CN107689944A

CN107689944A - 身份认证方法、装置和***

Info

Publication number: CN107689944A
Application number: CN201610638118.6A
Authority: CN
Inventors: 王青华
Original assignee: Alibaba Group Holding Ltd
Current assignee: Alibaba Group Holding Ltd
Priority date: 2016-08-05
Filing date: 2016-08-05
Publication date: 2018-02-13
Also published as: TW201805846A; WO2018027056A1; US10897455B2; TWI780047B; US20180041479A1

Abstract

本发明公开了一种身份认证方法、装置和***。其中，该***包括：前端设备，用于发送登录请求，其中，登录请求包括：使用前端设备的当前账户的账户信息；认证***，与前端设备网络连接，用于接收前端设备发出的登录请求，根据账户信息确定与前端设备关联的确认设备，并根据账户信息生成认证请求，其中，认证请求包括账户信息；确认设备，与认证***网络连接，用于接收认证请求，并将根据认证请求而生成的确认信息返回至认证***；其中，在认证***将确认信息反馈给前端设备的情况下，确定当前账户为合法账户。本发明解决了现有技术中的身份认证方法安全风险高，同时用户体验差的技术问题。

Description

身份认证方法、装置和***

技术领域

本发明涉及互联网安全领域，具体而言，涉及一种身份认证方法、装置和***。

背景技术

双因素是密码学的一个概念，从理论上来说，身份认证有三个要素，第一个要素是需要使用者记忆的身份认证内容，例如密码和身份证号码等；第二个要素是使用者拥有的特殊认证加强机制，例如动态密码卡，IC卡，磁卡等；第三个要素是使用者本身拥有的唯一特征，例如指纹、瞳孔、声音等。每个要素单独存在时，都有其脆弱性，而将两种要素结合起来，实现双重要素认证，即双因素认证，可以有效提高***方位控制的安全性。

目前，双因素在远程SSH(安全外壳协议，Secure Shell的缩写)主机登录上已经广为使用，主要有以下几种方式：

a)密码+令牌code登录；

b)公钥登录；

c)USB卡登录。

但是，通过密码+令牌code的方式登录，在非安全环境如公共环境、咖啡厅等，容易造成密码泄露；使用公钥登录(包括USB卡登录)，第三方人员容易伪装成用户登录。上述三种方案都是部分提高了登录安全，同时降低了用户体验，且带来其他安全风险。

针对现有技术中的身份认证方法安全风险高，同时用户体验差的问题，目前尚未提出有效的解决方案。

发明内容

本发明实施例提供了一种身份认证方法、装置和***，以至少解决现有技术中的身份认证方法安全风险高，同时用户体验差的技术问题。

根据本发明实施例的一个方面，提供了一种身份认证方法，包括：认证***接收前端设备发出的登录请求，其中，登录请求包括：使用前端设备的当前账户的账户信息；认证***根据账户信息确定与前端设备关联的确认设备；认证***发送认证请求至确认设备进行显示，其中，认证请求包括账户信息；认证***在接收到确认设备返回确认信息的情况下，确定当前账户为合法账户，其中，确认信息为确认设备接收到确认指令之后所产生的信息。

根据本发明实施例的另一方面，还提供了一种身份认证方法，包括：前端设备发出登录请求至认证***，其中，登录请求包括：使用前端设备的当前账户的账户信息；前端设备接收认证***返回的登录结果，其中，认证***根据账户信息确定与前端设备关联的确认设备，并发送包括了账户信息的认证请求至确认设备，在接收到确认设备响应认证请求而返回的确认信息的情况下，登录结果为当前账户为合法账户。

根据本发明实施例的另一方面，还提供了一种身份认证方法，包括：目标主机接收前端设备发出的登录请求，其中，登录请求包括：使用前端设备的当前账户的账户信息；目标主机将账户信息发送至认证服务器，使得认证服务器在根据账户信息确定与前端设备关联的确认设备之后，发送认证请求至确认设备，其中，认证请求包括账户信息；目标主机在接收到确认设备响应认证请求而返回的确认信息的情况下，确定当前账户为合法账户。

根据本发明实施例的另一方面，还提供了一种身份认证***，包括：前端设备，用于发送登录请求，其中，登录请求包括：使用前端设备的当前账户的账户信息；认证***，与前端设备网络连接，用于接收前端设备发出的登录请求，根据账户信息确定与前端设备关联的确认设备，并根据账户信息生成认证请求，其中，认证请求包括账户信息；确认设备，与认证***网络连接，用于接收认证请求，并将根据认证请求而生成的确认信息返回至认证服务器；其中，在认证***将确认信息反馈给前端设备的情况下，确定当前账户为合法账户。

根据本发明实施例的另一方面，还提供了一种身份认证***，包括：前端设备，用于发送登录请求，其中，登录请求包括：使用前端设备的当前账户的账户信息；目标主机，与前端设备网络连接，用于接收前端设备发出的登录请求，根据账户信息确定与账户信息关联的证书，并调用证书向认证服务器发起TLS连接；认证服务器，与目标主机具有连接关系，用于接收目标主机发送的账户信息，并根据账户信息确定是否存在与前端设备关联的确认设备，如果存在，根据账户信息生成认证请求，其中，认证请求包括账户信息；确认设备，与认证服务器网络连接，用于接收认证请求，并将根据认证请求而生成的确认信息返回至认证服务器；其中，在认证服务器将确认信息反馈给前端设备的情况下，确定当前账户为合法账户。

根据本发明实施例的另一方面，还提供了一种身份认证装置，包括：接收模块，用于使认证***接收前端设备发出的登录请求，其中，登录请求包括：使用前端设备的当前账户的账户信息；第一确定模块，用于使认证***根据账户信息确定与前端设备关联的确认设备；发送模块，用于使认证***发送认证请求至确认设备进行显示，其中，认证请求包括账户信息；第二确定模块，用于使认证***在接收到确认设备返回的情况下，确定当前账户为合法账户，其中，确认信息为确认设备接收到确认指令之后所产生的信息。

根据本发明实施例的另一方面，还提供了一种身份认证装置，包括：发送模块，用于使前端设备发出登录请求至认证***，其中，登录请求包括：使用前端设备的当前账户的账户信息；接收模块，用于使前端设备接收认证***返回的登录结果，其中，认证***根据账户信息确定与前端设备关联的确认设备，并发送包括了账户信息的认证请求至确认设备，在接收到确认设备响应认证请求而返回的确认信息的情况下，登录结果为当前账户为合法账户。

根据本发明实施例的另一方面，还提供了一种身份认证装置，包括：第一发送模块，用于使目标主机接收前端设备发出的登录请求，其中，登录请求包括：使用前端设备的当前账户的账户信息；第二发送模块，用于使目标主机将账户信息发送至认证服务器，使得认证服务器在根据账户信息确定与前端设备关联的确认设备之后，发送认证请求至确认设备，其中，认证请求包括账户信息；确定模块，用于使目标主机在接收到确认设备响应认证请求而返回的确认信息的情况下，确定当前账户为合法账户。

在本发明实施例中，认证***接收前端设备发出的登录请求，根据账户信息确定与前端设备关联的确认设备，发送认证请求至确认设备，在接收到确认设备响应认证请求而返回的确认信息的情况下，确定当前账户为合法账户，从而实现远程登录的身份认证。

容易注意到，由于前端设备发送的登录请求中包含使用前端设备的当前账户的账户信息，认证***可以根据账户信息查询到确认设备，并将账户信息发送给确认设备，用户可以通过手动操作确认账户信息，完成身份认证，避免密码泄露或者他人伪造带来的安全风险，并且在身份认证过程中用户不需要输入密码，只需要进行简单地确认操作。因此，通过本申请实施例所提供的方案，可以达到提升用户的登录体验，节省用户登录时间成本，有效防止用户伪造的效果。

由此，本申请提供的上述实施例的方案解决了现有技术中的身份认证方法安全风险高，同时用户体验差的技术问题。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是根据本申请实施例一的一种身份认证***的示意图；

图2是根据本申请实施例的一种用户设备和服务器之间数据交互的示意图；

图3是根据本申请实施例一的一种可选的身份认证***的示意图；

图4是根据本申请实施例的一种用于实现身份认证方法的计算机终端的硬件结构框图；

图5是根据本申请实施例的一种用计算机终端作为接收端的硬件结构框图；

图6是根据本申请实施例二的一种身份认证方法的流程图；

图7是根据本申请实施例二的一种可选的身份认证方法的流程图；

图8是根据本申请实施例二的一种可选的身份认证方法的交互图；

图9是根据本申请实施例三的一种身份认证方法的流程图；

图10是根据本申请实施例四的一种身份认证方法的流程图；

图11是根据本申请实施例五的一种身份认证装置的示意图；

图12是根据本申请实施例六的一种身份认证装置的示意图；

图13是根据本申请实施例七的一种身份认证装置的示意图；

图14是根据本申请实施例八的一种身份认证***的示意图；

图15是根据本申请实施例八的一种可选的身份认证***的示意图；以及

图16是根据本申请实施例的一种计算机终端的结构框图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

首先，在对本申请实施例进行描述的过程中出现的部分名词或术语适用于如下解释：

SSH：安全外壳协议，Secure Shell，SSH是目前较可靠，专为远程登录会话和其他网络服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题。

令牌认证，采用动态口令技术，每一次生成的口令，即令牌code不相同，并保持与认证服务器同步。

SSL：安全套接层，Secure Sockets Layer的简写，及其继任者安全传输层(Transport Link Security，TLS)是为网络通信提供安全及数据完整性的一种安全协议。SSL和TLS在传输层对网络连接进行加密。

心跳检测：用于判断网络设备是否正常执行，采用定时发送简单的通讯报，如果在制定时间段内未收到响应，则判断对方出现异常。

实施例1

根据本申请实施例，提供了一种身份认证***，如图1所示，该***包括：前端设备111，认证***113和确认设备115，认证***113分别与前端设备111和确认设备115网络连接，即认证***113可以通过网络与前端设备111和确认设备115建立网络连接。

一种可选实施例中，图2以框图示出了用户设备与服务器之间的数据交互，也可以用于表示上述图1中前端设备111和认证***113，以及认证***113和确认设备115之间的数据交互。如图2所示，用户设备(即图1中的前端设备111或者确认设备115)可以经由数据网络与服务器(即图1中的认证***113)建立远程网络连接，用户设备可以通过显示屏显示需要显示的内容，通过动作解释器将捕获到的用户通过鼠标或者键盘进行的操作转换数据，通过网络接口将数据发送给服务器。服务器可以通过网络接口接收数据，通过内容选择器对接收到数据进行解析，并从内容存储器中选择相应的内容，可以再次通过网络接口将相应的内容返回给用户设备。

其中，前端设备111用于发送登录请求，其中，登录请求包括：使用前端设备的当前账户的账户信息。

具体的，上述的认证***可以是用户远程登录的目标主机，该目标主机可以对用户进行身份认证。上述的前端设备可以是用户使用的计算机设备(包括PC，笔记本电脑等)，移动终端设备(包括智能手机、平板电脑、iPad等)等客户端。上述的登录请求可以是用户通过前端设备远程登录认证***进行身份认证的远程登录请求。上述的账户信息可以是用户进行远程登录的账户信息，例如，远程登录的账户名和密码。

例如，以认证***为目标主机，前端设备为笔记本电脑，确认设备为令牌手机为例，对本申请上述实施例进行详细说明。用户A在使用笔记本电脑进行远程登录时，可以输入远程登录账户的账户名“1252”和密码“123456”，笔记本电脑将用户输入的账户名“1252”和密码“123456”通过网络发送给目标主机。

认证***113用于接收前端设备发出的登录请求，根据账户信息确定与前端设备关联的确认设备，并根据账户信息生成认证请求，其中，认证请求包括账户信息。

具体的，上述确认设备可以是用户提前绑定的手持设备，例如智能手机、平板电脑，iPad等设备，可以作为身份认证的令牌端设备。用户可以通过账户信息，将当前使用的前端设备与确认设备进行关联，认证***会将账户信息和对应的确认设备进行关联保存。

在一种可选的方案中，当用户需要远程登录时，可以输入账户信息，前端设备通过网络将账户信息发送给认证***进行认证，认证***根据接收到的账户信息，查询本地数据库中是否保存有该账户信息，如果认证***未查询到该账户信息，则确定该账户为非法账户；如果认证***查询到该账户信息，则确定与该账户信息关联的确认设备，即确定与该前端设备关联的确认设备。认证***在查询到账户信息，并确定与该账户信息关联的确认设备之后，可以将账户信息通过网络发送给确认设备，用户可以手动对确认设备接收到的账户信息进行确认。

例如，仍以认证***为目标主机，前端设备为笔记本电脑，确认设备为令牌手机为例，对本申请上述实施例进行详细说明。目标主机在接收到账户信息“1252”和“123456”之后，在本地查询与该账号名和密码关联的令牌手机，查询到令牌手机A，将认证请求“账户‘1252’请求进行远程登录，是否允许”发送给令牌手机A。

确认设备115用于接收认证请求，并将根据认证请求而生成的确认信息返回至认证***。

其中，在认证***将确认信息反馈给前端设备的情况下，确定当前账户为合法账户。

可选的，根据本申请上述实施例，确认设备触发产生确认信息的方式包括如下至少一个：检测到点击操作、滑动操作、长按操作、双击操作、手势操作和语音操作。

在一种可选的方案中，如果用户确定认证***发送的账户信息是用户自己输入的账户信息，则用户可以通过点击确认设备上显示的确认按钮，或者在确认设备的显示屏上滑动一下，生成确认信息，确认设备将确认信息返回给认证***，认证***确定该账户为合法账户，可以进行远程登录。如果认证***未接受到确认设备返回的确认信息，则确定该账户为非法账户，无法进行远程登录。

在另一种可选的方案中，如果用户确认未输入账户信息，或者认证***发送的账户信息不是用户自己输入的账户信息，则用户可以通过点击确认设备上显示的否认按钮，生成否认信息，确认设备将否认信息返回给认证***，认证***确定该账户为非法账户，无法进行远程登录。

例如，仍以认证***为目标主机，前端设备为笔记本电脑，确认设备为令牌手机为例，对本申请上述实施例进行详细说明。令牌手机A在接受到认证请求之后，可以在显示屏中显示认证请求“账户‘1252’请求进行远程登录，是否允许”，以及允许按钮和拒绝按钮，持有令牌手机A的用户可以查看认证请求，如果允许账户“1252”进行远程登录，则可以通过点击允许按钮生成确认信息，令牌手机A将确认信息返回给目标主机，目标主机确定账户“1252”为合法账户，允许该账户进行远程登录，并和笔记本电脑建立远程登录连接。

此处需要说明的是，前端设备指当前需要进行身份认证的设备，认证***指对前端设备进行第一次身份认证的设备，确认设备对前端设备进行第二次身份认证的设备，从而实现对前端设备进行双因素认证，提高身份认证的安全性。

由上可知，本申请上述实施例一公开的方案中，认证***接收前端设备发出的登录请求，根据账户信息确定与前端设备关联的确认设备，发送认证请求至确认设备，在接收到确认设备响应认证请求而返回的确认信息的情况下，确定当前账户为合法账户，从而实现远程登录的身份认证。

由此，本申请提供的上述实施例一的方案解决了现有技术中的身份认证方法安全风险高，同时用户体验差的技术问题。

根据本申请上述实施例，认证***分别与至少一个前端设备和至少一个确认设备建立网络连接，并接收任意一个前端设备发送的第一注册请求和/或任意一个确认设备发送的第二注册请求，其中，第一注册请求中携带有任意一个前端设备首次远程登录认证***时所使用的第一账户信息，第二注册请求中携带有任意一个确认设备首次远程登录认证***时所使用的第二账户信息。

在一种可选的方案中，认证***可以和多个进行远程登录的前端设备，以及与多个前端设备相关联的确认设备进行远程网络连接，每个用户在首次进行远程登录时，可以通过前端设备将远程登录的账户信息发送给认证***进行注册，并通过确认设备将该账户信息发送给认证***进行注册。

例如，仍以认证***为目标主机，前端设备为笔记本电脑，确认设备为令牌手机为例，对本申请上述实施例进行详细说明。用户A在首次使用笔记本电脑A进行远程登录时，可以在笔记本电脑A和令牌手机A中均输入远程登录账户的账户名“1252”和密码“123456”，笔记本电脑A和令牌手机A将用户输入的账户名“1252”和密码“123456”通过网络发送给目标主机；用户B在首次使用笔记本电脑A进行远程登录时，可以在笔记本电脑B和令牌手机B中均输入远程登录账户的账户名“1253”和密码“456123”，笔记本电脑B和令牌手机B将用户输入的账户名“1253”和密码“456123”通过网络发送给目标主机。

认证***根据第一注册请求生成第一注册信息，和/或根据第二注册请求生成第二注册信息，其中，第一注册信息包括：第一账户信息和与第一账户信息关联的证书，第二注册信息至少包括：第二账户信息。

具体的，上述的第一注册信息可以是用于下次发起登录的可信证书信息。上述的第二注册信息还可以包括与第二账户信息关联的证书和确认设备的标识信息，在通过确认设备进行身份认证之前，可以根据证书对确认设备进行验证，如果未通过验证，则说明该确认设备为非法设备，认证***不会将用户输入的账户信息发送给该确认设备。

认证***保存第一注册信息和第二注册信息。

在一种可选的方案中，认证***在接收到前端设备发送的第一账户信息之后，可以根据第一账户信息生成相应的证书，并将第一账户信息和相应的证书保存在认证***本地；认证***在接收到确认设备发送的第二账户信息之后，可以将确认设备的标识信息和第二账户信息保存在认证***本地。

在另一种可选的方案中，认证***在接收到前端设备发送的第一账户信息之后，可以根据第一账户信息生成相应的证书，并将第一账户信息和相应的证书保存在认证***本地；认证***在接收到确认设备发送的第二账户信息之后，可以根据第二账户信息生成相应的证书，并将确认设备的标识信息，第二账户信息和相应的证书保存在认证***本地。

例如，仍以认证***为目标主机，前端设备为笔记本电脑，确认设备为令牌手机为例，对本申请上述实施例进行详细说明。目标主机在接收到笔记本电脑A发送的账户名“1252”和密码“123456”之后，可以生成笔记本电脑A的证书A，将账户名“1252”和密码“123456”以及证书A保存在本地数据库；目标主机在接收到令牌手机A发送的账户名“1252”和密码“123456”之后，可以将令牌手机A的标识信息，账户名“1252”和密码“123456”保存在本地数据库；目标主机在接收到笔记本电脑B发送的账户名“1253”和密码“456123”之后，可以生成笔记本电脑B的证书B，将账户名“1253”和密码“456123”以及证书B保存在本地数据库；目标主机在接收到令牌手机B发送的账户名“1253”和密码“456123”之后，可以将令牌手机B的标识信息，账户名“1253”和密码“456123”保存在本地数据库。

其中，在第一账户信息与第二账户信息相同的情况下，认证***中使用第一账户信息注册的前端设备与使用第二账户信息注册的确认设备是相互关联的设备。

在一种可选的方案中，当用户将自己的确认设备和前端设备进行绑定时，用户可以通过前端设备发送远程登录账户信息给认证***进行注册，并通过确认设备发送相同的远程登录账户信息给认证***进行注册，从而认证***确认该确认设备与该前端设备相互关联。

例如，仍以认证***为目标主机，前端设备为笔记本电脑，确认设备为令牌手机为例，对本申请上述实施例进行详细说明。目标主机可以根据存储的账户名和密码，确定笔记本电脑A和令牌手机A为关联设备，笔记本电脑B和令牌手机B为关联设备。

通过上述方案，首次远程登录认证***时，认证***可以根据接收到的账户信息生成身份验证需要的注册信息，并确认前端设备和确认设备的关联关系，实现再次远程登录认证***时，认证***根据接收到的账户信息进行身份认证的目的。

根据本申请上述实施例，如图3所示，认证***包括：鉴权服务器131，与前端设备111网络连接，用于接收前端设备发送的验证码，按照预定的解密算法对验证码进行解码，并验证解码结果，其中，验证码为前端设备按照预定加密算法将当前账户的账户信息和安全证书进行加密，生成的用于鉴权的验证码；其中，如果验证解码结果通过，认证***向前端设备询问是否需要接入网络，如果需要则前端设备与认证***建立网络连接，并向认证***发出登录请求。

具体的，上述预定加密算法与预定的解密算法对应，可以为DES加密算法，本申请对此不作具体限定。

在一种可选的方案中，前端设备可以和鉴权服务器建立SSL连接，可以按照预设的加密算法，将前端设备对应的证书和用户输入的账户信息进行加密，生成鉴权Key，即上述的验证码，并将鉴权Key发送给鉴权服务器。鉴权服务器在接收到鉴权Key之后，可以按照预设的解密算法对鉴权Key进行解密，得到前端设备的证书和账户信息，并在本地查询是否保存有该账户信息和证书，如果保存有，则验证前端设备为合法设备，可以进行网络连接。

在另一种可选的方案中，认证***询问是否需要接入网络，如果前端设备需要接入网络，则建立远程网络连接，并向认证***发送远程登录请求。当网络出现异常或者通过心跳检测，发现前段设备断开时，可以断开远程网络连接。

例如，仍以前端设备为笔记本电脑，认证***为目标主机，确认设备为令牌手机为例，对本申请上述实施例进行详细说明。用户在通过笔记本电脑进行远程登录之前，需要与认证***进行远程网络连接。笔记本电脑可以首先与鉴权服务器建立SSL连接，用户可以输入账户名“1252”和密码“123456”，笔记本电脑根据账户名“1252”和密码“123456”，以及笔记本电脑的安全证书，生成笔记本电脑的鉴权Key，笔记本电脑将鉴权Key发送给鉴权服务器，鉴权服务器对笔记本电脑的鉴权Key进行解密，得到账户名“1252”和密码“123456”，以及笔记本电脑的安全证书，在本地查询是否存在相同的账户信息和安全证书，如果存在，则确定该笔记本电脑为合法设备，询问是否需要接入网络。在用户确定需要接入网络之后，可以将笔记本电脑和目标主机建立远程网络连接。

此处需要说明的是，确认设备在与认证***建立连接之前，也可以进行鉴权，将用于鉴权的验证码发送给鉴权服务器，鉴权服务器进行解码、验证，验证通过之后询问确认设备是否接入网络，如果接入网络，则建立远程网络连接。

通过上述方案，可以采用证书和账户信息加密的方式，对前端设备进行鉴权，从达到更安全的保护用户入网，不容易受到伪造攻击，有效控制设备入网和断开的效果。

根据本申请上述实施例，鉴权服务器121还用于接收到前端设备的注册请求，并产生与注册请求对应的安全证书，将安全证书返回至前端设备。

具体的，上述注册请求可以包括前端设备发送的账户信息，即用户输入的远程登录的账户信息。

在一种可选的方案中，前端设备在首次进行鉴权的时候，需要在健全服务器进行注册，可以将用户输入的账户信息发送给鉴权服务器，鉴权服务器根据账户信息生成对应的前端设备的安全证书，并将账户信息和对应的安全证书保存在鉴权服务器本地。鉴权服务器将生成的安全证书返回给前端设备，以便前端设备进行再次鉴权，从而可以安全接入网络。

通过上述方案，鉴权服务器可以根据账户信息生成安全证书，从而实现基于证书，对前端设备进行鉴权的目的。

实施例2

根据本申请实施例，还提供了一种身份认证方法的方法实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机***中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

本申请实施例二所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。图4示出了一种用于实现身份认证方法的计算机终端的硬件结构框图。如图4所示，计算机终端10可以包括一个或多个(图中采用102a、102b，……，102n来示出)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输装置。除此以外，还可以包括：显示器、输入/输出接口(I/O接口)、通用串行总线(USB)端口(可以作为I/O接口的端口中的一个端口被包括)、网络接口、电源和/或相机。本领域普通技术人员可以理解，图4所示的结构仅为示意，其并不对上述电子装置的结构造成限定。例如，计算机终端10还可包括比图4中所示更多或者更少的组件，或者具有与图4所示不同的配置。

应当注意到的是上述一个或多个处理器102和/或其他数据处理电路在本文中通常可以被称为“数据处理电路”。该数据处理电路可以全部或部分的体现为软件、硬件、固件或其他任意组合。此外，数据处理电路可为单个独立的处理模块，或全部或部分的结合到计算机终端10中的其他元件中的任意一个内。如本申请实施例中所涉及到的，该数据处理电路作为一种处理器控制(例如与接口连接的可变电阻终端路径的选择)。

存储器104可用于存储应用软件的软件程序以及模块，如本申请实施例中的身份认证方法对应的程序指令/模块，处理器102通过运行存储在存储器104内的软件程序以及模块，从而执行各种功能应用以及数据处理，即实现上述的身份认证方法。存储器104可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器104可进一步包括相对于处理器102远程设置的存储器，这些远程存储器可以通过网络连接至计算机终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

传输装置用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端10的通信供应商提供的无线网络。在一个实例中，传输装置包括一个网络适配器(Network Interface Controller，NIC)，其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中，传输装置可以为射频(Radio Frequency，RF)模块，其用于通过无线方式与互联网进行通讯。

显示器可以例如触摸屏式的液晶显示器(LCD)，该液晶显示器可使得用户能够与计算机终端10(或移动设备)的用户界面进行交互。

图4示出的硬件结构框图，不仅可以作为上述计算机终端10的示例性框图，还可以作为上述服务器的示例性框图，一种可选实施例中，图5以框图示出了使用上述图1所示的计算机终端10作为服务器的一种实施例。如图5所示，计算机终端10可以经由数据网络连接或电子连接到一个或多个前端设备21，还可以经由数据网络连接或电子连接到一个或多个确认设备23。一种可选实施例中，上述计算机终端10可以是任意移动计算设备。数据网络连接可以是局域网连接、广域网连接、因特网连接，或其他类型的数据网络连接。计算机终端10可以执行由一个服务器(例如安全服务器)或一组服务器执行的网络服务。网络服务器是基于网络的用户服务，诸如社交网络、云资源、电子邮件、在线支付或其他在线应用。

在上述运行环境下，本申请提供了如图6所示的身份认证方法。图6是根据本申请实施例二的一种身份认证方法的流程图，如图6所示，该方法包括如下步骤：

步骤S32，认证***接收前端设备发出的登录请求，其中，登录请求包括：使用前端设备的当前账户的账户信息。

例如，以认证***为目标主机，前端设备为笔记本电脑，确认设备为令牌手机为例，对本申请上述实施例进行详细说明。用户A在使用笔记本电脑进行远程登录时，可以输入远程登录账户的账户名“1252”和密码“123456”，笔记本电脑将用户输入的账户名“1252”和密码“123456”通过网络发送给目标主机，目标主机接收到使用笔记本电脑的账户信息“1252”和“123456”。

步骤S34，认证***根据账户信息确定与前端设备关联的确认设备。

在一种可选的方案中，当用户需要远程登录时，可以输入账户信息，前端设备通过网络将账户信息发送给认证***进行认证，认证***根据接收到的账户信息，查询本地数据库中是否保存有该账户信息，如果认证***未查询到该账户信息，则确定该账户为非法账户；如果认证***查询到该账户信息，则确定与该账户信息关联的确认设备，即确定与该前端设备关联的确认设备。

例如，仍以认证***为目标主机，前端设备为笔记本电脑，确认设备为令牌手机为例，对本申请上述实施例进行详细说明。目标主机在接收到账户信息“1252”和“123456”之后，在本地查询与该账号名和密码关联的令牌手机，查询到令牌手机A。

步骤S36，认证***发送认证请求至确认设备进行显示，其中，认证请求包括账户信息。

在一种可选的方案中，认证***在查询到账户信息，并确定与该账户信息关联的确认设备之后，可以将账户信息通过网络发送给确认设备，确认设备在显示屏中显示账户信息，用户可以手动对确认设备接收到的账户信息进行确认。

例如，仍以认证***为目标主机，前端设备为笔记本电脑，确认设备为令牌手机为例，对本申请上述实施例进行详细说明。目标主机在查询到令牌手机A之后，可以将将认证请求“账户‘1252’请求进行远程登录，是否允许”发送给令牌手机A，令牌手机A可以在显示屏中显示认证请求“账户‘1252’请求进行远程登录，是否允许”，以及允许按钮和拒绝按钮，持有令牌手机A的用户可以查看认证请求。

步骤S38，认证***在接收到确认设备返回确认信息的情况下，确定当前账户为合法账户，其中，确认信息为确认设备接收到确认指令之后所产生的信息。

例如，仍以认证***为目标主机，前端设备为笔记本电脑，确认设备为令牌手机为例，对本申请上述实施例进行详细说明。如果持有令牌手机A的用户允许账户“1252”进行远程登录，则可以通过点击允许按钮生成确认信息，令牌手机A将确认信息返回给目标主机，目标主机确定账户“1252”为合法账户，允许该账户进行远程登录，并和笔记本电脑建立远程登录连接。

由上可知，本申请上述实施例二公开的方案中，认证***接收前端设备发出的登录请求，根据账户信息确定与前端设备关联的确认设备，发送认证请求至确认设备，在接收到确认设备响应认证请求而返回的确认信息的情况下，确定当前账户为合法账户，从而实现远程登录的身份认证。

由此，本申请提供的上述实施例二的方案解决了现有技术中的身份认证方法安全风险高，同时用户体验差的技术问题。

根据本申请上述实施例，在步骤S32，认证***接收前端设备发出的登录请求之前，上述方法还可以包括如下步骤：

步骤S302，认证***分别与至少一个前端设备和至少一个确认设备建立网络连接，并接收任意一个前端设备发送的第一注册请求和/或任意一个确认设备发送的第二注册请求，其中，第一注册请求中携带有任意一个前端设备首次远程登录认证***时所使用的第一账户信息，第二注册请求中携带有任意一个确认设备首次远程登录认证***时所使用的第二账户信息。

步骤S304，认证***根据第一注册请求生成第一注册信息，和/或根据第二注册请求生成第二注册信息，其中，第一注册信息包括：第一账户信息和与第一账户信息关联的证书，第二注册信息至少包括：第二账户信息。

步骤S306，认证***保存第一注册信息和第二注册信息。

根据本申请上述实施例，步骤S34，认证***根据账户信息确定与前端设备关联的确认设备，可以包括如下步骤：

步骤S342，认证***查询是否存在与账户信息相同的第一账户信息和第二账户信息。

步骤S344，如果查询成功，认证***确定发出登录请求的前端设备为已经注册过的设备，并确认使用第二账户信息注册的确认设备为与前端设备关联的确认设备。

在一种可选的方案中，认证***在接收到前端设备发送的账户信息之后，可以在本地数据库查询是否存在与该账户信息相同的账户信息，如果存在，则确定发送该账户信息的前端设备已经在认证***进行注册，根据该账户信息查询到相应的确认设备，并将该账户信息发送给查询到的确认设备；如果不存在，则确定发送该账户信息的前端设备未进行注册，该账户信息为非法账户。

例如，仍以认证***为目标主机，前端设备为笔记本电脑，确认设备为令牌手机为例，对本申请上述实施例进行详细说明。目标主机在接收到笔记本电脑A发送的账户名“1252”和密码“123456”之后，可以在本地数据库查询是否存在账户名“1252”和密码“123456”，如果查询到账户名“1252”和密码“123456”，则确定笔记本电脑A已经进行过注册，并查询到与笔记本电脑A关联的令牌手机A的标识信息，将认证请求“账户‘1252’请求进行远程登录，是否允许”发送给令牌手机A，进行身份认证。

通过上述方案，认证***可以根据账户信息进行查询，确定发送该账户信息的前端设备是否已经进行注册，以及与该前端设备关联的确认设备。

根据本申请上述实施例，在认证***包括：目标主机和认证服务器的情况下，目标主机接收任意一个前端设备首次远程登录时所使用的第一账户信息，在将携带了第一账户信息的第一注册请求发送至认证服务器之后，接收认证服务器返回的与第一账户信息关联的证书，得到第一注册信息。

具体的，上述的目标主机和认证服务器可以是两个分离的服务器，也可以是一个服务器，即认证服务器。

在一种可选的方案中，认证***可以包括目标主机和认证服务器，目标主机为用户远程登录的主机，认证服务器用于对用户输入的账户信息进行身份认证，每个用户在通过前端设备首次进行远程登录时，可以通过常规方式，输入账户信息登录到目标主机，目标主机将接收到的账户信息发送给认证服务器进行注册，认证服务器根据接收到的账户信息生成与账户信息对应的证书，并将账户信息对应的证书返回给目标主机，目标主机根据账户信息和接收到的证书得到注册信息，并将注册信息保存在本地数据库。

例如，以前端设备为笔记本电脑，确认设备为令牌手机为例，对本申请上述实施例进行详细说明。用户A在首次使用笔记本电脑A进行远程登录时，可以输入远程登录账户的账户名“1252”和密码“123456”，笔记本电脑A将用户输入的账户名“1252”和密码“123456”通过网络发送给目标主机。目标主机在接收到笔记本电脑A发送的账户名“1252”和密码“123456”之后，可以根据账户名“1252”和密码“123456”生成注册请求，并发送给认证服务器。认证服务器在接收到账户名“1252”和密码“123456”之后，可以生成与账户名“1252”和密码“123456”对应的可信证书，并将可信证书返回给目标主机。目标主机将账户名“1252”和密码“123456”，以及接收到的可信证书作为一个整体保存在本地数据库。

此处需要说明的是，每个用户在通过前端设备首次进行远程登录时，还可以通过确认设备输入账户信息登录到目标主机，目标主机将账户信息发送给认证服务器进行注册，认证服务器根据接收到的账户信息生成对应的证书，并返回给目标主机，目标主机将确认设备发送的账户信息和对应的证书作为注册信息，保存在本地数据库。

通过上述方案，可以通过认证服务器进行前端设备的注册，通过目标主机进行远程登录，无需一个服务器既进行前端设备的注册，又进行远程登录，从而降低服务器的负担。

根据本申请上述实施例，步骤S342，认证***查询是否存在与账户信息相同的第一账户信息和第二账户信息，和步骤S344，如果查询成功，认证***确认使用第二账户信息注册的确认设备为与前端设备关联的确认设备，可以包括如下步骤：

步骤S360，目标主机查询是否存在与账户信息相同的第一账户信息。

步骤S362，如果查询成功，目标主机获取与第一账户信息关联的证书。

步骤S364，目标主机调用证书向认证服务器发起TLS连接，并将账户信息发送至认证服务器。

步骤S366，认证服务器查询是否存在与账户信息相同的第二账户信息。

步骤S368，如此查询成功，确定使用第二账户信息注册的确认设备为与前端设备关联的确认设备。

在一种可选的方案中，用户在通过前端设备首次进行远程登录之后，目标主机本地存储前端设备发送的账户信息和对应的证书。用户在通过该前端设备再次进行远程登录时，目标主机在接收到前端设备发送的账户信息之后，在本地查询是否已经保存在该账户信息，如果未查询到该账户信息，则该前端设备为进行注册，需要进行注册。如果查询到该账户信息，则提取与该账户信息对应的可信证书，调用可信证书和认证服务器建立TLS连接，将该账户信息发送给认证服务器，认证服务器在本地查询是否存在与账户信息相同的第二账户信息，如果存在，则该第二账户信息对应的确认设备与前端设备相互关联。

例如，仍以前端设备为笔记本电脑，确认设备为令牌手机为例，对本申请上述实施例进行详细说明。目标主机在接收到笔记本电脑A发送的账户名“1252”和密码“123456”之后，可以根据账户名“1252”和密码“123456”查询本地是否存在对应的可信证书，如果存在对应的可信证书，则调用可信证书和认证服务器建立TLS连接，并将账户名“1252”和密码“123456”发送给认证服务器。认证服务器在接收到账户名“1252”和密码“123456”之后，可以在本地查询与账户名“1252”和密码“123456”对应的令牌手机，如果查询到对应的令牌手机A，则确定该令牌手机A与笔记本电脑A相关联。

通过上述方案，可以通过目标主机查询证书，并调用证书向认证服务器发起TLS连接，认证服务器可以查询与前端设备相关联的确认设备，从而实现根据账户信息确定关联的确认设备的目的。

根据本申请上述实施例，步骤S38，认证***在接收到确认设备响应认证请求而返回的确认信息的情况下，确定当前账户为合法账户，可以包括如下步骤：

步骤S382，认证服务器将确认信息转发给目标主机。

步骤S384，目标主机根据确认信息生成远程登录结果，并将远程登录结果返回至前端设备。

其中，在成功将远程登录结果返回至前端设备的情况下，确定使用前端设备的当前账户为合法账户，使得当前账户通过前端设备登录目标主机成功。

具体的，上述远程登录结果可以是成功建立远程登录连接之后的远程桌面数据，可以包括远程桌面图片数据，远程桌面应用程序显示图标数据等。

在一种可选的方案中，用户在通过点击确认设备上显示的确认按钮，生成确认信息之后，确认设备将确认信息返回给认证服务器，认证服务器通过TLS连接将确认信息转发给目标主机，目标主机根据确认信息生成远程登录结果，并将远程登录结果返回至前端设备，允许前端设备成功登录目标主机。

例如，仍以前端设备为笔记本电脑，确认设备为令牌手机为例，对本申请上述实施例进行详细说明。如果持有令牌手机的用户允许账户“1252”进行远程登录，则可以通过点击允许按钮生成确认信息，令牌手机将确认信息返回给认证服务器，认证服务器通过TLS连接将确认信息返回给目标主机，目标主机确定账户“1252”为合法账户，允许该账户进行远程登录，并和笔记本电脑建立远程登录连接，将账户“1252”对应的远程桌面返回给笔记本电脑。

通过上述方案，认证服务器可以转发确认信息，目标主机生成远程登录结果返回前端设备，从而实现用户通过前端设备成功登录目标主机。

此处需要说明的是，现有的主流方式有如下三种：a)开放式直接接入；b)通过拨号形式接入某个网络，输入密码等；c)在***上对接入某个网络进行配置，如证书等。通过证书配置方式，在设备环境被拷贝时，可以伪造设备进行入网；使用账号密码入网，容易造成账号泄露；开放式网络更是脆弱。这些技术都无法融入到安全防护终端模块中去，对于网络的管理和检测带来诸多不便。因此，可以基于证书方案，替换***入网策略，由鉴权服务器进行用户身份识别。

根据本申请上述实施例，上述认证***可以包括：鉴权服务器，其中，在步骤S32，认证***接收前端设备发出的登录请求之前，上述方法还可以包括如下步骤：

步骤S312，鉴权服务器接收前端设备发送的验证码，其中，验证码为前端设备按照预定加密算法将当前账户的账户信息和安全证书进行加密，生成的用于鉴权的验证码。

具体的，上述的鉴权服务器可以是认证服务器，即由认证服务器进行鉴权和认证，也可以是目标主机，即由目标主机进行远程登录，认证和鉴权。

步骤S314，鉴权服务器按照预定的解密算法对验证码进行解码，并验证解码结果。

其中，如果验证解码结果通过，认证***向前端设备询问是否需要接入网络，如果需要则前端设备与认证***建立网络连接，并向认证***发出登录请求。

在一种可选的方案中，如图7所示，认证***询问是否需要接入网络，如果前端设备需要接入网络，则建立远程网络连接，并向认证***发送远程登录请求。当网络出现异常或者通过心跳检测，发现前段设备断开时，可以断开远程网络连接。

根据本申请上述实施例，在步骤S312，鉴权服务器接收前端设备发送的验证码之前，上述方法还可以包括如下步骤：

步骤S3102，鉴权服务器接收到前端设备的注册请求，并产生与注册请求对应的安全证书。

步骤S3104，鉴权服务器将安全证书返回至前端设备。

在一种可选的方案中，如图7所示，前端设备在首次进行鉴权的时候，需要在健全服务器进行注册，可以将用户输入的账户信息发送给鉴权服务器，鉴权服务器根据账户信息生成对应的前端设备的安全证书，并将账户信息和对应的安全证书保存在鉴权服务器本地。鉴权服务器将生成的安全证书返回给前端设备，以便前端设备进行再次鉴权，从而可以安全接入网络。

下面结合图8详细介绍本申请的一种优选实施例。

如8所示，提供了一种可选的基于生物特征的身份认证方法，该方法可以包括如下步骤S51至步骤S517：

步骤S51，前端设备131发送注册请求至鉴权服务器141。

可选的，前端设备首先和鉴权服务器建立SSL连接，然后根据使用前端设备的当前账户的账户信息，生成注册请求，并发送给鉴权服务器。

步骤S52，鉴权服务器141生成安全证书，并返回前端设备131。

可选的，鉴权服务器根据接收到的账户信息，生成与账户信息对应的安全证书，并返回给前端设备，由前端设备进行保存。

步骤S53，前端设备131发送验证码至鉴权服务器141。

可选的，前端设备可以根据使用前端设备的当前账户的账户信息，以及保存的前端设备的安全证书，按照预设加密算法得到验证码，并将验证码发送给鉴权服务器。

步骤S54，鉴权服务器141对接收到的验证码进行解码，验证解码结果。

可选的，鉴权服务器按照预设解密算法对接收到的验证码进行解码，得到解码结果，并验证该解码结果。

步骤S55，鉴权服务器141询问前端设备131是否接入网络。

可选的，如果解码结果验证成功，则确定该前端设备为合法设备，询问是否需要接入网络，如果前端设备需要接入网络，则将前端设备和目标主机之间建立远程网络连接。

步骤S56，前端设备131发送账户信息至目标主机133。

可选的，在首次通过前端设备进行远程登录目标主机的时候，可以输入账户的账户信息，前端设备将账户信息发送给目标主机，前端设备正常登录目标主机。

步骤S57，目标主机133发送携带账户信息的注册请求至认证服务器135。

可选的，目标主机根据接收到的账户信息生成注册请求，并将注册请求发送给认证服务器进行注册。

步骤S58，认证服务器135生成与账户信息相关联的证书，并返回至目标主机133。

可选的，认证服务器解析接收到的注册请求，得到前端设备发送的账户信息，并生成与账户信息相关联的证书，即前端设备的证书。

步骤S59，目标主机133将账户信息和与账户信息相关联的证书进行保存。

可选的，目标主机接收前端设备的证书，并根据前端设备发送的账户信息，得到前端设备的注册信息，并将前端设备的注册信息保存在本地数据库。

步骤S510，前端设备131发送账户信息至目标主机133。

可选的，再次通过前端设备进行远程登录目标主机时，可以输入账户的账户信息，前端设备将账户信息发送给目标主机。

步骤S511，目标主机133调用与账户信息相关联的证书，向认证服务器135发起TLS请求。

可选的，目标主机在本地查询与前端设备发送的账户信息相同的账户信息，如果查询到，则获取前端设备的证书，并通过调用证书向认证服务器发起TLS请求，建立TLS连接。

步骤S512，目标主机133将账户信息发送给认证服务器135。

可选的，在目标主机与认证服务器建立TLS连接之后，将前端设备发送的账户信息转发给认证服务器。

步骤S513，认证服务器135查询与前端设备关联的确认设备137。

可选的，认证服务器在本地查询与前端设备发送的账户信息相同的账户信息，如果查询到，则获取与前端设备发送的账户信息关联的确认设备，即查询与前端设备关联的确认设备。

步骤S514，认证服务器135将账户信息发送给确认设备137进行认证。

可选的，认证服务器根据前端设备发送的账户信息，生成认证请求，并将认证请求发送给确认设备，进行手动认证。

步骤S515，确认设备137生成确认信息，并返回至认证服务器135。

可选的，如果用户认证成功，可以通过点击、滑动等操作生成确认信息，并返回至认证服务器。

步骤S516，认证服务器135将确认信息返回给目标主机133。

可选的，认证服务器将确认信息转发给目标主机。

步骤S517，目标主机133根据确认信息生成远程登录结果，并将远程登录结果返回给前端设备131。

可选的，目标主机可以根据确认信息生成远程登录结果，并发送给前端设备，在前端设备成功接收到远程登录结果的情况下，确定使用前端设备的当前账户为合法账户，身份认证成功，可以通过前端设备登录目标主机。

通过上述步骤S51至步骤S517，可以基于证书方案，替换***入网策略，鉴权服务器完成用户身份识别，将前端设备入网，在用户第一次接入目标主机时，需要将该前端设备注册为可信登录设备，在第二次登录时，目标主机会通过证书TLS连接，将认证请求通过认证服务器发送给确认设备，由确认设备进行认证，从而可以更安全的保护用户入网，不容易受到伪造攻击，并且在保证双因素安全的前提下，提升用户的登录体验，节省用户登录时间成本。

需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本申请并不受所描述的动作顺序的限制，因为依据本申请，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本申请所必须的。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本申请各个实施例所述的方法。

实施例3

图9是根据本申请实施例三的一种身份认证方法的流程图，如图9所示，该方法包括如下步骤：

步骤S62，前端设备发出登录请求至认证***，其中，登录请求包括：使用前端设备的当前账户的账户信息。

步骤S64，前端设备接收认证***返回的登录结果。

其中，认证***根据账户信息确定与前端设备关联的确认设备，并发送包括了账户信息的认证请求至确认设备，在接收到确认设备响应认证请求而返回的确认信息的情况下，登录结果为当前账户为合法账户。

在一种可选的方案中，当用户需要远程登录时，可以输入账户信息，前端设备通过网络将账户信息发送给认证***进行认证，认证***根据接收到的账户信息，查询本地数据库中是否保存有该账户信息，如果认证***未查询到该账户信息，则确定该账户为非法账户；如果认证***查询到该账户信息，则确定与该账户信息关联的确认设备，即确定与该前端设备关联的确认设备。认证***在查询到账户信息，并确定与该账户信息关联的确认设备之后，可以将账户信息通过网络发送给确认设备，用户可以手动对确认设备接收到的账户信息进行确认。如果用户确定认证***发送的账户信息是用户自己输入的账户信息，则用户可以通过点击确认设备上显示的确认按钮，或者在确认设备的显示屏上滑动一下，生成确认信息，确认设备将确认信息返回给认证***，认证***确定该账户为合法账户，可以进行远程登录。如果认证***未接受到确认设备返回的确认信息，则确定该账户为非法账户，无法进行远程登录。

例如，仍以认证***为目标主机，前端设备为笔记本电脑，确认设备为令牌手机为例，对本申请上述实施例进行详细说明。目标主机在接收到账户名“1252”和密码“123456”之后，在本地查询与该账号名和密码关联的令牌手机，查询到令牌手机A，将认证请求“账户‘1252’请求进行远程登录，是否允许”发送给令牌手机A，令牌手机A可以在显示屏中显示认证请求“账户‘1252’请求进行远程登录，是否允许”，以及允许按钮和拒绝按钮，持有令牌手机A的用户可以查看认证请求，如果允许账户“1252”进行远程登录，则可以通过点击允许按钮生成确认信息，令牌手机A将确认信息返回给目标主机，目标主机确定账户“1252”为合法账户，允许该账户进行远程登录，并和笔记本电脑建立远程登录连接。

由上可知，本申请上述实施例三公开的方案中，前端设备发出登录请求至认证***，前端设备接收认证***返回的登录结果，从而实现远程登录的身份认证。

由此，本申请提供的上述实施例三的方案解决了现有技术中的身份认证方法安全风险高，同时用户体验差的技术问题。

实施例4

图10是根据本申请实施例四的一种身份认证方法的流程图，如图10所示，该方法包括如下步骤：

步骤S72，目标主机接收前端设备发出的登录请求，其中，登录请求包括：使用前端设备的当前账户的账户信息。

具体的，上述的目标主机可以是用户远程登录的目标主机，该目标主机可以对用户进行身份认证。上述的前端设备可以是用户使用的计算机设备(包括PC，笔记本电脑等)，移动终端设备(包括智能手机、平板电脑、iPad等)等客户端。上述的登录请求可以是用户通过前端设备远程登录目标主机进行身份认证的远程登录请求。上述的账户信息可以是用户进行远程登录的账户信息，例如，远程登录的账户名和密码。

例如，以前端设备为笔记本电脑，确认设备为令牌手机为例，对本申请上述实施例进行详细说明。用户A在使用笔记本电脑进行远程登录时，可以输入远程登录账户的账户名“1252”和密码“123456”，笔记本电脑将用户输入的账户名“1252”和密码“123456”通过网络发送给目标主机，目标主机接收到使用笔记本电脑的账户信息“1252”和“123456”。

步骤S74，目标主机将账户信息发送至认证服务器，使得认证服务器在根据账户信息确定与前端设备关联的确认设备之后，发送认证请求至确认设备，其中，认证请求包括账户信息。

具体的，上述确认设备可以是用户提前绑定的手持设备，例如智能手机、平板电脑，iPad等设备，可以作为身份认证的令牌端设备。用户可以通过账户信息，将当前使用的前端设备与确认设备进行关联，认证服务器会将账户信息和对应的确认设备进行关联保存。

在一种可选的方案中，当用户需要远程登录时，可以输入账户信息，前端设备通过网络将账户信息发送给目标主机进行认证，目标主机将账户信息转发给认证服务器，认证服务器根据接收到的账户信息，查询本地数据库中是否保存有该账户信息，如果认证服务器未查询到该账户信息，则确定该账户为非法账户；如果认证服务器查询到该账户信息，则确定与该账户信息关联的确认设备，即确定与该前端设备关联的确认设备。认证服务器在查询到账户信息，并确定与该账户信息关联的确认设备之后，可以将账户信息通过网络发送给确认设备，用户可以手动对确认设备接收到的账户信息进行确认。

例如，仍以前端设备为笔记本电脑，确认设备为令牌手机为例，对本申请上述实施例进行详细说明。目标主机在接收到账户信息“1252”和“123456”之后，将账户信息转发给认证服务器，认证服务器在本地查询与该账号名和密码关联的令牌手机，查询到令牌手机A，将认证请求“账户‘1252’请求进行远程登录，是否允许”发送给令牌手机A，令牌手机A可以在显示屏中显示认证请求“账户‘1252’请求进行远程登录，是否允许”，以及允许按钮和拒绝按钮，持有令牌手机A的用户可以查看认证请求，

步骤S76，目标主机在接收到确认设备响应认证请求而返回的确认信息的情况下，确定当前账户为合法账户。

在一种可选的方案中，如果用户确定认证服务器发送的账户信息是用户自己输入的账户信息，则用户可以通过点击确认设备上显示的确认按钮，或者在确认设备的显示屏上滑动一下，生成确认信息，确认设备将确认信息返回给认证服务器，认证服务器返回给目标主机，目标主机确定该账户为合法账户，可以进行远程登录。如果目标主机未接受到确认设备返回的确认信息，则确定该账户为非法账户，无法进行远程登录。

在另一种可选的方案中，如果用户确认未输入账户信息，或者认证服务器发送的账户信息不是用户自己输入的账户信息，则用户可以通过点击确认设备上显示的否认按钮，生成否认信息，确认设备将否认信息返回给认证服务器，认证服务器返回给目标主机，目标主机确定该账户为非法账户，无法进行远程登录。

例如，仍以前端设备为笔记本电脑，确认设备为令牌手机为例，对本申请上述实施例进行详细说明。如果持有令牌手机A的用户允许账户“1252”进行远程登录，则可以通过点击允许按钮生成确认信息，令牌手机A将确认信息返回给目标主机，目标主机确定账户“1252”为合法账户，允许该账户进行远程登录，并和笔记本电脑建立远程登录连接。

此处需要说明的是，前端设备指当前需要进行身份认证的设备，目标主机指前端设备进行远程登录的设备，认证服务器指对前端设备进行第一次身份认证的设备，确认设备对前端设备进行第二次身份认证的设备，从而实现对前端设备进行双因素认证，提高身份认证的安全性。

由上可知，本申请上述实施例四公开的方案中，目标主机接收前端设备发出的登录请求，目标主机将账户信息发送至认证服务器，使得认证服务器在根据账户信息确定与前端设备关联的确认设备之后，发送认证请求至确认设备，目标主机在接收到确认设备响应认证请求而返回的确认信息的情况下，确定当前账户为合法账户，从而实现远程登录的身份认证。

容易注意到，由于前端设备发送的登录请求中包含使用前端设备的当前账户的账户信息，认证服务器可以根据账户信息查询到确认设备，并将账户信息发送给确认设备，用户可以通过手动操作确认账户信息，完成身份认证，避免密码泄露或者他人伪造带来的安全风险，并且在身份认证过程中用户不需要输入密码，只需要进行简单地确认操作。因此，通过本申请实施例所提供的方案，可以达到提升用户的登录体验，节省用户登录时间成本，有效防止用户伪造的效果。

由此，本申请提供的上述实施例四的方案解决了现有技术中的身份认证方法安全风险高，同时用户体验差的技术问题。

实施例5

根据本申请实施例，还提供了一种用于实施上述身份认证方法的身份认证装置，如图11所示，该装置80包括：接收模块801，第一确定模块803，发送模块805和第二确定模块807。

其中，接收模块801用于使认证***接收前端设备发出的登录请求，其中，登录请求包括：使用前端设备的当前账户的账户信息；第一确定模块803用于使认证***根据账户信息确定与前端设备关联的确认设备；发送模块805用于使认证***发送认证请求至确认设备进行显示，其中，认证请求包括账户信息；第二确定模块807用于使认证***在接收到确认设备返回确认信息的情况下，确定当前账户为合法账户，其中，确认信息为确认设备接收到确认指令之后所产生的信息。

具体的，上述的认证***可以是用户远程登录的目标主机，该目标主机可以对用户进行身份认证。上述的前端设备可以是用户使用的计算机设备(包括PC，笔记本电脑等)，移动终端设备(包括智能手机、平板电脑、iPad等)等客户端。上述的登录请求可以是用户通过前端设备远程登录认证***进行身份认证的远程登录请求。上述的账户信息可以是用户进行远程登录的账户信息，例如，远程登录的账户名和密码。上述确认设备可以是用户提前绑定的手持设备，例如智能手机、平板电脑，iPad等设备，可以作为身份认证的令牌端设备。用户可以通过账户信息，将当前使用的前端设备与确认设备进行关联，认证***会将账户信息和对应的确认设备进行关联保存。

此处需要说明的是，上述接收模块801，第一确定模块803，发送模块805和第二确定模块807对应于实施例二中的步骤S32至步骤S38，四个模块与对应的步骤所实现的实例和应用场景相同，但不限于上述实施例二所公开的内容。需要说明的是，上述模块作为装置的一部分可以运行在实施例二提供的计算机终端10中。

此处还需要说明的是，前端设备指当前需要进行身份认证的设备，认证***指对前端设备进行第一次身份认证的设备，确认设备对前端设备进行第二次身份认证的设备，从而实现对前端设备进行双因素认证，提高身份认证的安全性。

由上可知，本申请上述实施例五公开的方案中，认证***接收前端设备发出的登录请求，根据账户信息确定与前端设备关联的确认设备，发送认证请求至确认设备，在接收到确认设备响应认证请求而返回的确认信息的情况下，确定当前账户为合法账户，从而实现远程登录的身份认证。

由此，本申请提供的上述实施例五的方案解决了现有技术中的身份认证方法安全风险高，同时用户体验差的技术问题。

根据本申请上述实施例，如图11所示，上述装置80还可以包括：连接模块809，生成模块811和保存模块813。

其中，连接模块809用于使认证***分别与至少一个前端设备和至少一个确认设备建立网络连接，并接收任意一个前端设备发送的第一注册请求和/或任意一个确认设备发送的第二注册请求，其中，第一注册请求中携带有任意一个前端设备首次远程登录认证***时所使用的第一账户信息，第二注册请求中携带有任意一个确认设备首次远程登录认证***时所使用的第二账户信息；生成模块811用于认证***根据第一注册请求生成第一注册信息，和/或根据第二注册请求生成第二注册信息，其中，第一注册信息包括：第一账户信息和与第一账户信息关联的证书，第二注册信息至少包括：第二账户信息；保存模块813用于认证***保存第一注册信息和第二注册信息；其中，在第一账户信息与第二账户信息相同的情况下，认证***中使用第一账户信息注册的前端设备与使用第二账户信息注册的确认设备是相互关联的设备。

根据本申请上述实施例，如图11所示，第一确定模块803可以包括：第一查询模块815。

第一查询模块815用于认证***查询是否存在与账户信息相同的第一账户信息和第二账户信息；如果查询成功，认证***确定发出登录请求的前端设备为已经注册过的设备，并确认使用第二账户信息注册的确认设备为与前端设备关联的确认设备。

根据本申请上述实施例，在认证***包括：目标主机和认证服务器的情况下，如图11所示，连接模块809包括：第一接收模块817和第二接收模块819。

其中，第一接收模块817用于使目标主机接收任意一个前端设备首次远程登录时所使用的第一账户信息；第二接收模块819用于在将携带了第一账户信息的第一注册请求发送至认证服务器之后，接收认证服务器返回的与第一账户信息关联的证书，得到第一注册信息。

根据本申请上述实施例，如图11所示，第一查询模块815可以包括：第二查询模块821，获取模块823，调用模块825，第三查询模块827和第三确定模块829。

其中，第二查询模块821用于使目标主机查询是否存在与账户信息相同的第一账户信息；获取模块823用于如果查询成功，目标主机获取与第一账户信息关联的证书；调用模块825用于使目标主机调用证书向认证服务器发起TLS连接，并将账户信息发送至认证服务器；第三查询模块827用于使认证服务器查询是否存在与账户信息相同的第二账户信息；第三确定模块829用于如此查询成功，确定使用第二账户信息注册的确认设备为与前端设备关联的确认设备。

根据本申请上述实施例，如图11所示，第二确定模块807可以包括：转发模块831和第一返回模块833。

其中，转发模块831用于使认证服务器将确认信息转发给目标主机；第一返回模块833用于使目标主机根据确认信息生成远程登录结果，并将远程登录结果返回至前端设备；其中，在成功将远程登录结果返回至前端设备的情况下，确定使用前端设备的当前账户为合法账户，使得当前账户通过前端设备登录目标主机成功。

根据本申请上述实施例，上述认证***可以包括：鉴权服务器，其中，如图11所示，上述装置80还可以包括：第三接收模块835和解码模块837。

其中，第三接收模块835用于使鉴权服务器接收前端设备发送的验证码，其中，验证码为前端设备按照预定加密算法将当前账户的账户信息和安全证书进行加密，生成的用于鉴权的验证码；解码模块837用于使鉴权服务器按照预定的解密算法对验证码进行解码，并验证解码结果；其中，如果验证解码结果通过，认证***向前端设备询问是否需要接入网络，如果需要则前端设备与认证***建立网络连接，并向认证***发出登录请求。

根据本申请上述实施例，如图11所示，上述装置80还可以包括：第四接收模块839和第二返回模块841。

其中，第四接收模块839用于鉴权服务器接收到前端设备的注册请求，并产生与注册请求对应的安全证书；第二返回模块841用于使鉴权服务器将安全证书返回至前端设备。

实施例6

根据本申请实施例，还提供了一种用于实施上述身份认证方法的身份认证装置，如图12所示，该身份认证装置90包括：发送模块91和接收模块93。

其中，发送模块91用于使前端设备发出登录请求至认证***，其中，登录请求包括：使用前端设备的当前账户的账户信息；接收模块93用于使前端设备接收认证***返回的登录结果，其中，认证***根据账户信息确定与前端设备关联的确认设备，并发送包括了账户信息的认证请求至确认设备，在接收到确认设备响应认证请求而返回的确认信息的情况下，登录结果为当前账户为合法账户。

此处需要说明的是，上述发送模块91和接收模块93对应于实施例三中的步骤S62至步骤S64，两个模块与对应的步骤所实现的实例和应用场景相同，但不限于上述实施例三所公开的内容。需要说明的是，上述模块作为装置的一部分可以运行在实施例二提供的计算机终端10中。

由上可知，本申请上述实施例六公开的方案中，前端设备发出登录请求至认证***，前端设备接收认证***返回的登录结果，从而实现远程登录的身份认证。

由此，本申请提供的上述实施例六的方案解决了现有技术中的身份认证方法安全风险高，同时用户体验差的技术问题。

实施例7

根据本申请实施例，还提供了一种用于实施上述身份认证方法的身份认证装置，如图13所示，该身份认证装置100包括：第一发送模块101，第二发送模块103和确定模块105。

其中，第一发送模块101用于使目标主机接收前端设备发出的登录请求，其中，登录请求包括：使用前端设备的当前账户的账户信息；第二发送模块103用于使目标主机将账户信息发送至认证服务器，使得认证服务器在根据账户信息确定与前端设备关联的确认设备之后，发送认证请求至确认设备，其中，认证请求包括账户信息；确定模块105用于使目标主机在接收到确认设备响应认证请求而返回的确认信息的情况下，确定当前账户为合法账户。

具体的，上述的目标主机可以是用户远程登录的目标主机，该目标主机可以对用户进行身份认证。上述的前端设备可以是用户使用的计算机设备(包括PC，笔记本电脑等)，移动终端设备(包括智能手机、平板电脑、iPad等)等客户端。上述的登录请求可以是用户通过前端设备远程登录目标主机进行身份认证的远程登录请求。上述的账户信息可以是用户进行远程登录的账户信息，例如，远程登录的账户名和密码。上述确认设备可以是用户提前绑定的手持设备，例如智能手机、平板电脑，iPad等设备，可以作为身份认证的令牌端设备。用户可以通过账户信息，将当前使用的前端设备与确认设备进行关联，目标主机会将账户信息和对应的确认设备进行关联保存。

此处需要说明的是，上述发送模块101，发送模块103和确定模块105对应于实施例四中的步骤S72至步骤S76，三个模块与对应的步骤所实现的实例和应用场景相同，但不限于上述实施例四所公开的内容。需要说明的是，上述模块作为装置的一部分可以运行在实施例二提供的计算机终端10中。

此处还需要说明的是，前端设备指当前需要进行身份认证的设备，目标主机指前端设备进行远程登录的设备，认证服务器指对前端设备进行第一次身份认证的设备，确认设备对前端设备进行第二次身份认证的设备，从而实现对前端设备进行双因素认证，提高身份认证的安全性。

由上可知，本申请上述实施例七公开的方案中，目标主机接收前端设备发出的登录请求，目标主机将账户信息发送至认证服务器，使得认证服务器在根据账户信息确定与前端设备关联的确认设备之后，发送认证请求至确认设备，目标主机在接收到确认设备响应认证请求而返回的确认信息的情况下，确定当前账户为合法账户，从而实现远程登录的身份认证。

由此，本申请提供的上述实施例七的方案解决了现有技术中的身份认证方法安全风险高，同时用户体验差的技术问题。

实施例8

根据本申请实施例，还提供了一种用于实施上述身份认证方法的身份认证***，如图14所示，该***包括：

前端设备141，用于发送登录请求，其中，登录请求包括：使用前端设备的当前账户的账户信息。

具体的，上述的前端设备可以是用户使用的计算机设备(包括PC，笔记本电脑等)，移动终端设备(包括智能手机、平板电脑、iPad等)等客户端。上述的登录请求可以是用户通过前端设备远程登录目标主机进行身份认证的远程登录请求。上述的账户信息可以是用户进行远程登录的账户信息，例如，远程登录的账户名和密码。

例如，以前端设备为笔记本电脑，确认设备为令牌手机为例，对本申请上述实施例进行详细说明。用户A在首次使用笔记本电脑A进行远程登录时，可以输入远程登录账户的账户名“1252”和密码“123456”，笔记本电脑A将用户输入的账户名“1252”和密码“123456”通过网络发送给目标主机。

目标主机143，与前端设备141网络连接，用于接收前端设备发出的登录请求，根据账户信息确定与账户信息关联的证书，并调用证书向认证服务器发起TLS连接。

具体的，上述的目标主机可以是用户远程登录的目标主机，该目标主机可以对用户进行身份认证。

在一种可选的方案中，当用户需要远程登录时，可以输入账户信息，前端设备通过网络将账户信息发送给目标主机进行认证，目标主机将账户信息转发给认证服务器，认证服务器根据接收到的账户信息，查询本地数据库中是否保存有该账户信息，如果认证服务器未查询到该账户信息，则确定该账户为非法账户；如果认证服务器查询到该账户信息，则确定与该账户信息关联的证书，在查询到账户信息，并确定与该账户信息关联的证书之后，调用查找到的证书与认证服务器建立TLS连接，在TLS连接建立之后，将该账户信息发送给认证服务器进行认证。

例如，以前端设备为笔记本电脑，确认设备为令牌手机为例，对本申请上述实施例进行详细说明。目标主机接收到当前使用笔记本电脑的账户信息“1252”和“123456”，可以在本地查询与账户名“1252”和密码“123456”对应的证书，查询到证书A，并调用证书A向认证服务器发起TLS连接，在建立连接之后，目标主机将账户名“1252”和密码“123456”发送给认证服务器。

认证服务器145，与目标主机143具有连接关系，用于接收目标主机发送的账户信息，并根据账户信息确定是否存在与前端设备关联的确认设备，如果存在，根据账户信息生成认证请求，其中，认证请求包括账户信息。

具体的，上述的目标主机和认证服务器可以是两个分离的服务器，也可以是一个服务器，即认证服务器。上述确认设备可以是用户提前绑定的手持设备，例如智能手机、平板电脑，iPad等设备，可以作为身份认证的令牌端设备。用户可以通过账户信息，将当前使用的前端设备与确认设备进行关联，认证服务器会将账户信息和对应的确认设备进行关联保存。

在一种可选的方案中，认证服务器在接收到目标主机发送的账户信息之后，可以根据接收到的账户信息，查询本地数据库中是否保存有该账户信息，如果认证服务器未查询到该账户信息，则确定该账户为非法账户；如果认证服务器查询到该账户信息，则确定与该账户信息关联的确认设备，即确定与该前端设备关联的确认设备。认证服务器在查询到账户信息，并确定与该账户信息关联的确认设备之后，可以将账户信息通过网络发送给确认设备，用户可以手动对确认设备接收到的账户信息进行确认。

例如，仍以前端设备为笔记本电脑，确认设备为令牌手机为例，对本申请上述实施例进行详细说明。认证服务器在接收到账户信息“1252”和“123456”之后，在本地查询与该账号名和密码关联的令牌手机，查询到令牌手机A，将认证请求“账户‘1252’请求进行远程登录，是否允许”发送给令牌手机A。

确认设备147，与认证服务器145网络连接，用于接收认证请求，并将根据认证请求而生成的确认信息返回至认证服务器。

其中，在认证服务器将确认信息反馈给前端设备的情况下，确定当前账户为合法账户。

例如，仍以前端设备为笔记本电脑，确认设备为令牌手机为例，对本申请上述实施例进行详细说明。令牌手机A在接收到认证服务器发送的认证请求之后可以在显示屏中显示认证请求“账户‘1252’请求进行远程登录，是否允许”，持有令牌手机A的用户可以查看认证请求，令牌手机A可以在显示屏中显示认证请求“账户‘1252’请求进行远程登录，是否允许”，以及允许按钮和拒绝按钮，持有令牌手机A的用户可以查看认证请求。如果允许账户“1252”进行远程登录，则可以通过点击允许按钮生成确认信息，令牌手机A将确认信息返回给目标主机，目标主机确定账户“1252”为合法账户，允许该账户进行远程登录，并和笔记本电脑建立远程登录连接。

此处需要说明的是，图2以框图示出的用户设备与服务器之间的数据交互，也可以用于表示上述图14中前端设备141和目标主机143，以及认证服务器145和确认设备147之间的数据交互。

由上可知，本申请上述实施例八公开的方案中，前端设备发送登录请求，目标主机接收前端设备发出的登录请求，根据账户信息确定与账户信息关联的证书，并调用证书向认证服务器发起TLS连接，认证服务器根据账户信息确定是否存在与前端设备关联的确认设备，如果存在，根据账户信息生成认证请求，发送认证请求至确认设备，确认设备将根据认证请求而生成的确认信息返回至认证服务器，从而实现远程登录的身份认证。

由此，本申请提供的上述实施例八的方案解决了现有技术中的身份认证方法安全风险高，同时用户体验差的技术问题。

根据本申请上述实施例，目标主机分别与至少一个前端设备和至少一个确认设备建立网络连接，并接收任意一个前端设备首次远程登录目标主机时所使用的第一账户信息，以及任意一个确认设备首次远程登录目标主机时所使用的第二账户信息。

在一种可选的方案中，目标主机可以和多个进行远程登录的前端设备，以及与多个前端设备相关联的确认设备进行远程网络连接，每个用户在首次进行远程登录时，可以通过前端设备将远程登录的账户信息发送给目标主机进行注册，并通过确认设备将该账户信息发送给目标主机进行注册。

目标主机根据第一账户信息生成第一注册请求，根据第二账户信息生成第二注册请求。

具体的，上述的第一注册信息可以是用于下次发起登录的可信证书信息。上述的第二注册信息还可以包括与第二账户信息关联的证书和确认设备的标识信息，在通过确认设备进行身份认证之前，可以根据证书对确认设备进行验证，如果未通过验证，则说明该确认设备为非法设备，认证服务器不会将用户输入的账户信息发送给该确认设备。

目标主机将第一注册请求和/或第二注册请求发送至认证服务器。

例如，仍以前端设备为笔记本电脑，确认设备为令牌手机为例，对本申请上述实施例进行详细说明。用户A在首次使用笔记本电脑A进行远程登录时，可以在笔记本电脑A和令牌手机A中均输入远程登录账户的账户名“1252”和密码“123456”，笔记本电脑A和令牌手机A将用户输入的账户名“1252”和密码“123456”通过网络发送给目标主机；用户B在首次使用笔记本电脑A进行远程登录时，可以在笔记本电脑B和令牌手机B中均输入远程登录账户的账户名“1253”和密码“456123”，笔记本电脑B和令牌手机B将用户输入的账户名“1253”和密码“456123”通过网络发送给目标主机，并转发给认证服务器。

目标主机接收认证服务器根据第一注册请求生成第一注册信息，和/或根据第二注册请求生成第二注册信息，其中，第一注册信息包括：与第一账户信息关联的证书，第二注册信息至少包括：第二账户信息。

目标主机保存第一注册信息和第二注册信息。

在一种可选的方案中，认证服务器在接收到前端设备发送的第一账户信息之后，可以根据第一账户信息生成相应的证书，并将相应的证书返回给目标主机，目标主机可以将第一账户信息和相应的证书保存在目标主机本地；认证服务器在接收到确认设备发送的第二账户信息之后，可以将确认设备的标识信息和第二账户信息保存在认证服务器本地。

在另一种可选的方案中，认证服务器在接收到前端设备发送的第一账户信息之后，可以根据第一账户信息生成相应的证书，并将相应的证书返回给目标主机，目标主机可以将第一账户信息和相应的证书保存在目标主机本地；认证服务器在接收到确认设备发送的第二账户信息之后，可以根据第二账户信息生成相应的证书，并相应的证书返回给目标主机，目标主机可以将确认设备的标识信息，第二账户信息和相应的证书保存在认证服务器本地。

例如，仍以前端设备为笔记本电脑，确认设备为令牌手机为例，对本申请上述实施例进行详细说明。认证服务器在接收到笔记本电脑A发送的账户名“1252”和密码“123456”之后，可以生成笔记本电脑A的证书A，并返回给目标主机，目标主机将账户名“1252”和密码“123456”以及证书A保存在本地数据库；认证服务器在接收到令牌手机A发送的账户名“1252”和密码“123456”之后，可以将令牌手机A的标识信息，账户名“1252”和密码“123456”保存在本地数据库；认证服务器在接收到笔记本电脑B发送的账户名“1253”和密码“456123”之后，可以生成笔记本电脑B的证书B，并返回给目标主机，目标主机将账户名“1253”和密码“456123”以及证书B保存在本地数据库；认证服务器在接收到令牌手机B发送的账户名“1253”和密码“456123”之后，可以将令牌手机B的标识信息，账户名“1253”和密码“456123”保存在本地数据库。

其中，在第一账户信息与第二账户信息相同的情况下，认证服务器中使用第一账户信息注册的前端设备与使用第二账户信息注册的确认设备是相互关联的设备。

在一种可选的方案中，当用户将自己的确认设备和前端设备进行绑定时，用户可以通过前端设备发送远程登录账户信息给认证服务器进行注册，并通过确认设备发送相同的远程登录账户信息给认证服务器进行注册，从而认证服务器确认该确认设备与该前端设备相互关联。

例如，仍以前端设备为笔记本电脑，确认设备为令牌手机为例，对本申请上述实施例进行详细说明。认证服务器可以根据存储的账户名和密码，确定笔记本电脑A和令牌手机A为关联设备，笔记本电脑B和令牌手机B为关联设备。

通过上述方案，首次远程登录目标主机时，认证服务器可以根据接收到的账户信息生成身份验证需要的注册信息，并确认前端设备和确认设备的关联关系，实现再次远程登录目标主机时，认证服务器根据接收到的账户信息进行身份认证的目的。

根据本申请上述实施例，如图15所示，上述***还包括：鉴权服务器151，与前端设备151网络连接，用于接收前端设备发送的验证码，按照预定的解密算法对验证码进行解码，并验证解码结果，其中，验证码为前端设备按照预定加密算法将当前账户的账户信息和安全证书进行加密，生成的用于鉴权的验证码；其中，如果验证解码结果通过，目标主机向前端设备询问是否需要接入网络，如果需要则前端设备与目标主机建立网络连接，并向目标主机发出登录请求。

在另一种可选的方案中，如图4所示，目标主机询问是否需要接入网络，如果前端设备需要接入网络，则建立远程网络连接，并向目标主机发送登录请求。当网络出现异常或者通过心跳检测，发现前段设备断开时，可以断开远程网络连接。

例如，仍以前端设备为笔记本电脑，确认设备为令牌手机为例，对本申请上述实施例进行详细说明。用户在通过笔记本电脑进行远程登录之前，需要与目标主机进行远程网络连接。笔记本电脑可以首先与鉴权服务器建立SSL连接，用户可以输入账户名“1252”和密码“123456”，笔记本电脑根据账户名“1252”和密码“123456”，以及笔记本电脑的安全证书，生成笔记本电脑的鉴权Key，笔记本电脑将鉴权Key发送给鉴权服务器，鉴权服务器对笔记本电脑的鉴权Key进行解密，得到账户名“1252”和密码“123456”，以及笔记本电脑的安全证书，在本地查询是否存在相同的账户信息和安全证书，如果存在，则确定该笔记本电脑为合法设备，询问是否需要接入网络。在用户确定需要接入网络之后，可以将笔记本电脑和目标主机建立远程网络连接。

此处需要说明的是，确认设备在与目标主机建立连接之前，也可以进行鉴权，将用于鉴权的验证码发送给鉴权服务器，鉴权服务器进行解码、验证，验证通过之后询问确认设备是否接入网络，如果接入网络，则建立远程网络连接。

根据本申请上述实施例，鉴权服务器还用于接收到前端设备的注册请求，并产生与注册请求对应的安全证书，将安全证书返回至前端设备。

在一种可选的方案中，如图4所示，前端设备在首次进行鉴权的时候，需要在健全服务器进行注册，可以将用户输入的账户信息发送给鉴权服务器，鉴权服务器根据账户信息生成对应的前端设备的安全证书，并将账户信息和对应的安全证书保存在鉴权服务器本地。鉴权服务器将生成的安全证书返回给前端设备，以便前端设备进行再次鉴权，从而可以安全接入网络。

实施例9

本申请的实施例可以提供一种计算机终端，该计算机终端可以是计算机终端群中的任意一个计算机终端设备。可选地，在本实施例中，上述计算机终端也可以替换为移动终端等终端设备。

可选地，在本实施例中，上述计算机终端可以位于计算机网络的多个网络设备中的至少一个网络设备。

在本实施例中，上述计算机终端可以执行应用程序的身份认证方法中以下步骤的程序代码：认证***接收前端设备发出的登录请求，其中，登录请求包括：使用前端设备的当前账户的账户信息；认证***根据账户信息确定与前端设备关联的确认设备；认证***发送认证请求至确认设备，其中，认证请求包括账户信息；认证***在接收到确认设备响应认证请求而返回的确认信息的情况下，确定当前账户为合法账户。

可选地，图16是根据本申请实施例的一种计算机终端的结构框图。如图16所示，该计算机终端160可以包括：一个或多个(图中仅示出一个)处理器162、存储器164。

其中，存储器可用于存储软件程序以及模块，如本申请实施例中的身份认证方法和装置对应的程序指令/模块，处理器通过运行存储在存储器内的软件程序以及模块，从而执行各种功能应用以及数据处理，即实现上述的身份认证方法。存储器可包括高速随机存储器，还可以包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器可进一步包括相对于处理器远程设置的存储器，这些远程存储器可以通过网络连接至终端160。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

处理器可以通过传输装置调用存储器存储的信息及应用程序，以执行下述步骤：认证***接收前端设备发出的登录请求，其中，登录请求包括：使用前端设备的当前账户的账户信息；认证***根据账户信息确定与前端设备关联的确认设备；认证***发送认证请求至确认设备，其中，认证请求包括账户信息；认证***在接收到确认设备响应认证请求而返回的确认信息的情况下，确定当前账户为合法账户。

可选的，上述处理器还可以执行如下步骤的程序代码：在认证***接收前端设备发出的登录请求之前，认证***分别与至少一个前端设备和至少一个确认设备建立网络连接，并接收任意一个前端设备发送的第一注册请求和/或任意一个确认设备发送的第二注册请求，其中，第一注册请求中携带有任意一个前端设备首次远程登录认证***时所使用的第一账户信息，第二注册请求中携带有任意一个确认设备首次远程登录认证***时所使用的第二账户信息；认证***根据第一注册请求生成第一注册信息，和/或根据第二注册请求生成第二注册信息，其中，第一注册信息包括：第一账户信息和与第一账户信息关联的证书，第二注册信息至少包括：第二账户信息；认证***保存第一注册信息和第二注册信息；其中，在第一账户信息与第二账户信息相同的情况下，认证***中使用第一账户信息注册的前端设备与使用第二账户信息注册的确认设备是相互关联的设备。

可选的，上述处理器还可以执行如下步骤的程序代码：认证***查询是否存在与账户信息相同的第一账户信息和第二账户信息；如果查询成功，认证***确定发出登录请求的前端设备为已经注册过的设备，并确认使用第二账户信息注册的确认设备为与前端设备关联的确认设备。

可选的，上述处理器还可以执行如下步骤的程序代码：在认证***包括：目标主机和认证服务器的情况下，目标主机接收任意一个前端设备首次远程登录时所使用的第一账户信息，在将携带了第一账户信息的第一注册请求发送至认证服务器之后，接收认证服务器返回的与第一账户信息关联的证书，得到第一注册信息。

可选的，上述处理器还可以执行如下步骤的程序代码：目标主机查询是否存在与账户信息相同的第一账户信息；如果查询成功，目标主机获取与第一账户信息关联的证书；目标主机调用证书向认证服务器发起TLS连接，并将账户信息发送至认证服务器；认证服务器查询是否存在与账户信息相同的第二账户信息；如此查询成功，确定使用第二账户信息注册的确认设备为与前端设备关联的确认设备。

可选的，上述处理器还可以执行如下步骤的程序代码：认证服务器将确认信息转发给目标主机；目标主机根据确认信息生成远程登录结果，并将远程登录结果返回至前端设备；其中，在成功将远程登录结果返回至前端设备的情况下，确定使用前端设备的当前账户为合法账户，使得当前账户通过前端设备登录目标主机成功。

可选的，上述处理器还可以执行如下步骤的程序代码：确认设备触发产生确认信息的方式包括如下至少一个：检测到点击操作、滑动操作、长按操作、双击操作、手势操作和语音操作。

可选的，上述处理器还可以执行如下步骤的程序代码：认证***包括：鉴权服务器，其中，在认证***接收前端设备发出的登录请求之前，鉴权服务器接收前端设备发送的验证码，其中，验证码为前端设备按照预定加密算法将当前账户的账户信息和安全证书进行加密，生成的用于鉴权的验证码；鉴权服务器按照预定的解密算法对验证码进行解码，并验证解码结果；其中，如果验证解码结果通过，认证***向前端设备询问是否需要接入网络，如果需要则前端设备与认证***建立网络连接，并向认证***发出登录请求。

可选的，上述处理器还可以执行如下步骤的程序代码：在鉴权服务器接收前端设备发送的验证码之前，鉴权服务器接收到前端设备的注册请求，并产生与注册请求对应的安全证书；鉴权服务器将安全证书返回至前端设备。

采用本申请实施例，认证***接收前端设备发出的登录请求，根据账户信息确定与前端设备关联的确认设备，发送认证请求至确认设备，在接收到确认设备响应认证请求而返回的确认信息的情况下，确定当前账户为合法账户，从而实现远程登录的身份认证。

由此，本申请提供的上述实施例解决了现有技术中的身份认证方法安全风险高，同时用户体验差的技术问题。

本领域普通技术人员可以理解，图16所示的结构仅为示意，计算机终端也可以是智能手机(如Android手机、iOS手机等)、平板电脑、掌声电脑以及移动互联网设备(MobileInternet Devices，MID)、PAD等终端设备。图16其并不对上述电子装置的结构造成限定。例如，计算机终端160还可包括比图16中所示更多或者更少的组件(如网络接口、显示装置等)，或者具有与图16所示不同的配置。

本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，存储介质可以包括：闪存盘、只读存储器(Read-Only Memory，ROM)、随机存取器(RandomAccess Memory，RAM)、磁盘或光盘等。

实施例10

本申请的实施例还提供了一种存储介质。可选地，在本实施例中，上述存储介质可以用于保存上述实施例一所提供的身份认证方法所执行的程序代码。

可选地，在本实施例中，上述存储介质可以位于计算机网络中计算机终端群中的任意一个计算机终端中，或者位于移动终端群中的任意一个移动终端中。

可选地，在本实施例中，存储介质被设置为存储用于执行以下步骤的程序代码：认证***接收前端设备发出的登录请求，其中，登录请求包括：使用前端设备的当前账户的账户信息；认证***根据账户信息确定与前端设备关联的确认设备；认证***发送认证请求至确认设备，其中，认证请求包括账户信息；认证***在接收到确认设备响应认证请求而返回的确认信息的情况下，确定当前账户为合法账户。

可选的，上述存储介质还被设置为存储用于执行以下步骤的程序代码：在认证***接收前端设备发出的登录请求之前，认证***分别与至少一个前端设备和至少一个确认设备建立网络连接，并接收任意一个前端设备发送的第一注册请求和/或任意一个确认设备发送的第二注册请求，其中，第一注册请求中携带有任意一个前端设备首次远程登录认证***时所使用的第一账户信息，第二注册请求中携带有任意一个确认设备首次远程登录认证***时所使用的第二账户信息；认证***根据第一注册请求生成第一注册信息，和/或根据第二注册请求生成第二注册信息，其中，第一注册信息包括：第一账户信息和与第一账户信息关联的证书，第二注册信息至少包括：第二账户信息；认证***保存第一注册信息和第二注册信息；其中，在第一账户信息与第二账户信息相同的情况下，认证***中使用第一账户信息注册的前端设备与使用第二账户信息注册的确认设备是相互关联的设备。

可选的，上述存储介质还被设置为存储用于执行以下步骤的程序代码：认证***查询是否存在与账户信息相同的第一账户信息和第二账户信息；如果查询成功，认证***确定发出登录请求的前端设备为已经注册过的设备，并确认使用第二账户信息注册的确认设备为与前端设备关联的确认设备。

可选的，上述存储介质还被设置为存储用于执行以下步骤的程序代码：在认证***包括：目标主机和认证服务器的情况下，目标主机接收任意一个前端设备首次远程登录时所使用的第一账户信息，在将携带了第一账户信息的第一注册请求发送至认证服务器之后，接收认证服务器返回的与第一账户信息关联的证书，得到第一注册信息。

可选的，上述存储介质还被设置为存储用于执行以下步骤的程序代码：目标主机查询是否存在与账户信息相同的第一账户信息；如果查询成功，目标主机获取与第一账户信息关联的证书；目标主机调用证书向认证服务器发起TLS连接，并将账户信息发送至认证服务器；认证服务器查询是否存在与账户信息相同的第二账户信息；如此查询成功，确定使用第二账户信息注册的确认设备为与前端设备关联的确认设备。

可选的，上述存储介质还被设置为存储用于执行以下步骤的程序代码：认证服务器将确认信息转发给目标主机；目标主机根据确认信息生成远程登录结果，并将远程登录结果返回至前端设备；其中，在成功将远程登录结果返回至前端设备的情况下，确定使用前端设备的当前账户为合法账户，使得当前账户通过前端设备登录目标主机成功。

可选的，上述存储介质还被设置为存储用于执行以下步骤的程序代码：确认设备触发产生确认信息的方式包括如下至少一个：检测到点击操作、滑动操作、长按操作、双击操作、手势操作和语音操作。

可选的，上述存储介质还被设置为存储用于执行以下步骤的程序代码：认证***包括：鉴权服务器，其中，在认证***接收前端设备发出的登录请求之前，鉴权服务器接收前端设备发送的验证码，其中，验证码为前端设备按照预定加密算法将当前账户的账户信息和安全证书进行加密，生成的用于鉴权的验证码；鉴权服务器按照预定的解密算法对验证码进行解码，并验证解码结果；其中，如果验证解码结果通过，认证***向前端设备询问是否需要接入网络，如果需要则前端设备与认证***建立网络连接，并向认证***发出登录请求。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

在本发明的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

在本申请所提供的几个实施例中，应该理解到，所揭露的技术内容，可通过其它的方式实现。其中，以上所描述的装置实施例仅仅是示意性的，例如所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个***，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，单元或模块的间接耦合或通信连接，可以是电性或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims

1.一种身份认证***，其特征在于，包括：

前端设备，用于发送登录请求，其中，所述登录请求包括：使用所述前端设备的当前账户的账户信息；

认证***，与所述前端设备网络连接，用于接收所述前端设备发出的登录请求，根据所述账户信息确定与所述前端设备关联的确认设备，并根据所述账户信息生成认证请求，其中，所述认证请求包括所述账户信息；

所述确认设备，与所述认证***网络连接，用于接收所述认证请求，并将根据所述认证请求而生成的确认信息返回至所述认证***；

其中，在所述认证***将所述确认信息反馈给所述前端设备的情况下，确定所述当前账户为合法账户。

2.根据权利要求1所述的***，其特征在于，

所述认证***分别与至少一个前端设备和至少一个确认设备建立网络连接，并接收任意一个前端设备发送的第一注册请求和/或任意一个确认设备发送的第二注册请求，其中，所述第一注册请求中携带有所述任意一个前端设备首次远程登录所述认证***时所使用的第一账户信息，所述第二注册请求中携带有所述任意一个确认设备首次远程登录所述认证***时所使用的第二账户信息；

所述认证***根据所述第一注册请求生成第一注册信息，和/或根据所述第二注册请求生成第二注册信息，其中，所述第一注册信息包括：所述第一账户信息和与所述第一账户信息关联的证书，所述第二注册信息至少包括：所述第二账户信息；

所述认证***保存所述第一注册信息和所述第二注册信息；

其中，在所述第一账户信息与所述第二账户信息相同的情况下，所述认证***中使用所述第一账户信息注册的前端设备与使用所述第二账户信息注册的确认设备是相互关联的设备。

3.根据权利要求1或2所述的***，其特征在于，所述认证***包括：鉴权服务器，与所述前端设备网络连接，用于接收所述前端设备发送的验证码，按照预定的解密算法对所述验证码进行解码，并验证解码结果，其中，所述验证码为所述前端设备按照预定加密算法将所述当前账户的所述账户信息和安全证书进行加密，生成的用于鉴权的验证码；

其中，如果验证所述解码结果通过，所述认证***向所述前端设备询问是否需要接入网络，如果需要则所述前端设备与所述认证***建立网络连接，并向所述认证***发出所述登录请求。

4.根据权利要求3所述的***，其特征在于，所述鉴权服务器还用于接收到所述前端设备的注册请求，并产生与所述注册请求对应的所述安全证书，将所述安全证书返回至所述前端设备。

5.一种身份认证方法，其特征在于，包括：

认证***接收前端设备发出的登录请求，其中，所述登录请求包括：使用所述前端设备的当前账户的账户信息；

所述认证***根据所述账户信息确定与所述前端设备关联的确认设备；

所述认证***发送认证请求至所述确认设备进行显示，其中，所述认证请求包括所述账户信息；

所述认证***在接收到所述确认设备返回确认信息的情况下，确定所述当前账户为合法账户，其中，所述确认信息为所述确认设备接收到确认指令之后所产生的信息。

6.根据权利要求5所述的方法，其特征在于，在认证***接收前端设备发出的登录请求之前，所述方法还包括：

所述认证***保存所述第一注册信息和所述第二注册信息；

7.根据权利要求6所述的方法，其特征在于，所述认证***根据所述账户信息确定与所述前端设备关联的确认设备，包括：

所述认证***查询是否存在与所述账户信息相同的第一账户信息和第二账户信息；

如果查询成功，所述认证***确定发出所述登录请求的前端设备为已经注册过的设备，并确认使用所述第二账户信息注册的确认设备为与所述前端设备关联的确认设备。

8.根据权利要求7所述的方法，其特征在于，在所述认证***包括：目标主机和认证服务器的情况下，所述目标主机接收所述任意一个前端设备首次远程登录时所使用的第一账户信息，在将携带了所述第一账户信息的第一注册请求发送至所述认证服务器之后，接收所述认证服务器返回的与所述第一账户信息关联的证书，得到所述第一注册信息。

9.根据权利要求8所述的方法，其特征在于，所述认证***查询是否存在与所述账户信息相同的第一账户信息和第二账户信息，如果查询成功，所述认证***确认使用所述第二账户信息注册的确认设备为与所述前端设备关联的确认设备，包括：

所述目标主机查询是否存在与所述账户信息相同的第一账户信息；

如果查询成功，所述目标主机获取与所述第一账户信息关联的证书；

所述目标主机调用所述证书向所述认证服务器发起TLS连接，并将所述账户信息发送至所述认证服务器；

所述认证服务器查询是否存在与所述账户信息相同的第二账户信息；

如此查询成功，确定使用所述第二账户信息注册的确认设备为与所述前端设备关联的确认设备。

10.根据权利要求9所述的方法，其特征在于，所述认证***在接收到所述确认设备响应所述认证请求而返回的确认信息的情况下，确定所述当前账户为合法账户，包括：

所述认证服务器将所述确认信息转发给所述目标主机；

所述目标主机根据所述确认信息生成远程登录结果，并将所述远程登录结果返回至所述前端设备；

其中，在成功将所述远程登录结果返回至所述前端设备的情况下，确定使用所述前端设备的当前账户为所述合法账户，使得所述当前账户通过所述前端设备登录所述目标主机成功。

11.根据权利要求5所述的方法，其特征在于，所述确认设备触发产生所述确认信息的方式包括如下至少一个：检测到点击操作、滑动操作、长按操作、双击操作、手势操作和语音操作。

12.根据权利要求5至11中任一项所述的方法，其特征在于，所述认证***包括：鉴权服务器，其中，在认证***接收前端设备发出的登录请求之前，所述方法还包括；

所述鉴权服务器接收所述前端设备发送的验证码，其中，所述验证码为所述前端设备按照预定加密算法将所述当前账户的所述账户信息和安全证书进行加密，生成的用于鉴权的验证码；

所述鉴权服务器按照预定的解密算法对所述验证码进行解码，并验证解码结果；

13.根据权利要求12所述的方法，其特征在于，在所述鉴权服务器接收所述前端设备发送的验证码之前，所述方法还包括：

所述鉴权服务器接收到所述前端设备的注册请求，并产生与所述注册请求对应的所述安全证书；

所述鉴权服务器将所述安全证书返回至所述前端设备。

14.一种身份认证方法，其特征在于，包括：

前端设备发出登录请求至认证***，其中，所述登录请求包括：使用所述前端设备的当前账户的账户信息；

所述前端设备接收所述认证***返回的登录结果；

其中，所述认证***根据所述账户信息确定与所述前端设备关联的确认设备，并发送包括了所述账户信息的认证请求至所述确认设备，在接收到所述确认设备响应所述认证请求而返回的确认信息的情况下，所述登录结果为所述当前账户为合法账户。

15.一种身份认证方法，其特征在于，包括：

目标主机接收前端设备发出的登录请求，其中，所述登录请求包括：使用所述前端设备的当前账户的账户信息；

所述目标主机将所述账户信息发送至认证服务器，使得所述认证服务器在根据所述账户信息确定与所述前端设备关联的确认设备之后，发送认证请求至所述确认设备，其中，所述认证请求包括所述账户信息；

所述目标主机在接收到所述确认设备响应所述认证请求而返回的确认信息的情况下，确定所述当前账户为合法账户。

16.一种身份认证***，其特征在于，包括：

目标主机，与所述前端设备网络连接，用于接收所述前端设备发出的登录请求，根据所述账户信息确定与所述账户信息关联的证书，并调用所述证书向认证服务器发起TLS连接；

所述认证服务器，与所述目标主机具有连接关系，用于接收所述目标主机发送的所述账户信息，并根据所述账户信息确定是否存在与所述前端设备关联的确认设备，如果存在，根据所述账户信息生成认证请求，其中，所述认证请求包括所述账户信息；

确认设备，与所述认证服务器网络连接，用于接收所述认证请求，并将根据所述认证请求而生成的确认信息返回至所述认证服务器；

其中，在所述认证服务器将所述确认信息反馈给所述前端设备的情况下，确定所述当前账户为合法账户。

17.根据权利要求16所述的***，其特征在于，

所述目标主机分别与至少一个前端设备和至少一个确认设备建立网络连接，并接收任意一个前端设备首次远程登录所述目标主机时所使用的第一账户信息，以及任意一个确认设备首次远程登录所述目标主机时所使用的第二账户信息；

所述目标主机根据所述第一账户信息生成第一注册请求，根据所述第二账户信息生成第二注册请求；

所述目标主机将所述第一注册请求和/或所述第二注册请求发送至所述认证服务器；

所述目标主机接收所述认证服务器根据所述第一注册请求生成第一注册信息，和/或根据所述第二注册请求生成第二注册信息，其中，所述第一注册信息包括：与所述第一账户信息关联的证书，所述第二注册信息至少包括：所述第二账户信息；

所述目标主机保存所述第一注册信息和所述第二注册信息；

其中，在所述第一账户信息与所述第二账户信息相同的情况下，所述认证服务器中使用所述第一账户信息注册的前端设备与使用所述第二账户信息注册的确认设备是相互关联的设备。

18.根据权利要求16或17所述的***，其特征在于，所述***还包括：鉴权服务器，与所述前端设备网络连接，用于接收所述前端设备发送的验证码，按照预定的解密算法对所述验证码进行解码，并验证解码结果，其中，所述验证码为所述前端设备按照预定加密算法将所述当前账户的所述账户信息和安全证书进行加密，生成的用于鉴权的验证码；

其中，如果验证所述解码结果通过，所述目标主机向所述前端设备询问是否需要接入网络，如果需要则所述前端设备与所述目标主机建立网络连接，并向所述目标主机发出所述登录请求。

19.根据权利要求18所述的***，其特征在于，所述鉴权服务器还用于接收到所述前端设备的注册请求，并产生与所述注册请求对应的所述安全证书，将所述安全证书返回至所述前端设备。

20.一种身份认证装置，其特征在于，包括：

接收模块，用于使认证***接收前端设备发出的登录请求，其中，所述登录请求包括：使用所述前端设备的当前账户的账户信息；

第一确定模块，用于使所述认证***根据所述账户信息确定与所述前端设备关联的确认设备；

发送模块，用于使所述认证***发送认证请求至所述确认设备进行显示，其中，所述认证请求包括所述账户信息；

第二确定模块，用于使所述认证***在接收到所述确认设备返回确认信息的情况下，确定所述当前账户为合法账户，其中，所述确认信息为所述确认设备接收到确认指令之后所产生的信息。

21.一种身份认证装置，其特征在于，包括：

发送模块，用于使前端设备发出登录请求至认证***，其中，所述登录请求包括：使用所述前端设备的当前账户的账户信息；

接收模块，用于使所述前端设备接收所述认证***返回的登录结果，

22.一种身份认证装置，其特征在于，包括：

第一发送模块，用于使目标主机接收前端设备发出的登录请求，其中，所述登录请求包括：使用所述前端设备的当前账户的账户信息；

第二发送模块，用于使所述目标主机将所述账户信息发送至认证服务器，使得所述认证服务器在根据所述账户信息确定与所述前端设备关联的确认设备之后，发送认证请求至所述确认设备，其中，所述认证请求包括所述账户信息；

确定模块，用于使所述目标主机在接收到所述确认设备响应所述认证请求而返回的确认信息的情况下，确定所述当前账户为合法账户。