专利名称:一种实现用户验证客户端可信度的方法及装置的制作方法
技术领域:
本发明涉及信息安全领域,特别是指一种实现用户验证客户端可信度的方法及装置。
背景技术:
计算机和通信领域中,客户端(Client)/服务器(Server)架构早已经被广泛采用,在客户端与服务器能够正常连接的时候,客户端与服务器之间可通过数字证书来进行交叉认证。但如果客户端与服务器之间不能建立连接,或客户端本来就不是一个合法的客户端,根本就不与服务器建立连接,通过服务器验证客户端的合法性就变得毫无意义,为用户的财产和个人隐私带来极大的安全隐患。
例如,在银行的自动取款系统中,曾经发生过不法分子私自设立假的自动取款机(ATM,Automated Teller Machine),诱骗用户将自己的银行卡插入该自动取款机。用户将银行卡插入非法的自动提款机并输入取款密码后,该非法自动取款机就会对用户输入的取款密码进行存储,然后将银行卡吞掉,从而对用户的财产安全构成极大的威胁。类似于自动取款机的应用还包括特约商铺使用的刷卡终端,目前,还没有相应机制来保障这类客户端可信度。
又例如,有人在互联网上创建冒充著名银行网站的假网站。在用户无法辨别网站真假的情况下,极有可能将自己的账号和密码提供给网站,使不法分子非法获取,从而对用户的财产安全构成极大的威胁。
上面的一些举例都是发生在网络应用领域中的,在非网络应用的情况下,也会存在安全隐患。例如,一台对安全性要求非常高、如用于国防或国安等领域的计算机,该计算机必然包括一个用于对用户进行认证的模块,然而,这样一个认证模块是完全有可能被替换的,如果用户在不加鉴别的情况下输入自己的密码,则会被冒充的认证模块将用户名和密码记录下来,从而造成严重的泄密。
根据以上描述可见,由于客户端是否可信而带来的安全隐患,已经出现在各种客户端的应用中,并且还有继续加剧的趋势,因此,如何使用户验证客户端可信度是一个亟待解决的问题。
发明内容
有鉴于此,本发明的一个目的在于提供一种实现用户验证客户端可信度的方法,本发明的另一目的在于提供一种实现用户验证客户端可信度的装置,可使用户自行确定客户端的可信度。
为了达到上述目的,本发明提供了一种实现用户验证客户端可信度的方法,该方法包含以下步骤A、用户向客户端提供质询信息;B、客户端向用户提供对应于质询信息的验证信息,用户根据该验证信息确定客户端是否可信。
设置用于存储质询信息与验证信息之间对应关系的质询服务器,所述步骤A与所述步骤B之间,进一步包括客户端向质询服务器提供该质询信息,查询与质询信息相对应的验证信息,质询服务器向客户端返回对应于质询信息的验证信息。
所述向客户端返回对应于质询信息的验证信息之前,进一步包括质询服务器判断是否能够搜索到对应于质询信息的验证信息,如果是,则向客户端返回对应于质询信息的验证信息;否则,通过客户端通知用户质询信息错误。
如果用户确定客户端可信,则所述步骤B之后进一步包括步骤C用户请求客户端对其进行认证。
所述步骤C为用户向客户端提供认证信息;所述步骤C之后进一步包括客户端向认证服务器发送所述认证信息,认证服务器收到认证信息后,根据存储的用户的认证信息,对步骤C中所述的用户进行认证,并向客户端返回认证结果。
所述质询信息为用户信息;或为用户信息与质询密码的组合。
所述质询密码为用户输入的密码,或用户的指纹,或用户的虹膜,或用户的数字证书。
本发明还提供了一种实现用户验证客户端可信度的装置,该装置包括客户端和质询服务器,其中,客户端用于接收用户提供的质询信息,并向质询服务器查询对应于质询信息的验证信息;质询服务器用于存储质询信息与验证信息之间的对应关系,并根据客户端提供的质询信息,向客户端提供对应于质询信息的验证信息。
该装置进一步包括认证服务器,客户端进一步用于接收用户提供的认证信息,并向认证服务器发送该认证信息;认证服务器用于存储用户的认证信息,并根据客户端提供的认证信息,对用户进行认证,然后向客户端返回认证结果。
根据本发明提出的方案,用户向客户端提供质询信息,客户端根据质询信息向用户提供验证信息,用户根据该验证信息判断客户端是否可信,在确定客户端可信的情况下,可进一步请求客户端对其进行认证,可有效防止用户的认证信息的泄漏,有效避免了由此而为用户带来的损失;并且,根据本发明提出的方案,可有效抵制假冒设备的攻击。
图1示出了本发明中用户验证客户端可信度装置的结构示意图;图2示出了本发明中用户与客户端相互采信流程图。
具体实施例方式
为使本发明的目的、技术方案和优点更加清楚,下面结合附图对本发明作进一步的详细描述。
本发明中,在客户端对用户进行认证之前,用户首先对客户端的可信度进行验证,具体过程如下用户向客户端提供质询信息,客户端根据质询信息向用户提供验证信息,用户根据该验证信息判断客户端是否可信,如果可信,则可进一步请求客户端对其进行认证;否则,结束当前流程。以上所述质询信息可为用户信息,也可为用户信息与质询密码的组合。
图1示出了本发明中用户验证客户端可信度装置的结构示意图,如图1所示,设置质询服务器(Inquiry Server)103,该装置包括客户端102和质询服务器103,客户端102用于接收用户101提供的质询信息,并向质询服务器103查询对应于质询信息的验证信息;质询服务器103用于存储质询信息与验证信息之间的对应关系,并根据客户端102提供的质询信息,向客户端102提供对应于质询信息的验证信息。这样,客户端102可通过与质询服务器103的交互,获取与用户101提供的质询信息相对应的验证信息。
用户101确认客户端102可信后,可请求客户端102对其进行认证,这样,该装置可进一步包括认证服务器104,客户端102进一步用于接收用户101提供的认证信息,并向认证服务器104发送认证信息;认证服务器104用于存储的用户的认证信息,并根据客户端102发送的认证信息,对用户101进行认证,然后向客户端102返回认证结果。客户端102可根据认证服务器104返回的认证结果,确定后续操作,例如,如果用户通过认证,则接受用户的业务请求;如果用户未通过认证,则结束当前流程。
通过质询服务器103与认证服务器104相结合,可实现用户与客户端的相互采信。质询服务器103和认证服务器104由服务提供者放置在比较安全的地方,质询服务器103与认证服务器104实现的功能可在一个服务器中实现,也可在两个服务器中实现,在两个服务器中实现安全程度更高,可有效避免一个服务器被非法攻击后,用于用户验证客户端的验证信息及客户端认证用户的认证信息均被非法窃取。质询服务器103和认证服务器104为两个不同的服务器时,可放置在同一地点,也可放置在不同地点。
图2示出了本发明中用户与客户端相互采信流程图,如图2所示,用户与客户端相互采信的实现过程包括以下步骤步骤201用户向客户端发送质询信息,该质询信息可为用户信息,也可为用户信息与质询密码的组合。例如,用户通过客户端的输入单元向客户端输入用户信息和质询密码,质询密码的形式可为各种形式,如,可将用户向客户端输入的密码、问题等作为质询密码,或将用户向客户端输入的指纹、虹膜等用户的自然信息作为质询密码,还可将用户的数字证书作为质询密码,以上实例中质询信息为用户信息与质询密码的组合;又例如,用户将智能卡插入客户端,客户端可直接通过用户插入的智能卡读取用户信息,然后向质询服务器提供该用户信息,查询与该用户信息相对应的验证信息,此时,质询信息即为用户信息。
步骤202客户端收到用户的质询信息后,向质询服务器提供该质询信息,查询对应于该质询信息的验证信息。
步骤203质询服务器收到质询信息后,判断是否能够搜索到与该质询信息相对应的验证信息,如果搜索到对应于质询信息的验证信息,则向客户端返回相应的验证信息;如果未搜索到对应于质询信息的验证信息,则通过客户端通知用户质询信息错误。如果用户多次输入的质询信息均不正确,如三次,则客户端可允许用户取消操作,例如,作为客户端的自动取款机可允许用户将银行卡取走,并且,客户端的运营者可在一段时间内禁止用户使用相应业务,此时,用户可到业务受理地获取质询密码。
用户可在签约业务时,设置质询信息与验证信息之间的对应关系,质询服务器存储质询信息与验证信息之间的对应关系。一个用户可设置多个质询信息与验证信息之间的对应关系,即不同质询信息对应于不同的验证信息。
步骤204客户端收到验证信息后,对该验证信息进行显示。
步骤205用户根据客户端显示的验证信息,判断客户端是否可信,如果是,则可继续执行步骤206;否则,结束当前流程。
通过步骤201~步骤205可使用户对客户端的可信度进行验证,确定客户端是否可信。
步骤206用户请求客户端对其进行认证,向客户端提供认证信息,例如,用户向客户端输入用户名和密码。
步骤207客户端收到认证信息后,向认证服务器提供该认证信息;认证服务器收到认证信息后,根据存储的用户的认证信息,对用户进行认证,然后向客户端返回认证结果;客户端根据认证服务器返回的认证结果,确定后续操作,如果用户通过认证,则客户端可接受用户的业务请求;如果用户未通过认证,则结束当前流程。
通过步骤206~步骤207可使客户端对用户的合法性进行认证,确定用户是否合法。这样,通过步骤201~步骤207可完成用户与客户端的相互采信,本发明中将其称为四次握手机制。
总之,以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
权利要求
1.一种实现用户验证客户端可信度的方法,其特征在于,该方法包含以下步骤A、用户向客户端提供质询信息;B、客户端向用户提供对应于质询信息的验证信息,用户根据该验证信息确定客户端是否可信。
2.根据权利要求1所述的方法,其特征在于,设置用于存储质询信息与验证信息之间对应关系的质询服务器,所述步骤A与所述步骤B之间,进一步包括客户端向质询服务器提供该质询信息,查询与质询信息相对应的验证信息,质询服务器向客户端返回对应于质询信息的验证信息。
3.根据权利要求2所述的方法,其特征在于,所述向客户端返回对应于质询信息的验证信息之前,进一步包括质询服务器判断是否能够搜索到对应于质询信息的验证信息,如果是,则向客户端返回对应于质询信息的验证信息;否则,通过客户端通知用户质询信息错误。
4.根据权利要求1所述的方法,其特征在于,如果用户确定客户端可信,则所述步骤B之后进一步包括C、用户请求客户端对其进行认证。
5.根据权利要求4所述的方法,其特征在于,所述步骤C为用户向客户端提供认证信息;所述步骤C之后进一步包括客户端向认证服务器发送所述认证信息,认证服务器收到认证信息后,根据存储的用户的认证信息,对步骤C中所述的用户进行认证,并向客户端返回认证结果。
6.根据权利要求1所述的方法,其特征在于,所述质询信息为用户信息;或为用户信息与质询密码的组合。
7.根据权利要求6所述的方法,其特征在于,所述质询密码为用户输入的密码,或用户的指纹,或用户的虹膜,或用户的数字证书。
8.一种实现用户验证客户端可信度的装置,其特征在于,该装置包括客户端和质询服务器,客户端,用于接收用户提供的质询信息,并向质询服务器查询对应于质询信息的验证信息;质询服务器,用于存储质询信息与验证信息之间的对应关系,并根据客户端提供的质询信息,向客户端提供对应于质询信息的验证信息。
9.根据权利要求8所述的装置,其特征在于,该装置进一步包括认证服务器,客户端,进一步用于接收用户提供的认证信息,并向认证服务器发送该认证信息;认证服务器,用于存储用户的认证信息,并根据客户端提供的认证信息,对用户进行认证,然后向客户端返回认证结果。
全文摘要
本发明公开了一种实现用户验证客户端可信度的方法,该方法包含用户向客户端提供质询信息,客户端向用户提供对应于质询信息的验证信息,用户根据该验证信息确定客户端是否可信;本发明还公开了一种实现用户验证客户端可信度的装置,该装置包括客户端和质询服务器,其中,客户端用于接收用户提供的质询信息,并向质询服务器查询对应于质询信息的验证信息,质询服务器用于存储质询信息与验证信息之间的对应关系,并根据客户端提供的质询信息,向客户端提供对应于质询信息的验证信息,这样,有效防止了用户的认证信息的泄漏,并有效避免了由此而为用户带来的损失,有效抵制了假冒设备的攻击。
文档编号G06F1/00GK1905444SQ20051008554
公开日2007年1月31日 申请日期2005年7月25日 优先权日2005年7月25日
发明者郑志彬, 单长虹 申请人:华为技术有限公司