CN116956262A - 一种统一认证授权方法、装置及介质 - Google Patents

一种统一认证授权方法、装置及介质 Download PDF

Info

Publication number
CN116956262A
CN116956262A CN202310906691.0A CN202310906691A CN116956262A CN 116956262 A CN116956262 A CN 116956262A CN 202310906691 A CN202310906691 A CN 202310906691A CN 116956262 A CN116956262 A CN 116956262A
Authority
CN
China
Prior art keywords
user equipment
information
application
authentication
authentication server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310906691.0A
Other languages
English (en)
Inventor
邱艳
王鸿
葛帅
肖尧
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Technology Innovation Center
China Telecom Corp Ltd
Original Assignee
China Telecom Technology Innovation Center
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Technology Innovation Center, China Telecom Corp Ltd filed Critical China Telecom Technology Innovation Center
Priority to CN202310906691.0A priority Critical patent/CN116956262A/zh
Publication of CN116956262A publication Critical patent/CN116956262A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本申请提供一种统一认证授权方法、装置及介质,以解决目前的单点登录技术安全性较低且存在安全隐患的问题。该方法中,认证服务器接收来自第一应用端的第一访问请求,该第一访问请求携带第一权限信息,该第一权限信息用于指示访问该第一应用端的用户设备已拥有除该第一应用端以外的一个或多个其他应用端的访问权限。认证服务器获取用户设备的用户标识,以及用户标识对应的历史的生物特征信息。认证服务器基于历史的生物特征信息确定用户设备的第一信任等级,该第一信任等级越高该用户设备的信任度越高。认证服务器基于第一信任等级,向第一应用端发送第一授权资源信息,该第一授权资源信息用于指示授权给用户设备的该第一应用端的资源。

Description

一种统一认证授权方法、装置及介质
技术领域
本申请涉及互联网技术领域,特别涉及一种统一认证授权方法、装置及介质。
背景技术
在当前的信息技术环境中,大多数信息系统往往相互独立。在用户想要使用多个应用程序时,需要进行多次登录。然而,这不仅需要用户记住每个应用程序的用户名和密码,而且多次登录的行为还存在一定的安全隐患。这是由于,用户名和密码通常通过明文传输,多次登录行为会增大用户名和密码被截获冒用的风险。
发明内容
本申请实施例提供一种统一认证授权方法、装置及介质,用以解决目前的单点登录技术安全性较低存在安全隐患的问题。
第一方面,本申请提供的一种统一认证授权方法包括:
认证服务器接收来自第一应用端的第一访问请求,所述第一访问请求携带第一权限信息,所述第一权限信息用于指示访问所述第一应用端的用户设备已拥有除所述第一应用端以外的一个或多个其他应用端的访问权限;
所述认证服务器获取所述用户设备的用户标识,以及所述用户标识对应的历史的生物特征信息,所述历史的生物特征信息是登录所述一个或多个其他应用端时所述用户设备发送的;
所述认证服务器基于所述历史的生物特征信息确定所述用户设备的第一信任等级,所述第一信任等级越高所述用户设备的信任度越高;
所述认证服务器基于所述第一信任等级,向所述第一应用端发送第一授权资源信息,所述第一授权资源信息用于指示授权给所述用户设备的所述第一应用端的资源。
上述方法,认证服务器可以根据第一权限信息确定用户设备已经登录一个或多个应用端,并且可以基于历史的生物特征信息确定用户设备的信任等级,由此,针对进行过登录行为的用户设备,能够根据已有数据判定用户设备的信任等级进而采取不同的措施,能够提高认证授权的安全性以及用户的使用感。
在一种可能的实现方式中,所述认证服务器获取所述用户设备的用户标识,以及所述用户标识对应的历史的生物特征信息,还包括:所述认证服务器获取以下中的一项或多项:所述用户设备的第一互联网协议地址(internet protocol address,IP地址)和所述用户设备的第一位置信息;所述认证服务器基于所述历史的生物特征信息确定所述第一信任等级,包括:基于所述第一IP地址和所述第一位置信息中的一项或多项,以及所述历史的生物特征信息确定所述第一信任等级。
上述方法,认证服务器可以基于用户设备的IP地址和用户设备的位置信息中的一项或多项,以及用户设备的历史的生物特征信息,确定用户设备的信任等级。由此,综合多项指标进行信任评级,能够提高用户设备的信任等级的可靠性。
在一种可能的实现方式中,所述认证服务器基于所述第一信任等级,向所述第一应用端发送第一授权资源信息,具体包括:所述认证服务器在所述第一信任等级大于或等于预设阈值且所述第一权限信息验证通过的情况下,向所述第一应用端发送第一授权资源信息;或者所述认证服务器在所述第一信任等级小于所述预设阈值的情况下,确定所述第一信任等级对应的第一认证方式;所述认证服务器基于所述第一认证方式确定所述用户设备认证通过的情况下,向所述第一应用端发送第一授权码;所述认证服务器接收来自所述第一应用端的第二授权码;所述认证服务器在所述第二授权码与所述第一授权码相同的情况下,向所述第一应用端发送所述第一授权资源信息。
上述方法,认证服务器可以向信任等级大于或等于预设阈值的用户设备发送授权资源信息以授权该用户设备的访问。并且,认证服务器可以针对信任等级小于预设阈值的用户设备进行二次认证,在二次认证通过的情况下使应用端以授权码的方式获取授权资源信息从而授权用户设备进行相应的访问。由此,能够对用户设备进行信任度的分级,并且基于信任度来决定是否进行二次认证。能够提高用户在使用时的便利性,并且进一步提高了安全性。
在一种可能的实现方式中,所述认证服务器向所述第一应用端发送第一授权码,还包括:所述认证服务器向所述第一应用端发送以下中的一项或多项:第一随机数和第一时间戳,所述第一随机数用于识别所述第一授权码的使用者,所述第一时间戳用于限定所述第一授权码的有效时间。
上述方法,能够利用随机数来加强二次认证的可靠性。并且,能够利用时间戳来保护认证服务器免受重放攻击。
在一种可能的实现方式中,还包括:所述认证服务器基于所述第一认证方式确定所述用户设备认证通过的情况下,所述认证服务器向所述用户设备发送第二权限信息,所述第二权限信息用于指示访问所述第一应用端的用户设备已拥有所述第一应用端的访问权限。
上述方法,在用户设备二次认证通过后,认证服务器可以向用户设备返回一个新的权限信息,提高该统一认证授权方法的安全性。
在一种可能的实现方式中,所述认证服务器接收来自第一应用端的第一访问请求之前,还包括:所述认证服务器接收来自第二应用端的第二访问请求;所述认证服务器在所述第二访问请求不携带所述第一权限信息的情况下,向所述用户设备发送登录请求,所述登录请求用于请求所述用户设备的生物特征信息;所述认证服务器基于所述生物特征信息确定所述用户设备的第二信任等级,所述第二信任等级越高所述用户设备的信任度越高;所述认证服务器在所述第二信任等级大于或等于所述预设阈值的情况下,向所述第二应用端发送第二授权资源信息,所述第二授权资源信息用于指示授权给所述用户设备的所述第二应用端的资源;所述认证服务器向所述用户设备发送所述第一权限信息。
上述方法,在用户设备不具备第二应用端的访问权限的情况下,认证服务器可以通过登录请求来请求所述用户设备的生物特征信息以确定用户设备的信任等级。在信任等级大于或等于预设阈值的情况下,认证服务器可以向第二应用端发送授权资源信息以指示要授权给用户设备的第二应用端的资源。由此,能够对未登录的信任等级高的用户设备进行快速的认证授权。提高了用户的使用感,保障了安全性。
在一种可能的实现方式中,所述登录请求用于请求所述用户设备的生物特征信息,还包括:所述登录请求用于请求以下中的一项或多项:所述用户设备的第二IP地址和所述用户设备的第二位置信息;所述认证服务器基于所述生物特征信息确定所述第二信任等级,包括:基于所述第二IP地址和所述第二位置信息中的一项或多项,以及所述生物特征信息确定所述第二信任等级。
上述方法,认证服务器可以通过登录请求来获取用户设备的IP地址和用户设备的位置信息中的一项或多项,以及用户设备的历史的生物特征信息,从而能够确定用户设备的信任等级。由此,综合多项指标进行信任评级,能够提高用户设备的信任等级的可靠性。
在一种可能的实现方式中,还包括:所述认证服务器在所述第二信任等级小于所述预设阈值的情况下,确定所述第二信任等级对应的第二认证方式;所述认证服务器基于所述第二认证方式确定所述用户设备认证通过的情况下,向所述第二应用端发送第三授权码;所述认证服务器接收来自所述第二应用端的第四授权码;所述认证服务器在所述第三授权码与所述第四授权码相同的情况下,向所述第二应用端发送所述第二授权资源信息。
上述方法,认证服务器可以针对未登录且信任等级低的用户设备进行二次认证,在二次认证通过的情况下使应用端以授权码的方式获取授权资源信息从而授权用户设备进行相应的访问。由此,能够通过对用户设备的分级来仅针对部分用户设备进行二次认证,能够在提升授权认证的安全性的同时提升用户的使用感。
在一种可能的实现方式中,所述认证服务器向所述第二应用端发送第三授权码,还包括:所述认证服务器向所述第二应用端发送以下中的一项或多项:第二随机数以及第二时间戳,所述第二随机数用于识别所述第三授权码的使用者,所述第二时间戳用于限定所述第三授权码的有效时间。
在一种可能的实现方式中,还包括:所述认证服务器向所述用户设备发送所述第一权限信息,所述第一权限信息用于指示所述用户设备已拥有所述第二应用端的访问权限。
上述方法,用户设备可以通过第一权限信息来在之后登录其他应用端时免去登录的操作。提高了用户的使用感。
第二方面,本申请提供一种通信装置,包括第一收发单元和第一处理单元;
其中,所述第一收发单元,用于接收来自第一应用端的第一访问请求,所述第一访问请求携带第一权限信息,所述第一权限信息用于指示访问所述第一应用端的用户设备已拥有除所述第一应用端以外的一个或多个其他应用端的访问权限;所述第一处理单元,用于获取所述用户设备的用户标识,以及所述用户标识对应的历史的生物特征信息,所述历史的生物特征信息是登录所述一个或多个其他应用端时所述用户设备发送的;所述第一处理单元,还用于基于所述历史的生物特征信息确定所述用户设备的第一信任等级,所述第一信任等级越高所述用户设备的信任度越高;所述第一处理单元,还用于生成第一授权资源信息,所述第一授权资源信息用于指示授权给所述用户设备的所述第一应用端的资源;所述第一收发单元,还用于向所述第一应用端发送所述第一授权资源信息。
第三方面,本申请提供一种通信装置,包括:处理器、存储器和收发机;
其中,所述处理器,用于读取所述存储器中的程序并执行上述第一方面的任一种可能的实现方式中认证服务器所执行的方法。
第四方面,本申请还提供一种计算机可存储介质,其上存储有计算机程序,该程序被处理器执行时实现第一方面中任一方面所述方法的步骤。
另外,第二方面至第四方面中任一种实现方式所带来的技术效果可参见第一方面中不同实现方式所带来的技术效果,此处不再赘述。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本申请实施例的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种通信系统的示意图。
图2为目前常用的身份认证流程示意图;
图3为本申请实施例提供的一种统一认证授权方法的示例性流程图;
图4为本申请实施例提供的又一种统一认证授权方法的示例性流程图;
图5为本申请实施例提供的又一种统一认证授权方法的示例性流程图;
图6为本申请实施例提供的又一种统一认证授权方法的示例性流程图;
图7为本申请实施例提供的一种通信装置的结构示意图;
图8为本申请实施例提供的又一种通信装置的结构示意图。
具体实施方式
为了使本申请实施例的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施例作进一步地详细描述,显然,所描述的实施例仅仅是本申请实施例一部份实施例,而不是全部的实施例。基于本申请实施例中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请实施例保护的范围。
下面对文中出现的一些词语进行解释:
(1)本申请实施例中术语“多个”是指两个或两个以上,其它量词与之类似。
本申请实施例提供的统一认证授权方法,针对现有的基于开放授权2.0(OpenAuthentication 2.0,OAuth 2.0)的身份鉴权在用户登录认证及数据传输过程存在的问题,将用户设备的登录行为与机器学习结合来进行动态信任评估,采用二次认证来提高身份认证的安全性。而且,在数据传输过程中,对数据进行加密,同时引入时间戳、随机数,以确保数据来源的合法性和传输过程的安全性。本申请实施例提供的统一认证授权方法,可以应用于长期演进系统(long term evolution system,LTE)、第五代移动通信系统(5thgerneration,5G),以及下一代通信系统,如6G等。参阅图1,提供了本申请实施例使用的通信系统。该通信系统包括用户设备、应用端和认证服务器。
其中,所述用户设备,是一种具有无线通信功能的设备,可以部署在陆地上,包括室内或室外、手持或车载;也可以部署在水面上(如轮船等);还可以部署在空中(例如飞机和气球上等)。所述用户设备可以是手机(mobile phone)、平板电脑(pad)、带无线收发功能的电脑、虚拟现实(virtual reality,VR)终端设备、增强现实(augmented reality,AR)终端设备、工业控制(industrial control)中的无线终端设备、远程医疗(remote medical)中的无线终端设备、智能电网(smart grid)中的无线终端设备、运输安全(transportationsafety)中的无线终端设备、智慧城市(smart city)中的无线终端设备、智慧家庭(smarthome)中的无线终端设备等;还可以是各种形式的用户设备(user equipement,UE),移动台(mobile station,MS)。
所述应用端,是一种应用程序。可以向用户设备提供资源信息。下文中以应用端为第一应用端、第二应用端为例进行说明。
所述认证服务器是支持单点登录的服务器,其能够对不同应用端的用户身份信息的认证方式进行统一管理,用于提供用户注册,用户认证,令牌(token)分发、验证、刷新等功能。能够支持单点登录的技术例如有OAuth 2.0,安全断言标记语言(securityassertion markup language,SMAL),中央认证服务(central authentication service,CAS)等。在本申请实施例中,采用的是OAuth2.0技术。
OAuth 2.0作为一种现有的统一认证授权框架,允许第三方应用程序通过协调资源所有者和超文本传输协议(hyper text transfer protocol,HTTP)服务之间的审批交互,或者允许第三方应用程序自己获得访问权限,从而获得对HTTP服务的有限访问。在OAuth 2.0中,客户端请求由资源所有者托管在资源服务器上的受控资源,并且发行了一套与资源所有者不同的凭证。而不是使用资源所有者的凭证来访问受保护的资源,客户端获得一个访问字符串令牌(字符串中记录令牌的特定范围、生存期限和其他访问属性)。访问令牌由资源所有者批准颁发。客户端使用访问令牌去访问由资源服务器承载的受保护资源。另外,OAuth 2.0包含授权码(authorization code)方式,指的是第三方应用程序先申请一个授权码,然后再用该授权码获取令牌。该授权码模式是当前最常用的流程,相对来说,其安全性也最高。OAuth 2.0适用于有后端的Web应用,授权码通过前端传送,令牌则是储存在后端,而且所有与资源服务器的通信都在后端完成。这样的前后端分离,可以避免令牌泄漏。下文中以认证服务器为统一认证授权服务器为例进行说明。
目前常用的身份认证流程如图2所示。首先,用户设备对资源进行访问。然后,用户设备通过用户名和密码进行登录。接着,应用端向认证服务器请求授权用户设备访问系统资源。然后,由认证服务器对用户设备进行授权。最后,用户设备的授权通过,获得访问权限从而能够访问系统资源。
在该流程中,认证服务器基于用户设备输入的用户名和密码来进行认证。该方式能够对用户名所对应的账号的合法性进行认证,但在用户名和密码被截获冒用的情况下,认证服务器并不能识别出使用该账号进行登录的用户是非法的。
鉴于此,本申请实施例提供一种统一认证授权方法,将统一认证授权框架与基于机器学习的动态信任评估相结合,对请求访问资源的用户验证合法性。该方法中,统一认证授权服务器可以基于用户设备发送的生物特征信息等确定用户设备的信任等级。统一认证授权服务器可以根据信任等级确定是否对用户设备进行认证,并且可以基于信任等级确定该认证的方式。统一认证授权服务器可以基于用户设备的认证通过来向用户设备授权访问资源。因此,在传统的验证用户名和密码的方式的基础上,能够进一步结合用户设备的特征性的信息来对用户设备的信任度进行评估以决定是否对该用户设备再一次进行认证,由此提高统一认证授权过程的可靠性和安全性。
在本申请实施例中,用户设备在登录应用端时,若用户设备登录过该统一认证授权框架下的除该应用端以外的一个或多个应用端,则用户设备向该应用端发送的资源访问请求信息中携带权限信息。反之,则不携带权限信息。该权限信息用于指示访问该应用端的用户设备已拥有该统一认证授权框架下的除该应用端以外的一个或多个其他应用端的访问权限。另外,统一认证授权服务器在获取到用户设备的标识及用户设备的标识对应的生物特征信息或者历史的生物特征信息的情况下,确定用户设备的信任等级,以决定是否对该用户设备进行二次认证。
在本申请实施例中,用户设备在登录应用端时,可能第一次登录应用端,也可能已经登录过同一OAuth2.0框架下的其他应用端。因此,分为用户设备已经登录过其他应用端以及用户设备没有登录过其他应用端的两种情况进行说明。另外,无论用户设备是否登录过应用端,统一认证授权服务器都需对用户设备进行评估以确定是否需要进行二次认证。鉴于此,本申请实施例分为以下四种情况来进行说明:1)用户设备已经登录过其他应用端,且不需要进行二次认证;2)用户设备已经登录过其他应用端,需要进行二次认证;3)用户设备没有登录过其他应用端,且不需要进行二次认证;4)用户设备没有登录过其他应用端,需要进行二次认证。
下面,通过情况一介绍用户设备在已经登录过除第一应用端以外的一个或多个应用端的情况下登录第一应用端,并且在动态信任评估中被判定为无需二次认证的情况下的统一认证授权方法。
情况一:参阅图3,为本申请实施例提供的一种统一认证授权方法的示例性流程图,可以包括以下操作。
S101:用户设备向第一应用端发送资源访问请求。
相应的,第一应用端接收资源访问请求。
其中,资源访问请求可以携带第一权限信息,该第一权限信息用于指示访问第一应用端的用户设备已拥有除第一应用端以外的一个或多个其他应用端的访问权限。
在一个示例中,资源访问请求可以携带票据信息,该票据信息中包含第一权限信息,该票据信息可以是用户设备登录除第一应用端以外的一个或多个应用端时获取到的信息。在一种可能的实现方式中,票据信息可以是一种加密的令牌或者令牌字符串。该加密的算法可以是对称密码算法(symmetric-key algorithm),如DES算法、3DES算法、AES或者PBE,也可以是非对称密码算法(asymmetric-key algorithm),如RSA算法、DSA算法或者ECC算法。本申请不做具体限定。在该票据信息中,可以包含用户设备的ID、用户设备的访问权限等。可选的,票据信息可以携带用于限定有效时间的信息。
S102:第一应用端向统一认证授权服务器发送第一访问请求。
相应的,统一认证授权服务器接收第一访问请求。
其中,第一访问请求可以携带上述第一权限信息。
S103:统一认证授权服务器获取用户设备的用户标识及用户标识对应的历史的生物特征信息。
在一个示例中,若统一认证授权服务器接收到上述第一访问请求,则可以获取该第一访问请求中携带的第一权限信息所对应的用户设备的用户标识,并且可以基于该用户标识获取对应的历史的生物特征信息。在一种可能的实现方式中,统一认证授权服务器可以具有数据库,该数据库用于保存用户设备的历史的行为信息,该历史的行为信息可以包含历史的生物特征信息,该历史的生物特征信息是登录除该第一应用端以外的一个或多个其他应用端时该用户设备发送的。可选的,生物特征信息可以是指纹信息、面部信息、声纹信息等,本申请不做具体限定。
在一个示例中,历史的行为信息还可以包含历史的IP地址及历史的位置信息。可选的,统一认证授权服务器可以基于用户标识从该数据库中获取对应的第一IP地址及第一位置信息。
S104:统一认证授权服务器确定用户设备的第一信任等级。
在一个示例中,统一认证授权服务器可以具有动态信任评估模块。该动态信任评估模块可以是已经训练好的模型。例如,该动态信任评估模块可以通过机器学习算法、卷积神经网络等方式训练好的模型。举例来说,该动态信任评估模块可以包含特征抽取层、特征处理层、动态信任评估层、二次认证层以及记录层。其中,特征抽取层可以基于来自用户设备的行为信息等获取用户设备的特征,行为信息可以包含生物特征信息、IP地址以及位置信息等。特征处理层可以对在特征抽取层中获取到的用户设备的特征进行处理,如将获取到的用户设备的特征结合数据库中保存的用户设备的历史的特征,并将处理后的特征数据作为动态信任评估层的输入。动态信任评估层可以存储已经训练完成的机器学习模型。动态信任评估层可以将特征数据输入该机器信息模型进行预测,并输出预测结果。该预测结果可以作为用户设备的第一信任等级。已经训练完成的机器学习模型可以是随机森林模型、神经网络模型、聚类模型、降维模型等。本申请不做具体限定。二次认证层可以在用户设备的信任等级小于预设阈值时进行二次认证。具体地说,二次认证层可以在用户设备的信任等级小于预设阈值时,根据用户设备的信任等级,随机选择一种认证方式并获取认证结果。记录层可以将用户设备每次发送资源访问请求时在二次认证层中得到的认证结果保存在数据库中。
在一个示例中,统一认证授权服务器可以将在S103中获取到的用户设备的历史的行为信息作为动态信任评估层的输入,将动态信任评估层输出的预测结果作为第一信任等级。可选的,统一认证授权服务器也可以将在S103中获取到的用户设备的历史的行为信息以及记录层中保存的用户设备的历史的认证结果作为动态信任评估层的输入。
在一种可能的实现方式中,动态信任评估层的输出可以是1比特信息。例如,在1比特信息取值为“0”时,指示用户设备的信任等级低,在1比特信息取值为“1”时,指示用户设备的信任等级高。反之亦可,在1比特信息取值为“0”时,指示用户设备的信任等级高,在1比特信息取值为“1”时,指示用户设备的信任等级低。或者,动态信任评估层的输出可以是数值。例如,在动态信任评估层输出“1”时,指示用户设备的信任等级为1级,在动态信任评估层输出“2”时,指示用户设备的信任等级为2级…在动态信任评估层输出“n”时,指示用户设备的信任等级为n级。其中,用户设备的信任度按第一信任等级1~n的顺序逐渐升高。关于第一信任等级的级数、各级与信任度的大小对应关系,本申请不做具体限定。
S105:统一认证授权服务器确定第一信任等级大于或等于预设阈值。
在一种可能的实现方式中,统一认证授权服务器可以预先针对第一信任等级设定阈值。在一个示例中,第一信任等级的级数为1~n,阈值设定为4。若第一信任等级的级数a(a为大于0且小于或等于n的整数)大于或等于4,则统一认证授权服务器可以确定用户设备的第一信任等级大于或等于预设阈值。
S106:统一认证授权服务器向第一应用端发送第一授权资源信息。
相应的,第一应用端接收第一授权资源信息,该第一授权资源信息用于指示授权给用户设备的该第一应用端的资源。可选的,第一授权资源信息可以是令牌(token)。
可选的,统一认证授权服务器可以向第一应用端发送限定该第一授权资源信息的有效时间的信息。
S107:第一应用端授权用户设备访问相关资源。
在一个示例中,第一应用端可以基于第一授权资源信息,获取第一用户资源信息,该第一用户资源信息用于指示第一应用端的可以开放给用户设备的资源,从而允许用户设备访问与该第一用户资源信息对应的资源。在一种可能的实现方式中,第一授权资源信息可以是加密的信息,第一应用端可以通过解密第一授权资源信息获取第一用户资源信息。加密算法的具体描述可以参照S101中的相关说明。解密算法可以是能够适用于该加密算法的算法。在一个示例中,允许用户设备访问与该第一用户资源信息对应的资源可以是允许用户设备查看、复制或者修改由第一应用端管理的资源。在一个示例中,资源是指代码使用的附加文件和静态内容,例如位图、布局定义、界面字符串、动画说明等。
上述情况一中介绍了用户设备在已经登录过除第一应用端以外的一个或多个应用端的情况下登录第一应用端,并且在动态信任评估中被判定为无需二次认证的情况下的统一认证授权方法。
下面,通过情况二介绍用户设备在已经登录过除第一应用端以外的一个或多个应用端的情况下登录第一应用端,并且在动态信任评估中被判定为需要二次认证的情况下的统一认证授权方法。
情况二:参阅图4,为本申请实施例提供的一种统一认证授权方法的示例性流程图,可以包括以下操作。
S201:用户设备向第一应用端发送资源访问请求。
S201可以参照S101实施,此处不再赘述。
S202:第一应用端向统一认证授权服务器发送第一访问请求。
相应的,统一认证授权服务器接收第一访问请求。
其中,第一访问请求可以携带上述第一权限信息。
S203:统一认证授权服务器获取用户设备的用户标识及用户标识对应的历史的生物特征信息。
S203可以参照S103实施,此处不再赘述。
S204:统一认证授权服务器确定用户设备的第一信任等级。
S204可以参照S104实施,此处不再赘述。
S205:统一认证授权服务器确定第一信任等级小于预设阈值。
在一种可能的实现方式中,统一认证授权服务器可以预先针对第一信任等级设定阈值。在一个示例中,第一信任等级的级数为1~n,阈值设定为4。若第一信任等级的级数a(a为大于0且小于或等于n的整数)小于4,则统一认证授权服务器可以确定用户设备的第一信任等级小于预设阈值。
S206:统一认证授权服务器确定第一认证方式。
在一个示例中,第一信任等级的小于预设阈值的各级可以分别与至少一个认证方式对应。举例来说,预设阈值设定为4,则信任等级1、信任等级2以及信任等级3小于预设阈值,因此,示例性的信任等级3对应的第一认证方式是短信认证方式和邮箱认证方式,信任等级4对应的第一认证方式是指纹认证方式、声纹认证方式以及面部认证方式,信任等级5对应的第一认证方式是人脸表情认证方式和动态手势认证方式。统一认证授权服务器可以基于已确定的第一信任等级的级数,随机从该级数对应的可选择的认证方式中选择一种认证方式。本申请不对各级对应的认证方式做具体限定,只要信任度越低的信任等级所对应的认证方式的可靠度越高即可。
S207:统一认证授权服务器向用户设备发送认证请求。
相应的,用户设备接收认证请求,该认证请求用于请求用户设备的认证信息。其中,认证请求是与统一认证授权服务器基于第一信任等级确定出的第一认证方式相应的请求。
S208:用户设备向统一认证授权服务器发送认证响应。
相应的,统一认证授权服务器接收认证响应,该认证响应可以携带用户设备的认证信息。在一种可能的实现方式中,统一认证授权服务器可以具有数据库,该数据库可以保存用于对用户设备的认证信息进行判定的信息。统一认证授权服务器可以基于该判定信息,确定用户设备的认证通过。
S209:统一认证授权服务器判定用户设备的认证通过。
在一种可能的实现方式中,统一认证授权服务器可以将接收到的用户设备的认证信息与数据库中保存的判定信息进行比较,在一致的情况下,判定用户设备的认证通过。
S210:统一认证授权服务器向用户设备发送第二权限信息。
相应的,用户设备接收第二权限信息。其中,该第二权限信息用于指示访问第一应用端的用户设备已拥有该第一应用端的访问权限。
在一个示例中,统一认证授权服务器可以向用户设备发送票据信息,该票据信息可以包含第二权限信息。在一种可能的实现方式中,票据信息可以是被统一认证授权服务器加密的信息。在一个示例中,票据信息可以是一种加密的令牌或者令牌字符串。在该票据信息中,可以包含用户设备的ID、用户设备的访问权限等。加密算法的具体描述可以参照S101中相关的说明。可选的,票据信息可以携带用于限定有效时间的信息。
S211:统一认证授权服务器向第一应用端发送第一授权码。
相应的,第一应用端接收第一授权码。
在一个示例中,该第一授权码(code)可以是由统一认证授权服务器生成的。在一种可能的实现方式中,第一授权码可以是被统一认证授权服务器加密的授权码。加密算法的具体描述可以参照S101中相关的说明。在一种可能的实现方式中,统一认证授权服务器可以在向第一应用端发送的重定向地址后附加第一授权码,从而第一应用端获取该第一授权码。
可选的,统一认证授权服务器还向第一应用端发送第一随机数和第一时间戳,第一随机数用于识别第一授权码的使用者,第一时间戳用于限定第一授权码的有效时间。在一种可能的实现方式中,时间戳的有效时间设定为10分钟。第一随机数可以是一个随机的参数。
S212:第一应用端向统一认证授权服务器发送第二授权码。
相应的,统一认证授权服务器接收第二授权码。
在一种可能的实现方式中,第二授权码可以是第一应用端对接收到的第一授权码进行解密所得到的授权码。解密算法可以是能够适用于S211中的加密算法的解密算法。本申请不做具体限定。
在一种可能的实现方式中,第一应用端可以在向统一认证授权服务器发送的令牌请求中携带第二授权码,令牌请求用于获取第一授权资源信息。
在一种可能的实现方式中,若在S211中统一认证授权服务器向第一应用端发送了第一随机数,则在S212中第一应用端需要在向统一认证授权服务器发送第二授权码的同时向统一认证授权服务器发送第一验证随机数,统一认证授权服务器可以通过比较该第一验证随机数与第一随机数来判定是否向第一应用端发送第一授权资源信息。
S213:统一认证授权服务器判定第一授权码与第二授权码相同。
在一个示例中,统一认证授权服务器将第一授权码与从第一应用端接收的第二授权码进行比较,在第二授权码与第一授权码相同的情况下,向第一应用端发送第一授权资源信息,该第一授权资源信息的具体描述可以参照S106中相关的说明。
在一种可能的实现方式中,统一认证授权服务器还将向第一应用端发送的第一随机数与从第一应用端接收到的第一验证随机数进行比较,在第一随机数与第一验证随机数相同且在第一时间戳限定的有效时间内的情况下,向第一应用端发送第一授权资源信息。
S214:统一认证授权服务器向第一应用端发送第一授权资源信息。
相应的,第一应用端接收第一授权资源信息。
S214可以参照S106实施,此处不再赘述。
S215:第一应用端授权用户设备访问相关资源。
S215可以参照S107实施,此处不再赘述。
上述情况二中介绍了用户设备在已经登录过除第一应用端以外的一个或多个应用端的情况下登录第一应用端,并且在动态信任评估中被判定为需要二次认证的情况下的统一认证授权方法。
下面,通过情况三介绍用户设备在没有登录过除第二应用端以外的其他应用端的情况下登录第二应用端,并且在动态信任评估中被判定为无需二次认证的情况下的统一认证授权方法。
情况三:参阅图5,为本申请实施例提供的一种统一认证授权方法的示例性流程图,可以包括以下操作。
S301:用户设备向第二应用端发送资源访问请求。
相应的,第二应用端接收资源访问请求。
在该情况三中,由于用户设备没有登录过除第二应用端外的其他应用端,因此该资源访问请求不携带权限信息,该权限信息用于指示访问某一应用端的用户设备已拥有除该应用端以外的一个或多个其他应用端的访问权限。权限信息的具体描述可以参照S101中关于第一权限信息的说明。
S302:第二应用端向统一认证授权服务器发送第二访问请求。
相应的,统一认证授权服务器接收第二访问请求。如S301中所述,该第二访问请求不携带权限信息。
S303:统一认证授权服务器向用户设备发送登录请求。
相应的,用户设备接收登录请求。
在一种可能的实现方式中,用户设备接收登录请求后,可以在显示界面弹出登录认证页面。或者,用户设备可以在显示界面弹出登录认证的图标,在用户点击该图标后,用户设备可以在显示界面显示登录认证页面。其中,该登录请求用于请求用户设备的生物特征信息。生物特征信息可以是指纹信息、面部信息、声纹信息等,本申请不做具体限定。可选的,登录请求也可以用于请求用户设备的IP地址和位置信息。
需要说明的是,本申请实施例中不对用户设备显示登录认证页面的方式进行具体限定,上述两种方式仅作为示例性示出。
S304:用户设备向统一认证授权服务器发送生物特征信息。
相应的,统一认证授权服务器接收生物特征信息。在一个示例中,用户设备向统一认证授权服务器发送登录响应,该登录响应携带用户设备的生物特征信息。可选的,登录响应也可以携带用户设备的IP地址和位置信息。
在一种可能的实现方式中,用户设备可以通过在登录认证页面提交登录信息来向统一认证授权服务器发送登录响应。该登录信息可以包含用户设备的生物特征信息、IP地址和位置信息。
在一种可能的实现方式中,统一认证授权服务器可以具有数据库,该数据库的具体描述可以参照S103中相关的说明。统一认证授权服务器可以将接收到的登录响应中携带的用户设备的生物特征信息、IP地址和位置信息保存在该数据库中作为用户设备的历史的行为信息。
S305:统一认证授权服务器确定用户设备的第二信任等级。
在一个示例中,统一认证授权服务器可以具有动态信任评估模块。该动态信任评估模块的具体描述可以参照S104中相关的说明。
在一种可能的实现方式中,统一认证授权服务器可以通过动态信任评估模块中的特征抽取层针对来自用户设备的登录响应提取用户设备的特征,登录响应可以包含用户设备的生物特征信息、IP地址以及位置信息等。可选的,统一认证授权服务器还可以通过动态信任评估模块中的特征处理层对所提取出的用户设备的特征进行处理,例如将在特征抽取层中获取的用户设备的特征结合数据库中保存的用户设备的历史的特征从而得到处理后的特征数据。统一认证授权服务器可以将结合后的特征数据作为动态信任评估层的输入,将动态信任评估层输出的预测结果作为第二信任等级。可选的,统一认证授权服务器也可以将结合后的特征数据以及记录层中保存的用户设备的历史的认证结果作为动态信任评估层的输入。第二信任等级的具体描述参照S104中第一信任等级相关的说明。
S306:统一认证授权服务器确定第二信任等级大于或等于预设阈值。
S306可以参照S105实施,此处不再赘述。
S307:统一认证授权服务器向用户设备发送第一权限信息。
相应的,用户设备接收第一权限信息。
其中,该第一权限信息的具体描述可以参照S101中相关的说明。
S308:统一认证授权服务器向第二应用端发送第二授权资源信息。
相应的,第二应用端接收第二授权资源信息,该第二授权资源信息用于指示授权给用户设备的第二应用端的资源。可选的,第二授权资源信息可以是令牌(token)。
可选的,统一认证授权服务器可以向第二应用端发送限定该第二授权资源信息的有效时间的信息。
S308:第二应用端授权用户设备访问相关资源。
在一个示例中,第二应用端可以基于第二授权资源信息,获取第二用户资源信息,该第二用户资源信息用于指示第二应用端的可以开放给用户设备的资源,从而允许用户设备访问与该第二用户资源信息对应的资源。在一种可能的实现方式中,第二授权资源信息可以是加密的信息,第二应用端可以通过解密第二授权资源信息获取第二用户资源信息。加密算法的具体描述可以参照S101中的相关说明。解密算法可以是能够适用于该加密算法的算法。在一个示例中,允许用户设备访问与该第二用户资源信息对应的资源可以是允许用户设备查看、复制或者修改由第二应用端管理的资源。在一个示例中,资源是指代码使用的附加文件和静态内容,例如位图、布局定义、界面字符串、动画说明等。
上述情况三中介绍了用户设备在没有登录过除第二应用端以外的其他应用端的情况下登录第二应用端,并且在动态信任评估中被判定为无需二次认证的情况下的统一认证授权方法。
下面,通过情况四介绍用户设备在没有登录过除第二应用端以外的其他应用端的情况下登录第二应用端,并且在动态信任评估中被判定为需要二次认证的情况下的统一认证授权方法。
情况四:参阅图6,为本申请实施例提供的一种统一认证授权方法的示例性流程图,可以包括以下操作。
S401:用户设备向第二应用端发送资源访问请求。
相应的,第二应用端接收资源访问请求。
在该情况四中,由于用户设备没有登录过除第二应用端外的其他应用端,因此该资源访问请求不携带权限信息,该权限信息用于指示访问某一应用端的用户设备已拥有除该应用端以外的一个或多个其他应用端的访问权限。权限信息的具体描述可以参照S101中关于第一权限信息的说明。
S402:第二应用端向统一认证授权服务器发送第二访问请求。
相应的,统一认证授权服务器接收第二访问请求。如S401中所述,该第二访问请求不携带第一权限信息。
S403:统一认证授权服务器向用户设备发送登录请求。
相应的,用户设备接收登录请求。
S403可以参照S303实施,此处不再赘述。
S404:用户设备向统一认证授权服务器发送生物特征信息。
相应的,统一认证授权服务器接收生物特征信息。
S404可以参照S304实施,此处不再赘述。
S405:统一认证授权服务器确定用户设备的第二信任等级。
S405可以参照S305实施,此处不再赘述。
S406:统一认证授权服务器确定第二信任等级小于预设阈值。
S406可以参照S205实施,此时第二信任等级可以看做是第一信任等级,此处不再赘述。
S407:统一认证授权服务器确定第二认证方式。
S407可以参照S206实施,此时第二认证方式可以看做是第一认证方式,此处不再赘述。
S408~S410可以参照S207~S209实施。
S411:统一认证授权服务器向用户设备发送第一权限信息。
S411可以按照S307实施,此处不再赘述。
其中,该第一权限信息的具体描述可以参照S101中相关的说明。
S412:统一认证授权服务器向第二应用端发送第三授权码。
相应的,第二应用端接收第三授权码。
在一个示例中,该第三授权码(code)可以是由统一认证授权服务器生成的。在一种可能的实现方式中,第三授权码可以是被统一认证授权服务器加密的数据。加密算法的具体描述可以参照S101中相关的说明。在一种可能的实现方式中,统一认证授权服务器可以在向第二应用端发送的重定向地址后附加第三授权码,从而第二应用端获取该第三授权码。
可选的,统一认证授权服务器还向第二应用端发送第二随机数和第二时间戳,第二随机数用于识别第三授权码的使用者,第二时间戳用于限定第三授权码的有效时间。在一种可能的实现方式中,时间戳的有效时间设定为10分钟。第二随机数可以是一个随机的参数。
S413:第二应用端向统一认证授权服务器发送第四授权码。
相应的,统一认证授权服务器接收第四授权码。
在一种可能的实现方式中,第四授权码可以是第二应用端对接收到的第三授权码进行解密所得到的授权码。解密算法可以是能够适用于S412中的加密算法的解密算法。本申请不做具体限定。
在一种可能的实现方式中,第二应用端可以在向统一认证授权服务器发送的令牌请求中携带第四授权码,令牌请求用于获取第一授权资源信息。
在一种可能的实现方式中,若在S412中统一认证授权服务器向第二应用端发送了第二随机数,则在S413中第二应用端需要在向统一认证授权服务器发送第四授权码的同时向统一认证授权服务器发送第二验证随机数,统一认证授权服务器可以通过比较该第二验证随机数与第二随机数来判定是否向第二应用端发送第二授权资源信息。
S414:统一认证授权服务器判定第三授权码与第四授权码相同。
在一个示例中,统一认证授权服务器将第三授权码与从第二应用端接收的第四授权码进行比较,在第三授权码与第四授权码相同的情况下,向第二应用端发送第二授权资源信息,该第二授权资源信息的具体描述可以参照S308中相关的说明。
在一种可能的实现方式中,统一认证授权服务器还将向第二应用端发送的第二随机数与从第二应用端接收到的第二验证随机数进行比较,在第二随机数与第二验证随机数相同且在第二时间戳限定的有效时间内的情况下,向第二应用端发送第二授权资源信息。
S415:统一认证授权服务器向第二应用端发送第二授权资源信息。
相应的,第二应用端接收第二授权资源信息。
可选的,统一认证授权服务器可以向第二应用端发送限定该第二授权资源信息的有效时间的信息。
S416:第二应用端授权用户设备访问相关资源。
在一个示例中,第二应用端可以基于第二授权资源信息,获取第二用户资源信息,该第二用户资源信息用于指示第二应用端的可以开放给用户设备的资源,从而允许用户设备访问与该第二用户资源信息对应的资源。在一种可能的实现方式中,第二授权资源信息可以是加密的信息,第二应用端可以通过解密第二授权资源信息获取第二用户资源信息。加密算法的具体描述可以参照S101中的相关说明。解密算法可以是能够适用于该加密算法的算法。在一个示例中,允许用户设备访问与该第二用户资源信息对应的资源可以是允许用户设备查看、复制或者修改由第二应用端管理的资源。在一个示例中,资源是指代码使用的附加文件和静态内容,例如位图、布局定义、界面字符串、动画说明等。
参阅图7,为本申请实施例提供的通信装置的结构示意图,该通信装置可以执行上述方法实施例中终端设备所执行的操作。通信装置包括:收发单元100和处理单元101。其中,收发单元100,用于接收来自第一应用端的第一访问请求,第一访问可以请求携带第一权限信息,该第一权限信息的具体描述可以参照图3相关的说明。处理单元101,用于获取用户设备的用户标识,以及用户标识对应的历史的生物特征信息,该历史的生物特征信息的具体描述可以参照图3相关的说明;处理单元101,还用于基于历史的生物特征信息确定用户设备的第一信任等级,该第一信任等级的具体描述可以参照图3相关的说明;处理单元101,还用于生成第一授权资源信息,该第一授权资源信息的具体描述可以参照图3相关的说明;收发单元100,还用于向第一应用端发送第一授权资源信息。
可选的,处理单元101,还用于获取以下中的一项或多项:用户设备的第一IP地址和用户设备的第一位置信息。处理单元101,还用于基于第一IP地址和第一位置信息中的一项或多项,以及历史的生物特征信息确定第一信任等级。
可选的,处理单元101,具体用于确定第一信任等级大于或等于预设阈值且第一权限信息验证通过。收发单元100,具体用于在第一信任等级大于或等于预设阈值且第一权限信息验证通过的情况下,向第一应用端发送第一授权资源信息。或者,处理单元101,具体用于在第一信任等级小于预设阈值的情况下,确定第一信任等级对应的第一认证方式。处理单元101,具体用于基于第一认证方式确定用户设备认证通过。收发单元100,具体用于基于第一认证方式确定用户设备认证通过的情况下,向第一应用端发送第一授权码。收发单元100,具体用于接收来自第一应用端的第二授权码。处理单元101,具体用于确定第二授权码与第一授权码相同。收发单元100,具体用于在第二授权码与第一授权码相同的情况下,向第一应用端发送第一授权资源信息。
可选的,收发单元100,还用于向第一应用端发送以下中的一项或多项:第一随机数和第一时间戳,该第一随机数的具体描述可以参照图4相关的说明,该第一时间戳的具体描述可以参照图4相关的说明。
可选的,处理单元101,还用于基于所述第一认证方式确定所述用户设备认证通过。收发单元100,还用于在基于所述第一认证方式确定所述用户设备认证通过的情况下,向用户设备发送第二权限信息,该第二权限信息的具体描述可以参照图4相关的说明。
可选的,收发单元100,还用于接收来自第二应用端的第二访问请求。处理单元101,还用于确定第二访问请求不携带第一权限信息。收发单元100,还用于在第二访问请求不携带第一权限信息的情况下,向用户设备发送登录请求,该登录请求的具体描述可以参照图5相关的说明。处理单元101,还用于基于生物特征信息确定用户设备的第二信任等级,该第二信任等级的具体描述可以参照图5相关的说明。处理单元101,还用于确定第二信任等级大于或等于预设阈值。收发单元100,还用于在第二信任等级大于或等于预设阈值的情况下,向第二应用端发送第二授权资源信息,该第二授权资源信息的具体描述可以参照图5相关的说明。收发单元100,还用于向用户设备发送第一权限信息。
可选的,收发单元100,还用于请求以下中的一项或多项:用户设备的第二IP地址和用户设备的第二位置信息。处理单元101,还用于基于第二IP地址和第二位置信息中的一项或多项,以及生物特征信息确定第二信任等级。
可选的,处理单元101,还用于确定第二信任等级小于预设阈值。收发单元100,还用于在第二信任等级小于预设阈值的情况下,确定第二信任等级对应的第二认证方式。处理单元101,还用于基于第二认证方式确定用户设备认证通过。收发单元100,还用于基于第二认证方式确定用户设备认证通过的情况下,向第二应用端发送第三授权码,该第三授权码的具体描述可以参照图6相关的说明。收发单元100,还用于接收来自第二应用端的第四授权码,该第四授权码的具体描述可以参照图6相关的说明。处理单元101,还用于确定第三授权码与第四授权码相同。收发单元100,还用于在第三授权码与第四授权码相同的情况下,向第二应用端发送第二授权资源信息。
可选的,收发单元100,还用于向第二应用端发送以下中的一项或多项:第二随机数以及第二时间戳,该第二随机数的具体描述可以参照图6相关的说明,该第二时间戳的具体描述可以参照图6相关的说明。
可选的,收发单元100,还用于向用户设备发送第一权限信息。
参阅图8,为本申请实施例提供的又一种通信装置的结构示意图,包括:处理器200、存储器201和收发机202,可选的,还包括总线接口;
其中,处理器200用于读取存储器201中的程序,并执行上述统一认证授权服务器所执行的方法。存储器201可以存储处理器200在执行操作时所使用的数据。收发机202用于在处理器200的控制下接收和发送数据。
总线架构可以包括任意数量的互联的总线和桥,具体由处理器200代表的一个或多个处理器和存储器201代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。处理器200负责管理总线架构和通常的处理,存储器201可以存储处理器200在执行操作时所使用的数据。
本申请实施例揭示的流程,可以应用于处理器200中,或者由处理器200实现。在实现过程中,处理流程的各步骤可以通过处理器200中的硬件的集成逻辑电路或者软件形式的指令完成。处理器200可以是通用处理器、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器201,处理器200读取存储器201中的信息,结合其硬件完成信号处理流程的步骤。
还可以用硬件和/或软件(包括固件、驻留软件、微码等)来实施本申请。更进一步地,本申请可以采取计算机可使用或计算机可读存储介质上的计算机程序产品的形式,其具有在介质中实现的计算机可使用或计算机可读程序代码,以由指令执行系统来使用或结合指令执行系统而使用。在本申请上下文中,计算机可使用或计算机可读介质可以是任意介质,其可以包含、存储、通信、传输、或传送程序,以由指令执行系统、装置或设备使用,或结合指令执行系统、装置或设备使用。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (13)

1.一种统一认证授权方法,其特征在于,所述方法包括:
认证服务器接收来自第一应用端的第一访问请求,所述第一访问请求携带第一权限信息,所述第一权限信息用于指示访问所述第一应用端的用户设备已拥有除所述第一应用端以外的一个或多个其他应用端的访问权限;
所述认证服务器获取所述用户设备的用户标识,以及所述用户标识对应的历史的生物特征信息,所述历史的生物特征信息是登录所述一个或多个其他应用端时所述用户设备发送的;
所述认证服务器基于所述历史的生物特征信息确定所述用户设备的第一信任等级,所述第一信任等级越高所述用户设备的信任度越高;
所述认证服务器基于所述第一信任等级,向所述第一应用端发送第一授权资源信息,所述第一授权资源信息用于指示授权给所述用户设备的所述第一应用端的资源。
2.根据权利要求1所述的方法,其特征在于,所述认证服务器获取所述用户设备的用户标识,以及所述用户标识对应的历史的生物特征信息,还包括:
所述认证服务器获取以下中的一项或多项:所述用户设备的第一IP地址和所述用户设备的第一位置信息;
所述认证服务器基于所述历史的生物特征信息确定所述第一信任等级,包括:
基于所述第一IP地址和所述第一位置信息中的一项或多项,以及所述历史的生物特征信息确定所述第一信任等级。
3.根据权利要求1或2所述的方法,其特征在于,所述认证服务器基于所述第一信任等级,向所述第一应用端发送第一授权资源信息,具体包括:
所述认证服务器在所述第一信任等级大于或等于预设阈值且所述第一权限信息验证通过的情况下,向所述第一应用端发送第一授权资源信息;或者
所述认证服务器在所述第一信任等级小于所述预设阈值的情况下,确定所述第一信任等级对应的第一认证方式;
所述认证服务器基于所述第一认证方式确定所述用户设备认证通过的情况下,向所述第一应用端发送第一授权码;
所述认证服务器接收来自所述第一应用端的第二授权码;
所述认证服务器在所述第二授权码与所述第一授权码相同的情况下,向所述第一应用端发送所述第一授权资源信息。
4.根据权利要求3所述的方法,其特征在于,所述认证服务器向所述第一应用端发送第一授权码,还包括:
所述认证服务器向所述第一应用端发送以下中的一项或多项:
第一随机数和第一时间戳,所述第一随机数用于识别所述第一授权码的使用者,所述第一时间戳用于限定所述第一授权码的有效时间。
5.根据权利要求3所述的方法,其特征在于,还包括:
所述认证服务器基于所述第一认证方式确定所述用户设备认证通过的情况下,所述认证服务器向所述用户设备发送第二权限信息,所述第二权限信息用于指示访问所述第一应用端的用户设备已拥有所述第一应用端的访问权限。
6.根据权利要求1所述的方法,其特征在于,所述认证服务器接收来自第一应用端的第一访问请求之前,还包括:
所述认证服务器接收来自第二应用端的第二访问请求;
所述认证服务器在所述第二访问请求不携带所述第一权限信息的情况下,向所述用户设备发送登录请求,所述登录请求用于请求所述用户设备的生物特征信息;
所述认证服务器基于所述生物特征信息确定所述用户设备的第二信任等级,所述第二信任等级越高所述用户设备的信任度越高;
所述认证服务器在所述第二信任等级大于或等于所述预设阈值的情况下,向所述第二应用端发送第二授权资源信息,所述第二授权资源信息用于指示授权给所述用户设备的所述第二应用端的资源;
所述认证服务器向所述用户设备发送所述第一权限信息。
7.根据权力要求6所述的方法,其特征在于,所述登录请求用于请求所述用户设备的生物特征信息,还包括:
所述登录请求用于请求以下中的一项或多项:所述用户设备的第二IP地址和所述用户设备的第二位置信息;
所述认证服务器基于所述生物特征信息确定所述第二信任等级,包括:
基于所述第二IP地址和所述第二位置信息中的一项或多项,以及所述生物特征信息确定所述第二信任等级。
8.根据权利要求6或7所述的方法,其特征在于,还包括:
所述认证服务器在所述第二信任等级小于所述预设阈值的情况下,确定所述第二信任等级对应的第二认证方式;
所述认证服务器基于所述第二认证方式确定所述用户设备认证通过的情况下,向所述第二应用端发送第三授权码;
所述认证服务器接收来自所述第二应用端的第四授权码;
所述认证服务器在所述第三授权码与所述第四授权码相同的情况下,向所述第二应用端发送所述第二授权资源信息。
9.根据权利要求8所述的方法,其特征在于,所述认证服务器向所述第二应用端发送第三授权码,还包括:
所述认证服务器向所述第二应用端发送以下中的一项或多项:
第二随机数以及第二时间戳,所述第二随机数用于识别所述第三授权码的使用者,所述第二时间戳用于限定所述第三授权码的有效时间。
10.根据权利要求8所述的方法,其特征在于,还包括:所述认证服务器向所述用户设备发送所述第一权限信息,所述第一权限信息用于指示所述用户设备已拥有所述第二应用端的访问权限。
11.一种通信装置,其特征在于,所述通信装置包括:第一收发单元和第一处理单元;
其中,所述第一收发单元,用于接收来自第一应用端的第一访问请求,所述第一访问请求携带第一权限信息,所述第一权限信息用于指示访问所述第一应用端的用户设备已拥有除所述第一应用端以外的一个或多个其他应用端的访问权限;所述第一处理单元,用于获取所述用户设备的用户标识,以及所述用户标识对应的历史的生物特征信息,所述历史的生物特征信息是登录所述一个或多个其他应用端时所述用户设备发送的;所述第一处理单元,还用于基于所述历史的生物特征信息确定所述用户设备的第一信任等级,所述第一信任等级越高所述用户设备的信任度越高;所述第一处理单元,还用于生成第一授权资源信息,所述第一授权资源信息用于指示授权给所述用户设备的所述第一应用端的资源;所述第一收发单元,还用于向所述第一应用端发送所述第一授权资源信息。
12.一种通信装置,其特征在于,包括:处理器、存储器和收发机;
其中,所述处理器,用于读取所述存储器中的程序并执行权利要求1~10中的任一项中认证服务器所执行的方法。
13.一种计算机可存储介质,其特征在于,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1~10任一所述方法的步骤。
CN202310906691.0A 2023-07-21 2023-07-21 一种统一认证授权方法、装置及介质 Pending CN116956262A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310906691.0A CN116956262A (zh) 2023-07-21 2023-07-21 一种统一认证授权方法、装置及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310906691.0A CN116956262A (zh) 2023-07-21 2023-07-21 一种统一认证授权方法、装置及介质

Publications (1)

Publication Number Publication Date
CN116956262A true CN116956262A (zh) 2023-10-27

Family

ID=88448762

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310906691.0A Pending CN116956262A (zh) 2023-07-21 2023-07-21 一种统一认证授权方法、装置及介质

Country Status (1)

Country Link
CN (1) CN116956262A (zh)

Similar Documents

Publication Publication Date Title
US11876807B2 (en) Secure online access control to prevent identification information misuse
KR102308403B1 (ko) 검증 토큰을 사용하는 자원 액세스 제어
US10044761B2 (en) User authentication based on user characteristic authentication rules
CN110061846B (zh) 对区块链中用户节点进行身份认证和确认的方法、装置及计算机可读存储介质
EP4060941A1 (en) Confirming authenticity of a user to a third-party system
US9641521B2 (en) Systems and methods for network connected authentication
CN111416822B (zh) 访问控制的方法、电子设备和存储介质
JP6054457B2 (ja) 制御された情報開示によるプライベート解析
KR101611872B1 (ko) Fido와 인증서를 이용한 인증 방법
CN105354451B (zh) 访问鉴权的方法及系统
KR101451359B1 (ko) 사용자 계정 회복
CN110365684B (zh) 应用集群的访问控制方法、装置和电子设备
US8977857B1 (en) System and method for granting access to protected information on a remote server
CN107040501B (zh) 基于平台即服务的认证方法和装置
CN112487450A (zh) 一种文件服务器访问分级方法
CN113285932A (zh) 边缘服务的获取方法和服务器、边缘设备
US11245684B2 (en) User enrollment and authentication across providers having trusted authentication and identity management services
CN108667800B (zh) 一种访问权限的认证方法及装置
CN111355583B (zh) 一种业务提供系统、方法、装置、电子设备及存储介质
CN116049807A (zh) 一种业务访问系统及方法、电子设备、存储介质
CN114024682A (zh) 跨域单点登录方法、服务设备及认证设备
CN116956262A (zh) 一种统一认证授权方法、装置及介质
CN114520735A (zh) 一种基于可信执行环境的用户身份鉴定方法、系统及介质
JP2022055285A (ja) ミニプログラムパッケージ送信方法、装置、電子機器コンピュータ可読媒体およびコンピュータプログラム製品
CN115987636B (zh) 一种信息安全的实现方法、装置及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination