一種web應(yīng)用的登錄認(rèn)證方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開(kāi)一種web應(yīng)用的登錄認(rèn)證方法，包括：收到用戶的登錄請(qǐng)求后，瀏覽器利用web服務(wù)器提供的兩個(gè)隨機(jī)數(shù)得到認(rèn)證信息，并將所述認(rèn)證信息發(fā)送給web服務(wù)器；web服務(wù)器根據(jù)保存的用戶信息和收到的認(rèn)證信息，進(jìn)行登錄認(rèn)證；本發(fā)明還提供一種web應(yīng)用的登錄認(rèn)證系統(tǒng)。根據(jù)本發(fā)明的技術(shù)方案，能夠防止數(shù)據(jù)篡改、竊聽(tīng)攻擊、小數(shù)攻擊、字典攻擊、重放攻擊和拒絕服務(wù)攻擊。
【專利說(shuō)明】一種web應(yīng)用的登錄認(rèn)證方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及互聯(lián)網(wǎng)技術(shù)，尤其涉及一種web應(yīng)用的登錄認(rèn)證方法及系統(tǒng)。
【背景技術(shù)】
[0002]隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，web應(yīng)用不斷普及，實(shí)現(xiàn)基于web應(yīng)用的登錄認(rèn)證時(shí)，用戶信息的安全性變得越來(lái)越重要。傳統(tǒng)的web應(yīng)用的登錄認(rèn)證，是將用戶輸入的身份信息和密碼傳到web服務(wù)器，通過(guò)與web服務(wù)器存儲(chǔ)的數(shù)據(jù)進(jìn)行比對(duì)，來(lái)確認(rèn)用戶身份的合法性。
[0003]目前這種web應(yīng)用的登錄認(rèn)證方法存在致命的缺陷，身份信息和密碼容易被竊取，從而招致攻擊者的重放攻擊。針對(duì)這種缺陷，現(xiàn)有技術(shù)中，存在以下幾種解決方案:
[0004]第一種，采用基于證書(shū)的數(shù)字簽名認(rèn)證技術(shù)保護(hù)用戶信息，雖然安全性較高，但必須以完善的公用證書(shū)系統(tǒng)為基礎(chǔ)，因此技術(shù)實(shí)現(xiàn)較復(fù)雜，成本較高，僅適用于大型的網(wǎng)絡(luò)應(yīng)用系統(tǒng)。
[0005]第二種，是采用傳統(tǒng)的動(dòng)態(tài)口令(OTP, One-Time Password)機(jī)制在登錄認(rèn)證過(guò)程中加入不確定因素，使用戶每次登錄時(shí)傳送的密碼都不同，從而提高用戶信息的安全性。但是現(xiàn)有的一次性密碼機(jī)制越來(lái)越多地暴露出易被猜測(cè)、被篡改和被分析等脆弱性。例如，挑戰(zhàn)/響應(yīng)機(jī)制中，密碼以某種形式靜態(tài)存儲(chǔ)在服務(wù)器，容易被分析；用戶登錄認(rèn)證時(shí)需要利用安全套接層(SSL, Secure Sockets Layer)等額外保護(hù)措施,而SSL需要花費(fèi)較高的費(fèi)用去購(gòu)買，給用戶帶來(lái)經(jīng)濟(jì)負(fù)擔(dān)，同時(shí)影響系統(tǒng)認(rèn)證處理性能。
[0006]第三種，是采用口令序列機(jī)制，這種方法容易受到小數(shù)攻擊。由于這種機(jī)制中，機(jī)制種子值和迭代值都是以明文傳輸，攻擊者利用假冒服務(wù)器可以竊聽(tīng)這2個(gè)值，將竊到的迭代值修改為較小的值發(fā)送給用戶，用戶使用攻擊者發(fā)來(lái)的種子值和較小迭代值計(jì)算出動(dòng)態(tài)口令傳送給服務(wù)器。此時(shí)，攻擊者截獲這個(gè)動(dòng)態(tài)口令，并使用已知哈希算法依次計(jì)算較大迭代值的動(dòng)態(tài)口令，從而獲得用戶后繼的一系列口令。另外，這種機(jī)制瀏覽器側(cè)需要多次計(jì)算hash值,計(jì)算量較大。

【發(fā)明內(nèi)容】

[0007]有鑒于此，本發(fā)明的主要目的在于提供一種web應(yīng)用的登錄認(rèn)證方法及系統(tǒng)，能夠防止數(shù)據(jù)篡改、竊聽(tīng)攻擊、小數(shù)攻擊、字典攻擊、重放攻擊和拒絕服務(wù)攻擊。
[0008]為達(dá)到上述目的，本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的:
[0009]本發(fā)明提供一種web應(yīng)用的登錄認(rèn)證系統(tǒng)，包括:瀏覽器、web服務(wù)器；其中，
[0010]瀏覽器，用于收到用戶的登錄請(qǐng)求后，利用web服務(wù)器提供的兩個(gè)隨機(jī)數(shù)得到認(rèn)證信息，并將所述認(rèn)證信息發(fā)送給web服務(wù)器；
[0011]web服務(wù)器，用于根據(jù)保存的用戶信息和收到的認(rèn)證信息，進(jìn)行登錄認(rèn)證。
[0012]上述系統(tǒng)中，該系統(tǒng)還包括:用戶身份數(shù)據(jù)庫(kù)；其中，
[0013]所述瀏覽器，還用于利用web服務(wù)器提供的兩個(gè)隨機(jī)數(shù)得到認(rèn)證信息之前，接收用戶注冊(cè)web應(yīng)用的請(qǐng)求，將注冊(cè)時(shí)的用戶數(shù)據(jù)發(fā)送給web服務(wù)器；
[0014]所述web服務(wù)器，還用于利用隨機(jī)數(shù)對(duì)收到的用戶數(shù)據(jù)進(jìn)行初始化；
[0015]所述用戶身份數(shù)據(jù)庫(kù)，用于保存初始化后得到的用戶信息。
[0016]上述系統(tǒng)中，
[0017]所述web服務(wù)器，還用于更新用戶身份數(shù)據(jù)庫(kù)中原先保存的用戶信息。
[0018]本發(fā)明還提供一種web應(yīng)用的登錄認(rèn)證方法，包括:
[0019]收到用戶的登錄請(qǐng)求后，瀏覽器利用web服務(wù)器提供的兩個(gè)隨機(jī)數(shù)得到認(rèn)證信息，并將所述認(rèn)證信息發(fā)送給web服務(wù)器；
[0020]web服務(wù)器根據(jù)保存的用戶信息和收到的認(rèn)證信息，進(jìn)行登錄認(rèn)證。
[0021]上述方法中，所述瀏覽器利用web服務(wù)器提供的兩個(gè)隨機(jī)數(shù)得到認(rèn)證信息之前，該方法還包括:
[0022]瀏覽器接收用戶注冊(cè)web應(yīng)用的請(qǐng)求，將注冊(cè)時(shí)的用戶數(shù)據(jù)發(fā)送給web服務(wù)器；
[0023]web服務(wù)器利用隨機(jī)數(shù)對(duì)收到的用戶數(shù)據(jù)進(jìn)行初始化，并保存初始化后得到的用
戶信息。
[0024]上述方法中，所述用戶數(shù)據(jù)至少包括用戶身份標(biāo)識(shí)UID和初始密碼P。
[0025]上述方法中，所述web服務(wù)器利用隨機(jī)數(shù)對(duì)收到的用戶數(shù)據(jù)進(jìn)行初始化，并保存初始化后得到的用戶信息為:
[0026]利用公式H_UID = SHAl (UID+key)，計(jì)算虛擬賬號(hào)H_UID ;其中，SHAl表示利用哈希算法計(jì)算虛擬賬號(hào)H_UID ；key為web服務(wù)器存儲(chǔ)的總密鑰；
[0027]利用公式H_PWD = SHAl (SHA1 (UID+R1+P))計(jì)算虛擬密碼 H_PWD ;其中，Rl 為 web服務(wù)器隨機(jī)產(chǎn)生的隨機(jī)數(shù)；
[0028]將初始化處理后得到的用戶信息發(fā)送給用戶身份數(shù)據(jù)庫(kù)進(jìn)行保存；所述用戶信息包括用戶身份標(biāo)識(shí)WD、虛擬賬號(hào)H_UID、隨機(jī)數(shù)R1、虛擬密碼H_PWD。
[0029]上述方法中，所述瀏覽器利用web服務(wù)器提供的兩個(gè)隨機(jī)數(shù)得到認(rèn)證信息為:
[0030]瀏覽器向web服務(wù)器請(qǐng)求web URL登錄頁(yè)面，web服務(wù)器將生成的隨機(jī)數(shù)R、總密鑰key與web URL登錄頁(yè)面發(fā)送給瀏覽器；
[0031]瀏覽器根據(jù)用戶輸入的用戶身份標(biāo)識(shí)WD和收到的總密鑰key，利用公SH_UID =SHAl (UID+key)計(jì)算虛擬賬號(hào)H_UID，并將計(jì)算出的虛擬賬號(hào)H_UID發(fā)送給web服務(wù)器；web服務(wù)器根據(jù)收到的虛擬賬號(hào)H_UID，從用戶身份數(shù)據(jù)庫(kù)獲取與所述虛擬賬號(hào)H_UID對(duì)應(yīng)的隨機(jī)數(shù)R1，將所述隨機(jī)數(shù)Rl返回給瀏覽器；
[0032]瀏覽器根據(jù)用戶輸入的初始密碼、隨機(jī)數(shù)R、隨機(jī)數(shù)Rl以及用戶身份標(biāo)識(shí)WD，利用公式 hi = SHAl (UID+R1+P)、h2 = SHAl (SHA1 (UID+R+P))、h3 = SHAl (hl+R+h2)，計(jì)算認(rèn)證信息；所述認(rèn)證信息包括虛擬密碼h1、虛擬密碼h2和校驗(yàn)碼h3。
[0033]上述方法中，所述web服務(wù)器根據(jù)保存的用戶信息和收到的認(rèn)證信息，進(jìn)行登錄認(rèn)證為:
[0034]web服務(wù)器根據(jù)收到的認(rèn)證信息中的虛擬密碼h1、虛擬密碼h2以及先前產(chǎn)生的隨機(jī)數(shù)R，利用公式h3 = SHAl (hl+R+h2)計(jì)算校驗(yàn)碼h3,將計(jì)算出的h3與認(rèn)證信息中的校驗(yàn)碼h3進(jìn)行比對(duì)，計(jì)算出的校驗(yàn)碼h3與收到的認(rèn)證信息中的校驗(yàn)碼h3相同時(shí)，完整性的認(rèn)證成功；[0035]完整性的認(rèn)證成功后，從用戶身份數(shù)據(jù)庫(kù)中獲取用戶信息，再根據(jù)虛擬密碼hl，利用公式H_PWD = SHAl (hi)計(jì)算虛擬密碼H_PWD，計(jì)算出的虛擬密碼H_PWD與獲取的用戶信息中的虛擬密HH_PWD相同時(shí)，登錄認(rèn)證成功，向?yàn)g覽器返回登錄認(rèn)證成功的響應(yīng)。
[0036]上述方法中，該方法還包括:web服務(wù)器更新原先保存的用戶信息。
[0037]上述方法中，所述web服務(wù)器更新原先保存的用戶信息為:
[0038]登錄認(rèn)證成功后，web服務(wù)器刷新用戶身份數(shù)據(jù)庫(kù)中原先保存的用戶信息，用隨機(jī)數(shù)R和虛擬密碼h2分別替換用戶身份數(shù)據(jù)庫(kù)中原先保存的用戶信息中的隨機(jī)數(shù)Rl和虛擬密碼H_PWD。
[0039]本發(fā)明提供的web應(yīng)用的登錄認(rèn)證方法及系統(tǒng)，收到用戶的登錄請(qǐng)求后，瀏覽器利用web服務(wù)器提供的兩個(gè)隨機(jī)數(shù)得到認(rèn)證信息，并將所述認(rèn)證信息發(fā)送給web服務(wù)器；web服務(wù)器根據(jù)保存的用戶信息和收到的認(rèn)證信息，進(jìn)行登錄認(rèn)證，如此，利用兩個(gè)隨機(jī)數(shù)參與用戶登錄認(rèn)證過(guò)程，能夠防止數(shù)據(jù)篡改、竊聽(tīng)攻擊、小數(shù)攻擊、字典攻擊、重放攻擊和拒絕服務(wù)攻擊。此外，用戶身份標(biāo)識(shí)和初始密碼不在網(wǎng)絡(luò)進(jìn)行直接傳輸，數(shù)據(jù)庫(kù)不保存靜態(tài)密碼，僅保存根據(jù)隨機(jī)數(shù)計(jì)算的動(dòng)態(tài)虛擬密碼，能夠提高用戶信息的安全性，而且系統(tǒng)開(kāi)銷少，適合輕量級(jí)的用戶進(jìn)行登錄認(rèn)證，滿足用戶對(duì)web應(yīng)用的安全認(rèn)證的需求。
【專利附圖】

【附圖說(shuō)明】
[0040]圖1是本發(fā)明實(shí)現(xiàn)web應(yīng)用的登錄認(rèn)證系統(tǒng)的結(jié)構(gòu)示意圖；
[0041]圖2是本發(fā)明實(shí)現(xiàn)web應(yīng)用的登錄認(rèn)證方法的流程示意圖。
【具體實(shí)施方式】
[0042]本發(fā)明的基本思想是:收到用戶的登錄請(qǐng)求后，瀏覽器利用web服務(wù)器提供的兩個(gè)隨機(jī)數(shù)得到認(rèn)證信息，并將所述認(rèn)證信息發(fā)送給web服務(wù)器；web服務(wù)器根據(jù)保存的用戶信息和收到的認(rèn)證信息，進(jìn)行登錄認(rèn)證。
[0043]下面通過(guò)附圖及具體實(shí)施例對(duì)本發(fā)明再做進(jìn)一步的詳細(xì)說(shuō)明。
[0044]本發(fā)明提供一種web應(yīng)用的登錄認(rèn)證系統(tǒng)，圖1是本發(fā)明實(shí)現(xiàn)web應(yīng)用的登錄認(rèn)證系統(tǒng)的結(jié)構(gòu)示意圖，如圖1所示，該系統(tǒng)包括:瀏覽器10、web服務(wù)器20 ;其中，
[0045]瀏覽器10，用于收到用戶的登錄請(qǐng)求后，利用web服務(wù)器20提供的兩個(gè)隨機(jī)數(shù)得到認(rèn)證信息，并將所述認(rèn)證信息發(fā)送給web服務(wù)器20 ；
[0046]web服務(wù)器20，用于根據(jù)保存的用戶信息和收到的認(rèn)證信息，進(jìn)行登錄認(rèn)證。
[0047]該系統(tǒng)還包括:用戶身份數(shù)據(jù)庫(kù)30 ;其中，
[0048]所述瀏覽器10，還用于利用web服務(wù)器20提供的兩個(gè)隨機(jī)數(shù)得到認(rèn)證信息之前，接收用戶注冊(cè)web應(yīng)用的請(qǐng)求，將注冊(cè)時(shí)的用戶數(shù)據(jù)發(fā)送給web服務(wù)器20 ；
[0049]所述web服務(wù)器20，還用于利用隨機(jī)數(shù)對(duì)收到的用戶數(shù)據(jù)進(jìn)行初始化；
[0050]所述用戶身份數(shù)據(jù)庫(kù)30，用于保存初始化后得到的用戶信息。
[0051]所述web服務(wù)器20，還用于更新用戶身份數(shù)據(jù)庫(kù)30中原先保存的用戶信息。
[0052]所述瀏覽器10進(jìn)一步包括:注冊(cè)模塊11、請(qǐng)求模塊12和登錄模塊13 ;其中，
[0053]注冊(cè)模塊11，用于接收用戶注冊(cè)web應(yīng)用的請(qǐng)求，將注冊(cè)時(shí)的用戶數(shù)據(jù)發(fā)送給web服務(wù)器；[0054]請(qǐng)求模塊12，用于接收用戶的登錄請(qǐng)求，然后向web服務(wù)器請(qǐng)求web URL登錄頁(yè)面；
[0055]登錄模塊13，用于利用web服務(wù)器提供的兩個(gè)隨機(jī)數(shù)得到認(rèn)證信息，并將所述認(rèn)證信息發(fā)送給web服務(wù)器。
[0056]所述web服務(wù)器20進(jìn)一步包括:處理模塊21、登錄模塊22、認(rèn)證模塊23、更新模塊24 ;其中，
[0057]處理模塊21，用于利用隨機(jī)數(shù)對(duì)收到的用戶數(shù)據(jù)進(jìn)行初始化，將初始化處理后得到的用戶信息發(fā)送給用戶身份數(shù)據(jù)庫(kù)30進(jìn)行保存；
[0058]登錄模塊22，用于將生成的隨機(jī)數(shù)R、總密鑰key與web URL登錄頁(yè)面發(fā)送給瀏覽器10;還用于根據(jù)收到的虛擬賬號(hào)H_UID，從用戶身份數(shù)據(jù)庫(kù)獲取與所述虛擬賬號(hào)H_UID對(duì)應(yīng)的隨機(jī)數(shù)R1，將所述隨機(jī)數(shù)Rl返回給瀏覽器10 ；
[0059]認(rèn)證模塊23，用于根據(jù)保存的用戶信息和收到的認(rèn)證信息，進(jìn)行登錄認(rèn)證；
[0060]更新模塊24，用于更新原先保存的用戶信息。
[0061]為實(shí)現(xiàn)上述系統(tǒng)，本發(fā)明還提供一種web應(yīng)用的登錄認(rèn)證方法，圖2是本發(fā)明實(shí)現(xiàn)web應(yīng)用的登錄認(rèn)證方法的流程示意圖，如圖2所示，該方法包括以下步驟:
[0062]步驟201，瀏覽器接收用戶注冊(cè)web應(yīng)用的請(qǐng)求，將注冊(cè)時(shí)的用戶數(shù)據(jù)發(fā)送給web服務(wù)器；
[0063]具體的，瀏覽器的注冊(cè)模塊接收用戶注冊(cè)web應(yīng)用的請(qǐng)求，注冊(cè)過(guò)程中，注冊(cè)模塊接收用戶輸入的用戶數(shù)據(jù)，并將收到的用戶數(shù)據(jù)發(fā)送給web服務(wù)器；所述web應(yīng)用指的是服務(wù)商提供的基于網(wǎng)頁(yè)的應(yīng)用程序，如網(wǎng)站、郵箱等；所述用戶數(shù)據(jù)包括用戶身份標(biāo)識(shí)WD、初始密碼P、郵箱等注冊(cè)過(guò)程中用戶輸入的相關(guān)信息。
[0064]步驟202，web服務(wù)器利用隨機(jī)數(shù)對(duì)收到的用戶數(shù)據(jù)進(jìn)行初始化，并保存初始化后得到的用戶信息；
[0065]具體的，web服務(wù)器的處理模塊收到瀏覽器的注冊(cè)模塊發(fā)送的用戶數(shù)據(jù)，或web服務(wù)器的處理模塊收到從后臺(tái)批量導(dǎo)入的用戶數(shù)據(jù)后，對(duì)用戶數(shù)據(jù)進(jìn)行初始化處理；
[0066]所述處理模塊進(jìn)行的初始化處理具體包括:首先，利用公式H_UID =SHAl (UID+key)，計(jì)算虛擬賬號(hào)H_UID，其中，SHAl表示利用哈希算法計(jì)算虛擬賬號(hào)H_UID ；UID為收到的用戶數(shù)據(jù)中的用戶身份標(biāo)識(shí)，該UID在后面的登錄認(rèn)證時(shí)不在網(wǎng)絡(luò)中傳輸，如此，可以在登錄認(rèn)證過(guò)程中對(duì)用戶身份標(biāo)識(shí)UID進(jìn)行保護(hù)；key為總密鑰，用于登錄認(rèn)證時(shí)保護(hù)用戶身份標(biāo)識(shí)UID的安全性，存儲(chǔ)在web服務(wù)器的存儲(chǔ)模塊中；然后，利用公式H_PWD=SHAl (SHA1 (UID+R1+P))計(jì)算虛擬密碼H_PWD ;其中，P為用戶數(shù)據(jù)中的初始密碼，是真實(shí)的用戶密碼，在后面的登錄認(rèn)證時(shí)不在網(wǎng)絡(luò)中傳輸；Rl為4位的隨機(jī)數(shù)，在計(jì)算虛擬密碼H_PWD時(shí)由web服務(wù)器的處理模塊隨機(jī)產(chǎn)生；
[0067]處理模塊將初始化處理后得到的用戶信息發(fā)送給用戶身份數(shù)據(jù)庫(kù)，由用戶身份數(shù)據(jù)庫(kù)保存該用戶信息，其中，用戶信息包括用戶身份標(biāo)識(shí)UID、虛擬賬號(hào)!1_瓜0、隨機(jī)數(shù)R1、虛擬密碼H_PWD。
[0068]步驟203，收到用戶的登錄請(qǐng)求后，瀏覽器利用web服務(wù)器提供的兩個(gè)隨機(jī)數(shù)得到認(rèn)證信息，并將該認(rèn)證信息發(fā)送給web服務(wù)器；
[0069]具體的，瀏覽器的請(qǐng)求模塊通過(guò)http協(xié)議向web服務(wù)器請(qǐng)求web URL登錄頁(yè)面；web服務(wù)器的登錄模塊接收請(qǐng)求，并向?yàn)g覽器返回web URL登錄頁(yè)面；瀏覽器的請(qǐng)求模塊根據(jù)收到的web URL登錄頁(yè)面，可以從web服務(wù)器下載頁(yè)面登錄控件，下載后的頁(yè)面登錄控件作為瀏覽器的登錄模塊；同時(shí)，web服務(wù)器的登錄模塊生成隨機(jī)數(shù)R，將隨機(jī)數(shù)R與總密鑰key與web URL登錄頁(yè)面一起返回給瀏覽器；
[0070]瀏覽器的登錄模塊根據(jù)用戶輸入的用戶身份標(biāo)識(shí)UID和收到的總密鑰key，利用公式H_UID = SHAl (UID+key)計(jì)算虛擬賬號(hào)H_UID，并將計(jì)算出的虛擬賬號(hào)H_UID發(fā)送給web服務(wù)器;web服務(wù)器的登錄模塊根據(jù)收到的虛擬賬號(hào)H_UID，從用戶身份數(shù)據(jù)庫(kù)中保存的用戶信息中，獲取與該虛擬賬號(hào)H_UID對(duì)應(yīng)的隨機(jī)數(shù)R1，將該隨機(jī)數(shù)Rl返回給瀏覽器；
[0071]瀏覽器的登錄模塊根據(jù)用戶輸入的初始密碼、隨機(jī)數(shù)R、隨機(jī)數(shù)Rl以及用戶身份標(biāo)識(shí) UID，利用公式 hi = SHAl (UID+R1+P)、h2 = SHAl (SHA1 (UID+R+P))、h3 =SHAl (hl+R+h2)，計(jì)算認(rèn)證信息，該認(rèn)證信息包括虛擬密碼h1、虛擬密碼h2和校驗(yàn)碼h3，瀏覽器的登錄模塊將計(jì)算出的認(rèn)證信息發(fā)送給web服務(wù)器。
[0072]步驟204，web服務(wù)器根據(jù)保存的用戶信息和收到的認(rèn)證信息，進(jìn)行登錄認(rèn)證；
[0073]具體的，web服務(wù)器的認(rèn)證模塊接收瀏覽器發(fā)送的認(rèn)證信息，首先進(jìn)行完整性的認(rèn)證，根據(jù)收到的認(rèn)證信息中的虛擬密碼h1、虛擬密碼h2以及先前產(chǎn)生的隨機(jī)數(shù)R，利用公式h3 = SHAl (hl+R+h2)計(jì)算校驗(yàn)碼h3,將計(jì)算出的h3與認(rèn)證信息中的校驗(yàn)碼h3進(jìn)行比對(duì)，如果認(rèn)證模塊計(jì)算出的校驗(yàn)碼h3與收到的認(rèn)證信息中的校驗(yàn)碼h3相同，表示傳輸過(guò)程中，web服務(wù)器與瀏覽器之間交互的數(shù)據(jù)都沒(méi)有被篡改，數(shù)據(jù)是完整的，因此完整性的認(rèn)證成功；如果認(rèn)證模塊計(jì)算出的校驗(yàn)碼h3與收到的認(rèn)證信息中的校驗(yàn)碼h3不同，表示傳輸過(guò)程中，web服務(wù)器與瀏覽器之間交互的數(shù)據(jù)中存在被篡改的數(shù)據(jù)，數(shù)據(jù)不完整，完整性的認(rèn)證失敗，認(rèn)證模塊向?yàn)g覽器的登錄模塊返回登錄認(rèn)證失敗的響應(yīng)，用戶不能登錄web應(yīng)用，結(jié)束流程；
[0074]完整性的認(rèn)證成功后，還需要進(jìn)一步驗(yàn)證虛擬密碼的正確性，認(rèn)證模塊先從用戶身份數(shù)據(jù)庫(kù)中獲取用戶信息，再根據(jù)虛擬密碼hl，利用公SH_PWD = SHAl(hl)計(jì)算虛擬密碼H_PWD，如果計(jì)算出的虛擬密碼H_PWD與獲取的用戶信息中的虛擬密碼H_PWD相同，則認(rèn)為虛擬密碼正確，登錄認(rèn)證成功，認(rèn)證模塊向?yàn)g覽器的登錄模塊返回登錄認(rèn)證成功的響應(yīng)，用戶可以正常登錄web應(yīng)用；如果計(jì)算出的虛擬密HH_PWD與獲取的用戶信息中的虛擬密HH_PWD不同，則認(rèn)為虛擬密碼不正確，登錄認(rèn)證失敗，認(rèn)證模塊向?yàn)g覽器的登錄模塊返回登錄認(rèn)證失敗的響應(yīng)，用戶不能登錄web應(yīng)用，結(jié)束流程。
[0075]步驟205，web服務(wù)器更新原先保存的用戶信息；
[0076]具體的，如果登錄認(rèn)證成功，則web服務(wù)器的更新模塊需要刷新用戶身份數(shù)據(jù)庫(kù)中原先保存的用戶信息，用隨機(jī)數(shù)R和虛擬密碼h2分別替換用戶身份數(shù)據(jù)庫(kù)中原先保存的用戶信息中的隨機(jī)數(shù)Rl和虛擬密碼H_PWD ;如此，利用隨機(jī)數(shù)進(jìn)行虛擬密碼的運(yùn)算，使得用戶身份數(shù)據(jù)庫(kù)中的虛擬密碼能夠動(dòng)態(tài)刷新，提高用戶信息的安全性。
[0077]以上所述，僅為本發(fā)明的較佳實(shí)施例而已，并非用于限定本發(fā)明的保護(hù)范圍，凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改、等同替換和改進(jìn)等，均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
【權(quán)利要求】
1.一種web應(yīng)用的登錄認(rèn)證系統(tǒng)，其特征在于，該系統(tǒng)包括:瀏覽器、web服務(wù)器；其中， 瀏覽器，用于收到用戶的登錄請(qǐng)求后，利用web服務(wù)器提供的兩個(gè)隨機(jī)數(shù)得到認(rèn)證信息，并將所述認(rèn)證信息發(fā)送給web服務(wù)器； web服務(wù)器，用于根據(jù)保存的用戶信息和收到的認(rèn)證信息，進(jìn)行登錄認(rèn)證。
2.根據(jù)權(quán)利要求1所述的系統(tǒng)，其特征在于，該系統(tǒng)還包括:用戶身份數(shù)據(jù)庫(kù)；其中， 所述瀏覽器，還用于利用web服務(wù)器提供的兩個(gè)隨機(jī)數(shù)得到認(rèn)證信息之前，接收用戶注冊(cè)web應(yīng)用的請(qǐng)求，將注冊(cè)時(shí)的用戶數(shù)據(jù)發(fā)送給web服務(wù)器； 所述web服務(wù)器，還用于利用隨機(jī)數(shù)對(duì)收到的用戶數(shù)據(jù)進(jìn)行初始化； 所述用戶身份數(shù)據(jù)庫(kù)，用于保存初始化后得到的用戶信息。
3.根據(jù)權(quán)利要求1所述的系統(tǒng)，其特征在于， 所述web服務(wù)器，還用于更新用戶身份數(shù)據(jù)庫(kù)中原先保存的用戶信息。
4.一種web應(yīng)用的登錄認(rèn)證方法，其特征在于，該方法包括: 收到用戶的登錄請(qǐng)求后，瀏覽器利用web服務(wù)器提供的兩個(gè)隨機(jī)數(shù)得到認(rèn)證信息，并將所述認(rèn)證信息發(fā)送給web服務(wù)器； web服務(wù)器根據(jù)保存的用戶信息和收到的認(rèn)證信息，進(jìn)行登錄認(rèn)證。
5.根據(jù)權(quán)利要求4所述的方法，其特征在于，所述瀏覽器利用web服務(wù)器提供的兩個(gè)隨機(jī)數(shù)得到認(rèn)證信息之前，該方法還包括: 瀏覽器接收用戶注冊(cè)web應(yīng)用的請(qǐng)求，將注冊(cè)時(shí)的用戶數(shù)據(jù)發(fā)送給web服務(wù)器； web服務(wù)器利用隨機(jī)數(shù)對(duì)收到的用戶數(shù)據(jù)進(jìn)行初始化，并保存初始化后得到的用戶信肩、O
6.根據(jù)權(quán)利要求5所述的方法，其特征在于，所述用戶數(shù)據(jù)至少包括用戶身份標(biāo)識(shí)WD和初始密碼P。
7.根據(jù)權(quán)利要求6所述的方法，其特征在于，所述web服務(wù)器利用隨機(jī)數(shù)對(duì)收到的用戶數(shù)據(jù)進(jìn)行初始化，并保存初始化后得到的用戶信息為: 利用公式H_UID = SHAl (UID+key)，計(jì)算虛擬賬號(hào)H_UID ;其中，SHAl表示利用哈希算法計(jì)算虛擬賬號(hào)H_UID ；key為web服務(wù)器存儲(chǔ)的總密鑰； 利用公式H_PWD = SHAl (SHA1 (UID+R1+P))計(jì)算虛擬密碼H_PWD ;其中，Rl為web服務(wù)器隨機(jī)產(chǎn)生的隨機(jī)數(shù)； 將初始化處理后得到的用戶信息發(fā)送給用戶身份數(shù)據(jù)庫(kù)進(jìn)行保存；所述用戶信息包括用戶身份標(biāo)識(shí)WD、虛擬賬號(hào)H_UID、隨機(jī)數(shù)R1、虛擬密碼H_PWD。
8.根據(jù)權(quán)利要求4所述的方法，其特征在于，所述瀏覽器利用web服務(wù)器提供的兩個(gè)隨機(jī)數(shù)得到認(rèn)證信息為: 瀏覽器向web服務(wù)器請(qǐng)求web URL登錄頁(yè)面，web服務(wù)器將生成的隨機(jī)數(shù)R、總密鑰key與web URL登錄頁(yè)面發(fā)送給瀏覽器； 瀏覽器根據(jù)用戶輸入的用戶身份標(biāo)識(shí)UID和收到的總密鑰key，利用公SH_UID =SHAl (UID+key)計(jì)算虛擬賬號(hào)H_UID，并將計(jì)算出的虛擬賬號(hào)H_UID發(fā)送給web服務(wù)器；web服務(wù)器根據(jù)收到的虛擬賬號(hào)H_UID，從用戶身份數(shù)據(jù)庫(kù)獲取與所述虛擬賬號(hào)H_UID對(duì)應(yīng)的隨機(jī)數(shù)R1，將所述隨機(jī)數(shù)Rl返回給瀏覽器；瀏覽器根據(jù)用戶輸入的初始密碼、隨機(jī)數(shù)R、隨機(jī)數(shù)Rl以及用戶身份標(biāo)識(shí)WD，利用公式 hi = SHAl (UID+R1+P)、h2 = SHAl (SHA1 (UID+R+P))、h3 = SHAl (hl+R+h2)，計(jì)算認(rèn)證信息；所述認(rèn)證信息包括虛擬密碼h1、虛擬密碼h2和校驗(yàn)碼h3。
9.根據(jù)權(quán)利要求4所述的方法，其特征在于，所述web服務(wù)器根據(jù)保存的用戶信息和收到的認(rèn)證信息，進(jìn)行登錄認(rèn)證為: web服務(wù)器根據(jù)收到的認(rèn)證信息中的虛擬密碼h1、虛擬密碼h2以及先前產(chǎn)生的隨機(jī)數(shù)R，利用公式h3 = SHAl (hl+R+h2)計(jì)算校驗(yàn)碼h3,將計(jì)算出的h3與認(rèn)證信息中的校驗(yàn)碼h3進(jìn)行比對(duì)，計(jì)算出的校驗(yàn)碼h3與收到的認(rèn)證信息中的校驗(yàn)碼h3相同時(shí)，完整性的認(rèn)證成功； 完整性的認(rèn)證成功后，從用戶身份數(shù)據(jù)庫(kù)中獲取用戶信息，再根據(jù)虛擬密碼hl，利用公式H_PWD = SHAl (hi)計(jì)算虛擬密碼H_PWD，計(jì)算出的虛擬密碼H_PWD與獲取的用戶信息中的虛擬密碼H_PWD相同時(shí)，登錄認(rèn)證成功，向?yàn)g覽器返回登錄認(rèn)證成功的響應(yīng)。
10.根據(jù)權(quán)利要求4所述的方法，其特征在于，該方法還包括:web服務(wù)器更新原先保存的用戶信息。
11.根據(jù)權(quán)利要求10所述的方法，其特征在于，所述web服務(wù)器更新原先保存的用戶信息為: 登錄認(rèn)證成功后，web服務(wù)器刷新用戶身份數(shù)據(jù)庫(kù)中原先保存的用戶信息，用隨機(jī)數(shù)R和虛擬密碼h2分別替換用戶身份數(shù)據(jù)庫(kù)中原先保存的用戶信息中的隨機(jī)數(shù)Rl和虛擬密碼H_PWD0
【文檔編號(hào)】H04L29/08GK103581121SQ201210258820
【公開(kāi)日】2014年2月12日 申請(qǐng)日期:2012年7月25日 優(yōu)先權(quán)日:2012年7月25日
【發(fā)明者】李勇 申請(qǐng)人:深圳中興網(wǎng)信科技有限公司