CN118264422A - 一种用于邮件系统的多因子身份认证方法、装置及系统 - Google Patents

Abstract

本发明公开了一种用于邮件系统的多因子身份认证方法、装置及系统。该方法包括：根据客户端发送的登录请求进行统一身份认证，统一身份认证通过后，客户端接收并记录多因子身份认证返回的第一认证信息，并在用户触发接发电子邮件的操作时利用记录的设备密钥对第一认证信息中的第二Token和时间戳进行签名获得加密信息，将加密信息和设备ID一并作为第二认证信息发送给第二邮件服务器进行解析，第二邮件服务器将解析后的信息发送至多因子认证服务器中进行验签及邮件协议认证，并将其返回的邮件协议认证的结果发送至客户端，以完成整个邮件系统的身份认证过程。该方法使用多因子认证结合签名Token的方式来扩展标准邮件协议，实现更为安全的邮件系统的认证。

Description

一种用于邮件系统的多因子身份认证方法、装置及系统

技术领域

本发明涉及通信技术领域，特别涉及一种用于邮件系统的多因子身份认证方法、装置及系统。

背景技术

随着互联网的广泛应用和普及，人们的日常工作、生活和学习越来越多地和计算机网络结合在一起。电子邮件在人们的生活和工作中应用越来越普遍，因此邮件系统的安全性问题是人们时刻关注的问题。

目前邮件系统的身份认证主要以用户名和密码进行认证。但使用用户名和密码进行邮件协议认证，容易被攻击者通过暴力破解的方式试出邮箱的密码。一旦邮箱密码因为某种原因泄露后，用户邮箱的数据外流，并且可能会被用来发垃圾邮件或诈骗邮件，造成信息泄露和财产损失。使用多因子认证能够有效的避免邮箱密码被撞库破解，也能有效的避免邮箱密码泄露导致的用户邮箱被非法使用。但是目前邮件服务器的多因子认证都是Web邮箱服务器本身提供的功能，或者需要特定的身份认证系统的支持；难以和通用的统一身份认证系统集成，也缺少客户端多因子认证的方案。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的一种用于邮件系统的多因子身份认证方法、装置及系统。

第一方面，本发明实施例提供一种用于邮件系统的多因子身份认证方法，应用于第一邮件服务器，包括：

根据客户端发送的登录请求，与统一身份认证服务器交互，对客户端进行统一身份认证；

在对所述客户端进行统一身份认证通过后，根据所述统一身份认证服务器返回的第一Token、登录请求中携带的身份认证信息及设备ID，从多因子认证服务器中获取第一认证信息；

将获取的第一认证信息传输给客户端，以便所述客户端与所述多因子认证服务器之间进行邮件协议认证。

在一些可选的实施例中，在对客户端进行统一身份认证之前，还包括：所述第一邮件服务器将自身保存的登录页面发送给所述客户端；

接收客户端发送的登录请求，将所述请求中携带的身份认证信息发送给所述统一身份认证服务器进行身份认证。

在一些可选的实施例中，在对客户端进行统一身份认证之前，还包括：所述第一邮件服务器从统一身份认证服务器获得登录页面，并将所述登录页面发送给所述客户端；

接收客户端发送的登录请求，将所述登录请求转发至所述统一身份认证服务器，以便所述统一身份认证服务器对客户端发送的登录请求进行处理，返回统一身份认证的结果。

在一些可选的实施例中，在对所述客户端进行身份认证通过后，根据所述统一身份认证服务器返回的第一Token和登录请求中携带的身份认证信息及设备ID，从多因子认证服务器中获取第一认证信息，包括：

根据登录请求中携带的设备ID，判断所述登录请求是否为首次登录请求；

若为首次登录请求，则记录设备ID，并生成设备首次登录的标识，将所述首次登录的标识、第一Token、登录请求中携带的身份认证信息及设备ID发送至所述多因子认证服务器；接收多因子认证服务器返回的包含设备密钥和第二Token的第一认证信息；

若为非首次登录请求，则调用已记录的设备ID，并生成设备非首次登录的标识，将所述非首次登录的标识、第一Token、登录请求中携带的身份认证信息及设备ID发送至所述多因子认证服务器；接收多因子认证服务器返回的包含第二Token的第一认证信息。

在一些可选的实施例中，判断所述登录请求是否为首次登录请求，包括：

在已记录的设备ID中查询是否存在所述登录请求中携带的设备ID，若存在，则判断为非首次登录请求；若不存在，则判断为首次登录请求。

第二方面，本发明实施例提供一种用于邮件系统的多因子身份认证方法，应用于客户端，包括：

发送登录请求至第一邮件服务器以便进行统一身份认证；

接收统一身份认证服务器返回的身份认证通过的信息及多因子认证服务器返回的第一认证信息，并记录第一认证信息；

在用户触发接发电子邮件的操作时，利用设备密钥，对时间戳和第一认证信息中的第二Token进行签名得到加密信息，将所述加密信息和自身的设备ID一并作为第二认证信息传输给第二邮件服务器，以便所述第二邮件服务器与多因子认证服务器交互，对所述客户端进行邮件协议认证；

接收多因子认证服务器通过所述第二邮件服务器返回的邮件协议的认证结果。

在一些可选的实施例中，接收多因子认证服务器返回的第一认证信息，包括：

发送的登录请求为首次登录请求时，接收多因子认证服务器返回的包括第二Token和设备密钥的第一认证信息；

发送的登录请求为非首次登录请求时，客户端接收的第一认证信息为第二Token。

在一些可选的实施例中，利用设备密钥，对时间戳和第一认证信息中的第二Token进行签名得到加密信息，包括：

首次登录请求时，客户端利用第一认证信息中的设备密钥对第二Token和时间戳进行签名获得加密信息；

非首次登录请求时，客户端调用首次登录时已记录的设备密钥对第一认证信息和时间戳进行签名获得加密信息。

在一些可选的实施例中，所述方法还包括：在通过统一身份认证之后，从与身份认证信息对应的多个邮箱地址中，选择需要登录的邮箱地址，接收多因子身份认证服务器返回的与所选的邮箱地址对应的第一认证信息。

第三方面，本发明实施例提供一种用于邮件系统的多因子身份认证方法，应用于第二邮件服务器，包括：

接收客户端在经过统一身份认证后收发邮件时发送的邮件协议认证请求，对邮件协议认证请求中携带的第二认证信息进行解析获得解密信息；所述第二认证信息包括客户端的设备ID及所述客户端对第二Token和时间戳签名后的加密信息；

将所述解密信息发送给多因子认证服务器进行验签及邮件协议认证；

接收多因子认证服务器返回的邮件协议认证结果并传输给客户端。

第四方面，本发明实施例提供一种用于邮件系统的多因子身份认证系统，包括：客户端、第一邮件服务器、第二邮件服务器、多因子认证服务器及统一身份认证服务器；

所述第一邮件服务器分别与所述客户端、统一身份认证服务器及多因子认证服务器相连，以接收客户端发送的登录请求，与统一身份认证服务器交互，对客户端进行统一身份认证；在对所述客户端进行身份认证通过后，根据所述统一身份认证服务器返回的第一Token、登录请求中携带的身份认证信息及设备ID，从多因子认证服务器中获取第一认证信息；并将获取的第一认证信息传输给客户端，以便所述客户端与所述多因子认证服务器之间进行邮件协议认证；

所述第二邮件服务器分别与所述客户端及多因子认证服务器相连，以接收客户端发送的邮件协议认证请求，对邮件协议认证请求中携带的第二认证信息进行解密获得解密信息；将所述解密信息发送给多因子认证服务器进行验签及邮件协议认证；接收多因子认证服务器返回的邮件协议认证结果并传输给客户端。

第五方面，本发明实施例提供一种邮件服务器，所述邮件服务器用于在执行所述程序时实现如上述的用于邮件系统的多因子身份认证方法。

第六方面，本发明实施例提供一种客户端，包括：所述客户端用于在执行所述程序时实现如上述的用于邮件系统的多因子身份认证方法。

第七方面，本发明实施例提供一种计算机存储介质，所述计算机存储介质中存储有计算机可执行指令，所述计算机可执行指令被处理器执行时实现任一上述的用于邮件系统的多因子身份认证方法。

本发明实施例提供的上述技术方案的有益效果至少包括：

本发明实施例提供的邮件系统的多因子身份认证方法、装置及系统，该方法根据客户端发送的登录请求进行统一身份认证；统一身份认证通过之后，第一邮件服务器将客户端登录请求中携带的设备ID及身份认证信息、统一身份认证服务器返回的第一Token发送至多因子认证服务器，多因子认证服务器返回给第一邮件服务器第一认证信息；第一邮件服务器将该第一认证信息传输至客户端；客户端记录第二认证信息，并利用设备密钥对时间戳和第一认证信息中的第二Token进行签名得到加密信息，将加密信息和设备ID一并作为第二认证信息发送给第二邮件服务器进行解析且将解析后的信息发送至多因子认证服务器中进行验签及邮件协议认证，邮件协议认证结果经第二邮件服务器发送至客户端，以完成整个邮件系统的身份认证过程。相比较于传统的邮件系统的身份认证，本发明实施例通过使用多因子认证结合签名Token的方式来扩展标准邮件协议，实现更为安全的邮件协议认证。即可通过集成统一身份认证服务器实现多因子身份认证，多因子身份认证能有效的保护用户的邮箱不被其他人盗用，且客户端在获取Token后，通过将签名后的Token作为标准邮件协议的密码进行认证，能够更好的防止邮件系统的密码被撞库盗取，以及邮箱密码泄露后被非法使用的问题，且对Token和时间戳进行签名进行邮件协议认证能保证用户邮箱的认证信息不可被伪造、篡改和重放攻击，实现更为安全的邮件系统的认证。

本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。

下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。

附图说明

附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本发明的实施例一起用于解释本发明，并不构成对本发明的限制。在附图中：

图1为本发明实施例中用于邮件系统的多因子身份认证方法的主体架构示意图；

图2为本发明实施例中用于邮件系统的多因子身份认证方法在第一邮件服务器侧的流程示意图；

图3为本发明实施例中用于邮件系统的多因子身份认证方法在客户端侧的流程示意图；

图4为本发明实施例中用于邮件系统的多因子身份认证方法在第二邮件服务器侧的流程示意图；

图5为本发明实施例中邮件系统的多因子身份认证方法的流程示意图；

图6为本发明实施例中用于邮件系统的多因子身份认证方法一种应用场景的示意图。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

目前，在进行邮件系统的认证时，可以采用以下几种方式：1)通过用户名和密码认证，该方法容易被暴力破解，密码泄露后容易被非法使用；2)独立密码或识别码认证，其本质上还是密码认证，只是区分了Web邮箱和客户端的登录密码，有改善，但不能解决根本问题；3)Web邮箱的多因子登录，此方法只适用于Web邮箱，没有统一的客户端解决方案，难以与用户现有的统一身份认证服务器集成。

本发明人考虑到现有技术中在邮件协议(IMAP、POP3、SMTP)中的身份认证过程中，可能会存在密码被撞库盗取，以及邮箱密码泄露后被非法使用的问题；为了解决现有技术中存在的的问题，本发明实施例提供一种用于邮件系统的多因子身份认证方法、装置及系统；使用多因子认证+签名Token的方式来扩展标准邮件协议，实现更为安全的邮件协议认证。即通过集成统一身份认证服务器实现多因子身份认证，获取Token后，通过将签名后的Token作为标准邮件协议的密码进行邮件协议认证。

如图1所示的架构示意图，本发明实施例提供的用于邮件系统的多因子身份认证方法涉及的主体包括：客户端、第一邮件服务器、统一身份认证服务器、第二邮件服务器及多因子认证服务器；

其中该方法针对客户端发送的登录请求，利用第一邮件服务器及统一身份认证服务器进行统一身份认证；利用第二邮件服务器及多因子认证服务器进行邮件协议认证；该方法使用多因子认证加签名Token的方式来扩展标准邮件协议，实现更为安全的邮件协议认证，进而保证邮件认证过程和用户邮箱密码使用的安全性，下文将针对该方法中涉及到的具体主体进行详细说明。

该方法用到了两个用于认证的服务器：一个是IAM(Identity and AccessManagement)统一身份认证服务器，IAM服务器是一个提供身份认证服务的通用平台，可提供用于多因子身份验证的Web服务(登录页面)；一个专门用于提供邮件多因子身份认证的多因子认证服务器(MFAMulti Factor Authentication)服务器。

如图2所示，本发明实施例提供的用于邮件系统的多因子身份认证方法，应用于第一邮件服务器，该认证方法包括：

步骤S101：根据客户端发送的登录请求，与统一身份认证服务器交互，对客户端进行统一身份认证；

步骤S102：在对客户端进行统一身份认证通过后，根据统一身份认证服务器返回的第一Token、登录请求中携带的身份认证信息及设备ID，从多因子认证服务器中获取第一认证信息；

步骤S103：将获取的第一认证信息传输给客户端，以便客户端与多因子认证服务器之间进行邮件协议认证。

本发明实施例提供的方法，在对客户端进行统一身份认证之前，根据登录页面的来源，该方法还可包括以下两种情况：

1)第一邮件服务器将自身保存的登录页面发送给客户端；

接收客户端发送登录请求，将请求中携带的身份认证信息发送给统一身份认证服务器进行身份认证。

2)第一邮件服务器从统一身份认证服务器获得登录页面，并将登录页面发送给客户端；

接收客户端发送的登录请求，将登录请求转发至统一身份认证服务器服务器，以便统一身份认证服务器对客户端发送的登录请求进行处理，返回统一身份认证的结果。

本发明实施例提供的方法，第一邮件服务器接收客户端的请求，为客户端提供一个用户身份认证的登录页面，其中客户端的请求会话中带有设备类型、设备ID和设备信息；第一邮件服务器记录设备类型、设备ID和设备信息，并根据设备类型返回给客户端不同的认证页面，以分别为Web端、桌面客户端、移动客户端等提供各自适配的登录页面。且对于第一邮件服务器提供的登录页面可以是自身提供的，也可是集成自统一身份认证服务器的；当登录页面为第一邮件服务器自身提供的时，在对客户端进行统一身份认证之前，第一邮件服务器将自身保存的登录页面发送给客户端；当登录页面集成自统一身份认证服务器时，在对客户端进行统一身份认证之前，第一邮件服务器从统一身份认证服务器获得登录页面，并将登录页面发送给客户端；其中，第一邮件服务器提供的登录页面是集成自统一身份认证服务器时，则客户端打开登录页面后，用户输入的账号、密码等身份认证信息直接传入到统一身份认证服务器，不会在邮件客户端、第一邮件服务器存留，因此可极大的保证用户私密信息的安全。具体的，对于登录页面的具体提供方式，及当其集成于统一身份认证服务器时的具体集成方式本发明实施例不作具体限定。

在步骤S102中，在对客户端进行身份认证通过后，根据统一身份认证服务器返回的第一Token、登录请求中携带的身份认证信息及设备ID，从多因子认证服务器中获取第一认证信息，包括：

根据登录请求中携带的设备ID，判断登录请求是否为首次登录请求；

若为首次登录请求，则记录设备ID并生成设备首次登录的标识，将首次登录的标识、第一Token、登录请求中携带的身份认证信息及设备ID发送至多因子认证服务器；接收多因子认证服务器返回的包含设备密钥和第二Token的第一认证信息；

若为非首次登录请求，则调用已记录的设备ID并生成设备非首次登录的标识，将非首次登录的标识、第一Token、登录请求中携带的身份认证信息及设备ID发送至多因子认证服务器；接收多因子认证服务器返回的包含第二Token的第一认证信息。

在一个可选的实施例中，对于该方法中判断登录请求是否为首次登录请求，包括：

在已记录的设备ID中查询是否存在登录请求中携带的设备ID，若存在，则判断为非首次登录请求；若不存在，则判断为首次登录请求。

其中，对于统一身份认证服务器返回的第一Token为一次会话有效的Token，多因子认证服务器返回的第二Token为有一定时效期的Token，第二Token的有效期由第一邮件服务器控制。

可选的，在客户端发送登录请求时，第一邮件服务器记录客户端的登录请求中携带的设备ID和设备信息，当同一个设备再次发送登录请求时，第一邮件服务器可对登录请求中的设备ID和设备信息在已记录的设备ID中进行查询和管理。

如图3所示，本发明实施例提供的用于邮件系统的多因子身份认证方法，应用于客户端，包括：

步骤201：发送登录请求至第一邮件服务器以便进行统一身份认证；

步骤202：接收统一身份认证服务器返回的身份认证通过的信息及多因子认证服务器返回的第一认证信息，并记录第一认证信息；

步骤203：在用户触发接发电子邮件的操作时，利用设备密钥，对时间戳和第一认证信息中的第二Token进行签名得到加密信息，将加密信息和自身的设备ID一并作为第二认证信息传输给第二邮件服务器，以便第二邮件服务器与多因子认证服务器交互，对客户端进行邮件协议认证；

步骤204：接收多因子认证服务器通过第二邮件服务器返回的邮件协议的认证结果。

其中，客户端是指运行于能够基于网络协议接入通信网络的终端设备上的专用邮件客户端软件，即移动智能电话、桌面计算机等设备上的专用邮箱客户端应用。专用邮件客户端需要知道特定Web邮件服务器的访问地址。登录特定域的邮箱时，客户端访问对应的服务器的地址，获取并访问该服务器声明的登录页面的URL，在访问该登录页面时，同时传入设备ID和设备信息。

其中，URL(uniform resource locator)指统一资源定位符，它可以表示从互联网上得到的资源位置和访问方法，是互联网上标准资源的地址。互联网上的每个文件都有唯一的一个URL，它包含的信息可以指出文件的位置和浏览器及其他客户端应该怎么处理它。基本URL包含：模式(或称协议)、服务器名称(或IP地址)、路径和文件名，如“协议://授权/路径？查询”。完整的、带有授权部分的普通统一资源标志符语法看上去如下：协议://用户名:密码@子域名.域名.顶级域名:端口号/目录/文件名.文件后缀？参数＝值#标志。在本申请中使用的是http协议，它是一个无状态的短连接。当通信双方有数据交互时，就建立一个http连接，数据发送完成后，则断开此http连接。当然，https协议等，本申请对此不作限定。

该实施例，在步骤S202中，接收多因子认证服务器返回的第一认证信息，包括：

客户端发送的登录请求为首次登录请求时，接收多因子认证服务器返回的包括第二Token和设备密钥的第一认证信息；

客户端发送的登录请求为非首次登录请求时，客户端接收的第一认证信息为第二Token。

在步骤S203中：利用设备密钥，对时间戳和第一认证信息中的第二Token进行签名得到加密信息，包括：

首次登录请求时，客户端利用第二认证信息中的设备密钥对第二Token和时间戳进行签名获得加密信息；

非首次登录请求时，客户端调用首次登录时已记录的设备密钥对第一认证信息和时间戳进行签名获得加密信息。

可选的，其中客户端接收的多因子身份认证系统返回的第二Token和设备密钥可以根据在第一邮件服务器上的设置定时更新；且第二Token的更新只与设置的有效期有关，第二Token失效后，客户端进行邮件协议认证时会提示认证失败并重新认证。设备密钥(Devicekey)只在设备的客户端第一次发送登录请求时在网络上进行传输，客户端收到Devicekey后，存储到本地，之后在使用第二Token进行邮件协议认证的过程中只使用Devicekey计算签名，并不在网络上传输。使用Devicekey进行签名保证了Token是不可被伪造的。进行签名时，对第二Token和时间戳一起进行签名，并且要求客户端和服务器的时间一致，服务器进行身份认证时会检查认证信息中时间戳的有效性，保证了认证信息不可被回放；且设备密钥只有在客户端请求认证(包括重新认证)，并且设备密钥有效期到期时，才会自动更新。另外，客户端在发送登录请求时，可以根据需要，主动请求服务端更新Devicekey。

本发明实施例中，用户在进行身份认证时可输入唯一身份标识用于认证，这个唯一身份标识可以是邮箱地址，也可以是工号、用户名等；且当用户以工号或用户名作为唯一身份标识时可以绑定多个邮箱，在通过统一身份认证之后，可从与身份认证信息对应的多个邮箱地址中，选择需要登录的邮箱地址，接收多因子身份认证服务器返回的与所选的邮箱地址对应的第一认证信息；当输入的唯一身份标识为邮箱地址时，则无需再进行邮箱地址选择的操作。且该方法可支持用户添加多个邮箱账号，即可以支持对公共邮箱和授权邮箱的认证。

可选的，用户登录邮件服务器时也可使用个人证书在进行身份认证，个人证书的存储媒介可为USBkey。

进一步的，客户端在进行身份认证时，可以使用哪种多因子认证，取决于第一邮件服务器和统一身份认证服务器；在应用时，第一邮件服务器能够非常灵活的提供短信验证码、动态口令、USBkey、二维码等各种身份认证方式；即客户端通过登录页面传入第一邮件服务器的身份认证信息可为用户名+密码+短信验证码或用户名+密码+动态口令，也可为其他身份认证信息，当然也可以只使用用户名+密码进行认证，这可以看成多因子认证的一种特例，其中，用户名可以是邮箱地址、工号、手机号等唯一标识；对于客户端传入的具体身份认证信息，可根据需要进行选择，本发明实施例对此不作具体限定。

如图4所示，本发明实施例提供一种用于邮件系统的多因子身份认证方法，应用于第二邮件服务器，包括：

步骤S301：接收客户端在经过统一身份认证后收发邮件时发送的邮件协议认证请求，对邮件协议认证请求中携带的第二认证信息进行解析获得解密信息；第二认证信息包括客户端的设备ID及经客户端对第二Token和时间戳签名后的加密信息；

步骤S302：将解密信息发送给多因子认证服务器进行验签及邮件协议认证；

步骤S303：接收多因子认证服务器返回的邮件协议认证结果并传输给客户端。

第二邮件服务器解析获得的解密信息包括：解析后的加密信息和设备ID；在第二邮件服务器将解密信息发送给多因子认证服务器后，多因子认证服务器会对接收到的加密信息进行验签，得到第二Token和时间戳，利用验签后得到的第二Token、时间戳及设备ID一起进行邮件协议认证，其中验签不通过或时间戳不对都会导致邮件协议认证失败，并将邮件协议认证的结果经第二邮件服务器返回给客户端进行相应处理。

且在进行邮件协议认证时，邮件协议认证的认证信息使用标准邮件协议的密码字段进行传输，兼容现有的标准邮件协议。邮件服务器能够同时支持标准的邮件密码认证，以及扩展的MFA认证，并且可以控制两种认证的开启和关闭。即第二邮件服务器能够设置是否支持标准邮件协议的密码认证，当第二邮件服务器接收到认证请求后，可以识别是否为多因子身份认证，如果是，则调用多因子认证服务器的接口对经第二邮件服务器解析后的加密信息进行验签并进行验证。

对于本发明实施例中的多因子认证服务器(MFA服务器)，该服务器对第一邮件服务器和第二邮件服务器提供的功能接口可包括：

1)添加用户的认证信息接口；

2)修改用户认证信息接口；

3)删除用户认证信息接口；

4)验证用户认证信息接口；

5)注册用户变更通知回调接口。

可选的，第一邮件服务器通过统一身份认证之后，到MFA服务器进行注册，添加用户认证信息，并将统一认证的临时性的第一Token换成MFA服务器的第二Token；在第二邮件服务器接收到客户端的邮件协议认证请求后，调用MFA服务器的验证用户认证信息接口，进行邮件协议认证；当邮件服务器在用户修改密码或踢除某个设备后，调用MFA服务器的修改用户认证信息接口，将Token标记为下线。邮件服务器在删除某个用户后，调用MFA服务器的删除用户认证信息接口，在MFA服务器中，删除绑定的用户认证信息；在MFA服务器上的认证信息过期或无效后，通过注册用户变更通知回调通知邮件服务器禁用该Token对应的邮件会话。

在一个可选的实施例中，该邮件系统的多因子身份认证方法可通过以下实施例来进行示例性的说明，当客户端发送的请求为首次登录请求、代替标准邮件协议密码的MFA认证信息的格式为JWT(Json Web Token,基于Json的一个公开规范)时，如图5所示，该方法可以包括如下步骤：

步骤S401：客户端访问第一邮件服务器提供的多因子登录页面，传入设备ID和身份认证信息进行身份认证。

其中，客户端进行统一身份认证时，可以使用哪种多因子认证，取决于第一邮件服务器和统一身份认证服务器。因此在此实施例中，第一邮件系统能够非常灵活的提供短信验证码、动态口令、USBkey、二维码等各种统一身份认证方法，客户端可根据第一邮件服务器提供的多因子认证方式输入相应的身份认证信息，本发明对此不作具体限定。

步骤S402：第一邮件服务器接收客户端传入的设备ID和统一身份认证返回的第一Token，将第一Token、登录请求中携带的身份认证信息及设备ID传给MFA服务器换取用于邮件会话认证的第二Token和Devicekey(设备密钥)，并返回给客户端；

在本实施例中，第一邮件服务器负责对统一身份认证服务器的集成，具体的集成方式方法本申请不作限定，统一身份认证服务器返回的第一认证信息可能是邮箱地址及其对应的第一Token，也可能是其他信息。统一身份认证通过后，邮件服务器调用MFA的添加用户的认证信息接口在MFA服务器中绑定用户的认证信息，MFA服务器返回第二Token和Devicekey给第一邮件服务器，第一邮件服务器返回给专用邮件客户端，对于非首次登录请求，MFA服务器返回的是第二Token。

步骤403：客户端使用Devicekey对第二Token和时间戳进行签名生成JWT，将JWT和设备ID作为密码字段通过标准邮件协议传给第二邮件服务器以便进行邮件协议认证；

此步骤对应标准邮件协议(IMAP、POP3、SMTP)的身份认证阶段。

其中，客户端使用Devicekey对第二Token和时间戳进行签名，可包括：

将Token和时间戳作为有效载荷(payload)，生成JWT。

将JWT和设置ID拼接到一起作为标准邮件协议的密码字段进行认证。

本实施例中，代替标准邮件协议密码的MFA认证信息的格式默认为JWT，但不限于其他可用的格式；默认通过标准邮件协议的密码字段将MFA认证信息传给第二邮件服务器，但不限于密码字段；且本实施例中使用Devicekey对Token和时间戳进行签名计算JWT时的默认算法是HS256，也可以是其他可行的加密签名算法；本发明实施例对以上不作具体限定，本领域技术人员可根据实际需要进行选择。

本实施例中，标准邮件协议指IMAP、POP3、SMTP，至于邮件协议使用的端口和传输加密方式，本申请不作限定，如可包括安全套接字协议(Secure Sockets Layer，SSL)、STARTTLS和非加密。

步骤404：第二邮件服务器解析密码字段，得到JWT和设备ID，调用MFA服务器提供的接口进行邮件协议认证；

本实施例中，第二邮件服务器接收到邮件协议的密码字段后，可以根据MFA认证字符串的特征来识别MFA格式的认证信息，从而在一个端口同时支持标准的邮件协议认证和扩展的MFA认证。

步骤405：MFA服务器根据JWT和设备ID进行验签和邮件协议认证，并将邮件协议认证结果通过第二邮件服务器传输给客户端。

本实施例中，在进行身份认证时，MFA服务器在验证第二Token的有效性之前，会先对JWT的进行验签，再对JWT中的时间戳进行检查，签名或时间戳不对都会认证失败。最终身份认证的结果，会经过第一邮件服务器返回给客户端进行相应处理。

下面通过一个具体的应用场景来说明本申请中邮件系统的多因子认证方法。然而值得注意的是，该具体实施例仅是为了更好地说明本发明，并不构成对本发明的不当限定。

在如图6所示的示意性系统中，当客户端发送的请求为首次登录请求、代替标准邮件协议密码的MFA认证信息的格式为JWT，且第一邮件服务器提供的身份认证页面集成自统一身份认证时，该方法可以包括以下步骤：

1)专用邮件客户端打开第一邮件服务器(Web Mail Server)提供的身份认证页面，输入用户认证信息进行身份认证。

2)第一邮件服务器在身份认证页面中集成统一身份认证页面，将专用邮件客户端的http请求转到IAM统一身份认证服务器进行身份认证。

3)第一邮件服务器根据IAM统一身份认证服务器返回的用户认证信息，调用MFA服务器的添加用户认证信息接口进行注册，并获取到第二Token和Devicekey。

4)第一邮件服务器将MFAToken和Devicekey返回给专用邮件客户端，客户端保存第二Token和Devicekey，完成邮箱帐户的添加。

5)专用邮件客户端以Devicekey作为密钥对第二Token和时间戳进行加密签名，计算出JWT，使用JWT作为密码进行邮件协议认证。

6)第二邮件服务器(eMail Server)接收并识别出JWT，将JWT传入MFA服务器，调用验证用户认证信息接口进行邮件协议认证。

7)第二邮件服务器将身份认证结果返回给客户端，完成邮件协议的身份认证过程。

本发明实施例通过对统一身份认证服务器身份认证页面的集成，以及使用对Token和时间戳加密签名计算出的JWT作为邮件协议的密码对标准邮件协议(IMAP、POP3、SMTP)进行扩展实现了邮件系统的多因子身份认证。具体来说，邮件服务器通过提供身份认证页面实现了对统一身份认证服务器的集成以及对邮件客户端的多因子身份认证；专用邮件客户端支持通过身份认证页面传回身份认证的结果；邮件服务器认证通过后会返回email地址和对应的Token，第一次还会返回用于加密签名的设备密钥Devicekey；客户端会将用户的认证信息加密存储到本地，完成添加邮箱帐户；当邮件客户端收发电子邮件时，使用本地存储的Devicekey作为密钥对Token和时间戳进行加密签名，计算出JWT，和设备ID拼接到一起作为邮件协议的密码传给邮件服务器，进行邮件协议的认证；邮件服务器识别出JWT，调用MFA服务器验证用户认证信息的接口，传入JWT，进行身份认证；MFA服务器对JWT进行校验和验证后，返回认证结果给邮件服务器；邮件服务器将认证结果返回给客户端完成邮件协议的认证。

本发明提出了一种能够方便的集成通用统一身份认证的方法以解决现有技术中邮件客户端无法通过统一身份认证进行邮件协议认证的问题，该方法除了可以做到Web邮箱的多因子登录，也支持客户端实现多因子登录，并且兼容标准的邮件协议。且该方法在进行邮件系统的多因子身份认证时，第一邮件服务器和第二邮件服务器处于核心位置，起到居中协调的作用，第一邮件服务器为客户端提供多因子认证登录页面，并且提供对统一身份认证服务器集成的能力；第二邮件服务器实现对专用客户端传入的第二认证信息进行解析，调用多因子认证服务器的接口进行邮件协议认证；使客户端、多因子认证服务器及统一身份认证服务器之间可以完全透明，即客户端与多因子认证服务器及统一身份认证服务器的耦合性降到最低；将客户端和统一身份认证服务器之间的耦合降到最低能减少集成统一身份认证服务器的实现复杂度，可以非常容易的实现和各种统一身份认证服务器的集成。

该方法通过统一身份认证服务器提供的短信验证码和Ukey证书等多因子认证和对Token进行签名来保证邮件认证过程和用户邮箱密码使用的安全性。通过统一身份认证服务器提供的多因子认证能有效的保护用户的邮箱不被其他人盗用，通过对Token加时间戳进行签名保证用户邮箱的认证信息不可被伪造、篡改和重放攻击，解决了现有技术中用户的邮箱密码被他人窃取的问题。

基于同一种发明构思，本发明实施例还提供了一种邮件系统的多因子身份认证系统、邮件服务器及客户端，由于该系统、邮件服务器及客户端所解决问题的原理与前述邮件系统的多因子身份认证方法相似，因此该系统、邮件服务器及客户端的实施可以参见前述方法的实施，重复之处不再赘述。

本发明实施例提供的一种用于邮件系统的多因子身份认证系统，如图1所示，包括：客户端、第一邮件服务器、第二邮件服务器、多因子认证服务器及统一身份认证服务器；

第一邮件服务器分别与客户端、统一身份认证服务器及多因子认证服务器相连，以接收客户端发送的登录请求，与统一身份认证服务器交互，对客户端进行统一身份认证；在对客户端进行身份认证通过后，根据统一身份认证服务器返回的第一Token、登录请求中携带的身份认证信息及设备ID，从多因子认证服务器中获取第一认证信息；并将获取的第一认证信息传输给客户端，以便客户端与多因子认证服务器之间进行邮件协议认证；

第二邮件服务器分别与客户端及多因子认证服务器相连，以接收客户端发送的邮件协议认证请求，对邮件协议认证请求中携带的第二认证信息进行解密获得解密信息；将解密信息发送给多因子认证服务器进行验签及邮件协议认证；接收多因子认证服务器返回的邮件协议认证结果并传输给客户端。

本发明实施例提供的一种邮件服务器，所述邮件服务器用于在执行所述程序时实现如前述的用于邮件系统的多因子身份认证方法。

本发明实施例提供的一种客户端，所述客户端用于在执行所述程序时实现如前述的的用于邮件系统的多因子身份认证方法。

本发明实施例提供一种计算机存储介质，所述计算机存储介质中存储有计算机可执行指令，所述计算机可执行指令被处理器执行时如前述用于邮件系统的多因子身份认证方法。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims (14)

1.一种用于邮件系统的多因子身份认证方法，其特征在于，应用于第一邮件服务器，包括：

根据客户端发送的登录请求，与统一身份认证服务器交互，对客户端进行统一身份认证；

在对所述客户端进行统一身份认证通过后，根据所述统一身份认证服务器返回的第一Token、登录请求中携带的身份认证信息及设备ID，从多因子认证服务器中获取第一认证信息；

将获取的第一认证信息传输给客户端，以便所述客户端与所述多因子认证服务器之间进行邮件协议认证。

2.如权利要求1所述的方法，其特征在于，在对客户端进行统一身份认证之前，还包括：所述第一邮件服务器将自身保存的登录页面发送给所述客户端；

接收客户端发送的登录请求，将所述请求中携带的身份认证信息发送给所述统一身份认证服务器进行身份认证。

3.如权利要求1所述的方法，其特征在于，在对客户端进行统一身份认证之前，还包括：所述第一邮件服务器从统一身份认证服务器获得登录页面，并将所述登录页面发送给所述客户端；

接收客户端发送的登录请求，将所述登录请求转发至所述统一身份认证服务器，以便所述统一身份认证服务器对客户端发送的登录请求进行处理，返回统一身份认证的结果。

4.如权利要求2或3任一所述的方法，其特征在于，在对所述客户端进行身份认证通过后，根据所述统一身份认证服务器返回的第一Token和登录请求中携带的身份认证信息及设备ID，从多因子认证服务器中获取第一认证信息，包括：

根据登录请求中携带的设备ID，判断所述登录请求是否为首次登录请求；

若为首次登录请求，则记录设备ID，并生成设备首次登录的标识，将所述首次登录的标识、第一Token、登录请求中携带的身份认证信息及设备ID发送至所述多因子认证服务器；接收多因子认证服务器返回的包含设备密钥和第二Token的第一认证信息；

若为非首次登录请求，则调用已记录的设备ID，并生成设备非首次登录的标识，将所述非首次登录的标识、第一Token、登录请求中携带的身份认证信息及设备ID发送至所述多因子认证服务器；接收多因子认证服务器返回的包含第二Token的第一认证信息。

5.如权利要求4所述的方法，其特征在于，判断所述登录请求是否为首次登录请求，包括：

在已记录的设备ID中查询是否存在所述登录请求中携带的设备ID，若存在，则判断为非首次登录请求；若不存在，则判断为首次登录请求。

6.一种用于邮件系统的多因子身份认证方法，其特征在于，应用于客户端，包括：

发送登录请求至第一邮件服务器以便进行统一身份认证；

接收统一身份认证服务器返回的身份认证通过的信息及多因子认证服务器返回的第一认证信息，并记录第一认证信息；

在用户触发接发电子邮件的操作时，利用设备密钥，对时间戳和第一认证信息中的第二Token进行签名得到加密信息，将所述加密信息和自身的设备ID一并作为第二认证信息传输给第二邮件服务器，以便所述第二邮件服务器与多因子认证服务器交互，对所述客户端进行邮件协议认证；

接收多因子认证服务器通过所述第二邮件服务器返回的邮件协议认证结果。

7.如权利要求6所述的方法，其特征在于，接收多因子认证服务器返回的第一认证信息，包括：

发送的登录请求为首次登录请求时，接收多因子认证服务器返回的包括第二Token和设备密钥的第一认证信息；

发送的登录请求为非首次登录请求时，客户端接收的第一认证信息为第二Token。

8.如权利要求7所述的方法，其特征在于，利用设备密钥，对时间戳和第一认证信息中的第二Token进行签名得到加密信息，包括：

首次登录请求时，客户端利用第一认证信息中的设备密钥对第二Token和时间戳进行签名获得加密信息；

非首次登录请求时，客户端调用首次登录时已记录的设备密钥对第一认证信息和时间戳进行签名获得加密信息。

9.如权利要求6-8任一所述的方法，其特征在于，所述方法还包括：在通过统一身份认证之后，从与身份认证信息对应的多个邮箱地址中，选择需要登录的邮箱地址，接收多因子身份认证服务器返回的与所选的邮箱地址对应的第一认证信息。

10.一种用于邮件系统的多因子身份认证方法，其特征在于，应用于第二邮件服务器，包括：

接收客户端在经过统一身份认证后收发邮件时发送的邮件协议认证请求，对邮件协议认证请求中携带的第二认证信息进行解析获得解密信息；所述第二认证信息包括客户端的设备ID及所述客户端对第二Token和时间戳签名后的加密信息；

将所述解密信息发送给多因子认证服务器进行验签及邮件协议认证；

接收多因子认证服务器返回的邮件协议认证结果并传输给客户端。

11.一种用于邮件系统的多因子身份认证的系统，包括：客户端、第一邮件服务器、第二邮件服务器、多因子认证服务器及统一身份认证服务器；

所述第一邮件服务器分别与所述客户端、统一身份认证服务器及多因子认证服务器相连，以接收客户端发送的登录请求，与统一身份认证服务器交互，对客户端进行统一身份认证；在对所述客户端进行身份认证通过后，根据所述统一身份认证服务器返回的第一Token、登录请求中携带的身份认证信息及设备ID，从多因子认证服务器中获取第一认证信息；并将获取的第一认证信息传输给客户端，以便所述客户端与所述多因子认证服务器之间进行邮件协议认证；

所述第二邮件服务器分别与所述客户端及多因子认证服务器相连，以接收客户端发送的邮件协议认证请求，对邮件协议认证请求中携带的第二认证信息进行解密获得解密信息；将所述解密信息发送给多因子认证服务器进行验签及邮件协议认证；接收多因子认证服务器返回的邮件协议认证结果并传输给客户端。

12.一种邮件服务器，其特征在于，所述邮件服务器用于在执行所述程序时实现权利要求1-5任一所述的用于邮件系统的多因子身份认证方法或如权利要求10所述的用于邮件系统的多因子身份认证方法。

13.一种客户端，其特征在于，所述客户端用于在执行所述程序时实现权利要求6-9任一所述的用于邮件系统的多因子身份认证方法。

14.一种计算机存储介质，其特征在于，所述计算机存储介质中存储有计算机可执行指令，所述计算机可执行指令被处理器执行时实现权利要求1-9任一所述的用于邮件系统的多因子身份认证方法。