CN114297597B - 一种账户管理方法、***、设备及计算机可读存储介质 - Google Patents
一种账户管理方法、***、设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN114297597B CN114297597B CN202111645839.7A CN202111645839A CN114297597B CN 114297597 B CN114297597 B CN 114297597B CN 202111645839 A CN202111645839 A CN 202111645839A CN 114297597 B CN114297597 B CN 114297597B
- Authority
- CN
- China
- Prior art keywords
- key
- client
- user
- server
- account
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本申请公开了一种账户管理方法、***、设备及计算机可读存储介质,应用于客户端,判断是否保存有用户密钥;若未保存有用户密钥,则标记用户账户的状态为缺少密钥,并获取用户密钥进行保存;若保存有用户密钥,则判断用户账户是否已登录;若用户账户未登录,则标记用户账户的状态为未登录,并基于用户密钥进行账户登录;若用户账户已登录,则标记用户账户的状态为已登录。本申请中,客户端在自身保存有用户密钥但未登录的情况下,需基于用户密钥进行账户登录,借助用户密钥实现了账户的安全登录,保护了账户信息的安全;此外,本申请将账户状态分为缺少密钥、未登录和已登录三个状态,可以快速、灵活的对用户账户进行管控,操作性好。
Description
技术领域
本申请涉及网络安全技术领域,更具体地说,涉及一种账户管理方法、***、设备及计算机可读存储介质。
背景技术
当前,用户在应用软件等过程中,需要执行注册、登录等操作,在此过程中需要将账户信息交付给软件等对应的服务器进行处理,如果攻击者在此过程中作恶的话,会使得用户账户信息泄露,使得用户账户信息的安全性较低。
综上所述,如何提高用户账户信息的安全性是目前本领域技术人员亟待解决的问题。
发明内容
本申请的目的是提供一种账户管理方法,其能在一定程度上解决如何提高用户账户信息的安全性的技术问题。本申请还提供了一种账户管理***、设备及计算机可读存储介质。
为了实现上述目的,本申请提供如下技术方案:
一种账户管理方法,应用于客户端,包括:
判断是否保存有用户密钥;
若未保存有所述用户密钥,则标记用户账户的状态为缺少密钥,并获取所述用户密钥进行保存;
若保存有所述用户密钥,则判断所述用户账户是否已登录;
若所述用户账户未登录,则标记所述用户账户的状态为未登录,并基于所述用户密钥进行账户登录;
若所述用户账户已登录,则标记所述用户账户的状态为已登录。
优选的,所述用户密钥包括所述客户端的扩展密钥及所述客户端的标识密钥;
所述获取所述用户密钥包括:
获取服务器的***公钥;
获取用户标识信息;
生成第一对称密钥,基于所述服务器的***公钥对所述第一对称密钥进行加密,得到目标加密密钥;
传输所述用户标识信息、所述目标加密密钥至所述服务器,以使所述服务器基于所述服务器的***私钥解密得到所述第一对称密钥;
接收所述服务器发送的目标数据,所述目标数据包括数据集及基于所述服务器的***私钥生成的所述数据集的第一签名信息,所述数据集包括所述客户端的扩展密钥及基于所述第一对称密钥对生成的所述客户端的标识密钥进行加密后得到的第一加密结果,且所述客户端的标识密钥基于所述用户标识信息及密钥基生成;
基于所述服务器的***公钥对所述目标数据进行验签,若验签成功,则获取所述客户端的扩展密钥,并基于所述第一对称密钥对所述第一加密结果进行解密,得到所述客户端的标识密钥;
其中,所述密钥基包括8*8的密钥生成矩阵。
优选的,所述用户标识信息包括用户手机号;
所述传输所述用户标识信息、所述目标加密密钥至所述服务器之前,还包括:
传输所述用户手机号及短信验证请求至所述服务器,以使所述服务器向所述用户手机号传输短信验证码;
获取目标短信验证码;
所述传输所述用户标识信息、所述目标加密密钥至所述服务器之后,还包括:
传输所述目标短信验证码至所述服务器,以使所述服务器验证所述目标短信验证码正确后发送所述目标数据。
优选的,保存所述用户密钥,包括:
直接保存所述客户端的扩展密钥;
获取目标密保口令;
基于所述目标密保口令生成第二对称密钥;
基于所述第二对称密钥对所述客户端的标识密钥进行加密,得到第二加密结果并保存。
优选的,所述客户端的扩展密钥包括所述客户端的扩展私钥及所述客户端的扩展公钥;所述客户端的标识密钥包括所述客户端的标识公钥及所述客户端的标识私钥;
所述基于所述用户密钥进行账户登录,包括:
将所述客户端的扩展私钥及所述客户端的标识私钥进行组合,生成所述客户端的用户私钥;
获取账户登录信息;
基于所述服务器的***公钥对所述账户登录信息进行加密,得到第三加密结果;
基于所述客户端的用户私钥对所述第三加密结果进行签名,得到第二签名信息;
传输所述第三加密结果及所述第二签名信息至所述服务器,以使所述服务器基于所述客户端的用户公钥验证所述第二签名信息合法后、基于所述服务器的***私钥解密得到所述账户登录信息、并生成与所述账户登录信息对应的登录token;其中,所述客户端的用户公钥基于所述客户端的扩展公钥及所述客户端的标识公钥组合生成;
接收所述服务器发送的目标token信息,所述目标token信息包括加密token信息及所述加密token信息的第三签名信息,所述加密token信息包括基于所述客户端的用户公钥对所述登录token进行加密后得到的信息,所述第三签名信息包括基于所述服务器的***私钥对所述加密token进行签名后得到的信息;
若基于所述服务器的***公钥验证所述第三签名信息合法,则基于所述客户端的用户私钥对所述加密token信息进行解密,得到所述登录token并保存。
优选的,所述获取服务器的***公钥,包括:
获取所述服务器的标识信息;
获取所述服务器预先生成的所述密钥基,所述密钥基包括8*8的密钥生成矩阵;
基于所述服务器的标识信息及所述密钥基中的公钥基生成所述服务器的标识公钥;
获取所述服务器的扩展公钥;
将所述服务器的标识公钥及所述服务器的扩展公钥进行组合,生成所述服务器的***公钥。
优选的,所述标记所述用户账户的状态为已登录之后,还包括:
获取账户注销请求;
基于所述服务器的***公钥对所述账户注销请求进行加密,得到第四加密结果;
基于所述客户端的用户私钥对所述第四加密结果进行签名,得到第四签名信息;
传输所述第四加密结果及所述第四签名信息至所述服务器,以使所述服务器基于所述客户端的用户公钥验证所述第四签名信息合法后、基于所述服务器的***私钥解密得到所述账户注销请求、并注销对应的用户账户。
一种账户管理***,应用于客户端,包括:
第一判断模块,用于判断是否保存有用户密钥;若未保存有所述用户密钥,则标记用户账户的状态为缺少密钥,并获取所述用户密钥进行保存;
第二判断模块,用于若保存有所述用户密钥,则判断所述用户账户是否已登录;若所述用户账户未登录,则标记所述用户账户的状态为未登录,并基于所述用户密钥进行账户登录;
第三判断模块,用于若所述用户账户已登录,则标记所述用户账户的状态为已登录。
一种账户管理设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上任一所述账户管理方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时实现如上任一所述账户管理方法的步骤。
本申请提供的一种账户管理方法,应用于客户端,判断是否保存有用户密钥;若未保存有用户密钥,则标记用户账户的状态为缺少密钥,并获取用户密钥进行保存;若保存有用户密钥,则判断用户账户是否已登录;若用户账户未登录,则标记用户账户的状态为未登录,并基于用户密钥进行账户登录;若用户账户已登录,则标记用户账户的状态为已登录。本申请中,客户端在自身未保存有用户密钥的情况下需获取用户密钥;而在保存有用户密钥但未登录的情况下,需基于用户密钥进行账户登录,借助用户密钥实现了账户的安全登录,保护了账户信息的安全性;此外,本申请将账户状态分为缺少密钥、未登录和已登录三个状态,借助这三个状态可以快速、灵活的对用户账户进行管控,操作性好。本申请提供的一种账户管理***、设备及计算机可读存储介质也解决了相应技术问题。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例提供的一种账户管理方法的流程图;
图2为本申请中获取用户密钥的流程图;
图3本申请中客户端基于用户密钥进行账户登录的流程图;
图4为本申请实施例提供的一种账户管理***的结构示意图;
图5为本申请实施例提供的一种账户管理设备的结构示意图;
图6为本申请实施例提供的一种账户管理设备的另一结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
请参阅图1,图1为本申请实施例提供的一种账户管理方法的流程图。
本申请实施例提供的一种账户管理方法,应用于客户端,可以包括以下步骤:
步骤S101:判断是否保存有用户密钥;若未保存有用户密钥,则执行步骤S102;若保存有用户密钥,则执行步骤S103。
步骤S102:标记用户账户的状态为缺少密钥,并获取用户密钥进行保存。
实际应用中,客户端可以先判断自身是否保存有用户密钥,若未保存有用户密钥,则标记用户账户的状态为缺少密钥,并获取用户密钥进行存储,以便后续在登录过程中基于用户密钥保证登录安全性。
需要说明的是,客户端在获取用户密钥进行存储之后,可以返回执行步骤S101,或者直接执行后续步骤S103等,本申请在此不做具体限定。
步骤S103:判断用户账户是否已登录;若用户账户未登录,则执行步骤S104;若用户账户已登录,则执行步骤S105。
步骤S104:标记用户账户的状态为未登录,并基于用户密钥进行账户登录。
步骤S105:标记用户账户的状态为已登录。
实际应用中,客户端在判定自身保存有用户密钥之后,可以判断自身的用户账户是否已登录,若未登录,则标记用户账户的状态为未登录,并基于用户密钥进行账户登录,若已登录,则直接标记用户账户的状态为已登录,以借助用户账户的三个状态灵活管控用户账户。
需要说明的是,具体应用场景中,还存在用户账户在不同设备进行登录的情况,此时在判断用户账户是否已登录的过程中,客户端可以先判断自身是否存有登录token及登录token是否在有效期内,若自身未存有登录token或登录token不在有效期内,则确定用户账户的状态为未登录;若自身存有登录token且登录token在有效期内,则获取客户端所在终端设备的标识,并通过服务器来基于该设备标识判断该终端是否为最近登录的设备,若是最近登录的设备,则可以将用户账户的状态标记为已登录;若不是最近登录的设备,则可以通过用户验证该终端设备是否安全,若该终端设备安全,则将用户账户的状态标记为已登录,若该终端设备不安全,则可以将用户账户的状态标记为未登录等,当然,也可以直接将用户账户的状态标记为未登录等。此外,在客户端无法与服务器进行通信,也即无法获取用户账户的最近登录设备的情况下,可以直接将用户账户的状态标记为已登录等,本申请在此不做具体限定。
本申请提供的一种账户管理方法,应用于客户端,判断是否保存有用户密钥;若未保存有用户密钥,则标记用户账户的状态为缺少密钥,并获取用户密钥进行保存;若保存有用户密钥,则判断用户账户是否已登录;若用户账户未登录,则标记用户账户的状态为未登录,并基于用户密钥进行账户登录;若用户账户已登录,则标记用户账户的状态为已登录。本申请中,客户端在自身未保存有用户密钥的情况下需获取用户密钥;而在保存有用户密钥但未登录的情况下,需基于用户密钥进行账户登录,借助用户密钥实现了账户的安全登录,保护了账户信息的安全性;此外,本申请将账户状态分为缺少密钥、未登录和已登录三个状态,借助这三个状态可以快速、灵活的对用户账户进行管控,操作性好。
请参阅图2,图2为本申请中获取用户密钥的流程图。
本申请实施例提供的一种账户管理方法中,用户密钥可以包括客户端的扩展密钥及客户端的标识密钥;相应的,客户端在获取用户密钥的过程中可以执行以下步骤:
步骤S201:获取服务器的***公钥。
实际应用中,客户端可以先获取服务器的***公钥,以借助服务器的***公钥来对后续传输给服务器的数据进行加密,以保证所传输数据的安全性。
步骤S202:获取用户标识信息。
实际应用中,客户端在获取服务器的***公钥之后,便可以获取用户标识信息,以便后续基于用户标识信息来生成相应的用户密钥。
步骤S203:生成第一对称密钥,基于服务器的***公钥对第一对称密钥进行加密,得到目标加密密钥。
实际应用中,为了保证服务器传输给客户端的数据的安全性,客户端还可以生成第一对称密钥,并基于服务器的***公钥对第一对称密钥进行加密,得到目标加密密钥,之后将目标加密密钥传输给服务器的话,可以安全将第一对称密钥传输给服务器,相应的,服务器可以基于自身的***私钥对目标加密密钥进行解密得到第一对称密钥,这样,服务器便可以应用第一对称密钥对需要传输给客户端的数据进行安全保护。
需要说明的是,客户端在生成第一对称密钥的过程中,可以通过SM4算法生成第一对称密钥等,本申请在此不做具体限定。
步骤S204:传输用户标识信息、目标加密密钥至服务器,以使服务器基于服务器的***私钥解密得到第一对称密钥。
实际应用场景中,为了进一步保证客户端与服务器间信息交互的安全性,用户标识信息中还可以包括用户手机号;相应的,客户端在传输用户标识信息、目标加密密钥至服务器之前,还可以传输用户手机号及短信验证请求至服务器,以使服务器向用户手机号传输短信验证码;获取目标短信验证码;传输用户标识信息、目标加密密钥至服务器之后,还可以传输目标短信验证码至服务器,以使服务器验证目标短信验证码正确后再生成并发送目标数据。
不难理解,因为客户端接收的手机号是由服务器发送的,所以服务器在接收到用户手机号及目标短信验证码之后,可以先验证用户手机号及目标短信验证码是否匹配,也即验证该目标短信验证码是否是自身发送给该用户手机号的,若验证用户手机号及目标短信验证码匹配,则可以执行后续流程,若验证用户手机号及目标短信验证码不匹配,则可以直接结束用户密钥的获取流程等,以避免恶意客户端攻击服务器,威胁服务器的安全性。
步骤S205:接收服务器发送的目标数据,目标数据包括数据集及基于服务器的***私钥生成的数据集的第一签名信息,数据集包括客户端的扩展密钥及基于第一对称密钥对生成的客户端的标识密钥进行加密后得到的第一加密结果,且客户端的标识密钥基于用户标识信息及密钥基生成,其中,密钥基包括8*8的密钥生成矩阵。
步骤S206:基于服务器的***公钥对目标数据进行验签,若验签成功,则获取客户端的扩展密钥,并基于第一对称密钥对第一加密结果进行解密,得到客户端的标识密钥。
实际应用中,客户端在生成目标加密密钥之后,便可以传输用户标识信息及目标加密密钥至服务器,相应的,服务器在解密出第一对称密钥之后,可以基于用户标识信息及密钥基生成客户端的标识密钥,生成客户端的扩展密钥,并基于第一对称密钥对客户端的标识密钥进行加密后得到的第一加密结果,将第一加密结果和扩展密钥组合成数据集,并基于自身的***私钥对数据集进行签名,最后将该数据集及数据集的签名作为目标数据发送给客户端。
相应的,客户端在接收到服务器发送的目标数据之后,需基于服务器的***公钥对目标数据进行验签,若验签成功,则获取目标数据中客户端的扩展密钥,并基于第一对称密钥对目标数据中的第一加密结果进行解密,得到客户端的标识密钥。不难理解,如果客户端基于服务器的***公钥对目标数据验证失败,则表明目标数据不是服务器发送的,而是攻击者伪造的,此时,客户端可以直接结束密钥获取流程等,当然也可以执行其他操作,比如等待一定时长并判断能否接收到正确的目标数据以便完成密钥获取等。
具体应用场景中,客户端在保存自身的用户密钥的过程中,为了安全保存自身的标识密钥,可以直接保存客户端的扩展密钥;获取目标密保口令;基于目标密保口令生成第二对称密钥,比如通过密钥派生算法,基于目标密钥口令生成第二对称密钥等;基于第二对称密钥对客户端的标识密钥进行加密,得到第二加密结果并保存。相应的,在应用自身的标识密钥时,可以接收输入的目标密保口令;基于目标密钥口令生成第二对称密钥;基于第二对称密钥对第二加密结果进行解密,得到客户端自身的标识密钥。不难理解,当用户在解密阶段输入的密保口令与在加密阶段输入的密保口令不同时,生成的第二对称密钥不同,便无法对加密的客户端的标识密钥进行解密,也即可以借助密保口令来保护客户端的标识密钥的安全性。
请参阅图3,图3本申请中客户端基于用户密钥进行账户登录的流程图。
本申请实施例提供的一种账户管理方法中,客户端的扩展密钥可以包括客户端的扩展私钥及客户端的扩展公钥;客户端的标识密钥可以包括客户端的标识公钥及客户端的标识私钥;相应的,客户端在基于用户密钥进行账户登录的过程中,可以执行以下步骤:
步骤S301:将客户端的扩展私钥及客户端的标识私钥进行组合,生成客户端的用户私钥。
实际应用中,客户端可以将自身的扩展私钥及自身的标识私钥进行组合来生成自身的用户私钥。
步骤S302:获取账户登录信息。
步骤S303:基于服务器的***公钥对账户登录信息进行加密,得到第三加密结果。
实际应用中,客户端在获取待登录的账户登录信息之后,比如获取账户的用户名及登录密码后,可以基于服务器的***公钥对账户登录信息进行加密得到第三加密结果,以借助服务器的***公钥对账户登录信息进行安全保护。
步骤S304:基于客户端的用户私钥对第三加密结果进行签名,得到第二签名信息。
步骤S305:传输第三加密结果及第二签名信息至服务器,以使服务器基于客户端的用户公钥验证第二签名信息合法后、基于服务器的***私钥解密得到账户登录信息、并生成与账户登录信息对应的登录token;其中,客户端的用户公钥基于客户端的扩展公钥及客户端的标识公钥组合生成。
实际应用中,客户端在生成第三加密结果之后,便可以基于客户端的用户私钥对第三加密结果进行签名,得到第二签名信息,并传输第三加密结果及第二签名信息至服务器,这样,服务器在基于客户端的用户公钥验证第二签名信息合法后,便可以基于服务器的***私钥解密得到账户登录信息,并生成与账户登录信息对应的登录token,以便完成客户端的账户登录流程。
需要说明的是,本申请中客户端的用户公钥基于客户端的扩展公钥及客户端的标识公钥组合生成;且服务器在基于客户端的用户公钥验证第二签名信息不合法之后,可以直接判定客户端为恶意攻击客户端,结束账户登录流程等,以此来保证用户账户及自身的安全性。也即本申请可以借助客户端的用户私钥、服务器的***公钥、服务器的***私钥、客户端的用户公钥及加解密、签名原理来保证用户账户登录的安全性。
步骤S306:接收服务器发送的目标token信息,目标token信息包括加密token信息及加密token信息的第三签名信息,加密token信息包括基于客户端的用户公钥对登录token进行加密后得到的信息,第三签名信息包括基于服务器的***私钥对加密token信息进行签名后得到的信息。
步骤S307:若基于服务器的***公钥验证第三签名信息合法,则基于客户端的用户私钥对加密token信息进行解密,得到登录token并保存。
实际应用中,为了保护登录token的安全性,服务器还可以基于客户端的用户公钥对登录token进行加密后得到加密token信息,基于服务器的***私钥对加密token信息进行签名后得到第三签名信息,并将加密token信息及加密token信息的第三签名信息合成为目标token信息发送给客户端。相应的,客户端只有在基于服务器的***公钥验证第三签名信息合法后,才会基于客户端的用户私钥对加密token信息进行解密,得到登录token并保存。不难理解,若客户端使用的客户端的用户私钥与服务器使用的客户端的用户公钥不匹配,和/或,客户端使用的服务器的***公钥与服务器使用的服务器的***私钥不匹配,客户端均无法从服务器处获取登录token,也就无法完成账户登录流程,所以本申请可以保证用户登录流程的安全性。
具体应用场景中,客户端在获取服务器的***公钥的过程中,可以获取服务器的标识信息;获取服务器预先生成的密钥基,密钥基包括8*8的密钥生成矩阵;基于服务器的标识信息及密钥基中的公钥基生成服务器的标识公钥;获取服务器的扩展公钥;将服务器的标识公钥及服务器的扩展公钥进行组合,生成服务器的***公钥。也即本申请中,服务器或客户端的公钥均可以基于标识公钥及扩展公钥组合生成,服务器或客户端的私钥均可以基于标识私钥及扩展私钥组合生成,简言之,本申请中的密钥可以基于对应的标识密钥及扩展密钥组合生成,比如将标识密钥与扩展密钥拼接后得到最终的密钥,将标识密钥与扩展密钥异或后得到最终的密钥等,且标识密钥基于标识信息及密钥基生成,扩展密钥可以基于SM2算法生成等。此外,因为本申请中的密钥基为8*8的密钥生成矩阵,所以一方面可以借助8*8的密钥生成矩阵快速生成标识密钥,另一方面,又可以借助标识密钥和扩展密钥的组合来保证最终生成的用户密钥的多样性。
具体应用场景中,在标记用户账户的状态为已登录之后,还可以执行用户账户的注销流程等,且在此过程中,为了避免攻击者恶意注销用户账户,可以获取账户注销请求;基于服务器的***公钥对账户注销请求进行加密,得到第四加密结果;基于客户端的用户私钥对第四加密结果进行签名,得到第四签名信息;传输第四加密结果及第四签名信息至服务器,以使服务器基于客户端的用户公钥验证第四签名信息合法后、基于服务器的***私钥解密得到账户注销请求、并注销对应的用户账户。也即服务器只有在验证第四签名合法并成功解密出账户注销请求后,才会注销用户账户,保证用户账户的安全性。
请参阅图4,图4为本申请实施例提供的一种账户管理***的结构示意图。
本申请实施例提供的一种账户管理***,应用于客户端,可以包括:
第一判断模块11,用于判断是否保存有用户密钥;若未保存有用户密钥,则标记用户账户的状态为缺少密钥,并获取用户密钥进行保存;
第二判断模块12,用于若保存有用户密钥,则判断用户账户是否已登录;若用户账户未登录,则标记用户账户的状态为未登录,并基于用户密钥进行账户登录;
第三判断模块13,用于若用户账户已登录,则标记用户账户的状态为已登录。
本申请实施例提供的一种账户管理***,应用于客户端,用户密钥包括客户端的扩展密钥及客户端的标识密钥;
第一判断模块可以具体用于:获取服务器的***公钥;获取用户标识信息;生成第一对称密钥,基于服务器的***公钥对第一对称密钥进行加密,得到目标加密密钥;传输用户标识信息、目标加密密钥至服务器,以使服务器基于服务器的***私钥解密得到第一对称密钥;接收服务器发送的目标数据,目标数据包括数据集及基于服务器的***私钥生成的数据集的第一签名信息,数据集包括客户端的扩展密钥及基于第一对称密钥对生成的客户端的标识密钥进行加密后得到的第一加密结果,且客户端的标识密钥基于用户标识信息及密钥基生成;基于服务器的***公钥对目标数据进行验签,若验签成功,则获取客户端的扩展密钥,并基于第一对称密钥对第一加密结果进行解密,得到客户端的标识密钥;其中,密钥基包括8*8的密钥生成矩阵。
本申请实施例提供的一种账户管理***,应用于客户端,用户标识信息包括用户手机号;还可以包括:
第一传输模块,用于第一判断模块传输用户标识信息、目标加密密钥至服务器之前,传输用户手机号及短信验证请求至服务器,以使服务器向用户手机号传输短信验证码;
第一获取模块,用于获取目标短信验证码;
第二传输模块,用于第一判断模块传输用户标识信息、目标加密密钥至服务器之后,传输目标短信验证码至服务器,以使服务器验证目标短信验证码正确后发送目标数据。
本申请实施例提供的一种账户管理***,应用于客户端,第一判断模块可以具体用于:直接保存客户端的扩展密钥;获取目标密保口令;基于目标密保口令生成第二对称密钥;基于第二对称密钥对客户端的标识密钥进行加密,得到第二加密结果并保存。
本申请实施例提供的一种账户管理***,应用于客户端,客户端的扩展密钥包括客户端的扩展私钥及客户端的扩展公钥;客户端的标识密钥包括客户端的标识公钥及客户端的标识私钥;
第二判断模块可以具体用于:将客户端的扩展私钥及客户端的标识私钥进行组合,生成客户端的用户私钥;获取账户登录信息;基于服务器的***公钥对账户登录信息进行加密,得到第三加密结果;基于客户端的用户私钥对第三加密结果进行签名,得到第二签名信息;传输第三加密结果及第二签名信息至服务器,以使服务器基于客户端的用户公钥验证第二签名信息合法后、基于服务器的***私钥解密得到账户登录信息、并生成与账户登录信息对应的登录token;其中,客户端的用户公钥基于客户端的扩展公钥及客户端的标识公钥组合生成;接收服务器发送的目标token信息,目标token信息包括加密token信息及加密token信息的第三签名信息,加密token信息包括基于客户端的用户公钥对登录token进行加密后得到的信息,第三签名信息包括基于服务器的***私钥对加密token进行签名后得到的信息;若基于服务器的***公钥验证第三签名信息合法,则基于客户端的用户私钥对加密token信息进行解密,得到登录token并保存。
本申请实施例提供的一种账户管理***,应用于客户端,第二判断模块可以具体用于:获取服务器的标识信息;获取服务器预先生成的密钥基,密钥基包括8*8的密钥生成矩阵;基于服务器的标识信息及密钥基中的公钥基生成服务器的标识公钥;获取服务器的扩展公钥;将服务器的标识公钥及服务器的扩展公钥进行组合,生成服务器的***公钥。
本申请实施例提供的一种账户管理***,应用于客户端,第三判断模块可以用于:标记用户账户的状态为已登录之后,获取账户注销请求;基于服务器的***公钥对账户注销请求进行加密,得到第四加密结果;基于客户端的用户私钥对第四加密结果进行签名,得到第四签名信息;传输第四加密结果及第四签名信息至服务器,以使服务器基于客户端的用户公钥验证第四签名信息合法后、基于服务器的***私钥解密得到账户注销请求、并注销对应的用户账户。
本申请还提供了一种账户管理设备及计算机可读存储介质,其均具有本申请实施例提供的一种账户管理方法具有的对应效果。请参阅图5,图5为本申请实施例提供的一种账户管理设备的结构示意图。
本申请实施例提供的一种账户管理设备,包括存储器201和处理器202,存储器201中存储有计算机程序,处理器202执行计算机程序时实现如上任一实施例所描述账户管理方法的步骤。
请参阅图6,本申请实施例提供的另一种账户管理设备中还可以包括:与处理器202连接的输入端口203,用于传输外界输入的命令至处理器202;与处理器202连接的显示单元204,用于显示处理器202的处理结果至外界;与处理器202连接的通信模块205,用于实现用户账户管理设备与外界的通信。显示单元204可以为显示面板、激光扫描使显示器等;通信模块205所采用的通信方式包括但不局限于移动高清链接技术(HML)、通用串行总线(USB)、高清多媒体接口(HDMI)、无线连接:无线保真技术(WiFi)、蓝牙通信技术、低功耗蓝牙通信技术、基于IEEE802.11s的通信技术。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时实现如上任一实施例所描述账户管理方法的步骤。
本申请所涉及的计算机可读存储介质包括随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质。
本申请实施例提供的账户管理***、设备及计算机可读存储介质中相关部分的说明请参见本申请实施例提供的账户管理方法中对应部分的详细说明,在此不再赘述。另外,本申请实施例提供的上述技术方案中与现有技术中对应技术方案实现原理一致的部分并未详细说明,以免过多赘述。
还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
对所公开的实施例的上述说明,使本领域技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (7)
1.一种账户管理方法,其特征在于,应用于客户端,包括:
判断是否保存有用户密钥;
若未保存有所述用户密钥,则标记用户账户的状态为缺少密钥,并获取所述用户密钥进行保存;
若保存有所述用户密钥,则判断所述用户账户是否已登录;
若所述用户账户未登录,则标记所述用户账户的状态为未登录,并基于所述用户密钥进行账户登录;
若所述用户账户已登录,则标记所述用户账户的状态为已登录;
其中,所述用户密钥包括所述客户端的扩展密钥及所述客户端的标识密钥;
所述获取所述用户密钥包括:
获取服务器的***公钥;
获取用户标识信息;
生成第一对称密钥,基于所述服务器的***公钥对所述第一对称密钥进行加密,得到目标加密密钥;
传输所述用户标识信息、所述目标加密密钥至所述服务器,以使所述服务器基于所述服务器的***私钥解密得到所述第一对称密钥;
接收所述服务器发送的目标数据,所述目标数据包括数据集及基于所述服务器的***私钥生成的所述数据集的第一签名信息,所述数据集包括所述客户端的扩展密钥及基于所述第一对称密钥对生成的所述客户端的标识密钥进行加密后得到的第一加密结果,且所述客户端的标识密钥基于所述用户标识信息及密钥基生成;
基于所述服务器的***公钥对所述目标数据进行验签,若验签成功,则获取所述客户端的扩展密钥,并基于所述第一对称密钥对所述第一加密结果进行解密,得到所述客户端的标识密钥;
其中,所述密钥基包括8*8的密钥生成矩阵;
其中,保存所述用户密钥,包括:直接保存所述客户端的扩展密钥;获取目标密保口令;基于所述目标密保口令生成第二对称密钥;基于所述第二对称密钥对所述客户端的标识密钥进行加密,得到第二加密结果并保存;
其中,所述客户端的扩展密钥包括所述客户端的扩展私钥及所述客户端的扩展公钥;所述客户端的标识密钥包括所述客户端的标识公钥及所述客户端的标识私钥;
所述基于所述用户密钥进行账户登录,包括:将所述客户端的扩展私钥及所述客户端的标识私钥进行组合,生成所述客户端的用户私钥;获取账户登录信息;基于所述服务器的***公钥对所述账户登录信息进行加密,得到第三加密结果;基于所述客户端的用户私钥对所述第三加密结果进行签名,得到第二签名信息;传输所述第三加密结果及所述第二签名信息至所述服务器,以使所述服务器基于所述客户端的用户公钥验证所述第二签名信息合法后、基于所述服务器的***私钥解密得到所述账户登录信息、并生成与所述账户登录信息对应的登录token;其中,所述客户端的用户公钥基于所述客户端的扩展公钥及所述客户端的标识公钥组合生成;接收所述服务器发送的目标token信息,所述目标token信息包括加密token信息及所述加密token信息的第三签名信息,所述加密token信息包括基于所述客户端的用户公钥对所述登录token进行加密后得到的信息,所述第三签名信息包括基于所述服务器的***私钥对所述加密token进行签名后得到的信息;若基于所述服务器的***公钥验证所述第三签名信息合法,则基于所述客户端的用户私钥对所述加密token信息进行解密,得到所述登录token并保存。
2.根据权利要求1所述的方法,其特征在于,所述用户标识信息包括用户手机号;
所述传输所述用户标识信息、所述目标加密密钥至所述服务器之前,还包括:
传输所述用户手机号及短信验证请求至所述服务器,以使所述服务器向所述用户手机号传输短信验证码;
获取目标短信验证码;
所述传输所述用户标识信息、所述目标加密密钥至所述服务器之后,还包括:
传输所述目标短信验证码至所述服务器,以使所述服务器验证所述目标短信验证码正确后发送所述目标数据。
3.根据权利要求1所述的方法,其特征在于,所述获取服务器的***公钥,包括:
获取所述服务器的标识信息;
获取所述服务器预先生成的所述密钥基,所述密钥基包括8*8的密钥生成矩阵;
基于所述服务器的标识信息及所述密钥基中的公钥基生成所述服务器的标识公钥;
获取所述服务器的扩展公钥;
将所述服务器的标识公钥及所述服务器的扩展公钥进行组合,生成所述服务器的***公钥。
4.根据权利要求1所述的方法,其特征在于,所述标记所述用户账户的状态为已登录之后,还包括:
获取账户注销请求;
基于所述服务器的***公钥对所述账户注销请求进行加密,得到第四加密结果;
基于所述客户端的用户私钥对所述第四加密结果进行签名,得到第四签名信息;
传输所述第四加密结果及所述第四签名信息至所述服务器,以使所述服务器基于所述客户端的用户公钥验证所述第四签名信息合法后、基于所述服务器的***私钥解密得到所述账户注销请求、并注销对应的用户账户。
5.一种账户管理***,其特征在于,应用于客户端,包括:
第一判断模块,用于判断是否保存有用户密钥;若未保存有所述用户密钥,则标记用户账户的状态为缺少密钥,并获取所述用户密钥进行保存;
第二判断模块,用于若保存有所述用户密钥,则判断所述用户账户是否已登录;若所述用户账户未登录,则标记所述用户账户的状态为未登录,并基于所述用户密钥进行账户登录;
第三判断模块,用于若所述用户账户已登录,则标记所述用户账户的状态为已登录;
其中,所述用户密钥包括所述客户端的扩展密钥及所述客户端的标识密钥;
所述第一判断模块具体用于:获取服务器的***公钥;获取用户标识信息;生成第一对称密钥,基于所述服务器的***公钥对所述第一对称密钥进行加密,得到目标加密密钥;传输所述用户标识信息、所述目标加密密钥至所述服务器,以使所述服务器基于所述服务器的***私钥解密得到所述第一对称密钥;接收所述服务器发送的目标数据,所述目标数据包括数据集及基于所述服务器的***私钥生成的所述数据集的第一签名信息,所述数据集包括所述客户端的扩展密钥及基于所述第一对称密钥对生成的所述客户端的标识密钥进行加密后得到的第一加密结果,且所述客户端的标识密钥基于所述用户标识信息及密钥基生成;基于所述服务器的***公钥对所述目标数据进行验签,若验签成功,则获取所述客户端的扩展密钥,并基于所述第一对称密钥对所述第一加密结果进行解密,得到所述客户端的标识密钥;其中,所述密钥基包括8*8的密钥生成矩阵;
其中,所述第一判断模块具体用于:直接保存所述客户端的扩展密钥;获取目标密保口令;基于所述目标密保口令生成第二对称密钥;基于所述第二对称密钥对所述客户端的标识密钥进行加密,得到第二加密结果并保存;
其中,所述客户端的扩展密钥包括所述客户端的扩展私钥及所述客户端的扩展公钥;所述客户端的标识密钥包括所述客户端的标识公钥及所述客户端的标识私钥;
所述第二判断模块具体用于:将所述客户端的扩展私钥及所述客户端的标识私钥进行组合,生成所述客户端的用户私钥;获取账户登录信息;基于所述服务器的***公钥对所述账户登录信息进行加密,得到第三加密结果;基于所述客户端的用户私钥对所述第三加密结果进行签名,得到第二签名信息;传输所述第三加密结果及所述第二签名信息至所述服务器,以使所述服务器基于所述客户端的用户公钥验证所述第二签名信息合法后、基于所述服务器的***私钥解密得到所述账户登录信息、并生成与所述账户登录信息对应的登录token;其中,所述客户端的用户公钥基于所述客户端的扩展公钥及所述客户端的标识公钥组合生成;接收所述服务器发送的目标token信息,所述目标token信息包括加密token信息及所述加密token信息的第三签名信息,所述加密token信息包括基于所述客户端的用户公钥对所述登录token进行加密后得到的信息,所述第三签名信息包括基于所述服务器的***私钥对所述加密token进行签名后得到的信息;若基于所述服务器的***公钥验证所述第三签名信息合法,则基于所述客户端的用户私钥对所述加密token信息进行解密,得到所述登录token并保存。
6.一种账户管理设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至4任一项所述账户管理方法的步骤。
7.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至4任一项所述账户管理方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111645839.7A CN114297597B (zh) | 2021-12-29 | 2021-12-29 | 一种账户管理方法、***、设备及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111645839.7A CN114297597B (zh) | 2021-12-29 | 2021-12-29 | 一种账户管理方法、***、设备及计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114297597A CN114297597A (zh) | 2022-04-08 |
| CN114297597B true CN114297597B (zh) | 2023-03-24 |
Family
ID=80972413
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111645839.7A Active CN114297597B (zh) | 2021-12-29 | 2021-12-29 | 一种账户管理方法、***、设备及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114297597B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115086041A (zh) * | 2022-06-16 | 2022-09-20 | 北京天融信网络安全技术有限公司 | 账号管理方法、装置、电子设备和计算机可读存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8312272B1 (en) * | 2009-06-26 | 2012-11-13 | Symantec Corporation | Secure authentication token management |
| CN104038486A (zh) * | 2014-06-04 | 2014-09-10 | 武汉理工大学 | 一种基于标识型密码实现用户登录鉴别的***及方法 |
| CN110493785A (zh) * | 2019-09-24 | 2019-11-22 | 东信和平科技股份有限公司 | 一种移动客户端的登录方法、sim卡及*** |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3656688B2 (ja) * | 1997-03-31 | 2005-06-08 | 栄司 岡本 | 暗号データ回復方法及び鍵登録システム |
| GB2384402B (en) * | 2002-01-17 | 2004-12-22 | Toshiba Res Europ Ltd | Data transmission links |
| CN101039182B (zh) * | 2007-03-07 | 2010-08-11 | 广东南方信息安全产业基地有限公司 | 基于标识的公钥密码认证***及标识证书发放方法 |
| JP5350644B2 (ja) * | 2008-02-13 | 2013-11-27 | 株式会社富士通ビー・エス・シー | データ管理システム、データ管理装置、情報処理装置及びコンピュータプログラム |
| CN103067402B (zh) * | 2013-01-10 | 2016-01-20 | 天地融科技股份有限公司 | 数字证书的生成方法和*** |
| US9432358B2 (en) * | 2013-10-31 | 2016-08-30 | Tencent Technology (Shenzhen) Company Limited | System and method of authenticating user account login request messages |
| US11227284B2 (en) * | 2017-12-13 | 2022-01-18 | Mastercard International Incorporated | Method and system for consumer-initiated transactions using encrypted tokens |
| CN108111544B (zh) * | 2018-02-27 | 2020-07-28 | 新华三信息安全技术有限公司 | 一种用户登录认证方法及装置 |
| CN112532663A (zh) * | 2019-09-18 | 2021-03-19 | 青岛海信宽带多媒体技术有限公司 | 一种网关登录方法及装置 |
| CN111182169B (zh) * | 2019-11-13 | 2022-02-25 | 腾讯科技(深圳)有限公司 | 图像处理方法、装置、计算机可读介质及电子设备 |
| CN113438086A (zh) * | 2021-06-24 | 2021-09-24 | 深圳前海微众银行股份有限公司 | 一种数据安全防护方法和*** |
-
2021
- 2021-12-29 CN CN202111645839.7A patent/CN114297597B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8312272B1 (en) * | 2009-06-26 | 2012-11-13 | Symantec Corporation | Secure authentication token management |
| CN104038486A (zh) * | 2014-06-04 | 2014-09-10 | 武汉理工大学 | 一种基于标识型密码实现用户登录鉴别的***及方法 |
| CN110493785A (zh) * | 2019-09-24 | 2019-11-22 | 东信和平科技股份有限公司 | 一种移动客户端的登录方法、sim卡及*** |
Non-Patent Citations (2)
| Title |
|---|
| LIVE: Lightweight Integrity Verification and Content Access Control for Named Data Networking;Qi Li 等;《 IEEE Transactions on Information Forensics and Security》;20141031;第308-320页 * |
| 区块链中的身份识别和访问控制技术研究;张青禾;《中国优秀硕士学位论文全文数据库 (信息科技辑)》;20190115(第1期);第I138-233页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114297597A (zh) | 2022-04-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107294937B (zh) | 基于网络通信的数据传输方法、客户端及服务器 | |
| WO2018050081A1 (zh) | 设备身份认证的方法、装置、电子设备及存储介质 | |
| CN108566381A (zh) | 一种安全升级方法、装置、服务器、设备和介质 | |
| CN107743067B (zh) | 数字证书的颁发方法、***、终端以及存储介质 | |
| CN105471833A (zh) | 一种安全通讯方法和装置 | |
| JP2012530311A5 (zh) | ||
| CN113268715A (zh) | 软件加密方法、装置、设备及存储介质 | |
| CN110505055B (zh) | 基于非对称密钥池对和密钥卡的外网接入身份认证方法和*** | |
| CN102986161B (zh) | 用于对应用进行密码保护的方法和*** | |
| CN111131300B (zh) | 通信方法、终端及服务器 | |
| CN111030814A (zh) | 秘钥协商方法及装置 | |
| CN103888938A (zh) | 一种基于参数的动态生成密钥的pki私钥保护方法 | |
| CN111178884A (zh) | 信息处理方法、装置、设备及可读存储介质 | |
| CN110166489B (zh) | 一种物联网中数据传输方法、***、设备及计算机介质 | |
| CN112989426A (zh) | 授权认证方法及装置、资源访问令牌的获取方法 | |
| CN110611679A (zh) | 一种数据传输方法、装置、设备及*** | |
| CN114297597B (zh) | 一种账户管理方法、***、设备及计算机可读存储介质 | |
| CN104796262A (zh) | 数据加密方法及终端*** | |
| JP4998314B2 (ja) | 通信制御方法および通信制御プログラム | |
| CN105188057A (zh) | 一种提高网络接入认证安全的方法及*** | |
| CN111274570A (zh) | 一种加密认证方法、装置、服务器、可读存储介质及空调器 | |
| CN107343276B (zh) | 一种终端的sim卡锁数据的保护方法及*** | |
| CN110968878A (zh) | 信息传输方法、***、电子设备及可读介质 | |
| CN114173294A (zh) | 一种非对等短信传输方法、***、设备及计算机存储介质 | |
| CN114338173B (zh) | 一种账户注册方法、***、设备及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |