[发明专利]WEB认证装置、系统和方法

说明书

技术领域

本发明涉及互联网，特别是涉及在互联网中的WEB认证装置、系统和方法。

背景技术

随着WEB应用的发展，WEB系统的安全性变得越来越重要。在现有的WEB系统中，通常使用的确保WEB系统安全性的方法是用户认证。对用户进行认证的最常见的做法是在用户登录时验证用户名和口令。然而，这一方法的安全性不高，在实际的应用中，尤其是例如在电子商务和因特网银行业等的应用中不够安全。

已经提出一些相关的解决方法。在申请号为200410091743.0的中国专利申请中公开了以下内容：当用户从网络终端(WEB浏览器)请求认证时，服务端将认证信息发往用户的其他终端(比如移动终端)，再由网络终端返回。例如，当用户要求登录某WEB系统时，该WEB系统生成一个随机数并以短信的方式发送到用户的手机上，用户在WEB系统的登录页面输入这个随机数来进行安全认证。另外，在申请号为200810055778.7的中国专利申请中进一步公开了：当用户从网络终端(WEB浏览器)请求认证时，服务端将认证消息发往用户的网络终端，再由用户的其他终端(比如移动终端)返回。

尽管以上解决方法相对于一般的只对用户名和口令进行认证的方式具有较高的安全性。但是，这些解决方法仍然存在以下问题：

1)以上方法中的其他终端通常是指手机等移动终端，对于网上服务提供方，尤其是中小型的网上服务提供方而言，是难实现的；

2)需要用户具有网络终端(WEB浏览器)之外的其他终端，不适合所有用户使用，对用户不够友好；

3)以上认证方法只适合在用户登录时对用户进行认证，用户登录成功以后，如果每次安全操作都需要这样的认证，不仅让用户感觉繁琐而且浪费网络资源。

发明内容

鉴于现有技术中的上述问题，本发明提供了WEB认证的装置、系统和方法，以期解决现有技术中的上述或其他问题，提高WEB认证的安全性。

根据本发明的一个方面，提供一种WEB服务端认证装置，用于WEB认证系统中，所述WEB认证系统还包括客户端安全装置和通信装置，所述客户端安全装置中存储有认证号，所述WEB服务端认证装置包括：请求监听模块，监听来自客户端的登录请求，所述登录请求包括用户的用户名和口令；认证号获取模块，在监听到来自客户端的登录请求后，经由所述通信装置获取所述客户端安全装置的认证号；以及认证模块，针对所述登录请求，对所述认证号、用户名和口令一起进行认证。

根据本发明的另一方面，提供一种WEB客户端安全装置，用于WEB认证系统中，所述WEB认证系统还包括服务端认证装置和通信装置，所述客户端安全装置中存储有认证号，包括：认证号请求监听模块，监听经由所述通信装置来自服务端认证装置的认证号请求；以及认证号回复模块，响应于所述认证号请求，经由所述通信装置向所述服务端认证装置回复所述认证号。

本发明还提供了一种WEB认证系统，包括客户端安全装置，服务端认证装置以及通信装置，其中，所述客户端安全装置中存储有认证号；所述服务端认证装置用于：监听来自客户端的登录请求，所述登录请求包括用户的用户名和口令；在监听到来自客户端的登录请求后，经由通信装置获取所述客户端安全装置的认证号；以及针对所述登录请求，对所述认证号、用户名和口令一起进行认证；以及所述通信装置用于负责所述认证号在客户端安全装置与服务端认证装置之间的传输。

根据本发明提供的WEB安全认证装置、系统和方法，在每次用户进行登录请求或页面请求时，服务端都要对客户端安全装置的认证号进行认证，要求具有一致的认证号、用户名和口令，三者缺一不可。因此，可以保证在用户名和口令泄漏的情况下，防止非法访问者对WEB系统的访问。由此，本发明提供的WEB认证装置、系统和方法比一般的只对用户名和口令进行认证的机制具有更高的安全性。

在本发明的WEB安全认证装置和方法中，由于客户端安全装置与WEB浏览器部署在同一台网络终端上，因此不需要用户具有除此网络终端之外的其他终端，降低了用户的使用门槛；同时也不需要网上服务提供方具有发送短信到手机终端的能力，降低了对网上服务提供方的要求。

进一步，在本发明中，用户登录成功之后，每次页面刷新或跳转时(包括用户执行一些安全性较高的操作)，可以对客户端安全装置的认证号和用户名同时进行认证，根据本发明，对客户端安全装置的认证号的认证是以一种透明的方法来进行的，用户完全无法察觉，由此避免了用户通过手机终端获取认证码并输入认证的麻烦，提高了用户体验。