CN113672884A - 身份认证方法、装置、存储介质和身份认证设备 - Google Patents
身份认证方法、装置、存储介质和身份认证设备 Download PDFInfo
- Publication number
- CN113672884A CN113672884A CN202110966915.8A CN202110966915A CN113672884A CN 113672884 A CN113672884 A CN 113672884A CN 202110966915 A CN202110966915 A CN 202110966915A CN 113672884 A CN113672884 A CN 113672884A
- Authority
- CN
- China
- Prior art keywords
- authentication
- verification
- client
- authentication information
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 44
- 238000012795 verification Methods 0.000 claims abstract description 386
- 238000004590 computer program Methods 0.000 claims description 13
- 238000010586 diagram Methods 0.000 description 7
- 230000003993 interaction Effects 0.000 description 6
- 230000007246 mechanism Effects 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 238000004891 communication Methods 0.000 description 3
- 238000005336 cracking Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 1
- 239000003999 initiator Substances 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Telephonic Communication Services (AREA)
Abstract
本申请实施例提供一种身份认证方法、装置、存储介质和身份认证设备,属于信息安全技术领域。本申请提供的身份认证方法,在接收到认证信息后,可以对认证信息进行验证,若验证通过,则通知客户端将认证信息发送给身份验证***中未对认证信息进行验证的至少一个其他验证设备,以使身份验证***中的多个验证设备在对认证信息验证都通过后通知客户端验证成功,或者若验证通过,且身份验证***中的其他验证设备对认证信息验证都通过,则通知客户端验证成功。由于需要通过多个验证设备对认证信息进行验证,并且只有在多个验证设备验证都通过后才通知客户端验证成功,从而可以提高进行身份认证的安全性和抗攻击能力。
Description
技术领域
本申请实施例涉及信息安全技术领域,尤其涉及一种身份认证方法、装置、存储介质和身份认证设备。
背景技术
在网络空间安全形势日趋严峻的情况下,终端设备或信息***/平台很容易成为非法侵入的目标,进而获取目标内的敏感数据或权限。终端设备或信息***/平台一般都具有登陆身份验证机制,比如常见的账号口令验证机制、数字证书机制等。身份验证机制是进入设备的入口,容易成为攻击/绕过的目标,造成严重的后果。另一方面,现有身份验证机制也存在管理上的薄弱环节、非技术方面的安全隐患,如弱密码、密码保管不善等,也需要有技术手段进行防范或减弱风险。
相关技术中常采用一种或多种认证因素进行身份认证,如只采用账号密码进行身份认证,或者同时采用账号密码、指纹识别和人脸识别等进行身份认证。虽然相关技术在进行身份认证时,具有一定的安全性,但是仍然存在在进行身份认证时,相关设备被攻击的可能性。
发明内容
为解决现有存在的技术问题,本申请实施例提供了一种身份认证方法、装置、存储介质和身份认证设备,可以提高进行身份认证的安全性,以及提高相关设备在进行身份验证时的抗攻击能力。
为达到上述目的,本申请实施例的技术方案是这样实现的:
第一方面,本申请实施例提供一种身份认证方法,应用于验证设备中,所述验证设备位于身份验证***中,所述身份验证***包括多个验证设备,所述方法包括:
在接收到认证信息后,对所述认证信息进行验证,其中所述认证信息为所述客户端响应用户的操作之后得到的;
若验证通过,则通知所述客户端将所述认证信息发送给所述身份验证***中未对所述认证信息进行验证的至少一个其他验证设备,以使所述身份验证***中的所述多个验证设备在对所述认证信息验证都通过后通知所述客户端验证成功;或若验证通过,且所述身份验证***中的其他验证设备对所述认证信息验证都通过,则通知所述客户端验证成功。
本申请实施例提供的身份认证方法,在接收到认证信息后,可以对认证信息进行验证,其中认证信息为客户端响应用户的操作之后得到的,若验证通过,则通知客户端将认证信息发送给身份验证***中未对认证信息进行验证的至少一个其他验证设备,以使身份验证***中的多个验证设备在对认证信息验证都通过后通知客户端验证成功,或者若验证通过,且身份验证***中的其他验证设备对认证信息验证都通过,则通知客户端验证成功。由于需要通过多个验证设备对客户端发送的认证信息进行验证,并且只有当多个验证设备在对认证信息验证都通过后才通知客户端验证成功,从而可以提高进行身份认证的安全性和抗攻击能力。
在一种可选的实施例中,所述验证设备是主验证设备;
在接收到认证信息后,对所述认证信息进行验证之前,所述方法还包括:
通知所述客户端向所述身份验证***中的至少一个其他验证设备发送所述认证信息;
在确认所述身份验证***中的其他验证设备对所述认证信息验证都通过后,通知客户端再次向所述主验证设备发送认证信息进行验证。
在该实施例中,主验证设备可以通知客户端向身份验证***中的至少一个其他验证设备发送认证信息,并且在确认身份验证***中的其他验证设备对认证信息验证都通过后,通知客户端再次向主验证设备发送认证信息进行验证。由于在进行身份认证时引入了多个验证设备,并且在多个验证设备对认证信息验证都通过后,仍然需要客户端再次向主验证设备发送认证信息进行验证,从而增加了身份认证的类型和次数,具有高安全性,避免了只通过主验证设备进行身份认证时主验证设备被攻破或绕过的风险。
在一种可选的实施例中,所述通知客户端再次向所述主验证设备发送认证信息进行验证,包括:
将生成的认证令牌通过其他验证设备发送给客户端,以触发所述客户端再次向所述主验证设备发送认证信息;
所述在接收到认证信息后,对所述认证信息进行验证,包括:
再次接收到所述客户端发送的认证信息后,分别对所述认证信息中的账户信息和待验证的认证令牌进行验证;
在所述账户信息和所述待验证的认证令牌都通过验证后,确定所述认证信息通过验证。
在该实施例中,主验证设备可以将生成的认证令牌通过其他验证设备发送给客户端,以触发客户端再次向主验证设备发送认证信息,并在再次接收到客户端发送的认证信息后,分别对认证信息中的账户信息和待验证的认证令牌进行验证,从而在账户信息和待验证的认证令牌都通过验证后,确定认证信息通过验证。从而可以增加进行身份认证的类型,提高了进行身份认证的安全性。
在一种可选的实施例中,所述验证设备是从验证设备;
所述通知所述客户端将所述认证信息发送给所述身份验证***中未对所述认证信息进行验证的至少一个其他验证设备,包括:
按照验证设备的验证顺序,通知所述客户端将所述认证信息发送给所述身份验证***中与自身连接的下一个其他验证设备。
在该实施例中,从验证设备可以按照验证设备的验证顺序,通知客户端将认证信息发送给身份验证***中与自身连接的下一个其他验证设备。从而实现了通过多个验证设备进行身份认证,形成了多重认证保障,安全性提高。
在一种可选的实施例中,在接收到认证信息后,对所述认证信息进行验证之前,所述方法还包括:
在接收到其他验证设备发送的认证信息后,将生成的认证令牌通过其他验证设备发送给客户端,以触发所述客户端向所述从验证设备发送认证信息;
所述在接收到认证信息后,对所述认证信息进行验证,包括:
在接收到所述客户端发送的认证信息后,分别对所述认证信息中的账户信息和待验证的认证令牌进行验证;
在所述账户信息和所述待验证的认证令牌都通过验证后,确定所述认证信息通过验证。
在该实施例中,从验证设备在接收到其他验证设备发送的认证信息后,将生成的认证令牌通过其他验证设备发送给客户端,以触发客户端向从验证设备发送认证信息,并且,从验证设备在接收到客户端发送的认证信息后,可以分别对认证信息中的账户信息和待验证的认证令牌进行验证,从而在账户信息和待验证的认证令牌都通过验证后,确定认证信息通过验证。从而可以增加进行身份认证的类型,提高了进行身份认证的安全性。
在一种可选的实施例中,所述对所述认证信息中的待验证的认证令牌进行验证,包括:
将所述认证信息中的待验证的认证令牌与所述生成的认证令牌进行比对,若所述待验证的认证令牌与所述生成的认证令牌一致,则确定所述待验证的认证令牌验证通过,否则确定所述待验证的认证令牌验证不通过。
在该实施例中,可以将认证信息中的待验证的认证令牌与生成的认证令牌进行比对,若待验证的认证令牌与生成的认证令牌一致,则确定待验证的认证令牌验证通过,否则确定待验证的认证令牌验证不通过。从而保证了对认证令牌进行验证的正确性,进一步提高了进行身份验证的安全性。
第二方面,本申请实施例还提供了一种身份认证装置,应用于验证设备中,所述验证设备位于身份验证***中,所述身份验证***包括多个验证设备,包括:
信息验证单元,用于在接收到认证信息后,对所述认证信息进行验证,其中所述认证信息为所述客户端响应用户的操作之后得到的;
验证成功单元,用于若验证通过,则通知所述客户端将所述认证信息发送给所述身份验证***中未对所述认证信息进行验证的至少一个其他验证设备,以使所述身份验证***中的所述多个验证设备在对所述认证信息验证都通过后通知所述客户端验证成功;或若验证通过,且所述身份验证***中的其他验证设备对所述认证信息验证都通过,则通知所述客户端验证成功。
在一种可选的实施例中,所述验证设备是主验证设备;所述装置还包括通知验证单元,用于:
通知所述客户端向所述身份验证***中的至少一个其他验证设备发送所述认证信息;
在确认所述身份验证***中的其他验证设备对所述认证信息验证都通过后,通知客户端再次向所述主验证设备发送认证信息进行验证。
在一种可选的实施例中,所述通知验证单元,具体用于:
将生成的认证令牌通过其他验证设备发送给客户端,以触发所述客户端再次向所述主验证设备发送认证信息;
所述信息验证单元,具体用于:
再次接收到所述客户端发送的认证信息后,分别对所述认证信息中的账户信息和待验证的认证令牌进行验证;
在所述账户信息和所述待验证的认证令牌都通过验证后,确定所述认证信息通过验证。
在一种可选的实施例中,所述验证设备是从验证设备;所述验证成功单元,具体用于:
按照验证设备的验证顺序,通知所述客户端将所述认证信息发送给所述身份验证***中与自身连接的下一个其他验证设备。
在一种可选的实施例中,所述通知验证单元,还用于:
在接收到其他验证设备发送的认证信息后,将生成的认证令牌通过其他验证设备发送给客户端,以触发所述客户端向所述从验证设备发送认证信息;
所述信息验证单元,还用于:
在接收到所述客户端发送的认证信息后,分别对所述认证信息中的账户信息和待验证的认证令牌进行验证;
在所述账户信息和所述待验证的认证令牌都通过验证后,确定所述认证信息通过验证。
在一种可选的实施例中,所述通知验证单元,还用于:
将所述认证信息中的待验证的认证令牌与所述生成的认证令牌进行比对,若所述待验证的认证令牌与所述生成的认证令牌一致,则确定所述待验证的认证令牌验证通过,否则确定所述待验证的认证令牌验证不通过。
第三方面,本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时,实现第一方面的身份认证方法。
第四方面,本申请实施例还提供了一种验证设备,包括存储器和处理器,所述存储器上存储有可在所述处理器上运行的计算机程序,当所述计算机程序被所述处理器执行时,使得所述处理器实现第一方面的身份认证方法。
第二方面至第四方面中任意一种实现方式所带来的技术效果可参见第一方面中对应的实现方式所带来的技术效果,此处不再赘述。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种验证设备的结构示意图;
图2为本申请实施例提供的一种身份认证方法的流程图;
图3为本申请实施例提供的一种客户端与验证设备之间进行身份认证的交互示意图;
图4为本申请实施例提供的另一种客户端与验证设备之间进行身份认证的交互示意图;
图5为本申请实施例提供的一种身份认证装置的结构示意图;
图6为本申请实施例提供的另一种身份认证装置的结构示意图。
具体实施方式
为了使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请作进一步地详细描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
需要说明的是,本申请的文件中涉及的术语“包括”和“具有”以及它们的变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
下面将结合附图,对本申请实施例提供的技术方案进行详细说明。
下文中所用的词语“示例性”的意思为“用作例子、实施例或说明性”。作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。在本申请实施例的描述中,除非另有说明,“多个”的含义是两个或两个以上。
图1中示例性示出了本申请实施例提供的一种验证设备的结构示意图,该验证设备位于身份验证***中,且该身份验证***中包括多个验证设备。如图1所示,本申请实施例提供的验证设备,包括存储器101,通讯模块103以及一个或多个处理器102。
存储器101,用于存储处理器102执行的计算机程序。存储器101可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作***,以及运行即时通讯功能所需的程序等;存储数据区可存储各种即时通讯信息和操作指令集等。
存储器101可以是易失性存储器(volatile memory),例如随机存取存储器(random-access memory,RAM);存储器101也可以是非易失性存储器(non-volatilememory),例如只读存储器,快闪存储器(flash memory),硬盘(hard disk drive,HDD)或固态硬盘(solid-state drive,SSD)、或者存储器101是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器101可以是上述存储器的组合。
处理器102,可以包括一个或多个中央处理单元(central processing unit,CPU)或者为数字处理单元等等。处理器102,用于调用存储器101中存储的计算机程序时实现本申请实施例提供的身份认证方法。
通讯模块103用于与身份验证***中的其他验证设备进行通信。
本申请实施例中不限定上述存储器101、通讯模块103和处理器102之间的具体连接介质。本公开实施例在图1中以存储器101和处理器102之间通过总线104连接,总线104在图1中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。总线104可以分为地址总线、数据总线、控制总线等。为便于表示,图1中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
在一种实施例中,本申请实施例中提供的验证设备可以是服务器,也可以是终端设备或其他电子设备。
在一些实施例中,上述验证设备执行的身份认证方法的流程图可以参见图2所示,包括以下步骤:
步骤S201,在接收到认证信息后,对认证信息进行验证。
其中,认证信息为客户端响应用户的操作之后得到的。认证信息可以是账号口令、摘要Digest、数字证书、秘密共享、生物特征识别等,并且,认证信息可以是预先存储在客户端或其他外部设备中的,也可以是基于存储的秘密信息自动计算得到的等,本申请实施例在此均不作限定。
步骤S202,若验证通过,则通知客户端将认证信息发送给身份验证***中未对认证信息进行验证的至少一个其他验证设备,以使身份验证***中的多个验证设备在对认证信息验证都通过后通知客户端验证成功;或若验证通过,且身份验证***中的其他验证设备对认证信息验证都通过,则通知客户端验证成功。
在一种实施例中,若验证设备是主验证设备,则主验证设备在接收到认证信息后,对认证信息进行验证之前,可以通知客户端向身份验证***中的至少一个其他验证设备发送认证信息,并在确认身份验证***中的其他验证设备对认证信息验证都通过后,通知客户端再次向主验证设备发送认证信息进行验证。
具体地,可以将生成的认证令牌通过其他验证设备发送给客户端,以触发客户端再次向主验证设备发送认证信息,主验证设备在再次接收到客户端发送的认证信息后,可以分别对认证信息中的账户信息和待验证的认证令牌进行验证,在账户信息和待验证的认证令牌都通过验证后,确定认证信息通过验证。在确定认证信息通过验证,且身份验证***中的其他验证设备对认证信息验证都通过后,可以通知客户端验证成功。
在另一种实施例中,若验证设备是从验证设备,则可以按照验证设备的验证顺序,通知客户端将认证信息发送给身份验证***中与自身连接的下一个其他验证设备。从验证设备在接收到其他验证设备发送的认证信息后,可以将生成的认证令牌通过其他验证设备发送给客户端,以触发客户端向从验证设备发送认证信息,从验证设备在接收到客户端发送的认证信息后,可以分别对认证信息中的账户信息和待验证的认证令牌进行验证,在账户信息和待验证的认证令牌都通过验证后,确定认证信息通过验证。在确定认证信息通过验证,且身份验证***中的所有验证设备在对认证信息验证都通过后通知客户端验证成功。
验证设备在对认证信息中的待验证的认证令牌进行验证时,可以将认证信息中的待验证的认证令牌与生成的认证令牌进行比对,若待验证的认证令牌与生成的认证令牌一致,则确定待验证的认证令牌验证通过,否则确定待验证的认证令牌验证不通过。
不同的验证设备接收到的认证信息是不同的,例如,主验证设备接收到的客户端发送的认证信息是与客户端登陆主验证设备相关的认证信息,从验证设备接收到的客户端发送的认证信息是与客户端登陆从验证设备相关的认证信息等等。
本申请实施例提供的身份认证方法,在接收到认证信息后,可以对认证信息进行验证,其中认证信息为客户端响应用户的操作之后得到的,若验证通过,则通知客户端将认证信息发送给身份验证***中未对认证信息进行验证的至少一个其他验证设备,以使身份验证***中的多个验证设备在对认证信息验证都通过后通知客户端验证成功,或者若验证通过,且身份验证***中的其他验证设备对认证信息验证都通过,则通知客户端验证成功。由于需要通过多个验证设备对客户端发送的认证信息进行验证,并且只有当多个验证设备在对认证信息验证都通过后才通知客户端验证成功,从而可以提高进行身份认证的安全性和抗攻击能力。
在一些实施例中,若身份验证***中包括一个主验证设备和一个从验证设备,且认证信息为账号口令,则客户端与主验证设备、从验证设备之间进行身份认证的交互流程图可以参见图3所示,包括以下步骤:
步骤S301,客户端向主验证设备发送第一认证请求,携带客户端登陆主验证设备的账号口令。
客户端可以向主验证设备发送第一认证请求,且第一认证请求中可以携带有客户端登陆主验证设备的账号口令。其中,客户端为进行身份认证的发起者,可以是设备、软件或浏览器等,主验证设备是客户端试图登陆的目标,可以是设备、***或平台等。
步骤S302,主验证设备向客户端发送重认证通知。
主验证设备在接收到客户端发送的第一认证请求后,可以通知客户端进行重认证,并通知客户端进行重认证的从验证设备的标识和/或地址。
步骤S303,客户端向从验证设备发送第二认证请求,携带客户端登陆从验证设备的账号口令和主验证设备的标识和/或地址。
客户端在接收到主验证设备发送的重认证通知后,可以向从验证设备发送第二认证请求,且第二认证请求中携带有客户端登陆从验证设备的账号口令和主验证设备的标识和/或地址。
其中,从验证设备是对客户端试图登陆主验证设备进行身份认证而引入的额外的验证设备,可以是设备、***或平台等。引入从验证设备的目的是为客户端登陆主验证设备提供额外的身份认证,从而可以形成多重的认证保障。
在一种可选的实施例中,主验证设备在接收到客户端发送的第一认证请求后,可以对第一认证请求中携带的账号口令进行验证,如果验证不通过,则不允许客户端登陆主验证设备,如果验证通过,则通知客户端进行重认证,以使客户端可以向从验证设备发送第二认证请求。
步骤S304,从验证设备对第二认证请求中携带的账号口令进行验证,且验证通过。
步骤S305,从验证设备向主验证设备发送第三认证请求,携带从验证设备登陆主验证设备的账号口令和客户端的标识和/或账号标识。
从验证设备在接收到客户端发送的第二认证请求后,可以对第二认证请求中携带的账号口令进行验证,如果验证不通过,则不允许客户端登陆主验证设备,如果验证通过,则从验证设备可以向主验证设备发送第三认证请求,且第三认证请求中携带有从验证设备登陆主验证设备的账号口令和客户端的标识和/或账号标识。
步骤S306,主验证设备对第三认证请求中携带的账号口令进行验证,且验证通过,生成认证令牌。
步骤S307,主验证设备向从验证设备发送认证令牌。
主验证设备在接收到从验证设备发送的第三认证请求后,可以对第三认证请求中携带的账号口令进行验证,如果验证不通过,则不允许客户端登陆主验证设备,如果验证通过,则根据第三认证请求生成认证令牌,并将认证令牌发送给从验证设备。
由于从验证设备向主验证设备发起认证请求并验证通过后,主验证设备可以向从验证设备发送认证令牌,从而保护了认证令牌的安全性。
步骤S308,从验证设备向客户端发送认证令牌。
从验证设备在接收到主验证设备发送的认证令牌后,可以将该认证令牌发送给客户端。
由于客户端向从验证设备发起认证请求并验证通过后,从验证设备可以向客户端发送认证令牌,从而保护了认证令牌的安全性。
步骤S309,客户端向主验证设备发送第四认证请求,携带客户端登陆主验证设备的账号口令和认证令牌。
客户端在接收到从验证设备发送的认证令牌后,可以向主验证设备发送第四认证请求,且第四认证请求中可以携带有客户端登陆主验证设备的账号口令,以及认证令牌。
其中,生成的认证令牌只能被发起身份认证的客户端使用一次,并且具有有效时间,即若客户端长时间不使用生成的认证令牌进行验证,则该认证令牌就会失效。由于针对从验证设备向主验证设备发起的认证请求生成只能被一次性使用的认证令牌,且有有效时间,从而可以防止重放攻击,提高了抗攻击能力。
在一种实施例中,客户端在向主验证设备发送第四认证请求时,可以携带认证Token(令牌)或其变形形式。
步骤S310,主验证设备对第四认证请求中携带的账号口令和认证令牌分别进行验证,且验证通过。
步骤S311,主验证设备向客户端发送验证成功通知。
主验证设备在接收到客户端发送的第四认证请求后,可以对第四认证请求中携带的账号口令和认证令牌分别进行验证,如果验证不通过,则不允许客户端登陆主验证设备,如果验证通过,则向客户端发送验证成功通知,即允许客户端登陆主验证设备。
其中,在对认证请求中携带有的认证令牌进行验证时,可以将该认证令牌与本地为客户端或账号保存的认证令牌进行比对,如果不一致,则表明验证不通过,如果一致,则表明验证通过。
由于主验证设备可以通过校验认证令牌的有效性来对客户端进行身份认证,从而可以保证客户端已完成了向从验证设备的额外认证。
本申请实施例提供的身份认证方法可以在客户端、主验证设备和从验证设备两两之间存在可靠的认证通道,能保证身份认证过程中交互信息的保密性与完整性。并且,客户端、主验证设备和从验证设备两两之间的认证信息可以互不相同,也可以相同。
此外,本申请实施例提供的身份认证方法由于在对客户端试图登陆主验证设备的过程中可以引入了更高级别的从验证设备来进行验证,从而提高了对较低安全级别的主验证设备的认证安全性。并且,引入了从验证设备来做额外的身份认证,可以重新规划与构建权限体系与层次结构。比如,客户端对主验证设备具有权限依赖于客户端对从验证设备具有权限,如果客户端对从验证设备不具有权限,那么即使拥有主验证设备的登陆凭据,最终也无法登陆主验证设备,因此可以实现从验证设备对客户端登陆主验证设备权限的管理与控制。
在另一些实施例中,若身份验证***中包括一个主验证设备和第一从验证设备和第二从验证设备共两个从验证设备,且认证信息为账号口令,则客户端与主验证设备、第一从验证设备、第二从验证设备之间进行身份认证的交互流程图可以参见图4所示,包括以下步骤:
步骤S401,客户端向主验证设备发送第一认证请求,携带客户端登陆主验证设备的账号口令。
客户端可以向主验证设备发送第一认证请求,且第一认证请求中可以携带有客户端登陆主验证设备的账号口令。
步骤S402,主验证设备向客户端发送第一重认证通知。
主验证设备在接收到客户端发送的第一认证请求后,可以通知客户端进行重认证,并通知客户端进行重认证的第一从验证设备的标识和/或地址。
步骤S403,客户端向第一从验证设备发送第二认证请求,携带客户端登陆第一从验证设备的账号口令和主验证设备的标识和/或地址。
客户端在接收到主验证设备发送的第一重认证通知后,可以向第一从验证设备发送第二认证请求,且第二认证请求中携带有客户端登陆第一从验证设备的账号口令和主验证设备的标识和/或地址。
步骤S404,第一从验证设备对第二认证请求中携带的账号口令进行验证,且验证通过。
步骤S405,第一从验证设备向客户端发送第二重认证通知。
步骤S406,客户端向第二从验证设备发送第三认证请求,携带客户端登陆第二从验证设备的账号口令和第一从验证设备的标识和/或地址。
第一从验证设备在接收到客户端发送的第二认证请求后,可以对第二认证请求中携带的账号口令进行验证,如果验证不通过,则不允许客户端登陆主验证设备,如果验证通过,则第一从验证设备可以通知客户端进行重认证,并通知客户端进行重认证的第二从验证设备的标识和/或地址。客户端在接收到第一从验证设备发送的第二重认证通知后,可以向第二从验证设备发送第三认证请求,且第三认证请求中携带有客户端登陆第二从验证设备的账号口令和第一从验证设备的标识和/或地址。
在一种可选的实施例中,第一从验证设备在接收到第二认证请求后,可以不对第二认证请求进行验证,通知客户端进行重认证,以使客户端向第二从验证设备发送第三认证请求。
步骤S407,第二从验证设备对第三认证请求中携带的账号口令进行验证,且验证通过。
步骤S408,第二从验证设备向第一从验证设备发送第四认证请求,携带第二从验证设备登陆第一从验证设备的账号口令和客户端的标识和/或账号标识。
第二从验证设备在接收到客户端发送的第三认证请求后,可以对第三认证请求中携带的账号口令进行验证,如果验证不通过,则不允许客户端登陆主验证设备,如果验证通过,则第二从验证设备可以向第一从验证设备发送第四认证请求,且第四认证请求中携带有第二从验证设备登陆第一从验证设备的账号口令和客户端的标识和/或账号标识。
步骤S409,第一从验证设备对第四认证请求中携带的账号口令进行验证,且验证通过,生成第一认证令牌。
步骤S410,第一从验证设备向第二从验证设备发送第一认证令牌。
第一从验证设备在接收到第二从验证设备发送的第四认证请求后,可以对第四认证请求中携带的账号口令进行验证,如果验证不通过,则不允许客户端登陆主验证设备,如果验证通过,则根据第四认证请求生成第一认证令牌,并将第一认证令牌发送给第二从验证设备。
步骤S411,第二从验证设备向客户端发送第一认证令牌。
第二从验证设备在接收到第一从验证设备发送的第一认证令牌后,可以将该第一认证令牌发送给客户端。
步骤S412,客户端向第一从验证设备发送第五认证请求,携带客户端登陆第一从验证设备的账号口令和第一认证令牌。
客户端在接收到第二从验证设备发送的第一认证令牌后,可以向第一从验证设备发送第五认证请求,且第五认证请求中可以携带有客户端登陆第一从验证设备的账号口令,以及第一认证令牌。
步骤S413,第一从验证设备对第五认证请求中携带的账号口令和第一认证令牌分别进行验证,且验证通过。
步骤S414,第一从验证设备向主验证设备发送第六认证请求,携带第一从验证设备登陆主验证设备的账号口令和客户端的标识和/或账号标识。
第一从验证设备在接收到客户端发送的第五认证请求后,可以对第五认证请求中携带的账号口令和第一认证令牌分别进行验证,如果验证不通过,则不允许客户端登陆主验证设备,如果验证通过,则向主验证设备发送第六认证请求,且第六认证请求中可以携带有第一从验证设备登陆主验证设备的账号口令和客户端的标识和/或账号标识。
步骤S415,主验证设备对第六认证请求中携带的账号口令进行验证,且验证通过,生成第二认证令牌。
步骤S416,主验证设备向第一从验证设备发送第二认证令牌。
主验证设备在接收到第一从验证设备发送的第六认证请求后,可以对第六认证请求中携带的账号口令进行验证,如果验证不通过,则不允许客户端登陆主验证设备,如果验证通过,则根据第六认证请求生成第二认证令牌,并将第二认证令牌发送给第一从验证设备。
步骤S417,第一从验证设备向客户端发送第二认证令牌。
第一从验证设备在接收到主验证设备发送的第二认证令牌后,可以将该第二认证令牌发送给客户端。
步骤S418,客户端向主验证设备发送第七认证请求,携带客户端登陆主验证设备的账号口令和第二认证令牌。
客户端在接收到第一从验证设备发送的第二认证令牌后,可以向主验证设备发送第七认证请求,且第七认证请求中可以携带有客户端登陆主验证设备的账号口令,以及第二认证令牌。
步骤S419,主验证设备对第七认证请求中携带的账号口令和第二认证令牌分别进行验证,且验证通过。
步骤S420,主验证设备向客户端发送验证成功通知。
主验证设备在接收到客户端发送的第七认证请求后,可以对第七认证请求中携带的账号口令和第二认证令牌分别进行验证,如果验证不通过,则不允许客户端登陆主验证设备,如果验证通过,则向客户端发送验证成功通知,即允许客户端登陆主验证设备。
在身份验证***中包括一个主验证设备和两个以上从验证设备时,客户端与主验证设备和多个从验证设备之间进行身份认证的交互方式与上述实施例中,在身份验证***中包括一个主验证设备和两个从验证设备时,客户端与主验证设备、第一从验证设备、第二从验证设备之间进行身份认证的交互方式类似,本申请在此不再赘述。
认证信息为摘要Digest、数字证书、秘密共享、生物特征识别等与认证信息为账号口令的客户端与主验证设备、从验证设备之间进行身份认证的方式相似,本申请在此不再赘述。
本申请实施例提供的身份认证方法,由于引入了多个验证设备,并且只有当所有的验证设备对认证信息都验证通过后,才会通知客户端登录成功,从而可以增加进行身份认证的类型与次数,进一步提高进行身份认证的安全性与抗攻击能力。以及由于引入了多个验证设备,形成对身份认证的多重认证,拉长了认证流程,从而可以极地大提升对暴力破解类攻击的实施难度与成本,有效地缓解了暴力破解类的攻击,即可以有效地抵御暴力破解、中间人攻击、弱密码等攻击或风险,实现了身份认证的高安全性。
与图2所示的身份认证方法基于同一发明构思,本申请实施例中还提供了一种身份认证装置。由于该装置是本申请身份认证方法对应的装置,并且该装置解决问题的原理与该方法相似,因此该装置的实施可以参见上述方法的实施,重复之处不再赘述。
图5示出了本申请实施例提供的一种身份认证装置的结构示意图,该身份认证装置应用于验证设备中,该验证设备位于身份验证***中,且该身份验证***包括多个验证设备。如图5所示,该身份认证装置包括信息验证单元501和验证成功单元502。
其中,信息验证单元501,用于在接收到认证信息后,对认证信息进行验证,其中认证信息为客户端响应用户的操作之后得到的;
验证成功单元502,用于若验证通过,则通知客户端将认证信息发送给身份验证***中未对认证信息进行验证的至少一个其他验证设备,以使身份验证***中的多个验证设备在对认证信息验证都通过后通知客户端验证成功;或若验证通过,且身份验证***中的其他验证设备对认证信息验证都通过,则通知客户端验证成功。
在一种可选的实施例中,验证设备是主验证设备;如图6所示,上述装置还可以包括通知验证单元601,用于:
通知客户端向身份验证***中的至少一个其他验证设备发送认证信息;
在确认身份验证***中的其他验证设备对认证信息验证都通过后,通知客户端再次向主验证设备发送认证信息进行验证。
在一种可选的实施例中,通知验证单元601,具体用于:
将生成的认证令牌通过其他验证设备发送给客户端,以触发客户端再次向主验证设备发送认证信息;
信息验证单元501,具体用于:
再次接收到客户端发送的认证信息后,分别对认证信息中的账户信息和待验证的认证令牌进行验证;
在账户信息和待验证的认证令牌都通过验证后,确定认证信息通过验证。
在一种可选的实施例中,验证设备是从验证设备;验证成功单元502,具体用于:
按照验证设备的验证顺序,通知客户端将认证信息发送给身份验证***中与自身连接的下一个其他验证设备。
在一种可选的实施例中,通知验证单元601,还用于:
在接收到其他验证设备发送的认证信息后,将生成的认证令牌通过其他验证设备发送给客户端,以触发客户端向从验证设备发送认证信息;
信息验证单元501,还用于:
在接收到客户端发送的认证信息后,分别对认证信息中的账户信息和待验证的认证令牌进行验证;
在账户信息和待验证的认证令牌都通过验证后,确定认证信息通过验证。
在一种可选的实施例中,通知验证单元601,还用于:
将认证信息中的待验证的认证令牌与生成的认证令牌进行比对,若待验证的认证令牌与生成的认证令牌一致,则确定待验证的认证令牌验证通过,否则确定待验证的认证令牌验证不通过。
根据本申请的一个方面,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述实施例中的身份认证方法。所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的***、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。
Claims (10)
1.一种身份认证方法,其特征在于,应用于验证设备中,所述验证设备位于身份验证***中,所述身份验证***包括多个验证设备,所述方法包括:
在接收到认证信息后,对所述认证信息进行验证,其中所述认证信息为所述客户端响应用户的操作之后得到的;
若验证通过,则通知所述客户端将所述认证信息发送给所述身份验证***中未对所述认证信息进行验证的至少一个其他验证设备,以使所述身份验证***中的所述多个验证设备在对所述认证信息验证都通过后通知所述客户端验证成功;或若验证通过,且所述身份验证***中的其他验证设备对所述认证信息验证都通过,则通知所述客户端验证成功。
2.根据权利要求1所述的方法,其特征在于,所述验证设备是主验证设备;
在接收到认证信息后,对所述认证信息进行验证之前,所述方法还包括:
通知所述客户端向所述身份验证***中的至少一个其他验证设备发送所述认证信息;
在确认所述身份验证***中的其他验证设备对所述认证信息验证都通过后,通知客户端再次向所述主验证设备发送认证信息进行验证。
3.根据权利要求2所述的方法,其特征在于,所述通知客户端再次向所述主验证设备发送认证信息进行验证,包括:
将生成的认证令牌通过其他验证设备发送给客户端,以触发所述客户端再次向所述主验证设备发送认证信息;
所述在接收到认证信息后,对所述认证信息进行验证,包括:
再次接收到所述客户端发送的认证信息后,分别对所述认证信息中的账户信息和待验证的认证令牌进行验证;
在所述账户信息和所述待验证的认证令牌都通过验证后,确定所述认证信息通过验证。
4.根据权利要求1所述的方法,其特征在于,所述验证设备是从验证设备;
所述通知所述客户端将所述认证信息发送给所述身份验证***中未对所述认证信息进行验证的至少一个其他验证设备,包括:
按照验证设备的验证顺序,通知所述客户端将所述认证信息发送给所述身份验证***中与自身连接的下一个其他验证设备。
5.根据权利要求4所述的方法,其特征在于,在接收到认证信息后,对所述认证信息进行验证之前,所述方法还包括:
在接收到其他验证设备发送的认证信息后,将生成的认证令牌通过其他验证设备发送给客户端,以触发所述客户端向所述从验证设备发送认证信息;
所述在接收到认证信息后,对所述认证信息进行验证,包括:
在接收到所述客户端发送的认证信息后,分别对所述认证信息中的账户信息和待验证的认证令牌进行验证;
在所述账户信息和所述待验证的认证令牌都通过验证后,确定所述认证信息通过验证。
6.根据权利要求3或5所述的方法,其特征在于,所述对所述认证信息中的待验证的认证令牌进行验证,包括:
将所述认证信息中的待验证的认证令牌与所述生成的认证令牌进行比对,若所述待验证的认证令牌与所述生成的认证令牌一致,则确定所述待验证的认证令牌验证通过,否则确定所述待验证的认证令牌验证不通过。
7.一种身份认证装置,其特征在于,应用于验证设备中,所述验证设备位于身份验证***中,所述身份验证***包括多个验证设备,包括:
信息验证单元,用于在接收到认证信息后,对所述认证信息进行验证,其中所述认证信息为所述客户端响应用户的操作之后得到的;
验证成功单元,用于若验证通过,则通知所述客户端将所述认证信息发送给所述身份验证***中未对所述认证信息进行验证的至少一个其他验证设备,以使所述身份验证***中的所述多个验证设备在对所述认证信息验证都通过后通知所述客户端验证成功;或若验证通过,且所述身份验证***中的其他验证设备对所述认证信息验证都通过,则通知所述客户端验证成功。
8.根据权利要求7所述的装置,其特征在于,所述验证设备是主验证设备;所述装置还包括通知验证单元,用于:
通知所述客户端向所述身份验证***中的至少一个其他验证设备发送所述认证信息;
在确认所述身份验证***中的其他验证设备对所述认证信息验证都通过后,通知客户端再次向所述主验证设备发送认证信息进行验证。
9.一种验证设备,其特征在于,包括存储器和处理器,所述存储器上存储有可在所述处理器上运行的计算机程序,当所述计算机程序被所述处理器执行时,实现权利要求1~6中任一项所述的方法。
10.一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,其特征在于:所述计算机程序被处理器执行时,实现权利要求1~6中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110966915.8A CN113672884A (zh) | 2021-08-23 | 2021-08-23 | 身份认证方法、装置、存储介质和身份认证设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110966915.8A CN113672884A (zh) | 2021-08-23 | 2021-08-23 | 身份认证方法、装置、存储介质和身份认证设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113672884A true CN113672884A (zh) | 2021-11-19 |
Family
ID=78544955
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110966915.8A Pending CN113672884A (zh) | 2021-08-23 | 2021-08-23 | 身份认证方法、装置、存储介质和身份认证设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113672884A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113904934A (zh) * | 2021-12-09 | 2022-01-07 | 之江实验室 | 一种基于异构校验的高安全设备配置方法和装置 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9237146B1 (en) * | 2012-01-26 | 2016-01-12 | United Services Automobile Association | Quick-logon for computing device |
| WO2016188290A1 (zh) * | 2015-05-27 | 2016-12-01 | 阿里巴巴集团控股有限公司 | Api调用的安全认证方法、装置、*** |
| CN106375334A (zh) * | 2016-09-28 | 2017-02-01 | 郑州云海信息技术有限公司 | 一种分布式***的认证方法 |
| CN109815684A (zh) * | 2019-01-30 | 2019-05-28 | 广东工业大学 | 一种身份认证方法、***及服务器和存储介质 |
| CN111324885A (zh) * | 2020-02-17 | 2020-06-23 | 蒋子杰 | 一种分布式身份认证方法 |
| US20210036859A1 (en) * | 2019-07-30 | 2021-02-04 | Google Llc | Method and system for authenticating a secure credential transfer to a device |
| CN112395356A (zh) * | 2020-11-13 | 2021-02-23 | 浙江数秦科技有限公司 | 一种分布式身份认证和验证方法、设备及存储介质 |
| CN112733129A (zh) * | 2021-01-14 | 2021-04-30 | 北京工业大学 | 一种服务器带外管理的可信接入方法 |
| CN112861089A (zh) * | 2021-03-17 | 2021-05-28 | 北京数字医信科技有限公司 | 授权认证的方法、资源服务器、资源用户端、设备和介质 |
| CN113067797A (zh) * | 2021-02-01 | 2021-07-02 | 上海金融期货信息技术有限公司 | 支持跨网络区域多终端多凭证的身份认证和鉴权*** |
-
2021
- 2021-08-23 CN CN202110966915.8A patent/CN113672884A/zh active Pending
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9237146B1 (en) * | 2012-01-26 | 2016-01-12 | United Services Automobile Association | Quick-logon for computing device |
| WO2016188290A1 (zh) * | 2015-05-27 | 2016-12-01 | 阿里巴巴集团控股有限公司 | Api调用的安全认证方法、装置、*** |
| CN106375334A (zh) * | 2016-09-28 | 2017-02-01 | 郑州云海信息技术有限公司 | 一种分布式***的认证方法 |
| CN109815684A (zh) * | 2019-01-30 | 2019-05-28 | 广东工业大学 | 一种身份认证方法、***及服务器和存储介质 |
| US20210036859A1 (en) * | 2019-07-30 | 2021-02-04 | Google Llc | Method and system for authenticating a secure credential transfer to a device |
| CN111324885A (zh) * | 2020-02-17 | 2020-06-23 | 蒋子杰 | 一种分布式身份认证方法 |
| CN112395356A (zh) * | 2020-11-13 | 2021-02-23 | 浙江数秦科技有限公司 | 一种分布式身份认证和验证方法、设备及存储介质 |
| CN112733129A (zh) * | 2021-01-14 | 2021-04-30 | 北京工业大学 | 一种服务器带外管理的可信接入方法 |
| CN113067797A (zh) * | 2021-02-01 | 2021-07-02 | 上海金融期货信息技术有限公司 | 支持跨网络区域多终端多凭证的身份认证和鉴权*** |
| CN112861089A (zh) * | 2021-03-17 | 2021-05-28 | 北京数字医信科技有限公司 | 授权认证的方法、资源服务器、资源用户端、设备和介质 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113904934A (zh) * | 2021-12-09 | 2022-01-07 | 之江实验室 | 一种基于异构校验的高安全设备配置方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI522836B (zh) | Network authentication method and system for secure electronic transaction | |
| US8464047B2 (en) | Method and apparatus for authorizing host to access portable storage device | |
| US9164925B2 (en) | Method and apparatus for authorizing host to access portable storage device | |
| CN107426235B (zh) | 基于设备指纹的权限认证方法、装置及*** | |
| CN113841145A (zh) | 抑制集成、隔离应用中的勒索软件 | |
| WO2019015516A1 (en) | METHOD AND APPARATUS FOR AUTHENTICATING COMMON ACCOUNT SESSION OPENING | |
| KR101451359B1 (ko) | 사용자 계정 회복 | |
| JP2022529725A (ja) | デジタルキー、端末デバイス、及び媒体の同一性を認証する方法 | |
| US9660981B2 (en) | Strong authentication method | |
| CN110535884B (zh) | 跨企业***间访问控制的方法、装置及存储介质 | |
| CN113132404B (zh) | 身份认证方法、终端及存储介质 | |
| CN107818253B (zh) | 人脸模板数据录入控制方法及相关产品 | |
| US20170201528A1 (en) | Method for providing trusted service based on secure area and apparatus using the same | |
| CN107784206A (zh) | 软件保护方法和装置以及软件验证方法和装置 | |
| CN111147259B (zh) | 鉴权方法和设备 | |
| CN111431840A (zh) | 安全处理方法和装置 | |
| CN101394276A (zh) | 基于usb硬件令牌的认证***及方法 | |
| CN108599938A (zh) | 通过可信执行环境保护移动端私密数据的方法及*** | |
| CN109302442B (zh) | 一种数据存储证明方法及相关设备 | |
| CN113672884A (zh) | 身份认证方法、装置、存储介质和身份认证设备 | |
| CN112637167A (zh) | ***登录方法、装置、计算机设备和存储介质 | |
| CN108574657B (zh) | 接入服务器的方法、装置、***以及计算设备和服务器 | |
| CN115935318A (zh) | 一种信息处理方法、装置、服务器、客户端及存储介质 | |
| CN115563588A (zh) | 一种软件离线鉴权的方法、装置、电子设备和存储介质 | |
| CN114239000A (zh) | 密码处理方法、装置、计算机设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |