一種基于信息分離管理的跨網(wǎng)域安全認(rèn)證方法
【專利摘要】一種基于信息分離管理的跨網(wǎng)域安全認(rèn)證方法,用戶在網(wǎng)站以用戶名Na進(jìn)行注冊,此時無需設(shè)置賬戶的密碼,網(wǎng)站為用戶建立Na與Ca的關(guān)聯(lián)關(guān)系;網(wǎng)站通過認(rèn)證服務(wù)器與認(rèn)證APP建立對應(yīng)關(guān)系,其中網(wǎng)站與認(rèn)證服務(wù)器以Ca建立對應(yīng)關(guān)系,認(rèn)證服務(wù)器建立Ca與識別碼X的對應(yīng)關(guān)系,認(rèn)證APP建立識別碼X與用戶名Na的對應(yīng)關(guān)系,登錄步驟根據(jù)前述對應(yīng)關(guān)系進(jìn)行數(shù)據(jù)交互。本發(fā)明將用戶的帳戶完整信息進(jìn)行分割,并交由三方分別管理,每一次認(rèn)證都需要經(jīng)過網(wǎng)站、認(rèn)證服務(wù)器、移動終端設(shè)備三個認(rèn)證環(huán)節(jié),實現(xiàn)安全的身份認(rèn)證。即使攻破任何一個或者兩個都無法獲取完整的數(shù)據(jù),安全可靠。
【專利說明】
一種基于信息分離管理的跨網(wǎng)域安全認(rèn)證方法
技術(shù)領(lǐng)域
[0001]本發(fā)明屬于網(wǎng)絡(luò)安全領(lǐng)域,涉及一種安全的身份認(rèn)證方法,尤其是在該認(rèn)證方法中,用戶無需使用密碼,具體地說是一種通過將用戶的帳戶信息進(jìn)行分割并分離管理的方式,實現(xiàn)高安全級別的身份認(rèn)證技術(shù)。
【背景技術(shù)】
[0002]目前,隨著互聯(lián)網(wǎng)技術(shù)在生活中的普遍運用,幾乎每個人都需要在網(wǎng)絡(luò)世界中建立各自的帳戶身份,而進(jìn)行網(wǎng)絡(luò)身份認(rèn)證時常見方法,主要就是“用戶名”和“密碼”;由于網(wǎng)絡(luò)生活已經(jīng)無處不在,因而用戶需要記住和管理的“密碼”越來越多,同時為了盡可能增加密碼被破解的難度,密碼設(shè)置越來越復(fù)雜,對網(wǎng)絡(luò)服務(wù)提供者的系統(tǒng)安全要求也越來越高,但即便如此,不斷出現(xiàn)的各種新型的密碼破解技術(shù)仍嚴(yán)重威脅著“密碼”的安全,特別是諸如“密碼詞典”和“社會工程學(xué)”(俗稱“撞庫”)等密碼破解技術(shù)的應(yīng)用,傳統(tǒng)的密碼保護(hù)方法幾乎已經(jīng)難以保障“密碼安全”。
[0003]出現(xiàn)此類密碼安全問題的根本原因在于,網(wǎng)絡(luò)服務(wù)提供者同時持有用戶的帳戶信息和密碼信息,就好像將鑰匙和鎖放在了一起,一旦網(wǎng)絡(luò)被攻擊,即導(dǎo)致用戶帳戶泄密,同時,一個網(wǎng)絡(luò)服務(wù)者的用戶帳戶信息泄漏,也將嚴(yán)重威脅到用戶在其他網(wǎng)絡(luò)服務(wù)者的帳戶安全,導(dǎo)致用戶賬號的安全經(jīng)常處在十分危險的境地。
【發(fā)明內(nèi)容】
[0004]本發(fā)明的目的是針對網(wǎng)絡(luò)環(huán)境下,用戶在線身份的認(rèn)證問題,提出一種高安全級別的認(rèn)證方法。理論上,如果將鑰匙和鎖分開放置,持有帳號的一方不持有“密碼”,持有“密碼”的一方并不持有帳號,甚至是根本不存在“密碼”,將能極大的提高帳戶安全性能。
[0005]本發(fā)明的技術(shù)方案是:
[0006]—種基于信息分離管理的跨網(wǎng)域安全認(rèn)證方法,它包括注冊步驟和登錄步驟;
[0007]注冊步驟包括:
[0008]S1、用戶在網(wǎng)站(包括APP客戶端、web網(wǎng)頁以及其他形式網(wǎng)絡(luò)服務(wù)站點)進(jìn)行注冊,用戶名Na,此時無需設(shè)置賬戶的密碼,網(wǎng)站為用戶名Na生成與之對應(yīng)(并包含網(wǎng)站自身標(biāo)識)的唯一用戶編碼Ca,使Na與Ca建立關(guān)聯(lián)關(guān)系;
[0009]S2、網(wǎng)站通過認(rèn)證服務(wù)器與安裝在用戶智能終端設(shè)備(電腦、手機、平板電腦、智能手表等)上的認(rèn)證APP建立對應(yīng)關(guān)系,其中網(wǎng)站與認(rèn)證APP共享用戶名Na,網(wǎng)站與認(rèn)證服務(wù)器共享用戶編碼Ca,認(rèn)證服務(wù)器與認(rèn)證APP共享識別碼X和智能終端設(shè)備的硬件識別標(biāo)識碼IDp,(識別碼X是認(rèn)證APP為用戶在網(wǎng)站上的用戶名Na分配的識別信息),認(rèn)證服務(wù)器將Ca、X、IDp建立關(guān)聯(lián),認(rèn)證APP將識別碼X與用戶名Na記錄于本地,并將X、Na進(jìn)彳丁關(guān)聯(lián);
[0010]登錄步驟包括;
[0011]S3、用戶以用戶名Na請求登錄網(wǎng)站;
[0012]S4、網(wǎng)站后臺服務(wù)器發(fā)送用戶編碼Ca以及至少一個隨機字符串Str4至認(rèn)證服務(wù)器;
[0013]S5、認(rèn)證服務(wù)器獲取用戶編碼Ca對應(yīng)的識別碼X,以及與識別碼X對應(yīng)的硬件設(shè)備標(biāo)識碼IDp ;
[0014]S6、認(rèn)證服務(wù)器轉(zhuǎn)發(fā)字符串Str4、識別碼X至硬件設(shè)備標(biāo)識碼IDp所對應(yīng)的認(rèn)證APP ;
[0015]S7、用戶在認(rèn)證APP進(jìn)行確認(rèn)響應(yīng),認(rèn)證APP通過識別碼X查找保存于本地的用戶名Na,并采用混淆技術(shù)對Na和字符串Str4進(jìn)行處理,將混淆技術(shù)處理結(jié)果H和識別碼X發(fā)送至認(rèn)證服務(wù)器;
[0016]S8、認(rèn)證服務(wù)器通過識別碼X獲取用戶編碼Ca,將用戶編碼Ca、混淆處理運算結(jié)果H發(fā)送至網(wǎng)站的后臺服務(wù)器;后臺服務(wù)器根據(jù)用戶編碼Ca查找到關(guān)聯(lián)的用戶名Na;并且使用與認(rèn)證APP中獲取H值相同的混淆技術(shù)對用戶名Na和字符串Str4進(jìn)行運算,得到混淆技術(shù)處理結(jié)果H’ ;比對H和H’的一致性;
[0017]比對通過,則用戶名Na在網(wǎng)站的身份驗證成功;比對不一致,則認(rèn)證失敗,驗證成功或者失敗的信息經(jīng)網(wǎng)站顯示或者經(jīng)認(rèn)證服務(wù)器反饋給認(rèn)證APP。
[0018]本發(fā)明的注冊步驟具體包括:
[0019]S1-1、各類需要開通認(rèn)證服務(wù)的網(wǎng)站(包括APP客戶端、web網(wǎng)頁以及其他形式網(wǎng)絡(luò)服務(wù)站點)向安全認(rèn)證系統(tǒng)的認(rèn)證服務(wù)器發(fā)送請求,申請開通安全認(rèn)證服務(wù);認(rèn)證服務(wù)器授權(quán)各網(wǎng)站訪問認(rèn)證服務(wù)器的權(quán)限;
[0020]S1-2、用戶使用網(wǎng)絡(luò)終端訪問任一網(wǎng)站,并注冊該網(wǎng)站的賬戶,用戶名Na;注冊賬戶時,無需設(shè)置賬戶的密碼;如果用戶在網(wǎng)站已經(jīng)有賬戶,則在用戶登錄賬戶時,提示用戶選擇進(jìn)入跨網(wǎng)域安全認(rèn)證模式,轉(zhuǎn)S1-3;
[0021]S1-3、網(wǎng)站提示用戶使用移動終端下載安全認(rèn)證系統(tǒng)的客戶端APP即認(rèn)證APP;如果已經(jīng)下載有認(rèn)證APP,則直接轉(zhuǎn)步驟S1-4;
[0022]S1-4、網(wǎng)站的后臺服務(wù)器為用戶名Na生成可視驗證信息Strl和用戶編碼Ca,將用戶名Na與唯一用戶編碼Ca建立關(guān)聯(lián)關(guān)系;
[0023]S2-1、網(wǎng)站的后臺服務(wù)器將可視驗證信息Strl顯示到用戶注冊網(wǎng)站賬戶的頁面上,并將可視驗證信息Strl和用戶編碼Ca傳輸給認(rèn)證服務(wù)器,認(rèn)證服務(wù)器將前述Strl和Ca記入數(shù)據(jù)庫;
[0024]S2-2、用戶在認(rèn)證APP上響應(yīng)可視驗證信息Str I,認(rèn)證APP提示用戶輸入在網(wǎng)站的用戶名Na,認(rèn)證APP為該用戶名Na生成一個識別碼X,將用戶在網(wǎng)站的用戶名Na、以及用戶名Na與識別碼X的對應(yīng)關(guān)系保存在本地,認(rèn)證APP將響應(yīng)信息、移動終端硬件設(shè)備唯一標(biāo)識碼IDp、以及識別碼X傳輸給認(rèn)證服務(wù)器,認(rèn)證服務(wù)器將接收的響應(yīng)信息與數(shù)據(jù)庫中記錄的可視驗證信息Strl進(jìn)行匹配驗證,驗證通過,則可查獲與Strl對應(yīng)的用戶編碼Ca,認(rèn)證服務(wù)器將網(wǎng)站的用戶編碼Ca、硬件設(shè)備標(biāo)識碼IDp、以及識別碼X進(jìn)行關(guān)聯(lián),并記錄在數(shù)據(jù)庫中;認(rèn)證服務(wù)器將驗證通過的信息反饋至網(wǎng)站的后臺服務(wù)器,用戶Na完成注冊。
[0025]本發(fā)明中,為防止認(rèn)證服務(wù)器與網(wǎng)站之間所傳輸?shù)臄?shù)據(jù)被攔截,前述步驟S2-1中,還包括:
[0026]認(rèn)證服務(wù)器向網(wǎng)站的后臺服務(wù)器頒發(fā)密鑰KO;
[0027]網(wǎng)站的后臺服務(wù)器使用密鑰KO對可視驗證信息Strl、用戶編碼Ca加密后,通過SSL加密傳輸給認(rèn)證服務(wù)器,認(rèn)證服務(wù)器接收后,使用密鑰KO解密,得到可視驗證信息Str 1、用戶編碼Ca并記入數(shù)據(jù)庫。
[0028]本發(fā)明中,為防止認(rèn)證APP與認(rèn)證服務(wù)器之間所傳輸?shù)臄?shù)據(jù)被攔截,還包括認(rèn)證APP與認(rèn)證服務(wù)器建立通信后,在首次訪問認(rèn)證服務(wù)器時,認(rèn)證服務(wù)器向認(rèn)證APP頒發(fā)密鑰Kl;步驟S2-2中,認(rèn)證APP使用密鑰Kl對識別碼X、響應(yīng)信息加密后,通過SSL加密傳輸給認(rèn)證服務(wù)器,認(rèn)證服務(wù)器接收后,使用密鑰Kl解密,得到識別碼X、響應(yīng)信息并記入數(shù)據(jù)庫。
[0029]本發(fā)明中,為確認(rèn)認(rèn)證服務(wù)器發(fā)回的反饋信息真實性,防止認(rèn)證服務(wù)器被偽造,步驟 Sl-4、S2-l、S2-2 還包括:
[0030]S1-4、網(wǎng)站的后臺服務(wù)器還為用戶名Na生成隨機字符串Str2;
[0031 ] S2-1、網(wǎng)站的后臺服務(wù)器還將隨機字符串Str2傳輸給認(rèn)證服務(wù)器;
[0032]S2-2、認(rèn)證服務(wù)器將網(wǎng)站的用戶編碼Ca、硬件設(shè)備標(biāo)識碼IDp、以及識別碼X進(jìn)行關(guān)聯(lián)之后,還包括:
[0033]A、認(rèn)證服務(wù)器將隨機字符串Str2、識別碼X傳輸給對應(yīng)硬件設(shè)備標(biāo)識碼為IDp的移動終端上安裝的認(rèn)證APP;
[0034]B、認(rèn)證APP對隨機字符串Str2和用戶名Na采用混淆技術(shù)進(jìn)行處理,得到混淆技術(shù)處理結(jié)果Hl;認(rèn)證APP將混淆技術(shù)處理結(jié)果Hl、識別碼X傳輸回認(rèn)證服務(wù)器;
[0035]C、認(rèn)證服務(wù)器收到混淆技術(shù)處理結(jié)果H1、識別碼X后,通過IDp和識別碼X查找到關(guān)聯(lián)的用戶編碼Ca,并通過用戶編碼Ca查找到關(guān)聯(lián)的網(wǎng)站;認(rèn)證服務(wù)器將混淆技術(shù)處理結(jié)果Hl和用戶編碼Ca傳輸給網(wǎng)站后臺服務(wù)器;
[0036]D、網(wǎng)站的后臺服務(wù)器通過用戶編碼Ca查找到關(guān)聯(lián)的用戶名Na;后臺服務(wù)器使用與認(rèn)證APP中獲取Hl值相同的混淆技術(shù)對用戶名Na和隨機字符串Str2進(jìn)行處理,得到混淆技術(shù)處理結(jié)果H1’ ;比對混淆技術(shù)處理結(jié)果Hl和H1’,如一致則確認(rèn)此次反饋信息來源于用戶的認(rèn)證APP而非認(rèn)證服務(wù)器偽裝。
[0037]進(jìn)一步地,步驟S2-1中,為防止認(rèn)證服務(wù)器與網(wǎng)站之間所傳輸?shù)臄?shù)據(jù)被攔截,還包括:
[0038]認(rèn)證服務(wù)器向網(wǎng)站的后臺服務(wù)器頒發(fā)密鑰KO;
[0039]網(wǎng)站的后臺服務(wù)器使用密鑰KO對可視驗證信息Strl、用戶編碼Ca和隨機字符串Str2加密后,通過SSL加密傳輸給認(rèn)證服務(wù)器,認(rèn)證服務(wù)器接收后,使用密鑰KO解密,得到可視驗證信息Strl、用戶編碼Ca以及隨機字符串Str2并記入數(shù)據(jù)庫。
[0040]為防止認(rèn)證APP與認(rèn)證服務(wù)器之間所傳輸?shù)臄?shù)據(jù)被攔截,還包括認(rèn)證APP與認(rèn)證服務(wù)器建立通信后,在首次訪問認(rèn)證服務(wù)器時,認(rèn)證服務(wù)器向認(rèn)證APP頒發(fā)密鑰Kl;
[0041 ] 步驟S2-2中,認(rèn)證APP使用密鑰Kl對識別碼X、響應(yīng)信息以及隨機字符串Str2加密后,通過SSL加密傳輸給認(rèn)證服務(wù)器,認(rèn)證服務(wù)器接收后,使用密鑰Kl解密,得到識別碼X、響應(yīng)信息以及隨機字符串Str2并記入數(shù)據(jù)庫。
[0042]本發(fā)明的注冊步驟中,S2-2或者為以下步驟:
[0043]S2-2、認(rèn)證服務(wù)器將網(wǎng)站的用戶編碼Ca、硬件設(shè)備標(biāo)識碼IDp、以及識別碼X進(jìn)行關(guān)聯(lián)之后,還包括:
[0044]a、認(rèn)證服務(wù)器將隨機字符串Str2、識別碼X傳輸給硬件設(shè)備標(biāo)識碼為IDp的移動終端上安裝的認(rèn)證APP;
[0045]b、認(rèn)證APP隨機生成字符串Str3 ;認(rèn)證APP以用戶名Na為密鑰,對隨機字符串Str3進(jìn)行加密運算,得到加密結(jié)果值E ;
[0046]c、認(rèn)證APP使用混淆技術(shù)對隨機字符串Str2和Str3進(jìn)行處理,得到混淆技術(shù)處理結(jié)果H2;認(rèn)證APP將混淆技術(shù)處理結(jié)果H2、識別碼X、加密值E傳輸給認(rèn)證服務(wù)器;
[0047]d、認(rèn)證服務(wù)器收到混淆技術(shù)處理結(jié)果H2、識別碼X、加密值E后,通過IDp和識別碼X查找到關(guān)聯(lián)的用戶編碼Ca,并通過用戶編碼Ca查找到關(guān)聯(lián)的網(wǎng)站;認(rèn)證服務(wù)器將混淆技術(shù)處理結(jié)果H2、加密值E和用戶編碼Ca傳輸給網(wǎng)站后臺服務(wù)器;
[0048]e、網(wǎng)站的后臺服務(wù)器通過用戶編碼Ca查找到關(guān)聯(lián)的用戶名Na;后臺服務(wù)器以用戶名Na為密鑰,對加密值E進(jìn)行解密運算,得到字符串Str3;網(wǎng)站的后臺服務(wù)器使用與認(rèn)證APP中獲取H2值相同的混淆技術(shù)對隨機字符串Str2和解密得到的字符串Str3進(jìn)行處理,得到混淆技術(shù)處理結(jié)果H2’ ;比對混淆技術(shù)處理結(jié)果H2和H2’,如一致則確認(rèn)此次信息反饋來源于用戶的認(rèn)證APP而非認(rèn)證服務(wù)器偽裝。
[0049]進(jìn)一步地,本發(fā)明的步驟b中:
[0050]認(rèn)證APP以用戶名Na為密鑰對隨機字符串Str3進(jìn)行加密得到加密值E時,先對用戶名Na進(jìn)行混淆技術(shù)處理,得到混淆技術(shù)處理結(jié)果h,再以h為密鑰對隨機字符串Str3進(jìn)行加密運算,得到加密值E’;
[0051]對應(yīng)地,步驟e中,為了解密以獲得隨機字符串Str3:網(wǎng)站的后臺服務(wù)器對用戶名Na采用與認(rèn)證APP中獲取h值相同的混淆技術(shù)處理,得到混淆技術(shù)處理結(jié)果h’,以h’為密鑰對接收到的加密值E,進(jìn)行解密,得到字符串Str3。
[0052]本發(fā)明的登錄步驟中:步驟S7、S8或者為:
[0053]S7 ’、用戶在認(rèn)證APP進(jìn)行確認(rèn)響應(yīng),認(rèn)證APP隨機生成字符串Str5 ;認(rèn)證APP以用戶名Na對隨機字符串Str5進(jìn)行加密得到加密值El;
[0054]S8’、認(rèn)證APP使用混淆技術(shù)對隨機字符串Str4和Str5進(jìn)行處理,得到混淆技術(shù)處理結(jié)果H3,認(rèn)證APP將混淆技術(shù)處理結(jié)果H3、識別碼X和加密值El發(fā)送至認(rèn)證服務(wù)器;
[0055]S9’、認(rèn)證服務(wù)器收到混淆技術(shù)處理結(jié)果H3、識別碼X、加密值El后,通過IDp和識別碼X查詢獲得對應(yīng)關(guān)聯(lián)的用戶編碼Ca,并通過用戶編碼Ca查找到關(guān)聯(lián)的網(wǎng)站;認(rèn)證服務(wù)器將混淆技術(shù)處理結(jié)果H3、加密值El和用戶編碼Ca傳輸給網(wǎng)站后臺服務(wù)器;
[0056]S10’、后臺服務(wù)器根據(jù)用戶編碼Ca查找到關(guān)聯(lián)的用戶名Na;后臺服務(wù)器以用戶名Na為密鑰,對加密值El進(jìn)行解密運算,得到字符串Str5;后臺服務(wù)器使用與認(rèn)證APP中獲取H3值相同的混淆技術(shù)對隨機字符串Str4和經(jīng)解密得到的字符串Str5進(jìn)行處理,得到混淆技術(shù)處理結(jié)果H3’ ;比對混淆技術(shù)處理結(jié)果H3和H3’,比對通過,則用戶名Na在網(wǎng)站的身份驗證成功;比對不一致,則認(rèn)證失敗,驗證成功或者失敗的信息經(jīng)網(wǎng)站顯示或者經(jīng)認(rèn)證服務(wù)器反饋給認(rèn)證APP。
[0057]進(jìn)一步地,步驟S7’中:
[0058]認(rèn)證APP以用戶名Na對隨機字符串Str5進(jìn)行加密得到加密值El時,先對用戶名Na進(jìn)行混淆技術(shù)處理,得到混淆技術(shù)處理結(jié)果hi,再以hi為密鑰對隨機字符串Str5進(jìn)行加密運算,得到加密值El;
[0059]對應(yīng)地,步驟S10’中,為了解密以獲得隨機字符串Str5:網(wǎng)站的后臺服務(wù)器對用戶名Na采用與認(rèn)證APP中獲取hi值相同的混淆技術(shù)處理,得到混淆技術(shù)處理結(jié)果hi’,以hi’為密鑰對接收到的加密值El進(jìn)行解密,得到字符串Str5。
[0060]本發(fā)明的步驟SI中,用戶按照網(wǎng)站的規(guī)則注冊網(wǎng)站的賬戶,錄入信息包括手機號碼、身份證號碼、地址、電子郵箱和/或用戶名,網(wǎng)站為其分配注冊賬戶IDa;其中,注冊賬戶IDa或者其他能夠唯一標(biāo)識該用戶在網(wǎng)站的身份信息均能夠替代后面步驟中的用戶名Na,用于與用戶編碼Ca進(jìn)行關(guān)聯(lián)。
[0061]本發(fā)明中,為確認(rèn)操作認(rèn)證APP的是用戶本人,在步驟S2-2中,建立識別碼X與用戶名Na的對應(yīng)關(guān)系時,認(rèn)證APP還可以提示用戶選擇為登錄網(wǎng)站設(shè)定對應(yīng)的特定認(rèn)證指令Y,認(rèn)證指令包括:一鍵確認(rèn)、靜態(tài)密碼、短信驗證碼、指紋以及視頻識別,其中,視頻識別包括人臉識別和動作識別,設(shè)定認(rèn)證指令后,必須通過指令Y的認(rèn)證才能完成網(wǎng)站的登錄。
[0062]進(jìn)一步地,認(rèn)證指令Y還能夠采用更高安全級別的NFC認(rèn)證方式,具體設(shè)置流程如下:
[0063]用戶在認(rèn)證APP中選擇為登錄網(wǎng)站設(shè)定NFC認(rèn)證;
[0064]認(rèn)證APP調(diào)用移動終端自帶的NFC功能模塊,并在移動終端界面上打開NFC讀取界面;
[0065]認(rèn)證APP提示用戶提供一張包含NFC芯片的卡片或裝置,比如:中華人民共和國社會保障卡,將卡片靠近移動終端NFC讀取區(qū)域;
[0066]認(rèn)證APP讀取NFC卡片的唯一識別號,并將該識別號信息加密發(fā)送至認(rèn)證服務(wù)器;
[0067]認(rèn)證服務(wù)器將收到的加密NFC卡片識別號解密,并將其與網(wǎng)站、用戶編碼Ca、IDp以及識別碼X進(jìn)行關(guān)聯(lián);
[0068]NFC認(rèn)證設(shè)置完成。
[0069]為了提高安全性,用戶也為登錄進(jìn)入認(rèn)證APP本身設(shè)置指令,指令采用靜態(tài)密碼、短信驗證碼、指紋、視頻識別(包括人臉識別和動作識別)或者NFC認(rèn)證模式中的一種或多種。
[0070]本發(fā)明的混淆技術(shù)采用加密運算或哈希運算;其中加密運算選擇DES和/SAESJg希運算選擇MD5、SHA1、SHA256和SHA384中的一種或多種。
[0071 ]在認(rèn)證服務(wù)器中:使用與認(rèn)證APP中獲取H值相同的混淆技術(shù)獲取H’ ;
[0072]在網(wǎng)站的后臺服務(wù)器中:使用與認(rèn)證APP中獲取Hl值相同的混淆技術(shù)獲取H1’(對應(yīng)地,H2、h、H3、hl分別與H2’、h’、H3’、hl’采用相同的混淆技術(shù)),前述獲取H(H’)、H1(H1’)、!^(!^。、!!(!^、!^(陽’丨以及“化^的混淆技術(shù)之間可以相同也可以不同’均可以采用前述加密運算或哈希運算。
[0073]本發(fā)明的有益效果:
[0074]1、本發(fā)明將用戶的帳戶完整信息進(jìn)行分割,并交由三方(網(wǎng)絡(luò)服務(wù)提供者即網(wǎng)站、認(rèn)證服務(wù)器、用戶移動終端設(shè)備即認(rèn)證APP)分別管理的方式,每一次認(rèn)證都需要經(jīng)過網(wǎng)站、認(rèn)證服務(wù)器、移動終端設(shè)備三個認(rèn)證環(huán)節(jié),實現(xiàn)安全的身份認(rèn)證。即使攻破任何一個或者兩個都無法獲取完整的數(shù)據(jù);另外,本發(fā)明在數(shù)據(jù)交互過程中,采用混淆技術(shù)進(jìn)行加密,有效提高了數(shù)據(jù)傳輸?shù)陌踩浴?br>[0075]2、采用本發(fā)明的方法,用戶不需要使用密碼,解決了日常生活中隨著網(wǎng)絡(luò)發(fā)展,APP越來越多,各種賬號、密碼過多,難以記住的問題。
[0076]3、采用本發(fā)明的方案,即使用戶在不同的網(wǎng)站中使用同樣的賬戶或用戶名進(jìn)行注冊,也能通過一個認(rèn)證APP上進(jìn)行關(guān)聯(lián)和管理,同時實現(xiàn)非常高的安全級別;
[0077]4、采用本發(fā)明的方案,由于網(wǎng)站不再保管密碼,即便網(wǎng)站本身安全設(shè)計的性能不夠高,或者被黑客攻擊,也不會造成用戶密碼信息的泄露。
[0078]5、本發(fā)明采用移動終端硬件設(shè)備唯一標(biāo)識碼IDp作為交互數(shù)據(jù)之一,具有硬件唯一性,這一設(shè)備標(biāo)識為我們提供了辨識帳號使用者身份的可能性;因此并不需要傳統(tǒng)意義上的“密碼”,從而真正做到了沒有“密碼”自然也就不存在破解“密碼”的可能性,從而建立了高安全級別的身份認(rèn)證機制。
[0079]6、由于本系統(tǒng)的獨特設(shè)計,使得當(dāng)前最具破壞力的所謂“社會工程學(xué)攻擊”(俗稱撞庫)的密碼破解方法,幾乎不再可能實現(xiàn)。
[0080]7、本發(fā)明的混淆技術(shù)采用加密運算或哈希運算;其中加密運算選擇DES和/或AES,哈希運算選擇MD5、SHA1、SHA256和SHA384中的一種或多種。前述混淆技術(shù)復(fù)雜多樣、技術(shù)難度高,能夠有效增強破解的難度,提高數(shù)據(jù)交互的安全性。
【附圖說明】
[0081]圖1是本發(fā)明的結(jié)構(gòu)示意圖。
【具體實施方式】
[0082]下面結(jié)合附圖和實施例對本發(fā)明作進(jìn)一步的說明。
[0083]實施例一:
[0084]一種基于信息分離管理的跨網(wǎng)域安全認(rèn)證方法,它包括注冊步驟和登錄步驟;
[0085]注冊步驟包括:
[0086]S1-1、各類需要開通認(rèn)證服務(wù)的網(wǎng)站(包括APP客戶端、web網(wǎng)頁以及其他形式網(wǎng)絡(luò)服務(wù)站點)向安全認(rèn)證系統(tǒng)的認(rèn)證服務(wù)器發(fā)送請求,申請開通安全認(rèn)證服務(wù);認(rèn)證服務(wù)器授權(quán)各網(wǎng)站訪問認(rèn)證服務(wù)器的權(quán)限;
[0087]S1-2、用戶使用網(wǎng)絡(luò)終端訪問任一網(wǎng)站,并注冊該網(wǎng)站的賬戶(注冊網(wǎng)站的賬戶時,常見的錄入信息可以包括手機號碼、身份證號碼、地址、電子郵箱和/或用戶名等中的一種或多種,網(wǎng)站為其分配注冊賬戶IDa;其中,注冊賬戶IDa或者其他能夠唯一標(biāo)識該用戶在網(wǎng)站的身份信息均能夠替代后面步驟中的用戶名Na,用于與用戶編碼Ca進(jìn)行關(guān)聯(lián)),用戶名Na;注冊賬戶時,無需設(shè)置賬戶的密碼;如果用戶在網(wǎng)站已經(jīng)有賬戶,則在用戶登錄賬戶時,提示用戶選擇進(jìn)入跨網(wǎng)域安全認(rèn)證模式,轉(zhuǎn)S1-3;
[0088]S1-3、網(wǎng)站提示用戶使用移動終端下載安全認(rèn)證系統(tǒng)的客戶端APP即認(rèn)證APP;如果已經(jīng)下載有認(rèn)證APP,則直接轉(zhuǎn)步驟S1-4;
[0089]S1-4、網(wǎng)站的后臺服務(wù)器為用戶名Na生成可視驗證信息Strl和用戶編碼Ca,將用戶名Na與唯一用戶編碼Ca建立關(guān)聯(lián)關(guān)系;
[0090]S2-1、網(wǎng)站的后臺服務(wù)器將可視驗證信息Strl顯示到用戶注冊網(wǎng)站賬戶的頁面上,并將可視驗證信息Strl和用戶編碼Ca傳輸給認(rèn)證服務(wù)器,認(rèn)證服務(wù)器將前述Strl和Ca記入數(shù)據(jù)庫;
[0091]S2-2、用戶在認(rèn)證APP上響應(yīng)可視驗證信息Str I,認(rèn)證APP提示用戶輸入在網(wǎng)站的用戶名Na,認(rèn)證APP為該用戶名Na生成一個識別碼X,將用戶在網(wǎng)站的用戶名Na、以及用戶名Na與識別碼X的對應(yīng)關(guān)系保存在本地,認(rèn)證APP將響應(yīng)信息、移動終端硬件設(shè)備唯一標(biāo)識碼IDp、以及識別碼X傳輸給認(rèn)證服務(wù)器,認(rèn)證服務(wù)器將接收的響應(yīng)信息與數(shù)據(jù)庫中記錄的可視驗證信息Strl進(jìn)行匹配驗證,驗證通過,則可查獲與Strl對應(yīng)的用戶編碼Ca,認(rèn)證服務(wù)器將網(wǎng)站的用戶編碼Ca、硬件設(shè)備標(biāo)識碼IDp、以及識別碼X進(jìn)行關(guān)聯(lián),并記錄在數(shù)據(jù)庫中;認(rèn)證服務(wù)器將驗證通過的信息反饋至網(wǎng)站的后臺服務(wù)器,用戶Na完成注冊。(當(dāng)任一用戶以多個用戶名對應(yīng)于同一個網(wǎng)站時(即同一用戶在同一網(wǎng)站具有多個帳戶),認(rèn)證APP為不同的用戶名Na分配不同的識別碼X以示區(qū)分;當(dāng)任一用戶以用戶名Na對應(yīng)于多個網(wǎng)站時,認(rèn)證APP為不同網(wǎng)站的用戶名Na分配不同的識別碼X以示區(qū)分)
[0092]登錄步驟包括;
[0093]S3、用戶以用戶名Na請求登錄網(wǎng)站;
[0094]S4、網(wǎng)站后臺服務(wù)器發(fā)送用戶編碼Ca以及至少一個隨機字符串Str4至認(rèn)證服務(wù)器;
[0095]S5、認(rèn)證服務(wù)器獲取用戶編碼Ca對應(yīng)的識別碼X,以及與識別碼X對應(yīng)的硬件設(shè)備標(biāo)識碼IDp ;
[0096]S6、認(rèn)證服務(wù)器轉(zhuǎn)發(fā)字符串Str4、識別碼X至硬件設(shè)備標(biāo)識碼IDp所對應(yīng)的認(rèn)證APP ;
[0097]S7、用戶在認(rèn)證APP進(jìn)行確認(rèn)響應(yīng),認(rèn)證APP通過識別碼X查找保存于本地的用戶名Na,并采用混淆技術(shù)(優(yōu)選SHAl)對Na和字符串Str4進(jìn)行處理,將混淆技術(shù)處理結(jié)果H和識別碼X發(fā)送至認(rèn)證服務(wù)器;
[0098]S8、認(rèn)證服務(wù)器通過識別碼X獲取用戶編碼Ca,將用戶編碼Ca、Hash運算結(jié)果H發(fā)送至網(wǎng)站的后臺服務(wù)器;后臺服務(wù)器根據(jù)用戶編碼Ca查找到關(guān)聯(lián)的用戶名Na;并且使用與認(rèn)證APP中獲取H值相同的混淆技術(shù)(對應(yīng)的優(yōu)選SHAI)對用戶名Na和字符串Str4進(jìn)行運算,得到混淆技術(shù)處理結(jié)果H’ ;比對H和H’的一致性;
[0099]比對通過,則用戶名Na在網(wǎng)站的身份驗證成功;比對不一致,則認(rèn)證失敗,驗證成功或者失敗的信息經(jīng)網(wǎng)站顯示或者經(jīng)認(rèn)證服務(wù)器反饋給認(rèn)證APP。
[0100]實施例二:
[0101 ] 在實施例一的基礎(chǔ)上,為防止認(rèn)證服務(wù)器與網(wǎng)站之間、認(rèn)證APP與認(rèn)證服務(wù)器之間所傳輸?shù)臄?shù)據(jù)被攔截;
[0102]步驟S2-1中還包括:
[0103]認(rèn)證服務(wù)器向網(wǎng)站的后臺服務(wù)器頒發(fā)密鑰K0;
[0104]網(wǎng)站的后臺服務(wù)器使用密鑰KO對可視驗證信息Strl、用戶編碼Ca加密后,通過SSL加密傳輸給認(rèn)證服務(wù)器,認(rèn)證服務(wù)器接收后,使用密鑰KO解密,得到可視驗證信息Str 1、用戶編碼Ca并記入數(shù)據(jù)庫;
[0105]認(rèn)證APP與認(rèn)證服務(wù)器建立通信后,在首次訪問認(rèn)證服務(wù)器時,認(rèn)證服務(wù)器向認(rèn)證APP頒發(fā)密鑰Kl;步驟S2-2中,認(rèn)證APP使用密鑰Kl對識別碼X、響應(yīng)信息加密后,通過SSL加密傳輸給認(rèn)證服務(wù)器,認(rèn)證服務(wù)器接收后,使用密鑰Kl解密,得到識別碼X、響應(yīng)信息并記入數(shù)據(jù)庫。
[0106]實施例三:
[0107]在實施例一的基礎(chǔ)上,為確認(rèn)認(rèn)證服務(wù)器發(fā)回的反饋信息真實性,防止認(rèn)證服務(wù)器被偽造,注冊步驟中,步驟Sl-4、S2-1、S2-2還包括:
[0108]S1-4、網(wǎng)站的后臺服務(wù)器還為用戶名Na生成隨機字符串Str2;
[0109]S2-1、網(wǎng)站的后臺服務(wù)器還將隨機字符串Str2傳輸給認(rèn)證服務(wù)器;
[0110]S2-2、認(rèn)證服務(wù)器將網(wǎng)站的用戶編碼Ca、硬件設(shè)備標(biāo)識碼IDp、以及識別碼X進(jìn)行關(guān)聯(lián)之后,還包括:
[0111]A、認(rèn)證服務(wù)器將隨機字符串Str2、識別碼X傳輸給對應(yīng)硬件設(shè)備標(biāo)識碼為IDp的移動終端上安裝的認(rèn)證APP;
[0112]B、認(rèn)證APP對隨機字符串Str2和用戶名Na采用混淆技術(shù)(優(yōu)選SHA256)進(jìn)行處理,得到混淆技術(shù)處理結(jié)果Hl;認(rèn)證APP將混淆技術(shù)處理結(jié)果Hl、識別碼X傳輸回認(rèn)證服務(wù)器;
[0113]C、認(rèn)證服務(wù)器收到混淆技術(shù)處理結(jié)果H1、識別碼X后,通過IDp和識別碼X查找到關(guān)聯(lián)的用戶編碼Ca,并通過用戶編碼Ca查找到關(guān)聯(lián)的網(wǎng)站;認(rèn)證服務(wù)器將混淆技術(shù)處理結(jié)果Hl和用戶編碼Ca傳輸給網(wǎng)站后臺服務(wù)器;
[0114]D、網(wǎng)站的后臺服務(wù)器通過用戶編碼Ca查找到關(guān)聯(lián)的用戶名Na;后臺服務(wù)器使用與認(rèn)證APP中獲取Hl值相同的混淆技術(shù)(對應(yīng)的優(yōu)選SHA256)對用戶名Na和隨機字符串Str2進(jìn)行處理,得到混淆技術(shù)處理結(jié)果H1’ ;比對混淆技術(shù)處理結(jié)果Hl和H1’,如一致則確認(rèn)此次反饋信息來源于用戶的認(rèn)證APP而非認(rèn)證服務(wù)器偽裝。
[0115]實施例四:
[0116]為進(jìn)一步提高數(shù)據(jù)傳輸?shù)陌踩?,增強?shù)據(jù)交互的緊密性,采用加強的加密算法;
[0117]注冊步驟:
[0118]S1-1、各類需要開通認(rèn)證服務(wù)的網(wǎng)站(包括APP客戶端、web網(wǎng)頁以及其他形式網(wǎng)絡(luò)服務(wù)站點)向安全認(rèn)證系統(tǒng)的認(rèn)證服務(wù)器發(fā)送請求,申請開通安全認(rèn)證服務(wù);認(rèn)證服務(wù)器授權(quán)各網(wǎng)站訪問認(rèn)證服務(wù)器的權(quán)限;
[0119]S1-2、用戶使用網(wǎng)絡(luò)終端訪問任一網(wǎng)站,并注冊該網(wǎng)站的賬戶,用戶名Na;注冊賬戶時,無需設(shè)置賬戶的密碼;如果用戶在網(wǎng)站已經(jīng)有賬戶,則在用戶登錄賬戶時,提示用戶選擇進(jìn)入跨網(wǎng)域安全認(rèn)證模式,轉(zhuǎn)S1-3;
[0120]S1-3、網(wǎng)站提示用戶使用移動終端下載安全認(rèn)證系統(tǒng)的客戶端APP即認(rèn)證APP;如果已經(jīng)下載有認(rèn)證APP,則直接轉(zhuǎn)步驟S1-4;
[0121]S1-4、網(wǎng)站的后臺服務(wù)器為用戶名Na生成可視驗證信息Strl和用戶編碼Ca,將用戶名Na與唯一用戶編碼Ca建立關(guān)聯(lián)關(guān)系,網(wǎng)站的后臺服務(wù)器還為用戶名Na生成隨機字符串Str2;
[0122]S2-1、網(wǎng)站的后臺服務(wù)器將可視驗證信息Strl顯示到用戶注冊網(wǎng)站賬戶的頁面上,并將可視驗證信息Str 1、用戶編碼Ca和將隨機字符串Str2傳輸給認(rèn)證服務(wù)器,認(rèn)證服務(wù)器將前述Strl、Ca和Str2記入數(shù)據(jù)庫;
[0123]S2-2、用戶在認(rèn)證APP上響應(yīng)可視驗證信息Strl,認(rèn)證APP提示用戶輸入在網(wǎng)站的用戶名Na,認(rèn)證APP為該用戶名Na生成一個識別碼X,將用戶在網(wǎng)站的用戶名Na、以及用戶名Na與識別碼X的對應(yīng)關(guān)系保存在本地,認(rèn)證APP將響應(yīng)信息、移動終端硬件設(shè)備唯一標(biāo)識碼IDp、以及識別碼X傳輸給認(rèn)證服務(wù)器,認(rèn)證服務(wù)器將接收的響應(yīng)信息與數(shù)據(jù)庫中記錄的可視驗證信息Strl進(jìn)行匹配驗證,驗證通過,則可查獲與Strl對應(yīng)的用戶編碼Ca,認(rèn)證服務(wù)器將網(wǎng)站的用戶編碼Ca、硬件設(shè)備標(biāo)識碼IDp、以及識別碼X進(jìn)行關(guān)聯(lián),并記錄在數(shù)據(jù)庫中,認(rèn)證服務(wù)器將驗證通過的信息反饋至網(wǎng)站的后臺服務(wù)器,用戶Na完成注冊,之后;
[0124]a、認(rèn)證服務(wù)器將隨機字符串Str2、識別碼X傳輸給硬件設(shè)備標(biāo)識碼為IDp的移動終端上安裝的認(rèn)證APP;
[0125]b、認(rèn)證APP隨機生成字符串Str3 ;認(rèn)證APP以用戶名Na為密鑰,對隨機字符串Str3進(jìn)行加密運算(優(yōu)選AES),得到加密結(jié)果值E;
[0126]c、認(rèn)證APP使用混淆技術(shù)(優(yōu)選SHA384)對隨機字符串Str2和Str3進(jìn)行處理,得到混淆技術(shù)處理結(jié)果H2;認(rèn)證APP將混淆技術(shù)處理結(jié)果H2、識別碼X、加密值E傳輸給認(rèn)證服務(wù)器;
[0127]d、認(rèn)證服務(wù)器收到混淆技術(shù)處理結(jié)果H2、識別碼X、加密值E后,通過IDp和識別碼X查找到關(guān)聯(lián)的用戶編碼Ca,并通過用戶編碼Ca查找到關(guān)聯(lián)的網(wǎng)站;認(rèn)證服務(wù)器將混淆技術(shù)處理結(jié)果H2、加密值E和用戶編碼Ca傳輸給網(wǎng)站后臺服務(wù)器;
[0128]e、網(wǎng)站的后臺服務(wù)器通過用戶編碼Ca查找到關(guān)聯(lián)的用戶名Na;后臺服務(wù)器以用戶名Na為密鑰,對加密值E進(jìn)行解密運算,得到字符串Str3;網(wǎng)站的后臺服務(wù)器使用與認(rèn)證APP中獲取H2值相同的混淆技術(shù)(對應(yīng)的優(yōu)選SHA384)對隨機字符串Str2和解密得到的字符串Str3進(jìn)行處理,得到混淆技術(shù)處理結(jié)果H2’ ;比對混淆技術(shù)處理結(jié)果H2和H2’,如一致則確認(rèn)此次信息反饋來源于用戶的認(rèn)證APP而非認(rèn)證服務(wù)器偽裝。
[0129]登錄步驟包括;
[0130]S3、用戶以用戶名Na請求登錄網(wǎng)站;
[0131]S4、網(wǎng)站后臺服務(wù)器發(fā)送用戶編碼Ca以及至少一個隨機字符串Str4至認(rèn)證服務(wù)器;
[0132]S5、認(rèn)證服務(wù)器獲取用戶編碼Ca對應(yīng)的識別碼X,以及與識別碼X對應(yīng)的硬件設(shè)備標(biāo)識碼IDp ;
[0133]S6、認(rèn)證服務(wù)器轉(zhuǎn)發(fā)字符串Str4、識別碼X至硬件設(shè)備標(biāo)識碼IDp所對應(yīng)的認(rèn)證APP ;
[0134]S7,、用戶在認(rèn)證APP進(jìn)行確認(rèn)響應(yīng),認(rèn)證APP隨機生成字符串Str5 ;認(rèn)證APP以用戶名Na對隨機字符串Str5進(jìn)行加密(優(yōu)選AES)得到加密值El;
[0135]S8 ’、認(rèn)證APP使用混淆技術(shù)(優(yōu)選MD5)對隨機字符串Str4和Str5進(jìn)行處理,得到混淆技術(shù)處理結(jié)果H3,認(rèn)證APP將混淆技術(shù)處理結(jié)果H3、識別碼X和加密值El發(fā)送至認(rèn)證服務(wù)器;
[0136]S9’、認(rèn)證服務(wù)器收到混淆技術(shù)處理結(jié)果H3、識別碼X、加密值El后,通過IDp和識別碼X查詢獲得對應(yīng)關(guān)聯(lián)的用戶編碼Ca,并通過用戶編碼Ca查找到關(guān)聯(lián)的網(wǎng)站;認(rèn)證服務(wù)器將混淆技術(shù)處理結(jié)果H3、加密值El和用戶編碼Ca傳輸給網(wǎng)站后臺服務(wù)器;
[0137]S10’、后臺服務(wù)器根據(jù)用戶編碼Ca查找到關(guān)聯(lián)的用戶名Na;后臺服務(wù)器以用戶名Na為密鑰,對加密值El進(jìn)行解密運算,得到字符串Str5;后臺服務(wù)器使用與認(rèn)證APP中獲取H3值相同的混淆技術(shù)(對應(yīng)的優(yōu)選MD5)對隨機字符串Str4和經(jīng)解密得到的字符串Str5進(jìn)行處理,得到混淆技術(shù)處理結(jié)果H3比對混淆技術(shù)處理結(jié)果H3和H3’,比對通過,則用戶名Na在網(wǎng)站的身份驗證成功;比對不一致,則認(rèn)證失敗,驗證成功或者失敗的信息經(jīng)網(wǎng)站顯示或者經(jīng)認(rèn)證服務(wù)器反饋給認(rèn)證APP。
[0138]實施例五:
[0139]為進(jìn)一步提高數(shù)據(jù)傳輸?shù)陌踩裕趯嵤├牡幕A(chǔ)上:
[0140]在注冊步驟S2-2的b中:
[0141]認(rèn)證APP以用戶名Na為密鑰對隨機字符串Str3進(jìn)行加密得到加密值E時,先對用戶名Na進(jìn)行混淆技術(shù)處理(優(yōu)選MD5),得到混淆技術(shù)處理結(jié)果h,再以h為密鑰對隨機字符串Str3進(jìn)行加密運算,得到加密值E’ ;
[0142]對應(yīng)地,步驟e中,為了解密以獲得隨機字符串Str3:網(wǎng)站的后臺服務(wù)器對用戶名Na采用與認(rèn)證APP中獲取h值相同的混淆技術(shù)處理(對應(yīng)的優(yōu)選MD5),得到混淆技術(shù)處理結(jié)果h ’,以h ’為密鑰對接收到的加密值E,進(jìn)行解密,得到字符串Str3。
[0143]在登錄注冊的步驟S7’中:
[0144]認(rèn)證APP以用戶名Na對隨機字符串Str5進(jìn)行加密得到加密值El時,先對用戶名Na進(jìn)行混淆技術(shù)處理(優(yōu)選MD5),得到混淆技術(shù)處理結(jié)果hi,再以hi為密鑰對隨機字符串Str5進(jìn)行加密運算,得到加密值El ;
[0145]對應(yīng)地,步驟S10’中,為了解密以獲得隨機字符串Str5:網(wǎng)站的后臺服務(wù)器對用戶名Na采用與認(rèn)證APP中獲取h I值相同的混淆技術(shù)處理(對應(yīng)的優(yōu)選MD5),得到混淆技術(shù)處理結(jié)果hi ’,以hi’為密鑰對接收到的加密值El進(jìn)行解密,得到字符串Str5。
[0146]實施例六:
[0147]在實施例五的基礎(chǔ)上,為防止認(rèn)證服務(wù)器與網(wǎng)站之間、認(rèn)證APP與認(rèn)證服務(wù)器之間所傳輸?shù)臄?shù)據(jù)被攔截;
[0148]步驟S2-1中,還包括:
[0149]認(rèn)證服務(wù)器向網(wǎng)站的后臺服務(wù)器頒發(fā)密鑰K0;
[0150]網(wǎng)站的后臺服務(wù)器使用密鑰KO對可視驗證信息Strl、用戶編碼Ca和隨機字符串Str2加密后,通過SSL加密傳輸給認(rèn)證服務(wù)器,認(rèn)證服務(wù)器接收后,使用密鑰KO解密,得到可視驗證信息Strl、用戶編碼Ca以及隨機字符串Str2并記入數(shù)據(jù)庫;
[0151]認(rèn)證APP與認(rèn)證服務(wù)器建立通信后,在首次訪問認(rèn)證服務(wù)器時,認(rèn)證服務(wù)器向認(rèn)證APP頒發(fā)密鑰KI;步驟S 2 -2中,認(rèn)證APP使用密鑰KI對識別碼X、響應(yīng)信息以及隨機字符串Str2加密后,通過SSL加密傳輸給認(rèn)證服務(wù)器,認(rèn)證服務(wù)器接收后,使用密鑰Kl解密,得到識別碼X、響應(yīng)信息以及隨機字符串Str2并記入數(shù)據(jù)庫。
[0152]實施例七:
[0153]為確認(rèn)操作認(rèn)證APP的是用戶本人,在實施例六的基礎(chǔ)上,步驟S2-2中,建立識別碼X與用戶名Na的對應(yīng)關(guān)系時,認(rèn)證APP還可以提示用戶選擇為登錄網(wǎng)站設(shè)定對應(yīng)的特定認(rèn)證指令Y,認(rèn)證指令包括:一鍵確認(rèn)、靜態(tài)密碼、短信驗證碼、指紋以及視頻識別,其中,視頻識別包括人臉識別和動作識別,設(shè)定認(rèn)證指令后,必須通過指令Y的認(rèn)證才能完成網(wǎng)站的登錄。
[0154]認(rèn)證指令Y還能夠采用更高安全級別的NFC認(rèn)證方式,具體設(shè)置流程如下:
[0155]用戶在認(rèn)證APP中選擇為登錄網(wǎng)站設(shè)定NFC認(rèn)證;
[0156]認(rèn)證APP調(diào)用移動終端自帶的NFC功能模塊,并在移動終端界面上打開NFC讀取界面;
[0157]認(rèn)證APP提示用戶提供一張包含NFC芯片的卡片或裝置,(比如:中華人民共和國社會保障卡),將卡片靠近移動終端NFC讀取區(qū)域;
[0158]認(rèn)證APP讀取NFC卡片的唯一識別號,并將該識別號信息加密發(fā)送至認(rèn)證服務(wù)器;
[0159]認(rèn)證服務(wù)器將收到的加密NFC卡片識別號解密,并將其與網(wǎng)站、用戶編碼Ca、IDp以及識別碼X進(jìn)行關(guān)聯(lián);
[0160]NFC認(rèn)證設(shè)置完成。
[0161]為了提高安全性,用戶也可以為登錄進(jìn)入認(rèn)證APP本身設(shè)置指令,指令采用靜態(tài)密碼、短信驗證碼、指紋、視頻識別以及NFC認(rèn)證模式之一。
[0162]本發(fā)明未涉及部分均與現(xiàn)有技術(shù)相同或可采用現(xiàn)有技術(shù)加以實現(xiàn)。
【主權(quán)項】
1.一種基于信息分離管理的跨網(wǎng)域安全認(rèn)證方法,其特征是它包括注冊步驟和登錄步驟; 注冊步驟包括: 51、用戶在網(wǎng)站進(jìn)行注冊,用戶名Na,此時無需設(shè)置賬戶的密碼,網(wǎng)站為用戶名Na生成與之對應(yīng)的唯一用戶編碼Ca,使Na與Ca建立關(guān)聯(lián)關(guān)系; 52、網(wǎng)站通過認(rèn)證服務(wù)器與安裝在用戶智能終端設(shè)備上的認(rèn)證APP建立對應(yīng)關(guān)系,其中網(wǎng)站與認(rèn)證APP共享用戶名Na,網(wǎng)站與認(rèn)證服務(wù)器共享用戶編碼Ca,認(rèn)證服務(wù)器與認(rèn)證APP共享識別碼X和智能終端設(shè)備的硬件識別標(biāo)識碼IDp,其中,識別碼X是認(rèn)證APP為用戶在網(wǎng)站上的用戶名Na分配的識別信息,認(rèn)證服務(wù)器將Ca、X、IDp建立關(guān)聯(lián),認(rèn)證APP將識別碼X與用戶名Na記錄于本地,并將X、Na進(jìn)行關(guān)聯(lián); 登錄步驟包括; 53、用戶以用戶名Na請求登錄網(wǎng)站; 54、網(wǎng)站后臺服務(wù)器發(fā)送用戶編碼Ca以及至少一個隨機字符串Str4至認(rèn)證服務(wù)器; 55、認(rèn)證服務(wù)器獲取用戶編碼Ca對應(yīng)的識別碼X,以及與識別碼X對應(yīng)的硬件設(shè)備標(biāo)識碼 IDp; 56、認(rèn)證服務(wù)器轉(zhuǎn)發(fā)字符串Str4、識別碼X至硬件設(shè)備標(biāo)識碼IDp所對應(yīng)的認(rèn)證APP; 57、用戶在認(rèn)證APP進(jìn)行確認(rèn)響應(yīng),認(rèn)證APP通過識別碼X查找保存于本地的用戶名Na,并采用混淆技術(shù)對Na和字符串Str4進(jìn)行處理,將混淆技術(shù)處理結(jié)果H和識別碼X發(fā)送至認(rèn)證服務(wù)器; 58、認(rèn)證服務(wù)器通過識別碼X獲取用戶編碼Ca,將用戶編碼Ca、混淆處理運算結(jié)果H發(fā)送至網(wǎng)站的后臺服務(wù)器;后臺服務(wù)器根據(jù)用戶編碼Ca查找到關(guān)聯(lián)的用戶名Na;并且使用與認(rèn)證APP中獲取H值相同的混淆技術(shù)對用戶名Na和字符串Str4進(jìn)行運算,得到混淆技術(shù)處理結(jié)果H’;比對H和H’的一致性; 比對通過,則用戶名Na在網(wǎng)站的身份驗證成功;比對不一致,則認(rèn)證失敗,驗證成功或者失敗的信息經(jīng)網(wǎng)站顯示或者經(jīng)認(rèn)證服務(wù)器反饋給認(rèn)證APP。2.根據(jù)權(quán)利要求1所述的基于信息分離管理的跨網(wǎng)域安全認(rèn)證方法,其特征是注冊步驟具體包括: S1-1、各類需要開通認(rèn)證服務(wù)的網(wǎng)站向安全認(rèn)證系統(tǒng)的認(rèn)證服務(wù)器發(fā)送請求,申請開通安全認(rèn)證服務(wù);認(rèn)證服務(wù)器授權(quán)各網(wǎng)站訪問認(rèn)證服務(wù)器的權(quán)限; S1-2、用戶使用網(wǎng)絡(luò)終端訪問任一網(wǎng)站,并注冊該網(wǎng)站的賬戶,用戶名Na;注冊賬戶時,無需設(shè)置賬戶的密碼;如果用戶在網(wǎng)站已經(jīng)有賬戶,則在用戶登錄賬戶時,提示用戶選擇進(jìn)入跨網(wǎng)域安全認(rèn)證模式,轉(zhuǎn)S1-3; S1-3、網(wǎng)站提示用戶使用移動終端下載安全認(rèn)證系統(tǒng)的客戶端APP即認(rèn)證APP;如果已經(jīng)下載有認(rèn)證APP,則直接轉(zhuǎn)步驟S1-4; 51-4、網(wǎng)站的后臺服務(wù)器為用戶名Na生成可視驗證信息Strl和用戶編碼Ca,將用戶名Na與唯一用戶編碼Ca建立關(guān)聯(lián)關(guān)系; 52-1、網(wǎng)站的后臺服務(wù)器將可視驗證信息Strl顯示到用戶注冊網(wǎng)站賬戶的頁面上,并將可視驗證信息Strl和用戶編碼Ca傳輸給認(rèn)證服務(wù)器,認(rèn)證服務(wù)器將前述Strl和Ca記入數(shù)據(jù)庫; S2-2、用戶在認(rèn)證APP上響應(yīng)可視驗證信息Str I,認(rèn)證APP提示用戶輸入在網(wǎng)站的用戶名Na,認(rèn)證APP為該用戶名Na生成一個識別碼X,將用戶在網(wǎng)站的用戶名Na、以及用戶名Na與識別碼X的對應(yīng)關(guān)系保存在本地,認(rèn)證APP將響應(yīng)信息、移動終端硬件設(shè)備唯一標(biāo)識碼IDp、以及識別碼X傳輸給認(rèn)證服務(wù)器,認(rèn)證服務(wù)器將接收的響應(yīng)信息與數(shù)據(jù)庫中記錄的可視驗證信息Strl進(jìn)行匹配驗證,驗證通過,則可查獲與Strl對應(yīng)的用戶編碼Ca,認(rèn)證服務(wù)器將網(wǎng)站的用戶編碼Ca、硬件設(shè)備標(biāo)識碼IDp、以及識別碼X進(jìn)行關(guān)聯(lián),并記錄在數(shù)據(jù)庫中;認(rèn)證服務(wù)器將驗證通過的信息反饋至網(wǎng)站的后臺服務(wù)器,用戶Na完成注冊。3.根據(jù)權(quán)利要求2所述的基于信息分離管理的跨網(wǎng)域安全認(rèn)證方法,其特征是:步驟31-4、32-1、32-2還包括: 51-4、網(wǎng)站的后臺服務(wù)器還為用戶名Na生成隨機字符串Str2; 52-1、網(wǎng)站的后臺服務(wù)器還將隨機字符串Str2傳輸給認(rèn)證服務(wù)器; S2-2、認(rèn)證服務(wù)器將網(wǎng)站的用戶編碼Ca、硬件設(shè)備標(biāo)識碼IDp、以及識別碼X進(jìn)行關(guān)聯(lián)之后,還包括: A、認(rèn)證服務(wù)器將隨機字符串Str2、識別碼X傳輸給對應(yīng)硬件設(shè)備標(biāo)識碼為IDp的移動終端上安裝的認(rèn)證APP; B、認(rèn)證APP對隨機字符串Str2和用戶名Na采用混淆技術(shù)進(jìn)行處理,得到混淆技術(shù)處理結(jié)果Hl;認(rèn)證APP將混淆技術(shù)處理結(jié)果Hl、識別碼X傳輸回認(rèn)證服務(wù)器; C、認(rèn)證服務(wù)器收到混淆技術(shù)處理結(jié)果H1、識別碼X后,通過IDp和識別碼X查找到關(guān)聯(lián)的用戶編碼Ca,并通過用戶編碼Ca查找到關(guān)聯(lián)的網(wǎng)站;認(rèn)證服務(wù)器將混淆技術(shù)處理結(jié)果Hl和用戶編碼Ca傳輸給網(wǎng)站后臺服務(wù)器; D、網(wǎng)站的后臺服務(wù)器通過用戶編碼Ca查找到關(guān)聯(lián)的用戶名Na;后臺服務(wù)器使用與認(rèn)證APP中獲取Hl值相同的混淆技術(shù)對用戶名Na和隨機字符串Str2進(jìn)行處理,得到混淆技術(shù)處理結(jié)果Hl ’ ;比對混淆技術(shù)處理結(jié)果Hl和Hl ’,如一致則確認(rèn)此次反饋信息來源于用戶的認(rèn)證APP而非認(rèn)證服務(wù)器偽裝。4.根據(jù)權(quán)利要求3所述的基于信息分離管理的跨網(wǎng)域安全認(rèn)證方法,其特征是注冊步驟中,S2-2或者為以下步驟: S2-2、認(rèn)證服務(wù)器將網(wǎng)站的用戶編碼Ca、硬件設(shè)備標(biāo)識碼IDp、以及識別碼X進(jìn)行關(guān)聯(lián)之后,還包括: a、認(rèn)證服務(wù)器將隨機字符串Str2、識別碼X傳輸給硬件設(shè)備標(biāo)識碼為IDp的移動終端上安裝的認(rèn)證APP; b、認(rèn)證APP隨機生成字符串Str3;認(rèn)證APP以用戶名Na為密鑰,對隨機字符串Str3進(jìn)行加密運算,得到加密結(jié)果值E ; C、認(rèn)證APP使用混淆技術(shù)對隨機字符串Str2和Str3進(jìn)行處理,得到混淆技術(shù)處理結(jié)果H2;認(rèn)證APP將混淆技術(shù)處理結(jié)果H2、識別碼X、加密值E傳輸給認(rèn)證服務(wù)器; d、認(rèn)證服務(wù)器收到混淆技術(shù)處理結(jié)果H2、識別碼X、加密值E后,通過IDp和識別碼X查找到關(guān)聯(lián)的用戶編碼Ca,并通過用戶編碼Ca查找到關(guān)聯(lián)的網(wǎng)站;認(rèn)證服務(wù)器將混淆技術(shù)處理結(jié)果H2、加密值E和用戶編碼Ca傳輸給網(wǎng)站后臺服務(wù)器; e、網(wǎng)站的后臺服務(wù)器通過用戶編碼Ca查找到關(guān)聯(lián)的用戶名Na;后臺服務(wù)器以用戶名Na為密鑰,對加密值E進(jìn)行解密運算,得到字符串Str3;網(wǎng)站的后臺服務(wù)器使用與認(rèn)證APP中獲取H2值相同的混淆技術(shù)對隨機字符串Str2和解密得到的字符串Str3進(jìn)行處理,得到混淆技術(shù)處理結(jié)果H2’ ;比對混淆技術(shù)處理結(jié)果H2和H2’,如一致則確認(rèn)此次信息反饋來源于用戶的認(rèn)證APP而非認(rèn)證服務(wù)器偽裝。5.根據(jù)權(quán)利要求4所述的基于信息分離管理的跨網(wǎng)域安全認(rèn)證方法,其特征是步驟b中: 認(rèn)證APP以用戶名Na為密鑰對隨機字符串Str3進(jìn)行加密得到加密值E時,先對用戶名Na進(jìn)行混淆技術(shù)處理,得到混淆技術(shù)處理結(jié)果h,再以h為密鑰對隨機字符串Str3進(jìn)行加密運算,得到加密值E’; 對應(yīng)地,步驟e中,為了解密以獲得隨機字符串Str3:網(wǎng)站的后臺服務(wù)器對用戶名Na采用與認(rèn)證APP中獲取h值相同的混淆技術(shù)處理,得到混淆技術(shù)處理結(jié)果h’,以h’為密鑰對接收到的加密值E ’進(jìn)行解密,得到字符串Str 3。6.根據(jù)權(quán)利要求1所述的基于信息分離管理的跨網(wǎng)域安全認(rèn)證方法,其特征是登錄步驟中:步驟S7、S8或者為: S7 ’、用戶在認(rèn)證APP進(jìn)行確認(rèn)響應(yīng),認(rèn)證APP隨機生成字符串Str5 ;認(rèn)證APP以用戶名Na對隨機字符串Str5進(jìn)行加密得到加密值El; S8’、認(rèn)證APP使用混淆技術(shù)對隨機字符串Str4和Str5進(jìn)行處理,得到混淆技術(shù)處理結(jié)果H3,認(rèn)證APP將混淆技術(shù)處理結(jié)果H3、識別碼X和加密值El發(fā)送至認(rèn)證服務(wù)器; S9’、認(rèn)證服務(wù)器收到混淆技術(shù)處理結(jié)果H3、識別碼X、加密值El后,通過IDp和識別碼X查詢獲得對應(yīng)關(guān)聯(lián)的用戶編碼Ca,并通過用戶編碼Ca查找到關(guān)聯(lián)的網(wǎng)站;認(rèn)證服務(wù)器將混淆技術(shù)處理結(jié)果H3、加密值El和用戶編碼Ca傳輸給網(wǎng)站后臺服務(wù)器; S10’、后臺服務(wù)器根據(jù)用戶編碼Ca查找到關(guān)聯(lián)的用戶名Na;后臺服務(wù)器以用戶名Na為密鑰,對加密值EI進(jìn)行解密運算,得到字符串Str 5;后臺服務(wù)器使用與認(rèn)證APP中獲取H3值相同的混淆技術(shù)對隨機字符串Str4和經(jīng)解密得到的字符串Str5進(jìn)行處理,得到混淆技術(shù)處理結(jié)果H3’ ;比對混淆技術(shù)處理結(jié)果H3和H3’,比對通過,則用戶名Na在網(wǎng)站的身份驗證成功;比對不一致,則認(rèn)證失敗,驗證成功或者失敗的信息經(jīng)網(wǎng)站顯示或者經(jīng)認(rèn)證服務(wù)器反饋給認(rèn)證APP。7.根據(jù)權(quán)利要求6所述的基于信息分離管理的跨網(wǎng)域安全認(rèn)證方法,其特征是步驟S7’中: 認(rèn)證APP以用戶名Na對隨機字符串Str5進(jìn)行加密得到加密值El時,先對用戶名Na進(jìn)行混淆技術(shù)處理,得到混淆技術(shù)處理結(jié)果hi,再以hi為密鑰對隨機字符串Str5進(jìn)行加密運算,得到加密值El; 對應(yīng)地,步驟S10’中,為了解密以獲得隨機字符串Str5:網(wǎng)站的后臺服務(wù)器對用戶名Na采用與認(rèn)證APP中獲取hi值相同的混淆技術(shù)處理,得到混淆技術(shù)處理結(jié)果hi’,以hi’為密鑰對接收到的加密值EI進(jìn)行解密,得到字符串Str 5。8.根據(jù)權(quán)利要求2所述的基于信息分離管理的跨網(wǎng)域安全認(rèn)證方法,其特征是:步驟S2-1中,還包括: 認(rèn)證服務(wù)器向網(wǎng)站的后臺服務(wù)器頒發(fā)密鑰KO; 網(wǎng)站的后臺服務(wù)器使用密鑰KO對可視驗證信息Strl、用戶編碼Ca加密后,通過SSL加密傳輸給認(rèn)證服務(wù)器,認(rèn)證服務(wù)器接收后,使用密鑰KO解密,得到可視驗證信息Strl、用戶編碼Ca并記入數(shù)據(jù)庫。9.根據(jù)權(quán)利要求3所述的基于信息分離管理的跨網(wǎng)域安全認(rèn)證方法,其特征是:步驟S2-1中,還包括: 認(rèn)證服務(wù)器向網(wǎng)站的后臺服務(wù)器頒發(fā)密鑰KO; 網(wǎng)站的后臺服務(wù)器使用密鑰KO對可視驗證信息Strl、用戶編碼Ca和隨機字符串Str2加密后,通過SSL加密傳輸給認(rèn)證服務(wù)器,認(rèn)證服務(wù)器接收后,使用密鑰KO解密,得到可視驗證信息Strl、用戶編碼Ca以及隨機字符串Str2并記入數(shù)據(jù)庫。10.根據(jù)權(quán)利要求2所述的基于信息分離管理的跨網(wǎng)域安全認(rèn)證方法,其特征是:還包括認(rèn)證APP與認(rèn)證服務(wù)器建立通信后,在首次訪問認(rèn)證服務(wù)器時,認(rèn)證服務(wù)器向認(rèn)證APP頒發(fā)密鑰Kl; 步驟S2-2中,認(rèn)證APP使用密鑰Kl對識別碼X、響應(yīng)信息加密后,通過SSL加密傳輸給認(rèn)證服務(wù)器,認(rèn)證服務(wù)器接收后,使用密鑰Kl解密,得到識別碼X、響應(yīng)信息并記入數(shù)據(jù)庫。11.根據(jù)權(quán)利要求3所述的基于信息分離管理的跨網(wǎng)域安全認(rèn)證方法,其特征是:還包括認(rèn)證APP與認(rèn)證服務(wù)器建立通信后,在首次訪問認(rèn)證服務(wù)器時,認(rèn)證服務(wù)器向認(rèn)證APP頒發(fā)密鑰Kl; 步驟S2-2中,認(rèn)證APP使用密鑰Kl對識別碼X、響應(yīng)信息以及隨機字符串Str2加密后,通過SSL加密傳輸給認(rèn)證服務(wù)器,認(rèn)證服務(wù)器接收后,使用密鑰Kl解密,得到識別碼X、響應(yīng)信息以及隨機字符串Str2并記入數(shù)據(jù)庫。12.根據(jù)權(quán)利要求1所述的基于信息分離管理的跨網(wǎng)域安全認(rèn)證方法,其特征是所述的步驟SI中,用戶按照網(wǎng)站的規(guī)則注冊網(wǎng)站的賬戶,錄入信息包括手機號碼、身份證號碼、地址、電子郵箱和/或用戶名,網(wǎng)站為其分配注冊賬戶IDa;其中,注冊賬戶IDa或者其他能夠唯一標(biāo)識該用戶在網(wǎng)站的身份信息均能夠替代后面步驟中的用戶名Na,用于與用戶編碼Ca進(jìn)行關(guān)聯(lián)。13.根據(jù)權(quán)利要求1所述的基于信息分離管理的跨網(wǎng)域安全認(rèn)證方法,其特征是:在步驟S2-2中,建立識別碼X與用戶名Na的對應(yīng)關(guān)系時,認(rèn)證APP還能夠提示用戶選擇為登錄網(wǎng)站設(shè)定對應(yīng)的特定認(rèn)證指令Y,認(rèn)證指令包括:一鍵確認(rèn)、靜態(tài)密碼、短信驗證碼、指紋以及視頻識別,其中,視頻識別包括人臉識別和動作識別,設(shè)定認(rèn)證指令后,必須通過認(rèn)證指令Y的認(rèn)證才能完成網(wǎng)站的登錄; 認(rèn)證指令Y還能夠采用更高安全級別的NFC認(rèn)證方式,具體設(shè)置流程如下: 用戶在認(rèn)證APP中選擇為登錄網(wǎng)站設(shè)定NFC認(rèn)證; 認(rèn)證APP調(diào)用移動終端自帶的NFC功能模塊,并在移動終端界面上打開NFC讀取界面; 認(rèn)證APP提示用戶提供一張包含NFC芯片的卡片或裝置,將卡片靠近移動終端NFC讀取區(qū)域; 認(rèn)證APP讀取NFC卡片的唯一識別號,并將該識別號信息加密發(fā)送至認(rèn)證服務(wù)器; 認(rèn)證服務(wù)器將收到的加密NFC卡片識別號解密,并將其與網(wǎng)站、用戶編碼Ca、IDp以及識別碼X進(jìn)彳丁關(guān)聯(lián); NFC認(rèn)證設(shè)置完成;。14.根據(jù)權(quán)利要求13所述的基于信息分離管理的跨網(wǎng)域安全認(rèn)證方法,其特征是:用戶也為登錄進(jìn)入認(rèn)證APP本身設(shè)置指令,指令采用權(quán)利要求14中除“一鍵確認(rèn)”之外的任何一種或者權(quán)利要求15的NFC認(rèn)證模式。15.根據(jù)權(quán)利要求1-14所述的基于信息分離管理的跨網(wǎng)域安全認(rèn)證方法,其特征是:混淆技術(shù)采用加密運算或哈希運算;其中加密運算選擇DES和/或AES,哈希運算選擇MD5、SHA1、SHA256和SHA384中的一種或多種。
【文檔編號】H04L9/08GK105978688SQ201610368838
【公開日】2016年9月28日
【申請日】2016年5月30日
【發(fā)明人】葛峰
【申請人】葛峰