[发明专利]身份验证系统及方法

说明书

技术领域

本发明关于网络安全领域，尤其是关于一种身份验证系统及方法。

背景技术

随着计算机网络的迅速发展，安全问题在信息使用的过程中变得尤为重要。只有保证网络应用系统的机密性和完整性，用户才能放心地使用该网络应用系统中的资源。目前存在多种防范技术以实现网络应用系统安全的目的，其中身份认证技术是网络应用系统的首要屏障，其他的安全措施都要依赖于它。黑客攻击的目标往往就是身份认证系统，一旦身份认证系统被攻破，则网络应用系统的所有其他安全措施将形同虚设。目前，最常用的身份认证机制是静态口令认证方式，一定程度上能够有效识别用户身份，使用方便。但攻击者可以通过网络数据窃听、口令猜测、字典攻击、重放攻击等攻击方式破坏静态口令的安全。

此外，广泛使用的另一种身份认证机制是OTP(One-Time Password)认证方式。所述OTP认证是一种一次性口令的摘要认证服务系统，即用户每次使用不同的口令来进行验证。OTP的实现机制主要是挑战/应答(Challenge-Response)机制。挑战/应答机制的工作原理是：当服务端收到登入请求后，产生一挑战信息发送至客户端，用户在客户端输入只有自己知道的通行密码给予应答，并由一次性口令计算器产生一个OTP。此OTP通过网络传送到服务端，服务端验证此口令，从而判断是否合法用户，正确则此OTP将失效。这种方法的安全性在于通行密码不在网络上传输，传输的OTP也一次有效，故截取也无法再次使用。然而，OTP认证方式无法抵抗攻击者假冒服务器端，欺骗合法用户，采用小数攻击的方式，冒充合法用户。

发明内容

鉴于以上内容，有必要提出一种身份验证系统及方法，可以使网络应用系统得到更好的安全保障。

所述的身份验证系统包括：数字证书验证模块，当接收到一个客户端发送的登录一个系统服务器中的网络应用系统的请求时，验证所述客户端及系统服务器中的数字证书是否有效；及用户身份验证模块，用于当所述客户端及系统服务器中的数字证书均有效时，对客户端的用户进行身份验证，以允许通过身份验证的用户进入所述网络应用系统及禁止没有通过身份验证的用户进入所述网络应用系统。

所述的身份验证方法包括：当接收到一个客户端发送的登录一个系统服务器中的网络应用系统的请求时，验证所述客户端及系统服务器中的数字证书是否有效；及当所述客户端及系统服务器中的数字证书均有效时，对客户端的用户进行身份验证，以允许通过身份验证的用户进入所述网络应用系统及禁止没有通过身份验证的用户进入所述网络应用系统。

本发明所提供的身份验证系统及方法采用多重验证方式，使网络应用系统得到更好的安全保障。

附图说明

图1是本发明身份验证系统较佳实施例的应用环境图。

图2A及2B是本发明身份验证系统较佳实施例的硬件架构图。

图3A及3B是本发明身份验证系统较佳实施例的功能模块图。

图4是本发明身份验证方法较佳实施例的方法流程图。

图5是图4中步骤S2的细化流程图。

图6A及6B是图4中步骤S4的细化流程图。

主要元件符号说明