一种网络信息的安全认证方法及系统转让专利
申请号 : CN202310419496.5
文献号 : CN116132072B
文献日 : 2023-06-30
发明人 : 唐爱国 , 周叶平 , 侯海良
申请人 : 湖南工商大学
摘要 :
本发明公开了一种网络信息的安全认证方法及系统,包括:在第一次握手阶段,用户端将第一握手信息进行加密封装处理后发送至服务端,并接收服务端进行认证确定和认证信息写入后发送的写入状态信息包,进行解封装解密处理获得写入状态信息,判定是否进入第二次握手阶段;在第二次握手阶段,用户端将第二握手信息进行加密封装处理后发送至服务端,接收服务端进行认证信息读取后发送的握手认证信息包,进行解封装解密处理获得待校验认证信息,并生成校验请求发送至客户端集群,接收客户端集群进行认证校验后发送的校验认证结果,以判定是否中断与服务端的连接。本发明实现了用户端对真伪服务端的准确识别,提高了网络业务交易或信息查询的安全可靠性。
权利要求 :
1.一种网络信息的安全认证方法,其特征在于,包括:
在第一次握手阶段时,用户端根据特定识别信息、握手认证信息和握手认证密钥生成第一握手信息;
对所述第一握手信息进行加密封装处理,生成第一握手信息包发送至服务端;
接收所述服务端根据所述第一握手信息包进行认证确定和握手认证信息写入后所发送的写入状态信息包,进行解封装解密处理获得写入状态信息;
根据所述写入状态信息判定是否进入第二次握手阶段;
在所述第二次握手阶段时,所述用户端根据所述特定识别信息和所述握手认证密钥生成第二握手信息;
对所述第二握手信息进行加密封装处理,生成第二握手信息包发送至所述服务端;
接收所述服务端根据所述第二握手信息包进行握手认证信息读取后所发送的握手认证信息包,进行解封装解密处理获得待校验认证信息;
根据所述待校验认证信息生成校验请求,发送至客户端集群;
接收所述客户端集群进行认证校验后发送的校验认证结果,并根据所述校验认证结果判定是否中断与所述服务端的连接。
2.根据权利要求1所述的网络信息的安全认证方法,其特征在于,所述用户端根据所述特定识别信息和所述握手认证密钥生成第二握手信息之前,方法还包括:用户端检测输入模式是否为自动模式;若是,则从用户端数据库获取特定识别信息;否则,则通过人机交互方式获取特定识别信息。
3.根据权利要求1所述的网络信息的安全认证方法,其特征在于,所述根据所述待校验认证信息生成校验请求,发送至客户端集群之前,方法还包括:用户端检测输出模式是否为自动处理模式;若是,则进行自动认证校验,若否,则通过人机交互界面进行人工认证校验。
4.根据权利要求1所述的网络信息的安全认证方法,其特征在于,所述根据所述校验认证结果判定是否中断与所述服务端的连接,包括:检测所述校验认证结果中校验认证通过的信息条数是否超过一半;若是,则不中断与所述服务端的连接;否则,中断与所述服务端的连接。
5.根据权利要求1所述的网络信息的安全认证方法,其特征在于,所述服务端根据所述第一握手信息包进行认证确定和握手认证信息写入,包括:所述服务端接收所述用户端发送的所述第一握手信息包,进行解封装解密处理获得所述特定识别信息、所述握手认证信息和所述握手认证密钥;
根据所述特定识别信息、所述握手认证信息和所述握手认证密钥进行认证确定和握手认证信息写入,并生成写入状态信息;
将所述写入状态信息进行加密封装后,生成写入状态信息包发送至所述用户端。
6.根据权利要求1所述的网络信息的安全认证方法,其特征在于,所述服务端根据所述第二握手信息包进行握手认证信息读取,包括:所述服务端接收所述用户端发送的所述第二握手信息包,进行解封装解密处理获得所述特定识别信息和所述握手认证密钥;
根据所述特定识别信息和所述握手认证密钥进行握手认证信息读取,以获得待校验认证信息;
将所述待校验认证信息进行加密封装后,生成握手认证信息包发送至所述用户端。
7.一种网络信息的安全认证系统,其特征在于,包括用户端、服务端和客户端集群;所述用户端与所述服务端之间通过传输通道连接;所述用户端和所述客户端集群通过传输链路连接:所述用户端包括握手信息处理模块、用户端加密封装模块、用户端解封装解密模块、阶段监测模块和用户端认证处理模块;
其中;所述握手信息处理模块用于在第一次握手阶段时,根据特定识别信息、握手认证信息和握手认证密钥生成第一握手信息;在第二次握手阶段时,根据所述特定识别信息和所述握手认证密钥生成第二握手信息;
所述用户端加密封装模块用于在第一次握手阶段时,对所述第一握手信息进行加密封装处理,生成第一握手信息包发送至所述服务端;在第二次握手阶段时,对所述第二握手信息进行加密封装处理,生成第二握手信息包发送至所述服务端;
所述用户端解封装解密模块,用于在第一次握手阶段时,接收所述服务端根据所述第一握手信息进行认证确定和握手认证信息写入后所发送的写入状态信息包,进行解封装解密处理获得写入状态信息;在第二次握手阶段时,接收所述服务端根据所述第二握手信息包进行握手认证信息读取后所发送的握手认证信息包,进行解封装解密处理获得待校验认证信息;
所述阶段监测模块,用于在第一次握手阶段时,根据所述写入状态信息判定是否进入第二次握手阶段;
所述用户端认证处理模块,在第二次握手阶段时,根据所述待校验认证信息生成校验请求,发送至所述客户端集群;接收所述客户端集群根据所述校验请求进行认证校验后发送的校验认证结果,并根据所述校验认证结果判定是否中断与所述服务端的连接;
所述服务端,用于在第一次握手阶段时,接收所述用户端发送的所述第一握手信息,进行认证确定和握手认证信息写入后,将经过加密封装处理得到的写入状态信息包发送至所述用户端;在第二次握手阶段时,接收所述用户端发送的所述第二握手信息包,进行握手认证信息读取后,将经过加密封装处理得到的握手认证信息包发送至所述用户端;
所述客户端集群,用于接收所述用户端发送的认证请求,进行认证校验后,将校验认证结果发送至所述用户端。
8.根据权利要求7所述的网络信息的安全认证系统,其特征在于,所述握手信息处理模块还用于在第二次握手阶段时,检测输入模式是否为自动模式;若是,则从用户端数据库获取特定识别信息;否则,则通过人机交互方式获取特定识别信息。
9.根据权利要求7所述的网络信息的安全认证系统,其特征在于,所述用户端认证处理模块还用于在第二次握手阶段时,检测输出模式是否为自动处理模式;若是,则进行自动认证校验,若否,则通过人机交互界面进行人工认证校验。
10.根据权利要求7所述的网络信息的安全认证系统,其特征在于,所述服务端包括服务端解封装解密模块、服务端认证处理模块、服务端加密封装模块和服务端数据库;
所述服务端解封装解密模块,用于在第一次握手阶段时,接收所述用户端发送的所述第一握手信息包,进行解封装解密处理获得所述特定识别信息、所述握手认证信息和所述握手认证密钥;在第二次握手阶段时,接收所述用户端发送的所述第二握手信息包,进行解封装解密处理获得所述特定识别信息和所述握手认证密钥;
所述服务端认证处理模块,用于在第一次握手阶段时,根据所述特定识别信息、所述握手认证信息和所述握手认证密钥进行认证确定和握手认证信息写入,并生成所述写入状态信息;在第二次握手阶段时,根据所述特定识别信息和所述握手认证密钥进行握手认证信息读取,以获得待校验认证信息;
所述服务端加密封装模块,用于在第一次握手阶段时,将所述写入状态信息进行加密封装后,生成写入状态信息包发送至所述用户端;在第二次握手阶段时,将所述待校验认证信息进行加密封装后,生成握手认证信息包发送至所述用户端;
所述服务端数据库,用于存储写入的所述握手认证信息。
说明书 :
一种网络信息的安全认证方法及系统
技术领域
[0001] 本发明涉及计算机网络信息技术领域,尤其涉及一种网络信息的安全认证方法及系统。
背景技术
[0002] 在计算机网络信息技术的不断发展和普及过程中,人们在日常工作生活中对计算机网络信息技术的使用越来越频繁,网络信息安全已经成为社会发展的重要保证。
[0003] 在个体或者企业通过网络访问目标网址、目标网站或者目标网络服务器进行网络业务交易或者信息查询时,对个体或者企业相应的用户端带来了极大的便利性。
[0004] 现有的用户端与服务端的安全认证方法,重点在于服务端校验用户端或用户身份是否合法有效,而极少有用户端校验服务端是否合法有效问题,导致不法人员利用此漏洞在利益驱使下建立伪网址、伪网站、伪网络服务器或伪服务器设备,使用户一时无法辨识真伪服务端,导致用户信息泄密的问题。
[0005] 虽然当前有一些双向认证方法,但主要是以服务端对用户端进行账户密码的加密处理交互认证,这种方法存在的风险是用户端与服务端直接关联,而用户端相对于服务端是弱势群体使用者,用户端没有自己可靠的其他安全的审核机制,无法确定当时的网络认证的可靠及有效性,从而导致因用户端使用者的某些忽视,产生重大的财产损失风险。
[0006] 因此,如何解决网络信息安全问题,依然是当前急需解决的技术问题。
发明内容
[0007] 基于此,本发明实施例提供一种网络信息的安全认证方法及系统,以解决网络信息安全问题。
[0008] 基于上述目的,本发明实施例提供了一种网络信息的安全认证方法,包括:
[0009] 在第一次握手阶段时,用户端根据特定识别信息、握手认证信息和握手认证密钥生成第一握手信息;
[0010] 对所述第一握手信息进行加密封装处理,生成第一握手信息包发送至服务端;
[0011] 接收所述服务端根据所述第一握手信息包进行认证确定和握手认证信息写入后所发送的写入状态信息包,进行解封装解密处理获得写入状态信息;
[0012] 根据所述写入状态信息判定是否进入第二次握手阶段;
[0013] 在所述第二次握手阶段时,所述用户端根据所述特定识别信息和所述握手认证密钥生成第二握手信息;
[0014] 对所述第二握手信息进行加密封装处理,生成第二握手信息包发送至所述服务端;
[0015] 接收所述服务端根据所述第二握手信息包进行握手认证信息读取后所发送的握手认证信息包,进行解封装解密处理获得待校验认证信息;
[0016] 根据所述待校验认证信息生成校验请求,发送至客户端集群;
[0017] 接收所述客户端集群进行认证校验后发送的校验认证结果,并根据所述校验认证结果判定是否中断与所述服务端的连接。
[0018] 此外,本发明实施例还提供一种网络信息的安全认证系统,包括用户端、服务端和客户端集群;所述用户端与所述服务端之间通过传输通道连接;所述用户端和所述客户端集群通过传输链路连接:
[0019] 所述用户端包括握手信息处理模块、用户端加密封装模块、用户端解封装解密模块、阶段监测模块和用户端认证处理模块;
[0020] 其中;所述握手信息处理模块用于在第一次握手阶段时,根据特定识别信息、握手认证信息和握手认证密钥生成第一握手信息;在第二次握手阶段时,根据所述特定识别信息和所述握手认证密钥生成第二握手信息;
[0021] 所述用户端加密封装模块用于在第一次握手阶段时,对所述第一握手信息进行加密封装处理,生成第一握手信息包发送至所述服务端;在第二次握手阶段时,对所述第二握手信息进行加密封装处理,生成第二握手信息包发送至所述服务端;
[0022] 所述用户端解封装解密模块,用于在第一次握手阶段时,接收所述服务端根据所述第一握手信息进行认证确定和握手认证信息写入后所发送的写入状态信息包,进行解封装解密处理获得写入状态信息;在第二次握手阶段时,接收所述服务端根据所述第二握手信息包进行握手认证信息读取后所发送的握手认证信息包,进行解封装解密处理获得待校验认证信息;
[0023] 所述阶段监测模块,用于在第一次握手阶段时,根据所述写入状态信息判定是否进入第二次握手阶段;
[0024] 所述用户端认证处理模块,在第二次握手阶段时,根据所述待校验认证信息生成校验请求,发送至所述客户端集群;接收所述客户端集群根据所述校验请求进行认证校验后发送的校验认证结果,并根据所述校验认证结果判定是否中断与服务端的连接;
[0025] 所述服务端,用于在第一次握手阶段时,接收所述用户端发送的所述第一握手信息,进行认证确定和握手认证信息写入后,将经过加密封装处理得到的写入状态信息包发送至所述用户端;在第二次握手阶段时,接收所述用户端发送的所述第二握手信息包,进行握手认证信息读取后,将经过加密封装处理得到的握手认证信息包发送至所述用户端;
[0026] 所述客户端集群,用于接收所述用户端发送的认证请求,进行认证校验后,将校验认证结果发送的所述用户端。
[0027] 本发明实施例提供的网络信息的安全认证方法及系统,在第一次握手阶段,用户端将第一次握手信息加密封装后发送到服务端,并接收服务端进行认证确认和认证信息写入后发送的写入认证信息包,以判定是否进入第二次握手阶段,从而完成了握手信息的安全录入,避免了信息泄露风险;而在第二次握手阶段,用户端将第一次握手信息加密封装后发送至服务端,接收服务端进行认证信息读取后发送的握手认证信息包,并生成校验请求发送至客户端集群,接收客户端集群进行认证校验后发送的认证校验结果,以判定是否中断与服务端的连接,从而有效完成了对服务端的认证校验,实现了用户端对真伪服务端的准确识别,提高了网络业务交易或信息查询的安全可靠性。其次,采用用户端发起认证请求,客户端集群收集认证信息对服务端进行认证校验的方式,可以使握手信息录入和认证校验进行分离,进一步提高了信息安全性。
附图说明
[0028] 为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0029] 图1示出了本发明实施例所提供的一种网络信息的安全认证方法的应用环境图;
[0030] 图2示出了本发明实施例所提供的一种网络信息的安全认证方法的流程图;
[0031] 图3示出了本发明实施例所提供的一种网络信息的安全认证系统的结构示意图。
具体实施方式
[0032] 这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
[0033] 实施例1
[0034] 本发明一实施例提供的一种网络信息的安全认证方法,可应用在如图1的应用环境中,其中,用户端与服务端通过网络进行通信,用户端与客户端集群通过网络进行通信;用户端包含桌上型计算机、笔记本电脑、移动个人计算机、个人数字助理(Personal Digital Assistant,PDA)等计算机设备;服务端可以用独立的服务器或者是多个服务器组成的服务器集群来实现;客户端集群包含三个或三个以上的客户端。
[0035] 如图2所示,本发明一实施例提供的一种网络信息的安全认证方法的流程图,所述网络信息的安全认证方法应用于图1中的用户端,用户可以通过用户端访问服务端进行网络业务交易或者信息查询。如图2所示,该网络信息的安全认证方法具体包括以下步骤:
[0036] S11,在第一次握手阶段时,用户端根据特定识别信息、握手认证信息和握手认证密钥生成第一握手信息;
[0037] S12,对所述第一握手信息进行加密封装处理,生成第一握手信息包发送至服务端;
[0038] S13,接收所述服务端根据所述第一握手信息包进行认证确定和握手认证信息写入后所发送的写入状态信息包,进行解封装解密处理获得写入状态信息;
[0039] S14,根据所述写入状态信息判定是否进入第二次握手阶段;
[0040] S21,在所述第二次握手阶段时,所述用户端根据所述特定识别信息和所述握手认证密钥生成第二握手信息;
[0041] S22,对所述第二握手信息进行加密封装处理,生成第二握手信息包发送至所述服务端;
[0042] S23,接收所述服务端根据所述第二握手信息包进行握手认证信息读取后所发送的握手认证信息包,进行解封装解密处理获得待校验认证信息;
[0043] S24,根据所述待校验认证信息生成校验请求,发送至客户端集群;
[0044] S25,接收所述客户端集群进行认证校验后发送的校验认证结果,并根据所述校验认证结果判定是否中断与所述服务端的连接。
[0045] 可理解的,本实施例的网络信息的安全认证方法,可以应用在用户端,具体包括第一次握手阶段和第二次握手阶段。在第一次握手阶段时,可以通过上述步骤S11至步骤S14完成握手信息录入,而在第二次握手阶段时,可以通过上述步骤S21至步骤S15完成对服务端进行认证校验。
[0046] 更具体的,在第一握手阶段,用户端采用人工交互方式获取用户的特定识别信息、握手认证信息和握手认证密钥,以获得第一握手信息。可选地,特定识别信息可以是个人身份识别码,握手认证信息可以是采用文字、符号、图片、条形码或者二维码等表现形式的安全证书,握手认证密钥可以是采用文字、符号、图片、条形码或者二维码等表现形式的密钥,用于对握手认证信息进行签名。
[0047] 接下来,用户端通过第一加密算法对第一握手信息进行加密,并通过封装工具进行封装后,得到第一握手信息包发送至服务端,相应地,服务端根据第一握手信息包进行认证确认和认证信息写入后,生成写入状态信息,并将经过加密封装处理得到写入状态信息包发送至用户端。可选地,写入状态信息为写入成功和写入失败这两种状态信息中的一种,并且写入成功、写入失败的状态信息分别与认证确认通过、认证确认未通过进行对应。
[0048] 再接下来,用户端接收到服务端传输过来的写入状态信息包时,通过解封装工具对写入状态信息包进行解封装,并通过第二解密算法进行解密后,得到写入状态信息。
[0049] 最后,用户端检测写入状态信息是否为写入成功,若是,则确定握手信息录入完成,进入第二次握手阶段进行认证校验;否则,则确定握手信息录入失败,不进入第二次握手阶段,此时,可以获取新的握手信息重新尝试录入,还可以记录信息录入次数,并在信息录入次数达到预设录入次数阈值时,对用户进行锁定,不再允许该用户进行登录。
[0050] 而在第二次握手阶段,用户端可以通过人工交互方式获取用户的特定识别信息,或者从用户端数据库读取用户的特定识别信息,结合握手认证密钥生成第二握手信息。
[0051] 接下来,用户端通过与第一次握手阶段相同的加密算法对第二握手信息进行加密,并通过封装工具进行封装后,得到第二握手信息包发送至服务端,相应地,服务端根据第二握手信息包进行认证信息读取后,获得待校验认证信息,并将经过加密封装处理得到握手认证信息包发送至用户端。
[0052] 再接下来,用户端接收到服务端传输过来的握手认证信息包时,通过解封装工具对握手认证信息包进行解封装,并通过与第一次握手阶段相同的解密算法进行解密后,得到待校验认证信息,通过第三加密算法对待校验认证信息进行加密后,发送至客户端集群,相应的,客户端集群中包含的每个客户端根据待校验认证信息和预先存储在数据库中的握手认证信息进行认证校验,得到认证校验通过或者认证校验未通过的信息发送至用户端。
[0053] 最后,用户端接收客户端集群传输过来的认证校验结果时,根据认证校验结果判定是否中断与服务端的连接,从而完成对服务端的认证校验。
[0054] 可以理解的是,第一握手信息包和第二握手信息包的格式根据用户端与服务端之间的传输协议而定,用户端与服务端之间的传输协议采用HTTP协议等;第一加密算法和第二加密算法为MD5、RSA和AES中的任意一种算法;第三加密算法为改进的加密算法,可以为双重RSA算法、RSA与AES的混合加密算法等。
[0055] 综上所述,本实施例提供的网络信息的安全认证方法,在第一次握手阶段,用户端将第一次握手信息加密封装后发送到服务端,并接收服务端进行认证确认和认证信息写入后发送的写入认证信息包,以判定是否进入第二次握手阶段,从而完成了握手信息的安全录入,避免了信息泄露风险;而在第二次握手阶段,用户端将第一次握手信息加密封装后发送至服务端,接收服务端进行认证信息读取后发送的握手认证信息包,并生成校验请求发送至客户端集群,接收客户端集群进行认证校验后发送的认证校验结果,以判定是否中断与服务端的连接,从而有效完成了对服务端的认证校验,实现了用户端对真伪服务端的准确识别,提高了网络业务交易或信息查询的安全可靠性。其次,采用用户端发起认证请求,客户端集群收集认证信息对服务端进行认证校验的方式,可以使握手信息录入和认证校验进行分离,进一步提高了信息安全性。
[0056] 进一步地,所述S11之前,所述第一次握手阶段还包括以下步骤:
[0057] 所述用户端将握手认证信息进行加密后,发送至客户端集群。
[0058] 更具体的,用户端通过双重RSA算法对获取的握手认证信息进行加密,得到握手认证信息密文并发送至客户端集群,此时,客户端集群中的所有客户端接收到握手认证信息密文时,通过双重RSA算法对握手认证信息密文进行解密,得到握手认证信息存储至数据库中,以供后续进行认证校验。
[0059] 可理解的,用户端还可以将特定识别信息与握手认证信息一同发送至客户端集群,此时,客户端集群中的所有客户端可以判断与特定识别信息对应的用户是否为已建立连接的用户。
[0060] 进一步地,所述S21之前,所述第二次握手阶段还包括以下步骤:
[0061] 所述用户端检测输入模式是否为自动模式;若是,则从用户端数据库获取特定识别信息;否则,则通过人机交互方式获取特定识别信息。
[0062] 在本实施例中,输入模式包含自动模式和人工模式两种,并且自动模式被设置为默认的输入模式。
[0063] 更具体的,用户端实时检测位于人机交互界面中与人工模式绑定的人工模式按键是否被触发,若人工模式按键未被触发,则无需由默认的输入模式(即自动模式)切换到人工模式,此时,可以从用户端数据库中获取用户的特定识别信息;而若人工模式按键被触发,则由自动模式切换到人工模式,此时,可以采用人机交互方式获取用户的特定识别信息。
[0064] 可选地,人机交互方式是指通过用户端的人机交互界面获取由用户录入的特定识别信息。可理解的,本实施例通过不同的输入模式获取特定识别信息,可以满足不同的用户需求和场景需求,同时通过人工模式按键即可完成输入模式的切换,使用方便、便捷。
[0065] 进一步地,所述S24之前,所述第二次握手阶段还包括以下步骤:
[0066] 所述用户端检测输出模式是否为自动处理模式;若是,则进入步骤S24进行自动认证校验,若否,则通过人机交互界面进行人工认证校验。
[0067] 在本实施例中,输出模式包含自动处理模式和人工处理模式两种,并且自动处理模式被设置为默认的输出模式。
[0068] 更具体的,用户端实时检测位于人机交互界面中与人工处理模式绑定的人工处理模式按键是否被触发,若人工处理模式按键未被触发,则无需由默认的输出模式(即自动处理模式)切换到人工处理模式,此时,可以进入步骤S24进行自动认证校验;而若人工处理模式按键被触发,则由自动处理模式切换到人工处理模式,此时,将服务端传输过来的经过解封装解密处理得到的待校验认证信息通过人机交互界面展示给用户,以供用户进行认证校验。可理解的,本实施例通过不同的输出模式获取认证校验,可以满足不同的用户需求和场景需求,同时通过人工处理模式按键即可完成输出模式的切换,使用方便、便捷。
[0069] 进一步地,所述S25中,根据所述校验认证结果判定是否中断与所述服务端的连接具体包括以下步骤:
[0070] 检测所述校验认证结果中校验认证通过的信息条数是否超过一半;若是,则不中断与所述服务端的连接;否则,中断与所述服务端的连接。
[0071] 在本实施例中,校验认证结果中包含客户端集群中包含的每个客户端,根据在第二次握手阶段传输过来的握手认证信息和预先存储在数据库中的待校验认证信息进行认证校验,生成的校验认证通过或者校验认证失败的信息。
[0072] 更具体的,用户端接收到客户端集群发送的校验认证结果后,统计校验认证通过的信息条数,并检测校验认证通过的信息条数是否超过一半的信息总条数,若超过,则确定认证校验正确,用户端与服务端继续连接,以处理后续的网络业务交易或者信息查询;而若未超过,则确定认证校验失败,用户端将该服务端标记为伪装服务端,并主动中断与伪装服务端的连接,同时还可以将该伪装服务端加入黑名单,以拒绝伪装服务端的通讯。
[0073] 在其他实施例中,用户端根据校验认证结果计算校验认证通过率,若校验认证通过率超过预设通过率阈值,则用户端维持与服务器的连接,否则,用户端中断与服务端的连接。可选地,所述预设通过率阈值根据需求进行设置,例如,预设通过率阈值设置为0.9。
[0074] 可理解的,本实施例的用户端通过校验认证结果判定是否中断与服务端的连接,可以使用户端拒绝与伪装的服务端通讯,保护了用户信息,使得用户的网络业务交易及信息查询更加安全可靠。
[0075] 进一步地,所述步骤S22中,所述服务端根据所述第一握手信息包进行认证确定和握手认证信息写入,具体包括以下步骤:
[0076] S31,所述服务端接收所述用户端发送的所述第一握手信息包,进行解封装解密处理获得所述特定识别信息、所述握手认证信息和所述握手认证密钥;
[0077] S32,根据所述特定识别信息、所述握手认证信息和所述握手认证密钥进行认证确定和握手认证信息写入,并生成写入状态信息;
[0078] S33,将所述写入状态信息进行加密封装后,生成写入状态信息包发送至所述用户端。
[0079] 在本实施例中,写入状态信息为写入成功和写入失败这两种状态中的一种。
[0080] 更具体的,在第一次握手阶段,服务端接收用户端发送的第一握手信息包,通过解封装工具对第一握手信息包进行解封装,并通过与第一加密算法对应的第一解密算法进行解密后,得到用户的特定识别信息、握手认证信息和握手认证密钥。接下来,服务端根据用户的特定识别信息、握手认证信息和握手认证密钥进行认证确定,若认证确定通过,则将握手认证信息写入至服务端数据库中的认证信息表中,并生成写入成功的状态信息;而若认证确认未通过,则直接生成写入失败的状态信息。
[0081] 可选地,服务端根据用户的特定识别信息、握手认证信息和握手认证密钥进行认证确认的实现过程为:服务端首先根据用户的特定识别信息和握手认证密钥访问第三方服务器(第三方服务器可选为CA中心),以获取存储在第三方服务器中用户的认证信息;然后将用户端传输的握手认证信息与第三方服务器传输的认证信息进行比对,从而完成认证确认。
[0082] 最后,服务端将写入成功或者写入失败的状态信息通过与第二解密算法对应的第二加密算法进行加密,并通过封装工具进行封装,生成写入状态信息包发送至用户端。可选地,解封装工具和封装工具可以为常用的解压缩软件。
[0083] 进一步地,所述步骤S22中,所述服务端根据所述第二握手信息包进行握手认证信息读取,具体包括以下步骤:
[0084] S41,所述服务端接收所述用户端发送的所述第二握手信息包,进行解封装解密处理获得所述特定识别信息和所述握手认证密钥;
[0085] S42,根据所述特定识别信息和所述握手认证密钥进行握手认证信息读取,以获得待校验认证信息;
[0086] S43,将所述待校验认证信息进行加密封装后,生成握手认证信息包发送至所述用户端。
[0087] 更具体的,在第二次握手阶段,服务端接收用户端发送的第二握手信息包,通过解封装工具对第二握手信息包进行解封装,并通过与第一加密算法对应的第一解密算法进行解密后,得到用户的特定识别信息和握手认证密钥。
[0088] 接下来,服务端根据用户的特定识别信息和握手认证密钥从服务端数据库中的认证信息表中,读取与用户对应的握手认证信息作为待校验认证信息,通过第二加密算法进行加密,并通过封装工具进行封装,生成握手认证信息包发送至用户端。
[0089] 实施例2
[0090] 如图3所示,本发明实施例所提供的一种网络信息的安全认证系统的结构示意图,该网络信息的安全认证系统包括用户端10、服务端20和客户端集群30;所述用户端10与所述服务端20之间通过传输通道40连接;所述用户端10和所述客户端集群30通过传输链路50连接。
[0091] 所述用户端10包括握手信息处理模块110、用户端加密封装模块120、用户端解封装解密模块130、阶段监测模块140和用户端认证处理模块150;
[0092] 其中;所述握手信息处理模块110,用于在第一次握手阶段时,根据特定识别信息、握手认证信息和握手认证密钥生成第一握手信息;在第二次握手阶段时,根据所述特定识别信息和所述握手认证密钥生成第二握手信息;
[0093] 所述用户端加密封装模块120,用于在第一次握手阶段时,对所述第一握手信息进行加密封装处理,生成第一握手信息包发送至所述服务端20;在第二次握手阶段时,对所述第二握手信息进行加密封装处理,生成第二握手信息包发送至所述服务端20;
[0094] 所述用户端解封装解密模块130,用于在第一次握手阶段时,接收所述服务端20根据所述第一握手信息进行认证确定和握手认证信息写入后所发送的写入状态信息包,进行解封装解密处理获得写入状态信息;在第二次握手阶段时,接收所述服务端20根据所述第二握手信息包进行握手认证信息读取后所发送的握手认证信息包,进行解封装解密处理获得待校验认证信息;
[0095] 所述阶段监测模块140,用于在第一次握手阶段时,根据所述写入状态信息判定是否进入第二次握手阶段;
[0096] 所述用户端认证处理模块150,在第二次握手阶段时,根据所述待校验认证信息生成校验请求,发送至所述客户端集群30;接收所述客户端集群30根据所述校验请求进行认证校验后发送的校验认证结果,并根据所述校验认证结果判定是否中断与所述服务端20的连接;
[0097] 所述服务端20,用于在第一次握手阶段时,接收所述用户端10发送的所述第一握手信息,进行认证确定和握手认证信息写入后,将经过加密封装处理得到的写入状态信息包发送至所述用户端10;在第二次握手阶段时,接收所述用户端10发送的所述第二握手信息包,进行握手认证信息读取后,将经过加密封装处理得到的握手认证信息包发送至所述用户端10;
[0098] 所述客户端集群30,用于接收所述用户端10发送的认证请求,进行认证校验后,将校验认证结果发送至所述用户端10。
[0099] 可以理解的是,传输通道40用于用户端10和服务端20之间进行数据包的交互传输。
[0100] 传输链路50用于用户端10和客户端集群30之间进行数据交互,该传输链路50可以为普通的网络传输链路或者USB传输链路。
[0101] 对于用户端10,其握手信息处理模块110用于生成握手信息;用户端加密封装模块120用于对握手信息进行加密封装发送至服务端20;用户端解封装解密模块130用于接收服务端20传输过来的写入状态信息包或者握手认证信息包,并进行解封装解密;阶段监测模块140用于是否可以进入第二次握手阶段;用户端认证处理模块150用于基于客户端服务器完成用户端10对服务端20的认证校验,并在认证校验正确时,不中断与服务端20通信,而在认证校验失败时,中断与服务端20通信。
[0102] 在一可选实施例中,所述握手信息处理模块110还用于将握手认证信息进行加密后,发送至客户端集群30。
[0103] 在一可选实施例中,所述握手信息处理模块110还用于在第二次握手阶段时,检测输入模式是否为自动模式;若是,则从用户端数据库获取特定识别信息;否则,则通过人机交互方式获取特定识别信息。
[0104] 在一可选实施例中,所述用户端认证处理模块150还用于在第二次握手阶段时,检测输出模式是否为自动处理模式;若是,则进行自动认证校验,若否,则通过人机交互界面进行人工认证校验。
[0105] 在一可选实施例中,所述服务端20包括服务端解封装解密模块210、服务端认证处理模块220、服务端加密封装模块230和服务端数据库240;
[0106] 所述服务端解封装解密模块210,用于在第一次握手阶段时,接收所述用户端10发送的所述第一握手信息包,进行解封装解密处理获得所述特定识别信息、所述握手认证信息和所述握手认证密钥;在第二次握手阶段时,接收所述用户端10发送的所述第二握手信息包,进行解封装解密处理获得所述特定识别信息和所述握手认证密钥;
[0107] 所述服务端认证处理模块220,用于在第一次握手阶段时,根据所述特定识别信息、所述握手认证信息和所述握手认证密钥进行认证确定和握手认证信息写入,并生成所述写入状态信息;在第二次握手阶段时,根据所述特定识别信息和所述握手认证密钥进行握手认证信息读取,以获得待校验认证信息;
[0108] 所述服务端加密封装模块230,用于在第一次握手阶段时,将所述写入状态信息进行加密封装后,生成写入状态信息包发送至所述用户端10;在第二次握手阶段时,将所述待校验认证信息进行加密封装后,生成握手认证信息包发送至所述用户端10;
[0109] 所述服务端数据库240,用于存储写入的所述握手认证信息。
[0110] 本实施例提供的网络信息的安全认证系统,在第一次握手阶段,用户端10将第一次握手信息加密封装后发送到服务端20,并接收服务端20进行认证确认和认证信息写入后发送的写入认证信息包,以判定是否进入第二次握手阶段,从而完成了握手信息的安全录入,避免了信息泄露风险;而在第二次握手阶段,用户端10将第一次握手信息加密封装后发送至服务端20,接收服务端20进行认证信息读取后发送的握手认证信息包,并生成校验请求发送至客户端集群30,接收客户端集群30进行认证校验后发送的认证校验结果,以判定是否中断与服务端20的连接,从而有效完成了对服务端20的认证校验,实现了用户端10对真伪服务端的准确识别,提高了网络业务交易或信息查询的安全可靠性。其次,采用用户端10发起认证请求,客户端集群30收集认证信息对服务端20进行认证校验的方式,可以使握手信息录入和认证校验进行分离,进一步提高了信息安全性。
[0111] 需要说明的是,在本发明的描述中,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性。此外,在本发明的描述中,除非另有说明,“多个”的含义是指至少两个。
[0112] 以上所述,仅是本发明的较佳实施例而已,并非对本发明作任何形式上的限制,虽然本发明已以较佳实施例揭示如上,然而并非用以限定本发明,任何本领域技术人员,在不脱离本发明技术方案范围内,当可利用上述揭示的技术内容做出些许更动或修饰为等同变化的等效实施例,但凡是未脱离本发明技术方案内容,依据本发明的技术实质对以上实施例所作的任何简介修改、等同变化与修饰,均仍属于本发明技术方案的范围内。