[发明专利]第三方网络认证系统及其认证方法

说明书

技术领域

本发明属于网络信息安全技术领域，具体是一种第三方网络认证系统及其认证方法。

背景技术

在现在的计算机及网络系统中，经常需要一种安全措施来保护在计算机或网络上的机密数据不被窃取或篡改，因此产生了加密技术。现有的加密技术通常分为两大类：对称式和非对称式，然而，现在出现了许多盗取键盘输入、截屏、盗取文件功能的木马程序，这种木马程序多数有恶意企图，例如盗取QQ帐号、游戏帐号甚至银行帐号，并且一般潜伏在用户的电脑中，在用户的键盘输入过程中窃取用户的数据信息，给用户的信息安全造成很大影响。

上述大多数的木马程序都是按照机械的时间排序法来截取密码，也就是说，按照用户输入密码的时间先后顺序来截取密码。例如，用户先后输入1、2两个数字，截取到的密码即为12，但假设正确密码为21，如果用户输入1，然后再移动到1前面输入2，那么按照输入密码的时间先后顺序，木马程序截取到的密码为12而不是正确的密码21。

目前一般的防止这种密码截取木马的做法是通过专门的控件来阻止，这种控件一般又分为2种类型。一种类型是基于系统hook(钩子)来阻止密码被截取，在实际中，往往由于windows在执行系统hook的时候没有先后顺序，所以一旦木马程序也是用系统hook，就有可能截取到密码。

另一种是驱动程序来阻止密码被截取，但这种方法有潜在的副作用，由于驱使程序往往被认为是操作系统层面的功能，用户不能接受，另外，一旦在操作系统层面上插入自己的代码，那么在理论上要实现其他作用也是可行的，这样就容易导致被杀毒软件认为是病毒等恶意软件而清除。

这两种类型的反木马方案都是通过抢占优先级和制高点，使得木马程序无法执行或者无法得到想要的结果，但是，这种优先级是由系统定义的。对于第一种基于hook的方案，其成功几率有限，并且现在已经有了破解方案。对于第二种基于驱动程序的方案，由于其开发成本较高，安装成也比较高，暂时不可能大规模推广使用。

专利申请号200610168036.6公开了一种口令认证方法，预置口令A和口令B，口令B由位于客户端的口令控件在用户注册时随机生成并发送至服务器端；接收用户名和口令A，口令控件根据用户名调用所述口令B；将用户名、口令A和口令B发送至服务器进行验证；判断数据库中是否存在匹配的用户名、口令A和口令B，如果存在，则向客户端返回验证通过。该验证方法无需键盘输入，无特殊保密算法，成本和风险较低。两组口令增强了用户帐号的安全性。

但现有技术的缺点是：不携带额外的硬件设备，都使用软件控件的方式进行帐号的安全保护，但任何纯软件保护都存在安全漏洞，且所有的认证过程都是在用户和服务器软件商二者之间完成，其免疫力非常低，难以从根本上解决盗号问题。

发明内容

本发明的目的是提供一种第三方网络认证系统及其认证方法，能从本质上提升整个网络系统的安全性，从根本上解决盗号问题。

为达到上述目的，第三方网络认证系统采用的技术方案如下：一种第三方网络认证系统，设置有客户端和服务器端，其关键在于：还设置有认证端；

除客户端和服务器端外，增加了作为第三方的认证端服务器，盗号者在攻克了客户端和服务器端同时，还必须攻克认证端服务器，这大大增加了盗号者的操作难度。

所述客户端设置有：

预置单元：用于预置用户帐号和用户密码；

物理控件：用于提供物理认证码；

在现有软件密码保护的基础上，增加额外的物理控件作为硬件保护设备，盗号者只有在盗取客户帐号和密码的同时，还窃走物理控件，才能成功。这在第三方网络认证的基础上，更增加了盗号者的操作难度。

客户端发送单元：用于将用户帐号和用户密码发送给所述服务器端，用于将物理认证码发送给所述认证端；

客户端接收单元：用于接收服务器端的验证结果；

所述服务器端设置有：

服务器接收单元：用于接收所述客户端发送的用户帐号和用户密码；

服务器控件：用于将所述用户帐号，以及服务器端信息发送给所述认证端，并接收所述认证端发送的认证信息；

服务器验证加密单元：用于综合判断所述认证信息、用户密码、用户帐号，生成验证结果；

服务器发送单元：用于发送所述验证结果给所述客户端；

所述认证端设置有：

认证端接收单元：用于接收服务器端发送的用户帐号和服务器端信息，接收客户端提供的物理认证码；

认证单元：用于对用户帐号、服务器端信息和物理认证码进行判别，生成认证信息；