CN104639562B - 一种推送认证的***和设备的工作方法 - Google Patents
一种推送认证的***和设备的工作方法 Download PDFInfo
- Publication number
- CN104639562B CN104639562B CN201510089797.1A CN201510089797A CN104639562B CN 104639562 B CN104639562 B CN 104639562B CN 201510089797 A CN201510089797 A CN 201510089797A CN 104639562 B CN104639562 B CN 104639562B
- Authority
- CN
- China
- Prior art keywords
- token
- server
- mobile terminal
- certificate server
- certification request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 61
- 230000004044 response Effects 0.000 claims abstract description 85
- 230000005540 biological transmission Effects 0.000 claims abstract description 6
- 238000013475 authorization Methods 0.000 claims description 62
- 238000004321 preservation Methods 0.000 claims description 22
- 235000013399 edible fruits Nutrition 0.000 claims description 3
- 238000004891 communication Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 241001269238 Data Species 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000002452 interceptive effect Effects 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000012163 sequencing technique Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/55—Push-based network services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开一种推送认证的***和设备的工作方法,属于信息安全领域,所述方法包括:应用界面接收用户信息并发送至应用服务器,应用服务器将用户信息和应用标识发送至认证服务器,认证服务器根据生成的挑战值、令牌信息、用户信息和应用标识对应的应用名称生成推送认证请求并发送至移动终端令牌,移动终端令牌根据推送认证请求生成登录信息,当用户选择确认登录时,根据挑战值生成第一应答值并发送至认证服务器,认证服务器根据挑战值生成第二应答值,当第一应答值和第二应答值相同时,向应用服务器返回认证成功结果。采用本发明的技术方案,提高传统认证的数据传输速度,无需用户参与口令的输入,防止中间人攻击,提高认证的安全性。
Description
技术领域
本发明涉及信息安全领域,尤其涉及一种推送认证的***和设备的工作方法。
背景技术
移动设备令牌,全称动态密码移动设备(包括手机、pad等)令牌,是用来生成动态口令的移动设备客户端软件,移动设备令牌是由运行在移动设备上的程序产生动态口令,动态口令与移动设备绑定进行身份认证,口令的生成过程不产生通信及费用,具有使用简单、安全性高、低成本、无需携带额外设备、容易获取、无物流等优势,移动设备令牌是3G时代动态密码身份认证的发展趋势。
推送,是一种先进的服务器和客户机之前的通信连接方式,将服务器数据源源不断地推向客户机,从而使客户机和服务器之间的交互性能大大提提高,实现用户的多层次需求,使得用户能够自己设定所需要的信息频道,并直接在用户端接收定制信息的实现方式。
现有技术在认证过程中,均为通过用户触发产生口令发至服务器进行验证,口令容易泄露,安全性较低,且认证需要用户干预所以影响认证速度且安全性低。
发明内容
为解决现有技术中提供的问题,本发明提供了一种推送认证的***和设备的工作方法。
本发明采用的技术方案是:一种推送认证***的工作方法,应用于包括应用界面、应用服务器、认证服务器和移动终端令牌组成的***中,所述方法包括:
步骤S1:所述应用界面接收用户输入的用户信息,将所述用户信息发送至所述应用服务器;
步骤S2:所述应用服务器接收到所述用户信息后,根据所述用户信息和内部保存的应用标识生成认证请求,将所述认证请求发送至所述认证服务器;
步骤S3:所述认证服务器接收到所述认证请求后,生成挑战值并保存,从所述认证请求中获取用户信息和应用标识,根据所述用户信息获取对应的令牌信息和网络数据链路,并根据所述应用标识获取对应的应用名称;
步骤S4:所述认证服务器根据所述挑战值、所述令牌信息、所述用户信息和所述应用名称生成推送认证请求,通过所述网络数据链路将所述推送认证请求推送至对应的移动终端令牌;
步骤S5:所述移动终端令牌接收到所述推送认证请求后,根据所述推送认证请求中的用户信息和应用名称生成登录信息并显示,接收用户对所述登录信息的选择,当接收到用户选择确认登录时,执行步骤S6,否则结束;
步骤S6:所述移动终端令牌从所述推送认证请求中获取挑战值,对所述挑战值和内部保存的所述令牌种子密钥进行计算,生成第一应答值;
步骤S7:所述移动终端令牌生成包含所述第一应答值的授权结果,通过所述网络数据链路将所述授权结果发送至所述认证服务器;
步骤S8:所述认证服务器接收到所述授权结果后,从所述授权结果中获取第一应答值,并获取对应保存的服务器种子密钥和挑战值,对所述挑战值和所述服务器种子密钥进行计算,得到第二应答值;
步骤S9:所述认证服务器判断所述第一应答值和所述第二应答值是否匹配,是则向所述应用服务器返回认证成功的认证结果,执行步骤S10,否则结束;
步骤S10:所述应用服务器接收到所述认证成功的认证结果后,向所述应用界面发送认证成功信息;
步骤S11:所述应用界面接收到所述认证成功信息后,允许用户访问应用,结束。
一种推送认证的***中认证服务器的工作方法,包括:
步骤T1:所述认证服务器接收到来自应用服务器的认证请求后,生成挑战值并保存,并从所述认证请求中获取用户信息和应用标识;
步骤T2:所述认证服务器根据所述用户信息获取对应的令牌信息和网络数据链路,并根据所述应用标识获取对应的应用名称;
步骤T3:所述认证服务器根据所述挑战值、所述令牌信息、所述用户信息和所述应用名称生成推送认证请求,并通过所述网络数据链路将所述推送认证请求推送至移动终端令牌;
步骤T4:所述认证服务器接收所述移动终端令牌返回的授权结果,从所述授权结果中获取第一应答值,并获取保存的服务器种子密钥和所述挑战值,对所述挑战值和所述服务器种子密钥进行计算,得到第二应答值;
步骤T5:所述认证服务器判断所述第一应答值和所述第二应答值是否匹配,如果是,则向所述应用服务器返回认证成功的认证结果,结束,否则向所述应用服务器返回认证失败的认证结果,结束。
一种推送认证的***中移动终端令牌的工作方法,包括:
步骤K1:所述移动终端令牌接收来自认证服务器的推送认证请求;
步骤K2:所述移动终端令牌从所述推送认证请求中获取用户信息和应用名称,根据所述用户信息和所述应用名称生成登录信息并显示;
步骤K3:所述移动终端令牌接收用户对登录信息的选择,当接收到用户选择确认登录时,执行步骤K4,否则结束;
步骤K4:所述移动终端令牌从所述推送认证请求中获取挑战值,并获取保存的令牌种子密钥,对所述挑战值和所述令牌种子密钥进行计算,生成第一应答值;
步骤K5:所述移动终端令牌从所述推送认证请求中获取令牌信息,根据所述第一应答值和所述令牌信息生成允许登录的授权结果,并通过网络数据链路发送至所述认证服务器,令牌操作结束。
本发明取得的有益效果是:采用本发明的技术方案,采用推送的方式实现客户端、服务器和移动设备令牌之间的口令认证,提高传统认证的数据传输速度,并且无需用户参与口令的输入并采用挑战应答方式,防止中间人攻击,提高了认证过程中的安全性。
附图说明
为了更清楚的说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例1提供的一种推送认证***的工作方法流程图;
图2、图3和图4是本发明实施例2提供的一种推送认证***的工作方法流程图;
图5是本发明实施例3提供的一种推送认证***中认证服务器的工作方法流程图;
图6是本发明实施例4提供的一种推送认证***中移动终端令牌的工作方法流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明中,推送认证***包括应用界面、应用服务器、认证服务器和移动终端令牌,推送认证设备包括认证服务器和移动终端令牌。
本发明中,认证服务器对移动终端令牌激活过程中,建立两者之间的网络数据链路,且在认证服务器中保存有用户信息与网络数据链路的对应关系,之后每次当移动终端令牌启动时,获取内部保存的访问地址,根据访问地址访问认证服务器,重新建立起移动终端令牌与认证服务器之间的网络数据链路(优选为TCP协议的网络数据链路),移动终端令牌通过该网络数据链路将令牌信息发送至认证服务器,认证服务器接收到令牌信息后,获取服务器存储区中对应保存的令牌信息,若接收到的令牌信息与保存的令牌信息不相同,则更新保存的令牌信息为接收到的令牌信息;
其中,令牌信息包括:令牌序列号、令牌标识码、移动终端操作***;
例如,移动终端令牌内部保存的访问地址为api-dfserv.cloudentify.com:1843;
移动终端令牌发送至认证服务器的令牌信息为:
{"tokens":["1000000006","1000000003"],"os":"1",udid":"57987117827971672588""reqtype":"1"}。
实施例1
本发明实施例1提供了一种推送认证***的工作方法,应用于包括应用界面、应用服务器、认证服务器和移动设备令牌组成的***中,如图1所示,包括:
步骤101:应用界面接收用户输入的用户信息;
其中,用户信息可以为用户名,也可以为用户名和密码,本实施例以用户信息为用户名为例来说明。
步骤102:应用界面将用户信息发送至应用服务器;
步骤103:应用服务器接收到用户信息后,根据用户信息和内部保存的应用标识生成认证请求;
步骤104:应用服务器将认证请求发送至认证服务器;
步骤105:认证服务器接收到认证请求后,生成挑战值并保存,从认证请求中获取用户信息和应用标识,根据用户信息获取对应的令牌信息和网络数据链路,并根据应用标识获取对应的应用名称;
步骤106:认证服务器根据挑战值、令牌信息、用户信息和应用名称生成推送认证请求;
步骤107:认证服务器通过网络数据链路将推送认证请求推送至对应的移动终端令牌;
步骤108:移动终端令牌接收到推送认证请求后,根据推送认证请求中的用户信息和应用名称生成登录信息并显示,接收用户对所述登录信息的选择,当接收到用户选择确认登录时,执行步骤109,否则结束;
步骤109:移动终端令牌从推送认证请求中获取挑战值,对挑战值和内部保存的所述令牌种子密钥进行计算,生成第一应答值;
步骤110:移动终端令牌生成包含第一应答值的授权结果;
步骤111:移动终端令牌通过网络数据链路将授权结果发送至认证服务器;
步骤112:认证服务器接收到授权结果后,从授权结果中获取第一应答值,并获取对应保存的服务器种子密钥和挑战值,对挑战值和服务器种子密钥进行计算,得到第二应答值;
步骤113:认证服务器判断第一应答值和第二应答值是否匹配,是则执行步骤114,否则结束;
步骤114:认证服务器向应用服务器返回认证成功的认证结果;
步骤115:应用服务器接收到认证成功的认证结果后,向应用界面发送认证成功信息;
步骤116:应用界面接收到认证成功信息后,允许用户访问应用,结束。
实施例2
本发明实施例2提供一种推送认证***的工作方法,应用于包括应用界面、应用服务器、认证服务器和移动终端令牌组成的***中,如图2、图3和图4所示,包括:
步骤201:应用界面接收用户输入的用户信息,包括用户名和密码;
其中,用户信息可以为用户名,也可以为用户名和密码,本实施例以用户信息为用户名和密码为例来说明;
例如,用户信息包括:用户名:[email protected],密码:168408afag。
步骤202:应用界面将用户名和密码发送至应用服务器。
步骤203:应用服务器判断接收到的用户名和密码是否正确,如果是,则执行步骤206,否则执行步骤204;
具体包括,应用服务器判断从应用服务器存储区中是否能够获取与接收到的用户名对应的用户信息,如果能够获取到,则判断用户信息中的密码与接收到的密码是否相同,如果是,则用户名和密码正确,否则用户名和密码不正确,执行步骤204,如果不能够获取到,则向应用界面返回用户名不正确响应。
步骤204:应用服务器向应用界面返回用户信息不正确响应。
步骤205:应用界面接收到用户信息不正确响应后,输出用户信息不正确的提示信息,结束;
本实施例中,步骤205之前还包括:初始化验证次数;本步骤中,当接收到用户信息不正确响应时,还包括:更新验证次数,判断更新后的验证次数是否达到预设次数,如果是,则报错,结束,否则返回步骤201;其中,验证次数的初值为0,更新验证次数优选是将验证次数自加1,预设次数优选为3次;
进一步地,本实施例中,应用界面输出用户信息不正确的提示信息之后,还可以包括输出提示重新输入用户信息,等待接收用户输入的用户信息,返回步骤201。
步骤206:应用服务器根据用户名和内部保存的应用标识生成认证请求;
本步骤还可以包括:应用服务器应用第一预设协商密钥对认证请求进行加密,得到认证请求密文;
其中,应用第一预设协商密钥对认证请求进行加密,具体为:客户端应用预设加密算法,根据第一预设协商密钥对认证请求进行加密;优选的,预设加密算法为DES算法,除此之外还可以为RSA算法等;
例如,应用界面为WEBSDK登录界面,对应的应用标识为yiwnzh-ajg。
步骤207:应用服务器将认证请求发送至认证服务器;
本步骤具体为:应用服务器将认证请求发送至认证代理,认证代理接收到认证请求后,将认证请求转发至认证服务器;
还可以为:应用服务器将认证请求密文发送至认证代理,认证代理接收到认证请求密文后,将认证请求密文转发至认证服务器。
步骤208:认证服务器接收到认证请求后,获取认证请求中的用户名和应用标识;
本步骤还可以为:认证服务器接收到认证请求密文后,根据第一预设协商密钥对认证请求密文进行解密,得到认证请求,获取认证请求中的用户名和应用标识;
其中,根据第一预设协商密钥对认证请求密文进行解密,具体为:认证服务器应用预设解密算法,根据第一预设协商密钥对认证请求密文进行解密;优选的,预设解密算法为DES算法,除此之外还可以为RSA算法等。
步骤209:认证服务器根据用户名从服务器存储区中获取对应的令牌信息和网络数据链路;
本实施例中,认证服务器从认证请求中获取用户名之后,还包括:判断从服务器存储区中是否能够找到与用户名对应的用户记录,如果是,则继续,否则向应用服务器返回用户未注册信息;
本实施例中,服务器存储区中保存的用户记录包括:用户名、服务器种子密钥、应用名称和令牌信息,其中,令牌信息包括令牌标识码、令牌序列号、移动终端操作***。
步骤210:认证服务器根据应用标识,从服务器存储区中获取对应的应用名称;
本步骤还包括:判断从服务器存储区中是否能够找到与应用标识对应的应用名称,如果是,则继续,否则向应用服务器返回应用未注册信息;
步骤211:认证服务器生成预设长度的挑战值,与用户信息建立关联并保存至服务器存储区中;
优选的,预设长度为6位十进制数据;
本实施例中,生成挑战值可以为调用随机数生成函数生成随机数,将随机数作为挑战值,也可以为:根据用户名从服务器存储区中获取对应的服务器种子密钥,对服务器种子密钥进行计算,生成挑战值;
其中,对服务器种子密钥进行计算,生成挑战值,具体为:应用预设算法对服务器种子密钥进行计算,生成长度为6位的十进制的挑战值,优选的,预设算法为SM3算法,还可以为OATH算法等;
例如,生成的挑战值为308962;
本实施例中,步骤209、步骤210和步骤211无先后顺序,可同时执行。
步骤212:认证服务器获取服务器时间,根据挑战值、令牌信息、用户信息和应用名称生成推送认证请求;
本步骤还可以包括:认证服务器应用第二预设协商密钥对推送认证请求进行加密,得到推送认证请求密文;
本步骤中,还可以为:认证服务器从服务器存储区中获取令牌标识码,应用令牌标识码对挑战值进行加密,得到挑战值密文,根据挑战值密文、令牌信息、用户信息和应用名称生成推送认证请求;
其中,应用第二预设协商密钥对推送认证请求进行加密,具体为:应用预设加密算法,根据第二预设协商密钥对推送认证请求进行加密;优选的,预设加密算法为DES算法,除此之外还可以为RSA算法等;
本步骤之前还包括:认证服务器调用随机数生成函数,生成第一随机数,将第一随机数作为认证请求ID,与用户信息建立关联并保存至服务器存储区中;
进一步的,还包括:认证服务器获取当前服务器时间,将当前服务器时间作为认证请求ID的生成时间保存至服务器存储区中;
例如,认证服务器生成的认证请求ID为:
02c0e8b4-be19-49f6-aab6-273b38522cea;
认证请求ID的生成时间为1419325026;
则,所述根据挑战值、令牌信息、用户信息和应用名称生成推送认证请求,具体为:根据挑战值、令牌信息、用户信息、应用名称和认证请求ID生成推送认证请求;
例如,生成的推送认证请求为:
{"appname":"WEBSDK","challenge":"308962","pushtype":"1","reqid":"02c0e8b4-be19-49f6-aab6-273b38522cea","time":"1419325027","token":"1000000003","userid":"[email protected]"};
加密后得到的推送认证请求密文为:
{"data":"a539f8d217b3c05cb5a5340c7b8c8842bcfcace3180c6da9f595015a087c1612e39110fc2e75debc3e435e974a2d7907fa50df880b26ce9ecf1ed4988c9b1c5ad3d00d4942efcd06f83df5624b35769c00f770fd2bb4ada37e0b9c1ac74513ef1e83fc519cb88a66651a875e7423ed4ff7aa546c07bc96251683d617ec8cf03f007f3287352646ee92edcfd08dced63cd916018ea7596a3b2ccd44f958a6e2245a6dc863230d1940333430703a798eef","mac":"3531e1c344107efd1bee06dac2c15f9f71467a3f"}。
步骤213:认证服务器根据令牌信息中的令牌序列号查找对应的移动终端令牌;
具体的,认证服务器根据用户名获取对应的令牌序列号,根据令牌序列号获取到对应的网络数据链路,根据网络数据链路查找到对应的移动终端令牌。
步骤214:认证服务器通过网络数据链路将推送认证请求推送至该移动终端令牌;
本步骤还可以为:认证服务器通过网络数据链路将推送认证请求密文推送至该移动终端令牌。
步骤215:移动终端令牌接收到推送认证请求后,从推送认证请求中获取用户名和应用名称,并获取令牌当前时间;
本步骤之前还包括:移动终端令牌接收到推送认证密文后,应用第二预设协商密钥对推送认证请求密文进行解密,得到推送认证请求;
具体的,应用第二预设协商密钥对推送认证请求密文进行解密,具体为:认证服务器应用预设解密算法,根据第二预设协商密钥对推送认证请求密文进行解密;优选的,预设解密算法为DES算法,除此之外还可以为RSA算法等。
步骤216:移动终端令牌根据用户信息、应用名称和令牌当前时间对预设格式进行填充,得到登录信息;
本实施例中,预设格式为:
亲爱的XXX(用户名)
您的账号于XXX(令牌当前时间)登录XXX(应用名称)
请确保是您本人的操作,否则请拒绝
是 否
步骤217:移动终端令牌显示登录信息,并接收用户对登录信息的选择,当用户选择确认登录时,执行步骤219,当用户选择取消登录时,执行步骤218;
例如,移动终端令牌显示的登录信息为:
您的账号于2014年12月25日10:50:35登录WEBSDK
请确保是您本人的操作,否则请拒绝
是 否
本步骤还包括:当未接收到用户选择时,向认证服务器返回超时响应,认证服务器将超时响应发送至应用服务器,应用服务器将超时响应发送至应用界面,应用界面显示超时信息,结束;
步骤218:移动设备令牌根据令牌序列号生成取消登录的授权结果,执行步骤222;
具体的,生成取消登录的授权结果,具体包括:移动终端令牌根据推送认证请求中的认证请求ID生成取消登录的授权结果;
本步骤还可以包括:移动终端令牌应用第二预设协商密钥对授权结果进行解密,得到授权结果密文;
例如,移动设备令牌生成取消登录的授权结果为:
{"pushtype":"2","result":"0","token":"1000000003"};
加密得到的授权结果密文为:
{"data":"bbd573bc30068b8bfa51e96adcb76ca827d417655ada441b2e4374cd2cd8a0ccda83da9abe1978133065b04022464cdbc300d6cafcaccfa513bb9daaff1d3c3d","mac":"91d8dc0da255e7fcbbc7e6f435078eb6d275f7f2"};
步骤219:移动终端令牌从推送认证请求中获取挑战值和服务器时间,根据令牌序列号获取令牌种子密钥;
本实施例中,从推送认证请求中获取挑战值,还可以为:移动终端令牌从推送认证请求中获取挑战值密文,并从令牌中获取令牌标识码,应用令牌标识码对挑战值密文进行解密,得到挑战值;
步骤220:移动终端令牌应用预设口令生成算法,对挑战值、服务器时间和令牌种子密钥进行计算,生成第一应答值;
优选的,本实施例中,移动终端令牌生成预设长度的第一应答值,预设长度优选为6位十进制数据;
具体的,移动终端令牌应用预设口令生成算法,对挑战值、服务器时间、令牌种子密钥和动态因子进行计算,生成第一应答值;
例如,移动终端令牌生成的第一应答值为677165。
步骤221:移动终端令牌根据第一应答值和令牌信息生成允许登录的授权结果,执行步骤222;
本步骤还可以包括:移动终端令牌应用第二预设协商密钥对授权结果进行解密,得到授权结果密文;
具体的,根据第一应答值和令牌信息生成允许登录的授权结果,具体包括:根据第一应答值、令牌信息和认证请求ID生成允许登录的授权结果;
例如,移动终端令牌生成的允许登录的授权结果为:
{"result":"1","time":"1419325027","reqtype":"2","otp":"677165","token":"1000000003","reqid":"02c0e8b4-be19-49f6-aab6-273b38522cea"};
加密得到的授权结果密文为:
{"data":"4fbd9ef79abbb78b59b7b4364b93db26527dc3a4c0b5dcadd34428de3649fc0f4e07a7f4282b5b88c21500f1b4c8bed324ec80f3815264787ea90a4723e024fb3a4e6cb09b7b44f801c9cc64cd50334fc8f037206d706dfc40727d08a3f67d91174db8396b7574fa1fbc09da25d861d9b945f3c7dc9654455ef0e168eb826f8b8e56a928e274f033079bdfb336848b78","app_version":"2.6","mac":"ba7ab1a123c930ca73ad5944d4fd0cf8ee4f0667"};
本实施例中,如果步骤220中所述动态因子中包含事件型动态因子,则在步骤221执行完毕后,移动终端令牌更新事件型动态因子,优选为将事件型动态因子加1,该时间型动态因子初始值为0。
步骤222:移动终端令牌通过网络数据链路将授权结果上送至认证服务器;
本步骤还可以包括:移动终端令牌通过网络数据链路将授权结果密文上送至认证服务器。
步骤223:认证服务器接收到授权结果后,判断授权结果,如果为允许登录,则执行步骤225,如果是取消登录,则执行步骤224;
本实施例中,如果判断授权结果中的返回结果为1时,则为允许登录,如果判断授权结果中的返回结果为0时,则为取消登录;
本步骤之前还可以包括:认证服务器接收到授权结果密文后,应用第二预设协商密钥对授权结果密文进行解密,得到授权结果;
具体的,本步骤之前还包括:认证服务器从授权结果中获取认证请求ID,判断认证请求ID是否正确且有效,如果是,则执行步骤223,否则删除服务器存储区中保存的认证请求ID,并向应用服务器返回失败响应,结束;
其中,判断认证请求ID是否正确且有效,具体为:认证服务器从获取服务器当前时间,并从服务器存储区中获取保存的认证请求ID和认证请求ID的生成时间,判断授权结果中的认证请求ID与服务器存储区中保存的认证请求ID是否相同,如果是,则认证请求ID正确,否则认证请求不ID正确;判断服务器当前时间与认证请求ID的生成时间之差是否在预设时长内,如果是,则认证请求ID有效,否则认证请求ID无效,优选的,当认证请求ID不正确或无效时,还包括:删除服务器存储区中保存的认证请求ID和认证请求ID的生成时间。
步骤224:认证服务器生成不允许登录的认证结果,执行步骤231;
本步骤还可以包括:认证服务器应用第一预设协商密钥对认证结果进行加密,得到认证结果密文。
步骤225:认证服务器从授权结果中获取令牌信息和第一应答值;
例如,认证服务器从授权结果中获取到的令牌序列号为1000000003、第一应答值为677165。
步骤226:认证服务器根据令牌信息从服务器存储区中获取对应的挑战值和服务器种子密钥,并获取当前服务器时间;
例如,认证服务器获取的当前服务器时间为1419325029。
步骤227:认证服务器应用口令生成算法,对挑战值、服务器种子密钥和当前服务器时间进行计算,得到第二应答值;
具体的:认证服务器应用口令生成算法,对挑战值、服务器种子密钥、当前服务器时间和动态因子进行计算,得到第二应答值;
例如,认证服务器生成的第二应答值为677165。
步骤228:认证服务器判断第一应答值和第二应答值是否匹配,如果是,执行步骤230,否则执行步骤229;
步骤229:认证服务器生成认证失败的认证结果,执行步骤231;
本步骤还可以包括:认证服务器应用第一预设协商密钥对认证结果进行加密,得到认证结果密文。
步骤230:认证服务器生成认证成功的认证结果,执行步骤231;
本步骤还可以包括:认证服务器应用第一预设协商密钥对认证结果进行加密,得到认证结果密文;
本实施例中,如果步骤227中所述动态因子中包含事件型动态因子,则在步骤230执行完毕后,证服务器更新事件型动态因子,优选为将事件型动态因子加1,该时间型动态因子初始值为0。
步骤231:认证服务器将认证结果发送至应用服务器;
本步骤还可以包括:认证服务器将认证结果密文发送至认证服务器;
本步骤具体为:认证服务器将认证结果发送至认证代理,认证代理接收到认证结果后,将认证结果发送至应用服务器。
步骤232:应用服务器接收到认证结果后,将认证结果发送至应用界面;
本步骤还可以包括:应用界面将认证结果密文发送至应用界面。
步骤233:应用界面接收到认证结果后,判断认证结果,如果是不允许登录,则执行步骤234,如果是认证失败,则执行步骤235,如果是认证成功,则执行步骤236;
本步骤还可以包括:应用界面接收到认证结果密文后,应用第一预设协商密钥对认证结果密文进行解密,得到认证结果;
步骤234:应用界面显示不允许登录的提示信息,应用登录认证流程结束;
步骤235:应用界面显示认证失败的提示信息,应用登录认证流程结束;
步骤236:应用界面允许用户访问应用,并显示应用登录成功后的界面,应用登录认证流程结束;
其中,当应用登陆认证流程结束且登陆成功之后,客户端可根据用户输入的操作请求执行相应操作以完成用户对应用的访问,直至用户退出登陆,需要说明的是,应用登陆认证流程结束后的操作不在本发明的限制范围内。
本实施例中,步骤201还包括:客户端开启超时定时器,并实时检测超时定时器的值是否达到预设时长,如果是,则提示认证超时的提示信息,应用登录认证流程结束。
本实施例中,除实施例中的传输方式外,应用界面与应用服务器、应用服务器与认证代理、认证代理与认证服务器、认证服务器与移动终端令牌之间的通信数据是经过双方预先协商的算法和密钥处理过的;进一步的,它们之间的通信数据还可以包含长度和校验位,接收方通过通信数据中的长度和校验位判断接收到的通信数据是否正确,若正确则进行正常操作流程,若不正确则通知发送方数据错误,发送方重新发送通信数据;更进一步地,它们之间的通信数据还可以进行网络加密或者采用私密软件传输等,以保证应用服务器和交互界面之间的通信数据的安全性。
实施例3
本发明实施例3提供了一种推送认证的***中认证服务器的工作方法,如图5所示,包括:
步骤301:认证服务器接收到来自应用服务器的认证请求后,生成挑战值并保存,并从认证请求中获取用户信息和应用标识;
所述生成挑战值,具体为:调用随机数生成函数,生成随机数,将该随机数作为挑战值;
所述生成挑战值,还可以为:根据认证请求中的用户信息获取对应保存的服务器种子密钥,对服务器种子密钥进行计算,生成挑战值。
步骤302:认证服务器根据用户信息获取对应的令牌信息和网络数据链路,并根据应用标识获取对应的应用名称;
本实施例中,所述根据所述用户信息获取对应的令牌信息和网络数据链路,具体包括:判断根据用户信息是否能够获取到对应的令牌信息和网络数据链路,如果是,则获取得到对应的令牌信息和网络数据链路,否则向应用服务器返回错误响应,结束。
步骤303:认证服务器根据挑战值、令牌信息、用户信息和应用名称生成推送认证请求,并通过网络数据链路将推送认证请求推送至移动终端令牌;
所述令牌信息包括令牌序列号,则将推送认证请求推送至移动终端令牌,具体为:根据令牌序列号获取对应的移动终端令牌,将推送认证请求推送至该移动终端令牌。
所述令牌信息包括令牌标识码,则根据挑战值、令牌信息、用户信息和应用名称生成推送认证请求,具体包括:应用令牌标识码对挑战值进行加密,得到挑战值密文,根据挑战值密文、令牌信息、用户信息和应用名称生成推送认证请求。
步骤304:认证服务器接收移动终端令牌返回的授权结果,从授权结果中获取第一应答值,并获取保存的服务器种子密钥和挑战值,对挑战值和服务器种子密钥进行计算,得到第二应答值;
本实施例中,对挑战值和服务器种子密钥进行计算,得到第二应答值,具体包括:获取服务器当前时间,应用预设口令生成算法,对服务器当前时间、挑战值、服务器种子密钥和动态因子进行计算,得到第二应答值。
步骤305:认证服务器判断第一应答值和第二应答值是否匹配,如果是,则向应用服务器返回认证成功的认证结果,结束,否则向应用服务器返回认证失败的认证结果,结束;
本实施例中,当步骤304中,动态因子包括事件型动态因子时,本步骤中,当应用服务器返回认证成功的认证结果时,还包括:更新事件型动态因子,即将事件型动态因子加1。
实施例4
本发明实施例4提供了一种推送认证的***中移动终端令牌的工作方法,如图6所示,包括:
步骤401:移动终端令牌接收来自认证服务器的推送认证请求;
步骤402:移动终端令牌从推送认证请求中获取用户信息和应用名称,根据用户信息和应用名称生成登录信息并显示;
所述令牌信息包括令牌标识码和移动终端操作***,则本步骤之前还包括:从推送认证请求中获取令牌标识码和移动终端操作***,并获取保存的令牌标识码和移动终端操作***,判断推送认证请求中的令牌标识码和移动终端操作***和保存的令牌标识码和移动终端操作***是否相同,如果是,则执行步骤402,否则向认证服务器返回令牌信息不正确响应,结束;
所述根据所述用户信息和所述应用名称生成登录信息,具体包括:获取令牌当前时间,根据用户信息、应用名称和令牌当前时间对预设格式进行填充,得到登录信息。
步骤403:移动终端令牌接收用户对登录信息的选择,当接收到用户选择确认登录时,执行步骤404,否则结束;
步骤404:移动终端令牌从推送认证请求中获取挑战值,并获取保存的令牌种子密钥,对挑战值和令牌种子密钥进行计算,生成第一应答值;
所述令牌信息包括令牌标识码,则所述从推送认证请求中获取挑战值,具体包括:从推送认证请求中获取挑战值密文,并获取保存的令牌标识码,应用令牌标识码对挑战值密文进行解密,得到挑战值;
所述对挑战值和令牌种子密钥进行计算,生成第一应答值,具体包括:从推送认证请求中获取服务器时间,应用预设口令生成算法,对挑战值、服务器时间、令牌种子密钥和动态因子进行计算,生成第一应答值。
步骤405:移动终端令牌从推送认证请求中获取令牌信息,根据第一应答值生成允许登录的授权结果,并通过网络数据链路发送至认证服务器,令牌操作结束;
当所述动态因子包含事件型动态因子时,本步骤还包括:更新事件型动态因子,即将事件型动态因子加1。
所述方法还包括:当移动终端令牌启动时,获取内部保存的访问地址,根据访问地址访问认证服务器,建立移动终端令牌与认证服务器之间的网络数据链路,通过网络数据链路将令牌信息发送至认证服务器。
本发明的上述实施例以安卓手机令牌为例来说明,除此之外,
如果认证服务器获取到的令牌信息中移动终端操作***为IOS***时,认证服务器将生成的推送认证请求发送至icloud(苹果公司云端服务),icloud接收到推送认证请求后,将推送认证请求发送至对应的苹果手机令牌上,苹果手机令牌对推送认证请求处理后,将得到的授权信息直接发送至认证服务器。
如果认证服务器获取到的令牌信息包括微信号,则将生成的推送认证请求发送至微信服务器,微信服务器接收到推送认证请求后,将推送认证请求发送至手机微信令牌,手机微信令牌推送认证请求处理后,将得到的授权信息发送至微信服务器,微信服务器接收到授权信息后,将授权信息发送至认证服务器。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明公开的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (33)
1.一种推送认证***的工作方法,应用于包括应用界面、应用服务器、认证服务器和移动终端令牌组成的***中,其特征在于,所述方法包括:
步骤S1:所述应用界面接收用户输入的用户信息,将所述用户信息发送至所述应用服务器;
步骤S2:所述应用服务器接收到所述用户信息后,根据所述用户信息和内部保存的应用标识生成认证请求,将所述认证请求发送至所述认证服务器;
步骤S3:所述认证服务器接收到所述认证请求后,生成挑战值并保存,从所述认证请求中获取用户信息和应用标识,根据所述用户信息获取对应的令牌信息和网络数据链路,并根据所述应用标识获取对应的应用名称;
步骤S4:所述认证服务器根据所述挑战值、所述令牌信息、所述用户信息和所述应用名称生成推送认证请求,通过所述网络数据链路将所述推送认证请求推送至对应的移动终端令牌;
步骤S5:所述移动终端令牌接收到所述推送认证请求后,根据所述推送认证请求中的用户信息和应用名称生成登录信息并显示,接收用户对所述登录信息的选择,当接收到用户选择确认登录时,执行步骤S6,否则结束;
步骤S6:所述移动终端令牌从所述推送认证请求中获取挑战值,对所述挑战值和内部保存的所述令牌种子密钥进行计算,生成第一应答值;
步骤S7:所述移动终端令牌生成包含所述第一应答值的授权结果,通过所述网络数据链路将所述授权结果发送至所述认证服务器;
步骤S8:所述认证服务器接收到所述授权结果后,从所述授权结果中获取第一应答值,并获取对应保存的服务器种子密钥和挑战值,对所述挑战值和所述服务器种子密钥进行计算,得到第二应答值;
步骤S9:所述认证服务器判断所述第一应答值和所述第二应答值是否匹配,是则向所述应用服务器返回认证成功的认证结果,执行步骤S10,否则结束;
步骤S10:所述应用服务器接收到所述认证成功的认证结果后,向所述应用界面发送认证成功信息;
步骤S11:所述应用界面接收到所述认证成功信息后,允许用户访问应用,结束。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:当移动终端令牌启动时,根据内部保存的访问地址,访问所述认证服务器,建立所述移动终端令牌与所述认证服务器之间的网络数据链路,通过所述网络数据链路将所述令牌信息发送至认证服务器;
所述认证服务器接收到所述令牌信息后,获取对应保存的令牌信息,若接收到的令牌信息与保存的令牌信息不相同时,更新保存的令牌信息为所述接收到的令牌信息。
3.根据权利要求1所述的方法,其特征在于,所述令牌信息包括令牌序列号;
所述步骤S4中,所述将所述推送认证请求推送至对应的移动终端令牌,具体为:所述认证服务器根据所述令牌序列号,查找对应的移动终端令牌,将所述推送认证请求推送至所述移动终端令牌。
4.根据权利要求1所述的方法,其特征在于,所述令牌信息包括令牌标识码;
所述步骤S4中,所述根据所述挑战值、所述令牌信息、所述用户信息和所述应用名称生成推送认证请求,具体包括:所述认证服务器应用所述令牌标识码对所述挑战值进行加密,得到挑战值密文,根据所述挑战值密文、所述令牌信息、所述用户信息和所述应用名称生成推送认证请求;
所述步骤S6中,所述从所述推送认证请求中获取挑战值,具体包括:所述移动终端令牌从所述推送认证请求中获取挑战值密文,应用内部保存的令牌标识码对所述挑战值密文进行解密,得到挑战值。
5.根据权利要求1所述的方法,其特征在于,所述令牌信息包括令牌标识码和移动终端操作***;
所述步骤S5中,所述移动终端令牌接收到所述推送认证请求后,还包括:
所述移动终端令牌从所述推送认证请求中获取令牌标识码和移动终端操作***,判断所述推送认证请求中的令牌标识码和移动终端操作***与内部保存的令牌标识码和移动终端操作***是否相同,如果是,则继续,否则向所述认证服务器返回令牌信息不正确响应,结束。
6.根据权利要求1所述的方法,其特征在于,
所述步骤S5中,所述根据所述推送认证请求中的用户信息和应用名称生成登录信息,具体为:所述移动终端令牌从所述推送认证请求中获取用户信息和应用名称,并获取令牌当前时间,根据所述用户信息、所述令牌当前时间和所述应用名称对预设格式进行填充,得到登录信息。
7.根据权利要求1所述的方法,其特征在于,所述步骤S4中,所述根据所述挑战值、所述令牌信息、所述用户信息和所述应用名称生成推送认证请求,具体包括:所述认证服务器获取服务器时间,根据所述服务器时间、所述挑战值、所述令牌信息、所述用户信息和所述应用名称生成推送认证请求。
8.根据权利要求7所述的方法,其特征在于,所述步骤S6中,所述对所述挑战值和内部保存的所述令牌种子密钥进行计算,生成第一应答值,具体包括:所述移动终端令牌从所述推送认证请求中获取所述服务器时间,应用预设口令生成算法,对所述挑战值、所述服务器时间、内部保存的令牌种子密钥和动态因子进行计算,生成第一应答值。
9.根据权利要求1所述的方法,其特征在于,所述步骤S7中,所述对所述挑战值和所述服务器种子密钥进行计算,得到第二应答值,具体包括:所述认证服务器获取服务器当前时间,应用预设口令生成算法,对所述服务器当前时间、所述挑战值、所述服务器种子密钥和动态因子进行计算,得到第二应答值。
10.根据权利要求1所述的方法,其特征在于,所述步骤S3中,所述生成挑战值,具体为:所述认证服务器调用随机数生成函数,生成随机数,将所述随机数作为挑战值。
11.根据权利要求1所述的方法,其特征在于,所述步骤S3中,所述生成挑战值,具体为:所述认证服务器根据所述认证请求中的用户信息获取对应保存的服务器种子密钥,对所述服务器种子密钥进行计算,生成挑战值。
12.根据权利要求1所述的方法,其特征在于,
所述步骤S1中,所述用户信息具体为用户名和密码。
13.根据权利要求1所述的方法,其特征在于,
所述步骤S2中,所述将所述认证请求发送至所述认证服务器,具体包括:所述应用服务器将所述认证请求发送至认证代理,所述认证代理接收到所述认证请求后,将所述认证请求发送至所述认证服务器;
所述步骤S9中,所述向所述应用服务器返回认证成功的认证结果,具体包括:所述认证服务器将认证成功的认证结果发送至所述认证代理,所述认证代理接收到所述认证成功的认证结果后,将所述认证成功的认证结果发送至所述应用服务器。
14.根据权利要求1所述的方法,其特征在于,所述步骤S5中,所述否则结束,具体包括:
当接收到用户选择取消登录时,所述移动终端令牌将所述认证服务器返回取消登录的授权结果;所述认证服务器接收到所述取消登录的授权结果后,向客户端返回取消登录的认证结果;所述客户端接收到所述取消登录的认证结果后,显示不允许登录的提示信息,结束;
当预设时间内未接收到用户选择操作时,所述移动终端令牌向所述认证服务器返回超时的授权结果;所述认证服务器接收到所述超时的授权结果后,向所述客户端返回超时的认证结果,所述客户端接收到所述超时的认证结果后,显示超时的提示信息,结束。
15.根据权利要求1所述的方法,其特征在于,所述步骤S9判断为否时,具体包括:
所述认证服务器向所述应用服务器返回认证失败的认证结果;
所述应用服务器接收到所述认证失败的认证结果后,向所述应用界面发送认证失败信息;
所述应用界面接收到所述认证失败信息后,显示认证失败的提示信息,结束。
16.根据权利要求1所述的方法,其特征在于,
所述步骤S4中,所述根据所述挑战值、所述令牌信息、所述用户信息和所述应用名称生成推送认证请求,具体包括:所述认证服务器生成认证请求ID,与所述用户信息建立关联并保存,根据所述挑战值、所述用户信息和所述认证请求ID生成推送认证请求;
所述步骤S7中,所述生成包含所述第一应答值和所述令牌信息的授权结果,具体包括:生成包含所述第一应答值、所述令牌信息和所述认证请求ID的授权结果;
所述步骤S8之前还包括:所述认证服务器从所述授权结果中获取认证请求ID,并获取保存的认证请求ID,判断所述授权结果中的认证请求ID与保存的认证请求ID是否相同,如果是,则执行步骤S8,否则将所述保存的认证请求ID删除,结束。
17.根据权利要求16所述的方法,其特征在于,
所述步骤S4还包括:所述认证服务器获取当前服务器时间,将其作为认证请求ID生成时间并保存;
所述步骤S8之前还包括:所述认证服务器获取保存的认证请求ID生成时间并获取接收到授权结果时的服务器时间,判断该服务器时间与所述认证请求ID生成时间之差是否在预设时间内,如果是,则所述认证请求ID有效,执行步骤S8,否则将所述保存的认证请求ID删除,结束。
18.根据权利要求1所述的方法,其特征在于,
所述步骤S7中,所述生成包含所述第一应答值的授权结果,具体包括:所述移动终端令牌生成包含第一应答值和所述令牌信息的授权结果;
所述步骤S8中,所述从所述授权结果中获取第一应答值,并获取对应保存的服务器种子密钥和挑战值,具体为:所述认证服务器从所述授权结果中获取第一应答值和所述令牌信息,根据所述令牌信息获取对应保存的服务器种子密钥和挑战值。
19.一种推送认证的***中认证服务器的工作方法,其特征在于,包括:
步骤T1:所述认证服务器接收到来自应用服务器的认证请求后,生成挑战值并保存,并从所述认证请求中获取用户信息和应用标识;
步骤T2:所述认证服务器根据所述用户信息获取对应的令牌信息和网络数据链路,并根据所述应用标识获取对应的应用名称;
步骤T3:所述认证服务器根据所述挑战值、所述令牌信息、所述用户信息和所述应用名称生成推送认证请求,并通过所述网络数据链路将所述推送认证请求推送至移动终端令牌;
步骤T4:所述认证服务器接收所述移动终端令牌返回的授权结果,从所述授权结果中获取第一应答值,并获取保存的服务器种子密钥和所述挑战值,对所述挑战值和所述服务器种子密钥进行计算,得到第二应答值;
步骤T5:所述认证服务器判断所述第一应答值和所述第二应答值是否匹配,如果是,则向所述应用服务器返回认证成功的认证结果,结束,否则向所述应用服务器返回认证失败的认证结果,结束。
20.根据权利要求19所述的方法,其特征在于,所述令牌信息包括令牌序列号;
所述将所述推送认证请求推送至移动终端令牌,具体为:所述认证服务器根据所述令牌序列号获取对应的移动终端令牌,将所述推送认证请求推送至所述移动终端令牌。
21.根据权利要求19所述的方法,其特征在于,所述令牌信息包括令牌标识码;
所述根据所述挑战值、所述令牌信息、所述用户信息和所述应用名称生成推送认证请求,具体包括:所述认证服务器应用所述令牌标识码对所述挑战值进行加密,得到挑战值密文,根据所述挑战值密文、所述令牌信息、所述用户信息和所述应用名称生成推送认证请求。
22.根据权利要求19所述的方法,其特征在于,所述步骤T1中,所述生成挑战值,具体为:所述认证服务器调用随机数生成函数,生成随机数,将所述随机数作为挑战值。
23.根据权利要求19所述的方法,其特征在于,所述步骤T1中,所述生成挑战值,具体为:所述认证服务器根据所述认证请求中的用户信息获取对应保存的所述服务器种子密钥,对所述服务器种子密钥进行计算,生成挑战值。
24.根据权利要求19所述的方法,其特征在于,所述步骤T4中,所述对所述挑战值和所述服务器种子密钥进行计算,得到第二应答值,具体包括:所述认证服务器获取服务器当前时间,应用预设口令生成算法,对所述服务器当前时间、所述挑战值、所述服务器种子密钥和动态因子进行计算,得到第二应答值。
25.根据权利要求19所述的方法,其特征在于,所述步骤T2中,所述根据所述用户信息获取对应的令牌信息和网络数据链路,具体包括:所述认证服务器判断根据所述用户信息是否能够获取到对应的令牌信息和网络数据链路,如果是,则获取得到对应的令牌信息和网络数据链路,否则向所述应用服务器返回错误响应,结束。
26.一种推送认证的***中移动终端令牌的工作方法,其特征在于,包括:
步骤K1:所述移动终端令牌接收来自认证服务器的推送认证请求;
步骤K2:所述移动终端令牌从所述推送认证请求中获取用户信息和应用名称,根据所述用户信息和所述应用名称生成登录信息并显示;
步骤K3:所述移动终端令牌接收用户对登录信息的选择,当接收到用户选择确认登录时,执行步骤K4,否则结束;
步骤K4:所述移动终端令牌从所述推送认证请求中获取挑战值,并获取保存的令牌种子密钥,对所述挑战值和所述令牌种子密钥进行计算,生成第一应答值;
步骤K5:所述移动终端令牌根据所述第一应答值生成允许登录的授权结果,并通过网络数据链路发送至所述认证服务器,令牌操作结束。
27.根据权利要求26所述的方法,其特征在于,所述根据所述第一应答值生成允许登录的授权结果,具体包括:所述移动终端令牌从所述推送认证请求中获取令牌信息,根据所述第一应答值和所述令牌信息生成允许登录的授权结果。
28.根据权利要求27所述的方法,其特征在于,所述令牌信息包括令牌标识码;
所述步骤K4中,所述从所述推送认证请求中获取挑战值,具体包括:所述移动终端令牌从所述推送认证请求中获取挑战值密文,并获取保存的令牌标识码,应用所述令牌标识码对所述挑战值密文进行解密,得到挑战值。
29.根据权利要求27所述的方法,其特征在于,所述令牌信息包括令牌标识码和移动终端操作***;
所述步骤K2之前还包括:所述移动终端令牌从所述推送认证请求中获取令牌标识码和移动终端操作***,并获取保存的令牌标识码和移动终端操作***,判断所述推送认证请求中的令牌标识码和移动终端操作***和所述保存的令牌标识码和移动终端操作***是否相同,如果是,则执行步骤K2,否则向所述认证服务器返回令牌信息不正确响应,结束。
30.根据权利要求27所述的方法,其特征在于,所述步骤K2中,所述根据所述用户信息和所述应用名称生成登录信息,具体包括:
所述移动终端令牌获取令牌当前时间,根据所述用户信息、所述应用名称和所述令牌当前时间对预设格式进行填充,得到登录信息。
31.根据权利要求26所述的方法,其特征在于,所述方法还包括:
当所述移动终端令牌启动时,获取内部保存的访问地址,根据所述访问地址访问所述认证服务器,建立所述移动终端令牌与所述认证服务器之间的网络数据链路,通过所述网络数据链路将令牌特征数据发送至所述认证服务器。
32.根据权利要求26所述的方法,其特征在于,所述步骤K4中,所述对所述挑战值和所述令牌种子密钥进行计算,生成第一应答值,具体包括:所述移动终端令牌从所述推送认证请求中获取服务器时间,应用预设口令生成算法,对所述挑战值、所述服务器时间、所述令牌种子密钥和动态因子进行计算,生成第一应答值。
33.根据权利要求32所述的方法,其特征在于,当所述动态因子包含事件型动态因子时,所述步骤K5还包括:所述移动终端令牌更新事件型动态因子。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510089797.1A CN104639562B (zh) | 2015-02-27 | 2015-02-27 | 一种推送认证的***和设备的工作方法 |
| US15/552,517 US10887103B2 (en) | 2015-02-27 | 2016-02-24 | Operating method for push authentication system and device |
| PCT/CN2016/074468 WO2016134657A1 (zh) | 2015-02-27 | 2016-02-24 | 一种推送认证的***和设备的工作方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510089797.1A CN104639562B (zh) | 2015-02-27 | 2015-02-27 | 一种推送认证的***和设备的工作方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104639562A CN104639562A (zh) | 2015-05-20 |
| CN104639562B true CN104639562B (zh) | 2018-03-13 |
Family
ID=53217875
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510089797.1A Active CN104639562B (zh) | 2015-02-27 | 2015-02-27 | 一种推送认证的***和设备的工作方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104639562B (zh) |
Families Citing this family (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105141628B (zh) * | 2015-09-18 | 2018-06-29 | 飞天诚信科技股份有限公司 | 一种实现推送的方法及装置 |
| WO2016134657A1 (zh) * | 2015-02-27 | 2016-09-01 | 飞天诚信科技股份有限公司 | 一种推送认证的***和设备的工作方法 |
| CN104917766B (zh) * | 2015-06-10 | 2018-01-05 | 飞天诚信科技股份有限公司 | 一种二维码安全认证方法 |
| CN105162785B (zh) * | 2015-09-07 | 2019-01-04 | 飞天诚信科技股份有限公司 | 一种基于认证设备进行注册的方法和设备 |
| CN105187450B (zh) * | 2015-10-08 | 2019-05-10 | 飞天诚信科技股份有限公司 | 一种基于认证设备进行认证的方法和设备 |
| JP6677496B2 (ja) * | 2015-12-08 | 2020-04-08 | キヤノン株式会社 | 認証連携システム及び認証連携方法、認可サーバー、アプリケーションサーバー及びプログラム |
| JP6682254B2 (ja) * | 2015-12-08 | 2020-04-15 | キヤノン株式会社 | 認証連携システム及び認証連携方法、認可サーバー及びプログラム |
| CN105553674B (zh) * | 2016-01-11 | 2019-06-18 | 飞天诚信科技股份有限公司 | 一种交互***、智能密钥设备、服务器及工作方法 |
| CN107124390B (zh) * | 2016-02-25 | 2021-05-04 | 阿里巴巴集团控股有限公司 | 计算设备的安全防御、实现方法、装置及*** |
| KR102035312B1 (ko) * | 2016-04-25 | 2019-11-08 | (주)이스톰 | 사용자 중심의 인증 방법 및 시스템 |
| WO2018010146A1 (zh) | 2016-07-14 | 2018-01-18 | 华为技术有限公司 | 一种虚拟网络计算认证中应答的方法、装置、***和代理服务器 |
| CN107645473B (zh) * | 2016-07-20 | 2020-09-22 | 平安科技(深圳)有限公司 | 数据安全保护的方法和装置 |
| CN106921663B (zh) * | 2017-03-03 | 2020-04-10 | 浙江智贝信息科技有限公司 | 基于智能终端软件/智能终端的身份持续认证***及方法 |
| CN107222460B (zh) * | 2017-05-03 | 2019-10-08 | 飞天诚信科技股份有限公司 | 一种服务器数据存储空间共享的方法及装置 |
| CN109756452A (zh) * | 2017-11-03 | 2019-05-14 | ***通信有限公司研究院 | 一种安全认证方法、装置和计算机可读存储介质 |
| CN109842594B (zh) * | 2017-11-28 | 2021-08-10 | ***通信集团浙江有限公司 | 一种电话号码验证方法、能力开放平台及验证平台 |
| CN108234451A (zh) * | 2017-12-11 | 2018-06-29 | 厦门亿力吉奥信息科技有限公司 | 电力内外网请求转发代理方法及计算机可读存储介质 |
| CN108123957B (zh) * | 2017-12-29 | 2020-10-13 | 飞天诚信科技股份有限公司 | 一种登录虚拟专用网络服务器的多方式认证的方法及装置 |
| WO2019226115A1 (en) * | 2018-05-23 | 2019-11-28 | Sixscape Communications Pte Ltd | Method and apparatus for user authentication |
| CN109005159B (zh) * | 2018-07-03 | 2021-02-19 | 中国联合网络通信集团有限公司 | 终端访问***服务器的数据处理方法与认证服务器 |
| CN109377679A (zh) * | 2018-09-03 | 2019-02-22 | 深圳壹账通智能科技有限公司 | 取款方法及终端设备 |
| CN110430202B (zh) * | 2019-08-09 | 2022-09-16 | 百度在线网络技术(北京)有限公司 | 认证方法及装置 |
| CN114553814B (zh) * | 2020-10-27 | 2024-02-09 | 花瓣云科技有限公司 | 处理推送消息的方法和装置 |
| CN113781200A (zh) * | 2021-08-12 | 2021-12-10 | 南京星云数字技术有限公司 | 自动征信授权方法、***以及电子设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101674304A (zh) * | 2009-10-15 | 2010-03-17 | 浙江师范大学 | 一种网络身份认证***及方法 |
| CN102281142A (zh) * | 2011-08-01 | 2011-12-14 | 句容市盛世软件有限公司 | 用户身份识别*** |
| CN103902880A (zh) * | 2014-03-31 | 2014-07-02 | 上海动联信息技术股份有限公司 | 基于挑战应答型动态口令的Windows***双因素认证方法 |
| CN104348612A (zh) * | 2013-07-23 | 2015-02-11 | 腾讯科技(深圳)有限公司 | 一种基于移动终端的第三方网站登录方法和移动终端 |
-
2015
- 2015-02-27 CN CN201510089797.1A patent/CN104639562B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101674304A (zh) * | 2009-10-15 | 2010-03-17 | 浙江师范大学 | 一种网络身份认证***及方法 |
| CN102281142A (zh) * | 2011-08-01 | 2011-12-14 | 句容市盛世软件有限公司 | 用户身份识别*** |
| CN104348612A (zh) * | 2013-07-23 | 2015-02-11 | 腾讯科技(深圳)有限公司 | 一种基于移动终端的第三方网站登录方法和移动终端 |
| CN103902880A (zh) * | 2014-03-31 | 2014-07-02 | 上海动联信息技术股份有限公司 | 基于挑战应答型动态口令的Windows***双因素认证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104639562A (zh) | 2015-05-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104639562B (zh) | 一种推送认证的***和设备的工作方法 | |
| CN104539701B (zh) | 一种在线激活移动终端令牌的设备和***的工作方法 | |
| CN104660416B (zh) | 一种语音认证***和设备的工作方法 | |
| CN105024819B (zh) | 一种基于移动终端的多因子认证方法及*** | |
| CN104506534B (zh) | 安全通信密钥协商交互方案 | |
| US10887103B2 (en) | Operating method for push authentication system and device | |
| CN107222460B (zh) | 一种服务器数据存储空间共享的方法及装置 | |
| CN104486343B (zh) | 一种双因子双向认证的方法及*** | |
| CN107040513B (zh) | 一种可信访问认证处理方法、用户终端和服务端 | |
| CN105516195B (zh) | 一种基于应用平台登录的安全认证***及其认证方法 | |
| US8775794B2 (en) | System and method for end to end encryption | |
| CN107733852A (zh) | 一种身份验证方法及装置,电子设备 | |
| CN103974248B (zh) | 在能力开放***中的终端安全性保护方法、装置及*** | |
| CN103875211B (zh) | 一种互联网账号管理方法、管理器、服务器和*** | |
| CN107612889B (zh) | 防止用户信息泄露的方法 | |
| CN105142139B (zh) | 验证信息的获取方法及装置 | |
| JP2009537893A (ja) | 無線トランザクションの認証方法 | |
| CN105681030B (zh) | 密钥管理***、方法及装置 | |
| CN101873331A (zh) | 一种安全认证方法和*** | |
| Hallsteinsen et al. | Using the mobile phone as a security token for unified authentication | |
| CN108111497A (zh) | 摄像机与服务器相互认证方法和装置 | |
| CN104463584B (zh) | 实现移动端App安全支付的方法 | |
| CN113065115A (zh) | 基于oauth2.0实现小程序登录安全和无网络隔离下认证鉴权方法 | |
| CN104506321A (zh) | 一种更新动态令牌中种子数据的方法 | |
| CN106453321A (zh) | 一种认证服务器、***和方法及待认证终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| OL01 | Intention to license declared | ||
| OL01 | Intention to license declared |