CN110430043A - 一种认证方法、***及装置和存储介质 - Google Patents
一种认证方法、***及装置和存储介质 Download PDFInfo
- Publication number
- CN110430043A CN110430043A CN201910606236.2A CN201910606236A CN110430043A CN 110430043 A CN110430043 A CN 110430043A CN 201910606236 A CN201910606236 A CN 201910606236A CN 110430043 A CN110430043 A CN 110430043A
- Authority
- CN
- China
- Prior art keywords
- terminal
- key
- identification information
- node server
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Storage Device Security (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供了一种认证方法、***以及一种装置和一种计算机可读存储介质,其中,所述方法包括:节点服务器接收来自终端的第一认证请求信息,第一认证请求信息包括用户名和第一U‑Key的标识信息;节点服务器查询得到与用户名对应的第二U‑Key的标识信息;节点服务器在第一U‑Key的标识信息与第二U‑Key的标识信息相同时,生成并发送第一认证响应信息至终端;终端根据第一认证响应信息生成并发送第二认证请求信息至节点服务器,第二认证请求信息包括加密后的密码信息;节点服务器对第二认证请求信息进行认证,并将认证结果返回至终端。本发明实施例提高了密码信息的安全性,降低了用户名和密码信息同时被截获的几率。
Description
技术领域
本发明涉及视联网技术领域,特别是涉及一种认证方法、***以及一种装置和一种计算机可读存储介质。
背景技术
视联网是一种基于以太网硬件的用于高速传输高清视频及专用协议的专用网络,视联网是以太网的更高级形态,是一个实时网络。在基于视联网的视频会议中,视频会议客户端若登录至视频会议服务器,需要向视频会议服务器发送视频会议客户端上的用户名和密码,由视频会议服务器对用户名和密码进行验证。若验证通过,则视频会议服务器允许视频会议客户端登录至视频会议服务器。
目前,在基于视联网的视频会议中,视频会议客户端按照明文的方式将用户名和密码发送至视频会议服务器,用户名和密码容易被截获,视频会议的安全性不高。
发明内容
鉴于上述问题,提出了本发明实施例以便提供一种克服上述问题或者至少部分地解决上述问题的一种认证方法、***,以及一种装置和一种计算机可读存储介质。
为了解决上述问题,本发明实施例公开了一种认证方法,所述方法应用于视联网,所述视联网中包括终端和节点服务器,所述终端上设置有第一U-Key,所述终端与所述节点服务器通信连接;所述方法包括:所述节点服务器接收来自所述终端的第一认证请求信息,所述第一认证请求信息包括用户名和所述第一U-Key的标识信息;所述节点服务器根据所述用户名和预设的用户名与U-Key之间的绑定关系查询得到与所述用户名对应的第二U-Key的标识信息;所述节点服务器在所述第一U-Key的标识信息与所述第二U-Key的标识信息相同时,生成并发送第一认证响应信息至所述终端;所述终端用于根据所述第一认证响应信息生成第二认证请求信息,并发送所述第二认证请求信息至所述节点服务器,所述第二认证请求信息包括加密后的密码信息;所述节点服务器对所述第二认证请求信息进行认证,并将认证结果返回至所述终端。
可选地,所述第一认证请求信息还包括:第一随机数据、加密证书数据和所述终端的标识信息;所述节点服务器生成第一认证响应信息的步骤,包括:所述节点服务器生成第二随机数据和对称密钥;所述节点服务器从所述加密证书数据中提取得到公钥,并利用所述公钥对所述对称密钥进行加密;所述节点服务器利用预设的第一签名证书对所述第一随机数据、所述第二随机数据、加密后的对称密钥、所述节点服务器的标识信息和所述终端的标识信息进行签名,得到第一签名信息;所述节点服务器将所述第一随机数据、所述第二随机数据、加密后的对称密钥、所述终端的标识信息、所述节点服务器的标识信息、所述第一签名信息和所述第一签名证书确定为所述第一认证响应信息。
可选地,所述终端用于根据所述第一签名证书对所述第一认证响应信息中的所述第一随机数据和所述所述终端的标识信息进行验签,并在验签通过的情况下利用预设的私钥对加密后的对称密钥进行解密得到所述对称密钥,利用所述对称密钥对所述密码信息进行加密,利用预设的第二签名证书对所述第一随机数据、所述第二随机数据和所述节点服务器的标识信息进行签名,得到第二签名信息,将所述第一随机数据、所述第二随机数据、加密后的密码信息、所述终端的标识信息、所述节点服务器的标识信息、所述第二签名信息和所述第二签名证书确定为所述第二认证请求信息。
可选地,在所述节点服务器接收来自所述终端的第一认证请求信息的步骤之后,所述方法还包括:所述节点服务器根据所述用户名和预设的用户名与口令之间的绑定关系查询得到与所述用户名对应的口令信息。
可选地,所述节点服务器对所述第二认证请求信息进行认证的步骤,包括:所述节点服务器利用所述第二签名证书对所述第二认证请求信息中的所述节点服务器的标识信息和所述第二随机数据进行验签;所述节点服务器在验签通过的情况下利用所述对称密钥对加密后的密码信息进行解密,得到所述密码信息,并将所述口令信息与所述密码信息进行比对。
本发明实施例还公开了一种认证***,所述***应用于视联网,所述视联网中包括终端和节点服务器,所述终端上设置有第一U-Key,所述终端与所述节点服务器通信连接;所述节点服务器包括:接收模块,用于接收来自所述终端的第一认证请求信息,所述第一认证请求信息包括用户名和所述第一U-Key的标识信息;查询模块,用于根据所述用户名和预设的用户名与U-Key之间的绑定关系查询得到与所述用户名对应的第二U-Key的标识信息;响应模块,用于在所述第一U-Key的标识信息与所述第二U-Key的标识信息相同时,生成并发送第一认证响应信息至所述终端;所述终端用于根据所述第一认证响应信息生成第二认证请求信息,并发送所述第二认证请求信息至所述节点服务器,所述第二认证请求信息包括加密后的密码信息;认证模块,用于对所述第二认证请求信息进行认证,并将认证结果返回至所述终端。
可选地,所述第一认证请求信息还包括第一随机数据、加密证书数据和所述终端的标识信息;所述响应模块,包括:生成模块,用于生成第二随机数据和对称密钥;加密模块,用于从所述加密证书数据中提取得到公钥,并利用所述公钥对所述对称密钥进行加密;签名模块,用于利用预设的第一签名证书对所述第一随机数据、所述第二随机数据、加密后的对称密钥、所述节点服务器的标识信息和所述终端的标识信息进行签名,得到第一签名信息;确定模块,用于将所述第一随机数据、所述第二随机数据、加密后的对称密钥、所述终端的标识信息、所述节点服务器的标识信息、所述第一签名信息和所述第一签名证书确定为所述第一认证响应信息。
可选地,所述终端用于根据所述第一签名证书对所述第一认证响应信息中的所述第一随机数据和所述所述终端的标识信息进行验签,并在验签通过的情况下利用预设的私钥对加密后的对称密钥进行解密得到所述对称密钥,利用所述对称密钥对所述密码信息进行加密,利用预设的第二签名证书对所述第一随机数据、所述第二随机数据和所述节点服务器的标识信息进行签名,得到第二签名信息,将所述第一随机数据、所述第二随机数据、加密后的密码信息、所述终端的标识信息、所述节点服务器的标识信息、所述第二签名信息和所述第二签名证书确定为所述第二认证请求信息;所述查询模块,还用于在所述接收模块接收来自所述终端的第一认证请求信息之后,根据所述用户名和预设的用户名与口令之间的绑定关系查询得到与所述用户名对应的口令信息;所述认证模块,包括:验签模块,用于利用所述第二签名证书对所述第二认证请求信息中的所述节点服务器的标识信息和所述第二随机数据进行验签;比对模块,用于在验签通过的情况下利用所述对称密钥对加密后的密码信息进行解密,得到所述密码信息,并将所述口令信息与所述密码信息进行比对。
本发明实施例还公开了一种装置,包括:
一个或多个处理器;和
其上存储有指令的一个或多个机器可读介质,当由所述一个或多个处理器执行时,使得所述装置执行如本发明实施例所述的一个或多个的认证方法。
本发明实施例还公开了一种计算机可读存储介质,其存储的计算机程序使得处理器执行如本发明实施例所述的认证方法。
本发明实施例包括以下优点:
本发明实施例提供的一种认证方案,应用于视联网中,该视联网可以包括终端和节点服务器。终端可以作为视频会议客户端,终端上设置有第一U-Key,节点服务器可以作为食品会议服务器,终端与节点服务器可以通过连接。
在本发明实施例中,终端向节点服务器发送第一认证请求信息,该第一认证请求信息中可以包括用户名和第一U-key的标识信息。节点服务器从预设的用户名与U-Key之间的绑定关系中查找到与第一请求认证信息中的用户名对应第二U-Key的标识信息,进而将第一U-Key的标识信息与第二U-Key的标识信息进行比较,若第一U-Key的标识信息与第二U-Key的标识信息相同,则生成并发送第一认证响应信息至终端。终端根据第一认证响应信息生成包括密码信息的第二认证请求信息,并发送第二认证请求信息至节点服务器。节点服务器对第二认证请求信息进行认证,并将认证结果返回至终端。
在本发明实施例中,一方面,终端在向节点服务器发送认证请求信息时,以加密的形式发送密码信息,提高了密码信息的安全性。另一方面,终端在第一认证请求信息中将用户名发送至节点服务器,终端在第二认证请求信息中将密码信息发送至节点服务器。终端将用户名和密码信息分开发送至节点服务器,降低了用户名和密码信息同时被截获的几率。再一方面,终端在将第一认证请求信息发送至节点服务器之后,节点服务器判断第一认证请求信息中的U-Key的标识信息与用户名绑定的U-Key的标识信息是否相同,若第一认证请求信息中的U-Key的标识信息与用户名绑定的U-Key的标识信息相同,则向终端返回第一认证响应信息。即在第一认证请求信息中的U-Key的标识信息与用户名绑定的U-Key的标识信息相同的情况下,终端根据第一认证响应信息向节点服务器发送包含密码信息的第二认证请求信息。通过节点服务器对U-Key的标识信息的验证,提高了密码信息的安全性。
附图说明
图1是本发明的一种视联网的组网示意图;
图2是本发明的一种节点服务器的硬件结构示意图;
图3是本发明的一种接入交换机的硬件结构示意图;
图4是本发明的一种以太网协转网关的硬件结构示意图;
图5是本发明实施例的一种认证方法的步骤流程图;
图6是本发明实施例的一种基于视联网的视频会议的用户登录认证方法的交互示意图;
图7是本发明实施例的一种认证***中节点服务器的结构示意图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
视联网是网络发展的重要里程碑,是一个实时网络,能够实现高清视频实时传输,将众多互联网应用推向高清视频化,高清面对面。
视联网采用实时高清视频交换技术,可以在一个网络平台上将所需的服务,如高清视频会议、视频监控、智能化监控分析、应急指挥、数字广播电视、延时电视、网络教学、现场直播、VOD点播、电视邮件、个性录制(PVR)、内网(自办)频道、智能化视频播控、信息发布等数十种视频、语音、图片、文字、通讯、数据等服务全部整合在一个***平台,通过电视或电脑实现高清品质视频播放。
为使本领域技术人员更好地理解本发明实施例,以下对视联网进行介绍:
视联网所应用的部分技术如下所述:
网络技术(Network Technology)
视联网的网络技术创新改良了传统以太网(Ethernet),以面对网络上潜在的巨大第一视频流量。不同于单纯的网络分组包交换(Packet Switching)或网络电路交换(Circuit Switching),视联网技术采用Packet Switching满足Streaming需求。视联网技术具备分组交换的灵活、简单和低价,同时具备电路交换的品质和安全保证,实现了全网交换式虚拟电路,以及数据格式的无缝连接。
交换技术(Switching Technology)
视联网采用以太网的异步和包交换两个优点,在全兼容的前提下消除了以太网缺陷,具备全网端到端无缝连接,直通用户终端,直接承载IP数据包。用户数据在全网范围内不需任何格式转换。视联网是以太网的更高级形态,是一个实时交换平台,能够实现目前互联网无法实现的全网大规模高清视频实时传输,将众多网络视频应用推向高清化、统一化。
服务器技术(Server Technology)
视联网和统一视频平台上的服务器技术不同于传统意义上的服务器,它的流媒体传输是建立在面向连接的基础上,其数据处理能力与流量、通讯时间无关,单个网络层就能够包含信令及数据传输。对于语音和视频业务来说,视联网和统一视频平台流媒体处理的复杂度比数据处理简单许多,效率比传统服务器大大提高了百倍以上。
储存器技术(Storage Technology)
统一视频平台的超高速储存器技术为了适应超大容量和超大流量的媒体内容而采用了最先进的实时操作***,将服务器指令中的节目信息映射到具体的硬盘空间,媒体内容不再经过服务器,瞬间直接送达到用户终端,用户等待一般时间小于0.2秒。最优化的扇区分布大大减少了硬盘磁头寻道的机械运动,资源消耗仅占同等级IP互联网的20%,但产生大于传统硬盘阵列3倍的并发流量,综合效率提升10倍以上。
网络安全技术(Network Security Technology)
视联网的结构性设计通过每次服务单独许可制、设备与用户数据完全隔离等方式从结构上彻底根除了困扰互联网的网络安全问题,一般不需要杀毒程序、防火墙,杜绝了黑客与病毒的攻击,为用户提供结构性的无忧安全网络。
服务创新技术(Service Innovation Technology)
统一视频平台将业务与传输融合在一起,不论是单个用户、私网用户还是一个网络的总合,都不过是一次自动连接。用户终端、机顶盒或PC直接连到统一视频平台,获得丰富多彩的各种形态的多媒体视频服务。统一视频平台采用“菜谱式”配表模式来替代传统的复杂应用编程,可以使用非常少的代码即可实现复杂的应用,实现“无限量”的新业务创新。
视联网的组网如下所述:
视联网是一种集中控制的网络结构,该网络可以是树型网、星型网、环状网等等类型,但在此基础上网络中需要有集中控制节点来控制整个网络。
如图1所示,视联网分为接入网和城域网两部分。
接入网部分的设备主要可以分为3类:节点服务器,接入交换机,终端(包括各种机顶盒、编码板、存储器等)。节点服务器与接入交换机相连,接入交换机可以与多个终端相连,并可以连接以太网。
其中,节点服务器是接入网中起集中控制功能的节点,可控制接入交换机和终端。节点服务器可直接与接入交换机相连,也可以直接与终端相连。
类似的,城域网部分的设备也可以分为3类:城域服务器,节点交换机,节点服务器。城域服务器与节点交换机相连,节点交换机可以与多个节点服务器相连。
其中,节点服务器即为接入网部分的节点服务器,即节点服务器既属于接入网部分,又属于城域网部分。
城域服务器是城域网中起集中控制功能的节点,可控制节点交换机和节点服务器。城域服务器可直接连接节点交换机,也可直接连接节点服务器。
由此可见,整个视联网络是一种分层集中控制的网络结构,而节点服务器和城域服务器下控制的网络可以是树型、星型、环状等各种结构。
形象地称,接入网部分可以组成统一视频平台(虚线圈中部分),多个统一视频平台可以组成视联网;每个统一视频平台可以通过城域以及广域视联网互联互通。
视联网设备分类
1.1本发明实施例的视联网中的设备主要可以分为3类:服务器,交换机(包括以太网协转网关),终端(包括各种机顶盒,编码板,存储器等)。视联网整体上可以分为城域网(或者国家网、全球网等)和接入网。
1.2其中接入网部分的设备主要可以分为3类:节点服务器,接入交换机(包括以太网协转网关),终端(包括各种机顶盒,编码板,存储器等)。
各接入网设备的具体硬件结构为:
节点服务器:
如图2所示,主要包括网络接口模块201、交换引擎模块202、CPU模块203、磁盘阵列模块204;
其中,网络接口模块201、CPU模块203、磁盘阵列模块204进来的包均进入交换引擎模块202;交换引擎模块202对进来的包进行查地址表205的操作,从而获得包的导向信息;并根据包的导向信息把该包存入对应的包缓存器206的队列;如果包缓存器206的队列接近满,则丢弃;交换引擎模块202轮询所有包缓存器队列,如果满足以下条件进行转发:1)该端口发送缓存未满;2)该队列包计数器大于零。磁盘阵列模块204主要实现对硬盘的控制,包括对硬盘的初始化、读写等操作;CPU模块203主要负责与接入交换机、终端(图中未示出)之间的协议处理,对地址表205(包括下行协议包地址表、上行协议包地址表、数据包地址表)的配置,以及,对磁盘阵列模块204的配置。
接入交换机:
如图3所示,主要包括网络接口模块(下行网络接口模块301、上行网络接口模块302)、交换引擎模块303和CPU模块304;
其中,下行网络接口模块301进来的包(上行数据)进入包检测模块305;包检测模块305检测包的目地地址(DA)、源地址(SA)、数据包类型及包长度是否符合要求,如果符合,则分配相应的流标识符(stream-id),并进入交换引擎模块303,否则丢弃;上行网络接口模块302进来的包(下行数据)进入交换引擎模块303;CPU模块304进来的数据包进入交换引擎模块303;交换引擎模块303对进来的包进行查地址表306的操作,从而获得包的导向信息;如果进入交换引擎模块303的包是下行网络接口往上行网络接口去的,则结合流标识符(stream-id)把该包存入对应的包缓存器307的队列;如果该包缓存器307的队列接近满,则丢弃;如果进入交换引擎模块303的包不是下行网络接口往上行网络接口去的,则根据包的导向信息,把该数据包存入对应的包缓存器307的队列;如果该包缓存器307的队列接近满,则丢弃。
交换引擎模块303轮询所有包缓存器队列,可以包括两种情形:
如果该队列是下行网络接口往上行网络接口去的,则满足以下条件进行转发:1)该端口发送缓存未满;2)该队列包计数器大于零;3)获得码率控制模块产生的令牌;
如果该队列不是下行网络接口往上行网络接口去的,则满足以下条件进行转发:1)该端口发送缓存未满;2)该队列包计数器大于零。
码率控制模块308是由CPU模块304来配置的,在可编程的间隔内对所有下行网络接口往上行网络接口去的包缓存器队列产生令牌,用以控制上行转发的码率。
CPU模块304主要负责与节点服务器之间的协议处理,对地址表306的配置,以及,对码率控制模块308的配置。
以太网协转网关:
如图4所示,主要包括网络接口模块(下行网络接口模块401、上行网络接口模块402)、交换引擎模块403、CPU模块404、包检测模块405、码率控制模块408、地址表406、包缓存器407和MAC添加模块409、MAC删除模块410。
其中,下行网络接口模块401进来的数据包进入包检测模块405;包检测模块405检测数据包的以太网MAC DA、以太网MAC SA、以太网length or frame type、视联网目地地址DA、视联网源地址SA、视联网数据包类型及包长度是否符合要求,如果符合则分配相应的流标识符(stream-id);然后,由MAC删除模块410减去MAC DA、MAC SA、length or frame type(2byte),并进入相应的接收缓存,否则丢弃;
下行网络接口模块401检测该端口的发送缓存,如果有包则根据包的视联网目地地址DA获知对应的终端的以太网MAC DA,添加终端的以太网MAC DA、以太网协转网关的MACSA、以太网length or frame type,并发送。
以太网协转网关中其他模块的功能与接入交换机类似。
终端:
主要包括网络接口模块、业务处理模块和CPU模块;例如,机顶盒主要包括网络接口模块、视音频编解码引擎模块、CPU模块;编码板主要包括网络接口模块、视音频编码引擎模块、CPU模块;存储器主要包括网络接口模块、CPU模块和磁盘阵列模块。
1.3城域网部分的设备主要可以分为2类:节点服务器,节点交换机,城域服务器。其中,节点交换机主要包括网络接口模块、交换引擎模块和CPU模块;城域服务器主要包括网络接口模块、交换引擎模块和CPU模块构成。
2、视联网数据包定义
2.1接入网数据包定义
接入网的数据包主要包括以下几部分:目的地址(DA)、源地址(SA)、保留字节、payload(PDU)、CRC。
如下表所示,接入网的数据包主要包括以下几部分:
| DA | SA | Reserved | Payload | CRC |
其中:
目的地址(DA)由8个字节(byte)组成,第一个字节表示数据包的类型(例如各种协议包、组播数据包、单播数据包等),最多有256种可能,第二字节到第六字节为城域网地址,第七、第八字节为接入网地址;
源地址(SA)也是由8个字节(byte)组成,定义与目的地址(DA)相同;
保留字节由2个字节组成;
payload部分根据不同的数据报的类型有不同的长度,如果是各种协议包的话是64个字节,如果是单组播数据包话是32+1024=1056个字节,当然并不仅仅限于以上2种;
CRC有4个字节组成,其计算方法遵循标准的以太网CRC算法。
2.2城域网数据包定义
城域网的拓扑是图型,两个设备之间可能有2种、甚至2种以上的连接,即节点交换机和节点服务器、节点交换机和节点交换机、节点交换机和节点服务器之间都可能超过2种连接。但是,城域网设备的城域网地址却是唯一的,为了精确描述城域网设备之间的连接关系,在本发明实施例中引入参数:标签,来唯一描述一个城域网设备。
本说明书中标签的定义和MPLS(Multi-Protocol Label Switch,多协议标签交换)的标签的定义类似,假设设备A和设备B之间有两个连接,那么数据包从设备A到设备B就有2个标签,数据包从设备B到设备A也有2个标签。标签分入标签、出标签,假设数据包进入设备A的标签(入标签)是0x0000,这个数据包离开设备A时的标签(出标签)可能就变成了0x0001。城域网的入网流程是集中控制下的入网过程,也就意味着城域网的地址分配、标签分配都是由城域服务器主导的,节点交换机、节点服务器都是被动的执行而已,这一点与MPLS的标签分配是不同的,MPLS的标签分配是交换机、服务器互相协商的结果。
如下表所示,城域网的数据包主要包括以下几部分:
| DA | SA | Reserved | 标签 | Payload | CRC |
即目的地址(DA)、源地址(SA)、保留字节(Reserved)、标签、payload(PDU)、CRC。其中,标签的格式可以参考如下定义:标签是32bit,其中高16bit保留,只用低16bit,它的位置是在数据包的保留字节和payload之间。
参考图5,示出了本发明实施例的一种认证方法的步骤流程图,所述方法可以应用于视联网,视联网中可以包括终端和节点服务器,终端上设置有第一U-Key,终端可以与节点服务器通信连接。该认证方法具体可以包括如下步骤:
步骤501,节点服务器接收来自终端的第一认证请求信息。
在本发明实施例中,终端上可以预先安装有视频会议客户端应用程序,即终端可以作为视频会议客户端。终端可以生成第一认证请求信息,并通过视联网发送第一认证请求信息至节点服务器。节点服务器上可以预先安装有视频会议服务器端应用程序,即节点服务器可以作为视频会议服务器端。
为了提高视频会议的安全性,终端上可以设置有第一U-Key。可以理解为,在设置有第一U-Key的终端上才可以登录至节点服务器。第一U-Key的标识信息可以为第一U-Key的身份信息,用于唯一确定第一U-Key。U-Key的全称为USB Key。它是一种USB接口的硬件存储设备。USB Key的模样跟普通的U盘差不多,不同的是它里面存放了单片机或智能卡芯片,USB Key有一定的存储空间,可以存储用户的私钥以及数字证书,利用USB Key内置的公钥算法可以实现对用户身份的认证。
在本发明实施例中,第一认证请求信息可以包括用户在终端上输入的用户名以及第一U-Key的标识信息。除此之外,第一认证请求信息还可以包括:终端随机生成的第一随机数据、终端的标识信息和加密证书数据。其中,加密证书数据中可以包括公钥。
步骤502,节点服务器根据用户名和预设的用户名与U-Key之间的绑定关系查询得到与用户名对应的第二U-Key的标识信息。
在本发明实施例中,节点服务器上可以预先设置有用户名与U-Key之间的绑定关系,该绑定关系可以通过用户名与U-Key的标识信息之间的一一对应关系体现。节点服务器接收到第一认证请求信息之后,可以在用户名与U-Key之间的绑定关系中查找与第一认证请求信息中的用户名具有一一对应关系的第二U-Key的标识信息。进而,节点服务器可以将查找到的第二U-Key的标识信息与第一认证请求信息中的第一U-Key的标识信息进行比对,若第二U-Key的标识信息与第一U-Key的标识信息相同,则表示第二U-Key与第一U-Key为同一个U-Key。可以理解为,终端上设置的第一U-Key为与终端上的用户名具有一一对应关系的U-Key。
在本发明的一种优选实施例中,节点服务器接收到第一认证请求信息之后,除了可以查询得到与用户名对应的第二U-Key的标识信息之外,还可以根据用户名和预设的用户名和口令之间的绑定关系查询得到与用户名对应的口令信息。节点服务器上除了可以预先设置有用户名与U-Key之间的绑定关系之外,还可以设置有用户名与口令之间的绑定关系。节点服务器接收到第一认证请求信息之后,可以在用户名与口令之间的绑定关系中查找与第一认证请求信息中的用户名具有一一对应关系的口令信息。
步骤503,节点服务器在第一U-Key的标识信息与第二U-Key的标识信息相同时,生成并发送第一认证响应信息至终端。
在本发明实施例中,在终端上设置的第一U-Key为与用户名一一对应的U-Key时,节点服务器可以生成第一认证响应信息,并发送第一认证响应信息至终端。
在实际应用中,节点服务器在生成第一认证响应信息时,可以生成第二随机数据和对称密钥,从第一认证请求信息中的加密证书数据中提取得到公钥,并利用公钥对生成的对称密钥进行加密,再利用预设的第一签名证书中的私钥对第一随机数据、第二随机数据、加密后的对称密钥、节点服务器的标识信息和终端的标识信息进行签名得到第一签名信息,然后将第一随机数据、第二随机数据、加密后的对称密钥、终端的标识信息、节点服务器的标识信息、第一签名信息和第一签名证书确定为第一认证响应信息。
在本发明实施例中,终端接收到第一认证响应信息之后,可以对第一认证响应信息进行一系列处理,生成第二认证请求信息,进而将第二认证请求信息发送至节点服务器。终端在对第一认证响应信息进行一系列处理时,可以利用第一认证响应信息中的第一签名证书的公钥对第一认证响应信息中的第一随机数据和终端的标识信息进行验签,以验证第一随机数据和终端的标识信息未被篡改,证明第一认证响应信息来源于节点服务器。在验签通过的情况下,终端利用预设的私钥对加密后的对称密钥进行解密得到对称密钥。该预设的私钥可以为与加密证书数据中的公钥成对的私钥,可以理解为,只有该预设的私钥才可以对加密后的对称密钥进行解密。终端在解密得到对称密钥之后,可以利用对称密钥对用户名的密码信息进行加密得到加密后的密码信息。终端再利用预设的第二签名证书中的私钥对第一随机数据、第二随机数据和节点服务器的标识信息进行签名得到第二签名信息,进而将第一随机数据、第二随机数据、加密后的密码信息、终端的标识信息、节点服务器的标识信息、第二签名信息和第二签名证书作为第二认证请求信息。
步骤504,节点服务器对第二认证请求信息进行认证,并将认证结果返回至终端。
在本发明实施例中,节点服务器在接收到第二认证请求信息之后,可以利用第二签名证书中的公钥对第二认证请求信息中的节点服务器的标识信息和第二随机数据进行验签,以验证节点服务器的标识信息和第二随机数据未被篡改,证明第二认证请求信息来源于终端。在验签通过的情况下,节点服务器可以利用对称密钥对加密后的密码信息进行解密,得到用户名的密码信息。进而,节点服务器将解密得到的密码信息与上述查找得到的口令信息进行比对,若密码信息与口令信息一致,则表示节点服务器对第二认证请求信息认证通过,即允许终端利用输入的用户名和密码信息登录至节点服务器,可以向终端发送表示认证通过的认证结果;若密码信息与口令信息不一致,则表示节点服务器对第二认证请求信息认证未通过,即禁止终端利用输入的用户名和密码信息登录至节点服务器,可以向终端发送表示认证未通过的认证结果。
基于上述关于一种认证方法的相关说明,下面介绍一种基于视联网的视频会议的用户登录认证方法。如图6所示,视频会议的客户端上安装有应用程序Pamir,该应用程序Pamir用于控制视频会议。应用程序Pamir生成随机数RB之后,将客户端上的U-Key的ID、用户名、随机数RB、客户端的IDB和加密证书数据发送至服务器。服务器接收到U-Key的ID、用户名、随机数RB、客户端的IDB和加密证书数据之后,根据用户名查找到与用户名绑定的U-Key的ID和密码信息。如果与用户名绑定的U-Key的ID与客户端上的U-Key的ID相匹配,服务器生成随机数RA和对称密钥S1。服务器从加密证书数据中提取出公钥PKB,然后利用公钥PKB加密对称密钥S1得到E(PKB+S1)。服务器再使用服务器端的签名证书对随机数RA、随机数RB、E(PKB+S1)、客户端的IDB、服务器的IDA进行签名得到sign(RA+RB+E(PKB+S1)+IDA+IDB),然后将随机数RA、随机数RB、E(PKB+S1)、客户端的IDB、服务器的IDA、sign(RA+RB+E(PKB+S1)+IDA+IDB)和服务器端的签名证书发送至客户端。客户端使用服务器端的签名证书验签随机数RB和客户端的IDB,使用本地私钥对E(PKB+S1)解密得到对称密钥S1,然后使用对称密钥S1对登录口令进行加密得到E(S1+登录口令),再使用客户端的签名证书对随机数RB、随机数RA和服务器的IDA进行签名得到sign(RB+RA+IDA),将随机数RB、随机数RA、E(S1+登录口令)、服务器的IDA、sign(RB+RA+IDA)和客户端的签名证书发送至服务器。服务器对随机数RA和服务器的IDA进行验签通过后,验证口令信息与密码信息是否一致,并将包含验证通过或验证未通过的验证结果返回至客户端。
本发明实施例提供的一种认证方案,应用于视联网中,该视联网可以包括终端和节点服务器。终端可以作为视频会议客户端,终端上设置有第一U-Key,节点服务器可以作为食品会议服务器,终端与节点服务器可以通过连接。
在本发明实施例中,终端向节点服务器发送第一认证请求信息,该第一认证请求信息中可以包括用户名和第一U-key的标识信息。节点服务器从预设的用户名与U-Key之间的绑定关系中查找到与第一请求认证信息中的用户名对应第二U-Key的标识信息,进而将第一U-Key的标识信息与第二U-Key的标识信息进行比较,若第一U-Key的标识信息与第二U-Key的标识信息相同,则生成并发送第一认证响应信息至终端。终端根据第一认证响应信息生成包括密码信息的第二认证请求信息,并发送第二认证请求信息至节点服务器。节点服务器对第二认证请求信息进行认证,并将认证结果返回至终端。
在本发明实施例中,一方面,终端在向节点服务器发送认证请求信息时,以加密的形式发送密码信息,提高了密码信息的安全性。另一方面,终端在第一认证请求信息中将用户名发送至节点服务器,终端在第二认证请求信息中将密码信息发送至节点服务器。终端将用户名和密码信息分开发送至节点服务器,降低了用户名和密码信息同时被截获的几率。再一方面,终端在将第一认证请求信息发送至节点服务器之后,节点服务器判断第一认证请求信息中的U-Key的标识信息与用户名绑定的U-Key的标识信息是否相同,若第一认证请求信息中的U-Key的标识信息与用户名绑定的U-Key的标识信息相同,则向终端返回第一认证响应信息。即在第一认证请求信息中的U-Key的标识信息与用户名绑定的U-Key的标识信息相同的情况下,终端根据第一认证响应信息向节点服务器发送包含密码信息的第二认证请求信息。通过节点服务器对U-Key的标识信息的验证,提高了密码信息的安全性。
需要说明的是,对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明实施例并不受所描述的动作顺序的限制,因为依据本发明实施例,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作并不一定是本发明实施例所必须的。
参考图7,示出了本发明实施例的一种认证***,所述***应用于视联网,所述视联网中包括终端和节点服务器,所述终端上设置有第一U-Key,所述终端与所述节点服务器通信连接;所述节点服务器可以包括如下模块:
接收模块701,用于接收来自所述终端的第一认证请求信息,所述第一认证请求信息包括用户名和所述第一U-Key的标识信息;查询模块702,用于根据所述用户名和预设的用户名与U-Key之间的绑定关系查询得到与所述用户名对应的第二U-Key的标识信息;响应模块703,用于在所述第一U-Key的标识信息与所述第二U-Key的标识信息相同时,生成并发送第一认证响应信息至所述终端;所述终端用于根据所述第一认证响应信息生成第二认证请求信息,并发送所述第二认证请求信息至所述节点服务器,所述第二认证请求信息包括加密后的密码信息;认证模块704,用于对所述第二认证请求信息进行认证,并将认证结果返回至所述终端。
可选地,所述第一认证请求信息还包括第一随机数据、加密证书数据和所述终端的标识信息;所述响应模块703,包括:生成模块7031,用于生成第二随机数据和对称密钥;加密模块7032,用于从所述加密证书数据中提取得到公钥,并利用所述公钥对所述对称密钥进行加密;签名模块7033,用于利用预设的第一签名证书对所述第一随机数据、所述第二随机数据、加密后的对称密钥、所述节点服务器的标识信息和所述终端的标识信息进行签名,得到第一签名信息;确定模块7034,用于将所述第一随机数据、所述第二随机数据、加密后的对称密钥、所述终端的标识信息、所述节点服务器的标识信息、所述第一签名信息和所述第一签名证书确定为所述第一认证响应信息。
可选地,所述终端用于根据所述第一签名证书对所述第一认证响应信息中的所述第一随机数据和所述所述终端的标识信息进行验签,并在验签通过的情况下利用预设的私钥对加密后的对称密钥进行解密得到所述对称密钥,利用所述对称密钥对所述密码信息进行加密,利用预设的第二签名证书对所述第一随机数据、所述第二随机数据和所述节点服务器的标识信息进行签名,得到第二签名信息,将所述第一随机数据、所述第二随机数据、加密后的密码信息、所述终端的标识信息、所述节点服务器的标识信息、所述第二签名信息和所述第二签名证书确定为所述第二认证请求信息。
所述查询模块702,还用于在所述接收模块接收来自所述终端的第一认证请求信息之后,根据所述用户名和预设的用户名与口令之间的绑定关系查询得到与所述用户名对应的口令信息;
所述认证模块704,包括:验签模块7041,用于利用所述第二签名证书对所述第二认证请求信息中的所述节点服务器的标识信息和所述第二随机数据进行验签;比对模块7042,用于在验签通过的情况下利用所述对称密钥对加密后的密码信息进行解密,得到所述密码信息,并将所述口令信息与所述密码信息进行比对。
对于认证***实施例而言,由于其与认证方法实施例基本相似,所以描述的比较简单,相关之处参见认证方法实施例的部分说明即可。
本发明实施例还提供了一种装置,包括:
一个或多个处理器;和
其上存储有指令的一个或多个机器可读介质,当由所述一个或多个处理器执行时,使得所述装置执行如本发明实施例所述的一个或多个的认证方法。
本发明实施例还提供了一种计算机可读存储介质,其存储的计算机程序使得处理器执行如本发明实施例所述的认证方法。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本领域内的技术人员应明白,本发明实施例的实施例可提供为方法、装置、或计算机程序产品。因此,本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明实施例是参照根据本发明实施例的方法、终端设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上,使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明实施例的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明实施例范围的所有变更和修改。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。
以上对本发明所提供的一种认证方法、***,以及一种装置和一种计算机可读存储介质进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种认证方法,其特征在于,所述方法应用于视联网,所述视联网中包括终端和节点服务器,所述终端上设置有第一U-Key,所述终端与所述节点服务器通信连接;所述方法包括:
所述节点服务器接收来自所述终端的第一认证请求信息,所述第一认证请求信息包括用户名和所述第一U-Key的标识信息;
所述节点服务器根据所述用户名和预设的用户名与U-Key之间的绑定关系查询得到与所述用户名对应的第二U-Key的标识信息;
所述节点服务器在所述第一U-Key的标识信息与所述第二U-Key的标识信息相同时,生成并发送第一认证响应信息至所述终端;所述终端用于根据所述第一认证响应信息生成第二认证请求信息,并发送所述第二认证请求信息至所述节点服务器,所述第二认证请求信息包括加密后的密码信息;
所述节点服务器对所述第二认证请求信息进行认证,并将认证结果返回至所述终端。
2.根据权利要求1所述的认证方法,其特征在于,所述第一认证请求信息还包括:第一随机数据、加密证书数据和所述终端的标识信息;
所述节点服务器生成第一认证响应信息的步骤,包括:
所述节点服务器生成第二随机数据和对称密钥;
所述节点服务器从所述加密证书数据中提取得到公钥,并利用所述公钥对所述对称密钥进行加密;
所述节点服务器利用预设的第一签名证书对所述第一随机数据、所述第二随机数据、加密后的对称密钥、所述节点服务器的标识信息和所述终端的标识信息进行签名,得到第一签名信息;
所述节点服务器将所述第一随机数据、所述第二随机数据、加密后的对称密钥、所述终端的标识信息、所述节点服务器的标识信息、所述第一签名信息和所述第一签名证书确定为所述第一认证响应信息。
3.根据权利要求2所述的认证方法,其特征在于,所述终端用于根据所述第一签名证书对所述第一认证响应信息中的所述第一随机数据和所述所述终端的标识信息进行验签,并在验签通过的情况下利用预设的私钥对加密后的对称密钥进行解密得到所述对称密钥,利用所述对称密钥对所述密码信息进行加密,利用预设的第二签名证书对所述第一随机数据、所述第二随机数据和所述节点服务器的标识信息进行签名,得到第二签名信息,将所述第一随机数据、所述第二随机数据、加密后的密码信息、所述终端的标识信息、所述节点服务器的标识信息、所述第二签名信息和所述第二签名证书确定为所述第二认证请求信息。
4.根据权利要求3所述的认证方法,其特征在于,在所述节点服务器接收来自所述终端的第一认证请求信息的步骤之后,所述方法还包括:
所述节点服务器根据所述用户名和预设的用户名与口令之间的绑定关系查询得到与所述用户名对应的口令信息。
5.根据权利要求4所述的认证方法,其特征在于,所述节点服务器对所述第二认证请求信息进行认证的步骤,包括:
所述节点服务器利用所述第二签名证书对所述第二认证请求信息中的所述节点服务器的标识信息和所述第二随机数据进行验签;
所述节点服务器在验签通过的情况下利用所述对称密钥对加密后的密码信息进行解密,得到所述密码信息,并将所述口令信息与所述密码信息进行比对。
6.一种认证***,其特征在于,所述***应用于视联网,所述视联网中包括终端和节点服务器,所述终端上设置有第一U-Key,所述终端与所述节点服务器通信连接;所述节点服务器包括:
接收模块,用于接收来自所述终端的第一认证请求信息,所述第一认证请求信息包括用户名和所述第一U-Key的标识信息;
查询模块,用于根据所述用户名和预设的用户名与U-Key之间的绑定关系查询得到与所述用户名对应的第二U-Key的标识信息;
响应模块,用于在所述第一U-Key的标识信息与所述第二U-Key的标识信息相同时,生成并发送第一认证响应信息至所述终端;所述终端用于根据所述第一认证响应信息生成第二认证请求信息,并发送所述第二认证请求信息至所述节点服务器,所述第二认证请求信息包括加密后的密码信息;
认证模块,用于对所述第二认证请求信息进行认证,并将认证结果返回至所述终端。
7.根据权利要求6所述的认证***,其特征在于,所述第一认证请求信息还包括第一随机数据、加密证书数据和所述终端的标识信息;
所述响应模块,包括:
生成模块,用于生成第二随机数据和对称密钥;
加密模块,用于从所述加密证书数据中提取得到公钥,并利用所述公钥对所述对称密钥进行加密;
签名模块,用于利用预设的第一签名证书对所述第一随机数据、所述第二随机数据、加密后的对称密钥、所述节点服务器的标识信息和所述终端的标识信息进行签名,得到第一签名信息;
确定模块,用于将所述第一随机数据、所述第二随机数据、加密后的对称密钥、所述终端的标识信息、所述节点服务器的标识信息、所述第一签名信息和所述第一签名证书确定为所述第一认证响应信息。
8.根据权利要求7所述的认证***,其特征在于,所述终端用于根据所述第一签名证书对所述第一认证响应信息中的所述第一随机数据和所述所述终端的标识信息进行验签,并在验签通过的情况下利用预设的私钥对加密后的对称密钥进行解密得到所述对称密钥,利用所述对称密钥对所述密码信息进行加密,利用预设的第二签名证书对所述第一随机数据、所述第二随机数据和所述节点服务器的标识信息进行签名,得到第二签名信息,将所述第一随机数据、所述第二随机数据、加密后的密码信息、所述终端的标识信息、所述节点服务器的标识信息、所述第二签名信息和所述第二签名证书确定为所述第二认证请求信息;
所述查询模块,还用于在所述接收模块接收来自所述终端的第一认证请求信息之后,根据所述用户名和预设的用户名与口令之间的绑定关系查询得到与所述用户名对应的口令信息;
所述认证模块,包括:
验签模块,用于利用所述第二签名证书对所述第二认证请求信息中的所述节点服务器的标识信息和所述第二随机数据进行验签;
比对模块,用于在验签通过的情况下利用所述对称密钥对加密后的密码信息进行解密,得到所述密码信息,并将所述口令信息与所述密码信息进行比对。
9.一种装置,其特征在于,包括:
一个或多个处理器;和
其上存储有指令的一个或多个机器可读介质,当由所述一个或多个处理器执行时,使得所述装置执行如权利要求1至5所述的一个或多个的认证方法。
10.一种计算机可读存储介质,其特征在于,其存储的计算机程序使得处理器执行如权利要求1至5任一项所述的认证方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910606236.2A CN110430043B (zh) | 2019-07-05 | 2019-07-05 | 一种认证方法、***及装置和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910606236.2A CN110430043B (zh) | 2019-07-05 | 2019-07-05 | 一种认证方法、***及装置和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110430043A true CN110430043A (zh) | 2019-11-08 |
| CN110430043B CN110430043B (zh) | 2022-11-08 |
Family
ID=68410315
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910606236.2A Active CN110430043B (zh) | 2019-07-05 | 2019-07-05 | 一种认证方法、***及装置和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110430043B (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111131912A (zh) * | 2019-12-30 | 2020-05-08 | 视联动力信息技术股份有限公司 | 一种通信方法和装置 |
| CN111147471A (zh) * | 2019-12-20 | 2020-05-12 | 视联动力信息技术股份有限公司 | 一种终端入网认证方法、装置、***和存储介质 |
| CN111291043A (zh) * | 2020-01-09 | 2020-06-16 | 中国信息通信研究院 | 标识值查询方法、标识解析服务器和存储介质 |
| CN111404680A (zh) * | 2020-03-11 | 2020-07-10 | 杭州海康威视数字技术股份有限公司 | 口令管理方法和装置 |
| CN111556376A (zh) * | 2020-03-23 | 2020-08-18 | 视联动力信息技术股份有限公司 | 数字证书签发方法、装置及计算机可读存储介质 |
| CN111737679A (zh) * | 2020-06-29 | 2020-10-02 | 苏州浪潮智能科技有限公司 | 一种安全认证方法、装置及电子设备和存储介质 |
| CN111835716A (zh) * | 2020-06-04 | 2020-10-27 | 视联动力信息技术股份有限公司 | 认证通信方法、服务器、设备及存储介质 |
| CN112134881A (zh) * | 2020-09-22 | 2020-12-25 | 宏图智能物流股份有限公司 | 一种基于序列号的网络请求防篡改方法 |
| CN114257387A (zh) * | 2020-09-11 | 2022-03-29 | 中移物联网有限公司 | 登录认证方法及装置 |
| CN114745115A (zh) * | 2022-04-25 | 2022-07-12 | 北京市商汤科技开发有限公司 | 一种信息传输方法、装置、计算机设备及存储介质 |
| CN114760500A (zh) * | 2022-03-24 | 2022-07-15 | 海南乾唐视联信息技术有限公司 | 一种音视频数据加密方法和装置 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070073894A1 (en) * | 2005-09-14 | 2007-03-29 | O Ya! Inc. | Networked information indexing and search apparatus and method |
| WO2007121490A2 (en) * | 2006-04-19 | 2007-10-25 | Deepdive Technologies, Inc. | System and method of identifying shared resources on a network |
| US20110302641A1 (en) * | 2008-11-10 | 2011-12-08 | David Hald | Method and system protecting against identity theft or replication abuse |
| CN102811203A (zh) * | 2011-06-01 | 2012-12-05 | 北京唯致动力网络信息科技有限公司 | 互联网中用户身份识别方法、***及用户终端 |
| CN103581184A (zh) * | 2013-10-31 | 2014-02-12 | 中国电子科技集团公司第十五研究所 | 移动终端访问企业内网服务器的方法和*** |
| CN103929307A (zh) * | 2014-04-02 | 2014-07-16 | 天地融科技股份有限公司 | 密码输入方法、智能密钥设备以及客户端装置 |
| CN105262594A (zh) * | 2015-10-10 | 2016-01-20 | 山东超越数控电子有限公司 | 一种身份认证的方法及装置 |
| CN106936760A (zh) * | 2015-12-30 | 2017-07-07 | 航天信息股份有限公司 | 一种登录Openstack云***虚拟机的装置和方法 |
| CN108259407A (zh) * | 2016-12-28 | 2018-07-06 | 航天信息股份有限公司 | 一种基于时间戳的对称加密方法及*** |
| CN109672664A (zh) * | 2018-11-13 | 2019-04-23 | 视联动力信息技术股份有限公司 | 一种视联网终端的认证方法和*** |
| CN109698966A (zh) * | 2018-11-30 | 2019-04-30 | 视联动力信息技术股份有限公司 | 一种登录流媒体以及数据交互加密的方法和装置 |
-
2019
- 2019-07-05 CN CN201910606236.2A patent/CN110430043B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070073894A1 (en) * | 2005-09-14 | 2007-03-29 | O Ya! Inc. | Networked information indexing and search apparatus and method |
| WO2007121490A2 (en) * | 2006-04-19 | 2007-10-25 | Deepdive Technologies, Inc. | System and method of identifying shared resources on a network |
| US20110302641A1 (en) * | 2008-11-10 | 2011-12-08 | David Hald | Method and system protecting against identity theft or replication abuse |
| CN102811203A (zh) * | 2011-06-01 | 2012-12-05 | 北京唯致动力网络信息科技有限公司 | 互联网中用户身份识别方法、***及用户终端 |
| CN103581184A (zh) * | 2013-10-31 | 2014-02-12 | 中国电子科技集团公司第十五研究所 | 移动终端访问企业内网服务器的方法和*** |
| CN103929307A (zh) * | 2014-04-02 | 2014-07-16 | 天地融科技股份有限公司 | 密码输入方法、智能密钥设备以及客户端装置 |
| CN105262594A (zh) * | 2015-10-10 | 2016-01-20 | 山东超越数控电子有限公司 | 一种身份认证的方法及装置 |
| CN106936760A (zh) * | 2015-12-30 | 2017-07-07 | 航天信息股份有限公司 | 一种登录Openstack云***虚拟机的装置和方法 |
| CN108259407A (zh) * | 2016-12-28 | 2018-07-06 | 航天信息股份有限公司 | 一种基于时间戳的对称加密方法及*** |
| CN109672664A (zh) * | 2018-11-13 | 2019-04-23 | 视联动力信息技术股份有限公司 | 一种视联网终端的认证方法和*** |
| CN109698966A (zh) * | 2018-11-30 | 2019-04-30 | 视联动力信息技术股份有限公司 | 一种登录流媒体以及数据交互加密的方法和装置 |
Non-Patent Citations (1)
| Title |
|---|
| 廖云等: "基于USBKey网上认证***设计", 《信息安全与通信保密》 * |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111147471B (zh) * | 2019-12-20 | 2023-02-28 | 视联动力信息技术股份有限公司 | 一种终端入网认证方法、装置、***和存储介质 |
| CN111147471A (zh) * | 2019-12-20 | 2020-05-12 | 视联动力信息技术股份有限公司 | 一种终端入网认证方法、装置、***和存储介质 |
| CN111131912A (zh) * | 2019-12-30 | 2020-05-08 | 视联动力信息技术股份有限公司 | 一种通信方法和装置 |
| CN111131912B (zh) * | 2019-12-30 | 2023-04-18 | 视联动力信息技术股份有限公司 | 一种通信方法、广播的方法、通信装置及广播的装置 |
| CN111291043A (zh) * | 2020-01-09 | 2020-06-16 | 中国信息通信研究院 | 标识值查询方法、标识解析服务器和存储介质 |
| CN111404680A (zh) * | 2020-03-11 | 2020-07-10 | 杭州海康威视数字技术股份有限公司 | 口令管理方法和装置 |
| CN111556376A (zh) * | 2020-03-23 | 2020-08-18 | 视联动力信息技术股份有限公司 | 数字证书签发方法、装置及计算机可读存储介质 |
| CN111556376B (zh) * | 2020-03-23 | 2022-06-14 | 视联动力信息技术股份有限公司 | 数字证书签发方法、装置及计算机可读存储介质 |
| CN111835716A (zh) * | 2020-06-04 | 2020-10-27 | 视联动力信息技术股份有限公司 | 认证通信方法、服务器、设备及存储介质 |
| CN111835716B (zh) * | 2020-06-04 | 2023-05-30 | 视联动力信息技术股份有限公司 | 认证通信方法、服务器、设备及存储介质 |
| CN111737679A (zh) * | 2020-06-29 | 2020-10-02 | 苏州浪潮智能科技有限公司 | 一种安全认证方法、装置及电子设备和存储介质 |
| CN111737679B (zh) * | 2020-06-29 | 2022-07-08 | 苏州浪潮智能科技有限公司 | 一种安全认证方法、装置及电子设备和存储介质 |
| CN114257387A (zh) * | 2020-09-11 | 2022-03-29 | 中移物联网有限公司 | 登录认证方法及装置 |
| CN112134881A (zh) * | 2020-09-22 | 2020-12-25 | 宏图智能物流股份有限公司 | 一种基于序列号的网络请求防篡改方法 |
| CN114760500A (zh) * | 2022-03-24 | 2022-07-15 | 海南乾唐视联信息技术有限公司 | 一种音视频数据加密方法和装置 |
| CN114745115A (zh) * | 2022-04-25 | 2022-07-12 | 北京市商汤科技开发有限公司 | 一种信息传输方法、装置、计算机设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110430043B (zh) | 2022-11-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110430043A (zh) | 一种认证方法、***及装置和存储介质 | |
| CN108881798B (zh) | 一种利用桥接服务器进行跨视联网会议方法和*** | |
| CN108023910A (zh) | 一种基于视联网的终端监控方法和*** | |
| CN108418778A (zh) | 一种互联网与视联网通信的方法、装置及交互*** | |
| CN108023858B (zh) | 一种视联网网管安全认证方法及其*** | |
| CN109120962A (zh) | 软件终端连接视联网的方法和装置 | |
| CN108965224A (zh) | 一种视频点播的方法和装置 | |
| CN108616549A (zh) | 一种文件上传方法及文件服务器 | |
| CN109120897A (zh) | 一种视联网监控视频目录共享方法和装置 | |
| CN109672664A (zh) | 一种视联网终端的认证方法和*** | |
| CN108965227A (zh) | 一种数据处理方法及视联网会议服务器 | |
| CN110062195A (zh) | 一种视频会议接入方法及*** | |
| CN109462594A (zh) | 一种基于视联网的数据处理方法及*** | |
| CN110392226A (zh) | 一种直播实现方法和装置 | |
| CN109766753A (zh) | 一种指纹信息获取方法和装置 | |
| CN109743265A (zh) | 一种获取证件信息的方法和装置 | |
| CN109347844A (zh) | 一种设备接入互联网的方法及装置 | |
| CN109151519A (zh) | 一种基于视联网的配置分发方法和*** | |
| CN108965941A (zh) | 一种数据获取方法和视联网管理*** | |
| CN110535856A (zh) | 一种用户的认证方法、装置和存储介质 | |
| CN110493193A (zh) | 数据传输方法和装置 | |
| CN110351080A (zh) | 一种密钥交换方法和装置 | |
| CN110049009A (zh) | 一种身份信息获取***和方法 | |
| CN109376507A (zh) | 一种数据安全管理方法和*** | |
| CN110121075A (zh) | 一种手术直播方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |