本发明专利技术公开了一种基于令牌的网页认证登陆方法,包括下列步骤:(1)令牌向客户端应用程序反馈Web应用主页、用户ID信息;(2)客户端应用程序向Web服务器发送用户登录身份认证请求;(3)Web服务器查询数据库,确认用户的存在性、用户当前是否被激活,并将反馈结果返回给所述客户端桌面程序;(4)所述客户端桌面程序将将用户ID、Web应用主页和挑战的应答组织成一个Web地址,客户端应用程序调用浏览器,将前面组织好的地址作为参数发送给浏览器;(5)浏览器访问Web服务器,将用户ID、响应信息发送给Web服务器;(6)所述WEB服务器查询数据库获得浏览器提交的用户ID对应的信息,更新并完成用户身份认证过程。本发明专利技术具有降低风险的技术优点。
【技术实现步骤摘要】
本专利技术涉及一种基于令牌的网络登录方法,主要是为在Web应用中为用户提供强身份认证,降低因传统静态ロ令的弱抗暴力破解、网络劫持等给用户账户安全带来的风险。
技术介绍
目前基于USB的强身份认证产品主要是基于公钥技术(PKI),PKI公钥基础设置通过公开密钥技术和数字证书来确保用户信息的安全及验证证书持有者的身份。但是,PKI在提供强身份认证的同时也因其繁琐的实施过程和维护管理増加着用户的经济成本。 动态ロ令技术是强身份认证的另ー个主要技木,动态ロ令因其抗暴力破解、抗偷看及抗劫持等一系列优点得到越来越广泛的应用。目前,较为常见是的是同时使用PKI技术的基于USB的身份认证产品和动态ロ令双因素(多因素)身份认证产品,根据这些方法和技术,其具有抗偷看、抗劫持和抗暴力破解等技术优点。但是,采取这种方法的话,在实践之中存在着下面所述的缺点 第一,实施与维护成本很高; 第二,由于PKI的证书很少有更新,因此,其在使用超过一定时限安全性会降低,存在着较大的安全隐患; 第三,上述方法,尤其是在Web应用中,其应用方式和作用效果依赖于特定的网络浏览器,并且,其应用平台也比较单ー; 第四,如果采取OTP令牌的话,其会因使用自带电池使用寿命受限制,并且,由于所述OTP令牌没有与PC连接,因此其信息交互形式単一。
技术实现思路
本专利技术针对现有的技术缺点而提出,提供了一种基于令牌的网页登录方法,所述系统能够在Web应用中为用户提供强身份认证,降低因传统静态ロ令的弱抗暴力破解、网络劫持等给用户账户安全带来的风险。本专利技术解决上述技术问题所采取的技术方案如下面所描述 ー种上述登陆系统的登陆方法,包括以下步骤 (1)令牌向客户端应用程序反馈Web应用主页、用户ID信息; (2)客户端应用程序向Web服务器发送用户登录身份认证请求; (3)Web服务器查询数据库,确认用户的存在性、用户当前是否被激活,并将反馈结果返回给所述客户端桌面程序; (4)所述客户端桌面程序将将用户ID、Web应用主页和挑战的应答组织成ー个Web地址,客户端应用程序调用浏览器,将前面组织好的地址作为參数发送给浏览器; (5)浏览器访问Web服务器,将用户ID、响应信息发送给Web服务器;(6)所述WEB服务器查询数据库获得浏览器提交的用户ID对应的信息,更新并完成用户身份认证过程。进ー步地,优选的方法是,在所述令牌之中,应用HMAC-FNV算法将令牌内部存储的用户唯一的密钥信息、令牌从客户端应用程序接收到的挑战信息加密的结果反馈给客户端应用程序。本专利技术在采取了上述技术方案以后,由于采取了 HMAC-FNV算法(FNV改进算法)对数据进行加密,并且,在浏览器、Web服务器及令牌之间添加了客户端桌面程序作为协调组件,屏蔽令牌对特定浏览器的依赖,具有实现范围广、能够在Web应用中为用户提供强身份认证,降低因传统静态ロ令的弱抗暴力破解、网络劫持等给用户账户安全带来的风险的技术优点,具有较好的技术效果。附图说明下面结合附图对本专利技术进行详细的描述,以使得本专利技术的上述优点更加明确。 图I是本专利技术基于令牌的网络登陆方法所采用的系统的框架示意图。图2是本专利技术基于令牌的网络登陆方法的流程图。具体实施例方式下面结合附图和具体实施例来对本专利技术进行详细的描述。图I是本专利技术基于令牌的网络登陆方法所采用的系统的框架示意图。如图所示,基于令牌的网络登陆方法所采用的系统,主要由下列组件构成WEB浏览器;令牌,所述令牌用于存储用户的认证信息以及各种密码信息; WEB服务器和数据库,并且,所述WEB服务器的根目录设置有所述数据库的脚本,所述WEB服务器与所述数据库连接在一起;以及,客户端桌面程序,所述客户端桌面程序读取令牌中的用户信息并完成用户的认证过程,之后将用户的访问请求发送给WEB服务器,所述WEB服务器查询数据库,从而实现用户的网页认证登陆过程。其中,所述客户端桌面程序起到了ー个交互界面的作用,并且,其内部设置有多个功能単元,并且,设置在浏览器和WEB服务器以及令牌之间,起到了一个信息协调功能层的作用,进而屏蔽了对特定浏览器的依赖,具有比较好的访问技术效果。并且,所述WEB浏览器连接所述客户端桌面程序,并且,所述客户端应用程序将用户ID、Web应用主页和挑战的应答组织成ー个Web地址,并将所述地址作为參数发送到所述WEB浏览器之中。同吋,所述令牌内部采取HMAC-FNV算法或者其他任意哈希算法加密处理,这样的话,能够获得较好的加密效果。一般地,所述令牌中保存有每个用户特有的一段机密信息、用户ID、用户PIN码摘要、欲保护Web主页地址,并且,在所述令牌中实现了用于PIN码比对使用的MD5哈希算法(Hash)和用于产生认证响应的HMAC-FNV算法(FNV改进算法)。所述的HMAC-FNV算法具体描述如下 其中,各个符号的代表含义如下 Si 加密结果影响因素s2 加密内容 ret中间结果 算法本体部分 FNVINIT FNV算法使用的初始化常数(0x811c9dc5) Truncate截断运算符 Skey用户密钥 schalIenge服务器的挑战信息 算法定义HMAC-FNV = truncate (FNV(sl, FNV(s2, FNVINIT)))Stepl: ret=FNV(s2, FNVINIT) Step2: ret=FNV(sl, ret)Step3: ret=truncate (ret) Step4:返回结果ret 此外,在所述客户端桌面程序之中还设置有对服务器访问的身份认证模块,所述身份认证模块在发送登录请求的同时发送ー个对Web服务器的挑战信息。通过HTTP协议和USB设备实现挑战应答机制,为Web应用提供强身份认证保护效果。首先,利用产品发行包帯的sql (数据库操作语言)脚本在欲保护的Web服务器使用的数据库服务上创建TokenLite Web Authentication System使用的数据库;接着,将产品发行包中服务端脚页拷贝至Web应用目录中;其次,配置服务端脚本使用的数据库信息(数据库名称、数据库服务器地址、用于连接数据库的用户名、登录数据库的密码);接着,利用令牌初始化工具(TokenLite Init Tool)为用户初始化令牌(初始化令牌中用户ID、用户密钥、Web主页、用户PIN码);接着,为用户发放令牌和客户端桌面应用程序(TokenLite Daemon Tool);最后,用户只需要通过将令牌通过USB与运行客户端桌面应用程序的计算链接输入正确的用户PIN码,便可登录到Web应用,将令牌从计算机移除退出Web应用。下面我们结合图I和图2对本专利技术所述的登陆方法进行详细的描述。如图所示,所述方法包括如下的步骤 步骤I :用户将令牌通过USB与计算机链接; 步骤2 :客户端桌面程序向用户显示要求用户输入用户PIN的界面; 步骤3 :用户输入正确的用户PIN码;其中,被设置成如果用户输入错误的PIN码会有错误提示,连续3次输入错误用户PIN码进一歩的操作将被拒绝; 步骤4 :客户端桌面程序将用户PIN码反馈后发送给令牌; 步骤5 :令牌在内部完成用户PIN码的验证,向客户端桌面程序返回用户本文档来自技高网...
【技术保护点】
一种基于令牌的网页认证登陆方法,包括下列步骤:(1)令牌向客户端应用程序反馈Web应用主页、用户ID信息;(2)客户端应用程序向Web服务器发送用户登录身份认证请求;(3)Web服务器查询数据库,确认用户的存在性、用户当前是否被激活,并将反馈结果返回给所述客户端桌面程序;(4)所述客户端桌面程序将将用户ID、Web应用主页和挑战的应答组织成一个Web地址,客户端应用程序调用浏览器,将前面组织好的地址作为参数发送给浏览器;(5)浏览器访问Web服务器,将用户ID、响应信息发送给Web服务器;(6)所述WEB服务器查询数据库获得浏览器提交的用户ID对应的信息,更新并完成用户身份认证过程。
【技术特征摘要】
1.一种基于令牌的网页认证登陆方法,包括下列步骤 (1)令牌向客户端应用程序反馈Web应用主页、用户ID信息; (2)客户端应用程序向Web服务器发送用户登录身份认证请求; (3)Web服务器查询数据库,确认用户的存在性、用户当前是否被激活,并将反馈结果返回给所述客户端桌面程序; (4)所述客户端桌面程序将将用户ID、Web应用主页和挑战的应答组织成一个Web地址,客户端应用程序调用浏览器,将前面组织好的地址作为参数发送给浏览器; (5)浏览器访问Web服务器,将用户ID、响应信息发送给Web服务器; (6)所述WEB...
【专利技术属性】
技术研发人员:邹芬,
申请(专利权)人:赛酷特北京信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。