本发明涉及通信技术领域,特别是涉及一种访问权限的认证方法及装置。
背景技术:
当前,越来越多的用户使用终端上网,例如使用终端访问位于互联网中的网络服务器,然而,在使用终端访问网络服务器之前,往往需要首先获取访问服务器的访问权限。
在现有技术中,当需要获取访问服务器的访问权限时,用户需要在终端上输入用户的上网账号和上网密码,然后向认证服务器发送携带有该上网账号和该上网密码的认证请求,认证服务器接收该认证请求,从该认证请求中提取出该上网账号和该上网密码,并在数据库中比对该上网密码是否为该上网账号对应的上网密码,如果是,则向终端开放访问网络服务器的访问权限。
然而,该认证请求在传输的过程中可能会被不法分子截获,从而导致用户的该上网账号和该上网密码泄露,进而使用该上网账号和该上网密码冒名访问网络服务器,安全性较低。
技术实现要素:
为解决上述技术问题,本发明实施例示出了一种访问权限的认证方法及装置。
第一方面,本发明实施例示出了一种访问权限的认证方法,所述方法应用于终端,所述方法包括:
获取所述终端的终端身份信息;
获取当前使用所述终端的用户的用户身份信息,所述终端身份信息包括在启动所述终端过程中所述终端加载的数据的散列值;
获取与所述用户身份信息唯一对应的对称密钥;
使用所述对称密钥对所述用户身份信息和所述终端身份信息加密,得到加密身份信息;
生成携带有所述加密身份信息的认证请求;
向认证服务器发送所述认证请求。
在一个可选的实现方式中,所述获取与所述用户身份信息唯一对应的对称密钥,包括:
向所述认证服务器发送携带有所述用户身份信息和所述终端身份信息的对称密钥获取请求;
接收所述认证服务器根据所述对称密钥获取请求返回的加密密钥,所述加密密钥是所述认证服务器在获取与所述用户身份信息和所述终端身份信息唯一对应的对称密钥后,使用与所述终端身份信息唯一对应的公钥对所述对称密钥加密后得到的;
获取与所述公钥唯一对应的私钥;
使用所述私钥对所述加密密钥解密,得到所述对称密钥。
在一个可选的实现方式中,所述接收所述认证服务器根据所述对称密钥获取请求返回的加密密钥之前,还包括:
接收认证服务器发送的用户属性信息获取请求,所述用户属性信息获取请求携带有与所述认证服务器唯一对应的公钥和所述用户身份信息;
根据所述用户身份信息获取所述用户的用户属性信息;
使用与所述认证服务器唯一对应的公钥对所述用户属性信息加密,得到加密信息;
向所述认证服务器发送所述加密信息。
第二方面,本发明实施例示出了一种通信连接建立方法,所述方法应用于认证服务器,所述方法包括:
接收终端发送的认证请求,所述认证请求携带有加密身份信息,所述加密身份信息是所述终端使用对称密钥对当前使用所述终端的用户的用户身份信息和所述终端的终端身份信息加密后得到,所述终端身份信息包括在启动所述终端过程中所述终端加载的数据的散列值;
获取所述对称密钥;
使用所述对称密钥对所述认证请求携带的所述加密身份信息解密,得到所述用户身份信息和所述终端身份信息;
根据所述用户身份信息和所述终端身份信息验证所述用户的身份和所述终端的身份是否合法;
如果所述用户的身份和所述终端的身份合法,则开放所述终端访问网络服务器的访问权限。
在一个可选的实现方式中,所述方法还包括:
接收所述终端发送的携带有所述用户身份信息和所述终端身份信息的对称密钥获取请求;
生成与所述用户身份信息和所述终端身份信息唯一对应的对称密钥;
获取与所述终端身份信息唯一对应的公钥;
使用所述公钥对所述对称密钥加密,得到加密密钥;
向所述终端发送所述加密密钥。
在一个可选的实现方式中,所述生成与所述用户身份信息和所述终端身份信息唯一对应的对称密钥之前,还包括:
根据所述用户身份信息和所述终端身份信息验证所述用户的身份和所述终端的身份是否合法;
如果所述用户的身份和所述终端的身份合法,获取与所述认证服务器唯一对应的公钥;
向所述终端发送用户属性信息获取请求,所述用户属性信息获取请求携带有与所述认证服务器唯一对应的公钥和所述用户身份信息;
接收所述终端返回的加密信息,所述加密信息是所述终端使用与所述认证服务器唯一对应的公钥对所述用户属性信息加密后得到的;
获取与所述认证服务器唯一对应的私钥;
使用与所述认证服务器唯一对应的私钥对所述加密信息解密,得到所述用户属性信息;
使用所述用户身份信息和用户属性信息确定所述用户的身份是否合法;
如果使用所述用户身份信息和用户属性信息确定出所述用户的身份合法,则执行所述生成与所述用户身份信息和所述终端身份信息唯一对应的对称密钥的步骤。
第三方面,本发明实施例示出了一种访问权限的认证装置,所述装置应用于终端,所述装置包括:
第一获取模块,用于获取所述终端的终端身份信息,所述终端身份信息包括在启动所述终端过程中所述终端加载的数据的散列值;
第二获取模块,用于获取当前使用所述终端的用户的用户身份信息;
第三获取模块,用于获取与所述用户身份信息唯一对应的对称密钥;
第一加密模块,用于使用所述对称密钥对所述用户身份信息和所述终端身份信息加密,得到加密身份信息;
第一生成模块,用于生成携带有所述加密身份信息的认证请求;
第一发送模块,用于向认证服务器发送所述认证请求。
在一个可选的实现方式中,所述第三获取模块包括:
第一发送单元,用于向所述认证服务器发送携带有所述用户身份信息和所述终端身份信息的对称密钥获取请求;
第一接收单元,用于接收所述认证服务器根据所述对称密钥获取请求返回的加密密钥,所述加密密钥是所述认证服务器在获取与所述用户身份信息和所述终端身份信息唯一对应的对称密钥后,使用与所述终端身份信息唯一对应的公钥对所述对称密钥加密后得到的;
第一获取单元,用于获取与所述公钥唯一对应的私钥;
解密单元,用于使用所述私钥对所述加密密钥解密,得到所述对称密钥。
在一个可选的实现方式中,所述第三获取模块还包括:
第二接收单元,用于接收认证服务器发送的用户属性信息获取请求,所述用户属性信息获取请求携带有与所述认证服务器唯一对应的公钥和所述用户身份信息;
第二获取单元,用于根据所述用户身份信息获取所述用户的用户属性信息;
加密单元,用于使用与所述认证服务器唯一对应的公钥对所述用户属性信息加密,得到加密信息;
第二发送单元,用于向所述认证服务器发送所述加密信息。
第四方面,本发明实施例示出了一种通信连接建立装置,所述装置应用于认证服务器,所述装置包括:
第一接收模块,用于接收终端发送的认证请求,所述认证请求携带有加密身份信息,所述加密身份信息是所述终端使用对称密钥对当前使用所述终端的用户的用户身份信息和所述终端的终端身份信息加密后得到,所述终端身份信息包括在启动所述终端过程中所述终端加载的数据的散列值;
第四获取模块,用于获取所述对称密钥;
第一解密模块,用于使用所述对称密钥对所述认证请求携带的所述加密身份信息解密,得到所述用户身份信息和所述终端身份信息;
第一验证模块,用于根据所述用户身份信息和所述终端身份信息验证所述用户的身份和所述终端的身份是否合法;
开放模块,用于如果所述用户的身份和所述终端的身份合法,则开放所述终端访问网络服务器的访问权限。
在一个可选的实现方式中,所述装置还包括:
第二接收模块,用于接收所述终端发送的携带有所述用户身份信息和所述终端身份信息的对称密钥获取请求;
第二生成模块,用于生成与所述用户身份信息和所述终端身份信息唯一对应的对称密钥;
第五获取模块,用于获取与所述终端身份信息唯一对应的公钥;
第二加密模块,用于使用所述公钥对所述对称密钥加密,得到加密密钥;
第二发送模块,用于向所述终端发送所述加密密钥。
在一个可选的实现方式中,所述装置还包括:
第二验证模块,用于根据所述用户身份信息和所述终端身份信息验证所述用户的身份和所述终端的身份是否合法;
第六获取模块,用于如果所述用户的身份和所述终端的身份合法,获取与所述认证服务器唯一对应的公钥;
第三发送模块,用于向所述终端发送用户属性信息获取请求,所述用户属性信息获取请求携带有与所述认证服务器唯一对应的公钥和所述用户身份信息;
第三接收模块,用于接收所述终端返回的加密信息,所述加密信息是所述终端使用与所述认证服务器唯一对应的公钥对所述用户属性信息加密后得到的;
第七获取模块,用于获取与所述认证服务器唯一对应的私钥;
第二解密模块,用于使用与所述认证服务器唯一对应的私钥对所述加密信息解密,得到所述用户属性信息;
确定模块,用于使用所述用户身份信息和用户属性信息确定所述用户的身份是否合法;
所述第二生成模块还用于:如果使用所述用户身份信息和用户属性信息确定出所述用户的身份合法,则生成与所述用户身份信息和所述终端身份信息唯一对应的对称密钥。
与现有技术相比,本发明实施例包括以下优点:
在本发明实施例中,终端向服务器发送的认证请求中携带的信息为:使用对称密钥对用户的用户身份信息和终端的终端身份信息加密后的加密身份信息。这样,即使该认证请求在传输过程中被不法分子截取并从该认证请求中提取出该加密身份信息,由于不法分子无法得到该对称密钥,从而无法对该加密身份信息解密而得到用户的用户身份信息和终端的终端身份信息。从而避免不法分子使用用户的用户身份信息和终端的终端身份信息冒名访问网络服务器,从而提高了安全性。
附图说明
图1是本发明的一种访问权限的认证系统实施例的结构框图;
图2是本发明的一种访问权限的认证方法实施例的步骤流程图;
图3是本发明的一种访问权限的认证装置实施例的结构框图;
图4是本发明的一种访问权限的认证装置实施例的结构框图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
参见图1,示出了本发明的一种访问权限的认证系统实施例的结构框图,该系统包括终端01和认证服务器02,终端01与认证服务器02之间通信连接,终端01与认证服务器02之间可以通过该通信连接进行交互,终端01包括手机、平板电脑以及台式电脑等设备。
参照图2,示出了本发明的一种访问权限的认证方法实施例的步骤流程图,该方法应用于图1所示的系统中,具体可以包括如下步骤:
在步骤s101中,终端获取终端的终端身份信息;
在本发明实施例中,不同的终端的终端身份信息不同。
终端的终端身份信息包括终端的mac(mediaaccesscontrol,媒体访问控制)地址或者imei(internationalmobileequipmentidentity,国际移动设备识别码)等。
终端的终端身份信息存储在终端本地,当用户需要使用终端访问网络服务器时,终端可以获取存储在本地的终端身份信息。
在步骤s102中,终端获取当前使用终端的用户的用户身份信息;
在在本发明实施例中,不同的用户的用户身份信息不同。
用户身份信息包括用户的用户标识,或者,包括用户的用户标识和用户密码。不同用户的用户标识不同。
当用户需要使用终端访问网络服务器时,用户可以在终端上输入用户的身份信息,终端获取用户输入的身份信息。
在步骤s103中,终端获取与该用户身份信息唯一对应的对称密钥;
在获取到该终端身份信息和该用户身份信息之后,终端需要向认证服务器发送携带有该终端身份信息和该用户身份信息的认证请求,以使认证服务器根据该终端身份信息和该用户身份信息确定终端的身份和用户的身份是否合法,为了避免该认证请求在传输过程中被不法分子截获,从而导致该终端身份信息和该用户身份信息泄露,需要对该终端身份信息和该用户身份信息加密。
为了能够对该终端身份信息和该用户身份信息加密,终端需要从认证服务器中获取与该终端身份信息和该用户身份信息唯一对应的对称密钥。
具体地,本步骤可以通过如下流程实现,包括:
11)、终端可以向认证服务器发送携带有该终端身份信息和该用户身份信息的对称密钥获取请求;
12)、认证服务器接收终端发送的该对称密钥获取请求;
13)、认证服务器生成与该终端身份信息和该用户身份信息唯一对应的对称密钥;
其中,认证服务器可以随机生成一个在历史过程中未曾生成过的对称密钥,并作为与该终端身份信息和该用户身份信息唯一对应的对称密钥。
或者,也可以根据该终端身份信息和该用户身份信息按照特定的算法生成一个对称密钥,由于不同用户的用户身份信息不同且不同终端的终端身份信息不同,因此,根据不同的用户的用户身份信息和不同的终端的终端身份信息按照特定的算法生成对称密钥不同,也即,根据该用户身份信息和该重度单身份信息按照特定的算法生成的对称密钥与该终端身份信息和该用户身份信息唯一对应。
14)、认证服务器获取与该终端身份信息唯一对应的公钥;
在本发明实施例中,与不同终端身份信息唯一对应的公钥不同。
对于任一终端,认证服务器事先可以将该终端的终端的终端身份信息与该终端的终端身份信息唯一对应的公钥组成对应表项,并存储在已存储的终端身份信息与公钥之间的对应关系中,对于其他每一终端,同样执行上述操作。
因此,在本步骤中,可以在存储的终端身份信息与公钥之间的对应关系中,查找与该终端身份信息相对应的公钥,并作为与该终端身份信息唯一对应的公钥。
15)、认证服务器使用该公钥对该对称密钥加密,得到加密密钥;
16)、认证服务器向终端发送该加密密钥。
17)、终端接收认证服务器发送的该加密密钥;
18)、终端获取与该公钥唯一对应的私钥;
在本发明实施例中,每一个终端具备一个公钥和一个私钥,不同终端的公钥不同,且不同终端的私钥不同,且同一个终端具备的公钥和私钥一一对应。每一个终端会将其具备的公钥和私钥存储在本地。
因此,终端可以直接从本地获取已存储的与该公钥唯一对应的私钥。
19)、终端使用该私钥对该加密密钥解密,得到该对称密钥。
由于该加密密钥是认证服务器使用与该终端唯一对应的公钥对该对称密钥加密得到的,因此,使用与该公钥唯一对应的私钥对该加密密钥解密,就可以得到该对称密钥
在本发明另一实施例中,步骤s103可以是在步骤s102后实时执行的,也可以是在步骤s101之前事先执行的,并在获取到该对称密钥后存储在本地中,因此,在步骤s103中就可以直接从本地获取已存储的与该用户身份信息唯一对应的对称密钥。
在步骤s104中,终端使用该对称密钥对该终端身份信息和该用户身份信息加密,得到加密身份信息;
在步骤s105中,终端生成携带有该加密身份信息的认证请求;
在步骤s106中,终端并向认证服务器发送该认证请求;
在步骤s107中,认证服务器接收终端发送的该认证请求;
在步骤s108中,认证服务器获取该对称密钥;
其中,在步骤13)中,在认证服务器生成与该终端身份信息和该用户身份信息唯一对应的对称密钥之后,就会将该对称密钥存储在本地,因此,认证服务器可以直接从本地获取已存储的该对称密钥,然后使用该对称密钥对该加密身份信息解密,得到该终端身份信息和该用户身份信息。
在步骤s109中,认证服务器使用该对称密钥对该认证请求中携带的该加密身份信息解密,得到该终端身份信息和该用户身份信息;
在步骤s110中,认证服务器根据该终端身份信息和该用户身份信息验证用户的身份和终端的身份是否合法;
在本发明实施例中,为了避免不法分子截取用户的用户身份信息之后使用用户的用户身份信息冒名访问网络服务器,还需要限定使用用户的用户身份信息访问网络服务器所使用的终端
例如,如果用户限定使用用户的用户身份信息在用户的终端上才能访问网络服务器,则即使不法分子截获了用户的用户身份信息,如果不法分子未窃取用户的终端,则使用用户的用户身份信息在非用户的终端上却无法访问网络服务器。
其中,对于任一用户,当该用户事先在认证服务器中注册用户账户时,往往需要通过该用户的终端向认证服务器发送注册请求,且该注册请求中携带了该终端的终端身份信息,在认证服务器根据该注册请求为该用户分配了用户身份信息之后,就会将该终端身份信息与该用户身份信息组成对应表项,并存储在已存储的终端身份信息与用户身份信息之间的对应关系中。
如此,当之后该用户需要访问网络服务器时,需要使用该用户的用户身份信息且在用户的终端上才能访问网络服务器,即使不法分子截取了用户的用户身份信息,在没有窃取用户的终端的情况下,使用用户的用户身份信息在非用户的终端仍旧无法访问网络服务器,从而提高了安全性。
因此,在本步骤中,认证服务器需要在已存储的终端身份信息与用户身份信息之间的对应关系中,查找是否存在与该终端身份信息相对应的用户身份信息,如果存在与该终端身份信息相对应的用户身份信息,则确定用户的身份和终端的身份合法,然后执行步骤s109;如果不存在与该终端身份信息相对应的用户身份信息,则确定用户的身份不合法或终端的身份不合法,并拒绝开放终端访问网络服务器的访问权限。
在步骤s111中,如果用户的身份和终端的身份合法,则认证服务器开放终端访问网络服务器的访问权限。
例如,认证服务器可以向网络服务器发送许可指令,该许可指令携带该终端身份信息和该用户身份信息,该许可指令用于指示许可该用户身份信息所对应的用户可以使用该终端信息所对应的终端建立与网络服务器之间的通信连接,并通过该通信连接访问网络服务器。
其次,认证服务器还可以向终端发送通知消息,该通知消息用于通知终端可以使用该终端身份信息和该用户身份信息建立该终端身份信息所对应的终端与网络服务器之间的通信连接,进而访问网络服务器。
在本发明实施例中,终端向服务器发送的认证请求中携带的信息为:使用对称密钥对用户的用户身份信息和终端的终端身份信息加密后的加密身份信息。这样,即使该认证请求在传输过程中被不法分子截取并从该认证请求中提取出该加密身份信息,由于不法分子无法得到该对称密钥,从而无法对该加密身份信息解密而得到用户的用户身份信息和终端的终端身份信息。从而避免不法分子使用用户的用户身份信息和终端的终端身份信息冒名访问网络服务器,从而提高了安全性。
在本发明实施例中,终端的该终端身份信息包括在启动终端过程中终端加载的数据的散列值。
其中,在启动终端的过程中,终端的操作系统会加载一些系统数据,且每次启动终端的过程中终端的操作系统加载的数据均相同。
当用户使用终端事先在认证服务器中注册用户账户时,在通过终端向认证服务器发送注册请求中携带了该终端的终端身份信息,也即携带了在启动终端过程中终端加载的数据的散列值,并将该散列值作为终端的终端身份信息,然后将该终端身份信息与该用户身份信息组成对应表项,并存储在已存储的终端身份信息与用户身份信息之间的对应关系中。
如果之后不法分子在终端中安装了用于窃取用户身份信息的非法应用程序之后,则在启动终端的过程中,终端的操作系统加载的系统数据,且该系统数据中包括非法应用程序的数据,如此该系统数据的散列值就与对应关系中的该用户身份信息对应的终端身份信息中包括的散列值不同。这样,认证服务器在根据该终端身份信息和该用户身份信息验证用户的身份和终端的身份是否合法,就会确定该终端身份信息不合法,也即,确定该终端为非安全的终端,并拒绝开放终端访问网络服务器的访问权限,进而提高了安全性。
为了进一步提高安全性,在步骤12)之后且在步骤13)之前,该方法还包括:
21)、认证服务器根据该终端身份信息和该用户身份信息验证用户的身份和终端的身份是否合法;
本步骤具体可参见步骤s109,在此不做详述。
22)、如果用户的身份和终端的身份合法,则认证服务器获取与认证服务器唯一对应的公钥;
在本发明实施例中,认证服务器会将其具备的公钥和私钥存储在本地,因此,在本步骤中,认证服务器可以获取本地存储的与认证服务器唯一对应的公钥。
23)、认证服务器向终端发送用户属性信息获取请求,该用户属性信息获取请求携带有与认证服务器唯一对应的公钥和用户身份信息;
24)、终端接收认证服务器发送该属性信息获取请求;
25)、终端根据该用户身份信息获取用户的用户属性信息;
在本发明实施例中,用户的用户属性信息包括用户在认证服务器中注册用户账户之后,在用户账户中存储的例如用户的年龄、性别、出生地、现居住地、职业、婚姻状态、单位以及密保问题等信息。通常情况下,不同的用户的用户属性信息不同。
26)、终端使用与认证服务器唯一对应的公钥对该用户属性信息加密,得到加密信息;
27)、终端向认证服务器发送该加密信息。
28)、认证服务器接收终端发送的该加密信息;
29)、认证服务器获取与认证服务器唯一对应的私钥;
在本发明实施例中,认证服务器会将其具备的公钥和私钥存储在本地。
因此,在本步骤中,认证服务器可以获取本地存储的与认证服务器唯一对应的私钥。
31)、认证服务器使用与认证服务器唯一对应的私钥对该加密信息解密,得到该用户属性信息;
32)、认证服务器使用该用户身份信息和该用户属性信息确定用户的身份是否合法;
33)、如果使用该用户身份信息和该用户属性信息确定出用户的身份合法,则执行步骤13)。
通过本发明实施例的方法,即使不法分子截获了用户的用户身份信息,只要未截获用户的用户属性信息,则认证服务器就不会向终端开放访问网络服务器的访问权限,从而可以进一步提高安全性。
需要说明的是,对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明实施例并不受所描述的动作顺序的限制,因为依据本发明实施例,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作并不一定是本发明实施例所必须的。
参照图3,示出了本发明一种访问权限的认证装置实施例的结构框图,该装置具体可以包括如下模块:
第一获取模块01,用于获取所述终端的终端身份信息,所述终端身份信息包括在启动所述终端过程中所述终端加载的数据的散列值;
第二获取模块02,用于获取当前使用所述终端的用户的用户身份信息;
第三获取模块03,用于获取与所述用户身份信息唯一对应的对称密钥;
第一加密模块04,用于使用所述对称密钥对所述用户身份信息和所述终端身份信息加密,得到加密身份信息;
第一生成模块05,用于生成携带有所述加密身份信息的认证请求;
第一发送模块06,用于向认证服务器发送所述认证请求。
在一个可选的实现方式中,所述第三获取模块03包括:
第一发送单元,用于向所述认证服务器发送携带有所述用户身份信息和所述终端身份信息的对称密钥获取请求;
第一接收单元,用于接收所述认证服务器根据所述对称密钥获取请求返回的加密密钥,所述加密密钥是所述认证服务器在获取与所述用户身份信息和所述终端身份信息唯一对应的对称密钥后,使用与所述终端身份信息唯一对应的公钥对所述对称密钥加密后得到的;
第一获取单元,用于获取与所述公钥唯一对应的私钥;
解密单元,用于使用所述私钥对所述加密密钥解密,得到所述对称密钥。
在一个可选的实现方式中,所述第三获取模块还包括:
第二接收单元,用于接收认证服务器发送的用户属性信息获取请求,所述用户属性信息获取请求携带有与所述认证服务器唯一对应的公钥和所述用户身份信息;
第二获取单元,用于根据所述用户身份信息获取所述用户的用户属性信息;
加密单元,用于使用与所述认证服务器唯一对应的公钥对所述用户属性信息加密,得到加密信息;
第二发送单元,用于向所述认证服务器发送所述加密信息。
在本发明实施例中,终端向服务器发送的认证请求中携带的信息为:使用对称密钥对用户的用户身份信息和终端的终端身份信息加密后的加密身份信息。这样,即使该认证请求在传输过程中被不法分子截取并从该认证请求中提取出该加密身份信息,由于不法分子无法得到该对称密钥,从而无法对该加密身份信息解密而得到用户的用户身份信息和终端的终端身份信息。从而避免不法分子使用用户的用户身份信息和终端的终端身份信息冒名访问网络服务器,从而提高了安全性。
参照图4,示出了本发明一种访问权限的认证装置实施例的结构框图,该装置具体可以包括如下模块:
第一接收模块21,用于接收终端发送的认证请求,所述认证请求携带有加密身份信息,所述加密身份信息是所述终端使用对称密钥对当前使用所述终端的用户的用户身份信息和所述终端的终端身份信息加密后得到,所述终端身份信息包括在启动所述终端过程中所述终端加载的数据的散列值;
第四获取模块22,用于获取所述对称密钥;
第一解密模块23,用于使用所述对称密钥对所述认证请求携带的所述加密身份信息解密,得到所述用户身份信息和所述终端身份信息;
第一验证模块24,用于根据所述用户身份信息和所述终端身份信息验证所述用户的身份和所述终端的身份是否合法;
开放模块25,用于如果所述用户的身份和所述终端的身份合法,则开放所述终端访问网络服务器的访问权限。
在一个可选的实现方式中,所述装置还包括:
第二接收模块,用于接收所述终端发送的携带有所述用户身份信息和所述终端身份信息的对称密钥获取请求;
第二生成模块,用于生成与所述用户身份信息和所述终端身份信息唯一对应的对称密钥;
第五获取模块,用于获取与所述终端身份信息唯一对应的公钥;
第二加密模块,用于使用所述公钥对所述对称密钥加密,得到加密密钥;
第二发送模块,用于向所述终端发送所述加密密钥。
在一个可选的实现方式中,所述装置还包括:
第二验证模块,用于根据所述用户身份信息和所述终端身份信息验证所述用户的身份和所述终端的身份是否合法;
第六获取模块,用于如果所述用户的身份和所述终端的身份合法,获取与所述认证服务器唯一对应的公钥;
第三发送模块,用于向所述终端发送用户属性信息获取请求,所述用户属性信息获取请求携带有与所述认证服务器唯一对应的公钥和所述用户身份信息;
第三接收模块,用于接收所述终端返回的加密信息,所述加密信息是所述终端使用与所述认证服务器唯一对应的公钥对所述用户属性信息加密后得到的;
第七获取模块,用于获取与所述认证服务器唯一对应的私钥;
第二解密模块,用于使用与所述认证服务器唯一对应的私钥对所述加密信息解密,得到所述用户属性信息;
确定模块,用于使用所述用户身份信息和用户属性信息确定所述用户的身份是否合法;
所述第二生成模块还用于:如果使用所述用户身份信息和用户属性信息确定出所述用户的身份合法,则生成与所述用户身份信息和所述终端身份信息唯一对应的对称密钥。
在本发明实施例中,终端向服务器发送的认证请求中携带的信息为:使用对称密钥对用户的用户身份信息和终端的终端身份信息加密后的加密身份信息。这样,即使该认证请求在传输过程中被不法分子截取并从该认证请求中提取出该加密身份信息,由于不法分子无法得到该对称密钥,从而无法对该加密身份信息解密而得到用户的用户身份信息和终端的终端身份信息。从而避免不法分子使用用户的用户身份信息和终端的终端身份信息冒名访问网络服务器,从而提高了安全性。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本领域内的技术人员应明白,本发明实施例的实施例可提供为方法、装置、或计算机程序产品。因此,本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
本发明实施例是参照根据本发明实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上,使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明实施例的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明实施例范围的所有变更和修改。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。
以上对本发明所提供的一种访问权限的认证方法及装置,进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。