CN111901289B - 一种身份认证的方法、装置、设备及存储介质 - Google Patents
一种身份认证的方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN111901289B CN111901289B CN202010494059.6A CN202010494059A CN111901289B CN 111901289 B CN111901289 B CN 111901289B CN 202010494059 A CN202010494059 A CN 202010494059A CN 111901289 B CN111901289 B CN 111901289B
- Authority
- CN
- China
- Prior art keywords
- visitor
- authentication information
- identity authentication
- factor authentication
- factor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种身份认证的方法和装置,其中方法包括:物联网设备内置的代理网关接收访问者发送给所述物联网设备的管理接口的访问请求;若所述访问者未进行过身份认证注册,则对所述访问者进行身份认证注册,所述身份认证注册包括身份认证和注册多因素认证信息;若所述访问者进行过身份认证注册,则获取所述访问者提供的多因素认证信息,并对所述访问者提供的多因素认证信息进行验证,如果验证通过,则将所述访问请求发送至所请求的管理接口地址。通过上述代理网关的多因素认证,能够防止恶意访问者绕过管理接口的身份认证而直接对管理接口进行访问,降低了物联网安全威胁。
Description
【技术领域】
本申请涉及计算机应用技术领域,特别涉及一种身份认证的方法和装置。
【背景技术】
本部分旨在为权利要求书中陈述的本申请的实施方式提供背景或上下文。此处的描述不因为包括在本部分中就被认为是现有技术。
物联网(IoT,The Internet of Things)是一个基于互联网、传统电信网等的信息承载体,它让所有能够被独立寻址的普通物理对象形成互联互通的网络。随着物联网技术发展,大量物联网终端接入互联网,但由于市场方兴未艾,众多物联网终端的安全防护仍存在较多薄弱之处。其中国际组织OWASP (Open Web Application Security Project,开放式Web应用程序安全项目)最新公布的物联网漏洞排名中,不严谨的身份认证导致的不安全网络服务和不安全生态接口分别高居漏洞排行榜第二位和第三位。因此通过在IoT身份认证上进行创新可以更加有效地减少IoT设备的攻击面,降低IoT安全威胁。
【发明内容】
有鉴于此,本申请提供了一种身份认证的方法和装置,以便于降低IoT 安全威胁。
具体技术方案如下:
第一方面,本申请提供了一种身份认证的方法,该方法包括:
物联网设备内置的代理网关接收访问者发送给所述物联网设备的管理接口的访问请求;
若所述访问者未进行过身份认证注册,则对所述访问者进行身份认证注册,所述身份认证注册包括身份认证和注册多因素认证信息;
若所述访问者进行过身份认证注册,则获取所述访问者提供的多因素认证信息,并对所述访问者提供的多因素认证信息进行验证,如果验证通过,则将所述访问请求发送至所请求的管理接口地址。
根据本申请一优选实施方式,所述代理网关以可执行文件的形式嵌入物联网设备。
根据本申请一优选实施方式,对所述访问者进行身份认证注册包括:
所述代理网关将所述访问请求发送至所述管理接口的认证入口,以便于所述访问者通过所述认证入口向所述管理接口进行身份认证;
获取所述身份认证的结果,若认证通过,则对所述访问者注册多因素认证信息。
根据本申请一优选实施方式,对所述访问者进行身份认证注册包括:
所述代理网关向所述访问者返回身份认证界面;
获取所述访问者在所述身份认证界面输入的身份认证信息,并利用所述身份认证信息对所述访问者进行身份认证;
若身份认证通过,则对所述访问者注册多因素认证信息。
根据本申请一优选实施方式,对所述访问者注册多因素认证信息包括:为所述访问者分配多因素认证信息,并缓存为所述访问者分配的多因素认证信息;
利用缓存的多因素认证信息,执行所述对所述访问者提供的多因素认证信息进行验证的步骤。
根据本申请一优选实施方式,所述多因素认证信息包括至少两种认证信息,所述认证信息包括静态密码、动态令牌或生物特征。
根据本申请一优选实施方式,获取所述访问者提供的多因素认证信息包括:
向所述访问者发送提供多因素认证信息的通知;
获取所述访问者提供的多因素认证信息。
根据本申请一优选实施方式,该方法还包括:
若对所述多因素认证信息验证不通过,则返回认证失败响应。
根据本申请一优选实施方式,所述身份认证注册还包括注册备用口令;
该方法还包括:
若所述多因素认证信息验证不通过,则进一步获取访问者提供的备用口令并对所述访问者提供的备用口令进行验证,若验证通过,则重新对所述访问者注册多因素认证信息。
第二方面,本申请还提供了一种身份认证的装置,该装置内置于物联网设备,该装置包括:
第一交互单元,用于接收访问者发送给所述物联网设备的管理接口的访问请求;
认证注册单元,用于若所述访问者未进行过身份认证注册,则对所述访问者进行身份认证注册,所述身份认证注册包括身份认证和注册多因素认证信息;若所述访问者进行过身份认证注册,则通过所述第一交互单元获取所述访问者提供的多因素认证信息,并对所述访问者提供的多因素认证信息进行验证,如果验证通过,则触发第二交互单元将所述访问请求发送至所请求的管理接口地址;
第二交互单元,用于在所述认证注册单元的触发下,将所述访问请求发送至所请求的管理接口地址。
根据本申请一优选实施方式,所述装置以可执行文件的形式嵌入物联网设备。
根据本申请一优选实施方式,所述认证注册单元在进行身份认证注册时,具体执行:
触发所述第二交互单元将所述访问请求发送至所述管理接口的认证入口,以便于所述访问者通过所述认证入口向所述管理接口进行身份认证;通过所述第二交互单元获取所述身份认证的结果,若认证通过,则对所述访问者注册多因素认证信息;或者,
通过所述第一交互单元向所述访问者返回身份认证界面,并获取所述访问者在所述身份认证界面输入的身份认证信息,并利用所述身份认证信息对所述访问者进行身份认证;若身份认证通过,则对所述访问者注册多因素认证信息。
根据本申请一优选实施方式,所述认证注册单元在对所述访问者注册多因素认证信息时,具体执行:为所述访问者分配多因素认证信息,并缓存为所述访问者分配的多因素认证信息;
所述认证注册单元利用缓存的多因素认证信息,执行所述对所述访问者提供的多因素认证信息进行验证的处理。
根据本申请一优选实施方式,所述身份认证注册还包括注册备用口令;
所述认证注册单元,还用于若所述多因素认证信息验证不通过,则通过所述第一交互单元获取访问者提供的备用口令,并对所述访问者提供的备用口令进行验证,若验证通过,则重新对所述访问者注册多因素认证信息。
第三方面,本申请还提供了一种设备,所述设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如上所述的方法。
第四方面,本申请还提供了一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行如上所述的方法。
由以上技术方案可以看出,本申请中由IoT设备内置的代理网关截获发送给IoT设备的管理接口的访问请求,对未进行过身份认证注册的访问者进行身份认证注册,为访问者注册多因素认证信息;对已进行过身份认证注册的访问者进行基于多因素认证信息的验证,验证通过后才允许访问请求发送至所请求的管理接口地址。通过上述代理网关的多因素认证,能够防止恶意访问者绕过管理接口的身份认证而直接对管理接口进行访问,降低了IoT安全威胁。
【附图说明】
图1为本申请实施例提供的系统架构图;
图2为本申请实施例提供的方法流程图;
图3为本申请实施例提供的装置结构图;
图4示出了适于用来实现本发明实施方式的示例性计算机系统/服务器的框图。
【具体实施方式】
为了使本申请的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本申请进行详细描述。
目前,存在一些类型的IoT设备的管理接口被访问时,需要首先通过管理接口提供的身份认证界面进行身份认证,只有身份认证通过的访问者的请求才能够顺利访问管理接口。然而一些恶意访问者可能会找到管理接口的漏洞,从而绕过身份认证直接对管理接口进行访问。针对于此,本申请的核心思想在于,通过在IoT设备中内置代理网关,该代理网关处于访问者与管理接口的中间位置,获取访问者向管理接口发送的访问请求并进行多因素认证信息的验证,以确定是否允许该访问请求发送至所请求的管理接口地址。其对应的系统架构图可以如图1中所示,下面结合实施例对本申请提供的方法进行详细描述。
图2为本申请实施例提供的方法流程图,该方法流程由IoT设备内置的代理网关执行。本申请中涉及的IoT设备可以是各种IoT终端类设备、IoT 的网络连接设备、IoT的服务端设备等等。其中IoT终端类设备可以包括但不限于各种智能家居设备、智能交通设备、智能可穿戴类设备、智能医疗设备、智能安保设备等等。IoT的网络连接设备可以包括但不限于智能中继设备、交换设备、路由器等等。如图2中所示,该方法包括:
在201中,代理网关接收访问者发送给IoT设备的管理接口的访问请求。
本申请在IoT设备中管理接口之前增设一个代理网关,代理网关可以以可执行文件的形式内置于IoT设备。代理网关负责监听并截获发送给管理接口的访问请求,并执行后续步骤的处理。
本申请中IoT设备的管理接口可以包括负责对访问者进行注册的入口、负责对访问者进行身份认证的入口,负责向其他设备或网站转发访问请求的接口,等等。也就是说,在本申请中,负责对IoT设备的功能管理的接口统称为管理接口。当访问者需要使用IoT设备的特定功能时,需要访问该特定功能对应的管理接口地址,向该管理接口地址发送对应的访问请求以使用该功能。例如当访问者需要进行注册时,需要访问管理接口的注册入口,并在管理接口提供的注册界面上进行身份注册。再例如,当访问者需要进行身份认证时,需要访问管理接口的认证入口,并在管理接口提供的身份认证界面上进行身份认证。再例如,当访问者需要利用IoT设备访问某个特定网页时,需要访问IoT设备管理接口的转发接口地址,由该管理接口的转发接口实现对该url请求的转发。等等,在此不做上述特定功能的一一穷举。
另外,上述的访问者可以在其他设备上触发以向所述IoT设备发送访问该 IoT设备的管理接口的请求。例如,当访问者要使用智能电视接入路由器时,该访问者在智能电视上触发以向路由器的管理接口发送访问请求。
访问者也可以在IoT设备上触发向该IoT设备的管理接口发送访问请求。例如,当访问者要查看智能电视上的隐私空间时,访问者在智能电视提供的界面上触发向智能电视的管理接口发送访问请求。
在202中,判断该访问者是否进行过身份认证注册,如果否,执行203;如果是,执行204。
如果对访问者进行过身份认证注册,则代理网关本地缓存有该访问者注册的多因素认证信息。因此,代理网关可以依据本地是否缓存有该访问者注册的多因素认证信息来确定访问者是否进行过身份认证注册。
当然,也可以采用其他方式,例如代理网关可以针对进行过身份认证注册的访问者在本地记录其标识信息,诸如用户标识、浏览器标识、客户端标识、用户名,等等,并以此来确定访问者是否进行过身份认证注册。
在203中,对访问者进行身份认证注册,该身份认证注册包括身份认证和注册多因素认证信息,还可以进一步包括注册备用口令,转至执行201。
如果代理网关确认访问者没有进行过身份认证注册,则对该访问者进行身份认证注册。其中,身份认证注册主要包括两个方面:身份认证和注册。其中身份认证可以由IoT设备的管理接口执行,也可以由代理网关执行。
具体地,本步骤中可以采用但不限于以下两种方式:
方式一、代理网关将访问请求发送至管理接口的认证入口,以便于管理接口对访问者进行身份认证;获取身份认证的结果,若认证通过,则对访问者注册多因素认证信息。
也就是说,代理网关将未进行过身份认证注册的访问者的访问请求重定向至管理接口的认证入口。访问请求发送至认证入口后,管理接口的认证入口会向访问者提供身份认证界面。代理网关将管理接口的认证入口提供的身份认证界面转发给访问者,并将访问者在身份认证界面上输入的身份信息转发给管理接口,以便管理接口对该身份认证信息进行认证。代理网关获取管理接口对访问者进行的身份认证结果,若认证通过,则代理网关对访问者注册多因素认证信息。若认证失败,则代理网关可以向访问者返回认证失败的响应。
方式二、代理网关向访问者返回身份认证界面;获取访问者在身份认证界面输入的身份认证信息,并利用身份认证信息对访问者进行身份认证;若身份认证通过,则对访问者注册多因素认证信息。
这种方式中,由代理网关接替管理接口实现对访问者的身份认证。代理网关可以预先从管理接口获取访问者的身份认证信息,代理网关将访问者在身份认证界面输入的身份认证信息与从管理接口预先获取的身份认证信息进行比对,从而实现对访问者的身份认证。若认证通过,则代理网关对访问者注册多因素认证信息。若认证失败,则代理网关可以向访问者返回认证失败的响应。
其中,访问者在身份认证界面上输入的身份信息可以是访问者在IoT设备上预先注册的身份信息。例如可以是用户名、密码等身份信息。
上述对访问者注册多因素认证信息可以包括:为访问者分配多因素认证信息,并缓存为访问者分配的多因素认证信息。
多因素认证信息可以包括至少两种认证信息,其中认证信息可以包括静态密码、动态令牌、生物特征等。动态令牌可以包括但不限于手机令牌、短信令牌、即时通信消息令牌,也可以是诸如U盾等硬件令牌。生物特征包括但不限于人脸、指纹、虹膜等。以双因素认证信息为例,用户可以注册静态密码和U盾令牌两种认证信息,其中静态密码可以是代理网关重新为访问者生成的静态密码,代理网关也可以沿用用户身份认证信息中的密码作为双因素认证信息中的一个静态密码。
更进一步地,在本步骤中涉及到的注册中,还可以进一步向访问者分配备用口令。该备用口令可以是诸如字符串等比较简单的信息,该备用口令的应用和作用将在后续流程中描述。
在204中,获取访问者提供的多因素认证信息。
若代理网关确定访问者已经进行过身份认证注册,则需要获取访问者提供的多因素认证信息来进行验证。
具体地,在步骤201中代理网关接收到的访问请求中可以本身就携带有多因素认证信息,这种情况下,代理网关直接从访问请求中获取多因素认证信息即可。
还有一种情况,在步骤201中代理网关接收到的访问请求中并未携带多因素认证信息,则代理网关可以向访问者发送提供双因素认证信息的通知,例如通过向用户提供的界面上显示一个对话框或浮窗等方式通知访问者提供双因素认证信息,更具体地,可以在对话框或浮窗中提示用户需要提供的双因素认证信息的类型,例如静态密码和U盾令牌。然后代理网关获取访问者提供的多因素认证信息,例如访问者可以重新发送访问请求,在访问请求中提供多因素认证信息;或者,访问者也可以单独发送多因素认证信息给代理网关。
在205中,对访问者提供的多因素认证信息进行验证,如果验证通过,则执行206;否则,执行207。
代理网关利用缓存的多因素认证信息,对访问者提供的多因素认证信息进行验证。其中,代理网关可以将缓存的多因素认证信息与访问者提供的多因素认证信息进行一致性比对,或者,代理网关可以利用一定的算法对访问者提供的多因素认证信息进行处理,将处理后得到的信息与缓存的多因素认证信息进行一致性比对,再或者,代理网关可以利用一定的算法对缓存的多因素认证信息进行处理,将处理后得到的信息与访问者提供的多因素认证信息进行一致性验证,等等。具体采用哪种方式可以依据多因素认证信息的具体类型来确定。
具体地,代理网关在验证多因素认证信息时,可以采用FIDO2(Fast IdentityOnline,线上快速身份认证联盟)规范。FIDO2规范定义了一个强大的身份验证架构,分为WebAuthn(web身份验证)和CTAP(客户端到身份验证器)协议两部分。其中,WebAuthn协议下,可使用平台认证器或漫游认证器通过WebAuthn接口调用FIDO服务,完成Web应用的强身份认证。 CTAP协议下,通过使用独立的手机、USB设备或PC内置的平台认证器,完成身份认证。关于FIDO2规范在此不做详细描述。
在206中,将该访问请求发送至所请求的管理接口地址,结束本访问流程。
如果验证通过,代理网关将访问请求发送至其所请求的管理接口地址,管理接口根据该访问请求执行对应的功能。例如,访问者要访问特定的url,则在验证通过后,通过对应的转发接口将该url的访问请求进行转发。再例如访问者要访问智能电视的私密空间,则在验证通过后,允许其访问智能电视的私密空间。
在207中,获取访问者提供的备用口令。
如果没有注册备用口令,在多因素认证信息验证不通过时,可以直接返回认证失败响应。
如果注册有备用口令,则在本步骤中,若备用口令与上述多因素认证信息一并包含在访问请求中发送,则可以直接从访问请求中获取用户提供的备用口令。
或者,代理网关可以向访问者发送提供备用口令的通知,例如通过向用户提供的界面上显示一个对话框或浮窗等方式通知访问者提供备用口令。
在208中,对访问者提供的备用口令进行验证,如果验证通过,则重新转至203,进行身份认证和注册多因素认证信息;如果验证失败,则在209 中返回认证失败响应,拒绝访问请求的访问。
本实施例中,备用口令的作用是为了防止用户在提供多因素认证信息时,出现遗忘信息、硬件设备出错等一些随机事件时,能够给用户一次正常访问的机会。若代理网关对访问者提供的备用口令验证通过,则可以重新对访问者进行身份认证和注册多因素认证信息,然后重新进行多因素认证。如果备用口令验证也失败,则向访问者返回认证失败响应,拒绝访问请求的访问。
以上是对本申请实施例所提供方法进行的详细描述,下面结合实施例对本申请提供的装置进行详细描述。
图3为本申请实施例提供的装置结构图,如图3中所示,该装置内置于IoT 设备,可以以可执行文件的形式嵌入IoT设备,用以执行上述方法实施例中代理网关的功能。该装置包括:第一交互单元01、认证注册单元02和第二交互单元03,其中各组成单元的主要功能如下:
第一交互单元01负责接收访问者发送给IoT设备的管理接口的访问请求。
上述的访问者可以在其他设备上触发以向IoT设备发送访问该IoT设备的管理接口的请求。也可以在IoT设备上触发向该IoT设备的管理接口发送访问请求。
若访问者未进行过身份认证注册,则认证注册单元02对访问者进行身份认证注册,身份认证注册包括身份认证和注册多因素认证信息;若访问者进行过身份认证注册,则认证注册单元02通过第一交互单元01获取访问者提供的多因素认证信息,并对访问者提供的多因素认证信息进行验证,如果验证通过,则触发第二交互单元03将访问请求发送至所请求的管理接口地址。
第二交互单元03在认证注册单元02的触发下,将访问请求发送至所请求的管理接口地址。
其中,认证注册单元02在进行身份认证注册时,可以触发第二交互单元03 将访问请求发送至管理接口的认证入口,以便于访问者通过认证入口向管理接口进行身份认证;通过第二交互单元03获取身份认证的结果,若认证通过,则对访问者注册多因素认证信息;或者,
认证注册单元02通过第一交互单元01向访问者返回身份认证界面,并获取访问者在身份认证界面输入的身份认证信息,并利用身份认证信息对访问者进行身份认证;若身份认证通过,则对访问者注册多因素认证信息。
其中,访问者在身份认证界面上输入的身份信息可以是访问者在IoT设备上预先注册的身份信息。例如可以是用户名、密码等身份信息。
认证注册单元02在对访问者注册多因素认证信息时,可以为访问者分配多因素认证信息,并缓存为访问者分配的多因素认证信息;认证注册单元02利用缓存的多因素认证信息,执行对访问者提供的多因素认证信息进行验证的处理。
其中,上述多因素认证信息包括至少两种认证信息,认证信息包括静态密码、动态令牌或生物特征。动态令牌可以包括但不限于手机令牌、短信令牌、即时通信消息令牌,也可以是诸如U盾等硬件令牌。生物特征包括但不限于人脸、指纹、虹膜等。以双因素认证信息为例,用户可以注册静态密码和U盾令牌两种认证信息,其中静态密码可以是代理网关重新为访问者生成的静态密码,代理网关也可以沿用用户身份认证信息中的密码作为双因素认证信息中的一个静态密码。
认证注册单元02在获取访问者提供的多因素认证信息时,可以通过第一交互单元01向访问者发送提供双因素认证信息的通知;通过第一交互单元01获取访问者提供的多因素认证信息。
若对多因素认证信息验证不通过,则认证注册单元02返回认证失败响应。
更进一步地,身份认证注册还可以包括注册备用口令;若多因素认证信息验证不通过,则认证注册单元02可以通过第一交互单元01获取访问者提供的备用口令,并对访问者提供的备用口令进行验证,若验证通过,则重新对访问者注册多因素认证信息。
图4示出了适于用来实现本发明实施方式的示例性计算机系统/服务器的框图。图4显示的计算机系统/服务器012仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图4所示,计算机系统/服务器012以通用计算设备的形式表现。计算机系统/服务器012的组件可以包括但不限于:一个或者多个处理器或者处理单元 016,系统存储器028,连接不同系统组件(包括系统存储器028和处理单元016) 的总线018。
总线018表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器,外围总线,图形加速端口,处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说,这些体系结构包括但不限于工业标准体系结构 (ISA)总线,微通道体系结构(MAC)总线,增强型ISA总线、视频电子标准协会(VESA)局域总线以及外围组件互连(PCI)总线。
计算机系统/服务器012典型地包括多种计算机系统可读介质。这些介质可以是任何能够被计算机系统/服务器012访问的可用介质,包括易失性和非易失性介质,可移动的和不可移动的介质。
系统存储器028可以包括易失性存储器形式的计算机系统可读介质,例如随机存取存储器(RAM)030和/或高速缓存存储器032。计算机系统/服务器012 可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例,存储系统034可以用于读写不可移动的、非易失性磁介质(图 4未显示,通常称为“硬盘驱动器”)。尽管图4中未示出,可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器,以及对可移动非易失性光盘(例如CD-ROM,DVD-ROM或者其它光介质)读写的光盘驱动器。在这些情况下,每个驱动器可以通过一个或者多个数据介质接口与总线018相连。存储器028可以包括至少一个程序产品,该程序产品具有一组(例如至少一个) 程序模块,这些程序模块被配置以执行本发明各实施例的功能。
具有一组(至少一个)程序模块042的程序/实用工具040,可以存储在例如存储器028中,这样的程序模块042包括——但不限于——操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块042通常执行本发明所描述的实施例中的功能和/或方法。
计算机系统/服务器012也可以与一个或多个外部设备014(例如键盘、指向设备、显示器024等)通信,在本发明中,计算机系统/服务器012与外部雷达设备进行通信,还可与一个或者多个使得用户能与该计算机系统/服务器012 交互的设备通信,和/或与使得该计算机系统/服务器012能与一个或多个其它计算设备进行通信的任何设备(例如网卡,调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口022进行。并且,计算机系统/服务器012还可以通过网络适配器020与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器020通过总线018 与计算机系统/服务器012的其它模块通信。应当明白,尽管图4中未示出,可以结合计算机系统/服务器012使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
处理单元016通过运行存储在系统存储器028中的程序,从而执行各种功能应用以及数据处理,例如实现本发明实施例所提供的方法流程。
上述的计算机程序可以设置于计算机存储介质中,即该计算机存储介质被编码有计算机程序,该程序在被一个或多个计算机执行时,使得一个或多个计算机执行本发明上述实施例中所示的方法流程和/或装置操作。例如,被上述一个或多个处理器执行本发明实施例所提供的方法流程。
随着时间、技术的发展,介质含义越来越广泛,计算机程序的传播途径不再受限于有形介质,还可以直接从网络下载等。可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器 (CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括——但不限于——电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于——无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、 Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN) 连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (16)
1.一种身份认证的方法,其特征在于,该方法包括:
物联网设备内置的代理网关接收访问者发送给所述物联网设备的管理接口的访问请求;
若所述访问者未进行过身份认证注册,则对所述访问者进行身份认证注册,所述身份认证注册包括身份认证和注册多因素认证信息,所述多因素认证信息包括至少两种认证信息;
若所述访问者进行过身份认证注册,则获取所述访问者提供的多因素认证信息,并对所述访问者提供的多因素认证信息进行验证,如果验证通过,则将所述访问请求发送至所请求的管理接口地址。
2.根据权利要求1所述的方法,其特征在于,所述代理网关以可执行文件的形式嵌入物联网设备。
3.根据权利要求1所述的方法,其特征在于,对所述访问者进行身份认证注册包括:
所述代理网关将所述访问请求发送至所述管理接口的认证入口,以便于所述访问者通过所述认证入口向所述管理接口进行身份认证;
获取所述身份认证的结果,若认证通过,则对所述访问者注册多因素认证信息。
4.根据权利要求1所述的方法,其特征在于,对所述访问者进行身份认证注册包括:
所述代理网关向所述访问者返回身份认证界面;
获取所述访问者在所述身份认证界面输入的身份认证信息,并利用所述身份认证信息对所述访问者进行身份认证;
若身份认证通过,则对所述访问者注册多因素认证信息。
5.根据权利要求3或4所述的方法,其特征在于,对所述访问者注册多因素认证信息包括:为所述访问者分配多因素认证信息,并缓存为所述访问者分配的多因素认证信息;
利用缓存的多因素认证信息,执行所述对所述访问者提供的多因素认证信息进行验证的步骤。
6.根据权利要求1所述的方法,其特征在于,所述认证信息包括静态密码、动态令牌或生物特征。
7.根据权利要求1所述的方法,其特征在于,获取所述访问者提供的多因素认证信息包括:
向所述访问者发送提供多因素认证信息的通知;
获取所述访问者提供的多因素认证信息。
8.根据权利要求1所述的方法,其特征在于,该方法还包括:
若对所述多因素认证信息验证不通过,则返回认证失败响应。
9.根据权利要求8所述的方法,其特征在于,所述身份认证注册还包括注册备用口令;
该方法还包括:
若所述多因素认证信息验证不通过,则进一步获取访问者提供的备用口令并对所述访问者提供的备用口令进行验证,若验证通过,则重新对所述访问者注册多因素认证信息。
10.一种身份认证的装置,其特征在于,该装置内置于物联网设备,该装置包括:
第一交互单元,用于接收访问者发送给所述物联网设备的管理接口的访问请求;
认证注册单元,用于若所述访问者未进行过身份认证注册,则对所述访问者进行身份认证注册,所述身份认证注册包括身份认证和注册多因素认证信息,所述多因素认证信息包括至少两种认证信息;若所述访问者进行过身份认证注册,则通过所述第一交互单元获取所述访问者提供的多因素认证信息,并对所述访问者提供的多因素认证信息进行验证,如果验证通过,则触发第二交互单元将所述访问请求发送至所请求的管理接口地址;
第二交互单元,用于在所述认证注册单元的触发下,将所述访问请求发送至所请求的管理接口地址。
11.根据权利要求10所述的装置,其特征在于,所述装置以可执行文件的形式嵌入物联网设备。
12.根据权利要求10所述的装置,其特征在于,所述认证注册单元在进行身份认证注册时,具体执行:
触发所述第二交互单元将所述访问请求发送至所述管理接口的认证入口,以便于所述访问者通过所述认证入口向所述管理接口进行身份认证;通过所述第二交互单元获取所述身份认证的结果,若认证通过,则对所述访问者注册多因素认证信息;或者,
通过所述第一交互单元向所述访问者返回身份认证界面,并获取所述访问者在所述身份认证界面输入的身份认证信息,并利用所述身份认证信息对所述访问者进行身份认证;若身份认证通过,则对所述访问者注册多因素认证信息。
13.根据权利要求12所述的装置,其特征在于,所述认证注册单元在对所述访问者注册多因素认证信息时,具体执行:为所述访问者分配多因素认证信息,并缓存为所述访问者分配的多因素认证信息;
所述认证注册单元利用缓存的多因素认证信息,执行所述对所述访问者提供的多因素认证信息进行验证的处理。
14.根据权利要求10所述的装置,其特征在于,所述身份认证注册还包括注册备用口令;
所述认证注册单元,还用于若所述多因素认证信息验证不通过,则通过所述第一交互单元获取访问者提供的备用口令,并对所述访问者提供的备用口令进行验证,若验证通过,则重新对所述访问者注册多因素认证信息。
15.一种设备,其特征在于,所述设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-9中任一所述的方法。
16.一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行如权利要求1-9中任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010494059.6A CN111901289B (zh) | 2020-06-03 | 2020-06-03 | 一种身份认证的方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010494059.6A CN111901289B (zh) | 2020-06-03 | 2020-06-03 | 一种身份认证的方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111901289A CN111901289A (zh) | 2020-11-06 |
| CN111901289B true CN111901289B (zh) | 2022-02-25 |
Family
ID=73207277
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010494059.6A Active CN111901289B (zh) | 2020-06-03 | 2020-06-03 | 一种身份认证的方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111901289B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113315634B (zh) * | 2021-05-21 | 2022-04-08 | 广州大学 | 一种物联网的轻量访问控制方法、装置以及系统 |
| CN113613190A (zh) * | 2021-06-22 | 2021-11-05 | 国网思极网安科技(北京)有限公司 | 终端安全接入单元、系统及方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109995843A (zh) * | 2018-01-02 | 2019-07-09 | 中国移动通信有限公司研究院 | 一种基于窄带物联网的终端验证方法及装置 |
| CN110300102A (zh) * | 2019-06-17 | 2019-10-01 | 中电科大数据研究院有限公司 | 一种基于区块链的物联网安全接入系统及方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11153309B2 (en) * | 2018-03-13 | 2021-10-19 | At&T Mobility Ii Llc | Multifactor authentication for internet-of-things devices |
-
2020
- 2020-06-03 CN CN202010494059.6A patent/CN111901289B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109995843A (zh) * | 2018-01-02 | 2019-07-09 | 中国移动通信有限公司研究院 | 一种基于窄带物联网的终端验证方法及装置 |
| CN110300102A (zh) * | 2019-06-17 | 2019-10-01 | 中电科大数据研究院有限公司 | 一种基于区块链的物联网安全接入系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111901289A (zh) | 2020-11-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20200304485A1 (en) | Controlling Access to Resources on a Network | |
| CN108632253B (zh) | 基于移动终端的客户数据安全访问方法及装置 | |
| CN109587162B (zh) | 登录验证方法、装置、终端、密码服务器及存储介质 | |
| US8863265B2 (en) | Remote sign-out of web based service sessions | |
| AU2016273890A1 (en) | Controlling physical access to secure areas via client devices in a networked environment | |
| CN104253812A (zh) | 委托用于web服务的认证 | |
| CN103036902A (zh) | 基于二维码的登录控制方法和系统 | |
| CN103023919A (zh) | 基于二维码的登录控制方法和系统 | |
| CN113742676B (zh) | 一种登录管理方法、装置、服务器、系统及存储介质 | |
| CN106254319B (zh) | 一种轻应用登录控制方法和装置 | |
| US8813200B2 (en) | Online password management | |
| CN111901289B (zh) | 一种身份认证的方法、装置、设备及存储介质 | |
| CN113225351B (zh) | 一种请求处理方法、装置、存储介质及电子设备 | |
| US11777942B2 (en) | Transfer of trust between authentication devices | |
| CN112118238A (zh) | 认证登录的方法、装置、系统、设备及存储介质 | |
| CN114938288A (zh) | 一种数据访问方法、装置、设备以及存储介质 | |
| CN116484338A (zh) | 数据库访问方法及装置 | |
| CN111147525A (zh) | 基于api网关的认证方法、系统、服务器和存储介质 | |
| CN112260983B (zh) | 一种身份验证方法、装置、设备及计算机可读存储介质 | |
| CN111901290B (zh) | 一种身份认证的方法和装置 | |
| CN113612776B (zh) | 一种私有网络访问方法、装置、计算机设备和存储介质 | |
| CN112187786B (zh) | 网络服务的业务处理方法、装置、服务器及存储介质 | |
| KR101319570B1 (ko) | 중계장치에 의한 pc와 서버간의 접속 인증 방법, 이를 적용한 중계장치 및 컴퓨터로 읽을 수 있는 기록매체 | |
| CN109857488B (zh) | 应用程序的调用控制方法、装置、终端及可读存储介质 | |
| CN109684818A (zh) | 一种防止机主登录密码泄露的跨终端式的服务器登录方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |