认证方法及认证装置制造方法及图纸

技术编号:10495229 阅读:104 留言:0更新日期:2014-10-04 13:18
本申请实施例提供了一种认证方法及认证装置。认证方法包括:从一服务器获取一用户的第一服务器认证信息,所述第一服务器认证信息是使用由所述用户的一用户密码中的第一数个字符得到的至少一第一密钥加密过的;获取所述用户在一密码输入区域输入的所述第一数个字符;使用由输入的所述第一数个字符得到的至少一第二密钥解密所述第一服务器认证信息;至少根据解密后的第一服务器认证信息,向所述用户反馈至少一第一认证响应;基于所述用户的服务器认证通过指示,向所述服务器发送一认证请求,所述认证请求用于请求所述服务器对所述用户进行认证。本申请实施例提供了一种认证方案。

【技术实现步骤摘要】
认证方法及认证装置
本申请实施例涉及安全
,尤其涉及一种认证方法及认证装置。
技术介绍
一种钓鱼(Phishing)攻击是通过仿造合法网站的用户界面,骗取用户的个人信息。针对这种攻击,重要的网站会向用户确认自身的真实性。常用的方法是Sitekey,一种基于挑战(challenge)-响应(response)来防止phishing的技术。它包括如下步骤:用户在网站的登录界面中输入自己的用户名,而不需要输入密码;在网站的登录界面向用户展示该用户预先设置的一张图像或者一句话,如果这个展示的内容不符合用户先前的设置,用户就可以认定网站不是真实的,如果符合,用户就可以认为网站是真实的;如果用户认定网站真实,用户就可以在网站的登录界面中输入登录密码;网站认证用户的身份,并允许用户登录。 针对上述方案,黑客可以实施如下的中间人(man-1n-the-middle)攻击:利用phishing伪装登录界面以获取用户名,利用该用户名从真实网站获得Sitekey,即该用户预先设置的一张图像或者一句话,利用盗取的Sitekey伪装登录界面,诱使用户输入登录密码。
技术实现思路
有鉴于此,本申请实施例的一个目的在于提供一种认证方案。 为实现上述目的,根据本申请实施例的一个方面,提供一种认证方法,包括: 从一服务器获取一用户的第一服务器认证信息,所述第一服务器认证信息是使用由所述用户的一用户密码中的第一数个字符得到的至少一第一密钥加密过的; 获取所述用户在一密码输入区域输入的所述第一数个字符; 使用由输入的所述第一数个字符得到的至少一第二密钥解密所述第一服务器认证信息; 至少根据解密后的第一服务器认证信息,向所述用户反馈至少一第一认证响应; 基于所述用户的服务器认证通过指示,向所述服务器发送一认证请求,所述认证请求用于请求所述服务器对所述用户进行认证。 为实现上述目的,根据本申请实施例的又一个方面,提供一种认证装置,包括: 第一获取模块,用于从一服务器获取一用户的第一服务器认证信息,所述第一服务器认证信息是使用由所述用户的一用户密码中的第一数个字符得到的至少一第一密钥加密过的; 第二获取模块,用于获取所述用户在一密码输入区域输入的所述第一数个字符; 第一解密模块,用于使用由输入的所述第一数个字符得到的至少一第二密钥解密所述第一服务器认证信息; 第一反馈模块,用于至少根据解密后的第一服务器认证信息,向所述用户反馈至少一第一认证响应; 认证请求模块,用于基于所述用户的服务器认证通过指示,向所述服务器发送一认证请求,所述认证请求用于请求所述服务器对所述用户进行认证。 以上多个技术方案中的至少一个技术方案具有如下有益效果: 本申请实施例提供了一种认证方案,并且通过在服务器对用户进行认证之前,先由用户根据输入用户密码的过程中的反馈对服务器进行认证,保证了用户的安全性,进一步地,传输的服务器认证信息是使用用户密码中的字符加密过的,降低了服务器认证信息被盗取的风险。 【附图说明】 图1为本申请提供的一种认证方法实施例的流程示意图; 图2a为本申请提供的一种认证装置实施例的结构示意图; 图2b?2d分别为图2a所示实施例的一种实现方式的结构示意图; 图3为本申请提供的一种用户设备实施例一的结构示意图; 图4为本申请提供的一种用户设备实施例二的结构示意图。 【具体实施方式】 下面结合附图和实施例,对本申请的【具体实施方式】作进一步详细说明。以下实施例用于说明本专利技术,但不用来限制本专利技术的范围。 图1为本申请提供的一种认证方法实施例的流程示意图。如图1所示,本实施例包括: 110、从一服务器获取一用户的第一服务器认证信息,所述第一服务器认证信息是使用由所述用户的一用户密码中的第一数个字符得到的至少一第一密钥加密过的。 举例来说,本申请提供的认证装置执行本实施例的方法,S卩,所述认证装置执行110?150。其中,所述认证装置可以设置在用户设备中,所述用户设备举例来说可以是智能手机、PAD、个人电脑等。 可选地,110具体为:获取所述用户在一用户标识输入区域输入的至少一字符,即所述用户的用户标识,将所述用户标识向所述服务器发送,接收所述服务器返回的与所述用户标识对应的第一服务器认证信息。 120、获取所述用户在一密码输入区域输入的所述第一数个字符。 举例来说,所述密码输入区域可以是用户界面提供的至少一密码输入框。 130、使用由输入的所述第一数个字符得到的至少一第二密钥解密所述第一服务器认证信息。 其中,所述至少一第一密钥与所述至少一第二密钥可以相同,或者,不同。具体来说,若使用对称加密算法,即加密和解密所使用的密钥相同,则所述至少一第一密钥与所述至少一第二密钥是相同的,若使用非对称加密算法,即加密和解密所使用的密钥不同,则所述至少一第一密钥与所述至少一第二密钥是不同的。 140、至少根据解密后的第一服务器认证信息,向所述用户反馈至少一第一认证响应。 具体地,所述至少一第一认证响应的形式可以有多种,相应地,上述反馈具体可以是根据所述至少一第一认证响应的形式分别反馈。可选地,所述至少一第一认证响应包括以下至少一种形式的响应:听觉、触觉、视觉、味觉、嗅觉、温度。举例来说,听觉形式的响应可以包括:一段曲调,或者,键盘音的改变;触觉形式的响应可以包括:用户接触区域的触感变化,比如某个按钮突起;视觉形式的响应可以包括:一副图片,和/或,密码输入区域背景颜色的改变;味觉形式的响应可以包括:控制口腔中的某个配件释放某种味道;嗅觉形式的响应可以包括:某种气味的释放;温度形式的响应可以包括:用户接触区域温度的改变。 150、基于所述用户的服务器认证通过指示,向所述服务器发送一认证请求,所述认证请求用于请求所述服务器对所述用户进行认证。 通常,140中所述解密后的第一服务器认证信息是与所述用户的预先约定相符的。举例来说,用户可以设定对A银行的网上银行服务器的第一服务器认证信息和登录该网上银行服务器的用户密码,该网上银行服务器将该用户设定的第一服务器认证信息用由所述用户密码中的第一数个字符得到的至少一第一密钥加密后保存在本地;若所述用户根据所述用户密码在一密码输入区域进行输入,即正确地进行输入,相应地,120中能够获取到所述用户在一密码输入区域输入的所述第一数个字符,并且由输入的所述第一数个字符得到的至少一第二密钥与所述至少一第一密钥是相符的,即用所述至少一第二密钥能够解密使用所述至少一第一密钥加密的信息,因此130中能够成功地解密所述第一服务器认证信息,140中所述解密后的第一服务器认证信息通常与该用户之前设定的第一服务器认证信息相符,因此,至少根据解密后的第一服务器认证信息得到的所述至少一第一认证响应通常是符合所述用户的预期的;相反,若所述用户未根据所述用户密码在密码输入区域进行输入,即输入错误,则无法获取到所述用户在一密码输入区域输入的所述第一数个字符,作为替代的,所述认证装置获取到的是与所述第一数个字符不同的至少一个字符,进一步地,由该获取到的至少一个字符得到的至少一第二密钥与所述至少一第一密钥不相符,无法成功解密所述第一服务器认证信息,相应地本文档来自技高网...

【技术保护点】
一种认证方法,其特征在于,所述方法包括:从一服务器获取一用户的第一服务器认证信息,所述第一服务器认证信息是使用由所述用户的一用户密码中的第一数个字符得到的至少一第一密钥加密过的;获取所述用户在一密码输入区域输入的所述第一数个字符;使用由输入的所述第一数个字符得到的至少一第二密钥解密所述第一服务器认证信息;至少根据解密后的第一服务器认证信息,向所述用户反馈至少一第一认证响应;基于所述用户的服务器认证通过指示,向所述服务器发送一认证请求,所述认证请求用于请求所述服务器对所述用户进行认证。

【技术特征摘要】
1.一种认证方法,其特征在于,所述方法包括: 从一服务器获取一用户的第一服务器认证信息,所述第一服务器认证信息是使用由所述用户的一用户密码中的第一数个字符得到的至少一第一密钥加密过的; 获取所述用户在一密码输入区域输入的所述第一数个字符; 使用由输入的所述第一数个字符得到的至少一第二密钥解密所述第一服务器认证信息; 至少根据解密后的第一服务器认证信息,向所述用户反馈至少一第一认证响应; 基于所述用户的服务器认证通过指示,向所述服务器发送一认证请求,所述认证请求用于请求所述服务器对所述用户进行认证。2.根据权利要求1所述的方法,其特征在于,所述第一数个字符不包括所述用户密码的最后一个字符。3.根据权利要求1或2所述的方法,其特征在于,所述第一数个字符是所述用户预先约定的。4.根据权利要求1~3中任一所述的方法,其特征在于,所述方法还包括:从所述服务器获取所述第一数个字符在所述用户密码中的排序; 所述获取所述用户在 一密码输入区域输入的所述第一数个字符,包括:根据所述排序,获取所述用户在一密码输入区域输入的所述第一数个字符。5.根据权利要求1~3中任一所述的方法,其特征在于,所述方法还包括:从所述服务器获取由所述用户密码中的第一数个字符得到所述至少一第一密钥的密钥生成策略; 所述使用由输入的所述第一数个字符得到的至少一第二密钥解密所述第一服务器认证信息,包括: 根据输入的所述第一数个字符和所述密钥生成策略,得到至少一第二密钥; 使用所述至少一第二密钥解密所述第一服务器认证信息。6.根据权利要求1~3中任一所述的方法,其特征在于,所述至少根据解密后的第一服务器认证信息,向所述用户反馈至少一第一认证响应,包括: 根据解密后的第一服务器认证信息,确定与所述用户在所述密码输入区域输入的至少一个字符对应的至少一第一认证响应并向所述用户反馈。7.根据权利要求1~3中任一所述的方法,其特征在于,所述服务器认证通过指示是所述用户在确认所述至少一第一认证响应无误后发送的。8.根据权利要求1~3中任一所述的方法,其特征在于,所述基于所述用户的服务器认证通过指示,向所述服务器发送一认证请求之前,还包括: 从所述服务器获取所述用户的第二服务器认证信息,所述第二服务器认证信息是使用由所述用户密码中与所述第一数个字符不同的第二数个字符得到的至少一第三密钥加密过的; 获取所述用户在所述密码输入区域输入的所述第二数个字符; 使用由输入的所述第二数个字符得到的至少一第四密钥解密所述第二服务器认证信息; 至少根据解密后的第二服务器认证信息,向所述用户反馈至少一第二认证响应。9.根据权利要求8所述的方法,其特征在于,所述第二数个字符包括所述用户密码中除所述第一数个字符之外的至少一个字符。10.根据权利要求8或9所述的方法,其特征在于,所述服务器认证通过指示是所述用户在确认所述至少一第一认证响应和所述至少一第二认证响应均无误后发送的。11.根据权利要求1~3中任一所述的方法,其特征在于,所述认证请求包括:所述用户在所述密码输入区域输入的全部字符,和/或,所述第一服务器认证信息的解密成功指/Jn ο12.根据权利要求1~11中任一所述的方法,其特征在于,所述至少一第一认证响应包括以下至少一种形式的响应:听觉、触觉、视觉、味觉、嗅觉、温度。13.一种认证装置,其特征在于,所述认证装置包括: 第...

【专利技术属性】
技术研发人员:周涵宁
申请(专利权)人:北京智谷睿拓技术服务有限公司
类型:发明
国别省市:北京;11

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1