CN113872989A - 基于ssl协议的认证方法、装置、计算机设备和存储介质 - Google Patents
基于ssl协议的认证方法、装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN113872989A CN113872989A CN202111215343.6A CN202111215343A CN113872989A CN 113872989 A CN113872989 A CN 113872989A CN 202111215343 A CN202111215343 A CN 202111215343A CN 113872989 A CN113872989 A CN 113872989A
- Authority
- CN
- China
- Prior art keywords
- information
- client
- authentication
- user
- acquiring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 46
- 238000012795 verification Methods 0.000 claims abstract description 45
- 238000004590 computer program Methods 0.000 claims description 25
- 238000013475 authorization Methods 0.000 claims description 22
- 238000000605 extraction Methods 0.000 claims description 13
- 238000010586 diagram Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000002452 interceptive effect Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000036039 immunity Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/102—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying security measure for e-commerce
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请涉及一种基于SSL协议的认证方法、装置、计算机设备和存储介质。方法包括:若确定客户端对服务器证书验证通过,则向客户端发送认证请求信息,并接收客户端根据所述认证请求信息返回的认证信息;根据认证信息,获取客户端的登录认证通过信息;根据登录认证通过信息,获取用户的交易请求信息;根据交易请求信息,获取客户端的交易认证通过信息。相较于相关技术中,由于将所有的用户密钥存储于认证端中,替代了传统的密钥存储器,可以避免因传统的密钥存储器USB KEY易丢失造成的安全隐患,提高了客户端认证的安全性。
Description
技术领域
本申请涉及网络安全技术领域,特别是涉及一种基于SSL协议的认证方法、装置、计算机设备和存储介质。
背景技术
随着电子商务的发展和智能手持设备的日益普及,电子交易的安全问题已经成为用户关注的焦点。安全套接层SSL(Secure Socket Layer)协议为在线交易提供一个安全可靠的网络环境,使得它被广泛使用。SSL协议是互联网上最为常用的安全协议之一,SSL握手协议:它建立在SSL记录协议之上,由于在实际的数据传输开始前,对通讯双方进行身份认证、协商加密算法、交换加密密钥等。SSL协议能够利用证书验证服务器和用户的身份,并且对交互信息进行加密,协议使用的加密算法和密钥较为安全,能够防止被攻击者窃听。
然而,尽管提供了数据加密、身份验证和其他安全服务,SSL协议也只能够实现相对的安全。从它诞生的第一天起,对于SSL的攻击就层出不穷,SSL协议的各种安全隐患可能在这种攻击中导致用户遭受到巨大的经济损失,而SSL中间人攻击(Man In The Middle,MITM)就是一种常见的、危害大的利用SSL协议的安全漏洞来实现攻击的方式。中间人攻击,又称第三人攻击,它是一种“间接”的入侵攻击,它包括两个步骤,攻击者首先通过会话劫持的手段,使自已处于用户和服务器的中间人位置,以便获取用户和服务器之间的交互报文。随后,攻击者对用户的请求进行代理,从而获取用户的个人信息,利用用户的个人信息实现攻击。因此,如何提高SSL协议对中间人攻击的免疫能力、保证交易中敏感信息的安全已经成为研究信息安全问题的焦点。
在相关技术中,SSL协议的双证书认证机制可以有效防止中间人攻击,但是现有的SSL在对客户端进行认证时,用户的客户端的认证信息是通过传统的密钥存储器USB KEY来进行保密的,而传统的密钥存储器USB KEY携带不便,容易丢失,存在安全隐患。
发明内容
基于此,有必要针对上述技术问题,提供一种基于SSL协议的认证方法、装置、计算机设备和存储介质。
一种基于SSL协议的认证方法,所述方法包括:
若确定客户端对服务器证书验证通过,则向客户端发送认证请求信息,并接收客户端根据认证请求信息返回的认证信息;
根据认证信息,获取客户端的登录认证通过信息;
根据登录认证通过信息,获取用户的交易请求信息;
根据交易请求信息,获取客户端的交易认证通过信息。
在其中一个实施例中,向客户端发送认证请求信息之前,包括:
向客户端发送服务器证书,服务器证书用于指示客户端根据SSL协议,验证服务器证书是否合法;
若接收到客户端返回的验证合法消息,则确定客户端对服务器证书验证通过。
在其中一个实施例中,根据认证信息,获取客户端的登录认证信息,包括:
根据SSL协议解析认证信息,获取用户的身份信息;
根据身份信息,判断用户的是否为已登录用户;
若用户为已登录用户,则生成授权信息;
根据授权信息及用户的用户设置信息,获取用户的客户端证书;
根据客户端证书,获取客户端的登录认证信息。
在其中一个实施例中,根据身份信息,判断用户的是否为已登录用户之后,包括:
若用户为未登录用户,则判断用户的身份是否合法;
若用户的身份为合法,则生成授权信息;
若用户的身份为不合法,则结束认证。
在其中一个实施例中,根据客户端证书,获取客户端的登录认证信息,包括:
将服务器的标准验证信息与客户端证书进行匹配,获取匹配信息;
根据匹配信息,判断客户端的登录认证是否成功;
若客户端的登录认证成功,获取客户端的登录认证信息。
在其中一个实施例中,根据交易请求信息,获取客户端的交易认证信息,包括:
根据SSL协议解析交易请求信息,获取用户的用户密钥;
根据用户密钥,获取客户端的交易认证信息。
在其中一个实施例中,所有用户的用户密钥均存储于认证端中;相应地,根据SSL协议解析交易请求信息,获取用户的用户密钥,包括:
根据SSL协议解析用户的交易请求信息,获取密钥提取请求;
根据密钥提取请求,获取口令输入请求;
根据口令输入请求,获取用户的输入口令;
根据输入口令,从认证端中获取用户的用户密钥。
一种基于SSL协议的认证装置,所述装置包括:
接收模块,用于若确定客户端对服务器证书验证通过,则向客户端发送认证请求信息,并接收客户端根据认证请求信息返回的认证信息;
第一获取模块,用于根据认证信息,获取客户端的登录认证通过信息;
第二获取模块,用于根据登录认证通过信息,获取用户的交易请求信息;
第三获取模块,用于根据交易请求信息,获取客户端的交易认证通过信息。
一种计算机设备,包括存储器和处理器,存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
若确定客户端对服务器证书验证通过,则向客户端发送认证请求信息,并接收客户端根据认证请求信息返回的认证信息;
根据认证信息,获取客户端的登录认证通过信息;
根据登录认证通过信息,获取用户的交易请求信息;
根据交易请求信息,获取客户端的交易认证通过信息。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
若确定客户端对服务器证书验证通过,则向客户端发送认证请求信息,并接收客户端根据认证请求信息返回的认证信息;
根据认证信息,获取客户端的登录认证通过信息;
根据登录认证通过信息,获取用户的交易请求信息;
根据交易请求信息,获取客户端的交易认证通过信息。
上述基于SSL协议的认证方法、装置、计算机设备和存储介质,若确定客户端对服务器证书验证通过,则向客户端发送认证请求信息,并接收客户端根据认证请求信息返回的认证信息;根据认证信息,获取客户端的登录认证通过信息;根据登录认证通过信息,获取用户的交易请求信息;根据交易请求信息,获取客户端的交易认证通过信息。相较于使用密钥存储器USB KEY来对客户端进行认证,由于采用认证端取代密钥存储器USB KEY,从而避免了密钥存储器USB KEY丢失的风险,进而提高客户端认证的安全性。
附图说明
图1为一个实施例中基于SSL协议的认证方法的应用环境图;
图2为一个实施例中基于SSL协议的认证方法的流程示意图;
图3为一个实施例中基于SSL协议的认证装置的结构框图;
图4为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
可以理解,本申请所使用的术语“第一”、“第二”等可在本文中用于描述各种专业名词,但除非特别说明,这些专业名词不受这些术语限制。这些术语仅用于将一个专业名词与另一个专业名词区分。举例来说,在不脱离本申请的范围的情况下,第三预设阈值与第四预设阈值可以相同可以不同。
本申请提供的一种基于SSL协议的认证方法,可以应用于如图1所示的应用环境中。其中,客户端101通过网络与服务器102进行通信。若确定客户端101对服务器证书验证通过,则向客户端101发送认证请求信息,并接收客户端101根据认证请求信息返回的认证信息;根据认证信息,获取客户端101的登录认证通过信息;根据客户端101的登录认证通过信息,获取用户的交易请求信息;根据交易请求信息,获取客户端101的交易认证通过信息。
其中,客户端101可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备,服务器102可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
在一个实施例中,如图2所示,提供了一种基于SSL协议的认证方法,以该方法应用于图1中的终端为例进行说明,包括以下步骤:
201、若确定客户端对服务器证书验证通过,则向客户端发送认证请求信息,并接收客户端根据认证请求信息返回的认证信息;
202、根据认证信息,获取客户端的登录认证通过信息;
203、根据登录认证通过信息,获取用户的交易请求信息;
204、根据交易请求信息,获取客户端的交易认证通过信息。
在上述步骤201中,服务器证书指的是服务器中的SSL数字证书,其可以用来验证服务器身份。具体地,客户端通过对服务器的SSL数字证书验证,以此来判断服务器的身份。当服务器的身份验证判断为通过时,服务器会根据客户端的提示,向客户端发送认证请求信息,当客户端收到服务器的认证请求信息时,客户端会发送对应的认证信息给服务器。
在上述步骤202中,服务器会对接收到的验证信息进行相应地验证处理,若验证通过后,则服务器会获取到客户端的登录认证通过信息。
在上述步骤203中,当服务器获取了登录认证通过信息,则表示完成了客户端的登录认证,此时,服务器会向客户端发送登录认证通过消息。当客户端接收到登录认证通过消息后,会根据用户的需求向服务器发送交易请求信息,使得服务器可以接收到用户的交易请求信息。
在上述步骤204中,服务器接收到交易请求信息后,会对该交易请求信息进行相应地验证处理,若验证通过后,则服务器会获取到客户端的交易认证通过信息。
本发明实施例提供的方法,通过SSL协议来实现服务器对客户端的登录认证及交易认证,可以避免因传统的密钥存储器USB KEY易丢失造成的安全隐患,提高客户端认证信息的安全性。
在一个实施例中,向客户端发送认证请求信息之前,包括:
301、向客户端发送服务器证书,服务器证书用于指示客户端根据SSL协议,验证服务器证书是否合法;
302、若接收到客户端返回的验证合法消息,则确定客户端对服务器证书验证通过。
具体地,在服务器验证客户端之前,需要完成客户端对服务器的验证。即客户端会向服务器发送验证请求,当服务器接收到验证请求后,会向客户端发送服务器证书;客户端接收到服务器的服务器证书后,会根据SSL协议对服务器证书进行解析,然后根据解析的信息判断服务器证书是否合法。
若服务器的证书为合法,则确定客户端对服务器证书验证通过。若服务器的证书为不合法,则确定客户端对服务器证书验证不通过,客户端将返回验证不通过信息给服务器,等待下一次验证。
本发明实施例提供的方法,通过客户端对服务器的服务器证书进行验证,可以提高网络连接的安全性,从而提高信息交互的安全性。
在一个实施例中,根据认证信息,获取客户端的登录认证信息,包括:
401、根据SSL协议解析认证信息,获取用户的身份信息;
402、根据身份信息,判断用户的是否为已登录用户;
403、若用户为已登录用户,则生成授权信息;
404、根据授权信息及用户的用户设置信息,获取用户的客户端证书;
405、根据客户端证书,获取客户端的登录认证通过信息。
上述步骤403中,已登录用户指的是存在于服务器的登录信息集中的用户。
具体地,当服务器接收到客户端发送的认证信息后,会根据SSL协议对该认证信息进行解析,得到解析后的认证信息;然后,从解析后的认证信息中获取用户的身份信息。当服务器得到用户的身份信息后,会将该身份信息与服务器的已登录信息集中已登陆身份信息进行匹配。
若身份信息匹配成功,则证明该用户是已登陆用户,则服务器会生成授权信息,然后服务器会根据用户的配置信息以及该授权信息生成认证服务,并从客户端获取客户端证书。服务器根据该客户端证书,完成客户端的登录认证,并生成客户端的登录认证通过信息。服务器将该客户端的登录认证通过信息返回给客户端,并且将对用户后续执行的操作进行备份储存。
本发明实施例提供的方法,通过将用户的身份信息与服务器中已登录用户的身份信息进匹配,可以减小服务器对客户端的认证时间,从而提高服务器对客户端的认证效率,进而提高网路传输效率。
在一个实施例中,根据身份信息,判断用户的是否为已登录用户之后,包括:
501、若用户为未登录用户,则判断用户的身份是否合法;
502、若用户的身份为合法,则获取授权信息;
503、若用户的身份为不合法,则结束认证。
在上述步骤501中,当该用户的身份信息未与服务器的已登录信息集中的身份信息匹配成功时,则证明该用户为未登录用户,此时,需要根据该用户的身份信息判断该用户是否合法。
在上述步骤502中,身份信息包括用户的登录名与密码,具体地,通过判断登录名是否正确并且登录名与密码是否匹配,以此判断该用户的身份是否合法。若登录名正确并且登录名与密码匹配,则证明该用户的身份为合法,则服务器生成授权信息。
在上述步骤503中,若登录名不正确或登录名与密码不匹配,则证明该用户的身份为不合法,则服务器结束认证。
本发明实施例提供的方法,通过验证用户的登录名是否正确以及登录名和密码是否匹配,从而可以判断用户的身份信息是否合法,进而可以判断是否生成授权信息。
在一个实施例中,根据客户端证书,获取客户端的登录认证信息,包括:
601、将服务器的标准验证信息与客户端证书进行匹配,获取匹配信息;
602、根据匹配信息,判断客户端的登录认证是否成功;
603、若客户端的登录认证成功,获取客户端的登录认证信息。
对于标准验证信息包含的内容,本发明实施例对其不作具体限定,包括但不限于:序列号、版本、颁发者、校验方式以及有效期。具体地,服务器验证客户端证书的方式是将服务器的标准验证信息中的一种或多种内容与客户端证书的进行匹配,生成匹配信息。比如,将服务器的标准验证信息中的序列号与客户端证书中的序列号进行匹配,生成关于序列号的匹配信息。
然后服务器根据匹配信息判断客户端的登录认证是否成功,若客户端的登录认证成功,则服务器生成登录认证信息,并且将该登录认证信息返回给客户端。若客户端的登录认证不成功,则结束登录认证。
本发明实施例提供的方法,通过将服务器的标准验证信息与客户端证书进行匹配,从而可以判断客户端的登录认证是否成功,进而可以获取客户端的登录认证信息。
在一个实施例中,根据交易请求信息,获取客户端的交易认证信息,包括:
701、根据SSL协议解析交易请求信息,获取用户的用户密钥;
702、根据用户密钥,获取客户端的交易认证信息。
具体地,服务器接收来自客户端的交易请求信息后,需要根据与客户端预定的SSL协议解析该交易请求信息,并从服务端中提取用户密钥;当客户端接收到请求发送用户密钥的消息后,会将用户的用户密钥发送给服务器。服务器会根据该用户密钥完成客户端的交易认证,获取客户端的交易认证信息。与此同时,服务器将对用户执行的操作备份储存生成证书监控报告,并且将该证书监控报告在人机交互界面中进行展示。
本发明实施例提供的方法,通过利用用户密钥完成了加密与解密的过程,从而可以提升通过SSL协议的认证方法的安全性。
在一个实施例中,所有用户的用户密钥均存储于认证端中;相应地,根据SSL协议解析交易请求信息,获取用户的用户密钥,包括:
801、根据SSL协议解析用户的交易请求信息,获取密钥提取请求;
802、根据密钥提取请求,获取口令输入请求;
803、根据口令输入请求,获取用户的输入口令;
804、根据输入口令,从认证端中获取用户的用户密钥。
具体地,服务器根据SSL协议解析来自客户端的用户的交易请求信息,根据解析后的交易请求信息,需要提取用户密钥,而用户密钥全部存储于认证端中,因此,服务器需要向认证端发送用户密钥提取的请求。认证端在接收用户密钥提取请求的信息后,向服务器返回口令输入请求,要求服务器输入正确的口令。服务器根据认证端的口令输入请求向客户端发送输入口令信息,以此获得用户的输入口令。然后服务器将用户的输入口令返回给认证端,以此获得用户的用户密钥。
本发明实施例提供的方法,通过以认证端作为用户密钥的载体,使得认证过程中无需再单独携带用户密钥存储器,简单易用,可以有效防止丢失,从而提高客户端的认证信息的安全性。
结合上述实施例的内容,在一个实施例中,如图3所示,提供了一种基于SSL协议的认证装置,包括:接收模块311、第一获取模块312、第二获取模块313及第三获取模块314,其中:
接收模块311,用于若确定客户端对服务器证书验证通过,则向客户端发送认证请求信息,并接收客户端根据认证请求信息返回的认证信息;
第一获取模块312,用于根据认证信息,获取客户端的登录认证通过信息;
第二获取模块313,用于根据登录认证通过信息,获取用户的交易请求信息;
第三获取模块314,用于根据交易请求信息,获取客户端的交易认证通过信息。
在一个实施例中,向客户端发送认证请求信息之前,基于SSL协议的认证装置,还包括:
证书发送模块,用于向客户端发送服务器证书,其中,服务器证书用于指示客户端根据SSL协议,验证服务器证书是否合法;
确定模块,若接收到客户端返回的验证合法消息,则确定客户端对服务器证书验证通过。
在一个实施例中,第一获取模块312,包括:
第一获取单元,用于根据SSL协议解析认证信息,获取用户的身份信息;
第一判断单元,用于根据身份信息,判断用户的是否为已登录用户;
第一生成单元,用于若用户为已登录用户,则生成授权信息;
第二获取单元,用于根据授权信息及用户的用户设置信息,获取用户的客户端证书;
第三获取单元,用于根据客户端证书,获取客户端的登录认证信息。
在一个实施例中,根据身份信息,判断用户的是否为已登录用户之后,基于SSL协议的认证装置,还包括:
第二判断单元,用于若用户为未登录用户,则判断用户的身份是否合法;
第二生成单元,用于若用户的身份为合法,则生成授权信息;
结束单元,用于若用户的身份为不合法,则结束认证。
在一个实施例中,第三获取单元,包括:
第一获取子单元,用于将服务器的标准验证信息与客户端证书进行匹配,获取匹配信息;
第一判断子单元,用于根据匹配信息,判断客户端的登录认证是否成功;
第二获取子单元,用于若客户端的登录认证成功,获取客户端的登录认证信息。
在一个实施例中,第三获取模块314,包括:
第四获取单元,用于根据SSL协议解析交易请求信息,获取用户的用户密钥;
第五获取单元,用于根据用户密钥,获取客户端的交易认证信息。
在一个实施例中,所有用户的用户密钥均存储于认证端中;相应地,第四获取单元,包括:
第三获取子单元,用于根据SSL协议解析用户的交易请求信息,获取密钥提取请求;
第四获取子单元,用于根据密钥提取请求,获取口令输入请求;
第五获取子单元,用于根据口令输入请求,获取用户的输入口令;
第六获取子单元,用于根据输入口令,从认证端中获取用户的用户密钥。
本发明实施例提供的装置,若确定客户端对服务器证书验证通过,则向客户端发送认证请求信息,并接收客户端根据认证请求信息返回的认证信息;根据认证信息,获取客户端的登录认证通过信息;根据登录认证通过信息,获取用户的交易请求信息;根据交易请求信息,获取客户端的交易认证通过信息。由于将所有的用户密钥存储于认证端中,替代了传统的密钥存储器,可以避免因传统的密钥存储器USB KEY易丢失造成的安全隐患,提高了客户端认证的安全性。
关于基于SSL协议的认证装置的具体限定可以参见上文中对于基于SSL协议的认证方法的限定,在此不再赘述。上述基于SSL协议的认证装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图4所示。该计算机设备包括通过***总线连接的处理器、存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作***、计算机程序和数据库。该内存储器为非易失性存储介质中的操作***和计算机程序的运行提供环境。该计算机设备的数据库用于存储预设阈值。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种基于SSL协议的认证方法。
本领域技术人员可以理解,图4中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现以下步骤:
若确定客户端对服务器证书验证通过,则向客户端发送认证请求信息,并接收客户端根据认证请求信息返回的认证信息;
根据认证信息,获取客户端的登录认证通过信息;
根据登录认证通过信息,获取用户的交易请求信息;
根据交易请求信息,获取客户端的交易认证通过信息。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
向客户端发送服务器证书,服务器证书用于指示客户端根据SSL协议,验证服务器证书是否合法;
若接收到客户端返回的验证合法消息,则确定客户端对服务器证书验证通过。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
根据SSL协议解析认证信息,获取用户的身份信息;
根据身份信息,判断用户的是否为已登录用户;
若用户为已登录用户,则生成授权信息;
根据授权信息及用户的用户设置信息,获取用户的客户端证书;
根据客户端证书,获取客户端的登录认证信息。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
若用户为未登录用户,则判断用户的身份是否合法;
若用户的身份为合法,则生成授权信息;
若用户的身份为不合法,则结束认证。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
将服务器的标准验证信息与客户端证书进行匹配,获取匹配信息;
根据匹配信息,判断客户端的登录认证是否成功;
若客户端的登录认证成功,获取客户端的登录认证信息。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
根据SSL协议解析交易请求信息,获取用户的用户密钥;
根据用户密钥,获取客户端的交易认证信息。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
根据SSL协议解析用户的交易请求信息,获取密钥提取请求;
根据密钥提取请求,获取口令输入请求;
根据口令输入请求,获取用户的输入口令;
根据输入口令,从认证端中获取用户的用户密钥。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
若确定客户端对服务器证书验证通过,则向客户端发送认证请求信息,并接收客户端根据认证请求信息返回的认证信息;
根据认证信息,获取客户端的登录认证通过信息;
根据登录认证通过信息,获取用户的交易请求信息;
根据交易请求信息,获取客户端的交易认证通过信息。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
向客户端发送服务器证书,服务器证书用于指示客户端根据SSL协议,验证服务器证书是否合法;
若接收到客户端返回的验证合法消息,则确定客户端对服务器证书验证通过。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
根据SSL协议解析认证信息,获取用户的身份信息;
根据身份信息,判断用户的是否为已登录用户;
若用户为已登录用户,则生成授权信息;
根据授权信息及用户的用户设置信息,获取用户的客户端证书;
根据客户端证书,获取客户端的登录认证信息。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
若用户为未登录用户,则判断用户的身份是否合法;
若用户的身份为合法,则生成授权信息;
若用户的身份为不合法,则结束认证。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
将服务器的标准验证信息与客户端证书进行匹配,获取匹配信息;
根据匹配信息,判断客户端的登录认证是否成功;
若客户端的登录认证成功,获取客户端的登录认证信息。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
根据SSL协议解析交易请求信息,获取用户的用户密钥;
根据用户密钥,获取客户端的交易认证信息。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
根据SSL协议解析用户的交易请求信息,获取密钥提取请求;
根据密钥提取请求,获取口令输入请求;
根据口令输入请求,获取用户的输入口令;
根据输入口令,从认证端中获取用户的用户密钥。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-Only Memory,ROM)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic Random Access Memory,DRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种基于SSL协议的认证方法,其特征在于,所述方法包括:
若确定客户端对服务器证书验证通过,则向客户端发送认证请求信息,并接收所述客户端根据所述认证请求信息返回的认证信息;
根据所述认证信息,获取所述客户端的登录认证通过信息;
根据所述登录认证通过信息,获取用户的交易请求信息;
根据所述交易请求信息,获取所述客户端的交易认证通过信息。
2.根据权利要求1所述的方法,其特征在于,所述向客户端发送认证请求信息之前,包括:
向所述客户端发送服务器证书,所述服务器证书用于指示所述客户端根据所述SSL协议,验证所述服务器证书是否合法;
若接收到所述客户端返回的验证合法消息,则确定所述客户端对服务器证书验证通过。
3.根据权利要求1所述的方法,其特征在于,所述根据所述认证信息,获取所述客户端的登录认证信息,包括:
根据所述SSL协议解析所述认证信息,获取用户的身份信息;
根据所述身份信息,判断所述用户的是否为已登录用户;
若所述用户为已登录用户,则生成授权信息;
根据所述授权信息及所述用户的用户设置信息,获取所述用户的客户端证书;
根据所述客户端证书,获取所述客户端的登录认证信息。
4.根据权利要求3所述的方法,其特征在于,所述根据所述身份信息,判断所述用户的是否为已登录用户之后,包括:
若所述用户为未登录用户,则判断所述用户的身份是否合法;
若所述用户的身份为合法,则生成授权信息;
若所述用户的身份为不合法,则结束认证。
5.根据权利要求3所述的方法,其特征在于,所述根据所述客户端证书,获取所述客户端的登录认证信息,包括:
将服务器的标准验证信息与所述客户端证书进行匹配,获取匹配信息;
根据匹配信息,判断所述客户端的登录认证是否成功;
若所述客户端的登录认证成功,获取所述客户端的登录认证信息。
6.根据权利要求1所述的方法,其特征在于,所述根据所述交易请求信息,获取所述客户端的交易认证信息,包括:
根据所述SSL协议解析所述交易请求信息,获取所述用户的用户密钥;
根据所述用户密钥,获取所述客户端的交易认证信息。
7.根据权利要求6所述的方法,其特征在于,所有用户的用户密钥均存储于认证端中;相应地,所述根据SSL协议解析所述交易请求信息,获取所述用户的用户密钥,包括:
根据SSL协议解析所述用户的交易请求信息,获取密钥提取请求;
根据所述密钥提取请求,获取口令输入请求;
根据所述口令输入请求,获取所述用户的输入口令;
根据所述输入口令,从所述认证端中获取所述用户的用户密钥。
8.一种基于SSL协议的认证装置,其特征在于,所述装置包括:
接收模块,用于若确定客户端对服务器证书验证通过,则向客户端发送认证请求信息,并接收所述客户端根据所述认证请求信息返回的认证信息;
第一获取模块,用于根据所述认证信息,获取所述客户端的登录认证通过信息;
第二获取模块,用于根据所述登录认证通过信息,获取用户的交易请求信息;
第三获取模块,用于根据所述交易请求信息,获取所述客户端的交易认证通过信息。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述的方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111215343.6A CN113872989B (zh) | 2021-10-19 | 2021-10-19 | 基于ssl协议的认证方法、装置、计算机设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111215343.6A CN113872989B (zh) | 2021-10-19 | 2021-10-19 | 基于ssl协议的认证方法、装置、计算机设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113872989A true CN113872989A (zh) | 2021-12-31 |
| CN113872989B CN113872989B (zh) | 2023-12-05 |
Family
ID=79000233
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111215343.6A Active CN113872989B (zh) | 2021-10-19 | 2021-10-19 | 基于ssl协议的认证方法、装置、计算机设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113872989B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114598549A (zh) * | 2022-03-25 | 2022-06-07 | 杭州迪普科技股份有限公司 | 客户ssl证书验证方法及装置 |
| CN114679299A (zh) * | 2022-02-24 | 2022-06-28 | 广东电网有限责任公司 | 通信协议加密方法、装置、计算机设备和存储介质 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101278538A (zh) * | 2005-10-05 | 2008-10-01 | 普里瓦斯菲尔公司 | 用于用户认证的方法和设备 |
| CN101674304A (zh) * | 2009-10-15 | 2010-03-17 | 浙江师范大学 | 一种网络身份认证***及方法 |
| CN102594822A (zh) * | 2012-02-20 | 2012-07-18 | 南京邮电大学 | 一种基于安全套接层的安全的网络电话的实现方法 |
| CN204166573U (zh) * | 2014-06-17 | 2015-02-18 | ***股份有限公司 | 交易安全认证装置 |
| CN104468124A (zh) * | 2014-12-22 | 2015-03-25 | 联想(北京)有限公司 | 基于ssl的认证方法及电子设备 |
| CN104935553A (zh) * | 2014-03-19 | 2015-09-23 | 北京安讯奔科技有限责任公司 | 统一身份认证平台及认证方法 |
| CN107180172A (zh) * | 2017-04-19 | 2017-09-19 | 上海海加网络科技有限公司 | 一种基于USBKey数字证书认证的IPSAN访问控制方法及装置 |
| CN112118210A (zh) * | 2019-06-20 | 2020-12-22 | 阿里巴巴集团控股有限公司 | 一种认证密钥配置方法、设备、***及存储介质 |
| CN113343192A (zh) * | 2021-08-09 | 2021-09-03 | 中电科(天津)网络信息安全有限公司 | 一种实现数据监管与使用方溯源的方法及*** |
-
2021
- 2021-10-19 CN CN202111215343.6A patent/CN113872989B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101278538A (zh) * | 2005-10-05 | 2008-10-01 | 普里瓦斯菲尔公司 | 用于用户认证的方法和设备 |
| CN101674304A (zh) * | 2009-10-15 | 2010-03-17 | 浙江师范大学 | 一种网络身份认证***及方法 |
| CN102594822A (zh) * | 2012-02-20 | 2012-07-18 | 南京邮电大学 | 一种基于安全套接层的安全的网络电话的实现方法 |
| CN104935553A (zh) * | 2014-03-19 | 2015-09-23 | 北京安讯奔科技有限责任公司 | 统一身份认证平台及认证方法 |
| CN204166573U (zh) * | 2014-06-17 | 2015-02-18 | ***股份有限公司 | 交易安全认证装置 |
| CN104468124A (zh) * | 2014-12-22 | 2015-03-25 | 联想(北京)有限公司 | 基于ssl的认证方法及电子设备 |
| CN107180172A (zh) * | 2017-04-19 | 2017-09-19 | 上海海加网络科技有限公司 | 一种基于USBKey数字证书认证的IPSAN访问控制方法及装置 |
| CN112118210A (zh) * | 2019-06-20 | 2020-12-22 | 阿里巴巴集团控股有限公司 | 一种认证密钥配置方法、设备、***及存储介质 |
| CN113343192A (zh) * | 2021-08-09 | 2021-09-03 | 中电科(天津)网络信息安全有限公司 | 一种实现数据监管与使用方溯源的方法及*** |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114679299A (zh) * | 2022-02-24 | 2022-06-28 | 广东电网有限责任公司 | 通信协议加密方法、装置、计算机设备和存储介质 |
| CN114679299B (zh) * | 2022-02-24 | 2024-03-15 | 广东电网有限责任公司 | 通信协议加密方法、装置、计算机设备和存储介质 |
| CN114598549A (zh) * | 2022-03-25 | 2022-06-07 | 杭州迪普科技股份有限公司 | 客户ssl证书验证方法及装置 |
| CN114598549B (zh) * | 2022-03-25 | 2023-07-07 | 杭州迪普科技股份有限公司 | 客户ssl证书验证方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113872989B (zh) | 2023-12-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110493202B (zh) | 登录令牌的生成及验证方法、装置和服务器 | |
| US11764966B2 (en) | Systems and methods for single-step out-of-band authentication | |
| TWI522836B (zh) | Network authentication method and system for secure electronic transaction | |
| WO2017197974A1 (zh) | 一种基于生物特征的安全认证方法、装置及电子设备 | |
| US8683562B2 (en) | Secure authentication using one-time passwords | |
| US8689290B2 (en) | System and method for securing a credential via user and server verification | |
| WO2017071496A1 (zh) | 实现会话标识同步的方法及装置 | |
| CN109005155B (zh) | 身份认证方法及装置 | |
| US20090158033A1 (en) | Method and apparatus for performing secure communication using one time password | |
| CN111615105B (zh) | 信息提供、获取方法、装置及终端 | |
| US8769289B1 (en) | Authentication of a user accessing a protected resource using multi-channel protocol | |
| US9055061B2 (en) | Process of authentication for an access to a web site | |
| CN108322416B (zh) | 一种安全认证实现方法、装置及*** | |
| CN109145628B (zh) | 一种基于可信执行环境的数据采集方法及*** | |
| CN106161475B (zh) | 用户鉴权的实现方法和装置 | |
| CN112953970A (zh) | 一种身份认证方法及身份认证*** | |
| EP3513539B1 (en) | User sign-in and authentication without passwords | |
| CN113971274B (zh) | 一种身份识别方法及装置 | |
| CN113872989B (zh) | 基于ssl协议的认证方法、装置、计算机设备和存储介质 | |
| CN110557400B (zh) | 登录控制的方法及装置 | |
| CN111669351B (zh) | 鉴权方法、业务服务器、客户端及计算机可读存储介质 | |
| KR20190120899A (ko) | 브라우저 지문을 이용한 싱글 사인온 방법 | |
| US10333707B1 (en) | Systems and methods for user authentication | |
| WO2010128451A2 (en) | Methods of robust multi-factor authentication and authorization and systems thereof | |
| WO2022042745A1 (zh) | 一种密钥管理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20230822 Address after: 518000 building 501, 502, 601, 602, building D, wisdom Plaza, Qiaoxiang Road, Gaofa community, Shahe street, Nanshan District, Shenzhen City, Guangdong Province Applicant after: China Southern Power Grid Digital Platform Technology (Guangdong) Co.,Ltd. Address before: Room 86, room 406, No.1, Yichuang street, Zhongxin Guangzhou Knowledge City, Huangpu District, Guangzhou City, Guangdong Province Applicant before: Southern Power Grid Digital Grid Research Institute Co.,Ltd. |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |