CN110266640A - 单点登录防篡改方法、装置、计算机设备及存储介质 - Google Patents
单点登录防篡改方法、装置、计算机设备及存储介质 Download PDFInfo
- Publication number
- CN110266640A CN110266640A CN201910394530.1A CN201910394530A CN110266640A CN 110266640 A CN110266640 A CN 110266640A CN 201910394530 A CN201910394530 A CN 201910394530A CN 110266640 A CN110266640 A CN 110266640A
- Authority
- CN
- China
- Prior art keywords
- private key
- label
- server
- public key
- log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Abstract
本发明提供了一种单点登录防篡改方法、装置、计算机设备及存储介质,方法包括,获取用户登入服务器的第一登录信息,并将第一登录信息与第一标签关联,生成相互绑定的私钥与公钥,将第一标签封装加密在公钥中,将公钥存储在服务器的会话库中,实现标签的加密,防止非法者向会话库中输入标签而直接进入服务器;随后发送私钥至预关联的终端设备,并获取用户通过终端设备输入的待验证私钥,并判断待验证私钥与私钥否相同,若相同,则从会话库中查找是否存在与私钥对应的公钥,若存在,则由私钥解密公钥而获得第一标签,并获得与第一标签对应的第一登录信息,以通过第一登录信息再次登入服务器,从而实现用户的单点登录。
Description
技术领域
本发明涉及计算机安全领域,特别涉及一种单点登录防篡改方法、装置、计算机设备及存储介质。
背景技术
CAS(中央认证服务,Central Authentication Service),目前业务系统的登录通过CAS认证的方式实现单点登录,其登录的流程为:中央系统提供统一用于登录的CAS.JAR程序包,在用户终端访问目标地址的过程中,CAS.JAR程序包会默认拦截用户终端的访问,当用户完成账号密码登入后,则允许访问目标地址,登录完成后通过CAS.JAR程序包记录用户的登录信息为标签存储至会话中,并在下次用户无需输入账号密码,登录信息包括用户ID、登录时间和登录密码。
故存在问题,SESSION(会话控制),指从用户终端注册进入系统到注销退出系统之间所经过的时间,如果需要的话存在一定的操作空间;若非法者通过SESSION向会话中放入用户ID和登录时间,系统会根据用户ID在CAS.JAR程序包中查找与用户ID对应的标签,在验证登录时间与标签向关联的时间匹配后,可导致在登录的过程中CAS.JAR程序包误判登录信息,使非法者通过CAS的单点登录方法绕过输入账号、密码的登录过程,故存在隐患。
发明内容
本发明的目的旨在解决非法者通过单点登录的方式进入系统的技术问题,而提供一种单点登录防篡改方法。
为实现上述目的,本发明提供如下技术方案:
本发明提供一种单点登录防篡改方法,包括:
获取用户首次登入服务器的第一登录信息,并判断用户是否输入单点登录指令,所述单点登录指令为用户登入所述服务器时无需输入所述第一登录信息的指令;
若是,则生成第一标签,并将所述第一登录信息与所述第一标签关联,所述第一标签为调用所述第一登录信息以登入所述服务器的标签;
生成相互绑定的私钥与公钥,将所述第一标签封装在所述公钥中,并将已封装所述第一标签的所述公钥存储至会话库中,以及将所述私钥发送至预关联的终端设备;
当用户使用所述单点登录所述服务器时,获取用户输入的待验证私钥,并验证所述待验证私钥是否与所述私钥相同;
若相同,则从所述会话库中查找出与所述私钥对应的所述公钥,并由所述私钥解密所述公钥而获得所述第一标签,通过所述第一标签调用所述第一登录信息以再次登入所述服务器。
进一步地,所述生成相互绑定的私钥与公钥的步骤,包括:
生成随机公式,所述随机公式为求值、得值和其他值三者之间的任意数学计算组合,所述得值和所述其他值为随机生成的常数;
将所述随机公式中的求值视为私钥,以及将所述随机公式中的得值视为公钥。
进一步地,所述从会话库中查找出与所述私钥对应的所述公钥的步骤,包括:
获取绑定所述私钥与所述公钥的第一随机公式,以通过所述第一随机公式查找出与所述私钥对应的所述公钥。
进一步地,由所述私钥解密所述公钥而获得所述第一标签的步骤,包括:
若所述私钥的第一求值导入至所述第一随机算式中能够求得与所述公钥对应的所述第一得值,则判定所述公钥被所述私钥解密,而获得封装加密于所述公钥中的第一标签。
进一步地,所述随机算式采用RSA算法、AES算法和ElGamal算法的任意一项。
进一步地,所述将所述私钥发送至预关联的终端设备的步骤,包括:
获取用户操作所述终端设备首次登入服务器时输入的终端号码,所述终端号码为应用于所述终端设备的号码;
发送所述私钥至与所述终端号码对应的所述终端设备。
进一步地,所述获取用户输入的待验证私钥,并验证所述待验证私钥是否与所述私钥相同的步骤,包括:
接收所述终端设备输入的登录指令;
根据所述登录指令,生成私钥输入请求,并发送所述私钥输入请求至所述终端设备;
获取用户根据所述私钥输入请求输入的所述待验证私钥,以验证所述待验证私钥是否与所述私钥相同。
本发明提供一种单点登录防篡改装置,包括:
第一登录单元,用于获取用户首次登入服务器的第一登录信息,并判断用户是否输入单点登录指令,所述单点登录指令为用户登入所述服务器时无需输入所述第一登录信息的指令;
标签关联单元,用于若是,则生成第一标签,并将所述第一登录信息与所述第一标签关联,所述第一标签为调用所述第一登录信息以登入所述服务器的标签;
封装加密单元,用于生成相互绑定的私钥与公钥,将所述第一标签封装在所述公钥中,并将已封装所述第一标签的所述公钥存储至会话库中,以及将所述私钥发送至预关联的终端设备;
私钥获取单元,用于当用户使用所述单点登录所述服务器时,获取用户输入的待验证私钥,并验证所述待验证私钥是否与所述私钥相同;
第二登录单元,用于若相同,则从所述会话库中查找出与所述私钥对应的所述公钥,并由所述私钥解密所述公钥而获得所述第一标签,通过所述第一标签调用所述第一登录信息以再次登入所述服务器。
本发明提供一种计算机设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时实现上述的单点登录防篡改方法的步骤。
本发明还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述的单点登录防篡改方法的步骤。
本发明提供了一种单点登录防篡改方法、装置、计算机设备及存储介质,具有以下有益效果:
服务器通过获取用户登入服务器的第一登录信息,并将第一登录信息与第一标签关联,生成相互绑定的私钥与公钥,将第一标签封装加密在公钥中,将已封装第一标签的公钥存储在服务器的会话库中,实现标签的加密,防止非法者向会话库中输入标签而直接进入服务器,发送私钥至预关联的终端设备;当用户需要单点登录时,服务器获取用户通过终端设备输入的待验证私钥,判断待验证私钥与私钥否相同,若相同,则从会话库中查找是否存在与私钥对应的公钥,若存在,则由私钥解密公钥而获得第一标签,根据第一标签获取第一登录信息,以通过第一登录信息再次登入服务器,从而实现用户的单点登录;因为采用了对第一标签的加密保护,保证了第一标签不会被盗取,有效的防止了非法者向SESSION输入第一标签而绕过用户登录过程。
附图说明
图1为本发明的单点登录防篡改方法一实施例的流程示意图;
图2为本发明的单点登录防篡改装置一实施例的结构框图;
图3为本发明的计算机设备一实施例的结构示意框图。
本发明为目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明所提供的动态预警方法由服务器所执行,本方案的说明结合服务器做出具体解释。
参考附图1,为本发明所提供的单点登录防篡改方法的流程示意图,其中包括:
S100,获取用户首次登入服务器的第一登录信息,并判断用户是否输入单点登录指令,单点登录指令为用户登入服务器时无需输入第一登录信息的指令。
第一登录信息包括用户ID和密码信息,在用户首次登入服务器之前需要进行注册,用户通过终端设备在服务器中进行注册,得到登录信息;登录信息可根据不同的用户具有多个,在本方案中用户通过向终端设备输入第一登录信息以登入服务器。
在用户首次登入服务器时,服务器判断用户操作终端设备是否输入单点登录指令,例如:用户在终端设备的应用程序中输入第一登录信息,服务器判断用户是否在应用程序中选择“记住第一登录信息”等的指令,从而实现服务器判断用户是否输入单点登录指令的过程。
S200,若是,则生成第一标签,并将第一登录信息与第一标签关联,第一标签为调用第一登录信息以登入服务器的标签;
服务器建立一个第一标签,由第一标签关联第一登录信息,在用户通过终端设备进行单点登录时,通过第一标签在服务器的会话库中找到与第一标签对应的第一登录信息,以帮助用户实现单点登录。
S300,生成相互绑定的私钥与公钥,将第一标签封装加密在公钥中,并已封装所述第一标签的将公钥存储在服务器的会话库中,发送私钥至预关联的终端设备;
由上述S200可知,服务器生成与第一登录信息关联的第一标签,通过第一标签替换第一登录信息,实现帮助用户单点登录进入服务器,但为防止非法者通过盗取第一标签,随后向服务器输入第一标签,而进入用户的服务器账户中的技术问题,提出如下技术手段:
服务器生成相互绑定的私钥与公钥,私钥可以理解为钥匙,公钥可以理解为密码箱,将第一标签封装在公钥中,由公钥对第一标签进行加密,以保证获取第一标签需要先对公钥进行解密,达到第一标签防盗的效果,随后,将封装好第一标签的公钥存储至服务器的会话库中,非法者通过SESSION进入会话库,但因为有公钥加密第一标签,从而使非法者不能盗取第一标签。
上述私钥为随机的数字,服务器将私钥发送至终端设备。
S400,当用户使用所述单点登录所述服务器时,获取用户输入的待验证私钥,并验证待验证私钥是否与私钥相同。
用户通过终端设备获知到私钥后,通过终端设备向服务器输入待验证私钥,服务器验证待验证私钥和私钥否相同。
由上述可知,私钥为随机数字,故用户操作终端设备在应用程序上输入待验证私钥,由服务器验证待验证私钥。
S500,若相同,则从会话库中查找出与私钥对应的公钥,并由私钥解密公钥而获得第一标签,通过第一标签调用第一登录信息以再次登入服务器。
若服务器判定待验证私钥与私钥相同,则通过私钥向服务器的会话库中查询出公钥,查询的方式为:将私钥导入至预关联的随机公式中,其中随机公式为生成私钥时与私钥绑定的公式,通过识别出的私钥导入至随机公式中以判断是否能够求出公钥,以确定输入的私钥是否正确。例如:X+Y=Z,其中X为私钥、Y为其它值、Z为公钥,Y和Z均是锁定的,服务器将X导入至该公式中,判断是否能够求出Z,若能求出Z,则服务器判定输入的私钥X为正确的。
若服务器验证私钥是正确的,既能够通过上述的随机公式查询出对应的公钥,并对公钥进行解密,从而计算机设备获取到第一标签,由上述可知,在用户注册登入服务器时,第一标签与第一登录信息已进行了关联,故服务器能获取第一登录信息,并根据第一登录信息再次登入服务器。
通过对第一标签附加私钥和公钥的加密关系,使得第一标签不易被盗取。
在另一实施例,用户首次通过第一登录信息登入服务器,并向服务器输入单点登录指令之后,用户再次登录服务器可以采用不同的终端输入私钥,达到再次登入服务器,例如:用户在第一终端登入服务器,获取到服务器反馈的私钥,用户可以向第二终端输入待验证私钥,在服务器验证待验证私钥无误后,可通过第二终端登入服务器,实现第二终端单点登入服务器的效果,极大的提升了登录的便捷性,同时提升安全性。
在一个实施例中,生成相互绑定的私钥与公钥的步骤,包括:
S201,生成随机公式,随机公式为求值、得值和其他值三者之间的任意数学计算组合,得值和其他值为随机生成的常数;
S202,将随机公式中的求值视为私钥,以及将随机公式中的得值视为公钥。
服务器随机的生成随机公式,得值和其他值三者之间的任意数学计算组合,得值和其他值为随机生成的常数,将随机公式中的求值视为私钥,以及将随机公式中的得值视为公钥,具体如下:
服务器生成随机公式,随机公式包括求值、得值和其它值,求值视为私钥,在私钥解密公开时,由用户输入私钥(即求值),若服务器判定随机公式成立,则解密成功;得值视为公钥,数值是锁定的;其他值也是锁定的,继续采用上述例子:X+Y=Z,X为求值、Y为其他值、Z为得值,X可以理解为私钥由用户输入,Y与Z数值是锁定的,通过服务器生成的随机公式进一步的确定私钥与公钥的生成,从而实现私钥和公钥的生成以及相互绑定。
在一个实施例中,在会话库中查找是否存在与私钥对应的公钥的步骤,包括:
S501,获取绑定私钥与公钥的第一随机公式,以通过第一随机公式查找出与私钥对应的公钥。
本实施例为在会话库中查找与私钥对应的公钥的具体手段,第一随机算式为服务器生成私钥时携带生成的与私钥绑定的算式,并将该第一随机算式存储至服务器的会话库中,服务器在会话库中识别出与私钥绑定的第一随机算式;随后,继续沿用上述例子:X+Y=Z,将私钥对应的第一求值X导入至第一随机算式中,若能够正确求得公钥的第一得值Z,则计算机设备认定第一得值对应的公钥为与私钥绑定的公钥。
在一个实施例中,私钥解密公钥而获得第一标签,并获得与第一标签对应的第一登录信息的步骤,包括:
S510,若私钥的第一求值导入至第一随机算式中能够求得与公钥对应的第一得值,则判定公钥被私钥解密,而获得封装加密于公钥中的第一标签。
由上述可知,X+Y=Z,将私钥对应的第一求值X导入至第一随机算式中,若能够正确求得公钥的第一得值Z,则计算机设备判定公钥被私钥解密,进而服务器能够获取到封装加密与公钥中的第一标签。
S520,获取与第一标签关联的第一登录信息。
在计算机设备获取到第一标签后,因为第一标签和第一登录信息在用户首次注册登入服务器时已经相互关联,则计算机设备在获取第一标签后,可再获得与第一标签相关联的第一登录信息。
在一个实施例中,随机算式采用RSA算法(RSA加密算法)、AES算法(AdvancedEncryption Standard,高级加密标准)和ElGamal算法的任意一项;但在另一实施例中,随机算式还可以是各种等式,如一次方程、欧姆定律方程等。
在一个实施例中,发送私钥至预关联的终端设备的步骤,包括:
S310,获取用户操作终端设备首次登入服务器时输入的终端号码,终端号码为应用于终端设备的号码;
S320,发送私钥至与终端号码对应的终端设备。
终端设备包括计算机设备、智能手机和平板手机,在用户操作终端设备首次登入服务器时,服务器会请求用户进行注册,而用户的注册信息即为登录信息,此时,服务器还请求用户输入与终端设备相关联的终端号码,以使登录信息与移动终端进行绑定。
服务器在生成相互绑定的私钥和公钥后,会将公钥存储于服务器的会话库中,并将私钥发送至与终端号码绑定的移动终端。
在一个实施例中,获取用户输入的待验证私钥,并验证待验证私钥是否与私钥相同的步骤,包括:
S410,接收终端设备输入的登录指令;
S420,根据登录指令,生成私钥输入请求,并发送私钥输入请求至终端设备;
S430,获取用户根据私钥输入请求输入的待验证私钥,以验证待验证私钥是否与私钥相同。
若用户需要一键单点登入服务器,则向终端输入登录指令,以通过登录指令一键再次登入服务器;服务器记载有首次登入的第一登录信息,服务器在获取到登录指令后,输出与第一登录信息对应关联的私钥的私钥输入请求至终端设备,以通过私钥输入请求请求用户输入待验证私钥,待用户输入待验证私钥后,对比待验证私钥和私钥是否相同,若相同,则服务器在会话库中查找与与私钥绑定的第一随机算法并计算出公钥,从而计算机设备获得解密公钥后的第一标签,以通过第一标签登入服务器,实现登入的过程。
综上所述,服务器通过获取用户登入服务器的第一登录信息,并将第一登录信息与第一标签关联,生成相互绑定的私钥与公钥,将第一标签封装加密在公钥中,将已封装第一标签的公钥存储在服务器的会话库中,实现标签的加密,防止非法者向会话库中输入标签而直接进入服务器,发送私钥至预关联的终端设备;当用户需要单点登录时,服务器获取用户通过终端设备输入的待验证私钥,判断待验证私钥与私钥否相同,若相同,则从会话库中查找是否存在与私钥对应的公钥,若存在,则由私钥解密公钥而获得第一标签,根据第一标签获取第一登录信息,以通过第一登录信息再次登入服务器,从而实现用户的单点登录;因为采用了对第一标签的加密保护,保证了第一标签不会被盗取,有效的防止了非法者向SESSION输入第一标签而绕过用户登录过程。
参考附图2,为本发明所提供的单点登录防篡改装置的结构框图,装置包括:
第一登录单元10,用于获取用户首次登入服务器的第一登录信息,并判断用户是否输入单点登录指令,单点登录指令为用户登入服务器时无需输入第一登录信息的指令。
第一登录信息包括用户ID和密码信息,在用户首次登入服务器之前需要进行注册,用户通过终端设备在服务器中进行注册,得到登录信息;登录信息可根据不同的用户具有多个,在本方案中用户通过向终端设备输入第一登录信息以登入服务器。
在用户首次登入服务器时,服务器判断用户操作终端设备是否输入单点登录指令,例如:用户在终端设备的应用程序中输入第一登录信息,服务器判断用户是否在应用程序中选择“记住第一登录信息”等的指令,从而实现服务器判断用户是否输入单点登录指令的过程。
标签关联单元20,用于若是,则生成第一标签,并将第一登录信息与第一标签关联,第一标签为调用第一登录信息以登入服务器的标签;
服务器建立一个第一标签,由第一标签关联第一登录信息,在用户通过终端设备进行单点登录时,通过第一标签在服务器的会话库中找到与第一标签对应的第一登录信息,以帮助用户实现单点登录。
封装加密单元30,用于生成相互绑定的私钥与公钥,将第一标签封装加密在公钥中,并已封装所述第一标签的将公钥存储在服务器的会话库中,发送私钥至预关联的终端设备;
由上述可知,服务器生成与第一登录信息关联的第一标签,通过第一标签替换第一登录信息,实现帮助用户单点登录进入服务器,但为防止非法者通过盗取第一标签,随后向服务器输入第一标签,而进入用户的服务器账户中的技术问题,提出如下技术手段:
服务器生成相互绑定的私钥与公钥,私钥可以理解为钥匙,公钥可以理解为密码箱,将第一标签封装在公钥中,由公钥对第一标签进行加密,以保证获取第一标签需要先对公钥进行解密,达到第一标签防盗的效果,随后,将封装好第一标签的公钥存储至服务器的会话库中,非法者通过SESSION进入会话库,但因为有公钥加密第一标签,从而使非法者不能盗取第一标签。
上述私钥为随机的数字,服务器将私钥发送至终端设备。
私钥获取单元40,用于当用户使用所述单点登录所述服务器时,获取用户输入的待验证私钥,并验证待验证私钥是否与私钥相同。
用户通过终端设备获知到私钥后,通过终端设备向服务器输入待验证私钥,服务器验证待验证私钥和私钥否相同。
由上述可知,私钥为随机数字,故用户操作终端设备在应用程序上输入待验证私钥,由服务器验证待验证私钥。
第二登录单元50,用于若相同,则从会话库中查找出与私钥对应的公钥,并由私钥解密公钥而获得第一标签,通过第一标签调用第一登录信息以再次登入服务器。
若服务器判定待验证私钥与私钥相同,则通过私钥向服务器的会话库中查询出公钥,查询的方式为:将私钥导入至预关联的随机公式中,其中随机公式为生成私钥时与私钥绑定的公式,通过识别出的私钥导入至随机公式中以判断是否能够求出公钥,以确定输入的私钥是否正确。例如:X+Y=Z,其中X为私钥、Y为其它值、Z为公钥,Y和Z均是锁定的,服务器将X导入至该公式中,判断是否能够求出Z,若能求出Z,则服务器判定输入的私钥X为正确的。
若服务器验证私钥是正确的,既能够通过上述的随机公式查询出对应的公钥,并对公钥进行解密,从而计算机设备获取到第一标签,由上述可知,在用户注册登入服务器时,第一标签与第一登录信息已进行了关联,故服务器能获取第一登录信息,并根据第一登录信息再次登入服务器。
通过对第一标签附加私钥和公钥的加密关系,使得第一标签不易被盗取。
在另一实施例,用户首次通过第一登录信息登入服务器,并向服务器输入单点登录指令之后,用户再次登录服务器可以采用不同的终端输入私钥,达到再次登入服务器,例如:用户在第一终端登入服务器,获取到服务器反馈的私钥,用户可以向第二终端输入待验证私钥,在服务器验证待验证私钥无误后,可通过第二终端登入服务器,实现第二终端单点登入服务器的效果,极大的提升了登录的便捷性,同时提升安全性。
在一个实施例中,封装加密单元30包括:
公式关联模块,用于生成随机公式,随机公式为求值、得值和其他值三者之间的任意数学计算组合,得值和其他值为随机生成的常数;
密钥确定模块,用于将随机公式中的求值视为私钥,以及将随机公式中的得值视为公钥。
服务器随机的生成随机公式,得值和其他值三者之间的任意数学计算组合,得值和其他值为随机生成的常数,将随机公式中的求值视为私钥,以及将随机公式中的得值视为公钥,具体如下:
服务器生成随机公式,随机公式包括求值、得值和其它值,求值视为私钥,在私钥解密公开时,由用户输入私钥(即求值),若服务器判定随机公式成立,则解密成功;得值视为公钥,数值是锁定的;其他值也是锁定的,继续采用上述例子:X+Y=Z,X为求值、Y为其他值、Z为得值,X可以理解为私钥由用户输入,Y与Z数值是锁定的,通过服务器生成的随机公式进一步的确定私钥与公钥的生成,从而实现私钥和公钥的生成以及相互绑定。
在一个实施例中,第二登录单元50包括:
公钥搜索模块,用于获取绑定私钥与公钥的第一随机公式,以通过第一随机公式查找出与私钥对应的公钥。
本实施例为在会话库中查找与私钥对应的公钥的具体手段,第一随机算式为服务器生成私钥时携带生成的与私钥绑定的算式,并将该第一随机算式存储至服务器的会话库中,服务器在会话库中识别出与私钥绑定的第一随机算式;随后,继续沿用上述例子:X+Y=Z,将私钥对应的第一求值X导入至第一随机算式中,若能够正确求得公钥的第一得值Z,则计算机设备认定第一得值对应的公钥为与私钥绑定的公钥。
在一个实施例中,第二登录单元50还包括:
解密模块,用于若私钥的第一求值导入至第一随机算式中能够求得与公钥对应的第一得值,则判定公钥被私钥解密,而获得封装加密于公钥中的第一标签。
由上述可知,X+Y=Z,将私钥对应的第一求值X导入至第一随机算式中,若能够正确求得公钥的第一得值Z,则计算机设备判定公钥被私钥解密,进而服务器能够获取到封装加密与公钥中的第一标签。
获取与第一标签关联的第一登录信息。
在计算机设备获取到第一标签后,因为第一标签和第一登录信息在用户首次注册登入服务器时已经相互关联,则计算机设备在获取第一标签后,可再获得与第一标签相关联的第一登录信息。
在一个实施例中,随机算式采用RSA算法(RSA加密算法)、AES算法(AdvancedEncryption Standard,高级加密标准)和ElGamal算法的任意一项;但在另一实施例中,随机算式还可以是各种等式,如一次方程、欧姆定律方程等。
在一个实施例中,封装加密单元30包括:
号码获取模块,用于获取用户操作终端设备首次登入服务器时输入的终端号码,终端号码为应用于终端设备的号码;
私钥发送模块,用于发送私钥至与终端号码对应的终端设备。
终端设备包括计算机设备、智能手机和平板手机,在用户操作终端设备首次登入服务器时,服务器会请求用户进行注册,而用户的注册信息即为登录信息,此时,服务器还请求用户输入与终端设备相关联的终端号码,以使登录信息与移动终端进行绑定。
服务器在生成相互绑定的私钥和公钥后,会将公钥存储于服务器的会话库中,并将私钥发送至与终端号码绑定的移动终端。
在一个实施例中,私钥获取单元包括:
指令接收模块,用于接收终端设备输入的登录指令;
请求生成模块,用于根据登录指令,生成私钥输入请求,并发送私钥输入请求至终端设备;
获取模块,用于获取用户根据私钥输入请求输入的待验证私钥,以验证待验证私钥是否与私钥相同。
若用户需要一键单点登入服务器,则向终端输入登录指令,以通过登录指令一键再次登入服务器;服务器记载有首次登入的第一登录信息,服务器在获取到登录指令后,输出与第一登录信息对应关联的私钥的私钥输入请求至终端设备,以通过私钥输入请求请求用户输入待验证私钥,待用户输入待验证私钥后,对比待验证私钥和私钥是否相同,若相同,则服务器在会话库中查找与与私钥绑定的第一随机算法并计算出公钥,从而计算机设备获得解密公钥后的第一标签,以通过第一标签登入服务器,实现登入的过程。
参照图3,本申请实施例中还提供一种计算机设备,该计算机设备可以是服务器,其内部结构可以如图3所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设计的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储测试数据表等数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种单点登录防篡改方法。
一种单点登录防篡改方法,包括:
获取用户首次登入服务器的第一登录信息,并判断用户是否输入单点登录指令,单点登录指令为用户登入服务器时无需输入第一登录信息的指令;
若是,则生成第一标签,并将第一登录信息与第一标签关联,第一标签为调用第一登录信息以登入服务器的标签;
生成相互绑定的私钥与公钥,将第一标签封装在公钥中,并已封装第一标签的将公钥存储至会话库中,以及将私钥发送至预关联的终端设备;
当用户使用单点登录服务器时,获取用户输入的待验证私钥,并验证待验证私钥是否与私钥相同;
若相同,则从会话库中查找出与私钥对应的公钥,并由私钥解密公钥而获得第一标签,通过第一标签调用第一登录信息以再次登入服务器。
在一实施例中,上述执行生成相互绑定的私钥与公钥的步骤,包括:
生成随机公式,随机公式为求值、得值和其他值三者之间的任意数学计算组合,得值和其他值为随机生成的常数;
将随机公式中的求值视为私钥,以及将随机公式中的得值视为公钥。
在一实施例中,上述执行从会话库中查找出与私钥对应的公钥的步骤,包括:
获取绑定私钥与公钥的第一随机公式,以通过第一随机公式查找出与私钥对应的公钥。
在一实施例中,上述执行由私钥解密公钥而获得第一标签的步骤,包括:
若私钥的第一求值导入至第一随机算式中能够求得与公钥对应的第一得值,则判定公钥被私钥解密,而获得封装加密于公钥中的第一标签。
在一实施例中,随机算式采用RSA算法、AES算法和ElGamal算法的任意一项。
在一实施例中,上述执行将私钥发送至预关联的终端设备的步骤,包括:
获取用户操作终端设备首次登入服务器时输入的终端号码,终端号码为应用于终端设备的号码;
发送私钥至与终端号码对应的终端设备。
在一实施例中,上述执行获取用户输入的待验证私钥,并验证待验证私钥是否与私钥相同的步骤,包括:
接收终端设备输入的登录指令;
根据登录指令,生成私钥输入请求,并发送私钥输入请求至终端设备;
获取用户根据私钥输入请求输入的待验证私钥,以验证待验证私钥是否与私钥相同。
本领域技术人员可以理解,图3中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定。
本申请一实施例还提供一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现一种单点登录防篡改方法的步骤,具体为:
一种单点登录防篡改方法,包括:
获取用户首次登入服务器的第一登录信息,并判断用户是否输入单点登录指令,单点登录指令为用户登入服务器时无需输入第一登录信息的指令;
若是,则生成第一标签,并将第一登录信息与第一标签关联,第一标签为调用第一登录信息以登入服务器的标签;
生成相互绑定的私钥与公钥,将第一标签封装在公钥中,并已封装所述第一标签的将公钥存储至会话库中,以及将私钥发送至预关联的终端设备;
当用户使用单点登录服务器时,获取用户输入的待验证私钥,并验证待验证私钥是否与私钥相同;
若相同,则从会话库中查找出与私钥对应的公钥,并由私钥解密公钥而获得第一标签,通过第一标签调用第一登录信息以再次登入服务器。
在一实施例中,上述执行生成相互绑定的私钥与公钥的步骤,包括:
生成随机公式,随机公式为求值、得值和其他值三者之间的任意数学计算组合,得值和其他值为随机生成的常数;
将随机公式中的求值视为私钥,以及将随机公式中的得值视为公钥。
在一实施例中,上述执行从会话库中查找出与私钥对应的公钥的步骤,包括:
获取绑定私钥与公钥的第一随机公式,以通过第一随机公式查找出与私钥对应的公钥。
在一实施例中,上述执行由私钥解密公钥而获得第一标签的步骤,包括:
若私钥的第一求值导入至第一随机算式中能够求得与公钥对应的第一得值,则判定公钥被私钥解密,而获得封装加密于公钥中的第一标签。
在一实施例中,随机算式采用RSA算法、AES算法和ElGamal算法的任意一项。
在一实施例中,上述执行将私钥发送至预关联的终端设备的步骤,包括:
获取用户操作终端设备首次登入服务器时输入的终端号码,终端号码为应用于终端设备的号码;
发送私钥至与终端号码对应的终端设备。
在一实施例中,上述执行获取用户输入的待验证私钥,并验证待验证私钥是否与私钥相同的步骤,包括:
接收终端设备输入的登录指令;
根据登录指令,生成私钥输入请求,并发送私钥输入请求至终端设备;
获取用户根据私钥输入请求输入的待验证私钥,以验证待验证私钥是否与私钥相同。
综上所述,服务器通过获取用户登入服务器的第一登录信息,并将第一登录信息与第一标签关联,生成相互绑定的私钥与公钥,将第一标签封装加密在公钥中,将已封装第一标签的公钥存储在服务器的会话库中,实现标签的加密,防止非法者向会话库中输入标签而直接进入服务器,发送私钥至预关联的终端设备;当用户需要单点登录时,服务器获取用户通过终端设备输入的待验证私钥,判断待验证私钥与私钥否相同,若相同,则从会话库中查找是否存在与私钥对应的公钥,若存在,则由私钥解密公钥而获得第一标签,根据第一标签获取第一登录信息,以通过第一登录信息再次登入服务器,从而实现用户的单点登录;因为采用了对第一标签的加密保护,保证了第一标签不会被盗取,有效的防止了非法者向SESSION输入第一标签而绕过用户登录过程。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储与一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的和实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可以包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM通过多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双速据率SDRAM(SSRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其它变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、装置、物品或者方法不仅包括那些要素,而且还包括没有明确列出的其它要素,或者是还包括为这种过程、装置、物品或者方法所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、装置、物品或者方法中还存在另外的相同要素。
以上所述仅为本申请的优选实施例,并非因此限制本申请的专利范围,凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其它相关的技术领域,均同理包括在本申请的专利保护范围内。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。
Claims (10)
1.一种单点登录防篡改方法,其特征在于,包括:
获取用户首次登入服务器的第一登录信息,并判断用户是否输入单点登录指令,所述单点登录指令为用户登入所述服务器时无需输入所述第一登录信息的指令;
若是,则生成第一标签,并将所述第一登录信息与所述第一标签关联,所述第一标签为调用所述第一登录信息以登入所述服务器的标签;
生成相互绑定的私钥与公钥,将所述第一标签封装在所述公钥中,并将已封装所述第一标签的所述公钥存储至会话库中,以及将所述私钥发送至预关联的终端设备;
当用户使用所述单点登录所述服务器时,获取用户输入的待验证私钥,并验证所述待验证私钥是否与所述私钥相同;
若相同,则从所述会话库中查找出与所述私钥对应的所述公钥,并由所述私钥解密所述公钥而获得所述第一标签,通过所述第一标签调用所述第一登录信息以再次登入所述服务器。
2.根据权利要求1所述的单点登录防篡改方法,其特征在于,所述生成相互绑定的私钥与公钥的步骤,包括:
生成随机公式,所述随机公式为求值、得值和其他值三者之间的任意数学计算组合,所述得值和所述其他值为随机生成的常数;
将所述随机公式中的求值视为私钥,以及将所述随机公式中的得值视为公钥。
3.根据权利要求2所述的单点登录防篡改方法,其特征在于,所述从会话库中查找出与所述私钥对应的所述公钥的步骤,包括:
获取绑定所述私钥与所述公钥的第一随机公式,以通过所述第一随机公式查找出与所述私钥对应的所述公钥。
4.根据权利要求3所述的单点登录防篡改方法,其特征在于,所述由所述私钥解密所述公钥而获得所述第一标签的步骤,包括:
若所述私钥的第一求值导入至所述第一随机算式中能够求得与所述公钥对应的所述第一得值,则判定所述公钥被所述私钥解密;
获得封装加密于所述公钥中的第一标签。
5.根据权利要求2所述的单点登录防篡改方法,其特征在于,所述随机算式采用RSA算法、AES算法和ElGamal算法的任意一项。
6.根据权利要求1所述的单点登录防篡改方法,其特征在于,所述将所述私钥发送至预关联的终端设备的步骤,包括:
获取用户操作所述终端设备首次登入服务器时输入的终端号码,所述终端号码为应用于所述终端设备的号码;
发送所述私钥至与所述终端号码对应的所述终端设备。
7.根据权利要求1所述的单点登录防篡改方法,其特征在于,所述获取用户输入的待验证私钥,并验证所述待验证私钥是否与所述私钥相同的步骤,包括:
接收所述终端设备输入的登录指令;
根据所述登录指令,生成私钥输入请求,并发送所述私钥输入请求至所述终端设备;
获取用户根据所述私钥输入请求输入的所述待验证私钥,以验证所述待验证私钥是否与所述私钥相同。
8.一种单点登录防篡改装置,其特征在于,包括:
第一登录单元,用于获取用户首次登入服务器的第一登录信息,并判断用户是否输入单点登录指令,所述单点登录指令为用户登入所述服务器时无需输入所述第一登录信息的指令;
标签关联单元,用于若是,则生成第一标签,并将所述第一登录信息与所述第一标签关联,所述第一标签为调用所述第一登录信息以登入所述服务器的标签;
封装加密单元,用于生成相互绑定的私钥与公钥,将所述第一标签封装在所述公钥中,并将已封装所述第一标签的所述公钥存储至会话库中,以及将所述私钥发送至预关联的终端设备;
私钥获取单元,用于当用户使用所述单点登录所述服务器时,获取用户输入的待验证私钥,并验证所述待验证私钥是否与所述私钥相同;
第二登录单元,用于若相同,则从所述会话库中查找出与所述私钥对应的所述公钥,并由所述私钥解密所述公钥而获得所述第一标签,通过所述第一标签调用所述第一登录信息以再次登入所述服务器。
9.一种计算机设备,包括存储器和处理器,所述存储器中存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述的单点登录防篡改方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的单点登录防篡改方法的步骤。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910394530.1A CN110266640B (zh) | 2019-05-13 | 2019-05-13 | 单点登录防篡改方法、装置、计算机设备及存储介质 |
PCT/CN2019/117662 WO2020228278A1 (zh) | 2019-05-13 | 2019-11-12 | 单点登录防篡改方法、装置、计算机设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910394530.1A CN110266640B (zh) | 2019-05-13 | 2019-05-13 | 单点登录防篡改方法、装置、计算机设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110266640A true CN110266640A (zh) | 2019-09-20 |
CN110266640B CN110266640B (zh) | 2021-11-05 |
Family
ID=67914630
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910394530.1A Active CN110266640B (zh) | 2019-05-13 | 2019-05-13 | 单点登录防篡改方法、装置、计算机设备及存储介质 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN110266640B (zh) |
WO (1) | WO2020228278A1 (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020228278A1 (zh) * | 2019-05-13 | 2020-11-19 | 平安科技(深圳)有限公司 | 单点登录防篡改方法、装置、计算机设备及存储介质 |
CN113591140A (zh) * | 2021-07-30 | 2021-11-02 | 平安普惠企业管理有限公司 | 资源数据防篡改方法、系统、计算机设备及存储介质 |
CN113961956A (zh) * | 2021-10-28 | 2022-01-21 | 平安科技(深圳)有限公司 | 标签化网络信息服务生成及应用方法、装置、设备、介质 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115049414A (zh) * | 2021-02-25 | 2022-09-13 | 有呗网(深圳)科技有限公司 | 全流程自动化智能客服处理的方法和相关介质 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080072301A1 (en) * | 2004-07-09 | 2008-03-20 | Matsushita Electric Industrial Co., Ltd. | System And Method For Managing User Authentication And Service Authorization To Achieve Single-Sign-On To Access Multiple Network Interfaces |
CN101510877A (zh) * | 2009-02-25 | 2009-08-19 | 中国网络通信集团公司 | 单点登录方法和系统、通信装置 |
US20110138446A1 (en) * | 1999-04-22 | 2011-06-09 | Barrett Paul D | System and method for providing user authentication and identity management |
CN102790712A (zh) * | 2011-05-17 | 2012-11-21 | 北京航空航天大学 | Web服务安全处理方法及系统 |
CN102868704A (zh) * | 2012-10-11 | 2013-01-09 | 北京新媒传信科技有限公司 | 一种单点登录的方法和系统 |
CN105430014A (zh) * | 2015-12-30 | 2016-03-23 | 福建亿榕信息技术有限公司 | 一种单点登录方法及其系统 |
CN106330829A (zh) * | 2015-06-26 | 2017-01-11 | 东方电气集团东方电机有限公司 | 一种采用中间件实现单点登录的方法和系统 |
CN106341232A (zh) * | 2016-09-18 | 2017-01-18 | 中国科学院软件研究所 | 一种基于口令的匿名实体鉴别方法 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7246230B2 (en) * | 2002-01-29 | 2007-07-17 | Bea Systems, Inc. | Single sign-on over the internet using public-key cryptography |
CN101207482B (zh) * | 2007-12-13 | 2010-07-21 | 深圳市戴文科技有限公司 | 一种实现单点登录的方法及系统 |
CN110266640B (zh) * | 2019-05-13 | 2021-11-05 | 平安科技(深圳)有限公司 | 单点登录防篡改方法、装置、计算机设备及存储介质 |
-
2019
- 2019-05-13 CN CN201910394530.1A patent/CN110266640B/zh active Active
- 2019-11-12 WO PCT/CN2019/117662 patent/WO2020228278A1/zh active Application Filing
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110138446A1 (en) * | 1999-04-22 | 2011-06-09 | Barrett Paul D | System and method for providing user authentication and identity management |
US20080072301A1 (en) * | 2004-07-09 | 2008-03-20 | Matsushita Electric Industrial Co., Ltd. | System And Method For Managing User Authentication And Service Authorization To Achieve Single-Sign-On To Access Multiple Network Interfaces |
CN101510877A (zh) * | 2009-02-25 | 2009-08-19 | 中国网络通信集团公司 | 单点登录方法和系统、通信装置 |
CN102790712A (zh) * | 2011-05-17 | 2012-11-21 | 北京航空航天大学 | Web服务安全处理方法及系统 |
CN102868704A (zh) * | 2012-10-11 | 2013-01-09 | 北京新媒传信科技有限公司 | 一种单点登录的方法和系统 |
CN106330829A (zh) * | 2015-06-26 | 2017-01-11 | 东方电气集团东方电机有限公司 | 一种采用中间件实现单点登录的方法和系统 |
CN105430014A (zh) * | 2015-12-30 | 2016-03-23 | 福建亿榕信息技术有限公司 | 一种单点登录方法及其系统 |
CN106341232A (zh) * | 2016-09-18 | 2017-01-18 | 中国科学院软件研究所 | 一种基于口令的匿名实体鉴别方法 |
Non-Patent Citations (2)
Title |
---|
EMIN ERDEM;K. ORCUN KUCUKKURT;KADIR SAMURKAS;ERTUG KANARGI;UFUK: "A smart card based single Sign-On and password management solution as a browser extension", 《2010 INTERNATIONAL CONFERENCE ON EDUCATION AND MANAGEMENT TECHNOLOGY》 * |
杨剑: "服务集成及安全认证在分布式平台的应用研究", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020228278A1 (zh) * | 2019-05-13 | 2020-11-19 | 平安科技(深圳)有限公司 | 单点登录防篡改方法、装置、计算机设备及存储介质 |
CN113591140A (zh) * | 2021-07-30 | 2021-11-02 | 平安普惠企业管理有限公司 | 资源数据防篡改方法、系统、计算机设备及存储介质 |
CN113591140B (zh) * | 2021-07-30 | 2023-10-03 | 安徽韬珀信息技术有限公司 | 资源数据防篡改方法、系统、计算机设备及存储介质 |
CN113961956A (zh) * | 2021-10-28 | 2022-01-21 | 平安科技(深圳)有限公司 | 标签化网络信息服务生成及应用方法、装置、设备、介质 |
Also Published As
Publication number | Publication date |
---|---|
CN110266640B (zh) | 2021-11-05 |
WO2020228278A1 (zh) | 2020-11-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105050081B (zh) | 网络接入设备接入无线网络接入点的方法、装置和系统 | |
CN110266640A (zh) | 单点登录防篡改方法、装置、计算机设备及存储介质 | |
JP4866863B2 (ja) | セキュリティコード生成方法及びユーザ装置 | |
CN110535833B (zh) | 一种基于区块链的数据共享控制方法 | |
CN1808966B (zh) | 安全数据处理方法及其系统 | |
ES2370764T3 (es) | Gestión de derechos digitales (drm) robusta y flexible con un módulo de identidad inviolable. | |
US8572372B2 (en) | Method for selectively enabling access to file systems of mobile terminals | |
TWI354898B (zh) | ||
CN106326763B (zh) | 获取电子文件的方法及装置 | |
CN110365670A (zh) | 黑名单共享方法、装置、计算机设备和存储介质 | |
US20060232826A1 (en) | Method, device, and system of selectively accessing data | |
US11042652B2 (en) | Techniques for multi-domain memory encryption | |
US9372987B1 (en) | Apparatus and method for masking a real user controlling synthetic identities | |
CN111625829A (zh) | 基于可信执行环境的应用激活方法及装置 | |
CN106878245A (zh) | 图形码信息提供、获取方法、装置及终端 | |
CN103201998A (zh) | 用于保护移动装置中的本地资源的数据处理 | |
CN108270739B (zh) | 一种管理加密信息的方法及装置 | |
CN101122942A (zh) | 数据安全读取方法及其安全存储装置 | |
CN109858255A (zh) | 数据加密存储方法、装置及实现装置 | |
CN113282944B (zh) | 智能锁开启方法、装置、电子设备及存储介质 | |
CN109040134A (zh) | 一种信息加密的设计方法及相关装置 | |
CN102202057B (zh) | 一种移动存储器安全转储数据系统及其方法 | |
CN105430649B (zh) | Wifi接入方法及设备 | |
CN106992978A (zh) | 网络安全管理方法及服务器 | |
CN112528268B (zh) | 跨渠道的小程序登录管理方法、装置及相关设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |