CN112491776A - 安全认证方法及相关设备 - Google Patents
安全认证方法及相关设备 Download PDFInfo
- Publication number
- CN112491776A CN112491776A CN201910858094.9A CN201910858094A CN112491776A CN 112491776 A CN112491776 A CN 112491776A CN 201910858094 A CN201910858094 A CN 201910858094A CN 112491776 A CN112491776 A CN 112491776A
- Authority
- CN
- China
- Prior art keywords
- client
- authentication
- browser
- authentication server
- browser fingerprint
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 69
- 230000004044 response Effects 0.000 claims description 25
- 238000004891 communication Methods 0.000 abstract description 4
- 230000015654 memory Effects 0.000 description 27
- 230000006870 function Effects 0.000 description 22
- 238000010586 diagram Methods 0.000 description 13
- 238000013461 design Methods 0.000 description 11
- 230000008569 process Effects 0.000 description 11
- 238000012545 processing Methods 0.000 description 10
- 238000004590 computer program Methods 0.000 description 6
- 230000003993 interaction Effects 0.000 description 5
- 238000012986 modification Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 235000014510 cooky Nutrition 0.000 description 4
- 230000001010 compromised effect Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000004075 alteration Effects 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 239000010979 ruby Substances 0.000 description 1
- 229910001750 ruby Inorganic materials 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本申请涉及通信技术领域,公开了一种安全认证方法及相关设备,该安全认证方法包括:当第一客户端从认证服务器接收到登录指令时,将第一浏览器指纹与用户名和密码一同发送到认证服务器,进而,从认证服务器接收令牌。当第二客户端携带该令牌与第二浏览器指纹请求认证服务器认证时,认证服务器通过检测第二浏览器指纹与第一浏览器指纹是否相同,确定令牌是否从第一客户端被泄露。由于浏览器指纹包含的信息更多,可见本申请的认证方式可靠性更高,从而能够避免令牌泄露带来的风险。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种安全认证方法及相关设备。
背景技术
单点登录(single sign-on,SSO)是指在多个相互信任的应用中,用户只需要登录一次就可以访问所有应用。
例如,一个支持单点登录的网站包括网上营业厅、网上商城、积分商城、Portal等web应用,相应的,如图1所示,单点登录系统的示例性网络架构包括客户端,支撑上述各个应用的服务器,以及用于登录和令牌认证的SSO服务器。结合图1,一种单点登录的实施过程包括:用户访问网上营业厅时,客户端向网上营业厅服务器发送访问请求,网上营业厅服务器确定用户未登录时触发客户端在SSO服务器登录;客户端向SSO服务器发送携带用户名和密码的登录请求,SSO服务器根据用户名和密码确定用户成功登录后为用户生成令牌,将令牌发送给客户端;之后,客户端向网上营业厅服务器发送携带令牌的访问请求,网上营业厅服务器将令牌发送至SSO服务器进行认证,如果认证结果为认证成功,SSO服务器向网上营业厅服务器反馈用户信息,网上营业厅服务器允许用户访问网上营业厅;进一步的,用户访问网上商城时,客户端向网上商城服务器发送携带令牌的访问请求,网上商城服务器将令牌发送至SSO服务器进行认证,如果认证结果为认证成功,SSO服务器向网上商城服务器反馈用户信息,网上商城服务器允许用户访问网上商城。用户访问该网站其他应用时的实施过程,与用户访问网上商城时的实施过程相似,此处不再详述。
基于此,若令牌被攻击者得到,攻击者也可以登录任一相应应用,从而会造成用户信息泄露,带来安全风险。可见,如何规避因令牌泄露产生的安全风险,是本领域亟待解决的问题。
发明内容
本申请提供了一种安全认证方法及相关设备,能够解决因令牌泄露产生安全风险的问题。
第一方面,本申请提供了一种安全认证方法,包括:认证服务器从第一客户端接收登录请求,所述登录请求包括用户名、密码以及第一浏览器指纹;在确定所述用户名和密码认证通过后,所述认证服务器向所述第一客户端发送登录成功响应,所述登录成功响应中包含令牌;所述认证服务器从第二客户端接收认证请求,所述认证请求中包含所述令牌和第二浏览器指纹;所述认证服务器检测所述第一浏览器指纹与所述第二浏览器指纹是否相同;若所述第一浏览器指纹与所述第二浏览器指纹相同,所述认证服务器向所述第二客户端发送认证成功响应。
本申请中,当用户使用第一客户端向认证服务器执行登录的过程中,第一客户端可以将第一浏览器指纹发送到认证服务器。进而,当第二客户端向认证服务器发送包含第二浏览器指纹认证请求之后,认证服务器通过检测第二浏览器指纹和第一浏览器指纹是否相同,确定发送认证请求的是否是第一客户端发送登录请求的浏览器,进而,确定令牌是否被泄露。其中,浏览器指纹包含客户端以及浏览器的多项信息,并且能够唯一标识浏览器。所以,采用本实现方式,对浏览器认证的准确性更高,从而能够提高安全性,进而能够避免令牌泄露带来的风险。
在一种可能的设计中,所述认证服务器从第一客户端接收登录请求之后,在向所述第一客户端发送登录成功响应之前,还包括:所述认证服务器将所述第一浏览器指纹作为所述令牌的部分数据,生成并存储所述令牌。一些实施例中,认证服务器将第一浏览器指纹作为生成令牌的部分数据,使得第一浏览器指纹不会被泄露或者篡改,从而能够认证的可靠性。
在一种可能的设计中,所述认证服务器检测所述第一浏览器指纹与所述第二浏览器指纹是否相同,包括:所述认证服务器解析所述令牌,得到所述第一浏览器指纹;所述认证服务器比较所述第一浏览器指纹与所述第二浏览器指纹是否相同。本申请中,认证服务器将第一浏览器指纹作为生成令牌的部分数据,使得第一浏览器指纹不会被泄露或者篡改,从而能够认证的可靠性。
在一种可能的设计中,所述认证服务器检测所述第一浏览器指纹与第二浏览器指纹是否相同,包括:所述认证服务器根据存储的所述令牌与所述第一指纹的对应关系,确定所述第一浏览器指纹;所述认证服务器比较所述第一浏览器指纹与所述第二浏览器指纹是否相同。另一些实施例中,认证服务器可以存储令牌与第一浏览器指纹的对应关系,从而在认证阶段能够根据令牌确定第一浏览器指纹。
在一种可能的设计中,所述认证服务器从第二客户端接收认证请求之后,在检测所述第一浏览器指纹与第二浏览器指纹是否相同之前,还包括:所述认证服务器从所述认证请求的登录login字段中读取所述令牌和所述第二浏览器指纹。本申请中,认证服务器与客户端之间传输的信息支持集中式认证服务(central authentication service,CAS)协议。基于此,第二客户端例如能够通过在CAS协议中增加扩展字段的方式扩展登录接口,从而为认证服务器提供更多的待认证信息,进而,能够提高单点登录的安全性。
第二方面,本申请提供了一种安全认证方法,包括:第一客户端从认证服务器接收登录指令;所述第一客户端向所述认证服务器发送登录请求,所述登录请求包括用户名、密码以及第一浏览器指纹;所述第一客户端从所述认证服务器接收并存储令牌,所述令牌根据所述第一浏览器指纹生成。
其中,当用户使用第一客户端向认证服务器执行登录的过程中,第一客户端可以将第一浏览器指纹发送到认证服务器,以使认证服务器后续根据第一浏览器指纹执行认证。浏览器指纹包含客户端以及浏览器的多项信息,并且能够唯一标识浏览器。所以,采用本实现方式,对浏览器认证的准确性更高,从而能够提高安全性,进而能够避免令牌泄露带来的风险。
在一种可能的设计中,所述第一客户端向所述认证服务器发送登录请求之前,还包括:所述第一客户端获取所述第一客户端的屏幕大小、浏览器版本、浏览器字体、语言、浏览器插件中的至少两个信息;所述第一客户端根据所述至少两个信息计算哈希hash值,将所述hash值作为所述第一浏览器指纹。可见,由于浏览器指纹包含的信息较多,采用本实现方式,能够更加准确的标识浏览器,进而使得认证服务器能够准确的认证浏览器。
第三方面,本申请提供了一种安全认证方法,包括:第二客户端获取第一客户端的令牌,所述令牌由所述第一客户端根据所述第一客户端上的第一浏览器指纹生成;第二客户端接收认证指令;所述第二客户端向认证服务器发送认证请求,所述认证请求中包含第二浏览器指纹和所述令牌,以使所述认证服务器根据所述第二浏览器指纹对所述第二客户端进行认证;所述第二客户端接收来自所述认证服务器的认证成功响应。
其中,当第二客户端向认证服务器发送认证请求时,可以将第二浏览器指纹携带在认证请求中发送到认证服务器,以使认证服务器根据第二浏览器指纹执行认证。浏览器指纹包含客户端以及浏览器的多项信息,并且能够唯一标识浏览器。所以,采用本实现方式,对浏览器认证的准确性更高,从而能够提高安全性,进而能够避免令牌泄露带来的风险。
在一种可能的设计中,所述认证请求的登录login字段中包含所述第二浏览器指纹和所述令牌。具体的,第二客户端能够通过在CAS协议中增加扩展字段的方式扩展登录接口,从而为认证服务器提供更多的待认证信息,进而,能够提高单点登录的安全性。
第四方面,本申请提供了一种认证服务器,该认证服务器具有实现上述方法中认证服务器的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。在一个可能的设计中,上述认证服务器的结构中包括处理器和收发器,所述处理器被配置为处理该认证服务器执行上述方法中相应的功能。所述收发器用于实现与客户端之间进行信息收发。所述认证服务器还可以包括存储器,所述存储器用于与处理器耦合,其保存该认证服务器必要的程序指令和数据。
第五方面,本申请提供了一种电子设备,该电子设备具有实现上述方法中客户端的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。在一个可能的设计中,上述电子设备的结构中包括处理器和收发器,所述处理器被配置为处理客户端执行上述方法中相应的功能。所述收发器用于实现与认证服务器之间进行信息收发。所述电子设备还可以包括存储器,所述存储器用于与处理器耦合,其保存该电子设备必要的程序指令和数据。
第六方面,本申请提供了一种计算机存储介质,该计算机存储介质中存储有指令,当所述指令在计算机上运行时,使得计算机执行第一方面、第二方面、第三方面、第一方面各种可能的实现方式中、第二方面可能的实现方式中及第三方面可能的实现方式中的安全认证方法的部分或全部步骤。
第七方面,本申请提供了一种计算机程序产品,该计算机程序产品在计算机上运行时,使得计算机执行第一方面、第二方面、第三方面、第一方面各种可能的实现方式中、第二方面可能的实现方式中及第三方面可能的实现方式中的安全认证方法的部分或全部步骤。
可见,本申请示意的安全认证方法及相关设备,客户端采用浏览器指纹标识浏览器,基于此,第一客户端向认证服务器发送登录请求时,将第一浏览器指纹发送到认证服务器。第二客户端向认证服务器发送认证请求时,将第二浏览器指纹发送到认证服务器。相应的,认证服务器通过检测第二浏览器指纹和第一浏览器指纹是否相同,确定发送认证请求的是否是第一客户端发送登录请求的浏览器,进而,确定令牌是否被泄露。由于浏览器指纹包含的信息更多,这样认证服务器对浏览器认证的可靠性更高,从而能够提高安全性,进而能够避免令牌泄露带来的风险。
附图说明
为了更清楚地说明本申请的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请提供的示例性单点登录系统的网络架构示意图;
图2为本申请提供的安全认证方法应用的网络架构10的示意图;
图3为本申请提供的安全认证方法100的信息交互图;
图4为本申请提供的单点登录系统20的示例性结构示意图;
图5A为本申请提供的登录方法200的示例性信息交互图;
图5B为本申请提供的安全认证方法300的示例性信息交互图;
图6A为本申请提供的认证服务器60的示例性结构示意图;
图6B为本申请提供的认证服务器61的示例性结构示意图
图7A为本申请提供的电子设备70的示例性结构示意图;
图7B为本申请提供的电子设备71的示例性结构示意图。
具体实施方式
下面将结合本申请中的附图,对本申请的技术方案进行清楚地描述。
本申请以下实施例中所使用的术语只是为了描述特定实施例的目的,而并非旨在作为对本申请的限制。如在本申请的说明书和所附权利要求书中所使用的那样,单数表达形式“一个”、“一种”、“所述”、“上述”、“该”和“这一”旨在也包括复数表达形式,除非其上下文中明确地有相反指示。还应当理解,尽管在以下实施例中可能采用术语第一、第二等来描述某一类对象,但所述对象不应限于这些术语。这些术语仅用来将该类对象的具体对象进行区分。例如,以下实施例中可能采用术语第一、第二等来描述浏览器指纹,但浏览器指纹不应限于这些术语。这些术语仅用来将不同的浏览器指纹进行区分。以下实施例中可能采用术语第一、第二等来描述的其他类对象同理,此处不再赘述。
以下介绍了安全认证方法应用的网络架构,客户端,认证服务器以及安全认证方法的实施例。
图2示意了本申请安全认证方法所应用的网络架构10,网络架构10包括客户端11,n个应用服务器12和认证服务器13,n是大于或者等于2的整数。其中,认证服务器13分别与客户端11、各个应用服务器12连接,客户端11分别与各个应用服务器12连接。客户端11用于接收用户输入的信息,并向各个应用服务器12发送访问请求,以及向认证服务器13发送登录请求或者认证请求;应用服务器12用于从认证服务器13获取用户信息,并通过客户端11为用户提供对应应用的各项服务;认证服务器13用于对来自客户端11的登录请求或认证请求进行处理,将处理结果反馈给客户端11,还用于响应应用服务器12的请求,向相应应用服务器12反馈用户信息。
客户端11可以在电子设备上实现,该电子设备搭载或者其它操作系统,并且具备无线通讯功能。该电子设备例如可以是手机、平板电脑、具备无线通讯功能的可穿戴电子设备(如智能手表)等。此处不再详述。客户端11可以运行java、.Net、ISAPI、php、Perl、uPortal、Acegi、Ruby、VBScript等语言编写的应用,客户端11运行的应用支持集中式认证服务(central authentication service,CAS)协议。
认证服务器13还可以被称为“SSO服务器”或者“CAS服务器”。认证服务器13中可以存储计算机程序和数据,认证服务器13运行计算机程序时可以执行登录和令牌认证等实施例的操作。数据例如可以包括用户名和密码、令牌以及认证票据(ticket)等。认证服务器13可以属于一个认证系统,该认证系统包括负载均衡服务器以及认证服务器集群,认证服务器集群中包括m台认证服务器,m大于等于2,认证服务器13属于该m台认证服务器。负载均衡服务器可以分别与m台认证服务器、客户端11和各个应用服务器12连接,用于将m台认证服务器发送的消息转发到相应设备,还用于将其他设备发送到认证服务器的消息转发至m台认证服务器中的认证服务器。
本申请涉及的应用可以是web应用,web应用可以在网站中实现。相互信任的多个web应用所属的网站支持单点登录的场景下,用户登录一次即可访问该网站中的每个web应用。通常,用户通过客户端的浏览器登录该网站,并通过浏览器访问该网站的各个web应用。相应的,客户端11与各服务器之间交互的指令或者请求均可以是http信息。
本申请涉及的令牌包括随机字符串,随机字符串例如可以是哈希(hash)串,随机字符串的长度例如可以是50个字符。令牌与用户输入的账户名、密码对应。令牌在客户端11中可以存储到浏览器的会话cookie中,得到存放用户身份授权凭证的cookie(ticketgranting cookie,TGC),相应的,令牌也可以被称为TGC标识(TGC identify,TGC ID)。基于此,客户端11向认证服务器13发送的认证请求中包含相应TGC。
令牌泄露是指攻击者从存储TGC的浏览器中获取该TGC,然后,使用其他客户端上的浏览器访问应用,其中,攻击者使用其他客户端上的浏览器发送的访问请求中包含TGC所包含的令牌。
为了避免令牌泄露产生安全风险,一种现有的做法是,认证服务器在生成令牌时,将第一客户端对应的网际协议(internet protocol,IP)地址,以及浏览器类型标识作为生成令牌的信息,得到例如包含50个字符的随机串,第一IP和第一浏览器类型标识的令牌。其中,第一IP地址是发送登录请求的第一客户端的IP地址;第一浏览器类型标识是第一客户端用于发送登录请求的浏览器的类型标识。进而,认证服务器在认证令牌阶段,可以获取待认证的令牌的第二IP和第二浏览器类型,然后,检测第二IP与第一IP是否匹配,并检测第二浏览器类型与第一浏览器类型是否匹配,若其中之一不匹配,则认证失败,用户无法访问即将访问的应用。其中,第二IP地址是发送认证请求的第二客户端的IP地址;第二浏览器类型标识是第二客户端用于发送认证请求的浏览器的类型标识。
基于此,若认证服务器采用负载均衡的方式,即使令牌未被泄露,认证服务器每次获取到的IP地址也与上次所获取的IP地址不同,从而导致认证结果不准确。若客户端采用代理服务器的方式,认证服务器获取到的IP地址,在代理服务器之间浮动,从而也会导致认证结果可靠性不高。
本申请提供了一种安全认证方法及相关设备,其中,认证服务器接收到认证请求之后,根据浏览器指纹对令牌是否被泄露进行认证,并在认证通过后,才向相应客户端发送认证成功的响应。这样能够提高认证的可靠性,且能够避免令牌泄露带来的风险。
以下对本申请的安全认证方法进行示例性描述。
参见图3,图3是本申请提供的安全认证方法100的信息交互图。安全认证方法100(以下简称方法100)包括以下步骤:
步骤S101,第一客户端向认证服务器发送登录请求,登录请求包括用户名、密码以及第一浏览器指纹。
其中,登录请求中包含用户名、密码以及第一浏览器指纹。示例性的,登录请求例如以CAS数据报文的方式实现,相应的,用户名、密码和第一浏览器指纹例如可以被携带在CAS数据报文登录(/login)字段中。
在实际实现中,用户可以通过运行在第一客户端的第一浏览器向第一应用服务器发送访问应用的请求,第一应用服务器根据访问应用的请求确定用户未认证的场景下,将访问应用的请求重定向到认证服务器。然后,第一浏览器向认证服务器发送访问请求。认证服务器在确定访问请求中不包含令牌的场景下,向第一客户端发送登录指令,然后,第一客户端响应登录指令,向认证服务器发送登录请求。
浏览器指纹是客户端根据浏览器以及该客户端的信息生成的一个哈希(hash)值,该哈希值能够唯一标识一个浏览器。例如,浏览器指纹“0xA123”唯一标识x浏览器;再如,浏览器指纹“0Xd257”唯一标识y浏览器。相应的,在步骤S101之前,第一客户端例如可以获取该第一客户端的屏幕大小信息、第一浏览器版本号、第一浏览器字体信息、语言信息、第一浏览器插件信息中的至少两个信息,然后,根据该至少两个信息计算hash值,该hash值即为第一浏览器指纹。
可以理解的是,上述对于第一浏览器指纹的描述仅是示意性描述,对本申请实施例所述的浏览器指纹不构成限制。本申请中,浏览器指纹的设置旨在根据客户端和/或浏览器的一些特征,为浏览器确定一个唯一、无法随意复制且无法篡改的标识。基于此,在另一些实施例中,生成浏览器指纹的信息还可以包括其他物理信息。
可见,由于浏览器指纹包含的信息较多,采用本实现方式,能够更加准确的标识浏览器,进而使得认证服务器能够准确的认证浏览器。
步骤S102,认证服务器向第一客户端发送登录成功响应,登录成功响应中包含令牌。
其中,令牌例如是认证服务器将第一浏览器指纹作为部分数据生成的。并存储所述令牌。
示例性的,本实施例中,认证服务器可以检测用户名和密码是否是用户曾注册的账户名和密码,若是,认证服务器对用户名和密码校验通过,则登录成功。然后,认证服务器生成并存储令牌。一些实施例中,认证服务器还可以存储令牌和第一浏览器指纹的对应关系。
此外,第一客户端接收到令牌之后,可以将该令牌存储为第一浏览器的会话cookie,得到存储令牌的TGC。
步骤S103,第二客户端获取第一客户端的令牌。
其中,令牌如步骤S102所述,此处不再详述。
一些实施例中,令牌未被泄露,那么,第二客户端即为第一客户端。另一些实施例中,令牌被泄露,相应的,第一客户端和第二客户端可以分别是两个客户端。
步骤S104,第二客户端接收认证指令。
其中,用户可以通过运行在第二客户端的第二浏览器向第二应用服务器发送访问应用的请求,第二应用服务器根据访问应用的请求确定用户未认证的场景下,将访问应用的请求重定向到认证服务器。本实施例中,可以将第二应用服务器的重定向操作视为向第二客户端发送认证指令。
步骤S105,第二客户端向认证服务器发送认证请求,认证请求中包含令牌和第二浏览器指纹。
其中,第二浏览器指纹由第二客户端在步骤S105之前生成。第二浏览器指纹的生成方式与第一浏览器指纹的生成方式类似。例如,第二客户端例如可以获取该第二客户端的屏幕大小信息、第二浏览器版本号、第二浏览器字体信息、语言信息、第二浏览器插件信息中的至少两个信息,然后,根据该至少两个信息计算hash值,该hash值即为第二浏览器指纹。
实际操作中,第二客户端所发送的认证请求可以以CAS数据报文的方式实现,相应的,第二客户端可以将令牌和第二浏览器指纹携带在CAS数据报文的/login字段中传输。
可见,客户端能够通过在CAS协议中增加扩展字段的方式扩展登录接口,从而为认证服务器提供更多的待认证信息,进而,能够提高单点登录的安全性。
步骤S106,认证服务器检测第一浏览器指纹与第二浏览器指纹是否相同。
实际操作中,认证服务器的认证过程包括:检测认证请求中的令牌是否由该认证服务器生成,并检测第一浏览器指纹与第二浏览器指纹是否相同。根据上述对令牌的描述可知,本实施例中认证请求中的令牌是由该认证服务器生成,基于此,本实施例中,认证服务器需要检测第一浏览器指纹与第二浏览器指纹是否相同。
根据上文对浏览器指纹的描述可知,一个浏览器指纹唯一标识一个客户端上的一个浏览器,因此,认证服务器可以通过检测第一浏览器指纹与第二浏览器指纹是否相同,确定是否是第一客户端的第一浏览器发送的认证请求。
结合上述对令牌和浏览器指纹的描述,一些实施例中,认证服务器可以解析令牌得到第一浏览器指纹,然后,比较第一浏览器指纹与第二浏览器指纹是否相同。另一些实施例中,认证服务器根据存储的令牌与第一指纹的对应关系,确定第一浏览器指纹,然后,比较第一浏览器指纹与第二浏览器指纹是否相同。
步骤S107,若第一浏览器指纹与第二浏览器指纹相同,认证服务器向第二客户端发送认证成功响应。
其中,第一浏览器指纹与第二浏览器指纹相同,说明发送认证请求的是第一客户端的第一浏览器,即,令牌未被泄露。认证服务器可以向第二客户端(也是第一客户端)发送认证成功响应。本申请此处不再赘述。
当然,若第一浏览器指纹与第二浏览器指纹不同,说明至少第二客户端与第一客户端不同,那么,可以认为令牌已经被泄露。该场景中,认证失败,认证服务器可以向第二客户端发送登录指令。
综上,采用本申请的实现方式,客户端采用浏览器指纹标识浏览器,相应的,认证服务器采用浏览器指纹标识认证浏览器。由于浏览器指纹包含的信息更多,这样认证服务器对浏览器认证的可靠性更高,从而能够提高安全性,进而能够避免令牌泄露带来的风险。
以下结合实例对本申请的实施过程进行描述。
本实施例以令牌被泄露的场景为例进行描述。
如图4所示,本申请的一种示例性单点登录系统20中,单点登录系统20包括,客户端21、客户端22、应用服务器A1、应用服务器A2、应用服务器A3和认证服务器23。客户端21和客户端22的实现形式例如是智能手机,客户端21例如安装有浏览器01,客户端22例如安装有浏览器02。单点登录系统20例如应用于网站A,网站A包括应用A1,应用A2和应用A3。其中,应用服务器A1用于支持应用A1,应用服务器A2用于支持应用A2,应用服务器A3用于支持应用A3。网站A对应的登录用户名例如是aabb,登录密码例如是a0123。
可以理解的是,图4示意的单点登录系统20仅是示意性描述,对本申请的单点登录系统不构成限制。在另一些实施例中,单点登录系统的客户端还可以承载在其他能够支持浏览器登录的设备,网站还可以包括更多或者更少的web应用。此处不再详述。
结合图4,进一步的,图5A示意了一种登录方法200,登录方法200(以下简称方法200)包括以下步骤:
步骤S201,客户端21通过浏览器01向应用服务器A1发送第一访问请求。
本实施例中,用户例如访问应用A1,相应的,用户可以通过浏览器01向应用服务器A1发送第一访问请求。第一访问请求例如是http请求。
步骤S202,在确定第一访问请求未认证之后,应用服务器A1向客户端21发送访问指令。
其中,访问指令中包含认证服务器23的地址。
应用服务器A1可以检测应用服务器A1中是否存储有与第一访问请求对应的认证状态信息,若应用服务器A1中未存储与第一访问请求对应的认证状态信息,说明第一访问请求未认证,然后,应用服务器A1将第一访问请求重定向到认证服务器23,即,应用服务器A1向客户端21发送访问指令以及认证服务器23的地址。
步骤S203,客户端21生成浏览器指纹“0Xa001”。
其中,浏览器指纹“0Xa001”唯一标识浏览器01。
客户端21可以获取智能手机的屏幕大小信息、浏览器01的版本号、浏览器01的字体信息和浏览器01的语言信息,然后,对智能手机的屏幕大小信息、浏览器01的版本号、浏览器01的字体信息和浏览器01进行哈希运算,得到浏览器01的浏览器指纹“0Xa001”。
步骤S204,客户端21向认证服务器23发送第二访问请求。
其中,该访问请求中包含浏览器指纹“0Xa001”。
步骤S205,在确定用户未登录之后,认证服务器23向客户端21发送登录指令。
其中,认证服务器23可以根据访问请求中未携带令牌,确定用户未登录。然后,认证服务器23向浏览器01发送登录指令。相应的,浏览器01呈现登录界面。
步骤S206,客户端21向认证服务器23发送登录请求。
其中,用户在浏览器01的登录界面中输入账户名“aabb”以及密码“a0123”,点击“登录”控件,触发浏览器01向认证服务器23发送登录请求。
登录请求支持CAS协议,登录请求的login字段中包含账户名“aabb”,密码“a0123”和浏览器指纹“0Xa001”。
步骤S207,认证服务器23生成令牌“T001”。
其中,认证服务器23接收登录请求之后,可以检测账户名“aabb”和密码“a0123”与用户注册的账户名和密码是否匹配,若匹配,则确定用户登录成功。然后,认证服务器23生成令牌“T001”,并将令牌“T001”与浏览器指纹“0Xa001”对应存储。
步骤S208,认证服务器23向客户端21发送令牌“T001”。
步骤S209,客户端21将令牌“T001”存储为浏览器01的会话cookie。
其中,认证服务器23向客户端21发送令牌“T001”的同时,还向客户端21发送“ticket1”。进而,在步骤S209之后,客户端21可以向应用服务器A1发送“ticket1”。应用服务器A1可以向认证服务器23发送“ticket1”,然后,从认证服务器23接收用户信息,然后,触发浏览器01进入应用A1。
在方法200的步骤S209之后,攻击者例如从客户端21的浏览器01中获取令牌“T001”,然后,使用客户端22访问网站A中的应用A2。如图5B所示,该场景下的安全认证方法300(以下简称方法300)包括以下步骤:
步骤S301,客户端22通过浏览器02向应用服务器A2发送第三访问请求。
步骤S302,在确定第三访问请求未认证之后,应用服务器A2向客户端22发送认证指令。
其中,认证指令中包含认证服务器23的地址。
应用服务器A2接收到第三访问请求之后的操作过程,与方法200中的步骤S202类似,此处不再详述。
步骤S303,客户端22生成浏览器指纹“0Xb002”和认证请求。
其中,浏览器指纹“0Xb002”是客户端22根据该客户端22以及浏览器02的信息生成的,用于标识浏览器02。该认证请求中包含令牌“T001”和浏览器指纹“0Xb002”。
步骤S304,客户端22向认证服务器23发送认证请求。
步骤S305,认证服务器23确定浏览器指纹“0Xb002”与浏览器指纹“0Xa001”不同。
步骤S306,认证服务器23向客户端22发送登录指令。
本实施例中,虽然令牌“T001”与认证服务器23预存储的令牌相同,但是,认证服务器23根据“0Xb002”与“0Xa001”不同,依然确定认证失败,进而使得攻击者无法访问应用A2,从而能够提高单点登录的安全性。
当然,另一些实施例中,在方法200之后,若用户继续使用客户端21的浏览器01访问应用A3,那么,认证服务器23所接收的认证请求中包含令牌“T001”和浏览器指纹“0Xa001”,进而,认证服务器23确定令牌“T001”与所存储的令牌相同,并且,浏览器指纹“0Xa001”与登录请求中的浏览器指纹相同。进而,认证服务器23可以向应用服务器A3发送成认证成功响应,该认证成功响应中包含“ticket2”。应用服务器A3可以根据“ticket2”响应用户对应用A3的访问。此处不再详述。
可以理解的是,图4至图5B仅是示意性描述,对本申请的技术方案不构成限制。例如,在其他一些实施例中,令牌,浏览器指纹等的表达方式可以是其他,此处不再详述。另外,本说明书并未示出本申请适用的全部实施场景,在其他实施场景下,采用基于本申请技术思想的其他实施手段,同样属于本申请的保护范畴。
综合上述,本申请示意的安全认证方法及相关设备,客户端向认证服务器发送登录请求及认证请求时,均携带发送相应请求的浏览器的指纹,从而使得认证服务器能够根据浏览器指纹识别发送不同请求的浏览器。由于浏览器指纹包含的信息更多,这样认证服务器对浏览器认证的准确性更高,从而能够提高安全性,进而能够避免令牌泄露带来的风险。
上述实施例从认证服务器以及电子设备的硬件结构,软件架构,以及各软、硬件所执行的动作的角度对本申请提供的安全认证方法的各方案进行了介绍。本领域技术人员应该很容易意识到,结合本文中所公开的实施例描述的浏览器指纹的生成,令牌的生成、浏览器指纹的比对等的处理步骤,本申请不仅能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请实施例的范围。
例如,上述认证服务器可以通过功能模块的形式来实现上述相应的功能。一些实施例中,认证服务器可以包括处理模块和收发模块。收发模块可以用于执行上述图3至图5B示意的任意实施例中认证服务器与客户端之间信息的收发。处理模块可以用于执行上述图3至图5B示意的任意实施例中认证服务器除了信息收发之外的操作。具体内容可以参考图3至图5B对应的实施例中认证服务器相关的描述,此处不再赘述。
可以理解的是,以上各个模块的划分仅仅是一种逻辑功能的划分,实际实现时,所述收发模块的功能可以集成到收发器实现,所述处理模块的功能可以集成到处理器实现。如图6A所示,认证服务器60包括收发器601和处理器602。所述收发器601可以执行上述图3至图5B示意的任意实施例中认证服务器与客户端之间信息的收发。所述处理器602可以用于执行上述图3至图5B示意的任意实施例中认证服务器除了信息收发之外的操作。
例如,所述收发器601可以用于从第一客户端接收登录请求,所述登录请求包括用户名、密码以及第一浏览器指纹,并在确定所述用户名和密码认证通过后,向所述第一客户端发送登录成功响应,所述登录成功响应中包含令牌。所述收发器601还可以用于从第二客户端接收认证请求,所述认证请求中包含所述令牌和第二浏览器指纹。所述处理器602可以用于检测所述第一浏览器指纹与所述第二浏览器指纹是否相同。所述收发器601还可以用于在所述第一浏览器指纹与所述第二浏览器指纹相同时,向所述第二客户端发送认证成功响应。
具体内容可以参考图3至图5B对应的实施例中认证服务器相关的描述,此处不再赘述。
图6A是从独立功能实体的角度对本申请的认证服务器进行描述。在另一种实施场景中,各独立运行的功能实体可以集成在一个硬件实体中,例如芯片,相应的,如图6B所示,本实施场景中,认证服务器61可以包括处理器611、收发器612和存储器613。其中,存储器613可以用于存储认证服务器61预装的程序/代码,也可以存储用于处理器611执行时的代码等。
应理解,本申请的认证服务器61可对应于本申请图3至图5B对应的实施例中的认证服务器,其中收发器612用于执行图3至图5B示意的任意实施例中认证服务器与客户端之间的信息的收发,处理器611用于执行上述图3至图5B示意的任意实施例中认证服务器除了信息的收发之外的其它处理。在此不再赘述。
具体内容可以参考图3至图5B对应的实施例中认证服务器相关的描述,此处不再赘述。
同理,上述客户端可以通过功能模块的形式来实现上述相应的功能。一些实施例中,用于实现客户端功能的电子设备可以包括处理模块和收发模块。收发模块可以用于执行上述图3至图5B示意的任意实施例中客户端与认证服务器之间信息的收发。处理模块可以用于执行上述图3至图5B示意的任意实施例中客户端除了信息收发之外的操作。具体内容可以参考图3至图5B对应的实施例中客户端相关的描述,此处不再赘述。
可以理解的是,以上各个模块的划分仅仅是一种逻辑功能的划分,实际实现时,所述收发模块的功能可以集成到收发器实现,所述处理模块的功能可以集成到处理器实现。如图7A所示,电子设备70包括收发器701和处理器702。所述收发器701可以执行上述图3至图5B示意的任意实施例中客户端与认证服务器之间信息的收发。所述处理器702可以用于执行上述图3至图5B示意的任意实施例中客户端除了信息收发之外的操作。
一些实施例中,电子设备70可以被用作第一客户端。本实施例中,例如,所述收发器701可以用于从认证服务器接收登录指令,并向所述认证服务器发送登录请求,所述登录请求包括用户名、密码以及第一浏览器指纹。所述收发器701还可以用于从所述认证服务器接收并存储令牌,所述令牌根据所述第一浏览器指纹生成。所述处理器702可以用于获取所述电子设备70的屏幕大小、浏览器版本、浏览器字体、语言、浏览器插件中的至少两个信息,并根据所述至少两个信息计算hash值,将所述hash值作为所述第一浏览器指纹。
另一些实施例中,电子设备70可以被用作第二客户端。本实施例中,例如,所述收发器701可以用于获取第一客户端的令牌,所述令牌由所述第一客户端根据所述第一客户端上的第一浏览器指纹生成。所述收发器701还可以用于接收认证指令,并向认证服务器发送认证请求,所述认证请求中包含第二浏览器指纹和所述令牌,以使所述认证服务器根据所述第二浏览器指纹对所述第二客户端进行认证。所述收发器701还可以用于接收来自所述认证服务器的认证成功响应。所述处理器702可以用于将所述第二浏览器指纹和所述令牌添加到认证请求的login字段。
图7A是从独立功能实体的角度对本申请的电子设备进行描述。在另一种实施场景中,各独立运行的功能实体可以集成在一个硬件实体中,例如芯片,相应的,如图7B所示,本实施场景中,电子设备71可以包括处理器711、收发器712和存储器713。其中,存储器713可以用于存储电子设备71预装的程序/代码,也可以存储用于处理器711执行时的代码等。
应理解,本申请的电子设备71可对应于本申请图3至图5B对应的实施例中的客户端,其中收发器712用于执行图3至图5B示意的任意实施例中客户端与认证服务器之间的信息收发,处理器711用于执行上述图3至图5B示意的任意实施例中客户端除了信息收发之外的其它处理。在此不再赘述。
具体内容可以参考图3至图5B对应的实施例中客户端相关的描述,此处不再赘述。
具体实现中,对应认证服务器和电子设备,本申请还分别提供一种计算机存储介质,其中,设置在任意设备中的计算机存储介质可存储有程序,该程序执行时,可实施包括图3至图5B提供的安全认证方法的各实施例中的部分或全部步骤。任意设备中的存储介质均可为磁碟、光盘、只读存储记忆体(read-only memory,ROM)或随机存储记忆体(randomaccess memory,RAM)等。
本申请中,收发器可以是有线收发器,无线收发器或其组合。有线收发器例如可以为以太网接口。以太网接口可以是光接口,电接口或其组合。无线收发器例如可以为无线局域网收发器,蜂窝网络收发器或其组合。处理器可以是中央处理器(central processingunit,CPU),网络处理器(network processor,NP)或者CPU和NP的组合。处理器还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(application-specific integratedcircuit,ASIC),可编程逻辑器件(programmable logic device,PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(complex programmable logic device,CPLD),现场可编程逻辑门阵列(field-programmable gate array,FPGA),通用阵列逻辑(generic array logic,GAL)或其任意组合。存储器可以包括易失性存储器(volatile memory),例如随机存取存储器(random-access memory,RAM);存储器也可以包括非易失性存储器(non-volatilememory),例如只读存储器(read-only memory,ROM),快闪存储器(flash memory),硬盘(hard disk drive,HDD)或固态硬盘(solid-state drive,SSD);存储器还可以包括上述种类的存储器的组合。
图6B和图7B中还可以包括总线接口,总线接口可以包括任意数量的互联的总线和桥,具体由处理器代表的一个或多个处理器和存储器代表的存储器的各种电路链接在一起。总线接口还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发器提供用于在传输介质上与各种其他设备通信的单元。处理器负责管理总线架构和通常的处理,存储器可以存储处理器在执行操作时所使用的报文。
本领域技术任何还可以了解到本申请实施例列出的各种说明性逻辑块(illustrative logical block)和步骤(step)可以通过电子硬件、电脑软件,或两者的结合进行实现。这样的功能是通过硬件还是软件来实现取决于特定的应用和整个系统的设计要求。本领域技术人员可以对于每种特定的应用,可以使用各种方法实现所述的功能,但这种实现不应被理解为超出本申请实施例保护的范围。
本申请实施例中所描述的各种说明性的逻辑单元和电路可以通过通用处理器,数字信号处理器,专用集成电路(ASIC),现场可编程门阵列(FPGA)或其它可编程逻辑装置,离散门或晶体管逻辑,离散硬件部件,或上述任何组合的设计来实现或操作所描述的功能。通用处理器可以为微处理器,可选地,该通用处理器也可以为任何传统的处理器、控制器、微控制器或状态机。处理器也可以通过计算装置的组合来实现,例如数字信号处理器和微处理器,多个微处理器,一个或多个微处理器联合一个数字信号处理器核,或任何其它类似的配置来实现。
本申请实施例中所描述的方法或算法的步骤可以直接嵌入硬件、处理器执行的软件单元、或者这两者的结合。软件单元可以存储于RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动磁盘、CD-ROM或本领域中其它任意形式的存储媒介中。示例性地,存储媒介可以与处理器连接,以使得处理器可以从存储媒介中读取信息,并可以向存储媒介存写信息。
应理解,在本申请的各种实施例中,各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对实施例的实施过程构成任何限定。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或报文中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或报文中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、报文中心等报文存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘(solidstate disk,SSD))等。
本说明书的各个部分均采用递进的方式进行描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点介绍的都是与其他实施例不同之处。尤其,对于装置和系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例部分的说明即可。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (18)
1.一种安全认证方法,其特征在于,包括:
认证服务器从第一客户端接收登录请求,所述登录请求包括用户名、密码以及第一浏览器指纹;
在确定所述用户名和密码认证通过后,所述认证服务器向所述第一客户端发送登录成功响应,所述登录成功响应中包含令牌;
所述认证服务器从第二客户端接收认证请求,所述认证请求中包含所述令牌和第二浏览器指纹;
所述认证服务器检测所述第一浏览器指纹与所述第二浏览器指纹是否相同;
若所述第一浏览器指纹与所述第二浏览器指纹相同,所述认证服务器向所述第二客户端发送认证成功响应。
2.如权利要求1所述的方法,其特征在于,所述认证服务器从第一客户端接收登录请求之后,在向所述第一客户端发送登录成功响应之前,还包括:
所述认证服务器将所述第一浏览器指纹作为所述令牌的部分数据,生成并存储所述令牌。
3.如权利要求1或2所述的方法,其特征在于,所述认证服务器检测所述第一浏览器指纹与所述第二浏览器指纹是否相同,包括:
所述认证服务器解析所述令牌,得到所述第一浏览器指纹;
所述认证服务器比较所述第一浏览器指纹与所述第二浏览器指纹是否相同。
4.如权利要求1或2所述的方法,其特征在于,所述认证服务器检测所述第一浏览器指纹与第二浏览器指纹是否相同,包括:
所述认证服务器根据存储的所述令牌与所述第一指纹的对应关系,确定所述第一浏览器指纹;
所述认证服务器比较所述第一浏览器指纹与所述第二浏览器指纹是否相同。
5.如权利要求1所述的方法,其特征在于,所述认证服务器从第二客户端接收认证请求之后,在检测所述第一浏览器指纹与第二浏览器指纹是否相同之前,还包括:
所述认证服务器从所述认证请求的登录login字段中读取所述令牌和所述第二浏览器指纹。
6.一种安全认证方法,其特征在于,包括:
第一客户端从认证服务器接收登录指令;
所述第一客户端向所述认证服务器发送登录请求,所述登录请求包括用户名、密码以及第一浏览器指纹;
所述第一客户端从所述认证服务器接收并存储令牌,所述令牌根据所述第一浏览器指纹生成。
7.如权利要求6所述的方法,其特征在于,所述第一客户端向所述认证服务器发送登录请求之前,还包括:
所述第一客户端获取所述第一客户端的屏幕大小、浏览器版本、浏览器字体、语言、浏览器插件中的至少两个信息;
所述第一客户端根据所述至少两个信息计算哈希hash值,将所述hash值作为所述第一浏览器指纹。
8.一种安全认证方法,其特征在于,包括:
第二客户端获取第一客户端的令牌,所述令牌由所述第一客户端根据所述第一客户端上的第一浏览器指纹生成;
第二客户端接收认证指令;
所述第二客户端向认证服务器发送认证请求,所述认证请求中包含第二浏览器指纹和所述令牌,以使所述认证服务器根据所述第二浏览器指纹对所述第二客户端进行认证;
所述第二客户端接收来自所述认证服务器的认证成功响应。
9.如权利要求8所述的方法,其特征在于,所述认证请求的登录login字段中包含所述第二浏览器指纹和所述令牌。
10.一种认证服务器,其特征在于,包括:处理器和收发器,其中,
所述收发器,用于从第一客户端接收登录请求,所述登录请求包括用户名、密码以及第一浏览器指纹;
所述收发器,还用于在确定所述用户名和密码认证通过后,向所述第一客户端发送登录成功响应,所述登录成功响应中包含令牌;
所述收发器,还用于从第二客户端接收认证请求,所述认证请求中包含所述令牌和第二浏览器指纹;
所述处理器,用于检测所述第一浏览器指纹与所述第二浏览器指纹是否相同;
所述收发器,还用于在所述第一浏览器指纹与所述第二浏览器指纹相同时,向所述第二客户端发送认证成功响应。
11.如权利要求10所述的认证服务器,其特征在于,
所述处理器,还用于将所述第一浏览器指纹作为所述令牌的部分数据,生成并存储所述令牌。
12.如权利要求10或11所述的认证服务器,其特征在于,
所述处理器,还用于解析所述令牌,得到所述第一浏览器指纹,并比较所述第一浏览器指纹与所述第二浏览器指纹是否相同。
13.如权利要求10或11所述的认证服务器,其特征在于,
所述处理器,还用于根据存储的所述令牌与所述第一指纹的对应关系,确定所述第一浏览器指纹,并比较所述第一浏览器指纹与所述第二浏览器指纹是否相同。
14.如权利要求10所述的认证服务器,其特征在于,
所述处理器,还用于从所述认证请求的登录login字段中读取所述令牌和所述第二浏览器指纹。
15.一种电子设备,其特征在于,用作第一客户端,包括收发器,其中,
所述收发器,用于从认证服务器接收登录指令;
所述收发器,还用于向所述认证服务器发送登录请求,所述登录请求包括用户名、密码以及第一浏览器指纹;
所述收发器,还用于从所述认证服务器接收并存储令牌,所述令牌根据所述第一浏览器指纹生成。
16.如权利要求15所述的电子设备,其特征在于,所述电子设备还包括处理器,其中,
所述处理器,用于获取所述第一客户端的屏幕大小、浏览器版本、浏览器字体、语言、浏览器插件中的至少两个信息;
所述处理器,还用于根据所述至少两个信息计算哈希hash值,将所述hash值作为所述第一浏览器指纹。
17.一种电子设备,其特征在于,用作第二客户端,包括收发器,其中,
所述收发器,用于获取第一客户端的令牌,所述令牌由所述第一客户端根据所述第一客户端上的第一浏览器指纹生成;
所述收发器,还用于接收认证指令;
所述收发器,还用于向认证服务器发送认证请求,所述认证请求中包含第二浏览器指纹和所述令牌,以使所述认证服务器根据所述第二浏览器指纹对所述第二客户端进行认证;
所述收发器,还用于接收来自所述认证服务器的认证成功响应。
18.如权利要求17所述的电子设备,其特征在于,所述电子设备还包括处理器,其中,
所述处理器,用于将所述第二浏览器指纹和所述令牌添加到认证请求的登录login字段。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910858094.9A CN112491776B (zh) | 2019-09-11 | 2019-09-11 | 安全认证方法及相关设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910858094.9A CN112491776B (zh) | 2019-09-11 | 2019-09-11 | 安全认证方法及相关设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112491776A true CN112491776A (zh) | 2021-03-12 |
CN112491776B CN112491776B (zh) | 2022-10-18 |
Family
ID=74920195
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910858094.9A Active CN112491776B (zh) | 2019-09-11 | 2019-09-11 | 安全认证方法及相关设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112491776B (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113239308A (zh) * | 2021-05-26 | 2021-08-10 | 杭州安恒信息技术股份有限公司 | 一种页面访问方法、装置、设备及存储介质 |
CN114338191A (zh) * | 2021-12-30 | 2022-04-12 | 北京百度网讯科技有限公司 | 风险验证方法、装置、设备以及存储介质 |
CN114944947A (zh) * | 2022-05-13 | 2022-08-26 | 平安科技(深圳)有限公司 | 客户端的权限认证方法、装置、设备及存储介质 |
CN115766206A (zh) * | 2022-11-14 | 2023-03-07 | 网易(杭州)网络有限公司 | 应用的登录处理方法、装置、电子设备及存储介质 |
CN116668190A (zh) * | 2023-07-21 | 2023-08-29 | 之江实验室 | 一种基于浏览器指纹的跨域单点登录方法及系统 |
WO2023241060A1 (zh) * | 2022-06-16 | 2023-12-21 | 京东科技信息技术有限公司 | 数据访问方法和装置 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130080911A1 (en) * | 2011-09-27 | 2013-03-28 | Avaya Inc. | Personalizing web applications according to social network user profiles |
CN104301316A (zh) * | 2014-10-13 | 2015-01-21 | 中国电子科技集团公司第二十八研究所 | 一种单点登录系统及其实现方法 |
US20170041296A1 (en) * | 2015-08-05 | 2017-02-09 | Intralinks, Inc. | Systems and methods of secure data exchange |
CN106878283A (zh) * | 2017-01-13 | 2017-06-20 | 新华三技术有限公司 | 一种认证方法及装置 |
CN106991317A (zh) * | 2016-12-30 | 2017-07-28 | 中国银联股份有限公司 | 安全验证方法、平台、装置和系统 |
CN107819766A (zh) * | 2017-11-14 | 2018-03-20 | 中国银行股份有限公司 | 安全认证方法、系统及计算机可读存储介质 |
CN109587133A (zh) * | 2018-11-30 | 2019-04-05 | 武汉烽火众智智慧之星科技有限公司 | 一种单点登录系统及方法 |
-
2019
- 2019-09-11 CN CN201910858094.9A patent/CN112491776B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130080911A1 (en) * | 2011-09-27 | 2013-03-28 | Avaya Inc. | Personalizing web applications according to social network user profiles |
CN104301316A (zh) * | 2014-10-13 | 2015-01-21 | 中国电子科技集团公司第二十八研究所 | 一种单点登录系统及其实现方法 |
US20170041296A1 (en) * | 2015-08-05 | 2017-02-09 | Intralinks, Inc. | Systems and methods of secure data exchange |
CN106991317A (zh) * | 2016-12-30 | 2017-07-28 | 中国银联股份有限公司 | 安全验证方法、平台、装置和系统 |
CN106878283A (zh) * | 2017-01-13 | 2017-06-20 | 新华三技术有限公司 | 一种认证方法及装置 |
CN107819766A (zh) * | 2017-11-14 | 2018-03-20 | 中国银行股份有限公司 | 安全认证方法、系统及计算机可读存储介质 |
CN109587133A (zh) * | 2018-11-30 | 2019-04-05 | 武汉烽火众智智慧之星科技有限公司 | 一种单点登录系统及方法 |
Non-Patent Citations (1)
Title |
---|
杨立鹏等: "浏览器指纹技术的研究与应用", 《计算机技术与发展》 * |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113239308A (zh) * | 2021-05-26 | 2021-08-10 | 杭州安恒信息技术股份有限公司 | 一种页面访问方法、装置、设备及存储介质 |
CN114338191A (zh) * | 2021-12-30 | 2022-04-12 | 北京百度网讯科技有限公司 | 风险验证方法、装置、设备以及存储介质 |
CN114944947A (zh) * | 2022-05-13 | 2022-08-26 | 平安科技(深圳)有限公司 | 客户端的权限认证方法、装置、设备及存储介质 |
CN114944947B (zh) * | 2022-05-13 | 2023-07-28 | 平安科技(深圳)有限公司 | 客户端的权限认证方法、装置、设备及存储介质 |
WO2023241060A1 (zh) * | 2022-06-16 | 2023-12-21 | 京东科技信息技术有限公司 | 数据访问方法和装置 |
CN115766206A (zh) * | 2022-11-14 | 2023-03-07 | 网易(杭州)网络有限公司 | 应用的登录处理方法、装置、电子设备及存储介质 |
CN116668190A (zh) * | 2023-07-21 | 2023-08-29 | 之江实验室 | 一种基于浏览器指纹的跨域单点登录方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN112491776B (zh) | 2022-10-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112491776B (zh) | 安全认证方法及相关设备 | |
US10085150B2 (en) | Authenticating mobile applications using policy files | |
US9369286B2 (en) | System and methods for facilitating authentication of an electronic device accessing plurality of mobile applications | |
EP3694185A1 (en) | Method for facilitating federated single sign-on (sso) for internal web applications | |
CN102624720B (zh) | 一种身份认证的方法、装置和系统 | |
US10320771B2 (en) | Single sign-on framework for browser-based applications and native applications | |
CN106375270B (zh) | 令牌生成并认证的方法及认证服务器 | |
US20100043065A1 (en) | Single sign-on for web applications | |
US8869258B2 (en) | Facilitating token request troubleshooting | |
CN112131021B (zh) | 一种访问请求处理方法及装置 | |
WO2014082555A1 (zh) | 登录方法、装置及开放平台系统 | |
CN110958119A (zh) | 身份验证方法和装置 | |
CN112887284B (zh) | 一种访问认证方法、装置、电子设备和可读介质 | |
CN113761509B (zh) | iframe验证登录方法及装置 | |
CN115022047B (zh) | 基于多云网关的账户登录方法、装置、计算机设备及介质 | |
CN112559994B (zh) | 访问控制方法、装置、设备及存储介质 | |
AU2015369922A1 (en) | Computer readable storage media for legacy integration and methods and systems for utilizing | |
CN111241523B (zh) | 认证处理方法、装置、设备和存储介质 | |
CN108228280A (zh) | 浏览器参数的配置方法及装置、存储介质、电子设备 | |
CN116647345A (zh) | 权限令牌的生成方法以及装置、存储介质、计算机设备 | |
CN115190483B (zh) | 一种访问网络的方法及装置 | |
KR101637155B1 (ko) | 신뢰 서비스 장치를 이용한 신뢰된 아이덴티티 관리 서비스 제공 시스템 및 그 운영방법 | |
US20230291726A1 (en) | System and method for providing multi factor authorization to rdp services through a zero trust cloud environment | |
US11930002B2 (en) | Cross-browser single sign-on | |
CN113225348B (zh) | 请求防重放校验方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20220209 Address after: 550025 Huawei cloud data center, jiaoxinggong Road, Qianzhong Avenue, Gui'an New District, Guiyang City, Guizhou Province Applicant after: Huawei Cloud Computing Technologies Co.,Ltd. Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Applicant before: HUAWEI TECHNOLOGIES Co.,Ltd. |
|
TA01 | Transfer of patent application right | ||
GR01 | Patent grant | ||
GR01 | Patent grant |