CN105743638B - 基于b/s架构系统客户端授权认证的方法 - Google Patents

基于b/s架构系统客户端授权认证的方法 Download PDF

Info

Publication number
CN105743638B
CN105743638B CN201610314772.1A CN201610314772A CN105743638B CN 105743638 B CN105743638 B CN 105743638B CN 201610314772 A CN201610314772 A CN 201610314772A CN 105743638 B CN105743638 B CN 105743638B
Authority
CN
China
Prior art keywords
client
terminal
authorization
salt
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610314772.1A
Other languages
English (en)
Other versions
CN105743638A (zh
Inventor
雷耀山
申海元
时宗胜
孙哲
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangsu Zhongtian Internet Technology Co.,Ltd.
Original Assignee
Science And Technology Software Engineering Co Ltd Of Jiangsu Zhogntian (sjzt)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Science And Technology Software Engineering Co Ltd Of Jiangsu Zhogntian (sjzt) filed Critical Science And Technology Software Engineering Co Ltd Of Jiangsu Zhogntian (sjzt)
Priority to CN201610314772.1A priority Critical patent/CN105743638B/zh
Publication of CN105743638A publication Critical patent/CN105743638A/zh
Application granted granted Critical
Publication of CN105743638B publication Critical patent/CN105743638B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种基于B/S架构系统客户端授权认证的方法,用户需要申请唯一性密钥认证授权身份完成客户端安装,客户端软件获取主机的唯一硬件物理地址MAC地址,与系统随机产生的SALT连接后通过MD5加密并发送到服务器端,用户提交电脑终端认证申请,校验通过后,将系统随机产生的SALT存入数据库并将MAC地址+SALT的哈希值加入认证通过列表中,客户端访问认证。本发明将终端授权认证技术结合在B/S架构中,有效解决了B/S架构中通过浏览器利用mac地址进行终端身份认证时遇到的种种问题,同时解决了安全问题,避免了网络钓鱼,数据截获,降低非法用户获得客户终端安装权限的几率。

Description

基于B/S架构系统客户端授权认证的方法
技术领域
本发明涉及一种授权认证的方法,特别是一种基于B/S架构系统客户端授权认证的方法。
背景技术
现有的B/S架构下的用户授权最常用的方法是通过Activex控件中的数字证书类型的电子文档来实现,其中包含申请者的身份信息,秘钥对之一的公钥,数字签名及证书有效期等内容。在认证过程中,数字签名被用作用户的身份标识从而判断用户是否合法。数字证书一直被认为是网络中最安全的通行证,因为数字证书往往是由第三方进行认证及管理的。但也正因如此,服务提供商在增加了成本的同时,也承担了安全性不可控的风险。相比之下,C/S授权技术和方法则五花八门,各有优劣。例如“MD5+SALT”的方法可被用于对用户的密码进行加密。加密后密码和SALT值分开保存,在验证用户身份时再结合加密比对。这种技术可以避免黑客通过直接对已知密码散列后比对散列值得到使用该密码的用户的情况。再例如,MAC地址作为主机的唯一身份标识,也常被用来授权特定用户及用户组。然而,针对这些授权技术,如SQL注入,网络钓鱼等黑客技术的不断发展,单纯使用简单单一的用户授权及识别方法已无法满足用户的需求。
发明内容
本发明所要解决的技术问题是提供一种基于B/S架构系统客户端授权认证的方法。
为解决上述技术问题,本发明所采用的技术方案是:
一种基于B/S架构系统客户端授权认证的方法,其特征在于包含以下步骤:
A、授权部分
A1:客户端软件安装时,用户在客户端输入客户端软件授权安装密钥,发送至服务器端;
A2:服务器接到客户端发送的软件授权安装密钥,校验通过后,为该终端生成并分发唯一的初始身份标识码pin码,发送到客户端加密保存,同时生成随机SALT值并发送到客户端;该pin码建立与该随机salt的对应关系存入服务器端数据库;
A3:客户端软件获取所在主机的唯一硬件物理地址MAC地址,与服务端传来的随机SALT连接后通过MD5加密,生成终端认证密钥,并发送到服务器端;
A4:服务端将接收到客户端传来的终端认证密钥,加入位于服务端数据库的终端认证列表,同时将数据库中该终端对应的pin码,置为激活状态,表明该pin码对应的终端已经获得授权;
B、认证部分
B1:用户启动客户终端软件,客户端软件取出在终端加密保存的终端身份认证码pin码,并获取该终端的物理mac地址,一并发送至服务器端;
B2:服务器端解密传来的加密pin码,获取与其对应的SALT,将MAC地址+SALT连接后使用MD5散列。通过与终端认证列表中的MD5散列值比对,如匹配成功,正常访问系统,否则认证失败,发送失败信息至客户终端;
B3:客户端访问认证成功后,服务器会再次生成身份标识码并更新数据库中存储的终端pin码及客户终端的对应身份标识码。
进一步地,所述唯一性密钥认真失效为24小时,超过认证时效则软件安装失败,需重新申请新的授权密钥,密钥在24小时内认证,客户端软件安装成功。
进一步地,所述随机产生的SALT为随机8位SALT。
进一步地,所述服务器端包含安装密钥验证数据库、授权认证通过列表和随机SALT数据库。
进一步地,客户端软件卸载时,客户端软件将终端pin码及终端mac地址发送至服务器端,服务端将解密后的pin码,用mac地址连接pin码对应的SALT,进行MD5,在终端认证列表中检索匹配的认证密钥,清除pin码及其对应的认证密钥。
进一步地,所述终端身份标识码具有惟一性。
本发明与现有技术相比,具有以下优点和效果。
1、将终端授权认证技术加入B/S架构中,降低第三方数字证书成本并减少授权认证完全由第三方管理的风险;
2、以唯一的物理MAC地址作为认证中重要部分,避免了网络钓鱼,用户丢失秘钥等在客户终端发生的不安全因素;
3、通过加随机SALT的方法,规避了SQL注入并直接窜改数据库信息(例如黑客将自己的主机MAC地址添加到认证通过列表中)的风险因为认证列表中的哈希值包含了唯一物理MAC地址及只有系统可分辨的随机8位数;
4、在客户终端安装时使用24小时时效的安装秘钥,可降低非法用户获得客户终端安装权限的几率;
5、为每一个激活的客户终端提供一个动态身份标识码,既可以用作身份辨识,又可以避免被利用来对认证系统造成潜在安全隐患;
6、所有在互联网中传输的数据均使用SSL加密技术以确保数据在网络中的传输过程中不会被截取及窃听。
附图说明
图1是本发明的基于B/S架构系统客户端授权认证的方法流程图。
具体实施方式
下面通过实施例对本发明作进一步的详细说明,以下实施例是对本发明的解释而本发明并不局限于以下实施例。
如图所示,本发明的一种基于B/S架构系统客户端授权认证的方法,包含以下步骤:
1 客户终端安装。
在主机安装客户终端时,用户使用唯一性密钥认证授权身份才可获得安装客户终端软件。安装客户终端时,用户向服务器端进行唯一性密钥申请,服务器端审核通过后,在安装密钥验证数据库发送唯一性密钥至客户终端,该密钥认证时间为24小时,超过认证时效则软件安装失败,需重新申请新的授权密钥,密钥在24小时内认证,客户终端软件安装授权成功。
2 生成动态身份标识码和随机SALT
在客户终端授权成功后,服务器自动生成一个一次性的身份标识码PIN码和一个随机的8位SALT并发送到客户终端。客户终端保存身份标识码。
服务器接到客户端发送的软件授权安装密钥后,为该终端生成并分发唯一的初始身份标识码pin码,发送到客户端加密保存,同时生成随机SALT值并发送到客户端;该pin码建立与该随机salt的对应关系存入服务器端数据库。
3物理地址+SALT加密。
客户终端软件获取主机的唯一硬件物理地址MAC地址,与系统随机产生的8位随机SALT连接后通过MD5加密生成终端认证密钥并发送到服务器端。
4 物理MAC地址授权。
用户提交电脑终端认证申请,系统管理员审核用户申请后,将系统随机产生的SALT存入数据库并将MAC地址+SALT的哈希值加入认证通过列表中。服务端将接收到客户端传来的终端认证密钥,加入位于服务端数据库的终端认证列表,同时将数据库中该终端对应的pin码,置为激活状态,表明该pin码对应的终端已经获得授权;授权结束。
5客户终端访问认证。
用户登录客户终端软件时,客户端软件取出在终端加密保存的终端身份标识pin码,并获取该终端的物理mac地址,一并发送至服务器端,服务端解密此加密信息后,获取目标主机MAC地址,并通过身份标识码获取与其对应的SALT。之后,服务器端解密传来的加密pin码,获取与其对应的SALT,将MAC地址+SALT连接后使用MD5散列。通过与认证通过列表中的MD5散列值比对,系统返回认证结果:如匹配成功,正常访问系统,否则认证失败,将失败信息发至客户端。
6 更新动态身份标识码
如客户终端认证成功,则服务器再次生成一个一次性的身份标识码发送到客户终端,并更新数据库中存储的终端pin码及客户终端的对应身份标识码。
本发明针对现有的技术的缺陷,结合流行的网络攻击防护手段,在B/S结构中实现:1.授权秘钥不在用户处保存以避免针对客户端的网络攻击2.不单独储存用户的MAC地址以防止SQL注入攻击直接窜改数据库数据3.提高客户端软件安全性,禁止非授权对象安装客户端软件。
与以往的授权认证方法相比,本发明有如下优势:
1、将终端授权认证技术加入B/S架构中,降低第三方数字证书成本并减少授权认证完全由第三方管理的风险。
2、以唯一的物理MAC地址作为认证中重要部分,避免了网络钓鱼,用户丢失秘钥等在客户终端发生的不安全因素。
3、通过加随机SALT的方法,规避了SQL注入并直接窜改数据库信息(例如黑客将自己的主机MAC地址添加到认证通过列表中)的风险因为认证列表中的哈希值包含了唯一物理MAC地址及只有系统可分辨的随机8位数。
4、在客户终端安装时使用24小时时效的安装秘钥,可降低非法用户获得客户终端安装权限的几率。
5、为每一个激活的客户终端提供一个动态身份标识码,既可以用作身份辨识,又可以保证每一次认证所需要的验证条件非是一成不变的。
6、所有在互联网中传输的数据均使用SSL加密通道技术以确保数据在网络上的传输过程中不会被截取及窃听。
本说明书中所描述的以上内容仅仅是对本发明所作的举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种修改或补充或采用类似的方式替代,只要不偏离本发明说明书的内容或者超越本权利要求书所定义的范围,均应属于本发明的保护范围。

Claims (6)

1.一种基于B/S架构系统客户端授权认证的方法,其特征在于包含以下步骤:
A、授权部分
A1:客户端软件安装时,用户在客户端输入客户端软件授权安装密钥,发送至服务器端;
A2:服务器接到客户端发送的软件授权安装密钥,校验通过后,为该终端生成并分发唯一的初始身份标识码pin码,发送至客户端加密保存,同时生成随机SALT值发送至客户端;该pin码建立与该随机SALT的对应关系存入服务器端数据库;
A3:客户端软件获取所在主机的唯一硬件物理地址MAC地址,与服务端传来的随机SALT连接后通过MD5加密,生成终端认证密钥,并发送到服务器端;
A4:服务端将接收到客户端传来的终端认证密钥,加入位于服务端数据库的终端认证列表,同时将数据库中该终端对应的pin码,置为激活状态,表明该pin码对应的终端已经获得授权;
B、认证部分
B1:用户启动客户终端软件,客户端软件取出在终端加密保存的终端身份认证码pin码,并获取该终端的物理mac地址,一并发送至服务器端;
B2:服务器端解密传来的加密pin码,获取与其对应的SALT,将MAC地址+SALT连接后使用MD5散列,通过与终端认证列表中的MD5散列值比对,如匹配成功,正常访问系统,否则认证失败,发送失败信息至客户终端;
B3:客户端访问认证成功后,服务器会再次生成身份标识码并更新数据库中存储的终端身份标识码pin码及客户终端的对应身份标识码pin码。
2.按照权利要求1所述的基于B/S架构系统客户端授权认证的方法,其特征在于:所述客户端软件授权安装密钥认证时效为24小时,超过认证时效则软件安装失败,需重新申请新的授权密钥,密钥在24小时内认证,客户端软件安装成功。
3.按照权利要求1所述的基于B/S架构系统客户端授权认证的方法,其特征在于:所述随机产生的SALT为随机8位SALT。
4.按照权利要求1所述的基于B/S架构系统客户端授权认证的方法,其特征在于:所述服务器端包含安装密钥验证数据库、授权认证通过列表和随机SALT数据库。
5.按照权利要求1所述的基于B/S架构系统客户端授权认证的方法,其特征在于:客户端软件卸载时,客户端软件将终端pin码及终端mac地址发送至服务器端,服务端将解密后的pin码,用mac地址连接pin码对应的SALT,进行MD5,在终端认证列表中检索匹配的认证密钥,清除pin码及其对应的认证密钥。
6.按照权利要求1所述的基于B/S架构系统客户端授权认证的方法,其特征在于:所述终端身份标识码具有唯一性。
CN201610314772.1A 2016-05-13 2016-05-13 基于b/s架构系统客户端授权认证的方法 Active CN105743638B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610314772.1A CN105743638B (zh) 2016-05-13 2016-05-13 基于b/s架构系统客户端授权认证的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610314772.1A CN105743638B (zh) 2016-05-13 2016-05-13 基于b/s架构系统客户端授权认证的方法

Publications (2)

Publication Number Publication Date
CN105743638A CN105743638A (zh) 2016-07-06
CN105743638B true CN105743638B (zh) 2018-10-23

Family

ID=56288902

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610314772.1A Active CN105743638B (zh) 2016-05-13 2016-05-13 基于b/s架构系统客户端授权认证的方法

Country Status (1)

Country Link
CN (1) CN105743638B (zh)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107704731B (zh) * 2017-09-28 2021-03-09 成都安恒信息技术有限公司 一种基于hotp的云平台镜像防盗版方法
CN108376211B (zh) * 2018-02-07 2020-10-20 杭州矩视科技有限公司 一种软件授权管理方法、服务器及系统
CN108712402A (zh) * 2018-05-02 2018-10-26 珠海横琴盛达兆业科技投资有限公司 一种基于bs架构的内网系统首次安装授权登录的方法
CN110535809B (zh) * 2018-05-25 2021-08-31 腾讯科技(深圳)有限公司 一种标识码的拉取方法、存储介质及终端设备和服务器
CN110868374A (zh) 2018-08-27 2020-03-06 京东方科技集团股份有限公司 安全认证方法、服务器及客户端设备
CN109584421A (zh) * 2018-12-07 2019-04-05 郭瑞东 一种基于国产安全芯片的智能门锁认证管理系统
CN110176964B (zh) * 2019-06-12 2022-01-21 浙江沁园水处理科技有限公司 一种无线设备的生产测试系统及方法
CN110635898A (zh) * 2019-08-30 2019-12-31 深圳壹账通智能科技有限公司 加密方法及加密系统
CN110968503A (zh) * 2019-11-06 2020-04-07 支付宝(杭州)信息技术有限公司 代码扫描系统及其方法和插件
CN111130753A (zh) * 2019-12-09 2020-05-08 紫光云(南京)数字技术有限公司 基于md5加密的提高用户密码安全性的方法
CN111131256A (zh) * 2019-12-25 2020-05-08 易居企业(中国)集团有限公司 一种BS系统在Mac OS X操作系统上实现用户硬件绑定的方法
CN113626802B (zh) * 2021-08-23 2023-05-12 重庆第二师范学院 一种设备密码的登录验证系统及方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1794258A (zh) * 2005-12-23 2006-06-28 左长进 利用网卡物理地址防止软件非授权使用的方法
CN102739643A (zh) * 2011-04-15 2012-10-17 斯凯普公司 许可访问网络
CN102932149A (zh) * 2012-10-30 2013-02-13 武汉理工大学 一种集成ibe数据加密系统
CN103780379A (zh) * 2012-10-19 2014-05-07 阿里巴巴集团控股有限公司 密码加密方法和系统以及密码校验方法和系统
CN104506534A (zh) * 2014-12-25 2015-04-08 青岛微智慧信息有限公司 安全通信密钥协商交互方案
CN104660605A (zh) * 2015-03-05 2015-05-27 北京安普诺信息技术有限公司 一种多因子身份验证方法及其系统

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1794258A (zh) * 2005-12-23 2006-06-28 左长进 利用网卡物理地址防止软件非授权使用的方法
CN102739643A (zh) * 2011-04-15 2012-10-17 斯凯普公司 许可访问网络
CN103780379A (zh) * 2012-10-19 2014-05-07 阿里巴巴集团控股有限公司 密码加密方法和系统以及密码校验方法和系统
CN102932149A (zh) * 2012-10-30 2013-02-13 武汉理工大学 一种集成ibe数据加密系统
CN104506534A (zh) * 2014-12-25 2015-04-08 青岛微智慧信息有限公司 安全通信密钥协商交互方案
CN104660605A (zh) * 2015-03-05 2015-05-27 北京安普诺信息技术有限公司 一种多因子身份验证方法及其系统

Also Published As

Publication number Publication date
CN105743638A (zh) 2016-07-06

Similar Documents

Publication Publication Date Title
CN105743638B (zh) 基于b/s架构系统客户端授权认证的方法
US9900163B2 (en) Facilitating secure online transactions
US7231526B2 (en) System and method for validating a network session
US9654468B2 (en) System and method for secure remote biometric authentication
US5418854A (en) Method and apparatus for protecting the confidentiality of passwords in a distributed data processing system
CN105103119B (zh) 数据安全服务系统
US9589143B2 (en) Semi-trusted Data-as-a-Service platform
US8978125B2 (en) Identity controlled data center
US20100217975A1 (en) Method and system for secure online transactions with message-level validation
CN110990827A (zh) 一种身份信息验证方法、服务器及存储介质
CN105656862B (zh) 认证方法及装置
US20080077791A1 (en) System and method for secured network access
US8788836B1 (en) Method and apparatus for providing identity claim validation
US11716312B1 (en) Platform for optimizing secure communications
WO2008118966A1 (en) System and method for user authentication with exposed and hidden keys
CN102202040A (zh) 一种对客户端进行认证方法及装置
CN105827395A (zh) 一种网络用户认证方法
CN108809633B (zh) 一种身份认证的方法、装置及系统
CN113886771A (zh) 一种软件授权认证方法
WO2018050293A1 (en) User sign-in and authentication without passwords
EP2070248B1 (en) System and method for facilitating secure online transactions
US20090319778A1 (en) User authentication system and method without password
CN108512832A (zh) 一种针对OpenStack身份认证的安全增强方法
JP4612951B2 (ja) ローミング中のユーザに認証信用証明を安全に配布するための方法および装置
CN106576050A (zh) 三层安全和计算架构

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20211216

Address after: 226000 4th and 5th floors, building 10B, Zilang science and Technology City, No. 60, Chongzhou Avenue, Nantong City, Jiangsu Province

Patentee after: Jiangsu Zhongtian Internet Technology Co.,Ltd.

Address before: 226009 No.5 Zhongtian Road, Nantong Development Zone, Jiangsu Province

Patentee before: JIANGSU ZHONGTIAN TECHNOLOGY SOFTWARE TECHNOLOGY CO.,LTD.

TR01 Transfer of patent right