[发明专利]用于网络认证的方法和设备

说明书

技术领域

本发明的实施方式总体上涉及信息安全领域，更具体地，涉及用于网络认证的方法和设备。

背景技术

在网络通信和操作中，常常需要对客户端设备(简称“客户端”)或其用户的身份进行验证，以确认其合法性和/或有效性。例如，在很多网站提供的网络服务中，网络服务提供方仅将服务提供给合法注册的客户端，例如由该网络服务提供方开发和发布的客户端。

在现有技术中，网络认证通常基于密钥来完成。典型的操作是，当客户端请求服务器对其进行身份认证时，其建立与该服务器的安全网络连接，例如加密连接。而后，服务器可以基于客户端的请求将密钥(通常是机密密钥)发送给客户端。客户端利用该密钥生成验证信息，例如，产生与该密钥相关联的哈希值，并且通过安全连接将所产生的验证信息返回给服务器。在服务器接收到该验证信息之后，其检验该验证信息是否合法。

在服务器与客户端之间使用安全连接的原因是为了防止通过该连接窃取服务器生成的密钥和/或客户端生成的验证信息(例如，哈希值)。一旦密钥和验证信息被非法的第三方窃取，该第三方便有可能通过反向推演破解验证信息的生成机制和密钥本身，并利用该机制和密钥生成看似合法的验证信息。这样，原本非法的客户端或其用户便可以顺利的通过服务器的验证，从而给网络服务提供方造成损失。

然而，安全连接并非总是可靠的。第三方往往能够通过攻击这种安全连接达到窃取密钥和验证信息的目的。而且，尽管诸如MD5哈希值之类的高级验证信息产生技术已经被开发出来并且在实践中使用，但是仍然存在被破解的风险。在实践中已经发生过若干次类似的情况。为了防止或缓解这种情况，已经提出了对服务器与客户端之间交换的密钥以及数据进行一次或多次加密。然而，正如本领域技术人员可以理解的，任何加密算法都存在着被解密的风险。随着加密算法使用的时间增加，这种风险也会相应地提高。而且，建立安全连接和对密钥/数据进行多次加密和解密会增加额外的成本。

因此，服务器与客户端之间的网络认证完全依赖于二者之间的安全连接和/或认证信息产生技术是不足的。在本领域中需要一种更为安全、可靠的网络认证技术。

发明内容

鉴于本领域中存在的上述问题，本发明提出了一种新颖的用于网络认证的方法和设备。

在本发明的一个方面，提供一种用于在客户端侧执行认证的方法。所述方法包括：通过网络连接从服务器接收数据块；基于所述客户端与所述服务器之间关于信息隐藏的约定来解析接收到的所述数据块，以提取由所述服务器编码在所述数据块中的机密密钥；至少基于所述机密密钥生成认证信息；以及通过所述网络连接向所述服务器发送所述认证信息，以供所述服务器执行所述认证。

在本发明的又一方面，提供一种用于在服务器侧执行认证的方法。所述方法包括：基于所述服务器与客户端之间关于信息隐藏的约定，把将要在所述认证中使用的机密密钥编码到数据块中；通过网络连接向所述客户端发送所述数据块；以及通过所述网络连接从所述客户端接收认证信息以执行所述认证，其中所述认证信息是所述客户端至少基于所述机密密钥而生成的。

在本发明的另一方面，提供一种用于在客户端侧执行认证的设备。所述设备包括：接收装置，配置用于通过网络连接从服务器接收数据块；解析装置，配置用于基于所述客户端与所述服务器之间关于信息隐藏的约定来解析接收到的所述数据块，以提取由所述服务器编码在所述数据块中的机密密钥；生成装置，配置用于至少基于所述机密密钥生成认证信息；以及发送装置，配置用于通过所述网络连接向所述服务器发送所述认证信息，以供所述服务器执行所述认证。

在本发明的再一方面，提供一种用于在服务器侧执行认证的设备。所述包括：编码装置，配置用于基于所述服务器与客户端之间关于信息隐藏的约定，把将要在所述认证中使用的机密密钥编码到数据块中；发送装置，配置用于通过网络连接向所述客户端发送所述数据块；以及接收装置，配置用于通过所述网络连接从所述客户端接收认证信息以执行所述认证，其中所述认证信息是所述客户端至少基于所述机密密钥而生成的。

通过下文详细描述将会理解，根据本发明的实施方式，网络认证不再完全依赖于服务器与客户端之间的安全网络连接，而是通过对机密密钥的信息隐藏来保证的。具体而言，服务器和客户端之间可以事先确定关于信息隐藏的约定。按照这种约定，服务器可以将机密密钥编码或嵌入在诸如普通文本、多媒体(图像、音频、视频)、富媒体(例如，Flash)等非结构化的数据块中，而后发送作为载体的数据块。客户端按照约定提取机密密钥，并生成认证信息。