专利名称:安全登入网站的方法
技术领域:
本发明关于一种安全登入网站的方法,特别指涉及一种防止他人窃取储存于本地端的数据(cookie)的安全登入网站的方法。
背景技术:
cookie指某些网站为了识别使用者身份而储存在使用者本地端的数据。使用cookie技术来储存使用者的帐号或密码是网站设计者常用的方式。当使用者第一次登入信息网站时,该信息网站的网页会利用JavaScript程式并使用特定的加密演算法,将使用者的帐号或密码加密后储存在使用者端cookie中。当该使用者再次登入该信息网站时,其网页再通过JavaScript程式自动读取cookie并使用特定的解密演算法将该使用者的帐号或密码解密后,自动放入网页表单的帐号或密码的栏位,藉此减少使用者重复输入的麻烦而自动协助使用者登入网站。另外,购物网站的购物车亦是cookie的其中一种应用,使用者通常会在同一个网站的不同页面中选择不同的商品,这些信息都会写入cookie中,以便在最后付款时提取信息。cookie较让人垢病的是可能危害到使用者的隐私和安全,万一 cookie遭盗用,贝Ij其中包含使用者名、电脑名和曾访问过的网站等信息便有可能因此泄漏出去。一般而言,黑客可采用跨网站指令码(cross-site scripting, XSS)盗取使用者的cookies,并于黑客的客户端设备中伪造或复制所需的cookies,再打开浏览器连结网站就可直接进入,达到盗用他人帐号或密码的行为。曾有技术提出利用关闭JavaScript程式的方法来避免cookie被盗取,然而由于许多网站皆有使用JavaScript程式,因而关闭反而会造成浏览网页时发生障碍。此外,网站常为了防止黑客盗用cookie而采取许多补强措施,导致使用者登入网站不便。例如美国第200802636503号专利申请案通过层层的认证资料与机制来判断认证是否通过。当认证通过时,使用者进入受保护网页,相反的当认证未通过时,使用者进入入口网页,藉此防止未认证的使用者(如黑客)进入受保护网页,以避免如前述的XSS或其他种类的攻击。或者为避免cookie被窃取而采用服务端记忆会话(session)的方式,惟如此将造成服务器负载过大。
发明内容
鉴于上述现有技术的缺点,本发明的目的在于提供一种安全登入网站的方法,以防止他人窃取本地端的cookie而自动登入网站。为达到前述目的以及其他目的,本发明提供一种安全登入网站的方法,包括以下步骤(1)于客户端通过网络连结服务端,令该服务端取得该客户端的客户端信息;(2)令该服务端依据该客户端信息以预定规则产生或选择相对应的演算法;以及(3)令该服务端于提供网页予该客户端时,由该网页提供该演算法对该客户端所输入至该网页上的资料进行加密,并储存于该客户端。
于本发明的一实施方式中,还包括(4)判断该客户端是否再次连接该服务端,若是,则令该服务端取得该客户端的该客户端信息,并依据该客户端信息以预定规则产生或选择相对应的演算法,接着进至步骤(5)令该服务端提供给该客户端的网页利用该相对应的演算法,对所述储存至该客户端的资料进行解密,以将经解密的资料输入至该网页上。于本发明的另一实施方式中,所述步骤(I)还包括(1-1)令该认证模块自该网关取得并储存包括该电路信息及该媒体访问控制器地址的客户端信息,再令该网络地址分配模块分配网络地址予该客户端;及(1-2)令该服务端于该客户端以所分配到的网络地址连结该服务端时,依据该客户端的网络地址至该认证模块中提取该客户端的客户端信息。于本发明的又一实施方式中,所述步骤(2)还包括令该服务端储存该相对应的演算法,且还包括步骤(4)判断该客户端是否再次连接该服务 端,若是,则令该服务端取得该客户端的客户端信息,接着进至步骤(5)令该服务端依据该客户端信息取出该相对应的演算法,再令该服务端的服务器提供给该客户端的网页利用该相对应的演算法,对储存至该客户端的客户端装置中的资料进行解密,以将经解密的资料输入至该网页上。所述的客户端信息可例如为该客户端的网络设备序号、网卡编号、虚拟区域网络信息、媒体访问控制器地址、或电路信息。相较于现有技术,本发明的安全登入网站的方法可防止黑客利用XSS技术盗取客户端的cookies,且无须关闭JavaScript程式,因而浏览网页时不会发生障碍。此外,更不用层层认证或采用记忆会话的方式来保障cookie安全,以避免造成服务器负载过大。
图IA为本发明安全登入网站第一实施方式的方法的流程图;图IB为本发明安全登入网站的方法第一实施方式的应用架构图;图IC本发明安全登入网站的方法的第二实施方式的流程图;图2A为本发明安全登入网站的方法的第三实施方式的流程图;图2B为本发明安全登入网站的方法的第三实施方式的应用架构图;图3A为本发明安全登入网站的方法的第四实施方式的流程图;以及图3B为本发明安全登入网站的方法的第四实施方式的应用架构图。主要元件符号说明客户端10、10’、10” 客户端装置20、20’、20” 网络202、202,第二层203、203,第三层3、3’、3” 服务端30、30’、30” 服务器40、40’网关50认证模块SlOl S105、S102,、S104,、S105,、S201 S205、S301 S306 步骤。
具体实施例方式以下由特定的具体实施方式
说明本发明的技术内容,熟悉本领域的技术人员可由本说明书所揭示的内容轻易地了解本发明的其他优点与功效,也可以由其他不同的具体实施方式
加以施行或应用。 第一实施方式请一并参阅图IA与图1B,图IB为图IA的本发明安全登入网站的方法的一实施方式的应用架构图。于步骤SlOl中,客户端I利用客户端装置10通过网络20连结服务端3,令服务端3取得客户端信息,其中,客户端信息可为该客户端的网络设备序号、网卡编号、虚拟区域网络信息、媒体访问控制器地址、或电路(如挂接XDSL的电话线路)信息等。此外,服务端3可通过网络20的第二层(Layer 2),即资料链结层,直接取得客户端I的如前述的虚拟区域网络(virtual local area network,VLAN)信息或媒体访问控制器(media accesscontrol, MAC)地址等客户端信息,需特别说明者,本发明的安全登入网站的方法在不同实施方式中,可以依据使用的软硬体环境的差异,使用单一或多个相同或不同的客户端信息,以令本发明的安全登入网站的方法适应不同的应用环境,且进一步能增加客户端信息保护的安全性。接着进至步骤S102。于步骤S102中,令服务端3依据所取得的客户端信息,以预定规则产生或选择相对应的演算法。例如服务端3可利用客户端I的虚拟区域网络信息或媒体访问控制器地址作为参数,以产生一特定的演算法。或者,而服务端3依据客户端I的虚拟区域网络信息或媒体访问控制器地址,在内建于服务端3的多个演算法中选择一特定的演算法,所述的演算法可以为惯用的、通过商业方式取得或使用者自行开发的各种资料加解密技术。接着进至步骤S103。于步骤S103中,令服务端3的服务器30于提供网页给客户端I时,由该网页提供所述的演算法对客户端I利用客户端装置10输入至该网页上的资料进行加密,并储存至客户端装置10中。例如,客户端I利用客户端装置10在网络邮件登入网页上输入的资料为电子信箱的帐号及密码,而提供给客户端I供输入帐号及密码的网络邮件登入网页中,则含有执行所述演算法的程式(可通过如Java script程式撰写),因而当客户端I通过客户端装置10输入帐号及密码时,该网页所内含的程式便执行所述的演算法,以将帐号及密码等cookie予以加密并储存至客户端装置10中。通过前述步骤SlOl至S103的方式,假设客户端I中所储存的cookie被盗取,则因该cookie已经过特定的演算法加密,在盗取人不知道相对应的解密演算法的情况下,无法正常使用该盗取的cookie,藉以达到保护客户端Icookie信息安全的目的。于本实施方式中,还可以包括以下步骤S104与S105。于步骤S104中,判断客户端I是否再次连接服务端3,若是,则令服务端3再次取得客户端I的客户端信息,并以依据该客户端信息以预定规则产生或选择相对应的演算法,接着进至步骤S105。于步骤S105中,令服务端3的服务器30于再次提供客户端I网页时,利用相对应前述加密的演算法,对储存至客户端I的客户端装置10中的资料进行解密,以将经解密的资料输入至该网页上。承前所述,于本实施方式中,当客户端I利用客户端装置10再次连结服务端3时,而服务端3的服务器30再次提供给客户端I以供输入帐号及密码的网页,利用服务端3所产生或所选择的相对应的演算法对客户端装置10的cookie进行解密,则可正常使用客户端I先前所设定的帐号及密码等资料。相较的下,本发明的安全登入网站的方法不但不会增加客户端I的使用者在保护cookie的操作步骤,同时能兼顾cookie资料的保护。第二实施方式
请参阅图1C,本实施方式与图IA所示的实施方式的差异在于,于步骤S102’中,服务端3除了依据该客户端信息以该预定规则产生或选择相对应的cookie加密演算法外,另储存该相对应的演算法,因而于步骤S104’中,当判断客户端I再次连结服务端3时,令服务端3再次取得客户端I的客户端信息,以依据该客户端信息以预定规则产生或选择相对应的演算法,接着进至步骤S105’。于步骤S105’中,令服务端3依据该客户端信息取出所述储存的相对应的演算法,以令服务端3提供给客户端I的网页利用该相对应的演算法,对储存至客户端I中的cookie资料进行解密,以将经解密的资料输入至该网页上。由上述第一与第二实施方式所揭露的内容得以了解,本发明的安全登入网站的方法依据客户端信息来对资料进行加密,纵使黑客侵入客户端装置取得cookie中的加密资料,亦由于无法得知客户端信息而无法对该加密资料进行解密,因而无法成功盗得用户的帐号密码。以下其他实施方式皆以图IA所示的流程图为基础进行变化。第三实施方式请参阅图2A及图2B,于步骤S201中,客户端I’利用客户端装置10’通过网络20’由网关40连结服务端3’,其中,网关40通过网络20’的第二层202取得客户端I’的客户端信息,并通过网络20’的第三层203,即网络层,提供至服务端3’,其中,网关40通过网络的第二层202自客户端I’取得的客户端信息包括媒体访问控制器地址,而网关40通过网络的第三层203提供至服务端3’的客户端信息包括电路信息。接着进至步骤S202。接着,于步骤S202中,令服务端3’依据该客户端信息(包括所述的媒体访问控制器地址和电路信息)以预定规则产生或随机选择相对应的演算法。接着进至步骤S203。于步骤S203中,令服务端3’的服务器30’于提供网页给客户端I’时,由该网页提供所述的演算法对客户端I’利用客户端装置10’输入至该网页上的资料进行加密,以储存至客户端装置10’中成为cookie。接着进至步骤S204。于本实施方式中,还可以包括以下步骤S204与S205。于步骤S204中,判断客户端I’再次连结服务端3’时,令服务端3’依据如同S201及S202的方式取得客户端信息,并以预定规则产生或随机选择相对应的演算法,接着进至步骤S205。于步骤S205中,令服务端3’的服务器30’提供客户端I’的网页利用该相对应的演算法,对储存在客户端装置10’的cookie进行解密,以将所解密的资料输入至该网页上。第四实施方式请再参阅图3A及图3B,与图2A及图2B所示的第三实施方式相同者,客户端I”亦是利用客户端装置10”通过网络20”,由网关40’连结服务端3”,其中,网关40’通过网络20”的第二层202’取得客户端I”的客户端信息,并通过网络20”的第三层203’提供至服务端3”,且网关40’提供至服务端3”的客户端信息包括电路信息及媒体访问控制器地址。与第三实施方式间的差异,在于服务端3”进一步包括服务器30”、认证模块50和网络地址分配模块(未图式)。需说明的是,认证模块50和网络地址分配模块可整合于网际网络服务提供者(internet service provider, ISP)平台中。此外,客户端I”可使用以太网的点对点协议(point to point protocol over Ethernet,PPPoE)或动态主机设定协议(dynamichost configuration protocol, DHCP)等方式连线上网。于步骤S301中,客户端I”利用客户端装置10”通过网络20”由网关40’连结服务端3”时,令认证模块50自网关40’取得并储 存包括该电路信息及/或该媒体访问控制器地址的客户端信息,其中,认证模块50复于客户端I”连结至服务端3”时对客户端I”进行身份认证,例如对连结服务端所输入的帐号、密码、该电路信息或该媒体访问控制器地址进行认证,再令该网络地址分配模块分配网络地址给客户端I”。于步骤S302中,令服务端3”于客户端I”以所分配到的网络地址连结服务端3”时,依据客户端I”的网络地址至认证模块50中提取客户端I”的客户端信息。于步骤S303中,令服务端3”依据该客户端信息以预定规则产生或选择相对应的
演算法。于步骤S304中,令服务端3”的服务器30”于提供网页给客户端I”时,由该网页提供所述的演算法对客户端I”利用客户端装置10”输入至该网页上的资料进行加密,以储存至客户端装置10”中成为cookie。于步骤S305中,当客户端I”再次连结服务端3”时,令服务端3”依据如同S301至S303的方式取得客户端信息,并以预定规则产生或随机选择相对应的演算法。接着进至步骤S306。于步骤S306中,令服务端3”的服务器30”提供给客户端I”的网页利用该相对应的演算法,对储存至客户端装置10”中cookie进行解密,以将经解密的资料输入至该网页上。相较于前述第三及四实施方式所示的方法可知,本发明的安全登入网站的方法在使用cookie技术储存用户的帐号密码时,可针对不同的上网设备,例如MAC地址及/或电路信息产生或选择不同的演算法来对用户的帐号或密码等资料进行加解密,因而可防止黑客窃取他人cookie而登入网站。综上所述,本发明的安全登入网站的方法,可依据客户端的网络设备序号、网卡编号、虚拟区域网络信息、媒体访问控制器地址、及/或电路信息等客户端信息产生或选择相对应的演算法,以令提供至客户端的网页利用该演算法将输入至网页上的资料(如登入网站的帐号或密码)加密而储存为客户端装置的cookie,并利用该演算法对客户端装置的cookie进行解密,以防止黑客窃取cookie以盗用他人帐号密码而轻易登入网站的问题,进而提供一种安全登入网站。上述各实施方式仅例示性说明本发明的原理及功效,而非用于限制本发明。任何熟悉本领域的技术人员均可在不违背本发明的精神及范畴下,对上述实施方式进行修饰与改变。因此,本发明的权利保护范围,应如本发明的权利要求所列。
权利要求
1.一种安全登入网站的方法,其特征在于,包括以下步骤 1)于客户端通过网络连结服务端,由该服务端取得该客户端的客户端信息; 2)该服务端依据该客户端信息以预定规则产生或选择相对应的演算法;以及 3)该服务端于提供网页予该客户端时,由该网页提供该演算法将该客户端所输入至该网页上的资料加密,并储存于该客户端。
2.如权利要求I所述的安全登入网站的方法,其特征在于,还包括以下步骤4)判断该客户端是否再次连结该服务端,若是,则该服务端取得该客户端的该客户端信息,并依据该客户端信息以预定规则产生或选择相对应的演算法;以及5)该服务端提供给该客户端的网页利用该相对应的演算法,对所述储存至该客户端的资料进行解密,以将经解密的资料输入至该网页上。
3.如权利要求I所述的安全登入网站的方法,其特征在于,步骤I)还包括以下步骤该服务端通过该网络的第二层取得该客户端信息。
4.如权利要求3所述的安全登入网站的方法,其特征在于,该客户端信息为虚拟区域网络信息或媒体访问控制器地址。
5.如权利要求I所述的安全登入网站的方法,其特征在于,该客户端通过该网络由一网关而连结至该服务端,且步骤I)还包括以下步骤该网关通过该网络的第二层取得该客户端信息,并通过该网络的第三层提供该客户端信息至该服务端。
6.如权利要求5所述的安全登入网站的方法,其特征在于,步骤(I)还包括以下步骤该客户端使用以太网的点对点协议或动态主机设定协议方式连接至该网络。
7.如权利要求5所述的安全登入网站的方法,其特征在于,还包括以下步骤该网关提供包括电路信息及媒体访问控制器地址的客户端信息予该服务端。
8.如权利要求7所述的安全登入网站的方法,其特征在于,该服务端具有认证模块和网络地址分配模块,且步骤I)还包括以下步骤 1-1)该认证模块自该网关取得并储存包括该电路信息及该媒体访问控制器地址的客户端信息,再由该网络地址分配模块分配网络地址予该客户端;及 1-2)该服务端于该客户端以所分配到的网络地址连结该服务端时,依据该客户端的网络地址至该认证模块中提取该客户端的客户端信息。
9.如权利要求8所述的安全登入网站的方法,其特征在于,步骤1-1)还包括以下步骤该认证模块于该客户端连结至该服务端时,对该客户端进行身份认证。
10.如权利要求I所述的安全登入网站的方法,其特征在于,步骤2)还包括以下步骤2-1)该服务端储存该相对应的演算法,且步骤3)后还包括以下步骤4)判断该客户端是否再次连接该服务端,若是,则该服务端取得该客户端的客户端信息;以及5)该服务端依据该客户端信息取出该相对应的演算法,再该服务端的服务器提供给该客户端的网页利用该相对应的演算法,对储存至该客户端的客户端装置中的资料进行解密,以将经解密的资料输入至该网页上。
11.如权利要求I所述的安全登入网站的方法,其特征在于,该客户端信息为该客户端的网络设备序号、网卡编号、虚拟区域网络信息、媒体访问控制器地址、或电路信息。
全文摘要
本发明提供一种安全登入网站的方法,令客户端通过网络连结服务端以供服务端取得客户端的客户端信息,接着令服务端依据该客户端信息以预定规则产生或选择相对应的演算法,则服务端的服务器提供给客户端的网页利用该演算法将客户端利用客户端装置输入至该网页上的资料加密而储存至客户端装置中。当客户端再次连结服务端而登入服务器时,令服务端提供给客户端的网页利用该相对应的演算法对储存至客户端装置中的资料进行解密,以将经解密的资料输入至该网页上。据此,本发明可防止黑客窃取他人cookie,以维护使用者信息安全。
文档编号H04L29/06GK102739629SQ201110122858
公开日2012年10月17日 申请日期2011年5月5日 优先权日2011年4月14日
发明者李蒸勋, 王湘博, 赖又新 申请人:中华电信股份有限公司