CN106452772B - 终端认证方法和装置 - Google Patents
终端认证方法和装置 Download PDFInfo
- Publication number
- CN106452772B CN106452772B CN201611008551.8A CN201611008551A CN106452772B CN 106452772 B CN106452772 B CN 106452772B CN 201611008551 A CN201611008551 A CN 201611008551A CN 106452772 B CN106452772 B CN 106452772B
- Authority
- CN
- China
- Prior art keywords
- terminal
- certificate
- server
- certification
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 97
- 238000012545 processing Methods 0.000 claims description 33
- 230000005540 biological transmission Effects 0.000 claims description 7
- 238000012790 confirmation Methods 0.000 claims 2
- 238000010586 diagram Methods 0.000 description 25
- 230000008569 process Effects 0.000 description 20
- 238000007726 management method Methods 0.000 description 12
- 238000004891 communication Methods 0.000 description 10
- 238000013475 authorization Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 4
- 230000005055 memory storage Effects 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 206010048669 Terminal state Diseases 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 238000013508 migration Methods 0.000 description 1
- 230000005012 migration Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请实施例提供一种终端认证方法和装置,其中,该方法包括:终端向认证服务器发送认证请求,该认证请求包括:终端生成的第一公钥、终端信息和用户信息,认证服务器接收该认证请求并根据终端信息、用户信息以及预设注册信息进行登录验证,该预设注册信息包括:终端注册信息和用户注册信息,在终端信息和用户信息均验证成功后,认证服务器根据第一公钥生成认证证书,终端接收该认证证书并采用该认证证书登录数据服务器,本申请实施例的技术方案有效保证了数据服务器的安全。
Description
技术领域
本申请涉及互联网技术领域,尤其涉及一种终端认证方法、认证服务器和终端。
背景技术
随着云计算技术的普及,越来越多的企业将业务迁移至云环境,利用云环境资源具有的发放速度快、资源成本低等优势,企业业务在云上的部署规模越来越大。
目前,在云环境中,客户端登录服务器主要使用账户密码登录或公私钥登录进行登录。具体的,使用账户密码登录时,用户首先需要在服务器端创建登录账号和登录密码,用户获取到该登录账号和登录密码后,再利用该登录账号和登录密码进行登录。而使用公私钥登录时,首先需要在服务器端利用加密算法生成公私钥对,将该公钥置于服务端,登录服务器的用户获取到对应的私钥后,才能利用该私钥进行登录。
然而,现有技术存在密码、密钥的管理困难,导致服务器的安全受到威胁。
发明内容
本申请实施例提供一种终端认证方法方法和装置,用于解决现有技术中服务器不安全的问题。
本申请实施例第一方面提供一种终端认证方法,包括:
认证服务器接收终端发送的认证请求,所述认证请求包括:所述终端生成的第一公钥、终端信息和用户信息;
所述认证服务器根据所述终端信息、所述用户信息、以及预设注册信息进行登录验证,其中,所述预设注册信息包括:终端注册信息和用户注册信息;
在所述终端信息和所述用户信息均验证成功后,所述认证服务器根据所述第一公钥生成认证证书,并向所述终端发送所述认证证书,以便所述终端采用所述认证证书登录数据服务器。
在该方法中,利用认证服务器对认证请求中的终端信息和用户信息进行身份验证,且只有认证请求中的终端信息和用户信息验证成功后,认证服务器才利用认证请求中的第一公钥生成认证证书并发送给该终端,这样只有接收到该认证证书的终端才能登录数据服务器,保证了数据服务器的安全。
可选地,所述认证证书包括:有效时限信息。这样用户通过终端只有在认证证书的有效时限信息对应的时间段内登录数据服务器才能成功登录到数据服务器。当认证证书的时效性过后,即使恶意第三方获取到该认证证书,也无法登录到数据服务器,降低了信息泄露的概率。
可选地,所述认证服务器根据所述第一公钥生成认证证书,并向所述终端发送所述认证证书,包括:
所述认证服务器根据第一预设算法生成第二公钥和第二私钥,并将所述第二公钥发送给所述数据服务器,以便所述数据服务器利用所述第二公钥对登录所述数据服务器的终端和用户进行验证;
所述认证服务器根据所述第一公钥和所述第二私钥生成所述认证证书;
所述认证服务器向所述终端发送所述认证证书。
本申请实施例中,认证服务器通过将生成的第二公钥发送给数据服务器,并根据认证请求中的第一公钥和认证服务器生成的第二私钥生成认证证书,并将该认证证书发送给终端,这样数据服务器可利用第二公钥对登录数据服务器的终端和用户进行验证,而且本实施例中终端发送认证请求获取认证证书的过程为自动化过程,因此用户通过终端登录数据服务器的过程对用户是透明的,用户无需关注数据服务器登录密码和登录密钥,登录效率高
可选地,所述预设注册信息还包括:数据服务器注册信息;
所述认证服务器根据第一预设算法生成第二公钥和第二私钥,并将所述第二公钥发送给所述数据服务器之前,还包括:
所述认证服务器确认所述预设注册信息中包含所述数据服务器对应的数据服务器注册信息;
所述认证服务器向所述终端发送所述认证证书之后,还包括:
所述认证服务器确定所述数据服务器登录成功。
本实施例同样对数据服务器的身份进行验证,这样注册过的用户通过注册过的终端,也只能登录到注册过的数据服务器上,且该数据服务器是该用户允许登录的数据服务器组中的某一数据服务器,有效提高了数据服务器的安全。
可选地,所述方法还包括:
所述认证服务器接收所述数据服务器发送的第一注册请求,所述第一注册请求包括:数据服务器信息;
所述认证服务器根据所述第一注册请求对所述数据服务器进行注册,并在注册成功后更新所述预设注册信息。
在本实施例中,认证服务器根据数据服务器的第一注册请求对数据服务器进行注册,这样认证服务器便能控制终端只能登录已注册数据服务器的目的,安全性高。
可选地,所述认证服务器接收所述终端发送的第二注册请求,所述第二注册请求包括:终端信息,和/或,用户信息;
所述认证服务器根据所述第二注册请求对终端和/或用户进行注册,并在注册成功后更新所述预设注册信息。
在本实施例中,认证服务器分别根据第二注册请求中的终端信息和用户信息对终端和用户进行注册,并分别在注册成功后更新预设注册信息,这样方便了用户和终端的添加和解除,简化了用户、终端的管理。
可选地,所述终端为虚拟终端,所述数据服务器为虚拟服务器。
认证服务器可对虚拟终端、虚拟服务器以及用户进行管理,并在用户和终端的登录过程中对虚拟终端和用户进行验证、生成认证证书,这样在有效利用云环境资源的同时,提高了管理效率,保证了数据服务器的安全。
本申请实施例第二方面提供一种终端认证方法,包括:
终端向认证服务器发送认证请求,所述认证请求包括:所述终端生成的第一公钥、终端信息和用户信息;
所述终端接收所述认证服务器在对所述终端信息和所述用户信息验证成功后发送的认证证书;
所述终端采用所述认证证书登录数据服务器。
当用户想要利用数据服务器的资源时,首先通过终端向认证服务器发送认证请求,以使认证服务器对登录数据服务器的终端和用户进行验证,然后利用终端接收到的认证证书登录数据服务器,使得该终端以及使用该终端的用户均是合法的,保证了数据服务器的安全。
可选地,所述认证证书包括:有效时限信息。这样在认证证书泄露的情况下,降低了信息被盗的概率。
可选地,所述终端向认证服务器发送认证请求之前,还包括:
所述终端根据第二预设算法生成第一公钥和第一私钥。
终端生成第一公钥和第一私钥后,将第一公钥发送给认证服务器,可使认证服务器根据该第一公钥生成认证证书。
可选地,所述终端向认证服务器发送认证请求之前,还包括:
所述终端向所述认证服务器发送第二注册请求,所述第二注册请求包括:终端信息,和/或,用户信息。
终端发送第二注册请求以使认证服务器对终端和用户进行注册,这样后续注册过的终端才能通过认证服务器的验证,才能保证成功登录到数据服务器。
可选地,所述终端为虚拟终端,所述数据服务器为虚拟服务器。
本申请实施例第三方面提供一种终端认证装置,所述装置包括用于执行上述第一方面以及第一方面的各种实现方式所提供的方法的模块或手段(means)。
本申请实施例第四方面提供一种终端认证装置,所述装置包括用于执行上述第二方面以及第二方面的各种实现方式所提供的方法的模块或手段(means)。
本申请实施例第五方面提供一种终端认证装置,所述装置包括处理器和存储器,存储器用于存储程序,处理器调用存储器存储的程序,以执行本申请第一方面提供的方法。
本申请实施例第六方面提供一种终端认证装置,所述装置包括处理器和存储器,存储器用于存储程序,处理器调用存储器存储的程序,以执行本申请第二方面提供的方法。
本申请实施例第七方面提供一种终端认证装置,包括用于执行以上第一方面的方法的至少一个处理元件(或芯片)。
本申请实施例第八方面提供一种终端认证装置,包括用于执行以上第二方面的方法的至少一个处理元件(或芯片)。
本申请实施例第九方面提供一种程序,该程序在被处理器执行时用于执行以上第一方面的方法。
本申请实施例第十方面提供一种程序产品,例如计算机可读存储介质,包括第九方面的程序。
本申请实施例第十一方面提供一种程序,该程序在被处理器执行时用于执行以上第二方面的方法。
本申请实施例第十二方面提供一种程序产品,例如计算机可读存储介质,包括第十一方面的程序。
本申请实施例提供的终端认证方法和装置,终端向认证服务器发送认证请求,该认证请求包括终端生成的第一公钥、终端信息和用户信息,认证服务器接收该认证请求,并根据上述终端信息、用户信息以及预设注册信息进行登录验证,在终端信息和用户信息均验证成功后,认证服务器根据第一公钥生成认证证书,并向终端发送该认证证书,终端便可采用该认证证书登录数据服务器,从而保证了数据服务器的安全。
附图说明
图1为客户端使用账户密码登录服务器的方式;
图2为客户端使用证书公私钥登录服务器的方式;
图3为本申请实施例提供的终端认证方法的应用场景示意图;
图4为本申请实施例提供的一种终端认证方法的流程示意图;
图5为本申请实施例提供的另一种终端认证方法的流程示意图;
图6为本申请实施例提供的再一种终端认证方法的流程示意图;
图7为本申请实施例提供的又一种终端认证方法的流程示意图;
图8为本申请实施例提供的又一种终端认证方法的流程示意图;
图9为本申请实施例提供的终端认证系统的框架图;
图10为本申请实施例提供的又一终端认证方法的流程示意图;
图11为本申请实施例提供的一种终端认证装置的结构示意图;
图12为本申请实施例提供的另一种终端认证装置的结构示意图;
图13为本申请实施例提供的再一种终端认证装置的结构示意图;
图14为本申请实施例提供的又一种终端认证装置的结构示意图。
具体实施方式
基于云环境资源具有发放速度快,资源成本低等诸多优势,越来越多的企业将业务扩展至云环境中进行管理。云环境系统包括多个终端和多个提供服务的服务器,用户通过客户端等终端登录服务器便可以从服务器获取相应的服务。
目前,在云环境中,客户端等终端登录服务器的技术主要有OpenSSH和Telnet,其中,OpenSSH是SSH(Secure Shell)协议的免费开源实现,而SSH为创建在应用层和传输层基础上的安全协议。不管使用哪种技术,现阶段主要使用账户密码登录和证书公私钥登录两种方式。图1为客户端使用账户密码登录服务器的方式。图2为客户端使用证书公私钥登录服务器的方式。
如图1所示,当使用账户密码登录时,首先需要在服务器端创建登录账户和对应的登录密码,用户获取到创建的登录账户和登录密码后,根据该登录账户和登录密码通过客户端等终端登录服务器。然而,使用账户密码登录的方式存在一些问题,比如登录密码的复杂度不高,容易受到暴力破解的威胁,恶意第三方(黑客)等可能伪造服务端,截取客户端用户的数据,导致其受到中间人的攻击,另外,登录密码的记忆或记录存在缺陷,容易导致密码丢失,尤其当服务器的数量较多时,用户难以记忆和更新大量的密码,密码丢失的现象更加严重。
如图2所示,当使用证书公私钥登录时,服务器首先利用加密算法生成公私钥对,将公钥置于服务端,登录服务器端的用户需要获取到对应的私钥,利用该私钥登录服务器。然而,采用证书公私钥登录的方式,需要将大量公钥证书放置于服务器端,用户获取对应的私钥,这导致证书的更新困难。
由于上述两种登录方式均没有对客户端、用户和服务端的角色进行划分,即无论哪个客户端、哪个用户只要获取到登录账户和登录密码或者公私钥,便可以登录到服务端,其无法控制用户的权限。此外,由于现有方案中的登录密码和登录私钥可以长期有效,若登录密码和登录私钥一旦被第三方获取,信息泄露的可能性则会增大。另外,错综复杂的用户与服务器关系,或者用户间交换登录密码或登录公私钥,使得登录密码和登录公私钥管理困难,使得服务器的安全受到威胁。
针对现有技术中上述问题,本申请实施例提供一种终端认证方法和装置,用于解决现有技术存在密码、密钥的管理困难,导致服务器的安全受到威胁的问题。下面,通过具体实施例对本申请所示的技术方案进行详细说明。需要说明的是,下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。
本申请实施例中,“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
图3为本申请实施例提供的终端认证方法的应用场景示意图。如图3所示,本申请实施例以应用于云环境中进行说明,该终端认证方法的应用场景,包括:终端、数据服务器和认证服务器。
具体的,终端可以通过客户端虚拟机(Virtual Machine,简称VM)实现,即通过部署在云系统上的虚拟客户端实现,也可以通过终端等实体客户端实现,而且该终端还可以是具有计算、管理功能的本地服务器。此外,一个终端可以对应多个不同客户端虚拟机账户,用户可以通过一个终端以不同的虚拟机账号进行登录。举例来说,当终端为管理云系统上资源的本地服务器时,用户通过该终端可访问云系统上的数据服务器,进行资源管理或者其他操作。
数据服务器可以是远端服务器,也可以通过虚拟机或实体机的形式实现。在云系统中,数据服务器可以是企业在云系统上创建的服务端虚拟机,主要用于部署企业中的各种业务系统。
在云系统中,认证服务器作为控制平台使用,其主要用于对终端、数据服务器和用户进行管理,以及在登录过程中对终端、数据服务器、用户的身份进行校验,以及实现证书签发等过程。
值得说明的是,在本申请实施例中,认证服务器中具有身份认证模块,身份认证模块用于管理终端、数据服务器、用户的身份信息(包括用户的账户名称、登录密码、Email地址等信息)。
在本申请实施例中,通过引入身份认证模块,未经过注册认证的数据服务器无法被登录,而未经过注册认证的终端以及当用户输入非法的账户名称和登录密码时,在登录过程中均会被身份认证模块拒绝,这样能够有效保护数据服务器的安全性。即,在云系统中,只有经过认证服务器注册认证的终端才可以通过因特网登录访问经过认证服务器注册认证的数据服务器。
下面通过具体的实施例对终端认证方法的实现过程进行详细说明。
图4为本申请实施例提供的一种终端认证方法的流程示意图。如图4所示,本申请实施例提供的终端认证方法,包括:
步骤41:终端向认证服务器发送认证请求。
其中,该认证请求包括:终端生成的第一公钥、终端信息和用户信息。
在本申请实施例中,当用户有需求登录到某台数据服务器时,用户在某终端上触发登录操作,那么该终端则将终端生成的第一公钥、终端信息和用户信息打包成认证请求发送给认证服务器,以使认证服务器对该终端信息以及使用该终端的用户进行身份认证,因此,终端向认证服务器发送的认证请求中必须包括终端信息、用户信息。
此外,由于认证服务器需要利用终端生成的第一公钥生成认证证书,因此,上述认证请求中还包括终端生成的该第一公钥。
步骤42:认证服务器接收终端发送的认证请求,并根据终端信息、用户信息、以及预设注册信息进行登录验证。
其中,该预设注册信息包括:终端注册信息和用户注册信息。
当认证服务器接收到终端发送的认证请求后,认证服务器首先对该认证请求进行解析,从而获取到终端信息和用户信息。
作为一种示例,认证服务器中包括身份认证模块,当认证服务器获取到终端信息和用户信息后,将该终端信息和用户信息发送至身份认证模块进行认证,由身份认证模块根据认证服务器内部的预设注册信息,分别对认证请求中的终端信息和用户信息进行登录验证。
具体的,该认证服务器中的身份认证模块遍历预设注册信息中的终端注册信息,判断认证请求中的终端信息是否包含在终端注册信息中,若是,则表明该终端为已经成功注册的终端,即认证请求中的终端信息验证成功,若否,则表明该终端并未在认证服务器中进行注册,即认证请求中的终端信息验证失败。
类似的,该认证服务器中的身份认证模块遍历预设注册信息中的用户注册信息,判断认证请求中的用户信息是否包含在用户注册信息中,若是,则表明该用户为已经成功注册的用户账号,即认证请求中的用户信息验证成功。若否,则表明使用该终端的用户并未在认证服务器中进行注册,即认证请求中的用户信息验证失败。
可选的,当认证请求中的用户信息验证成功后,身份认证模块还可获取该用户的权限,以使该认证服务器判断该用户是否有登录的数据服务器的权限。
步骤43:在终端信息和用户信息均验证成功后,认证服务器根据第一公钥生成认证证书,并向终端发送该认证证书。
当认证服务器确定出认证请求中的终端信息和用户信息均包含在预设注册信息中时,表明该终端信息和用户信息均验证成功,此时,认证服务器则利用认证请求中终端生成的第一公钥生成认证证书,该认证证书中至少包括与终端相对应的用户角色,以及用户权限。
可选的,在本申请实施例中,生成认证证书可采用签名的方式实现,具体的签名方式包括但不限于OpenSSH证书签名方法。
进一步的,该认证服务器将生成的该认证证书发送给终端,以便于上述用户利用该终端进行登录数据服务器。
步骤44:终端接收认证服务器发送的认证证书,并采用上述认证证书登录数据服务器。
可选的,当终端接收到认证服务器发送的认证证书后,则表明该终端和用户具有登录数据服务器的权限,因此,经过验证成功的用户可以通过该终端登录数据服务器,利用该数据服务器进行读写数据等操作。
本申请实施例提供的终端认证方法,终端向认证服务器发送认证请求,该认证请求包括终端生成的第一公钥、终端信息和用户信息,认证服务器接收该认证请求,并根据上述终端信息、用户信息以及预设注册信息进行登录验证,在终端信息和用户信息均验证成功后,认证服务器根据第一公钥生成认证证书,并向终端发送该认证证书,终端便可采用该认证证书登录数据服务器。在本申请实施例中,利用认证服务器对认证请求中的终端信息和用户信息进行身份验证,且只有认证请求中的终端信息和用户信息验证成功后,认证服务器才利用认证请求中的第一公钥生成认证证书,接收到该认证证书的终端才能登录数据服务器,保证了数据服务器的安全。
可选的,在本申请实施例提供的终端认证方法中,上述认证证书包括:有效时限信息。
具体的,认证服务器根据第一公钥生成的认证证书中,还具有有效时限信息,这样用户只有在认证证书的有效时限信息对应的时间段内登录数据服务器,该用户通过该终端才能成功登录到数据服务器。当认证证书的时效性过后,即使恶意第三方获取到该认证证书,即认证证书泄露的情况下,恶意第三方也无法登录到数据服务器,从而降低了信息被盗的概率。
进一步的,在本申请上述实施例的基础上,在上述步骤41之前,即在终端向认证服务器发送认证请求之前,还包括如下步骤:
终端根据第二预设算法生成第一公钥和第一私钥。
可选的,该第二预设算法为加密算法,该加密算法包括但不限于RSA。终端可利用该加密算法在OpenSSH工具中直接生成第一公钥和第一私钥。
进一步的,图5为本申请实施例提供的另一种终端认证方法的流程示意图。如图5所示,在本申请实施例提供的终端认证方法中,上述步骤43中的认证服务器根据第一公钥生成认证证书,并向终端发送该认证证书可通过如下步骤实现:
步骤51:认证服务器根据第一预设算法生成第二公钥和第二私钥,并将该第二公钥发送给数据服务器。
可选的,当数据服务器接收到该第二公钥后,其可利用第二公钥对登录数据服务器的终端和用户进行验证。
在本申请实施例中认证服务器可利用第一预设算法生成证书公私钥对(第二公钥和第二私钥),具体可以通过OpenSSH工具直接生成。
可选的,该第一预设算法为加密算法,该加密算法包括但不限于RSA加密算法。
可选的,该认证服务器可将其生成的第二公钥发送给数据服务器,数据服务器收到该第二公钥后,将该第二公钥添加到数据服务器系统内的可信任列表中,这样数据服务器便能利用该第二公钥对登录数据服务器的终端和用户进行验证。
举例来说,认证服务器可以将第二公钥添加到操作系统里的一个配置文件中,且该配置文件是操作系统的可信任列表。
步骤52:认证服务器根据第一公钥和第二私钥生成认证证书。
当认证请求中的终端信息和用户信息通过认证服务器的验证之后,该认证服务器则可利用认证请求中的第一公钥和认证服务器生成的第二私钥进行签名,生成认证证书。这样该认证证书中既包括终端的相关信息,还包括认证服务器的相关信息,而且认证服务器生成的第二公钥在数据服务器处,这样当终端利用该认证证书登录数据服务器时,数据服务器可以利用其系统内存储的可信任列表中的第二公钥对认证证书中的第二私钥进行身份验证,从而使数据服务器确定是否允许终端进行登录。
步骤53:认证服务器向终端发送上述认证证书。
认证服务器将生成的认证证书发送给终端,当终端接收到该认证证书之后,终端便可利用该认证证书登录数据服务器。本步骤与上述步骤44的实现原理一致,此处不再赘述。
本申请实施例提供的终端认证方法,认证服务器根据第一预设算法生成第二公钥和第二私钥,通过将第二公钥发送给数据服务器,根据第一公钥和第二私钥生成认证证书,并将该认证证书发送给终端,这样数据服务器可利用第二公钥对登录数据服务器的终端和用户进行验证。在本申请实施例中,由于上述终端发送认证请求获取认证证书的过程为自动化过程,因此用户通过终端登录数据服务器的过程对用户是透明的,用户无需关注数据服务器登录密码和登录密钥,登录效率高。
进一步的,在上述图5所示实施例的基础上,预设注册信息还包括:数据服务器注册信息。
相应的,在上述步骤51之前,即认证服务器根据第一预设算法生成第二公钥和第二私钥,并将该第二公钥发送给数据服务器之前,本申请实施例还包括如下步骤,具体的,请参照图6所示实施例。
图6为本申请实施例提供的再一种终端认证方法的流程示意图。如图6所示,在上述步骤51之前,本申请实施例终端认证方法,还包括步骤61。
步骤61:认证服务器确认上述预设注册信息中包含数据服务器对应的数据服务器注册信息。
在本申请实施例中,为了进一步提升现有登录控制方法的安全性,认证服务器的预设注册信息中还应包括待登录数据服务器的信息。
具体的,当认证服务器验证认证请求中的终端信息和用户信息均在预设注册信息中时,该认证服务器还对终端要登录的数据服务器的身份进行验证。与图4所示实施例中的步骤42类似,数据服务器的身份认证由认证服务器的身份认证模块来执行。
举例来说,身份认证模块遍历预设注册信息中的数据服务器注册信息,判断预设注册信息中是否包含终端要登录的数据服务器对应的数据服务器注册信息,若是,则表明数据服务器属于已经在认证服务器中成功注册的数据服务器,若否,则表明数据服务器没有在认证服务器中注册,用户则无法通过终端登录服务器。
因此,若想实现终端成功登录数据服务器,认证服务器首先确认其系统内的预设注册信息中包含数据服务器对应的数据服务器注册信息。
作为一种示例,认证服务器中还设置有用户与数据服务器的对应关系,当认证服务器不仅要确认预设注册信息中包含上述数据服务器注册信息,而且还要确认出终端要登录的数据服务器在用户登录权限范围内,也即,每个用户对应有一个数据服务器组,在认证服务器上注册过的用户只能通过注册过的终端登录注册过的数据服务器组中的某台数据服务器。这样可有效简化用户与数据服务器的错综复杂关系,便于认证服务器进行管理,提高了数据服务器的安全性。
相应的,如图6所示,在上述步骤53之后,即在认证服务器向终端发送认证证书之后,还包括步骤62。
步骤62:该认证服务器确定数据服务器登录成功。
在本实施例中,当认证服务器的预设注册信息中包含数据服务器对应的数据服务器注册信息时,终端便能够根据认证服务器发送的认证证书登录到上述数据服务器,而且认证服务器能够确定数据服务器登录成功。
本申请实施例提供的终端认证方法,在认证服务器根据第一预设算法生成第二公钥和第二私钥,并将该第二公钥发送给数据服务器之前,认证服务器首先确认预设注册信息中包含数据服务器对应的数据服务器注册信息,因此,在认证服务器向终端发送认证证书之后,该认证服务器可确定数据服务器登录成功。这样只有注册过的用户通过注册过的终端,也只能登录到注册过的数据服务器上,且该数据服务器是该用户允许登录的数据服务器组中的某一数据服务器,有效提高了数据服务器的安全。
进一步的,在上述实施例的基础上,图7为本申请实施例提供的又一种终端认证方法的流程示意图。如图7所示,本申请实施例提供的终端认证方法,还包括:
步骤71:数据服务器向认证服务器发送第一注册请求。
其中,该第一注册请求包括:数据服务器信息。
作为一种示例,当用户需要添加新的数据服务器到认证服务器时,首先触发注册动作,此时认证服务器的管理员到认证服务器获取注册数据服务器使用的第一识别码。
可选的,该第一识别码为一段随机字符串,待注册数据服务器需要携带该第一识别码到认证服务器,主要用于证明待注册数据服务器的合法性,为了保证注册信息的安全性,每个第一识别码只能被使用一次。
其次,认证服务器的管理员获取到的第一识别码置于待注册数据服务器侧,待注册数据服务器携带认证服务器的第一识别码与数据服务器信息向认证服务器发送第一注册请求,且认证服务器接收该第一注册请求,该第一注册请求中至少包括数据服务器信息。
值得说明的是,该数据服务器信息在一种实施例中也可能被称为指纹信息,其是由待注册数据服务器上代理软件根据待注册数据服务器的硬件信息与软件信息生成的,硬件信息包括但不限于Mac地址,软件信息包括但不限于软件License等。
步骤72:认证服务器接收上述第一注册请求,并根据该第一注册请求对数据服务器进行注册,并在注册成功后更新预设注册信息。
当认证服务器接收到数据服务器发送的第一注册请求后,该认证服务器对该第一注册请求进行解析获取到数据服务器信息。可选的,当第一注册请求中包括第一识别码时,该认证服务器还会获取到上述第一识别码。此时,认证服务器验证第一注册请求中的第一识别码是否合法。如果认证服务器判断出该第一识别码为非法识别码,那么认证服务器则返回注册失败的通知,否则认证服务器则将获取到的数据服务器信息进行记录,以便认证服务器后续对终端要登录的数据服务器进行验证,并返回数据服务器注册成功的通知。
进一步的,当数据服务器注册成功后,认证服务器对系统内存储的预设注册信息进行更新。
本申请实施例提供的终端认证方法,数据服务器向认证服务器发送包括数据服务器信息的第一注册请求,认证服务器接收该第一注册请求并根据上述第一注册请求对数据服务器进行注册,并在注册成功后更新预设注册信息,这样认证服务器能够控制终端只能登录已注册数据服务器的目的,安全性高。
在上述实施例的基础上,图8为本申请实施例提供的又一种终端认证方法的流程示意图。如图8所示,本申请实施例提供的终端认证方法,还包括:
步骤81:终端向认证服务器发送第二注册请求。
该第二注册请求包括:终端信息,和/或,用户信息。
步骤82:认证服务器接收上述第二注册请求,并根据第二注册请求对终端和/或用户进行注册,并在注册成功后更新预设注册信息。
作为一种示例,当第二注册请求中包括终端信息时,认证服务器注册终端的流程与注册数据服务器的流程类似。
具体的,当用户有需求使用新的终端时,首先触发终端注册动作,其次,认证服务器的管理员到认证服务器中获取注册使用的第二识别码,该第二识别码同样为一段随机字符串,待注册终端需要携带该第二识别码到认证服务器,主要用于证明待注册终端的合法性,同样,每个第二识别码也只能被使用一次。
另外,认证服务器的管理员获取到的第二识别码置于待注册终端内,待注册终端携带认证服务器的第二识别码与终端信息向认证服务器发送第二注册请求,且认证服务器接收该第二注册请求,此时该第二注册请求中至少包括终端信息。
同理,该终端信息也可以是由待注册终端上代理软件根据待注册终端的硬件信息与软件信息生成的,硬件信息包括但不限于Mac地址,软件信息包括但不限于软件License等。
作为另一种示例,当第二注册请求中包括用户信息时,在认证服务器上注册用户的操作由认证服务器的管理员执行。具体步骤如下:
1)当用户有需要注册到认证服务器中,有需求登录某一组数据服务器时,用户向管理员发出第二注册请求。其中,该第二注册请求中包括用户信息,且该用户信息包括但不限于用户名、用户密码等。
2)认证服务器的管理员登录到认证服务器,根据第二注册请求中的用户信息创建用户,并为用户设置权限。作为一种示例,用户权限分类包括但不限于管理员权限、普通用户权限、只读用户权限。
3)管理员根据用户权限控制用户可以登录到哪些数据服务器上,将用户可登陆的数据服务器创建成数据服务器组,即数据服务器组中包含该用户有权限登录的所有数据服务器。
4)管理员将数据服务器组添加到对应的用户权限下。
5)认证服务器向数据服务器下发创建用户请求,该创建用户请求中包含用户信息及用户权限信息。
6)数据服务器接收到该创建用户请求后,解析创建用户请求中的用户信息及用户权限,并根据该用户信息及用户权限创建用户,创建成功后返回用户注册成功的通知。
本申请实施例提供的终端认证方法,终端向认证服务器发送包括终端信息和/或用户信息的第二注册请求,认证服务器根据第二注册请求包括的终端信息对终端进行注册,以及根据第二注册请求包括的用户信息对用户进行注册,并分别在注册成功后更新预设注册信息,这样认证服务器对终端和用户分别注册,能够方便用户和终端的添加和解除,方便管理。
可选的,在上述任一实施例中,上述终端为虚拟终端,上述数据服务器为虚拟服务器。
作为一种示例,本申请实施例是在终端(即企业本地系统)与数据服务器(即企业在云上部署的系统)之间部署认证服务器(即控制平台)。此时,终端可以是管理云系统上资源的本地服务器,用户可利用一个实体终端通过不同的虚拟终端登录虚拟服务器,进而对云系统上的资源进行管理或其他操作。数据服务器是在云系统上创建的虚拟机,主要用户部署企业的各种业务系统。认证服务器则用于对虚拟终端、虚拟服务器以及用户进行管理,并在用户和终端的登录过程中对虚拟终端和用户进行验证、生成认证证书等过程。
这样认证服务器可对虚拟终端、虚拟服务器以及用户进行管理,并在用户和终端的登录过程中对虚拟终端和用户进行验证、生成认证证书,这样在有效利用云环境资源的同时,提高了管理效率,保证了数据服务器的安全。
在上述各实施例的基础上,图9为本申请实施例提供的终端认证系统的框架图。图10为本申请实施例提供的又一终端认证方法的流程示意图。结合图9所示的终端认证系统的框架图,如图10所示,本申请实施例提供的终端认证方法,包括:
步骤101:数据服务器注册到认证服务器中。
步骤102:认证服务器利用加密算法生成第二公钥和第二私钥。
步骤103:认证服务器将第二公钥发送给数据服务器,以使数据服务器将接收到的该第二公钥添加到数据服务器的可信任列表中。
步骤104:终端和用户分别注册到认证服务器中。
步骤105:用户在终端中发出登录请求,并触发终端利用加密算法生成第一公钥和第一私钥。
步骤106:终端携带第一公钥及终端信息和用户信息向认证服务器发送认证请求。
步骤107:认证服务器收到上述认证请求后,对认证请求中的终端信息和用户信息进行验证。
步骤108:在终端信息和用户信息均验证成功时,认证服务器利用第二私钥与第一公钥进行签名,生成认证证书。
步骤109:认证服务器将生成的认证证书发送给终端。
步骤110:终端接收该认证证书,并利用该认证证书登录到数据服务器。
本实施例中各步骤的实现原理与上述实施例中相应步骤的实现原理相同,此处不再赘述。
本申请通过引入认证服务器对用户和终端在登录过程中进行双方身份以及用户权限的验证,以及用户、终端和数据服务器均需要注册到认证服务器,用户通过终端登录时,需要经过认证服务器的认证,提升了安全性。
此外,认证服务器发送给终端的认证证书具有有效时限信息,且可以根据配置设定认证证书的失效时间,降低了信息泄露的可能性,认证服务器通过下发认证证书对登录的用户、终端以及要登录的数据服务器进行管理和控制,终端的登录过程对用户透明,用户无需关注数据服务器的密码或密钥,登录效率高。
图11为本申请实施例提供的一种终端认证装置的结构示意图,该装置可以集成于前述认证服务器内。如图11所示,本申请实施例提供的终端认证装置,包括:
接收模块111,用于接收终端发送的认证请求。
其中,该认证请求包括:终端生成的第一公钥、终端信息和用户信息。
处理模块112,用于根据所述终端信息、所述用户信息、以及预设注册信息进行登录验证,其中,所述预设注册信息包括:终端注册信息和用户注册信息。
发送模块113,用于在所述终端信息和所述用户信息均验证成功后,根据所述第一公钥生成认证证书,并向所述终端发送所述认证证书,以便所述终端采用所述认证证书登录数据服务器。
本申请实施例提供的终端认证装置,通过接收模块接收终端发送的认证请求,该认证请求包括:终端生成的第一公钥、终端信息和用户信息,处理模块根据终端信息、用户信息、以及预设注册信息进行登录验证,该预设注册信息包括:终端注册信息和用户注册信息,发送模块在终端信息和用户信息均验证成功后,根据第一公钥生成认证证书,并向终端发送该认证证书,以便终端采用该认证证书登录数据服务器,这样经过验证的终端和用户才能利用该认证证书登录数据服务器,有效保证了数据服务器的安全。
可选的,所述认证证书包括:有效时限信息。
进一步的,发送模块113,具体用于根据第一预设算法生成第二公钥和第二私钥,并将所述第二公钥发送给所述数据服务器,以便所述数据服务器利用所述第二公钥对登录所述数据服务器的终端和用户进行验证,根据所述第一公钥和所述第二私钥生成所述认证证书,向所述终端发送所述认证证书。
可选的,所述预设注册信息还包括:数据服务器注册信息。
相应的,处理模块112,还用于在根据第一预设算法生成第二公钥和第二私钥,并将所述第二公钥发送给所述数据服务器之前,确认所述预设注册信息中包含所述数据服务器对应的数据服务器注册信息。
发送模块113,还用于在向所述终端发送所述认证证书之后,确定所述数据服务器登录成功。
在一种实施方式中,接收模块111,还用于接收所述数据服务器发送的第一注册请求,所述第一注册请求包括:数据服务器信息。
相应的,处理模块112,还用于根据所述第一注册请求对所述数据服务器进行注册,并在注册成功后更新所述预设注册信息。
在另一种实施方式中,接收模块111,还用于接收所述终端发送的第二注册请求,所述第二注册请求包括:终端信息,和/或,用户信息。
相应的,处理模块112,还用于根据所述第二注册请求对终端和/或用户进行注册,并在注册成功后更新所述预设注册信息。
可选的,所述终端为虚拟终端,所述数据服务器为虚拟服务器。
另外,本申请实施例提供的终端认证装置,还可以实现上述各种可选实施例中用于终端认证装置的方法的各个步骤,具体实现原理和有益效果请参照上述方法实施例,此处不再赘述。
图12为本申请实施例提供的另一种终端认证装置的结构示意图,该装置可以集成于前述终端内。如图12所示,本申请实施例提供的终端认证装置,包括:
发送模块121,用于向认证服务器发送认证请求,所述认证请求包括:终端生成的第一公钥、终端信息和用户信息。
接收模块122,用于接收所述认证服务器在对所述终端信息和所述用户信息验证成功后发送的认证证书。
处理模块123,用于采用所述认证证书登录数据服务器。
本申请实施例提供的终端认证装置,通过发送模块向认证服务器发送认证请求,该认证请求包括:终端生成的第一公钥、终端信息和用户信息,利用接收模块接收认证服务器在对终端信息和用户信息验证成功后发送的认证证书,处理模块采用该认证证书登录数据服务器,这样经过验证的终端和用户才能利用认证服务器下发的认证证书登录数据服务器,有效保证了数据服务器的安全。
可选的,所述认证证书包括:有效时限信息。
进一步的,处理模块123,还用于在发送模块121向认证服务器发送认证请求之前,根据第二预设算法生成第一公钥和第一私钥。
在一种实施方式中,发送模块121,还用于在向认证服务器发送认证请求之前,向所述认证服务器发送第二注册请求,所述第二注册请求包括:终端信息,和/或,用户信息。
可选的,所述终端为虚拟终端,所述数据服务器为虚拟服务器。
另外,本申请实施例提供的终端认证装置,还可以实现上述各种可选实施例中用于终端认证装置的方法的各个步骤,具体实现原理和有益效果请参照上述方法实施例,此处不再赘述。
需要说明的是,应理解以上装置的各个模块的划分仅仅是一种逻辑功能的划分,实际实现时可以全部或部分集成到一个物理实体上,也可以物理上分开。且这些模块可以全部以软件通过处理元件调用的形式实现;也可以全部以硬件的形式实现;还可以部分模块通过处理元件调用软件的形式实现,部分模块通过硬件的形式实现。例如,确定模块可以为单独设立的处理元件,也可以集成在上述装置的某一个芯片中实现,此外,也可以以程序代码的形式存储于上述装置的存储器中,由上述装置的某一个处理元件调用并执行以上确定模块的功能。其它模块的实现与之类似。此外这些模块全部或部分可以集成在一起,也可以独立实现。这里所述的处理元件可以是一种集成电路,具有信号的处理能力。在实现过程中,上述方法的各步骤或以上各个模块可以通过处理器元件中的硬件的集成逻辑电路或者软件形式的指令完成。
例如,以上这些模块可以是被配置成实施以上方法的一个或多个集成电路,例如:一个或多个特定集成电路(Application Specific Integrated Circuit,简称ASIC),或,一个或多个微处理器(digital singnal processor,简称DSP),或,一个或者多个现场可编程门阵列(Field Programmable Gate Array,简称FPGA)等。再如,当以上某个模块通过处理元件调度程序代码的形式实现时,该处理元件可以是通用处理器,例如中央处理器(Central Processing Unit,简称CPU)或其它可以调用程序代码的处理器。再如,这些模块可以集成在一起,以片上系统(system-on-a-chip,简称SOC)的形式实现。
图13为本申请实施例提供的再一种终端认证装置的结构示意图。本实例提供的终端认证装置,包括:处理器131、存储器132、收发器133、通信接口134和系统总线135,存储器132和通信接口134通过系统总线135与处理器131和收发器133连接并完成相互间的通信,存储器132用于存储计算机执行指令,通信接口134用于和其他设备进行通信,处理器131和收发器133用于运行计算机执行指令,使终端认证装置执行如上应用于终端认证方法中认证服务器的各个步骤。
具体的,在上述图11与图13中,接收模块111和发送模块113对应收发器133,处理模块112对应处理器131等。
图14为本申请实施例提供的又一种终端认证装置的结构示意图。本实例提供的终端认证装置,包括:处理器141、存储器142、收发器143、通信接口144和系统总线145,存储器142和通信接口144通过系统总线145与处理器141和收发器143连接并完成相互间的通信,存储器142用于存储计算机执行指令,通信接口144用于和其他设备进行通信,处理器141和收发器143用于运行计算机执行指令,使终端认证装置执行如上终端认证方法中终端的各个步骤。
具体的,在上述图12与图14中,发送模块121和接收模块122对应收发器143,处理模块123对应处理器141等。
上述图13、图14中提到的系统总线可以是外设部件互连标准(PeripheralPomponent Interconnect,简称PCI)总线或扩展工业标准结构(Extended IndustryStandard Architecture,简称EISA)总线等。该系统总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。通信接口用于实现数据库访问装置与其他设备(例如客户端、读写库和只读库)之间的通信。存储器可能包含随机存取存储器(Random Access Memory,简称RAM),也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(Digital Signal Processing,简称DSP)、专用集成电路(Application SpecificIntegrated Circuit,简称ASIC)、现场可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述各实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。
Claims (24)
1.一种终端认证方法,其特征在于,包括:
认证服务器接收终端发送的认证请求,所述认证请求包括:所述终端生成的第一公钥、终端信息和用户信息;
所述认证服务器根据所述终端信息、所述用户信息、以及预设注册信息进行登录验证,其中,所述预设注册信息包括:终端注册信息和用户注册信息;
在所述终端信息和所述用户信息均验证成功后,所述认证服务器根据所述第一公钥生成认证证书,并向所述终端发送所述认证证书,以便所述终端采用所述认证证书登录数据服务器;
所述认证服务器根据所述第一公钥生成认证证书,并向所述终端发送所述认证证书之前,所述方法还包括:
所述认证服务器确认所述数据服务器在所述用户信息对应的用户的权限范围内。
2.根据权利要求1所述的方法,其特征在于,所述认证证书包括:有效时限信息。
3.根据权利要求1所述的方法,其特征在于,所述认证服务器根据所述第一公钥生成认证证书,并向所述终端发送所述认证证书,包括:
所述认证服务器根据第一预设算法生成第二公钥和第二私钥,并将所述第二公钥发送给所述数据服务器,以便所述数据服务器利用所述第二公钥对登录所述数据服务器的终端和用户进行验证;
所述认证服务器根据所述第一公钥和所述第二私钥生成所述认证证书;
所述认证服务器向所述终端发送所述认证证书。
4.根据权利要求3所述的方法,其特征在于,所述预设注册信息还包括:数据服务器注册信息;
所述认证服务器根据第一预设算法生成第二公钥和第二私钥,并将所述第二公钥发送给所述数据服务器之前,还包括:
所述认证服务器确认所述预设注册信息中包含所述数据服务器对应的数据服务器注册信息;
所述认证服务器向所述终端发送所述认证证书之后,还包括:
所述认证服务器确定所述数据服务器登录成功。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
所述认证服务器接收所述数据服务器发送的第一注册请求,所述第一注册请求包括:数据服务器信息;
所述认证服务器根据所述第一注册请求对所述数据服务器进行注册,并在注册成功后更新所述预设注册信息。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述认证服务器接收所述终端发送的第二注册请求,所述第二注册请求包括:终端信息,和/或,用户信息;
所述认证服务器根据所述第二注册请求对终端和/或用户进行注册,并在注册成功后更新所述预设注册信息。
7.根据权利要求1~6任一项所述的方法,其特征在于,所述终端为虚拟终端,所述数据服务器为虚拟服务器。
8.一种终端认证方法,其特征在于,包括:
终端向认证服务器发送认证请求,所述认证请求包括:所述终端生成的第一公钥、终端信息和用户信息;
所述终端接收所述认证服务器在对所述终端信息和所述用户信息验证成功后发送的认证证书;
所述终端采用所述认证证书登录数据服务器;
其中,所述认证请求用于指示所述认证服务器确认所述数据服务器在所述用户信息对应的用户的权限范围内。
9.根据权利要求8所述的方法,其特征在于,所述认证证书包括:有效时限信息。
10.根据权利要求8所述的方法,其特征在于,所述终端向认证服务器发送认证请求之前,还包括:
所述终端根据第二预设算法生成第一公钥和第一私钥。
11.根据权利要求8所述的方法,其特征在于,所述终端向认证服务器发送认证请求之前,还包括:
所述终端向所述认证服务器发送第二注册请求,所述第二注册请求包括:终端信息,和/或,用户信息。
12.根据权利要求8~11任一项所述的方法,其特征在于,所述终端为虚拟终端,所述数据服务器为虚拟服务器。
13.一种终端认证装置,其特征在于,包括:
接收模块,用于接收终端发送的认证请求,所述认证请求包括:所述终端生成的第一公钥、终端信息和用户信息;
处理模块,用于根据所述终端信息、所述用户信息、以及预设注册信息进行登录验证,其中,所述预设注册信息包括:终端注册信息和用户注册信息;
发送模块,用于在所述终端信息和所述用户信息均验证成功后,根据所述第一公钥生成认证证书,并向所述终端发送所述认证证书,以便所述终端采用所述认证证书登录数据服务器;
所述处理模块,还用于在根据所述第一公钥生成认证证书,并向所述终端发送所述认证证书之前,确认所述数据服务器在所述用户信息对应的用户的权限范围内。
14.根据权利要求13所述的装置,其特征在于,所述认证证书包括:有效时限信息。
15.根据权利要求13所述的装置,其特征在于,所述发送模块,具体用于根据第一预设算法生成第二公钥和第二私钥,并将所述第二公钥发送给所述数据服务器,以便所述数据服务器利用所述第二公钥对登录所述数据服务器的终端和用户进行验证,根据所述第一公钥和所述第二私钥生成所述认证证书,向所述终端发送所述认证证书。
16.根据权利要求15所述的装置,其特征在于,所述预设注册信息还包括:数据服务器注册信息;
所述处理模块,还用于在根据第一预设算法生成第二公钥和第二私钥,并将所述第二公钥发送给所述数据服务器之前,确认所述预设注册信息中包含所述数据服务器对应的数据服务器注册信息;
所述发送模块,还用于在向所述终端发送所述认证证书之后,确定所述数据服务器登录成功。
17.根据权利要求16所述的装置,其特征在于,所述接收模块,还用于接收所述数据服务器发送的第一注册请求,所述第一注册请求包括:数据服务器信息;
所述处理模块,还用于根据所述第一注册请求对所述数据服务器进行注册,并在注册成功后更新所述预设注册信息。
18.根据权利要求13所述的装置,其特征在于,所述接收模块,还用于接收所述终端发送的第二注册请求,所述第二注册请求包括:终端信息,和/或,用户信息;
所述处理模块,还用于根据所述第二注册请求对终端和/或用户进行注册,并在注册成功后更新所述预设注册信息。
19.根据权利要求13~18任一项所述的装置,其特征在于,所述终端为虚拟终端,所述数据服务器为虚拟服务器。
20.一种终端认证装置,其特征在于,包括:
发送模块,用于向认证服务器发送认证请求,所述认证请求包括:终端生成的第一公钥、终端信息和用户信息;
接收模块,用于接收所述认证服务器在对所述终端信息和所述用户信息验证成功后发送的认证证书;
处理模块,用于采用所述认证证书登录数据服务器;
其中,所述认证请求用于指示所述认证服务器确认所述数据服务器在用户信息对应的用户的权限范围内。
21.根据权利要求20所述的装置,其特征在于,所述认证证书包括:有效时限信息。
22.根据权利要求20所述的装置,其特征在于,所述处理模块,还用于在所述发送模块向认证服务器发送认证请求之前,根据第二预设算法生成第一公钥和第一私钥。
23.根据权利要求20所述的装置,其特征在于,所述发送模块,还用于在向认证服务器发送认证请求之前,向所述认证服务器发送第二注册请求,所述第二注册请求包括:终端信息,和/或,用户信息。
24.根据权利要求20~23任一项所述的装置,其特征在于,所述终端为虚拟终端,所述数据服务器为虚拟服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611008551.8A CN106452772B (zh) | 2016-11-16 | 2016-11-16 | 终端认证方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611008551.8A CN106452772B (zh) | 2016-11-16 | 2016-11-16 | 终端认证方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106452772A CN106452772A (zh) | 2017-02-22 |
| CN106452772B true CN106452772B (zh) | 2019-10-25 |
Family
ID=58208691
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611008551.8A Active CN106452772B (zh) | 2016-11-16 | 2016-11-16 | 终端认证方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106452772B (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107229874B (zh) * | 2017-05-27 | 2020-12-15 | 北京世纪龙脉科技有限公司 | 一种实现VR-Key的方法、装置和服务器 |
| CN107733852B (zh) * | 2017-08-24 | 2019-06-21 | 北京三快在线科技有限公司 | 一种身份验证方法及装置,电子设备 |
| CN108600156B (zh) * | 2018-03-07 | 2021-05-07 | 华为技术有限公司 | 一种服务器及安全认证方法 |
| CN109164984A (zh) * | 2018-08-24 | 2019-01-08 | 郑州云海信息技术有限公司 | 一种存储管理系统以及存储管理系统的管理方法 |
| CN113557703B (zh) * | 2019-03-19 | 2024-05-14 | 华为技术有限公司 | 网络摄像机的认证方法和装置 |
| CN110599647A (zh) * | 2019-09-05 | 2019-12-20 | 广东纬德信息科技有限公司 | 一种智能锁认证方法及系统 |
| CN111654728B (zh) * | 2020-04-17 | 2023-10-20 | 视联动力信息技术股份有限公司 | 一种证书更新的方法和装置 |
| CN112422528B (zh) * | 2020-11-03 | 2022-10-14 | 北京锐安科技有限公司 | 客户端的登录方法、装置、系统、电子设备和存储介质 |
| CN112788056B (zh) * | 2021-01-27 | 2023-06-30 | 西安万像电子科技有限公司 | 图像传输设备的管控方法和装置、处理器、存储介质 |
| CN113114699B (zh) * | 2021-04-26 | 2023-04-28 | 中国第一汽车股份有限公司 | 一种车辆终端身份证书申请方法 |
| CN114338086B (zh) * | 2021-12-03 | 2024-06-28 | 浙江毫微米科技有限公司 | 一种身份认证方法、装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101442411A (zh) * | 2008-12-23 | 2009-05-27 | 中国科学院计算技术研究所 | 一种p2p网络中对等用户结点间的身份认证方法 |
| CN102158468A (zh) * | 2011-01-26 | 2011-08-17 | 清华大学 | 一种在社交网络服务中分享和获取数据的方法 |
| CN102204210A (zh) * | 2011-05-18 | 2011-09-28 | 华为技术有限公司 | 启动应用的方法、服务器和系统 |
| CN103259663A (zh) * | 2013-05-07 | 2013-08-21 | 南京邮电大学 | 一种云计算环境下的用户统一认证方法 |
| CN104219055A (zh) * | 2014-09-10 | 2014-12-17 | 天津大学 | 一种基于nfc的点对点可信认证方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090037729A1 (en) * | 2007-08-03 | 2009-02-05 | Lawrence Smith | Authentication factors with public-key infrastructure |
| CN101931613B (zh) * | 2009-06-23 | 2014-12-10 | 中兴通讯股份有限公司 | 集中认证方法和集中认证系统 |
| CN101719238B (zh) * | 2009-11-30 | 2013-09-18 | 中国建设银行股份有限公司 | 一种统一身份管理、认证和授权的方法及系统 |
| CN102348209B (zh) * | 2011-09-23 | 2014-12-24 | 福建星网锐捷网络有限公司 | 接入无线网络及其认证的方法和设备 |
| CN104579682A (zh) * | 2014-12-30 | 2015-04-29 | 华夏银行股份有限公司 | 一种多业务服务器的访问方法及系统 |
-
2016
- 2016-11-16 CN CN201611008551.8A patent/CN106452772B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101442411A (zh) * | 2008-12-23 | 2009-05-27 | 中国科学院计算技术研究所 | 一种p2p网络中对等用户结点间的身份认证方法 |
| CN102158468A (zh) * | 2011-01-26 | 2011-08-17 | 清华大学 | 一种在社交网络服务中分享和获取数据的方法 |
| CN102204210A (zh) * | 2011-05-18 | 2011-09-28 | 华为技术有限公司 | 启动应用的方法、服务器和系统 |
| CN103259663A (zh) * | 2013-05-07 | 2013-08-21 | 南京邮电大学 | 一种云计算环境下的用户统一认证方法 |
| CN104219055A (zh) * | 2014-09-10 | 2014-12-17 | 天津大学 | 一种基于nfc的点对点可信认证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106452772A (zh) | 2017-02-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106452772B (zh) | 终端认证方法和装置 | |
| CN106850699B (zh) | 一种移动终端登录认证方法及系统 | |
| US9838205B2 (en) | Network authentication method for secure electronic transactions | |
| CN108259438B (zh) | 一种基于区块链技术的认证的方法和装置 | |
| KR102254499B1 (ko) | 블록체인 기반의 권한 인증 방법, 단말 및 이를 이용한 서버 | |
| CN110069918A (zh) | 一种基于区块链技术的高效双因子跨域认证方法 | |
| US10938572B2 (en) | Revocable biometric-based keys for digital signing | |
| KR20160138063A (ko) | 머신 생성 인증 토큰으로써 서비스를 동작시키는 기법 | |
| CN106470201A (zh) | 一种用户认证方法和装置 | |
| CN109981287B (zh) | 一种代码签名方法及其存储介质 | |
| US11909889B2 (en) | Secure digital signing | |
| CN105978855B (zh) | 一种实名制下个人信息安全保护系统及方法 | |
| Alnahari et al. | Authentication of IoT device and IoT server using security key | |
| CN111241492A (zh) | 一种产品多租户安全授信方法、系统及电子设备 | |
| US9461991B2 (en) | Virtual smartcard authentication | |
| CN114301617A (zh) | 多云应用网关的身份认证方法、装置、计算机设备及介质 | |
| US12107956B2 (en) | Information processing device, information processing method, and non-transitory computer readable storage medium | |
| WO2006114361A1 (en) | Method, system, and program product for connecting a client to a network | |
| Kizza | Authentication | |
| CN114760070A (zh) | 数字证书颁发方法、数字证书颁发中心和可读存储介质 | |
| US20220070002A1 (en) | Multi-service scep-certificate based authentication | |
| CN106936760A (zh) | 一种登录Openstack云系统虚拟机的装置和方法 | |
| CN106529216B (zh) | 一种基于公共存储平台的软件授权系统及软件授权方法 | |
| Kim et al. | Can we create a cross-domain federated identity for the industrial Internet of Things without Google? | |
| Tiwari et al. | Design and Implementation of Enhanced Security Algorithm for Hybrid Cloud using Kerberos |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220210 Address after: 550025 Huawei cloud data center, jiaoxinggong Road, Qianzhong Avenue, Gui'an New District, Guiyang City, Guizhou Province Patentee after: Huawei Cloud Computing Technologies Co.,Ltd. Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee before: HUAWEI TECHNOLOGIES Co.,Ltd. |