本發(fā)明涉及網(wǎng)絡(luò)安全與身份認(rèn)證，具體為一種防止認(rèn)證憑據(jù)盜用的安全認(rèn)證方法及系統(tǒng)。

背景技術(shù)：

1、隨著互聯(lián)網(wǎng)的廣泛普及和數(shù)字化轉(zhuǎn)型的加速推進(jìn)，用戶認(rèn)證憑據(jù)(如用戶名、密碼、身份驗證令牌、生物特征信息等)成為了網(wǎng)絡(luò)世界中確認(rèn)用戶身份、保障數(shù)據(jù)安全和隱私的基石。然而，這些認(rèn)證憑據(jù)的存儲、傳輸和使用過程中，面臨著日益嚴(yán)峻的安全威脅。

2、首先，傳統(tǒng)的基于靜態(tài)密碼的認(rèn)證方式存在顯著的安全隱患。靜態(tài)密碼往往容易被猜測、字典攻擊或暴力破解，加之用戶往往使用相同或相似的密碼組合在多個平臺上，一旦某個平臺的密碼泄露，其他平臺也可能面臨被攻破的風(fēng)險。

3、其次，傳統(tǒng)認(rèn)證方式認(rèn)證通過后產(chǎn)生靜態(tài)認(rèn)證標(biāo)識(如token令牌、會話id等)，保存于瀏覽器中隨訪問請求發(fā)送至服務(wù)器，如被攻擊者截取，將會很容易獲取認(rèn)證憑據(jù)并重復(fù)使用，對用戶隱私、數(shù)據(jù)安全產(chǎn)生巨大威脅，同時也有被攻擊者利用并在短時間內(nèi)發(fā)送巨量請求以占用服務(wù)器網(wǎng)絡(luò)及其他資源的風(fēng)險，更甚者會導(dǎo)致服務(wù)器崩潰。

技術(shù)實(shí)現(xiàn)思路

1、本發(fā)明的目的在于提供一種防止認(rèn)證憑據(jù)盜用的安全認(rèn)證方法及系統(tǒng)，以解決上述背景技術(shù)中提出的問題。

2、為實(shí)現(xiàn)上述目的，本發(fā)明提供如下技術(shù)方案：一種防止認(rèn)證憑據(jù)盜用的安全認(rèn)證方法，所述方法包括以下步驟：

3、客戶端在用戶提交敏感認(rèn)證信息前，采用非對稱加密算法對所述敏感認(rèn)證信息進(jìn)行初步加密；

4、用戶通過安全渠道將公鑰發(fā)送給服務(wù)器，確保服務(wù)器使用對應(yīng)的私鑰進(jìn)行解密；

5、服務(wù)器接收到加密信息后，使用私鑰進(jìn)行解密，并對解密后的信息進(jìn)行校驗；

6、校驗通過后，服務(wù)器采用對稱加密算法對信息進(jìn)行二次加密并存儲。

7、優(yōu)選的，還包括以下步驟：

8、服務(wù)器在解密并校驗通過后，生成一個唯一的隨機(jī)數(shù)據(jù)作為認(rèn)證標(biāo)識的重要組成部分；

9、將所述隨機(jī)數(shù)據(jù)與指定范圍內(nèi)的有效時間綁定，并與用戶信息一起持久化存儲；

10、服務(wù)器設(shè)定定時任務(wù)，監(jiān)控并清除已過期的隨機(jī)數(shù)據(jù)。

11、優(yōu)選的，還包括以下步驟：

12、客戶端在接收到服務(wù)器發(fā)送的隨機(jī)數(shù)據(jù)后，在后續(xù)發(fā)送請求時，將該隨機(jī)數(shù)與當(dāng)前時間戳、用戶名等加密要素一起，使用非對稱加密算法進(jìn)行加密處理；

13、將加密后的認(rèn)證標(biāo)識作為請求的一部分發(fā)送給服務(wù)器。

14、優(yōu)選的，服務(wù)器接收到客戶端的請求后，還包括以下步驟：

15、使用非對稱加密算法對請求中攜帶的認(rèn)證標(biāo)識進(jìn)行解密，獲取隨機(jī)數(shù)據(jù)、時間戳相關(guān)信息；

16、對解密得到的信息進(jìn)行一系列嚴(yán)格的校驗操作，包括驗證時間戳是否超出設(shè)定的誤差閾值和有效時間范圍，以及將解密得到的隨機(jī)數(shù)據(jù)與持久化存儲的數(shù)據(jù)進(jìn)行對比，確認(rèn)用戶身份的有效性。

17、優(yōu)選的，還包括以下步驟：

18、如果校驗失敗，服務(wù)器不再對請求進(jìn)行進(jìn)一步處理，并向客戶端返回失敗信息，邀請用戶重新進(jìn)行安全認(rèn)證；

19、如果校驗通過，服務(wù)器按照請求內(nèi)容執(zhí)行相應(yīng)的業(yè)務(wù)邏輯，并在返回處理結(jié)果前判斷隨機(jī)數(shù)據(jù)是否在業(yè)務(wù)處理期間過期；

20、如果隨機(jī)數(shù)據(jù)已過期，服務(wù)器重新生成隨機(jī)數(shù)據(jù)、有效時間等，并同步發(fā)送給客戶端。

21、一種防止認(rèn)證憑據(jù)盜用的安全認(rèn)證系統(tǒng)，應(yīng)用于防止認(rèn)證憑據(jù)盜用的安全認(rèn)證方法，所述系統(tǒng)包括：

22、客戶端模塊，用于在用戶提交敏感認(rèn)證信息前，采用非對稱加密算法對所述敏感認(rèn)證信息進(jìn)行初步加密，并通過安全渠道將公鑰發(fā)送給服務(wù)器；

23、服務(wù)器模塊，用于接收加密后的敏感認(rèn)證信息，使用對應(yīng)的私鑰進(jìn)行解密，并對解密后的信息進(jìn)行校驗；若校驗通過，則采用對稱加密算法對信息進(jìn)行二次加密并存儲。

24、優(yōu)選的，服務(wù)器模塊還包括：

25、二次加密與密鑰管理單元，用于對解密后的敏感認(rèn)證信息進(jìn)行二次加密，并實(shí)施嚴(yán)格的密鑰管理策略，確保只有經(jīng)過授權(quán)的用戶能夠訪問并解密加密數(shù)據(jù)；

26、隨機(jī)認(rèn)證標(biāo)識生成單元，用于在用戶認(rèn)證憑據(jù)校驗通過后，生成一個唯一的隨機(jī)數(shù)據(jù)作為認(rèn)證標(biāo)識的重要組成部分，并與用戶信息綁定后持久化存儲；同時，設(shè)定定時任務(wù)，監(jiān)控并清除已過期的隨機(jī)數(shù)據(jù)。

27、優(yōu)選的，客戶端模塊還包括：加密傳輸認(rèn)證標(biāo)識單元，用于在接收到服務(wù)器發(fā)送的隨機(jī)數(shù)據(jù)后，在后續(xù)發(fā)送請求時，將該隨機(jī)數(shù)與當(dāng)前時間戳、用戶名加密要素一起，使用非對稱加密算法進(jìn)行加密處理，并將加密后的認(rèn)證標(biāo)識作為請求的一部分發(fā)送給服務(wù)器。

28、優(yōu)選的，服務(wù)器模塊還包括：解密與校驗單元，用于接收客戶端發(fā)送的請求，使用非對稱加密算法對請求中攜帶的認(rèn)證標(biāo)識進(jìn)行解密，獲取隨機(jī)數(shù)據(jù)、時間戳等相關(guān)信息，并進(jìn)行一系列嚴(yán)格的校驗操作，包括驗證時間戳是否超出設(shè)定的誤差閾值和有效時間范圍，以及將解密得到的隨機(jī)數(shù)據(jù)與持久化存儲的數(shù)據(jù)進(jìn)行對比，確認(rèn)用戶身份的有效性。

29、優(yōu)選的，服務(wù)器模塊還包括：校驗結(jié)果處理單元，用于根據(jù)解密與校驗單元的結(jié)果，若校驗失敗，則向客戶端返回失敗信息，邀請用戶重新進(jìn)行安全認(rèn)證；若校驗通過，則按照請求內(nèi)容執(zhí)行相應(yīng)的業(yè)務(wù)邏輯，并在返回處理結(jié)果前判斷隨機(jī)數(shù)據(jù)是否在業(yè)務(wù)處理期間過期；若已過期，則重新生成隨機(jī)數(shù)據(jù)、有效時間，并同步發(fā)送給客戶端。

30、與現(xiàn)有技術(shù)相比，本發(fā)明的有益效果是：

31、本發(fā)明提出的防止認(rèn)證憑據(jù)盜用的安全認(rèn)證方法及系統(tǒng)，采用非對稱加密算法(如rsa)對敏感認(rèn)證信息進(jìn)行初步加密，確保信息在傳輸過程中即使被截獲也難以被未授權(quán)方解密，從而大大增強(qiáng)了數(shù)據(jù)傳輸?shù)陌踩?；在服?wù)器端或安全存儲介質(zhì)中，使用高強(qiáng)度的對稱加密算法(如aes)對信息進(jìn)行二次加密，提高了數(shù)據(jù)存儲的安全性。同時，服務(wù)器安全地管理加密密鑰，確保只有授權(quán)用戶能夠解密數(shù)據(jù)；通過生成唯一隨機(jī)數(shù)據(jù)作為認(rèn)證標(biāo)識的一部分，并將其與當(dāng)前時間戳、用戶名等加密要素結(jié)合，形成動態(tài)認(rèn)證標(biāo)識。這種機(jī)制有效防止了認(rèn)證標(biāo)識的靜態(tài)存儲和重復(fù)使用，降低了被盜用的風(fēng)險；認(rèn)證標(biāo)識的有效時間設(shè)置為指定范圍內(nèi)的隨機(jī)數(shù)，既保證了認(rèn)證標(biāo)識的時效性，又增加了攻擊者預(yù)測和利用認(rèn)證標(biāo)識的難度，提高了認(rèn)證流程的靈活性；設(shè)定定時任務(wù)清理過期隨機(jī)數(shù)據(jù)，保持系統(tǒng)數(shù)據(jù)的整潔與安全。同時，在認(rèn)證標(biāo)識驗證過程中，通過嚴(yán)格的時間戳和隨機(jī)數(shù)據(jù)校驗，確保只有合法請求才能得到處理，增強(qiáng)了系統(tǒng)的安全性和健壯性。

技術(shù)特征：

1.一種防止認(rèn)證憑據(jù)盜用的安全認(rèn)證方法，其特征在于：所述方法包括以下步驟：

2.根據(jù)權(quán)利要求1所述的一種防止認(rèn)證憑據(jù)盜用的安全認(rèn)證方法，其特征在于：還包括以下步驟：

3.根據(jù)權(quán)利要求1所述的一種防止認(rèn)證憑據(jù)盜用的安全認(rèn)證方法，其特征在于：還包括以下步驟：

4.根據(jù)權(quán)利要求3所述的一種防止認(rèn)證憑據(jù)盜用的安全認(rèn)證方法，其特征在于：服務(wù)器接收到客戶端的請求后，還包括以下步驟：

5.根據(jù)權(quán)利要求1所述的一種防止認(rèn)證憑據(jù)盜用的安全認(rèn)證方法，其特征在于：還包括以下步驟：

6.一種防止認(rèn)證憑據(jù)盜用的安全認(rèn)證系統(tǒng)，應(yīng)用于權(quán)利要求1-5任意一項所述的防止認(rèn)證憑據(jù)盜用的安全認(rèn)證方法，其特征在于：所述系統(tǒng)包括：

7.根據(jù)權(quán)利要求6所述的一種防止認(rèn)證憑據(jù)盜用的安全認(rèn)證系統(tǒng)，其特征在于：服務(wù)器模塊還包括：

8.根據(jù)權(quán)利要求7所述的一種防止認(rèn)證憑據(jù)盜用的安全認(rèn)證系統(tǒng)，其特征在于：客戶端模塊還包括：加密傳輸認(rèn)證標(biāo)識單元，用于在接收到服務(wù)器發(fā)送的隨機(jī)數(shù)據(jù)后，在后續(xù)發(fā)送請求時，將該隨機(jī)數(shù)與當(dāng)前時間戳、用戶名加密要素一起，使用非對稱加密算法進(jìn)行加密處理，并將加密后的認(rèn)證標(biāo)識作為請求的一部分發(fā)送給服務(wù)器。

9.根據(jù)權(quán)利要求8所述的一種防止認(rèn)證憑據(jù)盜用的安全認(rèn)證系統(tǒng)，其特征在于：服務(wù)器模塊還包括：解密與校驗單元，用于接收客戶端發(fā)送的請求，使用非對稱加密算法對請求中攜帶的認(rèn)證標(biāo)識進(jìn)行解密，獲取隨機(jī)數(shù)據(jù)、時間戳等相關(guān)信息，并進(jìn)行一系列嚴(yán)格的校驗操作，包括驗證時間戳是否超出設(shè)定的誤差閾值和有效時間范圍，以及將解密得到的隨機(jī)數(shù)據(jù)與持久化存儲的數(shù)據(jù)進(jìn)行對比，確認(rèn)用戶身份的有效性。

10.根據(jù)權(quán)利要求9所述的一種防止認(rèn)證憑據(jù)盜用的安全認(rèn)證系統(tǒng)，其特征在于：服務(wù)器模塊還包括：校驗結(jié)果處理單元，用于根據(jù)解密與校驗單元的結(jié)果，若校驗失敗，則向客戶端返回失敗信息，邀請用戶重新進(jìn)行安全認(rèn)證；若校驗通過，則按照請求內(nèi)容執(zhí)行相應(yīng)的業(yè)務(wù)邏輯，并在返回處理結(jié)果前判斷隨機(jī)數(shù)據(jù)是否在業(yè)務(wù)處理期間過期；若已過期，則重新生成隨機(jī)數(shù)據(jù)、有效時間，并同步發(fā)送給客戶端。

技術(shù)總結(jié)
本發(fā)明涉及網(wǎng)絡(luò)安全與身份認(rèn)證技術(shù)領(lǐng)域，具體為一種防止認(rèn)證憑據(jù)盜用的安全認(rèn)證方法及系統(tǒng)，包括以下步驟：客戶端在用戶提交敏感認(rèn)證信息前，采用非對稱加密算法對所述敏感認(rèn)證信息進(jìn)行初步加密；用戶通過安全渠道將公鑰發(fā)送給服務(wù)器，確保服務(wù)器使用對應(yīng)的私鑰進(jìn)行解密；服務(wù)器接收到加密信息后，使用私鑰進(jìn)行解密，并對解密后的信息進(jìn)行校驗；校驗通過后，服務(wù)器采用對稱加密算法對信息進(jìn)行二次加密并存儲；有益效果為：本發(fā)明提出的防止認(rèn)證憑據(jù)盜用的安全認(rèn)證方法及系統(tǒng)，采用非對稱加密算法(如RSA)對敏感認(rèn)證信息進(jìn)行初步加密，確保信息在傳輸過程中即使被截獲也難以被未授權(quán)方解密，從而大大增強(qiáng)了數(shù)據(jù)傳輸?shù)陌踩浴?br/>
技術(shù)研發(fā)人員：賀鵬舉
受保護(hù)的技術(shù)使用者：北京浪潮云計算有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2025/1/9