專利名稱:計(jì)算機(jī)網(wǎng)絡(luò)賬號(hào)安全防護(hù)方法及服務(wù)系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)帳號(hào)密碼保護(hù)的方法����,可應(yīng)用于計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域,以及網(wǎng)絡(luò)游戲�、電子商務(wù)、集團(tuán)管理�����、網(wǎng)絡(luò)軟件等所有頒發(fā)簽證合作的網(wǎng)絡(luò)運(yùn)營(yíng)商。
背景技術(shù):
過(guò)去�,僅使用一個(gè)由網(wǎng)絡(luò)用戶名以及與其相關(guān)聯(lián)的登錄密碼組成的有效憑據(jù)組合,用戶就可以通過(guò)身份驗(yàn)證����。
然而,不能排除用戶可能會(huì)在公共場(chǎng)合使用此憑證被別人看到��、或者很容易被猜到����,以及木馬病毒、釣魚網(wǎng)站等盜取此憑證的可能性��。一但有效憑據(jù)失去私密性�,當(dāng)用戶通過(guò)身份驗(yàn)證可以訪問(wèn)網(wǎng)絡(luò)后,能夠?qū)ζ溥M(jìn)行限制的其他安全壁壘太少�。并且,在僅需要登錄名和密碼進(jìn)行訪問(wèn)的環(huán)境下��,很難檢測(cè)并阻止某一持有有效憑據(jù)但未經(jīng)授權(quán)的個(gè)人的活動(dòng)���。其認(rèn)證圖如附圖1所示�,由客戶端發(fā)送帳號(hào)密碼至服務(wù)器端的時(shí)候,沒(méi)有任何防護(hù)措施�,根本無(wú)法防止木馬病毒的盜取用戶安全憑證的行為。
圖二所示系統(tǒng)用于安全性非常敏感的系統(tǒng)(例如工商銀行網(wǎng)上銀行)��。圖中CA是一個(gè)證書頒發(fā)機(jī)構(gòu)��,為用戶頒發(fā)數(shù)字證書���,用于為要驗(yàn)證身份的聯(lián)機(jī)實(shí)體提供證明?�?蛻舳嗽诎l(fā)送登陸憑證的同時(shí)��,還要發(fā)送數(shù)字證書����,從而實(shí)現(xiàn)只憑登陸憑證無(wú)法驗(yàn)證來(lái)達(dá)到防盜的目的。圖中插件的作用在于安全的存儲(chǔ)數(shù)字證書不被非法復(fù)制�����。這種系統(tǒng)的硬件投入巨大�,并不適合很多網(wǎng)絡(luò)系統(tǒng)。
為解決此問(wèn)題�,近幾年不斷有新的用戶識(shí)別方法及系統(tǒng)被提出.如中國(guó)專利02154144.2公開了一種網(wǎng)絡(luò)本人確認(rèn)方式和裝置����,采用移動(dòng)存儲(chǔ)器(軟盤或U盤)存儲(chǔ)系統(tǒng)給定的密碼��。由于不需要用戶記憶戶名和密碼���,可以將存儲(chǔ)在移動(dòng)存儲(chǔ)器中的密碼和戶名設(shè)置較長(zhǎng)����,防止被破譯和記憶的可能��。但是其缺陷是密碼是可讀的�,只是增加了難度,并不能杜絕被記憶�;同時(shí)對(duì)木馬病毒、釣魚網(wǎng)站和黑客網(wǎng)站采用非法手段從客戶端盜取用戶有效憑證沒(méi)有防護(hù)作用���。
同時(shí)����,中國(guó)專利還公開了一種自動(dòng)隨機(jī)一次性密碼提高網(wǎng)絡(luò)交易安全的認(rèn)證方法(專利申請(qǐng)?zhí)?2132554.5)��,盡管該方法使用了包括USB驅(qū)動(dòng)程序���、8-32存儲(chǔ)器及微處理器硬件的密碼安全裝置��,但是只是在密碼安全裝置和服務(wù)器之間設(shè)置了內(nèi)存裝置中的加密解密裝置和對(duì)應(yīng)程序�����。該方法附帶了復(fù)雜的密碼生成器和解密裝置�,不僅硬件投入加大,其安全性還有待于進(jìn)一步提高����。
發(fā)明內(nèi)容
本發(fā)明目的在于提供一種計(jì)算機(jī)網(wǎng)絡(luò)帳號(hào)安全防護(hù)方法及服務(wù)系統(tǒng)�����,以克服現(xiàn)有僅憑用戶登錄名和密碼訪問(wèn)環(huán)境下密碼容易暴露或被竊取的弊端�����。
計(jì)算機(jī)網(wǎng)絡(luò)安全最大風(fēng)險(xiǎn)在于用于驗(yàn)證用戶身份的有效憑據(jù)不能被安全的傳輸至對(duì)應(yīng)服務(wù)器�����,本發(fā)明主要解決由網(wǎng)絡(luò)用戶名以及與其相關(guān)聯(lián)的登錄密碼組成的有效憑據(jù)不能被安全的通過(guò)網(wǎng)絡(luò)傳送至對(duì)應(yīng)的服務(wù)器端的問(wèn)題����。
即具體的說(shuō)����,計(jì)算機(jī)網(wǎng)絡(luò)帳號(hào)安全防護(hù)方法��,其是按照以下步驟實(shí)現(xiàn)(1)在第一次使用它時(shí)服務(wù)器端用于驗(yàn)證用戶身份的有效憑據(jù)通過(guò)一個(gè)代理驗(yàn)證服務(wù)器修改����,并且將修改后的結(jié)果存儲(chǔ)在插接在用戶終端的USB安全插件中;(2)以后使用時(shí)首先由代理驗(yàn)證服務(wù)器通過(guò)其它驗(yàn)證辦法來(lái)驗(yàn)證客戶端的請(qǐng)求�����;(3)當(dāng)請(qǐng)求通過(guò)后�����,代理驗(yàn)證服務(wù)器會(huì)發(fā)送用于驗(yàn)證用戶身份的有效憑據(jù)到服務(wù)器端實(shí)現(xiàn)用戶登錄���。
實(shí)現(xiàn)上述計(jì)算機(jī)網(wǎng)絡(luò)帳號(hào)安全防護(hù)方法的服務(wù)系統(tǒng)包括插接在用戶終端的USB的安全插件���,該插件至少包括微處理器;數(shù)據(jù)庫(kù)和應(yīng)用系統(tǒng)Web服務(wù)器�,該數(shù)據(jù)庫(kù)和應(yīng)用系統(tǒng)Web服務(wù)器相連并且通過(guò)網(wǎng)絡(luò)與客戶終端連接����;用于發(fā)送客戶端秘密信息和修改秘密信息的代理驗(yàn)證服務(wù)器�����,該代理驗(yàn)證服務(wù)器為一個(gè)與應(yīng)用系統(tǒng)Web服務(wù)器基本相同的計(jì)算機(jī)且聯(lián)系客戶終端和應(yīng)用系統(tǒng)Web服務(wù)器�。
本發(fā)明在不更改服務(wù)器端軟件或硬件的前提下從根本上解決了木馬病毒,釣魚網(wǎng)站���,黑客軟件等利用非法手段從客戶端盜取用戶有效憑證的可能性��。防止因用戶泄漏或被非法盜取用戶敏感驗(yàn)證信息的安全隱患��。填補(bǔ)了計(jì)算機(jī)網(wǎng)絡(luò)帳號(hào)安全使用問(wèn)題的空缺。
本發(fā)明有益效果具體表現(xiàn)在
(1)安全性得到增強(qiáng)雙因素身份驗(yàn)證不僅要求輸入有效憑據(jù)���。用戶還必須擁有可以隨身攜帶的安全插件并且知道自己的個(gè)人識(shí)別號(hào)(2)簡(jiǎn)單簡(jiǎn)單易用��。本發(fā)明不附帶麻煩的密碼生成器�����。不需要控制龐大的設(shè)備����。只需USB安全插件即可使用(3)便于利用現(xiàn)有基礎(chǔ)結(jié)構(gòu)使用原有基礎(chǔ)結(jié)構(gòu)在不改變?cè)瓟?shù)據(jù)庫(kù)服務(wù)器任何數(shù)據(jù)的情況下,只需在客戶端安裝安全插件即可實(shí)現(xiàn).前所未有的安全.
(4)多應(yīng)用可以應(yīng)用于多個(gè)項(xiàng)目�����,各項(xiàng)目之間相互隔離���。
圖1為目前計(jì)算機(jī)帳號(hào)密碼認(rèn)證圖���。
圖2為最新計(jì)算機(jī)帳號(hào)認(rèn)證圖。
圖3為本發(fā)明計(jì)算機(jī)帳號(hào)認(rèn)證圖����。
具體實(shí)施例方式附圖3給出了本發(fā)明的實(shí)現(xiàn)認(rèn)證原理。圖中和組成部分的含義是代理驗(yàn)證服務(wù)器用于發(fā)送客戶端秘密信息和修改秘密信息的系統(tǒng)�,為與應(yīng)用系統(tǒng)WEB服務(wù)器相同的一臺(tái)計(jì)算機(jī);代理理驗(yàn)證服務(wù)器的目地在于在不改變圖1的基礎(chǔ)結(jié)構(gòu)下����,實(shí)現(xiàn)圖2的強(qiáng)安全性及跨平臺(tái)目的。
服務(wù)器是指原有計(jì)算機(jī)系統(tǒng)中的應(yīng)用系統(tǒng)/WEB服務(wù)器的安全系統(tǒng)�����。
安全插件本發(fā)明防護(hù)系統(tǒng)用于與電腦USB接口連接的硬件,如U盤大小�,直接插入客戶端終端計(jì)算機(jī)USB插口使用,至少帶有微處理器的智能卡��,如工商銀行普遍使用的U盾�。
本發(fā)明計(jì)算機(jī)網(wǎng)絡(luò)帳號(hào)安全防護(hù)方法,其是按照以下步驟實(shí)現(xiàn)的
(1)在第一次使用它時(shí)服務(wù)器端用于驗(yàn)證用戶身份的有效憑據(jù)通過(guò)一個(gè)代理驗(yàn)證服務(wù)器修改��,并且將修改后的結(jié)果存儲(chǔ)在插接在用戶終端的USB安全插件中�;(2)以后使用時(shí)首先由代理驗(yàn)證服務(wù)器通過(guò)其它驗(yàn)證辦法來(lái)驗(yàn)證客戶端的請(qǐng)求;(3)當(dāng)請(qǐng)求通過(guò)后�����,代理驗(yàn)證服務(wù)器會(huì)發(fā)送用于驗(yàn)證用戶身份的有效憑據(jù)到服務(wù)器端實(shí)現(xiàn)用戶登錄����。
實(shí)現(xiàn)上述計(jì)算機(jī)網(wǎng)絡(luò)帳號(hào)安全防護(hù)方法的服務(wù)系統(tǒng)包括插接在用戶終端的USB的安全插件����,該插件至少包括微處理器;數(shù)據(jù)庫(kù)和應(yīng)用系統(tǒng)Web服務(wù)器�����,該數(shù)據(jù)庫(kù)和應(yīng)用系統(tǒng)Web服務(wù)器相連并且通過(guò)網(wǎng)絡(luò)與客戶終端連接;用于發(fā)送客戶端秘密信息和修改秘密信息的代理驗(yàn)證服務(wù)器�,該代理驗(yàn)證服務(wù)器為一個(gè)與應(yīng)用系統(tǒng)Web服務(wù)器基本相同的計(jì)算機(jī)且聯(lián)系客戶終端和應(yīng)用系統(tǒng)Web服務(wù)器。
本發(fā)明與僅僅使用網(wǎng)絡(luò)用戶名和密碼的方法來(lái)保護(hù)網(wǎng)絡(luò)帳號(hào)安全不同����,具有雙因素身份驗(yàn)證。
雙因素驗(yàn)證包括用戶已有(例如安全插件和已知的個(gè)人標(biāo)識(shí)號(hào)或PIN��,即安全插件所有者設(shè)置并存儲(chǔ)在卡上的加密碼)的事物����。使用個(gè)人識(shí)別碼用戶可以訪問(wèn)存儲(chǔ)在NP安全插件上的數(shù)字證書,用戶需持有被授權(quán)的安全插件才能被驗(yàn)證�。必須持有NP安全插件才能進(jìn)行遠(yuǎn)程訪問(wèn)身份驗(yàn)證,這一要求大大地減少了被盜的可能.因?yàn)檎J(rèn)證過(guò)程中���,密碼并未離開安全插件���。
計(jì)算機(jī)網(wǎng)絡(luò)帳號(hào)安全防護(hù)方法的原理是本防護(hù)系統(tǒng)帶有一個(gè)硬件(安全插件),用于直接與電腦的USB端口連接���,在第一次使用本系統(tǒng)時(shí)代理驗(yàn)證服務(wù)器修改服務(wù)器端用戶的秘密值(用戶授權(quán)給代理驗(yàn)證服務(wù))�����,以達(dá)到“強(qiáng)”密碼策略�����,以后使用時(shí)���,客戶端首先向代理驗(yàn)證服務(wù)器端發(fā)起登陸請(qǐng)求�,代理驗(yàn)證服務(wù)器通過(guò)數(shù)字證書來(lái)驗(yàn)證客戶端的登陸請(qǐng)求�����,當(dāng)驗(yàn)證通過(guò)后代理驗(yàn)證服務(wù)器以客戶端的名義發(fā)送秘密信息到服務(wù)器端�,驗(yàn)證過(guò)程完成。
<1>代理驗(yàn)證服務(wù)器為保護(hù)秘密值的“強(qiáng)”度和登陸憑證由用戶自己保管出現(xiàn)的問(wèn)題����,代理驗(yàn)證服務(wù)器會(huì)先修改服務(wù)器端用于驗(yàn)證用戶身份的有效憑據(jù);<2>代理驗(yàn)證服務(wù)器以客戶端的名義發(fā)送登陸憑據(jù)�����、交易憑證(秘密信息)����,服務(wù)器端收到的是以客戶端名義發(fā)送的登陸憑證,故服務(wù)器端的反饋信息會(huì)直接與客戶端通信���,而與代理驗(yàn)證服務(wù)器無(wú)關(guān)����。從而實(shí)現(xiàn)整個(gè)防盜目的�����。
本發(fā)明可應(yīng)用于計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域����,以及網(wǎng)絡(luò)游戲、電子商務(wù)��、集團(tuán)管理���、網(wǎng)絡(luò)軟件等所有頒發(fā)簽證合作的網(wǎng)絡(luò)運(yùn)營(yíng)商�����。
所有頒發(fā)簽證合作的網(wǎng)絡(luò)營(yíng)運(yùn)商�,均可達(dá)到本發(fā)明的密碼保護(hù)目的。只需網(wǎng)絡(luò)營(yíng)運(yùn)商將帶有密碼的封包在用戶登錄時(shí)先經(jīng)過(guò)本安全插件再由安全插件發(fā)至代理服務(wù)器即可達(dá)到代理驗(yàn)證的目的�����。
權(quán)利要求
1.一種計(jì)算機(jī)網(wǎng)絡(luò)帳號(hào)安全防護(hù)方法�,其特征是按照以下步驟實(shí)現(xiàn)(1)在第一次使用它時(shí)服務(wù)器端用于驗(yàn)證用戶身份的有效憑據(jù)通過(guò)一個(gè)代理驗(yàn)證服務(wù)器修改,并且將修改后的結(jié)果存儲(chǔ)在插接在用戶終端的USB安全插件中���;(2)以后使用時(shí)首先由代理驗(yàn)證服務(wù)器通過(guò)其它驗(yàn)證辦法來(lái)驗(yàn)證客戶端的請(qǐng)求��;(3)當(dāng)請(qǐng)求通過(guò)后���,代理驗(yàn)證服務(wù)器會(huì)發(fā)送用于驗(yàn)證用戶身份的有效憑據(jù)到服務(wù)器端實(shí)現(xiàn)用戶登錄。
2.一種計(jì)算機(jī)網(wǎng)絡(luò)帳號(hào)安全防護(hù)服務(wù)系統(tǒng)�����,其特征是包括插接在用戶終端的USB的安全插件����,該插件至少包括微處理器;數(shù)據(jù)庫(kù)和應(yīng)用系統(tǒng)Web服務(wù)器��,該數(shù)據(jù)庫(kù)和應(yīng)用系統(tǒng)Web服務(wù)器相連并且通過(guò)網(wǎng)絡(luò)與客戶終端連接��;用于發(fā)送客戶端秘密信息和修改秘密信息的代理驗(yàn)證服務(wù)器,該代理驗(yàn)證服務(wù)器為一個(gè)與應(yīng)用系統(tǒng)Web服務(wù)器基本相同的計(jì)算機(jī)且聯(lián)系客戶終端和應(yīng)用系統(tǒng)Web服務(wù)器����。
全文摘要
本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)帳號(hào)安全防護(hù)方法��。它是按照以下步驟實(shí)現(xiàn)在第一次使用它時(shí)服務(wù)器端用于驗(yàn)證用戶身份的有效憑據(jù)通過(guò)一個(gè)代理驗(yàn)證服務(wù)器修改�����,并且將修改后的結(jié)果存儲(chǔ)在插接在用戶終端的USB插件中��;以后使用時(shí)首先由代理驗(yàn)證服務(wù)器通過(guò)其它驗(yàn)證辦法來(lái)驗(yàn)證客戶端的請(qǐng)求���;當(dāng)請(qǐng)求通過(guò)后�,代理驗(yàn)證服務(wù)器會(huì)發(fā)送用于驗(yàn)證用戶身份的有效憑據(jù)到服務(wù)器端實(shí)現(xiàn)用戶登錄���。實(shí)現(xiàn)該防護(hù)方法的服務(wù)系統(tǒng)包括插接在用戶終端的USB的安全插件�����,數(shù)據(jù)庫(kù)和應(yīng)用系統(tǒng)Web服務(wù)器��,用于發(fā)送客戶端秘密信息和修改秘密信息的代理驗(yàn)證服務(wù)器�����。本發(fā)明在不更改服務(wù)器端軟件或硬件的前提下從根本上解決了木馬病毒����,釣魚網(wǎng)站,黑客軟件等利用非法手段從客戶端盜取用戶有效憑證的可能性���。防止因用戶泄漏或被非法盜取用戶敏感驗(yàn)證信息的安全隱患���。
文檔編號(hào)H04L9/32GK1905448SQ200610104488
公開日2007年1月31日 申請(qǐng)日期2006年8月3日 優(yōu)先權(quán)日2006年8月3日
發(fā)明者代飛, 代博 申請(qǐng)人:代飛