CN114499975A - 登录服务器的校验方法、服务器及存储介质 - Google Patents
登录服务器的校验方法、服务器及存储介质 Download PDFInfo
- Publication number
- CN114499975A CN114499975A CN202111624246.2A CN202111624246A CN114499975A CN 114499975 A CN114499975 A CN 114499975A CN 202111624246 A CN202111624246 A CN 202111624246A CN 114499975 A CN114499975 A CN 114499975A
- Authority
- CN
- China
- Prior art keywords
- server
- key
- verification
- user equipment
- identification information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
Abstract
本公开实施例提供了一种登录服务器的校验方法、服务器及存储介质,方法包括:第二服务端接收来自用户设备的登录请求,登录请求基于指定密钥;第二服务端从第一服务端获取指定密钥对应的许可标识信息,许可标识信息用于指示用户设备的用户所拥有的许可;第二服务端向第一服务端发送密钥验证请求,其中,密钥验证请求携带有许可标识信息;第二服务端接收来自第一服务端的验证数据,其中,验证数据为第一服务端使用许可标识信息对应的指定密钥中的私钥处理待验证数据后得到的数据,私钥被存储在第一服务端;第二服务端使用指定密钥中的公钥校验验证数据,以确定用户设备的登录权限。通过使用本公开,提高了私钥存储及使用的安全性。
Description
技术领域
本公开涉及网络安全领域,特别涉及一种登录服务器的校验方法、服务器及存储介质。
背景技术
当用户设备想要登录到远端的服务器时,会用到本地存储的私钥来处理服务器的待验证数据,进而服务器通过与该的公钥验证来登录服务器,如果很多人都使用同一个私钥来登录服务器,就会存在安全问题,一但私钥被别人拷走,那就可以在任何地方登录服务器,无法保证登录安全。
发明内容
有鉴于此,本公开实施例提出了一种登录服务器的校验方法、服务器及存储介质,用以解决现有技术的如下问题:私钥存储在用户设备上容易被拷贝,进而可以在任何地方登录服务器,无法保证登录安全。
一方面,本公开实施例提出了一种登录服务器的校验方法,包括:第二服务端接收来自用户设备的登录请求,所述登录请求基于指定密钥;所述第二服务端从第一服务端获取所述指定密钥对应的许可标识信息,所述许可标识信息用于指示所述用户设备的用户所拥有的许可;所述第二服务端向所述第一服务端发送密钥验证请求,其中,所述密钥验证请求携带有所述许可标识信息;所述第二服务端接收来自所述第一服务端的验证数据,其中,所述验证数据为所述第一服务端使用所述许可标识信息对应的所述指定密钥中的私钥处理待验证数据后得到的数据,所述私钥被存储在所述第一服务端;所述第二服务端使用所述指定密钥中的公钥校验所述验证数据,以确定所述用户设备的登录权限。
在一些实施例中,所述第二服务端接收来自用户设备的登录请求之前,还包括:所述第二服务端向所述第一服务端发送许可获取请求,其中,许可获取请求携带有第一服务端的登录令牌;在所述第一服务端确定所述登录令牌验证通过的情况下,所述第二服务端接收来自所述第一服务端的所述许可标识信息。
在一些实施例中,所述确定所述用户设备的登录权限,包括:在校验结果为验证通过的情况下,所述第二服务端建立与所述用户设备的连接,以授权登录所述第二服务端;在校验结果为验证失败的情况下,所述第二服务端向所述用户设备发送第一通知消息。
另一方面,本公开实施例提出了一种登录服务器的校验方法,包括:第一服务端响应于许可标识信息的获取操作,向第二服务端发送所述许可标识信息,其中,所述许可标识信息用于指示用户设备的用户所拥有的许可,所述许可标识信息与登录请求所基于的指定密钥对应,所述登录请求为所述第二服务端接收到的来自所述用户设备的请求;所述第一服务端接收来自所述第二服务端的密钥验证请求,其中,所述密钥验证请求携带有所述许可标识信息;所述第一服务端使用所述许可标识信息对应的所述指定密钥中的私钥处理待验证数据,以得到验证数据;所述第一服务端将所述验证数据发送至所述第二服务端,以使所述第二服务端根据所述指定密钥中的公钥验证所述验证数据,以确定所述用户设备的登录权限。
在一些实施例中,所述第一服务端响应于许可标识信息的获取操作,向第二服务端发送所述许可标识信息,包括:所述第一服务端接收来自所述第二服务端的许可获取请求,其中,许可获取请求携带有第一服务端的登录令牌;在所述登录令牌验证通过的情况下,获取所述登录令牌对应的所述许可标识信息,并向所述第二服务端发送所述许可标识信息。
在一些实施例中,所述第一服务端接收来自所述第二服务端的密钥验证请求之后,还包括:所述第一服务端根据所述许可标识信息验证所述用户设备是否具有所述指定密钥的使用权限;在具有所述使用权限的情况下,所述第一服务端使用所述许可标识信息对应的所述指定密钥中的私钥处理待验证数据,以得到验证数据;在不具有所述使用权限的情况下,所述第一服务端向所述第二服务端发送第二通知消息。
在一些实施例中,第一服务端响应于许可标识信息的获取操作,向第二服务端发送所述许可标识信息之前,还包括:所述第一服务端接收来自所述用户设备的授权码获取请求,其中,所述授权码获取请求携带有所述指定密钥的密钥地址信息;所述第一服务端根据所述密钥地址信息生成授权码,并将所述授权码发送至所述用户设备;所述第一服务端接收来自所述用户设备的授权码验证请求,其中,所述授权码验证请求携带有所述授权码;所述第一服务端根据所述授权码验证所述用户设备的身份,并在验证通过的情况下,向所述用户设备发送登录令牌,以使所述用户设备登录所述第二服务端的客户端。
另一方面,本公开实施例提出了一种服务器,包括:第一接收模块,用于接收来自用户设备的登录请求,所述登录请求基于指定密钥;第一获取模块,用于从第一服务端获取所述指定密钥对应的许可标识信息,所述许可标识信息用于指示所述用户设备的用户所拥有的许可;第一发送模块,用于向所述第一服务端发送密钥验证请求,其中,所述密钥验证请求携带有所述许可标识信息;第二接收模块,用于接收来自所述第一服务端的验证数据,其中,所述验证数据为所述第一服务端使用所述许可标识信息对应的所述指定密钥中的私钥处理待验证数据后得到的数据,所述私钥被存储在所述第一服务端;第一校验模块,用于使用所述指定密钥中的公钥校验所述验证数据,以确定所述用户设备的登录权限。
在一些实施例中,还包括:许可发送模块,用于向所述第一服务端发送许可获取请求,其中,许可获取请求携带有第一服务端的登录令牌;令牌接收模块,用于在所述第一服务端确定所述登录令牌验证通过的情况下,接收来自所述第一服务端的所述许可标识信息。
在一些实施例中,第一校验模块,具体用于:在校验结果为验证通过的情况下,建立与所述用户设备的连接,以授权登录所述第二服务端;
在校验结果为验证失败的情况下,向所述用户设备发送第一通知消息。
另一方面,本公开实施例提出了一种服务器,包括:第二发送模块,用于响应于许可标识信息的获取操作,向第二服务端发送所述许可标识信息,其中,所述许可标识信息用于指示用户设备的用户所拥有的许可,所述许可标识信息与登录请求所基于的指定密钥对应,所述登录请求为所述第二服务端接收到的来自所述用户设备的请求;第三接收模块,用于接收来自所述第二服务端的密钥验证请求,其中,所述密钥验证请求携带有所述许可标识信息;处理模块,用于使用所述许可标识信息对应的所述指定密钥中的私钥处理待验证数据,以得到验证数据;第三发送模块,用于将所述验证数据发送至所述第二服务端,以使所述第二服务端根据所述指定密钥中的公钥验证所述验证数据,以确定所述用户设备的登录权限。
在一些实施例中,所述第二发送模块,具体用于:接收来自所述第二服务端的许可获取请求,其中,许可获取请求携带有第一服务端的登录令牌;在所述登录令牌验证通过的情况下,获取所述登录令牌对应的所述许可标识信息,并向所述第二服务端发送所述许可标识信息。
在一些实施例中,还包括:权限验证模块,用于根据所述许可标识信息验证所述用户设备是否具有所述指定密钥的使用权限;所述处理模块,具体用于在具有所述使用权限的情况下,使用所述许可标识信息对应的所述指定密钥中的私钥处理待验证数据,以得到验证数据;通知模块,用于在不具有所述使用权限的情况下,向所述第二服务端发送第二通知消息。
在一些实施例中,还包括:第一请求接收模块,用于接收来自所述用户设备的授权码获取请求,其中,所述授权码获取请求携带有所述指定密钥的密钥地址信息;授权码发送模块,用于根据所述密钥地址信息生成授权码,并将所述授权码发送至所述用户设备;第二请求接收模块,用于接收来自所述用户设备的授权码验证请求,其中,所述授权码验证请求携带有所述授权码;令牌发送模块,用于根据所述授权码验证所述用户设备的身份,并在验证通过的情况下,向所述用户设备发送登录令牌,以使所述用户设备登录所述第二服务端的客户端。
另一方面,本公开实施例提出了一种存储介质,存储有计算机程序,计算机程序被处理器执行时实现本公开任意实施例提供的方法。
在本公开实施例中,用户用于登录到远程的第二服务端的私钥不再被存储在用户所使用的用户设备上,而是被存储在第一服务端上,用户无法获取到该私钥,而仅能够凭用户设备所拥有的许可来间接使用。在用户设备想要登录到远程的第二服务端时,通过许可对应的许可标识信息在第一服务端与第二服务端之间进行交互,用户设备通过当前用户所拥有的针对前述私钥的许可标识信息,调用存储在第一服务端上的私钥来完成与第二服务端之间的验证的过程,从而用户设备无法直接获取及使用私钥,提高了私钥存储及使用的安全性。
附图说明
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本公开实施例提供的登录服务器的校验方法的交互流程图一;
图2为本公开实施例提供的登录服务器的校验方法的交互流程图二;
图3为本公开实施例提供的登录服务器的校验方法的交互流程图三;
图4为本公开实施例提供的一种服务器的结构示意图;
图5为本公开实施例提供的另一种服务器的结构示意图。
具体实施方式
为了使得本公开实施例的目的、技术方案和优点更加清楚,下面将结合本公开实施例的附图,对本公开实施例的技术方案进行清楚、完整地描述。显然,所描述的实施例是本公开的一部分实施例,而不是全部的实施例。基于所描述的本公开的实施例,本领域普通技术人员在无需创造性劳动的前提下所获得的所有其他实施例,都属于本公开保护的范围。
除非另外定义,本公开使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本公开中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同,而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电性的连接,不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系,当被描述对象的绝对位置改变后,则该相对位置关系也可能相应地改变。
为了保持本公开实施例的以下说明清楚且简明,本公开省略了已知功能和已知部件的详细说明。
本公开实施例提供了一种登录服务器的校验方法,该方法的执行体包括用户设备(具体实现时,可以是用户设备上安装的APP,也称为客户端)、第一服务端(如上,此处对应为APP的服务器)、第二服务端(例如用户设备想要远程登录的服务器),该登录服务器的校验方法的交互流程如图1所示,包括步骤S101至S110:
S101,第二服务端接收来自用户设备的登录请求,登录请求基于指定密钥。
上述的指定密钥是用户设备的,是预先就已经生成的,但是为了保障登录安全,其并没有存储在用户设备上,而是在用户设备想要登录第二服务端时,由用户设备向第一服务端临时请求对密钥的使用,由第一服务端保存该密钥。
第一服务端可以仅为APP服务器,当然,也可以在APP服务器之外或之内,再单独设置一个仅用于密钥保存的服务设备,该密钥保存的服务设备不参与除密钥交互之外的其它工作。
S102,第二服务端向第一服务端请求获取许可标识信息,其中,许可标识信息用于指示用户设备的用户所拥有的许可,许可标识信息与登录请求所基于的指定密钥对应。
S103,第一服务端响应于许可标识信息的获取操作,向第二服务端发送许可标识信息。
S104,第二服务端从第一服务端获取到指定密钥对应的许可标识信息。
S105,第二服务端向第一服务端发送密钥验证请求,其中,密钥验证请求携带有许可标识信息。
S106,第一服务端接收来自第二服务端的密钥验证请求。
S107,第一服务端使用许可标识信息对应的指定密钥中的私钥处理待验证数据,以得到验证数据,其中,私钥被存储在第一服务端。
在使用私钥处理待验证数据时,可以是第一服务端直接使用私钥对待验证数据进行加密,当然,也可以使用私钥进行签名等方式,此处不进行限定,本领域技术人员可以根据实际需求进行设置。
如果是签名和验证签名的这种方式,则待验证数据可能是第二服务端发给第一服务端的,例如是第二服务端生成的一个随机数,则上述密钥验证请求中还需要携带待验证数据;当然,上述待验证数据也可能是第一服务端自己生成的,此处不进行限定。
为了进一步增加安全性,本公开实施例的第一服务端还可以增加一个校验过程,即第一服务端可以根据许可标识信息验证用户设备是否具有指定密钥的使用权限;如果具有使用权限,则第一服务端才使用许可标识信息对应的指定密钥中的私钥处理待验证数据,如果不具有使用权限,则第一服务端向第二服务端发送第二通知消息,以告知第二服务端使用权限存在问题。
S108,第一服务端将验证数据发送至第二服务端。
S109,第二服务端接收来自第一服务端的验证数据。
S110,第二服务端使用指定密钥中的公钥校验验证数据,以确定用户设备的登录权限。
在使用公钥校验验证数据时,如果第一服务端直接使用私钥对待验证数据进行加密,相对应的,则第二服务端使用指定密钥中的公钥校验验证数据的过程就是采用对应的公钥对验证数据进行解密;如果第一服务端使用私钥进行签名,则第二服务端就对应的验证签名即可。
如果校验结果为验证通过,说明第一服务端使用的私钥与第二服务端使用的公钥属于一对指定密钥中的,则第二服务端建立与用户设备的连接,以授权用户设备登录第二服务端;如果校验结果为验证失败,说明第一服务端使用的私钥与第二服务端使用的公钥不属于一对指定密钥中的,则第二服务端向用户设备发送第一通知消息,以通知用户设备存在无法登录的问题。
在本公开实施例中,用户用于登录到远程的第二服务端的私钥不再被存储在用户所使用的用户设备上,而是被存储在第一服务端上,用户无法获取到该私钥,而仅能够凭用户设备所拥有的许可来间接使用,。在用户设备想要登录到远程的第二服务端时,通过许可对应的许可标识信息在第一服务端与第二服务端之间进行交互,用户设备通过当前用户所拥有的针对前述私钥的许可标识信息,调用存储在第一服务端上的私钥来完成与第二服务端之间的验证的过程,从而用户设备无法直接获取及使用私钥,提高了该私钥存储及使用的安全性。
图2提供了录服务器的校验方法的另一种交互流程,即在第二服务端接收来自用户设备的登录请求之前,第一服务端还与第二服务端和用户设备进行了交互以使用户设备可以得到登录令牌(登录令牌的本质也是基于指定密钥),其包括如下步骤S201至S215:
S201,第一服务端接收来自用户设备的授权码获取请求,其中,授权码获取请求携带有指定密钥的密钥地址信息(即密钥ID)。
S202,第一服务端根据密钥地址信息生成授权码,并将授权码发送至用户设备。
S203,第一服务端接收来自用户设备的授权码验证请求,其中,授权码验证请求携带有授权码。
S204,第一服务端根据授权码验证用户设备的身份。
S205,在验证通过的情况下,第一服务端向用户设备发送登录令牌,以使用户设备登录第二服务端的客户端。
至此,用户设备获取到后续使用第一服务端上存储的指定密钥的基础资格。
S206,第二服务端向第一服务端发送许可获取请求,其中,许可获取请求携带有第一服务端的登录令牌。
S207,第一服务端接收来自第二服务端的许可获取请求,校验登录令牌,以确定许可标识信息(即许可ID2)。
S208,在登录令牌验证通过的情况下,第一服务端获取登录令牌对应的许可标识信息,并向第二服务端发送许可标识信息。
S209,第二服务端接收来自第一服务端的许可标识信息,进而通过该许可标识信息确定用户设备对应的指定密钥的公钥。
至此,第二服务端获取到第一服务端的许可标识信息,知晓用户设备的指定密钥对应的公钥,便于后续进行校验。
S210,述第二服务端向第一服务端发送密钥验证请求,其中,密钥验证请求携带有许可标识信息(即将许可ID2发送至第一服务端)。
S211,第一服务端查找许可标识信息对应用户的许可,以验证许可的有效性。
S212,在通过验证的情况下,使用许可对应的指定密钥中的私钥对随机数进行处理(本公开实施例对应的是签名操作)。
S213,将签名后的随机数发送至第二服务端。
S214,第二服务端利用指令密钥中的公钥进行验证签名。
S215,在验证通过的情况下,允许用户设备登录第二服务端。
在上述实施例中已经陈述过,即第一服务端中可以单独设置一个仅用于密钥保存的服务或服务设备,例如将第一服务端拆分为APP服务器和密钥托管服务,该密钥托管服务可以设置在APP服务器内,但为了清楚的说明密钥托管服务的功能,在下述实施例中将密钥托管服务单独作为一个设备描述交互过程。
对于用户设备,其可以是员工终端也可以是员工终端在登录到远程登录客户端后进行的操作,下述实施例中将以用户设备包括员工终端和远程登录客户端进行示例进行说明。
上述用户设备在作为员工终端时,其可能存在对应的管理者,因此,为了方案的完整性,在本实施例中还示例性的设置了一个管理者终端,一并将管理者终端对员工终端的管理过程进行说明。
本公开实施例的交互执行体包括管理者终端、APP服务器(包括第一服务端的部分功能)、密钥托管服务(包括第一服务端的另一部分功能),远程服务器、员工终端、远程登录客户端,其流程交互如图3所示,图中虚线下部为上述S201至S215的过程,此处不再赘述,仅对虚线前的部分进行简单说明,其包括如下过程:
管理者终端向密钥托管服务发送密钥生成请求,密钥生成请求用于请求生成密钥对;密钥托管服务生成用于登录远程服务器的密钥对、密钥ID、管理者许可(对应的生成许可ID)、使用权拥有者(即管理者的身份信息)等,并存储这些信息;将密钥ID和许可ID发送至管理者终端;与此同时,密钥托管服务可以通过管理者终端将公钥存储至远程服务器,以便后续员工终端想要登录远程服务器时使用。
至此,如果管理者终端就是后续要登录远程服务器的员工终端,则管理者终端已经获得了许可标识信息,即上述的许可ID即为前述S201至S215过程中提及的许可ID2,当然,如果管理者终端只作为管理者终端,而有其它终端作为员工终端,则还需要下述管理者终端为员工终端申请许可标识信息的过程。
管理者终端向APP服务器请求给员工颁发许可,该请求携带有许可ID、员工身份信息;APP服务器向密钥托管服务请求生成员工许可;密钥托管服务生成员工许可(对应的生成许可ID2),密钥ID、使用权拥有者(即员工的身份信息)等,并存储这些信息;将许可ID2和密钥ID发送至管理者终端,由管理者终端将许可ID2和密钥ID存储至APP服务器,以便后续使用。
至此,完成了管理者终端为员工终端颁发许可的过程,后续即为上述S201至S215对应的过程,此处不再赘述。
通对于上述远程服务器,其实现的远程服务器登录过程可以通过一个SSH代理服务实现,即第二服务端中可以单独设置一个仅用于登录验证的服务或服务设备,当然,SSH代理服务也可以在第二服务端之外,仅在员工终端发起登录请求时,由第二服务端将该请求转发至SSH代理服务设备,SSH代理服务设备执行登录验证交互过程,最后,在SSH代理服务设备接收到允许登录的消息时,才通知第二服务端员工终端通过验证,则第二服务端直接将员工终端接入。采用SSH代理服务设备的方法,可以从整体减少第二服务端的数据处理量,更好的保护服务器。
本公开实施例还提供一种服务器,应用于APP服务端,其结构示意如图4所示,包括依次耦合的:
第一接收模块10,用于接收来自用户设备的登录请求,登录请求基于指定密钥;第一获取模块11,用于从第一服务端获取指定密钥对应的许可标识信息,许可标识信息用于指示用户设备的用户所拥有的许可;第一发送模块12,用于向第一服务端发送密钥验证请求,其中,密钥验证请求携带有许可标识信息;第二接收模块13,用于接收来自第一服务端的验证数据,其中,验证数据为第一服务端使用许可标识信息对应的指定密钥中的私钥处理待验证数据后得到的数据,私钥被存储在第一服务端;第一校验模块14,用于使用指定密钥中的公钥校验验证数据,以确定用户设备的登录权限。
在一个优选实施例中,上述服务器还包括:许可发送模块,用于向第一服务端发送许可获取请求,其中,许可获取请求携带有第一服务端的登录令牌;令牌接收模块,用于在第一服务端确定登录令牌验证通过的情况下,接收来自第一服务端的许可标识信息。
具体实现时,上述的第一校验模块,具体用于:在校验结果为验证通过的情况下,建立与用户设备的连接,以授权登录第二服务端;在校验结果为验证失败的情况下,向用户设备发送第一通知消息。
本公开实施例还提供了另一种服务器,应用于远程服务端,该服务器与上述服务器交互,其结构示意如图5所示,包括依次耦合的:
第二发送模块20,用于响应于许可标识信息的获取操作,向第二服务端发送许可标识信息,其中,许可标识信息用于指示用户设备的用户所拥有的许可,许可标识信息与登录请求所基于的指定密钥对应,登录请求为第二服务端接收到的来自用户设备的请求;第三接收模块21,用于接收来自第二服务端的密钥验证请求,其中,密钥验证请求携带有许可标识信息;处理模块22,用于使用许可标识信息对应的指定密钥中的私钥处理待验证数据,以得到验证数据;第三发送模块23,用于将验证数据发送至第二服务端,以使第二服务端根据指定密钥中的公钥验证验证数据,以确定用户设备的登录权限。
具体实现时,上述第二发送模块具体用于:接收来自第二服务端的许可获取请求,其中,许可获取请求携带有第一服务端的登录令牌;在登录令牌验证通过的情况下,获取登录令牌对应的许可标识信息,并向第二服务端发送许可标识信息。
在一个优选实施例中,上述服务器还包括:权限验证模块,用于根据许可标识信息验证用户设备是否具有指定密钥的使用权限;处理模块,具体用于在具有使用权限的情况下,使用许可标识信息对应的指定密钥中的私钥处理待验证数据,以得到验证数据;通知模块,用于在不具有使用权限的情况下,向第二服务端发送第二通知消息。
上述服务器还可以包括:第一请求接收模块,用于接收来自用户设备的授权码获取请求,其中,授权码获取请求携带有指定密钥的密钥地址信息;授权码发送模块,用于根据密钥地址信息生成授权码,并将授权码发送至用户设备;第二请求接收模块,用于接收来自用户设备的授权码验证请求,其中,授权码验证请求携带有授权码;令牌发送模块,用于根据授权码验证用户设备的身份,并在验证通过的情况下,向用户设备发送登录令牌,以使用户设备登录第二服务端的客户端。
本公开实施例还提供了一种存储介质,存储有计算机程序,计算机程序被处理器执行时实现本公开上述实施例提供的任一中方法的步骤,具体步骤此处不再赘述。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。可选地,在本实施例中,处理器根据存储介质中已存储的程序代码执行上述实施例记载的方法步骤。可选地,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。显然,本领域的技术人员应该明白,上述的本公开的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本公开不限制于任何特定的硬件和软件结合。
此外,尽管已经在本文中描述了示例性实施例,其范围包括任何和所有基于本公开的具有等同元件、修改、省略、组合(例如,各种实施例交叉的方案)、改编或改变的实施例。权利要求书中的元件将被基于权利要求中采用的语言宽泛地解释,并不限于在本说明书中或本申请的实施期间所描述的示例,其示例将被解释为非排他性的。因此,本说明书和示例旨在仅被认为是示例,真正的范围和精神由以下权利要求以及其等同物的全部范围所指示。
以上描述旨在是说明性的而不是限制性的。例如,上述示例(或其一个或更多方案)可以彼此组合使用。例如本领域普通技术人员在阅读上述描述时可以使用其它实施例。另外,在上述具体实施方式中,各种特征可以被分组在一起以简单化本公开。这不应解释为一种不要求保护的公开的特征对于任一权利要求是必要的意图。相反,本公开的主题可以少于特定的公开的实施例的全部特征。从而,以下权利要求书作为示例或实施例在此并入具体实施方式中,其中每个权利要求独立地作为单独的实施例,并且考虑这些实施例可以以各种组合或排列彼此组合。本公开的范围应参照所附权利要求以及这些权利要求赋权的等同形式的全部范围来确定。
以上对本公开多个实施例进行了详细说明,但本公开不限于这些具体的实施例,本领域技术人员在本公开构思的基础上,能够做出多种变型和修改实施例,这些变型和修改都应落入本公开所要求保护的范围之内。
Claims (10)
1.一种登录服务器的校验方法,其特征在于,包括:
第二服务端接收来自用户设备的登录请求,所述登录请求基于指定密钥;
所述第二服务端从第一服务端获取所述指定密钥对应的许可标识信息,所述许可标识信息用于指示所述用户设备的用户所拥有的许可;
所述第二服务端向所述第一服务端发送密钥验证请求,其中,所述密钥验证请求携带有所述许可标识信息;
所述第二服务端接收来自所述第一服务端的验证数据,其中,所述验证数据为所述第一服务端使用所述许可标识信息对应的所述指定密钥中的私钥处理待验证数据后得到的数据,所述私钥被存储在所述第一服务端;
所述第二服务端使用所述指定密钥中的公钥校验所述验证数据,以确定所述用户设备的登录权限。
2.如权利要求1所述的校验方法,其特征在于,所述第二服务端接收来自用户设备的登录请求之前,还包括:
所述第二服务端向所述第一服务端发送许可获取请求,其中,许可获取请求携带有第一服务端的登录令牌;
在所述第一服务端确定所述登录令牌验证通过的情况下,所述第二服务端接收来自所述第一服务端的所述许可标识信息。
3.如权利要求1或2所述的校验方法,其特征在于,所述确定所述用户设备的登录权限,包括:
在校验结果为验证通过的情况下,所述第二服务端建立与所述用户设备的连接,以授权登录所述第二服务端;
在校验结果为验证失败的情况下,所述第二服务端向所述用户设备发送第一通知消息。
4.一种登录服务器的校验方法,其特征在于,包括:
第一服务端响应于许可标识信息的获取操作,向第二服务端发送所述许可标识信息,其中,所述许可标识信息用于指示用户设备的用户所拥有的许可,所述许可标识信息与登录请求所基于的指定密钥对应,所述登录请求为所述第二服务端接收到的来自所述用户设备的请求;
所述第一服务端接收来自所述第二服务端的密钥验证请求,其中,所述密钥验证请求携带有所述许可标识信息;
所述第一服务端使用所述许可标识信息对应的所述指定密钥中的私钥处理待验证数据,以得到验证数据;
所述第一服务端将所述验证数据发送至所述第二服务端,以使所述第二服务端根据所述指定密钥中的公钥验证所述验证数据,以确定所述用户设备的登录权限。
5.如权利要求4所述的校验方法,其特征在于,所述第一服务端响应于许可标识信息的获取操作,向第二服务端发送所述许可标识信息,包括:
所述第一服务端接收来自所述第二服务端的许可获取请求,其中,许可获取请求携带有第一服务端的登录令牌;
在所述登录令牌验证通过的情况下,获取所述登录令牌对应的所述许可标识信息,并向所述第二服务端发送所述许可标识信息。
6.如权利要求4或5所述的校验方法,其特征在于,所述第一服务端接收来自所述第二服务端的密钥验证请求之后,还包括:
所述第一服务端根据所述许可标识信息验证所述用户设备是否具有所述指定密钥的使用权限;
在具有所述使用权限的情况下,所述第一服务端使用所述许可标识信息对应的所述指定密钥中的私钥处理待验证数据,以得到验证数据;
在不具有所述使用权限的情况下,所述第一服务端向所述第二服务端发送第二通知消息。
7.如权利要求4或5所述的校验方法,其特征在于,第一服务端响应于许可标识信息的获取操作,向第二服务端发送所述许可标识信息之前,还包括:
所述第一服务端接收来自所述用户设备的授权码获取请求,其中,所述授权码获取请求携带有所述指定密钥的密钥地址信息;
所述第一服务端根据所述密钥地址信息生成授权码,并将所述授权码发送至所述用户设备;
所述第一服务端接收来自所述用户设备的授权码验证请求,其中,所述授权码验证请求携带有所述授权码;
所述第一服务端根据所述授权码验证所述用户设备的身份,并在验证通过的情况下,向所述用户设备发送登录令牌,以使所述用户设备登录所述第二服务端的客户端。
8.一种服务器,其特征在于,包括:
第一接收模块,用于接收来自用户设备的登录请求,所述登录请求基于指定密钥;
第一获取模块,用于从第一服务端获取所述指定密钥对应的许可标识信息,所述许可标识信息用于指示所述用户设备的用户所拥有的许可;
第一发送模块,用于向所述第一服务端发送密钥验证请求,其中,所述密钥验证请求携带有所述许可标识信息;
第二接收模块,用于接收来自所述第一服务端的验证数据,其中,所述验证数据为所述第一服务端使用所述许可标识信息对应的所述指定密钥中的私钥处理待验证数据后得到的数据,所述私钥被存储在所述第一服务端;
第一校验模块,用于使用所述指定密钥中的公钥校验所述验证数据,以确定所述用户设备的登录权限。
9.一种服务器,其特征在于,包括:
第二发送模块,用于响应于许可标识信息的获取操作,向第二服务端发送所述许可标识信息,其中,所述许可标识信息用于指示用户设备的用户所拥有的许可,所述许可标识信息与登录请求所基于的指定密钥对应,所述登录请求为所述第二服务端接收到的来自所述用户设备的请求;
第三接收模块,用于接收来自所述第二服务端的密钥验证请求,其中,所述密钥验证请求携带有所述许可标识信息;
处理模块,用于使用所述许可标识信息对应的所述指定密钥中的私钥处理待验证数据,以得到验证数据;
第三发送模块,用于将所述验证数据发送至所述第二服务端,以使所述第二服务端根据所述指定密钥中的公钥验证所述验证数据,以确定所述用户设备的登录权限。
10.一种存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至3中任一项所述方法的步骤,或者,所述计算机程序被处理器执行时实现权利要求4至7中任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111624246.2A CN114499975B (zh) | 2021-12-28 | 2021-12-28 | 登录服务器的校验方法、服务器及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111624246.2A CN114499975B (zh) | 2021-12-28 | 2021-12-28 | 登录服务器的校验方法、服务器及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114499975A true CN114499975A (zh) | 2022-05-13 |
| CN114499975B CN114499975B (zh) | 2023-05-26 |
Family
ID=81496516
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111624246.2A Active CN114499975B (zh) | 2021-12-28 | 2021-12-28 | 登录服务器的校验方法、服务器及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114499975B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115935318A (zh) * | 2022-12-27 | 2023-04-07 | 北京深盾科技股份有限公司 | 一种信息处理方法、装置、服务器、客户端及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106131092A (zh) * | 2016-08-31 | 2016-11-16 | 天脉聚源(北京)传媒科技有限公司 | 一种远程登录服务器的方法及装置 |
| US20170366917A1 (en) * | 2015-10-16 | 2017-12-21 | Tencent Technology (Shenzhen) Company Limited | Method for logging in to application, server, terminal, and nonvolatile computer readable storage medium |
| CN108173648A (zh) * | 2017-12-29 | 2018-06-15 | 数安时代科技股份有限公司 | 基于私钥托管的数字安全处理方法、设备及存储介质 |
| CN108429719A (zh) * | 2017-02-14 | 2018-08-21 | 华为技术有限公司 | 密钥保护方法及装置 |
| CN111259455A (zh) * | 2020-01-15 | 2020-06-09 | 厦门顺势共识信息科技有限公司 | 一种区块链私钥托管方法及系统 |
| CN113271207A (zh) * | 2021-05-14 | 2021-08-17 | 福建瑞术信息科技有限公司 | 基于移动电子签名的托管密钥使用方法、系统、计算机设备及存储介质 |
| CN113761498A (zh) * | 2021-09-08 | 2021-12-07 | 广州市资拓科技有限公司 | 一种第三方登录信息托管方法、系统、设备及存储介质 |
-
2021
- 2021-12-28 CN CN202111624246.2A patent/CN114499975B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170366917A1 (en) * | 2015-10-16 | 2017-12-21 | Tencent Technology (Shenzhen) Company Limited | Method for logging in to application, server, terminal, and nonvolatile computer readable storage medium |
| CN106131092A (zh) * | 2016-08-31 | 2016-11-16 | 天脉聚源(北京)传媒科技有限公司 | 一种远程登录服务器的方法及装置 |
| CN108429719A (zh) * | 2017-02-14 | 2018-08-21 | 华为技术有限公司 | 密钥保护方法及装置 |
| CN108173648A (zh) * | 2017-12-29 | 2018-06-15 | 数安时代科技股份有限公司 | 基于私钥托管的数字安全处理方法、设备及存储介质 |
| CN111259455A (zh) * | 2020-01-15 | 2020-06-09 | 厦门顺势共识信息科技有限公司 | 一种区块链私钥托管方法及系统 |
| CN113271207A (zh) * | 2021-05-14 | 2021-08-17 | 福建瑞术信息科技有限公司 | 基于移动电子签名的托管密钥使用方法、系统、计算机设备及存储介质 |
| CN113761498A (zh) * | 2021-09-08 | 2021-12-07 | 广州市资拓科技有限公司 | 一种第三方登录信息托管方法、系统、设备及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 郑丽萍等: "一种PKI体系下的私钥安全存取方案", 四川理工学院学报(自然科学版) * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115935318A (zh) * | 2022-12-27 | 2023-04-07 | 北京深盾科技股份有限公司 | 一种信息处理方法、装置、服务器、客户端及存储介质 |
| CN115935318B (zh) * | 2022-12-27 | 2024-02-13 | 北京深盾科技股份有限公司 | 一种信息处理方法、装置、服务器、客户端及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114499975B (zh) | 2023-05-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU2021206913B2 (en) | Systems and methods for distributed data sharing with asynchronous third-party attestation | |
| US11218481B2 (en) | Personal identity system | |
| CN100438421C (zh) | 用于对网络位置的子位置进行用户验证的方法和系统 | |
| US8196186B2 (en) | Security architecture for peer-to-peer storage system | |
| CA2578186C (en) | System and method for access control | |
| CN101841525A (zh) | 安全接入方法、系统及客户端 | |
| US11757640B2 (en) | Non-fungible token authentication | |
| CN110611657A (zh) | 一种基于区块链的文件流处理的方法、装置及系统 | |
| CN109981287B (zh) | 一种代码签名方法及其存储介质 | |
| CN102624720A (zh) | 一种身份认证的方法、装置和系统 | |
| CN106034123A (zh) | 认证方法、应用系统服务器及客户端 | |
| CN104767616A (zh) | 一种信息处理方法、系统及相关设备 | |
| CN104767617A (zh) | 一种信息处理方法、系统和相关设备 | |
| CN114666168B (zh) | 去中心化身份凭证验证方法、装置,以及,电子设备 | |
| CN108289074B (zh) | 用户账号登录方法及装置 | |
| CN105100009A (zh) | 登陆控制系统、方法和装置 | |
| CN112995144A (zh) | 文件处理方法、系统、可读存储介质及电子设备 | |
| CN113726774A (zh) | 客户端登录认证方法、系统和计算机设备 | |
| CN114338149B (zh) | 一种服务器的登录凭据授权方法、终端及密钥托管平台 | |
| CN114499975B (zh) | 登录服务器的校验方法、服务器及存储介质 | |
| CN116325654B (zh) | 租户感知相互tls认证 | |
| CN114079645B (zh) | 注册服务的方法及设备 | |
| US20220029982A1 (en) | Automatically obtaining a signed digital certificate from a trusted certificate authority | |
| CN103559430B (zh) | 基于安卓系统的应用账号管理方法和装置 | |
| CN111723347B (zh) | 身份认证方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 100193 5th floor 510, No. 5 Building, East Yard, No. 10 Wangdong Road, Northwest Haidian District, Beijing Applicant after: Beijing Shendun Technology Co.,Ltd. Address before: 100193 5th floor 510, No. 5 Building, East Yard, No. 10 Wangdong Road, Northwest Haidian District, Beijing Applicant before: BEIJING SENSESHIELD TECHNOLOGY Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |