CN103888436B - 用户认证的方法和装置 - Google Patents
用户认证的方法和装置 Download PDFInfo
- Publication number
- CN103888436B CN103888436B CN201210595746.2A CN201210595746A CN103888436B CN 103888436 B CN103888436 B CN 103888436B CN 201210595746 A CN201210595746 A CN 201210595746A CN 103888436 B CN103888436 B CN 103888436B
- Authority
- CN
- China
- Prior art keywords
- user
- equipment
- authentication information
- certificate server
- certification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/40—User authentication by quorum, i.e. whereby two or more security principals are required
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/77—Graphical identity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明总体上涉及用户认证的方法和装置。根据本发明的实施例,可以将认证有关的信息编码在二维码之类的图像中。通过在用户的一个或多个设备与认证服务器之间传送和解码这些图像信息以及其他认证信息,认证服务器可以对用户所使用的设备以及用户本人进行有效的认证,同时避免现有技术中由于口令泄漏而导致的认证失效风险。本发明的实施例可以与现有的静态口令和/或动态口令认证结合使用,具有良好的兼容性。
Description
技术领域
本发明的实施例总体上涉及网络安全,更具体地,涉及用于一种用户认证的方法和装置。
背景技术
随着网络技术不断发展,在很多应用和场景中需要对用户进行认证,即,核实用户的身份对于特定服务、数据和/或网络域而言是否是合法的。作为一个示例,虚拟专用网络(Virtual Private Network,VPN)是一种常用的网络技术,其允许用户通过公共网络(例如,因特网)远程接入和使用组织或者机构的内部专用网络。为了防止非法用户侵入内部专用网络,在建立VPN连接之前需要对用户进行身份认证。
在现有技术中,常见的身份认证方式大致可以分为以下两类。第一类身份认证基于用户名和静态口令。与用户相关联的口令被存储在认证服务器,用户只有输入有效的用户名以及与之匹配的口令才能通过身份认证。但是,用户名和口令可能丢失或者被恶意第三方利用病毒程序、木马程序等手段窃取。在这种情况下,用户认证将丧失有效性。
另一类已知的身份认证方案基于动态口令。在认证过程中,用户需要输入用户名以及随时间而动态改变的口令,即动态口令。动态口令例如由认证服务器生成,并且以预定的时间间隔发送给用户的设备。或者,认证服务器和用户设备可以同步地生成这种动态口令,双方生成的口令在给定时段内对于给定的用户而言是相同的。用户设备通常是便携式设备,例如由认证服务的提供分发给用户。而且,动态口令也可以与传统的静态口令配合使用。目前这种动态口令在VPN、金融、银行服务等很多领域得到了广泛使用。
但是,在基于动态口令的用户认证中,用户必须随身携带专用的便携式设备,否则便无法完成认证,这显然给用户带来了不便。在改进的动态口令方案中,可以在用户的移动电话或者PDA上安装专用程序用于接收动态口令,而不必携带专用的便携式设备。然而,用户仍然需要在认证时输入动态口令,该操作本身是易错的,特别是在移动环境中。除此之外,与用户名和静态口令一样,动态口令仍然存在着被恶意第三方非法获得的风险。
发明内容
鉴于本领域中存在的上述以及其他问题和缺陷,本发明提出一种更为有效的用户认证方案。
在本发明的第一方面,提供一种用户认证方法。该方法包括:从与用户相关联的设备读取图像,所述图像在认证服务器处响应于从所述设备接收到的认证请求而被生成并且被发送给所述设备;从所述图像中解码所述设备的特性信息以及在所述认证服务器处生成的第一认证信息;获取与所述用户相关联的第二认证信息;以及向所述认证服务器发送所述第一认证信息以及所述第二认证信息以用于对所述用户的认证。
在本发明的第二方面,提供一种用户认证方法。该方法包括:在认证服务器处从与用户相关联的设备接收认证请求,所述认证请求至少包括所述设备的特性信息;响应于所述认证请求而生成将被用于对所述用户进行认证的第一认证信息;将所述特性信息和所述第一认证信息编码到图像中以便发送给所述设备;以及接收从所述图像解码出的所述第一认证信息以及与用户相关联的第二认证信息以用于所述认证。
在本发明的第三方面,提供一种用户认证装置。该装置包括:读取单元,被配置为从与用户相关联的设备读取图像,所述图像在认证服务器处响应于从所述设备接收到的认证请求而被生成并且被发送给所述设备;解码单元,被配置为从所述图像中解码所述设备的特性信息以及在所述认证服务器处生成的第一认证信息;获取单元,被配置为获取与所述用户相关联的第二认证信息;以及发送单元,被配置为向所述认证服务器发送所述第一认证信息以及所述第二认证信息以用于对所述用户的认证。
在本发明第四方面,提供一种用户认证装置。该装置包括:第一接收单元,被配置为在认证服务器处从与用户相关联的设备接收认证请求,所述认证请求至少包括所述设备的特性信息;认证信息生成单元,被配置为响应于所述认证请求而生成将被用于对所述用户进行认证的第一认证信息;编码单元,被配置为将所述特性信息和所述第一认证信息编码到图像中以便发送给所述设备;以及第二接收单元,被配置为接收从所述图像解码出的所述第一认证信息以及与用户相关联的第二认证信息以用于所述认证。
通过下文描述将会理解,根据本发明的实施例,可以将认证有关的信息编码在二维码之类的图像中。通过在用户的一个或多个设备与认证服务器之间传送和解码这些图像信息以及其他认证信息,认证服务器可以对用户所使用的设备以及用户本人进行有效的认证,同时避免现有技术中由于口令泄漏而导致的认证失效风险。本发明的实施例可以与现有的静态口令和/或动态口令认证结合使用,具有良好的兼容性。
附图说明
通过参考附图阅读下文的详细描述,本发明实施例的上述以及其他目的、特征和优点将变得易于理解。在附图中,以示例性而非限制性的方式示出了本发明的若干实施例,其中:
图1示出了根据本发明实施例的系统的框图;
图2示出了根据本发明实施例的另一系统的框图;
图3示出了根据本发明实施例的用户身份认证方法的流程图;
图4示出了根据本发明实施例的用户身份认证方法的流程图;
图5示出了根据本发明实施例的用户身份认证装置的框图;
图6示出了根据本发明实施例的用户身份认证装置的框图;以及
图7示出了可用来实现本发明实施例的计算机系统的框图。
在各个附图中,相同或对应的标号表示相同或对应的部分。
具体实施方式
下面将参考附图中示出的若干示例性实施例来描述本发明的原理和精神。给出这些实施例仅仅是为了使本领域技术人员能够更好地理解进而实现本发明,而并非以任何方式限制本发明的范围。
首先参考图1,其示出了根据本发明实施例的系统100的框图。如图所示,示例性系统100包括:验证服务器101,与用户相关联的第一设备102,与用户相关联的第二设备102。认证服务器101是用于对用户的身份执行认证的服务器,例如由认证服务的提供方拥有和维护。第一设备102和第二设备103可以是任何目前已知或者将来开发的用户设备,包括但不限于个人计算机、膝上型计算机、平板式计算机、移动电话、个人数字助理(PDA)、传呼机,等等。特别地,根据本发明的某些实施例,第二设备102可以是用户可随身携带的便携式设备,例如用户的移动电话。
认证服务器101与第一设备102之间以及认证服务器101与第二设备103之间能够借助于网络彼此通信。网络可以包括有线网络、无线网络或其组合,包括但不限于以下至少一个:蜂窝电话网络,因特网,以太网,基于IEEE802.11、802.16、802.20等的无线局域网(WLAN),和/或全球微波接入互操作性(WiMAX)网络。备选地或附加地,认证服务器101与第一设备102和/或第二设备103之间也可以是总线等用户设备间互连和通信的设备。
在操作中,用户例如可以通过第一设备102向认证服务器101发送认证请求(S1),该认证请求向认证服务器指示:第一设备102的用户请求认证服务器102对其进行身份认证。作为一个示例,身份认证的目的可以是在认证服务器101与第一设备102之间建立授权连接,例如VPN连接。
根据本发明的实施例,认证请求中至少包括第一设备的特性信息以及其他任何需要的信息。在此使用的术语“特性信息”是指能够单独或者通过相互结合而唯一地标识第一设备102的任何信息,例如包括但不限于以下一个或多个:第一设备的中央处理器(CPU)代码、第一设备的操作系统的序列号、第一设备的计算机名称、第一设备的网络适配器的MAC(媒体访问控制)地址,等等。
在认证服务器101处,响应于从第一用户设备102接收到认证请求,可以生成用于后续认证过程的认证信息,称为“第一认证信息”。根据本发明的某些实施例,第一认证信息例如可以包括认证服务器101与第一用户设备102之间的网络会话的标识(ID)。备选地或附加地,第一认证信息可以包括在认证服务器处生成的随机码。例如,这种随机码可以利用本领域中目前已知或者将来开发的伪随机数算法生成。第一认证信息还可以包括任何备选的或附加的信息,例如随机密钥、认证服务器的特性信息,等等。本发明的范围在此方面不受限制。
接下来,在认证服务器101处将接收自第一设备102的第一设备特性信息以及在认证服务器处生成的第一认证信息编码到图像中。根据本发明的某些实施例,例如可以生成二维码以用于携带编码信息。如本领域中已知的,“二维码”是利用特定的几何图形在二维平面上以图像的方式记录数据信息的一种技术。给定将要编码的信息,可以任何目前已知或者将来开发的二维码生成算法和/或工具将信息编码为二维码。本发明的范围在此方面不受限制。
除了二维码之外,可以生成其他任何适当类型的图像来编码第一设备102的特性信息以及第一认证信息。例如,在信息隐藏技术领域,可以利用各种方式将信息编码到图像中,例如将表示该信息的二进制串作为色彩信息编码到图像中,或者插入到图像中任何事先确定的位置,例如预留位或者冗余位。各种将信息编码到图像或图形中的技术均可与本发明的实施例结合使用,本发明的范围在此方面不受限制。实际上,除了图像之外,还可以利用音频、视频等各种多媒体信息作为载体来编码特性信息和第一认证信息,这些变形均落入本发明的范围之内。
接下来,编码有第一设备102特性信息以及第一认证信息的图像从认证服务器101被发送给第一用户设备102(S2)。此时,用户可以使用第二用户设备103从第一用户设备102读取该图像(S3)。根据本发明的某些实施例,第一设备102例如可以借助于蓝牙、红外、网络等各种通信手段将图像转发给第二设备103。备选地或附加地,也可以利用第二设备103上配备的图形扫描/读取/捕获设备直接从第一设备102的屏幕上扫描/读取该图像。换言之,在这种情况下,可以使编码有特性信息和第一认证信息的图像被显示在第一设备102的显示器上。第二设备103则通过图像捕获的方式获取该图像。在第一设备102与第二设备103之间传送图像的任何技术手段均可与本发明的实施例结合使用,只要能够确保图像传送的安全性即可(即,保证图像不会在传送过程中被第三方非法获取或篡改)。本发明的范围在此方面不受限制。
继而,可以在第二设备103处对图像进行解码,以提取第一设备101的特性信息以及在认证服务器101处生成的第一认证信息。可以理解,只要第二设备103具有认证服务器101如何将信息编码在图像中的知识,便可以相应地解码处相应的信息。这种知识例如是事先从认证服务器101提供给第二设备103的。反之,如果不具有认证服务器101的编码知识,则无法正确地解码出图像中的信息。以此方式,可以提高用户认证的安全性。
接下来,在第二设备103处可以获取与用户相关联的认证信息,在此称为“第二认证信息”。根据本发明的某些实施例,第二认证信息例如可以包括从用户处接收的静态口令。备选地或附加地,第二认证信息也可以包括动态口令。具体而言,可以按照与认证服务器101同步的方式生成动态口令,包括从服务器101接收动态口令。换言之,对于相同的用户而言,在相同的时刻,动态口令在认证服务器101与第二用户设备103之间保持一致。该动态口令可以随预定的时间周期变化,例如每一分钟变化一次,这是本领域已知的,在此不再赘述。除此之外,第二认证信息还可以包括任何备选的或附加的信息,例如图形验证码,用户的生物认证信息(例如,指纹、掌纹、虹膜信息)等等。本发明的范围在此方面不受限制。
特别地,根据本发明的某些实施例,第二认证信息可以响应于对图像的成功解码而被自动获取。备选地,第二认证信息也可以响应于用户对第一设备102特性信息的确认而获取。具体而言,可以在完成对图像的解码之后,使解码出的第一设备102特性信息通过第二设备103被显示给用户。用户可以确认目前被用来执行认证过程的第一设备102是否合法。以此方式,可以有效地防止其他用户非法地或未授权地盗用用户的设备执行验证。
随后,从图像中解码出的第一认证信息和在第二设备103处获取的第二认证信息从第二设备103被发送给认证服务器101(S4)。例如,在某些实施例中,可以将第一认证信息和第二认证信息进行封包,并且利用第二设备103与认证服务器101之间的网路连接传输该封包。
在从第二用户设备103接收到第一认证信息和第二认证信息之后,认证服务器101可以利用这些信息对用户的身份进行认证。例如,在某些实施例中,可以首先在认证服务器101处确认第一认证信息是否与认证服务器101先前生成的第一认证信息相匹配。例如,如果第一认证信息包含认证服务器101与第一设备102之间的会话ID,则认证服务器101可以验证接收到的ID是否对应于认证服务器101与第一设备102之间的实际会话ID。又如,如果第一认证信息包含随机码,则认证服务器101可以验证该随机码与其先前生成的随机码是否相同。如果第一认证消息匹配,则说明第一设备102正确地接收到了认证服务器101发出的图像,第二设备103正确地解码出了图像中编码的信息,并且可选地用户已经确认了第一设备102的合法性。以此方式,可以从多个方面确保认证的安全性。
接下来,认证服务器101可以对用户的第二认证信息进行验证,例如将静态口令与针对该用户而存储的口令进行比较,和/或核实在认证服务器101处生成的动态口令与从第二设备103接收到的动态口令是否一致。如果第二认证信息同样通过验证,则对用户的认证成功。
在某些实施例中,响应于用户验证的成功,认证服务器101可以向第一设备102发出授权(S5)以建立可信的连接,例如VPN授权连接,等等。
可选地,在与第一设备102建立授权连接之后,认证服务器101可以向用户的第二设备103发送消息(S6)以指示认证服务器101已向第一设备102给予授权。认证服务器101还可以向第二设备103传送授权连接(例如,VPN连接)的状态。可选地,用户可以通过第二设备102向认证服务器101发送消息(S7)以指示关闭或者断开认证服务器101与第一设备102之间的授权连接。这给予了用户更大的灵活性和便捷性来控制授权连接。
注意,上文参考图1描述的仅仅是本发明的一种可行实施例,并非意在限制本发明的范围。例如,在参考图1描述的实施例中,用户使用两个设备(即,第一设备102,以及可以是便携式设备的第二设备103)完成身份认证。备选地,用户也可以仅使用一个设备完成上述操作,图2示出了这样的实施例。
在图2所示的实施例中,仅存在一个用户设备201。换言之,在功能上,图2中的用户设备201对应于图1中所示的第一设备102和第二设备103。特别地,当用户设备201从认证服务器101接收到图像(S2)之后,它不需要将该图像传送给另一设备,而是自己对该图像进行解码、获取第二认证信息、发送第一和第二认证信息(S4)以及执行后续所有操作。
现在参考图3,其示出了根据本发明示例性实施例的用户认证方法300的流程图。将会理解,在图1所示的实施例中,方法300可在第二设备103处执行;在图2所示的实施例中,方法300可在用户设备201处执行。
方法300开始之后,在步骤S301,从与用户相关联的设备(102,201)读取图像。如上所述,图像在认证服务器(101)处响应于从设备接收的认证请求而生成,并且从认证服务器被发送给设备。根据本发明的实施例,该图像例如可以是二维码,并且编码有第一设备的特性信息以及在认证服务器处生成的第一认证信息。根据某些实施例,在认证服务器处生成的第一认证信息例如可以包括以下至少一个:认证服务器与设备之间的会话标识,以及在认证服务器处生成的随机码。
接下来,在步骤S302,从图像解码设备的特性信息(例如,机器名称、MAC地址、CPU代码,操作系统序列号,等等)以及在认证服务器处生成的第一认证信息。可选地,在步骤S303,使解码出的设备特性信息被显示给用户以供用户确认。如果用户对特性信息给予确认,则在步骤S304处获取第二认证信息。第二认证例如可以包括从用户接收的静态口令和/或生成的与认证服务器同步的动态口令。注意,步骤S303是可选的。如上文所述,在某些实施例中,可以在解码图像之后直接获取第二认证信息而不经过用户对特性信息的确认。
接下来,在步骤S305,向认证服务器发送第一认证信息和第二认证信息。第一认证信息和第二认证信息将在认证服务器处被用于对用户的身份进行验证。一旦对用户的验证成功,在某些实施例中,认证服务器可以与用户的设备(102,201)之间建立VPN连接之类的授权连接。
方法300进行到可选的步骤S306,在此可以从认证服务器接收已建立的授权连接的状态。接下来,在可选的步骤S307,用户可以利用其设备(103,201)向认证服务器发送命令以指示认证服务器关闭授权连接。注意,用户可以至少部分地根据步骤S306处接收的连接状态来确定是否在步骤S307处指示认证服务器关闭授权连接。
方法300在步骤S307之后结束。
现在参考图4,其示出了根据本发明示例性实施例的用户认证方法400的实施例。将会理解,方法400可以在认证服务器(101)处执行。
方法开始400之后,在步骤401,在认证服务器处(101)从与用户相关联的设备(102,201)接收认证请求。根据本发明的实施例,该认证请求至少包括所述设备的特性信息。设备特性信息的示例已在上文描述,在此不再赘述。
接下来在步骤S402,响应于接收到认证请求而在认证服务处生成第一认证信息。该第一认证信息例如可以包括认证服务器(101)与设备(102,201)之间会话的ID和/或在认证服务器处生成的随机码。
而后,方法400进行到步骤S403,在此将特性信息和第一认证信息编码到图像中以便传送给设备(102,201)。该图像例如可以被实现为二维码。
继而在步骤S404处,从设备(103,201)接收经过解码的第一认证信息以及与用户相关联的第二认证信息以用于对用户的认证。第二认证消息可以包括接收自用户的静态口令和/或与认证服务器同步生成的动态口令。特别地,根据本发明的实施例,第二认证消息可以在与接收图像的设备(102)不同的另一设备(103)处生成;也可以在接收图像的同一设备(201)处生成。认证服务器可以基于第一认证消息和第二认证消息来核实用户的身份,从而完成用户认证过程。
响应于对用户的认证成功,认证服务器随后可以在可选的步骤S405建立与设备(102,201)的授权连接。在图1中所示的实施例中,认证服务器随后可以在可选的步骤S406向用户的另一设备(103)发送授权连接的状态,并且可以在可选的步骤S407接收来自该另一设备的命令以关闭与设备(102)的授权连接。
方法400在步骤S407之后结束。
下面参考图5,其示出了根据本发明实施例的用户认证装置500的框图。用户认证装置500例如可被包含在图1中的第一设备102中或者图2中的设备201中,或者与其他方式与之关联。
如图所示,用户认证装置500包括:读取单元501,被配置为从与用户相关联的设备(102,201)读取图像,所述图像在认证服务器(101)处响应于从所述设备接收到的认证请求而被生成并且被发送给所述设备;解码单元502,被配置为从所述图像中解码所述设备的特性信息以及在所述认证服务器处生成的第一认证信息;获取单元503,被配置为获取与所述用户相关联的第二认证信息;以及发送单元504,被配置为向所述认证服务器发送所述第一认证信息以及所述第二认证信息以用于对所述用户的认证。
根据本发明的某些实施例,所述第一认证信息包括以下至少一个:所述认证服务器与所述设备之间的会话的标识,以及在所述认证服务器处生成的随机码。
根据本发明的某些实施例,装置500进一步包括:显示控制单元,被配置为使解码出的所述特性信息被显示给所述用户显示以供所述用户进行确认。此时,获取单元503可被配置为响应于所述用户的所述确认而获取所述第二认证信息。
根据本发明的某些实施例,获取单元503可以包括以下至少一个:静态口令接收单元,被配置为从所述用户接收静态口令;以及动态口令生成单元,被配置为生成与所述认证服务器同步的动态口令。
根据本发明的某些实施例,授权连接在所述用户通过所述认证的情况下在所述认证服务器与所述设备之间被建立。装置500进一步包括:状态接收单元,被配置为从所述认证服务器接收所述授权连接的状态信息;以及连接控制单元,被配置为至少部分地基于所述状态指示所述认证服务器关闭所述授权连接。
根据本发明的某些实施例,所述图像包括二维码。
下面参考图6,其示出了根据本发明实施例的用户认证装置600的框图。用户认证装置600例如可被包含在认证服务器101中或者与其他方式与之关联。
如图所示,用户认证装置600包括:第一接收单元601,被配置为在认证服务器(101)处从与用户相关联的设备(102,201)接收认证请求,所述认证请求至少包括所述设备的特性信息;认证信息生成单元602,被配置为响应于所述认证请求而生成将被用于对所述用户进行认证的第一认证信息;编码单元603,被配置为将所述特性信息和所述第一认证信息编码到图像中以便发送给所述设备;以及第二接收单元604,被配置为接收从所述图像解码出的所述第一认证信息以及与用户相关联的第二认证信息以用于所述认证。
根据本发明的某些实施例,所述认证信息生成单元602包括以下至少一个:标识获取单元,被配置为获取所述认证服务器与所述设备之间的会话的标识;以及随机码生成单元,被配置为生成用于所述认证的随机码。
根据本发明的某些实施例,所述第二接收单元604包括:被配置为从与所述用户相关联的、不同于所述设备(102)的另一设备(103)接收在所述另一设备处解码的所述第一认证信息以及在所述另一设备处获取的所述第二认证信息的单元。
根据本发明的某些实施例,装置600进一步包括:连接建立单元,被配置为响应于对所述用户的所述验证成功而与建立与所述设备的授权连接;状态发送单元,被配置为向所述另一设备发送所述授权连接的状态信息;以及连接关闭单元,被配置为响应于来自所述另一设备的命令而关闭所述授权连接。
根据本发明的某些实施例,装置600进一步包括:动态口令生成单元,被配置为生成动态口令以用于与所述第二认证信息中包含的动态口令进行比较。
根据本发明的某些实施例,所述编码单元603包括:二维码编码单元,被配置为将所述特性信息和所述第一认证信息编码为二维码。
请注意,为清晰起见,在图5和图6中没有示出可选单元以及各个单元所包含的子单元。然而,应当理解,装置500和600中包含的各个单元分别对应于上文参考图3和图4描述的方法步骤。由此,上所有特征同样适用于装置500和600,在此不再赘述。
应当理解,装置500和600可以利用各种方式实现。例如,在某些实施例中,装置500和600可以利用软件和/或固件来实现。例如,装置500可以实现为在用户设备(103,201)处执行的计算机程序;装置600可以实现为在认证服务器(101)处执行的计算机程序。备选地或附加地,装置500和600可以部分地或者完全地基于硬件来实现。例如,装置500和600分别可以实现为被包含在用户设备(103,201)和认证服务器(101)中的集成电路(IC)芯片、专用集成电路(ASIC)或者片上系统(SOC)。现在已知或者将来开发的其他方式也是可行的,本发明的范围在此方面不受限制。
下面参考图7,其示出了可用来实现本发明实施例的计算机系统700的框图。如图7所示,计算机系统可以包括:CPU(中央处理单元)701、RAM(随机存取存储器)702、ROM(只读存储器)703、系统总线704、硬盘控制器705、键盘控制器706、串行接口控制器707、并行接口控制器708、显示控制器709、硬盘710、键盘711、串行外部设备712、并行外部设备713和显示器714。在这些设备中,与系统总线704耦合的有CPU701、RAM702、ROM703、硬盘控制器705、键盘控制器706、串行控制器707、并行控制器708和显示控制器709。硬盘710与硬盘控制器705耦合,键盘711与键盘控制器706耦合,串行外部设备712与串行接口控制器707耦合,并行外部设备713与并行接口控制器708耦合,以及显示器714与显示控制器709耦合。应当理解,图7所述的结构框图仅仅为了示例的目的而示出的,而不是对本发明范围的限制。在某些情况下,可以根据具体情况而增加或者减少某些设备。
如上所述,装置500和600可以通过硬件实现,例如芯片、ASIC、SOC等。这些硬件可以集成在计算机系统700中。此外,本发明的实施例也可以通过计算机程序产品的形式实现。例如,本发明的方法均可通过计算机程序产品来实现。该计算机程序产品可以存储在例如图7所示的RAM704、ROM704、硬盘710和/或任何适当的存储介质中,或者通过网络从适当的位置下载到计算机系统700上。计算机程序产品可以包括计算机代码部分,其包括可由适当的处理设备(例如,图7中示出的CPU701)执行的程序指令。所述程序指令至少可以包括用于实现本发明方法的步骤的指令。
本发明的实施例可以通过硬件、软件或者软件和硬件的结合来实现。硬件部分可以利用专用逻辑来实现;软件部分可以存储在存储器中,由适当的指令执行系统,例如微处理器或者专用设计硬件来执行。本领域的普通技术人员可以理解上述的系统和方法可以使用计算机可执行指令和/或包含在处理器控制代码中来实现,例如在诸如磁盘、CD或DVD-ROM的载体介质、诸如只读存储器(固件)的可编程的存储器或者诸如光学或电子信号载体的数据载体上提供了这样的代码。本发明系统可以由诸如超大规模集成电路或门阵列、诸如逻辑芯片、晶体管等的半导体、或者诸如现场可编程门阵列、可编程逻辑设备等的可编程硬件设备的硬件电路实现,也可以用由各种类型的处理器执行的软件实现,也可以由上述硬件电路和软件的结合例如固件来实现。
应当注意,尽管在上文详细描述中提及了系统的若干装置或子装置,但是这种划分仅仅并非强制性的。实际上,根据本发明的实施例,上文描述的两个或更多装置的特征和功能可以在一个装置中具体化。反之,上文描述的一个装置的特征和功能可以进一步划分为由多个装置来具体化。
此外,尽管在附图中以特定顺序描述了本发明方法的操作,但是,这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行全部所示的操作才能实现期望的结果。相反,流程图中描绘的步骤可以改变执行顺序。附加地或备选地,可以省略某些步骤,将多个步骤合并为一个步骤执行,和/或将一个步骤分解为多个步骤执行。
虽然已经参考若干具体实施例描述了本发明,但是应该理解,本发明并不限于所公开的具体实施例。本发明旨在涵盖所附权利要求的精神和范围内所包括的各种修改和等同布置。所附权利要求的范围符合最宽泛的解释,从而包含所有这样的修改及等同结构和功能。
Claims (22)
1.一种用户认证的方法,包括:
从与用户相关联的设备(102,201)读取图像,所述图像在认证服务器(101)处响应于从所述设备接收到的认证请求而被生成并且被发送给所述设备;
从所述图像中解码所述设备的特性信息以及在所述认证服务器处生成的第一认证信息;
获取与所述用户相关联的第二认证信息,所述第二认证信息包括从所述用户接收的静态口令或者与所述认证服务器同步生成的动态口令;以及
向所述认证服务器发送所述第一认证信息以及所述第二认证信息以用于对所述用户的认证。
2.根据权利要求1所述的方法,其中所述第一认证信息包括以下至少一个:所述认证服务器与所述设备之间的会话的标识,以及在所述认证服务器处生成的随机码。
3.根据权利要求1所述的方法,进一步包括:
使解码出的所述特性信息被显示给所述用户显示以供所述用户确认,
其中所述第二认证信息响应于所述用户的所述确认而获取。
4.根据权利要求1所述的方法,其中授权连接在所述用户通过所述认证的情况下在所述认证服务器与所述设备之间被建立,所述方法进一步包括:
从所述认证服务器接收所述授权连接的状态信息;以及
至少部分地基于所述状态指示所述认证服务器关闭所述授权连接。
5.根据权利要求1-4任一项所述的方法,其中所述图像包括二维码。
6.一种用户认证的方法,包括:
在认证服务器(101)处从与用户相关联的设备(102,201)接收认证请求,所述认证请求至少包括所述设备的特性信息;
响应于所述认证请求而生成将被用于对所述用户进行认证的第一认证信息;
将所述特性信息和所述第一认证信息编码到图像中以便发送给所述设备;以及
接收从所述图像解码出的所述第一认证信息以及与用户相关联的第二认证信息以用于所述认证,所述第二认证信息包括从所述用户接收的静态口令或者与所述认证服务器同步生成的动态口令。
7.根据权利要求6所述的方法,其中所述第一认证信息包括以下至少一个:
所述认证服务器与所述设备之间的会话的标识;以及
用于所述认证的随机码。
8.根据权利要求6所述的方法,其中接收从所述图像解码出的所述第一认证信息以及第二认证信息包括:
从与所述用户相关联的、不同于所述设备(102)的另一设备(103)接收在所述另一设备处解码的所述第一认证信息以及在所述另一设备处获取的所述第二认证信息。
9.根据权利要求8所述的方法,进一步包括:
响应于对所述用户的所述认证成功,与建立与所述设备的授权连接;
向所述另一设备发送所述授权连接的状态信息;以及
响应于来自所述另一设备的命令而关闭所述授权连接。
10.根据权利要求6所述的方法,进一步包括:
生成动态口令以用于与所述第二认证信息中包含的动态口令进行比较。
11.根据权利要求6-10任一项所述的方法,其中生成所述图像包括:
将所述特性信息和所述第一认证信息编码为二维码。
12.一种用户认证的装置,包括:
读取单元,被配置为从与用户相关联的设备(102,201)读取图像,所述图像在认证服务器(101)处响应于从所述设备接收到的认证请求而被生成并且被发送给所述设备;
解码单元,被配置为从所述图像中解码所述设备的特性信息以及在所述认证服务器处生成的第一认证信息;
获取单元,被配置为获取与所述用户相关联的第二认证信息,所述第二认证信息包括从所述用户接收的静态口令或者与所述认证服务器同步生成的动态口令;以及
发送单元,被配置为向所述认证服务器发送所述第一认证信息以及所述第二认证信息以用于对所述用户的认证。
13.根据权利要求12所述的装置,其中所述第一认证信息包括以下至少一个:所述认证服务器与所述设备之间的会话的标识,以及在所述认证服务器处生成的随机码。
14.根据权利要求12所述的装置,进一步包括:
显示控制单元,被配置为使解码出的所述特性信息被显示给所述用户显示以供所述用户进行确认,
其中所述获取单元被配置为响应于所述用户的所述确认而获取所述第二认证信息。
15.根据权利要求12所述的装置,其中授权连接在所述用户通过所述认证的情况下在所述认证服务器与所述设备之间被建立,所述装置进一步包括:
状态接收单元,被配置为从所述认证服务器接收所述授权连接的状态信息;以及
连接控制单元,被配置为至少部分地基于所述状态指示所述认证服务器关闭所述授权连接。
16.根据权利要求12-15任一项所述的装置,其中所述图像包括二维码。
17.一种用户认证的装置,包括:
第一接收单元,被配置为在认证服务器(101)处从与用户相关联的设备(102,201)接收认证请求,所述认证请求至少包括所述设备的特性信息;
认证信息生成单元,被配置为响应于所述认证请求而生成将被用于对所述用户进行认证的第一认证信息;
编码单元,被配置为将所述特性信息和所述第一认证信息编码到图像中以便发送给所述设备;以及
第二接收单元,被配置为接收从所述图像解码出的所述第一认证信息以及与用户相关联的第二认证信息以用于所述认证,所述第二认证信息包括从所述用户接收的静态口令或者与所述认证服务器同步生成的动态口令。
18.根据权利要求17所述的装置,其中所述认证信息生成单元包括以下至少一个:
标识获取单元,被配置为获取所述认证服务器与所述设备之间的会话的标识;以及
随机码生成单元,被配置为生成用于所述认证的随机码。
19.根据权利要求17所述的装置,其中所述第二接收单元包括:
被配置为从与所述用户相关联的、不同于所述设备(102)的另一设备(103)接收在所述另一设备处解码的所述第一认证信息以及在所述另一设备处获取的所述第二认证信息的单元。
20.根据权利要求19所述的装置,进一步包括:
连接建立单元,被配置为响应于对所述用户的所述认证成功而与建立与所述设备的授权连接;
状态发送单元,被配置为向所述另一设备发送所述授权连接的状态信息;以及
连接关闭单元,被配置为响应于来自所述另一设备的命令而关闭所述授权连接。
21.根据权利要求17所述的装置,进一步包括:
动态口令生成单元,被配置为生成动态口令以用于与所述第二认证信息中包含的动态口令进行比较。
22.根据权利要求17-21任一项所述的装置,其中所述编码单元包括:
二维码生成单元,被配置为将所述特性信息和所述第一认证信息编码为二维码。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210595746.2A CN103888436B (zh) | 2012-12-20 | 2012-12-20 | 用户认证的方法和装置 |
| US14/132,715 US20140181929A1 (en) | 2012-12-20 | 2013-12-18 | Method and apparatus for user authentication |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210595746.2A CN103888436B (zh) | 2012-12-20 | 2012-12-20 | 用户认证的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103888436A CN103888436A (zh) | 2014-06-25 |
| CN103888436B true CN103888436B (zh) | 2018-09-14 |
Family
ID=50957158
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210595746.2A Active CN103888436B (zh) | 2012-12-20 | 2012-12-20 | 用户认证的方法和装置 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US20140181929A1 (zh) |
| CN (1) | CN103888436B (zh) |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105099692B (zh) * | 2014-05-22 | 2020-01-14 | 创新先进技术有限公司 | 安全校验方法、装置、服务器及终端 |
| CN104105096B (zh) * | 2014-07-28 | 2018-01-16 | 浙江宇视科技有限公司 | 一种ipc设备的无线接入方法 |
| KR101611241B1 (ko) * | 2014-08-11 | 2016-04-26 | 주식회사 케이티 | 문자메시지 인증 방법, 시스템, 서버 및 컴퓨터 판독 가능 매체 |
| CN105630519A (zh) * | 2014-10-29 | 2016-06-01 | 江苏威盾网络科技有限公司 | 一种基于二维码的安全开机认证方法 |
| US9706401B2 (en) | 2014-11-25 | 2017-07-11 | Microsoft Technology Licensing, Llc | User-authentication-based approval of a first device via communication with a second device |
| CN105787333B (zh) * | 2014-12-25 | 2019-01-25 | 北京握奇智能科技有限公司 | 一种身份认证设备及方法 |
| CN104657860A (zh) * | 2015-01-28 | 2015-05-27 | 郑州大学 | 一种手机银行安全认证方法 |
| CN105516134B (zh) * | 2015-12-08 | 2018-10-30 | 浪潮(北京)电子信息产业有限公司 | 一种系统集成的认证方法及系统 |
| CN106534156B (zh) * | 2016-11-30 | 2019-06-04 | 北京梆梆安全科技有限公司 | 车辆电子控制单元之间的身份认证方法和装置及设备 |
| IT201700036968A1 (it) * | 2017-04-04 | 2018-10-04 | Inventia S R L | Metodo e sistema di verifica online dell’identità di un soggetto |
| US10449440B2 (en) | 2017-06-30 | 2019-10-22 | Electronic Arts Inc. | Interactive voice-controlled companion application for a video game |
| US10621317B1 (en) * | 2017-09-14 | 2020-04-14 | Electronic Arts Inc. | Audio-based device authentication system |
| JP6405071B1 (ja) * | 2017-12-28 | 2018-10-17 | 株式会社Isao | 認証のためのシステム、方法、プログラム、及びプログラムを記録した記録媒体 |
| US10629192B1 (en) | 2018-01-09 | 2020-04-21 | Electronic Arts Inc. | Intelligent personalized speech recognition |
| CN108848057A (zh) * | 2018-05-04 | 2018-11-20 | 浙江大华技术股份有限公司 | 一种远程安全访问的方法及装置 |
| CN109818938A (zh) * | 2018-12-29 | 2019-05-28 | 广东电网有限责任公司 | 一种it运维双因素认证系统及方法 |
| US10926173B2 (en) | 2019-06-10 | 2021-02-23 | Electronic Arts Inc. | Custom voice control of video game character |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8256664B1 (en) * | 2010-04-09 | 2012-09-04 | Google Inc. | Out-of band authentication of browser sessions |
| WO2012135563A1 (en) * | 2011-03-31 | 2012-10-04 | Sony Mobile Communications Ab | System and method for establishing a communication session |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007102778A (ja) * | 2005-10-04 | 2007-04-19 | Forval Technology Inc | ユーザ認証システムおよびその方法 |
| CN101897165B (zh) * | 2007-10-30 | 2013-06-12 | 意大利电信股份公司 | 数据处理系统中验证用户的方法 |
| US20110219427A1 (en) * | 2010-03-04 | 2011-09-08 | RSSBus, Inc. | Smart Device User Authentication |
| US8627438B1 (en) * | 2011-09-08 | 2014-01-07 | Amazon Technologies, Inc. | Passwordless strong authentication using trusted devices |
| US9438575B2 (en) * | 2011-12-22 | 2016-09-06 | Paypal, Inc. | Smart phone login using QR code |
| US8751794B2 (en) * | 2011-12-28 | 2014-06-10 | Pitney Bowes Inc. | System and method for secure nework login |
-
2012
- 2012-12-20 CN CN201210595746.2A patent/CN103888436B/zh active Active
-
2013
- 2013-12-18 US US14/132,715 patent/US20140181929A1/en not_active Abandoned
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8256664B1 (en) * | 2010-04-09 | 2012-09-04 | Google Inc. | Out-of band authentication of browser sessions |
| WO2012135563A1 (en) * | 2011-03-31 | 2012-10-04 | Sony Mobile Communications Ab | System and method for establishing a communication session |
Also Published As
| Publication number | Publication date |
|---|---|
| US20140181929A1 (en) | 2014-06-26 |
| CN103888436A (zh) | 2014-06-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103888436B (zh) | 用户认证的方法和装置 | |
| CN109150548B (zh) | 一种数字证书签名、验签方法及系统、数字证书系统 | |
| CN108809659B (zh) | 动态口令的生成、验证方法及系统、动态口令系统 | |
| CN110334503B (zh) | 利用一个设备解锁另一个设备的方法 | |
| AU2016217549B2 (en) | Systems and methods for securely managing biometric data | |
| KR102358546B1 (ko) | 장치에 대해 클라이언트를 인증하기 위한 시스템 및 방법 | |
| TWI728261B (zh) | 判定認證能力之查詢系統、方法及非暫態機器可讀媒體 | |
| CN101978652B (zh) | 使用单向带外(oob)信道在两个通信端点之间进行双向认证 | |
| CN111615105B (zh) | 信息提供、获取方法、装置及终端 | |
| US20070223685A1 (en) | Secure system and method of providing same | |
| US11636478B2 (en) | Method of performing authentication for a transaction and a system thereof | |
| CN106789024B (zh) | 一种远程解锁方法、装置和系统 | |
| CN109920100B (zh) | 一种智能锁开锁方法及系统 | |
| KR20180013710A (ko) | 공개키 기반의 서비스 인증 방법 및 시스템 | |
| JP2014531070A (ja) | サイトにおけるアクションを認可するための方法およびシステム | |
| JP2022527798A (ja) | 効率的なチャレンジ応答認証のためのシステム及び方法 | |
| KR101609274B1 (ko) | 스마트카드, 스마트인증서버 및 스마트카드 인증 방법 | |
| CN104657855B (zh) | 一种带有nfc接口的移动支付身份验证装置 | |
| WO2015019821A1 (ja) | 情報処理装置、情報処理方法及びコンピュータプログラム | |
| JP7269486B2 (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
| CN108650219B (zh) | 一种用户身份识别方法、相关装置、设备和系统 | |
| CN104471892A (zh) | 基于图形化签名的用户访问控制 | |
| JP6167667B2 (ja) | 認証システム、認証方法、認証プログラムおよび認証装置 | |
| KR101879842B1 (ko) | Otp를 이용한 사용자 인증 방법 및 시스템 | |
| CN106055966B (zh) | 一种认证方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20200408 Address after: Massachusetts, USA Patentee after: EMC IP Holding Company LLC Address before: Massachusetts, USA Patentee before: EMC Corp. |