CN114417303A - 登录认证管理方法、装置、处理器及机器可读存储介质 - Google Patents
登录认证管理方法、装置、处理器及机器可读存储介质 Download PDFInfo
- Publication number
- CN114417303A CN114417303A CN202111555210.3A CN202111555210A CN114417303A CN 114417303 A CN114417303 A CN 114417303A CN 202111555210 A CN202111555210 A CN 202111555210A CN 114417303 A CN114417303 A CN 114417303A
- Authority
- CN
- China
- Prior art keywords
- authentication
- user
- parameter
- file
- login
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000007726 management method Methods 0.000 title claims abstract description 55
- 238000000034 method Methods 0.000 claims abstract description 19
- 238000004590 computer program Methods 0.000 claims description 19
- 238000010586 diagram Methods 0.000 description 10
- 101150053844 APP1 gene Proteins 0.000 description 9
- 101100189105 Homo sapiens PABPC4 gene Proteins 0.000 description 9
- 102100039424 Polyadenylate-binding protein 4 Human genes 0.000 description 9
- 101100055496 Arabidopsis thaliana APP2 gene Proteins 0.000 description 8
- 101100016250 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) GYL1 gene Proteins 0.000 description 8
- 102100038359 Xaa-Pro aminopeptidase 3 Human genes 0.000 description 4
- 101710081949 Xaa-Pro aminopeptidase 3 Proteins 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 101150047113 SFTPA1 gene Proteins 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 101100264195 Caenorhabditis elegans app-1 gene Proteins 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000008094 contradictory effect Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/107—License processing; Key processing
- G06F21/1078—Logging; Metering
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Storage Device Security (AREA)
Abstract
本申请实施例提供一种登录认证管理方法、装置、处理器及机器可读存储介质,涉及信息安全技术领域。方法包括:响应于用户端的连接请求,获取用户端的第一认证参数及第一连接目标;调用服务端认证文件,获取服务端认证文件的第二认证参数;在第一认证参数与第二认证参数满足匹配条件的情况下,获取第一连接目标的登录信息并将登录信息传输至用户端,用户端能够通过登录信息与第一连接目标建立连接。本申请中用户端无法直接获取连接目标的登录信息,从而能够有效提高数据安全性,同时,当连接目标的登录信息产生变化时,用户端无需修改连接代码或配置文件,仅需对服务端侧的配置文件中的登录信息进行修改即可。
Description
技术领域
本申请涉及信息安全技术领域,具体涉及一种登录认证管理方法、一种登录认证管理装置、一种处理器及一种机器可读存储介质。
背景技术
目前,应用程序在访问数据库或者服务时,传统方法是通过密码认证或文件认证的方法进行访问。
密码认证时,通常将用户密码等连接信息写在连接代码、配置文件或数据库中。若将用户密码写在连接代码或配置文件中,若目标数据库或者目标服务的密码/ip/端口等连接信息变化后,需要对连接代码或配置文件进行修改,并重新编译部署;若将用户密码写在数据库中,则用户可以获取超出自己访问范围的所有目标的连接信息,存在安全隐患。
而通过认证文件进行认证时,当认证完成后,本机可以任意连接目标数据库或者目标服务。但是,通过认证文件认证存在以下问题:当用户访问不同的数据库或服务时,管理员需要向用户端分发并部署不同的认证文件,操作繁琐;若用户的认证文件丢失,则他人可通过该认证文件进行认证,并能非法访问数据库或服务,也存在安全隐患。
发明内容
本申请实施例的目的是提供一种登录认证管理方法、一种登录认证管理装置、一种处理器及一种机器可读存储介质。
为了实现上述目的,本申请第一方面提供一种登录认证管理方法,应用于服务端,包括:
响应于用户端的连接请求,获取所述用户端的第一认证参数及第一连接目标;
调用服务端认证文件,获取所述服务端认证文件的第二认证参数;
在所述第一认证参数与所述第二认证参数满足匹配条件的情况下,获取所述第一连接目标的登录信息并将所述登录信息传输至所述用户端,所述用户端能够通过所述登录信息与所述第一连接目标建立连接。
可选地,所述第一认证参数包括用户端认证文件的第一认证文件ID及与所述第一认证文件ID对应的第一权限参数;所述第二认证参数包括不同用户端认证文件对应的第二认证文件ID及与每个第二认证文件ID对应的第二权限参数;
所述匹配条件包括:
所述第一认证文件ID与所述第二认证参数中的其中一个第二认证文件ID一致;且
所述第一权限参数与该第二认证文件ID对应的第二权限参数匹配。
可选地,所述第一权限参数包括第一用户端地址及第一访问时间,所述第一访问时间为当前时间;所述第二权限参数包括至少一个第二用户端地址以及每个第二用户端地址对应的至少一个第二访问时间;
所述第一权限参数与该第二认证文件ID对应的第二权限参数匹配,包括:
所述第一用户端地址与该第二认证文件ID对应的至少一个第二用户端地址一致;且
所述第一访问时间与该第二用户端地址对应的至少一个第二访问时间中的其中一者一致。
可选地,所述第一权限参数还包括第一用户ID;所述第二权限参数还包括所述第二认证文件ID对应的至少一个访问权限控制ID,以及所述访问权限控制ID对应的第二用户ID;所述访问权限控制ID用于表征允许该访问权限控制ID对应的第二用户ID访问的第二连接目标;
所述第一权限参数与该第二认证文件ID对应的第二权限参数匹配,还包括:
所述第一用户端地址与该第二认证文件ID对应的第二用户端地址一致、所述第一访问时间与该第二用户端地址对应的至少一个第二访问时间中的其中一者一致、所述第一用户ID与所述第二用户ID一致以及所述第一连接目标与允许所述第二用户ID访问的第二连接目标一致。
本申请第二方面提供一种登录认证管理方法,应用于用户端,包括:
响应于连接指令,获取用户端的第一认证参数及第一连接目标,基于所述第一认证参数及第一连接目标生成连接请求;
向服务端发送所述连接请求,所述服务端能够依据所述连接请求获取所述第一连接目标的登录信息;
接收来自所述服务端的登录信息;以及
依据所述登录信息与所述第一连接目标建立连接。
可选地,所述第一认证参数包括:用户端认证文件的第一认证文件ID及与所述第一认证文件ID对应的第一权限参数;
所述第一权限参数包括:
第一用户ID、第一用户端地址及第一访问时间,所述第一访问时间为当前时间。
本申请第三方面提供一种登录认证管理装置,部署于服务端,包括:
数据获取模块,被配置为响应于用户端的连接请求,获取所述用户端的第一认证参数及第一连接目标;
权限认证模块,被配置为调用服务端认证文件,获取所述服务端认证文件的第二认证参数;以及
在所述第一认证参数与所述第二认证参数满足匹配条件的情况下,获取所述第一连接目标的登录信息并将所述登录信息传输至所述用户端,所述用户端能够通过所述登录信息与所述第一连接目标建立连接。
可选地,所述第一认证参数包括:用户端认证文件的第一认证文件ID及所述第一认证文件ID对应的第一权限参数;所述第二认证参数包括不同用户端认证文件对应的第二认证文件ID及每个第二认证文件ID对应的第二权限参数;
所述权限认证模块还被配置为:
在所述第一认证文件ID与所述第二认证参数中的其中一个第二认证文件ID一致,且所述第一权限参数与该第二认证文件ID对应的第二权限参数匹配的情况下,确定所述第一认证参数与所述第二认证参数满足匹配条件。
可选地,所述第一权限参数包括第一用户端地址及第一访问时间,所述第一访问时间为当前时间;所述第二权限参数包括至少一个第二用户端地址以及每个第二用户端地址对应的至少一个第二访问时间;
所述权限认证模块还被配置为:
在所述第一用户端地址与该第二认证文件ID对应的第二用户端地址一致,且所述第一访问时间与该第二用户端地址对应的至少一个第二访问时间中的其中一者一致的情况下,确定所述第一权限参数与该第二认证文件ID对应的第二权限参数匹配。
可选地,所述第一权限参数还包括第一用户ID;所述第二权限参数还包括与所述第二认证文件ID对应的至少一个访问权限控制ID,以及所述访问权限控制ID对应的第二用户ID;所述访问权限控制ID用于表征允许该访问权限控制ID对应的第二用户ID访问的第二连接目标;
所述权限认证模块还被配置为:
在所述第一用户端地址与该第二认证文件ID对应的第二用户端地址一致、所述第一访问时间与该第二用户端地址对应的至少一个第二访问时间中的其中一者一致、所述第一用户ID与所述第二用户ID一致、且所述第一连接目标与允许所述第二用户ID访问的第二连接目标一致的情况下,确定所述第一权限参数与该第二认证文件ID对应的第二权限参数匹配。
本申请第四方面提供一种登录认证管理装置,部署于用户端,包括:
连接请求模块,被配置为响应于连接指令,获取用户端的第一认证参数及第一连接目标,基于所述第一认证参数及第一连接目标生成连接请求;
数据发送模块,被配置为向服务端发送所述连接请求,所述服务端能够依据所述连接请求获取所述第一连接目标的登录信息;
数据接收模块,被配置为接收来自所述服务端的登录信息;以及
连接模块,被配置为依据所述登录信息与所述第一连接目标建立连接。
可选地,所述第一认证参数包括:用户端认证文件的第一认证文件ID及与所述第一认证文件ID对应的第一权限参数;
所述第一权限参数包括:
第一用户ID、第一用户端地址及第一访问时间,所述第一访问时间为当前时间。
本申请第五方面提供一种处理器,被配置成执行上述应用于服务端的登录认证管理方法,或被配置成执行上述应用于用户端的登录认证管理方法。
本申请第六方面提供一种机器可读存储介质,该机器可读存储介质上存储有指令,该指令在被处理器执行时使得所述处理器被配置成执行上述应用于服务端的登录认证管理方法,或该指令在被处理器执行时使得所述处理器被配置成执行上述应用于用户端的登录认证管理方法。
本申请第七方面提供一种计算机程序产品,包括计算机程序,所述计算机程序在被处理器执行时实现上述应用于服务端的登录认证管理方法,或所述计算机程序在被处理器执行时实现上述应用于用户端的登录认证管理方法。
通过上述技术方案,本申请的用户端在请求连接时,服务端首先对用户端的认证参数进行验证,仅当用户端的认证参数与服务端的认证参数满足匹配条件的情况下,服务端才将连接目标的登录信息发送至用户端进行登录连接。本申请中用户端无法直接获取连接目标的登录信息,从而能够有效提高数据安全性,同时,当连接目标的登录信息产生变化时,用户端无需修改连接代码或配置文件,仅需对服务端侧的配置文件中的登录信息进行修改即可。
本申请实施例的其它特征和优点将在随后的具体实施方式部分予以详细说明。
附图说明
附图是用来提供对本申请实施例的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本申请实施例,但并不构成对本申请实施例的限制。在附图中:
图1示意性示出了本申请实施例的应用于服务端的登录认证管理方法的流程示意图;
图2示意性示出了本申请实施例的用户端连接认证逻辑图;
图3示意性示出了本申请实施例的应用于用户端的登录认证管理方法的流程示意图;
图4示意性示出了本申请实施例的服务端登录认证管理装置示意图;
图5示意性示出了本申请实施例的用户端登录认证管理装置示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,应当理解的是,此处所描述的具体实施方式仅用于说明和解释本申请实施例,并不用于限制本申请实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
需要说明,若本申请实施例中有涉及方向性指示(诸如上、下、左、右、前、后……),则该方向性指示仅用于解释在某一特定姿态(如附图所示)下各部件之间的相对位置关系、运动情况等,如果该特定姿态发生改变时,则该方向性指示也相应地随之改变。
另外,若本申请实施例中有涉及“第一”、“第二”等的描述,则该“第一”、“第二”等的描述仅用于描述目的,而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。另外,各个实施例之间的技术方案可以相互结合,但是必须是以本领域普通技术人员能够实现为基础,当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在,也不在本申请要求的保护范围之内。
目前,用户在访问数据库或相关服务时,需要知道数据库或服务的相关登录信息并经认证后才能访问数据库或相关服务。例如,访问oracle数据库时,需要知道oracle数据库的ip地址、实例名、用户名和用户密码等相关登录信息,用户需要在系统登录界面输入相关登录信息,并经身份认证通过后才能访问数据库中的数据。又例如,访问各种http/https服务及sftp/ftp服务时,都需要通过用户名和密码的方式进行认证通过后,才能调用相关服务。由于用户端能够直接获取数据库或服务的用户名及密码,一旦数据库或服务的用户名及密码丢失,数据库或服务即可能被非法访问。
若是通过认证文件访问数据库或服务,则需要为用户端生成对应的认证文件,例如,用户需要通过A服务器的操作系统用户a访问hive数据库的abc用户下的数据,管理员需要在服务端用命令生成一个abc.keytab的认证文件,并将认证文件发给用户,用户将abc.keytab存储在A服务器的操作系统用户a下的一个文件路径下,然后通过验证程序执行相关命令完成对abc.keytab的认证,通过认证后,A服务器的操作系统用户a即可访问hive数据库的abc用户下的数据;若用户a需要访问hive数据库的abcd用户下的数据,则管理员需要重新向用户a分发并部署认证文件abcd.keytab。而认证文件一旦被非法拷贝,则拷贝者可以通过该认证文件在任意用户端对数据库或服务进行访问,具有很大的安全隐患。
针对上述问题,如图1所示,在本申请一实施例中,提供了一种登录认证管理方法,应用于服务端,包括:
S100、响应于用户端的连接请求,获取用户端的第一认证参数及第一连接目标;
S200、调用服务端认证文件,获取服务端认证文件的第二认证参数;以及在第一认证参数与第二认证参数满足匹配条件的情况下,获取第一连接目标的登录信息并将登录信息传输至用户端,用户端能够通过登录信息与第一连接目标建立连接。
如此,本实施例的用户端在请求连接时,服务端首先对用户端的认证参数进行验证,仅当用户端的认证参数与服务端的认证参数满足匹配条件的情况下,服务端才将连接目标的登录信息发送至用户端进行登录连接,由于用户端无法直接获取连接目标的登录信息,从而能够有效提高数据安全性,同时,当连接目标的登录信息产生变化时,用户端无需修改连接代码或配置文件,仅需对服务端侧的配置文件中的登录信息进行修改即可。
具体的,管理员预先在服务端对认证信息进行配置,包括服务端认证文件及登录信息文件。在登录信息文件预先写入所有连接目标的目标ID、目标IP、目标端口、目标用户名、目标密码等登录信息。如表1所示,以连接目标包括1个数据库及1个sftp服务为例,DB1为目标数据库的实例名,其ip地址为11.1.1.12,目标端口号为4034,数据库DB1的一个用户名为abc,用户abc对应的密码为abcdefg;sftp1为sftp服务的ID,其服务器ip地址为11.11.11.12,目标端口号为22,sftp服务的用户名为sftp,用户sftp对应的密码为sftp。以此类推,可以在表1中写入多个连接目标的登录信息并将表1作为登录信息文件存储在服务端。
目标ID | 目标ip | 目标端口 | 目标用户名 | 目标密码(加密) |
DB1 | 11.1.1.12 | 4034 | abc | abcdefg |
sftp1 | 11.11.11.12 | 22 | sftp | sftp |
表1
本实施例中,第二认证参数为表示用户权限的控制参数,为了保证信息安全,管理员需要预先将第二认证参数写入服务端认证文件。例如,数据库DB1仅允许操作系统1的用户a访问,则管理员需要将用户端的操作系统的ID、用户a的ID及数据库的实例名DB1写入服务端认证文件中并关联,例如,以列表的方式对第二认证参数进行存储,以表示操作系统1的用户a有权限访问数据库DB1,可以理解的,第二认证参数不限于用户端操作系统ID、用户ID及连接目标ID等。
当用户需要访问目标数据库时,用户需要通过安装在用户端的操作系统进行登录连接,可以理解的,操作系统可以为相关的应用程序。当用户通过对应的操作系统生成连接数据库DB1的连接请求后,将该连接请求发送至服务端,服务端对接收到的连接请求进行解析,并提取连接请求中的第一认证参数如操作系统的ID、操作系统对应的用户ID以及连接目标的目标ID如DB1。服务端调用预先存储在服务端的第二认证文件并读取第二认证文件中的第二认证参数,依次判断连接请求中的操作系统的ID、操作系统对应的用户ID是否具有访问数据库DB1的权限,若匹配成功,则服务端从表1中读取数据库DB1的登录信息如数据库DB1的ip地址、端口号、对应的目标用户名及密码,并将登录信息发送至用户端,用户端通过登录信息登录目标数据库服务器或目标sftp服务器,以访问目标数据库服务器或目标sftp服务器。由于本实施例的用户端无法直接获取连接目标的用户名及密码,因此,用户端泄漏连接目标的用户名及密码的可能得到有效的降低,有效保证了信息安全;又由于用户端的权限控制是在服务端完成,用户端是否具有访问连接目标的权限是写在服务端认证文件中的,因此,当用户端用户的访问权限变更时,仅需对服务端认证文件进行权限的增加或修改即可,例如,当用户端操作系统1的用户a需要增加访问数据库DB2的权限时,仅需在服务端认证文件中将操作系统1及用户a与数据库DB2关联,增加该权限即可。
为了进一步保证信息安全,第一认证参数包括用户端认证文件的第一认证文件ID及与第一认证文件ID对应的第一权限参数;第二认证参数包括不同用户端认证文件对应的第二认证文件ID及与每个第二认证文件ID对应的第二权限参数;步骤S200中的匹配条件包括:第一认证文件ID与第二认证参数中的其中一个第二认证文件ID一致;且第一权限参数与该第二认证文件ID对应的第二权限参数匹配。
如图2所示,预先对用户端权限进行配置并生成用户端认证文件,服务端将用户端认证文件发送至用户端,用户端通过认证程序对接收到的用户端认证文件进行认证并存储在用户端中,其中,用户端认证文件中被预先写入了第一认证文件ID及第一权限参数,第一认证文件ID为用户端认证文件的ID,第一权限参数包括但不限于操作系统的ID、操作系统对应的用户ID、该用户ID允许访问的连接目标的ID等。
在一个实施例中,管理员对用户端权限进行认证配置及对服务端认证文件的配置可以在认证配置服务器上进行,生成用户端认证文件后向用户端发送用户端认证文件及用户端认证文件的认证则可以在认证管理服务器上进行;可以理解的,对用户端认证认证文件及服务端认证文件进行认证配置及认证管理还可以在同一服务器上执行,本实施例对此不作限定。以对用户1~用户3的权限进行配置为例,用户1~用户3对应的用户端认证文件ID为Authen1~Authen3,用户1~用户3对应的操作系统ID为APP1~APP3,用户1~用户3对应的用户ID为User1~User3,用户1~3运行访问的数据库分别为DB1~DB3。则,如表2所示,预先在服务端认证文件中以列表的形式分别在每一行写入Authen1-APP1-User1-DB1、Authen2-APP2-User2-DB2及Authen3-APP3-User3-DB3。分别表示同时满足身份ID为Authen1、操作系统ID为APP1、用户ID为User1的用户允许访问数据库DB1;同时满足身份ID为Authen2、操作系统ID为APP2、用户ID为User2的用户允许访问数据库DB2;同时满足身份ID为Authen3、操作系统ID为APP3、用户ID为User3的用户允许访问数据库DB3。
当服务端接收到用户端的连接请求后,首先将用户端认证文件的第一认证文件ID如Authen1与服务端认证文件中的身份ID进行匹配,若存在相同的身份ID,则服务端继续判断用户端的第一权限参数与服务端认证文件中身份ID为Authen1的第二权限参数是否匹配,例如,第一权限参数中,操作系统ID为APP1、用户ID为User1,与服务端认证文件中身份ID为Authen1的第二权限参数均匹配,再判断连接请求中的连接目标的ID是否为DB1,若是,则判断当前用户具有访问DB1的权限,服务端从表1中获取DB1的相关登录信息发送给用户端。若第一权限参数中,操作系统ID为APP2、用户ID为User2,则服务端判断当前用户无访问数据库DB1的权限,向用户端返回错误信息。可以理解的,通常用户ID中携带有操作系统信息,仅通过用户ID即可判断该用户ID属于哪个操作系统,因此,在本实施例中,权限参数中还可以无需包括操作系统ID。
身份ID | 操作系统ID | 用户ID | 目标ID |
Authen1 | APP1 | User1 | DB1 |
Authen2 | APP2 | User2 | DB2 |
Authen3 | APP3 | User3 | DB3 |
表2
本实施例中,同一用户端认证文件可以同时绑定多个访问权限,例如,要允许同一用户端可以通过不同操作系统的用户访问数据库,则可在服务端认证文件中在每一行写入Authen1-APP1-User1-DB1、Authen1-APP2-User2-DB1及Authen1-APP3-User3-DB2,则若在用户端服务器上部署有ID为Authen1的用户端认证文件,则用户可在该用户端服务器上分别通过APP1的用户User1或APP2的用户User2访问数据库DB1,通过APP3的用户User3访问数据库DB2。这样,若同一用户端需要通过不同的操作系统访问不同数据库时,无需在向用户端重新分发部署对应的认证文件,仅需在服务端认证文件中进行重新配置即可。
为了进一步提高数据安全,第一权限参数包括第一用户端地址及第一访问时间,第一访问时间为当前时间;第二权限参数包括至少一个第二用户端地址以及每个第二用户端地址对应的至少一个第二访问时间;第一权限参数与该第二认证文件ID对应的第二权限参数匹配,包括:
第一用户端地址与该第二认证文件ID对应的至少一个第二用户端地址一致;且第一访问时间与该第二用户端地址对应的至少一个第二访问时间中的其中一者一致。
为了避免用户端认证文件被非法拷贝导致的数据安全问题,本实施例在用户端认证文件及服务端认证文件中还增加了用户端ip地址的控制字段,例如服务端认证文件中增加源主机IP的控制字段,在服务端认证文件中写入Authen1-11.1.2.1-100-APP1-DB1,表示ip地址为11.1.2.1-100之间,且部署有用户端认证文件ID为Authen1的源主机可以通过用户APP1访问数据库DB1。通过增加对源主机ip地址的限定,能够有效保证当用户端认证文件被非法拷贝后,拷贝者也无法在源主机以外的设备上访问数据库DB1。
考虑到数据库或服务的访问量过大可能导致系统奔溃的情况,为了有效的控制访问流量,本实施例还在服务端认证文件中增加有目标允许访问时间的控制字段,通过控制用户的访问时间实现系统流量的控制。如表3所示,第一行中的Authen1-11.1.2.1-100-APP1-0:00-8:00-DB1,表示ip地址属于11.1.2.1-100,且部署有用户端认证文件ID为Authen1的源主机可以在0:00-8:00通过用户APP1访问数据库DB1;表3第二行中的Authen1-11.1.2.1-100-APP2-8:00-18:00-DB1,表示ip地址属于11.1.2.1-100,且部署有用户端认证文件ID为Authen1的源主机可以在8:00-18:00通过用户APP2访问数据库DB1。
身份ID | 源主机IP | 用户ID | 目标允许访问时间 | 目标ID |
Authen1 | 11.1.2.1-100 | APP1 | 0:00-8:00 | DB1 |
Authen1 | 11.1.2.1-100 | APP2 | 8:00-18:00 | DB1 |
表3
在一个实施例中,第一权限参数还包括第一用户ID;第二权限参数还包括第二认证文件ID对应的至少一个访问权限控制ID,以及访问权限控制ID对应的第二用户ID;访问权限控制ID用于表征允许该访问权限控制ID对应的第二用户ID访问的第二连接目标;第一权限参数与该第二认证文件ID对应的第二权限参数匹配,还包括:第一用户端地址与该第二认证文件ID对应的第二用户端地址一致、第一访问时间与该第二用户端地址对应的至少一个第二访问时间中的其中一者一致、第一用户ID与第二用户ID一致以及第一连接目标与允许第二用户ID访问的第二连接目标一致。
如表4所示,服务端认证文件中还设有访问权限控制ID字段,其中,访问权限控制ID字段表示管理员将app1_db1_connect和app2_db2_connect这两个访问控制授权给了Authen1这个身份ID,app1_db1_connect表示的访问权限为用户端源主机ip地址属于11.1.2.1-100,且部署有用户端认证文件ID为Authen1的源主机可以在0:00-8:00通过用户APP1访问数据库DB1;app2_db2_connect表示的访问权限为用户端源主机ip地址属于11.1.2.1-100,且部署有用户端认证文件ID为Authen1的源主机可以在8:00-18:00通过用户APP2访问数据库DB2。
表4
服务端根据访问权限控制ID生成用户端认证文件Authen1.key,用户将用户端认证文件Authen1.key存储在满足服务端认证文件的源主机IP的服务器上,在登录APP1或APP2用户的情况下,调用认证程序,将认证文件Authen1.key和想要访问的连接目标如数据库DB1作为参数传入认证程序进行认证,认证完成后,用户即可通过用户端源主机向服务端发起访问连接目标的连接请求,服务端即可根据用户端的连接请求获取用户端的当前访问时间、想要访问的连接目标、用户端源主机ip地址、用户端源主机操作系统用户ID等参数,并与服务端认证文件进行匹配,若匹配成功,则服务端从表1中获取连接目标的登录信息并返回给用户端,进而用户端能够通过登录信息访问数据库DB1。
如图3所示,本申请第二方面提供一种登录认证管理方法,应用于用户端,包括:
S300、响应于连接指令,获取用户端的第一认证参数及第一连接目标,基于第一认证参数及第一连接目标生成连接请求;
S400、向服务端发送连接请求,服务端能够依据连接请求获取第一连接目标的登录信息;
S500、接收来自服务端的登录信息;以及依据登录信息与第一连接目标建立连接。
在步骤S300中,第一认证参数包括:用户端认证文件的第一认证文件ID及与第一认证文件ID对应的第一权限参数;第一权限参数包括:第一用户ID、第一用户端地址及第一访问时间,其中,第一用户ID为用户端操作系统用户ID,第一用户端地址为用户端源主机ip地址,第一访问时间为当前时间。
如图4所示,本申请第三方面提供一种登录认证管理装置,部署于服务端,包括:
数据获取模块,被配置为响应于用户端的连接请求,获取用户端的第一认证参数及第一连接目标;
权限认证模块,被配置为调用服务端认证文件,获取服务端认证文件的第二认证参数;以及在第一认证参数与第二认证参数满足匹配条件的情况下,获取第一连接目标的登录信息并将登录信息传输至用户端,用户端能够通过登录信息与第一连接目标建立连接。
可选地,第一认证参数包括:用户端认证文件的第一认证文件ID及第一认证文件ID对应的第一权限参数;第二认证参数包括不同用户端认证文件对应的第二认证文件ID及每个第二认证文件ID对应的第二权限参数;
权限认证模块还被配置为:
在第一认证文件ID与第二认证参数中的其中一个第二认证文件ID一致,且第一权限参数与该第二认证文件ID对应的第二权限参数匹配的情况下,确定第一认证参数与第二认证参数满足匹配条件。
可选地,第一权限参数包括第一用户端地址及第一访问时间,第一访问时间为当前时间;第二权限参数包括至少一个第二用户端地址以及与每个第二用户端地址对应的至少一个第二访问时间;
权限认证模块还被配置为:
在第一用户端地址与该第二认证文件ID对应的第二用户端地址一致,且第一访问时间与该第二用户端地址对应的至少一个第二访问时间中的其中一者一致的情况下,确定第一权限参数与该第二认证文件ID对应的第二权限参数匹配。
可选地,第一权限参数还包括第一用户ID;第二权限参数还包括与第二认证文件ID对应的至少一个访问权限控制ID,以及访问权限控制ID对应的第二用户ID;访问权限控制ID用于表征允许该访问权限控制ID对应的第二用户ID访问的第二连接目标;
权限认证模块还被配置为:
在第一用户端地址与该第二认证文件ID对应的第二用户端地址一致、第一访问时间与该第二用户端地址对应的至少一个第二访问时间中的其中一者一致、第一用户ID与第二用户ID一致、且第一连接目标与允许第二用户ID访问的第二连接目标一致的情况下,确定第一权限参数与该第二认证文件ID对应的第二权限参数匹配。
如图5所示,本申请第四方面提供一种登录认证管理装置,部署于用户端,包括:
连接请求模块,被配置为响应于连接指令,获取用户端的第一认证参数及第一连接目标,基于第一认证参数及第一连接目标生成连接请求;
数据发送模块,被配置为向服务端发送连接请求,服务端能够依据连接请求获取第一连接目标的登录信息;
数据接收模块,被配置为接收来自服务端的登录信息;以及
连接模块,被配置为依据登录信息与第一连接目标建立连接。
可选地,第一认证参数包括:预先存储在用户端的用户端认证文件的第一认证文件ID及与第一认证文件ID对应的第一权限参数;第一权限参数包括:第一用户ID、第一用户端地址及第一访问时间,第一访问时间为当前时间。
本申请第五方面提供一种处理器,被配置成执行上述应用于服务端的登录认证管理方法,或被配置成执行上述应用于用户端的登录认证管理方法。
处理器中包含内核,由内核去存储器中调取相应的程序单元。内核可以设置一个或以上,通过调整内核参数来实现上述应用于用户端的登录认证管理方法。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM),存储器包括至少一个存储芯片。
本申请第六方面提供一种机器可读存储介质,该机器可读存储介质上存储有指令,该指令在被处理器执行时使得处理器被配置成执行上述应用于服务端的登录认证管理方法,或该指令在被处理器执行时使得处理器被配置成执行上述应用于用户端的登录认证管理方法。
本申请实施例提供了一种机器可读存储介质,该机器可读存储介质上存储有指令,该指令在被处理器执行时使得处理器被配置成执行上述应用于服务端的登录认证管理方法或应用于用户端的登录认证管理方法。
机器可读存储介质包括永久性和非永久性、可移动和非可移动媒体,可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。机器可读存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。
本申请第七方面提供一种计算机程序产品,包括计算机程序,计算机程序在被处理器执行时实现上述应用于服务端的登录认证管理方法,或计算机程序在被处理器执行时实现上述应用于用户端的登录认证管理方法。
本领域内的技术人员应明白,本申请的实施例可提供为方法、装置、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、装置和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (15)
1.一种登录认证管理方法,应用于服务端,其特征在于,包括:
响应于用户端的连接请求,获取所述用户端的第一认证参数及第一连接目标;
调用服务端认证文件,获取所述服务端认证文件的第二认证参数;
在所述第一认证参数与所述第二认证参数满足匹配条件的情况下,获取所述第一连接目标的登录信息并将所述登录信息传输至所述用户端,所述用户端能够通过所述登录信息与所述第一连接目标建立连接。
2.根据权利要求1所述的登录认证管理方法,其特征在于,所述第一认证参数包括:用户端认证文件的第一认证文件ID及所述第一认证文件ID对应的第一权限参数;
所述第二认证参数包括:不同用户端认证文件对应的第二认证文件ID及每个第二认证文件ID对应的第二权限参数;
所述匹配条件包括:
所述第一认证文件ID与所述第二认证参数中的其中一个第二认证文件ID一致;且
所述第一权限参数与该第二认证文件ID对应的第二权限参数匹配。
3.根据权利要求2所述的登录认证管理方法,其特征在于,所述第一权限参数包括第一用户端地址及第一访问时间,所述第一访问时间为当前时间;所述第二权限参数包括至少一个第二用户端地址以及每个第二用户端地址对应的至少一个第二访问时间;
所述第一权限参数与该第二认证文件ID对应的第二权限参数匹配,包括:
所述第一用户端地址与该第二认证文件ID对应的第二用户端地址一致;且
所述第一访问时间与该第二用户端地址对应的至少一个第二访问时间中的其中一者一致。
4.根据权利要求3所述的登录认证管理方法,其特征在于,所述第一权限参数还包括第一用户ID;所述第二权限参数还包括所述第二认证文件ID对应的至少一个访问权限控制ID,以及所述访问权限控制ID对应的第二用户ID;所述访问权限控制ID用于表征允许该访问权限控制ID对应的第二用户ID访问的第二连接目标;
所述第一权限参数与该第二认证文件ID对应的第二权限参数匹配,还包括:
所述第一用户端地址与该第二认证文件ID对应的第二用户端地址一致、所述第一访问时间与该第二用户端地址对应的至少一个第二访问时间中的其中一者一致、所述第一用户ID与所述第二用户ID一致以及所述第一连接目标与允许所述第二用户ID访问的第二连接目标一致。
5.一种登录认证管理方法,应用于用户端,其特征在于,包括:
响应于连接指令,获取用户端的第一认证参数及第一连接目标,基于所述第一认证参数及第一连接目标生成连接请求;
向服务端发送所述连接请求,所述服务端能够依据所述连接请求获取所述第一连接目标的登录信息;
接收来自所述服务端的登录信息;以及
依据所述登录信息与所述第一连接目标建立连接。
6.根据权利要求5所述的登录认证管理方法,其特征在于,所述第一认证参数包括:用户端认证文件的第一认证文件ID及所述第一认证文件ID对应的第一权限参数;
所述第一权限参数包括:第一用户ID、第一用户端地址及第一访问时间,所述第一访问时间为当前时间。
7.一种登录认证管理装置,部署于服务端,其特征在于,包括:
数据获取模块,被配置为响应于用户端的连接请求,获取所述用户端的第一认证参数及第一连接目标;
权限认证模块,被配置为调用服务端认证文件,获取所述服务端认证文件的第二认证参数;以及
在所述第一认证参数与所述第二认证参数满足匹配条件的情况下,获取所述第一连接目标的登录信息并将所述登录信息传输至所述用户端,所述用户端能够通过所述登录信息与所述第一连接目标建立连接。
8.根据权利要求7所述的登录认证管理装置,其特征在于,所述第一认证参数包括:用户端认证文件的第一认证文件ID及所述第一认证文件ID对应的第一权限参数;
所述第二认证参数包括:不同用户端认证文件对应的第二认证文件ID及每个第二认证文件ID对应的第二权限参数;
所述权限认证模块还被配置为:
在所述第一认证文件ID与所述第二认证参数中的其中一个第二认证文件ID一致,且所述第一权限参数与该第二认证文件ID对应的第二权限参数匹配的情况下,确定所述第一认证参数与所述第二认证参数满足匹配条件。
9.根据权利要求8所述的登录认证管理装置,其特征在于,所述第一权限参数包括第一用户端地址及第一访问时间,所述第一访问时间为当前时间;所述第二权限参数包括至少一个第二用户端地址以及每个第二用户端地址对应的至少一个第二访问时间;
所述权限认证模块还被配置为:
在所述第一用户端地址与该第二认证文件ID对应的第二用户端地址一致,且所述第一访问时间与该第二用户端地址对应的至少一个第二访问时间中的其中一者一致的情况下,确定所述第一权限参数与该第二认证文件ID对应的第二权限参数匹配。
10.根据权利要求9所述的登录认证管理装置,其特征在于,所述第一权限参数还包括第一用户ID;所述第二权限参数还包括所述第二认证文件ID对应的至少一个访问权限控制ID,以及所述访问权限控制ID对应的第二用户ID;所述访问权限控制ID用于表征允许该访问权限控制ID对应的第二用户ID访问的第二连接目标;
所述权限认证模块还被配置为:
在所述第一用户端地址与该第二认证文件ID对应的第二用户端地址一致、所述第一访问时间与该第二用户端地址对应的至少一个第二访问时间中的其中一者一致、所述第一用户ID与所述第二用户ID一致、且所述第一连接目标与允许所述第二用户ID访问的第二连接目标一致的情况下,确定所述第一权限参数与该第二认证文件ID对应的第二权限参数匹配。
11.一种登录认证管理装置,部署于用户端,其特征在于,包括:
连接请求模块,被配置为响应于连接指令,获取用户端的第一认证参数及第一连接目标,基于所述第一认证参数及第一连接目标生成连接请求;
数据发送模块,被配置为向服务端发送所述连接请求,所述服务端能够依据所述连接请求获取所述第一连接目标的登录信息;
数据接收模块,被配置为接收来自所述服务端的登录信息;以及
连接模块,被配置为依据所述登录信息与所述第一连接目标建立连接。
12.根据权利要求11所述的登录认证管理装置,其特征在于,所述第一认证参数包括:用户端认证文件的第一认证文件ID及所述第一认证文件ID对应的第一权限参数;
所述第一权限参数包括:第一用户ID、第一用户端地址及第一访问时间,所述第一访问时间为当前时间。
13.一种处理器,其特征在于,被配置成执行权利要求1至4中任一项权利要求所述的登录认证管理方法,或被配置成执行权利要求5至6中任一项权利要求所述的登录认证管理方法。
14.一种机器可读存储介质,该机器可读存储介质上存储有指令,其特征在于,该指令在被处理器执行时使得所述处理器被配置成执行权利要求1至4中任一项权利要求所述的登录认证管理方法,或该指令在被处理器执行时使得所述处理器被配置成执行权利要求5至6中任一项权利要求所述的登录认证管理方法。
15.一种计算机程序产品,包括计算机程序,其特征在于,所述计算机程序在被处理器执行时实现权利要求1至4中任一项权利要求所述的登录认证管理方法,或所述计算机程序在被处理器执行时实现权利要求5至6中任一项权利要求所述的登录认证管理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111555210.3A CN114417303A (zh) | 2021-12-17 | 2021-12-17 | 登录认证管理方法、装置、处理器及机器可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111555210.3A CN114417303A (zh) | 2021-12-17 | 2021-12-17 | 登录认证管理方法、装置、处理器及机器可读存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114417303A true CN114417303A (zh) | 2022-04-29 |
Family
ID=81266786
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111555210.3A Pending CN114417303A (zh) | 2021-12-17 | 2021-12-17 | 登录认证管理方法、装置、处理器及机器可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114417303A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115529163A (zh) * | 2022-08-25 | 2022-12-27 | 江苏电力信息技术有限公司 | 一种用于电力系统数字化营业厅的登录识别加密方法 |
CN115567302A (zh) * | 2022-09-28 | 2023-01-03 | 建信金融科技有限责任公司 | Ssh数据传输装置、方法、设备及存储介质 |
-
2021
- 2021-12-17 CN CN202111555210.3A patent/CN114417303A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115529163A (zh) * | 2022-08-25 | 2022-12-27 | 江苏电力信息技术有限公司 | 一种用于电力系统数字化营业厅的登录识别加密方法 |
CN115567302A (zh) * | 2022-09-28 | 2023-01-03 | 建信金融科技有限责任公司 | Ssh数据传输装置、方法、设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9942274B2 (en) | Securing communication over a network using client integrity verification | |
US9148435B2 (en) | Establishment of a trust index to enable connections from unknown devices | |
US9203904B2 (en) | Secure hybrid file-sharing system | |
US11683213B2 (en) | Autonomous management of resources by an administrative node network | |
US10148637B2 (en) | Secure authentication to provide mobile access to shared network resources | |
US9081982B2 (en) | Authorized data access based on the rights of a user and a location | |
CN114417303A (zh) | 登录认证管理方法、装置、处理器及机器可读存储介质 | |
US11146552B1 (en) | Decentralized application authentication | |
US20160173611A1 (en) | Techniques for prevent information disclosure via dynamic secure cloud resources | |
US8726335B2 (en) | Consigning authentication method | |
US9467448B2 (en) | Consigning authentication method | |
JP2023521901A (ja) | ユーザ識別子および署名収集を利用したモバイルアプリケーション偽造・変造探知方法、コンピュータプログラム、コンピュータ読み取り可能な記録媒体およびコンピュータ装置 | |
CN115795493A (zh) | 访问控制策略部署方法和相关装置、以及访问控制系统 | |
KR20210144327A (ko) | 블록체인 방식의 디스크 공유 시스템 및 그 방법 | |
WO2023160632A1 (zh) | 针对飞地实例的云服务访问权限设置方法和云管理平台 | |
US11977620B2 (en) | Attestation of application identity for inter-app communications | |
US20230177184A1 (en) | Selective security augmentation in source control environments | |
CN117176454A (zh) | 一种api请求垂直越权的控制方法、设备及介质 | |
CN117729036A (zh) | 一种云资源访问方法、系统、设备及介质 | |
CN114444060A (zh) | 一种权限校验方法、装置、系统及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |