技术领域
本发明涉及计算机网络帐号密码保护的方法,可应用于计算机网络安 全领域,以及网络游戏、电子商务、集团管理、网络软件等所有颁发签证合 作的网络运营商。
背景技术
过去,仅使用一个由网络用户名以及与其相关联的登录密码组成的有 效凭据组合,用户就可以通过身份验证。
然而,不能排除用户可能会在公共场合使用此凭证被别人看到、或者 很容易被猜到,以及木
马病毒、钓鱼
网站等盗取此凭证的可能性。一但有 效凭据失去私密性,当用户通过身份验证可以
访问网络后,能够对其进行 限制的其他安全壁垒太少。并且,在仅需要登录名和密码进行访问的环境 下,很难检测并阻止某一持有有效凭据但未经授权的个人的活动。其认证 图如
附图1所示,由客户端发送帐号密码至
服务器端的时候,没有任何防 护措施,根本无法防止
木马病毒的盗取用户安全凭证的行为。
图二所示系统用于安全性非常敏感的系统(例如工商
银行网上银行)。 图中CA是一个证书颁发机构,为用户颁发数字证书,用于为要验证身份的 联机实体提供证明。客户端在发送登陆凭证的同时,还要发送数字证书, 从而实现只凭登陆凭证无法验证来达到
防盗的目的。图中
插件的作用在于 安全的存储数字证书不被非法复制。这种系统的
硬件投入巨大,并不适合很 多网络系统。
为解决此问题,近几年不断有新的用户识别方法及系统被提出.如中国
专利02154144.2公开了一种网络本人确认方式和装置,采用移动
存储器(软 盘或U盘)存储系统给定的密码。由于不需要用户记忆户名和密码,可以将 存储在移动存储器中的密码和户名设置较长,防止被破译和记忆的可能。但 是其
缺陷是密码是可读的,只是增加了难度,并不能杜绝被记忆;同时对 木马病毒、钓鱼网站和黑客网站采用非法手段从客户端盗取用户有效凭证 没有防护作用。
同时,中国专利还公开了一种自动随机一次性密码提高网络交易安全 的认证方法(专利
申请号:02132554.5),尽管该方法使用了包括USB驱动 程序、8-32存储器及
微处理器硬件的密码安全装置,但是只是在密码安全 装置和服务器之间设置了内存装置中的加密解密装置和对应程序。该方法 附带了复杂的密码生成器和解密装置,不仅硬件投入加大,其安全性还有 待于进一步提高。
发明内容
本发明目的在于提供一种计算机网络帐号安全防护方法及服务系统, 以克服现有仅凭用户登录名和密码访问环境下密码容易暴露或被窃取的 弊端。
计算机网络安全最大
风险在于用于验证用户身份的有效凭据不能被安 全的传输至对应服务器,本发明主要解决由网络用户名以及与其相关联的 登录密码组成的有效凭据不能被安全的通过网络传送至对应的服务器端的 问题。
即具体的说,计算机网络帐号安全防护方法,其是按照以下步骤实现:
(1)在第一次使用它时服务器端用于验证用户身份的有效凭据通过一 个代理验证服务器
修改,并且将修改后的结果存储在插接在用户终端的USB 安全插件中;
(2)以后使用时首先由代理验证服务器通过其它验证办法来验证客户 端的
请求;
(3)当请求通过后,代理验证服务器会发送用于验证用户身份的有效 凭据到服务器端实现用户登录。
实现上述计算机网络帐号安全防护方法的服务系统包括:
插接在用户终端的USB的安全插件,该插件至少包括微处理器;
数据库和应用系统Web服务器,该数据库和应用系统Web服务器相连 并且通过网络与客户终端连接;
用于发送客户端秘密信息和修改秘密信息的代理验证服务器,该代理 验证服务器为一个与应用系统Web服务器基本相同的计算机且联系客户终 端和应用系统Web服务器。
本发明在不更改服务器端软件或硬件的前提下从根本上解决了木 马病毒,钓鱼网站,黑客软件等利用非法手段从客户端盗取用户有效 凭证的可能性。防止因用户
泄漏或被非法盗取用户敏感验证信息的安 全隐患。填补了计算机网络帐号安全使用问题的空缺。
本发明有益效果具体表现在:
(1)安全性得到增强:双因素身份验证不仅要求输入有效凭据。用户 还必须拥有可以随身携带的安全插件并且知道自己的个人识别号
(2)简单:简单易用。本发明不附带麻烦的密码生成器。不需要控制 庞大的设备。只需USB安全插件即可使用
(3)便于利用现有
基础结构:使用原有基础结构在不改变原数据库服 务器任何数据的情况下,只需在客户端安装安全插件即可实现.前所未有 的安全.
(4)多应用:可以应用于多个项目,各项目之间相互隔离。
附图说明
图1为目前计算机帐号密码认证图。
图2为最新计算机帐号认证图。
图3为本发明计算机帐号认证图。
具体实施方式:
附图3给出了本发明的实现认证原理。图中和组成部分的含义是:
代理验证服务器:用于发送客户端秘密信息和修改秘密信息的系统,为 与应用系统WEB服务器相同的一台计算机;代理理验证服务器的目地在于 在不改变图1的基础结构下,实现图2的强安全性及跨平台目的。
服务器:是指原有
计算机系统中的应用系统/WEB服务器的安全系统。
安全插件:本发明防护系统用于与电脑USB
接口连接的硬件,如U盘 大小,直接插入客户端终端计算机USB插口使用,至少带有微处理器的智 能卡,如工商银行普遍使用的U盾。
本发明计算机网络帐号安全防护方法,其是按照以下步骤实现的:
(1)在第一次使用它时服务器端用于验证用户身份的有效凭据通过一 个代理验证服务器修改,并且将修改后的结果存储在插接在用户终端的USB 安全插件中;
(2)以后使用时首先由代理验证服务器通过其它验证办法来验证客户 端的请求;
(3)当请求通过后,代理验证服务器会发送用于验证用户身份的有效 凭据到服务器端实现用户登录。
实现上述计算机网络帐号安全防护方法的服务系统包括:
插接在用户终端的USB的安全插件,该插件至少包括微处理器;
数据库和应用系统Web服务器,该数据库和应用系统Web服务器相连 并且通过网络与客户终端连接;
用于发送客户端秘密信息和修改秘密信息的代理验证服务器,该代理 验证服务器为一个与应用系统Web服务器基本相同的计算机且联系客户终 端和应用系统Web服务器。
本发明与仅仅使用网络用户名和密码的方法来保护网络帐号安全不 同,具有双因素身份验证。
双因素验证包括用户已有(例如安全插件和已知的个人标识号或PIN, 即安全插件所有者设置并存储在卡上的加密码)的事物。使用个人识别码 用户可以访问存储在NP安全插件上的数字证书,用户需持有被授权的安 全插件才能被验证。必须持有NP安全插件才能进行远程访问身份验证,这 一要求大大地减少了被盗的可能.因为认证过程中,密码并未离开安全插 件。
计算机网络帐号安全防护方法的原理是:本防护系统带有一个硬件(安 全插件),用于直接与电脑的USB端口连接,在第一次使用本系统时代理验 证服务器修改服务器端用户的秘密值(用户授权给代理验证服务),以达到 “强”密码策略,以后使用时,客户端首先向代理验证服务器端发起登陆 请求,代理验证服务器通过数字证书来验证客户端的登陆请求,当验证通 过后代理验证服务器以客户端的名义发送秘密信息到服务器端,验证过程 完成。
<1>代理验证服务器为保护秘密值的“强”度和登陆凭证由用户自己 保管出现的问题,代理验证服务器会先修改服务器端用于验证用户身份的 有效凭据;<2>代理验证服务器以客户端的名义发送登陆凭据、交易凭证 (秘密信息),服务器端收到的是以客户端名义发送的登陆凭证,故服务器 端的反馈信息会直接与客户端通信,而与代理验证服务器无关。从而实现整 个防盗目的。
本发明可应用于计算机网络安全领域,以及网络游戏、
电子商务、集团 管理、网络软件等所有颁发签证合作的网络运营商。
所有颁发签证合作的网络营运商,均可达到本发明的密码保护目的。 只需网络营运商将带有密码的封包在用户登录时先经过本安全插件再由安 全插件发至代理服务器即可达到代理验证的目的。