專利名稱：一種服務(wù)器端和客戶端之間的身份驗證方法
技術(shù)領(lǐng)域：
本發(fā)明涉及計算機領(lǐng)域內(nèi)的身份驗證方法，尤其是一種服務(wù)器端和客戶端之間的身份驗證方法。
背景技術(shù)：
隨著計算機網(wǎng)絡(luò)應(yīng)用的日益深入，網(wǎng)絡(luò)的安全訪問控制愈來愈重要。身份認證作為網(wǎng)絡(luò)應(yīng)用系統(tǒng)的首要屏障，目的是驗證用戶的真實身份，防止非法用戶進入系統(tǒng)。網(wǎng)絡(luò)中的各種應(yīng)用和計算機系統(tǒng)都需要通過身份認證來確認用戶的合法性，然后確定這個用戶的個人數(shù)據(jù)和特定權(quán)限?，F(xiàn)有的網(wǎng)絡(luò)安全軟件通常分為設(shè)置在用戶機器上客戶端和設(shè)置在安全服務(wù)提供商側(cè)的服務(wù)器端，兩者之間需要交換數(shù)據(jù)并由服務(wù)器端執(zhí)行一部分運算以實現(xiàn)降低客戶端負荷并同時提高系統(tǒng)性能的目的。然而，現(xiàn)有的安全軟件缺乏對客戶端和服務(wù)器端之間通信安全的重視，通常只是采用常規(guī)的加密方式對傳輸?shù)臄?shù)據(jù)進行加密，這種機制就為犯罪分子提供了干預(yù)安全軟件正常工作的機會，犯罪分子可通過身份偽造、數(shù)據(jù)篡改或重復(fù)轉(zhuǎn)發(fā)等手段冒充其中一終端對另一終端發(fā)起攻擊，尤其是偽造客戶端的查詢請求對服務(wù)器端發(fā)起重復(fù)攻擊，達到癱瘓安全防護軟件功能的目的。

發(fā)明內(nèi)容
針對以上情況，本發(fā)明提供了一種服務(wù)器端和客戶端之間采用采用單向哈希函數(shù)的身份驗證方法，確保服務(wù)器端只對來自合法的客戶端的查詢請求做出回應(yīng)。本發(fā)明的技術(shù)方案是
一種服務(wù)器端和客戶端之間的身份驗證方法，包括通過網(wǎng)絡(luò)連接的服務(wù)器端以及客戶端，其中所述服務(wù)端為客戶端分配對應(yīng)的公鑰和密鑰，其中公匙代表客戶端的身份，并對應(yīng)唯一的密匙；所述客戶端利用其需發(fā)送的信息內(nèi)容、分配的密匙以及時間戳通過哈希函數(shù)計算出一個數(shù)字簽名，所述客戶端并將所述信息內(nèi)容、時間戳、算出的數(shù)字簽名、公匙發(fā)送給所述服務(wù)器端；所述服務(wù)端根據(jù)接收的客戶端的公匙查找相應(yīng)的密匙，然后利用客戶端發(fā)送的信息內(nèi)容和時間戳加上在服務(wù)器端查到的密匙通過所述哈希函數(shù)計算出另一個數(shù)字簽名；如果服務(wù)端計算出的數(shù)字簽名和客戶端發(fā)送過來的數(shù)字簽名一致，則認為客戶端為合法身份，對接收的客戶端信息進行處理。本發(fā)明的有益效果是
本發(fā)明提供了一種服務(wù)器端和客戶端之間的身份驗證方法，采用單向的散列函數(shù)Hash (哈希函數(shù))對傳遞信息的內(nèi)容結(jié)合時間戳和密匙生成動態(tài)數(shù)字簽名，保證了傳遞消息的完整性、真實性，并可防偽造、防篡改、防重復(fù)攻擊等，有效地保證了安全軟件的客戶端和服務(wù)器端之間通信的安全。
具體實施方式
根據(jù)本發(fā)明所提出的身份認證方法，安全軟件的服務(wù)器端為每一客戶端分配對應(yīng)的公匙和密匙，其中公匙代表客戶端的身份，并對應(yīng)唯一的密匙。在安全應(yīng)用中，客戶端需不時向服務(wù)器段發(fā)送信息并請求查詢，此時，客戶端根據(jù)需發(fā)送的信息內(nèi)容、所分配的密匙以及時間戳通過預(yù)設(shè)的加密函數(shù)算出一個數(shù)字簽名，作為查詢內(nèi)容的附件跟隨公匙一起發(fā)送給服務(wù)器端，而服務(wù)器端根據(jù)接收的公匙查出對應(yīng)的密匙，并再根據(jù)查出的密匙，接收的信息內(nèi)容以及時間戳通過同一加密函數(shù)重新生成一個數(shù)字簽名，并使用此數(shù)字簽名與接收的數(shù)字簽名相比較,如果相同則接收查詢內(nèi)容進行查詢,否則放棄接收的查詢內(nèi)容。本發(fā)明采用單向哈希函數(shù)進行加密。HASH (哈希)函數(shù)提供了這樣一種計算過程 輸入一個長度不固定的字符串，返回一串定長度的字符串，又稱HASH值，這是一個不可逆性的過程，即知道輸出結(jié)果不能推出輸入，比如我們常用的MD5算法就是哈希函數(shù)的一種。 哈希函數(shù)的不可逆性大大提高了網(wǎng)絡(luò)身份驗證的安全性。在本發(fā)明的一個實施例中，服務(wù)器端為客戶端分配公匙和密匙，如前所述，公匙代表客戶端身份并對應(yīng)唯一的密匙，這可通過一個統(tǒng)一的公匙/密匙庫所實現(xiàn)?？蛻舳烁鶕?jù)分配的公匙提取公匙/密匙庫中的對應(yīng)的唯一密匙，然后結(jié)合所要發(fā)送的信息內(nèi)容以及對應(yīng)信息發(fā)送時間的時間戳，利用哈希函數(shù)生成一個哈希值H1，此哈希值Hl即為所述客戶端的數(shù)字簽名?？蛻舳诉€可使用其它的常規(guī)技術(shù)手段對哈希值H1、信息內(nèi)容、時間戳以及公匙進行加密并發(fā)送至服務(wù)器端。服務(wù)器端接收所述數(shù)據(jù)后首先進行常規(guī)解密，獲得信息內(nèi)容、 時間戳、公匙以及哈希值H1，此時服務(wù)器端并不對所接收的信息內(nèi)容進行處理，而是進行客戶端身份驗證，以確保收到的信息是來自合法的客戶端。服務(wù)器端根據(jù)接收的公匙在公匙/密匙庫中取出對應(yīng)的密匙，并根據(jù)此密匙、接收的信息內(nèi)容以及時間戳使用同一哈希函數(shù)進行計算，生成新的哈希值H2。服務(wù)器端最后比較Hl和H2的值，如Hl和H2的值相同則認為收到的信息是合法的，即信息是完整，未被修改的，也未被重復(fù)轉(zhuǎn)發(fā)(時間戳的存在杜絕了這一可能)，服務(wù)器則進行查詢和回應(yīng)；如 Hl和H2的值不同則認為收到的信息是不合法的，即所收到的信息受到篡改，或者被轉(zhuǎn)發(fā)等等，服務(wù)器放棄進一步的查詢響應(yīng)，節(jié)省系統(tǒng)資源。同理從服務(wù)器端返回客戶端的查詢結(jié)果也可以采用相同的機制，以保證兩者之間的通信的安全。這樣，本發(fā)明通過公匙/密匙機制和時間戳結(jié)合哈希函數(shù)實現(xiàn)動態(tài)身份認證，保證了消息的完整性、真實性，防止篡改和重復(fù)轉(zhuǎn)發(fā)等，有效地保證了安全軟件的客戶端和服務(wù)器端之間通信的安全。
權(quán)利要求
1.一種服務(wù)器端和客戶端之間的身份驗證方法，包括需互相通信的服務(wù)器端以及客戶端，其特征在于所述服務(wù)端為客戶端分配對應(yīng)的公鑰和密鑰，其中公匙代表客戶端的身份，并對應(yīng)唯一的密匙；所述客戶端利用其所需發(fā)送的信息內(nèi)容、分配的密匙以及發(fā)送時間的時間戳通過哈希函數(shù)算出一個數(shù)字簽名，所述客戶端并將所需發(fā)送的信息內(nèi)容、時間戳、 算出的數(shù)字簽名以及分配的公匙發(fā)送給服務(wù)器端；所述服務(wù)端根據(jù)接收的客戶端的公匙查找對應(yīng)的密匙，然后利用所接收的來自所述客戶端的信息內(nèi)容和時間戳結(jié)合在服務(wù)器端查到的密匙通過所述哈希函數(shù)再次計算數(shù)字簽名，如果服務(wù)端計算的數(shù)字簽名和客戶端發(fā)送過來的數(shù)字簽名一致，則認為客戶端為合法身份，對接收的客戶端信息內(nèi)容進行處理。
全文摘要
本發(fā)明公開了一種服務(wù)器端和客戶端之間的身份驗證方法，其中客戶端利用其需發(fā)送的信息內(nèi)容、分配的密匙以及時間戳通過哈希函數(shù)計算出一個數(shù)字簽名并發(fā)送給服務(wù)器端，而服務(wù)端根據(jù)接收的客戶端的公匙查找相應(yīng)的密匙，然后利用客戶端發(fā)送的信息內(nèi)容和時間戳加上在服務(wù)器端查到的密匙通過所述哈希函數(shù)計算出另一個數(shù)字簽名，并將此數(shù)字簽名與客戶端的數(shù)字簽名進行比較。本發(fā)明采用單向的散列函數(shù)哈希函數(shù)對傳遞信息的內(nèi)容結(jié)合時間戳和密匙生成動態(tài)數(shù)字簽名，保證了傳遞消息的完整性、真實性，并可防偽造、防篡改、防重復(fù)攻擊等，有效地保證了安全軟件的客戶端和服務(wù)器端之間通信的安全。
文檔編號H04L29/06GK102546179SQ20111045769
公開日2012年7月4日 申請日期2011年12月31日 優(yōu)先權(quán)日2011年12月31日
發(fā)明者楊銳, 王斌 申請人:珠海市君天電子科技有限公司