CN113672898B - 服务授权方法、授权设备、***、电子设备及存储介质 - Google Patents
服务授权方法、授权设备、***、电子设备及存储介质 Download PDFInfo
- Publication number
- CN113672898B CN113672898B CN202110962550.1A CN202110962550A CN113672898B CN 113672898 B CN113672898 B CN 113672898B CN 202110962550 A CN202110962550 A CN 202110962550A CN 113672898 B CN113672898 B CN 113672898B
- Authority
- CN
- China
- Prior art keywords
- authorization
- encrypted
- token
- serial number
- authentication information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000013475 authorization Methods 0.000 title claims abstract description 197
- 238000000034 method Methods 0.000 title claims abstract description 49
- 238000012795 verification Methods 0.000 claims abstract description 102
- 238000004590 computer program Methods 0.000 claims description 8
- 230000003993 interaction Effects 0.000 claims description 4
- 238000000605 extraction Methods 0.000 claims description 2
- 238000004891 communication Methods 0.000 abstract description 13
- 238000010586 diagram Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 3
- 230000006978 adaptation Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000010200 validation analysis Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种服务授权方法、授权设备、***、电子设备及介质,该方法应用于授权设备,包括:接收并验证ERP***发送的加密票据请求,并在验证通过后向ERP***发送加密授权票据;接收并验证ERP***发送的加密授权票据,并在验证通过后向ERP***发送序列号***的加密令牌,以使ERP***向序列号***发送加密令牌;接收并验证序列号***发送的加密令牌,并在验证通过后向序列号***发送授权标识,以使序列号***向ERP***提供接口服务。本发明在ERP***及序列号***中间增加了第三方的授权设备,并采用多步验证来确定ERP***的身份及其可信任状态,无需用户名及密码,可有效确保ERP***与序列号***之间的通信安全。
Description
技术领域
本发明涉及网络安全领域,特别涉及一种服务授权方法、授权设备、***、电子设备及计算机可读存储介质。
背景技术
ERP(Enterprise Resource Planning,企业资源计划)***是集成有多种管理功能的集成化管理信息***,而序列号(License)***则是用于为ERP提供序列号生成服务的业务***。通常,ERP***及序列号***均设置于企业内网,但随着业务升级,ERP***及序列号***均需要上线公共网络,此时,如何确保ERP***与序列号***之间的通信安全,是两大***上线公共网络前的重要内容。
相关技术中,ERP***需要获取到序列号***的令牌,进而才能使用序列号***的接口服务,同时ERP***与序列号***之间通常采用用户名及密码进行身份验证,并利用加密算法进行通信加密。然而用户名及密码容易发生泄漏,进而容易导致ERP***被攻击,或是序列号***的令牌信息被盗用。因此,如何提升ERP***与序列号***在公共网络中的通信安全性,是本领域技术人员所需面对的技术问题。
发明内容
本发明的目的是提供一种服务授权方法、授权设备、***、电子设备及计算机可读存储介质,可在ERP***及序列号***中间增加了第三方的授权设备,并采用多步验证来确定ERP***的身份及其可信任状态,无需用户名及密码,可有效确保ERP***与序列号***之间的通信安全。
为解决上述技术问题,本发明提供一种服务授权方法,应用于授权设备,所述方法包括:
接收并验证ERP***发送的加密票据请求,并在验证通过后向所述ERP***发送加密授权票据;
接收并验证所述ERP***发送的加密授权票据,并在验证通过后向所述ERP***发送序列号***的加密令牌,以使所述ERP***向所述序列号***发送所述加密令牌;
接收并验证所述序列号***发送的加密令牌,并在验证通过后向所述序列号***发送授权标识,以使所述序列号***向所述ERP***提供接口服务。
可选地,所述验证ERP***发送的加密票据请求,并在验证通过后向所述ERP***发送加密授权票据,包括:
从所述加密票据请求中提取***名称及加密认证信息,并对所述***名称进行验证;所述加密认证信息由所述ERP***利用第一密钥对认证信息进行加密得到,所述第一密钥预设于所述ERP***及所述授权设备;
若验证通过,则利用所述第一密钥解密所述加密认证信息;
若解密成功,则利用第二密钥生成加密授权票据,并将所述加密授权票据发送至所述ERP***。
可选地,所述验证所述ERP***发送的加密授权票据,包括:
接收所述ERP***发送的加密授权票据,并利用所述第二密钥解密所述加密授权票据;
若解密成功,则判定验证通过。
可选地,在接收并验证ERP***发送的加密票据请求之前,还包括:
接收并存储所述ERP***发送的注册名称及注册认证信息;
相应的,所述对所述***名称进行验证,包括:
将所述***名称与所述注册名称进行比对,并在确定所述***名称与所述注册名称相同时判定验证通过;
相应的,所述利用所述第一密钥解密所述加密认证信息,包括:
利用所述第一密钥解密所述加密认证信息得到所述认证信息,并将所述认证信息与所述注册认证信息进行比对;
若所述认证信息与所述注册认证信息相同,则判定解密成功。
可选地,所述验证所述序列号***发送的加密令牌,并在验证通过后向所述序列号***发送授权标识,包括:
接收序列号***发送的令牌验证请求,并从所述令牌验证请求中提取所述加密令牌、***名称及加密认证信息;所述加密认证信息由所述序列号***利用第三密钥对认证信息进行加密得到,所述第三密钥预设于所述序列号***及所述授权设备;
对所述***名称进行验证,并在验证通过时,利用所述第三密钥解密所述加密认证信息及所述加密令牌;
当所述加密认证信息及所述加密令牌均解密成功时,向所述序列号***发送所述授权标识。
可选地,在接收并验证ERP***发送的加密票据请求之前,还包括:
接收并存储所述序列号***发送的注册名称、注册认证信息及令牌;
相应的,所述向所述ERP***发送序列号***的加密令牌,包括:
利用所述第三密钥对所述令牌进行加密得到所述加密令牌,并将所述加密令牌发送至所述ERP***;
相应的,所述对所述***名称进行验证,包括:
利用所述注册名称对所述***名称进行验证;
相应的,所述利用所述第三密钥解密所述加密认证信息及所述加密令牌,包括:
利用所述第三密钥分别解密所述加密认证信息及所述加密令牌,得到所述认证信息及待测令牌;
当所述认证信息与所述注册认证信息相同且所述待测令牌与所述令牌相同时,判定解密成功。
本发明还提供一种授权设备,包括:
请求验证模块,用于接收并验证ERP***发送的加密票据请求,并在验证通过后向所述ERP***发送加密授权票据;
票据验证模块,用于接收并验证所述ERP***发送的加密授权票据,并在验证通过后向所述ERP***发送序列号***的加密令牌,以使所述ERP***向所述序列号***发送所述加密令牌;
令牌验证模块,用于接收并验证所述序列号***发送的加密令牌,并在验证通过后向所述序列号***发送授权标识,以使所述序列号***向所述ERP***提供接口服务。
本发明还提供一种授权***,包括:ERP***、授权设备及序列号***,其中,
所述ERP***,用于向所述授权设备发送所述加密票据请求,并接收加密授权票据;向所述授权设备发送所述加密授权票据,并接收加密令牌;向所述序列号***发送所述加密令牌,并在所述序列号***授权成功后与所述序列号***的接口服务进行数据交互;
所述授权设备,用于执行如上述所述的服务授权方法;
所述序列号***,用于接收所述加密令牌,并将所述加密令牌发送至所述授权设备;在接收到所述授权设备发送过的授权标识后,判定授权成功,并向所述ERP***提供接口服务。
本发明还提供一种电子设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上述所述的服务授权方法。
本发明还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现如上述所述的服务授权方法。
本发明提供一种服务授权方法,应用于授权设备,所述方法包括:接收并验证ERP***发送的加密票据请求,并在验证通过后向所述ERP***发送加密授权票据;接收并验证所述ERP***发送的加密授权票据,并在验证通过后向所述ERP***发送序列号***的加密令牌,以使所述ERP***向所述序列号***发送所述加密令牌;接收并验证所述序列号***发送的加密令牌,并在验证通过后向所述序列号***发送授权标识,以使所述序列号***向所述ERP***提供接口服务。
可见,本发明在ERP***及序列号***中间增加了第三方的授权设备,该设备首先会验证ERP***发送的加密票据请求,以确认ERP***的身份,并在验证通过后向其发送加密授权票据;授权设备随后会验证ERP***发送的加密授权票据,并在进一步确定ERP***可信任后,向其发送序列号***的加密令牌,而ERP***则会利用该令牌向序列号***请求接口服务;最后,授权设备会接收序列号***所发送的加密令牌,并在验证通过后向序列号***发送授权标识,以向序列号***传达ERP***可信任的信息,以便序列号***向ERP***提供接口服务。换而言之,本发明实施例在ERP***及序列号***中间增加了第三方的授权设备,并采用多步验证来确定ERP***的身份及其可信任状态,进而确保ERP***与序列号***之间的通信安全,无需用户名及密码,能够有效避免由用户名和密码泄露所导致的ERP***被攻击或序列号***令牌被盗用的问题,进而可有效提升ERP***与序列号***在公共网络的通信安全性。本发明还提供了一种授权设备、***、电子设备及计算机可读存储介质,具有上述有益效果。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例所提供的一种服务授权方法的流程图;
图2为本发明实施例所提供的另一种服务授权方法的流程图;
图3为本发明实施例所提供的一种授权设备的结构框图;
图4为本发明实施例所提供的一种授权***的结构框图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
相关技术中,ERP***需要获取到序列号***的令牌,进而才能使用序列号***的接口服务,同时ERP***与序列号***之间通常采用用户名及密码进行身份验证,并利用加密算法进行通信加密。然而用户名及密码容易发生泄漏,进而容易导致ERP***被攻击,或是序列号***的令牌信息被盗用。因此,如何提升ERP***与序列号***在公共网络中的通信安全性,是本领域技术人员所需面对的技术问题。有鉴于此,本发明实施例提供一种服务授权方法,可在ERP***及序列号***中间增加了第三方的授权设备,并采用多步验证来确定ERP***的身份及其可信任状态,无需用户名及密码,可有效确保ERP***与序列号***之间的通信安全。请参考图1,图1为本发明实施例所提供的一种服务授权方法的流程图,该方法应用于授权设备,可以包括:
S101、接收并验证ERP***发送的加密票据请求,并在验证通过后向ERP***发送加密授权票据。
票据(Ticket)为向用户签发的验证数据。在本发明实施例中,授权票据(GrantingTicket)为表示ERP***身份信息的票据数据,需要在验证ERP***的身份数据后才可颁发,而ERP***可利用票据继续向授权设备获取序列号***的令牌信息。为了确保授权票据安全有效,授权设备需要利用预设密钥对其进行加密。需要说明的是,本发明实施例并不限定加密授权票据的具体形式,可参考票据的相关技术。本发明实施例也不限定对授权票据的加密方式及预设密钥形式,可参考加密的相关技术。
进一步,可以理解的是,加密票据请求中需要包含可表征ERP***身份的身份数据。本发明实施例并不限定具体的身份数据,例如可以为ERP***的***名称,也可以为ERP***在授权设备中已记录的认证信息,其中认证信息可用于标识ERP***。在本发明实施例中,为了提升验证效率及可靠性,加密票据请求中可同时包含ERP***的***名称及认证信息。需要说明的是,本发明实施例并不限定***名称的具体形式,例如可以为字符串,也可以为其他形式,也可以为***编号,可根据实际应用需求进行设定;本发明实施例也不限定认证信息的具体形式,例如可以为字符串,也可以为哈希(hash)串等,同样可根据实际应用需求进行设定,只要能够标识ERP***即可。
进一步,为了防止其他设备盗用ERP***的信息,也可以利用预设密钥对认证信息进行加密。本发明实施例并不限定具体的预设密钥,也不限定具体的加密方式,可根据实际应用需求进行设定。进一步,为了确保授权设备可解密认证信息,该预设密钥也应当设置于授权设备中。可以理解的是,预设密码的明文信息一旦在网络中进行传输,则存在泄露风险。为了避免该风险,可在ERP***及授权设备出厂时,便将预设密钥预设于这些***及设备中。
在一种可能的情况中,验证ERP***发送的加密票据请求,并在验证通过后向ERP***发送加密授权票据,可以包括:
步骤11:从加密票据请求中提取***名称及加密认证信息,并对***名称进行验证;若验证通过,则进入步骤12;若验证未通过,则退出流程;加密认证信息由ERP***利用第一密钥对认证信息进行加密得到,第一密钥预设于ERP***及授权设备;
步骤12:利用第一密钥解密加密认证信息;若解密成功,则进入步骤13;若解密失败,则退出流程;
步骤13:利用第二密钥生成加密授权票据,并将加密授权票据发送至ERP***。
可以理解的是,为了便于授权设备验证,则ERP***需要预先将***名称及认证信息发送至授权设备进行存储,例如在注册时进行发送。
在一种可能的情况中,在接收并验证ERP***发送的加密票据请求之前,还可以包括:
步骤21:接收并存储ERP***发送的注册名称及注册认证信息;
在本发明实施例中,注册名称即为ERP***在注册时期所发送的***名称,而注册认证信息则为ERP***在注册时期所发送的认证信息,与之相关的限定描述请参考上述实施例。
相应的,对***名称进行验证,可以包括:
步骤31:将***名称与注册名称进行比对,并在确定***名称与注册名称相同时判定验证通过;
相应的,利用第一密钥解密加密认证信息,可以包括:
步骤41:利用第一密钥解密加密认证信息得到认证信息,并将认证信息与注册认证信息进行比对;
步骤42:若认证信息与注册认证信息相同,则判定解密成功。
S102、接收并验证ERP***发送的加密授权票据,并在验证通过后向ERP***发送序列号***的加密令牌,以使ERP***向序列号***发送加密令牌。
ERP***在收到加密授权票据后,便可进一步利用该票据向授权设备获取序列号***的加密令牌,而授权设备则可利用加密时所使用的密钥进一步验证该票据。
在一种可能的情况中,验证ERP***发送的加密授权票据,可以包括:
步骤51:接收ERP***发送的加密授权票据,并利用第二密钥解密加密授权票据;若解密成功,则进入步骤52;若解密失败,则退出流程;
步骤52:判定验证通过。
进一步,为避免用户端反复向服务端请求数据,令牌(Token)便应运而生。令牌用于授权用户端,这样用户端便可利用令牌直接与客户端进行通信,而不需要反复进行登录。在本发明实施例中,令牌正是起到上述作用,即ERP***在获得序列号***的令牌后,便可取得序列号***的信任。可以理解的是,授权设备首先需要存储序列号***的令牌,进而按需向外提供;同样可以理解的是,为了避免泄露,令牌需要利用预设密钥进行加密。需要说明的是,本发明实施例并不限定具体的预设密钥及加密方式,可参考加密的相关技术。
S103、接收并验证序列号***发送的加密令牌,并在验证通过后向序列号***发送授权标识,以使序列号***向ERP***提供接口服务。
序列号***在接收到ERP***发送的加密令牌后,可将该令牌再次发送至授权设备进行验证,并在接收到授权设备发送的授权标识时,完成服务授权,进而向ERP***提供接口服务。需要说明的是,本发明实施例并不限定授权标识的具体形式,例如可以为一个数字、一个布尔值或是一小段代码。当然,为避免数据盗用,授权设备同样需要对序列号***的身份进行验证,因此序列号***可将加密令牌及身份信息封装至一个令牌验证请求中,并将令牌验证请求发送至授权设备。需要说明的是,对序列号***可包含的身份信息的限定描述,与ERP***的相关描述一致,即序列号***的身份信息同样可包含***名称及认证信息,而认证信息同样可利用预设密钥进行存储;同时,为了便于授权设备解密,该预设密钥同样可预先设置于序列号***及授权设备中。
在一种可能的情况中,验证序列号***发送的加密令牌,并在验证通过后向序列号***发送授权标识,可以包括:
步骤51:接收序列号***发送的令牌验证请求,并从令牌验证请求中提取加密令牌、***名称及加密认证信息;加密认证信息由序列号***利用第三密钥对认证信息进行加密得到,第三密钥预设于序列号***及授权设备;
步骤52:对***名称进行验证,并在验证通过时,利用第三密钥解密加密认证信息及加密令牌;
步骤53:当加密认证信息及加密令牌均解密成功时,向序列号***发送授权标识。
进一步,在一种可能的情况中,在接收并验证ERP***发送的加密票据请求之前,还包括:
步骤61:接收并存储序列号***发送的注册名称、注册认证信息及令牌;
相应的,向ERP***发送序列号***的加密令牌,可以包括:
步骤71:利用第三密钥对令牌进行加密得到加密令牌,并将加密令牌发送至ERP***;
相应的,对***名称进行验证,可以包括:
步骤81:利用注册名称对***名称进行验证;
相应的,利用第三密钥解密加密认证信息及加密令牌,可以包括:
步骤91:利用第三密钥分别解密加密认证信息及加密令牌,得到认证信息及待测令牌;
步骤92:当认证信息与注册认证信息相同且待测令牌与令牌相同时,判定解密成功。
最后,需要说明的是,步骤S101、步骤S102及步骤103可采用相同的服务模块进行处理,也可采用不同的服务模块进行处理。在一种可能的情况中,步骤S101可由一个单独的认证服务(AS,Authentication Server)模块进行处理,而步骤S102和步骤S103可由一个单独的票据服务(TS,Ticket Server)模块进行处理。
基于上述实施例,本发明在ERP***及序列号***中间增加了第三方的授权设备,该设备首先会验证ERP***发送的加密票据请求,以确认ERP***的身份,并在验证通过后向其发送加密授权票据;授权设备随后会验证ERP***发送的加密授权票据,并在进一步确定ERP***可信任后,向其发送序列号***的加密令牌,而ERP***则会利用该令牌向序列号***请求接口服务;最后,授权设备会接收序列号***所发送的加密令牌,并在验证通过后向序列号***发送授权标识,以向序列号***传达ERP***可信任的信息,以便序列号***向ERP***提供接口服务。换而言之,本发明实施例在ERP***及序列号***中间增加了第三方的授权设备,并采用多步验证来确定ERP***的身份及其可信任状态,进而确保ERP***与序列号***之间的通信安全,无需用户名及密码,能够有效避免由用户名和密码泄露所导致的ERP***被攻击或序列号***令牌被盗用的问题,进而可有效提升ERP***与序列号***在公共网络的通信安全性。
下面结合具体的流程图介绍上述服务授权方法,请参考图2,图2为本发明实施例所提供的另一种服务授权方法的流程图,该流程可以包括:
1)ERP和序列号***在授权设备中注册用户,该部分在上线前完成;
2)ERP使用密钥A加密过的报文访问认证服务请求认证票据;报文主体内容如下:
a.认证信息:包含用以自证身份的信息,ERP使用密钥A加密该部分
b.客户端名称:即***名称(UserName);
由于ERP在授权设备中有注册,所以认证服务中有ERP的密钥A,所以密钥A无需在公网中传输。
3)认证服务接收到报文:
a)先判断客户端名称,如果不是注册过的客户端则直接终止交互。
b)如果是注册过的客户端,则从库中找到ERP注册的密钥A,解密认证信息。如果解密成功,则认证服务(AS,Authentication Server)返回用密钥B加密的授权票据给到ERP
4)ERP***把用授权票据发送到授权设备中的票据服务(TS,Ticket Server)中请求访问序列号***的令牌(Token),由于票据服务与认证服务公用密钥B,所以票据服务使用密钥B解密授权票据验证信息准确性,验证成功会使用密钥C加密令牌返回。
5)ERP使用令牌访问序列号***,序列号***报文主体内容如下:
a)认证信息:使用密钥C加密自身请求头中的认证信息;
b)***名称;
c)令牌。
6)票据服务收到序列号***的报文数据后会先解析名称,如果有误会直接认证失败。如果成功则会使用密钥C解密认证信息,如果解密成功紧接着会解密令牌。均成功后返回成功标志。
7)授权设备完成第三方认证,ERP***与序列号***建立连接开始直接通信。
下面对本发明实施例提供的授权设备、***、电子设备及计算机可读存储介质进行介绍,下文描述的授权设备、***、电子设备及计算机可读存储介质与上文描述的服务授权方法可相互对应参照。
请参考图3,图3为本发明实施例所提供的一种授权设备的结构框图,该设备可以包括:
请求验证模块301,用于接收并验证ERP***发送的加密票据请求,并在验证通过后向ERP***发送加密授权票据;
票据验证模块302,用于接收并验证ERP***发送的加密授权票据,并在验证通过后向ERP***发送序列号***的加密令牌,以使ERP***向序列号***发送加密令牌;
令牌验证模块303,用于接收并验证序列号***发送的加密令牌,并在验证通过后向序列号***发送授权标识,以使序列号***向ERP***提供接口服务。
可选地,请求验证模块301,可以包括:
第一验证子模块,用于从加密票据请求中提取***名称及加密认证信息,并对***名称进行验证;加密认证信息由ERP***利用第一密钥对认证信息进行加密得到,第一密钥预设于ERP***及授权设备;
第一解密子模块,用于若验证通过,则利用第一密钥解密加密认证信息;
票据颁发子模块,用于若解密成功,则利用第二密钥生成加密授权票据,并将加密授权票据发送至ERP***。
可选地,票据验证模块302,可以包括:
第二解密子模块,用于接收ERP***发送的加密授权票据,并利用第二密钥解密加密授权票据;若解密成功,则判定验证通过。
可选地,该装置还可以包括:
第一注册模块,用于接收并存储ERP***发送的注册名称及注册认证信息;
相应的,第一验证子模块,可以包括:
第一验证单元,将***名称与注册名称进行比对,并在确定***名称与注册名称相同时判定验证通过;
相应的,第二解密子模块,包括:
第二解密单元,利用第一密钥解密加密认证信息得到认证信息,并将认证信息与注册认证信息进行比对;
若认证信息与注册认证信息相同,则判定解密成功。
可选地,令牌验证模块303,可以包括:
提取子模块,用于接收序列号***发送的令牌验证请求,并从令牌验证请求中提取加密令牌、***名称及加密认证信息;加密认证信息由序列号***利用第三密钥对认证信息进行加密得到,第三密钥预设于序列号***及授权设备;
第二验证子模块,用于对***名称进行验证,并在验证通过时,利用第三密钥解密加密认证信息及加密令牌;
授权子模块,用于当加密认证信息及加密令牌均解密成功时,向序列号***发送授权标识。
可选地,该装置还可以包括:
第二注册模块,用于接收并存储序列号***发送的注册名称、注册认证信息及令牌;
相应的,票据验证模块302,可以包括:
令牌下发子模块,用于利用第三密钥对令牌进行加密得到加密令牌,并将加密令牌发送至ERP***;
相应的,第二验证子模块,可以包括:
第二验证单元,用于利用注册名称对***名称进行验证;
相应的,第二验证子模块,可以包括:
第三解密单元,用于利用第三密钥分别解密加密认证信息及加密令牌,得到认证信息及待测令牌;当认证信息与注册认证信息相同且待测令牌与令牌相同时,判定解密成功。
请参考图4,图4为本发明实施例所提供过得一种授权***的结构框图,该***可以包括:ERP***401、授权设备402及序列号***403,其中,
ERP***401,用于向授权设备发送加密票据请求,并接收加密授权票据;向授权设备发送加密授权票据,并接收加密令牌;向序列号***发送加密令牌,并在序列号***授权成功后与序列号***的接口服务进行数据交互;
授权设备402,用于执行如上述实施例所述的服务授权方法;
序列号***403,用于接收加密令牌,并将加密令牌发送至授权设备;在接收到授权设备发送过的授权标识后,判定授权成功,并向ERP***提供接口服务。
由于授权***的实施例与服务授权方法部分的实施例相互对应,因此授权***部分的实施例请参见服务授权方法部分的实施例的描述,这里暂不赘述。
本发明实施例还提供一种电子设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时实现如上述的服务授权方法的步骤。
由于电子设备部分的实施例与服务授权方法部分的实施例相互对应,因此电子设备部分的实施例请参见服务授权方法部分的实施例的描述,这里暂不赘述。
本发明实施例还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述任意实施例的服务授权方法的步骤。
由于计算机可读存储介质部分的实施例与服务授权方法部分的实施例相互对应,因此存储介质部分的实施例请参见服务授权方法部分的实施例的描述,这里暂不赘述。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上对本发明所提供的服务授权方法、授权设备、***、电子设备及计算机可读存储介质进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
Claims (6)
1.一种服务授权方法,其特征在于,应用于授权设备,所述方法包括:
接收并验证ERP***发送的加密票据请求,并在验证通过后向所述ERP***发送加密授权票据;
接收并验证所述ERP***发送的加密授权票据,并在验证通过后向所述ERP***发送序列号***的加密令牌,以使所述ERP***向所述序列号***发送所述加密令牌;
接收并验证所述序列号***发送的加密令牌,并在验证通过后向所述序列号***发送授权标识,以使所述序列号***向所述ERP***提供接口服务;
所述验证ERP***发送的加密票据请求,并在验证通过后向所述ERP***发送加密授权票据,包括:
从所述加密票据请求中提取***名称及加密认证信息,并对所述***名称进行验证;所述加密认证信息由所述ERP***利用第一密钥对认证信息进行加密得到,所述第一密钥预设于所述ERP***及所述授权设备;
若验证通过,则利用所述第一密钥解密所述加密认证信息;
若解密成功,则利用第二密钥生成加密授权票据,并将所述加密授权票据发送至所述ERP***;
所述验证所述ERP***发送的加密授权票据,包括:
接收所述ERP***发送的加密授权票据,并利用所述第二密钥解密所述加密授权票据;
若解密成功,则判定验证通过;
所述验证所述序列号***发送的加密令牌,并在验证通过后向所述序列号***发送授权标识,包括:
接收序列号***发送的令牌验证请求,并从所述令牌验证请求中提取所述加密令牌、***名称及加密认证信息;所述加密认证信息由所述序列号***利用第三密钥对认证信息进行加密得到,所述第三密钥预设于所述序列号***及所述授权设备;
对所述***名称进行验证,并在验证通过时,利用所述第三密钥解密所述加密认证信息及所述加密令牌;
当所述加密认证信息及所述加密令牌均解密成功时,向所述序列号***发送所述授权标识;
在接收并验证ERP***发送的加密票据请求之前,还包括:
接收并存储所述序列号***发送的注册名称、注册认证信息及令牌;
相应的,所述向所述ERP***发送序列号***的加密令牌,包括:
利用所述第三密钥对所述令牌进行加密得到所述加密令牌,并将所述加密令牌发送至所述ERP***;
相应的,所述对所述***名称进行验证,包括:
利用所述注册名称对所述***名称进行验证;
相应的,所述利用所述第三密钥解密所述加密认证信息及所述加密令牌,包括:
利用所述第三密钥分别解密所述加密认证信息及所述加密令牌,得到所述认证信息及待测令牌;
当所述认证信息与所述注册认证信息相同且所述待测令牌与所述令牌相同时,判定解密成功。
2.根据权利要求1所述的服务授权方法,其特征在于,在接收并验证ERP***发送的加密票据请求之前,还包括:
接收并存储所述ERP***发送的注册名称及注册认证信息;
相应的,所述对所述***名称进行验证,包括:
将所述***名称与所述注册名称进行比对,并在确定所述***名称与所述注册名称相同时判定验证通过;
相应的,所述利用所述第一密钥解密所述加密认证信息,包括:
利用所述第一密钥解密所述加密认证信息得到所述认证信息,并将所述认证信息与所述注册认证信息进行比对;
若所述认证信息与所述注册认证信息相同,则判定解密成功。
3.一种授权设备,其特征在于,包括:
请求验证模块,用于接收并验证ERP***发送的加密票据请求,并在验证通过后向所述ERP***发送加密授权票据;
票据验证模块,用于接收并验证所述ERP***发送的加密授权票据,并在验证通过后向所述ERP***发送序列号***的加密令牌,以使所述ERP***向所述序列号***发送所述加密令牌;
令牌验证模块,用于接收并验证所述序列号***发送的加密令牌,并在验证通过后向所述序列号***发送授权标识,以使所述序列号***向所述ERP***提供接口服务;
所述请求验证模块,包括:
第一验证子模块,用于从所述加密票据请求中提取***名称及加密认证信息,并对所述***名称进行验证;所述加密认证信息由所述ERP***利用第一密钥对认证信息进行加密得到,所述第一密钥预设于所述ERP***及所述授权设备;
第一解密子模块,用于若验证通过,则利用所述第一密钥解密所述加密认证信息;
票据颁发子模块,用于若解密成功,则利用第二密钥生成加密授权票据,并将所述加密授权票据发送至所述ERP***;
所述票据验证模块,包括:
第二解密子模块,用于接收所述ERP***发送的加密授权票据,并利用所述第二密钥解密所述加密授权票据;若解密成功,则判定验证通过;
所述令牌验证模块,包括:
提取子模块,用于接收序列号***发送的令牌验证请求,并从所述令牌验证请求中提取所述加密令牌、***名称及加密认证信息;所述加密认证信息由所述序列号***利用第三密钥对认证信息进行加密得到,所述第三密钥预设于所述序列号***及所述授权设备;
第二验证子模块,用于对所述***名称进行验证,并在验证通过时,利用所述第三密钥解密所述加密认证信息及所述加密令牌;
授权子模块,用于当所述加密认证信息及所述加密令牌均解密成功时,向所述序列号***发送所述授权标识;
所述授权设备,还包括:
第二注册模块,用于接收并存储所述序列号***发送的注册名称、注册认证信息及令牌;
相应的,所述票据验证模块,包括:
令牌下发子模块,用于利用所述第三密钥对所述令牌进行加密得到所述加密令牌,并将所述加密令牌发送至所述ERP***;
相应的,所述第二验证子模块,包括:
第二验证单元,用于利用所述注册名称对所述***名称进行验证;
相应的,所述第二验证子模块,包括:
第三解密单元,用于利用所述第三密钥分别解密所述加密认证信息及所述加密令牌,得到所述认证信息及待测令牌;当所述认证信息与所述注册认证信息相同且所述待测令牌与所述令牌相同时,判定解密成功。
4.一种授权***,其特征在于,包括:ERP***、授权设备及序列号***,其中,
所述ERP***,用于向所述授权设备发送所述加密票据请求,并接收加密授权票据;向所述授权设备发送所述加密授权票据,并接收加密令牌;向所述序列号***发送所述加密令牌,并在所述序列号***授权成功后与所述序列号***的接口服务进行数据交互;
所述授权设备,用于执行如权利要求1或2所述的服务授权方法;
所述序列号***,用于接收所述加密令牌,并将所述加密令牌发送至所述授权设备;在接收到所述授权设备发送过的授权标识后,判定授权成功,并向所述ERP***提供接口服务。
5.一种电子设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1或2所述的服务授权方法。
6.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现如权利要求1或2所述的服务授权方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110962550.1A CN113672898B (zh) | 2021-08-20 | 2021-08-20 | 服务授权方法、授权设备、***、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110962550.1A CN113672898B (zh) | 2021-08-20 | 2021-08-20 | 服务授权方法、授权设备、***、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113672898A CN113672898A (zh) | 2021-11-19 |
| CN113672898B true CN113672898B (zh) | 2023-12-22 |
Family
ID=78544918
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110962550.1A Active CN113672898B (zh) | 2021-08-20 | 2021-08-20 | 服务授权方法、授权设备、***、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113672898B (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1906886A (zh) * | 2004-01-08 | 2007-01-31 | 国际商业机器公司 | 在计算机***之间建立用于传递消息的安全上下文 |
| CN104113552A (zh) * | 2014-07-28 | 2014-10-22 | 百度在线网络技术(北京)有限公司 | 一种平台授权方法、平台服务端及应用客户端和*** |
| CN105556919A (zh) * | 2013-09-09 | 2016-05-04 | 格罗方德半导体公司 | 使用服务请求票据进行多因素认证 |
| CN109547432A (zh) * | 2018-11-19 | 2019-03-29 | 中国银行股份有限公司 | 多***验证方法及装置、存储介质及电子设备 |
| CN110647726A (zh) * | 2019-09-30 | 2020-01-03 | 山东浪潮通软信息科技有限公司 | 一种基于云模式下的多模型授权许可框架及方法 |
| CN111327582A (zh) * | 2019-08-22 | 2020-06-23 | 刘高峰 | 一种基于OAuth协议的授权方法、装置及*** |
| CN111770088A (zh) * | 2020-06-29 | 2020-10-13 | 南方电网科学研究院有限责任公司 | 数据鉴权方法、装置、电子设备和计算机可读存储介质 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10887103B2 (en) * | 2015-02-27 | 2021-01-05 | Feitian Technologies Co., Ltd. | Operating method for push authentication system and device |
| US11283794B2 (en) * | 2020-01-09 | 2022-03-22 | Michael Kübler | Method for monitoring activity of database server administrator in enterprise resource planning system and the tamper-proof enterprise resource planning system |
-
2021
- 2021-08-20 CN CN202110962550.1A patent/CN113672898B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1906886A (zh) * | 2004-01-08 | 2007-01-31 | 国际商业机器公司 | 在计算机***之间建立用于传递消息的安全上下文 |
| CN105556919A (zh) * | 2013-09-09 | 2016-05-04 | 格罗方德半导体公司 | 使用服务请求票据进行多因素认证 |
| CN104113552A (zh) * | 2014-07-28 | 2014-10-22 | 百度在线网络技术(北京)有限公司 | 一种平台授权方法、平台服务端及应用客户端和*** |
| CN109547432A (zh) * | 2018-11-19 | 2019-03-29 | 中国银行股份有限公司 | 多***验证方法及装置、存储介质及电子设备 |
| CN111327582A (zh) * | 2019-08-22 | 2020-06-23 | 刘高峰 | 一种基于OAuth协议的授权方法、装置及*** |
| CN110647726A (zh) * | 2019-09-30 | 2020-01-03 | 山东浪潮通软信息科技有限公司 | 一种基于云模式下的多模型授权许可框架及方法 |
| CN111770088A (zh) * | 2020-06-29 | 2020-10-13 | 南方电网科学研究院有限责任公司 | 数据鉴权方法、装置、电子设备和计算机可读存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 一种云存储环境下的增强认证授权服务模型;王海青;李凤海;;信息技术(06);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113672898A (zh) | 2021-11-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106850699B (zh) | 一种移动终端登录认证方法及*** | |
| CN102217277B (zh) | 基于令牌进行认证的方法和*** | |
| US7526649B2 (en) | Session key exchange | |
| CN110519309B (zh) | 数据传输方法、装置、终端、服务器及存储介质 | |
| US8590024B2 (en) | Method for generating digital fingerprint using pseudo random number code | |
| US20190147441A1 (en) | Method and device for providing and obtaining graphic code information, and terminal | |
| CN110990827A (zh) | 一种身份信息验证方法、服务器及存储介质 | |
| CN111275419B (zh) | 一种区块链钱包签名确权方法、装置及*** | |
| EP1886204B1 (en) | Transaction method and verification method | |
| CN107145769B (zh) | 一种数字版权管理drm方法、设备及*** | |
| CN111800378B (zh) | 一种登录认证方法、装置、***和存储介质 | |
| KR101817152B1 (ko) | 신뢰된 권한 정보 제공 방법, 신뢰된 권한 정보를 포함하는 사용자 크리덴셜 발급 방법 및 사용자 크리덴셜 획득 방법 | |
| CN111030814A (zh) | 秘钥协商方法及装置 | |
| CN111914293A (zh) | 一种数据访问权限验证方法、装置、计算机设备及存储介质 | |
| CN113886771A (zh) | 一种软件授权认证方法 | |
| CN111143822A (zh) | 一种应用***访问方法及装置 | |
| CN113395282A (zh) | 一种阻止第三方访问服务端资源的方法及*** | |
| CN112887099B (zh) | 数据签名方法、电子设备及计算机可读存储介质 | |
| CN113505353A (zh) | 一种认证方法、装置、设备和存储介质 | |
| CN109743283B (zh) | 一种信息传输方法及设备 | |
| CN113672898B (zh) | 服务授权方法、授权设备、***、电子设备及存储介质 | |
| CN114036490B (zh) | 外挂软件接口调用安全认证方法、USBKey驱动装置及认证*** | |
| CN115225286A (zh) | 应用访问鉴权方法及装置 | |
| CN112423298B (zh) | 一种道路交通信号管控设施身份认证***及方法 | |
| CN113297563A (zh) | 访问片上***特权资源的方法、装置及片上*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |