一種安全登錄方法�����、裝置及系統(tǒng)的制作方法
【專利摘要】一種安全登錄方法���、裝置及系統(tǒng)�,安全登錄裝置保存有服務(wù)器登錄序列�,所述方法包括:接收目的服務(wù)器發(fā)送的登錄請(qǐng)求,所述登錄請(qǐng)求包含源服務(wù)器標(biāo)識(shí)和目的服務(wù)器標(biāo)識(shí)����;根據(jù)所述源服務(wù)器標(biāo)識(shí)和目的服務(wù)器標(biāo)識(shí)判斷所述登錄請(qǐng)求是否符合所述服務(wù)器登錄序列�����;如果符合���,則向所述目的服務(wù)器返回驗(yàn)證成功消息,允許登錄者登錄所述目的服務(wù)器�;如果否,則向所述目的服務(wù)器返回驗(yàn)證失敗消息��。如此方案����,在方便登錄者遠(yuǎn)程登錄操作的同時(shí),還能有效提高系統(tǒng)的安全性���。
【專利說明】一種安全登錄方法�����、裝置及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及互聯(lián)網(wǎng)領(lǐng)域�����,尤其涉及一種安全登錄方法���、裝置及系統(tǒng)�。
【背景技術(shù)】
[0002]隨著信息技術(shù)的不斷發(fā)展�����,在諸如業(yè)務(wù)系統(tǒng)�、網(wǎng)絡(luò)系統(tǒng)等大型組網(wǎng)系統(tǒng)中�����,往往需要多臺(tái)服務(wù)器通過內(nèi)網(wǎng)互聯(lián)來實(shí)現(xiàn)業(yè)務(wù)功能�。為了方便管理員的操作,其可通過ssh客戶端連接系統(tǒng)中的服務(wù)器���,對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理操作���。ssh (Secure Shell,是建立在應(yīng)用層和傳輸層基礎(chǔ)上的安全協(xié)議)是一種專為遠(yuǎn)程登錄會(huì)話和其它網(wǎng)絡(luò)服務(wù)提供安全性的協(xié)議�����,利用ssh協(xié)議可以有效防止遠(yuǎn)程管理過程中的信息泄露問題�����。
[0003]在管理員通過ssh客戶端連接系統(tǒng)中的服務(wù)器時(shí),需要輸入用于驗(yàn)證登錄者身份的用戶名和密碼����,由于系統(tǒng)中服務(wù)器較多,且各服務(wù)器的SSh登錄用戶名或密碼設(shè)置又各不相同�����,為了方便管理員SSh遠(yuǎn)程登錄�����,現(xiàn)有技術(shù)中普遍采用互信機(jī)制���。即管理員通過SSh客戶端遠(yuǎn)程登錄系統(tǒng)中的服務(wù)器A后����,可以服務(wù)器A為跳板SSh到該系統(tǒng)內(nèi)的其它服務(wù)器�����,具體實(shí)現(xiàn)為:管理員手動(dòng)輸入用戶名密碼成功登錄服務(wù)器A后,A會(huì)將預(yù)先定義的登錄令牌傳遞給服務(wù)器B�,由B根據(jù)登錄令牌確認(rèn)是否準(zhǔn)許管理員登錄;如果B準(zhǔn)許則管理員在ssh遠(yuǎn)程登錄服務(wù)器B時(shí)����,就無需再次輸入登錄用戶名和密碼。
[0004]上述的互信機(jī)制雖在一定程度上方便了管理員的登錄操作�����,但卻存在較大的安全隱患���。這主要是因?yàn)?����,系統(tǒng)中的服務(wù)器比較多,服務(wù)器的安全防護(hù)機(jī)制參差不齊��,如果系統(tǒng)中任何一臺(tái)防護(hù)比較薄弱的服務(wù)器被攻擊�,則攻擊者就可以通過被攻擊的服務(wù)器跳轉(zhuǎn)登錄到其它服務(wù)器,出現(xiàn)一點(diǎn)攻破全網(wǎng)的情況�,嚴(yán)重威脅到系統(tǒng)安全。
【發(fā)明內(nèi)容】
[0005]本發(fā)明實(shí)施例的安全登錄方法���、裝置及系統(tǒng)�,在方便管理者遠(yuǎn)程登錄操作的同時(shí),還能有效提高系統(tǒng)的安全性�。
[0006]為此,本發(fā)明實(shí)施例提供如下技術(shù)方案:
[0007]—種安全登錄方法��,其特征在于���,安全登錄裝置保存有服務(wù)器登錄序列�����,所述方法包括:
[0008]接收目的服務(wù)器發(fā)送的登錄請(qǐng)求�����,所述登錄請(qǐng)求包含源服務(wù)器標(biāo)識(shí)和目的服務(wù)器標(biāo)識(shí)����;
[0009]根據(jù)所述源服務(wù)器標(biāo)識(shí)和目的服務(wù)器標(biāo)識(shí)判斷所述登錄請(qǐng)求是否符合所述服務(wù)器登錄序列����;
[0010]如果符合,則向所述目的服務(wù)器返回驗(yàn)證成功消息���,允許登錄者登錄所述目的服務(wù)器��;如果否�,則向所述目的服務(wù)器返回驗(yàn)證失敗消息。
[0011]優(yōu)選的����,所述安全登錄裝置還保存有登錄索引值,則所述判斷所述登錄請(qǐng)求是否符合所述服務(wù)器登錄序列���,具體包括:
[0012]將所述登錄索引值加I作為當(dāng)前登錄索引值�����,判斷所述目的服務(wù)器是否為所述當(dāng)前登錄索引值對(duì)應(yīng)在所述服務(wù)器登錄序列中的待登錄服務(wù)器��;
[0013]如果是���,則判定所述登錄請(qǐng)求符合所述服務(wù)器登錄序列�����,并更新所述登錄索引值為當(dāng)前登錄索引值���。
[0014]優(yōu)選的�,所述安全登錄裝置還保存有服務(wù)器登錄序列與會(huì)話標(biāo)識(shí)間的對(duì)應(yīng)關(guān)系,且所述登錄請(qǐng)求中還包含會(huì)話標(biāo)識(shí)��,則在所述判斷所述登錄請(qǐng)求是否符合所述服務(wù)器登錄序列之前����,所述方法還包括:
[0015]根據(jù)所述會(huì)話標(biāo)識(shí)查找與之對(duì)應(yīng)的服務(wù)器登錄序列,然后再執(zhí)行所述判斷所述登錄請(qǐng)求是否符合所述服務(wù)器登錄序列的步驟��。
[0016]優(yōu)選的�,保存所述服務(wù)器登錄序列、服務(wù)器登錄序列與會(huì)話標(biāo)識(shí)間的對(duì)應(yīng)關(guān)系�、以及登錄索引值的方式為:
[0017]接收首次登錄服務(wù)器發(fā)送的會(huì)話標(biāo)識(shí),所述會(huì)話標(biāo)識(shí)為所述首次登錄服務(wù)器在登錄者身份驗(yàn)證合法后生成的���;
[0018]隨機(jī)生成一組服務(wù)器登錄序列���,并建立所述服務(wù)器登錄序列與所述會(huì)話標(biāo)識(shí)間的對(duì)應(yīng)關(guān)系;
[0019]建立所述登錄索弓I值與所述服務(wù)器登錄序列中首次登錄服務(wù)器間的對(duì)應(yīng)關(guān)系���,并初始化所述登錄索引值為零�����。
[0020]優(yōu)選的����,所述方法還包括:
[0021]在所述隨機(jī)生成一組服務(wù)器登錄序列之前,
[0022]判斷所述安全登錄裝置是否已保存所述會(huì)話標(biāo)識(shí)����,如果未保存,再執(zhí)行所述隨機(jī)生成一組服務(wù)器登錄序列的步驟����。
[0023]優(yōu)選的,所述方法還包括:
[0024]所述目的服務(wù)器向所述安全登錄裝置發(fā)送所述登錄請(qǐng)求之前�����,
[0025]所述目的服務(wù)器驗(yàn)證所述源服務(wù)器發(fā)送的登錄令牌��,如果所述登錄令牌驗(yàn)證合法���,則向所述安全登錄裝置發(fā)送所述登錄請(qǐng)求��。
[0026]優(yōu)選的,所述方法還包括:
[0027]記錄所述安全登錄裝置返回所述驗(yàn)證失敗消息的次數(shù)�,如果超過預(yù)設(shè)值����,則重新生成一組服務(wù)器登錄序列��,建立并保存所述新的服務(wù)器登錄序列與所述會(huì)話標(biāo)識(shí)間的對(duì)應(yīng)關(guān)系���、初始化所述登錄索引值�。
[0028]一種安全登錄裝置���,所述裝置包括:
[0029]保存單元���,用于保存服務(wù)器登錄序列;
[0030]第一接收單元��,用于接收目的服務(wù)器發(fā)送的登錄請(qǐng)求����,所述登錄請(qǐng)求包含源服務(wù)器標(biāo)識(shí)和目的服務(wù)器標(biāo)識(shí);
[0031]第一判斷單元���,用于根據(jù)所述源服務(wù)器標(biāo)識(shí)和目的服務(wù)器標(biāo)識(shí)判斷所述登錄請(qǐng)求是否符合所述服務(wù)器登錄序列��;
[0032]發(fā)送單元�����,用于在所述登錄請(qǐng)求符合所述服務(wù)器登錄序列時(shí)���,向所述目的服務(wù)器返回驗(yàn)證成功消息���,允許登錄者登錄所述目的服務(wù)器;否則��,向所述目的服務(wù)器返回驗(yàn)證失敗消息�。
[0033]優(yōu)選的,所述保存單元還保存有登錄索引值�,則所述第一判斷單元,具體包括:
[0034]第一判斷子單元��,用于將所述登錄索引值加I作為當(dāng)前登錄索引值���,判斷所述目的服務(wù)器是否為所述當(dāng)前登錄索引值對(duì)應(yīng)在所述服務(wù)器登錄序列中的待登錄服務(wù)器�����;
[0035]更新單元��,用于在所述目的服務(wù)器為所述待登錄服務(wù)器時(shí)�,判定所述登錄請(qǐng)求符合所述服務(wù)器登錄序列���,并更新所述登錄索引值為當(dāng)前登錄索引值�。
[0036]優(yōu)選的�,所述保存單元還保存有服務(wù)器登錄序列與會(huì)話標(biāo)識(shí)間的對(duì)應(yīng)關(guān)系,且所述第一接收單元接收的登錄請(qǐng)求中還包含會(huì)話標(biāo)識(shí)����,則所述裝置還包括:
[0037]查找單元,用于根據(jù)所述會(huì)話標(biāo)識(shí)查找與之對(duì)應(yīng)的服務(wù)器登錄序列���,然后通知所述第一判斷單元判斷所述登錄請(qǐng)求是否符合所述服務(wù)器登錄序列���。
[0038]優(yōu)選的,所述保存單元包括:
[0039]第二接收單元��,用于接收首次登錄服務(wù)器發(fā)送的會(huì)話標(biāo)識(shí)��,所述會(huì)話標(biāo)識(shí)為所述首次登錄服務(wù)器在登錄者身份驗(yàn)證合法后生成的�����;
[0040]生成單元,用于隨機(jī)生成一組服務(wù)器登錄序列����,并建立所述服務(wù)器登錄序列與所述會(huì)話標(biāo)識(shí)間的對(duì)應(yīng)關(guān)系;
[0041 ] 初始化單元��,用于建立所述登錄索引值與所述服務(wù)器登錄序列中首次登錄服務(wù)器間的對(duì)應(yīng)關(guān)系�����,并初始化所述登錄索引值為零��。
[0042]優(yōu)選的����,所述保存單元還包括:
[0043]第二判斷單元,用于判斷所述保存單元是否已保存所述會(huì)話標(biāo)識(shí)��,如果未保存��,則通知所述生成單元隨機(jī)生成所述服務(wù)器登錄序列�����。
[0044]優(yōu)選的��,所述安全登錄裝置還包括:
[0045]重置單元,用于記錄所述發(fā)送單元返回所述驗(yàn)證失敗消息的次數(shù)�,如果超過預(yù)設(shè)值,則通知所述保存單元重新生成一組服務(wù)器登錄序列�����,建立并保存所述新的服務(wù)器登錄序列與所述會(huì)話標(biāo)識(shí)間的對(duì)應(yīng)關(guān)系����、初始化所述登錄索引值��。
[0046]一種安全登錄系統(tǒng)�����,所述系統(tǒng)包括上述的安全登錄裝置和至少兩臺(tái)服務(wù)器�����。
[0047]本發(fā)明實(shí)施例提供一種安全登錄方法��、裝置及系統(tǒng)����,對(duì)已驗(yàn)證過登錄者身份的遠(yuǎn)程登錄操作來說,安全登錄裝置保存有該登錄操作對(duì)應(yīng)的服務(wù)器登錄序列,登錄者可以按照登錄序列的要求依次登錄系統(tǒng)中的各臺(tái)服務(wù)器�����,而無需輸入用戶名和密碼�����,極大地方便了登錄者的登錄操作����。另外,即使系統(tǒng)中安全防護(hù)較差的服務(wù)器被攻擊����,攻擊者在不知曉登錄序列的情況下,也不可能以被攻擊的服務(wù)器為跳板登錄到系統(tǒng)中的其它服務(wù)器�,因此,還能有效解決現(xiàn)有技術(shù)中一點(diǎn)攻破全網(wǎng)的問題����,顯著提高系統(tǒng)的安全性。
【專利附圖】
【附圖說明】
[0048]為了更清楚地說明本申請(qǐng)實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案���,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹��,顯而易見地�����,下面描述中的附圖僅僅是本申請(qǐng)中記載的一些實(shí)施例���,對(duì)于本領(lǐng)域普通技術(shù)人員來講��,還可以根據(jù)這些附圖獲得其他的附圖�。
[0049]圖1是本發(fā)明實(shí)施例安全登錄方法實(shí)施例1的流程圖����;
[0050]圖2是本發(fā)明實(shí)施例中保存服務(wù)器登錄序列等信息實(shí)施例1的流程圖����;
[0051]圖3是本發(fā)明實(shí)施例中保存服務(wù)器登錄序列等信息實(shí)施例2的流程圖;
[0052]圖4是本發(fā)明實(shí)施例安全登錄方法實(shí)施例3的流程圖�;
[0053]圖5是本發(fā)明實(shí)施例安全登錄裝置實(shí)施例1的示意圖;[0054]圖6是本發(fā)明實(shí)施例中保存單元實(shí)施例1的示意圖����;
[0055]圖7是本發(fā)明實(shí)施例中保存單元實(shí)施例2的示意圖;
[0056]圖8是本發(fā)明實(shí)施例安全登錄裝置實(shí)施例2的示意圖���。
【具體實(shí)施方式】
[0057]為了使本【技術(shù)領(lǐng)域】的人員更好地理解本發(fā)明方案�,下面結(jié)合附圖和實(shí)施方式對(duì)本發(fā)明實(shí)施例作進(jìn)一步的詳細(xì)說明。
[0058]本發(fā)明實(shí)施例的技術(shù)方案��,通過在現(xiàn)有的大型組網(wǎng)系統(tǒng)中增設(shè)安全登錄裝置的方式實(shí)現(xiàn)提高系統(tǒng)登錄安全性的目的��。具體地�,在登錄者(即上述的管理員)第一次遠(yuǎn)程登錄系統(tǒng)中的服務(wù)器時(shí),需要其輸入用戶名和密碼對(duì)其進(jìn)行身份驗(yàn)證���,如果驗(yàn)證合格���,安全登錄裝置則會(huì)為其本次登錄操作生成一組服務(wù)器登錄序列,要求登錄者按照序列規(guī)定的順序依次登錄各臺(tái)服務(wù)器�����。只有在這種情況下�����,才無需登錄者多次輸入不同的用戶名和密碼連接各臺(tái)服務(wù)器����,這就方便了登錄者的登錄操作��。另外��,即使系統(tǒng)中安全防護(hù)較差的服務(wù)器被攻擊�����,攻擊者在不知曉登錄序列的情況下����,也不可能以被攻擊的服務(wù)器為跳板登錄到系統(tǒng)中的其它服務(wù)器���,這就有效解決了現(xiàn)有技術(shù)中一點(diǎn)攻破全網(wǎng)的問題���,顯著提高了系統(tǒng)的安全性�。
[0059]本發(fā)明實(shí)施例提供的安全登錄系統(tǒng)包括一臺(tái)安全登錄裝置和至少兩臺(tái)服務(wù)器,其中安全登錄裝置中保存有服務(wù)器登錄序列�����,則安全登錄裝置可以按照如下方法對(duì)登錄者進(jìn)行身份驗(yàn)證:
[0060]接收目的服務(wù)器發(fā)送的登錄請(qǐng)求����,所述登錄請(qǐng)求包含源服務(wù)器標(biāo)識(shí)和目的服務(wù)器標(biāo)識(shí)���;
[0061]根據(jù)所述源服務(wù)器標(biāo)識(shí)和目的服務(wù)器標(biāo)識(shí)判斷所述登錄請(qǐng)求是否符合所述服務(wù)器登錄序列;
[0062]如果符合��,則向所述目的服務(wù)器返回驗(yàn)證成功消息�����,允許登錄者登錄所述目的服務(wù)器�;如果否,則向所述目的服務(wù)器返回驗(yàn)證失敗消息���。
[0063]通過上述方法可知�,只要登錄者按照登錄序列規(guī)定的順序依次登錄各臺(tái)服務(wù)器���,就無需多次輸入不同的用戶名和密碼來連接各臺(tái)服務(wù)器���,在實(shí)現(xiàn)對(duì)登錄者身份驗(yàn)證的同時(shí),還方便了登錄者的登錄操作����。
[0064]進(jìn)一步地,如果安全登錄裝置中還保存有登錄索引值����,則可利用索引值來判斷登錄請(qǐng)求是否符合服務(wù)器登錄序列的要求��,具體體現(xiàn)為:
[0065]將所述登錄索引值加I作為當(dāng)前登錄索引值����,判斷所述目的服務(wù)器是否為所述當(dāng)前登錄索引值對(duì)應(yīng)在所述服務(wù)器登錄序列中的待登錄服務(wù)器����;如果是,則判定所述登錄請(qǐng)求符合所述服務(wù)器登錄序列�����,并更新所述登錄索引值為當(dāng)前登錄索引值����。
[0066]登錄索引值相當(dāng)于指向序列的指針,每臺(tái)服務(wù)器對(duì)應(yīng)一個(gè)針對(duì)自己的索引值��,因?yàn)榈卿浾咧荒馨凑盏卿浶蛄许樞虻卿?���,因此可通過逐漸遞增索引值的方法明確下一臺(tái)待登錄服務(wù)器是誰���,進(jìn)而與目的服務(wù)器比較�����,如果二者相同�����,則認(rèn)為符合登錄序列的要求�。
[0067]為了簡(jiǎn)化安全登錄裝置的計(jì)算過程,本發(fā)明優(yōu)選通過遞增加I的方法確定待登錄服務(wù)器��,本領(lǐng)域技術(shù)人員很容易想到的��,也可以采用遞增其它固定步長(zhǎng)的方法來確定待登錄服務(wù)器����,本發(fā)明對(duì)此不做限定。[0068]進(jìn)一步地����,如果安全登錄裝置保存有多組服務(wù)器登錄序列,則其還應(yīng)保存服務(wù)器登錄序列與會(huì)話標(biāo)識(shí)間的對(duì)應(yīng)關(guān)系�,以便安全登錄裝置可以根據(jù)會(huì)話標(biāo)識(shí)確定利用哪組登錄序列對(duì)登錄者進(jìn)行身份驗(yàn)證。對(duì)應(yīng)于此,安全登錄裝置接收到的登錄請(qǐng)求中還應(yīng)包含會(huì)話標(biāo)識(shí)����。
[0069]下面以安全登錄裝置保存有服務(wù)器登錄序列、服務(wù)器登錄序列與會(huì)話標(biāo)識(shí)間的對(duì)應(yīng)關(guān)系����、以及登錄索引值三個(gè)參數(shù)為例,對(duì)本發(fā)明的具體實(shí)現(xiàn)過程進(jìn)行解釋說明���。
[0070]參見圖1���,示出了本發(fā)明實(shí)施例安全登錄方法實(shí)施例1的流程圖,可包括以下步驟:
[0071]步驟101��,接收目的服務(wù)器發(fā)送的登錄請(qǐng)求����,所述登錄請(qǐng)求包含會(huì)話標(biāo)識(shí)、源服務(wù)器標(biāo)識(shí)和目的服務(wù)器標(biāo)識(shí)����。
[0072]對(duì)于已驗(yàn)證過登錄者身份的遠(yuǎn)程登錄操作來說,安全登錄裝置保存有該登錄操作對(duì)應(yīng)的服務(wù)器登錄序列�、服務(wù)器登錄序列與會(huì)話標(biāo)識(shí)間的對(duì)應(yīng)關(guān)系、以及登錄索引值��,若登錄者想要通過互信機(jī)制登錄系統(tǒng)中的其它服務(wù)器�����,則需要其按照登錄序列的要求順序登錄每臺(tái)服務(wù)器�。
[0073]例如,系統(tǒng)包含A����,B, C,D����,E,F(xiàn)共計(jì)6臺(tái)服務(wù)器���,且保存的服務(wù)器登錄序列為(A����,D��,B��,F(xiàn),E��,C)���,如果登錄者通過身份驗(yàn)證的方式遠(yuǎn)程登錄了服務(wù)器A�,想要通過互信機(jī)制繼續(xù)登錄其它服務(wù)器��,則A作為源服務(wù)器會(huì)將本次登錄操作對(duì)應(yīng)的會(huì)話標(biāo)識(shí)sid發(fā)送給目的服務(wù)器D���,這樣D就可以向安全登錄裝置發(fā)送登錄請(qǐng)求�,由安全登錄裝置按照本發(fā)明技術(shù)方案進(jìn)行合法性驗(yàn)證之后����,允許登錄者在不輸入用戶名和密碼的情況下登錄服務(wù)器D。
[0074]對(duì)于還未驗(yàn)證登錄者身份的遠(yuǎn)程登錄操作來說�,即登錄者第一次遠(yuǎn)程登錄系統(tǒng)中的服務(wù)器,安全登錄裝置還未針對(duì)該登錄操作保存諸如服務(wù)器登錄序列等信息時(shí)�,則會(huì)對(duì)登錄者進(jìn)行身份驗(yàn)證,并在驗(yàn)證合法后為其本次登錄操作生成相關(guān)的信息�����,以備登錄者后續(xù)可以通過互信機(jī)制連接其它服務(wù)器�。參見圖2�,保存服務(wù)器登錄序列等相關(guān)信息的方式具體為:
[0075]步驟201�����,接收首次登錄服務(wù)器發(fā)送的會(huì)話標(biāo)識(shí)���,所述會(huì)話標(biāo)識(shí)為所述首次登錄服務(wù)器在登錄者身份驗(yàn)證合法后生成的。
[0076]如果登錄者是第一次遠(yuǎn)程登錄系統(tǒng)中的服務(wù)器��,則要從中選取一臺(tái)服務(wù)器作為首次登錄服務(wù)器�,然后通過ssh客戶端遠(yuǎn)程連接該首次登錄服務(wù)器。仍以上述含有6臺(tái)服務(wù)器的系統(tǒng)為例����,如果登錄者選取的首次登錄服務(wù)器為A,則在其通過ssh遠(yuǎn)程登錄A時(shí)���,服務(wù)器A會(huì)提示登錄者進(jìn)行身份驗(yàn)證���,例如提示其輸入用戶名和密碼。如果服務(wù)器A驗(yàn)證登錄者身份信息合法后�����,則會(huì)針對(duì)本次遠(yuǎn)程登錄操作生成一個(gè)會(huì)話標(biāo)識(shí)sid,并將sid發(fā)送給安全登錄裝置���,以示登錄者已成功登錄服務(wù)器A����。
[0077]步驟202�,隨機(jī)生成一組服務(wù)器登錄序列,并建立所述服務(wù)器登錄序列與所述會(huì)話標(biāo)識(shí)間的對(duì)應(yīng)關(guān)系�。
[0078]在安全登錄裝置接收到首次登錄服務(wù)器(即上述示例中的服務(wù)器A)發(fā)送的sid之后,則被觸發(fā)針對(duì)系統(tǒng)包含的服務(wù)器隨機(jī)生成一組登錄序列���,將其保存在本地�����。同時(shí)�����,安全登錄裝置還要建立sid與登錄序列間的對(duì)應(yīng)關(guān)系����,以便登錄者在后續(xù)通過互信機(jī)制連接其它服務(wù)器時(shí)����,可以通過其它服務(wù)器發(fā)送的sid明確登錄者當(dāng)前的登錄操作對(duì)應(yīng)的是哪組登錄序列����。[0079]步驟203����,建立所述登錄索引值與所述服務(wù)器登錄序列中首次登錄服務(wù)器間的對(duì)應(yīng)關(guān)系���,并初始化所述登錄索引值�����。
[0080]為了清楚體現(xiàn)登錄操作的進(jìn)度����,本發(fā)明實(shí)施例還應(yīng)包含登錄索引值��,通過登錄索引值可體現(xiàn)出目前已登錄的服務(wù)器有哪些(特別是最近一次登錄的服務(wù)器是哪臺(tái))���,以及按照登錄序列的規(guī)定下一臺(tái)待登錄的服務(wù)器是哪臺(tái)�,進(jìn)而可以驗(yàn)證登錄者通過互信機(jī)制登錄其它服務(wù)器的合法性���。為此����,在生成服務(wù)器登錄序列之后,還要建立登錄索引值與首次登錄服務(wù)器間的對(duì)應(yīng)關(guān)系����,并對(duì)登錄索引值進(jìn)行初始化。
[0081]如果步驟202中生成的服務(wù)器登錄序列為(A���,D�����,B�����,F(xiàn)�����,E�,C)���,則登錄索引值要對(duì)應(yīng)序列中的服務(wù)器A�,且可將其初始化為0,用以表示登錄者目前已登錄一臺(tái)服務(wù)器A�����。當(dāng)然���,也可將登錄索引值初始化為其它數(shù)值�����,只要能通過索引值明確待登錄服務(wù)器是誰即可。
[0082]參見圖3��,安全登錄裝置還可按以下方式生成并保存與登錄操作對(duì)應(yīng)的相關(guān)信息����。
[0083]步驟301,接收首次登錄服務(wù)器發(fā)送的會(huì)話標(biāo)識(shí)����,所述會(huì)話標(biāo)識(shí)為所述首次登錄服務(wù)器在登錄者身份驗(yàn)證合法后生成的。
[0084]步驟302���,判斷所述安全登錄裝置是否已保存所述會(huì)話標(biāo)識(shí)��。
[0085]步驟303�,如果未保存所述會(huì)話標(biāo)識(shí)����,則隨機(jī)生成一組服務(wù)器登錄序列��,并建立所述服務(wù)器登錄序列與所述會(huì)話標(biāo)識(shí)間的對(duì)應(yīng)關(guān)系����。
[0086]步驟304,建立所述登錄索引值與所述服務(wù)器登錄序列中首次登錄服務(wù)器間的對(duì)應(yīng)關(guān)系���,并初始化所述登錄索引值�。
[0087]如上所說���,sid與登錄序列之間存在一定的對(duì)應(yīng)關(guān)系��,通過sid就可以明確登錄者的登錄操作對(duì)應(yīng)的是哪組登錄序列���,因此,為了保證后續(xù)查找服務(wù)器登錄序列的準(zhǔn)確性,與圖2所示方式相比�,本實(shí)現(xiàn)方式中還包括檢測(cè)sid唯一性的步驟,即判斷安全登錄裝置之前是否已保存過該sid��,只有在未保存過相同sid的情況下��,安全登錄裝置才會(huì)生成服務(wù)器登錄序列����,并建立sid與登錄序列間的對(duì)應(yīng)關(guān)系。
[0088]其它步驟的實(shí)現(xiàn)過程與圖2所示方式相同�,此處不再贅述。
[0089]步驟102���,根據(jù)所述會(huì)話標(biāo)識(shí)查找與之對(duì)應(yīng)的服務(wù)器登錄序列����,并將所述登錄索引值加I作為當(dāng)前登錄索引值�����,判斷所述目的服務(wù)器是否為所述當(dāng)前登錄索引值對(duì)應(yīng)在所述服務(wù)器登錄序列中的待登錄服務(wù)器���。
[0090]步驟103,如果是,則更新所述登錄索引值為當(dāng)前登錄索引值��,并向所述目的服務(wù)器返回驗(yàn)證成功消息���,允許登錄者登錄所述目的服務(wù)器�����;如果否�,則向所述目的服務(wù)器返回驗(yàn)證失敗消息�����。
[0091 ] 安全登錄裝置在步驟101接收到目的服務(wù)器發(fā)送的登錄請(qǐng)求后���,先根據(jù)登錄請(qǐng)求中包含的sid查找到本次登錄操作對(duì)應(yīng)的登錄序列是哪組�;然后再根據(jù)登錄請(qǐng)求中包含的登錄索引值確定當(dāng)前的登錄進(jìn)度����,進(jìn)而驗(yàn)證登錄的合法性,具體體現(xiàn)為:
[0092]1.讀取登錄索引值����,并在其基礎(chǔ)上加I作為當(dāng)前登錄索引值�����,其中的登錄索引值為最近一次登錄的服務(wù)器(即源服務(wù)器)對(duì)應(yīng)的索引值�,當(dāng)前登錄索引值為待登錄服務(wù)器(即目的服務(wù)器)對(duì)應(yīng)的索引值���。如上所舉示例�,如果服務(wù)器登錄序列為(A��,D��,B�����,F(xiàn)�,E,C)��,且初始化登錄索引值為0��,則索引值O對(duì)應(yīng)的就是服務(wù)器A���,索引值I (0+1)對(duì)應(yīng)的就是服務(wù)器D,索引值2 (1+1)對(duì)應(yīng)的就是服務(wù)器B,以此類推��,索引值5 (4+1)對(duì)應(yīng)的就是服務(wù)器C�。
[0093]2.根據(jù)當(dāng)前登錄索引值驗(yàn)證目的服務(wù)器發(fā)送的登錄請(qǐng)求。[0094]以通過A為跳板登錄D為例�����,安全登錄裝置接收到該條登錄請(qǐng)求之后����,首先根據(jù)sid獲取服務(wù)器登錄序列,然后根據(jù)登錄索引值計(jì)算當(dāng)前索引值為1���,進(jìn)一步再確定出索引值I對(duì)應(yīng)到登錄序列中的待登錄服務(wù)器是D�,最后比對(duì)目的服務(wù)器是否與待登錄服務(wù)器D相同����。在本示例中,目的服務(wù)器就是待登錄服務(wù)器���,因此允許登錄者在不輸入用戶名和密碼的情況下��,安全登錄到服務(wù)器D��。但是��,如果服務(wù)器A被攻擊��,攻擊者想要通過A登錄服務(wù)器B�����,此時(shí)服務(wù)器B作為目的服務(wù)器亦會(huì)向安全登錄裝置發(fā)送登錄請(qǐng)求���,經(jīng)過如上所述的步驟確定出待登錄服務(wù)器為D之后��,比對(duì)得知目的服務(wù)器B并不是待登錄服務(wù)器D��,安全登錄裝置就會(huì)拒絕本次登錄請(qǐng)求����,攻擊者也就不能通過服務(wù)器A跳轉(zhuǎn)登錄到服務(wù)器B���,從而有效保證系統(tǒng)的安全�。
[0095]需要說明的是���,在安全登錄裝置向目的服務(wù)器返回驗(yàn)證失敗消息之后�����,目的服務(wù)器可以直接禁止登錄者遠(yuǎn)程連接到本服務(wù)器���,但是為了提高本發(fā)明實(shí)施例的應(yīng)用靈活性,目的服務(wù)器在接收到驗(yàn)證失敗消息之后���,還可提示登錄者進(jìn)行身份驗(yàn)證�,例如提示其輸入用戶名和密碼�。這樣,即使登錄者通過互信機(jī)制無法登錄到目的服務(wù)器�����,還允許其通過身份驗(yàn)證的方式登錄�����,從而避免由于登錄者疏忽出現(xiàn)登錄順序錯(cuò)誤��,致使登錄失敗的情況��。
[0096]另外����,需要說明的是�,安全登錄裝置生成服務(wù)器登錄序列之后���,登錄者可以通過登錄安全登錄裝置的方式獲取該序列���,也可由安全登錄裝置通過短信等無線通信的方式將登錄序列發(fā)送給登錄者知曉。本發(fā)明對(duì)此不做限定���,只要能在登錄序列發(fā)生變化的情況下(生成或重置)通知登錄者即可���。
[0097]作為本發(fā)明實(shí)施例安全登錄方法的實(shí)施例2,在目的服務(wù)器向安全登錄裝置發(fā)送登錄請(qǐng)求之前��,目的服務(wù)器要進(jìn)行登錄令牌的合法性驗(yàn)證�����,然后再根據(jù)驗(yàn)證結(jié)果判定是否需要向安全登錄裝置發(fā)送登錄請(qǐng)求��。
[0098]為了提高安全登錄裝置的驗(yàn)證效率����,在源服務(wù)器向目的服務(wù)器發(fā)送Sid時(shí)����,還可將預(yù)先定義的登錄令牌一同傳遞給目的服務(wù)器�,目的服務(wù)器接收到sid和登錄令牌后���,并不直接向安全登錄裝置發(fā)送登錄請(qǐng)求�,而是先驗(yàn)證登錄令牌的合法性����。如果登錄令牌合法,則向安全登錄裝置發(fā)送登錄請(qǐng)求��,由安全登錄裝置按照?qǐng)D1所示過程���,判斷是否允許登錄者在不進(jìn)行身份驗(yàn)證的情況下登錄其它服務(wù)器�����。如果登錄令牌不合法�����,則可直接判定本次登錄行為為非法行為��,拒絕登錄者的登錄請(qǐng)求��。這種登錄令牌和登錄序列相結(jié)合的驗(yàn)證方式�����,既可保證安全登錄裝置的驗(yàn)證準(zhǔn)確度����,又可提高安全登錄裝置的驗(yàn)證效率。
[0099]可采用現(xiàn)有技術(shù)提供的方法來驗(yàn)證登錄令牌的合法性�,本發(fā)明對(duì)此不做限定。
[0100]參見圖4�,示出了本發(fā)明實(shí)施例安全登錄方法實(shí)施例3的流程圖,可包括以下步驟:
[0101]步驟401����,接收目的服務(wù)器發(fā)送的登錄請(qǐng)求,所述登錄請(qǐng)求包含會(huì)話標(biāo)識(shí)�����、源服務(wù)器標(biāo)識(shí)和目的服務(wù)器標(biāo)識(shí)���。
[0102]步驟402����,根據(jù)所述會(huì)話標(biāo)識(shí)查找與之對(duì)應(yīng)的服務(wù)器登錄序列,并將所述登錄索引值加I作為當(dāng)前登錄索引值���,判斷所述目的服務(wù)器是否為所述當(dāng)前登錄索引值對(duì)應(yīng)在所述服務(wù)器登錄序列中的待登錄服務(wù)器���。
[0103]步驟403����,如果是,則更新所述登錄索引值為當(dāng)前登錄索引值�,并向所述目的服務(wù)器返回驗(yàn)證成功消息,允許登錄者登錄所述目的服務(wù)器���;如果否����,則向所述目的服務(wù)器返回驗(yàn)證失敗消息�。[0104]步驟401?步驟403與步驟101?步驟103相同,此處不再贅述���。
[0105]步驟404�����,記錄所述安全登錄裝置返回所述驗(yàn)證失敗消息的次數(shù)�,如果超過預(yù)設(shè)值,則重新生成一組服務(wù)器登錄序列�,建立并保存所述新的服務(wù)器登錄序列與所述會(huì)話標(biāo)識(shí)間的對(duì)應(yīng)關(guān)系、初始化所述登錄索引值����。
[0106]為了避免攻擊者通過試探的方式猜測(cè)服務(wù)器登錄序列,本發(fā)明實(shí)施例還要記錄登錄者登錄操作的失敗次數(shù)����,如果失敗次數(shù)超過了預(yù)設(shè)值,則認(rèn)為該登錄行為是非法行為���,可以拒絕登錄者通過互信機(jī)制登錄系統(tǒng)中的其它服務(wù)器�����。同時(shí)���,為了保證系統(tǒng)安全�,還要重置服務(wù)器登錄序列�����,然后重新建立新的服務(wù)器登錄序列與sid間的對(duì)應(yīng)關(guān)系���、初始化登錄索引值���、以及通知登錄者新的服務(wù)器登錄序列,以使合法登錄者可以按照新的登錄序列繼續(xù)通過互信機(jī)制登錄系統(tǒng)中的其它服務(wù)器����。
[0107]對(duì)于用于判斷失敗次數(shù)的預(yù)設(shè)值可根據(jù)服務(wù)器節(jié)點(diǎn)數(shù)目或者經(jīng)驗(yàn)值確定����,例如,當(dāng)服務(wù)器節(jié)點(diǎn)數(shù)目較少時(shí)(例如少于100臺(tái))���,則可將門限值設(shè)置為I ;當(dāng)服務(wù)器節(jié)點(diǎn)數(shù)目超過一定數(shù)目時(shí)(例如超過100臺(tái))�,則門限值設(shè)置為3����。當(dāng)然���,具體的設(shè)定可由管理員根據(jù)系統(tǒng)的安全性和重要性進(jìn)行設(shè)定。
[0108]參見圖5���,示出了本發(fā)明實(shí)施例安全登錄裝置實(shí)施例1的示意圖�,可包括:
[0109]保存單元501���,用于保存服務(wù)器登錄序列���。
[0110]對(duì)應(yīng)于上述對(duì)方法實(shí)施例的介紹,保存單元還可保存登錄索引值����,以便安全登錄裝置通過登錄索引值判斷登錄者的登錄行為是否符合登錄序列的要求,即判斷目的服務(wù)器是否為下一臺(tái)待登錄服務(wù)器�����。當(dāng)然���,在保存單元保存有多組服務(wù)器登錄序列時(shí)����,為了提高安全登錄裝置身份驗(yàn)證的準(zhǔn)確性,保存單元還應(yīng)保存服務(wù)器登錄序列與會(huì)話標(biāo)識(shí)間的對(duì)應(yīng)關(guān)系���,以便安全登錄裝置根據(jù)會(huì)話標(biāo)識(shí)確定利用哪組登錄序列對(duì)登錄者進(jìn)行身份驗(yàn)證����。
[0111]下面以保存單元保存有服務(wù)器登錄序列�����、服務(wù)器登錄序列與會(huì)話標(biāo)識(shí)間的對(duì)應(yīng)關(guān)系��、以及登錄索引值三個(gè)參數(shù)為例����,對(duì)保存單元的具體構(gòu)成進(jìn)行簡(jiǎn)單介紹。具體地���,保存單元的可體現(xiàn)為以下兩種具體實(shí)現(xiàn)方式:
[0112]參見圖6,示出了本發(fā)明實(shí)施例中保存單元實(shí)施例1的示意圖,可包括:
[0113]第二接收單元601,用于接收首次登錄服務(wù)器發(fā)送的會(huì)話標(biāo)識(shí)�,所述會(huì)話標(biāo)識(shí)為所述首次登錄服務(wù)器在登錄者身份驗(yàn)證合法后生成的;
[0114]生成單元602�,用于隨機(jī)生成一組服務(wù)器登錄序列,并建立所述服務(wù)器登錄序列與所述會(huì)話標(biāo)識(shí)間的對(duì)應(yīng)關(guān)系���;
[0115]初始化單元603�����,用于建立所述登錄索引值與所述服務(wù)器登錄序列中首次登錄服務(wù)器間的對(duì)應(yīng)關(guān)系�����,并初始化所述登錄索引值為零�。
[0116]如上所說,會(huì)話標(biāo)識(shí)sid與登錄序列之間存在一定的對(duì)應(yīng)關(guān)系��,通過sid可以明確登錄者的登錄操作對(duì)應(yīng)的是哪組登錄序列��,因此�����,為了保證后續(xù)查找服務(wù)器登錄序列的準(zhǔn)確性���,還應(yīng)對(duì)首次登錄服務(wù)器發(fā)送的sid進(jìn)行唯一性檢測(cè)�,即判斷安全登錄裝置之前是否已保存過該sid���。
[0117]參見圖7,示出了本發(fā)明實(shí)施例中保存單元實(shí)施例2的示意圖,可包括:
[0118]第二接收單元701�����,用于接收首次登錄服務(wù)器發(fā)送的會(huì)話標(biāo)識(shí)�,所述會(huì)話標(biāo)識(shí)為所述首次登錄服務(wù)器在登錄者身份驗(yàn)證合法后生成的;
[0119]第二判斷單元702��,用于判斷所述保存單元是否已保存所述會(huì)話標(biāo)識(shí)����;[0120]生成單元703,用于在所述第二判斷單元判斷為未保存時(shí)����,隨機(jī)生成一組服務(wù)器登錄序列,并建立所述服務(wù)器登錄序列與所述會(huì)話標(biāo)識(shí)間的對(duì)應(yīng)關(guān)系��;
[0121 ] 初始化單元704�����,用于建立所述登錄索弓I值與所述服務(wù)器登錄序列中首次登錄服務(wù)器間的對(duì)應(yīng)關(guān)系���,并初始化所述登錄索引值為零。
[0122]第一接收單元502�,用于接收目的服務(wù)器發(fā)送的登錄請(qǐng)求��,所述登錄請(qǐng)求包含源服務(wù)器標(biāo)識(shí)和目的服務(wù)器標(biāo)識(shí)���。
[0123]第一判斷單元503,用于根據(jù)根據(jù)所述源服務(wù)器標(biāo)識(shí)和目的服務(wù)器標(biāo)識(shí)判斷所述登錄請(qǐng)求是否符合所述服務(wù)器登錄序列�����。
[0124]具體地��,如果保存單元保存有登錄索引值���,則第一判斷單元具體包括:
[0125]第一判斷子單元�����,用于將所述登錄索引值加I作為當(dāng)前登錄索引值�����,判斷所述目的服務(wù)器是否為所述當(dāng)前登錄索引值對(duì)應(yīng)在所述服務(wù)器登錄序列中的待登錄服務(wù)器�����;
[0126]更新單元�����,用于在所述目的服務(wù)器為所述待登錄服務(wù)器時(shí)��,判定所述登錄請(qǐng)求符合所述服務(wù)器登錄序列���,并更新所述登錄索引值為當(dāng)前登錄索引值����。
[0127]發(fā)送單元504���,用于在所述登錄請(qǐng)求符合所述服務(wù)器登錄序列時(shí)���,向所述目的服務(wù)器返回驗(yàn)證成功消息,允許登錄者登錄所述目的服務(wù)器���;否則���,向所述目的服務(wù)器返回驗(yàn)證失敗消息。
[0128]需要說明的是�,如果保存單元保存有服務(wù)器登錄序列與會(huì)話標(biāo)識(shí)間的對(duì)應(yīng)關(guān)系����,則第一接收單元接收的登錄請(qǐng)求中還應(yīng)包含會(huì)話標(biāo)識(shí)�����,相應(yīng)地��,安全登錄裝置還包括:
[0129]查找單元���,用于根據(jù)所述會(huì)話標(biāo)識(shí)查找與之對(duì)應(yīng)的服務(wù)器登錄序列,然后通知所述第一判斷單元判斷所述登錄請(qǐng)求是否符合所述服務(wù)器登錄序列��。
[0130]在登錄者第一次通過ssh遠(yuǎn)程登錄系統(tǒng)中的服務(wù)器時(shí)����,要根據(jù)首次登錄服務(wù)器的提示輸入用戶名和密碼,由首次登錄服務(wù)器對(duì)其進(jìn)行身份驗(yàn)證�,如果驗(yàn)證合格,首次登錄服務(wù)器會(huì)生成一個(gè)會(huì)話標(biāo)識(shí)sid�����,并將其發(fā)送到安全登錄裝置����,由安全登錄裝置為登錄者的本次登錄操作生成一組服務(wù)器登錄序列���,并告知給登錄者知曉,要求其按照序列規(guī)定的順序依次登錄各臺(tái)服務(wù)器����。這樣,當(dāng)?shù)卿浾呦胍ㄟ^互信機(jī)制連接系統(tǒng)中的其它服務(wù)器時(shí)���,就可由安全登錄服務(wù)器按照本發(fā)明提供的方案驗(yàn)證登錄者的登錄順序是否符合登錄序列的要求�����,如果符合���,則認(rèn)為其為合法登錄行為,允許登錄者在不輸入用戶名和密碼的情況下登錄到目的服務(wù)器�����。這樣登錄者就無需記憶每臺(tái)服務(wù)器的登錄用戶名和密碼���,其只需查看安全登錄裝置或者接收安全登錄裝置發(fā)送的短信�����,按照服務(wù)器登錄序列順序登錄每臺(tái)服務(wù)器即可�,極大地方便了登錄者的登錄操作。另外����,即使系統(tǒng)中安全防護(hù)較差的服務(wù)器被攻擊���,攻擊者在不知曉登錄序列的情況下�,也不可能以被攻擊的服務(wù)器為跳板登錄到系統(tǒng)中的其它服務(wù)器�,因此,還能有效解決現(xiàn)有技術(shù)中一點(diǎn)攻破全網(wǎng)的問題�,顯著提高系統(tǒng)的安全性。
[0131]需要說明的是�,由本發(fā)明技術(shù)方案可知,系統(tǒng)中包含的服務(wù)器臺(tái)數(shù)越多�,通過本發(fā)明方案進(jìn)行合法性驗(yàn)證的安全系數(shù)就越高。
[0132]為了避免攻擊者通過試探的方式猜測(cè)服務(wù)器登錄序列�,本發(fā)明實(shí)施例還要記錄登錄者登錄操作的失敗次數(shù),根據(jù)失敗次數(shù)判斷登錄行為是否合法���。相應(yīng)地�,參見圖8,示出了本發(fā)明實(shí)施例安全登錄裝置實(shí)施例2的示意圖����,該實(shí)施例為保存單元保存有上述三個(gè)參數(shù)的優(yōu)選實(shí)施例,則本發(fā)明安全登錄裝置的具體構(gòu)成可包括:
[0133]保存單元801�����,用于保存服務(wù)器登錄序列�����、服務(wù)器登錄序列與會(huì)話標(biāo)識(shí)間的對(duì)應(yīng)關(guān)系�、以及登錄索引值。
[0134]第一接收單元802���,用于接收目的服務(wù)器發(fā)送的登錄請(qǐng)求�,所述登錄請(qǐng)求包含會(huì)話標(biāo)識(shí)��、源服務(wù)器標(biāo)識(shí)和目的服務(wù)器標(biāo)識(shí)�。
[0135]第一判斷單元803,用于根據(jù)所述會(huì)話標(biāo)識(shí)查找與之對(duì)應(yīng)的服務(wù)器登錄序列��,并將所述登錄索引值加I作為當(dāng)前登錄索引值�����,判斷所述目的服務(wù)器是否為所述當(dāng)前登錄索引值對(duì)應(yīng)在所述服務(wù)器登錄序列中的待登錄服務(wù)器,并在所述目的服務(wù)器為所述待登錄服務(wù)器時(shí)��,更新所述登錄索引值為當(dāng)前登錄索引值���。
[0136]發(fā)送單元804��,用于在所述目的服務(wù)器為所述待登錄服務(wù)器時(shí)�����,向所述目的服務(wù)器返回驗(yàn)證成功消息,允許登錄者登錄所述目的服務(wù)器��;否則�,向所述目的服務(wù)器返回驗(yàn)證失敗消息。
[0137]重置單元805�,用于記錄所述發(fā)送單元返回所述驗(yàn)證失敗消息的次數(shù),如果超過預(yù)設(shè)值�����,則通知所述保存單元重新生成一組服務(wù)器登錄序列���,建立并保存所述新的服務(wù)器登錄序列與所述會(huì)話標(biāo)識(shí)間的對(duì)應(yīng)關(guān)系�、初始化所述登錄索引值。
[0138]本發(fā)明方案可以在由計(jì)算機(jī)執(zhí)行的計(jì)算機(jī)可執(zhí)行指令的一般上下文中描述���,例如程序單元�。一般地�,程序單元包括執(zhí)行特定任務(wù)或?qū)崿F(xiàn)特定抽象數(shù)據(jù)類型的例程、程序��、對(duì)象����、組件、數(shù)據(jù)結(jié)構(gòu)等等�。也可以在分布式計(jì)算環(huán)境中實(shí)踐本發(fā)明方案,在這些分布式計(jì)算環(huán)境中���,由通過通信網(wǎng)絡(luò)而被連接的遠(yuǎn)程處理設(shè)備來執(zhí)行任務(wù)����。在分布式計(jì)算環(huán)境中����,程序單元可以位于包括存儲(chǔ)設(shè)備在內(nèi)的本地和遠(yuǎn)程計(jì)算機(jī)存儲(chǔ)介質(zhì)中���。
[0139]本說明書中的各個(gè)實(shí)施例均采用遞進(jìn)的方式描述,各個(gè)實(shí)施例之間相同相似的部分互相參見即可�����,每個(gè)實(shí)施例重點(diǎn)說明的都是與其他實(shí)施例的不同之處���。尤其�,對(duì)于裝置實(shí)施例而言��,由于其基本相似于方法實(shí)施例�����,所以描述得比較簡(jiǎn)單���,相關(guān)之處參見方法實(shí)施例的部分說明即可。以上所描述的裝置實(shí)施例僅僅是示意性的�����,其中所述作為分離部件說明的單元可以是或者也可以不是物理上分開的�,作為單元顯示的部件可以是或者也可以不是物理單元��,即可以位于一個(gè)地方�,或者也可以分布到多個(gè)網(wǎng)絡(luò)單元上����。可以根據(jù)實(shí)際的需要選擇其中的部分或者全部模塊來實(shí)現(xiàn)本實(shí)施例方案的目的��。本領(lǐng)域普通技術(shù)人員在不付出創(chuàng)造性勞動(dòng)的情況下�����,即可以理解并實(shí)施�。
[0140]以上對(duì)本發(fā)明實(shí)施例進(jìn)行了詳細(xì)介紹,本文中應(yīng)用了【具體實(shí)施方式】對(duì)本發(fā)明進(jìn)行了闡述��,以上實(shí)施例的說明只是用于幫助理解本發(fā)明的方法及設(shè)備���;同時(shí)�����,對(duì)于本領(lǐng)域的一般技術(shù)人員��,依據(jù)本發(fā)明的思想��,在【具體實(shí)施方式】及應(yīng)用范圍上均會(huì)有改變之處�,綜上所述,本說明書內(nèi)容不應(yīng)理解為對(duì)本發(fā)明的限制�����。
【權(quán)利要求】
1.一種安全登錄方法����,其特征在于,安全登錄裝置保存有服務(wù)器登錄序列�,所述方法包括: 接收目的服務(wù)器發(fā)送的登錄請(qǐng)求,所述登錄請(qǐng)求包含源服務(wù)器標(biāo)識(shí)和目的服務(wù)器標(biāo)識(shí)���; 根據(jù)所述源服務(wù)器標(biāo)識(shí)和目的服務(wù)器標(biāo)識(shí)判斷所述登錄請(qǐng)求是否符合所述服務(wù)器登錄序列�����; 如果符合,則向所述目的服務(wù)器返回驗(yàn)證成功消息��,允許登錄者登錄所述目的服務(wù)器���;如果否��,則向所述目的服務(wù)器返回驗(yàn)證失敗消息��。
2.根據(jù)權(quán)利要求1所述的方法����,其特征在于,所述安全登錄裝置還保存有登錄索引值���,則所述判斷所述登錄請(qǐng)求是否符合所述服務(wù)器登錄序列���,具體包括: 將所述登錄索引值加I作為當(dāng)前登錄索引值,判斷所述目的服務(wù)器是否為所述當(dāng)前登錄索引值對(duì)應(yīng)在所述服務(wù)器登錄序列中的待登錄服務(wù)器�; 如果是,則判定所述登錄請(qǐng)求符合所述服務(wù)器登錄序列��,并更新所述登錄索引值為當(dāng)前登錄索引值�。
3.根據(jù)權(quán)利要求1或2所述的方法,其特征在于�����,所述安全登錄裝置還保存有服務(wù)器登錄序列與會(huì)話標(biāo)識(shí)間的對(duì)應(yīng)關(guān)系��,且所述登錄請(qǐng)求中還包含會(huì)話標(biāo)識(shí),則在所述判斷所述登錄請(qǐng)求是否符合所述服務(wù)器登錄序列之前����,所述方法還包括: 根據(jù)所述會(huì)話標(biāo)識(shí)查找與之對(duì)應(yīng)的服務(wù)器登錄序列,然后再執(zhí)行所述判斷所述登錄請(qǐng)求是否符合所述服務(wù)器登錄序列的步驟�。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于�,保存所述服務(wù)器登錄序列、服務(wù)器登錄序列與會(huì)話標(biāo)識(shí)間的對(duì)應(yīng)關(guān)系�、以及登錄索引值的方式為: 接收首次登錄服務(wù)器發(fā)送的會(huì)話標(biāo)識(shí),所述會(huì)話標(biāo)識(shí)為所述首次登錄服務(wù)器在登錄者身份驗(yàn)證合法后生成的��; 隨機(jī)生成一組服務(wù)器登錄序列���,并建立所述服務(wù)器登錄序列與所述會(huì)話標(biāo)識(shí)間的對(duì)應(yīng)關(guān)系; 建立所述登錄索引值與所述服務(wù)器登錄序列中首次登錄服務(wù)器間的對(duì)應(yīng)關(guān)系�,并初始化所述登錄索引值為零���。
5.根據(jù)權(quán)利要求4所述的方法�����,其特征在于����,所述方法還包括: 在所述隨機(jī)生成一組服務(wù)器登錄序列之前����, 判斷所述安全登錄裝置是否已保存所述會(huì)話標(biāo)識(shí),如果未保存�����,再執(zhí)行所述隨機(jī)生成一組服務(wù)器登錄序列的步驟��。
6.根據(jù)權(quán)利要求1-5任一項(xiàng)所述的方法����,其特征在于,所述方法還包括: 所述目的服務(wù)器向所述安全登錄裝置發(fā)送所述登錄請(qǐng)求之前�, 所述目的服務(wù)器驗(yàn)證所述源服務(wù)器發(fā)送的登錄令牌,如果所述登錄令牌驗(yàn)證合法��,則向所述安全登錄裝置發(fā)送所述登錄請(qǐng)求��。
7.根據(jù)權(quán) 利要求1-5任一項(xiàng)所述的方法�����,其特征在于�����,所述方法還包括: 記錄所述安全登錄裝置返回所述驗(yàn)證失敗消息的次數(shù),如果超過預(yù)設(shè)值��,則重新生成一組服務(wù)器登錄序列�����,建立并保存所述新的服務(wù)器登錄序列與所述會(huì)話標(biāo)識(shí)間的對(duì)應(yīng)關(guān)系���、初始化所述登錄索引值����。
8.一種安全登錄裝置�,其特征在于,所述裝置包括: 保存單元����,用于保存服務(wù)器登錄序列; 第一接收單元����,用于接收目的服務(wù)器發(fā)送的登錄請(qǐng)求,所述登錄請(qǐng)求包含源服務(wù)器標(biāo)識(shí)和目的服務(wù)器標(biāo)識(shí)����; 第一判斷單元�,用于根據(jù)所述源服務(wù)器標(biāo)識(shí)和目的服務(wù)器標(biāo)識(shí)判斷所述登錄請(qǐng)求是否符合所述服務(wù)器登錄序列���; 發(fā)送單元,用于在所述登錄請(qǐng)求符合所述服務(wù)器登錄序列時(shí)���,向所述目的服務(wù)器返回驗(yàn)證成功消息�,允許登錄者登錄所述目的服務(wù)器����;否則,向所述目的服務(wù)器返回驗(yàn)證失敗消肩����、O
9.根據(jù)權(quán)利要求8所述的裝置,其特征在于�,所述保存單元還保存有登錄索引值,則所述第一判斷單元��,具體包括: 第一判斷子單元����,用于將所述登錄索引值加I作為當(dāng)前登錄索引值�,判斷所述目的服務(wù)器是否為所述當(dāng)前登錄索引值對(duì)應(yīng)在所述服務(wù)器登錄序列中的待登錄服務(wù)器����; 更新單元,用于在所述目的服務(wù)器為所述待登錄服務(wù)器時(shí)���,判定所述登錄請(qǐng)求符合所述服務(wù)器登錄序列��,并更新所述登錄索引值為當(dāng)前登錄索引值����。
10.根據(jù)權(quán)利要求8或9所述的裝置����,其特征在于,所述保存單元還保存有服務(wù)器登錄序列與會(huì)話標(biāo)識(shí)間的對(duì) 應(yīng)關(guān)系��,且所述第一接收單元接收的登錄請(qǐng)求中還包含會(huì)話標(biāo)識(shí)����,則所述裝置還包括: 查找單元,用于根據(jù)所述會(huì)話標(biāo)識(shí)查找與之對(duì)應(yīng)的服務(wù)器登錄序列����,然后通知所述第一判斷單元判斷所述登錄請(qǐng)求是否符合所述服務(wù)器登錄序列�。
11.根據(jù)權(quán)利要求10所述的裝置���,其特征在于�,所述保存單元包括: 第二接收單元���,用于接收首次登錄服務(wù)器發(fā)送的會(huì)話標(biāo)識(shí),所述會(huì)話標(biāo)識(shí)為所述首次登錄服務(wù)器在登錄者身份驗(yàn)證合法后生成的���; 生成單元���,用于隨機(jī)生成一組服務(wù)器登錄序列,并建立所述服務(wù)器登錄序列與所述會(huì)話標(biāo)識(shí)間的對(duì)應(yīng)關(guān)系���; 初始化單元���,用于建立所述登錄索引值與所述服務(wù)器登錄序列中首次登錄服務(wù)器間的對(duì)應(yīng)關(guān)系,并初始化所述登錄索引值為零�����。
12.根據(jù)權(quán)利要求11所述的裝置����,其特征在于�����,所述保存單元還包括: 第二判斷單元����,用于判斷所述保存單元是否已保存所述會(huì)話標(biāo)識(shí)�����,如果未保存��,則通知所述生成單元隨機(jī)生成所述服務(wù)器登錄序列���。
13.根據(jù)權(quán)利要求8-12任一項(xiàng)所述的裝置��,其特征在于���,所述安全登錄裝置還包括: 重置單元,用于記錄所述發(fā)送單元返回所述驗(yàn)證失敗消息的次數(shù)����,如果超過預(yù)設(shè)值��,則通知所述保存單元重新生成一組服務(wù)器登錄序列�����,建立并保存所述新的服務(wù)器登錄序列與所述會(huì)話標(biāo)識(shí)間的對(duì)應(yīng)關(guān)系����、初始化所述登錄索引值�����。
14.一種安全登錄系統(tǒng)��,其特征在于��,所述系統(tǒng)包括如權(quán)利要求8-13所述的安全登錄裝置和至少兩臺(tái)服務(wù)器�����。
【文檔編號(hào)】H04L9/32GK103841091SQ201210488759
【公開日】2014年6月4日 申請(qǐng)日期:2012年11月26日 優(yōu)先權(quán)日:2012年11月26日
【發(fā)明者】彭華熹, 何申, 張二鵬 申請(qǐng)人:中國(guó)移動(dòng)通信集團(tuán)公司