CN105553983A - 一种网页数据保护方法 - Google Patents
一种网页数据保护方法 Download PDFInfo
- Publication number
- CN105553983A CN105553983A CN201510956011.1A CN201510956011A CN105553983A CN 105553983 A CN105553983 A CN 105553983A CN 201510956011 A CN201510956011 A CN 201510956011A CN 105553983 A CN105553983 A CN 105553983A
- Authority
- CN
- China
- Prior art keywords
- client
- service end
- otp
- code
- answer back
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0838—Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3273—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明实施例公开了一种网页数据保护方法,所述方法包括:A、客户端浏览器发出使用OTP方式认证客户端信息的请求;B、服务端根据该请求反馈OTP客户端认证挑战码;C、客户端浏览器接收挑战码,由OTP设备根据该挑战码生成客户端应答码;并由客户端浏览器发送该客户端应答码和OTP设备的ID;D、服务端根据OTP设备ID确定出所存储的OTP种子,并根据该OTP种子和挑战码生成服务端应答码,据此对客户端应答码进行匹配认证通过后,进行与客户端浏览器网页数据的通讯。由上,本发明实施例规避了USBKey证书颁发的繁琐过程,且不需要直接连接客户端,可跨平台使用,提高了HTTPS的通信效率。
Description
技术领域
本发明涉及网络安全技术领域,特别涉及一种网页数据保护方法。
背景技术
网页数据是构成网站的基本元素,是承载各种网站业务的基本形态。一个网页通常由文本数据和图片数据组成,也可以是pdf、word等其他格式的文件。它遵循特定标记语言格式,可以存放在任意一台计算机(服务端)中。网页数据是用户选择的web资源,通常由浏览器向服务端请求,并由浏览器将请求结果呈现出来。网页数据在网络通信传递的常用方法包括:HTTP(超文本传输)、HTTPS单向认证传输、HTTPS双向认证传输。
HTTP协议使用极为广泛,但却存在安全缺陷。HTTP协议数据为明文传送,同时并未对通信消息做完整性检测,容易遭受网络嗅探,攻击者可从传输过程当中分析出敏感的数据,例如管理员对web程序后台的登录过程等,从而获取网站管理权限。即使无法获取到后台登录信息,对于网页中的手机号码、身份证号码、信用卡卡号等重要资料的获取,也会导致严重的安全事故。
HTTPS单向认证传输是在网页数据通信过程中认证了服务端证书的合法性,解决了服务端的安全问题,但是并没有认证客户端合法性。在使用网银、政府机关等业务中,服务端无法确认客户端操作人的身份,攻击者可以通过“中间人”来窃取客户信息从而导致信息安全事故。
HTTPS双向认证传输同时认证了服务端(证书)和客户端(证书)的合法性,从而保证了网页数据在通信过程中不被破解、篡改。
但是现有技术中,双向认证需要客户端申请对应服务端的用户证书,且客户端证书通常需要硬件载体(USBKey)来配合使用。硬件证书的使用通常需要安装硬件驱动,且跨平台性较差,使用过程较为繁琐,加大了客户的使用难度,同时由于计算机与硬件设备之间需要进行额外的安全认证,又影响了整个HTTPS的通信效率。
发明内容
有鉴于此,本发明的主要目的在于优化现有SSL链路建立过程,使用OTP设备作为HTTPS双向认证,规避了USBKey证书颁发的繁琐过程,同时不影响SSL握手过程计算效率,同时认证设备(OTP)不需要直接连接客户端,可跨平台使用,提高了HTTPS的通信效率。
本发明实施例中提供一种网页数据保护方法,包括以下步骤:
A、客户端浏览器发出使用OTP方式认证客户端信息的请求;
B、服务端根据所述请求反馈OTP客户端认证挑战码;
C、客户端浏览器接收所述挑战码,由OTP设备根据该挑战码生成客户端应答码;并由客户端浏览器发出该客户端应答码和OTP设备的ID;
D、服务端根据OTP设备ID确定出所存储的OTP种子,并根据该OTP种子和所述挑战码生成服务端应答码,据此对所述客户端应答码进行匹配认证通过后,进行与客户端浏览器网页数据的通讯。
由上,使用OTP设备作为HTTPS双向认证,规避了USBKey证书颁发的繁琐过程,同时不影响SSL握手过程计算效率,且不需要直接连接客户端,可跨平台使用,提高了HTTPS的通信效率。
优选地,步骤B中还包括:服务端还将向客户端发送服务端证书;
相应的步骤C还包括:客户端还根据所述服务端证书对服务端进行合法性验证。
由上,客户端根据服务端证书对服务端进行合法性验证,从而保证通信的安全性。
优选地,所述步骤C包括:
客户端浏览器接收所述挑战码并显示,该挑战码被输入到OTP设备,由OTP据此生成客户端应答码,该客户端应答码和OTP设备ID分别被输入浏览器发出。
由上,通过OTP设备获取客户端应答码,用于后续与服务端应答码进行一致性对比。
优选地,所述客户端浏览器接收所述挑战码后还包括判断是否可以使用OTP认证登录的步骤。
优选地,步骤C还包括:客户端浏览器产生一对称密钥,并发送给服务端;
相应的步骤D所述通讯采用该对称密钥加密通讯。
由上,通过对称密钥加密通讯,提高通讯的安全性。
优选地,步骤B还包括:由服务端发送服务端证书的公钥;
相应的,步骤C还包括:由客户端使用所述服务端证书的公钥对所述客户端应答码和OTP设备的ID和所述对称密钥加密;
相应的,步骤D还包括:由服务端使用服务端私钥对所述客户端应答码和OTP设备的ID和所述对称密钥进行解密。
由上,通过公钥加密以及私钥解密,提高通讯的安全性。
由上可以看出,本发明实施例通过使用OTP设备作为HTTPS双向认证,规避了USBKey证书颁发的繁琐过程,同时不影响SSL握手过程计算效率,且不需要直接连接客户端,可跨平台使用,提高了HTTPS的通信效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种网页数据保护方法流程示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为克服现有技术中的缺陷,本申请提供一种网页数据保护方法,使用OTP设备作为HTTPS双向认证,规避了USBKey证书颁发的繁琐过程,同时不影响SSL握手过程计算效率,且不需要直接连接客户端,可跨平台使用,提高了HTTPS的通信效率。
如图1所示,为本发明实施例中的提出的一种网页数据保护方法的流程示意图,所述方法应用于包括客户端和服务端的系统中,所述客户端拥有已在服务端备案并激活的动态口令OTP设备,所述方法包括以下步骤:
S101,客户端的浏览器向服务端传送客户端SSL协议的版本号,加密算法的种类,产生的随机数,及其他服务端和客户端之间通讯所需要的各种信息,同时在扩展信息中添加请求使用OTP方式认证客户端信息。
S102,服务端向客户端传送SSL协议的版本号,加密算法的种类,随机数以及其他相关信息,同时服务端还将向客户端传送自己的证书及OTP扩展信息,扩展信息包括:是否可以使用OTP方式登录及OTP客户端认证挑战码。
S103,客户端利用服务端传送过来的信息验证服务端的合法性以及判断是否使用OTP认证登录,若所述服务端合法且判断结果为使用OTP方式登录,则执行S104,反之,则执行S105。
在一个具体的实现过程中,客户端利用服务端发送过来的信息验证服务端的合法性,服务端的合法性包括:证书是否过期,发行服务端证书的CA是否可靠,发行者证书的公钥能否正确解开服务端证书的“发行者的数字签名”,服务端证书上的域名是否和服务端的实际域名相匹配。同时判断是否可以使用OTP认证登录,若合法性验证通过且可以使用OTP认证,则继续进行下一步,若合法性验证没有通过或者不可以使用OTP认证登录,通讯将断开。
S104,客户端浏览器显示服务端发送的挑战码,挑战码被用于输入到所述OTP设备以得到客户端应答码;
客户端应答码和OTP设备ID被用于输入浏览器输入框,以产生客户端和服务端之间通讯的对称密钥;
客户端使用从服务端发送的认证信息中获得的服务端证书的公钥将所述OTP设备ID、客户端应答码和对称密钥分别加密后发送给服务端;其中,OTP设备ID也可以用帐号来替代。
S105,断开通讯。
S106,服务端使用服务端的私钥将OTP设备ID、客户端应答码和对称密钥解密,并根据OTP设备ID在服务端数据库中取出对应OTP种子,用种子和挑战码并根据OTP专有算法接口运算得出服务端应答码,此处的公钥和私钥是相互关联的,公钥加密的数据只能用私钥解密,私钥只在服务端保留。
S107,检验客户端应答码和服务端应答码的一致性,若一致,则执行S108,反之,则执行S105。
S108,使用对称密钥作为客户端和服务端之间的通讯的通话密码,以实现网页浏览。
在一个具体的实现过程中,所述使用对称密钥作为客户端和服务端之间的通讯的通话密码,包括:使用对称密钥对客户端和服务端之间的通讯进行加密或解密。
同时还需要保证数据通讯的完整性,防止数据通讯中的任何变化。客户端向服务端发出信息,指明后面的数据通讯将使用对称密钥作为通话密码,同时通知服务端客户端的握手过程结束。服务端向客户端发出信息,指明后面的数据通讯将使用对称密钥作为通话密码,同时通知客户端服务端的握手过程结束。握手部分结束,安全通道的数据通讯开始,客户和服务端开始使用相同的对称密钥进行数据通讯,同时进行通讯完整性的检验。
综上所述,与现有技术相比,本发明实施例使用OTP设备作为HTTPS双向认证,规避了USBKey证书颁发的繁琐过程,同时不影响SSL握手过程计算效率,且不需要直接连接客户端,可跨平台使用,提高了HTTPS的通信效率。
本发明实施例中的服务端为服务器,其他能够实现本发明技术效果的服务端也同样适用。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (6)
1.一种网页数据保护方法,其特征在于,包括:
A、客户端浏览器发出使用OTP方式认证客户端信息的请求;
B、服务端根据所述请求反馈OTP客户端认证挑战码;
C、客户端浏览器接收所述挑战码,由OTP设备根据该挑战码生成客户端应答码;并由客户端浏览器发出该客户端应答码和OTP设备的ID;
D、服务端根据OTP设备ID确定出所存储的OTP种子,并根据该OTP种子和所述挑战码生成服务端应答码,据此对所述客户端应答码进行匹配认证通过后,进行与客户端浏览器网页数据的通讯。
2.根据权利要求1所述的方法,其特征在于,步骤B中还包括:服务端还将向客户端发送服务端证书;
相应的步骤C还包括:客户端还根据所述服务端证书对服务端进行合法性验证。
3.根据权利要求1所述的方法,其特征在于,所述步骤C包括:
客户端浏览器接收所述挑战码并显示,该挑战码被输入到OTP设备,由OTP据此生成客户端应答码,该客户端应答码和OTP设备ID分别被输入浏览器发出。
4.根据权利要求3所述的方法,其特征在于,所述客户端浏览器接收所述挑战码后还包括判断是否可以使用OTP认证登录的步骤。
5.根据权利要求1所述的方法,其特征在于,步骤C还包括:客户端浏览器产生一对称密钥,并发送给服务端;
相应的步骤D所述通讯采用该对称密钥加密通讯。
6.根据权利要求5所述的方法,其特征在于,步骤B还包括:由服务端发送服务端证书的公钥;
相应的,步骤C还包括:由客户端使用所述服务端证书的公钥对所述客户端应答码、OTP设备的ID和所述对称密钥进行加密;
相应的,步骤D还包括:由服务端使用服务端私钥对所述客户端应答码、OTP设备的ID和所述对称密钥进行解密。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510956011.1A CN105553983B (zh) | 2015-12-17 | 2015-12-17 | 一种网页数据保护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510956011.1A CN105553983B (zh) | 2015-12-17 | 2015-12-17 | 一种网页数据保护方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105553983A true CN105553983A (zh) | 2016-05-04 |
| CN105553983B CN105553983B (zh) | 2017-06-13 |
Family
ID=55832919
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510956011.1A Active CN105553983B (zh) | 2015-12-17 | 2015-12-17 | 一种网页数据保护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105553983B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106453361A (zh) * | 2016-10-26 | 2017-02-22 | 上海众人网络安全技术有限公司 | 一种网络信息的安全保护方法及系统 |
| CN109698863A (zh) * | 2018-12-20 | 2019-04-30 | 杭州迪普科技股份有限公司 | 一种确定http报文安全性的方法、装置、设备及存储介质 |
| CN111181912A (zh) * | 2019-08-27 | 2020-05-19 | 腾讯科技(深圳)有限公司 | 浏览器标识的处理方法、装置、电子设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102148837A (zh) * | 2011-05-11 | 2011-08-10 | 上海时代亿信信息科技有限公司 | 一种动态令牌双向认证方法及系统 |
| JP2012215985A (ja) * | 2011-03-31 | 2012-11-08 | Hitachi Solutions Ltd | クライアントサーバシステム |
| CN103020574A (zh) * | 2012-11-22 | 2013-04-03 | 北京握奇数据系统有限公司 | 一种结合拍照和条形码识别技术的otp设备和方法 |
| CN103095662A (zh) * | 2011-11-04 | 2013-05-08 | 阿里巴巴集团控股有限公司 | 一种网上交易安全认证方法及网上交易安全认证系统 |
| CN104333555A (zh) * | 2014-11-14 | 2015-02-04 | 中国建设银行股份有限公司 | 一种动态令牌工作方法及系统 |
| CN104506321A (zh) * | 2014-12-15 | 2015-04-08 | 飞天诚信科技股份有限公司 | 一种更新动态令牌中种子数据的方法 |
-
2015
- 2015-12-17 CN CN201510956011.1A patent/CN105553983B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012215985A (ja) * | 2011-03-31 | 2012-11-08 | Hitachi Solutions Ltd | クライアントサーバシステム |
| CN102148837A (zh) * | 2011-05-11 | 2011-08-10 | 上海时代亿信信息科技有限公司 | 一种动态令牌双向认证方法及系统 |
| CN103095662A (zh) * | 2011-11-04 | 2013-05-08 | 阿里巴巴集团控股有限公司 | 一种网上交易安全认证方法及网上交易安全认证系统 |
| CN103020574A (zh) * | 2012-11-22 | 2013-04-03 | 北京握奇数据系统有限公司 | 一种结合拍照和条形码识别技术的otp设备和方法 |
| CN104333555A (zh) * | 2014-11-14 | 2015-02-04 | 中国建设银行股份有限公司 | 一种动态令牌工作方法及系统 |
| CN104506321A (zh) * | 2014-12-15 | 2015-04-08 | 飞天诚信科技股份有限公司 | 一种更新动态令牌中种子数据的方法 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106453361A (zh) * | 2016-10-26 | 2017-02-22 | 上海众人网络安全技术有限公司 | 一种网络信息的安全保护方法及系统 |
| CN106453361B (zh) * | 2016-10-26 | 2019-05-03 | 上海众人网络安全技术有限公司 | 一种网络信息的安全保护方法及系统 |
| CN109698863A (zh) * | 2018-12-20 | 2019-04-30 | 杭州迪普科技股份有限公司 | 一种确定http报文安全性的方法、装置、设备及存储介质 |
| CN111181912A (zh) * | 2019-08-27 | 2020-05-19 | 腾讯科技(深圳)有限公司 | 浏览器标识的处理方法、装置、电子设备及存储介质 |
| CN111181912B (zh) * | 2019-08-27 | 2021-10-15 | 腾讯科技(深圳)有限公司 | 浏览器标识的处理方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105553983B (zh) | 2017-06-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103391197B (zh) | 一种基于手机令牌和NFC技术的Web身份认证方法 | |
| CN102202300B (zh) | 一种基于双通道的动态密码认证系统及方法 | |
| CN102880960B (zh) | 基于指纹识别手机的短信支付方法及系统 | |
| CN101127604B (zh) | 信息安全传输方法和系统 | |
| CN101741843B (zh) | 利用公钥基础设施实现用户身份验证的方法、设备及系统 | |
| CN104065621A (zh) | 一种第三方服务的身份验证方法、客户端和系统 | |
| CN105072125A (zh) | 一种http通信系统及方法 | |
| CN102036236A (zh) | 一种对移动终端认证的方法和装置 | |
| JP6430544B2 (ja) | O2o安全決済方法及びo2o安全決済システム | |
| CN104580184A (zh) | 互信应用系统间身份认证方法 | |
| KR20220086580A (ko) | 분산형 컴퓨터 애플리케이션들을 구축하기 위한 비-보관 툴 | |
| CN104394172A (zh) | 单点登录装置和方法 | |
| CN202854880U (zh) | 基于指纹识别手机的短信支付系统 | |
| CN102868702B (zh) | 系统登录装置和系统登录方法 | |
| CN103853950A (zh) | 一种基于移动终端的认证方法及移动终端 | |
| CN101420302A (zh) | 安全认证方法和设备 | |
| CN104580256A (zh) | 通过用户设备登录和验证用户身份的方法及设备 | |
| US20180255032A1 (en) | Wireless information passing and authentication | |
| CN109362074A (zh) | 一种混合模式APP中h5与服务端安全通讯的方法 | |
| CN105187406A (zh) | 可配置方式的https的中间人监听系统 | |
| CN110611661A (zh) | 基于双重认证多重防护措施的采集信息共享方法及系统 | |
| CN104579657A (zh) | 身份认证方法及装置 | |
| CN104125230A (zh) | 一种短信认证服务系统以及认证方法 | |
| CN105553983A (zh) | 一种网页数据保护方法 | |
| CN103401686A (zh) | 一种用户互联网身份认证系统及其应用方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CB03 | Change of inventor or designer information |
Inventor after: Ding Min Inventor after: An Xiaojiang Inventor after: Ye Jiaming Inventor after: Liu Zengshou Inventor before: An Xiaojiang Inventor before: Ye Jiaming Inventor before: Liu Zengshou |
|
| CB03 | Change of inventor or designer information |