CN107196890A - 账户授权的实现方法和装置、账户鉴权的实现方法和装置 - Google Patents

账户授权的实现方法和装置、账户鉴权的实现方法和装置 Download PDF

Info

Publication number
CN107196890A
CN107196890A CN201610144241.2A CN201610144241A CN107196890A CN 107196890 A CN107196890 A CN 107196890A CN 201610144241 A CN201610144241 A CN 201610144241A CN 107196890 A CN107196890 A CN 107196890A
Authority
CN
China
Prior art keywords
account
user terminal
key
service request
checking information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201610144241.2A
Other languages
English (en)
Inventor
张大鹏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alibaba Group Holding Ltd
Original Assignee
Alibaba Group Holding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alibaba Group Holding Ltd filed Critical Alibaba Group Holding Ltd
Priority to CN201610144241.2A priority Critical patent/CN107196890A/zh
Publication of CN107196890A publication Critical patent/CN107196890A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/104Peer-to-peer [P2P] networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Telephonic Communication Services (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本申请提供一种账户授权的实现方法,应用在授权设备上,包括:接收账户标识和账户密码;根据所述账户标识和账户密码,向服务器发送账户授权请求;接收服务器返回的所述账户的用户端密钥,保存用户端密钥与所述账户标识的对应关系;所述用户端密钥用来为业务设备采用点对点通信方式发送的业务请求提供验证信息,以便服务器在收到带有验证信息的业务请求后,根据与所述用户端密钥相同或相对应的服务端密钥对所述带有验证信息的业务请求进行鉴权。通过本申请的技术方案,即使业务设备丢失或被黑客破解,其发送的业务请求也将因鉴权失败而无法进行敏感操作,从而提高了账户的安全性。

Description

账户授权的实现方法和装置、账户鉴权的实现方法和装置
技术领域
本申请涉及网络通信技术领域,尤其涉及一种账户授权的实现方法和装置、和一种账户鉴权的实现方法和装置。
背景技术
随着移动互联技术的发展和移动设备性能的提高,运行在移动设备上的各种客户端App(应用)得到了飞速发展。这些App提供的功能几乎涵盖了生活工作的每一个方面,为用户带来极大的便利。
一些带有敏感信息的App通常需要用户在鉴权通过后才能操作其账户,例如绝大多数与支付相关的App。现有技术中,服务器通常采用所操作的账户和密码来对移动设备发送的业务请求进行鉴权,有的应用场景中还会采用服务器预先下发给该App的密钥。
为了避免每次使用App时都输入一遍账户名称和密码,用户通常在其移动设备的App中保存其账户和密码,这样打开App即可利用其账户进行相关操作。这种使用习惯在享受便利的同时也带来了安全隐患,一旦用户的移动设备丢失,他人就可以利用移动设备上的App对该用户的账户进行操作。
另外,如果黑客通过越狱、木马等手段攻击某个移动设备获取到保存在该移动设备上的账户、密码、乃至密钥等信息,就可以利用这些信息非法操作用户的账户。
发明内容
有鉴于此,本申请提供一种账户授权的实现方法,应用在授权设备上,包括:
接收账户标识和账户密码;
根据所述账户标识和账户密码,向服务器发送账户授权请求;
接收服务器返回的所述账户的用户端密钥,保存用户端密钥与所述账户标识的对应关系;所述用户端密钥用来为业务设备采用点对点通信方式发送的业务请求提供验证信息,以便服务器在收到带有验证信息的业务请求后,根据与所述用户端密钥相同或相对应的服务端密钥对所述带有验证信息的业务请求进行鉴权。
本申请提供的一种账户授权的实现方法,应用在服务器上,包括:
接收授权设备根据账户标识和账户密码发送的账户授权请求;
在所述账户标识和账户密码验证通过后,生成所述账户的相同或相对应的用户端密钥和服务端密钥,并保存所述账户标识与所述服务端密钥的对应关系;
向授权设备返回所述用户端密钥,所述用户端密钥用来为来自业务设备的业务请求提供验证信息,以便由服务器根据所述服务端密钥对带有验证信息的业务请求进行鉴权。
本申请提供的一种账户鉴权的实现方法,应用在业务设备上,包括:
采用点对点通信方式向授权设备发送业务请求,所述业务请求中包括账户标识;
接收授权设备采用点对点通信方式返回的带有验证信息的业务请求,所述带有验证信息的业务请求由授权设备采用与所述账户标识的用户端密钥生成;
向服务器发送带有验证信息的业务请求,供服务器根据与所述用户端密钥相同或相对应的服务端密钥,对所述带有验证信息的业务请求进行鉴权。
本申请提供的一种账户鉴权的实现方法,应用在授权设备上,包括:
接收业务设备采用点对点通信方式发送的业务请求,所述业务请求中包括账户标识;
采用与所述账户标识对应的用户端密钥生成带有验证信息的业务请求,并采用点对点通信方式返回给业务设备;供业务设备将其转发给服务器,由服务器根据与所述用户端密钥相同或相对应的服务端密钥对所述带有验证信息的业务请求进行鉴权。
本申请提供的一种账户鉴权的实现方法,应用在服务器上,所述服务器可获取到账户标识与服务端密钥的对应关系,所述方法包括:
接收业务设备发送的带有验证信息的业务请求;所述带有验证信息的业务请求中包括账户标识,所述带有验证信息的业务请求由授权设备采用与所述账户标识对应的用户端密钥生成;
根据与所述账户标识对应的服务端密钥对所述带有验证信息的业务请求进行鉴权;所述服务端密钥与所述用户端密钥相同或相对应。
本申请提供的一种账户鉴权的实现方法,应用在业务设备上,包括:
通过点对点通信方式从授权设备获取与账户标识对应的用户端密钥;
采用所述用户端密钥生成带有验证信息的业务请求;
向服务器发送带有验证信息的业务请求,供服务器根据与所述用户端密钥相同或相对应的服务端密钥,对所述带有验证信息的业务请求进行鉴权。
本申请还提供了一种账户授权的实现装置,应用在授权设备上,包括:
账户标识和密码接收单元,用于接收账户标识和账户密码;
授权请求发送单元,用于根据所述账户标识和账户密码,向服务器发送账户授权请求;
用户端密钥接收单元,用于接收服务器返回的所述账户的用户端密钥,保存用户端密钥与所述账户标识的对应关系;所述用户端密钥用来为业务设备采用点对点通信方式发送的业务请求提供验证信息,以便服务器在收到带有验证信息的业务请求后,根据与所述用户端密钥相同或相对应的服务端密钥对所述带有验证信息的业务请求进行鉴权。
本申请提供的一种账户授权的实现装置,应用在服务器上,包括:
授权请求接收单元,用于接收授权设备根据账户标识和账户密码发送的账户授权请求;
密钥生成单元,用于在所述账户标识和账户密码验证通过后,生成所述账户的相同或相对应的用户端密钥和服务端密钥,并保存所述账户标识与所述服务端密钥的对应关系;
用户端密钥发送单元,用于向授权设备返回所述用户端密钥,所述用户端密钥用来为来自业务设备的业务请求提供验证信息,以便由服务器根据所述服务端密钥对带有验证信息的业务请求进行鉴权。
本申请提供的一种账户鉴权的实现装置,应用在业务设备上,包括:
业务请求发送单元,用于采用点对点通信方式向授权设备发送业务请求,所述业务请求中包括账户标识;
验证信息接收单元,用于接收授权设备采用点对点通信方式返回的带有验证信息的业务请求,所述带有验证信息的业务请求由授权设备采用与所述账户标识的用户端密钥生成;
验证信息发送单元,用于向服务器发送带有验证信息的业务请求,供服务器根据与所述用户端密钥相同或相对应的服务端密钥,对所述带有验证信息的业务请求进行鉴权。
本申请提供的一种账户鉴权的实现装置,应用在授权设备上,包括:
业务请求接收单元,用于接收业务设备采用点对点通信方式发送的业务请求,所述业务请求中包括账户标识;
验证信息生成单元,用于采用与所述账户标识对应的用户端密钥生成带有验证信息的业务请求,并采用点对点通信方式返回给业务设备;供业务设备将其转发给服务器,由服务器根据与所述用户端密钥相同或相对应的服务端密钥对所述带有验证信息的业务请求进行鉴权。
本申请提供的一种账户鉴权的实现装置,应用在服务器上,所述服务器可获取到账户标识与服务端密钥的对应关系,所述装置包括:
验证信息接收单元,用于接收业务设备发送的带有验证信息的业务请求;所述带有验证信息的业务请求中包括账户标识,所述带有验证信息的业务请求由授权设备采用与所述账户标识对应的用户端密钥生成;
业务请求鉴权单元,用于根据与所述账户标识对应的服务端密钥对所述带有验证信息的业务请求进行鉴权;所述服务端密钥与所述用户端密钥相同或相对应。
本申请提供的一种账户鉴权的实现装置,应用在业务设备上,包括:
用户端密钥获取单元,用于通过点对点通信方式从授权设备获取与账户标识对应的用户端密钥;
验证业务请求生成单元,用于采用所述用户端密钥生成带有验证信息的业务请求;
验证业务请求发送单元,用于向服务器发送带有验证信息的业务请求,供服务器根据与所述用户端密钥相同或相对应的服务端密钥,对所述带有验证信息的业务请求进行鉴权。
由以上技术方案可见,本申请的实施例中,服务器将对应于账户标识的用户端密钥下发给授权设备,授权设备和业务设备通过点对点通信方式,利用用户端密钥生成带有验证信息的业务请求,并由业务设备将带有验证信息的业务请求发送给服务器,由服务器根据与用户端密钥相同或相对应的服务端密钥进行鉴权;通过本申请的实施例,即使业务设备丢失或被黑客破解,由于此时的业务设备通常不会在能够与授权设备进行点对点通信的地点使用,其发送的业务请求将因鉴权失败而无法进行敏感操作,从而提高了账户的安全性。
附图说明
图1是本申请实施例应用场景的一种网络结构图;
图2是本申请实施例一中一种应用在授权设备上,账户授权的实现方法的流程图;
图3是本申请实施例一中一种应用在服务器上,账户授权的实现方法的流程图;
图4是本申请实施例二中一种应用在业务设备上,账户鉴权的实现方法的流程图;
图5是本申请实施例二中一种应用在授权设备上,账户鉴权的实现方法的流程图;
图6是本申请实施例二中一种应用在服务器上,账户鉴权的实现方法的流程图;
图7是本申请实施例三中一种应用在业务设备上,账户鉴权的实现方法的流程图;
图8是本申请应用示例的账户授权过程中,一种授权设备与服务器之间的交互流程图;
图9是本申请应用示例的账户鉴权过程中,一种业务设备、授权设备与服务器之间的交互流程图;
图10是业务设备、授权设备或服务器的一种硬件结构图;
图11是本申请实施例四中一种应用在授权设备上,账户授权的实现装置的逻辑结构图;
图12是本申请实施例四中一种应用在服务器上,账户授权的实现装置的逻辑结构图;
图13是本申请实施例五中一种应用在业务设备上,账户鉴权的实现装置的逻辑结构图;
图14是本申请实施例五中一种应用在授权设备上,账户鉴权的实现装置的逻辑结构图;
图15是本申请实施例五中一种应用在服务器上,账户鉴权的实现装置的逻辑结构图;
图16是本申请实施例六中一种应用在业务设备上,账户鉴权的实现装置的逻辑结构图。
具体实施方式
本申请的实施例提出一种新的账户授权的实现方法和一种新的账户鉴权的实现方法,将与业务设备(用户利用其账户进行业务操作时所采用的设备称为业务设备)能够点对点通信的设备作为授权设备,由服务器将该用户账户的用户端密钥下发给授权设备保存;在业务设备发起业务请求时,授权设备和业务设备通过点对点通信方式,利用用户端密钥生成带有验证信息的业务请求,并由业务设备将带有验证信息的业务请求发送给服务器,供服务器根据与用户端密钥相同或相对应的服务端密钥对其进行鉴权。由于进行点对点通信的双方其距离通常在一定的范围内,即使业务设备丢失或者被黑客获取了业务设备上的用户敏感信息,也往往因无法与授权设备进行点对点通信而不能对用户的账户进行操作,以解决现有技术中存在的问题。
图1所示为本申请实施例应用场景的一种网络结构图,业务设备与服务器、授权设备与服务器通过通信网络相互可访问,业务设备与授权设备之间通过点对点通信方式相互可访问。其中,业务设备、授权设备可以是能够进行点对点通信的手机、平板电脑、PC(Personal Computer,个人电脑)、笔记本、智能路由器等设备;服务器可以是一个物理或逻辑服务器,也可以是由两个或两个以上分担不同职责的物理或逻辑服务器、相互协同来实现本申请实施例中服务器的各项功能;业务设备与授权设备可以采用蓝牙(Bluetooth)、Wi-Fi(Wireless-Fidelity,无线保真)、ZigBee(紫蜂协议)、NFC(Near Field Communication,近场通信)等进行点对点通信;本申请实施例对业务设备、授权设备、服务器的种类,业务设备与服务器之间、授权设备与服务器之间通信网络的类型和协议,以及业务设备与授权设备之间点对点通信的类型和协议等均不做限定。
本申请的实施例一描述一种账户授权的实现方法,该方法应用在授权设备上的流程如图2所示,应用在服务器上的流程如图3所示。
在授权设备上,步骤210,接收账户标识和账户密码。
当用户确定以某个设备作为自己账户的授权设备时,可以在该授权设备上输入账户标识和账户密码,也可以由该用户的业务设备通过点对点通信方式将账户标识和账户密码发送给该授权设备。其中,账户标识可以是任何与该用户在服务器上的账户相关的信息,只要能够让服务器唯一确定用户账户即可,例如可以是账户名、用户名、昵称、与账户绑定的邮箱或手机号码等等。
在授权设备上,步骤220,根据接收的账户标识和账户密码,向服务器发送账户授权请求。
在服务器上,步骤310,接收授权设备根据账户标识和账户密码发送的账户授权请求。
在收到用户输入的、或业务设备发送的账户标识和账户密码后,授权设备向服务器发起账户授权请求。具体的请求方式可以因应用场景的不同而不同,例如,授权设备可以向服务器发送账户授权请求,在账户授权请求中携带所接收的账户标识和账户密码;再如,授权设备可以先以接收的账户标识和账户密码登录服务器或者与服务器建立会话,在登录成功后或以该会话向服务器发送账户授权请求;本申请的实施例不做限定。
在服务器上,步骤320,在账户标识和账户密码验证通过后,生成该账户的相同或相对应的用户端密钥和服务端密钥,并保存该账户标识与服务端密钥的对应关系。
服务器根据与某个账户授权请求相关联的账户标识和账户密码,对是否进行该账户的授权进行验证。具体的验证方式与现有技术中对账户标识和账户密码的验证方式相同。
如果账户标识和账户密码通过验证,服务器为该账户生成相同或相对应的服务端密钥和用户端密钥。服务器可以采用各种密钥生成算法来生成服务端密钥和用户端密钥,不做限定。例如,服务器可以采用随机数算法或对称密钥算法,得到一个密钥来同时作为服务端密钥和用户端密钥;再如,服务器可以采用非对称密钥算法来产生一对公钥和私钥,将私钥作为用户端密钥,将公钥作为服务端密钥。
在一种实现方式中,可以由授权设备在账户授权请求中携带授权设备的标识,服务器根据该授权设备的标识生成相同或相对应的用户端密钥和服务端密钥。授权设备的标识可以是该授权设备的硬件唯一标识,如UUID(Universally Unique Identifier,通用唯一识别码)、IMEI(International MobileEquipment Identity,国际移动设备标识)、MEID(Mobile Equipment Identifier,移动设备识别码)等;也可以是该授权设备的硬件网络地址,如蓝牙或WiFi的MAC(Media Access Control,介质访问控制)地址;也可以是其他能够在服务器上唯一代表该授权设备的参数。
可以根据实际应用场景的需要来选择根据授权设备的标识生成用户端密钥和服务端密钥的具体算法。例如,在一些应用场景中,服务器上的每个账户都具有各自的账户私钥,则服务器可以根据该账户的账户私钥与该授权设备的标识,采用某种散列算法得到用户端密钥;再以用户端密钥为私钥利用非对称加密算法得到对应的公钥,将所得的公钥作为服务端密钥。采用这种方式,授权设备无法通过用户端密钥反向计算出该账户的账户私钥,而服务器可以通过这个用户端密钥计算出授权设备的标识,以便于发现用户端密钥与授权设备的关联关系。
服务器保存生成的服务端密钥与账户标识的对应关系。服务器可以将该对应关系保存在本地,也可以保存在网络中任意可访问的位置。
在一些应用场景中,用户可以为自己的账户设定超过一个的授权设备,以便在不同的地理位置都能够安全方便的使用业务设备对其账户进行操作。在这些应用场景中,服务器可以令一个账户的所有授权设备都采用相同的用户端密钥和服务端密钥,也可以采用不同的用户端密钥和服务端密钥。对后者而言,授权设备可以在账户授权请求中将本设备的标识发送给服务器,服务器保存账户标识、授权设备的标识和服务端密钥的对应关系,以便在鉴权流程中能够按照授权设备的标识来确定对应的服务端密钥。
在服务器上,步骤330,向授权设备返回该账户的用户端密钥,该用户端密钥用来为来自业务设备的业务请求提供验证信息,以便由服务器根据该账户的服务端密钥对带有验证信息的业务请求进行鉴权。
在授权设备上,步骤230,接收服务器返回的该账户的用户端密钥,保存用户端密钥与账户标识的对应关系。该用户端密钥用来为业务设备采用点对点通信方式发送的业务请求提供验证信息,以便服务器在收到带有验证信息的业务请求后,根据与该用户端密钥相同或相对应的服务端密钥对带有验证信息的业务请求进行鉴权。
授权设备通常将用户端密钥与账户标识的对应关系保存在本地。
本申请的实施例二描述一种账户鉴权的实现方法,该方法应用在业务设备上的流程如图4所示,应用在授权设备上的流程如图5所示,应用在服务器上的流程如图6所示。
在业务设备上,步骤410,采用点对点通信方式向授权设备发送业务请求,业务请求中包括账户标识。
在授权设备上,步骤510,接收业务设备采用点对点通信方式发送的业务请求。
当用户要在业务设备上对其账户进行需鉴权的业务操作时,业务设备生成该业务的业务请求,该业务请求中包括用户进行该业务操作的账户标识。业务请求的具体格式和生成该业务请求的方式可参照现有技术实现,不再赘述。
业务设备将生成的业务请求采用点对点通信的方式发送给授权设备。在发送前,业务设备可能需要先基于点对点通信的类型,采用对应的发现技术来发现授权设备并与授权设备建立连接,这一过程可采用现有技术实现。
在授权设备上,步骤520,采用与该账户标识对应的用户端密钥生成带有验证信息的业务请求,并采用点对点通信方式返回给业务设备;供业务设备将带有验证信息的业务请求转发给服务器,由服务器根据与该用户端密钥相同或相对应的服务端密钥对带有验证信息的业务请求进行鉴权。
在业务设备上,步骤420,接收授权设备采用点对点通信方式返回的带有验证信息的业务请求,该带有验证信息的业务请求由授权设备采用与该账户标识对应的用户端密钥生成。
授权设备收到业务设备通过点对点通行发送的业务请求,提取其中的账户标识,在本地保存的账户标识与用户端密钥的对应关系中查找出对应的用户端密钥,即该账户的用户端密钥。
授权设备可以采用各种方式,来利用该账户的用户端密钥和接收的业务请求,生成带有验证信息的业务请求,只要服务器可以以相对应的方式,根据服务端密钥对带有验证信息的业务请求进行鉴权,并从带有验证信息的业务请求中获知业务设备的业务请求即可。以下举出三种生成带有验证信息的业务请求的具体方式作为例子:
第一种方式:授权设备将用户端密钥添加在业务请求的预定位置后,生成带有验证信息的业务请求。服务器在收到带有验证信息的业务请求后,从带有验证信息的业务请求中提取账户标识,从该预定位置提取用户端密钥,查找对应于该账户标识的服务端密钥,如果用户端密钥与服务端密钥相匹配,则鉴权通过;否则鉴权失败。
第二种方式:授权设备采用用户端密钥,对业务请求中的部分字段(不包括账户标识)进行加密后生成带有验证信息的业务请求。服务器在收到带有验证信息的业务请求后,从带有验证信息的业务请求中提取账户标识,查找对应于该账户标识的服务端密钥,用服务端密钥对带有验证信息的业务请求中的加密字段进行解密,如果解密成功,则鉴权通过;否则鉴权失败。
第三种方式,授权设备采用用户端密钥对业务请求进行签名,生成带有验证信息的业务请求。服务器在收到带有验证信息的业务请求后,从带有验证信息的业务请求中提取账户标识,查找对应于该账户标识的服务端密钥,用服务端密钥对带有验证信息的业务请求中的签名进行验签,如果验签成功,则鉴权通过;否则鉴权失败。
授权设备将带有验证信息的业务请求,通过点对点通信方式返回给业务设备。
在业务设备上,步骤430,向服务器发送带有验证信息的业务请求,供服务器根据与该用户端密钥相同或相对应的服务端密钥,对带有验证信息的业务请求进行鉴权。
在服务器上,步骤610,接收业务设备发送的带有验证信息的业务请求;带有验证信息的业务请求中包括账户标识,该带有验证信息的业务请求由授权设备采用与该账户标识对应的用户端密钥生成。
业务设备可以将从授权设备接收的带有验证信息的业务请求,转发给服务器;也可以在带有验证信息的业务请求中添加其他信息后,再发送给服务器,不做限定。
在服务器上,步骤620,根据与该账户标识对应的服务端密钥对带有验证信息的业务请求进行鉴权。
服务器收到带有验证信息的业务请求,从中提取账户标识,查找账户标识与服务端密钥的对应关系得到该账户的服务端密钥,利用该服务端密钥对带有验证信息的业务请求进行鉴权,并从带有验证信息的业务请求中获知业务设备发起业务请求的具体内容。具体的鉴权方式请参见对步骤520的描述,不再重复。
如果带有验证信息的业务请求鉴权通过,服务器根据业务设备发起业务请求的具体内容进行下一步的业务处理;如果鉴权失败,则服务器将鉴权失败的消息通知业务设备。
在一些应用场景中,一个账户可以设定多个授权设备,类似的一个授权设备也可以为多个账户提供授权服务。
在这种应用场景中,在业务设备和授权设备之间,可以由用户在业务设备上设置其账户的两个及以上的授权设备,在业务设备生成业务请求后,可以按照授权设备的优先顺序依次通过点对点通行方式连接某个授权设备并向其发送业务请求,如果该授权设备连接失败或者在预定时间收不到其返回的带有验证信息的业务请求,再转向下一个授权设备来重复上述过程;业务设备也可以向所有用户设置的授权设备都发起连接并发送业务请求,如果收到超过一个带有验证信息的业务请求,则任选一个发送给服务器。用户也可以不在业务设备上设置授权设备,而由业务设备采用点对点通信方式来发现周边设备,将发现的每个周边设备(可以是一个到多个)都作为授权设备;业务设备将业务请求发送给每个授权设备;收到业务请求的授权设备当本地保存有对应于其中账户标识的用户端密钥时,采用与该账户标识对应的用户端密钥生成带有验证信息的业务请求,并返回给业务设备,否则对所述业务请求不做响应;如果业务设备收到超过一个带有验证信息的业务请求,则任选一个发送给服务器。
在这种应用场景中,服务器可以为每个账户标识生成同样的用户端密钥和服务端密钥,这样无论采用哪个授权设备,都可以采用与账户标识对应的一个服务端密钥来进行鉴权。服务器也可以为每个账户标识生成因授权设备的标识的不同而不同的用户端密钥和服务端密钥,并保存账户标识、授权设备的标识和服务端密钥的对应关系;授权设备在带有验证信息的业务请求中添加该授权设备的标识,在带有验证信息的业务请求由业务设备发送给服务器后,服务器可以根据其中的账户标识和授权设备的标识,找到对应的服务端密钥来进行鉴权。服务器还可以为每个账户标识生成因授权设备的标识的不同而不同的用户端密钥和服务端密钥,但只保存账户标识和服务端密钥的对应关系,在收到带有验证信息的业务请求后,服务器根据其中的账户标识,找到对应的两个及以上的服务端密钥;服务器逐一采用找到的服务端密钥对带有验证信息的业务请求进行鉴权,直到采用某一个服务端密钥鉴权通过;或遍历所有服务端密钥后仍不能通过鉴权,则鉴权失败。
本申请的实施例三描述一种账户鉴权的实现方法,该方法应用在业务设备上的流程如图7所示。实施例三与实施例二的不同之处在于:实施例二中由授权设备根据用户端密钥生成带有验证信息的业务请求;而实施例三中由业务设备从授权设备获取用户端密钥后,根据用户端密钥生成带有验证信息的业务请求。服务器上的处理流程实施例二与实施例三中相同。以下只对不同于实施例二中的流程进行说明,相同部分请参见实施例二的描述,不再重复。
在业务设备上,步骤710,通过点对点通信方式从授权设备获取与账户标识对应的用户端密钥。
在一种实现方式中,业务设备可以向授权设备发送用户端密钥请求,由授权设备在响应中将用户端密钥返回给业务设备。在另一种实现方式中,授权设备可以生成带有用户端密钥信息的二维码或条形码,业务设备在进行点对点扫描后,以扫码的点对点通信方式来获得用户端密钥。
在一个账户可能具有多个授权设备的应用场景中,业务设备可以采用点对点通信方式来发现周边设备,将发现的每一个周边设备都作为授权设备;业务设备通过点对点通信方式向至少一个授权设备请求与账户标识对应的用户端密钥,当收到超过一个的响应时,从其中一个响应中获取用户端密钥。业务设备可以从任何一个响应中获取用户端设备,也可以从第一个响应中获取,而不再处理后续的响应。业务设备还可以通过点对点通信方式向授权设备请求与账户标识对应的用户端密钥和授权设备的标识,并且在带有验证信息的业务请求中携带授权设备的标识,供服务器根据账户标识和授权设备的标识来查找对应于用户端密钥的服务端密钥。
在业务设备上,步骤720,采用所述用户端密钥生成带有验证信息的业务请求。
业务设备生成业务请求后,采用所获取的用户端密钥,基于业务请求生成带有验证信息的业务请求。业务设备生成带有验证信息的业务请求的具体方式请参见对步骤520的描述,不再重复。
在业务设备上,步骤730,向服务器发送带有验证信息的业务请求,供服务器根据与该用户端密钥相同或相对应的服务端密钥,对带有验证信息的业务请求进行鉴权。
可见,用户对账户进行敏感操作时需要账户标识、账户密码和用户端密钥,本申请的实施例中,将上述安全数据分散存储在不同的设备上,其中账户标识和账户密码保存在业务设备上,而用户端密钥保存在授权设备上。只有当业务设备与授权设备聚集在点对点通信的可达范围内时,才能对用户账户进行敏感操作(现有技术中,在业务设备发起业务请求前,通常已经在登录服务器的过程中或者与服务器建立会话的过程中向服务器提供了账户标识和账户密码,否则服务器业务会要求业务设备提供账户标识和账户密码)。这样,即使业务设备丢失或者被黑客获取了业务设备上的安全数据,也往往因无法与授权设备进行点对点通信而不能对用户的账户进行操作,从而提高了用户账户的安全性。
在本申请的一个应用示例中,授权设备和业务设备各是一台具有蓝牙功能的手机,其上安装有客户端App,可以通过移动通信网络与服务器进行通信。
在授权过程中,授权设备与服务器之间的交互流程如图8所示。
用户在授权设备上启动App,并输入账户标识和账户密码以进行登录。授权设备将账户标识和账户密码在登录请求中发送到服务器。服务器利用账户标识和账户密码进行身份验证,在通过验证后登录成功。
App中提供了“对本设备授权”按钮,来进行对本设备的授权。用户在App中点击“对本设备授权”,授权设备向服务器发送账户授权请求,在账户授权请求中携带授权设备的硬件标识。
服务器查找该账户标识的账户私钥,以该账户私钥和授权设备的硬件标识作为预定散列算法的输入,得到用户端密钥;服务器以用户端密钥为私钥利用非对称加密算法得到对应的公钥,将所得的公钥作为服务端密钥。服务器保存账户标识与服务端密钥的对应关系,一个账户标识可以对应于多个服务端密钥,每个服务端密钥对应于不同的授权设备。
服务器通过安全通道将用户端密钥发送给授权设备。授权设备保存账户标识与用户端密钥的对应关系。一个授权设备在作为多个账户的授权设备时,其上将保存多个账户标识与用户端密钥的对应关系。
在鉴权过程中,业务设备、授权设备与服务器之间的交互流程如图9所示。
用户在业务设备上启动客户端App,该App用保存的账户标识和账户密码登录到服务器,与服务器建立会话。业务设备根据用户的操作生成业务请求,其中包括账户标识。
业务设备进行蓝牙设备发现,将发现的每一个蓝牙设备都作为授权设备。将业务请求通过蓝牙发送给每一个授权设备。
授权设备在收到业务请求后,提取其中的账户标识,在保存的账户标识与用户端密钥的对应关系中查找对应的用户端密钥,如果查找失败则不做处理,如果查找成功,则利用找到的用户端密钥,对业务请求进行数字签名。授权设备将带有签名的业务请求返回给业务设备。
业务设备收到带有签名的业务请求,将其通过已建立的会话转发给服务器。业务设备对后续收到的其他带有签名的业务请求不做处理。
服务器提取带有签名的业务请求中的账户标识,在账户标识与服务端密钥的对应关系中,查找对应的所有服务端密钥。服务器逐个使用找到的服务端密钥对业务请求中的签名进行验签,如果某个服务端密钥验签成功,则该业务请求通过鉴权,服务器依据业务逻辑进行下一步的业务处理;如果所有找到的服务端密钥都验签失败,则鉴权失败,服务器向业务设备返回鉴权失败的通知。
与上述流程实现对应,本申请的实施例还提供了一种应用在授权设备上的账户授权的实现装置、一种应用在服务器上的账户授权的实现装置、两种应用在业务设备上的账户鉴权的实现装置、一种应用在授权设备上的账户鉴权的实现装置、和一种应用在服务器上的账户鉴权的实现装置。上述装置均可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为逻辑意义上的装置,是通过授权设备、业务设备或服务器的CPU(Central Process Unit,中央处理器)将对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,除了图10所示的CPU、内存以及非易失性存储器之外,授权设备和业务设备通常还包括用于进行无线信号收发的芯片、进行点对点通信的芯片等其他硬件,服务器通常还包括用于实现网络通信功能的板卡等其他硬件。
图11是本申请实施例四提供的一种账户授权的实现装置,应用在授权设备上,包括账户标识和密码接收单元、授权请求发送单元和用户端密钥接收单元,其中:账户标识和密码接收单元用于接收账户标识和账户密码;授权请求发送单元用于根据所述账户标识和账户密码,向服务器发送账户授权请求;用户端密钥接收单元用于接收服务器返回的所述账户的用户端密钥,保存用户端密钥与所述账户标识的对应关系;所述用户端密钥用来为业务设备采用点对点通信方式发送的业务请求提供验证信息,以便服务器在收到带有验证信息的业务请求后,根据与所述用户端密钥相同或相对应的服务端密钥对所述带有验证信息的业务请求进行鉴权。
可选的,所述账户授权请求中包括:授权设备的标识,供服务器根据所述授权设备的标识生成用户端密钥、和/或供服务器保存所述账户标识、服务端密钥和所述授权设备标识的对应关系。
可选的,所述账户标识和密码接收单元具体用于:接收用户输入的账户标识和账户密码;或,接收业务设备采用点对点通信方式发送的账户标识和账户密码。
图12是本申请实施例四提供的一种账户授权的实现装置,应用在服务器上,包括授权请求接收单元、密钥生成单元和用户端密钥发送单元,其中:授权请求接收单元用于接收授权设备根据账户标识和账户密码发送的账户授权请求;密钥生成单元用于在所述账户标识和账户密码验证通过后,生成所述账户的相同或相对应的用户端密钥和服务端密钥,并保存所述账户标识与所述服务端密钥的对应关系;用户端密钥发送单元用于向授权设备返回所述用户端密钥,所述用户端密钥用来为来自业务设备的业务请求提供验证信息,以便由服务器根据所述服务端密钥对带有验证信息的业务请求进行鉴权。
一个例子中,所述账户授权请求中包括:授权设备的标识;所述密钥生成单元生成账户的用户端密钥和服务端密钥,包括:根据所述授权设备的标识生成相同或相对应的用户端密钥和服务端密钥。
上述例子中,所述密钥生成单元生成账户的用户端密钥和服务端密钥,包括:根据所述账户的账户私钥与所述授权设备的标识,采用散列算法得到用户端密钥;以所述用户端密钥为私钥利用非对称加密算法得到对应的公钥,将其作为服务端密钥。
可选的,所述账户授权请求中包括:授权设备的标识;所述密钥生成单元保存所述账户标识与所述服务端密钥的对应关系,包括:保存所述账户标识、所述授权设备的标识与所述服务端密钥的对应关系。
图13是本申请实施例五提供的一种账户鉴权的实现装置,应用在业务设备上,包括业务请求发送单元、验证信息接收单元和验证信息发送单元,其中:业务请求发送单元用于采用点对点通信方式向授权设备发送业务请求,所述业务请求中包括账户标识;验证信息接收单元用于接收授权设备采用点对点通信方式返回的带有验证信息的业务请求,所述带有验证信息的业务请求由授权设备采用与所述账户标识的用户端密钥生成;验证信息发送单元用于向服务器发送带有验证信息的业务请求,供服务器根据与所述用户端密钥相同或相对应的服务端密钥,对所述带有验证信息的业务请求进行鉴权。
可选的,所述带有验证信息的业务请求,包括:添加用户端密钥的业务请求、以用户端密钥进行加密的业务请求、或采用用户端密钥进行签名的业务请求。
可选的,其特征在于,所述装置还包括:授权设备发现单元,用于采用点对点通信方式发现周边设备,将发现的周边设备作为授权设备。
可选的,所述业务请求发送单元具体用于:向至少两个授权设备发送业务请求;所述验证信息发送单元具体用于:当收到至少两个授权设备返回的带有验证信息的业务请求时,选择其中之一发送给服务器。
可选的,所述带有验证信息的业务请求中包括:所述授权设备的标识。
可选的,所述点对点通信方式包括:蓝牙、近场通信NFC、和/或无线保真WiFi。
图14是本申请实施例五提供的一种账户鉴权的实现装置,应用在授权设备上,包括业务请求接收单元和验证信息生成单元,其中:业务请求接收单元用于接收业务设备采用点对点通信方式发送的业务请求,所述业务请求中包括账户标识;验证信息生成单元用于采用与所述账户标识对应的用户端密钥生成带有验证信息的业务请求,并采用点对点通信方式返回给业务设备;供业务设备将其转发给服务器,由服务器根据与所述用户端密钥相同或相对应的服务端密钥对所述带有验证信息的业务请求进行鉴权。
可选的,所述验证信息生成单元采用与所述账户标识对应的用户端密钥生成带有验证信息的业务请求,包括:将与所述账户标识对应的用户端密钥添加在业务请求中;或,采用与所述账户标识对应的用户端密钥对业务请求进行加密;或,采用与所述账户标识对应的用户端密钥对业务请求进行签名。
可选的,所述验证信息生成单元具体用于:当本地保存有对应于所述账户标识的用户端密钥时,采用与所述账户标识对应的用户端密钥生成带有验证信息的业务请求,并返回给业务设备;否则对所述业务请求不做响应。
可选的,所述带有验证信息的业务请求中包括:所述授权设备的标识。
可选的,所述点对点通信方式包括:蓝牙、近场通信NFC、和/或无线保真WiFi。
图15是本申请实施例五提供的一种账户鉴权的实现装置,应用在服务器上,所述服务器可获取到账户标识与服务端密钥的对应关系,所述装置包括验证信息接收单元和业务请求鉴权单元,其中:验证信息接收单元用于接收业务设备发送的带有验证信息的业务请求;所述带有验证信息的业务请求中包括账户标识,所述带有验证信息的业务请求由授权设备采用与所述账户标识对应的用户端密钥生成;业务请求鉴权单元用于根据与所述账户标识对应的服务端密钥对所述带有验证信息的业务请求进行鉴权;所述服务端密钥与所述用户端密钥相同或相对应。
可选的,所述带有验证信息的业务请求包括:添加用户端密钥的业务请求、以用户端密钥进行加密的业务请求、或采用用户端密钥进行签名的业务请求。
可选的,所述业务请求鉴权单元具体用于:当与所述账户标识对应的服务端密钥超过一个时,逐一采用所述服务端密钥对所述带有验证信息的业务请求进行鉴权,直到采用某一个服务端密钥鉴权通过、或遍历所有服务端密钥后鉴权失败。
可选的,所述带有验证信息的业务请求中包括:所述授权设备的标识;所述账户标识与服务端密钥的对应关系,包括:账户标识、授权设备的标识与服务端密钥的对应关系;所述业务请求鉴权单元具体用于:根据与所述账户和所述授权设备的标识对应的服务端密钥,对所述带有验证信息的业务请求进行鉴权。
图16是本申请实施例六提供的一种账户鉴权的实现装置,应用在业务设备上,包括用户端密钥获取单元、验证业务请求生成单元和验证业务请求发送单元,其中:用户端密钥获取单元用于通过点对点通信方式从授权设备获取与账户标识对应的用户端密钥;验证业务请求生成单元用于采用所述用户端密钥生成带有验证信息的业务请求;验证业务请求发送单元用于向服务器发送带有验证信息的业务请求,供服务器根据与所述用户端密钥相同或相对应的服务端密钥,对所述带有验证信息的业务请求进行鉴权。
可选的,所述带有验证信息的业务请求,包括:添加用户端密钥的业务请求、以用户端密钥进行加密的业务请求、或采用用户端密钥进行签名的业务请求。
可选的,所述装置还包括授权设备发现单元,用于采用点对点通信方式发现周边设备,将发现的周边设备作为授权设备;所述用户端密钥获取单元具体用于:向至少一个授权设备请求与账户标识对应的用户端密钥,当收到超过一个的响应时,提取其中一个响应中的用户端密钥。
可选的,所述用户端密钥获取单元具体用于:通过点对点通信方式向授权设备请求与账户标识对应的用户端密钥和授权设备的标识;所述带有验证信息的业务请求中包括:授权设备的标识。
可选的,所述点对点通信方式包括:蓝牙、近场通信NFC、无线保真WiFi、和/或扫码方式。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitorymedia),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

Claims (54)

1.一种账户授权的实现方法,应用在授权设备上,其特征在于,包括:
接收账户标识和账户密码;
根据所述账户标识和账户密码,向服务器发送账户授权请求;
接收服务器返回的所述账户的用户端密钥,保存用户端密钥与所述账户标识的对应关系;所述用户端密钥用来为业务设备采用点对点通信方式发送的业务请求提供验证信息,以便服务器在收到带有验证信息的业务请求后,根据与所述用户端密钥相同或相对应的服务端密钥对所述带有验证信息的业务请求进行鉴权。
2.根据权利要求1所述的方法,其特征在于,所述账户授权请求中包括:授权设备的标识,供服务器根据所述授权设备的标识生成用户端密钥、和/或供服务器保存所述账户标识、服务端密钥和所述授权设备标识的对应关系。
3.根据权利要求1所述的方法,其特征在于,所述接收账户标识和账户密码,包括:
接收用户输入的账户标识和账户密码,或
接收业务设备采用点对点通信方式发送的账户标识和账户密码。
4.一种账户授权的实现方法,应用在服务器上,其特征在于,包括:
接收授权设备根据账户标识和账户密码发送的账户授权请求;
在所述账户标识和账户密码验证通过后,生成所述账户的相同或相对应的用户端密钥和服务端密钥,并保存所述账户标识与所述服务端密钥的对应关系;
向授权设备返回所述用户端密钥,所述用户端密钥用来为来自业务设备的业务请求提供验证信息,以便由服务器根据所述服务端密钥对带有验证信息的业务请求进行鉴权。
5.根据权利要求4所述的方法,其特征在于,所述账户授权请求中包括:授权设备的标识;
所述生成账户的用户端密钥和服务端密钥,包括:根据所述授权设备的标识生成相同或相对应的用户端密钥和服务端密钥。
6.根据权利要求5所述的方法,其特征在于,所述生成账户的用户端密钥和服务端密钥,包括:
根据所述账户的账户私钥与所述授权设备的标识,采用散列算法得到用户端密钥;
以所述用户端密钥为私钥利用非对称加密算法得到对应的公钥,将其作为服务端密钥。
7.根据权利要求4所述的方法,其特征在于,所述账户授权请求中包括:授权设备的标识;
所述保存所述账户标识与所述服务端密钥的对应关系,包括:保存所述账户标识、所述授权设备的标识与所述服务端密钥的对应关系。
8.一种账户鉴权的实现方法,应用在业务设备上,其特征在于,包括:
采用点对点通信方式向授权设备发送业务请求,所述业务请求中包括账户标识;
接收授权设备采用点对点通信方式返回的带有验证信息的业务请求,所述带有验证信息的业务请求由授权设备采用与所述账户标识的用户端密钥生成;
向服务器发送带有验证信息的业务请求,供服务器根据与所述用户端密钥相同或相对应的服务端密钥,对所述带有验证信息的业务请求进行鉴权。
9.根据权利要求8所述的方法,其特征在于,所述带有验证信息的业务请求,包括:添加用户端密钥的业务请求、以用户端密钥进行加密的业务请求、或采用用户端密钥进行签名的业务请求。
10.根据权利要求8所述的方法,其特征在于,所述方法还包括:采用点对点通信方式发现周边设备,将发现的周边设备作为授权设备。
11.根据权利要求8所述的方法,其特征在于,所述向授权设备发送业务请求,包括:向至少两个授权设备发送业务请求;
所述向服务器发送带有验证信息的业务请求,包括:当收到至少两个授权设备返回的带有验证信息的业务请求时,选择其中之一发送给服务器。
12.根据权利要求8至11任意一项所述的方法,其特征在于,所述带有验证信息的业务请求中包括:所述授权设备的标识。
13.根据权利要求8所述的方法,其特征在于,所述点对点通信方式包括:蓝牙、近场通信NFC、和/或无线保真WiFi。
14.一种账户鉴权的实现方法,应用在授权设备上,其特征在于,包括:
接收业务设备采用点对点通信方式发送的业务请求,所述业务请求中包括账户标识;
采用与所述账户标识对应的用户端密钥生成带有验证信息的业务请求,并采用点对点通信方式返回给业务设备;供业务设备将其转发给服务器,由服务器根据与所述用户端密钥相同或相对应的服务端密钥对所述带有验证信息的业务请求进行鉴权。
15.根据权利要求14所述的方法,其特征在于,所述采用与所述账户标识对应的用户端密钥生成带有验证信息的业务请求,包括:
将与所述账户标识对应的用户端密钥添加在业务请求中;或
采用与所述账户标识对应的用户端密钥对业务请求进行加密;或
采用与所述账户标识对应的用户端密钥对业务请求进行签名。
16.根据权利要求14所述的方法,其特征在于,所述采用与所述账户标识对应的用户端密钥生成带有验证信息的业务请求,并采用点对点通信方式返回给业务设备,包括:当本地保存有对应于所述账户标识的用户端密钥时,采用与所述账户标识对应的用户端密钥生成带有验证信息的业务请求,并采用点对点通信方式返回给业务设备;否则对所述业务请求不做响应。
17.根据权利要求14至16任意一项所述的方法,其特征在于,所述带有验证信息的业务请求中包括:所述授权设备的标识。
18.根据权利要求14所述的方法,其特征在于,所述点对点通信方式包括:蓝牙、近场通信NFC、和/或无线保真WiFi。
19.一种账户鉴权的实现方法,应用在服务器上,其特征在于,所述服务器可获取到账户标识与服务端密钥的对应关系,所述方法包括:
接收业务设备发送的带有验证信息的业务请求;所述带有验证信息的业务请求中包括账户标识,所述带有验证信息的业务请求由授权设备采用与所述账户标识对应的用户端密钥生成;
根据与所述账户标识对应的服务端密钥对所述带有验证信息的业务请求进行鉴权;所述服务端密钥与所述用户端密钥相同或相对应。
20.根据权利要求19所述的方法,其特征在于,所述带有验证信息的业务请求包括:添加用户端密钥的业务请求、以用户端密钥进行加密的业务请求、或采用用户端密钥进行签名的业务请求。
21.根据权利要求19所述的方法,其特征在于,所述根据与所述账户标识对应的服务端密钥对所述验证信息进行鉴权,包括:当与所述账户标识对应的服务端密钥超过一个时,逐一采用所述服务端密钥对所述带有验证信息的业务请求进行鉴权,直到采用某一个服务端密钥鉴权通过、或遍历所有服务端密钥后鉴权失败。
22.根据权利要求19所述的方法,其特征在于,所述带有验证信息的业务请求中包括:所述授权设备的标识;
所述账户标识与服务端密钥的对应关系,包括:账户标识、授权设备的标识与服务端密钥的对应关系;
所述根据与所述账户标识对应的服务端密钥对所述带有验证信息的业务请求进行鉴权,包括:根据与所述账户和所述授权设备的标识对应的服务端密钥,对所述带有验证信息的业务请求进行鉴权。
23.一种账户鉴权的实现方法,应用在业务设备上,其特征在于,包括:
通过点对点通信方式从授权设备获取与账户标识对应的用户端密钥;
采用所述用户端密钥生成带有验证信息的业务请求;
向服务器发送带有验证信息的业务请求,供服务器根据与所述用户端密钥相同或相对应的服务端密钥,对所述带有验证信息的业务请求进行鉴权。
24.根据权利要求23所述的方法,其特征在于,所述带有验证信息的业务请求,包括:添加用户端密钥的业务请求、以用户端密钥进行加密的业务请求、或采用用户端密钥进行签名的业务请求。
25.根据权利要求23所述的方法,其特征在于,所述方法还包括:采用点对点通信方式发现周边设备,将发现的周边设备作为授权设备;
所述通过点对点通信方式向授权设备请求与账户标识对应的用户端密钥,包括:向至少一个授权设备请求与账户标识对应的用户端密钥,当收到超过一个的响应时,提取其中一个响应中的用户端密钥。
26.根据权利要求23所述的方法,其特征在于,所述通过点对点通信方式向授权设备请求与账户标识对应的用户端密钥,包括:通过点对点通信方式向授权设备请求与账户标识对应的用户端密钥和授权设备的标识;
所述带有验证信息的业务请求中包括:授权设备的标识。
27.根据权利要求23所述的方法,其特征在于,所述点对点通信方式包括:蓝牙、近场通信NFC、无线保真WiFi、和/或扫码方式。
28.一种账户授权的实现装置,应用在授权设备上,其特征在于,包括:
账户标识和密码接收单元,用于接收账户标识和账户密码;
授权请求发送单元,用于根据所述账户标识和账户密码,向服务器发送账户授权请求;
用户端密钥接收单元,用于接收服务器返回的所述账户的用户端密钥,保存用户端密钥与所述账户标识的对应关系;所述用户端密钥用来为业务设备采用点对点通信方式发送的业务请求提供验证信息,以便服务器在收到带有验证信息的业务请求后,根据与所述用户端密钥相同或相对应的服务端密钥对所述带有验证信息的业务请求进行鉴权。
29.根据权利要求28所述的装置,其特征在于,所述账户授权请求中包括:授权设备的标识,供服务器根据所述授权设备的标识生成用户端密钥、和/或供服务器保存所述账户标识、服务端密钥和所述授权设备标识的对应关系。
30.根据权利要求28所述的装置,其特征在于,所述账户标识和密码接收单元具体用于:
接收用户输入的账户标识和账户密码,或
接收业务设备采用点对点通信方式发送的账户标识和账户密码。
31.一种账户授权的实现装置,应用在服务器上,其特征在于,包括:
授权请求接收单元,用于接收授权设备根据账户标识和账户密码发送的账户授权请求;
密钥生成单元,用于在所述账户标识和账户密码验证通过后,生成所述账户的相同或相对应的用户端密钥和服务端密钥,并保存所述账户标识与所述服务端密钥的对应关系;
用户端密钥发送单元,用于向授权设备返回所述用户端密钥,所述用户端密钥用来为来自业务设备的业务请求提供验证信息,以便由服务器根据所述服务端密钥对带有验证信息的业务请求进行鉴权。
32.根据权利要求31所述的装置,其特征在于,所述账户授权请求中包括:授权设备的标识;
所述密钥生成单元生成账户的用户端密钥和服务端密钥,包括:根据所述授权设备的标识生成相同或相对应的用户端密钥和服务端密钥。
33.根据权利要求32所述的装置,其特征在于,所述密钥生成单元生成账户的用户端密钥和服务端密钥,包括:
根据所述账户的账户私钥与所述授权设备的标识,采用散列算法得到用户端密钥;
以所述用户端密钥为私钥利用非对称加密算法得到对应的公钥,将其作为服务端密钥。
34.根据权利要求31所述的装置,其特征在于,所述账户授权请求中包括:授权设备的标识;
所述密钥生成单元保存所述账户标识与所述服务端密钥的对应关系,包括:保存所述账户标识、所述授权设备的标识与所述服务端密钥的对应关系。
35.一种账户鉴权的实现装置,应用在业务设备上,其特征在于,包括:
业务请求发送单元,用于采用点对点通信方式向授权设备发送业务请求,所述业务请求中包括账户标识;
验证信息接收单元,用于接收授权设备采用点对点通信方式返回的带有验证信息的业务请求,所述带有验证信息的业务请求由授权设备采用与所述账户标识的用户端密钥生成;
验证信息发送单元,用于向服务器发送带有验证信息的业务请求,供服务器根据与所述用户端密钥相同或相对应的服务端密钥,对所述带有验证信息的业务请求进行鉴权。
36.根据权利要求35所述的装置,其特征在于,所述带有验证信息的业务请求,包括:添加用户端密钥的业务请求、以用户端密钥进行加密的业务请求、或采用用户端密钥进行签名的业务请求。
37.根据权利要求35所述的装置,其特征在于,所述装置还包括:授权设备发现单元,用于采用点对点通信方式发现周边设备,将发现的周边设备作为授权设备。
38.根据权利要求35所述的装置,其特征在于,所述业务请求发送单元具体用于:向至少两个授权设备发送业务请求;
所述验证信息发送单元具体用于:当收到至少两个授权设备返回的带有验证信息的业务请求时,选择其中之一发送给服务器。
39.根据权利要求35至38任意一项所述的装置,其特征在于,所述带有验证信息的业务请求中包括:所述授权设备的标识。
40.根据权利要求35所述的装置,其特征在于,所述点对点通信方式包括:蓝牙、近场通信NFC、和/或无线保真WiFi。
41.一种账户鉴权的实现装置,应用在授权设备上,其特征在于,包括:
业务请求接收单元,用于接收业务设备采用点对点通信方式发送的业务请求,所述业务请求中包括账户标识;
验证信息生成单元,用于采用与所述账户标识对应的用户端密钥生成带有验证信息的业务请求,并采用点对点通信方式返回给业务设备;供业务设备将其转发给服务器,由服务器根据与所述用户端密钥相同或相对应的服务端密钥对所述带有验证信息的业务请求进行鉴权。
42.根据权利要求41所述的装置,其特征在于,所述验证信息生成单元采用与所述账户标识对应的用户端密钥生成带有验证信息的业务请求,包括:
将与所述账户标识对应的用户端密钥添加在业务请求中;或
采用与所述账户标识对应的用户端密钥对业务请求进行加密;或
采用与所述账户标识对应的用户端密钥对业务请求进行签名。
43.根据权利要求41所述的装置,其特征在于,所述验证信息生成单元具体用于:当本地保存有对应于所述账户标识的用户端密钥时,采用与所述账户标识对应的用户端密钥生成带有验证信息的业务请求,并返回给业务设备;否则对所述业务请求不做响应。
44.根据权利要求41至43任意一项所述的装置,其特征在于,所述带有验证信息的业务请求中包括:所述授权设备的标识。
45.根据权利要求41所述的装置,其特征在于,所述点对点通信方式包括:蓝牙、近场通信NFC、和/或无线保真WiFi。
46.一种账户鉴权的实现装置,应用在服务器上,其特征在于,所述服务器可获取到账户标识与服务端密钥的对应关系,所述装置包括:
验证信息接收单元,用于接收业务设备发送的带有验证信息的业务请求;所述带有验证信息的业务请求中包括账户标识,所述带有验证信息的业务请求由授权设备采用与所述账户标识对应的用户端密钥生成;
业务请求鉴权单元,用于根据与所述账户标识对应的服务端密钥对所述带有验证信息的业务请求进行鉴权;所述服务端密钥与所述用户端密钥相同或相对应。
47.根据权利要求46所述的装置,其特征在于,所述带有验证信息的业务请求包括:添加用户端密钥的业务请求、以用户端密钥进行加密的业务请求、或采用用户端密钥进行签名的业务请求。
48.根据权利要求46所述的装置,其特征在于,所述业务请求鉴权单元具体用于:当与所述账户标识对应的服务端密钥超过一个时,逐一采用所述服务端密钥对所述带有验证信息的业务请求进行鉴权,直到采用某一个服务端密钥鉴权通过、或遍历所有服务端密钥后鉴权失败。
49.根据权利要求48所述的装置,其特征在于,所述带有验证信息的业务请求中包括:所述授权设备的标识;
所述账户标识与服务端密钥的对应关系,包括:账户标识、授权设备的标识与服务端密钥的对应关系;
所述业务请求鉴权单元具体用于:根据与所述账户和所述授权设备的标识对应的服务端密钥,对所述带有验证信息的业务请求进行鉴权。
50.一种账户鉴权的实现装置,应用在业务设备上,其特征在于,包括:
用户端密钥获取单元,用于通过点对点通信方式从授权设备获取与账户标识对应的用户端密钥;
验证业务请求生成单元,用于采用所述用户端密钥生成带有验证信息的业务请求;
验证业务请求发送单元,用于向服务器发送带有验证信息的业务请求,供服务器根据与所述用户端密钥相同或相对应的服务端密钥,对所述带有验证信息的业务请求进行鉴权。
51.根据权利要求50所述的装置,其特征在于,所述带有验证信息的业务请求,包括:添加用户端密钥的业务请求、以用户端密钥进行加密的业务请求、或采用用户端密钥进行签名的业务请求。
52.根据权利要求50所述的装置,其特征在于,所述装置还包括:授权设备发现单元,用于采用点对点通信方式发现周边设备,将发现的周边设备作为授权设备;
所述用户端密钥获取单元具体用于:向至少一个授权设备请求与账户标识对应的用户端密钥,当收到超过一个的响应时,提取其中一个响应中的用户端密钥。
53.根据权利要求50所述的装置,其特征在于,所述用户端密钥获取单元具体用于:通过点对点通信方式向授权设备请求与账户标识对应的用户端密钥和授权设备的标识;
所述带有验证信息的业务请求中包括:授权设备的标识。
54.根据权利要求50所述的装置,其特征在于,所述点对点通信方式包括:蓝牙、近场通信NFC、无线保真WiFi、和/或扫码方式。
CN201610144241.2A 2016-03-14 2016-03-14 账户授权的实现方法和装置、账户鉴权的实现方法和装置 Pending CN107196890A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610144241.2A CN107196890A (zh) 2016-03-14 2016-03-14 账户授权的实现方法和装置、账户鉴权的实现方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610144241.2A CN107196890A (zh) 2016-03-14 2016-03-14 账户授权的实现方法和装置、账户鉴权的实现方法和装置

Publications (1)

Publication Number Publication Date
CN107196890A true CN107196890A (zh) 2017-09-22

Family

ID=59871463

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610144241.2A Pending CN107196890A (zh) 2016-03-14 2016-03-14 账户授权的实现方法和装置、账户鉴权的实现方法和装置

Country Status (1)

Country Link
CN (1) CN107196890A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114338222A (zh) * 2022-01-11 2022-04-12 杭州弗兰科信息安全科技有限公司 一种密钥申请方法、系统、装置及服务端

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101309142A (zh) * 2008-05-20 2008-11-19 郝志勤 同时支持近距离和远距离通信的系统及方法
CN104243484A (zh) * 2014-09-25 2014-12-24 小米科技有限责任公司 信息交互方法及装置、电子设备
US20140376722A1 (en) * 2013-06-25 2014-12-25 International Business Machines Corporation Accessing local applications when roaming using a nfc mobile device
CN104601327A (zh) * 2013-12-30 2015-05-06 腾讯科技(深圳)有限公司 一种安全验证方法、相关设备和系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101309142A (zh) * 2008-05-20 2008-11-19 郝志勤 同时支持近距离和远距离通信的系统及方法
US20140376722A1 (en) * 2013-06-25 2014-12-25 International Business Machines Corporation Accessing local applications when roaming using a nfc mobile device
CN104601327A (zh) * 2013-12-30 2015-05-06 腾讯科技(深圳)有限公司 一种安全验证方法、相关设备和系统
CN104243484A (zh) * 2014-09-25 2014-12-24 小米科技有限责任公司 信息交互方法及装置、电子设备

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114338222A (zh) * 2022-01-11 2022-04-12 杭州弗兰科信息安全科技有限公司 一种密钥申请方法、系统、装置及服务端
CN114338222B (zh) * 2022-01-11 2024-02-06 杭州弗兰科信息安全科技有限公司 一种密钥申请方法、系统、装置及服务端

Similar Documents

Publication Publication Date Title
US11611543B1 (en) Wireless peer to peer mobile wallet connections
CN106161359B (zh) 认证用户的方法及装置、注册可穿戴设备的方法及装置
JP6573627B2 (ja) 補助デバイスを使用したサービス認可
EP3474211A1 (en) Offline payment method and device
US9363670B2 (en) Systems and methods for restricting access to network resources via in-location access point protocol
US9780950B1 (en) Authentication of PKI credential by use of a one time password and pin
CN107294900A (zh) 基于生物特征的身份注册方法和装置
CN107181714B (zh) 基于业务码的验证方法和装置、业务码的生成方法和装置
US9197420B2 (en) Using information in a digital certificate to authenticate a network of a wireless access point
CN109076070A (zh) 用于辅助无摩擦双因素认证的方法和装置
US10237072B2 (en) Signatures for near field communications
US20180295514A1 (en) Method and apparatus for facilitating persistent authentication
CN107231331A (zh) 获取、下发电子证件的实现方法和装置
US11337067B2 (en) Systems and methods for providing wireless access security by interrogation
CN107426235A (zh) 基于设备指纹的权限认证方法、装置及系统
CN108737080A (zh) 密码的存储方法、装置、系统及设备
CN106209734A (zh) 进程的身份认证方法和装置
CN106559785A (zh) 认证方法、设备和系统以及接入设备和终端
CN115039376A (zh) 终端设备信息传输方法、设备指纹生成方法及相关产品
US20190281053A1 (en) Method and apparatus for facilitating frictionless two-factor authentication
CN109067749A (zh) 一种信息处理方法、设备及计算机可读存储介质
US11245684B2 (en) User enrollment and authentication across providers having trusted authentication and identity management services
CN107196890A (zh) 账户授权的实现方法和装置、账户鉴权的实现方法和装置
CN109981558A (zh) 智能家居设备的认证方法、设备及系统
CN106714158A (zh) 一种WiFi接入方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20170922