CN108347333A - 一种终端的身份认证方法、装置 - Google Patents

一种终端的身份认证方法、装置 Download PDF

Info

Publication number
CN108347333A
CN108347333A CN201710046385.9A CN201710046385A CN108347333A CN 108347333 A CN108347333 A CN 108347333A CN 201710046385 A CN201710046385 A CN 201710046385A CN 108347333 A CN108347333 A CN 108347333A
Authority
CN
China
Prior art keywords
authentication
terminal
request
certification
sent
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201710046385.9A
Other languages
English (en)
Inventor
乔伯涛
刘振敏
李响
白玉成
马飞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Excellent Friends Bullock Media Development Co
Original Assignee
Shenzhen Excellent Friends Bullock Media Development Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Excellent Friends Bullock Media Development Co filed Critical Shenzhen Excellent Friends Bullock Media Development Co
Priority to CN201710046385.9A priority Critical patent/CN108347333A/zh
Publication of CN108347333A publication Critical patent/CN108347333A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response

Abstract

本发明公开了一种终端的身份认证方法、装置,属于终端验证技术领域。该终端的身份认证方法,应用于终端,终端包括认证模块,该方法包括:认证模块获取终端的描述信息;认证模块向认证鉴权系统发送携带终端的描述信息的第一认证请求;认证模块接收认证鉴权系统基于第一认证请求返回的第一认证响应。本发明在终端内置用于认证的认证模块,认证模块在注册或登录认证时,能够自主触发通过预设通道向服务端发起认证的过程;认证模块在进行其他认证时,能够根据应用程序的请求通过预设通道向服务端发起认证过程;此时,该认证模块相当于为该应用程序提供认证服务的虚拟服务端,从而实现隐藏服务接口,采用预设通道方式来保护服务免受攻击。

Description

一种终端的身份认证方法、装置
技术领域
本发明涉及终端认证技术领域,特别涉及一种终端的身份认证方法、终端、认证鉴权系统、认证计费管理系统和终端的身份认证系统。
背景技术
在现在技术中,常用的终端认证方法包括以下两种:
第一种,终端用户注册或者登录时,需要先输入用户名和密码,然后再做用户鉴权操作,即向服务器发送验证请求。使用者一旦忘记了用户名或者密码将无法使用。
第二种,终端用户注册或者登录时,将终端的MAC地址作为区别用户的唯一ID,向服务器发送验证请求。
在实现本发明的过程中,发明人发现至少存在如下问题:
第一种方式存在如下缺点:用户操作繁琐,大大降低了用户体验度。
第二种方式存在如下缺点:如果服务器没有对合法终端MAC地址做记录,则很难判别验证请求的合法性;即便服务器对请求注册的终端的MAC地址都做了备份,并根据备份的MAC地址判别验证请求的合法性,也无法避免非法者以穷举方式攻击服务器。
发明内容
本发明的目的是提供一种终端的身份认证方法、终端、认证鉴权系统、认证计费管理系统和终端的身份认证系统,本发明通过终端的MAC地址和第一编号对终端进行唯一验证,以及通过注册时自动分配第二编号的分配策略,对终端进行唯一验证,能够根据不同的MAC地址、不同的第一编号以及不同的第二编号分配不同的服务业务,使得服务业务能够针对不同的终端在鉴别和处理上更加灵活方便。
根据本发明实施例的一个方面提供了一种终端的身份认证方法,应用于终端,终端包括认证模块,该方法包括:认证模块获取终端的描述信息;认证模块向认证鉴权系统发送携带终端的描述信息的第一认证请求,其中,第一认证请求是认证鉴权系统在对第一认证请求进行合法性验证后发送给认证计费管理系统的;认证模块接收认证鉴权系统基于第一认证请求返回的第一认证响应,其中,第一认证响应是认证计费管理系统基于第一认证请求发送给认证鉴权系统的。
根据本发明实施例的另一个方面提供了一种终端的身份认证方法,应用于认证鉴权系统,该方法包括:认证鉴权系统接收终端的认证模块发送的携带终端的描述信息的第一认证请求,其中,描述信息是终端的认证模块获取的;认证鉴权系统对第一认证请求进行合法性验证,当确定第一认证请求合法后,向认证计费管理系统发送第一认证请求;认证鉴权系统接收认证计费管理系统基于第一认证请求返回的第一认证响应,向终端的认证模块发送第一认证响应。
根据本发明实施例的又一方面提供了一种终端的身份认证方法,应用于认证计费管理系统,该方法包括:认证计费管理系统接收认证鉴权系统发送的携带终端的描述信息的第一认证请求,其中,第一认证请求是认证鉴权系统在对接收到的终端的认证模块发送的第一认证请求进行合法性验证后发送给认证计费管理系统的;认证计费管理系统基于第一认证请求,向认证鉴权系统返回第一认证响应,其中,第一认证响应是认证鉴权系统基于第一认证请求发送给终端的认证模块的。
根据本发明实施例的一个方面提供了一种终端,终端包括认证模块,认证模块包括:获取单元,用于获取终端的描述信息;第一发送单元,用于向认证鉴权系统发送携带终端的描述信息的第一认证请求,其中,第一认证请求是认证鉴权系统在对第一认证请求进行合法性验证后发送给认证计费管理系统的;第一接收单元,用于接收认证鉴权系统基于第一认证请求返回的第一认证响应,其中,第一认证响应是认证计费管理系统基于第一认证请求发送给认证鉴权系统的。
根据本发明实施例的另一个方面提供了一种认证鉴权系统,包括:
第四接收单元,用于接收终端的认证模块发送的携带终端的描述信息的第一认证请求,其中,描述信息是终端的认证模块获取的;第一验证单元,用于对第一认证请求进行合法性验证,当确定第一认证请求合法后,向认证计费管理系统发送第一认证请求;第五接收单元,用于接收认证计费管理系统基于第一认证请求返回的第一认证响应,向终端的认证模块发送第一认证响应。
根据本发明实施例的又一个方面提供了一种认证计费管理系统,包括:
第八接收单元,用于接收认证鉴权系统发送的携带终端的描述信息的第一认证请求,其中,第一认证请求是认证鉴权系统在对接收到的终端的认证模块发送的第一认证请求进行合法性验证后发送给认证计费管理系统的;
第一返回单元,用于基于第一认证请求,向认证鉴权系统返回第一认证响应,其中,第一认证响应是认证鉴权系统基于第一认证请求发送给终端的认证模块的。
根据本发明实施例的一个方面提供了一种终端的身份认证系统,包括:上述所述的终端,上述所述的认证鉴权系统,上述所述的认证计费管理系统以及与所述认证计费管理系统相关联的待用编号数据库。
本发明实施例提供的一种终端的身份认证方法、终端、认证鉴权系统、认证计费管理系统和终端的身份认证系统,本发明在终端内置用于认证的认证模块,认证模块在注册或登录认证时,能够自主触发通过预设通道向服务端发起认证的过程;认证模块在进行其他认证时,能够根据应用程序的请求通过预设通道向服务端发起认证过程;此时,该认证模块相当于为该应用程序提供认证服务的虚拟服务端,从而实现隐藏服务接口,采用预设通道方式来保护服务免受攻击。
附图说明
图1是本发明实施例一提供的一种终端的身份认证方法的流程图;
图2是本发明实施例二提供的一种终端的身份认证方法的流程图;
图3是本发明实施例三提供的一种终端的身份认证方法的流程图;
图4是本发明实施例四提供的一种终端的身份认证方法的流程图;
图5是本发明实施例五提供的一种终端的身份认证方法的流程图;
图6是本发明实施例六提供的一种终端的身份认证方法的流程图;
图7是本发明实施例七提供的一种终端的身份认证方法的流程图;
图8是本发明实施例八提供的一种终端的身份认证方法的流程图;
图9是本发明实施例九提供的一种终端的身份认证方法的流程图;
图10是本发明实施例十提供的一种终端的身份认证方法的流程图;
图11是本发明实施例十一提供的一种终端的认证模块的结构示意图;
图12是本发明实施例十二提供的一种终端的认证模块的结构示意图;
图13是本发明实施例十三提供的一种终端的认证模块的结构示意图;
图14是本发明实施例十四提供的一种认证鉴权系统130的结构示意图;
图15是本发明实施例十五提供的一种认证鉴权系统的结构示意图;
图16是本发明实施例十六提供的一种认证计费管理系统的结构示意图;
图17是本发明实施例十七提供的一种认证计费管理系统的结构示意图;
图18是本发明实施例十八提供的确定子单元1421的结构示意图;
图19是本发明实施例十九提供的一种认证计费管理系统的结构示意图;
图20是本发明实施例二十提供的一种终端的身份认证系统的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明了,下面结合具体实施方式并参照附图,对本发明进一步详细说明。应该理解,这些描述只是示例性的,而并非要限制本发明的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
需要说明的是:终端可以为计算机、ipad、手机等等。
图1是本发明实施例一提供的一种终端的身份认证方法的流程图。
如图1所示,本发明实施例一提供的一种终端的身份认证方法,应用于终端,终端包括认证模块,该方法包括:
步骤S1,认证模块获取终端的描述信息。
步骤S2,认证模块向认证鉴权系统发送携带终端的描述信息的第一认证请求,其中,第一认证请求是认证鉴权系统在对第一认证请求进行合法性验证后发送给认证计费管理系统的;
步骤S3,认证模块接收认证鉴权系统基于第一认证请求返回的第一认证响应,其中,第一认证响应是认证计费管理系统基于第一认证请求发送给认证鉴权系统的。
具体地,当对终端的身份进行认证时,首先,认证模块获取终端的描述信息,终端的认证模块向认证鉴权系统发送携带终端的描述信息的第一认证请求,认证鉴权系统接收携带终端的描述信息的第一认证请求,对第一认证请求进行合法性验证,当确定第一认证请求合法后,认证鉴权系统向认证计费管理系统发送携带终端的描述信息的第一认证请求,认证计费管理系统接收并基于携带终端的描述信息的第一认证请求,向认证鉴权系统返回第一认证响应,认证鉴权系统接收第一认证响应并向终端的认证模块发送第一认证响应。对于没有通过合法性验证的第一认证请求,则认证鉴权系统不向认证计费管理系统进行转发。
本发明实施例通过在终端内置用于认证的认证模块,该认证模块在注册或登录认证时,能够自主触发通过预设通道向认证鉴权系统发起认证的过程。认证模块在进行其他认证时,能够根据应用程序的请求通过预设通道向服务端发起认证过程;此时,该认证模块相当于为应用程序提供认证服务的虚拟服务端,从而实现隐藏服务接口,使得认证服务免受攻击。
图2是本发明实施例二提供的一种终端的身份认证方法的流程图。
如图2所示,在本发明实施例一的基础上,步骤S2,认证模块向认证鉴权系统发送携带终端的描述信息的第一认证请求,进一步包括:
步骤S21,认证模块向认证鉴权系统发送携带终端的MAC地址和第一编号的注册请求;其中,终端的第一编号包括:能够指示终端的类型、厂商、生产批次、权限级别、支持的业务类型、处理器芯片参数和操作系统参数中的至少一种参数的信息。
由于每个终端都对应一个MAC地址,因此现有技术通过MAC地址来唯一区分终端,然而客观上可能存在两个终端的MAC地址相同的情况,对于两个终端的MAC地址相同的情况,就不能采用现有的通过MAC地址唯一区分终端的方式了。为了解决现有技术中,对于具有相同的MAC地址的多个终端不能唯一区分的情况,本发明实施例提出了通过终端的MAC地址和第一编号唯一区分终端的方式,对于第一编号的含义参见前述解释,此处不再赘述。
步骤S3,认证模块接收认证鉴权系统基于第一认证请求返回的第一认证响应,进一步包括:
步骤S31,认证模块接收认证鉴权系统基于注册请求返回的终端的第二编号。
具体地,在首次进行注册时,终端的认证模块向认证鉴权系统发送携带终端的MAC地址和第一编号的注册请求,认证鉴权系统接收携带终端的MAC地址和第一编号的注册请求,基于注册请求中的MAC地址和第一编号对终端进行合法性验证,当认证鉴权系统确定该终端合法后,向认证计费管理系统发送携带终端的MAC地址和第一编号的注册请求,认证计费管理系统接收携带终端的MAC地址和第一编号的注册请求,基于注册请求,确定终端的第二编号,向认证鉴权系统返回确定的终端的第二编号,认证鉴权系统接收终端的第二编号并向终端的认证模块发送终端的第二编号。
本发明实施例的终端通过终端的MAC地址和第一编号对终端进行唯一验证,不再通过输入用户名和密码的方式对终端进行身份认证,不需要泄漏个人信息,保证了用户信息的安全性。本发明实施例通过为不同MAC地址、不同第一编号的终端分配不同的第二编号,这样,认证鉴权系统能够根据携带的不同第二编号的终端发出的业务请求,处理不同的业务请求,分配管理更加方便。
本发明实施例二提供的一种终端的身份认证方法,还包括:
步骤S30,认证模块记录首次向认证鉴权系统发送的请求注册中携带的MAC地址,并将所述MAC地址作为合法MAC地址。
具体地,终端的认证模块在首次向认证鉴权系统发送的注册请求中携带的MAC地址,终端的认证模块会记录首次请求注册的MAC地址,并将该MAC地址作为合法MAC地址,当终端的认证模块再次向认证鉴权系统发送的注册请求中携带的为其他MAC地址(非首次请求注册的MAC地址)时,将该注册请求作为非法注册请求并中止注册操作。
本发明实施例通过终端的认证模块记录第一次请求注册的MAC地址,此后终端再用其他的MAC地址进行注册时,将会作为非法注册请求中止注册操作。
图3是本发明实施例三提供的一种终端的身份认证方法的流程图。
如图3所示,在本发明实施例二的基础上,步骤S2,认证模块向认证鉴权系统发送携带终端的描述信息的第一认证请求,进一步包括:
步骤S22,认证模块向认证鉴权系统发送携带终端的第二编号的登陆请求。
步骤S3,认证模块接收认证鉴权系统基于第一认证请求返回的第一认证响应,进一步包括:
步骤S32,认证模块接收认证鉴权系统基于登陆请求返回的终端认证成功消息,或终端认证失败消息。
具体地,在首次注册之后,在登录时,终端的认证模块向认证鉴权系统发送携带终端的第二编号的登陆请求,认证鉴权系统接收登陆请求向认证计费管理系统发送携带终端的第二编号的登陆请求,认证计费管理系统判断是否存储有终端的第二编号,若存储有第二编号,向认证鉴权系统返回终端认证成功消息,若否,认证鉴权系统向终端的认证模块发送终端认证失败消息,终端的认证模块接收终端的认证成功消息或认证失败消息。终端认证成功消息表示该终端已经分配第二编号且第二编号存储在编号列表中,表示该终端为合法终端。终端认证失败消息表示该终端未分配第二编号,表示该终端为非法终端。
本发明实施例解决了现有技术中用户在注册时或者登录时需要输入用户名和密码的问题,本发明在登录时只需要携带第二编号即可,不再需要输入用户的个人信息,保证了用户的个人信息的安全性。
图4是本发明实施例四提供的一种终端的身份认证方法的流程图。
如图4所示,在本发明实施例一的基础上,本发明实施例四提供的一种终端的身份认证方法,还包括:
步骤S4,认证模块接收终端包括的应用程序发送的HTTP协议请求。
步骤S5,认证模块在接收到HTTP协议请求后,从接收到的HTTP协议请求中解析出数据请求,以及获取终端的描述信息。
步骤S6,认证模块通过socket加密通道,向认证鉴权系统发送携带终端的描述信息和数据请求的第二认证请求,其中,第二认证请求是认证鉴权系统在对第二认证请求进行合法性验证后发送给认证计费管理系统的。
步骤S7,认证模块接收认证鉴权系统基于第二认证请求返回的携带请求的数据的第二认证响应,其中,第二认证响应是认证计费管理系统基于第二认证请求发送给认证鉴权系统的。
步骤S8,认证模块将获取的请求的数据发送给应用程序。
具体地,终端的应用程序发送HTTP协议请求,终端的认证模块接收应用程序发送的HTTP协议请求,从接收到的HTTP协议请求中解析出数据请求以及获取终端的描述信息,通过socket加密通道,向认证鉴权系统发送携带终端的描述信息和数据请求的第二认证请求,认证鉴权系统接收携带终端的描述信息和数据请求的第二认证请求,对第二认证请求进行合法性验证,在第二认证请求验证合格后向认证计费管理系统发送第二认证请求,认证计费管理系统接收第二认证请求,基于第二认证请求提取第二认证请求所要请求的数据,向认证鉴权系统返回携带请求的数据的第二认证响应,认证鉴权系统接收携带请求的数据的第二认证响应向终端的认证模块发送携带请求的数据的第二认证响应,终端的认证模块接收到携带请求的数据的第二认证响应后将数据发送给应用程序,认证模块将获取的请求的数据发送给应用程序。
本发明实施例在终端嵌入HTTP服务得到认证模块,当终端的应用程序发出HTTP协议请求时,终端调用认证模块,由终端的认证模块在调用认证鉴权系统实现用户认证和信息的获取,而认证模块和认证鉴权系统之间的信息传递经过加密处理,这样避免了向外公开认证服务的接口地址,而且认证模块和认证鉴权系统间信息传递经过加密处理,从而杜绝了非法请求造成的对服务器的影响,使认证服务更加安全。
图5是本发明实施例五提供的一种终端的身份认证方法的流程图。
如图5所示,本发明实施例五提供的一种终端的身份认证方法,应用于认证鉴权系统,该方法包括:
步骤S10,认证鉴权系统接收终端的认证模块发送的携带终端的描述信息的第一认证请求,其中,描述信息是终端的认证模块获取。
步骤S20,认证鉴权系统对第一认证请求进行合法性验证,当确定第一认证请求合法后,向认证计费管理系统发送第一认证请求。
步骤S30,认证鉴权系统接收认证计费管理系统基于第一认证请求返回的第一认证响应,向终端的认证模块发送第一认证响应。
首先,当对终端的身份进行认证时,首先,认证模块获取终端的描述信息,终端的认证模块向认证鉴权系统发送携带终端的描述信息的第一认证请求,认证鉴权系统接收携带终端的描述信息的第一认证请求,对第一认证请求进行合法性验证,当确定第一认证请求合法后,认证鉴权系统向认证计费管理系统发送携带终端的描述信息的第一认证请求,认证计费管理系统接收并基于携带终端的描述信息的第一认证请求,向认证鉴权系统返回第一认证响应,认证鉴权系统接收第一认证响应并向终端的认证模块发送第一认证响应。对于没有通过合法性验证的第一认证请求,则认证鉴权系统不向认证计费管理系统进行转发。
本发明实施例通过在终端内置认证模块,使得该认证模块在进行终端认证时,会自主触发通过预设通道向认证鉴权系统发起认证的过程。认证模块在进行其他认证时,能够根据应用程序的请求通过预设通道向服务端发起认证过程;此时,该认证模块相当于为应用程序提供认证服务的虚拟服务端,从而实现隐藏服务接口,使得认证服务免受攻击。
在一实施方式中,在首次进行注册时,终端的认证模块向认证鉴权系统发送携带终端的MAC地址和第一编号的注册请求,认证鉴权系统接收携带终端的MAC地址和第一编号的注册请求,基于注册请求中的MAC地址和第一编号对终端进行合法性验证,当认证鉴权系统确定该终端合法后,向认证计费管理系统发送携带终端的MAC地址和第一编号的注册请求,认证计费管理系统接收携带终端的MAC地址和第一编号的注册请求,基于注册请求,确定终端的第二编号,向认证鉴权系统返回确定的终端的第二编号,认证鉴权系统接收终端的第二编号并向终端的认证模块发送终端的第二编号。
本发明实施例的终端通过终端的MAC地址和第一编号对终端进行唯一验证,,不再通过输入用户名和密码的方式对终端进行身份认证,不需要泄漏个人信息,保证了用户信息的安全性。本发明实施例通过为不同MAC地址、不同第一编号的终端分配不同的第二编号,这样,认证鉴权系统能够根据携带的不同第二编号的终端发出的业务请求,处理不同的业务请求,分配管理更加方便。
在一实施方式中,在首次注册之后,在登录时,终端的认证模块向认证鉴权系统发送携带终端的第二编号的登陆请求,认证鉴权系统接收登陆请求向认证计费管理系统发送携带终端的第二编号的登陆请求,认证计费管理系统判断是否存储有终端的第二编号,若存储有第二编号,向认证鉴权系统返回终端认证成功消息,若否,认证鉴权系统向终端的认证模块发送终端认证失败消息,终端的认证模块接收终端的认证成功消息或认证失败消息。终端认证成功消息表示该终端已经分配第二编号且第二编号存储在编号列表中,表示该终端为合法终端。终端认证失败消息表示该终端未分配第二编号,表示该终端为非法终端。
本发明实施例解决了现有技术中用户在注册时或者登录时需要输入用户名和密码的问题,本发明在登录时只需要携带第二编号即可,不再需要输入用户的个人信息,保证了用户的个人信息的安全性。
在一实施方式中,终端的认证模块记录首次向认证鉴权系统发送的请求注册中携带的MAC地址,并将所述MAC地址作为合法MAC地址。
具体地,终端的认证模块在首次向认证鉴权系统发送的注册请求中携带的MAC地址,终端的认证模块会记录首次请求注册的MAC地址,并将该MAC地址作为合法MAC地址,当终端的认证模块再次向认证鉴权系统发送的注册请求中携带的为其他MAC地址(非首次请求注册的MAC地址)时,将该注册请求作为非法注册请求并中止注册操作。
本发明实施例通过终端的认证模块记录第一次请求注册的MAC地址,此后终端再用其他的MAC地址进行注册时,将会作为非法注册请求中止注册操作。
图6是本发明实施例六提供的一种终端的身份认证方法的流程图。
如图6所示,在本发明实施例五的基础上,本发明实施例六提供的一种终端的身份认证方法,还包括:
步骤S40,认证鉴权系统接收终端的认证模块通过socket加密通道发送的携带终端的描述信息和数据请求的第二认证请求,其中,数据请求是终端的认证模块从接收到的终端包括的应用程序发送的HTTP协议请求中解析出的;描述信息是终端的认证模块在接收到HTTP协议请求后获取的。
步骤S50,认证鉴权系统对第二认证请求进行合法性验证,当确定第二认证请求合法后,向认证计费管理系统发送第二认证请求。
步骤S60,认证鉴权系统接收认证计费管理系统基于第二认证请求返回的携带请求的数据的第二认证响应,向终端的认证模块发送第二认证响应,用于终端的认证模块将获取的请求的数据发送给应用程序。
具体地,终端包括的应用程序向终端的认证模块发送HTTP协议请求,终端的认证模块接收应用程序发送的HTTP协议请求,在接收到HTTP协议请求后,从接收到的HTTP协议请求中解析出数据请求,以及获取终端的描述信息,进一步通过socket加密通道,向认证鉴权系统发送携带终端的描述信息和数据请求的第二认证请求,认证鉴权系统接收第二认证请求,对第二认证请求进行合法性验证,在第二认证请求验证合格后向认证计费管理系统发送第二认证请求,认证计费管理系统接收第二认证请求,基于第二认证请求提取第二认证请求所要请求的数据,向认证鉴权系统返回携带请求的数据的第二认证响应,认证鉴权系统接收携带请求的数据的第二认证响应向终端的认证模块发送携带请求的数据的第二认证响应,终端的认证模块接收到携带请求的数据的第二认证响应后将数据发送给应用程序,认证模块将获取的请求的数据发送给应用程序。
本发明实施例在终端嵌入HTTP服务得到认证模块,当终端的应用程序发出HTTP协议请求时,终端调用认证模块,由终端的认证模块在调用认证鉴权系统实现用户认证和信息的获取,而认证模块和认证鉴权系统之间的信息传递经过加密处理,这样避免了向外公开认证服务的接口地址,而且认证模块和认证鉴权系统间信息传递经过加密处理,从而杜绝了非法请求造成的对服务器的影响,使认证服务更加安全。
图7是本发明实施例七提供的一种终端的身份认证方法的流程图。
如图7所示,本发明实施例七提供的一种终端的身份认证方法,应用于认证计费管理系统,包括:
步骤S110,认证计费管理系统接收认证鉴权系统发送的携带终端的描述信息的第一认证请求,其中,第一认证请求是认证鉴权系统在对接收到的终端的认证模块发送的第一认证请求进行合法性验证后发送给认证计费管理系统的。
步骤S120,认证计费管理系统基于第一认证请求,向认证鉴权系统返回第一认证响应,其中,第一认证响应是认证鉴权系统基于第一认证请求发送给终端的认证模块的。
具体地,当对终端的身份进行认证时,认证模块获取终端的描述信息,向认证鉴权系统发送携带终端的描述信息的第一认证请求,认证鉴权系统接收终端的认证模块发送的携带终端的描述信息的第一认证请求,对第一认证请求进行合法性验证,当确定第一认证请求合法后,向认证计费管理系统发送第一认证请求,认证计费管理系统接收第一认证请求,并基于第一认证请求,向认证鉴权系统返回第一认证响应,认证鉴权系统接收第一认证响应并向终端的认证模块发送第一认证响应。
本发明实施例在终端发出认证请求时,通过终端嵌入的认证模块来处理,认证鉴权系统接收到终端的认证模块发送的认证请求后,对用户进行认证,而认证模块是嵌入终端的HTTP服务,终端调用认证模块,由终端的认证模块在调用认证鉴权系统实现用户认证和信息的获取,而认证模块和认证鉴权系统之间的信息传递经过加密处理,这样避免了向外公开认证服务的接口地址,而且认证模块和认证鉴权系统间信息传递经过加密处理,从而杜绝了非法请求造成的对核心服务器的影响,使认证服务更加安全。
图8是本发明实施例八提供的一种终端的身份认证方法的流程图。
如图8所示,本发明实施例八提供的一种终端的身份认证方法,步骤S110,认证计费管理系统接收认证鉴权系统发送的携带终端的描述信息的第一认证请求,进一步包括:
步骤S111,认证计费管理系统接收认证鉴权系统发送的携带终端的MAC地址和第一编号的注册请求;其中,终端的第一编号包括:能够指示所述终端的类型、厂商、生产批次、权限级别、支持的业务类型、处理器芯片参数和操作系统参数中的至少一种参数的信息。
步骤S120,认证计费管理系统基于第一认证请求,向认证鉴权系统返回第一认证响应,进一步包括:
步骤S121,认证计费管理系统基于注册请求确定终端的第二编号,向认证鉴权系统返回确定的终端的第二编号。
具体地,在首次进行注册时,终端的认证模块向认证鉴权系统发送携带终端的MAC地址和第一编号的注册请求,认证鉴权系统接收携带终端的MAC地址和第一编号的注册请求,基于注册请求中的MAC地址和第一编号对终端进行合法性验证,当认证鉴权系统确定该终端合法后,向认证计费管理系统发送携带终端的MAC地址和第一编号的注册请求,认证计费管理系统接收携带终端的MAC地址和第一编号的注册请求,基于注册请求,确定终端的第二编号,向认证鉴权系统返回确定的终端的第二编号,认证鉴权系统接收终端的第二编号并向终端的认证模块发送终端的第二编号。
本发明实施例的终端通过携带第二编号即可完成对终端身份进行认证,不再通过输入用户名和密码的方式对终端进行身份认证,不需要泄漏个人信息,保证了用户信息的安全性。本发明实施例通过为不同MAC地址、不同第一编号的终端分配不同的第二编号,这样,认证鉴权系统能够根据携带的不同第二编号的终端发出的业务请求,处理不同的业务请求,分配管理更加方便。
为了提高分配效率,减少分配时间,优选的是,在步骤S121:认证计费管理系统返回确定的终端的第二编号之前,还包括:将待用编号数据库中的至少一部分编号加载到缓存中。加载的时间可以是认证计费管理系统启动时,或每间隔预定时间周期加载一次或实时加载,用户可以根据具体需要进行设定。这样,认证计费管理系统在分配第二编号时,可以直接从缓存中取,不需要去待用编号数据库取,提高了分配效率,节省了分配时间。
需要说明的是:待用编号数据库包括:多个编号以及与每个编号对应的使用状态,使用状态包括:失效状态和未失效状态,失效状态表示该编号已经被使用,未失效状态表示该编号未被使用。待用编号数据库中存储了所有预先生成的编号,缓存中只缓存了待用编号数据库中的一部分或全部的编号。
本发明实施例为了提高分配效率,预先在缓存中存储一定数量的编号,这样在接收到终端的注册请求时,可以直接从缓存中取编号进行分配,不需要再去待用编号数据库中取,提高了分配效率。
为了解决编号不唯一的问题,本发明将编号预先生成,当接收到终端的注册请求时,直接从缓存中取编号即可,不需要认证计费管理系统根据注册请求随机生成,采用这种预先生成主动分配的方式,能够解决现有技术中随机生成编号不唯一的问题。
优选的是,步骤S121:认证计费管理系统确定终端的第二编号,进一步包括:
步骤S1211,认证计费管理系统根据注册请求中携带的终端的MAC地址和第一编号,从缓存中选择分配给终端的第二编号。
在实际使用时,可以预先在待用编号数据库中预先生成编号。在选择分配编号时,可以直接从待用编号数据库中取编号进行分配,也可以采用本发明的前述技术方案将待用编号数据库中的编号加载到缓存中,在选择分配编号时,直接从缓存中取编号进行分配。
如果是先加载到缓存中在进行选择分配,则要保证缓存中存储一定量的编号,编号的具体数量用户可以根据需要作调整。
本发明在待用编号数据库中预先生成编号的目的是保证全网的客户端在进行登录时携带的第二编号的唯一性。为了保证全网的客户端进行登录时携带的第二编号的唯一性,可以将编号按照一定的生成规则生成供选择分配的编号的唯一性。例如,按照顺序递增的规则或顺序递减的规则等生成编号,只要能够保证编号的唯一性即可。
为了节省存储空间,优选的是,在步骤S121:认证计费管理系统从缓存中选择分配给终端的第二编号之后,还包括:步骤S122,认证计费管理系统清除缓存中的第二编号,并将待用编号数据库中的第二编号的使用状态标记为失效。
为了提高检索性能,对于已经分配的第二编号进行定时转存,优选的是,在步骤S122,认证计费管理系统将待用编号数据库中的第二编号的使用状态标记为失效之后,还包括:步骤S123,认证计费管理系统每隔预定时间周期将待用编号数据库中处于失效状态的编号转存至已用编号数据库中。
优选的是,在步骤S121:认证计费管理系统确定终端的第二编号之后,还包括:步骤S124,认证计费管理系统将MAC地址、第一编号与第二编号关联存储。
图9是本发明实施例九提供的一种终端的身份认证方法的流程图。
如图9所示,在本发明实施例八的基础上,本发明实施例九提供的一种终端的身份认证方法,在步骤S121:认证计费管理系统从缓存中选择分配给终端的第二编号之后,还包括:
步骤S131,认证计费管理系统统计缓存中的编号的数量。
步骤S132,认证计费管理系统比较缓存中的编号的数量与编号数量阈值的大小,其中,编号数量阈值为缓存中保存的编号的最低数量。
步骤S133,在缓存中的编号的数量小于编号数量阈值时,认证计费管理系统从待用编号数据库中加载相应数量的编号到缓存中,使得缓存中的编号的数量不小于编号数量阈值。
为了避免一段时间内因注册用户过多造成不能分配到第二编号的情况,优选的是,认证计费管理实时统计缓存中的编号的数量,比较缓存中的编号的数量与编号数量阈值的大小,若缓存中的编号的数量小于编号数量阈值,则认证计费管理系统从待用编号数据库中调取相应数量的编号放入缓存中,使得缓存中缓存的编号的数量等于编号数量阈值,实现了缓存中能够始终保持一定数量的编号的目的。若缓存中的编号的数量不小于编号数量阈值,则不进行加载操作。图10是本发明实施例十提供的一种终端的身份认证方法的流程图。
如图10所示,在实施例八的基础上,本发明实施例十提供的一种终端的身份认证方法,在步骤S121:认证计费管理系统向认证鉴权系统返回确定的终端的第二编号之后,还包括:
步骤S141,认证计费管理系统接收认证鉴权系统发送的携带终端的第二编号的登录请求。
步骤S142,认证计费管理系统判断是否存储有终端的第二编号,若存储有第二编号,则向认证鉴权系统返回认证成功消息。
步骤S143,否则,向认证鉴权系统返回认证失败消息。
具体地,在首次注册之后,在登录时,终端的认证模块向认证鉴权系统发送携带终端的第二编号的登陆请求,认证鉴权系统接收登陆请求向认证计费管理系统发送携带终端的第二编号的登陆请求,认证计费管理系统判断是否存储有终端的第二编号,若存储有第二编号,向认证鉴权系统返回终端认证成功消息,若否,认证鉴权系统向终端的认证模块发送终端认证失败消息,终端的认证模块接收终端的认证成功消息或认证失败消息。终端认证成功消息表示该终端已经分配第二编号且第二编号存储在编号列表中,表示该终端为合法终端。终端认证失败消息表示该终端未分配第二编号,表示该终端为非法终端。
图11是本发明实施例十一提供的一种终端的认证模块的结构示意图。
如图11所示,本发明实施例十一提供的一种终端101,终端101包括认证模块110,认证模块110包括:
获取单元111,用于获取终端的描述信息。
第一发送单元112与获取单元111连接,用于向认证鉴权系统发送携带终端的描述信息的第一认证请求,其中,第一认证请求是认证鉴权系统在对第一认证请求进行合法性验证后发送给认证计费管理系统的。
第一接收单元113与第一发送单元112连接,用于接收认证鉴权系统基于第一认证请求返回的第一认证响应,其中,第一认证响应是认证计费管理系统基于第一认证请求发送给认证鉴权系统的。
本发明实施例通过在终端内置用于认证的认证模块,该认证模块在注册或登录认证时,能够自主触发通过预设通道向认证鉴权系统发起认证的过程。认证模块在进行其他认证时,能够根据应用程序的请求通过预设通道向服务端发起认证过程;此时,该认证模块相当于为应用程序提供认证服务的虚拟服务端,从而实现隐藏服务接口,使得认证服务免受攻击。
图12是本发明实施例十二提供的一种终端的认证模块的结构示意图。
如图12所示,本发明实施例十二提供的第一发送单元112包括:
第一发送子单元1121,用于向认证鉴权系统发送携带终端的MAC地址和第一编号的注册请求;其中,终端的第一编号包括:能够指示终端的类型、厂商、生产批次、权限级别、支持的业务类型、处理器芯片参数和操作系统参数中的至少一种参数的信息。
第一接收单元113包括:第一接收子单元1131与第一发送子单元1121连接,用于接收认证鉴权系统基于注册请求返回的终端的第二编号。
本发明实施例的终端通过终端的MAC地址和第一编号对终端进行唯一验证,不再通过输入用户名和密码的方式对终端进行身份认证,不需要泄漏个人信息,保证了用户信息的安全性。本发明实施例通过为不同MAC地址、不同第一编号的终端分配不同的第二编号,这样,认证鉴权系统能够根据携带的不同第二编号的终端发出的业务请求,处理不同的业务请求,分配管理更加方便。
如图12所示,本发明实施例十二提供的一种终端101的认证模块110,
第一发送单元112还包括:第二发送子单元1122与第一接收子单元1131连接,用于向认证鉴权系统发送携带终端的第二编号的登陆请求;
所述第一接收单元113还包括:第二接收子单元1132与第二发送子单元1122连接,用于接收认证鉴权系统基于登陆请求返回的终端认证成功消息,或终端认证失败消息。
本发明实施例解决了现有技术中用户在注册时或者登录时需要输入用户名和密码的问题,本发明在登录时只需要携带第二编号即可,不再需要输入用户的个人信息,保证了用户的个人信息的安全性。
如图12所示,本发明实施例十二提供的一种终端101的认证模块110,还包括:
记录单元118与第一发送子单元1121连接,用于记录与第一发送子单元1121首次向认证鉴权系统发送的注册请求中携带的终端的MAC地址,将该MAC地址作为合法MAC地址。
本发明实施例通过终端的认证模块记录第一次请求注册的MAC地址,此后终端再用其他的MAC地址进行注册时,将会作为非法注册请求中止注册操作。
图13是本发明实施例十三提供的一种终端的认证模块的结构示意图。
如图13所示,本发明实施例十三提供的一种终端101的认证模块110还包括:
第二接收单元115,用于接收终端包括的应用程序发送的HTTP协议请求。
解析单元116与第二接收单元115连接,用于在接收到HTTP协议请求后,从接收到的HTTP协议请求中解析出数据请求,以及获取终端的描述信息。
第二发送单元117与解析单元116连接,用于通过socket加密通道,向认证鉴权系统发送携带终端的描述信息和数据请求的第二认证请求,其中,第二认证请求是认证鉴权系统在对第二认证请求进行合法性验证后发送给认证计费管理系统的。
第三接收单元118与第二发送单元117连接,用于接收认证鉴权系统基于所述第二认证请求返回的携带请求的数据的第二认证响应,其中,第二认证响应是认证计费管理系统基于第二认证请求发送给认证鉴权系统的。
第三发送单元119与第三接收单元118连接,用于将获取的请求的数据发送给应用程序。
本发明实施例在终端嵌入HTTP服务得到认证模块,当终端的应用程序发出HTTP协议请求时,终端调用认证模块,由终端的认证模块在调用认证鉴权系统实现用户认证和信息的获取,而认证模块和认证鉴权系统之间的信息传递经过加密处理,这样避免了向外公开认证服务的接口地址,而且认证模块和认证鉴权系统间信息传递经过加密处理,从而杜绝了非法请求造成的对服务器的影响,使认证服务更加安全。
图14是本发明实施例十四提供的一种认证鉴权系统130的结构示意图。
如图14所示,本发明实施例十四提供的一种认证鉴权系统130包括:
第四接收单元131,用于接收终端的认证模块发送的携带终端的描述信息的第一认证请求,其中,描述信息是终端的认证模块获取的;
第一验证单元132与第四接收单元131连接,用于对第一认证请求进行合法性验证,当确定第一认证请求合法后,向认证计费管理系统发送第一认证请求;
第五接收单元133与第一验证单元132连接,用于接收认证计费管理系统基于第一认证请求返回的第一认证响应,向终端的认证模块发送第一认证响应。
本发明实施例在终端发出认证请求时,通过终端嵌入的认证模块来处理,认证鉴权系统接收到终端的认证模块发送的认证请求后,对用户进行认证,而认证模块是嵌入终端的HTTP服务,终端调用认证模块,由终端的认证模块在调用认证鉴权系统实现用户认证和信息的获取,而认证模块和认证鉴权系统之间的信息传递经过加密处理,这样避免了向外公开认证服务的接口地址,而且认证模块和认证鉴权系统间信息传递经过加密处理,从而杜绝了非法请求造成的对核心服务器的影响,使认证服务更加安全。
图15是本发明实施例十五提供的一种认证鉴权系统的结构示意图。
如图15所示,本发明实施例十五提供的一种认证鉴权系统130,还包括:
第六接收单元134,用于接收终端的认证模块通过socket加密通道发送的携带终端的描述信息和数据请求的第二认证请求,其中,数据请求是终端的认证模块从接收到的终端包括的应用程序发送的HTTP协议请求中解析出的,描述信息是终端的认证模块在接收到HTTP协议请求后获取的。
分配子模块135与第六接收单元134连接,用于对第二认证请求进行合法性验证,当确定第二认证请求合法后,向认证计费管理系统发送第二认证请求。
第七接收单元136与第二验证单元135连接,用于接收认证计费管理系统基于第二认证请求返回的携带请求的数据的第二认证响应,向终端的认证模块发送第二认证响应,用于终端的认证模块将获取的请求的数据发送给应用程序。
本发明实施例通过在终端中嵌入HTTP服务得到认证模块,认证模块调用认证鉴权系统的认证服务和认证计费管理系统的认证计费服务,终端调用通过127.0.0.1的IP请求认证模块,通过socket加密通道向认证鉴权系统请求认证服务,其他的IP请求都作为非法请求处理,这样可以避开对服务器的非法攻击从而使得服务器认证的资源损耗。
图16是本发明实施例十六提供的一种认证计费管理系统的结构示意图。
如图16所示,本发明实施例十六提供的一种认证计费管理系统140包括:
第八接收单元141,用于接收认证鉴权系统发送的携带终端的描述信息的第一认证请求,其中,第一认证请求是认证鉴权系统在对第一认证请求进行合法性验证后发送给认证计费管理系统的。
第一返回单元142与第八接收单元141连接,用于基于第一认证请求,向认证鉴权系统返回第一认证响应,其中,所述第一认证响应是认证鉴权系统基于第一认证请求发送给终端的认证模块的。
本发明实施例通过在终端内置用于认证的认证模块,该认证模块在注册或登录认证时,能够自主触发通过预设通道向认证鉴权系统发起认证的过程。认证模块在进行其他认证时,能够根据应用程序的请求通过预设通道向服务端发起认证过程;此时,该认证模块相当于为应用程序提供认证服务的虚拟服务端,从而实现隐藏服务接口,使得认证服务免受攻击。
图17是本发明实施例十七提供的一种认证计费管理系统的结构示意图。
如图17所示,在上述实施例十六的基础上,本发明实施例十七提供的一种认证计费管理系统140,第八接收单元141包括:
第八接收子单元1411,用于接收认证鉴权系统发送的携带终端的MAC地址和第一编号的注册请求;其中,终端的第一编号包括:能够指示所述终端的类型、厂商、生产批次、权限级别、支持的业务类型、处理器芯片参数和操作系统参数中的至少一种参数的信息。
第一返回单元142包括:
确定子单元1421与第八接收子单元1411连接,用于基于注册请求,确定终端的第二编号,向认证鉴权系统返回确定的终端的第二编号。
如图17所示,本发明实施例十八提供的一种认证计费管理系统140,还包括:
加载单元143与确定子单元1421连接,用于在确定终端的第二编号之前,将待用编号数据库中的至少一部分编号加载到缓存中。
图18是本发明实施例十八提供的确定子单元1421的结构示意图。
如图18所示,本发明实施例十八提供的一种确定子单元1421包括:
分配子模块14211与第八接收子单元1411连接,用于根据注册请求中携带的终端的MAC地址和第一编号,从缓存中选择分配给终端的第二编号。
处理子模块14212与分配子模块14211连接,用于在分配子模块14211从缓存中选择分配给终端的第二编号之后,清除缓存中的第二编号,并将待用编号数据库中的第二编号的使用状态标记为失效。
转移子模块14213与处理子模块14212连接,用于在处理子模块14212将待用编号数据库中的第二编号的使用状态标记为失效之后,每隔预定时间周期将待用编号数据库中处于失效状态的编号转存至已用编号数据库中。
统计子模块14214与分配子模块14211连接,用于在分配子模块14211从缓存中选择分配给终端的第二编号之后,统计缓存中的编号的数量。
比较子模块14215分别与统计子模块14214和加载单元143连接,用于比较缓存中的编号的数量与编号数量阈值的大小;在缓存中的编号的数量小于编号数量阈值时,调用加载单元143从待用编号数据库中加载相应数量的编号到缓存中,使得缓存中的编号的数量不小于编号数量阈值。
为了避免一段时间内因注册用户过多造成不能取到第二编号的情况,优选的是,认证计费管理实时统计缓存中的编号的数量,比较缓存中的编号的数量与编号数量阈值的大小,若缓存中的编号的数量小于编号数量阈值,则认证计费管理系统从待用编号数据库中调取相应数量的编号放入缓存中,使得缓存中缓存的编号的数量不小于编号数量阈值。
图19是本发明实施例十九提供的一种认证计费管理系统的结构示意图。
如图19所示,本发明实施例十九提供的一种认证计费管理系统140还包括:
关联单元144与确定子单元1421连接,用于在确定子单元1421确定终端的第二编号之后,将MAC地址、第一编号与第二编号关联存储。
第九接收单元145与确定子单元1421连接,用于在确定子单元1421向认证鉴权系统返回确定的终端的第二编号之后,接收认证鉴权系统发送的携带终端的第二编号的登录请求;
判断单元146与第九接收单元145和第一返回单元142连接,用于判断是否存储有终端的第二编号,若存储有第二编号,则调用第一返回单元142向所述认证鉴权系统返回认证成功消息;否则,调用所述第一返回单元142向所述认证鉴权系统返回认证失败消息。
图20是本发明实施例二十提供的一种终端的身份认证系统的结构示意图。
如图20所示,本发明实施例二十提供的一种终端的身份认证系统,包括:上述的终端101、上述的认证鉴权系统130、上述的认证计费管理系统140以及与认证计费管理系统140相关联的待用编号数据库150。
在一实施方式中,还包括与待用编号数据库150相关联的已用编号数据库。
需要说明的是:数据库是指以一定关系存储在一起、能够为多个用户共享、具有尽可能小的冗余度、与应用程序彼此独立的数据集合。分为关系型数据库(采用关系模型来组织数据)和非关系型数据库(某一格式的数据结构来组织数据,数据间没有关系或者关系很小)。目前主流的关系型数据库有MySQL、SQL Server、Oracle和dBASE等等,非关系型数据库有NoSQL、BigTable、MongoDB等。本发明中即对主流的关系型数据库做了解决方案,同时又为非关系型数据库预留了扩展接口。
如前所述,详细介绍了一种终端的身份认证方法、终端、认证鉴权系统、认证计费管理系统和终端的身份认证系统,本发明在终端内置用于认证的认证模块,认证模块在注册或登录认证时,能够自主触发通过预设通道向服务端发起认证的过程;认证模块在进行其他认证时,能够根据应用程序的请求通过预设通道向服务端发起认证过程;此时,该认证模块相当于为该应用程序提供认证服务的虚拟服务端,从而实现隐藏服务接口,采用预设通道方式来保护服务免受攻击。
应当理解的是,本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理,而不构成对本发明的限制。因此,在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。此外,本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。

Claims (23)

1.一种终端的身份认证方法,应用于终端,所述终端包括认证模块,其特征在于,所述方法包括:
所述认证模块获取所述终端的描述信息;
所述认证模块向认证鉴权系统发送携带所述终端的描述信息的第一认证请求,其中,所述第一认证请求是所述认证鉴权系统在对所述第一认证请求进行合法性验证后发送给认证计费管理系统的;
所述认证模块接收所述认证鉴权系统基于所述第一认证请求返回的第一认证响应,其中,所述第一认证响应是所述认证计费管理系统基于所述第一认证请求发送给所述认证鉴权系统的。
2.根据权利要求1所述的方法,其特征在于,所述认证模块向认证鉴权系统发送携带所述终端的描述信息的第一认证请求,包括:
所述认证模块向认证鉴权系统发送携带所述终端的MAC地址和第一编号的注册请求;其中,所述终端的第一编号包括:能够指示所述终端的类型、厂商、生产批次、权限级别、支持的业务类型、处理器芯片参数和操作系统参数中的至少一种参数的信息;
所述认证模块接收所述认证鉴权系统基于所述第一认证请求返回的第一认证响应,包括:
所述认证模块接收所述认证鉴权系统基于所述注册请求返回的所述终端的第二编号。
3.根据权利要求2所述的方法,其特征在于,所述认证模块向认证鉴权系统发送携带所述终端的描述信息的第一认证请求,包括:
所述认证模块向认证鉴权系统发送携带所述终端的第二编号的登陆请求;
所述认证模块接收所述认证鉴权系统基于所述第一认证请求返回的第一认证响应,包括:
所述认证模块接收所述认证鉴权系统基于所述登陆请求返回的终端认证成功消息,或终端认证失败消息。
4.根据权利要求2所述的方法,其特征在于,所述方法还包括:
所述认证模块记录首次向认证鉴权系统发送的注册请求中携带的MAC地址,并将所述MAC地址作为合法MAC地址。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述认证模块接收所述终端包括的应用程序发送的HTTP协议请求;
所述认证模块在接收到所述HTTP协议请求后,从接收到的所述HTTP协议请求中解析出数据请求,以及获取所述终端的描述信息;
所述认证模块通过socket加密通道,向所述认证鉴权系统发送携带所述终端的描述信息和所述数据请求的第二认证请求,其中,所述第二认证请求是所述认证鉴权系统在对所述第二认证请求进行合法性验证后发送给认证计费管理系统的;
所述认证模块接收所述认证鉴权系统基于所述第二认证请求返回的携带请求的数据的第二认证响应,其中,所述第二认证响应是所述认证计费管理系统基于所述第二认证请求发送给所述认证鉴权系统的;
所述认证模块将获取的所述请求的数据发送给所述应用程序。
6.一种终端的身份认证方法,应用于认证鉴权系统,其特征在于,所述方法包括:
所述认证鉴权系统接收终端的认证模块发送的携带所述终端的描述信息的第一认证请求,其中,所述描述信息是所述终端的认证模块获取的;
所述认证鉴权系统对所述第一认证请求进行合法性验证,当确定所述第一认证请求合法后,向认证计费管理系统发送所述第一认证请求;
所述认证鉴权系统接收所述认证计费管理系统基于所述第一认证请求返回的第一认证响应,向所述终端的认证模块发送所述第一认证响应。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
所述认证鉴权系统接收所述终端的认证模块通过socket加密通道发送的携带所述终端的描述信息和数据请求的第二认证请求;其中,所述数据请求是所述终端的认证模块从接收到的所述终端包括的应用程序发送的HTTP协议请求中解析出的;所述描述信息是所述终端的认证模块在接收到所述HTTP协议请求后获取的;
所述认证鉴权系统对所述第二认证请求进行合法性验证,当确定所述第二认证请求合法后,向所述认证计费管理系统发送所述第二认证请求;
所述认证鉴权系统接收所述认证计费管理系统基于所述第二认证请求返回的携带请求的数据的第二认证响应,向所述终端的认证模块发送所述第二认证响应,用于所述终端的认证模块将获取的所述请求的数据发送给所述应用程序。
8.一种终端的身份认证方法,应用于认证计费管理系统,其特征在于,所述方法包括:
所述认证计费管理系统接收认证鉴权系统发送的携带终端的描述信息的第一认证请求,其中,所述第一认证请求是所述认证鉴权系统在对接收到的终端的认证模块发送的所述第一认证请求进行合法性验证后发送给所述认证计费管理系统的;
所述认证计费管理系统基于所述第一认证请求,向所述认证鉴权系统返回第一认证响应,其中,所述第一认证响应是所述认证鉴权系统基于所述第一认证请求发送给所述终端的认证模块的。
9.根据权利要求8所述的方法,其特征在于,所述认证计费管理系统接收所述认证鉴权系统发送的携带所述终端的描述信息的第一认证请求,包括:
所述认证计费管理系统接收所述认证鉴权系统发送的携带所述终端的MAC地址和第一编号的注册请求;其中,所述终端的第一编号包括:能够指示所述终端的类型、厂商、生产批次、权限级别、支持的业务类型、处理器芯片参数和操作系统参数中的至少一种参数的信息;
所述认证计费管理系统基于所述第一认证请求,向所述认证鉴权系统返回第一认证响应,包括:
所述认证计费管理系统基于所述注册请求,确定所述终端的第二编号,向所述认证鉴权系统返回确定的所述终端的第二编号;
所述认证计费管理系统确定所述终端的第二编号之前,还包括:
所述认证计费管理系统将待用编号数据库中的至少一部分编号加载到所述认证计费管理系统的缓存中;
所述认证计费管理系统确定所述终端的第二编号,包括:
所述认证计费管理系统根据所述注册请求中携带的所述终端的MAC地址和第一编号,从所述缓存中选择分配给所述终端的第二编号。
10.根据权利要求9所述的方法,其特征在于,所述认证计费管理系统从所述缓存中选择分配给所述终端的第二编号之后,还包括:
所述认证计费管理系统清除所述缓存中的所述第二编号,并将所述待用编号数据库中的所述第二编号的使用状态标记为失效;
所述认证计费管理系统将待用编号数据库中的所述第二编号的使用状态标记为失效之后,还包括:
所述认证计费管理系统每隔预定时间周期将所述待用编号数据库中处于失效状态的编号转存至已用编号数据库中;
所述认证计费管理系统从所述缓存中选择分配给所述终端的第二编号之后,还包括:
所述认证计费管理系统统计所述缓存中的编号的数量;
所述认证计费管理系统比较所述缓存中的编号的数量与编号数量阈值的大小,在所述缓存中的编号的数量小于所述编号数量阈值时,从所述待用编号数据库中加载相应数量的编号到所述缓存中,使得所述缓存中的编号的数量不小于所述编号数量阈值。
11.根据权利要求9-10中任一项所述的方法,其特征在于,所述认证计费管理系统确定所述终端的第二编号之后,还包括:
所述认证计费管理系统将所述MAC地址、第一编号与所述第二编号关联存储;
所述认证计费管理系统向所述认证鉴权系统返回确定的所述终端的第二编号之后,还包括:
所述认证计费管理系统接收所述认证鉴权系统发送的携带所述终端的第二编号的登录请求;
所述认证计费管理系统判断是否存储有所述终端的第二编号,若存储有所述第二编号,则向所述认证鉴权系统返回认证成功消息;否则,向所述认证鉴权系统返回认证失败消息。
12.一种终端(101),其特征在于,所述终端(101)包括认证模块(110),所述认证模块(110)包括:
获取单元(111),用于获取所述终端的描述信息;
第一发送单元(112),用于向认证鉴权系统发送携带所述终端的描述信息的第一认证请求,其中,所述第一认证请求是所述认证鉴权系统在对所述第一认证请求进行合法性验证后发送给认证计费管理系统的;
第一接收单元(113),用于接收所述认证鉴权系统基于所述第一认证请求返回的第一认证响应,其中,所述第一认证响应是所述认证计费管理系统基于所述第一认证请求发送给所述认证鉴权系统的。
13.根据权利要求12所述的终端(101),其特征在于,所述第一发送单元(112)包括:
第一发送子单元(1121),用于向认证鉴权系统发送携带所述终端的MAC地址和第一编号的注册请求;其中,所述终端的第一编号包括:能够指示所述终端的类型、厂商、生产批次、权限级别、支持的业务类型、处理器芯片参数和操作系统参数中的至少一种参数的信息;
所述第一接收单元(113)包括:
第一接收子单元(1131),用于接收所述认证鉴权系统基于所述注册请求返回的所述终端的第二编号。
14.根据权利要求13所述的终端(101),其特征在于,所述第一发送单元(112)还包括:
第二发送子单元(1122),用于向认证鉴权系统发送携带所述终端的第二编号的登陆请求;
所述第一接收单元(113)还包括:第二接收子单元(1132),用于接收所述认证鉴权系统基于所述登陆请求返回的终端认证成功消息,或终端认证失败消息。
15.根据权利要求13所述的终端(101),其特征在于,所述认证模块(110)还包括:
记录单元(114),用于记录所述第一发送子单元(1121)首次向认证鉴权系统发送的注册请求中携带的MAC地址,并将所述MAC地址作为合法MAC地址。
16.根据权利要求12所述的终端(101),其特征在于,所述认证模块(110)还包括:
第二接收单元(115),用于接收所述终端包括的应用程序发送的HTTP协议请求;
解析单元(116),用于在接收到所述HTTP协议请求后,从接收到的所述HTTP协议请求中解析出数据请求,以及获取所述终端的描述信息;
第二发送单元(117),用于通过socket加密通道,向所述认证鉴权系统发送携带所述终端的描述信息和所述数据请求的第二认证请求,其中,所述第二认证请求是所述认证鉴权系统在对所述第二认证请求进行合法性验证后发送给认证计费管理系统的;
第三接收单元(118),用于接收所述认证鉴权系统基于所述第二认证请求返回的携带请求的数据的第二认证响应,其中,所述第二认证响应是所述认证计费管理系统基于所述第二认证请求发送给所述认证鉴权系统的;
第三发送单元(119),用于将获取的所述请求的数据发送给所述应用程序。
17.一种认证鉴权系统(130),其特征在于,所述认证鉴权系统(130)包括:
第四接收单元(131),用于接收终端的认证模块发送的携带所述终端的描述信息的第一认证请求,其中,所述描述信息是所述终端的认证模块获取的;
第一验证单元(132),用于对所述第一认证请求进行合法性验证,当确定所述第一认证请求合法后,向认证计费管理系统发送所述第一认证请求;
第五接收单元(133),用于接收所述认证计费管理系统基于所述第一认证请求返回的第一认证响应,向所述终端的认证模块发送所述第一认证响应。
18.根据权利要求17所述的认证鉴权系统(130),其特征在于,所述认证鉴权系统(130)还包括:
第六接收单元(134),用于接收所述终端的认证模块通过socket加密通道发送的携带所述终端的描述信息和数据请求的第二认证请求,其中,所述数据请求是所述终端的认证模块从接收到的所述终端包括的应用程序发送的HTTP协议请求中解析出的,所述描述信息是所述终端的认证模块在接收到所述HTTP协议请求后获取的;
第二验证单元(135),用于对所述第二认证请求进行合法性验证,当确定所述第二认证请求合法后,向所述认证计费管理系统发送所述第二认证请求;
第七接收单元(136),用于接收所述认证计费管理系统基于所述第二认证请求返回的携带请求的数据的第二认证响应,向所述终端的认证模块发送所述第二认证响应,用于所述终端的认证模块将获取的所述请求的数据发送给所述应用程序。
19.一种认证计费管理系统(140),其特征在于,所述认证计费管理系统(140)包括:
第八接收单元(141),用于接收认证鉴权系统发送的携带终端的描述信息的第一认证请求,其中,所述第一认证请求是所述认证鉴权系统在对接收到的终端的认证模块发送的所述第一认证请求进行合法性验证后发送给所述认证计费管理系统的;
第一返回单元(142),用于基于所述第一认证请求,向所述认证鉴权系统返回第一认证响应,其中,所述第一认证响应是所述认证鉴权系统基于所述第一认证请求发送给所述终端的认证模块的。
20.根据权利要求19所述的认证计费管理系统(140),其特征在于,所述第八接收单元(141)包括:
所述第八接收子单元(1411),用于接收所述认证鉴权系统发送的携带所述终端的MAC地址和第一编号的注册请求;其中,所述终端的第一编号包括:能够指示所述终端的类型、厂商、生产批次、权限级别、支持的业务类型、处理器芯片参数和操作系统参数中的至少一种参数的信息;所述第一返回单元(142)包括:
确定子单元(1421),用于基于所述注册请求,确定所述终端的第二编号,向所述认证鉴权系统返回确定的所述终端的第二编号;
所述认证计费管理系统(140)还包括:
加载单元(143),用于在确定所述终端的第二编号之前,将待用编号数据库中的至少一部分编号加载到缓存中;
所述确定子单元(1421)包括:
分配子模块(14211),用于根据所述注册请求中携带的所述终端的MAC地址和第一编号,从所述缓存中选择分配给所述终端的第二编号。
21.根据权利要求20所述的认证计费管理系统(140),其特征在于,所述确定子单元(1421)还包括:
处理子模块(14212),用于在所述分配子模块(14211)从缓存中选择分配给所述终端的第二编号之后,清除所述缓存中的所述第二编号,并将所述待用编号数据库中的所述第二编号的使用状态标记为失效;转移子模块(14213),用于在所述处理子模块(14212)将待用编号数据库中的所述第二编号的使用状态标记为失效之后,每隔预定时间周期将所述待用编号数据库中处于失效状态的编号转存至已用编号数据库中;
统计子模块(14214),用于在所述分配子模块(14211)从缓存中选择分配给所述终端的第二编号之后,统计所述缓存中的编号的数量;
比较子模块(14215),用于比较所述缓存中的编号的数量与编号数量阈值的大小;在所述缓存中的编号的数量小于所述编号数量阈值时,调用加载单元(143)从所述待用编号数据库中加载相应数量的编号到所述缓存中,使得所述缓存中的编号的数量不小于所述编号数量阈值。
22.根据权利要求20-21中任一项所述的认证计费管理系统(140),其特征在于,所述认证计费管理系统(140)还包括:
关联单元(144),用于在确定子单元(1421)确定所述终端的第二编号之后,将所述MAC地址、第一编号与所述第二编号关联存储;
第九接收单元(145),用于在确定子单元(1421)向所述认证鉴权系统返回确定的所述终端的第二编号之后,接收所述认证鉴权系统发送的携带所述终端的第二编号的登录请求;
判断单元(146),用于判断是否存储有所述终端的第二编号,若存储有所述第二编号,则调用所述第一返回单元(142)向所述认证鉴权系统返回认证成功消息;否则,调用所述第一返回单元(142)向所述认证鉴权系统返回认证失败消息。
23.一种终端的身份认证系统,其特征在于,包括权利要求12-16中任一项所述的终端(101)、权利要求17-18中任一项所述的认证鉴权系统(130)、权利要求19-22中任一项所述的认证计费管理系统(140)以及与所述认证计费管理系统(140)相关联的待用编号数据库(150)。
CN201710046385.9A 2017-01-22 2017-01-22 一种终端的身份认证方法、装置 Pending CN108347333A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710046385.9A CN108347333A (zh) 2017-01-22 2017-01-22 一种终端的身份认证方法、装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710046385.9A CN108347333A (zh) 2017-01-22 2017-01-22 一种终端的身份认证方法、装置

Publications (1)

Publication Number Publication Date
CN108347333A true CN108347333A (zh) 2018-07-31

Family

ID=62974515

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710046385.9A Pending CN108347333A (zh) 2017-01-22 2017-01-22 一种终端的身份认证方法、装置

Country Status (1)

Country Link
CN (1) CN108347333A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109347841A (zh) * 2018-10-26 2019-02-15 深圳市元征科技股份有限公司 Mac地址认证方法、装置、终端、服务器及存储介质
CN110347780A (zh) * 2019-05-30 2019-10-18 平安科技(深圳)有限公司 合同归档方法、装置、计算机设备及存储介质
CN113067814A (zh) * 2021-03-17 2021-07-02 成都飞鱼星科技股份有限公司 一种服务器与物联网终端的连接管控方法及装置

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1842000A (zh) * 2005-03-29 2006-10-04 华为技术有限公司 实现无线局域网接入认证的方法
CN102368768A (zh) * 2011-10-12 2012-03-07 北京星网锐捷网络技术有限公司 认证方法、设备、系统及认证服务器
CN103746812A (zh) * 2013-12-30 2014-04-23 迈普通信技术股份有限公司 一种接入认证方法及系统
US20140258729A1 (en) * 2013-03-07 2014-09-11 Atmel Corporation Stored Authorization Status for Cryptographic Operations
CN105592031A (zh) * 2014-11-25 2016-05-18 中国银联股份有限公司 基于身份认证的用户登陆方法及系统
CN106302400A (zh) * 2016-07-29 2017-01-04 锐捷网络股份有限公司 访问请求的处理方法及装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1842000A (zh) * 2005-03-29 2006-10-04 华为技术有限公司 实现无线局域网接入认证的方法
CN102368768A (zh) * 2011-10-12 2012-03-07 北京星网锐捷网络技术有限公司 认证方法、设备、系统及认证服务器
US20140258729A1 (en) * 2013-03-07 2014-09-11 Atmel Corporation Stored Authorization Status for Cryptographic Operations
CN103746812A (zh) * 2013-12-30 2014-04-23 迈普通信技术股份有限公司 一种接入认证方法及系统
CN105592031A (zh) * 2014-11-25 2016-05-18 中国银联股份有限公司 基于身份认证的用户登陆方法及系统
CN106302400A (zh) * 2016-07-29 2017-01-04 锐捷网络股份有限公司 访问请求的处理方法及装置

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109347841A (zh) * 2018-10-26 2019-02-15 深圳市元征科技股份有限公司 Mac地址认证方法、装置、终端、服务器及存储介质
CN109347841B (zh) * 2018-10-26 2021-08-10 深圳市元征科技股份有限公司 Mac地址认证方法、装置、终端、服务器及存储介质
CN110347780A (zh) * 2019-05-30 2019-10-18 平安科技(深圳)有限公司 合同归档方法、装置、计算机设备及存储介质
CN113067814A (zh) * 2021-03-17 2021-07-02 成都飞鱼星科技股份有限公司 一种服务器与物联网终端的连接管控方法及装置
CN113067814B (zh) * 2021-03-17 2023-02-28 成都飞鱼星科技股份有限公司 一种服务器与物联网终端的连接管控方法及装置

Similar Documents

Publication Publication Date Title
US20200285978A1 (en) Model training system and method, and storage medium
CN103384237B (zh) 一种共享IaaS业务云账号的方法、及共享平台和网络装置
CN110197058B (zh) 统一内控安全管理方法、系统、介质及电子设备
CN103249045B (zh) 一种身份识别的方法、装置和系统
CN110086822A (zh) 面向微服务架构的统一身份认证策略的实现方法及系统
CN107483509A (zh) 一种身份验证方法、服务器及可读存储介质
CN107493280A (zh) 用户认证的方法、智能网关及认证服务器
US20170201516A1 (en) Terminal Identification Method, and Method, System and Apparatus of Registering Machine Identification Code
CN108462704A (zh) 登录验证方法、装置、计算机设备及存储介质
CN104052775B (zh) 一种云平台服务的权限管理方法、装置和系统
CN109510796A (zh) 一种设备绑定方法及系统
CN110417730B (zh) 多应用程序的统一接入方法及相关设备
CN105933374B (zh) 一种移动终端数据备份方法、系统及移动终端
CN107862198A (zh) 一种访问验证方法、系统及客户端
CN105813072B (zh) 一种终端鉴权方法、系统及云端服务器
CN105337974A (zh) 账号授权方法、账号登录方法、账号授权装置及客户端
CN108881309A (zh) 大数据平台的访问方法、装置、电子设备及可读存储介质
CN110138747B (zh) 一种验证账号登录状态的方法及系统
CN108462687A (zh) 防刷登录的方法、装置、终端设备及存储介质
CN106161348A (zh) 一种单点登录的方法、系统以及终端
CN108347333A (zh) 一种终端的身份认证方法、装置
CN106209727B (zh) 一种会话访问方法和装置
CN112653681A (zh) 多特征融合的用户登录准入方法、装置和系统
CN105337967A (zh) 实现用户登录目标服务器的方法、系统和中心服务器
KR102125784B1 (ko) 블록체인을 활용한 음성 녹취 데이터 검증 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20180731

WD01 Invention patent application deemed withdrawn after publication