技術領域

本發明涉及移動互聯技術領域，特別涉及一種對移動應用的安全登錄方法、系統和裝置。

背景技術

互聯網的發展也伴隨著網絡安全威脅的增長。很多網站中的服務需要用戶登錄之后才可以使用，在登錄過程中，需要傳輸用戶的賬號和密碼。許多黑客通過截取傳輸的用戶登錄信息，惡意盜取用戶賬號和密碼，威脅了用戶的個人賬號安全。

一般傳統的登錄系統在提交用戶登錄請求時，為了保證用戶密碼安全傳輸，一般會采用基于SSL協議的數據傳輸機制，如采用https協議。

在國內的移動網絡下，使用https協議會出現如下致命問題：

（一）、某些移動運營商的網關不支持https協議，如較早的CMWAP網關。

（二）、由于移動網絡本身的傳輸速度較慢，加上https協議存在三次SSL握手過程以及https證書校驗過程，而證書驗證機構都在國外，這些都導致在國內移動網絡上使用https協議會出現響應速度很慢的問題。

為了避免因上述問題導致用戶體驗急劇惡化，許多移動應用在提交用戶登錄請求時都直接使用http協議。但如果不對用戶密碼做相應加密處理，直接使用http協議，用戶密碼很容易被黑客通過網絡抓包等操作獲取到，造成用戶信息泄露，威脅用戶信息安全。為了解決該問題，大多數采用http協議的移動應用會在發送登錄請求之前，先在客戶端通過預設的固定密鑰對用戶輸入的密碼做對稱或非對稱加密，然后將加密后的密碼發送至服務端，服務端接收到加密的密碼后，通過同樣的固定密鑰解密得到用戶輸入的密碼，通過與服務端保存的用戶原始密碼比較來驗證用戶密碼的有效性。這種方式在一定程度上提高了用戶密碼的安全性，但事實上，該登錄系統仍然不夠安全的，原因如下：

（一）、如果客戶端加密用戶密碼時采用的是對稱加密算法，黑客可以通過逆向工程反編譯客戶端程序，來獲知加密算法細節和預設的固定密鑰，伺候，黑客通過網絡抓包獲得加密的用戶密碼時，可以根據相應的解密算法獲得用戶真正的密碼。

（二）、如果客戶端加密用戶密碼時采用的是非對稱加密算法，黑客無法利用（一）中的方法獲取用戶真正的密碼。但是，黑客可以通過重放攻擊手段，將網絡抓包時獲得的用戶名和加密的密碼再次發送至服務端進行登錄，獲取服務端返回的用戶登錄會話信息，取得用戶賬號的所有操作權。同理，客戶端采用對稱加密算法時，黑客也可以通過這種手段來實現登錄受害人的賬號。

上述問題出現的主要原因是客戶端在進行用戶密碼加密時，所采用的密鑰是固定不變、永久有效的。因此賬號信息容易被盜用，使得用戶信息泄露，用戶賬號受到危害。

發明內容

本發明旨在至少解決現有技術中存在的技術問題之一。

為此，本發明的一個目的在于提出一種針對移動應用的安全登錄方法，通過加密密鑰協商，保證移動應用上登錄系統的安全性，保護了用戶隱私。

本發明的第二個目的在于提出一種針對移動應用的安全登錄系統。

本發明的第三個目的在于提出一種云端服務器。

為達到上述目的，本發明第一方面的實施例提出了一種針對移動應用的安全登錄方法，包括以下步驟：云端服務器與移動終端中的移動應用進行加密密鑰協商，并分別在所述云端服務器和移動終端中保存加密密鑰；所述云端服務器接收所述移動應用發送的登錄驗證請求，其中，所述登錄驗證請求包括用戶名和第一加密串，所述第一加密串包括通過所述加密密鑰對用戶密碼加密后的信息；所述云端服務器根據所述加密密鑰對所述第一加密串進行解密以獲取所述用戶密碼；所述云端服務器根據所述用戶密碼對所述移動終端進行登錄驗證。

根據本發明實施例的針對移動應用的安全登錄方法，加密密鑰通過協商存儲在云端服務器和移動終端中，通過加密密鑰實現加解密。協商的加密密鑰可以個性化定制，即使加密過的密碼被惡意獲取也無法取得密鑰，使得采用http協議來發送請求也可以保證移動應用上的登錄系統的安全性，保護了用戶隱私。

在本發明的一個實施例中，所述第一加密串還包括通過所述加密密鑰對當前時間加密后的信息。

在本發明的一個實施例中，還包括:所述云端服務器根據所述加密密鑰對所述第一加密串進行解密以獲取所述當前時間；所述云端服務器根據所述當前時間判斷是否有效；當所述云端服務器判斷無效時，向所述移動終端返回錯誤信息。每次登錄時，密碼加密串的內容在時間區間長度可配置的范圍內有效，一定程度上可以防止重放攻擊。