[发明专利]一种WEB服务的安全认证方法

说明书

技术领域

本发明属于软件安全认证的技术领域，尤其涉及一种WEB服务接口应用的安全认证方法。

技术背景

随着软件技术的发展，应用软件已由单机应用向分布式应用发展。由于WEB服务（WEBSERVICE）开发相对简单，使用非常容易，已成为越来越多分布式软件的选择，目前大量的分布式应用程序采用了WEB服务（WEBSERVICE）作为技术基础，实现分布式的计算和应用。

但随着应用的增多，安全问题也更加突出。当前WEB服务（WEBSERVICE）应用时，为了保证不被非法调用，都会采用用户认证机制，一般的认证方法都采用帐号与密码的安全认证方式，有的在此基础上对密码进行了如MD5（ Message Digest Algorithm MD5，中文名为消息摘要算法第五版）等简单的加密处理。由于帐号与密码的设置一般最多也只会设置十几位，太长会造成使用上的繁琐，而一般都会设置非常简单的密码，这就给人可乘之机，往往采用猜测的方法就能破解一大批密码。因此，如何保证使用简单的密码而达到很高的安全性，就成了一个新的研究方向。

发明内容

本发明的目的在于克服现有技术的不足，提供一种更加安全可靠的身份认证方法，该方法能使帐号破解难度大大增加，从而保证WEB服务接口应用的安全。

为了实现上述目的，本发明采用的技术方案如下：

一种WEB服务的安全认证方法，硬件包括分布有WEB服务接口的服务器和调用该WEB服务接口的客户端，所述WEB服务接口包括一个登录接口、一个注销接口和若干业务接口，其特征在于：所述客户端与服务器之间采用双向不对称加密算法，对客户端的帐号、密码、硬件ID进行加密，并以随机码的方式作为身份凭证，客户端在调用业务接口前，先调用登录接口取得身份凭证，客户端在程序退出时，调用注销接口注销身份凭证。

所述的WEB服务的安全认证方法，具体包括下列步骤：

步骤1，客户端和服务器约定两组密钥：密钥对A和密钥对B，其中密钥对A的私钥（private A）掌握在客户端，其对应的公钥(Public A)保存在服务器端；密钥对B的私钥（private B）掌握在服务器端，其对应的公钥(Public B)保存在客户端；

步骤2，登录认证:

当客户端调用登录接口时，先利用private A私钥将帐号、密码和硬件ID三个参数进行加密，再发送给服务器，服务器利用 Public A 公钥进行解密；如果能解密成功，则进一步验证帐号、密码及硬件ID是否正确；验证通过后，服务器生成一组随机码，并保存此帐号、硬件ID和随机码；再利用private B私钥对随机码进行加密，将加密后的随机码返回给客户端；客户端利用Public B公钥进行解密，将解密后的随机码保存在内存中；登录身份认证结束。

步骤3，业务接口认证：

客户端调用业务接口时，将解密后的随机码和未加密的硬件ID发送给服务器，服务器将对这两个参数与登录时保存的信息进行验证，验证符合后进行实际业务操作；

步骤4，注销接口认证

客户端调用注销接口时，将解密后的随机码和未加密的硬件ID发送给服务器，服务器将对这两个参数与登录时保存的信息进行验证，验证通过将登录时保存的帐号、硬件ID和随机码记录删除，实现注销，此时此随机码也即刻失效。

所述密钥对不定期进行更新，更新方式一般以手工导入密钥的方式进行。

进一步地，步骤2中所述服务器利用 Public A 公钥进行解密不成功时，返回空字串或错误编码给客户端，而不往下执行。

进一步地，所述随机码由字母、数字及特殊符号组成，长度为64~256位，长度根据安全需要进行控制。

上述WEB服务的安全认证方法中所述不对称加密算法通常采用RSA算法。

上述WEB服务的安全认证方法中所述硬件ID为CPU序列号或硬盘序列号或MAC地址或手机IEME号，根据实际情况决定，通常通过程序自动取得。

本发明采用双向的不对称加密方法，对帐号、密码、硬件ID进行加密处理，并以及随机码的方式作为身份凭证，达到强化认证安全的效果。