專利名稱:一種安全認證方法和系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及網(wǎng)絡安全技術���,尤其涉及一種對客戶端進行安全認證的方法和系統(tǒng)����。
背景技術:
隨著互聯(lián)網(wǎng)技術的普遍使用��,網(wǎng)絡安全問題已經(jīng)成為困擾網(wǎng)絡發(fā)展的一個重要因素���。網(wǎng)絡安全隱患主要表現(xiàn)在以下三個方面病毒、內(nèi)部用戶的非法操作和網(wǎng)絡外部的黑客 攻擊�。內(nèi)部用戶的非法操作包括惡意和非惡意兩種一種是由于網(wǎng)絡設置的不嚴密性,網(wǎng)絡 內(nèi)部使用者誤入他們本不該進入的領域��,誤改其中的數(shù)據(jù);另一種是有些內(nèi)部用戶利用合 法身份有意對數(shù)據(jù)進行破壞�。黑客攻擊是最可怕的,網(wǎng)絡黑客一旦進入某個網(wǎng)絡��,其造成的 損失無法估量�。對于普通用戶而言,為了安全使用網(wǎng)絡����,對客戶身份的驗證大多集中在介質和密 碼上,這樣對識別是否是客戶本人存在很大的局限性�,一旦介質丟失和/或密碼泄露,網(wǎng)絡 側無法準確地的判斷本次操作的客戶的真實身份�。目前主要問題是安全性過于依賴用戶本 身的網(wǎng)絡知識,對于安全觀念較差的用戶�,其密碼很容易被盜取。黑客有可能通過非法手段 獲得客戶的密碼等信息�,進而使得客戶的私人資料、甚至是一些非常重要的數(shù)據(jù)被竊�����。例如����,比較普遍使用的一種方法是���,服務器端利用session方式維持和客戶端的 狀態(tài),在每個頁面中保存一個session ID�����,如果黑客拿到此session ID�,就能使用客戶當前 會話冒充客戶提交請求(此時系統(tǒng)不會判斷為并發(fā)登錄控制,因為黑客使用的是客戶登錄 的session ID���,而不是新登錄產(chǎn)生的新sessionID)�����,因此客戶在進行網(wǎng)上操作的時候����,存在 很大的風險�����。鑒于目前這種情況���,需要提供一種有效的安全機制��,使得用戶在使用互聯(lián)網(wǎng)時獲 得安全的網(wǎng)絡通信�。
發(fā)明內(nèi)容
(一)要解決的技術問題為了克服現(xiàn)有技術的上述缺陷�����,本發(fā)明提供了一種安全認證系統(tǒng)和方法����,以提高 網(wǎng)絡安全性。( 二 )技術方案本發(fā)明的安全認證系統(tǒng)包括服務器���,用于向客戶端提供服務�����;客戶端����,通過網(wǎng)絡 與服務器連接�,用于從服務器接收服務。該客戶端包括一安全檢測裝置���,用于根據(jù)客戶端的 硬件信息�����,將客戶端與服務器建立綁定關系�,以使服務器在提供服務時唯一識別該客戶端。該安全檢測裝置還包括主控單元�����,與硬件信息處理單元和建立綁定處理單元連接 并調用其功能�����;硬件信息處理單元����,用于采集客戶端硬件相關信息,該信息能用于唯一識別 該客戶端���,并利用所獲取信息生成能唯一識別該客戶端的計算機指紋和計算機標識�����;建立 綁定信息處理單元,對所述計算機指紋�、計算機標識以及從服務器獲取的第一隨機數(shù)進行 加密���,并將密文發(fā)送到所述服務器;檢查綁定信息處理單元�����,用于獲取所述計算機指紋���、計算機標識以及從服務器接收的第二隨機數(shù)�����,利用所述計算機指紋作為對稱加密的密鑰��,對 所述第二隨機數(shù)進行加密����,將加密后的密文和所述計算機標識一并提交給服務器���。所述硬 件相關信息包括CPU的ID�����、主板信息��、硬盤信息或網(wǎng)卡信息�����。上述服務器包括綁定建立單元����,用于當服務器獲取到所述密文之后,對所述密文 進行解密����,獲得一隨機數(shù)、計算機指紋和計算機標識����,如果該隨機數(shù)與服務器產(chǎn)生的所述第 一隨機數(shù)相等,則將所述的計算機指紋和計算機標識登記在所述客戶信息中�,完成客戶端 與服務器之間的綁定關系;檢查綁定單元�,用于利用客戶端上傳的計算機標識,在服務器檢 索客戶端在服務器登記的計算機指紋�,并利用該計算機指紋解密客戶端上傳的密文,得到 一隨機數(shù)�,將此隨機數(shù)與服務器產(chǎn)生的所述第二隨機數(shù)進行比對,如果相等,則檢查綁定通 過�。上述建立綁定信息處理單元利用RSA非對稱算法�,使用公鑰對所述第一隨機數(shù)、 計算機指紋和計算機標識進行加密��。服務器的綁定建立單元利用RSA配對私鑰對提交的密 文進行解密��,獲得所述第一隨機數(shù)�、計算機指紋和計算機標識。本發(fā)明的安全認證方法包括步驟1�����,用戶通過客戶端向服務器提交 綁定建立請 求����;步驟2,服務器向客戶端下載安全檢測裝置以及一生成的第一隨機數(shù)��;步驟3���,所述安全 檢測裝置利用客戶端的硬件信息生成計算機指紋信息以及計算機標識�,并對所述計算機指 紋信息��、計算機標識以及所述第一隨機數(shù)進行加密,將密文上傳到所述服務器�;步驟4,所 述服務器對接收的密文進行解密獲得隨機數(shù)�����,如果該隨機數(shù)與所述第一隨機數(shù)相等��,則登 記所述計算機指紋信息以及計算機標識����,否則返回綁定失敗信息。其中�,當客戶端請求服務器提供服務時,首先提交綁定檢查請求�;服務器向客戶端 下載一第二隨機數(shù),在客戶端����,安全檢測裝置利用計算機指紋作為對稱加密密鑰對所述第 二隨機數(shù)進行加密,將密文和計算機標識發(fā)送到服務器�;服務器利用所述計算機標識檢索 到該客戶端登記在服務器的計算機指紋,并利用該計算機指紋解密所述密文��,得到一隨機 數(shù)����,如果該隨機數(shù)與所述第二隨機數(shù)相等�,則綁定檢查通過�,否則返回綁定檢查失敗信息。(三)有益效果應用本發(fā)明的系統(tǒng)和方法����,用戶利用客戶端設備的硬件信息進行網(wǎng)絡注冊�,在安 全認證過程中同樣使用客戶端設備的硬件信息,使得網(wǎng)絡側服務器可以唯一識別該客戶 端����,從而保證網(wǎng)絡操作的安全性。
圖1為本發(fā)明安全認證系統(tǒng)中安全檢測裝置的結構框圖�����;圖2為本發(fā)明安全認證方法中綁定建立過程的流程圖�����;以及圖3為本發(fā)明安全認證方法中綁定檢查過程的流程圖���。
具體實施例方式為使本發(fā)明的目的��、技術方案和優(yōu)點更加清楚明白��,以下結合例子并參照附圖����,對 本發(fā)明做進一步詳細說明。通常�����,用戶通過PC機���、手機或PDA等客戶端設備�,利用互聯(lián)網(wǎng)或局域網(wǎng)等與服務器 相連���,從而獲得各種服務�����,例如發(fā)送電子郵件�����、訪問數(shù)據(jù)庫�、下載數(shù)據(jù)或在線瀏覽等。但是很多服務需要對用戶進行安全認證����,根據(jù)本發(fā)明的安全認證機制,需要在客戶端設備設置一 安全檢測裝置����,該安全檢測裝置可通過計算機軟件來實現(xiàn)。其實現(xiàn)原理是將特定客戶端與 某一服務器進行綁定����,從而實現(xiàn)服務器在向用戶提供某種服務時�,服務器通過客戶端的硬 件信息來唯一識別該客戶端,以防止網(wǎng)絡黑客盜用用戶密碼而截取信息�。參照圖1,圖1示出了本發(fā)明安全認證系統(tǒng)�,其包括服務器2和客戶端1。服務器 2和客戶端1通過互聯(lián)網(wǎng)����、局域網(wǎng)或廣域網(wǎng)等網(wǎng)絡進行連接。在客戶端1還包括安全檢測 裝置�,該裝置包括主控單元10、硬件信息處理單元11��、建立綁定信息處理單元12、檢查綁定 信息處理單元14和安全控制單元15�����。其中硬件信息處理單元11��、建立綁定信息處理單元 12�、檢查綁定信息處理單元14和安全控制單元15都與主控單元10相連接。主控單元10用于接收來自客戶端的指令�,協(xié)調各功能單元實現(xiàn)客戶端設備的綁 定和檢查綁定功能。硬件信息處理單元11��,用于采集客戶端設備的硬件相關信息���,當客戶端設備是PC 機時���,相關的硬件信息例如是CPU的ID、主板信息��、硬盤信息���、網(wǎng)卡信息等����,這些信息能夠 將任意兩臺機器區(qū)分開來。采集到硬件相關信息之后�,所述硬件信息處理單元11根據(jù)內(nèi)置的計算機指紋生 成算法,將這些信息的組合通過摘要和特定算法生成特定數(shù)字信息��,即計算機指紋��,能唯一 確定對應的計算機�����,同時���,根據(jù)內(nèi)置計算機標識生成算法���,將上述計算機硬件相關信息的部 分信息的組合通過摘要和特定算法生成特定數(shù)字信息����,即計算機標識,也能唯一確定對應 的計算機��。并將生成的計算機指紋和計算機標識傳輸給主控單元10���。建立綁定信息處理單元12�,從主控單元10接收一第一隨機數(shù)、計算機指紋和計算 機標識���。如果安全檢測裝置是通過從服務器下載而獲取��,則所述第一隨機數(shù)可隨安全檢測 裝置一同下載到客戶端��。建立綁定信息處理單元12利用內(nèi)置的RSA非對稱算法��,利用公鑰 對所述第一隨機數(shù)��、計算機指紋和計算機標識進行加密��,其中所述第一隨機數(shù)可以作為一 個混淆因子�。然后將加密后的第一隨機數(shù)�����、計算機指紋和計算機標識返回給主控單元10�����,由 主控單元10提交給服務器��。與客戶端相對應地,在服務器端設置一綁定建立單元21�����,與控制單元20連接并受 其控制��,其中該綁定建立單元21在從客戶端獲取到經(jīng)過加密的第一隨機數(shù)��、計算機指紋和 計算機標識之后���,利用RSA配對私鑰對提交的密文進行解密����,獲得所述第一隨機數(shù)�、計算機 指紋和計算機標識,用該解密出來的隨機數(shù)與服務器產(chǎn)生的第一隨機數(shù)進行比較���,如果相 等���,則將所述的計算機指紋和計算機標識登記在所述客戶信息中����。安全檢測裝置還包括檢查綁定信息處理單元14,用于從主控單元10接收一第二 隨機數(shù)、所述計算機指紋和計算機標識�,所述第二隨機數(shù)是在此安全檢測裝置從服務器下 載到客戶端的時候,由服務器產(chǎn)生��,并跟隨安全檢測裝置一同下載到客戶端的�。檢查綁定信 息處理單元14利用所述計算機指紋作為對稱加密的密鑰,對所述第二隨機數(shù)進行加密�����,將 加密后的密文和所述計算機標識一并返回給主控單元10�����。由主控單元提交給服務器����。與客戶端相對應地,在服務器端設置一檢查綁定單元22���,與控制單元20連接并受 其控制���。該檢查綁定單元22利用客戶端傳送上來的計算機標識,到服務器檢索客戶端在服 務器登記的計算機指紋���,并利用該計算機指紋解密客戶端上送的密文�����,得到一第二隨機數(shù)�, 將此隨機數(shù)與服務器產(chǎn)生的第二隨機數(shù)進行比對,如果相等��,則檢查綁定通過��。
安全檢測裝置還包括安全控制單元15�����,用于控制只能在指定的域名(例如https://www. ***. com. cn/)站點調用此安全檢測裝置�����,不能被其他域名站點或通過IP訪 問的站點所調用����,有效地防止黑客調用此安全檢測裝置,騙取客戶硬件信息��,或獲得一次性 的硬件檢查密文欺騙服務器�����。圖2示出了本發(fā)明安全認證方法中客戶端與服務器之間的綁定建立的流程圖�����,包 括以下步驟����。步驟300 用戶通過客戶端向服務器提交綁定建立請求。其中客戶端可以是PC機�、手機或PDA等設備,客戶端借助互聯(lián)網(wǎng)或局域網(wǎng)等與服 務器建立通信連接�����。用戶可通過輸入域名(例如httpS://WWW.#*. com.cn/)的方式訪問 某個站點服務器�����,在獲取來自該站點的服務之前���,需要預先建立與該站點服務器的綁定關 系����。首先,客戶端向服務器提交綁定建立請求�,例如通過點擊站點網(wǎng)頁上的菜單選項來發(fā)送 該請求。步驟301 站點服務器在接收到來自客戶端的綁定建立請求之后�,下載安全檢測 裝置到客戶端,同時����,由服務器產(chǎn)生一第一隨機數(shù),內(nèi)置于所述安全檢測裝置中���。步驟302 安全檢測裝置下載到客戶端之后�,首先調用安全控制單元15進行安全 判斷�����,例如����,通過判斷所述客戶端是否是指定域名站點(例如httpS://WWW. com. cn/) 或可通過指定IP進行訪問,從而判斷是否允許該客戶端調用����,如果是,進入步驟304��,否則 進入步驟303,綁定失敗�����。步驟303 顯示建立綁定失敗信息給客戶���。步驟304 安全檢測裝置中的硬件信息處理單元11采集客戶端設備的硬件相關信 息,例如CPU的ID�、主板信息、硬盤信息�����、網(wǎng)卡信息等���,這些信息能夠將任意兩臺機器區(qū)分開 來�。采集到硬件相關信息之后�����,安全檢測裝置根據(jù)內(nèi)置的計算機指紋生成算法�,將這些信息 的組合通過摘要和特定算法生成特定數(shù)字信息,即計算機指紋��,能唯一確定對應的計算機, 同時�����,根據(jù)內(nèi)置計算機標識生成算法����,將上述計算機硬件相關信息的部分信息的組合通過 摘要和特定算法生成特定數(shù)字信息,即計算機標識���,也能唯一確定對應的計算機��。之后���,安 全檢測裝置利用內(nèi)置的RSA非對稱算法,利用公鑰對步驟301所述服務器產(chǎn)生的第一隨機 數(shù)�����、以及調用計算機硬件信息處理單元獲得的計算機指紋和計算機標識進行加密��,其中隨 機數(shù)可以作為一個混淆因子����,然后將加密后的密文提交給服務器��。步驟305 服務器利用RSA配對私鑰對步驟304提交上來的密文進行解密��,獲得所 述第一隨機數(shù)�����、計算機指紋和計算機標識,用該解密出來的第一隨機數(shù)與步驟301所述服 務器產(chǎn)生的第一隨機數(shù)進行比對���,如果相等��,則將所述的計算機指紋和計算機標識登記在 所述客戶信息中���,進入步驟306,否則進入步驟303�����。步驟306 返回綁定成功信息給客戶端����。客戶端在與服務器成功綁定之后��,就可接收來自服務器的服務,例如下載數(shù)據(jù)���,在 線瀏覽等��。在建立綁定之后��,客戶端每次訪問該服務器之前�����,都需要檢查綁定����,檢查通過之 后��,方可進行訪問�。圖3是本發(fā)明安全認證方法中綁定檢查的流程圖,包括以下步驟��。步驟400�,客戶端向服務器提交綁定檢查請求。該請求可與服務請求一同提交�����。其中服務請求例如是請求服務器提供數(shù)據(jù)下載,或在線瀏覽等服務��。步驟401����,服務器在接收到綁定檢查請求之后,將安全檢測裝置下載到客戶端��,同 時����,由服務器產(chǎn)生一第二隨機數(shù)�����,內(nèi)置于所述安全檢測裝置中�����。步驟402����,安全檢測裝置下載到客戶端之后,首先調用其中的安全控制單元進行 安全判斷,例如��,通過判斷所述客戶端是否是指定域名站點(例如httpS://WWW. ***. com. cn/)或可通過指定IP進行訪問���,從而判斷是否允許該客戶端調用該安全檢測裝置����,如果 是����,進入步驟404,否則進入步驟403��。步驟403���,向客戶端顯示檢查綁定失敗信息����,并顯示禁止提供服務的信息��。步驟404���,安全檢測裝置利用其中的硬件信息處理單元11獲得的計算機指紋作為 對稱加密密鑰���,對步驟401所述第二隨機數(shù)進行加密�����,將此密文和硬件信息處理單元11獲 得的計算機標識一起提交給服務器����。
步驟405 服務器利用客戶端上傳的計算機標識�����,檢索到客戶端在服務器登記的 計算機指紋�����,并利用該計算機指紋解密客戶端上傳的密文��,得到一隨機數(shù)����,將該隨機數(shù)與步 驟401所述服務器產(chǎn)生的第二隨機數(shù)進行比對���,如果相等����,則綁定檢查通過,進入步驟406����, 否則進入步驟403。步驟406�����,綁定檢查通過��,向客戶端提供相應服務���。通過提供本發(fā)明的安全認證方法和系統(tǒng)��,可以建立客戶端與提供服務的服務器之 間的的綁定關系�,提高客戶抵御網(wǎng)絡欺詐和假網(wǎng)站“釣魚”的能力���,并提高了密碼等信息被 盜竊后的客戶信息的相對安全性�����,是對現(xiàn)行網(wǎng)路安全認證方式的一種非常有效的補充�。該 安全認證方法和系統(tǒng)還能有效控制客戶會話被劫持的風險,即使黑客拿到某個站點每個頁 面中保存的session ID��,也無法從綁定的機器上進行關鍵操作��,從而進一步保證了用戶進 行網(wǎng)絡操作的安全性���。本發(fā)明提供的安全認證方法和系統(tǒng)是一種主動的安全認證模式����,提供客戶建立計 算機終端綁定�,使得客戶只能在所述綁定的計算機終端上完成某些網(wǎng)絡操作,有效防范了 網(wǎng)路密碼泄露這一風險����。本發(fā)明的核心思想是通過網(wǎng)絡服務器在客戶計算機終端部署安 全檢測裝置,搜集計算機硬件指紋(指計算機硬件相關信息����,比如CPU信息、主板信息�、硬 盤信息�、網(wǎng)卡信息的組合通過摘要和特定算法獲取的特定數(shù)字信息,能唯一確定對應計算 機)�����,并將搜集到的計算機硬件指紋信息登記在網(wǎng)絡服務器中,在客戶進行網(wǎng)絡操作的時 候�,核對客戶使用的計算機硬件指紋信息與已經(jīng)登記在網(wǎng)絡服務器中的計算機硬件指紋信 息是否匹配,如果相匹配�,則允許進行網(wǎng)絡操作,否則禁止相關的網(wǎng)絡操作�。以上所述的具體實施例,對本發(fā)明的目的��、技術方案和有益效果進行了進一步詳 細說明�,所應理解的是,以上所述僅為本發(fā)明的具體實施例而已��,并不用于限制本發(fā)明����,凡 在本發(fā)明的精神和原則之內(nèi),所做的任何修改����、等同替換、改進等�����,均應包含在本發(fā)明的保 護范圍之內(nèi)。
權利要求
一種安全認證系統(tǒng)����,該系統(tǒng)包括服務器,用于向客戶端提供服務����;客戶端,通過網(wǎng)絡與服務器連接�,用于從服務器接收服務;其特征在于�,該客戶端包括一安全檢測裝置,該安全檢測裝置包括硬件信息處理單元�����,用于采集客戶端硬件相關信息�����,該信息能用于唯一識別該客戶端����,并利用所獲取信息生成能唯一識別該客戶端的計算機指紋和計算機標識;建立綁定信息處理單元,用于對所述計算機指紋�、計算機標識以及從服務器獲取的第一隨機數(shù)進行加密��,并將密文發(fā)送到所述服務器��;所述服務器進一步包括綁定建立單元�,用于當服務器獲取到所述密文之后,對所述密文進行解密�,獲得一隨機數(shù)、計算機指紋和計算機標識���,如果該隨機數(shù)與服務器產(chǎn)生的所述第一隨機數(shù)相等��,則將所述的計算機指紋和計算機標識登記在所述客戶信息中�����,完成客戶端與服務器之間的綁定關系��。
2.根據(jù)權利要求1所述的系統(tǒng)�����,其中安全檢測裝置進一步包括檢查綁定信息處理單元����,用于獲取所述計算機指紋、計算機標識以及從服務器接收的 第二隨機數(shù)�����,利用所述計算機指紋作為對稱加密的密鑰����,對所述第二隨機數(shù)進行加密,將加 密后的密文和所述計算機標識一并提交給服務器�����。
3.根據(jù)權利要求2所述的系統(tǒng)���,其中服務器進一步包括檢查綁定單元����,用于利用客戶端上傳的計算機標識�,在服務器檢索客戶端在服務器登 記的計算機指紋,并利用該計算機指紋解密客戶端上傳的密文��,得到一隨機數(shù)�,將此隨機數(shù) 與服務器產(chǎn)生的所述第二隨機數(shù)進行比對,如果相等,則檢查綁定通過��。
4.根據(jù)權利要求1所述的系統(tǒng)����,其中安全檢測裝置進一步包括安全控制單元��,用于控 制所述安全檢測裝置只能被指定的域名站點或可通過指定IP進行訪問的站點調用���。
5.根據(jù)權利要求1-4任一項所述的系統(tǒng)��,所述客戶端包括PC�����、移動終端或者PDA�。
6.根據(jù)權利要求1-4任一項所述的系統(tǒng)�,所述硬件信息包括CPU的ID、主板信息�、硬盤 信息或網(wǎng)卡信息。
7.根據(jù)權利要求2-4任一項所述的系統(tǒng)��,建立綁定信息處理單元利用RSA非對稱算法�, 使用公鑰對所述第一隨機數(shù)、計算機指紋和計算機標識進行加密。
8.根據(jù)權利要求7所述的系統(tǒng)�����,服務器的綁定建立單元利用RSA配對私鑰接收的密文 進行解密����,獲得所述第一隨機數(shù)、計算機指紋和計算機標識����。
9.一種安全認證方法,該方法包括以下步驟步驟1���,用戶通過客戶端向服務器提交綁定建立請求�; 步驟2���,服務器向客戶端下載安全檢測裝置以及一生成的第一隨機數(shù)�����; 步驟3���,所述安全檢測裝置利用客戶端的硬件信息生成計算機指紋信息以及計算機標 識�����,并對所述計算機指紋信息�����、計算機標識以及所述第一隨機數(shù)進行加密��,將密文上傳到所 述服務器;步驟4��,所述服務器對接收的密文進行解密以獲得一隨機數(shù)��,如果該隨機數(shù)與所述第一 隨機數(shù)相等�����,則登記所述計算機指紋信息以及計算機標識����,否則返回綁定失敗信息。
10.根據(jù)權利要求9所述的方法���,所述步驟2之后進一步包括判斷所述客戶端是否可調 用所述安全檢測裝置���,如果是���,則執(zhí)行步驟3,如果否�,則返回綁定失敗信息。
11.根據(jù)權利要求10所述的方法�,進一步包括通過判斷所述客戶端是否為指定域名站 點或是否可通過指定IP進行訪問來確定其是否可調用所述安全檢測裝置。
12.根據(jù)權利要求9所述的方法���,其中所述客戶端包括PC�、移動終端或者PDA�����。
13.根據(jù)權利要求10所述的方法����,其中所述客戶端硬件信息包括CPU的ID、主板信息�����、 硬盤信息或網(wǎng)卡信息�����。
14.根據(jù)權利要求9所述的方法,其中所述客戶端利用RSA非對稱算法����,使用公鑰對所 述第一隨機數(shù)、計算機指紋和計算機標識進行加密����。
15.根據(jù)權利要求14所述的方法,其中所述服務器利用RSA配對私鑰對接收的密文進 行解密�����,獲得所述隨機數(shù)���、計算機指紋和計算機標識。
16.根據(jù)權利要求9所述的方法����,其中所述安全檢測裝置包括一安全控制單元,用于控 制所述安全檢測裝置只能被所述服務器調用����,不能被其他域名站點或通過IP訪問的站點 所調用��。
17.根據(jù)權利要求9-16任一項所述的方法���,進一步包括步驟5,當客戶端請求服務器提供服務時��,首先提交綁定檢查請求步驟6��,服務器向客戶端下載一第二隨機數(shù)��,在客戶端安全檢測裝置利用計算機指紋作 為對稱加密密鑰����,對所述第二隨機數(shù)進行加密,將密文和計算機標識發(fā)送到服務器���;步驟7��,服務器利用所述計算機標識檢索到該客戶端登記在服務器的計算機指紋����,并利 用該計算機指紋解密所述密文��,得到一隨機數(shù)�,如果該隨機數(shù)與所述第二隨機數(shù)相等���,則綁 定檢查通過,否則返回綁定檢查失敗信息���。
18.根據(jù)權利要求17所述的方法�,在步驟5之后進一步包括判斷所述客戶端是否可調 用所述安全檢測裝置��,如果是����,則執(zhí)行步驟6,如果否�����,則返回綁定檢查失敗信息�����。
19.根據(jù)權利要求18所述的方法��,進一步包括通過判斷所述客戶端是否為指定域名站 點或是否可通過指定IP進行訪問來確定其是否可調用所述安全檢測裝置��。
全文摘要
本發(fā)明公開了一種安全認證方法和系統(tǒng)��。該方法包括用戶通過客戶端向服務器提交綁定建立請求�;服務器向客戶端下載安全檢測裝置以及一生成的第一隨機數(shù);所述安全檢測裝置利用客戶端的硬件信息生成計算機指紋信息以及計算機標識�,并將加密后的計算機指紋信息、計算機標識以及隨機數(shù)上傳到服務器��;服務器解密密文獲得隨機數(shù)���,如果該隨機數(shù)與第一隨機數(shù)相等�����,則登記所述計算機指紋信息以及計算機標識����,否則返回綁定失敗信息�;在每次服務器向客戶端提供服務時,都要對所述綁定進行檢查����。利用本發(fā)明的技術方案,在安全認證過程中通過使用計算機硬件信息來識別客戶端��,從而確保網(wǎng)絡側唯一識別所述客戶端設備,提高了網(wǎng)絡通信的安全性��。
文檔編號H04L29/06GK101873331SQ20101022727
公開日2010年10月27日 申請日期2010年7月7日 優(yōu)先權日2010年7月7日
發(fā)明者張洋, 彭琳, 潘葛桐, 趙愛新 申請人:中國工商銀行股份有限公司