网页的安全认证方法及装置制造方法及图纸
Method and device for secure authentication of web pages
The present invention provides safety authentication method and apparatus for a web page, the method comprises: according to service request transmitted by the user terminal generates a random number; random number will be sent to the user terminal, the user terminal of the random number, server address, user input password hash encryption, get the target information to determine the target information; the user name and user input is in accordance with the certification business conditions; if the business conditions through certification, the certification service request. Security authentication method of the invention \in the hash encryption, the random number, server address and password hash encryption, because of the random number, the encrypted object different every time, each time the target information encryption is different, so, the target information is more security in the transmission process, can to prevent replay attacks effectively, improves the safety of Web authentication, ease the web authentication security of traditional difference, technical problems of replay attack risks.
【技术实现步骤摘要】
网页的安全认证方法及装置
本专利技术涉及安全认证的
,尤其是涉及一种网页的安全认证方法及装置。
技术介绍
以往的网页认证(比如,网页登录)基本上只是以表单的形式设计一个页面,客户端访问登录页面,该页面要求用户填写相应的用户名和密码,然后按下“确定”或“登录”按钮,将所填写信息提交到服务器端,与数据库中已保存的用户注册信息进行比对,确定是否允许登录。这种登录方式,在用户身份验证过程中,由于网页系统登录信息是在信道上使用明文或接近明文的方式传送用户名和口令,容易被截获分析或破解,所以安全性不高。传统的身份认证通常采用静态口令,容易被截获分析或破解。为解决静态口令安全性问题,曾出现了动态口令技术,即一次一密的认证方式,在用户每次的登录信息中加入动态变化的因素,使每次在网络中传输的信息都不相同,从而提高登录过程的安全性。为了实现动态登录,一般需要额外设备的支持,如口令卡、智能卡、手机等。使用额外设备,用户携带不便,而且有的还需要支付额外的硬件成本,当前环境难以推广。当前普遍的做法是,保存口令的HASH值,比如利用MD5或者AES对口令(此时还是明文状态)进行加密,得...
【技术保护点】
一种网页的安全认证方法,其特征在于,应用于服务器,所述方法包括:根据用户终端发送的业务请求生成随机数,其中,所述业务请求包括以下任一种:登录请求,注册请求,所述业务请求中包含请求业务的服务器地址;将所述随机数发送至所述用户终端,以使所述用户终端对所述随机数、所述服务器地址、用户输入的口令进行哈希加密,得到目标信息;判断所述目标信息和所述用户输入的用户名是否符合业务认证条件,其中,所述业务认证条件包括:登录认证条件,注册认证条件;如果符合所述业务认证条件,则通过所述业务请求的认证。
【技术特征摘要】
1.一种网页的安全认证方法,其特征在于,应用于服务器,所述方法包括:根据用户终端发送的业务请求生成随机数,其中,所述业务请求包括以下任一种:登录请求,注册请求,所述业务请求中包含请求业务的服务器地址;将所述随机数发送至所述用户终端,以使所述用户终端对所述随机数、所述服务器地址、用户输入的口令进行哈希加密,得到目标信息;判断所述目标信息和所述用户输入的用户名是否符合业务认证条件,其中,所述业务认证条件包括:登录认证条件,注册认证条件;如果符合所述业务认证条件,则通过所述业务请求的认证。2.根据权利要求1所述的方法,其特征在于,所述目标信息包括:第一哈希值,第二哈希值;所述第一哈希值为所述用户终端根据所述随机数和所述服务器地址计算得到的哈希值;所述第二哈希值为所述用户终端根据所述口令计算得到的哈希值。3.根据权利要求2所述的方法,其特征在于,当所述业务请求为所述登录请求时,判断所述目标信息和所述用户输入的用户名是否符合业务认证条件包括:根据所述随机数和所述服务器地址计算得到第三哈希值;如果所述第三哈希值与所述第一哈希值相同,则根据所述用户名在数据库中查询得到与所述用户名相对应的存储密码;利用AES对称加密算法对所述第二哈希值进行加密运算,得到加密后的第二哈希值,其中,所述AES对称加密算法中使用的密钥包含静态密钥和动态密钥,所述动态密钥为与所述随机数不同的随机数;如果所述存储密码与所述加密后的第二哈希值相同,则确定符合所述登录认证条件,其中,在符合所述登录认证条件的情况下,通过所述登录请求的认证。4.根据权利要求3所述的方法,其特征在于,所述方法还包括:如果所述第三哈希值与所述第一哈希值不同,则确定不符合所述登录认证条件,其中,在不符合所述登录认证条件的情况下,所述登录请求的认证失败。5.根据权利要求3所述的方法,其特征在于,所述方法还包括:如果所述数据库中不存在与所述用户名相对应的存储密码,则确定不符合所述登录认证条件,其中,在不符合...
【专利技术属性】
技术研发人员:蒋蔡军,范渊,黄进,
申请(专利权)人:杭州安恒信息技术有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。