信息系統訪問認證方法及裝置制造方法

信息系統訪問認證方法及裝置制造方法
【專利摘要】一種信息系統訪問認證方法及裝置，所述方法包括步驟：對根據客戶端的信息系統訪問登錄請求生成的隨機驗證碼進行匿名認證，若匿名認證成功，對獲取的用戶名及密碼信息進行認證；所述裝置包括相連的驗證碼認證模塊、用戶名及密碼認證模塊，所述驗證碼認證模塊用于對根據客戶端的信息系統訪問登錄請求生成的隨機驗證碼進行匿名認證，所述用戶名及密碼認證模塊用于當匿名認證成功時，對獲取的用戶名及密碼信息進行認證。本發明采用二階段雙因素認證方法，使在不增加用戶登錄復雜性的同時，提高了登錄信息的安全性。
【專利說明】信息系統訪問認證方法及裝置

【技術領域】
[0001]本發明涉及信息安全【技術領域】，特別是涉及一種信息系統訪問認證方法及裝置。

【背景技術】
[0002]幾乎所有的網絡信息系統或互聯網信息系統都提供登錄功能，用戶需要登錄才有權限獲得服務。而用戶登錄信息屬于機密信息，用戶在公共電腦或受木馬、病毒或蠕蟲等入侵的電腦上登錄時，會面臨嚴重信息泄露風險，同時，用戶登錄信息還容易受到網絡釣魚方式攻擊而導致登錄賬號被盜或被劫持等。
[0003]現有的網絡信息系統或互聯網信息系統提供的用戶登錄功能的實現方法如下:
[0004]1、用戶請求登錄，客戶端出現信息系統的登錄界面；
[0005]2、用戶在登錄界面輸入用戶名，密碼；部份服務商為了防止字典暴力登錄，設置了驗證碼。
[0006]3、如果登錄成功，信息系統會為該用戶建立一個登錄會話，如果登錄失敗，信息系統會返回客戶端一個錯誤信息。
[0007]上述登錄方法過于簡單，屬單因素認證，容易讓用戶陷入釣魚陷阱，或受木馬病毒感染，使得用戶名及密碼被竊取，安全性非常低。


【發明內容】

[0008]基于上述現有技術中存在的技術問題，本發明的一個目的在于提出一種信息系統訪問認證方法及裝置，在不增加用戶登錄復雜性的同時提高安全性。
[0009]一種信息系統訪問認證方法，包括步驟:
[0010]對根據客戶端的信息系統訪問登錄請求生成的隨機驗證碼進行匿名認證；
[0011]若匿名認證成功，對獲取的用戶名及密碼信息進行認證。
[0012]一種信息系統訪問認證裝置，包括相連的驗證碼認證模塊、用戶名及密碼認證模塊，所述驗證碼認證模塊用于對根據客戶端的信息系統訪問登錄請求生成的隨機驗證碼進行匿名認證；所述用戶名及密碼認證模塊用于當匿名認證成功時，對獲取的用戶名及密碼信息進行認證。
[0013]上述信息系統訪問認證方法及裝置，相較于現有技術，優點是:用戶登錄信息系統時分兩個階段進行，第一階段為匿名認證，用戶不需要提供用戶名及密碼，只需要獲得隨機驗證碼信息，并運用直接匿名認證方法對所述隨機驗證碼信息進行驗證；第二階段為帶身份識別信息的認證，用戶需要提供用戶名及密碼，進行認證。兩個階段的認證能夠有效降低用戶登錄信息的泄露風險，提高了安全性。

【專利附圖】

【附圖說明】
[0014]圖1為本發明方法實施例的流程示意圖；
[0015]圖2為本發明方法匿名認證隨機驗證碼實施例的流程示意圖；
[0016]圖3為本發明方法認證用戶名及密碼信息實施例的流程示意圖；
[0017]圖4為本發明裝置實施例的結構示意圖；
[0018]圖5為本發明裝置驗證碼認證模塊實施例的結構示意圖；
[0019]圖6為本發明裝置用戶名及密碼認證模塊實施例的結構示意圖；
[0020]圖7為本發明裝置具體實施例的操作流程圖。

【具體實施方式】
[0021]下面結合附圖對本發明信息系統訪問認證方法的【具體實施方式】做詳細描述。
[0022]如圖1所示,一種信息系統訪問認證方法,包括步驟:
[0023]S100、對根據客戶端的信息系統訪問登錄請求生成的隨機驗證碼進行匿名認證；
[0024]所述客戶端可以為萬維網Web應用客戶端即Web瀏覽器客戶端，也可以為信息系統的客戶端；所述隨機驗證碼作為挑戰(Challenge)信息，用于進行匿名認證；
[0025]S200、若匿名認證成功，對獲取的用戶名及密碼信息進行認證，其中所述用戶名及密碼信息可以預存在所述客戶端，也可以通過用戶輸入獲取。
[0026]步驟SlOO中的對隨機驗證碼進行匿名認證可以有多種實現方法，例如，在一個實施例中，如圖2所示，步驟SlOO包括:
[0027]S110、根據客戶端的信息系統訪問登錄請求生成登錄會話標識碼、隨機驗證碼；
[0028]所述登錄會話標識碼為臨時的、唯一的，生成標識碼便于按實體進行存貯和對實體進行逐個查詢和檢索；
[0029]S120、采用信息系統私鑰和用戶公鑰對所述登錄會話標識碼、所述隨機驗證碼、認證服務器網址進行RSA(非對稱密碼算法)加密及簽名；
[0030]認證服務器提供客戶端的登記功能，即客戶端安裝認證應用后，須首先在認證服務器上進行登記，登記后，客戶端通過連接認證服務器網址，與認證服務器隨時創建連接，進行認證；RSA加密及簽名方法可以通過現有技術中已知的技術獲得，采用非對稱加密技術，使認證信息傳送時更安全可靠；
[0031]S130、將加密及簽名的登錄會話標識碼、隨機驗證碼、認證服務器網址轉換成二維碼；其中二維碼轉換可以通過現有技術中已知的二維碼轉換軟件或程序等實現，采用二維碼技術，使認證信息傳送時更安全可靠；
[0032]S140、將所述二維碼解碼，采用信息系統公鑰和用戶私鑰對所述解碼的二維碼進行簽名認證及解密，獲得登錄會話標識碼、隨機驗證碼、認證服務器網址；
[0033]將二維碼解碼可通過現有技術中已知的方法實現，例如通過帶有攝像頭的手機，該手機安裝有二維碼掃描功能的應用APP (applicat1n)等，通過現有技術中的應用軟件協助進行二維碼的掃描輸入，提高了用戶的操作體驗；簽名認證及解密方法同樣可以通過現有技術中已知的技術獲得；
[0034]S150、通過連接認證服務器網址對隨機驗證碼進行匿名認證；
[0035]客戶端從二維碼獲得認證服務器的網址，通過所述網址與認證服務器連接，對隨機驗證碼進行認證，以證明用戶知道這個二維碼，并能夠提供匿名認證證明屬于信息系統可信用戶。
[0036]步驟S200中的對用戶名及密碼信息進行認證可以有多種實現方法，例如，在一個實施例中，如圖3所示，步驟S200中對用戶名及密碼信息進行認證包括:
[0037]S210、采用信息系統公鑰和用戶私鑰對所述登錄會話標識碼、獲取的用戶名及密碼信息進行簽名及加密，生成加密密文；
[0038]S220、通過認證服務器將所述加密密文傳輸給信息系統；
[0039]客戶端通過連接認證服務器的網址，將所述加密密文傳送給認證服務器，認證服務器再將所述加密密文傳輸給信息系統；認證服務器允許用戶通過認證服務器提供登錄認證功能；
[0040]S230、采用信息系統私鑰和用戶公鑰對所述加密密文進行簽名認證及解密，獲得登錄會話標識碼、用戶名及密碼信息；
[0041]S240、對所述用戶名及密碼信息進行認證，若認證成功則完成信息系統訪問登錄。
[0042]在一個實施例中，步驟SllO之前，還可以包括步驟:根據所述訪問登錄請求獲取用戶登錄界面；
[0043]步驟S130之后，還可以包括步驟:在所述用戶登錄界面顯示所述二維碼。
[0044]為了便于判斷隨機驗證碼匿名認證是否成功，是否可以進行第二階段的認證，以及第二階段用戶名及密碼信息的認證是否成功，是否成功完成登錄等，在一個實施例中，步驟S150之后，還可以包括步驟:返回應答信息，信息系統根據應答信息確定匿名認證是否成功，如果匿名認證成功，信息系統通知認證服務器進行第二階段的認證工作，如果匿名認證不成功，不進行第二階段的認證工作；
[0045]步驟S240之后，還可以包括步驟:若認證成功，則返回登陸成功信息，用戶完成登錄；若所述用戶名、密碼信息不符或無效，則返回錯誤信息，用戶登錄不成功。
[0046]在一個實施例中，所述客戶端可以包括智能手機或移動終端等，所述智能手機或移動終端安裝有具有二維碼掃描功能及網絡連接特性的應用APP，可以掃描二維碼及在認證服務器中進行登錄、連接所述認證服務器等。
[0047]基于同一發明構思，本發明還提供了一種信息系統訪問認證裝置，下面結合附圖對本發明裝置的【具體實施方式】做詳細描述。
[0048]如圖4所示，一種信息系統訪問認證裝置，包括相連的驗證碼認證模塊100、用戶名及密碼認證模塊200，所述驗證碼認證模塊100用于對根據客戶端的信息系統訪問登錄請求生成的隨機驗證碼進行匿名認證；所述用戶名及密碼認證模塊200用于當匿名認證成功時，對獲取的用戶名及密碼信息進行認證。
[0049]所述驗證碼認證模塊100對隨機驗證碼進行匿名認證可以有多種實現方法，例如，在一個實施例中，如圖5所示,所述驗證碼認證模塊100包括:
[0050]標識碼及驗證碼獲取模塊110，用于根據客戶端的信息系統訪問登錄請求生成登錄會話標識碼、隨機驗證碼；
[0051]加密及簽名模塊120，用于采用信息系統私鑰和用戶公鑰對所述登錄會話標識碼、所述隨機驗證碼、認證服務器網址進行RSA加密及簽名；
[0052]二維碼轉換模塊130，用于將加密及簽名的登錄會話標識碼、隨機驗證碼、認證服務器網址轉換成二維碼；
[0053]二維碼解碼模塊140，用于將所述二維碼解碼；
[0054]簽名認證及解密模塊150，用于采用信息系統公鑰和用戶私鑰對所述解碼的二維碼進行簽名認證及解密，獲得登錄會話標識碼、隨機驗證碼、認證服務器網址；
[0055]二維碼認證模塊160，用于連接認證服務器網址對隨機驗證碼進行匿名認證。
[0056]所述用戶名及密碼認證模塊200對用戶名及密碼信息進行認證可以有多種實現方法，例如，在一個實施例中，如圖6所示,所述用戶名及密碼認證模塊200包括:
[0057]簽名及加密模塊210，用于采用信息系統公鑰和用戶私鑰對所述登錄會話標識碼、獲取的用戶名及密碼信息進行簽名及加密，生成加密密文；
[0058]傳輸模塊220,用于通過認證服務器將所述加密密文傳輸給信息系統；
[0059]密文簽名認證及解密模塊230，用于采用信息系統私鑰和用戶公鑰對所述加密密文進行簽名認證及解密，獲得登錄會話標識碼、用戶名及密碼信息；
[0060]密文認證模塊240，用于對所述用戶名及密碼信息進行認證，若認證成功則完成信息系統訪問登錄。
[0061]在一個實施例中，所述裝置還可以包括用戶登錄界面獲取模塊和二維碼顯示模塊，所述用戶登錄界面獲取模塊用于根據所述訪問登錄請求獲取用戶登錄界面；所述二維碼顯示模塊用于顯示所述二維碼；
[0062]所述二維碼轉換模塊將加密及簽名的登錄會話標識碼、隨機驗證碼、認證服務器網址轉換成二維碼之后，所述二維碼顯示模塊在所述用戶登錄界面顯示所述二維碼。
[0063]為了便于判斷隨機驗證碼匿名認證是否成功，是否可以進行第二階段的認證，以及第二階段用戶名及密碼信息的認證是否成功，是否成功完成登錄等，在一個實施例中，所述二維碼認證模塊160對所述隨機驗證碼進行匿名認證之后，還用于返回應答信息，信息系統根據應答信息確定匿名認證是否成功；
[0064]所述密文認證模塊240對所述用戶名及密碼信息進行認證之后，還用于:若認證成功，則返回登陸成功信息；若所述用戶名、密碼信息不符或無效，則返回錯誤信息。
[0065]在一個實施例中，所述客戶端可以包括智能手機或移動終端等。
[0066]為了更好地理解本裝置的具體操作流程，下面結合一個具體實施例做詳細描述，其中圖7所示的應用服務器即為本發明的信息系統，登錄應用APP具有二維碼掃描功能及網絡連接特性。
[0067]客戶端通過互聯網連接應用服務器，發送登錄請求，應用服務器返回客戶端用戶登錄界面；
[0068]應用服務器為登錄請求生成登錄會話標識碼、隨機驗證碼；
[0069]應用服務器通過服務器私鑰和用戶公鑰對所述登錄會話標識碼、隨機驗證碼、認證服務器網址進行RSA加密及簽名，生成加密密文；
[0070]應用服務器將所述加密密文轉化成二維碼，并將所述二維碼在客戶端的用戶登陸界面顯示；
[0071]安裝在客戶端的登錄應用APP通過攝像裝置將二維碼掃描輸入并解碼；
[0072]登錄應用APP將解碼的二維碼通過服務器公鑰和用戶私鑰解密，獲得登錄會話標識碼、隨機驗證碼、認證服務器網址；
[0073]登錄應用APP連接認證服務器，對所述隨機驗證碼進行匿名認證，認證服務器返回應答信息；
[0074]應用服務器根據應答信息確定匿名認證是否成功，若匿名認證成功，應用服務器通知認證服務器開啟第二階段認證；
[0075]登錄應用APP查詢存放在客戶端的用戶名及密碼信息，用戶名及密碼信息也可以通過用戶輸入獲取；
[0076]登錄應用APP將登錄會話標識碼、用戶名及密碼信息通過服務器公鑰和用戶私鑰進行簽名及加密，生成新的加密密文；
[0077]登錄應用APP連接認證服務器網址，將新的加密密文傳輸給認證服務器；
[0078]認證服務器通過網絡將新的加密密文傳輸給應用服務器；
[0079]應用服務器通過自身的服務器私鑰和用戶公鑰對新的加密密文進行簽名認證及解密，獲得登錄會話標識碼、用戶名及密碼信息；
[0080]應用服務器進行用戶名及密碼信息認證，若認證成功，則完成客戶端的登錄程序，用戶登錄成功，返回登陸成功信息，否則返回錯誤信息。
[0081 ] 本裝置其他技術特征與上述信息系統訪問認證方法相同，在此不予贅述。
[0082]上述信息系統訪問認證方法及裝置，相較于現有技術，有以下優點:
[0083]1、用戶登錄信息系統時分兩個階段進行，第一階段為匿名認證，用戶不需要提供用戶名及密碼，只需要通過二維碼獲得隨機驗證碼信息，并運用直接匿名認證方法對所述隨機驗證碼信息進行驗證；第二階段為帶身份識別信息的認證，用戶需要提供用戶名及密碼，進行認證。兩個階段的認證能夠有效降低用戶登錄信息的泄露風險，提高了安全性。
[0084]2、用戶登錄信息系統時需要雙因素認證，即二維碼認證及用戶名及密碼認證，結合二維碼技術和非對稱加密技術，使得認證信息傳送時更安全可靠。
[0085]3、借助APP軟件協助進行二維碼的掃描錄入及密碼的輸入，使在增加安全性的同時提升了用戶的操作體驗。
[0086]以上所述實施例僅表達了本發明的幾種實施方式，其描述較為具體和詳細，但并不能因此而理解為對本發明專利范圍的限制。應當指出的是，對于本領域的普通技術人員來說，在不脫離本發明構思的前提下，還可以做出若干變形和改進，這些都屬于本發明的保護范圍。因此，本發明專利的保護范圍應以所附權利要求為準。
【權利要求】
1.一種信息系統訪問認證方法，其特征在于，包括步驟: 對根據客戶端的信息系統訪問登錄請求生成的隨機驗證碼進行匿名認證； 若匿名認證成功，對獲取的用戶名及密碼信息進行認證。
2.根據權利要求1所述的信息系統訪問認證方法，其特征在于，對根據客戶端的信息系統訪問登錄請求生成的隨機驗證碼進行匿名認證的步驟包括: 根據客戶端的信息系統訪問登錄請求生成登錄會話標識碼、隨機驗證碼； 采用信息系統私鑰和用戶公鑰對所述登錄會話標識碼、所述隨機驗證碼、認證服務器網址進行RSA加密及簽名； 將加密及簽名的登錄會話標識碼、隨機驗證碼、認證服務器網址轉換成二維碼； 將所述二維碼解碼，采用信息系統公鑰和用戶私鑰對所述解碼的二維碼進行簽名認證及解密，獲得登錄會話標識碼、隨機驗證碼、認證服務器網址； 通過連接認證服務器網址對隨機驗證碼進行匿名認證。
3.根據權利要求1所述的信息系統訪問認證方法，其特征在于，對獲取的用戶名及密碼信息進行認證的步驟包括: 采用信息系統公鑰和用戶私鑰對所述登錄會話標識碼、獲取的用戶名及密碼信息進行簽名及加密，生成加密密文； 通過認證服務器將所述加密密文傳輸給信息系統； 采用信息系統私鑰和用戶公鑰對所述加密密文進行簽名認證及解密，獲得登錄會話標識碼、用戶名及密碼信息； 對所述用戶名及密碼信息進行認證，若認證成功則完成信息系統訪問登錄。
4.根據權利要求2所述的信息系統訪問認證方法，其特征在于，根據客戶端的信息系統訪問登錄請求生成登錄會話標識碼、隨機驗證碼的步驟之前，還包括步驟:根據所述訪問登錄請求獲取用戶登錄界面； 將加密及簽名的登錄會話標識碼、隨機驗證碼、認證服務器網址轉換成二維碼的步驟之后，還包括步驟:在所述用戶登錄界面顯示所述二維碼。
5.根據權利要求1至4任意一項所述的信息系統訪問認證方法，其特征在于，所述客戶端包括智能手機或移動終端。
6.一種信息系統訪問認證裝置，其特征在于，包括相連的驗證碼認證模塊、用戶名及密碼認證模塊，所述驗證碼認證模塊用于對根據客戶端的信息系統訪問登錄請求生成的隨機驗證碼進行匿名認證；所述用戶名及密碼認證模塊用于當匿名認證成功時，對獲取的用戶名及密碼信息進行認證。
7.根據權利要求6所述的信息系統認證裝置，其特征在于，所述驗證碼認證模塊包括: 標識碼及驗證碼獲取模塊，用于根據客戶端的信息系統訪問登錄請求生成登錄會話標識碼、隨機驗證碼； 加密及簽名模塊，用于采用信息系統私鑰和用戶公鑰對所述登錄會話標識碼、所述隨機驗證碼、認證服務器網址進行RSA加密及簽名； 二維碼轉換模塊，用于將加密及簽名的登錄會話標識碼、隨機驗證碼、認證服務器網址轉換成二維碼； 二維碼解碼模塊，用于將所述二維碼解碼； 簽名認證及解密模塊，用于采用信息系統公鑰和用戶私鑰對所述解碼的二維碼進行簽名認證及解密，獲得登錄會話標識碼、隨機驗證碼、認證服務器網址； 二維碼認證模塊，用于連接認證服務器網址對隨機驗證碼進行匿名認證。
8.根據權利要求6所述的信息系統認證裝置，其特征在于，所述用戶名及密碼認證模塊包括: 簽名及加密模塊，用于采用信息系統公鑰和用戶私鑰對所述登錄會話標識碼、獲取的用戶名及密碼信息進行簽名及加密，生成加密密文； 傳輸模塊，用于通過認證服務器將所述加密密文傳輸給信息系統； 密文簽名認證及解密模塊，用于采用信息系統私鑰和用戶公鑰對所述加密密文進行簽名認證及解密，獲得登錄會話標識碼、用戶名及密碼信息； 密文認證模塊，用于對所述用戶名及密碼信息進行認證，若認證成功則完成信息系統訪問登錄。
9.根據權利要求7所述的信息系統訪問認證裝置，其特征在于，還包括用戶登錄界面獲取模塊和二維碼顯示模塊，所述用戶登錄界面獲取模塊用于根據所述訪問登錄請求獲取用戶登錄界面；所述二維碼顯示模塊用于顯示所述二維碼； 所述二維碼轉換模塊將加密及簽名的登錄會話標識碼、隨機驗證碼、認證服務器網址轉換成二維碼之后，所述二維碼顯示模塊在所述用戶登錄界面顯示所述二維碼。
10.根據權利要求6至9任意一項所述的信息系統訪問認證裝置，其特征在于，所述客戶端包括智能手機或移動終端。
【文檔編號】H04L29/06GK104468115SQ201410531861
【公開日】2015年3月25日 申請日期:2014年10月10日 優先權日:2013年10月28日
【發明者】韓子天, 譚振興, 馬泰華 申請人:安信通科技（澳門）有限公司