CN116962088B - 登录认证方法、零信任控制器及电子设备 - Google Patents
登录认证方法、零信任控制器及电子设备 Download PDFInfo
- Publication number
- CN116962088B CN116962088B CN202311218028.8A CN202311218028A CN116962088B CN 116962088 B CN116962088 B CN 116962088B CN 202311218028 A CN202311218028 A CN 202311218028A CN 116962088 B CN116962088 B CN 116962088B
- Authority
- CN
- China
- Prior art keywords
- login
- client
- authentication
- enhanced authentication
- preset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 81
- 238000004891 communication Methods 0.000 claims description 13
- 238000010586 diagram Methods 0.000 description 10
- 230000008569 process Effects 0.000 description 7
- 241000760358 Enodes Species 0.000 description 3
- 238000004590 computer program Methods 0.000 description 3
- 210000001747 pupil Anatomy 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 238000012790 confirmation Methods 0.000 description 2
- 230000002708 enhancing effect Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000000007 visual effect Effects 0.000 description 2
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Telephonic Communication Services (AREA)
Abstract
本申请涉及一种登录认证方法、零信任控制器及电子设备,应用于零信任系统中的零信任控制器,方法包括:通过预设的第一控制通道接收客户端发送的登录请求;在登录请求满足预设的登录条件的情况下,确定登录请求的登录参数,并生成对应的登录令牌;确定登录参数是否满足预设的增强认证条件;在确定登录参数满足增强认证条件的情况下,在登录令牌中携带预设的增强认证标识,并将携带增强认证标识的登录令牌发送至客户端,以使客户端根据增强认证标识进行增强认证,并在增强认证通过后通过预设的数据通道向零信任网关访问业务资源。由此可以实现在零信任系统中对客户端进行增强认证,保证访问网络的安全性,提升用户体验。
Description
技术领域
本申请涉及计算机技术领域,尤其涉及一种登录认证方法、零信任控制器及电子设备。
背景技术
零信任是一种网络安全防护理念,在零信任模式下,用户网络内外的任何人、设备和系统都需要“持续验证,永不信任”。基于零信任原则,可以保障用户终端安全、链路安全以及访问控制安全。
目前,用户终端设备在登录操作的零信任认证过程中,通常采用用户名和密码进行认证,在认证通过以后允许登录。
但采用上述零信任认证方式较为简单,存在用户名和密码被恶意篡改或伪造等安全风险。
发明内容
本申请提供了一种登录认证方法、零信任控制器及电子设备,以解决现有技术中的零信任认证方式较为简单,存在用户名和密码被恶意篡改或伪造等安全风险的技术问题。
第一方面,本申请提供了一种登录认证方法,应用于零信任系统中的零信任控制器,所述零信任系统包括所述零信任控制器、客户端,以及零信任网关,所述零信任控制器通过预设的控制通道分别与所述客户端和所述零信任网关进行交互,所述客户端通过预设的数据通道与所述零信任网关进行业务资源交互,所述方法包括:
通过预设的第一控制通道接收客户端发送的登录请求;
在所述登录请求满足预设的登录条件的情况下,确定所述登录请求的登录参数,并生成对应的登录令牌;
确定所述登录参数是否满足预设的增强认证条件;
在确定所述登录参数满足所述增强认证条件的情况下,在所述登录令牌中携带预设的增强认证标识,并将携带所述增强认证标识的所述登录令牌发送至所述客户端,以使所述客户端根据所述增强认证标识进行增强认证,并在增强认证通过后通过预设的数据通道向所述零信任网关访问业务资源。
作为一个可能的实现方式,所述登录参数包括登录时间、登录地址,以及登录网络,所述确定所述登录参数是否满足预设的增强认证条件,包括:
确定所述登录时间是否处于预设的登录时间段、确定所述登录地址是否为预设的登录地址,以及确定所述登录网络是否为预设的登录网络;
在确定所述登录时间处于预设的登录时间段、所述登录地址为预设的登录地址,以及所述登录网络为预设的登录网络的情况下,确定所述登录参数满足预设的所述增强认证条件。
作为一个可能的实现方式,所述将携带所述增强认证标识的所述登录令牌发送至所述客户端,以使所述客户端根据所述增强认证标识进行增强认证,包括:
将携带所述增强认证标识的所述登录令牌发送至所述客户端,以使所述客户端响应于所述增强认证标识发送携带登录令牌的增强认证请求;
在通过所述第一控制通道接收到客户端发送的增强认证请求的情况下,根据所述增强认证请求携带的所述登录令牌,确定所述客户端的增强认证方式;
按照所述增强认证方式,对所述客户端进行增强认证。
作为一个可能的实现方式,所述根据所述增强认证请求携带的所述登录令牌,确定所述客户端的增强认证方式,包括:
根据所述登录令牌,获取所述客户端的至少一个历史增强认证方式;
确定至少一个所述历史增强认证方式中是否存在生物识别认证方式;
若存在,则确定所述客户端的增强认证方式为生物识别认证;
若不存在,则确定所述客户端的增强认证方式为口令认证。
作为一个可能的实现方式,在确定所述客户端的增强认证方式为口令认证的情况下,所述按照所述增强认证方式,对所述客户端进行增强认证,包括:
生成第一增强认证口令;
通过预设的通信方式,将所述第一增强认证口令发送至所述客户端对应的设备,以使客户端根据所述设备接收到的所述第一增强认证口令,发送第二增强认证口令和登录令牌进行增强认证;
接收客户端发送的第二增强认证口令和登录令牌;
根据所述登录令牌,确定所述登录令牌对应的第一增强认证口令;
确定所述第二增强认证口令是否与所述第一增强认证口令一致,若一致,则确定所述客户端通过增强认证,并向所述客户端发送增强认证成功消息,以及通过预设的第二控制通道将所述登录令牌发送至所述零信任网关,以使所述零信任网关根据所述登录令牌确定所述客户端是否有权访问业务资源;
若不一致,则确定所述客户端未通过增强认证,并向所述客户端发送增强认证失败消息。
作为一个可能的实现方式,在确定所述增强认证方式为生物识别认证的情况下,所述按照所述增强认证方式,对所述客户端进行增强认证,包括:
获取所述客户端对应的历史认证信息;
根据所述历史认证信息,确定所述客户端对应的生物识别方式;
将所述生物识别方式发送至所述客户端,以使所述客户端根据所述生物识别方式进行生物识别,并将识别到的生物信息发送至所述零信任控制器;
接收客户端发送的生物信息,并确定所述生物信息是否与所述历史认证信息中的历史生物信息一致;
若一致,则确定所述客户端通过增强认证,并向所述客户端发送增强认证成功消息,以及通过预设的第二控制通道将所述登录令牌发送至所述零信任网关,以使所述零信任网关根据所述登录令牌确定所述客户端是否有权访问业务资源;
若不一致,则确定所述客户端未通过增强认证,并向所述客户端发送增强认证失败消息。
作为一个可能的实现方式,所述根据所述历史认证信息,确定所述客户端对应的生物识别方式,包括:
确定所述历史认证信息中包含的历史生物信息;
若所述历史生物信息包括第一生物信息,则将识别所述第一生物信息的第一生物识别方式确定为所述客户端对应的生物识别方式;
若所述历史生物信息包括第二生物信息,则将识别所述第二生物信息的第二生物识别方式确定为所述客户端对应的生物识别方式;
若所述历史生物信息包括所述第一生物信息和所述第二生物信息,则将所述历史生物信息中包括数量最多的生物信息或者最近一次使用的生物信息,对应的生物识别方式确定为所述客户端对应的生物识别方式。
第二方面,本发明实施例提供一种登录认证方法,应用于零信任系统中的客户端,所述零信任系统包括零信任控制器、所述客户端,以及零信任网关,所述零信任控制器通过预设的控制通道分别与所述客户端和所述零信任网关进行交互,所述客户端通过预设的数据通道与所述零信任网关进行业务资源交互,所述方法包括:
响应于接收到的预设按键的触发操作,向所述零信任控制器发送登录请求,所述零信任控制器在确定所述登录请求满足预设的登录条件的情况下,生成登录令牌,并根据所述登录请求的登录参数,确定所述登录请求是否满足预设的增强认证条件,并在满足的情况下,向所述客户端发送携带增强认证标识的登录令牌;
接收所述零信任控制器发送的针对所述登录请求的登录令牌;
在确定所述登录令牌携带预设的增强认证标识的情况下,进行增强认证,并在增强认证通过的情况下,通过预设的数据通道向所述零信任网关访问业务资源。
第三方面,本申请实施例提供一种登录认证装置,其特征在于,应用于零信任系统中的零信任控制器,所述零信任系统包括所述零信任控制器、客户端,以及零信任网关,所述零信任控制器通过预设的控制通道分别与所述客户端和所述零信任网关进行交互,所述客户端通过预设的数据通道与所述零信任网关进行业务资源交互,所述装置包括:
接收模块,用于通过预设的第一控制通道接收客户端发送的登录请求;
第一确定模块,用于在所述登录请求满足预设的登录条件的情况下,确定所述登录请求的登录参数,并生成对应的登录令牌;
第二确定模块,用于确定所述登录参数是否满足预设的增强认证条件;
发送模块,用于在确定所述登录参数满足所述增强认证条件的情况下,在所述登录令牌中携带预设的增强认证标识,并将携带所述增强认证标识的所述登录令牌发送至所述客户端,以使所述客户端根据所述增强认证标识进行增强认证,并在增强认证通过后通过预设的数据通道向所述零信任网关访问业务资源。
第四方面,本发明实施例提供一种登录认证装置,应用于零信任系统中的客户端,所述零信任系统包括零信任控制器、所述客户端,以及零信任网关,所述零信任控制器通过预设的控制通道分别与所述客户端和所述零信任网关进行交互,所述客户端通过预设的数据通道与所述零信任网关进行业务资源交互,所述装置包括:
发送模块,用于响应于接收到的预设按键的触发操作,向所述零信任控制器发送登录请求,所述零信任控制器在确定所述登录请求满足预设的登录条件的情况下,生成登录令牌,并根据所述登录请求的登录参数,确定所述登录请求是否满足预设的增强认证条件,并在满足的情况下,向所述客户端发送携带增强认证标识的登录令牌;
接收模块,用于接收所述零信任控制器发送的针对所述登录请求的登录令牌;
认证模块,用于在确定所述登录令牌携带预设的增强认证标识的情况下,进行增强认证,并在增强认证通过的情况下,通过预设的数据通道向所述零信任网关访问业务资源。
第五方面,本申请实施例提供一种零信任控制器,包括:处理器和存储器,所述处理器用于执行所述存储器中存储的登录认证程序,以实现第一方面中任一项所述的登录认证方法。
第六方面,本申请实施例提供一种电子设备,包括:处理器和存储器,所述处理器用于执行所述存储器中存储的登录认证程序,以实现第二方面中所述的登录认证方法。
本申请实施例提供的技术方案,通过在零信任系统中,零信任控制器通过预设的第一控制通道接收客户端发送的登录请求,在确定上述登录请求满足预设的登录条件的情况下,确定登录请求的登录参数,并生成对应的登录令牌,确定该登录参数是否满足预设的增强认证条件,并在确定登录参数满足增强认证条件的情况下,则登录令牌中携带预设的增强认证标识,并将携带增强认证标识的登录令牌发送至客户端,以使客户端根据增强认证标识进行增强认证,并在增强认证通过后通过预设的数据通过向零信任网访问业务资源。这一技术方案,通过在客户端满足登录条件的情况下,进一步根据客户端的登录参数为客户端设置增强认证,可对客户端登录进行双重认证,增加了登录认证的复杂性和安全性,实现了在零信任系统中对客户端进行增强认证,保证访问网络的安全性,提升用户体验。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并与说明书一起用于解释本发明的原理。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
一个或多个实施例通过与之对应的附图中的图片进行示例性说明,这些示例性说明并不构成对实施例的限定,附图中具有相同参考数字标号的元件表示为类似的元件,除非有特别申明,附图中的图不构成比例限制。
图1为本申请实施例提供的一种零信任系统的结构示意图;
图2为本申请实施例提供的一种登录认证方法的实施例流程图;
图3为本申请实施例提供的一种增强认证方法的实施例流程图;
图4为本申请实施例提供的另一种登录认证方法的实施例流程图;
图5为本申请实施例提供的又一种登录认证方法的实施例流程图;
图6为本申请实施例提供的还一种登录认证方法的实施例流程图;
图7为本申请实施例提供的一种登录认证装置的实施例框图;
图8为本申请实施例提供的另一种登录认证装置的实施例框图;
图9为本申请实施例提供的一种零信任控制器的结构示意图;
图10为本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请的一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
下文的公开提供了许多不同的实施例或例子用来实现本发明的不同结构。为了简化本发明的公开,下文中对特定例子的部件和设置进行描述。当然,它们仅仅为示例,并且目的不在于限制本发明。此外,本发明可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的,其本身不指示所讨论各种实施例和/或设置之间的关系。
为了解决现有技术中的零信任认证方式较为简单,存在用户名和密码被恶意篡改或伪造等安全风险的技术问题,本申请提供了一种登录认证方法、零信任控制器及电子设备,能实现在零信任系统中对客户端进行增强认证,保证访问网络的安全性,提升用户体验。
为便于理解本申请实施例提供的登录认证方法,以下先对零信任系统进行解释:
零信任系统,指系统架构基于零信任网络实现的系统。
零信任网络,指SDP(Software Definition Peremeter,软件定义边界),其是一种网络安全解决方案,这种方案又称为零信任网络。
其中,使用应用程序所有者在需要部署安全边界时,传统的方法是基于防火墙物理边界围绕内网墙建立网络安全,物理边界网络永远相信内网是安全的。而零信任网络安全架构对安全做了重新定义,不再信任物理边界内网的安全性,打破物理边界的局限性,认为网络中全部都是不被信任的,而是始终需要校验用户身份和设备的合理性、合规性,这就是零信任架构的根本,永不信任,永远认证,通过对用户身份的校验以及资源授权校验来达到安全访问网络的目的,也使攻击者在网络中看不到攻击目标而无法攻击。
以下先对本申请实施例提供的登录认证方法涉及的零信任系统的系统结构进行说明:
参见图1,为本申请实施例提供的一种零信任系统的结构示意图。如图1所示,该零信任系统10可包括:零信任控制器11、客户端12,以及零信任网关13。
上述零信任控制器11,可为服务器,也可为多个服务器组成的集群,还可为智能设备,本申请实施例对此不做限制。
上述客户端12,可为iNode客户端,其可为智能设备,例如智能手机、计算机、平板等,也可为安装在上述智能设备中的软件,本申请实施例对此不做限制。
上述零信任网关13,可连接业务资源,用于实现权限控制、数据转发等。
本申请实施例中,用户可通过客户端12与零信任控制器11进行登录认证,并在认证通过后通过与零信任网关13实现访问业务资源。
作为一示例性的实施方式,上述零信任控制器11可通过控制通道对客户端12进行登录认证,并在登录认证通过后通过控制通道向客户端12下发可访问的所有网关地址和各网关所保护的应用,以及向零信任网关13下发和动态更新用户访问应用和API的权限。
基于此,客户端12与零信任网关13建立数据通道(例如SSL VPN隧道),并且在客户端12所在的终端创建一个虚拟网卡根据网关的消息下发虚拟地址。之后,终端使用虚拟网卡通过数据通道访问业务资源,报文到达零信任网关13时携带用户的token信息,零信任网关13根据token信息来判断用户是否有权访问业务资源。
至于零信任控制器和客户端具体是如何实现登录认证的,下面结合附图以具体实施例对本申请提供的登录认证方法做进一步的解释说明,实施例并不构成对本发明实施例的限定。
为了便于理解,以下分别从零信任控制器、客户端,以及上述两者之间交互的角度,对本发明提供的登录认证方法进行详细说明:
首先,从零信任控制器角度对本申请实施例提供的登录认证方法进行说明:
参见图2,为本申请实施例提供的一种登录认证方法的实施例流程图。作为一个实施例,图2所示流程可应用于图1所示的零信任控制器11。如图2所示,该流程可包括以下步骤:
步骤201、通过预设的第一控制通道接收客户端发送的登录请求。
上述第一控制通道指客户端和零信任控制器连接的通道。
上述登录请求可用于请求登录零信任系统,其可为客户端向零信任控制发送的登录请求。
由图1描述可知,本申请实施例提供的零信任系统可包括零信任控制器、客户端,以及零信任网关,该零信任控制器可通过预设的控制通道分别与客户端和零信任网关进行交互,客户端可通过预设的数据通道与零信任网关进行业务资源交互。
在一实施例中,当用户想要访问业务资源时,可通过客户端与零信任网关进行交互,从而实现访问业务资源。而由于零信任系统是基于零信任网络实现的,因此,用户想要通过客户端访问业务资源,则需要先向零信任控制器发送登录请求,以进行登录认证。
作为一个可选的实现方式,用户可在输入用户名和密码后,点击预设的登录按键,生成登录请求,并将该登录请求发送至零信任控制器。
作为另一个可选的实现方式,用户可在输入用户名和密码后,通过语音控制客户端生成登录请求,并将该登录请求发送至零信任控制。例如用户可发出“登录”的语音口令,客户端在识别到该语音口令后,可生成登录请求,并将该登录请求发送至零信任控制器。
基于此,零信任控制器可通过第一控制通道接收客户端发送的登录请求。
步骤202、在上述登录请求满足预设的登录条件的情况下,确定登录请求的登录参数,并生成对应的登录令牌。
上述登录条件,指预设的用于认证客户端是否可进行登录的条件,例如客户端发送的登录请求中携带的用户名和密码是否与预设的用户名和密码一致。
上述登录参数,指登录请求发送时涉及的参数,例如登录请求发送时的登录时间、登录地址,以及登录网络等。
上述登录令牌,指用于表征客户端的标识信息,例如token信息,其可唯一标识客户端,也即不同的客户端对应的登录令牌是不同的。
在一实施例中,当零信任控制器接收到客户端发送的登录请求后,可首先验证上述登录请求是否满足预设的登录条件。
作为一个可选的实现方式,上述登录请求中可携带用户输入的用户名和密码,基于此,零信任控制器可获取上述登录请求中携带的用户名和密码,用验证上述用户名和密码是否与预先存储的用户名和密码一致。
可选的,若登录请求中携带的用户名和密码与预先存储的用户名和密码一致,则确定登录请求满足预设的登录条件。
相反的,若登录请求中携带的用户名和密码与预先存储的用户名和密码不一致,则确定登录请求不满足预设的登录条件。可选的,可确定客户端的登录请求认证失败,并向客户端发送登录认证失败消息。
基于此,若确定登录请求满足预设的登录条件,为了进一步对客户端进行增强认证,则可确定登录请求对应的登录参数,并生成对应的登录令牌。
作为一个可选的实现方式,可根据登录请求中携带的用户名和密码,生成对应的登录令牌。
作为另一个可选的实现方式,可随机生成一个登录令牌。
步骤203、确定登录参数是否满足预设的增强认证条件。
由步骤202中的描述可知,上述登录参数可包括但不限于:登录时间、登录地址,以及登录网络。
实际应用中,基于零信任的理念任何时间任何地点任何用户都是不可信的,比如只允许在上班的时间接入零信任网络、只允许在指定的地域接入零信任网络、只允许在指定的网络接入零信任网络,当用户在上面三种情况下接入零信任网络时,需要对用户的身份信息进行进一步的确认就是增强认证。
基于此,在一实施例中,当零信任控制器确定接收到的登录请求满足预设的登录条件时,可进一步判断登录参数是否满足预设的增强认证条件。
作为一示例性的实施方式,为了保证客户端登录的安全性,可确定登录请求对应的登录时间是否处于预设的登录时间段、确定登录地址是否为预设的登录地址,以及确定登录网络是否为预设的登录网络。
之后,若确定登录时间处于预设的登录时段、登录地址为预设的登录地址,以及登录网络为预设的登录网络,则可确定登录参数满足预设的增强认证条件。
步骤204、在确定登录参数满足上述增强认证条件的情况下,在上述登录令牌中携带预设的增强认证标识,并将携带增强认证标识的登录令牌发送至客户端,以使客户端根据增强认证标识进行增强认证,并在增强认证通过后通过预设的数据通道向零信任网关访问业务资源。
上述增强认证标识用于表征客户端在进行登录认证时需要进行进一步地增强认证,其可为特定的符号、数字、字母,或者三者中的任意组合,本申请实施例对此不做限制。
本申请实施例中,零信任控制器在确定登录参数满足上述增强认证条件时,可将预设的增强认证标识放置在生成的登录令牌中,以使登录令牌携带上述增强认证标识。之后,可将携带增强认证标识的登录令牌发送至客户端,以使客户端根据上述增强认证标识进行增强认证,并在增强认证通过后通过预设的数据通道向零信任网关访问业务资源。
在一实施例中,零信任控制器可通过图3所示流程与客户端进行增强认证。参见图3,为本申请实施例提供的一种增强认证方法的实施例流程图。如图3所述,该流程可包括以下步骤:
步骤301、将携带增强认证标识的登录令牌发送至客户端,以使客户端响应于增强认证标识发送携带登录令牌的增强认证请求。
本申请实施例中,零信任控制器在确定客户端需要进行增强认证,并在生成的登录令牌中携带预设的增强认证标识后,可将携带上述增强认证标识的登录令牌发送至客户端。
基于此,客户端在接收到登录令牌后,可确定该登录令牌中是否携带上述增强认证标识,若携带,说明此时需要进行增强认证,用户在确定进行增强认证后,可通过客户端生成携带登录令牌的增强认证请求,并将该增强认证请求通过第一控制通道发送至零信任控制进行增强认证。
步骤302、在通过第一控制通道接收到客户端发送的增强认证请求的情况下,根据增强认证请求携带的登录令牌,确定客户端的增强认证方式。
上述增强认证方式指客户端进行增强认证的认证方式,其可包括但不限于:生物识别认证和口令认证。其中,上述生物识别认证指通过识别生物信息的认证方式,例如指纹认证、人脸认证等;上述口令认证指零信任控制器生成口令后,将生成的口令发送至客户端,由客户端输入接收到的口令的认证方式,例如验证码认证。
本申请实施例中,为了使得客户端可以快速进行认证,零信任控制器可通过增强认证请求中携带的增强认证标识,确定客户端较多使用的增强认证方式,以使客户端可以根据该增强认证方式进行增强认证。
作为一示例性的实施方式,可根据登录令牌,获取客户端的至少一个历史增强认证方式,并确定至少一个历史认证方式中是否存在生物识别认证方式。由于生物识别认证方式通过获取用户的生物信息进行认证,其相较于其他认证方式可以更加准确地识别用户,因此,若上述历史增强认证方式中存在生物识别认证方式,则可确定客户端的增强认证方式为生物识别认证。若历史增强认证方式中不存在生物识别认证方式,则可确定客户端的增强认证方式为口令认证。
进一步地,零信任控制器还可获取客户端所在设备的设备型号,并确定该设备型号的设备是否支持上述第一生物识别认证方式和第二生物识别认证方式,若支持,则可按照上述实施例中的方法确定生物识别认证方式;若仅支持一种,则可确定该设备型号的设备支持的生物识别方式为客户端的增强认证识别方式,例如该设备为智能手机,该智能手机仅支持摄像头的人脸识别,不存在指纹识别,那么可将人脸识别方式确定为客户端的增强认证识别方式;若设备不支持生物识别方式,则直接将客户端的增强认证方式确定为口令认证,基于此零信任控制器可通过短信或者电话形式告知用户的增强认证口令。
此外,在上述历史增强认证方式中不存在生物识别认证的情况下,为了确定用户是否需要生物识别认证,零信任控制器可向客户端发送增强认证方式确认信息,客户端在接收到该确认信息后,可通过可视化界面输出增强认证方式选择,并将用户选择的增强认证方式发送至零信任控制器。若用户选择生物识别认证,则零信任控制器确定增强认证方式为生物识别认证;若用户选择口令认证,则零信任控制器确定增强认证方式为口令认证。
其中,当用户选择生物识别认证方式时,由于用户首次使用生物识别认证方式,零信任控制器预先未存储用户的生物信息,因此可对用户进行生物信息注册流程,以将用户注册的生物信息进行存储,并对用户进行生物识别认证。
步骤303、按照上述增强认证方式,对客户端进行增强认证。
由步骤302中的描述可知,零信任控制器确定的客户端的增强认证方式可为生物识别认证和口令认证。
基于此,在一实施例中,当确定上述增强认证方式为口令认证时,可说明此时零信任控制器需要生成认证口令并发送给客户端进行增强认证,因此,零信任控制器可生成增强认证口令(为便于描述,以下称为第一增强认证口令)。该第一增强认证口令可为预设位的数字验证码,也可为字母、数字,以及符号的组合,本申请实施例对此不做限制。
之后,可通过预设的通信方式,将该第一增强认证口令发送至客户端对应的设备,例如通过邮件或短信的方式将第一增强认证口令发送至客户端所在的设备。当客户端所在的设备接收到该第一增强认证口令时,客户端可输出认证弹窗,以使用户输入接收到的第一增强认证口令(为便于区分,此处将用户输入的认证口令称为第二增强认证口令)。再之后,当客户端通过认证弹窗接收到用户输入的第二增强认证口令后,可将该第二增强认证口令和登录令牌一起发送至零信任控制器。
基于此,零信任控制器可接收客户端发送的第二增强认证口令和登录令牌。之后,可根据登录令牌确定在零信任控制器中该登录令牌对应的第一增强认证口令,并确定第二增强认证口令是否与第一增强认证口令一致,若一致,说明用户输入的增强认证口令正确,则可确定客户端通过增强认证,此时可向客户端发送增强认证消息,并通过预设的第二控制通道将登录令牌发送至零信任网关,以使零信任网关根据登录令牌确定客户端是否有权访问业务资源。若不一致,则确定客户端未通过增强认证,此时可向客户端发送增强认证失败消息。
此外,零信任控制器在确定客户端增强认证成功后,还可将访问网关的地址和各个网关对应的业务资源发送至客户端,以使用户根据需要访问的业务资源确定对应的网关。
在另一实施例中,在零信任控制器确定增强认证方式为生物识别认证的情况下,当按照该增强认证方式,对客户端进行增强认证时,可先确定具体的生物识别方式,例如是指纹识别认证还是人脸识别认证。
作为一示例性的实施方式,可先获取客户端对应的历史认证信息,该历史认证信息指该客户端在历史时间进行生物识别认证时的认证信息,其可包括但不限于:认证时间、认证网络、认证地址,以及认证的生物信息等。
之后,可根据该历史认证信息,确定客户端对应的生物识别方式。
作为一种可能的实现方式,可确定历史认证信息中包含的历史生物信息,该历史生物信息可为人脸信息、指纹信息,或者瞳孔信息等,本申请实施例对此不做限制。
可选的,若上述历史生物信息包括第一生物信息,则可将识别第一生物信息的第一生物识别方式确定为客户端对应的生物识别方式。上述第一生物信息可为人脸信息,对应的上述第一生物识别方式则为人脸识别方式。
可选的,若上述历史生物信息包括第二生物信息,则可将识别第二生物信息的第二生物识别方式确定为客户端对应的生物识别方式。上述第二生物信息可为指纹信息或者瞳孔信息,对应的上述第二生物识别方式则为指纹识别方式或者瞳孔识别方式。
需要说明的是,上述第一生物信息也可为指纹信息,上述第二生物信息可为人脸信息,本申请实施例对第一生物信息和第二生物信息不做具体限制,但上述第一生物信息和第二生物信息不同。
可选的,若上述历史生物信息包括第一生物信息和第二生物信息,则可将历史生物信息中包括的数量最多的生物信息或者最近一次使用的生物信息,对应的生物识别方式确定为客户端对应的生物识别方式。
举个例子,假设历史生物信息中包括3次第一生物信息,4次第二生物信息,第二生物信息的数量最多,那么可将第二生物信息对应的生物识别方式确定为客户端对应的生物识别方式。再假设,历史生物信息中第一生物信息和第二生物信息均包括4次,而最近一次使用的为第二生物信息,那么可选取最近一次使用的生物信息,也即第二生物信息对应的生物识别方式作为客户端对应的生物识别方式。
再之后,在确定客户端对应的生物识别方式后,可将该生物识别方式发送至客户端,以使客户端根据生物识别方式进行生物识别,并将识别到的生物信息发送至零信任控制器。至于具体如何进行生物识别可在下文通过图4所示流程进行说明,这里先不详述。
基于此,零信任控制器可接收客户端发送的生物信息,并确定该生物信息是否与历史认证信息中的历史生物信息一致。
可选的,若接收到的生物信息与历史认证信息中的历史生物信息一致,则确定客户端通过增强认证,并向客户端发送增强认证成功消息,以及通过预设的第二控制通道将登录令牌发送至零信任网关,以使零信任网关根据登录令牌确定客户端是否有权访问业务资源。
相反的,若若接收到的生物信息与历史认证信息中的历史生物信息不一致,则确定客户端未通过增强认证,则可向客户端发送增强认证失败消息。
至此,完成对图3所示流程的描述。
本申请实施例提供的技术方案,通过在零信任系统中,零信任控制器通过预设的第一控制通道接收客户端发送的登录请求,在确定上述登录请求满足预设的登录条件的情况下,确定登录请求的登录参数,并生成对应的登录令牌,确定该登录参数是否满足预设的增强认证条件,并在确定登录参数满足增强认证条件的情况下,则登录令牌中携带预设的增强认证标识,并将携带增强认证标识的登录令牌发送至客户端,以使客户端根据增强认证标识进行增强认证,并在增强认证通过后通过预设的数据通过向零信任网访问业务资源。这一技术方案,通过在客户端满足登录条件的情况下,进一步根据客户端的登录参数为客户端设置增强认证,可对客户端登录进行双重认证,增加了登录认证的复杂性和安全性,实现了在零信任系统中对客户端进行增强认证,保证访问网络的安全性,提升用户体验。
其次,从客户端角度对本申请实施例提供的登录认证方法进行说明:
参见图4,为本申请实施例提供的另一种登录认证方法的实施例流程图。作为一个实施例,图4所示流程可应用于图1所示的客户端12。如图4所示,该流程可包括以下步骤:
步骤401、响应于接收到的预设按键的触发操作,向零信任控制器发送登录请求,零信任控制器在确定该登录请求满足预设的登录条件的情况下,生成登录令牌,并根据登录请求的登录参数,确定该登录请求是否满足预设的增强认证条件,并在满足的情况下,向客户端发送携带增强认证标识的登录令牌。
上述预设按键可为客户端界面预先设置的登录按键。
上述登录请求可用于请求登录零信任系统,其可为客户端向零信任控制发送的登录请求。
由图1描述可知,本申请实施例提供的零信任系统可包括零信任控制器、客户端,以及零信任网关,该零信任控制器可通过预设的控制通道分别与客户端和零信任网关进行交互,客户端可通过预设的数据通道与零信任网关进行业务资源交互。
本申请实施例中,当用户想要通过客户端登录零信任系统时,可在客户端的登录界面输入用户名和密码,并在输入完成后点击该登录按键。客户端在检测到该登录按键的触发操作后,可生成对应的登录请求,其中,该登录请求可携带用户输入的用户名和密码。之后,可将该登录请求通过第一控制通道发送至零信任控制器。
基于此,零信任控制器可在接收到该登录请求后,确定该登录请求是否满足预设的登录条件,并在确定该登录请求满足上述登录条件的情况下,生成登录令牌。之后,可根据登录请求的登录参数确定该登录请求是否满足预设的增强认证条件,若满足,则向客户端发送携带增强认证标识的登录令牌。
至于零信任控制器具体是如何确定登录请求是否满足预设的登录条件、如何生成登录令牌,以及如何根据登录请求的登录参数确定登录请求满足预设的增强认证方式的,可在参考上文图2中的描述,这里不再赘述。
步骤402、接收零信任控制器发送的针对登录请求的登录令牌。
步骤403、在确定该登录令牌携带预设的增强认证标识的情况下,进行增强认证,并在增强认证通过的情况下,通过预设的数据通道向零信任网关访问业务资源。
以下对步骤402和步骤403进行统一说明:
上述登录令牌,指用于表征客户端的标识信息,例如token信息,其可唯一标识客户端,也即不同的客户端对应的登录令牌是不同的。
本申请实施例中,客户端在向零信任控制器发送登录请求后,可通过预设的第一控制通道接收零信任控制器根据该登录请求生成的登录令牌。
之后,可确定该登录令牌中是否存在预设的增强认证标识,若存在,说明此时需要进行增强认证,则向零信任控制器进行增强认证,并在增强认证通过的情况下,通过预设的数据通道向零信任网关访问业务资源。
作为一个可选的实现方式,客户端可通过可视化界面输出弹窗,该弹窗可用于确定用户是否进行增强认证。之后,在接收到针对该弹窗的确任按钮的触发操作后,可生成增强认证请求,并将该增强认证请求发送至零信任控制器。其中,上述增强认证请求中可携带客户端对应的登录令牌。
基于此,零信任客户端可根据该增强认证请求确定客户端对应的增强认证方式。至于具体是如何确定客户端对应的增强认证方式的,可参考图2所示流程,这里先不赘述。
在一实施例中,当零信任控制器确定该增强认证方式为口令认证时,可生成第一增强认证口令,并将该第一增强认证口令通过预设的通信方式发送至客户端对应的设备,以及将口令认证对应的标识发送至客户端。
基于此,客户端在接收到口令认证标识的情况下,可输出口令认证弹框,用户可将设备接收的第一增强认证口令输入至该弹框内(为便于区分,可将用户输入的增强认证口令称为第二增强认证口令),并点击确认按钮。之后,客户端在检测到确认按钮的触发操作后,可将用户输入的第二增强认证口令以及对应的登录令牌发送至零信任控制器,以使零信任控制器对第二增强认证口令进行认证。至于具体是如何对第二增强认证口令进行认证的,可参考图2所示流程,这里不再赘述。
可选的,零信任控制器在确定第二增强认证口令认证通过后,可生成增强认证成功消息,并将该增强认证成功消息发送至客户端。客户端在接收到该增强认证成功消息后,可通过零信任网关访问业务资源。
相反的,零信任控制器在确定第二增强认证口令认证未通过后,可生成增强认证失败消息,并将该增强认证失败消息发送至客户端。客户端在接收到该增强认证失败消息后,可输出提示框提示用户增强认证失败。
在另一实施例中,当零信任控制器确定该增强认证方式为第一生物认证方式时,可将该第一生物认证方式发送至客户端。客户端在接收到该第一生物认证方式后,可输出生物采集界面对用户的第一生物信息进行采集,并将采集到的第一生物信息和登录令牌发送至零信任控制器,以使零信任控制器对第一生物信息进行认证。
可选的,零信任控制器在确定第一生物信息认证通过后,可生成增强认证成功消息,并将该增强认证成功消息发送至客户端。客户端在接收到该增强认证成功消息后,可通过零信任网关访问业务资源。
相反的,零信任控制器在确定第一生物信息认证未通过后,可生成增强认证失败消息,并将该增强认证失败消息发送至客户端。客户端在接收到该增强认证失败消息后,可输出提示框提示用户增强认证失败。
在又一实施例中,当零信任控制器确定该增强认证方式为第二生物认证方式时,可将该第二生物认证方式发送至客户端。客户端在接收到该第二生物认证方式后,可输出生物采集界面对用户的第二生物信息进行采集,并将采集到的第二生物信息和登录令牌发送至零信任控制器,以使零信任控制器对第二生物信息进行认证。
可选的,零信任控制器在确定第二生物信息认证通过后,可生成增强认证成功消息,并将该增强认证成功消息发送至客户端。客户端在接收到该增强认证成功消息后,可通过零信任网关访问业务资源。
相反的,零信任控制器在确定第二生物信息认证未通过后,可生成增强认证失败消息,并将该增强认证失败消息发送至客户端。客户端在接收到该增强认证失败消息后,可输出提示框提示用户增强认证失败。
本申请实施例提供的技术方案,通过响应于接收到的预设按键的触发操作,向零信任控制器发送登录请求,零信任控制器在确定登录请求满足预设的登录条件的情况下,生成登录令牌,并根据登录请求的登录参数,确定登录请求是否满足预设的增强认证条件,并在满足的情况下,向客户端发送携带增强认证标识的登录令牌,接收零信任控制器发送的针对登录请求的登录令牌,在确定登录令牌携带预设的增强认证标识的情况下,进行增强认证,并在增强认证通过的情况下,通过预设的数据通道向零信任网关访问业务资源。这一技术方案,通过在客户端在接收到增强认证标识的情况下,进一步向零信任控制器进行增强认证,增加了登录认证的复杂性和安全性,实现了在零信任系统中对客户端进行增强认证,保证访问网络的安全性,提升用户体验。
最后,对零信任控制器和客户端交互的角度,对本申请实施例提供的登录认证方法进行说明:
参见图5,为本申请实施例提供的又一种登录认证方法的实施例流程图。作为一个实施例,图5所示流程可应用于图1中的零信任控制器11和客户端12。如图5所示,该流程可包括以下步骤:
步骤501、客户端响应于接收到的预设按键的触发操作,向零信任控制器发送登录请求。
步骤502、零信任控制器通过预设的第一控制通道接收客户端发送的登录请求。
步骤503、在登录请求满足预设的登录条件的情况下,确定登录请求的登录参数,并生成对应的登录令牌。
步骤504、确定登录参数是否满足预设的增强认证条件。
步骤505、在确定登录参数满足增强认证条件的情况下,在上述登录令牌中携带预设的增强认证标识,并将携带增强认证标识的登录令牌发送至客户端。
步骤506、客户端接收零信任控制器发送的针对登录请求的登录令牌。
步骤507、客户端在确定登录令牌携带预设的增强认证标识的情况下,进行增强认证,并在增强认证通过的情况下,通过预设的数据通道向零信任网关访问业务资源。
步骤501~步骤507的相关描述,可以参见上述实施例中的相关描述,在此不作赘述。
本申请实施例提供的技术方案,通过客户端响应于接收到的预设按键的触发操作,向零信任控制器发送登录请求,零信任控制器通过预设的第一控制通道接收客户端发送的登录请求,在登录请求满足预设的登录条件的情况下,确定登录请求的登录参数,并生成对应的登录令牌,确定登录参数是否满足预设的增强认证条件,在确定登录参数满足增强认证条件的情况下,在上述登录令牌中携带预设的增强认证标识,并将携带增强认证标识的登录令牌发送至客户端,客户端接收零信任控制器发送的针对登录请求的登录令牌,客户端在确定登录令牌携带预设的增强认证标识的情况下,进行增强认证,并在增强认证通过的情况下,通过预设的数据通道向零信任网关访问业务资源。这一技术方案,通过在客户端满足登录条件的情况下,进一步根据客户端的登录参数为客户端设置增强认证,可对客户端登录进行双重认证,增加了登录认证的复杂性和安全性,实现了在零信任系统中对客户端进行增强认证,保证访问网络的安全性,提升用户体验。
以下通过一个具体实施例描述图5所示流程:
参见图6,为本申请实施例提供的还一种登录认证方法的实施例流程图。图6所示流程以客户端为iNode客户端、上述增强认证方式为口令认证方方式为例进行说明。如图6所示,该流程可包括以下内容:
1、用户通过iNode零信任客户端输入用户名和密码,并向零信任控制器发送用户登录请求。
2、零信任控制器根据用户名和密码先判断用户的身份是否正确,若正确,则生成用户token信息,然后在根据登录条件判断用户是否需要做增强认证。
3、零信任控制器向客户端iNode发送需要增强认证消息,通过在返回给客户端iNode的消息中,增加一个增强认证的标志。
4、iNode客户端收到控制器返回的消息中携带着增强认证的标志,则iNode客户端弹出验证码窗口。
5、iNode客户端携带用户的token向控制器发送增强认证请求,并且等待用户输入增强认证口令。
6、控制器收到用户的增强认证请求后记录用户的token信息并且生成增强认证口令,通过短信、企业微信等方式发给用户。
7、用户输入增强认证口令向控制器发送用户的token信息和认证口令。
8、零信任控制器根据token信息和认证口令进行校验,校验通过则通知iNode客户端允许用户上线,并向零信任网关访问业务资源;如果口令不正确,向iNode客户端返回口令失败消息。
参见图7,为本申请实施例提供的一种登录认证装置的实施例框图。作为一个实施例,该装置应用于图1所示零信任系统中的零信任控制器,所述零信任系统包括所述零信任控制器、客户端,以及零信任网关,所述零信任控制器通过预设的控制通道分别与所述客户端和所述零信任网关进行交互,所述客户端通过预设的数据通道与所述零信任网关进行业务资源交互,所述装置包括:
接收模块71,用于通过预设的第一控制通道接收客户端发送的登录请求;
第一确定模块72,用于在所述登录请求满足预设的登录条件的情况下,确定所述登录请求的登录参数,并生成对应的登录令牌;
第二确定模块73,用于确定所述登录参数是否满足预设的增强认证条件;
发送模块74,用于在确定所述登录参数满足所述增强认证条件的情况下,在所述登录令牌中携带预设的增强认证标识,并将携带所述增强认证标识的所述登录令牌发送至所述客户端,以使所述客户端根据所述增强认证标识进行增强认证,并在增强认证通过后通过预设的数据通道向所述零信任网关访问业务资源。
参见图8,为本申请实施例提供的另一种登录认证装置的实施例框图。作为一个实施例,该装置应用于图1所示零信任系统中的客户端,所述零信任系统包括零信任控制器、所述客户端,以及零信任网关,所述零信任控制器通过预设的控制通道分别与所述客户端和所述零信任网关进行交互,所述客户端通过预设的数据通道与所述零信任网关进行业务资源交互,所述装置包括:
发送模块81,用于响应于接收到的预设按键的触发操作,向所述零信任控制器发送登录请求,所述零信任控制器在确定所述登录请求满足预设的登录条件的情况下,生成登录令牌,并根据所述登录请求的登录参数,确定所述登录请求是否满足预设的增强认证条件,并在满足的情况下,向所述客户端发送携带增强认证标识的登录令牌;
接收模块82,用于接收所述零信任控制器发送的针对所述登录请求的登录令牌;
认证模块83,用于在确定所述登录令牌携带预设的增强认证标识的情况下,进行增强认证,并在增强认证通过的情况下,通过预设的数据通道向所述零信任网关访问业务资源。
如图9所示,为本申请实施例提供的一种零信任控制器的结构示意图,包括处理器91、通信接口92、存储器93和通信总线94,其中,处理器91,通信接口92,存储器93通过通信总线94完成相互间的通信,
存储器93,用于存放计算机程序;
在本申请一个实施例中,处理器91,用于执行存储器93上所存放的程序时,实现前述任意一个方法实施例提供的登录认证方法,包括:
通过预设的第一控制通道接收客户端发送的登录请求;
在所述登录请求满足预设的登录条件的情况下,确定所述登录请求的登录参数,并生成对应的登录令牌;
确定所述登录参数是否满足预设的增强认证条件;
在确定所述登录参数满足所述增强认证条件的情况下,在所述登录令牌中携带预设的增强认证标识,并将携带所述增强认证标识的所述登录令牌发送至所述客户端,以使所述客户端根据所述增强认证标识进行增强认证,并在增强认证通过后通过预设的数据通道向所述零信任网关访问业务资源。
如图10所示,为本申请实施例提供的一种电子设备的结构示意图,包括处理器101、通信接口102、存储器103和通信总线104,其中,处理器101,通信接口102,存储器103通过通信总线104完成相互间的通信,
存储器103,用于存放计算机程序;
在本申请一个实施例中,处理器101,用于执行存储器103上所存放的程序时,实现前述任意一个方法实施例提供的登录认证方法,包括:
响应于接收到的预设按键的触发操作,向所述零信任控制器发送登录请求,所述零信任控制器在确定所述登录请求满足预设的登录条件的情况下,生成登录令牌,并根据所述登录请求的登录参数,确定所述登录请求是否满足预设的增强认证条件,并在满足的情况下,向所述客户端发送携带增强认证标识的登录令牌;
接收所述零信任控制器发送的针对所述登录请求的登录令牌;
在确定所述登录令牌携带预设的增强认证标识的情况下,进行增强认证,并在增强认证通过的情况下,通过预设的数据通道向所述零信任网关访问业务资源。
本申请实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如前述任意一个方法实施例提供的登录认证方法的步骤。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
应理解的是,文中使用的术语仅出于描述特定示例实施方式的目的,而无意于进行限制。除非上下文另外明确地指出,否则如文中使用的单数形式“一”、“一个”以及“所述”也可以表示包括复数形式。术语“包括”、“包含”、“含有”以及“具有”是包含性的,并且因此指明所陈述的特征、步骤、操作、元件和/或部件的存在,但并不排除存在或者添加一个或多个其它特征、步骤、操作、元件、部件、和/或它们的组合。文中描述的方法步骤、过程、以及操作不解释为必须要求它们以所描述或说明的特定顺序执行,除非明确指出执行顺序。还应当理解,可以使用另外或者替代的步骤。
以上所述仅是本发明的具体实施方式,使本领域技术人员能够理解或实现本发明。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所申请的原理和新颖特点相一致的最宽的范围。
Claims (9)
1.一种登录认证方法,其特征在于,应用于零信任系统中的零信任控制器,所述零信任系统包括所述零信任控制器、客户端,以及零信任网关,所述零信任控制器通过预设的控制通道分别与所述客户端和所述零信任网关进行交互,所述客户端通过预设的数据通道与所述零信任网关进行业务资源交互,所述方法包括:
通过预设的第一控制通道接收客户端发送的登录请求;
在所述登录请求满足预设的登录条件的情况下,确定所述登录请求的登录参数,并生成对应的登录令牌,所述登录参数包括登录时间、登录地址,以及登录网络;
确定所述登录参数是否满足预设的增强认证条件,包括:确定所述登录时间是否处于预设的登录时间段、确定所述登录地址是否为预设的登录地址,以及确定所述登录网络是否为预设的登录网络;在确定所述登录时间处于预设的登录时间段、所述登录地址为预设的登录地址,以及所述登录网络为预设的登录网络的情况下,确定所述登录参数满足预设的所述增强认证条件;
在确定所述登录参数满足所述增强认证条件的情况下,在所述登录令牌中携带预设的增强认证标识,并将携带所述增强认证标识的所述登录令牌发送至所述客户端,以使所述客户端根据所述增强认证标识进行增强认证,并在增强认证通过后通过预设的数据通道向所述零信任网关访问业务资源,其中,所述增强认证标识为表征客户端在进行登录认证时需要进行增强认证的任意标识。
2.根据权利要求1所述的方法,其特征在于,所述将携带所述增强认证标识的所述登录令牌发送至所述客户端,以使所述客户端根据所述增强认证标识进行增强认证,包括:
将携带所述增强认证标识的所述登录令牌发送至所述客户端,以使所述客户端响应于所述增强认证标识发送携带登录令牌的增强认证请求;
在通过所述第一控制通道接收到客户端发送的增强认证请求的情况下,根据所述增强认证请求携带的所述登录令牌,确定所述客户端的增强认证方式;
按照所述增强认证方式,对所述客户端进行增强认证。
3.根据权利要求2所述的方法,其特征在于,所述根据所述增强认证请求携带的所述登录令牌,确定所述客户端的增强认证方式,包括:
根据所述登录令牌,获取所述客户端的至少一个历史增强认证方式;
确定至少一个所述历史增强认证方式中是否存在生物识别认证方式;
若存在,则确定所述客户端的增强认证方式为生物识别认证;
若不存在,则确定所述客户端的增强认证方式为口令认证。
4.根据权利要求3所述的方法,其特征在于,在确定所述客户端的增强认证方式为口令认证的情况下,所述按照所述增强认证方式,对所述客户端进行增强认证,包括:
生成第一增强认证口令;
通过预设的通信方式,将所述第一增强认证口令发送至所述客户端对应的设备,以使客户端根据所述设备接收到的所述第一增强认证口令,发送第二增强认证口令和登录令牌进行增强认证;
接收客户端发送的第二增强认证口令和登录令牌;
根据所述登录令牌,确定所述登录令牌对应的第一增强认证口令;
确定所述第二增强认证口令是否与所述第一增强认证口令一致,若一致,则确定所述客户端通过增强认证,并向所述客户端发送增强认证成功消息,以及通过预设的第二控制通道将所述登录令牌发送至所述零信任网关,以使所述零信任网关根据所述登录令牌确定所述客户端是否有权访问业务资源;
若不一致,则确定所述客户端未通过增强认证,并向所述客户端发送增强认证失败消息。
5.根据权利要求3所述的方法,其特征在于,在确定所述增强认证方式为生物识别认证的情况下,所述按照所述增强认证方式,对所述客户端进行增强认证,包括:
获取所述客户端对应的历史认证信息;
根据所述历史认证信息,确定所述客户端对应的生物识别方式;
将所述生物识别方式发送至所述客户端,以使所述客户端根据所述生物识别方式进行生物识别,并将识别到的生物信息发送至所述零信任控制器;
接收客户端发送的生物信息,并确定所述生物信息是否与所述历史认证信息中的历史生物信息一致;
若一致,则确定所述客户端通过增强认证,并向所述客户端发送增强认证成功消息,以及通过预设的第二控制通道将所述登录令牌发送至所述零信任网关,以使所述零信任网关根据所述登录令牌确定所述客户端是否有权访问业务资源;
若不一致,则确定所述客户端未通过增强认证,并向所述客户端发送增强认证失败消息。
6.根据权利要求5所述的方法,其特征在于,所述根据所述历史认证信息,确定所述客户端对应的生物识别方式,包括:
确定所述历史认证信息中包含的历史生物信息;
若所述历史生物信息包括第一生物信息,则将识别所述第一生物信息的第一生物识别方式确定为所述客户端对应的生物识别方式;
若所述历史生物信息包括第二生物信息,则将识别所述第二生物信息的第二生物识别方式确定为所述客户端对应的生物识别方式;
若所述历史生物信息包括所述第一生物信息和所述第二生物信息,则将所述历史生物信息中包括数量最多的生物信息或者最近一次使用的生物信息,对应的生物识别方式确定为所述客户端对应的生物识别方式。
7.一种登录认证方法,其特征在于,应用于零信任系统中的客户端,所述零信任系统包括零信任控制器、所述客户端,以及零信任网关,所述零信任控制器通过预设的控制通道分别与所述客户端和所述零信任网关进行交互,所述客户端通过预设的数据通道与所述零信任网关进行业务资源交互,所述方法包括:
响应于接收到的预设按键的触发操作,向所述零信任控制器发送登录请求,所述零信任控制器在确定所述登录请求满足预设的登录条件的情况下,生成登录令牌,并根据所述登录请求的登录参数,确定所述登录请求是否满足预设的增强认证条件,并在满足的情况下,向所述客户端发送携带增强认证标识的登录令牌,其中,所述登录参数包括登录时间、登录地址,以及登录网络,所述根据所述登录请求的登录参数,确定所述登录请求是否满足预设的增强认证条件,包括:确定所述登录时间是否处于预设的登录时间段、确定所述登录地址是否为预设的登录地址,以及确定所述登录网络是否为预设的登录网络;在确定所述登录时间处于预设的登录时间段、所述登录地址为预设的登录地址,以及所述登录网络为预设的登录网络的情况下,确定所述登录参数满足预设的所述增强认证条件;其中,所述增强认证标识为表征客户端在进行登录认证时需要进行增强认证的任意标识;
接收所述零信任控制器发送的针对所述登录请求的登录令牌;
在确定所述登录令牌携带预设的增强认证标识的情况下,进行增强认证,并在增强认证通过的情况下,通过预设的数据通道向所述零信任网关访问业务资源。
8.一种零信任控制器,其特征在于,包括:处理器和存储器,所述处理器用于执行所述存储器中存储的登录认证程序,以实现权利要求1~6中任一项所述的登录认证方法。
9.一种电子设备,其特征在于,包括:处理器和存储器,所述处理器用于执行所述存储器中存储的登录认证程序,以实现权利要求7中所述的登录认证方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311218028.8A CN116962088B (zh) | 2023-09-20 | 2023-09-20 | 登录认证方法、零信任控制器及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311218028.8A CN116962088B (zh) | 2023-09-20 | 2023-09-20 | 登录认证方法、零信任控制器及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116962088A CN116962088A (zh) | 2023-10-27 |
| CN116962088B true CN116962088B (zh) | 2023-11-28 |
Family
ID=88458746
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311218028.8A Active CN116962088B (zh) | 2023-09-20 | 2023-09-20 | 登录认证方法、零信任控制器及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116962088B (zh) |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6668322B1 (en) * | 1999-08-05 | 2003-12-23 | Sun Microsystems, Inc. | Access management system and method employing secure credentials |
| US6691232B1 (en) * | 1999-08-05 | 2004-02-10 | Sun Microsystems, Inc. | Security architecture with environment sensitive credential sufficiency evaluation |
| WO2007089503A2 (en) * | 2006-01-26 | 2007-08-09 | Imprivata, Inc. | Systems and methods for multi-factor authentication |
| US9049211B1 (en) * | 2011-11-09 | 2015-06-02 | Google Inc. | User challenge using geography of previous login |
| CN104869124A (zh) * | 2015-06-05 | 2015-08-26 | 飞天诚信科技股份有限公司 | 一种基于地理位置信息的认证方法 |
| CN107769930A (zh) * | 2017-11-20 | 2018-03-06 | 飞天诚信科技股份有限公司 | 一种认证方式转接方法及装置 |
| US9928839B1 (en) * | 2013-12-04 | 2018-03-27 | United Services Automobile Association (Usaa) | Systems and methods for authentication using voice biometrics and device verification |
| CN113067797A (zh) * | 2021-02-01 | 2021-07-02 | 上海金融期货信息技术有限公司 | 支持跨网络区域多终端多凭证的身份认证和鉴权系统 |
| CN114157434A (zh) * | 2021-11-30 | 2022-03-08 | 中国光大银行股份有限公司 | 登录验证方法、装置、电子设备及存储介质 |
| CN114301617A (zh) * | 2021-10-22 | 2022-04-08 | 鸬鹚科技(深圳)有限公司 | 多云应用网关的身份认证方法、装置、计算机设备及介质 |
| CN115242546A (zh) * | 2022-09-15 | 2022-10-25 | 浙江中控技术股份有限公司 | 一种基于零信任架构的工业控制系统访问控制方法 |
| WO2023029138A1 (zh) * | 2021-08-31 | 2023-03-09 | 网宿科技股份有限公司 | 登录方法、电子设备及计算机可读存储介质 |
| WO2023069624A1 (en) * | 2021-10-22 | 2023-04-27 | Akoya LLC | Systems and methods for managing tokens and filtering data to control data access |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| BR112021011013A2 (pt) * | 2018-12-11 | 2021-08-31 | Visa International Service Association | Método, computador servidor, e, dispositivo de usuário |
-
2023
- 2023-09-20 CN CN202311218028.8A patent/CN116962088B/zh active Active
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6668322B1 (en) * | 1999-08-05 | 2003-12-23 | Sun Microsystems, Inc. | Access management system and method employing secure credentials |
| US6691232B1 (en) * | 1999-08-05 | 2004-02-10 | Sun Microsystems, Inc. | Security architecture with environment sensitive credential sufficiency evaluation |
| WO2007089503A2 (en) * | 2006-01-26 | 2007-08-09 | Imprivata, Inc. | Systems and methods for multi-factor authentication |
| US9049211B1 (en) * | 2011-11-09 | 2015-06-02 | Google Inc. | User challenge using geography of previous login |
| US9928839B1 (en) * | 2013-12-04 | 2018-03-27 | United Services Automobile Association (Usaa) | Systems and methods for authentication using voice biometrics and device verification |
| CN104869124A (zh) * | 2015-06-05 | 2015-08-26 | 飞天诚信科技股份有限公司 | 一种基于地理位置信息的认证方法 |
| CN107769930A (zh) * | 2017-11-20 | 2018-03-06 | 飞天诚信科技股份有限公司 | 一种认证方式转接方法及装置 |
| CN113067797A (zh) * | 2021-02-01 | 2021-07-02 | 上海金融期货信息技术有限公司 | 支持跨网络区域多终端多凭证的身份认证和鉴权系统 |
| WO2023029138A1 (zh) * | 2021-08-31 | 2023-03-09 | 网宿科技股份有限公司 | 登录方法、电子设备及计算机可读存储介质 |
| CN114301617A (zh) * | 2021-10-22 | 2022-04-08 | 鸬鹚科技(深圳)有限公司 | 多云应用网关的身份认证方法、装置、计算机设备及介质 |
| WO2023069624A1 (en) * | 2021-10-22 | 2023-04-27 | Akoya LLC | Systems and methods for managing tokens and filtering data to control data access |
| CN114157434A (zh) * | 2021-11-30 | 2022-03-08 | 中国光大银行股份有限公司 | 登录验证方法、装置、电子设备及存储介质 |
| CN115242546A (zh) * | 2022-09-15 | 2022-10-25 | 浙江中控技术股份有限公司 | 一种基于零信任架构的工业控制系统访问控制方法 |
Non-Patent Citations (4)
| Title |
|---|
| 基于OAuth2.0安全认证中间件的设计与实现;杨旸;潘俊臣;;网络空间安全(第07期);全文 * |
| 基于动态口令的增强身份认证;章思宇;黄保青;白雪松;姜开达;;华东师范大学学报(自然科学版)(第S1期);全文 * |
| 基于多因素认证的零信任网络构建;孙瑞;张正;;金陵科技学院学报(第01期);全文 * |
| 零信任架构在关键信息基础设施安全保护中的应用研究;左英男;;保密科学技术(第11期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116962088A (zh) | 2023-10-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US12011094B2 (en) | Multi-factor authentication with increased security | |
| EP2933981B1 (en) | Method and system of user authentication | |
| US20180295137A1 (en) | Techniques for dynamic authentication in connection within applications and sessions | |
| EP2819371B1 (en) | A computer implemented method to prevent attacks against authorization systems and computer programs products thereof | |
| US11252142B2 (en) | Single sign on (SSO) using continuous authentication | |
| US8856892B2 (en) | Interactive authentication | |
| US10445487B2 (en) | Methods and apparatus for authentication of joint account login | |
| US10219154B1 (en) | Frictionless or near-frictionless 3 factor user authentication method and system by use of triad network | |
| CN106779716B (zh) | 基于区块链账户地址的认证方法、装置及系统 | |
| KR101451359B1 (ko) | 사용자 계정 회복 | |
| CN102624720B (zh) | 一种身份认证的方法、装置和系统 | |
| CN105357186B (zh) | 一种基于带外验证和增强otp机制的二次认证方法 | |
| CN113672897A (zh) | 数据通信方法、装置、电子设备及存储介质 | |
| CN108076077A (zh) | 一种会话控制方法及装置 | |
| CN114301617A (zh) | 多云应用网关的身份认证方法、装置、计算机设备及介质 | |
| CN115022047A (zh) | 基于多云网关的账户登录方法、装置、计算机设备及介质 | |
| JP2012502338A (ja) | 少なくとも1つのサービスを提供するためのサーバシステムおよびその方法 | |
| CN112929388B (zh) | 网络身份跨设备应用快速认证方法和系统、用户代理设备 | |
| CN110166471A (zh) | 一种Portal认证方法及装置 | |
| CN113872990A (zh) | 基于ssl协议的vpn网络证书认证方法、装置和计算机设备 | |
| US11483166B2 (en) | Methods and devices for enrolling and authenticating a user with a service | |
| CN116962088B (zh) | 登录认证方法、零信任控制器及电子设备 | |
| EP4040316A1 (en) | Multi-factor authentication system and method | |
| CN109428869B (zh) | 钓鱼攻击防御方法和授权服务器 | |
| KR102016976B1 (ko) | 싱글 사인 온 서비스 기반의 상호 인증 방법 및 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |