CN111756721B - 一种关联认证方法、装置、iam服务器及可读存储介质 - Google Patents
一种关联认证方法、装置、iam服务器及可读存储介质 Download PDFInfo
- Publication number
- CN111756721B CN111756721B CN202010558425.XA CN202010558425A CN111756721B CN 111756721 B CN111756721 B CN 111756721B CN 202010558425 A CN202010558425 A CN 202010558425A CN 111756721 B CN111756721 B CN 111756721B
- Authority
- CN
- China
- Prior art keywords
- authentication
- authentication information
- terminal
- user
- target network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Abstract
本申请实施例公开了一种关联认证方法、装置、电子设备及计算机可读存储介质,涉及安全登陆及认证技术领域。该方法的一具体实施方式包括:接收用户通过未进入操作系统桌面的终端发来的包含非字符串式认证信息和目标网络的连接请求,终端设置有进入操作系统桌面的登陆认证机制;根据非字符串式认证信息确定相应的用户是否为目标网络的合法用户;若与非字符串式认证信息相应的用户为合法用户,则将包含目标网络的连接许可认证和操作系统桌面的登陆认证信息的响应数据返回至终端,以使终端根据响应数据一并完成操作系统桌面的登陆认证和目标网络的连接认证。应用该实施方式可减少企业用户的操作步骤、提升工作效率。
Description
技术领域
本申请实施例涉及安全登陆及认证技术领域,尤其涉及一种关联认证方法、装置、IAM服务器及计算机可读存储介质。
背景技术
常见的登陆或认证场景包括个人或企业办公电脑进入操作系统桌面、连接某个加密WIFI、局域网、各式数据库、数据管理平台、个人线上空间等等。
有些场景不要求较高的安全性,因此用户大多直接采用字符串式的账号、密码来进行登录或认证,但在企业等高安全级别的场景下,为了确保合法员工使用合法终端登录以合法身份登陆企业内网,往往就需要员工记忆多套登陆或认证账号和密码,而员工为了记忆多套账号和密码,就更容易将其记录在某个位置,反而造成某套账号密码被别有用人之人窃取、进而威胁企业内容信息安全的事情发生。
发明内容
本申请实施例提出了一种关联认证方法、装置、IAM服务器及计算机可读存储介质,旨在保证登陆或认证安全性的前提下提升便利性。
第一方面,本申请实施例提出了一种应用于IAM服务器的关联认证方法,包括:接收用户通过未进入操作系统桌面的终端发来的包含非字符串式认证信息和目标网络的连接请求;其中,所述终端设置有进入所述操作系统桌面的登陆认证机制;根据所述非字符串式认证信息确定相应的用户是否为所述目标网络的合法用户;若与所述非字符串式认证信息相应的用户为合法用户,则将包含所述目标网络的连接许可认证和所述操作系统桌面的登陆认证信息的响应数据返回至所述终端,以使所述终端根据所述响应数据一并完成所述操作系统桌面的登陆认证和所述目标网络的连接认证。
在第一方面的一些实施例中,所述非字符串式认证信息包括人脸图像、指纹、虹膜、将字符串式认证信息以条形码或二维码形式表现的认证条形码或认证二维码中的至少一项。
在第一方面的一些实施例中,当所述非字符串式认证信息包括所述认证条形码或所述认证二维码时,所述非字符串式认证信息由所述用户通过所述终端的界面显示的上传路径将预先生成的认证条形码或认证二维码上传至所述IAM服务器。
在第一方面的一些实施例中,当与所述非字符串式认证信息相应的用户为合法用户时,还包括:判断是否记录有所述终端进入所述操作系统桌面后的其它认证信息;若存在所述其它认证信息,根据历史连接请求确定是否将所述其它认证信息作为附加数据返回至所述终端。
在第一方面的一些实施例中,根据历史连接请求确定是否将所述其它认证信息作为附加数据返回至所述终端,包括:根据所述历史连接请求确定连续一次连接成功次数;若所述连续一次连接成功次数大于预设阈值,则将所述其它认证信息作为附加数据返回至所述终端;若所述连续一次连接成功次数不大于所述预设阈值,则不将所述其它认证信息返回至所述终端。
在第一方面的一些实施例中,该关联认证方法还包括:响应于预设高权限合法用户发来的关联认证暂停信号,对下一次接收到的由所述合法用户发来的目标网络的连接请求,仅返回所述目标网络的连接许可认证。
第二方面,本申请实施例提出了一种应用于IAM服务器的关联认证装置,包括:连接请求接收单元,用于接收用户通过未进入操作系统桌面的终端发来的包含非字符串式认证信息和目标网络的连接请求;其中,所述终端设置有进入所述操作系统桌面的登陆认证机制;合法用户判定单元,用于根据所述非字符串式认证信息确定相应的用户是否为所述目标网络的合法用户;关联认证信息同步返回单元,用于当与所述非字符串式认证信息相应的用户为合法用户时,将包含所述目标网络的连接许可认证和所述操作系统桌面的登陆认证信息的响应数据返回至所述终端,以使所述终端根据所述响应数据一并完成所述操作系统桌面的登陆认证和所述目标网络的连接认证。
在第二方面的一些实施例中,该关联认证装置还包括:其它认证信息判断单元,用于当与所述非字符串式认证信息相应的用户为合法用户时,判断是否记录有所述终端进入所述操作系统桌面后的其它认证信息;其它认证信息返回确定单元,用于当存在所述其它认证信息时,根据历史连接请求确定是否将所述其它认证信息作为附加数据返回至所述终端。
在第二方面的一些实施例中,所述其它认证信息返回确定单元包括:连续一次连接成功次数确定子单元,用于根据所述历史连接请求确定连续一次连接成功次数;作为附加数据返回子单元,用于当所述连续一次连接成功次数大于预设阈值时,将所述其它认证信息作为附加数据返回至所述终端;不返回子单元,用于当所述连续一次连接成功次数不大于所述预设阈值时,则不将所述其它认证信息返回至所述终端。
在第二方面的一些实施例中,该关联认证装置还包括:关联认证暂停单元,用于响应于预设高权限合法用户发来的关联认证暂停信号,对下一次接收到的由所述合法用户发来的目标网络的连接请求,仅返回所述目标网络的连接许可认证。
第三方面,本申请实施例提供了一种IAM服务器,该IAM服务器包括:存储器,用于存储计算机程序;处理器,用于在执行所述计算机程序时实现如上述第一方面所描述的关联认证方法的各步骤。
第四方面,本申请实施例提供了一种计算机可读存储介质,所述可读存储介质上存储有计算机程序,所述计算机程序在被处理器执行后实现如上述第一方面所描述的关联认证方法的各步骤。
本申请实施例提供了一种关联认证方法、装置、IAM服务器及计算机可读存储介质,首先,接收用户通过未进入操作系统桌面的终端发来的包含非字符串式认证信息和目标网络的连接请求,所述终端设置有进入所述操作系统桌面的登陆认证机制;然后,根据所述非字符串式认证信息确定相应的用户是否为所述目标网络的合法用户;若与所述非字符串式认证信息相应的用户为合法用户,则将包含所述目标网络的连接许可认证和所述操作系统桌面的登陆认证信息的响应数据返回至所述终端,以使所述终端根据所述响应数据一并完成所述操作系统桌面的登陆认证和所述目标网络的连接认证。
为解决现有技术缺陷,本申请在用户在其终端未进入操作系统界面之前的界面,将包含高安全性的非字符串式认证信息的目标网络的连接请求发送给专用于安全认证的IAM服务器,基于非字符串式认证信息难以被窃取、冒用的特性,且IAM服务器比现有技术通过EAP协议实现认证的方式拥有更高的安全性,因此在安全性得以保证的前提下,可使IAM服务器直接返回包含目标网络的连接许可认证和操作系统桌面的登陆认证信息的响应数据,以使终端根据响应数据一并完成操作系统桌面的登陆认证和目标网络的连接认证,极大的简化了企业合法用户的操作步骤、提升了工作效率。
应当理解,本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征,也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1是本申请可以应用于其中的示例性系统架构;
图2为本申请实施例提供的一种应用于IAM服务器的关联认证方法的流程图;
图3为本申请实施例提供的一种关联认证方法的时序图;
图4为本申请实施例提供的一种判断是否返回其它认证信息的方法的流程图;
图5为本申请实施例提供的一种应用于IAM服务器的关联认证装置的结构框图。
具体实施方式
下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
图1示出了可以应用本申请提供的关联认证方法、装置、电子设备及计算机可读存储介质的实施例的示例性系统架构100。
如图1所示,系统架构100可以包括终端101、网络102和IAM(Identity and AccessManagement,身份识别与访问管理)服务器103。网络102用以在终端101和IAM服务器103之间提供通信链路的介质。网络102可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端101通过网络102与IAM服务器103进行数据交互,例如进行登陆或认证信息的发起和接收。终端101和IAM服务器103上可以安装有各种用于实现两者之间通讯的应用,例如登陆/认证类应用、即时通讯类应用等。
终端101和IAM服务器103可以是硬件,也可以是软件。当终端101为硬件时,可以是具有显示屏的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等;当终端101为软件时,可以安装在上述所列举的电子设备中,其可以实现成多个软件或软件模块,也可以实现成单个软件或软件模块,在此不做具体限定。当IAM服务器103为硬件时,可以实现成多个服务器组成的分布式服务器集群,也可以实现成单个服务器;服务器为软件时,可以实现成多个软件或软件模块,也可以实现成单个软件或软件模块,在此不做具体限定。
IAM服务器103通过内置的各种应用可以提供各种服务,以可以提供安全的关联认证服务的登陆/认证类应用为例,IAM服务器103在运行该登陆/认证类应用时可实现如下效果:首先,接收用户通过未进入操作系统桌面的终端发来的包含非字符串式认证信息和目标网络的连接请求,终端设置有进入操作系统桌面的登陆认证机制;然后,根据非字符串式认证信息确定相应的用户是否为目标网络的合法用户;最后,若与非字符串式认证信息相应的用户为合法用户,则将包含目标网络的连接许可认证和操作系统桌面的登陆认证信息的响应数据返回至终端。即IAM服务器103通过上述处理步骤实现了关联认证,以使终端根据响应数据一并完成操作系统桌面的登陆认证和目标网络的连接认证。
应该理解,图1中的终端、网络和IAM服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端、网络和IAM服务器。
请参见图2,图2为本申请实施例提供的一种应用于IAM服务器的关联认证方法的流程图,即下述各步骤的执行主体均为IAM服务器:
步骤201:接收用户通过未进入操作系统桌面的终端发来的包含非字符串式认证信息和目标网络的连接请求;
本步骤旨在由IAM服务器(例如图1中所示的IAM服务器103)接收用户通过其终端(例如图1中所示的终端101)发来的包含非字符串式认证信息和目标网络的连接请求。应当理解的是,在终端未连接至目标网络之前,终端可通过开放的网络环境与IAM服务器进行通讯。
其中,该连接请求是该用户在其终端开机后、未进入操作系统桌面之前的界面通过执行对目标网络执行连接操作发出的,且该终端设置有进入操作系统桌面的登陆认证机制,即该登陆认证机制确保了该终端每次开机后都会进入输入登陆认证信息的界面,以便在该界面执行目标网络的连接操作。
该非字符串式认证信息是区别于常见的字符串式认证信息的一种认证信息的表现形式,例如“1234567”、“123AAA”等用户常见的认证密码即为字符串式认证信息,由于其容易被窃取或盗用,因此不安全,而非字符串认证信息在与字符串式认证信息拥有相同的表征用户身份的基础上,通过以包括用户人脸图像、指纹、虹膜、声纹在内的生物特征和将字符串式认证信息以条形码或二维码形式表现的认证条形码或认证二维码的非字符串式认证信息,极大的降低了被他人窃取和冒用的风险,提升了安全性。较高的安全性将作为适当简化安全机制的前提和保障措施。
其中,当非字符串式认证信息包括认证条形码或认证二维码时,该非字符串式认证信息可由该用户通过其终端的界面显示的上传路径将预先生成的认证条形码或认证二维码上传至IAM服务器,这一过程可通过用户其智能手机通过扫描内置有该上传路径的二维码实现。
步骤202:根据非字符串式认证信息确定相应的用户是否为目标网络的合法用户,若是,执行步骤203,否则执行步骤204;
在步骤201的基础上,本步骤旨在由IAM服务器根据非字符串式认证信息确定相应的用户是否为目标网络的合法用户。当非字符串式认证信息具体表现为用户A的指纹时,本步骤可以在某个具体应用场景下具体表现为如下步骤:
IAM服务器根据接收到的指纹,在预设的认证数据库总进行合法员工的指纹匹配操作;
IAM服务器根据该指纹匹配操作,发现该指纹与记录的本企业的员工A的指纹一致,并同时发现员工A拥有目标网络的访问权限,因此判定与该指纹对应的用户属于该目标网络的合法用户。
当然,上面的例子是基于指纹之间的匹配关系进行的合法用户认证,在实际操作过程中,还可以使用包括以二维码、条形码形式表示的工号、员工ID、人脸图像、个人验证语音等完成相同的目的,此处不再一一列举。
步骤203:将包含目标网络的连接许可认证和操作系统桌面的登陆认证信息的响应数据返回至终端;
本步骤建立在步骤202的判断结果为根据非字符串式认证信息确定相应的用户为目标网络的合法用户的基础上,旨在由IAM服务器将包含目标网络的连接许可认证和操作系统桌面的登陆认证信息的响应数据返回至终端,即该响应数据中不像常规仅包含于连接请求对应的连接许可认证,还包括能够让了用户一并登陆至操作系统桌面的登陆认证信息,从而省去了用户还需要单独执行进入操作系统桌面的登陆认证操作的步骤。
应当理解的是,之所以本申请能够让IAM服务器同时返回进入操作系统桌面的登陆认证信息,是因为控制IAM服务器预先记录了为合法用户配置的合法终端的登陆认证信息,因此在用户通过其合法终端在进入操作系统桌面之前发起了该连接请求,在IAM服务器验证其属于合法用户后,合法终端即可根据接收到的响应数据中的登陆认证信息自动执行登陆认证操作,以在无需用户执行登陆认证操作的情况下直接进入操作系统桌面,省去了用户自行单独执行登陆认证操作以进入操作系统桌面的步骤。
进一步的,为了进一步的提升用户的便利性,IAM服务器还可以在验证该用户为合法用户的情况下,判断数据库中是否记录有该终端进入所述操作系统桌面后的其它认证信息,并在存在其它认证信息时,根据历史连接请求确定是否将其它认证信息作为附加数据返回至终端。其中,其它认证信息可以包括该用户历史在使用其终端过程中常见的需要认证/登陆的场景,例如数据库平台、开发平台、发布平台、个人空间、加密磁盘的访问等,而出于安全性考虑,此处还结合历史连接请求的一些特征来进行判断,以提升判断该用户是否为合法用户的准确度、尽可能的避免冒用的情况发生,具体的,可利用从该历史连接请求中统计得到的一次连接成功率、连续一次连接成功次数、一段时间内的连接频率,以及其它可表征用户身份合法性以及是否可能出现冒用的特征。
步骤204:不响应。
本步骤建立在步骤203的判断结果为根据非字符串式认证信息确定相应的用户不是目标网络的合法用户的基础上,IAM服务器将不做响应,以使终端在接收不到响应数据的情况下无法让用户连接至目标网络,以保障企业内部数据的安全性。
当然,为起到相同的类似的效果,也可以让IAM服务器在此种情况下返回连接认证失败的信号,以明确告知用户无法登陆至目标网络。
为解决现有技术缺陷,本申请在用户在其终端未进入操作系统界面之前的界面,将包含高安全性的非字符串式认证信息的目标网络的连接请求发送给专用于安全认证的IAM服务器,基于非字符串式认证信息难以被窃取、冒用的特性,且IAM服务器比现有技术通过EAP协议实现认证的方式拥有更高的安全性,因此在安全性得以保证的前提下,可使IAM服务器直接返回包含目标网络的连接许可认证和操作系统桌面的登陆认证信息的响应数据,以使终端根据响应数据一并完成操作系统桌面的登陆认证和目标网络的连接认证,极大的简化了企业合法用户的操作步骤、提升了工作效率。
为了加深理解,本申请还通过图3提供了一种同时体现终端和IAM服务器两侧执行主体的关联认证方法的时序图,包括如下步骤:
步骤301:终端向IAM服务器发起包含非字符串式认证信息和目标网络的连接请求;
步骤302:IAM服务器根据非字符串式认证信息确定相应的用户是否为目标网络的合法用户,若是,执行步骤303-1,否则执行步骤303-2;
步骤303-1:IAM服务器返回包含目标网络的连接许可认证和操作系统桌面的登陆认证信息的响应数据给终端;
步骤303-2:IAM服务器丢弃该连接请求;
步骤304:终端根据响应数据一并完成操作系统桌面的登陆认证和目标网络的连接认证。
上述步骤301-步骤304的内容与图2所示的步骤201-步骤204的内容一致,着重体现了每个步骤的执行主体,以更加清晰的体现不同执行主体在整个方案所执行的操作。
在上述任意实施例的基础上,本申请还通过图4提供了一种判断是否返回其它认证信息的方法的流程图,以加深对如何判断是否将其它认证信息返回终端的理解,完整方案的其它部分均不作改变,包括如下步骤:
步骤401:根据历史连接请求确定连续一次连接成功次数;
连续一次连接成功次数,指针对相同目标网络发起的多次包含相同非字符串式认证信息的连接请求连续直接获得连接认证许可的次数,该参数越高越能保证该连接请求是由相同用户发出的,因此在该用户为合法用户的情况下,其被冒用的可能性很小。
步骤402:判断连续一次连接成功次数是否大于预设阈值,若是,执行步骤403,否则执行步骤404;
该预设阈值可由有经验的专家统计、总结得到,也可以结合实际情况下对安全性的严格成功灵活制定得到。
步骤403:将其它认证信息作为附加数据返回至终端;
步骤404:不将其它认证信息返回至终端。
在具有上述任意实施例有益效果的基础上,利用基于连续一次连接成功次数这一参数的判断,可通过一并返回的其它认证信息省去更多认证操作,进一步提升了用户的工作效率。
特殊的,在一般的企业办公场景下,基于高安全性的非字符串式认证信息实现关联认证是可以的,针对在某个临时时刻需要临时调高安全性认证机制的严格程度的场景,还可以预先为高权限合法用户设置一条关联认证暂停指令,以使IAM接收到预设高权限合法用户发来的关联认证暂停信号,将作出对下一次接收到的由所述合法用户发来的目标网络的连接请求仅返回目标网络的连接许可认证的响应,即暂停了关联认证功能。该功能的偶尔性启用也能起到类似“抽样”检测的效果。
因为情况复杂,无法一一列举进行阐述,本领域技术人员应能意识到根据本申请提供的基本方法原理结合实际情况可以存在很多的例子,在不付出足够的创造性劳动下,应均在本申请的保护范围内。
下面请参见图5,图5为本申请实施例提供的一种应用于IAM服务器的关联认证装置的结构框图,该关联认证装置可以包括:
连接请求接收单元501,用于接收用户通过未进入操作系统桌面的终端发来的包含非字符串式认证信息和目标网络的连接请求;其中,终端设置有进入操作系统桌面的登陆认证机制;
合法用户判定单元502,用于根据非字符串式认证信息确定相应的用户是否为目标网络的合法用户;
关联认证信息同步返回单元503,用于当与非字符串式认证信息相应的用户为合法用户时,将包含目标网络的连接许可认证和操作系统桌面的登陆认证信息的响应数据返回至终端,以使终端根据响应数据一并完成操作系统桌面的登陆认证和目标网络的连接认证。
可选的,该关联认证装置还可以包括:
其它认证信息判断单元,用于当与非字符串式认证信息相应的用户为合法用户时,判断是否记录有终端进入操作系统桌面后的其它认证信息;
其它认证信息返回确定单元,用于当存在其它认证信息时,根据历史连接请求确定是否将其它认证信息作为附加数据返回至终端。
进一步的,该其它认证信息返回确定单元可以包括:
连续一次连接成功次数确定子单元,用于根据历史连接请求确定连续一次连接成功次数;
作为附加数据返回子单元,用于当连续一次连接成功次数大于预设阈值时,将其它认证信息作为附加数据返回至终端;
不返回子单元,用于当连续一次连接成功次数不大于预设阈值时,则不将其它认证信息返回至终端。
本实施例作为对应于上述方法实施例的装置实施例存在,本实施例提供的应用于IAM服务器的关联认证装置在用户在其终端未进入操作系统界面之前的界面,将包含高安全性的非字符串式认证信息的目标网络的连接请求发送给专用于安全认证的IAM服务器,基于非字符串式认证信息难以被窃取、冒用的特性,且IAM服务器比现有技术通过EAP协议实现认证的方式拥有更高的安全性,因此在安全性得以保证的前提下,可使IAM服务器直接返回包含目标网络的连接许可认证和操作系统桌面的登陆认证信息的响应数据,以使终端根据响应数据一并完成操作系统桌面的登陆认证和目标网络的连接认证,极大的简化了企业合法用户的操作步骤、提升了工作效率。
基于上述实施例,本申请还提供了一种IAM服务器,该IAM服务器可以包括存储器和处理器,其中,该存储器中存有计算机程序,该处理器调用该存储器中的计算机程序时,可以实现上述实施例所提供的步骤。当然,该IAM服务器还可以包括各种必要的网络接口、电源以及其它零部件等。
本申请还提供了一种计算机可读存储介质,其上存有计算机程序,该计算机程序被执行终端或处理器执行时可以实现上述实施例所提供的步骤。该存储介质可以包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random AccessMemory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其它变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其它要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (6)
1.一种关联认证方法,其特征在于,应用于IAM服务器,包括:
接收用户通过未进入操作系统桌面的终端发来的包含非字符串式认证信息和目标网络的连接请求;其中,所述终端设置有进入所述操作系统桌面的登陆认证机制,所述连接请求通过执行对目标网络执行连接操作发出;
根据所述非字符串式认证信息确定相应的用户是否为所述目标网络的合法用户;其中,所述合法用户指具有所述目标网络的访问权限的合法员工,是否为所述合法员工基于非字符串认证信息确定得到;
若与所述非字符串式认证信息相应的用户为合法用户,则将包含所述目标网络的连接许可认证和所述操作系统桌面的登陆认证信息的响应数据返回至所述终端,以使所述终端根据所述响应数据一并完成所述操作系统桌面的登陆认证和所述目标网络的连接认证;当所述合法用户是高权限合法用户,且已响应于所述高权限合法用户发来的关联认证暂停信号,暂停所述高权限合法用户的关联认证功能时,将包含所述目标网络的连接许可认证的响应数据返回至所述终端,以使所述终端根据所述响应数据完成所述目标网络的连接认证;
其中,当与所述非字符串式认证信息相应的用户为合法用户时,还包括:
判断是否记录有所述终端进入所述操作系统桌面后的其它认证信息;
若存在所述其它认证信息,则根据所述历史连接请求确定连续一次连接成功次数;
若所述连续一次连接成功次数大于预设阈值,则将所述其它认证信息作为附加数据返回至所述终端;
若所述连续一次连接成功次数不大于所述预设阈值,则不将所述其它认证信息返回至所述终端。
2.根据权利要求1所述的关联认证方法,其特征在于,所述非字符串式认证信息包括人脸图像、指纹、虹膜、将字符串式认证信息以条形码或二维码形式表现的认证条形码或认证二维码中的至少一项。
3.根据权利要求2所述的关联认证方法,其特征在于,当所述非字符串式认证信息包括所述认证条形码或所述认证二维码时,所述非字符串式认证信息由所述用户通过所述终端的界面显示的上传路径将预先生成的认证条形码或认证二维码上传至所述IAM服务器。
4.一种关联认证装置,其特征在于,应用于IAM服务器,包括:
连接请求接收单元,用于接收用户通过未进入操作系统桌面的终端发来的包含非字符串式认证信息和目标网络的连接请求;其中,所述终端设置有进入所述操作系统桌面的登陆认证机制,所述连接请求通过执行对目标网络执行连接操作发出;
合法用户判定单元,用于根据所述非字符串式认证信息确定相应的用户是否为所述目标网络的合法用户;其中,所述合法用户指具有所述目标网络的访问权限的合法员工,是否为所述合法员工基于非字符串认证信息确定得到;
关联认证信息同步返回单元,用于当与所述非字符串式认证信息相应的用户为合法用户时,将包含所述目标网络的连接许可认证和所述操作系统桌面的登陆认证信息的响应数据返回至所述终端,以使所述终端根据所述响应数据一并完成所述操作系统桌面的登陆认证和所述目标网络的连接认证;若所述合法用户是高权限合法用户,且已响应于所述高权限合法用户发来的关联认证暂停信号,暂停所述高权限合法用户的关联认证功能时,则将包含所述目标网络的连接许可认证的响应数据返回至所述终端,以使所述终端根据所述响应数据完成所述目标网络的连接认证;
其它认证信息判断单元,用于当与所述非字符串式认证信息相应的用户为合法用户时,判断是否记录有所述终端进入所述操作系统桌面后的其它认证信息;
其它认证信息返回确定单元,用于当存在所述其它认证信息时,根据历史连接请求确定是否将所述其它认证信息作为附加数据返回至所述终端;
其中,所述其它认证信息返回确定单元包括:
连续一次连接成功次数确定子单元,用于根据所述历史连接请求确定连续一次连接成功次数;
作为附加数据返回子单元,用于当所述连续一次连接成功次数大于预设阈值时,将所述其它认证信息作为附加数据返回至所述终端;
不返回子单元,用于所述当连续一次连接成功次数不大于预设阈值时,则不将所述其它认证信息返回至所述终端。
5.一种IAM服务器,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于在执行所述计算机程序时实现如权利要求1至3任一项所述的关联认证方法的各步骤。
6.一种可读存储介质,其特征在于,所述可读存储介质上存储有计算机程序,所述计算机程序在被处理器执行后实现如权利要求1至3任一项所述的关联认证方法的各步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010558425.XA CN111756721B (zh) | 2020-06-18 | 2020-06-18 | 一种关联认证方法、装置、iam服务器及可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010558425.XA CN111756721B (zh) | 2020-06-18 | 2020-06-18 | 一种关联认证方法、装置、iam服务器及可读存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111756721A CN111756721A (zh) | 2020-10-09 |
CN111756721B true CN111756721B (zh) | 2023-04-25 |
Family
ID=72675429
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010558425.XA Active CN111756721B (zh) | 2020-06-18 | 2020-06-18 | 一种关联认证方法、装置、iam服务器及可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111756721B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112788048B (zh) * | 2021-01-22 | 2022-04-01 | 新华三信息安全技术有限公司 | 一种认证信息同步方法及装置 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110781481A (zh) * | 2018-07-30 | 2020-02-11 | 中兴通讯股份有限公司 | 单点登录方法、客户端、服务器以及存储介质 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105282092A (zh) * | 2014-06-10 | 2016-01-27 | 中兴通讯股份有限公司 | 虚拟桌面的认证方法、终端及服务器 |
CN108337677B (zh) * | 2017-01-19 | 2020-10-09 | 阿里巴巴集团控股有限公司 | 网络鉴权方法及装置 |
CN109587133B (zh) * | 2018-11-30 | 2021-07-23 | 武汉烽火众智智慧之星科技有限公司 | 一种单点登录系统及方法 |
CN110830516B (zh) * | 2019-12-19 | 2022-03-22 | 深信服科技股份有限公司 | 一种网络访问方法、装置、网络控制设备及存储介质 |
-
2020
- 2020-06-18 CN CN202010558425.XA patent/CN111756721B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110781481A (zh) * | 2018-07-30 | 2020-02-11 | 中兴通讯股份有限公司 | 单点登录方法、客户端、服务器以及存储介质 |
Non-Patent Citations (1)
Title |
---|
基于云终端系统的指纹单点登录技术在电网一体化平台中的应用研究;熊飞,杨洪,沈亮,刘志永;《信息与通信》;20131231;320-325 * |
Also Published As
Publication number | Publication date |
---|---|
CN111756721A (zh) | 2020-10-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11301555B2 (en) | Authentication system | |
US10129247B2 (en) | System and method for utilizing behavioral characteristics in authentication and fraud prevention | |
US20200288315A1 (en) | Method for automatic possession-factor authentication | |
RU2708508C1 (ru) | Способ и вычислительное устройство для выявления подозрительных пользователей в системах обмена сообщениями | |
US10771471B2 (en) | Method and system for user authentication | |
AU2012261635B2 (en) | Methods and Systems for Increasing the Security of Network- Based Transactions | |
CN108804906B (zh) | 一种用于应用登陆的系统和方法 | |
US8213583B2 (en) | Secure access to restricted resource | |
US20190236249A1 (en) | Systems and methods for authenticating device users through behavioral analysis | |
CN105323253B (zh) | 一种身份验证方法及装置 | |
CN104518876A (zh) | 服务登录方法及装置 | |
US11271931B2 (en) | Dynamic and private security fingerprinting | |
Huang et al. | Development of a typing behaviour recognition mechanism on android | |
KR101762615B1 (ko) | 사용자의 이용패턴 분석을 활용한 본인 인증 시스템 및 사용자 단말 | |
Ouda | A framework for next generation user authentication | |
CN111756721B (zh) | 一种关联认证方法、装置、iam服务器及可读存储介质 | |
WO2017200789A1 (en) | Automated scalable identity-proofing and authentication process | |
KR101333006B1 (ko) | 로그인 인증 시스템 및 방법 | |
CN112615828A (zh) | 一种基于云计算网络的知识产权运营系统及智能授权方法 | |
JP2011215940A (ja) | 携帯電話機を用いた本人認証のための認証装置、認証システム、認証プログラム及び認証方法 | |
CN114553573A (zh) | 身份认证方法及装置 | |
CN114186209B (zh) | 身份验证方法及系统 | |
CN116962088B (zh) | 登录认证方法、零信任控制器及电子设备 | |
Khandre et al. | WAAM web & Android authentication model using improvised user identification and verification technique using biometric and digital certificate | |
US20240098113A1 (en) | Mitigating risk from multi-factor authentication fatigue attacks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |