CN116886372A - 目标系统登录令牌的获取方法及其装置、电子设备 - Google Patents

目标系统登录令牌的获取方法及其装置、电子设备 Download PDF

Info

Publication number
CN116886372A
CN116886372A CN202310891040.9A CN202310891040A CN116886372A CN 116886372 A CN116886372 A CN 116886372A CN 202310891040 A CN202310891040 A CN 202310891040A CN 116886372 A CN116886372 A CN 116886372A
Authority
CN
China
Prior art keywords
user
encrypted
login
password
login token
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310891040.9A
Other languages
English (en)
Inventor
林泽鑫
毛培芳
何泉
廖杰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Industrial and Commercial Bank of China Ltd ICBC
Original Assignee
Industrial and Commercial Bank of China Ltd ICBC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Industrial and Commercial Bank of China Ltd ICBC filed Critical Industrial and Commercial Bank of China Ltd ICBC
Priority to CN202310891040.9A priority Critical patent/CN116886372A/zh
Publication of CN116886372A publication Critical patent/CN116886372A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0478Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying multiple layers of encryption, e.g. nested tunnels or encrypting the content with a first key and then with at least a second key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/045Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords

Abstract

本发明公开了一种目标系统登录令牌的获取方法及其装置、电子设备,涉及信息安全领域,其中,该获取方法包括:接收用户端的系统登录请求,并基于系统登录请求获取用户端的用户端IP地址;从数据库获取用户私钥,并基于用户私钥对加密用户信息进行解密,得到加密用户密码和负载密钥;基于用户标识从数据库中获取预先存储的用户密码密文,并将加密用户密码和用户密码密文进行比对,得到比对结果;在比对结果指示加密用户密码和用户密码密文一致的情况下,生成登录令牌,并将加密后的登录令牌发送至用户端。本发明解决了相关技术中,通过静态口令身份认证技术或非对称加密算法获取登录令牌的方式,容易造成用户登录密码泄露以及令牌盗用的技术问题。

Description

目标系统登录令牌的获取方法及其装置、电子设备
技术领域
本发明涉及信息安全领域及其他相关技术领域,具体而言,涉及一种目标系统登录令牌的获取方法及其装置、电子设备。
背景技术
随着金融生态的发展,越来越多的金融业务系统不再部署在内网,而是以SAAS服务(软件运营服务)面向互联网,因此对于业务系统的安全性能要求越来越高,尤其是对于金融机构会员系统等存储有用户隐私信息的业务系统,其安全性对比其他业务系统要求更高。对于这种安全性较高的目标系统,往往是通过管理员分配业务员并初始化密码,业务员拿到用户标识和密码后,通过用户标识和密码获取登录令牌,并在后续进行业务操作的过程中,通过登录令牌登入目标系统。
用户在首次登录系统以及登录令牌失效的情况下,都需要获取登录令牌,在获取登录令牌时,会伴随着业务员数据的传输以及令牌的传输,相关技术中,可以通过静态口令身份认证技术或非对称加密算法等方式获取登录令牌,但是这种获取登录令牌的方法,存在安全性较差,容易泄露登录密码的问题,同时还会面临登录令牌被盗用的风险。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种目标系统登录令牌的获取方法及其装置、电子设备,以至少解决相关技术中,通过静态口令身份认证技术或非对称加密算法获取登录令牌的方式,容易造成用户登录密码泄露以及令牌盗用的技术问题。
根据本发明实施例的一个方面,提供了一种目标系统登录令牌的获取方法,应用于服务器,包括:接收用户端的系统登录请求,并基于所述系统登录请求获取所述用户端的用户端IP地址,其中,所述系统登录请求至少包括:加密用户信息、用户标识,所述加密用户信息是对所述用户端的加密用户密码和负载密钥进行二次加密得到的,所述加密用户密码是对用户登录密码进行加密得到的,所述负载密钥用于对登录令牌进行加密;从数据库获取用户私钥,并基于所述用户私钥对所述加密用户信息进行解密,得到所述加密用户密码和所述负载密钥;基于所述用户标识从所述数据库中获取预先存储的用户密码密文,并将所述加密用户密码和所述用户密码密文进行比对,得到比对结果;在所述比对结果指示所述加密用户密码和所述用户密码密文一致的情况下,基于所述用户端IP地址生成所述登录令牌,并将加密后的所述登录令牌发送至所述用户端。
可选地,在接收用户端的系统登录请求之前,还包括:在所述用户端新增业务人员的情况下,接收所述用户端发送的注册用户标识和初始用户密码;基于所述注册用户密码生成加密公钥和加密私钥;对所述初始用户密码进行加密处理,得到所述用户密码密文;将所述注册用户标识、所述加密公钥、所述加密私钥和所述用户密码密文存储至所述数据库。
可选地,在接收用户端的系统登录请求之前,还包括:接收所述用户端发送的用户标识,并基于所述用户标识查询所述数据库,获取该用户标识对应的加密公钥;将所述加密公钥发送至所述用户端,其中,所述加密公钥用于对所述用户端的所述加密用户密码和所述负载密钥进行二次加密。
可选地,在将所述加密用户密码和所述用户密码密文进行比对,得到比对结果之后,还包括:在所述比对结果指示所述加密用户密码和所述用户密码密文一致的情况下,基于所述用户标识获取用户权限信息,其中,所述用户权限信息至少包括:用户角色信息、用户访问目录信息;基于所述用户标识和所述用户权限信息生成用户访问信息。
可选地,基于所述用户端IP地址生成所述登录令牌,并将加密后的所述登录令牌发送至所述用户端的步骤包括:对所述用户访问信息进行封装,得到封装后的所述用户访问信息;创建初始登录令牌,并将封装后的所述用户访问信息和所述用户端IP地址放置到所述初始登录令牌的负载区域,得到所述登录令牌;基于所述负载密钥对所述登录令牌进行加密,并将加密后的所述登录令牌发送至所述用户端。
可选地,在生成所述登录令牌,并将加密后的所述登录令牌发送至所述用户端之后,还包括:接收所述用户端发送的业务请求,其中,所述业务请求至少包括:所述用户标识、所述登录令牌;基于所述用户标识查询所述数据库,获取该用户标识对应的登录令牌,并将存储在所述数据库中的登录令牌和所述业务请求携带的所述登录令牌进行匹配,得到匹配结果;在所述匹配结果指示两个登录令牌一致的情况下,判断所述业务请求的登录令牌是否有效;在所述业务请求的登录令牌有效的情况下,响应所述用户端的业务请求,允许所述用户端的业务人员登录目标系统,并进行业务操作。
根据本发明实施例的另一方面,还提供了一种目标系统登录令牌的获取方法,应用于用户端,包括:向服务器发送系统登录请求,其中,所述系统登录请求至少包括:加密用户信息、用户标识,所述加密用户信息是对加密用户密码和负载密钥进行二次加密得到的,所述加密用户密码是对用户登录密码进行加密得到的,所述负载密钥用于对登录令牌进行加密;接收所述服务器发送的加密登录令牌,并基于所述负载密钥对所述加密登录令牌进行解密,得到登录令牌,其中,所述登录令牌是基于用户端IP地址生成的,所述登录令牌中包含有用户权限信息。
可选地,在向服务器发送系统登录请求之前,还包括:对所述用户登录密码进行加密,得到加密登录密码;生成负载密钥,其中,所述负载密钥用于对登录令牌进行加密;从所述服务器获取用户公钥,并基于所述用户公钥对所述加密登录密码和所述负载密钥进行二次加密,得到加密用户信息;基于所述加密用户信息、所述用户标识生成所述系统登录请求。
根据本发明实施例的另一方面,还提供了一种目标系统登录令牌的获取装置,应用于服务器,包括:接收单元,用于接收用户端的系统登录请求,并基于所述系统登录请求获取所述用户端的用户端IP地址,其中,所述系统登录请求至少包括:加密用户信息、用户标识,所述加密用户信息是对所述用户端的加密用户密码和负载密钥进行二次加密得到的,所述加密用户密码是对用户登录密码进行加密得到的,所述负载密钥用于对登录令牌进行加密;获取单元,用于从数据库获取用户私钥,并基于所述用户私钥对所述加密用户信息进行解密,得到所述加密用户密码和所述负载密钥;比对单元,用于基于所述用户标识从所述数据库中获取预先存储的用户密码密文,并将所述加密用户密码和所述用户密码密文进行比对,得到比对结果;生成单元,用于在所述比对结果指示所述加密用户密码和所述用户密码密文一致的情况下,基于所述用户端IP地址生成所述登录令牌,并将加密后的所述登录令牌发送至所述用户端。
可选地,所述目标系统登录令牌的获取装置还包括:第一接收模块,用于在所述用户端新增业务人员的情况下,接收所述用户端发送的注册用户标识和初始用户密码;第一生成模块,用于基于所述注册用户密码生成加密公钥和加密私钥;第一加密模块,用于对所述初始用户密码进行加密处理,得到所述用户密码密文;第一存储模块,用于将所述注册用户标识、所述加密公钥、所述加密私钥和所述用户密码密文存储至所述数据库。
可选地,所述目标系统登录令牌的获取装置还包括:第二接收模块,用于接收所述用户端发送的用户标识,并基于所述用户标识查询所述数据库,获取该用户标识对应的加密公钥;第一发送模块,用于将所述加密公钥发送至所述用户端,其中,所述加密公钥用于对所述用户端的所述加密用户密码和所述负载密钥进行二次加密。
可选地,所述目标系统登录令牌的获取装置还包括:第一获取模块,用于在所述比对结果指示所述加密用户密码和所述用户密码密文一致的情况下,基于所述用户标识获取用户权限信息,其中,所述用户权限信息至少包括:用户角色信息、用户访问目录信息;第二生成模块,用于基于所述用户标识和所述用户权限信息生成用户访问信息。
可选地,所述生成单元包括:第一封装模块,用于对所述用户访问信息进行封装,得到封装后的所述用户访问信息;第一创建模块,用于创建初始登录令牌,并将封装后的所述用户访问信息和所述用户端IP地址放置到所述初始登录令牌的负载区域,得到所述登录令牌;第二加密模块,用于基于所述负载密钥对所述登录令牌进行加密,并将加密后的所述登录令牌发送至所述用户端。
可选地,所述目标系统登录令牌的获取装置还包括:第三接收模块,用于接收所述用户端发送的业务请求,其中,所述业务请求至少包括:所述用户标识、所述登录令牌;第一查询模块,用于基于所述用户标识查询所述数据库,获取该用户标识对应的登录令牌,并将存储在所述数据库中的登录令牌和所述业务请求携带的所述登录令牌进行匹配,得到匹配结果;第一判断模块,用于在所述匹配结果指示两个登录令牌一致的情况下,判断所述业务请求的登录令牌是否有效;第一响应模块,用于在所述业务请求的登录令牌有效的情况下,响应所述用户端的业务请求,允许所述用户端的业务人员登录目标系统,并进行业务操作。
根据本发明实施例的另一方面,还提供了一种目标系统登录令牌的获取装置,应用于用户端,包括:发送单元,用于向服务器发送系统登录请求,其中,所述系统登录请求至少包括:加密用户信息、用户标识,所述加密用户信息是对加密用户密码和负载密钥进行二次加密得到的,所述加密用户密码是对用户登录密码进行加密得到的,所述负载密钥用于对登录令牌进行加密;解密单元,用于接收所述服务器发送的加密登录令牌,并基于所述负载密钥对所述加密登录令牌进行解密,得到登录令牌,其中,所述登录令牌是基于用户端IP地址生成的,所述登录令牌中包含有用户权限信息。
可选地,所述目标系统登录令牌的获取装置还包括:第三加密模块,用于对所述用户登录密码进行加密,得到加密登录密码;第三生成模块,用于生成负载密钥,其中,所述负载密钥用于对登录令牌进行加密;第四加密模块,用于从所述服务器获取用户公钥,并基于所述用户公钥对所述加密登录密码和所述负载密钥进行二次加密,得到加密用户信息;第四生成模块,用于基于所述加密用户信息、所述用户标识生成所述系统登录请求。
根据本发明实施例的另一方面,还提供了一种计算机可读存储介质,所述计算机可读存储介质包括存储的计算机程序,其中,在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行上述任意一项目标系统登录令牌的获取方法。
根据本发明实施例的另一方面,还提供了一种电子设备,,包括一个或多个处理器和存储器,所述存储器用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现上述任意一项目标系统登录令牌的获取方法。
在本公开中,通过以下步骤:先接收用户端的系统登录请求,并基于系统登录请求获取用户端的用户端IP地址,再从数据库获取用户私钥,并基于用户私钥对加密用户信息进行解密,得到加密用户密码和负载密钥,然后基于用户标识从数据库中获取预先存储的用户密码密文,并将加密用户密码和用户密码密文进行比对,得到比对结果;最后在比对结果指示加密用户密码和用户密码密文一致的情况下,基于所述用户端IP地址生成登录令牌,并将加密后的登录令牌发送至用户端。
在本公开中,在获取登录令牌时,服务器接收用户端发送的经过二次加密的用户信息,并通过用户端的系统登录请求获取用户端的IP地址,然后对加密的用户信息进行解密得到加密用户密码,对加密用户密码进行校验,在校验通过的情况下,基于用户端的IP地址生成登录令牌,同时采用用户端发送的负载密钥对登录令牌进行加密,防止登录令牌在传输过程中被泄密或篡改,二次加密的用户信息增强了用户信息传输的安全性,降低了用户信息泄露的风险,进而解决了相关技术中,通过静态口令身份认证技术或非对称加密算法获取登录令牌的方式,容易造成用户登录密码泄露以及令牌盗用的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的一种可选的目标系统登录令牌的获取方法的流程图;
图2是根据本发明实施例的另一种可选的目标系统登录令牌的获取方法的流程图;
图3是根据本发明实施例的一种可选的用户登录目标系统的时序图;
图4是根据本发明实施例的一种可选的目标系统登录令牌的获取装置的示意图;
图5是根据本发明实施例的一种目标系统登录令牌的获取方法的电子设备(或移动设备)的硬件结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
为便于本领域技术人员理解本发明,下面对本发明各实施例中涉及的部分术语或名词做出解释:
JWT令牌,一种身份验证和授权机制,由三部分组成,分别是头部(header)、负载(payload)和签名(signature)。
AES算法,Advanced Encryption Standard的缩写形式,一种对称密钥加密算法,采用分组加密的方式,将明文按照固定长度(128位)进行分块处理,然后通过一系列的加密操作对每个分组进行加密。
RSA算法,一种非对称加密算法,生成两个不同的密钥,包括公钥和私钥。
需要说明的是,本公开中的目标系统登录令牌的获取方法及其装置可用于信息安全领域在生成目标系统的登录令牌的情况下,也可用于除信息安全领域之外的任意领域在生成目标系统的登录令牌的情况下,本公开中对目标系统登录令牌的获取方法及其装置的应用领域不做限定。
需要说明的是,本公开所涉及的相关信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据,并且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准,并提供有相应的操作入口,供用户选择授权或者拒绝。例如,本系统和相关用户或机构间设置有接口,在获取相关信息之前,需要通过接口向前述的用户或机构发送获取请求,并在接收到前述的用户或机构反馈的同意信息后,获取相关信息。
本发明下述各实施例可应用于各种登录令牌的生成系统/应用/设备中。本发明通过对称加密算法和非对称加密算法相结合的方式,对用户密码进行两次加密,同时将对登录令牌进行加密的负载密钥也进行加密,保证了数据传输过程的安全性,降低了密码和密钥泄露的风险。
本发明在用户端生成负载密钥并上送到服务器对登录令牌进行加密,同时会基于用户端的IP地址生成登录令牌,避免了登录令牌的泄密和被篡改问题。
下面结合各个实施例来详细说明本发明。
实施例一
根据本发明实施例,提供了一种目标系统登录令牌的获取方法的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本发明实施例提供的目标系统登录令牌的获取方法,是以服务器为执行主体进行说明的,该方法应用于金融机构服务端,服务器与金融业务人员所在的用户端连接。
图1是根据本发明实施例的一种可选的目标系统登录令牌的获取方法的流程图,如图1所示,该方法包括如下步骤:
步骤S101,接收用户端的系统登录请求,并基于系统登录请求获取用户端的用户端IP地址,其中,系统登录请求至少包括:加密用户信息、用户标识,加密用户信息是对用户端的加密用户密码和负载密钥进行二次加密得到的,加密用户密码是对用户登录密码进行加密得到的,负载密钥用于对登录令牌进行加密;
步骤S102,从数据库获取用户私钥,并基于用户私钥对加密用户信息进行解密,得到加密用户密码和负载密钥;
步骤S103,基于用户标识从数据库中获取预先存储的用户密码密文,并将加密用户密码和用户密码密文进行比对,得到比对结果;
步骤S104,在比对结果指示加密用户密码和用户密码密文一致的情况下,基于用户端IP地址生成登录令牌,并将加密后的登录令牌发送至用户端。
通过上述步骤,先接收用户端的系统登录请求,并基于系统登录请求获取用户端的用户端IP地址,再从数据库获取用户私钥,并基于用户私钥对加密用户信息进行解密,得到加密用户密码和负载密钥,然后基于用户标识从数据库中获取预先存储的用户密码密文,并将加密用户密码和用户密码密文进行比对,得到比对结果,最后在比对结果指示加密用户密码和用户密码密文一致的情况下,基于用户端IP地址生成登录令牌,并将加密后的登录令牌发送至用户端。
本实施例中,在获取登录令牌时,服务器接收用户端发送的经过二次加密的用户信息,并通过用户端的系统登录请求获取用户端的IP地址,然后对加密的用户信息进行解密得到加密用户密码,对加密用户密码进行校验,在校验通过的情况下,基于用户端的IP地址生成登录令牌,同时采用用户端发送的负载密钥对登录令牌进行加密,防止登录令牌在传输过程中被泄密或篡改,二次加密的用户信息增强了用户信息传输的安全性,降低了用户信息泄露的风险,进而解决了相关技术中,通过静态口令身份认证技术或非对称加密算法获取登录令牌的方式,容易造成用户登录密码泄露以及令牌盗用的技术问题。
下面结合上述各步骤对本发明实施例进行详细说明。
需要说明的是,本发明实施例的实施主体为服务器,服务器与业务人员所在的用户端进行连接,当业务人员首次登录目标系统或在现有登录令牌失效的情况下,都需要向服务器获取新的登录令牌,在获取登录令牌之后,用户端可以直接基于登录令牌登入目标系统,登录令牌携带有用户访问权限,用户端将登录令牌发送到服务器,服务器对该登录令牌进行校验,校验通过则允许用户登入系统,并执行用户权限之内的业务操作。
可选地,在接收用户端的系统登录请求之前,还包括:在用户端新增业务人员的情况下,接收用户端发送的注册用户标识和初始用户密码;基于注册用户密码生成加密公钥和加密私钥;对初始用户密码进行加密处理,得到用户密码密文;将注册用户标识、加密公钥、加密私钥和用户密码密文存储至数据库。
需要说明的是,在用户端新增业务人员时,需要对新增的业务人员进行注册,业务人员在用户端输入注册用户标识和初始的用户密码,然后向服务器发送注册请求,服务器在接收到用户端的发送的注册信息和注册请求之后,为该用户配置用于数据交互的加密密钥对,包括用户公钥和用户私钥,配置加密密钥对可以采用RSA算法,用户私钥存储在服务器的数据库中,用户公钥可以发送至用户端供用户端对数据加密使用,同时将用户端发送的初始用户密码进行加密处理,得到用户密码密文,将用户标识、用户密码密文、加密公钥和加密私钥一起存储至数据库中,便于后续根据用户标识直接提取用户密码密文和用户公私钥。
可选地,在接收用户端的系统登录请求之前,还包括:接收用户端发送的用户标识,并基于用户标识查询数据库,获取该用户标识对应的加密公钥;将加密公钥发送至用户端,其中,加密公钥用于对用户端的加密用户密码和负载密钥进行二次加密。
需要说明的是,本发明实施例为了保证数据传输的安全性,用户端会对本方的信息进行两次加密操作,首先将用户端的用户密码进行加密得到加密用户密码,然后生成本次交互过程中用于对登录令牌进行加密的负载密钥,并从服务器获取用户公钥,基于用户公钥对加密用户密码和负载密钥进行二次加密,因此在向用户发送登录请求,获取登录令牌之前,需要向服务器发送访问请求,获取用于二次加密的用户公钥,服务器根据用户端发送的用户标识,在数据库中提取该标识对应的用户公钥发送至用户端。
需要说明的是,用户端在向服务器发送登录请求,获取登录令牌之前,需要先对本方的信息进行处理,首先对用户登录密码进行加密,得到加密用户密码,保证登录密码在数据传输过程中的安全性,登录密码是用户登入目标系统的重要凭证,用于校验获取登录令牌,一旦用户登录密码泄露,目标系统将会面临数据泄露的风险,然后用户端还需要生成用于加密登录令牌负载部分的负载密钥,登录令牌的负载部分会存储用户标识,用户权限信息和用户端IP地址等重要信息,负载密钥对其进行加密,可以保证在传输过程中的安全性,在获取加密用户密码和负载密钥之后,用户端会根据获取的用户公钥对两者进行二次加密,得到加密用户信息,并根据加密用户信息、用户标识生成系统登录请求。
步骤S101,接收用户端的系统登录请求,并基于系统登录请求获取用户端的用户端IP地址。
需要说明的是,用户端发送的系统登录请求携带有加密用户信息和用户标识,加密用户信息包括加密后的用户密码以及用于加密的负载私钥,且通过用户登录请求,服务器可以读取到用户端的IP地址,该用户端的IP地址可以作为后续验证令牌是否被盗用的凭证。
步骤S102,从数据库获取用户私钥,并基于用户私钥对加密用户信息进行解密,得到加密用户密码和负载密钥。
需要说明的是,服务器在接收到用户端发送的系统登录请求之后,首先根据用户标识判断该用户是否为预先注册过的用户,然后根据该用户标识从数据库读取对应的用户私钥,对请求携带的加密用户信息进行解析,可以得到加密用户密码和负载密钥。
步骤S103,基于用户标识从数据库中获取预先存储的用户密码密文,并将加密用户密码和用户密码密文进行比对,得到比对结果。
需要说明的是,在获取到加密用户密码后,需要对该密码进行验证,得到将解密得到的加密用户密码与数据库中注册时存储的用户密码密文进行比对,若两者一致,则对该用户生成登录系统的专用登录令牌。
可选地,在将加密用户密码和用户密码密文进行比对,得到比对结果之后,还包括:在比对结果指示加密用户密码和用户密码密文一致的情况下,基于用户标识获取用户权限信息,其中,用户权限信息至少包括:用户角色信息、用户访问目录信息;基于用户标识和用户权限信息生成用户访问信息。
需要说明的是,根据比对结果确定该用户是否具有访问权限,若用户端发送的加密用户密码与数据库存储的用户密码密文一致,则根据该用户的用户标识确定用户权限信息,用户权限信息指定的用户角色,并规定了用户可以访问的目录菜单以及可以执行的业务操作,例如对于会员系统,若业务人员为办理会员信贷还款业务的业务人员,则可以访问会员系统的用户历史贷款信息、历史还款信息等。
步骤S104,在比对结果指示加密用户密码和用户密码密文一致的情况下,基于用户端IP地址生成登录令牌,并将加密后的登录令牌发送至用户端。
可选地,生成登录令牌,并将加密后的登录令牌发送至用户端的步骤包括:对用户访问信息进行封装,得到封装后的用户访问信息;创建初始登录令牌,并将封装后的用户访问信息和用户端IP地址放置到初始登录令牌的负载区域,得到登录令牌;基于负载密钥对登录令牌进行加密,并将加密后的登录令牌发送至用户端。
需要说明的是,在获取到用户的访问权限信息之后,需要对用户访问信息进行封装,并将封装后的用户访问信息加入到登录令牌的负载区域,同时将用户端IP地址也放入负载区域,后续每次数据交互需要校验登录令牌并验证用户端IP地址,防止令牌被盗用,在得到该用户专用的登录令牌之后,根据解密得到的负载密钥登录令牌的负载部分进行加密,并将加密后的登录令牌发送至用户端,解决了登录令牌机制容易造成与用户信息泄露的问题。
可选地,在生成登录令牌,并将加密后的登录令牌发送至用户端之后,还包括:接收用户端发送的业务请求,其中,业务请求至少包括:用户标识、登录令牌;基于用户标识查询数据库,获取该用户标识对应的登录令牌,并将存储在数据库中的登录令牌和业务请求携带的登录令牌进行匹配,得到匹配结果;在匹配结果指示两个登录令牌一致的情况下,判断业务请求的登录令牌是否有效;在业务请求的登录令牌有效的情况下,响应用户端的业务请求,允许用户端的业务人员登录目标系统,并进行业务操作。
需要说明的是,用户端在接收到服务器发送的登录令牌之后,首先需要对登录令牌进行解码,并通过本地存储的负载密钥对登录令牌进行解密,获取用户访问信息,并将令牌存储至本地数据库,在需要访问目标系统进行数据交互时,从本地数据库拿取登录令牌访问目标系统。
需要说明的是,服务器在接收到用户端的登录令牌之后,需要对该登录令牌进行校验确定该用户是否可以访问目标系统,校验过程中首先需要根据用户标识获取服务器数据库中存储的登录令牌,将用户端发送的登录令牌与数据库存储的登录令牌进行比对,并确定登录令牌中存储的用户端IP地址是否正确,在两者一致且用户端IP地址正确的情况下,确定令牌是否失效,若失效则返回超时,由用户端向服务器再次获取有效令牌,若有效则允许用户端访问目标系统。
下面结合另一实施例进行详细说明。
实施例二
根据本发明实施例,提供了一种目标系统登录令牌的获取方法的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本发明实施例提供的目标系统登录令牌的获取方法,是以用户端为执行主体进行说明的,该用户端是金融机构业务人员所在的终端,用户端与服务器连接。
图2是根据本发明实施例的另一种可选的目标系统登录令牌的获取方法的流程图,如图2所示,该方法包括如下步骤:
步骤S201,向服务器发送系统登录请求,其中,系统登录请求至少包括:加密用户信息、用户标识,加密用户信息是对加密用户密码和负载密钥进行二次加密得到的,加密用户密码是对用户登录密码进行加密得到的,负载密钥用于对登录令牌进行加密;
步骤S202,接收服务器发送的加密登录令牌,并基于负载密钥对加密登录令牌进行解密,得到登录令牌,其中,登录令牌是基于用户端IP地址生成的,登录令牌中包含有用户权限信息。
通过上述步骤,向服务器发送系统登录请求,然后接收服务器发送的加密登录令牌,并基于负载密钥对加密登录令牌进行解密,得到登录令牌,其中,登录令牌中包含有用户权限信息。
本实施例中,在获取登录令牌时,服务器接收用户端发送的经过二次加密的用户信息,并通过用户端的系统登录请求获取用户端的IP地址,然后对加密的用户信息进行解密得到加密用户密码,对加密用户密码进行校验,在校验通过的情况下,基于用户端的IP地址生成登录令牌,同时采用用户端发送的负载密钥对登录令牌进行加密,防止登录令牌在传输过程中被泄密或篡改,二次加密的用户信息增强了用户信息传输的安全性,降低了用户信息泄露的风险,进而解决了相关技术中,通过静态口令身份认证技术或非对称加密算法获取登录令牌的方式,容易造成用户登录密码泄露以及令牌盗用的技术问题。
下面结合上述各步骤对本发明实施例进行详细说明。
需要说明的是,本发明实施例的实施主体为金融业务人员所在的用户端,当业务人员首次登录目标系统或在现有登录令牌失效的情况下,都需要向服务器获取新的登录令牌,在获取登录令牌之后,用户端可以直接基于登录令牌登入目标系统,登录令牌携带有用户访问权限,用户端将登录令牌发送到服务器,服务器对该登录令牌进行校验,校验通过则允许用户登入系统,并执行用户权限之内的业务操作。
需要说明的是,在用户端新增业务人员时,需要对新增的业务人员进行注册,业务人员在用户端输入注册用户标识和初始的用户密码,然后向服务器发送注册请求,服务器在接收到用户端的发送的注册信息和注册请求之后,为该用户配置用于数据交互的加密密钥对,包括用户公钥和用户私钥,配置加密密钥对可以采用RSA算法,用户私钥存储在服务器的数据库中,用户公钥可以发送至用户端供用户端对数据加密使用,同时将用户端发送的初始用户密码进行加密处理,得到用户密码密文,将用户标识、用户密码密文、加密公钥和加密私钥一起存储至数据库中,便于后续根据用户标识直接提取用户密码密文和用户公私钥。
需要说明的是,本发明实施例为了保证数据传输的安全性,用户端会对本方的信息进行两次加密操作,首先将用户端的用户密码进行加密得到加密用户密码,然后生成本次交互过程中用于对登录令牌进行加密的负载密钥,并从服务器获取用户公钥,基于用户公钥对加密用户密码和负载密钥进行二次加密,因此在向用户发送登录请求,获取登录令牌之前,需要向服务器发送访问请求,获取用于二次加密的用户公钥,服务器根据用户端发送的用户标识,在数据库中提取该标识对应的用户公钥发送至用户端。
可选地,在向服务器发送系统登录请求之前,还包括:对用户登录密码进行加密,得到加密登录密码;生成负载密钥,其中,负载密钥用于对登录令牌进行加密;从服务器获取用户公钥,并基于用户公钥对加密登录密码和负载密钥进行二次加密,得到加密用户信息;基于加密用户信息、用户标识生成系统登录请求。
需要说明的是,用户端在向服务器发送登录请求,获取登录令牌之前,需要先对本方的信息进行处理,首先对用户登录密码进行加密,得到加密用户密码,保证登录密码在数据传输过程中的安全性,登录密码是用户登入目标系统的重要凭证,用于校验获取登录令牌,一旦用户登录密码泄露,目标系统将会面临数据泄露的风险,然后用户端还需要生成用于加密登录令牌负载部分的负载密钥,登录令牌的负载部分会存储用户标识,用户权限信息和用户端IP地址等重要信息,负载密钥对其进行加密,可以保证在传输过程中的安全性,在获取加密用户密码和负载密钥之后,用户端会根据获取的用户公钥对两者进行二次加密,得到加密用户信息,并根据加密用户信息、用户标识生成系统登录请求。
步骤S201,向服务器发送系统登录请求。
需要说明的是,用户端发送的系统登录请求携带有加密用户信息和用户标识,加密用户信息包括加密后的用户密码以及用于加密的负载私钥,且通过用户登录请求,服务器可以读取到用户端的IP地址,该用户端IP地址可以作为后续验证令牌是否被盗用的凭证。
需要说明的是,服务器在接收到用户端发送的系统登录请求之后,首先根据用户标识判断该用户是否为预先注册过的用户,然后根据该用户标识从数据库读取对应的用户私钥,对请求携带的加密用户信息进行解析,可以得到加密用户密码和负载密钥。
需要说明的是,在获取到加密用户密码后,需要对该密码进行验证,得到将解密得到的加密用户密码与数据库中注册时存储的用户密码密文进行比对,若两者一致,则对该用户生成登录系统的专用登录令牌。
需要说明的是,根据比对结果确定该用户是否具有访问权限,若用户端发送的加密用户密码与数据库存储的用户密码密文一致,则根据该用户的用户标识确定用户权限信息,用户权限信息指定的用户角色,并规定了用户可以访问的目录菜单以及可以执行的业务操作,例如对于会员系统,若业务人员为办理会员信贷还款业务的业务人员,则可以访问会员系统的用户历史贷款信息、历史还款信息等。
需要说明的是,在获取到用户的访问权限信息之后,需要对用户访问信息进行封装,并将封装后的用户访问信息加入到登录令牌的负载区域,同时将用户端IP地址也放入负载区域,后续每次数据交互需要校验登录令牌并验证用户端IP地址,防止令牌被盗用,在得到该用户专用的登录令牌之后,根据解密得到的负载密钥登录令牌的负载部分进行加密,并将加密后的登录令牌发送至用户端,解决了登录令牌机制容易造成与用户信息泄露的问题。
步骤S202,接收服务器发送的加密登录令牌,并基于负载密钥对加密登录令牌进行解密,得到登录令牌,其中,登录令牌是基于用户端IP地址生成的,登录令牌中包含有用户权限信息。
需要说明的是,用户端在接收到服务器发送的登录令牌之后,首先需要对登录令牌进行解码,并通过本地存储的负载密钥对登录令牌进行解密,获取用户访问信息,并将令牌存储至本地数据库,在需要访问目标系统进行数据交互时,从本地数据库拿取登录令牌访问目标系统。
需要说明的是,服务器在接收到用户端的登录令牌之后,需要对该登录令牌进行校验确定该用户是否可以访问目标系统,校验过程中首先需要根据用户标识获取服务器数据库中存储的登录令牌,将用户端发送的登录令牌与数据库存储的登录令牌进行比对,并确定登录令牌中存储的用户端IP地址是否正确,在两者一致且用户端IP地址正确的情况下,确定令牌是否失效,若失效则返回超时,由用户端向服务器再次获取有效令牌,若有效则允许用户端访问目标系统。
下面结合另一实施例进行详细说明。
实施例三
本实施例中提供的一种目标系统登录令牌的获取系统,该目标系统登录令牌的获取系统对应于上述实施例一中的各个实施步骤。
需要说明的是,该目标系统登录令牌的获取系统包括:业务人员所在的用户端,服务器以及数据库,数据库为服务器端的数据库,服务器可以直接访问数据库,该目标系统登录令牌的获取系统可以为用户端配置登录令牌,用于用户端访问目标系统,执行相关业务操作和数据交互。
图3是根据本发明实施例的一种可选的获取目标系统登录令牌的时序图,该目标系统登录令牌的获取系统对应于获取目标系统登录令牌的方法,如图3所示,登录令牌的获取流程如下:
步骤301,业务人员登录用户端,获取localstorage(本地数据库),存储的JWT令牌(登录令牌,本发明实施例以JWT令牌进行示意说明);
步骤302,向服务器上送JWT令牌;
步骤303,判断JWT令牌是否失效,若失效,执行步骤304,若有效,则允许用户登录;
步骤304,向用户端返回超时;
步骤305,用户端返回登录界面;
步骤306,向服务器发送用户标识,获取用户公钥;
需要说明的是,在用户进行注册时,管理员会在数据库中添加业务员,并根据用户标识生成RSA算法的公私钥并存储在数据库中,登录时前端通过用户标识到服务器获取用户公钥。
步骤307,服务器基于用户标识从数据库获取用户公钥;
步骤308,数据库返回用户公钥;
步骤309,服务器返回用户公钥;
步骤310,用户端获取到用户公钥之后,使用SM3算法(本发明实施例以SM3算法进行示意说明,还可以采用其他的对称加密算法)对用户密码(用户登录密码)进行加密,得到加密用户密码;
步骤311,生成本次登录的AES密钥(负载密钥,可以基于AES算法生成);
步骤312,使用用户公钥对加密用户密码和AES密钥进行二次加密,得到加密用户信息;
步骤313,对加密用户信息和用户标识进行封装,生成系统登录请求;
步骤314,用户端向服务器发送系统登录请求;
步骤315,服务器判断用户标识是否存储在数据库,并基于用户标识获取用户私钥;
步骤316,数据库返回用户私钥;
步骤317,服务器通过用户私钥对登录请求携带的加密用户信息进行解密,得到加密用户密码和负载密钥;
步骤318,将加密用户密码与数据库存储的用户密码密文进行比对,得到比对结果,若比对结果显示用户密码错误,则返回密码错误信息,密码错误次数超过5次则锁定账户2小时,避免攻击者通过撞库等方式暴力破解;
步骤319,在对比结果指示用户密码正确的情况下,获取用户权限信息,并对用户权限信息进行封装;
步骤320,生成JWT令牌,将用户权限信息和用户端IP地址放入令牌中的payload(负载)部分,防止前后端数据交互过程中JWT令牌被盗用,并基于用户端发送的负载密钥对payload部分进行加密,同时,将JWT令牌和AES密钥保存到redis数据库中,用于后续业务操作过程中数据交互的双重认证使用;
步骤321,向用户端返回JWT令牌;
步骤322,用户端解码JWT令牌;
步骤323,基于负载密钥解密payload内容获取用户权限信息;
步骤324,将令牌保存到localstorage;
步骤325,用户端向服务器发送业务请求;
步骤326,服务器判断JWT令牌是否失效,判断payload中的IP地址是否正确,验证通过则允许用户进行业务操作。
上述实施例,在用户端获取登录令牌时,针对传统的目标系统登录过程中使用单一的对称加密算法或者非对称加密算法存在的密钥泄露、加密速度等方面的影响,采用对称加密算法和非对称加密算法相结合的方式,使用SM3对用户名和密码等用户信息进行加密,使用服务器传输的用户公钥对SM3加密过的用户信息以及负载密钥进行二次加密,解决了密钥泄露和加密速度的问题。
上述实施例,管理员预先为每个用户标识配置了用户公私钥,避免了非对称加密密钥分发困难的问题。
上述实施例,使用AES算法生成的负载密钥对JWT令牌中的payload部分进行加密,解决了JWT机制容易造成用户信息泄露问题。
上述实施例,在JWT中加入用户端IP地址,并将JWT令牌存储在服务器数据库中,每次数据交互前需要对比JWT令牌并校验用户端IP地址,防止令牌被盗用。
下面结合另一实施例进行详细说明。
实施例四
本实施例中提供了一种目标系统登录令牌的获取装置包含了多个实施单元,每个实施单元对应于上述实施例一中的各个实施步骤。
图4是根据本发明实施例的一种可选的目标系统登录令牌的获取装置的示意图,如图4所示,该获取装置包括:接收单元41、获取单元42、比对单元43、生成单元44,其中,
接收单元41,用于接收用户端的系统登录请求,并基于系统登录请求获取用户端的用户端IP地址,其中,系统登录请求至少包括:加密用户信息、用户标识,加密用户信息是对用户端的加密用户密码和负载密钥进行二次加密得到的,加密用户密码是对用户登录密码进行加密得到的,负载密钥用于对登录令牌进行加密;
获取单元42,用于从数据库获取用户私钥,并基于用户私钥对加密用户信息进行解密,得到加密用户密码和负载密钥;
比对单元43,用于基于用户标识从数据库中获取预先存储的用户密码密文,并将加密用户密码和用户密码密文进行比对,得到比对结果;
生成单元44,用于在比对结果指示加密用户密码和用户密码密文一致的情况下,基于用户端IP地址生成登录令牌,并将加密后的登录令牌发送至用户端。
上述登录令牌的获取装置,通过接收单元41接收用户端的系统登录请求,并基于系统登录请求获取用户端的用户端IP地址;通过获取单元42从数据库获取用户私钥,并基于用户私钥对加密用户信息进行解密,得到加密用户密码和负载密钥;通过比对单元43基于用户标识从数据库中获取预先存储的用户密码密文,并将加密用户密码和用户密码密文进行比对,得到比对结果;通过生成单元44在比对结果指示加密用户密码和用户密码密文一致的情况下,基于所述用户端IP地址生成登录令牌,并将加密后的登录令牌发送至用户端。
本实施例中,在获取登录令牌时,服务器接收用户端发送的经过二次加密的用户信息,并通过用户端的系统登录请求获取用户端的IP地址,然后对加密的用户信息进行解密得到加密用户密码,对加密用户密码进行校验,在校验通过的情况下,基于用户端的IP地址生成登录令牌,同时采用用户端发送的负载密钥对登录令牌进行加密,防止登录令牌在传输过程中被泄密或篡改,二次加密的用户信息增强了用户信息传输的安全性,降低了用户信息泄露的风险,进而解决了相关技术中,通过静态口令身份认证技术或非对称加密算法获取登录令牌的方式,容易造成用户登录密码泄露以及令牌盗用的技术问题。
可选地,目标系统登录令牌的获取装置还包括:第一接收模块,用于在用户端新增业务人员的情况下,接收用户端发送的注册用户标识和初始用户密码;第一生成模块,用于基于注册用户密码生成加密公钥和加密私钥;第一加密模块,用于对初始用户密码进行加密处理,得到用户密码密文;第一存储模块,用于将注册用户标识、加密公钥、加密私钥和用户密码密文存储至数据库。
可选地,目标系统登录令牌的获取装置还包括:第二接收模块,用于接收用户端发送的用户标识,并基于用户标识查询数据库,获取该用户标识对应的加密公钥;第一发送模块,用于将加密公钥发送至用户端,其中,加密公钥用于对用户端的加密用户密码和负载密钥进行二次加密。
可选地,目标系统登录令牌的获取装置还包括:第一获取模块,用于在比对结果指示加密用户密码和用户密码密文一致的情况下,基于用户标识获取用户权限信息,其中,用户权限信息至少包括:用户角色信息、用户访问目录信息;第二生成模块,用于基于用户标识和用户权限信息生成用户访问信息。
可选地,生成单元44包括:第一封装模块,用于对用户访问信息进行封装,得到封装后的用户访问信息;第一创建模块,用于创建初始登录令牌,并将封装后的用户访问信息和用户端IP地址放置到初始登录令牌的负载区域,得到登录令牌;第二加密模块,用于基于负载密钥对登录令牌进行加密,并将加密后的登录令牌发送至用户端。
可选地,目标系统登录令牌的获取装置还包括:第三接收模块,用于接收用户端发送的业务请求,其中,业务请求至少包括:用户标识、登录令牌;第一查询模块,用于基于用户标识查询数据库,获取该用户标识对应的登录令牌,并将存储在数据库中的登录令牌和业务请求携带的登录令牌进行匹配,得到匹配结果;第一判断模块,用于在匹配结果指示两个登录令牌一致的情况下,判断业务请求的登录令牌是否有效;第一响应模块,用于在业务请求的登录令牌有效的情况下,响应用户端的业务请求,允许用户端的业务人员登录目标系统,并进行业务操作。
根据本发明实施例的另一方面,还提供了一种目标系统登录令牌的获取装置,应用于用户端,包括:发送单元,用于向服务器发送系统登录请求,其中,系统登录请求至少包括:加密用户信息、用户标识,加密用户信息是对加密用户密码和负载密钥进行二次加密得到的,加密用户密码是对用户登录密码进行加密得到的,负载密钥用于对登录令牌进行加密;解密单元,用于接收服务器发送的加密登录令牌,并基于负载密钥对加密登录令牌进行解密,得到登录令牌,其中,登录令牌是基于用户端IP地址生成的,登录令牌中包含有用户权限信息。
可选地,目标系统登录令牌的获取装置还包括:第三加密模块,用于对用户登录密码进行加密,得到加密登录密码;第三生成模块,用于生成负载密钥,其中,负载密钥用于对登录令牌进行加密;第四加密模块,用于从服务器获取用户公钥,并基于用户公钥对加密登录密码和负载密钥进行二次加密,得到加密用户信息;第四生成模块,用于基于加密用户信息、用户标识生成系统登录请求。
上述的目标系统登录令牌的获取装置还可以包括处理器和存储器,上述接收单元41、获取单元42、比对单元43、生成单元44等均作为程序单元存储在存储器中,由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
上述处理器中包含内核,由内核去存储器中调取相应的程序单元。内核可以设置一个或以上,通过调整内核参数来获取用于登录目标系统的登录令牌。
上述存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM),存储器包括至少一个存储芯片。
根据本发明实施例的另一方面,还提供了一种计算机可读存储介质,计算机可读存储介质包括存储的计算机程序,其中,在计算机程序运行时控制计算机可读存储介质所在设备执行上述任意一项目标系统登录令牌的获取方法。
根据本发明实施例的另一方面,还提供了一种电子设备,,包括一个或多个处理器和存储器,存储器用于存储一个或多个程序,其中,当一个或多个程序被一个或多个处理器执行时,使得一个或多个处理器实现上述任意一项目标系统登录令牌的获取方法。
本申请还提供了一种计算机程序产品,当在数据处理设备上执行时,适于执行初始化有如下方法步骤的程序:接收用户端的系统登录请求,并基于系统登录请求获取用户端的用户端IP地址,其中,系统登录请求至少包括:加密用户信息、用户标识,加密用户信息是对用户端的加密用户密码和负载密钥进行二次加密得到的,加密用户密码是对用户登录密码进行加密得到的,负载密钥用于对登录令牌进行加密;从数据库获取用户私钥,并基于用户私钥对加密用户信息进行解密,得到加密用户密码和负载密钥;基于用户标识从数据库中获取预先存储的用户密码密文,并将加密用户密码和用户密码密文进行比对,得到比对结果;在比对结果指示加密用户密码和用户密码密文一致的情况下,基于所述用户端IP地址生成登录令牌,并将加密后的登录令牌发送至用户端。
图5是根据本发明实施例的一种目标系统登录令牌的获取方法的电子设备(或移动设备)的硬件结构框图。如图5所示,电子设备可以包括一个或多个(图5中采用502a、502b,……,502n来示出)处理器502(处理器502可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器504。除此以外,还可以包括:显示器、输入/输出接口(I/O接口)、通用串行总线(USB)端口(可以作为I/O接口的端口中的一个端口被包括)、网络接口、键盘、电源和/或相机。本领域普通技术人员可以理解,图5所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,电子设备还可包括比图5中所示更多或者更少的组件,或者具有与图5所示不同的配置。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (12)

1.一种目标系统登录令牌的获取方法,其特征在于,应用于服务器,包括:
接收用户端的系统登录请求,并基于所述系统登录请求获取所述用户端的用户端IP地址,其中,所述系统登录请求至少包括:加密用户信息、用户标识,所述加密用户信息是对所述用户端的加密用户密码和负载密钥进行二次加密得到的,所述加密用户密码是对用户登录密码进行加密得到的,所述负载密钥用于对登录令牌进行加密;
从数据库获取用户私钥,并基于所述用户私钥对所述加密用户信息进行解密,得到所述加密用户密码和所述负载密钥;
基于所述用户标识从所述数据库中获取预先存储的用户密码密文,并将所述加密用户密码和所述用户密码密文进行比对,得到比对结果;
在所述比对结果指示所述加密用户密码和所述用户密码密文一致的情况下,基于所述用户端IP地址生成所述登录令牌,并将加密后的所述登录令牌发送至所述用户端。
2.根据权利要求1所述登录令牌的获取方法,其特征在于,在接收用户端的系统登录请求之前,还包括:
在所述用户端新增业务人员的情况下,接收所述用户端发送的注册用户标识和初始用户密码;
基于所述注册用户密码生成加密公钥和加密私钥;
对所述初始用户密码进行加密处理,得到所述用户密码密文;
将所述注册用户标识、所述加密公钥、所述加密私钥和所述用户密码密文存储至所述数据库。
3.根据权利要求1所述登录令牌的获取方法,其特征在于,在接收用户端的系统登录请求之前,还包括:
接收所述用户端发送的用户标识,并基于所述用户标识查询所述数据库,获取该用户标识对应的加密公钥;
将所述加密公钥发送至所述用户端,其中,所述加密公钥用于对所述用户端的所述加密用户密码和所述负载密钥进行二次加密。
4.根据权利要求1所述登录令牌的获取方法,其特征在于,在将所述加密用户密码和所述用户密码密文进行比对,得到比对结果之后,还包括:
在所述比对结果指示所述加密用户密码和所述用户密码密文一致的情况下,基于所述用户标识获取用户权限信息,其中,所述用户权限信息至少包括:用户角色信息、用户访问目录信息;
基于所述用户标识和所述用户权限信息生成用户访问信息。
5.根据权利要求4所述登录令牌的获取方法,其特征在于,基于所述用户端IP地址生成所述登录令牌,并将加密后的所述登录令牌发送至所述用户端的步骤包括:
对所述用户访问信息进行封装,得到封装后的所述用户访问信息;
创建初始登录令牌,并将封装后的所述用户访问信息和所述用户端IP地址放置到所述初始登录令牌的负载区域,得到所述登录令牌;
基于所述负载密钥对所述登录令牌进行加密,并将加密后的所述登录令牌发送至所述用户端。
6.根据权利要求1所述登录令牌的获取方法,其特征在于,在生成所述登录令牌,并将加密后的所述登录令牌发送至所述用户端之后,还包括:
接收所述用户端发送的业务请求,其中,所述业务请求至少包括:所述用户标识、所述登录令牌;
基于所述用户标识查询所述数据库,获取该用户标识对应的登录令牌,并将存储在所述数据库中的登录令牌和所述业务请求携带的所述登录令牌进行匹配,得到匹配结果;
在所述匹配结果指示两个登录令牌一致的情况下,判断所述业务请求的登录令牌是否有效;
在所述业务请求的登录令牌有效的情况下,响应所述用户端的业务请求,允许所述用户端的业务人员登录目标系统,并进行业务操作。
7.一种目标系统登录令牌的获取方法,其特征在于,应用于用户端,包括:
向服务器发送系统登录请求,其中,所述系统登录请求至少包括:加密用户信息、用户标识,所述加密用户信息是对加密用户密码和负载密钥进行二次加密得到的,所述加密用户密码是对用户登录密码进行加密得到的,所述负载密钥用于对登录令牌进行加密;
接收所述服务器发送的加密登录令牌,并基于所述负载密钥对所述加密登录令牌进行解密,得到登录令牌,其中,所述登录令牌是基于用户端IP地址生成的,所述登录令牌中包含有用户权限信息。
8.根据权利要求7所述登录令牌的获取方法,其特征在于,在向服务器发送系统登录请求之前,还包括:
对所述用户登录密码进行加密,得到加密登录密码;
生成负载密钥,其中,所述负载密钥用于对登录令牌进行加密;
从所述服务器获取用户公钥,并基于所述用户公钥对所述加密登录密码和所述负载密钥进行二次加密,得到加密用户信息;
基于所述加密用户信息、所述用户标识生成所述系统登录请求。
9.一种目标系统登录令牌的获取装置,其特征在于,应用于服务器,包括:
接收单元,用于接收用户端的系统登录请求,并基于所述系统登录请求获取所述用户端的用户端IP地址,其中,所述系统登录请求至少包括:加密用户信息、用户标识,所述加密用户信息是对所述用户端的加密用户密码和负载密钥进行二次加密得到的,所述加密用户密码是对用户登录密码进行加密得到的,所述负载密钥用于对登录令牌进行加密;
获取单元,用于从数据库获取用户私钥,并基于所述用户私钥对所述加密用户信息进行解密,得到所述加密用户密码和所述负载密钥;
比对单元,用于基于所述用户标识从所述数据库中获取预先存储的用户密码密文,并将所述加密用户密码和所述用户密码密文进行比对,得到比对结果;
生成单元,用于在所述比对结果指示所述加密用户密码和所述用户密码密文一致的情况下,基于所述用户端IP地址生成所述登录令牌,并将加密后的所述登录令牌发送至所述用户端。
10.一种目标系统登录令牌的获取装置,其特征在于,应用于用户端,包括:
发送单元,用于向服务器发送系统登录请求,其中,所述系统登录请求至少包括:加密用户信息、用户标识,所述加密用户信息是对加密用户密码和负载密钥进行二次加密得到的,所述加密用户密码是对用户登录密码进行加密得到的,所述负载密钥用于对登录令牌进行加密;
解密单元,用于接收所述服务器发送的加密登录令牌,并基于所述负载密钥对所述加密登录令牌进行解密,得到登录令牌,其中,所述登录令牌是基于用户端IP地址生成的,所述登录令牌中包含有用户权限信息。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括存储的计算机程序,其中,在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行权利要求1至8中任意一项所述的目标系统登录令牌的获取方法。
12.一种电子设备,其特征在于,包括一个或多个处理器和存储器,所述存储器用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现权利要求1至8中任意一项所述的目标系统登录令牌的获取方法。
CN202310891040.9A 2023-07-19 2023-07-19 目标系统登录令牌的获取方法及其装置、电子设备 Pending CN116886372A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310891040.9A CN116886372A (zh) 2023-07-19 2023-07-19 目标系统登录令牌的获取方法及其装置、电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310891040.9A CN116886372A (zh) 2023-07-19 2023-07-19 目标系统登录令牌的获取方法及其装置、电子设备

Publications (1)

Publication Number Publication Date
CN116886372A true CN116886372A (zh) 2023-10-13

Family

ID=88261898

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310891040.9A Pending CN116886372A (zh) 2023-07-19 2023-07-19 目标系统登录令牌的获取方法及其装置、电子设备

Country Status (1)

Country Link
CN (1) CN116886372A (zh)

Similar Documents

Publication Publication Date Title
US6950523B1 (en) Secure storage of private keys
US11824991B2 (en) Securing transactions with a blockchain network
EP0043027B1 (en) Electronic signature verification method and system
US9858401B2 (en) Securing transactions against cyberattacks
CN110990827A (zh) 一种身份信息验证方法、服务器及存储介质
CN101005361B (zh) 一种服务器端软件保护方法及系统
US8775794B2 (en) System and method for end to end encryption
CN105743638B (zh) 基于b/s架构系统客户端授权认证的方法
CN111615105B (zh) 信息提供、获取方法、装置及终端
WO2020000786A1 (zh) 一种投票方法、装置、计算机设备及计算机可读存储介质
US10263782B2 (en) Soft-token authentication system
US9055061B2 (en) Process of authentication for an access to a web site
CN107733933B (zh) 一种基于生物识别技术的双因子身份认证的方法及系统
CN108418691A (zh) 基于sgx的动态网络身份认证方法
WO2008118966A1 (en) System and method for user authentication with exposed and hidden keys
CN107317791A (zh) 登录验证方法、登录请求方法和安全登录系统
CN111917535B (zh) 一种数据加密存储方法、装置及服务器
CN111770088A (zh) 数据鉴权方法、装置、电子设备和计算机可读存储介质
US9654466B1 (en) Methods and systems for electronic transactions using dynamic password authentication
US20190278899A1 (en) Method and system for granting authority to acquire terminal attack alarm information log
US20140258718A1 (en) Method and system for secure transmission of biometric data
CN104125064B (zh) 一种动态密码认证方法、客户端及认证系统
CN109347858A (zh) 密码保护方法、身份验证方法、装置、设备及存储介质
CN113472793A (zh) 一种基于硬件密码设备的个人数据保护系统
CN108667801A (zh) 一种物联网接入身份安全认证方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination