[发明专利]一种基于Web表单的身份认证方法及认证装置

说明书

技术领域

本发明涉及网络信息安全领域，特别是涉及一种基于Web表单的身份认证方法及认证装置。

背景技术

根据现有的Web表单应用的工作方式，网站系统无法从提交的表单数据中判断表单的填写者是否是真实的用户。因此，用户可以绕过表单的人工填写步骤，通过使用通用的Web表单自动填写工具或者专门针对该网站系统编写的机器人程序，例如：AI RoboForm、海量论坛群发等软件进行自动识别注册表单、用户批量注册、自动登录等，某些用户通过利用此类工具进行恶意灌水、恶意增加数据库访问、用特定程序暴力破解密码、发布垃圾信息等操作，由于自动填写程序或机器人程序提供的数据是虚假的，因此会严重干扰网络系统的正常运营，而且，上述程序能够在短时间内产生大量的数据，极大地妨碍了网站系统的健康、安全运行。

此外，现在还出现了许多盗取键盘输入、截屏、盗取文件功能的木马程序，这种木马程序多数有恶意企图，例如盗取QQ帐号、游戏帐号甚至银行帐号，并且一般潜伏在用户的电脑中，在用户的键盘输入过程中窃取用户的数据信息，给用户的信息安全造成很大影响。

发明内容

本发明所要解决的技术问题是提供一种基于Web表单的身份认证方法，以提高信息安全领域身份识别的安全性，防止木马程序恶意窃取用户身份信息。

本发明的另一个目的是将上述识别方法应用于实际中，提供一种基于Web表单的身份认证装置，以保证上述认证方法的实现和应用。

为解决上述技术问题，本发明提供了一种基于Web表单的身份认证方法，包括：

预置第一口令，由位于客户端的口令控件按照预置算法生成第二口令；

将所述第一口令和第二口令发送至服务器端；

服务器根据用户的表单显示请求，触发Web表单生成程序；

将Web表单用户名输入域和口令输入域的原始标识转换为动态标识，所述动态标识只在当次会话中有效；

所述Web表单生成程序依据所述Web表单输入域的动态标识生成Web表单；

客户端显示所述Web表单，并接收用户在用户名输入域和口令输入域输入的用户名和第一口令；

依据用户的表单提交请求，解析出所述Web表单输入域的动态标识和值，并将所述用户名输入域和口令输入域的动态标识还原为其原始标识；以及，所述口令控件根据所述用户名输入域的值调用所述第二口令；

将所述用户名、第一口令和第二口令发送至服务器进行验证；

若数据库中存在匹配的用户名、第一口令和第二口令，则通知客户端验证通过。

优选的，所述的方法，还包括：

服务器对所述第一口令和第二口令进行加密，将所述加密后的第一口令和第二口令在数据库中进行匹配；所述数据库中存储的第一口令和第二口令是经过加密后的第一口令和第二口令。

优选的，所述的方法，还包括：

对所述第二口令进行加密并保存至所述口令控件中。

优选的，所述加密是采用所述口令控件的私钥进行加密。

优选的，所述的方法，还包括：

采用所述口令控件的公钥对所述加密的第二口令进行解密。

本发明实施例还公开了一种基于Web表单的身份认证装置，包括：

预置单元，用于预置第一口令，由位于客户端的口令控件按照预置算法生成第二口令；

发送单元，用于将所述第一口令和第二口令发送至服务器端；

服务器触发单元，用于根据用户的表单显示请求，触发Web表单生成程序；

动态标识生成单元，用于将Web表单用户名输入域和口令输入域的原始标识转换为动态标识，所述动态标识只在当次会话中有效；

Web表单生成程序，用于依据所述Web表单输入域的动态标识生成Web表单；

客户端请求接收单元，用于显示所述Web表单，并接收用户在用户名输入域和口令输入域输入的用户名和第一口令；

动态标识解析单元，用于依据用户的表单提交请求，解析出所述Web表单输入域的动态标识和值，并将所述用户名输入域和口令输入域的动态标识还原为其原始标识；

口令控件，用于根据所述用户名输入域的值调用所述第二口令；

验证发送单元，用于将所述用户名、第一口令和第二口令发送至服务器进行验证；

服务器验证单元，用于在判断数据库中存在匹配的用户名、第一口令和第二口令时，向客户端返回验证通过。

优选的，所述的装置，还包括：