專利名稱:一種保護網(wǎng)絡(luò)應(yīng)用程序使用賬號密碼進行登錄的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及互聯(lián)網(wǎng)應(yīng)用信息安全性處理領(lǐng)域,特別是一種保護網(wǎng)絡(luò)應(yīng)用程序使用賬號密碼進行登陸的方法����。
背景技術(shù):
隨著互聯(lián)網(wǎng)信息產(chǎn)業(yè)的蓬勃發(fā)展,基于互聯(lián)網(wǎng)的應(yīng)用越來越普遍��,如網(wǎng)絡(luò)游戲�����、即時聊天軟件����、網(wǎng)絡(luò)銀行等,而賬號密碼是目前大多數(shù)網(wǎng)絡(luò)應(yīng)用程序采用的身份驗證手段����;為了謀取非法利益,不法分子利用病毒木馬等手段盜取他人的賬號密碼的情況頻頻發(fā)生����;此外,不法分子還可以利用網(wǎng)絡(luò)監(jiān)測工具截取網(wǎng)絡(luò)程序登錄數(shù)據(jù)包并用軟件方法實施對服務(wù)器的詐騙登錄����,因此有效的保護網(wǎng)絡(luò)應(yīng)用程序的賬號密碼安全性�,是發(fā)展互聯(lián)網(wǎng)應(yīng)用的一個重要課題����。
防止鍵盤記錄功能盜竊賬號密碼,傳統(tǒng)方法通常是使用軟鍵盤����,即通過鼠標點擊圖形區(qū)域轉(zhuǎn)化成對應(yīng)鍵盤輸入信息,這種方法存在的主要弊端是病毒和木馬可針對特定軟件��,記錄它們使用的軟鍵盤布局���,通過截獲鼠標點擊信息將用戶輸入的信息還原,從而竊取用戶登錄的賬號密碼�。另外,對用戶來說����,使用軟鍵盤的操作比較繁瑣,非常不直觀��。
對于網(wǎng)絡(luò)監(jiān)測工具截取登錄數(shù)據(jù)包并用軟件方法實施詐騙登錄的問題����,在一些安全性要求較高的Web應(yīng)用主要使用安全套接字層,即Security Socket Layer(縮寫SSL)保證通信的安全性,如應(yīng)用于網(wǎng)站服務(wù)的HTTPS(HTTP+SSL)���。SSL是使用公鑰和私鑰技術(shù)組合的安全網(wǎng)絡(luò)通訊協(xié)議�����,部署SSL對Web系統(tǒng)的服務(wù)器硬件性能要求非常高����,在服務(wù)器和客戶端之間初始化SSL會話和連接的狀態(tài)信息過程需要處理復(fù)雜的握手協(xié)議����,增加額外的網(wǎng)絡(luò)負擔(dān),用戶在使用過程也會有明顯的等待時間����。此外,專利申請?zhí)枮?3148856.0的中國發(fā)明專利申請?zhí)峁┝艘环N利用一次性隨機數(shù)進行用戶身份認證的方法�,用MD5信息摘要算法對待認證數(shù)據(jù)(賬號、密碼或者兩者組合)和隨機數(shù)組成的原始信息進行加密���,然后發(fā)送到服務(wù)器端進行驗證�,而此方法僅能保護賬號密碼數(shù)據(jù)的傳輸��,不能防止病毒和木馬的盜號行為。
發(fā)明內(nèi)容
本發(fā)明為解決上述問題提供了一種保護網(wǎng)絡(luò)應(yīng)用程序使用賬號密碼進行登錄的方法�����,可以有效防止了木馬病毒等進程竊取用戶輸入的賬號密碼����,或者網(wǎng)絡(luò)監(jiān)測工具截獲登錄數(shù)據(jù)包實行服務(wù)器詐騙登錄,大大提高了網(wǎng)絡(luò)應(yīng)用信息的安全性�����。
本發(fā)明的技術(shù)方案如下一種保護網(wǎng)絡(luò)應(yīng)用程序使用賬號密碼進行登錄的方法����,通過客戶端密碼輸入�,然后經(jīng)過服務(wù)器端驗證進行登陸,其特征在于客戶端設(shè)置有通用鍵盤驅(qū)動程序�,所述鍵盤驅(qū)動程序內(nèi)預(yù)設(shè)有加密私鑰和私鑰加密模塊;同時���,服務(wù)器端也設(shè)置有加密私鑰和加密模塊����,并且與客戶端使用的私鑰和私鑰加密模塊一致。
所述具體使用步驟如下A���、客戶端向服務(wù)器端發(fā)起連接請求����,服務(wù)器收到連接請求后生成隨機數(shù)�,服務(wù)器端保留生成的隨機數(shù)的記錄,并把所述隨機數(shù)通過網(wǎng)絡(luò)連接發(fā)送到客戶端���;B�、客戶端接收并記錄服務(wù)器返回的隨機數(shù)后�����,激活鍵盤驅(qū)動���,接受用戶的帳號密碼輸入��;C��、所述鍵盤驅(qū)動程序預(yù)設(shè)的加密私鑰和私鑰加密模塊對步驟B用戶輸入的鍵盤碼進行加密��,客戶端得到加密后的密碼信息��;D�、客戶端分別對用戶帳號信息,加密后的用戶密碼加上從步驟B得到的隨機數(shù)信息的組合數(shù)據(jù)進行不可逆的信息摘要加密�����,然后將賬號的摘要信息和密碼+隨機數(shù)組合數(shù)據(jù)的摘要信息封裝成登錄數(shù)據(jù)包發(fā)送到服務(wù)器端請求驗證����;E、服務(wù)器端接收到客戶端的登錄數(shù)據(jù)包后�����,分別解析出賬號摘要信息和加密后密碼+隨機數(shù)組合數(shù)據(jù)的摘要信息����,通過解析得到的賬號摘要信息檢索出服務(wù)器端存放的賬號摘要信息和私鑰加密后的密碼信息,然后對檢索出來的加密密碼和服務(wù)器端隨機數(shù)的組合數(shù)據(jù)執(zhí)行和客戶端一樣的信息摘要加密��,把生成信息摘要與客戶端發(fā)送來的加密后密碼+隨機數(shù)組合數(shù)據(jù)的摘要信息進行比對���,即可判斷出賬號密碼的正確性。
所述步驟C中����,客戶端通過設(shè)備驅(qū)動程序的交互接口DeviceIoControl激活鍵盤驅(qū)動程序的加密功能��,鍵盤驅(qū)動程序在操作系統(tǒng)的驅(qū)動底層接收輸入的鍵盤碼���,通過加密私鑰和私鑰加密模塊對輸入鍵盤碼進行加密,把加密后的鍵盤碼放到操作系統(tǒng)應(yīng)用層�,客戶端得到的是用戶輸入密碼的加密后信息。私鑰加密模塊的算法采用數(shù)據(jù)加密標準(Data Encryptoin Standard�,DES)。
所述步驟D中客戶端對組合數(shù)據(jù)進行信息摘要加密采用不可逆的安全哈希算法(Safe Hash Algorithm���,SHA)��?��?蛻舳朔謩e對用戶帳號和鍵盤驅(qū)動程序加密過的用戶密碼+從服務(wù)器接收的隨機數(shù)的組合數(shù)據(jù)執(zhí)行信息摘要加密,把SHA(Account)和SHA(Password+RandomWord)的信息摘要數(shù)據(jù)封裝成登錄數(shù)據(jù)包�����,發(fā)送到服務(wù)器端進行驗證��。
本發(fā)明的有益效果如下本發(fā)明可以有效防止運行在操作系統(tǒng)應(yīng)用層的具有鍵盤記錄功能的木馬病毒進程竊取用戶輸入的賬號密碼�����,也可以防止網(wǎng)絡(luò)監(jiān)測工具截獲含有用戶賬號密碼等信息的登錄數(shù)據(jù)包并用軟件方法實施詐騙登錄。
圖1為本發(fā)明的流程圖具體實施方式
實施例1一種保護網(wǎng)絡(luò)應(yīng)用程序使用賬號密碼進行登錄的方法��,通過客戶端密碼輸入�,然后經(jīng)過服務(wù)器端驗證進行登陸,客戶端設(shè)置有通用鍵盤驅(qū)動程序����,所述鍵盤驅(qū)動程序內(nèi)預(yù)設(shè)有加密私鑰和私鑰加密模塊;同時���,服務(wù)器端也設(shè)置有加密私鑰和加密模塊����,并且與客戶端使用的私鑰和私鑰加密模塊一致���。
所述具體使用步驟如下A�����、客戶端向服務(wù)器端發(fā)起連接請求,服務(wù)器收到連接請求后生成隨機數(shù)��,服務(wù)器端保留生成的隨機數(shù)的記錄,并把所述隨機數(shù)通過網(wǎng)絡(luò)連接發(fā)送到客戶端�;B、客戶端接收并記錄服務(wù)器返回的隨機數(shù)后��,激活鍵盤驅(qū)動�����,接受用戶的帳號密碼輸入��;C���、所述鍵盤驅(qū)動程序預(yù)設(shè)的加密私鑰和私鑰加密模塊對步驟B用戶輸入的鍵盤碼進行加密�����,客戶端得到加密后的密碼信息�;D��、客戶端分別對用戶帳號信息�,加密后的用戶密碼加上從步驟B得到的隨機數(shù)信息的組合數(shù)據(jù)進行不可逆的信息摘要加密,然后將賬號的摘要信息和密碼+隨機數(shù)組合數(shù)據(jù)的摘要信息封裝成登錄數(shù)據(jù)包發(fā)送到服務(wù)器端請求驗證�����;E、服務(wù)器端接收到客戶端的登錄數(shù)據(jù)包后����,分別解析出賬號摘要信息和加密后密碼+隨機數(shù)組合數(shù)據(jù)的摘要信息,通過解析得到的賬號摘要信息檢索出服務(wù)器端存放的賬號摘要信息和私鑰加密后的密碼信息��,然后對檢索出來的加密密碼和服務(wù)器端隨機數(shù)的組合數(shù)據(jù)執(zhí)行和客戶端一樣的信息摘要加密����,把生成信息摘要與客戶端發(fā)送來的加密后密碼+隨機數(shù)組合數(shù)據(jù)的摘要信息進行比對,即可判斷出賬號密碼的正確性���。
實施例2一種保護網(wǎng)絡(luò)應(yīng)用程序使用賬號密碼進行登錄的方法�,客戶端通過設(shè)備驅(qū)動程序的交互接口DeviceIoControl激活鍵盤驅(qū)動程序的加密功能��,鍵盤驅(qū)動程序在操作系統(tǒng)的驅(qū)動底層接收輸入的鍵盤碼����,通過加密私鑰和私鑰加密模塊對輸入鍵盤碼進行加密,把加密后的鍵盤碼放到操作系統(tǒng)應(yīng)用層����,客戶端得到的是用戶輸入密碼的加密后信息����。私鑰加密模塊的算法采用數(shù)據(jù)加密標準(Data EncryptoinStandard����,DES)�����。
實施例3一種保護網(wǎng)絡(luò)應(yīng)用程序使用賬號密碼進行登錄的方法��,客戶端對組合數(shù)據(jù)進行信息摘要加密采用不可逆的安全哈希算法(Safe Hash Algorithm�,SHA)?����?蛻舳朔謩e對用戶帳號和鍵盤驅(qū)動程序加密過的用戶密碼+從服務(wù)器接收的隨機數(shù)的組合數(shù)據(jù)執(zhí)行信息摘要加密��,把SHA(Account)和SHA(Password+RandomWord)的信息摘要數(shù)據(jù)封裝成登錄數(shù)據(jù)包�����,發(fā)送到服務(wù)器端進行驗證���。
實施例4一種保護網(wǎng)絡(luò)應(yīng)用程序使用賬號密碼進行登錄的方法��,首先在用戶本地計算機上安裝網(wǎng)絡(luò)應(yīng)用軟件的客戶端(如網(wǎng)絡(luò)游戲客戶端�����、聊天工具客戶端等)�。該客戶端設(shè)置有通用鍵盤驅(qū)動程序,所述鍵盤驅(qū)動程序內(nèi)預(yù)設(shè)有加密私鑰和私鑰加密模塊����;同時,服務(wù)器端也設(shè)置有加密私鑰和加密模塊��,并且與客戶端使用的私鑰和私鑰加密模塊一致���。
所述具體使用步驟如下A�、用戶啟動網(wǎng)絡(luò)應(yīng)用軟件的客戶端程序��,客戶端程序初始化過程加載所述的鍵盤驅(qū)動程序���;加載完成后���,客戶端向服務(wù)器端發(fā)起連接請求�����,服務(wù)器收到連接請求后生成隨機數(shù)��,服務(wù)器端保留生成的隨機數(shù)的記錄���,并把所述隨機數(shù)通過網(wǎng)絡(luò)連接發(fā)送到客戶端����;B、客戶端接收并記錄服務(wù)器返回的隨機數(shù)后����,進入用戶帳號密碼輸入的界面;C�����、當(dāng)用戶準備輸入密碼的時候�,客戶端通過設(shè)備驅(qū)動程序的交互接口DeviceIoControl激活鍵盤驅(qū)動的加密功能。鍵盤驅(qū)動程序在計算機操作系統(tǒng)的驅(qū)動底層接收用戶輸入的鍵盤碼����,按照所述的預(yù)設(shè)加密模塊和密鑰對步驟B中用戶輸入鍵盤碼進行加密���,把加密后鍵盤碼投放到操作系統(tǒng)應(yīng)用層,客戶端的賬號密碼輸入界面即可獲得加密后的用戶輸入的密碼信息����;D、客戶端分別對用戶帳號���,鍵盤驅(qū)動程序加密過的密碼信息+從服務(wù)器接收的隨機數(shù)的組合數(shù)據(jù)��,執(zhí)行不可逆的安全哈希算法(SHA)進行消息摘要加密�,把SHA(Account)和SHA(Password+RandomWord)的消息摘要數(shù)據(jù)一起封裝成網(wǎng)絡(luò)數(shù)據(jù)包�,發(fā)送到服務(wù)器端進行登錄驗證;E���、服務(wù)器端接收到客戶端的登錄數(shù)據(jù)包后���,解析出賬號和密碼的SHA摘要信息;因為信息摘要算法是不可逆的�,所以服務(wù)器端存放的不是原始的賬號密碼,而是SHA加密的用戶賬號和私鑰加密的用戶密碼����,利用客戶端發(fā)送來的賬號信息可以檢索出服務(wù)器端存放在數(shù)據(jù)庫或者文件中的賬號和密碼���。同樣,對檢索出來的密碼和隨機數(shù)的組合數(shù)據(jù)進行SHA信息摘要��,把摘要信息和客戶端發(fā)送來的密碼摘要信息就行比對�����,即可驗證賬號密碼的準確性��,通過后接受用戶登錄�����,否則拒絕登錄���。
權(quán)利要求
1.一種保護網(wǎng)絡(luò)應(yīng)用程序使用賬號密碼進行登錄的方法,通過客戶端密碼輸入�,然后經(jīng)過服務(wù)器端驗證進行登陸,其特征在于客戶端設(shè)置有通用鍵盤驅(qū)動程序���,所述鍵盤驅(qū)動程序內(nèi)預(yù)設(shè)有加密私鑰和私鑰加密模塊���;同時�,服務(wù)器端也設(shè)置有加密私鑰和加密模塊�,并且與客戶端使用的私鑰和私鑰加密模塊一致。
2.根據(jù)權(quán)利要求1所述一種保護網(wǎng)絡(luò)應(yīng)用程序使用賬號密碼進行登錄的方法�����,其特征在于具體使用步驟如下A����、客戶端向服務(wù)器端發(fā)起連接請求,服務(wù)器收到連接請求后生成隨機數(shù)����,服務(wù)器端保留生成的隨機數(shù)的記錄,并把所述隨機數(shù)通過網(wǎng)絡(luò)連接發(fā)送到客戶端����;B、客戶端接收并記錄服務(wù)器返回的隨機數(shù)后�,激活鍵盤驅(qū)動,接受用戶的帳號密碼輸入�;C、所述鍵盤驅(qū)動程序預(yù)設(shè)的加密私鑰和私鑰加密模塊對步驟B用戶輸入的鍵盤碼進行加密�,客戶端得到加密后的密碼信息;D、客戶端分別對用戶帳號信息�,加密后的用戶密碼加上從步驟B得到的隨機數(shù)信息的組合數(shù)據(jù)進行不可逆的信息摘要加密,然后將賬號的摘要信息和密碼+隨機數(shù)組合數(shù)據(jù)的摘要信息封裝成登錄數(shù)據(jù)包發(fā)送到服務(wù)器端請求驗證�;E、服務(wù)器端接收到客戶端的登錄數(shù)據(jù)包后��,分別解析出賬號摘要信息和加密后密碼+隨機數(shù)組合數(shù)據(jù)的摘要信息����,通過解析得到的賬號摘要信息檢索出服務(wù)器端存放的賬號摘要信息和私鑰加密后的密碼信息,然后對檢索出來的加密密碼和服務(wù)器端隨機數(shù)的組合數(shù)據(jù)執(zhí)行和客戶端一樣的信息摘要加密��,把生成信息摘要與客戶端發(fā)送來的加密后密碼+隨機數(shù)組合數(shù)據(jù)的摘要信息進行比對��,即可判斷出賬號密碼的正確性�。
3.根據(jù)權(quán)利要求2所述一種保護網(wǎng)絡(luò)應(yīng)用程序使用賬號密碼進行登錄的方法,其特征在于所述步驟C中���,客戶端通過設(shè)備驅(qū)動程序的交互接口DeviceIoControl激活鍵盤驅(qū)動程序的加密功能,鍵盤驅(qū)動程序在操作系統(tǒng)的驅(qū)動底層接收輸入的鍵盤碼���,通過加密私鑰和私鑰加密模塊對輸入鍵盤碼進行加密�����,把加密后的鍵盤碼放到操作系統(tǒng)應(yīng)用層����,客戶端得到的是用戶輸入密碼的加密后信息。
4.根據(jù)權(quán)利要求1所述一種保護網(wǎng)絡(luò)應(yīng)用程序使用賬號密碼進行登錄的方法�,其特征在于所述私鑰加密模塊的算法采用數(shù)據(jù)加密標準DES。
5.根據(jù)權(quán)利要求2所述一種保護網(wǎng)絡(luò)應(yīng)用程序使用賬號密碼進行登錄的方法�,其特征在于所述步驟D中客戶端對組合數(shù)據(jù)進行信息摘要加密采用不可逆的安全哈希算法。
全文摘要
本發(fā)明公開了一種保護網(wǎng)絡(luò)應(yīng)用程序使用賬號密碼進行登錄的方法�,通過客戶端密碼輸入,然后經(jīng)過服務(wù)器端驗證進行登陸�,其特征在于客戶端設(shè)置有通用鍵盤驅(qū)動程序,所述鍵盤驅(qū)動程序內(nèi)預(yù)設(shè)有加密私鑰和私鑰加密模塊�;同時,服務(wù)器端也設(shè)置有加密私鑰和加密模塊����,并且與客戶端使用的私鑰和私鑰加密模塊一致;本發(fā)明可以有效防止運行在操作系統(tǒng)應(yīng)用層的具有鍵盤記錄功能的木馬病毒進程竊取用戶輸入的賬號密碼���,也可以防止網(wǎng)絡(luò)監(jiān)測工具截獲含有用戶賬號密碼等信息的登錄數(shù)據(jù)包并用軟件方法實施詐騙登錄���。
文檔編號H04L9/32GK101051904SQ20071004911
公開日2007年10月10日 申請日期2007年5月17日 優(yōu)先權(quán)日2007年5月17日
發(fā)明者周冠強 申請人:成都金山互動娛樂科技有限公司