TW201442479A - 帳號加解密系統及方法 - Google Patents
帳號加解密系統及方法 Download PDFInfo
- Publication number
- TW201442479A TW201442479A TW102115319A TW102115319A TW201442479A TW 201442479 A TW201442479 A TW 201442479A TW 102115319 A TW102115319 A TW 102115319A TW 102115319 A TW102115319 A TW 102115319A TW 201442479 A TW201442479 A TW 201442479A
- Authority
- TW
- Taiwan
- Prior art keywords
- account
- private key
- information
- login information
- signature
- Prior art date
Links
Landscapes
- Storage Device Security (AREA)
Abstract
一種帳號加解密系統,該系統用於:記錄帳號第一次登錄應用系統時的登錄資訊;根據帳號的第一次登錄資訊生成私鑰,並同時生成一個與私鑰對應的公鑰;將私鑰發送給用戶端,使得用戶端透過私鑰對簽章進行加密;接收用戶端發送過來的加密後的簽章,並儲存到資料庫中。
Description
本發明涉及一種帳號管理系統及方法,尤其是關於一種帳號加解密系統及方法。
一般而言,用戶登錄應用系統(例如,考試系統等)需要輸入帳號(用戶名及密碼),然而,帳號洩密的情況時有發生,一旦帳號洩露,可能會對用戶造成重大的損失。
鑒於以上內容,有必要提供一種帳號加解密系統及方法,其可以對帳號進行加密,確保用戶的帳號安全,保護用戶的隱私。
一種帳號加密系統,運行於伺服器中,該系統包括:記錄模組,用於記錄一個帳號在第一次登錄應用系統時的登錄資訊,並將該帳號的第一次登錄資訊儲存到資料庫中;生成模組,用於根據該帳號的第一次登錄資訊生成私鑰,並同時生成一個與私鑰對應的公鑰,將公鑰儲存於資料庫中;發送模組,用於將私鑰發送給用戶端,使得用戶端透過私鑰對包含該帳號的第一次登錄資訊及該帳號的資源配置資訊的簽章進行加密;接收模組,用於接收用戶端發送過來的加密後的簽章,並儲存到資料庫中,完成對帳號的加密。
一種帳號解密系統,運行於伺服器中,該系統包括:接收模組,用於當用戶登錄應用系統時,接收用戶端傳送過來的帳號及私鑰;解密模組,用於當所述帳號及私鑰都正確時,透過私鑰在資料庫中找到對應的公鑰,並透過公鑰對簽章進行解密,以獲得簽章中該帳號的第一次登錄資訊及該帳號的資源配置資訊;配置模組,用於當簽章中該帳號的第一次登錄資訊正確時,根據該帳號的資源配置資訊配置應用系統,使得用戶根據該帳號的資源配置資訊使用該應用系統。
一種帳號加密方法,該方法包括:記錄帳號第一次登錄應用系統時的登錄資訊,並將帳號的第一次登錄資訊儲存到資料庫中;根據帳號的第一次登錄資訊生成私鑰,並同時生成一個與私鑰對應的公鑰,將公鑰儲存於資料庫中;將私鑰發送給用戶端,使得用戶端透過私鑰對包含帳號的第一次登錄資訊及帳號的資源配置資訊的簽章進行加密;接收用戶端發送過來的加密後的簽章,並儲存到資料庫中,完成對帳號的加密。
一種帳號解密方法,該方法包括:當用戶下一次登錄應用系統時,接收用戶端傳送過來的帳號及私鑰;當帳號及私鑰都正確時,透過私鑰在資料庫中找到對應的公鑰,並透過公鑰對簽章進行解密,以獲得簽章中帳號的第一次登錄資訊及帳號的資源配置資訊;當簽章中帳號的第一次登錄資訊正確時,根據帳號的資源配置資訊配置應用系統,使得用戶根據帳號的資源配置資訊使用該應用系統。
相較於習知技術,本發明提供的帳號加解密系統及方法,其可以對帳號進行加密,確保用戶的帳號安全,保護用戶的隱私。
10...用戶端
20...網路
30...伺服器
300...帳號加解密系統
301...應用系統
40...資料庫
310...記錄模組
320...生成模組
330...發送模組
340...接收模組
350...判斷模組
360...解密模組
370...配置模組
380...儲存器
390...處理器
圖1係本發明帳號加解密系統較佳實施例的應用環境圖。
圖2係本發明伺服器較佳實施例的結構示意圖。
圖3係本發明帳號加密方法較佳實施例的流程圖。
圖4係本發明帳號解密方法較佳實施例的流程圖。
參閱圖1所示,係本發明帳號加解密系統300較佳實施例的應用環境圖。該帳號加解密系統300應用於伺服器30中。該伺服器30與一個或多個用戶端10(圖1中以一個為例進行說明)透過網路20進行通信連接。
所述網路20可以是網際網路、區域網路或者其他通訊網路。
所述伺服器30安裝有應用系統301,所述應用系統301與帳號加解密系統300連接,當用戶透過帳號(例如,用戶名及密碼)第一次登錄到所述應用系統301時,對帳號進行加密,及當用戶透過加密後的帳號再次登錄應用系統301時,對加密的帳號進行解密,使得用戶能夠登錄並使用該應用系統301。在其他實施例中,所述帳號加解密系統300還可以成為應用系統301的一個子系統。所述應用系統301可以是一個虛擬機資源分配系統、考勤系統、考試系統及其它任意需要帳號登錄的系統或軟體。該伺服器30可以是個人電腦、網路伺服器,還可以是任意其他適用的電腦。
所述伺服器30透過一個資料庫連接與資料庫40連接。其中,所述資料庫連接可為一開放式資料庫連接(Open Database Connectivity, ODBC),或Java資料庫連接(Java Database Connectivity, JDBC)。
在此需說明的是,資料庫40可獨立於伺服器30,也可位於伺服器30內。所述資料庫40可存於伺服器30的硬碟或者快閃儲存器盤中。從系統安全性的角度考慮,本實施例中的資料庫40獨立於伺服器30。
所述用戶端10用於提供一個登錄介面,便於用戶輸入帳號以登錄到伺服器30的應用系統301。該用戶端10可以是個人電腦、筆記本電腦、手機、平板電腦以及其他任意能與伺服器30連接的設備。
參閱圖2所示,係本發明伺服器30較佳實施例的結構示意圖。該伺服器30除了包括帳號加解密系統300,還包括透過資料線或信號線相連的儲存器380和處理器390。該帳號加解密系統300包括記錄模組310、生成模組320、發送模組330、接收模組340、判斷模組350、解密模組360及配置模組370。模組310至370的程式化代碼儲存於儲存器380中,處理器390執行這些程式化代碼,實現帳號加解密系統300提供的上述功能。本發明所稱的模組是完成一特定功能的電腦程式段,比程式更適合於描述軟體在電腦中的執行過程,因此本發明以下對軟體描述中都以模組描述。
所述記錄模組310用於記錄一個帳號第一次登錄應用系統301時的登錄資訊,並將帳號的第一次登錄資訊儲存到資料庫40中。具體而言,用戶透過用戶端10的登錄介面輸入帳號,並將帳號發送給伺服器30,伺服器30在接收到該帳號時,驗證該帳號是否正確,若該帳號正確,則記錄該帳號登錄時的第一次登錄資訊。所述帳號包括用戶名及密碼,所述帳號的第一次登錄資訊包括帳號的用戶名、密碼、登錄時間及用戶端10的IP位址等資訊。
所述生成模組320用於根據帳號的第一次登錄資訊生成私鑰,在本較佳實施例中,所述生成模組320透過資訊摘要演算法(Message-Digest Algorithm 5,MD5)將登錄資訊生成私鑰,並同時生成一個與私鑰對應的公鑰。所述私鑰中可以包括帳號的第一次登錄資訊中的全部資訊,也可以包括帳號的第一次登錄資訊中的部分資訊,在本較佳實施例中,所述私鑰包括帳號的第一次登錄資訊中的部分資訊,例如,帳號。所述生成的私鑰是一個文本格式的檔。為了確保私鑰的資訊安全,用戶可以在伺服器30中定義所生成的私鑰的尾碼,使得開啟所生成的私鑰需要對應的軟體,例如,定義所生成的私鑰以PEM為尾碼,若用戶需要開啟該PEM為尾碼的私鑰,需要對應的PEM軟體才能開啟。需要說明的是,所述伺服器30會安裝有所述對應的PEM軟體,以便開啟該PEM為尾碼的私鑰。所述生成模組320將公鑰儲存於資料庫40中,所述公鑰用於對私鑰加密的簽章進行解密。
所述發送模組330用於將私鑰發送給用戶端10,使得用戶端10透過私鑰對包含帳號的第一次登錄資訊及帳號的資源配置資訊的簽章進行加密。所述用戶端10調用非對稱式數位簽章法,如RSA或ElGamal,將帳號的第一次登錄資訊及帳號的資源配置資訊生成簽章,並透過私鑰對簽章進行加密。所述帳號的資源配置資訊可以是,但不限於,帳號使用應用系統301的許可權、帳號使用應用系統301時的資源資訊(例如,使用該應用系統301時CPU的核心數量、使用記憶體的容量、使用硬碟的容量、使用的作業系統及收費模式)等。
所述接收模組340用於接收用戶端10發送過來的加密後的簽章,並儲存到資料庫40中,完成對帳號的加密。
所述接收模組340還用於當用戶下一次登錄應用系統301時,接收用戶端10傳送過來的帳號及私鑰。具體而言,用戶透過用戶端10的登錄介面輸入帳號,同時上傳私鑰,將帳號及私鑰發送給伺服器30。
所述判斷模組350用於判斷用戶端10發送過來的帳號及私鑰是否正確。具體而言,所述判斷模組350將發送過來的帳號與資料庫40中儲存的帳號進行比對,若一致,則表明用戶端10發送過來的帳號正確。所述判斷模組350還調用安裝在伺服器30上對應的軟體(例如,能夠開啟尾碼為PEP的檔的軟體),以開啟該私鑰,並獲取該私鑰中的資訊,將獲取的私鑰中的資訊與資料庫40中儲存的該帳號的第一次登錄資訊進行比對,若私鑰中的資訊全部包含在資料庫40中儲存的該帳號的第一次登錄資訊中,則表明私鑰正確,若私鑰中的資訊沒有包含或部分包含在資料庫40中儲存的該帳號的第一次登錄資訊中,則表明私鑰不正確。
所述解密模組360用於當帳號及私鑰都正確時,透過私鑰在資料庫40中找到對應的公鑰,並透過公鑰對簽章進行解密,以獲得簽章中該帳號的第一次登錄資訊及該帳號的資源配置資訊。
所述判斷模組350還用於判斷簽章中該帳號的第一次登錄資訊是否正確。具體而言,所述判斷模組350將簽章中該帳號的第一次登錄資訊與資料庫40中儲存的登錄資訊進行比對,若一致,則表明簽章中該帳號的第一次登錄資訊正確,若不一致,則表明簽章中該帳號的第一次登錄資訊不正確。
所述配置模組370用於當簽章中該帳號的第一次登錄資訊正確時,根據該帳號的資源配置資訊配置應用系統301,使得用戶根據帳號的資源配置資訊使用該應用系統301。例如,假設帳號的資源配置資訊是訪客許可權、使用該應用系統301時CPU的核心數量為四個、使用記憶體的容量為2G、使用硬碟的容量為300G、使用的作業系統為Linux作業系統、收費模式為以小時計費(如每小時300美元),則所述配置模組370以上述資源配置資訊對應用系統301進行配置,以供用戶使用該應用系統301。
如圖3所示,係本發明帳號加密方法較佳實施例的流程圖。
步驟S10,記錄模組310記錄一個帳號登錄應用系統301時的登錄資訊,並將帳號的第一次登錄資訊儲存到資料庫40中。具體而言,用戶透過用戶端10的登錄介面輸入帳號,並將帳號發送給伺服器30,伺服器30在接收到該帳號時,驗證該帳號是否正確,若該帳號正確,則記錄該帳號登錄時的第一次登錄資訊。所述帳號包括用戶名及密碼,所述帳號的第一次登錄資訊包括帳號的用戶名、密碼、登錄時間及用戶端10的IP位址等資訊。
步驟S20,生成模組320根據登錄資訊生成私鑰,在本較佳實施例中,所述生成模組320透過資訊摘要演算法(Message-Digest Algorithm 5,MD5)將登錄資訊生成私鑰,並同時生成一個與私鑰對應的公鑰。所述私鑰中可以包括登錄資訊中的全部資訊,也可以包括登錄資訊中的部分資訊,在本較佳實施例中,所述私鑰包括登錄資訊中的部分資訊,例如,帳號。所述生成的私鑰是一個文本格式的檔。為了確保私鑰的資訊安全,用戶可以在伺服器30中定義所生成的私鑰的尾碼,使得開啟所生成的私鑰需要對應的軟體,例如,定義所生成的私鑰以PEM(Privacy Enhanced Mail)為尾碼,若用戶需要開啟該PEM為尾碼的私鑰,需要對應的PEM軟體才能開啟。需要說明的是,所述伺服器30會安裝有所述對應的PEM軟體,以便開啟該PEM為尾碼的私鑰。所述生成模組320將公鑰儲存於資料庫40中,所述公鑰用於對私鑰加密的簽章進行解密。
步驟S30,發送模組330將私鑰發送給用戶端10,使得用戶端10透過私鑰對包含帳號的第一次登錄資訊及帳號的資源配置資訊的簽章進行加密。所述用戶端10調用非對稱式數位簽章法,如RSA或ElGamal,將帳號的第一次登錄資訊及帳號的資源配置資訊生成簽章,並透過私鑰對簽章進行加密。所述帳號的資源配置資訊可以是,但不限於,帳號使用應用系統301的許可權、帳號使用應用系統301時的資源資訊(例如,使用該應用系統301時CPU的核心數量、使用記憶體的容量、使用硬碟的容量、使用的作業系統及收費模式)等。
步驟S40,接收模組340接收用戶端10發送過來的簽章,並儲存到資料庫40中,完成對帳號的加密。
如圖4所示,係本發明帳號解密方法較佳實施例的流程圖。
步驟S50,當用戶下一次登錄應用系統301時,接收模組340接收用戶端10傳送過來的帳號及私鑰。具體而言,用戶透過用戶端10的登錄介面輸入帳號,並同時上傳私鑰,並將帳號及私鑰發送給伺服器30。
步驟S60,所述判斷模組350判斷用戶端10發送過來的帳號及私鑰是否正確。具體而言,所述判斷模組350將發送過來的帳號與資料庫40中儲存的帳號進行比對,若一致,則表明用戶端10發送過來的帳號正確。所述判斷模組350還調用安裝在伺服器30上對應的軟體(例如,能夠開啟尾碼為PEP的檔的軟體),以開啟該私鑰,並獲取該私鑰中的資訊,將獲取的私鑰中的資訊與資料庫40中儲存的該帳號的第一次登錄資訊進行比對,若私鑰中的資訊全部包含在資料庫40中儲存的該帳號的第一次登錄資訊中,則表明私鑰正確,若私鑰中的資訊沒有包含或部分包含在資料庫40中儲存的該帳號的第一次登錄資訊中,則表明私鑰不正確。當帳號及私鑰都正確時,流程進入步驟S70,否則,若帳號或私鑰有一項不正確,直接結束流程。
步驟S70,解密模組360透過私鑰在資料庫40中找到對應的公鑰,並透過公鑰對簽章進行解密,以獲得簽章中該帳號的第一次登錄資訊及該帳號的資源配置資訊。
步驟S80,判斷模組350判斷簽章中該帳號的第一次登錄資訊是否正確。具體而言,所述判斷模組350將簽章中該帳號的第一次登錄資訊與資料庫40中儲存的該帳號的第一次登錄資訊進行比對,若一致,則表明簽章中該帳號的第一次登錄資訊正確,流程進入步驟S90,若不一致,則表明簽章中該帳號的第一次登錄資訊不正確,直接結束流程。
步驟S90,配置模組370根據該帳號的資源配置資訊配置應用系統301,使得用戶根據帳號的資源配置資訊使用該應用系統301。例如,假設帳號的資源配置資訊是訪客許可權、使用該應用系統301時CPU的核心數量為四個、使用記憶體的容量為2G、使用硬碟的容量為300G、使用的作業系統為Linux作業系統、收費模式為以小時計費(如每小時300美元),則所述配置模組370以上述資源配置資訊對應用系統301進行配置,以供用戶使用該應用系統301。
10...用戶端
20...網路
30...伺服器
300...帳號加解密系統
301...應用系統
40...資料庫
Claims (12)
- 一種帳號加密系統,運行於伺服器中,該系統包括:
記錄模組,用於記錄一個帳號在第一次登錄應用系統時的登錄資訊,並將該帳號的第一次登錄資訊儲存到資料庫中;
生成模組,用於根據該帳號的第一次登錄資訊生成私鑰,並同時生成一個與私鑰對應的公鑰,將公鑰儲存於資料庫中;
發送模組,用於將私鑰發送給用戶端,使得用戶端透過私鑰對包含該帳號的第一次登錄資訊及該帳號的資源配置資訊的簽章進行加密;
接收模組,用於接收用戶端發送過來的加密後的簽章,並儲存到資料庫中,完成對帳號的加密。 - 如申請專利範圍第1項所述之帳號加密系統,所述帳號包括用戶名及密碼,所述帳號的第一次登錄資訊包括帳號的用戶名、密碼、登錄時間及用戶端的IP地址。
- 如申請專利範圍第1項所述之帳號加密系統,所述生成模組透過資訊摘要演算法將帳號的第一次登錄資訊生成私鑰,並同時生成與該私鑰對應的公鑰。
- 如申請專利範圍第1項所述之帳號加密系統,所述私鑰包括帳號的第一次登錄資訊中的全部資訊或帳號的第一次登錄資訊中的部分資訊。
- 如申請專利範圍第1項所述之帳號加密系統,所述帳號的資源配置資訊包括帳號使用應用系統的許可權、帳號使用該應用系統時CPU的核心數量、使用記憶體的容量、使用硬碟的容量、使用的作業系統及收費模式。
- 一種帳號解密系統,運行於伺服器中,該系統包括:
接收模組,用於當用戶登錄應用系統時,接收用戶端傳送過來的帳號及私鑰;
解密模組,用於當所述帳號及私鑰都正確時,透過私鑰在資料庫中找到對應的公鑰,並透過公鑰對簽章進行解密,以獲得簽章中該帳號的第一次登錄資訊及該帳號的資源配置資訊;及
配置模組,用於當簽章中該帳號的第一次登錄資訊正確時,根據該帳號的資源配置資訊配置應用系統,使得用戶根據該帳號的資源配置資訊使用該應用系統。 - 一種帳號加密方法,該方法包括:
記錄帳號第一次登錄應用系統時的登錄資訊,並將帳號的第一次登錄資訊儲存到資料庫中;
根據帳號的第一次登錄資訊生成私鑰,並同時生成一個與私鑰對應的公鑰,將公鑰儲存於資料庫中;
將私鑰發送給用戶端,使得用戶端透過私鑰對包含帳號的第一次登錄資訊及帳號的資源配置資訊的簽章進行加密;及
接收用戶端發送過來的加密後的簽章,並儲存到資料庫中,完成對帳號的加密。 - 如申請專利範圍第7項所述之帳號加密方法,所述帳號包括用戶名及密碼,所述帳號的第一次登錄資訊包括帳號的用戶名、密碼、登錄時間及用戶端的IP地址。
- 如申請專利範圍第7項所述之帳號加密方法,所述私鑰及公鑰透過資訊摘要演算法生成。
- 如申請專利範圍第7項所述之帳號加密方法,所述私鑰包括帳號的第一次登錄資訊中的全部資訊或帳號的第一次登錄資訊中的部分資訊。
- 如申請專利範圍第7項所述之帳號加密方法,所述帳號的資源配置資訊包括帳號使用應用系統的許可權、帳號使用該應用系統時CPU的核心數量、使用記憶體的容量、使用硬碟的容量、使用的作業系統及收費模式。
- 一種帳號解密方法,該方法包括:
當用戶下一次登錄應用系統時,接收用戶端傳送過來的帳號及私鑰;
當帳號及私鑰都正確時,透過私鑰在資料庫中找到對應的公鑰,並透過公鑰對簽章進行解密,以獲得簽章中帳號的第一次登錄資訊及帳號的資源配置資訊;及
當簽章中帳號的第一次登錄資訊正確時,根據帳號的資源配置資訊配置應用系統,使得用戶根據帳號的資源配置資訊使用該應用系統。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW102115319A TW201442479A (zh) | 2013-04-29 | 2013-04-29 | 帳號加解密系統及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW102115319A TW201442479A (zh) | 2013-04-29 | 2013-04-29 | 帳號加解密系統及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| TW201442479A true TW201442479A (zh) | 2014-11-01 |
Family
ID=52423078
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW102115319A TW201442479A (zh) | 2013-04-29 | 2013-04-29 | 帳號加解密系統及方法 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TW201442479A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI837564B (zh) | 2021-12-29 | 2024-04-01 | 英華達股份有限公司 | 帳戶的註冊及登錄系統 |
-
2013
- 2013-04-29 TW TW102115319A patent/TW201442479A/zh unknown
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI837564B (zh) | 2021-12-29 | 2024-04-01 | 英華達股份有限公司 | 帳戶的註冊及登錄系統 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI601405B (zh) | 用於雲端輔助式密碼術之方法及設備 | |
| WO2022126980A1 (zh) | 一种数据传输方法、装置、终端及存储介质 | |
| US9246678B2 (en) | Secure cloud storage and encryption management system | |
| EP3937046A1 (en) | Trusted startup methods and apparatuses of dedicated blockchain node device | |
| CN108833091B (zh) | 一种日志文件的加密方法、解密方法及装置 | |
| US8489873B2 (en) | Migration apparatus, method and system for transferring data protected within a first terminal device to a second terminal device | |
| US20200169548A1 (en) | Network access authentication method, apparatus, and system | |
| KR100737628B1 (ko) | 고정형 토큰 및 이동형 토큰 모두를 이용한 어테스테이션 | |
| US9020149B1 (en) | Protected storage for cryptographic materials | |
| CN106610863B (zh) | 虚拟机可信迁移方法及装置 | |
| CN110661748B (zh) | 一种日志的加密方法、解密方法及装置 | |
| KR20150107796A (ko) | 공개 클라우드에서의 신뢰 데이터 프로세싱 | |
| WO2018177394A1 (zh) | 一种安卓so文件的保护方法及装置 | |
| WO2020073712A1 (zh) | 一种移动终端中共享安全应用的方法及移动终端 | |
| WO2012075904A1 (zh) | 一种验证绑定数据卡和移动主机的方法、装置及系统 | |
| EP3736718B1 (en) | A tpm-based secure multiparty computing system using a non-bypassable gateway | |
| WO2023051337A1 (zh) | 数据处理方法、装置、设备及存储介质 | |
| WO2020034881A1 (zh) | 一种可信执行环境的激活方法和装置 | |
| WO2022251987A1 (zh) | 一种数据加解密方法和装置 | |
| CN109960935B (zh) | 确定tpm可信状态的方法、装置及存储介质 | |
| CN113986470A (zh) | 一种用户无感知的虚拟机批量远程证明方法 | |
| CN110851851B (zh) | 一种块链式账本中的权限管理方法、装置及设备 | |
| JP2013058006A (ja) | 情報処理装置及び情報処理プログラム | |
| US11281786B2 (en) | Mechanism to secure side band communication between service processor and an end point | |
| US9270649B1 (en) | Secure software authenticator data transfer between processing devices |