CN104468115A - 信息系统访问认证方法及装置 - Google Patents

Abstract

一种信息系统访问认证方法及装置，所述方法包括步骤：对根据客户端的信息系统访问登录请求生成的随机验证码进行匿名认证，若匿名认证成功，对获取的用户名及密码信息进行认证；所述装置包括相连的验证码认证模块、用户名及密码认证模块，所述验证码认证模块用于对根据客户端的信息系统访问登录请求生成的随机验证码进行匿名认证，所述用户名及密码认证模块用于当匿名认证成功时，对获取的用户名及密码信息进行认证。本发明采用二阶段双因素认证方法，使在不增加用户登录复杂性的同时，提高了登录信息的安全性。

Description

信息系统访问认证方法及装置

技术领域

本发明涉及信息安全技术领域，特别是涉及一种信息系统访问认证方法及装置。

背景技术

几乎所有的网络信息系统或互联网信息系统都提供登录功能，用户需要登录才有权限获得服务。而用户登录信息属于机密信息，用户在公共电脑或受木马、病毒或蠕虫等入侵的电脑上登录时，会面临严重信息泄露风险，同时，用户登录信息还容易受到网络钓鱼方式攻击而导致登录账号被盗或被劫持等。

现有的网络信息系统或互联网信息系统提供的用户登录功能的实现方法如下：

1、用户请求登录，客户端出现信息系统的登录界面；

2、用户在登录界面输入用户名，密码；部份服务商为了防止字典暴力登录，设置了验证码。

3、如果登录成功，信息系统会为该用户建立一个登录会话，如果登录失败，信息系统会返回客户端一个错误信息。

上述登录方法过于简单，属单因素认证，容易让用户陷入钓鱼陷阱，或受木马病毒感染，使得用户名及密码被窃取，安全性非常低。

发明内容

基于上述现有技术中存在的技术问题，本发明的一个目的在于提出一种信息系统访问认证方法及装置，在不增加用户登录复杂性的同时提高安全性。

一种信息系统访问认证方法，包括步骤：

对根据客户端的信息系统访问登录请求生成的随机验证码进行匿名认证；

若匿名认证成功，对获取的用户名及密码信息进行认证。

一种信息系统访问认证装置，包括相连的验证码认证模块、用户名及密码认证模块，所述验证码认证模块用于对根据客户端的信息系统访问登录请求生成的随机验证码进行匿名认证；所述用户名及密码认证模块用于当匿名认证成功时，对获取的用户名及密码信息进行认证。

上述信息系统访问认证方法及装置，相较于现有技术，优点是：用户登录信息系统时分两个阶段进行，第一阶段为匿名认证，用户不需要提供用户名及密码，只需要获得随机验证码信息，并运用直接匿名认证方法对所述随机验证码信息进行验证；第二阶段为带身份识别信息的认证，用户需要提供用户名及密码，进行认证。两个阶段的认证能够有效降低用户登录信息的泄露风险，提高了安全性。

附图说明

图1为本发明方法实施例的流程示意图；

图2为本发明方法匿名认证随机验证码实施例的流程示意图；

图3为本发明方法认证用户名及密码信息实施例的流程示意图；

图4为本发明装置实施例的结构示意图；

图5为本发明装置验证码认证模块实施例的结构示意图；

图6为本发明装置用户名及密码认证模块实施例的结构示意图；

图7为本发明装置具体实施例的操作流程图。

具体实施方式

下面结合附图对本发明信息系统访问认证方法的具体实施方式做详细描述。

如图1所示，一种信息系统访问认证方法，包括步骤：

S100、对根据客户端的信息系统访问登录请求生成的随机验证码进行匿名认证；

所述客户端可以为万维网Web应用客户端即Web浏览器客户端，也可以为信息系统的客户端；所述随机验证码作为挑战(Challenge)信息，用于进行匿名认证；

S200、若匿名认证成功，对获取的用户名及密码信息进行认证，其中所述用户名及密码信息可以预存在所述客户端，也可以通过用户输入获取。

步骤S100中的对随机验证码进行匿名认证可以有多种实现方法，例如，在一个实施例中，如图2所示，步骤S100包括：

S110、根据客户端的信息系统访问登录请求生成登录会话标识码、随机验证码；

所述登录会话标识码为临时的、唯一的，生成标识码便于按实体进行存贮和对实体进行逐个查询和检索；

S120、采用信息系统私钥和用户公钥对所述登录会话标识码、所述随机验证码、认证服务器网址进行RSA(非对称密码算法)加密及签名；

认证服务器提供客户端的登记功能，即客户端安装认证应用后，须首先在认证服务器上进行登记，登记后，客户端通过连接认证服务器网址，与认证服务器随时创建连接，进行认证；RSA加密及签名方法可以通过现有技术中已知的技术获得，采用非对称加密技术，使认证信息传送时更安全可靠；

S130、将加密及签名的登录会话标识码、随机验证码、认证服务器网址转换成二维码；其中二维码转换可以通过现有技术中已知的二维码转换软件或程序等实现，采用二维码技术，使认证信息传送时更安全可靠；

S140、将所述二维码解码，采用信息系统公钥和用户私钥对所述解码的二维码进行签名认证及解密，获得登录会话标识码、随机验证码、认证服务器网址；

将二维码解码可通过现有技术中已知的方法实现，例如通过带有摄像头的手机，该手机安装有二维码扫描功能的应用APP(application)等，通过现有技术中的应用软件协助进行二维码的扫描输入，提高了用户的操作体验；签名认证及解密方法同样可以通过现有技术中已知的技术获得；

S150、通过连接认证服务器网址对随机验证码进行匿名认证；

客户端从二维码获得认证服务器的网址，通过所述网址与认证服务器连接，对随机验证码进行认证，以证明用户知道这个二维码，并能够提供匿名认证证明属于信息系统可信用户。

步骤S200中的对用户名及密码信息进行认证可以有多种实现方法，例如，在一个实施例中，如图3所示，步骤S200中对用户名及密码信息进行认证包括：

S210、采用信息系统公钥和用户私钥对所述登录会话标识码、获取的用户名及密码信息进行签名及加密，生成加密密文；

S220、通过认证服务器将所述加密密文传输给信息系统；

客户端通过连接认证服务器的网址，将所述加密密文传送给认证服务器，认证服务器再将所述加密密文传输给信息系统；认证服务器允许用户通过认证服务器提供登录认证功能；

S230、采用信息系统私钥和用户公钥对所述加密密文进行签名认证及解密，获得登录会话标识码、用户名及密码信息；

S240、对所述用户名及密码信息进行认证，若认证成功则完成信息系统访问登录。

在一个实施例中，步骤S110之前，还可以包括步骤：根据所述访问登录请求获取用户登录界面；

步骤S130之后，还可以包括步骤：在所述用户登录界面显示所述二维码。

为了便于判断随机验证码匿名认证是否成功，是否可以进行第二阶段的认证，以及第二阶段用户名及密码信息的认证是否成功，是否成功完成登录等，在一个实施例中，步骤S150之后，还可以包括步骤：返回应答信息，信息系统根据应答信息确定匿名认证是否成功，如果匿名认证成功，信息系统通知认证服务器进行第二阶段的认证工作，如果匿名认证不成功，不进行第二阶段的认证工作；

步骤S240之后，还可以包括步骤：若认证成功，则返回登陆成功信息，用户完成登录；若所述用户名、密码信息不符或无效，则返回错误信息，用户登录不成功。

在一个实施例中，所述客户端可以包括智能手机或移动终端等，所述智能手机或移动终端安装有具有二维码扫描功能及网络连接特性的应用APP，可以扫描二维码及在认证服务器中进行登录、连接所述认证服务器等。

基于同一发明构思，本发明还提供了一种信息系统访问认证装置，下面结合附图对本发明装置的具体实施方式做详细描述。

如图4所示，一种信息系统访问认证装置，包括相连的验证码认证模块100、用户名及密码认证模块200，所述验证码认证模块100用于对根据客户端的信息系统访问登录请求生成的随机验证码进行匿名认证；所述用户名及密码认证模块200用于当匿名认证成功时，对获取的用户名及密码信息进行认证。

所述验证码认证模块100对随机验证码进行匿名认证可以有多种实现方法，例如，在一个实施例中，如图5所示，所述验证码认证模块100包括：

标识码及验证码获取模块110，用于根据客户端的信息系统访问登录请求生成登录会话标识码、随机验证码；

加密及签名模块120，用于采用信息系统私钥和用户公钥对所述登录会话标识码、所述随机验证码、认证服务器网址进行RSA加密及签名；

二维码转换模块130，用于将加密及签名的登录会话标识码、随机验证码、认证服务器网址转换成二维码；

二维码解码模块140，用于将所述二维码解码；

签名认证及解密模块150，用于采用信息系统公钥和用户私钥对所述解码的二维码进行签名认证及解密，获得登录会话标识码、随机验证码、认证服务器网址；

二维码认证模块160，用于连接认证服务器网址对随机验证码进行匿名认证。

所述用户名及密码认证模块200对用户名及密码信息进行认证可以有多种实现方法，例如，在一个实施例中，如图6所示，所述用户名及密码认证模块200包括：

签名及加密模块210，用于采用信息系统公钥和用户私钥对所述登录会话标识码、获取的用户名及密码信息进行签名及加密，生成加密密文；

传输模块220，用于通过认证服务器将所述加密密文传输给信息系统；

密文签名认证及解密模块230，用于采用信息系统私钥和用户公钥对所述加密密文进行签名认证及解密，获得登录会话标识码、用户名及密码信息；

密文认证模块240，用于对所述用户名及密码信息进行认证，若认证成功则完成信息系统访问登录。

在一个实施例中，所述装置还可以包括用户登录界面获取模块和二维码显示模块，所述用户登录界面获取模块用于根据所述访问登录请求获取用户登录界面；所述二维码显示模块用于显示所述二维码；

所述二维码转换模块将加密及签名的登录会话标识码、随机验证码、认证服务器网址转换成二维码之后，所述二维码显示模块在所述用户登录界面显示所述二维码。

为了便于判断随机验证码匿名认证是否成功，是否可以进行第二阶段的认证，以及第二阶段用户名及密码信息的认证是否成功，是否成功完成登录等，在一个实施例中，所述二维码认证模块160对所述随机验证码进行匿名认证之后，还用于返回应答信息，信息系统根据应答信息确定匿名认证是否成功；

所述密文认证模块240对所述用户名及密码信息进行认证之后，还用于：若认证成功，则返回登陆成功信息；若所述用户名、密码信息不符或无效，则返回错误信息。

在一个实施例中，所述客户端可以包括智能手机或移动终端等。

为了更好地理解本装置的具体操作流程，下面结合一个具体实施例做详细描述，其中图7所示的应用服务器即为本发明的信息系统，登录应用APP具有二维码扫描功能及网络连接特性。

客户端通过互联网连接应用服务器，发送登录请求，应用服务器返回客户端用户登录界面；

应用服务器为登录请求生成登录会话标识码、随机验证码；

应用服务器通过服务器私钥和用户公钥对所述登录会话标识码、随机验证码、认证服务器网址进行RSA加密及签名，生成加密密文；

应用服务器将所述加密密文转化成二维码，并将所述二维码在客户端的用户登陆界面显示；

安装在客户端的登录应用APP通过摄像装置将二维码扫描输入并解码；

登录应用APP将解码的二维码通过服务器公钥和用户私钥解密，获得登录会话标识码、随机验证码、认证服务器网址；

登录应用APP连接认证服务器，对所述随机验证码进行匿名认证，认证服务器返回应答信息；

应用服务器根据应答信息确定匿名认证是否成功，若匿名认证成功，应用服务器通知认证服务器开启第二阶段认证；

登录应用APP查询存放在客户端的用户名及密码信息，用户名及密码信息也可以通过用户输入获取；

登录应用APP将登录会话标识码、用户名及密码信息通过服务器公钥和用户私钥进行签名及加密，生成新的加密密文；

登录应用APP连接认证服务器网址，将新的加密密文传输给认证服务器；

认证服务器通过网络将新的加密密文传输给应用服务器；

应用服务器通过自身的服务器私钥和用户公钥对新的加密密文进行签名认证及解密，获得登录会话标识码、用户名及密码信息；

应用服务器进行用户名及密码信息认证，若认证成功，则完成客户端的登录程序，用户登录成功，返回登陆成功信息，否则返回错误信息。

本装置其他技术特征与上述信息系统访问认证方法相同，在此不予赘述。

上述信息系统访问认证方法及装置，相较于现有技术，有以下优点：

1、用户登录信息系统时分两个阶段进行，第一阶段为匿名认证，用户不需要提供用户名及密码，只需要通过二维码获得随机验证码信息，并运用直接匿名认证方法对所述随机验证码信息进行验证；第二阶段为带身份识别信息的认证，用户需要提供用户名及密码，进行认证。两个阶段的认证能够有效降低用户登录信息的泄露风险，提高了安全性。

2、用户登录信息系统时需要双因素认证，即二维码认证及用户名及密码认证，结合二维码技术和非对称加密技术，使得认证信息传送时更安全可靠。

3、借助APP软件协助进行二维码的扫描录入及密码的输入，使在增加安全性的同时提升了用户的操作体验。

以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。

Claims (10)

1.一种信息系统访问认证方法，其特征在于，包括步骤：

对根据客户端的信息系统访问登录请求生成的随机验证码进行匿名认证；

若匿名认证成功，对获取的用户名及密码信息进行认证。

2.根据权利要求1所述的信息系统访问认证方法，其特征在于，对根据客户端的信息系统访问登录请求生成的随机验证码进行匿名认证的步骤包括：

根据客户端的信息系统访问登录请求生成登录会话标识码、随机验证码；

采用信息系统私钥和用户公钥对所述登录会话标识码、所述随机验证码、认证服务器网址进行RSA加密及签名；

将加密及签名的登录会话标识码、随机验证码、认证服务器网址转换成二维码；

将所述二维码解码，采用信息系统公钥和用户私钥对所述解码的二维码进行签名认证及解密，获得登录会话标识码、随机验证码、认证服务器网址；

通过连接认证服务器网址对随机验证码进行匿名认证。

3.根据权利要求1所述的信息系统访问认证方法，其特征在于，对获取的用户名及密码信息进行认证的步骤包括：

采用信息系统公钥和用户私钥对所述登录会话标识码、获取的用户名及密码信息进行签名及加密，生成加密密文；

通过认证服务器将所述加密密文传输给信息系统；

采用信息系统私钥和用户公钥对所述加密密文进行签名认证及解密，获得登录会话标识码、用户名及密码信息；

对所述用户名及密码信息进行认证，若认证成功则完成信息系统访问登录。

4.根据权利要求2所述的信息系统访问认证方法，其特征在于，根据客户端的信息系统访问登录请求生成登录会话标识码、随机验证码的步骤之前，还包括步骤：根据所述访问登录请求获取用户登录界面；

将加密及签名的登录会话标识码、随机验证码、认证服务器网址转换成二维码的步骤之后，还包括步骤：在所述用户登录界面显示所述二维码。

5.根据权利要求1至4任意一项所述的信息系统访问认证方法，其特征在于，所述客户端包括智能手机或移动终端。

6.一种信息系统访问认证装置，其特征在于，包括相连的验证码认证模块、用户名及密码认证模块，所述验证码认证模块用于对根据客户端的信息系统访问登录请求生成的随机验证码进行匿名认证；所述用户名及密码认证模块用于当匿名认证成功时，对获取的用户名及密码信息进行认证。

7.根据权利要求6所述的信息系统认证装置，其特征在于，所述验证码认证模块包括：

标识码及验证码获取模块，用于根据客户端的信息系统访问登录请求生成登录会话标识码、随机验证码；

加密及签名模块，用于采用信息系统私钥和用户公钥对所述登录会话标识码、所述随机验证码、认证服务器网址进行RSA加密及签名；

二维码转换模块，用于将加密及签名的登录会话标识码、随机验证码、认证服务器网址转换成二维码；

二维码解码模块，用于将所述二维码解码；

签名认证及解密模块，用于采用信息系统公钥和用户私钥对所述解码的二维码进行签名认证及解密，获得登录会话标识码、随机验证码、认证服务器网址；

二维码认证模块，用于连接认证服务器网址对随机验证码进行匿名认证。

8.根据权利要求6所述的信息系统认证装置，其特征在于，所述用户名及密码认证模块包括：

签名及加密模块，用于采用信息系统公钥和用户私钥对所述登录会话标识码、获取的用户名及密码信息进行签名及加密，生成加密密文；

传输模块，用于通过认证服务器将所述加密密文传输给信息系统；

密文签名认证及解密模块，用于采用信息系统私钥和用户公钥对所述加密密文进行签名认证及解密，获得登录会话标识码、用户名及密码信息；

密文认证模块，用于对所述用户名及密码信息进行认证，若认证成功则完成信息系统访问登录。

9.根据权利要求7所述的信息系统访问认证装置，其特征在于，还包括用户登录界面获取模块和二维码显示模块，所述用户登录界面获取模块用于根据所述访问登录请求获取用户登录界面；所述二维码显示模块用于显示所述二维码；

所述二维码转换模块将加密及签名的登录会话标识码、随机验证码、认证服务器网址转换成二维码之后，所述二维码显示模块在所述用户登录界面显示所述二维码。

10.根据权利要求6至9任意一项所述的信息系统访问认证装置，其特征在于，所述客户端包括智能手机或移动终端。