CN106302556A - 一种支持多系统的统一身份安全认证方法 - Google Patents
一种支持多系统的统一身份安全认证方法 Download PDFInfo
- Publication number
- CN106302556A CN106302556A CN201610994567.4A CN201610994567A CN106302556A CN 106302556 A CN106302556 A CN 106302556A CN 201610994567 A CN201610994567 A CN 201610994567A CN 106302556 A CN106302556 A CN 106302556A
- Authority
- CN
- China
- Prior art keywords
- mobile phone
- user mobile
- server
- access
- token
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Abstract
本发明公开了一种支持多系统的统一身份安全认证方法,该方法通过访问令牌、手机OTP令牌、MAC地址等多种验证途径,进行多流程环节的安全认证控制,确保身份认证过程的万无一失,也确保了系统的账户体系和信息安全。进一步地,基于本发明的认证方法,可以通过技术接口和平台,支持多系统的同时部署应用,提升系统安全认证的同时,也对系统账户进行了统一管理和规范,提升管理效率,避免资源浪费。本发明为各类系统、网站,尤其是涉及交易、支付、结算的电商类平台,提供了一套安全可靠,操作使用便捷,可支持多个应用系统的、统一的身份认证方法,这对系统账户安全、账户会员体系建设管理都有非常实际的意义和价值。
Description
技术领域
本发明涉及账户的安全认证和管理,特别是一种支持多系统的统一身份安全认证方法。
背景技术
当前各类网站平台、各类系统繁多,对系统用户认证的方式方法也各不相同,但当前主流的系统账户认证方式大多是靠单一的用户名、口令(密码)进行系统登录,这会导致密码失窃或被破解后,无法在信息传输前确认用户身份,存在一定的风险和安全隐患。
同时,存在关联关系的各系统之间,大多系统都往往各自为政,缺乏多系统、多账户之间的统一的用户身份认证功能,导致各系统之前的安全认证体系和等级各不相同,管理比较杂乱,采用多种身份认证也往往导致资源重复浪费。
另外,也存在一些使用手机令牌身份认证的系统,这种认证方式也存在被黑客拷屏而导致令牌被伪造的风险和漏洞。
发明内容
本发明的主要目的在于克服现有技术的不足,提供一种支持多系统的安全可靠的统一身份安全认证方法。
为实现上述目的,本发明采用以下技术方案:
一种支持多系统的统一身份安全认证方法,包括以下步骤:
S1、用户手机向系统方服务器发起以手机号为唯一识别标志的授权请求;
S2、所述系统方服务器向所述用户手机发送访问许可安全链接;
S3、所述用户手机访问所述访问许可安全链接后,所述系统方服务器获得所述用户手机的MAC地址;
S4、所述系统方服务器向认证服务器提交用户信息,产生用户名和密码,记录所述用户手机的MAC地址,配置用户的手机OTP令牌,并将所述手机OTP令牌发送到所述用户手机;
S5、所述用户手机向所述认证服务器提交包含所述用户名和密码的私有证书以及所述手机OTP令牌,来向所述认证服务器请求访问令牌;
S6、所述认证服务器验证所述私有证书和所述手机OTP令牌的有效性,并验证请求访问令牌的用户手机的MAC地址是否和步骤S3中记录的用户手机的MAC地址吻合;
如果验证成功,进入步骤S7;如验证失败,则需要返回步骤S5重新提交所述私有证书和所述手机OTP令牌;
S7、所述认证服务器向所述用户手机发送所述访问令牌;
S8、所述用户手机向所述系统方服务器提交所述访问令牌,并向所述系统方服务器请求访问受保护资源信息;
S9、所述系统方服务器对所述访问令牌做出响应和确认,从而允许所述用户手机访问所述受保护资源信息。
进一步地:
所述访问令牌为无状态访问令牌。
所述访问令牌至少包括访问许可的作用域和有效时间信息。
步骤S6中,如验证失败,所述认证服务器向所述用户手机提示验证失败。
通过开放的接口,多个不同应用的系统方服务器共用一个所述认证服务器,实现集成多个应用系统的统一认证。
一种支持多系统的统一身份安全认证方法,包括以下步骤:
S1、系统方服务器收到用户手机发起的以手机号为唯一识别标志的授权请求后,向所述用户手机发送访问许可安全链接;
S2、所述系统方服务器获得访问所述访问许可安全链接的所述用户手机的MAC地址;
S3、所述系统方服务器向认证服务器提交用户信息,产生用户名和密码,记录所述用户手机的MAC地址,配置用户的手机OTP令牌,并将所述手机OTP令牌发送到所述用户手机;
S4、所述认证服务器收到所述用户手机提交的包含所述用户名和密码的私有证书以及所述手机OTP令牌后,验证所述私有证书和所述手机OTP令牌的有效性,并验证请求访问令牌的用户手机的MAC地址是否和步骤S3中记录的用户手机的MAC地址吻合;
如果验证成功,进入步骤S5;如验证失败,则需要重新提交和验证;
S5、所述认证服务器向所述用户手机发送所述访问令牌;
S6、所述系统方服务器收到所述用户手机提交的所述访问令牌以及对受保护资源信息的访问请求时,对所述访问令牌做出响应和确认,以允许所述用户手机访问所述受保护资源信息。
进一步地:
所述访问令牌为无状态访问令牌。
所述访问令牌至少包括访问许可的作用域和有效时间信息。
步骤S4中,如验证失败,所述认证服务器向所述用户手机提示验证失败。
通过开放的接口,多个不同应用的系统方服务器共用一个所述认证服务器,实现集成多个应用系统的统一认证。
本发明的有益效果:
本发明提供了一种支持多系统的统一身份安全认证方法,该方法通过访问令牌、手机OTP令牌、MAC地址等多种验证途径,进行多流程环节的安全认证控制,确保身份认证过程的万无一失,也确保了系统的账户体系和信息安全。进一步地,基于本发明的认证方法,可以通过技术接口和平台,支持多系统的同时部署应用,提升系统安全认证的同时,也对系统账户进行了统一管理和规范,提升管理效率,避免资源浪费。
本发明为各类系统、网站,尤其是涉及交易、支付、结算的电商类平台,提供了一套安全可靠,操作使用便捷,可支持多个应用系统的、统一的身份认证方法,这对系统账户安全、账户会员体系建设管理都有非常实际的意义和价值。
附图说明
图1为本发明支持多系统的统一身份安全认证方法一种实施例的流程图。
具体实施方式
以下对本发明的实施方式作详细说明。应该强调的是,下述说明仅仅是示例性的,而不是为了限制本发明的范围及其应用。
参阅图1,在一种实施例中,一种支持多系统的统一身份安全认证方法,包括以下步骤:
S1、用户手机向系统方服务器发起以手机号为唯一识别标志的授权请求;
S2、所述系统方服务器向所述用户手机发送访问许可安全链接;
S3、所述用户手机访问所述访问许可安全链接后,所述系统方服务器获得所述用户手机的MAC地址;
S4、所述系统方服务器向认证服务器提交用户信息,产生用户名和密码,记录所述用户手机的MAC地址,配置用户的手机OTP令牌,并将所述手机OTP令牌发送到所述用户手机;
S5、所述用户手机向所述认证服务器提交包含所述用户名和密码的私有证书以及所述手机OTP令牌,来向所述认证服务器请求访问令牌;
S6、所述认证服务器验证所述私有证书和所述手机OTP令牌的有效性,并验证请求访问令牌的用户手机的MAC地址是否和步骤S3中记录的用户手机的MAC地址吻合;
如果验证成功,进入步骤S7;如验证失败,则需要返回步骤S5重新提交所述私有证书以及所述手机OTP令牌;
S7、所述认证服务器向所述用户手机发送所述访问令牌;
S8、所述用户手机向所述系统方服务器提交所述访问令牌,并向所述系统方服务器请求访问受保护资源信息;
S9、所述系统方服务器对所述访问令牌做出响应和确认,从而允许所述用户手机访问所述受保护资源信息。
所述访问令牌可以为无状态访问令牌。
在优选的实施例中,所述访问令牌至少包括访问许可的作用域和有效时间信息。
在优选的实施例中,步骤S6中,如验证失败,所述认证服务器向所述用户手机提示验证失败。
在优选的实施例中,通过开放的接口,多个不同应用的系统方服务器共用一个所述认证服务器,实现集成多个应用系统的统一认证。
在另一种实施例中,一种支持多系统的统一身份安全认证方法,包括以下步骤:
S1、系统方服务器收到用户手机发起的以手机号为唯一识别标志的授权请求后,向所述用户手机发送访问许可安全链接;
S2、所述系统方服务器获得访问所述访问许可安全链接的所述用户手机的MAC地址;
S3、所述系统方服务器向认证服务器提交用户信息,产生用户名和密码,记录所述用户手机的MAC地址,配置用户的手机OTP令牌,并将所述手机OTP令牌发送到所述用户手机;
S4、所述认证服务器收到所述用户手机提交的包含所述用户名和密码的私有证书以及所述手机OTP令牌后,验证所述私有证书和所述手机OTP令牌的有效性,并验证请求访问令牌的用户手机的MAC地址是否和步骤S3中记录的用户手机的MAC地址吻合;
如果验证成功,进入步骤S5;如验证失败,则需要重新提交和验证上述信息;
S5、所述认证服务器向所述用户手机发送所述访问令牌;
S6、所述系统方服务器收到所述用户手机提交的所述访问令牌以及对受保护资源信息的访问请求时,对所述访问令牌做出响应和确认,以允许所述用户手机访问所述受保护资源信息。
所述访问令牌可以为无状态访问令牌。
在优选的实施例中,所述访问令牌至少包括访问许可的作用域和有效时间信息。
在优选的实施例中,步骤S4中,如验证失败,所述认证服务器向所述用户手机提示验证失败。
在优选的实施例中,通过开放的接口,多个不同应用的系统方服务器共用一个所述认证服务器,实现集成多个应用系统的统一认证。
以下结合附图进一步描述本发明具体实施例及其优点。
本发明的实施例提供了一种整合多种安全认证方式、支持多系统的统一认证方法,可以利用无状态访问令牌,并结合手机OTP令牌、绑定手机MAC地址,从而实现集成多个应用系统统一认证登录的强安全认证。本发明的具体实施例可基于OAuth2.0协议实现。
本发明一个典型的具体实施例包括如下步骤:
步骤一:
系统用户或调用接口的第三方用户通过用户手机向系统方发起以手机号为唯一识别标志的请求授权。
步骤二:
系统方给用户手机发送一个访问许可安全链接。
步骤三:
用户访问此安全链接后,系统方获得用户手机的MAC地址。
步骤四:
系统方向认证服务器提交客户信息,并为用户授权,产生用户名和密码、记录用户手机MAC地址、配置用户手机OTP令牌,并通知用户。
步骤五:
用户出示自己的私有证书(用户名和密码)和手机OTP令牌,来向认证服务器请求一个访问令牌;
步骤六:
认证服务器验证用户的私有证书和手机OTP令牌的有效性,同时验证用户手机MAC地址是否和数据库中保存的用户MAC地址吻合。如果验证有效,进入步骤七;如验证失败,则返回步骤五,要求用户重新提交。
步骤七:
向客户端发送一个访问令牌,访问令牌包括许可的作用域、有效时间和一些其他属性信息。
步骤八:
用户出示访问令牌向系统方服务器请求受保护资源信息;
步骤九:
系统方服务器对访问令牌做出响应和确认,允许用户访问受保护资源信息。
以上步骤完成一套完整的系统安全身份认证流程。该方案可以通过开放的接口,同时应用部署于多个系统,来实现多系统的统一认证管理。
通过无状态访问令牌、手机OTP令牌、MAC地址等多种验证途径,按上述控制流程,经验证,本安全认证方法支持部署在多个系统,实现系统认证统一管理。
本发明对于加强系统账户的安全认证和管理,特别是对资金账户信息、安全管理要求比较高的交易性平台、支付结算平台、电商网站、财务系统等账户身份认证领域具有直接的应用价值。
以上内容是结合具体/优选的实施方式对本发明所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,其还可以对这些已描述的实施方式做出若干替代或变型,而这些替代或变型方式都应当视为属于本发明的保护范围。
Claims (10)
1.一种支持多系统的统一身份安全认证方法,其特征在于,包括以下步骤:
S1、用户手机向系统方服务器发起以手机号为唯一识别标志的授权请求;
S2、所述系统方服务器向所述用户手机发送访问许可安全链接;
S3、所述用户手机访问所述访问许可安全链接后,所述系统方服务器获得所述用户手机的MAC地址;
S4、所述系统方服务器向认证服务器提交用户信息,产生用户名和密码,记录所述用户手机的MAC地址,配置用户的手机OTP令牌,并将所述手机OTP令牌发送到所述用户手机;
S5、所述用户手机向所述认证服务器提交包含所述用户名和密码的私有证书以及所述手机OTP令牌,来向所述认证服务器请求访问令牌;
S6、所述认证服务器验证所述私有证书和所述手机OTP令牌的有效性,并验证请求访问令牌的用户手机的MAC地址是否和步骤S3中记录的用户手机的MAC地址吻合;
如果验证成功,进入步骤S7;如验证失败,则需要返回步骤S5重新提交所述私有证书和所述手机OTP令牌;
S7、所述认证服务器向所述用户手机发送所述访问令牌;
S8、所述用户手机向所述系统方服务器提交所述访问令牌,并向所述系统方服务器请求访问受保护资源信息;
S9、所述系统方服务器对所述访问令牌做出响应和确认,从而允许所述用户手机访问所述受保护资源信息。
2.如权利要求1所述的支持多系统的统一身份安全认证方法,其特征在于,所述访问令牌为无状态访问令牌。
3.如权利要求1所述的支持多系统的统一身份安全认证方法,其特征在于,所述访问令牌至少包括访问许可的作用域和有效时间信息。
4.如权利要求1所述的支持多系统的统一身份安全认证方法,其特征在于,步骤S6中,如验证失败,所述认证服务器向所述用户手机提示验证失败。
5.如权利要求1至4任一项所述的支持多系统的统一身份安全认证方法,其特征在于,通过开放的接口,多个不同应用的系统方服务器共用一个所述认证服务器,实现集成多个应用系统的统一认证。
6.一种支持多系统的统一身份安全认证方法,其特征在于,包括以下步骤:
S1、系统方服务器收到用户手机发起的以手机号为唯一识别标志的授权请求后,向所述用户手机发送访问许可安全链接;
S2、所述系统方服务器获得访问所述访问许可安全链接的所述用户手机的MAC地址;
S3、所述系统方服务器向认证服务器提交用户信息,产生用户名和密码,记录所述用户手机的MAC地址,配置用户的手机OTP令牌,并将所述手机OTP令牌发送到所述用户手机;
S4、所述认证服务器收到所述用户手机提交的包含所述用户名和密码的私有证书以及所述手机OTP令牌后,验证所述私有证书和所述手机OTP令牌的有效性,并验证请求访问令牌的用户手机的MAC地址是否和步骤S3中记录的用户手机的MAC地址吻合;
如果验证成功,进入步骤S5;如验证失败,则需要重新提交和验证;
S5、所述认证服务器向所述用户手机发送所述访问令牌;
S6、所述系统方服务器收到所述用户手机提交的所述访问令牌以及对受保护资源信息的访问请求时,对所述访问令牌做出响应和确认,以允许所述用户手机访问所述受保护资源信息。
7.如权利要求6所述的支持多系统的统一身份安全认证方法,其特征在于,所述访问令牌为无状态访问令牌。
8.如权利要求6所述的支持多系统的统一身份安全认证方法,其特征在于,所述访问令牌至少包括访问许可的作用域和有效时间信息。
9.如权利要求6所述的支持多系统的统一身份安全认证方法,其特征在于,步骤S4中,如验证失败,所述认证服务器向所述用户手机提示验证失败。
10.如权利要求6至9任一项所述的支持多系统的统一身份安全认证方法,其特征在于,通过开放的接口,多个不同应用的系统方服务器共用一个所述认证服务器,实现集成多个应用系统的统一认证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610994567.4A CN106302556A (zh) | 2016-11-11 | 2016-11-11 | 一种支持多系统的统一身份安全认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610994567.4A CN106302556A (zh) | 2016-11-11 | 2016-11-11 | 一种支持多系统的统一身份安全认证方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106302556A true CN106302556A (zh) | 2017-01-04 |
Family
ID=57721180
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610994567.4A Pending CN106302556A (zh) | 2016-11-11 | 2016-11-11 | 一种支持多系统的统一身份安全认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106302556A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107492161A (zh) * | 2017-01-07 | 2017-12-19 | 邓昊晴 | 一种基于时间的动态令牌及低功耗蓝牙技术的锁管理方案 |
| CN108881218A (zh) * | 2018-06-14 | 2018-11-23 | 山东超越数控电子股份有限公司 | 一种基于云存储管理平台的数据安全增强方法及系统 |
| CN114900336A (zh) * | 2022-04-18 | 2022-08-12 | 中国航空工业集团公司沈阳飞机设计研究所 | 一种应用系统跨单位安全共享方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150007279A1 (en) * | 2013-06-27 | 2015-01-01 | Canon Kabushiki Kaisha | Communication method, device, information processing apparatus, and storage medium |
| CN104780042A (zh) * | 2014-01-13 | 2015-07-15 | 深圳中兴网信科技有限公司 | 一种即时通信的双层认证方法、装置及系统 |
| CN105142141A (zh) * | 2015-07-23 | 2015-12-09 | 攀钢集团攀枝花钢铁研究院有限公司 | 移动办公身份验证的终端设备、认证服务器、系统及方法 |
| CN105378744A (zh) * | 2013-05-03 | 2016-03-02 | 思杰系统有限公司 | 在企业系统中的用户和设备认证 |
-
2016
- 2016-11-11 CN CN201610994567.4A patent/CN106302556A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105378744A (zh) * | 2013-05-03 | 2016-03-02 | 思杰系统有限公司 | 在企业系统中的用户和设备认证 |
| US20150007279A1 (en) * | 2013-06-27 | 2015-01-01 | Canon Kabushiki Kaisha | Communication method, device, information processing apparatus, and storage medium |
| CN104780042A (zh) * | 2014-01-13 | 2015-07-15 | 深圳中兴网信科技有限公司 | 一种即时通信的双层认证方法、装置及系统 |
| CN105142141A (zh) * | 2015-07-23 | 2015-12-09 | 攀钢集团攀枝花钢铁研究院有限公司 | 移动办公身份验证的终端设备、认证服务器、系统及方法 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107492161A (zh) * | 2017-01-07 | 2017-12-19 | 邓昊晴 | 一种基于时间的动态令牌及低功耗蓝牙技术的锁管理方案 |
| CN108881218A (zh) * | 2018-06-14 | 2018-11-23 | 山东超越数控电子股份有限公司 | 一种基于云存储管理平台的数据安全增强方法及系统 |
| CN108881218B (zh) * | 2018-06-14 | 2021-07-06 | 超越科技股份有限公司 | 一种基于云存储管理平台的数据安全增强方法及系统 |
| CN114900336A (zh) * | 2022-04-18 | 2022-08-12 | 中国航空工业集团公司沈阳飞机设计研究所 | 一种应用系统跨单位安全共享方法及系统 |
| CN114900336B (zh) * | 2022-04-18 | 2023-07-07 | 中国航空工业集团公司沈阳飞机设计研究所 | 一种应用系统跨单位安全共享方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107026847B (zh) | 一种信任登录方法、服务器及系统 | |
| CN111131242B (zh) | 一种权限控制方法、装置和系统 | |
| US10460309B2 (en) | Payment verification method, apparatus and system | |
| CN102724647B (zh) | 一种能力访问授权方法及系统 | |
| TWI756200B (zh) | 帳號綁定和業務處理的方法及裝置 | |
| CN104202338B (zh) | 一种适用于企业级移动应用的安全接入方法 | |
| JP2016521899A (ja) | 2要素認証 | |
| US9332433B1 (en) | Distributing access and identification tokens in a mobile environment | |
| CN103378969B (zh) | 一种授权方法、系统及第三方应用系统 | |
| CN104580184A (zh) | 互信应用系统间身份认证方法 | |
| CN109308416B (zh) | 业务服务数据处理方法、装置、系统、存储介质和设备 | |
| CN106034134A (zh) | 网页应用程序中进行身份认证请求的方法、辅助方法及装置 | |
| CN105681259A (zh) | 一种开放授权方法、装置及开放平台 | |
| CN106302606A (zh) | 一种跨应用访问方法及装置 | |
| CN106302556A (zh) | 一种支持多系统的统一身份安全认证方法 | |
| CN107241329A (zh) | 账号登录处理方法及装置 | |
| TW201939332A (zh) | 認證方法及裝置 | |
| CN110516470A (zh) | 访问控制方法、装置、设备及存储介质 | |
| CN104579681A (zh) | 互信应用系统间身份认证系统 | |
| KR20240023589A (ko) | 온라인 서비스 서버와 클라이언트 간의 상호 인증 방법 및 시스템 | |
| CN114338149B (zh) | 一种服务器的登录凭据授权方法、终端及密钥托管平台 | |
| CN106156549A (zh) | 应用程序授权处理方法及装置 | |
| CN105656856A (zh) | 资源管理方法和装置 | |
| CN109905402A (zh) | 基于ssl vpn的sso登录方法和装置 | |
| CN107222498B (zh) | 共享数据的绑定处理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170104 |
|
| RJ01 | Rejection of invention patent application after publication |