CN114338149A - 一种服务器的登录凭据授权方法、终端及密钥托管平台 - Google Patents
一种服务器的登录凭据授权方法、终端及密钥托管平台 Download PDFInfo
- Publication number
- CN114338149A CN114338149A CN202111623665.4A CN202111623665A CN114338149A CN 114338149 A CN114338149 A CN 114338149A CN 202111623665 A CN202111623665 A CN 202111623665A CN 114338149 A CN114338149 A CN 114338149A
- Authority
- CN
- China
- Prior art keywords
- key
- terminal
- private key
- escrow platform
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Telephonic Communication Services (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明实施例提供了一种服务器的登录凭据授权方法、终端及密钥托管平台,所述方法包括:请求密钥托管平台生成目标服务器的登录凭据,所述登录凭据包括公钥和私钥;至少获得所述密钥托管平台返回的所述公钥及对应所述私钥的第一许可信息,其中,所述私钥存储在所述密钥托管平台中,所述公钥被发送至目标服务器;请求所述密钥托管平台生成对应所述私钥的第二许可信息;其中,所述第一许可信息指示所述第一终端能够请求所述密钥托管平台代理使用所述私钥,所述第二许可信息指示第二终端能够请求所述密钥托管平台代理使用所述私钥。本发明的服务器的登录凭据授权方法能够提升私钥的安全使用性,同时能够确保各个终端安全登录。
Description
技术领域
本发明实施例涉及网络安全技术领域,特别涉及一种服务器的登录凭据授权方法、终端及密钥托管平台。
背景技术
目前,市面上常见的远程连接服务器的客户端,例如Xshell等,实现远程连接服务器的原理在于,由服务器颁发一对作为登录凭据的公私钥,公钥存在服务器中,私钥颁发给客户端使用,如此服务器就可以利用公私钥进行客户端的身份验证,实现登录。例如客户端通过使用私钥登录服务器,服务器利用公钥对客户端使用的私钥进行加密数据校验,校验成功就能实现登录。但是该种方式就存在了所有人均能够获得该私钥,利用该私钥进行登录的问题,因此极易产生安全隐患。
发明内容
本发明实施例提供了一种能够提升私钥的安全使用性,同时能够确保终端安全登录的服务器的登录凭据授权方法、终端及密钥托管平台。
为了解决上述技术问题,本发明实施例提供了一种服务器的登录凭据授权方法,应用于第一终端,所述方法包括:
请求密钥托管平台生成目标服务器的登录凭据,所述登录凭据包括公钥和私钥;
至少获得所述密钥托管平台返回的所述公钥及对应所述私钥的第一许可信息,其中,所述私钥存储在所述密钥托管平台中,所述公钥被发送至目标服务器;
请求所述密钥托管平台生成对应所述私钥的第二许可信息;
其中,所述第一许可信息指示所述第一终端能够请求所述密钥托管平台代理使用所述私钥,所述第二许可信息指示第二终端能够请求所述密钥托管平台代理使用所述私钥。
作为一可选实施例,所述至少获得所述密钥托管平台返回的所述公钥及对应所述私钥的第一许可信息,包括:
获得所述密钥托管平台生成的对应所述私钥的唯一标识、所述公钥及对应所述私钥的第一许可信息。
作为一可选实施例,所述请求所述密钥托管平台生成对应所述私钥的第二许可信息,包括:
获得所述第二终端的身份信息;
至少基于所述第二终端的身份信息及所述第一许可信息向所述密钥托管平台发送请求,以请求所述密钥托管平台生成对应所述私钥的第二许可信息。
作为一可选实施例,还包括:
获得所述第二终端发送的许可请求;
所述至少基于所述第二终端的身份信息及所述第一许可信息向所述密钥托管平台发送请求,以请求所述密钥托管平台生成对应所述私钥的第二许可信息,包括:
响应于所述许可请求,至少基于所述第二终端的身份信息及所述第一许可信息向所述密钥托管平台发送请求,以请求所述密钥托管平台生成对应所述私钥的第二许可信息。
本发明另一实施例还提供一种服务器的登录凭据授权方法,应用于密钥托管平台,所述方法包括:
基于第一终端发送的第一请求生成目标服务器的登录凭据,所述登录凭据包括公钥和私钥;
存储所述私钥;
至少生成对应所述私钥的第一许可信息,所述第一许可信息指示所述第一终端能够请求所述密钥托管平台代理使用所述私钥;
至少发送所述公钥及第一许可信息至所述第一终端;
基于所述第一终端发送的第二请求生成对应所述私钥的第二许可信息,所述第二许可信息指示所述第二终端能够请求所述密钥托管平台代理使用所述私钥。
作为一可选实施例,所述至少生成对应所述私钥的第一许可信息,包括:
生成对应所述私钥的唯一标识、对应所述私钥的第一许可信息;
所述至少发送所述公钥及第一许可信息至所述第一终端,包括:
发送所述唯一标识、公钥及第一许可信息至所述第一终端。
作为一可选实施例,所述基于所述第一终端发送的第二请求生成对应所述私钥的第二许可信息,包括:
获得所述第一终端发送的第二终端信息以及所述第一许可信息;
基于所述第一许可信息确定所述密钥及其唯一标识;
至少基于所述第二终端信息生成对应所述私钥的第二许可信息。
作为一可选实施例,所述密钥托管平台中存有所述第一终端的身份信息,所述方法还包括:
至少匹配存储所述密钥的唯一标识、第一许可信息、第二许可信息、第一终端的身份信息、第二终端的身份信息。
本发明另一实施例还提供一种终端,包括:
第一处理器,用于请求密钥托管平台生成目标服务器的登录凭据,所述登录凭据包括公钥和私钥;至少获得所述密钥托管平台返回的所述公钥及对应所述私钥的第一许可信息,其中,所述私钥存储在所述密钥托管平台中;发送所述公钥至所述目标服务器;请求所述密钥托管平台生成对应所述私钥的第二许可信息;
其中,所述第一许可信息指示所述第一终端能够请求所述密钥托管平台代理使用所述私钥,所述第二许可信息指示所述第二终端能够请求所述密钥托管平台代理使用所述私钥。
本发明另一实施例还提供一种密钥托管平台,包括:
第二处理器,用于根据第一终端发送的第一请求生成目标服务器的登录凭据,所述登录凭据包括公钥和私钥;存储所述私钥;至少生成对应所述私钥的第一许可信息,所述第一许可信息指示所述第一终端能够请求所述密钥托管平台代理使用所述私钥;至少发送所述公钥及第一许可信息至所述第一终端;基于所述第一终端发送的第二请求生成对应所述私钥的第二许可信息,所述第二许可信息指示所述第二终端能够请求所述密钥托管平台代理使用所述私钥。
基于上述实施例的公开可以获知,本发明实施例具备的有益效果包括第一终端请求密钥托管平台生成作为目标服务器的登录凭据的公钥及私钥,其中公钥存储在服务器中,私钥被存储在密钥托管平台中,任何终端均无法直接获取并使用私钥,只能够请求密钥托管平台代理使用,故显著提升了私钥的使用安全性。另外,第一终端通过向密钥托管平台发送请求,使生成对应各个终端的许可信息,进而使得终端在登录服务器时,能够基于该许可信息而请求密钥托管平台替代该终端使用私钥,并通过与服务器间的交互而完成服务器对终端的身份认证,使终端能够成功登录服务器。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1为本发明实施例中的服务器的登录凭据授权方法的流程图。
图2为本发明实施例中的服务器的登录凭据授权方法的应用流程图。
图3为本发明另一实施例中的服务器的登录凭据授权方法的流程图。
图4为本发明另一实施例中的服务器的登录凭据授权方法的流程图。
图5为本发明实施例中的终端的结构框图。
图6为本发明实施例中的密钥托管平台的结构框图。
图7为本发明实施例中的登录凭据授权方法及其使用方法的一个示例性的应用场景的系统架构图。
具体实施方式
下面,结合附图对本发明的具体实施例进行详细的描述,但不作为本发明的限定。
应理解的是,可以对此处公开的实施例做出各种修改。因此,下述说明书不应该视为限制,而仅是作为实施例的范例。本领域的技术人员将想到在本公开的范围和精神内的其他修改。
包含在说明书中并构成说明书的一部分的附图示出了本公开的实施例,并且与上面给出的对本公开的大致描述以及下面给出的对实施例的详细描述一起用于解释本公开的原理。
通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述,本发明的这些和其它特性将会变得显而易见。
还应当理解,尽管已经参照一些具体实例对本发明进行了描述,但本领域技术人员能够确定地实现本发明的很多其它等效形式,它们具有如权利要求所述的特征并因此都位于借此所限定的保护范围内。
当结合附图时,鉴于以下详细说明,本公开的上述和其他方面、特征和优势将变得更为显而易见。
此后参照附图描述本公开的具体实施例;然而,应当理解,所公开的实施例仅仅是本公开的实例,其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本公开模糊不清。因此,本文所公开的具体的结构性和功能性细节并非意在限定,而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本公开。
本说明书可使用词组“在一种实施例中”、“在另一个实施例中”、“在又一实施例中”或“在其他实施例中”,其均可指代根据本公开的相同或不同实施例中的一个或多个。
下面,结合附图详细的说明本发明实施例。
如图1和图7所示,本发明实施例提供一种服务器的登录凭据授权方法,应用于第一终端,方法包括:
请求密钥托管平台生成目标服务器的登录凭据,登录凭据包括公钥和私钥;
至少获得密钥托管平台返回的公钥及对应私钥的第一许可信息,其中,私钥存储在密钥托管平台中,公钥被发送至目标服务器;
请求密钥托管平台生成对应私钥的第二许可信息;
其中,第一许可信息指示第一终端能够请求密钥托管平台代理使用私钥,第二许可信息指示第二终端能够请求密钥托管平台代理使用私钥。
例如,本实施例中的第一终端上配置有APP(应用程序),该第一终端可认为是管理者终端,而第二终端可认为是员工终端。当管理者想要限制私钥的使用,同时又能够满足终端登录服务器的需求时,可以通过上述地APP向密钥托管平台发送请求指令,以指示密钥托管平台生成目标服务器,也即终端想要登录的服务器的登录凭据,该登录凭据用于使终端在登录服务器时,验证终端用户身份,以确定是否允许其登录使用。本实施例中的登录凭据包括公钥和私钥。该私钥被存储在托管平台中,而公钥则被密钥托管平台发送至第一终端处,同时密钥托管平台还会生成对应第一终端的第一许可信息,并连同公钥一同发送至第一终端中。第一终端获得了公钥后,会将其发送给目标服务器,由其存储以为后续的终端的身份认证使用。或者公钥也可由密钥托管平台发送至目标服务器,具体方式不定,只要确保公钥被发送至目标服务器中即可。当第一终端获得了公钥,确定密钥托管平台已经生成了登录凭据时,可以向密钥托管平台发送另一请求指令,以指示密钥托管平台生成对应私钥的第二许可信息。本实施例中上述的第一许可信息与第一终端匹配,用于指示第一终端能够请求密钥托管平台代理使用该私钥,以与服务器中的公钥配合完成对第一终端的身份认证,使第一终端能够成功登录目标服务器。而第二许可信息则与第二终端匹配,用于指示第二终端能够请求密钥托管平台代理使用该私钥,以与服务器中的公钥配合完成对第二终端的身份认证,使第二终端能够成功登录目标服务器。例如第二终端基于第二许可信息登录目标服务器,目标服务器则基于第二许可信息与密钥托管平台交互,密钥托管平台基于第二许可信息确定第二终端具有请求密钥托管平台代理使用私钥的权限时,密钥托管平台可以与目标服务器交互,以配合利用私钥及公钥完成目标服务器对第二终端的身份认证,进而使得第二终端能够成功登录服务器。本实施例中的第二终端可以为多个,而不同的第二终端,对应的许可信息是不同的,每个第二终端均与一许可信息唯一对应匹配,具体应用时可以是第一终端请求密钥托管平台为多个不同的第二终端分别生成许可。本实施例中的许可信息可以是ID码的形式,或其他数据形式,具体不定。
基于上述实施例的公开可以获知,本实施例具备的有益效果包括第一终端请求密钥托管平台生成作为目标服务器的登录凭据的公钥及私钥,其中公钥存储在服务器中,私钥被存储在密钥托管平台中,任何终端均无法直接获取并使用私钥,只能够请求密钥托管平台代理使用,故显著提升了私钥的使用安全性。另外,第一终端通过向密钥托管平台发送请求,使生成对应各个终端的许可信息,进而使得终端在登录服务器时,能够基于该许可信息而请求密钥托管平台替代该终端使用私钥,并可以通过与服务器间的交互而完成服务器对终端的身份认证,使终端能够成功登录服务器。如此,不仅实现了各个终端的安全登录,以及多个终端同时登录服务器的需求,且避免了私钥被恶意使用,造成数据安全隐患。
进一步地,至少获得密钥托管平台返回的公钥及对应私钥的第一许可信息,包括:
获得密钥托管平台生成的对应私钥的唯一标识、公钥及对应私钥的第一许可信息。
如图2所示,当第一终端向密钥托管平台发送请求生成登录凭证的指令之前,可以先在密钥托管平台上完成身份认证,接着再发送指令。或者第一终端在发送指令的同时发送身份信息,密钥托管平台会基于该指令生成登录凭证。同时密钥托管平台会基于身份信息而生成对应第一终端的身份标识,同时为了防止私钥重复,密钥托管平台还会生成与私钥唯一对应的唯一标识,该唯一标识用于指示私钥的身份。当登录凭证生成后,密钥托管平台还会生成对应第一终端的第一许可信息,并可将该第一许可信息与唯一标识、私钥建立关联,之后将唯一标识、第一许可信息及公钥反馈给第一终端,使第一终端存储上述信息,以在后续向密钥托管平台发送请求指令时使用。
进一步地,如图2和图3所示,在请求密钥托管平台生成对应私钥的第二许可信息时,包括:
获得第二终端的身份信息;
至少基于第二终端的身份信息及第一许可信息向密钥托管平台发送请求,以请求密钥托管平台生成对应私钥的第二许可信息。
例如,第一终端可以主动或被动地获得第二终端的身份信息,之后第一终端会至少基于第一许可信息及第二终端的身份信息生成请求指令,并发送至密钥托管平台中,以指示密钥托管平台生成对应私钥的第二许可信息。或者,第一终端还可以结合唯一标识,也即基于唯一标识、第一许可信息及第二终端的身份信息来生成请求指令,以指示密钥托管平台生成第二许可信息。其中,第一许可信息,唯一标识可以使密钥托管平台借此确定第一终端的身份,权限,以及确定第一终端指示的私钥。
可选地,本实施例中的方法还包括:
获得第二终端发送的许可请求;
至少基于第二终端的身份信息及第一许可信息向密钥托管平台发送请求,以请求密钥托管平台生成对应私钥的第二许可信息,包括:
响应于许可请求,至少基于第二终端的身份信息及第一许可信息向密钥托管平台发送请求,以请求密钥托管平台生成对应私钥的第二许可信息。
例如,第二终端想要登录服务器时,会向第一终端发送请求,请求第一终端得到许可,以能够成功登录目标服务器。第一终端接收到该请求后,响应该请求,向密钥托管平台发送请求生成第二许可信息的指令。当然,第一终端也可以在未接收到第二终端的请求时,主动向密钥托管平台发送请求指令以生成第二许可信息,具体触发第一终端发送用于生成第二许可信息的请求指令的条件不唯一,可根据实际情况而定,如第二终端的终端用户与第一终端的终端用户是预先约定好的,第一终端的终端用户预先知道第二终端的终端用户需要登录服务器时,第一终端的终端用户则可以基于第一终端直接请求密钥托管平台生成第二许可信息,无需第二许可信息发送许可请求。
如图4所示,本发明另一实施例同时提供一种服务器的登录凭据授权方法,应用于密钥托管平台,所述方法包括:
基于第一终端发送的第一请求生成目标服务器的登录凭据,登录凭据包括公钥和私钥;
存储私钥;
至少生成对应私钥的第一许可信息,第一许可信息指示第一终端能够请求密钥托管平台代理使用私钥;
至少发送公钥及第一许可信息至第一终端;
基于第一终端发送的第二请求生成对应私钥的第二许可信息,第二许可信息指示第二终端能够请求密钥托管平台代理使用私钥。
例如,密钥托管平台可以视为密钥托管服务器,也可以为一密钥托管服务器提供的托管服务,该服务能够通过密钥托管服务器与第一终端、第二终端交互,以执行指令并反馈执行结果,本实施例中以视密钥托管平台为一服务器为例进行说明。结合图2所示,当密钥托管平台接收到第一终端发送的第一请求时,会响应第一请求生成目标服务器的登录凭据,该登录凭据用于使第一终端或第二终端或其他终端在登录服务器时,验证终端用户身份,以确定是否允许其登录使用。本实施例中的登录凭据包括公钥和私钥。该私钥被存储在密钥托管平台中,而公钥则被密钥托管平台发送至第一终端处,同时密钥托管平台还会生成对应第一终端的第一许可信息,并连同公钥一同发送至第一终端中。第一终端获得了公钥后,会将其发送给目标服务器,由其存储以为后续的终端的身份认证使用。或者公钥也可由密钥托管平台发送至目标服务器,具体方式不定,只要确保公钥被发送至目标服务器中即可。本实施例中的第一许可信息具体可以为ID码,也可以为其他数据形式,该第一许可信息指示第一终端能够请求密钥托管平台代理使用私钥。当第一终端接收到了公钥及第一许可信息后,可以确定登录凭据生成,此时第一终端可以向密钥托管平台发送第二请求,密钥托管平台确定了请求方为第一终端后,则会响应第一终端的第二请求,生成对应私钥的第二许可信息。具体地,本实施例中上述的第一许可信息与第一终端匹配,用于指示第一终端能够请求密钥托管平台代理使用该私钥,以与服务器中的公钥配合完成对第一终端的身份认证,使第一终端能够成功登录目标服务器。而第二许可信息则与第二终端匹配,用于指示第二终端能够请求密钥托管平台代理使用该私钥,以与服务器中的公钥配合完成对第二终端的身份认证,使第二终端能够成功登录目标服务器。例如第二终端基于第二许可信息登录目标服务器,目标服务器则基于第二许可信息与密钥托管平台交互,密钥托管平台基于第二许可信息确定第二终端具有请求密钥托管平台代理使用私钥的权限时,密钥托管平台可以与目标服务器交互,以配合利用私钥及公钥完成目标服务器对第二终端的身份认证,进而使得第二终端能够成功登录服务器。本实施例中的第二终端可以为多个,而不同的第二终端,对应的许可信息是不同的,每个第二终端均与一许可信息唯一对应匹配,具体应用时可以是第一终端请求密钥托管平台为多个不同的第二终端分别生成许可。
基于上述实施例的公开可以获知,本实施例具备的有益效果包括密钥托管平台能够响应第一终端的请求生成作为目标服务器的登录凭据的公钥及私钥,其中公钥存储在服务器中,私钥被存储在密钥托管平台中,任何终端均无法直接获取并使用私钥,也无法拷贝,该私钥只能够请求密钥托管平台代理使用,故显著提升了私钥的使用安全性,有效防止私钥别泄露,滥用。另外,密钥托管平台通过响应第一终端发送的请求,可以生成对应各个终端的许可信息,进而使得终端在登录服务器时,能够基于对应的许可信息而请求密钥托管平台替代该终端使用私钥,并可以通过与服务器间的交互而完成服务器对终端的身份认证,使终端能够成功登录服务器。如此,不仅实现了各个终端的安全登录,以及多个不同的终端同时登录服务器的需求,且避免了私钥被恶意使用,造成网络数据安全隐患。
进一步地,本实施例中至少生成对应私钥的第一许可信息,包括:
生成对应私钥的唯一标识、对应私钥的第一许可信息;
至少发送公钥及第一许可信息至第一终端,包括:
发送唯一标识、公钥及第一许可信息至第一终端。
例如,当第一终端向密钥托管平台发送请求生成登录凭证的指令之前,可以先在密钥托管平台上完成身份认证,或登录密钥托管服务器创建对应的托管用户,接着再发送指令。或者第一终端在发送指令的同时发送身份信息,密钥托管平台会基于该指令生成登录凭证,同时会基于身份信息而生成对应第一终端的身份标识,相当于是创建、记录第一终端身份,方便后续予以其权限。同时为了防止私钥重复,密钥托管平台还会生成与私钥唯一对应的唯一标识(例如可以为密钥ID),该唯一标识用于指示私钥的身份,辅助密钥托管平台查询确定该私钥。当登录凭证生成后,密钥托管平台还会生成对应第一终端的第一许可信息,并可将该第一许可信息与唯一标识、私钥建立关联,之后将唯一标识、第一许可信息及公钥反馈给第一终端,使第一终端存储上述信息,以在后续向密钥托管平台发送请求指令时使用。
继续结合图2所示,在基于第一终端发送的第二请求生成对应私钥的第二许可信息时,包括:
获得第一终端发送的第二终端信息以及第一许可信息;
基于第一许可信息确定私钥及其唯一标识;
至少基于第二终端信息生成对应私钥的第二许可信息。
具体地,当密钥托管平台获得第一终端发送的第二终端信息以及第一许可信息时,会基于第一许可信息进行匹配查找,以确定出对应的私钥及其唯一标识。或者第一终端将身份标识一同发送至密钥托管平台,密钥托管平台可以先基于身份标识确定对应的私钥,如该第一终端用户名下匹配有多个私钥,此时可以根据第一许可信息而确定出目标私钥。也就是,第一终端可以请求密钥托管平台生成多个对应不同服务器的登录凭据,密钥托管平台会基于不同登录凭据生成对应不同私钥的许可信息,而该不同私钥用于和对应的服务器上存储的公钥配合对终端身份鉴定。当密钥托管平台确定了与第一许可信息匹配的私钥后,会基于获得第二终端信息创建第二许可信息。该第二许可信息可以由密钥托管平台发送至第二终端,也可以发送至第一终端,由第一终端转发至第二终端。另外,本实施例中的第二许可信息与第一许可信息均可以为许可ID的形式存在,当然形式不唯一,也可为其他数据形式。
进一步地,本实施例中的密钥托管平台中存有第一终端的身份信息,方法还包括:
至少匹配存储私钥的唯一标识、第一许可信息、第二许可信息、第一终端的身份信息、第二终端的身份信息。
也即,本实施例中的密钥托管平台存有第一终端的身份信息,第二终端的身份信息,私钥的唯一标识以及分别与第一终端和第二终端对应的第一许可信息和第二许可信息,为了方便后续的查找使用,密钥托管平台可以将上述与同一私钥关联的信息匹配存储,以便于后续服务器基于许可信息而与密钥托管平台交互时,密钥托管平台能够快速准确地确定出终端权限。
如图5所示,本发明另一实施例还提供一种终端,包括:
第一处理器,用于请求密钥托管平台生成目标服务器的登录凭据,登录凭据包括公钥和私钥;至少获得密钥托管平台返回的公钥及对应私钥的第一许可信息,其中,私钥存储在密钥托管平台中;发送公钥至目标服务器;请求密钥托管平台生成对应私钥的第二许可信息;
其中,第一许可信息指示第一终端能够请求密钥托管平台代理使用私钥,第二许可信息指示第二终端能够请求密钥托管平台代理使用私钥。
作为一可选实施例,所述至少获得所述密钥托管平台返回的所述公钥及对应所述私钥的第一许可信息,包括:
获得所述密钥托管平台生成的对应所述私钥的唯一标识、所述公钥及对应所述私钥的第一许可信息。
作为一可选实施例,所述请求所述密钥托管平台生成对应所述私钥的第二许可信息,包括:
获得所述第二终端的身份信息;
至少基于所述第二终端的身份信息及所述第一许可信息向所述密钥托管平台发送请求,以请求所述密钥托管平台生成对应所述私钥的第二许可信息。
作为一可选实施例,所述第一处理器还用于:
获得所述第二终端发送的许可请求;
所述至少基于所述第二终端的身份信息及所述第一许可信息向所述密钥托管平台发送请求,以请求所述密钥托管平台生成对应所述私钥的第二许可信息,包括:
响应于所述许可请求,至少基于所述第二终端的身份信息及所述第一许可信息向所述密钥托管平台发送请求,以请求所述密钥托管平台生成对应所述私钥的第二许可信息。
如图6所示,本发明另一实施例还提供一种密钥托管平台,包括:
第二处理器,用于根据第一终端发送的第一请求生成目标服务器的登录凭据,登录凭据包括公钥和私钥;存储私钥;至少生成对应私钥的第一许可信息,第一许可信息指示第一终端能够请求密钥托管平台代理使用私钥;至少发送公钥及第一许可信息至第一终端;基于第一终端发送的第二请求生成对应私钥的第二许可信息,第二许可信息指示第二终端能够请求密钥托管平台代理使用私钥。
作为一可选实施例,所述至少生成对应所述私钥的第一许可信息,包括:
生成对应所述私钥的唯一标识、对应所述私钥的第一许可信息;
所述至少发送所述公钥及第一许可信息至所述第一终端,包括:
发送所述唯一标识、公钥及第一许可信息至所述第一终端。
作为一可选实施例,所述基于所述第一终端发送的第二请求生成对应所述私钥的第二许可信息,包括:
获得所述第一终端发送的第二终端信息以及所述第一许可信息;
基于所述第一许可信息确定所述密钥及其唯一标识;
至少基于所述第二终端信息生成对应所述私钥的第二许可信息。
作为一可选实施例,所述密钥托管平台中存有所述第一终端的身份信息,所述第二处理器还用于:
至少匹配存储所述私钥的唯一标识、第一许可信息、第二许可信息、第一终端的身份信息、第二终端的身份信息。
本申请一实施例还提供一种存储介质,其上存储有计算机程序,该程序被终端设备的处理器执行时实现如上所述的方法。应理解,本实施例中的各个方案具有上述方法实施例中对应的技术效果,此处不再赘述。
本申请实施例还提供了一种计算机程序产品,所述计算机程序产品被有形地存储在计算机可读介质上并且包括计算机可读指令,所述计算机可执行指令在被执行时使至少一个处理器执行诸如上文所述实施例中的处理方法。应理解,本实施例中的各个方案具有上述方法实施例中对应的技术效果,此处不再赘述。
需要说明的是,本申请的计算机存储介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读介质例如可以但不限于是电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储介质(RAM)、只读存储介质(ROM)、可擦式可编程只读存储介质(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储介质(CD-ROM)、光存储介质件、磁存储介质件、或者上述的任意合适的组合。在本申请中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输配置为由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、天线、光缆、RF等等,或者上述的任意合适的组合。
应当理解,虽然本申请是按照各个实施例描述的,但并非每个实施例仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,各实施例中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。
以上实施例仅为本发明的示例性实施例,不用于限制本发明,本发明的保护范围由权利要求书限定。本领域技术人员可以在本发明的实质和保护范围内,对本发明做出各种修改或等同替换,这种修改或等同替换也应视为落在本发明的保护范围内。
Claims (10)
1.一种服务器的登录凭据授权方法,应用于第一终端,所述方法包括:
请求密钥托管平台生成目标服务器的登录凭据,所述登录凭据包括公钥和私钥;
至少获得所述密钥托管平台返回的所述公钥及对应所述私钥的第一许可信息,其中,所述私钥存储在所述密钥托管平台中,所述公钥被发送至目标服务器;
请求所述密钥托管平台生成对应所述私钥的第二许可信息;
其中,所述第一许可信息用于指示所述第一终端能够请求所述密钥托管平台代理使用所述私钥,所述第二许可信息用于指示第二终端能够请求所述密钥托管平台代理使用所述私钥。
2.根据权利要求1所述的方法,其中,所述至少获得所述密钥托管平台返回的所述公钥及对应所述私钥的第一许可信息,包括:
获得所述密钥托管平台生成的对应所述私钥的唯一标识、所述公钥及对应所述私钥的第一许可信息。
3.根据权利要求1所述的方法,其中,所述请求所述密钥托管平台生成对应所述私钥的第二许可信息,包括:
获得所述第二终端的身份信息;
至少基于所述第二终端的身份信息及所述第一许可信息向所述密钥托管平台发送请求,以请求所述密钥托管平台生成对应所述私钥的第二许可信息。
4.根据权利要求3所述的方法,其中,还包括:
获得所述第二终端发送的许可请求;
所述至少基于所述第二终端的身份信息及所述第一许可信息向所述密钥托管平台发送请求,以请求所述密钥托管平台生成对应所述私钥的第二许可信息,包括:
响应于所述许可请求,至少基于所述第二终端的身份信息及所述第一许可信息向所述密钥托管平台发送请求,以请求所述密钥托管平台生成对应所述私钥的第二许可信息。
5.一种服务器的登录凭据授权方法,应用于密钥托管平台,所述方法包括:
基于第一终端发送的第一请求生成目标服务器的登录凭据,所述登录凭据包括公钥和私钥;
存储所述私钥;
至少生成对应所述私钥的第一许可信息,所述第一许可信息指示所述第一终端能够请求所述密钥托管平台代理使用所述私钥;
至少发送所述公钥及第一许可信息至所述第一终端;
基于所述第一终端发送的第二请求生成对应所述私钥的第二许可信息,所述第二许可信息指示所述第二终端能够请求所述密钥托管平台代理使用所述私钥。
6.根据权利要求5所述的方法,其中,所述至少生成对应所述私钥的第一许可信息,包括:
生成对应所述私钥的唯一标识、对应所述私钥的第一许可信息;
所述至少发送所述公钥及第一许可信息至所述第一终端,包括:
发送所述唯一标识、公钥及第一许可信息至所述第一终端。
7.根据权利要求6所述的方法,其中,所述基于所述第一终端发送的第二请求生成对应所述私钥的第二许可信息,包括:
获得所述第一终端发送的第二终端信息以及所述第一许可信息;
基于所述第一许可信息确定所述密钥及其唯一标识;
至少基于所述第二终端信息生成对应所述私钥的第二许可信息。
8.根据权利要求6所述的方法,其中,所述密钥托管平台中存有所述第一终端的身份信息,所述方法还包括:
至少匹配存储所述私钥的唯一标识、第一许可信息、第二许可信息、第一终端的身份信息、第二终端的身份信息。
9.一种终端,包括:
第一处理器,用于请求密钥托管平台生成目标服务器的登录凭据,所述登录凭据包括公钥和私钥;至少获得所述密钥托管平台返回的所述公钥及对应所述私钥的第一许可信息,其中,所述私钥存储在所述密钥托管平台中;发送所述公钥至所述目标服务器;请求所述密钥托管平台生成对应所述私钥的第二许可信息;
其中,所述第一许可信息指示所述第一终端能够请求所述密钥托管平台代理使用所述私钥,所述第二许可信息指示所述第二终端能够请求所述密钥托管平台代理使用所述私钥。
10.一种密钥托管平台,包括:
第二处理器,用于根据第一终端发送的第一请求生成目标服务器的登录凭据,所述登录凭据包括公钥和私钥;存储所述私钥;至少生成对应所述私钥的第一许可信息,所述第一许可信息指示所述第一终端能够请求所述密钥托管平台代理使用所述私钥;至少发送所述公钥及第一许可信息至所述第一终端;基于所述第一终端发送的第二请求生成对应所述私钥的第二许可信息,所述第二许可信息指示所述第二终端能够请求所述密钥托管平台代理使用所述私钥。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111623665.4A CN114338149B (zh) | 2021-12-28 | 2021-12-28 | 一种服务器的登录凭据授权方法、终端及密钥托管平台 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111623665.4A CN114338149B (zh) | 2021-12-28 | 2021-12-28 | 一种服务器的登录凭据授权方法、终端及密钥托管平台 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114338149A true CN114338149A (zh) | 2022-04-12 |
CN114338149B CN114338149B (zh) | 2022-12-27 |
Family
ID=81014400
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111623665.4A Active CN114338149B (zh) | 2021-12-28 | 2021-12-28 | 一种服务器的登录凭据授权方法、终端及密钥托管平台 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114338149B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115935318A (zh) * | 2022-12-27 | 2023-04-07 | 北京深盾科技股份有限公司 | 一种信息处理方法、装置、服务器、客户端及存储介质 |
CN116055038A (zh) * | 2022-12-22 | 2023-05-02 | 北京深盾科技股份有限公司 | 设备授权方法、系统及存储介质 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103532981A (zh) * | 2013-10-31 | 2014-01-22 | 中国科学院信息工程研究所 | 一种面向多租户的身份托管鉴权云资源访问控制系统及控制方法 |
CN105847005A (zh) * | 2016-03-14 | 2016-08-10 | 美的集团股份有限公司 | 加密装置和方法 |
US20180340466A1 (en) * | 2015-06-15 | 2018-11-29 | Alibaba Group Holding Limited | Method and apparatus for securing communications using multiple encryption keys |
CN109660346A (zh) * | 2019-01-16 | 2019-04-19 | 中钞信用卡产业发展有限公司杭州区块链技术研究院 | 信息托管方法、装置、设备及计算机存储介质 |
CN110324276A (zh) * | 2018-03-28 | 2019-10-11 | 腾讯科技(深圳)有限公司 | 一种登录应用的方法、系统、终端和电子设备 |
CN110956461A (zh) * | 2018-09-27 | 2020-04-03 | 深圳市中数信技术开发有限公司 | 一种托管电子签名与验证的方法及系统 |
CN111090865A (zh) * | 2019-12-17 | 2020-05-01 | 支付宝(杭州)信息技术有限公司 | 一种密钥授权方法和系统 |
CN111242611A (zh) * | 2019-12-30 | 2020-06-05 | 航天信息股份有限公司 | 一种用于恢复数字钱包密钥的方法及系统 |
CN111355726A (zh) * | 2020-02-26 | 2020-06-30 | 广东工业大学 | 一种身份授权登录方法、装置及电子设备和存储介质 |
CN112685763A (zh) * | 2021-03-18 | 2021-04-20 | 上海众旦信息科技有限公司 | 一种基于密文授权访问的数据开放方法及系统 |
-
2021
- 2021-12-28 CN CN202111623665.4A patent/CN114338149B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103532981A (zh) * | 2013-10-31 | 2014-01-22 | 中国科学院信息工程研究所 | 一种面向多租户的身份托管鉴权云资源访问控制系统及控制方法 |
US20180340466A1 (en) * | 2015-06-15 | 2018-11-29 | Alibaba Group Holding Limited | Method and apparatus for securing communications using multiple encryption keys |
CN105847005A (zh) * | 2016-03-14 | 2016-08-10 | 美的集团股份有限公司 | 加密装置和方法 |
CN110324276A (zh) * | 2018-03-28 | 2019-10-11 | 腾讯科技(深圳)有限公司 | 一种登录应用的方法、系统、终端和电子设备 |
CN110956461A (zh) * | 2018-09-27 | 2020-04-03 | 深圳市中数信技术开发有限公司 | 一种托管电子签名与验证的方法及系统 |
CN109660346A (zh) * | 2019-01-16 | 2019-04-19 | 中钞信用卡产业发展有限公司杭州区块链技术研究院 | 信息托管方法、装置、设备及计算机存储介质 |
CN111090865A (zh) * | 2019-12-17 | 2020-05-01 | 支付宝(杭州)信息技术有限公司 | 一种密钥授权方法和系统 |
CN111242611A (zh) * | 2019-12-30 | 2020-06-05 | 航天信息股份有限公司 | 一种用于恢复数字钱包密钥的方法及系统 |
CN111355726A (zh) * | 2020-02-26 | 2020-06-30 | 广东工业大学 | 一种身份授权登录方法、装置及电子设备和存储介质 |
CN112685763A (zh) * | 2021-03-18 | 2021-04-20 | 上海众旦信息科技有限公司 | 一种基于密文授权访问的数据开放方法及系统 |
Non-Patent Citations (2)
Title |
---|
王真: "《移动互联网即时通讯系统密钥管理技术研究及应用》", 《中国博士学位论文全文数据库》 * |
胡晓曦: "《云计算密钥管理研究》", 《中国博士学位论文全文数据库》 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116055038A (zh) * | 2022-12-22 | 2023-05-02 | 北京深盾科技股份有限公司 | 设备授权方法、系统及存储介质 |
CN116055038B (zh) * | 2022-12-22 | 2023-11-03 | 北京深盾科技股份有限公司 | 设备授权方法、系统及存储介质 |
CN115935318A (zh) * | 2022-12-27 | 2023-04-07 | 北京深盾科技股份有限公司 | 一种信息处理方法、装置、服务器、客户端及存储介质 |
CN115935318B (zh) * | 2022-12-27 | 2024-02-13 | 北京深盾科技股份有限公司 | 一种信息处理方法、装置、服务器、客户端及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN114338149B (zh) | 2022-12-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11055802B2 (en) | Methods and apparatus for implementing identity and asset sharing management | |
EP3661120B1 (en) | Method and apparatus for security authentication | |
US10829088B2 (en) | Identity management for implementing vehicle access and operation management | |
CN108876374B (zh) | 区块链的网络身份证件认证方法和系统 | |
US8332920B2 (en) | Token-based client to server authentication of a secondary communication channel by way of primary authenticated communication channels | |
CN111901346B (zh) | 一种身份认证系统 | |
KR20190088048A (ko) | 사물 인터넷 디바이스의 기록 및 검증 방법과 장치, 그리고 아이덴티티 인증 방법 및 장치 | |
KR101611872B1 (ko) | Fido와 인증서를 이용한 인증 방법 | |
CN106921663B (zh) | 基于智能终端软件/智能终端的身份持续认证系统及方法 | |
CN114338149B (zh) | 一种服务器的登录凭据授权方法、终端及密钥托管平台 | |
CN105577665A (zh) | 一种云环境下的身份和访问控制管理系统及方法 | |
WO2016155220A1 (zh) | 一种单点登录的方法、系统以及终端 | |
CN102170354A (zh) | 集中账号密码认证生成系统 | |
CN103853950A (zh) | 一种基于移动终端的认证方法及移动终端 | |
CN112272089B (zh) | 云主机登录方法、装置、设备及计算机可读存储介质 | |
KR20160085143A (ko) | 익명 서비스 제공 방법 및 사용자 정보 관리 방법 및 이를 위한 시스템 | |
WO2020062667A1 (zh) | 数据资产管理方法、数据资产管理装置及计算机可读介质 | |
CN114499975B (zh) | 登录服务器的校验方法、服务器及存储介质 | |
KR20210116407A (ko) | 온라인 서비스 서버와 클라이언트 간의 상호 인증 방법 및 시스템 | |
KR101803535B1 (ko) | 일회용 토큰을 이용한 싱글 사인온 서비스 인증방법 | |
CN113505353A (zh) | 一种认证方法、装置、设备和存储介质 | |
TWM552152U (zh) | 交易授權系統及推播伺服器 | |
Ozha | Kerberos: An Authentication Protocol | |
KR101490638B1 (ko) | 스마트 카드 인증 방법, 이를 실행하는 서버 및 이를 실행하는 시스템 | |
CN114389864B (zh) | 数据认证方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: 100193 5th floor 510, No. 5 Building, East Yard, No. 10 Wangdong Road, Northwest Haidian District, Beijing Applicant after: Beijing Shendun Technology Co.,Ltd. Address before: 100193 5th floor 510, No. 5 Building, East Yard, No. 10 Wangdong Road, Northwest Haidian District, Beijing Applicant before: BEIJING SENSESHIELD TECHNOLOGY Co.,Ltd. |
|
CB02 | Change of applicant information | ||
GR01 | Patent grant | ||
GR01 | Patent grant |