专利名称:计算机网络账号安全防护方法及服务系统的制作方法
技术领域:
本发明涉及计算机网络帐号密码保护的方法,可应用于计算机网络安全领域,以及网络游戏、电子商务、集团管理、网络软件等所有颁发签证合作的网络运营商。
背景技术:
过去,仅使用一个由网络用户名以及与其相关联的登录密码组成的有效凭据组合,用户就可以通过身份验证。
然而,不能排除用户可能会在公共场合使用此凭证被别人看到、或者很容易被猜到,以及木马病毒、钓鱼网站等盗取此凭证的可能性。一但有效凭据失去私密性,当用户通过身份验证可以访问网络后,能够对其进行限制的其他安全壁垒太少。并且,在仅需要登录名和密码进行访问的环境下,很难检测并阻止某一持有有效凭据但未经授权的个人的活动。其认证图如附图1所示,由客户端发送帐号密码至服务器端的时候,没有任何防护措施,根本无法防止木马病毒的盗取用户安全凭证的行为。
图二所示系统用于安全性非常敏感的系统(例如工商银行网上银行)。图中CA是一个证书颁发机构,为用户颁发数字证书,用于为要验证身份的联机实体提供证明。客户端在发送登陆凭证的同时,还要发送数字证书,从而实现只凭登陆凭证无法验证来达到防盗的目的。图中插件的作用在于安全的存储数字证书不被非法复制。这种系统的硬件投入巨大,并不适合很多网络系统。
为解决此问题,近几年不断有新的用户识别方法及系统被提出.如中国专利02154144.2公开了一种网络本人确认方式和装置,采用移动存储器(软盘或U盘)存储系统给定的密码。由于不需要用户记忆户名和密码,可以将存储在移动存储器中的密码和户名设置较长,防止被破译和记忆的可能。但是其缺陷是密码是可读的,只是增加了难度,并不能杜绝被记忆;同时对木马病毒、钓鱼网站和黑客网站采用非法手段从客户端盗取用户有效凭证没有防护作用。
同时,中国专利还公开了一种自动随机一次性密码提高网络交易安全的认证方法(专利申请号02132554.5),尽管该方法使用了包括USB驱动程序、8-32存储器及微处理器硬件的密码安全装置,但是只是在密码安全装置和服务器之间设置了内存装置中的加密解密装置和对应程序。该方法附带了复杂的密码生成器和解密装置,不仅硬件投入加大,其安全性还有待于进一步提高。
发明内容
本发明目的在于提供一种计算机网络帐号安全防护方法及服务系统,以克服现有仅凭用户登录名和密码访问环境下密码容易暴露或被窃取的弊端。
计算机网络安全最大风险在于用于验证用户身份的有效凭据不能被安全的传输至对应服务器,本发明主要解决由网络用户名以及与其相关联的登录密码组成的有效凭据不能被安全的通过网络传送至对应的服务器端的问题。
即具体的说,计算机网络帐号安全防护方法,其是按照以下步骤实现(1)在第一次使用它时服务器端用于验证用户身份的有效凭据通过一个代理验证服务器修改,并且将修改后的结果存储在插接在用户终端的USB安全插件中;(2)以后使用时首先由代理验证服务器通过其它验证办法来验证客户端的请求;(3)当请求通过后,代理验证服务器会发送用于验证用户身份的有效凭据到服务器端实现用户登录。
实现上述计算机网络帐号安全防护方法的服务系统包括插接在用户终端的USB的安全插件,该插件至少包括微处理器;数据库和应用系统Web服务器,该数据库和应用系统Web服务器相连并且通过网络与客户终端连接;用于发送客户端秘密信息和修改秘密信息的代理验证服务器,该代理验证服务器为一个与应用系统Web服务器基本相同的计算机且联系客户终端和应用系统Web服务器。
本发明在不更改服务器端软件或硬件的前提下从根本上解决了木马病毒,钓鱼网站,黑客软件等利用非法手段从客户端盗取用户有效凭证的可能性。防止因用户泄漏或被非法盗取用户敏感验证信息的安全隐患。填补了计算机网络帐号安全使用问题的空缺。
本发明有益效果具体表现在
(1)安全性得到增强双因素身份验证不仅要求输入有效凭据。用户还必须拥有可以随身携带的安全插件并且知道自己的个人识别号(2)简单简单易用。本发明不附带麻烦的密码生成器。不需要控制庞大的设备。只需USB安全插件即可使用(3)便于利用现有基础结构使用原有基础结构在不改变原数据库服务器任何数据的情况下,只需在客户端安装安全插件即可实现.前所未有的安全.
(4)多应用可以应用于多个项目,各项目之间相互隔离。
图1为目前计算机帐号密码认证图。
图2为最新计算机帐号认证图。
图3为本发明计算机帐号认证图。
具体实施例方式附图3给出了本发明的实现认证原理。图中和组成部分的含义是代理验证服务器用于发送客户端秘密信息和修改秘密信息的系统,为与应用系统WEB服务器相同的一台计算机;代理理验证服务器的目地在于在不改变图1的基础结构下,实现图2的强安全性及跨平台目的。
服务器是指原有计算机系统中的应用系统/WEB服务器的安全系统。
安全插件本发明防护系统用于与电脑USB接口连接的硬件,如U盘大小,直接插入客户端终端计算机USB插口使用,至少带有微处理器的智能卡,如工商银行普遍使用的U盾。
本发明计算机网络帐号安全防护方法,其是按照以下步骤实现的
(1)在第一次使用它时服务器端用于验证用户身份的有效凭据通过一个代理验证服务器修改,并且将修改后的结果存储在插接在用户终端的USB安全插件中;(2)以后使用时首先由代理验证服务器通过其它验证办法来验证客户端的请求;(3)当请求通过后,代理验证服务器会发送用于验证用户身份的有效凭据到服务器端实现用户登录。
实现上述计算机网络帐号安全防护方法的服务系统包括插接在用户终端的USB的安全插件,该插件至少包括微处理器;数据库和应用系统Web服务器,该数据库和应用系统Web服务器相连并且通过网络与客户终端连接;用于发送客户端秘密信息和修改秘密信息的代理验证服务器,该代理验证服务器为一个与应用系统Web服务器基本相同的计算机且联系客户终端和应用系统Web服务器。
本发明与仅仅使用网络用户名和密码的方法来保护网络帐号安全不同,具有双因素身份验证。
双因素验证包括用户已有(例如安全插件和已知的个人标识号或PIN,即安全插件所有者设置并存储在卡上的加密码)的事物。使用个人识别码用户可以访问存储在NP安全插件上的数字证书,用户需持有被授权的安全插件才能被验证。必须持有NP安全插件才能进行远程访问身份验证,这一要求大大地减少了被盗的可能.因为认证过程中,密码并未离开安全插件。
计算机网络帐号安全防护方法的原理是本防护系统带有一个硬件(安全插件),用于直接与电脑的USB端口连接,在第一次使用本系统时代理验证服务器修改服务器端用户的秘密值(用户授权给代理验证服务),以达到“强”密码策略,以后使用时,客户端首先向代理验证服务器端发起登陆请求,代理验证服务器通过数字证书来验证客户端的登陆请求,当验证通过后代理验证服务器以客户端的名义发送秘密信息到服务器端,验证过程完成。
<1>代理验证服务器为保护秘密值的“强”度和登陆凭证由用户自己保管出现的问题,代理验证服务器会先修改服务器端用于验证用户身份的有效凭据;<2>代理验证服务器以客户端的名义发送登陆凭据、交易凭证(秘密信息),服务器端收到的是以客户端名义发送的登陆凭证,故服务器端的反馈信息会直接与客户端通信,而与代理验证服务器无关。从而实现整个防盗目的。
本发明可应用于计算机网络安全领域,以及网络游戏、电子商务、集团管理、网络软件等所有颁发签证合作的网络运营商。
所有颁发签证合作的网络营运商,均可达到本发明的密码保护目的。只需网络营运商将带有密码的封包在用户登录时先经过本安全插件再由安全插件发至代理服务器即可达到代理验证的目的。
权利要求
1.一种计算机网络帐号安全防护方法,其特征是按照以下步骤实现(1)在第一次使用它时服务器端用于验证用户身份的有效凭据通过一个代理验证服务器修改,并且将修改后的结果存储在插接在用户终端的USB安全插件中;(2)以后使用时首先由代理验证服务器通过其它验证办法来验证客户端的请求;(3)当请求通过后,代理验证服务器会发送用于验证用户身份的有效凭据到服务器端实现用户登录。
2.一种计算机网络帐号安全防护服务系统,其特征是包括插接在用户终端的USB的安全插件,该插件至少包括微处理器;数据库和应用系统Web服务器,该数据库和应用系统Web服务器相连并且通过网络与客户终端连接;用于发送客户端秘密信息和修改秘密信息的代理验证服务器,该代理验证服务器为一个与应用系统Web服务器基本相同的计算机且联系客户终端和应用系统Web服务器。
全文摘要
本发明涉及计算机网络帐号安全防护方法。它是按照以下步骤实现在第一次使用它时服务器端用于验证用户身份的有效凭据通过一个代理验证服务器修改,并且将修改后的结果存储在插接在用户终端的USB插件中;以后使用时首先由代理验证服务器通过其它验证办法来验证客户端的请求;当请求通过后,代理验证服务器会发送用于验证用户身份的有效凭据到服务器端实现用户登录。实现该防护方法的服务系统包括插接在用户终端的USB的安全插件,数据库和应用系统Web服务器,用于发送客户端秘密信息和修改秘密信息的代理验证服务器。本发明在不更改服务器端软件或硬件的前提下从根本上解决了木马病毒,钓鱼网站,黑客软件等利用非法手段从客户端盗取用户有效凭证的可能性。防止因用户泄漏或被非法盗取用户敏感验证信息的安全隐患。
文档编号H04L9/32GK1905448SQ200610104488
公开日2007年1月31日 申请日期2006年8月3日 优先权日2006年8月3日
发明者代飞, 代博 申请人:代飞