CN110198296B - 鉴权方法和装置、存储介质及电子装置 - Google Patents

鉴权方法和装置、存储介质及电子装置 Download PDF

Info

Publication number
CN110198296B
CN110198296B CN201810394507.8A CN201810394507A CN110198296B CN 110198296 B CN110198296 B CN 110198296B CN 201810394507 A CN201810394507 A CN 201810394507A CN 110198296 B CN110198296 B CN 110198296B
Authority
CN
China
Prior art keywords
authentication
authenticated
equipment
authentication information
signature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810394507.8A
Other languages
English (en)
Other versions
CN110198296A (zh
Inventor
陈龙辉
唐艳平
何瑞
张东蕊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN201810394507.8A priority Critical patent/CN110198296B/zh
Publication of CN110198296A publication Critical patent/CN110198296A/zh
Application granted granted Critical
Publication of CN110198296B publication Critical patent/CN110198296B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种鉴权方法和装置、存储介质及电子装置。其中,该方法包括:获取待认证设备所发送的鉴权请求,其中,鉴权请求中携带有用于对待认证设备进行鉴权的鉴权信息集及与待认证设备匹配的第一认证签名,第一认证签名根据鉴权信息集生成;对鉴权信息集中所包含的每一个鉴权信息依次进行鉴权;在鉴权信息集中所包含的鉴权信息均鉴权成功的情况下,对第一认证签名进行鉴权;在第一认证签名鉴权成功的情况下,确定待认证设备为合法设备。本发明解决了相关技术所提供的鉴权方式较单一所导致的系统运行安全性较低的技术问题。

Description

鉴权方法和装置、存储介质及电子装置
技术领域
本发明涉及计算机领域,具体而言,涉及一种鉴权方法和装置、存储介质及电子装置。
背景技术
为了避免软件系统中重要信息的泄露,很多软件系统在使用之前,往往需要先对用户的合法身份进行鉴权。比如,使用静态密码,实名信息,手机验证码等认证手段。
然而,目前却有很多不法分子会通过伪装用户的合法身份,来使用软件系统,以盗取软件系统中的重要信息。比如预先盗取用户信息,在终端中植入木马等。也就是说,相关技术中所提供的鉴权方式较单一,从而导致无法保证系统运行的安全性。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种鉴权方法和装置、存储介质及电子装置,以至少解决相关技术所提供的鉴权方式较单一所导致的系统运行安全性较低的技术问题。
根据本发明实施例的一个方面,提供了一种鉴权方法,包括:获取待认证设备所发送的鉴权请求,其中,上述鉴权请求中携带有用于对上述待认证设备进行鉴权的鉴权信息集及与上述待认证设备匹配的第一认证签名,上述第一认证签名根据上述鉴权信息集生成;对上述鉴权信息集中所包含的每一个鉴权信息依次进行鉴权;在上述鉴权信息集中所包含的鉴权信息均鉴权成功的情况下,对上述第一认证签名进行鉴权;在上述第一认证签名鉴权成功的情况下,确定上述待认证设备为合法设备。
根据本发明实施例的另一方面,还提供了一种鉴权装置,包括:第一获取单元,用于获取待认证设备所发送的鉴权请求,其中,上述鉴权请求中携带有用于对上述待认证设备进行鉴权的鉴权信息集及与上述待认证设备匹配的第一认证签名,上述第一认证签名根据上述鉴权信息集生成;第一鉴权单元,用于对上述鉴权信息集中所包含的每一个鉴权信息依次进行鉴权;第二鉴权单元,用于在上述鉴权信息集中所包含的鉴权信息均鉴权成功的情况下,对上述第一认证签名进行鉴权;确定单元,用于在上述第一认证签名鉴权成功的情况下,确定上述待认证设备为合法设备。
根据本发明实施例的又一方面,还提供了一种存储介质,该存储介质中存储有计算机程序,其中,该计算机程序被设置为运行时执行上述鉴权方法。
根据本发明实施例的又一方面,还提供了一种电子装置,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其中,上述处理器通过计算机程序执行上述鉴权方法。
在本发明实施例中,针对相关技术中鉴权方式比较单一,所导致的无法保证系统运行安全性的问题,采用了以下方式:在获取待认证设备所发送的鉴权请求之后,其中,上述鉴权请求中携带有用于对上述待认证设备进行鉴权的鉴权信息集及与上述待认证设备匹配的第一认证签名,上述第一认证签名根据上述鉴权信息集生成;对上述鉴权信息集中所包含的每一个鉴权信息依次进行鉴权;在上述鉴权信息集中所包含的鉴权信息均鉴权成功的情况下,对上述第一认证签名进行鉴权;在上述第一认证签名鉴权成功的情况下,确定上述待认证设备为合法设备。也就是说,在本实施例中提供的鉴权方法中,通过对鉴权信息集中的每一个鉴权信息依次进行鉴权,并在鉴权信息集中所包含的鉴权信息均鉴权成功的情况下,再对第一认证签名进行鉴权,不仅实现了对多种鉴权方式进行灵活组合,而且利用组合后的多种鉴权方式依次进行鉴权,还将了克服相关技术中仅使用单一的方式进行鉴权所导致的系统运行安全性较低的问题,从而达到提高对系统鉴权的安全性的目的,进而实现保证系统运行的安全性的效果。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的一种鉴权方法的应用环境的示意图;
图2是根据本发明实施例的一种可选的鉴权方法的流程示意图;
图3是根据本发明实施例的一种可选的鉴权方法的示意图;
图4是根据本发明实施例的另一种可选的鉴权方法的示意图;
图5是根据本发明实施例的又一种可选的鉴权方法的示意图;
图6是根据本发明实施例的又一种可选的鉴权方法的示意图;
图7是根据本发明实施例的又一种可选的鉴权方法的示意图;
图8是根据本发明实施例的另一种可选的鉴权方法的流程图;
图9是根据本发明实施例的一种可选的鉴权装置的结构示意图;
图10是根据本发明实施例的一种可选的电子装置的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
可选地,作为一种可选的实施方式,上述鉴权方法可以但不限于应用于如图1所示的环境中。服务器106通过步骤S102,通过网络104获取待认证设备102发送的鉴权请求,在服务器106获取到上述鉴权请求后,通过步骤S104对鉴权信息集中的每一个鉴权信息依次进行鉴权。在鉴权信息集中的所包含的鉴权信息均鉴权成功的情况下,服务器106通过步骤S106对第一认证签名进行鉴权。在第一认证签名鉴权成功的情况下,服务器106通过步骤S108确定待认证设备102为合法设备。
需要说明的是,在相关技术中,在对终端进行鉴权时,通常使用的鉴权方式比较单一,从而无法保证系统运行的安全性。针对上述问题,本申请实施例中采用了获取待认证设备所发送的鉴权请求;对鉴权信息集中所包含的每一个鉴权信息依次进行鉴权;在鉴权信息集中所包含的鉴权信息均鉴权成功的情况下,对第一认证签名进行鉴权;在第一认证签名鉴权成功的情况下,确定待认证设备为合法设备;其中,鉴权请求中携带有用于对待认证设备进行鉴权的鉴权信息集及与待认证设备匹配的第一认证签名,第一认证签名根据鉴权信息集生成的方法。在上述方法中,在鉴权时,是对鉴权信息集中的每一个鉴权信息依次进行鉴权,以及在鉴权信息集中所包含的鉴权信息均鉴权成功的情况下,对第一认证签名进行鉴权。可见,本发明实施例中在鉴权时,采用了多种的鉴权方式,保证了系统运行的安全性,从而解决了相关技术中由于鉴权方式单一而造成的无法保证系统运行的安全性的问题。
可选地,上述待认证设备可以但不限于为任何可以发送鉴权请求的终端,例如手机、平板电脑、笔记本电脑、PC机等终端,上述网络可以包括但不限于无线网络或有线网络。其中,该无线网络包括:蓝牙、WIFI及其他实现无线通信的网络。上述有线网络可以包括但不限于:广域网、城域网、局域网。上述服务器可以包括但不限于任何用于实现鉴权操作的硬件设备。
可选地,作为一种可选的实施方式,上述鉴权方法包括:
S202,获取待认证设备所发送的鉴权请求,其中,鉴权请求中携带有用于对待认证设备进行鉴权的鉴权信息集及与待认证设备匹配的第一认证签名,第一认证签名根据鉴权信息集生成;
S204,对鉴权信息集中所包含的每一个鉴权信息依次进行鉴权;
S206,在鉴权信息集中所包含的鉴权信息均鉴权成功的情况下,对第一认证签名进行鉴权;
S208,在第一认证签名鉴权成功的情况下,确定待认证设备为合法设备。
可选地,上述鉴权方法可以但不限于应用于任何对终端进行鉴权的过程中。例如,网页服务器对访问的终端的鉴权过程中,或者鉴权平台对接入的系统的鉴权过程中。以下结合终端访问网页服务器的鉴权过程进行说明。上述待认证设备可以为终端,上述鉴权信息集可以包括终端的服务器时间、终端标识等内容,上述服务器为网页服务器。
在终端访问网页服务器时,网页无武器获取终端发送的鉴权请求。网页服务器对鉴权请求中包含的鉴权信息集中的服务器时间、终端标识等鉴权信息进行鉴权,得到每一个鉴权信息的鉴权结果。在上述鉴权结果都成功的情况下,网页服务器对第一认证签名进行鉴权,在第一认证签名鉴权成功的情况下,网页服务器可以确定终端为合法设备,并响应终端的上网请求。
需要说明的是,在本实施例中,记载了以下方法:在获取待认证设备所发送的鉴权请求之后,其中,上述鉴权请求中携带有用于对上述待认证设备进行鉴权的鉴权信息集及与上述待认证设备匹配的第一认证签名,上述第一认证签名根据上述鉴权信息集生成;对上述鉴权信息集中所包含的每一个鉴权信息依次进行鉴权;在上述鉴权信息集中所包含的鉴权信息均鉴权成功的情况下,对上述第一认证签名进行鉴权;在上述第一认证签名鉴权成功的情况下,确定上述待认证设备为合法设备。也就是说,在本实施例中提供的鉴权方法中,通过对鉴权信息集中的每一个鉴权信息依次进行鉴权,并在鉴权信息集中所包含的鉴权信息均鉴权成功的情况下,再对第一认证签名进行鉴权,不仅实现了对多种鉴权方式进行灵活组合,而且利用组合后的多种鉴权方式依次进行鉴权,还将了克服相关技术中仅使用单一的方式进行鉴权所导致的系统运行安全性较低的,从而达到提高对系统鉴权的安全性的目的,进而实现保证系统运行的安全性的效果。
可选地,在鉴权信息集中所包含的鉴权信息均鉴权成功的情况下,对第一认证签名进行鉴权包括:根据以下至少两种信息按照与待认证设备约定的方式生成第二认证签名:用于对待认证设备进行鉴权的权限识别码、待认证设备的设备标识、上一次鉴权的鉴权结果、待认证设备的鉴权时间戳、已分配的密钥,其中,权限识别码根据已分配的指令识别码及待认证设备所请求的目标应用程序接口的接口标识而生成;比对生成的第二认证签名与第一认证签名。
例如,继续结合上述网页服务器对终端进行鉴权的过程进行说明。网页服务器在对终端进行鉴权时,会接收终端所发送的第一认证签名。而网页服务器需要对第一认证签名进行认证。则网页服务器与终端约定生成第一认证签名与第二认证签名的方式,并且根据约定的生成第二签名的方式,网页服务器生成第二认证签名。从而,网页服务器根据生成的第二认证签名对第一认证签名进行认证。在认证成功的情况下,则可以确定终端为合法的终端。
可选地,以下结合图3、图4、图5对上述根据以下至少两种信息生成第二认证签名的过程进行说明。如图3所示,图3为从信息中选出两个信息的情况。可见,从五种信息中选出两种信息存在10种情况。如图4所示,图4为从信息中选出三个信息的情况。可见从五种信息中选出三种信息存在6种情况。如图5所示,图5为从信息中选出四个信息的情况。可见从五种信息中选出四种信息存在5种情况。而从五中信息中选出五中信息仅存在一种情况。因此,终端与服务器之间可以约定的方式有22种。终端与服务器选择其中的一种进行约定。
可选地,在第一认证签名鉴权成功的情况下,确定待认证设备为合法设备包括:在第二认证签名与第一认证签名一致的情况下,确定第一认证签名鉴权成功,并确定待认证设备为合法设备。
例如,继续结合上述网页服务器对终端的验证过程进行说明。当服务器接收到终端发送的第一认证签名后,根据与终端约定的规则生成第二认证签名,并比对第一认证签名与第二认证签名。由于终端与服务器的生成第一认证签名与第二认证签名的规则是约定好的,因此第一认证签名与第二认证签名应该相同。因此,若是第一认证签名与第二认证签名相同,则终端为合法终端。如果第一认证签名与第二认证签名不同,则终端不为合法终端。
可选地,对鉴权信息集中所包含的每一个鉴权信息依次进行鉴权包括:获取鉴权信息集中所包含的鉴权信息的数量;在数量达到合法数值的情况下,获取鉴权信息集中除待认证设备的鉴权时间戳之外的鉴权信息,依次分别进行合法性鉴权;在鉴权信息集中除鉴权时间戳之外的鉴权信息均为合法信息的情况下,获取鉴权时间戳与当前时间戳之间的时差;在时差小于第一阈值的情况下,确定鉴权信息集中所包含的鉴权信息均鉴权成功。
例如,继续结合上述网页服务器对终端的验证过程进行说明。在网页服务器验证终端所发送的鉴权信息时,首先判断鉴权信息集中鉴权信息数量是否达到了合法数值。若是鉴权信息数量未达到合法数值,则不开始对终端的鉴权信息进行鉴权或者认为终端并不是合法设备。而若是鉴权信息的数量达到了合法数值,则一次对鉴权信息中除了鉴权时间戳之外的鉴权信息进行合法性鉴权。若是鉴权成功,则认为除鉴权时间戳之外的鉴权信息合法。而对鉴权时间戳进行鉴权时,则获取鉴权时间戳与当前时间戳之间的时差。在时差小于第二阈值的情况下,确定鉴权时间戳合法。在上述鉴权时间戳与其他鉴权信息都合法的情况下,则确定对鉴权信息集鉴权成功,发送鉴权信息集的终端为合法设备。
可选地,获取鉴权信息集中除待认证设备的鉴权时间戳之外的鉴权信息,依次分别进行合法性鉴权包括:在鉴权信息集中包括待认证设备的设备标识的情况下,确定待认证设备的设备标识是否为合法设备标识;在鉴权信息集中包括用于对待认证设备进行鉴权的权限识别码的情况下,确定权限识别码是否为合法权限识别码,其中,权限识别码根据已分配的指令识别码及待认证设备所请求的目标应用程序接口的接口标识而生成;在鉴权信息集中包括密钥的情况下,确定密钥是否为合法密钥。
可选地,在获取待认证设备所发送的鉴权请求之前,还包括:获取待认证设备发送的接入请求,其中,接入请求用于请求接入目标应用程序接口;响应接入请求,为待认证设备分配用于进行鉴权的指令识别码及密钥,以使待认证设备生成第一认证签名。
例如,继续结合上述网页服务器对终端的验证过程进行说明。在服务器获取终端发送的计入目标应用程序接口的接入请求之后,服务器为终端分配用于鉴权的指令识别码及密钥,在终端根据上述信息生成第一认证签名后,服务器再对上述第一认证签名进行认证。
可选地,在为待认证设备分配用于进行鉴权的指令识别码及密钥之后,还包括:待认证设备根据以下至少两种信息生成第一认证签名:用于对待认证设备进行鉴权的权限识别码、待认证设备的设备标识、上一次鉴权的鉴权结果、待认证设备的鉴权时间戳、已分配的密钥,其中,权限识别码根据已分配的指令识别码及目标应用程序接口的接口标识而生成。
可选地,待认证设备生成第一认证签名的过程与服务器获取第二认证签名的过程相同。以下仅以图6进行说明。如图6所示,为从信息中获取两种信息生成第一认证签名的情况,总共为10中情况。其余情况再次不做赘述。
通过本实施例,采用在获取待认证设备所发送的鉴权请求之后,其中,上述鉴权请求中携带有用于对上述待认证设备进行鉴权的鉴权信息集及与上述待认证设备匹配的第一认证签名,上述第一认证签名根据上述鉴权信息集生成;对上述鉴权信息集中所包含的每一个鉴权信息依次进行鉴权;在上述鉴权信息集中所包含的鉴权信息均鉴权成功的情况下,对上述第一认证签名进行鉴权;在上述第一认证签名鉴权成功的情况下,确定上述待认证设备为合法设备的方法,可以对鉴权信息集中的每一个鉴权信息依次进行鉴权,并在鉴权信息集中所包含的鉴权信息均鉴权成功的情况下,再对第一认证签名进行鉴权,不仅实现了对多种鉴权方式进行灵活组合,而且利用组合后的多种鉴权方式依次进行鉴权,还将了克服相关技术中仅使用单一的方式进行鉴权所导致的系统运行安全性较低的,从而达到提高对系统鉴权的安全性的目的,进而实现保证系统运行的安全性的效果。
作为一种可选的实施方案,在鉴权信息集中所包含的鉴权信息均鉴权成功的情况下,对第一认证签名进行鉴权包括:
S1,根据以下至少两种信息按照与待认证设备约定的方式生成第二认证签名:用于对待认证设备进行鉴权的权限识别码、待认证设备的设备标识、上一次鉴权的鉴权结果、待认证设备的鉴权时间戳、已分配的密钥,其中,权限识别码根据已分配的指令识别码及待认证设备所请求的目标应用程序接口的接口标识而生成;
S2,比对生成的第二认证签名与第一认证签名。
例如,继续结合上述网页服务器对终端进行鉴权的过程进行说明。网页服务器在对终端进行鉴权时,会接收终端所发送的第一认证签名。而网页服务器需要对第一认证签名进行认证。则网页服务器与终端约定生成第一认证签名与第二认证签名的方式,并且根据约定的生成第二签名的方式,网页服务器生成第二认证签名。从而,网页服务器根据生成的第二认证签名对第一认证签名进行认证。在认证成功的情况下,则可以确定终端为合法的终端。
可选地,以下结合图3、图4、图5对上述根据以下至少两种信息生成第二认证签名的过程进行说明。如图3所示,图3为从信息中选出两个信息的情况。可见,从五种信息中选出两种信息存在10种情况。如图4所示,图4为从信息中选出三个信息的情况。可见从五种信息中选出三种信息存在6种情况。如图5所示,图5为从信息中选出四个信息的情况。可见从五种信息中选出四种信息存在5种情况。而从五中信息中选出五中信息仅存在一种情况。因此,终端与服务器之间可以约定的方式有22种。终端与服务器选择其中的一种进行约定。
通过本实施例,通过根据上述至少两种信息按照约定的方式生成第二认证签名,从而对第一认证签名进行验证,从而可以根据对第一认证签名的验证结果决定待认证设备是否为合法设备。以及,根据上述用于对待认证设备进行鉴权的权限识别码、待认证设备的设备标识、上一次鉴权的鉴权结果、待认证设备的鉴权时间戳、已分配的密钥中的至少两个信息生成第二认证签名,从而采用了多种鉴权方式对待认证设备进行鉴权,从而保证了系统运行的安全性。
作为一种可选的实施方案,在第一认证签名鉴权成功的情况下,确定待认证设备为合法设备包括:
S1,在第二认证签名与第一认证签名一致的情况下,确定第一认证签名鉴权成功,并确定待认证设备为合法设备。
例如,继续结合上述网页服务器对终端的验证过程进行说明。当服务器接收到终端发送的第一认证签名后,根据与终端约定的规则生成第二认证签名,并比对第一认证签名与第二认证签名。由于终端与服务器的生成第一认证签名与第二认证签名的规则是约定好的,因此第一认证签名与第二认证签名应该相同。因此,若是第一认证签名与第二认证签名相同,则终端为合法终端。如果第一认证签名与第二认证签名不同,则终端不为合法终端。
通过本实施例,通过比对第一认证签名与第二认证签名是否一致来确定待认证设备是否为合法设备,从而保证了鉴权的准确性,进一步提高了系统运行的安全性。
作为一种可选的实施方案,对鉴权信息集中所包含的每一个鉴权信息依次进行鉴权包括:
S1,获取鉴权信息集中所包含的鉴权信息的数量;
S2,在数量达到合法数值的情况下,获取鉴权信息集中除待认证设备的鉴权时间戳之外的鉴权信息,依次分别进行合法性鉴权;
S3,在鉴权信息集中除鉴权时间戳之外的鉴权信息均为合法信息的情况下,获取鉴权时间戳与当前时间戳之间的时差;
S4,在时差小于第一阈值的情况下,确定鉴权信息集中所包含的鉴权信息均鉴权成功。
例如,继续结合上述网页服务器对终端的验证过程进行说明。在网页服务器验证终端所发送的鉴权信息时,首先判断鉴权信息集中鉴权信息数量是否达到了合法数值。若是鉴权信息数量未达到合法数值,则不开始对终端的鉴权信息进行鉴权或者认为终端并不是合法设备。而若是鉴权信息的数量达到了合法数值,则一次对鉴权信息中除了鉴权时间戳之外的鉴权信息进行合法性鉴权。若是鉴权成功,则认为除鉴权时间戳之外的鉴权信息合法。而对鉴权时间戳进行鉴权时,则获取鉴权时间戳与当前时间戳之间的时差。在时差小于第二阈值的情况下,确定鉴权时间戳合法。在上述鉴权时间戳与其他鉴权信息都合法的情况下,则确定对鉴权信息集鉴权成功,发送鉴权信息集的终端为合法设备。
通过本实施例,通过对鉴权信息集中的鉴权信息进行鉴权,以及对鉴权时间戳采用不同的鉴权方法,从而保证了可以对鉴权信息集中的鉴权信息进行灵活鉴权,提高了鉴权过程的灵活性。
作为一种可选的实施方案,获取鉴权信息集中除待认证设备的鉴权时间戳之外的鉴权信息,依次分别进行合法性鉴权包括:
S1,在鉴权信息集中包括待认证设备的设备标识的情况下,确定待认证设备的设备标识是否为合法设备标识;
S2,在鉴权信息集中包括用于对待认证设备进行鉴权的权限识别码的情况下,确定权限识别码是否为合法权限识别码,其中,权限识别码根据已分配的指令识别码及待认证设备所请求的目标应用程序接口的接口标识而生成;
S3,在鉴权信息集中包括密钥的情况下,确定密钥是否为合法密钥。
通过本实施例,通过对鉴权信息集中的权限识别码、密钥、待认证设备的设备标识等内容进行鉴权,从而可以准确对鉴权信息集中的鉴权信息进行鉴权,从而提高了鉴权的准确性,进一步提高了系统的安全性。
作为一种可选的实施方案,在获取待认证设备所发送的鉴权请求之前,还包括:
S1,获取待认证设备发送的接入请求,其中,接入请求用于请求接入目标应用程序接口;
S2,响应接入请求,为待认证设备分配用于进行鉴权的指令识别码及密钥,以使待认证设备生成第一认证签名。
例如,继续结合上述网页服务器对终端的验证过程进行说明。在服务器获取终端发送的计入目标应用程序接口的接入请求之后,服务器为终端分配用于鉴权的指令识别码及密钥,在终端根据上述信息生成第一认证签名后,服务器再对上述第一认证签名进行认证。
通过本实施例,通过在鉴权之前根据待认证设备的接入请求为待认证设备分配指令识别码及密钥,从而保证了可以对带认证设备所发送的第一认证签名进行准确鉴权,从而提高了鉴权的准确性,进一步保证了系统运行的安全性。
作为一种可选的实施方案,在为待认证设备分配用于进行鉴权的指令识别码及密钥之后,还包括:
S1,待认证设备根据以下至少两种信息生成第一认证签名:用于对待认证设备进行鉴权的权限识别码、待认证设备的设备标识、上一次鉴权的鉴权结果、待认证设备的鉴权时间戳、已分配的密钥,其中,权限识别码根据已分配的指令识别码及目标应用程序接口的接口标识而生成。
可选地,待认证设备生成第一认证签名的过程与服务器获取第二认证签名的过程相同。以下仅以图6进行说明。如图6所示,为从信息中获取两种信息生成第一认证签名的情况,总共为10中情况。其余情况再次不做赘述。
通过本实施例,待认证设备通过上述方法生成第一认证签名,从而保证了在待认证设备为合法设备的情况下,第一认证签名与第二认证签名相同。从而保证了对待认证设备进行鉴权的准确性,从而保证了系统运行的安全性。
以下结合图7与图8对上述鉴权方法做整体描述。
如图7所示,图7为待认证设备发送接入请求申请接入的过程。待认证设备通过步骤S702向服务器发送接入请求,服务器在接收到上述接入请求后,由管理员根据审核结果决定执行步骤S704拒绝为待认证设备分配指令识别码及密钥,或者是执行步骤S706,为待认证设备分配指令识别码及密钥。
如图8所示,图8为进行鉴权的过程。待认证设备通过步骤S802向服务器发送鉴权请求。其中,鉴权请求中携带有服务器为待认证设备分配的指令识别码及密钥。其中,上述指令识别码可以为服务器根据待认证设备的IP为待认证设备分配的唯一token码。待认证设备在获取到上述唯一token码与密钥后,将服务器时间、待认证设备的互联网协议地址(Internet protocol address,简称IP)、唯一token码、应用程序编程接口(applicationprogramming interface,简称API)名称、new token码等写入包头。在将上述鉴权信息发送给服务器后,服务器通过步骤S804对上述除服务器时间外的鉴权信息进行认证,在认证合法的情况下,服务器通过步骤S806对上述服务器时间进行认证。在认证合法的情况下,服务器通过步骤S808计算第二认证签名,并通过步骤S810认证第二认证签名是否合法,在合法的情况下,则执行步骤S812,确定待认证设备为合法设备。在此过程中,如果鉴权时间戳外的鉴权信息不合法,或者鉴权时间戳不合法,或者第二认证签名与第一认证签名不相同,则待认证设备不合法。
需要说明的是,上述new token为唯一token和API名称按照约定方式生成的。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例的方法。
根据本发明实施例的另一个方面,还提供了一种用于实施上述鉴权方法的鉴权装置,如图9所示,该装置包括:
(1)第一获取单元902,用于获取待认证设备所发送的鉴权请求,其中,鉴权请求中携带有用于对待认证设备进行鉴权的鉴权信息集及与待认证设备匹配的第一认证签名,第一认证签名根据鉴权信息集生成;
(2)第一鉴权单元904,用于对鉴权信息集中所包含的每一个鉴权信息依次进行鉴权;
(3)第二鉴权单元906,用于在鉴权信息集中所包含的鉴权信息均鉴权成功的情况下,对第一认证签名进行鉴权;
(4)确定单元908,用于在第一认证签名鉴权成功的情况下,确定待认证设备为合法设备。
可选地,上述鉴权装置可以但不限于应用于任何对终端进行鉴权的过程中。例如,网页服务器对访问的终端的鉴权过程中,或者鉴权平台对接入的系统的鉴权过程中。以下结合终端访问网页服务器的鉴权过程进行说明。上述待认证设备可以为终端,上述鉴权信息集可以包括终端的服务器时间、终端标识等内容,上述服务器为网页服务器。
在终端访问网页服务器时,网页无武器获取终端发送的鉴权请求。网页服务器对鉴权请求中包含的鉴权信息集中的服务器时间、终端标识等鉴权信息进行鉴权,得到每一个鉴权信息的鉴权结果。在上述鉴权结果都成功的情况下,网页服务器对第一认证签名进行鉴权,在第一认证签名鉴权成功的情况下,网页服务器可以确定终端为合法设备,并响应终端的上网请求。
需要说明的是,在本实施例中,记载了以下方法:在获取待认证设备所发送的鉴权请求之后,其中,上述鉴权请求中携带有用于对上述待认证设备进行鉴权的鉴权信息集及与上述待认证设备匹配的第一认证签名,上述第一认证签名根据上述鉴权信息集生成;对上述鉴权信息集中所包含的每一个鉴权信息依次进行鉴权;在上述鉴权信息集中所包含的鉴权信息均鉴权成功的情况下,对上述第一认证签名进行鉴权;在上述第一认证签名鉴权成功的情况下,确定上述待认证设备为合法设备。也就是说,在本实施例中提供的鉴权方法中,通过对鉴权信息集中的每一个鉴权信息依次进行鉴权,并在鉴权信息集中所包含的鉴权信息均鉴权成功的情况下,再对第一认证签名进行鉴权,不仅实现了对多种鉴权方式进行灵活组合,而且利用组合后的多种鉴权方式依次进行鉴权,还将了克服相关技术中仅使用单一的方式进行鉴权所导致的系统运行安全性较低的,从而达到提高对系统鉴权的安全性的目的,进而实现保证系统运行的安全性的效果。
可选地,在鉴权信息集中所包含的鉴权信息均鉴权成功的情况下,对第一认证签名进行鉴权包括:根据以下至少两种信息按照与待认证设备约定的方式生成第二认证签名:用于对待认证设备进行鉴权的权限识别码、待认证设备的设备标识、上一次鉴权的鉴权结果、待认证设备的鉴权时间戳、已分配的密钥,其中,权限识别码根据已分配的指令识别码及待认证设备所请求的目标应用程序接口的接口标识而生成;比对生成的第二认证签名与第一认证签名。
例如,继续结合上述网页服务器对终端进行鉴权的过程进行说明。网页服务器在对终端进行鉴权时,会接收终端所发送的第一认证签名。而网页服务器需要对第一认证签名进行认证。则网页服务器与终端约定生成第一认证签名与第二认证签名的方式,并且根据约定的生成第二签名的方式,网页服务器生成第二认证签名。从而,网页服务器根据生成的第二认证签名对第一认证签名进行认证。在认证成功的情况下,则可以确定终端为合法的终端。
可选地,以下结合图3、图4、图5对上述根据以下至少两种信息生成第二认证签名的过程进行说明。如图3所示,图3为从信息中选出两个信息的情况。可见,从五种信息中选出两种信息存在10种情况。如图4所示,图4为从信息中选出三个信息的情况。可见从五种信息中选出三种信息存在6种情况。如图5所示,图5为从信息中选出四个信息的情况。可见从五种信息中选出四种信息存在5种情况。而从五中信息中选出五中信息仅存在一种情况。因此,终端与服务器之间可以约定的方式有22种。终端与服务器选择其中的一种进行约定。
可选地,在第一认证签名鉴权成功的情况下,确定待认证设备为合法设备包括:在第二认证签名与第一认证签名一致的情况下,确定第一认证签名鉴权成功,并确定待认证设备为合法设备。
例如,继续结合上述网页服务器对终端的验证过程进行说明。当服务器接收到终端发送的第一认证签名后,根据与终端约定的规则生成第二认证签名,并比对第一认证签名与第二认证签名。由于终端与服务器的生成第一认证签名与第二认证签名的规则是约定好的,因此第一认证签名与第二认证签名应该相同。因此,若是第一认证签名与第二认证签名相同,则终端为合法终端。如果第一认证签名与第二认证签名不同,则终端不为合法终端。
可选地,对鉴权信息集中所包含的每一个鉴权信息依次进行鉴权包括:获取鉴权信息集中所包含的鉴权信息的数量;在数量达到合法数值的情况下,获取鉴权信息集中除待认证设备的鉴权时间戳之外的鉴权信息,依次分别进行合法性鉴权;在鉴权信息集中除鉴权时间戳之外的鉴权信息均为合法信息的情况下,获取鉴权时间戳与当前时间戳之间的时差;在时差小于第一阈值的情况下,确定鉴权信息集中所包含的鉴权信息均鉴权成功。
例如,继续结合上述网页服务器对终端的验证过程进行说明。在网页服务器验证终端所发送的鉴权信息时,首先判断鉴权信息集中鉴权信息数量是否达到了合法数值。若是鉴权信息数量未达到合法数值,则不开始对终端的鉴权信息进行鉴权或者认为终端并不是合法设备。而若是鉴权信息的数量达到了合法数值,则一次对鉴权信息中除了鉴权时间戳之外的鉴权信息进行合法性鉴权。若是鉴权成功,则认为除鉴权时间戳之外的鉴权信息合法。而对鉴权时间戳进行鉴权时,则获取鉴权时间戳与当前时间戳之间的时差。在时差小于第二阈值的情况下,确定鉴权时间戳合法。在上述鉴权时间戳与其他鉴权信息都合法的情况下,则确定对鉴权信息集鉴权成功,发送鉴权信息集的终端为合法设备。
可选地,获取鉴权信息集中除待认证设备的鉴权时间戳之外的鉴权信息,依次分别进行合法性鉴权包括:在鉴权信息集中包括待认证设备的设备标识的情况下,确定待认证设备的设备标识是否为合法设备标识;在鉴权信息集中包括用于对待认证设备进行鉴权的权限识别码的情况下,确定权限识别码是否为合法权限识别码,其中,权限识别码根据已分配的指令识别码及待认证设备所请求的目标应用程序接口的接口标识而生成;在鉴权信息集中包括密钥的情况下,确定密钥是否为合法密钥。
可选地,在获取待认证设备所发送的鉴权请求之前,还包括:获取待认证设备发送的接入请求,其中,接入请求用于请求接入目标应用程序接口;响应接入请求,为待认证设备分配用于进行鉴权的指令识别码及密钥,以使待认证设备生成第一认证签名。
例如,继续结合上述网页服务器对终端的验证过程进行说明。在服务器获取终端发送的计入目标应用程序接口的接入请求之后,服务器为终端分配用于鉴权的指令识别码及密钥,在终端根据上述信息生成第一认证签名后,服务器再对上述第一认证签名进行认证。
可选地,在为待认证设备分配用于进行鉴权的指令识别码及密钥之后,还包括:待认证设备根据以下至少两种信息生成第一认证签名:用于对待认证设备进行鉴权的权限识别码、待认证设备的设备标识、上一次鉴权的鉴权结果、待认证设备的鉴权时间戳、已分配的密钥,其中,权限识别码根据已分配的指令识别码及目标应用程序接口的接口标识而生成。
可选地,待认证设备生成第一认证签名的过程与服务器获取第二认证签名的过程相同。以下仅以图6进行说明。如图6所示,为从信息中获取两种信息生成第一认证签名的情况,总共为10中情况。其余情况再次不做赘述。
通过本实施例,采用在获取待认证设备所发送的鉴权请求之后,其中,上述鉴权请求中携带有用于对上述待认证设备进行鉴权的鉴权信息集及与上述待认证设备匹配的第一认证签名,上述第一认证签名根据上述鉴权信息集生成;对上述鉴权信息集中所包含的每一个鉴权信息依次进行鉴权;在上述鉴权信息集中所包含的鉴权信息均鉴权成功的情况下,对上述第一认证签名进行鉴权;在上述第一认证签名鉴权成功的情况下,确定上述待认证设备为合法设备的方法,可以对鉴权信息集中的每一个鉴权信息依次进行鉴权,并在鉴权信息集中所包含的鉴权信息均鉴权成功的情况下,再对第一认证签名进行鉴权,不仅实现了对多种鉴权方式进行灵活组合,而且利用组合后的多种鉴权方式依次进行鉴权,还将了克服相关技术中仅使用单一的方式进行鉴权所导致的系统运行安全性较低的,从而达到提高对系统鉴权的安全性的目的,进而实现保证系统运行的安全性的效果。
作为一种可选的实施方案,上述第二鉴权单元包括:
(1)生成模块,用于根据以下至少两种信息按照与待认证设备约定的方式生成第二认证签名:用于对待认证设备进行鉴权的权限识别码、待认证设备的设备标识、上一次鉴权的鉴权结果、待认证设备的鉴权时间戳、已分配的密钥,其中,权限识别码根据已分配的指令识别码及待认证设备所请求的目标应用程序接口的接口标识而生成;
(2)比对模块,用于比对生成的第二认证签名与第一认证签名。
例如,继续结合上述网页服务器对终端进行鉴权的过程进行说明。网页服务器在对终端进行鉴权时,会接收终端所发送的第一认证签名。而网页服务器需要对第一认证签名进行认证。则网页服务器与终端约定生成第一认证签名与第二认证签名的方式,并且根据约定的生成第二签名的方式,网页服务器生成第二认证签名。从而,网页服务器根据生成的第二认证签名对第一认证签名进行认证。在认证成功的情况下,则可以确定终端为合法的终端。
可选地,以下结合图3、图4、图5对上述根据以下至少两种信息生成第二认证签名的过程进行说明。如图3所示,图3为从信息中选出两个信息的情况。可见,从五种信息中选出两种信息存在10种情况。如图4所示,图4为从信息中选出三个信息的情况。可见从五种信息中选出三种信息存在6种情况。如图5所示,图5为从信息中选出四个信息的情况。可见从五种信息中选出四种信息存在5种情况。而从五中信息中选出五中信息仅存在一种情况。因此,终端与服务器之间可以约定的方式有22种。终端与服务器选择其中的一种进行约定。
通过本实施例,通过根据上述至少两种信息按照约定的方式生成第二认证签名,从而对第一认证签名进行验证,从而可以根据对第一认证签名的验证结果决定待认证设备是否为合法设备。以及,根据上述用于对待认证设备进行鉴权的权限识别码、待认证设备的设备标识、上一次鉴权的鉴权结果、待认证设备的鉴权时间戳、已分配的密钥中的至少两个信息生成第二认证签名,从而采用了多种鉴权方式对待认证设备进行鉴权,从而保证了系统运行的安全性。
作为一种可选的实施方案,上述确定单元包括:
(1)第一确定模块,用于在第二认证签名与第一认证签名一致的情况下,确定第一认证签名鉴权成功,并确定待认证设备为合法设备。
例如,继续结合上述网页服务器对终端的验证过程进行说明。当服务器接收到终端发送的第一认证签名后,根据与终端约定的规则生成第二认证签名,并比对第一认证签名与第二认证签名。由于终端与服务器的生成第一认证签名与第二认证签名的规则是约定好的,因此第一认证签名与第二认证签名应该相同。因此,若是第一认证签名与第二认证签名相同,则终端为合法终端。如果第一认证签名与第二认证签名不同,则终端不为合法终端。
通过本实施例,通过比对第一认证签名与第二认证签名是否一致来确定待认证设备是否为合法设备,从而保证了鉴权的准确性,进一步提高了系统运行的安全性。
作为一种可选的实施方案,上述第一鉴权单元包括:
(1)第一获取模块,用于获取鉴权信息集中所包含的鉴权信息的数量;
(2)第二获取模块,用于在数量达到合法数值的情况下,获取鉴权信息集中除待认证设备的鉴权时间戳之外的鉴权信息,依次分别进行合法性鉴权;
(3)第三获取模块,用于在鉴权信息集中除鉴权时间戳之外的鉴权信息均为合法信息的情况下,获取鉴权时间戳与当前时间戳之间的时差;
(4)第二确定模块,用于在时差小于第一阈值的情况下,确定鉴权信息集中所包含的鉴权信息均鉴权成功。
例如,继续结合上述网页服务器对终端的验证过程进行说明。在网页服务器验证终端所发送的鉴权信息时,首先判断鉴权信息集中鉴权信息数量是否达到了合法数值。若是鉴权信息数量未达到合法数值,则不开始对终端的鉴权信息进行鉴权或者认为终端并不是合法设备。而若是鉴权信息的数量达到了合法数值,则一次对鉴权信息中除了鉴权时间戳之外的鉴权信息进行合法性鉴权。若是鉴权成功,则认为除鉴权时间戳之外的鉴权信息合法。而对鉴权时间戳进行鉴权时,则获取鉴权时间戳与当前时间戳之间的时差。在时差小于第二阈值的情况下,确定鉴权时间戳合法。在上述鉴权时间戳与其他鉴权信息都合法的情况下,则确定对鉴权信息集鉴权成功,发送鉴权信息集的终端为合法设备。
通过本实施例,通过对鉴权信息集中的鉴权信息进行鉴权,以及对鉴权时间戳采用不同的鉴权方法,从而保证了可以对鉴权信息集中的鉴权信息进行灵活鉴权,提高了鉴权过程的灵活性。
作为一种可选的实施方案,上述第二获取模块包括:
(1)第一确定子模块,用于在鉴权信息集中包括待认证设备的设备标识的情况下,确定待认证设备的设备标识是否为合法设备标识;
(2)第二确定子模块,用于在鉴权信息集中包括用于对待认证设备进行鉴权的权限识别码的情况下,确定权限识别码是否为合法权限识别码,其中,权限识别码根据已分配的指令识别码及待认证设备所请求的目标应用程序接口的接口标识而生成;
(3)第三确定子模块,用于在鉴权信息集中包括密钥的情况下,确定密钥是否为合法密钥。
通过本实施例,通过对鉴权信息集中的权限识别码、密钥、待认证设备的设备标识等内容进行鉴权,从而可以准确对鉴权信息集中的鉴权信息进行鉴权,从而提高了鉴权的准确性,进一步提高了系统的安全性。
作为一种可选的实施方案,上述装置还包括:
(1)第二获取单元,用于在获取待认证设备所发送的鉴权请求之前,获取待认证设备发送的接入请求,其中,接入请求用于请求接入目标应用程序接口;
(2)分配单元,用于响应接入请求,为待认证设备分配用于进行鉴权的指令识别码及密钥,以使待认证设备生成第一认证签名。
例如,继续结合上述网页服务器对终端的验证过程进行说明。在服务器获取终端发送的计入目标应用程序接口的接入请求之后,服务器为终端分配用于鉴权的指令识别码及密钥,在终端根据上述信息生成第一认证签名后,服务器再对上述第一认证签名进行认证。
通过本实施例,通过在鉴权之前根据待认证设备的接入请求为待认证设备分配指令识别码及密钥,从而保证了可以对带认证设备所发送的第一认证签名进行准确鉴权,从而提高了鉴权的准确性,进一步保证了系统运行的安全性。
作为一种可选的实施方案,在为待认证设备分配用于进行鉴权的指令识别码及密钥之后,还包括:
S1,待认证设备根据以下至少两种信息生成第一认证签名:用于对待认证设备进行鉴权的权限识别码、待认证设备的设备标识、上一次鉴权的鉴权结果、待认证设备的鉴权时间戳、已分配的密钥,其中,权限识别码根据已分配的指令识别码及目标应用程序接口的接口标识而生成。
可选地,待认证设备生成第一认证签名的过程与服务器获取第二认证签名的过程相同。以下仅以图6进行说明。如图6所示,为从信息中获取两种信息生成第一认证签名的情况,总共为10中情况。其余情况再次不做赘述。
通过本实施例,待认证设备通过上述方法生成第一认证签名,从而保证了在待认证设备为合法设备的情况下,第一认证签名与第二认证签名相同。从而保证了对待认证设备进行鉴权的准确性,从而保证了系统运行的安全性。
以下结合图7与图8对上述鉴权方法做整体描述。
如图7所示,图7为待认证设备发送接入请求申请接入的过程。待认证设备通过步骤S702向服务器发送接入请求,服务器在接收到上述接入请求后,由管理员根据审核结果决定执行步骤S704拒绝为待认证设备分配指令识别码及密钥,或者是执行步骤S706,为待认证设备分配指令识别码及密钥。
如图8所示,图8为进行鉴权的过程。待认证设备通过步骤S802向服务器发送鉴权请求。其中,鉴权请求中携带有服务器为待认证设备分配的指令识别码及密钥。其中,上述指令识别码可以为服务器根据待认证设备的IP为待认证设备分配的唯一token码。待认证设备在获取到上述唯一token码与密钥后,将服务器时间、待认证设备的互联网协议地址(Internet protocol address,简称IP)、唯一token码、应用程序编程接口(applicationprogramming interface,简称API)名称、new token码等写入包头。在将上述鉴权信息发送给服务器后,服务器通过步骤S804对上述除服务器时间外的鉴权信息进行认证,在认证合法的情况下,服务器通过步骤S806对上述服务器时间进行认证。在认证合法的情况下,服务器通过步骤S808计算第二认证签名,并通过步骤S810认证第二认证签名是否合法,在合法的情况下,则执行步骤S812,确定待认证设备为合法设备。在此过程中,如果鉴权时间戳外的鉴权信息不合法,或者鉴权时间戳不合法,或者第二认证签名与第一认证签名不相同,则待认证设备不合法。
需要说明的是,上述new token为唯一token和API名称按照约定方式生成的。
根据本发明实施例的又一个方面,还提供了一种用于实施上述鉴权方法的电子装置,如图10所示,该电子装置包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为通过计算机程序执行上述任一项方法实施例中的步骤。
可选地,在本实施例中,上述电子装置可以位于计算机网络的多个网络设备中的至少一个网络设备。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
S1,获取待认证设备所发送的鉴权请求,其中,鉴权请求中携带有用于对待认证设备进行鉴权的鉴权信息集及与待认证设备匹配的第一认证签名,第一认证签名根据鉴权信息集生成;
S2,对鉴权信息集中所包含的每一个鉴权信息依次进行鉴权;
S3,在鉴权信息集中所包含的鉴权信息均鉴权成功的情况下,对第一认证签名进行鉴权;
S4,在第一认证签名鉴权成功的情况下,确定待认证设备为合法设备。
可选地,本领域普通技术人员可以理解,图10所示的结构仅为示意,电子装置也可以是智能手机(如Android手机、iOS手机等)、平板电脑、掌上电脑以及移动互联网设备(Mobile Internet Devices,MID)、PAD等终端设备。图10其并不对上述电子装置的结构造成限定。例如,电子装置还可包括比图10中所示更多或者更少的组件(如显示装置等),或者具有与图10所示不同的配置。
其中,存储器1002可用于存储软件程序以及模块,如本发明实施例中的鉴权方法和装置对应的程序指令/模块,处理器1004通过运行存储在存储器1002内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的鉴权方法。存储器1002可包括高速随机存储器,还可以包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器1002可进一步包括相对于处理器1004远程设置的存储器,这些远程存储器可以通过网络连接至终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
上述的传输装置1006用于经由一个网络接收或者发送数据。上述的网络具体实例可包括有线网络及无线网络。在一个实例中,传输装置1006包括一个网络适配器(NetworkInterface Controller,NIC),其可通过网线与其他网络设备与路由器相连从而可与互联网或局域网进行通讯。在一个实例中,传输装置1006为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
其中,具体地,存储器1002用于存储健全信息集中的鉴权信息、第一认证签名、第二认证签名等。
根据本发明的实施例的又一方面,还提供了一种存储介质,该存储介质中存储有计算机程序,其中,该计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
可选地,在本实施例中,上述存储介质可以被设置为存储用于执行以下步骤的计算机程序:
S1,获取待认证设备所发送的鉴权请求,其中,鉴权请求中携带有用于对待认证设备进行鉴权的鉴权信息集及与待认证设备匹配的第一认证签名,第一认证签名根据鉴权信息集生成;
S2,对鉴权信息集中所包含的每一个鉴权信息依次进行鉴权;
S3,在鉴权信息集中所包含的鉴权信息均鉴权成功的情况下,对第一认证签名进行鉴权;
S4,在第一认证签名鉴权成功的情况下,确定待认证设备为合法设备。
可选地,在本实施例中,上述存储介质可以被设置为存储用于执行以下步骤的计算机程序:
S1,根据以下至少两种信息按照与待认证设备约定的方式生成第二认证签名:用于对待认证设备进行鉴权的权限识别码、待认证设备的设备标识、上一次鉴权的鉴权结果、待认证设备的鉴权时间戳、已分配的密钥,其中,权限识别码根据已分配的指令识别码及待认证设备所请求的目标应用程序接口的接口标识而生成;
S2,比对生成的第二认证签名与第一认证签名。
可选地,在本实施例中,上述存储介质可以被设置为存储用于执行以下步骤的计算机程序:
S1,在第二认证签名与第一认证签名一致的情况下,确定第一认证签名鉴权成功,并确定待认证设备为合法设备。
可选地,在本实施例中,上述存储介质可以被设置为存储用于执行以下步骤的计算机程序:
S1,获取鉴权信息集中所包含的鉴权信息的数量;
S2,在数量达到合法数值的情况下,获取鉴权信息集中除待认证设备的鉴权时间戳之外的鉴权信息,依次分别进行合法性鉴权;
S3,在鉴权信息集中除鉴权时间戳之外的鉴权信息均为合法信息的情况下,获取鉴权时间戳与当前时间戳之间的时差;
S4,在时差小于第一阈值的情况下,确定鉴权信息集中所包含的鉴权信息均鉴权成功。
可选地,在本实施例中,上述存储介质可以被设置为存储用于执行以下步骤的计算机程序:
S1,在鉴权信息集中包括待认证设备的设备标识的情况下,确定待认证设备的设备标识是否为合法设备标识;
S2,在鉴权信息集中包括用于对待认证设备进行鉴权的权限识别码的情况下,确定权限识别码是否为合法权限识别码,其中,权限识别码根据已分配的指令识别码及待认证设备所请求的目标应用程序接口的接口标识而生成;
S3,在鉴权信息集中包括密钥的情况下,确定密钥是否为合法密钥。
可选地,在本实施例中,上述存储介质可以被设置为存储用于执行以下步骤的计算机程序:
S1,获取待认证设备发送的接入请求,其中,接入请求用于请求接入目标应用程序接口;
S2,响应接入请求,为待认证设备分配用于进行鉴权的指令识别码及密钥,以使待认证设备生成第一认证签名。
可选地,在本实施例中,本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(Read-Only Memory,ROM)、随机存取器(Random Access Memory,RAM)、磁盘或光盘等。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
上述实施例中的集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在上述计算机可读取的存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在存储介质中,包括若干指令用以使得一台或多台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的客户端,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (13)

1.一种鉴权方法,其特征在于,包括:
获取待认证设备所发送的鉴权请求,其中,所述鉴权请求中携带有用于对所述待认证设备进行鉴权的鉴权信息集及与所述待认证设备匹配的第一认证签名,所述第一认证签名根据所述鉴权信息集生成;
对所述鉴权信息集中所包含的每一个鉴权信息依次进行鉴权;
在所述鉴权信息集中所包含的鉴权信息均鉴权成功的情况下,对所述第一认证签名进行鉴权;
在所述第一认证签名鉴权成功的情况下,确定所述待认证设备为合法设备;
所述在所述鉴权信息集中所包含的鉴权信息均鉴权成功的情况下,对所述第一认证签名进行鉴权包括:
根据以下至少两种信息按照与所述待认证设备约定的方式生成第二认证签名:用于对所述待认证设备进行鉴权的权限识别码、所述待认证设备的设备标识、上一次鉴权的鉴权结果、所述待认证设备的鉴权时间戳、已分配的密钥,其中,所述权限识别码根据已分配的指令识别码及所述待认证设备所请求的目标应用程序接口的接口标识而生成;
比对生成的所述第二认证签名与所述第一认证签名。
2.根据权利要求1所述的方法,其特征在于,所述在所述第一认证签名鉴权成功的情况下,确定所述待认证设备为合法设备包括:
在所述第二认证签名与所述第一认证签名一致的情况下,确定所述第一认证签名鉴权成功,并确定所述待认证设备为所述合法设备。
3.根据权利要求1所述的方法,其特征在于,所述对所述鉴权信息集中所包含的每一个鉴权信息依次进行鉴权包括:
获取所述鉴权信息集中所包含的鉴权信息的数量;
在所述数量达到合法数值的情况下,获取所述鉴权信息集中除所述待认证设备的鉴权时间戳之外的鉴权信息,依次分别进行合法性鉴权;
在所述鉴权信息集中除所述鉴权时间戳之外的鉴权信息均为合法信息的情况下,获取所述鉴权时间戳与当前时间戳之间的时差;
在所述时差小于第一阈值的情况下,确定所述鉴权信息集中所包含的鉴权信息均鉴权成功。
4.根据权利要求3所述的方法,其特征在于,所述获取所述鉴权信息集中除所述待认证设备的鉴权时间戳之外的鉴权信息,依次分别进行合法性鉴权包括:
在所述鉴权信息集中包括所述待认证设备的设备标识的情况下,确定所述待认证设备的设备标识是否为合法设备标识;
在所述鉴权信息集中包括用于对所述待认证设备进行鉴权的权限识别码的情况下,确定所述权限识别码是否为合法权限识别码,其中,所述权限识别码根据已分配的指令识别码及所述待认证设备所请求的目标应用程序接口的接口标识而生成;
在所述鉴权信息集中包括密钥的情况下,确定所述密钥是否为合法密钥。
5.根据权利要求1所述的方法,其特征在于,在获取待认证设备所发送的鉴权请求之前,还包括:
获取所述待认证设备发送的接入请求,其中,所述接入请求用于请求接入目标应用程序接口;
响应所述接入请求,为所述待认证设备分配用于进行鉴权的指令识别码及密钥,以使所述待认证设备生成所述第一认证签名。
6.根据权利要求5所述的方法,其特征在于,在所述为所述待认证设备分配用于进行鉴权的指令识别码及密钥之后,还包括:
所述待认证设备根据以下至少两种信息生成所述第一认证签名:用于对所述待认证设备进行鉴权的权限识别码、所述待认证设备的设备标识、上一次鉴权的鉴权结果、所述待认证设备的鉴权时间戳、已分配的所述密钥,其中,所述权限识别码根据已分配的所述指令识别码及所述目标应用程序接口的接口标识而生成。
7.一种鉴权装置,其特征在于,包括:
第一获取单元,用于获取待认证设备所发送的鉴权请求,其中,所述鉴权请求中携带有用于对所述待认证设备进行鉴权的鉴权信息集及与所述待认证设备匹配的第一认证签名,所述第一认证签名根据所述鉴权信息集生成;
第一鉴权单元,用于对所述鉴权信息集中所包含的每一个鉴权信息依次进行鉴权;
第二鉴权单元,用于在所述鉴权信息集中所包含的鉴权信息均鉴权成功的情况下,对所述第一认证签名进行鉴权;
确定单元,用于在所述第一认证签名鉴权成功的情况下,确定所述待认证设备为合法设备;
所述第二鉴权单元包括:
生成模块,用于根据以下至少两种信息按照与所述待认证设备约定的方式生成第二认证签名:用于对所述待认证设备进行鉴权的权限识别码、所述待认证设备的设备标识、上一次鉴权的鉴权结果、所述待认证设备的鉴权时间戳、已分配的密钥,其中,所述权限识别码根据已分配的指令识别码及所述待认证设备所请求的目标应用程序接口的接口标识而生成;
比对模块,用于比对生成的所述第二认证签名与所述第一认证签名。
8.根据权利要求7所述的装置,其特征在于,所述确定单元包括:
第一确定模块,用于在所述第二认证签名与所述第一认证签名一致的情况下,确定所述第一认证签名鉴权成功,并确定所述待认证设备为所述合法设备。
9.根据权利要求7所述的装置,其特征在于,所述第一鉴权单元包括:
第一获取模块,用于获取所述鉴权信息集中所包含的鉴权信息的数量;
第二获取模块,用于在所述数量达到合法数值的情况下,获取所述鉴权信息集中除所述待认证设备的鉴权时间戳之外的鉴权信息,依次分别进行合法性鉴权;
第三获取模块,用于在所述鉴权信息集中除所述鉴权时间戳之外的鉴权信息均为合法信息的情况下,获取所述鉴权时间戳与当前时间戳之间的时差;
第二确定模块,用于在所述时差小于第一阈值的情况下,确定所述鉴权信息集中所包含的鉴权信息均鉴权成功。
10.根据权利要求9所述的装置,其特征在于,所述第二获取模块包括:
第一确定子模块,用于在所述鉴权信息集中包括所述待认证设备的设备标识的情况下,确定所述待认证设备的设备标识是否为合法设备标识;
第二确定子模块,用于在所述鉴权信息集中包括用于对所述待认证设备进行鉴权的权限识别码的情况下,确定所述权限识别码是否为合法权限识别码,其中,所述权限识别码根据已分配的指令识别码及所述待认证设备所请求的目标应用程序接口的接口标识而生成;
第三确定子模块,用于在所述鉴权信息集中包括密钥的情况下,确定所述密钥是否为合法密钥。
11.根据权利要求7所述的装置,其特征在于,所述装置还包括:
第二获取单元,用于在获取待认证设备所发送的鉴权请求之前,获取所述待认证设备发送的接入请求,其中,所述接入请求用于请求接入目标应用程序接口;
分配单元,用于响应所述接入请求,为所述待认证设备分配用于进行鉴权的指令识别码及密钥,以使所述待认证设备生成所述第一认证签名。
12.一种存储介质,其特征在于,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行所述权利要求1至6任一项中所述的方法。
13.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为通过所述计算机程序执行所述权利要求1至6任一项中所述的方法。
CN201810394507.8A 2018-04-27 2018-04-27 鉴权方法和装置、存储介质及电子装置 Active CN110198296B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810394507.8A CN110198296B (zh) 2018-04-27 2018-04-27 鉴权方法和装置、存储介质及电子装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810394507.8A CN110198296B (zh) 2018-04-27 2018-04-27 鉴权方法和装置、存储介质及电子装置

Publications (2)

Publication Number Publication Date
CN110198296A CN110198296A (zh) 2019-09-03
CN110198296B true CN110198296B (zh) 2021-08-20

Family

ID=67751002

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810394507.8A Active CN110198296B (zh) 2018-04-27 2018-04-27 鉴权方法和装置、存储介质及电子装置

Country Status (1)

Country Link
CN (1) CN110198296B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112749383A (zh) * 2019-10-29 2021-05-04 上海商汤智能科技有限公司 软件认证方法和相关产品
CN111597545B (zh) * 2020-05-19 2021-08-31 北京海泰方圆科技股份有限公司 一种授权管理方法及装置
CN111770081B (zh) * 2020-06-28 2021-11-05 国网江苏省电力有限公司信息通信分公司 基于角色认证的大数据机密文件访问方法
CN112600843B (zh) * 2020-12-15 2022-10-04 深圳康佳电子科技有限公司 一种鉴权方法、存储介质及网关
CN112487502B (zh) * 2020-12-15 2024-09-10 深圳平安智慧医健科技有限公司 设备鉴权方法、装置、电子设备及存储介质
CN113595744B (zh) * 2021-09-29 2021-12-31 北京卓建智菡科技有限公司 入网方法、装置、电子设备及存储介质
CN117478342A (zh) * 2022-07-20 2024-01-30 中兴通讯股份有限公司 配置数据激活方法、装置、电子设备及存储介质

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1571408A (zh) * 2003-07-17 2005-01-26 华为技术有限公司 一种基于媒体网关控制协议的安全认证方法
CN1848994A (zh) * 2005-04-11 2006-10-18 华为技术有限公司 一种实现微波接入全球互操作系统鉴权的方法
CN101286848A (zh) * 2008-05-23 2008-10-15 杨筑平 登录认证方法和登录签名程序
CN101394395A (zh) * 2007-09-18 2009-03-25 华为技术有限公司 一种认证方法和系统、及装置
CN102271120A (zh) * 2010-06-02 2011-12-07 清大安科(北京)科技有限公司 一种增强安全性的可信网络接入认证方法
CN104185181A (zh) * 2014-08-20 2014-12-03 成都千牛信息技术有限公司 一种基于iptables的WiFi用户接入控制方法
CN104902473A (zh) * 2014-04-21 2015-09-09 孟俊 一种基于cpk标识认证的无线网络接入认证的方法及装置
CN106960491A (zh) * 2017-04-25 2017-07-18 上海亦源智能科技有限公司 手机指纹门禁控制系统及控制方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8407479B2 (en) * 2003-12-31 2013-03-26 Honeywell International Inc. Data authentication and tamper detection

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1571408A (zh) * 2003-07-17 2005-01-26 华为技术有限公司 一种基于媒体网关控制协议的安全认证方法
CN1848994A (zh) * 2005-04-11 2006-10-18 华为技术有限公司 一种实现微波接入全球互操作系统鉴权的方法
CN101394395A (zh) * 2007-09-18 2009-03-25 华为技术有限公司 一种认证方法和系统、及装置
CN101286848A (zh) * 2008-05-23 2008-10-15 杨筑平 登录认证方法和登录签名程序
CN102271120A (zh) * 2010-06-02 2011-12-07 清大安科(北京)科技有限公司 一种增强安全性的可信网络接入认证方法
CN104902473A (zh) * 2014-04-21 2015-09-09 孟俊 一种基于cpk标识认证的无线网络接入认证的方法及装置
CN104185181A (zh) * 2014-08-20 2014-12-03 成都千牛信息技术有限公司 一种基于iptables的WiFi用户接入控制方法
CN106960491A (zh) * 2017-04-25 2017-07-18 上海亦源智能科技有限公司 手机指纹门禁控制系统及控制方法

Also Published As

Publication number Publication date
CN110198296A (zh) 2019-09-03

Similar Documents

Publication Publication Date Title
CN110198296B (zh) 鉴权方法和装置、存储介质及电子装置
CN108768970B (zh) 一种智能设备的绑定方法、身份认证平台及存储介质
CN106657152B (zh) 一种鉴权方法及服务器、访问控制装置
KR102511030B1 (ko) 검증 정보 업데이트 방법 및 장치
US9419953B2 (en) Trusted container
KR101242329B1 (ko) 보안 가입자 식별 모듈 서비스를 제공하기 위해 컴퓨터로 구현되는 방법, 보안 가입자 식별 모듈 서비스를 제공하는 장치 및 컴퓨터 판독가능 저장매체
CN108540433B (zh) 用户身份校验方法及装置
CN113079134B (zh) 移动终端接入方法、装置、计算机设备和介质
KR101744747B1 (ko) 휴대 단말기, 단말기 및 보안쿠키를 이용한 인증 방법
US8977857B1 (en) System and method for granting access to protected information on a remote server
US20140041002A1 (en) Secure Access Method, Apparatus And System For Cloud Computing
CN105991614B (zh) 一种开放授权、资源访问的方法及装置、服务器
US9124571B1 (en) Network authentication method for secure user identity verification
CN110856170B (zh) 数据传输方法、装置及物联网通信系统
CN111125677A (zh) 设备授权方法及系统
CN111901304B (zh) 移动安全设备的注册方法和装置、存储介质、电子装置
CN107040501B (zh) 基于平台即服务的认证方法和装置
CN110909340A (zh) 一种登录处理方法、系统、装置、电子设备及存储介质
CN110012317A (zh) 一种视频获取方法及装置、一种视频加密方法及装置
CN112637167A (zh) 系统登录方法、装置、计算机设备和存储介质
CN111327561B (zh) 认证方法、系统、认证服务器和计算机可读存储介质
CN110290097B (zh) 数据的处理方法、装置、存储介质和电子装置
CN108574658B (zh) 一种应用登录方法及其设备
CN107204959B (zh) 验证码的验证方法、装置及系统
CN117254969A (zh) 一种智能设备接入物联网系统的注册认证方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant