CN106453361B - 一种网络信息的安全保护方法及系统 - Google Patents

一种网络信息的安全保护方法及系统 Download PDF

Info

Publication number
CN106453361B
CN106453361B CN201610946832.1A CN201610946832A CN106453361B CN 106453361 B CN106453361 B CN 106453361B CN 201610946832 A CN201610946832 A CN 201610946832A CN 106453361 B CN106453361 B CN 106453361B
Authority
CN
China
Prior art keywords
information
server
client
challenge code
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610946832.1A
Other languages
English (en)
Other versions
CN106453361A (zh
Inventor
谈剑锋
田长凯
姜立稳
胡剑波
谢勇
钱金金
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Peoplenet Security Technology Co Ltd
Original Assignee
Shanghai Peoplenet Security Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Peoplenet Security Technology Co Ltd filed Critical Shanghai Peoplenet Security Technology Co Ltd
Priority to CN201610946832.1A priority Critical patent/CN106453361B/zh
Publication of CN106453361A publication Critical patent/CN106453361A/zh
Application granted granted Critical
Publication of CN106453361B publication Critical patent/CN106453361B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Abstract

本发明公开了一种网络信息的安全保护方法,包括:用户准备登陆时,客户端获取当前页面所属的浏览器唯一标识信息,并将向服务器申请的一次性安全插件加载至当前页面中;在当前页面环境条件下,客户端和服务器对一次性安全插件进行防劫持认证;当防劫持认证成功后,客户端使用一次性安全插件对用户信息和用户密码信息加密,并发送至服务器对用户信息和用户密码信息进行登录认证;当用户信息和用户密码信息登录认证成功后,客户端使用一次性安全插件对在登录时间内的网络信息加密,并发送至服务器。其目的是在浏览器信息不更改的前提下进行安全加强认证,防止中间人劫持或修改请求后模拟请求获取非法数据,以及对浏览器端的用户敏感数据进行保护。

Description

一种网络信息的安全保护方法及系统
技术领域
本发明涉及网络安全防护领域,特别是涉及一种网络信息的安全保护方法及系统。
背景技术
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。所以,在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损坏和泄露,已成为当前企业迫切需要解决的问题。
现有的解决方案如短信验证码、电子签名、加密算法等,存在的问题有:公共的加密算法(md5、sha1等)容易破解,所有用户使用同一种加密算法;登录用户权限等信息和sessionId存储方式(cookie存储、localStorage存储),所以存在所有客户端都易被攻击的风险,使其自身利益得不到保障;短信验证容易被截取、私钥存储安全无法保证。
发明内容
本发明的提供了一种网络信息的安全保护方法及系统,其目的是在浏览器信息不更改的前提下进行安全加强认证,防止中间人劫持或修改请求后模拟请求获取非法数据,以及对浏览器端的用户敏感数据进行保护。
本发明提供的技术方案如下:
一种网络信息的安全保护方法,包括:步骤S100用户准备登陆时,客户端获取当前页面所属的浏览器唯一标识信息,并将向服务器申请的一次性安全插件加载至所述当前页面中;步骤S200在所述当前页面环境条件下,所述客户端和所述服务器对所述一次性安全插件进行防劫持认证;步骤S300当所述防劫持认证成功后,所述客户端使用所述一次性安全插件对用户信息和用户密码信息加密,并发送至服务器对所述用户信息和用户密码信息进行登录认证;步骤S400当所述用户信息和用户密码信息登录认证成功后,所述客户端使用所述一次性安全插件对在登录时间内的网络信息加密,并发送至服务器。
在本发明中,实现了通过一次session会话(浏览器信息不更改前提下)进行安全加强认证,防止中间人劫持或修改请求后模拟请求获取非法数据,以及对浏览器端的用户敏感数据进行保护。
优选的,包括:S310当所述防劫持认证失败时,所述服务器作废所述一次性安全插件。
在本发明中,当认证失败,即在用户登录当前页面时,对唯一标识信息进行认证与初始的唯一标识信息中的内容不一致,说明当前登录时,网络受到攻击,发现异常,此时退出登录,换取新的浏览器,或者重新下发对JS插件信息的申请;本实施例的认证措施进一步的保证网络信息的安全。
优选的,所述步骤S200包括:步骤S210所述客户端向所述服务器请求防劫持认证;步骤S220所述服务器生成挑战码,并记录后发送给所述客户端;所述S230所述客户端再次获取当前页面所属的浏览器唯一标识信息,使用所述一次性安全插件、以及再次获取的唯一标识信息,对接收到的挑战码加密生成一次性动态口令,并发送至服务器;步骤S240所述服务器使用记录的一次性安全插件和记录的唯一标识信息,对接收到的一次性动态口令解密得出挑战码,并将解密得出的挑战码与记录的挑战码进行比对;步骤S250当解密得出的挑战码与记录的挑战码相同时,所述防劫持认证成功;否则,所述防劫持认证失败。
优选的,所述步骤S324将解密得出的挑战码与记录的挑战码进行比对包括:将所述步骤S100中客户端获取的当前页面所属的浏览器唯一标识信息与所述步骤S230中所述客户端再次获取的当前页面所属的浏览器唯一标识信息对比时否一致,和/或,客户端的ID信息是否一致。
在本发明中,通过设备信息、页面信息、用户信息以及生成的JS插件信息实现对网络登录信息的加密、解密、安全认证等过程,加强了敏感信息的防护,以保证整个session会话过程中网络请求的安全,防止中间人劫持或者修改请求后迷你获取非法数据,对浏览器端的用户的敏感数据进行保护。
优选的,所述步骤S220包括:步骤S221所述客户端根据所述当前页面所属的浏览器的信息向所述服务器申请挑战码;步骤S222所述服务器根据所述当前页面所属的浏览器的信息根据预设的算法生成随机数;步骤S223所述服务器根据生成的所述随机数生成挑战码;步骤S224所述服务器将生成的所述挑战码记录,并发送至所述客户端。
在本发明中,通过生成的挑战码为一次动态密码的生提供保证基础,使在页面登录时,对于敏感数据的安全等到保证。
优选的,所述步骤S100包括:步骤S110用户准备登录时,所述客户端获取当前页面所属的浏览器唯一标识信息,并发送所述唯一标识信息向所述服务器申请一次性安全插件;步骤S120所述服务器根据所述申请提供相应的一次性安全插件,并记录所述的唯一标识信息、和所述相应的一次性安全插件,其中根据所述唯一标识信息的变化不同提供的所述一次性安全插件相应的变化不同;步骤S130所述客户端接收所述一次性安全插件,并将获取的所述一次性安全插件加载至所述当前页面中。
在本发明中,客户端请求JS插件,在发送请求时与uuid进行绑定,为进一步的验证提供基础,使数据信息更加安全的可靠地运行。
一种网络信息的安全保护系统,包括:申请登录模块,用户准备登陆时,客户端获取当前页面所属的浏览器唯一标识信息,并将向服务器申请的一次性安全插件加载至所述当前页面中;信息认证模块,与所述信息记录模块电连接,在所述当前页面环境条件下,所述客户端和所述服务器对所述一次性安全插件进行防劫持认证;登录认证模块,与所述信息记录模块电连接,当所述信息认证模块对所述一次性安全插件进行防劫持认证成功后,所述客户端使用所述一次性安全插件对用户信息和用户密码信息加密,并发送至服务器对所述用户信息和用户密码信息进行登录认证;信息发送模块,与所述登录认证模块电连接,当所述登录认证模块对所述服务器对所述用户信息和用户密码信息进行登录认证成功后,所述客户端使用所述一次性安全插件对在登录时间内的网络信息加密,并发送至服务器。
在本发明中,实现了通过一次session会话(浏览器信息不更改前提下)进行安全加强认证,防止中间人劫持或修改请求后模拟请求获取非法数据,以及对浏览器端的用户敏感数据进行保护。
优选的,还包括:信息处理模块,当所述登录认证模块对所述服务器对所述用户信息和用户密码信息进行登录认证失败时,所述服务器作废所述一次性安全插件。具体的,
在本发明中,当认证失败,即在用户登录当前页面时,对唯一标识信息进行认证与初始的唯一标识信息中的内容不一致,说明当前登录时,网络受到攻击,发现异常,此时退出登录,换取新的浏览器,或者重新下发对JS插件信息的申请;本实施例的认证措施进一步的保证网络信息的安全。
优选的,所述信息认证模块包括:认证请求子模块,所述客户端向所述服务器请求防劫持认证;挑战码生成子模,所述服务器生成挑战码,并记录后发送给所述客户端;动态口令生成子模块,所述客户端再次获取当前页面所属的浏览器唯一标识信息,使用所述一次性安全插件、以及再次获取的唯一标识信息,对接收到的挑战码加密生成一次性动态口令,并发送至服务器;挑战码比对子模块,所述服务器使用记录的一次性安全插件和记录的唯一标识信息,对接收到的一次性动态口令解密得出挑战码,并将解密得出的挑战码与记录的挑战码进行比对;挑战码比对判定子模块,当解密得出的挑战码与记录的挑战码相同时,所述防劫持认证成功;否则,所述防劫持认证失败。
优选的,挑战码比对子模块中将解密得出的挑战码与记录的挑战码进行比对包括:将所述申请登录模块中客户端获取的当前页面所属的浏览器唯一标识信息与所述动态口令生成子模块中所述客户端再次获取的当前页面所属的浏览器唯一标识信息对比时否一致,和,客户端的ID信息是否一致。
在本发明中,通过设备信息、页面信息、用户信息以及生成的JS插件信息实现对网络登录信息的加密、解密、安全认证等过程,加强了敏感信息的防护,以保证整个session会话过程中网络请求的安全,防止中间人劫持或者修改请求后迷你获取非法数据,对浏览器端的用户的敏感数据进行保护。
优选的,所述挑战码生成子模包括:挑战码申请子模块,所述客户端根据所述当前页面所属的浏览器的信息向所述服务器申请挑战码;随机数生成子模块,所述服务器根据所述当前页面所属的浏览器的信息根据预设的算法生成随机数;挑战码生成子模块,所述服务器根据生成的所述随机数生成挑战码;挑战码发送子模块,所述服务器将生成的所述挑战码记录,并发送至所述客户端。
在本发明中,通过生成的挑战码为一次动态密码的生提供保证基础,使在页面登录时,对于敏感数据的安全等到保证。
优选的,所述申请登录模块包括:安全插件申请子模块,用户准备登录时,所述客户端获取当前页面所属的浏览器唯一标识信息,并发送所述唯一标识信息向所述服务器申请一次性安全插件;信息记录子模块,所述服务器根据所述申请提供相应的一次性安全插件,并记录所述的唯一标识信息、和所述相应的一次性安全插件,其中根据所述唯一标识信息的变化不同提供的所述一次性安全插件相应的变化不同;安全插件加载子模块,所述客户端接收所述一次性安全插件,并将获取的所述一次性安全插件加载至所述当前页面中。
在本发明中,客户端请求JS插件,在发送请求时与uuid进行绑定,为进一步的验证提供基础,使数据信息更加安全的可靠地运行。
与现有技术相比,本发明提供一种网络信息的安全保护方法及系统,至少带来以下一种技术效果:
网站的登录页面中使用JS插件,在不影响页面流程的前提下,当前登录页面应用JS插件提供安全保护,登录页面只需加载一段JS代码,提供一次一密的安全认证,在浏览器端获得更快捷更安全的认证和加密。
附图说明
下面将以明确易懂的方式,结合附图说明优选实施方式,对一种网络信息的安全保护方法及系统特性、技术特征、优点及其实现方式予以进一步说明。
图1是本发明一种网络信息的安全保护方法一个实施例的流程图;
图2是本发明一种网络信息的安全保护方法另一个实施例的流程图;
图3是本发明一种网络信息的安全保护方法另一个实施例的流程图;
图4是本发明一种网络信息的安全保护方法另一个实施例的流程图;
图5是本发明一种网络信息的安全保护方法另一个实施例的流程图;
图6是本发明一种网络信息的安全保护方法另一个实施例的流程图;
图7是本发明一种网络信息的安全保护系统一个实施例的结构图;
图8是本发明一种网络信息的安全保护系统另一个实施例的结构图;
图9是本发明一种网络信息的安全保护系统另一个实施例的结构图;
图10是本发明一种网络信息的安全保护系统另一个实施例的结构图;
图11是本发明一种网络信息的安全保护系统另一个实施例的结构图。
具体实施方式
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对照附图说明本发明的具体实施方式。显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图,并获得其他的实施方式。
为使图面简洁,各图中只示意性地表示出了与本发明相关的部分,它们并不代表其作为产品的实际结构。另外,以使图面简洁便于理解,在有些图中具有相同结构或功能的部件,仅示意性地绘示了其中的一个,或仅标出了其中的一个。在本文中,“一个”不仅表示“仅此一个”,也可以表示“多于一个”的情形。
本发明提供一种网络信息的安全保护方法的一个实施例,参考图1所示;包括:步骤S100用户准备登陆时,客户端获取当前页面所属的浏览器唯一标识信息,并将向服务器申请的一次性安全插件加载至所述当前页面中;步骤S200在所述当前页面环境条件下,所述客户端和所述服务器对所述一次性安全插件进行防劫持认证;步骤S300当所述防劫持认证成功后,所述客户端使用所述一次性安全插件对用户信息和用户密码信息加密,并发送至服务器对所述用户信息和用户密码信息进行登录认证;步骤S400当所述用户信息和用户密码信息登录认证成功后,所述客户端使用所述一次性安全插件对在登录时间内的网络信息加密,并发送至服务器。
具体的,在本实施例中,参考图1所示;客户端根据当前登录页面所属的浏览器的相关信息,生成唯一的标识信息,根据唯一标识信息向服务器请求一次安全认证的JS插件信息,并将JS插件信息加载在当前登录的页面中;唯一标识信息是指根据浏览器的插件、屏幕分辨率、Canvas指纹、时区、CPU类、已安装的Flash字体列表等32个因素生成的浏览器的唯一标识,也即称为uuid;为防止黑客的介入所以对获取的相关信息进行安全认证,当安全认证成功后,JS插件信息对当前登录页面用户名和用户的密码进行加密处理,当加密处理后再一次进行安全登录认证,当安全登录认证成功后,说明JS插件是安全的,并非非法介入的劫持信息,因此将JS插件用于敏感信息数据加密和认证,相当于session会话内使用JS插件对关键核心业务数据加密和后台交互,session会话用户的合法登录进行一系列操作到退出的这一段过程。
在本发明中,实现了通过一次session会话(浏览器信息不更改前提下)进行安全加强认证,防止中间人劫持或修改请求后模拟请求获取非法数据,以及对浏览器端的用户敏感数据进行保护。
优选的,包括:S310当所述防劫持认证失败时,所述服务器作废所述一次性安全插件。具体的,在上一实施例的基础上,参考图2所示,本实施例提供当认证失败即在用户登录当前页面时,对唯一标识信息进行认证与初始的唯一标识信息中的内容不一致,说明当前登录时,网络受到攻击,发现异常,此时退出登录,换取新的浏览器,或者重新下发对JS插件信息的申请;本实施例的认证措施进一步的保证网络信息的安全。
优选的,所述步骤S200包括:步骤S210所述客户端向所述服务器请求防劫持认证;步骤S220所述服务器生成挑战码,并记录后发送给所述客户端;所述S230所述客户端再次获取当前页面所属的浏览器唯一标识信息,使用所述一次性安全插件、以及再次获取的唯一标识信息,对接收到的挑战码加密生成一次性动态口令,并发送至服务器;步骤S240所述服务器使用记录的一次性安全插件和记录的唯一标识信息,对接收到的一次性动态口令解密得出挑战码,并将解密得出的挑战码与记录的挑战码进行比对;步骤S250当解密得出的挑战码与记录的挑战码相同时,所述防劫持认证成功;否则,所述防劫持认证失败。
优选的,所述步骤S324将解密得出的挑战码与记录的挑战码进行比对包括:将所述步骤S100中客户端获取的当前页面所属的浏览器唯一标识信息与所述步骤S230中所述客户端再次获取的当前页面所属的浏览器唯一标识信息对比时否一致,和/或,客户端的ID信息是否一致。
具体的,参考图3所示;本实施例是在以上实施例的基础上提供的又一实施例;对获取的一次性安全JS插件进行防劫持认证是在当前的网络环境下,主要包括,当请求防劫持认证时,首先密码服务器根据当前的环境信息及JS插件信息下发挑战码,并由客户端接收,并将挑战码信息记录在认证服务器中,此时,客户端根据挑战码、以及再次获取当前状态下登录页面的uuid,设备信息生成一次性的动态口令,也即opt码(JS插件信息根据挑战码和设备唯一标识等因子生成的6位数),并将opt码加密,认证服务器对opt码进行解密,解密后的opt码中包含有挑战码,与认证服务器中保存的挑战码进行对比,判断是否一致,如果一致则判断认证成功,否则认证失败。在进行认证比对过程中还包括客户端的ID信息,即JS插件的ID信息,浏览器的信息等;只要其中任一信息发生变化,则opt码都会发生变化。
在本发明中,通过设备信息、页面信息、用户信息以及生成的JS插件信息实现对网络登录信息的加密、解密、安全认证等过程,加强了敏感信息的防护,以保证整个session会话过程中网络请求的安全,防止中间人劫持或者修改请求后迷你获取非法数据,对浏览器端的用户的敏感数据进行保护。
优选的,所述步骤S220包括:步骤S221所述客户端根据所述当前页面所属的浏览器的信息向所述服务器申请挑战码;步骤S222所述服务器根据所述当前页面所属的浏览器的信息根据预设的算法生成随机数;步骤S223所述服务器根据生成的所述随机数生成挑战码;步骤S224所述服务器将生成的所述挑战码记录,并发送至所述客户端。
具体的,参考图4所示;本实施例是在以上实施例的基础上提供的又一实施例;在第三方网站登录验证用户名和密码之前,需要做一次当前环境信息和JS插件的安全认证,首先客户端向密码服务器下发请求生成挑战码,服务器并根据当前环境信息和JS插件信息生成6位随机数,根据随机数将生成的挑战码通过认证服务器转发至客户端。
在本发明中,通过生成的挑战码为一次动态密码的生提供保证基础,使在页面登录时,对于敏感数据的安全等到保证。
优选的,所述步骤S100包括:步骤S110用户准备登录时,所述客户端获取当前页面所属的浏览器唯一标识信息,并发送所述唯一标识信息向所述服务器申请一次性安全插件;步骤S120所述服务器根据所述申请提供相应的一次性安全插件,并记录所述的唯一标识信息、和所述相应的一次性安全插件,其中根据所述唯一标识信息的变化不同提供的所述一次性安全插件相应的变化不同;步骤S130所述客户端接收所述一次性安全插件,并将获取的所述一次性安全插件加载至所述当前页面中。
具体的,参考图5所示;本实施例是在以上实施例的基础上提供的又一实施例;本实施例提供了在页面登录时JS插件信息请求的过程;在本发明中有3个装置提供支撑,包括客户端、认证服务器、以及密码服务器;密码服务器生成挑战码并下发,生成JS插件信息、生成一次性动态口令信息;认证服务器用于将接收到的信息转发和解密、生成随机数,以及完成认证是否为安全信息,客户端申请请求;完成用户的请求的任务等;密码服务器下发JS插件信息,当客户端从认证服务器接收JS插件信息时,在这一过程易被网络攻击,截取JS插件信息,或者发生篡改,当客户端发送申请JS插件时,与uuid已经进行绑定,为进一步的验证提供基础。
在本发明中,客户端请求JS插件,在发送请求时与uuid进行绑定,为进一步的验证提供基础,使数据信息更加安全的可靠地运行。
本发明还提供一种网络信息的安全保护方法的另一个实施例,参考图4、图5、图6所示;包括:步骤S110用户准备登录时,所述客户端获取当前页面所属的浏览器唯一标识信息,并发送所述唯一标识信息向所述服务器申请一次性安全插件;步骤S120所述服务器根据所述申请提供相应的一次性安全插件,并记录所述的唯一标识信息、和所述相应的一次性安全插件,其中根据所述唯一标识信息的变化不同提供的所述一次性安全插件相应的变化不同;步骤S130所述客户端接收所述一次性安全插件,并将获取的所述一次性安全插件加载至所述当前页面中;步骤S221所述客户端根据所述当前页面所属的浏览器的信息向所述服务器申请挑战码;步骤S222所述服务器根据所述当前页面所属的浏览器的信息根据预设的算法生成随机数;步骤S223所述服务器根据生成的所述随机数生成挑战码;步骤S224所述服务器将生成的所述挑战码记录,并发送至所述客户端;所述S230所述客户端再次获取当前页面所属的浏览器唯一标识信息,使用所述一次性安全插件、以及再次获取的唯一标识信息,对接收到的挑战码加密生成一次性动态口令,并发送至服务器;步骤S240所述服务器使用记录的一次性安全插件和记录的唯一标识信息,对接收到的一次性动态口令解密得出挑战码,并将解密得出的挑战码与记录的挑战码进行比对;所述步骤S324将解密得出的挑战码与记录的挑战码进行比对包括:将所述步骤S100中客户端获取的当前页面所属的浏览器唯一标识信息与所述步骤S230中所述客户端再次获取的当前页面所属的浏览器唯一标识信息对比时否一致,或,唯一标识信息对比时否一致和客户端的ID信息是否一致;步骤S250当解密得出的挑战码与记录的挑战码相同时,所述防劫持认证成功;否则,所述防劫持认证失败;步骤S300当所述防劫持认证成功后,所述客户端使用所述一次性安全插件对用户信息和用户密码信息加密,并发送至服务器对所述用户信息和用户密码信息进行登录认证;S310当所述防劫持认证失败时,所述服务器作废所述一次性安全插件;步骤S400当所述用户信息和用户密码信息登录认证成功后,所述客户端使用所述一次性安全插件对在登录时间内的网络信息加密,并发送至服务器。
具体的,本发明中,本发明包括以下两个主要模块:安全认证,一次session会话一个js插件,客户端生成挑战码与服务端交互进行安全认证;JS安全插件对敏感信息保护,客户端加密服务端解密的形式。在H5页面中在不影响业务逻辑的条件下加载与当前浏览器的uuid关联的js插件,H5页面与后台系统交互的关键参数和核心数据用与uuid关联的js插件加密传输,就可以实现安全认证加强和信息保护,如果发现网络攻击安全插件会认证失败并作废插件以保证一次会话请求的信息安全。由于安全插件与浏览器是相关的,如浏览器环境改变而安全插件不变则视为网络攻击。保证一次session会话(浏览器信息不更改前提下)进行安全加强认证,防止中间人劫持或修改请求后模拟请求获取非法数据,以及对浏览器端的用户敏感数据进行保护。session会话:用户的合法登录进行一系列操作到退出的这一段过程。uuid:根据浏览器的插件、屏幕分辨率、Canvas指纹、时区、CPU类、已安装的Flash字体列表等32个因素生成的浏览器的唯一标识。挑战码:服务器端生成的随机数因子。Opt码:JS插件根据挑战码和设备唯一标识等因子生成的6位数。
本发明解决的技术问题是以便捷的方式在H5环境下的安全认证加强和敏感信息防护;以保证整个session会话过程中网络请求的安全,防中间人劫持等网络攻击。
本发明还提一种网络信息的安全保护系统的实施例,包括:申请登录模块100,用户准备登陆时,客户端获取当前页面所属的浏览器唯一标识信息,并将向服务器申请的一次性安全插件加载至所述当前页面中;信息认证模块200,与所述信息记录模块电连接,在所述当前页面环境条件下,所述客户端和所述服务器对所述一次性安全插件进行防劫持认证;登录认证模块300,与所述信息记录模块电连接,当所述信息认证模块对所述一次性安全插件进行防劫持认证成功后,所述客户端使用所述一次性安全插件对用户信息和用户密码信息加密,并发送至服务器对所述用户信息和用户密码信息进行登录认证;信息发送模块400,与所述登录认证模块电连接,当所述登录认证模块对所述服务器对所述用户信息和用户密码信息进行登录认证成功后,所述客户端使用所述一次性安全插件对在登录时间内的网络信息加密,并发送至服务器。
具体的,在本实施例中,参考图6所示;客户端根据当前登录页面所属的浏览器的相关信息,生成唯一的标识信息,根据唯一标识信息向服务器请求一次安全认证的JS插件信息,并将JS插件信息加载在房钱登录的页面中;唯一标识信息是指根据浏览器的插件、屏幕分辨率、Canvas指纹、时区、CPU类、已安装的Flash字体列表等32个因素生成的浏览器的唯一标识,也即称为uuid;为防止黑客的介入所以对获取的相关信息进行安全认证,当安全认证成功后,JS插件对当前登录页面用户名和用户的密码进行加密处理,当加密处理后再一次进行安全登录认证,当安全登录认证成功后,说明JS插件是安全的,并非非法介入的劫持信息,因此将JS插件用于敏感信息数据加密和认证,相当于session会话内使用JS插件对关键核心业务数据加密和后台交互,session会话用户的合法登录进行一系列操作到退出的这一段过程。
在本发明中,实现了通过一次session会话(浏览器信息不更改前提下)进行安全加强认证,防止中间人劫持或修改请求后模拟请求获取非法数据,以及对浏览器端的用户敏感数据进行保护。
优选的,还包括:信息处理模块310,当所述登录认证模块对所述服务器对所述用户信息和用户密码信息进行登录认证失败时,所述服务器作废所述一次性安全插件。具体的,参考图7所示;在上一实施例的基础上,本实施例提供当认证失败即在用户登录当前页面时,对唯一标识信息进行认证与初始的唯一标识信息中的内容不一致,说明当前登录时,网络受到攻击,发现异常,此时退出登录,换取新的浏览器,或者重新下发对JS插件信息的申请;本实施例的认证措施进一步的保证网络信息的安全。
优选的,所述信息认证模块200包括:认证请求子模块210,所述客户端向所述服务器请求防劫持认证;挑战码生成子模220,所述服务器生成挑战码,并记录后发送给所述客户端;动态口令生成子模块230,所述客户端再次获取当前页面所属的浏览器唯一标识信息,使用所述一次性安全插件、以及再次获取的唯一标识信息,对接收到的挑战码加密生成一次性动态口令,并发送至服务器;挑战码比对子模块240,所述服务器使用记录的一次性安全插件和记录的唯一标识信息,对接收到的一次性动态口令解密得出挑战码,并将解密得出的挑战码与记录的挑战码进行比对;挑战码比对判定子模块250,当解密得出的挑战码与记录的挑战码相同时,所述防劫持认证成功;否则,所述防劫持认证失败。
优选的,挑战码比对子模块240中将解密得出的挑战码与记录的挑战码进行比对包括:将所述申请登录模块100中客户端获取的当前页面所属的浏览器唯一标识信息与所述动态口令生成子模块230中所述客户端再次获取的当前页面所属的浏览器唯一标识信息对比时否一致,和,客户端的ID信息是否一致。
具体的,参考图8和9所示;本实施例是在以上实施例的基础上提供的又一实施例;对获取的一次性安全JS插件进行防劫持认证是在当前的网络环境下,主要包括,当请求防劫持认证时,首先密码服务器根据当前的环境信息及JS插件信息下发挑战码,并由客户端接收,并将挑战码信息记录在认证服务器中,此时,客户端根据挑战码、以及再次获取当前状态下登录页面的uuid,设备信息生成一次性的动态口令,也即opt码(JS插件信息根据挑战码和设备唯一标识等因子生成的6位数),并将opt码加密,认证服务器对opt码进行解密,解密后的opt码中包含有挑战码,与认证服务器中记录保存的挑战码进行对比,判断是否一致,如果一致则判断认证成功,否则认证失败。在进行认证比对过程中还包括客户端的ID信息,即JS插件的ID信息,浏览器的信息等;只要其中任一信息发生变化,则opt码都会发生变化。
在本发明中,通过设备信息、页面信息、用户信息以及生成的JS插件信息实现对网络登录信息的加密、解密、安全认证等过程,加强了敏感信息的防护,以保证整个session会话过程中网络请求的安全,防止中间人劫持或者修改请求后迷你获取非法数据,对浏览器端的用户的敏感数据进行保护。
优选的,所述挑战码生成子模220包括:挑战码申请子模块221,所述客户端根据所述当前页面所属的浏览器的信息向所述服务器申请挑战码;随机数生成子模块222,所述服务器根据所述当前页面所属的浏览器的信息根据预设的算法生成随机数;挑战码生成子模块223,所述服务器根据生成的所述随机数生成挑战码;挑战码发送子模块S224,所述服务器将生成的所述挑战码记录,并发送至所述客户端。
具体的,参考图10所示;本实施例是在以上实施例的基础上提供的又一实施例;在第三方网站登录验证用户名和密码之前,需要做一次当前环境信息和JS插件的安全认证,首先客户端向密码服务器下发请求生成挑战码,认证服务器根据当前环境信息和JS插件信息生成6位随机数,密码服务器根据随机数将生成的挑战码通过认证服务器转发至客户端。
在本发明中,通过生成的挑战码为一次动态密码的生成提供保证基础,使在页面登录时,对于敏感数据的安全等到保证。
优选的,所述申请登录模块100包括:安全插件申请子模块110,用户准备登录时,所述客户端获取当前页面所属的浏览器唯一标识信息,并发送所述唯一标识信息向所述服务器申请一次性安全插件;信息记录子模块120,所述服务器根据所述申请提供相应的一次性安全插件,并记录所述的唯一标识信息、和所述相应的一次性安全插件,其中根据所述唯一标识信息的变化不同提供的所述一次性安全插件相应的变化不同;安全插件加载子模块130,所述客户端接收所述一次性安全插件,并将获取的所述一次性安全插件加载至所述当前页面中。
具体的,参考图11所示;本实施例是在以上实施例的基础上提供的又一实施例;本实施例提供了在页面登录时JS插件信息请求的过程;在本发明中有3个装置提供支撑,包括客户端、认证服务器、以及密码服务器;密码服务器生成挑战码并下发,生成JS插件信息、生成一次性动态口令信息;认证服务器用于将接收到的信息转发和解密、随机数的生成,以及完成认证是否为安全信息,客户端申请请求;完成用户的请求的任务等;密码服务器下发JS插件信息,当客户端从认证服务器接收JS插件信息时,在这一过程易被网络攻击,截取JS插件信息,或者发生篡改,当客户端发送申请JS插件时,与uuid已经进行绑定,为进一步的验证提供基础。
在本发明中,客户端请求JS插件,在发送请求时与uuid进行绑定,为进一步的验证提供基础,使数据信息更加安全的可靠地运行。
应当说明的是,上述实施例均可根据需要自由组合。以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (12)

1.一种网络信息的安全保护方法,其特征在于,包括:
步骤S100用户准备登陆时,客户端获取当前页面所属的浏览器唯一标识信息,并将向服务器申请的一次性安全插件加载至所述当前页面中;
步骤S200在所述当前页面环境条件下,所述客户端和所述服务器对所述一次性安全插件进行防劫持认证;
步骤S300当所述防劫持认证成功后,所述客户端使用所述一次性安全插件对用户信息和用户密码信息加密,并发送至所述服务器对所述用户信息和用户密码信息进行登录认证;
步骤S400当所述用户信息和用户密码信息登录认证成功后,所述客户端使用所述一次性安全插件对在登录时间内的网络信息加密,并发送至所述服务器。
2.根据权利要求1所述的网络信息的安全保护方法,其特征在于,还包括:
S310当所述防劫持认证失败时,所述服务器作废所述一次性安全插件。
3.根据权利要求1所述的网络信息的安全保护方法,其特征在于,所述步骤S200包括:
步骤S210所述客户端向所述服务器请求防劫持认证;
步骤S220所述服务器生成挑战码,并记录后发送给所述客户端;
步骤S230所述客户端再次获取当前页面所属的浏览器唯一标识信息,使用所述一次性安全插件、以及再次获取的唯一标识信息,对接收到的挑战码加密生成一次性动态口令,并发送至所述服务器;
步骤S240所述服务器使用记录的一次性安全插件和记录的唯一标识信息,对接收到的一次性动态口令解密得出挑战码,并将解密得出的挑战码与记录的挑战码进行比对;
步骤S250当解密得出的挑战码与记录的挑战码相同时,所述防劫持认证成功;否则,所述防劫持认证失败。
4.根据权利要求3所述的网络信息的安全保护方法,其特征在于,
所述步骤S240将解密得出的挑战码与记录的挑战码进行比对包括:将所述步骤S100中客户端获取的当前页面所属的浏览器唯一标识信息与所述步骤S230中所述客户端再次获取的当前页面所属的浏览器唯一标识信息对比是否一致,和/或,客户端的ID信息是否一致。
5.根据权利要求4所述的网络信息的安全保护方法,其特征在于,所述步骤S220包括:
步骤S221所述客户端根据所述当前页面所属的浏览器的信息向所述服务器申请挑战码;
步骤S222所述服务器根据所述当前页面所属的浏览器的信息根据预设的算法生成随机数;
步骤S223所述服务器根据生成的所述随机数生成挑战码;
步骤S224所述服务器将生成的所述挑战码记录,并发送至所述客户端。
6.根据权利要求1所述的网络信息的安全保护方法,其特征在于,所述步骤S100包括:
步骤S110用户准备登录时,所述客户端获取当前页面所属的浏览器唯一标识信息,并发送所述唯一标识信息向所述服务器申请一次性安全插件;
步骤S120所述服务器根据所述申请提供相应的一次性安全插件,并记录所述的唯一标识信息、和所述相应的一次性安全插件,其中根据所述唯一标识信息的变化不同提供的所述一次性安全插件相应的变化不同;
步骤S130所述客户端接收所述一次性安全插件,并将获取的所述一次性安全插件加载至所述当前页面中。
7.一种网络信息的安全保护系统,其特征在于,包括:
申请登录模块,用户准备登陆时,客户端获取当前页面所属的浏览器唯一标识信息,并将向服务器申请的一次性安全插件加载至所述当前页面中;
信息认证模块,与所述信息记录模块电连接,在所述当前页面环境条件下,所述客户端和所述服务器对所述一次性安全插件进行防劫持认证;
登录认证模块,与所述信息记录模块电连接,当所述信息认证模块对所述一次性安全插件进行防劫持认证成功后,所述客户端使用所述一次性安全插件对用户信息和用户密码信息加密,并发送至所述服务器对所述用户信息和用户密码信息进行登录认证;
信息发送模块,与所述登录认证模块电连接,当所述登录认证模块对所述服务器对所述用户信息和用户密码信息进行登录认证成功后,所述客户端使用所述一次性安全插件对在登录时间内的网络信息加密,并发送至服务器。
8.根据权利要求7所述的网络信息的安全保护系统,其特征在于,还包括:
信息处理模块,当所述登录认证模块对所述服务器对所述用户信息和用户密码信息进行登录认证失败时,所述服务器作废所述一次性安全插件。
9.根据权利要求7所述的网络信息的安全保护系统,其特征在于,所述信息认证模块包括:
认证请求子模块,所述客户端向所述服务器请求防劫持认证;
挑战码生成子模,所述服务器生成挑战码,并记录后发送给所述客户端;
动态口令生成子模块,所述客户端再次获取当前页面所属的浏览器唯一标识信息,使用所述一次性安全插件、以及再次获取的唯一标识信息,对接收到的挑战码加密生成一次性动态口令,并发送至所述服务器;
挑战码比对子模块,所述服务器使用记录的一次性安全插件和记录的唯一标识信息,对接收到的一次性动态口令解密得出挑战码,并将解密得出的挑战码与记录的挑战码进行比对;
挑战码比对判定子模块,当解密得出的挑战码与记录的挑战码相同时,所述防劫持认证成功;否则,所述防劫持认证失败。
10.根据权利要求9所述的网络信息的安全保护系统,其特征在于,
挑战码比对子模块中将解密得出的挑战码与记录的挑战码进行比对包括:将所述申请登录模块中客户端获取的当前页面所属的浏览器唯一标识信息与所述动态口令生成子模块中所述客户端再次获取的当前页面所属的浏览器唯一标识信息对比是否一致,和/或,客户端的ID信息是否一致。
11.根据权利要求9所述的网络信息的安全保护系统,其特征在于,所述挑战码生成子模包括:
挑战码申请子模块,所述客户端根据所述当前页面所属的浏览器的信息向所述服务器申请挑战码;
随机数生成子模块,所述服务器根据所述当前页面所属的浏览器的信息根据预设的算法生成随机数;
挑战码生成子模块,所述服务器根据生成的所述随机数生成挑战码;
挑战码发送子模块,所述服务器将生成的所述挑战码记录,并发送至所述客户端。
12.根据权利要求7所述的网络信息的安全保护系统,其特征在于,所述申请登录模块包括:
安全插件申请子模块,用户准备登录时,所述客户端获取当前页面所属的浏览器唯一标识信息,并发送所述唯一标识信息向所述服务器申请一次性安全插件;
信息记录子模块,所述服务器根据所述申请提供相应的一次性安全插件,并记录所述的唯一标识信息、和所述相应的一次性安全插件,其中根据所述唯一标识信息的变化不同提供的所述一次性安全插件相应的变化不同;
安全插件加载子模块,所述客户端接收所述一次性安全插件,并将获取的所述一次性安全插件加载至所述当前页面中。
CN201610946832.1A 2016-10-26 2016-10-26 一种网络信息的安全保护方法及系统 Active CN106453361B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610946832.1A CN106453361B (zh) 2016-10-26 2016-10-26 一种网络信息的安全保护方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610946832.1A CN106453361B (zh) 2016-10-26 2016-10-26 一种网络信息的安全保护方法及系统

Publications (2)

Publication Number Publication Date
CN106453361A CN106453361A (zh) 2017-02-22
CN106453361B true CN106453361B (zh) 2019-05-03

Family

ID=58178622

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610946832.1A Active CN106453361B (zh) 2016-10-26 2016-10-26 一种网络信息的安全保护方法及系统

Country Status (1)

Country Link
CN (1) CN106453361B (zh)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106982228B (zh) * 2017-05-08 2018-10-09 北京深思数盾科技股份有限公司 一种实现身份认证的方法及系统
CN107465682B (zh) * 2017-08-10 2019-11-19 深圳市华傲数据技术有限公司 爬虫登录目标网站的实现方法及系统
CN107819766B (zh) * 2017-11-14 2020-11-06 中国银行股份有限公司 安全认证方法、系统及计算机可读存储介质
CN108269062B (zh) * 2018-01-23 2021-08-31 平安普惠企业管理有限公司 基于h5的电子合同制作方法、装置、设备及介质
CN109040148A (zh) * 2018-11-01 2018-12-18 四川长虹电器股份有限公司 一种移动端向服务器发送登录请求的安全认证方法
CN110933034A (zh) * 2019-10-28 2020-03-27 深圳市钱海网络技术有限公司 一种基于数字指纹的登录方法及装置
CN114257387A (zh) * 2020-09-11 2022-03-29 中移物联网有限公司 登录认证方法及装置
CN112087467A (zh) * 2020-09-18 2020-12-15 杭州弗兰科信息安全科技有限公司 一种基于web系统的信息加密传输方法及系统
CN113596049A (zh) * 2021-08-04 2021-11-02 杭州虎符网络有限公司 一种身份认证方法、装置、计算机设备和存储介质

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102685081A (zh) * 2011-03-17 2012-09-19 腾讯科技(深圳)有限公司 一种网页请求安全处理方法及系统
CN102946314A (zh) * 2012-11-08 2013-02-27 成都卫士通信息产业股份有限公司 一种基于浏览器插件的客户端用户身份认证方法
CN103685277A (zh) * 2013-12-17 2014-03-26 南京大学 一种浏览器访问网页安全保护系统及方法
US8701172B2 (en) * 2008-08-13 2014-04-15 Apple Inc. System and method for facilitating user authentication of web page content
CN103856458A (zh) * 2012-12-04 2014-06-11 腾讯科技(深圳)有限公司 页面认证方法及装置
CN105553983A (zh) * 2015-12-17 2016-05-04 北京海泰方圆科技股份有限公司 一种网页数据保护方法
CN105653933A (zh) * 2016-01-06 2016-06-08 北京京东尚科信息技术有限公司 插件加载方法及装置
CN105721502A (zh) * 2016-04-11 2016-06-29 上海上实龙创智慧能源科技股份有限公司 一种用于浏览器客户端和服务器的授权访问方法

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8701172B2 (en) * 2008-08-13 2014-04-15 Apple Inc. System and method for facilitating user authentication of web page content
CN102685081A (zh) * 2011-03-17 2012-09-19 腾讯科技(深圳)有限公司 一种网页请求安全处理方法及系统
CN102946314A (zh) * 2012-11-08 2013-02-27 成都卫士通信息产业股份有限公司 一种基于浏览器插件的客户端用户身份认证方法
CN103856458A (zh) * 2012-12-04 2014-06-11 腾讯科技(深圳)有限公司 页面认证方法及装置
CN103685277A (zh) * 2013-12-17 2014-03-26 南京大学 一种浏览器访问网页安全保护系统及方法
CN105553983A (zh) * 2015-12-17 2016-05-04 北京海泰方圆科技股份有限公司 一种网页数据保护方法
CN105653933A (zh) * 2016-01-06 2016-06-08 北京京东尚科信息技术有限公司 插件加载方法及装置
CN105721502A (zh) * 2016-04-11 2016-06-29 上海上实龙创智慧能源科技股份有限公司 一种用于浏览器客户端和服务器的授权访问方法

Also Published As

Publication number Publication date
CN106453361A (zh) 2017-02-22

Similar Documents

Publication Publication Date Title
CN106453361B (zh) 一种网络信息的安全保护方法及系统
CN109309565B (zh) 一种安全认证的方法及装置
CN108418691B (zh) 基于sgx的动态网络身份认证方法
CN107579991B (zh) 一种对客户端进行云端防护认证的方法、服务器和客户端
CN109361668A (zh) 一种数据可信传输方法
US20090055642A1 (en) Method, system and computer program for protecting user credentials against security attacks
CN105430014B (zh) 一种单点登录方法及其系统
CN104767731A (zh) 一种Restful移动交易系统身份认证防护方法
CN109525565B (zh) 一种针对短信拦截攻击的防御方法及系统
US9954853B2 (en) Network security
CN112861089A (zh) 授权认证的方法、资源服务器、资源用户端、设备和介质
CN103974248A (zh) 在能力开放系统中的终端安全性保护方法、装置及系统
US20150328119A1 (en) Method of treating hair
JP2017152880A (ja) 認証システム、鍵処理連携方法、および、鍵処理連携プログラム
US10211992B1 (en) Secure certificate pinning in user provisioned networks
CN112910867B (zh) 一种受信任的设备访问应用的双重验证方法
US20140250499A1 (en) Password based security method, systems and devices
CN112272089B (zh) 云主机登录方法、装置、设备及计算机可读存储介质
CN111614458A (zh) 网关jwt的生成方法、系统及存储介质
CN115473655B (zh) 接入网络的终端认证方法、装置及存储介质
CN106850592A (zh) 一种信息处理方法、服务器及终端
CN110035035B (zh) 一种单点登录的二次认证方法及系统
CN114466353A (zh) App用户ID信息保护的装置、方法、电子设备及存储介质
CN114422270B (zh) 一种互联网平台系统安全的登录鉴权的方法及装置
CN110532741B (zh) 个人信息授权方法、认证中心及服务提供方

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: Room 01, 1st-4th floor, No. 899 Zuchong Road, China (Shanghai) Free Trade Pilot Area, Pudong New Area, Shanghai, 20181

Applicant after: Shanghai PeopleNet Security Technology Co., Ltd.

Address before: 201821 211 rooms, No. 1411, Yecheng Road, Jiading District, Shanghai

Applicant before: Shanghai PeopleNet Security Technology Co., Ltd.

GR01 Patent grant
GR01 Patent grant