CN112738043A - 大数据系统中对用户身份进行合法性认证的方法、系统及相关产品 - Google Patents
大数据系统中对用户身份进行合法性认证的方法、系统及相关产品 Download PDFInfo
- Publication number
- CN112738043A CN112738043A CN202011529049.8A CN202011529049A CN112738043A CN 112738043 A CN112738043 A CN 112738043A CN 202011529049 A CN202011529049 A CN 202011529049A CN 112738043 A CN112738043 A CN 112738043A
- Authority
- CN
- China
- Prior art keywords
- identity
- user name
- authentication
- server
- authentication factor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本申请提供了一种大数据系统中对用户身份进行合法性认证的方法、系统及相关产品,方法包括:获取用户在身份注册阶段录入到移动终端的用户名及身份认证因子模板,并将其存储到WEB服务器上;获取认证服务器和WEB服务器的会话密钥,以通过会话密钥在WEB服务器和认证服务器之间建立TLS可信链路;WEB服务器将用户名以及身份认证因子模板通过可信链路转发到认证服务器;以键值对的方式将转发的用户名以及身份认证因子模板存储到认证服务器上;获取用户在身份匹配阶段录入到移动终端的用户名和身份认证因子,并通过认证服务器和WEB服务器之间的TLS可信链路将用户名和身份认证因子转发到认证服务器;认证服务器根据身份注册阶段录入的用户名及身份认证因子模板,对身份匹配阶段录入的用户名和身份认证因子进行合法性验证。
Description
技术领域
本申请涉及安全分析技术领域,特别是涉及一种大数据系统中对用户身份进行合法性认证的方法、系统及相关产品。
背景技术
用户身份认证是在使用信息技术的过程中,保证信息安全的重要途径,是保证各种安全措施能够正常发挥作用的重要前提。将用户身份认证技术合理地运用于信息安全中,将会更为有效地保护信息,确保人们的用网安全。另外,用户身份的合法性验证也是实施大数据平台安全架构的基础。
为此,如何有效地进行用户身份的合法性验证成为亟待解决的技术问题。
发明内容
基于上述问题,本申请实施例提供了一种大数据系统中对用户身份进行合法性认证的方法、系统及相关产品。
本申请实施例公开了如下技术方案:
第一方面,本申请实施例提供了一种大数据系统中对用户身份进行合法性认证的方法,包括:
获取用户在身份注册阶段录入到移动终端的用户名以及身份认证因子模板,并将其存储到WEB服务器上;
获取认证服务器和WEB服务器的会话密钥,以通过会话密钥在WEB服务器和认证服务器之间建立TLS可信链路;
WEB服务器将用户名以及身份认证因子模板通过可信链路转发到认证服务器;
以键值对的方式将转发的用户名以及身份认证因子模板存储到认证服务器上;
获取用户在身份匹配阶段录入到移动终端的用户名和身份认证因子,并通过认证服务器和WEB服务器之间的TLS可信链路将用户名和身份认证因子转发到认证服务器;
认证服务器根据身份注册阶段录入的用户名以及身份认证因子模板,对身份匹配阶段录入的用户名和身份认证因子进行合法性验证。
可选地,在一种具体地实施方式中,认证服务器上配置有可信执行环境;对应地,大数据系统中对用户身份进行合法性认证的方法,包括:将用户在身份注册阶段录入到移动终端的用户名以及身份认证因子模板存储到可信执行环境中;
获取用户在身份注册阶段录入到移动终端的用户名以及身份认证因子模板,并将其存储到WEB服务器上,包括:从可信执行环境中获取用户在身份注册阶段录入到移动终端的用户名以及身份认证因子模板,并将其存储到WEB服务器上。
可选地,在一种具体地实施方式中,认证服务器根据身份注册阶段录入的用户名以及身份认证因子模板,对身份匹配阶段录入录入的用户名和身份认证因子进行合法性验证,包括:
获取对身份认证因子进行合法性验证时依据的合法性验证等级数据;
基于合法性验证等级数据,根据身份注册阶段录入的用户名以及身份认证因子模板,对身份匹配阶段录入录入的用户名和身份认证因子进行合法性验证。
可选地,在一种具体地实施方式中,获取对身份认证因子进行合法性验证时依据的合法性验证等级数据之前,包括:获取本地验证请求,本地验证请求用于触发获取对身份认证因子进行合法性验证时依据的合法性验证等级数据。
可选地,在一种具体地实施方式中,认证服务器上配置有可信执行环境;对应地,以键值对的方式将转发的用户名以及身份认证因子模板存储到认证服务器上,包括:以键值对的方式将转发的用户名以及身份认证因子模板存储到认证服务器的可信执行环境。
第二方面,本申请实施例提供了一种大数据系统中对用户身份进行合法性认证的系统,包括:移动终端、WEB服务器、认证服务器;
WEB服务器获取用户在身份注册阶段录入到移动终端的用户名以及身份认证因子模板,并将其存储到WEB服务器上;
WEB服务器获取认证服务器和WEB服务器的会话密钥,以通过会话密钥在WEB服务器和认证服务器之间建立TLS可信链路;
WEB服务器将用户名以及身份认证因子模板通过可信链路转发到认证服务器;
认证服务器以键值对的方式将转发的用户名以及身份认证因子模板存储到认证服务器上;
WEB服务器获取用户在身份匹配阶段录入到移动终端的用户名和身份认证因子,并通过认证服务器和WEB服务器之间的TLS可信链路将用户名和身份认证因子转发到认证服务器;
认证服务器根据身份注册阶段录入的用户名以及身份认证因子模板,对身份匹配阶段录入录入的用户名和身份认证因子进行合法性验证。
可选地,在一种具体地实施方式中,认证服务器上配置有可信执行环境;对应地,认证服务器进一步将用户在身份注册阶段录入到移动终端的用户名以及身份认证因子模板存储到可信执行环境中;
WEB服务器进一步从可信执行环境中获取用户在身份注册阶段录入到移动终端的用户名以及身份认证因子模板,并将其存储到WEB服务器上。
可选地,在一种具体地实施方式中,认证服务器进一步获取对身份认证因子进行合法性验证时依据的合法性验证等级数据;
认证服务器进一步基于合法性验证等级数据,根据身份注册阶段录入的用户名以及身份认证因子模板,对身份匹配阶段录入的用户名和身份认证因子进行合法性验证。
可选地,在一种具体地实施方式中,认证服务器上配置有可信执行环境;对应地,认证服务器进一步以键值对的方式将转发的用户名以及身份认证因子模板存储到认证服务器的可信执行环境。
第三方面,本申请实施例提供了一种计算机存储介质,计算机存储介质上存储有计算机可执行指令,计算机可执行指令被执行时执行如下步骤:
获取用户在身份注册阶段录入到移动终端的用户名以及身份认证因子模板,并将其存储到WEB服务器上;获取认证服务器和WEB服务器的会话密钥,以通过会话密钥在WEB服务器和认证服务器之间建立TLS可信链路;WEB服务器将用户名以及身份认证因子模板通过可信链路转发到认证服务器;WEB服务器获取用户在身份匹配阶段录入到移动终端的用户名和身份认证因子,并通过认证服务器和WEB服务器之间的TLS可信链路将用户名和身份认证因子转发到认证服务器;
认证服务器以键值对的方式将转发的用户名以及身份认证因子模板存储到认证服务器上;认证服务器根据身份注册阶段录入的用户名以及身份认证因子模板,对身份匹配阶段录入的用户名和身份认证因子进行合法性验证。
本申请实施例的技术方案中,通过获取用户在身份注册阶段录入到移动终端的用户名以及身份认证因子模板,并将其存储到WEB服务器上;获取认证服务器和WEB服务器的会话密钥,以通过会话密钥在WEB服务器和认证服务器之间建立TLS可信链路;WEB服务器将用户名以及身份认证因子模板通过可信链路转发到认证服务器;以键值对的方式将转发的用户名以及身份认证因子模板存储到认证服务器上;获取用户在身份匹配阶段录入到移动终端的用户名和身份认证因子,并通过认证服务器和WEB服务器之间的TLS可信链路将用户名和身份认证因子转发到认证服务器;认证服务器根据身份注册阶段录入的用户名以及身份认证因子模板,对身份匹配阶段录入的用户名和身份认证因子进行合法性验证。从而能够有效地进行用户身份的合法性验证,有效地保护了用户信息,确保了用户的用网安全。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例一中大数据系统中对用户身份进行合法性认证的方法的流程示意图;
图2为本申请实施例二中大数据系统中对用户身份进行合法性认证的系统的示意图;
图3为本申请实施例三中电子设备的结构示意图;
图4为本申请实施例四中计算机存储介质示意图;
图5为本申请实施例五中电子设备的硬件结构示意图。
具体实施方式
实施本申请实施例的任一技术方案必不一定需要同时达到以上的所有优点。
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
请参阅图1,本申请实施例提供了一种大数据系统中对用户身份进行合法性认证的方法,包括:
S101:获取用户在身份注册阶段录入到移动终端的用户名以及身份认证因子模板,并将其存储到WEB服务器上;
可选地,在一种具体地实施方式中,认证服务器上配置有可信执行环境;对应地,大数据系统中对用户身份进行合法性认证的方法,包括:将用户在身份注册阶段录入到移动终端的用户名以及身份认证因子模板存储到可信执行环境中;
获取用户在身份注册阶段录入到移动终端的用户名以及身份认证因子模板,并将其存储到WEB服务器上,包括:从可信执行环境中获取用户在身份注册阶段录入到移动终端的用户名以及身份认证因子模板,并将其存储到WEB服务器上。
可选地,在一种具体地实施方式中,获取用户在身份注册阶段录入到移动终端的用户名以及身份认证因子模板,并将其存储到WEB服务器上,之前,包括:
获取移动终端和WEB服务器的会话密钥,以通过会话密钥在移动终端和认证服务器之间建立TLS可信链路;
获取用户在身份注册阶段录入到移动终端的用户名以及身份认证因子模板,并将其存储到WEB服务器上,包括:通过WEB服务器和认证服务器之间的TLS可信链路获取用户在身份注册阶段录入到移动终端的用户名以及身份认证因子模板,并将其存储到WEB服务器上。
S102:获取认证服务器和WEB服务器的会话密钥,以通过会话密钥在WEB服务器和认证服务器之间建立TLS可信链路;
可选地,在一种具体地实施方式中,获取认证服务器和WEB服务器的会话密钥,以通过会话密钥在WEB服务器和认证服务器之间建立TLS可信链路,之前包括:
获取认证服务器的密钥对和WEB服务器的密钥对;
根据认证服务器和WEB服务器的密钥对,生成认证服务器和WEB服务器的会话密钥。
可选地,在一种具体地实施方式中,认证服务器的密钥对和WEB服务器的密钥对均包括一个公钥和一个私钥;根据认证服务器和WEB服务器的密钥对,生成认证服务器和WEB服务器的会话密钥,包括:
根据认证服务器的密钥对中的私钥对认证服务器的标识进行加密生成认证服务器的标识公钥,并发送给WEB服务器,WEB服务器根据WEB服务器的密钥对中的公钥以及认证服务器的标识公钥生成第一复合公钥;
根据WEB服务器的密钥对中的私钥对WEB服务器的标识进行加密生成WEB服务器的标识公钥,并发送给认证服务器,认证服务器根据认证服务器的密钥对中的公钥以及WEB服务器的标识公钥生成第二复合公钥;
根据第一复合公钥以及第二复合公钥,生成会话密钥。
可选地,在一种具体地实施方式中,根据第一复合公钥以及第二复合公钥,生成会话密钥,包括:基于伪随机数,根据第一复合公钥以及第二复合公钥,生成会话密钥。
通过上述方案计算出的会话密钥,保证了认证服务器和WEB服务器进行数据交互时,每次使用的会话密钥是完全不同的,无须存储,交互结束后会话密钥就会消失。每次连接中的会话密钥是不同的,避免了烦琐的会话密钥分配问题。最后,这种会话密钥长度相对很小,计算的数据量并不大,所以性能消耗相对可控。
S103:WEB服务器将用户名以及身份认证因子模板通过可信链路转发到认证服务器;
S104:以键值对的方式将转发的用户名以及身份认证因子模板存储到认证服务器上;
可选地,在一种具体地实施方式中,认证服务器上配置有可信执行环境;对应地,以键值对的方式将转发的用户名以及身份认证因子模板存储到认证服务器上,包括:以键值对的方式将转发的用户名以及身份认证因子模板存储到认证服务器的可信执行环境。
S105:获取用户在身份匹配阶段录入到移动终端的用户名和身份认证因子,并通过认证服务器和WEB服务器之间的TLS可信链路将用户名和身份认证因子转发到认证服务器;
S106:认证服务器根据身份注册阶段录入的用户名以及身份认证因子模板,对身份匹配阶段录入的用户名和身份认证因子进行合法性验证。
可选地,在一种具体地实施方式中,认证服务器根据身份注册阶段录入的用户名以及身份认证因子模板,对身份匹配阶段录入录入的用户名和身份认证因子进行合法性验证,包括:
获取对身份认证因子进行合法性验证时依据的合法性验证等级数据;
基于合法性验证等级数据,根据身份注册阶段录入的用户名以及身份认证因子模板,对身份匹配阶段录入录入的用户名和身份认证因子进行合法性验证。
可选地,在一种具体地实施方式中,获取对身份认证因子进行合法性验证时依据的合法性验证等级数据之前,包括:获取本地验证请求,本地验证请求用于触发获取对身份认证因子进行合法性验证时依据的合法性验证等级数据。
实施例二
请参阅图2,本申请实施例提供了一种大数据系统中对用户身份进行合法性认证的系统20,包括:移动终端201、WEB服务器202、认证服务器203;
WEB服务器202获取用户在身份注册阶段录入到移动终端201的用户名以及身份认证因子模板,并将其存储到WEB服务器202上;
可选地,在一种具体地实施方式中,认证服务器203上配置有可信执行环境;对应地,认证服务器203进一步将用户在身份注册阶段录入到移动终端201的用户名以及身份认证因子模板存储到可信执行环境中;
WEB服务器202进一步从可信执行环境中获取用户在身份注册阶段录入到移动终端201的用户名以及身份认证因子模板,并将其存储到WEB服务器202上。
可选地,在一种具体地实施方式中,WEB服务器202进一步获取移动终端201和WEB服务器202的会话密钥,以通过会话密钥在移动终端201和认证服务器203之间建立TLS可信链路;
可选地,在一种具体地实施方式中,WEB服务器202进一步通过通过WEB服务器202和认证服务器203之间的TLS可信链路获取用户在身份注册阶段录入到移动终端201的用户名以及身份认证因子模板,并将其存储到WEB服务器202上。
可选地,在一种具体地实施方式中,WEB服务器202获取认证服务器203和WEB服务器202的会话密钥,以通过会话密钥在WEB服务器202和认证服务器203之间建立TLS可信链路;
可选地,在一种具体地实施方式中,还包括:认证服务器203和WEB服务器202的会话密钥生成单元,用于获取认证服务器203的密钥对和WEB服务器202的密钥对;根据认证服务器203和WEB服务器202的密钥对,生成认证服务器203和WEB服务器202的会话密钥。
可选地,在一种具体地实施方式中,认证服务器203的密钥对和WEB服务器202的密钥对均包括一个公钥和一个私钥;认证服务器203和WEB服务器202的会话密钥生成单元,用于根据认证服务器203的密钥对中的私钥对认证服务器203的标识进行加密生成认证服务器203的标识公钥,并发送给WEB服务器202,WEB服务器202根据WEB服务器202的密钥对中的公钥以及认证服务器203的标识公钥生成第一复合公钥;根据WEB服务器202的密钥对中的私钥对WEB服务器202的标识进行加密生成WEB服务器202的标识公钥,并发送给认证服务器203,认证服务器203根据认证服务器203的密钥对中的公钥以及WEB服务器202的标识公钥生成第二复合公钥;根据第一复合公钥以及第二复合公钥,生成会话密钥。
可选地,在一种具体地实施方式中,认证服务器203和WEB服务器202的会话密钥生成单元进一步用于基于伪随机数,根据第一复合公钥以及第二复合公钥,生成会话密钥。
通过上述方案计算出的会话密钥,保证了认证服务器203和WEB服务器202进行数据交互时,每次使用的会话密钥是完全不同的,无须存储,交互结束后会话密钥就会消失。每次连接中的会话密钥是不同的,避免了烦琐的会话密钥分配问题。最后,这种会话密钥长度相对很小,计算的数据量并不大,所以性能消耗相对可控。
WEB服务器202将用户名以及身份认证因子模板通过可信链路转发到认证服务器203;
认证服务器203以键值对的方式将转发的用户名以及身份认证因子模板存储到认证服务器203上;
可选地,在一种具体地实施方式中,认证服务器203上配置有可信执行环境;对应地,认证服务器203进一步以键值对的方式将转发的用户名以及身份认证因子模板存储到认证服务器203的可信执行环境。
WEB服务器202获取用户在身份匹配阶段录入到移动终端201的用户名和身份认证因子,并通过认证服务器203和WEB服务器202之间的TLS可信链路将用户名和身份认证因子转发到认证服务器203;
认证服务器203根据身份注册阶段录入的用户名以及身份认证因子模板,对身份匹配阶段录入录入的用户名和身份认证因子进行合法性验证。
可选地,在一种具体地实施方式中,认证服务器203进一步获取对身份认证因子进行合法性验证时依据的合法性验证等级数据;
认证服务器203进一步基于合法性验证等级数据,根据身份注册阶段录入的用户名以及身份认证因子模板,对身份匹配阶段录入的用户名和身份认证因子进行合法性验证。
可选地,在一种具体地实施方式中,认证服务器203进一步获取本地验证请求,本地验证请求用于触发获取对身份认证因子进行合法性验证时依据的合法性验证等级数据。
实施例三
请参阅图3,本申请实施例提供了一种电子设备30,包括:存储器301以及处理器302,存储器301上存储有计算机可执行指令,处理器302用于执行计算机可执行指令以执行如下步骤:
获取用户在身份注册阶段录入到移动终端的用户名以及身份认证因子模板,并将其存储到WEB服务器上;获取认证服务器和WEB服务器的会话密钥,以通过会话密钥在WEB服务器和认证服务器之间建立TLS可信链路;WEB服务器将用户名以及身份认证因子模板通过可信链路转发到认证服务器;WEB服务器获取用户在身份匹配阶段录入到移动终端的用户名和身份认证因子,并通过认证服务器和WEB服务器之间的TLS可信链路将用户名和身份认证因子转发到认证服务器;
认证服务器以键值对的方式将转发的用户名以及身份认证因子模板存储到认证服务器上;认证服务器根据身份注册阶段录入的用户名以及身份认证因子模板,对身份匹配阶段录入的用户名和身份认证因子进行合法性验证。
下面详细说明:
获取用户在身份注册阶段录入到移动终端的用户名以及身份认证因子模板,并将其存储到WEB服务器上;
可选地,在一种具体地实施方式中,认证服务器上配置有可信执行环境;对应地,大数据系统中对用户身份进行合法性认证的方法,包括:将用户在身份注册阶段录入到移动终端的用户名以及身份认证因子模板存储到可信执行环境中;
获取用户在身份注册阶段录入到移动终端的用户名以及身份认证因子模板,并将其存储到WEB服务器上,包括:从可信执行环境中获取用户在身份注册阶段录入到移动终端的用户名以及身份认证因子模板,并将其存储到WEB服务器上。
可选地,在一种具体地实施方式中,获取用户在身份注册阶段录入到移动终端的用户名以及身份认证因子模板,并将其存储到WEB服务器上,之前,包括:
获取移动终端和WEB服务器的会话密钥,以通过会话密钥在移动终端和认证服务器之间建立TLS可信链路;
获取用户在身份注册阶段录入到移动终端的用户名以及身份认证因子模板,并将其存储到WEB服务器上,包括:通过WEB服务器和认证服务器之间的TLS可信链路获取用户在身份注册阶段录入到移动终端的用户名以及身份认证因子模板,并将其存储到WEB服务器上。
获取认证服务器和WEB服务器的会话密钥,以通过会话密钥在WEB服务器和认证服务器之间建立TLS可信链路;
可选地,在一种具体地实施方式中,获取认证服务器和WEB服务器的会话密钥,以通过会话密钥在WEB服务器和认证服务器之间建立TLS可信链路,之前包括:
获取认证服务器的密钥对和WEB服务器的密钥对;
根据认证服务器和WEB服务器的密钥对,生成认证服务器和WEB服务器的会话密钥。
可选地,在一种具体地实施方式中,认证服务器的密钥对和WEB服务器的密钥对均包括一个公钥和一个私钥;根据认证服务器和WEB服务器的密钥对,生成认证服务器和WEB服务器的会话密钥,包括:
根据认证服务器的密钥对中的私钥对认证服务器的标识进行加密生成认证服务器的标识公钥,并发送给WEB服务器,WEB服务器根据WEB服务器的密钥对中的公钥以及认证服务器的标识公钥生成第一复合公钥;
根据WEB服务器的密钥对中的私钥对WEB服务器的标识进行加密生成WEB服务器的标识公钥,并发送给认证服务器,认证服务器根据认证服务器的密钥对中的公钥以及WEB服务器的标识公钥生成第二复合公钥;
根据第一复合公钥以及第二复合公钥,生成会话密钥。
可选地,在一种具体地实施方式中,根据第一复合公钥以及第二复合公钥,生成会话密钥,包括:基于伪随机数,根据第一复合公钥以及第二复合公钥,生成会话密钥。
通过上述方案计算出的会话密钥,保证了认证服务器和WEB服务器进行数据交互时,每次使用的会话密钥是完全不同的,无须存储,交互结束后会话密钥就会消失。每次连接中的会话密钥是不同的,避免了烦琐的会话密钥分配问题。最后,这种会话密钥长度相对很小,计算的数据量并不大,所以性能消耗相对可控。
WEB服务器将用户名以及身份认证因子模板通过可信链路转发到认证服务器;
以键值对的方式将转发的用户名以及身份认证因子模板存储到认证服务器上;
可选地,在一种具体地实施方式中,认证服务器上配置有可信执行环境;对应地,以键值对的方式将转发的用户名以及身份认证因子模板存储到认证服务器上,包括:以键值对的方式将转发的用户名以及身份认证因子模板存储到认证服务器的可信执行环境。
获取用户在身份匹配阶段录入到移动终端的用户名和身份认证因子,并通过认证服务器和WEB服务器之间的TLS可信链路将用户名和身份认证因子转发到认证服务器;
认证服务器根据身份注册阶段录入的用户名以及身份认证因子模板,对身份匹配阶段录入的用户名和身份认证因子进行合法性验证。
可选地,在一种具体地实施方式中,认证服务器根据身份注册阶段录入的用户名以及身份认证因子模板,对身份匹配阶段录入录入的用户名和身份认证因子进行合法性验证,包括:
获取对身份认证因子进行合法性验证时依据的合法性验证等级数据;
基于合法性验证等级数据,根据身份注册阶段录入的用户名以及身份认证因子模板,对身份匹配阶段录入录入的用户名和身份认证因子进行合法性验证。
可选地,在一种具体地实施方式中,获取对身份认证因子进行合法性验证时依据的合法性验证等级数据之前,包括:获取本地验证请求,本地验证请求用于触发获取对身份认证因子进行合法性验证时依据的合法性验证等级数据。
实施例四
请参阅图4,本申请实施例提供了一种计算机存储介质,计算机存储介质上存储有计算机可执行指令,计算机可执行指令被执行时执行如下步骤:
获取用户在身份注册阶段录入到移动终端的用户名以及身份认证因子模板,并将其存储到WEB服务器上;获取认证服务器和WEB服务器的会话密钥,以通过会话密钥在WEB服务器和认证服务器之间建立TLS可信链路;WEB服务器将用户名以及身份认证因子模板通过可信链路转发到认证服务器;WEB服务器获取用户在身份匹配阶段录入到移动终端的用户名和身份认证因子,并通过认证服务器和WEB服务器之间的TLS可信链路将用户名和身份认证因子转发到认证服务器;
认证服务器以键值对的方式将转发的用户名以及身份认证因子模板存储到认证服务器上;认证服务器根据身份注册阶段录入的用户名以及身份认证因子模板,对身份匹配阶段录入的用户名和身份认证因子进行合法性验证。
下面详细说明:
获取用户在身份注册阶段录入到移动终端的用户名以及身份认证因子模板,并将其存储到WEB服务器上;
可选地,在一种具体地实施方式中,认证服务器上配置有可信执行环境;对应地,大数据系统中对用户身份进行合法性认证的方法,包括:将用户在身份注册阶段录入到移动终端的用户名以及身份认证因子模板存储到可信执行环境中;
获取用户在身份注册阶段录入到移动终端的用户名以及身份认证因子模板,并将其存储到WEB服务器上,包括:从可信执行环境中获取用户在身份注册阶段录入到移动终端的用户名以及身份认证因子模板,并将其存储到WEB服务器上。
可选地,在一种具体地实施方式中,获取用户在身份注册阶段录入到移动终端的用户名以及身份认证因子模板,并将其存储到WEB服务器上,之前,包括:
获取移动终端和WEB服务器的会话密钥,以通过会话密钥在移动终端和认证服务器之间建立TLS可信链路;
获取用户在身份注册阶段录入到移动终端的用户名以及身份认证因子模板,并将其存储到WEB服务器上,包括:通过WEB服务器和认证服务器之间的TLS可信链路获取用户在身份注册阶段录入到移动终端的用户名以及身份认证因子模板,并将其存储到WEB服务器上。
获取认证服务器和WEB服务器的会话密钥,以通过会话密钥在WEB服务器和认证服务器之间建立TLS可信链路;
可选地,在一种具体地实施方式中,获取认证服务器和WEB服务器的会话密钥,以通过会话密钥在WEB服务器和认证服务器之间建立TLS可信链路,之前包括:
获取认证服务器的密钥对和WEB服务器的密钥对;
根据认证服务器和WEB服务器的密钥对,生成认证服务器和WEB服务器的会话密钥。
可选地,在一种具体地实施方式中,认证服务器的密钥对和WEB服务器的密钥对均包括一个公钥和一个私钥;根据认证服务器和WEB服务器的密钥对,生成认证服务器和WEB服务器的会话密钥,包括:
根据认证服务器的密钥对中的私钥对认证服务器的标识进行加密生成认证服务器的标识公钥,并发送给WEB服务器,WEB服务器根据WEB服务器的密钥对中的公钥以及认证服务器的标识公钥生成第一复合公钥;
根据WEB服务器的密钥对中的私钥对WEB服务器的标识进行加密生成WEB服务器的标识公钥,并发送给认证服务器,认证服务器根据认证服务器的密钥对中的公钥以及WEB服务器的标识公钥生成第二复合公钥;
根据第一复合公钥以及第二复合公钥,生成会话密钥。
可选地,在一种具体地实施方式中,根据第一复合公钥以及第二复合公钥,生成会话密钥,包括:基于伪随机数,根据第一复合公钥以及第二复合公钥,生成会话密钥。
通过上述方案计算出的会话密钥,保证了认证服务器和WEB服务器进行数据交互时,每次使用的会话密钥是完全不同的,无须存储,交互结束后会话密钥就会消失。每次连接中的会话密钥是不同的,避免了烦琐的会话密钥分配问题。最后,这种会话密钥长度相对很小,计算的数据量并不大,所以性能消耗相对可控。
WEB服务器将用户名以及身份认证因子模板通过可信链路转发到认证服务器;
以键值对的方式将转发的用户名以及身份认证因子模板存储到认证服务器上;
可选地,在一种具体地实施方式中,认证服务器上配置有可信执行环境;对应地,以键值对的方式将转发的用户名以及身份认证因子模板存储到认证服务器上,包括:以键值对的方式将转发的用户名以及身份认证因子模板存储到认证服务器的可信执行环境。
获取用户在身份匹配阶段录入到移动终端的用户名和身份认证因子,并通过认证服务器和WEB服务器之间的TLS可信链路将用户名和身份认证因子转发到认证服务器;
认证服务器根据身份注册阶段录入的用户名以及身份认证因子模板,对身份匹配阶段录入的用户名和身份认证因子进行合法性验证。
可选地,在一种具体地实施方式中,认证服务器根据身份注册阶段录入的用户名以及身份认证因子模板,对身份匹配阶段录入录入的用户名和身份认证因子进行合法性验证,包括:
获取对身份认证因子进行合法性验证时依据的合法性验证等级数据;
基于合法性验证等级数据,根据身份注册阶段录入的用户名以及身份认证因子模板,对身份匹配阶段录入录入的用户名和身份认证因子进行合法性验证。
可选地,在一种具体地实施方式中,获取对身份认证因子进行合法性验证时依据的合法性验证等级数据之前,包括:获取本地验证请求,本地验证请求用于触发获取对身份认证因子进行合法性验证时依据的合法性验证等级数据。
本申请实施例的技术方案中,通过获取用户在身份注册阶段录入到移动终端的用户名以及身份认证因子模板,并将其存储到WEB服务器上;获取认证服务器和WEB服务器的会话密钥,以通过会话密钥在WEB服务器和认证服务器之间建立TLS可信链路;WEB服务器将用户名以及身份认证因子模板通过可信链路转发到认证服务器;以键值对的方式将转发的用户名以及身份认证因子模板存储到认证服务器上;获取用户在身份匹配阶段录入到移动终端的用户名和身份认证因子,并通过认证服务器和WEB服务器之间的TLS可信链路将用户名和身份认证因子转发到认证服务器;认证服务器根据身份注册阶段录入的用户名以及身份认证因子模板,对身份匹配阶段录入的用户名和身份认证因子进行合法性验证。从而能够有效地进行用户身份的合法性验证,有效地保护了用户信息,确保了用户的用网安全。
请参阅图5,图5为本申请实施例五中电子设备的硬件结构示意图;如图5所示,该电子设备的硬件结构可以包括:处理器501,通信接口502,计算机可读介质503和通信总线504;
其中,处理器501、通信接口502、计算机可读介质503通过通信总线504完成相互间的通信;
可选的,通信接口502可以为通信模块的接口,如GSM模块的接口;
其中,处理器501具体可以配置为运行存储器上存储的可执行程序,从而执行上述任一方法实施例的所有处理步骤或者其中部分处理步骤。
处理器501可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其它可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
本申请实施例的电子设备以多种形式存在,包括但不限于:
(1)移动通信设备。
(2)超移动个人计算机设备。
(3)多媒体设备。
(4)服务器。
(5)其他具有样本数据交互功能的电子装置。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于设备及系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的设备及系统实施例仅仅是示意性的,其中作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块提示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述,仅为本申请的一种具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应该以权利要求的保护范围为准。
Claims (10)
1.一种大数据系统中对用户身份进行合法性认证的方法,其特征在于,包括:
获取用户在身份注册阶段录入到移动终端的用户名以及身份认证因子模板,并将其存储到WEB服务器上;
获取认证服务器和所述WEB服务器的会话密钥,以通过所述会话密钥在所述WEB服务器和所述认证服务器之间建立TLS可信链路;
WEB服务器将所述用户名以及所述身份认证因子模板通过所述可信链路转发到认证服务器;
以键值对的方式将转发的所述用户名以及所述身份认证因子模板存储到所述认证服务器上;
获取用户在身份匹配阶段录入到移动终端的用户名和身份认证因子,并通过所述认证服务器和所述WEB服务器之间的TLS可信链路将所述用户名和所述身份认证因子转发到所述认证服务器;
所述认证服务器根据身份注册阶段录入的所述用户名以及所述身份认证因子模板,对身份匹配阶段录入的用户名和身份认证因子进行合法性验证。
2.根据权利要求1所述大数据系统中对用户身份进行合法性认证的方法,其特征在于,所述认证服务器上配置有可信执行环境;对应地,所述大数据系统中对用户身份进行合法性认证的方法,包括:将用户在身份注册阶段录入到移动终端的用户名以及身份认证因子模板存储到所述可信执行环境中;
所述获取用户在身份注册阶段录入到移动终端的用户名以及身份认证因子模板,并将其存储到WEB服务器上,包括:从所述可信执行环境中获取用户在身份注册阶段录入到移动终端的用户名以及身份认证因子模板,并将其存储到WEB服务器上。
3.根据权利要求1所述大数据系统中对用户身份进行合法性认证的方法,其特征在于,所述所述认证服务器根据身份注册阶段录入的所述用户名以及所述身份认证因子模板,对身份匹配阶段录入录入的用户名和身份认证因子进行合法性验证,包括:
获取对所述身份认证因子进行合法性验证时依据的合法性验证等级数据;
基于合法性验证等级数据,根据身份注册阶段录入的所述用户名以及所述身份认证因子模板,对身份匹配阶段录入录入的用户名和身份认证因子进行合法性验证。
4.根据权利要求1所述大数据系统中对用户身份进行合法性认证的方法,其特征在于,所述获取对所述身份认证因子进行合法性验证时依据的合法性验证等级数据之前,包括:获取本地验证请求,所述本地验证请求用于触发获取对所述身份认证因子进行合法性验证时依据的合法性验证等级数据。
5.根据权利要求1所述大数据系统中对用户身份进行合法性认证的方法,其特征在于,所述认证服务器上配置有可信执行环境;对应地,所述以键值对的方式将转发的所述用户名以及所述身份认证因子模板存储到所述认证服务器上,包括:以键值对的方式将转发的所述用户名以及所述身份认证因子模板存储到所述认证服务器的所述可信执行环境。
6.一种大数据系统中对用户身份进行合法性认证的系统,其特征在于,包括:移动终端、WEB服务器、认证服务器;
所述WEB服务器获取用户在身份注册阶段录入到移动终端的用户名以及身份认证因子模板,并将其存储到所述WEB服务器上;
所述WEB服务器获取认证服务器和所述WEB服务器的会话密钥,以通过所述会话密钥在所述WEB服务器和所述认证服务器之间建立TLS可信链路;
所述WEB服务器将所述用户名以及所述身份认证因子模板通过所述可信链路转发到认证服务器;
所述认证服务器以键值对的方式将转发的所述用户名以及所述身份认证因子模板存储到所述认证服务器上;
所述WEB服务器获取用户在身份匹配阶段录入到移动终端的用户名和身份认证因子,并通过所述认证服务器和所述WEB服务器之间的TLS可信链路将所述用户名和所述身份认证因子转发到所述认证服务器;
所述认证服务器根据身份注册阶段录入的所述用户名以及所述身份认证因子模板,对身份匹配阶段录入录入的用户名和身份认证因子进行合法性验证。
7.根据权利要求6所述大数据系统中对用户身份进行合法性认证的系统,其特征在于,所述认证服务器上配置有可信执行环境;对应地,所述认证服务器进一步将用户在身份注册阶段录入到移动终端的用户名以及身份认证因子模板存储到所述可信执行环境中;所述WEB服务器进一步从所述可信执行环境中获取用户在身份注册阶段录入到移动终端的用户名以及身份认证因子模板,并将其存储到WEB服务器上。
8.根据权利要求6所述大数据系统中对用户身份进行合法性认证的系统,其特征在于,所述认证服务器进一步获取对所述身份认证因子进行合法性验证时依据的合法性验证等级数据;所述认证服务器进一步基于合法性验证等级数据,根据身份注册阶段录入的所述用户名以及所述身份认证因子模板,对身份匹配阶段录入的用户名和身份认证因子进行合法性验证。
9.根据权利要求6所述大数据系统中对用户身份进行合法性认证的系统,其特征在于,所述认证服务器上配置有可信执行环境;对应地,所述认证服务器进一步以键值对的方式将转发的所述用户名以及所述身份认证因子模板存储到所述认证服务器的所述可信执行环境。
10.一种计算机存储介质,其特征在于,所述计算机存储介质上存储有计算机可执行指令,所述计算机可执行指令被执行时执行如下步骤:
获取用户在身份注册阶段录入到移动终端的用户名以及身份认证因子模板,并将其存储到所述WEB服务器上;获取认证服务器和所述WEB服务器的会话密钥,以通过所述会话密钥在所述WEB服务器和所述认证服务器之间建立TLS可信链路;所述WEB服务器将所述用户名以及所述身份认证因子模板通过所述可信链路转发到认证服务器;所述WEB服务器获取用户在身份匹配阶段录入到移动终端的用户名和身份认证因子,并通过所述认证服务器和所述WEB服务器之间的TLS可信链路将所述用户名和所述身份认证因子转发到所述认证服务器;
所述认证服务器以键值对的方式将转发的所述用户名以及所述身份认证因子模板存储到所述认证服务器上;所述认证服务器根据身份注册阶段录入的所述用户名以及所述身份认证因子模板,对身份匹配阶段录入的用户名和身份认证因子进行合法性验证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011529049.8A CN112738043B (zh) | 2020-12-22 | 2020-12-22 | 大数据系统中对用户身份进行合法性认证的方法、系统及相关产品 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011529049.8A CN112738043B (zh) | 2020-12-22 | 2020-12-22 | 大数据系统中对用户身份进行合法性认证的方法、系统及相关产品 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112738043A true CN112738043A (zh) | 2021-04-30 |
| CN112738043B CN112738043B (zh) | 2023-06-27 |
Family
ID=75605808
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011529049.8A Active CN112738043B (zh) | 2020-12-22 | 2020-12-22 | 大数据系统中对用户身份进行合法性认证的方法、系统及相关产品 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112738043B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115118496A (zh) * | 2022-06-27 | 2022-09-27 | 珠海格力电器股份有限公司 | 身份认证信息的存储方法、装置以及身份认证设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104363207A (zh) * | 2014-10-29 | 2015-02-18 | 北京成众志科技有限公司 | 多因子安全增强授权与认证方法 |
| CN104811303A (zh) * | 2014-01-24 | 2015-07-29 | 北京中传数广技术有限公司 | 双向认证的方法、装置及系统 |
| CN107634941A (zh) * | 2017-09-04 | 2018-01-26 | 西安电子科技大学 | 一种基于智能手环的多因子认证方法 |
| CN109255222A (zh) * | 2018-08-21 | 2019-01-22 | 广州数源畅联科技有限公司 | 一种用多因子身份认证去匹配和部署策略模板的方法 |
| CN110661800A (zh) * | 2019-09-25 | 2020-01-07 | 北京计算机技术及应用研究所 | 一种支持保证级别的多因子身份认证方法 |
| US20200092284A1 (en) * | 2018-09-19 | 2020-03-19 | Alibaba Group Holding Limited | Authentication method and system |
-
2020
- 2020-12-22 CN CN202011529049.8A patent/CN112738043B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104811303A (zh) * | 2014-01-24 | 2015-07-29 | 北京中传数广技术有限公司 | 双向认证的方法、装置及系统 |
| CN104363207A (zh) * | 2014-10-29 | 2015-02-18 | 北京成众志科技有限公司 | 多因子安全增强授权与认证方法 |
| CN107634941A (zh) * | 2017-09-04 | 2018-01-26 | 西安电子科技大学 | 一种基于智能手环的多因子认证方法 |
| CN109255222A (zh) * | 2018-08-21 | 2019-01-22 | 广州数源畅联科技有限公司 | 一种用多因子身份认证去匹配和部署策略模板的方法 |
| US20200092284A1 (en) * | 2018-09-19 | 2020-03-19 | Alibaba Group Holding Limited | Authentication method and system |
| CN110661800A (zh) * | 2019-09-25 | 2020-01-07 | 北京计算机技术及应用研究所 | 一种支持保证级别的多因子身份认证方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115118496A (zh) * | 2022-06-27 | 2022-09-27 | 珠海格力电器股份有限公司 | 身份认证信息的存储方法、装置以及身份认证设备 |
| CN115118496B (zh) * | 2022-06-27 | 2024-02-27 | 珠海格力电器股份有限公司 | 身份认证信息的存储方法、装置以及身份认证设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112738043B (zh) | 2023-06-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11095455B2 (en) | Recursive token binding for cascaded service calls | |
| CN110958118B (zh) | 证书认证管理方法、装置、设备及计算机可读存储介质 | |
| WO2022095244A1 (zh) | 跨链交易方法、系统、装置、设备和存储介质 | |
| CN110391913B (zh) | 车辆的绑定方法及装置 | |
| CN110177124B (zh) | 基于区块链的身份认证方法及相关设备 | |
| US9027103B2 (en) | Method and system for securely accessing to protected resource | |
| CN113487042B (zh) | 一种联邦学习方法、装置及联邦学习系统 | |
| CN110570196A (zh) | 交易数据处理方法、装置、终端设备以及存储介质 | |
| KR20150059347A (ko) | 휴대 단말기, 단말기 및 보안쿠키를 이용한 인증 방법 | |
| CN114900316B (zh) | 一种基于区块链的物联网设备快速身份认证方法及系统 | |
| CN111565179B (zh) | 身份校验方法、装置、电子设备及存储介质 | |
| CN115982694A (zh) | 一种资源访问的方法、装置、设备及介质 | |
| WO2020025056A1 (zh) | 安全认证方法、装置和系统,移动终端 | |
| CN112738043B (zh) | 大数据系统中对用户身份进行合法性认证的方法、系统及相关产品 | |
| CN111600703B (zh) | 基于sm2的签名方法、系统、电子设备及存储介质 | |
| CN112613050A (zh) | 基于大数据系统中数据访问方法、装置及相关产品 | |
| CN115391801A (zh) | 区块链系统中加密模块的更新方法、装置及相关产品 | |
| WO2013067792A1 (zh) | 智能卡的访问方法、装置及系统 | |
| CN115242471A (zh) | 信息传输方法、装置、电子设备及计算机可读存储介质 | |
| CN112003705B (zh) | 基于零知识证明的身份认证方法和装置 | |
| CN114584347A (zh) | 验证短信收发方法、服务器、终端及存储介质 | |
| CN108200046B (zh) | 终端设备的注册方法、装置、终端设备和代理服务器 | |
| EP3163490B1 (en) | Providing security assurance information | |
| CN112165399B (zh) | 基于可信根度量进行区块链节点故障的处理方法、装置及相关产品 | |
| CN117421782B (zh) | 一种档案签名、完整性检测、追踪方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |