CN107395566A - 认证方法及装置 - Google Patents
认证方法及装置 Download PDFInfo
- Publication number
- CN107395566A CN107395566A CN201710459145.1A CN201710459145A CN107395566A CN 107395566 A CN107395566 A CN 107395566A CN 201710459145 A CN201710459145 A CN 201710459145A CN 107395566 A CN107395566 A CN 107395566A
- Authority
- CN
- China
- Prior art keywords
- account
- authentication information
- server
- certification
- application server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本公开是关于认证方法及装置。该方法包括:拦截商业应用服务器发送至账号认证服务器的第一认证请求;其中,所述第一认证请求包括账号和认证信息;从第三方服务器获取与所述账号对应的目标认证信息;根据所述认证信息与所述目标认证信息,对所述第一认证请求进行响应。该技术方案能够实现基于第三方的账号认证,降低密码泄露的风险。
Description
技术领域
本公开涉及信息安全技术领域,尤其涉及认证方法及装置。
背景技术
单点登录(SSO,Single Sign On)是指在多个应用***并存的环境下,用户只需要登录一次就可以访问所有相互信任的应用***。SSO涉及的领域大致上可以分为三种:社会性网站间的SSO、部门SSO、企业级SSO,其中:社会性网站间的SSO主要涉及帐号信息开放性问题,能否实施成功主要取决于各网站帐号管理是否遵循相同的标准协议;部门级SSO比较简单,适用于涉及的***不多的场景,由技术人员通过编程方式实现即可;企业级SSO涉及的***较多,包括客户端/服务器(C/S)结构***、企业管理软件***、或者非web登录方式(如windows域登录),企业级SSO的安全性要求高于社会性网站间的SSO及部门SSO,如要求同享登录有效时间等。企业级SSO是企业常用的业务整合解决方案之一。
微软的系列商业产品因为易于搭建、功能完备,广泛应用于企业内部邮件服务器;用户希望在企业级SSO中也支持微软的展望网页应用(OWA,Outlook Web App)。但是因为微软商业产品的封闭性,导致基于微软的OWA邮件服务器,客户端软件Outlook难以与单点登录服务、二阶段认证服务进行集成,Outlook难以接入SSO服务;这就存在如下问题:a)用户每次登录***都需要输入账号和密码,用户体验差;b)邮件服务暴露在外网环境中,黑客在了解***登录协议的情况下,会使用暴力破解的方式对公司内部账号进行弱密码扫描,导致内网安全漏洞。微软虽然也推出了微软商用单点登录方案,但是微软商用单点登录方案支持的协议有限,无法满足复杂的企业内部信息化需求,如微软商用单点登录方案可能不支持用户需要的二阶段认证。
为了在企业级SSO中也支持微软的OWA,将Outlook接入SSO服务,使得在用户访问OWA邮件服务器时支持基于二阶段认证的认证方式,相关技术通常采用集中式认证服务(CAS,Central Authentication Service)的访问管理(ClearPass)技术,具体包括:在单点登录服务器上保存用户账号与密码的对应关系,当用户访问OWA邮件服务器时,不要求用户重复输入密码,直接通过单点登录已保存的密码,自动登录OWA邮件服务器。
发明内容
为克服相关技术中存在的问题,本公开实施例提供一种认证方法及装置。所述技术方案如下:
根据本公开实施例的第一方面,提供一种认证方法,应用于代理服务器,方法包括:
拦截商业应用服务器发送至账号认证服务器的第一认证请求;其中,所述第一认证请求包括账号和认证信息;
从第三方服务器获取与所述账号对应的目标认证信息;
根据所述认证信息与所述目标认证信息,对所述第一认证请求进行响应。
本公开的实施例提供的技术方案可以包括以下有益效果:该技术方案中商业应用服务器发起认证请求时可以不用携带账户密码而是携带与账号对应的认证信息,基于代理服务器拦截商业应用服务器发送至账号认证服务器的认证请求,实现基于第三方的账号认证,账号认证过程可以不携带密码原文,能够防止暴力破解,降低密码泄露的安全风险,如此,能够提高用户体验。
在一个实施例中,所述根据所述认证信息与所述目标认证信息,对所述第一认证请求进行响应,包括:
在所述认证信息与所述目标认证信息匹配时,向所述商业应用服务器发送认证成功响应;或者,
在所述认证信息与所述目标认证信息不匹配时,向所述商业应用服务器发送认证失败响应。
在一个实施例中,拦截商业应用服务器发送至账号认证服务器的第一认证请求,包括:
接收商业应用服务器发送至账号认证服务器的第一认证请求;
在所述认证信息的类型与预设类型匹配时,拦截所述第一认证请求。
在一个实施例中,所述认证信息包括:
票据或第一密码,所述票据由所述商业应用服务器从单点登录服务器获取;所述第一密码,与所述账号及所述商业应用服务器相对应,仅用于使用所述账号访问所述商业应用服务器时的认证。
在一个实施例中,所述认证信息包括第二密码和动态令牌,所述第二密码用于使用所述账号访问一个以上的应用服务器时的认证;所述从第三方服务器获取与所述账号对应的目标认证信息,根据所述认证信息与所述目标认证信息,对所述第一认证请求进行响应,包括:
从第三方服务器获取与所述账号对应的目标动态令牌;
在所述动态令牌与所述目标动态令牌匹配时,向所述账号认证服务器发送第二认证请求;其中,所述第二认证请求包括所述账号和第二密码;
在接收到所述账号认证服务器返回的第二认证成功响应时,向所述商业应用服务器发送认证成功响应。
根据本公开实施例的第二方面,提供一种认证装置,包括:
拦截模块,用于拦截商业应用服务器发送至账号认证服务器的第一认证请求;其中,所述第一认证请求包括账号和认证信息;
获取模块,用于从第三方服务器获取与所述账号对应的目标认证信息;
判断模块,用于响应模块,用于根据所述认证信息与所述目标认证信息,对所述第一认证请求进行响应。
在一个实施例中,所述响应模块,在所述认证信息与所述目标认证信息匹配时,向所述商业应用服务器发送认证成功响应;或者,在所述认证信息与所述目标认证信息不匹配时,向所述商业应用服务器发送认证失败响应。
在一个实施例中,拦截模块,包括:
第一接收子模块,用于接收商业应用服务器发送至账号认证服务器的第一认证请求;
拦截子模块,用于在所述认证信息的类型与预设类型匹配时,拦截所述第一认证请求。
在一个实施例中,所述认证信息包括第二密码和动态令牌,所述第二密码用于使用所述账号访问一个以上的应用服务器时的认证;
获取模块,从第三方服务器获取与所述账号对应的目标动态令牌;
响应模块,在所述动态令牌与所述目标动态令牌匹配时,向所述账号认证服务器发送第二认证请求;其中,所述第二认证请求包括所述账号和第二密码;在接收到所述账号认证服务器返回的第二认证成功响应时,向所述商业应用服务器发送认证成功响应。
根据本公开实施例的第三方面,提供一种认证装置,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为:
拦截商业应用服务器发送至账号认证服务器的第一认证请求;其中,所述第一认证请求包括账号和认证信息;
从第三方服务器获取与所述账号对应的目标认证信息;
根据所述认证信息与所述目标认证信息,对所述第一认证请求进行响应。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
图1是根据一示例性实施例示出的认证方法的应用场景图。
图2是根据一示例性实施例示出的认证方法的流程图。
图3是根据一示例性实施例示出的认证方法的流程图。
图4是根据一示例性实施例示出的认证方法的流程图。
图5是根据一示例性实施例示出的认证装置的框图。
图6是根据一示例性实施例示出的认证装置的框图。
图7是根据一示例性实施例示出的认证装置的框图。
图8是根据一示例性实施例示出的认证装置的框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。
企业级SSO是企业常用的业务整合解决方案之一,用户希望将Outlook接入SSO服务,但是因为微软商业产品的封闭性,导致基于微软OWA邮件服务器,Outlook难以接入SSO服务;这就存在以下问题:a)用户每次登录***都需要输入账号和密码,用户体验差;b)邮件服务暴露在外网环境中,黑客在了解***登录协议的情况下,会使用暴力破解的方式对公司内部账号进行弱密码扫描,导致内网安全漏洞。
相关技术中,采用CAS的ClearPass技术将Outlook接入SSO服务,具体包括:在单点登录服务器保存用户账号与密码的对应关系,用户访问OWA邮件服务器时,不要求用户重复输入密码,直接通过单点登录已保存的密码,自动登录OWA邮件服务器。然而,相关技术存在如下问题:1)安全隐患,单点登录服务器会保存用户密码原文,即便是对原文进行加密,也存在加密算法与秘钥丢失后,导致所有账号密码泄露的风险;2)用户通过其他方式修改密码后,无法立刻反馈至单点登录服务器,单点登录服务器可能依然记录修改前的密码,导致后续认证失败;并且,账号认证过程中需要携带密码原文,存在密码被暴力破解而造成密码泄露的风险;如此,会影响用户体验。
为了解决上述问题,本公开实施例提供了一种认证方法,包括:拦截商业应用服务器发送至账号认证服务器的第一认证请求;其中,第一认证请求包括账号和认证信息;从第三方服务器获取与账号对应的目标认证信息;根据所述认证信息与所述目标认证信息,对所述第一认证请求进行响应。本公开实施例提供的技术方案可以用于实现基于第三方的账号认证,账号认证过程可以不携带密码原文,能够防止暴力破解,降低密码泄露的安全风险;该技术方案涉及代理服务器、商业应用服务器和第三方服务器,商业应用服务器例如是微软的OWA邮件服务器。
请参见图1,图1示例性地示出的应用场景中包括:客户端110、商业应用服务器120、代理服务器130、第三方服务器140和账号认证服务器150,商业应用服务器120例如是微软的OWA邮件服务器,这些设备通过无线或有线网络进行通信;需要说明的是,图1示出的应用场景可以包括一个或多个不同类型的商业应用服务器。实际中,图1示出的应用场景还可以包括单点登录服务器,单点登录服务器分别与商业应用服务器120和第三方服务器140连接。具体地,客户端110请求商业应用服务器120对用户的账号进行认证;商业应用服务器120向账号认证服务器150发送携带账号和认证信息的第一认证请求;代理服务器130拦截第一认证请求,从第三方服务器140获取与账号对应的目标认证信息,根据所述认证信息与所述目标认证信息,对所述第一认证请求进行响应,向商业应用服务120发送认证结果,商业应用服务120告知客户端110认证结果;从而实现基于第三方的账号认证,账号认证过程可以不携带密码原文,能够防止暴力破解,降低密码泄露的安全风险。
图2是根据一示例性实施例示出的一种认证方法的流程图,该方法的执行主体可以为代理服务器,如图2所示,该方法包括以下步骤201-203:
在步骤201中,拦截商业应用服务器发送至账号认证服务器的第一认证请求;
本实施例中,第一认证请求包括账号和账号对应的认证信息。示例的,认证信息可以不是账号对应的账户密码,例如,认证信息可以是票据或第一密码;票据为唯一散列,票据的有效期为预设时长,例如设置为每天过期,降低泄漏导致的安全风险;第一密码,与所述账号及所述商业应用服务器相对应,仅用于使用所述账号访问所述商业应用服务器时的认证,是为该商业应用服务器所支持的商业应用设置的专用密码,只能登陆该商业应用服务器,即使泄露也不会危及其他***。认证信息还可以包括第二密码和动态令牌,所述第二密码用于使用所述账号访问一个以上的应用服务器时的认证。
示例的,拦截商业应用服务器发送至账号认证服务器的第一认证请求的具体实现方式可以包括:代理服务器接收商业应用服务器发送至账号认证服务器的第一认证请求;解析第一认证请求获取认证信息;在所述认证信息的类型与预设类型匹配时拦截第一认证请求。预设类型可以为票据、第一密码或动态令牌。
在步骤202中,从第三方服务器获取与账号对应的目标认证信息;
示例的,第三方服务器中保存有与账号对应的认证信息;第三方服务器也可以按照预先设定的需求,生成账号对应的目标认证信息。
代理服务器拦截到商业应用服务器发送至账号认证服务器的第一认证请求后,向第三方服务器发送查询请求;第三方服务器向代理服务器返回与账号对应的目标认证信息。
在步骤203中,根据所述认证信息与所述目标认证信息,对所述第一认证请求进行响应。
示例的,代理服务器判断认证信息与目标认证信息是否匹配:在所述认证信息与所述目标认证信息匹配时,代理服务器向所述商业应用服务器发送认证成功响应;商业应用服务器告知客户端认证成功。在所述认证信息与所述目标认证信息不匹配时,代理服务器向所述商业应用服务器发送认证失败响应;商业应用服务器告知客户端认证失败。
本公开的实施例提供的技术方案中,商业应用服务器在发起认证请求时可以不用携带账户密码而是携带与账号对应的认证信息,通过代理服务器拦截商业应用服务器发送至账号认证服务器的认证请求,实现基于第三方的账号认证,账号认证过程可以不携带密码原文,能够防止暴力破解,降低密码泄露的安全风险,如此,能够提高用户体验。
图3是根据一示例性实施例示出的一种认证方法的流程图,本实施例中认证方式为基于票据的认证方式。如图3所示,该方法包括以下步骤:
在步骤301中,客户端向商业应用服务器发送针对用户的账号的第一认证请求;
在步骤302中,商业应用服务器向单点登录服务器发送票据请求;
在步骤303中,单点登录服务器从第三方服务器获取与账号对应的票据;示例的,单点登录服务器向第三方服务器发送请求;第三方服务器向单点登录服务器返回与账号对应的票据;
在步骤304中,单点登录服务器将票据返回至商业应用服务器;
示例的,票据为唯一散列,票据的有效期为预设时长,例如设置为每天过期,降低泄漏导致的安全风险。
在步骤305中,商业应用服务器向账号认证服务器发送携带账号和票据的第一认证请求;
示例的,代理服务器拦截商业应用服务器发送至账号认证服务器的第一认证请求;具体实现方式可以包括:代理服务器接收商业应用服务器发送至账号认证服务器的第一认证请求;解析第一认证请求获取票据;在预设类型为票据时拦截第一认证请求。
在步骤306中,代理服务器根据账号从第三方服务器获取与账号对应的目标票据;
示例的,代理服务器向第三方服务器发送携带账号的认证信息请求;第三方服务器向代理服务器返回与账号对应的目标票据;
在步骤307中,代理服务器使用目标票据对票据进行检验,得到认证结果;示例的,在票据与目标票据匹配时,向商业应用服务器发送认证成功响应;在票据与目标票据不匹配时,向商业应用服务器发送认证失败响应。
在步骤308中,向商业应用服务器发送认证结果;
在步骤309中,商业应用服务器向客户端反馈认证结果。
本公开的实施例提供的技术方案中用户在非首次登录商业应用服务器时只需要输入用户账号且不需要输入密码,商业应用服务器通过单点登录服务器从第三方服务器获取与用户账号对应的票据,商业应用服务器在向账号认证服务器发起认证请求时不携带密码而是携带与账号对应的票据,代理服务器拦截商业应用服务器发送至账号认证服务器的认证请求,从第三方服务器获取与用户账号对应目标票据并进行匹配校验,在票据与目标票据匹配时,向商业应用服务器发送认证成功响应;在票据与目标票据不匹配时,向商业应用服务器发送认证失败响应;从而实现基于第三方的账号认证,用户在访问商业应用服务器时不需要每次都输入密码,方便用户使用;账号认证过程不携带密码原文,能够防止暴力破解,降低密码泄露的安全风险,如此,能够提高用户体验。
图4是根据一示例性实施例示出的一种认证方法的流程图,如图4所示,该方法包括以下步骤:
在步骤401中,客户端向商业应用服务器发送针对用户的账号的第一认证请求;
示例的,第一认证请求包括账号和认证信息;认证信息包括:第一密码,或者,第二密码和动态令牌;所述第一密码,与所述账号及所述商业应用服务器相对应,仅用于使用所述账号访问所述商业应用服务器时的认证;所述第二密码用于使用所述账号访问一个以上的应用服务器时的认证。
在步骤402中,商业应用服务器向账号认证服务器发送携带账号和认证信息的第一认证请求;
在步骤403中,代理服务器拦截商业应用服务器发送至账号认证服务器的第一认证请求;
示例的,代理服务器拦截商业应用服务器发送至账号认证服务器的第一认证请求的具体实现方式可以包括:代理服务器接收商业应用服务器发送至账号认证服务器的第一认证请求;通过解析第一认证请求获取认证信息;在认证信息为第一密码、预设类型为专用密码时拦截第一认证请求,或者,在认证信息为第二密码和动态令牌、预设类型为动态令牌时拦截第一认证请求。
在步骤404中,代理服务器根据认证信息确定第一认证请求采用的认证方式;在认证信息为第二密码和动态令牌,确定第一认证请求采用基于第三方的二阶段认证方式,转到步骤405;在第一认证请求采用密码认证方式时,转到步骤406;在认证信息为第一密码,确定第一认证请求采用基于第三方的第一密码认证方式,转到步骤407;
在步骤405中,代理服务器根据账号从第三方服务器获取与账号对应的目标动态令牌;转到步骤408;
示例的,代理服务器根据账号从第三方服务器获取与账号对应的目标动态令牌,包括:代理服务器向第三方服务器(例如动态令牌服务器)发送携带账号的认证信息请求;第三方服务器向代理服务器返回与账号对应的目标动态令牌。二阶段认证的认证信息包括:第二密码(用户的账号密码原文)和动态令牌组成,动态令牌验证通过后再认证账号密码,可以防止暴力破解。
在步骤406中,代理服务器将第一认证请求透传给账号认证服务器;转到步骤411;
在步骤407中,代理服务器根据账号从第三方服务器获取与账号对应的目标第一密码;转到步骤410;
示例的,基于第三方的第一密码认证方式是为商业应用服务器所支持的应用设置第一密码,第一密码仅用于登陆该商业应用服务器,例如OWA服务器,即使该第一密码泄露,也不会危及企业网络中的其他应用***的安全。
在步骤408中,代理服务器判断动态令牌与目标动态令牌是否匹配;在判定动态令牌与目标动态令牌匹配时,转到步骤409;否则转到步骤413;
在步骤409中,代理服务器使用第二密码向账号认证服务器请求进行密码认证,例如,代理服务器向账号认证服务器发送携带第二密码的第二认证请求;转到步骤411;
在步骤410中,代理服务器判断第一密码与目标第一密码是否匹配;在判定第一密码与目标第一密码匹配时,转到步骤412;否则转到步骤413;
在步骤411中,确定密码认证是否成功;接收到账号认证服务器发送的密码认证成功消息时,转到步骤412;接收到账号认证服务器发送的密码认证失败消息时,转到步骤413;
在步骤412中,接收到账号认证服务器发送的密码认证成功消息时,向商业应用服务器发送认证成功响应;
在步骤413中,接收到账号认证服务器发送的密码认证失败消息时,向商业应用服务器发送认证失败响应。
本公开的实施例提供的技术方案支持基于第三方的二阶段认证方式和第一密码认证等方式,能够防止暴力破解,降低密码泄露的安全风险,提高***安全和用户体验。
作为一种可能的实施例,这里提供一种基于企业内网请求拦截的设备认证式方案,让方案通过无侵入的代理方式,实现对OWA邮件服务器的认证服务改造,支持用户使用第三方提供的二阶段认证,专用账号认证的方式,提高用户体验的同时,提高***安全性,避免OWA成为***安全漏洞,方案包括:在OWA与后台应用服务器之间添加一层代理层,该代理层专门用于拦截认证请求,当认证请求由OWA传递至后台时,代理层将根据认证的账号,向第三方服务中提取二阶段认证所需的动态令牌或第一密码,并进行对应的校验,若认证成功,将仿造后台服务响应返回对应信息,若认证失败,将返回对应的失败信息。通过代理方式拦截OWA邮件服务器与后台应用服务器之间的认证请求,通过拦截代理实现对原本难以支持单点登录与第三方二阶段认证的服务进行安全加固。
此处处理的认证服务将包含两种具体的操作方案:第一种情况,将完全拦截OWA的认证请求,此种情况下不会向认证服务器发送任何请求,代理层将完全仿冒认证服务器进行认证服务;第二种情况,当后台应用服务器除了提供认证服务,还要提供后续的会话服务,状态服务,接口服务等多项操作,需要实际进行认证操作,此种处理情况更为复杂,需要根据后台应用服务器的需求进行定制,实现第一密码及设备绑定等辅助功能协同实现认证功能。
本公开的实施例提供的技术方案通过无侵入的代理方式,避免OWA邮件服务器等商业服务器难以通过修改源码或接口实现功能改造的问题。引入代理层后,并不会影响用户的使用习惯,同时可以支持第三方的二阶段认证,可以显著提升OWA的安全级别。
下述为本公开装置实施例,可以用于执行本公开方法实施例。
图5是根据一示例性实施例示出的一种认证装置的框图;该装置可以采用各种方式来实施,例如在代理服务器中实施装置的全部组件,或者,在代理服务器侧以耦合的方式实施装置中的组件;该装置可以通过软件、硬件或者两者的结合实现上述本公开涉及的方法,如图5所示,该认证装置包括:拦截模块501、获取模块502及响应模块503,其中:
拦截模块501被配置为拦截商业应用服务器发送至账号认证服务器的第一认证请求;其中,第一认证请求包括账号和认证信息;
获取模块502被配置为根据账号从第三方服务器获取与账号对应的目标认证信息;
响应模块503被配置为根据所述认证信息与所述目标认证信息,对所述第一认证请求进行响应。
本公开实施例提供的认证装置,通过配置拦截模块501拦截商业应用服务器发送至账号认证服务器的第一认证请求,获取模块502从第三方服务器获取与账号对应的目标认证信息;响应模块503根据所述认证信息与所述目标认证信息,对所述第一认证请求进行响应,实现实现基于第三方的账号认证,账号认证过程可以不携带密码原文,能够防止暴力破解,降低密码泄露的安全风险,如此,能够提高用户体验。
在一种可能的实施方式中,响应模块503,在所述认证信息与所述目标认证信息匹配时,向所述商业应用服务器发送认证成功响应;或者,在所述认证信息与所述目标认证信息不匹配时,向所述商业应用服务器发送认证失败响应。
在一种可能的实施方式中,如图6所示,图5示出的认证装置还可以包括把拦截模块501配置成包括:第一接收子模块601和拦截子模块602,其中:
第一接收子模块601被配置为接收商业应用服务器发送至账号认证服务器的第一认证请求;
拦截子模块602被配置为在所述认证信息的类型与预设类型匹配时,拦截所述第一认证请求。
在一种可能的实施方式中,认证信息包括第二密码和动态令牌,所述第二密码用于使用所述账号访问一个以上的应用服务器时的认证。获取模块502从第三方服务器获取与账号对应的目标动态令牌;响应模块503,在所述动态令牌与所述目标动态令牌匹配时,向所述账号认证服务器发送第二认证请求;其中,所述第二认证请求包括所述账号和第二密码;在接收到所述账号认证服务器返回的第二认证成功响应时,向所述商业应用服务器发送认证成功响应。
图7是根据一示例性实施例示出的一种认证装置700的框图,认证装置700可以采用各种方式来实施,例如在代理服务器中实施装置的全部组件,或者,在代理服务器侧以耦合的方式实施装置中的组件;认证装置700包括:
处理器701;
用于存储处理器可执行指令的存储器702;
其中,处理器701被配置为:拦截商业应用服务器发送至账号认证服务器的认证请求;其中,认证请求包括账号和认证信息;从第三方服务器获取与账号对应的目标认证信息;根据所述认证信息与所述目标认证信息,对所述第一认证请求进行响应。
在一个实施例中,上述处理器701还可被配置为:在所述认证信息与所述目标认证信息匹配时,向所述商业应用服务器发送认证成功响应;或者,在所述认证信息与所述目标认证信息不匹配时,向所述商业应用服务器发送认证失败响应。
在一个实施例中,上述处理器701还可被配置为:接收商业应用服务器发送至账号认证服务器的第一认证请求;在所述认证信息的类型与预设类型匹配时,拦截所述第一认证请求。
在一个实施例中,上述处理器701还可被配置为:从第三方服务器获取与账号对应的目标动态令牌;在动态令牌与目标动态令牌匹配时,向账号认证服务器发送第二认证请求;其中,第二认证请求包括账号和第二密码;在接收到账号认证服务器返回的第二认证成功响应时,向商业应用服务器发送认证成功响应;其中,认证信息包括第二密码和动态令牌,所述第二密码用于使用所述账号访问一个以上的应用服务器时的认证。
上述本公开实施例提供的认证装置拦截商业应用服务器发送至账号认证服务器的认证请求,实现基于第三方的账号认证,账号认证过程可以不携带密码原文,能够防止暴力破解,降低密码泄露的安全风险,如此,能够提高用户体验。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
图8是根据一示例性实施例示出的一种认证装置的框图。例如,认证装置800可以被提供为一专门服务器。认证装置800包括处理组件802,其进一步包括一个或多个处理器,以及由存储器803所代表的存储器资源,用于存储可由处理组件802的执行的指令,例如应用程序。存储器803中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外,处理组件802被配置为执行指令,以执行上述方法。
认证装置800还可以包括一个电源组件806被配置为执行认证装置800的电源管理,一个有线或无线网络接口805被配置为将认证装置800连接到网络,和一个输入输出(I/O)接口808。认证装置800可以操作基于存储在存储器803的操作***,例如WindowsServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM或类似。
本领域技术人员在考虑说明书及实践这里公开的公开后,将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由下面的权利要求指出。
应当理解的是,本公开并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限制。
Claims (10)
1.一种认证方法,应用于代理服务器,其特征在于,包括:
拦截商业应用服务器发送至账号认证服务器的第一认证请求;其中,所述第一认证请求包括账号和认证信息;
从第三方服务器获取与所述账号对应的目标认证信息;
根据所述认证信息与所述目标认证信息,对所述第一认证请求进行响应。
2.根据权利要求1所述的方法,其特征在于,所述根据所述认证信息与所述目标认证信息,对所述第一认证请求进行响应,包括:
在所述认证信息与所述目标认证信息匹配时,向所述商业应用服务器发送认证成功响应;或者,
在所述认证信息与所述目标认证信息不匹配时,向所述商业应用服务器发送认证失败响应。
3.根据权利要求1所述的方法,其特征在于,所述拦截商业应用服务器发送至账号认证服务器的第一认证请求,包括:
接收商业应用服务器发送至账号认证服务器的第一认证请求;
在所述认证信息的类型与预设类型匹配时,拦截所述第一认证请求。
4.根据权利要求1所述的方法,其特征在于,所述认证信息包括:
票据或第一密码,所述票据由所述商业应用服务器从单点登录服务器获取;所述第一密码,与所述账号及所述商业应用服务器相对应,仅用于使用所述账号访问所述商业应用服务器时的认证。
5.根据权利要求1所述的方法,其特征在于,所述认证信息包括第二密码和动态令牌,所述第二密码用于使用所述账号访问一个以上的应用服务器时的认证;所述从第三方服务器获取与所述账号对应的目标认证信息,根据所述认证信息与所述目标认证信息,对所述第一认证请求进行响应,包括:
从第三方服务器获取与所述账号对应的目标动态令牌;
在所述动态令牌与所述目标动态令牌匹配时,向所述账号认证服务器发送第二认证请求;其中,所述第二认证请求包括所述账号和第二密码;
在接收到所述账号认证服务器返回的第二认证成功响应时,向所述商业应用服务器发送第一认证成功响应。
6.一种认证装置,其特征在于,包括:
拦截模块,用于拦截商业应用服务器发送至账号认证服务器的第一认证请求;其中,所述第一认证请求包括账号和认证信息;
获取模块,用于从第三方服务器获取与所述账号对应的目标认证信息;
响应模块,用于根据所述认证信息与所述目标认证信息,对所述第一认证请求进行响应。
7.根据权利要求6所述的装置,其特征在于,所述响应模块,在所述认证信息与所述目标认证信息匹配时,向所述商业应用服务器发送认证成功响应;或者,在所述认证信息与所述目标认证信息不匹配时,向所述商业应用服务器发送认证失败响应。
8.根据权利要求6所述的装置,其特征在于,拦截模块,包括:
第一接收子模块,用于接收商业应用服务器发送至账号认证服务器的第一认证请求;
拦截子模块,用于在所述认证信息的类型与预设类型匹配时,拦截所述第一认证请求。
9.根据权利要求6所述的装置,其特征在于,所述认证信息包括第二密码和动态令牌,所述第二密码用于使用所述账号访问一个以上的应用服务器时的认证;
获取模块,从第三方服务器获取与所述账号对应的目标动态令牌;
响应模块,在所述动态令牌与所述目标动态令牌匹配时,向所述账号认证服务器发送第二认证请求;其中,所述第二认证请求包括所述账号和第二密码;在接收到所述账号认证服务器返回的第二认证成功响应时,向所述商业应用服务器发送认证成功响应。
10.一种认证装置,其特征在于,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为:
拦截商业应用服务器发送至账号认证服务器的第一认证请求;其中,所述第一认证请求包括账号和认证信息;
从第三方服务器获取与所述账号对应的目标认证信息;
根据所述认证信息与所述目标认证信息,对所述第一认证请求进行响应。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710459145.1A CN107395566B (zh) | 2017-06-16 | 2017-06-16 | 认证方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710459145.1A CN107395566B (zh) | 2017-06-16 | 2017-06-16 | 认证方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107395566A true CN107395566A (zh) | 2017-11-24 |
| CN107395566B CN107395566B (zh) | 2020-10-23 |
Family
ID=60332356
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710459145.1A Active CN107395566B (zh) | 2017-06-16 | 2017-06-16 | 认证方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107395566B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108566367A (zh) * | 2018-02-07 | 2018-09-21 | 海信集团有限公司 | 一种终端的认证方法和装置 |
| CN108712398A (zh) * | 2018-04-28 | 2018-10-26 | 北京东土军悦科技有限公司 | 认证服务器的端口认证方法、服务器、交换机和存储介质 |
| CN110381084A (zh) * | 2019-08-07 | 2019-10-25 | 北京三快在线科技有限公司 | 单点登录***和方法,存储介质及电子设备 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101719238A (zh) * | 2009-11-30 | 2010-06-02 | 中国建设银行股份有限公司 | 一种统一身份管理、认证和授权的方法及*** |
| CN102984169A (zh) * | 2012-12-11 | 2013-03-20 | 中广核工程有限公司 | 单点登录方法、设备及*** |
| CN103051630A (zh) * | 2012-12-21 | 2013-04-17 | 微梦创科网络科技(中国)有限公司 | 基于开放平台实现第三方应用授权的方法、装置及*** |
| CN103220344A (zh) * | 2013-03-29 | 2013-07-24 | 新浪技术(中国)有限公司 | 微博授权使用方法和*** |
| CN104683327A (zh) * | 2015-01-29 | 2015-06-03 | 中国科学院信息工程研究所 | 一种Android软件用户登录界面安全性检测方法 |
| US9413756B1 (en) * | 2014-12-09 | 2016-08-09 | Google Inc. | Systems and methods using short-lived proxy token values obfuscating a stable long-lived token value |
| US20160248759A1 (en) * | 2013-11-06 | 2016-08-25 | Kabushiki Kaisha Toshiba | Authentication system, method and storage medium |
| CN106685998A (zh) * | 2017-02-24 | 2017-05-17 | 浙江仟和网络科技有限公司 | 一种基于cas统一认证服务中间件的sso认证方法 |
-
2017
- 2017-06-16 CN CN201710459145.1A patent/CN107395566B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101719238A (zh) * | 2009-11-30 | 2010-06-02 | 中国建设银行股份有限公司 | 一种统一身份管理、认证和授权的方法及*** |
| CN102984169A (zh) * | 2012-12-11 | 2013-03-20 | 中广核工程有限公司 | 单点登录方法、设备及*** |
| CN103051630A (zh) * | 2012-12-21 | 2013-04-17 | 微梦创科网络科技(中国)有限公司 | 基于开放平台实现第三方应用授权的方法、装置及*** |
| CN103220344A (zh) * | 2013-03-29 | 2013-07-24 | 新浪技术(中国)有限公司 | 微博授权使用方法和*** |
| US20160248759A1 (en) * | 2013-11-06 | 2016-08-25 | Kabushiki Kaisha Toshiba | Authentication system, method and storage medium |
| US9413756B1 (en) * | 2014-12-09 | 2016-08-09 | Google Inc. | Systems and methods using short-lived proxy token values obfuscating a stable long-lived token value |
| CN104683327A (zh) * | 2015-01-29 | 2015-06-03 | 中国科学院信息工程研究所 | 一种Android软件用户登录界面安全性检测方法 |
| CN106685998A (zh) * | 2017-02-24 | 2017-05-17 | 浙江仟和网络科技有限公司 | 一种基于cas统一认证服务中间件的sso认证方法 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108566367A (zh) * | 2018-02-07 | 2018-09-21 | 海信集团有限公司 | 一种终端的认证方法和装置 |
| CN108712398A (zh) * | 2018-04-28 | 2018-10-26 | 北京东土军悦科技有限公司 | 认证服务器的端口认证方法、服务器、交换机和存储介质 |
| CN110381084A (zh) * | 2019-08-07 | 2019-10-25 | 北京三快在线科技有限公司 | 单点登录***和方法,存储介质及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107395566B (zh) | 2020-10-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104767731B (zh) | 一种Restful移动交易***身份认证防护方法 | |
| US8245030B2 (en) | Method for authenticating online transactions using a browser | |
| US8495720B2 (en) | Method and system for providing multifactor authentication | |
| US11336641B2 (en) | Security enhanced technique of authentication protocol based on trusted execution environment | |
| WO2017028804A1 (zh) | 一种Web实时通信平台鉴权接入方法及装置 | |
| US11841959B1 (en) | Systems and methods for requiring cryptographic data protection as a precondition of system access | |
| US9264420B2 (en) | Single sign-on for network applications | |
| CN101873331B (zh) | 一种安全认证方法和*** | |
| CN109347835A (zh) | 信息传输方法、客户端、服务器以及计算机可读存储介质 | |
| US20090307486A1 (en) | System and method for secured network access utilizing a client .net software component | |
| GB2547472A (en) | Method and system for authentication | |
| US20160381001A1 (en) | Method and apparatus for identity authentication between systems | |
| US10291588B2 (en) | Secure registration to a service provided by a web server | |
| CN107040513A (zh) | 一种可信访问认证处理方法、用户终端和服务端 | |
| Shah et al. | Multi-factor Authentication as a Service | |
| CN108418812A (zh) | 一种基于可信执行环境的智能终端安全消息服务方法 | |
| CN102209046A (zh) | 网络资源整合***及方法 | |
| US9398024B2 (en) | System and method for reliably authenticating an appliance | |
| CN111832005B (zh) | 应用授权方法、应用授权装置和电子设备 | |
| CN106161475A (zh) | 用户鉴权的实现方法和装置 | |
| CN107395566A (zh) | 认证方法及装置 | |
| KR20230145009A (ko) | 동적 토큰 생성 에이전트를 이용한 단말기 기반 싱글 사인 온 인증 방법 및 시스템 | |
| CN108111486A (zh) | 一种免重复登录的方法及装置 | |
| CN112929388B (zh) | 网络身份跨设备应用快速认证方法和***、用户代理设备 | |
| CN117336092A (zh) | 一种客户端登录方法、装置、电子设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |