CN114726630B - 基于License的信息安全授权方法、装置、电子设备及介质 - Google Patents

基于License的信息安全授权方法、装置、电子设备及介质 Download PDF

Info

Publication number
CN114726630B
CN114726630B CN202210382358.XA CN202210382358A CN114726630B CN 114726630 B CN114726630 B CN 114726630B CN 202210382358 A CN202210382358 A CN 202210382358A CN 114726630 B CN114726630 B CN 114726630B
Authority
CN
China
Prior art keywords
authentication
carrier
license
target
software
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210382358.XA
Other languages
English (en)
Other versions
CN114726630A (zh
Inventor
李林
房宝祥
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Liaoning Huadun Safety Technology Co ltd
Original Assignee
Liaoning Huadun Safety Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Liaoning Huadun Safety Technology Co ltd filed Critical Liaoning Huadun Safety Technology Co ltd
Priority to CN202210382358.XA priority Critical patent/CN114726630B/zh
Publication of CN114726630A publication Critical patent/CN114726630A/zh
Application granted granted Critical
Publication of CN114726630B publication Critical patent/CN114726630B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及数据安全技术领域,揭露了一种基于License的信息安全授权方法,包括:申请软件许可凭证,得到软件许可凭证信息,记录软件许可凭证信息,得到目标许可文件;将软件许可凭证信息填充至初始认证载体,得到目标认证载体;利用登录认证机制,认证目标认证载体,得到已认证载体;利用目标许可文件,鉴权已认证载体,得到许可权限,根据许可权限获取数据资源。本发明还提出一种基于License的信息安全授权装置、电子设备以及计算机可读存储介质。本发明可以解决当前用户登录认证方式存在效率低、风险性高的问题。

Description

基于License的信息安全授权方法、装置、电子设备及介质
技术领域
本发明涉及数据安全技术领域,尤其涉及一种基于License的信息安全授权方法、装置、电子设备及计算机可读存储介质。
背景技术
随着计算机技术的不断发展,信息安全越来越显示出极其重要的地位。当前主要有基于session认证等认证方式。
当前为了识别发起http请求的用户身份,会在服务器存储用户的登录信息,然后通过将登录信息传递给浏览器,并保存为cookie的方式来对用户的身份进行验证。但这种验证方式session都是保存在内存中的,随着用户的增多,服务端的开销会不断增大。此外,通过服务端进行认证记录,限制了负载均衡器和应用的扩展能力,通过cookie来进行用户的识别,一旦cookie被截获,用户也将会受到跨站请求伪造的攻击。因此,当前用户登录认证方式存在效率低、风险性高的问题。
发明内容
本发明提供一种基于License的信息安全授权方法、装置及计算机可读存储介质,其主要目的在于解决当前用户登录认证方式存在效率低、风险性高的问题。
为实现上述目的,本发明提供的一种基于License的信息安全授权方法,包括:
向预构建的服务端申请软件许可凭证,得到客户端的软件许可凭证信息,将所述软件许可凭证信息记录至预构建的初始许可文件中,得到目标许可文件;
获取初始认证载体,将所述软件许可凭证信息填充至所述初始认证载体,得到目标认证载体;
利用预构建的登录认证机制,对所述目标认证载体进行认证,得到已认证载体;
利用所述目标许可文件,对所述已认证载体进行鉴权,得到所述目标认证载体的许可权限,根据所述许可权限获取数据资源。
可选地,所述向预构建的服务端申请软件许可凭证,得到客户端的软件许可凭证信息,包括:
提取预构建的客户端中存储的用户名及用户密码;
利用所述用户名及用户密码,构建认证权限申请;
将所述认证权限申请发送至所述服务器,并利用所述服务器对所述认证权限申请进行审核,得到审核结果;
判断所审核结果是否为通过;
若所述审核结果为未通过,则拒绝所述认证权限申请;
若所述审核结果为通过,则根据所述认证权限申请,构建所述客户端的软件许可凭证信息。
可选地,所述获取初始认证载体,包括:
声明认证类型及认证加密算法;
根据所述认证类型及认证加密算法,构建认证载体头部;
对所述认证载体头部进行BASE64编码,得到编码载体头部;
将所述编码载体头部载入预构建的登录请求的认证头中,得到所述初始认证载体。
可选地,所述将所述软件许可凭证信息填充至所述初始认证载体,得到目标认证载体,包括:
利用所述软件许可凭证信息,构建认证载体载荷;
对所述认证载体载荷进行BASE64编码,得到编码载体载荷;
连接所述编码载体头部及所述编码载体载荷,得到待签证编码载体;
利用所述认证加密算法,加密所述待签证编码载体,得到所述目标认证载体。
可选地,所述利用预构建的登录认证机制,对所述目标认证载体进行认证,得到已认证载体,包括:
提取所述目标认证载体中的软件许可凭证信息;
对所述软件许可凭证信息中的用户名及用户密码进行认证,得到认证结果;
判断所述认证结果是否为通过;
若所述认证结果为不通过,则判定所述客户端不合法。
若所述认证结果为通过,则得到所述已认证载体。
可选地,所述利用所述目标许可文件,对所述已认证载体进行鉴权,得到所述目标认证载体的许可权限,包括:
提取所述已认证载体中的软件许可凭证信息;
利用所述目标许可文件,根据所述已认证载体中的软件许可凭证信息,判断所述客户端是否有访问权限;
若所述客户端无访问权限,则屏蔽所述客户端的操作入口;
若所述客户端有访问权限,则利用所述目标许可文件,根据所述已认证载体中的软件许可凭证信息,识别所述目标认证载体的许可权限。
可选地,所述利用所述目标许可文件,对所述已认证载体进行鉴权,得到所述目标认证载体的许可权限之前,所述方法还包括:
判断所述目标许可文件中的软件许可凭证信息,是否在预定的使用期限内;
若所述目标许可文件中的软件许可凭证信息,在预定的使用期限内,则利用所述目标许可文件,对所述已认证载体进行鉴权;
若所述目标许可文件中的软件许可凭证信息,不在预定的使用期限内,则在所述客户端提示延期申请或重新申请。
为了解决上述问题,本发明还提供一种基于License的信息安全授权装置,所述装置包括:
目标许可文件获取模块,用于向预构建的服务端申请软件许可凭证,得到客户端的软件许可凭证信息,将所述软件许可凭证信息记录至预构建的初始许可文件中,得到目标许可文件;
目标认证载体构建模块,用于获取初始认证载体,将所述软件许可凭证信息填充至所述初始认证载体,得到目标认证载体;
目标认证载体认证模块,用于利用预构建的登录认证机制,对所述目标认证载体进行认证,得到已认证载体;
已认证载体鉴权模块,用于利用所述目标许可文件,对所述已认证载体进行鉴权,得到所述目标认证载体的许可权限,根据所述许可权限获取数据资源。
为了解决上述问题,本发明还提供一种电子设备,所述电子设备包括:
存储器,存储至少一个指令;及
处理器,执行所述存储器中存储的指令以实现上述所述的基于License的信息安全授权方法。
为了解决上述问题,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有至少一个指令,所述至少一个指令被电子设备中的处理器执行以实现上述所述的基于License的信息安全授权方法。
相比于背景技术所述:当前用户登录认证方式存在效率低、风险性高的现象,本发明实施例通过先向服务端申请所述软件许可凭证,进而获得用户的软件许可凭证信息,通过软件许可凭证信息可以构建所述目标许可文件,在用户登录获取数据资源时,需要通过利用所述软件许可凭证信息构建目标认证载体的方式,来进行身份验证,当获得所述目标认证载体后,由于所述目标认证载体中记载着用户信息,因此,可以利用预构建的登录认证机制以及目标许可文件对所述目标认证载体,进行认证和鉴权,从而获得对应的许可权限,最后根据所述许可权限即可获取相应的数据资源。因此本发明提出的基于License的信息安全授权方法、装置、电子设备及计算机可读存储介质,可以解决当前用户登录认证方式存在效率低、风险性高的问题。
附图说明
图1为本发明一实施例提供的基于License的信息安全授权方法的流程示意图;
图2为图1中其中一个步骤的详细实施流程示意图;
图3为图1中另一个步骤的详细实施流程示意图;
图4为本发明一实施例提供的基于License的信息安全授权装置的功能模块图;
图5为本发明一实施例提供的实现所述基于License的信息安全授权方法的电子设备的结构示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本申请实施例提供一种基于License的信息安全授权方法。所述基于License的信息安全授权方法的执行主体包括但不限于服务端、终端等能够被配置为执行本申请实施例提供的该方法的电子设备中的至少一种。换言之,所述基于License的信息安全授权方法可以由安装在终端设备或服务端设备的软件或硬件来执行,所述软件可以是区块链平台。所述服务端包括但不限于:单台服务器、服务器集群、云端服务器或云端服务器集群等。
参照图1所示,为本发明一实施例提供的基于License的信息安全授权方法的流程示意图。在本实施例中,所述基于License的信息安全授权方法包括:
S1、向预构建的服务端申请软件许可凭证,得到客户端的软件许可凭证信息,将所述软件许可凭证信息记录至预构建的初始许可文件中,得到目标许可文件。
可解释的,所述软件许可凭证指license,即许可证,用来规定使用某一软件的用户对该软件的使用权限,通常在发布软件的时候跟软件代码一起发布。所述软件许可凭证信息指所述软件许可凭证中授予的软件使用权限信息及用户信息,例如:用户数的限制、使用时间的限制以及运行设备的限制等。
可理解的,所述初始许可文件指记载有历史用户通过申请获得的软件许可凭证信息。
本发明实施例中,所述向预构建的服务端申请软件许可凭证,得到客户端的软件许可凭证信息,包括:
提取预构建的客户端中存储的用户名及用户密码;
利用所述用户名及用户密码,构建认证权限申请;
将所述认证权限申请发送至所述服务器,并利用所述服务器对所述认证权限申请进行审核,得到审核结果;
判断所审核结果是否为通过;
若所述审核结果为未通过,则拒绝所述认证权限申请;
若所述审核结果为通过,则根据所述认证权限申请,构建所述客户端的软件许可凭证信息。
本发明实施例中,需要申请人提交认证权限申请(即申请电子流),来申请license,然后通过审核人利用审核流程来审核license,最后通过认证和鉴权来为用户安装license许可,并进行身份认证和权限校验。
S2、获取初始认证载体,将所述软件许可凭证信息填充至所述初始认证载体,得到目标认证载体。
应明白的,所述初始认证载体指将的JWT头部进行BASE64编码后,载入HTTP请求的Authorization header中,得到的待完善HTTP请求。所述目标认证载体指将JWT的载荷部分(playload)进行BASE64编码后,连接到所述Authorization header中已编码的JWT头部,并完善签证信息,从而得到的待发送HTTP请求。
可理解的,一个JWT实际就是一个字符串,由三部分组成,分别为头部、载荷及签名,这三部分都是json格式。
详细地,参阅图2所示,所述获取初始认证载体,包括:
S21、声明认证类型及认证加密算法;
S22、根据所述认证类型及认证加密算法,构建认证载体头部;
S23、对所述认证载体头部进行BASE64编码,得到编码载体头部;
S24、将所述编码载体头部载入预构建的登录请求的认证头中,得到所述初始认证载体。
可解释的,所述认证类型为JWT。所述认证加密算法指签名算法,通常为HS256算法。
所述认证载体头部是描述JWT的最基本的信息,包括认证类型及认证加密算法,例如:{“typ”:“JWT”,“alg”:“HS256”}。
详细地,参阅图3所示,所述将所述软件许可凭证信息填充至所述初始认证载体,得到目标认证载体,包括:
S25、利用所述软件许可凭证信息,构建认证载体载荷;
S26、对所述认证载体载荷进行BASE64编码,得到编码载体载荷;
S27、连接所述编码载体头部及所述编码载体载荷,得到待签证编码载体;
S28、利用所述认证加密算法,加密所述待签证编码载体,得到所述目标认证载体。
可理解的,所述认证载体载荷指JWT中的playload部分,载荷是存放有效信息的地方,可以为一些不敏感的信息,通常包含三个部分,包括:标准中注明的声明、公共声明以及私有声明。
可解释的,所述标准中注明的声明包括:iss:JWT的签发者;sub:JWT所面向的用户;aud:接收JWT的一方;exp:JWT的过期时间(大于JWT签发时间),可以利用一个Unix时间戳表示;nbf:定义在特定时间之前,JWT不可用;iat:JWT的签发时间;jti:JWT的唯一身份标识,主要用来作为一次性token,回避重放攻击。其中,iss、sub、aud、exp及iat五个字段都是由JWT的标准所定义的。例如:{“iss”:“John Wu JWT”,“iat”:“1441593502”,“exp”:“1441594722”,“aud”:“www.example.com”,“sub”:“jrocket@example.com”,“from_user”:“B”,“target_user”:“A”}。
应明白的,所述公共声明一般添加用户的相关信息或其他业务需要的必要信息,但由于该部分在客户端可解密,所以不建议添加敏感信息。所述私有声明是提供者和消费者所共同定义的声明,可以归类为明文信息。
可解释的,可以把编码载体头部和编码载体载荷对应的字符串用英文句号连接在一起(编码载体头部在前),从而形成所述待签证编码载体。
可理解的,在得到所述待签证编码载体后,需要用所述认证加密算法(HS256)进行加密,在进行加密时,需要提供密钥(secret)。加密后会得到一个字符串,这个字符串即是签名,将该签名拼接至所述待签证编码载体后面即可得到完整的JWT。当header或payload中的内容被篡改时,由于篡改者不知道密钥,所以也无法生成新的签证(signature)部分,在服务端也就无法通过。在JWT中,由于消息体是透明的,使用签名可以保证消息不被篡改。
S3、利用预构建的登录认证机制,对所述目标认证载体进行认证,得到已认证载体。
本发明实施例中,所述登录认证机制指License管控方式中的认证方式。认证是指对用户的身份进行认证。
本发明实施例中,所述利用预构建的登录认证机制,对所述目标认证载体进行认证,得到已认证载体,包括:
提取所述目标认证载体中的软件许可凭证信息;
对所述软件许可凭证信息中的用户名及用户密码进行认证,得到认证结果;
判断所述认证结果是否为通过;
若所述认证结果为不通过,则判定所述客户端不合法。
若所述认证结果为通过,则得到所述已认证载体。
可解释的,所述登录认证机制可以判断用户的身份是否合法,只有身份合法的用户才可以使用软件。登录认证机制可以防止黑客或竞争对手使用软件,从而维持软件的原创性和竞争力。
可解释的,所述登录认证机制是识别用户是否为合法用户,通过用户名和用户密码登录,登录成功的用户即为合法用户。离线单机工具一般是通过绑定软件安装的机器或者发放序列号的方式控制。如果是绑定软件安装的机器需要在license申请前,采集机器指纹(含CPU、硬盘、MAC地址等一种或者几种信息的加密数据),机器指纹的加密算法一般采用不可逆的加密算法,例如MD5等。
S4、利用所述目标许可文件,对所述已认证载体进行鉴权,得到所述目标认证载体的许可权限,根据所述许可权限获取数据资源。
本发明实施例中,所述利用所述目标许可文件,对所述已认证载体进行鉴权,得到所述目标认证载体的许可权限,包括:
提取所述已认证载体中的软件许可凭证信息;
利用所述目标许可文件,根据所述已认证载体中的软件许可凭证信息,判断所述客户端是否有访问权限;
若所述客户端无访问权限,则屏蔽所述客户端的操作入口;
若所述客户端有访问权限,则利用所述目标许可文件,根据所述已认证载体中的软件许可凭证信息,识别所述目标认证载体的许可权限。
可理解的,所述鉴权是限制用户能使用软件功能的方式,通过鉴权可以判断用户能使用整个软件的功能全集还是功能子集,鉴权有两种方式:一种是功能有无的鉴权:只有有权限的用户才能操作功能界面进而使用软件,无权限的用户则屏蔽其操作入口;一种是功能受限使用的鉴权:根据用户购买的license规格限制用户使用软件的次数或者使用软件处理数据的规模。
可解释的,所述鉴权需要将控制的功能项编码和受限使用的控制信息加密后放到license文件中,并在软件的运行过程中进行实时检测。鉴权信息一般是可以通过可逆的加密算法加密,例如:RSA非对称加密算法。License发放的时候用公钥加密,软件运行的时候通过私钥解密。
本发明实施例中,所述利用所述目标许可文件,对所述已认证载体进行鉴权,得到所述目标认证载体的许可权限之前,所述方法还包括:
判断所述目标许可文件中的软件许可凭证信息,是否在预定的使用期限内;
若所述目标许可文件中的软件许可凭证信息,在预定的使用期限内,则利用所述目标许可文件,对所述已认证载体进行鉴权;
若所述目标许可文件中的软件许可凭证信息,不在预定的使用期限内,则在所述客户端提示延期申请或重新申请。
应明白的,license存在使用期限的限制,超过期限的软件不再允许使用,需要重新申请延期或者重新申请license。
相比于背景技术所述:当前用户登录认证方式存在效率低、风险性高的现象,本发明实施例通过先向服务端申请所述软件许可凭证,进而获得用户的软件许可凭证信息,通过软件许可凭证信息可以构建所述目标许可文件,在用户登录获取数据资源时,需要通过利用所述软件许可凭证信息构建目标认证载体的方式,来进行身份验证,当获得所述目标认证载体后,由于所述目标认证载体中记载着用户信息,因此,可以利用预构建的登录认证机制以及目标许可文件对所述目标认证载体,进行认证和鉴权,从而获得对应的许可权限,最后根据所述许可权限即可获取相应的数据资源。因此本发明提出的基于License的信息安全授权方法、装置、电子设备及计算机可读存储介质,可以解决当前用户登录认证方式存在效率低、风险性高的问题。
如图4所示,是本发明一实施例提供的基于License的信息安全授权装置的功能模块图。
本发明所述基于License的信息安全授权装置100可以安装于电子设备中。根据实现的功能,所述基于License的信息安全授权装置100可以包括目标许可文件获取模块101、目标认证载体构建模块102、目标认证载体认证模块103及已认证载体鉴权模块104。本发明所述模块也可以称之为单元,是指一种能够被电子设备处理器所执行,并且能够完成固定功能的一系列计算机程序段,其存储在电子设备的存储器中。
所述目标许可文件获取模块101,用于向预构建的服务端申请软件许可凭证,得到客户端的软件许可凭证信息,将所述软件许可凭证信息记录至预构建的初始许可文件中,得到目标许可文件;
可解释的,所述软件许可凭证指license,即许可证,用来规定使用某一软件的用户对该软件的使用权限,通常在发布软件的时候跟软件代码一起发布。所述软件许可凭证信息指所述软件许可凭证中授予的软件使用权限信息及用户信息,例如:用户数的限制、使用时间的限制以及运行设备的限制等。
可理解的,所述初始许可文件指记载有历史用户通过申请获得的软件许可凭证信息。
本发明实施例中,所述向预构建的服务端申请软件许可凭证,得到客户端的软件许可凭证信息,包括:
提取预构建的客户端中存储的用户名及用户密码;
利用所述用户名及用户密码,构建认证权限申请;
将所述认证权限申请发送至所述服务器,并利用所述服务器对所述认证权限申请进行审核,得到审核结果;
判断所审核结果是否为通过;
若所述审核结果为未通过,则拒绝所述认证权限申请;
若所述审核结果为通过,则根据所述认证权限申请,构建所述客户端的软件许可凭证信息。
本发明实施例中,需要申请人提交认证权限申请(即申请电子流),来申请license,然后通过审核人利用审核流程来审核license,最后通过认证和鉴权来为用户安装license许可,并进行身份认证和权限校验。
所述目标认证载体构建模块102,用于获取初始认证载体,将所述软件许可凭证信息填充至所述初始认证载体,得到目标认证载体;
应明白的,所述初始认证载体指将的JWT头部进行BASE64编码后,载入HTTP请求的Authorization header中,得到的待完善HTTP请求。所述目标认证载体指将JWT的载荷部分(playload)进行BASE64编码后,连接到所述Authorization header中已编码的JWT头部,并完善签证信息,从而得到的待发送HTTP请求。
可理解的,一个JWT实际就是一个字符串,由三部分组成,分别为头部、载荷及签名,这三部分都是json格式。
本发明实施例中,所述获取初始认证载体,包括:
声明认证类型及认证加密算法;
根据所述认证类型及认证加密算法,构建认证载体头部;
对所述认证载体头部进行BASE64编码,得到编码载体头部;
将所述编码载体头部载入预构建的登录请求的认证头中,得到所述初始认证载体。
可解释的,所述认证类型为JWT。所述认证加密算法指签名算法,通常为HS256算法。
所述认证载体头部是描述JWT的最基本的信息,包括认证类型及认证加密算法,例如:{“typ”:“JWT”,“alg”:“HS256”}。
本发明实施例中,所述将所述软件许可凭证信息填充至所述初始认证载体,得到目标认证载体,包括:
利用所述软件许可凭证信息,构建认证载体载荷;
对所述认证载体载荷进行BASE64编码,得到编码载体载荷;
连接所述编码载体头部及所述编码载体载荷,得到待签证编码载体;
利用所述认证加密算法,加密所述待签证编码载体,得到所述目标认证载体。
可理解的,所述认证载体载荷指JWT中的playload部分,载荷是存放有效信息的地方,可以为一些不敏感的信息,通常包含三个部分,包括:标准中注明的声明、公共声明以及私有声明。
可解释的,所述标准中注明的声明包括:iss:JWT的签发者;sub:JWT所面向的用户;aud:接收JWT的一方;exp:JWT的过期时间(大于JWT签发时间),可以利用一个Unix时间戳表示;nbf:定义在特定时间之前,JWT不可用;iat:JWT的签发时间;jti:JWT的唯一身份标识,主要用来作为一次性token,回避重放攻击。其中,iss、sub、aud、exp及iat五个字段都是由JWT的标准所定义的。例如:{“iss”:“John Wu JWT”,“iat”:“1441593502”,“exp”:“1441594722”,“aud”:“www.example.com”,“sub”:“jrocket@example.com”,“from_user”:“B”,“target_user”:“A”}。
应明白的,所述公共声明一般添加用户的相关信息或其他业务需要的必要信息,但由于该部分在客户端可解密,所以不建议添加敏感信息。所述私有声明是提供者和消费者所共同定义的声明,可以归类为明文信息。
可解释的,可以把编码载体头部和编码载体载荷对应的字符串用英文句号连接在一起(编码载体头部在前),从而形成所述待签证编码载体。
可理解的,在得到所述待签证编码载体后,需要用所述认证加密算法(HS256)进行加密,在进行加密时,需要提供密钥(secret)。加密后会得到一个字符串,这个字符串即是签名,将该签名拼接至所述待签证编码载体后面即可得到完整的JWT。当header或payload中的内容被篡改时,由于篡改者不知道密钥,所以也无法生成新的签证(signature)部分,在服务端也就无法通过。在JWT中,由于消息体是透明的,使用签名可以保证消息不被篡改。
所述标认证载体认证模块103,用于利用预构建的登录认证机制,对所述目标认证载体进行认证,得到已认证载体;
本发明实施例中,所述登录认证机制指License管控方式中的认证方式。认证是指对用户的身份进行认证。
本发明实施例中,所述利用预构建的登录认证机制,对所述目标认证载体进行认证,得到已认证载体,包括:
提取所述目标认证载体中的软件许可凭证信息;
对所述软件许可凭证信息中的用户名及用户密码进行认证,得到认证结果;
判断所述认证结果是否为通过;
若所述认证结果为不通过,则判定所述客户端不合法。
若所述认证结果为通过,则得到所述已认证载体。
可解释的,所述登录认证机制可以判断用户的身份是否合法,只有身份合法的用户才可以使用软件。登录认证机制可以防止黑客或竞争对手使用软件,从而维持软件的原创性和竞争力。
可解释的,所述登录认证机制是识别用户是否为合法用户,通过用户名和用户密码登录,登录成功的用户即为合法用户。离线单机工具一般是通过绑定软件安装的机器或者发放序列号的方式控制。如果是绑定软件安装的机器需要在license申请前,采集机器指纹(含CPU、硬盘、MAC地址等一种或者几种信息的加密数据),机器指纹的加密算法一般采用不可逆的加密算法,例如MD5等。
所述已认证载体鉴权模块104,用于利用所述目标许可文件,对所述已认证载体进行鉴权,得到所述目标认证载体的许可权限,根据所述许可权限获取数据资源。
本发明实施例中,所述利用所述目标许可文件,对所述已认证载体进行鉴权,得到所述目标认证载体的许可权限,包括:
提取所述已认证载体中的软件许可凭证信息;
利用所述目标许可文件,根据所述已认证载体中的软件许可凭证信息,判断所述客户端是否有访问权限;
若所述客户端无访问权限,则屏蔽所述客户端的操作入口;
若所述客户端有访问权限,则利用所述目标许可文件,根据所述已认证载体中的软件许可凭证信息,识别所述目标认证载体的许可权限。
可理解的,所述鉴权是限制用户能使用软件功能的方式,通过鉴权可以判断用户能使用整个软件的功能全集还是功能子集,鉴权有两种方式:一种是功能有无的鉴权:只有有权限的用户才能操作功能界面进而使用软件,无权限的用户则屏蔽其操作入口;一种是功能受限使用的鉴权:根据用户购买的license规格限制用户使用软件的次数或者使用软件处理数据的规模。
可解释的,所述鉴权需要将控制的功能项编码和受限使用的控制信息加密后放到license文件中,并在软件的运行过程中进行实时检测。鉴权信息一般是可以通过可逆的加密算法加密,例如:RSA非对称加密算法。License发放的时候用公钥加密,软件运行的时候通过私钥解密。
本发明实施例中,所述利用所述目标许可文件,对所述已认证载体进行鉴权,得到所述目标认证载体的许可权限之前,所述方法还包括:
判断所述目标许可文件中的软件许可凭证信息,是否在预定的使用期限内;
若所述目标许可文件中的软件许可凭证信息,在预定的使用期限内,则利用所述目标许可文件,对所述已认证载体进行鉴权;
若所述目标许可文件中的软件许可凭证信息,不在预定的使用期限内,则在所述客户端提示延期申请或重新申请。
应明白的,license存在使用期限的限制,超过期限的软件不再允许使用,需要重新申请延期或者重新申请license。
详细地,本发明实施例中所述基于License的信息安全授权装置100中能够产生如下技术效果:
相比于背景技术所述:当前用户登录认证方式存在效率低、风险性高的现象,本发明实施例通过先向服务端申请所述软件许可凭证,进而获得用户的软件许可凭证信息,通过软件许可凭证信息可以构建所述目标许可文件,在用户登录获取数据资源时,需要通过利用所述软件许可凭证信息构建目标认证载体的方式,来进行身份验证,当获得所述目标认证载体后,由于所述目标认证载体中记载着用户信息,因此,可以利用预构建的登录认证机制以及目标许可文件对所述目标认证载体,进行认证和鉴权,从而获得对应的许可权限,最后根据所述许可权限即可获取相应的数据资源。因此本发明提出的基于License的信息安全授权方法、装置、电子设备及计算机可读存储介质,可以解决当前用户登录认证方式存在效率低、风险性高的问题。
如图5所示,是本发明一实施例提供的实现基于License的信息安全授权方法的电子设备的结构示意图。
所述电子设备1可以包括处理器10、存储器11和总线12,还可以包括存储在所述存储器11中并可在所述处理器10上运行的计算机程序,如基于License的信息安全授权程序。
其中,所述存储器11至少包括一种类型的可读存储介质,所述可读存储介质包括闪存、移动硬盘、多媒体卡、卡型存储器(例如:SD或DX存储器等)、磁性存储器、磁盘、光盘等。所述存储器11在一些实施例中可以是电子设备1的内部存储单元,例如该电子设备1的移动硬盘。所述存储器11在另一些实施例中也可以是电子设备1的外部存储设备,例如电子设备1上配备的插接式移动硬盘、智能存储卡(Smart Media Card,SMC)、安全数字(SecureDigital,SD)卡、闪存卡(Flash Card)等。进一步地,所述存储器11还可以既包括电子设备1的内部存储单元也包括外部存储设备。所述存储器11不仅可以用于存储安装于电子设备1的应用软件及各类数据,例如基于License的信息安全授权程序的代码等,还可以用于暂时地存储已经输出或者将要输出的数据。
所述处理器10在一些实施例中可以由集成电路组成,例如可以由单个封装的集成电路所组成,也可以是由多个相同功能或不同功能封装的集成电路所组成,包括一个或者多个中央处理器(Central Processing unit,CPU)、微处理器、数字处理芯片、图形处理器及各种控制芯片的组合等。所述处理器10是所述电子设备的控制核心(Control Unit),利用各种接口和线路连接整个电子设备的各个部件,通过运行或执行存储在所述存储器11内的程序或者模块(例如基于License的信息安全授权程序等),以及调用存储在所述存储器11内的数据,以执行电子设备1的各种功能和处理数据。
所述总线12可以是外设部件互连标准(peripheral component interconnect,简称PCI)总线或扩展工业标准结构(extended industry standard architecture,简称EISA)总线等。该总线12可以分为地址总线、数据总线、控制总线等。所述总线12被设置为实现所述存储器11以及至少一个处理器10等之间的连接通信。
图5仅示出了具有部件的电子设备,本领域技术人员可以理解的是,图5示出的结构并不构成对所述电子设备1的限定,可以包括比图示更少或者更多的部件,或者组合某些部件,或者不同的部件布置。
例如,尽管未示出,所述电子设备1还可以包括给各个部件供电的电源(比如电池),优选地,电源可以通过电源管理装置与所述至少一个处理器10逻辑相连,从而通过电源管理装置实现充电管理、放电管理、以及功耗管理等功能。电源还可以包括一个或一个以上的直流或交流电源、再充电装置、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。所述电子设备1还可以包括多种传感器、蓝牙模块、Wi-Fi模块等,在此不再赘述。
进一步地,所述电子设备1还可以包括网络接口,可选地,所述网络接口可以包括有线接口和/或无线接口(如WI-FI接口、蓝牙接口等),通常用于在该电子设备1与其他电子设备之间建立通信连接。
可选地,该电子设备1还可以包括用户接口,用户接口可以是显示器(Display)、输入单元(比如键盘(Keyboard)),可选地,用户接口还可以是标准的有线接口、无线接口。可选地,在一些实施例中,显示器可以是LED显示器、液晶显示器、触控式液晶显示器以及OLED(Organic Light-Emitting Diode,有机发光二极管)触摸器等。其中,显示器也可以适当的称为显示屏或显示单元,用于显示在电子设备1中处理的信息以及用于显示可视化的用户界面。
应该了解,所述实施例仅为说明之用,在专利申请范围上并不受此结构的限制。
所述电子设备1中的所述存储器11存储的基于License的信息安全授权程序是多个指令的组合,在所述处理器10中运行时,可以实现:
向预构建的服务端申请软件许可凭证,得到客户端的软件许可凭证信息,将所述软件许可凭证信息记录至预构建的初始许可文件中,得到目标许可文件;
获取初始认证载体,将所述软件许可凭证信息填充至所述初始认证载体,得到目标认证载体;
利用预构建的登录认证机制,对所述目标认证载体进行认证,得到已认证载体;
利用所述目标许可文件,对所述已认证载体进行鉴权,得到所述目标认证载体的许可权限,根据所述许可权限获取数据资源。
具体地,所述处理器10对上述指令的具体实现方法可参考图1至图4对应实施例中相关步骤的描述,在此不赘述。
进一步地,所述电子设备1集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读存储介质中。所述计算机可读存储介质可以是易失性的,也可以是非易失性的。例如,所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)。
本发明还提供一种计算机可读存储介质,所述可读存储介质存储有计算机程序,所述计算机程序在被电子设备的处理器所执行时,可以实现:
向预构建的服务端申请软件许可凭证,得到客户端的软件许可凭证信息,将所述软件许可凭证信息记录至预构建的初始许可文件中,得到目标许可文件;
获取初始认证载体,将所述软件许可凭证信息填充至所述初始认证载体,得到目标认证载体;
利用预构建的登录认证机制,对所述目标认证载体进行认证,得到已认证载体;
利用所述目标许可文件,对所述已认证载体进行鉴权,得到所述目标认证载体的许可权限,根据所述许可权限获取数据资源。
在本发明所提供的几个实施例中,应该理解到,所揭露的设备,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能模块的形式实现。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。
因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附关联图标记视为限制所涉及的权利要求。
此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。系统权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第二等词语用来表示名称,而并不表示任何特定的顺序。
最后应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或等同替换,而不脱离本发明技术方案的精神和范围。

Claims (8)

1.一种基于License的信息安全授权方法,其特征在于,所述方法包括:
向预构建的服务端申请软件许可凭证,得到客户端的软件许可凭证信息,将所述软件许可凭证信息记录至预构建的初始许可文件中,得到目标许可文件;
获取初始认证载体,将所述软件许可凭证信息填充至所述初始认证载体,得到目标认证载体;
利用预构建的登录认证机制,对所述目标认证载体进行认证,得到已认证载体;
利用所述目标许可文件,对所述已认证载体进行鉴权,得到所述目标认证载体的许可权限,根据所述许可权限获取数据资源;
所述获取初始认证载体,包括:
声明认证类型及认证加密算法;
根据所述认证类型及认证加密算法,构建认证载体头部;
对所述认证载体头部进行BASE64编码,得到编码载体头部;
将所述编码载体头部载入预构建的登录请求的认证头中,得到所述初始认证载体;
所述将所述软件许可凭证信息填充至所述初始认证载体,得到目标认证载体,包括:
利用所述软件许可凭证信息,构建认证载体载荷;
对所述认证载体载荷进行BASE64编码,得到编码载体载荷;
连接所述编码载体头部及所述编码载体载荷,得到待签证编码载体;
利用认证加密算法,加密所述待签证编码载体,得到所述目标认证载体。
2.如权利要求1所述的基于License的信息安全授权方法,其特征在于,所述向预构建的服务端申请软件许可凭证,得到客户端的软件许可凭证信息,包括:
提取预构建的客户端中存储的用户名及用户密码;
利用所述用户名及用户密码,构建认证权限申请;
将所述认证权限申请发送至所述服务端,并利用所述服务端对所述认证权限申请进行审核,得到审核结果;
判断所审核结果是否为通过;
若所述审核结果为未通过,则拒绝所述认证权限申请;
若所述审核结果为通过,则根据所述认证权限申请,构建所述客户端的软件许可凭证信息。
3.如权利要求1所述的基于License的信息安全授权方法,其特征在于,所述利用预构建的登录认证机制,对所述目标认证载体进行认证,得到已认证载体,包括:
提取所述目标认证载体中的软件许可凭证信息;
对所述软件许可凭证信息中的用户名及用户密码进行认证,得到认证结果;
判断所述认证结果是否为通过;
若所述认证结果为不通过,则判定所述客户端不合法;
若所述认证结果为通过,则得到所述已认证载体。
4.如权利要求3所述的基于License的信息安全授权方法,其特征在于,所述利用所述目标许可文件,对所述已认证载体进行鉴权,得到所述目标认证载体的许可权限,包括:
提取所述已认证载体中的软件许可凭证信息;
利用所述目标许可文件,根据所述已认证载体中的软件许可凭证信息,判断所述客户端是否有访问权限;
若所述客户端无访问权限,则屏蔽所述客户端的操作入口;
若所述客户端有访问权限,则利用所述目标许可文件,根据所述已认证载体中的软件许可凭证信息,识别所述目标认证载体的许可权限。
5.如权利要求4所述的基于License的信息安全授权方法,其特征在于,所述利用所述目标许可文件,对所述已认证载体进行鉴权,得到所述目标认证载体的许可权限之前,所述方法还包括:
判断所述目标许可文件中的软件许可凭证信息,是否在预定的使用期限内;
若所述目标许可文件中的软件许可凭证信息,在预定的使用期限内,则利用所述目标许可文件,对所述已认证载体进行鉴权;
若所述目标许可文件中的软件许可凭证信息,不在预定的使用期限内,则在所述客户端提示延期申请或重新申请。
6.一种基于License的信息安全授权装置,应用于如权利要求1至5中任意一项所述的基于License的信息安全授权方法,其特征在于,所述装置包括:
目标许可文件获取模块,用于向预构建的服务端申请软件许可凭证,得到客户端的软件许可凭证信息,将所述软件许可凭证信息记录至预构建的初始许可文件中,得到目标许可文件;
目标认证载体构建模块,用于获取初始认证载体,将所述软件许可凭证信息填充至所述初始认证载体,得到目标认证载体;
目标认证载体认证模块,用于利用预构建的登录认证机制,对所述目标认证载体进行认证,得到已认证载体;
已认证载体鉴权模块,用于利用所述目标许可文件,对所述已认证载体进行鉴权,得到所述目标认证载体的许可权限,根据所述许可权限获取数据资源。
7.一种电子设备,其特征在于,所述电子设备包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如权利要求1至5中任意一项所述的基于License的信息安全授权方法。
8.一种计算机可读存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至5中任意一项所述的基于License的信息安全授权方法。
CN202210382358.XA 2022-04-13 2022-04-13 基于License的信息安全授权方法、装置、电子设备及介质 Active CN114726630B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210382358.XA CN114726630B (zh) 2022-04-13 2022-04-13 基于License的信息安全授权方法、装置、电子设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210382358.XA CN114726630B (zh) 2022-04-13 2022-04-13 基于License的信息安全授权方法、装置、电子设备及介质

Publications (2)

Publication Number Publication Date
CN114726630A CN114726630A (zh) 2022-07-08
CN114726630B true CN114726630B (zh) 2023-06-16

Family

ID=82244283

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210382358.XA Active CN114726630B (zh) 2022-04-13 2022-04-13 基于License的信息安全授权方法、装置、电子设备及介质

Country Status (1)

Country Link
CN (1) CN114726630B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115146252B (zh) * 2022-09-05 2023-02-21 深圳高灯计算机科技有限公司 授权认证方法、系统、计算机设备和存储介质
CN115186286B (zh) * 2022-09-09 2022-11-18 北京数牍科技有限公司 模型处理方法、装置、设备、可读存储介质及程序产品

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112115425A (zh) * 2020-09-21 2020-12-22 北京指掌易科技有限公司 软件授权许可方法、装置及电子设备
CN113268715A (zh) * 2020-02-14 2021-08-17 中移(苏州)软件技术有限公司 软件加密方法、装置、设备及存储介质
CN113748657A (zh) * 2020-03-31 2021-12-03 京东方科技集团股份有限公司 用于许可认证的方法、节点、系统和计算机可读存储介质

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6857065B2 (ja) * 2017-03-27 2021-04-14 キヤノン株式会社 認証認可サーバー、リソースサーバー、認証認可システム、認証方法及びプログラム
US20200320178A1 (en) * 2019-04-03 2020-10-08 Arris Enterprises Llc Digital rights management authorization token pairing

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113268715A (zh) * 2020-02-14 2021-08-17 中移(苏州)软件技术有限公司 软件加密方法、装置、设备及存储介质
CN113748657A (zh) * 2020-03-31 2021-12-03 京东方科技集团股份有限公司 用于许可认证的方法、节点、系统和计算机可读存储介质
CN112115425A (zh) * 2020-09-21 2020-12-22 北京指掌易科技有限公司 软件授权许可方法、装置及电子设备

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
基于同构化基础教育资源库的版权保护系统设计;葛欣;;信息技术与信息化(06);第71-77页 *
面向受限环境的基于OAuth 2.0的认证与授权研究;刘少波;;广东第二师范学院学报(03);第96-102页 *

Also Published As

Publication number Publication date
CN114726630A (zh) 2022-07-08

Similar Documents

Publication Publication Date Title
CN107770159B (zh) 车辆事故数据记录方法及相关装置、可读存储介质
CN114726630B (zh) 基于License的信息安全授权方法、装置、电子设备及介质
CN103167491B (zh) 一种基于软件数字证书的移动终端唯一性认证方法
CN113014539B (zh) 一种物联网设备安全保护系统及方法
CN106936588B (zh) 一种硬件控制锁的托管方法、装置及系统
CN114125158B (zh) 基于可信电话的防骚扰方法、装置、设备及存储介质
CN114760114B (zh) 身份认证方法、装置、设备及介质
CN112699353B (zh) 一种金融信息传输方法以及金融信息传输系统
CN112165382A (zh) 软件授权方法、装置、授权服务端及终端设备
CN108449315A (zh) 请求合法性的校验装置、方法及计算机可读存储介质
CN109086578A (zh) 一种软件授权使用的方法、设备及存储介质
KR20190127124A (ko) 블록체인을 이용한 소스 코드 및 관련 데이터의 무결성 검증 방법 및 장치
CN111695097A (zh) 登录检验方法、装置及计算机可读存储介质
CN109635529A (zh) 账号共用检测方法、装置、介质及电子设备
CN111585995A (zh) 安全风控信息传输、处理方法、装置、计算机设备及存储介质
CN114499859A (zh) 密码验证方法、装置、设备及存储介质
CN112862484A (zh) 一种基于多端交互的安全支付方法及装置
CN114826725B (zh) 数据交互方法、装置、设备及存储介质
CN111600701A (zh) 一种基于区块链的私钥存储方法、装置及存储介质
CN115021995B (zh) 多渠道登录方法、装置、设备及存储介质
CN112150151B (zh) 安全支付方法、装置、电子设备及存储介质
CN109886011A (zh) 一种安全防护方法和装置
CN107566410A (zh) 一种数据保全报文请求处理方法和装置
CN115001784A (zh) 数据存储方法、装置、电子设备及计算机可读存储介质
CN114387137A (zh) 基于区块链的电子合同签署方法、装置、设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant