專利名稱:在線身份的雙因子認(rèn)證方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及數(shù)據(jù)信息傳輸技術(shù)���,特別涉及基于互聯(lián)網(wǎng)實現(xiàn)保密或安全通信的 技術(shù)���,尤其涉及對客戶端使用者進行身份認(rèn)證的方法和系統(tǒng)。
背景技術(shù):
隨著互聯(lián)網(wǎng)技術(shù)發(fā)展�����,基于互聯(lián)網(wǎng)的在線服務(wù)領(lǐng)域被不斷拓展。很多在線服 務(wù)已經(jīng)深入到人們的日常生活中�����,比如在線郵局����、網(wǎng)上購物、WEB辦公系統(tǒng)�����、在線銀行或者 在線論壇�。這些信息系統(tǒng)都基于一種互聯(lián)網(wǎng)協(xié)議,即HTTP (Hypertext Transfer Protocol) 超文本傳輸協(xié)議����,由服務(wù)器(Server)和網(wǎng)絡(luò)瀏覽器(Browser)所構(gòu)建,構(gòu)成所謂的B/S 體系���。瀏覽器提交用戶對資源的請求給服務(wù)器,服務(wù)器返回以HTML (Hypertext Markup Language,超文本鏈接標(biāo)記語言)編碼形式的資源(圖文��、音頻、視頻�、動畫等等),由瀏 覽器負(fù)責(zé)顯示給用戶�����。這種體系具有軟件易于維護�����、升級方便���,且用戶易于體驗或使用的 優(yōu)點����。目前主流的瀏覽器有微軟開發(fā)的Internet Explorer,由Mozilla開源而來的Firefox����, 以及可以兼容很多平臺的Opera。
下面就目前B/S體系系統(tǒng)的身份認(rèn)證方式及其不足作一些介紹����。
最常用的方式是要求用戶提供用戶名和密碼來實現(xiàn)登錄和認(rèn)證。這種方式仍然為目前 絕大多數(shù)網(wǎng)站所用�。它的最大弱點是傳輸時缺乏安全性����。用戶名和密碼組合純粹依靠鍵盤 輸入且不使用SSL連接傳輸時�����,該組合可以被傳輸中間轉(zhuǎn)發(fā)登錄數(shù)據(jù)相關(guān)數(shù)據(jù)包的任何網(wǎng) 絡(luò)設(shè)備看到�����,例如���,數(shù)據(jù)嗅探器(一種可以截獲網(wǎng)絡(luò)傳輸數(shù)據(jù)的軟件或者硬件)或者路由 器等�����。再者���,這種用戶身份認(rèn)證的方式,還允許多個用戶共享一個帳號來進行登錄���。當(dāng)然��, 這種用戶名/密碼的認(rèn)證方式存在幾種變形以提高安全性�,但基于其靜態(tài)的數(shù)據(jù)認(rèn)證方式�, 由于密碼輸入手段不夠安全以及服務(wù)器營運方很難制止用戶的共享行為,用戶資料總是不 可避免會被泄露�����。
作為對上述靜態(tài)密碼認(rèn)證方式的改進�,現(xiàn)有技術(shù)還提出了雙因子認(rèn)證方式,該方式除 了用戶名和密碼以外���,還需要一個硬件作為識別身份的憑證���,并使用瀏覽器插件軟件來實 現(xiàn)對該硬件的訪問。這個硬件有兩個作用�����, 一是能夠響應(yīng)動態(tài)密碼���,二是用戶不是那么容 易共享��。但是��,出于安全方面的考慮���,瀏覽器都被設(shè)計成不能隨意訪問本機的硬件系統(tǒng)或 文件系統(tǒng)等資源�����。故為了實現(xiàn)該認(rèn)證方式���,用戶每更換新PC進行登錄時,就必須安裝瀏覽 器插件���。所述插件是一種可以和瀏覽器交互的軟件模塊�����,主要用來擴展瀏覽器的功能�。因 為各種瀏覽器的插件實現(xiàn)方式各不相同�����,且激活插件還需要對瀏覽器的安全設(shè)置作相應(yīng)調(diào) 整���,大多數(shù)用戶因不具備專業(yè)知識是難以進行以上操作的
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是針對上述現(xiàn)有技術(shù)的不足而提出一種雙因子身 份認(rèn)證方法和系統(tǒng)�����,不需用戶手動調(diào)整瀏覽器設(shè)置��,從而既解決各種認(rèn)證安全問題�,又便 于用戶在多種瀏覽器上兼容使用認(rèn)證硬件�����。
為解決上述技術(shù)問題�����,本發(fā)明的基本構(gòu)思為�,在現(xiàn)有雙因子認(rèn)證的基礎(chǔ)上,于客戶端 增加一水機WEB服務(wù)器�����,用來響應(yīng)來自瀏覽器的請求���,并將該請求轉(zhuǎn)換成相應(yīng)的與所認(rèn)證 硬件交互的過程���。該本機WEB服務(wù)器的軟件用能兼容各瀏覽器的HTTP協(xié)議來設(shè)計,并以XML (Extensible Mark叩Language擴展標(biāo)記語言)或者HTML形式來返回數(shù)據(jù)��,這些數(shù)據(jù)能 夠被來自遠(yuǎn)程服務(wù)器端的腳本文件使用并與該服務(wù)器端的WEB服務(wù)器交互,從而可以免除 對用戶本機搡作的復(fù)雜要求�����。
作為實現(xiàn)本發(fā)明構(gòu)思的技術(shù)方案是�����,提供一種在線身份的雙因子認(rèn)證系統(tǒng)��,包括通過 互聯(lián)網(wǎng)相連接的服務(wù)器端和用戶端�;所述服務(wù)器端包括連接互聯(lián)網(wǎng)的服務(wù)器硬件Hl,以及 基于該硬件H1的WEB服務(wù)器S1;所述用戶端包括連接互聯(lián)網(wǎng)的本機電腦H2以及基于該電腦的 瀏覽器S2;所述用戶端還包括通過預(yù)定接口與所述本機電腦相連的認(rèn)證硬件H3,尤其是�, 所述用戶端還包括基于所述本機電腦H2運行的本機服務(wù)器軟件所構(gòu)成的本機WEB服務(wù)器S3, 接收所述瀏覽器S2的HTTP請求����,并將該請求轉(zhuǎn)換成與所述認(rèn)證硬件H3的交互過程,再將該 交互結(jié)果返回到對所述HTTP請求的應(yīng)答數(shù)據(jù)里��;所述瀏覽器S2將該交互結(jié)果結(jié)合到登錄信 息里提交給所述WEB服務(wù)器S1�。
作為實現(xiàn)本發(fā)明構(gòu)思的技術(shù)方案還可以是,提供一種在線身份的雙因子認(rèn)證方法�����,基
于包括服務(wù)器端和用戶端的雙因子認(rèn)證系統(tǒng),所述服務(wù)器端包括連接互聯(lián)網(wǎng)的服務(wù)器硬件 H1及基于該硬件的WEB服務(wù)器S1;包括步驟
A. 用戶通過基于用戶端本機電腦H2的瀏覽器S2來向服務(wù)器端提出訪問請求���;
B. 所述WEB服務(wù)器S1提供HTML內(nèi)容供所述瀏覽器S2產(chǎn)生登錄頁面�����,以要求用戶進行登 錄;
C. 用戶輸入數(shù)據(jù)并點擊登錄�����,所述瀏覽器S2將登錄數(shù)據(jù)提交給所述WEB服務(wù)器S1;
D. 所述WEB服務(wù)器S1確認(rèn)用戶是否合法���,若是�,則接受用戶請求��,允許用戶訪問�; 尤其是,還包括
當(dāng)所述本機電腦H2未安裝有本機服務(wù)器軟件時在該電腦上安裝該軟件以設(shè)置本機 WEB服務(wù)器S3的步驟��;
啟動運行所述本機WEB服務(wù)器S3的步驟��; 從而所述步驟C中用戶點擊登錄后包括步驟
c2.所述本機WEB服務(wù)器S3接收并響應(yīng)來自瀏覽器S2的預(yù)定HTTP請求,查找與
本機電腦H2連接的認(rèn)證硬件H3并與該認(rèn)證硬件H3交互����,獲得應(yīng)答碼R; c3.該本機WEB服務(wù)器S3將所述應(yīng)答碼R返回給所述瀏覽器S2,以作為所述登錄數(shù)據(jù) 的--部分����。
上述方案中,所述步驟C還包括步驟
cl.所述瀏覽器S2使用XMLHttpRequest對象來提交所述HTTP請求�����; 從而�����,所述步驟c3中�,本機WEB服務(wù)器S3是以符合XML或HTML規(guī)范形式的數(shù)據(jù)來返回所述應(yīng) 答碼R的。
上述方案的步驟B中�,所述WEB服務(wù)器S1還發(fā)送一個挑戰(zhàn)碼CH給所述瀏覽器S2;從而 步驟c2中,所述本機WEB服務(wù)器S3對所述HTTP請求的響應(yīng)包括接收該挑戰(zhàn)碼CH�。
上述方案中,步驟c2對所述認(rèn)證硬件的搡作包括所述本機WEB服務(wù)器S3查找并判斷本 機電腦H2是否連接認(rèn)證硬件H3��,若否�����,則設(shè)置所述應(yīng)答碼R為一預(yù)定的錯誤代碼;若是�����, 則將所述挑戰(zhàn)碼CH發(fā)送給該認(rèn)證硬件�,接收由該認(rèn)證硬件產(chǎn)生的應(yīng)答碼R。
上述方案中����,步驟c2對所述認(rèn)證硬件的操作包括所述本機WEB服務(wù)器S3查找并判斷本 機電腦H2連接認(rèn)證硬件H3后,通過屏幕顯示要求用戶輸入該認(rèn)證硬件的激活碼�����;進而判斷 該激活碼是否能夠正確激活認(rèn)證硬件���,若否,則設(shè)置所述應(yīng)答碼R為一預(yù)定的非法代碼���;若 是��,則將所述挑戰(zhàn)碼CH發(fā)送給該認(rèn)證硬件��,接收由該認(rèn)證硬件產(chǎn)生的應(yīng)答碼R�。
采用上述各技術(shù)方案,既解決了不同瀏覽器的兼容性問題���,又可以有效地使B/S系統(tǒng) 引入雙因子認(rèn)證的動態(tài)密碼方式��,從而保護了用戶的敏感數(shù)據(jù)���,使在線服務(wù)更安全。本發(fā) 明還允許引入認(rèn)證硬件的本地激活處理�,使得他人非法擁有了認(rèn)證硬件也無法實施登錄遠(yuǎn) 程WEB服務(wù)器。本發(fā)明還便于B/S系統(tǒng)從靜態(tài)的用戶/密碼認(rèn)證實現(xiàn)升級并繼續(xù)保持原有的 認(rèn)證體系和遠(yuǎn)程WEB服務(wù)器軟件�����,從而低成本地實現(xiàn)系統(tǒng)的安全保障���。
附圖i兌明
圖1是本發(fā)明認(rèn)證系統(tǒng)的構(gòu)成示意圖
圖2是本發(fā)明方法實施例的用戶登錄頁面示意圖 圖3是本發(fā)明方法認(rèn)證硬件激活的對話框示意圖 圖4是本發(fā)明用戶端認(rèn)證過程流程圖 圖5是本發(fā)明用戶端的認(rèn)證流程示意圖
具體實施方式
下面����,結(jié)合附圖所示之最佳實施例進一步闡述本發(fā)明�。
圖l示意了本認(rèn)證系統(tǒng)的構(gòu)成,它包括通過互聯(lián)網(wǎng)連接的服務(wù)器端和用戶端�, 一個服務(wù) 器端可以對應(yīng)連接多個用戶端�。服務(wù)器端包括服務(wù)器硬件H1及運行在該服務(wù)器硬件上的服 務(wù)器軟件S1����。所述服務(wù)器硬件H1包括擁有互聯(lián)網(wǎng)地址的一臺或多臺電腦,例如TCP/IP(傳 輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議)地址為64. 233. 189. 104的主機H1�。服務(wù)器軟件S1指基于硬件H1運 行、并能按預(yù)定協(xié)議(例如HTTP協(xié)議)來滿足多個客戶端請求����,從而提供相應(yīng)資源(例如 網(wǎng)頁、文件)給客戶端的軟件�,本文中簡稱之為WEB服務(wù)器(WEB SERVER)。某些WEB服務(wù) 器在接受用戶的訪問請求之前需要認(rèn)證該用戶身份��。以Apache服務(wù)器軟件為例���,它通常監(jiān) 聽TCP的80端口,根據(jù)用戶的HTTP請求和數(shù)據(jù)庫資料生成相應(yīng)的應(yīng)答頁面�����。
對于每個用戶端�,至少包括連接互聯(lián)網(wǎng)(例如TCP/IP地址為127. 0. 0. 1)的本機電腦H2,
以及基于該電腦運行的瀏覽器軟件S2 (本文簡稱"瀏覽器S2")���,例如但不限于Internet Explorer或Firefox�����,它將用戶的請求通過所述本機電腦H2��、互聯(lián)網(wǎng)和服務(wù)器硬件H1發(fā)送給 WEB服務(wù)器Sl,并接收相應(yīng)的應(yīng)答頁面加以顯示����。
本發(fā)明認(rèn)證系統(tǒng)用戶端還包括通過預(yù)定接口與所述本機電腦H2相連的認(rèn)證硬件H3,所 述接口例如但不限于USB接口���。該認(rèn)證硬件至少包括微處理器和RAM/ROM等存儲單元����,從而 具有相應(yīng)的計算或存儲能力���,可以存儲服務(wù)器端事先提供的合法應(yīng)答碼R組集����,或者可以按 服務(wù)器端事先設(shè)置的相關(guān)算法或邏輯關(guān)系來計算并提供合法應(yīng)答碼R���。
本發(fā)明認(rèn)證系統(tǒng)用戶端還包括基于所述本機電腦H2運行的本機服務(wù)器軟件(本文簡稱 "本機WEB服務(wù)器")S3,接收來自本機瀏覽器的HTTP請求���,并將該請求轉(zhuǎn)換成該本機WEB 服務(wù)器與所述認(rèn)證硬件H3的交互過程���。它可以監(jiān)聽本機電腦H2的預(yù)定TCP/IP端口 ,具體端 口號可以通過配置來更改�。
通常B/S系統(tǒng)的認(rèn)證方法包括步驟
A. 用戶通過瀏覽器S2來向服務(wù)器端提出訪問請求運行瀏覽器軟件,例如Internet Explorer,然后在地址欄輸入遠(yuǎn)程服務(wù)器H1的域名或者IP地址��,從而將第一個請求 發(fā)送給遠(yuǎn)程所述WEB服務(wù)器S1;
B. 所述WEB服務(wù)器S1提供HTML內(nèi)容供瀏覽器S2產(chǎn)生登錄頁面�����,可以如圖2所示為普通 的用戶名/密碼登錄界面����,以要求用戶進行登錄;
C. 用戶輸入數(shù)據(jù)并點擊登錄�,所述瀏覽器S2將登錄數(shù)據(jù)提交給遠(yuǎn)程所述WEB服務(wù)器 Sl;對應(yīng)于圖2的實施例,所述登錄數(shù)據(jù)包括用戶輸入的用戶名和/或密碼���;
D. 所述WEB服務(wù)器S1確認(rèn)用戶是否合法,若是���,則接受用戶請求��,允許用戶訪問�����。
本發(fā)明基于上述認(rèn)證系統(tǒng)��,還包括步驟
當(dāng)用戶端本機電腦H2未安裝有本機服務(wù)器軟件時在該電腦上安裝該軟件以設(shè)置本機 WEB服務(wù)器S3;
啟動運行所述本機WEB服務(wù)器��;這樣可以使該本機WEB服務(wù)器占用并監(jiān)聽預(yù)定的TCP/IP 端口�����,例如但不限于本機IP地址����,即127. 0.0.1,的預(yù)定端口����。具體端口號可以與服務(wù)器端 握手約定,因?qū)儆诂F(xiàn)有技術(shù)�,不在此贅述。
從而上述步驟C中用戶點擊登錄后包括以下步驟
cl.所述瀏覽器S2提交預(yù)定的HTTP請求����;本發(fā)明實施例考慮到瀏覽器的兼容性��, 以及用戶交互的友好性��,使用XMLHttpRequest對象來異步提交該請求�����,但不排 除使用FRAME/IFRAME類似的技巧來發(fā)出同步HTTP請求�;這些同等替代均為現(xiàn) 有技術(shù)����,不另贅述;
c2.所述本機WEB服務(wù)器S3接收并響應(yīng)該請求����,査找與本機電腦H2連接的認(rèn)證硬
件H3并與該認(rèn)證硬件交互,獲得應(yīng)答碼R; c3.該本機WEB服務(wù)器S3將所述應(yīng)答碼R返回給所述瀏覽器S2����,以作為所述登錄數(shù)據(jù)
的一部分。在本實施例中�����,所述應(yīng)答碼R是以符合XML或HTML規(guī)范形式的數(shù)據(jù)來
返回的。
為此���,可以利用現(xiàn)有技術(shù)在上述步驟B的HTML內(nèi)容中包括一些不被顯示的腳本(SCRIPT)代 碼,以對應(yīng)于用戶的登錄點擊�,來啟動瀏覽器S2提交預(yù)定請求。例如
<input type="button" name="Button" value-"登錄"onCUck="DoLocaiAuthentication();">
當(dāng)用戶點擊登錄頁面上的確認(rèn)紐后���,所述頁面腳本文件被激發(fā)���,就可以通過執(zhí)行預(yù)先設(shè)置
^J所述DoLoca!Authenticatio.n()進程來產(chǎn)生所述XmlHttpRequest對象請求(XmlHttpRequest 是瀏覽器里支持異步HTTP請求的一種編程對象,為現(xiàn)有技術(shù))����。因為這種解決方案涉及的 HTTP協(xié)議、Javascript腳本以及XML����,都是平臺無關(guān)性的技術(shù),因此本發(fā)明可以解決不同 瀏覽器的兼容性問題���。
本發(fā)明方法中因所述登錄數(shù)據(jù)還包括應(yīng)答碼R,所述步驟D的合法性確認(rèn)可以是先驗 證所述應(yīng)答碼R是否合法后����,再繼續(xù)進行用戶名稱和/或密碼的驗證;當(dāng)然也可以倒過來驗 證���。任何一個環(huán)節(jié)驗證不符合���,所述WEB服務(wù)器S1均會返回登錄失敗的頁面給瀏覽器S2。
為了進一步保障系統(tǒng)的安全性���,本發(fā)明中的服務(wù)器端可以給用戶端發(fā)送一隨機的挑戰(zhàn) 碼CH�����,系統(tǒng)事先約定該挑戰(zhàn)碼CH與應(yīng)答碼R之間的算法或邏輯關(guān)系�。因此��,可以在步驟B中 的HTML內(nèi)容中包括所述不被瀏覽器S2顯示的挑戰(zhàn)碼CH�����,該碼可以有一定的長度����,例如但不 限于128bit,并在HTTP傳輸中被編碼成預(yù)定格式的文本。從而上述實施例腳本代碼激發(fā)的 請求還包括提交該挑戰(zhàn)碼CH給本機服務(wù)器S3���,并期待返回應(yīng)答碼R;具體如圖4所示�����,包括 了上述步驟C涉及用戶����、瀏覽器S2�����、本機WEB服務(wù)器S3和認(rèn)證硬件H3的完整交互過程���。其
中�,所述本機WEB服務(wù)器S3監(jiān)聽并收到所述HTTP請求后將接收或解析出挑戰(zhàn)碼CH,再傳遞該 碼到認(rèn)證硬件H3并獲得應(yīng)答碼R,最后將該應(yīng)答碼R編碼返回到瀏覽器S2���。這樣�����,步驟D中 對所述應(yīng)答碼R的合法確認(rèn)��,就是對該應(yīng)答碼R和挑戰(zhàn)碼CH之間的算法或邏輯關(guān)系確認(rèn)�����。從 而����,本發(fā)明方法可以兼容現(xiàn)有B/S系統(tǒng)的認(rèn)證方式,很容易地實現(xiàn)系統(tǒng)升級�。
這樣,所述本機WEB服務(wù)器S3被啟動后的工作包括監(jiān)聽S2請求和查找并與認(rèn)證硬件 H3交互兩部分內(nèi)容���?��?梢匀鐖D5流程所示,先進行預(yù)定TCP/IP端口的監(jiān)聽���。 一般該端口 避免選擇使用常用的TCP/IP端口��,可以選用但不限于選擇9098�。當(dāng)用戶點擊登錄后���,瀏覽 器S2的頁面腳本文件被激發(fā)產(chǎn)生了 HTTP請求��。所述本機WEB服務(wù)器S3監(jiān)聽到該請求后�, 為了確認(rèn)所述用戶的合法性,將對認(rèn)證硬件進行査找確認(rèn)過程先判斷本機電腦是否連接 認(rèn)證硬件���,若否�����,則返回的應(yīng)答碼R為一預(yù)定的錯誤代碼��;若是,則接收所述挑戰(zhàn)碼CH 并發(fā)送給該認(rèn)證硬件�����,接收由該認(rèn)證硬件產(chǎn)生的應(yīng)答碼R�,再將該應(yīng)答碼R返回瀏覽器S2。
另外����,為了防止撿到該認(rèn)證硬件H3的人非法登錄服務(wù)系統(tǒng),解決丟失認(rèn)證硬件的安 全問題����,本機WEB服務(wù)器S3還可以在確認(rèn)本機電腦連接有認(rèn)證硬件后,產(chǎn)生一個對話框消 息�����,通過屏幕顯示要求用戶輸入該認(rèn)證硬件的激活碼,例如但不限于圖3所示�����;進而判斷 所述輸入的激活碼是否能夠正確激活認(rèn)證硬件�,若否,則設(shè)置所述應(yīng)答碼R為一預(yù)定的非 法代碼�;若是,才接收所述挑戰(zhàn)碼CH并發(fā)送給該認(rèn)證硬件進行后續(xù)處理����。
此外,該圖5實施例中的監(jiān)聽請求和查找認(rèn)證硬件兩部分內(nèi)容的次序還可以作相應(yīng)調(diào) 整���。例如�����,所述本機服務(wù)器軟件S3被啟動后先進行認(rèn)證硬件的查找�����,找到認(rèn)證硬件之后才 進行請求的監(jiān)聽�����。這樣����,所述瀏覽器S2將被設(shè)置成預(yù)定時間內(nèi)得不到本機WEB服務(wù)器S3 應(yīng)答(對應(yīng)著該認(rèn)證硬件不存在等情況)時,將自動提交預(yù)定的錯誤代碼給遠(yuǎn)程所述WEB 服務(wù)器S1��。
為了防止釣魚網(wǎng)站等偽裝服務(wù)器的攻擊,本發(fā)明還允許由用戶端對挑戰(zhàn)碼CH進行驗證�。 例如,真正的遠(yuǎn)程所述WEB服務(wù)器S1將是把挑戰(zhàn)碼CH經(jīng)數(shù)字簽名處理后才發(fā)出的�;這樣, 可以設(shè)置使所述本機WEB服務(wù)器S3接收到挑戰(zhàn)碼CH后����,將根據(jù)預(yù)定算法來驗證該碼的有 效性���,若有效�,才進行后續(xù)對認(rèn)證硬件的操作����,否則返回認(rèn)證錯誤代碼,所述本機WEB服 務(wù)器S3可以拒絕對未認(rèn)可的遠(yuǎn)程服務(wù)器提供認(rèn)證服務(wù)�����。該驗證過程還可以由認(rèn)證硬件fB
來完成,即設(shè)置所述認(rèn)證硬件H3接收到挑戰(zhàn)碼CH后����,將根據(jù)預(yù)定算法來驗證該碼的有效 性;若有效���,才進行后續(xù)的應(yīng)答碼生成和返回�����,否則返回的應(yīng)答碼R為一預(yù)定的認(rèn)證錯誤 代碼���,由所述本機WEB服務(wù)器S3拒絕提供認(rèn)證服務(wù)。
本發(fā)明中����,因所述本機服務(wù)器軟件S3對普通用戶而言,只要進行簡單的安裝和/或啟 動操作而不必去考慮根據(jù)瀏覽器的不同來安裝插件和修改相應(yīng)瀏覽器的安全設(shè)置�����,從而免 除了系統(tǒng)不必要的維護麻煩����。
權(quán)利要求
1.一種在線身份的雙因子認(rèn)證系統(tǒng)�,包括通過互聯(lián)網(wǎng)相連接的服務(wù)器端和用戶端��;所述服務(wù)器端包括連接互聯(lián)網(wǎng)的服務(wù)器硬件H1���,以及基于該硬件H1的WEB服務(wù)器S1�����;所述用戶端包括連接互聯(lián)網(wǎng)的本機電腦H2以及基于該電腦的瀏覽器S2���;所述用戶端還包括通過預(yù)定接口與所述本機電腦相連的認(rèn)證硬件H3,其特征在于所述用戶端還包括基于所述本機電腦H2運行的本機服務(wù)器軟件所構(gòu)成的本機WEB服務(wù)器S3����,接收所述瀏覽器S2的HTTP請求�,并將該請求轉(zhuǎn)換成與所述認(rèn)證硬件H3的交互過程,再將該交互結(jié)果返回到對所述HTTP請求的應(yīng)答數(shù)據(jù)里�;所述瀏覽器S2將該交互結(jié)果結(jié)合到登錄信息里提交給所述WEB服務(wù)器S1。
2. —種在線身份的雙因子認(rèn)證方法�,基于包括服務(wù)器端和用戶端的雙因子認(rèn)證系統(tǒng),所述 服務(wù)器端包括連接互聯(lián)網(wǎng)的服務(wù)器硬件Hl及基于該硬件的WEB服務(wù)器Sl;包括步驟A. 用戶通過基于用戶端本機電腦H2的瀏覽器S2來向服務(wù)器端提出訪問請求����;B. 所述WEB服務(wù)器Sl提供HTML內(nèi)容供所述瀏覽器S2產(chǎn)生登錄頁面���,以要求用戶 進行登錄;C. 用戶輸入數(shù)據(jù)并點擊登錄�,所述瀏覽器S2將登錄數(shù)據(jù)提交給所述WEB服務(wù)器S1;D. 所述WEB服務(wù)器S1確認(rèn)用戶是否合法,若是�,則接受用戶請求,允許用戶訪問�; 其特征在于,還包括當(dāng)所述本機電腦H2未安裝有本機服務(wù)器軟件時在該電腦上安裝該軟件以設(shè)置本機 WEB服務(wù)器S3的步驟��;啟動運行所述本機WEB服務(wù)器S3的步驟���; 從而所述步驟C中用戶點擊登錄后包括步驟c2.所述本機WEB服務(wù)器S3接收并響應(yīng)來自瀏覽器S2的預(yù)定HTTP請求��,查找與本機電腦連接的認(rèn)證硬件H3并與該認(rèn)證硬件H3交互��,獲得應(yīng)答碼R; c3.該本機WEB服務(wù)器S3將所述應(yīng)答碼R返回給所述瀏覽器S2���,以作為所述登錄 數(shù)據(jù)的一部分。
3. 根據(jù)權(quán)利要求2所述在線身份的雙因子認(rèn)證方法���,其特征在于所述本機WEB服務(wù)器S3占用并監(jiān)聽本機IP地址�����,即127.0.0.1��,的預(yù)定端口����。
4. 根據(jù)權(quán)利要求2或3所述在線身份的雙因子認(rèn)證方法,其特征在于所述步驟C還包括 步驟cl.所述瀏覽器S2使用XMLHttpRequest對象來提交所述HTTP請求��; 從而����,所述步驟c3中,本機WEB服務(wù)器S3是以符合XML或HTML規(guī)范形式的數(shù)據(jù)來返 回所述應(yīng)答碼R的�。
5. 根據(jù)權(quán)利要求2所述在線身份的雙因子認(rèn)證方法,其特征在于步驟B中����,所述WEB服務(wù)器S1還發(fā)送一個挑戰(zhàn)碼CH給所述瀏覽器S2;從而步 驟c2中,所述本機WEB服務(wù)器S3對所述HTTP請求的響應(yīng)包括接收該挑戰(zhàn)碼CH����。
6. 根據(jù)權(quán)利要求5所述在線身份的雙因子認(rèn)證方法,其特征在于�,步驟c2對所述認(rèn)證硬 件的操作包括所述本機WEB服務(wù)器S3查找并判斷本機電腦H2是否連接認(rèn)證硬件H3,若否��,則 設(shè)置所述應(yīng)答碼R為一預(yù)定的錯誤代碼�����;若是���,則將所述挑戰(zhàn)碼CH發(fā)送給該認(rèn)證硬件����, 接收由該認(rèn)證硬件產(chǎn)生的應(yīng)答碼R����。
7. 根據(jù)權(quán)利要求5所述在線身份的雙因子認(rèn)證方法,其特征在于�����,步驟c2對所述認(rèn)證硬 件的操作包括所述本機WEB服務(wù)器S3查找并判斷本機電腦H2連接認(rèn)證硬件H3后����,通過屏幕顯 示要求用戶輸入該認(rèn)證硬件的激活碼�����;進而判斷該激活碼是否能夠正確激活認(rèn)證硬件��, 若否�,則設(shè)置所述應(yīng)答碼R為一預(yù)定的非法代碼�;若是,則將所述挑戰(zhàn)碼CH發(fā)送給該 認(rèn)證硬件��,接收由該認(rèn)證硬件產(chǎn)生的應(yīng)答碼R���。
8. 根據(jù)權(quán)利要求5-7任一項所述在線身份的雙因子認(rèn)證方法����,其特征在于 所述本機WEB服務(wù)器S3接收到所述挑戰(zhàn)碼CH后��,根據(jù)預(yù)定算法來驗證該碼的有效性���;若有效���,才進行后續(xù)對認(rèn)證硬件H3的搡作,否則返回認(rèn)證錯誤代碼��。
9. 根據(jù)權(quán)利要求6或7所述在線身份的雙因子認(rèn)證方法,其特征在于所述認(rèn)證硬件H3接收到所述挑戰(zhàn)碼CH后���,根據(jù)預(yù)定算法來驗證該碼的有效性;若 有效����,才進行后續(xù)的應(yīng)答碼生成和返回,否則返回的應(yīng)答碼R為一預(yù)定的認(rèn)證錯誤代碼���。
10. 根據(jù)權(quán)利要求2��、 5-7任一項所述在線身份的雙因子認(rèn)證方法���,其特征在于步驟C中所述的登錄數(shù)據(jù)還包括用戶輸入的用戶名和/或密碼;從而步驟D中�����,所 述WEB服務(wù)器S1對用戶的驗證包括驗證所述應(yīng)答碼R是否合法����,以及驗證用戶名稱 和/或密碼是否合法。
全文摘要
一種在線身份的雙因子認(rèn)證方法和系統(tǒng)�����,基于B/S體系,用戶端還包括通過預(yù)定接口與本機電腦H2相連的認(rèn)證硬件H3�����,本發(fā)明還在用戶端增加設(shè)置一本機WEB服務(wù)器S3�����,用來接收來自瀏覽器S2的HTTP請求���,并將該請求轉(zhuǎn)換成與所述認(rèn)證硬件H3的交互過程�,再將交互結(jié)果返回到對所述HTTP請求的應(yīng)答數(shù)據(jù)里���;所述瀏覽器S2將該交互結(jié)果結(jié)合到登錄信息里提交給遠(yuǎn)程WEB服務(wù)器S1進行用戶認(rèn)證�����。使用本發(fā)明����,解決了不同瀏覽器的兼容性問題���,免除對用戶本地操作的復(fù)雜要求����;同時便于B/S系統(tǒng)低成本地實現(xiàn)安全升級,使在線服務(wù)更安全�����。
文檔編號H04L9/32GK101106456SQ200610061670
公開日2008年1月16日 申請日期2006年7月11日 優(yōu)先權(quán)日2006年7月11日
發(fā)明者濤 王 申請人:深圳市江波龍電子有限公司;王 濤