[发明专利]一种服务器端和客户端之间的身份验证方法

说明书

技术领域

本发明涉及计算机领域内的身份验证方法，尤其是一种服务器端和客户端之间的身份验证方法。

背景技术

随着计算机网络应用的日益深入，网络的安全访问控制愈来愈重要。身份认证作为网络应用系统的首要屏障，目的是验证用户的真实身份，防止非法用户进入系统。网络中的各种应用和计算机系统都需要通过身份认证来确认用户的合法性，然后确定这个用户的个人数据和特定权限。

现有的网络安全软件通常分为设置在用户机器上客户端和设置在安全服务提供商侧的服务器端，两者之间需要交换数据并由服务器端执行一部分运算以实现降低客户端负荷并同时提高系统性能的目的。然而，现有的安全软件缺乏对客户端和服务器端之间通信安全的重视，通常只是采用常规的加密方式对传输的数据进行加密，这种机制就为犯罪分子提供了干预安全软件正常工作的机会，犯罪分子可通过身份伪造、数据篡改或重复转发等手段冒充其中一终端对另一终端发起攻击，尤其是伪造客户端的查询请求对服务器端发起重复攻击，达到瘫痪安全防护软件功能的目的。

发明内容

针对以上情况，本发明提供了一种服务器端和客户端之间采用采用单向哈希函数的身份验证方法，确保服务器端只对来自合法的客户端的查询请求做出回应。

本发明的技术方案是：

一种服务器端和客户端之间的身份验证方法，包括通过网络连接的服务器端以及客户端，其中所述服务端为客户端分配对应的公钥和密钥，其中公匙代表客户端的身份，并对应唯一的密匙；所述客户端利用其需发送的信息内容、分配的密匙以及时间戳通过哈希函数计算出一个数字签名，所述客户端并将所述信息内容、时间戳、算出的数字签名、公匙发送给所述服务器端；所述服务端根据接收的客户端的公匙查找相应的密匙，然后利用客户端发送的信息内容和时间戳加上在服务器端查到的密匙通过所述哈希函数计算出另一个数字签名；如果服务端计算出的数字签名和客户端发送过来的数字签名一致，则认为客户端为合法身份，对接收的客户端信息进行处理。

本发明的有益效果是：

本发明提供了一种服务器端和客户端之间的身份验证方法，采用单向的散列函数Hash（哈希函数）对传递信息的内容结合时间戳和密匙生成动态数字签名，保证了传递消息的完整性、真实性，并可防伪造、防篡改、防重复攻击等，有效地保证了安全软件的客户端和服务器端之间通信的安全。

具体实施方式

根据本发明所提出的身份认证方法，安全软件的服务器端为每一客户端分配对应的公匙和密匙，其中公匙代表客户端的身份，并对应唯一的密匙。在安全应用中，客户端需不时向服务器段发送信息并请求查询，此时，客户端根据需发送的信息内容、所分配的密匙以及时间戳通过预设的加密函数算出一个数字签名，作为查询内容的附件跟随公匙一起发送给服务器端，而服务器端根据接收的公匙查出对应的密匙，并再根据查出的密匙，接收的信息内容以及时间戳通过同一加密函数重新生成一个数字签名，并使用此数字签名与接收的数字签名相比较，如果相同则接收查询内容进行查询，否则放弃接收的查询内容。

本发明采用单向哈希函数进行加密。HASH（哈希）函数提供了这样一种计算过程：输入一个长度不固定的字符串，返回一串定长度的字符串，又称HASH值，这是一个不可逆性的过程，即知道输出结果不能推出输入，比如我们常用的MD5算法就是哈希函数的一种。哈希函数的不可逆性大大提高了网络身份验证的安全性。

在本发明的一个实施例中，服务器端为客户端分配公匙和密匙，如前所述，公匙代表客户端身份并对应唯一的密匙，这可通过一个统一的公匙/密匙库所实现。客户端根据分配的公匙提取公匙/密匙库中的对应的唯一密匙，然后结合所要发送的信息内容以及对应信息发送时间的时间戳，利用哈希函数生成一个哈希值H1，此哈希值H1即为所述客户端的数字签名。客户端还可使用其它的常规技术手段对哈希值H1、信息内容、时间戳以及公匙进行加密并发送至服务器端。服务器端接收所述数据后首先进行常规解密，获得信息内容、时间戳、公匙以及哈希值H1，此时服务器端并不对所接收的信息内容进行处理，而是进行客户端身份验证，以确保收到的信息是来自合法的客户端。