專利名稱:一種安全認證系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本實用新型涉及網(wǎng)絡安全技術(shù)�����,尤其涉及一種對客戶端進行安全認證的系統(tǒng)���。
背景技術(shù):
隨著互聯(lián)網(wǎng)技術(shù)的普遍使用�����,網(wǎng)絡安全問題已經(jīng)成為困擾網(wǎng)絡發(fā)展的一個重要因 素�。網(wǎng)絡安全隱患主要表現(xiàn)在以下三個方面病毒�����、內(nèi)部用戶的非法操作和網(wǎng)絡外部的黑客 攻擊。內(nèi)部用戶的非法操作包括惡意和非惡意兩種一種是由于網(wǎng)絡設置的不嚴密性��,網(wǎng)絡 內(nèi)部使用者誤入他們本不該進入的領(lǐng)域���,誤改其中的數(shù)據(jù)��;另一種是有些內(nèi)部用戶利用合 法身份有意對數(shù)據(jù)進行破壞�����。黑客攻擊是最可怕的�����,網(wǎng)絡黑客一旦進入某個網(wǎng)絡�,其造成的 損失無法估量��。對于普通用戶而言����,為了安全使用網(wǎng)絡,對客戶身份的驗證大多集中在介質(zhì)和密 碼上����,這樣對識別是否是客戶本人存在很大的局限性����,一旦介質(zhì)丟失和/或密碼泄露���,網(wǎng)絡 側(cè)無法準確地的判斷本次操作的客戶的真實身份�����。目前主要問題是安全性過于依賴用戶本 身的網(wǎng)絡知識,對于安全觀念較差的用戶�,其密碼很容易被盜取。黑客有可能通過非法手段 獲得客戶的密碼等信息��,進而使得客戶的私人資料����、甚至是一些非常重要的數(shù)據(jù)被竊。例如�����,比較普遍使用的一種方法是��,服務器端利用session方式維持和客戶端的 狀態(tài),在每個頁面中保存一個session ID����,如果黑客拿到此session ID,就能使用客戶當前 會話冒充客戶提交請求(此時系統(tǒng)不會判斷為并發(fā)登錄控制�����,因為黑客使用的是客戶登錄 的session ID��,而不是新登錄產(chǎn)生的新sessionID)���,因此客戶在進行網(wǎng)上操作的時候��,存在 很大的風險���。鑒于目前這種情況,需要提供一種有效的安全機制����,使得用戶在使用互聯(lián)網(wǎng)時獲 得安全的網(wǎng)絡通信。
實用新型內(nèi)容(一)要解決的技術(shù)問題為了克服現(xiàn)有技術(shù)的上述缺陷�,本實用新型提供了一種安全認證系統(tǒng),以提高網(wǎng) 絡安全性�。( 二 )技術(shù)方案本實用新型提供了一種安全認證系統(tǒng)���,該系統(tǒng)包括用于向客戶端提供服務的服 務器;通過網(wǎng)絡與服務器連接的客戶端�����;該客戶端包括一安全檢測裝置�,該安全檢測裝置 進一步包括用于采集客戶端硬件相關(guān)信息,并利用所獲取信息生成能唯一識別該客戶端 的計算機指紋和計算機標識的硬件信息處理單元����;用于對所述計算機指紋�、計算機標識以 及從服務器獲取的第一隨機數(shù)進行加密,并將密文發(fā)送到所述服務器的建立綁定信息處理 單元����;所述服務器進一步包括用于當服務器獲取到所述密文之后,對所述密文進行解密�����,獲 得一隨機數(shù)��、計算機指紋和計算機標識��,并且當該隨機數(shù)與服務器產(chǎn)生的所述第一隨機數(shù) 相等時建立與客戶端之間的綁定關(guān)系的綁定建立單元。[0010]較佳地���,該安全檢測裝置進一步包括用于獲取所述計算機指紋��、計算機標識以及 從服務器接收的第二隨機數(shù)���,并利用所述計算機指紋作為對稱加密的密鑰,對所述第二隨 機數(shù)進行加密�����,將加密后的密文和所述計算機標識一并發(fā)送給服務器的檢查綁定信息處理 單元���。較佳地���,該服務器進一步包括用于利用客戶端上傳的計算機標識,在服務器檢索 客戶端在服務器登記的計算機指紋����,并利用該計算機指紋解密客戶端上傳的密文得到一隨 機數(shù),將此隨機數(shù)與服務器產(chǎn)生的所述第二隨機數(shù)進行比較���,當相等時判斷綁定通過的檢 查綁定單元�,較佳地,該安全檢測裝置進一步包括用于控制所述安全檢測裝置只能被所述服務 器調(diào)用���,不能被其他域名站點或通過IP訪問的站點所調(diào)用的安全控制單元�。較佳地���,述客戶端包括PC����、移動終端或者PDA�����。較佳地��,所述硬件信息包括CPU的ID��、主板信息����、硬盤信息或網(wǎng)卡信息�。較佳地,建立綁定信息處理單元利用RSA非對稱算法�,使用公鑰對所述第一隨機 數(shù)����、計算機指紋和計算機標識進行加密����。較佳地,服務器的綁定建立單元利用RSA配對私鑰接收的密文進行解密����,獲得所 述第一隨機數(shù)、計算機指紋和計算機標識����。(三)有益效果應用本實用新型的系統(tǒng),用戶利用客戶端設備的硬件信息進行網(wǎng)絡注冊�����,在安全 認證過程中同樣使用客戶端設備的硬件信息�����,使得網(wǎng)絡側(cè)服務器可以唯一識別該客戶端�, 從而保證網(wǎng)絡操作的安全性。
圖1為本實用新型安全認證系統(tǒng)中安全檢測裝置的結(jié)構(gòu)框圖����。
具體實施方式
為使本實用新型的目的��、技術(shù)方案和優(yōu)點更加清楚明白���,以下結(jié)合例子并參照附 圖,對本實用新型做進一步詳細說明�。通常,用戶通過PC機�、手機或PDA等客戶端設備,利用互聯(lián)網(wǎng)或局域網(wǎng)等與服務器 相連�,從而獲得各種服務,例如發(fā)送電子郵件���、訪問數(shù)據(jù)庫�����、下載數(shù)據(jù)或在線瀏覽等�����。但是很 多服務需要對用戶進行安全認證,根據(jù)本實用新型的安全認證機制�,需要在客戶端設備設 置一安全檢測裝置��。本發(fā)明的實現(xiàn)原理是將特定客戶端與某一服務器進行綁定����,從而實現(xiàn) 服務器在向用戶提供某種服務時����,服務器通過客戶端的硬件信息來唯一識別該客戶端,以 防止網(wǎng)絡黑客盜用用戶密碼而截取信息�����。參照圖1�����,圖1示出了本實用新型安全認證系統(tǒng)���,其包括客戶端1和服務器2���。服 務器2和客戶端1通過互聯(lián)網(wǎng)、局域網(wǎng)或廣域網(wǎng)等網(wǎng)絡進行連接���。在客戶端1還包括安全 檢測裝置�,該裝置包括主控單元10、硬件信息處理單元11��、建立綁定信息處理單元12�、檢查 綁定信息處理單元14和安全控制單元15。其中硬件信息處理單元11�、建立綁定信息處理 單元12、檢查綁定信息處理單元14和安全控制單元15都與主控單元10相連接����。主控單元10,用于接收來自客戶端的指令�,協(xié)調(diào)各功能單元實現(xiàn)客戶端設備的綁定和檢查綁定功能。硬件信息處理單元11�,用于采集客戶端設備的硬件相關(guān)信息,當客戶端設備是 PC機時��,相關(guān)的硬件信息例如是CPU的ID�、主板信息、硬盤信息��、網(wǎng)卡信息等��,這些信息能 夠?qū)⑷我鈨膳_機器區(qū)分開來��。采集到硬件相關(guān)信息之后�����,所述硬件信息處理單元11根據(jù)內(nèi)置的計算機指紋生 成算法����,將這些信息的組合通過摘要和特定算法生成特定數(shù)字信息,即計算機指紋��,能唯一 確定對應的計算機���,同時�����,根據(jù)內(nèi)置計算機標識生成算法���,將上述計算機硬件相關(guān)信息的部 分信息的組合通過摘要和特定算法生成特定數(shù)字信息,即計算機標識����,也能唯一確定對應 的計算機。并將生成的計算機指紋和計算機標識傳輸給主控單元10���。建立綁定信息處理單元12�,從主控單元10接收一第一隨機數(shù)、計算機指紋和計算 機標識����。所述第一隨機數(shù)從服務器下載到客戶端。建立綁定信息處理單元12利用內(nèi)置的 RSA非對稱算法�����,利用公鑰對所述第一隨機數(shù)���、計算機指紋和計算機標識進行加密�,其中所 述第一隨機數(shù)可以作為一個混淆因子���。然后將加密后的第一隨機數(shù)���、計算機指紋和計算機 標識返回給主控單元10,由主控單元10提交給服務器��。與客戶端1相對應地�,在服務器2端設置一綁定建立單元21,與控制單元20連接 并受控制單元20的控制�����,其中該綁定建立單元在從客戶端1獲取到經(jīng)過加密的第一隨機 數(shù)、計算機指紋和計算機標識之后����,利用RSA配對私鑰對提交的密文進行解密���,獲得所述第 一隨機數(shù)�、計算機指紋和計算機標識��,用該解密出來的隨機數(shù)與服務器產(chǎn)生的第一隨機數(shù) 進行比較��,如果相等�����,則將所述的計算機指紋和計算機標識登記在所述客戶信息中�。安全檢測裝置還包括檢查綁定信息處理單元14,用于從主控單元10接收一第二 隨機數(shù)�����、所述計算機指紋和計算機標識�,所述第二隨機數(shù)由服務器產(chǎn)生�����,并下載到客戶端�����。 檢查綁定信息處理單元14利用所述計算機指紋作為對稱加密的密鑰���,對所述第二隨機數(shù) 進行加密,將加密后的密文和所述計算機標識一并返回給主控單元10����。由主控單元10提交 給服務器2。與客戶端相對應地��,在服務器端2設置一檢查綁定單元22��,其連接到控制單元20 并受控制單元20的控制����。該檢查綁定單元22利用客戶端傳送上來的計算機標識,到服務 器檢索客戶端在服務器登記的計算機指紋����,并利用該計算機指紋解密客戶端上送的密文�����, 得到一第二隨機數(shù)��,將此隨機數(shù)與服務器產(chǎn)生的第二隨機數(shù)進行比對��,如果相等�,則檢查 綁定通過�。另外����,安全檢測裝置還包括安全控制單元15,用于控制只能在指定的域名(例如 https://www. ***. com. cn/)站點調(diào)用此安全檢測裝置��,不能被其他域名站點或通過IP訪 問的站點所調(diào)用��,有效地防止黑客調(diào)用此安全檢測裝置�,騙取客戶硬件信息,或獲得一次性 的硬件檢查密文欺騙服務器���。通過提供本實用新型的安全認證系統(tǒng)����,可以建立客戶端與服務器之間的綁定關(guān) 系,提高客戶抵御網(wǎng)絡欺詐和假網(wǎng)站“釣魚”的能力��,并提高了密碼等信息被盜竊后的客戶 信息的相對安全性����,是對現(xiàn)行網(wǎng)路安全認證方式的一種非常有效的補充。安全檢測裝置 還能有效控制客戶會話被劫持的風險�,即使黑客拿到某個站點每個頁面中保存的session ID,也無法從綁定的機器上進行關(guān)鍵操作����,從而進一步保證了用戶進行網(wǎng)絡操作的安全性。本實用新型提供的安全認證系統(tǒng)是一種主動的安全認證模式�����,提供客戶建立計算機終端綁定��,使得客戶只能在所述綁定的計算機終端上完成某些網(wǎng)絡操作�����,有效防范了網(wǎng) 路密碼泄露這一風險�����。本實用新型的核心思想是通過在客戶計算機終端部署安全檢測裝 置,搜集計算機硬件指紋(指計算機硬件相關(guān)信息��,比如CPU信息��、主板信息����、硬盤信息、網(wǎng) 卡信息的組合通過摘要和特定算法獲取的特定數(shù)字信息����,能唯一確定對應計算機),并將搜 集到的計算機硬件指紋信息登記在網(wǎng)絡服務器中�,在客戶進行網(wǎng)絡操作的時候��,核對客戶 使用的計算機硬件指紋信息與已經(jīng)登記在網(wǎng)絡服務器中的計算機硬件指紋信息是否匹配���, 如果相匹配�����,則允許進行網(wǎng)絡操作��,否則禁止相關(guān)的網(wǎng)絡操作����。 以上所述的具體實施例,對本實用新型的目的�����、技術(shù)方案和有益效果進行了進一 步詳細說明�,所應理解的是,以上所述僅為本實用新型的具體實施例而已��,并不用于限制本 實用新型�,凡在本實用新型的精神和原則之內(nèi),所做的任何修改�����、等同替換����、改進等,均應包 含在本實用新型的保護范圍之內(nèi)�����。
權(quán)利要求一種安全認證系統(tǒng),其特征在于����,該系統(tǒng)包括用于向客戶端提供服務的服務器;通過網(wǎng)絡與服務器連接的客戶端��;該客戶端包括一安全檢測裝置��,該安全檢測裝置進一步包括用于采集客戶端硬件相關(guān)信息����,并利用所獲取信息生成能唯一識別該客戶端的計算機指紋和計算機標識的硬件信息處理單元,用于對所述計算機指紋�、計算機標識以及從服務器獲取的第一隨機數(shù)進行加密,并將密文發(fā)送到所述服務器的建立綁定信息處理單元�����;所述服務器進一步包括用于當服務器獲取到所述密文之后�����,對所述密文進行解密���,獲得一隨機數(shù)、計算機指紋和計算機標識,并且當該隨機數(shù)與服務器產(chǎn)生的所述第一隨機數(shù)相等時建立與客戶端之間的綁定關(guān)系的綁定建立單元����。
2.根據(jù)權(quán)利要求1所述的系統(tǒng),其特征在于該安全檢測裝置進一步包括用于獲取所 述計算機指紋��、計算機標識以及從服務器接收的第二隨機數(shù)���,并利用所述計算機指紋作為 對稱加密的密鑰��,對所述第二隨機數(shù)進行加密�,將加密后的密文和所述計算機標識一并發(fā) 送給服務器的檢查綁定信息處理單元�����。
3.根據(jù)權(quán)利要求2所述的系統(tǒng)����,其特征在于該服務器進一步包括用于利用客戶端上 傳的計算機標識,在服務器檢索客戶端在服務器登記的計算機指紋���,并利用該計算機指紋 解密客戶端上傳的密文得到一隨機數(shù)�����,將此隨機數(shù)與服務器產(chǎn)生的所述第二隨機數(shù)進行比 較���,當相等時判斷綁定通過的檢查綁定單元�,
4.根據(jù)權(quán)利要求1所述的系統(tǒng)�����,其中安全檢測裝置進一步包括安全控制單元����,用于控 制所述安全檢測裝置只能被指定的域名站點或可通過指定IP進行訪問的站點調(diào)用。
5.根據(jù)權(quán)利要求1-4任一項所述的系統(tǒng)�,所述客戶端包括PC、移動終端或者PDA�。
6.根據(jù)權(quán)利要求1-4任一項所述的系統(tǒng),所述硬件信息包括CPU的ID�����、主板信息��、硬盤 信息或網(wǎng)卡信息�����。
7.根據(jù)權(quán)利要求2-4任一項所述的系統(tǒng)���,建立綁定信息處理單元利用RSA非對稱算法���, 使用公鑰對所述第一隨機數(shù)、計算機指紋和計算機標識進行加密�。
8.根據(jù)權(quán)利要求7所述的系統(tǒng),服務器的綁定建立單元利用RSA配對私鑰接收的密文 進行解密�����,獲得所述第一隨機數(shù)����、計算機指紋和計算機標識。
專利摘要本實用新型公開了一種安全認證系統(tǒng)���。該系統(tǒng)包括服務器和客戶端���,該客戶端包括一安全檢測裝置,該安全檢測裝置包括用于采集客戶端硬件相關(guān)信息���,并將該信息生成計算機指紋和計算機標識的硬件信息處理單元����;用于對所述計算機指紋、計算機標識以及從服務器獲取的隨機數(shù)進行加密并將密文發(fā)送到所述服務器的建立綁定信息處理單元�����;所述服務器包括用于對所述密文進行解密�����,獲得一隨機數(shù)��、計算機指紋和計算機標識��,當該隨機數(shù)與服務器產(chǎn)生的隨機數(shù)相等時建立與客戶端的綁定的綁定建立單元���。利用本實用新型的技術(shù)方案��,在安全認證過程中通過使用計算機硬件信息來識別客戶端�,從而確保網(wǎng)絡側(cè)唯一識別所述客戶端設備��,提高了網(wǎng)絡通信的安全性�。
文檔編號H04L29/06GK201717891SQ20102025931
公開日2011年1月19日 申請日期2010年7月7日 優(yōu)先權(quán)日2010年7月7日
發(fā)明者張洋, 彭琳, 潘葛桐, 趙愛新 申請人:中國工商銀行股份有限公司