[发明专利]网络请求的安全认证方法及系统

说明书

本发明公开了一种网络请求的安全认证方法及系统。该安全认证方法包括以下步骤：用户端发出正式请求，采用安全算法根据uid、密码和服务端生成的随机令牌生成一安全令牌，向服务端发送uid和安全令牌；服务端提取用户的记录，若无记录则验证失败；服务端判断过期时间和/或判断可使用次数是否小于等于零，若任意判断结果为是则删除服务端记录的用户信息，验证失败，否则继续；服务端采用安全算法计算得出参考令牌，匹配参考令牌和安全令牌，匹配成功则验证成功。本发明的网络请求的安全认证方法及系统能够响应用户的请求，拒绝攻击者的请求，还可以根据安全情况设定安全等级，能够兼顾安全性和执行速度及效率。

技术领域

本发明涉及网络请求的安全认证，尤其涉及一种网络请求的安全认证方法及系统。

背景技术

目前网络中采用的主流的安全认证机制主要有两类：对称加密：双方约定加密算法和共同的密钥；非对称加密：公钥和加密算法公开，私钥私有。然而这两种目前的主要安全认证机制都存在一些缺陷。在客户端代码可能被破解(加密算法暴露)，客户端通信可能被监听的情况下，对称加密不够安全，并且很难更换密钥，这使其安全性的隐患很难消除。非对称加密的安全性虽然要好于前者，但仍有不足，同时执行速度缓慢。

发明内容

本发明要解决的技术问题是为了克服现有技术中网络请求的安全认证机制安全性不够高、容易受到攻击以及执行速度缓慢、效率不高的缺陷，提供一种网络请求的安全认证方法及系统。

本发明是通过下述技术方案来解决上述技术问题的：

一种网络请求的安全认证方法，其特点在于，包括以下步骤：

步骤一、用户端判断登陆的用户是否为首次登陆，若是则执行步骤三，若否则执行步骤二；

步骤二、用户端判断是否有符合第一条件的安全令牌(即secure token)，若是则执行步骤六，若否则执行步骤三，该第一条件为安全令牌未超时、未超过预设使用次数、或未超时且未超过预设使用次数；

步骤三、用户端将登陆的用户的用户身份证明(即uid)发送至服务端；

步骤四、服务端生成一随机令牌，并记录该用户身份证明作为第一记录值(通常也称作key)、预设使用次数作为可使用次数、该用户身份证明的发送时间加上预设的第一时长作为过期时间以及该随机令牌，并返回该随机令牌(即random token)及提示用户端发出正式请求；

步骤五、用户端采用预设的安全算法根据该用户身份证明、该用户的密码和该随机令牌生成一安全令牌；

步骤六、用户端向服务端发送该用户身份证明和该安全令牌；

步骤七、服务端提取记录的该用户的随机令牌及可使用次数和/或过期时间，若无记录则返回验证失败并执行步骤三；

步骤八、服务端判断当前时刻是否已超出过期时间和/或判断可使用次数是否小于或等于零，若任意判断结果为是则删除服务端记录的该用户的信息，并向用户端输出验证失败的信息，并终止安全认证流程，若判断结果均为否则执行步骤九；

步骤九、服务端采用该安全算法根据记录的该第一记录值、该用户身份证明、该用户的密码、该随机令牌计算得出一参考令牌，判断该参考令牌和用户端发出的该安全令牌是否相同，若是则验证成功，若否则执行步骤十；

步骤十、服务端在一预设封锁时长的时间段内封锁用户端的mac地址(即物理地址)。

本发明在安全验证中涉及的计算不可逆，即使攻击者通过截取或窃取了加密算法和安全令牌，也无法逆向推出用户的密码。并且，服务端仅仅需要执行一次安全算法，例如以下优选方案中的安全哈希算法，这使得整个安全验证过程计算负荷低而效率极高。

较佳地，预设的该安全算法为安全哈希算法。安全哈希算法一般称为SHA算法。