CN113904873A - 一种认证方法、装置、计算设备及存储介质 - Google Patents
一种认证方法、装置、计算设备及存储介质 Download PDFInfo
- Publication number
- CN113904873A CN113904873A CN202111429501.8A CN202111429501A CN113904873A CN 113904873 A CN113904873 A CN 113904873A CN 202111429501 A CN202111429501 A CN 202111429501A CN 113904873 A CN113904873 A CN 113904873A
- Authority
- CN
- China
- Prior art keywords
- client
- authentication
- authorization
- server
- authorization certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 58
- 238000013475 authorization Methods 0.000 claims abstract description 252
- 230000002093 peripheral effect Effects 0.000 claims description 93
- 238000004891 communication Methods 0.000 description 20
- 238000010586 diagram Methods 0.000 description 10
- 238000012545 processing Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 230000032683 aging Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 238000007667 floating Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000011900 installation process Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000007723 transport mechanism Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种认证方法、装置、计算设备及存储介质,并包括步骤:从服务器获取生成的对应于客户端的序列号;根据序列号和客户端的第一节点信息生成第一认证请求,并将第一认证请求发送至服务器,以便服务器根据客户端的第一认证请求,以及上个进行认证的客户端的授权凭证生成认证信息,并根据认证信息生成客户端的第一授权凭证;从服务器获取生成的第一授权凭证。本发明中每生成一次客户端的授权凭证时,均依赖上一次客户端的授权凭证,保证了每个客户端的授权凭证均不相同,并且客户端的授权凭证还依赖于客户端的第一节点信息生成,一旦第一节点信息发生篡改,授权凭证也会发生变化,从而保护了客户端的节点信息不被篡改。
Description
技术领域
本发明涉及区块链领域,特别涉及一种认证方法、计算设备及存储介质。
背景技术
随着计算机技术的发展,人们对计算机等电子设备的安全性也提出了更高的要求,要求计算机的某些信息不被篡改,由此催生了授权认证技术。现有的授权认证技术中,通过复杂的算法生成安装序列号,在安装过程中,安装程序对用户输入的安装序列号进行校验来验证该系统是否合法,从而完成授权。在该授权认证过程中,仅通过序列号作为唯一的安全认证凭证存在被篡改的风险。
为此,需要一种新的认证方法。
发明内容
为此,本发明提供一种认证方法,以力图解决或者至少缓解上面存在的问题。
根据本发明的一个方面,提供一种认证方法,适于在客户端中执行,客户端与服务器通信连接,服务器连接有多个客户端,方法包括步骤:从服务器获取生成的对应于客户端的序列号;根据序列号和客户端的第一节点信息生成第一认证请求,并将第一认证请求发送至服务器,以便服务器根据客户端的第一认证请求,以及上个进行认证的客户端的授权凭证生成认证信息,并根据认证信息生成客户端的第一授权凭证;从服务器获取生成的第一授权凭证。
可选地,在根据本发明的方法中,还包括步骤:根据第一授权凭证生成第二授权凭证;根据第二授权凭证生成第二认证请求,向与服务器连接的多个周边客户端发送第二认证请求,以便周边客户端判断第二授权凭证是否与第一授权凭证相同,周边客户端存储有服务器以广播形式下发的客户端的第一授权凭证;当周边客户端判断第二授权凭证与第一授权凭证相同,生成认证通过信息时,从一个或多个周边客户端获取授权通过信息;判断生成认证通过消息的周边客户端的数量是否达到预定数目;若达到预定数目,则生成授权凭证有效的认证结果。
可选地,在根据本发明的方法中,根据第一授权凭证生成第二授权凭证包括步骤:当第一节点信息在预定时间内没有被非法修改,则根据第一节点信息和第一授权凭证生成第二授权凭证;当第一节点信息被非法修改为第二节点信息,则根据第二节点信息和第一授权凭证生成第二授权凭证。
可选地,在根据本发明的方法中,还包括步骤:当周边客户端判断第二授权凭证与第一授权凭证不同,生成认证失败消息时,从一个或多个周边客户端获取认证失败消息;根据认证失败消息生成授权凭证无效的认证结果。
可选地,在根据本发明的方法中,还包括步骤:向服务器发送第二认证请求,以便服务器判断第二授权凭证是否与第一授权凭证相同;当服务器判断第二授权凭证与第一授权凭证不同,生成认证失败消息时,从服务器获取认证失败消息;根据认证失败消息停止向周边客户端和服务器发送认证请求。
可选地,在根据本发明的方法中,还包括步骤:当所述服务器对周边客户端进行认证,根据周边客户端的认证请求向周边客户端发送第三授权凭证时,从服务器获取第三授权凭证并进行存储;接收周边客户端发送的第三认证请求,第三认证请求包括周边客户端根据第三授权凭证生成的第四授权凭证;判断第四授权凭证是否与第三授权凭证相同;若判断第四授权凭证与第三授权凭证相同,则向周边客户端发送认证通过消息;若判断第四授权凭证与第三授权凭证不同,则向周边客户端发送认证失败消息。
根据本发明的另一个方面,提供一种认证方法,适于在服务器中执行,服务器与多个客户端通信连接,方法包括步骤:生成要进行认证的客户端的序列号,并将序列号发送至客户端;接收客户端根据序列号和客户端的第一节点信息生成的第一认证请求,并根据客户端的第一认证请求,以及上个进行认证的客户端的授权凭证生成认证信息;根据认证信息生成客户端的第一授权凭证,并将第一授权凭证发送至客户端。
可选地,在根据本发明的方法中,还包括步骤:接收客户端的第二认证请求,第二认证请求包括客户端生成的第二授权凭证;判断第二授权凭证是否与第一授权凭证相同;若第二授权凭证与第一授权凭证不同,则生成认证失败消息,并发送给客户端。
根据本发明的另一个方面,提供一种认证装置,装置适于驻留在客户端中,客户端与服务器通信连接,服务器连接有多个客户端,装置包括认证单元和监听单元,其中,监听单元适于从服务器获取生成的对应于客户端的序列号;认证单元适于根据序列号和客户端的第一节点信息生成第一认证请求,并将第一认证请求发送至服务器,以便服务器根据客户端的第一认证请求,以及上个进行认证的客户端的授权凭证生成认证信息,并根据认证信息生成客户端的第一授权凭证;监听单元还适于从服务器获取生成的第一授权凭证。
根据本发明的再一个方面,提供了一种计算设备,包括:一个或多个处理器;存储器;以及一个或多个程序,其中一个或多个程序存储在存储器中并被配置为由一个或多个处理器执行,一个或多个程序包括用于执行根据本发明的认证方法。
根据本发明的还有一个方面,提供了一种存储一个或多个程序的计算机可读存储介质,一个或多个程序包括指令,该指令当由计算设备执行时,使得计算设备执行根据本发明的认证方法。
本发明中的认证方法,适于在客户端中执行,客户端与服务器通信连接,服务器连接有多个客户端,方法包括步骤:先从服务器获取生成的对应于客户端的序列号,随后根据序列号和客户端的第一节点信息生成第一认证请求,并将第一认证请求发送至服务器,以便服务器根据客户端的第一认证请求,以及上个进行认证的客户端的授权凭证生成认证信息,并根据认证信息生成客户端的第一授权凭证,最后从服务器获取生成的第一授权凭证。由于序列号和客户端的第一节点信息均唯一,并且还根据上个进行认证的客户端的授权凭证生成认证信息,因此每个客户端的认证信息均不相同,所生成的授权凭证也均不相同。本发明中每生成一次客户端的授权凭证时,均依赖上一次客户端的授权凭证,保证了每个客户端的授权凭证均不相同,并且客户端的授权凭证还依赖于客户端的第一节点信息生成,一旦第一节点信息发生篡改,授权凭证也会发生变化,从而保护了客户端的节点信息不被篡改。
附图说明
为了实现上述以及相关目的,本文结合下面的描述和附图来描述某些说明性方面,这些方面指示了可以实践本文所公开的原理的各种方式,并且所有方面及其等效方面旨在落入所要求保护的主题的范围内。通过结合附图阅读下面的详细描述,本发明公开的上述以及其它目的、特征和优势将变得更加明显。遍及本公开,相同的附图标记通常指代相同的部件或元素。
图1示出了根据本发明一个示范性实施例的客户端与服务器通信连接的示意图;
图2示出了根据本发明一个示范性实施例的计算设备200的结构框图;
图3示出了根据本发明一个示范性实施例的认证方法300的流程示意图;
图4示出了根据本发明的一个示范性实施例的生成授权凭证的示意图;以及
图5示出了根据本发明一个示范性实施例的认证装置500的示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。相同的附图标记通常指代相同的部件或元素。
图1示出了根据本发明一个示范性实施例的客户端与服务器通信连接的示意图。如图1所示,服务器110与客户端121~123通信连接,图1所示的服务器110与客户端121~123的连接方式仅为示例性的,本发明对服务器110所连接的客户端的数量不做限制。
以客户端121和客户端122为例,服务端先对客户端121进行认证,生成了授权凭证,随后对客户端122进行认证。认证是指对身份信息进行认证并赋予其操作权限,认证通过的客户端就可以正常执行操作,没有通过认证则不能正常执行操作。
对客户端122进行授权认证时,生成要进行认证的客户端122的序列号,并将序列号发送至客户端122。序列号为服务器110所认证的客户端122的唯一编号,每个客户端的序列号均不相同。随后接收客户端122根据序列号和客户端122的第一节点信息生成的第一认证请求。并根据客户端122的第一认证请求,以及上个进行认证的客户端121的授权凭证生成认证信息。上个进行认证的客户端121是指上一个服务器110进行认证并生成了授权凭证的客户端121。随后根据认证信息生成客户端122的第一授权凭证,并将第一授权凭证发送至客户端122。服务器110所生成的客户端122的授权凭证不仅基于生成的客户端121的授权凭证,还根据客户端122的第一节点信息生成,因此能保证每个客户端的授权凭证均不相同,并且若第一节点信息被篡改,其客户端122的授权凭证也会发生改变,保证客户端的信息不被篡改。
图1所示了客户端121~123及服务器110均可实现为如图2所示的计算设备。图2示出了根据本发明一个示范性实施例的计算设备200的结构框图。如图2所示,在基本的配置202中,计算设备200典型地包括系统存储器206和一个或者多个处理器204。存储器总线208可以用于在处理器204和系统存储器206之间的通信。
取决于期望的配置,处理器204可以是任何类型的处理,包括但不限于:微处理器(µP)、微控制器(µC)、数字信息处理器(DSP)或者它们的任何组合。处理器204可以包括诸如一级高速缓存210和二级高速缓存212之类的一个或者多个级别的高速缓存、处理器核心214和寄存器216。示例的处理器核心214可以包括运算逻辑单元(ALU)、浮点数单元(FPU)、数字信号处理核心(DSP核心)或者它们的任何组合。示例的存储器控制器218可以与处理器204一起使用,或者在一些实现中,存储器控制器218可以是处理器204的一个内部部分。
取决于期望的配置,系统存储器206可以是任意类型的存储器,包括但不限于:易失性存储器(诸如RAM)、非易失性存储器(诸如ROM、闪存等)或者它们的任何组合。系统存储器206可以包括操作系统220、一个或者多个程序222以及程序数据228。在一些实施方式中,程序222可以布置为在操作系统上由一个或者多个处理器204利用程序数据228执行根据本发明的方法300的指令223。
计算设备200还可以包括储存接口总线234。储存接口总线234实现了从储存设备232(例如,可移除储存器236和不可移除储存器238)经由总线/接口控制器230到基本配置202的通信。操作系统220、程序222以及数据224的至少一部分可以存储在可移除储存器236和/或不可移除储存器238上,并且在计算设备200上电或者要执行程序222时,经由储存接口总线234而加载到系统存储器206中,并由一个或者多个处理器204来执行。
计算设备200还可以包括有助于从各种接口设备(例如,输出设备242、外设接口244和通信设备246)到基本配置202经由总线/接口控制器230的通信的接口总线240。示例的输出设备242包括图形处理单元248和音频处理单元250。它们可以被配置为有助于经由一个或者多个A/V端口252与诸如显示器或者扬声器之类的各种外部设备进行通信。示例外围接口244可以包括串行接口控制器254和并行接口控制器256,它们可以被配置为有助于经由一个或者多个I/O端口258和诸如输入设备(例如,键盘、鼠标、笔、语音输入设备、触摸输入设备)或者其他外设(例如打印机、扫描仪等)之类的外部设备进行通信。示例的通信设备246可以包括网络控制器260,其可以被布置为以便经由一个或者多个通信端口264与一个或者多个其他计算设备200通过网络通信链路的通信。
网络通信链路可以是通信介质的一个示例。通信介质通常可以体现为在诸如载波或者其他传输机制之类的调制数据信号中的计算机可读指令、数据结构、程序模块,并且可以包括任何信息递送介质。“调制数据信号”可以这样的信号,它的数据集中的一个或者多个或者它的改变可以在信号中编码信息的方式进行。作为非限制性的示例,通信介质可以包括诸如有线网络或者专线网络之类的有线介质,以及诸如声音、射频(RF)、微波、红外(IR)或者其它无线介质在内的各种无线介质。这里使用的术语计算机可读介质可以包括存储介质和通信介质二者。
在根据本发明的计算设备200中,程序222包括认证方法300的多条程序指令,这些程序指令可以指示处理器204执行本发明的计算设备200中运行的认证方法300中的部分步骤,以便计算设备200中的各部分通过执行本发明的认证方法300来对客户端进行认证。
计算设备200可以实现为服务器,例如文件服务器240、数据库250、服务器、应用程序服务器等,这些电子设备可以是诸如个人数字助理(PDA)、无线网络浏览设备、应用专用设备、或者可以包括上面任何功能的混合设备。可以实现为包括桌面计算机和笔记本计算机配置的个人计算机,也在一些实施例中,计算设备200被配置为执行认证方法300。
图3示出了根据本发明一个示范性实施例的认证方法300的流程示意图。本发明中的认证方法300适于在客户端中执行。以客户端121~123为例,对客户端123进行认证,结合对客户端123进行认证的过程对方法300进行说明。客户端123与服务器110通信连接,服务器110连接有多个客户端121~123。如图3所示,认证方法300始于步骤S310,从服务器110获取生成的对应于客户端123的序列号。序列号为服务器110所认证的客户端123的唯一编号,每个客户端的序列号均不相同。
随后,执行步骤S320,根据序列号和客户端123的第一节点信息生成第一认证请求,并将第一认证请求发送至服务器110,以便服务器110根据客户端123的第一认证请求,以及上个进行认证的客户端122的授权凭证生成认证信息,并根据认证信息生成客户端123的第一授权凭证。
客户端123的第一节点信息为客户端123中不希望被篡改,意图进行保护的信息,任何不能被非法修改,影响数据安全性的信息均可添加到客户端的第一节点信息进行保护,如包括客户端123的IP地址、设备参数等,本发明对第一节点信息所包括的信息种类不做限制。
服务器110根据客户端123的第一认证请求和上个客户端122的授权凭证生成认证信息时,将客户端123的序列号、第一节点信息和上个进行认证的客户端122的授权凭证作为认证信息。根据认证信息生成客户端的第一授权凭证时,使用散列算法计算得到第一授权凭证。散列算法将任意长度的输入变换成固定长度的输出,得到的输出即为散列值或哈希值。本发明对计算授权凭证的散列算法的种类不做限制,包括但不限于SHA256,MD5和SHA-1等散列算法。根据本发明的一个实施例,授权凭证(包括第一授权凭证~第四授权凭证)可实现为根据散列算法计算的散列值。
图4示出了根据本发明的一个示范性实施例的生成授权凭证的示意图。本发明对客户端进行认证时基于区块链进行认证,如图4所示,需要认证的客户端包括A1、B2、C3、D4、E5。其中,A1为被认证的首个客户端。被认证的首个客户端没有上个进行认证的客户端,因此仅根据客户端A1的第一节点信息生成A1的认证信息,根据A1的认证信息生成A1的第一授权凭证H(A1)。
随后对B2进行授权认证,根据客户端A1的第一授权凭证H(A1)和第一节点信息生成B2的认证信息,根据客户端B2的认证信息生成B2的第一授权凭证H(A1+B2)。
随后,对C3进行授权认证,根据客户端B2的第一授权凭证H(A1+B2)和客户端C3的第一节点信息生成C3的认证信息,根据C3的认证信息生成C3的第一授权凭证H(A1+B2+C3)。C3的第一授权凭证H(A1+B2+C3)包括了之前认证的客户端A1和B2的第一授权凭证的信息。
同理,随后对D4和E5进行授权认证,生成D4和E5第一授权凭证H(A1+B2+C3+D4)和H(A1+B2+C3+D4+E5)。
随后,客户端123从服务器110获取生成的第一授权凭证,完成客户端123的认证。客户端123的第一授权凭证即为一页账。每个客户端的授权凭证均依据之间时间的客户端的授权凭证生成,即依据在由之前所有授权凭证所连接而成的账本生成。
根据本发明的一个实施例,所述认证信息还包括当前对客户端123进行认证的认证时间,以及对客户端123进行认证的认证时效。对客户端123进行认证时效规定了所认证的客户端123被认证后的第一授权凭证的有效期。自对客户端123进行认证的认证时间起,经过对客户端123进行认证的认证时效后,客户端123被认证的第一授权凭证即失效。自对客户端123进行认证的认证时间起,在对客户端123进行认证的认证时效内,客户端123还向周边客户端,如客户端121和客户端122进行认证,以保证客户端123的第一节点信息在认证时效内,未被篡改。周边客户端是指在地理位置上接近发送认证请求的客户端123的其他客户端,可根据客户端的IP地址确定距离发送认证请求的客户端预定距离内的其他客户端121和122为周边客户端。本发明对预定距离的取值不作限制,如50km,100km等。
根据本发明的一个实施例,客户端123向周边客户端121和122进行认证时,以预设频率向周边客户端发送认证请求,本发明对预设频率的取值不做限制。客户端123在向周边客户端121和122认证,每次认证通过后降低向周边客户端121和122进行认证的频率,从而可以节约计算和网络资源。
客户端123根据第一授权凭证生成第二授权凭证。生成第二授权凭证时,当第一节点信息在预定时间内没有被非法修改,则根据第一节点信息和第一授权凭证生成第二授权凭证,具体的:使用第一节点信息和生成第一授权凭证的第一认证信息中除第一节点信息之外的其他认证信息,使用散列算法生成第二授权凭证。由于客户端123本身并不验证第一节点信息是否被修改,因此无论第一节点信息是否被修改,客户端123均采用被修改后或未修改的节点信息,参与计算得到第二授权凭证,以此来判断第一节点信息是否被篡改。
当第一节点信息被非法修改为第二节点信息,则根据第二节点信息和第一授权凭证生成第二授权凭证,具体的:使用第二节点信息和生成第一授权凭证的第一认证信息中除第一节点信息之外的其他认证信息,使用散列算法生成第二授权凭证。此时生成的第二授权凭证与第一授权凭证不同,可根据第二授权凭证与第一授权凭证是否相同,对第一认证信息是否被修改进行判断。
接着,根据第二授权凭证生成第二认证请求,向与服务器110连接的多个周边客户端121和122发送第二认证请求,以便周边客户端判断第二授权凭证是否与第一授权凭证相同,周边客户端121和122存储有服务器110以广播形式下发的客户端123的第一授权凭证。
客户端123向服务器110发送第一认证请求,并得到第一授权凭证时,服务器110同时还向客户端123的周边客户端121和122发送第一授权凭证,周边客户端121和122存储第一授权凭证,以便后续处理客户端123的第二授权请求。
当周边客户端121和122判断第二授权凭证与第一授权凭证相同,则生成认证通过信息,此时客户端123从周边客户端121和122获取授权通过信息。接着客户端123判断生成认证通过消息的周边客户端的数量是否达到预定数目,若达到预定数目,则生成授权凭证有效的认证结果。
本发明对生成认证通过消息的周边客户端的预定数目不做限制,考虑到授权认证的效率,向多个周边客户端发送认证请求时,将这些周边客户端的一半设置为预定数目。根据本发明的一个实施例,当客户端123向20个周边客户端发送认证请求时,将10个周边客户端作为预定数目。若客户端123接受到10个周边客户端的授权通过消息,则判断客户端123的授权凭证依旧有效,其节点信息未被非法修改。
当周边客户端121和122判断第二授权凭证与第一授权凭证不同,则生成认证失败消息,此时客户端123从周边客户端121和122获取认证失败消息。接着客户端123根据认证失败消息生成授权凭证无效的认证结果,客户端123的节点信息被非法修改。
为了进一步的确定客户端123的授权是否无效,提高无效认证结果的准确度,需要对客户端123的第二授权凭证进行再次验证。客户端123向服务器110发送第二认证请求,以便服务器110判断第二授权凭证是否与第一授权凭证相同。当服务器110判断第二授权凭证与第一授权凭证不同,则生成认证失败消息,此时客户端123从服务器110获取认证失败消息,并根据认证失败消息停止向周边客户端和服务器110发送认证请求。客户端123的节点信息被篡改,客户端123不在作为一个授权有效的节点,不再接受来自周边客户端的认证请求,以保障服务器110和周边客户端的安全性。
服务器110在客户端123生成授权凭证无效的认证结果后,接收客户端的第二认证请求,对客户端123的第二授权凭证进行再次验证。第二认证请求包括客户端生成的第二授权凭证。接着判断第二授权凭证是否与第一授权凭证相同,若第二授权凭证与第一授权凭证不同,则生成认证失败消息,并发送给客户端123。
根据本发明的一个实施例,客户端123还接受周边客户端的认证请求,对其认证请求进行处理,判断周边客户端的节点信息是否被篡改。当服务器110对周边客户端进行认证,根据周边客户端的认证请求向周边客户端发送第三授权凭证时,从服务器110获取第三授权凭证并进行存储。第三授权凭证为服务器110向周边客户端下发的授权凭证。
随后接收周边客户端发送的第三认证请求,第三认证请求包括周边客户端根据第三授权凭证生成的第四授权凭证。周边客户端根据第三授权凭证生成第四授权凭证的方式,与客户端123根据第一授权凭证生成第二授权凭证的方式相同,此处便不再赘述。
周边客户端在向客户端123发送第三认证请求时,对第三认证请求进行加密。客户端在接收到周边客户端发送的第三认证请求时,对第三认证请求进行解密,以在传输过程中保护授权凭证此类重要和敏感的信息。本发明对加密和解密所使用的算法不做限制。
接着判断第四授权凭证是否与第三授权凭证相同,若判断第四授权凭证与第三授权凭证相同,则向周边客户端发送认证通过消息;若判断第四授权凭证与第三授权凭证不同,则向周边客户端发送认证失败消息。
客户端123通过对周边客户端进行认证,使得周边客户端不必每次都要去服务器110进行认证,减轻服务器110对客户端进行认证的压力,并监听其他客户端的节点信息是否被私自篡改。本发明以此解决大量授权产品的认证问题,由于产品的认证不是一蹴而就的,是需要进行实时监控的。大量产品的实时认证会造成授权服务器的压力极大,甚至出现来不及认证导致认证失败等问题的发生。为解决该问题,通过区块链技术的点对点的交互,可以每个授权节点之间进行认证,缓解服务器压力。
图5示出了根据本发明一个示范性实施例的认证装置500的示意图。认证装置500适于部署在客户端中。如图5所示,认证装置500包括认证单元510、存储单元520和监听单元530。
监听单元530用于从服务器110获取生成的对应于客户端123的序列号,认证单元510用于根据序列号和客户端123的第一节点信息生成第一认证请求,并将第一认证请求发送至服务器110,以便服务器110根据客户端123的第一认证请求,以及上个进行认证的客户端122的授权凭证生成认证信息,并根据认证信息生成客户端123的第一授权凭证。
监听单元530从服务器110获取生成的第一授权凭证。
存储单元520对所接收到的第一授权凭证进行存储。
认证信息还包括当前对客户端123进行认证的认证时间,以及对客户端123进行认证的认证时效。认证单元510还自对客户端123进行认证的认证时间起,在对客户端123进行认证的认证时效内,向周边客户端,如客户端121和客户端122进行认证,以保证客户端123的第一节点信息在认证时效内,未被篡改。认证单元510根据第一授权凭证生成第二授权凭证,向与服务器110连接的多个周边客户端121和122发送第二认证请求。认证单元510从周边客户端121和122获取授权通过信息。接着判断生成认证通过消息的周边客户端的数量是否达到预定数目,若达到预定数目,则生成授权凭证有效的认证结果。
当周边客户端121和122判断第二授权凭证与第一授权凭证不同,则生成认证失败消息,此时认证单元510从周边客户端121和122获取认证失败消息。接着客户端123根据认证失败消息生成授权凭证无效的认证结果,客户端123的节点信息被非法修改。
认证单元510还向服务器110发送第二认证请求,以便服务器110判断第二授权凭证是否与第一授权凭证相同。当服务器110判断第二授权凭证与第一授权凭证不同,则生成认证失败消息,此时认证单元510从服务器110获取认证失败消息,并根据认证失败消息停止向周边客户端和服务器110发送认证请求。
存储单元520还当服务器110对周边客户端进行认证,向周边客户端发送第三授权凭证时,从服务器110获取第三授权凭证并进行存储。
监听单元530监听并接受周边客户端的认证请求,对其认证请求进行处理,判断周边客户端的节点信息是否被篡改。周边客户端在向客户端123发送第三认证请求时,对第三认证请求进行加密。监听单元530在接收到周边客户端发送的第三认证请求时,对第三认证请求进行解密,以在传输过程中保护授权凭证此类重要和敏感的信息。
监听单元530判断第四授权凭证是否与第三授权凭证相同,若判断第四授权凭证与第三授权凭证相同,则向周边客户端发送认证通过消息;若判断第四授权凭证与第三授权凭证不同,则向周边客户端发送认证失败消息。
本发明中的认证方法,适于在客户端中执行,客户端与服务器通信连接,服务器连接有多个客户端,方法包括步骤:先从服务器获取生成的对应于客户端的序列号,随后根据序列号和客户端的第一节点信息生成第一认证请求,并将第一认证请求发送至服务器,以便服务器根据客户端的第一认证请求,以及上个进行认证的客户端的授权凭证生成认证信息,并根据认证信息生成客户端的第一授权凭证,最后从服务器获取生成的第一授权凭证。由于序列号和客户端的第一节点信息均唯一,并且还根据上个进行认证的客户端的授权凭证生成认证信息,因此每个客户端的认证信息均不相同,所生成的授权凭证也均不相同。本发明中每生成一次客户端的授权凭证时,均依赖上一次客户端的授权凭证,保证了每个客户端的授权凭证均不相同,并且客户端的授权凭证还依赖于客户端的第一节点信息生成,一旦第一节点信息发生篡改,授权凭证也会发生变化,从而保护了客户端的节点信息不被篡改。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下被实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
Claims (11)
1.一种认证方法,适于在客户端中执行,所述客户端与服务器通信连接,所述服务器连接有多个客户端,所述方法包括步骤:
从所述服务器获取生成的对应于所述客户端的序列号;
根据所述序列号和所述客户端的第一节点信息生成第一认证请求,并将所述第一认证请求发送至所述服务器,以便所述服务器根据所述客户端的第一认证请求,以及上个进行认证的客户端的授权凭证生成认证信息,并根据所述认证信息生成所述客户端的第一授权凭证;
从所述服务器获取生成的第一授权凭证。
2.如权利要求1所述的方法,其中,所述方法还包括步骤:
根据所述第一授权凭证生成第二授权凭证;
根据所述第二授权凭证生成第二认证请求,向与所述服务器连接的多个周边客户端发送所述第二认证请求,以便所述周边客户端判断所述第二授权凭证是否与所述第一授权凭证相同,所述周边客户端存储有所述服务器以广播形式下发的所述客户端的第一授权凭证;
当所述周边客户端判断所述第二授权凭证与所述第一授权凭证相同,生成认证通过信息时,从一个或多个周边客户端获取授权通过信息;
判断所述生成认证通过消息的周边客户端的数量是否达到预定数目;
若达到预定数目,则生成授权凭证有效的认证结果。
3.如权利要求2所述的方法,其中,所述根据所述第一授权凭证生成第二授权凭证包括步骤:
当所述第一节点信息在预定时间内没有被非法修改,则根据第一节点信息和所述第一授权凭证生成第二授权凭证;
当所述第一节点信息被非法修改为第二节点信息,则根据第二节点信息和所述第一授权凭证生成第二授权凭证。
4.如权利要求2或3所述的方法,其中,所述方法还包括步骤:
当所述周边客户端判断所述第二授权凭证与所述第一授权凭证不同,生成认证失败消息时,从一个或多个周边客户端获取认证失败消息;
根据所述认证失败消息生成授权凭证无效的认证结果。
5.如权利要求4所述的方法,其中,所述方法还包括步骤:
向所述服务器发送第二认证请求,以便所述服务器判断所述第二授权凭证是否与所述第一授权凭证相同;
当所述服务器判断所述第二授权凭证与所述第一授权凭证不同,生成认证失败消息时,从所述服务器获取认证失败消息;
根据所述认证失败消息停止向所述周边客户端和服务器发送认证请求。
6.如权利要求5所述的方法,其中,所述方法还包括步骤:
当所述服务器对周边客户端进行认证,根据周边客户端的认证请求向周边客户端发送第三授权凭证时,从所述服务器获取第三授权凭证并进行存储;
接收所述周边客户端发送的第三认证请求,所述第三认证请求包括所述周边客户端根据所述第三授权凭证生成的第四授权凭证;
判断所述第四授权凭证是否与所述第三授权凭证相同;
若判断所述第四授权凭证与所述第三授权凭证相同,则向所述周边客户端发送认证通过消息;
若判断所述第四授权凭证与所述第三授权凭证不同,则向所述周边客户端发送认证失败消息。
7.一种认证方法,适于在服务器中执行,所述服务器与多个客户端通信连接,所述方法包括步骤:
生成要进行认证的客户端的序列号,并将所述序列号发送至所述客户端;
接收所述客户端根据所述序列号和所述客户端的第一节点信息生成的第一认证请求,并根据所述客户端的第一认证请求,以及上个进行认证的客户端的授权凭证生成认证信息;
根据所述认证信息生成所述客户端的第一授权凭证,并将所述第一授权凭证发送至所述客户端。
8.如权利要求7所述的方法,其中,所述方法还包括步骤:
接收所述客户端的第二认证请求,所述第二认证请求包括所述客户端生成的第二授权凭证;
判断所述第二授权凭证是否与所述第一授权凭证相同;
若所述第二授权凭证与所述第一授权凭证不同,则生成认证失败消息,并发送给所述客户端。
9.一种认证装置,所述装置适于驻留在客户端中,所述客户端与服务器通信连接,所述服务器连接有多个客户端,所述装置包括认证单元和监听单元,其中,所述监听单元适于从服务器获取生成的对应于所述客户端的序列号;
所述认证单元适于根据所述序列号和所述客户端的第一节点信息生成第一认证请求,并将所述第一认证请求发送至所述服务器,以便所述服务器根据所述客户端的第一认证请求,以及上个进行认证的客户端的授权凭证生成认证信息,并根据所述认证信息生成所述客户端的第一授权凭证;
监听单元还适于从所述服务器获取生成的第一授权凭证。
10.一种计算设备,包括:
一个或多个处理器;
存储器;以及
一个或多个装置,所述一个或多个装置包括用于执行根据权利要求1-8中任一项所述的方法的指令。
11.一种存储一个或多个程序的计算机可读存储介质,所述一个或多个程序包括指令,所述指令当由计算设备执行时,使得所述计算设备执行根据权利要求1-8中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111429501.8A CN113904873B (zh) | 2021-11-29 | 2021-11-29 | 一种认证方法、装置、计算设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111429501.8A CN113904873B (zh) | 2021-11-29 | 2021-11-29 | 一种认证方法、装置、计算设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113904873A true CN113904873A (zh) | 2022-01-07 |
| CN113904873B CN113904873B (zh) | 2023-03-28 |
Family
ID=79195210
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111429501.8A Active CN113904873B (zh) | 2021-11-29 | 2021-11-29 | 一种认证方法、装置、计算设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113904873B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115422515A (zh) * | 2022-11-04 | 2022-12-02 | 深圳绿径科技有限公司 | 一种避免第三方信息被非法获取的方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109194673A (zh) * | 2018-09-20 | 2019-01-11 | 江苏满运软件科技有限公司 | 基于用户授权信息的认证方法、系统、设备及存储介质 |
| US20200244649A1 (en) * | 2019-06-18 | 2020-07-30 | Alibaba Group Holding Limited | Blockchain-based enterprise authentication method, apparatus, and device, and blockchain-based authentication traceability method, apparatus, and device |
| CN113285958A (zh) * | 2021-06-18 | 2021-08-20 | 深圳前海微众银行股份有限公司 | 客户端认证方法 |
| CN113297560A (zh) * | 2021-05-06 | 2021-08-24 | 北京奇虎科技有限公司 | 基于区块链的身份认证方法、装置、设备及可读存储介质 |
-
2021
- 2021-11-29 CN CN202111429501.8A patent/CN113904873B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109194673A (zh) * | 2018-09-20 | 2019-01-11 | 江苏满运软件科技有限公司 | 基于用户授权信息的认证方法、系统、设备及存储介质 |
| US20200244649A1 (en) * | 2019-06-18 | 2020-07-30 | Alibaba Group Holding Limited | Blockchain-based enterprise authentication method, apparatus, and device, and blockchain-based authentication traceability method, apparatus, and device |
| CN113297560A (zh) * | 2021-05-06 | 2021-08-24 | 北京奇虎科技有限公司 | 基于区块链的身份认证方法、装置、设备及可读存储介质 |
| CN113285958A (zh) * | 2021-06-18 | 2021-08-20 | 深圳前海微众银行股份有限公司 | 客户端认证方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115422515A (zh) * | 2022-11-04 | 2022-12-02 | 深圳绿径科技有限公司 | 一种避免第三方信息被非法获取的方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113904873B (zh) | 2023-03-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2021012552A1 (zh) | 一种登录处理方法及相关设备 | |
| US8555069B2 (en) | Fast-reconnection of negotiable authentication network clients | |
| US10103894B2 (en) | Creating a digital certificate for a service using a local certificate authority | |
| US10374809B1 (en) | Digital signature verification for asynchronous responses | |
| CN113596046B (zh) | 一种双向认证方法、装置、计算机设备和计算机可读存储介质 | |
| US10447467B2 (en) | Revocable PKI signatures | |
| CN109981680B (zh) | 一种访问控制实现方法、装置、计算机设备及存储介质 | |
| WO2021051941A1 (zh) | 一种信息处理方法及装置 | |
| US20210056198A1 (en) | Remote processing of credential requests | |
| US8918844B1 (en) | Device presence validation | |
| CN115361233A (zh) | 基于区块链的电子文件签署方法、装置、设备和介质 | |
| CN113904873B (zh) | 一种认证方法、装置、计算设备及存储介质 | |
| CN111989892A (zh) | 认证系统及认证程序 | |
| CN115085905A (zh) | 基于区块链的交易数据存证查验方法、装置、设备及介质 | |
| CN114760070A (zh) | 数字证书颁发方法、数字证书颁发中心和可读存储介质 | |
| JP6742557B2 (ja) | 認証システム | |
| WO2022088710A1 (zh) | 一种镜像管理方法及装置 | |
| CN116506134B (zh) | 数字证书管理方法、装置、设备、系统及可读存储介质 | |
| CN113221133A (zh) | 数据传输方法以及装置 | |
| CN115550060B (zh) | 基于区块链的可信证书验证方法、装置、设备和介质 | |
| CN115242471A (zh) | 信息传输方法、装置、电子设备及计算机可读存储介质 | |
| CN115037480A (zh) | 设备认证和校验的方法、装置、设备和存储介质 | |
| CN114880648A (zh) | 操作系统的批量离线激活方法、在线激活方法及激活系统 | |
| Mayilsamy et al. | A hybrid approach to enhance data security in wireless vehicle firmware update process | |
| CN111915297A (zh) | 一种电子签名方法、装置及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |