技術(shù)領(lǐng)域

本發(fā)明涉及移動(dòng)互聯(lián)技術(shù)領(lǐng)域，特別涉及一種對(duì)移動(dòng)應(yīng)用的安全登錄方法、系統(tǒng)和裝置。

背景技術(shù)

互聯(lián)網(wǎng)的發(fā)展也伴隨著網(wǎng)絡(luò)安全威脅的增長(zhǎng)。很多網(wǎng)站中的服務(wù)需要用戶(hù)登錄之后才可以使用，在登錄過(guò)程中，需要傳輸用戶(hù)的賬號(hào)和密碼。許多黑客通過(guò)截取傳輸?shù)挠脩?hù)登錄信息，惡意盜取用戶(hù)賬號(hào)和密碼，威脅了用戶(hù)的個(gè)人賬號(hào)安全。

一般傳統(tǒng)的登錄系統(tǒng)在提交用戶(hù)登錄請(qǐng)求時(shí)，為了保證用戶(hù)密碼安全傳輸，一般會(huì)采用基于SSL協(xié)議的數(shù)據(jù)傳輸機(jī)制，如采用https協(xié)議。

在國(guó)內(nèi)的移動(dòng)網(wǎng)絡(luò)下，使用https協(xié)議會(huì)出現(xiàn)如下致命問(wèn)題：

（一）、某些移動(dòng)運(yùn)營(yíng)商的網(wǎng)關(guān)不支持https協(xié)議，如較早的CMWAP網(wǎng)關(guān)。

（二）、由于移動(dòng)網(wǎng)絡(luò)本身的傳輸速度較慢，加上https協(xié)議存在三次SSL握手過(guò)程以及https證書(shū)校驗(yàn)過(guò)程，而證書(shū)驗(yàn)證機(jī)構(gòu)都在國(guó)外，這些都導(dǎo)致在國(guó)內(nèi)移動(dòng)網(wǎng)絡(luò)上使用https協(xié)議會(huì)出現(xiàn)響應(yīng)速度很慢的問(wèn)題。

為了避免因上述問(wèn)題導(dǎo)致用戶(hù)體驗(yàn)急劇惡化，許多移動(dòng)應(yīng)用在提交用戶(hù)登錄請(qǐng)求時(shí)都直接使用http協(xié)議。但如果不對(duì)用戶(hù)密碼做相應(yīng)加密處理，直接使用http協(xié)議，用戶(hù)密碼很容易被黑客通過(guò)網(wǎng)絡(luò)抓包等操作獲取到，造成用戶(hù)信息泄露，威脅用戶(hù)信息安全。為了解決該問(wèn)題，大多數(shù)采用http協(xié)議的移動(dòng)應(yīng)用會(huì)在發(fā)送登錄請(qǐng)求之前，先在客戶(hù)端通過(guò)預(yù)設(shè)的固定密鑰對(duì)用戶(hù)輸入的密碼做對(duì)稱(chēng)或非對(duì)稱(chēng)加密，然后將加密后的密碼發(fā)送至服務(wù)端，服務(wù)端接收到加密的密碼后，通過(guò)同樣的固定密鑰解密得到用戶(hù)輸入的密碼，通過(guò)與服務(wù)端保存的用戶(hù)原始密碼比較來(lái)驗(yàn)證用戶(hù)密碼的有效性。這種方式在一定程度上提高了用戶(hù)密碼的安全性，但事實(shí)上，該登錄系統(tǒng)仍然不夠安全的，原因如下：

（一）、如果客戶(hù)端加密用戶(hù)密碼時(shí)采用的是對(duì)稱(chēng)加密算法，黑客可以通過(guò)逆向工程反編譯客戶(hù)端程序，來(lái)獲知加密算法細(xì)節(jié)和預(yù)設(shè)的固定密鑰，伺候，黑客通過(guò)網(wǎng)絡(luò)抓包獲得加密的用戶(hù)密碼時(shí)，可以根據(jù)相應(yīng)的解密算法獲得用戶(hù)真正的密碼。

（二）、如果客戶(hù)端加密用戶(hù)密碼時(shí)采用的是非對(duì)稱(chēng)加密算法，黑客無(wú)法利用（一）中的方法獲取用戶(hù)真正的密碼。但是，黑客可以通過(guò)重放攻擊手段，將網(wǎng)絡(luò)抓包時(shí)獲得的用戶(hù)名和加密的密碼再次發(fā)送至服務(wù)端進(jìn)行登錄，獲取服務(wù)端返回的用戶(hù)登錄會(huì)話信息，取得用戶(hù)賬號(hào)的所有操作權(quán)。同理，客戶(hù)端采用對(duì)稱(chēng)加密算法時(shí)，黑客也可以通過(guò)這種手段來(lái)實(shí)現(xiàn)登錄受害人的賬號(hào)。

上述問(wèn)題出現(xiàn)的主要原因是客戶(hù)端在進(jìn)行用戶(hù)密碼加密時(shí)，所采用的密鑰是固定不變、永久有效的。因此賬號(hào)信息容易被盜用，使得用戶(hù)信息泄露，用戶(hù)賬號(hào)受到危害。

發(fā)明內(nèi)容

本發(fā)明旨在至少解決現(xiàn)有技術(shù)中存在的技術(shù)問(wèn)題之一。

為此，本發(fā)明的一個(gè)目的在于提出一種針對(duì)移動(dòng)應(yīng)用的安全登錄方法，通過(guò)加密密鑰協(xié)商，保證移動(dòng)應(yīng)用上登錄系統(tǒng)的安全性，保護(hù)了用戶(hù)隱私。

本發(fā)明的第二個(gè)目的在于提出一種針對(duì)移動(dòng)應(yīng)用的安全登錄系統(tǒng)。

本發(fā)明的第三個(gè)目的在于提出一種云端服務(wù)器。

為達(dá)到上述目的，本發(fā)明第一方面的實(shí)施例提出了一種針對(duì)移動(dòng)應(yīng)用的安全登錄方法，包括以下步驟：云端服務(wù)器與移動(dòng)終端中的移動(dòng)應(yīng)用進(jìn)行加密密鑰協(xié)商，并分別在所述云端服務(wù)器和移動(dòng)終端中保存加密密鑰；所述云端服務(wù)器接收所述移動(dòng)應(yīng)用發(fā)送的登錄驗(yàn)證請(qǐng)求，其中，所述登錄驗(yàn)證請(qǐng)求包括用戶(hù)名和第一加密串，所述第一加密串包括通過(guò)所述加密密鑰對(duì)用戶(hù)密碼加密后的信息；所述云端服務(wù)器根據(jù)所述加密密鑰對(duì)所述第一加密串進(jìn)行解密以獲取所述用戶(hù)密碼；所述云端服務(wù)器根據(jù)所述用戶(hù)密碼對(duì)所述移動(dòng)終端進(jìn)行登錄驗(yàn)證。

根據(jù)本發(fā)明實(shí)施例的針對(duì)移動(dòng)應(yīng)用的安全登錄方法，加密密鑰通過(guò)協(xié)商存儲(chǔ)在云端服務(wù)器和移動(dòng)終端中，通過(guò)加密密鑰實(shí)現(xiàn)加解密。協(xié)商的加密密鑰可以個(gè)性化定制，即使加密過(guò)的密碼被惡意獲取也無(wú)法取得密鑰，使得采用http協(xié)議來(lái)發(fā)送請(qǐng)求也可以保證移動(dòng)應(yīng)用上的登錄系統(tǒng)的安全性，保護(hù)了用戶(hù)隱私。

在本發(fā)明的一個(gè)實(shí)施例中，所述第一加密串還包括通過(guò)所述加密密鑰對(duì)當(dāng)前時(shí)間加密后的信息。

在本發(fā)明的一個(gè)實(shí)施例中，還包括:所述云端服務(wù)器根據(jù)所述加密密鑰對(duì)所述第一加密串進(jìn)行解密以獲取所述當(dāng)前時(shí)間；所述云端服務(wù)器根據(jù)所述當(dāng)前時(shí)間判斷是否有效；當(dāng)所述云端服務(wù)器判斷無(wú)效時(shí)，向所述移動(dòng)終端返回錯(cuò)誤信息。每次登錄時(shí)，密碼加密串的內(nèi)容在時(shí)間區(qū)間長(zhǎng)度可配置的范圍內(nèi)有效，一定程度上可以防止重放攻擊。