技術領域

本發明涉及網絡安全領域，尤其涉及一種確認客戶端身份的方法，通過使用密文來校驗客戶端的身份。

背景技術

在一般的應用系統中，通常是由服務器通過客戶端提交的身份信息，例如：銀行卡卡號/密碼，來檢查客戶端的合法性，如果客戶端是合法的，服務器向客戶端提供服務，這種客戶端身份確認的方法應用比較簡單，可是卻存在以下安全隱患：通過截取客戶端向服務器的認證報文，惡意攻擊者可以知道客戶端的銀行卡卡號、密碼等身份信息；客戶端不清楚其請求的服務器是否為合法的服務器，不合法的服務器可能會騙取客戶的身份認證信息，例如：虛假的銀行服務器騙取用戶的卡號和密碼。因此就需要對這種簡單的確認客戶端身份的方法做進一步的改進。

發明內容

本發明所要解決的技術問題在于提供一種確認客戶端身份的方法，通過使用密文來校驗客戶端的身份，使網絡中的惡意攻擊者無法獲知客戶端確切的身份信息，從而提高了身份認證過程中的安全性能。

為了解決上述技術問題，本發明提供一種確認客戶端身份的方法，該方法包括：

(1)客戶端向服務器發送其自身的身份標記；

(2)服務器收到客戶端的身份標記，根據該標記查詢相應的客戶端的身份信息，并根據第一運算法則組和第二運算法則組分別對該客戶端的身份信息進行運算，分別得到服務器處的第一密文信息和第二密文信息；

(3)客戶端根據第一運算法則組和第二運算法則組分別對其自身的身份信息進行運算，分別得到客戶端處的第一密文信息和第二密文信息；

(4)服務器將服務器處生成的第一密文信息發送給客戶端，客戶端對接收到的服務器處生成的第一密文信息與其本身的客戶端處的第一密文信息進行比較，如果二者相同，則服務器為合法，繼續進行客戶端的身份認證；

(5)客戶端將客戶端處生成的第二密文信息發送給服務器，服務器對接收到的客戶端處生成的第二密文信息與服務器處的第二密文信息進行比較，如果二者相同，則服務器認為該客戶端為合法客戶端，如果二者不同，則認為該客戶端為非法客戶端。

其中，所述步驟(4)進一步包括：如果二者不同，則服務器為非法，結束客戶端的身份認證。

其中，進一步包括：在所述根據運算法則組進行運算時所輸入的參數中加入隨機數，該隨機數與所述密文信息一同傳輸。其中，所述隨機數由服務器或客戶端生成。

其中，所述客戶端和服務器有相同的運算法則組。

其中，所述服務器與客戶端的身份信息保持一致。

其中，服務器分為業務服務器和認證服務器，其中，所述認證服務器存儲客戶端的身份信息，所述業務服務器對認證服務器處生成的密文信息與客戶端處生成的密文信息進行比較。

本發明所述的一種確認客戶端身份的方法及系統，通過使用密文來校驗客戶端的身份，該密文通常采用散列算法加密，例如MD5算法，這種算法通常不能進行逆運算，被破解的可能性很小，所以這樣的身份信息即使被網絡中的惡意攻擊者截取，其也無法獲得客戶端確切的身份信息，從而提高了身份認證過程中的安全性能。

附圖說明

圖1是根據本發明實施例所述的一種確認客戶端身份的系統結構示意圖；

圖2是根據本發明實施例所述的一種確認客戶端身份的優化后的系統結構示意圖；

圖3是根據本發明實施例所述的一種確認客戶端身份的優化后的方法流程示意圖。

具體實施方式

下面結合附圖對本發明做進一步的詳細描述。

參考圖1為本發明實施例所述的一種確認客戶端身份的系統結構示意圖。所述客戶端用于存儲自身的身份信息，所述服務器用于存儲所有客戶端的身份信息。所述客戶端和服務器有相同的運算法則組F0，F1...Fn，且所述服務器與客戶端的身份信息保持一致，客戶端和服務器在認證的過程中，通過比較相同運算法則組的內容來判斷信息的一致。

具體的身份認證過程如下：

步驟110：客戶端向服務器發送自身的身份標記(ID)。

步驟120：服務器收到客戶端的身份標記，并根據該標記查詢相應的客戶端身份信息(ID?INFO)，并根據運算法則組F0和運算法則組F1分別對客戶端身份信息進行運算，分別得到F0(ID?INFO)、F1(ID?INFO)，本實施例中所述的客戶端身份信息為全部或部分內容。

步驟130：客戶端根據F0和F1分別對其自身的身份信息進行運算，分別得到F0’(ID?INFO)、F1’(ID?INFO)，所述參加運算的身份信息內容(可硬性規定也可協商確定)要與服務器保持一致。