CN117201024A - 一种身份认证方法以及认证系统 - Google Patents

一种身份认证方法以及认证系统 Download PDF

Info

Publication number
CN117201024A
CN117201024A CN202210612077.9A CN202210612077A CN117201024A CN 117201024 A CN117201024 A CN 117201024A CN 202210612077 A CN202210612077 A CN 202210612077A CN 117201024 A CN117201024 A CN 117201024A
Authority
CN
China
Prior art keywords
authentication
access
login
access request
gateway
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210612077.9A
Other languages
English (en)
Inventor
祝起明
冯强
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN202210612077.9A priority Critical patent/CN117201024A/zh
Publication of CN117201024A publication Critical patent/CN117201024A/zh
Pending legal-status Critical Current

Links

Landscapes

  • Information Transfer Between Computers (AREA)

Abstract

本申请实施例提供了一种身份认证方法以及认证系统,用于提高身份认证的安全性。具体包括:终端设备向认证网关发送第一访问请求,第一访问请求用于请求访问第一业务站点;在认证网关根据第一访问请求确定第一访问请求对应的访问主体未登录且在认证网关已注册时,认证网关响应第一访问请求跳转至认证服务器;认证服务器获取访问主体的登录信息并进行登录认证;在确定访问主体登录成功之后,获取访问主体的用户信息并生成第一认证标识;向认证网关反馈第一认证标识和登录成功指示消息;认证网关根据第一认证标识向认证服务器请求获取访问主体的用户信息,并响应登录成功指示消息将第一访问请求转发至第一业务站点。本申请可以应用于云系统。

Description

一种身份认证方法以及认证系统
技术领域
本申请涉及计算机应用领域,尤其涉及一种身份认证方法以及认证系统。
背景技术
现有的政务服务平台大都是各自独立维护一套自己的用户体系及单一认证手段,导致公众用户访问不同的政务系统,都需要创建自己的账号密码,甚至是同一政府单位的多个系统,用户体系也不打通。久而久之,造成公众用户需要记录大量账号密码信息,繁多混乱,最终导致密码记不清,频繁进行身份认证,修改密码,严重影响办事效率和用户体验。
目前为了解决上述问题,通常可以采用单点登录等方式实现登录一次,即可以访问多个系统。但是上述方案也仅是通过认证服务器来实现登录认证以及再次校验,在认证服务器出现问题时无法保证安全性。
因此现在急需要一种可以提高身份认证安全性的身份认证方法。
发明内容
本申请实施例提供了一种身份认证方法以及认证系统,用于提高身份认证的安全性。
有鉴于此,本申请一方面提供一种身份认证方法,应用于包括认证网关、认证服务器、终端设备以及多个业务站点的认证系统,具体包括:该终端设备向该认证网关发送第一访问请求,该第一访问请求用于请求访问第一业务站点;在该认证网关根据该第一访问请求确定该第一访问请求对应的访问主体未登录且在该认证网关已注册时,该认证网关响应该第一访问请求跳转至该认证服务器;该认证服务器获取该访问主体的登录信息并进行登录认证;在确定该访问主体登录成功之后,获取该访问主体的用户信息并生成第一认证标识;向该认证网关反馈该第一认证标识和登录成功指示消息;该认证网关根据该第一认证标识向该认证服务器请求获取该访问主体的用户信息,并响应该登录成功指示消息将该第一访问请求转发至该第一业务站点。
本申请另一方面提供一种认证系统,包括:认证网关、认证服务器、终端设备以及多个业务站点;该终端设备,用于向该认证网关发送第一访问请求,该第一访问请求用于请求访问第一业务站点;该认证网关,用于根据该第一访问请求确定该第一访问请求对应的访问主体未登录时,响应该第一访问请求跳转至该认证服务器;该认证服务器,用于获取该访问主体的登录信息并进行登录认证;在确定该访问主体登录成功之后,获取该访问主体的用户信息并生成第一认证标识;向该认证网关反馈该第一认证标识和登录成功指示消息;该认证网关,用于根据该第一认证标识向该认证服务器请求获取该访问主体的用户信息,并响应该登录成功指示消息将该第一访问请求转发至该第一业务站点。
在一种可能的设计中,在本申请实施例的另一方面的另一种实现方式中,该认证网关接收该终端设备发送的第二访问请求,该第二访问请求用于请求访问第二业务站点,且该第二访问请求中携带该第一身份凭证和该第二身份凭证;
在该认证网关校验该第二身份凭证存在时,该认证网关将该第二访问请求转发至该认证服务器;
该认证服务器根据该第一身份凭证核验得到该访问主体的认证结果;
该认证网关接收该认证服务器发送的该认证结果;
在该认证结果指示该访问主体处于登录状态时,该认证网关转发该第二访问请求至该第二业务站点。
在一种可能的设计中,在本申请实施例的另一方面的另一种实现方式中,该认证网关向该终端设备反馈第三身份凭证。可以理解的是,该认证网关也会保存该第三身份凭证。
在一种可能的设计中,在本申请实施例的另一方面的另一种实现方式中,该认证网关接收该终端设备发送的第三访问请求,该第三访问请求用于请求访问第三业务站点,且该第三访问请求中携带该第三身份凭证;
在该认证网关校验该第三身份凭证存在时,该认证网关在该第三访问请求增加第四身份凭证,并将该第三访问请求转发至该认证服务器,该第四身份凭证用于指示该访问主体;
该认证服务器根据该第四身份凭证核验得到该访问主体的认证结果;
该认证网关接收该认证服务器发送的该认证结果;
在该认证结果指示该访问主体处于登录状态时,该认证网关转发该第三访问请求至该第三业务站点。
在一种可能的设计中,在本申请实施例的另一方面的另一种实现方式中,该认证服务器接收该终端设备发送的该访问主体的账号与账号密码;
该认证服务器根据该账号与该账号密码进行登录认证;
或者,
该认证服务器接收该终端设备发送的该访问主体的面部特征信息或者指纹特征信息;
该认证服务器根据该面部特征信息或者该指纹特征信息进行登录认证;
或者,
该认证服务器接收第三方核验数据源发送的该访问主体的核验信息;
该认证服务器根据该访问主体的核验信息进行登录认证。
在一种可能的设计中,在本申请实施例的另一方面的另一种实现方式中,该终端设备展示登录认证界面,该登录认证界面显示登录认证方式选择控件;
该终端设备响应该访问主体对该登录认证方式选择控件的操作显示登录信息输入界面;
该终端设备响应该访问主体在该输入界面的操作获取该访问主体的登录信息。
本申请另一方面提供一种计算机设备,包括:存储器、处理器以及总线系统;
其中,存储器用于存储程序;
处理器用于执行存储器中的程序,处理器用于根据程序代码中的指令执行上述各方面的方法;
总线系统用于连接存储器以及处理器,以使存储器以及处理器进行通信。
本申请的另一方面提供了一种计算机可读存储介质,计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述各方面的方法。
本申请的另一个方面,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述各方面所提供的方法。
从以上技术方案可以看出,本申请实施例具有以下优点:在登录认证过程中,认证网关对访问请求进行一次认证以确定该访问请求对应的访问主体是否有在该认证网关进行注册以及该访问主体是否有登录,在未登录的情况下再转发至认证服务器进行一次认证,这样认证网关可以实现对访问请求进行一次筛选,从而避免其他访问主体对网络进行登录攻击,从而提高登录认证过程中的安全性。
附图说明
图1为本申请实施例中身份认证方法的一个产品架构示意图;
图2为本申请实施例中通信系统的一个架构示意图;
图3为本申请实施例中身份认证平台的一个架构示意图;
图4为本申请实施例中身份认证方法的一个实施例示意图;
图5a为本申请实施例中终端设备发送访问请求的一个界面示意图;
图5b为本申请实施例中终端设备发送访问请求的另一个界面示意图;
图6为本申请实施例中认证界面的一个界面示意图;
图7为本申请实施例中认证界面的另一个界面示意图;
图8为本申请实施例中认证界面的另一个界面示意图;
图9为本申请实施例中认证界面的另一个界面示意图;
图10为本申请实施例中身份认证方法的另一个实施例示意图;
图11为本申请实施例中身份认证方法的另一个实施例示意图;
图12为本申请实施例中身份认证系统的一个实施例示意图;
图13为本申请实施例中身份认证系统中认证服务器的一个实施例示意图;
图14为本申请实施例中身份认证系统中终端设备的一个实施例示意图。
具体实施方式
本申请实施例提供了一种身份认证方法以及认证系统,用于提高身份认证的安全性。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“对应于”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
为了方便理解,下面对本申请中部分名词进行说明:
认证网关:包括了准入网关、接入网关以及应用程序编程接口(applicationprogramming interface,API)。该认证网关可以实现对用户访问请求的流量管理。通过准入网关和身份认证进行配合,可以实现凡是注册到准入网关的站点或小程序,都能享受到统一的身份认证和权限控制。
cookies:客户端和服务进行身份交互的凭证。具体来说,cookies是一个保存在客户机中的简单的文本文件,这个文件与特定的全球广域网(World Wide Web,Web)文档进行关联,即cookies保存该客户机访问该Web文档时的信息,当客户机再次访问该Web文档时,cookies保存的信息可供该Web文档使用。由于cookies具有可以保存在客户机上的特性,因此它可以帮助实现记录用户个人信息的功能。举例来说,一个Web站点可能会为每一个访问者产生一个唯一的身份标识号(Identity document,ID),然后以cookies文件的形式保存在每个访问者对应的客户端上。如果使用浏览器访问Web,会看到所有保存在硬盘上的cookies。在这个文件夹里每一个文件都是一个由“名/值”对组成的文本文件,另外还有一个文件保存有所有对应的Web站点的信息。此时每个cookies文件都是一个简单的文本文件。通过文件名,就可以看到是哪个Web站点在机器上放置了Cookie(当然站点信息在文件里也有保存)
核验源:能够用于核验用户身份的信息库,包括但不限于合法机构获取的用户个人信息。比如个人唯一身份标识,账号密码等等。
访问主体:在网络中,发起访问的一方,访问内网业务资源的人/设备/应用/,是由人、设备、应用等因素单一组成或者组合形成的一种数字实体。
访问客体:本实施例中也称为业务站点。在网络中,被访问的一方,即企业内网业务资源,包括应用,系统(开发测试环境,运维环境,生产环境等),数据,接口,功能等。
本申请提供的方法应用于如图1所示的产品架构,面向对象、客户端、身份认证平台、核验数据源(即第三方核验数据库)。其中,该面向对象支持任何用户通过任何终端设备访问客户端上部署的业务站点。而该客户端上部署多个不同业务站点,此时该业务站点可以是服务网站;也可以是移动应用,其中,该移动应用包括小程序(比如即时通讯软件中的某个小程序)或者应用程序(比如某个银行对应的应用程序);也可以是业务系统。在本申请中,身份认证平台包括了认证服务器、统一身份账户库以及兼容第三方核验数据库;核验方式可以包括密码认证(比如账户与账户密码)、生物认证(比如指纹特征信息认证,面部特征信息认证等)、电子认证服务(即CA认证)等等。
基于图1的产品架构,本申请提供的方法可以应用于如图2所示的通信系统,请参阅图2,图2为本申请实施例中通信系统的一个架构示意图,如图所示,通信系包括认证服务器、终端设备、认证网关以及业务站点。业务站点对应的客户端部署于终端设备上,其中,客户端可以通过浏览器的形式运行于终端设备上,也可以通过独立的应用程序(application,APP)的形式运行于终端设备上等,对于客户端的具体展现形式,此处不做限定。本申请涉及的服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(Content Delivery Network,CDN)、以及大数据和人工智能平台等基础云计算服务的云服务器。终端设备可以是智能手机、平板电脑、笔记本电脑、掌上电脑、个人电脑、智能电视、智能手表、车载设备、可穿戴设备等,但并不局限于此。终端设备以及服务器可以通过有线或无线通信方式进行直接或间接地连接,本申请在此不做限制。服务器和终端设备的数量也不做限制。本申请中,该身份认证系统是云安全(Cloud Security)中的用户接入认证部分。云安全是指基于云计算商业模式应用的安全软件、硬件、用户、机构、安全云平台的总称。云安全融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,并发送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。云安全主要研究方向包括:1.云计算安全,主要研究如何保障云自身及云上各种应用的安全,包括云计算机系统安全、用户数据的安全存储与隔离、用户接入认证、信息传输安全、网络攻击防护、合规审计等;2.安全基础设施的云化,主要研究如何采用云计算新建与整合安全基础设施资源,优化安全防护机制,包括通过云计算技术构建超大规模安全事件、信息采集与处理平台,实现对海量信息的采集与关联分析,提升全网安全事件把控能力及风险控制能力;3.云安全服务,主要研究各种基于云计算平台为用户提供的安全服务,如防病毒服务等。
基于上述通信系统,本申请中身份认证平台的架构可以如图3所示,该身份认证平台根据不同的核验方式可以包括不同的认证模块,比如自然人认证子系统、法人认证子系统以及管理子系统;同时该身份认证平台还可以包括一个统一账户库。其中,该自然人认证子系统可以通过API网关调用个人基础信息库或者实名核验库中的自然人信息;该法人认证子系统可以通过API网关调用法人库中的法人信息;该管理子系统可以管理其他第三方认证平台,比如第三方认证对接平台和数据证书认证平台。其中,该第三方认证对接平台可以包括国家或者各个省(如湖北省、广东省等等)统一身份认证平台或者其他第三方认证平台;而该数据证书认证平台可以包括CA证书认证或者行业证书认证等等。同时该身份认证平台还可以通过准入网关与部署于终端设备上的各个业务客户端进行访问交互。其中,该业务客户端可以是网站或者小程序或者业务系统或者应用程序。可以理解的是,该个人基础信息库或者实名核验库或者法人库均为数据库(Database)。而数据库,简而言之可视为电子化的文件柜——存储电子文件的处所,用户可以对文件中的数据进行新增、查询、更新、删除等操作。所谓“数据库”是以一定方式储存在一起、能与多个用户共享、具有尽可能小的冗余度、与应用程序彼此独立的数据集合。数据库管理系统(Database ManagementSystem,DBMS)是为管理数据库而设计的电脑软件系统,一般具有存储、截取、安全保障、备份等基础功能。数据库管理系统可以依据它所支持的数据库模型来作分类,例如关系式、XML(Extensible Markup Language,即可扩展标记语言);或依据所支持的计算机类型来作分类,例如服务器群集、移动电话;或依据所用查询语言来作分类,例如SQL(结构化查询语言(Structured Query Language)、XQuery;或依据性能冲量重点来作分类,例如最大规模、最高运行速度;亦或其他的分类方式。不论使用哪种分类方式,一些DBMS能够跨类别,例如,同时支持多种查询语言。
可以理解的是,在本申请的具体实施方式中,涉及到用户信息、用户网络访问等相关的数据,当本申请以上实施例运用到具体产品或技术中时,需要获得用户许可或者同意,且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准。
基于上述描述,下面对本申请实施例中身份认证方法进行说明,具体请参阅图4所示,本申请实施例中身份认证方法的一个实施例具体包括:
401、终端设备向认证网关发送第一访问请求,该访问请求用于请求访问第一业务站点。
该终端设备响应用户操作生成第一访问请求,然后该终端设备将该第一访问请求发送至该认证网关,其中,该第一访问请求用于请求访问第一业务站点。
可以理解的是,该用户操作可以是用户在该终端设备上部署的浏览器端进行点击操作,也可以是该用户在该终端设备上部署的小程序上的点击操作。其中,该点击操作可以是用户通过操作鼠标点击屏幕上的控件实现点击操作,也可以是用户通过手指点击屏幕上的控件实现点击操作。
一种可能实现方式中,如图5a所示,该用户在浏览器上浏览政务网站,该政务网站的显示界面如图5a所示,包括“个人信息查询”、“居住证”、“人才引进”、“个人常用”“法人常用”“搜索栏”等控件,若该用户需要访问“个人信息查询”,则该用户可以通过移动鼠标使得光标至“个人信息查询”控件上,然后控制鼠标点击“个人信息查询”控件,这时该终端设备响应该点击操作生成的该第一访问请求用于请求进行个人信息查询。一种示例性方案中,该第一访问请求可以是统一资源定位器(Uniform Resource Locator,URL)也可以是其他可能的消息格式,具体此处不做限定。可以理解的是,URL是对互联网上得到的资源的位置和访问方法的一种简洁表示,是互联网上标准资源的地址。URL它具有全球唯一性,正确的URL应该是可以通过浏览器打开此网页的。比如,若该第一访问请求用于访问某个政务网站,则该第一访问请求对应的URL可以如下:“http://www.xxx.gov.cn”。
另一种可能实现方式中,如图5b所示,该用户在平板设备上进入政务应用程序,该政务程序的显示界面如图5b所示,包括“个人信息查询”、“居住证”、“人才引进”、“个人常用”“法人常用”“搜索栏”等控件,若该用户需要访问“个人信息查询”,则该用户可以通过手指点击“个人信息查询”控件,这时该平板设备响应该点击操作生成的该第一访问请求用于请求进行个人信息查询。
402、该认证网关对该第一访问请求进行核验,在确定该第一访问请求对应的访问主体已在该认证网关进行注册且该访问主体未登录时,响应该第一访问请求跳转至该认证服务器。
本实施例中,该认证网关获取该第一访问请求携带的信息,从而获取到访问主体的相关信息,然后该认证网关根据该访问主体的相关信息核验该访问主体是否在该第一业务站点和该访问主体是否在该认证网关进行注册;在该认证网关确定该访问主体以及该第一业务站点在该认证网关已进行注册之后,再次核验该访问主体是否在处于登录状态,若该访问主体处于未登录状态,则该认证网关跳转到至该认证服务器。此时该终端设备的显示屏幕上将显示该认证服务器对应的认证界面。一种示例性方案中,该认证界面可以如图6所示,包括“个人登录”、“法人登录”、“登录二维码”、“账号密码”、“生物认证”、“网银认证”、“CA认证”等登录认证方式的选择控件。即本实施例中提供多样的登录认证方式,其中该登录认证方式包括但不限于账号密码,生物认证、网银认证、CA认证等等信息。这样可以获取到多样的核验源,从而提高身份认证的安全性,并实现本方案的可实行性。
例如,用户A在认证网关注册了业务A、业务B以及业务C,该认证网关将保存该用户A在注册该业务A、该业务B以及该业务C时的信息。比如该用户A在该认证网关上注册该业务A时,利用用户名“ting”和密码“124536”进行注册,此时该认证网关在其注册成功之后会给其分配一个相应的账号,如“456867895”。可以理解的是,该认证网关分配账号可以仅有数字,也可以有数字、字母以及符号的组合(如“Ab-456867895”),具体不做限定。该认证网关保存的信息将包括该用户A的用户名“ting”、密码“124536”以及该认证网关分配的账号“456867895”。若该用户A在该业务A中还需要进行实名认证,则该认证网关还可以保存该用户A的身份名称“小小白”和身份标识ID等信息。同时,用户A在该认证网关注册成功之后,该认证网关也可以反馈与该用户A对应的注册凭证,该注册凭证可以用于指示该用户A在该认证网关已注册成功。同理,该认证网关也会保存该用户A在该认证网关注册该业务B和该业务C时的信息,具体此处不再赘述。当该用户A向该认证网关发送访问业务A的访问请求时,该访问请求可以携带该用户A的用户信息或者该认证网关反馈的注册凭证,若该访问请求携带的用户信息认证网关未保存或者该访问请求未携带该注册凭证或者该访问请求携带的注册凭证已过期或者该访问请求携带的注册凭证错误,则该认证网关确认该用户A未注册。在此情况下,该认证网关可以直接向该用户A使用的终端设备(比如台式电脑,此时该用户A通过部署在该台式电脑上的浏览器访问该业务A)发送提示,显示当前访问请求无法通过。若该认证网关确定该用户A已注册,则根据该访问请求携带的登录凭证情况确认该用户A是否处于登录状态。若该访问请求未携带该登录凭证或者该访问请求携带的登录凭证已过期或者该访问请求携带的登录凭证错误,则该认证网关确认该用户A未登录。此时,该认证网关将任务跳转到该认证服务器,提醒该用户A进行登录认证。此时该用户A使用的终端设备可以显示如图6所示的登录认证界面。
403、该认证服务器获取该访问主体的登录信息,并进行登录认证。
在该终端设备跳转至认证界面之后,响应用户对于登录认证方式的选择操作显示登录信息的获取界面;然后该认证服务器可以根据该登录认证方式获取到该访问主体的登录信息,并根据该登录信息进行登录认证。
具体来说,该认证服务器进行登录认证的方式可以包括如下几种可能实现方式:
一种可能实现方式中,该终端设备响应该用户的选择操作显示账号和账号密码登录界面,此时认证服务器将获取该终端设备发送的账号和账号密码作为该登录信息,并根据该账号和账号密码进行登录认证。如图7所示,该终端设备显示账号输入栏和账号密码输入栏,用户在上述输入栏分别输入账号和账号密码,然后该终端设备将该账号和该账号密码发送至该认证服务器,该认证服务器再根据该账号和该账号密码进行登录认证。
另一种可能实现方式中,该终端设备响应该用户的选择操作显示生物特征登录界面,然后该终端设备获取该用户的生物特征信息(比如指纹特征信息、面部特征信息或者声纹特征信息等等),然后该终端设备将该生物特征信息发送至该认证服务器,该认证服务器根据该生物特征信息进行登录认证。如图8所示,该终端设备显示指纹获取界面,该用户通过终端设备的指纹采集装置输入指纹,该终端设备将该指纹特征信息发送至该认证服务器,该认证服务器根据该指纹特征信息进行登录认证。
另一种可能实现方式中,该终端设备响应该用户的选择操作显示第三方认证界面,然后根据第三方认证界面输入相应的登录认证信息,并发送至该认证服务器,使得该认证服务器通过该第三方认证的登录认证信息进行登录认证。如图9所示,该终端设备显示第三方实名核验界面,用户通过相应的输入栏输入该用户的实名信息,并将该实名信息发送至该认证服务器,该认证服务器根据该实名信息与该实名核验的数据库进行登录认证。
404、在该访问主体登录成功后,该认证服务器获取该访问主体的用户信息并生成第一认证标识。
在该认证服务器确定该访问主体登录成功之后,该认证服务器获取该访问主体的用户信息,并根据该用户信息生成第一认证标识(也可以称为code)。可以理解的是,该用户信息可以是该认证服务器可以调用的核验数据源中的全部用户信息也可以单一登录方式中对应的用户信息。比如若该访问主体是通过账号和账号密码登录认证成功,则该认证服务器获取到的用户信息可以仅为账号与账号密码;也可以在登录成功之后获取该账号和账号密码,以及该访问主体在其他认证平台上的用户信息,比如该访问主体对应的生物特征信息、账号、注册名以及身份标识ID等等。
例如,该认证服务器核验用户A登录成功之后,可以从多个核验源中调用该用户A的用户信息也可以仅获取该用户A用于登录认证的用户信息。比如获取到该用户A的身份名称为“小小白”、身份标识ID为“7824679464”;业务A上的账号为“456867895”、在业务A上的用户名为“ting”、在业务B上的用户名为“ting0120”、在业务C上的用户名为“sting”、CA认证的数字证书1、网银认证的数据字证书2、右手拇指指纹、右手食指指纹、左手拇指指纹、照片等等。然后该认证服务器基于该用户A的用户信息生成一个唯一标识,使得该认证服务器在再次接收到该唯一标识时,可以调用该用户A的用户信息。
405、该认证服务器将该第一认证标识以及登录成功指示消息发送至该认证网关。
该认证服务器将该第一认证标识以及指示该访问主体登录成功的登录成功指示消息发送至该认证网关。
406、该认证网关根据该第一认证标识向该认证服务器请求该用户信息。
该认证网关向该认证服务器发送请求消息,其中,该请求消息携带该第一认证标识。
407、该认证服务器向该认证网关发送该用户信息。
该认证服务器在接收到该请求消息后,根据该第一认证标识进行核验,在核验通过时,该认证服务器将该访问主体的用户信息发送至该认证网关。
在本实施例中,在该认证网关获取到该用户信息可以将该用户信息进行缓存。
在该认证网关对该用户信息进行缓存之后,若该认证网关再次接收到该终端设备发送的访问请求,则该认证网关可以根据该用户信息对该访问请求携带的认证标识进行核验。例如,在该认证网关接收该认证服务器反馈的用户A的用户信息后,该认证网关接收到的用户信息将包括从实名认证系统中获取到该用户A的身份名称为“小小白”、身份标识ID为“7824679464”、业务A上的账号为“456867895”、在业务A上的用户名为“ting”、在业务B上的用户名为“ting0120”、在业务C上的用户名为“sting”、CA认证的数字证书1、网银认证的数据字证书2、右手拇指指纹、右手食指指纹、左手拇指指纹、照片等等。然后该认证网关将上述信息进行保存。
408、该认证网关向该终端设备转发该登录成功指示消息。
该认证网关在接收到该认证服务器反馈的登录成功指示消息后,向该终端设备转发该登录成功指示消息。409、该终端设备响应该登录成功指示消息向该认证网关发送该第一访问请求。
该终端设备在接收到该登录成功指示消息之后,重新向该认证网关发送该第一访问请求。
410、该认证网关对该第一访问请求进行核验,在确定该第一访问请求对应的访问主体已在该认证网关进行注册且该访问主体未登录时,响应该第一访问请求跳转至该第一业务站点。
本实施例中,该认证网关获取该第一访问请求携带的信息,从而获取到访问主体的相关信息,然后该认证网关根据该访问主体的相关信息核验该访问主体是否在该第一业务站点和该访问主体是否在该认证网关进行注册;在该认证网关确定该访问主体以及该第一业务站点在该认证网关已进行注册之后,再次核验该访问主体是否在处于登录状态,该认证网关根据已获取的用户信息核验该访问主体处于登录状态,则该认证网关将该第一访问请求转发至该第一站点。
可以理解的是,本实施例中,该访问主体可以通过部署在该终端设备上的不同客户端实现对业务站点的访问,但是基于不同的客户端,在该访问主体首次登录过程中,该认证网关与该认证服务器在该访问主体首次登录之后,还可以执行如下操作:
若该访问主体是通过部署在该终端设备上的浏览器端访问业务站点,则在该访问主体首次登录之后,该认证服务器将根据该访问主体的用户信息生成第一身份凭证并存储,该认证网关将根据该访问主体的用户信息生成第二身份凭证并存储。这样在该访问主体再次访问业务站点时,该访问主体向该认证网关发送的访问请求里将会携带该第一身份凭证与该第二身份凭证。一种示例性方案中,该第一身份凭证与该第二身份凭证可以为cookies,比如,在该认证服务器保存的cookies为“tif-sso-session-gy=1dgnla6qhi3ut6d1310ae26a24ba0ad58442aaf28f97b”。在该认证网关处保存的cookies为“tif_ssoid=07j8zjyqrnp2hz0lxqhzw2”。此处,该tif-sso-session-gy为cookies类型,该1dgnla6qhi3ut6d1310ae26a24ba0ad58442aaf28f97b为该cookies的值。同理,该tif_ssoid为cookies类型,该07j8zjyqrnp2hz0lxqhzw2为该cookies的值。可以理解的是,该cookies的值可以是该认证服务器与该认证网关随机生成,也可以是该认证服务器和该认证网关根据该访问主体的用户信息采用算法计算得到。此处算法并不做限定,只要可以得到该cookies的唯一值即可。
在此方案下,该访问主体通过该终端设备访问第二业务站点的具体认证过程可以如图10所示:
1001、该终端设备向该认证网关发送第二访问请求,该第二访问请求用于请求访问第二业务站点,该第二访问请求携带该第一身份凭证和该第二身份凭证。
在该认证服务器和该认证网关保存了身份凭证(即cookies)之后,在该终端设备再次在同一浏览器下进行业务访问时,其访问请求中将自动携带该第一身份凭证和该第二身份凭证。
例如,该用户A在台式电脑上通过浏览器访问业务A时已经登录认证成功,则此时该认证服务器与该认证网关将该浏览器的同一域内保存相应的cookies,比如cookies1和cookies2,在该用户A继续在该台式电脑上通过该浏览器访问业务B时,该访问请求中将携带该cookies1和cookies2。
1002、在该认证网关校验该第二身份凭证标识存在时,该认证网关将该第二访问请求转发至该认证服务器。
在该认证网关获取到该第二访问请求之后,根据该第二访问请求中的相关信息确定该第二访问请求对应的访问主体是否在该认证网关进行注册,若已注册则该认证网关确定该第二身份凭证是否存在,若该第二身份凭证存在,则该认证网关将该第二访问请求转发至该认证服务器;若不存在,则向该终端设备反馈未登录或者访问错误的提示,具体此处不做限定。可以理解的是,在该认证网关确定该第二身份凭证存在之后,该认证网关还可以根据该第二身份凭证获取获取已缓存的用户信息,并将该用户信息用于后续操作。
例如,该用户A发送的访问请求中携带了该cookies1和cookies2,该认证网关在解析该访问请求之后获取到该cookies1和cookies2,该认证网关对该cookies1和cookies2分别与自身已保存的cookies进行比对,若该认证网关确认cookies1和cookies2存在一个与其自身保存的cookies相同,则向该认证服务器转发该访问请求,使得该认证服务器根据cookies1和cookies2再次核验用户A是否为登录状态。
可以理解的是,该认证网关在核验自身是否存在该cookies之前,同样需要对该用户A是否在该认证网关进行注册进行核验。例如,用户A在认证网关注册了业务A、业务B以及业务C,该认证网关将保存该用户A在注册该业务A、该业务B以及该业务C时的信息。比如该用户A在该认证网关上注册该业务A时,利用用户名“ting”和密码“124536”进行注册,此时该认证网关在其注册成功之后会给其分配一个相应的账号,如“456867895”。可以理解的是,该认证网关分配账号可以仅有数字,也可以有数字、字母以及符号的组合(如“Ab-456867895”),具体不做限定。该认证网关保存的信息将包括该用户A的用户名“ting”、密码“124536”以及该认证网关分配的账号“456867895”。若该用户A在该业务A中还需要进行实名认证,则该认证网关还可以保存该用户A的身份名称“小小白”和身份标识ID等信息。同时,用户A在该认证网关注册成功之后,该认证网关也可以反馈与该用户A对应的注册凭证,该注册凭证可以用于指示该用户A在该认证网关已注册成功。同理,该认证网关也会保存该用户A在该认证网关注册该业务B和该业务C时的信息,具体此处不再赘述。当该用户A向该认证网关发送访问业务A的访问请求时,该访问请求可以携带该用户A的用户信息或者该认证网关反馈的注册凭证,若该访问请求携带的用户信息认证网关未保存或者该访问请求未携带该注册凭证或者该访问请求携带的注册凭证已过期或者该访问请求携带的注册凭证错误,则该认证网关确认该用户A未注册。若无上述问题,则可以确认该用户A已注册。
1003、该认证服务器根据该第一身份凭证核验得到该访问主体的认证结果。
在该认证服务器接收到该第二访问请求之后,获取该第二身份凭证;并核验该第二身份凭证是否存在,若存在,则该认证服务器确定该第二访问请求对应的访问主体处于登录状态,若不存在,则该认证服务器确定该第二访问请求对应的访问主体未登录。例如,该用户A发送的访问请求中携带了该cookies1和cookies2,该认证网关在解析该访问请求之后获取到该cookies1和cookies2,该认证网关对该cookies1和cookies2分别与自身已保存的cookies进行比对,若该认证网关确认cookies1和cookies2存在一个与其自身保存的cookies相同,则向该认证服务器转发该访问请求,使得该认证服务器根据cookies1和cookies2再次核验用户A是否为登录状态。而该认证服务器在接收到该认证网关转发的访问请求之后,解析该访问请求获取到该cookies1和cookies2,该认证服务器对该cookies1和cookies2分别与自身已保存的cookies进行比对,若该认证服务器确认cookies1和cookies2存在一个与其自身保存的cookies相同,则向该认证服务器确认该用户A已处于登录状态。
可以理解的是,在该认证服务器确定该访问主体处于登录状态时,该认证服务器还可以根据该第一身份凭证获取该访问主体对应的用户信息,并在后续操作中使用该用户信息。
1004、该认证服务器向该认证网关发送该认证结果。1005、在该认证结果指示该访问主体处于登录状态时,该认证网关转发该第二访问请求至该第二业务站点。
在该认证结果指示该访问主体处于登录状态时,该认证网关可以直接将该第二访问请求转发至该第二业务站点,以实现该访问主体对该第二业务站点的访问。
若认证结果指示该访问主体未登录或者该访问主体的登录状态已失效,则该认证网关将根据该第二访问请求跳转至该认证服务器,并进行登录认证。
若该访问主体是通过部署在该终端设备上的小程序端访问业务站点,则在该访问主体首次登录之后,该认证网关向该终端设备反馈第三身份凭证。这样在该访问主体再次访问业务站点时,该访问主体向该认证网关发送的访问请求里将会携带该第三身份凭证。
在此方案下,该访问主体通过该终端设备访问第二业务站点的具体认证过程可以如图11所示:
1101、该终端设备向该认证网关发送第三访问请求,该第三访问请求用于请求访问第三业务站点,该第三访问请求携带该第三身份凭证。
在该认证网关向该终端设备反馈了身份凭证(即code)之后,在该终端设备再次通过小程序进行业务访问时,其访问请求中将自动携带该第三身份凭证。
例如,该用户A在手机上通过小程序访问业务A时已经登录认证成功,则此时该认证网关将将生成一个身份凭证,并将该身份凭证发送至该终端设备,同时自身也保存该身份凭证。比如code1,在该用户A继续该用户A在手机上通过小程序访问业务B时,该访问请求中将携带该code1。可以理解的是,该code1可以是该认证网关随机生成,也可以是该认证网关根据该访问主体的用户信息采用算法计算得到。此处算法并不做限定,只要可以得到唯一的code1即可。
1102、在该认证网关校验该第三身份凭证存在时,在该第三访问请求增加第四身份凭证,并将该第三访问请求转发至该认证服务器,该第四身份凭证用于指示该访问主体。
在该认证网关获取到该第三访问请求之后,根据该第三访问请求中的相关信息确定该第三访问请求对应的访问主体是否在该认证网关进行注册,若已注册则该认证网关确定该第三身份凭证是否存在,若该第三身份凭证存在,则该认证网关将该第三访问请求转发至该认证服务器,此时该第三访问请求携带第四身份凭证,该第四身份凭证用于指示该访问主体;若不存在,则向该终端设备反馈未登录或者访问错误的提示,具体此处不做限定。可以理解的是,在该认证网关确定该第三身份凭证存在之后,该认证网关还可以根据该第三身份凭证获取获取已缓存的用户信息,并将该用户信息用于后续操作。
例如,该用户A发送的访问请求中携带了该code1,该认证网关在解析该访问请求之后获取到该code1,该认证网关对该code1与自身已保存的code1进行比对,若该认证网关确认code1与其自身保存的code1相同,则在该访问请求中新增一个身份凭证,且该身份凭证用于指示该用户A;然后该认证网关向该认证服务器转发该访问请求,使得该认证服务器根据新增的身份凭证再次核验用户A是否为登录状态。可以理解的是,该新增的身份凭证可以是该认证网关调用该用户A的用户信息之后生成。比如该身份凭证为该用户A的身份标识ID或者身份名称或者分配账号或者指纹特征或者面部特征。
1103、该认证服务器根据该第四身份凭证核验得到该访问主体的认证结果。
在该认证服务器接收到该第三访问请求之后,获取该第四身份凭证;并核验该第四身份凭证是否存在,若存在,则该认证服务器确定该第三访问请求对应的访问主体处于登录状态,若不存在,则该认证服务器确定该第三访问请求对应的访问主体未登录。可以理解的是,在该认证服务器确定该访问主体处于登录状态时,该认证服务器还可以根据该第四身份凭证获取该访问主体对应的用户信息,并在后续操作中使用该用户信息。
例如,该用户A发送的访问请求中携带了该code1,该认证网关在解析该访问请求之后获取到该code1,该认证网关对该code1与自身已保存的code1进行比对,若该认证网关确认code1与其自身保存的code1相同,则在该访问请求中新增一个身份凭证,且该身份凭证用于指示该用户A;然后该认证网关向该认证服务器转发该访问请求,使得该认证服务器根据新增的身份凭证再次核验用户A是否为登录状态。而该认证服务器在接收到该认证网关转发的访问请求之后,解析该访问请求获取到该新增的身份凭证,该认证服务器对该新增的身份凭证与自身已保存的用户信息进行比对,若该认证服务器确认该新增的身份凭证与其自身保存的cookies相同,则该认证服务器确认该用户A已处于登录状态。
1104、该认证服务器向该认证网关发送该认证结果。
1105、在该认证结果指示该访问主体处于登录状态时,该认证网关转发该第三访问请求至该第三业务站点。
在该认证结果指示该访问主体处于登录状态时,该认证网关可以直接将该第三访问请求转发至该第三业务站点,以实现该访问主体对该第三业务站点的访问。
若认证结果指示该访问主体未登录或者该访问主体的登录状态已失效,则该认证网关将根据该第三访问请求跳转至该认证服务器,并进行登录认证。
下面对本申请中的身份认证系统进行详细描述,请参阅图12,图12为本申请实施例中身份认证系统的一个实施例示意图,身份认证系统20包括:
认证网关201、认证服务器202、终端设备203以及多个业务站点204;
该终端设备203,用于向该认证网关201发送第一访问请求,该第一访问请求用于请求访问第一业务站点204;
该认证网关201,用于根据该第一访问请求确定该第一访问请求对应的访问主体未登录时,响应该第一访问请求跳转至该认证服务器202;
该认证服务器202,用于获取该访问主体的登录信息并进行登录认证;在确定该访问主体登录成功之后,获取该访问主体的用户信息并生成第一认证标识;向该认证网关201反馈该第一认证标识和登录成功指示消息;
该认证网关201,用于根据该第一认证标识向该认证服务器202请求获取该访问主体的用户信息,并响应该登录成功指示消息将该第一访问请求转发至该第一业务站点204。
本申请实施例中,提供了一种身份认证系统。采用上述系统,在登录认证过程中,认证网关对访问请求进行一次认证以确定该访问请求对应的访问主体是否有在该认证网关进行注册以及该访问主体是否有登录,在未登录的情况下再转发至认证服务器进行一次认证,这样认证网关可以实现对访问请求进行一次筛选,从而避免其他访问主体对网络进行登录攻击,从而提高登录认证过程中的安全性。
可选地,在上述图12所对应的实施例的基础上,本申请实施例提供的身份认证系统20的另一实施例中,
该认证服务器202,用于根据该用户信息生成第一身份凭证并存储;
该认证网关201,用于根据该用户信息生成第二身份凭证并存储。
本申请实施例中,提供了一种身份认证系统。采用上述系统,在登录认证之后,认证服务器与该认证网关均种入cookie,为访问主体访问第二业务站点准备身份认证凭证,因此该访问主体在访问该第二业务站点可以避免再登录认证。
可选地,在上述图12所对应的实施例的基础上,本申请实施例提供的身份认证系统20的另一实施例中,该认证网关201,用于接收该终端设备203发送的第二访问请求,该第二访问请求用于请求访问第二业务站点204,且该第二访问请求中携带该第一身份凭证和该第二身份凭证;
在校验该第二身份凭证存在时,该认证网关201,用于将该第二访问请求转发至该认证服务器202;
该认证服务器202,用于根据该第一身份凭证核验得到该访问主体的认证结果;
该认证网关201,用于接收该认证服务器202发送的该认证结果;
在该认证结果指示该访问主体处于登录状态时,该认证网关201,用于转发该第二访问请求至该第二业务站点。
本申请实施例中,提供了一种身份认证系统。采用上述系统,在认证过程中,认证服务器与认证网关进行两次身份认证,提高身份认证的安全性。
可选地,在上述图12所对应的实施例的基础上,本申请实施例提供的身份认证系统20的另一实施例中,
该认证网关201,用于向该终端设备203反馈第三身份凭证
本申请实施例中,提供了一种身份认证系统。采用上述系统,在登录认证之后,认证网关向该终端设备反馈身份凭证,以作为该访问主体访问第三业务站点时的身份凭证,因此该访问主体在访问第三业务站点时可以避免进行再次登录认证。
可选地,在上述图12所对应的实施例的基础上,本申请实施例提供的身份认证系统20的另一实施例中,
该认证网关201,用于接收该终端设备203发送的第三访问请求,该第三访问请求用于请求访问第三业务站点,且该第三访问请求中携带该第三身份凭证;
在校验该第三身份凭证存在时,该认证网关201,用于在该第三访问请求增加第四身份凭证,并将该第三访问请求转发至该认证服务器202,该第四身份凭证用于指示该访问主体;
该认证服务器202,用于根据该第四身份凭证核验得到该访问主体的认证结果;
该认证网关接201,用于收该认证服务器202发送的该认证结果;
在该认证结果指示该访问主体处于登录状态时,该认证网关201,用于转发该第三访问请求至该第三业务站点。
本申请实施例中,提供了一种身份认证系统。采用上述系统,在认证过程中,认证服务器与该认证网关进行两次身份认证,提高身份认证的安全性。
可选地,在上述图12所对应的实施例的基础上,本申请实施例提供的身份认证系统20的另一实施例中,
该认证服务器202,用于接收该终端设备203发送的该访问主体的账号与账号密码;根据该账号与该账号密码进行登录认证;
或者,
该认证服务器202,用于接收该终端设备203发送的该访问主体的面部特征信息或者指纹特征信息;根据该面部特征信息或者该指纹特征信息进行登录认证;
或者,
该认证服务器202,用于接收第三方核验数据源发送的该访问主体的核验信息;根据该访问主体的核验信息进行登录认证。
本申请实施例中,提供了一种身份认证系统。采用上述系统,认证服务器支持多种登录认证方式,从而提升方案的可行性和可操作性。
可选地,在上述图12所对应的实施例的基础上,本申请实施例提供的身份认证系统20的另一实施例中,该终端设备203,用于展示登录认证界面,该登录认证界面显示K个登录认证方式选择控件,该K为大于1的整数;响应该访问主体对该登录认证方式选择控件的操作显示登录信息输入界面;响应该访问主体在该输入界面的操作获取该访问主体的登录信息。
本申请实施例中,提供了一种身份认证系统。采用上述系统,登录认证界面提供多种登录认证方式的选择,从而增加方案的可行性和可操作性。
上述实施例中由认证服务器所执行的步骤可以基于该图13所示的服务器结构,请参阅图13,图13是本申请实施例提供的一种服务器结构示意图,该服务器300可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上中央处理器(central processingunits,CPU)322(例如,一个或一个以上处理器)和存储器332,一个或一个以上存储应用程序342或数据344的存储介质330(例如一个或一个以上海量存储设备)。其中,存储器332和存储介质330可以是短暂存储或持久存储。存储在存储介质330的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对服务器中的一系列指令操作。更进一步地,中央处理器322可以设置为与存储介质330通信,在服务器300上执行存储介质330中的一系列指令操作。
服务器300还可以包括一个或一个以上电源326,一个或一个以上有线或无线网络接口350,一个或一个以上输入输出接口358,和/或,一个或一个以上操作系统341,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等等。
上述实施例中由终端设备所执行的步骤可以基于该图14所示的终端设备结构,请参阅图14,为了便于说明,仅示出了与本申请实施例相关的部分,具体技术细节未揭示的,请参照本申请实施例方法部分。在本申请实施例中,以终端设备为智能手机为例进行说明:
图14示出的是与本申请实施例提供的终端设备相关的智能手机的部分结构的框图。参考图14,智能手机包括:射频(radio frequency,RF)电路410、存储器420、输入单元430、显示单元440、传感器450、音频电路460、无线保真(wireless fidelity,WiFi)模块470、处理器480、以及电源490等部件。本领域技术人员可以理解,图14中示出的智能手机结构并不构成对智能手机的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
下面结合图14对智能手机的各个构成部件进行具体的介绍:
RF电路410可用于收发信息或通话过程中,信号的接收和发送,特别地,将基站的下行信息接收后,给处理器480处理;另外,将设计上行的数据发送给基站。通常,RF电路410包括但不限于天线、至少一个放大器、收发信机、耦合器、低噪声放大器(low noiseamplifier,LNA)、双工器等。此外,RF电路410还可以通过无线通信与网络和其他设备通信。上述无线通信可以使用任一通信标准或协议,包括但不限于全球移动通讯系统(globalsystem of mobile communication,GSM)、通用分组无线服务(general packet radioservice,GPRS)、码分多址(code division multiple access,CDMA)、宽带码分多址(wideband code division multiple access,WCDMA)、长期演进(long term evolution,LTE)、电子邮件、短消息服务(short messaging service,SMS)等。
存储器420可用于存储软件程序以及模块,处理器480通过运行存储在存储器420的软件程序以及模块,从而执行智能手机的各种功能应用以及数据处理。存储器420可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据智能手机的使用所创建的数据(比如音频数据、电话本等)等。此外,存储器420可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
输入单元430可用于接收输入的数字或字符信息,以及产生与智能手机的用户设置以及功能控制有关的键信号输入。具体地,输入单元430可包括触控面板431以及其他输入设备432。触控面板431,也称为触摸屏,可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触控面板431上或在触控面板431附近的操作),并根据预先设定的程式驱动相应的连接装置。可选的,触控面板431可包括触摸检测装置和触摸控制器两个部分。其中,触摸检测装置检测用户的触摸方位,并检测触摸操作带来的信号,将信号传送给触摸控制器;触摸控制器从触摸检测装置上接收触摸信息,并将它转换成触点坐标,再送给处理器480,并能接收处理器480发来的命令并加以执行。此外,可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触控面板431。除了触控面板431,输入单元430还可以包括其他输入设备432。具体地,其他输入设备432可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种。
显示单元440可用于显示由用户输入的信息或提供给用户的信息以及智能手机的各种菜单。显示单元440可包括显示面板441,可选的,可以采用液晶显示器(liquidcrystal display,LCD)、有机发光二极管(organic light-emitting diode,OLED)等形式来配置显示面板441。进一步的,触控面板431可覆盖显示面板441,当触控面板431检测到在其上或附近的触摸操作后,传送给处理器480以确定触摸事件的类型,随后处理器480根据触摸事件的类型在显示面板441上提供相应的视觉输出。虽然在图14中,触控面板431与显示面板441是作为两个独立的部件来实现智能手机的输入和输入功能,但是在某些实施例中,可以将触控面板431与显示面板441集成而实现智能手机的输入和输出功能。
智能手机还可包括至少一种传感器450,比如光传感器、运动传感器以及其他传感器。具体地,光传感器可包括环境光传感器及接近传感器,其中,环境光传感器可根据环境光线的明暗来调节显示面板441的亮度,接近传感器可在智能手机移动到耳边时,关闭显示面板441和/或背光。作为运动传感器的一种,加速计传感器可检测各个方向上(一般为三轴)加速度的大小,静止时可检测出重力的大小及方向,可用于识别智能手机姿态的应用(比如横竖屏切换、相关游戏、磁力计姿态校准)、振动识别相关功能(比如计步器、敲击)等;至于智能手机还可配置的陀螺仪、气压计、湿度计、温度计、红外线传感器等其他传感器,在此不再赘述。
音频电路460、扬声器461,传声器462可提供用户与智能手机之间的音频接口。音频电路460可将接收到的音频数据转换后的电信号,传输到扬声器461,由扬声器461转换为声音信号输出;另一方面,传声器462将收集的声音信号转换为电信号,由音频电路460接收后转换为音频数据,再将音频数据输出处理器480处理后,经RF电路410以发送给比如另一智能手机,或者将音频数据输出至存储器420以便进一步处理。
WiFi属于短距离无线传输技术,智能手机通过WiFi模块470可以帮助用户收发电子邮件、浏览网页和访问流式媒体等,它为用户提供了无线的宽带互联网访问。虽然图14示出了WiFi模块470,但是可以理解的是,其并不属于智能手机的必须构成,完全可以根据需要在不改变发明的本质的范围内而省略。
处理器480是智能手机的控制中心,利用各种接口和线路连接整个智能手机的各个部分,通过运行或执行存储在存储器420内的软件程序和/或模块,以及调用存储在存储器420内的数据,执行智能手机的各种功能和处理数据,从而对智能手机进行整体监测。可选的,处理器480可包括一个或多个处理单元;可选的,处理器480可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器480中。
智能手机还包括给各个部件供电的电源490(比如电池),可选的,电源可以通过电源管理系统与处理器480逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。
尽管未示出,智能手机还可以包括摄像头、蓝牙模块等,在此不再赘述。
上述实施例中由认证网关所执行的步骤可以基于该图12所示的服务器,或者图14所示的终端设备结构,具体情况此处不再赘述。
本申请实施例中还提供一种计算机可读存储介质,该计算机可读存储介质中存储有计算机程序,当其在计算机上运行时,使得计算机执行如前述各个实施例描述的方法。
本申请实施例中还提供一种包括程序的计算机程序产品,当其在计算机上运行时,使得计算机执行前述各个实施例描述的方法。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。

Claims (10)

1.一种身份认证方法,应用于包括认证网关、认证服务器、终端设备以及多个业务站点的认证系统,其特征在于,包括:
所述终端设备向所述认证网关发送第一访问请求,所述第一访问请求用于请求访问第一业务站点;
在所述认证网关根据所述第一访问请求确定所述第一访问请求对应的访问主体未登录且在所述认证网关已注册时,所述认证网关响应所述第一访问请求跳转至所述认证服务器;
所述认证服务器获取所述访问主体的登录信息并进行登录认证;在确定所述访问主体登录成功之后,获取所述访问主体的用户信息并生成第一认证标识;向所述认证网关反馈所述第一认证标识和登录成功指示消息;
所述认证网关根据所述第一认证标识向所述认证服务器请求获取所述访问主体的用户信息,并响应所述登录成功指示消息将所述第一访问请求转发至所述第一业务站点。
2.根据权利要求1所述的方法,其特征在于,在确定所述访问主体登录成功之后,所述方法还包括:
所述认证服务器根据所述用户信息生成第一身份凭证并存储;
所述认证网关根据所述用户信息生成第二身份凭证并存储。
3.根据权利要求2所述的方法,其特征在于,在响应所述登录成功指示消息将所述第一访问请求转发至所述第一业务站点之后,所述方法还包括:
所述认证网关接收所述终端设备发送的第二访问请求,所述第二访问请求用于请求访问第二业务站点,且所述第二访问请求中携带所述第一身份凭证和所述第二身份凭证;
在所述认证网关校验所述第二身份凭证存在时,所述认证网关将所述第二访问请求转发至所述认证服务器;
所述认证服务器根据所述第一身份凭证核验得到所述访问主体的认证结果;
所述认证网关接收所述认证服务器发送的所述认证结果;
在所述认证结果指示所述访问主体处于登录状态时,所述认证网关转发所述第二访问请求至所述第二业务站点。
4.根据权利要求1所述的方法,其特征在于,在确定所述访问主体登录成功之后,所述方法还包括:
所述认证网关向所述终端设备反馈第三身份凭证。
5.根据权利要求4所述的方法,其特征在于,在响应所述登录成功指示消息将所述第一访问请求转发至所述第一业务站点之后,所述方法还包括:
所述认证网关接收所述终端设备发送的第三访问请求,所述第三访问请求用于请求访问第三业务站点,且所述第三访问请求中携带所述第三身份凭证;
在所述认证网关校验所述第三身份凭证存在时,所述认证网关在所述第三访问请求增加第四身份凭证,并将所述第三访问请求转发至所述认证服务器,所述第四身份凭证用于指示所述访问主体;
所述认证服务器根据所述第四身份凭证核验得到所述访问主体的认证结果;
所述认证网关接收所述认证服务器发送的所述认证结果;
在所述认证结果指示所述访问主体处于登录状态时,所述认证网关转发所述第三访问请求至所述第三业务站点。
6.根据权利要求1至5中任一项所述的方法,其特征在于,所述认证服务器获取所述访问主体的登录信息并进行登录认证包括:
所述认证服务器接收所述终端设备发送的所述访问主体的账号与账号密码;
所述认证服务器根据所述账号与所述账号密码进行登录认证;
或者,
所述认证服务器接收所述终端设备发送的所述访问主体的面部特征信息或者指纹特征信息;
所述认证服务器根据所述面部特征信息或者所述指纹特征信息进行登录认证;
或者,
所述认证服务器接收第三方核验数据源发送的所述访问主体的核验信息;
所述认证服务器根据所述访问主体的核验信息进行登录认证。
7.根据权利要求1至5中任一项所述的方法,其特征在于,所述认证网关响应所述第一访问请求跳转至所述认证服务器之后,所述方法还包括:
所述终端设备展示登录认证界面,所述登录认证界面显示K个登录认证方式选择控件,所述K为大于1的整数;
所述终端设备响应所述访问主体对所述登录认证方式选择控件的操作显示登录信息输入界面;
所述终端设备响应所述访问主体在所述输入界面的操作获取所述访问主体的登录信息。
8.一种身份认证系统,其特征在于,包括:
认证网关、认证服务器、终端设备以及多个业务站点;
所述终端设备,用于向所述认证网关发送第一访问请求,所述第一访问请求用于请求访问第一业务站点;
所述认证网关,用于根据所述第一访问请求确定所述第一访问请求对应的访问主体未登录时,响应所述第一访问请求跳转至所述认证服务器;
所述认证服务器,用于获取所述访问主体的登录信息并进行登录认证;在确定所述访问主体登录成功之后,获取所述访问主体的用户信息并生成第一认证标识;向所述认证网关反馈所述第一认证标识和登录成功指示消息;
所述认证网关,用于根据所述第一认证标识向所述认证服务器请求获取所述访问主体的用户信息,并响应所述登录成功指示消息将所述第一访问请求转发至所述第一业务站点。
9.一种计算机设备,其特征在于,包括:存储器、处理器以及总线系统;
其中,所述存储器用于存储程序;
所述处理器用于执行所述存储器中的程序,所述处理器用于根据程序代码中的指令执行权利要求1至7中任一项所述的方法;
所述总线系统用于连接所述存储器以及所述处理器,以使所述存储器以及所述处理器进行通信。
10.一种计算机可读存储介质,包括指令,当其在计算机上运行时,使得计算机执行如权利要求1至7中任一项所述的方法。
CN202210612077.9A 2022-05-31 2022-05-31 一种身份认证方法以及认证系统 Pending CN117201024A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210612077.9A CN117201024A (zh) 2022-05-31 2022-05-31 一种身份认证方法以及认证系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210612077.9A CN117201024A (zh) 2022-05-31 2022-05-31 一种身份认证方法以及认证系统

Publications (1)

Publication Number Publication Date
CN117201024A true CN117201024A (zh) 2023-12-08

Family

ID=89000266

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210612077.9A Pending CN117201024A (zh) 2022-05-31 2022-05-31 一种身份认证方法以及认证系统

Country Status (1)

Country Link
CN (1) CN117201024A (zh)

Similar Documents

Publication Publication Date Title
CN111475841B (zh) 一种访问控制的方法、相关装置、设备、系统及存储介质
US10643149B2 (en) Whitelist construction
US20160241589A1 (en) Method and apparatus for identifying malicious website
CN108351933B (zh) 用于最终用户启动的访问服务器真实性检查的方法和系统
CN112733107A (zh) 一种信息验证的方法、相关装置、设备以及存储介质
EP2878115B1 (en) Online user account login method and server system implementing the method
CN110198301B (zh) 一种服务数据获取方法、装置及设备
WO2015158300A1 (en) Methods and terminals for generating and reading 2d barcode and servers
CN108234124B (zh) 身份验证方法、装置与系统
CN111064713B (zh) 一种分布式系统中的节点控制方法和相关装置
CN113037741B (zh) 一种鉴权方法、鉴权装置、计算机设备及存储介质
CN104683301B (zh) 一种密码保存的方法及装置
CN104580177B (zh) 资源提供方法、装置和系统
CN111010405B (zh) 一种SaaS化的网站安全监控系统
CN113010898B (zh) 一种应用程序安全测试方法和相关装置
WO2018108062A1 (zh) 身份验证方法、装置及存储介质
CN108475304A (zh) 一种关联应用程序和生物特征的方法、装置以及移动终端
CN111314085A (zh) 数字证书验证方法及装置
CN104683290A (zh) 一种监控网络钓鱼的方法、装置和终端
CN107577933B (zh) 应用登录方法和装置、计算机设备、计算机可读存储介质
CN110445746B (zh) cookie获取方法、装置及存储设备
CN108234412B (zh) 身份验证方法与装置
CN108234113B (zh) 身份验证方法、装置与系统
CN112153032A (zh) 一种信息处理方法、装置、计算机可读存储介质及系统
CN108234409B (zh) 身份验证方法与装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination