CN111800378B - 一种登录认证方法、装置、***和存储介质 - Google Patents

一种登录认证方法、装置、***和存储介质 Download PDF

Info

Publication number
CN111800378B
CN111800378B CN202010438333.8A CN202010438333A CN111800378B CN 111800378 B CN111800378 B CN 111800378B CN 202010438333 A CN202010438333 A CN 202010438333A CN 111800378 B CN111800378 B CN 111800378B
Authority
CN
China
Prior art keywords
terminal
login
network management
certificate
random number
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010438333.8A
Other languages
English (en)
Other versions
CN111800378A (zh
Inventor
王庆杰
赵海亮
孙绍敏
王艳辉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Visionvera Information Technology Co Ltd
Original Assignee
Visionvera Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Visionvera Information Technology Co Ltd filed Critical Visionvera Information Technology Co Ltd
Priority to CN202010438333.8A priority Critical patent/CN111800378B/zh
Publication of CN111800378A publication Critical patent/CN111800378A/zh
Application granted granted Critical
Publication of CN111800378B publication Critical patent/CN111800378B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明实施例提供了一种登录认证方法、装置、***和存储介质,所述方法包括:生成并发送登录请求信息至网管服务器;接收网管服务器根据登录请求信息返回的登录挑战信息;根据网管签名证书对网管签名数据进行验签操作得到网管验签结果,并在网管验签结果表示网管服务器合法的情况下,生成并发送登录应答信息至网管服务器;接收网管服务器根据登录应答信息返回的登录结果,登录结果表示允许登录或禁止登录。本发明实施例不仅仅由网管服务器对终端上的用户进行认证,终端还需要对网管服务器是否合法进行认证,从而提高了用户登录认证的安全性。

Description

一种登录认证方法、装置、***和存储介质
技术领域
本发明涉及网络安全技术领域,特别是涉及一种登录认证方法、装置、***和存储介质。
背景技术
视联网是一种基于以太网硬件的用于高速传输高清视频及专用协议的专用网络,视联网是以太网的更高级形态,是一个实时网络。
随着视联网业务的快速发展,视联网终端的数量也迅速壮大。目前,视联网终端上的用户在向视联网网络管理服务器发起登录认证请求的过程中,认证请求信息容易被截获,从而冒充视联网网络管理服务器,导致视联网终端上的数据被冒充的视联网网络管理服务器窃取,视联网终端上用户登录认证的安全性较低。
发明内容
鉴于上述问题,提出了本发明实施例以便提供一种克服上述问题或者至少部分地解决上述问题的一种登录认证方法、装置、***和存储介质。
为了解决上述问题,根据本发明实施例的第一方面,公开了一种登录认证方法,应用于终端,所述方法包括:生成并发送登录请求信息至网管服务器,所述登录请求信息包含用户名和终端随机数;接收所述网管服务器根据所述登录请求信息返回的登录挑战信息,所述登录挑战信息包含网管随机数、网管签名数据和网管签名证书;根据所述网管签名证书对所述网管签名数据进行验签操作得到网管验签结果,并在所述网管验签结果表示所述网管服务器合法的情况下,生成并发送登录应答信息至所述网管服务器,所述登录应答信息包含终端签名数据和加密数据,所述终端签名数据包含密码、所述网管随机数和所述终端随机数,所述加密数据包含所述用户名、所述密码、所述网管随机数和所述终端随机数;接收所述网管服务器根据所述登录应答信息返回的登录结果,所述登录结果表示允许登录或禁止登录。
可选地,所述生成登录请求信息,包括:调用终端中间件生成所述终端随机数,并根据所述用户名、所述终端随机数和预先获得的终端加密证书生成所述登录请求信息。
可选地,所述登录挑战信息还包含对称密钥,所述生成登录应答信息,包括:根据预先获得的终端签名证书对所述密码、所述网管随机数和所述终端随机数进行签名操作得到所述终端签名数据,并根据所述对称密钥对所述用户名、所述密码、所述网管随机数和所述终端随机数进行加密操作得到所述加密数据;将所述终端签名数据和所述加密数据作为所述登录应答信息。
可选地,所述终端上配置有第一密码设备,所述第一密码设备通过安全工具与证书颁发设备进行通信,在所述生成并发送登录请求信息至网管服务器之前,所述方法还包括:按照预设的第一参数值对所述第一密码设备进行设置;基于所述第一密码设备并根据所述第一参数值生成第一证书请求指令,发送所述第一证书请求指令至所述安全工具,所述安全工具用于对所述第一证书请求指令进行解析得到解析结果,并按照所述解析结果发送所述第一证书请求指令至所述证书颁发设备,所述证书颁发设备用于根据所述第一证书请求指令生成并返回所述终端签名证书和所述终端加密证书至所述安全工具;接收所述安全工具返回的所述终端签名证书和所述终端加密证书。
根据本发明实施例的第二方面,还公开了一种登录认证方法,应用于网管服务器,所述方法包括:接收来自终端的登录请求信息,并对所述登录请求信息进行检测操作得到检测结果,所述登录请求信息包含用户名和终端随机数;在所述检测结果表示所述登录请求信息合法的情况下,生成并发送登录挑战信息至所述终端,所述登录挑战信息包含网管随机数、网管签名数据和网管签名证书;接收所述终端根据所述登录挑战信息返回的登录应答信息,并根据所述登录应答信息对所述终端进行登录认证操作得到登录结果,返回所述登录结果至所述终端,所述登录应答信息包含终端签名数据和加密数据,所述终端签名数据包含密码、所述网管随机数和所述终端随机数,所述加密数据包含所述用户名、所述密码、所述网管随机数和所述终端随机数,所述登录结果表示允许登录或禁止登录。
可选地,所述登录请求信息还包含终端加密证书,所述对所述登录请求信息进行检测操作,包括:调用认证响应接口对所述终端加密证书进行验证操作得到验证结果,在所述验证结果表示所述终端加密证书合法的情况下,在数据库中查询是否存在所述用户名。
可选地,所述生成登录挑战信息,包括:调用网管中间件生成所述网管随机数,并从密钥管理服务器获取对称密钥;根据所述网管签名证书对所述网管随机数、所述终端随机数和所述对称密钥进行签名操作得到所述网管签名数据;将所述网管随机数、所述网管签名数据和所述网管签名证书作为所述登录挑战信息。
可选地,所述根据所述登录应答信息对所述终端进行登录认证操作,包括:调用所述网管中间件对所述终端签名数据进行验签操作得到终端验签结果,并在所述终端验签结果表示所述终端合法的情况下,对所述加密数据进行解密操作得到所述密码;将所述密码与数据库中存储的所述用户名对应的密码进行比对。
可选地,所述服务器端上配置有第二密码设备,所述第二密码设备通过安全工具与证书颁发设备进行通信,在所述接收来自终端的登录请求信息之前,所述方法还包括:按照预设的第二参数值对所述第二密码设备进行设置;基于所述第二密码设备并根据所述第二参数值生成第二证书请求指令,发送所述第二证书请求指令至所述安全工具,所述安全工具用于对所述第二证书请求指令进行解析得到解析结果,并按照所述解析结果发送所述第二证书请求指令至所述证书颁发设备,所述证书颁发设备用于根据所述第二证书请求指令生成并返回所述网管签名证书和网管加密证书至所述安全工具;接收所述安全工具返回的所述网管签名证书和所述网管加密证书。
根据本发明实施例的第三方面,还公开了一种登录认证装置,应用于终端,所述装置包括:请求模块,用于生成并发送登录请求信息至网管服务器,所述登录请求信息包含用户名和终端随机数;接收模块,用于接收所述网管服务器根据所述登录请求信息返回的登录挑战信息,所述登录挑战信息包含网管随机数、网管签名数据和网管签名证书;应答模块,用于根据所述网管签名证书对所述网管签名数据进行验签操作得到网管验签结果,并在所述网管验签结果表示所述网管服务器合法的情况下,生成并发送登录应答信息至所述网管服务器,所述登录应答信息包含终端签名数据和加密数据,所述终端签名数据包含密码、所述网管随机数和所述终端随机数,所述加密数据包含所述用户名、所述密码、所述网管随机数和所述终端随机数;所述接收模块,还用于接收所述网管服务器根据所述登录应答信息返回的登录结果,所述登录结果表示允许登录或禁止登录。
可选地,所述请求模块,用于调用终端中间件生成所述终端随机数,并根据所述用户名、所述终端随机数和预先获得的终端加密证书生成所述登录请求信息。
可选地,所述登录挑战信息还包含对称密钥,所述应答模块,用于根据预先获得的终端签名证书对所述密码、所述网管随机数和所述终端随机数进行签名操作得到所述终端签名数据,并根据所述对称密钥对所述用户名、所述密码、所述网管随机数和所述终端随机数进行加密操作得到所述加密数据;将所述终端签名数据和所述加密数据作为所述登录应答信息。
可选地,所述终端上配置有第一密码设备,所述第一密码设备通过安全工具与证书颁发设备进行通信,所述装置还包括:第一设置模块,用于在所述请求模块生成并发送登录请求信息至网管服务器之前,按照预设的第一参数值对所述第一密码设备进行设置;第一生成模块,用于基于所述第一密码设备并根据所述第一参数值生成第一证书请求指令,发送所述第一证书请求指令至所述安全工具,所述安全工具用于对所述第一证书请求指令进行解析得到解析结果,并按照所述解析结果发送所述第一证书请求指令至所述证书颁发设备,所述证书颁发设备用于根据所述第一证书请求指令生成并返回所述终端签名证书和所述终端加密证书至所述安全工具;所述接收模块,还用于接收所述安全工具返回的所述终端签名证书和所述终端加密证书。
根据本发明实施例的第四方面,还公开了一种登录认证装置,应用于网管服务器,所述装置包括:检测模块,用于接收来自终端的登录请求信息,并对所述登录请求信息进行检测操作得到检测结果,所述登录请求信息包含用户名和终端随机数;挑战模块,用于在所述检测结果表示所述登录请求信息合法的情况下,生成并发送登录挑战信息至所述终端,所述登录挑战信息包含网管随机数、网管签名数据和网管签名证书;认证模块,用于接收所述终端根据所述登录挑战信息返回的登录应答信息,并根据所述登录应答信息对所述终端进行登录认证操作得到登录结果,返回所述登录结果至所述终端,所述登录应答信息包含终端签名数据和加密数据,所述终端签名数据包含密码、所述网管随机数和所述终端随机数,所述加密数据包含所述用户名、所述密码、所述网管随机数和所述终端随机数,所述登录结果表示允许登录或禁止登录。
可选地,所述登录请求信息还包含终端加密证书,所述检测模块,用于调用认证响应接口对所述终端加密证书进行验证操作得到验证结果,在所述验证结果表示所述终端加密证书合法的情况下,在数据库中查询是否存在所述用户名。
可选地,所述挑战模块,用于调用网管中间件生成所述网管随机数,并从密钥管理服务器获取对称密钥;根据所述网管签名证书对所述网管随机数、所述终端随机数和所述对称密钥进行签名操作得到所述网管签名数据;将所述网管随机数、所述网管签名数据和所述网管签名证书作为所述登录挑战信息。
可选地,所述认证模块,用于调用所述网管中间件对所述终端签名数据进行验签操作得到终端验签结果,并在所述终端验签结果表示所述终端合法的情况下,对所述加密数据进行解密操作得到所述密码;将所述密码与数据库中存储的所述用户名对应的密码进行比对。
可选地,所述服务器端上配置有第二密码设备,所述第二密码设备通过安全工具与证书颁发设备进行通信,所述装置还包括:第二设置模块,用于在所述检测模块接收来自终端的登录请求信息之前,按照预设的第二参数值对所述第二密码设备进行设置;第二生成模块,用于基于所述第二密码设备并根据所述第二参数值生成第二证书请求指令,发送所述第二证书请求指令至所述安全工具,所述安全工具用于对所述第二证书请求指令进行解析得到解析结果,并按照所述解析结果发送所述第二证书请求指令至所述证书颁发设备,所述证书颁发设备用于根据所述第二证书请求指令生成并返回所述网管签名证书和网管加密证书至所述安全工具;接收模块,用于接收所述安全工具返回的所述网管签名证书和所述网管加密证书。
根据本发明实施例的第五方面,还公开了一种登录认证***,包括终端和服务器,其中,所述终端包含如第三方面所述的装置,所述服务器包含如第四方面所述的装置。
本发明实施例的第六方面,还公开了一种装置,包括:一个或多个处理器;和其上存储有指令的一个或多个机器可读介质,当由所述一个或多个处理器执行时,使得所述装置执行如第一方面或第二方面所述的登录认证方法。
根据本发明实施例的第七方面,还公开了一种计算机可读存储介质,其存储的计算机程序使得处理器执行如第一方面或第二方面所述的登录认证方法。
本发明实施例包括以下优点:
本发明实施例提供了一种登录认证方案,在终端侧,生成并发送登录请求信息至网管服务器,该登录请求信息中可以包含用户的用户名和终端随机数。网管服务器接收到登录请求信息之后,向终端返回登录挑战信息。该登录挑战信息可以包含网管随机数、网管签名数据和网管签名证书。在终端侧,可以根据登录挑战信息中的网管签名证书对登录挑战信息中的网管签名数据进行验签操作得到网管验签结果。该网管验签结果可以表示网管服务器是否合法。在网管验签结果表示网管服务器合法的情况下,生成并发送登录应答信息至网管服务器。该登录应答信息可以包含终端签名数据和加密数据。其中,终端签名数据可以包含用户在终端上输入的密码、网管随机数和终端随机数。加密数据可以包含用户名、密码、网管随机数和终端随机数。网管服务器接收到登录应答信息之后,可以对登录应答信息进行验证,从而生成并返回登录结果至终端。该登录结果可以表示允许用户登录或禁止用户登录。
本发明实施例在对终端上的用户登录进行认证时,不仅仅由网管服务器对终端上的用户进行认证,终端还需要对网管服务器是否合法进行认证,从而提高了用户登录认证的安全性。
附图说明
图1是本发明的一种登录认证方法实施例的步骤流程图;
图2是本发明的为终端和网管服务器颁发签名证书和加密证书的流程示意图;
图3是本发明的另一种登录认证方法实施例的步骤流程图;
图4是本发明的一种基于视联网的用户登录认证方案的框架示意图;
图5是本发明的一种基于视联网的用户登录认证方案的执行流程示意图;
图6是本发明的一种基于视联网的用户登录认证方案中终端与服务器的结构示意图;
图7是本发明的一种登录认证装置实施例的结构框图;
图8是本发明的另一种登录认证装置实施例的结构框图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
在本发明实施例提供的登录认证方案中,终端向网管服务器发送登录请求信息,该登录请求信息中携带有用户名、终端随机数等。网管服务器向终端返回登录挑战信息,该登录挑战信息中携带有网管随机数、网管签名数据和网管签名证书等。终端再向网管服务器发送登录应答信息,该登录应答信息中携带有登录用的密码。网管服务器对登录用的密码进行比对,根据比对结果返回登录结果至终端。本发明实施例实现了终端与网管服务器之间的双向认证,提高了登录认证的安全性。
参照图1,示出了本发明的一种登录认证方法实施例的步骤流程图,该方法可以应用于终端中。本发明实施例对终端的类型、型号、配置、状态、操作***等不做具体限制。而且,本发明实施例对终端所处的网络环境等不做具体限制。该方法具体可以包括如下步骤:
步骤101,生成并发送登录请求信息至网管服务器。
在本发明的实施例中,用户可以在终端上输入网管服务器的IP、端口、登录超时时间、用户名和密码等。终端接收到用户输入的上述信息,再调用终端中间件生成终端随机数,进而根据上述信息和终端随机数生成登录请求信息,并将登录请求信息发送至网管服务器。其中,登录请求信息可以包含用户名和终端随机数等。
步骤102,接收网管服务器根据登录请求信息返回的登录挑战信息。
在本发明的实施例中,网管服务器接收到登录请求信息之后,可以对登录请求信息进行认证,并在认证通过的情况下生成登录挑战信息,返回登录挑战信息至终端。网管服务器返回的登录挑战信息可以包含网管签名数据和网管签名证书,以及,网管服务器调用网管中间件生成的网管随机数。
步骤103,根据网管签名证书对网管签名数据进行验签操作得到网管验签结果,并在网管验签结果表示网管服务器合法的情况下,生成并发送登录应答信息至网管服务器。
在本发明实施例中,网管服务器返回登录挑战信息的作用在于,终端对网管服务器的合法性进行认证。因此,在根据登录挑战信息进行网管服务器合法性认证的过程中,可以利用网管签名证书对网管签名数据进行验签操作得到网管验签结果。如果网管验签结果表示网管服务器为合法的网管服务器,则进一步生成登录应答信息,并发送登录应答信息至网管服务器。
上述登录应答信息可以至少包含两部分内容,一部分为终端签名数据,终端签名数据可以包含密码、网管随机数和终端随机数。另一部分为加密数据,加密数据可以包含用户名、密码、网管随机数和终端随机数。其中,终端签名数据用于网管服务器对终端的合法性进行认证。加密数据用于网管服务器对用户的密码进行认证。
步骤104,接收网管服务器根据登录应答信息返回的登录结果。
在本发明的实施例中,网管服务器接收到登录应答信息之后,依次对终端签名数据和加密数据进行认证。在终端签名数据认证通过的情况下,对加密数据中的密码进行认证。因此,网管服务器返回的登录结果可以表示允许登录或者禁止登录。若登录结果表示禁止登录,则登录结果中还可以包含禁止登录的原因,如密码错误等等。
本发明实施例提供了一种登录认证方案,在终端侧,生成并发送登录请求信息至网管服务器,该登录请求信息中可以包含用户的用户名和终端随机数。网管服务器接收到登录请求信息之后,向终端返回登录挑战信息。该登录挑战信息可以包含网管随机数、网管签名数据和网管签名证书。在终端侧,可以根据登录挑战信息中的网管签名证书对登录挑战信息中的网管签名数据进行验签操作得到网管验签结果。该网管验签结果可以表示网管服务器是否合法。在网管验签结果表示网管服务器合法的情况下,生成并发送登录应答信息至网管服务器。该登录应答信息可以包含终端签名数据和加密数据。其中,终端签名数据可以包含用户在终端上输入的密码、网管随机数和终端随机数。加密数据可以包含用户名、密码、网管随机数和终端随机数。网管服务器接收到登录应答信息之后,可以对登录应答信息进行验证,从而生成并返回登录结果至终端。该登录结果可以表示允许用户登录或禁止用户登录。
本发明实施例在对终端上的用户登录进行认证时,不仅仅由网管服务器对终端上的用户进行认证,终端还需要对网管服务器是否合法进行认证,从而提高了用户登录认证的安全性。
在本发明的一种示例性实施例中,终端和网管服务器可以位于相同网络环境内或者不同的网络环境内,例如,终端和网管服务器都可以接入到视联网,或者,终端和网管服务器中的任意一方接入到视联网,另一方接入互联网。若终端和网管服务器都接入到视联网,终端可以为网管客户端,网管客户端可以为在视联网内提供可视化操作的设备,用于统一管理视联网终端。网管服务器可以为视联网内的核心设备,可以控制视联网业务的注册、开通等。
为了保证终端和网管服务器的合法性,在初始状态下,可以为终端和网管服务器颁发各自的证书,具体可以包含签名证书和加密证书。其中,签名证书用于对数据进行签名操作,以保证数据的有效性和不可否认性。加密证书用于对数据进行加密操作,以保证数据的真实性和完整性。
如图2所示,图2示出了为终端颁发终端签名证书和终端加密证书的流程示意图。在为终端颁发终端签名证书和终端加密证书时,先按照管理员预设的第一参数值对终端上配置的第一密码设备进行设置,设置完毕后,基于第一密码设备生成第一证书请求指令,按照预设的传输协议,将第一证书请求指令发送至安全工具。安全工具对接收到的第一证书请求指令进行解析,得到包含第一参数值、终端的标识、第一密码设备的标识等信息的解析结果,并将第一证书请求指令发送至证书颁发设备。证书颁发设备在收到第一证书请求指令后,也可以对第一证书请求指令进行解析,得到第一参数值、终端的标识、第一密码设备的标识等信息,并对第一参数值、终端的标识、第一密码设备的标识等信息中的至少一项进行核实。在核实通过后,生成终端签名证书和终端加密证书。再将终端签名证书和终端加密证书发送至安全工具。安全工具再将终端签名证书和终端加密证书返回至终端。
需要说明的是,证书颁发设备还可以为终端生成加密公私钥对,并将加密公私钥对中的加密私钥和根证书与终端签名证书和终端加密证书一起发送至安全工具,再由安全工具转发至终端。
当终端拥有了终端签名证书和终端加密证书之后,相当于终端在视联网内拥有了合法的身份。
在本发明的一种示例性实施例中,在执行上述步骤101时,用户在终端上输入网管服务器的IP、端口、超时时间、用户名和密码等信息之后,终端调用终端中间件生成终端随机数。该终端随机数用于保证本次登录认证的唯一性。终端可以根据用户名、终端随机数和终端加密证书生成登录请求信息。而且,终端在生成登录请求信息时,还可以根据用户名、终端随机数、终端物理地址和终端加密证书生成登录请求信息。
在本发明的一种示例性实施例中,在执行上述步骤103时,终端可以根据登录挑战信息中携带的网管签名证书对网管签名数据进行验签操作,得到网管签名数据中的终端随机数。然后,将验签操作的终端随机数与在步骤101中生成的终端随机数进行比对,若二者相同,则表示网管服务器合法。即网管验签结果表示网管服务器合法。若二者不相同,则表示网管服务器不合法。即网管验签结果表示网管服务器不合法。
在本发明的一种示例性实施例中,在执行上述步骤103时,可以根据终端签名证书对密码、终端随机数、网管随机数进行签名操作得到终端签名数据。还可以根据登录挑战信息中携带的对称密钥,对用户名、密码、终端随机数和网管随机数进行加密得到加密数据。将终端签名数据和加密数据共同作为登录应答信息。
参照图3,示出了本发明的另一种登录认证方法实施例的步骤流程图,该方法可以应用于网管服务器中。本发明实施例对网管服务器的类型、型号、配置、状态、操作***等不做具体限制。而且,本发明实施例对网管服务器所处的网络环境等不做具体限制。该方法具体可以包括如下步骤:
步骤301,接收来自终端的登录请求信息,并对登录请求信息进行检测操作得到检测结果。
在本发明的实施例中,网管服务器可以通过对登录请求信息中携带的内容进行检测操作,以确定终端的合法性。例如,对登录请求信息中携带的用户名等进行检测。
步骤302,在检测结果表示登录请求信息合法的情况下,生成并发送登录挑战信息至终端。
在本发明的实施例中,当检测结果表示登录请求信息合法或者终端合法的情况下,生成登录挑战信息并发送至终端,以便终端可以对登录挑战信息进行认证,即终端判断网管服务器是否合法。
步骤303,接收终端根据登录挑战信息返回的登录应答信息,并根据登录应答信息对终端进行登录认证操作得到登录结果,返回登录结果至终端。
在本发明的实施例中,终端根据登录挑战信息返回携带有密码的登录应答信息。在接收到登录应答信息之后,可以对登录应答信息进行认证得到登录结果。若认证通过,则登录结果表示允许登录;若认证未通过,则登录结果表示禁止登录。
在本发明的一种示例性实施例中,如图2所示,图2示出了为网管服务器颁发网管签名证书和网管加密证书的流程示意图。在为网管服务器颁发网管签名证书和网管加密证书时,先按照管理员预设的第二参数值对网管服务器上配置的第二密码设备进行设置,设置完毕后,基于第二密码设备生成第二证书请求指令,按照预设的传输协议,将第二证书请求指令发送至安全工具。安全工具对接收到的第二证书请求指令进行解析,得到包含第二参数值、网管服务器的标识、第二密码设备的标识等信息的解析结果,并将第二证书请求指令发送至证书颁发设备。证书颁发设备在收到第二证书请求指令后,也可以对第二证书请求指令进行解析,得到第二参数值、网管服务器的标识、第二密码设备的标识等信息,并对第二参数值、网管服务器的标识、第二密码设备的标识等信息中的至少一项进行核实。在核实通过后,生成网管签名证书和网管加密证书。再将网管签名证书和网管加密证书发送至安全工具。安全工具再将网管签名证书和网管加密证书返回至网管服务器。
需要说明的是,证书颁发设备还可以为网管服务器生成加密公私钥对,并将加密公私钥对中的加密私钥和根证书与网管签名证书和网管加密证书一起发送至安全工具,再由安全工具转发至网管服务器。
当网管服务器拥有了网管签名证书和网管加密证书之后,相当于网管服务器在视联网内拥有了合法的身份。
在本发明的一种示例性实施例中,在执行上述步骤301时,可以调用网管服务器中的认证响应接口对登录请求信息中携带的终端加密证书进行验证操作得到验证结果。即调用认证响应接口获取终端合法的终端加密证书,将合法的终端加密证书与登录请求信息中携带的终端加密证书进行比对。若二者相同,则表示终端合法;若二者不相同,则表示终端不合法。当终端合法,即在验证结果表示登录请求信息中携带的终端加密证书合法的情况下,在数据中查询是否存在登录请求信息中携带的用户名。若存在,则检测结果表示登录请求信息合法;若不存在,则检测结果表示登录请求信息不合法。
在本发明的一种示例性实施例中,在执行上述步骤302时,可以调用网管中间件生成网管随机数,并从密钥管理服务器获取对称密钥,根据网管签名证书对网管随机数、终端随机数和对称密钥进行签名操作得到网管签名数据。然后,将网管随机数、网管签名数据和网管签名证书共同作为登录挑战信息。
在本发明的一种示例性实施例中,在执行上述步骤303时,可以调用网管中间件对终端签名数据进行验签操作得到终端验签结果,并在终端验签结果表示终端合法的情况下,对加密数据进行解密操作得到密码。其中,在对终端签名数据进行验签操作时,可以根据终端签名证书对终端签名数据进行验签操作,得到终端签名数据中携带的网管随机数,再将终端签名数据中携带的网管随机数与上述步骤302中生成的网管随机数进行比对,若二者相同,则表示终端合法。即终端验签结果表示终端合法。若二者不相同,则表示终端不合法。即终端验签结果表示终端不合法。再对加密数据进行解密操作时,可以根据上述步骤302中获取的对称密钥对加密数据进行解密得到密码,进而将解密得到的密钥与数据库中存储的与用户名对应的密钥进行比对,若二者相同,则允许登录;若二者不相同,则禁止登录。
基于上述关于一种登录认证方法的相关说明,下面介绍一种基于视联网的用户登录认证方案。如图4所示,图4示出了一种基于视联网的用户登录认证方案的框架示意图。该用户登录认证方案涉及到视联网中的终端和服务器。终端向服务器发送携带有用户名等信息的登录请求信息,服务器接收到登录请求信息之后,对登录请求信息进行认证,若认证通过,则获取对称密钥s1,并对对称密钥s1加密生成密文EA,将密文EA携带在登录挑战信息中发送至终端。终端对密文EA进行解密操作得到对称密钥s1,并利用对称密钥s1将密码加密,将加密后的密码携带在登录应答信息中发送至服务器。服务器解密得到密码,并将数据库中存储的与用户名对应的密码进行比对,若二者一致,则允许终端的用户登录;若二者不一致,则禁止终端的用户登录。
如图5所示,图5示出了一种基于视联网的用户登录认证方案的执行流程示意图。该用户登录认证方案中的服务器可以为网管服务器,网管服务器通过加密卡与密钥管理服务器通信,并在初始状态通过加密卡从密钥管理服务器获取对称密钥。网管服务器还可以与网管数据库通信,网管数据库中可以存储已经注册的用户名和对应的密码。终端可以包含三个,分别为客户端1、客户端2和客户端3。每个客户端上分别接入各自的密码设备。在初始状态下,证书颁发设备分别为三个终端和网管服务器颁发对应的签名证书和加密证书。终端的签名证书和加密证书可以存储在各自的密码设备中,网管服务器的签名证书和加密证书可以存储在加密卡中。
终端先从接入的密码设备中获取密码设备的序列号,并将用户名、终端随机数、终端签名证书和序列号进行加密后发送至网管服务器。网管服务器接收到终端发送的密文,对密文进行解密得到终端签名证书,并将网管随机数、网管签名证书等加密后发送至终端。终端接收到网管服务器发送的密文,对密文进行解密得到网管签名证书,并将密码进行加密后发送至网管服务器。网管服务器解密得到密码后,将解密得到的密码与网管数据库中存储的密码进行比对,如果二者相同,则允许终端上用户登录;如果二者不相同,则禁止终端上用户登录。
如图6所示,图6示出了一种基于视联网的用户登录认证方案中终端与服务器的结构示意图。终端中可以包含用户认证的请求接口、用户认证客户端接口、密码中间件和密码运算库。在终端内,密码中间件可以分别与密码运算库、用户认证的请求接口和用户认证的客户端接口通信。服务器可以包含用户认证的响应接口、用户认证的确认接口、密码中间件、密码运算库和数据库。在服务器内,密码中间件可以分别与密码运算库、用户认证的响应接口和用户认证的确认接口通信。数据库可以分别与用户认证的响应接口、用户认证的确认接口通信。终端可以基于用户认证的请求接口生成登录请求信息,并发送至服务器。服务器可以基于用户认证的响应接口和数据库对登录请求信息进行认证,并生成登录挑战信息,发送登录请求信息至终端。终端可以基于用户认证的客户端接口对登录挑战信息进行认证,并生成登录应答信息,发送登录应答信息至服务器。服务器可以基于用户认证的确认接口对登录应答信息进行认证,并返回登录结果至终端。
本发明实施例提供了一种登录认证方案,在终端侧,生成并发送登录请求信息至网管服务器,该登录请求信息中可以包含用户的用户名和终端随机数。网管服务器接收到登录请求信息之后,向终端返回登录挑战信息。该登录挑战信息可以包含网管随机数、网管签名数据和网管签名证书。在终端侧,可以根据登录挑战信息中的网管签名证书对登录挑战信息中的网管签名数据进行验签操作得到网管验签结果。该网管验签结果可以表示网管服务器是否合法。在网管验签结果表示网管服务器合法的情况下,生成并发送登录应答信息至网管服务器。该登录应答信息可以包含终端签名数据和加密数据。其中,终端签名数据可以包含用户在终端上输入的密码、网管随机数和终端随机数。加密数据可以包含用户名、密码、网管随机数和终端随机数。网管服务器接收到登录应答信息之后,可以对登录应答信息进行验证,从而生成并返回登录结果至终端。该登录结果可以表示允许用户登录或禁止用户登录。
本发明实施例在对终端上的用户登录进行认证时,不仅仅由网管服务器对终端上的用户进行认证,终端还需要对网管服务器是否合法进行认证,从而提高了用户登录认证的安全性。
在初始状态下,可以通过终端和/或网管服务器的密码设备,以及,安全工具和证书颁发设备为终端和/或网管服务器颁发各自对应的签名证书和加密证书。在终端和/或网管服务器获取到各自的签名证书和加密证书之后,终端和/或网管服务器在视联网内具有合法的身份。
需要说明的是,对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明实施例并不受所描述的动作顺序的限制,因为依据本发明实施例,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作并不一定是本发明实施例所必须的。
参照图7,示出了本发明的一种登录认证装置实施例的结构框图,该装置可以应用于终端中,该装置具体可以包括如下模块:
请求模块71,用于生成并发送登录请求信息至网管服务器,所述登录请求信息包含用户名和终端随机数;
接收模块72,用于接收所述网管服务器根据所述登录请求信息返回的登录挑战信息,所述登录挑战信息包含网管随机数、网管签名数据和网管签名证书;
应答模块73,用于根据所述网管签名证书对所述网管签名数据进行验签操作得到网管验签结果,并在所述网管验签结果表示所述网管服务器合法的情况下,生成并发送登录应答信息至所述网管服务器,所述登录应答信息包含终端签名数据和加密数据,所述终端签名数据包含密码、所述网管随机数和所述终端随机数,所述加密数据包含所述用户名、所述密码、所述网管随机数和所述终端随机数;
所述接收模块72,还用于接收所述网管服务器根据所述登录应答信息返回的登录结果,所述登录结果表示允许登录或禁止登录。
在本发明的一种示例性实施例中,所述请求模块71,用于调用终端中间件生成所述终端随机数,并根据所述用户名、所述终端随机数和预先获得的终端加密证书生成所述登录请求信息。
在本发明的一种示例性实施例中,所述登录挑战信息还包含对称密钥,所述应答模块73,用于根据预先获得的终端签名证书对所述密码、所述网管随机数和所述终端随机数进行签名操作得到所述终端签名数据,并根据所述对称密钥对所述用户名、所述密码、所述网管随机数和所述终端随机数进行加密操作得到所述加密数据;将所述终端签名数据和所述加密数据作为所述登录应答信息。
在本发明的一种示例性实施例中,所述终端上配置有第一密码设备,所述第一密码设备通过安全工具与证书颁发设备进行通信,所述装置还包括:
第一设置模块,用于在所述请求模块71生成并发送登录请求信息至网管服务器之前,按照预设的第一参数值对所述第一密码设备进行设置;
第一生成模块,用于基于所述第一密码设备并根据所述第一参数值生成第一证书请求指令,发送所述第一证书请求指令至所述安全工具,所述安全工具用于对所述第一证书请求指令进行解析得到解析结果,并按照所述解析结果发送所述第一证书请求指令至所述证书颁发设备,所述证书颁发设备用于根据所述第一证书请求指令生成并返回所述终端签名证书和所述终端加密证书至所述安全工具;
所述接收模块72,还用于接收所述安全工具返回的所述终端签名证书和所述终端加密证书。
参照图8,示出了本发明的另一种登录认证装置实施例的结构框图,该装置可以应用于网管服务器中,该装置具体可以包括如下模块:
检测模块81,用于接收来自终端的登录请求信息,并对所述登录请求信息进行检测操作得到检测结果,所述登录请求信息包含用户名和终端随机数;
挑战模块82,用于在所述检测结果表示所述登录请求信息合法的情况下,生成并发送登录挑战信息至所述终端,所述登录挑战信息包含网管随机数、网管签名数据和网管签名证书;
认证模块83,用于接收所述终端根据所述登录挑战信息返回的登录应答信息,并根据所述登录应答信息对所述终端进行登录认证操作得到登录结果,返回所述登录结果至所述终端,所述登录应答信息包含终端签名数据和加密数据,所述终端签名数据包含密码、所述网管随机数和所述终端随机数,所述加密数据包含所述用户名、所述密码、所述网管随机数和所述终端随机数,所述登录结果表示允许登录或禁止登录。
在本发明的一种示例性实施例中,所述登录请求信息还包含终端加密证书,所述检测模块81,用于调用认证响应接口对所述终端加密证书进行验证操作得到验证结果,在所述验证结果表示所述终端加密证书合法的情况下,在数据库中查询是否存在所述用户名。
在本发明的一种示例性实施例中,所述挑战模块82,用于调用网管中间件生成所述网管随机数,并从密钥管理服务器获取对称密钥;根据所述网管签名证书对所述网管随机数、所述终端随机数和所述对称密钥进行签名操作得到所述网管签名数据;将所述网管随机数、所述网管签名数据和所述网管签名证书作为所述登录挑战信息。
在本发明的一种示例性实施例中,所述认证模块83,用于调用所述网管中间件对所述终端签名数据进行验签操作得到终端验签结果,并在所述终端验签结果表示所述终端合法的情况下,对所述加密数据进行解密操作得到所述密码;将所述密码与数据库中存储的所述用户名对应的密码进行比对。
在本发明的一种示例性实施例中,所述服务器端上配置有第二密码设备,所述第二密码设备通过安全工具与证书颁发设备进行通信,所述装置还包括:
第二设置模块,用于在所述检测模块81接收来自终端的登录请求信息之前,按照预设的第二参数值对所述第二密码设备进行设置;
第二生成模块,用于基于所述第二密码设备并根据所述第二参数值生成第二证书请求指令,发送所述第二证书请求指令至所述安全工具,所述安全工具用于对所述第二证书请求指令进行解析得到解析结果,并按照所述解析结果发送所述第二证书请求指令至所述证书颁发设备,所述证书颁发设备用于根据所述第二证书请求指令生成并返回所述网管签名证书和网管加密证书至所述安全工具;
接收模块,用于接收所述安全工具返回的所述网管签名证书和所述网管加密证书。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本发明实施例还提供了一种登录认证***,包括终端和服务器,其中,终端可以包含如图7所述的登录认证装置,服务器可以包含如图8所述的登录认证装置。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本领域内的技术人员应明白,本发明实施例的实施例可提供为方法、装置、或计算机程序产品。因此,本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明实施例是参照根据本发明实施例的方法、终端设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上,使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明实施例的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明实施例范围的所有变更和修改。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。
以上对本发明所提供的一种登录认证方法、装置、***和存储介质,进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。

Claims (14)

1.一种登录认证方法,其特征在于,应用于终端,所述方法包括:
生成并发送登录请求信息至网管服务器,所述登录请求信息包含用户名和终端随机数;
接收所述网管服务器根据所述登录请求信息返回的登录挑战信息,所述登录挑战信息包含网管随机数、网管签名数据和网管签名证书;
根据所述网管签名证书对所述网管签名数据进行验签操作得到网管验签结果,并在所述网管验签结果表示所述网管服务器合法的情况下,生成并发送登录应答信息至所述网管服务器,所述登录应答信息包含终端签名数据和加密数据,所述终端签名数据包含密码、所述网管随机数和所述终端随机数,所述加密数据包含所述用户名、所述密码、所述网管随机数和所述终端随机数;
接收所述网管服务器根据所述登录应答信息返回的登录结果,所述登录结果表示允许登录或禁止登录;
所述终端签名数据通过终端签名证书生成;所述登录请求信息通过终端加密证书生成;所述终端上配置有第一密码设备,所述第一密码设备通过安全工具与证书颁发设备进行通信,在所述生成并发送登录请求信息至网管服务器之前,所述方法还包括:
按照预设的第一参数值对所述第一密码设备进行设置;
基于所述第一密码设备并根据所述第一参数值生成第一证书请求指令,发送所述第一证书请求指令至所述安全工具,所述安全工具用于对所述第一证书请求指令进行解析得到解析结果,并按照所述解析结果发送所述第一证书请求指令至所述证书颁发设备,所述证书颁发设备用于根据所述第一证书请求指令生成并返回所述终端签名证书和所述终端加密证书至所述安全工具;
接收所述安全工具返回的所述终端签名证书和所述终端加密证书。
2.根据权利要求1所述的方法,其特征在于,所述生成登录请求信息,包括:
调用终端中间件生成所述终端随机数,并根据所述用户名、所述终端随机数和预先获得的终端加密证书生成所述登录请求信息。
3.根据权利要求2所述的方法,其特征在于,所述登录挑战信息还包含对称密钥,所述生成登录应答信息,包括:
根据预先获得的终端签名证书对所述密码、所述网管随机数和所述终端随机数进行签名操作得到所述终端签名数据,并根据所述对称密钥对所述用户名、所述密码、所述网管随机数和所述终端随机数进行加密操作得到所述加密数据;
将所述终端签名数据和所述加密数据作为所述登录应答信息。
4.一种登录认证方法,其特征在于,应用于网管服务器,所述方法包括:
接收来自终端的登录请求信息,并对所述登录请求信息进行检测操作得到检测结果,所述登录请求信息包含用户名和终端随机数;
在所述检测结果表示所述登录请求信息合法的情况下,生成并发送登录挑战信息至所述终端,所述登录挑战信息包含网管随机数、网管签名数据和网管签名证书;
接收所述终端根据所述登录挑战信息返回的登录应答信息,并根据所述登录应答信息对所述终端进行登录认证操作得到登录结果,返回所述登录结果至所述终端,所述登录应答信息包含终端签名数据和加密数据,所述终端签名数据包含密码、所述网管随机数和所述终端随机数,所述加密数据包含所述用户名、所述密码、所述网管随机数和所述终端随机数,所述登录结果表示允许登录或禁止登录;
所述服务器端上配置有第二密码设备,所述第二密码设备通过安全工具与证书颁发设备进行通信,在所述接收来自终端的登录请求信息之前,所述方法还包括:
按照预设的第二参数值对所述第二密码设备进行设置;
基于所述第二密码设备并根据所述第二参数值生成第二证书请求指令,发送所述第二证书请求指令至所述安全工具,所述安全工具用于对所述第二证书请求指令进行解析得到解析结果,并按照所述解析结果发送所述第二证书请求指令至所述证书颁发设备,所述证书颁发设备用于根据所述第二证书请求指令生成并返回所述网管签名证书和网管加密证书至所述安全工具;
接收所述安全工具返回的所述网管签名证书和所述网管加密证书。
5.根据权利要求4所述的方法,其特征在于,所述登录请求信息还包含终端加密证书,所述对所述登录请求信息进行检测操作,包括:
调用认证响应接口对所述终端加密证书进行验证操作得到验证结果,在所述验证结果表示所述终端加密证书合法的情况下,在数据库中查询是否存在所述用户名。
6.根据权利要求4所述的方法,其特征在于,所述生成登录挑战信息,包括:
调用网管中间件生成所述网管随机数,并从密钥管理服务器获取对称密钥;
根据所述网管签名证书对所述网管随机数、所述终端随机数和所述对称密钥进行签名操作得到所述网管签名数据;
将所述网管随机数、所述网管签名数据和所述网管签名证书作为所述登录挑战信息。
7.根据权利要求6所述的方法,其特征在于,所述根据所述登录应答信息对所述终端进行登录认证操作,包括:
调用所述网管中间件对所述终端签名数据进行验签操作得到终端验签结果,并在所述终端验签结果表示所述终端合法的情况下,对所述加密数据进行解密操作得到所述密码;
将所述密码与数据库中存储的所述用户名对应的密码进行比对。
8.一种登录认证装置,其特征在于,应用于终端,所述装置包括:
请求模块,用于生成并发送登录请求信息至网管服务器,所述登录请求信息包含用户名和终端随机数;
接收模块,用于接收所述网管服务器根据所述登录请求信息返回的登录挑战信息,所述登录挑战信息包含网管随机数、网管签名数据和网管签名证书;
应答模块,用于根据所述网管签名证书对所述网管签名数据进行验签操作得到网管验签结果,并在所述网管验签结果表示所述网管服务器合法的情况下,生成并发送登录应答信息至所述网管服务器,所述登录应答信息包含终端签名数据和加密数据,所述终端签名数据包含密码、所述网管随机数和所述终端随机数,所述加密数据包含所述用户名、所述密码、所述网管随机数和所述终端随机数;
所述接收模块,还用于接收所述网管服务器根据所述登录应答信息返回的登录结果,所述登录结果表示允许登录或禁止登录;
所述终端签名数据通过终端签名证书生成;所述登录请求信息通过终端加密证书生成;所述终端上配置有第一密码设备,所述第一密码设备通过安全工具与证书颁发设备进行通信,所述装置还包括:第一设置模块,用于在所述请求模块生成并发送登录请求信息至网管服务器之前,按照预设的第一参数值对所述第一密码设备进行设置;第一生成模块,用于基于所述第一密码设备并根据所述第一参数值生成第一证书请求指令,发送所述第一证书请求指令至所述安全工具,所述安全工具用于对所述第一证书请求指令进行解析得到解析结果,并按照所述解析结果发送所述第一证书请求指令至所述证书颁发设备,所述证书颁发设备用于根据所述第一证书请求指令生成并返回所述终端签名证书和所述终端加密证书至所述安全工具;所述接收模块,还用于接收所述安全工具返回的所述终端签名证书和所述终端加密证书。
9.根据权利要求8所述的装置,其特征在于,所述请求模块,用于调用终端中间件生成所述终端随机数,并根据所述用户名、所述终端随机数和预先获得的终端加密证书生成所述登录请求信息。
10.一种登录认证装置,其特征在于,应用于网管服务器,所述装置包括:
检测模块,用于接收来自终端的登录请求信息,并对所述登录请求信息进行检测操作得到检测结果,所述登录请求信息包含用户名和终端随机数;
挑战模块,用于在所述检测结果表示所述登录请求信息合法的情况下,生成并发送登录挑战信息至所述终端,所述登录挑战信息包含网管随机数、网管签名数据和网管签名证书;
认证模块,用于接收所述终端根据所述登录挑战信息返回的登录应答信息,并根据所述登录应答信息对所述终端进行登录认证操作得到登录结果,返回所述登录结果至所述终端,所述登录应答信息包含终端签名数据和加密数据,所述终端签名数据包含密码、所述网管随机数和所述终端随机数,所述加密数据包含所述用户名、所述密码、所述网管随机数和所述终端随机数,所述登录结果表示允许登录或禁止登录;所述服务器端上配置有第二密码设备,所述第二密码设备通过安全工具与证书颁发设备进行通信,所述装置还包括:第二设置模块,用于在所述检测模块接收来自终端的登录请求信息之前,按照预设的第二参数值对所述第二密码设备进行设置;第二生成模块,用于基于所述第二密码设备并根据所述第二参数值生成第二证书请求指令,发送所述第二证书请求指令至所述安全工具,所述安全工具用于对所述第二证书请求指令进行解析得到解析结果,并按照所述解析结果发送所述第二证书请求指令至所述证书颁发设备,所述证书颁发设备用于根据所述第二证书请求指令生成并返回所述网管签名证书和网管加密证书至所述安全工具;接收模块,用于接收所述安全工具返回的所述网管签名证书和所述网管加密证书。
11.根据权利要求10所述的装置,其特征在于,所述登录请求信息还包含终端加密证书,所述检测模块,用于调用认证响应接口对所述终端加密证书进行验证操作得到验证结果,在所述验证结果表示所述终端加密证书合法的情况下,在数据库中查询是否存在所述用户名。
12.一种登录认证***,其特征在于,包括终端和服务器,其中,所述终端包含如权利要求8或9所述的装置,所述服务器包含如权利要求10或11所述的装置。
13.一种装置,其特征在于,包括:
一个或多个处理器;和
其上存储有指令的一个或多个机器可读介质,当由所述一个或多个处理器执行时,使得所述装置执行如权利要求1至3中任一项所述的方法,或者,使得所述装置执行如权利要求4至7中任一项所述的方法。
14.一种计算机可读存储介质,其特征在于,其存储的计算机程序使得处理器执行如权利要求1至3中任一项所述的方法,或者,使得所述处理器执行如权利要求4至7中任一项所述的方法。
CN202010438333.8A 2020-05-21 2020-05-21 一种登录认证方法、装置、***和存储介质 Active CN111800378B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010438333.8A CN111800378B (zh) 2020-05-21 2020-05-21 一种登录认证方法、装置、***和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010438333.8A CN111800378B (zh) 2020-05-21 2020-05-21 一种登录认证方法、装置、***和存储介质

Publications (2)

Publication Number Publication Date
CN111800378A CN111800378A (zh) 2020-10-20
CN111800378B true CN111800378B (zh) 2023-08-11

Family

ID=72806128

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010438333.8A Active CN111800378B (zh) 2020-05-21 2020-05-21 一种登录认证方法、装置、***和存储介质

Country Status (1)

Country Link
CN (1) CN111800378B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114598481B (zh) * 2020-11-19 2024-05-31 卫宁健康科技集团股份有限公司 一种授权认证方法、装置、电子设备及存储介质
CN112291072B (zh) * 2020-12-28 2021-03-26 视联动力信息技术股份有限公司 基于管理面协议的安全视频通信方法、装置、设备及介质
CN112966242A (zh) * 2021-03-29 2021-06-15 成都卫士通信息产业股份有限公司 一种用户名口令认证方法、装置、设备及可读存储介质
CN114339742B (zh) * 2021-12-27 2023-10-31 深圳市国电科技通信有限公司 基于安全芯片的离线ssh登录认证方法、装置及终端
CN114866409B (zh) * 2022-04-27 2024-03-26 阿里巴巴(中国)有限公司 基于密码加速硬件的密码加速方法及装置
CN117424709B (zh) * 2023-12-19 2024-04-05 鼎铉商用密码测评技术(深圳)有限公司 终端设备的登录方法、设备以及可读存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110474898A (zh) * 2019-08-07 2019-11-19 北京明朝万达科技股份有限公司 数据加解密和密钥分布方法、装置、设备及可读存储介质
CN111147471A (zh) * 2019-12-20 2020-05-12 视联动力信息技术股份有限公司 一种终端入网认证方法、装置、***和存储介质

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104065616B (zh) * 2013-03-20 2017-06-20 ***通信集团公司 单点登录方法和***
CN108880822B (zh) * 2018-06-29 2021-06-29 郑州云海信息技术有限公司 一种身份认证方法、装置、***及一种智能无线设备
CN110661784B (zh) * 2019-08-28 2022-03-25 视联动力信息技术股份有限公司 一种用户的认证方法、装置和存储介质

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110474898A (zh) * 2019-08-07 2019-11-19 北京明朝万达科技股份有限公司 数据加解密和密钥分布方法、装置、设备及可读存储介质
CN111147471A (zh) * 2019-12-20 2020-05-12 视联动力信息技术股份有限公司 一种终端入网认证方法、装置、***和存储介质

Also Published As

Publication number Publication date
CN111800378A (zh) 2020-10-20

Similar Documents

Publication Publication Date Title
CN111800378B (zh) 一种登录认证方法、装置、***和存储介质
CN108964885B (zh) 鉴权方法、装置、***和存储介质
CN111901346B (zh) 一种身份认证***
US20030208681A1 (en) Enforcing file authorization access
CN106302606B (zh) 一种跨应用访问方法及装置
IL189131A (en) Distributed single sign-on service
CN112491881A (zh) 跨平台单点登录方法、***、电子设备及存储介质
KR20130084315A (ko) 신뢰성 있는 제 3자를 기반으로 한 양방향 엔티티 인증 방법
US9398024B2 (en) System and method for reliably authenticating an appliance
CN114900338A (zh) 一种加密解密方法、装置、设备和介质
CN110175448B (zh) 一种可信设备登录认证方法及具有认证功能的应用***
CN111030814A (zh) 秘钥协商方法及装置
KR101631635B1 (ko) 아이덴티티 인증을 위한 방법, 디바이스 및 시스템
CN113010874A (zh) 登录认证方法、装置、电子设备及计算机可读存储介质
CN111786996B (zh) 一种跨域同步登录态的方法、装置及跨域同步登录***
CN115277168A (zh) 一种访问服务器的方法以及装置、***
CN110891065A (zh) 一种基于Token的用户身份辅助加密的方法
CN111399980A (zh) 容器编排器的安全认证方法、装置及***
CN113505353A (zh) 一种认证方法、装置、设备和存储介质
JP2009003501A (ja) ワンタイムパスワード認証システム
CN112261103A (zh) 一种节点接入方法及相关设备
CN114036490B (zh) 外挂软件接口调用安全认证方法、USBKey驱动装置及认证***
WO2017219886A1 (zh) 一种简单网络协议认证方法及装置
CN112822217A (zh) 一种服务器访问方法、装置、设备和存储介质
JP4219076B2 (ja) 電子文書管理方法、電子文書管理システム及び記録媒体

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant