CN108289100B - 一种安全访问方法、终端设备及系统 - Google Patents
一种安全访问方法、终端设备及系统 Download PDFInfo
- Publication number
- CN108289100B CN108289100B CN201810073011.0A CN201810073011A CN108289100B CN 108289100 B CN108289100 B CN 108289100B CN 201810073011 A CN201810073011 A CN 201810073011A CN 108289100 B CN108289100 B CN 108289100B
- Authority
- CN
- China
- Prior art keywords
- data
- server
- session
- service module
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种安全访问方法,应用于终端设备,包括:浏览器请求登录服务端时,从服务端接收响应于登录请求的第一会话地址信息,并通过跨域访问方式将第一会话地址信息发送给本地服务模块;本地服务模块基于第一会话地址信息与服务端的第一会话建立连接,通过第一会话从服务端接收第一验证数据;本地服务模块将第一验证数据发送给与终端设备连接的信息安全设备,并从信息安全设备接收响应于第一验证数据而生成的第二验证数据;本地服务模块将第二验证数据通过第一会话返回给服务端,以由服务端对第二验证数据进行验证。本发明还公开了一种安全访问终端设备和系统。通过本发明的方案,在浏览器控件无法使用时也能安全地访问本地信息安全设备。
Description
技术领域
本发明涉及信息安全技术领域,特别涉及一种安全访问方法、终端设备及系统。
背景技术
出于安全考虑,浏览器中运行的代码不能访问本地资源,因此也就无法访问硬件设备。例如,用户操作浏览器进入到某网站的验证页面时,浏览器无法直接调用硬件设备进行验证。
目前通用的解决方法是通过浏览器中的控件去调用硬件设备获取验证信息,但某些操作系统可能会禁用浏览器的控件,导致浏览器无法访问本地硬件设备。
发明内容
有鉴于此,本发明实施例提出了一种安全访问方案,能够实现通过浏览器对本地信息安全设备进行安全访问而不受浏览器控件的限制。
为此,本发明提出了一种安全访问方法,应用于终端设备,所述方法包括:浏览器请求登录服务端时,从服务端接收响应于登录请求的第一会话地址信息,并通过跨域访问方式将第一会话地址信息发送给本地服务模块;本地服务模块基于第一会话地址信息与服务端的第一会话建立连接,通过第一会话从服务端接收第一验证数据;本地服务模块将第一验证数据发送给与终端设备连接的信息安全设备,并从信息安全设备接收响应于第一验证数据而生成的第二验证数据;本地服务模块将第二验证数据通过第一会话返回给服务端,以由服务端对第二验证数据进行验证。
作为优选,所述方法还包括:本地服务模块将信息安全设备的标识信息通过第一会话发送给服务端。
作为优选,第二验证数据由所述信息安全设备通过用第一私钥对第一验证数据进行数字签名而生成。
作为优选,第一验证数据由服务端用第一公钥对第一字符串加密生成,第二验证数据由所述信息安全设备通过用第一私钥对第一验证数据解密后对解密数据计算哈希值而生成。
作为优选,所述方法还包括:浏览器通过跨域访问方式向本地服务模块发送数据加解密指令和待加解密的数据;本地服务模块将所述数据加解密指令和待加解密的数据发送给所述信息安全设备,接收从所述信息安全设备返回的加解密数据,并通过跨域访问方式将所述加解密数据返回给浏览器。
本发明实施例还提出了一种安全访问终端设备,包括:浏览器,其配置为在请求登录服务端时,从服务端接收响应于登录请求的第一会话地址信息;本地服务模块,其配置为基于第一会话地址信息与服务端建立第一会话,通过第一会话从服务端接收第一验证数据,将第一验证数据发送给与终端设备连接的信息安全设备,从信息安全设备接收响应于第一验证数据而生成的第二验证数据,并将第二验证数据返回给服务端,以由服务端对第二验证数据进行验证;跨域访问模块,其配置为将第一会话地址信息转发给本地服务模块。
作为优选,本地服务模块还配置为将信息安全设备的标识信息通过第一会话发送给服务端。
作为优选,第二验证数据由所述信息安全设备通过用第一私钥对第一验证数据进行数字签名而生成。
作为优选,第一验证数据由服务端用第一公钥对第一字符串加密生成,第二验证数据由所述信息安全设备通过用第一私钥对第一验证数据解密后对解密数据计算哈希值而生成。
作为优选,浏览器还配置为生成数据加解密指令,并发送数据加解密指令和待加解密的数据;本地服务模块还配置为将所述数据加解密指令和待加解密的数据发送给所述信息安全设备,接收从所述信息安全设备返回的加解密数据;跨域访问模块还配置为将所述数据加解密指令和待加解密的数据转发给本地服务模块,并将所述加解密数据转发给浏览器。
本发明实施例还提出了一种安全访问系统,包括:上述实施例中的安全访问终端设备;服务端,其配置为建立空的第一会话,将第一会话地址信息发送给所述浏览器,当所述本地服务模块基于第一会话地址信息与服务端的第一会话建立连接时通过第一会话将第一验证数据发送给所述本地服务模块,通过第一会话从所述本地服务模块接收所述第二验证数据,并对第二验证数据进行验证。
作为优选,服务端还配置为在对第二验证数据验证通过后,将第一会话进行初始化。
作为优选,服务端还配置为通过第一会话从所述本地服务模块接收所述信息安全设备的标识信息,并基于所述标识信息获得预存的所述信息安全设备的第一公钥。
作为优选,第二验证数据由所述信息安全设备通过用第一私钥对第一验证数据进行数字签名而生成,服务端配置为用第一公钥对第二验证数据进行验签。
作为优选,第二验证数据由所述信息安全设备通过用第一私钥对第一验证数据解密后对解密数据计算哈希值而生成,服务端配置为用第一公钥对第一字符串加密生成所述第一验证数据,并用所述第一字符串的哈希值对第二验证数据进行验证。
通过本发明实施例的安全访问方案,即使某些系统禁止浏览器使用控件,也可以实现通过浏览器对本地信息安全设备的安全访问,提高了信息安全设备的使用便利性和信息安全性。
附图说明
图1为本发明的安全访问方法的一个实施例的示意性流程图;
图2为本发明的安全访问方法的另一个实施例的示意性流程图;
图3为本发明的安全访问方法的再一个实施例的示意性流程图;
图4为本发明的安全访问终端设备和系统的一个实施例的示意性框图。
具体实施方式
下面参照附图对本发明的各个实施例进行说明。
图1为本发明的安全访问方法的一个实施例的示意性流程图,本发明实施例的安全访问方法应用于终端设备。
如图1所示,本发明实施例的安全访问方法包括:
S101、浏览器请求登录服务端时,从服务端接收响应于登录请求的第一会话地址信息,并通过跨域访问方式将第一会话地址信息发送给本地服务模块;
浏览器安装于终端设备上,终端设备的用户在使用浏览器访问网站时,有时需要通过在浏览器显示的登录页面上输入登录信息来登录到某个服务端,例如社交类网站服务端、邮箱服务端、软件许可服务端等,浏览器将包括用户输入的登录信息的登录请求发送到服务端。以请求在终端设备与服务端之间建立通信连接。
为了提高终端设备与服务端之间通信连接的安全性,可利用加密锁、蓝牙Key等信息安全设备对通信交互数据进行加解密。在基于信息安全设备建立终端设备与服务端之间的安全通信之前,服务端需要对信息安全设备进行身份验证,为此,在本发明实施例中,服务端可响应于从浏览器接收的登录请求,生成空的第一会话(session),将第一会话的地址信息返回给浏览器。
浏览器从服务端接收到第一会话地址信息后,可以通过跨域访问方式将第一会话地址信息传送给安装在终端设备中的本地服务模块。本地服务模块例如为本地Web服务模块,用于调用终端设备内的应用程序或者调用与终端设备连接的外部设备的功能,并且能够访问互联网中的网页地址。
S102、本地服务模块基于第一会话地址信息与服务端的第一会话建立连接,通过第一会话从服务端接收第一验证数据;
本地服务模块从浏览器接收到第一会话地址信息后,基于第一会话地址信息直接访问第一会话地址(URL),与服务端所生成的第一会话建立连接,从而能够通过第一会话与服务端之间建立通信连接。在S102中,服务端与本地服务模块建立通信连接后,服务端可以通过第一会话将用于对信息安全设备进行身份验证的第一验证数据发送给本地服务模块。
S103、本地服务模块将第一验证数据发送给与终端设备连接的信息安全设备,并从信息安全设备接收响应于第一验证数据而生成的第二验证数据;
本地服务模块接收到第一验证数据后,执行调取本地信息安全设备的操作以与信息安全设备之间进行数据交互,并将第一验证数据发送给信息安全设备。信息安全设备从本地服务模块接收到第一验证数据后,根据预先协商的验证方式,使用信息安全设备持有的密钥基于第一验证数据生成第二验证数据,并将第二验证数据返回给本地服务模块。
S104、本地服务模块将第二验证数据通过第一会话返回给服务端,以由服务端对第二验证数据进行验证。
本地服务模块从信息安全设备接收到响应于第一验证数据而生成的第二验证数据后,通过第一会话将第二验证数据返回给服务端。
服务端通过第一会话从本地服务模块接收到返回的第二验证数据后,根据预先协商的上述验证方式,对第二验证数据进行验证。如验证通过,则确认该信息安全设备为合法设备,完成对信息安全设备的身份验证,允许终端设备通过该信息安全设备对终端设备与服务端之间的通信数据进行加解密处理。
通过本发明实施例的安全访问方案,即使某些系统禁止浏览器使用控件,也可以通过在本地服务模块和服务端之间建立通信连接,使得服务端能够通过本地服务模块对信息安全设备进行安全身份验证,提高了信息安全设备的使用便利性和信息安全性。
下面对上述的服务端与信息安全设备之间预先协商的验证方式进行说明。
在本发明一个实施例中,预先协商的验证方式可以是,服务端发送任意字符串作为第一验证数据,信息安全设备用自身的私钥作为第一私钥对第一验证数据进行数字签名生成第二验证数据,服务端用该信息安全设备的公钥对第二验证数据进行验签。其中,服务端发送的第一验证数据可以是服务端实时生成的随机数,或者通过将一随机数与其他任意字符组合生成第一验证数据,或者预先存储的字符串或多个字符串之一。服务端需要保存所发送的第一验证数据以用于验证数字签名。通过该验证方式,服务端直接对第二验证数据进行验签,验证效率较高。
在本发明另一个实施例中,预先协商的验证方式可以是,服务端用该信息安全设备的公钥作为第一公钥对作为第一字符串的任一字符串进行加密生成第一验证数据,信息安全设备用自身的私钥作为第一私钥对第一验证数据进行解密后,对解密得到的字符串计算哈希值,将计算得到的哈希值作为第二验证数据。服务端对生成第一验证数据时使用的字符串也计算哈希值,并用该哈希值来验证第二验证数据是否正确。其中,服务端生成第一验证数据时使用的第一字符串可以是服务端实时生成的随机数,或者通过将一随机数与其他任意字符组合生成的字符串,或者预先存储的字符串或多个字符串之一。服务端需要保存第一字符串的哈希值以用于验证数字签名。通过该验证方式,服务端间接对第二验证数据进行验证,验证安全性较高。
在本发明实施例中,服务端可以预先存储信息安全设备的标识信息和登录信息之间的对应存储表,基于浏览器发送的登录请求确定对应的信息安全设备的公钥。
此外,服务端也可以从终端设备获得信息安全设备的标识信息,并根据该标识信息查找存储表确定该信息安全设备的公钥,下面通过图2所示实施例对此进行说明。
图2为本发明的安全访问方法的另一个实施例的示意性流程图。
如图2所示,本发明实施例的安全访问方法包括:
S201、浏览器请求登录服务端时,从服务端接收响应于登录请求的第一会话地址信息,并通过跨域访问方式将第一会话地址信息发送给本地服务模块;
S202、本地服务模块基于第一会话地址信息与服务端的第一会话建立连接,通过第一会话从服务端接收第一验证数据;
S203、本地服务模块将第一验证数据发送给与终端设备连接的信息安全设备,并从信息安全设备接收响应于第一验证数据而生成的第二验证数据;
S204、本地服务模块将第二验证数据通过第一会话返回给服务端,以由服务端对第二验证数据进行验证;
S205、本地服务模块将信息安全设备的标识信息通过第一会话发送给服务端。
本发明实施例中S201-S204与图1所示实施例中的S101-S104类似,在此省略其具体说明,下面对S205进行详细说明。
首先需要说明的是,在本发明实施例中,S205的执行顺序并不限于在S204之后,只要在本地服务模块通过第一会话与服务端建立通信连接之后,就可以执行S205,例如可以与S204同时执行,具体可根据服务端与信息安全设备之间协商的验证方式来确定其执行时机。
例如,当验证方式为上述的验证数字签名的方式时,本地服务模块可以在S202中通过第一会话与服务端建立通信连接之后的任一时点将信息安全设备的标识信息发送给服务端,例如可以与S204同时执行,将第二验证数据与信息安全设备的标识信息一同通过第一会话发送给服务端,或者可以在S203之前执行,在从服务端接收到第一验证数据时将第一验证数据发送给信息安全设备的同时将信息安全设备的标识信息通过第一会话发送给服务端。
另外,当验证方式为上述的验证哈希值的方式时,本地服务模块需要在S202中通过第一会话与服务端建立通信连接之后先将信息安全设备的标识信息通过第一会话发送给服务端,以便服务端基于根据该标识信息查找到的公钥来生成第一验证数据。
在本发明实施例中,本地服务模块通过第一会话将信息安全设备的标识信息通过第一会话发送给服务端,提高了服务端对信息安全设备的验证效率。
图3为本发明的安全访问方法的再一个实施例的示意性流程图。
如图3所示,本发明实施例的安全访问方法包括:
S301、浏览器请求登录服务端时,从服务端接收响应于登录请求的第一会话地址信息,并通过跨域访问方式将第一会话地址信息发送给本地服务模块;
S302、本地服务模块基于第一会话地址信息与服务端的第一会话建立连接,通过第一会话从服务端接收第一验证数据;
S303、本地服务模块将第一验证数据发送给与终端设备连接的信息安全设备,并从信息安全设备接收响应于第一验证数据而生成的第二验证数据;
S304、本地服务模块将第二验证数据通过第一会话返回给服务端,以由服务端对第二验证数据进行验证;
S305、浏览器通过跨域访问方式向本地服务模块发送数据加解密指令和待加解密的数据;
S306、本地服务模块将所述数据加解密指令和待加解密的数据发送给所述信息安全设备,接收从所述信息安全设备返回的加解密数据,并通过跨域访问方式将所述加解密数据返回给浏览器。
本发明实施例中S301-S304与图1所示实施例中的S101-S104类似,在此省略具体说明,下面对S305-S306进行说明。
在本发明实施例中,服务端通过了对信息安全设备的身份验证后,可使用信息安全设备的公钥对要发给浏览器的通信数据进行加密后发送给浏览器,浏览器从服务端接收到加密的数据后,将数据解密指令和该待解密的数据通过跨域访问方式发送给本地服务模块。本地服务模块接收到数据解密指令和该待解密的数据后,执行调取本地信息安全设备的操作以与信息安全设备之间进行数据交互,并将数据解密指令和该待解密的数据发送给信息安全设备。信息安全设备接收到数据解密指令和该待解密的数据后,执行该解密指令,用信息安全设备的私钥对该待解密的数据进行解密后得到解密数据,并将解密数据返回给本地服务模块。本地服务模块将从信息安全设备返回的解密数据通过跨域访问的方式返回给浏览器,从而浏览器可将服务端发来的加密数据以明文的方式显示在终端设备上以供用户查看。
在本发明实施例中,浏览器要向服务端发送加密的数据之前,将待加密的数据和加密指令通过跨域访问的方式发送给本地服务模块。本地服务模块接收到数据加密指令和该待加密的数据后,执行调取本地信息安全设备的操作以与信息安全设备之间进行数据交互,并将数据加密指令和该待加密的数据发送给信息安全设备。信息安全设备接收到数据加密指令和该待加密的数据后,执行该加密指令,用服务端的公钥对该待加密的数据进行加密后得到加密数据,并将加密数据返回给本地服务模块。本地服务模块将从信息安全设备返回的加密数据通过跨域访问的方式返回给浏览器,从而浏览器可将待发送的数据以加密的方式发送给服务端,服务端在接收到加密数据后可使用服务端私钥对加密数据解密。
通过本发明实施例的安全访问方案,即使某些系统禁止浏览器使用控件,也可以实现通过浏览器对本地信息安全设备的安全访问,使得能够使用信息安全设备对终端设备与服务端之间的通信数据进行加解密处理,提高了信息安全设备的使用便利性和信息安全性。
图4为本发明的安全访问终端设备和系统的一个实施例的示意性框图。
如图4所示,本发明实施例的安全访问终端设备包括浏览器23、跨域访问模块22和本地服务模块21,终端设备20连接到信息安全设备10,并且终端设备20与服务端30之间可通过网络进行通信。
浏览器23配置为在请求登录服务端30时,从服务端30接收响应于登录请求的第一会话地址信息。跨域访问模块22配置为将浏览器23接收到的第一会话地址信息转发给本地服务模块21。
本地服务模块21配置为基于第一会话地址信息与服务端30建立第一会话,通过第一会话从服务端30接收第一验证数据,将第一验证数据发送给与终端设备20连接的信息安全设备10,从信息安全设备10接收响应于第一验证数据而生成的第二验证数据,并将第二验证数据返回给服务端30,以由服务端30对第二验证数据进行验证。
本发明实施例中上述各部件的协作过程可参见图1所示实施例,在此省略具体说明。
本发明实施例中的跨域访问模块22例如可以通过jsonp代码来实现。Jsonp技术利用在页面中创建<script>节点的方法向不同域提交HTTP请求,可以跨域提交Ajax请求,并且在请求完毕后可以通过调用callback的方式回传结果。
通过本发明实施例的安全访问方案,即使某些系统禁止浏览器使用控件,也可以通过在本地服务模块和服务端之间建立通信连接,使得服务端能够通过本地服务模块对信息安全设备进行安全身份验证,提高了信息安全设备的使用便利性和信息安全性。
在本发明一个实施例中,服务端30发送任意字符串作为第一验证数据,信息安全设备10用自身的私钥作为第一私钥对第一验证数据进行数字签名生成第二验证数据,服务端30用该信息安全设备10的公钥对第二验证数据进行验签。
在本发明另一个实施例中,服务端30用该信息安全设备10的公钥作为第一公钥对作为第一字符串的任一字符串进行加密生成第一验证数据,信息安全设备10用自身的私钥作为第一私钥对第一验证数据进行解密后,对解密得到的字符串计算哈希值,将计算得到的哈希值作为第二验证数据。服务端30对生成第一验证数据时使用的字符串也计算哈希值,并用该哈希值来验证第二验证数据是否正确。
在本发明实施例中,服务端30可以预先存储信息安全设备的标识信息和登录信息之间的对应存储表,基于浏览器23发送的登录请求确定对应的信息安全设备10的公钥。
此外,服务端30也可以从终端设备20获得信息安全设备10的标识信息,并根据该标识信息查找存储表确定该信息安全设备10的公钥,在这种情况下,本地服务模块21还配置为将信息安全设备10的标识信息通过第一会话发送给服务端30,具体工作过程可参见图2所示实施例。
在本发明一个实施例中,浏览器23还配置为生成数据加解密指令,并发送数据加解密指令和待加解密的数据。本地服务模块21还配置为将数据加解密指令和待加解密的数据发送给信息安全设备10,并接收从信息安全设备10返回的加解密数据。跨域访问模块22还配置为将数据加解密指令和待加解密的数据转发给本地服务模块21,并将加解密数据转发给浏览器23。本发明实施例中上述各部件的协作过程可参见图3所示实施例,在此省略具体说明。
本发明实施例同时提供了一种安全访问系统,包括上述实施例中的安全访问终端设备20和服务端30。服务端30配置为基于浏览器23发来的登录请求建立空的第一会话,将第一会话地址信息发送给浏览器23,并在本地服务模块21基于第一会话地址信息与服务端30的第一会话建立连接时,通过第一会话将第一验证数据发送给本地服务模块21。本地服务模块21从信息安全设备10获得第二验证数据后通过第一会话发送给服务端30,服务端从本地服务模块21接收到第二验证数据时,根据预先协商的验证方式对第二验证数据进行验证。
在本发明的安全访问系统的一个实施例中,服务端30还配置为在对第二验证数据验证通过后,将第一会话进行初始化。服务端30对第一会话进行初始化例如可以是服务端30将第一会话与信息安全设备的标识信息绑定,以便于进行后续的通信交互。
在本发明的安全访问系统的一个实施例中,服务端30还配置为通过第一会话从本地服务模块21接收信息安全设备10的标识信息,并基于该标识信息查找获得预存的信息安全设备的第一公钥,用来生成验证数据或者对验证数据进行验证。服务端30也可以配置为根据浏览器23发来的登录请求中的登录信息,从预存的信息安全设备的标识信息和登录信息之间的对应存储表中查找到信息安全设备10的公钥作为第一公钥。
在本发明的安全访问系统的一个实施例中,服务端30可以发送任意字符串作为第一验证数据,信息安全设备10用自身的私钥作为第一私钥对第一验证数据进行数字签名生成第二验证数据,服务端30用该信息安全设备10的公钥对第二验证数据进行验签。通过本发明实施例的安全访问系统,服务端30直接对第二验证数据进行验签,验证效率较高。
在本发明的安全访问系统的另一个实施例中,服务端30用信息安全设备10的公钥作为第一公钥对作为第一字符串的任一字符串进行加密生成第一验证数据,信息安全设备10用自身的私钥作为第一私钥对第一验证数据进行解密后,对解密得到的字符串计算哈希值,将计算得到的哈希值作为第二验证数据。服务端30对生成第一验证数据时使用的字符串也计算哈希值,并用该哈希值来验证第二验证数据是否正确。通过本发明实施例的安全访问系统,服务端30间接对第二验证数据进行验证,验证安全性较高。
以上对本发明的多个实施例进行了说明,但本发明不限于上述特定的实施例,本领域技术人员在本发明构思和精神的基础上,能够对这些实施例进行多种变型和修改,这些变型和修改都应落入本发明所要求保护的范围之内。
Claims (15)
1.一种安全访问方法,应用于终端设备,所述方法包括:
浏览器请求登录服务端时,从服务端接收响应于登录请求的第一会话地址信息,并通过跨域访问方式将第一会话地址信息发送给本地服务模块;
本地服务模块基于第一会话地址信息直接与服务端的第一会话建立连接,通过第一会话从服务端接收第一验证数据;
本地服务模块将第一验证数据发送给与终端设备连接的信息安全设备,并从信息安全设备接收响应于第一验证数据而生成的第二验证数据;
本地服务模块将第二验证数据通过第一会话返回给服务端,以由服务端对第二验证数据进行验证。
2.如权利要求1所述的方法,还包括:
本地服务模块将信息安全设备的标识信息通过第一会话发送给服务端。
3.如权利要求1所述的方法,其中,第二验证数据由所述信息安全设备通过用第一私钥对第一验证数据进行数字签名而生成。
4.如权利要求1所述的方法,其中,第一验证数据由服务端用第一公钥对第一字符串加密生成,第二验证数据由所述信息安全设备通过用第一私钥对第一验证数据解密后对解密数据计算哈希值而生成。
5.如权利要求1所述的方法,还包括:
浏览器通过跨域访问方式向本地服务模块发送数据加解密指令和待加解密的数据;
本地服务模块将所述数据加解密指令和待加解密的数据发送给所述信息安全设备,接收从所述信息安全设备返回的加解密数据,并通过跨域访问方式将所述加解密数据返回给浏览器。
6.一种安全访问终端设备,包括:
浏览器,其配置为在请求登录服务端时,从服务端接收响应于登录请求的第一会话地址信息;
本地服务模块,其配置为基于第一会话地址信息直接与服务端建立第一会话,通过第一会话从服务端接收第一验证数据,将第一验证数据发送给与终端设备连接的信息安全设备,从信息安全设备接收响应于第一验证数据而生成的第二验证数据,并将第二验证数据返回给服务端,以由服务端对第二验证数据进行验证;
跨域访问模块,其配置为将第一会话地址信息转发给本地服务模块。
7.如权利要求6所述的终端设备,其中,
本地服务模块还配置为将信息安全设备的标识信息通过第一会话发送给服务端。
8.如权利要求6所述的终端设备,其中,第二验证数据由所述信息安全设备通过用第一私钥对第一验证数据进行数字签名而生成。
9.如权利要求6所述的终端设备,其中,第一验证数据由服务端用第一公钥对第一字符串加密生成,第二验证数据由所述信息安全设备通过用第一私钥对第一验证数据解密后对解密数据计算哈希值而生成。
10.如权利要求6所述的终端设备,其中,
浏览器还配置为生成数据加解密指令,并发送数据加解密指令和待加解密的数据;
本地服务模块还配置为将所述数据加解密指令和待加解密的数据发送给所述信息安全设备,接收从所述信息安全设备返回的加解密数据;
跨域访问模块还配置为将所述数据加解密指令和待加解密的数据转发给本地服务模块,并将所述加解密数据转发给浏览器。
11.一种安全访问系统,包括:
如权利要求6-8中任一项所述的安全访问终端设备;
服务端,其配置为建立空的第一会话,将第一会话地址信息发送给所述浏览器,当所述本地服务模块基于第一会话地址信息直接与服务端的第一会话建立连接时通过第一会话将第一验证数据发送给所述本地服务模块,通过第一会话从所述本地服务模块接收所述第二验证数据,并对第二验证数据进行验证。
12.如权利要求11所述的系统,其中,
服务端还配置为在对第二验证数据验证通过后,将第一会话进行初始化。
13.如权利要求11所述的系统,其中,
服务端还配置为通过第一会话从所述本地服务模块接收所述信息安全设备的标识信息,并基于所述标识信息获得预存的所述信息安全设备的第一公钥。
14.如权利要求13所述的系统,其中,
第二验证数据由所述信息安全设备通过用第一私钥对第一验证数据进行数字签名而生成,服务端配置为用第一公钥对第二验证数据进行验签。
15.如权利要求13所述的系统,其中,
第二验证数据由所述信息安全设备通过用第一私钥对第一验证数据解密后对解密数据计算哈希值而生成,服务端配置为用第一公钥对第一字符串加密生成所述第一验证数据,并用所述第一字符串的哈希值对第二验证数据进行验证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810073011.0A CN108289100B (zh) | 2018-01-25 | 2018-01-25 | 一种安全访问方法、终端设备及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810073011.0A CN108289100B (zh) | 2018-01-25 | 2018-01-25 | 一种安全访问方法、终端设备及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108289100A CN108289100A (zh) | 2018-07-17 |
| CN108289100B true CN108289100B (zh) | 2019-11-12 |
Family
ID=62835686
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810073011.0A Active CN108289100B (zh) | 2018-01-25 | 2018-01-25 | 一种安全访问方法、终端设备及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108289100B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109992976B (zh) * | 2019-02-27 | 2024-07-02 | 平安科技(深圳)有限公司 | 访问凭证验证方法、装置、计算机设备及存储介质 |
| CN110224485B (zh) * | 2019-05-17 | 2021-09-21 | 中国电力科学研究院有限公司 | 一种智能配变终端软件管理系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103873452A (zh) * | 2012-12-18 | 2014-06-18 | 北京掌汇天下科技有限公司 | 一种利用pc浏览器连接安卓设备的方法及系统 |
| CN104333548A (zh) * | 2014-10-27 | 2015-02-04 | 百度在线网络技术(北京)有限公司 | 在https网页中访问本地服务的方法及系统 |
| CN104662871A (zh) * | 2012-09-18 | 2015-05-27 | 汤姆逊许可公司 | 安全地访问网络服务的方法和设备 |
| CN105447153A (zh) * | 2015-11-28 | 2016-03-30 | 讯美电子科技有限公司 | 本地硬件设备与Web应用实时通讯系统 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101355527A (zh) * | 2008-08-15 | 2009-01-28 | 深圳市中兴移动通信有限公司 | 一种跨域名单点登录的实现方法 |
| CN102185914A (zh) * | 2011-04-26 | 2011-09-14 | 苏州阔地网络科技有限公司 | 一种基于网页实现视频设备关闭方法及系统 |
| US20150143467A1 (en) * | 2013-11-19 | 2015-05-21 | Intel-Ge Care Innovations Llc | System and method for facilitating communication between a web application and a local peripheral device through a native service |
| US9794329B2 (en) * | 2014-11-28 | 2017-10-17 | Sap Se | Cloud application with secure local access |
| CN105872102B (zh) * | 2016-06-06 | 2018-12-18 | 武汉理工大学 | 一种文件上传下载方法 |
-
2018
- 2018-01-25 CN CN201810073011.0A patent/CN108289100B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104662871A (zh) * | 2012-09-18 | 2015-05-27 | 汤姆逊许可公司 | 安全地访问网络服务的方法和设备 |
| CN103873452A (zh) * | 2012-12-18 | 2014-06-18 | 北京掌汇天下科技有限公司 | 一种利用pc浏览器连接安卓设备的方法及系统 |
| CN104333548A (zh) * | 2014-10-27 | 2015-02-04 | 百度在线网络技术(北京)有限公司 | 在https网页中访问本地服务的方法及系统 |
| CN105447153A (zh) * | 2015-11-28 | 2016-03-30 | 讯美电子科技有限公司 | 本地硬件设备与Web应用实时通讯系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108289100A (zh) | 2018-07-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10880732B2 (en) | Authentication of phone caller identity | |
| CN105187431B (zh) | 第三方应用的登录方法、服务器、客户端及通信系统 | |
| CN104468115B (zh) | 信息系统访问认证方法及装置 | |
| CN106304074B (zh) | 面向移动用户的身份验证方法和系统 | |
| CN101873331B (zh) | 一种安全认证方法和系统 | |
| CN106470190A (zh) | 一种Web实时通信平台鉴权接入方法及装置 | |
| CN101651666A (zh) | 一种基于虚拟专用网的身份认证及单点登录的方法和装置 | |
| JP2005509938A (ja) | オペレーティング・システムの機能を用いて相互呼掛け応答認証プロトコルを実施する方法、機器およびコンピュータ・プログラム | |
| CN106576043A (zh) | 病毒式可分配可信消息传送 | |
| CN101815091A (zh) | 密码提供设备、密码认证系统和密码认证方法 | |
| CN104125230B (zh) | 一种短信认证服务系统以及认证方法 | |
| CN101304318A (zh) | 安全的网络认证系统和方法 | |
| CN105577612A (zh) | 身份认证方法、第三方服务器、商家服务器及用户终端 | |
| CN102209046A (zh) | 网络资源整合系统及方法 | |
| CN104683357B (zh) | 一种基于软件令牌的动态口令认证方法及系统 | |
| CN102333085A (zh) | 安全的网络认证系统和方法 | |
| JP2009118110A (ja) | 認証システムのメタデータプロビジョニング方法、システム、そのプログラムおよび記録媒体 | |
| CN103546292A (zh) | 多识别码的第三方认证系统或方法 | |
| CN108289100B (zh) | 一种安全访问方法、终端设备及系统 | |
| CN103368831A (zh) | 一种基于熟客识别的匿名即时通讯系统 | |
| CN107911344A (zh) | 一种云平台的安全对接方法 | |
| CN110610418B (zh) | 基于区块链的交易状态查询方法、系统、设备及存储介质 | |
| CN109740319A (zh) | 数字身份验证方法及服务器 | |
| CN107615704A (zh) | 一种网络防钓鱼的装置、方法和系统 | |
| CN105141624A (zh) | 登录方法、账号管理服务器及客户端系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100193 5th floor 510, No. 5 Building, East Yard, No. 10 Wangdong Road, Northwest Haidian District, Beijing Patentee after: Beijing Shendun Technology Co.,Ltd. Address before: 100193 5th floor 510, No. 5 Building, East Yard, No. 10 Wangdong Road, Northwest Haidian District, Beijing Patentee before: BEIJING SENSESHIELD TECHNOLOGY Co.,Ltd. |