僅硬體投入加大，其安全性還有待於進一步提高。

發明內容
本發明目的在於提供一種計算機網絡帳號安全防護方法及服務系統，以克服現有僅憑用戶登錄名和密碼訪問環境下密碼容易暴露或被竊取的弊端。
計算機網絡安全最大風險在於用於驗證用戶身份的有效憑據不能被安全的傳輸至對應伺服器，本發明主要解決由網絡用戶名以及與其相關聯的登錄密碼組成的有效憑據不能被安全的通過網絡傳送至對應的伺服器端的問題。
即具體的說，計算機網絡帳號安全防護方法，其是按照以下步驟實現(1)在第一次使用它時伺服器端用於驗證用戶身份的有效憑據通過一個代理驗證伺服器修改，並且將修改後的結果存儲在插接在用戶終端的USB安全插件中；(2)以後使用時首先由代理驗證伺服器通過其它驗證辦法來驗證客戶端的請求；(3)當請求通過後，代理驗證伺服器會發送用於驗證用戶身份的有效憑據到伺服器端實現用戶登錄。
實現上述計算機網絡帳號安全防護方法的服務系統包括插接在用戶終端的USB的安全插件，該插件至少包括微處理器；資料庫和應用系統Web伺服器，該資料庫和應用系統Web伺服器相連並且通過網絡與客戶終端連接；用於發送客戶端秘密信息和修改秘密信息的代理驗證伺服器，該代理驗證伺服器為一個與應用系統Web伺服器基本相同的計算機且聯繫客戶終端和應用系統Web伺服器。
本發明在不更改伺服器端軟體或硬體的前提下從根本上解決了木馬病毒，釣魚網站，黑客軟體等利用非法手段從客戶端盜取用戶有效憑證的可能性。防止因用戶洩漏或被非法盜取用戶敏感驗證信息的安全隱患。填補了計算機網絡帳號安全使用問題的空缺。
本發明有益效果具體表現在
(1)安全性得到增強雙因素身份驗證不僅要求輸入有效憑據。用戶還必須擁有可以隨身攜帶的安全插件並且知道自己的個人識別號(2)簡單簡單易用。本發明不附帶麻煩的密碼生成器。不需要控制龐大的設備。只需USB安全插件即可使用(3)便於利用現有基礎結構使用原有基礎結構在不改變原資料庫伺服器任何數據的情況下，只需在客戶端安裝安全插件即可實現.前所未有的安全.
(4)多應用可以應用於多個項目，各項目之間相互隔離。


圖1為目前計算機帳號密碼認證圖。
圖2為最新計算機帳號認證圖。
圖3為本發明計算機帳號認證圖。
具體實施例方式附圖3給出了本發明的實現認證原理。圖中和組成部分的含義是代理驗證伺服器用於發送客戶端秘密信息和修改秘密信息的系統，為與應用系統WEB伺服器相同的一臺計算機；代理理驗證伺服器的目地在於在不改變圖1的基礎結構下，實現圖2的強安全性及跨平臺目的。
伺服器是指原有計算機系統中的應用系統/WEB伺服器的安全系統。
安全插件本發明防護系統用於與電腦USB接口連接的硬體，如U盤大小，直接插入客戶端終端計算機USB插口使用，至少帶有微處理器的智慧卡，如工商銀行普遍使用的U盾。
本發明計算機網絡帳號安全防護方法，其是按照以下步驟實現的
(1)在第一次使用它時伺服器端用於驗證用戶身份的有效憑據通過一個代理驗證伺服器修改，並且將修改後的結果存儲在插接在用戶終端的USB安全插件中；(2)以後使用時首先由代理驗證伺服器通過其它驗證辦法來驗證客戶端的請求；(3)當請求通過後，代理驗證伺服器會發送用於驗證用戶身份的有效憑據到伺服器端實現用戶登錄。
實現上述計算機網絡帳號安全防護方法的服務系統包括插接在用戶終端的USB的安全插件，該插件至少包括微處理器；資料庫和應用系統Web伺服器，該資料庫和應用系統Web伺服器相連並且通過網絡與客戶終端連接；用於發送客戶端秘密信息和修改秘密信息的代理驗證伺服器，該代理驗證伺服器為一個與應用系統Web伺服器基本相同的計算機且聯繫客戶終端和應用系統Web伺服器。
本發明與僅僅使用網絡用戶名和密碼的方法來保護網絡帳號安全不同，具有雙因素身份驗證。
雙因素驗證包括用戶已有(例如安全插件和已知的個人標識號或PIN，即安全插件所有者設置並存儲在卡上的加密碼)的事物。使用個人識別碼用戶可以訪問存儲在NP安全插件上的數字證書，用戶需持有被授權的安全插件才能被驗證。必須持有NP安全插件才能進行遠程訪問身份驗證，這一要求大大地減少了被盜的可能.因為認證過程中，密碼並未離開安全插件。
計算機網絡帳號安全防護方法的原理是本防護系統帶有一個硬體(安全插件)，用於直接與電腦的USB埠連接，在第一次使用本系統時代理驗證伺服器修改伺服器端用戶的秘密值(用戶授權給代理驗證服務)，以達到「強」密碼策略，以後使用時，客戶端首先向代理驗證伺服器端發起登陸請求，代理驗證伺服器通過數字證書來驗證客戶端的登陸請求，當驗證通過後代理驗證伺服器以客戶端的名義發送秘密信息到伺服器端，驗證過程完成。
1代理驗證伺服器為保護秘密值的「強」度和登陸憑證由用戶自己保管出現的問題，代理驗證伺服器會先修改伺服器端用於驗證用戶身份的有效憑據；2代理驗證伺服器以客戶端的名義發送登陸憑據、交易憑證(秘密信息)，伺服器端收到的是以客戶端名義發送的登陸憑證，故伺服器端的反饋信息會直接與客戶端通信，而與代理驗證伺服器無關。從而實現整個防盜目的。
本發明可應用於計算機網絡安全領域，以及網路遊戲、電子商務、集團管理、網絡軟體等所有頒發籤證合作的網絡運營商。
所有頒發籤證合作的網絡營運商，均可達到本發明的密碼保護目的。只需網絡營運商將帶有密碼的封包在用戶登錄時先經過本安全插件再由安全插件發至代理伺服器即可達到代理驗證的目的。
權利要求
1.一種計算機網絡帳號安全防護方法，其特徵是按照以下步驟實現(1)在第一次使用它時伺服器端用於驗證用戶身份的有效憑據通過一個代理驗證伺服器修改，並且將修改後的結果存儲在插接在用戶終端的USB安全插件中；(2)以後使用時首先由代理驗證伺服器通過其它驗證辦法來驗證客戶端的請求；(3)當請求通過後，代理驗證伺服器會發送用於驗證用戶身份的有效憑據到伺服器端實現用戶登錄。
2.一種計算機網絡帳號安全防護服務系統，其特徵是包括插接在用戶終端的USB的安全插件，該插件至少包括微處理器；資料庫和應用系統Web伺服器，該資料庫和應用系統Web伺服器相連並且通過網絡與客戶終端連接；用於發送客戶端秘密信息和修改秘密信息的代理驗證伺服器，該代理驗證伺服器為一個與應用系統Web伺服器基本相同的計算機且聯繫客戶終端和應用系統Web伺服器。
全文摘要
本發明涉及計算機網絡帳號安全防護方法。它是按照以下步驟實現在第一次使用它時伺服器端用於驗證用戶身份的有效憑據通過一個代理驗證伺服器修改，並且將修改後的結果存儲在插接在用戶終端的USB插件中；以後使用時首先由代理驗證伺服器通過其它驗證辦法來驗證客戶端的請求；當請求通過後，代理驗證伺服器會發送用於驗證用戶身份的有效憑據到伺服器端實現用戶登錄。實現該防護方法的服務系統包括插接在用戶終端的USB的安全插件，資料庫和應用系統Web伺服器，用於發送客戶端秘密信息和修改秘密信息的代理驗證伺服器。本發明在不更改伺服器端軟體或硬體的前提下從根本上解決了木馬病毒，釣魚網站，黑客軟體等利用非法手段從客戶端盜取用戶有效憑證的可能性。防止因用戶洩漏或被非法盜取用戶敏感驗證信息的安全隱患。
文檔編號H04L9/32GK1905448SQ200610104488
公開日2007年1月31日 申請日期2006年8月3日 優先權日2006年8月3日
發明者代飛, 代博 申請人:代飛