CN101834834A - 一种鉴权方法、装置及鉴权*** - Google Patents
一种鉴权方法、装置及鉴权*** Download PDFInfo
- Publication number
- CN101834834A CN101834834A CN200910127217A CN200910127217A CN101834834A CN 101834834 A CN101834834 A CN 101834834A CN 200910127217 A CN200910127217 A CN 200910127217A CN 200910127217 A CN200910127217 A CN 200910127217A CN 101834834 A CN101834834 A CN 101834834A
- Authority
- CN
- China
- Prior art keywords
- secondary authentication
- authentication
- information
- terminal
- party
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/40—User authentication by quorum, i.e. whereby two or more security principals are required
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3215—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a plurality of channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明涉及一种鉴权方法、装置及鉴权***,方法包括:接收应用服务器在第一次鉴权通过的情况下发送的二次鉴权信息;将所述二次鉴权信息通过电信通信网发送到对应的终端;接收所述终端通过所述电信通信网返回的用于识别终端的标识及二次鉴权验证信息;根据所述标识及二次鉴权验证信息进行二次鉴权,或者将所述标识及二次鉴权验证信息转发给应用服务器,以便于所述应用服务器进行二次鉴权。上述实施例通过电信通信网传输标识及二次鉴权验证信息进行二次鉴权,避免了二次鉴权验证信息通过数据通信网通道传输,提高了二次鉴权即第三方鉴权的安全性以及网络服务的安全性。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种鉴权方法、第三方鉴权装置、终端及鉴权***。
背景技术
目前,网络应用普遍采用“客户端/服务器端”模式,即用户通过客户端享受服务器端提供的网络服务。但是,客户端要获得服务器端提供的网络服务,必须具备一定的权限。用户通过客户端输入账户、口令等验证信息,由服务器端进行鉴权,鉴权通过后,服务器端为该客户端提供网络服务。鉴权方式为“用户名”+“密码”或“用户名”+“密码”+“验证码”的方式。
现有技术中,鉴权时,应用服务器对应用客户端发送的验证信息即一次鉴权信息进行第一次鉴权。鉴权通过后,向即时通信***、因特网协议(Internet Protocol,IP)电话交换***(IP PBX)、网络服务(Web Service)、电子邮件(Email)服务器等第三方鉴权装置发送随机数、业务状态标识、激活链接等二次鉴权信息,进行第二次鉴权。第三方鉴权装置通过数据通信网发送二次鉴权信息给事先注册好的终端。终端点击激活链接后,第三方鉴权装置将根据保存的状态信息检查这次链接的请求对应的客户端第一次鉴权是否已经成功。如果第一次鉴权已经成功,且二次鉴权的链接请求也是来自该客户端(可以采用IP地址来判别),则二次鉴权成功,否则二次鉴权失败。或者,如果客户长时间不进行二次鉴权,那么第三方鉴权装置将视此次鉴权失败,且应用服务器端发送鉴权结果信息给应用客户端,完成鉴权。
在实现本发明的过程中,发明人发现现有技术至少存在以下缺陷:由于通过数据通信网络如IP网络进行二次鉴权,一旦应用客户端设备(包括但不限于个人计算机)、终端被盗号病毒软件感染,上述验证信息、二次鉴权信息就会被不法分子通过盗号病毒软件获取,大大降低了二次鉴权的安全性。
发明内容
本发明实施例提出一种鉴权方法、装置及鉴权***,以提高第三方鉴权的安全性。
本发明实施例提供了一种鉴权方法,包括:
接收应用服务器在第一次鉴权通过的情况下发送的二次鉴权信息;
将所述二次鉴权信息通过电信通信网发送到对应的终端;
接收所述终端通过所述电信通信网返回的用于识别终端的标识及二次鉴权验证信息;
根据所述标识及二次鉴权验证信息进行二次鉴权,或者将所述标识及二次鉴权验证信息转发给应用服务器,以便于所述应用服务器进行二次鉴权。
本发明实施例还提供了第三方鉴权装置,包括:
第一接收模块,用于接收应用服务器在第一次鉴权通过的情况下发送的二次鉴权信息;
发送模块,用于将所述二次鉴权信息通过电信通信网发送到对应的终端;
第二接收模块,用于接收所述客户端通过所述电信通信网返回的用于识别终端的标识及二次鉴权验证信息;
转发模块,用于将所述客户端返回的用于识别终端的标识及二次鉴权验证信息转发给应用服务器,以便于所述应用服务器进行二次鉴权。
本发明实施例还提供了一种第三方鉴权装置,包括:
第一接收模块,用于接收应用服务器在第一次鉴权通过的情况下发送的二次鉴权信息;
发送模块,用于将所述二次鉴权信息通过电信通信网发送到对应的终端;
第二接收模块,用于接收所述客户端通过电信通信网返回的用于识别终端的标识及二次鉴权验证信息;
鉴权模块,用于判断所述标识及二次鉴权验证信息是否与所述终端所属用户的注册信息相符。
本发明实施例还提供了一种终端,包括:
接收模块,用于接收第三方鉴权装置通过电信通信网发送的二次鉴权信息;
发送模块,用于通过所述电信通信网向所述第三方鉴权装置返回用于识别客户端的标识及二次鉴权验证信息。
本发明实施例还提供了一种鉴权***,包括:
应用服务器,用于根据接收到的验证信息进行第一次鉴权,并在第一次鉴权通过的情况下发送的二次鉴权信息;
第三方鉴权装置,用于接收所述二次鉴权信息,并将所述二次鉴权信息通过电信通信网发送到对应的终端,通过所述电信通信网接收所述终端返回的用于识别终端的标识及二次鉴权验证信息,根据所述标识及二次鉴权验证信息,进行二次鉴权。
本发明实施例还提供了一种鉴权***,包括:
应用服务器,用于根据接收到的验证信息进行第一次鉴权,并在第一次鉴权通过的情况下发送二次鉴权信息;
第三方鉴权装置,用于接收所述二次鉴权信息,并将所述二次鉴权信息通过电信通信网发送到对应的终端,通过所述电信通信网接收所述终端返回的用于识别终端的标识及二次鉴权验证信息,将所述标识及二次鉴权验证信息转发给所述应用服务器,以便于所述应用服务器进行二次鉴权。
上述实施例通过电信通信网传输标识及二次鉴权信息进行二次鉴权,避免了二次鉴权信息通过数据通信网通道传输,提高了二次鉴权即第三方鉴权的安全性以及网络服务的安全性。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
图1为本发明一个实施例的一种鉴权***的结构示意图;
图2为本发明实施例另一种鉴权***的结构示意图;
图3为本发明另一实施例的一种服务器的结构示意图;
图4为本发明实施例另一种服务器的结构示意图;
图5为本发明实施例接入网关的结构示意图;
图6为本发明实施例第三方鉴权***逻辑处理端设备的结构示意图;
图7为本发明实施例又一种服务器的结构示意图;
图8为本发明实施例终端的结构示意图;
图9为本发明实施例鉴权方法的流程图。
具体实施方式
图1为本发明一个实施例的一种鉴权***的结构示意图。鉴权***包括:应用服务器12、第三方鉴权装置13及第三方终端14。第三方鉴权装置13与第三方终端14之间通过电信通信网连接。第三方鉴权装置13包括但不限于联络中心、呼叫中心。第三方终端14包括但不限于固定电话、移动电话、传真机、智能终端如个人数字助理(Personal Digital Assistant,PDA)。电信通信网为目前或下一代电信网络,如公共交换电话网(Public Switched Telephone Network,PSTN)。
鉴权***的鉴权过程可以如下所述。
步骤101.应用客户端11把验证信息发送到应用服务器12,验证信息可以如账户、口令等一次鉴权信息。
步骤102.应用服务器12对验证信息进行验证即第一次鉴权,通过后,确认第一次验证有效,保留此次登录状态,例如会话(session),向第三方鉴权装置13发送二次鉴权信息,以进行二次鉴权;二次鉴权信息包括但不限于随机数、激活码、业务状态标识。
步骤103.第三方鉴权装置13接收到二次鉴权信息后,通过电信通信网发送二次鉴权信息给事先注册好的第三方终端14。例如,当第三方终端14为固定电话时,第三方鉴权装置13可通过播放自动语音通知第三方终端14返回客户端标识及二次鉴权信息,例如激活码;当第三方终端14为传真机时,第三方鉴权装置13可以传真方式向第三方终端14发送二次鉴权信息;当第三方终端14为移动电话或智能终端时,第三方鉴权装置13可通过短信方式向第三方终端14发送二次鉴权信息。
步骤104.第三方终端14通过电信通信网向第三方鉴权装置13发起呼叫、发送短信或传真等方式返回二次鉴权验证信息以及第三方客户端标识,以进行二次鉴权。对于PSTN,最常见的第三方客户端标识可为主叫号码。
步骤105.第三方鉴权装置13进行二次鉴权。对第三方客户端标识(例如主叫号码)及二次鉴权验证信息例如上述激活码,进行二次判断鉴权具体可包括判断接收到的第三方客户端标识是否与本地为第三方终端14分配的标识相符,并判断接收到的二次鉴权验证信息是否与保存的二次鉴权信息即应用服务器侧的用户注册信息相符。对于同一个客户,分别在应用服务器和第三方鉴权装置均有标识。假设某一客户在应用服务的标识为A,第三方鉴权***中的标识为B。A和B的关系是1对多,或多对多,或多对1,或共用1个标识。例如,1个网游帐户,可以对应多个联系电话号码。该客户注册时,应用服务器保存并维护这种对应关系,即用户注册信息。这种对应关系也可以由第三方鉴权服务器端维护。具体实现可以是在应用服务器中建立这样的对应关系表,也可以是应用服务器中增加一个客户关系管理模块,该客户关系管理模块处理客户关系。例如,网游服务器通过查表获取对应的电话号码;或者网游服务器向客户关系管理模块发送请求,提交一个网游帐户,获取对应的电话号码。客户关系管理模块可以有独立的硬件,也可以是网游服务器的一个子***。
第三方鉴权装置13发送鉴权结果信息给应用服务器12。第三方客户端标识包括但不限于电话号码、移动终端号码、第三方分配的客户标识(ID)。客户在整个鉴权***中可以有唯一标识,例如用户名;也可以在应用中有一个标识(例如用户名),在第三方鉴权***中有另一个标识(例如手机号)。如果存在两个标识,那么这两个标识之间存在映射关系,可以是多对多的关系,也可以是一对多的关系或多对一的关系。例如应用中有一个用户名,第三方鉴权***中有三个手机号码,都是有效的标识;反过来,第三方鉴权***中一个手机号码,可以为三个用户名进行鉴权,也都是有效的标识。这些映射关系可以保存在应用服务器,也可以保存在第三方鉴权服务器端。
步骤106.应用服务器12根据用户注册信息找到对应的应用客户端11,把鉴权结果信息发给应用客户端11。
本实施例中,第三方鉴权装置13与第三方终端14通过电信通信网连接,避免了发送给第三方终端14的二次鉴权验证信息通过数据通信网通道传递,使得盗号病毒软件无法获取二次鉴权验证信息,也就无法非法使用应用客户端11的权限,提高了鉴权***的安全性以及网络服务的安全性。假设应用客户端11为常用的聊天软件,第三方鉴权装置13为传统的交换机,第三方终端14为固定电话,则当用户开启聊天软件并登录后,应用服务器12通过数据通信网与电信通信网的接口将二次鉴权验证信息以语音方式通过固定电话告知用户,用户通过固定电话回拨并告知二次鉴权验证信息,由交换机进行判断鉴权,从而避免了盗号病毒软件的盗取,提高了二次鉴权的安全性。
图2为本发明实施例另一种鉴权***的结构示意图。本实施例与上述实施例的不同点在于:第三方鉴权装置包括第三方鉴权***接入网关及第三方鉴权***逻辑处理端。第三方鉴权***接入网关与第三方鉴权***逻辑处理端可以通过数据通信网进行通信,也可以通过其他方式通信,如串口通信。本实施例中,鉴权***包括:应用服务器22、第三方鉴权***逻辑处理端23、第三方鉴权***接入网关24及终端25。
本实施例中的鉴权***的鉴权过程可以如下所述。
步骤201.应用客户端21把验证信息发送到应用服务器22。
步骤202.应用服务器22对验证信息进行第一次鉴权,鉴权通过的情况下,保留此次登录状态如会话(session),向第三方鉴权***逻辑处理端23发送二次鉴权信息。
步骤203.第三方鉴权***逻辑处理端23接收二次鉴权信息并转发给第三方鉴权***接入网关24。
步骤204.第三方鉴权***接入网关24通过电信通信网把接收到的二次鉴权信息发给事先注册好的终端25。
步骤205.终端25通过电信通信网向第三方鉴权***接入网关24发起呼叫,输入二次鉴权验证信息例如一个激活码,以进行鉴权。
步骤206.第三方鉴权***接入网关24把终端25发送的二次鉴权验证信息转发给第三方鉴权***逻辑处理端23。
步骤207.第三方鉴权***逻辑处理端23根据应用服务器22发送的注册信息对第三方鉴权***接入网关24发送的第三方客户端标识和二次鉴权验证信息,判断是否相符;若相符,则鉴权成功;否则鉴权失败,并把鉴权结果消息发给应用服务器22。
步骤208.应用服务器22把鉴权结果信息发送给应用客户端21。
本实施例中,第三方鉴权***接入网关24与终端25通过电信通信网连接,避免了发送给终端25的二次鉴权验证信息通过数据通信网通道传递,使得盗号病毒软件无法获取二次鉴权验证信息,也就无法非法使用应用客户端21的权限,保证了鉴权***的安全性,提高了网络服务的安全性。
本发明另一实施例还公开一种鉴权***,与上述***的区别在于,二次鉴权由应用服务器执行,即第三方鉴权装置接收到第三方终端发起的呼叫后,将第三方终端发送的二次鉴权验证信息以及客户端标识发送给应用服务器,由应用服务器对二次鉴权验证信息以及客户端标识进行判断鉴权。由于应用服务器保存有应用客户端的注册信息,该注册信息包含二次鉴权信息、用户设定的终端标识等,因此,可直接对第三方终端提供的二次鉴权信息及标识进行判断鉴权,而无需将注册信息转发给第三方鉴权装置执行判断鉴权,从而提高了鉴权执行效率。
图3为本发明另一实施例的一种服务器的结构示意图。本实施例中,该服务器可为第三方鉴权装置,二次鉴权由应用服务器执行。该服务器可以包括:第一接收模块31、发送模块32、第二接收模块33、转发模块34及处理模块35。应用服务器第一次鉴权通过的情况下将二次鉴权信息发送给本服务器,第一接收模块31接收应用服务器发送的二次鉴权信息;处理模块35用于分析该二次鉴权信息,获取该二次鉴权信息发送的对象标识,发送模块32将二次鉴权信息通过电信通信网发送到对应的客户端即终端。终端接收到二次鉴权信息后,返回标识及二次鉴权验证信息。第二接收模块33接收返回的用于识别客户端的标识及二次鉴权验证信息。转发模块34接收模块接收到的用于识别客户端的标识及二次鉴权验证信息转发给应用服务器,以进行二次鉴权。其中,本实施例所涉及的二次鉴权信息,二次鉴权验证信息,电信通信网,用于识别客户端的标识以及所涉及的具体工作过程,可以参考上述***实施例所涉及的相关内容,在此不再赘述。
图4为本发明实施例另一种服务器的结构示意图。本实施例中,服务器可为执行二次鉴权的第三方鉴权装置,包括:第一接收模块41、发送模块42、第二接收模块43及鉴权模块44。应用服务器第一次鉴权通过的情况下发送二次鉴权信息,第一接收模块41接收应用服务器发送的二次鉴权信息。发送模块42将二次鉴权信息通过电信通信网发送到对应的客户端即终端。终端接收到二次鉴权信息后,返回用于识别客户端的标识及二次鉴权验证信息。第二接收模块43接收所述客户端返回的用于识别客户端的标识及二次鉴权验证信息。鉴权模块44判断第二接收模块43接收到的标识及二次鉴权验证信息是否与所述客户端所属用户的注册信息相符。其中,本实施例所涉及的二次鉴权信息,二次鉴权验证信息,电信通信网,用于识别客户端的标识以及所涉及的具体工作过程,可以参考上述图1所涉及的实施例揭露的相关内容,在此不再赘述。
图5为本发明实施例接入网关的结构示意图。本实施例中,第三方鉴权装置还可以由第三方鉴权***逻辑处理端和第三方鉴权***接入网关组成,具体为:二次鉴权由第三方鉴权***逻辑处理端执行。接入网关可为第三方鉴权***接入网关,包括:第一接收模块51、发送模块52、第二接收模块53、转发模块54及处理模块55。应用服务器第一次鉴权通过的情况下向第三方鉴权***逻辑处理端发送二次鉴权信息,第三方鉴权***逻辑处理端向第三方鉴权***接入网关发送二次鉴权信息,第一接收模块51通过第三方鉴权***接入网关接收来自应用服务器的二次鉴权信息,处理模块55用于分析该二次鉴权信息,获取该二次鉴权信息发送的对象标识。发送模块52用于根据上述发送的对象标识将二次鉴权信息通过电信通信网发送到对应的客户端即终端。终端接收到二次鉴权信息后,通过电信通信网返回用于识别客户端的标识及二次鉴权验证信息。第二接收模块53接收所述客户端返回的用于识别客户端的标识及二次鉴权验证信息。转发模块54将第二接收模块53接收到的标识及二次鉴权验证信息转发给第三方鉴权***逻辑处理端设备。其中,本实施例所涉及的二次鉴权信息,电信通信网,二次鉴权验证信息,用于识别客户端的标识以及所涉及的具体工作过程,可以参考上述图2所涉及的实施例揭露的相关内容,在此不再赘述。
图6为本发明实施例第三方鉴权***逻辑处理端设备的结构示意图。本实施例中,第三方鉴权***逻辑处理端设备实施例中的第三方鉴权***逻辑处理端设备可为计算机、具有逻辑控制功能的控制器、智能终端PDA等可执行二次鉴权的装置,包括:接收模块61及鉴权模块62。第三方鉴权***逻辑处理端设备接收模块61接收第三方鉴权***接入网关发送的用于识别客户端的标识及二次鉴权验证信息;鉴权模块62判断接收模块61接收到的标识及二次鉴权信息是否与所述客户端所属用户的注册信息相符。其中,本实施例所涉及的二次鉴权信息、二次鉴权验证信息、电信通信网、用于识别客户端的标识以及所涉及的具体工作过程,可以参考上述图2所涉及的实施例揭露的相关内容,在此不再赘述。
图7为本发明实施例又一种服务器的结构示意图。包括接入网关71及第三方鉴权***逻辑处理端设备72。接入网关71可以为上述图5实施例所涉及的接入网关,第三方鉴权***逻辑处理端设备72详见上述图6实施例所涉及的第三方鉴权***逻辑处理端设备;接入网关71接收应用服务器发送的二次鉴权信息,并将该二次鉴权信息通过电信通信网发送给对应的终端,终端接收到二次鉴权信息后,通过电信通信网向接入网关71返回用于识别终端的标识及二次鉴权验证信息,接入网关71将上述用于识别终端的标识及二次鉴权验证信息发送给第三方鉴权***逻辑处理端设备72,第三方鉴权***逻辑处理端设备72根据接收到的标识及二次鉴权信息是否与所述客户端所属用户的注册信息相符进行鉴权。其中,本实施例所涉及的二次鉴权信息、二次鉴权验证信息、电信通信网、用于识别客户端的标识以及所涉及的具体工作过程,可以参考上述图2所涉及的实施例揭露的相关内容,在此不再赘述。
图8为本发明实施例终端的结构示意图。本实施例中的终端可为固定电话、移动电话、传真机、智能终端PDA等,包括:接收模块81、发送模块82及二次鉴权信息处理模块83。第三方鉴权装置通过电信通信网向本终端发送二次鉴权信息后,接收模块81接收该二次鉴权信息。二次鉴权信息处理模块83根据该二次鉴权信息,对二次鉴权信息进行处理,并获取二次鉴权验证信息,发送模块82通过所述电信通信网向所述第三方鉴权***服务器返回用于识别客户端的标识及二次鉴权验证信息。其中,本实施例所涉及的二次鉴权信息、二次鉴权验证信息、电信通信网、用于识别客户端的标识以及所涉及的具体工作过程,可以参考上述图1和图2所涉及的实施例揭露的相关内容,在此不再赘述。
图9为本发明实施例鉴权方法的流程图。鉴权过程可包括:
步骤901.接收应用服务器在第一次鉴权通过的情况下发送的二次鉴权信息;第三方鉴权装置或第三方鉴权***逻辑处理端可执行该接收功能。
步骤902.将所述二次鉴权信息通过电信通信网发送到对应的客户端,即终端。当第三方鉴权装置执行步骤901时,本步骤也由第三方鉴权装置执行;当第三方鉴权***逻辑处理端执行步骤901时,本步骤可包括:第三方鉴权***逻辑处理端将二次鉴权信息转发给第三方鉴权***接入网关;第三方鉴权***接入网关通过电信通信网将二次鉴权信息发送给终端。
步骤903.接收所述客户端通过所述电信通信网返回的用于识别客户端的标识及二次鉴权验证信息;本步骤的执行主体同步骤902中通过电信通信网发送二次鉴权验证信息的执行主体。
步骤904.当步骤903的执行主体为第三方鉴权装置时,根据所述标识及二次鉴权验证信息,进行二次鉴权,或者将所述标识及二次鉴权验证信息转发给应用服务器,以便于所述应用服务器进行二次鉴权。当步骤903的执行主体为第三方鉴权装置时,本步骤可由第三方鉴权装置执行,此时应用服务器为应用服务器;当步骤903的执行主体为第三方鉴权***接入网关时,第三方鉴权***接入网关将所述标识及二次鉴权验证信息转发给应用服务器即第三方鉴权***逻辑处理端,以便于第三方鉴权***逻辑处理端进行二次鉴权。
上述方法还可进一步包括:返回鉴权结果。当应用服务器执行二次鉴权时,直接将鉴权结果返回给应用客户端;当第三方鉴权装置或第三方鉴权***逻辑处理端执行二次鉴权时,将鉴权结果信息发送给应用服务器,由应用服务器发送给应用客户端。
上述方法实施例中,鉴权***将电信通信网作为二次鉴权的通道,把二次鉴权的入***给电信通信网上的第三方***例如联络中心***,避免了病毒软件的攻击,使盗号病毒软件无用武之地,大大提高了鉴权***的安全性。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (8)
1.一种鉴权方法,其特征在于,包括:
接收应用服务器在第一次鉴权通过的情况下发送的二次鉴权信息;
将所述二次鉴权信息通过电信通信网发送到对应的终端;
接收所述终端通过所述电信通信网返回的用于识别终端的标识及二次鉴权验证信息;
根据所述标识及二次鉴权验证信息进行二次鉴权,或者将所述标识及二次鉴权验证信息转发给应用服务器,以便于所述应用服务器进行二次鉴权。
2.根据权利要求1所述的鉴权方法,其特征在于,所述根据所述标识及二次鉴权验证信息进行二次鉴权具体为:判断所述标识及二次鉴权验证信息是否与所述终端所属用户预设的注册信息相符。
3.根据权利要求1或2所述的鉴权方法,其特征在于,还包括:
如果预定的时间内未收到所述终端返回的标识及二次鉴权验证信息,产生鉴权失败结果。
4.一种第三方鉴权装置,其特征在于,包括:
第一接收模块,用于接收应用服务器在第一次鉴权通过的情况下发送的二次鉴权信息;
发送模块,用于将所述二次鉴权信息通过电信通信网发送到对应的终端;
第二接收模块,用于接收所述终端通过所述电信通信网返回的用于识别终端的标识及二次鉴权验证信息;
转发模块,用于将所述终端返回的用于识别终端的标识及二次鉴权验证信息转发给应用服务器,以便于所述应用服务器进行二次鉴权。
5.一种第三方鉴权装置,其特征在于,包括:
第一接收模块,用于接收应用服务器在第一次鉴权通过的情况下发送的二次鉴权信息;
发送模块,用于将所述二次鉴权信息通过电信通信网发送到对应的终端;
第二接收模块,用于接收所述终端通过所述电信通信网返回的用于识别终端的标识及二次鉴权验证信息;
鉴权模块,用于判断所述标识及二次鉴权验证信息是否与所述终端所属用户的注册信息相符。
6.一种终端,其特征在于,包括:
接收模块,用于接收第三方鉴权装置通过电信通信网发送的二次鉴权信息;
发送模块,用于通过所述电信通信网向所述第三方鉴权装置返回用于识别终端的标识及二次鉴权验证信息。
7.一种鉴权***,其特征在于,包括:
应用服务器,用于根据接收到的验证信息进行第一次鉴权,并在第一次鉴权通过的情况下发送二次鉴权信息;
第三方鉴权装置,用于接收所述二次鉴权信息,并将所述二次鉴权信息通过电信通信网发送到对应的终端,通过所述电信通信网接收所述终端返回的用于识别终端的标识及二次鉴权验证信息,根据所述标识及二次鉴权验证信息,进行二次鉴权。
8.一种鉴权***,其特征在于,包括:
应用服务器,用于根据接收到的验证信息进行第一次鉴权,并在第一次鉴权通过的情况下发送二次鉴权信息;
第三方鉴权装置,用于接收所述二次鉴权信息,并将所述二次鉴权信息通过电信通信网发送到对应的终端,通过所述电信通信网接收所述终端返回的用于识别终端的标识及二次鉴权验证信息,将所述标识及二次鉴权验证信息转发给所述应用服务器,以便于所述应用服务器进行二次鉴权。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910127217A CN101834834A (zh) | 2009-03-09 | 2009-03-09 | 一种鉴权方法、装置及鉴权*** |
| PCT/CN2010/070859 WO2010102545A1 (zh) | 2009-03-09 | 2010-03-03 | 一种鉴权方法、装置及鉴权*** |
| EP10750341A EP2400689A4 (en) | 2009-03-09 | 2010-03-03 | METHOD, DEVICE AND SYSTEM OF AUTHENTICATION |
| US13/227,928 US20120066753A1 (en) | 2009-03-09 | 2011-09-08 | Authentication method, authentication apparatus and authentication system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910127217A CN101834834A (zh) | 2009-03-09 | 2009-03-09 | 一种鉴权方法、装置及鉴权*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101834834A true CN101834834A (zh) | 2010-09-15 |
Family
ID=42718766
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910127217A Pending CN101834834A (zh) | 2009-03-09 | 2009-03-09 | 一种鉴权方法、装置及鉴权*** |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20120066753A1 (zh) |
| EP (1) | EP2400689A4 (zh) |
| CN (1) | CN101834834A (zh) |
| WO (1) | WO2010102545A1 (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102231746A (zh) * | 2011-07-11 | 2011-11-02 | 华为技术有限公司 | 验证标识信息的方法及终端 |
| CN102264050A (zh) * | 2011-07-19 | 2011-11-30 | 北京星网锐捷网络技术有限公司 | 网络接入方法、***及认证服务器 |
| CN102811228A (zh) * | 2012-08-31 | 2012-12-05 | 中国联合网络通信集团有限公司 | 网络业务登录方法、设备和*** |
| CN103516677A (zh) * | 2012-06-26 | 2014-01-15 | 广州晨扬通信技术有限公司 | 一种数据网与电话网协同认证鉴权的方法 |
| CN103546489A (zh) * | 2013-11-05 | 2014-01-29 | 腾讯科技(武汉)有限公司 | 一种权限控制方法、服务器和*** |
| CN104469763A (zh) * | 2013-09-13 | 2015-03-25 | 电信科学技术研究院 | 一种鉴权信息传输方法及装置 |
| CN104767713A (zh) * | 2014-01-02 | 2015-07-08 | 腾讯科技(深圳)有限公司 | 账号绑定的方法、服务器及*** |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9253168B2 (en) * | 2012-04-26 | 2016-02-02 | Fitbit, Inc. | Secure pairing of devices via pairing facilitator-intermediary device |
| CN103188677A (zh) * | 2011-12-29 | 2013-07-03 | ***通信集团北京有限公司 | 一种客户端软件的认证方法、装置及*** |
| US9131370B2 (en) | 2011-12-29 | 2015-09-08 | Mcafee, Inc. | Simplified mobile communication device |
| US9262592B2 (en) * | 2012-04-09 | 2016-02-16 | Mcafee, Inc. | Wireless storage device |
| US20130268687A1 (en) | 2012-04-09 | 2013-10-10 | Mcafee, Inc. | Wireless token device |
| US9547761B2 (en) * | 2012-04-09 | 2017-01-17 | Mcafee, Inc. | Wireless token device |
| US8806599B2 (en) * | 2012-06-11 | 2014-08-12 | Symantec Corporation | Systems and methods for implementing multi-factor authentication |
| KR20140060181A (ko) * | 2012-11-09 | 2014-05-19 | 삼성전자주식회사 | 데이터 공유 시스템에서의 데이터 공유 방법 및 이를 위한 장치들 |
| CN104468487B (zh) * | 2013-09-23 | 2018-10-19 | 华为技术有限公司 | 通信认证方法及装置、终端设备 |
| CN108718243B (zh) | 2014-03-05 | 2021-08-31 | 华为技术有限公司 | 一种用户终端的分组方法、会议服务器、会议*** |
| US9895613B1 (en) | 2014-10-30 | 2018-02-20 | Aftershock Services, Inc. | Facilitating multigame currencies in multiple online games |
| US9614835B2 (en) | 2015-06-08 | 2017-04-04 | Microsoft Technology Licensing, Llc | Automatic provisioning of a device to access an account |
| CN106559785B (zh) * | 2015-09-30 | 2020-02-14 | 中国电信股份有限公司 | 认证方法、设备和***以及接入设备和终端 |
| CN108964885B (zh) * | 2017-05-27 | 2021-03-05 | 华为技术有限公司 | 鉴权方法、装置、***和存储介质 |
| CN107454111A (zh) * | 2017-09-29 | 2017-12-08 | 南京中高知识产权股份有限公司 | 安全认证设备及其工作方法 |
| CN107679846A (zh) * | 2017-09-29 | 2018-02-09 | 南京中高知识产权股份有限公司 | 商家安全支付平台及其工作方法 |
| CN110602024B (zh) * | 2018-06-13 | 2021-12-21 | 中国电信股份有限公司 | 用户终端二次认证方法和***、接入和移动性管理装置 |
| CN109040025B (zh) * | 2018-07-09 | 2020-02-04 | 新华三技术有限公司 | 一种报文处理方法及装置 |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100392792B1 (ko) * | 1999-08-21 | 2003-07-28 | 주식회사 다날 | 제 2접속경로를 이용한 사용자인증시스템 및 사용자인증방법 |
| WO2001080525A1 (en) * | 2000-04-14 | 2001-10-25 | Sun Microsystems, Inc. | Network access security |
| US7590859B2 (en) * | 2001-08-24 | 2009-09-15 | Secure Computing Corporation | System and method for accomplishing two-factor user authentication using the internet |
| US7373515B2 (en) * | 2001-10-09 | 2008-05-13 | Wireless Key Identification Systems, Inc. | Multi-factor authentication system |
| US20030163739A1 (en) * | 2002-02-28 | 2003-08-28 | Armington John Phillip | Robust multi-factor authentication for secure application environments |
| US20040203595A1 (en) * | 2002-08-12 | 2004-10-14 | Singhal Tara Chand | Method and apparatus for user authentication using a cellular telephone and a transient pass code |
| GB2426104A (en) * | 2004-02-05 | 2006-11-15 | Veritas Mobile Solutions Pte L | System and method for authenticating the identity of a user |
| US10867024B2 (en) * | 2005-08-20 | 2020-12-15 | Tara Chand Singhal | Systems and methods for two-factor remote user authentication |
| JP2007102778A (ja) * | 2005-10-04 | 2007-04-19 | Forval Technology Inc | ユーザ認証システムおよびその方法 |
| JP2007102777A (ja) * | 2005-10-04 | 2007-04-19 | Forval Technology Inc | ユーザ認証システムおよびその方法 |
| US7577616B2 (en) * | 2005-12-07 | 2009-08-18 | Xi Zhu | Method and apparatus of secure authentication and electronic payment through mobile communication tool |
| EP2038826A1 (en) * | 2006-07-11 | 2009-03-25 | ULTRA Proizvodnja elektronskih naprav d.o.o. | Customer identification and authentication procedure for online internet payments using mobile phones |
| CN101212291B (zh) * | 2006-12-28 | 2010-05-26 | ***通信集团公司 | 数字证书分发方法及服务器 |
| CN101350720B (zh) * | 2007-07-18 | 2011-12-28 | ***通信集团公司 | 一种动态密码认证***及方法 |
| US8756660B2 (en) * | 2008-04-17 | 2014-06-17 | Microsoft Corporation | Enabling two-factor authentication for terminal services |
| US7979899B2 (en) * | 2008-06-02 | 2011-07-12 | Microsoft Corporation | Trusted device-specific authentication |
-
2009
- 2009-03-09 CN CN200910127217A patent/CN101834834A/zh active Pending
-
2010
- 2010-03-03 EP EP10750341A patent/EP2400689A4/en not_active Withdrawn
- 2010-03-03 WO PCT/CN2010/070859 patent/WO2010102545A1/zh active Application Filing
-
2011
- 2011-09-08 US US13/227,928 patent/US20120066753A1/en not_active Abandoned
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102231746B (zh) * | 2011-07-11 | 2014-03-12 | 华为技术有限公司 | 验证标识信息的方法及终端 |
| WO2012149840A1 (zh) * | 2011-07-11 | 2012-11-08 | 华为技术有限公司 | 验证标识信息的方法及终端 |
| CN102231746A (zh) * | 2011-07-11 | 2011-11-02 | 华为技术有限公司 | 验证标识信息的方法及终端 |
| CN102264050A (zh) * | 2011-07-19 | 2011-11-30 | 北京星网锐捷网络技术有限公司 | 网络接入方法、***及认证服务器 |
| CN103516677A (zh) * | 2012-06-26 | 2014-01-15 | 广州晨扬通信技术有限公司 | 一种数据网与电话网协同认证鉴权的方法 |
| CN102811228A (zh) * | 2012-08-31 | 2012-12-05 | 中国联合网络通信集团有限公司 | 网络业务登录方法、设备和*** |
| CN102811228B (zh) * | 2012-08-31 | 2016-07-06 | 中国联合网络通信集团有限公司 | 网络业务登录方法、设备和*** |
| CN104469763A (zh) * | 2013-09-13 | 2015-03-25 | 电信科学技术研究院 | 一种鉴权信息传输方法及装置 |
| CN104469763B (zh) * | 2013-09-13 | 2018-07-17 | 电信科学技术研究院 | 一种鉴权信息传输方法及装置 |
| CN103546489A (zh) * | 2013-11-05 | 2014-01-29 | 腾讯科技(武汉)有限公司 | 一种权限控制方法、服务器和*** |
| WO2015067163A1 (en) * | 2013-11-05 | 2015-05-14 | Tencent Technology (Shenzhen) Company Limited | Method, server and system for controling authority |
| CN104767713A (zh) * | 2014-01-02 | 2015-07-08 | 腾讯科技(深圳)有限公司 | 账号绑定的方法、服务器及*** |
| CN104767713B (zh) * | 2014-01-02 | 2020-07-14 | 腾讯科技(深圳)有限公司 | 账号绑定的方法、服务器及*** |
Also Published As
| Publication number | Publication date |
|---|---|
| US20120066753A1 (en) | 2012-03-15 |
| WO2010102545A1 (zh) | 2010-09-16 |
| EP2400689A1 (en) | 2011-12-28 |
| EP2400689A4 (en) | 2012-08-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101834834A (zh) | 一种鉴权方法、装置及鉴权*** | |
| CN101437202B (zh) | 一种多终端时业务消息处理方法、***和装置 | |
| EP2869545B1 (en) | Method and device for distributing mobile attendant call | |
| CN103516681A (zh) | 网络访问控制方法以及装置 | |
| CN104202365B (zh) | 一种集群式智能网关平台部署扩展业务应用的方法 | |
| JP2018522323A (ja) | 音声通信処理方法及びシステム、電子装置、並びに記憶媒体 | |
| CN106878987B (zh) | 一种通信方法、***及云服务器 | |
| CN106060034A (zh) | 账号登录方法和装置 | |
| CN101771564A (zh) | 会话上下文的处理方法、装置和*** | |
| CN108712440A (zh) | 用户信息管理方法、装置、服务器及存储介质 | |
| CN110740161A (zh) | 一种适配融合通信的***及方法 | |
| US20060047606A1 (en) | Split channel authenticity queries in multi-party dialog | |
| CN106921951B (zh) | 基于关系号码的号码隐私保护方法和***以及相关设备 | |
| CN101771769B (zh) | 呼叫控制的方法、装置和*** | |
| CN109041036A (zh) | Wifi连接方法及设备 | |
| CN102546552B (zh) | 认证方法、设备和*** | |
| WO2010022592A1 (zh) | 一种文字交谈路由的方法、装置和呼叫中心*** | |
| CN109120578B (zh) | 一种实现链路连接处理的方法及装置 | |
| EP1737205B1 (en) | Centralised conference initiation | |
| CN102957674B (zh) | 一种用于宽带网络的资源控制方法和*** | |
| CN113765745A (zh) | 一种业务性能测试方法、装置、终端设备和存储介质 | |
| CN111355734A (zh) | 接入ims***的认证方法、装置、电子设备和存储介质 | |
| CN101925065A (zh) | 认证方法、装置、***和无线接入点 | |
| CA2515873C (en) | Split channel authenticity queries in multi-party dialog | |
| CN109246105A (zh) | 一种防信息泄露的通信方法及*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20100915 |