鉴权方法、装置及系统
技术领域
本申请涉及计算机技术领域,尤其涉及一种鉴权方法、装置及系统。
背景技术
随着计算机和互联网相关技术的飞速发展,类似自助取款、自助购物、自助提货等无人值守的业务系统也越来越多。这些无人值守的业务系统为人们的日常生活带来了快捷和便利。
与此同时,如何有效且高效的对参与这一业务系统的用户进行权限的鉴别,也成为了一个亟待解决的重要问题。
发明内容
本申请实施例提供了一种鉴权方法、装置及系统,旨在有效且高效的对参与无人值守业务系统的用户进行权限的鉴别。
本申请实施例采用下述技术方案:
第一方面,本申请实施例提供一种鉴权方法,包括:
认证服务端接收值守终端发送的鉴权请求,所述鉴权请求中包括所述值守终端的第一特征信息和所述用户终端的第二特征信息,用于请求对向所述值守终端申请授权的用户终端进行鉴权;
所述认证服务端根据所述第一特征信息和所述第二特征信息中的至少一种,以及历史特征信息,确定对所述用户终端进行鉴权的鉴权策略;其中,所述历史特征信息包括所述用户终端的历史特征信息和所述值守终端的历史特征信息中的至少一种;
所述认证服务端按照所述鉴权策略对所述用户终端进行鉴权。
优选地,本申请实施例第一方面提供的鉴权方法中,所述认证服务端按照所述鉴权策略对所述用户终端进行鉴权,包括:
所述认证服务端按照所述鉴权策略确定鉴权流程以及鉴权所需信息;
所述认证服务端按照所述鉴权流程,提示所述用户终端上报所述鉴权所需信息;
当接收到所述用户终端上报的所述鉴权所需信息时,对所述用户终端进行鉴权。
优选地,本申请实施例第一方面提供的鉴权方法中,在所述认证服务端按照所述鉴权策略对所述用户终端进行鉴权之后,所述方法还包括以下至少一项:
当对所述用户终端鉴权通过时,所述认证服务端向所述值守终端发送第一响应信息,允许所述值守终端对所述用户终端授权;
当对所述用户终端鉴权不通过时,所述认证服务端向所述用户终端发送授权失败的消息。
优选地,本申请实施例第一方面提供的鉴权方法中,所述认证服务端根据所述第一特征信息和所述第二特征信息中的至少一种,以及历史特征信息,确定对所述用户终端进行鉴权的鉴权策略,包括:
所述认证服务端根据历史特征信息,确定不同鉴权策略所对应的特征值范围,所述特征值范围包括第一特征值范围和第二特征值范围中的至少一种;
根据所述第一特征信息和所述第二特征信息中的至少一种,以及不同鉴权策略所对应的特征值范围,确定所述鉴权策略。
优选地,本申请实施例第一方面提供的鉴权方法中,所述认证服务端根据历史特征信息,确定不同鉴权策略所对应的特征值范围,包括以下至少一项:
当所述历史特征信息包括所述用户终端所对应用户的常用地理位置信息时,所述特征值范围包括第一特征信息或者第二特征信息中的位置信息与最近的所述常用地理位置信息之间的距离区间,所述鉴权策略所匹配的风险等级与所述特征值范围正相关;其中,所述常用地理位置信息为用户活动次数大于第一预定阈值和/或用户活动频率大于第二预定阈值的地理位置信息;
当所述历史特征信息包括所述用户终端能够支持的认证方式时,所述特征值范围包括根据所述能够支持的认证方式确定的、要求所述用户终端上报的鉴权所需信息的范围,所述鉴权策略所匹配的风险等级与所述认证方式的安全等级正相关;
当所述历史特征信息包括所述用户终端所对应用户的信用评级时,所述特征值范围包括所允许的信用评级的最低标准,所述鉴权策略所匹配的风险等级与所述特征值范围负相关;
当所述历史特征信息包括所述值守终端所在地区的地区安全评级时,所述特征值范围包括所允许的地区安全评级的最低标准,所述鉴权策略所匹配的风险等级与所述特征值范围负相关;
当所述历史特征信息包括所述值守终端的允许使用时间时,所述特征值范围包括所述鉴权请求中携带的时间信息与所述允许使用时间之间的间隔区间,所述鉴权策略所匹配的风险等级与所述特征值范围正相关。
优选地,本申请实施例第一方面提供的鉴权方法中,在认证服务端接收值守终端发送的鉴权请求之后,在确定对所述用户终端进行鉴权的鉴权策略之前,所述方法还包括:
所述认证服务端根据所述用户终端的第二特征信息,向业务服务端发送业务信息查询请求,用于向所述业务服务端调取与所述用户终端的第二特征信息相关联的业务信息;
接收所述业务服务端发送的与所述用户终端的第二特征信息相关联的业务信息;
则确定对所述用户终端进行鉴权的鉴权策略,还包括:
所述认证服务端还根据所述业务信息确定对所述用户终端进行鉴权的鉴权策略。
优选地,本申请实施例第一方面提供的鉴权方法中,与所述用户终端的第二特征信息相关联的业务信息包括:
与所述用户终端的第二特征信息相关联的未完成订单的特征信息,所述特征信息包括以下一项或多项:
订单金额、订单生成时间、订单所属行业、订单标的的类型、业务预约时间和业务预约地点。
优选地,本申请实施例第一方面提供的鉴权方法中,所述认证服务端还根据所述业务信息确定对所述用户终端进行鉴权的鉴权策略,包括:
所述认证服务端根据历史特征信息,确定不同鉴权策略所对应的特征值范围;所述特征值范围包括第一特征值范围、第二特征值范围和业务特征值范围中的至少一种;
根据所述业务信息,以及所述第一特征信息和所述第二特征信息中的至少一种,以及不同鉴权策略所对应的特征值范围,确定所述鉴权策略。
优选地,本申请实施例第一方面提供的鉴权方法中,所述认证服务端根据历史特征信息,确定不同鉴权策略所对应的特征值范围,包括:
当所述历史特征信息包括所述用户终端所对应用户的常用订单金额区间时,所述特征值范围包括所述业务信息中的订单金额与所述常用订单金额区间之间的金额区间,所述鉴权策略所匹配的风险等级与所述特征值范围正相关;其中,所述常用订单金额区间为所述用户的订单金额区间中使用次数大于第三预定阈值和/或使用频率大于第四预定阈值的订单金额区间。
优选地,本申请实施例第一方面提供的鉴权方法中,所述特征值范围由所述认证服务端根据所述历史特征信息,采用协同过滤算法和K最近邻分类算法计算确定。
优选地,本申请实施例第一方面提供的鉴权方法中,所述值守终端的第一特征信息包括以下一项或多项:
所述值守终端的标识信息;
所述值守终端的类型;
所述值守终端的地理位置信息。
优选地,本申请实施例第一方面提供的鉴权方法中,所述用户终端的第二特征信息包括以下一项或多项:
所述用户终端的标识信息;
所述用户终端所对应用户的标识信息;
所述用户终端的地理位置信息。
第二方面,本申请实施例提供一种鉴权装置,应用于认证服务端,包括:
鉴权请求接收模块,接收值守终端发送的鉴权请求,所述鉴权请求中包括所述值守终端的第一特征信息和所述用户终端的第二特征信息,用于请求对向所述值守终端申请授权的用户终端进行鉴权;
鉴权策略确定模块,根据所述第一特征信息和所述第二特征信息中的至少一种,以及历史特征信息,确定对所述用户终端进行鉴权的鉴权策略;其中,所述历史特征信息包括所述用户终端的历史特征信息和所述值守终端的历史特征信息中的至少一种;
鉴权模块,按照所述鉴权策略对所述用户终端进行鉴权。
第三方面,本申请实施例提供一种电子设备,应用于认证服务端,包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器执行以下操作:
接收值守终端发送的鉴权请求,所述鉴权请求中包括所述值守终端的第一特征信息和所述用户终端的第二特征信息,用于请求对向所述值守终端申请授权的用户终端进行鉴权;
根据所述第一特征信息和所述第二特征信息中的至少一种,以及历史特征信息,确定对所述用户终端进行鉴权的鉴权策略;其中,所述历史特征信息包括所述用户终端的历史特征信息和所述值守终端的历史特征信息中的至少一种;
按照所述鉴权策略对所述用户终端进行鉴权。
第四方面,本申请实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储一个或多个程序,所述一个或多个程序当被包括多个应用程序的电子设备执行时,使得所述电子设备执行以下操作:
接收值守终端发送的鉴权请求,所述鉴权请求中包括所述值守终端的第一特征信息和所述用户终端的第二特征信息,用于请求对向所述值守终端申请授权的用户终端进行鉴权;
根据所述第一特征信息和所述第二特征信息中的至少一种,以及历史特征信息,确定对所述用户终端进行鉴权的鉴权策略;其中,所述历史特征信息包括所述用户终端的历史特征信息和所述值守终端的历史特征信息中的至少一种;
按照所述鉴权策略对所述用户终端进行鉴权。
第五方面,本申请实施例提供一种鉴权系统,包括用户终端、值守终端和认证服务端,其中,
所述用户终端,当与所述值守终端建立通信连接时,向所述值守终端发送申请授权的请求,以便所述值守终端向认证服务端发送鉴权请求,所述认证服务端确定对所述用户终端进行鉴权的鉴权策略,并按照所述鉴权策略对所述用户终端进行鉴权;其中,所述申请授权的请求中包括所述用户终端的第二特征信息;所述鉴权请求中包括所述值守终端的第一特征信息和所述用户终端的第二特征信息,用于请求对所述用户终端进行鉴权;
所述值守终端,当与用户终端建立通信连接时,接收所述用户终端申请授权的请求;所述申请授权的请求中包括所述用户终端的第二特征信息;所述值守终端还向认证服务端发送鉴权请求,供所述认证服务端确定对所述用户终端进行鉴权的鉴权策略,并按照所述鉴权策略对所述用户终端进行鉴权;所述鉴权请求中包括值守终端的第一特征信息和所述用户终端的所述第二特征信息,用于请求对所述用户终端进行鉴权;
所述认证服务端,接收值守终端发送的鉴权请求,所述鉴权请求中包括所述值守终端的第一特征信息和所述用户终端的第二特征信息,用于请求对向所述值守终端申请授权的用户终端进行鉴权;所述认证服务端还根据所述第一特征信息和所述第二特征信息中的至少一种,以及历史特征信息,确定对所述用户终端进行鉴权的鉴权策略,其中,所述历史特征信息包括所述用户终端的历史特征信息和所述值守终端的历史特征信息中的至少一种;所述认证服务端还按照所述鉴权策略对所述用户终端进行鉴权。
本申请实施例采用的上述至少一个技术方案能够达到以下有益效果:
本申请实施例中,用户终端向值守终端申请授权,认证服务端在接收到值守终端发送的鉴权请求后,根据鉴权请求中包含的值守终端的第一特征信息和用户终端的第二特征信息中的至少一种,以及包含有用户终端的历史特征信息和所述值守终端的历史特征信息中至少一种的历史特征信息,确定对用户终端进行鉴权的鉴权策略。这就能在考虑用户终端和/或所述值守终端的历史特征信息的基础上,有针对性的根据当前鉴权所涉及到的用户终端和值守终端的实际情况确定对用户终端的鉴权策略,并进而按照这一鉴权策略对用户终端进行鉴权。因此,本申请实施例能够有效且高效的对参与无人值守业务系统、申请值守终端予以授权的用户进行权限的鉴别。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本申请实施例的应用场景示意图;
图2为本申请实施例提供的应用于认证服务端的鉴权方法的流程示意图;
图3为本申请实施例提供的应用于值守终端的鉴权方法的流程示意图;
图4为本申请实施例提供的应用于用户终端的鉴权方法的流程示意图;
图5为本申请实施例提供的应用于认证服务端的鉴权装置的结构示意图;
图6为本申请实施例提供的应用于认证服务端的电子设备的结构示意图;
图7为本申请实施例提供的应用于值守终端的鉴权装置的结构示意图;
图8为本申请实施例提供的应用于值守终端的电子设备的结构示意图;
图9为本申请实施例提供的应用于用户终端的鉴权装置的结构示意图;
图10为本申请实施例提供的应用于用户终端的电子设备的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
以下结合附图,详细说明本申请各实施例提供的技术方案。
本申请实施例提供的鉴权系统,可以包括用户终端100、值守终端200和认证服务端300,参见图1所示。其中:
用户终端100,当与值守终端建立通信连接时,向值守终端发送申请授权的请求,以便值守终端向认证服务端发送鉴权请求,认证服务端确定对用户终端进行鉴权的鉴权策略,并按照鉴权策略对用户终端进行鉴权;其中,申请授权的请求中包括用户终端的第二特征信息;鉴权请求中包括值守终端的第一特征信息和用户终端的第二特征信息,用于请求对用户终端进行鉴权;
值守终端200,当与用户终端建立通信连接时,接收用户终端申请授权的请求;申请授权的请求中包括用户终端的第二特征信息;值守终端还向认证服务端发送鉴权请求,供认证服务端确定对用户终端进行鉴权的鉴权策略,并按照鉴权策略对用户终端进行鉴权;鉴权请求中包括值守终端的第一特征信息和用户终端的第二特征信息,用于请求对用户终端进行鉴权;
认证服务端300,接收值守终端发送的鉴权请求,鉴权请求中包括值守终端的第一特征信息和用户终端的第二特征信息,用于请求对向值守终端申请授权的用户终端进行鉴权;认证服务端还根据第一特征信息和第二特征信息中的至少一种,以及历史特征信息,确定对用户终端进行鉴权的鉴权策略,其中,历史特征信息包括用户终端的历史特征信息和值守终端的历史特征信息中的至少一种;认证服务端还按照鉴权策略对用户终端进行鉴权。
上述鉴权系统中,用户终端100由申请授权使用无人值守业务系统的用户持有,应当具备一定的认证功能。具体地,可以是用户的移动终端,例如智能手机、平板电脑等,也可以是用户所持有的其他类型设备,例如接入了物联网的设备、手机客户端等,只要具备认证能力即可。用户终端100所具备的认证功能可以有多种类型,例如,短信认证、密码认证、指纹识别、人脸识别、声纹识别、虹膜识别等。可以理解到,用户终端100所具备的认证功能与认证服务端300所确定出的鉴权策略相适应即可。例如,若认证服务端300确定出的鉴权策略中,要求用户终端100上报指纹信息进行鉴权,则用户终端100应当具备采集指纹并上报的指纹认证功能,否则将无法完成鉴权。
上述鉴权系统中,值守终端200可以理解为无人值守业务系统的门禁系统、授权系统,用于限制用户进入或者限制用户的操作。例如,假设无人值守业务系统具体化为无人商店,则值守终端可以理解为该商店的门禁系统,用于限制用户进入该商店进行购物,例如,只有已注册用户或者信用等级达到预设要求的用户才能被授权进入。又例如,假设无人值守业务系统具体化为物品自提柜,则值守终端可以理解为该自提柜的授权系统,用于限制用户打开对应的货柜或者限制用户取得相应的货品,例如,只有经过鉴权的用户才能够对货柜或货品进行相应的操作。
可以理解到,由于无人值守业务系统多种多样,在不同的具体应用场景中对用户鉴权的要求也不一样,在不同的具体情况下对不同的用户的安全性认证要求也不相同,因此,为保证安全性所需要的对应的鉴权策略也会有所不同。例如,同样是无人商店,若销售的只是日用品,可以理解为安全性要求较低,可以仅要求用户进行用户名和密码的认证即可授权进入;而若销售的是贵重金属,可以理解为安全性要求较高,则可以在用户申请进入时对用户进行指纹、虹膜等生物特征方面的认证,以保障业务的安全性。又例如,同样是自提柜,若柜中的物品价值不高,可以理解为安全性要求较低,则可以由用户直接输入短信提货码即可提货,而若柜中的物品价值较高,可以理解为安全性要求较高,则可以要求用户进一步进行指纹等生物特征信息的认证。
但是,若对实际应用场景和具体情况不加区分,采取千篇一律的鉴权策略对用户终端进行鉴权,则对于安全性要求较高的场景而言,可能因未能有效的对用户进行鉴权而造成损失,而对于安全性要求较低的场景而言,可能因鉴权流程过于繁琐而无法高效的对用户进行鉴权。因此,本申请实施例提出了一种鉴权方法,旨在有效且高效的对参与无人值守业务系统的用户进行权限的鉴别。
参见图2所示,本申请实施例提供了一种鉴权方法,应用于认证服务端300,包括:
S301:认证服务端接收值守终端发送的鉴权请求,鉴权请求中包括值守终端的第一特征信息和用户终端的第二特征信息,用于请求对向值守终端申请授权的用户终端进行鉴权。
需要说明的是,在用户希望使用值守终端所对应的无人值守业务系统时,将与值守终端建立通信连接,并向值守终端发送申请授权的请求。该申请授权的请求中将包括用户终端的第二特征信息,可以具体体现为用户终端的设备标识信息和用户标识信息,例如用户终端的标识信息(可具体化为设备ID)、持有用户终端的用户的标识信息(可具体化为用户的ID号)、用户终端所在的地理位置信息等中的一种或多种。
值守终端接收到用户终端申请授权的请求后,若值守终端中已存储有认证终端的信息,则可以对该请求中携带的用户终端的第二特征信息进行初步认证,也就是将当前的用户终端上报的第二特征信息与认证终端的信息进行比对。若值守终端能够直接依据认证终端的信息确定当前的用户终端可以授权,则可以直接授权。
当然,值守终端也可以向认证服务端发送鉴权请求,将用户终端的第二特征信息和值守终端自身的第一特征信息(可以具体化为值守终端的标识信息,例如值守终端的ID,值守终端所处的地理位置信息,值守终端的类型等一种或多种)一并发送到认证服务端,供认证服务端确定对用户终端进行鉴权的鉴权策略,并进而按照鉴权策略对用户终端进行鉴权,以便根据实际情况更有效和高效的对用户终端进行鉴权。
S303:认证服务端根据上述第一特征信息和第二特征信息中的至少一种,以及历史特征信息,确定对用户终端进行鉴权的鉴权策略;其中,历史特征信息包括用户终端的历史特征信息和值守终端的历史特征信息中的至少一种。
需要说明的是,上述历史特征信息与用户终端相关联,包括用户终端的历史特征信息和值守终端的历史特征信息中的至少一种,具体的可以包括多种类型的信息,例如,用户终端的历史特征信息可以包括用户终端所对应的用户常规活动的地理位置信息(可以是用户终端所对应用户的地理位置信息中活动次数大于某一预定阈值和/或活动频率大于某一预定阈值的地理位置信息)、常规活动的时间信息(可以是用户终端所对应用户的业务办理时间中活跃次数大于某一预定阈值和/或活跃频率大于某一预定阈值的时间信息)、常规业务的类型范围(可以是用户终端所对应用户办理的业务类型中次数高于某一预定阈值和/或频率高于某一预定阈值的业务类型)、常规业务的金额区间(可以是用户终端所对应用户办理的业务的金额区间中使用次数大于某一预定阈值和/或使用频率大于某一预定阈值的金额区间,例如订单业务所对应的订单金额区间)、用户所能够使用的认证手段(在一定程度上取决于用户终端所能够支持的认证功能的类型),用户以往交易的信用评级信息等。值守终端的历史特征信息,同样可以包括多种类型,例如,值守终端所在地区的地区安全评级,值守终端的允许使用时间等。
认证服务端在执行S303,根据第一特征信息和第二特征信息中的至少一种,以及历史特征信息,确定对用户终端进行鉴权的鉴权策略时,可以具体包括:
认证服务端根据历史特征信息,确定不同鉴权策略所对应的特征值范围,特征值范围包括第一特征值范围和第二特征值范围中的至少一种;
根据第一特征信息和第二特征信息中的至少一种,以及不同鉴权策略所对应的特征值范围,确定鉴权策略。
可以理解到,对应不同类型的历史特征信息,认证服务端根据历史特征信息确定不同鉴权策略所对应的特征值范围也不尽相同。特征值范围既可以根据某一类型历史特征信息确定,也可以根据多类历史特征信息组合确定。以下将详细举例说明。
可选的,当历史特征信息包括用户终端所对应用户的常用地理位置信息时,特征值范围包括第一特征信息或者第二特征信息中的位置信息与最近的常用地理位置信息之间的距离区间,鉴权策略所匹配的风险等级与特征值范围正相关;其中,常用地理位置信息为用户活动次数大于第一预定阈值和/或用户活动频率大于第二预定阈值的地理位置信息。
例如,对于用户X来说,根据用户X的历史特征信息(可以体现为用户X曾经活动的地理位置信息,可以是所有的,也可以是满足一定预设条件的,例如某一时间范围内的),可以确定用户X的活动次数大于预定阈值和/或活动频率大于预定阈值的地理位置信息,作为常用地理位置。可以理解到,确定出的与用户X相对应的常用地理位置信息可以有一个,也可以有多个;常用地理位置信息可以对应到具体的位置点,也可以对应到一个地理位置区间。
在一种情况下,当根据历史特征信息确定A点为常用地理位置时,认证服务端确定出的特征值范围分别为距离A点的距离区间为0~100米、100-500米、500米以上,并且,距离A点0-100米对应于鉴权策略1,距离A点100-500米对应于鉴权策略2,距离A点500米以上对应于鉴权策略3,其中,三种鉴权策略所匹配的风险等级按照由低到高的顺序排列依次为:鉴权策略1、鉴权策略2、鉴权策略3。
当用户X在B点(B点既可以根据值守终端的第一特征信息确定,也可以根据用户终端的第二特征信息确定)提出鉴权请求时,认证服务端可以判断B点与A点之间的距离落在哪一个距离区间中,进而确定对用户X在B点提出的鉴权请求的鉴权策略。
在上述示例中,B点距离常用地理位置A越近(特征值范围越小),可以理解为用户在B点提出的鉴权请求越可信,因而风险等级越低,所对应的鉴权策略可以相对不那么严格,具体体现在鉴权流程可以在一定程度上简化,或者要求提供的鉴权所需信息可以缩减,或者信息的安全性要求可以降低。而对于风险等级更高的场景,需要使用更加严格的鉴权策略进行鉴权。鉴权策略的严格程度可以体现在鉴权流程的复杂程度和要求用户上报的鉴权所需信息的安全等级上。例如,鉴权流程更复杂,要求用户上报的信息种类更多,上报的信息的安全性更高等因素,都可能导致鉴权策略更严格,从而适用于风险等级更高的场景。能够理解,此处阐述的鉴权策略与风险等级之间的匹配关系,以及与所适用的场景之间的对应关系,也同样适用于依据其他类型的历史特征信息所确定的鉴权策略。
可选的,当历史特征信息包括用户终端能够支持的认证方式时,特征值范围包括根据能够支持的认证方式确定的、要求用户终端上报的鉴权所需信息的范围,鉴权策略所匹配的风险等级与认证方式的安全等级正相关。
例如,用户X所持的用户终端能够支持短信认证、密码认证、指纹识别和人脸识别这四种认证方式,指纹识别和人脸识别这两种认证方式的安全等级比短信认证和密码认证的更高。鉴权所需信息为短信认证码(对应认证方式为短信认证)时对应鉴权策略4,鉴权所需信息为短信认证码+用户密码(对应认证方式为短信认证和密码认证)时对应鉴权策略5,鉴权所需信息为用户密码+用户指纹(对应认证方式为密码认证和指纹识别)时对应鉴权策略6,鉴权所需信息为用户指纹和人脸信息(对应认证方式为指纹识别和人脸识别)时对应鉴权策略7,其中,四种鉴权策略所匹配的风险等级按照由低到高的顺序排列依次为:鉴权策略4、鉴权策略5、鉴权策略6、鉴权策略7。
当用户X持用户终端向值守终端申请授权时,值守终端将包含有终端能够支持的认证方式的信息作为第二特征信息上报到认证服务端。认证服务端根据终端能够支持的认证方式等信息,还可以结合对应的业务类型和业务相关的具体信息确定对应的鉴权策略。
可选的,当历史特征信息包括用户终端所对应用户的信用评级时,特征值范围包括所允许的信用评级的最低标准,鉴权策略所匹配的风险等级与特征值范围负相关。
例如,用户的信用评级由低到高依次为三星级、四星级、五星级,允许的信用等级的最低标准为三星级时对应到鉴权策略8,允许的信用等级的最低标准为四星级时对应到鉴权策略9,允许的信用等级的最低标准为五星级时对应到鉴权策略10,其中,鉴权策略所匹配的风险等级按照由低到高的顺序排列依次为:鉴权策略10、鉴权策略9、鉴权策略8。
在一种情况下,用户X的信用评级为四星级,则针对用户X适用的鉴权策略可以是鉴权策略8和鉴权策略9。可以进一步结合业务相关的业务信息,或者其他特征信息确定具体的鉴权策略。
可选的,当历史特征信息包括值守终端所在地区的地区安全评级时,特征值范围包括所允许的地区安全评级的最低标准,鉴权策略所匹配的风险等级与特征值范围负相关。
例如,地区安全评级由低到高依次是三星级、四星级、五星级,允许的地区安全评级的最低标准为三星级时对应到鉴权策略11,允许的地区安全评级的最低标准为四星级时对应到鉴权策略12,允许的地区安全评级的最低标准为五星级时对应到鉴权策略13,其中,鉴权策略所匹配的风险等级按照由低到高的顺序排列依次为:鉴权策略13、鉴权策略12、鉴权策略11。
在一种情况下,用户X向值守终端Y申请授权,值守终端Y的信用评级为四星级,则针对用户X适用的鉴权策略可以是鉴权策略11和鉴权策略12。可以进一步结合用户X的信用评级、业务相关的业务信息,或者其他特征信息确定具体的鉴权策略。
可选的,当历史特征信息包括值守终端的允许使用时间时,特征值范围包括鉴权请求中携带的时间信息与允许使用时间之间的间隔区间,鉴权策略所匹配的风险等级与特征值范围正相关。
例如,鉴权请求中携带的时间信息与允许使用时间之间的间隔区间小于30分钟时对应到鉴权策略14,与允许使用时间之间的间隔区间大于30分钟、小于60分钟时对应到鉴权策略15,与允许使用时间之间的间隔区间大于60分钟时对应到鉴权策略16,其中,鉴权策略所匹配的风险等级按照由低到高的顺序排列依次为:鉴权策略14、鉴权策略15、鉴权策略16。
在一种情况下,某一值守终端的允许使用时间为8:00~16:00,假设用户在7:30~8:00,或者16:00~16:30之间某一时刻申请值守终端授权,则鉴权请求中携带的时间信息与允许使用时间之间的间隔区间小于30分钟,将适用于上述鉴权策略14。
又一种情况下,假设用户对值守终端所对应的业务进行了预约,预约在11:30办理业务,则用户在12:50向值守终端申请授权时,鉴权请求中携带的时间信息与允许使用时间之间的间隔区间大于60分钟,将适用于上述鉴权策略16。
对于无人商店这种“门禁”类的应用场景而言,认证服务端只需确认申请授权的用户终端是否具备进入该商店的权限即可,而与用户希望购买的具体商品无关。而对于自提柜、预约取款这种涉及到具体业务内容的应用场景而言,认证服务端还可以根据用户终端的第二特征信息,向业务服务端400发送业务信息查询请求,用于向业务服务端调取与用户终端的第二特征信息相关联的业务信息,可以具体体现为与用户终端的第二特征信息相关联的未完成订单的特征信息,以便获取用户终端本次申请授权所涉及到的业务的相关信息,例如,已生成订单的订单金额、订单生成的时间、订单所属行业、订单标的的类型、业务预约时间和业务预约地点等等。因此,认证服务端在接收到业务服务端发送的与用户终端的第二特征信息相关联的业务信息之后,在确定对用户终端的鉴权策略时,认证服务端还可以根据业务信息确定对用户终端进行鉴权的鉴权策略。
具体地,认证服务端可以执行以下步骤根据业务信息确定对用户终端进行鉴权的鉴权策略:
认证服务端根据历史特征信息,确定不同鉴权策略所对应的特征值范围;特征值范围包括第一特征值范围、第二特征值范围和业务特征值范围中的至少一种;
根据业务信息,以及第一特征信息和第二特征信息中的至少一种,以及不同鉴权策略所对应的特征值范围,确定鉴权策略。
可以理解到,对应不同类型的历史特征信息,认证服务端根据历史特征信息确定不同鉴权策略所对应的特征值范围也不尽相同。特征值范围既可以根据某一类型历史特征信息确定,也可以根据多类历史特征信息组合确定。以下将详细举例说明。
可选的,当历史特征信息包括用户终端所对应用户的常用订单金额区间时,特征值范围包括业务信息中的订单金额与常用订单金额区间之间的金额区间,鉴权策略所匹配的风险等级与特征值范围正相关;其中,常用订单金额区间为用户的订单金额区间中使用次数大于第三预定阈值和/或使用频率大于第四预定阈值的订单金额区间。
例如,与常用订单金额区间之间的金额区间为1000元以下时对应鉴权策略17,与常用订单金额区间之间的金额区间为1000元以上、10000元以下时对应鉴权策略18,与常用订单金额区间之间的金额区间为10000元以上时对应鉴权策略19,其中,鉴权策略所匹配的风险等级按照由低到高的顺序排列依次为:鉴权策略17、鉴权策略18、鉴权策略19。
可以理解到,对于不同的应用场景,根据接收到的特征信息的类型和数量不同,认证服务端在确定鉴权策略时的具体过程也不尽相同。总体上,可以将认证服务端用以确定鉴权策略的信息分为离线历史特征数据和实时数据。具体的,离线历史特征数据可以具体化为与用户终端和/或值守终端相关联的历史特征信息,包括用户终端的历史特征信息和值守终端的历史特征信息中的至少一种,还可以包括业务历史特征信息。离线历史特征数据可以是认证服务端已存储的,也可以是认证服务端从其他服务端或终端获取的。实时数据可以具体化为值守终端的第一特征信息、用户终端的第二特征信息和业务信息(如果有)中的一种或多种。认证服务端根据离线历史特征数据,确定特征值范围与鉴权策略的对应关系;通过实时数据中的一项或多项的组合与特征值范围之间的匹配关系,确定对用户终端的鉴权策略。
需要说明的是,值守终端的第一特征信息和/或用户终端的第二特征信息,以及与用户终端的第二特征信息相关联的业务信息(如果有),可以理解为用户终端所对应的用户向值守终端申请授权时的实时数据;而特征值范围由认证服务端根据与用户终端和/或值守终端相关联的历史特征信息确定,可以认为这一范围可以反映用户终端和/或值守终端在过往业务处理中的历史特征数据。因此,通过申请授权时的实时数据或者实时数据与特征值范围的比对,就可以在一定程度上反映用户终端所对应的用户在申请授权办理对应业务时的合理程度,不同的特征值范围对应不同的合理程度,进而对应到不同的鉴权策略。
可以理解到,当合理程度较高时,可以认为本次授权的风险较小,鉴权策略所对应的风险等级较低,鉴权策略的安全等级也可以降低;当合理程度较低时,可以认为本次授权的风险较大,鉴权策略所对应的风险等级较高,鉴权策略的安全等级应该提高。进一步地,鉴权的安全等级的高低,可以体现为认证服务端要求用户终端上报的鉴权所需信息的类型、数量或与历史特征信息的匹配程度。
在本申请实施例中,认证服务端可以根据离线历史特征数据(可具体化为上述历史特征信息)确定一系列用于确定对用户终端进行鉴权的鉴权策略的特征值范围,并建立这些特征值范围与鉴权策略的对应关系。因此,在接收到值守系统发送的鉴权请求后,可以根据实时数据(值守终端的第一特征信息、用户终端的第二特征信息和业务信息(如果有)中的至少一种)与特征值范围之间的关系,在已生成的一系列鉴权策略中选取适应当前实际情况的鉴权策略。这种方式能够更快的确定鉴权策略,有利于提高鉴权的效率。
在确定特征值范围时,可以采用K最近邻(K-Nearest Neighbor,简称KNN)分类算法对历史特征数据所对应的用户进行分类,进而采用协同过滤算法根据离线历史特征数据进行核心阈值(相当于特征值范围的边界值)的计算,包括用于确定鉴权安全等级的金额、用户的信用等级等。除此之外,还可以采用适用于专家系统的机器学习算法——决策树算法对历史特征信息这些多维度数据进行降维,并生成与鉴权策略相对应的特征值范围。进而,根据接收到的实时数据,认证服务端可以以实时数据作为入参,根据实时数据与特征值范围之间的关系,确定对用户终端的鉴权策略。
具体的,可以根据多维度的历史特征信息,建立与用户和/或值守终端相对应的特征向量,特征向量中的分量可以反映用户的历史特征信息和/或值守终端的历史特征信息中一项或多项的具体内容。在此基础上,可以采用KNN分类算法,结合不同的应用场景,通过考察用户终端和/或值守终端的历史特征信息对用户进行分类。具体地,可以根据特征空间中最邻近的一个或者几个样本(最邻近的K个用户)的类别来决定待分类样本(待分类用户)所属的类别。
在对用户进行类别划分的基础上,可以采用协同过滤算法,通过在用户群体中找到与用户终端所对应用户在某方面存在相似的其他用户(相当于属于同一用户类别的其他用户),并分析其他用户的行为特征,从而对用户终端所对应的用户的喜好、兴趣或行为合理性等方面进行预测。在具体实施时,用户终端所对应用户与其他用户的相似性,可以体现为地理位置上接近,历史订单中购买的商品相近,参与业务的行为时间相近,等等。
例如,认证服务端收集到的历史特征信息包括:
(1)用户X1和X2均曾向位于地点A1的某值守终端D1申请授权,并在鉴权通过后办理了相关业务;
(2)用户X3与用户X1曾经在与该值守终端D1的距离为500米的同一家便利店进行在线支付;
(3)用户X3与用户X1在业务系统预留的收货地址为同一小区,与该值守终端D1的距离为700米。
则可以认为用户X3与用户X1和用户X2存在相似之处,可以分为同一用户类别。基于协同过滤算法,由于用户X1和X2曾在位于地点A1的值守终端D1办理业务,且分别在与该值守终端D1的距离为500米处和700米的地理位置信息存在关联。因此,可以将特征值范围取为:与该值守终端D1所在地点A1的距离为700以内,并且该特征值范围对应的鉴权策略20所匹配的风险等级较低。当用户X3在值守终端D2申请授权,且值守终端D2与值守终端D1的距离为300米(<700米)时,则可适用于上述鉴权策略20。
需要说明的是,用户终端所对应用户以及相似的其他用户的行为特征信息往往有较多维度的数据,因此,为降低计算的维度,可以进一步采用决策树算法选取权值最高的一部分维度参与协同过滤算法的运算。在具体实施时,将应用场景中用户终端、值守终端、业务系统等的历史特征信息作为决策树的数据样本,决策树的数据样本还可以包含不同应用场景下鉴权成功/失败的结果,以及用户反馈的用户体验等辅助数据。通过决策树中各级节点,根据各维度数据的权重值,可以逐层过滤掉权重值较低的数据维度,保留权重值较高的数据维度的数据作为协同过滤算法的输入。
需要说明的是,决策树的深度可以动态变化。各维度数据的权重值,也可以根据应用场景确定,优选将与应用场景关系更为紧密的数据的权重值预设得相对更高,与应用场景关系没那么紧密的数据的权重值预设得相对更低。具体地,权重值的设定,可以根据应用场景中的地理位置信息、时间信息、订单信息、用户终端信息等,并且,既可以仅根据本应用场景中产生的历史特征信息,也可以使用其他应用场景中产生的历史特征信息。并且,数据维度的权重值可以随着应用场景的不同,随着应用场景中新的历史特征数据(可以理解为应用场景下的实时业务数据)的产生而动态变化。
例如,对于无人商店这种“门禁”类的应用场景而言,与这一场景联系较为紧密的信息可以包括:用户终端所对应用户活动频繁的地理位置信息,用户的信用评级,值守终端所在地区的地区安全评级,值守终端允许使用的时间范围等方面的信息,商店所销售的商品的类别、商品价值,等等。可以理解到,假设商店所销售的商品价值较高,则可以将预设条件确定为:用户的信用评级高于预设等级,“预设等级”即可理解为该预设条件的判断阈值。与该预设条件相对应的鉴权策略可以确定为:要求用户输入准入账号和密钥;当准入账号和密钥与预设相符时,允许值守终端授权。则当有用户申请进入该无人商店时,认证服务端根据值守终端上报的用户标识信息确定用户的信用等级,若用户的信用等级达到“预设等级”时,认为该用户满足预设条件,从而确定对该用户的鉴权策略;根据鉴权策略,认证服务端提示用户输入准入账号和密码,并根据用户上报的准入账号和密码确定能否允许对该用户的授权。
可以理解到,本申请实施例中,认证服务端中可以建立多种不同应用场景下的预设条件(可以理解为,判断预设条件是否满足,相当于判断用户终端和/或值守终端的实时数据命中哪一个特征值范围)和鉴权策略。在不同的应用场景下,根据值守终端上报的不同的实时数据,确定实时数据所满足的预设条件,进而确定在满足这一预设条件下所适用的鉴权策略。在此基础上,进一步按照鉴权策略中的鉴权流程,通过对用户上报的鉴权所需信息与预设鉴权信息的比对,确实用户终端是否鉴权通过。
S305:认证服务端按照鉴权策略对用户终端进行鉴权。
具体地,在执行步骤S305时,认证服务端可以按照鉴权策略确定鉴权流程以及鉴权所需信息。鉴权流程可以具体体现为需要验证的信息的类型和顺序。认证服务端按照鉴权流程,提示用户终端上报鉴权所需信息。当接收到用户终端上报的鉴权所需信息时,对用户终端进行鉴权。具体地,可以将用户终端上报的信息与认证服务端预存的认证信息进行比对,若相匹配,则认为鉴权通过,若不相匹配,则认为鉴权不通过。
进一步地,当认证服务端对用户终端鉴权通过时,认证服务端可以向值守终端发送第一响应信息,允许值守终端对用户终端授权。认证服务端还可以向用户终端反馈授权成功的消息,以便提示用户终端在获得授权后进行相应的操作。
而当对用户终端鉴权不通过时,认证服务端向用户终端发送授权失败的消息。除此之外,认证服务端还可以向值守终端发送授权失败的消息,以作为值守终端向认证服务端发送的鉴权请求的响应信息。
本申请实施例中,用户终端向值守终端申请授权,认证服务端在接收到值守终端发送的鉴权请求后,根据鉴权请求中包含的值守终端的第一特征信息、用户终端的第二特征信息、以及与用户终端和/或所述值守终端相关联的历史特征信息,确定对用户终端进行鉴权的鉴权策略。这就能在考虑用户终端和/或所述值守终端相关联的历史特征信息的基础上,有针对性的根据用户终端和值守终端的实际情况确定对用户终端的鉴权策略,并进而按照这一鉴权策略对用户终端进行鉴权。因此,本申请实施例能够有效且高效的对参与无人值守业务系统,申请值守终端予以授权的用户进行权限的鉴别。
参见图3所示,本申请实施例还提供了一种鉴权方法,应用于值守终端200,包括:
S201:当与用户终端建立通信连接时,值守终端接收用户终端申请授权的请求;申请授权的请求中包括用户终端的第二特征信息;
S203:值守终端向认证服务端发送鉴权请求,供认证服务端确定对用户终端进行鉴权的鉴权策略,并按照鉴权策略对用户终端进行鉴权;鉴权请求中包括值守终端的第一特征信息和用户终端的第二特征信息,用于请求对用户终端进行鉴权。
优选地,值守终端向认证服务端发送鉴权请求之后,方法还包括:
当接收到认证服务端发送的第一响应信息时,对用户终端授权;第一响应信息为认证服务端在对用户终端鉴权通过时发送。
优选地,在值守终端接收用户终端申请授权的请求之前,方法还包括:
值守终端与用户终端建立近场通信连接。
值守终端200所执行的鉴权方法与本申请实施例中提供的鉴权系统中其他侧执行的方法相对应,其他实施例中的相关阐述均适用于本实施例,此处不再赘述。
本申请实施例还提供一种鉴权方法,应用于用户终端100,参见图4所示,包括:
S101:当与值守终端建立通信连接时,用户终端向值守终端发送申请授权的请求,以便值守终端向认证服务端发送鉴权请求,认证服务端确定对用户终端进行鉴权的鉴权策略,并按照鉴权策略对用户终端进行鉴权;
其中,申请授权的请求中包括用户终端的第二特征信息;鉴权请求中包括值守终端的第一特征信息和用户终端的第二特征信息,用于请求对用户终端进行鉴权。
优选地,在用户终端向值守终端发送申请授权的请求之后,方法还包括:
当接收到认证服务端按照鉴权流程提示用户终端上报鉴权所需信息的消息时,用户终端向认证服务端上报鉴权所需信息;
其中,鉴权流程和鉴权所需信息由认证服务端按照鉴权策略确定。
优选地,在用户终端向值守终端发送申请授权的请求之后,方法还包括:
接收认证服务端在对用户终端鉴权不通过时发送的授权失败的消息。
优选地,在用户终端向值守终端发送申请授权的请求之后,方法还包括:
用户终端与值守终端建立近场通信连接。
用户终端100所执行的鉴权方法与本申请实施例中提供的鉴权系统中其他侧执行的方法相对应,其他实施例中的相关阐述均适用于本实施例,此处不再赘述。
参见图5所示,本申请实施例提供一种鉴权装置,应用于认证服务端300,包括:
鉴权请求接收模块301,接收值守终端发送的鉴权请求,鉴权请求中包括值守终端的第一特征信息和用户终端的第二特征信息,用于请求对向值守终端申请授权的用户终端进行鉴权;
鉴权策略确定模块303,根据第一特征信息和第二特征信息中的至少一种,以及历史特征信息,确定对用户终端进行鉴权的鉴权策略;其中,历史特征信息包括用户终端的历史特征信息和值守终端的历史特征信息中的至少一种;
鉴权模块305,按照鉴权策略对用户终端进行鉴权。
图6是本申请的一个实施例电子设备的结构示意图。请参考图6,在硬件层面,该电子设备包括处理器,可选地还包括内部总线、网络接口、存储器。其中,存储器可能包含内存,例如高速随机存取存储器(Random-Access Memory,RAM),也可能还包括非易失性存储器(non-volatile memory),例如至少1个磁盘存储器等。当然,该电子设备还可能包括其他业务所需要的硬件。
处理器、网络接口和存储器可以通过内部总线相互连接,该内部总线可以是ISA(Industry Standard Architecture,工业标准体系结构)总线、PCI(PeripheralComponent Interconnect,外设部件互连标准)总线或EISA(Extended Industry StandardArchitecture,扩展工业标准结构)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图6中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
存储器,用于存放程序。具体地,程序可以包括程序代码,所述程序代码包括计算机操作指令。存储器可以包括内存和非易失性存储器,并向处理器提供指令和数据。
处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行,在逻辑层面上形成鉴权装置。处理器,执行存储器所存放的程序,并具体用于执行以下操作:
接收值守终端发送的鉴权请求,鉴权请求中包括值守终端的第一特征信息和用户终端的第二特征信息,用于请求对向值守终端申请授权的用户终端进行鉴权;
根据第一特征信息和第二特征信息中的至少一种,以及历史特征信息,确定对用户终端进行鉴权的鉴权策略;其中,历史特征信息包括用户终端的历史特征信息和值守终端的历史特征信息中的至少一种;
按照鉴权策略对用户终端进行鉴权。
上述如本申请图2所示实施例揭示的鉴权装置执行的方法可以应用于处理器中,或者由处理器实现。处理器可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。
该电子设备还可执行图2中鉴权装置执行的方法,并实现鉴权装置在图2所示实施例的功能,本申请实施例在此不再赘述。
本申请实施例还提出了一种计算机可读存储介质,该计算机可读存储介质存储一个或多个程序,该一个或多个程序包括指令,该指令当被包括多个应用程序的电子设备执行时,能够使该电子设备执行图2所示实施例中鉴权装置执行的方法,并具体用于执行:
接收值守终端发送的鉴权请求,鉴权请求中包括值守终端的第一特征信息和用户终端的第二特征信息,用于请求对向值守终端申请授权的用户终端进行鉴权;
根据第一特征信息和第二特征信息中的至少一种,以及历史特征信息,确定对用户终端进行鉴权的鉴权策略;其中,历史特征信息包括用户终端的历史特征信息和值守终端的历史特征信息中的至少一种;
按照鉴权策略对用户终端进行鉴权。
参见图7所示,本申请实施例提供一种鉴权装置,应用于值守终端200,包括:
请求接收模块201,当与用户终端建立通信连接时,接收用户终端申请授权的请求;申请授权的请求中包括用户终端的第二特征信息;
鉴权请求发送模块203,向认证服务端发送鉴权请求,供认证服务端确定对用户终端进行鉴权的鉴权策略,并按照鉴权策略对用户终端进行鉴权;鉴权请求中包括值守终端的第一特征信息和用户终端的第二特征信息,用于请求对用户终端进行鉴权。
图8是本申请的一个实施例电子设备的结构示意图。请参考图8,在硬件层面,该电子设备包括处理器,可选地还包括内部总线、网络接口、存储器。其中,存储器可能包含内存,例如高速随机存取存储器(Random-Access Memory,RAM),也可能还包括非易失性存储器(non-volatile memory),例如至少1个磁盘存储器等。当然,该电子设备还可能包括其他业务所需要的硬件。
处理器、网络接口和存储器可以通过内部总线相互连接,该内部总线可以是ISA(Industry Standard Architecture,工业标准体系结构)总线、PCI(PeripheralComponent Interconnect,外设部件互连标准)总线或EISA(Extended Industry StandardArchitecture,扩展工业标准结构)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图8中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
存储器,用于存放程序。具体地,程序可以包括程序代码,所述程序代码包括计算机操作指令。存储器可以包括内存和非易失性存储器,并向处理器提供指令和数据。
处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行,在逻辑层面上形成鉴权装置。处理器,执行存储器所存放的程序,并具体用于执行以下操作:
当与用户终端建立通信连接时,接收所述用户终端申请授权的请求;所述申请授权的请求中包括所述用户终端的第二特征信息;
向认证服务端发送鉴权请求,供所述认证服务端确定对所述用户终端进行鉴权的鉴权策略,并按照所述鉴权策略对所述用户终端进行鉴权;所述鉴权请求中包括值守终端的第一特征信息和所述用户终端的所述第二特征信息,用于请求对所述用户终端进行鉴权。
上述如本申请图3所示实施例揭示的鉴权装置执行的方法可以应用于处理器中,或者由处理器实现。处理器可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。
该电子设备还可执行图3中鉴权装置执行的方法,并实现鉴权装置在图3所示实施例的功能,本申请实施例在此不再赘述。
本申请实施例还提出了一种计算机可读存储介质,该计算机可读存储介质存储一个或多个程序,该一个或多个程序包括指令,该指令当被包括多个应用程序的电子设备执行时,能够使该电子设备执行图3所示实施例中鉴权装置执行的方法,并具体用于执行:
当与用户终端建立通信连接时,接收所述用户终端申请授权的请求;所述申请授权的请求中包括所述用户终端的第二特征信息;
向认证服务端发送鉴权请求,供所述认证服务端确定对所述用户终端进行鉴权的鉴权策略,并按照所述鉴权策略对所述用户终端进行鉴权;所述鉴权请求中包括值守终端的第一特征信息和所述用户终端的所述第二特征信息,用于请求对所述用户终端进行鉴权。
参见图9,本申请实施例提供一种鉴权装置,应用于用户终端100,包括:
请求发送模块101,当与值守终端建立通信连接时,向值守终端发送申请授权的请求,以便值守终端向认证服务端发送鉴权请求,认证服务端确定对用户终端进行鉴权的鉴权策略,并按照鉴权策略对用户终端进行鉴权;
其中,申请授权的请求中包括用户终端的第二特征信息;鉴权请求中包括值守终端的第一特征信息和用户终端的第二特征信息,用于请求对用户终端进行鉴权。
图10是本申请的一个实施例电子设备的结构示意图。请参考图10,在硬件层面,该电子设备包括处理器,可选地还包括内部总线、网络接口、存储器。其中,存储器可能包含内存,例如高速随机存取存储器(Random-Access Memory,RAM),也可能还包括非易失性存储器(non-volatile memory),例如至少1个磁盘存储器等。当然,该电子设备还可能包括其他业务所需要的硬件。
处理器、网络接口和存储器可以通过内部总线相互连接,该内部总线可以是ISA(Industry Standard Architecture,工业标准体系结构)总线、PCI(PeripheralComponent Interconnect,外设部件互连标准)总线或EISA(Extended Industry StandardArchitecture,扩展工业标准结构)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图10中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
存储器,用于存放程序。具体地,程序可以包括程序代码,所述程序代码包括计算机操作指令。存储器可以包括内存和非易失性存储器,并向处理器提供指令和数据。
处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行,在逻辑层面上形成鉴权装置。处理器,执行存储器所存放的程序,并具体用于执行以下操作:
当与值守终端建立通信连接时,向值守终端发送申请授权的请求,以便值守终端向认证服务端发送鉴权请求,认证服务端确定对用户终端进行鉴权的鉴权策略,并按照鉴权策略对用户终端进行鉴权;
其中,申请授权的请求中包括用户终端的第二特征信息;鉴权请求中包括值守终端的第一特征信息和用户终端的第二特征信息,用于请求对用户终端进行鉴权。
上述如本申请图4所示揭示的鉴权装置执行的方法可以应用于处理器中,或者由处理器实现。处理器可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。
该电子设备还可执行前述鉴权装置执行的方法,并实现鉴权装置在图4所示的功能,本申请实施例在此不再赘述。
本申请实施例还提出了一种计算机可读存储介质,该计算机可读存储介质存储一个或多个程序,该一个或多个程序包括指令,该指令当被包括多个应用程序的电子设备执行时,能够使该电子设备执行图4所示中鉴权装置执行的方法,并具体用于执行:
当与值守终端建立通信连接时,向值守终端发送申请授权的请求,以便值守终端向认证服务端发送鉴权请求,认证服务端确定对用户终端进行鉴权的鉴权策略,并按照鉴权策略对用户终端进行鉴权;
其中,申请授权的请求中包括用户终端的第二特征信息;鉴权请求中包括值守终端的第一特征信息和用户终端的第二特征信息,用于请求对用户终端进行鉴权。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。