一种客户端软件的身份认证方法
【技术领域】
[0001] 本发明属于计算机安全领域,具体涉及一种身份认证方法。
【背景技术】
[0002] 身份认证技术是在计算机网络中确认操作者身份的过程而产生的有效解决方法。 计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机 只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。身份认证技 术就是为了解决如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也 就是说保证操作者的物理身份与数字身份相对应这个问题。
[0003] 世界上数字身份认证的方法主要有三种:静态密码、动态密码、PKI。
[0004] 在实际使用过程中,静态密码技术用户的密码是由用户自己设定的。在网络登录 时输入正确的密码,计算机就认为操作者就是合法用户。实际上,由于许多用户为了防止忘 记密码,经常采用诸如生日、电话号码等容易被猜测的字符串作为密码,或者把密码抄在纸 上放在一个自认为安全的地方,这样很容易造成密码泄漏。如果密码是静态的数据,在验证 过程中需要在计算机内存中和传输过程可能会被木马程序或网络中截获。因此,静态密码 机制无论是使用还是部署都非常简单,但从安全性上讲,用户名/密码方式是一种不安全 的身份认证方式。
[0005]PKI是PublicKeyInfrastructure的缩写,PKI是用公钥概念和技术实施的,支 持公开密钥的管理并提供真实性、保密性、完整性以及可追究性安全服务的具有普适性的 安全基础设施。PKI技术可以保证运行代码正确地通过网络下载而不被黑客篡改;可以保 证数字证件,比如护照的真实性,而不用担心被证件阅读者假冒;可以用于版权保护而不用 担心没有证据;可以用于负责任的新闻或节目分级管理从而净化文化环境,等等。安全级别 最高,但是技术体系复杂,是集中认证模式,管理高度集中、使用成本高而难以推广,而且不 断出现新型的第三方威胁。
[0006] 动态密码技术主流产生形式有手机短信、硬件令牌、手机令牌,根据专门的算法生 成一个不可预测的随机数字组合,每个密码只能使用一次,目前被广泛运用在网银、网游、 电信运营商、电子政务、企业等应用领域。动态密码是一种安全便捷的帐号防盗技术,可以 有效保护交易和登录的认证安全,采用动态密码就无需定期修改密码,安全省心,能有效地 对抗偷窥、破解、分析等手段。面对越来越激烈的安全挑战,业界的普遍观点是放弃静态密 码,米用动态密码。
[0007] 无论是单独的静态密码技术、结合身份卡的静态密码技术还是使用令牌的动态密 码技术都存在不安全性和使用不方便等局限性。这些技术已经不能满足当今身份认证高度 安全性和方便性的需求。
[0008]目前常用的动态令牌、U盾等产品用途单一,携带不便,生命周期短,拥有成本高, 重复购买功能单一的产品耗费巨大的社会资源。
[0009] 基于寻找使用方便、高度安全、成本低廉的身份认证方案,本发明提供一种一个设 备管理多个电子账号的安全认证体系。身份认证系统的设计理念是用一个软件或硬件来管 理数量不受限制的电子账号,为个人节省重复购买多个单一用途的认证器的费用,为社会 节省数以亿计的耗费,对绿色经济、环境保护具有积极的意义。本发明兼具通用性、安全性、 方便性、低成本等优点。
【发明内容】
[0010] 为解决上述问题,本发明提供一种客户端软件身份认证方法。
[0011] 本发明的技术方案包括如下步骤:
[0012] S1、客户端向服务端提出登录请求报文;
[0013]S2、服务端解析客户端发送的登录请求报文,并向客户端回复登录数据,所述登录 数据以编码的形式在客户端进行显示;
[0014]S3、客户端对服务端发送的编码数据进行解析,并将解析结果发送至服务端;
[0015]S4、服务端接收客户端发送的解析结果,并将解析结果发送至认证服务端,由认证 服务端对解析结果进行验证;
[0016]S5、认证服务端对解析结果进行认证,并将认证结果返回至服务端;
[0017] S6、服务端接收认证结果后,将认证结果返回至客户端,并根据认证结果对客户端 执行激活或关闭动作。
[0018] 进一步地,若客户端第一次向服务端提出登录请求,则还包括客户端与服务端进 行绑定注册的过程,具体过程为:
[0019] S01、客户端软件用户以指定的账号为用户名,获得用户密码;
[0020]S02、客户端向服务端发送请求绑定报文;所述请求绑定报文报文为随机码或者其 他码;
[0021] S03、服务端收到客户端的绑定请求后,向客户端回应绑定请求报文;
[0022] S04、客户端解析服务端回应的绑定请求报文,并将解析后的报文以编码的形式显 示在客户端;
[0023]S05、客户端解析获得主机身份信息,并将主机的身份信息、用户名以及用户密码 以加密报文的形式发送至认证服务端进行绑定;
[0024]S06、认证服务端收到客户端的绑定指令后,进行计算,得到用户名以及用户密码, 并将该用户名以及用户密码进行存储完成用户注册,并将绑定结果返回至客户端。
[0025] 进一步地,所述步骤S2中的登录数据以QR码的形式显示在客户端,0R码的解析 通过手机终端的扫描得到解析结果。
[0026] 进一步的,客户端向服务端发起绑定和登录请求时,所述服务端向客户端发送一 个会话标识GUID和一个随机数,所述GUID作为标识终端会话的唯一标记,用于识别用户从 哪个终端登录到服务端,所述随机数用于作为应答的加密。
[0027] 进一步的,在所述客户端向服务端发起绑定请求时,在步骤S03中服务端向客户 端回应的绑定请求报文包括:会话标识⑶ID、目的码、通讯随机码、服务端IP、监听端口 Port、Commkey、服务器HID;所述目的码、通讯随机码、服务端IP、监听端口Port、Commkey、 服务器HID通过加密方法形成数据报文;
[0028] 所述客户端接收服务端回应的绑定请求报文后,解析获得会话标识GUID、目的码、 通讯随机码、服务端IP、监听端口Port、Commkey、服务器HID,客户端通过将Commkey和会 话标识GUID混合产生加密密钥对用户账号、密码以及会话标识GUID进行加密得到加密报 文,并将该加密报文发送至认证服务端。
[0029] 进一步的,所述步骤S2中的登录数据包括通讯数据、认证端口IP、端口号以及服 务端名称。
[0030] 本发明的有益效果是:由以上技术方案可以看出,本发明提供的一种客户端软件 认证方法,可以以智能手机为载体,一个设备管理多个电子账号的安全认证体系,通过手持 端软件与各账户及密码信息的绑定,并采用加密算法,手持端扫描QR码实现动态密码登 录,有效地解决因偷窥、破解、分析等手段造成的账户不安全问题。
【附图说明】
[0031] 图1为本发明的一种客户端软件的身份认证方法的流程图。
[0032] 图2为本发明的账户注册和绑定的流程图。 具体实施例
[0033] 为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对 本发明进行详细描述。
[0034] 如图1所示本发明一种客户端软件的身份认证方法的流程图,其包括:S1、客户端 向服务端提出登录请求报文;
[0035]S2、服务端解析客户端发送的登录请求报文,并向客户端回复登录数据,所述登录 数据以编码的形式在客户端进行显示;
[0036]S3、客户端对服务端发送的编码数据进行解析,并将解析结果发送至服务端;
[0037]S4、服务端接收客户端发送的解析结果,并将解析结果发送至认证服务端,由认证 服务端对解析结果进行验证;
[0038]S5、认证服务端对解析结果进行认证,并将认证结果返回至服务端;
[0039]S6、服务端接收认证结果后,将认证结果返回至客户端,并根据认证结果对客户端 执行激活或关闭动作。
[0040] 为了本领域技术人员能够了解并且实施本发明技术方案,下面本方案将结合一具 体实施例对本方案进行说明,其中客户端采用手机终端实现,如图2是本发明的账户注册 和绑定流程图,用户在使用手机登录之前,必须下载和安装手持端软件。用户使用手机客户 端软件进行正常登录之前,首先需要与服务器进行绑定。
[0041] 绑定过程分为如下步骤。
[0042] 步骤S01 :用户首先必须是的注册用户,以手机号或指定的账号为用户名,并获得 用户密码,建议密码应该采用至少8个字符,至少有三种字符,即大小写字母,数字,和符号 (例如#,%,~,&等),以保证安全,因为用户再不用记忆密码,密码长和难不对用户形成困 难。
[0043] 步骤S02 :用户在客户端软件上选择绑定按钮,客户端软件向服务端发送 RequestBindingCode报文;
[0044] 报文采用TCP协议发送,格式如下:
[0045]
[0046] 其中指令类型,主要是说明传输内容,长度为24个字节,客户端向服务端发送绑 定请求报文,请求类型编码0x01。