WO2014180431A1

WO2014180431A1 - 一种网管安全认证方法、装置、***及计算机存储介质

Info

Publication number: WO2014180431A1
Application number: PCT/CN2014/079516
Authority: WO
Inventors: 孙向东; 龙卉; 黄媛媛
Original assignee: 中兴通讯股份有限公司
Priority date: 2013-10-10
Filing date: 2014-06-09
Publication date: 2014-11-13
Also published as: JP2016536678A; CN104580063A

Abstract

本发明实施例公开了一种网管安全认证方法、装置、***及计算机存储介质，其中，所述方法包括：从网管客户端接收认证请求消息，并将所述认证请求消息发送至认证服务器，所述认证请求消息中携带用户名和令牌码；根据所述认证服务器发送的认证结果确定是否为所述网管客户端的用户分配资源和操作权限；将所述认证结果发送至所述网管客户端。

Description

一种网管安全认证方法、装置、 ***及计算机存储介质技术领域本发明涉及通信技术领域，特别是涉及一种网管安全认证方法、装置、 ***及计算机存储介质。背景技术随着电信行业飞速发展，网络设备不断更新扩展，运营商对于网络管理***安全性要求也越来越高，用户身份合法性校验是其安全性必不可少的一部分。

目前最常见的用户身份合法性校验是***用户名密码校验方式，然而这种校验方式却存在着一定安全隐患和操作不便：如果密码设置过于简单，就容易泄露，如果密码设置复杂则不便于记忆和操作，而且用户要花费大量的精力和时间来记住密码并防止密码泄露。发明内容本发明要解决的技术问题是提供一种网管安全认证方法、装置、 *** 及计算机存储介质，用以解决现有技术中网管安全认证中存在的安全隐患和操作不便等问题。

为解决上述技术问题，一方面，本发明实施例提供了一种网管安全认证方法，应用于网管服务器；所述方法包括：

从网管客户端接收认证请求消息，并将所述认证请求消息发送至认证服务器，所述认证请求消息中携带用户名和令牌码；

根据所述认证服务器发送的认证结果确定是否为所述网管客户端的用户分配资源和操作权限；将所述认证结果发送至所述网管客户端。

优选地，所述根据所述认证服务器发送的认证结果确定是否为所述网管客户端的用户分配资源和操作权限，包括：当所述认证结果为认证成功时，确定为所述网管客户端的用户分配资源和操作权限。

另一方面，本发明实施例还提供了一种网管安全认证方法，应用于网管客户端；所述方法包括：

接收用户输入的认证请求消息，并将所述认证请求消息发送至网管服务器；所述认证请求消息中携带用户名和令牌码；

接收所述网管服务器发送的认证结果；

根据所述认证结果确定是否允许所述用户登录。

优选地，所述根据所述认证结果确定是否允许所述用户登录，包括：当所述认证结果为认证成功时，确定允许所述用户登录；

当所述认证结果为认证失败时，判断本次认证是否为新用户第一次认证；

当判断的结果为是时，为所述新用户提供输入个人识别码（PIN , Personal Identity Number ) 的入口，在 PIN设置成功后，为所述新用户提供输入认证请求消息的入口；

当判断的结果为否时，判断所述用户连续错误输入所述认证请求消息的次数是否达到预设次数；当判断的结果为是时，确定所述用户为非法用户；当判断的结果为否时，继续为用户提供输入认证请求消息的入口。

另一方面，本发明实施例还提供了一种网管安全认证方法，应用于认证服务器；所述方法包括：从网管服务器接收认证请求消息，所述认证请求消息中携带用户名和令牌码；

对所述用户名和令牌码进行认证；

将认证结果发送至所述网管服务器。优选地，在所述将认证结果发送至所述网管服务器后，所述方法还包括：从所述网管服务器接收 PIN设置消息，所述 PIN设置消息中携带 PIN;

对所述 PIN进行设置；

将所述 PIN的设置结果通过所述网管服务器发送至网管客户端。

另一方面，本发明实施例还提供了一种网管安全认证装置，所述装置包括：

第一收发单元，配置为从网管客户端接收认证请求消息，并将所述认证请求消息发送至认证服务器，所述认证请求消息中携带用户名和令牌码；还用于接收所述认证服务器发送的认证结果；还配置为将所述第一收发单元接收的认证结果发送至所述网管客户端；

第一确定单元，配置为根据所述第一收发单元接收的认证结果确定是否为所述网管客户端的用户分配资源和操作权限。

优选地，所述第一确定单元，配置为当所述认证结果为认证成功时，确定为所述网管客户端的用户分配资源和操作权限。

另一方面，本发明的实施例还提供了一种网管安全认证装置，所述装置包括：第二收发单元，配置为接收用户输入的认证请求消息并将所述认证请求消息发送至网管服务器；所述认证请求消息中携带用户名和令牌码；还配置接收所述网管服务器发送的认证结果；

第二确定单元，配置为根据所述第二收发单元接收的认证结果确定是否允许所述用户登录。

优选地，所述第二确定单元，配置为当所述认证结果为认证成功时，确定允许所述用户登录；当所述认证结果为认证失败时，判断本次认证是否为新用户第一次认证：当判断的结果为是时，为所述新用户提供输入 PIN 的入口，在 PIN设置成功后，为所述新用户提供输入认证请求消息的入口；当判断的结果为否时，判断所述用户连续错误输入所述认证请求消息的次数是否达到预设次数；当判断的结果为是时，确定所述用户为非法用户；当判断的结果为否时，继续为用户提供输入认证请求消息的入口。

另一方面，本发明实施例还提供了一种网管安全认证装置，所述装置包括：接收单元，配置为从网管服务器接收认证请求消息，所述认证请求消息中携带用户名和令牌码；

认证单元，配置为对所述接收单元接收到的所述用户名和令牌码进行认证，获得认证结果；

发送单元，配置为将所述认证单元获得的认证结果发送至所述网管服备刀哭口

优选地，所述接收单元，还配置为从所述网管服务器接收 PIN设置消息，所述 PIN设置消息中携带 PIN;

所述认证单元，还配置为对所述接收单元接收的所述 PIN进行设置，获得设置结果；

所述发送单元，还配置为将所述认证单元获得的 PIN的设置结果通过所述网管服务器发送至网管客户端。

另一方面，本发明实施例还提供了一种网管安全认证***，所述*** 包括网管服务器、网管客户端和认证服务器；其中，

所述网管服务器，配置为从网管客户端接收认证请求消息，并将所述认证请求消息发送至认证服务器，所述认证请求消息中携带用户名和令牌码；还配置为根据所述认证服务器发送的认证结果确定是否为所述网管客户端的用户分配资源和操作权限；将所述认证结果发送至所述网管客户端；所述网管客户端，配置为接收用户输入的认证请求消息，并将所述认证请求消息发送至网管服务器；所述认证请求消息中携带用户名和令牌码；还配置为接收所述网管服务器发送的认证结果，根据所述认证结果确定是否允许所述用户登录；所述认证服务器，配置为从网管服务器接收认证请求消息，所述认证请求消息中携带用户名和令牌码；对所述用户名和令牌码进行认证；将认证结果发送至所述网管服务器。

优选地，所述网管服务器，配置为当认证服务器发送的所述认证结果为认证成功时，确定为所述网管客户端的用户分配资源和操作权限。

优选地，所述网管客户端，配置为当所述网管服务器发送的所述认证结果为认证成功时，确定允许所述用户登录；当所述认证结果为认证失败时，判断本次认证是否为新用户第一次认证；当判断的结果为是时，为所述新用户提供输入 PIN的入口，在 PIN设置成功后，为所述新用户提供输入认证请求消息的入口；当判断的结果为否时，判断所述用户连续错误输入所述认证请求消息的次数是否达到预设次数；当判断的结果为是时，确定所述用户为非法用户；当判断的结果为否时，继续为用户提供输入认证请求消息的入口。

优选地，所述认证服务器，还配置为从所述网管服务器接收 PIN设置消息，所述 PIN设置消息中携带 PIN; 对所述 PIN进行设置；将所述 PIN 的设置结果通过所述网管服务器发送至网管客户端。

另一方面，本发明实施例还提供了一种计算机存储介质，所述计算机存储介质中存储有计算机可执行指令，所述计算机可执行指令用于执行本发明实施例所述的应用于网管服务器的网管安全认证方法。

另一方面，本发明实施例还提供了一种计算机存储介质，所述计算机存储介质中存储有计算机可执行指令，所述计算机可执行指令用于执行本发明实施例所述的应用于网管客户端的网管安全认证方法。

另一方面，本发明实施例还提供了一种计算机存储介质，所述计算机存储介质中存储有计算机可执行指令，所述计算机可执行指令用于执行本发明实施例所述的应用于认证服务器的网管安全认证方法。本发明的实施例提供的网管安全认证方法、装置、 ***及计算机存储介质，网管服务器能够从网管客户端接收认证请求消息，并将所述认证请求消息转发给认证服务器以使认证服务器对所述认证请求消息中的用户名和令牌码进行认证，然后根据所述认证服务器的认证结果确定是否为所述网管客户端的用户分配资源和操作权限，整个操作中，用令牌产生的令牌码代替了传统的密码由用户输入，由于令牌码是动态产生的，因而具有更好的安全性，同时令牌码位数较少便于人们进行输入操作，且无需用户记忆，因此，本发明的实施例提供的网管安全认证方法在保证了安全性的同时也方便了用户的操作。附图说明

图 1是本发明实施例提供的第一种网管安全认证方法的流程示意图；图 2是本发明实施例提供的第二种网管安全认证方法的流程示意图；图 3是本发明实施例提供的第三种网管安全认证方法的流程示意图；图 4是本发明实施例提供的第四种网管安全认证方法的流程示意图；图 5是本发明实施例提供的第一种网管安全认证装置的组成结构示意图；

图 6是本发明实施例提供的第二种网管安全认证装置的组成结构示意图；

图 7是本发明实施例提供的第三种网管安全认证装置的组成结构示意图；

图 8是本发明实施例提供的网管安全认证***的组成结构示意图。具体实施方式

下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明，但不用来限制本发明的范围。图 1是本发明实施例提供的第一种网管安全认证方法的流程示意图；如图 1 所示，本发明的实施例提供一种网管安全认证方法，基于网管服务器，所述方法包括：

S11 : 从网管客户端接收认证请求消息，并将所述认证请求消息发送至认证服务器，所述认证请求消息中携带用户名和令牌码。

S12: 根据所述认证服务器发送的认证结果确定是否为所述网管客户端的用户分配资源和操作权限。

S13: 将所述认证结果发送至所述网管客户端。

本发明的实施例提供的网管安全认证方法，能够从网管客户端接收认证请求消息，并将所述认证请求消息转发给认证服务器以使认证服务器对所述认证请求消息中的用户名和令牌码进行认证，然后才据所述认证服务器的认证结果确定是否为所述网管客户端的用户分配资源和操作权限，用令牌产生的令牌码代替了传统的密码由用户输入，由于令牌码是动态产生的，因而具有更好的安全性，同时令牌码位数较少便于人们进行输入操作，且无需用户记忆，因此，本发明的实施例提供的网管安全认证方法在保证了安全性的同时也方便了用户的操作。

为了便于理解本发明，首先对令牌码进行简单的介绍。令牌码是由令牌产生的若干位随机的数字码。令牌又有软件令牌和硬件令牌之分，其中，硬件令牌是独立的便携物理设备，软件令牌是可以安装于个人电脑，智能手机等便携设备中的软件。无论软件令牌还是硬件令牌都与认证服务器相联系，每一个令牌被下发给用户之前，都在认证服务器上创建了令牌相关信息，在各个令牌中导入相应的令牌种子，从而在需要时产生令牌码。不同的用户具有不同的令牌，相应的，产生的令牌码也不相同。

在步骤 S11 中，所述网管服务器接收来自所述网管客户端的认证请求消息。具体的，用户通过所述网管客户端输入的信息，如用户名、令牌码等都包含在认证请求信息中。要说明的是，所述网管服务器虽然负责对整个网络的协调和管理，提供对令牌认证方式的支持，但并不负责安全认证这一具体工作。当所述网管服务器接收到认证请求消息后，把所述认证请求消息转发给认证服务器，由所述认证服务器进行认证。所述认证服务器可以才据需要配置为支持密码认证、随机号码认证或令牌认证等多种认证方式。例如，在本发明的一个实施例中，所述网管服务器将认证方式配置为令牌认证，当所述网管服务器的安全模块接收到认证请求消息时，所述网管服务器可以与所述认证服务器建立会话，将所述认证请求消息转发至所述认证服务器。

经过所述认证服务器对认证请求消息中的用户名和令牌码进行认证后，在步骤 S12中，所述网管服务器可以从所述认证服务器接收认证结果，并根据所述认证结果确定是否为所述网管客户端的用户分配资源和操作权限。具体的，如果所述认证结果为认证成功，说明提供这个用户名和令牌码的用户是安全用户，可以确定为所述网管客户端的用户分配资源和操作权限。如果所述认证结果为认证失败，则所述用户的安全性尚未被认证，因此，确定不能为所述网管客户端的用户分配资源和操作权限。

本发明实施例还提供了一种计算机存储介质，所述计算机存储介质中存储有计算机可执行指令，所述计算机可执行指令用于执行本发明实施例所述的网管安全认证方法。

相应的，图 2是本发明实施例提供的第二种网管安全认证方法的流程示意图；如图 2所示，本发明的实施例还提供一种网管安全认证方法，基于网管客户端，包括如下步骤：

S21 : 接收用户输入的认证请求消息，并将所述认证请求消息发送至网管服务器；所述认证请求消息中携带用户名和令牌码。

S22: 接收所述网管服务器发送的认证结果。 S23: 根据所述认证结果确定是否允许所述用户登录。

本发明实施例提供的网管安全认证方法，一方面能够接收用户输入的认证请求消息并将所述认证请求消息发送给网管服务器，另一方面还能够从所述网管服务器处接收对所述认证请求消息中的用户名和令牌码进行认证的认证结果，然后根据所述认证结果确定是否允许所述用户登录。整个过程用令牌产生的令牌码代替了传统的密码由用户输入，由于令牌码是动态产生的，因而具有更好的安全性，同时令牌码位数较少便于人们进行输入操作，且无需用户记忆，因此，本发明的实施例提供的网管安全认证方法在保证了安全性的同时也方便了用户的操作。

在步骤 S21和 S22中，主要涉及认证请求消息和认证结果在网管客户端、网管服务器和认证服务器之间的传递，为了保证信息的安全性，认证请求消息和认证结果可以进行加密封装后再通过网络传输，而传达到目的地后，再经过相应的解密或解析等获知认证请求消息和认证结果中的具体信息。

具体的，在步骤 S23 中，根据所述认证结果确定是否允许所述用户登录可以包括以下步骤：

当所述认证结果为认证成功时，确定允许所述用户登录。所述网络客户端作为直接与用户接口的装置，为用户提供了操作界面并能够与用户进行信息交互，一旦网络客户端获知用户输入的用户名和令牌码被认证成功，就能显示出认证结果的友好反馈，以便用户根据认证结果做出合适的交互动作，最后成功登录。

需要说明的是，虽然在网管安全认证中，用户只需要输入用户名和令牌码即可形成相应的认证请求消息从而实现对所述用户进行安全认证，但是，当某个用户第一次进行安全认证时，认证服务器其实还需要对所述用户设置 PIN, 以便为令牌码的产生提供条件。为了排除由缺少 PIN设置引起的认证失败，在用户名和令牌码认证失败后，优选的，还可以包括判断本次认证是否是新用户第一次认证的步骤。当判断的结果为是时，则为所述新用户提供输入 PIN的入口，在进行 PIN 设置后，为所述新用户提供输入认证请求消息的入口；当判断的结果为否时，也就排除了缺少 PIN设置的可能。此时，可选的，可以判断所述用户连续错误输入所述认证请求消息的次数是否达到预设次数；当判断的结果为是时，确定所述用户为非法用户；当判断的结果为否时，继续为用户提供输入认证请求消息的入口。例如，在本发明的一个实施例中，预设次数为 3 次，每次错误输入时，都要对错误输入用户名或令牌码的次数进行计数，当错误输入达到 3次时，就不再为用户提供输入认证请求消息的入口，提示所述用户为非法用户。

相应的，图 3是本发明实施例提供的第三种网管安全认证方法的流程示意图；如图 3 所示，本发明的实施例还提供一种网管安全认证方法，基于认证服务器，所述方法包括：

S31 : 从网管服务器接收认证请求消息，所述认证请求消息中携带用户名和令牌码。

S32: 对所述用户名和令牌码进行认证。

S33: 将认证结果发送至所述网管服务器。

本发明的实施例提供的网管安全认证方法，能够从网管服务器接收认证请求消息，然后对所述认证请求消息中携带的用户名和令牌码进行认证，并将认证结果向所述网管服务器发送。整个过程中，用令牌产生的令牌码代替了传统的密码由用户输入，由于令牌码是动态产生的，因而具有更好的安全性，同时令牌码位数较少便于人们进行输入操作，且无需用户记忆，因此，本发明的实施例提供的网管安全认证方法在保证了安全性的同时也方便了用户的操作。

具体的，所述认证服务器接收到携带有用户名和令牌码的认证请求消息时，可以将用户名和令牌码解析出，由于所述认证服务器上创建有令牌的相关信息，因此，可以根据认证服务器上创建的令牌相关信息对用户名和令牌码进行认证。

需要说明的是，虽然在网管安全认证中，用户只需要输入用户名和令牌码即可形成相应的认证请求消息从而对所述用户进行安全认证，但是，当某个用户第一次进行安全认证时，认证服务器其实还需要对所述用户的

PIN进行设置。首次通过 PIN设置后，相同的用户在以后的认证中都无需再进行 PIN设置。

具体的，在步骤 S33后，所述方法还可包括：

从所述网管服务器接收 PIN设置消息，所述 PIN设置消息中携带 PIN; 对所述 PIN进行设置；将对所述 PIN的设置结果通过所述网管服务器发送至网管客户端。

其中，对 PIN的设置结果可以包括设置成功和设置失败两种；当 PIN 设置结果发送到网管服务器后，由所述网管服务器对所述 PIN设置结果进行解析，并通知网管客户端即可。

下面通过具体的实施例对本发明实施例提供的网管安全认证方法进行详细说明。图 4是本发明实施例提供的第四种网管安全认证方法的流程示意图；如图 4所示，所述方法可包括以下步骤：步骤 101 : 用户打开网管登录入口，用令牌产生一个令牌码，和用户名一起提供给网管客户端。

步骤 102: 网管客户端把输入用户信息加密后发送到网管服务器。

步骤 103: 网管服务器根据配置好的认证服务器地址，同所述认证服务器建立会话，然后转发认证请求消息到所述认证服务器。

步骤 104: 认证服务器解析认证请求消息，认证令牌码合法性，并发送认证结果到网管服务器。

步骤 105:网管服务器解析认证结果，判断所述用户身份认证是否成功，当判断的结果为是时，执行步骤 106; 当判断的结果为否时，执行步骤 107。

步骤 106: 为所述用户分配合理的资源和操作权限，然后封装认证结果并将所述认证结果返回所述网管客户端，执行步骤 108。

步骤 107: 直接封装认证结果返回给网管客户端，不进行相应的资源分配，执行步骤 108。

步骤 108: 客户端解析认证结果，判断认证是否成功，当判断的结果为是时，则执行步骤 115; 当判断的结果为否时，执行步骤 109。

步骤 109: 网管客户端进一步判断此次认证是否新用户第一次认证、是否需要设置用户 PIN, 当判断的结果为是时，执行步骤 110; 当判断的结果为否时，执行步骤 113。

步骤 110: 提供输入 PIN的入口，并将用户输入的 PIN发送到网管服务器。

步骤 111 : 网管服务器转发 PIN到认证服务器。

步骤 112: 认证服务器对 PIN设置成功，将 PIN设置成功的消息返回网络客户端, 执行步骤 101。

步骤 113: 判断连续错误输入令牌码的次数是否达到预设值，当判断的结果为否时，则重复步骤 101 的认证开始流程；当判断的结果为是时，则确定所述用户非合法用户，已经连续产生了几个不同令牌码都无法认证通过，执行步骤 114。

步骤 114: 退出登录，执行步骤 116。

步骤 115: 直接登录，执行步骤 116。

步骤 116: 认证流程结束。

相应的，图 5是本发明实施例提供的第一种网管安全认证装置的组成结构示意图；如图 5所示，本发明的实施例还提供一种网管安全认证装置 2, 包括：

第一收发单元 21 , 配置为从网管客户端接收认证请求消息，并将所述认证请求消息发送至认证服务器，所述认证请求消息中携带用户名和令牌码；还用于接收所述认证服务器发送的认证结果；还配置为将所述第一收发单元接收的认证结果发送至所述网管客户端；

第一确定单元 22, 配置为根据所述第一收发单元接收的认证结果确定是否为所述网管客户端的用户分配资源和操作权限。

本发明的实施例提供的网管安全认证装置 2中，所述第一收发单元 21 能够从网管客户端接收认证请求消息，并将所述认证请求消息转发给认证服务器以使认证服务器对所述认证请求消息中的用户名和令牌码进行认证；所述第一确定单元 22能够根据所述认证服务器的认证结果确定是否为所述网管客户端的用户分配资源和操作权限，用令牌产生的令牌码代替了传统的密码由用户输入，由于令牌码是动态产生的，因而具有更好的安全性，同时令牌码位数较少便于人们进行输入操作，且无需用户记忆，因此，本发明的实施例提供的网管安全认证装置在保证了安全性的同时也方便了用户的操作。

具体的，所述第一确定单元 22, 配置为当所述认证结果为认证成功时，确定为所述网管客户端的用户分配资源和操作权限，从而使网管客户端的用户可以使用这些资源和操作权限；当所述认证结果为认证失败时，确定不为所述网管客户端的用户分配资源和操作权限。

其中，所述网管安全认证装置在实际应用中，可由网管服务器实现；所述第一确定单元 22在实际应用中，可由本发明实施例所述第一种网管安全认证装置中的中央处理器（CPU, Central Processing Unit )、数字信号处理器（DSP, Digital Signal Processor )或现场可编程门阵列（FPGA, Field Programmable Gate Array ) 实现。所述第一收发单元 21在实际应用中，可由所述网管安全认证装置中的收发机或收发器实现。

相应的，图 6是本发明实施例提供的第二种网管安全认证装置的组成结构示意图；如图 6所示，本发明的实施例还提供一种网管安全认证装置 3 , 所述装置包括：

第二收发单元 31 , 配置为接收用户输入的认证请求消息并将所述认证请求消息发送至网管服务器，所述认证请求消息中携带用户名和令牌码；还配置接收所述网管服务器发送的认证结果；

第二确定单元 32,配置为根据所述第二收发单元 31接收的认证结果确定是否允许所述用户登录。

本发明的实施例提供的网管安全认证装置 3中，所述第二收发单元 31 能够接收用户输入的认证请求消息并将所述认证请求消息发送给网管服务器，还能够接收对所述认证请求消息中的用户名和令牌码进行认证的认证结果；所述第二确定单元 32能够根据所述认证结果确定是否允许所述用户登录。整个过程用令牌产生的令牌码代替了传统的密码由用户输入，由于令牌码是动态产生的，因而具有更好的安全性，同时令牌码位数较少便于人们进行输入操作，且无需用户记忆，因此，本发明的实施例提供的网管安全认证装置 3在保证了安全性的同时也方便了用户的操作。

具体的，第二确定单元 32, 配置为当所述认证结果为认证成功时，确定允许所述用户登录；当所述认证结果为认证失败时，判断本次认证是否为新用户第一次认证；当判断的结果为是时，为所述新用户提供输入个人识别码 PIN的入口，在 PIN设置成功后，为所述新用户提供输入认证请求消息的入口；当判断的结果为否时，判断所述用户连续错误输入所述认证请求消息的次数是否达到预设次数；当判断的结果为是时，确定所述用户为非法用户；当判断的结果为否时，继续为用户提供输入认证请求消息的入口。

其中，所述网管安全认证装置在实际应用中，可由网管客户端实现，所述网关客户端可以是电脑、智能手机等终端设备；所述第二确定单元 32 在实际应用中，可由本发明实施例所述第二种网管安全认证装置中的 CPU、 DSP或 FPGA实现；所述第二收发单元 31在实际应用中，可由所述网管安全认证装置中的收发机或收发器实现。

相应的，图 7是本发明实施例提供的第三种网管安全认证装置的组成结构示意图；如图 7所示，本发明的实施例还提供一种网管安全认证装置 4, 所述装置包括：

接收单元 41 , 配置为从网管服务器接收认证请求消息，所述认证请求消息中携带用户名和令牌码；

认证单元 42,配置为对所述接收单元 41接收到的所述用户名和令牌码进行认证，获得认证结果；

发送单元 43 ,配置为将所述认证单元 42获得的认证结果发送至所述网管服务器。

本发明的实施例提供的网管安全认证装置 4, 所述接收单元 41能够从网管服务器接收认证请求消息；所述认证单元 42能够对所述认证请求消息中携带的用户名和令牌码进行认证；所述发送单元 43能够将认证结果向所述网管服务器发送。整个过程中，用令牌产生的令牌码代替了传统的密码由用户输入，由于令牌码是动态产生的，因而具有更好的安全性，同时令牌码位数较少便于人们进行输入操作，且无需用户记忆，因此，本发明的实施例提供的网管安全认证方法在保证了安全性的同时也方便了用户的操作。

可选的，所述接收单元 41 , 还可配置为从所述网管服务器接收 PIN设置消息，所述 PIN设置消息中携带 PIN;

所述认证单元 42,还可配置为对所述接收单元 41接收的所述 PIN进行设置，获得设置结果；

所述发送单元 43 ,还可配置为将所述认证单元 42获得的 PIN的设置结果通过网管服务器发送至网管客户端。

其中，所述网管安全认证装置在实际应用中，可由认证服务器实现；所述认证单元 42在实际应用中，可由本发明实施例所述第三种网管安全认证装置中的 CPU、 DSP或 FPGA实现；所述接收单元 41在实际应用中，可由所述网管安全认证装置中的接收机或接收器实现；所述发送单元 43在实际应用中，可由所述网管安全认证装置中的发射机。

相应的，本发明的实施例还提供了一种网管安全认证***，图 8是本发明实施例提供的网管安全认证***的组成结构示意图，如图 8所示，所述***包括：网管服务器 51、网管客户端 52和认证服务器 53 , 其中，所述网管服务器 51 , 配置为从网管客户端 52接收认证请求消息，并将所述认证请求消息发送至认证服务器 53 , 所述认证请求消息中携带用户名和令牌码；还配置为根据所述认证服务器 53发送的认证结果确定是否为所述网管客户端 52的用户分配资源和操作权限；将所述认证结果发送至所述网管客户端 52;

所述网管客户端 52, 配置为接收用户输入的认证请求消息，并将所述认证请求消息发送至网管服务器 51 ; 所述认证请求消息中携带用户名和令牌码；还配置为接收所述网管服务器 51发送的认证结果，根据所述认证结果确定是否允许所述用户登录；

所述认证服务器 53 , 配置为从网管服务器 51接收认证请求消息，所述认证请求消息中携带用户名和令牌码；对所述用户名和令牌码进行认证；将认证结果发送至所述网管服务器 51。

具体的，所述网管服务器 51 , 配置为当认证服务器 53发送的所述认证结果为认证成功时，确定为所述网管客户端 52的用户分配资源和操作权限。

具体的，所述网管客户端 52, 配置为当所述网管服务器 51发送的所述认证结果为认证成功时，确定允许所述用户登录；当所述认证结果为认证失败时，判断本次认证是否为新用户第一次认证；当判断的结果为是时，为所述新用户提供输入个人识别码 PIN的入口，在 PIN设置成功后，为所述新用户提供输入认证请求消息的入口；当判断的结果为否时，判断所述用户连续错误输入所述认证请求消息的次数是否达到预设次数；当判断的结果为是时，确定所述用户为非法用户；当判断的结果为否时，继续为用户提供输入认证请求消息的入口。

优选地，所述认证服务器 53 , 还配置为从所述网管服务器 51接收 PIN 设置消息，所述 PIN设置消息中携带 PIN; 对所述 PIN进行设置；将所述 PIN的设置结果通过所述网管服务器 51发送至网管客户端 52。

具体的，所述网管服务器 51中包括前述实施例中提供的任一种网管安全认证装置 2; 所述网管客户端 52包括前述实施例中提供的任一种网管安全认证装置 3; 所述认证服务器 53包括前述实施例中提供的任一种网管安全认证装置 4。由于所述网管安全认证***包括了前述实施例中的网管安全认证装置，因此也能够实现相应的有益技术效果，前文已经进行了详细的说明，此处不再赘述。

本发明是参照根据本发明实施例的方法、装置、和计算机程序产品的流程图和 /或方框图来描述的。应理解可由计算机程序指令实现流程图和 / 或方框图中的每一流程和 /或方框、以及流程图和 /或方框图中的流程和 /或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和 /或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和 /或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和 /或方框图一个方框或多个方框中指定的功能的步骤。

以上所述仅是本发明实施例的实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明实施例原理的前提下，还可以作出若干改进和润饰，这些改进和润饰也应视为本发明实施例的保护范围。工业实用性

本发明实施例通过网管服务器从网管客户端接收认证请求消息，并将所述认证请求消息转发给认证服务器以使认证服务器对所述认证请求消息中的用户名和令牌码进行认证，根据所述认证服务器的认证结果确定是否为所述网管客户端的用户分配资源和操作权限，整个操作中，用令牌产生的令牌码代替了传统的密码由用户输入，具有更好的安全性，同时令牌码位数较少便于人们进行输入操作，且无需用户记忆，因此，本发明的实施例提供的网管安全认证方法在保证了安全性的同时也方便了用户的操作。

Claims

权利要求书

1、一种网管安全认证方法，所述方法包括：

根据所述认证服务器发送的认证结果确定是否为所述网管客户端的用户分配资源和操作权限；

将所述认证结果发送至所述网管客户端。

2、根据权利要求 1所述的方法，其中，所述根据所述认证服务器发送的认证结果确定是否为所述网管客户端的用户分配资源和操作权限，包括：当所述认证结果为认证成功时，确定为所述网管客户端的用户分配资源和操作权限。

3、一种网管安全认证方法，所述方法包括：

接收所述网管服务器发送的认证结果；

根据所述认证结果确定是否允许所述用户登录。

4、根据权利要求 3所述的方法，其中，所述根据所述认证结果确定是否允许所述用户登录，包括：

当所述认证结果为认证成功时，确定允许所述用户登录；

当判断的结果为是时，为所述新用户提供输入个人识别码 PIN的入口，在 PIN设置成功后，为所述新用户提供输入认证请求消息的入口；

5、一种网管安全认证方法，所述方法包括：

从网管服务器接收认证请求消息，所述认证请求消息中携带用户名和令牌码；

对所述用户名和令牌码进行认证；

将认证结果发送至所述网管服务器。

6、根据权利要求 5所述的方法，其中，在所述将认证结果发送至所述网管服务器后，所述方法还包括：

从所述网管服务器接收 PIN设置消息，所述 PIN设置消息中携带 PIN; 对所述 PIN进行设置；

7、一种网管安全认证装置，所述装置包括：

第一收发单元，配置为从网管客户端接收认证请求消息，并将所述认证请求消息发送至认证服务器；所述认证请求消息中携带用户名和令牌码；还用于接收所述认证服务器发送的认证结果；还配置为将所述第一收发单元接收的认证结果发送至所述网管客户端；

8、根据权利要求 7所述的装置，其中，所述第一确定单元，配置为当所述认证结果为认证成功时，确定为所述网管客户端的用户分配资源和操作权限。

9、一种网管安全认证装置，所述装置包括：

第二收发单元，配置为接收用户输入的认证请求消息并将所述认证请求消息发送至网管服务器；所述认证请求消息中携带用户名和令牌码；还配置接收所述网管服务器发送的认证结果；第二确定单元，配置为根据所述第二收发单元接收的认证结果确定是否允许所述用户登录。

10、根据权利要求 9所述的装置，其中，所述第二确定单元，配置为当所述认证结果为认证成功时，确定允许所述用户登录；当所述认证结果为认证失败时，判断本次认证是否为新用户第一次认证；当判断的结果为是时，为所述新用户提供输入个人识别码 PIN的入口，在 PIN设置成功后，为所述新用户提供输入认证请求消息的入口；当判断的结果为否时，判断所述用户连续错误输入所述认证请求消息的次数是否达到预设次数；当判断的结果为是时，确定所述用户为非法用户；当判断的结果为否时，继续为用户提供输入认证请求消息的入口。

11、一种网管安全认证装置，所述装置包括：

接收单元，配置为从网管服务器接收认证请求消息，所述认证请求消息中携带用户名和令牌码；

12、根据权利要求 11所述的装置，其中，

所述接收单元，还配置为从所述网管服务器接收 PIN设置消息，所述 PIN设置消息中携带 PIN;

13、一种网管安全认证***，所述***包括网管服务器、网管客户端、和认证服务器，其中，

所述网管服务器，配置为从网管客户端接收认证请求消息，并将所述认证请求消息发送至认证服务器，所述认证请求消息中携带用户名和令牌码；还配置为根据所述认证服务器发送的认证结果确定是否为所述网管客户端的用户分配资源和操作权限；将所述认证结果发送至所述网管客户端；所述网管客户端，配置为接收用户输入的认证请求消息，并将所述认证请求消息发送至网管服务器；所述认证请求消息中携带用户名和令牌码；还配置为接收所述网管服务器发送的认证结果，根据所述认证结果确定是否允许所述用户登录；

所述认证服务器，配置为从网管服务器接收认证请求消息，所述认证请求消息中携带用户名和令牌码；对所述用户名和令牌码进行认证；将认证结果发送至所述网管服务器。

14、根据权利要求 13所述的***，其中，所述网管服务器，配置为当认证服务器发送的所述认证结果为认证成功时，确定为所述网管客户端的用户分配资源和操作权限。

15、根据权利要求 13所述的***，其中，所述网管客户端，配置为当所述网管服务器发送的所述认证结果为认证成功时，确定允许所述用户登录；当所述认证结果为认证失败时，判断本次认证是否为新用户第一次认证；当判断的结果为是时，为所述新用户提供输入个人识别码 PIN的入口，在 PIN设置成功后，为所述新用户提供输入认证请求消息的入口；当判断的结果为否时，判断所述用户连续错误输入所述认证请求消息的次数是否达到预设次数；当判断的结果为是时，确定所述用户为非法用户；当判断的结果为否时，继续为用户提供输入认证请求消息的入口。

16、根据权利要求 13所述的***，其中，所述认证服务器，还配置为从所述网管服务器接收 PIN设置消息，所述 PIN设置消息中携带 PIN; 对所述 PIN进行设置；将所述 PIN的设置结果通过所述网管服务器发送至网管客户端。

17、一种计算机存储介质，所述计算机存储介质中存储有计算机可执行指令，所述计算机可执行指令用于执行权利要求 1或 2所述的网管安全认证方法。

18、一种计算机存储介质，所述计算机存储介质中存储有计算机可执行指令，所述计算机可执行指令用于执行权利要求 3或 4所述的网管安全认证方法。

19、一种计算机存储介质，所述计算机存储介质中存储有计算机可执行指令，所述计算机可执行指令用于执行权利要求 5或 6所述的网管安全认证方法。