CN113438081A - 一种认证方法、装置及设备 - Google Patents
一种认证方法、装置及设备 Download PDFInfo
- Publication number
- CN113438081A CN113438081A CN202110666025.5A CN202110666025A CN113438081A CN 113438081 A CN113438081 A CN 113438081A CN 202110666025 A CN202110666025 A CN 202110666025A CN 113438081 A CN113438081 A CN 113438081A
- Authority
- CN
- China
- Prior art keywords
- authentication
- message
- challenge
- certificate
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3215—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a plurality of channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请实施例公开了一种认证方法、装置及设备。本申请中认证服务器响应于对接收到的终端上的客户端发送的证书认证请求中的证书认证信息成功认证,可以调用短信接口并通过证书认证过程中建立的认证通道发送用于短信认证的Challenge挑战报文,以使终端返回该Challenge挑战报文的响应报文,从而通过接收到响应报文,对响应报文携带的短信认证信息进行认证实现对终端上客户端的用户的身份认证。
Description
技术领域
本申请涉及通信领域,特别涉及一种认证方法、装置及设备。
背景技术
802.1x协议是一种基于端口的认证协议,广泛应用于各种场景中对用户身份的认证。对于应用了802.1x协议的端口,如果认证成功,将打开该端口,允许所有报文通过;如果认证不成功,该端口将只允许基于802.1x协议的认证报文通过。所以,对于终端上应用了802.1x协议的客户端,如果用户要登录客户端,必须先对用户身份进行认证,只有在认证成功的情况下用户才能登录并使用客户端进行业务处理。
发明内容
本申请公开了一种认证方法、装置及设备,实现了对终端上登录客户端的用户的身份进行认证。
根据本申请实施例的第一方面,提供一种认证方法,该方法应用于认证服务器,包括:
响应于对接收到的终端上的客户端发送的证书认证请求中的证书认证信息成功认证,调用短信接口并通过证书认证过程中建立的认证通道发送用于短信认证的Challenge挑战报文;所述Challenge挑战报文采用eap数据格式;
接收所述终端返回的所述Challenge挑战报文的响应报文,所述终端接收到所述Challenge挑战报文则发起所述响应报文;
对所述响应报文携带的短信认证信息进行认证,并返回认证结果给所述终端。
根据本申请实施例的第二方面,提供一种认证方法,该方法应用于终端,包括:
响应于登录终端上的客户端,与认证服务器建立认证通道并通过所述认证通道向认证服务器发送携带证书认证信息的证书认证请求;
通过所述认证通道接收认证服务器发送的用于短信认证的Challenge挑战报文;所述Challenge挑战报文采用eap数据格式;
向所述认证服务器返回所述Challenge挑战报文的响应报文,所述响应报文中携带短信认证信息,以使所述认证服务器对所述响应报文携带的短信认证信息进行认证。
根据本申请实施例的第三方面,提供一种认证装置,该装置应用于认证服务器,包括:
Challenge挑战报文发送单元,用于响应于对接收到的终端上的客户端发送的证书认证请求中的证书认证信息成功认证,调用短信接口并通过证书认证过程中建立的认证通道发送用于短信认证的Challenge挑战报文;所述Challenge挑战报文采用eap数据格式;
响应报文接收单元,用于接收所述终端返回的所述Challenge挑战报文的响应报文,所述终端接收到所述Challenge挑战报文则发起所述响应报文;
短信认证信息认证单元,用于对所述响应报文携带的短信认证信息进行认证,并返回认证结果给所述终端。
根据本申请实施例的第四方面,提供一种认证装置,该装置应用于终端,包括:
证书认证请求发送单元,用于响应于登录终端上的客户端,与认证服务器建立认证通道并通过所述认证通道向认证服务器发送携带证书认证信息的证书认证请求;
Challenge挑战报文接收单元,用于通过所述认证通道接收认证服务器发送的用于短信认证的Challenge挑战报文;所述Challenge挑战报文采用eap数据格式;
Challenge挑战报文响应单元,用于向所述认证服务器返回所述Challenge挑战报文的响应报文,所述响应报文中携带短信认证信息,以使所述认证服务器对所述响应报文携带的短信认证信息进行认证。
根据本申请实施例的第五方面,提供一种电子设备,该电子设备包括:处理器和存储器;
所述存储器,用于存储机器可执行指令;
所述处理器,用于读取并执行所述存储器存储的机器可执行指令,以实现如上所述的应用于认证服务器的认证方法或者应用于终端的认证方法。
本申请的实施例提供的技术方案可以包括以下有益效果:
由以上技术方案可知,本申请提供的方案中认证服务器响应于对接收到的终端上的客户端发送的证书认证请求中的证书认证信息成功认证,可以调用短信接口并通过证书认证过程中建立的认证通道发送用于短信认证的Challenge挑战报文,以使终端返回该Challenge挑战报文的响应报文,从而通过接收到响应报文,对响应报文携带的短信认证信息进行认证实现对终端上客户端的用户的身份认证。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本说明书的实施例,并与说明书一起用于解释本说明书的原理。
图1是本申请实施例提供的一种实现认证的方法流程图;
图2是本申请实施例提供的一种eap数据格式示意图;
图3是本申请实施例提供的一种eap数据格式中数据Data1字段采用的TLV格式示意图;
图4是本申请实施例提供的另一种实现认证的方法流程图;
图5是本申请实施例提供的一种实现认证的装置示意图;
图6是本申请实施例提供的另一种实现认证的装置示意图;
图7是本申请实施例提供的一种电子设备的硬件结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
首先,为了便于理解本申请,先对相关技术中的用户登录基于802.1x协议的客户端时,对用户身份进行认证的两种认证方法进行描述:
证书认证(Certificate-based authentication):相关技术中,对用户身份进行认证可以通过获取用户的证书,基于用户的证书对用户身份进行认证。其中用户的证书是由证书授权系统为用户生成的数字证书,该数字证书可以标识用户身份,以及证书授权系统一般由受到广泛信任的机构组建。在实现证书认证之前,可以先在认证服务器上安装服务器证书,在终端上安装客户端证书,其中服务器证书用于标识服务器身份,客户端证书用于标识客户端身份。
相关技术中,认证服务器和客户端建立用于证书认证的认证通道的过程中,认证服务器可以通过接收到的客户端证书验证客户端是否合法,客户端可以通过接收到的服务器证书验证认证服务器是否合法,在双方确定对方合法的情况下建立用于证书认证的认证通道,具体验证过程可参照相关技术,这里不在赘述。
可选的,若在认证服务器上安装根证书和服务器证书,在终端上安装客户端证书,由于根证书用于签发客户端数字证书,所以上述的证书授权系统可以安装在认证服务器上,由认证服务器依据根证书为用户生成数字证书。
以及在相关技术中,实现证书认证所需要构建的认证通道为加密通道,所以在证书认证过程中,终端向认证服务器通过加密通道所发送的用户的证书,在传输过程中是以密文的形式传输的,保证了证书认证的过程证书的安全性,使证书认证的认证结果更可靠。
短信认证:短信验证码认证是指为响应用户登录客户端的操作,通过触发认证服务器向用户的账户发送携带短信验证码的短信消息,将获得的短信验证码发送给认证服务器,以对用户身份进行认证。相关技术中,在短信认证过程中终端与认证服务器之间的通信,是通过TapTap协议建立的终端与认证服务器之间的连接,终端可以通过基于TapTap协议建立的连接向认证服务器发送接收到的短信验证码,由于该连接上数据都是以明文的形式传输,所以短信验证码认证需要在安全环境下进行。
下面将结合附图对本申请实施例中技术方案作进一步详细的说明。
参见图1,图1为本申请实施例提供的一种认证方法的流程图。作为一个实施例,图1所示的流程可以应用于认证服务器。
如图1所示,该流程可以包括以下步骤:
步骤101,响应于对接收到的终端上的客户端发送的证书认证请求中的证书认证信息成功认证,调用短信接口并通过证书认证过程中建立的认证通道发送用于短信认证的Challenge挑战报文;该Challenge挑战报文采用eap数据格式。
作为一个实施例,证书认证请求中的证书认证信息可以至少包括:终端本地安装的用于验证登录客户端的用户身份的证书或者在独立于终端的智能卡中保存的用于验证登录客户端的用户身份的证书。
进一步的,证书认证请求中的证书认证信息还可以包括:终端本地安装的用于验证登录客户端的用户身份的证书或者在独立于终端的智能卡中保存的用于验证登录客户端的用户身份的证书,以及该证书对应的用户用于登录客户端的登录用户名和登录密码,以在进行证书认证的同时,实现用户名和密码的认证,以加强认证的可靠性。
作为一个实施例,在本步骤101通过证书认证过程中建立的认证通道发送用于短信认证的Challenge挑战报文之前,可以调用短信接口触发短信网关向已通过认证的证书对应的用户账户发送短信验证码,该用户账户与用户用于登录客户端的登录用户名可以相同,可以不同。
需要说明的是,本实施例中,证书认证所使用的证书对应的用户账户为用户可以接收到短信验证码的账户,比如用户的手机号、邮箱等。因此,本实施例中证书对应的用户账户可以通过不同于本申请实施例中的终端的其他设备接收短信验证码,比如用户可以在电脑上登录电脑上的客户端,若证书认证所使用的证书对应的用户账户为用户的手机号,则用户可以通过手机接收短信验证码。
可选的,本实施例中短信网关用于提供向用户账户发送短信验证码的服务,该服务可以由第三方运营商实现,比如若用户账户为手机号,可以通过手机运营商设置的短信网关实现该服务,也可以应用在认证服务器上,比如若用户账户为邮箱,并且认证服务器同时为邮箱服务器,则可以直接在认证服务器上设置短信网关。
进一步的,触发短信网关向已通过证书认证的证书对应的用户账户发送短信验证码之前,需要先获取证书对应的用户账户,该用户账户可以通过多种方式获取:比如通过解析已通过认证的证书,从证书中获取证书对应的用户账户,或者,从第三方设备(比如用于存储用户证书与用户账户的对应关系的设备)中获取证书对应的用户账户。
在本申请实施例中,对终端上的客户端发送的证书认证请求中的证书认证信息成功认证后,并未关闭证书认证过程中建立的认证通道,而是触发认证服务器调用短信接口,以触发短信网关向已通过认证的证书对应的用户账户发送短信验证码,以及采用eap数据格式构建用于短信认证Challenge挑战报文,并通过证书认证过程中建立的认证通道将Challenge挑战报文发送给终端。其中Challenge挑战报文可以触发客户端发起短信认证,以及Challenge挑战报文中可以进一步携带客户端的客户端信息,这里客户端的客户端信息用于强调该Challenge挑战报文用于触发本实施例中的短信认证,可以包括认证服务器已保存的上述客户端对应的厂商标识和厂商类型。
可选的,上述证书认证过程中建立的认证通道可以为基于EAP协议(ExtensibleAuthentication Protocol,可扩展认证协议)构建的加密通道。EAP协议是一种普遍使用的支持多种认证方法的认证框架协议,主要用于网络接入认证,基于EAP协议,本申请实施例中认证服务器构建Challenge挑战报文的eap数据格式可以参照图2所示的eap数据格式。
至于如何基于图2所示的eap数据格式构建Challenge挑战报文,将在下文对eap数据格式的介绍中描述,这里暂不赘述。
步骤102,接收终端返回的Challenge挑战报文的响应报文,该终端接收到Challenge挑战报文则发起响应报文。
本申请实施例中,终端返回的Challenge挑战报文的响应报文也是通过证书认证过程中建立的认证通道传输的,并且响应报文中携带了短信认证信息,本实施例中终端接收到Challenge挑战报文则发起该响应报文,该响应报文携带的短信认证信息至少包括:证书对应的用户账户接收到的短信验证码。
可选的,响应报文携带的短信认证信息还包括:终端上保存的客户端出厂携带的厂商标识和厂商类型,该响应报文也可以采用如图2所示的eap数据格式,至于如何基于图2所示的eap数据格式构建响应报文,将在下文对eap数据格式的介绍中描述,这里暂不赘述。
作为一个实施例,若证书认证过程中建立的认证通道为基于EAP协议构建的加密通道,则携带短信认证信息的响应报文将以密文的形式在网络中传输,进一步保障了短信认证的安全性和可靠性。
步骤103,对响应报文携带的短信认证信息进行认证,并返回认证结果给终端。
本申请实施例中,若响应报文携带的短信认证信息为短信验证码,则可以比较响应报文携带的短信验证码与认证服务器调用短信接口后获取的短信验证码是否一致,若一致,可以确定响应报文携带的短信认证信息通过认证。若响应报文携带的短信认证信息包括短信验证码、客户端对应的厂商标识和厂商类型,则只有上述短信认证信息与本认证服务器中保存的对应的信息全部一致,才可以确定响应报文携带的短信认证信息通过认证。
进一步的,无论对响应报文携带的短信认证信息进行认证的认证结果是成功还是失败,都需要将认证结果返回给客户端。若认证成功,用户可以成功登录客户端,进而使用客户端进行业务处理,若认证失败,会停留在客户端的登录界面,需要通过手动确定是否重新对用户身份进行认证。
至此,完成图1所示流程。
通过图1所示的流程可以看出,本申请实施例中认证服务器响应于对接收到的终端上的客户端发送的证书认证请求中的证书认证信息成功认证,可以调用短信接口并通过证书认证过程中建立的认证通道发送用于短信认证的Challenge挑战报文,以使终端返回该Challenge挑战报文的响应报文,从而通过接收到响应报文,对响应报文携带的短信认证信息进行认证实现对终端上客户端的用户的身份认证。
以上举例只是为了便于理解,本申请实施例并不具体限定。
请参见图4,图4为本申请实施例提供的另一种认证方法的流程图。作为一个实施例,图4所示的流程可以应用于终端,如移动终端、PC等设备。
步骤401,响应于登录终端上的客户端,与认证服务器建立认证通道并通过该认证通道向认证服务器发送携带证书认证信息的证书认证请求。
在本申请实施例中,若认证服务器对接收到的证书认证信息成功认证,认证服务器会调用短信接口触发短信网关向已通过证书认证的证书对应的用户账户发送短信验证码,因此,可以本实施中可以根据用户账户获取用于短信认证的短信验证码,比如若用户账户为手机号,则可以从目前使用该手机号的设备上获取短信验证码。
需要说明的是,本申请实施例中同一用户登录不同客户端,进行证书认证请求所使用的证书对应的账户可以是相同的,以及用户登录客户端所使用的终端,和用于接收短信验证码的用户账户所在的设备可以相同,也可以不同。
以及可选的,本申请实施例所建立的认证通道是基于EAP协议构建的加密通道。
至于证书认证的具体过程,可以参照图1所示流程中的描述,这里不再赘述。
步骤402,通过认证通道接收认证服务器发送的用于短信认证的Challenge挑战报文;该Challenge挑战报文采用eap数据格式。
可选的,若终端接收到的Challenge挑战报文中不携带客户端的客户端信息,则终端在接收到的Challenge挑战报文后,触发在终端的客户端界面上弹出提示输入短信验证码的窗口,在获取到短信验证码后,终端可以生成采用eap数据格式的响应报文,该响应报文的格式以及携带的内容可以参照上述对eap数据格式的描述。
可选的,若终端接收到的Challenge挑战报文中携带客户端的客户端信息,则终端需要验证Challenge挑战报文携带的客户端信息与终端中保存的客户端的客户端信息是否一致,若一致,则在终端的客户端界面上可以弹出提示输入短信验证码的窗口,在获取到短信验证码后,生成采用eap数据格式的响应报文。
步骤403,向认证服务器返回Challenge挑战报文的响应报文,该响应报文中携带短信认证信息,以使认证服务器对该响应报文携带的短信认证信息进行认证。
可选的,本步骤403中向认证服务器返回Challenge挑战报文的响应报文,也是采用证书认证过程中建立的认证通道将响应报文传输给认证服务器。在返回响应报文之后,若进一步接收到认证服务器返回的认证结果,则可以关闭证书认证过程中建立的认证通道,其中,该认证结果为认证服务器对响应报文中携带的短信认证信息进行认证的认证结果。
可选的,本申请实施例还可以设置一个时间阈值,若在指定时间内没有接收到认证服务器返回的认证结果,则确定当前进行的短信认证已超时,关闭证书认证过程中建立的认证通道。
至此,完成图4所示流程。
通过图4所示的流程可以看出,本申请实施例中终端响应于登录终端上的客户端,可以与认证服务器建立认证通道并通过该认证通道向认证服务器发送携带证书认证信息的证书认证请求,并通过认证通道接收认证服务器发送用于短信认证的Challenge挑战报文,利用与认证服务器进行证书认证所建立的认证通道进行短信认证,通过证书认证和短信认证实现了对用户身份的双重认证。
下面对本申请实施例中采用eap数据格式的Challenge挑战报文和响应报文进行描述:
首先,需要说明的是,图2所示的eap数据格式为EAP协议中规定的类型为254的EAP认证类型,类型为254的EAP认证类型为EAP认证类型中的扩展类型,该类型的eap数据格式可以用于厂商自定义认证过程。
其中图2所示的eap数据格式中,编码Code字段表示EAP数据包的类型,包括请求、应答、成功和失败四种类型,标识ID字段用于匹配应答和请求,一个请求包和该请求包对应的应答包的标识ID字段应是一致的,长度Length字段表示EAP数据包的字节数,数据Data字段用于存放EAP数据包的内容。
以及如图2所示,eap数据格式中数据Data字段包括两个字段:类型Type字段和类型数据Type Data字段。在本申请实施例中,类型Type字段的值为254,类型数据Type Data字段可以包括三个字段:厂商标识VendorId字段、厂商类型VendorType字段和数据Data1字段。
可选的,本申请实施例中Challenge挑战报文(记为第一Challenge挑战报文)可以只包括eap数据格式中的编码Code字段、标识ID字段和长度Length字段。
可选的,本申请实施例中Challenge挑战报文(记为第二Challenge挑战报文)还可以包括eap数据格式中的编码Code字段、标识ID字段、长度Length字段和数据Data字段,其中数据Data字段中携带了的客户端的客户端信息,这里的客户端的客户端信息为认证服务器已保存的本实施例中客户端对应的厂商标识和厂商类型。
基于Challenge挑战报文的数据Data字段中携带了的客户端的客户端信息,Challenge挑战报文对应的eap数据格式中的数据Data字段包括两个字段:厂商标识VendorId字段和厂商类型VendorType字段,其中VendorId字段中携带了厂商标识,VendorType字段中携带了厂商类型。
可选的,本实施例中,终端返回的用于响应第一Challenge挑战报文的第一响应报文采用eap数据格式,并且第一响应报文携带的短信认证信息包括短信验证码,该短信验证码是从用于证书认证的证书对应的用户账户获取到的,则第一响应报文包括编码Code字段、标识ID字段、长度Length字段和数据Data字段,数据Data字段中包括一个数据Data1字段(可参见图2),数据Data1字段中携带了上述的短信验证码。
其中,图2所示的数据Data1字段采用的TLV格式(Type-Length-Value格式),数据Data1字段的具体格式如图3所示,TLV格式为一种可变格式,图3中编码类型CodeType字段是关于标签和编码格式的信息,编码长度CodeLen字段是定义数据的长度,编码Code字段用于存放数据。可选的,本申请实施例中通过证书对应的用户账户获取的短信验证码可以存放在如图3所示的编码Code字段中。
可选的,本实施例中,终端返回的用于响应第二Challenge挑战报文的第二响应报文也采用eap数据格式,第二响应报文中携带的短信认证信息包括终端上保存的客户端出厂携带的厂商标识和厂商类型,以及终端获取到的用于证书认证的证书对应的用户账户接收到短信验证码,则第二响应报文中的数据Data字段包括:厂商标识VendorId字段,用于携带终端中保存的客户端的厂商标识;厂商类型VendorType字段,用于携带终端中保存的客户端的厂商类型;数据Data1字段,用于携带上述终端获取的短信验证码。
至此,完成对本申请实施例中采用eap数据格式的Challenge挑战报文和响应报文的描述。
以上对本申请实施例提供的方法进行了描述。下面对本申请实施例提供的装置进行描述:
参见图5,图5为本申请实施例提供的一种实现认证的装置示意图,该装置实施例应用于认证服务器。该装置包括:
Challenge挑战报文发送单元501,用于响应于对接收到的终端上的客户端发送的证书认证请求中的证书认证信息成功认证,调用短信接口并通过证书认证过程中建立的认证通道发送用于短信认证的Challenge挑战报文;该Challenge挑战报文采用eap数据格式。
可选的,证书认证请求中的证书认证信息至少包括:终端本地安装的用于验证登录客户端的用户身份的证书或者在独立于终端的智能卡中保存的用于验证登录客户端的用户身份的证书、以及该证书对应的用户用于登录客户端的登录用户名和登录密码。
可选的,证书认证过程中建立的认证通道为基于eap协议构建的加密通道;
可选的,该装置进一步包括短信验证码发送单元,用于调用短信接口触发短信网关向已通过证书认证的证书对应的用户账户发送短信验证码。
可选的,Challenge挑战报文中包括eap数据格式中的数据Data字段,数据Data字段用于携带客户端的客户端信息,则终端可以在接收到Challenge挑战报文中携带的客户端的客户端信息通过验证的情况下发起响应报文。
可选的,客户端的客户端信息包括:认证服务器已保存的客户端对应的厂商标识和厂商类型;
该Challenge挑战报文的数据Data字段至少包括两个字段:
厂商标识VendorId字段,用于表示上述的厂商标识;
厂商类型VendorType字段,用于表示上述的厂商类型。
响应报文接收单元502,用于接收终端返回的Challenge挑战报文的响应报文,该终端接收到Challenge挑战报文则发起响应报文。
短信认证信息认证单元503,用于对该响应报文携带的短信认证信息进行认证,并返回认证结果给终端。
至此,完成图5所示装置实施例的结构图。
参见图6,图6为本申请实施例提供的另一种实现认证的装置示意图,该装置实施例应用于终端。该装置包括:
证书认证请求发送单元601,用于响应于登录终端上的客户端,与认证服务器建立认证通道并通过该认证通道向认证服务器发送携带证书认证信息的证书认证请求。
Challenge挑战报文接收单元602,用于通过认证通道接收认证服务器发送的用于短信认证的Challenge挑战报文;该Challenge挑战报文采用eap数据格式。
Challenge挑战报文响应单元603,用于向认证服务器返回该Challenge挑战报文的响应报文,该响应报文中携带短信认证信息,以使认证服务器对该响应报文携带的短信认证信息进行认证。
可选的,本装置实施例中Challenge挑战报文接收单元602接收到的Challenge挑战报文携带客户端的客户端信息,则Challenge挑战报文响应单元603向认证服务器返回Challenge挑战报文的响应报文包括:
验证Challenge挑战报文携带的客户端信息与终端上客户端的客户端信息是否一致;
若是,则向认证服务器返回Challenge挑战报文的响应报文。
可选的,该装置进一步包括短信验证码获取单元,用于获取用于证书认证的证书对应的用户账户接收到短信验证码,该认证服务器在对证书认证请求中的证书认证信息成功认证的情况下触发短信网关发送短信验证码。
可选的,响应报文携带的短信认证信息至少包括上述获取到的短信验证码。
可选的,本装置实施例中的响应报文携带的短信认证信息还包括:终端上保存的客户端出厂携带的厂商标识和厂商类型;
该响应报文采用eap数据格式,该响应报文中的数据Data字段包括:
厂商标识VendorId字段,用于表示终端上保存的厂商标识;
厂商类型VendorType字段,用于表示终端上保存的厂商类型;
数据Data1字段,用于携带上述获取到的短信验证码。
至此,完成图6所示装置实施例的结构图。
对应地,本申请实施例还提供了一种电子设备的硬件结构图,具体如图7所示,该电子设备可以为上述实施认证方法的设备。如图7所示,该硬件结构包括:处理器和存储器。
其中,存储器用于存储机器可执行指令;
处理器用于读取并执行上述存储器存储的机器可执行指令,以实现如上所示的所对应的认证方法的实施例。
作为一个实施例,存储器可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,存储器可以是:易失存储器、非易失性存储器或者类似的存储介质。具体地,存储器可以是RAM(Radom Access Memory,随机存取存储器)、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、DVD等),或者类似的存储介质,或者它们的组合。
至此,完成图7所示电子设备的描述。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (12)
1.一种认证方法,其特征在于,该方法应用于认证服务器,包括:
响应于对接收到的终端上的客户端发送的证书认证请求中的证书认证信息成功认证,调用短信接口并通过证书认证过程中建立的认证通道发送用于短信认证的Challenge挑战报文;所述Challenge挑战报文采用eap数据格式;
接收所述终端返回的所述Challenge挑战报文的响应报文,所述终端接收到所述Challenge挑战报文则发起所述响应报文;
对所述响应报文携带的短信认证信息进行认证,并返回认证结果给所述终端。
2.根据权利要求1所述的方法,其特征在于,所述证书认证过程中建立的认证通道为基于eap协议构建的加密通道;
所述通过证书认证过程中建立的认证通道发送用于短信认证的Challenge挑战报文之前,该方法进一步包括:
调用短信接口触发短信网关向已通过证书认证的所述证书对应的用户账户发送短信验证码。
3.根据权利要求1所述的方法,其特征在于,所述Challenge挑战报文中包括eap数据格式中的数据Data字段,所述数据Data字段用于携带所述客户端的客户端信息;
所述终端在接收到Challenge挑战报文的情况下发起所述响应报文包括:
所述终端在接收到Challenge挑战报文中携带的客户端的客户端信息通过验证的情况下发起所述响应报文。
4.根据权利要求3所述的方法,其特征在于,所述客户端的客户端信息包括:认证服务器已保存的所述客户端对应的厂商标识和厂商类型;
所述Challenge挑战报文的数据Data字段至少包括两个字段:
厂商标识VendorId字段,用于表示所述厂商标识;
厂商类型VendorType字段,用于表示所述厂商类型。
5.根据权利要求1所述的方法,其特征在于,所述证书认证请求中的证书认证信息包括:终端本地安装的用于验证登录客户端的用户身份的证书或者在独立于终端的智能卡中保存的用于验证登录客户端的用户身份的证书、以及该证书对应的用户用于登录客户端的登录用户名和登录密码。
6.一种认证方法,其特征在于,该方法应用于终端,包括:
响应于登录终端上的客户端,与认证服务器建立认证通道并通过所述认证通道向认证服务器发送携带证书认证信息的证书认证请求;
通过所述认证通道接收认证服务器发送的用于短信认证的Challenge挑战报文;所述Challenge挑战报文采用eap数据格式;
向所述认证服务器返回所述Challenge挑战报文的响应报文,所述响应报文中携带短信认证信息,以使所述认证服务器对所述响应报文携带的短信认证信息进行认证。
7.根据权利要求6所述的方法,其特征在于,所述Challenge挑战报文携带客户端的客户端信息;
所述向所述认证服务器返回所述Challenge挑战报文的响应报文包括:
验证所述Challenge挑战报文携带的客户端信息与所述终端上客户端的客户端信息是否一致;
若是,则向所述认证服务器返回所述Challenge挑战报文的响应报文。
8.根据权利要求6所述的方法,其特征在于,该方法进一步包括:
获取用于证书认证的证书对应的用户账户接收到短信验证码,所述认证服务器在对所述证书认证请求中的证书认证信息成功认证的情况下触发短信网关发送短信验证码;
所述响应报文携带的短信认证信息至少包括所述获取到的短信验证码。
9.根据权利要求8所述的方法,其特征在于,所述响应报文携带的短信认证信息还包括:终端上保存的客户端出厂携带的厂商标识和厂商类型;
所述响应报文采用eap数据格式,所述响应报文中的数据Data字段包括:
厂商标识VendorId字段,用于表示所述厂商标识;
厂商类型VendorType字段,用于表示所述厂商类型;
数据Data1字段,用于携带所述短信验证码。
10.一种认证装置,其特征在于,该装置应用于认证服务器,包括:
Challenge挑战报文发送单元,用于响应于对接收到的终端上的客户端发送的证书认证请求中的证书认证信息成功认证,调用短信接口并通过证书认证过程中建立的认证通道发送用于短信认证的Challenge挑战报文;所述Challenge挑战报文采用eap数据格式;
响应报文接收单元,用于接收所述终端返回的所述Challenge挑战报文的响应报文,所述终端接收到所述Challenge挑战报文则发起所述响应报文;
短信认证信息认证单元,用于对所述响应报文携带的短信认证信息进行认证,并返回认证结果给所述终端。
11.一种认证装置,其特征在于,该装置应用于终端,包括:
证书认证请求发送单元,用于响应于登录终端上的客户端,与认证服务器建立认证通道并通过所述认证通道向认证服务器发送携带证书认证信息的证书认证请求;
Challenge挑战报文接收单元,用于通过所述认证通道接收认证服务器发送的用于短信认证的Challenge挑战报文;所述Challenge挑战报文采用eap数据格式;
Challenge挑战报文响应单元,用于向所述认证服务器返回所述Challenge挑战报文的响应报文,所述响应报文中携带短信认证信息,以使所述认证服务器对所述响应报文携带的短信认证信息进行认证。
12.一种电子设备,其特征在于,该电子设备包括:处理器和存储器;
所述存储器,用于存储机器可执行指令;
所述处理器,用于读取并执行所述存储器存储的机器可执行指令,以实现如权利要求1到5任一项所述的认证方法或者如权利要求6-9任一项所述的认证方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110666025.5A CN113438081B (zh) | 2021-06-16 | 2021-06-16 | 一种认证方法、装置及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110666025.5A CN113438081B (zh) | 2021-06-16 | 2021-06-16 | 一种认证方法、装置及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113438081A true CN113438081A (zh) | 2021-09-24 |
| CN113438081B CN113438081B (zh) | 2022-05-31 |
Family
ID=77756084
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110666025.5A Active CN113438081B (zh) | 2021-06-16 | 2021-06-16 | 一种认证方法、装置及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113438081B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114785534A (zh) * | 2022-01-06 | 2022-07-22 | 新华三技术有限公司 | 通信方法及装置 |
| CN115021939A (zh) * | 2022-06-30 | 2022-09-06 | 中国联合网络通信集团有限公司 | 身份认证方法、装置、设备及存储介质 |
| CN117858088A (zh) * | 2023-12-29 | 2024-04-09 | 慧之安信息技术股份有限公司 | 一种面向自组网物联网设备的认证方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101102188A (zh) * | 2006-07-07 | 2008-01-09 | 华为技术有限公司 | 一种移动接入虚拟局域网的方法与系统 |
| CN104869121A (zh) * | 2015-05-26 | 2015-08-26 | 杭州华三通信技术有限公司 | 一种基于802.1x的认证方法及装置 |
| CN106888091A (zh) * | 2015-12-23 | 2017-06-23 | 北京奇虎科技有限公司 | 基于eap的可信网络接入方法和系统 |
| CN109361659A (zh) * | 2018-09-28 | 2019-02-19 | 新华三技术有限公司 | 一种认证方法及装置 |
| WO2020148746A1 (en) * | 2019-01-20 | 2020-07-23 | Arilou Information Security Technologies Ltd. | System and method for data compression based on data position in frames structure |
-
2021
- 2021-06-16 CN CN202110666025.5A patent/CN113438081B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101102188A (zh) * | 2006-07-07 | 2008-01-09 | 华为技术有限公司 | 一种移动接入虚拟局域网的方法与系统 |
| CN104869121A (zh) * | 2015-05-26 | 2015-08-26 | 杭州华三通信技术有限公司 | 一种基于802.1x的认证方法及装置 |
| CN106888091A (zh) * | 2015-12-23 | 2017-06-23 | 北京奇虎科技有限公司 | 基于eap的可信网络接入方法和系统 |
| CN109361659A (zh) * | 2018-09-28 | 2019-02-19 | 新华三技术有限公司 | 一种认证方法及装置 |
| WO2020148746A1 (en) * | 2019-01-20 | 2020-07-23 | Arilou Information Security Technologies Ltd. | System and method for data compression based on data position in frames structure |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114785534A (zh) * | 2022-01-06 | 2022-07-22 | 新华三技术有限公司 | 通信方法及装置 |
| CN114785534B (zh) * | 2022-01-06 | 2023-10-27 | 新华三技术有限公司 | 通信方法及装置 |
| CN115021939A (zh) * | 2022-06-30 | 2022-09-06 | 中国联合网络通信集团有限公司 | 身份认证方法、装置、设备及存储介质 |
| CN115021939B (zh) * | 2022-06-30 | 2024-04-09 | 中国联合网络通信集团有限公司 | 身份认证方法、装置、设备及存储介质 |
| CN117858088A (zh) * | 2023-12-29 | 2024-04-09 | 慧之安信息技术股份有限公司 | 一种面向自组网物联网设备的认证方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113438081B (zh) | 2022-05-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8176327B2 (en) | Authentication protocol | |
| CN111355713B (zh) | 一种代理访问方法、装置、代理网关及可读存储介质 | |
| US8590024B2 (en) | Method for generating digital fingerprint using pseudo random number code | |
| US20050188219A1 (en) | Method and a system for communication between a terminal and at least one communication equipment | |
| US20110219427A1 (en) | Smart Device User Authentication | |
| JP5739008B2 (ja) | 通信セッションを検証する方法、装置、およびシステム | |
| CN113438081B (zh) | 一种认证方法、装置及设备 | |
| CN103503408A (zh) | 用于提供访问凭证的系统和方法 | |
| CN101986598B (zh) | 认证方法、服务器及系统 | |
| CN111010363B (zh) | 信息认证方法及其系统、认证模块以及用户终端 | |
| US9680814B2 (en) | Method, device, and system for registering terminal application | |
| CN107113613A (zh) | 服务器、移动终端、网络实名认证系统及方法 | |
| EP1680940B1 (en) | Method of user authentication | |
| CN103444215A (zh) | 用于避免网络攻击的危害的方法和装置 | |
| CN110166471A (zh) | 一种Portal认证方法及装置 | |
| CN108123918A (zh) | 一种账户认证登录方法及装置 | |
| EP3079329B1 (en) | Terminal application registration method, device and system | |
| EP1919157A1 (en) | Authentication based on a single message | |
| Bolhuis | Using an NFC-equipped mobile phone as a token in physical access control | |
| CN115190483A (zh) | 一种访问网络的方法及装置 | |
| CN108574657A (zh) | 接入服务器的方法、装置、系统以及计算设备和服务器 | |
| CN113794729A (zh) | 针对avp设备的通信处理方法、装置、电子设备与介质 | |
| CN112084485A (zh) | 数据获取方法、装置、设备以及计算机存储介质 | |
| KR101331575B1 (ko) | 전화인증 우회 해킹 차단 방법 및 시스템 | |
| CN114697055B (zh) | 一种业务访问的方法、装置、设备及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |