CN106576041A - 客户端与服务器之间相互验证的方法 - Google Patents
客户端与服务器之间相互验证的方法 Download PDFInfo
- Publication number
- CN106576041A CN106576041A CN201580034939.2A CN201580034939A CN106576041A CN 106576041 A CN106576041 A CN 106576041A CN 201580034939 A CN201580034939 A CN 201580034939A CN 106576041 A CN106576041 A CN 106576041A
- Authority
- CN
- China
- Prior art keywords
- token
- server
- client
- data
- log messages
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
- G06F21/445—Program or device authentication by mutual authentication, e.g. between devices or programs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0846—Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
公开了一种在客户端与服务器之间相互验证的方法。所述方法包括:经由电信链路接收请求,所述请求包括服务器的地址;接收验证数据;用服务器的私钥对验证数据进行解密;根据已解密的验证数据识别客户端的账户身份(ID);生成第一登录令牌;生成包括第一登录令牌和服务器的统一资源定位符(URL)的登录消息;用客户端的公钥对登录消息进行加密;经由电信链路发送登录消息;接收包括账户ID和第二登录令牌的登录请求;以及确定第二登录令牌是否与第一登录令牌匹配。
Description
相关申请的交叉引用
本申请要求享有于2014年6月27日提交的发明名称为“使用临时生成的登录令牌登录账户进行客户端和服务器的相互验证的电子通信***和方法(ElectronicCommunication System and Method of Logging on an Account Using a TemporarilyGenerated Logon Token with Mutual Verification of Client and Server)”的美国临时专利申请第62/018,089号的优先权,其通过引用合并于此。
背景技术
互联网应用和服务已经渗透到我们生活的许多方面。典型的互联网活动包括电子邮件、上网冲浪、云存储、社交网络、电子交易、网上购物等。由于更多的关注从现实世界互动到虚拟世界互动,因此,犯罪和恶意行为也快速增长。为了不断发展互联网服务而不影响安全性,已经提出了许多方法。其中,密码是目前常用的。图1是现有技术中客户端-服务器***100的示意图。参照图1,客户端A可以使用不同组ID和密码(与psw_1相关联的ID_1到与psw_n相关联的ID_n)分别与不同的互联网网站的server_1到server_n交互。然而,为不同的网站设置不同的密码可能仍然冒网络犯罪(诸如恶意客户端B的计算机病毒攻击、数据黑客入侵和互联网诈骗)的风险。因此,需要一种可以改善现有的基于密码的安全机制的方法和***。
发明内容
现有的基于密码的安全机制存在一些缺陷。从网站管理员或内容提供者的角度来看,网站或服务器必须确保数据安全并采取措施以防止数据被盗或篡改。另外,就用户而言,他/她可以从字母或符号的复杂组合中选择密码。用户记住用于登录不同网站的特定ID/密码内容往往是麻烦的。此外,用户可能需要经常更换他的密码以降低密码被盗的风险。
此外,为了保护客户端,现有的基于密码的安全机制可能只检查客户端的身份,而不提供用于检查服务器的身份的方法。此外,由于服务器的域名而不是数字IP地址可能经常被客户端用来连接到服务器,因此由于诸如域名服务器(domain name server,DNS)劫持或DNS欺骗的DNS黑客入侵,客户端可能连接到伪造服务器。
本发明提出了一种基于令牌的机制来缓解上述问题。本发明的实施例提供了一种在客户端与服务器之间相互验证的方法。所述方法包括:经由电信链路接收请求,所述请求包括服务器的地址;接收验证数据;用服务器的私钥对验证数据进行解密;根据已解密的验证数据识别客户端的账户身份(ID);生成第一登录令牌;生成包括第一登录令牌的登录消息;用客户端的公钥对登录消息进行加密;经由电信链路发送登录消息;接收包括账户ID和第二登录令牌的登录请求;以及确定第二登录令牌是否与第一登录令牌匹配。
本发明的一些实施例还提供了一种在客户端与服务器之间相互验证的方法。所述方法包括:经由电信链路将请求发送至服务器;生成第一验证令牌;生成包括客户端的帐户ID和第一验证令牌的第一验证数据;用服务器的公钥对第一验证数据进行加密;发送已加密的第一验证数据;接收登录消息;用客户端的私钥对登录消息进行解密;在已解密的登录消息中识别登录令牌、第二验证令牌和登录服务器的URL;验证第二验证令牌;以及响应于被确定为有效的第二验证令牌将具有账户ID和登录令牌的登录请求发送至服务器。
本发明的实施例提供了一种在客户端与服务器之间相互验证的***。所述***包括一个或多个处理器以及包括指令的一个或多个程序。所述指令在被所述一个或多个处理器执行时使所述***:经由电信链路接收请求,所述请求包括服务器的地址;接收验证数据;用服务器的私钥对验证数据进行解密;根据已解密的验证数据识别客户端的账户身份(ID);生成第一登录令牌;生成包括第一登录令牌和服务器的统一资源定位符(URL)的登录消息;用客户端的公钥对登录消息进行加密;经由电信链路发送登录消息;接收包括账户ID和第二登录令牌的登录请求;以及确定第二登录令牌是否与第一登录令牌匹配。
因此,本发明提出了一种用于客户端和服务器身份验证的免密码***。采用公钥基础设施(public key infrastructure,PKI)来保护客户端的机密数据。此外,代替使用任何密码,由客户端或服务器的公私密钥对的公钥生成并加密令牌。令牌在预定时间内是有效的,这比密码一旦被创建就在相对长的时间内有效更安全。此外,令牌可以随机生成并在传输中由公私密钥对来保护。因此,可以以比基于密码的安全***更有效和安全的方式验证客户端或服务器的身份。
因为密码被消除,因此在本发明中,在客户端每次登录之前,由服务器生成登录令牌用于客户端登录。登录令牌包括文本、图形、声音、语音、视频或其组合。一旦被使用或者在预定时间段之后到期,则登录令牌就会被废弃。考虑到登录令牌在每次登录之前随机生成以及在相对短的有效时间段的特点,登录令牌被窃取的机会比密码小。此外,在服务器等待客户端登录的短的有效时间段内,服务器可以保存登录令牌的哈希值而不是初始登录令牌,以便检查客户端使用来登录的登录令牌。即使登录令牌的哈希值被窃取,也没有恶意操作可以利用被窃取的哈希值。
附图说明
当参照附图进行阅读时,根据以下详细描述将最好地理解本发明的各个方案。
图1是现有技术中客户端-服务器***的示意图。
图2是根据本发明的一些实施例的客户端-服务器***的示意图。
图3是示出根据本发明的一些实施例的在客户端与服务器之间相互验证的方法的流程图。
图4是示出根据本发明的一些实施例的在客户端与服务器之间相互验证的方法的流程图。
图5是示出根据本发明的一些实施例的在客户端与服务器之间相互验证的方法的流程图。
具体实施方式
以下公开提供许多不同的实施例或示例,用于实现所提供主题的不同特征。以下描述组件和布置的具体示例以简化本公开。当然,这些仅仅是示例,并且不旨在是限制性的。另外,本公开可以在各示例中重复附图标记和/或字母。该重复是为了简化和清楚的目的,并且其本身并不指定所讨论的各个实施例和/或配置之间的关系。
图2是根据本发明的一些实施例的客户端-服务器***200的示意图。参照图2,客户端-服务器***200包括客户端A、管理服务器204、登录服务器206和电信链路210。客户端A是由意图登录的账户持有者使用的本地设备(诸如计算机或移动电话),并且能够网络通信。另外,客户端A可以包括用于执行软件指令的处理器或处理电路。
管理服务器204是管理客户端A的帐户的主机。管理服务器204表示用于向客户端提供服务的计算实例或结合的硬件/软件实体。在一些实施例中,管理服务器204可以以虚拟机的形式实现。在一些实施例中,管理服务器204包括输入接口,诸如键盘、鼠标或触摸面板。管理服务器204还可以指可以通过电信链路210直接或间接访问的网络节点。管理服务器204作为用于接受来自客户端的请求的网络门户并且根据预定程序动作。在一些实施例中,管理服务器204可以是文件服务器、数据库服务器或应用服务器。管理服务器204可以包括处理器、诸如天线端口或网络端口的通信终端。管理服务器204还可以包括用于处理客户端的请求并且执行服务程序的信号处理单元,以及用于存储程序文件或客户端信息的存储单元。
登录服务器206是允许客户端A登录的主机。登录服务器206经由电信链路210连接到客户端A和管理服务器204。登录服务器206可以与管理服务器204共享用于管理帐户的数据。虽然在图2中将登录服务器206和管理服务器204示为分离的服务器,但是它们的功能可以被集成或结合在单个服务器中。
通信链路210被配置为耦接客户端A和管理服务器204。通信链路210可以包括多个中间网络节点和连接路径以发送和接收信号、消息或数据。电信链路210由诸如以太网、电缆、电力线通信或任何合适的介质之类的有线连接形成。或者,电信链路210可以形成在诸如蜂窝网、WiFi、蓝牙或任何适合的无线通信***之类的无线环境中。此外,电信链路210可以包括传输协议和应用程序的堆栈以处理入站或出站消息。
客户端A和管理服务器204被配置为通过电信链路210发送和接收已加密的数据。此外,客户端A和管理服务器204包括存储单元以存储它们各自的私钥和公钥。此外,客户端A和管理服务器204均包括硬件和/或软件以实现加密/解密过程。
公私密钥对用于客户端A与管理服务器204之间的数据隐私,使得数据不会被透露给其他人。客户端A和管理服务器204中的每个可以在数据传输中作为发送方或接收方。以下提供了使用公私密钥发送隐私数据的示例性步骤。
A)发送方用接收方的公钥对数据进行加密;
B)发送方将已加密的数据发送给接收方;以及
C)接收方用接收方的私钥对已加密的数据进行解密以获得数据。
因为只有接收方有接收方的私钥,所以维持了数据隐私。
使用公私密钥对来验证身份的示例性步骤如下:
A)发送方用发送方的私钥对数据进行加密;
B)发送方将已加密的数据发送给接收方;以及
C)接收方用发送方的公钥对已加密的数据进行解密。
如果成功执行了解密,则因为只有发送方有发送方的私钥,所以验证了发送方的身份。
此外,使用公私密钥对来验证发送方的身份并且维持数据隐私的示例性步骤如下。
A)发送方用发送方的私钥对数据进行加密以生成第一加密数据;
B)发送方用接收方的公钥对第一加密数据进行加密以生成第二加密数据;
C)发送方将第二加密数据发送给接收方;
D)接收方用接收方的私钥对第二加密数据进行解密以获得第一加密数据;因为只有接收方有接收方的私钥,所以维持了数据隐私;以及
E)接收方用发送方的公钥对第一加密数据进行解密以获得数据。如果解密成功,则因为只有发送方有发送方的私钥,所以验证了发送方的身份。
此外,使用公私密钥对来验证发送方的身份并且维持数据隐私的示例性步骤如下。
A)发送方用接收方的公钥对数据进行加密以生成第一加密数据;
B)发送方用发送方的私钥对第一加密数据进行加密以生成第二加密数据;
C)发送方将第二加密数据发送给接收方;
D)接收方用发送方的公钥对第二加密数据进行解密以获得第一加密数据。如果解密成功,则因为只有发送方有发送方的私钥,所以验证了发送方的身份。然而,除了接收方之外的第三方可以具有发送方的公钥以获得第一加密数据。
E)接收方用接收方的私钥对第一加密数据进行解密以获得数据。即使第三方可以获得第一加密数据,因为只有接收方有接收方的私钥,所以仍然维持了数据隐私。
私钥或公钥可以不直接用于加密或解密数据。在其他实施方式中,为了身份验证和数据隐私的相同目的,对称密码学的对称密钥可用于加密和解密数据,并且私钥或公钥用于加密或解密对称密钥。例如,使用对称密钥和公私密钥来发送隐私数据的步骤如下。
A)发送方用对称密钥对数据进行加密;
B)发送方用接收方的公钥针对对称密钥进行加密;
C)发送方将已加密的对称密钥和已加密的数据发送给接收方;
D)接收方用接收方的私钥对已加密的对称密钥进行解密以获得对称密钥;以及
E)接收方用对称密钥针对已加密的数据进行解密以获得数据。
此外,使用对称密钥和公私密钥对来验证提供数据的发送方的身份的步骤如下。
A)发送方用对称密钥对数据进行加密;
B)发送方用发送方的私钥针对对称密钥进行加密;
C)发送方将已加密的对称密钥和已加密的数据发送给接收方;
D)接收方用发送方的公钥对已加密的对称密钥进行解密以获得对称密钥;以及
E)接收方用对称密钥对已加密的数据进行解密以获得数据。
为了方便起见,在本公开的下文中,在数据加密和解密中只描述了私钥和公钥。然而,对称密钥仍然落入本发明的预期范围之内。
在根据本发明的一些实施例中,如下提供了一种使用公私密钥对和验证令牌来由发送方(本示例中的客户端A)验证接收方(本示例中的管理服务器204)的身份的方法。
A)发送方生成包括文本、图形、声音、语音、视频或它们的组合的第一验证令牌;
B)发送方用接收方的公钥对第一验证令牌进行加密;
C)发送方将已加密的第一验证令牌发送给接收方;
D)接收方用接收方的私钥对已加密的第一验证令牌进行解密,以获得被认为是等同于第一验证令牌的第二验证令牌;
E)接收方用发送方的公钥对第二验证令牌进行加密;
F)接收方将已加密的第二验证令牌发送给发送方;
G)发送方用发送方的私钥对已加密的第二验证令牌进行解密以获得第二验证令牌;以及
H)发送方将第二验证令牌和第一验证令牌互相对照;如果第二验证令牌与第一验证令牌相同,则验证了接收方的身份。
根据本发明的一些实施例,如下提供了一种在客户端A、管理服务器204和登录服务器206登录过程中使用公私密钥对、验证令牌和登录令牌的相互验证的方法。
A)客户端A生成验证令牌,然后通过用管理服务器204的公钥对客户端A的帐户ID和验证令牌进行加密以生成验证数据。
B)使用管理服务器204的域名或IP地址将客户端A与管理服务器204连接。
C)客户端A将验证数据发送给管理服务器204。
D)管理服务器204用管理服务器204的私钥对验证数据进行解密,以便获得客户端A的帐户ID和验证令牌。
E)管理服务器204生成登录令牌。
F)管理服务器204用客户端A的公钥对验证令牌(称为返回验证令牌)、登录服务器206的登录URL和登录令牌进行加密,以便生成登录数据。URL可以指使用IP地址进行登录的网页。登录URL的示例可以是https://123.58.8.178/logon.jsp。
G)管理服务器204将登录数据发送给客户端A。
H)客户端A用客户端A的私钥对登录数据进行解密,使得来自管理服务器204的返回验证令牌、登录URL和登录令牌可以被识别。
I)客户端A将来自管理服务器204的返回验证令牌和初始验证令牌互相对照,以验证管理服务器204的身份。
J)如果验证了管理服务器204的身份,则客户端A断开与管理服务器204的连接,调用web浏览器以打开登录URL处的登录网页,然后输入客户端的账户ID和登录令牌以登录该登录网页。
另外,在没有验证令牌时可以简化验证过程,同时保持对管理服务器204的验证功能。上述示例的步骤(F)-(H)由步骤(K)-(O)所替代。
K)管理服务器204用管理服务器204的私钥对登录URL和登录令牌进行加密,以生成第一服务器数据。
L)管理服务器204用客户端A的公钥对第一服务器数据进行加密,以生成第二服务器数据。
M)管理服务器204将第二服务器数据发送给客户端A。
N)客户端A用客户端A的私钥对第二服务器数据进行解密以获得第一服务器数据。
O)客户端A用管理服务器204的公钥对第一服务器数据进行解密并验证管理服务器204的身份。由此获得登录URL和登录令牌。
因为在步骤(D)中只有管理服务器204具有它自己的私钥以对验证令牌进行解密,所以如果客户端A对第一服务器数据的解密成功,则验证了管理服务器204的身份。在操作(K)和(L)中,利用管理服务器204的私钥和客户端A的公钥的两个加密步骤的顺序是可互换的。另外,当加密顺序改变时,(N)和(O)中的解密步骤也相应地调整。
在客户端A验证管理服务器204的身份的情形下,客户端A可以调用web浏览器以打开URL处的网页进行登录。可以通过使用IP地址而不是域名由管理服务器204提供URL,使得可以消除诸如DNS劫持(hijack)或DNS欺骗(spoof)的域名服务器(DNS)黑客入侵(hack)。在一些实施例中,可以在自动过程中实施调用web浏览器用于打开URL处的网页,以便于用户操作,使得客户端A无需手动调用web浏览器和输入IP地址。
在验证管理服务器204的身份之后,客户端A和管理服务器204可以基于通信协议而不使用网页彼此进行通信。
客户端A和管理服务器204被配置为在通用公钥基础设施(public keyinfrastructure,PKI)下运行。如前所述,PKI的基本使能器是公私密钥对。客户端A和管理服务器204均拥有它们各自的公私密钥对。密钥对的私钥只有密钥对所有者知道,而公钥通常是公开的。用密钥对的私钥进行加密的数据只能用相同密钥对的公钥进行解密。相互地,用密钥对的公钥进行加密的数据只能用相同密钥对的私钥进行解密。
参照图2,当客户端A借助于公私密钥对建立与管理服务器204的安全通道时,客户端A可以用管理服务器204的公钥对数据进行加密并且将已加密的数据发送给管理服务器204。在接收侧,管理服务器204用其私钥对数据进行解密。意图与管理服务器204进行通信的任何客户端可以利用这种方法以简单的方式来保护被传输的数据,只要管理服务器204的公钥是可用的。类似地,管理服务器204可以用客户端A的公钥对数据进行加密并将已加密的数据发送给客户端A。然后,客户端A用其私钥对接收到的数据进行解密。因此,实现了一种简单而安全的双向数据交换。
相反地,在现有的对称密钥机制中,加密密钥和解密密钥是相同的,应当以安全的方式使得只有两侧知道密钥。应当做出额外努力以确保客户端A和管理服务器204两者的密钥的机密性。因此,存在将密钥暴露给意外接收方的风险,并且在传输中对称密钥的相应维护成本较高。然而,在公钥基础设施中,在数据传输之前或者在数据传输过程中,没有必要为每个调用方(客户端A或管理服务器204)交换任何重要信息。由此实现数据保护,而无需昂贵的密钥管理。
参照图2,当客户A登录管理服务器204时,客户端A向管理服务器204提供帐户身份(ID)作为登录请求。随后,取代向客户端A请求密码,管理服务器204响应于登录请求生成并发送第一令牌给客户端A。在一些实施例中,第一令牌由诸如文本、音频和视频的数据片形成。在一些实施例中,第一令牌是由字母、符号和数字组成的串。第一令牌是随机生成的并且在第一时间段中有效。在实施例中,第一时间段为30分钟那样短,以维持高的安全性。此外,由客户端A的公钥对第一令牌进行加密。客户端A必须利用其帐户ID和刚刚接收的第一令牌作为用户信息来登录管理服务器204。因此,管理服务器204生成并且使用第一令牌来验证客户端A。
此外,对于在线交易,确保网站的真实性也与确保客户的真实性同样重要。因此,令牌作用为用于登录客户端验证被访问的网站的另一个功能。参照图2,第二令牌由客户端A随机生成并且发送给管理服务器204。此外,用管理服务器204的公钥对第二令牌进行加密。然后管理服务器204通过其私钥对第二令牌进行解密。因为只有管理服务器204可获得管理服务器204的私钥,因此确保了管理服务器204的真实性。其结果是,通过用接收方的公钥进行的加密保护了第一和第二令牌。除了接收方的任何其它方将发现在短于令牌的有效期限的有限时间内破解已加密的令牌是困难的,甚至是不可能的。
在这种基于令牌的机制下,发送方必须用接收方的公钥对数据进行加密。因此,在基于令牌的登录机制中,客户端A和管理服务器204的公钥是容易取得的。在一些实施例中,当客户端A向服务器发送登录请求时,客户端A还可以与请求一起提供其公钥。在一些实施例中,管理服务器204在互联网上提供其公钥。在另一个实施例中,管理服务器204将激活码提供给客户端A,使得客户端A可以将客户端A的公钥提交至管理服务器204。当提交客户端A的公钥时,管理服务器204使用激活码来验证客户端A的身份。
图3是示出根据本发明的一些实施例的在客户端与服务器之间相互验证的方法的流程图。
在操作310中,管理服务器204经由电信链路210接收请求。所述请求包括管理服务器204的地址和客户端A的帐户身份(ID)。客户端A能够生成其自身的公私密钥对。另外,管理服务器204也能够生成其自身的公私密钥对。在一些实施例中,由管理服务器204的公钥对请求进行加密。
在操作320中,由管理服务器204接收验证数据。已经由客户端A生成的验证数据包括第一验证令牌和客户端A的帐户身份(ID)。第一验证令牌在验证数据之前由客户端A生成,并且可以包括文本、字母、符号、数字、音频、视频及其组合。接着,在操作330中用管理服务器204的私钥对验证数据进行解密。
在操作340中,根据已解密的验证数据识别第一验证令牌和客户端A的帐户身份(ID)。如果识别第一验证令牌的尝试失败,则此后这种第一验证令牌不可以返回到客户端A,当前与客户端A进行通信的服务器被视为无效。
在操作350中,由管理服务器204生成第一登录令牌。第一登录令牌是随机生成的并且可以包括文本、字母、符号、数字、音频、视频及其组合。此外,第一登录令牌被设置为在第一时间段内有效。这意味着当第一时间段到期时,第一登录令牌将被视为废弃的并因此失效,而不管接收到的登录令牌是否与初始第一登录令牌匹配。
在操作360中,生成登录消息,其包括第一登录令牌、第一验证令牌以及可选地登录服务器206的统一资源定位符(uniform resource locator,URL)。URL包括登录服务器206的域名或互联网协议(IP)地址。IP地址的类型是固定IP地址或浮动IP地址。IP地址允许客户端A使用数字IP地址(而不是对应的域名)登录服务器206。域名服务器(DNS)被指定为在互联网节点的域名与数字IP地址之间进行解释。虽然网站的域名可以便于用户进行网站管理,但是,域名服务器(DNS)可能易受劫持或欺骗。例如,客户端B(图2)可以使用被劫持的DNS来拦截用户数据包,并且将用户引导至到伪造网站。因此,管理服务器204可以自愿或被要求为客户端A提供其数字IP地址,以确保客户端A与登录服务器206之间的安全通信。
在操作370中,用客户端A的公钥对登录消息进行加密。然后,在操作380中,由管理服务器204经由电信链路210将登录消息发送至客户端A。
随后,在操作382中,从客户端A接收包括第二登录令牌和客户端A的帐户ID的登录请求。客户端A识别和使用第二登录令牌,以由管理服务器204来验证。
在操作384中,确定第二登录令牌是否到期或已经被使用。如果确定第二登录令牌到期或已经被使用,则在操作390中,登录请求被管理服务器204拒绝。反之,则在操作392中确定第二登录令牌是否与第一登录令牌匹配。如果第二登录令牌与第一登录令牌匹配,则在操作394中,接受登录请求。如果第二登录令牌与第一登录令牌不匹配,则确定第二登录令牌失效。由此在操作390中拒绝登录请求。在本实施例中,操作384和392是可互换的。
图4是示出根据本发明的一些实施例的在客户端与服务器之间相互验证的方法的流程图。
在操作410中,客户端A经由电信链路210将用于登录管理服务器204的请求发送给管理服务器204。
在操作420中,客户端A生成第一验证令牌。
在操作430中,生成第一验证数据,该第一验证数据包括第一验证令牌和客户端A的帐户ID。
在操作440中,用管理服务器204的公钥对第一验证数据进行加密。接着,在操作450中,将已加密的第一验证数据发送给管理服务器204。
在操作460中,客户端A从管理服务器204接收登录消息。已经由管理服务器204生成的登录消息包括登录令牌、第二验证令牌以及可选地登录服务器206的URL。管理服务器204生成第二验证令牌,并且如果管理服务器204的解密成功,则认为第二验证令牌与第一验证令牌相同。在操作470中,用客户端A的私钥对登录数据进行解密。
在操作480中,在已解密的登录消息中识别登录令牌、第二验证令牌以及可选地登录服务器206的URL。管理服务器204随机地生成登录令牌。另外,登录令牌被设置为在第一时间段内有效。这意味着如果第一时间段到期,则登录令牌将被视为废弃的并因此失效,而不管接收到的登录令牌是否与初始登录令牌匹配。
随后,由客户端A验证第二验证令牌。在操作482中,确定第二验证令牌是否到期。在操作490中,如果确定第二验证令牌到期,则由客户端A终止登录请求。如果确定第二验证令牌没到期,则在操作484中确定第二验证令牌是否与第一验证令牌匹配。在操作492中,如果第二验证令牌与第一验证令牌匹配,则将带有帐户ID和登录令牌的登录请求从客户端A发送至登录服务器206。如果第二验证令牌与第一验证令牌不匹配,则在操作490中由客户端A终止登录请求。在本实施例中,操作482和484是可互换的。
在一些实施例中,如上述步骤所示,客户端A可以使用网页与管理服务器204进行通信。然而,在验证管理服务器204的身份之后,客户端A和管理服务器204可以使用另一种形式的通信而不使用网页,诸如使用内置在客户端A上运行的软件中的图形用户界面,或者仅仅使用无图形用户界面的通信协议。
图5是示出根据本发明的一些实施例的在客户端与服务器之间相互验证的方法的流程图。与图4所示实施例相比,在图5的方法中,客户端A不生成用于验证管理服务器204的身份的任何验证令牌,代替地,管理服务器204用其私钥对登录消息进行加密,使得客户端A可以用管理服务器204的公钥验证管理服务器204的身份。
在操作510中,客户端A经由电信链路210将用于登录管理服务器204的请求发送给管理服务器204。在操作530中,生成包括客户端A的帐户ID的第一验证数据。
在操作540中,用管理服务器204的公钥对第一验证数据进行加密。然后在操作550中,将已加密的第一验证数据发送给管理服务器204。
在操作560中,由客户端A从管理服务器204接收登录消息。已经由管理服务器204生成的登录消息包括登录令牌以及可选地登录服务器206的URL。用客户端A的公钥对登录信息进行加密,用于维持其数据隐私。在一个实施例中,在用客户端A的公钥对登录消息进行加密之前,用管理服务器204的私钥对其进行加密,用于验证管理服务器204的身份。随后,在操作570中,用客户端A的私钥对登录消息进行解密。在用管理服务器204的私钥对登录消息进行加密的情况下,还用管理服务器204的公钥对登录消息进行解密。
在操作580中,根据已解密的登录消息识别登录令牌以及可选地登录服务器206的URL。
在操作592中,将使用帐户ID和登录令牌的登录请求发送到登录服务器206。
如本公开所示的基于令牌的验证机制享有若干优点。例如,在每次登录程序之前,临时随机地生成登录令牌。一旦被使用或者在一段时间后到期,则登录可以被设置为废弃的。结果是,根据本发明的基于令牌的验证机制与在服务器的数据库中长时间保存密码不同,并且密码容易被窃取。
此外,服务器甚至可以保存登录令牌的哈希值而不是初始登录令牌。在等待客户端登录的很短一段时间内服务器被黑客入侵的情形下,被盗的哈希值是无用的。其结果是,防止了恶意的登录意图。
此外,由公私密钥对来保护包括在客户端与服务器之间转移的登录令牌的数据,而不透露给他人。此外,不仅服务器验证客户端的身份,客户端也验证服务器的身份。
此外,为了方便使用,客户端可以使用域名来进行与服务器的初始连接,并且在登录之前由客户端验证服务器的身份。在将登录URL发送给客户端的情况下,在验证服务器的身份之后,客户端使用IP地址而不是域名来进行用于登录的连接,这避免了诸如DNS劫持、DNS欺骗等潜在黑客入侵。
前述概括了若干实施例的特征,使得本领域技术人员可以更好地理解本公开的各个方面。本领域技术人员应当理解,他们可以容易地使用本公开作为基础来设计或修改用于实现相同目和/或实现本文所介绍实施例的相同优点的其它过程和结构。本领域技术人员也应该认识到,这种等效构造并不脱离本公开的精神和范围,并且它们可做出各种改变、替换和变更,而不偏离本公开的精神和范围。
Claims (22)
1.一种在客户端与服务器之间相互验证的方法,所述方法包括:
生成第一登录令牌;
生成包括所述第一登录令牌的登录消息;
用所述客户端的公钥对所述登录消息进行加密;
将所述登录消息发送至所述客户端;
从所述客户端接收包括第二登录令牌的登录请求;以及
确定所述第二登录令牌是否与所述第一登录令牌匹配。
2.根据权利要求1所述的方法,还包括设置所述第一登录令牌在第一时间段内有效。
3.根据权利要求2所述的方法,还包括确定所述第二登录令牌是否在所述第一时间段之后到期或者已经被使用。
4.根据权利要求1所述的方法,其中所述登录消息还包括所述服务器的统一资源定位符(URL)。
5.根据权利要求4所述的方法,其中所述URL包括所述服务器的固定互联网协议(IP)地址或浮动IP地址。
6.根据权利要求1所述的方法,在生成所述第一登录令牌之前,还包括:
接收验证数据;
用所述服务器的私钥对所述验证数据进行解密;以及
根据已解密的验证数据识别验证令牌。
7.根据权利要求1所述的方法,其中在用所述客户端的公钥对所述登录消息进行加密之前,所述方法还包括用所述服务器的私钥对所述登录消息进行加密。
8.一种在客户端与服务器之间相互验证的方法,所述方法包括:
生成第一验证令牌;
生成包括所述第一验证令牌的第一验证数据;
用所述服务器的公钥对所述第一验证数据进行加密;
将已加密的第一验证数据发送至所述服务器;
从所述服务器接收登录消息;
用所述客户端的私钥对所述登录消息进行解密;
在已解密的登录消息中识别第二验证令牌;以及
确定所述第二验证令牌是否与所述第一验证令牌匹配。
9.根据权利要求7所述的方法,其中所述第一验证令牌被设置为在第一时间段内有效。
10.根据权利要求8所述的方法,还包括确定所述第二验证令牌是否在所述第一时间段之后到期。
11.根据权利要求7所述的方法,其中所述登录消息还包括所述服务器的统一资源定位符(URL)。
12.根据权利要求10所述的方法,其中所述URL包括所述服务器的固定互联网协议(IP)地址或浮动IP地址。
13.根据权利要求7所述的方法,其中所述登录消息还包括由所述服务器生成的登录令牌。
14.根据权利要求12所述的方法,还包括发送包括所述客户端的账户身份(ID)和所述登录令牌的登录请求。
15.一种在客户端与服务器之间相互验证的***,所述***包括:
一个或多个处理器;以及
包括指令的一个或多个程序,所述指令在被所述一个或多个处理器执行时使所述***:
生成第一登录令牌;
生成包括所述第一登录令牌的登录消息;
用所述客户端的公钥对所述登录消息进行加密;
将所述登录消息发送至所述客户端;
从所述客户端接收包括第二登录令牌的登录请求;以及
确定所述第二登录令牌是否与所述第一登录令牌匹配。
16.根据权利要求14所述的***,其中所述指令还使所述***将所述第一登录令牌设置为在第一时间段内有效。
17.根据权利要求15所述的***,其中所述指令还使所述***确定所述第二登录令牌是否在所述第一时间段之后到期或者已经被使用。
18.根据权利要求14所述的***,其中所述登录消息还包括所述服务器的统一资源定位符(URL)。
19.根据权利要求17所述的***,其中所述URL包括所述服务器的固定互联网协议(IP)地址或浮动IP地址。
20.根据权利要求14所述的***,所述指令还使所述***:
在生成所述第一登录令牌之前接收验证数据;
用所述服务器的私钥对所述验证数据进行解密;以及
根据已解密的验证数据识别验证令牌。
21.根据权利要求15所述的方法,其中在用所述客户端的公钥对所述登录消息进行加密之前,所述指令还使所述***用所述服务器的私钥对所述登录消息进行加密。
22.根据权利要求14所述的方法,其中所述服务器包括登录服务器和管理服务器。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201462018089P | 2014-06-27 | 2014-06-27 | |
US62/018,089 | 2014-06-27 | ||
PCT/US2015/037079 WO2015200256A1 (en) | 2014-06-27 | 2015-06-23 | Method of mutual verification between a client and a server |
Publications (1)
Publication Number | Publication Date |
---|---|
CN106576041A true CN106576041A (zh) | 2017-04-19 |
Family
ID=54931811
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201580034939.2A Pending CN106576041A (zh) | 2014-06-27 | 2015-06-23 | 客户端与服务器之间相互验证的方法 |
Country Status (5)
Country | Link |
---|---|
US (1) | US9537861B2 (zh) |
EP (1) | EP3161994A4 (zh) |
JP (1) | JP2017521934A (zh) |
CN (1) | CN106576041A (zh) |
WO (1) | WO2015200256A1 (zh) |
Cited By (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108055258A (zh) * | 2017-12-08 | 2018-05-18 | 中链科技有限公司 | 一种身份数据管理方法、***和计算机可读存储介质 |
CN108563934A (zh) * | 2018-03-09 | 2018-09-21 | 青岛海信移动通信技术股份有限公司 | 一种指纹解锁的方法及装置 |
CN109088872A (zh) * | 2018-08-15 | 2018-12-25 | 广州市保伦电子有限公司 | 带使用期限的云平台的使用方法、装置、电子设备及介质 |
CN109190341A (zh) * | 2018-07-26 | 2019-01-11 | 平安科技(深圳)有限公司 | 一种登录管理***和方法 |
CN109660530A (zh) * | 2018-12-08 | 2019-04-19 | 公安部第三研究所 | 一种基于硬件证书的信息安全防护方法 |
CN109688098A (zh) * | 2018-09-07 | 2019-04-26 | 平安科技(深圳)有限公司 | 数据的安全通信方法、装置、设备及计算机可读存储介质 |
TWI677806B (zh) * | 2017-08-25 | 2019-11-21 | 小松鼠軟體有限公司 | 阻斷中間人攻擊的用戶數據加密裝置及其方法 |
CN110766529A (zh) * | 2019-10-31 | 2020-02-07 | 广东美的制冷设备有限公司 | 运行验证方法、装置、空调器以及存储介质 |
CN110771112A (zh) * | 2017-05-25 | 2020-02-07 | 脸谱公司 | 用于防止域门户上会话固定的***和方法 |
CN111066307A (zh) * | 2017-08-28 | 2020-04-24 | 思杰***有限公司 | 包装延续令牌以支持跨不同地理位置的多个服务器的分页 |
CN111935123A (zh) * | 2020-08-04 | 2020-11-13 | 广东科徕尼智能科技有限公司 | 一种检测dns欺骗攻击的方法、设备、存储介质 |
CN112425114A (zh) * | 2018-07-17 | 2021-02-26 | 维萨国际服务协会 | 受公钥-私钥对保护的密码管理器 |
CN112699350A (zh) * | 2020-12-30 | 2021-04-23 | 中国邮政储蓄银行股份有限公司 | 登录验证方法及装置 |
CN112699366A (zh) * | 2021-01-08 | 2021-04-23 | 杭州米络星科技(集团)有限公司 | 跨平台免登安全通讯方法、装置和电子设备 |
CN112966286A (zh) * | 2021-03-30 | 2021-06-15 | 建信金融科技有限责任公司 | 用户登录的方法、***、设备和计算机可读介质 |
CN113015974A (zh) * | 2019-10-21 | 2021-06-22 | 谷歌有限责任公司 | 针对隐私保护的可验证同意 |
CN113065160A (zh) * | 2021-04-12 | 2021-07-02 | 浙江环玛信息科技有限公司 | 智慧法院数据传输方法及*** |
CN114208113A (zh) * | 2019-07-09 | 2022-03-18 | 泰雷兹数字安全法国股份有限公司 | 用于访问私钥的方法、第一设备、第一服务器、第二服务器和*** |
CN114626860A (zh) * | 2022-05-12 | 2022-06-14 | 武汉和悦数字科技有限公司 | 用于线上商品支付的身份动态识别方法及装置 |
Families Citing this family (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9203613B2 (en) | 2011-09-29 | 2015-12-01 | Amazon Technologies, Inc. | Techniques for client constructed sessions |
US10326597B1 (en) | 2014-06-27 | 2019-06-18 | Amazon Technologies, Inc. | Dynamic response signing capability in a distributed system |
CN104243484B (zh) * | 2014-09-25 | 2016-04-13 | 小米科技有限责任公司 | 信息交互方法及装置、电子设备 |
US10044726B2 (en) * | 2015-05-07 | 2018-08-07 | Cyberark Software Ltd. | Systems and methods for detecting and reacting to malicious activity in computer networks |
JP6503242B2 (ja) * | 2015-06-26 | 2019-04-17 | ルネサスエレクトロニクス株式会社 | データのセキュリティを提供するための装置、システムおよび方法ならびに当該方法をコンピュータに実行させるためのプログラム |
NL1041549B1 (en) * | 2015-10-28 | 2017-05-24 | Quiver B V | A method, system, server, client and application for sharing digital content between communication devices within an internet network. |
US10412098B2 (en) | 2015-12-11 | 2019-09-10 | Amazon Technologies, Inc. | Signed envelope encryption |
US9705859B2 (en) * | 2015-12-11 | 2017-07-11 | Amazon Technologies, Inc. | Key exchange through partially trusted third party |
US10110568B2 (en) * | 2016-02-03 | 2018-10-23 | Dell Products, Lp | Keyless access to laptop |
CN111783067B (zh) * | 2016-05-09 | 2023-09-08 | 创新先进技术有限公司 | 多网站间的自动登录方法及装置 |
US10965525B1 (en) * | 2016-06-29 | 2021-03-30 | Amazon Technologies, Inc. | Portable data center for data transfer |
CN107689944A (zh) * | 2016-08-05 | 2018-02-13 | 阿里巴巴集团控股有限公司 | 身份认证方法、装置和*** |
US10116440B1 (en) | 2016-08-09 | 2018-10-30 | Amazon Technologies, Inc. | Cryptographic key management for imported cryptographic keys |
US10382203B1 (en) * | 2016-11-22 | 2019-08-13 | Amazon Technologies, Inc. | Associating applications with Internet-of-things (IoT) devices using three-way handshake |
US10985915B2 (en) * | 2017-04-12 | 2021-04-20 | Blackberry Limited | Encrypting data in a pre-associated state |
CN107147644B (zh) * | 2017-05-10 | 2020-07-28 | 四川长虹电器股份有限公司 | 一种实现移动app用户在单一设备登录的方法 |
US10938846B1 (en) | 2018-11-20 | 2021-03-02 | Trend Micro Incorporated | Anomalous logon detector for protecting servers of a computer network |
CN112787821A (zh) * | 2021-01-04 | 2021-05-11 | 北京同有飞骥科技股份有限公司 | 非对称加密Token验证方法、服务器、客户端及*** |
Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060053289A1 (en) * | 2004-09-09 | 2006-03-09 | International Business Machines Corporation | Peer-to-peer communications |
CN101043337A (zh) * | 2007-03-22 | 2007-09-26 | 中兴通讯股份有限公司 | 内容类业务的交互方法 |
US7281132B2 (en) * | 2001-10-19 | 2007-10-09 | Sun Microsystems, Inc. | Using token-based signing to install unsigned binaries |
CN101051903A (zh) * | 2007-03-30 | 2007-10-10 | 中山大学 | 一种符合epc c1g2标准的rfid随机化密钥双向认证方法 |
US7418596B1 (en) * | 2002-03-26 | 2008-08-26 | Cellco Partnership | Secure, efficient, and mutually authenticated cryptographic key distribution |
CN101479987A (zh) * | 2006-06-27 | 2009-07-08 | 微软公司 | 生物测定凭证验证框架 |
CN101873588A (zh) * | 2010-05-27 | 2010-10-27 | 大唐微电子技术有限公司 | 一种业务应用安全实现方法及*** |
US7861077B1 (en) * | 2005-10-07 | 2010-12-28 | Multiple Shift Key, Inc. | Secure authentication and transaction system and method |
CN101969446A (zh) * | 2010-11-02 | 2011-02-09 | 北京交通大学 | 一种移动商务身份认证方法 |
CN102026195A (zh) * | 2010-12-17 | 2011-04-20 | 北京交通大学 | 基于一次性口令的移动终端身份认证方法和*** |
CN102111411A (zh) * | 2011-01-21 | 2011-06-29 | 南京信息工程大学 | P2p网络中对等用户结点间的加密安全数据交换方法 |
CN103560879A (zh) * | 2013-10-09 | 2014-02-05 | 中国科学院信息工程研究所 | 一种轻量级认证与密钥协商的实现方法 |
CN103618600A (zh) * | 2013-10-29 | 2014-03-05 | 电子科技大学 | 一种非对称加密算法的混合密钥处理方法及*** |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020138728A1 (en) * | 2000-03-07 | 2002-09-26 | Alex Parfenov | Method and system for unified login and authentication |
US8538028B2 (en) * | 2006-11-20 | 2013-09-17 | Toposis Corporation | System and method for secure electronic communication services |
US9485258B2 (en) * | 2011-02-13 | 2016-11-01 | Openwave Mobility, Inc. | Mediation system and method for restricted access item distribution |
US8769304B2 (en) * | 2011-06-16 | 2014-07-01 | OneID Inc. | Method and system for fully encrypted repository |
US9325696B1 (en) * | 2012-01-31 | 2016-04-26 | Google Inc. | System and method for authenticating to a participating website using locally stored credentials |
US8769651B2 (en) * | 2012-09-19 | 2014-07-01 | Secureauth Corporation | Mobile multifactor single-sign-on authentication |
-
2015
- 2015-06-23 CN CN201580034939.2A patent/CN106576041A/zh active Pending
- 2015-06-23 JP JP2016574941A patent/JP2017521934A/ja active Pending
- 2015-06-23 WO PCT/US2015/037079 patent/WO2015200256A1/en active Application Filing
- 2015-06-23 EP EP15812157.4A patent/EP3161994A4/en not_active Withdrawn
- 2015-06-25 US US14/749,915 patent/US9537861B2/en active Active
Patent Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7281132B2 (en) * | 2001-10-19 | 2007-10-09 | Sun Microsystems, Inc. | Using token-based signing to install unsigned binaries |
US7418596B1 (en) * | 2002-03-26 | 2008-08-26 | Cellco Partnership | Secure, efficient, and mutually authenticated cryptographic key distribution |
US20060053289A1 (en) * | 2004-09-09 | 2006-03-09 | International Business Machines Corporation | Peer-to-peer communications |
CN100586060C (zh) * | 2004-09-09 | 2010-01-27 | 国际商业机器公司 | 建立安全对等通信的方法和装置 |
US7861077B1 (en) * | 2005-10-07 | 2010-12-28 | Multiple Shift Key, Inc. | Secure authentication and transaction system and method |
CN101479987A (zh) * | 2006-06-27 | 2009-07-08 | 微软公司 | 生物测定凭证验证框架 |
CN101043337A (zh) * | 2007-03-22 | 2007-09-26 | 中兴通讯股份有限公司 | 内容类业务的交互方法 |
CN101051903A (zh) * | 2007-03-30 | 2007-10-10 | 中山大学 | 一种符合epc c1g2标准的rfid随机化密钥双向认证方法 |
CN101873588A (zh) * | 2010-05-27 | 2010-10-27 | 大唐微电子技术有限公司 | 一种业务应用安全实现方法及*** |
CN101969446A (zh) * | 2010-11-02 | 2011-02-09 | 北京交通大学 | 一种移动商务身份认证方法 |
CN102026195A (zh) * | 2010-12-17 | 2011-04-20 | 北京交通大学 | 基于一次性口令的移动终端身份认证方法和*** |
CN102111411A (zh) * | 2011-01-21 | 2011-06-29 | 南京信息工程大学 | P2p网络中对等用户结点间的加密安全数据交换方法 |
CN103560879A (zh) * | 2013-10-09 | 2014-02-05 | 中国科学院信息工程研究所 | 一种轻量级认证与密钥协商的实现方法 |
CN103618600A (zh) * | 2013-10-29 | 2014-03-05 | 电子科技大学 | 一种非对称加密算法的混合密钥处理方法及*** |
Cited By (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110771112A (zh) * | 2017-05-25 | 2020-02-07 | 脸谱公司 | 用于防止域门户上会话固定的***和方法 |
CN110771112B (zh) * | 2017-05-25 | 2022-02-15 | 元平台公司 | 用于防止域门户上会话固定的***和方法 |
TWI677806B (zh) * | 2017-08-25 | 2019-11-21 | 小松鼠軟體有限公司 | 阻斷中間人攻擊的用戶數據加密裝置及其方法 |
CN111066307B (zh) * | 2017-08-28 | 2022-08-26 | 思杰***有限公司 | 包装延续令牌以支持跨不同地理位置的多个服务器的分页 |
CN111066307A (zh) * | 2017-08-28 | 2020-04-24 | 思杰***有限公司 | 包装延续令牌以支持跨不同地理位置的多个服务器的分页 |
CN108055258A (zh) * | 2017-12-08 | 2018-05-18 | 中链科技有限公司 | 一种身份数据管理方法、***和计算机可读存储介质 |
CN108563934A (zh) * | 2018-03-09 | 2018-09-21 | 青岛海信移动通信技术股份有限公司 | 一种指纹解锁的方法及装置 |
CN108563934B (zh) * | 2018-03-09 | 2020-07-10 | 青岛海信移动通信技术股份有限公司 | 一种指纹解锁的方法及装置 |
CN112425114A (zh) * | 2018-07-17 | 2021-02-26 | 维萨国际服务协会 | 受公钥-私钥对保护的密码管理器 |
CN109190341B (zh) * | 2018-07-26 | 2024-03-15 | 平安科技(深圳)有限公司 | 一种登录管理***和方法 |
CN109190341A (zh) * | 2018-07-26 | 2019-01-11 | 平安科技(深圳)有限公司 | 一种登录管理***和方法 |
CN109088872A (zh) * | 2018-08-15 | 2018-12-25 | 广州市保伦电子有限公司 | 带使用期限的云平台的使用方法、装置、电子设备及介质 |
CN109688098A (zh) * | 2018-09-07 | 2019-04-26 | 平安科技(深圳)有限公司 | 数据的安全通信方法、装置、设备及计算机可读存储介质 |
CN109660530A (zh) * | 2018-12-08 | 2019-04-19 | 公安部第三研究所 | 一种基于硬件证书的信息安全防护方法 |
CN114208113A (zh) * | 2019-07-09 | 2022-03-18 | 泰雷兹数字安全法国股份有限公司 | 用于访问私钥的方法、第一设备、第一服务器、第二服务器和*** |
CN113015974A (zh) * | 2019-10-21 | 2021-06-22 | 谷歌有限责任公司 | 针对隐私保护的可验证同意 |
CN113015974B (zh) * | 2019-10-21 | 2024-05-28 | 谷歌有限责任公司 | 针对隐私保护的可验证同意 |
CN110766529B (zh) * | 2019-10-31 | 2022-05-03 | 广东美的制冷设备有限公司 | 运行验证方法、装置、空调器以及存储介质 |
CN110766529A (zh) * | 2019-10-31 | 2020-02-07 | 广东美的制冷设备有限公司 | 运行验证方法、装置、空调器以及存储介质 |
CN111935123A (zh) * | 2020-08-04 | 2020-11-13 | 广东科徕尼智能科技有限公司 | 一种检测dns欺骗攻击的方法、设备、存储介质 |
CN112699350A (zh) * | 2020-12-30 | 2021-04-23 | 中国邮政储蓄银行股份有限公司 | 登录验证方法及装置 |
CN112699350B (zh) * | 2020-12-30 | 2024-02-27 | 中国邮政储蓄银行股份有限公司 | 登录验证方法及装置 |
CN112699366A (zh) * | 2021-01-08 | 2021-04-23 | 杭州米络星科技(集团)有限公司 | 跨平台免登安全通讯方法、装置和电子设备 |
CN112966286A (zh) * | 2021-03-30 | 2021-06-15 | 建信金融科技有限责任公司 | 用户登录的方法、***、设备和计算机可读介质 |
CN113065160A (zh) * | 2021-04-12 | 2021-07-02 | 浙江环玛信息科技有限公司 | 智慧法院数据传输方法及*** |
CN114626860A (zh) * | 2022-05-12 | 2022-06-14 | 武汉和悦数字科技有限公司 | 用于线上商品支付的身份动态识别方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
US9537861B2 (en) | 2017-01-03 |
US20150381618A1 (en) | 2015-12-31 |
JP2017521934A (ja) | 2017-08-03 |
EP3161994A4 (en) | 2018-01-24 |
WO2015200256A1 (en) | 2015-12-30 |
EP3161994A1 (en) | 2017-05-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106576041A (zh) | 客户端与服务器之间相互验证的方法 | |
US8528076B2 (en) | Method and apparatus for authenticating online transactions using a browser and a secure channel with an authentication server | |
JP5926441B2 (ja) | マルチパーティシステムにおける安全な認証 | |
US8812838B2 (en) | Configuring a valid duration period for a digital certificate | |
US7562222B2 (en) | System and method for authenticating entities to users | |
US20090240936A1 (en) | System and method for storing client-side certificate credentials | |
US20090307486A1 (en) | System and method for secured network access utilizing a client .net software component | |
US20090055642A1 (en) | Method, system and computer program for protecting user credentials against security attacks | |
US7730308B2 (en) | System and method for providing an user's security when setting-up a connection over insecure networks | |
US20090025080A1 (en) | System and method for authenticating a client to a server via an ipsec vpn and facilitating a secure migration to ssl vpn remote access | |
CN110933078B (zh) | 一种h5未登录用户会话跟踪方法 | |
CN103179134A (zh) | 基于Cookie的单点登录方法、***及其应用服务器 | |
CN108322416B (zh) | 一种安全认证实现方法、装置及*** | |
Bojjagani et al. | PhishPreventer: a secure authentication protocol for prevention of phishing attacks in mobile environment with formal verification | |
Bates et al. | Forced perspectives: Evaluating an SSL trust enhancement at scale | |
WO2012134369A1 (en) | Methods and apparatuses for avoiding damage in network attacks | |
JP5186648B2 (ja) | 安全なオンライン取引を容易にするシステム及び方法 | |
EP3511852B1 (en) | Method for providing an enhanced level of authentication related to a secure software client application that is provided, by an application distribution entity, in order to be transmitted to a client computing device; system, software client application instance or client computing device, third party server entity, and program and computer program product | |
WO2004099949A1 (en) | Web site security model | |
WO2010070456A2 (en) | Method and apparatus for authenticating online transactions using a browser | |
Al-Ibrahim et al. | Cookie-less browsing | |
KR20180099992A (ko) | 인증서 기반 통합 인증 방법 | |
Gurung | Data Authentication Principles for Online Transactions | |
Massoth | Mobile and User-friendly Two-Factor Authentication for Electronic Government Services Using German Electronic Identity Card and a NFC-enabled Smartphone | |
Czeskis | Practical, usable, and secure authentication and authorization on the Web |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20170419 |
|
WD01 | Invention patent application deemed withdrawn after publication |