CN117424709A - 终端设备的登录方法、设备以及可读存储介质 - Google Patents
终端设备的登录方法、设备以及可读存储介质 Download PDFInfo
- Publication number
- CN117424709A CN117424709A CN202311747148.7A CN202311747148A CN117424709A CN 117424709 A CN117424709 A CN 117424709A CN 202311747148 A CN202311747148 A CN 202311747148A CN 117424709 A CN117424709 A CN 117424709A
- Authority
- CN
- China
- Prior art keywords
- login
- terminal device
- logged
- certificate
- random number
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 78
- 238000003860 storage Methods 0.000 title claims abstract description 20
- 238000012795 verification Methods 0.000 claims abstract description 102
- 230000009471 action Effects 0.000 claims description 7
- 230000004044 response Effects 0.000 claims description 5
- 230000005540 biological transmission Effects 0.000 abstract description 7
- 230000002457 bidirectional effect Effects 0.000 abstract description 6
- 238000005516 engineering process Methods 0.000 abstract description 2
- 230000008569 process Effects 0.000 description 18
- 238000004590 computer program Methods 0.000 description 10
- 238000012545 processing Methods 0.000 description 10
- 238000010586 diagram Methods 0.000 description 8
- 230000004048 modification Effects 0.000 description 5
- 238000012986 modification Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 3
- 230000004075 alteration Effects 0.000 description 2
- 238000004140 cleaning Methods 0.000 description 2
- 238000005336 cracking Methods 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000001815 facial effect Effects 0.000 description 1
- 238000005242 forging Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 238000009827 uniform distribution Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/08—Randomization, e.g. dummy operations or using noise
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及数字信息的传输技术领域,尤其涉及一种终端设备的登录方法、设备以及可读存储介质。通过被登录侧,在接收到登录验证请求时,生成随机数,并将所述随机数发送至所述登录验证请求对应的登录侧;接收所述登录侧基于所述随机数返回的签名值;调用系统主密钥解密预存的证书密文,获得证书公钥;在基于所述证书公钥对所述签名值验签通过后,判定所述登录侧具有登录权限,允许登录。通过双向验证以及只传输随机数和签名值的方式,提高了终端设备在进行登录验证的安全性。
Description
技术领域
本发明涉及数字信息的传输技术领域,尤其涉及一种终端设备的登录方法、设备以及可读存储介质。
背景技术
在登录服务器或者服务器操作系统的时候,通常是通过账号口令的方式进行登录的。但是,账号口令的登录方式存在固有的弱点和风险。例如,由于账号口令本身存在因账号口令简单,导致账号口令容易受到猜测、字典攻击或暴力破解;被攻击者通过钓鱼邮件、钓鱼网站等方式欺骗用户输入密码;在登录服务器的过程中,被攻击者截取账号口。因此通过账号口令的登录方式登录服务器或者服务器操作系统时,存在安全问题。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供一种终端设备的登录方法,旨在解决通过账号口令的登录方式登录服务器或者服务器操作系统时,存在的安全问题。
为实现上述目的,本发明提供的一种终端设备的登录方法,所述终端设备的登录方法应用于被登录侧,所述终端设备的登录方法包括以下步骤:
在接收到登录验证请求时,生成随机数,并将所述随机数发送至所述登录验证请求对应的登录侧;
接收所述登录侧基于所述随机数返回的签名值;
调用系统主密钥解密预存的证书密文,获得证书公钥;
在基于所述证书公钥对所述签名值验签通过后,判定所述登录侧具有登录权限,允许登录。
可选地,所述在接收到登录验证请求时,生成随机数,并将所述随机数发送至所述登录验证请求对应的登录侧的步骤之前,还包括:
在检测到密码钥匙接入时,于所述密码钥匙中获取证书公钥;
调用所述系统主密钥对所述证书公钥进行加密操作,生成所述证书密文;
对所述证书密文进行存储。
可选地,所述在基于所述证书公钥对所述签名值验签通过后,判定所述登录侧具有登录权限,允许登录的步骤之前,还包括:
当基于所述证书公钥对所述签名值验签失败时,判定所述登录侧无登录权限,并确定在预设时间间隔内,所述登录验证请求的请求次数;
根据所述请求次数与请求次数阈值之间的关系,返回登录失败信息。
可选地,所述根据所述请求次数与请求次数阈值之间的关系,返回登录失败信息的步骤包括:
当所述请求次数小于所述请求次数阈值时,发送登录重试信息至所述登录侧,并执行所述在接收到登录验证请求时,生成随机数,并将所述随机数发送至所述登录验证请求对应的登录侧的步骤;
当所述请求次数大于或者等于所述请求次数阈值时,发送禁止登录信息至所述登录侧,并在所述预设时间间隔内,对所述登录侧执行禁止登录的响应。
可选地,所述调用系统主密钥解密预存的证书密文,获得证书公钥的步骤包括:
于缓存中,调用所述系统主密钥,并将所述证书密文传递至所述缓存中;
于所述缓存中,基于所述系统主密钥,对所述证书密文进行解密操作,获得所述证书公钥,并基于所述证书公钥对所述签名值进行验签操作。
可选地,所述终端设备的登录方法应用于登录侧,所述终端设备的登录方法包括:
在进行终端登录时,向被登录侧传递登录验证请求;
接收所述被登录侧返回的随机数;
调用证书私钥对所述随机数进行签名操作,生成签名值;
发送所述签名值至所述被登录侧。
可选地,所述发送所述签名值至所述被登录侧的步骤之后,还包括:
当被所述被登录侧判定具有登录权限时,执行进入所述被登录侧的动作;
当被所述被登录侧判定无登录权限时,根据接收到的登录失败信息,执行登录重试动作。
可选地,所述当被所述被登录侧判定无登录权限时,根据接收到的登录失败信息,执行登录重试动作的步骤包括:
在接收到登录重试信息之后,执行所述向被登录侧传递登录验证请求的步骤;
在接收到禁止登录信息之后,在预设时间间隔内,停止执行所述向被登录侧传递登录验证请求的步骤。
此外,为实现上述目的,本发明还提供一种终端设备的登录设备,所述终端设备的登录设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的终端设备的登录程序,所述终端设备的登录程序被所述处理器执行时实现如上所述的终端设备的登录方法的步骤。
此外,为实现上述目的,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有终端设备的登录程序,所述终端设备的登录程序被处理器执行时实现如上所述的终端设备的登录方法的步骤。
本发明实施例提供终端设备的登录方法,通过被登录侧生成随机数并发送给登录侧,登录侧需要使用该随机数来生成签名值。然后,被登录侧使用系统主密钥解密证书密文获得证书公钥,再使用该公钥对登录侧返回的签名值进行验证。通过双向验证的方式确保登录请求的合法性,防止伪造请求。通过使用系统主密钥对证书密文进行解密,并通过证书公钥对签名值进行验证,可以确保只有具有有效证书和签名的请求会被允许登录,可以防止恶意攻击者利用伪造的证书或签名进行非法登录。在登录验证过程中,只传输了随机数和签名值,不需要传输敏感的证书私钥和证书密文,降低了敏感信息泄露的风险,提高登录验证过程的安全性和可靠性。因此,通过双向验证以及只传输随机数和签名值的方式,提高了终端设备在进行登录验证的安全性。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并与说明书一起用于解释本发明的原理。为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例涉及的终端设备的登录设备的硬件运行环境的架构示意图;
图2为本发明终端设备的登录方法的第一实施例的流程示意图;
图3为本发明终端设备的登录方法的第二实施例的流程示意图;
图4为本发明终端设备的登录方法的第三实施例的流程示意图;
图5为本发明终端设备的登录方法的一示例的流程框架示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图作进一步说明。
具体实施方式
本申请终端设备的登录方法,通过被登录侧,在接收到登录验证请求时,生成随机数,并将所述随机数发送至所述登录验证请求对应的登录侧;接收所述登录侧基于所述随机数返回的签名值;调用系统主密钥解密预存的证书密文,获得证书公钥;在基于所述证书公钥对所述签名值验签通过后,判定所述登录侧具有登录权限,允许登录。通过双向验证以及只传输随机数和签名值的方式,提高了终端设备在进行登录验证的安全性。
为了更好地理解上述技术方案,下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整地传达给本领域的技术人员。
作为一种实现方案,图1为本发明实施例方案涉及的终端设备的登录设备的硬件运行环境的架构示意图。
如图1所示,该终端设备的登录设备可以包括:处理器101,例如中央处理器(Central Processing Unit,CPU),存储器102,通信总线103。其中,存储器102可以是高速的随机存取存储器(Random Access Memory,RAM)存储器,也可以是稳定的非易失性存储器(Non-Volatile Memory,NVM),例如磁盘存储器。存储器102可选的还可以是独立于前述处理器101的存储装置。通信总线103用于实现这些组件之间的连接通信。
本领域技术人员可以理解,图1中示出的结构并不构成对终端设备的登录设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种计算机可读存储介质的存储器102中可以包括操作系统、数据存储模块、网络通信模块、用户接口模块以及终端设备的登录程序。
在图1所示的终端设备的登录设备中,处理器101、存储器102可以设置在终端设备的登录设备中,所述终端设备的登录设备通过处理器101调用存储器102中存储的终端设备的登录程序,并执行以下操作:
在接收到登录验证请求时,生成随机数,并将所述随机数发送至所述登录验证请求对应的登录侧;
接收所述登录侧基于所述随机数返回的签名值;
调用系统主密钥解密预存的证书密文,获得证书公钥;
在基于所述证书公钥对所述签名值验签通过后,判定所述登录侧具有登录权限,允许登录。
在一实施例中,处理器101可以用于调用存储器102中存储的终端设备的登录程序,并执行以下操作:
在检测到密码钥匙接入时,于所述密码钥匙中获取证书公钥;
调用所述系统主密钥对所述证书公钥进行加密操作,生成所述证书密文;
对所述证书密文进行存储。
在一实施例中,处理器101可以用于调用存储器102中存储的终端设备的登录程序,并执行以下操作:
当基于所述证书公钥对所述签名值验签失败时,判定所述登录侧无登录权限,并确定在预设时间间隔内,所述登录验证请求的请求次数;
根据所述请求次数与请求次数阈值之间的关系,返回登录失败信息。
在一实施例中,处理器101可以用于调用存储器102中存储的终端设备的登录程序,并执行以下操作:
当所述请求次数小于所述请求次数阈值时,发送登录重试信息至所述登录侧,并执行所述在接收到登录验证请求时,生成随机数,并将所述随机数发送至所述登录验证请求对应的登录侧的步骤;
当所述请求次数大于或者等于所述请求次数阈值时,发送禁止登录信息至所述登录侧,并在所述预设时间间隔内,对所述登录侧执行禁止登录的响应。
在一实施例中,处理器101可以用于调用存储器102中存储的终端设备的登录程序,并执行以下操作:
于缓存中,调用所述系统主密钥,并将所述证书密文传递至所述缓存中;
于所述缓存中,基于所述系统主密钥,对所述证书密文进行解密操作,获得所述证书公钥,并基于所述证书公钥对所述签名值进行验签操作。
在一实施例中,处理器101可以用于调用存储器102中存储的终端设备的登录程序,并执行以下操作:
在进行终端登录时,向被登录侧传递登录验证请求;
接收所述被登录侧返回的随机数;
调用证书私钥对所述随机数进行签名操作,生成签名值;
发送所述签名值至所述被登录侧。
在一实施例中,处理器101可以用于调用存储器102中存储的终端设备的登录程序,并执行以下操作:
当被所述被登录侧判定具有登录权限时,执行进入所述被登录侧的动作;
当被所述被登录侧判定无登录权限时,根据接收到的登录失败信息,执行登录重试动作。
在一实施例中,处理器101可以用于调用存储器102中存储的终端设备的登录程序,并执行以下操作:
在接收到登录重试信息之后,执行所述向被登录侧传递登录验证请求的步骤;
在接收到禁止登录信息之后,在预设时间间隔内,停止执行所述向被登录侧传递登录验证请求的步骤。
基于上述终端设备的登录设备的硬件架构,提出本发明终端设备的登录方法的实施例。
参照图2,在第一实施例中,所述终端设备的登录方法应用于被登录侧,所述终端设备的登录方法包括以下步骤:
步骤S100:在接收到登录验证请求时,生成随机数,并将所述随机数发送至所述登录验证请求对应的登录侧。
在本实施例中,被登录侧在接收到登录侧发送的登录验证请求之后,根据随机数生成算法,生成随机数。然后将生成的随机数发送至登录验证请求对应的登录侧。其中,由被登录侧发送至登录侧的随机数,用于要求登录侧基于这个随机数返回签名值,以验证登录侧是否具有合法的访问权限。
需要说明的是,这里被登录侧指的是服务器、计算机等终端设备。登录侧指的是密码钥匙、USB密钥、智能卡等用于登录验证的安全设备。可选地,登录侧可以接入到被登录侧上;也可以接入到非被登录侧的终端设备上,以远程登录的方式请求登录被登录侧。
由于这里的随机数用于身份的验证,因此,需要确保生成的随机数具有高度的不可预测性和均匀分布性。
作为一种可选的实施方式,可以通过获取时间信息、生成时间戳、处理时间戳的方式生成随机数。具体地,从终端系统的系统时间中获取时间信息,并将获取的时间信息转换为时间戳,然后对时间戳进行清洗、过滤、变换等处理,获得随机数。
作为另一种可选的实施方式,可以通过初始化伪随机数生成器、生成伪随机数、处理伪随机数的方式生成随机数。具体地,为伪随机数生成提供参数和种子,然后通过伪随机数生成器生成伪随机数,并对生成的伪随机数进行清洗、过滤、变换等处理,以获得随机数。
步骤S200:接收所述登录侧基于所述随机数返回的签名值。
在本实施例中,被登录侧在向登录侧发送随机数之后,接收登录侧返回基于随机数生成的签名值。可选地,预设有签名值接收时间间隔,被登录侧在向登录侧发送随机数之后,若在有签名值接收时间间隔内,未接收到登录侧返回的签名值,则执行拒绝接受登录侧发送的签名值的步骤,并向该登录侧发送重新发送登录验证请求的指令,以要求登录侧重新发送登录验证请求。
通过预设签名值接收时间间隔,要求登录侧在规定时间内返回签名值,以防止攻击者重放登录验证请求进行欺骗,可以进一步提高终端设备的安全性。
步骤S300:调用系统主密钥解密预存的证书密文,获得证书公钥。
在本实施例中,被登录侧在接收到签名值之后,调用系统主密钥对预存的证书密文进行解密操作,获得用于对签名值进行验证操作的证书公钥。可以理解的,这里被系统主密钥解密的证书密文,指的是与接入的密码钥匙对应的证书密文,也即密码钥匙登记时,保存在被登录端的证书密文。这里对该证书密文进行解密获得的证书公钥,是与对随机数进行签名操作的证书私钥对应的证书公钥。
步骤S400:在基于所述证书公钥对所述签名值验签通过后,判定所述登录侧具有登录权限,允许登录。
在本实施例中,被登录侧在获得证书公钥之后,采用证书公钥对接收到的签名值进行验签操作,并在签名值验签通过时,判定发送登录验证请求的登录侧具有登录权限,允许登录终端设备。可以理解的是,登录侧发送的签名值,是登录侧基于证书私钥对随机数进行签名操作生成的。
可选地,当基于所述证书公钥对所述签名值验签失败时,判定所述登录侧无登录权限,并确定在预设时间间隔内,所述登录验证请求的请求次数;然后,进一步地,根据所述请求次数与请求次数阈值之间的关系,返回登录失败信息。
在一实施例中,当所述请求次数小于所述请求次数阈值时,发送登录重试信息至所述登录侧,并执行所述在接收到登录验证请求时,生成随机数,并将所述随机数发送至所述登录请求对应的登录侧的步骤;
在另一实施例中,当所述请求次数大于或者等于所述请求次数阈值时,发送禁止登录信息至所述登录侧,并在所述预设时间间隔内,对所述登录侧执行禁止登录的响应。
通过在证书公钥对签名值进行验签失败时,判定登录侧无登录权限,以防止攻击者通过伪造证书或私钥进行未经授权的登录,进一步提高终端设备的安全性。通过确定在预设的时间间隔内的请求次数,可以控制登录侧发送登录验证请求的频率,进而防止暴力破解或恶意攻击者通过大量登录请求尝试破解或占用系统资源。因此,通过判定验证失败、限制登录请求次数和提供相应的反馈信息,可以增加登录验证的安全性和可控性,防止未经授权的登录和恶意登录行为,并提供用于登录侧的反馈信息和处理机制,这样做的目的是为了控制登录侧的登录行为,以增强终端设备登录验证过程的安全性。
进一步地,被登录侧在调用系统主密钥解密预存的证书密文,以及对签名值进行验签操作的过程中,在被登录侧的缓存中进行。具体地,于缓存中,调用所述系统主密钥,并将所述证书密文传递至所述缓存中;并且于所述缓存中,基于所述系统主密钥,对所述证书密文进行解密操作,获得所述证书公钥,并基于所述证书公钥对所述签名值进行验签操作。
由于缓存位于芯片上,通过在缓存中进行解密和验签操作,能抵抗针对内存的冷启动攻击,确保登录过程的安全性,同时缓冲相比寄存器有更大的空间进行密码运算,可以加快登录验证的速度。因此,于被登录侧的缓存中进行解密操作和验签操作,可以提高登录验证的安全性和响应速度。
在本实施例提供的技术方案中,被登录侧生成随机数并发送给登录侧,登录侧需要使用该随机数来生成签名值。然后,被登录侧使用系统主密钥解密证书密文获得证书公钥,再使用该公钥对登录侧返回的签名值进行验证。通过双向验证的方式确保登录请求的合法性,防止伪造请求。通过使用系统主密钥对证书密文进行解密,并通过证书公钥对签名值进行验证,可以确保只有具有有效证书和签名的请求会被允许登录,可以防止恶意攻击者利用伪造的证书或签名进行非法登录。在登录验证过程中,只传输了随机数和签名值,不需要传输敏感的证书私钥和证书密文,降低了敏感信息泄露的风险,提高登录验证过程的安全性和可靠性。因此,通过双向验证以及只传输随机数和签名值的方式,提高了终端设备在进行登录验证的安全性。
参照图3,基于上述实施例,在第二实施例中,所述在接收到登录验证请求时,生成随机数,并将所述随机数发送至所述登录验证请求对应的登录侧的步骤之前,还包括:
步骤S110:在检测到密码钥匙接入时,于所述密码钥匙中获取证书公钥;
步骤S120:调用所述系统主密钥对所述证书公钥进行加密操作,生成所述证书密文;
步骤S130:对所述证书密文进行存储。
在本实施例中,被登录侧在进行登录验证的进程之前,需要先对具有登录权限的密码钥匙进行登记。具体地,被登录侧在检测到有密码钥匙接入的时候,从密码钥匙中读取证书公钥,然后,调用系统主密钥加密证书公钥,生成证书密文。最后将证书密文进行存储,以完成对具有登录权限的密码钥匙的登记。
在本实施例中,具有登录权限的密码钥匙,指的是经过商用密码认证机构认证合格的密码钥匙。密码钥匙中保存有证书,这里的证书指的是能够标识有登录权限的用户的证书。可以理解的是,证书包括证书公钥和证书私钥。
系统主密钥在这里指的是一种对称密钥,是服务器或者计算机等终端设备所自带的密钥,具有不能被修改和不能被读出查看的特性。
可选地,被登录侧对登记密码钥匙进行登记的过程,可以在离线的环境中进行。这样可以避免在不安全的网络环境下进行证书公钥的传输,进而达到减少公钥证书泄露或者被篡改的风险。
在本实施例提供的技术方案中,通过获取证书公钥,被登录侧可以在后续步骤中对登录验证请求进行验证,以确保登录请求的合法性。通过系统主密钥对证书公钥进行加密,以证书密文的形式对证书公钥进行保存,确保只有基于系统主密钥才可以获得证书公钥,进而确保证书公钥的机密性,防止被非法获取和使用,以保障终端设备的安全性。因此,这样做的目的是为了确保只有已登记的密码钥匙可以验证通过并登录终端设备。
参照图4,基于上述实施例,在第三实施例中,终端设备的登录方法应用于登录侧,所述终端登录方法包括以下步骤:
步骤S500:在进行终端登录时,向被登录侧传递登录验证请求;
步骤S600:接收所述被登录侧返回的随机数;
步骤S700:调用证书私钥对所述随机数进行签名操作,生成签名值;
步骤S800:发送所述签名值至所述被登录侧。
在本实施例中,登录侧在进行终端登录的时候,向被登录侧发起登录验证请求。然后在接收到被登录侧基于验证登录请求响应的随机数之后,调用证书私钥对随机数进行签名操作,生成签名值。然后将生成的签名值发送至被登录侧,并期待被登录侧返回的登录验证结果。
可选地,在接收到被登录侧返回的登录验证结果之后,根据登录验证结果执行相应的登录进程。作为一种可选的实施方式,当被所述被登录侧判定具有登录权限时,执行进入所述被登录侧的动作;当被所述被登录侧判定无登录权限时,根据接收到的登录失败信息,执行登录重试动作。
当被登录侧判定登录侧具有登录权限时,即通过了登录验证,意味着接入登录侧的密码钥匙可以成功登录终端设备。当被登录侧判定登录侧无登录权限时,即未通过登录验证,登录侧将根据接收到的登录失败信息执行登录重试动作。
进一步地,在接收到登录重试信息之后,执行所述向被登录侧传递登录验证请求的步骤;在接收到禁止登录信息之后,在预设时间间隔内,停止执行所述向被登录侧传递登录验证请求的步骤。
通过执行禁止进入登录验证进程的动作,可减少非法登录尝试,提高登录验证进程的安全性。在预设时间间隔内限制登录尝试,可以防止暴力破解等恶意登录行为。
这样做的目的是,通过根据登录验证结果进行相应的操作,包括正常登录、登录重试或禁止登录,以增强登录验证的安全性和可靠性,保护终端设备免受非法访问和攻击。
进一步地,密码钥匙接入到终端设备之后,终端设备输出密码钥匙认证界面;然后接收密码钥匙认证界面返回的认证方式。当所述认证方式为密码认证方式时,终端设备输出密码输入界面,并于密码钥匙中的用户信息中,读取用于启动密码钥匙的启动密码。账号密码输入界面在接收到认证指令之后,根据密码钥匙的启动密码,对接收到的密码进行验证,以确定接收到的密码是否与密码钥匙的启动密码一致。当接收到的密码与启动密码一致时,执行向被登录侧传递登录验证请求的步骤。此外,当所述认证方式为生物特征认证时,终端设备调用生物特征识别模块,输出生物特征采集界面,并于密码钥匙中的用户信息中,读取用户的生物特征信息。在生物特征采集界面在接收到认证指令之后,根据用户的生物特征信息,对采集到的生物特征信息进行验证,以确定采集到的生物特征信息是否与用户的生物特征信息一致。当采集到的生物特征信息与用户的生物特征信息一致时,执行向被登录侧传递登录验证请求的步骤。这里的生物特征指的是指纹特征和或人脸特征。
可以理解的,密码钥匙在第一次启动时,将密码钥匙的持有者的用户信息录入密码钥匙中。其中,用户信息包括但不限于,用户个人数字证书、启动密码、用户指纹信息和用户人脸信息等。
通过在检测到密码钥匙接入的时候,先对密码钥匙的持有者进行认证,然后在持有者认证通过之后,才执行向被登录侧传递登录验证请求的步骤。这样做的目的在于防止非密码钥匙持有者,通过密码钥匙进入被登录侧。
在本实施例提供的技术方案中,通过将登录验证请求传递给被登录侧,使被登录侧进入登录验证进程,然后读取证书私钥对接收到的随机数进行签名操作,生成签名值,并将签名值发送至被登录侧,以证明密码钥匙的合法性和真实性。实现在登录被登录侧时,增强登录验证过程的安全性和可靠性。
如图5所示,基于上述实施例,示例性地,假设被登录侧为数据库服务器,登录侧为密码钥匙。当码钥匙接入数据库服务器时,向数据库服务器系统发送登录验证请求。
数据库服务器在接收到登录验证请求之后,生成随机数发送给密码钥匙。密码钥匙在接收到随机数之后,调用证书私钥对随机数进行签名操作,生成签名值发送给数据库服务器。
数据库服务器在接收到签名值之后,根据签名值中携带的密码钥匙的标识,调用对应的证书密文传递至缓存中,并调用系统主密钥,在缓存中对证书密文进行解密操作。
假设解密操作成功,获得证书公钥,则证明该证书密文未被篡改过,进而确保获得的证书公钥是可以用于对签名值进行验签的。进一步地,数据库服务器基于证书公钥对签名值进行验签操作。假设验签成功,说明接入数据库服务器的密码钥匙中的证书私钥,与保存在数据库服务器中的证书密文中的证书公钥是对应的,可以证明该密码钥匙具有登入数据库服务器的权限,允许登录数据库服务器。
此外,本领域普通技术人员可以理解的是实现上述实施例的方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成。该计算机程序包括程序指令,计算机程序可以存储于一存储介质中,该存储介质为计算机可读存储介质。该程序指令被终端设备的登录设备中的至少一个处理器执行,以实现上述方法的实施例的流程步骤。
因此,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质存储有终端设备的登录程序,所述终端设备的登录程序被处理器执行时实现如上实施例所述的终端设备的登录方法的各个步骤。
其中,所述计算机可读存储介质可以是U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、磁碟或者光盘等各种可以存储程序代码的计算机可读存储介质。
需要说明的是,由于本申请实施例提供的存储介质,为实施本申请实施例的方法所采用的存储介质,故而基于本申请实施例所介绍的方法,本领域所属人员能够了解该存储介质的具体结构及变形,故而在此不再赘述。凡是本申请实施例的方法所采用的存储介质都属于本申请所欲保护的范围。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
应当注意的是,在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的部件或步骤。位于部件之前的单词“一”或“一个”不排除存在多个这样的部件。本发明可以借助于包括有若干不同部件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种终端设备的登录方法,其特征在于,应用于被登录侧,所述终端设备的登录方法包括:
在接收到登录验证请求时,生成随机数,并将所述随机数发送至所述登录验证请求对应的登录侧;
接收所述登录侧基于所述随机数返回的签名值;
调用系统主密钥解密预存的证书密文,获得证书公钥;
在基于所述证书公钥对所述签名值验签通过后,判定所述登录侧具有登录权限,允许登录。
2.如权利要求1所述的终端设备的登录方法,其特征在于,所述在接收到登录验证请求时,生成随机数,并将所述随机数发送至所述登录验证请求对应的登录侧的步骤之前,还包括:
在检测到密码钥匙接入时,于所述密码钥匙中获取证书公钥;
调用所述系统主密钥对所述证书公钥进行加密操作,生成所述证书密文;
对所述证书密文进行存储。
3.如权利要求1所述的终端设备的登录方法,其特征在于,所述在基于所述证书公钥对所述签名值验签通过后,判定所述登录侧具有登录权限,允许登录的步骤之前,还包括:
当基于所述证书公钥对所述签名值验签失败时,判定所述登录侧无登录权限,并确定在预设时间间隔内,所述登录验证请求的请求次数;
根据所述请求次数与请求次数阈值之间的关系,返回登录失败信息。
4.如权利要求3所述的终端设备的登录方法,其特征在于,所述根据所述请求次数与请求次数阈值之间的关系,返回登录失败信息的步骤包括:
当所述请求次数小于所述请求次数阈值时,发送登录重试信息至所述登录侧,并执行所述在接收到登录验证请求时,生成随机数,并将所述随机数发送至所述登录验证请求对应的登录侧的步骤;
当所述请求次数大于或者等于所述请求次数阈值时,发送禁止登录信息至所述登录侧,并在所述预设时间间隔内,对所述登录侧执行禁止登录的响应。
5.如权利要求1所述的终端设备的登录方法,其特征在于,所述调用系统主密钥解密预存的证书密文,获得证书公钥的步骤包括:
于缓存中,调用所述系统主密钥,并将所述证书密文传递至所述缓存中;
于所述缓存中,基于所述系统主密钥,对所述证书密文进行解密操作,获得所述证书公钥,并基于所述证书公钥对所述签名值进行验签操作。
6.一种终端设备的登录方法,其特征在于,应用于登录侧,所述终端设备的登录方法包括:
在进行终端登录时,向被登录侧传递登录验证请求;
接收所述被登录侧返回的随机数;
调用证书私钥对所述随机数进行签名操作,生成签名值;
发送所述签名值至所述被登录侧。
7.如权利要求6所述的终端设备的登录方法,其特征在于,所述发送所述签名值至所述被登录侧的步骤之后,还包括:
当被所述被登录侧判定具有登录权限时,执行进入所述被登录侧的动作;
当被所述被登录侧判定无登录权限时,根据接收到的登录失败信息,执行登录重试动作。
8.如权利要求7所述的终端设备的登录方法,其特征在于,所述当被所述被登录侧判定无登录权限时,根据接收到的登录失败信息,执行登录重试动作的步骤包括:
在接收到登录重试信息之后,执行所述向被登录侧传递登录验证请求的步骤;
在接收到禁止登录信息之后,在预设时间间隔内,停止执行所述向被登录侧传递登录验证请求的步骤。
9.一种终端设备的登录设备,其特征在于,所述终端设备的登录设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的终端设备的登录程序,所述终端设备的登录程序配置为实现如权利要求1至8中任一项所述的终端设备的登录方法的步骤。
10.一种可读存储介质,其特征在于,所述可读存储介质上存储有终端设备的登录程序,所述终端设备的登录程序被处理器执行时实现如权利要求1至8任一项所述的终端设备的登录方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311747148.7A CN117424709B (zh) | 2023-12-19 | 2023-12-19 | 终端设备的登录方法、设备以及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311747148.7A CN117424709B (zh) | 2023-12-19 | 2023-12-19 | 终端设备的登录方法、设备以及可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117424709A true CN117424709A (zh) | 2024-01-19 |
| CN117424709B CN117424709B (zh) | 2024-04-05 |
Family
ID=89530630
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311747148.7A Active CN117424709B (zh) | 2023-12-19 | 2023-12-19 | 终端设备的登录方法、设备以及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117424709B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117834312A (zh) * | 2024-03-06 | 2024-04-05 | 鼎铉商用密码测评技术(深圳)有限公司 | 网络接入方法、网络接入设备以及计算机可读存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101183932A (zh) * | 2007-12-03 | 2008-05-21 | 宇龙计算机通信科技(深圳)有限公司 | 一种无线应用服务的安全认证系统及其注册和登录方法 |
| CN106789924A (zh) * | 2016-11-25 | 2017-05-31 | 北京天威诚信电子商务服务有限公司 | 一种使用移动终端的数字证书保护web站点登录的方法及系统 |
| CN108259440A (zh) * | 2016-12-29 | 2018-07-06 | 航天信息股份有限公司 | 基于云计算的USBKey身份认证在B/S架构应用的方法和系统 |
| CN108881222A (zh) * | 2018-06-15 | 2018-11-23 | 郑州信大壹密科技有限公司 | 基于pam架构的强身份认证系统及方法 |
| CN111800378A (zh) * | 2020-05-21 | 2020-10-20 | 视联动力信息技术股份有限公司 | 一种登录认证方法、装置、系统和存储介质 |
| WO2022177876A1 (en) * | 2021-02-16 | 2022-08-25 | Bastionzero, Inc. | Zero trust authentication |
| CN115549930A (zh) * | 2022-12-02 | 2022-12-30 | 北京时代亿信科技股份有限公司 | 登录操作系统的验证方法 |
-
2023
- 2023-12-19 CN CN202311747148.7A patent/CN117424709B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101183932A (zh) * | 2007-12-03 | 2008-05-21 | 宇龙计算机通信科技(深圳)有限公司 | 一种无线应用服务的安全认证系统及其注册和登录方法 |
| CN106789924A (zh) * | 2016-11-25 | 2017-05-31 | 北京天威诚信电子商务服务有限公司 | 一种使用移动终端的数字证书保护web站点登录的方法及系统 |
| CN108259440A (zh) * | 2016-12-29 | 2018-07-06 | 航天信息股份有限公司 | 基于云计算的USBKey身份认证在B/S架构应用的方法和系统 |
| CN108881222A (zh) * | 2018-06-15 | 2018-11-23 | 郑州信大壹密科技有限公司 | 基于pam架构的强身份认证系统及方法 |
| CN111800378A (zh) * | 2020-05-21 | 2020-10-20 | 视联动力信息技术股份有限公司 | 一种登录认证方法、装置、系统和存储介质 |
| WO2022177876A1 (en) * | 2021-02-16 | 2022-08-25 | Bastionzero, Inc. | Zero trust authentication |
| CN115549930A (zh) * | 2022-12-02 | 2022-12-30 | 北京时代亿信科技股份有限公司 | 登录操作系统的验证方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117834312A (zh) * | 2024-03-06 | 2024-04-05 | 鼎铉商用密码测评技术(深圳)有限公司 | 网络接入方法、网络接入设备以及计算机可读存储介质 |
| CN117834312B (zh) * | 2024-03-06 | 2024-06-28 | 鼎铉商用密码测评技术(深圳)有限公司 | 网络接入方法、网络接入设备以及计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117424709B (zh) | 2024-04-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6882254B2 (ja) | 生体特徴に基づく安全性検証方法、クライアント端末、及びサーバ | |
| US6185316B1 (en) | Self-authentication apparatus and method | |
| CN106612180B (zh) | 实现会话标识同步的方法及装置 | |
| US9384338B2 (en) | Architectures for privacy protection of biometric templates | |
| US8572392B2 (en) | Access authentication method, information processing unit, and computer product | |
| CN110990827A (zh) | 一种身份信息验证方法、服务器及存储介质 | |
| US10771441B2 (en) | Method of securing authentication in electronic communication | |
| US20140115324A1 (en) | System and Method for Secure Remote Biometric Authentication | |
| TWM623435U (zh) | 使用多安全層級驗證客戶身分與交易服務之系統 | |
| US20090235086A1 (en) | Server-side biometric authentication | |
| JPWO2007094165A1 (ja) | 本人確認システムおよびプログラム、並びに、本人確認方法 | |
| US20080189772A1 (en) | Method for generating digital fingerprint using pseudo random number code | |
| US9055061B2 (en) | Process of authentication for an access to a web site | |
| WO2006067739A2 (en) | Method and device for key generation and proving authenticity | |
| KR20070024633A (ko) | 갱신가능한 그리고 개인적인 바이오메트릭 | |
| JP2006209697A (ja) | 個人認証システム、この個人認証システムに使用される認証装置、および個人認証方法 | |
| CN117424709B (zh) | 终端设备的登录方法、设备以及可读存储介质 | |
| JPWO2020121460A1 (ja) | 照合システム、クライアントおよびサーバ | |
| JP5183517B2 (ja) | 情報処理装置及びプログラム | |
| CN114844648B (zh) | 数据验证方法、数据处理方法及装置 | |
| WO2022130528A1 (ja) | 回復用検証システム、照合システム、回復用検証方法および非一時的なコンピュータ可読媒体 | |
| CN116866093B (zh) | 身份认证方法、身份认证设备以及可读存储介质 | |
| JP2007258789A (ja) | エージェント認証システム、エージェント認証方法、及びエージェント認証プログラム | |
| JP2006293473A (ja) | 認証システム及び認証方法、端末装置及び認証装置 | |
| CN112671782A (zh) | 一种文件加密方法及终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |