CN112187741B - 基于运维审计系统的登录认证方法、装置和电子装置 - Google Patents

Abstract

本申请涉及一种基于运维审计系统的登录认证方法、装置、电子装置和存储介质，运维审计系统包括运维服务器和认证服务器，该方法包括：获取客户端中的用户登录信息，客户端中包括第一解密密钥和第一加密密钥，运维服务器中包括第二解密密钥和第二加密密钥；对客户端和运维服务器进行双向认证，在客户端中生成加密密钥，并在运维服务器中生成解密密钥；通过加密密钥对用户登录信息进行加密，并将加密后的用户登录信息发送给运维服务器；通过解密密钥对加密后的用户登录信息进行解密，并对解密后的用户登录信息进行认证。通过本申请，解决了相关技术中运维审计系统的登录认证安全性低的问题，实现了提高对运维审计系统登录认证的安全性的技术效果。

Description

基于运维审计系统的登录认证方法、装置和电子装置

技术领域

本申请涉及通信技术领域，特别是涉及一种基于运维审计系统的登录认证方法、装置、电子装置和存储介质。

背景技术

运维审计系统能够对运维人员的访问过程进行细粒度的授权、全过程的操作记录及控制、全方位的操作审计、并支持事后操作过程回放功能，实现运维过程的“事前预防、事中控制、事后审计”，在简化运维操作的同时，全面解决各种复杂环境下的运维安全问题，提升企业IT运维管理水平。

然而在企业内部IT管理规范中，为保证密码的安全性，企业均会制定比较严格的密码管理策略：定期修改密码，密码要有足够强度等。运维审计系统可以为用户提供统一认证接口，提高认证的安全性和可靠性。然而，在实际情况中，由于需管理的机器和账号数量太多，设备密码安全策略往往难以有效执行。因此，为了保证运维审计系统的安全性，需要提高运维审计系统登录认证的安全性。

相关技术中的运维审计系统的登录认证方法往往是使用传统的双向认证方法进行，即客户端与服务器双方各自提供证书认证，而在提供证书认证的过程中可能存在被中间人监听的情况即证书欺骗攻击，通常情况下中间人伪造了证书，在校验证书过程中会提示证书错误，由用户选择操作还是返回，但是大多数用户的安全意识不强，会选择继续操作，因此中间人就可以获取浏览器和服务器之间的通信数据，降低运维审计系统的安全性。同时，传统的双向认证方法往往采用非对称加密方法，因此需要大量的计算资源，降低运维审计系统的可靠性。

目前针对相关技术中运维审计系统的登录认证安全性低的问题，尚未提出有效的解决方案。

发明内容

本申请实施例提供了一种基于运维审计系统的登录认证方法、装置、电子装置和存储介质，以至少解决相关技术中运维审计系统的登录认证安全性低的问题。

第一方面，本申请实施例提供了一种基于运维审计系统的登录认证方法，包括：获取客户端中的用户登录信息，其中，所述客户端中包括第一解密密钥和第一加密密钥，所述运维服务器中包括第二解密密钥和第二加密密钥；对所述客户端和所述运维服务器进行双向认证，在所述客户端中生成加密密钥，并在所述运维服务器中生成解密密钥，其中，所述加密密钥由所述第一加密密钥和所述第二加密密钥组成，所述解密密钥由所述第一解密密钥和所述第二解密密钥组成；通过所述加密密钥对所述用户登录信息进行加密，并将加密后的所述用户登录信息发送给所述运维服务器；通过所述解密密钥对加密后的所述用户登录信息进行解密，并对解密后的所述用户登录信息进行认证。

在其中一些实施例中，在获取客户端中的用户登录信息之前，所述方法还包括：在所述认证服务器中创建解密密钥和加密密钥；基于秘密共享算法分别将所述解密密钥和所述加密密钥拆分，得到第一解密密钥、第二解密密钥、第一加密密钥和第二加密密钥；将所述第一解密密钥和所述第一加密密钥发送给客户端，并将所述第二解密密钥和所述第二加密密钥发送给所述运维服务器。

在其中一些实施例中，对所述客户端和所述运维服务器进行双向认证，在所述客户端中生成加密密钥，并在所述运维服务器中生成解密密钥包括：获取所述运维服务器向所述客户端发送的第二加密密钥，并在所述客户端中组合所述第一加密密钥和所述第二加密密钥，得到所述加密密钥；获取所述客户端向所述运维服务器发送的第一解密密钥，并在所述运维服务器中组合所述第一解密密钥和所述第二解密密钥，得到所述解密密钥。

在其中一些实施例中，通过所述解密密钥对加密后的所述用户登录信息进行解密，并对解密后的所述用户登录信息进行认证包括：通过所述解密密钥对加密后的所述用户登录信息进行解密，得到解密后的所述用户登录信息；在预设数据库中匹配解密后的所述用户登录信息，在所述预设数据库中匹配到解密后的所述用户登录信息的情况下，允许所述客户端登录所述运维服务器；在所述预设数据库中没有匹配到解密后的所述用户登录信息的情况下，向所述客户端发送报错信息。

在其中一些实施例中，在预设数据库中匹配解密后的所述用户登录信息，在所述预设数据库中匹配到解密后的所述用户登录信息的情况下，允许所述客户端登录所述运维服务器包括：将解密后的所述用户登录信息转换成哈希值，得到第一哈希值；在所述预设数据库中匹配所述第一哈希值，在所述预设数据库中匹配到包含所述第一哈希值的字段的情况下，允许所述客户端登录所述运维服务器。

在其中一些实施例中，所述加密密钥和所述解密密钥在预设时间内有效。

在其中一些实施例中，所述加密密钥和所述解密密钥互为对称密钥。

第二方面，本申请实施例提供了一种基于运维审计系统的登录认证装置，包括：获取模块，用于获取客户端中的用户登录信息，其中，所述客户端中包括第一解密密钥和第一加密密钥，所述运维服务器中包括第二解密密钥和第二加密密钥；认证模块，用于对所述客户端和所述运维服务器进行双向认证，在所述客户端中生成加密密钥，并在所述运维服务器中生成解密密钥，其中，所述加密密钥由所述第一加密密钥和所述第二加密密钥组成，所述解密密钥由所述第一解密密钥和所述第二解密密钥组成加密模块，用于通过所述加密密钥对所述用户登录信息进行加密，并将加密后的所述用户登录信息发送给所述运维服务器；解密模块，用于通过所述解密密钥对加密后的所述用户登录信息进行解密，并对解密后的所述用户登录信息进行认证。

第三方面，本申请实施例提供了一种电子装置，包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如上述第一方面所述的基于运维审计系统的登录认证方法。

第四方面，本申请实施例提供了一种存储介质，其上存储有计算机程序，该程序被处理器执行时实现如上述第一方面所述的基于运维审计系统的登录认证方法。

相比于相关技术，本申请实施例提供的基于运维审计系统的登录认证方法、装置、电子装置和存储介质，解决了相关技术中运维审计系统的登录认证安全性低的问题，实现了提高对运维审计系统登录认证的安全性的技术效果。

本申请的一个或多个实施例的细节在以下附图和描述中提出，以使本申请的其他特征、目的和优点更加简明易懂。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1是根据本申请实施例的基于运维审计系统的登录认证方法的流程图；

图2是根据本申请优选实施例的基于运维审计系统的登录认证方法的流程图；

图3是根据本申请实施例的基于运维审计系统的登录认证装置的结构框图；

图4是根据本申请实施例的电子装置的硬件结构示意图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行描述和说明。应当理解，此处所描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。基于本申请提供的实施例，本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例，都属于本申请保护的范围。此外，还可以理解的是，虽然这种开发过程中所作出的努力可能是复杂并且冗长的，然而对于与本申请公开的内容相关的本领域的普通技术人员而言，在本申请揭露的技术内容的基础上进行的一些设计，制造或者生产等变更只是常规的技术手段，不应当理解为本申请公开的内容不充分。

在本申请中提及“实施例”意味着，结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例，也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是，本申请所描述的实施例在不冲突的情况下，可以与其它实施例相结合。

除非另作定义，本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制，可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形，意图在于覆盖不排他的包含；例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可以还包括没有列出的步骤或单元，或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接，而是可以包括电气的连接，不管是直接的还是间接的。本申请所涉及的“多个”是指大于或者等于两个。“和/或”描述关联对象的关联关系，表示可以存在三种关系，例如，“A和/或B”可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象，不代表针对对象的特定排序。

本实施例提供了一种基于运维审计系统的登录认证方法，应用于运维审计系统的登录认证，运维审计系统包括运维服务器和认证服务器，图1是根据本申请实施例的基于运维审计系统的登录认证方法的流程图，如图1所示，该流程包括如下步骤：

步骤S101，获取客户端中的用户登录信息，其中，客户端中包括第一解密密钥和第一加密密钥，运维服务器中包括第二解密密钥和第二加密密钥。

在本实施例中，用户登录信息可以包括用户用于登录运维审计系统的运维服务器的用户账号和用户密码信息。

用户可以通过搭载在移动设备、终端、计算机或者类似的运算装置上的客户端存储用于登录运维审计系统的运维服务器的用户账号和用户密码信息，并通过客户端向运维审计系统发送包含用户登录信息的登录请求。

其中，客户端中还存储有第一解密密钥和第一加密密钥，运维服务器中存储有第二解密密钥和第二加密密钥，第一加密密钥和第二加密密钥可以组合成为用于对用户登录信息进行加密的加密密钥，第一解密密钥和第二解密密钥可以组合成为用于对加密后的用户登录信息进行解密的解密密钥，因此，加密密钥和解密密钥均由多个部分组成，在客户端或运维服务器中的密钥泄露时并不会导致通信内容被解密，同时也防止中间人进行攻击，提高了运维审计系统的安全性。

在其中一些实施例中，解密密钥和/或加密密钥还可以由其他数量的密钥组成，例如，解密密钥可以由第一解密密钥、第二解密密钥和第三解密密钥组成，其中，第一解密密钥存储于客户端中，第二解密密钥存储于运维服务器中，第三解密密钥可以以密保、令牌的形式存储于移动设备、终端、计算机或者类似的运算装置上，进一步提高运维审计系统登录认证的安全性。

步骤S102，对客户端和运维服务器进行双向认证，在客户端中生成加密密钥，并在运维服务器中生成解密密钥，其中，加密密钥由第一加密密钥和第二加密密钥组成，解密密钥由第一解密密钥和第二解密密钥组成。

在本实施例中，步骤S102可以包括：

步骤1，获取运维服务器向客户端发送的第二加密密钥，并在客户端中组合第一加密密钥和第二加密密钥，得到加密密钥；

步骤2，获取客户端向运维服务器发送的第一解密密钥，并在运维服务器中组合第一解密密钥和第二解密密钥，得到解密密钥。

在其中一些实施例中，加密密钥和解密密钥在预设时间内有效，且加密密钥和解密密钥互为对称密钥。

在本实施例中，客户端可以向运维服务器发送如下格式的信息：A→B：A{T，Sa1，B}，其中，A表示客户端，B表示运维服务器，T1表示当前时间戳，Sa1表示第一解密密钥，运维服务器收到该消息后，则组合第一解密密钥和第二解密密钥，得到解密密钥。

运维服务器可以向客户端发送如下格式对信息：B→A：B{T2，Sb2，A}，Sb2表示第二加密密钥，客户端收到该消息后，则组合第一加密密钥和第二加密密钥，得到加密密钥。

在其中一些实施例中，由于加密密钥和解密密钥在预设时间内有效，还可以通过T1和T2判断当前第一加密密钥和第二解密密钥是否已失效，例如，第一加密密钥和第二解密密钥的预设时间为30S，若通过T1和T2判断第一加密密钥和/或第二解密密钥已超过30S，则通过运维服务器向客户端发送报错信息。

在其他实施例中，预设时间还可以为其他时间，例如60S、120S。

在本实施例中，加密密钥和解密密钥可以互为对称密钥，相比于相关技术中采用非对称加密方法，减少了计算资源，提高了计算速率。

步骤S103，通过加密密钥对用户登录信息进行加密，并将加密后的用户登录信息发送给运维服务器。

步骤S104，通过解密密钥对加密后的用户登录信息进行解密，并对解密后的用户登录信息进行认证。

在本实施例中，步骤S104可以包括：

步骤1，通过解密密钥对加密后的用户登录信息进行解密，得到解密后的用户登录信息；

步骤2，在预设数据库中匹配解密后的用户登录信息，在预设数据库中匹配到解密后的用户登录信息的情况下，允许客户端登录运维服务器；

步骤3，在预设数据库中没有匹配到解密后的用户登录信息的情况下，向客户端发送报错信息。

其中，在预设数据库中匹配解密后的用户登录信息，在预设数据库中匹配到解密后的用户登录信息的情况下，允许客户端登录运维服务器可以包括：将解密后的用户登录信息转换成哈希值，得到第一哈希值；在预设数据库中匹配第一哈希值，在预设数据库中匹配到包含第一哈希值的字段的情况下，允许客户端登录运维服务器。

相关技术中的运维审计系统的登录认证方法往往是使用传统的双向认证方法进行，即客户端与服务器双方各自提供证书认证，而在提供证书认证的过程中可能存在被中间人监听的情况即证书欺骗攻击，通常情况下中间人伪造了证书，在校验证书过程中会提示证书错误，由用户选择操作还是返回，但是大多数用户的安全意识不强，会选择继续操作，因此中间人就可以获取浏览器和服务器之间的通信数据，降低运维审计系统的安全性。同时，传统的双向认证方法往往采用非对称加密方法，因此需要大量的计算资源，降低运维审计系统的可靠性。

通过上述步骤S101至S104，在客户端上存储用于登录运维审计系统的运维服务器的用户账号和用户密码信息，通过客户端向运维审计系统发送包含用户登录信息的登录请求，同时存储于客户端和运维服务器中的加密密钥和解密密钥均由多个部分组成，在客户端或运维服务器中的密钥泄露时并不会导致通信内容被解密，同时也防止中间人进行攻击，提高了运维审计系统的安全性，且加密密钥和解密密钥可以互为对称密钥，相比于相关技术中采用非对称加密方法，减少了计算资源，提高了计算速率，解决了相关技术中运维审计系统的登录认证安全性低的问题，实现了提高对运维审计系统登录认证的安全性的技术效果。

图2是根据本申请优选实施例的基于运维审计系统的登录认证方法的流程图，如图2所示，在其中一些实施例中，该方法可以包括：

步骤S201，在认证服务器中创建解密密钥和加密密钥。

步骤S202，基于秘密共享算法分别将解密密钥和加密密钥拆分，得到第一解密密钥、第二解密密钥、第一加密密钥和第二加密密钥。

步骤S203，将第一解密密钥和第一加密密钥发送给客户端，并将第二解密密钥和第二加密密钥发送给运维服务器。

步骤S204，获取客户端中的用户登录信息，其中，客户端中包括第一解密密钥和第一加密密钥，运维服务器中包括第二解密密钥和第二加密密钥。

步骤S205，对客户端和运维服务器进行双向认证，在客户端中生成加密密钥，并在运维服务器中生成解密密钥，其中，加密密钥由第一加密密钥和第二加密密钥组成，解密密钥由第一解密密钥和第二解密密钥组成。

步骤S206，通过加密密钥对用户登录信息进行加密，并将加密后的用户登录信息发送给运维服务器。

步骤S207，通过解密密钥对加密后的用户登录信息进行解密，并对解密后的用户登录信息进行认证。

在本实施例中，可以由运维审计系统提供API接口，用户通过运维审计系统提供的API接口创建认证服务器，用户可以自定义认证服务器的认证规则，例如，根据登录运维审计系统的操作者等级定义认证规则，操作者等级越敏感的操作者所需要的认证流程也更多，进一步提供运维审计系统的登录认证的安全性。

同时，秘密共享算法可以将一份密钥拆分成n份，只有获得t(t<＝n)份才能将原密钥复原，这种与常规加密方法不同的加密方式具有以下特点：1.把一个秘密消息分成n块，分割给m个参与者；2.每个参与者只拥有其中的一块；3.只有所有消息块组合在一起才能恢复秘密；4.每一块对其拥有者来说是没用的。因此，在客户端或运维服务器中的密钥泄露时并不会导致通信内容被解密，同时也防止中间人进行攻击，通过秘密共享算法拆分解密密钥和加密密钥进一步提高运维审计系统的登录认证的安全性。

在本实施例中，由于认证服务器可以由用户通过运维审计系统提供的API接口创建，因此用户可以参与秘密共享过程，保证秘密共享过程实时透明，提高运维审计系统的登录认证的可靠性。

本实施例还提供了一种基于运维审计系统的登录认证装置，该装置用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。

图3是根据本申请实施例的基于运维审计系统的登录认证装置的结构框图，如图3所示，该装置包括：获取模块30，用于获取客户端中的用户登录信息，其中，客户端中包括第一解密密钥和第一加密密钥，运维服务器中包括第二解密密钥和第二加密密钥；耦接于获取模块30的认证模块31，用于对客户端和运维服务器进行双向认证，在客户端中生成加密密钥，并在运维服务器中生成解密密钥，其中，加密密钥由第一加密密钥和第二加密密钥组成，解密密钥由第一解密密钥和第二解密密钥组成；耦接于认证模块31的加密模块32，用于通过加密密钥对用户登录信息进行加密，并将加密后的用户登录信息发送给运维服务器；耦接于加密模块32的解密模块33，用于通过解密密钥对加密后的用户登录信息进行解密，并对解密后的用户登录信息进行认证。

在其中一些实施例中，该装置还包括耦接于获取模块30的创建模块，创建模块被配置为用于在认证服务器中创建解密密钥和加密密钥；基于秘密共享算法分别将解密密钥和加密密钥拆分，得到第一解密密钥、第二解密密钥、第一加密密钥和第二加密密钥；将第一解密密钥和第一加密密钥发送给客户端，并将第二解密密钥和第二加密密钥发送给运维服务器。

在其中一些实施例中，认证模块31被配置为用于获取运维服务器向客户端发送的第二加密密钥，并在客户端中组合第一加密密钥和第二加密密钥，得到加密密钥；获取客户端向运维服务器发送的第一解密密钥，并在运维服务器中组合第一解密密钥和第二解密密钥，得到解密密钥。

在其中一些实施例中，解密模块33被配置为用于通过解密密钥对加密后的用户登录信息进行解密，得到解密后的用户登录信息；在预设数据库中匹配解密后的用户登录信息，在预设数据库中匹配到解密后的用户登录信息的情况下，允许客户端登录运维服务器；在预设数据库中没有匹配到解密后的用户登录信息的情况下，向客户端发送报错信息。

在其中一些实施例中，解密模块33还被配置为用于将解密后的用户登录信息转换成哈希值，得到第一哈希值；在预设数据库中匹配第一哈希值，在预设数据库中匹配到包含第一哈希值的字段的情况下，允许客户端登录运维服务器。

在其中一些实施例中，加密密钥和解密密钥在预设时间内有效。

在其中一些实施例中，加密密钥和解密密钥互为对称密钥。

需要说明的是，上述各个模块可以是功能模块也可以是程序模块，既可以通过软件来实现，也可以通过硬件来实现。对于通过硬件来实现的模块而言，上述各个模块可以位于同一处理器中；或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。

本实施例还提供了一种电子装置，包括存储器404和处理器402，该存储器404中存储有计算机程序，该处理器402被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。

具体地，上述处理器402可以包括中央处理器(CPU)，或者特定集成电路(Application Specific Integrated Circuit，简称为ASIC)，或者可以被配置成实施本申请实施例的一个或多个集成电路。

其中，存储器404可以包括用于数据或指令的大容量存储器404。举例来说而非限制，存储器404可包括硬盘驱动器(Hard Disk Drive，简称为HDD)、软盘驱动器、固态驱动器(Solid State Drive，简称为SSD)、闪存、光盘、磁光盘、磁带或通用串行总线(UniversalSerial Bus，简称为USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下，存储器404可包括可移除或不可移除(或固定)的介质。在合适的情况下，存储器404可在数据处理装置的内部或外部。在特定实施例中，存储器404是非易失性(Non-Volatile)存储器。在特定实施例中，存储器404包括只读存储器(Read-Only Memory，简称为ROM)和随机存取存储器(Random Access Memory，简称为RAM)。在合适的情况下，该ROM可以是掩模编程的ROM、可编程ROM(Programmable Read-Only Memory，简称为PROM)、可擦除PROM(ErasableProgrammable Read-Only Memory，简称为EPROM)、电可擦除PROM(Electrically ErasableProgrammable Read-Only Memory，简称为EEPROM)、电可改写ROM(ElectricallyAlterable Read-Only Memory，简称为EAROM)或闪存(FLASH)或者两个或更多个以上这些的组合。在合适的情况下，该RAM可以是静态随机存取存储器(Static Random-AccessMemory，简称为SRAM)或动态随机存取存储器(Dynamic Random Access Memory，简称为DRAM)，其中，DRAM可以是快速页模式动态随机存取存储器404(Fast Page Mode DynamicRandom Access Memory，简称为FPMDRAM)、扩展数据输出动态随机存取存储器(ExtendedDate Out Dynamic Random Access Memory，简称为EDODRAM)、同步动态随机存取内存(Synchronous Dynamic Random-Access Memory，简称SDRAM)等。

存储器404可以用来存储或者缓存需要处理和/或通信使用的各种数据文件，以及处理器402所执行的可能的计算机程序指令。

处理器402通过读取并执行存储器404中存储的计算机程序指令，以实现上述实施例中的任意一种基于运维审计系统的登录认证方法。

可选地，上述电子装置还可以包括传输设备406以及输入输出设备408，其中，该传输设备406和上述处理器402连接，该输入输出设备408和上述处理器402连接。

可选地，在本实施例中，上述处理器402可以被设置为通过计算机程序执行以下步骤：

S1，获取客户端中的用户登录信息，其中，客户端中包括第一解密密钥和第一加密密钥，运维服务器中包括第二解密密钥和第二加密密钥。

S2，对客户端和运维服务器进行双向认证，在客户端中生成加密密钥，并在运维服务器中生成解密密钥，其中，加密密钥由第一加密密钥和第二加密密钥组成，解密密钥由第一解密密钥和第二解密密钥组成。

S3，通过加密密钥对用户登录信息进行加密，并将加密后的用户登录信息发送给运维服务器。

S4，通过解密密钥对加密后的用户登录信息进行解密，并对解密后的用户登录信息进行认证。

需要说明的是，本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例，本实施例在此不再赘述。

另外，结合上述实施例中的基于运维审计系统的登录认证方法，本申请实施例可提供一种存储介质来实现。该存储介质上存储有计算机程序；该计算机程序被处理器执行时实现上述实施例中的任意一种基于运维审计系统的登录认证方法。

本领域的技术人员应该明白，以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本申请范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请的保护范围应以所附权利要求为准。

Claims (9)

1.一种基于运维审计系统的登录认证方法，应用于运维审计系统的登录认证，所述运维审计系统包括运维服务器和认证服务器，其特征在于包括：

所述认证服务器创建解密密钥和加密密钥；基于秘密共享算法分别将所述解密密钥和所述加密密钥拆分，得到第一解密密钥、第二解密密钥、第一加密密钥和第二加密密钥；将所述第一解密密钥和所述第一加密密钥发送给客户端，并将所述第二解密密钥和所述第二加密密钥发送给所述运维服务器；

所述客户端获取用户登录信息；

所述客户端和所述运维服务器互相进行双向认证，所述客户端生成加密密钥，所述运维服务器生成解密密钥，其中，所述加密密钥由所述第一加密密钥和所述第二加密密钥组成，所述解密密钥由所述第一解密密钥和所述第二解密密钥组成；

所述客户端通过所述加密密钥对所述用户登录信息进行加密，并将加密后的所述用户登录信息发送给所述运维服务器；

所述运维服务器通过所述解密密钥对加密后的所述用户登录信息进行解密，并对解密后的所述用户登录信息进行认证。

2.根据权利要求1所述的基于运维审计系统的登录认证方法，其特征在于，所述客户端和所述运维服务器互相进行双向认证，所述客户端生成加密密钥，所述运维服务器生成解密密钥包括：

获取所述运维服务器向所述客户端发送的第二加密密钥，并在所述客户端中组合所述第一加密密钥和所述第二加密密钥，得到所述加密密钥；

获取所述客户端向所述运维服务器发送的第一解密密钥，并在所述运维服务器中组合所述第一解密密钥和所述第二解密密钥，得到所述解密密钥。

3.根据权利要求1所述的基于运维审计系统的登录认证方法，其特征在于，所述运维服务器通过所述解密密钥对加密后的所述用户登录信息进行解密，并对解密后的所述用户登录信息进行认证包括：

通过所述解密密钥对加密后的所述用户登录信息进行解密，得到解密后的所述用户登录信息；

在预设数据库中匹配解密后的所述用户登录信息，在所述预设数据库中匹配到解密后的所述用户登录信息的情况下，允许所述客户端登录所述运维服务器；

在所述预设数据库中没有匹配到解密后的所述用户登录信息的情况下，向所述客户端发送报错信息。

4.根据权利要求3所述的基于运维审计系统的登录认证方法，其特征在于，在预设数据库中匹配解密后的所述用户登录信息，在所述预设数据库中匹配到解密后的所述用户登录信息的情况下，允许所述客户端登录所述运维服务器包括：

将解密后的所述用户登录信息转换成哈希值，得到第一哈希值；

在所述预设数据库中匹配所述第一哈希值，在所述预设数据库中匹配到包含所述第一哈希值的字段的情况下，允许所述客户端登录所述运维服务器。

5.根据权利要求1所述的基于运维审计系统的登录认证方法，其特征在于，所述加密密钥和所述解密密钥在预设时间内有效。

6.根据权利要求1至5中任一项所述的基于运维审计系统的登录认证方法，其特征在于，所述加密密钥和所述解密密钥互为对称密钥。

7.一种基于运维审计系统的登录认证系统，其特征在于，包括：

认证服务器，用于创建解密密钥和加密密钥；基于秘密共享算法分别将所述解密密钥和所述加密密钥拆分，得到第一解密密钥、第二解密密钥、第一加密密钥和第二加密密钥；将所述第一解密密钥和所述第一加密密钥发送给客户端，并将所述第二解密密钥和所述第二加密密钥发送给运维服务器；

客户端，用于获取用户登录信息，与运维服务器互相进行双向认证并生成加密密钥，通过所述加密密钥对所述用户登录信息进行加密，并将加密后的所述用户登录信息发送给所述运维服务器；其中，所述加密密钥由所述第一加密密钥和第二加密密钥组成；

运维服务器，用于与所述客户端互相进行双向认证并生成解密密钥，通过所述解密密钥对加密后的所述用户登录信息进行解密，并对解密后的所述用户登录信息进行认证；其中，所述解密密钥由所述第一解密密钥和所述第二解密密钥组成。

8.一种电子装置，包括存储器和处理器，其特征在于，所述存储器中存储有计算机程序，所述处理器被设置为运行所述计算机程序以执行权利要求1至6中任一项所述的基于运维审计系统的登录认证方法。

9.一种存储介质，其特征在于，所述存储介质中存储有计算机程序，其中，所述计算机程序被设置为运行时执行权利要求1至6中任一项所述的基于运维审计系统的登录认证方法。

Images