安全认证方法及相关装置与流程

1.本技术涉及数据安全技术领域，具体涉及一种安全认证方法及相关装置。


背景技术：

2.在在金融行业中，部分c/s架构软件系统的客户端和服务端要求运行在常年无人值守的环境里，客户端需要建立长连接到多个服务端系统上，当客户端建立长连接到多个服务端系统上，每个连接都建立一个安全会话到服务端系统，每个服务端系统与客户端都要做一次双向安全认证，其中客户端进行安全认证时会使用智能密码钥匙(ekey)进行签名运算。ekey是一种常用于身份安全认证的即用即插便携式小型硬件设备，ekey一般安装在无人值守的客户端环境，对于硬件ekey的稳定性和可用性要求比较高，例如ekey松动或usb口供电不稳定等因素都会导致ekey不可用，因而导致客户端与服务端之间断线，而对于业务连续性和实时性要求较高的金融行业有较大影响，导致了在进行安全认证时的可靠性较低。


技术实现要素：

3.本技术实施例提供一种安全认证方法及相关装置，在c/s架构软件系统中，客户端通过服务端生成的认证令牌进行认证，无需通过智能密码钥匙进行身份认证，从而提升了认证时的可靠性。
4.本技术实施例的第一方面提供了一种安全认证方法，应用于客户端，所述方法包括：
5.通过与服务端之间建立的安全会话获取认证令牌，所述服务端包括c/s架构软件系统中的服务端，客户端包括c/s架构软件系统中的客户端；
6.向所述服务端发送所述认证令牌；
7.接收所述服务端发送的认证结果。
8.本技术实施例的第二方面提供了一种安全认证方法，应用于服务端，所述方法包括：
9.通过与客户端之间建立的安全会话接收客户端发送的认证信息，所述服务端包括c/s架构软件系统中的服务端，客户端包括c/s架构软件系统中的客户端；
10.若根据所述认证信息进行安全认证的结果为认证成功，则获取认证令牌，所述认证令牌包括所述认证信息；
11.向所述客户端发送所述认证令牌；
12.接收所述客户端发送的所述认证令牌；
13.根据所述认证令牌进行安全认证，以得到认证结果；
14.向客户端发送所述认证结果。
15.在一个可能的实现方式中，所述获取认证令牌，包括：
16.获取所述服务端的版本信息，以及获取所述客户端的属性描述信息；
17.对所述版本信息进行编码，以得到编码后的版本信息；
18.确定与所述版本信息对应的哈希算法；
19.根据所述哈希算法对所述版本信息和所述属性描述信息进行哈希运算，以得到哈希运算结果；
20.获取所述服务端与所述客户端之间的公钥；
21.根据所述公钥对所述编码后的版本信息、所述属性描述信息和所述哈希运算结果进行加密运算，以得到加密运算结果；
22.根据所述加密运算结果确定所述认证令牌。
23.在一个可能的实现方式中，所述方法还包括：
24.获取认证令牌的第一时效信息；
25.根据所述第一时效信息对所述认证令牌进行有效性验证，以得到验证结果；
26.若所述验证结果为令牌失效，则获取所述认证令牌中的客户端的属性描述信息；
27.若在预设的属性描述信息集合中存在有与所述客户端的属性描述信息对应的预设属性描述信息，则确定第二时效信息；
28.将所述第二时效信息确定为所述认证令牌的时效信息。
29.在一个可能的实现方式中，所述方法还包括：
30.若所述认证结果为认证通过，则向服务端集群中的服务端发送所述认证结果，以指示所述服务端集群中的服务端用于通过所述服务端与所述客户端进行通信；
31.所述服务端传输所述服务端集群中的服务端与所述客户端之间的通信数据。
32.本技术实施例的第三方面提供一种安全认证装置，应用于客户端，所述装置包括：
33.第一发送单元，用于通过与服务端之间建立的安全会话向服务端发送认证信息，指示所述服务端在根据所述认证信息进行安全认证的结果为认证成功后获取认证令牌，所述服务端包括c/s架构软件系统中的服务端，客户端包括c/s 架构软件系统中的客户端；
34.第一接收单元，用于接收所述服务端发送的认证令牌；
35.第二发送单元，用于向所述服务端发送所述认证令牌；
36.第二接收单元，用于接收所述服务端发送的认证结果。
37.本技术实施例的第四方面提供一种安全认证装置，应用于服务端，所述装置包括：
38.第一接收单元，用于通过与客户端之间建立的安全会话接收客户端发送的认证信息，所述服务端包括c/s架构软件系统中的服务端，客户端包括c/s架构软件系统中的客户端；
39.获取单元，用于若根据所述认证信息进行安全认证的结果为认证成功，则获取认证令牌，所述认证令牌包括所述认证信息；
40.第一发送单元，用于向所述客户端发送所述认证令牌；
41.第二接收单元，用于接收所述客户端发送的所述认证令牌；
42.认证单元，用于根据所述认证令牌进行安全认证，以得到认证结果；
43.第二发送单元，用于向客户端发送所述认证结果。
44.在一个可能的实现方式中，在所述获取认证令牌方面，所述获取单元用于：
45.获取所述服务端的版本信息，以及获取所述客户端的属性描述信息；
46.对所述版本信息进行编码，以得到编码后的版本信息；
47.确定与所述版本信息对应的哈希算法；
48.根据所述哈希算法对所述版本信息和所述属性描述信息进行哈希运算，以得到哈希运算结果；
49.获取所述服务端与所述客户端之间的公钥；
50.根据所述公钥对所述编码后的版本信息、所述属性描述信息和所述哈希运算结果进行加密运算，以得到加密运算结果；
51.根据所述加密运算结果确定所述认证令牌。
52.在一个可能的实现方式中，所述装置还用于：
53.获取认证令牌的第一时效信息；
54.根据所述第一时效信息对所述认证令牌进行有效性验证，以得到验证结果；
55.若所述验证结果为令牌失效，则获取所述认证令牌中的客户端的属性描述信息；
56.若在预设的属性描述信息集合中存在有与所述客户端的属性描述信息对应的预设属性描述信息，则确定第二时效信息；
57.将所述第二时效信息确定为所述认证令牌的时效信息。
58.在一个可能的实现方式中，所述装置还用于：
59.若所述认证结果为认证通过，则向服务端集群中的服务端发送所述认证结果，以指示所述服务端集群中的服务端用于通过所述服务端与所述客户端进行通信；
60.所述服务端传输所述服务端集群中的服务端与所述客户端之间的通信数据。
61.本技术实施例的第五方面提供一种终端，包括处理器、输入设备、输出设备和存储器，所述处理器、输入设备、输出设备和存储器相互连接，其中，所述存储器用于存储计算机程序，所述计算机程序包括程序指令，所述处理器被配置用于调用所述程序指令，执行如本技术实施例第一方面中的步骤指令。
62.本技术实施例的第六方面提供一种服务器，包括处理器、和存储器，所述处理器和存储器相互连接，其中，所述存储器用于存储计算机程序，所述计算机程序包括程序指令，所述处理器被配置用于调用所述程序指令，执行如本技术实施例第二方面中的步骤指令。
63.本技术实施例的第七方面提供了一种计算机可读存储介质，其中，上述计算机可读存储介质存储用于电子数据交换的计算机程序，其中，上述计算机程序使得计算机执行如本技术实施例第一方面或第二方面中所描述的部分或全部步骤。
64.本技术实施例的第八方面提供了一种计算机程序产品，其中，上述计算机程序产品包括存储了计算机程序的非瞬时性计算机可读存储介质，上述计算机程序可操作来使计算机执行如本技术实施例第一方面或第二方面中所描述的部分或全部步骤。该计算机程序产品可以为一个软件安装包。
65.实施本技术实施例，至少具有如下有益效果：
66.通过与客户端之间建立的安全会话接收客户端发送的认证信息，所述服务端包括c/s架构软件系统中的服务端，客户端包括c/s架构软件系统中的客户端，若根据所述认证信息进行安全认证的结果为认证成功，则获取认证令牌，所述认证令牌包括所述认证信息，向所述客户端发送所述认证令牌，接收所述客户端发送的所述认证令牌，根据所述认证令牌进行安全认证，以得到认证结果，向客户端发送所述认证结果，因此，在c/s架构软件系统中，客户端通过服务端生成的认证令牌进行认证，无需通过智能密码钥匙进行身份认证，从
而提升了认证时的可靠性。
附图说明
67.为了更清楚地说明本技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
68.图1为本技术实施例提供了一种基于5g的交通预警方法的流程示意图；
69.图2为本技术实施例提供了另一种基于5g的交通预警方法的流程示意图；
70.图3为本技术实施例提供了另一种基于5g的交通预警方法的流程示意图；
71.图4为本技术实施例提供的一种终端的结构示意图；
72.图5为本技术实施例提供了一种基于5g的交通预警装置的结构示意图；
73.图6为本技术实施例提供了一种安全认证装置的结构示意图。
具体实施方式
74.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
75.本技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别不同对象，而不是用于描述特定顺序。此外，术语“包括”和“具有”以及它们任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可选地还包括没有列出的步骤或单元，或可选地还包括对于这些过程、方法、产品或设备固有的其他步骤或单元。
76.在本技术中提及“实施例”意味着，结合实施例描述的特定特征、结构或特性可以包含在本技术的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例，也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是，本技术所描述的实施例可以与其它实施例相结合。
77.为了更好的理解本技术实施例提供的一种安全认证方法，下面首先对应用安全认证方法的c/s架构软件系统进行简要介绍。图1为本技术实施例提供了一种c/s架构软件系统的示意图。如图1所示，c/s架构软件系统包括有客户端和服务端，客户端通过与服务端之间建立长链接，该长连接建立一个安全会话到服务端，服务端与客户端要做一次双向安全认证，客户端每次进行安全认证时会使用智能密码钥匙进行签名运算，在认证成功后，建立安全会话。
78.请参阅图2，图2为本技术实施例提供了一种安全认证方法的交互示意图。如图2所示，安全认证方法包括：
79.201、客户端通过与服务端之间建立的安全会话向服务端发送认证信息，指示所述服务端在根据所述认证信息进行安全认证的结果为认证成功后获取认证令牌，所述服务端包括c/s架构软件系统中的服务端，客户端包括c/s架构软件系统中的客户端。
80.在向服务端发送认证信息之前，客户端访问ekey获取证书，客户端通过该证书与服务端之间建立安全会话。在该安全会话建立后，通过该安全会话向服务端发送认证信息。该认证信息可以包括有用户名、用户密码、授权信息(例如，数字证书等)。服务端包括有认证服务模块和服务端系统。认证服务模块用于对客户端进行后续的认证以及认证令牌的生成。
81.202、服务端通过与客户端之间建立的安全会话接收客户端发送的认证信息。
82.服务端接收到认证信息后，可以缓存该认证信息，缓存后对该认证信息进行安全认证。当然也可以直接对认证信息进行安全认证。
83.203、服务端若根据所述认证信息进行安全认证的结果为认证成功，则获取认证令牌，所述认证令牌包括所述认证信息。
84.服务端对认证信息进行安全认证的方法可以是通用的安全认证方法，例如，可以将该认证信息与预存的认证信息进行比对，得到比对结果，若比对结果中预存的认证信息中存在有与该认证信息匹配的认证信息，则安全认证的结果为认证成功，否则，安全认证的结果为认证失败。
85.认证成功后，则服务端可以生成认证令牌，具体例如可以是根据服务端的版本信息、客户端的属性描述信息等来生成认证令牌。客户端的属性描述信息可以包括有客户端信息、ip地址、userid、ekeyid、system、认证时间、过期时间、随机数等，该认证令牌可以用户客户端后续在服务端进行安全认证。
86.204、服务端向所述客户端发送所述认证令牌。
87.服务端可以将该认证令牌发送到客户端，当然服务端还可以将该认证令牌发送到其他服务端，其他服务端也保存该认证令牌，并可以在客户端在该服务端进行登录时，基于该认证令牌进行安全认证。当然多个服务端可以共用一个认证服务模块，通过该认证服务模块进行后续的认证令牌的认证。
88.205、客户端接收所述服务端发送的认证令牌。
89.客户端在接收到认证令牌后，可以保存该认证令牌，并可以采用该认证令牌在后续的服务端登录时，通过该认证令牌进行登录认证。
90.206、客户端向所述服务端发送所述认证令牌。
91.客户端在需要在服务端进行登录时，向服务端发送该认证令牌。
92.207、服务端接收所述客户端发送的所述认证令牌。
93.208、服务端根据所述认证令牌进行安全认证，以得到认证结果。
94.服务端可以对认证令牌进行有效性验证，在确定出认证令牌为有效令牌后，可以对认证令牌进行解析，得到客户端的属性描述信息等，并基于该客户端的属性描述信息来进行安全认证，得到认证结果。该认证结果包括有认证成功或认证失败。
95.209、服务端向客户端发送所述认证结果。
96.210、客户端接收所述服务端发送的认证结果。
97.在该认证结果为认证成功后，可以服务端可以执行该客户端请求的业务、或者允许该客户端访问服务器等。
98.本示例中，通过与客户端之间建立的安全会话接收客户端发送的认证信息，所述服务端包括c/s架构软件系统中的服务端，客户端包括c/s架构软件系统中的客户端，若根
据所述认证信息进行安全认证的结果为认证成功，则获取认证令牌，所述认证令牌包括所述认证信息，向所述客户端发送所述认证令牌，接收所述客户端发送的所述认证令牌，根据所述认证令牌进行安全认证，以得到认证结果，向客户端发送所述认证结果，因此，在c/s架构软件系统中，客户端通过服务端生成的认证令牌进行认证，无需通过智能密码钥匙进行身份认证，从而提升了认证时的可靠性。
99.在一个可能的实现方式中，一种可能的服务端获取认证令牌的方法包括：
100.a1、获取所述服务端的版本信息，以及获取所述客户端的属性描述信息；
101.a2、对所述版本信息进行编码，以得到编码后的版本信息；
102.a3、确定与所述版本信息对应的哈希算法；
103.a4、根据所述哈希算法对所述版本信息和所述属性描述信息进行哈希运算，以得到哈希运算结果；
104.a5、获取所述服务端与所述客户端之间的公钥；
105.a6、根据所述公钥对所述编码后的版本信息、所述属性描述信息和所述哈希运算结果进行加密运算，以得到加密运算结果；
106.a7、根据所述加密运算结果确定所述认证令牌。
107.其中，可以从数据库中获取到服务端的版本信息。可以向客户端发送属性描述信息获取请求，并接收客户端反馈的属性描述信息，属性描述信息包括有客户端信息、客户端ip地址、userid、ekeyid、system、认证时间、过期时间、随机数等。当然该属性描述信息也可以是部分从客户端获取，部分由服务端生成的，具体例如，客户端信息、客户端ip地址、userid、ekeyid、system可以从客户端获取，认证时间、过期时间、随机数由服务端生成。
108.可以对版本信息进行base64编码，从而得到编码后的版本信息。不同的版本信息对应有不同的哈希算法，从而可以根据版本信息确定出对应的哈希算法。此处的哈希算法可以是hs256等。
109.可以直接采用哈希算法对版本信息和所述属性描述信息进行哈希运算，从而得到哈希运算结果。
110.服务端与所述客户端之间的公钥是预先设定的加密算法中的公钥。根据所述公钥对所述编码后的版本信息、所述属性描述信息和所述哈希运算结果进行加密运算，以得到加密运算结果可以通过通用的加密算法进行加密运算，以得到加密运算结果。在加密运算之后还可以对加密运算结果进行base64编码，得到编码后的加密运算结果。可以对加密运算结果进行分割，以得到认证令牌，具体可以是通过“|”进行分割，以得到认证令牌。具体可以为： (version|info|hash)，其中，version与版本信息对应，info与客户端的属性描述信息对应，hash与哈希运算结果相对应。
111.在一个可能的实现方式中，还可以对认证令牌的时效性进行更新等，具体如下：
112.b1、获取认证令牌的第一时效信息；
113.b2、根据所述第一时效信息对所述认证令牌进行有效性验证，以得到验证结果；
114.b3、若所述验证结果为令牌失效，则获取所述认证令牌中的客户端的属性描述信息；
115.b4、若在预设的属性描述信息集合中存在有与所述客户端的属性描述信息对应的预设属性描述信息，则确定第二时效信息；
116.b5、将所述第二时效信息确定为所述认证令牌的时效信息。
117.可以对认证令牌进行解析，以得到认证时间和过期时间，该认证时间和过期时间为第一时效信息。可以根据认证时间、过期时间确定出的过期时刻与当前时刻进行比对，以进行有效性验证，具体可以为过期时刻为当前时刻之前的时刻，则该令牌为失效令牌，过期时刻为当前时刻之后的时刻，则该令牌为有效令牌。
118.可以对认证令牌进行解析，以得到客户端的属性描述信息。第二失效信息可以为当前时刻和过期时间。从而可以实现对认证令牌的时效信息进行更新，提升了便捷性。
119.在一个可能的实现方式中，服务端还可以将认证结果发送到服务端集群中的其他服务端，并使得客户端可以与其他服务端进行通信，具体如下：
120.c1、若所述认证结果为认证通过，则向服务端集群中的服务端发送所述认证结果，以指示所述服务端集群中的服务端用于通过所述服务端与所述客户端进行通信；
121.c2、所述服务端传输所述服务端集群中的服务端与所述客户端之间的通信数据。
122.其中，服务端集群可以是该服务端所在的服务端集群，也可以是其他服务端集群。服务端集群中包括有多个服务端。
123.服务端集群中的服务端可以基于该服务端与客户端之间进行通信。
124.当然服务端还可以将认证令牌发送至服务端集群中的其他服务端，其他服务端接收到认证令牌后，客户端在其他服务端进行认证时，可以通过该认证令牌进行认证，从而提升了便捷性。
125.在一个具体的实现方式中，一种认证令牌的令牌组成可以为：令牌格式：序列化(version)|序列化(公钥(info))|哈希值，其中，
126.d1.version：{"version":"xxx"}；
127.d2.info：{"ip":"xxx","userid":"xxx",
128."ekeyid":"xxx","system":"xxx","iat":"xxx",
129."exp":"xxx","secret":"xxx"}；
130.d3.哈希值：hs256(序列化(version).序列化(info),secret)。
131.其中，version为服务端的版本信息，info为令牌信息，ip为ip地址， iat为认证时间，exp为过期时间，secret为随机数。
132.在一个具体的实现方式中，一种可能的认证令牌的生成方法为：
133.e1.获取服务端的当前版本信息做base64编码后写入version字段；
134.e2.获取当前进行安全认证的客户端信息，ip地址、userid、ekeyid、system、认证时间、过期时间、随机数写入info字段；
135.e3.对version及info字段，根据当前版本信息对应的hash算法(hs256) 进行hash，hs256(version.info)后写入hash字段；
136.e4.用公钥对以上信息做一次加密然后做base64编码，覆盖info字段；
137.e5.将三部分通过“|”分割组成令牌(version|info|hash)。
138.在一个具体的实现方式中，一种可能的对认证令牌进行解析并验证的可以方法为：
139.f1.客户端使用认证令牌访问服务端的某个业务系统；
140.f2.该业务系统将令牌传入认证服务模块，对认证令牌进行有效性验证；
141.f3.解析version字段，并找到对应的hash算法；
142.f4.私钥解密info字段；
143.f5.对version及info字段，根据步骤f3对应的hash算法(hs256)进行 hash，hs256(version.info)；
144.f6.将hash值与认证令牌中的hash字段对比；不相等则表示令牌被篡改，不可用；
145.f7.若相等表示令牌未被篡改，info信息可信，对info利字段进行验证；
146.f8.认证服务模块返回令牌的认证结果给业务系统；
147.f9.业务系统收到认证结果，并返回用户访问结果。
148.与上述实施例一致的，请参阅图3，图3为本技术实施例提供的一种终端的结构示意图，如图所示，包括处理器、输入设备、输出设备和存储器，处理器、输入设备、输出设备和存储器相互连接，其中，所述存储器用于存储计算机程序，所述计算机程序包括程序指令，所述处理器被配置用于调用所述程序指令，上述程序包括用于执行以下步骤的指令；
149.通过与服务端之间建立的安全会话向服务端发送认证信息，指示所述服务端在根据所述认证信息进行安全认证的结果为认证成功后获取认证令牌，所述服务端包括c/s架构软件系统中的服务端，客户端包括c/s架构软件系统中的客户端；
150.接收所述服务端发送的认证令牌；
151.向所述服务端发送所述认证令牌；
152.接收所述服务端发送的认证结果。
153.与上述实施例一致的，请参阅图4，图4为本技术实施例提供的一种服务器的结构示意图，如图4所示，包括处理器、和存储器，所述处理器和存储器相互连接，其中，所述存储器用于存储计算机程序，所述计算机程序包括程序指令，所述处理器被配置用于调用所述程序指令，所述处理器被配置用于调用所述程序指令，上述程序包括用于执行以下步骤的指令；
154.通过与客户端之间建立的安全会话接收客户端发送的认证信息，所述服务端包括c/s架构软件系统中的服务端，客户端包括c/s架构软件系统中的客户端；
155.若根据所述认证信息进行安全认证的结果为认证成功，则获取认证令牌，所述认证令牌包括所述认证信息；
156.向所述客户端发送所述认证令牌；
157.接收所述客户端发送的所述认证令牌；
158.根据所述认证令牌进行安全认证，以得到认证结果；
159.向客户端发送所述认证结果。
160.上述主要从方法侧执行过程的角度对本技术实施例的方案进行了介绍。可以理解的是，终端为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本文中所提供的实施例描述的各示例的单元及算法步骤，本技术能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用使用不同方法来实现所描述的功能，但是这种实现不应认为超出本技术的范围。
161.本技术实施例可以根据上述方法示例对终端进行功能单元的划分，例如，可以对
应各个功能划分各个功能单元，也可以将两个或两个以上的功能集成在一个处理单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。需要说明的是，本技术实施例中对单元的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。
162.与上述一致的，请参阅图5，图5为本技术实施例提供了一种安全认证装置的结构示意图。如图5所示，应用于客户端，所述装置包括：
163.第一发送单元501，用于通过与服务端之间建立的安全会话向服务端发送认证信息，指示所述服务端在根据所述认证信息进行安全认证的结果为认证成功后获取认证令牌，所述服务端包括c/s架构软件系统中的服务端，客户端包括 c/s架构软件系统中的客户端；
164.第一接收单元502，用于接收所述服务端发送的认证令牌；
165.第二发送单元503，用于向所述服务端发送所述认证令牌；
166.第二接收单元504，用于接收所述服务端发送的认证结果。
167.与上述一致的，请参阅图6，图6为本技术实施例提供了一种安全认证装置的结构示意图。如图6所示，应用于服务端，所述装置包括：
168.第一接收单元601，用于通过与客户端之间建立的安全会话接收客户端发送的认证信息，所述服务端包括c/s架构软件系统中的服务端，客户端包括c/s 架构软件系统中的客户端；
169.获取单元602，用于若根据所述认证信息进行安全认证的结果为认证成功，则获取认证令牌，所述认证令牌包括所述认证信息；
170.第一发送单元603，用于向所述客户端发送所述认证令牌；
171.第二接收单元604，用于接收所述客户端发送的所述认证令牌；
172.认证单元605，用于根据所述认证令牌进行安全认证，以得到认证结果；
173.第二发送单元606，用于向客户端发送所述认证结果。
174.在一个可能的实现方式中，在所述获取认证令牌方面，所述602用于：
175.获取所述服务端的版本信息，以及获取所述客户端的属性描述信息；
176.对所述版本信息进行编码，以得到编码后的版本信息；
177.确定与所述版本信息对应的哈希算法；
178.根据所述哈希算法对所述版本信息和所述属性描述信息进行哈希运算，以得到哈希运算结果；
179.获取所述服务端与所述客户端之间的公钥；
180.根据所述公钥对所述编码后的版本信息、所述属性描述信息和所述哈希运算结果进行加密运算，以得到加密运算结果；
181.根据所述加密运算结果确定所述认证令牌。
182.在一个可能的实现方式中，所述装置还用于：
183.获取认证令牌的第一时效信息；
184.根据所述第一时效信息对所述认证令牌进行有效性验证，以得到验证结果；
185.若所述验证结果为令牌失效，则获取所述认证令牌中的客户端的属性描述信息；
186.若在预设的属性描述信息集合中存在有与所述客户端的属性描述信息对应的预
设属性描述信息，则确定第二时效信息；
187.将所述第二时效信息确定为所述认证令牌的时效信息。
188.在一个可能的实现方式中，所述装置还用于：
189.若所述认证结果为认证通过，则向服务端集群中的服务端发送所述认证结果，以指示所述服务端集群中的服务端用于通过所述服务端与所述客户端进行通信；
190.所述服务端传输所述服务端集群中的服务端与所述客户端之间的通信数据。
191.本技术实施例还提供一种计算机存储介质，其中，该计算机存储介质存储用于电子数据交换的计算机程序，该计算机程序使得计算机执行如上述方法实施例中记载的任何一种安全认证方法的部分或全部步骤。
192.本技术实施例还提供一种计算机程序产品，所述计算机程序产品包括存储了计算机程序的非瞬时性计算机可读存储介质，该计算机程序使得计算机执行如上述方法实施例中记载的任何一种安全认证方法的部分或全部步骤。
193.需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本技术并不受所描述的动作顺序的限制，因为依据本技术，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本技术所必须的。
194.在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。
195.在本技术所提供的几个实施例中，应该理解到，所揭露的装置，可通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性或其它的形式。
196.所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
197.另外，在申请明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件程序模块的形式实现。
198.所述集成的单元如果以软件程序模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储器中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储器中，包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储器包括：u盘、只读存储器(read-only memory，rom)、随机存取存储器(random accessmemory，ram)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
199.本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，该程序可以存储于一计算机可读存储器中，存储器可以包括：闪存盘、只读存储器、随机存取器、磁盘或光盘等。
200.以上对本技术实施例进行了详细介绍，本文中应用了具体个例对本技术的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本技术的方法及其核心思想；同时，对于本领域的一般技术人员，依据本技术的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本技术的限制。