CN111654864B - 二次鉴权方法及相关设备 - Google Patents
二次鉴权方法及相关设备 Download PDFInfo
- Publication number
- CN111654864B CN111654864B CN202010542584.0A CN202010542584A CN111654864B CN 111654864 B CN111654864 B CN 111654864B CN 202010542584 A CN202010542584 A CN 202010542584A CN 111654864 B CN111654864 B CN 111654864B
- Authority
- CN
- China
- Prior art keywords
- client
- mobile terminal
- token
- identifier
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种二次鉴权方法及相关设备,涉及移动通信领域。所述方法包括:将客户端配置为当被安装到移动终端上时,将客户端标识以及移动终端标识通过所述移动终端的可信应用程序存储到所述移动终端的可信执行环境中;将所述客户端配置为在需要进行二次鉴权时,向所述可信应用程序发送获取临时令牌的请求,以通过获取的临时令牌访问服务端;将所述可信应用程序配置为在接收到所述客户端发送的获取临时令牌的请求时,根据所述可信执行环境中存储的客户端标识和移动终端标识对所述客户端进行鉴权,在鉴权通过后,生成用于访问服务端的临时令牌,并将所述临时令牌返回给所述客户端。本发明的鉴权方法不依赖于服务端,可以提高用户体验,提高安全性。
Description
技术领域
本发明涉及移动通信领域,特别涉及一种二次鉴权方法及相关设备。
背景技术
随着移动互联网技术的不断发展,大量客户端通过连接服务端来获取系统资源、服务,因此,如何对客户端进行鉴权至关重要。
鉴权用于验证客户端是否有权利访问系统。现有的鉴权方法主要包括:1、客户端将用户的账号密码等信息发送给服务端,服务端根据账号密码等信息对客户端进行鉴权,该方案技术方案较为简单,但是鉴权效率较低、安全性较差。2、客户端采集用户的唯一信息(如指纹信息、人脸信息等)发送给服务端,服务端根据该用户的唯一信息对客户端进行鉴权。由于利用用户的唯一信息进行鉴权,该方案提高了鉴权的安全性,但是其技术方案较为复杂,尤其是当需要二次鉴权时,该方案需要打断用户操作,使用户再次输入用户信息,用户体验较差。3、借助外接设备(如USB)进行鉴权。该方案利用外接设备与鉴权服务器进行交互来完成鉴权,具有安全可靠的优点,但是由于外接设备的端口各异,在智能手机等移动终端上使用非常困难,并且,由于引入外接设备,用户操作起来非常不便,用户体验较差。
因此,当需要对客户端进行二次鉴权时,如何提高用户体验同时提高鉴权的安全性,是亟待解决的技术问题。
发明内容
为了解决二次鉴权时用户体验差、安全性低的问题,本发明实施方式提供了一种在移动终端上进行二次鉴权的方法及相关设备。本发明实施方式的技术方案如下:
本发明实施方式的第一方面提供一种二次鉴权方法,所述方法包括:
将客户端配置为当被安装到移动终端上时,将客户端标识以及移动终端标识通过所述移动终端的可信应用程序存储到所述移动终端的可信执行环境中;
将所述客户端配置为在需要进行二次鉴权时,向所述可信应用程序发送获取临时令牌的请求,以通过获取的临时令牌访问服务端,其中,所述获取临时令牌的请求携带有客户端标识以及移动终端标识;
将所述可信应用程序配置为在接收到所述客户端发送的获取临时令牌的请求时,根据所述可信执行环境中存储的客户端标识和移动终端标识对所述客户端进行鉴权,在鉴权通过后,生成用于访问服务端的临时令牌,并将所述临时令牌返回给所述客户端。
在本发明的一种实施方式中,将所述客户端配置为执行以下操作:
当客户端用户的访问令牌和刷新令牌均失效时,检测客户端上是否有用户操作,若有,则判断需要进行二次鉴权,向所述可信应用程序发送获取临时令牌的请求。
在本发明的一种实施方式中,所述方法还包括:
将所述客户端配置为在从服务端获取到刷新令牌时将所述刷新令牌通过所述可信应用程序存储到所述可信执行环境中。
在本发明的一种实施方式中,所述获取临时令牌的请求还携带有刷新令牌。
在本发明的一种实施方式中,所述可信应用程序被配置为通过以下方式对所述客户端进行鉴权:
从所述请求中获取客户端标识、移动终端标识以及刷新令牌;
校验从所述请求中获取的客户端标识、移动终端标识以及刷新令牌与所述可信执行环境中存储的客户端标识、移动终端标识以及刷新令牌的一致性;
在校验一致后,判断是否超过了临时令牌可以被获取的最大次数,若没有,则判断鉴权通过。
本发明实施方式的另一方面提供一种移动终端,所述移动终端上安装有客户端和可信应用程序,其中:
所述客户端用于在被安装到所述移动终端上时,将客户端标识以及移动终端标识通过所述移动终端的可信应用程序存储到所述移动终端的可信执行环境中;
所述客户端还用于在需要进行二次鉴权时,向所述可信应用程序发送获取临时令牌的请求,以通过获取的临时令牌访问服务端,其中,所述获取临时令牌的请求携带有客户端标识以及移动终端标识;
所述可信应用程序用于在接收到所述客户端发送的获取所述临时令牌的请求时,根据所述可信执行环境中存储的客户端标识和移动终端标识对所述客户端进行鉴权,在鉴权通过后,生成用于访问服务端的临时令牌,并将所述临时令牌返回给所述客户端。
在本发明的一种实施方式中,所述客户端在客户端用户的访问令牌和刷新令牌均失效时,检测客户端上是否有用户操作,若有,则判断需要进行二次鉴权,向所述可信应用程序发送获取临时令牌的请求。
在本发明的一种实施方式中,所述客户端在从服务端获取到刷新令牌时还将所述刷新令牌通过所述可信应用程序存储到所述可信执行环境中。
在本发明的一种实施方式中,所述获取临时令牌的请求还携带有刷新令牌。
在本发明的一种实施方式中,所述可信应用程序通过以下方式对所述客户端进行鉴权:
从所述请求中获取客户端标识、移动终端标识以及所述刷新令牌;
校验从所述请求中获取的客户端标识、移动终端标识以及刷新令牌与所述可信执行环境中存储的客户端标识、移动终端标识以及刷新令牌的一致性;
在校验一致后,判断是否超过了临时令牌可以被获取的最大次数,若没有,则判断鉴权通过。
本发明实施方式的第三方面提供一种计算机存储介质,其上存储有计算机指令,该计算机指令能够被处理器执行以实现上述任意一种实施方式所述的终端鉴权方法。
本发明实施方式的第四方面提供一种计算机设备,包括:
存储器,其上存储有计算机程序;
处理器,用于执行所述计算机程序以实现上述任意一种实施方式所述的终端鉴权方法。
本发明实施方式提供的技术方案能够带来如下有益效果:
根据本发明实施方式,客户端在安装至移动终端时将客户端标识、移动终端标识预先存储到移动终端的可信执行环境中,在需要进行二次鉴权时,向所述移动终端的可信应用程序发送获取临时令牌的请求,由可信应用程序根据可信执行环境中存储的客户端标识以及移动终端标识对客户端进行鉴权,并返回的用于访问服务端的临时令牌,以便客户端通过该临时令牌继续访问服务端。通过以上方式,本发明不依赖于服务端后台,在进行二次鉴权时无需打断用户操作,可以提高用户体验,提高鉴权的安全性。
附图说明
图1是根据本发明一种实施方式的二次鉴权方法的流程图;
图2是根据本发明另一种实施方式的二次鉴权方法的流程图;
图3是根据本发明实施方式的移动终端的模块示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步的详细描述。应当理解,下述的各种实施方式只用于举例说明,而非用于限制本发明的保护范围。
在本发明的实施方式中,移动终端可指各种类型的移动终端设备等移动式计算机设备,包括但不限于智能手机、平板电脑等。移动终端具有基于ARM架构的移动平台芯片,支持ARM TrustZone技术,可基于TrustZone技术实现可信执行环境(Trusted ExecutionEnvironment,简称为TEE),为可信执行环境中的资源提供硬件保护。可信执行环境是主处理器内的安全区域,其与运行通用操作系统(如Android系统、IOS系统)系统的富执行环境(Rich Execution Environment,REE)隔离。
本发明实施方式的第一方面提供一种二次鉴权方法。图1示出了本发明一种实施方式的二次鉴权方法的流程图。请参见图1,该方法在客户端需要二次鉴权时,向移动终端的可信应用程序发送获取临时令牌的请求,由移动终端的可信应用程序对客户端进行鉴权,在鉴权通过后,向客户端返回访问服务端的临时令牌(Temporary Token)。从而,客户端可以通过该临时令牌临时访问服务端。该二次鉴权方法包括如下处理:
S101:将客户端配置为当被安装到移动终端上时,将客户端标识以及移动终端标识通过所述移动终端的可信应用程序存储到所述移动终端的可信执行环境中。
客户端(Client Application,CA)通常安装运行在移动终端的富执行环境中,可信应用程序(Trusted Application,TA)通常安装运行在移动终端的可信执行环境中,运行在可信执行环境中的可信应用程序可以访问可信执行环境的资源,运行在富执行环境中的客户端不能访问可信执行环境的资源。
客户端在安装时可以调用移动终端提供的可信应用程序将其自身的客户端标识、以及安装该客户端的移动终端的移动终端标识存储到该移动终端的可信执行环境中,并对客户端标识和移动终端标识做关联处理,以便后续可信应用程序据此对客户端进行鉴权。客户端标识可以为客户端的MD5值等,移动终端标识可以为移动终端的设备ID等。
S102:将所述客户端配置为在需要进行二次鉴权时,向所述可信应用程序发送获取临时令牌的请求,以通过获取的临时令牌访问服务端。
客户端可以将客户端用户的登录信息发送给服务端,由服务端对客户端进行首次鉴权。在鉴权通过后,客户端可以获取服务端返回的访问令牌(Access Token)和刷新令牌(Refresh Token)并缓存所述访问令牌和所述刷新令牌,之后客户端可以通过缓存的访问令牌访问服务端。缓存的访问令牌和刷新令牌均有有效期,刷新令牌的有效期比访问令牌的有效期长,当访问令牌的失效时,刷新令牌可以刷新访问令牌。
在客户端缓存的访问令牌和刷新令牌均失效时,可以检测客户端上是否有用户操作,若有,则认为客户端需要二次鉴权,向可信应用程序发送获取临时令牌的请求,若没有,则认为客户端不需要二次鉴权。比如,客户端可以检测访问令牌和刷新令牌中最后一个令牌失效时刻前设定时间段内客户端上是否有触摸操作,若有,则认为在访问令牌和刷新令牌均失效时客户端上有用户操作,需要进行二次鉴权,然后向可信应用程序发送获取临时令牌的请求。若最后一个令牌失效时刻前设定时间段内客户端上没有触摸操作,则可以认为访问令牌和刷新令牌均失效时客户端上没有用户操作,不需要进行二次鉴权,此时客户端可以不做处理。当用户再次登录客户端时,客户端可以获取用户登录信息请求服务端重新鉴权。
现有技术中,客户端在访问令牌和刷新令牌均失效时通常返回登录页面,使客户端用户重新登录,然后再次请求服务端进行鉴权,即请求服务端对客户端进行二次鉴权。此时,若用户正在操作客户端,用户的业务操作就会被打断。与之相对的是,本实施方式的客户端在访问令牌和刷新令牌均失效时,判断客户端上是否有用户操作,若有,则向可信应用程序发送获取临时令牌的请求,请求可信应用程序下发临时令牌,进而通过可信应用程序返回的临时令牌访问继续服务端。相比于使用户重新登录来请求服务端进行二次鉴权而言,本实施方式提供的二次鉴权方法向移动终端的可信应用程序发送获取临时令牌的请求,通过可信应用程序对客户端鉴权后返回的临时令牌访问服务端,其不会中断用户操作,可以做到用户无感,提高用户体验。
S103:将所述可信应用程序配置为在接收到所述客户端发送的获取临时令牌的请求时,根据可信执行环境中存储的客户端标识和移动终端标识对所述客户端进行鉴权,在鉴权通过后,生成用于访问服务端的临时令牌,并将所述临时令牌返回给所述客户端。
客户端发送的获取临时令牌的请求可以携带有其客户端标识、安装所述客户端的移动终端标识。可信应用程序在接收到客户端发送的获取临时令牌的请求后,可以从所述请求中获取其携带的客户端标识以及移动终端标识,然后校验从请求中获取的客户端标识、移动终端标识与可信执行环境中存储的客户端标识、移动终端标识的一致性,在校验通过后,生成用于访问服务端的临时令牌,并将所述临时令牌返回给客户端,以便客户端通过该临时令牌访问服务端。由此,在接收到获取临时令牌的请求后,可以由可信应用程序对客户端二次鉴权,提高安全性。
为进一步提高安全性,客户端在从服务端获取到访问令牌和刷新令牌时,除了将访问令牌和刷新令牌缓存外,还可以通过可信应用程序将刷新令牌存储到可信执行环境中,并对可信执行环境中存储的刷新令牌、客户端标识和移动终端标识进行关联操作。在客户端需要进行二次鉴权时,客户端向可信应用程序发送的获取临时令牌的请求中可以携带有刷新令牌、其客户端标识、以及安装所述客户端的移动终端标识。可信应用程序在接收到客户端发送的获取临时令牌的请求后,可以从所述请求中获取其携带的刷新令牌、客户端标识以及移动终端标识,然后校验从请求中获取的刷新令牌、客户端标识、移动终端标识与可信执行环境中存储的刷新令牌、客户端标识、移动终端标识的一致性,在校验通过后,可以判断是否超过了设定的临时令牌可以被获取的最大次数,若没有,则判断客户端通过鉴权。此时,可信应用程序可以生成用于访问服务端的临时令牌,并将该临时令牌返回给客户端,以便客户端通过该临时令牌访问服务端。其中,可以根据客户端的业务操作设定临时令牌的有效期。
图2是根据本发明另一种实施方式的二次鉴权方法的流程图。下面结合该图对本发明实施方式所述的二次鉴权方法做进一步的说明。请参见图2,本实施方式所述的二次鉴权方法包括如下处理:
S201:客户端在安装到移动终端上时,将客户端的MD5值、移动终端的设备ID通过移动终端上的可信应用程序存入到移动终端的可信执行环境中;
S202:客户端根据用户登录信息从服务端获取访问令牌和刷新令牌并缓存,并将刷新令牌通过可信应用程序存入到移动终端的可信执行环境中;
S203:客户端检测访问令牌是否失效;
S204:在访问令牌失效时,客户端检测刷新令牌是否失效;
S205:若刷新令牌也失效,客户端检测是否有用户在操作客户端;
S206:若有,客户端向可信应用程序发送获取临时令牌的请求,所述请求携带有刷新令牌、客户端的MD5值以及移动终端的设备ID;
S207:可信应用程序接收所述获取临时令牌的请求,从请求中获取刷新令牌、客户端的MD5值以及移动终端的设备ID,通过可信执行环境中存储的刷新令牌、客户端MD5值以及移动终端的设备ID对所述客户端进行鉴权,在鉴权通过后,生成用于访问服务端的临时令牌,并将所述临时令牌返回给客户端;
S208:客户端通过可信应用程序返回的临时令牌访问服务端。
本发明实施方式的第二方面提供一种移动终端。请参见图3,图3示出了一种移动终端10的程序模块或功能模块,该移动终端除了具有移动终端通常具有的相关硬件和软件外,还安装有客户端11和可信应用程序12。
其中,客户端11用于在被安装到移动终端10上时,将客户端11的标识以及移动终端10的标识通过移动终端10上的可信应用程序12存储到移动终端10的可信执行环境中。
客户端11通常安装运行在移动终端10的富执行环境中,可信应用程序12通常安装运行在移动终端10的可信执行环境中,运行在可信执行环境中的可信应用程序12可以访问可信执行环境的资源,运行在富执行环境中的客户端11不能访问可信执行环境的资源。
客户端11在安装时可以调用可信应用程序12将客户端11的客户端标识、以及安装所述客户端11的移动终端10的移动终端标识存储到移动终端10的可信执行环境中,并对客户端标识、移动终端标识做关联处理,以便后续可信应用程序12据此对客户端11进行鉴权。客户端标识可以为客户端的MD5值等,移动终端标识可以为移动终端的设备ID等。
客户端11还用于在需要进行二次鉴权时,向可信应用程序12发送获取临时令牌的请求,以通过获取的临时令牌访问服务端,其中,所述获取临时令牌的请求携带有客户端标识以及移动终端标识。
客户端11可以将客户端用户的登录信息发送给服务端,由服务端对客户端进行首次鉴权。在鉴权通过后,客户端11可以获取服务端返回的访问令牌和刷新令牌并缓存所述访问令牌和所述刷新令牌,之后客户端11可以通过缓存的访问令牌访问服务端。缓存的访问令牌和刷新令牌均有有效期,刷新令牌的有效期比访问令牌的有效期长,当访问令牌的失效时,刷新令牌可以刷新访问令牌。
在客户端11缓存的访问令牌和刷新令牌均失效时,可以检测客户端上是否有用户操作,若有,则认为客户端11需要二次鉴权,向可信应用程序12发送获取临时令牌的请求,若没有,则认为客户端11不需要二次鉴权。比如,客户端11可以检测访问令牌和刷新令牌中最后一个令牌失效时刻前设定时间段内是否有触摸操作,若有,则认为在访问令牌和刷新令牌均失效时客户端上有用户操作,需要进行二次鉴权,然后向可信应用程序12发送获取临时令牌的请求。若最后一个令牌失效时刻前设定时间段内没有触摸操作,则可以认为访问令牌和刷新令牌均失效时客户端11上没有用户操作,不需要进行二次鉴权,此时客户端11可以不做处理。当用户再次登录客户端时,客户端11可以获取用户登录信息请求服务端重新鉴权。
相比于返回登录页面使用户重新登录来请求服务端进行二次鉴权而言,本实施方式的客户端在有用户操作时向移动终端的可信应用程序发送获取临时令牌的请求,通过可信应用程序对客户端鉴权后返回的临时令牌继续访问服务端,其不会中断用户操作,可以做到用户无感,提高用户体验。
可信应用程序12用于在接收到客户端11发送的获取临时令牌的请求时,根据所述可信执行环境中存储的客户端标识和移动终端标识对客户端11进行鉴权,在鉴权通过后,生成用于访问服务端的临时令牌,并将所述临时令牌返回给客户端11。
客户端11发送的获取临时令牌的请求可以携带有客户端标识、安装所述客户端的移动终端标识。可信应用程序12在接收到客户端11发送的获取临时令牌的请求后,可以从所述请求中获取其携带的客户端标识以及移动终端标识,然后校验从请求中获取的客户端标识、移动终端标识与可信执行环境中存储的客户端标识、移动终端标识的一致性,在校验通过后,生成用于访问服务端的临时令牌,并将所述临时令牌返回该客户端11。由此,可信应用程序12可以对客户端11进行二次鉴权,提高安全性。
为进一步提高安全性,客户端11在从服务端获取到客户端用户的访问令牌和刷新令牌时,除了将访问令牌和刷新令牌缓存外,还可以通过可信应用程序12将刷新令牌存储到可信执行环境中,并对刷新令牌、客户端标识、以及移动终端标识进行关联操作。在客户端11需要进行二次鉴权时,客户端11向可信应用程序12发送的获取临时令牌的请求中可以携带有刷新令牌、客户端标识、以及安装所述客户端的移动终端标识。可信应用程序12在接收到客户端发送的获取临时令牌的请求后,可以从所述请求中获取其携带的刷新令牌、客户端标识以及移动终端标识,然后校验从请求中获取的刷新令牌、客户端标识、移动终端标识与可信执行环境中存储的刷新令牌、客户端标识、移动终端标识的一致性,在校验通过后,判断是否超过了临时令牌可以被获取的最大次数,若没有,则判断客户端通过鉴权,生成用于访问服务端的临时令牌,并将所述临时令牌返回给客户端11,以便客户端11通过该临时令牌继续访问服务端。
虽然本文举例描述了一些实施方式,但是,在不脱离本发明实质的前提下,可以对这些实施方式进行各种变形,所有这些变形仍属于本发明的构思,并且落入本发明权利要求所限定的保护范围。例如,在本发明各实施方式中,多个模块中的部分模块的功能可以组合或集成为由一个模块实现,或者,某个模块的功能可以分成由多个模块实现。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件结合硬件平台的方式来实现。基于这样的理解,本发明的技术方案对背景技术做出贡献的全部或者部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施方式或者实施方式的某些部分所述的方法。
本发明实施方式的第三方面提供一种计算机存储介质,如硬盘、光盘、闪存、软盘、磁带等,其上存储有计算机可读指令,该计算机可读指令能够被处理器执行以实现上述任意一种实施方式所述的二次鉴权方法。
本发明实施方式的第四方面提供一种计算机设备,包括:
存储器,其上存储有计算机程序,
处理器,其可以执行所述计算机程序以实现上述任意一种实施方式所述的二次鉴权方法。
在本发明的示例性实施方式中,所述计算机设备包括智能手机、平板电脑、个人数字助理等。
本发明说明书中使用的术语和措辞仅仅为了举例说明,并不意味构成限定。本领域技术人员应当理解,在不脱离所公开的实施方式的基本原理的前提下,对上述实施方式中的各细节可进行各种变化。因此,本发明的保护范围只由权利要求确定,在权利要求中,除非另有说明,所有的术语应按最宽泛合理的意思进行理解。
Claims (10)
1.一种二次鉴权方法,其特征在于,所述方法包括:
将客户端配置为当被安装到移动终端上时,将客户端标识以及移动终端标识通过所述移动终端的可信应用程序存储到所述移动终端的可信执行环境中;
将所述客户端配置为:当该客户端的访问令牌和刷新令牌均失效时,检测所述客户端上是否有用户操作,若有,则判断需要进行二次鉴权,并在需要进行二次鉴权时,向所述可信应用程序发送获取临时令牌的请求,以通过获取的临时令牌访问服务端,其中,所述获取临时令牌的请求携带有客户端标识以及移动终端标识;
将所述可信应用程序配置为在接收到所述客户端发送的获取临时令牌的请求时,根据所述可信执行环境中存储的客户端标识和移动终端标识对所述客户端进行鉴权,在鉴权通过后,生成用于访问服务端的临时令牌,并将所述临时令牌返回给所述客户端。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
将所述客户端配置为在从服务端获取到刷新令牌时将所述刷新令牌通过所述可信应用程序存储到所述可信执行环境中。
3.根据权利要求2所述的方法,其特征在于,
所述获取临时令牌的请求还携带有刷新令牌。
4.根据权利要求3所述的方法,其特征在于,所述可信应用程序被配置为通过以下方式对所述客户端进行鉴权:
从所述请求中获取客户端标识、移动终端标识以及刷新令牌;
校验从所述请求中获取的客户端标识、移动终端标识以及刷新令牌与所述可信执行环境中存储的客户端标识、移动终端标识以及刷新令牌的一致性;
在校验通过后,判断是否超过了临时令牌可以被获取的最大次数,若没有,则判断鉴权通过。
5.一种移动终端,其特征在于,所述移动终端上安装有客户端和可信应用程序,其中:
所述客户端用于在被安装到所述移动终端上时,将客户端标识以及移动终端标识通过所述移动终端的可信应用程序存储到所述移动终端的可信执行环境中;
所述客户端还用于:在访问令牌和刷新令牌均失效时,检测该客户端上是否有用户操作,若有,则判断需要进行二次鉴权,并在需要进行二次鉴权时,向所述可信应用程序发送获取临时令牌的请求,以通过获取的临时令牌访问服务端,其中,所述获取临时令牌的请求携带客户端标识以及移动终端标识;
所述可信应用程序用于在接收到所述客户端发送的获取所述临时令牌的请求时,根据所述可信执行环境中存储的客户端标识和移动终端标识对所述客户端进行鉴权,在鉴权通过后,生成用于访问服务端的临时令牌,并将所述临时令牌返回给所述客户端。
6.根据权利要求5所述的移动终端,其特征在于:
所述客户端在从服务端获取到刷新令牌时还将所述刷新令牌通过所述可信应用程序存储到所述可信执行环境中。
7.根据权利要求6所述的移动终端,其特征在于,
所述获取临时令牌的请求还携带有刷新令牌。
8.根据权利要求7所述的移动终端,其特征在于,所述可信应用程序通过以下方式对所述客户端进行鉴权:
从所述请求中获取客户端标识、移动终端标识以及刷新令牌;
校验从所述请求中获取的客户端标识、移动终端标识以及刷新令牌与所述可信执行环境中存储的客户端标识、移动终端标识以及刷新令牌的一致性;
在校验通过后,判断是否超过了临时令牌可以被获取的最大次数,若没有,则判断鉴权通过。
9.一种计算机存储介质,其上存储有计算机指令,该计算机指令能够被处理器执行以实现权利要求1-4中任意一项权利要求所述的二次鉴权方法。
10.一种计算机设备,其特征在于,包括:
存储器,其上存储有计算机程序;
处理器,用于执行所述计算机程序以实现权利要求1-4中任意一项权利要求所述的二次鉴权方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010542584.0A CN111654864B (zh) | 2020-06-15 | 2020-06-15 | 二次鉴权方法及相关设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010542584.0A CN111654864B (zh) | 2020-06-15 | 2020-06-15 | 二次鉴权方法及相关设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111654864A CN111654864A (zh) | 2020-09-11 |
| CN111654864B true CN111654864B (zh) | 2023-05-26 |
Family
ID=72349517
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010542584.0A Active CN111654864B (zh) | 2020-06-15 | 2020-06-15 | 二次鉴权方法及相关设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111654864B (zh) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107040501A (zh) * | 2016-02-04 | 2017-08-11 | 杭州华为企业通信技术有限公司 | 基于平台即服务的认证方法和装置 |
| CN111262889A (zh) * | 2020-05-06 | 2020-06-09 | 腾讯科技(深圳)有限公司 | 一种云服务的权限认证方法、装置、设备及介质 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU738963B2 (en) * | 1997-04-15 | 2001-10-04 | Mci Worldcom, Inc. | A system, method and article of manufacture for switched telephony communication |
| US10541992B2 (en) * | 2016-12-30 | 2020-01-21 | Google Llc | Two-token based authenticated session management |
| CN109474600B (zh) * | 2018-11-20 | 2021-06-18 | 麒麟合盛网络技术股份有限公司 | 一种账号绑定方法、系统、装置及其设备 |
| CN109802941A (zh) * | 2018-12-14 | 2019-05-24 | 平安科技(深圳)有限公司 | 一种登录验证方法、装置、存储介质和服务器 |
-
2020
- 2020-06-15 CN CN202010542584.0A patent/CN111654864B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107040501A (zh) * | 2016-02-04 | 2017-08-11 | 杭州华为企业通信技术有限公司 | 基于平台即服务的认证方法和装置 |
| CN111262889A (zh) * | 2020-05-06 | 2020-06-09 | 腾讯科技(深圳)有限公司 | 一种云服务的权限认证方法、装置、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111654864A (zh) | 2020-09-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9398011B2 (en) | Location determination for user authentication | |
| KR101850677B1 (ko) | 웹사이트에 로그인하는 단말기가 모바일 단말기인지를 결정하기 위한 방법 및 시스템 | |
| WO2017167093A1 (zh) | 基于生物特征的身份注册、认证的方法和装置 | |
| US11212283B2 (en) | Method for authentication and authorization and authentication server using the same for providing user management mechanism required by multiple applications | |
| KR100863204B1 (ko) | 애플리케이션 크리덴셜을 제공하는 방법 및 장치 | |
| US9578018B2 (en) | Remote sign-out of web based service sessions | |
| CN111814133A (zh) | 移动应用统一登录方法及装置 | |
| US20160004855A1 (en) | Login using two-dimensional code | |
| US20170357799A1 (en) | Tracking and managing multiple time-based one-time password (TOTP) accounts | |
| CN104134021A (zh) | 软件的防篡改验证方法及装置 | |
| CN110268406B (zh) | 密码安全性 | |
| CN103139200A (zh) | 一种web service单点登录的方法 | |
| CN112313983A (zh) | 使用伴随设备的用户认证 | |
| US20230334127A1 (en) | System and method for protecting software licensing information via a trusted platform module | |
| WO2018148597A1 (en) | Authentication based on client access limitation | |
| CN110489957B (zh) | 访问请求的管理方法和计算机存储介质 | |
| CN106487752A (zh) | 一种用于验证访问安全的方法和装置 | |
| CN111294337A (zh) | 一种基于令牌的鉴权方法及装置 | |
| JP2012118833A (ja) | アクセス制御方法 | |
| CN112272093B (zh) | 一种令牌管理的方法、电子设备及可读存储介质 | |
| CN111654864B (zh) | 二次鉴权方法及相关设备 | |
| CN111784355B (zh) | 一种基于边缘计算的交易安全性验证方法及装置 | |
| US20140215592A1 (en) | Method, apparatus and system for user authentication | |
| CN106533685B (zh) | 身份认证方法、装置及系统 | |
| WO2014117563A1 (en) | Method, apparatus and system for user authentication |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |