CN118158673A - 应用登录认证方法、系统、设备及存储介质 - Google Patents

应用登录认证方法、系统、设备及存储介质 Download PDF

Info

Publication number
CN118158673A
CN118158673A CN202410446209.4A CN202410446209A CN118158673A CN 118158673 A CN118158673 A CN 118158673A CN 202410446209 A CN202410446209 A CN 202410446209A CN 118158673 A CN118158673 A CN 118158673A
Authority
CN
China
Prior art keywords
login
encryption
encrypted
base station
application
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202410446209.4A
Other languages
English (en)
Inventor
陈超
梁斌
程福兴
徐慧姣
张�林
俞永贵
李丽
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China United Network Communications Group Co Ltd
China Unicom Online Information Technology Co Ltd
Original Assignee
China United Network Communications Group Co Ltd
China Unicom Online Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China United Network Communications Group Co Ltd, China Unicom Online Information Technology Co Ltd filed Critical China United Network Communications Group Co Ltd
Priority to CN202410446209.4A priority Critical patent/CN118158673A/zh
Publication of CN118158673A publication Critical patent/CN118158673A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本申请提供一种应用登录认证方法、系统、设备及存储介质。该方法包括:接收用户端发送的通过第一加密方式加密生成的第一加密信息,第一加密信息中包括私网IP;通过第一解密方式对第一加密信息进行解密,得到第一解密信息,根据用户端的公网IP匹配用户端对应的基站,发送基站重定向链接和通过第二加密方式加密的私网IP至用户端,以使基站向免登录服务器发送第一置换凭证;从基站获取通过第二加密方式加密的第一置换凭证,并通过第二解密方式得到第一置换凭证;基于第一置换凭证从基站获取手机号,通过第一加密方式对手机号加密后发送至应用服务器,进行登录。本申请的方法,增强用户隐私保护。

Description

应用登录认证方法、系统、设备及存储介质
技术领域
本申请涉及通讯领域,尤其涉及一种应用登录认证方法、系统、设备及存储介质。
背景技术
应用app(手机软件)安装在智能手机上,根据其功能的不同用于便捷用户的沟通、社交、购物、娱乐等活动。
常见应用app的登录是通过用户名加密码或者手机号加验证码的方式,此种登录方式带来为用户带来诸多不便,所以越来越多的应用app采用一键登录的方式,省去用户需要输入用户名和密码或手机号和验证码的步骤,通过向运营商直接获取手机号后进行登录,这种登录方式为用户提供便捷的使用体验,但是,在大规模分布式网络环境下,运营商在为应用app提供手机号信息时,将用户的手机号信息直接暴露,对用户隐私而言,存在较大安全隐患。
发明内容
本申请提供一种应用登录认证方法、系统、设备及存储介质,用以解决用户在登录时直接将手机号进行传递造成信息泄露的问题。
第一方面,本申请提供一种应用登录认证方法,包括:
接收用户端发送的通过第一加密方式加密生成的第一加密信息,所述第一加密信息中包括所述用户端的私网IP;
通过第一解密方式对所述第一加密信息进行解密,得到第一解密信息;根据用户端的公网IP匹配用户端对应的基站,发送基站重定向链接和通过第二加密方式加密的私网IP至用户端,以使用户端通过基站重定向链接向所述基站发送通过第二加密方式加密的私网IP和SIM卡认证信息,所述基站根据手机号和SIM卡认证信息生成并向所述免登录服务器发送第一置换凭证,所述手机号是根据所述私网IP得到的;
从所述基站获取通过第二加密方式加密的第一置换凭证,并通过第二解密方式得到所述第一置换凭证;
基于所述第一置换凭证从所述基站获取手机号,通过第一加密方式对手机号加密后发送至应用服务器,进行登录。
可选地,所述第一加密信息包括私网IP和第一请求时间,所述第一请求时间用于所述免登录服务器验证请求的有效性;
所述发送基站重定向链接和通过第二加密方式加密的私网IP至用户端,包括,包括:
通过第二加密方式加密生成第二加密信息,所述第二加密信息包括私网IP和第二请求时间;所述第二请求时间用于所述基站验证请求的有效性;
将所述第二加密信息和所述基站重定向链接发送至用户端,以使用户端基于所述基站重定向链接将所述第二加密信息和SIM卡认证信息发送至基站,以使基站得到第二解密信息。
可选地,所述第一加密信息和所述第二加密信息还包括应用标识;所述从所述基站获取通过第二加密方式加密的第一置换凭证,并通过第二解密方式得到所述第一置换凭证,包括:
从所述基站获取通过第二加密方式加密的第三加密信息,所述第三加密信息包括应用标识、私网IP、第三请求时间和所述第一置换凭证,其中,所述第三请求时间用于所述免登录服务器验证请求的有效性;
通过所述第二解密方式对所述第三加密信息进行解密,获取第三解密信息;
若所述第三解密信息中的应用标识和私网IP与所述第二加密信息中的应用标识和私网IP一致,则获取并确定所述第一置换凭证验证通过。
可选地,所述通过第一加密方式对手机号加密后发送至应用服务器,进行登录,包括:
根据预存的键值序列号获取键值,其中,所述键值是根据应用标识和第一随机数生成得到的,所述第一随机数在用户端生成第一加密信息时生成;
根据所述键值和所述第一请求时间,生成第一对称密钥对,并根据所述手机号,生成第二置换凭证;
根据所述第一对称密钥对和所述第一加密方式对所述第二置换凭证进行加密,并将所述加密后的第二置换凭证发送至所述用户端,以使用户端解密获取所述第二置换凭证;
接收应用服务器透传的所述用户端通过第一加密方式和第二对称密钥对加密的所述第二置换凭证,所述第二对称密钥对是根据所述键值和所述第一请求时间生成的;
在所述第二置换凭证验证通过后,将所述手机号发送至所述应用服务器。
可选地,所述根据所述第一对称密钥对和所述第一加密方式对所述第二置换凭证进行加密,包括:
根据所述第一对称密钥对加密所述第二置换凭证,得到加密后的第二置换凭证;
通过所述第一加密方式对加密后的第二置换凭证进行二次加密。
可选地,所述接收应用服务器透传的所述用户端通过第一加密方式和第二对称密钥对加密的所述第二置换凭证,包括:
接收应用服务器通过第一加密方式加密并发送的加密后的第二置换凭证,其中,所述加密后的第二置换凭证是所述用户端通过第二对称密钥对对所述第二置换凭证进行一次加密,所述第一加密方式二次加密得到的;
在解密得到所述第二置换凭证后,若确定解密得到的第二置换凭证与发送给所述用户端的第二置换凭证一致,则向所述应用服务器发送通过第一加密方式加密的所述手机号。
第二方面,本申请提供一种应用登录认证方法,包括:
通过第一加密方式加密生成第一加密信息并发送至免登录服务器,所述第一加密信息中包括所述用户端的私网IP,以使所述免登录服务器通过第一解密方式解密后得到私网IP,并根据所述用户端的公网IP匹配对应的基站后生成基站重定向链接和通过第二加密方式加密的私网IP;
基于所述基站重定向链接并发送通过第二加密方式加密的私网IP和SIM卡认证信息至对应所述基站,以使所述基站根据手机号和SIM卡认证信息生成第一置换凭证后通过第二加密方式对第一置换凭证进行加密,并向所述用户端发送免登录服务器重定向链接,所述手机号是根据所述私网IP得到的;
基于免登录服务器重定向链接,将通过第二加密方式加密的第一置换凭证发送至所述免登录服务器,以使免登录服务器通过第二解密方式解密后基于第一置换凭证从所述基站获取手机号,并通过第一加密方式对所述手机号加密后发送至应用服务器,进行登录。
可选地,所述第一加密信息还包括应用标识和第一请求时间,所述第一请求时间用于所述免登录服务器验证请求的有效性;
所述基于免登录服务器重定向链接,将所述通过第二加密方式加密的第一置换凭证发送至所述免登录服务器,包括:
通过第一解密方式和第二对称密钥对解密所述免登录服务器根据第一对称密钥对和第一加密方式加密的通过第一置换凭证从所述基站获取手机号后生成的第二置换凭证,
其中,所述第一对称密钥对和所述第二对称密钥对是根据键值和所述第一请求时间生成的,所述键值是根据所述应用标识和第一随机数生成的,所述第一随机数是在第一加密信息生成时生成;
通过第一加密方式和第二对称密钥对加密第二置换凭证后发送至应用服务器,以使应用服务器将加密后的第二置换凭证再次通过第一加密方式加密后发送至所述免登录服务器验证第二置换凭证并获取手机号进行登录。
第三方面,本申请提供一种应用登录认证系统,免登录服务器、用户端、应用服务器和基站,
所述免登录服务器用于执行如权利要求第一方面中任一项所述的应用登录认证方法;
所述用户端用于执行如权利要求第二方面中任一项所述的应用登录认证方法;
所述应用服务器用于管理应用用户信息;
所述基站用于管理手机号。
第四方面,本申请提供一种应用登录设备,包括:存储器和处理器;
所述存储器用于存储计算机程序/指令;所述处理器用于根据所述存储器存储的计算机程序/指令执行第一方面、第一方面任一种可能的设计、第二方面、第二方面任一种可能的设计中的应用登录认证方法。
第五方面,本申请提供一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序/指令,当电子设备的至少一个处理器执行该计算机程序/指令时,电子设备执行第一方面、第一方面任一种可能的设计、第二方面、第二方面任一种可能的设计中的应用登录认证方法。
第六方面,本申请提供一种计算机程序产品,所述计算机程序产品包括计算机程序/指令,当电子设备的至少一个处理器执行该计算机程序/指令时,电子设备执行第一方面、第一方面任一种可能的设计、第二方面、第二方面任一种可能的设计中的应用登录认证方法。
本申请提供的应用登录认证方法、系统、设备及存储介质,通过免登录服务器和用户端以及免登录服务器和基站之间预先设定的加解密方式,在手机号传递过程中加解密,实现用户手机号的安全传递,实现增强用户隐私保护。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1为本申请一实施例提供的一种应用登录认证系统的场景示意图;
图2为本申请一实施例提供的一种应用登录认证方法的流程图;
图3为本申请一实施例提供的一种应用登录认证方法的流程图;
图4为本申请一实施例提供的一种应用登录认证方法的流程图;
图5为本申请一实施例提供的一种应用登录认证方法的流程图;
图6为本申请一实施例提供的一种应用登录认证设备的结构示意图。
通过上述附图,已示出本申请明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围,而是通过参考特定实施例为本领域技术人员说明本申请的概念。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请中的附图,对本申请中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换。例如,在不脱离本文范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
相较于原来通过账号密码进行应用登录的方式,一键登录提高用户进行应用登录的便利性,但是在进行一键登录操作时,需要用户授权从运营商获取手机号,而在手机号的传输过程中,手机号容易被窃取,从而存在较大的安全隐患。
为了解决上述技术问题,本申请实施例提供的应用登录认证方法,通过在信息传递时进行加密和验证,防止信息被窃取,提高用户隐私保护的安全性。
以下,对本申请实施例的示例性应用场景进行介绍。
图1示出了本申请一实施例提供的一种应用登录认证系统的场景示意图。系统包括用户端101、应用服务器102、免登录服务器103、基站104和存储系统105。
可以理解的是,用户端和应用服务器为用户侧,免登录服务器、基站和存储系统为运营商侧。
应用端为应用app客户端,与应用服务器相对应,为用户提供本地服务的程序,一般安装在终端设备运行,设备终端为智能设备,例如智能手机、平板、智能穿戴设备等。
应用服务器与用户端对应设置,用于运行和管理应用程序,负责处理和响应来自应用端的请求,为应用程序提供一个稳定、高可用的运行环境。
免登录服务器、基站和存储系统为运营商服务,在用户登录目标应用时,免登录服务器接收用户端发送免登录请求进行处理,并从基站获取用户手机号信息,返回至应用服务器,以在用户端完成登录。而在免登录服务器对用户端登录请求进行处理时,通过存储系统实现过程信息的存储,以便后续调用。
本申请实施例提供的应用登录认证方法可以通过本申请实施例提供的应用登录认证系统执行。
下面以具体地实施例对本申请的技术方案进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例不再赘述。
图2示出了本申请一实施例提供的一种应用登录认证方法的流程图。在图1所示实施例的基础上,如图2所示,本实施例的方法可以包括如下步骤:
S201、用户端响应于用户登录请求,通过第一加密方式加密生成第一加密信息。
第一加密信息中包括用户端的私网IP。
私网IP即为私网地址,是网络通讯中用来表示不同设备的设置地址,表示用户端在时用于标识设备的网络地址。用户端的设备终端开启数据漫游接入运营商网络后可以获得到私网IP,该私网IP是由基站分配的,基站可通过私网IP确定用户端的手机号。
第一加密方式是应用在运营商系统中进行注册时,应用侧和运营商侧的免登录服务器对应,免登录服务器和用户侧之间生成两个公私钥对,分别为第一公钥、第一私钥、第二公钥和第二私钥,其中,第一公钥和第二私钥下发给用户侧。
用户侧通过第一加密方式进行加密,则为通过第一公钥加密,第二私钥进行签名。
S202、用户端将第一加密信息发送至免登录服务器。
S203、免登录服务器通过用户端的公网IP匹配用户端对应的基站,并通过第一解密方式对第一加密方式进行解密,得到第一解密信息,通过第二加密方式对第一解密信息中的私网IP进行加密。
公网IP为用户端发送第一加密信息请求时的IP地址,使用不同的基站时公网IP随之不同,故通过公网IP可使得免登录服务器确定对应的基站。
第一解密方式与第一加密方式对应,用户端通过第一公钥加密,第二私钥进行签名,免登录服务器则通过第二公钥和第一私钥进行签名验证和解密。由于第一加密信息中包含私网IP,则通过第一解密方式解密后的第一解密信息中也同样包括私网IP。
第二加密方式是免登录服务器给每个基站下生成的第三公钥、第三私钥、第四公钥和第四私钥,其中,第三公钥和第四私钥下发给基站。
基站通过第二加密方式对第一置换凭证进行加密,则为通过第三公钥加密,第四私钥进行签名。
S204、免登录服务器向用户端发送基站重定向链接和通过第二加密方式加密的私网IP。
重定向链接是将请求重新定个方向转到其他位置。在匹配基站后,免登录服务器将携带私网IP的请求重定向至对应基站,以使得基站在解密后通过私网IP确定当前手机号。
S205、用户端基于基站重定向链接,携带SIM卡认证信息发送至对应基站。
SIM卡储存了用户的个人信息、手机号等,用户端将SIM卡认证信息发送至基站后,基站可对SIM卡认证信息进行认证后通过私网IP确定当前用户的手机号信息。
S206、基站根据SIM卡认证信息生成第一置换凭证,通过第二加密方式对第一置换凭证进行加密。
为提高用户信息的安全性,当基站接收到用户端发送的SIM卡认证信息后,生成第一置换凭证,并通过第二加密方式进行加密,对手机号信息进行进一步安全防护。
S207、基站发送免登录服务器重定向链接和通过第二加密方式对第一置换凭证至用户端。
S208、用户端基于免登录服务器重定向链接将基站通过第二加密方式加密的第一置换凭证发送至对应免登录服务器。
基站对第一置换凭证进行加密后,和免登录服务器重定向链接一起发送至用户端后,用户端携带通过第一加密方式加密的第一置换凭证发送至免登录服务服务器。
通过用户依次重定向连接至基站和免登录服务器,方便对每一步流程进行验证,提高每个流程的执行环境安全。
S209、免登录服务器通过第二解密方式得到第一置换凭证,基于第一置换凭证从基站获取手机号。
第二解密方式与第二加密方式对应,基站通过第三公钥加密,第四私钥进行签名,免登录服务器则通过第四公钥和第三私钥进行签名验证和解密。
通过第二解密方式解密得到第一置换凭证后,通过第一置换凭证可从基站获取手机号,完成手机号从基站到免登录服务器的安全传递。
S210、免登录服务器通过第一加密方式对手机号进行加密后发送至应用服务器,进行登录。
手机号当前传输至免登录服务器,对通过第一加密方式再对手机号进行加密后传输至应用服务器,由于用户侧和免登录服务器之间可通过第一加密方式和第一解密方式完成手机号的安全传输,故当加密后的手机号发送至应用服务器后可通过第一解密方式解密后,完成手机号的获取,而应用服务器和用户端之间已有安全信道通信,故用户端可完成登录。
本申请提供的应用登录认证方法,在用户端接入运营商网络后得到私网IP,在进行一键登录时,通过用户端对私网IP进行加密后发送至免登录服务器,免登录服务器通过用户发送的请求的公网IP确定对应的基站,并对加密的请求解密后得到用户端的私网IP,,用户端通过重定向连接基站时,携带私网IP和SIM卡认证信息以使基站确定手机号信息后生成第一置换凭证,并将第一置换凭证加密后通过用户端重定向连接到免登录服务器进行手机号的置换,免登录服务器从基站获取到手机号后,再对手机号进行加密后发送至应用服务器进行解密后传输给用户端完成登录。
在整个实现过程中,通过预先设定好的加密方式和解密方式,对手机号进行加密传输,并进行验证后完成信息传递,减少隐私信息暴露,保证信息传递的安全性,增加隐私保护。
图3示出了本申请一实施例提供的一种应用登录认证方法的流程图。在图2实施例的基础上,对免登录服务器向用户端发送基站重定向链接和用户端基于免登录服务器重定向链接将基站通过第二加密方式加密的第一置换凭证发送至对应免登录服务器的过程进行详细说明。
需要说明的是,本实施例中,第一加密信息包括私网IP、应用标识和第一请求时间。
应用标识为应用账号(appID),是应用在运营商系统中注册时的账号标识。
第一请求时间为用户端在进行登录操作时发出登录请求时的请求时间。
S301、免登录服务器通过第二加密方式加密生成第二加密信息。
S302、免登录服务器发送第二加密信息和基站重定向链接至用户端。
其中,第二加密信息包括私网IP和第二请求时间,第二请求时间用于基站验证请求的有效性。
第二请求时间为免登录服务器生成基站重定向链接的时间。
基站接收到用户端发送的在免登录服务器通过第二加密方式加密生成的第二加密信息,而基站和用户端之间通过第二加密方式和第二解密方式进行加解密,故通过能否加解密和签名验证可实现第二加密信息的验证和获取。且由于第二加密信息中包括第二请求时间,通过对第二请求时间和当前时间的时间差进行判断,若时间差相差大于设定数据传输时间,则可判断当前请求无效,具体数据传输时间在此不做具体限定。
S303、用户端发送第二加密信息和SIM卡认证信息至基站。
S304、基站通过第二解密方式对第二加密信息解密后得到第二解密信息,并通过SIM卡认证信息获取手机号,基于手机号生成第一置换凭证。
S305、基站通过第二加密方式加密生成第三加密信息,第三加密信息包括应用标识、私网IP、第三请求时间和第一置换凭证,其中,第三请求时间用于免登录服务器验证请求的有效性。
S306、基站发送第三加密信息和免登录服务器重定向链接至用户端。
S307、用户端基于免登录服务器重定向链接发送第三加密信息至免登录服务器。
第三请求时间为免登录服务器重定向链接生成时间。同样的,通过第三请求时间和当前时间判断该请求的有效性。
S308、免登录服务器通过第二解密方式对第三加密信息进行解密,获取第三解密信息,并判断第三解密信息中的应用标识和私网IP是否与第二加密信息中的应用标识和私网IP一致,一致时获取并确定第一置换凭证。
重定向连接至免登录服务器时,通过携带第三加密信息至免登录服务器,通过预先设定的加解密方式,可靠的完成第一置换凭证的传输,
图4示出了本申请一实施例提供的应用登录方法的流程图。如图4所示,本实施例在上述实施例的基础上,对免登录服务器通过第一加密方式对手机号进行加密后发送至应用服务器,进行登录过程进行详细说明。该方法包括:
S401、免登录服务器根据预存的键值序列号获取键值;其中,键值是根据应用标识和第一随机数生成得到的,第一随机数是在用户端生成第一加密信息时生成的。
通过对应用标识和第一随机数进行哈希算法,得到键值,具体哈希算法可以是SHA1或者SHA256等。
而键值序列号,与键值对应设置,每个键值序列号对应一个键值。
S402、免登录服务器根据键值和第一请求时间,生成第一对称密钥对,并根据手机号,生成第二置换凭证。
因为键值是根据应用标识和第一随机数生成的,故在使用键值和第一随机数做第一对称密钥对时,由于第一随机数的随机性很高,作为变量,且没有规律,故第一对称密钥对具有较高安全性。
S403、免登录服务器根据第一对称密钥对和第一加密方式对第二置换凭证进行加密。
其中,在根据第一对称密钥对和第一加密方式对第二置换凭证进行加密时,先通过第一对称密钥对对第二置换凭证进行加密,得到加密后的第二置换凭证,然后再根据第一加密方式对加密后的第二置换凭证进行二次加密。
S404、免登录服务器将加密后的第二置换凭证发送至用户端。
S405、用户端解密获取第二置换凭证,通过第一加密方式和第二对称密钥对加密第二置换凭证。
其中,第二密钥对是用户端根据键值和第一随机数生成的。第二对称密钥对和第一对称密钥对的参数相同,但生成方式可不同。
由于用户端和免登录服务器之间预设的加解密方式,以及使用相同参数的第一对称密钥和第二对称密钥,可实现对当前请求的验证和解密,完成验证和解密后得到第二置换凭证,
S406、用户端发送加密后的第二置换凭证至应用服务器。
S407、应用服务器对通过第一加密方式和第二对称密钥对加密第二置换凭证再次通过第一加密方式加密。
S408、应用服务器对再次加密后的第二置换凭证透传至免登录服务器。
S409、免登录服务器解密得到第二置换凭证,若确定解密得到的第二置换凭证与发送给用户端的第二置换凭证一致,则向应用服务器发送通过第一加密方式加密的手机号。
在免登录服务器获取手机号后,通过在免登录服务器和用户端分别在进行第一对称密钥对和第二对称密钥对的设置,在进行传输时,进行进一步的信息验证,加强传输过程安全性。
图5示出了本申请一实施例提供的一种应用登录认证方法的流程图。在上述实施例的基础上,如图5所示,本实施例的方法可以包括如下步骤:
S501、用户端基于用户请求生成并发送第一加密信息至免登录服务器,第一加密信息为用户端通过第一加密方式对私网IP、应用标识appID、第一请求时间t1和第一随机数n1进行加密并签名,即第一加密信息为d1=PUB1加密(IP,appID,t1,n1),s1=PRI2签名(d1),其中,第一请求时间t1为当前用户端生成请求时间,第一随机数n1为当前用户端生成的随机数,且用户端存储基于应用标识appID、第一请求时间t1和第一随机数n1的哈希生成的键值key。
S502、免登录服务器根据第一解密方式对第一加密信息进行解密,并验证加密内容和第一请求时间t1的有效性,解密后得到第一解密信息,解密信息中包括私网IP、应用标识appID、第一请求时间t1和第一随机数n1,根据私网IP获取对应基站的第二加密方式,并在根据键值key生成键值序列号seqID,在存储系统中存储键值key和键值序列号seqID的对应关系;
S503、免登录服务器生成第二加密信息和基站重定向链接发送至用户端,第二加密信息为免登录服务器通过第二加密方式对私网IP、应用标识appID、第二请求时间t2、第二随机数n2和键值序列号seqID进行加密并签名,即第二加密信息为d2=PUB4加密(IP,appID,t2,n2,seqID),s2=PRI3签名(d2)。
其中,第二请求时间t2为当前免登录服务器生成基站重定向链接时间,第二随机数n2为当前免登录服务器生成的随机数。
S504、用户端基于基站重定向链接发送第二加密信息和SIM卡认证信息至对应基站。
S505、基站通过第二解密方式对第二加密信息解密验证签名和加密内容,以及第二请求时间t2的请求有效性,并根据SIM卡认证信息生成第一置换凭证token,然后生成第三加密信息和免登录服务器重定向链接发送至用户端,第三加密信息为基站通过第二加密方式对私网IP、应用标识appID、第三请求时间t3、第三随机数n3、键值序列号seqID和第一置换凭证token进行加密并签名,即第三加密信息为d3=PUB3加密(IP,appID,t3,n3,seqID,token),s3=PRI4签名(d3),
其中,第三请求时间t3为当前基站生成免登录服务器重定向链接时间,第三随机数n3为当前基站生成的随机数。
S506、用户端基于免登录服务器重定向链接发送第三加密信息至对应免登录服务器。
S507、免登录服务器根据第二解密方式对第三加密信息进行解密验证签名和加密内容,以及第三请求时间t3的请求有效性,并使用第一置换凭证token从基站获取手机号信息;
S508、免登录服务器基于获取到的手机号信息生成第二置换凭证token2,并通过键值序列号seqID获取键值key,通过键值key和第一请求时间t1生成第一对称密钥对M,在存储系统中存储第二置换凭证token2、手机号和键值key的关系;
S509、免登录服务器生成第四加密信息,第四加密信息先使用第一对称密钥对M对第二置换凭证token2进行加密,并在免登录服务器再通过第一加密方式进行再加密后发送至用户端,即第四加密信息为d4=PUB2加密(M(token2)),s4=PRI1签名(d4)。
S510、用户端根据第一解密方式和存储的键值key对第四加密信息进行解密和验证,并根据键值key和第一请求时间t1生成第二对称密钥对M2,用户端生成第五加密信息,第五加密信息先使用第二对称密钥对M2对第二置换凭证token进行加密,并在用户端再通过第一加密方式加至当前第四请求时间t4和第四随机数t4进行再加密后发送至应用服务器,即第五加密信息为d5=PUB1加密(M2(token2),t4,n4),s5=PRI2签名(d5),
其中,第四请求时间t4为当前用户端生成第五加密信息d5的时间,第四随机数n4为当前用户端生成的随机数。
S511、应用服务器通过第一加密方式对第五加密信息和第五请求时间t5以及第五随机数n5进行加密生成第六加密信息并发送至免登录服务器,即d6=PUB1加密(d5,s5,t5,n5),s6=PRI2签名(d6),
其中,第五请求时间t5为当前应用服务器生成第六加密信息时间,第五随机数n5为当前应用服务器生成的随机数。
S512、免登录服务器对通过第一解密方式解密和验证,并根据第五请求时间t5的请求有效性,通过第二置换凭证token2从存储系统中获取键值key和手机号,并且在免登录服务器通过第一加密方式生成第七加密信息发送至应用服务器,第七加密信息对手机号和第六随机数n6进行加密,即第七加密信息为d7=PUB2加密(手机号,n6),s7=PRI1签名(d7),
其中,第六随机数n6是当前免登录服务器生成第七加密信息d7的时间。
S513、应用服务器通过第一解密方式对第七加密信息进行解密后获取手机号信息,并通过已有安全信道将手机号发送至用户端完成应用登录。
图6示出了本申请一实施例提供的一种应用登录认证设备的结构示意图,如图6所示,本实施例的应用登录认证设备60用于实现上述任一方法实施例中对应于电子设备的操作,本实施例的应用登录认证设备60包括:
存储器61,处理器62和通信接口64。
存储器61,用于存储计算机程序。该存储器61可能包含高速随机存取存储器(Random Access Memory,RAM),也可能还包括非易失性存储(Non-Volatile Memory,NVM),例如至少一个磁盘存储器,还可以为U盘、移动硬盘、只读存储器、磁盘或光盘等。
处理器62,用于执行存储器存储的计算机程序,以实现上述实施例中的应用登录认证设备方法。具体可以参见前述方法实施例中的相关描述。该处理器62可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific IntegratedCircuit,ASIC)等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合发明所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
可选地,存储器61既可以是独立的,也可以跟处理器62集成在一起。
当存储器61是独立于处理器62之外的器件时,电子设备20还可以包括总线63。该总线63用于连接存储器61和处理器62。该总线63可以是工业标准体系结构(IndustryStandard Architecture,ISA)总线、外部设备互连(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准体系结构(Extended Industry StandardArchitecture,EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,本申请附图中的总线并不限定仅有一根总线或一种类型的总线。
通信接口64,可以通过总线63与处理器61连接。处理器62可以控制通信接口64来实现信号的接收和发送的功能。
本实施例提供的电子设备可用于执行上述的应用登录认证设备方法,其实现方式和技术效果类似,本实施例此处不再赘述。
本申请还提供一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序/指令,计算机程序/指令被处理器执行时用于实现上述的各种实施方式提供的方法。
其中,计算机可读存储介质可以是计算机存储介质,也可以是通信介质。通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。计算机存储介质可以是通用或专用计算机能够存取的任何可用介质。例如,计算机可读存储介质耦合至处理器,从而使处理器能够从该计算机可读存储介质读取信息,且可向该计算机可读存储介质写入信息。当然,计算机可读存储介质也可以是处理器的组成部分。处理器和计算机可读存储介质可以位于专用集成电路(Application Specific Integrated Circuits,ASIC)中。另外,该ASIC可以位于用户设备中。当然,处理器和计算机可读存储介质也可以作为分立组件存在于通信设备中。
具体地,该计算机可读存储介质可以是由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(Static Random-Access Memory,SRAM),电可擦除可编程只读存储器(Electrically-Erasable Programmable Read-Only Memory,EEPROM),可擦除可编程只读存储器(Erasable Programmable Read Only Memory,EPROM),可编程只读存储器(Programmable read-only memory,PROM),只读存储器(Read-OnlyMemory,ROM),磁存储器,快闪存储器,磁盘或光盘。存储介质可以是通用或专用计算机能够存取的任何可用介质。
本申请还提供一种计算机程序产品,该计算机程序产品包括计算机程序/指令,该计算机程序/指令存储在计算机可读存储介质中。设备的至少一个处理器可以从计算机可读存储介质中读取该计算机程序/指令,至少一个处理器执行该计算机程序/指令使得设备实施上述的各种实施方式提供的方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅是示意性的,例如,模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
其中,各个模块可以是物理上分开的,例如安装于一个的设备的不同位置,或者安装于不同的设备上,或者分布到多个网络单元上,或者分布到多个处理器上。各个模块也可以是集成在一起的,例如,安装于同一个设备中,或者,集成在一套代码中。各个模块可以以硬件的形式存在,或者也可以以软件的形式存在,或者也可以采用软件加硬件的形式实现。本申请可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
当各个模块以软件功能模块的形式实现的集成的模块,可以存储在一个计算机可读取存储介质中。上述软件功能模块存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器执行本申请各个实施例方法的部分步骤。
应该理解的是,虽然上述实施例中的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,其可以以其他的顺序执行。而且,图中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,其执行顺序也不必然是依次进行,而是可以与其他步骤或者其他步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
需要说明的是,本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据,并且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准,并提供有相应的操作入口,供用户选择授权或者拒绝。
最后应说明的是:以上各实施例仅用以说明本申请的技术方案,而非对其限制。尽管参照前述各实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换。而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。

Claims (12)

1.一种应用登录认证方法,其特征在于,应用于免登录服务器,所述方法包括:
接收用户端发送的通过第一加密方式加密生成的第一加密信息,所述第一加密信息中包括所述用户端的私网IP;
通过第一解密方式对所述第一加密信息进行解密,得到第一解密信息;根据用户端的公网IP匹配用户端对应的基站,发送基站重定向链接和通过第二加密方式加密的私网IP至用户端,以使用户端通过基站重定向链接向所述基站发送通过第二加密方式加密的私网IP和SIM卡认证信息,所述基站根据手机号和SIM卡认证信息生成并向所述免登录服务器发送第一置换凭证,所述手机号是根据所述私网IP得到的;
从所述基站获取通过第二加密方式加密的第一置换凭证,并通过第二解密方式得到所述第一置换凭证;
基于所述第一置换凭证从所述基站获取手机号,通过第一加密方式对手机号加密后发送至应用服务器,进行登录。
2.根据权利要求1所述的方法,其特征在于,所述第一加密信息包括私网IP和第一请求时间,所述第一请求时间用于所述免登录服务器验证请求的有效性;
所述发送基站重定向链接和通过第二加密方式加密的私网IP至用户端,包括:
通过第二加密方式加密生成第二加密信息,所述第二加密信息包括私网IP和第二请求时间;所述第二请求时间用于所述基站验证请求的有效性;
将所述第二加密信息和所述基站重定向链接发送至用户端,以使用户端基于所述基站重定向链接将所述第二加密信息和SIM卡认证信息发送至基站,以使基站得到第二解密信息。
3.根据权利要求2所述的方法,其特征在于,所述第一加密信息和所述第二加密信息还包括应用标识;所述从所述基站获取通过第二加密方式加密的第一置换凭证,并通过第二解密方式得到所述第一置换凭证,包括:
从所述基站获取通过第二加密方式加密的第三加密信息,所述第三加密信息包括应用标识、私网IP、第三请求时间和所述第一置换凭证,其中,所述第三请求时间用于所述免登录服务器验证请求的有效性;
通过所述第二解密方式对所述第三加密信息进行解密,获取第三解密信息;
若所述第三解密信息中的应用标识和私网IP与所述第二加密信息中的应用标识和私网IP一致,则获取并确定所述第一置换凭证验证通过。
4.根据权利要求3所述的方法,其特征在于,所述通过第一加密方式对手机号加密后发送至应用服务器,进行登录,包括:
根据预存的键值序列号获取键值,其中,所述键值是根据应用标识和第一随机数生成得到的,所述第一随机数在用户端生成第一加密信息时生成;
根据所述键值和所述第一请求时间,生成第一对称密钥对,并根据所述手机号,生成第二置换凭证;
根据所述第一对称密钥对和所述第一加密方式对所述第二置换凭证进行加密,并将所述加密后的第二置换凭证发送至所述用户端,以使用户端解密获取所述第二置换凭证;
接收应用服务器透传的所述用户端通过第一加密方式和第二对称密钥对加密的所述第二置换凭证,所述第二对称密钥对是根据所述键值和所述第一请求时间生成的;
在所述第二置换凭证验证通过后,将所述手机号发送至所述应用服务器。
5.根据权利要求4所述的方法,其特征在于,所述根据所述第一对称密钥对和所述第一加密方式对所述第二置换凭证进行加密,包括:
根据所述第一对称密钥对加密所述第二置换凭证,得到加密后的第二置换凭证;
通过所述第一加密方式对加密后的第二置换凭证进行二次加密。
6.根据权利要求5所述的方法,其特征在于,所述接收应用服务器透传的所述用户端通过第一加密方式和第二对称密钥对加密的所述第二置换凭证,包括:
接收应用服务器通过第一加密方式加密并发送的加密后的第二置换凭证,其中,所述加密后的第二置换凭证是所述用户端通过第二对称密钥对对所述第二置换凭证进行一次加密,所述第一加密方式二次加密得到的;
在解密得到所述第二置换凭证后,若确定解密得到的第二置换凭证与发送给所述用户端的第二置换凭证一致,则向所述应用服务器发送通过第一加密方式加密的所述手机号。
7.一种应用登录认证方法,其特征在于,应用于用户端,所述方法包括
通过第一加密方式加密生成第一加密信息并发送至免登录服务器,所述第一加密信息中包括所述用户端的私网IP,以使所述免登录服务器通过第一解密方式解密后得到私网IP,并根据所述用户端的公网IP匹配对应的基站后生成基站重定向链接和通过第二加密方式加密的私网IP;
基于所述基站重定向链接并发送通过第二加密方式加密的私网IP和SIM卡认证信息至对应所述基站,以使所述基站根据手机号和SIM卡认证信息生成第一置换凭证后通过第二加密方式对第一置换凭证进行加密,并向所述用户端发送免登录服务器重定向链接,所述手机号是根据所述私网IP得到的;
基于免登录服务器重定向链接,将通过第二加密方式加密的第一置换凭证发送至所述免登录服务器,以使免登录服务器通过第二解密方式解密后基于第一置换凭证从所述基站获取手机号,并通过第一加密方式对所述手机号加密后发送至应用服务器,进行登录。
8.根据权利要求7所述的方法,其特征在于,所述第一加密信息还包括应用标识和第一请求时间,所述第一请求时间用于所述免登录服务器验证请求的有效性;
所述基于免登录服务器重定向链接,将所述通过第二加密方式加密的第一置换凭证发送至所述免登录服务器,包括:
通过第一解密方式和第二对称密钥对解密所述免登录服务器根据第一对称密钥对和第一加密方式加密的通过第一置换凭证从所述基站获取手机号后生成的第二置换凭证,
其中,所述第一对称密钥对和所述第二对称密钥对是根据键值和所述第一请求时间生成的,所述键值是根据所述应用标识和第一随机数生成的,所述第一随机数是在第一加密信息生成时生成;
通过第一加密方式和第二对称密钥对加密第二置换凭证后发送至应用服务器,以使应用服务器将加密后的第二置换凭证再次通过第一加密方式加密后发送至所述免登录服务器验证第二置换凭证并获取手机号进行登录。
9.一种应用登录认证系统,其特征在于,所述系统,包括:免登录服务器、用户端、应用服务器和基站,
所述免登录服务器用于执行如权利要求1至6中任一项所述的应用登录认证方法;
所述用户端用于执行如权利要求7至8中任一项所述的应用登录认证方法;
所述应用服务器用于管理应用用户信息;
所述基站用于管理手机号。
10.一种应用登录认证设备,其特征在于,所述设备,包括:存储器,处理器;
所述存储器用于存储计算机程序/指令;所述处理器用于根据所述存储器存储的计算机程序/指令,实现如权利要求1至8中任意一项所述的应用登录认证方法。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序/指令,所述计算机程序/指令被处理器执行时用于实现如权利要求1至8任一项所述的应用登录认证方法。
12.一种计算机程序产品,其特征在于,所述计算机程序产品包括计算机程序/指令,所述计算机程序/指令被处理器执行时实现权利要求1至8任一项所述的应用登录认证方法。
CN202410446209.4A 2024-04-12 2024-04-12 应用登录认证方法、系统、设备及存储介质 Pending CN118158673A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202410446209.4A CN118158673A (zh) 2024-04-12 2024-04-12 应用登录认证方法、系统、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202410446209.4A CN118158673A (zh) 2024-04-12 2024-04-12 应用登录认证方法、系统、设备及存储介质

Publications (1)

Publication Number Publication Date
CN118158673A true CN118158673A (zh) 2024-06-07

Family

ID=91290197

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202410446209.4A Pending CN118158673A (zh) 2024-04-12 2024-04-12 应用登录认证方法、系统、设备及存储介质

Country Status (1)

Country Link
CN (1) CN118158673A (zh)

Similar Documents

Publication Publication Date Title
CN109150835B (zh) 云端数据存取的方法、装置、设备及计算机可读存储介质
EP3438902B1 (en) System for issuing public certificate on basis of block chain, and method for issuing public certificate on basis of block chain by using same
CN108512846B (zh) 一种终端与服务器之间的双向认证方法和装置
CN111615105B (zh) 信息提供、获取方法、装置及终端
US9197420B2 (en) Using information in a digital certificate to authenticate a network of a wireless access point
CN110138744B (zh) 更换通信号码的方法、装置、系统、计算机设备及存储介质
CN111079128A (zh) 一种数据处理方法、装置、电子设备以及存储介质
US9445269B2 (en) Terminal identity verification and service authentication method, system and terminal
CN106452770B (zh) 一种数据加密方法、解密方法、装置和系统
US20080288778A1 (en) Method for Generating and Verifying an Electronic Signature
CN105450406A (zh) 数据处理的方法和装置
CN105634737B (zh) 一种数据传输方法、终端及其系统
CN108243176B (zh) 数据传输方法和装置
CN103067158A (zh) 加密解密方法、终端设备、网关设备及密钥管理系统
CN105447715A (zh) 用于与第三方合作的防盗刷电子优惠券的方法和装置
CN105577619B (zh) 一种客户端登录方法、客户端以及系统
CN112272089A (zh) 云主机登录方法、装置、设备及计算机可读存储介质
CN107040501B (zh) 基于平台即服务的认证方法和装置
CN114422216B (zh) 一种物联网设备绑定方法、装置和存储介质
KR101799517B1 (ko) 인증 서버 및 방법
CN114501431A (zh) 报文传输方法、装置、存储介质及电子设备
CN112328415A (zh) 接口调用方法、装置、计算机设备和可读存储介质
KR102053993B1 (ko) 인증서를 이용한 사용자 인증 방법
CN112769759B (zh) 信息处理方法、信息网关、服务器及介质
CN110166452B (zh) 一种基于JavaCard共享接口的访问控制方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination