一种安全与方便兼顾的客户端程序身份设置方法

摘要

一种安全与方便兼顾的客户端程序身份设置方法，涉及移动通讯设备的客户端程序安全技术，尤其针对可能存在中间人攻击情况下的客户端程序安全技术。本发明提出了一种多重的客户端程序身份设置方法，其原理是：客户端程序的身份，即用户名和密码，在一特定场合被中间人攻击的可能性存在，导致身份设置可能不安全。但在随机的不同场合被同一中间人攻击的可能性会大大降低。通过在不同场合的多重身份设置，使得服务器具有客户端程序的多重身份，从而可以通过验证客户端上传的多重身份，大大增强客户端程序与服务器通讯的安全性。

说明书

技术领域

本发明涉及移动通讯设备的客户端程序安全技术，尤其针对可能存在中间人攻击情况下的客户端程序安全技术。

背景技术

为防止非法用户侵入服务器，造成合法用户损失，服务器必须对客户端程序进行身份验证。

服务器对客户端程序进行身份验证的方式是根据用户名对客户端上传的密码和服务器保存的密码进行一致性校验。这就要求客户端程序在登陆服务器前必须先进行客户端程序身份设置，即注册。

注册的实质是在服务器设置用户名和密码对。

这里的问题是，用户设置密码时可能存在中间人攻击，使得中间人可同时获取用户设置的密码。

中间人攻击（Man-in-the-MiddleAttack）是一种“间接”的入侵攻击，是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间。这台计算机即是“中间人”。

在存在中间人攻击可能的情况下，客户端程序向服务器发送的用户名和密码设置信息有可能被中间人拦截，导致基于用户名和密码设置的服务器对客户端程序的身份验证不安全。

发明内容

在可能存在中间人攻击的情况下，客户端程序向服务器发送身份设置信息，即注册信息，是不安全的。

为了解决这个问题，本发明提出了一种多重的客户端程序身份设置方法，其原理是：客户端程序的身份，即用户名和密码，在一特定场合被中间人攻击的可能性存在，导致身份设置可能不安全。但在随机的不同场合被同一中间人攻击的可能性会大大降低。通过在不同场合的多重身份设置，使得服务器具有客户端程序的多重身份，从而可以通过验证客户端上传的多重身份，大大增强客户端程序与服务器通讯的安全性。

比如，常见的通过网页注册，用户可以通过服务器在电脑A上呈现的注册页面进行密码A设置，然后通过服务器在电脑B上呈现的注册页面进行密码B设置，这样，客户端程序就具有密码A和密码B两个身份。服务器对客户端程序的身份验证就可以同时验证密码A和密码B。一般而言，用户选择电脑A和电脑B对可能存在的中间人而言是不预知和随机的。潜伏在电脑A里面的中间人与潜伏在电脑B里面的中间人是同一中间人的可能性较小。这样，通过多重设置客户端程序身份，其安全性就要远远高于客户端程序单一的身份设置。

在客户端程序上显示注册界面，本质仍然是向服务器设置用户名和密码对，这种情形与网页注册类似，无需赘述。

随着移动通讯设备的普及，对于移动通讯设备，在客户端程序身份设置时，往往还需要考虑用户设置的方便性。因此，本发明方法在上述通常的多重身份设置意义下，对移动通讯设备提出了更具针对性更方便的一键注册。

一种安全与方便兼顾的客户端程序身份设置方法，其特征是：包括一键注册和多重身份设置。

所述一键注册，步骤是：

（1）、客户端程序登陆服务器，服务器产生一临时ID记录并将该ID返回客户端程序；

（2）、客户端程序产生一随机字符串，作为密码保存，之后连同从服务器取回的ID，通过短信发送到服务器；

（3）、服务器从客户端程序发送来的短信中剥离出手机号、密码和ID，生成手机号与密码配对的客户端程序身份记录，再将手机号与步骤（1）产生的临时ID关联；

（4）、客户端程序再次登陆服务器，根据临时ID取回手机号，服务器删除临时ID记录，这样客户端程序就具有了与服务器匹配的手机号与密码对，完成注册；

所述客户端程序短信发送到服务器，可能包括另一手机，该手机负责接收客户端程序发送到服务器的短信，手机号可以是公共的，也可以是来自服务器的。

所述多重身份设置，步骤是：

（1）、用户在另一设备上通过服务器提供的客户端程序身份设置方式设置客户端程序的另一身份，即同一用户名下的附加密码；

（2）、在客户端程序上输入上述附加密码；

（3）、上述步骤可重复进行，每进行一次设置即使客户端程序的身份增加一重。

对所述多重身份设置，服务器对应的身份验证方法，步骤是：

（1）、如果用户没有设置附加密码，则附加密码定义为空；

（2）、客户端程序将储存在客户端的密码和非空附加密码合并，生成新的合成密码，非空附加密码可以是多个；

（3）、将上述合成密码加密后，与一随机字符串合并，然后再加密，将最后的加密结果与随机字符串上传服务器；

（4）、服务器将储存在服务器对应用户名下的密码和附加密码按客户端程序同样的规则加密，与上传的随机字符串合并，然后再加密，如果最后的加密结果与上传的客户端程序最后加密结果一致，则客户端程序身份验证成功，否则，客户端程序身份验证失败；

上述密码、附加密码的合并与加密可以有不同方式，只要服务器能根据客户端程序相同的规则生成加密结果，使服务器能将生成的加密结果与客户端程序上传的加密结果进行比较，所有方式都是允许的。

《一种可以防止黑客程序再次登陆的方法》（专利申请号201310284077.1）提到：一种可以防止黑客程序再次登陆的方法，其特征是：客户端产生用户名、初始密码和初始动态口令，初始动态口令是一个随机数值，可以进行大小比较；通过手机将用户名、初始密码和初始动态口令通过短信平台发送给服务器。

这与本发明“一键注册”不同。在《一种可以防止黑客程序再次登陆的方法》中至少需要由用户输入用户名，然后，才可以短信发送给服务器。在本发明中，不需要用户进行任何输入，客户端程序自动通过临时ID从服务器中取回手机号（相当于用户名）。这也是本发明所述“安全与方便兼顾”所指。在本发明中，只要用户点击“注册”按钮，客户端程序即可自动完成注册。

本发明的有益效果是：作为客户端程序身份的注册更方便，用户只需要点击“注册”按钮即可自动完成注册。由于有多重身份验证保障，客户端程序更安全。做到了客户端程序安全性与方便性兼顾。

 

附图说明

图1是常见的网页注册。用户可以通过服务器在电脑上呈现的注册页面进行用户密码设置。注册后，客户端程序上传用户名和密码，服务器即可据此进行客户端程序身份验证。客户端程序显示注册界面的情形与本图说明的网页注册，实质是类似的。

图2是本发明所述安全性与方便性兼顾的“一键注册”。用户只需要点击“注册”按钮即可完成客户端程序注册。

图3是中间人攻击示例。不论是常见的网页注册，还是本发明所述“一键注册”，都存在被中间人攻击的可能性。本发明通过在不同场合的多重身份设置，即一键注册和常见的网页注册，使得服务器具有客户端程序的多重身份，从而可以通过验证客户端上传的多重身份，大大增强客户端程序与服务器通讯的安全性。

 

具体实施方式

本发明“一键注册”使用短信发送到服务器。同样，使用电子邮件也可达到类似效果。

本发明中，用户在另一设备上通过服务器提供的客户端程序身份设置方式设置客户端程序的另一身份，即同一用户名下的附加密码，其设置方式可以是简洁的，比如，判断用户名（在本发明中是手机号）在服务器对应的附加密码为空，即可进行密码的任意设置。