[发明专利]一种增强身份认证的方法

摘要

一种增强身份认证的方法，解决网络应用系统用户进行身份认证面临口令猜测及口令撞库的诸多安全风险，方法是，应用系统中增设增强身份认证系统，用户在终端上安装有非对称密钥对或标识私钥的增强身份认证系统客户端、客户访问时，返回带认证URL地址以及随机生成的挑战值C的二维码图片的用户登录页面或增强认证按钮，客户通过二维码或增强认证按钮进行身份认证。有益效果是，该方法，对于采用B/S模式的应用系统进行安全保护。在不修改原有应用系统的情况下，该方法实现对用户口令的保护，使得系统具有抵御弱口令、口令猜测、口令撞库等能力。该方法的实施，保证具有安全漏洞的应用系统也可以对抗未登录用户发起的各类攻击如SQL注入、跨站攻击等。

主权项

1.一种增强身份认证的方法，该方法基于在采用用户名、口令的应用系统，用户在应用系统中的账户信息具有：用户名、口令及账户关联的手机号码或邮件地址或用户在应用系统中的账户信息具有：手机号码或邮件地址信息的用户名及口令，用户拥有具备计算和照相功能的智能移动终端，用户访问应用系统的数据流需要首先经过增强身份认证系统认证后实现数据交换，其特征在于：该方法包括以下步骤实现：步骤1.应用系统中增设增强身份认证系统，用户在其智能移动终端上安装增强身份认证系统客户端；步骤2.在增强身份认证系统客户端上，安装和账户关联的手机号码或邮件地址对应的非对称密钥对或标识私钥，增强身份认证系统客户端和增强身份认证系统通过安全方法将用户的手机号码或邮件地址与用户的公钥关联或增强身份认证系统客户端需要从标识密码系统的密钥生成中心下载标识对应的私钥，增强身份认证系统是密钥生成中心或者接受密钥生成中心生成的标识系统参数及标识私钥;步骤 3.用户使用浏览器请求访问应用系统的登录页面；步骤4.增强身份认证系统获取用户访问请求后，增强身份认证系统判断该请求是否为登录访问请求，判断结果为登录访问请求时，增强身份认证系统返回模拟应用系统的用户登录页面，该登录页面除去原有应用系统登录页面内容外，对采用PC访问的终端返回还至少添加了一个二维码图片的用户登录页面，对采用智能终端访问的终端返回增强认证按钮，其中，二维码图片包含了提交的认证URL地址以及随机生成的挑战值C，增强认证按钮或关联一个增强身份认证系统客户端可处理的协议链接，协议链接中包含了提交的认证URL地址以及随机生成的挑战值C，如果登录页面包含二维码图片则进入步骤5，如果登录页面包含增强认证按钮，则进入步骤6，判断结果为非登录访问请求时进入步骤11；步骤5.用户使用智能移动终端上的增强身份认证系统客户端扫描二维码，增强身份认证系统客户端在获取图片中的认证URL地址以及随机生成的挑战值C后，使用步骤2安装的私钥对挑战值C进行签名操作，签名完成后，增强身份认证系统客户端将签名结果V以及签名私钥关联的ID，提交到获取的认证URL地址；步骤6.用户使用智能移动终端访问登录页面时，点击增强认证按钮，该操作将导致智能设备上的操作系统调用增强身份认证系统客户端，并将认证URL地址以及随机生成的挑战值C信息一并提交给增强身份认证系统客户端，增强身份认证系统客户端使用步骤2安装的私钥对挑战值C进行签名操作，签名完成后，增强身份认证系统客户端将签名结果V以及签名私钥关联的ID，提交到获取的认证URL地址；步骤7、对应认证URL地址的增强身份认证系统的签名验证模块获得随机挑战值C、签名结果V以及签名私钥关联的ID后，校验签名结果V是否合法，如果签名合法，则记录随机挑战值C、签名私钥关联的ID，并返还用户成功校验状态，否则返还校验失败状态;步骤8、用户通过登录页面中提交用户名、口令；步骤9、增强身份认证系统检查到会话已经通过了增强身份认证，则将用户名和口令提交到应用系统；如果该会话未通过增强身份认证，则拒绝用户请求，返回错误或者跳转到登录页面；步骤10、应用系统检测用户名、口令，如果成功则返回成功结果，否则返回失败结果，增强身份认证系统检查应用系统的返回结果，如果是成功结果，则将结果中带有会话ID号或者COOKIE值的会话标识信息记录下来，增强身份认证系统将应用系统的返回结果转发给用户浏览器；步骤11、增强身份认证系统检查发往应用系统的非登录请求，如果请求中未包含会话ID号或者COOKIE值，则拒绝将请求转发给应用系统或者跳转到登录页面，如果请求中包含会话ID号或者COOKIE值，则检查会话ID号或者COOKIE值是否在步骤10的记录中，如果不在记录中，则拒绝将请求转发给应用系统或者跳转到登录页面。