CN112511563A - 一种云端用户在终端设备登录的方法 - Google Patents

一种云端用户在终端设备登录的方法 Download PDF

Info

Publication number
CN112511563A
CN112511563A CN202011532395.1A CN202011532395A CN112511563A CN 112511563 A CN112511563 A CN 112511563A CN 202011532395 A CN202011532395 A CN 202011532395A CN 112511563 A CN112511563 A CN 112511563A
Authority
CN
China
Prior art keywords
token
cloud
user
security token
terminal equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202011532395.1A
Other languages
English (en)
Inventor
康钟荣
谌烜
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sichuan Changhong Electric Co Ltd
Original Assignee
Sichuan Changhong Electric Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sichuan Changhong Electric Co Ltd filed Critical Sichuan Changhong Electric Co Ltd
Priority to CN202011532395.1A priority Critical patent/CN112511563A/zh
Publication of CN112511563A publication Critical patent/CN112511563A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明公开了一种云端用户在终端设备登录的方法,终端设备向云端发起登录请求;云端创建安全令牌和关联令牌;云端向数据库发起创建令牌缓存池的请求;云端将创建的安全令牌返回终端设备;终端设备向云端发送业务请求并上报安全令牌;云端对上报的安排令牌进行合法性校验,并根据校验结果,返回重新发送登录请求、返回关联令牌或触发终端设备锁定机制。本发明为云端用户维护一个令牌缓存池,并设置在令牌缓存池中的区域;并对令牌缓存池进行维护;在终端设备发起业务请求后,依据令牌缓存池对其携带用户安全令牌进行校验,对安全令牌的有效期、身份合法性做出判定,维护了云端用户在同一个终端设备上业务处理的安全可靠性,降低了用户的风险。

Description

一种云端用户在终端设备登录的方法
技术领域
本发明涉及网络安全技术领域,具体的说,是一种云端用户在终端设备登录的方法。
背景技术
在物联网技术和互联网云服务的联合推动下,终端设备越来越趋于智能化。在与云端实现数据交互的过程中,终端设备需要一个合法的身份,即云端用户,而维护云端用户的合法性是终端设备与云端共同面临的问题。在这种情况下,用户身份拥有了云端和设备的双重属性,也面临着相对复杂的技术难题,最突出的就是安全性以及云端用户与设备的通信交互。从业务层面考虑,实现云端用户在终端设备的安全登录,可以避免业务数据的紊乱与冲突;从用户信息安全与用户信息唯一性的层面考虑,用户需要对其在多个设备的登录进行限制,以保障其用户信息的安全性以及业务操作的合法性。现有技术中尚没有一种能够满足云端用户在终端设备安全登录与业务操作的安全高效的登录方法。
发明内容
本发明的目的在于提供一种云端用户在终端设备登录的方法,用于解决现有技术中没有一种能够满足云端用户在终端设备的登录安全和业务操作的安全高效登录方法的问题。
本发明通过下述技术方案解决上述问题:
一种云端用户在终端设备登录的方法,包括:
步骤S100:终端设备向云端发起登录请求,登录请求中包括设备SN号、用户账号和密码;
步骤S200:云端对登录请求中用户名、设备SN和密码的合法性进行校验,校验通过后,查询对应的用户信息并根据用户信息创建安全令牌和关联令牌,并根据用户信息判断是否首次登录,如果是,则进入步骤S300;否则进入步骤S400;
步骤S300:云端向数据库发起创建令牌缓存池的请求,令牌缓存池用于存储安全令牌、关联令牌、安全令牌与关联令牌的对应关系以及安全令牌与终端设备的业务标识及用户名的对应关系;数据库创建令牌缓存池,并将云端首次登陆创建的安全令牌和关联令牌推入到令牌缓存池中的安全令牌区域;云端将创建的安全令牌返回终端设备;
步骤S400:根据登录请求中的设备SN号判断用户账号是否在短期内在多个不同终端设备登录,若是,根据终端设备信息生成拦截令牌,并存储到令牌缓存池中的拦截令牌区域;否则,更新令牌缓存池中的安全令牌为本次创建的安全令牌,将上次登录时创建的安全令牌写入无效令牌队列,并向终端设备返回安全令牌;
步骤S500:终端设备向云端发送业务请求并上报安全令牌;云端对上报的安排令牌进行合法性校验,并根据校验结果,返回重新发送登录请求、返回关联令牌或触发终端设备锁定机制。
所述安全令牌为对隐藏信息加密后得到的BASE64标准字符串,隐藏信息包括加密密码报文和安全令牌有效时间。
所述关联令牌为对用户信息加密后得到的BASE64标准字符串,用户信息包括云端用户名称、云端用户类型、设备SN以及与终端设备业务相关的云端用户信息。
所述安全令牌与关联令牌是一一对应关系且有效时间相同。
所述步骤S500中的合法性校验具体为:
云端拦截终端设备上报的安全令牌,根据用户账号查询出令牌缓存池中该用户的安全令牌、拦截令牌和无效令牌;
若令牌缓存池中该用户的安全令牌为空,则向终端设备返回安全令牌失效信息,提醒云端用户重新发起登录请求;
若令牌缓存池中该用户的安全令牌不为空,则将令牌缓存池中该用户的安全令牌与上报的安全令牌进行比对,若匹配,则校验通过,为终端设备的业务请求放开限制,并获取安全令牌的关联令牌,为业务请求提供帮助;否则判断上报的安全令牌是否在令牌缓存池的拦截令牌中,若在,触发终端设备锁定机制,否则向终端设备返回安全令牌失效信息,提醒云端用户重新发起登录请求。
本发明与现有技术相比,具有以下优点及有益效果:
本发明为在终端设备登录的云端用户维护一个令牌缓存池,并规定安全令牌、拦截令牌、无效令牌在令牌缓存池中的区域,拦截令牌即非法令牌,无效令牌即过期令牌,相同的云端用户账号在不同终端设备上登录,将对令牌缓存池进行维护,更新相应的安全令牌与拦截令牌区域;在终端设备发起业务请求后,依据令牌缓存池对其携带用户安全令牌进行校验,对安全令牌的有效期、身份合法性做出判定,并对云端用户账户在不同终端设备的登录设置限定规则,维护了云端用户在同一个终端设备上业务处理的安全可靠性,降低了用户的风险,同时也使得终端设备在互联网安全机制上更具智能化。
附图说明
图1为本发明的流程图;
图2为本发明中令牌缓存池的分区存储令牌的示意图。
具体实施方式
下面结合实施例对本发明作进一步地详细说明,但本发明的实施方式不限于此。
实施例:
结合图1和图2所示,一种云端用户在终端设备登录的方法,包括以下步骤:
步骤S101、云端用户在终端设备第一次发起登录请求,云端创建并初始化令牌缓存池,创建安全令牌推入区域1,同时创建该安全令牌的关联令牌(关联令牌1),终端设备根据键入的用户名、密码、设备SN号,向云端发起登录请求;云端拦截终端设备上报的用户信息,在用户名、SN号等校验通过后,校验密码的合法性;若密码非法,则向终端设备返回密码错误的提示报文;若密码合法,则获取用必要的基础数据;根据基础的必要数据,创建安全令牌与关联令牌;将带有终端设备SN号与云端用户名拼接作为键,以安全令牌作为值向noSql数据库发起创建令牌缓存池与初始化令牌缓存池请求,然后以安全令牌作为键,以关联令牌为值,缓存关联令牌;将上述所创建的最新的安全令牌以及终端设备业务所需的其他云端用户数据以报文返回给终端设备。
S102、云端用户在终端设备非首次登陆时,对令牌缓存池的各类型令牌进行维护,对于同一个云端用户账号,分为同一设备与不同设备登录两种维护模式。首先根据终端设备上报的登录报文中的设备SN号进行解析,并从用户上一次登录创建的安全令牌中解析出设备SN号,将这两个设备SN进行比对,若匹配成功则按相同终端设备模式维护令牌缓存池,匹配不成功则触发不同终端设备模式,并维护相应的令牌缓存池。
相同终端设备模式:将令牌缓存池中的安全令牌替换为本次登录所创建用户安全令牌,同时存储安全令牌对应的关联令牌,并向终端设备返回登录报文;
多个终端设备模式,设备SN号匹配失败时,将令牌缓存池中安全令牌替换为本次登录所创建用户安全令牌,并将上次登录的创建安全令牌推入到令牌缓存池中的区域3,即无效令牌的位置,向终端设备返回包含本次所创建安全令牌的登录报文;若短时间内,出现同一云端用户在多个设备上连续登录,视为恶意操作,触发云端用户和终端设备的保护机制,将所有非法登录拦截别记录到区域2即拦截令牌的位置,将这些终端设备的登录与业务请求拦截在整个***与服务的最外层。
以下为业务请求的令牌校验,不涉及令牌缓存池的维护,具体如下:
S103、终端设备携带最近一次登录获得的安全令牌,向云端发起业务请求,等待云端响应报文。
S104、云端拦截终端设备发起的业务请求,校验本次业务请求中所携带安全令牌的合法性与有效性,首先将请求的安全令牌与令牌缓存池的区域1中的安全令牌进行比对,比对成功则校验通过,本次业务请求进入核心业务逻辑;比对失败则将请求中的安全令牌与令牌缓存池的区域3中的无效令牌进行比对,若比对成功则本次请求所携带的令牌已过期,向终端设备返回登录已过期的报文并提示其重新登录;比对失败则将请求中的安全令牌与令牌缓存池的区域2中的拦截令牌进行比对,匹配成功则终端设备返回令牌为恶意令牌、该设备限制登录、警告本次业务请求非法;比对失败则判定本次业务请求携带的安全令牌为错误令牌,或不符合约定规则的令牌,向终端设备返回报文并提醒其重新确认云端用户名密码等信息并重新登录。
S105、终端设备获取云端返回的业务响应报文,根据约定的协议规范解析报文内容,触发终端设备的后续业务操作。
尽管这里参照本发明的解释性实施例对本发明进行了描述,上述实施例仅为本发明较佳的实施方式,本发明的实施方式并不受上述实施例的限制,应该理解,本领域技术人员可以设计出很多其他的修改和实施方式,这些修改和实施方式将落在本申请公开的原则范围和精神之内。

Claims (5)

1.一种云端用户在终端设备登录的方法,其特征在于,包括:
步骤S100:终端设备向云端发起登录请求,登录请求中包括设备SN号、用户账号和密码;
步骤S200:云端对登录请求中用户名、设备SN和密码的合法性进行校验,校验通过后,查询对应的用户信息并根据用户信息创建安全令牌和关联令牌,并根据用户信息判断是否首次登录,如果是,则进入步骤S300;否则进入步骤S400;
步骤S300:云端向数据库发起创建令牌缓存池的请求,令牌缓存池用于存储安全令牌、关联令牌、安全令牌与关联令牌的对应关系以及安全令牌与终端设备的业务标识及用户名的对应关系;数据库创建令牌缓存池,并将云端首次登陆创建的安全令牌和关联令牌推入到令牌缓存池中的安全令牌区域;云端将创建的安全令牌返回终端设备;
步骤S400:根据登录请求中的设备SN号判断用户账号是否在短期内在多个不同终端设备登录,若是,根据终端设备信息生成拦截令牌,并存储到令牌缓存池中的拦截令牌区域;否则,更新令牌缓存池中的安全令牌为本次创建的安全令牌,将上次登录时创建的安全令牌写入无效令牌队列,并向终端设备返回安全令牌;
步骤S500:终端设备向云端发送业务请求并上报安全令牌;云端对上报的安排令牌进行合法性校验,并根据校验结果,返回重新发送登录请求、返回关联令牌或触发终端设备锁定机制。
2.根据权利要求1所述的一种云端用户在终端设备登录的方法,其特征在于,所述安全令牌为对隐藏信息加密后得到的BASE64标准字符串,隐藏信息包括加密密码报文和安全令牌有效时间。
3.根据权利要求1所述的一种云端用户在终端设备登录的方法,其特征在于,所述关联令牌为对用户信息加密后得到的BASE64标准字符串,用户信息包括云端用户名称、云端用户类型、设备SN以及与终端设备业务相关的云端用户信息。
4.根据权利要求1所述的一种云端用户在终端设备登录的方法,其特征在于,所述安全令牌与关联令牌是一一对应关系且有效时间相同。
5.根据权利要求1所述的一种云端用户在终端设备登录的方法,其特征在于,所述步骤S500中的合法性校验具体为:
云端拦截终端设备上报的安全令牌,根据用户账号查询出令牌缓存池中该用户的安全令牌、拦截令牌和无效令牌;
若令牌缓存池中该用户的安全令牌为空,则向终端设备返回安全令牌失效信息,提醒云端用户重新发起登录请求;
若令牌缓存池中该用户的安全令牌不为空,则将令牌缓存池中该用户的安全令牌与上报的安全令牌进行比对,若匹配,则校验通过,为终端设备的业务请求放开限制,并获取安全令牌的关联令牌,为业务请求提供帮助;否则判断上报的安全令牌是否在令牌缓存池的拦截令牌中,若在,触发终端设备锁定机制,否则向终端设备返回安全令牌失效信息,提醒云端用户重新发起登录请求。
CN202011532395.1A 2020-12-22 2020-12-22 一种云端用户在终端设备登录的方法 Pending CN112511563A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011532395.1A CN112511563A (zh) 2020-12-22 2020-12-22 一种云端用户在终端设备登录的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011532395.1A CN112511563A (zh) 2020-12-22 2020-12-22 一种云端用户在终端设备登录的方法

Publications (1)

Publication Number Publication Date
CN112511563A true CN112511563A (zh) 2021-03-16

Family

ID=74921858

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011532395.1A Pending CN112511563A (zh) 2020-12-22 2020-12-22 一种云端用户在终端设备登录的方法

Country Status (1)

Country Link
CN (1) CN112511563A (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104980400A (zh) * 2014-04-08 2015-10-14 深圳市腾讯计算机***有限公司 一种登录接入控制方法和服务器
CN107147644A (zh) * 2017-05-10 2017-09-08 四川长虹电器股份有限公司 一种实现移动app用户在单一设备登录的方法
US20180012012A1 (en) * 2010-11-02 2018-01-11 Ca, Inc. System and method for controlling state tokens
CN109379192A (zh) * 2018-09-21 2019-02-22 广州小鹏汽车科技有限公司 一种登录验证处理方法、***及装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180012012A1 (en) * 2010-11-02 2018-01-11 Ca, Inc. System and method for controlling state tokens
CN104980400A (zh) * 2014-04-08 2015-10-14 深圳市腾讯计算机***有限公司 一种登录接入控制方法和服务器
CN107147644A (zh) * 2017-05-10 2017-09-08 四川长虹电器股份有限公司 一种实现移动app用户在单一设备登录的方法
CN109379192A (zh) * 2018-09-21 2019-02-22 广州小鹏汽车科技有限公司 一种登录验证处理方法、***及装置

Similar Documents

Publication Publication Date Title
CN107147644B (zh) 一种实现移动app用户在单一设备登录的方法
JP6730520B2 (ja) 暗号学的に保護された台帳が支援するイミュータブルなデータベース
CN110445612B (zh) 用于经由区块链增强登录凭证安全性的方法和***
US8515847B2 (en) System and method for password-free access for validated users
US20190190723A1 (en) Authentication system and method, and user equipment, authentication server, and service server for performing same method
US8079070B2 (en) System and method for blocking unauthorized network log in using stolen password
US8990567B2 (en) Message originator token verification
EP4081967A1 (en) Destination addressing for transactions associated with a distributed ledger
CN104021333A (zh) 移动安全表袋
WO2009128850A1 (en) System and method for password-free access for validated users
CN102281286A (zh) 用于分布式混合企业的灵活端点顺从和强认证
CN103001770B (zh) 一种用户验证方法、服务器及***
CN102946384A (zh) 用户验证方法和设备
CN109495486B (zh) 一种基于JWT的单页Web应用集成CAS的方法
US11570168B2 (en) Techniques for repeat authentication
KR102620268B1 (ko) 블록체인 기반 피싱 방지 시스템, 장치 및 방법
CN112511316B (zh) 单点登录接入方法、装置、计算机设备及可读存储介质
CN113904821A (zh) 一种身份认证方法及装置、可读存储介质
CN116108416A (zh) 一种应用程序接口安全防护方法及***
KR101879843B1 (ko) Ip 주소와 sms를 이용한 인증 방법 및 시스템
CN110084031B (zh) 一种认证逻辑可自定义的信息***账号安全认证的方法
CN112511563A (zh) 一种云端用户在终端设备登录的方法
US11271920B2 (en) Method and system for account security of recycled phone numbers
CN112948783A (zh) 客户端登录管理方法、装置、服务器及存储介质
CN115250204B (zh) 一种集中处理登录鉴权的方法及***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20210316

RJ01 Rejection of invention patent application after publication