CN112966286A - 用户登录的方法、***、设备和计算机可读介质 - Google Patents
用户登录的方法、***、设备和计算机可读介质 Download PDFInfo
- Publication number
- CN112966286A CN112966286A CN202110338727.0A CN202110338727A CN112966286A CN 112966286 A CN112966286 A CN 112966286A CN 202110338727 A CN202110338727 A CN 202110338727A CN 112966286 A CN112966286 A CN 112966286A
- Authority
- CN
- China
- Prior art keywords
- key
- server
- user name
- client
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Medical Informatics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了用户登录的方法、***、设备和计算机可读介质,涉及数据安全技术领域。该方法的一具体实施方式包括:客户端发送用户名、设备密钥和访问密钥至服务端,所述设备密钥是根据客户端设备标识生成的,所述访问密钥是由服务端发送的加盐密钥生成的;所述服务端根据所述用户名、所述设备密钥和所述服务端保存的所述加盐密钥,解密所述用户名的数据库原始密钥得到验证访问密钥;所述服务端依据所述验证访问密钥和所述访问密钥判断客户端是否登录成功。该实施方式能够保障用户登录的安全性。
Description
技术领域
本发明涉及数据安全技术领域,尤其涉及一种用户登录的方法、***、设备和计算机可读介质。
背景技术
在各种业务场景下,通常都需要用户密码验证登录。验证过程中,通常客户端需要将密码的验证要素发送到服务端,服务端根据数据库中所存储密码相关的信息进行比对,比对通过后完成登录。
在实现本发明过程中,发明人发现现有技术中至少存在如下问题:在上述验证过程中,用户的登录密码的泄露几率较大,难以保障用户登录的安全性。
发明内容
有鉴于此,本发明实施例提供一种用户登录的方法、***、设备和计算机可读介质,能够保障用户登录的安全性。
为实现上述目的,根据本发明实施例的一个方面,提供了一种用户登录的方法,包括:
客户端发送用户名、设备密钥和访问密钥至服务端,所述设备密钥是根据客户端设备标识生成的,所述访问密钥是由服务端发送的加盐密钥生成的;
所述服务端根据所述用户名、所述设备密钥和所述服务端保存的所述加盐密钥,解密所述用户名的数据库原始密钥得到验证访问密钥;
所述服务端依据所述验证访问密钥和所述访问密钥判断客户端是否登录成功。
所述客户端发送用户名、设备密钥和访问密钥至服务端之前,还包括:
所述客户端采用哈希算法结合客户端设备标识生成所述设备密钥。
所述客户端发送用户名、设备密钥和访问密钥至服务端之前,还包括:
所述客户端按照所述用户名对应的登录密码和所述服务端发送的加盐密钥,生成所述访问密钥。
所述服务端发送的加盐密钥是随机加盐密钥。
所述加盐密钥是服务端接收到所述用户名后发送的。
所述服务端根据所述用户名、所述设备密钥和所述服务端保存的所述加盐密钥,解密所述用户名的数据库原始密钥得到验证访问密钥,包括:
所述服务端根据所述用户名、所述设备密钥和所述加盐密钥,生成验证密钥;
所述服务端利用所述验证密钥,解密所述用户名的数据库原始密钥得到验证访问密钥。
所述服务端根据所述用户名、所述设备密钥和所述加盐密钥,生成验证密钥,包括:
所述服务端根据用户名、所述设备密钥和所述加盐密钥,采用密钥算法生成验证密钥。
所述密钥算法包括HKDF密钥衍生算法。
所述服务端利用所述验证密钥,解密所述用户名的数据库原始密钥得到验证访问密钥,包括:
所述服务端根据所述用户名,查询到所述用户名的数据库原始密钥;
所述服务端利用所述验证密钥,解密所述用户名的数据库原始密钥得到验证访问密钥。
所述服务端依据所述验证访问密钥和所述访问密钥判断客户端是否登录成功,包括:
所述服务端依据所述验证访问密钥和所述访问密钥是否相同,以判断客户端是否登录成功。
所述方法还包括:
基于所述用户名、所述设备密钥和所述加盐密钥,在所述服务端生成所述数据库原始密钥。
所述基于所述用户名、所述设备密钥和所述加盐密钥,在所述服务端生成所述数据库原始密钥,包括:
所述客户端发送所述用户名、所述设备密钥和新建访问密钥至所述服务端;
所述服务端依据所述用户名、所述设备密钥和所述新建访问密钥,生成并存储所述用户名的数据库原始密钥。
所述客户端发送所述用户名、所述设备密钥和新建访问密钥至所述服务端,包括:
所述客户端基于所述用户名对应登录密码和所述加盐密钥,生成所述新建访问密钥,所述加盐密钥是所述客户端发送申请后所述服务端发送的;
所述客户端采用哈希算法结合客户端设备标识生成所述设备密钥;
所述客户端发送所述用户名、所述设备密钥和所述新建访问密钥至所述服务端。
所述服务端依据所述用户名、所述设备密钥和新建访问密钥,生成并存储所述用户名的数据库原始密钥,包括:
所述服务端根据用户名、所述设备密钥和所述加盐密钥,采用密钥算法生成验证密钥;
所述服务端采用所述验证密钥加密所述新建访问密钥,生成并存储所述用户名的数据库原始密钥。
所述密钥算法包括HKDF密钥衍生算法。
所述方法还包括:
所述服务端存储所述用户名和所述加盐密钥。
所述服务端存储所述用户名和所述加盐密钥,包括:
所述服务端按照所述用户名存储所述加盐密钥和所述数据库原始密钥。
根据本发明实施例的第二方面,提供了一种用户登录的***,所述***包括客户端和服务端,
所述客户端发送用户名、设备密钥和访问密钥至服务端,所述设备密钥是根据客户端设备标识生成的,所述访问密钥是由服务端发送的加盐密钥生成的;
所述服务端根据所述用户名、所述设备密钥和所述服务端保存的所述加盐密钥,解密所述用户名的数据库原始密钥得到验证访问密钥;
所述服务端依据所述验证访问密钥和所述访问密钥判断客户端是否登录成功。
根据本发明实施例的第三方面,提供了一种用户登录的电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如上述的方法。
根据本发明实施例的第四方面,提供了一种计算机可读介质,其上存储有计算机程序,所述程序被处理器执行时实现如上述的方法。
上述发明中的一个实施例具有如下优点或有益效果:客户端发送用户名、设备密钥和访问密钥至服务端,所述设备密钥是根据客户端设备标识生成的,所述访问密钥是由服务端发送的加盐密钥生成的;所述服务端根据所述用户名、所述设备密钥和所述服务端保存的所述加盐密钥,解密所述用户名的数据库原始密钥得到验证访问密钥;所述服务端依据所述验证访问密钥和所述访问密钥判断客户端是否登录成功。用户通过客户端登录,登录验证过程不仅涉及户端设备标识,还涉及加盐密钥,从客户端和服务端两方面保障用户登录的安全性。
上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。
附图说明
附图用于更好地理解本发明,不构成对本发明的不当限定。其中:
图1是根据本发明实施例的用户登录的方法的主要流程的示意图;
图2是根据本发明实施例的客户端生成设备密钥和新建访问密钥的流程示意图;
图3是根据本发明实施例的生成用户名的数据库原始密钥的流程示意图;
图4是根据本发明实施例的解密用户名的数据库原始密钥得到验证访问密钥的流程示意图;
图5是根据本发明实施例的用户登录的***的主要结构的示意图;
图6是本发明实施例可以应用于其中的示例性***架构图;
图7是适于用来实现本发明实施例的终端设备或服务器的计算机***的结构示意图。
具体实施方式
以下结合附图对本发明的示范性实施例做出说明,其中包括本发明实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本发明的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
用户登录验证用户密码时,数据库遭黑客攻击会导致数据泄露密码信息。然后,通过碰撞或者彩虹表等方式还原出用户的登录密码,则会导致登录密码的泄露,因此登录密码的泄露几率较大,难以保障用户登录的安全性。
为了保障用户登录的安全性,可以采用以下本发明实施例中的技术方案。
参见图1,图1是根据本发明实施例的用户登录的方法主要流程的示意图,基于客户端设备标识和服务端发送的加盐密钥,从客户端和服务端两方面共同保障用户登录。如图1所示,具体包括以下步骤:
S101、客户端发送用户名、设备密钥和访问密钥至服务端,设备密钥是根据客户端设备标识生成的,访问密钥是由服务端发送的加盐密钥生成的。
在本发明实施例中,用户在服务端登录涉及两个设备,具体为客户端和服务端。用户通过客户端访问服务端。
作为一个示例,客户端可以是设置在用户移动终端的应用APP。作为另一个示例,客户端可以是用户移动终端或PC的浏览器。
作为一个示例,服务端可以位于云端。作为另一个示例,服务端可以位于服务器中。
用户通过客户端到登录到服务端,客户端需要向服务端发送信息。服务端验证客户端发送的信息成功后,则用户登录成功;服务端验证客户端发送的信息失败后,则用户登录失败。
在本发明实施例中,服务端验证信息不仅涉及客户端发送的信息,而且还涉及服务端预存信息,其中预存信息即数据库原始密钥。
下面就在服务端预先存储数据库原始密钥进行示例性的说明。
在本发明的实施例中,首先,用户通过客户端申请设置密码。服务端在收到客户端发送设置密码申请后,生成并发送加盐密钥。即,加盐密钥是客户端发送申请后服务端发送的。作为一个示例,服务端根据用户名生成加盐密钥。即,用户名与加盐密钥具有对应关系。
参见图2,图2是根据本发明实施例的客户端生成设备密钥和新建访问密钥的流程示意图,具体包括以下步骤:
S201、客户端基于用户名对应登录密码和加盐密钥,生成新建访问密钥,加盐密钥是客户端发送申请后服务端发送的。
用户在客户端输入用户名和登录密码,客户端基于登录密码和加盐密钥,采用哈希算法生成新建访问密钥。
作为一个示例,P=Hash(passwd,salt),其中P是新建访问密钥,passwd是登录密码,salt是加盐密钥。
S202、客户端采用哈希算法结合客户端设备标识生成设备密钥。
客户端基于客户端设备标识,采用哈希算法生成设备密钥,设备密钥记为R。作为一个示例,客户端设备标识可以是移动终端的标识。
S203、客户端发送用户名、设备密钥和新建访问密钥至服务端。
客户端发送用户名、设备密钥和新建访问密钥至服务端,以便在服务端生成数据库原始密钥。
在图2的实施例中,客户端发送用户名、设备标识和新建访问密钥至服务端,可知数据库原始密钥的生成涉及设备标识。
参见图3,图3是根据本发明实施例的生成用户名的数据库原始密钥的流程示意图,具体包括以下步骤:
S301、服务端根据用户名、设备密钥和加盐密钥,采用密钥算法生成验证密钥。
服务端根据用户名、设备密钥和加盐密钥,采用密钥算法生成验证密钥。作为一个示例,密钥算法可以是HKDF密钥衍生算法。
具体地,K=HKDF(R,salt,uname),K是验证密钥,uname是用户名。
S302、服务端采用验证密钥加密新建访问密钥,生成并存储用户名的数据库原始密钥。
服务端采用验证密钥加密新建访问密钥,生成用户名的数据库原始密钥。具体地,服务端使用K对P加密M=E(K,P),其中M是数据库原始密钥。数据库原始密钥与用户名对应,也就是说不同用户名对应不同的数据库原始密钥。
在本发明的一个实施例中,在服务端存储用户名、加盐密钥和数据库原始密钥。示例性地,服务端按照用户名存储加盐密钥和数据库原始密钥。换言之,用户名与加盐密钥和数据库原始密钥具有对应关系。基于用户名能够获知对应的加盐密钥和/或数据库原始密钥。
根据上述图2和图3的计算方案,在服务端存储数据库原始密钥。
下面结合附图示例性说明,用户登录中所涉及的密钥验证。
用户通过客户端申请密码验证,服务端根据用户名查询到加盐密钥后,发送加盐密钥返回到客户端。即,加盐密钥是服务端接收到用户名后发送的。作为一个示例,服务端发送的加盐密钥是随机加盐密钥。由于服务端存储的是采用随机加盐密钥哈希后的登录密码,无法使用同一个彩虹表进行碰撞。采用随机加盐密钥是为了提高用户登录的安全性。
客户端按照用户名对应的登录密码和服务端发送的加盐密钥,生成访问密钥。作为一个示例,客户端计算P=Hash(passwd,salt)。
此外,客户端采用哈希算法结合客户端设备标识生成设备密钥。
最后,客户端发送用户名、设备密钥和访问密钥至服务端。
S102、服务端根据用户名、设备密钥和服务端保存的加盐密钥,解密用户名的数据库原始密钥得到验证访问密钥。
服务端在收到客户端发送的用户名、设备密钥和访问密钥,说明用户需要登录,则服务端根据用户名、设备密钥和服务端保存的加盐密钥,解密用户名的数据库原始密钥得到验证访问密钥。
参见图4,图4是根据本发明实施例的解密用户名的数据库原始密钥得到验证访问密钥的流程示意图,具体包括以下步骤:
S401、服务端根据用户名、设备密钥和加盐密钥,生成验证密钥。
解密数据库原始密钥的前提是获知验证密钥,即基于验证密钥解密数据库原始密钥。
服务端根据用户名、设备密钥和加盐密钥,采用密钥算法生成验证密钥。作为一个示例,密钥算法包括HKDF密钥衍生算法。
具体地,服务端利用HKDF密钥衍生算法,计算K=HKDF(R,salt,uname)。
S402、服务端利用验证密钥,解密用户名的数据库原始密钥得到验证访问密钥。
数据库原始密钥存储在服务端,需要先获取数据库原始密钥,再实施解密。
具体来说,服务端根据用户名,查询到用户名的数据库原始密钥。服务端利用验证密钥,解密用户名的数据库原始密钥得到验证访问密钥。
示例性地,服务端从数据库中根据uname查询到M,使用K对M进行解密P1=D(K,M),得到验证访问密钥P1。
S103、服务端依据验证访问密钥和访问密钥判断客户端是否登录成功。
服务端具体依据验证访问密钥和访问密钥是否相同,以判断客户端是否登录成功。验证访问密钥是从服务端获取的密钥,访问密钥是从客户端或取得密钥。若验证访问密钥和访问密钥相同,判断客户端登录成功;若验证访问密钥和访问密钥不相同,判断客户端登录失败。
在上述本发明的实施例中,客户端发送用户名、设备密钥和访问密钥至服务端,所述设备密钥是根据客户端设备标识生成的,所述访问密钥是由服务端发送的加盐密钥生成的;所述服务端根据所述用户名、所述设备密钥和所述服务端保存的所述加盐密钥,解密所述用户名的数据库原始密钥得到验证访问密钥;所述服务端依据所述验证访问密钥和所述访问密钥判断客户端是否登录成功。用户通过客户端登录,登录验证过程不仅涉及户端设备标识,还涉及加盐密钥,从客户端和服务端两方面保障用户登录的安全性。
采用已有哈希算法,登录密钥的哈希值和加盐密钥存储在数据库中,若数据库遭到黑客攻击,黑客登录密钥的哈希值和加盐密钥,可利用常见密码或者用户信息进行***,从而导致信息泄露。
而在本发明实施例中,数据库原始密钥的生成涉及客户端设备标识。黑客通过攻击数据库无法获取客户端设备标识。即使登录密码泄露,黑客在其他设备也无法登录,有效防止登录密码泄露对客户敏感信息和资金的影响。
参见图5,图5是根据本发明实施例的用户登录的***的主要结构的示意图,用户登录的***可以实现用户登录的方法,如图5所示,用户登录的***具体包括:
用户登录的***包括客户端501和服务端502,
客户端501发送用户名、设备密钥和访问密钥至服务端502,所述设备密钥是根据客户端设备标识生成的,所述访问密钥是由服务端502发送的加盐密钥生成的;
服务端502根据所述用户名、所述设备密钥和所述服务端502保存的所述加盐密钥,解密所述用户名的数据库原始密钥得到验证访问密钥;
服务端502依据所述验证访问密钥和所述访问密钥判断客户端501是否登录成功。
在本发明的一个实施例中,客户端501采用哈希算法结合客户端设备标识生成所述设备密钥。
在本发明的一个实施例中,客户端501按照所述用户名对应的登录密码和所述服务端502发送的加盐密钥,生成所述访问密钥。
在本发明的一个实施例中,服务端502发送的加盐密钥是随机加盐密钥。
在本发明的一个实施例中,所述加盐密钥是服务端502接收到所述用户名后发送的。
在本发明的一个实施例中,服务端502根据所述用户名、所述设备密钥和所述加盐密钥,生成验证密钥;
服务端502利用所述验证密钥,解密所述用户名的数据库原始密钥得到验证访问密钥。
在本发明的一个实施例中,服务端502根据用户名、所述设备密钥和所述加盐密钥,采用密钥算法生成验证密钥。
在本发明的一个实施例中,所述密钥算法包括HKDF密钥衍生算法。
在本发明的一个实施例中,服务端502根据所述用户名,查询到所述用户名的数据库原始密钥;
服务端502利用所述验证密钥,解密所述用户名的数据库原始密钥得到验证访问密钥。
在本发明的一个实施例中,服务端502依据所述验证访问密钥和所述访问密钥是否相同,以判断客户端501是否登录成功。
在本发明的一个实施例中,基于所述用户名、所述设备密钥和所述加盐密钥,在服务端502生成所述数据库原始密钥。
在本发明的一个实施例中,客户端501发送所述用户名、所述设备密钥和新建访问密钥至所述服务端502;
服务端502依据所述用户名、所述设备密钥和所述新建访问密钥,生成并存储所述用户名的数据库原始密钥。
在本发明的一个实施例中,客户端501基于所述用户名对应登录密码和所述加盐密钥,生成所述新建访问密钥,所述加盐密钥是所述客户端501发送申请后所述服务端502发送的;
客户端501采用哈希算法结合客户端设备标识生成所述设备密钥;
客户端501发送所述用户名、所述设备密钥和所述新建访问密钥至所述服务端502。
在本发明的一个实施例中,服务端502根据用户名、所述设备密钥和所述加盐密钥,采用密钥算法生成验证密钥;
服务端502采用所述验证密钥加密所述新建访问密钥,生成并存储所述用户名的数据库原始密钥。
在本发明的一个实施例中,所述密钥算法包括HKDF密钥衍生算法。
在本发明的一个实施例中,服务端502存储所述用户名和所述加盐密钥。
在本发明的一个实施例中,服务端502按照所述用户名存储所述加盐密钥和所述数据库原始密钥。
图6示出了可以应用本发明实施例的用户登录的方法或用户登录的***的示例性***架构600。
如图6所示,***架构600可以包括终端设备601、602、603,网络604和服务器605。网络604用以在终端设备601、602、603和服务器605之间提供通信链路的介质。网络604可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备601、602、603通过网络604与服务器605交互,以接收或发送消息等。终端设备601、602、603上可以安装有各种通讯客户端应用,例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等(仅为示例)。
终端设备601、602、603可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
服务器605可以是提供各种服务的服务器,例如对用户利用终端设备601、602、603所浏览的购物类网站提供支持的后台管理服务器(仅为示例)。后台管理服务器可以对接收到的产品信息查询请求等数据进行分析等处理,并将处理结果(例如目标推送信息、产品信息--仅为示例)反馈给终端设备。
需要说明的是,本发明实施例所提供的用户登录的方法一般由服务器605执行,相应地,用户登录的***一般设置于服务器605中。
应该理解,图6中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
下面参考图7,其示出了适于用来实现本发明实施例的终端设备的计算机***700的结构示意图。图7示出的终端设备仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图7所示,计算机***700包括中央处理单元(CPU)701,其可以根据存储在只读存储器(ROM)702中的程序或者从存储部分708加载到随机访问存储器(RAM)703中的程序而执行各种适当的动作和处理。在RAM 703中,还存储有***700操作所需的各种程序和数据。CPU 701、ROM 702以及RAM 703通过总线704彼此相连。输入/输出(I/O)接口705也连接至总线704。
以下部件连接至I/O接口705:包括键盘、鼠标等的输入部分706;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分707;包括硬盘等的存储部分708;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分709。通信部分709经由诸如因特网的网络执行通信处理。驱动器710也根据需要连接至I/O接口705。可拆卸介质711,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器710上,以便于从其上读出的计算机程序根据需要被安装入存储部分708。
特别地,根据本发明公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本发明公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分709从网络上被下载和安装,和/或从可拆卸介质711被安装。在该计算机程序被中央处理单元(CPU)701执行时,执行本发明的***中限定的上述功能。
需要说明的是,本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的***、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行***、装置或者器件使用或者与其结合使用。而在本发明中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行***、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本发明各种实施例的***、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本发明实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的模块也可以设置在处理器中,例如,可以描述为:一种处理器包括客户端和服务端。其中,这些模块的名称在某种情况下并不构成对该模块本身的限定,例如,客户端发送用户名、设备密钥和访问密钥至服务端,所述设备密钥是根据客户端设备标识生成的,所述访问密钥是由服务端发送的加盐密钥生成的”。
作为另一方面,本发明还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的设备中所包含的;也可以是单独存在,而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,使得该设备包括:
客户端发送用户名、设备密钥和访问密钥至服务端,所述设备密钥是根据客户端设备标识生成的,所述访问密钥是由服务端发送的加盐密钥生成的;
所述服务端根据所述用户名、所述设备密钥和所述服务端保存的所述加盐密钥,解密所述用户名的数据库原始密钥得到验证访问密钥;
所述服务端依据所述验证访问密钥和所述访问密钥判断客户端是否登录成功。
根据本发明实施例的技术方案,客户端发送用户名、设备密钥和访问密钥至服务端,所述设备密钥是根据客户端设备标识生成的,所述访问密钥是由服务端发送的加盐密钥生成的;所述服务端根据所述用户名、所述设备密钥和所述服务端保存的所述加盐密钥,解密所述用户名的数据库原始密钥得到验证访问密钥;所述服务端依据所述验证访问密钥和所述访问密钥判断客户端是否登录成功。用户通过客户端登录,登录验证过程不仅涉及户端设备标识,还涉及加盐密钥,从客户端和服务端两方面保障用户登录的安全性。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,取决于设计要求和其他因素,可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。
Claims (20)
1.一种用户登录的方法,其特征在于,包括:
客户端发送用户名、设备密钥和访问密钥至服务端,所述设备密钥是根据客户端设备标识生成的,所述访问密钥是由服务端发送的加盐密钥生成的;
所述服务端根据所述用户名、所述设备密钥和所述服务端保存的所述加盐密钥,解密所述用户名的数据库原始密钥得到验证访问密钥;
所述服务端依据所述验证访问密钥和所述访问密钥判断客户端是否登录成功。
2.根据权利要求1所述用户登录的方法,其特征在于,所述客户端发送用户名、设备密钥和访问密钥至服务端之前,还包括:
所述客户端采用哈希算法结合客户端设备标识生成所述设备密钥。
3.根据权利要求1所述用户登录的方法,其特征在于,所述客户端发送用户名、设备密钥和访问密钥至服务端之前,还包括:
所述客户端按照所述用户名对应的登录密码和所述服务端发送的加盐密钥,生成所述访问密钥。
4.根据权利要求3所述用户登录的方法,其特征在于,所述服务端发送的加盐密钥是随机加盐密钥。
5.根据权利要求1所述用户登录的方法,其特征在于,所述加盐密钥是服务端接收到所述用户名后发送的。
6.根据权利要求1所述用户登录的方法,其特征在于,所述服务端根据所述用户名、所述设备密钥和所述服务端保存的所述加盐密钥,解密所述用户名的数据库原始密钥得到验证访问密钥,包括:
所述服务端根据所述用户名、所述设备密钥和所述加盐密钥,生成验证密钥;
所述服务端利用所述验证密钥,解密所述用户名的数据库原始密钥得到验证访问密钥。
7.根据权利要求6所述用户登录的方法,其特征在于,所述服务端根据所述用户名、所述设备密钥和所述加盐密钥,生成验证密钥,包括:
所述服务端根据用户名、所述设备密钥和所述加盐密钥,采用密钥算法生成验证密钥。
8.根据权利要求7所述用户登录的方法,其特征在于,所述密钥算法包括HKDF密钥衍生算法。
9.根据权利要求6所述用户登录的方法,其特征在于,所述服务端利用所述验证密钥,解密所述用户名的数据库原始密钥得到验证访问密钥,包括:
所述服务端根据所述用户名,查询到所述用户名的数据库原始密钥;
所述服务端利用所述验证密钥,解密所述用户名的数据库原始密钥得到验证访问密钥。
10.根据权利要求1所述用户登录的方法,其特征在于,所述服务端依据所述验证访问密钥和所述访问密钥判断客户端是否登录成功,包括:
所述服务端依据所述验证访问密钥和所述访问密钥是否相同,以判断客户端是否登录成功。
11.根据权利要求1所述用户登录的方法,其特征在于,所述方法还包括:
基于所述用户名、所述设备密钥和所述加盐密钥,在所述服务端生成所述数据库原始密钥。
12.根据权利要求11所述用户登录的方法,其特征在于,所述基于所述用户名、所述设备密钥和所述加盐密钥,在所述服务端生成所述数据库原始密钥,包括:
所述客户端发送所述用户名、所述设备密钥和新建访问密钥至所述服务端;
所述服务端依据所述用户名、所述设备密钥和所述新建访问密钥,生成并存储所述用户名的数据库原始密钥。
13.根据权利要求12所述用户登录的方法,其特征在于,所述客户端发送所述用户名、所述设备密钥和新建访问密钥至所述服务端,包括:
所述客户端基于所述用户名对应登录密码和所述加盐密钥,生成所述新建访问密钥,所述加盐密钥是所述客户端发送申请后所述服务端发送的;
所述客户端采用哈希算法结合客户端设备标识生成所述设备密钥;
所述客户端发送所述用户名、所述设备密钥和所述新建访问密钥至所述服务端。
14.根据权利要求12所述用户登录的方法,其特征在于,所述服务端依据所述用户名、所述设备密钥和新建访问密钥,生成并存储所述用户名的数据库原始密钥,包括:
所述服务端根据用户名、所述设备密钥和所述加盐密钥,采用密钥算法生成验证密钥;
所述服务端采用所述验证密钥加密所述新建访问密钥,生成并存储所述用户名的数据库原始密钥。
15.根据权利要求14所述用户登录的方法,其特征在于,所述密钥算法包括HKDF密钥衍生算法。
16.根据权利要求14所述用户登录的方法,其特征在于,所述方法还包括:
所述服务端存储所述用户名和所述加盐密钥。
17.根据权利要求16所述用户登录的方法,其特征在于,所述服务端存储所述用户名和所述加盐密钥,包括:
所述服务端按照所述用户名存储所述加盐密钥和所述数据库原始密钥。
18.一种用户登录的***,其特征在于,所述***包括客户端和服务端,
所述客户端发送用户名、设备密钥和访问密钥至服务端,所述设备密钥是根据客户端设备标识生成的,所述访问密钥是由服务端发送的加盐密钥生成的;
所述服务端根据所述用户名、所述设备密钥和所述服务端保存的所述加盐密钥,解密所述用户名的数据库原始密钥得到验证访问密钥;
所述服务端依据所述验证访问密钥和所述访问密钥判断客户端是否登录成功。
19.一种用户登录的电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-17中任一所述的方法。
20.一种计算机可读介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1-17中任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110338727.0A CN112966286B (zh) | 2021-03-30 | 2021-03-30 | 用户登录的方法、***、设备和计算机可读介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110338727.0A CN112966286B (zh) | 2021-03-30 | 2021-03-30 | 用户登录的方法、***、设备和计算机可读介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112966286A true CN112966286A (zh) | 2021-06-15 |
| CN112966286B CN112966286B (zh) | 2023-01-24 |
Family
ID=76279685
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110338727.0A Active CN112966286B (zh) | 2021-03-30 | 2021-03-30 | 用户登录的方法、***、设备和计算机可读介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112966286B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114726606A (zh) * | 2022-03-31 | 2022-07-08 | 北京九州恒盛电力科技有限公司 | 一种用户认证方法、客户端、网关及认证服务器 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5495533A (en) * | 1994-04-29 | 1996-02-27 | International Business Machines Corporation | Personal key archive |
| CN103391292A (zh) * | 2013-07-18 | 2013-11-13 | 百度在线网络技术(北京)有限公司 | 针对移动应用的安全登录方法、***和装置 |
| CN104580248A (zh) * | 2015-01-27 | 2015-04-29 | 中復保有限公司 | Http协议下可变密钥加密的安全登录方法 |
| CN106576041A (zh) * | 2014-06-27 | 2017-04-19 | 林建华 | 客户端与服务器之间相互验证的方法 |
| CN108494551A (zh) * | 2018-03-16 | 2018-09-04 | 数安时代科技股份有限公司 | 基于协同密钥的处理方法、***、计算机设备及存储介质 |
| CN109347835A (zh) * | 2018-10-24 | 2019-02-15 | 苏州科达科技股份有限公司 | 信息传输方法、客户端、服务器以及计算机可读存储介质 |
| US20190356650A1 (en) * | 2018-05-21 | 2019-11-21 | Wickr Inc. | Local Encryption for Single Sign-On |
| CN111191218A (zh) * | 2019-12-30 | 2020-05-22 | 江苏恒宝智能***技术有限公司 | 一种授权认证方法及装置 |
| CN111193695A (zh) * | 2019-07-26 | 2020-05-22 | 腾讯科技(深圳)有限公司 | 一种第三方账号登录的加密方法、装置及存储介质 |
| CN111585998A (zh) * | 2020-04-24 | 2020-08-25 | 广东电网有限责任公司 | 一种审计数据安全传输方法和*** |
| CN111935094A (zh) * | 2020-07-14 | 2020-11-13 | 北京金山云网络技术有限公司 | 数据库访问方法、装置、***及计算机可读存储介质 |
-
2021
- 2021-03-30 CN CN202110338727.0A patent/CN112966286B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5495533A (en) * | 1994-04-29 | 1996-02-27 | International Business Machines Corporation | Personal key archive |
| CN103391292A (zh) * | 2013-07-18 | 2013-11-13 | 百度在线网络技术(北京)有限公司 | 针对移动应用的安全登录方法、***和装置 |
| CN106576041A (zh) * | 2014-06-27 | 2017-04-19 | 林建华 | 客户端与服务器之间相互验证的方法 |
| CN104580248A (zh) * | 2015-01-27 | 2015-04-29 | 中復保有限公司 | Http协议下可变密钥加密的安全登录方法 |
| CN108494551A (zh) * | 2018-03-16 | 2018-09-04 | 数安时代科技股份有限公司 | 基于协同密钥的处理方法、***、计算机设备及存储介质 |
| US20190356650A1 (en) * | 2018-05-21 | 2019-11-21 | Wickr Inc. | Local Encryption for Single Sign-On |
| CN109347835A (zh) * | 2018-10-24 | 2019-02-15 | 苏州科达科技股份有限公司 | 信息传输方法、客户端、服务器以及计算机可读存储介质 |
| CN111193695A (zh) * | 2019-07-26 | 2020-05-22 | 腾讯科技(深圳)有限公司 | 一种第三方账号登录的加密方法、装置及存储介质 |
| CN111191218A (zh) * | 2019-12-30 | 2020-05-22 | 江苏恒宝智能***技术有限公司 | 一种授权认证方法及装置 |
| CN111585998A (zh) * | 2020-04-24 | 2020-08-25 | 广东电网有限责任公司 | 一种审计数据安全传输方法和*** |
| CN111935094A (zh) * | 2020-07-14 | 2020-11-13 | 北京金山云网络技术有限公司 | 数据库访问方法、装置、***及计算机可读存储介质 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114726606A (zh) * | 2022-03-31 | 2022-07-08 | 北京九州恒盛电力科技有限公司 | 一种用户认证方法、客户端、网关及认证服务器 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112966286B (zh) | 2023-01-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113347206B (zh) | 一种网络访问方法和装置 | |
| US10601590B1 (en) | Secure secrets in hardware security module for use by protected function in trusted execution environment | |
| CN112039826B (zh) | 应用于小程序端的登录方法和装置,电子设备,可读介质 | |
| CN113271296B (zh) | 一种登录权限管理的方法和装置 | |
| CN112887284B (zh) | 一种访问认证方法、装置、电子设备和可读介质 | |
| CN112966287B (zh) | 获取用户数据的方法、***、设备和计算机可读介质 | |
| CN110839004A (zh) | 访问认证的方法和装置 | |
| CN110958119A (zh) | 身份验证方法和装置 | |
| CN112437044B (zh) | 即时通讯方法和装置 | |
| CN111814131A (zh) | 一种设备注册和配置管理的方法和装置 | |
| CN112966286B (zh) | 用户登录的方法、***、设备和计算机可读介质 | |
| CN112905990A (zh) | 一种访问方法、客户端、服务端及访问*** | |
| CN113282951A (zh) | 一种应用程序的安全校验方法、装置及设备 | |
| CN112560003A (zh) | 用户权限管理方法和装置 | |
| CN107707528B (zh) | 一种用户信息隔离的方法和装置 | |
| CN113992345B (zh) | 网页敏感数据加解密方法、装置、电子设备及存储介质 | |
| CN112565156B (zh) | 信息注册方法、装置和*** | |
| CN113055186B (zh) | 一种跨***的业务处理方法、装置及*** | |
| CN110765445B (zh) | 处理请求的方法和装置 | |
| CN113343155A (zh) | 一种请求处理方法及装置 | |
| CN110166226B (zh) | 一种生成秘钥的方法和装置 | |
| CN113761566A (zh) | 一种数据处理方法和装置 | |
| CN113420331B (zh) | 一种文件下载权限的管理方法和装置 | |
| CN111786936A (zh) | 用于鉴权的方法和装置 | |
| CN115828309B (zh) | 一种服务调用方法及*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20220923 Address after: 25 Financial Street, Xicheng District, Beijing 100033 Applicant after: CHINA CONSTRUCTION BANK Corp. Address before: 12 / F, 15 / F, No. 99, Yincheng Road, Shanghai pilot Free Trade Zone, 200120 Applicant before: Jianxin Financial Science and Technology Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |