专利名称:一种安全登陆方法和装置的利记博彩app
技术领域:
本发明涉及信息安全领域,特别涉及一种安全登陆方法和装置。
背景技术:
如今,人们越来越依赖于网络,各种各样的网络服务正在逐步渗透到人们的学习、 生活、工作之中。网上提供的资源和服务很多都只提供给注册用户,注册时,有的网站还需 要用户提供其私密信息,如用户的真实姓名,电话,身份证号码等。为了方便记忆,许多用户会用相同的登陆信息注册不同的网站,如账号和密码等。 由于不同网站的安全性存在差异,攻击者可能很容易地侵入低安全性的网站,通过窃取这 些低安全性网站的数据,获取可用于其它网站的用户登陆信息,同时,网上还充斥着大量的 钓鱼网站或其他不良网站,用来套取用户登陆信息,还有一些网站确实提供一些对用户有 用的服务,但同时也有意无意地滥用或泄漏用户的身份信息,这样使用相同或相似的注册 信息就有可能泄露比较重要的身份信息,如淘宝账号等。而若针对不同的网站采用不同的 登陆信息,则记忆困难,不易实现。并且,不管采用相同还是不同的用户信息,侵入者都可能 侵入服务器端的数据库窃取用户身份信息,实施攻击者包括木马软件、黑客或品行不端的 系统管理员,这些攻击直接窃取数据库中的身份信息,一旦数据库系统设计不当且安全措 施出现漏洞而被成功攻击,其后果极为严重。
发明内容
为了保证用户信息的安全,本发明实施例提供了一种安全登陆方法和装置。技术 方案如下一种安全登陆方法,所述方法包括获取欲访问网站对应的服务器提供的秘密数据;采用所述秘密数据对原始登陆信息进行变换以得到与所述网站相对应的提交登 陆信息;及将所述提交登陆信息发送给所述欲访问网站对应的服务器。一种安全登陆装置,所述装置包括获取模块,用于获取欲访问网站对应的服务器提供的秘密数据;变换模块,用于采用所述获取模块获得的秘密数据对原始登陆信息进行变换以得 到与所述网站相对应的提交登陆信息;发送模块,用于将所述变换模块得到的提交登陆信息发送给所述欲访问网站对应 的服务器。本发明实施例提供的技术方案带来的有益效果是通过对用户的原始登陆身份信 息进行变换,得到因网站秘密数据而异的提交登陆信息,也就是说,在用户使用的原始登陆 信息相同的情况下,提交给不同网站的提交登陆信息不同,这样,用户可以用相同的原始登 陆信息注册不同的网站,便于记忆,并且避免了由于一个网站的登陆信息泄露而导致其他网站的登陆信息泄露的情况,进而可以有效保障用户信息的安全。其次,实现简单灵活,易 为各层次的网站采用。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现 有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本 发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可 以根据这些附图获得其他的附图。图1是本发明实施例1提供的安全登陆方法的流程示意图;图2是本发明实施例2提供的安全登陆方法的流程示意图;图3是本发明实施例3提供的安全登陆装置结构示意图。
具体实施例方式实施例1为了提高信息的安全,本发明实施例提供了一种安全登陆方法,参见图1,该方法 包括以下步骤101 获取欲访问网站对应的服务器提供的秘密数据。其中,所述秘密数据包括服务器秘密数和/或非对称加密密钥,服务器秘密数可 以为空。该步骤可以在用户端与服务器建立连接的时候完成。102:采用前述秘密数据对原始登陆信息进行变换以得到与该网站相对应的提交
登陆信息。进一步地,该步骤具体包括采用数据融合算法对所述秘密数据和所述用户原始 登陆信息进行融合,并采用单向函数对所述融合后的数据进行变换。所述数据融合算法 及单向函数可以由服务器通过协商参数指定,也可以采用缺省设置,如采用MD5 (Message Digest Algorithm,消息摘要算法)。在服务器秘密数可以为空的情况下,采用所述非对称 加密密钥对用户原始登陆信息进行变换,即采用数据融合算法对所述非对称加密密钥和用 户原始登陆信息进行融合。具体地,可以根据用户选择的操作类型来选择相应的原始登陆信息进行变换。前 述操作类型包括注册、登陆、修改密码、找回密码,原始登陆信息包括原始账号、原始密码、 原始密码找回问题及答案等。103 将提交登陆信息发送给欲访问网站对应的服务器。进一步地,可以先将提交登陆信息加密后再发送给欲访问网站对应的服务器。加 密算法可以由服务器指定,也可以采用缺省配置。优选采用非对称加密算法。本发明实施例提供的技术方案带来的有益效果是通过对用户的原始登陆身份信 息进行变换,得到因网站秘密数据而异的提交登陆信息,也就是说,在用户使用的原始登陆 信息相同的情况下,提交给不同网站的提交登陆信息不同,这样,用户可以用相同的原始登 陆信息注册不同的网站,便于记忆,并且避免了由于一个网站的登陆信息泄露而导致其他 网站的登陆信息泄露的情况,进而可以有效保障用户信息的安全。
实施例2本发明实施例提供了一种安全登陆方法,该方法包括以下步骤201 获取欲访问网站对应的服务器提供的秘密数据。其中,所述秘密数据包括服 务器秘密数和/或非对称加密密钥,服务器秘密数可以为空。具体地,该步骤可以在用户端与服务器建立连接的时候实现,详细流程如下。2011 用户端向欲访问网站对应的服务器发送连接请求消息C0NNECT(IDC,TYPE, Kcp);其中,IDC是用户主机生成的连接标识,用户主机与该服务器根据此IDC保证一个 时间周期内同一 IDC只会产生一个连接,必要时,用户主机可重复发出相同IDC的连接请 求;TYPE用来指示操作类型,分为注册、登陆、修改密码、找回密码;Kcp为用户端的加密公 钥,也作为用户端的身份标识;Kcp字段也可以用包含Kcp的公钥证书代替,须在TYPE中增 加一个标志位来表示。服务器只接受具有经过认证的Kcp的连接请求消息。2012 服务器向用户端发送连接响应消息,其中包含所述秘密数据;具体地,前述服务器向用户端发送连接响应消息CONNECTED (EK。p(Ksp,Τ, PP, SID, TYPE));其中,E是公钥加密算法,采用Kcp为加密密钥;Ksp是服务器公钥,只有知道解密 密钥Kcs的用户端才能解读CONNECTED消息,从而获得下一步所需的Ksp ;T是防止重放攻 击的时间戳,用于保证消息传输过程的安全;PP是协商参数,用于指定是否采用欲访问网 站对应的秘密数据对原始帐号进行变换以得到与该网站相对应的提交帐号及使用何种秘 密数据、数据融合算法、加密算法以及其他具有选择性的信息;SID是该服务器恒定不变的 服务器秘密数,SID可以为空,但相应地,将不能作为变换参数使用。202:采用获得的秘密数据对原始登陆信息进行变换以得到与该网站相对应的提 交登陆信息。具体地,可以根据用户选择的操作类型来选择相应的原始登陆信息进行变换。 前述操作类型包括注册、登陆、修改密码、找回密码,原始登陆信息包括原始账号、原始密 码、原始密码找回问题及答案等。进一步地,用户端在收到CONNECTED消息后,用用户端的私钥Kcs对消息进行解 密,获取CONNECTED消息中服务器公钥Ksp、欲访问网站对应的服务器的服务器秘密数SID、 协商参数PP。具体地,如果协商参数PP不要求用户端提供原始帐号,即表示须对原始账 号进行变换(这是缺省操作),则须用协商参数PP指定的数据融合算法对服务器秘密数 SID (或服务器公开密钥Ksp)与原始帐号进行融合,并用PP指定的数据融合算法对服务器 秘密数SID (或服务器公开密钥Ksp)与原始口令进行融合,用PP指定的数据融合算法对服 务器秘密数SID (或服务器公开密钥Ksp)与原始找回口令问题进行融合,并用协商参数PP 指定的单向函数对融合后的数据进行变换,生成与操作类型相对应的提交登陆信息。203:加密前述提交登陆信息并将加密后的所述提交登陆信息发送给所述欲访问 网站对应的服务器。具体地,若操作类型为注册,则生成注册认证消息REGISTRY (EKsp (REGISTRY, Τ, PP, MD (UID, KU),MD (PASSWORD, KP),Problem, MD (ANS, ΚΑ)))给服务器;其中,E 是协商参数 PP 指定的非对称加密算法,用以对用户身份认证数据进行加密,服务器公钥Ksp为加密密钥; MD是协商参数PP指定的某种数据融合与单向变换一体化的函数,具体用于用协商参数PP 中指定的数据融合算法对MD括号中的两个参数进行融合,然后采用单向函数对所述融合后的数据进行变换;参数KU、KP、KA均可以是SID或Ksp,具体由协商参数PP指定;UID是 用户原始帐号;PASSWORD是用户原始口令;Problem与ANS分别是原始找回口令问题及答 案,亦可以为空,但相应地,用户将不能使用找回密码功能。不过,可以通过修改本实施方案 使用户可以在修改密码时补上找回口令问题及答案。服务器收到REGISTRY消息后,用自己的私钥Kss解读REGISTRY包,获取提交账号 MD (UID, KU)和提交口令MD (PASSWORD,KP),分别作为用户帐号及用户口令存入数据库;若 ftOblem与ANS不为空,也同时存入用户记录中。如果协商参数PP要求用户端提供原始帐号,具体过程与上面类似,只是不需要对 原始账号进行变换。若操作类型为登陆,则生成登陆认证消息LOGIN(EKsp(LOGIN,Τ, PP, MD (UID, KU), MD (PASSWORD, KP)))给服务器,其中,E是协商参数PP指定的协议规定范围内的某种非对 称加密算法,用以对用户身份认证数据进行加密,服务器公钥Ksp为加密密钥;MD是协商参 数PP指定的某种数据融合与单向变换一体化函数,具体用于用协商参数PP中指定的数据 融合算法对MD括号中的两个参数进行融合,然后采用单向函数对所述融合后的数据进行 变换;参数KU和KP均可以是SID或Ksp,具体由协商参数PP指定;UID是用户原始帐号; PASSWORD是用户原始口令。服务器收到LOGIN消息后,用自己的私钥Kss解读LOGIN包,然后获取提交账号 MD (UID, KU)和提交口令MD (PASSWORD,KP),分别与数据库中保存的提交账号MD (UID,KU) 和提交口令MD(PASSWORD,KP)比对;如果用户提交的提交账号MD(UID,KU)和提交口令 MD (PASSWORD, KP)与服务器中数据一致,则登陆成功,如果不一致,返回错误信息,要求用户 重新输入。如果协商数据PP要求用户端提供原始帐号,具体过程与上面类似,只是不需要对 原始账号进行变换。若操作类型为修改密码,则生成修改密码认证消息M0DIFYKEY (EKsp (MODIFYKEY, Τ, PP, MD (UID, KU),MD (PASSffORDold, KP),MD (PASSTORDnew,KP)))给服务器;其中,E 是协商参数 PP指定的某种非对称加密算法,用以对用户身份认证数据进行加密,服务器公钥Ksp为加 密密钥;MD是协商参数PP指定的某种数据融合与单向变换一体化函数,具体用于用协商参 数PP中指定的数据融合算法对MD括号中的两个参数进行融合,然后采用单向函数对所述 融合后的数据进行变换;参数KU和KP均可以是SID或Ksp,具体由协商参数PP指定;UID 是用户原始帐号;PASSWORD-是修改前的原始口令,PASSffORDnew是修改后的原始口令。服务器收到MODIFYKEY消息后,用自己的私钥Kss解读MODIFYKEY包,然后获取提 交账号MD (UID,KU)和提交修改前口令MD (PASSffORDold, KP),分别与户数据库中保存的提交 账号MD (UID,KU)和提交口令MD (PASSWORD, KP)比对,如果无误,则允许修改密码,服务器用 提交修改后口令MD (PASSWORDnew,KP)替换数据库中保存的提交口令MD (PASSWORD — , KP)。如果协商数据PP要求用户端提供原始帐号,具体过程与上面类似,只是不需要对 原始账号进行融合运算。若操作类型为找回密码,则生成找回密码认证消息和问题回答认证消息。在发给服务器的找回密码认证消息REQUEST(EKsp(REQUEST, Τ, PP, MD(UID, KU))) 中,E是协商参数PP指定的某种非对称加密算法,用以对用户身份认证数据进行加密,服务器公钥Ksp为加密密钥;MD是协商参数PP指定的某种数据融合与单向变换一体化函数,具 体用于用协商参数PP中指定的数据融合算法对MD括号中的两个参数进行融合,然后采用 单向函数对所述融合后的数据进行变换;参数KU可以是SID或Ksp,具体由协商参数PP指 定;UID是用户原始帐号。服务器收到REQUEST消息后,用自己的私钥Kss解读REQUEST包,然后获取提交账 号MD(UID,KU)与用户数据库中保存的提交账号MD(UID,KU)比对;如果用户提交的提交账 号MD(UID,KU)与服务器中数据一致,且用户记录中找回口令问题不为空,则服务器提取找 回口令问题,返回问题给用户端;否则返回“无法找回口令”消息给用户端。具体说来,服务器生成密码找回问题消息PROBLEM(EKcp (PROBLEM, Τ, PP, Problem)) 发送给用户端;其中,E是公钥加密算法,采用用户端的公开密钥Kcp为加密密钥;只有知道 解密密钥Kcs的用户才能解读PROBLEM消息;PP是协商参数用于指定是否执行采用欲访问 网站对应的秘密数据对原始登陆信息进行变换以得到与所述网站相对应的提交登陆信息 及使用何种变换参数和变换算法;Problem是找回口令问题。用户端在收到返回的PROBLEM消息后,生成问题回答认证消息ANW(EKsp(ANW,Τ, PP, MD (ANS, ΚΑ),MD (UID, KU),MD (PAS SWORDnew,KP)))给服务器;其中,E 是协商参数 PP 指 定的某种非对称加密算法,用以对用户身份认证数据进行加密,服务器公钥Ksp为加密密 钥;MD是协商参数PP指定的某种数据融合与单向变换一体化函数,具体用于用协商参数PP 中指定的数据融合算法对MD括号中的两个参数进行融合,然后采用单向函数对所述融合 后的数据进行变换;参数KU、KA、KP均可以是SID或Ksp,具体由协商参数PP指定;UID是 用户原始帐号;ANS是用户针对问题给出的答案,PASSffORDnew是修改后的原始口令。服务器在收到ANW消息后,用自己的私钥Kss解读ANW包,然后获取提交账号 MD (UID,KU)和提交答案MD (ANS,KA),与用户数据库中保存的提交账号MD (UID,KU)和找回 口令问题答案MD(ANS,ΚΑ)比对;如果用户提交的提交账号MD(UID,KU)和找回口令问题答 案MD(ANS,KA)与服务器中数据一致,则用提交修改后的口令MD (PASSWORDnew,KP)替换用户 数据库中保存的提交口令,重置密码成功,否则返回失败信息。本实施例中为了提高数据的安全性,用于加密提交数据的加密算法为非对称加密 算法,如经典的RSA算法等,但是本发明也可以采用对称加密算法(在协商数据中给出算法 及密钥),具体的加密算法以提高消息数据传输过程的安全性为前提。本发明实施例提供的技术方案带来的有益效果是通过对用户的原始登陆身份信 息进行变换,得到因网站秘密数据而异的提交登陆信息,也就是说,在用户使用的原始登陆 信息相同的情况下,提交给不同网站的提交登陆信息不同,这样,用户可以用相同的原始登 陆信息注册不同的网站,便于记忆,并且避免了由于一个网站的登陆信息泄露而导致其他 网站的登陆信息泄露的情况,进而可以有效保障用户信息的安全。实施例3本发明实施例提供了一种安全登陆装置,参见图3,该装置包括获取模块301,用于获取欲访问网站对应的服务器提供的秘密数据;变换模块302,用于采用获取模块301获得的秘密数据对原始登陆信息进行变换 以得到与网站相对应的提交登陆信息;发送模块303,用于将变换模块302得到的提交登陆信息发送给欲访问网站对应的服务器。进一步地,所述变换模块302包括融合单元,用于采用欲访问网站指定的数据融合算法对秘密数据和用户原始登陆 信息进行融合,其中该网站通过协商参数指定某种数据融合算法;变换单元,用于采用单向函数对融合单元融合后的数据进行变换。进一步地,该装置还包括加密模块,用于加密所述变换模块得到的提交登陆信息。本发明实施例的安全登陆装置可以是独立于主机的输入设备,也可以是主机上的 安全输入模块,但都必须保证输入身份信息和显示身份信息过程的安全。本发明实施例提供的技术方案带来的有益效果是通过对用户的原始登陆身份信 息进行变换,得到因网站秘密数据而异的提交登陆信息,也就是说,在用户使用的原始登陆 信息相同的情况下,提交给不同网站的提交登陆信息不同,这样,用户可以用相同的原始登 陆信息注册不同的网站,便于记忆,并且避免了由于一个网站的登陆信息泄露而导致其他 网站的登陆信息泄露的情况,进而可以有效保障用户信息的安全。以上实施例提供的技术方案中的全部或部分内容可以通过软件编程实现,其软件 程序存储在可读取的存储介质中,存储介质例如计算机中的硬盘、光盘或其他可移动存储
直ο以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和 原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种安全登陆方法,其特征在于,所述方法包括获取欲访问网站对应的服务器提供的秘密数据;采用所述秘密数据对原始登陆信息进行变换以得到与所述网站相对应的提交登陆信 息;及将所述提交登陆信息发送给所述欲访问网站对应的服务器。
2.根据权利要求1所述的安全登陆方法,其特征在于,所述秘密数据包括服务器秘密 数和/或非对称加密密钥。
3.根据权利要求2所述的安全登陆方法,其特征在于,所述服务器秘密数为空,则采用 所述非对称加密密钥对用户原始登陆信息进行变换以得到与所述网站相对应的提交登陆 fn息ο
4.根据权利要求1所述的安全登陆方法,其特征在于,所述采用所述秘密数据对原始 登陆信息进行变换以得到与所述网站相对应的提交登陆信息,具体包括采用数据融合算法对所述秘密数据和所述用户原始登陆信息进行融合,并采用单向函 数对所述融合后的数据进行变换。
5.根据权利要求1-4任一项所述的安全登陆方法,其特征在于,在所述将所述提交登 陆信息发送给所述欲访问网站对应的服务器之前,还包括加密所述提交登陆信息。
6.根据权利要求5所述的安全登陆方法,其特征在于,所述加密所提交登陆信息,具体 包括采用所述服务器指定的加密算法加密所述提交身份信息,所述服务器通过协商参数指 定所述加密算法。
7.根据权利要求1-4任一项所述的安全登陆方法,其特征在于,所述原始登陆信息包 括原始账号,所述方法还包括根据所述服务器的指令判断是否采用所述秘密数据对原始帐号进行变换,以得到与所 述网站相对应的提交帐号,所述指令通过协商参数获得。
8.一种安全登陆装置,其特征在于,所述装置包括获取模块,用于获取欲访问网站对应的服务器提供的秘密数据;变换模块,用于采用所述获取模块获得的秘密数据对原始登陆信息进行变换以得到与 所述网站相对应的提交登陆信息;发送模块,用于将所述变换模块得到的提交登陆信息发送给所述欲访问网站对应的服 务器。
9.根据权利要求8所述的安全登陆装置,其特征在于,所述变换模块包括融合单元,用于采用数据融合算法对所述秘密数据和所述用户原始登陆信息进行融合;变换单元,用于采用单向函数对所述融合单元融合后的数据进行变换。
10.根据权利要求8或9所述的安全登陆装置,其特征在于,还包括加密模块,用于加密 所述变换模块得到的提交登陆信息。
全文摘要
本发明公开了一种安全登陆方法和装置,属于信息安全领域。所述方法包括获取欲访问网站对应的服务器提供的秘密数据;采用所述秘密数据对原始登陆信息进行变换以得到与所述网站相对应的提交登陆信息;将所述提交登陆信息发送给所述欲访问网站对应的服务器。所述安全登陆装置包括获取模块、变换模块和发送模块。本发明通过对用户的原始登陆信息进行变换,得到因网站秘密数据而异的提交登陆信息,既可以方便用户记忆,又可以提高登陆信息的安全性,而且其实现较为简单易行。
文档编号H04L29/06GK102143190SQ20111012094
公开日2011年8月3日 申请日期2011年5月11日 优先权日2011年5月11日
发明者程元斌 申请人:江汉大学