【技术实现步骤摘要】
一种web应用的登录认证方法及系统
本专利技术涉及互联网技术,尤其涉及一种web应用的登录认证方法及系统。
技术介绍
随着互联网技术的飞速发展,web应用不断普及,实现基于web应用的登录认证时,用户信息的安全性变得越来越重要。传统的web应用的登录认证,是将用户输入的身份信息和密码传到web服务器,通过与web服务器存储的数据进行比对,来确认用户身份的合法性。目前这种web应用的登录认证方法存在致命的缺陷,身份信息和密码容易被窃取,从而招致攻击者的重放攻击。针对这种缺陷,现有技术中,存在以下几种解决方案:第一种,采用基于证书的数字签名认证技术保护用户信息,虽然安全性较高,但必须以完善的公用证书系统为基础,因此技术实现较复杂,成本较高,仅适用于大型的网络应用系统。第二种,是采用传统的动态口令(OTP,One-TimePassword)机制在登录认证过程中加入不确定因素,使用户每次登录时传送的密码都不同,从而提高用户信息的安全性。但是现有的一次性密码机制越来越多地暴露出易被猜测、被篡改和被分析等脆弱性。例如,挑战/响应机制中,密码以某种形式静态存储在服务器,容易被分析;用户登录认证时需要利用安全套接层(SSL,SecureSocketsLayer)等额外保护措施,而SSL需要花费较高的费用去购买,给用户带来经济负担,同时影响系统认证处理性能。第三种,是采用口令序列机制,这种方法容易受到小数攻击。由于这种机制中,机制种子值和迭代值都是以明文传输,攻击者利用假冒服务器可以窃听这2个值,将窃到的迭代值修改为较小的值发送给用户,用户使用攻击者发来的种子值和较小迭代值 ...
【技术保护点】
一种web应用的登录认证系统,其特征在于,该系统包括:浏览器、web服务器;其中,浏览器,用于收到用户的登录请求后,利用web服务器提供的两个随机数得到认证信息,并将所述认证信息发送给web服务器;web服务器,用于根据保存的用户信息和收到的认证信息,进行登录认证。
【技术特征摘要】
1.一种web应用的登录认证系统,其特征在于,该系统包括:浏览器、web服务器;其中,浏览器,用于收到用户的登录请求后,利用web服务器提供的两个随机数得到认证信息,并将所述认证信息发送给web服务器;web服务器,用于根据保存的用户信息和收到的认证信息,进行登录认证;所述web服务器,还用于更新用户身份数据库中原先保存的用户信息;其中,所述web服务器更新用户身份数据库中原先保存的用户信息为:登录认证成功后,web服务器刷新用户身份数据库中原先保存的用户信息,用随机数R和虚拟密码h2分别替换用户身份数据库中原先保存的用户信息中的随机数R1和虚拟密码H_PWD;其中,虚拟密码h2是所述浏览器根据用户输入的初始密码P、随机数R以及用户身份标识UID利用公式h2=SHA1(SHA1(UID+R+P))计算得出的,虚拟密码H_PWD是所述浏览器根据用户输入的初始密码P、随机数R1以及用户身份标识UID利用公式H_PWD=SHA1(SHA1(UID+R1+P))计算得出的,其中随机数R和R1是web服务器产生的。2.根据权利要求1所述的系统,其特征在于,该系统还包括:用户身份数据库;其中,所述浏览器,还用于利用web服务器提供的两个随机数得到认证信息之前,接收用户注册web应用的请求,将注册时的用户数据发送给web服务器;所述web服务器,还用于利用随机数对收到的用户数据进行初始化;所述用户身份数据库,用于保存初始化后得到的用户信息。3.一种web应用的登录认证方法,其特征在于,该方法包括:收到用户的登录请求后,浏览器利用web服务器提供的两个随机数得到认证信息,并将所述认证信息发送给web服务器;web服务器根据保存的用户信息和收到的认证信息,进行登录认证;web服务器更新原先保存的用户信息;所述web服务器更新原先保存的用户信息为:登录认证成功后,web服务器刷新用户身份数据库中原先保存的用户信息,用随机数R和虚拟密码h2分别替换用户身份数据库中原先保存的用户信息中的随机数R1和虚拟密码H_PWD;其中,虚拟密码h2是所述浏览器根据用户输入的初始密码P、随机数R以及用户身份标识UID利用公式h2=SHA1(SHA1(UID+R+P))计算得出的,虚拟密码H_PWD是所述浏览器根据用户输入的初始密码P、随机数R1以及用户身份标识UID利用公式H_PWD=SHA1(SHA1(UID+R1+P))计算得出的,其中随机数R和R1是web服务器产生的。4.根据权利要求3所述的方法,其特征在于,所述浏览器利用web服务器提供的两个随机数得到认证信息之前,该方法还包括:浏览器接收用户注册we...
【专利技术属性】
技术研发人员:李勇,
申请(专利权)人:深圳中兴网信科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。