私有云服务身份验证的方法、服务器端、系统及电子设备与流程

1.本发明属于信息安全技术领域，具体涉及私有云服务身份验证的方法、服务器端、系统及电子设备。


背景技术：

2.在信息安全领域，身份验证是保护计算机网络免受未授权访问的重要手段之一。传统的身份验证方式通常依赖于静态的用户名和密码，这种方式易受到暴力破解、社会工程学攻击等安全威胁，为了提高账号的安全性和私密性，近年来出现了一些新的身份验证方式，如多因素身份验证、生物特征识别等；然而，这些方式仍然有一定的局限性，例如多因素身份验证需要接入第三方服务商，存在单点故障和数据泄露的风险；生物特征识别技术需要较高的设备成本，同时受到环境、人员状态等因素的影响，由于上述现有身份验证方式或存在单点故障、数据泄漏的风险，或存在验证成本高、不可控因素较多的问题，所以均无法满足私有云服务的账号身份验证的要求。


技术实现要素：

3.为此，本发明提供了私有云服务身份验证的方法、服务器端、系统及电子设备，以解决现有身份验证方式或存在单点故障、数据泄漏的风险，或存在验证成本高、不可控因素较多的问题，所以均无法满足私有云服务的账号身份验证的要求的问题。
4.为实现以上目的，本发明采用如下技术方案：
5.第一方面，本发明提供了一种私有云服务身份验证的方法，应用于服务器端，所述方法包括：
6.当账号初次登录时，为所述账号配置生成规则，并将所述生成规则发送到所述账号对应的生成工具；所述生成规则用于生成第一动态密码；所述生成工具用于客户端生成第二动态密码；
7.接收客户端发送的第二动态密码及密码生成时刻；
8.依据所述密码生成时刻，利用所述生成规则生成第一动态密码，若所述第一动态密码与所述第二动态密码相同，则允许所述账号再次登录。
9.进一步地，所述当账号初次登录时，为所述账号配置生成规则，包括：
10.依据所述账号的初始密码创建所述生成规则，所述生成规则与所述账号唯一对应，和/或，
11.依据所述账号创建所述生成规则，所述生成规则与所述账号唯一对应。
12.进一步地，所述将所述生成规则发送到所述账号对应的生成工具，包括：
13.依据所述账号生成校验信息，所述校验信息用于核对所述生成工具收到的所述生成规则的完整性，以便所述生成工具接收到准确的所述生成规则；
14.将所述生成规则和所述校验信息发送到所述账号对应的生成工具；
15.接收所述生成工具依据所述校验信息产生的校验码；
16.若所述校验码核对通过，将所述生成规则标记为所述账号对应的有效规则；
17.若所述校验码核对失败，重新生成所述校验信息，并将所述生成规则和所述校验信息发送到所述账号对应的生成工具。
18.进一步地，所述方法还包括：
19.获取所述账号的权限等级；
20.若所述权限等级高于预设等级，则为所述账号配置生成规则。
21.进一步地，所述方法还包括：
22.若所述第一动态密码与所述第二动态密码不同，则记录所述账号登录异常一次，当累计所述登录异常到达预设次数则禁止所述账号登录，并将所述账号冻结。
23.进一步地，同一生成规则在同一时段生成的密码相同，所述依据所述密码生成时刻，利用所述生成规则生成第一动态密码，包括：
24.依据生成所述第二动态密码的所述密码生成时刻得到预设时段；
25.利用所述生成规则在所述预设时段生成第一动态密码，以便所述第一动态密码与所述第二动态密码生成时处于同一预设时段。
26.进一步地，所述将所述生成规则发送到所述账号对应的生成工具，包括：
27.将所述生成规则加密后通过https协议发送给所述生成工具。
28.第二方面，本发明提供了一种服务器端，包括：
29.规则配置模块，用于当账号初次登录时，为所述账号配置生成规则，并将所述生成规则发送到所述账号对应的生成工具；所述生成规则用于生成第一动态密码；所述生成工具用于客户端生成第二动态密码；
30.身份信息获取模块，用于接收客户端发送的第二动态密码及密码生成时刻；
31.账号验证模块，用于依据所述密码生成时刻，利用所述生成规则生成第一动态密码，若所述第一动态密码与所述第二动态密码相同，则允许所述账号再次登录。
32.第三方面，本发明提供了一种私有云服务身份验证的系统，包括：
33.服务器端；
34.生成工具；
35.客户端；
36.所述生成工具与所述服务器端存储有相同的生成规则，所述生成工具用于根据存储的生成规则生成动态密码；
37.所述客户端用于向所述服务器端发送初始登录密码或所述生成工具生成的动态密码；
38.所述服务器端用于执行上述任一所述私有云服务身份验证的方法。
39.第四方面，本发明提供了一种电子设备，包括：
40.至少一个处理器；以及
41.与所述至少一个处理器通信连接的存储器；其中，
42.所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行上述任一所述私有云服务身份验证的方法。
43.本发明采用以上技术方案，至少具备以下有益效果：
44.在客户端用户需要登录私有云服务时，需要输入依据生成工具的生成规则动态生成的密码，每间隔一定时间密码就会改变，可以有效减少数据泄漏的风险，同时避免由于密码已泄漏造成的持续损失；在服务器端依据账号产生对应的生成规则，不同的账号对应不一样的生成规则，确保生成规则的唯一性和安全性，服务器端的生成规则与生成工具的生成规则一致，保证了动态生成的密码一致，为身份验证提供了有效的支持。
45.应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本发明。
附图说明
46.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
47.图1是本发明一示例性实施例示出的一种私有云服务身份验证的方法的流程图；
48.图2是本发明另一示例性实施例示出的一种私有云服务身份验证的方法的流程图；
49.图3是本发明一示例性实施例示出的一种服务器端的示意框图；
50.图4是本发明一示例性实施例示出的一种私有云服务身份验证的系统的示意框图；
51.图5是本发明一示例性实施例示出的一种电子设备的示意框图；
52.下面结合附图和具体实施方式对本发明作进一步的说明。
具体实施方式
53.为使本发明的目的、技术方案和优点更加清楚，下面将对本发明的技术方案进行详细的描述。显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所得到的所有其它实施方式，都属于本发明所保护的范围。
54.传统的身份验证方式通常依赖于静态的用户名和密码，这种方式易受到暴力破解、社会工程学攻击等安全威胁，为了提高账号的安全性和私密性，近年来出现了一些新的身份验证方式，如多因素身份验证、生物特征识别等；然而，这些方式仍然有一定的局限性，例如多因素身份验证需要接入第三方服务商，存在单点故障和数据泄露的风险；生物特征识别技术需要较高的设备成本，同时受到环境、人员状态等因素的影响，不可控因素多。
55.本发明实施例，提供了一种私有云服务身份验证的方法、服务器端、系统及电子设备，在客户端用户需要登录私有云服务时，需要输入依据生成工具的生成规则动态生成的密码，每间隔一定时间密码就会改变，可以有效减少数据泄漏的风险，同时避免由于密码已泄漏造成的持续损失；在服务器端，每个账号对应不同的生成规则，并且每个账号在服务器端与生成工具的生成规则一致，保证了动态生成的密码一致，为身份验证提供了有效的支持。
56.下面通过具体地实施例对本发明中实时推送消息的方法进行说明。
57.请参阅图1，图1是本发明一示例性实施例示出的一种私有云服务身份验证的方法的流程图，参见图1，该方法包括：
58.步骤s11、当账号初次登录时，为账号配置生成规则，并将生成规则发送到账号对应的生成工具；生成规则用于生成第一动态密码；生成工具用于客户端生成第二动态密码；
59.步骤s12、接收客户端发送的第二动态密码及密码生成时刻；
60.步骤s13、依据密码生成时刻，利用生成规则生成第一动态密码，若第一动态密码与第二动态密码相同，则允许账号再次登录。
61.需要说明的是，本实施例提供的技术方案在具体实践中可以以插件的形式加载在现有的项目中使用，或者以独立应用的形式，提供接口用以实现私有云服务账号身份验证。适用的场景包括但不限于：私有云服务，云服务及需要账号身份验证的应用场景。
62.可以理解的是，本实施例提供的技术方案，在客户端用户需要登录私有云服务时，需要输入依据生成工具的生成规则动态生成的密码，每间隔一定时间密码就会改变，可以有效减少数据泄漏的风险，同时避免由于密码已泄漏造成的持续损失；在服务器端，每个账号对应不同的生成规则，并且每个账号在服务器端与生成工具的生成规则一致，保证了动态生成的密码一致，为身份验证提供了有效的支持。
63.在具体实践中，步骤s11中“当账号初次登录时”包括：使用初始密码登录认为账号是初次登录，初次登录后若再次登录则需要使用由生成规则生成的动态密码。
64.需要说明的是，用户首先在客户端填写注册信息并提交到服务器端审核，注册信息中至少包含账号和初始密码，服务器端的相关管理员或自动审核程序对注册信息进行审核，审核通过后将账号和初始密码存储在服务器端。
65.在具体实践中，步骤s11中“为账号配置生成规则”，包括：
66.依据账号的初始密码创建生成规则，生成规则与账号唯一对应，和/或，
67.依据账号创建生成规则，生成规则与账号唯一对应。
68.需要说明的是，创建生成规则有两种方式，一种是依据初始密码创建生成规则，开发人员根据设置的创建规则结合初始密码创建账号唯一生成规则，另一种是开发人员根据设置的创建规则结合账号的唯一标识创建对应的唯一生成规则；在创建生成规则时，为了确保生成规则与账号唯一对应，可以选以上两种创建生成规则的方式中任一个，或结合两种创建方式。
69.可以理解的是，本实施例提供的技术方案，开发人员会开发创建规则，结合初始密码，账号唯一标识，或结合账号的初始密码和唯一标识，实现每个账号有唯一的生成规则，提高了账号的安全性。
70.在具体实践中，步骤s11中“将生成规则发送到账号对应的生成工具”，包括：
71.依据账号生成校验信息，校验信息用于核对生成工具收到的生成规则的完整性，以便生成工具接收到准确的生成规则；
72.将生成规则和校验信息发送到账号对应的生成工具；
73.接收生成工具依据校验信息产生的校验码；
74.若校验码核对通过，将生成规则标记为账号对应的有效规则；
75.若校验码核对失败，重新生成校验信息，并将生成规则和校验信息发送到账号对应的生成工具。
76.需要说明的是，生成规则创建完毕后，利用加密算法对其进行加密，加密算法可以为aes(advanced encryption standard最常见的对称加密算法)、des(data encryption standard数据加密标准，是一种使用密钥加密的块算法)、rsa(rsa算法是第一个能同时用于加密和数字签名的算法，也易于理解和操作)或者可以结合开源的otp库(one-time password,也称动态口令)、totp库(time-base one-time password基于时间的一次性密码，也称时间同步的动态密码)来实现，将加密后的生成规则通过https协议发送给生成工具。
77.需要说明的是，校验生成工具中生成规则的完整准确性时，利用校验信息反馈给服务器端，服务器端会根据校验信息判断是否需要重发生成规则。
78.可以理解的是，本实施例提供的技术方案，在创建好生成规则后，对生成规则进行加密后再加密传输，有效提高了生成规则的安全等级，生成工具收到生成规则时还会进一步校验生成规则的完整性和准确性，为后续账号身份验证提供了有效保证。
79.在一个实施例中，还包括：
80.获取账号的权限等级；
81.若权限等级高于预设等级，则为账号配置生成规则。
82.需要说明的是，账号在注册完成后会配置权限等级，若账号的权限等级定为低等级时，即账号无操作获取关键数据的权限时，无需进行配置生成规则，直接用注册账号时的初始密码登录；若账号的权限等级定为高等级时，即账号有操作获取关键数据的权限时，需要进行配置生成规则，除初次登录时用初始密码外，后续登录都需要输入生成规则生成的动态密码；预设等级依据账号有无操作获取关键数据的权限设置，有获取关键数据的权限为高于预设等级，无操作获取关键数据的权限为低于预设等级。
83.可以理解的是，本实施例提供的技术方案，依据账号的权限等级灵活控制身份验证的安全等级，为权限低的账号提供方便快捷的登录，同时也能保证权限高的账号的安全性。
84.在一个实施例中，还包括：
85.若第一动态密码与第二动态密码不同，则记录账号登录异常一次，当累计登录异常到达预设次数则禁止账号登录，并将账号冻结。
86.需要说明的是，允许账号登陆异常次数过多会导致密码泄漏，也可能导致足够多的动态密码反向推倒出生成规则，由此，账号登陆异常会被记录，当连续账号登陆异常到达预设次数，则禁止账号登陆，将账号冻结；预设次数依据账号权限等级设置至少为一次；若需要解冻账号，则联系管理员提供确实为操作失误导致。
87.可以理解的是，本实施例提供的技术方案，通过预设账号登陆异常的次数，有效避免因异常次数过多会导致密码泄漏和反向推倒出生成规则的问题。
88.在具体实践中，步骤s13中“依据密码生成时刻，利用生成规则生成第一动态密码”，包括：
89.依据生成第二动态密码的密码生成时刻得到预设时段；
90.利用生成规则在预设时段生成第一动态密码，以便第一动态密码与第二动态密码生成时处于同一预设时段。
91.需要说明的是，同一生成规则在同一时段生成的密码相同，同一账号在生成工具
与服务器端的生成规则为相同生成规则。
92.可以理解的是，本实施例提供的技术方案，同一账号在生成工具与服务器端的生成规则为相同生成规则，为实现动态密码登陆提供了有效保证。
93.请参阅图2，图2是本发明另一示例性实施例示出的一种私有云服务身份验证的方法的流程图，参见图2，该方法包括：
94.步骤s21、私用云服务接入动态密码生成工具；
95.步骤s22、用户向动态密码生成工具中输入账号名加密信息；
96.步骤s23、动态密码生成工具依据用户输入的账号名加密信息生成登陆密码并返回给用户；
97.步骤s24、用户将账号及生成的登陆密码输入到私有云服务的登录界面，并等待返回登录结果；
98.步骤s25、私有云服务接收账号及登陆密码并发送给动态密码生成工具进行核验，动态密码生成工具返回核验结果给私用云服务，私有云服务依据核验结果给用户返回登录结果。
99.在具体实践中，动态密码生成工具核验账号及登陆密码时，依据账号动态生成新的密码，与接收到的登陆密码对比，若相同则核验结果为通过，否则核验结果为未通过；私有云服务若接收到核验结果为通过，则登陆结果为登陆成功，否则登陆结果为登陆失败。
100.需要说明的是，本实施例提供的技术方案在具体实践中可以以插件的形式加载在现有的项目中使用，或者以独立应用的形式，提供接口用以实现私有云服务账号身份验证。适用的场景包括但不限于：私有云服务，云服务及需要账号身份验证的应用场景。
101.可以理解的是，本实施例提供的技术方案，在客户端用户需要登录私有云服务时，需要输入依据生成工具的生成规则动态生成的密码，每间隔一定时间密码就会改变，可以有效减少数据泄漏的风险，同时避免由于密码已泄漏造成的持续损失；在服务器端利用生成工具对账号密码进行验证，保证了动态生成的密码一致。
102.请参阅图3，图3是本发明一示例性实施例示出的一种服务器端的示意框图，参见图3，服务器端100包括：
103.规则配置模块101，用于获取开发人员在第一功能模块的子配置文件中输入的配置信息；
104.身份信息获取模块102，用于若子配置文件发生改变，将主配置文件中对应第一功能模块的配置信息更改为子配置文件中的配置信息，以便项目根据主配置文件中对应第一功能模块的配置信息进行相应操作；
105.账号验证模块103，用于依据所述密码生成时刻，利用所述生成规则生成第一动态密码，若所述第一动态密码与所述第二动态密码相同，则允许所述账号再次登录。
106.需要说明的是，本实施的服务器端提供的技术方案在具体实践中可以以插件的形式加载在现有的项目中使用，或者以独立应用的形式，提供接口用以实现私有云服务账号身份验证。适用的场景包括但不限于：私有云服务，云服务及需要账号身份验证的应用场景。
107.可以理解的是，本实施例提供的技术方案，用户需要登录私有云服务时，需要输入依据生成工具的生成规则动态生成的密码，每间隔一定时间密码就会改变，可以有效减少
数据泄漏的风险，同时避免由于密码已泄漏造成的持续损失；在服务器端，每个账号对应不同的生成规则，并且每个账号在服务器端与生成工具的生成规则一致，保证了动态生成的密码一致，为身份验证提供了有效的支持。
108.请参阅图4，图4是本发明一示例性实施例示出的一种私有云服务身份验证的系统的示意框图，参见图4，私有云服务身份验证的系统200包括：
109.服务器端201；
110.生成工具202；
111.客户端203；
112.生成工具202与服务器端201存储有相同的生成规则，生成工具202用于根据存储的生成规则生成动态密码；
113.客户端203用于向服务器端201发送初始登录密码或生成工具202生成的动态密码；
114.服务器端201用于执行上述任一私有云服务身份验证的方法。
115.需要说明的是，本实施例提供的系统，在具体实践中可以以插件的形式加载在现有的项目中使用，或者以独立应用的形式，提供接口用以实现私有云服务账号身份验证。适用的场景包括但不限于：私有云服务，云服务及需要账号身份验证的应用场景。
116.可以理解的是，本实施例提供的技术方案，在客户端用户需要登录私有云服务时，需要输入依据生成工具的生成规则动态生成的密码，每间隔一定时间密码就会改变，可以有效减少数据泄漏的风险，同时避免由于密码已泄漏造成的持续损失；在服务器端，每个账号对应不同的生成规则，并且每个账号在服务器端与生成工具的生成规则一致，保证了动态生成的密码一致，为身份验证提供了有效的支持。
117.请参阅图5，图5是本发明一示例性实施例示出的一种电子设备的示意框图，参见图5，电子设备300包括：
118.至少一个处理器302；以及
119.与至少一个处理器302通信连接的存储器301；其中，
120.存储器301存储有可被至少一个处理器302执行的指令，该指令被至少一个处理器302执行，以使至少一个处理器302能够执行上述任一私有云服务身份验证的方法。
121.在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
122.尽管上面已经示出和描述了本发明的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本发明的限制，本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。

技术特征：
1.一种私有云服务身份验证的方法，其特征在于，应用于服务器端，所述方法包括：当账号初次登录时，为所述账号配置生成规则，并将所述生成规则发送到所述账号对应的生成工具；所述生成规则用于生成第一动态密码；所述生成工具用于客户端生成第二动态密码；接收客户端发送的所述第二动态密码及密码生成时刻；依据所述密码生成时刻，利用所述生成规则生成第一动态密码，若所述第一动态密码与所述第二动态密码相同，则允许所述账号再次登录。2.根据权利要求1所述的方法，其特征在于，所述当账号初次登录时，为所述账号配置生成规则，包括：依据所述账号的初始密码创建所述生成规则，所述生成规则与所述账号唯一对应，和/或，依据所述账号创建所述生成规则，所述生成规则与所述账号唯一对应。3.根据权利要求1所述的方法，其特征在于，所述将所述生成规则发送到所述账号对应的生成工具，包括：依据所述账号生成校验信息，所述校验信息用于核对所述生成工具收到的所述生成规则的完整性，以便所述生成工具接收到准确的所述生成规则；将所述生成规则和所述校验信息发送到所述账号对应的生成工具；接收所述生成工具依据所述校验信息产生的校验码；若所述校验码核对通过，将所述生成规则标记为所述账号对应的有效规则；若所述校验码核对失败，重新生成所述校验信息，并将所述生成规则和所述校验信息发送到所述账号对应的生成工具。4.根据权利要求1所述的方法，其特征在于，所述方法还包括：获取所述账号的权限等级；若所述权限等级高于预设等级，则为所述账号配置生成规则。5.根据权利要求1所述的方法，其特征在于，所述方法还包括：若所述第一动态密码与所述第二动态密码不同，则记录所述账号登录异常一次，当累计所述登录异常到达预设次数则禁止所述账号登录，并将所述账号冻结。6.根据权利要求1所述的方法，其特征在于，同一生成规则在同一时段生成的密码相同，所述依据所述密码生成时刻，利用所述生成规则生成第一动态密码，包括：依据生成所述第二动态密码的所述密码生成时刻得到预设时段；利用所述生成规则在所述预设时段生成第一动态密码，以便所述第一动态密码与所述第二动态密码生成时处于同一预设时段。7.根据权利要求1所述的方法，其特征在于，所述将所述生成规则发送到所述账号对应的生成工具，包括：将所述生成规则加密后通过https协议发送给所述生成工具。8.一种服务器端，其特征在于，包括：规则配置模块，用于当账号初次登录时，为所述账号配置生成规则，并将所述生成规则发送到所述账号对应的生成工具；所述生成规则用于生成第一动态密码；所述生成工具用于客户端生成第二动态密码；
身份信息获取模块，用于接收客户端发送的第二动态密码及密码生成时刻；账号验证模块，用于依据所述密码生成时刻，利用所述生成规则生成第一动态密码，若所述第一动态密码与所述第二动态密码相同，则允许所述账号再次登录。9.一种私有云服务身份验证的系统，其特征在于，包括：服务器端；生成工具；客户端；所述生成工具与所述服务器端存储有相同的生成规则，所述生成工具用于根据存储的生成规则生成动态密码；所述客户端用于向所述服务器端发送初始登录密码或所述生成工具生成的动态密码；所述服务器端用于执行权1-7任一项所述的方法。10.一种电子设备，其特征在于，包括：至少一个处理器；以及与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行权利要求1-7中任一项所述的方法。

技术总结
本发明涉及私有云服务身份验证的方法、服务器端、系统及电子设备，属于信息安全技术领域，该方法包括：当账号初次登录时，为所述账号配置生成规则，并将所述生成规则发送到所述账号对应的生成工具；所述生成规则用于生成第一动态密码；所述生成工具用于客户端生成第二动态密码；接收客户端发送的第二动态密码及密码生成时刻；依据所述密码生成时刻，利用所述生成规则生成第一动态密码，若所述第一动态密码与所述第二动态密码相同，则允许所述账号再次登录；每间隔一定时间密码就会改变，可以有效减少数据泄漏的风险，同时避免由于密码已泄漏造成的持续损失；不同的账号对应不一样的生成规则，确保生成规则的唯一性和安全性。确保生成规则的唯一性和安全性。确保生成规则的唯一性和安全性。


技术研发人员：杨年会 高斌 邹琼 周双全
受保护的技术使用者：深圳市瑞云科技股份有限公司
技术研发日：2023.06.06
技术公布日：2023/8/16