CN102833213A - 一种基于令牌的网页认证登陆方法 - Google Patents
一种基于令牌的网页认证登陆方法 Download PDFInfo
- Publication number
- CN102833213A CN102833213A CN2011101589043A CN201110158904A CN102833213A CN 102833213 A CN102833213 A CN 102833213A CN 2011101589043 A CN2011101589043 A CN 2011101589043A CN 201110158904 A CN201110158904 A CN 201110158904A CN 102833213 A CN102833213 A CN 102833213A
- Authority
- CN
- China
- Prior art keywords
- user
- token
- web server
- web
- browser
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于令牌的网页认证登陆方法,包括下列步骤:(1)令牌向客户端应用程序反馈Web应用主页、用户ID信息;(2)客户端应用程序向Web服务器发送用户登录身份认证请求;(3)Web服务器查询数据库,确认用户的存在性、用户当前是否被激活,并将反馈结果返回给所述客户端桌面程序;(4)所述客户端桌面程序将将用户ID、Web应用主页和挑战的应答组织成一个Web地址,客户端应用程序调用浏览器,将前面组织好的地址作为参数发送给浏览器;(5)浏览器访问Web服务器,将用户ID、响应信息发送给Web服务器;(6)所述WEB服务器查询数据库获得浏览器提交的用户ID对应的信息,更新并完成用户身份认证过程。本发明具有降低风险的技术优点。
Description
技术领域
本发明涉及一种基于令牌的网络登录方法,主要是为在Web应用中为用户提供强身份认证,降低因传统静态口令的弱抗暴力破解、网络劫持等给用户账户安全带来的风险。
背景技术
目前基于USB的强身份认证产品主要是基于公钥技术(PKI),PKI公钥基础设置通过公开密钥技术和数字证书来确保用户信息的安全及验证证书持有者的身份。但是,PKI在提供强身份认证的同时也因其繁琐的实施过程和维护管理增加着用户的经济成本。
动态口令技术是强身份认证的另一个主要技术,动态口令因其抗暴力破解、抗偷看及抗劫持等一系列优点得到越来越广泛的应用。
目前,较为常见是的是同时使用PKI技术的基于USB的身份认证产品和动态口令双因素(多因素)身份认证产品,根据这些方法和技术,其具有抗偷看、抗劫持和抗暴力破解等技术优点。
但是,采取这种方法的话,在实践之中存在着下面所述的缺点:
第一,实施与维护成本很高 ;
第二,由于PKI的证书很少有更新,因此,其在使用超过一定时限安全性会降低,存在着较大的安全隐患;
第三,上述方法,尤其是在Web应用中,其应用方式和作用效果依赖于特定的网络浏览器,并且,其应用平台也比较单一;
第四,如果采取OTP 令牌的话,其会因使用自带电池使用寿命受限制,并且,由于所述OTP 令牌没有与PC连接,因此其信息交互形式单一。
发明内容
本发明针对现有的技术缺点而提出,提供了一种基于令牌的网页登录方法,所述系统能够在Web应用中为用户提供强身份认证,降低因传统静态口令的弱抗暴力破解、网络劫持等给用户账户安全带来的风险。
本发明解决上述技术问题所采取的技术方案如下面所描述:
一种上述登陆系统的登陆方法,包括以下步骤:
(1)令牌向客户端应用程序反馈Web应用主页、用户ID信息;
(2)客户端应用程序向Web服务器发送用户登录身份认证请求;
(3)Web服务器查询数据库,确认用户的存在性、用户当前是否被激活,并将反馈结果返回给所述客户端桌面程序;
(4)所述客户端桌面程序将将用户ID、Web应用主页和挑战的应答组织成一个Web地址,客户端应用程序调用浏览器,将前面组织好的地址作为参数发送给浏览器;
(5)浏览器访问Web服务器,将用户ID、响应信息发送给Web服务器;
(6)所述WEB服务器查询数据库获得浏览器提交的用户ID对应的信息,更新并完成用户身份认证过程。
进一步地,优选的方法是,在所述令牌之中,应用HMAC-FNV算法将令牌内部存储的用户唯一的密钥信息、令牌从客户端应用程序接收到的挑战信息加密的结果反馈给客户端应用程序。
本发明在采取了上述技术方案以后,由于采取了HMAC-FNV算法(FNV改进算法)对数据进行加密,并且,在浏览器、Web服务器及令牌之间添加了客户端桌面程序作为协调组件,屏蔽令牌对特定浏览器的依赖,具有实现范围广、能够在Web应用中为用户提供强身份认证,降低因传统静态口令的弱抗暴力破解、网络劫持等给用户账户安全带来的风险的技术优点,具有较好的技术效果。
附图说明
下面结合附图对本发明进行详细的描述,以使得本发明的上述优点更加明确。
图1是本发明基于令牌的网络登陆方法所采用的系统的框架示意图。
图2是本发明基于令牌的网络登陆方法的流程图。
具体实施方式
下面结合附图和具体实施例来对本发明进行详细的描述。
图1是本发明基于令牌的网络登陆方法所采用的系统的框架示意图。
如图所示,基于令牌的网络登陆方法所采用的系统,主要由下列组件构成:WEB浏览器;令牌,所述令牌用于存储用户的认证信息以及各种密码信息;
WEB服务器和数据库,并且,所述WEB服务器的根目录设置有所述数据库的脚本,所述WEB服务器与所述数据库连接在一起;以及,客户端桌面程序,所述客户端桌面程序读取令牌中的用户信息并完成用户的认证过程,之后将用户的访问请求发送给WEB服务器,所述WEB服务器查询数据库,从而实现用户的网页认证登陆过程。
其中,所述客户端桌面程序起到了一个交互界面的作用,并且,其内部设置有多个功能单元,并且,设置在浏览器和WEB服务器以及令牌之间,起到了一个信息协调功能层的作用,进而屏蔽了对特定浏览器的依赖,具有比较好的访问技术效果。
并且,所述WEB浏览器连接所述客户端桌面程序,并且,所述客户端应用程序将用户ID、Web应用主页和挑战的应答组织成一个Web地址,并将所述地址作为参数发送到所述WEB浏览器之中。
同时,所述令牌内部采取HMAC-FNV算法或者其他任意哈希算法加密处理,这样的话,能够获得较好的加密效果。
一般地,所述令牌中保存有每个用户特有的一段机密信息、用户ID、用户PIN码摘要、欲保护Web主页地址,并且,在所述令牌中实现了用于PIN码比对使用的MD5哈希算法(Hash)和用于产生认证响应的HMAC-FNV算法(FNV改进算法)。
所述的HMAC-FNV算法具体描述如下:
其中,各个符号的代表含义如下:
s1 加密结果影响因素
s2 加密内容
ret 中间结果
算法本体部分:
FNVINIT FNV算法使用的初始化常数(0x811c9dc5)
Truncate 截断运算符
Skey 用户密钥
schallenge 服务器的挑战信息
算法定义: HMAC-FNV = truncate(FNV(s1, FNV(s2, FNVINIT)))
Step1: ret=FNV(s2, FNVINIT)
Step2: ret=FNV(s1,ret)
Step3: ret=truncate(ret)
Step4: 返回结果ret
此外,在所述客户端桌面程序之中还设置有对服务器访问的身份认证模块,所述身份认证模块在发送登录请求的同时发送一个对Web服务器的挑战信息。通过HTTP协议和USB设备实现挑战应答机制,为Web应用提供强身份认证保护效果。
首先,利用产品发行包带的sql(数据库操作语言)脚本在欲保护的Web服务器使用的数据库服务上创建TokenLite Web Authentication System使用的数据库;接着, 将产品发行包中服务端脚页拷贝至Web应用目录中;其次, 配置服务端脚本使用的数据库信息(数据库名称、数据库服务器地址、用于连接数据库的用户名、登录数据库的密码);接着,利用令牌初始化工具(TokenLite Init Tool)为用户初始化令牌(初始化令牌中用户ID、用户密钥、Web主页、用户PIN码);接着,为用户发放令牌和客户端桌面应用程序(TokenLite Daemon Tool);最后,用户只需要通过将令牌通过USB与运行客户端桌面应用程序的计算链接输入正确的用户PIN码,便可登录到Web应用,将令牌从计算机移除退出Web应用。
下面我们结合图1和图2对本发明所述的登陆方法进行详细的描述。如图所示,所述方法包括如下的步骤:
步骤1:用户将令牌通过USB与计算机链接;
步骤2:客户端桌面程序向用户显示要求用户输入用户PIN的界面;
步骤3:用户输入正确的用户PIN码;其中,被设置成:如果用户输入错误的PIN码会有错误提示,连续3次输入错误用户PIN码进一步的操作将被拒绝;
步骤4:客户端桌面程序将用户PIN码反馈后发送给令牌;
步骤5:令牌在内部完成用户PIN码的验证,向客户端桌面程序返回用户PIN码验证结果;
步骤6:如果用户PIN码验证成功,客户端应用程序向令牌请求Web应用主页、用户ID等相关信息;
步骤7:令牌向客户端应用程序反馈Web应用主页、用户ID信息;
步骤8:客户端应用程序向Web服务器发送用户登录身份认证请求;
并且,其中,我们可以在客户端桌面程序可以添加对服务器的身份认证模块,并且,在发送登录请求的同时发送一个对Web服务器的挑战信息。
步骤9:Web服务器查询数据库,确认用户的存在性、用户当前是否被激活;
步骤10:若用户存在并且已经处于激活状态,Web服务器产生一个用于本次登录的随机数作为挑战发送给客户端桌面程序,将随机数挑战信息更新至数据库;否则,发送拒绝信息给客户端桌面程序。
并且,如果客户端桌面程序需要对Web服务器进行身份认证,则Web服务器需要利用HMAC-FNV算法对客户提交的挑战信息和用户ID对应的密钥信息加密产生对客户挑战的应答结果反馈给客户端桌面程序;
步骤11:若Web服务器返回错误信息,桌面应用程序向用户显示此错误信息;
其中,需要注意的是,如果Web服务器返回随机数作为挑战,桌面应用程序将挑战信息发送给令牌;
步骤12:令牌在内部利用HMAC-FNV算法将令牌内部存储的用户唯一的密钥信息、令牌从客户端应用程序接收到的挑战信息加密的结果反馈给客户端应用程序;
步骤13:客户端应用程序将令牌反馈的加密结果作为对Web服务器本次挑战的应答,将用户ID、Web应用主页和挑战的应答组织成一个Web地址.客户端应用程序调用浏览器,将前面组织好的地址作为参数发送给浏览器;
步骤14:浏览器访问Web服务器,将用户ID、响应信息发送给Web服务器;
步骤15:Web服务器查询数据库获得浏览器提交的用户ID对应的用户唯一的密钥、挑战信息和超时标记信息,若挑战信息超时则本次认证失败,Web服务器向客户端应用程序返回错误提示,客户需要重新开始登录过程;
否则Web服务器使用HMAC-FNV算法将用户密钥和挑战信息加密,将加密结果与用户提交的响应信息比对,不同则Web服务器向客户端桌面程序反馈错误信息;
如果两者对应相同的话,则更新该用户Session,完成用户身份认证;
步骤16:并且,在此后,所述Web服务器更新数据库中对应用户ID的挑战信息字段(使挑战信息不可用)。
一般来说,本发明所要包括的关键技术要点在于以下几种:
第一,HMAC-FNV算法(FNV改进算法);
第二,在浏览器、Web服务器及令牌之间添加信息协调功能层(客户端桌面程序),屏蔽令牌对特定浏览器的依赖;
第三,通过HTTP协议和USB设备实现挑战应答机制,为Web应用提供强身份认证保护;并且,我们在进行计算响应信息时可以选择其他哈希算法,同样能够实现本发明类似的技术效果。
本发明在采取了上述技术方案以后,由于采取了HMAC-FNV算法(FNV改进算法)对数据进行加密,并且,在浏览器、Web服务器及令牌之间添加了客户端桌面程序作为协调组件,屏蔽令牌对特定浏览器的依赖,具有实现范围广、能够在Web应用中为用户提供强身份认证,降低因传统静态口令的弱抗暴力破解、网络劫持等给用户账户安全带来的风险的技术优点,具有较好的技术效果。
需要注意的是,上述具体实施例仅仅是示例性的,在本发明的上述教导下,本领域技术人员可以在上述实施例的基础上进行各种改进和变形,而这些改进或者变形落在本发明的保护范围内。
本领域技术人员应该明白,上面的具体描述只是为了解释本发明的目的,并非用于限制本发明。本发明的保护范围由权利要求及其等同物限定。
Claims (4)
1.一种基于令牌的网页认证登陆方法,包括下列步骤:
(1)令牌向客户端应用程序反馈Web应用主页、用户ID信息;
(2)客户端应用程序向Web服务器发送用户登录身份认证请求;
(3)Web服务器查询数据库,确认用户的存在性、用户当前是否被激活,并将反馈结果返回给所述客户端桌面程序;
(4)所述客户端桌面程序将将用户ID、Web应用主页和挑战的应答组织成一个Web地址,客户端应用程序调用浏览器,将前面组织好的地址作为参数发送给浏览器;
(5)浏览器访问Web服务器,将用户ID、响应信息发送给Web服务器;
(6)所述WEB服务器查询数据库获得浏览器提交的用户ID对应的信息,更新并完成用户身份认证过程。
2.根据权利要求1所述的基于令牌的网页认证登陆方法,其特征在于,在步骤(3)中,若用户不存在或者未激活,则所述Web服务器发送拒绝信息给客户端桌面程序。
3.根据权利要求1所述的基于令牌的网页认证登陆方法,其特征在于,还包括有数据库以及令牌初始化步骤。
4.根据权利要求1所述的基于令牌的网页认证登陆方法,其特征在于,在所述令牌之中,应用HMAC-FNV算法将令牌内部存储的用户唯一的密钥信息、令牌从客户端应用程序接收到的挑战信息加密的结果反馈给客户端应用程序。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2011101589043A CN102833213A (zh) | 2011-06-14 | 2011-06-14 | 一种基于令牌的网页认证登陆方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2011101589043A CN102833213A (zh) | 2011-06-14 | 2011-06-14 | 一种基于令牌的网页认证登陆方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN102833213A true CN102833213A (zh) | 2012-12-19 |
Family
ID=47336186
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2011101589043A Pending CN102833213A (zh) | 2011-06-14 | 2011-06-14 | 一种基于令牌的网页认证登陆方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102833213A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103560885A (zh) * | 2013-11-01 | 2014-02-05 | 金蝶软件(中国)有限公司 | 一种域代理认证方法和系统 |
CN107147647A (zh) * | 2017-05-11 | 2017-09-08 | 腾讯科技(深圳)有限公司 | 一种网页授权方法及装置 |
CN111105537A (zh) * | 2019-12-19 | 2020-05-05 | 如般量子科技有限公司 | 基于秘密共享和抗量子计算的门禁身份识别方法及系统 |
CN113609425A (zh) * | 2021-07-15 | 2021-11-05 | 西安四叶草信息技术有限公司 | 网页数据处理方法及系统 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20010045451A1 (en) * | 2000-02-28 | 2001-11-29 | Tan Warren Yung-Hang | Method and system for token-based authentication |
CN101815091A (zh) * | 2010-03-12 | 2010-08-25 | 薛明 | 密码提供设备、密码认证系统和密码认证方法 |
-
2011
- 2011-06-14 CN CN2011101589043A patent/CN102833213A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20010045451A1 (en) * | 2000-02-28 | 2001-11-29 | Tan Warren Yung-Hang | Method and system for token-based authentication |
CN101815091A (zh) * | 2010-03-12 | 2010-08-25 | 薛明 | 密码提供设备、密码认证系统和密码认证方法 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103560885A (zh) * | 2013-11-01 | 2014-02-05 | 金蝶软件(中国)有限公司 | 一种域代理认证方法和系统 |
CN107147647A (zh) * | 2017-05-11 | 2017-09-08 | 腾讯科技(深圳)有限公司 | 一种网页授权方法及装置 |
CN107147647B (zh) * | 2017-05-11 | 2021-01-08 | 腾讯科技(深圳)有限公司 | 一种网页授权方法及装置 |
CN111105537A (zh) * | 2019-12-19 | 2020-05-05 | 如般量子科技有限公司 | 基于秘密共享和抗量子计算的门禁身份识别方法及系统 |
CN111105537B (zh) * | 2019-12-19 | 2021-12-07 | 如般量子科技有限公司 | 基于秘密共享和抗量子计算的门禁身份识别方法及系统 |
CN113609425A (zh) * | 2021-07-15 | 2021-11-05 | 西安四叶草信息技术有限公司 | 网页数据处理方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107171794B (zh) | 一种基于区块链和智能合约的电子文书签署方法 | |
CN102833276A (zh) | 一种基于令牌的网页登陆系统 | |
EP3550783A1 (en) | Internet of things device burning verification method and apparatus, and identity authentication method and apparatus | |
CN108900471B (zh) | 用于传输数据的服务器、客户端、网络系统及方法 | |
US8898764B2 (en) | Authenticating user through web extension using token based authentication scheme | |
CN103986584A (zh) | 基于智能设备的双因子身份验证方法 | |
CN108347428B (zh) | 基于区块链的应用程序的注册系统、方法和装置 | |
CN105262588A (zh) | 基于动态口令的登录方法、账号管理服务器及移动终端 | |
CN111314172B (zh) | 基于区块链的数据处理方法、装置、设备及存储介质 | |
CN103384198B (zh) | 一种基于邮箱的用户身份认证服务方法和系统 | |
CN103532966A (zh) | 一种支持基于usb key单点登录虚拟桌面的装置及方法 | |
WO2014048749A1 (en) | Inter-domain single sign-on | |
CN1758586A (zh) | 时间戳服务系统和时间戳信息验证服务器及计算机·软件 | |
CN102143131B (zh) | 用户注销方法及认证服务器 | |
CN104301328A (zh) | 一种云计算环境下的资源操作安全认证方法及系统 | |
CN105099707A (zh) | 一种离线认证方法、服务器及系统 | |
CN111818088A (zh) | 授权模式管理方法、装置、计算机设备及可读存储介质 | |
CN105376208A (zh) | 安全数据验证方法、系统与计算机可读取储存媒体 | |
CN102739667A (zh) | 基于验证提示信息的验证方法、装置、系统及服务器 | |
CN105354482A (zh) | 一种单点登录方法及装置 | |
CN102833214A (zh) | 一种基于令牌的网页登陆系统以及方法 | |
CN104125230A (zh) | 一种短信认证服务系统以及认证方法 | |
CN102970308A (zh) | 一种用户认证方法及服务器 | |
CN107483477B (zh) | 账户管理方法及账户管理系统 | |
CN102833213A (zh) | 一种基于令牌的网页认证登陆方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C05 | Deemed withdrawal (patent law before 1993) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20121219 |