一種安全與方便兼顧的客戶端程序身份設(shè)置方法
【專利摘要】一種安全與方便兼顧的客戶端程序身份設(shè)置方法,涉及移動通訊設(shè)備的客戶端程序安全技術(shù)�,尤其針對可能存在中間人攻擊情況下的客戶端程序安全技術(shù)。本發(fā)明提出了一種多重的客戶端程序身份設(shè)置方法����,其原理是:客戶端程序的身份,即用戶名和密碼�����,在一特定場合被中間人攻擊的可能性存在�,導(dǎo)致身份設(shè)置可能不安全。但在隨機的不同場合被同一中間人攻擊的可能性會大大降低����。通過在不同場合的多重身份設(shè)置,使得服務(wù)器具有客戶端程序的多重身份����,從而可以通過驗證客戶端上傳的多重身份,大大增強客戶端程序與服務(wù)器通訊的安全性����。
【專利說明】一種安全與方便兼顧的客戶端程序身份設(shè)置方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及移動通訊設(shè)備的客戶端程序安全技術(shù),尤其針對可能存在中間人攻擊情況下的客戶端程序安全技術(shù)���。
【背景技術(shù)】
[0002]為防止非法用戶侵入服務(wù)器���,造成合法用戶損失,服務(wù)器必須對客戶端程序進行身份驗證�。
[0003]服務(wù)器對客戶端程序進行身份驗證的方式是根據(jù)用戶名對客戶端上傳的密碼和服務(wù)器保存的密碼進行一致性校驗。這就要求客戶端程序在登陸服務(wù)器前必須先進行客戶端程序身份設(shè)置���,即注冊�。
[0004]注冊的實質(zhì)是在服務(wù)器設(shè)置用戶名和密碼對����。
[0005]這里的問題是,用戶設(shè)置密碼時可能存在中間人攻擊�,使得中間人可同時獲取用戶設(shè)置的密碼。
[0006]中間人攻擊(Man-1n-the-MiddleAttack)是一種“間接”的入侵攻擊,是通過各種技術(shù)手段將受入侵者控制的一臺計算機虛擬放置在網(wǎng)絡(luò)連接中的兩臺通信計算機之間���。這臺計算機即是“中間人”�。
[0007]在存在中間人攻擊可能的情況下�,客戶端程序向服務(wù)器發(fā)送的用戶名和密碼設(shè)置信息有可能被中間人攔截,導(dǎo)致基于用戶名和密碼設(shè)置的服務(wù)器對客戶端程序的身份驗證不安全�����。
【發(fā)明內(nèi)容】
[0008]在可能存在中間人攻擊的情況下,客戶端程序向服務(wù)器發(fā)送身份設(shè)置信息���,即注冊信息���,是不安全的。
[0009]為了解決這個問題��,本發(fā)明提出了一種多重的客戶端程序身份設(shè)置方法�����,其原理是:客戶端程序的身份��,即用戶名和密碼�����,在一特定場合被中間人攻擊的可能性存在��,導(dǎo)致身份設(shè)置可能不安全��。但在隨機的不同場合被同一中間人攻擊的可能性會大大降低��。通過在不同場合的多重身份設(shè)置,使得服務(wù)器具有客戶端程序的多重身份����,從而可以通過驗證客戶端上傳的多重身份���,大大增強客戶端程序與服務(wù)器通訊的安全性��。
[0010]比如�����,常見的通過網(wǎng)頁注冊����,用戶可以通過服務(wù)器在電腦A上呈現(xiàn)的注冊頁面進行密碼A設(shè)置���,然后通過服務(wù)器在電腦B上呈現(xiàn)的注冊頁面進行密碼B設(shè)置���,這樣,客戶端程序就具有密碼A和密碼B兩個身份�。服務(wù)器對客戶端程序的身份驗證就可以同時驗證密碼A和密碼B。一般而言�,用戶選擇電腦A和電腦B對可能存在的中間人而言是不預(yù)知和隨機的����。潛伏在電腦A里面的中間人與潛伏在電腦B里面的中間人是同一中間人的可能性較小�。這樣,通過多重設(shè)置客戶端程序身份�,其安全性就要遠遠高于客戶端程序單一的身份設(shè)置。
[0011]在客戶端程序上顯示注冊界面�,本質(zhì)仍然是向服務(wù)器設(shè)置用戶名和密碼對,這種情形與網(wǎng)頁注冊類似�����,無需贅述�����。
[0012]隨著移動通訊設(shè)備的普及�,對于移動通訊設(shè)備,在客戶端程序身份設(shè)置時��,往往還需要考慮用戶設(shè)置的方便性�。因此,本發(fā)明方法在上述通常的多重身份設(shè)置意義下���,對移動通訊設(shè)備提出了更具針對性更方便的一鍵注冊��。
[0013]一種安全與方便兼顧的客戶端程序身份設(shè)置方法���,其特征是:包括一鍵注冊和多重身份設(shè)置���。
[0014]所述一鍵注冊,步驟是:
(1)��、客戶端程序登陸服務(wù)器�����,服務(wù)器產(chǎn)生一臨時ID記錄并將該ID返回客戶端程序����;
(2)�、客戶端程序產(chǎn)生一隨機字符串,作為密碼保存��,之后連同從服務(wù)器取回的ID����,通過短信發(fā)送到服務(wù)器;
(3)����、服務(wù)器從客戶端程序發(fā)送來的短信中剝離出手機號��、密碼和ID���,生成手機號與密碼配對的客戶端程序身份記錄,再將手機號與步驟(I)產(chǎn)生的臨時ID關(guān)聯(lián)��;
(4)�����、客戶端程序再次登陸服務(wù)器�����,根據(jù)臨時ID取回手機號�����,服務(wù)器刪除臨時ID記錄���,這樣客戶端程序就具有了與服務(wù)器匹配的手機號與密碼對���,完成注冊����;
所述客戶端程序短信發(fā)送到服務(wù)器����,可能包括另一手機,該手機負責(zé)接收客戶端程序發(fā)送到服務(wù)器的短信����,手機號可以是公共的,也可以是來自服務(wù)器的��。
[0015]所述多重身份設(shè)置���,步驟是:
(1)、用戶在另一設(shè)備上通過服務(wù)器提供的客戶端程序身份設(shè)置方式設(shè)置客戶端程序的另一身份����,即同一用戶名下的附加密碼;
(2)�����、在客戶端程序上輸入上述附加密碼��;
(3)、上述步驟可重復(fù)進行�����,每進行一次設(shè)置即使客戶端程序的身份增加一重�����。
[0016]對所述多重身份設(shè)置�����,服務(wù)器對應(yīng)的身份驗證方法��,步驟是:
(1)�、如果用戶沒有設(shè)置附加密碼,則附加密碼定義為空���;
(2)�、客戶端程序?qū)Υ嬖诳蛻舳说拿艽a和非空附加密碼合并���,生成新的合成密碼���,非空附加密碼可以是多個�����;
(3)���、將上述合成密碼加密后,與一隨機字符串合并���,然后再加密����,將最后的加密結(jié)果與隨機字符串上傳服務(wù)器���;
(4)�、服務(wù)器將儲存在服務(wù)器對應(yīng)用戶名下的密碼和附加密碼按客戶端程序同樣的規(guī)則加密���,與上傳的隨機字符串合并,然后再加密����,如果最后的加密結(jié)果與上傳的客戶端程序最后加密結(jié)果一致,則客戶端程序身份驗證成功,否則�����,客戶端程序身份驗證失?���。?br>
上述密碼�、附加密碼的合并與加密可以有不同方式,只要服務(wù)器能根據(jù)客戶端程序相同的規(guī)則生成加密結(jié)果����,使服務(wù)器能將生成的加密結(jié)果與客戶端程序上傳的加密結(jié)果進行比較,所有方式都是允許的��。
[0017]《一種可以防止黑客程序再次登陸的方法》(專利申請?zhí)?01310284077.1)提到:一種可以防止黑客程序再次登陸的方法�����,其特征是:客戶端產(chǎn)生用戶名���、初始密碼和初始動態(tài)口令����,初始動態(tài)口令是一個隨機數(shù)值,可以進行大小比較�����;通過手機將用戶名���、初始密碼和初始動態(tài)口令通過短信平臺發(fā)送給服務(wù)器�����。
[0018]這與本發(fā)明“一鍵注冊”不同����。在《一種可以防止黑客程序再次登陸的方法》中至少需要由用戶輸入用戶名�����,然后��,才可以短信發(fā)送給服務(wù)器���。在本發(fā)明中,不需要用戶進行任何輸入��,客戶端程序自動通過臨時ID從服務(wù)器中取回手機號(相當于用戶名)。這也是本發(fā)明所述“安全與方便兼顧”所指����。在本發(fā)明中,只要用戶點擊“注冊”按鈕�����,客戶端程序即可自動完成注冊�����。
[0019]本發(fā)明的有益效果是:作為客戶端程序身份的注冊更方便����,用戶只需要點擊“注冊”按鈕即可自動完成注冊。由于有多重身份驗證保障����,客戶端程序更安全。做到了客戶端程序安全性與方便性兼顧�����。
[0020]
【專利附圖】
【附圖說明】
[0021]圖1是常見的網(wǎng)頁注冊�。用戶可以通過服務(wù)器在電腦上呈現(xiàn)的注冊頁面進行用戶密碼設(shè)置�。注冊后��,客戶端程序上傳用戶名和密碼��,服務(wù)器即可據(jù)此進行客戶端程序身份驗證���?����?蛻舳顺绦蝻@示注冊界面的情形與本圖說明的網(wǎng)頁注冊����,實質(zhì)是類似的��。
[0022]圖2是本發(fā)明所述安全性與方便性兼顧的“一鍵注冊”����。用戶只需要點擊“注冊”按鈕即可完成客戶端程序注冊。
[0023]圖3是中間人攻擊示例����。不論是常見的網(wǎng)頁注冊,還是本發(fā)明所述“一鍵注冊”��,都存在被中間人攻擊的可能性�。本發(fā)明通過在不同場合的多重身份設(shè)置,即一鍵注冊和常見的網(wǎng)頁注冊���,使得服務(wù)器具有客戶端程序的多重身份��,從而可以通過驗證客戶端上傳的多重身份��,大大增強客戶端程序與服務(wù)器通訊的安全性�����。
[0024]【具體實施方式】
[0025]本發(fā)明“一鍵注冊”使用短信發(fā)送到服務(wù)器�。同樣�,使用電子郵件也可達到類似效果O
[0026]本發(fā)明中,用戶在另一設(shè)備上通過服務(wù)器提供的客戶端程序身份設(shè)置方式設(shè)置客戶端程序的另一身份����,即同一用戶名下的附加密碼,其設(shè)置方式可以是簡潔的����,比如,判斷用戶名(在本發(fā)明中是手機號)在服務(wù)器對應(yīng)的附加密碼為空��,即可進行密碼的任意設(shè)置。
【權(quán)利要求】
1.一種安全與方便兼顧的客戶端程序身份設(shè)置方法�,其特征是:包括一鍵注冊和多重身份設(shè)置。
2.根據(jù)權(quán)利要求1所述一鍵注冊��,步驟是: (1)���、客戶端程序登陸服務(wù)器�����,服務(wù)器產(chǎn)生一臨時ID記錄并將該ID返回客戶端程序����; (2)����、客戶端程序產(chǎn)生一隨機字符串,作為密碼保存��,之后連同從服務(wù)器取回的ID���,通過短信發(fā)送到服務(wù)器��; (3)���、服務(wù)器從客戶端程序發(fā)送來的短信中剝離出手機號����、密碼和ID�,生成手機號與密碼配對的客戶端程序身份記錄���,再將手機號與步驟(I)產(chǎn)生的臨時ID關(guān)聯(lián)��; (4)���、客戶端程序再次登陸服務(wù)器,根據(jù)臨時ID取回手機號��,服務(wù)器刪除臨時ID記錄�����,這樣客戶端程序就具有了與服務(wù)器匹配的手機號與密碼對��,完成注冊�����。
3.根據(jù)權(quán)利要求1所述客戶端程序短信發(fā)送到服務(wù)器,特征是:可能包括另一手機����,該手機負責(zé)接收客戶端程序發(fā)送到服務(wù)器的短信,手機號可以是公共的�,也可以是來自服務(wù)器的。
4.根據(jù)權(quán)利要求1所述多重身份設(shè)置��,步驟是: (1)��、用戶在另一設(shè)備上通過服務(wù)器提供的客戶端程序身份設(shè)置方式設(shè)置客戶端程序的另一身份��,即同一用戶名下的附加密碼����; (2)、在客戶端程序上輸入上述附加密碼���; (3)����、上述步驟可重復(fù)進行�,每進行一次設(shè)置即使客戶端程序的身份增加一重。
5.根據(jù)權(quán)利要求1所述多重身份設(shè)置,服務(wù)器對應(yīng)的身份驗證方法��,步驟是: (1)���、如果用戶沒有設(shè)置附加密碼�����,則附加密碼定義為空��; (2)、客戶端程序?qū)Υ嬖诳蛻舳说拿艽a和非空附加密碼合并�,生成新的合成密碼,非空附加密碼可以是多個�; (3)、將上述合成密碼加密后�,與一隨機字符串合并,然后再加密�����,將最后的加密結(jié)果與隨機字符串上傳服務(wù)器����; (4)、服務(wù)器將儲存在服務(wù)器對應(yīng)用戶名下的密碼和附加密碼按客戶端程序同樣的規(guī)則加密,與上傳的隨機字符串合并���,然后再加密�,如果最后的加密結(jié)果與上傳的客戶端程序最后加密結(jié)果一致����,則客戶端程序身份驗證成功,否則�����,客戶端程序身份驗證失?�?��; 上述密碼����、附加密碼的合并與加密可以有不同方式�����,只要服務(wù)器能根據(jù)客戶端程序相同的規(guī)則生成加密結(jié)果�,使服務(wù)器能將生成的加密結(jié)果與客戶端程序上傳的加密結(jié)果進行比較��,所有方式都是允許的�����。
【文檔編號】H04L29/06GK103825911SQ201410107714
【公開日】2014年5月28日 申請日期:2014年3月23日 優(yōu)先權(quán)日:2014年3月23日
【發(fā)明者】張忠義 申請人:張忠義