CN104796398B - 一种服务器主导的客户端鉴权的方法 - Google Patents
一种服务器主导的客户端鉴权的方法 Download PDFInfo
- Publication number
- CN104796398B CN104796398B CN201510007728.1A CN201510007728A CN104796398B CN 104796398 B CN104796398 B CN 104796398B CN 201510007728 A CN201510007728 A CN 201510007728A CN 104796398 B CN104796398 B CN 104796398B
- Authority
- CN
- China
- Prior art keywords
- client
- authentication
- server
- sequence number
- identification sequence
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种服务器主导的客户端鉴权的方法。本发明中,利用服务器的中心节点功能,选择具有良好资质的客户端,并将本应由服务器承担的鉴权任务下放到该客户端中。通过这种一个客户端向另一个客户端获取鉴权信息的方式来完成鉴权过程的方式,减轻了服务器的负担,使得服务器能够将资源用于更重要的服务,也减小了对服务器性能的需求。而且,客户端之间进行鉴权时使用近场通信的方式,节约了移动网络的流量,降低了用户的花费。
Description
技术领域
本发明涉及通信网络安全技术领域,尤其涉及一种设备间鉴权的方法。
背景技术
随着因特网业务的蓬勃发展和无线网络的广泛应用,移动用户的安全性已经对于无线系统提出了越来越多的要求:除了设备鉴权、用户鉴权和服务授权等等,无线用户与接入点或基站之间的安全通道的建立,保密信息的交换,以及BS和鉴权者,鉴权者和鉴权服务器之间的保密通道,保密信息的交换等等都是以往在专用网络中所不需要考虑而目前需要得到大量关注的问题了。
在现有技术中,网络结构主要包括C/S结构,B/S 结构两种类型。
C/S(Client/Server)结构,即客户端/服务器端结构;B/S(Browser/Server) 结构,即浏览器端/服务器端结构。其中B/S结构是在C/S结构基础上发展而来 的,浏览器端实质上也是一种客户端程序,它将HTML脚本转换成可视的界面。 通过这两种结构可以充分利用两端硬件环境的优势,将任务合理分配到客户端或 浏览器端和服务器端来实现,降低了系统的通讯开销。目前大多数应用软件系统 都是C/S或B/S形式的两层结构。
对于C/S结构,由于每个服务器均与大量客户端相连,因此承担了很重的服务任务,当大量客户端同时连接服务器时,会造成服务器负荷变大,运行变慢,导致服务质量变差,服务器维护成本大量增加。
服务器最重要的功能之一为客户端的鉴权功能,使得客户端能够获取相应的服务,当服务器由于负荷过重导致拥塞时,鉴权过程会受到影响,使得用户无法登录服务器,用户体验变差。而且鉴权过程中传递大量信息,对于移动客户端用户会产生较大流量,加大用户的经济负担。
发明内容
本发明提供了一种服务器主导的客户端鉴权的方法,应用于服务器/客户端架构的网络中,其特征在于,包括:
步骤202、服务器在鉴权数据库中存储已经鉴权成功了的客户端的识别序列号和地理位置;
步骤204、向服务器申请鉴权的第一客户端向服务器发送鉴权请求,其中包括所述第一客户端的识别序列号和地理位置;
步骤206、服务器接收到鉴权请求时,判断其中是否包含鉴权失败消息,若否,则进入步骤208;若是,则进入步骤226;
步骤208、识别所述第一客户端发送的所述识别序列号和地理位置,与所述鉴权数据库存储的已经鉴权成功了的,并且信用水平在一定等级之上的客户端的地理位置相比较,找到离所述第一客户端最近的第二客户端,并得到两者之间的距离;
步骤210、将该距离与预设的阈值相比较,判断所述距离是否小于阈值;若是,则向所述第一客户端发送鉴权转移消息,其中包括所述第一客户端和第二客户端的识别序列号,进入步骤212;若否,则向所述第一客户端发送鉴权失败消息,其中包括第一客户端和第二客户端的识别序列号,进入步骤222;
步骤212、所述第一客户端根据接收到的鉴权转移消息中得到的识别序列号,向该识别序列号对应的第二客户端发送鉴权请求,所述鉴权请求中包括第一客户端的识别序列号和地理位置;
步骤214、 所述第二客户端根据所述鉴权请求判断是否通过鉴权,若鉴权成功,则进入步骤216;若鉴权失败,则进入步骤220;
步骤216、所述第二客户端将鉴权成功消息发送给所述服务器,所述鉴权成功消息中包括第一客户端和第二客户端的识别序列号和地理位置;
步骤218、服务器接收鉴权成功消息,并将第一客户端的识别序列号和地理位置存入所述鉴权数据库中,将鉴权成功消息转发给所述第一客户端,进入步骤228;
步骤220、所述第二客户端向第一客户端发送鉴权失败消息,其中包括第一客户端和第二客户端的识别序列号和地理位置;
步骤222、第一客户端接收到鉴权失败消息后,判断其中是否包括服务器的识别序列号;若是,则进入步骤228;若否,则进一步判断其中是否包括其他客户端的识别序列号,若是,则进入步骤224,若否,进入步骤228;
步骤224、第一客户端重新向服务器发起鉴权请求,其中包括该鉴权失败消息,进入步骤206;
步骤226、服务器对第一客户端进行鉴权;若鉴权成功,则将第一客户端的识别序列号和地理位置存入所述鉴权数据库中,并向所述第一客户端发送鉴权成功消息,其中包括第一客户端和服务器的识别序列号,进入步骤228;若鉴权失败,则向所述第一客户端发送鉴权失败消息,其中包括第一客户端和服务器的识别序列号,进入步骤222。
步骤228、鉴权结束。
优选的,第一客户端和第二客户端之间通过近场通信的方式传递数据。
优选的,第一客户端和第二客户端之间通过蓝牙或红外的方式传递数据。
本发明中,利用服务器的中心节点功能,选择具有良好资质的客户端,并将本应由服务器承担的鉴权任务下放到该客户端中,通过一个客户端向另一个客户端获取鉴权信息的方式来完成鉴权过程,减轻了服务器的负担,使得服务器能够将资源用于更重要的服务,也减小了对服务器性能的需求。而且,客户端之间进行鉴权时使用近场通信的方式,节约了移动网络的流量,降低了用户的花费。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。
显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明服务器/客户端结构图;
图2为本发明实施例一流程图A;
图3为本发明实施例一流程图B;
图4为本发明实施例一流程图C;
附图标记:1-服务器;2-第一客户端;3-第二客户端。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,以下将通过具体实施例和相关附图,对本发明作进一步详细说明。
实施例一
本发明实施例一提供了一种服务器主导的客户端鉴权的方法,应用于服务器/客户端架构的网络中,其特征在于,包括:
步骤202、服务器在鉴权数据库中存储已经鉴权成功了的客户端的识别序列号和地理位置;
步骤204、向服务器申请鉴权的第一客户端向服务器发送鉴权请求,其中包括所述第一客户端的识别序列号和地理位置;
步骤206、服务器接收到鉴权请求时,判断其中是否包含鉴权失败消息,若否,则进入步骤208;若是,则进入步骤226;
步骤208、识别所述第一客户端发送的所述识别序列号和地理位置,与所述鉴权数据库存储的已经鉴权成功了的,并且信用水平在一定等级之上的客户端的地理位置相比较,找到离所述第一客户端最近的第二客户端,并得到两者之间的距离;
步骤210、将该距离与预设的阈值相比较,判断所述距离是否小于阈值;若是,则向所述第一客户端发送鉴权转移消息,其中包括所述第一客户端和第二客户端的识别序列号,进入步骤212;若否,则向所述第一客户端发送鉴权失败消息,其中包括第一客户端和第二客户端的识别序列号,进入步骤222;
步骤212、所述第一客户端根据接收到的鉴权转移消息中得到的识别序列号,向该识别序列号对应的第二客户端发送鉴权请求,所述鉴权请求中包括第一客户端的识别序列号和地理位置;
步骤214、 所述第二客户端根据所述鉴权请求判断是否通过鉴权,若鉴权成功,则进入步骤216;若鉴权失败,则进入步骤220;
步骤216、所述第二客户端将鉴权成功消息发送给所述服务器,所述鉴权成功消息中包括第一客户端和第二客户端的识别序列号和地理位置;
步骤218、服务器接收鉴权成功消息,并将第一客户端的识别序列号和地理位置存入所述鉴权数据库中,将鉴权成功消息转发给所述第一客户端,进入步骤228;
步骤220、所述第二客户端向第一客户端发送鉴权失败消息,其中包括第一客户端和第二客户端的识别序列号和地理位置;
步骤222、第一客户端接收到鉴权失败消息后,判断其中是否包括服务器的识别序列号;若是,则进入步骤228;若否,则进一步判断其中是否包括其他客户端的识别序列号,若是,则进入步骤224,若否,进入步骤228;
步骤224、第一客户端重新向服务器发起鉴权请求,其中包括该鉴权失败消息,进入步骤206;
步骤226、服务器对第一客户端进行鉴权;若鉴权成功,则将第一客户端的识别序列号和地理位置存入所述鉴权数据库中,并向所述第一客户端发送鉴权成功消息,其中包括第一客户端和服务器的识别序列号,进入步骤228;若鉴权失败,则向所述第一客户端发送鉴权失败消息,其中包括第一客户端和服务器的识别序列号,进入步骤222;
步骤228、鉴权结束。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
上列较佳实施例,对本发明的目的、技术方案和优点进行了进一步详细说明,所应理解的是,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (3)
1.一种服务器主导的客户端鉴权的方法,应用于服务器/客户端架构的网络中,其特征在于,包括:
步骤202、服务器在鉴权数据库中存储已经鉴权成功了的客户端的识别序列号和地理位置;
步骤204、向服务器申请鉴权的第一客户端向服务器发送鉴权请求,其中包括所述第一客户端的识别序列号和地理位置;
步骤206、服务器接收到鉴权请求时,判断其中是否包含鉴权失败消息,若否,则进入步骤208;若是,则进入步骤226;
步骤208、识别所述第一客户端发送的所述识别序列号和地理位置,与所述鉴权数据库存储的已经鉴权成功了的,并且信用水平在一定等级之上的客户端的地理位置相比较,找到离所述第一客户端最近的第二客户端,并得到两者之间的距离;
步骤210、将该距离与预设的阈值相比较,判断所述距离是否小于阈值;若是,则向所述第一客户端发送鉴权转移消息,其中包括所述第一客户端和第二客户端的识别序列号,进入步骤212;若否,则向所述第一客户端发送鉴权失败消息,其中包括第一客户端和第二客户端的识别序列号,进入步骤222;
步骤212、所述第一客户端根据接收到的鉴权转移消息中得到的识别序列号,向该识别序列号对应的第二客户端发送鉴权请求,所述鉴权请求中包括第一客户端的识别序列号和地理位置;
步骤214、所述第二客户端根据所述鉴权请求判断是否通过鉴权,若鉴权成功,则进入步骤216;若鉴权失败,则进入步骤220;
步骤216、所述第二客户端将鉴权成功消息发送给所述服务器,所述鉴权成功消息中包括第一客户端和第二客户端的识别序列号和地理位置;
步骤218、服务器接收鉴权成功消息,并将第一客户端的识别序列号和地理位置存入所述鉴权数据库中,将鉴权成功消息转发给所述第一客户端,进入步骤228;
步骤220、所述第二客户端向第一客户端发送鉴权失败消息,其中包括第一客户端和第二客户端的识别序列号和地理位置;
步骤222、第一客户端接收到鉴权失败消息后,判断其中是否包括服务器的识别序列号;若是,则进入步骤228;若否,则进一步判断其中是否包括其他客户端的识别序列号,若是,则进入步骤224,若否,进入步骤228;
步骤224、第一客户端重新向服务器发起鉴权请求,其中包括该鉴权失败消息,进入步骤206;
步骤226、服务器对第一客户端进行鉴权;若鉴权成功,则将第一客户端的识别序列号和地理位置存入所述鉴权数据库中,并向所述第一客户端发送鉴权成功消息,其中包括第一客户端和服务器的识别序列号,进入步骤228;若鉴权失败,则向所述第一客户端发送鉴权失败消息,其中包括第一客户端和服务器的识别序列号,进入步骤222;
步骤228、鉴权结束。
2.如权利要求1所述的方法,其特征在于,第一客户端和第二客户端通过近场通信的方式传递数据。
3.如权利要求1所述的方法,其特征在于,第一客户端和第二客户端通过蓝牙或红外的方式传递数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510007728.1A CN104796398B (zh) | 2015-01-08 | 2015-01-08 | 一种服务器主导的客户端鉴权的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510007728.1A CN104796398B (zh) | 2015-01-08 | 2015-01-08 | 一种服务器主导的客户端鉴权的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104796398A CN104796398A (zh) | 2015-07-22 |
| CN104796398B true CN104796398B (zh) | 2017-09-19 |
Family
ID=53560910
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510007728.1A Active CN104796398B (zh) | 2015-01-08 | 2015-01-08 | 一种服务器主导的客户端鉴权的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104796398B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108833396A (zh) * | 2018-06-07 | 2018-11-16 | 北京百悟科技有限公司 | 一种确权的方法、装置、系统及终端 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101119196A (zh) * | 2006-08-03 | 2008-02-06 | 西安电子科技大学 | 一种双向认证方法及系统 |
| CN101895388A (zh) * | 2010-07-07 | 2010-11-24 | 中兴通讯股份有限公司 | 分布式动态密钥管理方法及装置 |
| CN103391545A (zh) * | 2012-05-07 | 2013-11-13 | 财团法人工业技术研究院 | 装置间通信的认证系统及认证方法 |
-
2015
- 2015-01-08 CN CN201510007728.1A patent/CN104796398B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101119196A (zh) * | 2006-08-03 | 2008-02-06 | 西安电子科技大学 | 一种双向认证方法及系统 |
| CN101895388A (zh) * | 2010-07-07 | 2010-11-24 | 中兴通讯股份有限公司 | 分布式动态密钥管理方法及装置 |
| CN103391545A (zh) * | 2012-05-07 | 2013-11-13 | 财团法人工业技术研究院 | 装置间通信的认证系统及认证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104796398A (zh) | 2015-07-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20230367862A1 (en) | Incorporating risk-based decision in standard authentication and authorization systems | |
| CN104169952B (zh) | 一种网络支付方法、装置及系统 | |
| US10460309B2 (en) | Payment verification method, apparatus and system | |
| CN105450583B (zh) | 一种信息认证的方法及装置 | |
| CN104618314B (zh) | 一种密码重置方法、装置和系统 | |
| CN103501344B (zh) | 多应用实现单点登录的方法及系统 | |
| CN105100708B (zh) | 请求处理方法及装置 | |
| CN105554146B (zh) | 一种远程访问方法及装置 | |
| CN103903140B (zh) | 一种o2o安全支付方法、系统和一种安全支付后台 | |
| CN104348792A (zh) | 数据处理方法、装置和系统 | |
| CN106462841A (zh) | 用于自动的设备间授权的方法和装置 | |
| CN105577602A (zh) | 基于开放的应用程序编程接口的数据推送方法和装置 | |
| CN103178969B (zh) | 一种业务鉴权方法及系统 | |
| CN104468552B (zh) | 一种接入控制方法和装置 | |
| CN107484152A (zh) | 终端应用的管理方法及装置 | |
| CN103780580A (zh) | 提供能力访问策略的方法、服务器和系统 | |
| CN109561429A (zh) | 一种鉴权方法及设备 | |
| CN101986598A (zh) | 认证方法、服务器及系统 | |
| CN107182098A (zh) | 用于实现用户设备在无线接入点间切换的方法与设备 | |
| CN104837134B (zh) | 一种Web认证用户登录方法、设备和系统 | |
| CN108023922A (zh) | 一种下发及设置配置数据的方法、装置及系统 | |
| CN104184836B (zh) | 基于远程服务业务的多业务单点登录系统及方法 | |
| CN104796399A (zh) | 一种数据加密传输的密钥协商方法 | |
| CN104796398B (zh) | 一种服务器主导的客户端鉴权的方法 | |
| CN107645474A (zh) | 登录开放平台的方法及登录开放平台的装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| EXSB | Decision made by sipo to initiate substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 100094, Beijing, Haidian District Zhongguancun software park on the two phase, building 15, Zhongxing building, three floor Applicant after: BEIJING SAPLING TECHNOLOGY CO., LTD. Address before: 100084 Beijing city Haidian District Nankou Silicon Valley city 2B-604 Applicant before: BEIJING SAPLING TECHNOLOGY CO., LTD. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |