CN113132404B - 身份认证方法、终端及存储介质 - Google Patents
身份认证方法、终端及存储介质 Download PDFInfo
- Publication number
- CN113132404B CN113132404B CN202110468760.5A CN202110468760A CN113132404B CN 113132404 B CN113132404 B CN 113132404B CN 202110468760 A CN202110468760 A CN 202110468760A CN 113132404 B CN113132404 B CN 113132404B
- Authority
- CN
- China
- Prior art keywords
- information
- client
- access
- authorization
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0838—Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本发明公开了一种身份认证方法、终端及存储介质,该身份认证方法应用于认证服务器,其包括:接收客户端发送的访问认证信息,并对访问认证信息进行认证,访问认证信息包括身份信息和访问目标端信息;当访问认证信息认证通过时,根据访问认证信息查询对应的访问策略信息,并将访问策略信息发送至客户端,以供所述客户验证所述访问策略信息;当接收到客户端反馈的验证通过结果时,基于访问策略信息对客户端进行授权,生成一组对应的授权信息和授权验证码,并发送授权信息至客户端、发送授权验证码至目标端。本发明通过将不同的目标端的身份认证统一在认证服务器上进行配置,方便用户进行统一管理,同时也提升了身份认证的安全性。
Description
技术领域
本申请涉及身份认证技术领域,特别是涉及一种身份认证方法、终端及存储介质。
背景技术
随着互联网应用的使用场景与功能越来越广泛,互联网应用也开始越来越多的涉及信息的安全问题。为此,当用户想要访问互联网应用中的信息时,需要对用户进行身份认证,尤其是对于安全级别高的核心信息的访问,或者在互联网应用中涉及敏感操作比如支付操作时,则需对用户进行二次验证。身份认证技术是在计算机网络中确认操作者身份的过程而产生的有效解决方法。计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,身份认证技术就是为了解决这个问题,作为防护网络资产的第一道关口,身份认证有着举足轻重的作用。
目前,需要身份认证的应用场景越来越多,用户在通过终端访问第三方应用、平台等的情况下,通常都需要进行身份验证才能够获得授权,而身份验证的过程通常都会涉及到用户的隐私信息,过多的向第三方应用和平台展示个人的身份信息很可能会造成信息泄露,且不同应用或平台的验证方式需要用户一一记忆,不便于用户进行管理,安全性能较低。
发明内容
本申请提供一种身份认证方法、终端及存储介质,以解决现有的身份认证方式不便于用户管理且安全性较低的问题。
为解决上述技术问题,本申请采用的一个技术方案是:提供一种身份认证方法,其应用于认证服务器;方法包括:接收客户端发送的访问认证信息,并对访问认证信息进行认证,访问认证信息包括身份信息和访问目标端信息;当访问认证信息认证通过时,根据访问认证信息查询对应的访问策略信息,并将访问策略信息发送至客户端,以供客户验证访问策略信息;当接收到客户端反馈的验证通过结果时,基于访问策略信息对客户端进行授权,生成一组对应的授权信息和授权验证码,并发送授权信息至客户端、发送授权验证码至目标端。
作为本申请的进一步改进,基于访问策略信息对客户端进行授权,生成一组对应的授权信息和授权验证码,并发送授权信息至客户端、发送授权验证码至目标端,包括:获取客户端当前的第一环境信息;判断第一环境信息是否满足预设授权要求;若是,则基于访问策略信息对客户端进行授权,生成一组对应的授权信息和授权验证码,并发送授权信息至客户端、发送授权验证码至目标端。
作为本申请的进一步改进,发送授权信息至客户端、发送授权验证码至目标端之后,还包括:当客户端访问目标端时,接收目标端上传的客户端的实时的第二环境信息;比对第二环境信息与第一环境信息是否一致;若第二环境信息与第一环境信息一致,则反馈比对通过的结果至目标端;若第二环境信息与第一环境信息不一致,则反馈比对不通过的结果至目标端。
作为本申请的进一步改进,基于访问策略信息对客户端进行授权,包括:
根据访问策略信息确认客户端被允许执行的操作和/或被允许访问的信息;根据被允许执行的操作和/或被允许访问的信息对客户端进行授权。
作为本申请的进一步改进,根据访问认证信息查询对应的访问策略信息,并将访问策略信息发送至客户端验证,包括:判断是否存在与访问认证信息对应的访问策略信息;若存在,则生成一次性验证票据,并将一次性验证票据和访问策略信息发送至客户端进行验证;若不存在,则发送提醒信息至客户端。
作为本申请的进一步改进,基于访问策略信息对客户端进行授权,生成一组对应的授权信息和授权验证码,并发送授权信息至客户端、发送授权验证码至目标端,包括:对客户端进行授权,生成授权信息、授权验证码和一次性登录票据,并发送授权信息和一次性登录票据给客户端、发送授权验证码至目标端。
为解决上述技术问题,本申请采用的另一个技术方案是:提供一种身份认证方法,其应用于客户端;方法包括:发送访问认证信息至认证服务器进行身份认证,访问认证信息包括身份信息和访问目标端信息;接收认证服务器发送的访问策略信息;当访问策略信息符合客户的预设要求时,生成验证通过结果并反馈至认证服务器;接收认证服务器发送的授权信息后,发送授权信息至目标端以访问目标端。
为解决上述技术问题,本申请采用的另一个技术方案是:提供一种身份认证方法,其应用于目标端;方法包括:接收客户端发送的授权信息后,允许客户端访问自身,并实时检测客户端的第二环境信息;将第二环境信息上传至认证服务器进行比对;当接收到认证服务器反馈的比对不通过的结果时,停止客户端对自身的访问,并提醒客户端重新进行身份认证。
为解决上述技术问题,本申请采用的再一个技术方案是:提供一种终端,终端包括处理器、与处理器耦接的存储器,存储器中存储有程序指令,程序指令被处理器执行时,使得处理器执行如上述中任一项的身份认证方法的步骤。
为解决上述技术问题,本申请采用的再一个技术方案是:提供一种存储介质,存储有能够实现上述任一项的身份认证方法的程序文件。
本申请的有益效果是:本申请的身份认证方法通过将不同的目标端的身份认证统一进行配置,设定针对于不同用户的授权方式,在客户端发送的身份认证信息认证通过时,根据客户端企图访问的目标端查询对应的访问策略信息,再根据该访问策略信息对客户端进行授权,并且,在进行授权时,生成一组对应的授权信息和授权验证码,并将授权信息发送至客户端,将授权验证码发送至目标端,再在客户端访问目标端时,由目标端通过授权验证码对客户端提交的授权信息进行验证,大大提升了授权的安全性,并且,整合多个目标端的权限于一体,使得用户不需要分别记忆每个目标端的登录账号口令,提高了用户体验。
附图说明
图1是本发明实施例的身份认证系统的结构示意图;
图2是本发明第一实施例的身份认证方法的流程示意图;
图3是本发明第二实施例的身份认证方法的流程示意图;
图4是本发明第三实施例的身份认证方法的流程示意图;
图5是本发明第四实施例的身份认证方法的流程示意图;
图6是本发明第五实施例的身份认证方法的流程示意图;
图7是本发明第一实施例的身份认证装置的功能模块示意图;
图8是本发明第二实施例的身份认证装置的功能模块示意图;
图9是本发明第三实施例的身份认证装置的功能模块示意图;
图10是本发明实施例的终端的结构示意图;
图11是本发明实施例的存储介质的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本申请的一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请中的术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”、“第三”的特征可以明示或者隐含地包括至少一个该特征。本申请的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。本申请实施例中所有方向性指示(诸如上、下、左、右、前、后……)仅用于解释在某一特定姿态(如附图所示)下各部件之间的相对位置关系、运动情况等,如果该特定姿态发生改变时,则该方向性指示也相应地随之改变。此外,术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
图1展示了本发明身份认证系统实施例的结构示意图。如图1所示,该身份认证系统包括客户端1、认证服务器2和目标端3,其中,客户端1、认证服务器2、目标端3之间两两通信连接,客户端1在需要访问目标端3时,先向认证服务器2提交身份认证请求,认证服务器2在接收到身份认证请求后,对身份认证请求中的访问认证信息进行身份认证,在身份认证通过后,认证服务器2对该客户端1进行授权,客户端根据该授权信息即可访问目标端3。通过该身份认证系统,即可将不同的目标端的身份认证统一在认证服务器上进行配置,而不再需要用户分别取记忆每一个目标端的身份认证信息,方便用户进行管理。
图2是本发明第一实施例的身份认证方法的流程示意图。需注意的是,若有实质上相同的结果,本发明的方法并不以图2所示的流程顺序为限。具体地,本实施例的身份认证方法应用于认证服务器,如图2所示,该方法包括步骤:
步骤S101:接收客户端发送的访问认证信息,并对访问认证信息进行认证,访问认证信息包括身份信息和访问目标端信息。
具体地,客户端包括手机、平板、计算机等终端中的一种,客户可以通过客户端向认证服务器提交访问认证信息,该访问认证信息包括身份信息和访问目标端信息,通常地,身份信息包括用户名、口令、密码、扫码、AD域、短信动态码、数字证书、令牌、指纹、虹膜、人脸、身份特征等中的一种或多种,在进行身份认证时,优选采用组合认证的方式,例如,采用密码和人脸组合验证的方式,或者是采用短信动态码和指纹组合验证的方式;访问目标端信息是指客户端想要访问的目标端。
在接收到访问认证信息后,对访问认证信息中的身份信息进行认证时,其包括两部分,其一是对身份信息的类型、格式、字段、特征等信息进行验证,判断身份信息是否符合预设要求,例如,当身份信息为“用户名”时,会对身份信息中的字符串的长度是否超过预设长度、是否包括特殊字符等进行验证;当对身份信息的类型、格式、字段、特征等信息验证通过后,再对身份信息中的数据信息的真实性进行验证,例如,当对“用户名”的类型、格式、字段、特征等信息验证通过后,再对“用户名”中的数据信息进行认证,判断是否真实存在该“用户名”,若真是存在,则该“用户名”认证通过。在采用组合验证的方式时,当存在一项验证通过时,均认证不通过。
步骤S102:当访问认证信息认证通过时,根据访问认证信息查询对应的访问策略信息,并将访问策略信息发送至客户端,以供客户端验证访问策略信息。
具体地,访问策略信息是指客户访问目标端时被允许执行的操作和/或被允许访问的信息。例如,当用户通过客户端访问某一数据库时,可以允许该用户对数据库中的数据进行增、删、改、查操作,也可以只允许用户查看云端数据库数据而不能增加、删除或修改云端数据库中的数据等等。每个用户的访问策略不尽相同,而且,针对于不同的目标端,访问策略也不相同,例如,访问数据库的策略可以包括用户访问过程中的增、删、改、查操作,访问考勤管理系统的策略可以包括用户仅能查看自身的考勤情况或用户能够查看所有人员的考勤情况。需要理解的是,每个用户针对于目标端的访问策略信息均需预先设定,在身份信息认证通过后,即可查询与该身份信息对应的访问策略信息。
进一步的,当未查询到与该身份信息对应的访问策略信息时,说明尚未设置该身份信息对应的用户的访问策略,此时,即可发送提醒信息至客户端,以提醒用户进行相关访问策略的申请或设置。
本实施例中,在查询到与身份信息对应的访问策略信息后,将访问策略信息发送至客户端,由客户端验证访问策略信息是否符合自身的需求。在一些实施例中,当访问策略信息不符合用户的需求时,用户也可通过客户端申请对访问策略进行更新。
进一步的,为了进一步提升客户端与认证服务器之间通信的安全性,步骤S102具体包括:
1、当访问认证信息认证通过时,判断是否存在与访问认证信息对应的访问策略信息。
2、若存在,则生成一次性验证票据,并将一次性验证票据和访问策略信息发送至客户端进行验证。
具体地,该一次性验证票据是指随机生成的一次性有效的验证票据,在根据访问认证信息查询到对应的访问策略信息后,需要将访问策略信息发送至客户端以供用户进行确认,此时,通过生成一次性验证票据,使得本次访问策略信息验证操作一次有效。
3、若不存在,则发送提醒信息至客户端。
具体地,通过设置一次性验证票据,从而使得访问策略信息验证操作一次有效,进一步降低了客户端与认证服务器之间数据信息泄露或被篡改的可能性,进一步提高了客户端与认证服务器之间通信的安全性。
步骤S103:当接收到客户端反馈的验证通过结果时,基于访问策略信息对客户端进行授权,生成一组对应的授权信息和授权验证码,并发送授权信息至客户端、发送授权验证码至目标端。
具体地,在客户端验证访问策略信息通过后,将验证通过结果反馈至认证服务器,然后,认证服务器根据访问策略信息对客户端进行授权,例如,当访问策略信息中仅允许客户端查询数据库中的数据时,则仅授予客户端查询数据库的权限,而不会授予客户端增、删、改操作的权限。在对客户端授权时,生成一组对应的授权信息和授权验证码,其中,授权信息中包括允许客户端访问目标端时的操作以及验证信息,授权验证码与授权信息对应,用于验证授权信息中的验证信息。在将授权信息发送至客户端、将授权验证码发送字号目标端后,当客户端访问目标端时,目标端通过授权验证码验证客户端的授权信息。
进一步的,在一些实施例中,在每次进行授权时,授权信息和授权验证码均随机生成且唯一。
进一步的,步骤S103中基于访问策略信息对客户端进行授权的步骤,具体包括:根据访问策略信息确认客户端被允许执行的操作和/或被允许访问的信息;根据被允许执行的操作和/或被允许访问的信息对客户端进行授权。
具体地,访问策略信息是指客户访问目标端时被允许执行的操作和/或被允许访问的信息,每个用户针对于目标端的访问策略信息均需预先设定。其中,被允许执行的操作可以包括读、写、改、删等,允许访问的信息可以按照信息的重要程度划分等级,设定用户的级别,用户可以访问自身级别以及自身级别以下的信息。
进一步的,为了进一步提高安全性,步骤S103具体包括:
对客户端进行授权,生成授权信息、授权验证码和一次性登录票据,并发送授权信息和一次性登录票据给客户端、发送授权验证码至目标端。
具体地,在对客户端进行授权时,生成一次性登录票据,客户端通过该一次性登录票据向目标端发起登录请求,并且该一次性登录票据一次有效,后续客户端再次登录目标端时,需要重新进行访问认证,进一步降低了客户端访问目标端时数据泄露的风险。
本发明第一实施例的身份认证方法通过将不同的目标端的身份认证统一进行配置,设定针对于不同用户的授权方式,在客户端发送的身份认证信息认证通过时,根据客户端企图访问的目标端查询对应的访问策略信息,再根据该访问策略信息对客户端进行授权,并且,在进行授权时,生成一组对应的授权信息和授权验证码,并将授权信息发送至客户端,将授权验证码发送至目标端,再在客户端访问目标端时,由目标端通过授权验证码对客户端提交的授权信息进行验证,大大提升了授权的安全性,并且,整合多个目标端的权限于一体,使得用户不需要分别记忆每个目标端的登录账号口令,提高了用户体验。
图3是本发明第二实施例的身份认证方法的流程示意图。需注意的是,若有实质上相同的结果,本发明的方法并不以图3所示的流程顺序为限。如图3所示,该方法包括步骤:
步骤S201:接收客户端发送的访问认证信息,并对访问认证信息进行认证,访问认证信息包括身份信息和访问目标端信息。
在本实施例中,图3中的步骤S201和图2中的步骤S101类似,为简约起见,在此不再赘述。
步骤S202:当访问认证信息认证通过时,根据访问认证信息查询对应的访问策略信息,并将访问策略信息发送至客户端验证。
在本实施例中,图3中的步骤S202和图2中的步骤S102类似,为简约起见,在此不再赘述。
步骤S203:当接收到客户端反馈的验证通过结果时,获取客户端当前的第一环境信息。
具体地,在客户端反馈访问策略信息验证通过后,获取此时客户端的第一环境信息,其中,客户端的环境信息包括客户端的网络环境信息、运行环境信息等。
步骤S204:判断第一环境信息是否满足预设授权要求。若是,则执行步骤S205。
具体地,预设授权要求预先设置,例如,客户端当前的网络环境是否安全、客户端的运行环境是否满足预设要求等。在对客户端进行授权时,首先验证客户端的第一环境信息是否满足预设授权要求,当第一环境信息满足预设授权要求时,执行步骤S205,而当第一环境信息不满足预设授权要求时,则禁止对客户端授权。
步骤S205:基于访问策略信息对客户端进行授权,生成一组对应的授权信息和授权验证码,并发送授权信息至客户端、发送授权验证码至目标端。
在本实施例中,图3中的步骤S205和图2中的步骤S103类似,为简约起见,在此不再赘述。本发明第二实施例的身份认证方法在第一实施例的基础上,通过查询客户端当前的第一环境信息,当该第一环境信息满足预设授权要求时,才会给客户端授权,避免因客户端处于不安全的环境,导致授权信息泄露。
图4是本发明第三实施例的身份认证方法的流程示意图。需注意的是,若有实质上相同的结果,本发明的方法并不以图4所示的流程顺序为限。如图4所示,该方法包括步骤:
步骤S301:接收客户端发送的访问认证信息,并对访问认证信息进行认证,访问认证信息包括身份信息和访问目标端信息。
在本实施例中,图4中的步骤S301和图3中的步骤S201类似,为简约起见,在此不再赘述。
步骤S302:当访问认证信息认证通过时,根据访问认证信息查询对应的访问策略信息,并将访问策略信息发送至客户端验证。
在本实施例中,图4中的步骤S302和图3中的步骤S202类似,为简约起见,在此不再赘述。
步骤S303:当接收到客户端反馈的验证通过结果时,获取客户端当前的第一环境信息。
在本实施例中,图4中的步骤S303和图3中的步骤S203类似,为简约起见,在此不再赘述。
步骤S304:判断第一环境信息是否满足预设授权要求。若是,则执行步骤S305。
在本实施例中,图4中的步骤S304和图3中的步骤S204类似,为简约起见,在此不再赘述。
步骤S305:当第一环境信息满足预设授权要求时,基于访问策略信息对客户端进行授权,生成一组对应的授权信息和授权验证码,并发送授权信息至客户端、发送授权验证码至目标端。
在本实施例中,图4中的步骤S305和图3中的步骤S205类似,为简约起见,在此不再赘述。
步骤S306:当客户端访问目标端时,接收目标端上传的客户端的实时的第二环境信息。
具体地,在授权客户端开始访问目标端之后,接收目标端的上传的客户端的第二环境信息,该第二环境信息由目标端获取。
步骤S307:比对第二环境信息与第一环境信息是否一致。若第二环境信息与第一环境信息一致,则执行步骤S308;若第二环境信息与第一环境信息不一致,则执行步骤S309。
步骤S308:反馈比对通过的结果至目标端。
步骤S309:反馈比对不通过的结果至目标端。
具体地,在对客户端进行身份认证时,会采集客户端进行身份认证操作时的第一环境信息。当给客户端授权后,客户端开始访问目标端,目标端开始采集客户端的第二环境信息,在接收到目标端上传的第二环境信息后,将该第二环境信息与第一环境信息进行一一比对,以确认客户端的环境信息是否发生了变更,在当客户端的环境信息发生变化时,发送提醒信息至目标端,例如,客户端在进行身份认证时,获取到的客户端的第一环境信息中的IP地址为192.168.1.125,在客户端访问目标端时,获取到的客户端的第二环境信息中的IP地址为192.168.0.112,客户端的IP地址由192.168.1.125变更为了192.168.0.112,即可确认客户端的环境信息发生变化,发送提醒信息至目标端。
本发明第三实施例的身份认证方法在第二实施例的基础上,通过在客户端访问目标端时,目标端会采集客户端的第二环境信息并上传至认证服务器,由认证服务器将第二环境信息与客户端进行身份认证时的第一环境信息进行比对,从而确认客户端的环境信息是否发生了改变,若发生了改变则及时提醒目标端,降低授权信息泄露的风险,进一步提高了安全性。
图5是本发明第四实施例的身份认证方法的流程示意图。需注意的是,若有实质上相同的结果,本发明的方法并不以图5所示的流程顺序为限。具体地,本实施例的身份认证方法应用于客户端,如图5所示,该方法包括步骤:
步骤S401:发送访问认证信息至认证服务器进行身份认证,访问认证信息包括身份信息和访问目标端信息。
步骤S402:接收认证服务器发送的访问策略信息。
步骤S403:当访问策略信息符合客户的预设要求时,生成验证通过结果并反馈至认证服务器。
具体地,在接收到认证服务器发送的访问策略信息后,可以通过向用户展示该访问策略信息以供用户确认该访问策略信息是否满足自身要求,也可通过将访问策略信息与预先设定好的客户的预设要求进行比对判断,以确认是否满足用户的需求。
步骤S404:接收认证服务器发送的授权信息后,发送授权信息至目标端以访问目标端。
本发明第四实施例的身份认证方法通过在认证服务器初步验证访问认证信息后,接收认证服务器发送的访问策略信息,并对该访问策略信息进行验证,从而实现客户端与认证服务器之间的双向认证,进一步提升了安全性。
图6是本发明第五实施例的身份认证方法的流程示意图。需注意的是,若有实质上相同的结果,本发明的方法并不以图6所示的流程顺序为限。具体地,本实施例的身份认证方法应用于目标端,如图6所示,该方法包括步骤:
步骤S501:接收客户端发送的授权信息后,允许客户端访问自身,并实时检测客户端的第二环境信息。
步骤S502:将第二环境信息上传至认证服务器进行比对。
步骤S503:当接收到认证服务器反馈的比对不通过的结果时,停止客户端对自身的访问,并提醒客户端重新进行身份认证。
本发明第五实施例的身份认证方法通过当接收到认证服务器反馈的比对不通过的结果后,即可确认客户端当前的环境信息与客户端进行访问认证时的环境信息不相同,此时,为了进一步降低数据泄露的风险,立即停止客户端对自身的访问,并重新提醒客户端进行访问认证,进一步提高数据的安全性。
图7是本发明第一实施例的身份认证装置的功能模块示意图。如图7所示,该装置70包括信息认证模块71、策略验证模块72和授权模块73。
信息认证模块71,用于接收客户端发送的访问认证信息,并对访问认证信息进行认证,访问认证信息包括身份信息和访问目标端信息。
策略验证模块72,用于当访问认证信息认证通过时,根据访问认证信息查询对应的访问策略信息,并将访问策略信息发送至客户端,以供客户端验证访问策略信息。
授权模块73,用于当接收到客户端反馈的验证通过结果时,基于访问策略信息对客户端进行授权,生成一组对应的授权信息和授权验证码,并发送授权信息至客户端、发送授权验证码至目标端。
可选地,授权模块73执行基于访问策略信息对客户端进行授权,生成一组对应的授权信息和授权验证码,并发送授权信息至客户端、发送授权验证码至目标端的操作还可以为:获取客户端当前的第一环境信息;判断第一环境信息是否满足预设授权要求;若是,则基于访问策略信息对客户端进行授权,生成一组对应的授权信息和授权验证码,并发送授权信息至客户端、发送授权验证码至目标端。
可选地,授权模块73执行发送授权信息至客户端、发送授权验证码至目标端的操作之后,还用于:当客户端访问目标端时,接收目标端上传的客户端的实时的第二环境信息;比对第二环境信息与第一环境信息是否一致;若第二环境信息与第一环境信息一致,则反馈比对通过的结果至目标端;若第二环境信息与第一环境信息不一致,则反馈比对不通过的结果至目标端。
可选地,授权模块73执行基于访问策略信息对客户端进行授权的操作,还可以为:根据访问策略信息确认客户端被允许执行的操作和/或被允许访问的信息;根据被允许执行的操作和/或被允许访问的信息对客户端进行授权。
可选地,策略验证模块72执行根据访问认证信息查询对应的访问策略信息,并将访问策略信息发送至客户端验证的操作还可以为:判断是否存在与访问认证信息对应的访问策略信息;若存在,则生成一次性验证票据,并将一次性验证票据和访问策略信息发送至客户端进行验证;若不存在,则发送提醒信息至客户端。
可选地,授权模块73执行基于访问策略信息对客户端进行授权,生成一组对应的授权信息和授权验证码,并发送授权信息至客户端、发送授权验证码至目标端的操作还可以为:对客户端进行授权,生成授权信息、授权验证码和一次性登录票据,并发送授权信息和一次性登录票据给客户端、发送授权验证码至目标端。
图8是本发明第二实施例的身份认证装置的功能模块示意图。如图8所示,该装置80包括发送模块81、接收模块82、反馈模块83和访问模块84。
发送模块81,用于发送访问认证信息至认证服务器进行身份认证,访问认证信息包括身份信息和访问目标端信息;
接收模块82,用于接收认证服务器发送的访问策略信息;
反馈模块83,用于当访问策略信息符合客户的预设要求时,生成验证通过结果并反馈至认证服务器;
访问模块84,用于接收认证服务器发送的授权信息后,发送授权信息至目标端以访问目标端。
图9是本发明第三实施例的身份认证装置的功能模块示意图。如图9所示,该装置90包括检测模块91、上传模块92和处理模块93。
检测模块91,用于接收客户端发送的授权信息后,允许客户端访问自身,并实时检测客户端的第二环境信息。
上传模块92,用于将第二环境信息上传至认证服务器进行比对。
处理模块93,用于当接收到认证服务器反馈的比对不通过的结果时,停止客户端对自身的访问,并提醒客户端重新进行身份认证。
关于上述实施例身份认证装置中各模块实现技术方案的其他细节,可参见上述实施例中的身份认证方法中的描述,此处不再赘述。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
请参阅图10,图10为本发明实施例的终端的结构示意图。如图10所示,该终端100包括处理器101及和处理器101耦接的存储器102,存储器102中存储有程序指令,程序指令被处理器101执行时,使得处理器101执行上述任一实施例所述的身份认证方法的步骤。
其中,处理器101还可以称为CPU(Central Processing Unit,中央处理单元)。处理器101可能是一种集成电路芯片,具有信号的处理能力。处理器101还可以是通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
参阅图11,图11为本发明实施例的存储介质的结构示意图。本发明实施例的存储介质存储有能够实现上述所有方法的程序文件111,其中,该程序文件111可以以软件产品的形式存储在上述存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本申请各个实施方式所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,RandomAccess Memory)、磁碟或者光盘等各种可以存储程序代码的介质,或者是计算机、服务器、手机、平板等终端设备。
在本申请所提供的几个实施例中,应该理解到,所揭露的终端,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。以上仅为本申请的实施方式,并非因此限制本申请的专利范围,凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本申请的专利保护范围内。
Claims (8)
1.一种身份认证方法,其特征在于,其应用于认证服务器;所述方法包括:
接收客户端发送的访问认证信息,并对所述访问认证信息进行认证,所述访问认证信息包括身份信息和访问目标端信息;
当所述访问认证信息认证通过时,
判断是否存在与所述访问认证信息对应的访问策略信息,所述访问策略信息是指访问目标端时被允许执行的操作和/或被允许访问的信息,所述被允许执行的操作包括读、写、改、删,所述被允许访问的信息包括用户自身级别以及自身级别以下的信息,所述用户设置有级别,所述信息按照重要程度划分等级;
若存在,则生成一次性验证票据,并将所述一次性验证票据和所述访问策略信息发送至所述客户端进行验证,所述一次性验证票据是指随机生成的一次性有效的验证票据;
若不存在,则发送提醒信息至所述客户端,以供客户验证所述访问策略信息;
当接收到所述客户端反馈的验证通过结果时,基于所述访问策略信息对所述客户端进行授权,生成一组对应的授权信息和授权验证码,并发送所述授权信息至所述客户端、发送所述授权验证码至目标端,所述授权信息中包括允许客户端访问目标端时的操作以及验证信息,授权验证码与授权信息对应,用于验证授权信息中的验证信息。
2.根据权利要求1所述的身份认证方法,其特征在于,所述基于所述访问策略信息对所述客户端进行授权,生成一组对应的授权信息和授权验证码,并发送所述授权信息至所述客户端、发送所述授权验证码至目标端,包括:
获取所述客户端当前的第一环境信息;
判断所述第一环境信息是否满足预设授权要求;
若是,则基于所述访问策略信息对所述客户端进行授权,生成一组对应的授权信息和授权验证码,并发送所述授权信息至所述客户端、发送所述授权验证码至目标端。
3.根据权利要求2所述的身份认证方法,其特征在于,所述发送所述授权信息至所述客户端、发送所述授权验证码至目标端之后,还包括:
当所述客户端访问所述目标端时,接收所述目标端上传的所述客户端的实时的第二环境信息;
比对所述第二环境信息与所述第一环境信息是否一致;
若所述第二环境信息与所述第一环境信息一致,则反馈比对通过的结果至所述目标端;
若所述第二环境信息与所述第一环境信息不一致,则反馈比对不通过的结果至所述目标端。
4.根据权利要求1所述的身份认证方法,其特征在于,所述基于所述访问策略信息对所述客户端进行授权,包括:
根据所述访问策略信息确认所述客户端被允许执行的操作和/或被允许访问的信息;
根据所述被允许执行的操作和/或被允许访问的信息对所述客户端进行授权。
5.根据权利要求1所述的身份认证方法,其特征在于,所述基于所述访问策略信息对所述客户端进行授权,生成一组对应的授权信息和授权验证码,并发送所述授权信息至所述客户端、发送所述授权验证码至目标端,包括:
对所述客户端进行授权,生成授权信息、授权验证码和一次性登录票据,并发送所述授权信息和所述一次性登录票据给所述客户端、发送所述授权验证码至所述目标端。
6.一种身份认证方法,其特征在于,其应用于客户端;所述方法包括:
发送访问认证信息至认证服务器进行身份认证,所述访问认证信息包括身份信息和访问目标端信息;
当存在与所述访问认证信息对应的访问策略信息时,接收所述认证服务器发送的一次性验证票据和所述访问策略信息,当不存在与所述访问认证信息对应的访问策略信息时,接收所述认证服务器发送的提醒信息,以供客户验证所述访问策略信息;所述访问策略信息是指访问目标端时被允许执行的操作和/或被允许访问的信息,所述被允许执行的操作包括读、写、改、删,所述被允许访问的信息包括用户自身级别以及自身级别以下的信息,所述用户设置有级别,所述信息按照重要程度划分等级,所述一次性验证票据是指随机生成的一次性有效的验证票据;
当所述访问策略信息符合客户的预设要求时,生成验证通过结果并反馈至所述认证服务器;
接收所述认证服务器发送的授权信息后,发送所述授权信息至目标端以访问所述目标端,所述授权信息中包括允许客户端访问目标端时的操作以及验证信息。
7.一种终端,其特征在于,所述终端包括处理器、与所述处理器耦接的存储器,所述存储器中存储有程序指令,所述程序指令被所述处理器执行时,使得所述处理器执行如权利要求1-6中任一项权利要求所述的身份认证方法的步骤。
8.一种存储介质,其特征在于,存储有能够实现如权利要求1-6中任一项所述的身份认证方法的程序文件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110468760.5A CN113132404B (zh) | 2021-04-28 | 2021-04-28 | 身份认证方法、终端及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110468760.5A CN113132404B (zh) | 2021-04-28 | 2021-04-28 | 身份认证方法、终端及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113132404A CN113132404A (zh) | 2021-07-16 |
| CN113132404B true CN113132404B (zh) | 2023-05-30 |
Family
ID=76780919
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110468760.5A Active CN113132404B (zh) | 2021-04-28 | 2021-04-28 | 身份认证方法、终端及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113132404B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114372254B (zh) * | 2021-08-16 | 2023-03-24 | 中电长城网际系统应用有限公司 | 大数据环境下的多认证授权方法 |
| CN114244583A (zh) * | 2021-11-30 | 2022-03-25 | 珠海大横琴科技发展有限公司 | 一种基于移动客户端的数据处理的方法和装置 |
| CN116052309A (zh) * | 2023-01-06 | 2023-05-02 | 湖南文宝银行设备有限公司 | 智能尾箱业务库远程身份授权系统 |
| CN117478423B (zh) * | 2023-11-30 | 2024-05-03 | 东方物通科技(北京)有限公司 | 数据安全通信系统及方法 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6163383A (en) * | 1996-04-17 | 2000-12-19 | Fuji Xerox Co., Ltd. | Method for providing print output security in a multinetwork environment |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10135831B2 (en) * | 2011-01-28 | 2018-11-20 | F5 Networks, Inc. | System and method for combining an access control system with a traffic management system |
| US9009806B2 (en) * | 2013-04-12 | 2015-04-14 | Globoforce Limited | System and method for mobile single sign-on integration |
| WO2016024876A1 (en) * | 2014-08-11 | 2016-02-18 | Oracle International Corporation | Method and system for managing fine-grained policies for requiring user approval of device management operations |
| CN107222476B (zh) * | 2017-05-27 | 2018-02-16 | 国网山东省电力公司 | 一种认证服务方法 |
| CN108875327A (zh) * | 2018-05-28 | 2018-11-23 | 阿里巴巴集团控股有限公司 | 一种核身方法和装置 |
| CN109194673B (zh) * | 2018-09-20 | 2021-08-03 | 江苏满运软件科技有限公司 | 基于用户授权信息的认证方法、系统、设备及存储介质 |
| CN111131202A (zh) * | 2019-12-12 | 2020-05-08 | 厦门市美亚柏科信息股份有限公司 | 基于多重信息认证的身份认证方法及系统 |
-
2021
- 2021-04-28 CN CN202110468760.5A patent/CN113132404B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6163383A (en) * | 1996-04-17 | 2000-12-19 | Fuji Xerox Co., Ltd. | Method for providing print output security in a multinetwork environment |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113132404A (zh) | 2021-07-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113132404B (zh) | 身份认证方法、终端及存储介质 | |
| US11736468B2 (en) | Enhanced authorization | |
| US10127751B2 (en) | Controlling physical access to secure areas via client devices in a networked environment | |
| US9098850B2 (en) | System and method for transaction security responsive to a signed authentication | |
| US20160277383A1 (en) | Binding to a user device | |
| CN110149328B (zh) | 接口鉴权方法、装置、设备及计算机可读存储介质 | |
| JP7194847B2 (ja) | デジタルキー、端末デバイス、及び媒体の同一性を認証する方法 | |
| JP6949064B2 (ja) | 認証及び承認方法並びに認証サーバー | |
| KR101451359B1 (ko) | 사용자 계정 회복 | |
| CN109756446B (zh) | 一种车载设备的访问方法和系统 | |
| US9667626B2 (en) | Network authentication method and device for implementing the same | |
| US20180212955A1 (en) | Method for operating a designated service, service unlocking method, and terminal | |
| CN110781468A (zh) | 一种身份认证的处理方法、装置、电子设备及存储介质 | |
| WO2020173019A1 (zh) | 访问凭证验证方法、装置、计算机设备及存储介质 | |
| CN111783049A (zh) | 一种基于区块链的用户信息处理方法及系统 | |
| CN107835162A (zh) | 软件数字许可服务器签发软件数字许可权限的方法 | |
| CN114339755A (zh) | 注册验证方法及装置、电子设备和计算机可读存储介质 | |
| CN106533685B (zh) | 身份认证方法、装置及系统 | |
| CN113326483A (zh) | 应用程序授权方法及相关产品 | |
| CN215181990U (zh) | 一种计算机安全防护系统 | |
| KR20110087885A (ko) | 서비스 보안시스템 및 그 방법 | |
| JP2009260688A (ja) | ワイヤレス広域通信網におけるリモート端末装置のセキュリティシステムとその方法 | |
| AU2010361584B2 (en) | User account recovery | |
| CN112733125A (zh) | 一种计算机系统验证用户安全策略权限管理方法 | |
| CN117499122A (zh) | 数据访问方法、系统、电子设备、存储介质及程序产品 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |