[发明专利]网页的安全认证方法及装置

说明书

本发明提供了一种网页的安全认证方法及装置，该方法包括：根据用户终端发送的业务请求生成随机数；将随机数发送至用户终端，以使用户终端对随机数、服务器地址、用户输入的口令进行哈希加密，得到目标信息；判断目标信息和用户输入的用户名是否符合业务认证条件；如果符合业务认证条件，则通过业务请求的认证。本发明网页的安全认证方法中，在进行哈希加密时，是对随机数，服务器地址和口令进行的哈希加密，因为随机数的存在，使得每次加密对象不同，使得每次加密得到的目标信息也不同，这样，目标信息在传输的过程中更加安全，可以有效的防范重放攻击，提高了网页认证的安全性，缓解了传统的网页认证安全性差，存在重放攻击隐患的技术问题。

技术领域

本发明涉及安全认证的技术领域，尤其是涉及一种网页的安全认证方法及装置。

背景技术

以往的网页认证(比如，网页登录)基本上只是以表单的形式设计一个页面，客户端访问登录页面，该页面要求用户填写相应的用户名和密码，然后按下“确定”或“登录”按钮，将所填写信息提交到服务器端，与数据库中已保存的用户注册信息进行比对，确定是否允许登录。这种登录方式，在用户身份验证过程中，由于网页系统登录信息是在信道上使用明文或接近明文的方式传送用户名和口令，容易被截获分析或破解，所以安全性不高。

传统的身份认证通常采用静态口令，容易被截获分析或破解。为解决静态口令安全性问题，曾出现了动态口令技术，即一次一密的认证方式，在用户每次的登录信息中加入动态变化的因素，使每次在网络中传输的信息都不相同，从而提高登录过程的安全性。为了实现动态登录，一般需要额外设备的支持，如口令卡、智能卡、手机等。使用额外设备，用户携带不便，而且有的还需要支付额外的硬件成本，当前环境难以推广。

当前普遍的做法是，保存口令的HASH值，比如利用MD5或者AES对口令(此时还是明文状态)进行加密，得到密文，再将此得到的密文存储到数据库中。用户进行登录认证的时候，将客户端传递过来的明文口令进行HASH运算，与服务器端取出的密文进行一致性比较，若相同，则认证通过，登录成功。

但是，这种方法有其致命的缺陷，因为每次都对相同的口令进行HASH加密，则网络上每次传输的加密值都相同，存在明显的重放攻击隐患。

发明内容

有鉴于此，本发明的目的在于提供一种网页的安全认证方法及装置，以缓解传统的网页认证安全性差，存在重放攻击隐患的技术问题。

第一方面，本发明实施例提供了一种网页的安全认证方法，应用服务器，所述方法包括：

根据用户终端发送的业务请求生成随机数，其中，所述业务请求包括以下任一种：登录请求，注册请求，所述业务请求中包含请求业务的服务器地址；

将所述随机数发送至所述用户终端，以使所述用户终端对所述随机数、所述服务器地址、用户输入的口令进行哈希加密，得到目标信息；

判断所述目标信息和所述用户输入的用户名是否符合业务认证条件，其中，所述业务认证条件包括：登录认证条件，注册认证条件；

如果符合所述业务认证条件，则通过所述业务请求的认证。

结合第一方面，本发明实施例提供了第一方面的第一种可能的实施方式，其中，所述目标信息包括：第一哈希值，第二哈希值；

所述第一哈希值为所述用户终端根据所述随机数和所述服务器地址计算得到的哈希值；

所述第二哈希值为所述用户终端根据所述口令计算得到的哈希值。

结合第一方面，本发明实施例提供了第一方面的第二种可能的实施方式，其中，当所述业务请求为所述登录请求时，判断所述目标信息和所述用户输入的用户名是否符合业务认证条件包括：

根据所述随机数和所述服务器地址计算得到第三哈希值；