登录认证方法、装置、电子设备及计算机可读存储介质与流程

1.本技术涉及计算机及网络安全技术领域，具体而言，涉及一种登录认证方法、装置、电子设备及计算机可读存储介质。


背景技术：

2.随着网络管理系统被管理的设备种类及数量越来越多，另外，各个被管理设备都有自己的登录账号，管理员无法同时记住各个被管理设备的登录账号信息。实际操作时，在集中的管理系统上登录设备时，需要再次输入被管理设备的用户名、密码成为运维管理人员的一种负担。为了简化运维，出现了单点登录的方案，即用户登一次管理系统，就能够直接访问被管理设备，不再针对每个设备输入不同的登录用户名、密码信息。目前，通常是基于oauth2(开放授权)、saml(security assertion markup language，安全断言标记语言)，实现单点登录，该类方式需要对现有系统进行大量的改造工作，导致单点登录运维复杂且工作量大。


技术实现要素：

3.本技术实施例的目的在于提供一种登录认证方法、装置、电子设备及计算机可读存储介质，能够改善单点登录的运维复杂且工作量大的问题。
4.为了实现上述目的，本技术的实施例通过如下方式实现：
5.第一方面，本技术实施例提供一种登录认证方法，应用于服务器，所述方法包括：接收由当前用户通过用户终端发送的登录请求，所述登录请求用于请求以所述当前用户登录待管理设备，所述当前用户为经过所述服务器认证后的用户；基于所述登录请求，生成第一秘钥文件及与所述第一秘钥文件对应的标识；将所述第一秘钥文件发送至所述待管理设备，以及根据所述第一秘钥文件及所述当前用户的认证信息生成密文；将所述密文及所述标识发送至所述用户终端，以使所述用户终端将所述密文及所述标识发送至所述待管理设备，所述待管理设备用于获取与所述标识对应的秘钥文件以作为第二秘钥文件，并根据所述第二秘钥文件对所述密文进行解密校验，以得到登录认证结果。
6.在上述的实施方式中，由服务器基于经过认证的当前用户所发送的登录请求，生成第一秘钥文件及对应的标识，然后由服务器根据当前用户的认证信息及第一秘钥文件生成密文，其中，密文被发送至用户终端，第一秘钥文件被发送至待管理设备，如此，方便待管理设备利用第一秘钥文件对用户终端发送的密文进行解密校验，无需依赖oauth2、saml也可以实现单点登录，能简化运维，降低工作量。
7.结合第一方面，在一些可选的实施方式中，所述方法还包括：
8.当所述待管理设备接收到所述第一秘钥文件的时长超过预设时长时，向所述待管理设备发送表征所述第一秘钥文件失效的通知信息。
9.在上述的实施方式中，第一秘钥文件存在时效性，如此，可以提高登录认证的安全性与可靠性。
10.结合第一方面，在一些可选的实施方式中，将所述秘钥文件发送至所述待管理设备，包括：通过预设安全传输通道将所述秘钥文件发送至所述待管理设备。
11.结合第一方面，在一些可选的实施方式中，接收用户终端发送的登录请求，包括：接收所述用户终端通过浏览器发送的登录请求。
12.第二方面，本技术还提供一种登录认证方法，应用于管理系统中的任一设备，所述方法包括：接收服务器发送的第一秘钥文件，所述第一秘钥文件是由所述服务器根据当前用户通过用户终端发送的登录请求所生成的，所述登录请求用于请求以所述当前用户登录本设备，所述当前用户为经过所述服务器认证后的用户；接收所述用户终端发送的密文及标识，所述密文及所述标识由所述服务器发送至所述用户终端的，且所述密文是由所述服务器根据所述第一秘钥文件及所述当前用户的认证信息生成的，所述标识与所述第一秘钥文件关联；获取与所述标识对应的秘钥文件以第二秘钥文件，并根据所述第二秘钥文件对所述密文进行解密校验，以得到登录认证结果。
13.结合第二方面，在一些可选的实施方式中，所述方法还包括：
14.当接收到所述第一秘钥文件的时长超过预设时长时，或在得到所述登录认证结果时，删除所述第一秘钥文件。
15.第三方面，本技术还提供一种登录认证装置，应用于服务器，所述装置包括：
16.第一接收单元，用于接收由当前用户通过用户终端发送的登录请求，所述登录请求用于请求以所述当前用户登录待管理设备，所述当前用户为经过所述服务器认证后的用户；
17.生成单元，用于基于所述登录请求，生成第一秘钥文件及与所述第一秘钥文件对应的标识；
18.第一发送单元，用于将所述第一秘钥文件发送至所述待管理设备，以及根据所述第一秘钥文件及所述当前用户的认证信息生成密文；
19.所述第一发送单元还用于将所述密文及所述标识发送至所述用户终端，以使所述用户终端将所述密文及所述标识发送至所述待管理设备，所述待管理设备用于获取与所述标识对应的秘钥文件以作为第二秘钥文件，并根据所述第二秘钥文件对所述密文进行解密校验，以得到登录认证结果。
20.第四方面，本技术还提供一种登录认证方法，应用于管理系统中的任一设备，所述方法包括：
21.第二接收单元，用于接收服务器发送的第一秘钥文件，所述第一秘钥文件是由所述服务器根据当前用户通过用户终端发送的登录请求所生成的，所述登录请求用于请求以所述当前用户登录本设备，所述当前用户为经过所述服务器认证后的用户；
22.所述第二接收单元还用于接收所述用户终端发送的密文及标识，所述密文及所述标识由所述服务器发送至所述用户终端的，且所述密文是由所述服务器根据所述第一秘钥文件及所述当前用户的认证信息生成的，所述标识与所述第一秘钥文件关联；
23.获取校验单元，用于获取与所述标识对应的秘钥文件以第二秘钥文件，并根据所述第二秘钥文件对所述密文进行解密校验，以得到登录认证结果。
24.第五方面，本技术还提供一种电子设备，所述电子设备包括相互耦合的处理器及存储器，所述存储器内存储计算机程序，当所述计算机程序被所述处理器执行时，使得所述
电子设备执行上述的方法。
25.第六方面，本技术还提供一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机程序，当所述计算机程序在计算机上运行时，使得所述计算机执行上述的方法。
附图说明
26.为了更清楚地说明本技术实施例的技术方案，下面将对本技术实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本技术的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
27.图1为本技术实施例提供的用户终端与管理系统的通信连接示意图。
28.图2为本技术实施例提供的登录认证方法的流程示意图。
29.图3为本技术实施例提供的登录认证装置的框图之一。
30.图4为本技术实施例提供的登录认证装置的框图之二。
31.图标：10-管理系统；11-服务器；12-终端设备；20-用户终端；200-登录认证装置；210-第一接收单元；220-生成单元；230-第一发送单元；300-登录认证装置；310-第二接收单元；320-获取校验单元。
具体实施方式
32.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行描述。需要说明的是，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。在不冲突的情况下，下述的实施例及实施例中的特征可以相互组合。
33.请参照图1，本技术提供一种网络系统，可以包括服务器11及一个或多个终端设备12，每个终端设备12可以作为待管理设备。用户可以利用用户终端20，对待管理设备进行管理控制。其中，用户终端20可以为网络系统中的终端设备12，也可以为独立于网络系统的设备，这里不作具体限定。
34.在网络系统中，服务器11及各终端设备12均部署有saltstack。其中，saltstack是一个服务器基础架构集中化管理平台，具备配置管理、远程执行、监控等功能，为本领域技术人员熟知的管理平台。在本实施例中，服务器11部署有saltstack master组件，终端设备12部署有saltstack minion组件。通过部署saltstack master组件和saltstack minion组件，服务器11可以根据不同业务，对终端设备12进行配置集中化管理、分发文件等。
35.服务器11和终端设备12通过saltstack的证书管理机制，完成对终端设备12的安全接入。当服务器11和终端设备12之间完成认证后，服务器11和终端设备12之间的通信被加密传输。例如，采用的加密算法为aes256或其他加密算法，这里不作具体限定。
36.在本实施例中，用户终端20可以为个人电脑、智能手机等。终端设备12可以为个人电脑、主机设备等，这里不作具体限定。
37.本技术还提供一种电子设备。电子设备可以包括处理模块及存储模块。存储模块内存储计算机程序，当计算机程序被所述处理模块执行时，使得电子设备能够执行下述登录认证方法中的各步骤。
38.其中，电子设备可以为服务器11，或为待管理设备，可以根据实际情况进行灵活确定。当电子设备作为服务器11时，便执行服务器11对应的操作步骤；当电子设备作为待管理设备时，便执行待管理设备对应的操作步骤。
39.请参照图2，本技术还提供一种登录认证方法，可以由用户终端20、服务器11及待管理设备相互配合，以实现方法中的各步骤，方法可以包括如下步骤：
40.步骤s110，服务器11接收由当前用户通过用户终端20发送的登录请求，所述登录请求用于请求以所述当前用户登录待管理设备，所述当前用户为经过所述服务器11认证后的用户；
41.步骤s120，服务器11基于所述登录请求，生成第一秘钥文件及与所述第一秘钥文件对应的标识；
42.步骤s130，服务器11将所述第一秘钥文件发送至所述待管理设备，以及根据所述第一秘钥文件及所述当前用户的认证信息生成密文；
43.步骤s140，服务器11将所述密文及所述标识发送至所述用户终端20，以使所述用户终端20将所述密文及所述标识发送至所述待管理设备，所述待管理设备用于获取与所述标识对应的秘钥文件以作为第二秘钥文件，并根据所述第二秘钥文件对所述密文进行解密校验，以得到登录认证结果。
44.在上述的实施方式中，由服务器11基于经过认证的当前用户所发送的登录请求，生成第一秘钥文件及对应的标识，然后由服务器11根据当前用户的认证信息及第一秘钥文件生成密文，其中，密文被发送至用户终端20，第一秘钥文件被发送至待管理设备，如此，方便待管理设备利用第一秘钥文件对用户终端20发送的密文进行解密校验，无需依赖oauth2、saml也可以实现单点登录，能简化运维，降低工作量。
45.下面将对方法的各步骤进行详细阐述，如下：
46.在步骤s110中，登录请求为管理员利用用户终端20发起的单点登录请求。其中，当前用户可理解为当前已登录服务器11的账号，且经过服务器11的认证。若当前用户未经过服务器11认证，或认证未通过，则无法发起登录请求。
47.可理解地，管理员预先利用相应的账号及密码，通过用户终端20登录服务器11，服务器11基于账号及密码，对当前用户进行认证，认证成功后，当前用户便可以成功登录进入服务器11；若认证未通过，则当前用户无法登录进入服务器11，该认证方式为本领域技术人员熟知，这里不再赘述。
48.在当前用户登录进入服务器11之后，当需要对管理系统10中的终端设备12进行管理控制时，管理员可以利用该用户终端20，向服务器11发起用于单点登录的登录请求，此时，服务器11便可以接收到该登录请求。
49.步骤s110可以包括：服务器11接收所述用户终端20通过浏览器发送的登录请求。
50.可理解地，管理员可以利用用户终端20中的浏览器，向服务器11发起登录请求，用于请求以当前用户登录待管理设备。如此，有利于管理员远程发起登录请求。
51.在步骤s120中，服务器11在接收到登录请求后，可以随机生成秘钥文件，该秘钥文件即为第一秘钥文件。其中，服务器11随机生成秘钥文件的方式可以根据实际情况进行灵活确定，例如，服务器11可以基于上述的aes256算法，生成aes秘钥文件以作为第一秘钥文件。第一秘钥文件用于作为加密或解密的秘钥，可以为一次性秘钥，比如，终端设备12用完
即删除该秘钥文件。
52.另外，服务器11在生成第一秘钥文件之后，还可以为该第一秘钥文件关联uuid(universally unique identifier，通用唯一识别码)以作为第一秘钥文件的标识。
53.需要说明的是，该标识可以根据实际情况进行灵活生成，用于区分其他秘钥文件以及作为查找该秘钥文件的索引，只要该标识具有唯一性即可。
54.在步骤s130中，服务器11可以将第一秘钥文件发送至待管理设备，用于供待管理设备后续对密文进行解密。另外，服务器11还可以利用第一秘钥文件，对当前用户的认证信息进行加密，以生成密文。
55.可理解地，当前用户的认证信息可以包括已经是密文的用户账号、密码等信息。其中，用户终端20所发出的登录请求中，可以携带有已经是密文的用户账号及密码，其中，用户终端20对明文的用户账号及密码加密以得到密文的用户账户及密码的方式为本领域技术人员熟知，这里不再赘述。
56.另外，认证信息还可以包括第一秘钥文件的标识(比如uuid)、以及第一秘钥文件的超时时间或其他信息，这里不作具体限定。其中，第一秘钥文件的超时时间可以替换为第一秘钥文件的有效时长范围。
57.服务器11通过对认证信息进行加密，然后将加密得到的密文及标识传输至用户终端20，方便待管理设备利用密文及标识，调用待管理设备的api(application programming interface，应用程序接口)，以对密文进行认证。
58.在本实施例中，步骤s130可以包括：服务器11通过预设安全传输通道将所述秘钥文件发送至所述待管理设备。
59.示例性地，服务器11与待管理设备之间，预先建立有基于saltstack提供的安全传输通道，该安全传输通道即为预设安全传输通道。服务器11在向待管理设备传输数据时，可以利用该预设安全传输通道传输数据，如此，能在确保数据安全传输的情况下，无需对系统进行更改，以简化运维操作。
60.在步骤s140中，服务器11将密文及标识发送至用户终端20之后，用户终端20通过浏览器，可以利用密文及标识作为参数调用待管理设备的api，然后由待管理设备获取到该密文及标识，并查找与该标识对应的秘钥文件，以作为对该密文进行解密的秘钥文件。
61.作为一种可选的实施方式，方法还可以包括：当所述待管理设备接收到所述第一秘钥文件的时长超过预设时长时，服务器11向所述待管理设备发送表征所述第一秘钥文件失效的通知信息。
62.可理解地，由服务器11通知第一秘钥文件的时效性，在第一秘钥文件存在时长超过预设时长时，告知待管理设备第一秘钥文件失效，如此，可以提高第一秘钥文件的安全性，避免第一秘钥文件长期有效而增大认证风险。
63.在本实施例中，方法还可以包括：
64.步骤s150，待管理设备接收服务器11发送的第一秘钥文件，所述第一秘钥文件是由所述服务器11根据当前用户通过用户终端20发送的登录请求所生成的，所述登录请求用于请求以所述当前用户登录本设备，所述当前用户为经过所述服务器11认证后的用户；
65.步骤s160，待管理设备接收所述用户终端20发送的密文及标识，所述密文及所述标识由所述服务器11发送至所述用户终端20的，且所述密文是由所述服务器11根据所述第
system，os)中的软件功能模块。处理模块用于执行存储模块中存储的可执行模块，例如登录认证装置200所包括的软件功能模块及计算机程序等。
76.登录认证装置200可以包括第一接收单元210、生成单元220及第一发送单元230，各单元具有的功能作用如下：
77.第一接收单元210，用于接收由当前用户通过用户终端20发送的登录请求，所述登录请求用于请求以所述当前用户登录待管理设备，所述当前用户为经过所述服务器11认证后的用户；
78.生成单元220，用于基于所述登录请求，生成第一秘钥文件及与所述第一秘钥文件对应的标识；
79.第一发送单元230，用于将所述第一秘钥文件发送至所述待管理设备，以及根据所述第一秘钥文件及所述当前用户的认证信息生成密文；
80.所述第一发送单元230还用于将所述密文及所述标识发送至所述用户终端20，以使所述用户终端20将所述密文及所述标识发送至所述待管理设备，所述待管理设备用于获取与所述标识对应的秘钥文件以作为第二秘钥文件，并根据所述第二秘钥文件对所述密文进行解密校验，以得到登录认证结果。
81.可选地，第一发送单元230还用于：当所述待管理设备接收到所述第一秘钥文件的时长超过预设时长时，向所述待管理设备发送表征所述第一秘钥文件失效的通知信息。
82.可选地，第一发送单元230还用于：通过预设安全传输通道将所述秘钥文件发送至所述待管理设备。
83.可选地，第一接收单元210还用于：接收所述用户终端20通过浏览器发送的登录请求。
84.请参照图4，本技术实施例还提供另一种登录认证装置300，可以应用于上述管理系统10中的待管理设备中，用于执行方法中终端设备12对应的各步骤。登录认证装置300包括至少一个可以软件或固件(firmware)的形式存储于存储模块中或固化在待管理设备操作系统(operating system，os)中的软件功能模块。处理模块用于执行存储模块中存储的可执行模块，例如登录认证装置300所包括的软件功能模块及计算机程序等。
85.登录认证装置300可以包括第二接收单元310及获取校验单元320，各单元具有的功能作用如下：
86.第二接收单元310，用于接收服务器11发送的第一秘钥文件，所述第一秘钥文件是由所述服务器11根据当前用户通过用户终端20发送的登录请求所生成的，所述登录请求用于请求以所述当前用户登录本设备，所述当前用户为经过所述服务器11认证后的用户；
87.所述第二接收单元310还用于接收所述用户终端20发送的密文及标识，所述密文及所述标识由所述服务器11发送至所述用户终端20的，且所述密文是由所述服务器11根据所述第一秘钥文件及所述当前用户的认证信息生成的，所述标识与所述第一秘钥文件关联；
88.获取校验单元320，用于获取与所述标识对应的秘钥文件以第二秘钥文件，并根据所述第二秘钥文件对所述密文进行解密校验，以得到登录认证结果。
89.可选地，登录认证装置300可以包括删除单元，用于当接收到所述第一秘钥文件的时长超过预设时长时，或在得到所述登录认证结果时，删除所述第一秘钥文件。
90.在本实施例中，处理模块可以是一种集成电路芯片，具有信号的处理能力。上述处理模块可以是通用处理器。例如，该处理器可以是中央处理器(central processing unit，cpu)、数字信号处理器(digital signal processing，dsp)、专用集成电路(application specific integrated circuit，asic)、现场可编程门阵列(field－programmable gate array，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件，可以实现或者执行本技术实施例中的公开的各方法、步骤及逻辑框图。
91.存储模块可以是，但不限于，随机存取存储器，只读存储器，可编程只读存储器，可擦除可编程只读存储器，电可擦除可编程只读存储器等。在本实施例中，存储模块可以用于存储秘钥文件、认证信息等。当然，存储模块还可以用于存储程序，处理模块在接收到执行指令后，执行该程序。
92.需要说明的是，所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的服务器11、待管理设备、登录认证装置200及登录认证装置300的具体工作过程，可以参考前述方法中的各步骤对应过程，在此不再过多赘述。
93.本技术实施例还提供一种计算机可读存储介质。计算机可读存储介质中存储有计算机程序，当计算机程序在计算机上运行时，使得计算机执行如上述实施例中所述的登录认证方法。
94.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本技术可以通过硬件实现，也可以借助软件加必要的通用硬件平台的方式来实现，基于这样的理解，本技术的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是cd-rom，u盘，移动硬盘等)中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本技术各个实施场景所述的方法。
95.综上所述，在本方案中，由服务器基于经过认证的当前用户所发送的登录请求，生成第一秘钥文件及对应的标识，然后由服务器根据当前用户的认证信息及第一秘钥文件生成密文，其中，密文被发送至用户终端，第一秘钥文件被发送至待管理设备，如此，方便待管理设备利用第一秘钥文件对用户终端发送的密文进行解密校验，无需依赖oauth2、saml也可以实现单点登录，能简化运维，降低工作量。
96.在本技术所提供的实施例中，应该理解到，所揭露的装置、系统和方法，也可以通过其它的方式实现。以上所描述的装置、系统和方法实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本技术的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。另外，在本技术各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。
97.以上所述仅为本技术的实施例而已，并不用于限制本技术的保护范围，对于本领域的技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本技术的保护范围之内。