CN114826692A - 信息登录系统、方法、电子设备及存储介质 - Google Patents
信息登录系统、方法、电子设备及存储介质 Download PDFInfo
- Publication number
- CN114826692A CN114826692A CN202210358958.2A CN202210358958A CN114826692A CN 114826692 A CN114826692 A CN 114826692A CN 202210358958 A CN202210358958 A CN 202210358958A CN 114826692 A CN114826692 A CN 114826692A
- Authority
- CN
- China
- Prior art keywords
- user information
- login
- authentication
- client hello
- hello message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 96
- 238000004891 communication Methods 0.000 claims abstract description 22
- 230000004044 response Effects 0.000 claims description 27
- 238000004590 computer program Methods 0.000 claims description 19
- 230000006870 function Effects 0.000 claims description 10
- 230000001960 triggered effect Effects 0.000 claims description 10
- 238000012546 transfer Methods 0.000 claims description 8
- 238000012795 verification Methods 0.000 description 19
- 230000008569 process Effects 0.000 description 16
- 238000012545 processing Methods 0.000 description 7
- 230000009286 beneficial effect Effects 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 239000000306 component Substances 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000011161 development Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- 230000010267 cellular communication Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 239000008358 core component Substances 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本申请提供一种信息登录系统、方法、电子设备及存储介质,应用于通信技术领域,通过终端设备向商家服务器发送包括第一用户信息的登录请求,并向UPF发送问候消息,UPF根据该问候消息确定第二用户信息,并向鉴权识别平台发送包括第二用户信息的处理后的问候消息,鉴权识别平台根据第二用户信息生成鉴权码,并根据处理后的问候消息还原问候消息,通过基于还原的问候消息建立的HTTPS连接将鉴权码发送给终端设备,终端设备将鉴权码发送给商家服务器,商家服务器根据鉴权码和第一用户信息确定登录结果。在该系统中,可实现一键登录,认证效率较高,且凭借鉴权码进行用户身份的识别,不存在用户信息泄露的风险,安全性较高。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种信息登录系统、方法、电子设备及存储介质。
背景技术
近年来,随着网络监管越来越严,大多数网站需要按要求进行实名制认证,所以有不少网站通过对用户的身份信息认证当作实名认证,认证后,每次登录该网站时,可以通过认证信息进行登录。
登录网站最普遍的做法为短信验证,这种登录方式需要通过用户填写手机号码,点击发送短信,等待短信到达,回填短信验证码等流程,以此确认所使用的手机号码为用户本人,这种登录方式存在着操作繁琐,认证效率低的问题。
发明内容
本申请提供一种信息登录系统、方法、电子设备及存储介质,用以解决现有登录方式中存在的操作繁琐,认证效率低的问题。
第一方面,本申请提供一种信息登录系统,包括:终端设备、商家服务器、UPF和鉴权识别平台,其中,终端设备、商家服务器、UPF和鉴权识别平台之间存在通信连接。
终端设备,用于在接收到用户触发的登录指令时,向商家服务器发送登录请求,并根据商家服务器返回的响应消息,向UPF发送Client Hello消息,登录请求中包括第一用户信息。
UPF,用于根据Client Hello消息确定第二用户信息,并向鉴权识别平台发送处理后的Client Hello消息,处理后的Client Hello消息中包括第二用户信息。
鉴权识别平台,用于根据第二用户信息生成鉴权码,并根据处理后的ClientHello消息还原Client Hello消息,通过基于还原的Client Hello消息建立的HTTPS连接将鉴权码发送给终端设备。
终端设备,还用于将鉴权码发送给商家服务器。
商家服务器,用于根据鉴权码和第一用户信息确定登录结果,登录结果包括允许登录和拒绝登录。
可选的,该UPF,具体用于在Client Hello消息中增加头增强字段,将第二用户信息添加在头增强字段中,得到处理后的Client Hello消息。
可选的,该鉴权识别平台,具体用于解析处理后的Client Hello消息中的头增强字段,获得第二用户信息,并根据第二用户信息生成鉴权码。
可选的,该商家服务器,具体用于根据鉴权码,从鉴权识别平台获取与鉴权码对应的第二用户信息,并根据第一用户信息和第二用户信息,确定登录结果。
可选的,该商家服务器,具体用于比较第二用户信息和第一用户信息是否一致,若一致,则确定登录结果为允许登录,若不一致,则确定登录结果为拒绝登录。
可选的,该商家服务器,还用于在确定登录结果为拒绝登录时,向终端设备发送通知消息,通知消息用于指示登录失败。
第二方面,本申请提供一种信息登录方法,应用于终端设备,包括:
在接收到用户触发的登录指令时,向商家服务器发送登录请求,登录请求中包括第一用户信息。
接收商家服务器发送的响应消息,并根据响应消息,向UPF发送Client Hello消息。
接收鉴权识别平台通过基于Client Hello消息建立的HTTPS连接发送的鉴权码,鉴权码为UPF根据Client Hello消息确定出第二用户信息,并向鉴权识别平台发送处理后的Client Hello消息后,鉴权识别平台根据处理后的Client Hello消息中的第二用户信息生成的。
将鉴权码发送给商家服务器,鉴权码用于指示商家服务器根据鉴权码和第一用户信息确定登录结果,登录结果包括允许登录和拒绝登录。
可选的,该方法还包括:
接收商家服务器发送的通知消息,通知消息用于指示登录失败,通知消息为商家服务器在确定登录结果为拒绝登录时发送的。
第三方面,本申请提供一种信息登录方法,应用于商家服务器,包括:
接收终端设备发送的登录请求,登录请求中包括第一用户信息。
向终端设备发送响应消息,响应消息用于指示终端设备向UPF发送Client Hello消息。
接收终端设备发送的鉴权码,鉴权码为UPF根据Client Hello消息确定出第二用户信息,并向鉴权识别平台发送处理后的Client Hello消息后,鉴权识别平台根据处理后的Client Hello消息中的第二用户信息生成,并通过基于Client Hello消息建立的HTTPS连接发送给终端设备的。
根据鉴权码和第一用户信息确定登录结果,登录结果包括允许登录和拒绝登录。
可选的,根据鉴权码和第一用户信息确定登录结果,包括:
根据鉴权码,从鉴权识别平台获取与鉴权码对应的第二用户信息。
根据第一用户信息和第二用户信息,确定登录结果。
可选的,根据第一用户信息和第二用户信息,确定登录结果,包括:
比较第二用户信息和第一用户信息是否一致。
若一致,则确定登录结果为允许登录。
若不一致,则确定登录结果为拒绝登录。
可选的,从鉴权识别平台获取与鉴权码对应的第二用户信息,包括:
向鉴权识别平台发送查询消息,查询消息中包括鉴权码,查询消息用于指示鉴权识别平台查询与鉴权码对应的第二用户信息。
接收鉴权识别平台发送的第二用户信息。
可选的,该方法还包括:
在确定登录结果为拒绝登录时,向终端设备发送通知消息,通知消息用于指示登录失败。
第四方面,一种信息登录方法,应用于鉴权识别平台,包括:
接收UPF发送的处理后的Client Hello消息,处理后的Client Hello消息中包括第二用户信息。
根据第二用户信息生成鉴权码。
根据处理后的Client Hello消息还原Client Hello消息,并根据还原后的ClientHello消息建立HTTPS连接。
基于HTTPS连接将鉴权码发送给终端设备,以使终端设备将鉴权码发送给商家服务器,以供商家服务器根据鉴权码和第一用户信息确定登录结果,登录结果包括允许登录和拒绝登录,第一用户信息为终端设备发送给商家服务器的。
可选的,根据第二用户信息生成鉴权码,包括:
解析处理后的Client Hello消息中的头增强字段,获得第二用户信息。
根据第二用户信息生成鉴权码。
可选的,该方法还包括:
接收商家服务器发送的查询消息,查询消息中包括鉴权码。
根据查询消息,查询与鉴权码对应的第二用户信息。
将第二用户信息发送给商家服务器。
第五方面,一种信息登录方法,应用于UPF,包括:
接收终端设备发送的Client Hello消息。
根据Client Hello消息确定第二用户信息。
向鉴权识别平台发送处理后的Client Hello消息,处理后的Client Hello消息中包括第二用户信息。
可选的,向鉴权识别平台发送处理后的Client Hello消息,包括:
在Client Hello消息中增加头增强字段,并将第二用户信息添加在头增强字段中,得到处理后的Client Hello消息。
向鉴权识别平台发送处理后的Client Hello消息。
第六方面,本申请提供一种电子设备,包括:存储器和处理器;
存储器,用于存储计算机程序。
处理器,用于读取存储器存储的计算机程序,并根据存储器中的计算机程序执行上述第二方面的信息登录方法,或者,用于执行上述第三方面的信息登录方法,或者,用于执行上述第四方面的信息登录方法,或者,用于执行上述第五方面的信息登录方法。
第七方面,本申请提供一种可读存储介质,其上存储有计算机程序,计算机程序中存储有计算机执行指令,计算机执行指令被处理器执行时用于实现如上述第二方面的信息登录方法,或者,用于执行上述第三方面的信息登录方法,或者,用于执行上述第四方面的信息登录方法,或者,用于执行上述第五方面的信息登录方法。
第八方面,本申请实施例还提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时,实现上述第二方面的信息登录方法,或者,用于执行上述第三方面的信息登录方法,或者,用于执行上述第四方面的信息登录方法,或者,用于执行上述第五方面的信息登录方法。
本申请提供的信息登录系统、方法、电子设备及存储介质,通过终端设备向商家服务器发送包括第一用户信息的登录请求,并根据商家服务器返回的响应消息,向UPF发送Client Hello消息,UPF根据Client Hello消息确定第二用户信息,并向鉴权识别平台发送处理后的Client Hello消息,处理后的Client Hello消息中包括第二用户信息,鉴权识别平台根据第二用户信息生成鉴权码,并根据处理后的Client Hello消息还原Client Hello消息,通过基于还原的Client Hello消息建立的HTTPS连接将鉴权码发送给终端设备,终端设备将鉴权码发送给商家服务器,商家服务器根据鉴权码和第一用户信息确定登录结果。该系统中,通过UPF确定第二用户信息,并根据第二用户信息生成鉴权码,将该对应第二用户信息的鉴权码再返回给用户对应的终端设备,终端设备在访问商家服务器时,凭借鉴权码进行登录,商家服务器根据鉴权码到鉴权识别平台查询用户第一信息,根据查询到的第一用户信息来核实用户身份,进而完成鉴权登录操作。该方式不需用户进行额外操作,可实现一键登录,操作简单,可以提高认证效率,且凭借鉴权码进行用户身份的识别,不存在用户信息泄露的风险,安全性较高。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1为本申请实施例提供的一种信息登录系统的结构示意图;
图2为本申请实施例提供的一种现有技术中HTTPS访问流程图;
图3为本申请实施例提供的一种通过HTTPS头增强方法获取鉴权码的流程图;
图4为本申请实施例提供的一种HTTPS头增强技术解析流程图;
图5为本申请实施例提供的一种商家服务器从鉴权识别平台获取第二用户信息的流程图;
图6为本申请实施例提供的一种信息登录方法的信令交互图;
图7为本申请实施例提供的一种电子设备的结构示意图。
通过上述附图,已示出本申请明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围,而是通过参考特定实施例为本领域技术人员说明本申请的概念。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
首先对本申请所涉及的名词进行解释:
HTTPS交互协议:超文本传输安全协议(Hyper Text Transfer Protocol overSecure Socket Layer:HTTPS)是以安全为目标的超文本传输协议(Hyper Text TransferProtocol:HTTP)通道,在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性。HTTPS在HTTP的基础下加入安全套接字协议(Secure Socket Layer:SSL),HTTPS的安全基础是SSL,SSL用于对HTTP协议传输的数据进行加密。HTTPS存在不同于HTTP的默认端口,在HTTP与传输控制协议(Transmission Control Protocol:TCP)之间增加了一个加密/身份验证层,提供了身份验证与加密通信方法。它被广泛用于万维网上安全敏感的通讯,例如交易支付等方面。
UPF:用户面功能(User Plane Function:UPF)是3GPP 5G核心网系统架构的重要组成部分,主要负责5G核心网用户面数据包的路由和转发相关功能,是核心网网元之一。
HTTPS头增强技术:HTTPS头增强技术通过核心网网元UPF,按照一定规则,将头增强字段插入到HTTPS报文的技术。当UPF配置并激活HTTPS头增强功能后,UPF设备应支持在终端和服务器建立HTTPS连接建立的协商过程中识别Client Hello消息,并根据ClientHello消息的业务节点接口(Server Name Indication:SNI)域名或者互联网协议(Internet Protocol:IP)地址在Client Hello中插入头增强字段。
用户鉴权:为了只允许特定用户进入某一项应用程序或系统,而对用户身份和权限进行鉴定的方法。
本申请实施例提供的技术方案可以应用于登录第三方网站或应用程序时需要验证用户身份的场景中,尤其是基于HTTPS协议对用户身份和权限进行鉴定的场景中。由于HTTP协议是明文传输的,不具有安全保障,例如:传输的内容会被嗅探或篡改。因此,目前,基于SSL/安全传输层协议(Transport Layer Security:TLS)的HTTPS协议就成为了互联网Web系统通信协议的主流。
现有方法通常是使用手机号加验证码的登录方式,这种登录方式需要进行一系列的操作:输入手机号、等待验证码短信、输入验证码、点击登录,上述操作比较繁琐。该方式下,手机验证码会直接发送给用户,让用户进行填写提交,假如手机验证码被第三方截获或用户将验证码泄漏,用户账户会遭受严重安全风险。在此过程中,还存在填写错误等问题,从而导致登录时长较长,降低了用户体验。
为了解决以上问题,本申请提出了一种信息登录系统,包括:终端设备、商家服务器、UPF和鉴权识别平台,其中,终端设备、商家服务器、UPF和鉴权识别平台之间存在通信连接。在该系统中,终端设备向商家服务器发送包括第一用户信息的登录请求,并根据商家服务器返回的响应消息,向UPF发送Client Hello消息,UPF根据Client Hello消息确定第二用户信息,并向鉴权识别平台发送处理后的Client Hello消息,处理后的Client Hello消息中包括第二用户信息,鉴权识别平台根据第二用户信息生成鉴权码,并根据处理后的Client Hello消息还原Client Hello消息,通过基于还原的Client Hello消息建立的HTTPS连接将鉴权码发送给终端设备,终端设备将鉴权码发送给商家服务器,商家服务器根据鉴权码和第一用户信息确定登录结果。该系统中,通过UPF确定第二用户信息,并根据第二用户信息生成鉴权码,将该对应第二用户信息的鉴权码再返回给用户对应的终端设备,终端设备在访问商家服务器时,凭借鉴权码进行登录,商家服务器根据鉴权码到鉴权识别平台查询用户第一信息,根据查询到的第一用户信息来核实用户身份,进而完成鉴权登录操作。该方式不需用户进行额外操作,可实现一键登录,操作简单,可以提高认证效率,且凭借鉴权码进行用户身份的识别,不存在用户信息泄露的风险,安全性较高。
下面以具体的实施例对本申请的技术方案以及本申请的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图,对本申请的实施例进行描述。
图1为本申请实施例提供的一种信息登录系统的结构示意图,如图1所示,该信息登录系统包括:终端设备101、商家服务器102、UPF 103和鉴权识别平台104,其中,终端设备101、商家服务器102、UPF 103和鉴权识别平台104之间存在通信连接。
在该系统中,终端设备101可以是智能设备,如移动终端、平板电脑、计算机、笔记本电脑等。例如,用户可以通过智能设备登录商家页面。商家服务器102可以为Web服务器,驻留于因特网上某种类型计算机的程序,可以处理浏览器等Web客户端的请求并返回相应响应,也可以存储网站文件。UPF 103用于完成HTTPS头增强,当用户请求经过UPF 103时,UPF 103触发头增强并将用户信息添加到HTTPS的报文中。鉴权识别平台104可以为网关,连接着终端设备101和商家服务器102,并在终端设备101和商家服务器102之间进行信息的传递。
其中,终端设备101、商家服务器102、UPF 103和鉴权识别平台104之间的通信则可以利用网络,可以包括各种类型的有线和无线网络,例如但不局限于:互联网、局域网、WIFI、WLAN、蜂窝通信网络(GPRS、CDMA、2G/3G/4G/5G蜂窝网络)、卫星通信网络等等。
在该系统中,终端设备101在接收到用户触发的登录指令时,向商家服务器102发送登录请求,并根据商家服务器102返回的响应消息,向UPF 103发送Client Hello消息,登录请求中包括第一用户信息。UPF 103根据Client Hello消息确定第二用户信息,并在Client Hello消息中增加头增强字段,将第二用户信息添加在头增强字段中,得到处理后的Client Hello消息并向鉴权识别平台104发送处理后的Client Hello消息,处理后的Client Hello消息中包括第二用户信息。鉴权识别平台104解析处理后的Client Hello消息中的头增强字段,获得第二用户信息,根据第二用户信息生成鉴权码,并根据处理后的Client Hello消息还原Client Hello消息,通过基于还原的Client Hello消息建立的HTTPS连接将鉴权码发送给终端设备101,终端设备101将鉴权码发送给商家服务器102,商家服务器102根据鉴权码,从鉴权识别平台104获取与鉴权码对应的第二用户信息,并比较第二用户信息和第一用户信息是否一致,若一致,则确定登录结果为允许登录,若不一致,则确定登录结果为拒绝登录。
在该系统中,终端设备101,用于在接收到用户触发的登录指令时,向商家服务器102发送登录请求,并根据商家服务器102返回的响应消息,向UPF 103发送Client Hello消息。
其中,登录请求中包括第一用户信息,第一用户信息可以理解为触发登录指令的用户的信息,例如用户的手机号或者登录账号等。
具体的,若用户要登录商家服务器102,会触发登录指令,此时,终端设备101向商家服务器102发送登录请求,商家服务器102返回响应消息给终端设备101要求通过鉴权识别平台104对用户进行鉴权,则需要在终端设备101和鉴权识别平台104之间建立HTTPS连接,此时,终端设备101发送Client Hello消息给鉴权识别平台104,Client Hello消息首先经过UPF 103。
在该系统中,UPF 103,用于根据Client Hello消息确定第二用户信息,并向鉴权识别平台104发送处理后的Client Hello消息。
其中,处理后的Client Hello消息中包括第二用户信息,第二用户信息可以理解为当HTTPS连接请求经过UPF 103时,获取到的用户信息。
具体的,Client Hello消息到达UPF 103后,UPF 103根据Client Hello消息确定第二用户信息,并根据第二用户信息对Client Hello消息进行处理,最后向鉴权识别平台104发送处理后的Client Hello消息。
示例性的,该UPF 103,具体用于在Client Hello消息中增加头增强字段,将第二用户信息添加在头增强字段中,得到处理后的Client Hello消息。
具体的,UPF 103在接收到Client Hello消息后,根据Client Hello消息的SNI域名或者IP地址在Client Hello报文中插入头增强字段,并将第二用户信息添加在头增强字段中,得到处理后的Client Hello消息。
在该系统中,通过UPF 103获取用户信息,并将用户信息添加到头增强字段中,可以加密用户信息,保证HTTPS连接过程中的安全性。
在该系统中,鉴权识别平台104,用于根据第二用户信息生成鉴权码,并根据处理后的Client Hello消息还原Client Hello消息,通过基于还原的Client Hello消息建立的HTTPS连接将鉴权码发送给终端设备101。
其中,鉴权码与第二用户信息一一对应,并且鉴权识别平台104将鉴权码和第二用户信息的对应关系进行存储。
具体的,鉴权识别平台104接收到处理后的Client Hello消息后,鉴权识别平台104根据处理后的Client Hello消息中的第二用户信息生成鉴权码,并将处理后的ClientHello消息还原回原来的Client Hello消息,基于还原的Client Hello消息,将终端设备101和鉴权识别平台104之间建立HTTPS连接,建立HTTPS连接后,鉴权识别平台104将鉴权码发送给终端设备101。
示例性的,该鉴权识别平台104,具体用于解析处理后的Client Hello消息中的头增强字段,获得第二用户信息,并根据第二用户信息生成鉴权码。
具体的,鉴权识别平台104接收到处理后的Client Hello消息后,解析处理后的Client Hello消息中的头增强字段,提取到第二用户信息,并根据第二用户信息生成鉴权码。
在该系统中,通过UPF 103将第二用户信息增加至头增强字段中,将第二用户信息进行加密,然后鉴权识别平台104通过解析该处理后的Client Hello消息来获取第二用户信息,可以保证用户信息不被泄露,进而避免用户信息被盗用,提高登录过程中的安全性。
示例性的,图2为现有技术中HTTPS访问流程图,图3为通过HTTPS头增强方法获取鉴权码的流程图。根据图2可知,在现有技术中,HTTPS访问流程包括:第一步为客户端向服务端发送客户端问候消息(Client Hello),第二步为服务端返回给客户端服务端问候消息(Server Hello),证书(Certificate),服务端密钥交换(Server Key Exchange),证书请求(Certificate Request),服务端问候消息发送完毕(Server Hello Done),第三步为客户端向服务端发送证书(Certificate),客户端密钥交换(Client Key Exchange),证书验证(Certificate Verify),改变加密算法(Change Cipher Spec),完成(Finshed),第四步为服务端返回客户端改变加密算法(Change Cipher Spec),完成(Finshed),至此,握手完成,第五步为客户端和服务端之间互发应用程序数据(Application Date),开始HTTP的实际业务请求。根据图3可知,在图2的基础上,在第一步发送Client Hello的过程中,在ClientHello报文中插入头增强字段,以完成终端设备101在与鉴权识别平台104建立HTTPS连接时的头增强。具体步骤包括:将第二用户信息通过UPF 103插入至头增强字段中,得到处理后的Client Hello消息,以起到对用户信息进行加密的作用,并将处理后的Client Hello消息发送给鉴权识别平台104,鉴权识别平台104通过解析该处理后的Client Hello消息中的头增强字段以获取第二用户信息,根据第二用户信息生成鉴权码,并将处理后的ClientHello消息还原回原来的Client Hello消息,基于还原的Client Hello消息,将终端设备101和鉴权识别平台104之间建立HTTPS连接,建立HTTPS连接后,鉴权识别平台104将鉴权码发送给终端设备101。通过该方法,用户信息可以经过UPF 103进行加密,可以保证用户信息不被盗用,可以提供系统的安全性。
示例性的,在该系统中,程式语言可以为计算机编程语言(java)。为了便于开发和维护,以及在程序的效率需求基础上,鉴权识别平台头增强前置解析程序以及实际业务处理程序可以使用java做为开发语言。
具体的,整体架构使用Nginx+Redis+Vertx程序。其中,Nginx是高性能的负载均衡中间件,Redis是高性能缓存中间件,Vertx是目前最流行的java高性能异步处理架构体系,它底层Netty,可以使用多段反应器(Multi-Reactor)模式提供异步处理的方案。
示例性的,头增强前置处理程序在Netty的基础上,可以使用Netty本身提供的安全套接字协议处理程序(SslHandler)修改Client Hello消息。
具体的,Netty架构的核心组件为流水线(PipeLine),其中,入站处理程序(Inbound Handler)用于处理入站事件,Outbound Handler(出站处理程序)用于处理出站事件。其中,每个节点的处理程序(Handler)可以为该流程中的具体处理程序。
在平台的程序中,HTTPS的请求流程可以为一套PipeLine。图4为HTTPS头增强技术解析流程图,如图4所示,箭头指向就是HTTPS的请求,从建立连接,接受请求消息,到输出响应,层层流水线处理。具体的流程包括:终端设备发送HTTPS请求,则调用套接字读函数(Socket read())来读取SSL协议并对HTTPS请求进行加密,且终端设备发送Client Hello消息给Extra5gHandler(附加5G处理程序),Extra5gHandler解析Client Hello消息,将解析的用户信息缓存入PipeLine的通道处理程序文本(ChannelHandlerContext)中得到处理后的Client Hello消息,然后将处理后的Client Hello消息发送给SslHandler,鉴权识别平台在SslHandler中使用安全套接字协议实现(OpenSsl)模块解析处理后的Client Hello消息,并将解析出来的用户信息存入安全套接字协议会话(Ssl Session)中,同时通过传输控制协议解码处理程序(HttpDecoderHandler)解密经过SSL加密的请求内容,并从SslSession中取出用户信息,鉴权识别平台进行HTTP具体业务的处理即根据用户信息生成鉴权码。业务处理完成后,鉴权识别平台返回响应消息即鉴权码给终端设备,并将该响应消息通过传输控制协议加密处理程序(HttpDecoderHandler)进行加密,最后经过SslHandler进行响应信息的解析,调用套接字写函数(Socket write())将响应信息写入终端设备,终端设备接收到鉴权识别平台发送的响应信息。
示例性的,在修改原本的HTTPS的管道(ChannelPipeline)时,可以在入站事件前加一层Inbound Handler,用于解析头增强的数据,并还原Client Hello消息,传递到下一层SslHandler中。因为安全套接字协议会话(Ssl Session)是在SslHandler握手过程中产生的,因此在这一层Handler中,将用户数据存入Ssl Session,最终传给业务处理程序进行具体业务处理。
在该系统中,终端设备101,还用于将鉴权码发送给商家服务器102。
具体的,在鉴权识别平台104将鉴权码发送给终端设备101后,终端设备101再将鉴权码发送给商家服务器102。
在该系统中,商家服务器102,用于根据鉴权码和第一用户信息确定登录结果,登录结果包括允许登录和拒绝登录。
具体的,商家服务器102根据终端设备101发送的鉴权码和发送的登录请求中携带的第一用户信息,来确定是否允许终端设备101登录。
示例性的,该商家服务器102,具体用于根据鉴权码,从鉴权识别平台104获取与鉴权码对应的第二用户信息,并根据第一用户信息和第二用户信息,确定登录结果。
其中,商家服务器102可以通过加密通讯接口接入到鉴权识别平台104,并向鉴权识别平台104发出查询消息,鉴权识别平台104对商家服务器102身份验证通过后,将鉴权码关联的第二用户信息返回给商家服务器102。
具体的,图5为商家服务器102从鉴权识别平台104获取第二用户信息的流程图。如图5所示,商家服务器102通过加密通讯接口接入到鉴权识别平台104后,商家服务器102根据鉴权码向鉴权识别平台104发送查询消息,鉴权识别平台104根据查询消息查询与鉴权码对应的第二用户信息,商家服务器102根据鉴权识别平台104发送的第二用户信息与第一用户信息进行比对,进而确定登录结果。
在该系统中,商家服务器102根据终端设备101发送的鉴权码,向鉴权识别平台104查询与该鉴权码对应的第二用户信息,在用户通过终端设备101登录商家服务器102的过程中,商家服务器102通过验证终端设备101发送的鉴权码来确定登录结果,可以省去现有技术中的商家服务器102发送验证码和用户通过终端设备101填写验证码的阶段,并且商家服务器102通过加密通信接口查询鉴权码对应的第二用户信息,可以保证用户信息不被泄露。因此,可以避免验证码被拦截和用户信息被盗用,以提高系统的安全性,并且不需要用户手动填写验证码,可以提高用户体验。
示例性的,该商家服务器102,具体用于比较第二用户信息和第一用户信息是否一致,若一致,则确定登录结果为允许登录,若不一致,则确定登录结果为拒绝登录。
具体的,商家服务器102比较第一用户信息与第二用户信息是否一致,若一致,则允许终端设备101登录,若不一致,则拒绝终端设备101登录。
在该系统中,通过比较第一用户信息与第二用户信息是否一致,可以判断用户所使用的终端设备101对应的用户信息与用户的登录信息是否一致,进而来确定用户是否有权登录商家服务器102,可以保证商家服务器102不能被随意登录,提高商家服务器102的安全性。
示例性的,该商家服务器102,还用于在确定登录结果为拒绝登录时,向终端设备101发送通知消息,通知消息用于指示登录失败。
具体的,当第一用户信息与第二用户信息不一致时,登录结果为拒绝登录,此时,商家服务器102向终端设备101发送用于指示登录失败的通知消息。通知消息中也可以携带登录失败的原因,以使用户可以通过信息修改等操作重新登录商家服务器102,以保证用户及时登录商家服务器102,提高用户体验。
本申请实施例提供的信息登录系统,包括:终端设备、商家服务器、UPF和鉴权识别平台,其中,终端设备、商家服务器、UPF和鉴权识别平台之间存在通信连接。终端设备,用于在接收到用户触发的登录指令时,向商家服务器发送登录请求,并根据商家服务器返回的响应消息,向UPF发送Client Hello消息,登录请求中包括第一用户信息;UPF,用于根据Client Hello消息确定第二用户信息,并向鉴权识别平台发送处理后的Client Hello消息,处理后的Client Hello消息中包括第二用户信息;鉴权识别平台,用于根据第二用户信息生成鉴权码,并根据处理后的Client Hello消息还原Client Hello消息,通过基于还原的Client Hello消息建立的HTTPS连接将鉴权码发送给终端设备;终端设备,还用于将鉴权码发送给商家服务器;商家服务器,用于根据鉴权码和第一用户信息确定登录结果,登录结果包括允许登录和拒绝登录。该系统中,通过UPF确定第二用户信息,并根据第二用户信息生成鉴权码,将该对应第二用户信息的鉴权码再返回给用户对应的终端设备,终端设备在访问商家服务器时,凭借鉴权码进行登录,商家服务器根据鉴权码到鉴权识别平台查询用户第一信息,根据查询到的第一用户信息来核实用户身份,进而完成鉴权登录操作。该方式不需用户进行额外操作,可实现一键登录,操作简单,可以提高认证效率,且凭借鉴权码进行用户身份的识别,不存在用户信息泄露的风险,安全性较高。
图6为本申请实施例提供的一种信息登录方法的信令交互图,该信息登录方法可以应用于如图1所示的信息登录系统中,该信息登录方法可以由软件和/或硬件装置执行。示例的,请参见图6所示,该信息登录方法可以包括:
S601、终端设备在接收到用户触发的登录指令时,向商家服务器发送登录请求。
在本步骤中,登录请求中包括第一用户信息,第一用户信息可以理解为触发登录指令的用户的信息。
具体的,若用户要登录商家服务器,会触发登录指令,此时,终端设备向商家服务器发送登录请求,商家服务器返回响应消息给终端设备要求通过鉴权识别平台对用户进行鉴权,则需要在终端设备和鉴权识别平台之间建立HTTPS连接。
S602、终端设备根据商家服务器返回的响应消息,向UPF发送Client Hello消息。
具体的,商家服务器返回响应消息给终端设备要求通过鉴权识别平台对用户进行鉴权后,终端设备发送Client Hello消息给鉴权识别平台,Client Hello消息首先经过UPF。
S603、UPF根据Client Hello消息确定第二用户信息。
具体的,Client Hello消息到达UPF后,UPF根据Client Hello消息确定第二用户信息。
S604、UPF向鉴权识别平台发送处理后的Client Hello消息。
在本步骤中,处理后的Client Hello消息中包括第二用户信息,第二用户信息可以理解为当HTTPS连接请求经过UPF时,获取到的用户信息。
具体的,UPF根据第二用户信息对Client Hello消息进行处理,最后向鉴权识别平台发送处理后的Client Hello消息。
示例性的,UPF在接收终端设备发送的Client Hello消息后,在Client Hello消息中增加头增强字段,并将第二用户信息添加在头增强字段中,得到处理后的Client Hello消息,向鉴权识别平台发送处理后的Client Hello消息。
具体的,UPF在接收到Client Hello消息后,根据Client Hello消息的SNI域名或者IP地址在Client Hello报文中插入头增强字段,并将第二用户信息添加在头增强字段中,得到处理后的Client Hello消息。
在本方案中,通过UPF 103获取第二用户信息,并将第二用户信息添加到头增强字段中,以对用户信息进行加密处理,保证HTTPS连接过程中的安全性。
S605、鉴权识别平台根据第二用户信息生成鉴权码,并根据处理后的ClientHello消息还原Client Hello消息。
在本步骤中,其中,鉴权码与第二用户信息一一对应,并且鉴权识别平台将鉴权码和第二用户信息的对应关系进行存储。
具体的,鉴权识别平台接收到处理后的Client Hello消息后,鉴权识别平台根据处理后的Client Hello消息中的第二用户信息生成鉴权码,并将处理后的Client Hello消息还原回原来的Client Hello消息。
S606、鉴权识别平台通过基于还原的Client Hello消息建立的HTTPS连接将鉴权码发送给终端设备。
具体的,基于还原的Client Hello消息,将终端设备和鉴权识别平台之间建立HTTPS连接,建立HTTPS连接后,鉴权识别平台将鉴权码发送给终端设备。
示例性的,鉴权识别平台在根据第二用户信息生成鉴权码时,解析处理后的Client Hello消息中的头增强字段,获得第二用户信息,根据第二用户信息生成鉴权码。
具体的,鉴权识别平台接收到处理后的Client Hello消息后,解析处理后的Client Hello消息中的头增强字段,提取到第二用户信息,并根据第二用户信息生成鉴权码。
在本方案中,通过UPF将第二用户信息增加至头增强字段中,将第二用户信息进行加密,然后鉴权识别平台通过解析该处理后的Client Hello消息来获取第二用户信息,可以保证用户信息不被泄露,进而避免用户信息被盗用,提高登录过程中的安全性。
S607、终端设备将鉴权码发送给商家服务器。
在本步骤中,在鉴权识别平台将鉴权码发送给终端设备后,终端设备再将鉴权码发送给商家服务器。
S608、商家服务器根据鉴权码和第一用户信息确定登录结果,登录结果包括允许登录和拒绝登录。
在本步骤中,商家服务器根据终端设备发送的鉴权码和发送的登录请求中携带的第一用户信息,来确定是否允许终端设备登录。
示例性的,商家服务器在根据鉴权码和第一用户信息确定登录结果时,首先根据鉴权码,从鉴权识别平台获取与鉴权码对应的第二用户信息,然后根据第一用户信息和第二用户信息,确定登录结果。
具体的,商家服务器可以通过加密通讯接口接入到鉴权识别平台,并根据鉴权码,从鉴权识别平台获取与该鉴权码对应的第二用户信息,然后与终端设备发送的登录请求中携带的第一用户信息进行比对,进而确定登录结果。
在本方案中,商家服务器根据终端设备发送的鉴权码,向鉴权识别平台查询与该鉴权码对应的第二用户信息,在用户通过终端设备登录商家服务器的过程中,商家服务器通过验证终端设备发送的鉴权码来确定登录结果,可以省去现有技术中的商家服务器发送验证码和用户通过终端设备填写验证码的阶段,并且商家服务器通过加密通信接口查询鉴权码对应的第二用户信息,可以保证用户信息不被泄露。因此,可以避免验证码被拦截和用户信息被盗用,可以提高系统的安全性,并且不需要用户手动填写验证码,可以提高用户体验。
示例性的,从鉴权识别平台获取与鉴权码对应的第二用户信息时,向鉴权识别平台发送查询消息,查询消息中包括鉴权码,查询消息用于指示鉴权识别平台查询与鉴权码对应的第二用户信息,接收鉴权识别平台发送的第二用户信息。
具体的,商家服务器根据鉴权码向鉴权识别平台发送查询消息,鉴权识别平台根据查询消息查询与鉴权码对应的第二用户信息,商家服务器根据鉴权识别平台发送的第二用户信息与第一用户信息进行比对,进而确定登录结果。
在本方案中,商家服务器根据终端设备发送的鉴权码,向鉴权识别平台发送查询消息,鉴权识别平台根据该查询消息查询与该鉴权码对应的第二用户信息,在用户通过终端设备登录商家服务器的过程中,商家服务器通过携带鉴权码的查询消息终端设备发送的鉴权码来确定登录结果,可以省去现有技术中的商家服务器发送验证码和用户通过终端设备填写验证码的阶段,并且商家服务器通过加密通信接口查询鉴权码对应的第二用户信息,可以保证用户信息不被泄露。因此,可以避免验证码被拦截和用户信息被盗用,以提高系统的安全性,并且不需要用户手动填写验证码,可以提高用户体验。
示例性的,商家服务器在根据第一用户信息和第二用户信息,确定登录结果时,比较第二用户信息和第一用户信息是否一致,若一致,则确定登录结果为允许登录;若不一致,则确定登录结果为拒绝登录。
具体的,商家服务器比较第一用户信息与第二用户信息是否一致,若一致,则允许终端设备登录,若不一致,则拒绝终端设备登录。
在本方案中,通过比较第一用户信息与第二用户信息是否一致,可以判断用户所使用的终端设备对应的用户信息与用户的登录信息是否一致,进而来确定用户是否有权登录商家服务器,可以保证商家服务器不能被随意登录,提高商家服务器的安全性。
示例性的,若第二用户信息和第一用户信息不一致,即在确定登录结果为拒绝登录时,商家服务器向终端设备发送通知消息,通知消息用于指示登录失败。
具体的,当第一用户信息与第二用户信息不一致时,登录结果为拒绝登录,此时,商家服务器向终端设备发送用于指示登录失败的通知消息。
在本方案中,通知消息中也可以携带登录失败的原因,以使用户可以通过信息修改等操作重新登录商家服务器,以保证用户及时登录商家服务器,提高用户体验。
本申请实施例提供的信息登录方法,通过终端设备向商家服务器发送包括第一用户信息的登录请求,并根据商家服务器返回的响应消息,向UPF发送Client Hello消息,UPF根据Client Hello消息确定第二用户信息,并向鉴权识别平台发送处理后的Client Hello消息,处理后的Client Hello消息中包括第二用户信息,鉴权识别平台根据第二用户信息生成鉴权码,并根据处理后的Client Hello消息还原Client Hello消息,通过基于还原的Client Hello消息建立的HTTPS连接将鉴权码发送给终端设备,终端设备将鉴权码发送给商家服务器,商家服务器根据鉴权码和第一用户信息确定登录结果。该方法通过UPF确定第二用户信息,并根据第二用户信息生成鉴权码,将该对应第二用户信息的鉴权码再返回给用户对应的终端设备,终端设备在访问商家服务器时,凭借鉴权码进行登录,商家服务器根据鉴权码到鉴权识别平台查询用户第一信息,根据查询到的第一用户信息来核实用户身份,进而完成鉴权登录操作。该方法不需用户进行额外操作,可实现一键登录,操作简单,可以提高认证效率,且凭借鉴权码进行用户身份的识别,不存在用户信息泄露的风险,安全性较高。
图7为本申请实施例提供的一种电子设备70的结构示意图,示例的,请参见图7所示,该电子设备70可以包括处理器701和存储器702;其中,
存储器702,用于存储计算机程序。
处理器701,用于读取存储器702存储的计算机程序,并根据存储器702中的计算机程序执行上述实施例中的信息登录方法。
可选的,存储器702既可以是独立的,也可以跟处理器701集成在一起。当存储器702是独立于处理器701之外的器件时,电子设备70还可以包括:总线,用于连接存储器702和处理器701。
可选的,本实施例还包括:通信接口,该通信接口可以通过总线与处理器701连接。处理器701可以控制通信接口来实现上述电子设备70的获取和发送的功能。
示例的,在本申请实施例中,电子设备70可以为终端,也可以为服务器,具体可以根据实际需要进行设置。
本申请实施例所示的电子设备70,可以执行上述实施例中的信息登录方法的技术方案,其实现原理以及有益效果与信息登录方法的实现原理及有益效果类似,可参见信息登录方法的实现原理及有益效果,此处不再进行赘述。
本申请实施例还提供一种计算机可读存储介质,该计算机可读存储介质中存储有计算机执行指令,当处理器执行所述计算机执行指令时,实现上述实施例中的信息登录方法的技术方案,其实现原理以及有益效果与信息登录方法的实现原理及有益效果类似,可参见信息登录方法的实现原理及有益效果,此处不再进行赘述。
本申请实施例还提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时,实现上述实施例中的信息登录方法的技术方案,其实现原理以及有益效果与信息登录方法的实现原理及有益效果类似,可参见信息登录方法的实现原理及有益效果,此处不再进行赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所展示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元展示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能模块的形式实现的集成的模块,可以存储在一个计算机可读取存储介质中。上述软件功能模块存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本申请各个实施例方法的部分步骤。
应理解的是,上述处理器可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合发明所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
存储器可能包含高速随机取存存储器(Random Access Memory,RAM),也可能还包括非易失性存储(Non-Volatile Memory,NVM),例如至少一个磁盘存储器,还可以为U盘、移动硬盘、只读存储器、磁盘或光盘等。
总线可以是工业标准体系结构(Industry Standard Architecture,ISA)总线、外部设备互连(Peripheral Component,PCI)总线或扩展工业标准体系结构(ExtendedIndustry Standard Architecture,EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,本申请附图中的总线并不限定仅有一根总线或一种类型的总线。
上述计算机可读存储介质可以是由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(Static Random-Access Memory,SRAM),电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM),可擦除可编程只读存储器(Erasable Programmable Read-Only Memory,EPROM),可编程只读存储器(Programmable Read-Only Memory,PROM),只读存储器(Read-OnlyMemory,ROM),磁存储器,快闪存储器,磁盘或光盘。存储介质可以是通用或专用计算机能够存取的任何可用介质。
最后应说明的是:以上各实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述各实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。
Claims (20)
1.一种信息登录系统,其特征在于,包括:终端设备、商家服务器、用户面功能UPF和鉴权识别平台,其中,所述终端设备、所述商家服务器、所述UPF和所述鉴权识别平台之间存在通信连接;
所述终端设备,用于在接收到用户触发的登录指令时,向所述商家服务器发送登录请求,并根据所述商家服务器返回的响应消息,向所述UPF发送Client Hello消息,所述登录请求中包括第一用户信息;
所述UPF,用于根据所述Client Hello消息确定第二用户信息,并向所述鉴权识别平台发送处理后的Client Hello消息,所述处理后的Client Hello消息中包括所述第二用户信息;
所述鉴权识别平台,用于根据所述第二用户信息生成鉴权码,并根据所述处理后的Client Hello消息还原所述Client Hello消息,通过基于还原的所述Client Hello消息建立的超文本传输安全协议HTTPS连接将所述鉴权码发送给所述终端设备;
所述终端设备,还用于将所述鉴权码发送给所述商家服务器;
所述商家服务器,用于根据所述鉴权码和所述第一用户信息确定登录结果,所述登录结果包括允许登录和拒绝登录。
2.根据权利要求1所述的系统,其特征在于,所述UPF,具体用于在所述Client Hello消息中增加头增强字段,将所述第二用户信息添加在所述头增强字段中,得到所述处理后的Client Hello消息。
3.根据权利要求2所述的系统,其特征在于,所述鉴权识别平台,具体用于解析所述处理后的Client Hello消息中的头增强字段,获得所述第二用户信息,并根据所述第二用户信息生成鉴权码。
4.根据权利要求1-3任一项所述的系统,其特征在于,所述商家服务器,具体用于根据所述鉴权码,从所述鉴权识别平台获取与所述鉴权码对应的第二用户信息,并根据所述第一用户信息和所述第二用户信息,确定所述登录结果。
5.根据权利要求4所述的系统,其特征在于,所述商家服务器,具体用于比较所述第二用户信息和所述第一用户信息是否一致,若一致,则确定所述登录结果为允许登录,若不一致,则确定所述登录结果为拒绝登录。
6.根据权利要求5所述的系统,其特征在于,所述商家服务器,还用于在确定所述登录结果为拒绝登录时,向所述终端设备发送通知消息,所述通知消息用于指示登录失败。
7.一种信息登录方法,其特征在于,应用于终端设备,所述方法包括:
在接收到用户触发的登录指令时,向商家服务器发送登录请求,所述登录请求中包括第一用户信息;
接收所述商家服务器发送的响应消息,并根据所述响应消息,向用户面功能UPF发送Client Hello消息;
接收鉴权识别平台通过基于Client Hello消息建立的超文本传输安全协议HTTPS连接发送的鉴权码,所述鉴权码为所述UPF根据所述Client Hello消息确定出第二用户信息,并向鉴权识别平台发送处理后的Client Hello消息后,所述鉴权识别平台根据所述处理后的Client Hello消息中的第二用户信息生成的;
将所述鉴权码发送给所述商家服务器,所述鉴权码用于指示所述商家服务器根据所述鉴权码和所述第一用户信息确定登录结果,所述登录结果包括允许登录和拒绝登录。
8.根据权利要求7所述的方法,其特征在于,所述方法还包括:
接收所述商家服务器发送的通知消息,所述通知消息用于指示登录失败,所述通知消息为所述商家服务器在确定所述登录结果为拒绝登录时发送的。
9.一种信息登录方法,其特征在于,应用于商家服务器,所述方法包括:
接收终端设备发送的登录请求,所述登录请求中包括第一用户信息;
向所述终端设备发送响应消息,所述响应消息用于指示所述终端设备向用户面功能UPF发送Client Hello消息;
接收所述终端设备发送的鉴权码,所述鉴权码为所述UPF根据所述Client Hello消息确定出第二用户信息,并向鉴权识别平台发送处理后的Client Hello消息后,所述鉴权识别平台根据所述处理后的Client Hello消息中的第二用户信息生成,并通过基于所述Client Hello消息建立的超文本传输安全协议HTTPS连接发送给所述终端设备的;
根据所述鉴权码和所述第一用户信息确定登录结果,所述登录结果包括允许登录和拒绝登录。
10.根据权利要求9所述的方法,其特征在于,所述根据所述鉴权码和所述第一用户信息确定登录结果,包括:
根据所述鉴权码,从所述鉴权识别平台获取与所述鉴权码对应的第二用户信息;
根据所述第一用户信息和所述第二用户信息,确定所述登录结果。
11.根据权利要求10所述的方法,其特征在于,所述根据所述第一用户信息和所述第二用户信息,确定所述登录结果,包括:
比较所述第二用户信息和所述第一用户信息是否一致;
若一致,则确定所述登录结果为允许登录;
若不一致,则确定所述登录结果为拒绝登录。
12.根据权利要求10或11所述的方法,其特征在于,所述从所述鉴权识别平台获取与所述鉴权码对应的第二用户信息,包括:
向所述鉴权识别平台发送查询消息,所述查询消息中包括所述鉴权码,所述查询消息用于指示所述鉴权识别平台查询与所述鉴权码对应的第二用户信息;
接收所述鉴权识别平台发送的第二用户信息。
13.根据权利要求9-11任一项所述的方法,其特征在于,所述方法还包括:
在确定所述登录结果为拒绝登录时,向所述终端设备发送通知消息,所述通知消息用于指示登录失败。
14.一种信息登录方法,其特征在于,应用于鉴权识别平台,所述方法包括:
接收用户面功能UPF发送的处理后的Client Hello消息,所述处理后的Client Hello消息中包括第二用户信息;
根据所述第二用户信息生成鉴权码;
根据所述处理后的Client Hello消息还原所述Client Hello消息,并根据还原后的所述Client Hello消息建立超文本传输安全协议HTTPS连接;
基于所述HTTPS连接将所述鉴权码发送给终端设备,以使所述终端设备将所述鉴权码发送给商家服务器,以供所述商家服务器根据所述鉴权码和第一用户信息确定登录结果,所述登录结果包括允许登录和拒绝登录,所述第一用户信息为所述终端设备发送给所述商家服务器的。
15.根据权利要求14所述的方法,其特征在于,所述根据所述第二用户信息生成鉴权码,包括:
解析所述处理后的Client Hello消息中的头增强字段,获得所述第二用户信息;
根据所述第二用户信息生成所述鉴权码。
16.根据权利要求14或15所述的方法,其特征在于,所述方法还包括:
接收所述商家服务器发送的查询消息,所述查询消息中包括所述鉴权码;
根据所述查询消息,查询与所述鉴权码对应的第二用户信息;
将所述第二用户信息发送给所述商家服务器。
17.一种信息登录方法,其特征在于,应用于用户面功能UPF,所述方法包括:
接收终端设备发送的Client Hello消息;
根据所述Client Hello消息确定第二用户信息;
向鉴权识别平台发送处理后的Client Hello消息,所述处理后的Client Hello消息中包括所述第二用户信息。
18.根据权利要求17所述的方法,其特征在于,所述向鉴权识别平台发送处理后的Client Hello消息,包括:
在所述Client Hello消息中增加头增强字段,并将所述第二用户信息添加在所述头增强字段中,得到所述处理后的Client Hello消息;
向所述鉴权识别平台发送所述处理后的Client Hello消息。
19.一种电子设备,其特征在于,包括:存储器和处理器;
所述存储器,用于存储计算机程序;
所述处理器,用于读取所述存储器存储的计算机程序,并根据所述存储器中的计算机程序执行上述权利要求7-18任一项所述的信息登录方法。
20.一种可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如上述权利要求7-18任一项所述的信息登录方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210358958.2A CN114826692B (zh) | 2022-04-07 | 2022-04-07 | 信息登录系统、方法、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210358958.2A CN114826692B (zh) | 2022-04-07 | 2022-04-07 | 信息登录系统、方法、电子设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114826692A true CN114826692A (zh) | 2022-07-29 |
CN114826692B CN114826692B (zh) | 2023-11-07 |
Family
ID=82535173
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210358958.2A Active CN114826692B (zh) | 2022-04-07 | 2022-04-07 | 信息登录系统、方法、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114826692B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116156497A (zh) * | 2022-12-13 | 2023-05-23 | 中国联合网络通信集团有限公司 | 一种网关认证方法、装置及存储介质 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102196434A (zh) * | 2010-03-10 | 2011-09-21 | 中国移动通信集团公司 | 无线局域网终端认证方法及系统 |
CN107086979A (zh) * | 2016-02-15 | 2017-08-22 | 中国移动通信集团江苏有限公司 | 一种用户终端验证登录方法及装置 |
CN110278178A (zh) * | 2018-03-15 | 2019-09-24 | 中国移动通信集团有限公司 | 一种登录方法、设备及可读存储介质 |
WO2020035046A1 (zh) * | 2018-08-16 | 2020-02-20 | 新华三技术有限公司 | 访问认证方法、装置及认证设备 |
CN110858834A (zh) * | 2018-08-23 | 2020-03-03 | 中国电信股份有限公司 | 用户信息传输方法、装置、系统和计算机可读存储介质 |
CN112020057A (zh) * | 2019-05-30 | 2020-12-01 | 中国电信股份有限公司 | 识别报文的方法及系统 |
CN113169937A (zh) * | 2018-12-21 | 2021-07-23 | 瑞典爱立信有限公司 | 用户数据业务处理 |
US20210235268A1 (en) * | 2018-06-01 | 2021-07-29 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and nodes for authentication of a tls connection |
CN113691547A (zh) * | 2021-08-27 | 2021-11-23 | 浙江九州云信息科技有限公司 | 一种5g upf网元的https头增强方法 |
CN113890765A (zh) * | 2021-10-28 | 2022-01-04 | 中国电信股份有限公司 | 用于互联网应用的免密认证方法、系统和存储介质 |
-
2022
- 2022-04-07 CN CN202210358958.2A patent/CN114826692B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102196434A (zh) * | 2010-03-10 | 2011-09-21 | 中国移动通信集团公司 | 无线局域网终端认证方法及系统 |
CN107086979A (zh) * | 2016-02-15 | 2017-08-22 | 中国移动通信集团江苏有限公司 | 一种用户终端验证登录方法及装置 |
CN110278178A (zh) * | 2018-03-15 | 2019-09-24 | 中国移动通信集团有限公司 | 一种登录方法、设备及可读存储介质 |
US20210235268A1 (en) * | 2018-06-01 | 2021-07-29 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and nodes for authentication of a tls connection |
WO2020035046A1 (zh) * | 2018-08-16 | 2020-02-20 | 新华三技术有限公司 | 访问认证方法、装置及认证设备 |
CN110858834A (zh) * | 2018-08-23 | 2020-03-03 | 中国电信股份有限公司 | 用户信息传输方法、装置、系统和计算机可读存储介质 |
CN113169937A (zh) * | 2018-12-21 | 2021-07-23 | 瑞典爱立信有限公司 | 用户数据业务处理 |
CN112020057A (zh) * | 2019-05-30 | 2020-12-01 | 中国电信股份有限公司 | 识别报文的方法及系统 |
CN113691547A (zh) * | 2021-08-27 | 2021-11-23 | 浙江九州云信息科技有限公司 | 一种5g upf网元的https头增强方法 |
CN113890765A (zh) * | 2021-10-28 | 2022-01-04 | 中国电信股份有限公司 | 用于互联网应用的免密认证方法、系统和存储介质 |
Non-Patent Citations (1)
Title |
---|
NOKIA: "S3-181580 \"Collection of editorial corrections\"", 3GPP TSG_SA\\WG3_SECURITY, no. 3, pages 2 - 4 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116156497A (zh) * | 2022-12-13 | 2023-05-23 | 中国联合网络通信集团有限公司 | 一种网关认证方法、装置及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN114826692B (zh) | 2023-11-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11270314B2 (en) | Systems and methods for providing notifications to devices | |
JP6514218B2 (ja) | 社会関係データを用いたクライアント認証 | |
US8887292B2 (en) | Method for encrypting and embedding information in a URL for content delivery | |
JP4709721B2 (ja) | 通信サービスのためのサードパーティアクセスゲートウェイ | |
US8832782B2 (en) | Single sign-on system and method | |
US11196561B2 (en) | Authorized data sharing using smart contracts | |
US11829502B2 (en) | Data sharing via distributed ledgers | |
WO2019062666A1 (zh) | 一种实现安全访问内部网络的系统、方法和装置 | |
CN112333198A (zh) | 安全跨域登录方法、系统及服务器 | |
US10262146B2 (en) | Application-to-application messaging over an insecure application programming interface | |
US10805083B1 (en) | Systems and methods for authenticated communication sessions | |
US11811739B2 (en) | Web encryption for web messages and application programming interfaces | |
CN109309684A (zh) | 一种业务访问方法、装置、终端、服务器及存储介质 | |
CN109040069A (zh) | 一种云应用程序的发布方法、发布系统及访问方法 | |
CN103401686A (zh) | 一种用户互联网身份认证系统及其应用方法 | |
US11539711B1 (en) | Content integrity processing on browser applications | |
CN111211902A (zh) | 一种基于企业浏览器实现的数字签名方法和装置 | |
CN111177736A (zh) | 一种数据存储和访问的系统、方法和装置 | |
CN114826692B (zh) | 信息登录系统、方法、电子设备及存储介质 | |
CN115766134A (zh) | 一种api网关统一鉴权的方法和装置 | |
CN116074028A (zh) | 加密流量的访问控制方法、装置及系统 | |
CN107612691A (zh) | 认证信息传输方法和装置以及用户信息认证系统 | |
CN102318376A (zh) | 用于实现隐私控制的方法和系统 | |
RU2740308C1 (ru) | Способ идентификации онлайн-пользователя и его устройства | |
CN115361683B (zh) | 一种业务访问方法、sim卡、服务器及业务平台 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |