CN110418345B - 身份认证方法、装置和计算机设备 - Google Patents
身份认证方法、装置和计算机设备 Download PDFInfo
- Publication number
- CN110418345B CN110418345B CN201910675729.1A CN201910675729A CN110418345B CN 110418345 B CN110418345 B CN 110418345B CN 201910675729 A CN201910675729 A CN 201910675729A CN 110418345 B CN110418345 B CN 110418345B
- Authority
- CN
- China
- Prior art keywords
- identity
- identity authentication
- authentication
- user terminal
- authentication request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请涉及一种身份认证方法、身份认证装置和计算机设备。方法包括:接收用户终端的身份认证请求;身份认证请求中携带有身份认证请求的当前生存时间值;比对当前生存时间值与身份认证请求的初始生存时间值;根据比对结果确定用户终端的身份认证结果;身份认证结果包括本机接入或者非本机接入;利用身份认证结果,响应身份认证请求。采用本方法能够使得用户终端在进行身份认证的过程中,避免出现因为接入第三方热点导致的身份信息误识别的情况,有效地加固了身份认证和身份识别流程,保证了身份认证的准确率和安全性。
Description
技术领域
本申请涉及移动通信技术领域,特别是涉及一种身份认证方法、身份认证装置和计算机设备。
背景技术
身份认证,是指在计算机及计算机网络***中确认用户身份的过程,用于确定该用户是否具有对某种资源的访问和使用权限,进而防止攻击者假冒合法用户获得资源的访问权限,保证***和数据的安全,以及授权访问者的合法利益。认证网关具有用户身份认证代理的功能,其可在身份认证过程中,与认证服务***进行交互,从而完成用户的身份认证,进而根据认证结果核对该用户的可信网络访问权限,完成网络接入的鉴权控制。
网关免密认证即是基于认证网关的一种身份认证形式,指依托电信运营商的移动数据网络,采用“通信网关识别”及SIM卡识别等技术实现的互联网身份认证方法;运营商网络侧的通信网关可识别用户信息(用户终端的手机号码等),并将该用户信息进行加密,通过HTTP或HTTPS透传至认证服务平台;认证服务平台再通过能力开放,提供给第三方合作平台认证。
其中,用户终端通过移动流量访问认证服务平台时,接入通信网关的访问请求中会携带用户终端的用户信息,然而,在基于用户终端认证身份的过程中,存在一种身份信息误识别的情况。具体例如,若用户终端A接入用户终端B建立的共享流量热点W,A在访问认证服务平台时,由于利用热点W接入运营商的网络,因此运营商通信网关将在A的请求中携带B的加密信息透传到认证服务平台,那么认证服务平台会在识别A的用户信息时,将B的用户信息误认成是A的用户信息,由此,在实际的身份认证过程中会造成接入终端身份识别错误、认证***安全性差的问题。
发明内容
基于此,有必要针对上述技术问题,提供一种身份认证方法、身份认证装置和计算机设备。
一方面,本发明实施例提供一种身份认证方法,所述方法包括:
接收用户终端的身份认证请求;所述身份认证请求中携带有所述身份认证请求的当前生存时间值;
比对所述当前生存时间值与所述身份认证请求的初始生存时间值;
根据比对结果确定所述用户终端的身份认证结果;所述身份认证结果包括本机接入或者非本机接入;
利用所述身份认证结果,响应所述身份认证请求。
在其中一个实施例中,所述根据比对结果确定所述用户终端的身份认证结果的步骤,包括:
若所述初始生存时间值与所述当前生存时间值的差值为预设值,则确定所述用户终端的身份识别结果为本机接入;所述预设值为所述身份认证请求进入网络后预设的转发次数;
若所述初始生存时间值与所述当前生存时间值的差值不为所述预设值,则确定所述用户终端的身份识别结果为非本机接入。
在其中一个实施例中,所述接收用户终端的身份认证请求的步骤,包括:
接收认证网关转发的所述用户终端的身份认证请求;
所述当前生存时间值为所述身份认证请求在所述认证网关的中转生存时间值-1。
在其中一个实施例中,所述中转生存时间值由所述认证网关获取并添加至所述身份认证请求中。
在其中一个实施例中,所述认证网关与所述用户终端网络连接;所述预设值为1。
在其中一个实施例中,所述利用所述身份识别结果,响应所述身份认证请求的步骤,包括:
若所述身份识别结果为本机接入,则为所述用户终端分配用于身份认证的令牌;
若所述身份识别结果为非本机接入,则拒绝为所述用户终端分配用于身份认证的令牌。
在其中一个实施例中,所述身份认证请求中还携带有所述用户终端的身份标识信息;
所述利用所述身份识别结果,响应所述身份认证请求的步骤,包括:
若所述身份识别结果为本机接入,则识别所述身份认证请求中的所述用户终端的身份标识信息;
根据所述身份标识信息为所述用户终端分配用于身份认证的令牌。
在其中一个实施例中,所述身份标识信息由所述认证网关加密并添加至所述身份认证请求中;
所述识别所述身份认证请求中的所述用户终端的身份标识信息的步骤,包括:
将所述身份认证请求中的身份标识信息进行解密;
根据解密后的身份标识信息识别所述用户终端的身份标识信息。
另一方面,本发明实施例提供一种身份认证装置,所述装置包括:
请求接收模块,用于接收用户终端的身份认证请求;所述身份认证请求中携带有所述身份认证请求的当前生存时间值;
时间比对模块,用于比对所述当前生存时间值与所述身份认证请求的初始生存时间值;
身份确定模块,用于根据比对结果确定所述用户终端的身份认证结果;所述身份认证结果包括本机接入或者非本机接入;
请求响应模块,用于利用所述身份认证结果,响应所述身份认证请求。
再一方面,本发明实施例提供一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现一种身份认证方法的步骤。
上述技术方案中的一个技术方案具有如下优点或有益效果:通过接收用户终端的身份认证请求,并识别其携带的身份认证请求的当前生存时间值,比对当前生存时间值与身份认证请求的初始生存时间值;接着,根据比对结果确定用户终端的身份认证结果;身份认证结果包括本机接入或者非本机接入;利用身份认证结果,即可响应该身份认证请求;该方法通过比对身份认证请求当前的生存时间值与初始生存时间值,即可得知该身份认证请求在计算机网络中被转发的次数,通过该跳转次数即可得知该身份认证请求在网络中是否经过用户终端之外的其它终端转发,由此使得用户终端在进行身份认证的过程中,避免因为接入第三方热点导致的身份信息误识别的情况,有效地加固了身份认证流程,保证了身份认证的准确率和安全性。
附图说明
图1为一个实施例中身份认证方法的应用环境图;
图2为一个实施例中身份认证方法的示意性流程图;
图3为另一个实施例中身份认证方法的示意性流程图;
图4为另一个实施例中身份认证方法的示意性流程图;
图5为一个实施例中身份认证装置的示意性结构图;
图6为计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
本申请提供的身份认证方法,可以应用于如图1所示的应用环境中。其中,包括用户终端、认证网关及用于对用户终端进行身份认证的认证服务平台,用户终端可通过无线网络与认证网关相通信,认证网关可为TCP/IP协议中的网关,可通过有线或无线网络与认证服务平台相通信;用户终端为但不局限于个人电脑、智能手机、平板电脑、车载电脑、个人数字助理、便携式穿戴设备等。
图1中的用户终端可发送身份认证请求至认证网关,此时,认证网关接收到的身份认证请求可能是用户终端直接发送的,也可能是由其它终端转发的(用户终端接入其它终端建立的共享流量热点);认证网关将该身份认证请求转发至认证服务平台,以供认证服务平台对用户终端的身份信息进行审核和校验;转发过程中,认证网关可根据身份认证请求获取到该用户终端的身份识别信息和当前身份认证请求的中转生存时间值,并将二者添加到原身份认证请求中;接着,认证服务平台将根据认证网关发送的身份认证请求进行分析处理,比较身份认证请求的初始生存时间值和经认证网关跳转后的当前生存时间值,并根据比较结果确定用户终端的身份识别结果;身份识别结果包括本机接入或者非本机接入,最终利用身份识别结果,响应上述的身份认证请求。
在一个实施例中,如图2所示,提供了一种身份认证方法,以该方法应用于图1中的认证服务平台为例进行说明,包括以下步骤:
S202,接收用户终端的身份认证请求;身份认证请求中携带有身份认证请求的当前生存时间值。
其中,生存时间值(Time To Live,TTL),即数据包被网关丢弃之前允许通过的网段数量,或者指一条域名解析记录在DNS服务器中的存留时间。TTL字段由IP数据包的发送者设置,在IP数据包从源端到目的端的整个转发路径上,每经过一个网关,网关均会修改TTL字段值(例如,每转发一次该TTL的值将减1),然后再将IP数据包转发出去。如果在IP数据包到达目的端之前,TTL减少为0,网关将会丢弃收到的TTL=0的IP数据包并向IP数据包的发送者发送提示消息(如ICMP time exceeded)。因此,上述S202中的当前生存时间值,可以指的是,身份认证请求转发到认证服务平台后其数据包IP头中当前存储的生存时间值。
需要说明的是,认证服务平台可从网关设备处接收到上述的用户终端的身份认证请求,也可从其他第三方设备处,具体可根据实际情况进行设定和选用。
另外,身份认证请求可通过用户终端在接收到针对身份认证选项的触发指令后生成,以表示该用户终端当前需要进行身份认证操作;身份认证选项可在用户终端的***软件、客户端应用、微信小程序等操作界面上进行显示。
S204,比对当前生存时间值与身份认证请求的初始生存时间值。
身份认证请求的初始生存时间值,即由IP数据包的发送者“用户终端”进行设置的初始的TTL值,一般而言,初始生存时间值可设置为64,当然,也可为32、128等,具体可根据实际情况进行选取和设置。
本发明实施例中,认证服务平台获取身份认证请求的初始生存时间值的途径可为多种,例如在身份认证过程中,通过认证网关将用户终端上设置的初始生存时间值以数据包的形式转发到认证服务平台;或者,提前将初始生存时间值预存在认证服务平台自身数据库中,以于需要时进行调用;也可从外部配置到认证服务平台上,以满足比对和调用;当然也可通过其他途径获取身份认证请求的初始生存时间值,此处不作赘述。
可以理解地,比对当前生存时间值与初始生存时间值的目的在于,获取该身份认证请求在计算机网络中被转发的次数,通过该次数即可得知该身份认证请求在网络中是否经过用户终端之外的其它终端转发。网关设备的作用为:TCP/IP协议判定两个网络中的主机处在不同的网络里,需要通过网关将其连接;如果网络A中的主机发现数据包的目的主机不在本地网络中,其将把数据包转发至其自身的网关,再由自身网关转发给网络B的网关,网络B的网关再转发给网络B的某个主机;基于该过程可知,本步骤中的身份认证请求在用户终端与认证服务平台之间的网络中被转发的次数与设置在二者之间的主机和网关数量是相关的,由此,若用户终端接入的是其运营商内网(运营商是指提供网络服务的供应商,此处的接入运营商内网指的是接入本机的运营商移动网络),其与认证服务平台之间的网关数量则是可预知的;这样,一旦当前生存时间值与初始生存时间值的比对结果与提前预知的需要转发的次数不吻合(如比预知的数值小),则可以确定该身份认证请求还经过了其它主机的网关转发,进而可间接确定用户终端可能是通过其他终端的第三方热点接入网络的,此时,即可检验出错误的身份认证结果。
需要说明的是,比对当前生存时间值与初始生存时间值的一种具体的实施方式可为,通过将初始生存时间值与当前生存时间值作差处理,得到二者的差值,该差值即为身份认证请求在计算机网络中的转发次数。
S206,根据比对结果确定用户终端的身份认证结果;身份认证结果包括本机接入或者非本机接入。
其中,确定用户终端的身份识别结果是否为本机接入,可以理解为,确定用户终端的身份识别结果是否为本机终端在接入运营商移动网络的前提下发送的身份认证请求。
S208,利用身份认证结果,响应身份认证请求。
即在确定用户终端的身份识别结果是否为本机接入后,认证服务平台将针对身份认证请求进行对应的响应。
具体例如,若用户终端的身份识别结果是本机接入,则代表本机终端是在接入运营商移动网络的前提下发送的身份认证请求,进一步可以确定此时的用户终端身份确认无误,可根据该身份认证请求,执行后续身份认证的操作;若用户终端的身份识别结果为不是本机接入(即非本机接入),则代表本机终端是在接入非运营商移动网络的前提下发送的身份认证请求,此时,用户终端的身份确认有误,可根据该身份认证请求,拒绝执行后续身份认证的操作。该身份认证的方法可具体应用在免密认证的身份识别过程中,具体可使用于免密登录、免密支付、重要设备识别等应用场景下,避免将本机终端的登录身份、支付身份或者重要的待识别设备的身份,误确认为其它终端或设备的身份,相比现有的身份认证流程,安全性更高。
本发明上述实施例中,执行主体可为认证服务平台中的控制器、服务器或其它设备,或者认证服务平台以外的其他可用于身份认证的***或设备,具体可根据实际情况进行选择和变更。
上述实施例的身份认证方法中,通过接收用户终端的身份认证请求,并识别其携带的身份认证请求的当前生存时间值,比对当前生存时间值与身份认证请求的初始生存时间值;接着,根据比对结果确定用户终端的身份认证结果;身份认证结果包括本机接入或者非本机接入;利用身份认证结果,即可响应该身份认证请求;该方法通过比对身份认证请求当前的生存时间值与初始生存时间值,即可得知该身份认证请求在计算机网络中被转发的次数,通过该跳转次数即可得知该身份认证请求在网络中是否经过用户终端之外的其它终端转发,由此使得用户终端在进行身份认证的过程中,避免因为接入第三方热点导致的身份信息误识别的情况,有效地加固了身份认证流程,保证了身份认证的准确率和安全性。
在一些实施例中,S204具体包括:若初始生存时间值与当前生存时间值的差值为预设值,则确定用户终端的身份识别结果为本机接入;预设值为身份认证请求进入网络后的预设转发次数;若初始生存时间值与当前生存时间值的差值不为预设值,则确定用户终端的身份识别结果为非本机接入。
具体地,如图3所示,上述预设值可以设置为1,即认证网关与用户终端网络连接,此时可提前预知下述信息:当用户终端接入运营商内网时,其发出的身份认证请求直接通过认证网关传输到认证服务平台,该认证网关处为身份认证请求进入网络的第一次跳转。
此时,认证服务平台获取用户终端的身份认证请求的初始生存时间值与当前生存时间值,并将二者进行作差处理,判断得到的差值是否为1,若为1,则确定认证网关处为身份认证请求进入网络的第一次跳转,身份识别结果为本机接入;若不为1,例如可能是2,则确定认证网关不是身份认证请求进入网络的第一次跳转,用户终端是通过连接其他终端的热点接入网络,身份认证请求的第一次跳转由该其他终端的网关完成,进而确定身份识别结果为非本机接入。
需要说明的是,当认证网关处为身份认证请求进入网络的第一次跳转时,该预设值也可以不为1,而是根据网关或路由器在转发IP数据包时将TTL减小的具体值来确定,该具体值此处不作限定。
在一些实施例中,如图4所示,S202具体包括:接收认证网关转发的用户终端的身份认证请求;当前生存时间值为身份认证请求在认证网关的中转生存时间值-1。
此处的中转生存时间值,可以理解为,身份认证请求经认证网关转发之前的生存时间值。若用户终端为本机接入,且认证网关处为身份认证请求进入网络的第一次跳转,该中转生存时间值则与身份认证请求的初始生存时间值相一致;若用户终端为非本机接入,且认证网关处为身份认证请求进入网络的第一次跳转,该中转生存时间值则与身份认证请求的初始生存时间值不一致。
需要说明的是,认证服务平台也可通过比对上述的中转生存时间值与身份认证请求的初始生存时间值,然后执行步骤S206,以实现用户终端身份的认证。
在一些实施例中,上述的中转生存时间值由认证网关获取并添加至身份认证请求中。具体地,中转生存时间值可由认证网关从TCP/IP数据包中获取并添加至身份认证请求中。
在一些实施例中,S208具体包括:若身份识别结果为本机接入,则为用户终端分配用于身份认证的令牌;若身份识别结果为非本机接入,则拒绝为用户终端分配用于身份认证的令牌。
其中,拒绝向用户终端分配用于身份认证的令牌的同时,可提示用户终端身份认证失败,提示的形式可为多种,例如,当认证服务平台确认身份识别结果为非本机接入,即身份认证身份有误时,可不作任何响应,使得用户终端持续加载身份认证请求发送界面,或者其他等待界面等;也可在用户终端的显示屏上显示重新输入账号和密码的登录界面;或者向用户终端发送其他指令,以使用户终端显示身份认证失败等提示性信息。
需要说明的是,用于身份认证的令牌可根据现有的身份认证流程进行设置和选用,此处不作赘述。
在一些实施例中,身份认证请求中还携带有用户终端的身份标识信息;S208具体还可以包括:若身份识别结果为本机接入,则识别身份认证请求中的用户终端的身份标识信息;根据身份标识信息为用户终端分配用于身份认证的令牌。
即当用户终端发起HTTP身份认证请求时,需要经过认证网关的转发,认证网关在转发时可以执行各种业务策略,包括获取待认证的用户终端的中转生存时间值、身份标识信息等;其中,身份标识信息可为用于区分各个用户终端的标识性信息,如国际移动用户识别码(IMSI)。
在一些实施例中,身份标识信息由认证网关加密并添加至身份认证请求中;上述的识别身份认证请求中的用户终端的身份标识信息的步骤,可以包括:将身份认证请求中的身份标识信息进行解密;根据解密后的身份标识信息识别用户终端的身份标识信息。通过加密和解密该用户终端的身份标识信息,进一步提高了身份认证的安全性。
综上,该身份认证方法不仅可用以加固身份认证的身份识别,防止因为接入第三方热点导致的身份误识别问题;还可在特有设备识别和支付等需要高安全验证的场景下,用于判断终端是否处于直连接入移动流量网络的状态;可用于检测和判断,终端是否借助第三方热点接入移动网络;另外,还可根据该方法,利用运营商鉴别终端或设备的真伪;应用广泛,通用性强,易于实现。
下面以免密登录时的身份认证过程为例,进一步介绍本申请提出的身份认证方法:
1、用户终端发起用于免密认证的身份认证请求;
2、认证网关获取身份认证请求的TTL值并***请求信息中;
3、认证服务平台根据TTL值判断请求是由本机终端发起还是由其他终端转发;如果是本机终端发起,根据本机终端的身份标识(如手机号码)给予免密认证通过;如果是非本机终端转发,则根据本机终端的身份标识,向本机终端反馈认证失败的提示信息。
上述方案的有益效果在于:该身份认证方法不仅可用以加固免密认证的身份识别,防止因为接入第三方热点导致的身份误识别问题;还可在特有设备识别和支付等需要高安全验证的场景下,用于判断终端是否处于直连接入移动流量网络的状态;可用于检测和判断,终端是否借助第三方热点接入移动网络;另外,还可根据该方法,利用运营商鉴别终端或设备的真伪;应用广泛,通用性强,易于实现。
应该理解的是,对于前述的各方法实施例,虽然流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,方法实施例的流程图中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
基于与上述实施例中的身份认证方法相同的思想,本文还提供一种身份认证装置。
在一个实施例中,如图5所示,提供了一种身份认证装置,包括:请求接收模块401、时间比对模块402、身份确定模块403和请求响应模块404,其中:
请求接收模块401,用于接收用户终端的身份认证请求;身份认证请求中携带有身份认证请求的当前生存时间值;
时间比对模块402,用于比对当前生存时间值与身份认证请求的初始生存时间值;
身份确定模块403,用于根据比对结果确定用户终端的身份认证结果;身份认证结果包括本机接入或者非本机接入;
请求响应模块404,用于利用身份认证结果,响应身份认证请求。
在一些实施例中,时间比对模块402,具体可以用于:若初始生存时间值与当前生存时间值的差值为预设值,则确定用户终端的身份识别结果为本机接入;预设值为身份认证请求进入网络后的预设转发次数;若初始生存时间值与当前生存时间值的差值不为预设值,则确定用户终端的身份识别结果为非本机接入。
在一些实施例中,请求接收模块401,具体可以用于:接收认证网关转发的用户终端的身份认证请求;当前生存时间值为身份认证请求在认证网关的中转生存时间值-1。
在一些实施例中,中转生存时间值由认证网关获取并添加至身份认证请求中。
在一些实施例中,认证网关与用户终端网络连接;上述的预设值可选为1。
在一些实施例中,请求响应模块404,具体可以用于:若身份识别结果为本机接入,则为用户终端分配用于身份认证的令牌;若身份识别结果为非本机接入,则拒绝为用户终端分配用于身份认证的令牌。
在一些实施例中,身份认证请求中还携带有用户终端的身份标识信息;请求响应模块404,具体还可以用于:若身份识别结果为本机接入,则识别身份认证请求中的用户终端的身份标识信息;根据身份标识信息为用户终端分配用于身份认证的令牌。
在一些实施例中,身份标识信息由认证网关加密并添加至身份认证请求中;请求响应模块404,具体还可以用于:将身份认证请求中的身份标识信息进行解密;根据解密后的身份标识信息识别用户终端的身份标识信息。
关于身份认证装置的具体限定可以参见上文中对于身份认证方法的限定,在此不再赘述。上述身份认证装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
此外,上述示例的身份认证装置的实施方式中,各程序模块的逻辑划分仅是举例说明,实际应用中可以根据需要,例如出于相应硬件的配置要求或者软件的实现的便利考虑,将上述功能分配由不同的程序模块完成,即将身份认证装置的内部结构划分成不同的程序模块,以完成以上描述的全部或者部分功能。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是运营商控制器或服务器设备,其内部结构图可以如图6所示。该计算机设备包括通过***总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作***、计算机程序和数据库。该内存储器为非易失性存储介质中的操作***和计算机程序的运行提供环境。该计算机设备的数据库用于存储身份认证数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种身份认证方法。
本领域技术人员可以理解,图6中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现以下步骤:接收用户终端的身份认证请求;身份认证请求中携带有身份认证请求的当前生存时间值;比对当前生存时间值与身份认证请求的初始生存时间值;根据比对结果确定用户终端的身份认证结果;身份认证结果包括本机接入或者非本机接入;利用身份认证结果,响应身份认证请求。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:若初始生存时间值与当前生存时间值的差值为预设值,则确定用户终端的身份识别结果为本机接入;预设值为身份认证请求进入网络后的预设转发次数;若初始生存时间值与当前生存时间值的差值不为预设值,则确定用户终端的身份识别结果为非本机接入。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:接收认证网关转发的用户终端的身份认证请求;当前生存时间值为身份认证请求在认证网关的中转生存时间值-1。
在一个实施例中,中转生存时间值由认证网关获取并添加至身份认证请求中。
在一个实施例中,认证网关与用户终端网络连接;预设值为1。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:若身份识别结果为本机接入,则为用户终端分配用于身份认证的令牌;若身份识别结果为非本机接入,则拒绝为用户终端分配用于身份认证的令牌。
在一个实施例中,身份认证请求中还携带有用户终端的身份标识信息;处理器执行计算机程序时还实现以下步骤:若身份识别结果为本机接入,则识别身份认证请求中的用户终端的身份标识信息;根据身份标识信息为用户终端分配用于身份认证的令牌。
在一个实施例中,身份标识信息由认证网关加密并添加至身份认证请求中;处理器执行计算机程序时还实现以下步骤:将身份认证请求中的身份标识信息进行解密;根据解密后的身份标识信息识别用户终端的身份标识信息。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:接收用户终端的身份认证请求;身份认证请求中携带有身份认证请求的当前生存时间值;比对当前生存时间值与身份认证请求的初始生存时间值;根据比对结果确定用户终端的身份认证结果;身份认证结果包括本机接入或者非本机接入;利用身份认证结果,响应身份认证请求。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:若初始生存时间值与当前生存时间值的差值为预设值,则确定用户终端的身份识别结果为本机接入;预设值为身份认证请求进入网络后的预设转发次数;若初始生存时间值与当前生存时间值的差值不为预设值,则确定用户终端的身份识别结果为非本机接入。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:接收认证网关转发的用户终端的身份认证请求;当前生存时间值为身份认证请求在认证网关的中转生存时间值-1。
在一个实施例中,中转生存时间值由认证网关获取并添加至身份认证请求中。
在一个实施例中,认证网关与用户终端网络连接;预设值为1。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:若身份识别结果为本机接入,则为用户终端分配用于身份认证的令牌;若身份识别结果为非本机接入,则拒绝为用户终端分配用于身份认证的令牌。
在一个实施例中,身份认证请求中还携带有用户终端的身份标识信息;计算机程序被处理器执行时还实现以下步骤:若身份识别结果为本机接入,则识别身份认证请求中的用户终端的身份标识信息;根据身份标识信息为用户终端分配用于身份认证的令牌。
在一个实施例中,身份标识信息由认证网关加密并添加至身份认证请求中;计算机程序被处理器执行时还实现以下步骤:将身份认证请求中的身份标识信息进行解密;根据解密后的身份标识信息识别用户终端的身份标识信息。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其它实施例的相关描述。
本文实施例的术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或(模块)单元的过程、方法、***、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
在本文中提及的“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
在本文中提及的“第一\第二”仅仅是是区别类似的对象,不代表针对对象的特定排序,可以理解地,“第一\第二”在允许的情况下可以互换特定的顺序或先后次序。应该理解“第一\第二”区分的对象在适当情况下可以互换,以使这里描述的实施例能够以除了在这里图示或描述的那些以外的顺序实施。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种身份认证方法,所述方法包括:
认证服务平台接收用户终端的身份认证请求;所述身份认证请求中携带有所述身份认证请求的当前生存时间值;所述当前生存时间值为所述身份认证请求转发到所述认证服务平台后其数据包IP头中当前存储的生存时间值;
所述认证服务平台将所述当前生存时间值与所述身份认证请求的初始生存时间值作差处理,得到差值,所述差值为身份认证请求在计算机网络中的转发次数;
所述认证服务平台根据所述差值确定所述用户终端的身份认证结果;所述身份认证结果包括本机接入或者非本机接入;所述认证服务平台根据所述差值确定所述用户终端的身份认证结果的步骤,包括:若所述初始生存时间值与所述当前生存时间值的差值为预设值,则认证服务平台确定所述用户终端的身份识别结果为本机接入;所述预设值为所述身份认证请求进入网络后的预设转发次数;若所述初始生存时间值与所述当前生存时间值的差值不为所述预设值,则认证服务平台确定所述用户终端的身份识别结果为非本机接入;
所述认证服务平台利用所述身份认证结果,响应所述身份认证请求;所述认证服务平台利用所述身份识别结果,响应所述身份认证请求的步骤,包括:若所述身份识别结果为本机接入,则所述认证服务平台为所述用户终端分配用于身份认证的令牌;若所述身份识别结果为非本机接入,则所述认证服务平台拒绝为所述用户终端分配用于身份认证的令牌。
2.根据权利要求1所述的方法,其特征在于,所述认证服务平台接收用户终端的身份认证请求的步骤,包括:
所述认证服务平台接收认证网关转发的所述用户终端的身份认证请求;
所述当前生存时间值为所述身份认证请求在所述认证网关的中转生存时间值-1。
3.根据权利要求2所述的方法,其特征在于,所述中转生存时间值由所述认证网关获取并添加至所述身份认证请求中。
4.根据权利要求2所述的方法,其特征在于,所述认证网关与所述用户终端网络连接;所述预设值为1。
5.根据权利要求2至4任一项所述的方法,其特征在于,所述身份认证请求中还携带有所述用户终端的身份标识信息;
所述认证服务平台利用所述身份识别结果,响应所述身份认证请求的步骤,包括:
若所述身份识别结果为本机接入,则所述认证服务平台识别所述身份认证请求中的所述用户终端的身份标识信息;
所述认证服务平台根据所述身份标识信息为所述用户终端分配用于身份认证的令牌。
6.根据权利要求5所述的方法,其特征在于,所述身份标识信息由所述认证网关加密并添加至所述身份认证请求中;
所述认证服务平台识别所述身份认证请求中的所述用户终端的身份标识信息的步骤,包括:
所述认证服务平台将所述身份认证请求中的身份标识信息进行解密;
所述认证服务平台根据解密后的身份标识信息识别所述用户终端的身份标识信息。
7.一种身份认证装置,其特征在于,所述装置包括:
请求接收模块,用于认证服务平台接收用户终端的身份认证请求;所述身份认证请求中携带有所述身份认证请求的当前生存时间值;所述当前生存时间值为所述身份认证请求转发到所述认证服务平台后其数据包IP头中当前存储的生存时间值;
时间比对模块,用于所述认证服务平台将所述当前生存时间值与所述身份认证请求的初始生存时间值作差处理,得到差值;
身份确定模块,用于所述认证服务平台根据所述差值确定所述用户终端的身份认证结果;所述身份认证结果包括本机接入或者非本机接入;所述根据所述差值确定所述用户终端的身份认证结果,包括:若所述初始生存时间值与所述当前生存时间值的差值为预设值,则确定所述用户终端的身份识别结果为本机接入;所述预设值为所述身份认证请求进入网络后的预设转发次数;若所述初始生存时间值与所述当前生存时间值的差值不为所述预设值,则确定所述用户终端的身份识别结果为非本机接入;
请求响应模块,用于所述认证服务平台利用所述身份认证结果,响应所述身份认证请求;所述认证服务平台利用所述身份识别结果,响应所述身份认证请求,包括:若所述身份识别结果为本机接入,则所述认证服务平台为所述用户终端分配用于身份认证的令牌;若所述身份识别结果为非本机接入,则所述认证服务平台拒绝为所述用户终端分配用于身份认证的令牌。
8.根据权利要求7所述的身份认证装置,其特征在于,所述请求接收模块还包括:所述认证服务平台接收认证网关转发的所述用户终端的身份认证请求;所述当前生存时间值为所述身份认证请求在所述认证网关的中转生存时间值-1。
9.根据权利要求8所述的身份认证装置,其特征在于,所述中转生存时间值由所述认证网关获取并添加至所述身份认证请求中。
10.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910675729.1A CN110418345B (zh) | 2019-07-25 | 2019-07-25 | 身份认证方法、装置和计算机设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910675729.1A CN110418345B (zh) | 2019-07-25 | 2019-07-25 | 身份认证方法、装置和计算机设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110418345A CN110418345A (zh) | 2019-11-05 |
CN110418345B true CN110418345B (zh) | 2022-08-19 |
Family
ID=68363074
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910675729.1A Active CN110418345B (zh) | 2019-07-25 | 2019-07-25 | 身份认证方法、装置和计算机设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110418345B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114071455A (zh) * | 2020-07-29 | 2022-02-18 | 中国电信股份有限公司 | 免密认证方法、服务器和***、网关设备 |
CN113890765A (zh) * | 2021-10-28 | 2022-01-04 | 中国电信股份有限公司 | 用于互联网应用的免密认证方法、***和存储介质 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1148683C (zh) * | 2002-04-30 | 2004-05-05 | 北京信源咨讯信息技术有限公司 | 无线身份认证和数据收发的门禁方法及其门禁*** |
CN1310568C (zh) * | 2003-02-17 | 2007-04-11 | ***通信集团公司 | 对移动终端用户身份进行安全认证的方法 |
US8255984B1 (en) * | 2009-07-01 | 2012-08-28 | Quest Software, Inc. | Single sign-on system for shared resource environments |
WO2012129113A1 (en) * | 2011-03-18 | 2012-09-27 | Smith Micro Software, Inc. | Managing tethered data traffic over a hotspot network |
GB2505211B (en) * | 2012-08-22 | 2014-10-29 | Vodafone Ip Licensing Ltd | Communications device authentication |
WO2014031829A2 (en) * | 2012-08-23 | 2014-02-27 | Interdigital Patent Holdings, Inc. | Method and apparatus for performing device-to-device discovery |
CN103139015B (zh) * | 2013-02-08 | 2016-08-03 | 华为技术有限公司 | 网络共享检测方法、装置及设备 |
-
2019
- 2019-07-25 CN CN201910675729.1A patent/CN110418345B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN110418345A (zh) | 2019-11-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110266656B (zh) | 免密认证身份识别方法、装置及计算机设备 | |
US10397782B2 (en) | Wireless access authentication | |
US10445487B2 (en) | Methods and apparatus for authentication of joint account login | |
EP2651097B1 (en) | Method of authenticating a user at a service on a service server, application and system | |
CN111031047B (zh) | 设备通信方法、装置、计算机设备及存储介质 | |
US20130283040A1 (en) | Method, system and device for binding and operating a secure digital memory card | |
DK2924944T3 (en) | Presence authentication | |
US10148636B2 (en) | Authentication methods and apparatus | |
CN104580553B (zh) | 网络地址转换设备的识别方法和装置 | |
CN106936600B (zh) | 流量计费方法和***以及相关设备 | |
CN112272089B (zh) | 云主机登录方法、装置、设备及计算机可读存储介质 | |
US20140304510A1 (en) | Secure authentication system with automatic cancellation of fraudulent operations | |
CN110418345B (zh) | 身份认证方法、装置和计算机设备 | |
CN113473458B (zh) | 一种设备接入方法、数据传输方法和计算机可读存储介质 | |
CN105763517A (zh) | 一种路由器安全接入和控制的方法及*** | |
US10142437B2 (en) | Prioritising SIP messages | |
CN113115309B (zh) | 车联网的数据处理方法、装置、存储介质和电子设备 | |
KR20220100886A (ko) | 네트워크 슬라이스 상에서 사용자를 인증하기 위한 방법 | |
CN102624724B (zh) | 安全网关及利用网关安全登录服务器的方法 | |
US10028141B2 (en) | Method and system for determining that a SIM and a SIP client are co-located in the same mobile equipment | |
CN114039748A (zh) | 身份验证方法、***、计算机设备和存储介质 | |
CN109561093B (zh) | 越权行为检测方法、装置、计算机设备和存储介质 | |
CN112347391A (zh) | 一种保护api隐私参数的方法和装置 | |
CN107995587B (zh) | 认证方法、认证平台以及认证***和服务商平台 | |
CN110768886A (zh) | 应用程序自动连接vpn方法、装置、计算机设备和介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
TA01 | Transfer of patent application right | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20220113 Address after: Room 1423, No. 1256 and 1258, Wanrong Road, Jing'an District, Shanghai 200040 Applicant after: Tianyi Digital Life Technology Co.,Ltd. Address before: 1 / F and 2 / F, East Garden, Huatian International Plaza, 211 Longkou Middle Road, Tianhe District, Guangzhou, Guangdong 510630 Applicant before: Century Dragon Information Network Co.,Ltd. |
|
GR01 | Patent grant | ||
GR01 | Patent grant |