基于B/S架构系统客户端授权认证的方法

1.一种基于B/S架构系统客户端授权认证的方法，其特征在于包含以下步骤：
A、授权部分
A1：客户端软件安装时，用户在客户端输入客户端软件授权安装密钥，发送至服务器端；
A2：服务器接到客户端发送的软件授权安装密钥，校验通过后，为该终端生成并分发唯一的初始身份标识码pin码，发送至客户端加密保存，同时生成随机SALT值发送至客户端；
该pin码建立与该随机SALT的对应关系存入服务器端数据库；
A3：客户端软件获取所在主机的唯一硬件物理地址MAC地址，与服务端传来的随机SALT连接后通过MD5加密，生成终端认证密钥，并发送到服务器端；
A4：服务端将接收到客户端传来的终端认证密钥，加入位于服务端数据库的终端认证列表，同时将数据库中该终端对应的pin码，置为激活状态，表明该pin码对应的终端已经获得授权；
B、认证部分
B1：用户启动客户终端软件，客户端软件取出在终端加密保存的终端身份认证码pin码，并获取该终端的物理mac地址，一并发送至服务器端；
B2：服务器端解密传来的加密pin码，获取与其对应的SALT，将MAC地址+SALT连接后使用MD5散列，通过与终端认证列表中的MD5散列值比对，如匹配成功，正常访问系统，否则认证失败，发送失败信息至客户终端；
B3：客户端访问认证成功后，服务器会再次生成身份标识码并更新数据库中存储的终端身份标识码pin码及客户终端的对应身份标识码pin码。
2.按照权利要求1所述的基于B/S架构系统客户端授权认证的方法，其特征在于：所述客户端软件授权安装密钥认证时效为24小时，超过认证时效则软件安装失败，需重新申请新的授权密钥，密钥在24小时内认证，客户端软件安装成功。
3.按照权利要求1所述的基于B/S架构系统客户端授权认证的方法，其特征在于：所述随机产生的SALT为随机8位SALT。
4.按照权利要求1所述的基于B/S架构系统客户端授权认证的方法，其特征在于：所述服务器端包含安装密钥验证数据库、授权认证通过列表和随机SALT数据库。
5.按照权利要求1所述的基于B/S架构系统客户端授权认证的方法，其特征在于：客户端软件卸载时，客户端软件将终端pin码及终端mac地址发送至服务器端，服务端将解密后的pin码，用mac地址连接pin码对应的SALT，进行MD5，在终端认证列表中检索匹配的认证密钥，清除pin码及其对应的认证密钥。
6.按照权利要求1所述的基于B/S架构系统客户端授权认证的方法，其特征在于：所述终端身份标识码具有唯一性。

基于B/S架构系统客户端授权认证的方法\n技术领域\n[0001] 本发明涉及一种授权认证的方法，特别是一种基于B/S架构系统客户端授权认证的方法。\n背景技术\n[0002] 现有的B/S架构下的用户授权最常用的方法是通过Activex控件中的数字证书类型的电子文档来实现，其中包含申请者的身份信息，秘钥对之一的公钥，数字签名及证书有效期等内容。在认证过程中，数字签名被用作用户的身份标识从而判断用户是否合法。数字证书一直被认为是网络中最安全的通行证，因为数字证书往往是由第三方进行认证及管理的。但也正因如此，服务提供商在增加了成本的同时，也承担了安全性不可控的风险。相比之下，C/S授权技术和方法则五花八门，各有优劣。例如“MD5+SALT”的方法可被用于对用户的密码进行加密。加密后密码和SALT值分开保存，在验证用户身份时再结合加密比对。这种技术可以避免黑客通过直接对已知密码散列后比对散列值得到使用该密码的用户的情况。\n再例如，MAC地址作为主机的唯一身份标识，也常被用来授权特定用户及用户组。然而，针对这些授权技术，如SQL注入，网络钓鱼等黑客技术的不断发展，单纯使用简单单一的用户授权及识别方法已无法满足用户的需求。\n发明内容\n[0003] 本发明所要解决的技术问题是提供一种基于B/S架构系统客户端授权认证的方法。\n[0004] 为解决上述技术问题，本发明所采用的技术方案是：\n[0005] 一种基于B/S架构系统客户端授权认证的方法，其特征在于包含以下步骤：\n[0006] A、授权部分\n[0007] A1：客户端软件安装时，用户在客户端输入客户端软件授权安装密钥，发送至服务器端；\n[0008] A2：服务器接到客户端发送的软件授权安装密钥，校验通过后，为该终端生成并分发唯一的初始身份标识码pin码，发送到客户端加密保存，同时生成随机SALT值并发送到客户端；该pin码建立与该随机salt的对应关系存入服务器端数据库；\n[0009] A3：客户端软件获取所在主机的唯一硬件物理地址MAC地址，与服务端传来的随机SALT连接后通过MD5加密，生成终端认证密钥，并发送到服务器端；\n[0010] A4：服务端将接收到客户端传来的终端认证密钥，加入位于服务端数据库的终端认证列表，同时将数据库中该终端对应的pin码，置为激活状态，表明该pin码对应的终端已经获得授权；\n[0011] B、认证部分\n[0012] B1：用户启动客户终端软件，客户端软件取出在终端加密保存的终端身份认证码pin码，并获取该终端的物理mac地址，一并发送至服务器端；\n[0013] B2：服务器端解密传来的加密pin码，获取与其对应的SALT，将MAC地址+SALT连接后使用MD5散列。通过与终端认证列表中的MD5散列值比对，如匹配成功，正常访问系统，否则认证失败，发送失败信息至客户终端；\n[0014] B3：客户端访问认证成功后，服务器会再次生成身份标识码并更新数据库中存储的终端pin码及客户终端的对应身份标识码。\n[0015] 进一步地，所述唯一性密钥认真失效为24小时，超过认证时效则软件安装失败，需重新申请新的授权密钥，密钥在24小时内认证，客户端软件安装成功。\n[0016] 进一步地，所述随机产生的SALT为随机8位SALT。\n[0017] 进一步地，所述服务器端包含安装密钥验证数据库、授权认证通过列表和随机SALT数据库。\n[0018] 进一步地，客户端软件卸载时，客户端软件将终端pin码及终端mac地址发送至服务器端，服务端将解密后的pin码，用mac地址连接pin码对应的SALT，进行MD5，在终端认证列表中检索匹配的认证密钥，清除pin码及其对应的认证密钥。\n[0019] 进一步地，所述终端身份标识码具有惟一性。\n[0020] 本发明与现有技术相比，具有以下优点和效果。\n[0021] 1、将终端授权认证技术加入B/S架构中，降低第三方数字证书成本并减少授权认证完全由第三方管理的风险；\n[0022] 2、以唯一的物理MAC地址作为认证中重要部分，避免了网络钓鱼，用户丢失秘钥等在客户终端发生的不安全因素；\n[0023] 3、通过加随机SALT的方法，规避了SQL注入并直接窜改数据库信息（例如黑客将自己的主机MAC地址添加到认证通过列表中）的风险因为认证列表中的哈希值包含了唯一物理MAC地址及只有系统可分辨的随机8位数；\n[0024] 4、在客户终端安装时使用24小时时效的安装秘钥，可降低非法用户获得客户终端安装权限的几率；\n[0025] 5、为每一个激活的客户终端提供一个动态身份标识码，既可以用作身份辨识，又可以避免被利用来对认证系统造成潜在安全隐患；\n[0026] 6、所有在互联网中传输的数据均使用SSL加密技术以确保数据在网络中的传输过程中不会被截取及窃听。\n附图说明\n[0027] 图1是本发明的基于B/S架构系统客户端授权认证的方法流程图。\n具体实施方式\n[0028] 下面通过实施例对本发明作进一步的详细说明，以下实施例是对本发明的解释而本发明并不局限于以下实施例。\n[0029] 如图所示，本发明的一种基于B/S架构系统客户端授权认证的方法，包含以下步骤：\n[0030] 1 客户终端安装。\n[0031] 在主机安装客户终端时，用户使用唯一性密钥认证授权身份才可获得安装客户终端软件。安装客户终端时，用户向服务器端进行唯一性密钥申请，服务器端审核通过后，在安装密钥验证数据库发送唯一性密钥至客户终端，该密钥认证时间为24小时，超过认证时效则软件安装失败，需重新申请新的授权密钥，密钥在24小时内认证，客户终端软件安装授权成功。\n[0032] 2 生成动态身份标识码和随机SALT\n[0033] 在客户终端授权成功后，服务器自动生成一个一次性的身份标识码PIN码和一个随机的8位SALT并发送到客户终端。客户终端保存身份标识码。\n[0034] 服务器接到客户端发送的软件授权安装密钥后，为该终端生成并分发唯一的初始身份标识码pin码，发送到客户端加密保存，同时生成随机SALT值并发送到客户端；该pin码建立与该随机salt的对应关系存入服务器端数据库。\n[0035] 3物理地址+SALT加密。\n[0036] 客户终端软件获取主机的唯一硬件物理地址MAC地址，与系统随机产生的8位随机SALT连接后通过MD5加密生成终端认证密钥并发送到服务器端。\n[0037] 4 物理MAC地址授权。\n[0038] 用户提交电脑终端认证申请，系统管理员审核用户申请后，将系统随机产生的SALT存入数据库并将MAC地址+SALT的哈希值加入认证通过列表中。服务端将接收到客户端传来的终端认证密钥，加入位于服务端数据库的终端认证列表，同时将数据库中该终端对应的pin码，置为激活状态，表明该pin码对应的终端已经获得授权；授权结束。\n[0039] 5客户终端访问认证。\n[0040] 用户登录客户终端软件时，客户端软件取出在终端加密保存的终端身份标识pin码，并获取该终端的物理mac地址，一并发送至服务器端，服务端解密此加密信息后，获取目标主机MAC地址，并通过身份标识码获取与其对应的SALT。之后，服务器端解密传来的加密pin码，获取与其对应的SALT，将MAC地址+SALT连接后使用MD5散列。通过与认证通过列表中的MD5散列值比对，系统返回认证结果：如匹配成功，正常访问系统，否则认证失败，将失败信息发至客户端。\n[0041] 6 更新动态身份标识码\n[0042] 如客户终端认证成功，则服务器再次生成一个一次性的身份标识码发送到客户终端，并更新数据库中存储的终端pin码及客户终端的对应身份标识码。\n[0043] 本发明针对现有的技术的缺陷，结合流行的网络攻击防护手段，在B/S结构中实现：1.授权秘钥不在用户处保存以避免针对客户端的网络攻击2.不单独储存用户的MAC地址以防止SQL注入攻击直接窜改数据库数据3.提高客户端软件安全性，禁止非授权对象安装客户端软件。\n[0044] 与以往的授权认证方法相比，本发明有如下优势：\n[0045] 1、将终端授权认证技术加入B/S架构中，降低第三方数字证书成本并减少授权认证完全由第三方管理的风险。\n[0046] 2、以唯一的物理MAC地址作为认证中重要部分，避免了网络钓鱼，用户丢失秘钥等在客户终端发生的不安全因素。\n[0047] 3、通过加随机SALT的方法，规避了SQL注入并直接窜改数据库信息（例如黑客将自己的主机MAC地址添加到认证通过列表中）的风险因为认证列表中的哈希值包含了唯一物理MAC地址及只有系统可分辨的随机8位数。\n[0048] 4、在客户终端安装时使用24小时时效的安装秘钥，可降低非法用户获得客户终端安装权限的几率。\n[0049] 5、为每一个激活的客户终端提供一个动态身份标识码，既可以用作身份辨识，又可以保证每一次认证所需要的验证条件非是一成不变的。\n[0050] 6、所有在互联网中传输的数据均使用SSL加密通道技术以确保数据在网络上的传输过程中不会被截取及窃听。\n[0051] 本说明书中所描述的以上内容仅仅是对本发明所作的举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种修改或补充或采用类似的方式替代，只要不偏离本发明说明书的内容或者超越本权利要求书所定义的范围，均应属于本发明的保护范围。