本發明公開一種web應用的登錄認證方法，包括：收到用戶的登錄請求后，瀏覽器利用web服務器提供的兩個隨機數得到認證信息，并將所述認證信息發送給web服務器；web服務器根據保存的用戶信息和收到的認證信息，進行登錄認證；本發明還提供一種web應用的登錄認證系統。根據本發明的技術方案，能夠防止數據篡改、竊聽攻擊、小數攻擊、字典攻擊、重放攻擊和拒絕服務攻擊。

技術領域

本發明涉及互聯網技術，尤其涉及一種web應用的登錄認證方法及系統。

背景技術

隨著互聯網技術的飛速發展，web應用不斷普及，實現基于web應用的登錄認證時，用戶信息的安全性變得越來越重要。傳統的web應用的登錄認證，是將用戶輸入的身份信息和密碼傳到web服務器，通過與web服務器存儲的數據進行比對，來確認用戶身份的合法性。

目前這種web應用的登錄認證方法存在致命的缺陷，身份信息和密碼容易被竊取，從而招致攻擊者的重放攻擊。針對這種缺陷，現有技術中，存在以下幾種解決方案：

第一種，采用基于證書的數字簽名認證技術保護用戶信息，雖然安全性較高，但必須以完善的公用證書系統為基礎，因此技術實現較復雜，成本較高，僅適用于大型的網絡應用系統。

第二種，是采用傳統的動態口令(OTP，One-Time Password)機制在登錄認證過程中加入不確定因素，使用戶每次登錄時傳送的密碼都不同，從而提高用戶信息的安全性。但是現有的一次性密碼機制越來越多地暴露出易被猜測、被篡改和被分析等脆弱性。例如，挑戰/響應機制中，密碼以某種形式靜態存儲在服務器，容易被分析；用戶登錄認證時需要利用安全套接層(SSL，Secure Sockets Layer)等額外保護措施，而SSL需要花費較高的費用去購買，給用戶帶來經濟負擔，同時影響系統認證處理性能。

第三種，是采用口令序列機制，這種方法容易受到小數攻擊。由于這種機制中，機制種子值和迭代值都是以明文傳輸，攻擊者利用假冒服務器可以竊聽這2個值，將竊到的迭代值修改為較小的值發送給用戶，用戶使用攻擊者發來的種子值和較小迭代值計算出動態口令傳送給服務器。此時，攻擊者截獲這個動態口令，并使用已知哈希算法依次計算較大迭代值的動態口令，從而獲得用戶后繼的一系列口令。另外，這種機制瀏覽器側需要多次計算hash值，計算量較大。

發明內容

有鑒于此，本發明的主要目的在于提供一種web應用的登錄認證方法及系統，能夠防止數據篡改、竊聽攻擊、小數攻擊、字典攻擊、重放攻擊和拒絕服務攻擊。

為達到上述目的，本發明的技術方案是這樣實現的：

本發明提供一種web應用的登錄認證系統，包括：瀏覽器、web服務器；其中，

瀏覽器，用于收到用戶的登錄請求后，利用web服務器提供的兩個隨機數得到認證信息，并將所述認證信息發送給web服務器；

web服務器，用于根據保存的用戶信息和收到的認證信息，進行登錄認證。

上述系統中，該系統還包括：用戶身份數據庫；其中，

所述瀏覽器，還用于利用web服務器提供的兩個隨機數得到認證信息之前，接收用戶注冊web應用的請求，將注冊時的用戶數據發送給web服務器；

所述web服務器，還用于利用隨機數對收到的用戶數據進行初始化；

所述用戶身份數據庫，用于保存初始化后得到的用戶信息。

上述系統中，

所述web服務器，還用于更新用戶身份數據庫中原先保存的用戶信息。

本發明還提供一種web應用的登錄認證方法，包括：