專利名稱:在線身份的雙因子認證方法和系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及數(shù)據(jù)信息傳輸技術�����,特別涉及基于互聯(lián)網(wǎng)實現(xiàn)保密或安全通信的 技術��,尤其涉及對客戶端使用者進行身份認證的方法和系統(tǒng)�。
背景技術:
隨著互聯(lián)網(wǎng)技術發(fā)展,基于互聯(lián)網(wǎng)的在線服務領域被不斷拓展���。很多在線服 務已經(jīng)深入到人們的日常生活中��,比如在線郵局�����、網(wǎng)上購物�����、WEB辦公系統(tǒng)�����、在線銀行或者 在線論壇��。這些信息系統(tǒng)都基于一種互聯(lián)網(wǎng)協(xié)議��,即HTTP (Hypertext Transfer Protocol) 超文本傳輸協(xié)議���,由服務器(Server)和網(wǎng)絡瀏覽器(Browser)所構建,構成所謂的B/S 體系����。瀏覽器提交用戶對資源的請求給服務器���,服務器返回以HTML (Hypertext Markup Language,超文本鏈接標記語言)編碼形式的資源(圖文、音頻��、視頻���、動畫等等)����,由瀏 覽器負責顯示給用戶�����。這種體系具有軟件易于維護����、升級方便,且用戶易于體驗或使用的 優(yōu)點�。目前主流的瀏覽器有微軟開發(fā)的Internet Explorer,由Mozilla開源而來的Firefox, 以及可以兼容很多平臺的Opera�����。
下面就目前B/S體系系統(tǒng)的身份認證方式及其不足作一些介紹��。
最常用的方式是要求用戶提供用戶名和密碼來實現(xiàn)登錄和認證。這種方式仍然為目前 絕大多數(shù)網(wǎng)站所用����。它的最大弱點是傳輸時缺乏安全性�����。用戶名和密碼組合純粹依靠鍵盤 輸入且不使用SSL連接傳輸時����,該組合可以被傳輸中間轉發(fā)登錄數(shù)據(jù)相關數(shù)據(jù)包的任何網(wǎng) 絡設備看到,例如���,數(shù)據(jù)嗅探器(一種可以截獲網(wǎng)絡傳輸數(shù)據(jù)的軟件或者硬件)或者路由 器等���。再者,這種用戶身份認證的方式�����,還允許多個用戶共享一個帳號來進行登錄����。當然�, 這種用戶名/密碼的認證方式存在幾種變形以提高安全性�,但基于其靜態(tài)的數(shù)據(jù)認證方式, 由于密碼輸入手段不夠安全以及服務器營運方很難制止用戶的共享行為���,用戶資料總是不 可避免會被泄露��。
作為對上述靜態(tài)密碼認證方式的改進�,現(xiàn)有技術還提出了雙因子認證方式���,該方式除 了用戶名和密碼以外���,還需要一個硬件作為識別身份的憑證,并使用瀏覽器插件軟件來實 現(xiàn)對該硬件的訪問�。這個硬件有兩個作用, 一是能夠響應動態(tài)密碼�,二是用戶不是那么容 易共享。但是�����,出于安全方面的考慮�,瀏覽器都被設計成不能隨意訪問本機的硬件系統(tǒng)或 文件系統(tǒng)等資源。故為了實現(xiàn)該認證方式����,用戶每更換新PC進行登錄時��,就必須安裝瀏覽 器插件�。所述插件是一種可以和瀏覽器交互的軟件模塊���,主要用來擴展瀏覽器的功能。因 為各種瀏覽器的插件實現(xiàn)方式各不相同�,且激活插件還需要對瀏覽器的安全設置作相應調 整,大多數(shù)用戶因不具備專業(yè)知識是難以進行以上操作的
發(fā)明內容
本發(fā)明要解決的技術問題是針對上述現(xiàn)有技術的不足而提出一種雙因子身 份認證方法和系統(tǒng)��,不需用戶手動調整瀏覽器設置�,從而既解決各種認證安全問題,又便 于用戶在多種瀏覽器上兼容使用認證硬件����。
為解決上述技術問題,本發(fā)明的基本構思為�����,在現(xiàn)有雙因子認證的基礎上�����,于客戶端 增加一水機WEB服務器,用來響應來自瀏覽器的請求��,并將該請求轉換成相應的與所認證 硬件交互的過程���。該本機WEB服務器的軟件用能兼容各瀏覽器的HTTP協(xié)議來設計�����,并以XML (Extensible Mark叩Language擴展標記語言)或者HTML形式來返回數(shù)據(jù)�,這些數(shù)據(jù)能 夠被來自遠程服務器端的腳本文件使用并與該服務器端的WEB服務器交互��,從而可以免除 對用戶本機搡作的復雜要求���。
作為實現(xiàn)本發(fā)明構思的技術方案是��,提供一種在線身份的雙因子認證系統(tǒng)�����,包括通過 互聯(lián)網(wǎng)相連接的服務器端和用戶端���;所述服務器端包括連接互聯(lián)網(wǎng)的服務器硬件Hl,以及 基于該硬件H1的WEB服務器S1;所述用戶端包括連接互聯(lián)網(wǎng)的本機電腦H2以及基于該電腦的 瀏覽器S2;所述用戶端還包括通過預定接口與所述本機電腦相連的認證硬件H3,尤其是, 所述用戶端還包括基于所述本機電腦H2運行的本機服務器軟件所構成的本機WEB服務器S3����, 接收所述瀏覽器S2的HTTP請求,并將該請求轉換成與所述認證硬件H3的交互過程���,再將該 交互結果返回到對所述HTTP請求的應答數(shù)據(jù)里��;所述瀏覽器S2將該交互結果結合到登錄信 息里提交給所述WEB服務器S1���。
作為實現(xiàn)本發(fā)明構思的技術方案還可以是,提供一種在線身份的雙因子認證方法�,基
于包括服務器端和用戶端的雙因子認證系統(tǒng)�,所述服務器端包括連接互聯(lián)網(wǎng)的服務器硬件 H1及基于該硬件的WEB服務器S1;包括步驟
A. 用戶通過基于用戶端本機電腦H2的瀏覽器S2來向服務器端提出訪問請求;
B. 所述WEB服務器S1提供HTML內容供所述瀏覽器S2產(chǎn)生登錄頁面��,以要求用戶進行登 錄�;
C. 用戶輸入數(shù)據(jù)并點擊登錄,所述瀏覽器S2將登錄數(shù)據(jù)提交給所述WEB服務器S1;
D. 所述WEB服務器S1確認用戶是否合法���,若是����,則接受用戶請求,允許用戶訪問����; 尤其是,還包括
當所述本機電腦H2未安裝有本機服務器軟件時在該電腦上安裝該軟件以設置本機 WEB服務器S3的步驟����;
啟動運行所述本機WEB服務器S3的步驟; 從而所述步驟C中用戶點擊登錄后包括步驟
c2.所述本機WEB服務器S3接收并響應來自瀏覽器S2的預定HTTP請求����,查找與
本機電腦H2連接的認證硬件H3并與該認證硬件H3交互,獲得應答碼R; c3.該本機WEB服務器S3將所述應答碼R返回給所述瀏覽器S2����,以作為所述登錄數(shù)據(jù) 的--部分。
上述方案中�����,所述步驟C還包括步驟
cl.所述瀏覽器S2使用XMLHttpRequest對象來提交所述HTTP請求��; 從而��,所述步驟c3中����,本機WEB服務器S3是以符合XML或HTML規(guī)范形式的數(shù)據(jù)來返回所述應 答碼R的���。
上述方案的步驟B中,所述WEB服務器S1還發(fā)送一個挑戰(zhàn)碼CH給所述瀏覽器S2;從而 步驟c2中����,所述本機WEB服務器S3對所述HTTP請求的響應包括接收該挑戰(zhàn)碼CH。
上述方案中����,步驟c2對所述認證硬件的搡作包括所述本機WEB服務器S3查找并判斷本 機電腦H2是否連接認證硬件H3,若否�����,則設置所述應答碼R為一預定的錯誤代碼���;若是, 則將所述挑戰(zhàn)碼CH發(fā)送給該認證硬件����,接收由該認證硬件產(chǎn)生的應答碼R。
上述方案中�����,步驟c2對所述認證硬件的操作包括所述本機WEB服務器S3查找并判斷本 機電腦H2連接認證硬件H3后,通過屏幕顯示要求用戶輸入該認證硬件的激活碼�;進而判斷 該激活碼是否能夠正確激活認證硬件,若否����,則設置所述應答碼R為一預定的非法代碼;若 是�,則將所述挑戰(zhàn)碼CH發(fā)送給該認證硬件,接收由該認證硬件產(chǎn)生的應答碼R��。
采用上述各技術方案���,既解決了不同瀏覽器的兼容性問題��,又可以有效地使B/S系統(tǒng) 引入雙因子認證的動態(tài)密碼方式�,從而保護了用戶的敏感數(shù)據(jù)���,使在線服務更安全�����。本發(fā) 明還允許引入認證硬件的本地激活處理�����,使得他人非法擁有了認證硬件也無法實施登錄遠 程WEB服務器����。本發(fā)明還便于B/S系統(tǒng)從靜態(tài)的用戶/密碼認證實現(xiàn)升級并繼續(xù)保持原有的 認證體系和遠程WEB服務器軟件,從而低成本地實現(xiàn)系統(tǒng)的安全保障�。
附圖i兌明
圖1是本發(fā)明認證系統(tǒng)的構成示意圖
圖2是本發(fā)明方法實施例的用戶登錄頁面示意圖 圖3是本發(fā)明方法認證硬件激活的對話框示意圖 圖4是本發(fā)明用戶端認證過程流程圖 圖5是本發(fā)明用戶端的認證流程示意圖
具體實施方式
下面,結合附圖所示之最佳實施例進一步闡述本發(fā)明��。
圖l示意了本認證系統(tǒng)的構成��,它包括通過互聯(lián)網(wǎng)連接的服務器端和用戶端����, 一個服務 器端可以對應連接多個用戶端。服務器端包括服務器硬件H1及運行在該服務器硬件上的服 務器軟件S1����。所述服務器硬件H1包括擁有互聯(lián)網(wǎng)地址的一臺或多臺電腦,例如TCP/IP(傳 輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議)地址為64. 233. 189. 104的主機H1�。服務器軟件S1指基于硬件H1運 行���、并能按預定協(xié)議(例如HTTP協(xié)議)來滿足多個客戶端請求�����,從而提供相應資源(例如 網(wǎng)頁�����、文件)給客戶端的軟件�����,本文中簡稱之為WEB服務器(WEB SERVER)��。某些WEB服務 器在接受用戶的訪問請求之前需要認證該用戶身份��。以Apache服務器軟件為例��,它通常監(jiān) 聽TCP的80端口��,根據(jù)用戶的HTTP請求和數(shù)據(jù)庫資料生成相應的應答頁面����。
對于每個用戶端,至少包括連接互聯(lián)網(wǎng)(例如TCP/IP地址為127. 0. 0. 1)的本機電腦H2���,
以及基于該電腦運行的瀏覽器軟件S2 (本文簡稱"瀏覽器S2")����,例如但不限于Internet Explorer或Firefox,它將用戶的請求通過所述本機電腦H2�����、互聯(lián)網(wǎng)和服務器硬件H1發(fā)送給 WEB服務器Sl,并接收相應的應答頁面加以顯示�����。
本發(fā)明認證系統(tǒng)用戶端還包括通過預定接口與所述本機電腦H2相連的認證硬件H3��,所 述接口例如但不限于USB接口�����。該認證硬件至少包括微處理器和RAM/ROM等存儲單元�����,從而 具有相應的計算或存儲能力��,可以存儲服務器端事先提供的合法應答碼R組集����,或者可以按 服務器端事先設置的相關算法或邏輯關系來計算并提供合法應答碼R。
本發(fā)明認證系統(tǒng)用戶端還包括基于所述本機電腦H2運行的本機服務器軟件(本文簡稱 "本機WEB服務器")S3,接收來自本機瀏覽器的HTTP請求�,并將該請求轉換成該本機WEB 服務器與所述認證硬件H3的交互過程。它可以監(jiān)聽本機電腦H2的預定TCP/IP端口 �����,具體端 口號可以通過配置來更改�。
通常B/S系統(tǒng)的認證方法包括步驟
A. 用戶通過瀏覽器S2來向服務器端提出訪問請求運行瀏覽器軟件,例如Internet Explorer,然后在地址欄輸入遠程服務器H1的域名或者IP地址����,從而將第一個請求 發(fā)送給遠程所述WEB服務器S1;
B. 所述WEB服務器S1提供HTML內容供瀏覽器S2產(chǎn)生登錄頁面,可以如圖2所示為普通 的用戶名/密碼登錄界面���,以要求用戶進行登錄���;
C. 用戶輸入數(shù)據(jù)并點擊登錄,所述瀏覽器S2將登錄數(shù)據(jù)提交給遠程所述WEB服務器 Sl;對應于圖2的實施例�,所述登錄數(shù)據(jù)包括用戶輸入的用戶名和/或密碼;
D. 所述WEB服務器S1確認用戶是否合法���,若是���,則接受用戶請求���,允許用戶訪問。
本發(fā)明基于上述認證系統(tǒng)�,還包括步驟
當用戶端本機電腦H2未安裝有本機服務器軟件時在該電腦上安裝該軟件以設置本機 WEB服務器S3;
啟動運行所述本機WEB服務器;這樣可以使該本機WEB服務器占用并監(jiān)聽預定的TCP/IP 端口�,例如但不限于本機IP地址,即127. 0.0.1���,的預定端口�����。具體端口號可以與服務器端 握手約定�����,因屬于現(xiàn)有技術�����,不在此贅述�����。
從而上述步驟C中用戶點擊登錄后包括以下步驟
cl.所述瀏覽器S2提交預定的HTTP請求���;本發(fā)明實施例考慮到瀏覽器的兼容性���, 以及用戶交互的友好性�����,使用XMLHttpRequest對象來異步提交該請求��,但不排 除使用FRAME/IFRAME類似的技巧來發(fā)出同步HTTP請求���;這些同等替代均為現(xiàn) 有技術����,不另贅述�����;
c2.所述本機WEB服務器S3接收并響應該請求�����,査找與本機電腦H2連接的認證硬
件H3并與該認證硬件交互,獲得應答碼R; c3.該本機WEB服務器S3將所述應答碼R返回給所述瀏覽器S2��,以作為所述登錄數(shù)據(jù)
的一部分��。在本實施例中�,所述應答碼R是以符合XML或HTML規(guī)范形式的數(shù)據(jù)來
返回的。
為此�,可以利用現(xiàn)有技術在上述步驟B的HTML內容中包括一些不被顯示的腳本(SCRIPT)代 碼,以對應于用戶的登錄點擊�,來啟動瀏覽器S2提交預定請求。例如
<input type="button" name="Button" value-"登錄"onCUck="DoLocaiAuthentication();">
當用戶點擊登錄頁面上的確認紐后����,所述頁面腳本文件被激發(fā),就可以通過執(zhí)行預先設置
^J所述DoLoca!Authenticatio.n()進程來產(chǎn)生所述XmlHttpRequest對象請求(XmlHttpRequest 是瀏覽器里支持異步HTTP請求的一種編程對象�,為現(xiàn)有技術)。因為這種解決方案涉及的 HTTP協(xié)議��、Javascript腳本以及XML���,都是平臺無關性的技術����,因此本發(fā)明可以解決不同 瀏覽器的兼容性問題�����。
本發(fā)明方法中因所述登錄數(shù)據(jù)還包括應答碼R,所述步驟D的合法性確認可以是先驗 證所述應答碼R是否合法后,再繼續(xù)進行用戶名稱和/或密碼的驗證���;當然也可以倒過來驗 證����。任何一個環(huán)節(jié)驗證不符合����,所述WEB服務器S1均會返回登錄失敗的頁面給瀏覽器S2�。
為了進一步保障系統(tǒng)的安全性,本發(fā)明中的服務器端可以給用戶端發(fā)送一隨機的挑戰(zhàn) 碼CH���,系統(tǒng)事先約定該挑戰(zhàn)碼CH與應答碼R之間的算法或邏輯關系��。因此�,可以在步驟B中 的HTML內容中包括所述不被瀏覽器S2顯示的挑戰(zhàn)碼CH����,該碼可以有一定的長度,例如但不 限于128bit,并在HTTP傳輸中被編碼成預定格式的文本�����。從而上述實施例腳本代碼激發(fā)的 請求還包括提交該挑戰(zhàn)碼CH給本機服務器S3,并期待返回應答碼R;具體如圖4所示���,包括 了上述步驟C涉及用戶�����、瀏覽器S2�、本機WEB服務器S3和認證硬件H3的完整交互過程��。其
中��,所述本機WEB服務器S3監(jiān)聽并收到所述HTTP請求后將接收或解析出挑戰(zhàn)碼CH,再傳遞該 碼到認證硬件H3并獲得應答碼R,最后將該應答碼R編碼返回到瀏覽器S2��。這樣�,步驟D中 對所述應答碼R的合法確認,就是對該應答碼R和挑戰(zhàn)碼CH之間的算法或邏輯關系確認�。從 而,本發(fā)明方法可以兼容現(xiàn)有B/S系統(tǒng)的認證方式����,很容易地實現(xiàn)系統(tǒng)升級。
這樣����,所述本機WEB服務器S3被啟動后的工作包括監(jiān)聽S2請求和查找并與認證硬件 H3交互兩部分內容���。可以如圖5流程所示�����,先進行預定TCP/IP端口的監(jiān)聽����。 一般該端口 避免選擇使用常用的TCP/IP端口,可以選用但不限于選擇9098�。當用戶點擊登錄后����,瀏覽 器S2的頁面腳本文件被激發(fā)產(chǎn)生了 HTTP請求。所述本機WEB服務器S3監(jiān)聽到該請求后���, 為了確認所述用戶的合法性�,將對認證硬件進行査找確認過程先判斷本機電腦是否連接 認證硬件�����,若否,則返回的應答碼R為一預定的錯誤代碼�����;若是�,則接收所述挑戰(zhàn)碼CH 并發(fā)送給該認證硬件,接收由該認證硬件產(chǎn)生的應答碼R�����,再將該應答碼R返回瀏覽器S2���。
另外�����,為了防止撿到該認證硬件H3的人非法登錄服務系統(tǒng)�,解決丟失認證硬件的安 全問題����,本機WEB服務器S3還可以在確認本機電腦連接有認證硬件后,產(chǎn)生一個對話框消 息���,通過屏幕顯示要求用戶輸入該認證硬件的激活碼�����,例如但不限于圖3所示��;進而判斷 所述輸入的激活碼是否能夠正確激活認證硬件�����,若否����,則設置所述應答碼R為一預定的非 法代碼;若是�,才接收所述挑戰(zhàn)碼CH并發(fā)送給該認證硬件進行后續(xù)處理。
此外����,該圖5實施例中的監(jiān)聽請求和查找認證硬件兩部分內容的次序還可以作相應調 整����。例如,所述本機服務器軟件S3被啟動后先進行認證硬件的查找���,找到認證硬件之后才 進行請求的監(jiān)聽�����。這樣���,所述瀏覽器S2將被設置成預定時間內得不到本機WEB服務器S3 應答(對應著該認證硬件不存在等情況)時����,將自動提交預定的錯誤代碼給遠程所述WEB 服務器S1����。
為了防止釣魚網(wǎng)站等偽裝服務器的攻擊,本發(fā)明還允許由用戶端對挑戰(zhàn)碼CH進行驗證。 例如�,真正的遠程所述WEB服務器S1將是把挑戰(zhàn)碼CH經(jīng)數(shù)字簽名處理后才發(fā)出的;這樣�����, 可以設置使所述本機WEB服務器S3接收到挑戰(zhàn)碼CH后����,將根據(jù)預定算法來驗證該碼的有 效性,若有效��,才進行后續(xù)對認證硬件的操作,否則返回認證錯誤代碼�,所述本機WEB服 務器S3可以拒絕對未認可的遠程服務器提供認證服務。該驗證過程還可以由認證硬件fB
來完成���,即設置所述認證硬件H3接收到挑戰(zhàn)碼CH后�����,將根據(jù)預定算法來驗證該碼的有效 性����;若有效��,才進行后續(xù)的應答碼生成和返回����,否則返回的應答碼R為一預定的認證錯誤 代碼,由所述本機WEB服務器S3拒絕提供認證服務����。
本發(fā)明中,因所述本機服務器軟件S3對普通用戶而言�,只要進行簡單的安裝和/或啟 動操作而不必去考慮根據(jù)瀏覽器的不同來安裝插件和修改相應瀏覽器的安全設置���,從而免 除了系統(tǒng)不必要的維護麻煩�����。
權利要求
1.一種在線身份的雙因子認證系統(tǒng)�����,包括通過互聯(lián)網(wǎng)相連接的服務器端和用戶端����;所述服務器端包括連接互聯(lián)網(wǎng)的服務器硬件H1,以及基于該硬件H1的WEB服務器S1�����;所述用戶端包括連接互聯(lián)網(wǎng)的本機電腦H2以及基于該電腦的瀏覽器S2��;所述用戶端還包括通過預定接口與所述本機電腦相連的認證硬件H3���,其特征在于所述用戶端還包括基于所述本機電腦H2運行的本機服務器軟件所構成的本機WEB服務器S3����,接收所述瀏覽器S2的HTTP請求���,并將該請求轉換成與所述認證硬件H3的交互過程���,再將該交互結果返回到對所述HTTP請求的應答數(shù)據(jù)里��;所述瀏覽器S2將該交互結果結合到登錄信息里提交給所述WEB服務器S1��。
2. —種在線身份的雙因子認證方法�����,基于包括服務器端和用戶端的雙因子認證系統(tǒng)�����,所述 服務器端包括連接互聯(lián)網(wǎng)的服務器硬件Hl及基于該硬件的WEB服務器Sl;包括步驟A. 用戶通過基于用戶端本機電腦H2的瀏覽器S2來向服務器端提出訪問請求����;B. 所述WEB服務器Sl提供HTML內容供所述瀏覽器S2產(chǎn)生登錄頁面��,以要求用戶 進行登錄�����;C. 用戶輸入數(shù)據(jù)并點擊登錄�,所述瀏覽器S2將登錄數(shù)據(jù)提交給所述WEB服務器S1;D. 所述WEB服務器S1確認用戶是否合法�����,若是,則接受用戶請求�����,允許用戶訪問����; 其特征在于,還包括當所述本機電腦H2未安裝有本機服務器軟件時在該電腦上安裝該軟件以設置本機 WEB服務器S3的步驟�����;啟動運行所述本機WEB服務器S3的步驟���; 從而所述步驟C中用戶點擊登錄后包括步驟c2.所述本機WEB服務器S3接收并響應來自瀏覽器S2的預定HTTP請求���,查找與本機電腦連接的認證硬件H3并與該認證硬件H3交互,獲得應答碼R; c3.該本機WEB服務器S3將所述應答碼R返回給所述瀏覽器S2��,以作為所述登錄 數(shù)據(jù)的一部分���。
3. 根據(jù)權利要求2所述在線身份的雙因子認證方法�����,其特征在于所述本機WEB服務器S3占用并監(jiān)聽本機IP地址�,即127.0.0.1,的預定端口�����。
4. 根據(jù)權利要求2或3所述在線身份的雙因子認證方法��,其特征在于所述步驟C還包括 步驟cl.所述瀏覽器S2使用XMLHttpRequest對象來提交所述HTTP請求����; 從而,所述步驟c3中�,本機WEB服務器S3是以符合XML或HTML規(guī)范形式的數(shù)據(jù)來返 回所述應答碼R的。
5. 根據(jù)權利要求2所述在線身份的雙因子認證方法��,其特征在于步驟B中��,所述WEB服務器S1還發(fā)送一個挑戰(zhàn)碼CH給所述瀏覽器S2;從而步 驟c2中���,所述本機WEB服務器S3對所述HTTP請求的響應包括接收該挑戰(zhàn)碼CH��。
6. 根據(jù)權利要求5所述在線身份的雙因子認證方法��,其特征在于���,步驟c2對所述認證硬 件的操作包括所述本機WEB服務器S3查找并判斷本機電腦H2是否連接認證硬件H3,若否�����,則 設置所述應答碼R為一預定的錯誤代碼�����;若是�,則將所述挑戰(zhàn)碼CH發(fā)送給該認證硬件, 接收由該認證硬件產(chǎn)生的應答碼R����。
7. 根據(jù)權利要求5所述在線身份的雙因子認證方法,其特征在于�,步驟c2對所述認證硬 件的操作包括所述本機WEB服務器S3查找并判斷本機電腦H2連接認證硬件H3后,通過屏幕顯 示要求用戶輸入該認證硬件的激活碼�;進而判斷該激活碼是否能夠正確激活認證硬件, 若否�����,則設置所述應答碼R為一預定的非法代碼;若是��,則將所述挑戰(zhàn)碼CH發(fā)送給該 認證硬件���,接收由該認證硬件產(chǎn)生的應答碼R����。
8. 根據(jù)權利要求5-7任一項所述在線身份的雙因子認證方法��,其特征在于 所述本機WEB服務器S3接收到所述挑戰(zhàn)碼CH后�,根據(jù)預定算法來驗證該碼的有效性;若有效���,才進行后續(xù)對認證硬件H3的搡作�,否則返回認證錯誤代碼�����。
9. 根據(jù)權利要求6或7所述在線身份的雙因子認證方法��,其特征在于所述認證硬件H3接收到所述挑戰(zhàn)碼CH后��,根據(jù)預定算法來驗證該碼的有效性;若 有效�,才進行后續(xù)的應答碼生成和返回,否則返回的應答碼R為一預定的認證錯誤代碼�����。
10. 根據(jù)權利要求2��、 5-7任一項所述在線身份的雙因子認證方法�����,其特征在于步驟C中所述的登錄數(shù)據(jù)還包括用戶輸入的用戶名和/或密碼��;從而步驟D中���,所 述WEB服務器S1對用戶的驗證包括驗證所述應答碼R是否合法,以及驗證用戶名稱 和/或密碼是否合法���。
全文摘要
一種在線身份的雙因子認證方法和系統(tǒng)�����,基于B/S體系�,用戶端還包括通過預定接口與本機電腦H2相連的認證硬件H3,本發(fā)明還在用戶端增加設置一本機WEB服務器S3��,用來接收來自瀏覽器S2的HTTP請求��,并將該請求轉換成與所述認證硬件H3的交互過程���,再將交互結果返回到對所述HTTP請求的應答數(shù)據(jù)里��;所述瀏覽器S2將該交互結果結合到登錄信息里提交給遠程WEB服務器S1進行用戶認證���。使用本發(fā)明,解決了不同瀏覽器的兼容性問題�����,免除對用戶本地操作的復雜要求����;同時便于B/S系統(tǒng)低成本地實現(xiàn)安全升級,使在線服務更安全���。
文檔編號H04L9/32GK101106456SQ200610061670
公開日2008年1月16日 申請日期2006年7月11日 優(yōu)先權日2006年7月11日
發(fā)明者濤 王 申請人:深圳市江波龍電子有限公司;王 濤