CN105721502B - 一种用于浏览器客户端和服务器的授权访问方法 - Google Patents

Abstract

本发明涉及一种用于浏览器客户端和服务器的授权访问方法，该方法包括如下步骤：(1)登录验证，若成功则服务器生成动态口令密钥、服务器时间和动态口令密钥过期时间并存储至客户端缓存中，执行步骤(2)，否则结束；(2)判断是否到达客户端缓存中的动态口令密钥过期时间，若是执行步骤(3)，否则执行步骤(4)；(3)动态口令密钥切换，若成功，获取新的动态口令密钥、服务器时间和动态口令密钥过期时间并对客户端缓存进行相应更新，执行步骤(4)，否则结束；(4)采用浏览器客户端缓存中的动态口令密钥和服务器时间产生动态口令并对服务器进行授权访问，返回步骤(2)。与现有技术相比，本发明授权访问过程安全可靠、不易被破解。

Description

一种用于浏览器客户端和服务器的授权访问方法

技术领域

本发明涉及一种授权访问方法，尤其是涉及一种用于浏览器客户端和服务器的授权访问方法。

背景技术

随着信息技术的不断发展，账号信息安全越来越受到重视。用户在浏览器客户端访问服务器时，为了获取更多的个性化服务，通常需要注册对应服务器的账号，为了保证账号的安全，则需要用户编辑一个与账号对应的密码。在浏览器客户端访问服务器期间，需要不断进行权限验证，一般是通过存储登录验证通过后的令牌，每次要求权限验证的时候把保存的令牌上传到服务器，达到验证用户身份的目的。这样的方式，如果令牌被截获的话，别人可以伪装成用户，造成信息的泄漏，无法区分哪一个是真正登录的用户。

发明内容

本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种用于浏览器客户端和服务器的授权访问方法。

本发明的目的可以通过以下技术方案来实现：

一种用于浏览器客户端和服务器的授权访问方法，该方法包括如下步骤：

(1)浏览器客户端发出登录验证请求，服务器接收登录验证请求并进行登录验证，同时将验证结果发送至浏览器客户端，浏览器客户端根据登录验证结果判断是否登录成功，若登录验证成功，则服务器生成动态口令密钥、服务器时间和动态口令密钥过期时间，同时将所述的动态口令密钥、服务器时间和动态口令密钥过期时间存储至浏览器客户端缓存中，执行步骤(2)，否则登录失败，结束；

(2)判断是否到达浏览器客户端缓存中的动态口令密钥过期时间，若是执行步骤(3)，否则执行步骤(4)；

(3)浏览器客户端发出动态口令密钥切换请求，服务器接收动态口令密钥切换请求并进行动态口令密钥切换，同时将动态口令密钥切换结果发送至浏览器客户端，浏览器客户端根据动态口令密钥切换结果判断动态口令是否切换成功，若动态口令密钥切换成功，服务器获取新的动态口令密钥、服务器时间和动态口令密钥过期时间，并对浏览器客户端缓存中的相应信息进行更新，执行步骤(4)，否则动态口令密钥切换失败，结束；

(4)浏览器客户端采用浏览器客户端缓存中的动态口令密钥和服务器时间产生动态口令，采用动态口令对服务器进行授权访问，返回步骤(2)。

所述的浏览器客户端发出登录验证请求具体为：

(1a)浏览器客户端获取人工输入的用户名User1和登录密码Pwd2后，生成唯一识别标识UUID1和浏览器客户端IP地址，同时随机生成第一对称加密密码DataPwd1和第一非对称密钥对，其中第一非对称密钥对包括第一私钥PrivateKey1和第一公钥PublicKey1，浏览器客户端还获取浏览器客户端与服务器通讯的第二非对称密钥对中的第二公钥PublicKey2，执行步骤(1b)；

(1b)采用第二公钥PublicKey2对唯一识别标识UUID1、浏览器客户端IP地址、第一对称加密密码DataPwd1、第一公钥PublicKey1、用户名User1和登录密码Pwd2进行加密，所有加密数据组成登录验证请求加密数据，执行步骤(1c)；

(1c)将步骤(1b)中登录验证请求加密数据发送至服务器登录验证接口进行登录验证请求。

所述的服务器接收登录验证请求并进行登录验证具体为：

(2a)服务器获取第二非对称密钥对中的第二私钥PrivateKey2，执行步骤(2b)；

(2b)将步骤(1c)中的登录验证请求加密数据采用第二私钥PrivateKey2进行解密，获取唯一识别标识UUID1、浏览器客户端IP地址、第一对称加密密码DataPwd1、第一公钥PublicKey1、用户名User1和登录密码Pwd2，执行步骤(2c)；

(2c)将用户名User1和登录密码Pwd2与服务器数据库中存储的用户名和登录密码分别进行对比并判断是否一致，若是则执行步骤(2d)，否则执行步骤(2f)；

(2d)服务器生成登录成功代码、第一动态口令密钥PwdKey1、第一服务器时间ServerTimestamp1和第一动态口令密钥过期时间ExpireTimestamp1，并将唯一识别标识UUID1、浏览器客户端IP地址、第一对称加密密码DataPwd1、第一动态口令密钥PwdKey1、第一服务器时间ServerTimestamp1和第一动态口令密钥过期时间ExpireTimestamp1保存至服务器数据库中，执行步骤(2e)；

(2e)采用第一公钥PublicKey1对登录成功代码、第一动态口令密钥PwdKey1、第一服务器时间ServerTimestamp1和第一动态口令密钥过期时间ExpireTimestamp1进行加密并保存为登录验证结果，结束登录验证；

(2f)服务器生成登录失败代码并采用第一公钥PublicKey1对登录失败代码进行加密，同时将加密后的登录失败代码保存为登录验证结果。

所述的浏览器客户端根据登录验证结果判断是否登录成功具体为：

(3a)浏览器客户端接收登录验证结果并采用第一私钥PrivateKey1对登录验证结果进行解密，判断解密后的登录验证结果是否为登录失败代码，若是则执行步骤(3b)，否则执行步骤(3c)；

(3b)浏览器客户端显示登录失败，结束；

(3c)将唯一识别标识UUID1、浏览器客户端IP地址、第一对称加密密码DataPwd1、第一公钥PublicKey1、第一动态口令密钥PwdKey1、第一服务器时间ServerTimestamp1、第一动态口令密钥过期时间ExpireTimestamp1以及第一服务器时间ServerTimestamp1与本地时间差值Interval1保存至浏览器客户端缓存中。

所述的浏览器客户端发出动态口令密钥切换请求具体为：

(4a)浏览器客户端将浏览器客户端缓存中的第一动态口令密钥PwdKey1、第一服务器时间ServerTimestamp1与本地时间差值Interval1以及客户端当前时间采用动态令牌算法生成第一动态令牌Number1，执行步骤(4b)；

(4b)随机生成第二对称加密密码DataPwd2和第三非对称秘钥对，其中第三非对称密钥对包括第三私钥PrivateKey3和第三公钥PublicKey3，执行步骤(4c)；

(4c)获取浏览器客户端IP地址，将唯一识别标识UUID1、浏览器客户端IP地址、第一动态口令密钥PwdKey1、第一动态口令密钥过期时间ExpireTimestamp1、第一动态令牌Number1、第二对称加密密码DataPwd2和第三公钥PublicKey3采用第二公钥PublicKey2进行加密，该步骤中所有加密数据组成动态口令密钥切换请求加密数据，执行步骤(4d)；

(4d)将步骤(4c)中的动态口令密钥切换请求加密数据发送至服务器的动态口令密钥切换接口进行动态口令密钥切换请求。

所述的服务器接收动态口令密钥切换请求并进行动态口令密钥切换具体为：

(5a)将步骤(4d)中的动态口令密钥切换请求加密数据采用第二私钥PrivateKey2进行解密获取唯一识别标识UUID1、浏览器客户端IP地址、第一动态口令密钥PwdKey1、第一动态口令密钥过期时间ExpireTimestamp1、第一动态令牌Number1、第二对称加密密码DataPwd2和第三公钥PublicKey3，执行步骤(5b)；

(5b)根据唯一识别标识UUID1从服务器数据库获取相应的浏览器客户端IP地址、第一对称加密密码DataPwd1、第一动态口令密钥PwdKey1和第一动态口令密钥过期时间ExpireTimestamp1，执行步骤(5c)；

(5c)获取服务器当前时间，将步骤(5b)中获取的动态口令密钥PwdKey1和服务器当前时间采用动态令牌算法生成第二动态令牌Number2，执行步骤(5d)；

(5d)对比第二动态令牌Number2和第一动态令牌Number1，判断两者是否一致，若是则执行步骤(5e)，否则执行步骤(5j)；

(5e)分别比较步骤(5a)和步骤(5b)中的第一动态口令密钥PwdKey1以及第一动态口令密钥过期时间ExpireTimestamp1是否对应一致，若是执行步骤(5f)，否则执行步骤(5j)；

(5f)判断步骤(5a)和步骤(5b)中浏览器客户端IP地址是否一致，若是执行步骤(5g)，否则写入用于警告客户端IP地址变换的推送信息至服务器数据库并执行步骤(5g)；

(5g)生成第二动态口令密钥PwdKey2、第二服务器时间ServerTimestamp2和第二动态口令密钥过期时间ExpireTimestamp2，执行步骤(5h)；

(5h)根据唯一识别标识UUID1对服务器数据库中存储的数据信息进行赋值更新，包括将第二对称加密密码DataPwd2赋值为第一对称加密密码DataPwd1，第二动态口令密钥PwdKey2赋值为第一动态口令密钥PwdKey1，第二服务器时间ServerTimestamp2赋值为第一服务器时间ServerTimestamp1，第二动态口令密钥过期时间ExpireTimestamp2赋值为第一动态口令密钥过期时间ExpireTimestamp1，执行步骤(5i)；

(5i)服务器生成动态口令密钥切换成功代码，同时将动态口令密钥切换成功代码以及步骤(5g)中的第二动态口令密钥PwdKey2、第二服务器时间ServerTimestamp2和第二动态口令密钥过期时间ExpireTimestamp2采用第三公钥PublicKey3加密并保存为动态口令密钥切换结果；

(5j)服务器生成动态口令密钥切换失败代码，采用第三公钥PublicKey3加密并保存为动态口令密钥切换结果。

所述的浏览器客户端根据动态口令密钥切换结果判断动态口令是否切换成功具体为：

(6a)浏览器客户端接收动态口令密钥切换结果并采用第三私钥PrivateKey3对动态口令密钥切换结果进行解密，判断解密后的动态口令密钥切换结果是否为动态口令密钥切换失败代码，若是则执行步骤(6b)，否则执行步骤(6c)；

(6b)浏览器客户端显示动态口令密钥切换失败，结束；

(6c)将步骤(5a)中的第二对称加密密码DataPwd2和步骤(6a)解密得到的第二动态口令密钥PwdKey2、第二服务器时间ServerTimestamp2、第二动态口令密钥过期时间ExpireTimestamp2以及第二服务器时间ServerTimestamp2与本地时间差值Interval2更新保存至浏览器客户端缓存中。

与现有技术相比，本发明具有如下优点：

(1)本发明中浏览器客户端获取的人工输入的登录密码Pwd2并未存储至浏览器客户端缓存中，在后续授权访问过程中通过动态口令的方式来进行授权访问，通过动态口令的方式起到身份验证的作用，从而不需要通过缓存的登录密码Pwd2来进行身份验证，防止用户密码被破解；

(2)本发明中采用动态口令的方式进行授权访问，防止截获请求再转发；

(3)在登录验证和动态口令密钥切换过程时，浏览器客户端与服务器通讯过程中的数据传输过程中均通过非对称密钥对进行数据加密和解密，加密强度高，保证了数据传输的安全性。

附图说明

图1为本发明用于浏览器客户端和服务器的授权访问方法的流程图；

图2为登录验证时浏览器客户端的操作流程图；

图3为登录验证时服务器的操作流程图；

图4为动态口令密钥切换时浏览器客户端的操作流程图；

图5为动态口令密钥切换时服务器的操作流程图。

具体实施方式

下面结合附图和具体实施例对本发明进行详细说明。

实施例

如图1所示，一种用于浏览器客户端和服务器的授权访问方法，该方法包括如下步骤：

执行步骤1：浏览器客户端发出登录验证请求，服务器接收登录验证请求并进行登录验证，同时将验证结果发送至浏览器客户端，浏览器客户端根据登录验证结果判断是否登录成功，若登录验证成功，则服务器生成动态口令密钥、服务器时间和动态口令密钥过期时间，同时将动态口令密钥、服务器时间和动态口令密钥过期时间存储至浏览器客户端缓存中，执行步骤2，否则登录失败，结束；

步骤2：判断是否到达浏览器客户端缓存中的动态口令密钥过期时间，若是执行步骤3，否则执行步骤5；

步骤3：浏览器客户端发出动态口令密钥切换请求，服务器接收动态口令密钥切换请求并进行动态口令密钥切换，同时将动态口令密钥切换结果发送至浏览器客户端，执行步骤4；

步骤4：浏览器客户端根据动态口令密钥切换结果判断动态口令是否切换成功，若动态口令密钥切换成功，服务器获取新的动态口令密钥、服务器时间和动态口令密钥过期时间，并对浏览器客户端缓存中的相应信息进行更新，执行步骤5，否则动态口令密钥切换失败，结束；

步骤5：浏览器客户端采用浏览器客户端缓存中的动态口令密钥和服务器时间产生动态口令，采用动态口令对服务器进行授权访问，返回步骤2。

具体的步骤1中浏览器客户端发出登录验证请求具体为：

(1a)浏览器客户端获取人工输入的用户名User1和登录密码Pwd2后，生成唯一识别标识UUID1和浏览器客户端IP地址，同时随机生成第一对称加密密码DataPwd1和第一非对称密钥对，其中第一非对称密钥对包括第一私钥PrivateKey1和第一公钥PublicKey1，浏览器客户端还获取浏览器客户端与服务器通讯的第二非对称密钥对中的第二公钥PublicKey2，执行步骤(1b)；

(1b)采用第二公钥PublicKey2对唯一识别标识UUID1、浏览器客户端IP地址、第一对称加密密码DataPwd1、第一公钥PublicKey1、用户名User1和登录密码Pwd2进行加密，所有加密数据组成登录验证请求加密数据，执行步骤(1c)；

(1c)将步骤(1b)中登录验证请求加密数据发送至服务器登录验证接口进行登录验证请求。

其中，UUID含义是通用唯一识别码(Universally Unique Identifier)，这是一个软件建构的标准，也是被开源软件基金会(Open Software Foundation,OSF)的组织应用在分布式计算环境(Distributed Computing Environment,DCE)领域的一部分。

使用UUID的好处在分布式的软件***中(比如：DCE/RPC,COM+,CORBA)就能体现出来，它能保证每个节点所生成的标识都不会重复，并且随着WEB服务等整合技术的发展，UUID的优势将更加明显。根据使用的特定机制，UUID不仅需要保证是彼此不相同的，或者最少也是与公元3400年之前其他任何生成的通用唯一标识符有非常大的区别。

步骤1中服务器接收登录验证请求并进行登录验证具体为：

(2a)服务器获取第二非对称密钥对中的第二私钥PrivateKey2，执行步骤(2b)；

(2b)将步骤(1c)中的登录验证请求加密数据采用第二私钥PrivateKey2进行解密，获取唯一识别标识UUID1、浏览器客户端IP地址、第一对称加密密码DataPwd1、第一公钥PublicKey1、用户名User1和登录密码Pwd2，执行步骤(2c)；

(2c)将用户名User1和登录密码Pwd2与服务器数据库中存储的用户名和登录密码分别进行对比并判断是否一致，若是则执行步骤(2d)，否则执行步骤(2f)；

(2d)服务器生成登录成功代码、第一动态口令密钥PwdKey1、第一服务器时间ServerTimestamp1和第一动态口令密钥过期时间ExpireTimestamp1，并将唯一识别标识UUID1、浏览器客户端IP地址、第一对称加密密码DataPwd1、第一动态口令密钥PwdKey1、第一服务器时间ServerTimestamp1和第一动态口令密钥过期时间ExpireTimestamp1保存至服务器数据库中，执行步骤(2e)；

(2e)采用第一公钥PublicKey1对登录成功代码、第一动态口令密钥PwdKey1、第一服务器时间ServerTimestamp1和第一动态口令密钥过期时间ExpireTimestamp1进行加密并保存为登录验证结果，结束登录验证；

(2f)服务器生成登录失败代码并采用第一公钥PublicKey1对登录失败代码进行加密，同时将加密后的登录失败代码保存为登录验证结果。

步骤1中浏览器客户端根据登录验证结果判断是否登录成功具体为：

(3a)浏览器客户端接收登录验证结果并采用第一私钥PrivateKey1对登录验证结果进行解密，判断解密后的登录验证结果是否为登录失败代码，若是则执行步骤(3b)，否则执行步骤(3c)；

(3b)浏览器客户端显示登录失败，结束；

(3c)将唯一识别标识UUID1、浏览器客户端IP地址、第一对称加密密码DataPwd1、第一公钥PublicKey1、第一动态口令密钥PwdKey1、第一服务器时间ServerTimestamp1、第一动态口令密钥过期时间ExpireTimestamp1以及第一服务器时间ServerTimestamp1与本地时间差值Interval1保存至浏览器客户端缓存中。

由上可以看出，在登录验证时，浏览器客户端和服务器分别完成各自操作，可得到浏览器客户端和服务器的操作流程图。如图2所示为登录验证时浏览器客户端的操作流程图，首先执行步骤1A：浏览器客户端生成唯一识别标识UUID1、非对称密钥对和非对称加密密码等，继而执行步骤1B：浏览器客户端发出登录验证请求并等待登录验证结果，继续执行步骤1C：判定登录验证是否成功，若是执行步骤1D：在浏览器客户端缓存中存储服务器端返回的第一对称加密密码DataPwd1、第一公钥PublicKey1、第一动态口令密钥PwdKey1、第一服务器时间ServerTimestamp1、第一动态口令密钥过期时间ExpireTimestamp1以及第一服务器时间ServerTimestamp1与本地时间差值Interval1等等，否则执行步骤1E：显示登录验证失败并结束。如图3所示为登录验证时服务器的操作流程图，首先执行步骤2A，接收浏览器客户端的登录验证请求并进行用户验证，执行步骤2B，判断登录验证是否通过，若是执行步骤2C，生成动态口令密钥等，并执行步骤2D，更新服务器输出库中相关信息，若登录验证未通过则执行步骤2E，进行相应错误处理，即生成登录失败代码并采用第一公钥PublicKey1对登录失败代码进行加密，同时将加密后的登录失败代码保存为登录验证结果。

步骤3中浏览器客户端发出动态口令密钥切换请求具体为：

(4a)浏览器客户端将浏览器客户端缓存中的第一动态口令密钥PwdKey1、第一服务器时间ServerTimestamp1与本地时间差值Interval1以及客户端当前时间采用动态令牌算法生成第一动态令牌Number1，执行步骤(4b)；

(4b)随机生成第二对称加密密码DataPwd2和第三非对称秘钥对，其中第三非对称密钥对包括第三私钥PrivateKey3和第三公钥PublicKey3，执行步骤(4c)；

(4c)获取浏览器客户端IP地址，将唯一识别标识UUID1、浏览器客户端IP地址、第一动态口令密钥PwdKey1、第一动态口令密钥过期时间ExpireTimestamp1、第一动态令牌Number1、第二对称加密密码DataPwd2和第三公钥PublicKey3采用第二公钥PublicKey2进行加密，该步骤中所有加密数据组成动态口令密钥切换请求加密数据，执行步骤(4d)；

(4d)将步骤(4c)中的动态口令密钥切换请求加密数据发送至服务器的动态口令密钥切换接口进行动态口令密钥切换请求。

步骤3中服务器接收动态口令密钥切换请求并进行动态口令密钥切换具体为：

(5a)将步骤(4d)中的动态口令密钥切换请求加密数据采用第二私钥PrivateKey2进行解密获取唯一识别标识UUID1、浏览器客户端IP地址、第一动态口令密钥PwdKey1、第一动态口令密钥过期时间ExpireTimestamp1、第一动态令牌Number1、第二对称加密密码DataPwd2和第三公钥PublicKey3，执行步骤(5b)；

(5b)根据唯一识别标识UUID1从服务器数据库获取相应的浏览器客户端IP地址、第一对称加密密码DataPwd1、第一动态口令密钥PwdKey1和第一动态口令密钥过期时间ExpireTimestamp1，执行步骤(5c)；

(5c)获取服务器当前时间，将步骤(5b)中获取的动态口令密钥PwdKey1和服务器当前时间采用动态令牌算法生成第二动态令牌Number2，执行步骤(5d)；

(5d)对比第二动态令牌Number2和第一动态令牌Number1，判断两者是否一致，若是则执行步骤(5e)，否则执行步骤(5j)；

(5e)分别比较步骤(5a)和步骤(5b)中的第一动态口令密钥PwdKey1以及第一动态口令密钥过期时间ExpireTimestamp1是否对应一致，若是执行步骤(5f)，否则执行步骤(5j)；

(5f)判断步骤(5a)和步骤(5b)中浏览器客户端IP地址是否一致，若是执行步骤(5g)，否则写入用于警告客户端IP地址变换的推送信息至服务器数据库并执行步骤(5g)；

(5g)生成第二动态口令密钥PwdKey2、第二服务器时间ServerTimestamp2和第二动态口令密钥过期时间ExpireTimestamp2，执行步骤(5h)；

(5h)根据唯一识别标识UUID1对服务器数据库中存储的数据信息进行赋值更新，包括将第二对称加密密码DataPwd2赋值为第一对称加密密码DataPwd1，第二动态口令密钥PwdKey2赋值为第一动态口令密钥PwdKey1，第二服务器时间ServerTimestamp2赋值为第一服务器时间ServerTimestamp1，第二动态口令密钥过期时间ExpireTimestamp2赋值为第一动态口令密钥过期时间ExpireTimestamp1，执行步骤(5i)；

(5i)服务器生成动态口令密钥切换成功代码，同时将动态口令密钥切换成功代码以及步骤(5g)中的第二动态口令密钥PwdKey2、第二服务器时间ServerTimestamp2和第二动态口令密钥过期时间ExpireTimestamp2采用第三公钥PublicKey3加密并保存为动态口令密钥切换结果；

(5j)服务器生成动态口令密钥切换失败代码，采用第三公钥PublicKey3加密并保存为动态口令密钥切换结果。

步骤4中，浏览器客户端根据动态口令密钥切换结果判断动态口令是否切换成功具体为：

(6a)浏览器客户端接收动态口令密钥切换结果并采用第三私钥PrivateKey3对动态口令密钥切换结果进行解密，判断解密后的动态口令密钥切换结果是否为动态口令密钥切换失败代码，若是则执行步骤(6b)，否则执行步骤(6c)；

(6b)浏览器客户端显示动态口令密钥切换失败，结束；

(6c)将步骤(5a)中的第二对称加密密码DataPwd2和步骤(6a)解密得到的第二动态口令密钥PwdKey2、第二服务器时间ServerTimestamp2、第二动态口令密钥过期时间ExpireTimestamp2以及第二服务器时间ServerTimestamp2与本地时间差值Interval2更新保存至浏览器客户端缓存中。

由上可以看出，在动态口令密钥切换时，浏览器客户端和服务器也均分别完成各自操作，可得到浏览器客户端和服务器的操作流程图。如图4所示为动态口令密钥切换时浏览器客户端的操作流程图，首先执行步骤3A：浏览器客户端随机生成第二对称加密密码DataPwd2和第三非对称秘钥对等，继而执行步骤3B：浏览器客户端发出动态口令密钥切换请求并等待动态口令密钥切换结果，继续执行步骤3C：判定动态口令密钥切换是否成功，若是执行步骤3D：在浏览器客户端缓存中更新服务器端返回的动态口令密钥等，否则执行步骤3E：进行错误处理，显示动态口令密钥切换失败并结束。如图5所示为动态口令密钥切换时服务器的操作流程图，首先执行步骤4A，接收浏览器客户端的动态口令密钥切换请求并进行动态口令密钥切换，执行步骤4B，判断动态令牌是够一致，若是执行步骤4C，否则执行步骤4F，进行错误处理服务器生成动态口令密钥切换失败代码，步骤4C为判断动态口令密钥和动态口令密钥过期时间是否对应一致，若是执行步骤4D，否则执行步骤4F，进行错误处理，步骤4D为判断浏览器客户端IP地址是否一致，若是执行步骤4E，生成新的动态口令密钥等，否则执行步骤4G，写入用于警告客户端IP地址变换的推送信息至服务器数据库，然后执行步骤4E。

在登录验证和动态口令密钥切换过程时，浏览器客户端与服务器通讯过程中的数据传输过程中均通过非对称加密算法实现，具体的通过非对称密钥对进行数据加密和解密，加密强度高，保证了数据传输的安全性。采用非对称加密算法需要两个密钥：公开密钥(publickey)和私有密钥(privatekey)。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法叫作非对称加密算法。非对称加密算法实现机密信息交换的基本过程是：甲方生成一对密钥并将其中的一把作为公用密钥向其它方公开；得到该公用密钥的乙方使用该密钥对机密信息进行加密后再发送给甲方；甲方再用自己保存的另一把专用密钥对加密后的信息进行解密。另一方面，甲方可以使用乙方的公钥对机密信息进行签名后再发送给乙方；乙方再用自己的私匙对数据进行验签。甲方只能用其专用密钥解密由其公用密钥加密后的任何信息。非对称加密算法的保密性比较好，它消除了最终用户交换密钥的需要。非对称密码体制的特点：算法强度复杂、安全性依赖于算法与密钥但是由于其算法复杂，而使得加密解密速度没有对称加密解密的速度快。对称密码体制中只有一种密钥，并且是非公开的，如果要解密就得让对方知道密钥。所以保证其安全性就是保证密钥的安全，而非对称密钥体制有两种密钥，其中一个是公开的，这样就可以不需要像对称密码那样传输对方的密钥了。这样安全性就大了很多。

步骤5的授权访问过程中采用浏览器客户端缓存中的动态口令密钥和服务器时间产生动态口令开进行授权访问。动态口令是根据专门的算法生成一个不可预测的随机数字组合，一个密码使用一次有效，目前被广泛运用在网银、网游、电信运营商、电子政务、企业等应用领域。动态口令是一种安全便捷的帐号防盗技术，可以有效保护交易和登录的认证安全，采用动态口令就无需定期修改密码，安全省心，从而在最基本的密码认证这一环节保证了***的安全性。解决因口令欺诈而导致的重大损失，防止恶意入侵者或人为破坏，解决由口令泄密导致的入侵问题。动态令牌即是用来生成动态口令终端。

另外步骤5中进行授权访问过程中，对于业务数据的传输采用对称加密算法实现对称加密算法是应用较早的加密算法，技术成熟。在对称加密算法中，数据发信方将明文(原始数据)和加密密钥一起经过特殊加密算法处理后，使其变成复杂的加密密文发送出去。收信方收到密文后，若想解读原文，则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密，才能使其恢复成可读明文。在对称加密算法中，使用的密钥只有一个，发收信双方都使用这个密钥对数据进行加密和解密，这就要求解密方事先必须知道加密密钥。对称加密算法的特点是算法公开、计算量小、加密速度快、加密效率高。

Claims (7)

1.一种用于浏览器客户端和服务器的授权访问方法，其特征在于，该方法包括如下步骤：

(1)浏览器客户端发出登录验证请求，服务器接收登录验证请求并进行登录验证，同时将验证结果发送至浏览器客户端，浏览器客户端根据登录验证结果判断是否登录成功，若登录验证成功，则服务器生成动态口令密钥、服务器时间和动态口令密钥过期时间，同时将所述的动态口令密钥、服务器时间和动态口令密钥过期时间存储至浏览器客户端缓存中，执行步骤(2)，否则登录失败，结束；

(2)判断是否到达浏览器客户端缓存中的动态口令密钥过期时间，若是执行步骤(3)，否则执行步骤(4)；

(3)浏览器客户端发出动态口令密钥切换请求，服务器接收动态口令密钥切换请求并进行动态口令密钥切换，同时将动态口令密钥切换结果发送至浏览器客户端，浏览器客户端根据动态口令密钥切换结果判断动态口令是否切换成功，若动态口令密钥切换成功，服务器获取新的动态口令密钥、服务器时间和动态口令密钥过期时间，并对浏览器客户端缓存中的相应信息进行更新，执行步骤(4)，否则动态口令密钥切换失败，结束；

(4)浏览器客户端采用浏览器客户端缓存中的动态口令密钥和服务器时间产生动态口令，采用动态口令对服务器进行授权访问，返回步骤(2)。

2.根据权利要求1所述的一种用于浏览器客户端和服务器的授权访问方法，其特征在于，所述的浏览器客户端发出登录验证请求具体为：

(1a)浏览器客户端获取人工输入的用户名User1和登录密码Pwd2后，生成唯一识别标识UUID1和浏览器客户端IP地址，同时随机生成第一对称加密密码DataPwd1和第一非对称密钥对，其中第一非对称密钥对包括第一私钥PrivateKey1和第一公钥PublicKey1，浏览器客户端还获取浏览器客户端与服务器通讯的第二非对称密钥对中的第二公钥PublicKey2，执行步骤(1b)；

(1b)采用第二公钥PublicKey2对唯一识别标识UUID1、浏览器客户端IP地址、第一对称加密密码DataPwd1、第一公钥PublicKey1、用户名User1和登录密码Pwd2进行加密，所有加密数据组成登录验证请求加密数据，执行步骤(1c)；

(1c)将步骤(1b)中登录验证请求加密数据发送至服务器登录验证接口进行登录验证请求。

3.根据权利要求2所述的一种用于浏览器客户端和服务器的授权访问方法，其特征在于，所述的服务器接收登录验证请求并进行登录验证具体为：

(2a)服务器获取第二非对称密钥对中的第二私钥PrivateKey2，执行步骤(2b)；

(2b)将步骤(1c)中的登录验证请求加密数据采用第二私钥PrivateKey2进行解密，获取唯一识别标识UUID1、浏览器客户端IP地址、第一对称加密密码DataPwd1、第一公钥PublicKey1、用户名User1和登录密码Pwd2，执行步骤(2c)；

(2c)将用户名User1和登录密码Pwd2与服务器数据库中存储的用户名和登录密码分别进行对比并判断是否一致，若是则执行步骤(2d)，否则执行步骤(2f)；

(2d)服务器生成登录成功代码、第一动态口令密钥PwdKey1、第一服务器时间ServerTimestamp1和第一动态口令密钥过期时间ExpireTimestamp1，并将唯一识别标识UUID1、浏览器客户端IP地址、第一对称加密密码DataPwd1、第一动态口令密钥PwdKey1、第一服务器时间ServerTimestamp1和第一动态口令密钥过期时间ExpireTimestamp1保存至服务器数据库中，执行步骤(2e)；

(2e)采用第一公钥PublicKey1对登录成功代码、第一动态口令密钥PwdKey1、第一服务器时间ServerTimestamp1和第一动态口令密钥过期时间ExpireTimestamp1进行加密并保存为登录验证结果，结束登录验证；

(2f)服务器生成登录失败代码并采用第一公钥PublicKey1对登录失败代码进行加密，同时将加密后的登录失败代码保存为登录验证结果。

4.根据权利要求3所述的一种用于浏览器客户端和服务器的授权访问方法，其特征在于，所述的浏览器客户端根据登录验证结果判断是否登录成功具体为：

(3a)浏览器客户端接收登录验证结果并采用第一私钥PrivateKey1对登录验证结果进行解密，判断解密后的登录验证结果是否为登录失败代码，若是则执行步骤(3b)，否则执行步骤(3c)；

(3b)浏览器客户端显示登录失败，结束；

(3c)将唯一识别标识UUID1、浏览器客户端IP地址、第一对称加密密码DataPwd1、第一公钥PublicKey1、第一动态口令密钥PwdKey1、第一服务器时间ServerTimestamp1、第一动态口令密钥过期时间ExpireTimestamp1以及第一服务器时间ServerTimestamp1与本地时间差值Interval1保存至浏览器客户端缓存中。

5.根据权利要求4所述的一种用于浏览器客户端和服务器的授权访问方法，其特征在于，所述的浏览器客户端发出动态口令密钥切换请求具体为：

(4a)浏览器客户端将浏览器客户端缓存中的第一动态口令密钥PwdKey1、第一服务器时间ServerTimestamp1与本地时间差值Interval1以及客户端当前时间采用动态令牌算法生成第一动态令牌Number1，执行步骤(4b)；

(4b)随机生成第二对称加密密码DataPwd2和第三非对称秘钥对，其中第三非对称密钥对包括第三私钥PrivateKey3和第三公钥PublicKey3，执行步骤(4c)；

(4c)获取浏览器客户端IP地址，将唯一识别标识UUID1、浏览器客户端IP地址、第一动态口令密钥PwdKey1、第一动态口令密钥过期时间ExpireTimestamp1、第一动态令牌Number1、第二对称加密密码DataPwd2和第三公钥PublicKey3采用第二公钥PublicKey2进行加密，该步骤中所有加密数据组成动态口令密钥切换请求加密数据，执行步骤(4d)；

(4d)将步骤(4c)中的动态口令密钥切换请求加密数据发送至服务器的动态口令密钥切换接口进行动态口令密钥切换请求。

6.根据权利要求5所述的一种用于浏览器客户端和服务器的授权访问方法，其特征在于，所述的服务器接收动态口令密钥切换请求并进行动态口令密钥切换具体为：

(5a)将步骤(4d)中的动态口令密钥切换请求加密数据采用第二私钥PrivateKey2进行解密获取唯一识别标识UUID1、浏览器客户端IP地址、第一动态口令密钥PwdKey1、第一动态口令密钥过期时间ExpireTimestamp1、第一动态令牌Number1、第二对称加密密码DataPwd2和第三公钥PublicKey3，执行步骤(5b)；

(5b)根据唯一识别标识UUID1从服务器数据库获取相应的浏览器客户端IP地址、第一对称加密密码DataPwd1、第一动态口令密钥PwdKey1和第一动态口令密钥过期时间ExpireTimestamp1，执行步骤(5c)；

(5c)获取服务器当前时间，将步骤(5b)中获取的动态口令密钥PwdKey1和服务器当前时间采用动态令牌算法生成第二动态令牌Number2，执行步骤(5d)；

(5d)对比第二动态令牌Number2和第一动态令牌Number1，判断两者是否一致，若是则执行步骤(5e)，否则执行步骤(5j)；

(5e)分别比较步骤(5a)和步骤(5b)中的第一动态口令密钥PwdKey1以及第一动态口令密钥过期时间ExpireTimestamp1是否对应一致，若是执行步骤(5f)，否则执行步骤(5j)；

(5f)判断步骤(5a)和步骤(5b)中浏览器客户端IP地址是否一致，若是执行步骤(5g)，否则写入用于警告客户端IP地址变换的推送信息至服务器数据库并执行步骤(5g)；

(5g)生成第二动态口令密钥PwdKey2、第二服务器时间ServerTimestamp2和第二动态口令密钥过期时间ExpireTimestamp2，执行步骤(5h)；

(5h)根据唯一识别标识UUID1对服务器数据库中存储的数据信息进行赋值更新，包括将第二对称加密密码DataPwd2赋值为第一对称加密密码DataPwd1，第二动态口令密钥PwdKey2赋值为第一动态口令密钥PwdKey1，第二服务器时间ServerTimestamp2赋值为第一服务器时间ServerTimestamp1，第二动态口令密钥过期时间ExpireTimestamp2赋值为第一动态口令密钥过期时间ExpireTimestamp1，执行步骤(5i)；

(5i)服务器生成动态口令密钥切换成功代码，同时将动态口令密钥切换成功代码以及步骤(5g)中的第二动态口令密钥PwdKey2、第二服务器时间ServerTimestamp2和第二动态口令密钥过期时间ExpireTimestamp2采用第三公钥PublicKey3加密并保存为动态口令密钥切换结果；

(5j)服务器生成动态口令密钥切换失败代码，采用第三公钥PublicKey3加密并保存为动态口令密钥切换结果。

7.根据权利要求6所述的一种用于浏览器客户端和服务器的授权访问方法，其特征在于，所述的浏览器客户端根据动态口令密钥切换结果判断动态口令是否切换成功具体为：

(6a)浏览器客户端接收动态口令密钥切换结果并采用第三私钥PrivateKey3对动态口令密钥切换结果进行解密，判断解密后的动态口令密钥切换结果是否为动态口令密钥切换失败代码，若是则执行步骤(6b)，否则执行步骤(6c)；

(6b)浏览器客户端显示动态口令密钥切换失败，结束；

(6c)将步骤(5a)中的第二对称加密密码DataPwd2和步骤(6a)解密得到的第二动态口令密钥PwdKey2、第二服务器时间ServerTimestamp2、第二动态口令密钥过期时间ExpireTimestamp2以及第二服务器时间ServerTimestamp2与本地时间差值Interval2更新保存至浏览器客户端缓存中。