[发明专利]一种WEB服务的安全认证方法

权利要求书

1.一种WEB服务的安全认证方法，硬件包括分布有WEB服务接口的服务器和调用该WEB服务接口的客户端，所述WEB服务接口包括一个登录接口、一个注销接口和若干业务接口，其特征在于：所述客户端与服务器之间采用双向不对称加密算法，对客户端的帐号、密码、硬件ID进行加密，并以随机码的方式作为身份凭证，客户端在调用业务接口前，先调用登录接口取得身份凭证，客户端在程序退出时，调用注销接口注销身份凭证。

2.根据权利要求1所述的WEB服务的安全认证方法，其特征在于：包括下列步骤：

步骤1，客户端和服务器约定两组密钥对：密钥对A和密钥对B，其中密钥对A的私钥private A掌握在客户端，其对应的公钥Public A保存在服务器端；密钥对B的私钥private B掌握在服务器端，其对应的公钥Public B保存在客户端；

步骤2，登录认证:

当客户端调用登录接口时，先利用private A私钥将帐号、密码和硬件ID三个参数进行加密，再发送给服务器，服务器利用 Public A 公钥进行解密；如果能解密成功，则进一步验证帐号、密码及硬件ID是否正确；验证通过后，服务器生成一组随机码，并保存此帐号、硬件ID和随机码；再利用private B私钥对随机码进行加密，将加密后的随机码返回给客户端；客户端利用Public B公钥进行解密，将解密后的随机码保存在内存中；登录身份认证结束；

步骤3，业务接口认证：

客户端调用业务接口时，将解密后的随机码和未加密的硬件ID发送给服务器，服务器将对这两个参数与登录时保存的信息进行验证，验证符合后进行实际业务操作；

步骤4，注销接口认证

客户端调用注销接口时，将解密后的随机码和未加密的硬件ID发送给服务器，服务器将对这两个参数与登录时保存的信息进行验证，验证通过将登录时保存的帐号、硬件ID和随机码记录删除，实现注销，此时此随机码也即刻失效。

3.根据权利要求2所述的WEB服务的安全认证方法，其特征在于：步骤2中所述服务器利用 Public A 公钥进行解密不成功时，返回空字串或错误编码给客户端，而不往下执行。

4.根据权利要求2所述的WEB服务的安全认证方法，其特征在于：所述密钥对不定期进行更新。

5.根据权利要求2所述的WEB服务的安全认证方法，其特征在于：所述随机码由字母、数字及特殊符号组成，长度为64~256位。

6.根据权利要求1至5任一项所述的WEB服务的安全认证方法，其特征在于：所述不对称加密算法为RSA算法。

7.根据权利要求1至5任一项所述的WEB服务的安全认证方法，其特征在于：所述硬件ID为CPU序列号或硬盘序列号或MAC地址或手机IEME号。