CN111711628B - 网络通信身份认证方法、装置、系统、设备及存储介质 - Google Patents
网络通信身份认证方法、装置、系统、设备及存储介质 Download PDFInfo
- Publication number
- CN111711628B CN111711628B CN202010548431.7A CN202010548431A CN111711628B CN 111711628 B CN111711628 B CN 111711628B CN 202010548431 A CN202010548431 A CN 202010548431A CN 111711628 B CN111711628 B CN 111711628B
- Authority
- CN
- China
- Prior art keywords
- password
- network request
- user
- user identity
- time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0838—Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Telephonic Communication Services (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开涉及一种网络通信身份认证方法、装置、系统、设备及存储介质,所述方法包括:在接收到携带用户身份标识和第一密码的网络请求后,获取与该网络请求中的用户身份标识唯一对应的密码生成信息,并基于该密码生成信息为该网络请求生成一次性密码,作为第二密码。然后,将第一密码和第二密码进行匹配,基于匹配结果确定该网络请求对应的身份认证结果。本公开能够在避免网络请求重放风险的基础上,进一步的实现了针对网络请求的身份认证,一定程度上保证了网络通信中的数据安全性。
Description
技术领域
本公开涉及数据安全技术领域,尤其涉及一种网络通信身份认证方法、装置、系统、设备及存储介质。
背景技术
网络通信身份认证,是指用户在登录网络安全系统时或者登录网络安全系统后,向身份认证系统表明自己的身份,经过身份认证系统识别确认身份后,根据用户身份、权限级别等决定其能否访问某个资源或者执行某项操作。可见,网络通信身份认证是网络通信过程中最基本的安全服务,正是由于身份认证系统的特殊作用和重要地位,黑客攻击的首要目标也是身份认证系统,一旦身份认证系统被黑客或者病毒攻破,其他安全措施形同虚设。
目前,在网络通信过程中,通常仅基于用户登录信息进行网络通信身份认证,而在网络传输过程中,黑客等攻击者可能通过网络抓包、攻击网络路由器等方式窃取用户登录信息,进而基于窃取到的用户登录信息对网络传输过程中的网络请求进行重放。由于服务端仅基于用户登录信息进行身份认证,无法准确识别到被重放的网络请求的不安全性,因此,这种身份认证方式无法保证网络通信中的数据安全。
发明内容
为了解决上述技术问题或者至少部分地解决上述技术问题,本公开提供了一种网络通信身份认证方法、装置、系统、设备及存储介质。
第一方面,本公开提供了一种网络通信身份认证方法,所述方法包括:
接收携带用户身份标识和第一密码的网络请求;所述第一密码为客户端基于与所述用户身份标识唯一对应的密码生成信息为所述网络请求生成的一次性密码;
获取与所述网络请求中的所述用户身份标识唯一对应的密码生成信息;
基于所述密码生成信息为所述网络请求生成一次性密码,作为第二密码;
将所述第一密码和所述第二密码进行匹配,得到匹配结果;
基于所述匹配结果,确定所述网络请求对应的身份认证结果。
一种可选的实施方式中,所述网络请求中还包括所述用户身份标识对应的用户登录信息;
所述基于所述匹配结果,确定所述网络请求对应的身份认证结果之前,还包括:
基于所述用户登录信息,对所述网络请求进行用户身份认证,得到登录信息认证结果;
所述基于所述匹配结果,确定所述网络请求对应的身份认证结果,包括:
如果所述匹配结果为匹配成功且所述登录信息认证结果为认证成功,则确定所述网络请求对应的身份认证结果为认证成功,否则,确定所述网络请求对应的身份认证结果为认证失败。
一种可选的实施方式中,所述接收携带用户身份标识和第一密码的网络请求之前,还包括:
响应于来自客户端的针对用户的登录请求,对所述登录请求进行登录信息验证;
在验证成功后的预设时间段内,向所述客户端返回与所述用户唯一对应的密码生成信息,所述密码生成信息用于发起针对所述用户的网络请求。
一种可选的实施方式中,所述密码生成信息为基于与所述用户身份标识对应的用户身份信息生成的字符串。
一种可选的实施方式中,所述第一密码对应的一次性动态信息是所述客户端生成第一密码时的实时时间;
相应的,所述基于所述密码生成信息为所述网络请求生成一次性密码,作为第二密码,包括:
基于实时时间以及所述密码生成信息,为所述网络请求生成一次性密码,作为第二密码;
或者,所述第一密码对应的一次性动态信息是所述客户端生成第一密码时所述用户身份标识对应的密码生成次数;
相应的,所述基于所述密码生成信息为所述网络请求生成一次性密码,作为第二密码,包括:
基于所述用户身份标识对应的密码生成次数以及所述密码生成信息,为所述网络请求生成一次性密码,作为第二密码。
第二方面,本公开还提供了一种网络通信身份认证方法,所述方法包括:
基于与当前登录用户的用户身份标识唯一对应的密码生成信息,生成一次性密码,作为第一密码;
根据所述第一密码和所述用户身份标识生成网络请求,并发送所述网络请求;所述网络请求用于请求基于一次性密码对用户身份进行认证,并在认证通过时响应所述网络请求。
一种可选的实施方式中,所述基于与当前登录用户的用户身份标识唯一对应的密码生成信息,生成一次性密码,作为第一密码之前,还包括:
在接收到当前登录用户的登录成功消息后的预设时间段内,获取与所述当前登录用户唯一对应的密码生成信息。
一种可选的实施方式中,所述基于与当前登录用户的用户身份标识唯一对应的密码生成信息,生成一次性密码,作为第一密码,包括:
利用已加密的一次性密码生成系统,基于与当前登录用户的用户身份标识唯一对应的密码生成信息,生成一次性密码,作为第一密码。
第三方面,本公开还提供了一种网络通信身份认证装置,所述装置包括:
接收模块,用于接收携带用户身份标识和第一密码的网络请求;所述第一密码为基于与所述用户身份标识唯一对应的密码生成信息为所述网络请求生成的一次性密码;
获取模块,用于获取与所述网络请求中的所述用户身份标识唯一对应的密码生成信息;
第一生成模块,用于基于所述密码生成信息为所述网络请求生成一次性密码,作为第二密码;
匹配模块,用于将所述第一密码和所述第二密码进行匹配,得到匹配结果;
确定模块,用于基于所述匹配结果,确定所述网络请求对应的身份认证结果。
第四方面,本公开还提供了一种网络通信身份认证装置,所述装置包括:
第二生成模块,用于基于与当前登录用户的用户身份标识唯一对应的密码生成信息,生成一次性密码,作为第一密码;
第三生成模块,用于根据所述第一密码和所述用户身份标识生成网络请求,并发送所述网络请求;所述网络请求用于请求基于一次性密码对用户身份进行认证,并在认证通过时响应所述网络请求。
第五方面,本公开还提供了一种网络通信身份认证系统,所述系统包括客户端和服务端;
所述客户端,用于基于与当前登录用户的用户身份标识唯一对应的密码生成信息,生成一次性密码,作为第一密码;并根据所述第一密码和所述用户身份标识生成网络请求,以及向所述服务端发送所述网络请求;
所述服务端,用于获取与所述网络请求中的所述用户身份标识唯一对应的密码生成信息;并基于所述密码生成信息为所述网络请求生成一次性密码,作为第二密码;以及将所述第一密码和所述第二密码进行匹配,得到匹配结果;并基于所述匹配结果,确定所述网络请求对应的身份认证结果。
第六方面,本公开提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当所述指令在终端设备上运行时,使得所述终端设备实现上述任一项所述的方法。
第七方面,本公开提供了一种设备,包括:存储器,处理器,及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时,实现上述任一项所述的方法。
本公开实施例提供的技术方案与现有技术相比具有如下优点:
本公开实施例提供的网络通信身份认证方法中,在接收到携带用户身份标识和第一密码的网络请求后,获取与该网络请求中的用户身份标识唯一对应的密码生成信息,并基于该密码生成信息为该网络请求生成一次性密码,作为第二密码。然后,将第一密码和第二密码进行匹配,基于匹配结果确定该网络请求对应的身份认证结果。由于第一密码和第二密码是一次性密码,因此,通过对第一密码和第二密码的匹配能够避免网络请求重放的风险,另外,由于第一密码和第二密码的生成基于与用户身份标识唯一对应的密码生成信息,因此,通过对第一密码和第二密码的匹配能够对用户身份进行认证。可见,本公开提供的网络通信身份认证方法能够在避免网络请求重放风险的基础上,进一步的实现了针对网络请求的身份认证,一定程度上保证了网络通信中的数据安全性。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本公开实施例提供的一种网络通信身份认证方法的流程图;
图2为本公开实施例提供的另一种网络通信身份认证方法的流程图;
图3为本公开实施例提供的一种网络通信身份认证方法的数据交互图;
图4为本公开实施例提供的一种网络通信身份认证装置的结构示意图;
图5为本公开实施例提供的另一种网络通信身份认证装置的结构示意图;
图6为本公开实施例提供的一种网络通信身份认证系统的结构示意图;
图7为本公开实施例提供的一种网络通信身份认证设备的结构示意图。
具体实施方式
为了能够更清楚地理解本公开的上述目的、特征和优点,下面将对本公开的方案进行进一步描述。需要说明的是,在不冲突的情况下,本公开的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本公开,但本公开还可以采用其他不同于在此描述的方式来实施;显然,说明书中的实施例只是本公开的一部分实施例,而不是全部的实施例。
数据重放,又称为重放攻击,是指攻击者利用网络监听或者其他方式盗取认证凭据,然后再把它重新发给认证服务器的过程。目前的网络通信过程中的身份认证方法不能避免数据重放的风险。
为此,本公开提供了一种网络通信身份认证方法,具体的,在接收到携带用户身份标识和第一密码的网络请求后,获取与该网络请求中的用户身份标识唯一对应的密码生成信息,并基于该密码生成信息为该网络请求生成一次性密码,作为第二密码。然后,将第一密码和第二密码进行匹配,基于匹配结果确定该网络请求对应的身份认证结果。
本公开实施例中,由于第一密码和第二密码是一次性密码,因此,通过对第一密码和第二密码的匹配能够避免网络请求重放的风险,另外,由于第一密码和第二密码的生成基于与用户身份标识唯一对应的密码生成信息,因此,通过对第一密码和第二密码的匹配能够对用户身份进行认证。可见,本公开提供的网络通信身份认证方法能够在避免网络请求重放风险的基础上,进一步的实现了针对网络请求的身份认证,一定程度上保证了网络通信中的数据安全性。
以下本公开实施例提供了一种网络通信身份认证方法,参考图1,图1为本公开实施例提供的一种网络通信身份认证方法的流程图,该网络通信身份认证方法包括:
S101:接收携带用户身份标识和第一密码的网络请求;所述第一密码为基于与所述用户身份标识唯一对应的密码生成信息为所述网络请求生成的一次性密码。
本公开实施例中,用户身份标识用于唯一标识用户身份,例如可以为用户手机号码、用户名称、用户邮箱等。密码生成信息为用于生成网络请求的第一密码的信息,可以包括至少一种类型的用户身份信息,例如可以包括用户身份证号码、用户手机号码、用户邮箱中的至少一种。
为了进一步的保证第一密码的数据安全性,用于生成第一密码的密码生成信息,也可以包括基于与用户身份标识唯一对应的用户身份信息生成的字符串或随机字符串等,例如可以包括基于用户名生成的字符串,也可以包括为用户随机生成的关键key值,通常key值为大于6个字符的字符串。由于上述密码生成信息并非用户身份信息的明文形式,因此,攻击者能够获取到密码生成信息的几率较低,从而基于上述密码生成信息生成的第一密码的数据安全性较高。
实际应用中,在网络通信过程中,客户端在向服务端发送网络请求之前,首先获取该网络请求携带的用户身份标识唯一对应的密码生成信息,然后基于该密码生成信息为该网络请求生成一次性密码,作为第一密码,其次,将该第一密码和用户身份标识封装于该网络请求后发送至服务端,以请求服务端对该网络请求进行身份认证。
举例说明,在网络通信过程中,客户端在向服务端发送网络请求之前,首先获取该网络请求携带的用户身份标识唯一对应的密码生成信息,例如为用户手机号码,然后基于该用户手机号码和实时时间为该网络请求生成一次性密码,作为第一密码,其次,将该第一密码和该客户端用户的用户身份标识封装于该网络请求中,并将该网络请求发送至服务端,以便服务端能够基于该网络请求中的第一密码和用户身份标识进行身份认证,并基于身份认证结果确定对该网络请求的后续处理方式。
一种可选的实施方式中,客户端可以部署有一次性密码生成系统,具体的,客户端可以利用一次性密码生成系统生成第一密码,具体的,将密码生成信息和一次性动态信息作为一次性密码生成系统的输入参数,经过一次性密码生成系统中的密码生成算法的处理后,由一次性密码生成系统输出一次性密码,作为第一密码。
为了保证数据安全性,本公开实施例可以对部署于客户端的一次性密码生成系统进行加密等处理,例如可以对该一次性密码生成系统进行代码混淆处理,以便攻击者无法获知一次性密码生成系统中的密码生成算法,保证了一次性密码的数据安全。
S102:获取与所述网络请求中的所述用户身份标识唯一对应的密码生成信息。
本公开实施例中,服务端在接收到网络请求之后,首先对该网络请求进行解析,以获取该网络请求中携带的用户身份标识和第一密码,然后基于该用户身份标识,获取与该用户身份标识唯一对应的密码生成信息,用于后续第二密码的生成。
实际应用中,服务端可以预先存储有用户身份标识与密码生成信息的对应关系,服务端在获取到网络请求中携带的用户身份标识之后,从预先存储的用户身份标识与密码生成信息的对应关系中,获取与该用户身份标识唯一对应的密码生成信息。
S103:基于与所述用户身份标识唯一对应的密码生成信息,为所述网络请求生成一次性密码,作为第二密码。
本公开实施例中,服务端在获取到与用户身份标识唯一对应的密码生成信息之后,利用密码生成算法,基于该密码生成信息生成一次性密码,作为该网络请求的第二密码。值得注意的是,服务端的密码生成算法与客户端的密码生成算法相同。
本公开实施例中的第一密码和第二密码的生成还需要一次性动态信息,其中,一次性动态信息具有时效性,可以包括当前时间信息等,由于一次性动态信息具有时效性,因此基于一次性动态信息生成的第一密码和第二密码也具有时效性,通常具有时效性的密码被称为一次性密码。
一种可选的实施方式中,网络请求携带的第一密码对应的一次性动态信息是客户端生成第一密码时的实时时间,相应的,服务端也基于实时时间生成一次性密码,作为该网络请求的第二密码。
另一种可选的实施方式中,网络请求携带的第一密码对应的一次性动态信息是客户端生成第一密码时,该网络请求中的用户身份标识对应的密码生成次数,相应的,服务端也基于该用户身份标识对应的密码生成次数生成一次性密码,作为该网络请求的第二密码。其中,用户身份标识对应的密码生成次数是指针对该用户身份标识的一次性密码的生成次数。
具体的,客户端中存储有用户身份标识对应的密码生成次数,具体为客户端针对该用户身份标识生成的一次性密码的次数。随着针对该用户身份标识生成一次性密码的次数的增加,客户端存储的该用户身份标识对应的密码生成次数也相应的增加,例如加1;相应的,服务端中存储的针对该用户身份标识的密码生成次数,是指服务端针对该用户身份标识生成一次性密码的次数,随着该用户身份标识对应的一次性密码的生成次数的增加,服务端中存储的该用户身份标识对应的密码生成次数也相应的增加,例如加1。
由于正常情况下针对同一用户身份标识,客户端和服务端分别对应的密码生成次数通常相同,且密码生成次数具有隐私性,因此,本公开实施例基于密码生成次数生成一次性密码,且基于一次性密码对网络请求进行身份验证,能够避免网络请求的重放。
S104:将所述第一密码和所述第二密码进行匹配,得到匹配结果。
本公开实施例中,在生成网络请求对应的第二密码之后,将该网络请求中携带的第一密码和该第二密码进行匹配,得到匹配结果。
由于针对同一网络请求,用于生成该网络请求对应的第一密码和第二密码的密码生成信息相同,且第一密码和第二密码对应的一次性动态信息的差值小于预设阈值,同时用于生成第一密码和第二密码的密码生成算法相同,因此,正常情况下,针对该网络请求的第一密码和第二密码能够匹配成功。
实际应用中,服务端针对第一密码和第二密码之间的差别,确定第一密码和第二密码的匹配结果,如果第一密码和第二密码之间的差别大于预设标准,则可以确定第一密码和第二密码的匹配结果为匹配失败;如果第一密码和第二密码之间的差别不大于预设标准,则可以确定第一密码和第二密码的匹配结果为匹配成功。其中,预设标准可以为预设标准数值等。
一种可选的实施方式中,可以利用预设匹配算法对某一网络请求对应的第一密码和第二密码进行匹配,将第一密码和第二密码作为该预设匹配算法的输入,经过该预设匹配算法的处理后,输出第一密码和第二密码的匹配结果。
S105:基于所述匹配结果,确定所述网络请求对应的身份认证结果。
本公开实施例中,在确定第一密码和第二密码的匹配结果之后,如果该匹配结果为匹配成功,则可以确定针对该网络请求的用户身份认证通过,进一步的可以直接对该网络请求进行后续的响应处理等。如果该匹配结果为匹配失败,则可以确定针对该网络请求的用户身份认证未通过,进一步的可以直接丢弃该网络请求。
本公开实施例提供的网络通信身份认证方法中,服务端在接收到携带用户身份标识和第一密码的网络请求后,获取与该网络请求中的用户身份标识唯一对应的密码生成信息,并基于该密码生成信息为该网络请求生成一次性密码,作为第二密码。然后,将第一密码和第二密码进行匹配,基于匹配结果确定该网络请求对应的身份认证结果。由于第一密码和第二密码是一次性密码,因此,通过对第一密码和第二密码的匹配能够避免网络请求重放的风险,另外,由于第一密码和第二密码的生成基于与用户身份标识唯一对应的密码生成信息,因此,通过对第一密码和第二密码的匹配能够对用户身份进行认证。可见,本公开实施例提供的网络通信身份认证方法能够在避免网络请求重放风险的基础上,进一步的实现了针对网络请求的用户身份认证,一定程度上保证了网络通信中的数据安全性。
一种应用场景中,本公开实施例提供的网络通信身份认证方法应用于用户登录成功后的网络通信过程中,具体的,参考图2,为本公开实施例提供的另一种网络通信身份认证方法的流程图,该网络通信身份认证方法包括:
S201:响应于来自客户端的针对用户的登录请求,对所述登录请求进行登录信息验证。
S202:在验证成功后的预设时间段内,向所述客户端返回与所述用户唯一对应的密码生成信息,所述密码生成信息用于发起针对所述用户的网络请求。
本公开实施例中,为了保证密码生成信息的安全性,服务端对针对用户的登录请求验证成功之后,预设时间段内向客户端返回与该用户唯一对应的密码生成信息,以降低密码生成信息在由服务端传输至客户端的过程中被攻击者窃取的概率。
例如,服务端在对用户的登录请求验证成功之后的1分钟之内,将该用户唯一对应的密码生成信息发送至客户端。对于在其他时间点向服务端请求该密码生成信息的消息,服务端可以不予处理,以降低密码生成信息泄露的概率。
另外,客户端在接收到当前登录用户的登录成功消息后的预设时间段内,也可以从服务端获取与当前登录用户唯一对应的密码生成信息。
一种可选的实施方式中,密码生成信息可以由服务端生成后同步至客户端的,具体的,服务端在对用户的登录请求验证成功之后,为该用户生成唯一对应的密码生成信息,并在预设时间段内,将该密码生成信息返回至该用户对应的客户端,以便该客户端能够基于该密码生成信息为网络请求生成第一密码。
一种可选的实施方式中,由服务端生成且被同步至客户端的密码生成信息,可以为随机字符串,也可以为基于该用户的至少一种用户身份信息生成的字符串。
另一种可选的实施方式中,为了增加第一密码和第二密码的复杂度,进一步提高网络通信中的数据安全性,本公开实施例还可以将至少一种用户身份信息用于生成第一密码和第二密码。具体的,可以基于至少一种用户身份信息、密码生成信息以及一次性动态信息生成第一密码和第二密码。
实际应用中,上述至少一种用户身份信息可以是服务端在将生成的密码生成信息同步至客户端的同时,将该至少一种用户身份信息一起同步至该客户端。另外,当客户端存储有该至少一种用户身份信息时,也可以由客户端直接从本地获取,不需要服务端的同步。
S203:接收携带用户身份标识和第一密码的网络请求;所述第一密码为客户端基于与所述用户身份标识唯一对应的密码生成信息为所述网络请求生成的一次性密码。
S204:获取与所述网络请求中的所述用户身份标识唯一对应的密码生成信息。
S205:基于所述密码生成信息为所述网络请求生成一次性密码,作为第二密码;
S206:将所述第一密码和所述第二密码进行匹配,得到匹配结果。
S207:基于所述匹配结果,确定所述网络请求对应的身份认证结果。
本公开实施例中的S203-S207可参照上述实施例中的S101-S105进行理解,在此不再赘述。
本公开实施例提供的网络通信身份认证方法,可以应用于用户登录成功后的每次网络请求对应的用户身份认证,能够在避免网络请求重放风险的基础上,进一步的实现了针对网络请求的用户身份认证,一定程度上保证了网络通信中的数据安全性。
基于上述实施方式,本公开还提供了一种网络通信身份认证方法,参考图3,为本公开实施例提供的一种网络通信身份认证方法的数据交互图。该网络通信身份认证方法包括:
S301:客户端在接收到来自客户端的登录信息验证成功消息后,保存用户登录信息。
一种可选的实施方式中,客户端基于用户的身份凭证信息和密码的登录信息进行登录,也可以基于用户手机号码和短信验证码的登录信息进行登录,然后在确定用户登录成功后,将该用户的用户登录信息保存在客户端的cookie中,具体的,用户登录信息例如包括身份凭证信息、用户手机号码等。
S302:服务端在对用户登录信息验证成功后,为该用户生成唯一的密码生成信息。
S303:服务端在对用户的登录信息验证成功后的预设时间段内,将该密码生成信息返回至客户端,并在客户端加密存储。
一种可选的实施方式中,也可以由客户端在接收到登录信息验证成功消息后的预设时间段内,主动从服务端获取密码生成信息。
S304:客户端确定当前登录用户的用户身份标识,获取与该用户身份标识唯一对应的密码生成信息,并基于该密码生成信息生成一次性密码,作为该网络请求的第一密码。
S305:客户端将携带用户登录信息和第一密码的网络请求发送至服务端。其中,用户登录信息中包括用户身份标识。
S306:服务端接收到网络请求后,获取该网络请求中的用户登录信息,基于用户登录信息中的用户身份标识,获取与该用户身份标识唯一对应的密码生成信息,并基于该密码生成信息生成一次性密码,作为该网络请求的第二密码。
S307:服务端将该网络请求对应的第一密码和第二密码进行匹配,得到匹配结果。
S308:服务端基于用户登录信息,对该网络请求进行用户身份认证,得到登录信息认证结果。
S309:如果所述匹配结果为匹配成功且所述登录信息认证结果为认证成功,则确定所述网络请求对应的身份认证结果为认证成功,否则,确定所述网络请求对应的身份认证结果为认证失败。
实际应用中,如果匹配结果为匹配成功,且登录信息认证结果为认证成功,则可以确定该网络请求对应的身份认证结果为认证成功,从而服务端可以对该网络请求进行响应处理等。
如果匹配结果或者登录信息认证结果中的至少一个为不成功,则可以确定该网络请求对应的身份认证结果为认证失败,从而服务端可以拒绝处理该网络请求。
本公开实施例提供的网络通信身份认证方法,在传统的基于用户登录信息进行用户身份认证的基础上,进一步的基于一次性密码进行用户身份认证,最终结合二者的认证结果确定网络请求对应的身份认证结果。可见,本公开实施例能够加强传统的仅基于用户登录信息进行网络通信身份认证的认证准确性,同时降低了网络请求重放的风险。
与上述方法实施例相对应的,本公开还提供了一种网络通信身份认证装置,参考图4,图4为本公开实施例提供的一种网络通信身份认证装置的结构示意图,具体的,所述网络通信身份认证装置包括:
接收模块401,用于接收携带用户身份标识和第一密码的网络请求;所述第一密码为基于与所述用户身份标识唯一对应的密码生成信息为所述网络请求生成的一次性密码;
获取模块402,用于获取与所述网络请求中的所述用户身份标识唯一对应的密码生成信息;
第一生成模块403,用于基于所述密码生成信息为所述网络请求生成一次性密码,作为第二密码;
匹配模块404,用于将所述第一密码和所述第二密码进行匹配,得到匹配结果;
确定模块405,用于基于所述匹配结果,确定所述网络请求对应的身份认证结果。
一种可选的实施方式中,所述网络请求中还包括所述用户身份标识对应的用户登录信息;
所述装置还包括:
第一认证模块,用于基于所述用户登录信息,对所述网络请求进行用户身份认证,得到登录信息认证结果;
所述确定模块,具体用于:
在所述匹配结果为匹配成功且所述登录信息认证结果为认证成功时,确定所述网络请求对应的身份认证结果为认证成功,否则,确定所述网络请求对应的身份认证结果为认证失败。
一种可选的实施方式中,所述装置还包括:
验证模块,用于响应于来自客户端的针对用户的登录请求,对所述登录请求进行登录信息验证;
返回模块,用于在验证成功后的预设时间段内,向所述客户端返回与所述用户唯一对应的密码生成信息,所述密码生成信息用于发起针对所述用户的网络请求。
一种可选的实施方式中,所述密码生成信息为基于与所述用户身份标识对应的用户身份信息生成的字符串。
一种可选的实施方式中,所述第一密码对应的一次性动态信息是所述客户端生成第一密码时的实时时间;
相应的,所述生成模块,具体用于:
基于实时时间以及所述密码生成信息,为所述网络请求生成一次性密码,作为第二密码;
或者,所述第一密码对应的一次性动态信息是所述客户端生成第一密码时所述用户身份标识对应的密码生成次数;
相应的,所述生成模块,具体用于:
基于所述用户身份标识对应的密码生成次数以及所述密码生成信息,为所述网络请求生成一次性密码,作为第二密码。
参考图5,图5为本公开实施例提供的另一种网络通信身份认证装置的结构示意图,具体的,所述网络通信身份认证装置包括:
第二生成模块501,用于基于与当前登录用户的用户身份标识唯一对应的密码生成信息,生成一次性密码,作为第一密码;
第三生成模块502,用于根据所述第一密码和所述用户身份标识生成网络请求,并发送所述网络请求;所述网络请求用于请求基于一次性密码对用户身份进行认证,并在认证通过时响应所述网络请求。
一种可选的实施方式中,所述装置还包括:
信息获取模块,用于在接收到当前登录用户的登录成功消息后的预设时间段内,获取与所述当前登录用户唯一对应的密码生成信息。
一种可选的实施方式中,所述第二生成模块,具体用于:
利用已加密的一次性密码生成系统,基于与当前登录用户的用户身份标识唯一对应的密码生成信息,生成一次性密码,作为第一密码。
本公开实施例提供的网络通信身份认证装置中,由于第一密码和第二密码是一次性密码,因此,通过对第一密码和第二密码的匹配能够避免网络请求重放的风险,另外,由于第一密码和第二密码的生成基于与用户身份标识唯一对应的密码生成信息,因此,通过对第一密码和第二密码的匹配能够对用户身份进行认证。可见,本公开实施例提供的网络通信身份认证方法能够在避免网络请求重放风险的基础上,进一步的实现了针对网络请求的用户身份认证,一定程度上保证了网络通信中的数据安全性。
与上述方法和装置实施例相对应的,本公开实施例还提供了一种网络通信身份认证系统,参考图6,为本公开实施例提供的一种网络通信身份认证系统的结构示意图,所述系统600包括客户端601和服务端602;
所述客户端601,用于基于与当前登录用户的用户身份标识唯一对应的密码生成信息,生成一次性密码,作为第一密码;并根据所述第一密码和所述用户身份标识生成网络请求,以及向所述服务端发送所述网络请求;
所述服务端602,用于获取与所述网络请求中的所述用户身份标识唯一对应的密码生成信息;并基于所述密码生成信息为所述网络请求生成一次性密码,作为第二密码;以及将所述第一密码和所述第二密码进行匹配,得到匹配结果;并基于所述匹配结果,确定所述网络请求对应的身份认证结果。
另外,本公开实施例还提供了一种网络通信身份认证设备,参见图7所示,可以包括:
处理器701、存储器702、输入装置703和输出装置704。网络通信身份认证设备中的处理器701的数量可以一个或多个,图7中以一个处理器为例。在本发明的一些实施例中,处理器701、存储器702、输入装置703和输出装置704可通过总线或其它方式连接,其中,图7中以通过总线连接为例。
存储器702可用于存储软件程序以及模块,处理器701通过运行存储在存储器702的软件程序以及模块,从而执行网络通信身份认证设备的各种功能应用以及数据处理。存储器702可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序等。此外,存储器702可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。输入装置703可用于接收输入的数字或字符信息,以及产生与网络通信身份认证设备的用户设置以及功能控制有关的信号输入。
具体在本实施例中,处理器701会按照如下的指令,将一个或一个以上的应用程序的进程对应的可执行文件加载到存储器702中,并由处理器701来运行存储在存储器702中的应用程序,从而实现上述网络通信身份认证设备的各种功能。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本公开的具体实施方式,使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下,在其它实施例中实现。因此,本公开将不会被限制于本文所述的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (11)
1.一种网络通信身份认证方法,其特征在于,应用于服务端,所述方法包括:
接收携带用户身份标识和第一密码的网络请求;所述第一密码为客户端基于与所述用户身份标识唯一对应的密码生成信息和所述客户端的一次性动态信息为所述网络请求生成的一次性密码;所述一次性动态信息具有时效性,所述一次性动态信息包括针对所述用户身份标识的一次性密码的生成次数,所述密码生成信息为基于与所述用户身份标识对应的用户身份信息生成的字符串;
获取与所述网络请求中的所述用户身份标识唯一对应的密码生成信息;
基于所述密码生成信息和所述服务端的一次性动态信息为所述网络请求生成一次性密码,作为第二密码;
如果所述第一密码和所述第二密码之间的差别大于预设标准数值,则确定所述第一密码和所述第二密码的匹配结果为匹配失败,如果所述第一密码和所述第二密码之间的差别不大于所述预设标准数值,则确定所述第一密码和所述第二密码的匹配结果为匹配成功;
基于所述匹配结果,确定所述网络请求对应的身份认证结果。
2.根据权利要求1所述的方法,其特征在于,所述网络请求中还包括所述用户身份标识对应的用户登录信息;
所述基于所述匹配结果,确定所述网络请求对应的身份认证结果之前,还包括:
基于所述用户登录信息,对所述网络请求进行用户身份认证,得到登录信息认证结果;
所述基于所述匹配结果,确定所述网络请求对应的身份认证结果,包括:
如果所述匹配结果为匹配成功且所述登录信息认证结果为认证成功,则确定所述网络请求对应的身份认证结果为认证成功,否则,确定所述网络请求对应的身份认证结果为认证失败。
3.根据权利要求1所述的方法,其特征在于,所述接收携带用户身份标识和第一密码的网络请求之前,还包括:
响应于来自客户端的针对用户的登录请求,对所述登录请求进行登录信息验证;
在验证成功后的预设时间段内,向所述客户端返回与所述用户唯一对应的密码生成信息,所述密码生成信息用于发起针对所述用户的网络请求。
4.一种网络通信身份认证方法,其特征在于,所述方法包括:
基于与当前登录用户的用户身份标识唯一对应的密码生成信息和一次性动态信息,生成一次性密码,作为第一密码;所述一次性动态信息具有时效性,所述一次性动态信息包括针对所述用户身份标识的一次性密码的生成次数,所述密码生成信息为基于与所述用户身份标识对应的用户身份信息生成的字符串;
根据所述第一密码和所述用户身份标识生成网络请求,并发送所述网络请求至服务端;所述网络请求用于请求基于一次性密码对用户身份进行认证,并在认证通过时响应所述网络请求,所述服务端用于获取所述网络请求中的所述用户身份标识唯一对应的密码生成信息,并基于所述密码生成信息和所述服务端的一次性动态信息为所述网络请求生成一次性密码,作为第二密码,以及如果所述第一密码和所述第二密码之间的差别大于预设标准数值,则确定所述第一密码和所述第二密码的匹配结果为匹配失败,如果所述第一密码和所述第二密码之间的差别不大于所述预设标准数值,则确定所述第一密码和所述第二密码的匹配结果为匹配成功;基于所述匹配结果,确定所述网络请求对应的身份认证结果。
5.根据权利要求4所述的方法,其特征在于,所述基于与当前登录用户的用户身份标识唯一对应的密码生成信息,生成一次性密码,作为第一密码之前,还包括:
在接收到当前登录用户的登录成功消息后的预设时间段内,获取与所述当前登录用户唯一对应的密码生成信息。
6.根据权利要求4所述的方法,其特征在于,所述基于与当前登录用户的用户身份标识唯一对应的密码生成信息,生成一次性密码,作为第一密码,包括:
利用已加密的一次性密码生成系统,基于与当前登录用户的用户身份标识唯一对应的密码生成信息,生成一次性密码,作为第一密码。
7.一种网络通信身份认证装置,其特征在于,所述装置包括:
接收模块,用于接收携带用户身份标识和第一密码的网络请求;所述第一密码为基于与所述用户身份标识唯一对应的密码生成信息和客户端的一次性动态信息为所述网络请求生成的一次性密码;所述一次性动态信息具有时效性,所述一次性动态信息包括针对所述用户身份标识的一次性密码的生成次数,所述密码生成信息为基于与所述用户身份标识对应的用户身份信息生成的字符串;
获取模块,用于获取与所述网络请求中的所述用户身份标识唯一对应的密码生成信息;
第一生成模块,用于基于所述密码生成信息和服务端的一次性动态信息为所述网络请求生成一次性密码,作为第二密码;
匹配模块,用于如果所述第一密码和所述第二密码之间的差别大于预设标准数值,则确定所述第一密码和所述第二密码的匹配结果为匹配失败,如果所述第一密码和所述第二密码之间的差别不大于所述预设标准数值,则确定所述第一密码和所述第二密码的匹配结果为匹配成功;
确定模块,用于基于所述匹配结果,确定所述网络请求对应的身份认证结果。
8.一种网络通信身份认证装置,其特征在于,所述装置包括:
第二生成模块,用于基于与当前登录用户的用户身份标识唯一对应的密码生成信息和所述客户端的一次性动态信息,生成一次性密码,作为第一密码;所述一次性动态信息具有时效性,所述一次性动态信息包括针对所述用户身份标识的一次性密码的生成次数,所述密码生成信息为基于与所述用户身份标识对应的用户身份信息生成的字符串;
第三生成模块,用于根据所述第一密码和所述用户身份标识生成网络请求,并发送所述网络请求至服务端;所述网络请求用于请求基于一次性密码对用户身份进行认证,并在认证通过时响应所述网络请求,所述服务端用于获取所述网络请求中的所述用户身份标识唯一对应的密码生成信息,并基于所述密码生成信息和所述服务端的一次性动态信息为所述网络请求生成一次性密码,作为第二密码,以及如果所述第一密码和所述第二密码之间的差别大于预设标准数值,则确定所述第一密码和所述第二密码的匹配结果为匹配失败,如果所述第一密码和所述第二密码之间的差别不大于所述预设标准数值,则确定所述第一密码和所述第二密码的匹配结果为匹配成功;基于所述匹配结果,确定所述网络请求对应的身份认证结果。
9.一种网络通信身份认证系统,其特征在于,所述系统包括客户端和服务端;
所述客户端,用于基于与当前登录用户的用户身份标识唯一对应的密码生成信息和所述客户端的一次性动态信息,生成一次性密码,作为第一密码;并根据所述第一密码和所述用户身份标识生成网络请求,以及向所述服务端发送所述网络请求;其中,所述一次性动态信息具有时效性,所述一次性动态信息包括针对所述用户身份标识的一次性密码的生成次数,所述密码生成信息为基于与所述用户身份标识对应的用户身份信息生成的字符串;
所述服务端,用于获取与所述网络请求中的所述用户身份标识唯一对应的密码生成信息;并基于所述密码生成信息和所述服务端的一次性动态信息为所述网络请求生成一次性密码,作为第二密码;以及如果所述第一密码和所述第二密码之间的差别大于预设标准数值,则确定所述第一密码和所述第二密码的匹配结果为匹配失败,如果所述第一密码和所述第二密码之间的差别不大于所述预设标准数值,则确定所述第一密码和所述第二密码的匹配结果为匹配成功;并基于所述匹配结果,确定所述网络请求对应的身份认证结果。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有指令,当所述指令在终端设备上运行时,使得所述终端设备实现如权利要求1-6任一项所述的方法。
11.一种设备,其特征在于,包括:存储器,处理器,及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时,实现如权利要求1-6任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010548431.7A CN111711628B (zh) | 2020-06-16 | 2020-06-16 | 网络通信身份认证方法、装置、系统、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010548431.7A CN111711628B (zh) | 2020-06-16 | 2020-06-16 | 网络通信身份认证方法、装置、系统、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111711628A CN111711628A (zh) | 2020-09-25 |
| CN111711628B true CN111711628B (zh) | 2022-10-21 |
Family
ID=72540480
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010548431.7A Active CN111711628B (zh) | 2020-06-16 | 2020-06-16 | 网络通信身份认证方法、装置、系统、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111711628B (zh) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007087748A1 (fr) * | 2006-01-26 | 2007-08-09 | Tao Huang | Système de protection contre le vol pour compte de réseau et procédé correspondant |
| WO2016101745A1 (zh) * | 2014-12-23 | 2016-06-30 | 飞天诚信科技股份有限公司 | 一种激活移动终端令牌的方法 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1323538C (zh) * | 2003-12-12 | 2007-06-27 | 华中科技大学 | 一种动态身份认证方法和系统 |
| CN1992590A (zh) * | 2005-12-29 | 2007-07-04 | 盛大计算机(上海)有限公司 | 网络用户身份认证系统及方法 |
| CN1937498A (zh) * | 2006-10-09 | 2007-03-28 | 网之易信息技术(北京)有限公司 | 一种动态密码认证方法、系统及装置 |
| CN101645775A (zh) * | 2008-08-05 | 2010-02-10 | 北京灵创科新科技有限公司 | 基于空中下载的动态口令身份认证系统 |
| CN101662465B (zh) * | 2009-08-26 | 2013-03-27 | 深圳市腾讯计算机系统有限公司 | 一种动态口令验证的方法及装置 |
| CN105656862B (zh) * | 2014-11-21 | 2019-09-03 | 航天恒星科技有限公司 | 认证方法及装置 |
-
2020
- 2020-06-16 CN CN202010548431.7A patent/CN111711628B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007087748A1 (fr) * | 2006-01-26 | 2007-08-09 | Tao Huang | Système de protection contre le vol pour compte de réseau et procédé correspondant |
| WO2016101745A1 (zh) * | 2014-12-23 | 2016-06-30 | 飞天诚信科技股份有限公司 | 一种激活移动终端令牌的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111711628A (zh) | 2020-09-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11451614B2 (en) | Cloud authenticated offline file sharing | |
| WO2022262078A1 (zh) | 基于零信任安全的访问控制方法、设备及存储介质 | |
| US10491587B2 (en) | Method and device for information system access authentication | |
| CN107483419B (zh) | 服务器认证接入终端的方法、装置、系统、服务器及计算机可读存储介质 | |
| CN113099443B (zh) | 设备认证方法、装置、设备和系统 | |
| US20160269181A1 (en) | Method and Device for Information System Access Authentication | |
| TW201706900A (zh) | 終端的認證處理、認證方法及裝置、系統 | |
| CN104135494A (zh) | 一种基于可信终端的同账户非可信终端登录方法及系统 | |
| CN109344628B (zh) | 区块链网络中可信节点的管理方法,节点及存储介质 | |
| CN107508822B (zh) | 访问控制方法及装置 | |
| CN112333214B (zh) | 一种用于物联网设备管理的安全用户认证方法及系统 | |
| CN109729000B (zh) | 一种即时通信方法及装置 | |
| Huang et al. | A token-based user authentication mechanism for data exchange in RESTful API | |
| CN101827112B (zh) | 上网认证服务器识别客户端软件的方法及系统 | |
| CN104796255A (zh) | 一种客户端的安全认证方法、设备及系统 | |
| US11240661B2 (en) | Secure simultaneous authentication of equals anti-clogging mechanism | |
| CN112437046B (zh) | 防止重放攻击的通信方法、系统、电子设备及存储介质 | |
| KR101243101B1 (ko) | 스마트폰에서 음성정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템 | |
| CN112966242A (zh) | 一种用户名口令认证方法、装置、设备及可读存储介质 | |
| CN112637138A (zh) | 一种实现多服务器免密登录的方法及相关装置 | |
| CN111711628B (zh) | 网络通信身份认证方法、装置、系统、设备及存储介质 | |
| KR101310043B1 (ko) | 스마트폰에서 음성정보를 이용한 일회용 패스워드 기반 사용자 인증 방법 | |
| CN113596823A (zh) | 切片网络保护方法及装置 | |
| EP3815297B1 (en) | Authentication through secure sharing of digital secrets previously established between devices | |
| US20240283794A1 (en) | Digest Access Authentication for a Client Device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100041 B-0035, 2 floor, 3 building, 30 Shixing street, Shijingshan District, Beijing. Patentee after: Tiktok vision (Beijing) Co.,Ltd. Address before: 100041 B-0035, 2 floor, 3 building, 30 Shixing street, Shijingshan District, Beijing. Patentee before: BEIJING BYTEDANCE NETWORK TECHNOLOGY Co.,Ltd. Address after: 100041 B-0035, 2 floor, 3 building, 30 Shixing street, Shijingshan District, Beijing. Patentee after: Douyin Vision Co.,Ltd. Address before: 100041 B-0035, 2 floor, 3 building, 30 Shixing street, Shijingshan District, Beijing. Patentee before: Tiktok vision (Beijing) Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230712 Address after: 100190 1309, 13th floor, building 4, Zijin Digital Park, Haidian District, Beijing Patentee after: Beijing volcano Engine Technology Co.,Ltd. Address before: 100041 B-0035, 2 floor, 3 building, 30 Shixing street, Shijingshan District, Beijing. Patentee before: Douyin Vision Co.,Ltd. |