The invention discloses a secure login method, client device and server, server by sending and receiving client device login authentication request, and according to the identification information stored in the user login authentication request query registered in the register password in the database when the login password, login authentication request contains the client device according to the request for additional log code and user password request password using preset algorithm to generate additional code including login, login login authentication request server initiated the dynamically generated and stored in the server side dynamic random code in the client device, according to the user registration password password generation; and then use the default algorithm on the server side storage dynamic random code and registration the password can be calculated according to the new password, new password on the login request from the password verification. While avoiding login process replay attack, this program combines dynamic random code on the basis of user password, to a certain extent, to prevent brute force attacks.
【技术实现步骤摘要】
一种安全登录方法、客户端设备及服务器
本专利技术涉及网络安全
,更具体地说,涉及一种安全登录方法、客户端设备及服务器。
技术介绍
一个完整的web(WorldWideWeb,全球广域网)系统往往需要用户登录操作,而安全登录是大部分用户访问互联网、使用互联网服务的关键步骤,系统中维护了用户众多的私密信息,例如手机号、身份证号码、家庭住址、银行卡信息等等,如果用户登录的安全性不能保证,这些信息遭到窃取,这将会给系统用户造成巨大的损失,所以,系统安全对一个合格系统而言至关重要,一套合理的安全登录方式更是重中之重。由于系统对密码复杂度要求不高时,该系统下的密码很容易就能被暴力破解,所以为了解决这个问题有的系统会要求用户设置非常复杂的登录密码,例如数字+字母+特殊字符并且总长度大于10位,来防止入侵,更有甚者为了防止暴力破解用户密码往往加上验证码的功能,这虽然在一定程度上能防止一部分非法入侵,但是这样用户的体验效果并不好,用户每次都需要输入复杂的密码或者输入验证码进行身份认证,操作十分不便;然而不管是上述哪一种情况,不论密码是否复杂都不能防止接口重放攻击,所谓接口重放攻击是指攻击者发送一个目的主机已经接收过的包,特别是在认证过程中用于认证用户身份所接收的包,来达到欺骗系统的目的,所以即使系统加上了验证码的功能,入侵者只要在验证码有效期内拦截登录请求依旧可以很轻松地就入侵到系统中,因此如何防止系统登录过程中的重放攻击以及在保证用户体验效果的同时防止暴力破解成为了亟待解决的重要问题。
技术实现思路
本专利技术要解决的技术问题在于:现有系统登录方式中的登录请求密码固定, ...
【技术保护点】
一种安全登录方法,其特征在于,包括:服务器接收客户端设备发送的登录认证请求,所述登录认证请求中包含用户识别信息、以及所述客户端设备根据本次请求的登录附加码和用户密码采用预设算法生成的登录请求密码,所述登录附加码包括在所述客户端设备发起所述登录认证请求之前所述服务器为其动态生成并在所述服务器侧有存储的动态随机码;根据所述用户识别信息在注册密码数据库中查询注册时存入的注册密码,所述注册密码根据所述用户密码生成;采用所述预设算法对所述服务器侧存储的动态随机码和所述注册密码进行计算得到新密码;根据所述新密码对所述登录请求密码进行验证。
【技术特征摘要】
1.一种安全登录方法,其特征在于,包括:服务器接收客户端设备发送的登录认证请求,所述登录认证请求中包含用户识别信息、以及所述客户端设备根据本次请求的登录附加码和用户密码采用预设算法生成的登录请求密码,所述登录附加码包括在所述客户端设备发起所述登录认证请求之前所述服务器为其动态生成并在所述服务器侧有存储的动态随机码;根据所述用户识别信息在注册密码数据库中查询注册时存入的注册密码,所述注册密码根据所述用户密码生成;采用所述预设算法对所述服务器侧存储的动态随机码和所述注册密码进行计算得到新密码;根据所述新密码对所述登录请求密码进行验证。2.如权利要求1所述的安全登录方法,其特征在于,所述接收客户端设备发送的登录认证请求之前,还包括:接收所述客户端设备发送的登录页面显示请求并生成动态随机码,将所述动态随机码进行存储,并将所述动态随机码发送给客户端设备以供所述客户端设备生成登录请求密码。3.如权利要求2所述的安全登录方法,其特征在于,所述接收客户端设备发送的登录认证请求之前,还包括:接收所述客户端设备发送的注册请求并完成注册;所述登录附加码还包括所述在注册过程中生成的固定码;所述注册过程包括:接收所述客户端设备发送的注册页面显示请求并生成固定码;将所述固定码发送给所述客户端设备以供所述客户端设备根据所述固定码和所述用户密码组合生成注册密码。4.如权利要求1-3任一项所述的安全登录方法,其特征在于,所述登录认证请求中还包括动态随机码;所述采用预设算法对服务器侧存储的动态随机码和所述注册密码进行计算得到新密码之前还包括:将本次接收到所述登录认证请求中的动态随机码与之前至少一个登录认证请求产生的动态随机码进行比较,若存在一致的动态随机码,则将本次登录认证请求视为无效登录认证请求;和/或,从所述登录认证请求中获取所述动态随机码,并获取所述服务器侧存储的动态随机码的有效时间范围,判断所述登录认证请求中的动态随机码当前是否在所述有效时间范围内,如否,将本次登录认证请求视为无效登录认证请求。5.一种安全登录方法,其特征在于,包括:客户端设备根据本次请求的登录附加码和用户密码采用预设算法生成登录请求密码;所述登录附加码包括在所述客户端设备发起登录认证请求之前服务器为其动态生成并在所述服务器侧有存储的动态随机码;发送包含用户识别信息和所述登录请求密码的登录认证请求,以供所述服务器根据用户识别信息在注册密码数据库中查询注册时存入的注册密码,进而采用预设算法对所述服务器侧存储的动态随机码和所述注册密码进行计算得到用于对所述登录请求密码进行验证的新密码,所述注册密码根据所述用户密码生成。6.一种服务器,其特征在于,包括:登录认证请求接收模块...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。