CN109274635B - 安全管理方法、客户端设备、服务器、通信系统及存储介质 - Google Patents
安全管理方法、客户端设备、服务器、通信系统及存储介质 Download PDFInfo
- Publication number
- CN109274635B CN109274635B CN201710587152.XA CN201710587152A CN109274635B CN 109274635 B CN109274635 B CN 109274635B CN 201710587152 A CN201710587152 A CN 201710587152A CN 109274635 B CN109274635 B CN 109274635B
- Authority
- CN
- China
- Prior art keywords
- login
- client
- server
- user
- authorization
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/04—Real-time or near real-time messaging, e.g. instant messaging [IM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Abstract
本发明公开了一种安全管理方法,包括:根据客户端的宿主设备的授权状态,获得针对所述宿主设备的登录授权;根据所获得的登录授权进行登录请求,针对登录用户在所述客户端中登录通信网络;获得所述登录用户在通信网络中具有的管理权限;获得符合所述管理权限的指令,根据所述指令更新所述通信网络中目标用户的通信标识。本发明还同时公开了一种客户端设备、服务器、通信系统及存储介质。
Description
技术领域
本发明涉及通信技术,尤其涉及一种安全管理方法、客户端设备、服务器、通信系统及存储介质。
背景技术
即时通信(IM,Instant Messaging)伴随互联网特别是移动互联网得到使用,即时通信不仅以个人IM形式向移动互联网的用户提供服务;同样,也适用于在内部(如局域网内、企事业单位的内部)的内部沟通,如面向企业终端使用者的网络沟通工具服务,如腾讯企点和腾讯通,主要聚焦于提供公司内部交流、办公服务和对外营销等即时通信服务功能。其中,IM的后台服务可以设置放在云端的服务器运行,由专人维护管理,为企业减轻了很大的负担。
相对互联网中用于实现社交等常规用途的个人IM客户端来说,由于企业IM的使用过程中涉及企业机密,企业IM对安全性的要求较个人IM更高。因此,个人IM的安全管理无法满足企业IM的安全需求。
发明内容
针对上述的技术问题,本发明实施例期望提供一种安全管理方法、客户端设备、服务器、通信系统及存储介质,能够有效地保证客户端进行网络通信过程中的信息安全。
本发明实施例的技术方案是这样实现的:
本发明实施例提供了一种安全管理方法,包括:
根据客户端的宿主设备的授权状态,获得针对所述宿主设备的登录授权;
根据所获得的登录授权进行登录请求,针对登录用户在所述客户端中登录通信网络;
获得所述登录用户在通信网络中具有的管理权限;
获得符合所述管理权限的指令,根据所述指令更新所述通信网络中目标用户的通信标识。
上述方案中,所述根据客户端的宿主设备的授权状态,获得针对所述宿主设备的登录授权,包括:
向所述通信网络的服务器提交所述宿主设备的标识,供所述服务器根据所述标识查询所述宿主设备是否为所述通信网络的授权设备;
当所述宿主设备为所述通信网络的授权设备时,获得所述服务器针对所述宿主设备下发的登录授权。
上述方案中,还包括:当所述服务器未查询到所述宿主设备为所述通信网络中的授权设备时,向所述服务器发送根据所述登录用户的通信标识接收的验证码;
当所述服务器验证所述验证码成功时,获得所述服务器针对所述宿主设备下发的登录授权。
上述方案中,所述根据所述指令更新所述通信网络中目标用户的用于进行安全验证的通信标识,包括:
根据指令指示的解除关联操作,在所述通信网络的服务器中查找目标用户的帐号,并解除所述目标用户的帐号与当前所关联的通信标识之间的关联关系。
上述方案中,还包括:根据所述指令指示的关联操作,在所述服务器中建立所述目标用户更新的通信标识与目标用户的帐号之间的关联关系。
上述方案中,还包括:根据所述客户端的宿主设备的授权状态,向所述客户端分配针对所述宿主设备的登录授权之前,根据所述登录用户的帐号在所述通信网络的服务器中查询,确定所述登录用户的帐号在登录所述通信网络时已经设置授权设备验证。
上述方案中,所述根据所获得的登录授权进行登录请求,针对登录用户在所述客户端中登录通信网络,包括:
向所述通信网络的服务器发送登录请求,所述登录请求携带所述登录授权和所述登录用户的帐号;
当验证所述登录授权、以及所述登录用户的帐号成功时,获得所述服务器针对所述登录用户的帐号登录所述通信网络的确认。
上述方案中,所述登录授权包括用于供所述服务器进行验证的以下至少字段之一:
宿主设备的标识,用于供所述服务器验证所述宿主设备是否为授权设备;
登录授权时间,用于供所述服务器验证当前请求登录是否处于登录的有效期。
上述方案中,还包括:根据所述客户端的宿主设备的授权状态,获得针对所述宿主设备的登录授权之前,且在所述通信网络的服务器中针对所述登录用户未设置授权设备验证时,
根据所述登录用户的通信标识接收验证码,并发送至所述服务器进行验证,当验证成功时获得所述服务器针对所述宿主终端设置的授权设备验证。
上述方案中,所述获得所述登录用户在所述通信网络中具有的管理权限,包括:
根据所述客户端的登录用户的帐号查询所述通信网络的服务器,获得所述登录用户在所述通信网络中能够管理的用户、以及所能够管理的信息类型。
上述方案中,所述获得符合所述管理权限的指令,包括:
将所述登录用户提交的指令携带的待管理的所述目标用户的标识、以及针对所述目标用户待管理的信息类型,与所述登录用户的管理权限进行比对,比对一致时,确定获得符合所述管理权限的指令。
上述方案中,还包括:检测所述客户端的运行环境,确定所述客户端的运行环境符合预定安全条件。
上述方案中,所述检测所述客户端的运行环境,确定所述客户端的运行环境符合预定安全条件,包括:
执行以下操作至少之一:
根据所述登录用户的通信标识获取验证码,向所述通信网络的服务器发送所述验证码并验证成功;
在所述通信网络的服务器中查询到所述登录用户的登录网络地址,并查询到为已经使用的网络地址;
在所述通信网络的服务器中查询所述登录用户的登录位置,并查询到与已经使用的登录位置距离小于距离阈值;
在所述通信网络的服务器中查询所述登录用户的登录时间,并查询到处于历史登录时段。
本发明实施例还提供了一种可读存储介质,存储有可执行程序,可执行程序被运行时用于执行本发明实施例上述的安全管理方法。
本发明实施例还提供了一种安全管理方法,包括:
根据客户端的宿主设备的授权状态,向所述客户端分配针对所述宿主设备的登录授权;
根据所述客户端基于所获得的登录授权进行的登录请求,将所述登录用户在所述客户端中登录通信网络;
向所述客户端分配所述登录用户在所述通信网络中具有的管理权限;
获得所述客户端发送的符合所述管理权限的指令,根据所述指令更新所述通信网络中目标用户的通信标识。
上述方案中,所述根据客户端的宿主设备的授权状态,向所述客户端分配针对所述宿主设备的登录授权,包括:
根据所述客户端提交的所述宿主设备的标识进行查询;
当查询到所述宿主设备为在所述通信网络中的授权设备时,向所述客户端下发针对所述宿主设备的登录授权。
上述方案中,还包括:当未查询到所述宿主设备为在所述通信网络中的授权设备时,向所述登录用户的通信标识发送验证码;
当验证所述客户端发送的验证码成功时,向所述客户端下发针对所述宿主设备的登录授权。
上述方案中,所述根据所述指令更新所述通信网络中目标用户的通信标识,包括:
根据指令指示的解除关联操作查找目标用户的帐号,并解除所述目标用户的帐号与当前所关联的通信标识之间的关联关系。
上述方案中,还包括:根据所述指令指示的关联操作,建立所述目标用户更新的通信标识与目标用户的帐号之间的关联关系。
上述方案中,还包括:响应所述客户端根据所述登录用户的帐号的查询,确定所述登录用户的帐号已经设置授权设备验证。
上述方案中,所述根据所述客户端基于所获得的登录授权进行的登录请求,将所述登录用户在所述客户端中登录通信网络,包括:
根据所述登录请求携带的以下字段至少之一进行验证:所述登录授权;所述登录用户的帐号;
当验证成功时,向所述客户端发送针对所述登录用户的帐号登录所述通信网络的确认。
上述方案中,所述根据所述登录请求携带的以下字段至少之一进行验证,包括:
当所述登录授权携带宿主设备的标识时,验证所述宿主设备是否为授权设备;
当所述登录授权携带登录授权时间时,验证当前请求登录是否处于登录的有效期;
当所述登录授权携带所述登录用户的帐号时,验证所述登录用户的帐号是否与预先注册的登录用户的帐号一致。
上述方案中,还包括:根据所述客户端的宿主设备的授权状态,向所述客户端分配针对所述宿主设备的登录授权之前,且针对所述登录用户未设置授权设备验证时,
向所述登录用户的通信标识发送验证码,并根据所述客户端所接收的验证码进行验证成功时,针对所述宿主终端设置授权设备验证。
上述方案中,所述向所述客户端分配所述登录用户在所述通信网络中具有的管理权限,包括:
根据所述客户端的登录用户的帐号进行查询,将查询得到所述登录用户在所述通信网络中能够管理的用户、以及所能够管理的信息类型,发送至所述客户端。
上述方案中,还包括:响应所述客户端针对运行环境的检测,确定所述客户端的运行环境符合预定安全条件。
上述方案中,所述响应所述客户端针对运行环境的检测,确定所述客户端的运行环境符合预定安全条件,包括:
执行以下操作至少之一:
向所述登录用户的通信标识发送验证码,并根据所述客户端所接收的验证码进行验证成功;
查询到所述宿主设备为所述通信网络中的授权设备;
查询到所述登录用户的登录网络地址为已经使用的网络地址;
查询到所述登录用户的登录位置与已经使用的登录位置距离小于距离阈值;
查询到所述登录用户的登录时间处于历史登录时段。
本发明实施例还提供了一种可读存储介质,存储有可执行程序,可执行程序被运行时用于执行本发明实施例上述的信息安全方法。
本发明实施例还提供了一种客户端设备,作为客户端的宿主设备,包括:
存储器,用于存储可执行程序;
处理器,用于运行所述存储器中存储的可执行程序时,执行:
根据客户端的宿主设备的授权状态,获得针对所述宿主设备的登录授权;
根据所获得的登录授权进行登录请求,针对登录用户在所述客户端中登录通信网络;
获得所述登录用户在通信网络中具有的管理权限;
获得符合所述管理权限的指令,根据所述指令更新所述通信网络中目标用户的通信标识。
本发明实施例还提供了一种服务器,包括:
存储器,用于存储可执行程序;
处理器,用于运行所述存储器中存储的可执行程序时,执行:
根据客户端的宿主设备的授权状态,通过通信接口向所述客户端分配针对所述宿主设备的登录授权;
根据所述客户端基于所获得的登录授权进行的登录请求,将所述登录用户在所述客户端中登录通信网络;
通过通信接口向所述客户端分配所述登录用户在所述通信网络中具有的管理权限;
获得所述客户端发送的符合所述管理权限的指令,根据所述指令更新所述通信网络中目标用户的通信标识。
本发明实施例还提供了一种通信系统,包括:客户端设备和服务器;其中,
所述客户端设备,用于执行上述安全管理方法的步骤;
所述服务器,用于执行上述安全管理方法的步骤。
应用本发明上述实施例具有以下有益效果:
1)根据客户端的宿主设备的授权状态实现登录授权,实现了将用户登录的设备与用户的登录授权进行了绑定的技术效果,有效避免用户使用其它设备登录而导致的信息泄露的风险;
2)根据用户的管理权限获得相符合的指令以更新目标用户的通信标识,一方面使得登录用户对目标用户的通信标识进行管理,实现了通信网络的用户的通信标识进行灵活修改,另一方面,通过管理权限的控制避免了目标用户的通信标识被恶意篡改的情况,有效保证安全性。
附图说明
图1为本发明实施例提供的一种通信系统的拓扑示意图;
图2为本发明实施例提供的一种是否与登录帐号建立关联关系的宿主设备的登录情况示意图;
图3为本发明实施例提供的一种安全管理方法的实现流程示意图;
图4为本发明实施例提供的一种设备锁的示意图;
图5为本发明实施例提供的一种开启设备锁的实现流程示意图一;
图6为本发明实施例提供的一种开启设备锁的实现流程示意图二;
图7为本发明实施例提供的一种开启设备锁后进行登录验证的页面示意图;
图8为本发明实施例提供的一种关闭设备锁的实现流程示意图;
图9为本发明实施例提供的一种通过客户端登录企业IM服务器的实现流程示意图一;
图10为本发明实施例提供的一种通过客户端登录企业IM服务器的实现流程示意图二;
图11为本发明实施例提供的一种验证管理权限的示意图;
图12为本发明实施例提供的一种宿主设备的组成结构示意图
图13为本发明实施例提供的一种服务器的组成结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,所描述的实施例是本发明一部分实施例,而不是全部的实施例。根据本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
对本发明实施例进行进一步详细说明之前,对本发明实施例中涉及的名词和术语进行说明,本发明实施例中涉及的名词和术语适用于如下的解释。
1)客户端,是宿主设备中用于经由服务器与其他客户端通信的程序,可以采用支持在终端中安装的移动应用(App,Application)的形式,也可以采用用于在支持超文本传输协议(HTML,Hyper Text Markup Language)的客户端中运行的网络(Web)、App的形式,例如腾讯企点、腾讯通等企业IM应用。
2)宿主设备,为运行客户端的设备,也称为客户端设备,包括:移动终端、车载终端和电脑终端,移动终端可以包括:宿主设备、平板电脑、掌上电脑或移动互联网设备(MID,Mobile Internet Devices)。
3)通信网络,基于网络(如广域网或局域网)部署的服务器,并在服务器实现支持多个用户通过客户端(如QQ、企业IM)相互通信的网络,如基于局域网或互联网、通过客户端进行相互通信的网络。
4)验证码,通信网络的服务器向登录用户在通信系统中预先关联的通信标识发送的字符串,该字符串可以是数字,或字母,或数字与字母的组合,用于验证客户端的当前的宿主设备是否为合法。
5)通信标识,通信网络的用户中用于接收信息的各种通信应用的帐号,例如手机号码、电子邮箱帐号和社交网络帐号等。
6)授权设备验证功能,即设备锁功能种对设备使用安全限制、个人信息加锁保密或资料安全的功能,当设备锁功能开启后,即使客户端的登录帐号和密码不小心泄露,设备锁也能提供周全保护,即用户使用第三方设备尝试登录该客户端时,需要使用预先关联的通信标识进行验证。
7)授权状态,表示客户端的宿主设备是否为通信网络中的授权设备,授权设备是经过服务器认证、并允许客户端进行登录通信网络的设备。
8)管理权限,登录用户针对通信网络的用户(包括登录自身、以及通信网络中其他用户)所具有的权限,包括在通信网络中能够管理的用户、以及针对用户所能够管理的信息的类型。
图1为本发明实施例提供的一种通信系统的拓扑示意图,系统包括:服务器101和客户端设备102;其中,
客户端设备102,也即本发明实施例中的宿主设备,包括:移动终端1021和电脑终端1022;其中,移动终端1021可以是宿主设备、平板电脑、掌上电脑或MID等,电脑终端1022可以是笔记本电脑和台式电脑,上述客户端设备102仅是举例,而非穷举,包含但不限于上述客户端设备。
这里,简单介绍客户端设备102与服务器101进行通信的原理,企业IM程序采用客户/服务的通信模式,把企业IM应用划分为功能不同的两个部分,一个为服务器程序,也称为服务器,安装于服务器101,用来响应和提供固定的服务;另一个为客户端程序,也称为客户端,安装于客户端设备102,用来向服务器提出请求和要求某种服务。在数量关系上,通常有一对一的(即一个服务器程序和一个客户端程序之间通信),也有一对多的(即一个服务器程序和多个客户端程序之间通信),也有多对多的(即多个服务器程序和多个客户端程序之间通信)。当一个用户要与另一个用户通信时,第一个用户先把通信数据发送给服务器,然后服务器再把通信数据转发给第二个用户,服务器类似一个中转站。
在用客户/服务模式进行通信时,作为客户端在请求与服务器101连接时需要知道服务器的互联网协议(IP,Internet Protocol)地址,服务器101具有固定的公网地址。在客户端和客户端之间通信时,每个用户的IP地址都是互联网服务提供商(ISP,InternetService Provider)分配的临时地址,无法固定,那么某个用户要与另一个用户连接时,某用户连接到互联网后,获得了一个临时的公网地址。当该用户登录客户端时,服务器会获得该用户的IP地址,然后告知其他要与该用户聊天的用户,其他用户就可以连接该用户与之直接通信了,以及查看对方的联系人信息。
企业IM的通信协议一般是基于二进制数据的自己开发的应用层网络协议,其中使用一些特定的加密算法,基本通信协议支持用户数据报协议(UDP,User DatagramProtocol)和传输控制协议(TCP,Transmission Control Protocol)两种基本协议方式,一般地,为了保证可靠的数据传输,企业IM多采用TCP协议。其中,TCP是一种面向连接的、可靠的、基于字节流的传输层通信协议,在因特网协议族中,TCP层是位于IP层之上,应用层之下的中间层。不同主机的应用层之间经常需要可靠的、像管道一样的连接。
应用层向TCP层发送用于网间传输的、用8位字节表示的数据流,然后TCP把数据流分区成适当长度的报文段,然后把结果包传给IP层,由它来通过网络将包传送给接收端实体的TCP层。TCP为了保证不发生丢包,为每个包分配一个序号,同时序号也保证了传送到接收端的包按序接收;然后接收端实体对已成功收到的包发回一个相应的确认(ACK);如果发送端实体在合理的往返时延(RTT)内未收到确认,那么对应的数据包就被假设为已丢失将会被进行重传;TCP用一个校验和函数来检验数据是否有错误;在发送和接收时都要计算校验和。此外,客户端与服务器建立通信连接之前,需要进行“三次握手”,即移动终端1021或电脑终端1022向服务器101发出SYN连接请求后,等待对方回答SYN+ACK,并最终对对方的SYN执行ACK确认,从而建立客户端与服务器的通信连接。
因此,移动终端1021和电脑终端1022安装企业IM客户端,用户根据安装的企业IM客户端,输入相应的帐号和密码登录服务器101,实现与服务器101的数据交互,例如通过手机或电脑上的IM软件登陆服务器,然后与联系人列表中的联系人进行通信,或查看存储于服务器上的联系人信息。
值得注意的是,如果IM软件的设备锁已经开启,每次使用移动终端1021或电脑终端1022进行登录时,若移动终端1021或电脑终端1022为授权终端,则可以登录,如图2所示;若移动终端1021或电脑终端1022为非授权终端,则不可以登录,如图2所示,此时,需要与IM帐号绑定的手机号码进行短信验证,即向该手机号码发送一个验证码,验证通过后,方可进行登录。
为保障IM帐号安全,用户一般都会设置密码,但对于企业IM用户而言,通过设置密码的方式,无法满足严格的安全需求。因此,在用户登录的时候,对用户的身份进行相应的验证,例如,使用设备锁的安全管理方式绑定客户端设备,通过绑定客户端设备后,用户在客户端设备的应用程序(APP,Application)进行登录操作时,服务器根据登录请求中的设备标识,如手机号码来鉴别用户使用的是否为授权的客户端设备,若为授权的客户端设备,则用户可以实现登录,因此,在一定程度上保证了帐号安全,避免了信息泄露的问题。
然而,当授权的客户端设备发生遗失,或使用该授权的客户端设备的用户从该企业离职时,由于该技术方案依赖于设备的安全性,第三方使用该授权的客户端设备登录该企业的IM帐号,或离职员工登录该企业的IM帐号,可能会发生信息泄漏的问题。因此,为了进一步地保障帐号安全,避免信息泄露的问题,还需要进一步地加强安全管理,如图3所示,本发明实施例提供的安全管理方法包括步骤201至步骤206,可以理解,下文中宿主设备通过运行所安装的用于在通信网络中进行通信的客户端来实现下述功能,因此下文中对宿主设备和客户端不做具体区分,将在下文中结合各个步骤进行说明。
步骤201:服务器根据客户端的宿主设备的授权状态,向客户端分配针对宿主设备的登录授权。
这里,服务器向客户端分配针对宿主设备的登录授权,以使客户端根据登录授权判断是否具有登录权限,若有,登录用户便可以根据帐号和密码进行登录;否则,还需要根据通信标识进行验证。
在一可选的实施例中,服务器根据客户端的宿主设备的授权状态,向客户端分配针对宿主设备的登录授权时,通过如下方式实现:服务器记录通信网络授权设备的标识,根据客户端提交的宿主设备的标识进行查询;当查询到宿主设备为在通信网络中的授权设备时,服务器向客户端下发针对宿主设备的登录授权。
例如,客户端将宿主设备的硬件信息,如设备串号发送给服务器;或者,客户端将宿主设备的全局唯一标识符(GUID,Globally Unique Identifier),供服务器进行查询,当服务器根据设备硬件信息或GUID查询到宿主设备为在通信网络中的授权设备时,向客户端下发针对宿主设备的登录授权。这里简单介绍一下GUID,GUID是一种由算法生成的二进制长度为128位的数字标识符,根据该数字标识符可以区分任一台不同的宿主设备。
在一可选的实施例中,针对服务器未查询到宿主设备为在通信网络中的授权设备的情况,服务器可以向登录用户的通信标识发送验证码;当验证客户端发送的验证码成功时,服务器向客户端下发针对宿主设备的登录授权。其中,验证客户端发送的验证码成功,也即向登录用户发送的验证码、与客户端发送的验证码一致,若一致,则验证成功。
例如,当未查询到宿主设备为在通信网络中的授权设备时,服务器向登录用户的手机号、或者电子邮箱、或社交网络帐号发送验证码;登陆用户接收到该验证码后,在客户端输入该验证码,并将该验证码发送至服务器,服务器接收到验证码后进行验证,当验证客户端发送的验证码成功时,向客户端下发针对宿主设备的登录授权。
步骤202:宿主设备获得针对宿主设备的登录授权。
这里,所示宿主设备为安装客户端的设备。
在一可选的实施例中,登录授权包括用于供服务器进行验证的以下至少字段之一:
宿主设备的标识,用于供服务器验证宿主设备是否为授权设备;
登录授权时间,用于供服务器验证当前请求登录是否处于登录的有效期。
其中,宿主设备的标识可以包括:设备的硬件信息或GUID;其中,硬件信息可以是设备串号,因此,可以通过设备串号或GUID可以判断宿主设备是否为授权设备。
对于登录授权,也可以是登录授权令牌的形式,即服务器产生一个关于宿主设备的口令,该口令与宿主设备绑定,从而进行身份认证,获得登录授权。宿主设备和服务器的密码算法是同步的,所以在使用过程中,在没有联网或者手机没有信号的情况也是可以实现的。
此外,登录授权的内容还可以包括:客户端的标识如客户端的版本,用于特定版本的客户端登录;为了避免上述登录授权的字段被恶意篡改,还可以携带数字签名,利用数字签名验证上述字段是否被篡改。
在一可选的实施例中,根据客户端的宿主设备的授权状态,获得针对宿主设备的登录授权,包括:向通信网络的服务器提交宿主设备的标识,供服务器根据标识查询宿主设备是否为通信网络的授权设备;当宿主设备为通信网络的授权设备时,获得服务器针对宿主设备下发的登录授权。需要说明的是,验证宿主设备是否为授权设备的前提是开启设备锁的功能。
例如,为了避免第三方盗用企业员工的登录帐号和密码进行登录,查看或盗用企业IM中的信息而敏感信息泄露,一般的,用户会设置针对登录用户的设备锁的功能,如图4所示,通过帐号安全界面设置针对登录用户的设备锁的功能。其中,设备锁的设置及设置过程中相应的设置验证有两种方法,如图5所示,设备锁的设置及相应的设置验证的方法一,如下步骤所述:
步骤2011:宿主设备向服务器发起开通设备锁的请求。
步骤2012:服务器接收到宿主设备发起的请求后,获取针对客户端的设备锁相关信息。
这里,客户端安装于宿主设备;设备锁相关信息包括:宿主设备的硬件信息,或宿主设备的GUID。
这里,介绍一下设备串号和GUID与企业IM应用的登录帐号之间的关系,企业在分配登录帐号的时候,将登录帐号与宿主设备进行绑定,如图2所示,然后,将绑定关系添加至授权列表中,用户使用关联的宿主设备进行登录,从而进行办公,或与企业内部人员进行沟通交流。
步骤2013:服务器将所获取的设备锁相关信息返回给宿主设备。
步骤2014:宿主设备根据服务器返回的设备锁相关信息判断宿主设备是否已授权。
例如,宿主设备接收到服务器发送的设备串号时,通过判断接收到的设备串号与自身的设备串号是否一致,若一致,则确定宿主设备为授权设备;若不一致,则确定宿主设备为非授权设备。
又例如,宿主设备接收到服务器发送的GUID时,通过判断接收到的GUID与本地存储的GUID是否一致,若一致,则确定宿主设备为授权设备;若不一致,则确定宿主设备为非授权设备。
步骤2015:若已授权,宿主设备向服务器发起开启设备锁的请求,进入步骤2016。
步骤2016:服务器将设备锁标志位设为开启状态,并转到步骤2019。
步骤2017:若未授权,宿主设备从当前显示的页面跳转到短信验证页面。
步骤2018:宿主设备通过短信验证的方式完成授权。
这里,完成授权的具体方法步骤为:当宿主设备为非授权设备时,验证服务中心向登录用户关联的手机号码发送验证码,当接收到该验证码后,宿主设备根据输入操作指令,获取验证码,并将该验证码发送至服务器,服务器接收到该验证码后,比较接收到的验证码与验证服务中心发送的验证码是否一致,若一致,授权登录用户在客户端的登录。
步骤2019:服务器开通设备锁,并将未授权宿主设备的客户端从线上移除。
服务器开通针对登录用户的账号对应的设备锁,并将以该账号客户端的未授权宿主设备的客户端置于下线状态,通过设备锁有效杜绝了未授权设备对通信安全的威胁。
这里,服务器开通设备锁之后,将宿主设备的设备串号和/或产生的GUID添加至授权列表,以便后续进行安全验证。
如图6所示,设备锁设置及相应的设置验证的方法二,如下步骤所述:
步骤2021:宿主设备向服务器发起开通设备锁的请求,请求携带宿主设备的硬件信息或GUID。
这里,硬件信息可以包括设备串号。
步骤2022:服务器接收到宿主设备发起的请求后,根据接收到的请求判断宿主设备是否为授权设备。
例如,服务器接收到宿主设备发送的携带设备串号的请求时,判断设备串号与授权设备串号列表中的设备串号是否一致,若一致,则确定宿主设备为授权设备;若不一致,则确定宿主设备为非授权设备。
又例如,服务器接收到宿主设备发送的携带GUID的请求时,判断GUID与授权GUID列表中的GUID是否一致,若一致,则确定宿主设备为授权设备;若不一致,则确定宿主设备为非授权设备。
步骤2023:若已授权,服务器将设备锁标志位设为已开启。
步骤2024:若已未授权,则服务器指示将当前显示的页面跳转到短信验证页面。
步骤2025:宿主设备通过短信验证的方式完成授权。
步骤2026:服务器开通设备锁,将未授权宿主设备的客户端从线上移除。
步骤2025至2026可参考步骤2018至2019,这里不再赘述。
综上,开通针对企业IM客户端的设备锁后,当第三方用户盗用登录帐号和密码登录该企业IM客户端,企业用户可以通过设备锁的验证机制将第三方用户踢下线,以避免信息泄露。
在一可选的实施例中,根据客户端的宿主设备的授权状态,向客户端分配针对宿主设备的登录授权之前,根据登录用户的帐号在通信网络的服务器中查询,确定登录用户的帐号在登录通信网络时已经设置授权设备验证。当登录用户设定了授权设备验证功能,即设置了设备锁时,包括2种情况:
1)如果客户端的宿主设备是授权设备,则可以直接向客户端下发登录授权;
2)如果客户端的宿主设备是授权设备,对登录用户的账户名称和密钥进行验证,验证通过后下发登录授权。例如,员工在陌生手机上登录时,需要进行授权验证,客户端的登录验证页面的一个示例如图7所示。
继续说明根据本方实施例关闭设备锁的步骤,如图8所示,具体如下所述:
步骤2031:宿主设备向服务器发送关闭设备锁的请求。
通常,客户端的登录用户的设备锁功能开启的情况下,用户可以根据需要触发关闭设备锁功能。
步骤2032:服务器接收到客户端发送的请求后,关闭设备锁的标志位。
例如,将客户端的登录用户的账号对应的设备锁的标识,从开启调整更换为关闭。
步骤2033:服务器将关闭的结果返回宿主设备。
将设备锁关闭之后,登录用户通过宿主设备中的企业IM客户端登录服务器时,将不再验证设备是否授权,登录用户是否为授权用户。因此,关闭设备锁之后,适用于企业IM的用户释放所拥有的登录帐号的情况,该登录帐号可以继续分派给其他的用户使用并重新设定设备锁功能以绑定新的设备。
步骤203:宿主设备根据所获得的登录授权进行登录请求,针对登录用户在客户端中登录通信网络。
具体地,根据所获得的登录授权进行登录请求,针对登录用户在客户端中登录通信网络,包括:向通信网络的服务器发送登录请求,登录请求携带登录授权和登录用户的帐号;当验证登录授权、以及登录用户的帐号成功时,获得服务器针对登录用户的帐号登录通信网络的确认。
例如,用户在客户端中触发登录服务器时,客户端首先向服务器请求登录授权的登录授权令牌;然后,客户端将登录授权令牌和登录用户的帐号和密码发送到服务器,服务器首先验证登录授权令牌,验证通过后,再验证登录用户的帐号,如果与预先注册的登录用户的帐号一致,向客户端发送登录确认。需要说明的是,发送的帐号和密码需要进行特殊处理,如采用非对称加密算法进行加密处理,或者采用对称加密算法进行加密处理,或者采用数字签名的方式进行处理,以避免帐号和密码被截获。
在一可选的实施方式中,当服务器未查询到宿主设备为通信网络中的授权设备时,向服务器发送根据登录用户的通信标识接收的验证码;当服务器验证验证码成功时,获得服务器针对宿主设备下发的登录授权。
具体地,登录通信网络的方法一,如图9所示,可以包括:
步骤2041:宿主设备向服务器发送携带登录用户的帐号和密码的登录请求。
步骤2042:服务器获取设备锁信息,并获得与帐号绑定的通信标识。
这里,通信标识为通信网络的用户中用于接收信息的各种通信应用的帐号,例如手机号码、电子邮箱帐号和社交网络帐号等。在本发明实施例中,通信标识与登录用户的帐号具有关联关系。
步骤2043:服务器将通信标识码发送至验证服务中心。
例如,服务器将手机号码、电子邮箱帐号或社交网络帐号发送至验证服务中心,以便验证服务中心根据手机号码、电子邮箱帐号或社交网络帐号给登录用户发送验证码。
步骤2044:服务器将获取的设备锁信息发送至宿主设备。
这里,设备锁信息包括:设备锁是否开启的信息、宿主设备的设备串号;或者包括:设备锁是否开启的信息和宿主设备的GUID。
步骤2045:宿主设备根据该设备锁信息判断设备锁是否开启。
步骤2046:若未开启,宿主设备根据帐号和密码在客户端登录服务器。
步骤2047:若开启,宿主设备根据设备串号或GUID判断是其是否为授权设备。
步骤2048:若是授权设备,宿主设备根据帐号和密码在客户端登录服务器。
步骤2049:若是非授权设备,向服务器发送提示信息,服务器将向验证服务中心转发该提示信息。
这里,提示信息用于指示验证服务中心向通信标识,如上述的手机号码、电子邮箱帐号或社交网络帐号发送授权验证码,此外也会向服务器发送该授权验证码,用以当客户端发送验证码时,验证客户端发送的验证码的是否正确。
步骤2050:验证服务中心向预先获取的通信标识和服务器发送授权验证码,以进行安全验证。
这里,需要说明的是,验证服务中心向登录用户发送授权验证码,指的是向登录用户的通信标识发送授权验证码,例如,向登录用户的手机号码、电子邮箱帐号或社交网络帐号发送授权验证码。
例如,验证的方法为:客户端向服务器发送验证码后,服务器将验证服务中心发送的验证码与客户端发送的验证码进行比对,如果一致则通过安全验证。
步骤2051:验证成功后,宿主设备根据帐号和密码在客户端登录服务器。
作为示例,登录通信网络的方法二,如图10所示,可以包括:
步骤2061:宿主设备向服务器发送携带登录用户的帐号和密码的登录请求。
步骤2062:服务器获取设备锁信息,并获得与帐号绑定的通信标识如手机号码。
步骤2063:服务器将手机号码发送至验证服务中心。
步骤2064:服务器根据设备锁信息判断设备锁是否开启。
这里,设备锁信息包括:设备锁是否开启的信息、宿主设备的设备串号;或者包括:设备锁是否开启的信息和宿主设备的GUID。
步骤2065:若未开启,宿主设备根据帐号和密码在客户端登录服务器。
步骤2066:若开启,服务器根据设备串号或GUID判断是其是否为授权设备。
步骤2067:若是授权设备,宿主设备根据帐号和密码在客户端登录服务器。
步骤2068:若是非授权设备,服务器向验证服务中心发送提示信息。
步骤2069:验证服务中心向登录用户和服务器发送授权验证码,以进行安全验证。
步骤2070:验证成功后,宿主设备根据登录帐号和密码在客户端登录服务器。
在一可选的实施例中,在根据安全验证信息在客户端登录服务器之前,服务器还可以对客户端的运行环境进行安全检测,根据安全检测结果确定客户端的运行环境符合预定安全条件,有效避免设备运行环境对通信安全造成的潜在威胁。
例如,检测客户端的运行环境,确定客户端的运行环境符合预定安全条件,可以根据实际需要采用以下方式中的一种,或者结合使用:
1)根据登录用户的通信标识获取验证码,向通信网络的服务器发送验证码并验证成功,以通信标识为手机号码为例,服务器通过验证服务中心向手机号码发送的验证码与客户端向服务器反馈过来的验证码一致。
2)在通信网络的服务器中查询到登录用户的登录网络地址,并查询到为已经使用的网络地址,例如是否为最近一段时间内使用的网络地址;
3)在通信网络的服务器中查询登录用户的登录位置,并查询到与已经使用的登录位置距离小于距离阈值,例如查询到当前登录位置与最近一次登录的位置处于同一城市或省份;
4)在通信网络的服务器中查询登录用户的登录时间,并查询到处于历史登录时段,例如是否为用户经常登录的时段。
为了进一步保证IM帐号中的联系人信息安全,在根据安全验证信息在客户端登录服务器之前,还需要对客户端的运行环境进行安全检测,根据安全检测结果确定客户端的运行环境符合预定安全条件,当该运行环境符合上述预设安全条件任一项时,根据安全验证信息在客户端登录服务器,当不符合上述预设安全条件中的任一项时,提示用户进行短信验证,如图5所示。
例如,当使用宿主设备登录服务器时,企业用户未在企业所在地,或者登录的网络地址为非常用网络地址,或者企业用户使用其它宿主设备登录等情况下,为了确保本次登录的用户是企业用户本人,此时,服务器需要向与登录帐号绑定的手机发送验证码,验证该本次登录的用户是否为企业用户本人,当为企业用户本人,其收到该验证码后,将该验证码发送至服务器进行安全验证,以进行登录。
步骤204:服务器向客户端分配登录用户在通信网络中具有的管理权限。
在具体的应用中,服务器向客户端分配登录用户在通信网络中具有的管理权限之前,服务器将会验证登录用户是否为具有管理权限的用户本人,或者是否为具有管理权限的用户授权的用户,验证的方法为:服务器接收登录用户通过宿主设备发送的验证码获取请求,然后向与帐号绑定的通信标识发送验证码,如向与帐号绑定的手机号码、电子邮箱或社交网络帐号发送验证码,登录用户获取到该验证码后,在客户端中进行输入操作,然后发送至服务器,如图11所示,当服务器验证所接收到的验证码与发送出去的验证码一致,那么,向客户端分配登录用户在通信网络中具有的管理权限。
步骤205:宿主设备获得登录用户在通信网络中具有的管理权限。
在一可选的实施例中,获得登录用户在通信网络中具有的管理权限,包括:根据客户端的登录用户的帐号查询通信网络的服务器,获得登录用户在通信网络中能够管理的用户、以及所能够管理的信息类型,从而根据所能管理的信息类型进行相应的修改。
例如,如果登录用户为具有管理权限的用户,那么,宿主设备根据该登录用户的帐号进行查询,从而获得具有能修改自己或其它企业内部员工的通信标识的权限,即解除自己或其它企业内部员工的帐号与通信标识之间的关联关系,而且,根据实际需求,还可以使用其它通信标识与帐号建立关联关系。此外,该用户还可以具有修改自己帐号信息中的头像、联系人地址等信息。
如果登录用户为非管理权限的用户,那么,其对应的信息类型可以是与用户自身相关的任意信息,如自己的通信标识、地址、头像等,也就是说该用户只能修改自己的通信标识、联系人地址和头像等信息,无法修改其它用户的信息。
还有一种情况,如果登录用户为非管理权限的用户,但该用户经过了具有管理权限的用户的授权,那么,该用户可以解除自己或其它企业内部员工的帐号与通信标识之间的关联关系,而且,根据实际需求,还可以使用其它通信标识与帐号建立关联关系。其中,该用户经过了具有管理权限的用户的授权,授权方式可以是:非管理权限用户使用具有管理权限用户的帐号,并在登录后经过相应的验证;或者,在客户端设置一个管理权限托管的功能,以便具有管理权限的用户将其管理权限授权给其它用户,以使接受授权的用户获得修改他人信息的管理权限。
这里,登录完成后,当登录用户对离职员工的IM帐号进行解绑,或对自己的IM帐号重新绑定通信标识,或对遗失绑定IM帐号的手机的员工重新绑定通信标识时,为了确认该登录用户具有管理权限,因此在修改前需要对登录用户的身份进行安全验证,如图11,判断该登录用户是否为授权管理用户。因此,服务器向其通信标识发送一条验证码,如与IM帐号绑定的手机号、电子邮箱或社交网络帐号发送一条验证码,登录用户接收到该验证码,然后进行输入操作,宿主设备根据输入的操作指令获得客户端的登录用户接收的验证码。
宿主设备根据登录用户输入的操作指令,向服务器发送携带该验证码的验证请求,如图11所示。值得注意的是,这里的验证码用于验证本次登录的用户是否具有管理权限,若具有管理权限,则服务器向宿主设备推送关联关系列表,因此,宿主设备将当前显示的页面切换到修改通信标识的页面,如修改手机号的页面,以进行相应的修改。值得注意的是,验证本次登录的用户是否具有管理权限,可以理解为是否为管理帐号的用户本人,或者,管理帐号的用户将帐号、密码,以及接收到的验证码给企业中的其它用户,以使该用户具有管理权限。
步骤206:宿主设备获得符合管理权限的指令,根据指令更新通信网络中目标用户的通信标识。
本发明实施例中,当登录用户输入的验证码正确时,说明该登录用户为授权管理用户,即通过验证,此时,宿主设备进入修改页面,然后根据登录用户的指令,修改目标用户与目标用户的通信标识之间的关联关系,并将修改的关联关系发送至服务器,以使服务器进行更新。
在一可选的实施例中,根据指令更新通信网络中目标用户的用于进行安全验证的通信标识,包括:根据指令指示的解除关联操作,在通信网络的服务器中查找目标用户的帐号,并解除目标用户的帐号与当前所关联的通信标识之间的关联关系。
例如,登录用户需要对离职员工的帐号与手机号码进行解绑,则在该修改页面找到该帐号和对应的手机号码,然后删除所绑定的手机号码,从而解除离职员工的登录帐号与当前所关联的手机号码之间的关联关系。因此,当企业中的员工离职时,企业可以回收离职员工的企业IM登录帐号,避免信息泄露的问题。
在一可选的实施例中,服务器HIA根据指令指示的关联操作,在服务器中建立目标用户更新的通信标识与目标用户的帐号之间的关联关系。
例如,登录用户需要对遗失客户端设备的员工重新绑定时,首先需要对该员工的帐号与通信标识进行解绑,解绑完成后,输入需要重新绑定的手机号码,从而建立更新该员工的手机号码与登录帐号之间的关联关系。因此,当企业员工遗失手机时,具有授权管理的用户通过修改绑定的手机号码,从而避免因遗失手机而造成信息泄露的问题。
因此,通过管理帐号与通信标识之间的关联关系,具有以下有益效果:
1)企业用户可以通过短信验证的方式登录企业IM,当该企业用户遗失办公设备,如登录企业IM所使用的手机,可以通过管理员来更换绑定手机,杜绝用户因遗失办公设备而造成信息泄露的问题;
2)管理员具有权限管理IM帐号和手机号码之间的绑定关系的权限,当企业用户离职时,管理员可以解除该IM帐号与其手机号码之间的绑定关系,并回收该IM帐号,不仅提高了帐号管理的灵活性,又防止了信息泄漏的问题。
图12示出了本发明实施例提供的宿主设备的结构示意图,如图12所示,本发明实施例提供的客户端设备300包括:射频(RF,Radio Frequency)电路310、存储器320、输入单元330、显示单元340、传感器350、音频电路360、无线保真(WiFi,Wireless Fidelity)模块370、处理器380、以及电源390等部件。
这里,RF天线310和WiFi模块370作为与外界交互的通信接口,可以接收服务器发送的信息,也可以向服务器发送信息。
处理器380通常控制客户端设备300的整体操作,诸如与显示、电话呼叫、数据通信、相机拍摄和信息记录等相关联的操作。
具体地,处理器380用于运行可执行程序时执行:根据客户端的宿主设备的授权状态,获得针对宿主设备的登录授权;根据所获得的登录授权进行登录请求,针对登录用户在客户端中登录通信网络;获得登录用户在通信网络中具有的管理权限;获得符合管理权限的指令,根据指令更新通信网络中目标用户的通信标识。根据安全验证信息在客户端登录服务器。
在一实施例中,处理器380还用于运行可执行程序时,通过射频电路310或WiFi模块370向通信网络的服务器提交宿主设备的标识,供服务器根据标识查询宿主设备是否为通信网络的授权设备;当宿主设备为通信网络的授权设备时,获得服务器针对宿主设备下发的登录授权。
在一实施例中,处理器380还用于运行可执行程序时,当未查询到宿主设备为在通信网络中的授权设备时,通过射频电路310或WiFi模块370向服务器发送根据登录用户的通信标识接收的验证码;当服务器验证验证码成功时,获得服务器针对宿主设备下发的登录授权。
在一实施例中,处理器380还用于运行可执行程序时,执行:
根据客户端的宿主设备的授权状态,向客户端分配针对宿主设备的登录授权之前,根据登录用户的帐号在通信网络的服务器中查询,确定登录用户的帐号在登录通信网络时已经设置授权设备验证。
在一实施例中,处理器380还用于运行可执行程序时,向通信网络的服务器发送登录请求,登录请求携带登录授权和登录用户的帐号;当验证登录授权、以及登录用户的帐号成功时,获得服务器针对登录用户的帐号登录通信网络的确认。
在一实施例中,登录授权包括用于供服务器进行验证的以下至少字段之一:
宿主设备的标识,用于供服务器验证宿主设备是否为授权设备;登录授权时间,用于供服务器验证当前请求登录是否处于登录的有效期。
在一实施例中,处理器380还用于运行可执行程序时,根据客户端的宿主设备的授权状态,获得针对宿主设备的登录授权之前,且在通信网络的服务器中针对登录用户未设置授权设备验证时,根据登录用户的通信标识接收验证码并发送至服务器进行验证,当验证成功时获得服务器针对宿主终端设置的授权设备验证。
在一实施例中,处理器380还用于运行可执行程序时,根据客户端的登录用户的帐号查询通信网络的服务器,获得登录用户在通信网络中能够管理的用户、以及所能够管理的信息类型。
在一实施例中,处理器380还用于运行可执行程序时,将登录用户提交的指令携带的待管理的目标用户的标识、以及针对目标用户待管理的信息类型,与登录用户的管理权限进行比对,比对一致时,确定获得符合管理权限的指令。
在一实施例中,处理器380还用于运行可执行程序时,根据客户端的登录用户的帐号查询通信网络的服务器,获得登录用户在通信网络中能够管理的用户。
在一实施例中,处理器380还用于运行可执行程序时,执行以下操作至少之一:
根据登录用户的通信标识获取验证码,向通信网络的服务器发送验证码并验证成功;在通信网络的服务器中查询到登录用户的登录网络地址,并查询到为已经使用的网络地址;在通信网络的服务器中查询到登录用户的登录网络地址,并查询到为已经使用的网络地址;在通信网络的服务器中查询登录用户的登录时间,并查询到处于历史登录时段。
在一实施例中,处理器380还用于运行可执行程序时,根据指令指示的解除关联操作,在通信网络的服务器中查找目标用户的帐号,并解除目标用户的帐号与当前所关联的通信标识之间的关联关系。
在一实施例中,处理器380还用于运行可执行程序时,根据指令指示的关联操作,在服务器中建立目标用户更新的通信标识与目标用户的帐号之间的关联关系。
下面结合图12对宿主设备的各个构成部件进行具体的介绍。
RF天线310可用于在收发信息、语音或视频过程中,信号的接收和发送,当接收到信号后发给处理器380处理。
存储器320可用于存储软件程序以及模块,处理器380通过运行存储在存储器320的软件程序以及模块,从而执行宿主设备的各种功能应用以及数据处理。存储器320可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据宿主设备的使用所创建的数据(比如音频数据)等。此外,存储器320可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
输入单元330可用于接收输入的数字或字符信息,以及产生与宿主设备的用户设置以及功能控制有关的键信号输入。具体地,输入单元330可包括触控面板331以及其他输入设备332。触控面板331,也称为触摸屏,可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触控面板331上或在触控面板331附近的操作),并根据预先设定的程式驱动相应的连接装置。可选的,触控面板331可包括触摸检测装置和触摸控制器两个部分。其中,触摸检测装置检测用户的触摸方位,并检测触摸操作带来的信号,将信号传送给触摸控制器;触摸控制器从触摸检测装置上接收触摸信息,并将它转换成触点坐标,再送给处理器380,并能接收处理器380发来的命令并加以执行。此外,可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触控面板331。除了触控面板331,输入单元330还可以包括其他输入设备332。具体地,其他输入设备332可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种。
显示单元340可用于显示由用户输入的信息或提供给用户的信息以及宿主设备的各种菜单。显示单元340可包括显示面板341,可选的,可以采用液晶显示器(LCD,LiquidCrystal Display)、有机发光二极管(OLED,Organic Light-Emitting Diode)等形式来配置显示面板341。进一步的,触控面板331可覆盖显示面板341,当触控面板331检测到在其上或附近的触摸操作后,传送给处理器380以确定触摸事件的类型,随后处理器380根据触摸事件的类型在显示面板341上提供相应的视觉输出。虽然在图12中,触控面板331与显示面板341是作为两个独立的部件来实现宿主设备的输入和输入功能,但是在某些实施例中,可以将触控面板331与显示面板341集成而实现宿主设备的输入和输出功能。
宿主设备还可包括至少一种传感器350,比如光传感器、运动传感器以及其他传感器。具体地,光传感器可包括环境光传感器及接近传感器,其中,环境光传感器可根据环境光线的明暗来调节显示面板341的亮度,接近传感器可在宿主设备移动到耳边时,关闭显示面板341和/或背光。作为运动传感器的一种,加速计传感器可检测各个方向上(一般为三轴)加速度的大小,静止时可检测出重力的大小及方向,可用于识别宿主设备姿态的应用(比如横竖屏切换、相关游戏、磁力计姿态校准)、振动识别相关功能(比如计步器、敲击)等;至于宿主设备还可配置的陀螺仪、气压计、湿度计、温度计、红外线传感器等其他传感器,在此不再赘述。
音频电路360、扬声器361,传声器362可提供用户与宿主设备之间的音频接口。音频电路360可将接收到的音频数据转换后的电信号,传输到扬声器361,由扬声器361转换为声音信号输出;另一方面,传声器362将收集的声音信号转换为电信号,由音频电路360接收后转换为音频数据,再将音频数据输出处理器380处理后,经RF天线310以发送给比如另一宿主设备,或者将音频数据输出至存储器320以便进一步处理。
WiFi属于短距离无线传输技术,宿主设备通过WiFi模块370可以帮助用户收发电子邮件、浏览网页和访问流式媒体等,它为用户提供了无线的宽带互联网访问。虽然图12示出了WiFi模块370,但是可以理解的是,其并不属于宿主设备的必须构成,完全可以根据需要在不改变发明的本质的范围内而省略。
处理器380是宿主设备的控制中心,利用各种接口和线路连接整个宿主设备的各个部分,通过运行或执行存储在存储器320内的软件程序和/或模块,以及调用存储在存储器320内的数据,执行宿主设备的各种功能和处理数据,从而对宿主设备进行整体监控。可选的,处理器380可包括一个或多个处理单元;优选的,处理器380可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器380中。
宿主设备还包括给各个部件供电的电源390(比如电池),优选的,电源可以通过电源管理系统与处理器380逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。
尽管未示出,宿主设备还可以包括摄像头、蓝牙模块等,在此不再赘述。
本发明实施例还提供了一种存储介质,其上存储有可执行程序,该可执行程序被处理器执行时实现上述的安全管理方法,例如包括:根据客户端的宿主设备的授权状态,获得针对宿主设备的登录授权;根据所获得的登录授权进行登录请求,针对登录用户在客户端中登录通信网络;获得登录用户在通信网络中具有的管理权限;
获得符合管理权限的指令,根据指令更新通信网络中目标用户的通信标识。
图13示出了本发明实施例提供的服务器的结构示意图,如图13所示,本发明实施例提供的服务器400包括以下一个或多个组件:处理组件402、存储器404、I/O接口412、以及通信组件416;其中,通信组件416作为通信接口,可以向宿主设备发送信息,同时可以接收宿主设备发送的信息。
处理组件402通常控制服务器400的整体操作,诸如与显示、数据通信和信息记录等相关联的操作。处理组件402可以包括一个或多个处理器420来执行可执行程序,以完成上述方法的全部或部分步骤。此外,处理组件402可以包括一个或多个模块,便于处理组件402与其他组件之间的交互。
具体地,处理器420用于运行可执行程序时执行:
根据客户端的宿主设备的授权状态,向客户端分配针对宿主设备的登录授权;
根据客户端基于所获得的登录授权进行的登录请求,将登录用户在客户端中登录通信网络;
通过通信组件416向客户端分配登录用户在通信网络中具有的管理权限;
获得客户端发送的符合管理权限的指令,根据指令更新通信网络中目标用户的通信标识。
在一实施例中,处理器420还用于运行可执行程序时,根据客户端提交的宿主设备的标识进行查询;
当查询到宿主设备为在通信网络中的授权设备时,通过通信组件416向客户端下发针对宿主设备的登录授权。
在一实施例中,处理器420还用于运行可执行程序时,当未查询到宿主设备为在通信网络中的授权设备时,通过通信组件416向登录用户的通信标识发送验证码;
当验证客户端发送的验证码成功时,通过通信组件416向客户端下发针对宿主设备的登录授权。
在一实施例中,处理器420还用于运行可执行程序时,响应客户端根据登录用户的帐号的查询,确定登录用户的帐号已经设置授权设备验证。
在一实施例中,处理器420还用于运行可执行程序时,根据登录请求携带的以下字段至少之一进行验证:登录授权;登录用户的帐号;
当验证成功时,向客户端发送针对登录用户的帐号登录通信网络的确认。
在一实施例中,处理器420还用于运行可执行程序时,当登录授权携带宿主设备的标识时,验证宿主设备是否为授权设备;
当登录授权携带登录授权时间时,验证当前请求登录是否处于登录的有效期;
当登录授权携带登录用户的帐号时,验证登录用户的帐号是否与预先注册的登录用户的帐号一致。
在一实施例中,处理器420还用于运行可执行程序时,根据客户端的宿主设备的授权状态,向客户端分配针对宿主设备的登录授权之前,且针对登录用户未设置授权设备验证时,
向登录用户的通信标识发送验证码,并根据客户端所接收的验证码进行验证成功时,针对宿主终端设置授权设备验证。
在一实施例中,处理器420还用于运行可执行程序时,根据客户端的登录用户的帐号进行查询,将查询得到登录用户在通信网络中能够管理的用户、以及所能够管理的信息类型,发送至客户端。
在一实施例中,处理器420还用于运行可执行程序时,响应客户端针对运行环境的检测,确定客户端的运行环境符合预定安全条件。
在一实施例中,处理器420还用于运行可执行程序时,执行以下操作至少之一:
向登录用户的通信标识发送验证码,并根据客户端所接收的验证码进行验证成功;
查询到宿主设备为通信网络中的授权设备;
查询到登录用户的登录网络地址为已经使用的网络地址;
查询到登录用户的登录位置与已经使用的登录位置距离小于距离阈值;
查询到登录用户的登录时间处于历史登录时段。
在一实施例中,处理器420还用于运行可执行程序时,根据指令指示的解除关联操作查找目标用户的帐号,并解除目标用户的帐号与当前所关联的通信标识之间的关联关系。
在一实施例中,处理器420还用于运行可执行程序时,执行:
根据指令指示的关联操作,建立目标用户更新的通信标识与目标用户的帐号之间的关联关系。
存储器404可以由任何类型的易失性或非易失性存储设备、或者它们的组合来实现。其中,非易失性存储器可以是只读存储器(ROM,Read Only Memory)、可编程只读存储器(PROM,Programmable Read-Only Memory)等。易失性存储器可以是随机存取存储器(RAM,Random Access Memory),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM,Static Random Access Memory)、同步静态随机存取存储器(SSRAM,Synchronous Static Random Access Memory)等。本发明实施例描述的存储器404旨在包括但不限于这些和任意其它适合类型的存储器。
存储器404用于存储各种类型的数据以服务器400的操作。这些数据的示例包括:用于在服务器400上操作的任何可执行程序,如操作系统和应用程序;联系人数据;电话簿数据;消息;图片;视频等。其中,操作系统包含各种系统程序,例如框架层、核心库层、驱动层等,用于实现各种基础业务以及处理基于硬件的任务。应用程序可以包含各种应用程序,例如媒体播放器(Media Player)、浏览器(Browser)等,用于实现各种应用业务。实现本发明实施例方法的程序可以包含在应用程序中。
电源组件406为服务器400的各种组件提供电力。电源组件406可以包括电源管理系统,一个或多个电源,及其他与为服务器400生成、管理和分配电力相关联的组件。
I/O接口412为处理组件402与外围接口模块之间的信息交互提供接口,上述外围接口模块可以是键盘、鼠标、轨迹球、点击轮、按键、按钮等。这些按钮可包括但不限于:主页按钮、音量按钮、启动按钮和锁定按钮。
通信组件416用于消息处理装置400与其他设备之间有线或无线方式的通信。消息处理装置400可以接入基于通信标准的无线网络。在一个示例性实施例中,通信组件416经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中,通信组件416还包括近场通信(NFC,Near Field Communication)模块,以促进短程通信。例如,在NFC模块可基于射频识别(RFID,Radio Frequency Identification)技术、红外数据组织(IrDA,Infrared Data Association)技术、超宽带(UWB,Ultra Wide Band)技术、蓝牙(BT,Blue Tooth)技术或其他技术来实现。
上述本发明实施例揭示的方法可以应用于处理器420中,或者由处理器420实现。处理器420可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器420中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器420可以是通用处理器、数字信号处理器(DSP,Digital Signal Processor),或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器420可以实现或者执行本发明实施例中的提供的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所提供的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于存储器404,处理器420读取存储器404中的信息,结合其硬件完成前述方法的步骤。
在示例性实施例中,服务器400可以被一个或多个应用专用集成电路(ASIC,Application Specific Integrated Circuit)、DSP、可编程逻辑器件(PLD,ProgrammableLogic Device)、复杂可编程逻辑器件(CPLD,Complex Programmable Logic Device)、现场可编程门阵列(FPGA,Field-Programmable Gate Array)、通用处理器、控制器、微控制器(MCU,Micro Controller Unit)、微处理器(Microprocessor)、或其他电子元件实现,用于执行前述方法。
这里需要指出的是:以上涉及服务器的描述,与上述方法描述是类似的,同方法的有益效果描述,不做赘述。对于本发明服务器实施例中未披露的技术细节,请参照本发明方法实施例的描述。
本发明实施例还提供了一种存储介质,其上存储有可执行程序,该可执行程序被处理器执行时实现以下步骤:
根据客户端的宿主设备的授权状态,向客户端分配针对宿主设备的登录授权;
根据客户端基于所获得的登录授权进行的登录请求,将登录用户在客户端中登录通信网络;
向客户端分配登录用户在通信网络中具有的管理权限;
获得客户端发送的符合管理权限的指令,根据指令更新通信网络中目标用户的通信标识。
综上所述,应用本发明上述实施例具有以下有益效果:
1)根据客户端的宿主设备的授权状态实现登录授权,实现了将用户登录的设备与用户的登录授权进行了绑定的技术效果,有效避免用户使用可以设备登录而导致的信息泄露的风险;
2)根据用户的管理权限获得相符合的指令以更新目标用户的通信标识,一方面使得登录用户对目标用户的通信标识进行管理,实现了通信网络的用户的通信标识进行灵活修改,另一方面,通过管理权限的控制避免了目标用户的通信标识被恶意篡改的情况,有效保证安全性。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和范围之内所作的任何修改、等同替换和改进等,均包含在本发明的保护范围之内。
Claims (13)
1.一种安全管理方法,其特征在于,包括:
根据客户端的宿主设备的授权状态,获得针对所述宿主设备的登录授权;
根据所获得的登录授权进行登录请求,针对登录用户在所述客户端中登录通信网络;
获得所述登录用户在通信网络中具有的管理权限;
获得符合所述管理权限的指令;
根据所述指令指示的解除关联操作,解除所述通信网络的服务器中的目标用户的帐号与当前所关联的通信标识之间的关联关系;
根据所述指令指示的关联操作,在所述服务器中建立所述目标用户更新的通信标识与所述目标用户的帐号之间的关联关系。
2.根据权利要求1所述的方法,其特征在于,所述根据客户端的宿主设备的授权状态,获得针对所述宿主设备的登录授权,包括:
向所述通信网络的服务器提交所述宿主设备的标识,供所述服务器根据所述标识查询所述宿主设备是否为所述通信网络的授权设备;
当所述宿主设备为所述通信网络的授权设备时,获得所述服务器针对所述宿主设备下发的登录授权。
3.根据权利要求2所述的方法,其特征在于,还包括:
当所述服务器未查询到所述宿主设备为所述通信网络中的授权设备时,向所述服务器发送根据所述登录用户的通信标识接收的验证码;
当所述服务器验证所述验证码成功时,获得所述服务器针对所述宿主设备下发的登录授权。
4.根据权利要求1所述的方法,其特征在于,所述解除所述通信网络的服务器中的目标用户的帐号与当前所关联的通信标识之间的关联关系,包括:
在所述通信网络的服务器中查找目标用户的帐号,并解除所述目标用户的帐号与当前所关联的通信标识之间的关联关系。
5.一种安全管理方法,其特征在于,包括:
根据客户端的宿主设备的授权状态,向所述客户端分配针对所述宿主设备的登录授权;
根据所述客户端基于所获得的登录授权进行的登录请求,将登录用户在所述客户端中登录通信网络;
向所述客户端分配所述登录用户在所述通信网络中具有的管理权限;
获得所述客户端发送的符合所述管理权限的指令;
根据所述指令指示的解除关联操作,解除所述通信网络中的目标用户的帐号与当前所关联的通信标识之间的关联关系;
根据所述指令指示的关联操作,建立所述目标用户更新的通信标识与所述目标用户的帐号之间的关联关系。
6.根据权利要求5所述的方法,其特征在于,所述根据客户端的宿主设备的授权状态,向所述客户端分配针对所述宿主设备的登录授权,包括:
根据所述客户端提交的所述宿主设备的标识进行查询;
当查询到所述宿主设备为在所述通信网络中的授权设备时,向所述客户端下发针对所述宿主设备的登录授权。
7.根据权利要求6所述的方法,其特征在于,还包括:
当未查询到所述宿主设备为在所述通信网络中的授权设备时,向所述登录用户的通信标识发送验证码;
当验证所述客户端发送的验证码成功时,向所述客户端下发针对所述宿主设备的登录授权。
8.根据权利要求5所述的方法,其特征在于,所述解除所述通信网络中的目标用户的帐号与当前所关联的通信标识之间的关联关系,包括:
查找目标用户的帐号,并解除所述目标用户的帐号与当前所关联的通信标识之间的关联关系。
9.一种客户端设备,其特征在于,作为客户端的宿主设备,包括:
存储器,用于存储可执行程序;
处理器,用于运行所述存储器中存储的所述可执行程序时,实现权利要求1至4任一项所述的安全管理方法。
10.一种服务器,其特征在于,包括:
存储器,用于存储可执行程序;
处理器,用于运行所述存储器中存储的可执行程序时,实现权利要求5至8任一项所述的安全管理方法。
11.一种通信系统,其特征在于,包括:如权利要求9所述的客户端设备和如权利要求10所述的服务器。
12.一种计算机可读存储介质,其特征在于,存储有可执行程序,所述可执行程序被运行时用于实现权利要求1至4任一项所述的安全管理方法。
13.一种计算机可读存储介质,其特征在于,存储有可执行程序,所述可执行程序被运行时用于执行权利要求5至8任一项所述的安全管理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710587152.XA CN109274635B (zh) | 2017-07-18 | 2017-07-18 | 安全管理方法、客户端设备、服务器、通信系统及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710587152.XA CN109274635B (zh) | 2017-07-18 | 2017-07-18 | 安全管理方法、客户端设备、服务器、通信系统及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109274635A CN109274635A (zh) | 2019-01-25 |
| CN109274635B true CN109274635B (zh) | 2020-12-25 |
Family
ID=65152715
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710587152.XA Active CN109274635B (zh) | 2017-07-18 | 2017-07-18 | 安全管理方法、客户端设备、服务器、通信系统及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109274635B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109977655B (zh) * | 2019-03-28 | 2021-03-02 | 上海灵信视觉技术股份有限公司 | 一种主从架构系统下的设备互锁控制方法 |
| CN112150030A (zh) * | 2020-10-10 | 2020-12-29 | 厦门悦讯信息科技股份有限公司 | 基于多单位多身份的账号管理方法、终端设备及存储介质 |
| CN112597473B (zh) * | 2020-11-17 | 2024-02-09 | 深圳市世强元件网络有限公司 | 基于企业官方邮箱的b2b服务安全认证方法、装置及服务器 |
| CN112953965B (zh) * | 2021-03-18 | 2022-11-01 | 杭州网易云音乐科技有限公司 | 客户端登录方法及系统、客户端、介质、计算设备 |
| CN114172713A (zh) * | 2021-12-02 | 2022-03-11 | 北京金山云网络技术有限公司 | 登录方法、装置、电子设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105337997A (zh) * | 2015-11-30 | 2016-02-17 | 广州华多网络科技有限公司 | 一种应用客户端的登录方法及相关设备 |
| CN106453234A (zh) * | 2016-08-12 | 2017-02-22 | 北京东方车云信息技术有限公司 | 一种身份认证方法及相关服务器和客户端 |
| CN106656958A (zh) * | 2016-09-27 | 2017-05-10 | 乐视控股(北京)有限公司 | 基于移动终端的账号登录方法、登录装置及登录系统 |
| CN106790056A (zh) * | 2016-12-20 | 2017-05-31 | 中国科学院苏州生物医学工程技术研究所 | 降低数据银行的数据窃取风险的方法和系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007045069A1 (en) * | 2005-10-21 | 2007-04-26 | Research In Motion Limited | Instant messaging device/server protocol |
| US9438448B2 (en) * | 2009-08-18 | 2016-09-06 | Microsoft Technology Licensing, Llc | Maintaining communication connections during temporary network disruptions |
-
2017
- 2017-07-18 CN CN201710587152.XA patent/CN109274635B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105337997A (zh) * | 2015-11-30 | 2016-02-17 | 广州华多网络科技有限公司 | 一种应用客户端的登录方法及相关设备 |
| CN106453234A (zh) * | 2016-08-12 | 2017-02-22 | 北京东方车云信息技术有限公司 | 一种身份认证方法及相关服务器和客户端 |
| CN106656958A (zh) * | 2016-09-27 | 2017-05-10 | 乐视控股(北京)有限公司 | 基于移动终端的账号登录方法、登录装置及登录系统 |
| CN106790056A (zh) * | 2016-12-20 | 2017-05-31 | 中国科学院苏州生物医学工程技术研究所 | 降低数据银行的数据窃取风险的方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109274635A (zh) | 2019-01-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109274635B (zh) | 安全管理方法、客户端设备、服务器、通信系统及存储介质 | |
| EP3605989B1 (en) | Information sending method, information receiving method, apparatus, and system | |
| US20220224679A1 (en) | Authenticated Session Management Across Multiple Electronic Devices Using A Virtual Session Manager | |
| CN108293045B (zh) | 本地和远程系统之间的单点登录身份管理 | |
| US10498723B2 (en) | Method, and apparatus for authenticating access | |
| US11057376B2 (en) | Method, apparatus, and system for controlling intelligent device, and storage medium | |
| WO2017118412A1 (zh) | 一种更新密钥的方法、装置和系统 | |
| WO2019120091A1 (zh) | 身份认证方法、系统及计算设备 | |
| US8407773B1 (en) | Data and application access combined with communication services | |
| US20180191700A1 (en) | Two-token based authenticated session management | |
| US9635018B2 (en) | User identity verification method and system, password protection apparatus and storage medium | |
| CN110198301B (zh) | 一种服务数据获取方法、装置及设备 | |
| JP2020520009A (ja) | Botユーザのセキュアな認証 | |
| CN105659557A (zh) | 用于单点登录的基于网络的接口集成 | |
| CN109768977B (zh) | 流媒体数据处理方法、装置以及相关设备和介质 | |
| WO2019061219A1 (zh) | 一种屏幕解锁的方法及终端 | |
| WO2018000370A1 (zh) | 一种移动终端的认证方法及移动终端 | |
| CN111314085B (zh) | 数字证书验证方法及装置 | |
| CN113037741A (zh) | 一种鉴权方法和相关装置 | |
| WO2019095156A1 (zh) | 一种信息搜索的方法、终端、网络设备和系统 | |
| CN111782722B (zh) | 一种数据管理方法、装置、电子设备及存储介质 | |
| JP5558689B2 (ja) | 遠隔制御装置、遠隔制御プログラム、遠隔制御方法、及び、遠隔制御システム | |
| CN111213167B (zh) | 一种支付方法、一种解锁方法及相关终端 | |
| CN111489172A (zh) | 一种资质信息的认证方法和终端以及服务器 | |
| EP3619904B1 (en) | Smart card thumb print authentication |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |