CN115935318B - 一种信息处理方法、装置、服务器、客户端及存储介质 - Google Patents
一种信息处理方法、装置、服务器、客户端及存储介质 Download PDFInfo
- Publication number
- CN115935318B CN115935318B CN202211689672.9A CN202211689672A CN115935318B CN 115935318 B CN115935318 B CN 115935318B CN 202211689672 A CN202211689672 A CN 202211689672A CN 115935318 B CN115935318 B CN 115935318B
- Authority
- CN
- China
- Prior art keywords
- key
- token
- operation module
- client
- credential
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000010365 information processing Effects 0.000 title claims abstract description 47
- 238000003672 processing method Methods 0.000 title claims abstract description 36
- 238000013475 authorization Methods 0.000 claims abstract description 83
- 238000012545 processing Methods 0.000 claims abstract description 69
- 238000000034 method Methods 0.000 claims abstract description 60
- 238000012795 verification Methods 0.000 claims abstract description 34
- 230000008569 process Effects 0.000 claims abstract description 27
- 230000015654 memory Effects 0.000 claims description 33
- 238000004590 computer program Methods 0.000 claims description 12
- 230000007246 mechanism Effects 0.000 claims description 7
- 230000004044 response Effects 0.000 claims description 7
- 238000010200 validation analysis Methods 0.000 claims description 7
- 239000000758 substrate Substances 0.000 claims 1
- 238000004891 communication Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 3
- 238000013461 design Methods 0.000 description 2
- 230000010354 integration Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 210000003462 vein Anatomy 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 230000001815 facial effect Effects 0.000 description 1
Landscapes
- Storage Device Security (AREA)
Abstract
本申请提供一种信息处理方法、装置、服务器、客户端及存储介质。所述方法包括:凭据认证模块获取客户端发送的请求信息,其中,请求信息包括:密钥使用授权信息、客户端的用户提交的第一凭据、第一密钥标识和待处理数据,密钥使用授权信息用于描述授权对象被允许使用指定密钥;凭据认证模块在基于授权对象验证所述第一凭据合法,以及第一密钥标识对应的第一密钥与指定密钥一致的情况下,生成第一令牌;密钥运算模块在基于令牌验证数据检查所述第一令牌合法的情况下,基于第一密钥处理所述待处理数据,得到处理结果;密钥运算模块将所述处理结果发送至所述客户端。本申请实施例能够实现通过授权多种对象来控制密钥的使用。
Description
技术领域
本申请涉及信息安全技术领域,特别涉及一种信息处理方法、装置、服务器、客户端及存储介质。
背景技术
在信息安全领域中,用户需要使用特定密钥来对目标任务处理,如使用特定密钥实施数字签名或者数据解密等工作。但是目前来说,特定密钥的使用往往受到多种限制。例如,当特定密钥是属于公司的密钥时,处理人有时需要代表公司处理业务,这时处理人需要获取到相应的特定密钥。但特定密钥在给予处理人之后公司就不能再对其进行有效控制,这种使用特定密钥的方式会产生安全隐患。并且,特定密钥放在用户侧本身也会使得特定密钥的安全性受到影响。
发明内容
有鉴于现有技术中存在的上述至少一个技术问题而提了本申请。根据本申请一方面,提供了一种信息处理方法,应用于服务器侧,所述服务器侧包括凭据认证模块和密钥运算模块,所述方法包括:
凭据认证模块获取客户端发送的请求信息,其中,所述请求信息包括:密钥使用授权信息、所述客户端的用户提交的第一凭据、第一密钥标识和待处理数据,所述密钥使用授权信息用于描述授权对象被允许使用指定密钥;
凭据认证模块在基于所述授权对象验证所述第一凭据合法,以及所述第一密钥标识对应的第一密钥与所述指定密钥一致的情况下,生成第一令牌,其中,所述第一令牌包括:所述第一密钥标识、令牌验证数据;
密钥运算模块在基于所述令牌验证数据检查所述第一令牌合法的情况下,基于所述第一密钥处理所述待处理数据,得到处理结果;
密钥运算模块将所述处理结果发送至所述客户端。
在一些实施例中,所述授权对象包括以下至少一种:密钥、密码、生物特征。
在一些实施例中,在所述授权对象包括密钥的情况下,凭据认证模块基于挑战响应机制验证所述第一凭据;和/或
在所述授权对象包括密码的情况下,凭据认证模块基于安全远程密码协议验证所述第一凭据;和/或
在所述授权对象包括生物特征的情况下,凭据认证模块基于生物识别技术验证所述第一凭据。
在一些实施例中,所述令牌验证数据包括:利用属于所述凭据认证模块的第二密钥的私钥计算得到的第一令牌的签名信息,
密钥运算模块基于所述令牌验证数据检查所述第一令牌是否合法,包括:
密钥运算模块基于所述第一令牌的签名信息、所述第二密钥的公钥验证所述第一令牌;
或者,
所述令牌验证数据包括:利用第三密钥计算得到的第一令牌的校验值;其中,所述第三密钥为所述凭据认证模块和密钥运算模块预先协商的密钥;
密钥运算模块基于所述令牌验证数据检查所述第一令牌是否合法,包括:
密钥运算模块基于所述第一令牌的校验值、所述第三密钥验证所述第一令牌。
在一些实施例中,所述令牌验证数据还包括:时间戳;
密钥运算模块基于所述令牌验证数据检查所述第一令牌是否合法,还包括:密钥运算模块验证所述时间戳是否处于预设的有效时间内。
在一些实施例中,所述第一令牌还包括:第一规则,所述第一规则为所述密钥运算模块和所述客户端共享的规则;
密钥运算模块基于所述第一密钥处理所述待处理数据,得到处理结果,包括:
密钥运算模块使用所述第一密钥处理所述待处理数据,得到第一结果;
密钥运算模块基于第一规则处理所述第一结果,得到所述处理结果。
本申请实施例另一方面提供了一种信息处理方法,应用于服务器侧,所述方法包括:
获取客户端发送的请求信息,其中,所述请求信息包括:密钥使用授权信息、所述客户端的用户提交的第一凭据、第一密钥标识和待处理数据,所述密钥使用授权信息用于描述授权对象被允许使用指定密钥,所述授权对象包括以下至少一种:密码、生物特征;
在基于所述授权对象验证所述第一凭据合法,以及所述第一密钥标识对应的第一密钥与所述指定密钥一致的情况下,基于所述第一密钥处理所述待处理数据,得到处理结果;
将所述处理结果发送至所述客户端。
本申请实施例另一方面提供了一种信息处理方法,应用于客户端,所述方法包括:
向服务器侧发送请求信息,其中,所述请求信息包括:密钥使用授权信息、所述客户端的用户提交的第一凭据、第一密钥标识和待处理数据,所述密钥使用授权信息用于描述授权对象被允许使用指定密钥,所述授权对象包括以下至少一种:密码、生物特征;
接收来自所述服务器侧的处理结果,其中,所述处理结果是所述服务器侧在基于所述授权对象验证所述第一凭据合法,以及所述第一密钥标识对应的第一密钥与所述指定密钥一致的情况下,基于所述第一密钥处理所述待处理数据而得到的。
本申请实施例另一方面提供了一种信息处理装置,所述信息处理装置位于服务器侧,包括凭据认证模块和密钥运算模块;其中,
所述凭据认证模块,用于获取客户端发送的请求信息,其中,所述请求信息包括:密钥使用授权信息、所述客户端的用户提交的第一凭据、第一密钥标识和待处理数据,所述密钥使用授权信息用于描述授权对象被允许使用指定密钥;
所述凭据认证模块,还用于在基于所述授权对象验证所述第一凭据合法,以及所述第一密钥标识对应的第一密钥与所述指定密钥一致的情况下,生成第一令牌,其中,所述第一令牌包括:所述第一密钥标识、令牌验证数据;
所述密钥运算模块,用于在基于所述令牌验证数据检查所述第一令牌合法的情况下,基于所述第一密钥处理所述待处理数据,得到处理结果;
所述密钥运算模块,还用于将所述处理结果发送至所述客户端。
本申请实施例另一方面提供了一种服务器,所述服务器包括:
存储器和处理器,所述存储器上存储有由所述处理器运行的计算机程序,所述计算机程序在被所述处理器运行时,使得所述处理器执行如上所述的信息处理方法。
本申请实施例另一方面提供了一种客户端,所述客户端包括:
存储器和处理器,所述存储器上存储有由所述处理器运行的计算机程序,所述计算机程序在被所述处理器运行时,使得所述处理器执行如上所述的信息处理方法。
本申请实施例又一方面提供了一种存储介质,所述存储介质上存储有计算机程序,所述计算机程序在被处理器运行时使得所述处理器执行如上所述的信息处理方法。
本申请实施例的信息处理方法、装置、服务器、客户端及存储介质,通过服务器凭据认证模块在基于授权对象验证所述第一凭据合法,以及所述第一密钥标识对应的第一密钥与指定密钥一致的情况下,生成第一令牌,然后密钥运算模块在基于令牌验证数据检查所述第一令牌合法的情况下,基于第一密钥处理待处理数据,得到处理结果,并将处理结果发送至客户端,能够实现通过授权多种对象来控制密钥的使用。
附图说明
图1示出根据本申请实施例的网络架构的示意性框图;
图2示出根据本申请实施例的应用于服务器侧的信息处理方法的示意性流程图;
图3示出根据本申请另一实施例的应用于服务器侧的信息处理方法的示意性流程图;
图4示出根据本申请实施例的应用于客户端的信息处理方法的示意性流程图;
图5示出根据本申请实施例的信息处理装置的示意性框图;
图6示出根据本申请实施例的服务器的示意性框图;
图7示出根据本申请实施例的客户端的示意性框图。
具体实施方式
为使本领域技术人员更好的理解本申请实施例的技术方案,下面结合附图和具体实施方式对本申请作详细说明。
基于前述的至少一个技术问题,本申请提供了一种信息处理方法,将用于处理任务的特定密钥(例如下文中的指定密钥)存放在服务器侧,并引入密钥使用授权信息来为一种或多种授权对象(例如某个密钥、某个密码、某个生物特征等)授权,以便用户在需要使用特定密钥的时候能够基于密钥使用授权信息和自己提交的用户凭据(例如密钥、密码、生物特征等)来调用存放在服务器侧的特定密钥。通过这样的方式,一方面,在不影响用户灵活使用特定密钥的情况下保障了特定密钥的安全性;另一方面,能够实现通过授权一种或多种对象来控制密钥的使用,拓宽了特定密钥的授权对象,增强了授权处理能力,使得该方法的适用范围更加广泛。在此基础上,本申请在服务器侧至少拆分出凭据认证模块和密钥管理运算模块这两个模块,从而使得与授权对象相关的凭据认证环节能够与其他环节解耦,进而为凭据认证模块的单独升级,授权对象的种类改变、增删等操作提供实现的基础。
图1示出根据本申请实施例的网络架构的示意性框图。本申请实施例的服务器侧包括凭据认证模块和密钥运算模块。
本申请实施例中,客户端可以是设置于网络终端的诸如应用程序、SDK等软件或软硬件的结合。
在本申请的一个实施例中,客户端将包含密钥使用授权信息、客户端的用户提交的第一凭据、第一密钥标识和待处理数据的请求信息发送至凭据认证模块。
凭据认证模块验证客户端提交的第一凭据,如果第一凭据合法,则根据密钥使用授权信息中的凭据认证数据生成用于使用密钥的第一令牌。然后将第一令牌、待处理数据和第一密钥标识发送至密钥运算模块。
密钥运算模块使用第一密钥对待处理数据进行运算,并根据第一令牌对待运算结果进行处理。然后将处理结果发送至客户端。
值得注意的是,本申请实施例中,凭据认证模块和密钥运算模块并不必然设置于同一物理服务器中。在一个示例中,凭据认证模块和密钥运算模块在物理上设置于同一服务器中。在另一个示例中,凭据认证模块设置于第一服务器中,密钥运算模块设置于第二服务器中。第二服务器示例性地可以是加密机。
图2示出根据本申请实施例的信息处理方法的示意性流程图;本申请实施例的信息处理方法应用于服务器侧。如图2所示,根据本申请实施例的信息处理方法200可以包括如下步骤S201、步骤S202、步骤S203和步骤S204:
在步骤S201,凭据认证模块获取客户端发送的请求信息。
其中,所述请求信息包括:密钥使用授权信息、所述客户端的用户提交的第一凭据、第一密钥标识和待处理数据,所述密钥使用授权信息用于描述授权对象被允许使用指定密钥。
在一些实现方式中,密钥使用授权信息可以包括:授权对象或授权对象的唯一标识,指定密钥的密钥标识。通过这样的方式密钥使用授权信息能够描述出哪个授权对象被授权可以使用哪个特定密钥。
可选地,密钥使用授权信息还可以包括:使用权限范围信息,使用权限范围信息主要用于描述授权对象被授权使用指定密钥的权限范围,示例性地如被用于签名、用于加密、被授权使用的时间、被授权使用的次数等。
可选地,密钥使用授权信息还可以包括:运算结果处理规则。运算结果处理规则主要用于描述在利用指定密钥对待处理数据进行处理之后还需要做什么样的后续处理。运算结果处理规则示例性地可以包括或者用于生成下文的第一规则。可以理解的是,运算结果处理规则还可以包括或者用于生成其他可能的规则,例如第二规则等。
客户端的用户可以提交用户凭据,以供服务器侧进行验证。用户凭据示例性地可以是该用户自己的指纹等生物特征,或者该用户在客户端中输入的密码等。为便于区分,此处将客户端的某次用户所提交的用户凭据称为第一凭据。
密钥标识用于在一定范围内唯一标识某个密钥。为便于区分,本申请将此处请求信息中包括的密钥标识称为第一密钥标识,该第一密钥标识用于唯一标识第一密钥。第一密钥标识可以由用户在客户端输入或者选择,用于表示某一次客户端的用户想要调用哪个特定密钥。
待处理数据可以是任意形式的数据,本申请对此不作限定。
在步骤S202,凭据认证模块在基于所述授权对象验证所述第一凭据合法,以及所述第一密钥标识对应的第一密钥与所述指定密钥一致的情况下,生成第一令牌。
其中,所述第一令牌包括:所述第一密钥标识、令牌验证数据。
可以理解的是,在一些实现方式种,对于不同的请求信息,凭据认证模块可以相应地生成不同的令牌。在另一些实现方式种,针对不同的指定密钥,可以相应地生成不同的令牌,例如第二令牌等。采用这样的方式,可以使得令牌与指定密钥关联,但与某个授权对象没有直接的关联。
在本申请的一个实施例中,所述授权对象包括以下至少一种:密钥、密码、生物特征。其中,生物特征可以包括:指纹、人脸、虹膜、静脉等特征。
本申请实施例与传统技术相比,能够支持更多种类/形式的授权对象,授权处理能力更强,且适用范围更广。
凭据认证模块基于授权对象验证第一凭据是否合法,可以采用多种不同的实现方式。在一些实现方式中,授权对象不同,验证的具体方式可以相应不同。
示例性地,在所述授权对象包括密钥的情况下,凭据认证模块基于挑战响应机制验证所述第一凭据;和/或
在所述授权对象包括密码的情况下,凭据认证模块基于安全远程密码协议验证所述第一凭据;和/或
在所述授权对象包括生物特征的情况下,凭据认证模块基于生物识别技术验证所述第一凭据。
其中,挑战响应机制示例性地可以是这样一种验证机制:凭据认证模块传一个挑战信息给客户端,客户端基于该挑战信息,结合第一凭据和相应的算法,生成一个响应信息,并将响应信息返回给凭据认证模块;凭据认证模块基于挑战信息、密钥使用授权信息所描述的授权对象和相应的算法,计算一个验证信息去与响应信息匹配。如果匹配成功,那么认证成功,可以认为第一凭据合法;若匹配失败,则认证失败,可以认为第一凭据不合法。
在一个具体的示例中,在所述授权对象包括密码的情况下,客户端将用于描述密码的密钥使用授权信息发送至凭据认证模块,凭据认证模块将密码与作为第一凭据的密码进行匹配,在匹配成功的情况下,认为第一凭据合法,该客户端可以调用指定密钥。
在另一个具体的示例中,在所述授权对象包括生物特征的情况下,例如生物特征为人脸特征。客户端将用于描述人脸特征的密钥使用授权信息发送至凭据认证模块,凭据认证模块将人脸特征与作为第一凭据的人脸特征进行匹配,在匹配成功的情况下,认为第一凭据合法,该客户端可以使用指定密钥。
可以理解的是,在基于授权对象验证第一凭据是否合法之前,还可以包括验证密钥使用授权信息是否合法的步骤,以此保证在验证第一凭据的时候所使用到的授权对象是合法的,从而保障第一凭据的验证结果的准确性。示例性地,密钥使用授权信息中可以包括签名信息,该签名信息是授权信息签发者利用自己的私钥对密钥使用授权信息中的部分信息(例如前述的授权对象或授权对象的唯一标识,指定密钥的密钥标识等)签名而生成的。凭据认证模块在接收到请求信息后,可以先利用授权信息签发者的公钥验证前述签名信息,再利用密钥使用授权信息所描述的授权对象来验证第一凭据是否合法。
在步骤S203,密钥运算模块在基于所述令牌验证数据检查所述第一令牌合法的情况下,基于所述第一密钥处理所述待处理数据,得到处理结果。
在本申请一个实施例中,所述令牌验证数据包括:利用属于所述凭据认证模块的第二密钥的私钥计算得到的第一令牌的签名信息。
密钥运算模块基于所述令牌验证数据检查所述第一令牌是否合法,包括:
密钥运算模块基于所述第一令牌的签名信息、所述第二密钥的公钥验证所述第一令牌。
其中,所述第二密钥可以是非对称密钥。结合本申请实施例,凭据认证模块具有第二密钥,第二密钥的私钥存储在凭据认证模块,公钥存储在密钥运算模块。凭据认证模块采用第二密钥的私钥对第一令牌中的部分信息(例如前述的第一密钥标识以及其他可能包含在第一令牌中的信息等)进行签名,得到签名信息,将签名信息携带在第一令牌中,然后将第一令牌发送至密钥运算模块。密钥运算模块采用第二密钥的公钥对第一令牌的签名信息进行验签,以确定第一令牌是否合法。并且在第一令牌合法的情况下,采用第一密钥对待处理数据进行处理。
在本申请的另一个实施例中,所述令牌验证数据包括:利用第三密钥计算得到的第一令牌的校验值;其中,所述第三密钥为所述凭据认证模块和密钥运算模块预先协商的密钥。
密钥运算模块基于所述令牌验证数据检查所述第一令牌是否合法,包括:
密钥运算模块基于所述第一令牌的校验值、所述第三密钥验证所述第一令牌。
在本申请的一个具体的示例中,第一令牌的校验值可以消息验证码(MessageAuthenticationCode,MAC)值等。
在本申请的另一个实施例中,所述令牌验证数据还包括:时间戳;
密钥运算模块基于所述令牌验证数据检查所述第一令牌是否合法,还包括:密钥运算模块验证所述时间戳是否处于预设的有效时间内。
当时间戳是否处于预设的有效时间内,并且第一令牌的其他验证(例如前述的基于签名信息或校验值的验证)通过,则可以认为第一令牌合法。
在本申请的一个实施例中,所述第一令牌还包括:第一规则,所述第一规则为所述密钥运算模块和所述客户端共享的规则。
相应地,密钥运算模块基于所述第一密钥处理所述待处理数据,得到处理结果,包括:
密钥运算模块使用所述第一密钥处理所述待处理数据,得到第一结果;
密钥运算模块基于第一规则处理所述第一结果,得到所述处理结果。
在本申请的一个具体的实施例中,密钥使用授权信息还用于生成第一规则。这样,当凭据认证模块在生成第一令牌的时候,就可以将第一规则放在第一令牌中,以便传递给密钥运算模块。使得密钥运算模块使用第一密钥处理待处理数据,得到第一结果,并基于第一规则处理第一结果,得到处理结果。
在本申请的另一个具体的实施例中,第一规则也可以是预先在凭据认证模块中设定好的规则。
总的来说,第一规则是密钥运算模块和客户端都知道的规则,其作用主要是保证第一结果在网络中(包括服务器侧和客户端之间)的传输安全,使得只有客户端才能还原出第一结果,其他人/设备无法还原出第一结果。
在步骤S204,密钥运算模块将所述处理结果发送至所述客户端。
一般来说,服务器侧本身用于对客户端的第一凭据进行认证,并在第一凭据合法的情况下对待处理数据进行处理。而本申请实施例将服务器侧至少拆分为凭据认证模块和密钥管理运算模块这两个模块。由凭据认证模块对客户端的第一凭据进行认证,由密钥管理运算模块对待处理数据进行处理。这样,可以对凭据认证模块做单独的升级,以及单独改变、增删授权对象的种类。
本申请实施例中,指定密钥被托管在服务器侧,而不放在客户端上,有助于保障指定密钥对使用安全。
另外,第一密钥可以存储在密钥运算模块中,也可以存储在服务器侧的其他模块或另外的一台服务器中,比如加密机中。当密钥运算模块需要使用第一密钥来处理待处理数据的时候,它根据第一令牌中的密钥标识从加密机中去获取第一密钥。
本申请实施例通过服务器凭据认证模块在基于授权对象验证所述第一凭据合法,以及所述第一密钥标识对应的第一密钥与指定密钥一致的情况下,生成第一令牌,然后密钥运算模块在基于令牌验证数据检查所述第一令牌合法的情况下,基于第一密钥处理待处理数据,得到处理结果,并将处理结果发送至客户端,能够实现通过授权多种对象来控制密钥的使用。
图3示出根据本申请实施例的信息处理方法的示意性流程图;本申请实施例的信息处理方法应用于服务器侧。如图3所示,根据本申请实施例的信息处理方法300可以包括如下步骤S301、步骤S302和步骤S303:
在步骤S301,获取客户端发送的请求信息。
其中,所述请求信息包括:密钥使用授权信息、所述客户端的用户提交的第一凭据、第一密钥标识和待处理数据,所述密钥使用授权信息用于描述授权对象被允许使用指定密钥,所述授权对象包括以下至少一种:密码、生物特征。其中,生物特征可以包括:指纹、人脸、虹膜、静脉等特征。本申请实施例与传统技术相比,具有更多的授权对象,授权处理能力更强,且适用范围更广。
在步骤S302,在基于所述授权对象验证所述第一凭据合法,以及所述第一密钥标识对应的第一密钥与所述指定密钥一致的情况下,基于所述第一密钥处理所述待处理数据,得到处理结果;
在步骤S303,将所述处理结果发送至所述客户端。
图4示出根据本申请实施例的信息处理方法的示意性流程图;本申请实施例的信息处理方法应用于客户端。如图4所示,根据本申请实施例的信息处理方法400可以包括如下步骤S401、步骤S402和步骤S403:
在步骤S401,向服务器侧发送请求信息。
其中,所述请求信息包括:密钥使用授权信息、所述客户端的用户提交的第一凭据、第一密钥标识和待处理数据,所述密钥使用授权信息用于描述授权对象被允许使用指定密钥,所述授权对象包括以下至少一种:密码、生物特征。
在步骤S402,接收来自所述服务器侧的处理结果。
其中,所述处理结果是所述服务器侧在基于所述授权对象验证所述第一凭据合法,以及所述第一密钥标识对应的第一密钥与所述指定密钥一致的情况下,基于所述第一密钥处理所述待处理数据而得到的。
图5示出根据本申请实施例的信息处理装置的示意性框图;本申请实施例的信息处理装置位于服务器侧。如图5所示,根据本申请实施例的信息处理装置500可以包括凭据认证模块501和密钥运算模块502。
所述凭据认证模块501,用于获取客户端发送的请求信息,其中,所述请求信息包括:密钥使用授权信息、所述客户端的用户提交的第一凭据、第一密钥标识和待处理数据,所述密钥使用授权信息用于描述授权对象被允许使用指定密钥;
所述凭据认证模块501,还用于在基于所述授权对象验证所述第一凭据合法,以及所述第一密钥标识对应的第一密钥与所述指定密钥一致的情况下,生成第一令牌,其中,所述第一令牌包括:所述第一密钥标识、令牌验证数据;
所述密钥运算模块502,用于在基于所述令牌验证数据检查所述第一令牌合法的情况下,基于所述第一密钥处理所述待处理数据,得到处理结果;
所述密钥运算模块502,还用于将所述处理结果发送至所述客户端。
下面结合图6对本申请的服务器进行描述,其中,图6示出根据本申请实施例的服务器的示意性框图。
如图6所示,服务器600包括:一个或多个存储器601和一个或多个处理器602,所述存储器601上存储有由所述处理器602运行的计算机程序,所述计算机程序在被所述处理器602运行时,使得所述处理器602执行前文所述的信息处理方法。
服务器600可以是可以通过软件、硬件或者软硬件结合的方式实现信息处理方法的计算机设备的部分或者全部。
如图6所示,服务器600包括一个或多个存储器601、一个或多个处理器602、显示器(未示出)和通信接口等,这些组件通过总线系统和/或其它形式的连接机构(未示出)互连。应当注意,图6所示的服务器600的组件和结构只是示例性的,而非限制性的,根据需要,服务器600也可以具有其他组件和结构。
存储器601用于存储上述方法运行过程中产生的各种数据和可执行程序指令,例如用于存储各种应用程序或实现各种具体功能的算法。可以包括一个或多个计算机程序产品,所述计算机程序产品可以包括各种形式的计算机可读存储介质,例如易失性存储器和/或非易失性存储器。所述易失性存储器例如可以包括随机存取存储器(RAM)和/或高速缓冲存储器(cache)等。所述非易失性存储器例如可以包括只读存储器(ROM)、硬盘、闪存等。
处理器602可以是中央处理单元(CPU)、图像处理单元(GPU)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者具有数据处理能力和/或指令执行能力的其它形式的处理单元,并且可以是服务器600中的其它组件以执行期望的功能。
在一个示例中,服务器600还包括输出装置可以向外部(例如用户)输出各种信息(例如图像或声音),并且可以包括显示装置、扬声器等中的一个或多个。
通信接口是可以是目前已知的任意通信协议的接口,例如有线接口或无线接口,其中,通信接口可以包括一个或者多个串口、USB接口、以太网端口、WiFi、有线网络、DVI接口,设备集成互联模块或其他适合的各种端口、接口,或者连接。
下面结合图7对本申请的客户端进行描述,其中,图7示出根据本申请实施例的客户端的示意性框图。
如图7所示,客户端700包括:一个或多个存储器701和一个或多个处理器702,所述存储器701上存储有由所述处理器702运行的计算机程序,所述计算机程序在被所述处理器702运行时,使得所述处理器702执行前文所述的信息处理方法。
客户端700可以是可以通过软件、硬件或者软硬件结合的方式实现信息处理方法的计算机设备的部分或者全部。
如图7所示,客户端700包括一个或多个存储器701、一个或多个处理器702、显示器(未示出)和通信接口等,这些组件通过总线系统和/或其它形式的连接机构(未示出)互连。应当注意,图7所示的客户端700的组件和结构只是示例性的,而非限制性的,根据需要,客户端700也可以具有其他组件和结构。
存储器701用于存储上述方法运行过程中产生的各种数据和可执行程序指令,例如用于存储各种应用程序或实现各种具体功能的算法。可以包括一个或多个计算机程序产品,所述计算机程序产品可以包括各种形式的计算机可读存储介质,例如易失性存储器和/或非易失性存储器。所述易失性存储器例如可以包括随机存取存储器(RAM)和/或高速缓冲存储器(cache)等。所述非易失性存储器例如可以包括只读存储器(ROM)、硬盘、闪存等。
处理器702可以是中央处理单元(CPU)、图像处理单元(GPU)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者具有数据处理能力和/或指令执行能力的其它形式的处理单元,并且可以是客户端700中的其它组件以执行期望的功能。
在一个示例中,客户端700还包括输出装置可以向外部(例如用户)输出各种信息(例如图像或声音),并且可以包括显示装置、扬声器等中的一个或多个。
通信接口是可以是目前已知的任意通信协议的接口,例如有线接口或无线接口,其中,通信接口可以包括一个或者多个串口、USB接口、以太网端口、WiFi、有线网络、DVI接口,设备集成互联模块或其他适合的各种端口、接口,或者连接。
此外,根据本申请实施例,还提供了一种存储介质,在所述存储介质上存储了程序指令,在所述程序指令被计算机或处理器运行时用于执行本申请实施例的信息处理方法的相应步骤。所述存储介质例如可以包括智能电话的存储卡、平板电脑的存储部件、个人计算机的硬盘、只读存储器(ROM)、可擦除可编程只读存储器(EPROM)、便携式紧致盘只读存储器(CD-ROM)、USB存储器、或者上述存储介质的任意组合。
本申请实施例的信息处理装置和存储介质,由于能够实现前述的信息处理方法,因此具有和前述的信息处理方法相同的优点。
尽管这里已经参考附图描述了示例实施例,应理解上述示例实施例仅仅是示例性的,并且不意图将本申请的范围限制于此。本领域普通技术人员可以在其中进行各种改变和修改,而不偏离本申请的范围和精神。所有这些改变和修改意在被包括在所附权利要求所要求的本申请的范围之内。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。例如,以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个设备,或一些特征可以忽略,或不执行。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本申请的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本申请并帮助理解各个发明方面中的一个或多个,在对本申请的示例性实施例的描述中,本申请的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该本申请的方法解释成反映如下意图:即所要求保护的本申请要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如相应的权利要求书所反映的那样,其发明点在于可以用少于某个公开的单个实施例的所有特征的特征来解决相应的技术问题。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本申请的单独实施例。
本领域的技术人员可以理解,除了特征之间相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本申请的范围之内并且形成不同的实施例。例如,在权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本申请的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本申请实施例的一些模块的一些或者全部功能。本申请还可以实现为用于执行这里所描述的方法的一部分或者全部的装置程序(例如,计算机程序和计算机程序产品)。这样的实现本申请的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本申请进行说明而不是对本申请进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本申请可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
以上所述,仅为本申请的具体实施方式或对具体实施方式的说明,本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。本申请的保护范围应以权利要求的保护范围为准。
Claims (12)
1.一种信息处理方法,其特征在于,应用于服务器侧,所述服务器侧包括凭据认证模块和密钥运算模块,所述方法包括:
凭据认证模块获取客户端发送的请求信息,其中,所述请求信息包括:密钥使用授权信息、所述客户端的用户提交的第一凭据、第一密钥标识和待处理数据,所述密钥使用授权信息用于描述授权对象被允许使用指定密钥,所述授权对象包括以下至少一种:密钥、密码、生物特征;
凭据认证模块在基于所述授权对象验证所述第一凭据合法,以及所述第一密钥标识对应的第一密钥与所述指定密钥一致的情况下,生成第一令牌,其中,所述第一令牌包括:所述第一密钥标识、令牌验证数据;所述第一令牌与所述指定密钥关联,与所述授权对象未直接关联;
密钥运算模块在基于所述令牌验证数据检查所述第一令牌合法的情况下,基于所述第一密钥处理所述待处理数据,得到处理结果;
密钥运算模块将所述处理结果发送至所述客户端。
2. 根据权利要求1所述的方法,其特征在于,
在所述授权对象包括密钥的情况下,凭据认证模块基于挑战响应机制验证所述第一凭据;和/或
在所述授权对象包括密码的情况下,凭据认证模块基于安全远程密码协议验证所述第一凭据;和/或
在所述授权对象包括生物特征的情况下,凭据认证模块基于生物识别技术验证所述第一凭据。
3.根据权利要求1-2任一项所述的方法,其特征在于,
所述令牌验证数据包括:利用属于所述凭据认证模块的第二密钥的私钥计算得到的第一令牌的签名信息,
密钥运算模块基于所述令牌验证数据检查所述第一令牌是否合法,包括:
密钥运算模块基于所述第一令牌的签名信息、所述第二密钥的公钥验证所述第一令牌;
或者,
所述令牌验证数据包括:利用第三密钥计算得到的第一令牌的校验值;其中,所述第三密钥为所述凭据认证模块和密钥运算模块预先协商的密钥;
密钥运算模块基于所述令牌验证数据检查所述第一令牌是否合法,包括:
密钥运算模块基于所述第一令牌的校验值、所述第三密钥验证所述第一令牌。
4.根据权利要求3所述的方法,其特征在于,
所述令牌验证数据还包括:时间戳;
密钥运算模块基于所述令牌验证数据检查所述第一令牌是否合法,还包括:密钥运算模块验证所述时间戳是否处于预设的有效时间内。
5.根据权利要求1-2任一项所述的方法,其特征在于,所述第一令牌还包括:第一规则,所述第一规则为所述密钥运算模块和所述客户端共享的规则;
密钥运算模块基于所述第一密钥处理所述待处理数据,得到处理结果,包括:
密钥运算模块使用所述第一密钥处理所述待处理数据,得到第一结果;
密钥运算模块基于第一规则处理所述第一结果,得到所述处理结果。
6.根据权利要求3所述的方法,其特征在于,所述第一令牌还包括:第一规则,所述第一规则为所述密钥运算模块和所述客户端共享的规则;
密钥运算模块基于所述第一密钥处理所述待处理数据,得到处理结果,包括:
密钥运算模块使用所述第一密钥处理所述待处理数据,得到第一结果;
密钥运算模块基于第一规则处理所述第一结果,得到所述处理结果。
7.根据权利要求4所述的方法,其特征在于,所述第一令牌还包括:第一规则,所述第一规则为所述密钥运算模块和所述客户端共享的规则;
密钥运算模块基于所述第一密钥处理所述待处理数据,得到处理结果,包括:
密钥运算模块使用所述第一密钥处理所述待处理数据,得到第一结果;
密钥运算模块基于第一规则处理所述第一结果,得到所述处理结果。
8.一种信息处理方法,其特征在于,应用于客户端,所述方法包括:
向服务器侧发送请求信息,其中,所述请求信息包括:密钥使用授权信息、所述客户端的用户提交的第一凭据、第一密钥标识和待处理数据,所述密钥使用授权信息用于描述授权对象被允许使用指定密钥,所述授权对象包括以下至少一种:密钥、密码、生物特征;
接收来自所述服务器侧的处理结果,其中,所述处理结果是所述服务器侧在基于令牌验证数据检查第一令牌合法的情况下,基于所述第一密钥处理所述待处理数据而得到的;所述第一令牌与所述指定密钥关联,与所述授权对象未直接关联,是所述服务器侧在基于所述授权对象验证所述第一凭据合法,以及所述第一密钥标识对应的第一密钥与所述指定密钥一致的情况下生成的,所述第一令牌包括:所述第一密钥标识、令牌验证数据。
9.一种信息处理装置,其特征在于,所述信息处理装置位于服务器侧,包括凭据认证模块和密钥运算模块;其中,
所述凭据认证模块,用于获取客户端发送的请求信息,其中,所述请求信息包括:密钥使用授权信息、所述客户端的用户提交的第一凭据、第一密钥标识和待处理数据,所述密钥使用授权信息用于描述授权对象被允许使用指定密钥,所述授权对象包括以下至少一种:密钥、密码、生物特征;
所述凭据认证模块,还用于在基于所述授权对象验证所述第一凭据合法,以及所述第一密钥标识对应的第一密钥与所述指定密钥一致的情况下,生成第一令牌,其中,所述第一令牌包括:所述第一密钥标识、令牌验证数据;所述第一令牌与所述指定密钥关联,与所述授权对象未直接关联;
所述密钥运算模块,用于在基于所述令牌验证数据检查所述第一令牌合法的情况下,基于所述第一密钥处理所述待处理数据,得到处理结果;
所述密钥运算模块,还用于将所述处理结果发送至所述客户端。
10.一种服务器,其特征在于,所述服务器包括:存储器和处理器,所述存储器上存储有由所述处理器运行的计算机程序,所述计算机程序在被所述处理器运行时,使得所述处理器执行如权利要求1至7任一项所述的信息处理方法。
11.一种客户端,其特征在于,所述客户端包括:存储器和处理器,所述存储器上存储有由所述处理器运行的计算机程序,所述计算机程序在被所述处理器运行时,使得所述处理器执行如权利要求8所述的信息处理方法。
12.一种存储介质,其特征在于,所述存储介质上存储有计算机程序,所述计算机程序在被处理器运行时使得所述处理器执行如权利要求1至8任一项所述的信息处理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211689672.9A CN115935318B (zh) | 2022-12-27 | 2022-12-27 | 一种信息处理方法、装置、服务器、客户端及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211689672.9A CN115935318B (zh) | 2022-12-27 | 2022-12-27 | 一种信息处理方法、装置、服务器、客户端及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115935318A CN115935318A (zh) | 2023-04-07 |
CN115935318B true CN115935318B (zh) | 2024-02-13 |
Family
ID=86655798
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211689672.9A Active CN115935318B (zh) | 2022-12-27 | 2022-12-27 | 一种信息处理方法、装置、服务器、客户端及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115935318B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116611035A (zh) * | 2023-04-24 | 2023-08-18 | 苏州魔视智能科技有限公司 | 应用软件的运行方法、管理方法、设备及可读存储介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111213339A (zh) * | 2017-10-19 | 2020-05-29 | T移动美国公司 | 带有客户端密钥的认证令牌 |
CN111756753A (zh) * | 2020-06-28 | 2020-10-09 | 中国平安财产保险股份有限公司 | 一种权限验证方法及系统 |
CN112565281A (zh) * | 2020-12-09 | 2021-03-26 | 北京深思数盾科技股份有限公司 | 业务密钥的信息处理方法、服务端及系统 |
CN113079154A (zh) * | 2021-03-29 | 2021-07-06 | 北京深思数盾科技股份有限公司 | 密钥授权使用方法、电子设备及计算机可读存储介质 |
CN114338149A (zh) * | 2021-12-28 | 2022-04-12 | 北京深思数盾科技股份有限公司 | 一种服务器的登录凭据授权方法、终端及密钥托管平台 |
CN114499975A (zh) * | 2021-12-28 | 2022-05-13 | 北京深思数盾科技股份有限公司 | 登录服务器的校验方法、服务器及存储介质 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6983685B2 (ja) * | 2018-01-31 | 2021-12-17 | キヤノン株式会社 | 情報処理システム、クライアント装置、認証認可サーバー、制御方法とそのプログラム |
US11374767B2 (en) * | 2019-01-14 | 2022-06-28 | EMC IP Holding Company LLC | Key-based authentication for backup service |
-
2022
- 2022-12-27 CN CN202211689672.9A patent/CN115935318B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111213339A (zh) * | 2017-10-19 | 2020-05-29 | T移动美国公司 | 带有客户端密钥的认证令牌 |
CN111756753A (zh) * | 2020-06-28 | 2020-10-09 | 中国平安财产保险股份有限公司 | 一种权限验证方法及系统 |
CN112565281A (zh) * | 2020-12-09 | 2021-03-26 | 北京深思数盾科技股份有限公司 | 业务密钥的信息处理方法、服务端及系统 |
CN113079154A (zh) * | 2021-03-29 | 2021-07-06 | 北京深思数盾科技股份有限公司 | 密钥授权使用方法、电子设备及计算机可读存储介质 |
CN114338149A (zh) * | 2021-12-28 | 2022-04-12 | 北京深思数盾科技股份有限公司 | 一种服务器的登录凭据授权方法、终端及密钥托管平台 |
CN114499975A (zh) * | 2021-12-28 | 2022-05-13 | 北京深思数盾科技股份有限公司 | 登录服务器的校验方法、服务器及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN115935318A (zh) | 2023-04-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI667585B (zh) | 一種基於生物特徵的安全認證方法及裝置 | |
US10205711B2 (en) | Multi-user strong authentication token | |
EP3138265B1 (en) | Enhanced security for registration of authentication devices | |
US9135415B2 (en) | Controlling access | |
CN108809659B (zh) | 动态口令的生成、验证方法及系统、动态口令系统 | |
US8739266B2 (en) | Universal authentication token | |
US10523441B2 (en) | Authentication of access request of a device and protecting confidential information | |
TWI724683B (zh) | 電腦實施的用於管理用戶金鑰對的方法、用於管理用戶金鑰對的系統以及用於管理用戶金鑰對的裝置 | |
CN112425114B (zh) | 受公钥-私钥对保护的密码管理器 | |
KR20160097323A (ko) | Nfc 인증 메커니즘 | |
WO2007094165A1 (ja) | 本人確認システムおよびプログラム、並びに、本人確認方法 | |
JP2008538146A (ja) | バイオメトリック・テンプレートのプライバシー保護のためのアーキテクチャ | |
KR101690989B1 (ko) | Fido 인증모듈을 이용한 전자서명 방법 | |
CN110807624A (zh) | 一种数字货币硬件冷钱包系统及其交易方法 | |
CN115935318B (zh) | 一种信息处理方法、装置、服务器、客户端及存储介质 | |
CN111431840A (zh) | 安全处理方法和装置 | |
EP3485600B1 (en) | Method for providing secure digital signatures | |
US20180351946A1 (en) | Privacy-enhanced biometric authenticated access request | |
KR102633314B1 (ko) | 인증 정보 처리 방법 및 장치와 인증 정보 처리 방법 장치를 포함한 사용자 단말 | |
TWI696963B (zh) | 票證發行與入場驗證系統與方法及使用於票證發行與入場驗證系統之用戶終端裝置 | |
CN115987636B (zh) | 一种信息安全的实现方法、装置及存储介质 | |
JP2007258789A (ja) | エージェント認証システム、エージェント認証方法、及びエージェント認証プログラム | |
KR102077204B1 (ko) | 복합 인증용 생체 보안 장치 및 이를 이용한 인증 시스템 | |
KR101804845B1 (ko) | 무선단말기에서의 otp인증방법 | |
KR101657932B1 (ko) | 자체확장인증을 이용한 키관리 및 사용자 인증방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |