一种安全登录方法、客户端设备及服务器技术

本发明专利技术公开了一种安全登录方法、客户端设备及服务器，服务器通过接收客户端设备发送的登录认证请求，并根据登录认证请求中的用户识别信息在注册密码数据库中查询注册时存入的注册密码，登录认证请求中包含该客户端设备根据本次请求的登录附加码和用户密码采用预设算法生成的登录请求密码，登录附加码包括在该客户端设备发起登录认证请求时服务器为其动态生成并在服务器侧有存储的动态随机码，注册密码根据用户密码生成；然后采用预设算法对服务器侧存储的动态随机码和注册密码进行计算得到新密码，根据新密码对登录请求密码进行验证，从而避免了登录过程被重放攻击，本方案在用户密码的基础上结合动态随机码，从一定程度上防止了暴力破解攻击。

Secure login method, client device and server

The invention discloses a secure login method, client device and server, server by sending and receiving client device login authentication request, and according to the identification information stored in the user login authentication request query registered in the register password in the database when the login password, login authentication request contains the client device according to the request for additional log code and user password request password using preset algorithm to generate additional code including login, login login authentication request server initiated the dynamically generated and stored in the server side dynamic random code in the client device, according to the user registration password password generation; and then use the default algorithm on the server side storage dynamic random code and registration the password can be calculated according to the new password, new password on the login request from the password verification. While avoiding login process replay attack, this program combines dynamic random code on the basis of user password, to a certain extent, to prevent brute force attacks.

【技术实现步骤摘要】
一种安全登录方法、客户端设备及服务器
本专利技术涉及网络安全
，更具体地说，涉及一种安全登录方法、客户端设备及服务器。
技术介绍
一个完整的web(WorldWideWeb，全球广域网)系统往往需要用户登录操作，而安全登录是大部分用户访问互联网、使用互联网服务的关键步骤，系统中维护了用户众多的私密信息，例如手机号、身份证号码、家庭住址、银行卡信息等等，如果用户登录的安全性不能保证，这些信息遭到窃取，这将会给系统用户造成巨大的损失，所以，系统安全对一个合格系统而言至关重要，一套合理的安全登录方式更是重中之重。由于系统对密码复杂度要求不高时，该系统下的密码很容易就能被暴力破解，所以为了解决这个问题有的系统会要求用户设置非常复杂的登录密码，例如数字+字母+特殊字符并且总长度大于10位，来防止入侵，更有甚者为了防止暴力破解用户密码往往加上验证码的功能，这虽然在一定程度上能防止一部分非法入侵，但是这样用户的体验效果并不好，用户每次都需要输入复杂的密码或者输入验证码进行身份认证，操作十分不便；然而不管是上述哪一种情况，不论密码是否复杂都不能防止接口重放攻击，所谓接口重放攻击是指攻击者发送一个目的主机已经接收过的包，特别是在认证过程中用于认证用户身份所接收的包，来达到欺骗系统的目的，所以即使系统加上了验证码的功能，入侵者只要在验证码有效期内拦截登录请求依旧可以很轻松地就入侵到系统中，因此如何防止系统登录过程中的重放攻击以及在保证用户体验效果的同时防止暴力破解成为了亟待解决的重要问题。
技术实现思路
本专利技术要解决的技术问题在于：现有系统登录方式中的登录请求密码固定，导致该密码容易被暴力破解且当攻击者劫取到该登录请求密码后能直接登录服务造成系统不安全的问题。为解决上述技术问题，本专利技术提供一种安全登录方法，包括：服务器接收客户端设备发送的登录认证请求，所述登录认证请求中包含用户识别信息、以及所述客户端设备根据本次请求的登录附加码和用户密码采用预设算法生成的登录请求密码，所述登录附加码包括在所述客户端设备发起所述登录认证请求之前所述服务器为其动态生成并在所述服务器侧有存储的动态随机码；根据所述用户识别信息在注册密码数据库中查询注册时存入的注册密码，所述注册密码根据所述用户密码生成；采用所述预设算法对所述服务器侧存储的动态随机码和所述注册密码进行计算得到新密码；根据所述新密码对所述登录请求密码进行验证。进一步地，所述接收客户端设备发送的登录认证请求之前，还包括：接收所述客户端设备发送的登录页面显示请求并生成动态随机码，将所述动态随机码进行存储，并将所述动态随机码发送给客户端设备以供所述客户端设备生成登录请求密码。进一步地，所述接收客户端设备发送的登录认证请求之前，还包括：接收所述客户端设备发送的注册请求并完成注册；所述登录附加码还包括所述在注册过程中生成的固定码；所述注册过程包括：接收所述客户端设备发送的注册页面显示请求并生成固定码，将所述固定码发送给所述客户端设备以供所述客户端设备根据所述固定码和所述用户密码组合生成注册密码。进一步地，所述登录认证请求中还包括动态随机码；所述采用预设算法对服务器侧存储的动态随机码和所述注册密码进行计算得到新密码之前还包括：将本次接收到所述登录认证请求中的动态随机码与之前至少一个登录认证请求产生的动态随机码进行比较，若存在一致的动态随机码，则将本次登录认证请求视为无效登录认证请求；和/或，从所述登录认证请求中获取所述动态随机码，并获取所述服务器侧存储的动态随机码的有效时间范围，判断所述登录认证请求中的动态随机码当前是否在所述有效时间范围内，如否，将本次登录认证请求视为无效登录认证请求。进一步地，本专利技术还提供一种安全登录方法，包括：客户端设备根据本次请求的登录附加码和用户密码采用预设算法生成登录请求密码；所述登录附加码包括在所述客户端设备发起登录认证请求之前服务器为其动态生成并在所述服务器侧有存储的动态随机码；发送包含用户识别信息和所述登录请求密码的登录认证请求，以供所述服务器根据用户识别信息在注册密码数据库中查询注册时存入的注册密码，进而采用预设算法对所述服务器侧存储的动态随机码和所述注册密码进行计算得到用于对所述登录请求密码进行验证的新密码，所述注册密码根据所述用户密码生成。进一步地，本专利技术还提供一种服务器，包括：登录认证请求接收模块，用于接收客户端设备发送的登录认证请求，所述登录认证请求中包含用户识别信息、以及所述客户端设备根据本次请求的登录附加码和用户密码采用预设算法生成的登录请求密码，所述登录附加码包括在所述客户端设备发起所述登录认证请求之前所述服务器为其动态生成并在所述服务器侧有存储的动态随机码；查询模块，用于根据所述用户识别信息在注册密码数据库中查询注册时存入的注册密码，所述注册密码根据所述用户密码生成；计算模块，用于采用所述预设算法对所述服务器侧存储的动态随机码和所述注册密码进行计算得到新密码；验证模块，用于根据所述新密码对所述登录请求密码进行验证。进一步地，所述服务器还包括：随机码发送处理模块，用于在接收客户端设备发送的登录认证请求之前接收所述客户端设备发送的登录页面显示请求并生成动态随机码，将所述动态随机码进行存储，并将所述动态随机码发送给客户端设备以供所述客户端设备生成登录请求密码。进一步地，所述服务器还包括注册模块，用于在接收所述客户端设备发送的登录认证请求之前接收所述客户端设备发送的注册请求并完成注册；所述登录附加码还包括所述在注册过程中生成的固定码；所述注册模块包括：注册处理单元，用于在注册过程中接收所述客户端设备发送的注册页面显示请求并生成固定码，将所述固定码发送给所述客户端设备以供所述客户端设备根据所述固定码和所述用户密码组合生成注册密码。进一步地，所述登录认证请求中还包括动态随机码；所述服务器还包括：第一判断模块，用于将本次接收到所述登录认证请求中的动态随机码与之前至少一个登录认证请求产生的动态随机码进行比较，若存在一致的动态随机码，则将本次登录认证请求视为无效登录认证请求；和/或，第二判断模块，用于从所述登录认证请求中获取所述动态随机码，并获取所述服务器侧存储的动态随机码的有效时间范围，判断所述登录认证请求中的动态随机码当前是否在所述有效时间范围内，如否，将本次登录认证请求视为无效登录认证请求。进一步地，本专利技术提供一种客户端设备，包括：登录请求密码生成模块，用于根据本次请求的登录附加码和用户密码采用预设算法生成登录请求密码；所述登录附加码包括在所述客户端设备发起登录认证请求之前服务器为其动态生成并在所述服务器侧有存储的动态随机码；登录认证请求发送模块，用于发送包含用户识别信息和所述登录请求密码的登录认证请求，以供所述服务器根据用户识别信息在注册密码数据库中查询注册时存入的注册密码，进而采用预设算法对所述服务器侧存储的动态随机码和所述注册密码进行计算得到用于对所述登录请求密码进行验证的新密码，所述注册密码根据所述用户密码生成。有益效果本专利技术提供一种安全登录方法、客户端设备及服务器，服务器通过接收客户端设备发送的登录认证请求，并根据登录认证请求中的用户识别信息在注册密码数据库中查询注册时存入的注册密码，其中，登录认证请求中还包含该客户端设备根据本次请本文档来自技高网...

【技术保护点】
一种安全登录方法，其特征在于，包括：服务器接收客户端设备发送的登录认证请求，所述登录认证请求中包含用户识别信息、以及所述客户端设备根据本次请求的登录附加码和用户密码采用预设算法生成的登录请求密码，所述登录附加码包括在所述客户端设备发起所述登录认证请求之前所述服务器为其动态生成并在所述服务器侧有存储的动态随机码；根据所述用户识别信息在注册密码数据库中查询注册时存入的注册密码，所述注册密码根据所述用户密码生成；采用所述预设算法对所述服务器侧存储的动态随机码和所述注册密码进行计算得到新密码；根据所述新密码对所述登录请求密码进行验证。

【技术特征摘要】
1.一种安全登录方法，其特征在于，包括：服务器接收客户端设备发送的登录认证请求，所述登录认证请求中包含用户识别信息、以及所述客户端设备根据本次请求的登录附加码和用户密码采用预设算法生成的登录请求密码，所述登录附加码包括在所述客户端设备发起所述登录认证请求之前所述服务器为其动态生成并在所述服务器侧有存储的动态随机码；根据所述用户识别信息在注册密码数据库中查询注册时存入的注册密码，所述注册密码根据所述用户密码生成；采用所述预设算法对所述服务器侧存储的动态随机码和所述注册密码进行计算得到新密码；根据所述新密码对所述登录请求密码进行验证。2.如权利要求1所述的安全登录方法，其特征在于，所述接收客户端设备发送的登录认证请求之前，还包括：接收所述客户端设备发送的登录页面显示请求并生成动态随机码，将所述动态随机码进行存储，并将所述动态随机码发送给客户端设备以供所述客户端设备生成登录请求密码。3.如权利要求2所述的安全登录方法，其特征在于，所述接收客户端设备发送的登录认证请求之前，还包括：接收所述客户端设备发送的注册请求并完成注册；所述登录附加码还包括所述在注册过程中生成的固定码；所述注册过程包括：接收所述客户端设备发送的注册页面显示请求并生成固定码；将所述固定码发送给所述客户端设备以供所述客户端设备根据所述固定码和所述用户密码组合生成注册密码。4.如权利要求1-3任一项所述的安全登录方法，其特征在于，所述登录认证请求中还包括动态随机码；所述采用预设算法对服务器侧存储的动态随机码和所述注册密码进行计算得到新密码之前还包括：将本次接收到所述登录认证请求中的动态随机码与之前至少一个登录认证请求产生的动态随机码进行比较，若存在一致的动态随机码，则将本次登录认证请求视为无效登录认证请求；和/或，从所述登录认证请求中获取所述动态随机码，并获取所述服务器侧存储的动态随机码的有效时间范围，判断所述登录认证请求中的动态随机码当前是否在所述有效时间范围内，如否，将本次登录认证请求视为无效登录认证请求。5.一种安全登录方法，其特征在于，包括：客户端设备根据本次请求的登录附加码和用户密码采用预设算法生成登录请求密码；所述登录附加码包括在所述客户端设备发起登录认证请求之前服务器为其动态生成并在所述服务器侧有存储的动态随机码；发送包含用户识别信息和所述登录请求密码的登录认证请求，以供所述服务器根据用户识别信息在注册密码数据库中查询注册时存入的注册密码，进而采用预设算法对所述服务器侧存储的动态随机码和所述注册密码进行计算得到用于对所述登录请求密码进行验证的新密码，所述注册密码根据所述用户密码生成。6.一种服务器，其特征在于，包括：登录认证请求接收模块...

【专利技术属性】
技术研发人员：王杉杉，
申请(专利权)人：努比亚技术有限公司，
类型：发明
国别省市：广东,44