认证方法及其认证系统的制作方法

认证方法及其认证系统的制作方法
【专利摘要】本发明公开了一种认证方法及其认证系统，所述认证方法包括以下步骤：S1、用户从一服务器获取一设备激活凭证；S2、所述服务器验证从一客户端的浏览器接收的所述设备激活凭证是否有效，若有效则进入步骤S3，否则，流程结束；S3、所述服务器生成一设备认证标志，并回传至所述客户端；S4、所述客户端的浏览器发送包含所述设备认证标志的一访问请求至所述服务器；S5、所述服务器验证所述设备认证标志是否有效，若是，则进入步骤S6，否则流程结束；S6、所述客户端的浏览器和所述服务器的Web应用之间建立会话。本发明通过采用设备激活的方式，在客户端和服务器之间建立了唯一的关联关系，所以极大地简化用户的使用。
【专利说明】认证方法及其认证系统
【技术领域】
[0001]本发明涉及一种认证方法及其认证系统，特别是涉及一种客户端和服务器之间的认证方法及其认证系统。
【背景技术】
[0002]互联网中，基于浏览器的Web应用在人们的生产和生活中发挥着越来越重要的作用。其中就包含很多对安全性有相当要求的Web应用，这些应用只接受认证后的用户接入。现在最广泛使用的用户认证方式是基于用户名/密码的认证方式，也就是说用户每次接入相关Web应用时，需要输入正确的用户名/密码对，网络侧的服务器会对相关的用户名/密码进行认证，只有通过认证的用户才能够访问Web应用。
[0003]但在一些使用场景中，Web应用的安全认证策略是基于设备的，即需要接入的设备是通过认证的。而设备本身能够被多个用户使用，而单一用户也能够使用多个设备接入服务器的Web应用，此时若使用用户名/密码的认证时，从根本上无法确定一个用户名/密码是否与一具体设备之间关联，而且同一设备可能有不同用户使用，或者一个用户使用多个设备，此时就需要用户获得多个设备的用户名/密码设置，这就增加了安全信息的泄露，也给用户带来了大量记忆负担，减低了用户使用体验。

【发明内容】

[0004]本发明要解决的技术问题是为了克服现有技术中采用用户名/密码方式的认证模式导致的安全信息泄露以及使用体验差的缺陷，提供一种认证方法及其认证系统，通过采用设备激活的方式，使得设备和服务器之间具有唯一的关联，所以极大地简化了用户的使用，并且还确保了用户信息的安全。
[0005]本发明是通过下述技术方案来解决上述技术问题的:
[0006]本发明提供了一种认证方法，其特点是，所述认证方法包括以下步骤:
[0007]S1、用户从一服务器获取一设备激活凭证；
[0008]S2、所述服务器验证从一客户端的浏览器接收的所述设备激活凭证是否有效，若有效则进入步骤S3，否则，流程结束；
[0009]S3、所述服务器生成一设备认证标志，并回传至所述客户端；
[0010]S4、所述客户端的浏览器发送包含所述设备认证标志的一访问请求至所述服务器；
[0011]S5、所述服务器验证所述设备认证标志是否有效，若有效，则进入步骤S6,否则流程结束；
[0012]S6、所述客户端的浏览器和所述服务器的Web (网络、互联网)应用之间建立会话。
[0013]其中本发明通过从服务器获得设备激活凭证的方法，避免了用户通过用户名/密码的方式在服务器端进行认证，因为不但为用户提供了便利也避免了用户信息的泄露。
[0014]本发明中所述服务器验证所述设备激活凭证是否为所述服务器发送的，从而判断所述设备激活凭证是否有效，此外所述服务器还可以进一步地验证所述设备激活凭证是否处于一有效时限内，从而进一步地避免“休眠”设备激活凭证的存在，节省所述服务器的存储空间以及相关的设置等。
[0015]本发明中所述服务器验证所述访问请求中所述设备认证标志是否是所述服务器产生的，从而判断是否允许所述浏览器访问所述服务器的Web应用。
[0016]而且本发明中所述Web应用是指现有技术中浏览器/服务器架构(Browser/Server,简称B/S)的应用程序，并且Web应用的真正核心主要是对数据库的数据进行处理，从而使得所述浏览器/服务器架构能够很好地应用在广域网上。
[0017]此外本发明中所述客户端的浏览器和所述服务器建立会话后，所述客户端的浏览器和所述服务器之间就能有效地进行数据通信。其中所述会话为通信领域的常用术语，此处就不再详细赘述。
[0018]较佳地，所述步骤S2为:
[0019]S21、所述服务器验证从所述客户端的浏览器接收的所述设备激活凭证是否为所述服务器发送的设备激活凭证，若是则进入步骤S22，否则，流程结束；
[0020]S22、所述服务器验证接收所述设备激活凭证的当前时间是否在一有效时限内，若是则进入步骤S3,否则流程结束。
[0021]其中所述有效时限由服务器自由设定，而且所述有效时限用于限制所述服务器再次接收到所述设备激活凭证的时间范围，防止僵死的设备激活凭证占用过多的服务器资源，例如，服务器再次接收到所述设备激活凭证时，检测接收的当前时间是否处于预设的一有效时间段内，若是，则所述设备激活凭证还是有效的，否则所述设备激活凭证无效。
[0022]此外所述设备激活凭证是经过加密处理的，所以所述服务器一般需要将所述设备激活凭证进行解密，从而便于后续处理。
[0023]较佳地，所述步骤S5为:
[0024]S51、所述服务器验证发送所述访问请求的客户端的浏览器和所述服务器之间是否已建立会话，若是则流程结束，否则进入步骤S52 ；
[0025]S52、所述服务器验证所述访问请求中的设备认证标志是否为所述服务器发送的设备认证标志，若是则进入步骤S6，否则，流程结束。
[0026]优选地，所述步骤S51为:
[0027]S511、所述服务器验证发送所述访问请求的客户端的浏览器和所述服务器之间是否已建立会话，若是则进入步骤S512，否则进入步骤S52 ；
[0028]S512、所述服务器验证所述客户端的浏览器和所述服务器之间的会话是否有效，若是，则流程结束，否则进入步骤S52。
[0029]由于客户端与服务器之间存在会话存在，但会话已经失效的情况，所以本发明中还需要判断会话是否依旧为有效会话的方式，避免无法建立能够传输数据的有效会话的存在。
[0030]优选地，所述步骤S512为:
[0031]所述服务器验证所述客户端的浏览器和所述服务器之间的会话的Cookies是否有效，若是，则流程结束，否则进入步骤S52。
[0032]其中所述Cookies指通信领域中服务器和客户端之间为了辨别用户身份、进行会话跟踪的数据的常用术语，所以此处不再详细赘述。
[0033]其中需要强调地时通过所述Cookies的方式不但能够检测会话用户是否还处于有效状态，还能够检测用户的会话时间是否超时，因而可以防止僵死会话的存在，节省服务器资源。
[0034]优选地，所述步骤S52为:
[0035]所述服务器发送一认证数据请求；
[0036]所述客户端的浏览器基于所述设备认证标志生成一认证数据；
[0037]所述服务器基于所述访问请求中的设备认证标志生成一比较数据；
[0038]所述服务器比较所述认证数据和所述比较数据是否相同，若是则进入步骤S6，否则流程结束。
[0039]优选地，所述客户端的浏览器和所述服务器均基于MD5 (消息摘要算法第五版)、SHA-1 (安全散列算法-1)和/或SHA256 (安全散列算法256)分别处理所述设备认证标志得到所述认证数据和所述比较数据。
[0040]本发明中每次处理得到所述认证数据和所述比较数据的函数均是从MD5、SHA-1和SHA256中任意挑选的。所以提高安全性。
[0041 ] 较佳地，所述步骤S1为:
[0042]用户通过电子邮件或短消息的方式从所述服务器获取所述设备激活凭证。
[0043]本发明还提供了一种认证系统，其特点是所述认证系统包括一服务器和一客户端；其中所述客户端包括一浏览器，所述服务器包括一 Web应用模块；所述服务器用于生成一设备激活凭证并验证从所述客户端的浏览器接收的所述设备激活凭证是否有效；
[0044]其中当所述设备激活凭证有效时，所述服务器还用于生成一设备认证标志并回传存储至所述客户端；
[0045]所述客户端的浏览器用于发送包含所述设备认证标志的一访问请求至所述服务器；所述服务器还用于验证所述设备认证标志是否有效；
[0046]当所述设备认证标志有效时，所述客户端的浏览器和所述服务器的Web (网络、互联网)应用模块之间建立会话。
[0047]较佳地，所述服务器还包括一设备激活模块和一设备认证模块，其中所述设备激活模块用于生成所述设备激活凭证并验证从所述客户端的浏览器接收的所述设备激活凭证是否有效;
[0048]所述设备认证模块用于生成一设备认证标志并回传存储至所述客户端，并验证所述客户端的浏览器发送的所述设备认证标志是否有效。
[0049]较佳地，所述设备激活模块用于验证从所述客户端的浏览器接收的所述设备激活凭证是否为所述服务器发送的设备激活凭证以及接收所述设备激活凭证的当前时间是否在一有效时限内。
[0050]较佳地，所述设备认证模块用于验证发送所述访问请求的客户端的浏览器和所述服务器之间是否已建立会话，所述设备认证模块还用于验证所述访问请求中的设备认证标志是否为所述服务器发送的设备认证标志。
[0051]优选地，所述设备认证模块还用于验证所述客户端的浏览器和所述服务器之间的会话是否有效。[0052]优选地，所述设备认证模块用于验证所述客户端的浏览器和所述服务器之间的会话的Cookies是否有效。
[0053]较佳地，所述设备认证模块还用于向所述客户端的浏览器发送一认证数据请求，并基于所述访问请求中的设备认证标志生成一比较数据；
[0054]所述客户端的浏览器还用于基于所述设备认证标志生成一认证数据；
[0055]所述设备认证模块还用于比较所述认证数据和所述比较数据是否相同。
[0056]优选地，所述客户端的浏览器和所述服务器均基于MD5、SHA_1和/或SHA256分别处理所述设备认证标志得到所述认证数据和所述比较数据。
[0057]本发明的积极进步效果在于:
[0058]本发明的认证方法及其认证系统，通过采用设备激活的方式，从而在客户端和服务器之间建立了唯一的关联关系，所以不再需要通过用户名/密码的方式在用户使用的设备和服务器之间建立关联，因此极大地简化了用户的使用，而且用户不需要记忆用户名/密码，所以还确保了用户信息的安全。
【专利附图】

【附图说明】
[0059]图1为本发明的认证系统的较佳实施例的结构示意图。
[0060]图2为本发明的较佳实施例的认证方法的流程图。
【具体实施方式】
[0061]下面结合附图给出本发明较佳实施例，以详细说明本发明的技术方案。
[0062]实施例:
[0063]本发明的认证系统通过在服务器和客户端的浏览器之间建立与设备硬件唯一标识关联的认证关系，从而不再需要用户名/密码的方式进行认证，从而简化了用户的认证过程，而且还避免了用户信息的泄露。
[0064]所以如图1所示，本实施例的认证系统包括一服务器I和一客户端2 ；
[0065]其中所述服务器I包括一 Web应用模块11、一设备激活模块12和一设备认证模块
13。所述客户端2包括一浏览器21。
[0066]所述设备认证模块13用于生成一设备认证标志并回传存储至所述客户端2，
[0067]所述设备认证模块13还用于验证发送所述访问请求的客户端2的浏览器21和所述服务器I之间是否已建立会话。
[0068]由于客户端与服务器之间存在会话存在，但会话已经失效的情况，所以本发明中还需要判断会话是否依旧为有效会话的方式，避免无法建立能够传输数据的有效会话的存在。
[0069]本实施例中所述设备认证模块13通过验证所述客户端2的浏览器21和所述服务器I之间的会话的Cookies是否有效来确认所述浏览器21和所述服务器I之间的会话的有效性。
[0070]其中需要强调地时通过所述Cookies的方式不但能够检测会话用户是否还处于有效状态，还能够检测用户的会话时间是否超时，因而可以防止僵死会话的存在，节省服务器资源。[0071]所述设备认证模块13还用于验证所述访问请求中的设备认证标志是否为所述服务器I发送的设备认证标志。
[0072]所述设备激活模块12用于验证从所述客户端2的浏览器21接收的所述设备激活凭证是否为所述服务器I发送的设备激活凭证以及接收所述设备激活凭证的当前时间是否在一有效时限内。
[0073]其中所述有效时限由服务器自由设定，而且所述有效时限用于限制所述服务器再次接收到所述设备激活凭证的时间范围，防止僵死的设备激活凭证占用过多的服务器资源，例如，服务器再次接收到所述设备激活凭证时，检测接收的当前时间是否处于预设的一有效时间段内，若是，则所述设备激活凭证还是有效的，否则所述设备激活凭证无效。从而进一步地避免“休眠”设备激活凭证的存在，节省所述服务器的存储空间以及相关的设置
坐寸ο
[0074]而且本实施例中所述设备认证模块13和浏览器21之间认证过程中所述设备认证模块13还用于向所述客户端2的浏览器21发送一认证数据请求，并基于所述访问请求中的设备认证标志生成一比较数据。所述客户端2的浏览器21还用于基于所述设备认证标志生成一认证数据。
[0075]所述设备认证模块13还用于比较所述认证数据和所述比较数据是否相同。
[0076]其中所述客户端2的浏览器21和所述服务器I均基于MD5、SHA_1和/或SHA256分别处理所述设备认证标志得到所述认证数据和所述比较数据。
[0077]上述服务器I和客户端2的各种交互数据，如设备认证标志和所述设备激活凭证等是经过加密处理的，所以所述服务器I 一般需要将所述交互数据进行解密，从而便于后续处理。
[0078]而且当所述设备认证标志有效时，所述客户端2的浏览器21和所述服务器I的Web (网络、互联网)应用模块11之间建立会话。
[0079]另外，为了便于描述，本实施例中将所述认证系统的服务器按照功能划分为各种模块进行分别描述，所以在实施本实施例时，可以把各模块的功能在同一个或多个软件和/或硬件中实现。
[0080]本申请可用于众多通用或专用的计算系统环境或配置中。例如:个人计算机、月艮务器计算机、手持设备或便携式设备、平板型设备、多处理器系统、基于微处理器的系统、置顶盒、可编程的消费电子设备、网络PC (个人电脑)、小型计机、大型计算机、包括以上任何系统或设备的分布式计算环境等等。
[0081]通过上述认证系统中具体的认证方法如图2所示，其中包括以下步骤:
[0082]步骤1，用户通过电子邮件或短消息的方式从所述服务器获取所述设备激活凭证。此外用户还可以采用口头交换或书面等方式获得所述设备激活凭证，而不仅限于电子方式获得所述设备激活凭证。
[0083]步骤2，所述服务器验证从所述客户端的浏览器接收的所述设备激活凭证是否为所述服务器发送的设备激活凭证，若是，则进入步骤3，否则，流程结束。
[0084]步骤3，所述服务器验证接收所述设备激活凭证的当前时间是否在一有效时限内，若是则进入步骤4，否则流程结束。
[0085]步骤4，所述服务器生成一设备认证标志，并回传至所述客户端。[0086]步骤5，所述服务器验证所述设备认证标志是否有效，若有效，则进入步骤6，否则流程结束。
[0087]步骤6，所述服务器验证发送所述访问请求的客户端的浏览器和所述服务器之间是否已建立会话，若是则进入步骤7，否则进入步骤8。
[0088]由于客户端与服务器之间存在会话存在，但会话已经失效的情况，所以本发明中还需要判断会话是否依旧为有效会话的方式，避免无法建立能够传输数据的有效会话的存在。
[0089]步骤7，所述服务器验证所述客户端的浏览器和所述服务器之间的会话的Cookies是否有效，若是，则流程结束，否则进入步骤8。
[0090]其中所述Cookies指通信领域中服务器和客户端之间为了辨别用户身份、进行会话跟踪的数据的常用术语，所以此处不再详细赘述。
[0091]其中需要强调地时通过所述Cookies的方式不但能够检测会话用户是否还处于有效状态，还能够检测用户的会话时间是否超时，因而可以防止僵死会话的存在，节省服务器资源。
[0092]步骤8，所述服务器发送一认证数据请求。
[0093]步骤9，所述客户端的浏览器基于所述设备认证标志生成一认证数据；所述服务器基于所述访问请求中的设备认证标志生成一比较数据。
[0094]步骤8和步骤9中所述客户端的浏览器和所述服务器均基于MD5 (消息摘要算法第五版)、SHA-1 (安全散列算法-1)和/或SHA256 (安全散列算法256)分别处理所述设备认证标志得到所述认证数据和所述比较数据。
[0095]本发明中每次处理得到所述认证数据和所述比较数据的函数均是从MD5、SHA-1和SHA256中任意挑选的。所以提高安全性。
[0096]步骤10，所述服务器比较所述认证数据和所述比较数据是否相同，若是则进入步骤11，否则流程结束。
[0097]步骤11，所述客户端的浏览器和所述服务器的Web应用之间建立会话。
[0098]其中本实施例通过从服务器获得设备激活凭证的方法，避免了用户通过用户名/密码的方式在服务器端进行认证，因为不但为用户提供了便利也避免了用户信息的泄露。
[0099]本实施例中所述服务器验证所述设备激活凭证是否为所述服务器发送的，从而判断所述设备激活凭证是否有效，此外所述服务器还可以进一步地验证所述设备激活凭证是否处于一有效时限内，从而进一步地避免“休眠”设备激活凭证的存在，节省所述服务器的存储空间以及相关的设置等。
[0100]本实施例中所述服务器验证所述访问请求中所述设备认证标志是否是所述服务器产生的，从而判断是否允许所述浏览器访问所述服务器的Web应用。
[0101]此外本实施例中所述客户端的浏览器和所述服务器建立会话后，所述客户端的浏览器和所述服务器之间就能有效地进行数据通信。其中所述会话为通信领域的常用术语，此处就不再详细赘述。
[0102]虽然以上描述了本发明的【具体实施方式】，但是本领域的技术人员应当理解，这些仅是举例说明，本发明的保护范围是由所附权利要求书限定的。本领域的技术人员在不背离本发明的原理和实质的前提下，可以对这些实施方式做出多种变更或修改，但这些变更和修改均落入本发明的保护范围。
【权利要求】
1.一种认证方法，其特征在于，所述认证方法包括以下步骤: 51、用户从一服务器获取一设备激活凭证； 52、所述服务器验证从一客户端的浏览器接收的所述设备激活凭证是否有效，若有效则进入步骤S3，否则，流程结束； 53、所述服务器生成一设备认证标志，并回传至所述客户端； 54、所述客户端的浏览器发送包含所述设备认证标志的一访问请求至所述服务器； 55、所述服务器验证所述设备认证标志是否有效，若有效，则进入步骤S6,否则流程结束；.56、所述客户端的浏览器和所述服务器的Web(网络、互联网)应用之间建立会话。
2.如权利要求1所述的认证方法，其特征在于，所述步骤S2为: 521、所述服务器验证从所述客户端的浏览器接收的所述设备激活凭证是否为所述服务器发送的设备激活凭证，若是则进入步骤S22，否则，流程结束； 522、所述服务器验证接收所述设备激活凭证的当前时间是否在一有效时限内，若是则进入步骤S3，否则流程结束。
3.如权利要求1所述的认证方法，其特征在于，所述步骤S5为: 551、所述服务器验证发送所述访问请求的客户端的浏览器和所述服务器之间是否已建立会话，若是则流程结束，否则进入步骤S52 ； 552、所述服务器验证所述访问请求中的设备认证标志是否为所述服务器发送的设备认证标志，若是则进入步骤S6，否则，流程结束。
4.如权利要求3所述的认证方法，其特征在于，所述步骤S51为: 5511、所述服务器验证发送所述访问请求的客户端的浏览器和所述服务器之间是否已建立会话，若是则进入步骤S512，否则进入步骤S52 ； 5512、所述服务器验证所述客户端的浏览器和所述服务器之间的会话是否有效，若是，则流程结束，否则进入步骤S52。
5.如权利要求4所述的认证方法，其特征在于，所述步骤S512为: 所述服务器验证所述客户端的浏览器和所述服务器之间的会话的Cookies是否有效，若是，则流程结束，否则进入步骤S52。
6.如权利要求3所述的认证方法，其特征在于，所述步骤S52为: 所述服务器发送一认证数据请求； 所述客户端的浏览器基于所述设备认证标志生成一认证数据； 所述服务器基于所述访问请求中的设备认证标志生成一比较数据； 所述服务器比较所述认证数据和所述比较数据是否相同，若是则进入步骤S6，否则流程结束。
7.如权利要求6所述的认证方法，其特征在于，所述客户端的浏览器和所述服务器均基于MD5、SHA-1和/或SHA256分别处理所述设备认证标志得到所述认证数据和所述比较数据。
8.如权利要求1所述的认证方法，其特征在于，所述步骤S1为: 用户通过电子邮件或短消息的方式从所述服务器获取所述设备激活凭证。
9.一种认证系统，其特征在于，所述认证系统包括:一服务器和一客户端；其中所述客户端包括一浏览器，所述服务器包括一 Web应用模块；所述服务器用于生成一设备激活凭证并验证从所述客户端的浏览器接收的所述设备激活凭证是否有效； 其中当所述设备激活凭证有效时，所述服务器还用于生成一设备认证标志并回传存储至所述客户端； 所述客户端的浏览器用于发送包含所述设备认证标志的一访问请求至所述服务器；所述服务器还用于验证所述设备认证标志是否有效； 当所述设备认证标志有效时，所述客户端的浏览器和所述服务器的Web应用模块之间建立会话。
10.如权利要求9所述的认证系统，其特征在于，所述服务器还包括一设备激活模块和一设备认证模块，其中所述设备激活模块用于生成所述设备激活凭证并验证从所述客户端的浏览器接收的所述设备激活凭证是否有效； 所述设备认证模块用于生成一设备认证标志并回传存储至所述客户端，并验证所述客户端的浏览器发送的所述设备认证标志是否有效。
11.如权利要求10所述的认证系统，其特征在于，所述设备激活模块用于验证从所述客户端的浏览器接收的所述设备激活凭证是否为所述服务器发送的设备激活凭证以及接收所述设备激活凭证的当前时间是否在一有效时限内。
12.如权利要求11所述的认证系统，其特征在于，所述设备认证模块用于验证发送所述访问请求的客户端的浏览器和所述服务器之间是否已建立会话，所述设备认证模块还用于验证所述访问请求中的设备认证标志是否为所述服务器发送的设备认证标志。
13.如权利要求12所述的认证系统，其特征在于，所述设备认证模块还用于验证所述客户端的浏览器和所述服务器之间的会话是否有效。
14.如权利要求13所述的认证系统，其特征在于，所述设备认证模块用于验证所述客户端的浏览器和所述服务器之间的会话的Cookies是否有效。
15.如权利要求10所述的认证系统，其特征在于，所述设备认证模块还用于向所述客户端的浏览器发送一认证数据请求，并基于所述访问请求中的设备认证标志生成一比较数据； 所述客户端的浏览器还用于基于所述设备认证标志生成一认证数据； 所述设备认证模块还用于比较所述认证数据和所述比较数据是否相同。
16.如权利要 求15所述的认证系统，其特征在于，所述客户端的浏览器和所述服务器均基于MD5、SHA-1和/或SHA256分别处理所述设备认证标志得到所述认证数据和所述比较数据。
【文档编号】H04L9/32GK103581114SQ201210253880
【公开日】2014年2月12日 申请日期:2012年7月20日 优先权日:2012年7月20日
【发明者】陈磊 申请人:上海湛泸网络科技有限公司