CN112468442B - 双因子认证方法、装置、计算机设备及存储介质 - Google Patents

双因子认证方法、装置、计算机设备及存储介质 Download PDF

Info

Publication number
CN112468442B
CN112468442B CN202011169861.4A CN202011169861A CN112468442B CN 112468442 B CN112468442 B CN 112468442B CN 202011169861 A CN202011169861 A CN 202011169861A CN 112468442 B CN112468442 B CN 112468442B
Authority
CN
China
Prior art keywords
certificate
user
access request
authenticated
factor
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011169861.4A
Other languages
English (en)
Other versions
CN112468442A (zh
Inventor
刘元松
李宪状
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Suzhou Inspur Intelligent Technology Co Ltd
Original Assignee
Suzhou Inspur Intelligent Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Suzhou Inspur Intelligent Technology Co Ltd filed Critical Suzhou Inspur Intelligent Technology Co Ltd
Priority to CN202011169861.4A priority Critical patent/CN112468442B/zh
Publication of CN112468442A publication Critical patent/CN112468442A/zh
Priority to US18/245,783 priority patent/US20230336541A1/en
Priority to PCT/CN2021/109514 priority patent/WO2022088808A1/zh
Application granted granted Critical
Publication of CN112468442B publication Critical patent/CN112468442B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种双因子认证方法、装置、计算机设备及存储介质。所述方法包括:获取根证书并将根证书导入到双因子服务,以及根据根证书配置Ingress对象;双因子服务生成用户证书,并根据根证书将用户证书颁发给用户;利用Ingress对象拦截客户端的访问请求,并根据根证书对访问请求携带的待认证用户证书进行可信校验;若访问请求携带的待认证用户证书可信,则将访问请求转发至双因子服务进行进一步认证。本发明的方案实现了在更加靠前的位置对待认证用户证书可信性进行校验,从而有效到在后端双因子服务之前就拦截无效访问请求,极大地提高了后端双因子服务的可用性,避免了后端双因子服务因恶意攻击而宕机。

Description

双因子认证方法、装置、计算机设备及存储介质
技术领域
本发明属涉及数据安全领域,尤其涉及一种双因子认证方法、装置、计算机设备及存储介质。
背景技术
双因子验证(2FA),又被称作两步验证或者双因素验证,是一种安全验证过程。在双因子验证过程中,需要用户提供两种不同的认证因素来证明自己的身份,从而起到更好地保护用户证书和用户可访问的资源。双因子验证比基于单因子的验证方式提供了更高级别的保证。在单因子验证中,用户只需提供一种认证因子即可完成,例如提供密码或者口令。双因子验证方式不仅需要用户提供密码,而且需要第二个因子,通常情况下这一因子会是一个安全令牌或者生物识别因子像指纹和面部扫描。
SSL证书是用于在Web服务器与浏览器以及客户端之间建立加密链接的加密技术,通过配置和应用SSL证书来启用HTTPS协议,来保证互联网数据传输的安全。Https协议支持单向认证和双向认证。单向认证的过程,客户端从服务器端下载服务器端公钥证书进行验证,然后建立安全通信通道。双向通信流程,客户端除了需要从服务器端下载服务器的公钥证书进行验证外,还需要把客户端的公钥证书上传到服务器端给服务器端进行验证,等双方都认证通过了,才开始建立安全通信通道进行数据传输。相比于单向认证,双向认证可提供更高的安全性。
目前,可使用用户证书和账号密码的方式进行双因子验证,并在后端提供单独的双因子认证功能,由客户端携带证书向后端双因子服务发起验证请求;然而当较多的用户同时发起验证请求或者携带错误证书恶意攻击双因子服务,很容易因为在某段时间内请求骤然增加,造成服务的宕机。虽然可以使用请求队列等技术暂存请求,实现“削峰”,缓解服务的瞬间压力,但是携带无效证书的众多请求最终还是到达了后端的双因子服务,造成资源的浪费。
发明内容
有鉴于此,有必要针对以上技术问题,提供能够避免无效访问请求,防止对双因子认证服务恶意攻击的一种双因子认证方法、装置、计算机设备及存储介质。
根据本发明的第一方面,提供了一种双因子认证方法,所述方法包括:
获取根证书并将所述根证书导入到双因子服务,以及根据所述根证书配置Ingress对象;
利用所述双因子服务生成用户证书,并根据所述根证书将所述用户证书颁发给用户;
利用所述Ingress对象拦截客户端的访问请求,并根据所述根证书对所述访问请求携带的待认证用户证书进行可信校验;
若所述访问请求携带的待认证用户证书可信,则将所述访问请求转发至所述双因子服务进行进一步认证。
在其中一个实施例中,所述方法还包括:
若所述访问请求携带的待认证用户证书不可信,则所述Ingress对象向客户端返回拒绝客户端的访问请求,并确认所述访问请求携带的待认证用户证书为恶意证书。
在其中一个实施例中,所述获取根证书并将所述根证书导入到双因子服务,以及根据所述根证书配置Ingress对象的步骤包括:
通过管理员端生成CA证书,并将CA证书作为根证书导入到所述双因子服务中;
基于所述CA证书创建并配置Ingress对象。
在其中一个实施例中,所述利用所述双因子服务生成用户证书,并根据所述根证书将所述用户证书颁发给用户的步骤包括:
获取用户信息,并利用所述双因子服务根据所述用户信息生成用户证书;
基于所述根证书将所述用户证书颁发给用户;
将所述用户证书与对应的用户信息相关联,并保存到数据库。
在其中一个实施例中,所述根据所述根证书对所述访问请求携带的待认证用户证书进行可信校验的步骤包括:
获取所述待认证用户证书对应的CA证书并到Ingress对象中的CA证书中进行匹配;
若从Ingress对象中的CA证书中匹配到与所述待认证用户证书对应的 CA证书,则确认所述访问请求携带的待认证用户证书可信;
若从Ingress对象中的CA证书中未匹配到与所述待认证用户证书对应的CA证书,则确认所述访问请求携带的待认证用户证书不可信。
在其中一个实施例中,所述若所述访问请求携带的待认证用户证书可信,则将所述访问请求转发至所述双因子服务进行认证的步骤包括:
所述双因子验证服务验证所述访问请求携带的账户密码是否正确;
若所述访问请求携带的账户密码正确,则所述双因子服务验证所述待认证用户证书的内容是否正确;
若所述待认证用户证书的内容正确,则返回用户登录成功。
在其中一个实施例中,所述双因子服务验证所述待认证用户证书的内容是否正确的步骤包括:
所述双因子服务解析所述待认证用户证书的内容以得到用户信息和用户特征值;
根据所述用户信息从数据库中查询预设用户特征值;
若所述用户特征值与所述预设用户特征值匹配,则确认所述待认证用户证书的内容正确。
根据本发明的第二方面,提供了一种双因子认证装置,所述装置包括:
根证书获取模块,用于获取根证书并将所述根证书导入到双因子服务,以及根据所述根证书配置Ingress对象;
用户证书颁发模块,用于利用所述双因子服务生成用户证书,并根据所述根证书将所述用户证书颁发给用户;
请求拦截模块,用于利用所述Ingress对象拦截客户端的访问请求,并根据所述根证书对所述访问请求携带的待认证用户证书进行可信校验;
认证模块,用于在所述访问请求携带的待认证用户证书可信时,则将所述访问请求转发所述双因子服务进行进一步认证。
根据本发明的第三方面,还提供了一种计算机设备,该计算机设备包括:
至少一个处理器;以及
存储器,存储器存储有可在处理器上运行的计算机程序,处理器执行程序时执行前述的双因子认证方法。
根据本发明的第四方面,还提供了一种计算机可读存储介质,计算机可读存储介质存储有计算机程序,计算机程序被处理器执行时执行前述的双因子认证方法。
上述一种双因子认证方法,先通过将根证书导入到双因子服务并颁发给用户,以及根据根证书配置Ingress对象,再利用Ingress对象拦截客户端的访问请求,从而根据根证书对访问请求携带的待认证用户证书进行可信校验,并在确认待认证用户证书可信后有双因子进行后续的认证,由此实现了在更加靠前的位置对待认证用户证书可信性进行校验,从而有效到在后端双因子服务之前就拦截无效访问请求,极大地提高了后端双因子服务的可用性,避免了后端双因子服务因恶意攻击而宕机。
此外,本发明还提供了一种双因子认证装置及一种计算机设备和一种计算机可读存储介质,同样能实现上述技术效果,这里不再赘述。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的实施例。
图1为本发明一个实施例中提供的一种双因子认证方法的流程示意图;
图2为本发明另一个实施中提供的步骤S100的子流程示意图;
图3为本发明另一个实施例中提供的双因子认证过程示意图;
图4为本发明另一个实施例中提供的一种双因子认证装置的结构示意图;
图5为本发明另一个实施例中算机设备的内部结构图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明实施例进一步详细说明。
需要说明的是,本发明实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量,可见“第一”“第二”仅为了表述的方便,不应理解为对本发明实施例的限定,后续实施例对此不再一一说明。
在一个实施例中,请参照如图1所示,提供了一种双因子认证方法,具体的该方法包括以下步骤:
S100,获取根证书并将所述根证书导入到双因子服务,以及根据所述根证书配置Ingress对象;
其中,Ingress对象管理对集群中的服务(通常是HTTP)的外部访问的API对象,Ingress对象可以提供负载平衡、SSL终端和基于名称的虚拟主机。
S200,利用所述双因子服务生成用户证书,并根据所述根证书将所述用户证书颁发给用户;
S300,利用所述Ingress对象拦截客户端的访问请求,并根据所述根证书对所述访问请求携带的待认证用户证书进行可信校验;
S400,若所述访问请求携带的待认证用户证书可信,则将所述访问请求转发至所述双因子服务进行进一步认证。
上述一种双因子认证方法,先通过将根证书导入到双因子服务并颁发给用户,以及根据根证书配置Ingress对象,再利用Ingress对象拦截客户端的访问请求,从而根据根证书对访问请求携带的待认证用户证书进行可信校验,并在确认待认证用户证书可信后有双因子进行后续的认证,由此实现了在更加靠前的位置对待认证用户证书可信性进行校验,从而有效到在后端双因子服务之前就拦截无效访问请求,极大地提高了后端双因子服务的可用性,避免了后端双因子服务因恶意攻击而宕机。
优选地,所述方法还包括步骤S500:
若所述访问请求携带的待认证用户证书不可信,则所述Ingress对象向客户端返回拒绝客户端的访问请求,并确认所述访问请求携带的待认证用户证书为恶意证书。
在又一个实施例中,请参照图2所示上述步骤S100具体包括以下子步骤:
S110,通过管理员端生成CA证书;
S120,将CA证书作为根证书导入到所述双因子服务中;
S130,基于所述CA证书创建并配置Ingress对象。
在又一个实施例中,前述步骤S200具体包括以下子步骤:
S210,获取用户信息,并利用所述双因子服务根据所述用户信息生成用户证书;
S220,基于根证书将所述用户证书颁发给用户;
S230,将所述用户证书与对应的用户信息相关联,并保存到数据库。
在有一个实施例中,所示步骤S300中的根据所述根证书对所述访问请求携带的待认证用户证书进行可信校验的实施过程如下:
S310,获取所述待认证用户证书对应的CA证书并到Ingress对象中的 CA证书中进行匹配;
S320,若从Ingress对象中的CA证书中匹配到与所述待认证用户证书对应的CA证书,则确认所述访问请求携带的待认证用户证书可信;
S330,若从Ingress对象中的CA证书中未匹配到与所述待认证用户证书对应的CA证书,则确认所述访问请求携带的待认证用户证书不可信。
在又一个实施例中,前述步骤S400具体包括以下子步骤:
S410,所述双因子验证服务验证所述访问请求携带的账户密码是否正确;
S420,若所述访问请求携带的账户密码正确,则所述双因子服务验证所述待认证用户证书的内容是否正确;
S430,若所述待认证用户证书的内容正确,则返回用户登录成功。
优选地,步骤S420具体包括以下子步骤:所述双因子服务验证所述待认证用户证书的内容是否正确的步骤包括
S421,所述双因子服务解析所述待认证用户证书的内容以得到用户信息和用户特征值;
S422,根据所述用户信息从数据库中查询预设用户特征值;
S423,若所述用户特征值与所述预设用户特征值匹配,则确认所述待认证用户证书的内容正确。
在另一个实施例中,请参照图3,图3示出了双因子认证过程示意图,为了便于理解本发明的技术方案提供一种双因子认证方法,下面以一种多主机架构的Kubernetes(Kubernetes是一个开源的用于管理云平台中多个主机上的容器化的应用,Kubernetes的目标是让部署容器化的应用简单并且高效)通过客户端请求访问数据库的过程如下:
步骤1,系统管理员在管理员端生成CA证书,将CA证书作为根证书导入到双因子服务中,用于签发用户证书;其中,双因子服务包括证书管理单元和用户-证书绑定关系校验单元;
步骤2,基于步骤1生成的CA证书,创建Ingress,并设置为开启双向认证;较佳的,系统管理员可根据实际需要,在界面配置是否开启双因子服务,例如双因子服务的开启通过实时修改Kubernetes的Ingress的配置参数实现;
步骤3,双因子服务证的书管理单元生成证书并将证书颁发给用户,同时将用户证书与对应的用户信息相关联,并保存到数据库;
步骤4,客户端携带用户证书发送请求到Ingress,Ingress对用户证书进行可信性校验并转发到后端双因子服务;客户端的访问请求除携带用户证书外,还包括与该用户证书对应的CA证书、账号密码等。
步骤5,Ingress校验用户证书的可信性,校验不通过则直接返回拒绝客户端的访问请求或错误,否则转发请求到双因子服务;
步骤6,若双因子服务收到由Ingress转发的访问请求,双因子服务解析访问请求携带的待认证用户证书内容,由用户-证书绑定关系校验单元将用户证书信息与数据库内的用户特征值进行匹配,匹配成功则用户登录成功,否则用户登录失败。
上述一种双因子认证方法,实现的是一种多主机架构下基于Ingress的可配置双因子认证系统,该系统通过将证书可信性校验前置,可在ingress 处有效拦截恶意证书,避免众多的无效证书请求直接访问后端证书验证服务,保证后端服务稳定运行,大大增强了双因子服务的可用性,此外还利用Ingress可热启动的特性,可实现对双因子认证功能的实时开关。
在又一个实施例中,请参照图4,图4示出了一种双因子认证装置的结构示意图,本发明提供了一种双因子认证装置60,所述装置包括:
根证书获取模块61,用于获取根证书并将所述根证书导入到双因子服务,以及根据所述根证书配置Ingress对象;
用户证书颁发模块62,用于利用所述双因子服务生成用户证书,并根据所述根证书将所述用户证书颁发给用户;
请求拦截模块63,用于利用所述Ingress对象拦截客户端的访问请求,并根据所述根证书对所述访问请求携带的待认证用户证书进行可信校验;
认证模块64,用于在所述访问请求携带的待认证用户证书可信时,则将所述访问请求转发所述双因子服务进行进一步认证。
根据本发明的另一方面,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图请参照图5所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时实现以上所述的双因子认证方法。
根据本发明的又一方面,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以上所述的双因子认证方法。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM (EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。

Claims (6)

1.一种双因子认证方法,其特征在于,所述方法包括:
获取根证书并将所述根证书导入到双因子服务,以及根据所述根证书配置Ingress对象;
利用所述双因子服务生成用户证书,并根据所述根证书将所述用户证书颁发给用户;
利用所述Ingress对象拦截客户端的访问请求,并根据所述根证书对所述访问请求携带的待认证用户证书进行可信校验;
若所述访问请求携带的待认证用户证书可信,则将所述访问请求转发至所述双因子服务进行进一步认证;
所述获取根证书并将所述根证书导入到双因子服务,以及根据所述根证书配置Ingress对象的步骤包括:
通过管理员端生成CA证书,并将CA证书作为根证书导入到所述双因子服务中;
基于所述CA证书创建并配置Ingress对象;
所述利用所述双因子服务生成用户证书,并根据所述根证书将所述用户证书颁发给用户的步骤包括:
获取用户信息,并利用所述双因子服务根据所述用户信息生成用户证书;
基于所述根证书将所述用户证书颁发给用户;
将所述用户证书与对应的用户信息相关联,并保存到数据库;
所述根据所述根证书对所述访问请求携带的待认证用户证书进行可信校验的步骤包括:
获取所述待认证用户证书对应的CA证书并到Ingress对象中的CA证书中进行匹配;
若从Ingress对象中的CA证书中匹配到与所述待认证用户证书对应的CA证书,则确认所述访问请求携带的待认证用户证书可信;
若从Ingress对象中的CA证书中未匹配到与所述待认证用户证书对应的CA证书,则确认所述访问请求携带的待认证用户证书不可信;
所述若所述访问请求携带的待认证用户证书可信,则将所述访问请求转发至所述双因子服务进行进一步认证的步骤包括:
所述双因子验证服务验证所述访问请求携带的账户密码是否正确;
若所述访问请求携带的账户密码正确,则所述双因子服务验证所述待认证用户证书的内容是否正确;
若所述待认证用户证书的内容正确,则返回用户登录成功。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若所述访问请求携带的待认证用户证书不可信,则所述Ingress对象向客户端返回拒绝客户端的访问请求,并确认所述访问请求携带的待认证用户证书为恶意证书。
3.根据权利要求1所述的方法,其特征在于,所述双因子服务验证所述待认证用户证书的内容是否正确的步骤包括:
所述双因子服务解析所述待认证用户证书的内容以得到用户信息和用户特征值;
根据所述用户信息从数据库中查询预设用户特征值;
若所述用户特征值与所述预设用户特征值匹配,则确认所述待认证用户证书的内容正确。
4.一种双因子认证装置,其特征在于,所述装置包括:
根证书获取模块,用于获取根证书并将所述根证书导入到双因子服务,以及根据所述根证书配置Ingress对象;
用户证书颁发模块,用于利用所述双因子服务生成用户证书,并根据所述根证书将所述用户证书颁发给用户;
请求拦截模块,用于利用所述Ingress对象拦截客户端的访问请求,并根据所述根证书对所述访问请求携带的待认证用户证书进行可信校验;
认证模块,用于在所述访问请求携带的待认证用户证书可信时,则将所述访问请求转发所述双因子服务进行进一步认证;
所述根证书获取模块进一步用于:
通过管理员端生成CA证书,并将CA证书作为根证书导入到所述双因子服务中;
基于所述CA证书创建并配置Ingress对象;
所述用户证书颁发模块进一步用于:
获取用户信息,并利用所述双因子服务根据所述用户信息生成用户证书;
基于所述根证书将所述用户证书颁发给用户;
将所述用户证书与对应的用户信息相关联,并保存到数据库;
所述请求拦截模块进一步用于:
获取所述待认证用户证书对应的CA证书并到Ingress对象中的CA证书中进行匹配;
若从Ingress对象中的CA证书中匹配到与所述待认证用户证书对应的CA证书,则确认所述访问请求携带的待认证用户证书可信;
若从Ingress对象中的CA证书中未匹配到与所述待认证用户证书对应的CA证书,则确认所述访问请求携带的待认证用户证书不可信;
所述认证模块进一步用于:
所述双因子验证服务验证所述访问请求携带的账户密码是否正确;
若所述访问请求携带的账户密码正确,则所述双因子服务验证所述待认证用户证书的内容是否正确。
5.一种计算机设备,其特征在于,包括:
至少一个处理器;以及
存储器,所述存储器存储有可在所述处理器上运行的计算机程序,所述处理器执行所述程序时执行权利要求1-3任意一项所述的方法。
6.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时执行权利要求1-3任意一项所述的方法。
CN202011169861.4A 2020-10-28 2020-10-28 双因子认证方法、装置、计算机设备及存储介质 Active CN112468442B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN202011169861.4A CN112468442B (zh) 2020-10-28 2020-10-28 双因子认证方法、装置、计算机设备及存储介质
US18/245,783 US20230336541A1 (en) 2020-10-28 2021-07-30 Method and device for two-factor authentication, computer device, and storage medium
PCT/CN2021/109514 WO2022088808A1 (zh) 2020-10-28 2021-07-30 双因子认证方法、装置、计算机设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011169861.4A CN112468442B (zh) 2020-10-28 2020-10-28 双因子认证方法、装置、计算机设备及存储介质

Publications (2)

Publication Number Publication Date
CN112468442A CN112468442A (zh) 2021-03-09
CN112468442B true CN112468442B (zh) 2022-06-07

Family

ID=74834736

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011169861.4A Active CN112468442B (zh) 2020-10-28 2020-10-28 双因子认证方法、装置、计算机设备及存储介质

Country Status (3)

Country Link
US (1) US20230336541A1 (zh)
CN (1) CN112468442B (zh)
WO (1) WO2022088808A1 (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112468442B (zh) * 2020-10-28 2022-06-07 苏州浪潮智能科技有限公司 双因子认证方法、装置、计算机设备及存储介质
CN113360882A (zh) * 2021-05-27 2021-09-07 北京百度网讯科技有限公司 集群访问方法、装置、电子设备和介质
CN114143034A (zh) * 2021-11-01 2022-03-04 清华大学 一种网络访问安全性检测方法及装置
CN116155521A (zh) * 2021-11-19 2023-05-23 华为技术有限公司 一种安全登录的验证方法以及相关设备
CN117938532A (zh) * 2024-02-02 2024-04-26 中央国债登记结算有限责任公司 基于双因素认证的客户端业务仿真测试方法及相关设备

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104486343A (zh) * 2014-12-18 2015-04-01 广东粤铁科技有限公司 一种双因子双向认证的方法及系统
CN110610075A (zh) * 2019-08-22 2019-12-24 苏州浪潮智能科技有限公司 一种双因子证书管理系统及方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8601602B1 (en) * 2010-08-31 2013-12-03 Google Inc. Enhanced multi-factor authentication
KR20170106515A (ko) * 2012-03-08 2017-09-20 인텔 코포레이션 다중 팩터 인증 기관
CN107241345B (zh) * 2017-06-30 2020-07-17 西安电子科技大学 基于UKey的云计算资源管理方法
CN111428213B (zh) * 2020-03-27 2024-02-02 深圳融安网络科技有限公司 双因子的认证设备及其方法和计算机可读存储介质
CN112468442B (zh) * 2020-10-28 2022-06-07 苏州浪潮智能科技有限公司 双因子认证方法、装置、计算机设备及存储介质

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104486343A (zh) * 2014-12-18 2015-04-01 广东粤铁科技有限公司 一种双因子双向认证的方法及系统
CN110610075A (zh) * 2019-08-22 2019-12-24 苏州浪潮智能科技有限公司 一种双因子证书管理系统及方法

Also Published As

Publication number Publication date
US20230336541A1 (en) 2023-10-19
CN112468442A (zh) 2021-03-09
WO2022088808A1 (zh) 2022-05-05

Similar Documents

Publication Publication Date Title
CN112468442B (zh) 双因子认证方法、装置、计算机设备及存储介质
CN101027676B (zh) 用于可控认证的个人符记和方法
JP4886508B2 (ja) 既存のsslセッションを中断することなく証明書ベースの認証にステップアップするための方法及びシステム
US7032110B1 (en) PKI-based client/server authentication
US8812838B2 (en) Configuring a valid duration period for a digital certificate
US11729169B2 (en) Identity defined secure connect
CN107040513B (zh) 一种可信访问认证处理方法、用户终端和服务端
US20220255919A1 (en) Computer readable storage media for legacy integration and methods and systems for utilizing same
US9942200B1 (en) End user authentication using a virtual private network
WO2017067160A1 (zh) 基于mptcp的主流连接建立方法及装置
CN113381979B (zh) 一种访问请求代理方法及代理服务器
CN109792433B (zh) 用于将设备应用绑定到网络服务的方法和装置
US10805083B1 (en) Systems and methods for authenticated communication sessions
CN111526161A (zh) 一种通信方法、通信设备及代理系统
US7917941B2 (en) System and method for providing physical web security using IP addresses
US10791119B1 (en) Methods for temporal password injection and devices thereof
US20220006654A1 (en) Method to establish an application level ssl certificate hierarchy between master node and capacity nodes based on hardware level certificate hierarchy
CN112929388B (zh) 网络身份跨设备应用快速认证方法和系统、用户代理设备
US10931662B1 (en) Methods for ephemeral authentication screening and devices thereof
CN107395566B (zh) 认证方法及装置
JP2020014168A (ja) 電子署名システム、証明書発行システム、鍵管理システム及び電子証明書発行方法
US11095460B2 (en) Certificate application operations
US7877608B2 (en) Secure inter-process communications
CN112738005A (zh) 访问处理方法、装置、系统、第一认证服务器及存储介质
CN108809927B (zh) 身份认证方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant