CN111460410A - 服务器登录方法、装置、系统与计算机可读存储介质 - Google Patents
服务器登录方法、装置、系统与计算机可读存储介质 Download PDFInfo
- Publication number
- CN111460410A CN111460410A CN202010262603.4A CN202010262603A CN111460410A CN 111460410 A CN111460410 A CN 111460410A CN 202010262603 A CN202010262603 A CN 202010262603A CN 111460410 A CN111460410 A CN 111460410A
- Authority
- CN
- China
- Prior art keywords
- login
- character string
- server
- login request
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 86
- 238000012795 verification Methods 0.000 claims description 45
- 238000012423 maintenance Methods 0.000 description 9
- 238000004891 communication Methods 0.000 description 6
- 238000012545 processing Methods 0.000 description 5
- 230000009189 diving Effects 0.000 description 4
- 230000000977 initiatory effect Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 238000013500 data storage Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 241000282326 Felis catus Species 0.000 description 1
- 208000003443 Unconsciousness Diseases 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/107—License processing; Key processing
- G06F21/1078—Logging; Metering
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种服务器登录方法,包括:若检测到登录请求,则确定所述登录请求对应的守护进程,并确定所述登录请求的帐号信息;基于所述守护进程对应的中心账户,获取所述帐号信息对应的公钥;基于所述公钥,确定所述登录请求是否通过认证,其中,若通过,则执行所述登录请求对应的登录操作。本发明还公开了一种服务器登录装置、系统和计算机可读存储介质。本发明的登录方法,不需要帐号密码,在检测到登录请求时,通过确定对应的帐号信息以及公钥,对登录请求进行认证,若认证通过,则确定当前登录请求是可信任的,则允许登录,同时,可根据账号信息,确定后续操作的责任归属,既提高了登录安全性,也简化了登录流程,实现快捷登录。
Description
技术领域
本发明涉及金融科技(Fintech)技术领域,尤其涉及服务器登录方法、装置、系统与计算机可读存储介质。
背景技术
近年来,随着金融科技(Fintech),尤其是互联网金融的不断发展,服务器的登录技术被引入银行等金融机构的日常服务中。在银行等金融机构的日常服务过程中,开发人员或者运维人员往往需要登录IDC(Internet Data Center,数据中心)服务器,以进行相关开发或者运维工作,而IDC服务器的登录涉及到大量用户、服务器,稍有不慎,将导致用户信息或者服务器数据泄露,因此,在满足安全性的要求下,如何让开发人员或者运维人员方便流畅的登录是一项重要工作。
现有IDC服务器的登录方式为SSH(Secure Shell,为建立在应用层和传输层基础上的安全协议)远程登录,具体将服务器的账号密码托管到堡垒机,需要登录时,先去堡垒机查询密码,再使用账号密码SSH远程登录服务器。
此种登录方式虽然可以解决上述问题,但是,在具体实施过程中,需要消耗大量人力对服务器账号密码进行定期维护,并且在登录过程中,需要先查询密码,再输入密码,使得整个登录操作变得更加繁琐。
发明内容
本发明的主要目的在于提出一种服务器登录方法、装置、系统与计算机可读存储介质,旨在实现快捷免密登录。
为实现上述目的,本发明提供一种服务器登录方法,所述服务器登录方法包括如下步骤:
若检测到登录请求,则确定所述登录请求对应的目标服务器,并获取所述登录请求的帐号信息;
基于所述目标服务器对应的中心账户,获取所述帐号信息对应的公钥;
基于所述公钥,确定所述登录请求是否通过认证,其中,若通过,则执行所述登录请求对应的登录操作。
优选地,所述基于所述公钥,确定所述登录请求是否通过认证的步骤包括:
确定所述登录请求对应的验证字符串,使用所述公钥对所述验证字符串进行加密,以得到加密字符串,并将所述加密字符串发送至所述登录请求对应的请求端;
若接收到所述请求端基于所述加密字符串返回的解密字符串,则验证所述解密字符串是否满足预设条件;
若满足,则确定所述登录请求通过认证。
优选地,所述若接收到所述请求端基于所述加密字符串返回的解密字符串,则验证所述解密字符串是否满足预设条件的步骤包括:
若接收到所述请求端基于所述加密字符串返回的解密字符串,则确定所述解密字符串和所述验证字符串是否一致,若一致,则确定所述解密字符串满足预设条件;
或者,
若接收到所述请求端基于所述加密字符串返回的解密字符串,则确定所述解密字符串与所述验证字符串之差是否为预设值,若是,则确定所述解密字符串满足预设条件,其中,所述解密字符串与所述验证字符串不一致。
优选地,所述若接收到所述请求端基于所述加密字符串返回的解密字符串,则验证所述解密字符串是否满足预设条件的步骤之前,所述服务器登录方法还包括:
生成所述登录请求对应的会话ID,并将所述会话ID发送至所述登录请求对应的请求端,以供所述请求端基于所述会话ID返回对应的会话密钥;
所述若接收到所述请求端基于所述加密字符串返回的解密字符串,则验证所述解密字符串是否满足预设条件的步骤包括:
若接收到所述请求端基于所述加密字符串返回的解密字符串,则基于所述验证字符串和所述会话密钥,计算对应的第一校验值,并计算所述解密字符串对应的第二校验值;
确定所述第一校验值和所述第二校验值是否一致,若一致,则确定所述解密字符串满足预设条件。
优选地,所述基于所述目标服务器对应的中心账户,获取所述帐号信息对应的公钥的步骤包括:
确定所述目标服务器中是否存在所述帐号信息对应的公钥;
若不存在,则基于所述帐号信息,确定所述公钥的目录位置;
基于所述目录位置,在所述中心账户的目录数据库中获取所述公钥。
优选地,所述若检测到登录请求,则确定所述登录请求对应的目标服务器,并获取所述登录请求的帐号信息的步骤包括:
若检测到登录请求,则基于所述登录请求的主机号,确定所述登录请求对应的目标服务器;
确定所述目标服务器中是否存在所述登录请求对应的帐号信息;
若存在,则获取所述帐号信息;
若不存在,则基于所述主机号,在所述目标服务器对应的中心账户的目录数据库中查找所述帐号信息。
优选地,所述若检测到登录请求,则确定所述登录请求对应的守护进程,并确定所述登录请求的帐号信息的步骤之前,所述服务器登录方法还包括:
若检测到帐号创建指令,则创建对应的帐号信息,并生成所述帐号信息对应的公钥和密钥;
在所述中心账户的目录数据库中创建所述账户创建指令对应的目录属性,所述目录属性包括目录位置;
将所述密钥保存在所述登录请求对应的请求端,将所述帐号信息和所述公钥保存到所述目录属性中。
此外,为实现上述目的,本发明还提供一种服务器登录装置,所述服务器登录装置包括:
确定模块,用于若检测到登录请求,则确定所述登录请求对应的目标服务器,并获取所述登录请求的帐号信息;
获取模块,用于基于所述目标服务器对应的中心账户,获取所述帐号信息对应的公钥;
认证模块,用于基于所述公钥,确定所述登录请求是否通过认证,其中,若通过,则执行所述登录请求对应的登录操作。
优选地,所述认证模块还用于:
确定所述登录请求对应的验证字符串,使用所述公钥对所述验证字符串进行加密,以得到加密字符串,并将所述加密字符串发送至所述登录请求对应的请求端;
若接收到所述请求端基于所述加密字符串返回的解密字符串,则验证所述解密字符串是否满足预设条件;
若满足,则确定所述登录请求通过认证。
优选地,所述认证模块还用于:
若接收到所述请求端基于所述加密字符串返回的解密字符串,则确定所述解密字符串和所述验证字符串是否一致,若一致,则确定所述解密字符串满足预设条件;
或者,
若接收到所述请求端基于所述加密字符串返回的解密字符串,则确定所述解密字符串与所述验证字符串之差是否为预设值,若是,则确定所述解密字符串满足预设条件,其中,所述解密字符串与所述验证字符串不一致。
优选地,所述认证模块还用于:
生成所述登录请求对应的会话ID,并将所述会话ID发送至所述登录请求对应的请求端,以供所述请求端基于所述会话ID返回对应的会话密钥;
所述若接收到所述请求端基于所述加密字符串返回的解密字符串,则验证所述解密字符串是否满足预设条件的步骤包括:
若接收到所述请求端基于所述加密字符串返回的解密字符串,则基于所述验证字符串和所述会话密钥,计算对应的第一校验值,并计算所述解密字符串对应的第二校验值;
确定所述第一校验值和所述第二校验值是否一致,若一致,则确定所述解密字符串满足预设条件。
优选地,所述获取模块还用于:
确定所述目标服务器中是否存在所述帐号信息对应的公钥;
若不存在,则基于所述帐号信息,确定所述公钥的目录位置;
基于所述目录位置,在所述中心账户的目录数据库中获取所述公钥。
优选地,所述确定模块还用于:
若检测到登录请求,则基于所述登录请求的主机号,确定所述登录请求对应的目标服务器;
确定所述目标服务器中是否存在所述登录请求对应的帐号信息;
若存在,则获取所述帐号信息;
若不存在,则基于所述主机号,在所述目标服务器对应的中心账户的目录数据库中查找所述帐号信息。
优选地,所述服务器登录装置还包括创建模块,所述创建模块用于:
若检测到帐号创建指令,则创建对应的帐号信息,并生成所述帐号信息对应的公钥和密钥;
在所述中心账户的目录数据库中创建所述账户创建指令对应的目录属性,所述目录属性包括目录位置;
将所述密钥保存在所述登录请求对应的请求端,将所述帐号信息和所述公钥保存到所述目录属性中。
此外,为实现上述目的,本发明还提供一种服务器登录系统,所述服务器登录系统包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的服务器登录程序,所述服务器登录程序被所述处理器执行时实现如上所述的服务器登录方法的步骤。
此外,为实现上述目的,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有服务器登录程序,所述服务器登录程序被处理器执行时实现如上所述的服务器登录方法的步骤。
本发明提出的服务器登录方法,若检测到登录请求,则确定所述登录请求对应的守护进程,并确定所述登录请求的帐号信息;基于所述守护进程对应的中心账户,获取所述帐号信息对应的公钥;基于所述公钥,确定所述登录请求是否通过认证,其中,若通过,则执行所述登录请求对应的登录操作。本发明的登录方法,不需要帐号密码,在检测到登录请求时,通过确定对应的帐号信息以及公钥,对登录请求进行认证,若认证通过,则确定当前登录请求是可信任的,则允许登录,同时,可根据账号信息,确定后续操作的责任归属,既提高了登录安全性,也简化了登录流程,实现快捷登录。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的系统结构示意图;
图2为本发明服务器登录方法第一实施例的流程示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
如图1所示,图1是本发明实施例方案涉及的硬件运行环境的系统结构示意图。
本发明实施例系统包括终端或服务器设备。
如图1所示,该系统可以包括:处理器1001,例如CPU,网络接口1004,用户接口1003,存储器1005,通信总线1002。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的系统结构并不构成对系统的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及服务器登录程序。
其中,操作系统是管理和控制服务器登录系统与软件资源的程序,支持网络通信模块、用户接口模块、服务器登录程序以及其他程序或软件的运行;网络通信模块用于管理和控制网络接口1002;用户接口模块用于管理和控制用户接口1003。
在图1所示的服务器登录系统中,所述服务器登录系统通过处理器1001调用存储器1005中存储的服务器登录程序,并执行下述服务器登录方法各个实施例中的操作。
基于上述硬件结构,提出本发明服务器登录方法实施例。
参照图2,图2为本发明服务器登录方法第一实施例的流程示意图,所述方法包括:
步骤S10,若检测到登录请求,则确定所述登录请求对应的目标服务器,并获取所述登录请求的帐号信息;
步骤S20,基于所述目标服务器对应的中心账户,获取所述帐号信息对应的公钥;
步骤S30,基于所述公钥,确定所述登录请求是否通过认证,其中,若通过,则执行所述登录请求对应的登录操作。
本实施例服务器登录方法运用于理财机构或者银行等金融机构的服务器登录系统中,为描述方便,服务器登录系统以登录系统简称。登录系统的组织架构包括跳板机、中心账户和若干IDC服务器,其中,跳板机即为运维堡垒主机,在具体实施时,银行等金融机构为了服务器的安全,通常所有的ssh(Secure Shell,建立在应用层和传输层基础上的安全协议)连接都是通过跳板机来完成,以便于对ssh连接进行验证和管理,也即,用户若想登录IDC服务器,则需通过跳板机发起登录请求;中心账户为数据存储服务器,在具体实施时,可为ldap(Lightweight Directory Access Protocol,一种成熟、灵活、广泛支持、基于标准应用协议)目录服务器,包含有ldap数据库,也即目录数据库,用于存储用户的帐号ID和用户的公钥等。
在本实施例中,首先在跳板机使用ssh-keygen(是Unix和类Unix计算机系统上的安全外壳(SSH)协议套件的标准组件)为用户生成一对公密钥,并将公钥id_rsa.pub添加到ldap中该用户的sshPubKey属性中,也即在ldap中,每个用户都有自己的目录属性,用户的帐号ID和公钥分别保存在不同的目录属性或者同一目录属性中,密钥id_rsa则保存在跳板机中,用户在通过跳板机发起登录请求的过程中,不需要输入帐号ID和密码信息,而是由登录系统先确定登录请求对应的目标服务器,再通过目标服务器的守护进程,去中心账户,也即ldap,获取用户的帐号ID以及公钥,基于公钥完成登录认证,最终实现实名免密登录。
以下将对各个步骤进行详细说明:
步骤S10,若检测到登录请求,则确定所述登录请求对应的目标服务器,并获取所述登录请求的帐号信息。
在本实施例中,若登录系统检测到用户发起的登录请求,则先确定登录请求对应的目标服务器,具体可根据发起登录请求的客户端确定对应的目标服务器,如用户在A客户端通过跳板机发起登录请求,则可根据事先关联的客户端与服务器的对应关系,确定A客户端对应的目标服务器,之后,登录系统再获取登录请求的帐号信息,其中,帐号信息包括帐号ID等信息,但不包括登录所需的密码信息,也即,本实施例的帐号ID用于表征当前发起登录请求的用户的身份。
在一实施例中,帐号信息可存储于目标服务器中,登录系统根据登录请求获取对应的帐号信息,如根据A客户端的设备地址,在目标服务器中获取对应的帐号信息。
在一实施例中,帐号信息可存储于登录请求中,也即用户在发起登录请求时,一并发送帐号信息。
进一步地,在另一实施例中,步骤S10包括:
步骤a1,若检测到登录请求,则基于所述登录请求的主机号,确定所述登录请求对应的目标服务器;
在另一实施例中,用户若通过跳板机发起登录请求,则需要在跳板机中输入传参,其中,传参包括主机号等,如ssh 1.1.1.1等,登录系统基于主机号确定对应的目标服务器(1.1.1.1)。
步骤a2,确定所述目标服务器中是否存在所述登录请求对应的帐号信息;
接着,确定目标服务器中是否存在登录请求对应的帐号信息,其中,目标服务器包括第一守护进程(sshd)和第二守护进程(sssd),在具体实施时,由第一守护进程接收登录请求,通过PAM模块(Pluggable Authentication Modules,插件式鉴权模块)并根据nss(Name Service Switch,名称服务开关)的配置文件nsswitch.conf,先在本地,也即目标服务器,寻找账号信息。
步骤a3,若存在,则获取所述帐号信息;
若确定目标服务器中存在登录请求对应的帐号信息,则获取该帐号信息,也即,在一实施例中,账户信息保存在目标服务器中。
步骤a4,若不存在,则基于所述主机号,在所述目标服务器对应的中心账户的目录数据库中查找所述帐号信息。
若不存在,则根据主机号,在目标服务器对应的中心账户的目录数据库中查找登录请求对应的帐号信息,也即,在一实施例中,考虑到在实际应用中,在每台服务器创建所有用户的帐号信息几乎是不可能的事,并且在每台服务器创建所有用户的帐号信息存在资源浪费,以及操作繁琐的问题,因此,在一实施例中,帐号信息不保存在目标服务器中,而是将用户的帐号信息集中保存在中心账户中。
具体的,在通过目标服务器的第一守护进程无法查找到对应的帐号信息之后,向第二守护进程发送请求,第二守护进程按照事先配置的中心账户server,向其请求账号信息,中心账户server到ldap数据库中查询帐号信息,并返回帐号ID和目录属性等帐号信息,其中,目录属性包括目录位置,也即目录属性用于表征帐号信息的储存位置。
需要说明的是,本实施例优选中心账户为是统一的一个,但考虑到数据存储压力,中心账户也可以是若干个,当中心账户有若干个时,不同的服务器对应有不同的中心账户,如A、B和C服务器对应中心账户1,D和E服务器对应中心账户2等。
步骤S20,基于所述目标服务器对应的中心账户,获取所述帐号信息对应的公钥。
在本实施例中,登录系统基于目标服务器对应的中心账户,以及帐号信息,获取对应的公钥,具体根据帐号信息,在中心账户的目录数据库中查找对应的公钥。
进一步地,在一实施例中,步骤S20包括:
步骤b1,确定所述目标服务器中是否存在所述帐号信息对应的公钥;
在一实施例中,登录系统先在目标服务器中查找帐号信息的对应的公钥,具体通过第一守护进程,在目标服务器的authorized_keys文件中查找。
步骤b2,若不存在,则基于所述帐号信息,确定所述公钥的目录位置;
在一实施例中,若目标服务器存在帐号信息对应的公钥,也即公钥存储在目标服务器中,则可直接获取该公钥。
在一实施例中,若确定目标服务器不存在帐号信息对应的公钥,则输出提示信息,提示用户输入密码进行登录。
在一实施例中,考虑到将公钥存储于服务器中无法进行统一维护,因此,将公钥存储在中心账户中,也即,服务器中不存储公钥,因此,若确定目标服务器不存在帐号信息对应的公钥,则根据帐号信息,确定公钥的目录位置,其中,目录位置用于指示公钥在中心帐号的存储位置。
步骤b3,基于所述目录位置,在所述中心账户的目录数据库中获取所述公钥。
接着,在中心账户的目录数据库中,按照确定的目录位置,快速获取到帐号信息对应的公钥。
步骤S30,基于所述公钥,确定所述登录请求是否通过认证,其中,若通过,则执行所述登录请求对应的登录操作。
在本实施例中,根据公钥,对登录请求进行认证,其中,若登录请求通过认证,则执行所述登录请求对应的登录操作;若登录请求未通过认证,则不允许其登录。
具体的认证过程包括:
步骤c1,确定所述登录请求对应的验证字符串,使用所述公钥对所述验证字符串进行加密,以得到加密字符串,并将所述加密字符串发送至所述登录请求对应的请求端;
在一实施例中,登录系统通过目标服务器随机生成登录请求对应的验证字符串,再使用获取到的公钥,对验证字符串进行加密处理,从而得到加密字符串,然后将加密字符串发送至登录请求对应的请求端,其中,请求端可以是客户端,也可以是跳板机,若请求端为客户端,则需事先将帐号信息对应的密钥保存在客户端;若请求端为跳板机,则需事先将帐号信息对应的密钥保存在跳板机,本实施例优选请求端为跳板机,也即将密钥保存在跳板机中,使得用户在更换设备登录时,不需要将密钥拷贝到其他设备中,便于统一维护管理,简化密钥的维护工作。
步骤c2,若接收到所述请求端基于所述加密字符串返回的解密字符串,则验证所述解密字符串是否满足预设条件;
在将加密字符串发送至请求端之后,请求端根据自身保存的密钥对加密字符串进行解密处理,从而得到解密字符串,然后请求端将解密字符串返回。
若登录系统接收到请求端基于加密字符串返回的解密字符串,则验证解密字符串是否满足预设条件。
其中,在一实施例中,预设条件为解密字符串与验证字符串一致,因此,步骤c2包括:
若接收到所述请求端基于所述加密字符串返回的解密字符串,则确定所述解密字符串和所述验证字符串是否一致,若一致,则确定所述解密字符串满足预设条件。
即登录系统在接收到请求端返回的解密字符串之后,确定解密字符串是否与验证字符串一致,若一致,则确定解密字符串满足预设条件;若不一致,则确定解密字符串不满足预设条件。
在另一实施例中,预设条件为解密字符串与验证字符串之间的差值是否为预设值,因此,步骤c2包括:
若接收到所述请求端基于所述加密字符串返回的解密字符串,则确定所述解密字符串与所述验证字符串之差是否为预设值,若是,则确定所述解密字符串满足预设条件,其中,所述解密字符串与所述加密字符串不一致。
即登录系统在接收到请求端返回的解密字符串之后,将解密字符串与验证字符串做差,确定两者的差值是否为预设值,若是,则确定解密字符串满足预设条件,此时的解密字符串与验证字符串不一致;若否,则确定解密字符串不满足预设条件。
这是考虑到“瞎猫碰到死耗子”的特殊情况,避免不信任用户蒙对验证字符串,如登录系统发送的加密字符串为加密的123,请求端实际上并没有密钥进行解密,用户直接输入123,蒙对了验证字符串,为避免此种情况发生,进一步提高登录安全性,请求端在解密的过程中,会触发减法指令,减去一预设值,如当前时间,从而得到解密字符串,此时的解密字符串与加密字符串不一致,无法采用蒙的方式命中。
步骤c3,若满足,则确定所述登录请求通过认证。
若最后确定解密字符串满足预设条件,则确定登录请求通过认证;若不满足,则确定登录请求未通过认证。
为进一步提高安全性,在未通过认证次数达到预设次数时,将登录请求对应的帐号信息进行紧急处理,其中紧急处理包括拉黑处理和告警处理等。
本实施例若检测到登录请求,则确定所述登录请求对应的守护进程,并确定所述登录请求的帐号信息;基于所述守护进程对应的中心账户,获取所述帐号信息对应的公钥;基于所述公钥,确定所述登录请求是否通过认证,其中,若通过,则执行所述登录请求对应的登录操作。本发明的登录方法,不需要帐号密码,在检测到登录请求时,通过确定对应的帐号信息以及公钥,对登录请求进行认证,若认证通过,则确定当前登录请求是可信任的,则允许登录,同时,可根据账号信息,确定后续操作的责任归属,既提高了登录安全性,也简化了登录流程,实现快捷登录。
进一步地,基于本发明服务器登录方法第一实施例,提出本发明服务器登录方法第二实施例。
服务器登录方法的第二实施例与服务器登录方法的第一实施例的区别在于,服务器登录方法还包括:
步骤S40,生成所述登录请求对应的会话ID,并将所述会话ID发送至所述登录请求对应的请求端,以供所述请求端基于所述会话ID返回对应的会话密钥。
在本实施例中,为避免数据传输过程中被攻击拦截,导致数据泄露,登录系统在检测到登录请求时,创建对应的会话连接,生成对应的会话ID,并将会话ID发送至登录请求对应的请求端,请求端在接收到会话ID后,会根据会话ID生成一个会话密钥,然后将会话密钥返回。此时只有登录两端,也即请求端和登录系统知道会话密钥,之后两端的登录认证都由会话密钥进行加密,提高登录安全性。
进一步地,在本实施例中,所述若接收到所述请求端基于所述加密字符串返回的解密字符串,则验证所述解密字符串是否满足预设条件的步骤包括:
若接收到所述请求端基于所述加密字符串返回的解密字符串,则基于所述验证字符串和所述会话密钥,计算对应的第一校验值,并计算所述解密字符串对应的第二校验值;
在本实施例中,若接收到请求端基于加密字符串返回的解密字符串,则验证解密字符串是否满足预设条件,具体的,基于验证字符串和会话密钥,计算对应的第一校验值,如验证字符串为p,会话密钥为r,则计算(r+p)的第一校验值m,其中,第一校验值可为MD5值(Message Digest Algorithm MD5,消息摘要算法第五版),或者sha-1值(Secure HashAlgorithm,安全散列算法)等具有唯一校验性的数值,同理,再计算解密字符串对应的第二校验值n,可以理解的,解密字符串为请求端解密加密字符串得到验证字符串之后,协同会话密钥返回给登录系统的,假设请求端解密后得到的验证字符串为q,则解密字符串为(r+q)。
确定所述第一校验值和所述第二校验值是否一致,若一致,则确定所述解密字符串满足预设条件。
接着,确定第一校验值和第二校验值是否一致,如上述例子,若无意外,(r+q)=(r+q),因此第一校验值m应当等于第二校验值n,此时解密字符串满足预设条件。若第一校验值m不等于第二校验值n,说明p不等于q,此时,解密字符串不满足预设条件。
本实施例为提高登录安全性,在对登录请求进行认证的过程中,还将请求端生成的会话密钥作为认证参数,避免第三终端攻击拦截,致使登录过程不安全的情况发生,使得认证过程更加安全。
进一步地,基于本发明服务器登录方法第一、第二实施例,提出本发明服务器登录方法第三实施例。
服务器登录方法的第三实施例与服务器登录方法的第一、第二实施例的区别在于,服务器登录方法还包括:
步骤d,若检测到帐号创建指令,则创建对应的帐号信息,并生成所述帐号信息对应的公钥和密钥;
在本实施例中,若在跳板机检测到用户的账号创建指令,则创建该用户的账号信息,并使用ssh-keygen为该用户生成一对公密钥。
步骤e,在所述中心账户的目录数据库中创建所述账户创建指令对应的目录属性,所述目录属性包括目录位置;
接着,在中心账户的目录数据库中创建对应的目录属性,其中,目录属性包括目录位置,也即创建存储账号信息和公钥的存储空间。
步骤f,将所述密钥保存在所述登录请求对应的请求端,将所述帐号信息和所述公钥保存到所述目录属性中。
最后,将密钥保存在登录请求对应的请求端,其中,请求端优选为跳板机,也即用户的密钥都存放在跳板机,在用户更换设备登录时,不需要拷贝密钥到其他机器,方便维护;并且,基于确定的目录属性,把账号信息和公钥保存到中心账户的对应位置,也即将用户的账号信息和公钥集中存放在中心账户,进行集中管理维护。
在后续用户登录过程中,不再需要用户输入账号和密码,只需发起登录请求,即可在中心账户获取对应的账号信息以及公钥,其中账号信息用于表明当前用户的身份,而密钥只有请求端有,因此,可由登录系统随机生成一个验证字符串,再使用公钥进行加密,再将加密得到的加密字符串发给请求端,若请求端可信任,则其必然拥有对加密字符串进行解密的密钥,此时只需验证请求端返回的解密字符串是否为登录系统随机生成的验证字符串,即可完成登录认证,实现实名免密登录。
本实施例在检测到账号创建指令时,创建对应的账号信息和公密钥对,并且将密钥保存在请求端,确保密钥只有请求端知道,然后将账号信息和公钥保存到中心账户,进行集中管理维护,不需要额外维护密码,减少登录所需的密码环节,实现快捷登录。
本发明还提供一种服务器登录装置。本发明服务器登录装置包括:
确定模块,用于若检测到登录请求,则确定所述登录请求对应的目标服务器,并获取所述登录请求的帐号信息;
获取模块,用于基于所述目标服务器对应的中心账户,获取所述帐号信息对应的公钥;
认证模块,用于基于所述公钥,确定所述登录请求是否通过认证,其中,若通过,则执行所述登录请求对应的登录操作。
优选地,所述认证模块还用于:
确定所述登录请求对应的验证字符串,使用所述公钥对所述验证字符串进行加密,以得到加密字符串,并将所述加密字符串发送至所述登录请求对应的请求端;
若接收到所述请求端基于所述加密字符串返回的解密字符串,则验证所述解密字符串是否满足预设条件;
若满足,则确定所述登录请求通过认证。
优选地,所述认证模块还用于:
若接收到所述请求端基于所述加密字符串返回的解密字符串,则确定所述解密字符串和所述验证字符串是否一致,若一致,则确定所述解密字符串满足预设条件;
或者,
若接收到所述请求端基于所述加密字符串返回的解密字符串,则确定所述解密字符串与所述验证字符串之差是否为预设值,若是,则确定所述解密字符串满足预设条件,其中,所述解密字符串与所述验证字符串不一致。
优选地,所述认证模块还用于:
生成所述登录请求对应的会话ID,并将所述会话ID发送至所述登录请求对应的请求端,以供所述请求端基于所述会话ID返回对应的会话密钥;
所述若接收到所述请求端基于所述加密字符串返回的解密字符串,则验证所述解密字符串是否满足预设条件的步骤包括:
若接收到所述请求端基于所述加密字符串返回的解密字符串,则基于所述验证字符串和所述会话密钥,计算对应的第一校验值,并计算所述解密字符串对应的第二校验值;
确定所述第一校验值和所述第二校验值是否一致,若一致,则确定所述解密字符串满足预设条件。
优选地,所述获取模块还用于:
确定所述目标服务器中是否存在所述帐号信息对应的公钥;
若不存在,则基于所述帐号信息,确定所述公钥的目录位置;
基于所述目录位置,在所述中心账户的目录数据库中获取所述公钥。
优选地,所述确定模块还用于:
若检测到登录请求,则基于所述登录请求的主机号,确定所述登录请求对应的目标服务器;
确定所述目标服务器中是否存在所述登录请求对应的帐号信息;
若存在,则获取所述帐号信息;
若不存在,则基于所述主机号,在所述目标服务器对应的中心账户的目录数据库中查找所述帐号信息。
优选地,所述服务器登录装置还包括创建模块,所述创建模块用于:
若检测到帐号创建指令,则创建对应的帐号信息,并生成所述帐号信息对应的公钥和密钥;
在所述中心账户的目录数据库中创建所述账户创建指令对应的目录属性,所述目录属性包括目录位置;
将所述密钥保存在所述登录请求对应的请求端,将所述帐号信息和所述公钥保存到所述目录属性中。
本发明还提供一种计算机可读存储介质。
本发明计算机可读存储介质上存储有服务器登录程序,所述服务器登录程序被处理器执行时实现如上所述的服务器登录方法的步骤。
其中,在所述处理器上运行的服务器登录程序被执行时所实现的方法可参照本发明服务器登录方法各个实施例,此处不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书与附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种服务器登录方法,其特征在于,所述服务器登录方法包括如下步骤:
若检测到登录请求,则确定所述登录请求对应的目标服务器,并获取所述登录请求的帐号信息;
基于所述目标服务器对应的中心账户,获取所述帐号信息对应的公钥;
基于所述公钥,确定所述登录请求是否通过认证,其中,若通过,则执行所述登录请求对应的登录操作。
2.如权利要求1所述的服务器登录方法,其特征在于,所述基于所述公钥,确定所述登录请求是否通过认证的步骤包括:
确定所述登录请求对应的验证字符串,使用所述公钥对所述验证字符串进行加密,以得到加密字符串,并将所述加密字符串发送至所述登录请求对应的请求端;
若接收到所述请求端基于所述加密字符串返回的解密字符串,则验证所述解密字符串是否满足预设条件;
若满足,则确定所述登录请求通过认证。
3.如权利要求2所述的服务器登录方法,其特征在于,所述若接收到所述请求端基于所述加密字符串返回的解密字符串,则验证所述解密字符串是否满足预设条件的步骤包括:
若接收到所述请求端基于所述加密字符串返回的解密字符串,则确定所述解密字符串和所述验证字符串是否一致,若一致,则确定所述解密字符串满足预设条件;
或者,
若接收到所述请求端基于所述加密字符串返回的解密字符串,则确定所述解密字符串与所述验证字符串之差是否为预设值,若是,则确定所述解密字符串满足预设条件,其中,所述解密字符串与所述验证字符串不一致。
4.如权利要求2所述的服务器登录方法,其特征在于,所述若接收到所述请求端基于所述加密字符串返回的解密字符串,则验证所述解密字符串是否满足预设条件的步骤之前,所述服务器登录方法还包括:
生成所述登录请求对应的会话ID,并将所述会话ID发送至所述登录请求对应的请求端,以供所述请求端基于所述会话ID返回对应的会话密钥;
所述若接收到所述请求端基于所述加密字符串返回的解密字符串,则验证所述解密字符串是否满足预设条件的步骤包括:
若接收到所述请求端基于所述加密字符串返回的解密字符串,则基于所述验证字符串和所述会话密钥,计算对应的第一校验值,并计算所述解密字符串对应的第二校验值;
确定所述第一校验值和所述第二校验值是否一致,若一致,则确定所述解密字符串满足预设条件。
5.如权利要求1所述的服务器登录方法,其特征在于,所述基于所述目标服务器对应的中心账户,获取所述帐号信息对应的公钥的步骤包括:
确定所述目标服务器中是否存在所述帐号信息对应的公钥;
若不存在,则基于所述帐号信息,确定所述公钥的目录位置;
基于所述目录位置,在所述中心账户的目录数据库中获取所述公钥。
6.如权利要求1所述的服务器登录方法,其特征在于,所述若检测到登录请求,则确定所述登录请求对应的目标服务器,并获取所述登录请求的帐号信息的步骤包括:
若检测到登录请求,则基于所述登录请求的主机号,确定所述登录请求对应的目标服务器;
确定所述目标服务器中是否存在所述登录请求对应的帐号信息;
若存在,则获取所述帐号信息;
若不存在,则基于所述主机号,在所述目标服务器对应的中心账户的目录数据库中查找所述帐号信息。
7.如权利要求1-6任一项所述的服务器登录方法,其特征在于,所述若检测到登录请求,则确定所述登录请求对应的守护进程,并确定所述登录请求的帐号信息的步骤之前,所述服务器登录方法还包括:
若检测到帐号创建指令,则创建对应的帐号信息,并生成所述帐号信息对应的公钥和密钥;
在所述中心账户的目录数据库中创建所述账户创建指令对应的目录属性,所述目录属性包括目录位置;
将所述密钥保存在所述登录请求对应的请求端,将所述帐号信息和所述公钥保存到所述目录属性中。
8.一种服务器登录装置,其特征在于,所述服务器登录装置包括:
确定模块,用于若检测到登录请求,则确定所述登录请求对应的目标服务器,并获取所述登录请求的帐号信息;
获取模块,用于基于所述目标服务器对应的中心账户,获取所述帐号信息对应的公钥;
认证模块,用于基于所述公钥,确定所述登录请求是否通过认证,其中,若通过,则执行所述登录请求对应的登录操作。
9.一种服务器登录系统,其特征在于,所述服务器登录系统包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的服务器登录程序,所述服务器登录程序被所述处理器执行时实现如权利要求1至7中任一项所述的服务器登录方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有服务器登录程序,所述服务器登录程序被处理器执行时实现如权利要求1至7中任一项所述的服务器登录方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010262603.4A CN111460410A (zh) | 2020-04-03 | 2020-04-03 | 服务器登录方法、装置、系统与计算机可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010262603.4A CN111460410A (zh) | 2020-04-03 | 2020-04-03 | 服务器登录方法、装置、系统与计算机可读存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111460410A true CN111460410A (zh) | 2020-07-28 |
Family
ID=71678510
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010262603.4A Pending CN111460410A (zh) | 2020-04-03 | 2020-04-03 | 服务器登录方法、装置、系统与计算机可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111460410A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111901361A (zh) * | 2020-08-11 | 2020-11-06 | 深圳墨世科技有限公司 | 一种堡垒机服务方法、装置、计算机设备及存储介质 |
CN112565198A (zh) * | 2020-11-11 | 2021-03-26 | 浪潮电子信息产业股份有限公司 | 一种免密登录方法、装置及电子设备和存储介质 |
CN113346990A (zh) * | 2021-05-11 | 2021-09-03 | 科大讯飞股份有限公司 | 安全通信方法及系统、相关设备和装置 |
CN115102795A (zh) * | 2022-08-26 | 2022-09-23 | 北京盈泽世纪科技发展有限公司 | 一种通信安全验证方法及系统 |
-
2020
- 2020-04-03 CN CN202010262603.4A patent/CN111460410A/zh active Pending
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111901361A (zh) * | 2020-08-11 | 2020-11-06 | 深圳墨世科技有限公司 | 一种堡垒机服务方法、装置、计算机设备及存储介质 |
CN112565198A (zh) * | 2020-11-11 | 2021-03-26 | 浪潮电子信息产业股份有限公司 | 一种免密登录方法、装置及电子设备和存储介质 |
CN113346990A (zh) * | 2021-05-11 | 2021-09-03 | 科大讯飞股份有限公司 | 安全通信方法及系统、相关设备和装置 |
CN113346990B (zh) * | 2021-05-11 | 2022-12-23 | 科大讯飞股份有限公司 | 安全通信方法及系统、相关设备和装置 |
CN115102795A (zh) * | 2022-08-26 | 2022-09-23 | 北京盈泽世纪科技发展有限公司 | 一种通信安全验证方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112422532B (zh) | 业务通信方法、系统、装置及电子设备 | |
EP3319292B1 (en) | Methods, client and server for checking security based on biometric features | |
US11258792B2 (en) | Method, device, system for authenticating an accessing terminal by server, server and computer readable storage medium | |
US11539690B2 (en) | Authentication system, authentication method, and application providing method | |
CN114900338B (zh) | 一种加密解密方法、装置、设备和介质 | |
JP5925335B2 (ja) | ネットワーク安全保護方法、装置及びシステム | |
CN114679293A (zh) | 基于零信任安全的访问控制方法、设备及存储介质 | |
CN111460410A (zh) | 服务器登录方法、装置、系统与计算机可读存储介质 | |
CN111107073B (zh) | 应用自动登录方法、装置、计算机设备和存储介质 | |
US20140006781A1 (en) | Encapsulating the complexity of cryptographic authentication in black-boxes | |
CN108259502A (zh) | 用于获取接口访问权限的鉴定方法、服务端及存储介质 | |
CN111262889A (zh) | 一种云服务的权限认证方法、装置、设备及介质 | |
CN109842616B (zh) | 账号绑定方法、装置及服务器 | |
CN109145628B (zh) | 一种基于可信执行环境的数据采集方法及系统 | |
CN111130798B (zh) | 一种请求鉴权方法及相关设备 | |
CN112000951A (zh) | 一种访问方法、装置、系统、电子设备及存储介质 | |
US20180039771A1 (en) | Method of and server for authorizing execution of an application on an electronic device | |
CN111628871A (zh) | 一种区块链交易处理方法、装置及电子设备和存储介质 | |
US10826901B2 (en) | Systems and method for cross-channel device binding | |
CN111737747A (zh) | 数据库保密方法、装置、设备及计算机存储介质 | |
TWI546698B (zh) | 基於伺服器的登入系統、登入驗證伺服器及其驗證方法 | |
KR101875863B1 (ko) | 암호화된 해시값에 기반하여 클라우드 접속 허가를 결정하는 클라우드 시스템, 및 클라우드 접속 방법과 클라우드 단말에 설치된 소켓 데몬 장치 | |
CN115221562A (zh) | 浏览器文件的签名方法、装置及计算机可读存储介质 | |
CN111935122B (zh) | 数据的安全处理方法及装置 | |
CN118260774B (zh) | 服务器的启动方法及装置、存储介质及电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |