安全认证方法、装置和系统,移动终端
技术领域
本公开涉及信息处理领域,特别涉及一种安全认证方法、装置和系统,移动终端。
背景技术
随着电子商务的发展,用户通过移动终端就可实现购物。在用户选择所需物品后,会根据相应的业务场景所提供的认证方式进行身份验证,从而完成支付。
发明内容
发明人通过研究发现,在进行身份验证的相关技术中,不同业务场景所提供的认证方式是相对固定的,从而无法根据需要在多种认证方式中进行动态组合。由于不同的验证方式基于不同的安全标准,从而给移动金融带来了安全隐患。
为此,本公开提供一种能够为用户提供动态认证方的方案。
根据本公开的一个或多个实施例的一个方面,提供一种安全认证方法,包括:在执行移动业务时,向通用认证服务器发送认证请求,认证请求包括用户当前信息,以便通用认证服务器根据用户当前信息和相应的历史信息确定用户风险,进而选择相应的认证方式;在接收到通用认证服务器发送的认证响应后,对认证响应中包括的指令进行查询;在认证响应中包括页面控制指令的情况下,呈现与页面控制指令相对应的认证页面,以便用户输入相应的认证信息;将认证信息发送给通用认证服务器以进行认证。
在一些实施例中,上述方法还包括:在认证响应中包括认证结束指令的情况下,将认证响应中携带的合法性验证信息发送给业务服务器,以便业务服务器利用通用认证服务器对合法性验证信息进行认证;在接收到业务服务器发送的认证成功的情况下,继续执行移动业务。
在一些实施例中,在将认证信息发送给通用认证服务器以进行认证后,还包括:在接收到通用认证服务器再次发送的认证响应后,重复执行对认证响应中包括的指令进行查询的步骤。
在一些实施例中,在执行移动业务时,还包括:向业务服务器发送信息获取请求,以便业务服务器从通用认证服务器获取认证令牌;在接收到业务服务器发送的认证令牌后,利用认证令牌对认证请求进行加密,以便将加密后的认证请发送给通用认证服务器。
在一些实施例中,上述方法还包括:设置与页面控制指令相对应的认证页面,以便对认证页面进行动态调整。
根据本公开的一个或多个实施例的另一个方面,提供一种安全认证装置,包括:业务执行模块,被配置为在执行移动业务时,向通用认证模块发送触发信息;通用认证模块,被配置为在接收到触发信息后,向通用认证服务器发送认证请求,认证请求包括用户当前信息,以便通用认证服务器根据用户当前信息和相应的历史信息确定用户风险,进而选择相应的认证方式;在接收到通用认证服务器发送的认证响应后,对认证响应中包括的指令进行查询;在认证响应中包括页面控制指令的情况下,呈现与页面控制指令相对应的认证页面,以便用户输入相应的认证信息;将认证信息发送给通用认证服务器以进行认证。
在一些实施例中,通用认证模块还被配置为在认证响应中包括认证结束指令的情况下,将认证响应中携带的合法性验证信息发送给业务执行模块;业务执行模块,被配置为将合法性验证信息发送给业务服务器,以便业务服务器利用通用认证服务器对合法性验证信息进行认证;在接收到业务服务器发送的认证成功的情况下,继续执行移动业务。
在一些实施例中,通用认证模块还被配置为在接收到通用认证服务器再次发送的认证响应后,重复执行对认证响应中包括的指令进行查询的操作。
在一些实施例中,业务执行模块还被配置为在执行移动业务时,向业务服务器发送信息获取请求,以便业务服务器从通用认证服务器获取认证令牌,将认证令牌发送给通用认证模块;
通用认证模块还被配置为利用认证令牌对认证请求进行加密,以便将加密后的认证请发送给通用认证服务器。
在一些实施例中,通用认证模块还被配置为设置与页面控制指令相对应的认证页面,以便对认证页面进行动态调整。
根据本公开的一个或多个实施例的另一个方面,提供一种安全认证装置,包括:存储器,被配置为存储指令;处理器,耦合到存储器,处理器被配置为基于存储器存储的指令执行实现如上述任一实施例涉及的方法。
根据本公开的一个或多个实施例的又一个方面,提供一种移动终端,包括:如上述任一实施例涉及的安全认证装置。
根据本公开的一个或多个实施例的又一个方面,提供一种安全认证系统,包括:如上述任一实施例涉及的移动终端,以及通用认证服务器,被配置为根据移动终端发送的认证请求后,根据用户当前信息以及相应的历史信息确定用户风险,进而选择相应的认证方式,向移动终端发送认证响应,并对移动终端发送的认证信息进行认证。
在一些实施例中,通用认证服务器还被配置为在认证成功后,进一步根据用户风险选择相应的认证方式,并向移动终端发送相应的认证响应。
在一些实施例中,上述系统还包括:业务服务器,配置为将移动终端发送的合法性验证信息转发给通用认证服务器,将通用认证服务器发送的认证结果转发给移动终端,以便移动终端在认证成功的情况下继续执行移动业务。
在一些实施例中,业务服务器还被配置为在移动终端发送的信息获取请求转发给通用认证服务器,将通用认证服务器发送的认证令牌发送给移动终端。
根据本公开的一个或多个实施例的另一个方面,提供一种计算机可读存储介质,其中,计算机可读存储介质存储有计算机指令,指令被处理器执行时实现如上述任一实施例涉及的方法。
通过以下参照附图对本公开的示例性实施例的详细描述,本公开的其它特征及其优点将会变得清楚。
附图说明
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本公开一个实施例的安全认证方法的示例性流程图;
图2为本公开另一个实施例的安全认证方法的示例性流程图;
图3为本公开一个实施例的安全认证装置的示例性框图;
图4为本公开又一个实施例的安全认证装置的示例性框图;
图5为本公开一个实施例的安全认证系统的示例性框图;
图6为本公开另一个实施例的安全认证系统的示例性框图;
图7为本公开一个实施例的安全认证流程示意图;
图8为本公开另一个实施例的安全认证流程示意图。
具体实施方式
下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本公开一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本公开及其应用或使用的任何限制。基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
图1为本公开一个实施例的安全认证方法的示例性流程图。在一些实施例中,本实施例的方法步骤可由安全认证装置执行。
在步骤101,在执行移动业务时,向通用认证服务器发送认证请求,认证请求包括用户当前信息,以便通用认证服务器根据用户当前信息和相应的历史信息确定用户风险,进而选择相应的认证方式。
在一些实施例中,用户当前信息包括用户终端当前标识(例如,IMSI等)、WiFi网卡地址、终端不同平台专属设备表示(例如,Android为Android_ID,IOS为UUID等)、终端当前号码、终端内网IP地址、公网IP地址、终端地理位置信息、当前业务场景信息等。
在一些实施例中,安全认证装置可先向业务服务器发送信息获取请求,以便业务服务器从通用认证服务器获取认证令牌。安全认证装置在接收到业务服务器发送的认证令牌后,利用认证令牌对认证请求进行加密,以便将加密后的认证请发送给通用认证服务器。由此可提高信息传输的安全性。
在一些实施例中,通用认证服务器根据用户当前信息和相应的历史信息确定用户风险,并根据用户风险等级选择相应的认证方式。例如,若用户风险较高,则可选择用户进行多种认证组合方式,若用户风险较低,则可使用单一的认证方式,若用户可信,则无需进行认证。
在步骤102,在接收到通用认证服务器发送的认证响应后,对认证响应中包括的指令进行查询。
在步骤103,在认证响应中包括页面控制指令的情况下,呈现与页面控制指令相对应的认证页面,以便用户输入相应的认证信息。
在一些实施例中,可根据需要设置与页面控制指令相对应的认证页面,以便对认证页面进行动态调整。
在步骤104,将认证信息发送给通用认证服务器以进行认证。
在本公开上述实施例提供的安全认证方法中,通过根据通用认证服务器提供的页面控制指令呈现相应的认证页面,从而可确保在不同业务场景下为用户提供动态认证方式,由此提升了移动金融的安全性。
图2为本公开另一个实施例的安全认证方法的示例性流程图。在一些实施例中,本实施例的方法步骤可由安全认证装置执行。
在步骤201,在执行移动业务时,向通用认证服务器发送认证请求,认证请求包括用户当前信息,以便通用认证服务器根据用户当前信息和相应的历史信息确定用户风险,进而选择相应的认证方式。
在步骤202,接收通用认证服务器发送的认证响应。
在步骤203,对认证响应中包括的指令进行查询。
在认证响应中包括页面控制指令的情况下,执行步骤204;在认证响应中包括认证结束指令的情况下,执行步骤206。
在步骤204,呈现与页面控制指令相对应的认证页面,以便用户输入相应的认证信息。
在步骤205,将认证信息发送给通用认证服务器以进行认证。然后重复执行步骤202。
在这个过程中,可根据通用认证服务器下发的页面控制指令进行多次认证。例如,通用认证服务器第一次下发进行刷脸认证的指令,安全认证装置显示相应的认证页面以便用户进行刷脸认证。接下来,通用认证服务器根据用户风险等级,再次下发了进行指纹验证的指令,安全认证装置显示相应的认证页面以便用户进行指纹认证。由此,可根据通用认证服务器发送的多个页面控制指令,进行动态认证组合。
在步骤206,将认证响应中携带的合法性验证信息发送给业务服务器,以便业务服务器利用通用认证服务器对合法性验证信息进行认证。
在步骤207,在接收到业务服务器发送的认证成功指示的情况下,继续执行移动业务。
通过利用通用认证服务器对合法性验证信息进行认证,能够对合法性验证信息的真实性进行验证,从而进一步提升系统安全性。
图3为本公开一个实施例的安全认证装置的示例性框图。如图3所示,安全认证装置包括业务执行模块31和通用认证模块32。
业务执行模块31被配置为在执行移动业务时,向通用认证模块发送触发信息。
通用认证模块32被配置为在接收到触发信息后,向通用认证服务器发送认证请求,认证请求包括用户当前信息,以便通用认证服务器根据用户当前信息和相应的历史信息确定用户风险,进而选择相应的认证方式。通用认证模块32在接收到通用认证服务器发送的认证响应后,对认证响应中包括的指令进行查询,在认证响应中包括页面控制指令的情况下,呈现与页面控制指令相对应的认证页面,以便用户输入相应的认证信息;将认证信息发送给通用认证服务器以进行认证。
在一些实施例中,通用认证模块32还被配置为在接收到通用认证服务器再次发送的认证响应后,重复执行对认证响应中包括的指令进行查询的操作。
在本公开上述实施例提供的安全认证装置中,通过根据通用认证服务器提供的页面控制指令呈现相应的认证页面,从而可确保在不同业务场景下为用户提供动态认证方式,由此提升了移动金融的安全性。
在一些实施例中,通用认证模块32还被配置为在认证响应中包括认证结束指令的情况下,将认证响应中携带的合法性验证信息发送给业务执行模块31。
业务执行模块31还被配置为将合法性验证信息发送给业务服务器,以便业务服务器利用通用认证服务器对合法性验证信息进行认证;在接收到业务服务器发送的认证成功的情况下,继续执行移动业务。
通过利用通用认证服务器对合法性验证信息进行认证,能够对合法性验证信息的真实性进行验证,从而进一步提升系统安全性。
在一些实施例中,通用认证模块31还被配置为设置与页面控制指令相对应的认证页面,以便对认证页面进行动态调整。
在一些实施例中,业务执行模块31还被配置为在执行移动业务时,向业务服务器发送信息获取请求,以便业务服务器从通用认证服务器获取认证令牌。业务执行模块31将认证令牌发送给通用认证模块。通用认证模块32还被配置为利用认证令牌对认证请求进行加密,以便将加密后的认证请发送给通用认证服务器。
通过利用认证令牌对认证请求进行加密,从而进一步提升信息安全性。
图4为本公开又一个实施例的安全认证装置的示例性框图。如图4所示,安全认证装置包括存储器41和处理器42。
存储器41用于存储指令,处理器42耦合到存储器41,处理器42被配置为基于存储器存储的指令执行实现如图1至图2中任一实施例涉及的方法。
如图4所示,该安全认证装置还包括通信接口43,用于与其它设备进行信息交互。同时,该装置还包括总线44,处理器42、通信接口43、以及存储器41通过总线44完成相互间的通信。
存储器41可以包含高速RAM存储器,也可还包括非易失性存储器(non-volatilememory),例如至少一个磁盘存储器。存储器41也可以是存储器阵列。存储器41还可能被分块,并且块可按一定的规则组合成虚拟卷。
此外,处理器42可以是一个中央处理器CPU,或者可以是专用集成电路ASIC,或者是被配置成实施本公开实施例的一个或多个集成电路。
本公开同时还涉及一种计算机可读存储介质,其中计算机可读存储介质存储有计算机指令,指令被处理器执行时实现如图1至图2中任一实施例涉及的方法。
本公开还提供一种移动终端,包括如上述任一实施例涉及的安全认证装置。由此,该移动终端运行相应移动业务时,能够根据通用认证服务器的指示为用户提供动态认证方式组合。
图5为本公开一个实施例的安全认证系统的示例性框图。如图5所示,安全认证系统包括移动终端51和通用认证服务器52。移动终端51为上述任一实施例涉及的移动终端。
通用认证服务器52被配置为根据移动终端51发送的认证请求后,根据用户当前信息以及相应的历史信息确定用户风险,进而选择相应的认证方式,向移动终端发送认证响应。通用认证服务器52还对移动终端发送的认证信息进行认证。
在一些实施例中,通用认证服务器52还被配置为在认证成功后,进一步根据用户风险选择相应的认证方式,并向移动终端发送相应的认证响应。
在一些实施例中,通用认证服务器52可通过大数据、卷积神经网络等数据处理手段对用户数据进行分析,以得到用户风险等级,进而确定相应的认证方式。
例如,通过分析移动终端所处的地址,得知该移动终端当前位于广州,而在3分钟前该移动终端位于北京。显然,用户无法在3分钟内从北京到达广州,因此相应的移动业务运行风险很高。在这种情况下,可指示移动终端进行诸如刷脸认证、密码认证、指纹认证、历史订单认证等多种认证组合。
又例如,通过分析数据,选择该用户进行指纹认证。但由于该用户在几分钟前刚完成了指纹认证,并且其它相关信息并未发生变化,在这种情况下可认定该用户是可信的。由此直接向移动终端发送认证结束指令,即用户可直接跳过认证步骤,这样可直接提高订单的转化率。
此外,若系统当前推广刷脸认证,可在向移动终端发送有关刷脸认证的页面控制指令,由此可在不同情况下均对用户进行刷脸认证。从而提升了系统管理的灵活度。
由于如何对用户数据进行分析处理以评估用户风险并不是本公开的发明点所在,因此这里不展开描述。
图6为本公开另一个实施例的安全认证系统的示例性框图。与图5所示实施例相比,在图6所示实施例中,安全认证系统还包括业务服务器53。
业务服务器53被配置为将移动终端发送的合法性验证信息转发给通用认证服务器52,将通用认证服务器52发送的认证结果转发给移动终端,以便移动终端51在认证成功的情况下继续执行移动业务。
在一些实施例中,业务服务器53还被配置为将移动终端51发送的信息获取请求转发给通用认证服务器52,将通用认证服务器52发送的认证令牌发送给移动终端51。从而移动终端51利用该认证令牌对发送给通用认证服务器52的信息进行加密。
图7为本公开一个实施例的安全认证流程示意图。
在步骤701,移动终端中的业务执行模块在执行相应移动业务时,向业务服务器发送令牌申请信息。
在步骤702,业务服务器将令牌申请信息发送给通用认证服务器。
在步骤703,通用认证服务器将令牌下发给业务服务器。
在步骤704,业务服务器将接收到的令牌发送给业务执行模块。
在步骤705,业务执行模块将接收到的令牌发送给移动终端中的通用认证模块。
在步骤706,通用认证模块利用接收到的令牌对认证请求进行加密。
在一些实施例中,用户当前信息包括用户终端当前标识(例如,IMSI等)、WiFi网卡地址、终端不同平台专属设备表示(例如,Android为Android_ID,IOS为UUID等)、终端当前号码、终端内网IP地址、公网IP地址、终端地理位置信息、当前业务场景信息等。
在步骤707,通用认证模块将加密后的认证请求发送给通用认证服务器。
在步骤708,通用认证服务器对接收的认证请求解密后,根据用户当前信息以及相应的历史信息确定用户风险,进而选择相应的认证方式。
在步骤709,通用认证服务器向通用认证模块发送认证响应。
在步骤710,通用认证模块对认证响应中的指令进行查询。
在认证响应中包括页面控制指令的情况下,执行步骤711;在认证响应中包括认证结束指令的情况下,执行步骤713。
在步骤711,通用认证模块呈现与页面控制指令相对应的认证页面,以便用户输入相应的认证信息。
在步骤712,通用认证模块将认证信息发送给通用认证服务器以进行认证。
通用认证服务器在对认证信息进行认证后,重复执行步骤708。其中,若还需要对用户进行认证,则认证响应中会携带响应的页面控制指令;若无需再对用户进行认证,则认证响应中会携带认证结束指令及相应的验证串信息。
在步骤713,通用认证模块从认证响应中提取出验证串信息。
在步骤714,通用认证模块将验证串信息发送给业务执行模块,以表明用户认证成功。
图8为本公开另一个实施例的安全认证流程示意图。在该实施例中,业务执行模块在得到验证串信息后,还可将该验证串信息发送给通用认证服务器进行验证,以进一步提升系统安全性。
在步骤801,业务执行模块将通用认证模块发送的验证串信息发送给业务服务器。
在步骤802,业务服务器将接收到的验证串信息发送给通用认证服务器。
在步骤803,通用认证服务器对接收到的验证串信息进行验证。
在步骤804,通用认证服务器将验证结果发送业务服务器。
在步骤805,业务服务器将验证结果发送给业务执行模块。
在步骤806,业务执行模块对验证结果进行识别。
在步骤807,若验证串验证成功,则继续完成后续的业务流程。
本公开通过根据通用认证服务器提供的页面控制指令呈现相应的认证页面,从而可确保在不同业务场景下为用户提供动态认证方式,由此提升了移动金融的安全性。
在一些实施例中,在上面所描述的功能单元模块可以实现为用于执行本公开所描述功能的通用处理器、可编程逻辑控制器(Programmable Logic Controller,简称:PLC)、数字信号处理器(Digital Signal Processor,简称:DSP)、专用集成电路(ApplicationSpecific Integrated Circuit,简称:ASIC)、现场可编程门阵列(Field-ProgrammableGate Array,简称:FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件或者其任意适当组合。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
本公开的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本公开限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本公开的原理和实际应用,并且使本领域的普通技术人员能够理解本公开从而设计适于特定用途的带有各种修改的各种实施例。