CN111193724B - 鉴权方法、装置、服务器及存储介质 - Google Patents
鉴权方法、装置、服务器及存储介质 Download PDFInfo
- Publication number
- CN111193724B CN111193724B CN201911308410.1A CN201911308410A CN111193724B CN 111193724 B CN111193724 B CN 111193724B CN 201911308410 A CN201911308410 A CN 201911308410A CN 111193724 B CN111193724 B CN 111193724B
- Authority
- CN
- China
- Prior art keywords
- terminal
- target
- server
- authentication
- local area
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Abstract
本申请公开了一种鉴权方法、装置、服务器及存储介质,属于网络技术领域。本实施例提供了一种基于设备的鉴权方法,通过在鉴权过程中,在终端和服务器之间传输终端自身的设备信息,利用终端的设备信息,来验证是否为终端开启局域网对应的权限,从而以设备信息作为认证的维度进行鉴权。这种方法免去了人工输入密钥带来的繁琐操作,节省了鉴权的时间成本,提高了鉴权的效率,避免了密钥泄露带来的风险。此外,由于设备信息通过设备本身的物理硬件决定,是设备的固有属性,因此能够避免非法用户伪造认证信息而被验证通过的情况,实现了防伪造、防篡改的功能,因此提高了鉴权的安全性。
Description
技术领域
本申请涉及网络技术领域,特别涉及一种鉴权方法、装置、服务器及存储介质。
背景技术
随着网络技术的发展,社会中可提供局域网服务的场所越来越多,例如网吧、校园、企业、咖啡馆等。为了吸引用户使用局域网服务,局域网的运营者可以和一些应用的服务器进行签约,约定通过该局域网登录服务器的用户可享受一些特权。例如,网吧的运营者可以和游戏的服务器签约,约定玩家通过网吧登录游戏账号时,可以在本次登录过程中免费使用游戏皮肤,从而通过免费使用皮肤的特权吸引玩家。为了验证能否为终端开启特权,服务器会进行鉴权。
目前,鉴权的方法通常是:用户在局域网的终端上执行输入操作,输入用户账号以及密钥,终端会根据用户账号以及密钥,生成鉴权请求,向服务器发送鉴权请求。服务器接收鉴权请求后,会解析鉴权请求,得到鉴权请求携带的用户账号以及密钥,对鉴权请求携带的密钥和用户账号预先绑定的密钥进行对比;如果鉴权请求携带的密钥和用户账号预先绑定的密钥一致,则验证通过,为用户账号开启权限。
采用上述方法进行鉴权时,用户需要在终端上人工输入密钥,导致密钥存在泄漏的风险,并且,人工输入操作较为繁琐,影响了鉴权的效率。
发明内容
本申请实施例提供了一种鉴权方法、装置、服务器及存储介质,能够解决相关技术中鉴权过程中密钥容易泄露且操作较为繁琐的问题。所述技术方案如下:
一方面,提供了一种鉴权方法,应用于服务器,所述方法包括:
从第一终端接收鉴权请求,所述鉴权请求用于请求为第一终端登录的用户账号开启目标权限,所述目标权限为接入目标局域网的第二终端能够开启的权限;
解析所述鉴权请求,得到所述鉴权请求携带的第一设备信息;
根据所述目标局域网对应的第二设备信息,对所述第一设备信息进行验证;
当验证通过时,为所述用户账号开启所述目标权限。
可选地,所述将所述第二设备信息存储为已激活目标权限的设备信息,包括:
接收所述第二终端发送的第二设备信息;
将所述第二终端发送的第二设备信息与所述激活请求携带的第二设备信息进行对比;
如果一致,将所述第二设备信息存储为已激活目标权限的设备信息。
另一方面,提供了一种鉴权方法,应用于目标局域网的网关设备,所述目标局域网接入的第二终端能够开启目标权限,所述方法包括:
从所述第二终端接收第二设备信息;
根据所述第二设备信息,生成激活请求,所述激活请求用于请求为所述第二终端激活所述目标权限;
向服务器发送所述激活请求。
可选地,所述第二设备信息包括所述第二终端的硬件参数以及所述第二终端的网络信息,所述根据所述第二设备信息,生成激活请求,包括:
将所述第二终端的网络信息与路由信息进行对比,所述路由信息包括接入所述目标局域网的每个终端的网络信息;
如果所述第二终端的网络信息命中所述路由信息,根据所述第二终端的硬件参数,生成激活请求。
另一方面,提供了一种鉴权装置,所述装置包括:
接收模块,用于从第一终端接收鉴权请求,所述鉴权请求用于请求为第一终端登录的用户账号开启目标权限,所述目标权限为接入目标局域网的第二终端能够开启的权限;
解析模块,用于解析所述鉴权请求,得到所述鉴权请求携带的第一设备信息;
验证模块,用于根据所述目标局域网对应的第二设备信息,对所述第一设备信息进行验证;
开启模块,用于当验证通过时,为所述用户账号开启所述目标权限。
可选地,所述第一设备信息包括所述第一终端的硬件参数,所述第二设备信息包括所述第二终端的硬件参数;
所述验证模块,用于将所述第一终端的硬件参数与所述第二终端的硬件参数进行对比;如果所述第一终端的硬件参数与所述第二终端的硬件参数一致,验证通过;如果所述第一终端的硬件参数与所述第二终端的硬件参数不一致,验证不通过。
可选地,所述接收模块,还用于从所述目标局域网的网关设备接收激活请求,所述激活请求用于请求为所述第二终端激活所述目标权限;
所述解析模块,用于解析所述激活请求,得到所述激活请求携带的第二设备信息;
所述装置还包括:存储模块,用于将所述第二设备信息存储为已激活目标权限的设备信息。
可选地,所述装置还包括:检测模块,用于检测所述第一终端与所述服务器的网络通信方式;
拒绝模块,用于如果检测到所述第一终端通过网络地址转换(Network AddressTranslation,NAT)代理与所述服务器进行通信,拒绝为所述用户账号开启所述目标权限。
可选地,所述接收模块,还用于接收所述第二终端发送的第二设备信息;
所述验证模块,还用于将所述第二终端发送的第二设备信息与所述激活请求携带的第二设备信息进行对比;
所述存储模块,用于如果一致,将所述第二设备信息存储为已激活目标权限的设备信息。
另一方面,提供了一种鉴权装置,所述装置包括:
接收模块,用于从目标局域网接入的第二终端接收第二设备信息,所述第二终端能够开启目标权限;
生成模块,用于根据所述第二设备信息,生成激活请求,所述激活请求用于请求为所述第二终端激活所述目标权限;
发送模块,用于向服务器发送所述激活请求。
可选地,所述接收模块,包括:
接收子模块,用于通过目标端口,从所述第二终端接收设备信息密文;
解密子模块,用于使用目标密钥,对所述设备信息密文进行解密,得到所述第二设备信息。
可选地,所述装置还包括:
写入模块,用于向镜像文件写入所述目标密钥和目标端口号中的至少一项,所述镜像文件用于启动所述第二终端的操作系统,所述目标端口号用于标识所述目标端口;
所述发送模块,还用于向所述第二终端发送所述镜像文件。
可选地,所述装置还包括:
对比模块,用于将所述第二终端的网络信息与路由信息进行对比,所述路由信息包括接入所述目标局域网的每个终端的网络信息;
所述生成模块,用于如果所述第二终端的网络信息命中所述路由信息,根据所述第二终端的硬件参数,生成激活请求。
另一方面,提供了一种服务器,所述服务器包括一个或多个处理器和一个或多个存储器,所述一个或多个存储器中存储有至少一条程序代码,所述至少一条程序代码由所述一个或多个处理器加载并执行以实现上述鉴权方法所执行的操作。
另一方面,提供了一种网关设备,所述网关设备包括一个或多个处理器和一个或多个存储器,所述一个或多个存储器中存储有至少一条程序代码,所述至少一条程序代码由所述一个或多个处理器加载并执行以实现上述鉴权方法所执行的操作。
另一方面,提供了一种计算机可读存储介质,所述存储介质中存储有至少一条程序代码,所述至少一条程序代码由服务器的处理器加载并执行以实现上述鉴权方法所执行的操作。
另一方面,提供了一种计算机可读存储介质,所述存储介质中存储有至少一条程序代码,所述至少一条程序代码由网关设备的处理器加载并执行以实现上述鉴权方法所执行的操作。
本申请实施例提供的技术方案带来的有益效果至少包括:
本实施例提供了一种基于设备的鉴权方法,通过在鉴权过程中,在终端和服务器之间传输终端自身的设备信息,利用终端的设备信息,来验证是否为终端开启局域网对应的权限,从而以设备信息作为认证的维度进行鉴权。这种方法免去了人工输入密钥带来的繁琐操作,节省了鉴权的时间成本,提高了鉴权的效率,避免了密钥泄露带来的风险。此外,由于设备信息通过设备本身的物理硬件决定,是设备的固有属性,因此能够避免非法用户伪造认证信息而被验证通过的情况,实现了防伪造、防篡改的功能,因此提高了鉴权的安全性。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的一种鉴权系统的架构图;
图2是本申请实施例提供的一种网络部署流程的示意图;
图3是本申请实施例提供的一种权限认证流程的示意图;
图4是本申请实施例提供的一种权限校验流程的示意图;
图5是本申请实施例提供的一种鉴权装置的结构示意图;
图6是本申请实施例提供的一种鉴权装置的结构示意图;
图7是本申请实施例提供的一种服务器的结构示意图;
图8是本申请实施例提供的一种网关设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本申请中的字符“/”,一般表示前后关联对象是一种“或”的关系。
本申请中术语“多个”的含义是指两个或两个以上,例如,多个数据包是指两个或两个以上的数据包。
本申请中术语“第一”“第二”等字样用于对作用和功能基本相同的相同项或相似项进行区分,应理解,“第一”、“第二”、“第n”之间不具有逻辑或时序上的依赖关系,也不对数量和执行顺序进行限定。
以下,对本申请涉及的术语进行解释。
网关程序:是安装在局域网中主机上的软件,主机可以通过运行该网关程序,来对接入局域网的终端进行管理。在本申请的一些实施例中,局域网的网络管理员可以使用账号和密码,登录网关程序,通过网关程序来管理权限相关的内容。
SecureIdentify.exe(安全身份):是一种用于认证的软件,局域网的终端可以部署该软件,来收集用于认证的设备信息,上报给服务器以及网关设备。
以下,示例性介绍本申请的系统架构。
图1是本申请实施例提供的一种鉴权系统的架构图。该鉴权系统包括:终端110、网关设备120和安全后台130。终端110通过无线网络或有线网络与网关设备120和安全后台130相连,网关设备120与安全后台130通过无线网络或有线网络相连。
终端110可以是智能手机、游戏主机、台式计算机、平板电脑、电子书阅读器、MP3(Moving Picture Experts Group Audio Layer III,动态影像专家压缩标准音频层面3)播放器或MP4(Moving Picture Experts Group Audio Layer IV,动态影像专家压缩标准音频层面4)播放器和膝上型便携计算机中的至少一种。
终端110安装和运行有应用程序,该应用程序可以登录有用户账号,当终端110接入目标局域网时,如果被安全后台130验证通过,该用户账号能够开启特权。该应用程序可以是游戏应用、视频应用、社交应用等。
网关设备120用于管理目标局域网,网关设备120可以是主机、个人计算机、服务器、网络设备等。
安全后台130用于认证用户账号的身份,以便判定是否为用户账号开启特权。安全后台130可以包括服务器1301和数据库1302。
服务器1301可以是一台服务器、多台服务器、云计算平台或者虚拟化中心中的至少一种。服务器1301用于为支持鉴权的应用程序提供后台服务,例如为SecureIdentify.exe提供后台服务。
数据库1302可以存储有目标局域网中一个或多个终端的设备信息,当终端110请求开启特权时,服务器可以访问数据库1302,得到存储的设备信息,以便利用设备信息进行鉴权。
本领域技术人员可以知晓,即使图1未示出,上述终端、服务器或者网关设备的数量可以更多或更少。比如上述终端、服务器或者网关设备可以仅为一个,或者上述终端、服务器或者网关设备为几十个或几百个,或者更多数量,此时上述鉴权系统还包括其他终端、服务器或者网关设备,本申请实施例对此不加以限定。
本申请实施例提供了一套鉴权体系,该鉴权体系可以包括多个阶段的方法流程。以下,对该鉴权体系中的网络部署流程进行介绍,该网络部署流程可以包括以下步骤一至步骤二:
步骤一、目标局域网的网关设备在至少一个第二终端上部署认证程序。
目标局域网是指能够使用目标特权的一个或多个设备组成的局域网。具体地,目标局域网的运营者可以和服务器签约,约定该目标局域网中的设备能够开启目标特权。
目标特权可以是目标应用的特权,目标应用为服务器关联的应用。以目标应用为游戏为例,目标特权可以是免费皮肤、专属礼包、专属道具、专属游戏奖励、专属经验加成、专属任务、免费英雄等。以目标应用为视频应用为例,目标特权可以是播放视频时免费跳过广告、免费下载视频等。以目标应用为社交应用为例,目标特权可以是等级加速、专属头像、专属徽章等。以目标应用为电子书应用为例,目标特权可以是VIP(very importantperson,贵宾)小说免费阅读等,以目标应用为外卖应用为例,目标特权可以是付费折扣、支付红包等。
服务器为目标应用的后台服务器,服务器可以称为安全后台(例如G3-wbpsvr),上文中的网关设备可以称为CS通道服务器,该安全后台和CS通道服务器可以为不同的服务器。
关于网关设备部署认证程序的具体过程,在一些实施例中,网关设备可以预先存储认证程序,当接收到部署指令时,将认证程序分发至目标局域网的每个设备。其中,网关设备可以预先安装网关程序,该网关程序中包含部署认证程序的程序代码,网关设备可以在运行网关程序的过程中,执行部署认证程序的流程。示例性地,以认证程序为SecureIdentify.exe(安全认证程序)为例,网吧的服务器可以预先安装网关程序,网关程序会安装SecureIdentify.exe到网吧的每个客户机,网吧管理员可以对每个客户机上进行配置操作,设置SecureIdentify.exe在开机时自动启动。
步骤二、第二终端安装认证程序。
第二终端是指接入了目标局域网的终端设备。例如,如果目标局域网是网吧网络,则第二终端可以是网吧的客户机。如果目标局域网是校园网络,则第二终端可以是接入校园网的个人计算机或手机。第二终端可以接收网关设备发送的认证程序,安装认证程序,启动认证程序,从而部署安全认证的逻辑,从而为后续鉴权的流程实现了预先埋点。
以上介绍了鉴权体系中的网络部署流程,以下对鉴权体系中的信息采集流程进行介绍,参见图2,该信息采集流程可以包括以下步骤一至步骤八:
步骤一、网关设备向镜像文件写入加密通信信息。
镜像文件为操作系统的镜像,镜像文件用于启动第二终端的操作系统。
加密通信信息用于供网关设备与第二终端进行加密通信。具体地,加密通信信息可以包括目标密钥、目标端口号中的至少一项。其中,目标密钥用于对设备信息进行加密处理,目标密钥在程序中可以记为key(密钥),目标密钥可以是对称式密钥也可以是非对称式密钥。此外,加密通信信息还可以包括网关设备的网际互连协议(Internet Protocol,IP)地址。目标端口号用于标识目标端口,目标端口为网关设备用于接收设备信息的端口。
步骤二、第二终端向网关设备发送镜像拉取请求。
步骤三、网关设备向第二终端发送镜像文件。
步骤四、第二终端接收镜像文件,通过该镜像文件启动操作系统。
步骤五、第二终端使用目标密钥,对第二设备信息进行加密,得到设备信息密文。
第二设备信息是指第二终端的设备信息。示例性地,第二设备信息可以称为机器环境信息,可以包括第二终端的硬件参数以及第二终端的网络信息。第二终端的硬件参数为第二终端配置的一个或多个硬件的参数,硬件参数可以固化在第二终端的硬件上。第二终端的网络信息用于标识第二终端接入的网络,例如可以是第二终端所在的子网的标识,比如是子网掩码。
其中,第二终端可以包括一种或多种硬件,例如计算硬件、存储硬件、网络硬件等,相应地,硬件参数可以包括多个维度,例如包括计算硬件的参数、存储硬件的参数、网络硬件的参数等。示例性地,硬件参数可以是媒体存取控制(Media Access Control Address,MAC)地址、中央处理器(Central ProcessingUnit,CPU)参数、硬盘序列号、主板标识、磁盘信息等,例如可以是SMBIOS(System Management BIOS,是主板或系统制造者以标准格式显示产品管理信息所需遵循的统一规范)信息。通过以多个维度的硬件参数作为用于鉴权认证的设备信息,能够基于多种潜伏的维度来进行监控。
设备信息密文为密文形式的第二设备信息。示例性地,网吧中的客户主机的SecureIdentify.exe可以读取镜像文件中的key,使用key对本端的设备信息进行加密,得到待发送的设备信息密文。
步骤六、第二终端向网关设备的目标端口发送设备信息密文。
第二终端可以读取网关设备预先写入的目标端口号、网关设备的IP地址,以网关设备的IP地址为目的IP地址,以目标端口号为目的端口,和网关设备建立通信连接,将设备信息密文发送给网关设备。
步骤七、网关设备通过目标端口,从第二终端接收设备信息密文。
步骤八、网关设备使用目标密钥,对设备信息密文进行解密,得到第二设备信息。
网关设备可以使用预先写入的key进行解密,从而将加密形式的第二设备信息从密文还原为明文。通过上述方法流程,第二终端上部署的认证程序和网关程序用协商的通信端口通信,加密传递第二设备信息,那么,即使设备信息密文在传输过程中被截获,由于黑客无法破解设备信息密文,也就无法窃取第二设备信息,从而保证了第二设备信息的传输安全性。
以上介绍了鉴权体系中的信息采集流程,以下对鉴权体系中的权限激活流程进行介绍,参见图3,该权限激活流程可以包括以下步骤:
步骤一、第二终端向服务器和网关设备发送第二设备信息。
步骤二、服务器接收第二终端发送的第二设备信息,存储第二设备信息。
第二终端可以在多种情况的触发下,执行发送第二设备信息的步骤,以下通过下述情况一至情况二进行举例说明。
情况一、开机时发送设备信息。
在一些实施例中,可以预先将第二终端中的认证程序设置为开机自启动,当第二终端启动时,会自动启动并运行认证信息,并发送第二设备信息。示例性地,网吧的客户机可以在开机时,自动启动SecureIdentify.exe,将设备信息上报给网关设备和服务器。
情况二、登录目标应用时发送设备信息。
例如,可以当通过目标应用发送登录请求时,发送第二设备信息以及目标应用登录的用户账号。例如,当登录游戏时,SecureIdentify.exe可以读取游戏账号以及大区身份标识号码(identification,ID),发送设备信息、游戏账号以及大区ID。
其中,本实施例提供了第二设备信息的两条传输通道,一条通道是从第二终端到达服务器,该通道可以通过公网建立。另外一条通道是从网关设备到达服务器。后续校验时,如果两条通道中至少有一条通道的设备信息传输至服务器,并且和服务器历史接收的设备信息匹配,可以开启目标权限,如果两条通道的设备信息均没有传输至服务器,则不开启目标权限。
在一些实施例中,第二终端可以采用加密传输的方式,来发送第二设备信息。其中,第二终端和网关设备加密传输第二设备信息的流程和上述图2实施例同理,在此不做赘述。第二终端和服务器加密传输第二设备信息的流程可以包括以下步骤:
步骤(1)第二终端使用会话控制信息,对第二设备信息进行加密,得到设备信息密文。
第二终端可以和服务器建立会话,建立会话的过程中可以生成会话控制信息,该会话控制信息即session,可以是一个随机生成的数值。示例性地,网吧的客户机的SecureIdentify.exe和游戏的服务器建立会话后,可以使用session为key,对第二设备信息加密后进行发送。
步骤(2)第二终端向服务器发送设备信息密文。
步骤(3)服务器从第二终端接收设备信息密文。
步骤(4)服务器使用会话控制信息,对设备信息密文进行解密,得到第二设备信息。
当然,使用会话控制信息来加密传输的方式仅是举例说明,在另一些实施例中,第二终端可以和服务器针对秘钥进行协商,使用预先协商的秘钥来对第二设备信息进行加密传输。又如,可以重新定义协议,来约定传输设备信息使用的秘钥。
在一些实施例中,若第二终端在开机或登录目标应用时发送了第二设备信息,服务器接收到第二设备信息后,可以生成确认(Acknowledge,ACK)报文,向第二终端返回ACK报文,以表示确认接收到了第二设备信息。通过返回ACK报文,向第二终端中运行的SecureIdentify进行了回包。其中,ACK报文可以包括待上报的设备信息的元数据,例如游戏登录时刻待采集的机器信息,以便第二终端接收到ACK报文时,可以通过设备信息的元数据,确定登录目标应用时需要上报哪些设备信息,从而为后续的鉴权流程预先埋点,实现预埋动态下发的措施。此外,第二终端可以当将第二设备信息发送给服务器后启动计时,当经过的时长超过时长阈值而未接收到ACK报文时,向服务器重新发送第二设备信息,这样,通过超时后重新发送,以保证第二设备信息的传输可靠性,避免第二设备信息由于传输过程中发生丢包而导致未能传输至服务器的情况。
步骤三、网关设备根据第二设备信息,生成激活请求。
激活请求用于请求为第二终端激活目标权限。激活请求可以包括第二设备信息。在一些实施例中,网关设备可以显示激活界面,该激活界面包括可激活目标权限的设备信息,例如可以是当前接入目标局域网的每个设备的标识。目标局域网的运维人员可以查看激活界面,在激活界面上触发选择操作,选中可激活的设备,网关设备可以根据对激活界面触发的选择操作,为选中的设备生成激活请求。
在一些实施例中,网关设备可以利用网络信息,对待激活权限的设备是否是接入目标局域网的设备来进行校验,从而提高权限激活流程的安全性。以下通过步骤(1)至步骤(2)进行举例说明。
步骤(1)网关设备将第二终端的网络信息与路由信息进行对比。
路由信息包括接入目标局域网的每个终端的网络信息,例如,路由信息可以是目标局域网的路由表。
步骤(2)如果第二终端的网络信息命中路由信息,网关设备根据第二终端的硬件参数,生成激活请求。
步骤四、网关设备向服务器发送激活请求。
步骤五、服务器从目标局域网的网关设备接收激活请求。
步骤六、服务器解析激活请求,得到激活请求携带的第二设备信息。
步骤七、服务器将第二设备信息存储为已激活目标权限的设备信息。
在一些实施例中,服务器将第二终端发送的第二设备信息与激活请求携带的第二设备信息进行对比。如果一致,服务器可以将第二设备信息存储为已激活目标权限的设备信息,从而完成认证。如果不一致,服务器可以生成激活失败消息,向网关设备返回激活失败消息。网关设备接收激活失败消息后,可以显示激活失败提示,目标局域网的运维人员可以触发清除操作,重新在激活界面触发激活操作,则网关设备会重新执行激活流程。
以上介绍了鉴权体系中的权限激活流程,以下对鉴权体系中的鉴权流程进行介绍,参见图4,该鉴权流程可以包括以下步骤:
401、第一终端向服务器发送鉴权请求。
第一终端是指当前向服务器请求开启权限的终端。鉴权请求用于请求为第一终端登录的用户账号开启目标权限。
第一终端可以当启动目标应用时,生成鉴权请求,向服务器发送鉴权请求。其中,第一终端可以读取目标应用登录的用户账号,将用户账号以及第一设备信息携带在鉴权请求中,从而将用户账号以及本端的设备信息一起上报给服务器。例如,当第一终端启动游戏时,SecureIdentify.exe可以读取游戏账号和大区信息,将游戏账号、大区信息和设备信息一起上报给服务器。
第一终端发送鉴权请求的方式可以有多种。例如,第一终端可以先将鉴权请求发送给网关设备,网关设备可以将鉴权请求透明传输至服务器。其中,网关设备可以调用服务器的接口,向接口传入第一终端的硬件参数,以便服务器基于第一终端的硬件参数进行校验,将权限认证结果返回至网关设备。又如,第一终端可以直接通过公网,将鉴权请求发送至服务器。
402、服务器从第一终端接收鉴权请求,解析鉴权请求,得到鉴权请求携带的第一设备信息。
403、服务器根据目标局域网对应的第二设备信息,对第一设备信息进行验证。
服务器可以读取通过权限认证流程存储的第二设备信息,使用历史存储的第二设备信息,和当前接收到的第一设备信息进行匹配,从而判定是否开启目标权限。
在一些实施例中,第一设备信息包括第一终端的硬件参数,第二设备信息包括第二终端的硬件参数,验证的过程具体可以包括以下步骤一至步骤三:
步骤一、服务器将第一终端的硬件参数与第二终端的硬件参数进行对比。
步骤二、如果第一终端的硬件参数与第二终端的硬件参数一致,验证通过。
步骤三、如果第一终端的硬件参数与第二终端的硬件参数不一致,验证不通过。
通过上述验证方式,可以从设备的维度,来验证第一终端是否盗用了接入目标局域网的终端的名义来请求开启目标权限,由于硬件参数相对固定,能够避免由于被篡改而导致误验证通过的情况。
可选地,服务器可以结合网络拓扑来进行验证。具体而言,服务器可以检测第一终端与服务器的网络通信方式,如果检测到第一终端通过网络地址转换(英文:NetworkAddress Translation,简称:NAT)代理与服务器进行通信,服务器拒绝为用户账号开启目标权限。
其中,检测第一终端是否通过NAT代理进行通信的方式可以有多种,以下通过实现方式一至实现方式二进行举例说明:
实现方式一、如果NAT代理运行在第一终端本地,第一终端可以检测自身是否安装NAT代理,如果自身安装了NAT代理,则生成指示信息,该指示信息用于指示第一终端安装了NAT代理。第一终端可以将指示信息和设备信息一起发送至服务器,服务器可以当接收到指示信息时,检测到第一终端通过NAT代理进行通信。
实现方式二、如果NAT代理运行在与第一终端相连的其他设备,比如,第一终端网络连接的路由器上运行了NAT代理,服务器可以通过检测安全标识的变化规律,来判定第一终端是否通过NAT代理进行通信。具体而言,对于两个设备而言,如果两个设备未通过NAT代理进行通信,则每次通信后接收端接收到的安全标识会加一,如果两个设备通过NAT代理进行通信,则每次通信后接收端接收到的安全标识会保持不变。因此,可以检测安全标识是否会随着通信次数的递增而递增,如果安全标识递增,则确定第一终端未通过NAT代理进行通信;如果安全标识保持不变,则确定第一终端通过NAT代理进行通信。其中,该安全标识可以是security ID(安全ID)。
在一些实施例中,如果检测到第一终端通过NAT代理与服务器进行通信,可以解除第一设备信息和目标权限之间的绑定关系。在另一些实施例中,如果检测到第一终端通过NAT代理与服务器进行通信,可以仅拒绝开启目标权限,而不解除第一设备信息和目标权限之间的绑定关系。
相关技术中,如果利用终端的IP地址来进行鉴权,在终端通过NAT代理进行通信的情况下,由于NAT代理具有修改IP地址的功能,很容易通过篡改IP地址来伪造出合法的身份。而通过检测NAT代理的流程,能够在终端通过NAT代理进行通信的情况下,及时监控出来,从而避免通过代理伪造身份的情况。
404、当验证通过时,服务器为用户账号开启目标权限。
此外,当验证不通过时,服务器可以拒绝为用户账号开启目标权限。
在一些实施例中,目标权限的开启可以不是永久开启,而是具有时效性,例如,目标权限可以仅在本次登录期间生效。具体地,服务器可以当检测到第一终端退出登录用户账号后,为用户账号停止开启目标权限。那么,当第一终端下次登录用户账号时,可以通过重新执行上述方法流程来进行身份验证,从而保证安全性。此外,由于每次鉴权过程中,设备信息由终端在后台自动传输至服务器,免去了用户手动输入的操作,因此每次鉴权时可以实现对用户无感的功能。
在一些实施例中,如果鉴权请求是经过网关设备的转发而传输至服务器的,服务器可以对第一设备信息进行验证后,可以将验证结果发送至网关设备。其中,网关设备可以在向服务器转发鉴权请求时启动计时,并进行等待。当经过的时长超过时长阈值,而仍未收到服务器返回的验证结果时,网关设备可以向第一终端返回验证失败消息。当网关设备接收到服务器返回的验证结果时,可以将验证结果返回给第一终端。其中,该时长阈值可以是1秒至3秒左右。
在一些实施例中,网关设备可以请求服务器删除缓存的第一设备信息,例如,如果验证不通过,网关设备可以请求服务器清除缓存,又如,如果第一终端退出登录用户账号,网关设备可以请求服务器清除缓存。服务器删除缓存的第一设备信息后,可以向网关设备返回删除结果。
经实验,在局域网的网关设备和终端设备上部署上述鉴权流程后,权限被绕过带来的盗用情况下降了99%,从而极大地降低了权限被盗用的风险。
本实施例提供了一种基于设备的鉴权方法,通过在鉴权过程中,在终端和服务器之间传输终端自身的设备信息,利用终端的设备信息,来验证是否为终端开启局域网对应的权限,从而以设备信息作为认证的维度进行鉴权。这种方法免去了人工输入密钥带来的繁琐操作,节省了鉴权的时间成本,提高了鉴权的效率,避免了密钥泄露带来的风险。此外,由于设备信息通过设备本身的物理硬件决定,是设备的固有属性,因此能够避免非法用户伪造认证信息而被验证通过的情况,实现了防伪造、防篡改的功能,因此提高了鉴权的安全性。
本实施例提供的鉴权方法可以应用在多种场景,以下对应用场景进行举例说明。
在一些实施例中,目标权限可以是目标应用的资源特权,该资源特权可以是免费使用资源的权限、以一定的折扣优惠使用资源的权限、资源的质量高于普通用户的资源的质量的权限,相应地,上述方法可以包括以下步骤:
步骤一、第一终端在目标应用的客户端中,显示特权界面。
该特权界面用于指示目标应用中能够在接入目标局域网后开启的资源特权。例如,特权界面可以包括至少一个资源特权选项,每个资源特权选项对应一个资源特权。比如说,特权界面可以包括“免费使用”选项、“积分加倍”选项等。
步骤二、第一终端根据对特权界面上触发的操作,确定待开启的资源特权。
步骤三、第一终端向目标应用的后台服务器发送鉴权请求。
例如,第一终端可以根据用户选中的资源特权选项,将该资源特权选项作为待开启的资源特权,根据该资源特权的标识以及用户账号生成鉴权请求,向服务器发送鉴权请求,该鉴权请求包括资源特权的标识以及用户账号。
步骤四、服务器从第一终端接收鉴权请求,解析鉴权请求,得到鉴权请求携带的第一设备信息。
步骤五、服务器根据目标局域网对应的第二设备信息,对第一设备信息进行验证。
步骤六、当验证通过时,服务器为用户账号开启目标权限。
步骤七、第一终端接收到资源转移指令时,基于该资源特权与服务器进行资源转移。
在资源转移的过程中,服务器可以判断用户账号是否已经开启资源特权,如果用户账号已经开启资源特权,则将资源对应的金额配置为资源特权对应的金额,根据资源特权对应的金额生成支付指令,向终端发送支付指令。
以资源特权是免费使用资源的权限为例,如果第一终端可以检测对目标应用中资源触发的购买操作,则生成携带资源标识以及用户账号的支付请求,向服务器发送支付请求,服务器接收支付请求时,可以将资源对应的金额配置为0,生成支付指令,向终端发送支付指令。那么终端根据携带的金额为0的支付指令进行支付时,可以不是按照资源原本的价格对账户进行扣费,而是免除从账户扣费的流程,显示支付成功。如此,用户可以免费使用资源。
其中,目标应用可以是游戏应用,则目标权限可以是游戏特权,例如是免费使用游戏皮肤的特权,目标局域网可以是网吧局域网,上述方法可以包括以下步骤:
步骤一、第一终端在游戏应用中,显示特权界面。
步骤二、第一终端根据对特权界面上触发的操作,确定待开启的游戏特权。
步骤三、第一终端向游戏服务器发送鉴权请求,鉴权请求包括游戏特权的标识以及游戏账号。
步骤四、游戏服务器从第一终端接收鉴权请求,解析鉴权请求,得到鉴权请求携带的第一设备信息。
步骤五、游戏服务器根据网吧局域网对应的第二设备信息,对第一设备信息进行验证。
步骤六、当验证通过时,游戏服务器为游戏账号开启游戏特权。
步骤七、第一终端接收到特权使用指令时,基于该游戏特权,从游戏服务器接收游戏资源。
例如,可以接收免费的游戏皮肤、双倍的游戏经验、双倍的游戏积分等。
图5是本申请实施例提供的一种鉴权装置的结构示意图。该鉴权装置可以应用于服务器,参见图5,该装置包括:
接收模块501,用于从第一终端接收鉴权请求,鉴权请求用于请求为第一终端登录的用户账号开启目标权限,目标权限为接入目标局域网的第二终端能够开启的权限;
解析模块502,用于解析鉴权请求,得到鉴权请求携带的第一设备信息;
验证模块503,用于根据目标局域网对应的第二设备信息,对第一设备信息进行验证;
开启模块504,用于当验证通过时,为用户账号开启目标权限。
本实施例提供了一种基于设备的鉴权装置,通过在鉴权过程中,在终端和服务器之间传输终端自身的设备信息,利用终端的设备信息,来验证是否为终端开启局域网对应的权限,从而以设备信息作为认证的维度进行鉴权。这种方法免去了人工输入密钥带来的繁琐操作,节省了鉴权的时间成本,提高了鉴权的效率,避免了密钥泄露带来的风险。此外,由于设备信息通过设备本身的物理硬件决定,是设备的固有属性,因此能够避免非法用户伪造认证信息而被验证通过的情况,实现了防伪造、防篡改的功能,因此提高了鉴权的安全性。
可选地,第一设备信息包括第一终端的硬件参数,第二设备信息包括第二终端的硬件参数;
验证模块503,用于将第一终端的硬件参数与第二终端的硬件参数进行对比;如果第一终端的硬件参数与第二终端的硬件参数一致,验证通过;如果第一终端的硬件参数与第二终端的硬件参数不一致,验证不通过。
可选地,接收模块501,还用于从目标局域网的网关设备接收激活请求,激活请求用于请求为第二终端激活目标权限;
解析模块502,用于解析激活请求,得到激活请求携带的第二设备信息;
装置还包括:存储模块,用于将第二设备信息存储为已激活目标权限的设备信息。
可选地,装置还包括:检测模块,用于检测第一终端与服务器的网络通信方式;
拒绝模块,用于如果检测到第一终端通过网络地址转换NAT代理与服务器进行通信,拒绝为用户账号开启目标权限。
可选地,接收模块501,还用于接收第二终端发送的第二设备信息;
验证模块503,还用于将第二终端发送的第二设备信息与激活请求携带的第二设备信息进行对比;
存储模块,用于如果一致,将第二设备信息存储为已激活目标权限的设备信息。
上述所有可选技术方案,可以采用任意结合形成本申请的可选实施例,在此不再一一赘述。
需要说明的是:上述实施例提供的鉴权装置在鉴权时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将服务器的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的鉴权装置与鉴权方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
图6是本申请实施例提供的一种鉴权装置的结构示意图。参见图6,该装置可以应用于目标局域网的网关设备,该装置包括:
接收模块601,用于从第二终端接收第二设备信息;
生成模块602,用于根据第二设备信息,生成激活请求,激活请求用于请求为第二终端激活目标权限;
发送模块603,用于向服务器发送激活请求。
本实施例提供了一种基于设备的鉴权装置,通过在鉴权过程中,在终端和服务器之间传输终端自身的设备信息,利用终端的设备信息,来验证是否为终端开启局域网对应的权限,从而以设备信息作为认证的维度进行鉴权。这种方法免去了人工输入密钥带来的繁琐操作,节省了鉴权的时间成本,提高了鉴权的效率,避免了密钥泄露带来的风险。此外,由于设备信息通过设备本身的物理硬件决定,是设备的固有属性,因此能够避免非法用户伪造认证信息而被验证通过的情况,实现了防伪造、防篡改的功能,因此提高了鉴权的安全性。
可选地,接收模块601,包括:
接收子模块,用于通过目标端口,从第二终端接收设备信息密文;
解密子模块,用于使用目标密钥,对设备信息密文进行解密,得到第二设备信息。
可选地,装置还包括:
写入模块,用于向镜像文件写入目标密钥和目标端口号中的至少一项,镜像文件用于启动第二终端的操作系统,目标端口号用于标识目标端口;
发送模块603,还用于向第二终端发送镜像文件。
可选地,装置还包括:
对比模块,用于将第二终端的网络信息与路由信息进行对比,路由信息包括接入目标局域网的每个终端的网络信息;
生成模块602,用于如果第二终端的网络信息命中路由信息,根据第二终端的硬件参数,生成激活请求。
上述所有可选技术方案,可以采用任意结合形成本申请的可选实施例,在此不再一一赘述。
需要说明的是:上述实施例提供的鉴权装置在鉴权时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将服务器的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的鉴权装置与鉴权方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
图7是本申请实施例提供的一种服务器的结构示意图,该服务器700可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上处理器(Central ProcessingUnits,CPU)701和一个或一个以上的存储器702,其中,存储器702中存储有至少一条程序代码,至少一条程序代码由处理器701加载并执行以实现上述各个方法实施例提供的鉴权方法。当然,该服务器还可以具有有线或无线网络接口以及输入输出接口等部件,以便进行输入输出,该服务器还可以包括其他用于实现设备功能的部件,在此不做赘述。
图8是本申请实施例提供的一种网关设备的结构示意图。该网关设备800可以是:个人计算机、主机、笔记本电脑或台式电脑。网关设备800还可能被称为用户设备、便携式终端、膝上型终端、台式终端等其他名称。
通常,网关设备800包括有:一个或多个处理器801和一个或多个存储器802。
处理器801可以包括一个或多个处理核心,比如4核心处理器、8核心处理器等。处理器801可以采用DSP(Digital Signal Processing,数字信号处理)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)、PLA(Programmable Logic Array,可编程逻辑阵列)中的至少一种硬件形式来实现。处理器801也可以包括主处理器和协处理器,主处理器是用于对在唤醒状态下的数据进行处理的处理器,也称CPU(Central ProcessingUnit,中央处理器);协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中,处理器801可以在集成有GPU(Graphics Processing Unit,图像处理器),GPU用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中,处理器801还可以包括AI(Artificial Intelligence,人工智能)处理器,该AI处理器用于处理有关机器学习的计算操作。
存储器802可以包括一个或多个计算机可读存储介质,该计算机可读存储介质可以是非暂态的。存储器802还可包括高速随机存取存储器,以及非易失性存储器,比如一个或多个磁盘存储设备、闪存存储设备。在一些实施例中,存储器802中的非暂态的计算机可读存储介质用于存储至少一个指令,该至少一个指令用于被处理器801所执行以实现本申请中方法实施例提供的鉴权方法。
在一些实施例中,网关设备800还可选包括有:外围设备接口803和至少一个外围设备。处理器801、存储器802和外围设备接口803之间可以通过总线或信号线相连。各个外围设备可以通过总线、信号线或电路板与外围设备接口803相连。具体地,外围设备包括:射频电路804、触摸显示屏805、摄像头组件806、音频电路807、定位组件808和电源809中的至少一种。
外围设备接口803可被用于将I/O(Input/Output,输入/输出)相关的至少一个外围设备连接到处理器801和存储器802。在一些实施例中,处理器801、存储器802和外围设备接口803被集成在同一芯片或电路板上;在一些其他实施例中,处理器801、存储器802和外围设备接口803中的任意一个或两个可以在单独的芯片或电路板上实现,本实施例对此不加以限定。
射频电路804用于接收和发射RF(Radio Frequency,射频)信号,也称电磁信号。射频电路804通过电磁信号与通信网络以及其他通信设备进行通信。射频电路804将电信号转换为电磁信号进行发送,或者,将接收到的电磁信号转换为电信号。可选地,射频电路804包括:天线系统、RF收发器、一个或多个放大器、调谐器、振荡器、数字信号处理器、编解码芯片组、用户身份模块卡等等。射频电路804可以通过至少一种无线通信协议来与其它终端进行通信。该无线通信协议包括但不限于:万维网、城域网、内联网、各代移动通信网络(2G、3G、4G及5G)、无线局域网和/或WiFi(Wireless Fidelity,无线保真)网络。在一些实施例中,射频电路804还可以包括NFC(Near Field Communication,近距离无线通信)有关的电路,本申请对此不加以限定。
显示屏805用于显示UI(User Interface,用户界面)。该UI可以包括图形、文本、图标、视频及其它们的任意组合。当显示屏805是触摸显示屏时,显示屏805还具有采集在显示屏805的表面或表面上方的触摸信号的能力。该触摸信号可以作为控制信号输入至处理器801进行处理。此时,显示屏805还可以用于提供虚拟按钮和/或虚拟键盘,也称软按钮和/或软键盘。在一些实施例中,显示屏805可以为一个,设置网关设备800的前面板;在另一些实施例中,显示屏805可以为至少两个,分别设置在网关设备800的不同表面或呈折叠设计;在再一些实施例中,显示屏805可以是柔性显示屏,设置在网关设备800的弯曲表面上或折叠面上。甚至,显示屏805还可以设置成非矩形的不规则图形,也即异形屏。显示屏805可以采用LCD(Liquid Crystal Display,液晶显示屏)、OLED(Organic Light-Emitting Diode,有机发光二极管)等材质制备。
摄像头组件806用于采集图像或视频。可选地,摄像头组件806包括前置摄像头和后置摄像头。通常,前置摄像头设置在终端的前面板,后置摄像头设置在终端的背面。在一些实施例中,后置摄像头为至少两个,分别为主摄像头、景深摄像头、广角摄像头、长焦摄像头中的任意一种,以实现主摄像头和景深摄像头融合实现背景虚化功能、主摄像头和广角摄像头融合实现全景拍摄以及VR(Virtual Reality,虚拟现实)拍摄功能或者其它融合拍摄功能。在一些实施例中,摄像头组件806还可以包括闪光灯。闪光灯可以是单色温闪光灯,也可以是双色温闪光灯。双色温闪光灯是指暖光闪光灯和冷光闪光灯的组合,可以用于不同色温下的光线补偿。
音频电路807可以包括麦克风和扬声器。麦克风用于采集用户及环境的声波,并将声波转换为电信号输入至处理器801进行处理,或者输入至射频电路804以实现语音通信。出于立体声采集或降噪的目的,麦克风可以为多个,分别设置在网关设备800的不同部位。麦克风还可以是阵列麦克风或全向采集型麦克风。扬声器则用于将来自处理器801或射频电路804的电信号转换为声波。扬声器可以是传统的薄膜扬声器,也可以是压电陶瓷扬声器。当扬声器是压电陶瓷扬声器时,不仅可以将电信号转换为人类可听见的声波,也可以将电信号转换为人类听不见的声波以进行测距等用途。在一些实施例中,音频电路807还可以包括耳机插孔。
定位组件808用于定位网关设备800的当前地理位置,以实现导航或LBS(LocationBased Service,基于位置的服务)。定位组件808可以是基于美国的GPS(GlobalPositioning System,全球定位系统)、中国的北斗系统或俄罗斯的伽利略系统的定位组件。
电源809用于为网关设备800中的各个组件进行供电。电源809可以是交流电、直流电、一次性电池或可充电电池。当电源809包括可充电电池时,该可充电电池可以是有线充电电池或无线充电电池。有线充电电池是通过有线线路充电的电池,无线充电电池是通过无线线圈充电的电池。该可充电电池还可以用于支持快充技术。
在一些实施例中,网关设备800还包括有一个或多个传感器810。该一个或多个传感器810包括但不限于:加速度传感器811、陀螺仪传感器812、压力传感器813、指纹传感器814、光学传感器815以及接近传感器816。
加速度传感器811可以检测以网关设备800建立的坐标系的三个坐标轴上的加速度大小。比如,加速度传感器811可以用于检测重力加速度在三个坐标轴上的分量。处理器801可以根据加速度传感器811采集的重力加速度信号,控制触摸显示屏805以横向视图或纵向视图进行用户界面的显示。加速度传感器811还可以用于游戏或者用户的运动数据的采集。
陀螺仪传感器812可以检测网关设备800的机体方向及转动角度,陀螺仪传感器812可以与加速度传感器811协同采集用户对网关设备800的3D动作。处理器801根据陀螺仪传感器812采集的数据,可以实现如下功能:动作感应(比如根据用户的倾斜操作来改变UI)、拍摄时的图像稳定、游戏控制以及惯性导航。
压力传感器813可以设置在网关设备800的侧边框和/或触摸显示屏805的下层。当压力传感器813设置在网关设备800的侧边框时,可以检测用户对网关设备800的握持信号,由处理器801根据压力传感器813采集的握持信号进行左右手识别或快捷操作。当压力传感器813设置在触摸显示屏805的下层时,由处理器801根据用户对触摸显示屏805的压力操作,实现对UI界面上的可操作性控件进行控制。可操作性控件包括按钮控件、滚动条控件、图标控件、菜单控件中的至少一种。
指纹传感器814用于采集用户的指纹,由处理器801根据指纹传感器814采集到的指纹识别用户的身份,或者,由指纹传感器814根据采集到的指纹识别用户的身份。在识别出用户的身份为可信身份时,由处理器801授权该用户执行相关的敏感操作,该敏感操作包括解锁屏幕、查看加密信息、下载软件、支付及更改设置等。指纹传感器814可以被设置网关设备800的正面、背面或侧面。当网关设备800上设置有物理按键或厂商Logo时,指纹传感器814可以与物理按键或厂商Logo集成在一起。
光学传感器815用于采集环境光强度。在一个实施例中,处理器801可以根据光学传感器815采集的环境光强度,控制触摸显示屏805的显示亮度。具体地,当环境光强度较高时,调高触摸显示屏805的显示亮度;当环境光强度较低时,调低触摸显示屏805的显示亮度。在另一个实施例中,处理器801还可以根据光学传感器815采集的环境光强度,动态调整摄像头组件806的拍摄参数。
接近传感器816,也称距离传感器,通常设置在网关设备800的前面板。接近传感器816用于采集用户与网关设备800的正面之间的距离。在一个实施例中,当接近传感器816检测到用户与网关设备800的正面之间的距离逐渐变小时,由处理器801控制触摸显示屏805从亮屏状态切换为息屏状态;当接近传感器816检测到用户与网关设备800的正面之间的距离逐渐变大时,由处理器801控制触摸显示屏805从息屏状态切换为亮屏状态。
本领域技术人员可以理解,图8中示出的结构并不构成对网关设备800的限定,可以包括比图示更多或更少的组件,或者组合某些组件,或者采用不同的组件布置。
在示例性实施例中,还提供了一种计算机可读存储介质,例如包括程序代码的存储器,上述程序代码可由服务器的处理器执行以完成上述实施例中的鉴权方法。例如,计算机可读存储介质可以是只读存储器(Read-Only Memory,简称:ROM)、随机存取存储器(Random Access Memory,简称:RAM)、只读光盘(Compact Disc Read-Only Memory,简称:CD-ROM)、磁带、软盘和光数据存储设备等。
在示例性实施例中,还提供了一种计算机可读存储介质,例如包括程序代码的存储器,上述程序代码可由网关设备的处理器执行以完成上述实施例中的鉴权方法。例如,计算机可读存储介质可以是只读存储器(Read-Only Memory,简称:ROM)、随机存取存储器(Random Access Memory,简称:RAM)、只读光盘(Compact Disc Read-Only Memory,简称:CD-ROM)、磁带、软盘和光数据存储设备等。
应理解,在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
应理解,根据A确定B并不意味着仅仅根据A确定B,还可以根据A和/或其它信息确定B。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上仅为本申请的可选实施例,并不用以限制本申请,凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种鉴权方法,其特征在于,应用于服务器,所述方法包括:
从第一终端接收鉴权请求,所述鉴权请求用于请求为第一终端登录的用户账号开启目标权限,所述目标权限为接入目标局域网的第二终端能够开启的权限;其中,所述目标局域网是由能够使用所述目标权限的一个或多个设备组成的局域网,所述目标权限是与所述服务器关联的目标应用的权限;
解析所述鉴权请求,得到所述鉴权请求携带的第一设备信息;其中,所述第一设备信息由所述第一终端自动传输至所述服务器;
根据所述目标局域网对应的第二设备信息,对所述第一设备信息进行验证;以及,检测所述第一终端与所述服务器的网络通信方式;
当检测到所述第一终端未通过网络地址转换NAT代理与所述服务器进行通信,并且所述第一设备信息验证通过时,为所述用户账号开启所述目标权限。
2.根据权利要求1所述的方法,其特征在于,所述第一设备信息包括所述第一终端的硬件参数,所述第二设备信息包括所述第二终端的硬件参数,所述根据所述目标局域网对应的第二设备信息,对所述第一设备信息进行验证,包括:
将所述第一终端的硬件参数与所述第二终端的硬件参数进行对比;
如果所述第一终端的硬件参数与所述第二终端的硬件参数一致,验证通过;
如果所述第一终端的硬件参数与所述第二终端的硬件参数不一致,验证不通过。
3.根据权利要求2所述的方法,其特征在于,所述从第一终端接收鉴权请求之前,所述方法还包括:
从所述目标局域网的网关设备接收激活请求,所述激活请求用于请求为所述第二终端激活所述目标权限;
解析所述激活请求,得到所述激活请求携带的第二设备信息;
将所述第二设备信息存储为已激活目标权限的设备信息。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
检测所述第一终端与所述服务器的网络通信方式;
如果检测到所述第一终端通过网络地址转换NAT代理与所述服务器进行通信,拒绝为所述用户账号开启所述目标权限。
5.一种鉴权方法,其特征在于,应用于目标局域网的网关设备,所述目标局域网接入的第二终端能够开启目标权限,所述方法包括:
从所述第二终端接收第二设备信息;
根据所述第二设备信息,生成激活请求,所述激活请求用于请求为所述第二终端激活所述目标权限;
向服务器发送所述激活请求;
其中,所述服务器用于从第一终端接收鉴权请求,所述鉴权请求用于请求为第一终端登录的用户账号开启目标权限,所述目标权限为接入目标局域网的第二终端能够开启的权限;其中,所述目标局域网是由能够使用所述目标权限的一个或多个设备组成的局域网,所述目标权限是与所述服务器关联的目标应用的权限;解析所述鉴权请求,得到所述鉴权请求携带的第一设备信息;其中,所述第一设备信息由所述第一终端自动传输至所述服务器;根据所述目标局域网对应的第二设备信息,对所述第一设备信息进行验证;以及,检测所述第一终端与所述服务器的网络通信方式;当检测到所述第一终端未通过网络地址转换NAT代理与所述服务器进行通信,并且所述第一设备信息验证通过时,为所述用户账号开启所述目标权限。
6.根据权利要求5所述的方法,其特征在于,所述从所述第二终端接收第二设备信息,包括:
通过目标端口,从所述第二终端接收设备信息密文;
使用目标密钥,对所述设备信息密文进行解密,得到所述第二设备信息。
7.根据权利要求6所述的方法,其特征在于,所述从所述第二终端接收设备信息密文之前,所述方法还包括:
向镜像文件写入所述目标密钥和目标端口号中的至少一项,所述镜像文件用于启动所述第二终端的操作系统,所述目标端口号用于标识所述目标端口;
向所述第二终端发送所述镜像文件。
8.一种鉴权装置,其特征在于,所述装置包括:
接收模块,用于从第一终端接收鉴权请求,所述鉴权请求用于请求为第一终端登录的用户账号开启目标权限,所述目标权限为接入目标局域网的第二终端能够开启的权限;其中,所述目标局域网是由能够使用所述目标权限的一个或多个设备组成的局域网,所述目标权限是与服务器关联的目标应用的权限;
解析模块,用于解析所述鉴权请求,得到所述鉴权请求携带的第一设备信息;其中,所述第一设备信息由所述第一终端自动传输至所述服务器;
验证模块,用于根据所述目标局域网对应的第二设备信息,对所述第一设备信息进行验证;
检测模块,用于检测所述第一终端与所述服务器的网络通信方式;
开启模块,用于当检测到所述第一终端未通过网络地址转换NAT代理与所述服务器进行通信,并且所述第一设备信息验证通过时,为所述用户账号开启所述目标权限。
9.一种服务器,其特征在于,所述服务器包括一个或多个处理器和一个或多个存储器,所述一个或多个存储器中存储有至少一条程序代码,所述至少一条程序代码由所述一个或多个处理器加载并执行以实现如权利要求1至权利要求7任一项所述的鉴权方法所执行的操作。
10.一种计算机可读存储介质,其特征在于,所述存储介质中存储有至少一条程序代码,所述至少一条程序代码由处理器加载并执行以实现如权利要求1至权利要求7任一项所述的鉴权方法所执行的操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911308410.1A CN111193724B (zh) | 2019-12-18 | 2019-12-18 | 鉴权方法、装置、服务器及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911308410.1A CN111193724B (zh) | 2019-12-18 | 2019-12-18 | 鉴权方法、装置、服务器及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111193724A CN111193724A (zh) | 2020-05-22 |
| CN111193724B true CN111193724B (zh) | 2021-08-17 |
Family
ID=70711025
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911308410.1A Active CN111193724B (zh) | 2019-12-18 | 2019-12-18 | 鉴权方法、装置、服务器及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111193724B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111859324B (zh) * | 2020-07-16 | 2024-03-15 | 北京百度网讯科技有限公司 | 授权的方法、装置、设备以及存储介质 |
| CN113765876B (zh) * | 2020-11-30 | 2023-09-26 | 北京沃东天骏信息技术有限公司 | 报表处理软件的访问方法和装置 |
| CN113746831B (zh) * | 2021-09-02 | 2023-04-07 | 杭州海康威视数字技术股份有限公司 | 权限验证方法、装置及存储介质 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101938332B1 (ko) * | 2012-07-11 | 2019-01-14 | 캠프모바일 주식회사 | 이동통신 단말기 인증 방법, 이를 수행하는 서비스 서버, 이동통신 단말기 및 컴퓨터로 판독 가능한 기록매체 |
| CN103067902B (zh) * | 2012-12-07 | 2016-08-10 | 华为终端有限公司 | 计费方法、服务器、移动终端以及计费系统 |
| CN103281326A (zh) * | 2013-06-05 | 2013-09-04 | 浪潮电子信息产业股份有限公司 | 一种基于相同密钥的集群系统无密码访问配置方法 |
| CN104468464B (zh) * | 2013-09-12 | 2018-07-06 | 深圳市腾讯计算机系统有限公司 | 验证方法、装置和系统 |
| CN103634109B (zh) * | 2013-10-31 | 2017-02-08 | 小米科技有限责任公司 | 操作权限验证方法和装置 |
| US9942229B2 (en) * | 2014-10-03 | 2018-04-10 | Gopro, Inc. | Authenticating a limited input device via an authenticated application |
| CN107135187A (zh) * | 2016-02-29 | 2017-09-05 | 阿里巴巴集团控股有限公司 | 网络攻击的防控方法、装置及系统 |
| CN106406951B (zh) * | 2016-09-20 | 2020-02-11 | 新华三信息技术有限公司 | 一种操作系统的安装方法和装置 |
| CN106534072B (zh) * | 2016-10-13 | 2019-12-10 | 腾讯科技(深圳)有限公司 | 用户信息授权方法、装置、设备及系统 |
| CN108959939B (zh) * | 2018-04-18 | 2020-12-25 | 腾讯科技(深圳)有限公司 | 一种系统权限开启方法、装置、系统和存储介质 |
| CN108769992B (zh) * | 2018-06-12 | 2021-06-18 | 腾讯科技(深圳)有限公司 | 用户认证方法、装置、终端及存储介质 |
-
2019
- 2019-12-18 CN CN201911308410.1A patent/CN111193724B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN111193724A (zh) | 2020-05-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2021120793A1 (zh) | 人脸图像传输方法、数值转移方法、装置及电子设备 | |
| CN111444528B (zh) | 数据安全保护方法、装置及存储介质 | |
| CN109472166A (zh) | 一种电子签章方法、装置、设备及介质 | |
| CN111193724B (zh) | 鉴权方法、装置、服务器及存储介质 | |
| WO2021208615A1 (zh) | 用户邀请方法、装置、计算机设备及计算机可读存储介质 | |
| Li et al. | Vbutton: Practical attestation of user-driven operations in mobile apps | |
| CN107959727B (zh) | 网页与客户端之间进行通讯的方法及装置 | |
| CN107968783B (zh) | 流量管理方法、装置、终端及计算机可读存储介质 | |
| WO2020047868A1 (zh) | 一种业务处理方法及设备 | |
| CN108769992B (zh) | 用户认证方法、装置、终端及存储介质 | |
| WO2017206833A1 (zh) | 支付方法、支付设备和支付服务器 | |
| WO2015144066A1 (en) | Sensitive operation verification method, apparatus, and system | |
| CN111490996A (zh) | 网络攻击处理方法、装置、计算机设备及存储介质 | |
| CN111062323A (zh) | 人脸图像传输方法、数值转移方法、装置及电子设备 | |
| WO2021057982A1 (zh) | 应用程序的处理方法及相关产品 | |
| CN108616835A (zh) | 基于浏览器的网络资源获取方法、装置、系统及存储介质 | |
| CN108460251A (zh) | 运行应用程序的方法、装置及系统 | |
| CN110263525B (zh) | 设备配置方法及装置 | |
| CN111079119B (zh) | 验证方法、装置、设备及存储介质 | |
| CN109547444B (zh) | 虚拟对象获取方法、装置及电子设备 | |
| CN108737341B (zh) | 业务处理方法、终端及服务器 | |
| CN115329309A (zh) | 验证方法、装置、电子设备及存储介质 | |
| CN115544586A (zh) | 用户数据的安全存储方法、电子设备及存储介质 | |
| CN114124405B (zh) | 业务处理方法、系统、计算机设备及计算机可读存储介质 | |
| CN112528311B (zh) | 数据管理方法、装置及终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |