The present invention relates to a secure authentication method and system based on HTTP protocol. The method uses form authentication method under Http protocol, uses highly customized, non-standard and irreversible cryptographic algorithm library to randomly select the encryption algorithm in the cryptographic algorithm library to irreversibly encrypt user's password in combination with the unique random code generated by the client each time visiting the server. The encryption method is non-reversible. Standardized and highly customized, it realizes a secure authentication mechanism, avoids various attacks of basic authentication and digest authentication, and can effectively prevent password cracking and replaying authentication.
【技术实现步骤摘要】
一种基于HTTP协议的安全认证方法及系统
本专利技术涉及安全认证方法领域,尤其涉及一种基于HTTP协议的安全认证方法及系统。
技术介绍
在一些特殊场合下需要使用Http协议实现安全登录验证,目前基于Http协议下的认证方式有基本认证和摘要认证,基本认证方式传输的密码非常容易被破解,即使密码经过加密也无法防止重放认证,而摘要认证已经出现了许多攻击方法,特别是针对Web应用服务器漏洞进行的摘要认证攻击。故目前使用Http协议进行安全认证的方法,其安全性无法保证。
技术实现思路
本专利技术为了解决上述技术问题提供一种基于HTTP协议的安全认证方法。本专利技术解决上述技术问题的技术方案如下:一种基于HTTP协议的安全认证方法,包括:步骤1,接收客户端发送的http协议请求,根据所述http协议请求生成session和认证页面。步骤2,从预设置的密码算法列表中随机选择一个密码算法,使用动态混淆器将所述密码算法打乱,得到打乱后的密码算法,并将所述打乱后的密码算法保存至所述session中;再获取唯一随机码,并将所述唯一随机码保存至所述session中。步骤3,将所述打乱后的密码算法、所述唯一随机码以及所述认证页面发送至所述客户端;所述认证页面用于接收用户输入的用户名和第一用户密码,所述打乱后的密码算法和所述唯一随机码用于对所述第一用户密码进行加密以得到第一加密密码。步骤4,根据从所述客户端接收的所述用户名从Web应用服务器的数据库中取出第二用户密码,并通过所述session中的所述打乱后的密码算法和所述唯一随机码对所述第二用户密码进行加密,得到第二加密密码;步骤5,验证所 ...
【技术保护点】
1.一种基于HTTP协议的安全认证方法,其特征在于,包括:步骤1,接收客户端发送的http协议请求,根据所述http协议请求生成session和认证页面;步骤2,从预设置的密码算法列表中随机选择一个密码算法,使用动态混淆器将所述密码算法打乱,得到打乱后的密码算法,并将所述打乱后的密码算法保存至所述session中;再获取唯一随机码,并将所述唯一随机码保存至所述session中;步骤3,将所述打乱后的密码算法、所述唯一随机码以及所述认证页面发送至所述客户端;所述认证页面用于接收用户输入的用户名和第一用户密码,所述打乱后的密码算法和所述唯一随机码用于对所述第一用户密码进行加密以得到第一加密密码;步骤4,根据从所述客户端接收的所述用户名从Web应用服务器的数据库中取出第二用户密码,并通过所述session中的所述打乱后的密码算法和所述唯一随机码对所述第二用户密码进行加密,得到第二加密密码;步骤5,验证所述第一加密密码和所述第二加密密码是否一致,若一致,则验证通过;若不一致,则验证失败。
【技术特征摘要】
1.一种基于HTTP协议的安全认证方法,其特征在于,包括:步骤1,接收客户端发送的http协议请求,根据所述http协议请求生成session和认证页面;步骤2,从预设置的密码算法列表中随机选择一个密码算法,使用动态混淆器将所述密码算法打乱,得到打乱后的密码算法,并将所述打乱后的密码算法保存至所述session中;再获取唯一随机码,并将所述唯一随机码保存至所述session中;步骤3,将所述打乱后的密码算法、所述唯一随机码以及所述认证页面发送至所述客户端;所述认证页面用于接收用户输入的用户名和第一用户密码,所述打乱后的密码算法和所述唯一随机码用于对所述第一用户密码进行加密以得到第一加密密码;步骤4,根据从所述客户端接收的所述用户名从Web应用服务器的数据库中取出第二用户密码,并通过所述session中的所述打乱后的密码算法和所述唯一随机码对所述第二用户密码进行加密,得到第二加密密码;步骤5,验证所述第一加密密码和所述第二加密密码是否一致,若一致,则验证通过;若不一致,则验证失败。2.根据权利要求1所述的基于HTTP协议的安全认证方法,其特征在于,所述步骤3具体包括:步骤3.1,将所述打乱后的密码算法、所述唯一随机码以及所述认证页面发送至所述客户端,其中,所述认证页面用于接收用户输入的用户名和第一用户密码;步骤3.2,将所述第一用户密码和所述唯一随机码通过预设的混合方式进行混合,得到混合数据;步骤3.3,通过所述打乱的密码算法对所述混合数据进行加密,得到所述第一加密密码。3.根据权利要求2所述的基于HTTP协议的安全认证方法,其特征在于,所述混合方式包括直接拼接、相加、相交替和转换中的一种或多种。4.根据权利要求1所述的基于HTTP协议的安全认证方法,其特征在于,还包括:步骤6,在验证完成后,删除所述session中的所述打乱后的密码算法和所述唯一随机码。5.根据权利要求1-4任一项所述的基于HTTP协议的安全认证方法,其特征在于,所述密码算法列表包括MD5、SHA1、SHA256和SM3。6.一种基于HTTP协议的安全认...
【专利技术属性】
技术研发人员:曾日金,李庭,汤红燕,徐红娟,王德琦,王勋绩,
申请(专利权)人:桂林长海发展有限责任公司,
类型:发明
国别省市:广西,45
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。