TWI780047B - 身份認證方法、裝置和系統 - Google Patents

身份認證方法、裝置和系統 Download PDF

Info

Publication number
TWI780047B
TWI780047B TW106115667A TW106115667A TWI780047B TW I780047 B TWI780047 B TW I780047B TW 106115667 A TW106115667 A TW 106115667A TW 106115667 A TW106115667 A TW 106115667A TW I780047 B TWI780047 B TW I780047B
Authority
TW
Taiwan
Prior art keywords
account information
authentication
end device
confirmation
account
Prior art date
Application number
TW106115667A
Other languages
English (en)
Other versions
TW201805846A (zh
Inventor
王青華
Original Assignee
香港商阿里巴巴集團服務有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 香港商阿里巴巴集團服務有限公司 filed Critical 香港商阿里巴巴集團服務有限公司
Publication of TW201805846A publication Critical patent/TW201805846A/zh
Application granted granted Critical
Publication of TWI780047B publication Critical patent/TWI780047B/zh

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3215Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a plurality of channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Abstract

本發明公開了一種身份認證方法、裝置和系統。其中,該系統包括:前端設備,用於發送登錄請求,其中,登錄請求包括:使用前端設備的當前帳戶的帳戶資訊;認證系統,與前端設備網路連接,用於接收前端設備發出的登錄請求,根據帳戶資訊確定與前端設備關聯的確認設備,並根據帳戶資訊生成認證請求,其中,認證請求包括帳戶資訊;確認設備,與認證系統網路連接,用於接收認證請求,並將根據認證請求而生成的確認資訊返回至認證系統;其中,在認證系統將確認資訊回饋給前端設備的情況下,確定當前帳戶為合法帳戶。本發明解決了現有技術中的身份認證方法安全風險高,同時使用者體驗差的技術問題。

Description

身份認證方法、裝置和系統
本發明涉及網際網路安全領域,具體而言,涉及一種身份認證方法、裝置和系統。
雙因素是密碼學的一個概念,從理論上來說,身份認證有三個要素,第一個要素是需要使用者記憶的身份認證內容,例如密碼和身份證號碼等;第二個要素是使用者擁有的特殊認證加強機制,例如動態密碼卡,IC卡,磁卡等;第三個要素是使用者本身擁有的唯一特徵,例如指紋、瞳孔、聲音等。每個要素單獨存在時,都有其脆弱性,而將兩種要素結合起來,實現雙重要素認證,即雙因素認證,可以有效提高系統方位控制的安全性。
目前,雙因素在遠端SSH(安全外殼協議,Secure Shell的縮寫)主機登錄上已經廣為使用,主要有以下幾種方式:a)密碼+符記code登錄;b)公開金鑰登錄;c)USB卡登錄。
但是,通過密碼+符記code的方式登錄,在非安全環 境如公共環境、咖啡廳等,容易造成密碼洩露;使用公開金鑰登錄(包括USB卡登錄),協力廠商人員容易偽裝成使用者登錄。上述三種方案都是部分提高了登錄安全,同時降低了使用者體驗,且帶來其他安全風險。
針對現有技術中的身份認證方法安全風險高,同時使用者體驗差的問題,目前尚未提出有效的解決方案。
本發明實施例提供了一種身份認證方法、裝置和系統,以至少解決現有技術中的身份認證方法安全風險高,同時使用者體驗差的技術問題。
根據本發明實施例的一個方面,提供了一種身份認證方法,包括:認證系統接收前端設備發出的登錄請求,其中,登錄請求包括:使用前端設備的當前帳戶的帳戶資訊;認證系統根據帳戶資訊確定與前端設備關聯的確認設備;認證系統發送認證請求至確認設備進行顯示,其中,認證請求包括帳戶資訊;認證系統在接收到確認設備返回確認資訊的情況下,確定當前帳戶為合法帳戶,其中,確認資訊為確認設備接收到確認指令之後所產生的資訊。
根據本發明實施例的另一方面,還提供了一種身份認證方法,包括:前端設備發出登錄請求至認證系統,其中,登錄請求包括:使用前端設備的當前帳戶的帳戶資訊;前端設備接收認證系統返回的登錄結果,其中,認證系統根據帳戶資訊確定與前端設備關聯的確認設備,並發 送包括了帳戶資訊的認證請求至確認設備,在接收到確認設備回應認證請求而返回的確認資訊的情況下,登錄結果為當前帳戶為合法帳戶。
根據本發明實施例的另一方面,還提供了一種身份認證方法,包括:目標主機接收前端設備發出的登錄請求,其中,登錄請求包括:使用前端設備的當前帳戶的帳戶資訊;目標主機將帳戶資訊發送至認證伺服器,使得認證伺服器在根據帳戶資訊確定與前端設備關聯的確認設備之後,發送認證請求至確認設備,其中,認證請求包括帳戶資訊;目標主機在接收到確認設備回應認證請求而返回的確認資訊的情況下,確定當前帳戶為合法帳戶。
根據本發明實施例的另一方面,還提供了一種身份認證系統,包括:前端設備,用於發送登錄請求,其中,登錄請求包括:使用前端設備的當前帳戶的帳戶資訊;認證系統,與前端設備網路連接,用於接收前端設備發出的登錄請求,根據帳戶資訊確定與前端設備關聯的確認設備,並根據帳戶資訊生成認證請求,其中,認證請求包括帳戶資訊;確認設備,與認證系統網路連接,用於接收認證請求,並將根據認證請求而生成的確認資訊返回至認證伺服器;其中,在認證系統將確認資訊回饋給前端設備的情況下,確定當前帳戶為合法帳戶。
根據本發明實施例的另一方面,還提供了一種身份認證系統,包括:前端設備,用於發送登錄請求,其中,登錄請求包括:使用前端設備的當前帳戶的帳戶資訊;目標 主機,與前端設備網路連接,用於接收前端設備發出的登錄請求,根據帳戶資訊確定與帳戶資訊關聯的證書,並調用證書向認證伺服器發起TLS連接;認證伺服器,與目標主機具有連接關係,用於接收目標主機發送的帳戶資訊,並根據帳戶資訊確定是否存在與前端設備關聯的確認設備,如果存在,根據帳戶資訊生成認證請求,其中,認證請求包括帳戶資訊;確認設備,與認證伺服器網路連接,用於接收認證請求,並將根據認證請求而生成的確認資訊返回至認證伺服器;其中,在認證伺服器將確認資訊回饋給前端設備的情況下,確定當前帳戶為合法帳戶。
根據本發明實施例的另一方面,還提供了一種身份認證裝置,包括:接收模組,用於使認證系統接收前端設備發出的登錄請求,其中,登錄請求包括:使用前端設備的當前帳戶的帳戶資訊;第一確定模組,用於使認證系統根據帳戶資訊確定與前端設備關聯的確認設備;發送模組,用於使認證系統發送認證請求至確認設備進行顯示,其中,認證請求包括帳戶資訊;第二確定模組,用於使認證系統在接收到確認設備返回的情況下,確定當前帳戶為合法帳戶,其中,確認資訊為確認設備接收到確認指令之後所產生的資訊。
根據本發明實施例的另一方面,還提供了一種身份認證裝置,包括:發送模組,用於使前端設備發出登錄請求至認證系統,其中,登錄請求包括:使用前端設備的當前帳戶的帳戶資訊;接收模組,用於使前端設備接收認證系 統返回的登錄結果,其中,認證系統根據帳戶資訊確定與前端設備關聯的確認設備,並發送包括了帳戶資訊的認證請求至確認設備,在接收到確認設備回應認證請求而返回的確認資訊的情況下,登錄結果為當前帳戶為合法帳戶。
根據本發明實施例的另一方面,還提供了一種身份認證裝置,包括:第一發送模組,用於使目標主機接收前端設備發出的登錄請求,其中,登錄請求包括:使用前端設備的當前帳戶的帳戶資訊;第二發送模組,用於使目標主機將帳戶資訊發送至認證伺服器,使得認證伺服器在根據帳戶資訊確定與前端設備關聯的確認設備之後,發送認證請求至確認設備,其中,認證請求包括帳戶資訊;確定模組,用於使目標主機在接收到確認設備回應認證請求而返回的確認資訊的情況下,確定當前帳戶為合法帳戶。
在本發明實施例中,認證系統接收前端設備發出的登錄請求,根據帳戶資訊確定與前端設備關聯的確認設備,發送認證請求至確認設備,在接收到確認設備回應認證請求而返回的確認資訊的情況下,確定當前帳戶為合法帳戶,從而實現遠端登入的身份認證。
容易注意到,由於前端設備發送的登錄請求中包含使用前端設備的當前帳戶的帳戶資訊,認證系統可以根據帳戶資訊查詢到確認設備,並將帳戶資訊發送給確認設備,使用者可以通過手動操作確認帳戶資訊,完成身份認證,避免密碼洩露或者他人偽造帶來的安全風險,並且在身份認證過程中使用者不需要輸入密碼,只需要進行簡單地確 認操作。因此,通過本申請案實施例所提供的方案,可以達到提升使用者的登錄體驗,節省使用者登錄時間成本,有效防止使用者偽造的效果。
由此,本申請案提供的上述實施例的方案解決了現有技術中的身份認證方法安全風險高,同時使用者體驗差的技術問題。
10:電腦終端
21:前端設備
23:確認設備
90:身份認證裝置
91:發送模組
93:接收模組
100:身份認證裝置包括
101:第一發送模組
102:處理器
103:第二發送模組
104:記憶體
105:確定模組
111:前端設備
113:認證系統
115:確認設備
131:前端設備
133:目標主機
135:認證伺服器
137:確認設備
141:前端設備
143:目標主機
145:認證伺服器
147:確認設備
151:前端設備
160:電腦終端
162:處理器
164:記憶體
801:接收模組
803:第一確定模組
805:發送模組
807:第二確定模組
809:連接模組
811:生成模組
813:保存模組
815:第一查詢模組
817:第一接收模組
819:第二接收模組
821:第二查詢模組
823:獲取模組
825:調用模組
827:第三查詢模組
829:第三確定模組
831:轉發模組
833:第一返回模組
835:第三接收模組
837:解碼模組
839:第四接收模組
841:第二返回模組
此處所說明的附圖用來提供對本發明的進一步理解,構成本申請案的一部分,本發明的示意性實施例及其說明用於解釋本發明,並不構成對本發明的不當限定。在附圖中:圖1是根據本申請案實施例一的一種身份認證系統的示意圖;圖2是根據本申請案實施例的一種使用者設備和伺服器之間資料互動的示意圖;圖3是根據本申請案實施例一的一種可選的身份認證系統的示意圖;圖4是根據本申請案實施例的一種用於實現身份認證方法的電腦終端的硬體結構方塊圖;圖5是根據本申請案實施例的一種用電腦終端作為接收端的硬體結構方塊圖;圖6是根據本申請案實施例二的一種身份認證方法的流程圖; 圖7是根據本申請案實施例二的一種可選的身份認證方法的流程圖;圖8是根據本申請案實施例二的一種可選的身份認證方法的互動圖;圖9是根據本申請案實施例三的一種身份認證方法的流程圖;圖10是根據本申請案實施例四的一種身份認證方法的流程圖;圖11是根據本申請案實施例五的一種身份認證裝置的示意圖;圖12是根據本申請案實施例六的一種身份認證裝置的示意圖;圖13是根據本申請案實施例七的一種身份認證裝置的示意圖;圖14是根據本申請案實施例八的一種身份認證系統的示意圖;圖15是根據本申請案實施例八的一種可選的身份認證系統的示意圖;以及圖16是根據本申請案實施例的一種電腦終端的結構方塊圖。
為了使本技術領域的人員更好地理解本發明方案,下面將結合本發明實施例中的附圖,對本發明實施例中的技 術方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發明一部分的實施例,而不是全部的實施例。基於本發明中的實施例,本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例,都應當屬於本發明保護的範圍。
需要說明的是,本發明的說明書和申請專利範圍及上述附圖中的術語“第一”、“第二”等是用於區別類似的物件,而不必用於描述特定的順序或先後次序。應該理解這樣使用的資料在適當情況下可以互換,以便這裡描述的本發明的實施例能夠以除了在這裡圖示或描述的那些以外的順序實施。此外,術語“包括”和“具有”以及他們的任何變形,意圖在於覆蓋不排他的包含,例如,包含了一系列步驟或單元的過程、方法、系統、產品或設備不必限於清楚地列出的那些步驟或單元,而是可包括沒有清楚地列出的或對於這些過程、方法、產品或設備固有的其它步驟或單元。
首先,在對本申請案實施例進行描述的過程中出現的部分名詞或術語適用於如下解釋:
SSH:安全外殼協議,Secure Shell,SSH是目前較可靠,專為遠端登入會話和其他網路服務提供安全性的協定。利用SSH協定可以有效防止遠端系統管理過程中的資訊洩露問題。
符記認證,採用動態通行碼技術,每一次生成的通行碼,即符記code不相同,並保持與認證伺服器同步。
SSL:安全插座層,Secure Sockets Layer的簡寫,及其繼任者安全傳輸層(Transport Link Security,TLS)是為網路通信提供安全及資料完整性的一種安全協定。SSL和TLS在傳輸層對網路連接進行加密。
心跳檢測:用於判斷網路設備是否正常執行,採用定時發送簡單的通訊報,如果在制定時間段內未收到回應,則判斷對方出現異常。
實施例1
根據本申請案實施例,提供了一種身份認證系統,如圖1所示,該系統包括:前端設備111,認證系統113和確認設備115,認證系統113分別與前端設備111和確認設備115網路連接,即認證系統113可以通過網路與前端設備111和確認設備115建立網路連接。
一種可選實施例中,圖2以方塊圖示出了使用者設備與伺服器之間的資料互動,也可以用於表示上述圖1中前端設備111和認證系統113,以及認證系統113和確認設備115之間的資料互動。如圖2所示,使用者設備(即圖1中的前端設備111或者確認設備115)可以經由資料網路與伺服器(即圖1中的認證系統113)建立遠端網路連接,使用者設備可以通過顯示幕顯示需要顯示的內容,通過動作解譯器將捕獲到的使用者通過滑鼠或者鍵盤進行的操作轉換資料,通過網路介面將資料發送給伺服器。伺服器可以通過網路介面接收資料,通過內容選擇器對接收到 資料進行解析,並從內容記憶體中選擇相應的內容,可以再次通過網路介面將相應的內容返回給使用者設備。
其中,前端設備111用於發送登錄請求,其中,登錄請求包括:使用前端設備的當前帳戶的帳戶資訊。
具體的,上述的認證系統可以是使用者遠端登入的目標主機,該目標主機可以對使用者進行身份認證。上述的前端設備可以是使用者使用的電腦設備(包括PC,筆記型電腦等),移動終端設備(包括智慧型手機、平板電腦、iPad等)等客戶端。上述的登錄請求可以是使用者通過前端設備遠端登入認證系統進行身份認證的遠端登入請求。上述的帳戶資訊可以是使用者進行遠端登入的帳戶資訊,例如,遠端登入的帳戶名和密碼。
例如,以認證系統為目標主機,前端設備為筆記型電腦,確認設備為符記手機為例,對本申請案上述實施例進行詳細說明。使用者A在使用筆記型電腦進行遠端登入時,可以輸入遠端登入帳戶的帳戶名“1252”和密碼“123456”,筆記型電腦將使用者輸入的帳戶名“1252”和密碼“123456”通過網路發送給目標主機。
認證系統113用於接收前端設備發出的登錄請求,根據帳戶資訊確定與前端設備關聯的確認設備,並根據帳戶資訊生成認證請求,其中,認證請求包括帳戶資訊。
具體的,上述確認設備可以是使用者提前綁定的手持設備,例如智慧型手機、平板電腦,iPad等設備,可以作為身份認證的符記端設備。使用者可以通過帳戶資訊,將 當前使用的前端設備與確認設備進行關聯,認證系統會將帳戶資訊和對應的確認設備進行關聯保存。
在一種可選的方案中,當使用者需要遠端登入時,可以輸入帳戶資訊,前端設備通過網路將帳戶資訊發送給認證系統進行認證,認證系統根據接收到的帳戶資訊,查詢本地資料庫中是否保存有該帳戶資訊,如果認證系統未查詢到該帳戶資訊,則確定該帳戶為非法帳戶;如果認證系統查詢到該帳戶資訊,則確定與該帳戶資訊關聯的確認設備,即確定與該前端設備關聯的確認設備。認證系統在查詢到帳戶資訊,並確定與該帳戶資訊關聯的確認設備之後,可以將帳戶資訊通過網路發送給確認設備,使用者可以手動對確認設備接收到的帳戶資訊進行確認。
例如,仍以認證系統為目標主機,前端設備為筆記型電腦,確認設備為符記手機為例,對本申請案上述實施例進行詳細說明。目標主機在接收到帳戶資訊“1252”和“123456”之後,在本地查詢與該帳號名和密碼關聯的符記手機,查詢到符記手機A,將認證請求“帳戶‘1252’請求進行遠端登入,是否允許”發送給符記手機A。
確認設備115用於接收認證請求,並將根據認證請求而生成的確認資訊返回至認證系統。
其中,在認證系統將確認資訊回饋給前端設備的情況下,確定當前帳戶為合法帳戶。
可選的,根據本申請案上述實施例,確認設備觸發產生確認資訊的方式包括如下至少一個:檢測到點擊操作、 滑動操作、長按操作、按兩下操作、手勢操作和語音操作。
在一種可選的方案中,如果使用者確定認證系統發送的帳戶資訊是使用者自己輸入的帳戶資訊,則使用者可以通過點擊確認設備上顯示的確認按鈕,或者在確認設備的顯示幕上滑動一下,生成確認資訊,確認設備將確認資訊返回給認證系統,認證系統確定該帳戶為合法帳戶,可以進行遠端登入。如果認證系統未接受到確認設備返回的確認資訊,則確定該帳戶為非法帳戶,無法進行遠端登入。
在另一種可選的方案中,如果使用者確認未輸入帳戶資訊,或者認證系統發送的帳戶資訊不是使用者自己輸入的帳戶資訊,則使用者可以通過點擊確認設備上顯示的否認按鈕,生成否認資訊,確認設備將否認資訊返回給認證系統,認證系統確定該帳戶為非法帳戶,無法進行遠端登入。
例如,仍以認證系統為目標主機,前端設備為筆記型電腦,確認設備為符記手機為例,對本申請案上述實施例進行詳細說明。符記手機A在接受到認證請求之後,可以在顯示幕中顯示認證請求“帳戶‘1252’請求進行遠端登入,是否允許”,以及允許按鈕和拒絕按鈕,持有符記手機A的使用者可以查看認證請求,如果允許帳戶“1252”進行遠端登入,則可以通過點擊允許按鈕生成確認資訊,符記手機A將確認資訊返回給目標主機,目標主機確定帳戶“1252”為合法帳戶,允許該帳戶進行遠端登入,並和筆記 型電腦建立遠端登入連接。
此處需要說明的是,前端設備指當前需要進行身份認證的設備,認證系統指對前端設備進行第一次身份認證的設備,確認設備對前端設備進行第二次身份認證的設備,從而實現對前端設備進行雙因素認證,提高身份認證的安全性。
由上可知,本申請案上述實施例一公開的方案中,認證系統接收前端設備發出的登錄請求,根據帳戶資訊確定與前端設備關聯的確認設備,發送認證請求至確認設備,在接收到確認設備回應認證請求而返回的確認資訊的情況下,確定當前帳戶為合法帳戶,從而實現遠端登入的身份認證。
容易注意到,由於前端設備發送的登錄請求中包含使用前端設備的當前帳戶的帳戶資訊,認證系統可以根據帳戶資訊查詢到確認設備,並將帳戶資訊發送給確認設備,使用者可以通過手動操作確認帳戶資訊,完成身份認證,避免密碼洩露或者他人偽造帶來的安全風險,並且在身份認證過程中使用者不需要輸入密碼,只需要進行簡單地確認操作。因此,通過本申請案實施例所提供的方案,可以達到提升使用者的登錄體驗,節省使用者登錄時間成本,有效防止使用者偽造的效果。
由此,本申請案提供的上述實施例一的方案解決了現有技術中的身份認證方法安全風險高,同時使用者體驗差的技術問題。
根據本申請案上述實施例,認證系統分別與至少一個前端設備和至少一個確認設備建立網路連接,並接收任意一個前端設備發送的第一註冊請求和/或任意一個確認設備發送的第二註冊請求,其中,第一註冊請求中攜帶有任意一個前端設備首次遠端登入認證系統時所使用的第一帳戶資訊,第二註冊請求中攜帶有任意一個確認設備首次遠端登入認證系統時所使用的第二帳戶資訊。
在一種可選的方案中,認證系統可以和多個進行遠端登入的前端設備,以及與多個前端設備相關聯的確認設備進行遠端網路連接,每個使用者在首次進行遠端登入時,可以通過前端設備將遠端登入的帳戶資訊發送給認證系統進行註冊,並通過確認設備將該帳戶資訊發送給認證系統進行註冊。
例如,仍以認證系統為目標主機,前端設備為筆記型電腦,確認設備為符記手機為例,對本申請案上述實施例進行詳細說明。使用者A在首次使用筆記型電腦A進行遠端登入時,可以在筆記型電腦A和符記手機A中均輸入遠端登入帳戶的帳戶名“1252”和密碼“123456”,筆記型電腦A和符記手機A將使用者輸入的帳戶名“1252”和密碼“123456”通過網路發送給目標主機;使用者B在首次使用筆記型電腦B進行遠端登入時,可以在筆記型電腦B和符記手機B中均輸入遠端登入帳戶的帳戶名“1253”和密碼“456123”,筆記型電腦B和符記手機B將使用者輸入的帳戶名“1253”和密碼“456123”通過網路發送給目標主機。
認證系統根據第一註冊請求生成第一註冊資訊,和/或根據第二註冊請求生成第二註冊資訊,其中,第一註冊資訊包括:第一帳戶資訊和與第一帳戶資訊關聯的證書,第二註冊資訊至少包括:第二帳戶資訊。
具體的,上述的第一註冊資訊可以是用於下次發起登錄的可信證書資訊。上述的第二註冊資訊還可以包括與第二帳戶資訊關聯的證書和確認設備的標識資訊,在通過確認設備進行身份認證之前,可以根據證書對確認設備進行驗證,如果未通過驗證,則說明該確認設備為非法設備,認證系統不會將使用者輸入的帳戶資訊發送給該確認設備。
認證系統保存第一註冊資訊和第二註冊資訊。
在一種可選的方案中,認證系統在接收到前端設備發送的第一帳戶資訊之後,可以根據第一帳戶資訊生成相應的證書,並將第一帳戶資訊和相應的證書保存在認證系統本地;認證系統在接收到確認設備發送的第二帳戶資訊之後,可以將確認設備的標識資訊和第二帳戶資訊保存在認證系統本地。
在另一種可選的方案中,認證系統在接收到前端設備發送的第一帳戶資訊之後,可以根據第一帳戶資訊生成相應的證書,並將第一帳戶資訊和相應的證書保存在認證系統本地;認證系統在接收到確認設備發送的第二帳戶資訊之後,可以根據第二帳戶資訊生成相應的證書,並將確認設備的標識資訊,第二帳戶資訊和相應的證書保存在認證 系統本地。
例如,仍以認證系統為目標主機,前端設備為筆記型電腦,確認設備為符記手機為例,對本申請案上述實施例進行詳細說明。目標主機在接收到筆記型電腦A發送的帳戶名“1252”和密碼“123456”之後,可以生成筆記型電腦A的證書A,將帳戶名“1252”和密碼“123456”以及證書A保存在本地資料庫;目標主機在接收到符記手機A發送的帳戶名“1252”和密碼“123456”之後,可以將符記手機A的標識資訊,帳戶名“1252”和密碼“123456”保存在本地資料庫;目標主機在接收到筆記型電腦B發送的帳戶名“1253”和密碼“456123”之後,可以生成筆記型電腦B的證書B,將帳戶名“1253”和密碼“456123”以及證書B保存在本地資料庫;目標主機在接收到符記手機B發送的帳戶名“1253”和密碼“456123”之後,可以將符記手機B的標識資訊,帳戶名“1253”和密碼“456123”保存在本地資料庫。
其中,在第一帳戶資訊與第二帳戶資訊相同的情況下,認證系統中使用第一帳戶資訊註冊的前端設備與使用第二帳戶資訊註冊的確認設備是相互關聯的設備。
在一種可選的方案中,當使用者將自己的確認設備和前端設備進行綁定時,使用者可以通過前端設備發送遠端登入帳戶資訊給認證系統進行註冊,並通過確認設備發送相同的遠端登入帳戶資訊給認證系統進行註冊,從而認證系統確認該確認設備與該前端設備相互關聯。
例如,仍以認證系統為目標主機,前端設備為筆記型 電腦,確認設備為符記手機為例,對本申請案上述實施例進行詳細說明。目標主機可以根據儲存的帳戶名和密碼,確定筆記型電腦A和符記手機A為關聯設備,筆記型電腦B和符記手機B為關聯設備。
通過上述方案,首次遠端登入認證系統時,認證系統可以根據接收到的帳戶資訊生成身份驗證需要的註冊資訊,並確認前端設備和確認設備的關聯關係,實現再次遠端登入認證系統時,認證系統根據接收到的帳戶資訊進行身份認證的目的。
根據本申請案上述實施例,如圖3所示,認證系統包括:鑑別伺服器131,與前端設備111網路連接,用於接收前端設備發送的驗證碼,按照預定的解密演算法對驗證碼進行解碼,並驗證解碼結果,其中,驗證碼為前端設備按照預定加密演算法將當前帳戶的帳戶資訊和安全證書進行加密,生成的用於鑑別的驗證碼;其中,如果驗證解碼結果通過,認證系統向前端設備詢問是否需要接上網路,如果需要則前端設備與認證系統建立網路連接,並向認證系統發出登錄請求。
具體的,上述預定加密演算法與預定的解密演算法對應,可以為DES加密演算法,本申請案對此不作具體限定。
在一種可選的方案中,前端設備可以和鑑別伺服器建立SSL連接,可以按照預設的加密演算法,將前端設備對應的證書和使用者輸入的帳戶資訊進行加密,生成鑑別 Key,即上述的驗證碼,並將鑑別Key發送給鑑別伺服器。鑑別伺服器在接收到鑑別Key之後,可以按照預設的解密演算法對鑑別Key進行解密,得到前端設備的證書和帳戶資訊,並在本地查詢是否保存有該帳戶資訊和證書,如果保存有,則驗證前端設備為合法設備,可以進行網路連接。
在另一種可選的方案中,認證系統詢問是否需要接上網路,如果前端設備需要接上網路,則建立遠端網路連接,並向認證系統發送遠端登入請求。當網路出現異常或者通過心跳檢測,發現前段設備斷開時,可以斷開遠端網路連接。
例如,仍以前端設備為筆記型電腦,認證系統為目標主機,確認設備為符記手機為例,對本申請案上述實施例進行詳細說明。使用者在通過筆記型電腦進行遠端登入之前,需要與認證系統進行遠端網路連接。筆記型電腦可以首先與鑑別伺服器建立SSL連接,使用者可以輸入帳戶名“1252”和密碼“123456”,筆記型電腦根據帳戶名“1252”和密碼“123456”,以及筆記型電腦的安全證書,生成筆記型電腦的鑑別Key,筆記型電腦將鑑別Key發送給鑑別伺服器,鑑別伺服器對筆記型電腦的鑑別Key進行解密,得到帳戶名“1252”和密碼“123456”,以及筆記型電腦的安全證書,在本地查詢是否存在相同的帳戶資訊和安全證書,如果存在,則確定該筆記型電腦為合法設備,詢問是否需要接上網路。在使用者確定需要接上網路之後,可以將筆記 型電腦和目標主機建立遠端網路連接。
此處需要說明的是,確認設備在與認證系統建立連接之前,也可以進行鑑別,將用於鑑別的驗證碼發送給鑑別伺服器,鑑別伺服器進行解碼、驗證,驗證通過之後詢問確認設備是否接上網路,如果接上網路,則建立遠端網路連接。
通過上述方案,可以採用證書和帳戶資訊加密的方式,對前端設備進行鑑別,從達到更安全的保護使用者上網,不容易受到偽造攻擊,有效控制設備上網和斷開的效果。
根據本申請案上述實施例,鑑別伺服器121還用於接收到前端設備的註冊請求,並產生與註冊請求對應的安全證書,將安全證書返回至前端設備。
具體的,上述註冊請求可以包括前端設備發送的帳戶資訊,即使用者輸入的遠端登入的帳戶資訊。
在一種可選的方案中,前端設備在首次進行鑑別的時候,需要在健全伺服器進行註冊,可以將使用者輸入的帳戶資訊發送給鑑別伺服器,鑑別伺服器根據帳戶資訊生成對應的前端設備的安全證書,並將帳戶資訊和對應的安全證書保存在鑑別伺服器本地。鑑別伺服器將生成的安全證書返回給前端設備,以便前端設備進行再次鑑別,從而可以安全接上網路。
通過上述方案,鑑別伺服器可以根據帳戶資訊生成安全證書,從而實現基於證書,對前端設備進行鑑別的目 的。
實施例2
根據本申請案實施例,還提供了一種身份認證方法的方法實施例,需要說明的是,在附圖的流程圖示出的步驟可以在諸如一組電腦可執行指令的電腦系統中執行,並且,雖然在流程圖中示出了邏輯順序,但是在某些情況下,可以以不同於此處的循序執行所示出或描述的步驟。
本申請案實施例二所提供的方法實施例可以在移動終端、電腦終端或者類似的運算裝置中執行。圖4示出了一種用於實現身份認證方法的電腦終端的硬體結構方塊圖。如圖4所示,電腦終端10可以包括一個或多個(圖中採用102a、102b,......,102n來示出)處理器102(處理器102可以包括但不限於微處理器MCU或可程式設計邏輯器件FPGA等的處理裝置)、用於儲存資料的記憶體104、以及用於通信功能的傳輸裝置。除此以外,還可以包括:顯示器、輸入/輸出介面(I/O介面)、通用序列匯流排(USB)埠(可以作為I/O介面的埠中的一個埠被包括)、網路介面、電源和/或相機。本領域普通技術人員可以理解,圖4所示的結構僅為示意,其並不對上述電子裝置的結構造成限定。例如,電腦終端10還可包括比圖4中所示更多或者更少的元件,或者具有與圖4所示不同的配置。
應當注意到的是上述一個或多個處理器102和/或其 他資料處理電路在本文中通常可以被稱為“資料處理電路”。該資料處理電路可以全部或部分的體現為軟體、硬體、固件或其他任意組合。此外,資料處理電路可為單個獨立的處理模組,或全部或部分的結合到電腦終端10中的其他元件中的任意一個內。如本申請案實施例中所涉及到的,該資料處理電路作為一種處理器控制(例如與介面連接的可變電阻終端路徑的選擇)。
記憶體104可用於儲存應用軟體的軟體程式以及模組,如本申請案實施例中的身份認證方法對應的程式指令/模組,處理器102通過運行儲存在記憶體104內的軟體程式以及模組,從而執行各種功能應用以及資料處理,即實現上述的身份認證方法。記憶體104可包括高速隨機記憶體,還可包括非易失性記憶體,如一個或者多個磁性儲存裝置、快閃記憶體、或者其他非易失性固態記憶體。在一些實例中,記憶體104可進一步包括相對於處理器102遠端設置的記憶體,這些遠端存放器可以通過網路連接至電腦終端10。上述網路的實例包括但不限於網際網路、企業內部網、局域網、移動通信網及其組合。
傳輸裝置用於經由一個網路接收或者發送資料。上述的網路具體實例可包括電腦終端10的通信供應商提供的無線網路。在一個實例中,傳輸裝置包括一個網路介面卡(Network Interface Controller,NIC),其可通過基站與其他網路設備相連從而可與網際網路進行通訊。在一個實例中,傳輸裝置可以為射頻(Radio Frequency,RF)模 組,其用於通過無線方式與網際網路進行通訊。
顯示器可以例如觸控式螢幕式的液晶顯示器(LCD),該液晶顯示器可使得使用者能夠與電腦終端10(或移動設備)的使用者介面進行互動。
圖4示出的硬體結構方塊圖,不僅可以作為上述電腦終端10的示例性方塊圖,還可以作為上述伺服器的示例性方塊圖,一種可選實施例中,圖5以方塊圖示出了使用上述圖1所示的電腦終端10作為伺服器的一種實施例。如圖5所示,電腦終端10可以經由資料網路連接或電子連接到一個或多個前端設備21,還可以經由資料網路連接或電子連接到一個或多個確認設備23。一種可選實施例中,上述電腦終端10可以是任意行動計算裝置。資料網路連接可以是局域網連接、廣域網路連接、網際網路連接,或其他類型的資料網路連接。電腦終端10可以執行由一個伺服器(例如安全伺服器)或一組伺服器執行的網路服務。網路服務器是基於網路的使用者服務,諸如社交網路、雲端資源、電子郵件、線上支付或其他線上應用。
在上述運行環境下,本申請案提供了如圖6所示的身份認證方法。圖6是根據本申請案實施例二的一種身份認證方法的流程圖,如圖6所示,該方法包括如下步驟:
步驟S32,認證系統接收前端設備發出的登錄請求,其中,登錄請求包括:使用前端設備的當前帳戶的帳戶資訊。
具體的,上述的認證系統可以是使用者遠端登入的目 標主機,該目標主機可以對使用者進行身份認證。上述的前端設備可以是使用者使用的電腦設備(包括PC,筆記型電腦等),移動終端設備(包括智慧型手機、平板電腦、iPad等)等客戶端。上述的登錄請求可以是使用者通過前端設備遠端登入認證系統進行身份認證的遠端登入請求。上述的帳戶資訊可以是使用者進行遠端登入的帳戶資訊,例如,遠端登入的帳戶名和密碼。
例如,以認證系統為目標主機,前端設備為筆記型電腦,確認設備為符記手機為例,對本申請案上述實施例進行詳細說明。使用者A在使用筆記型電腦進行遠端登入時,可以輸入遠端登入帳戶的帳戶名“1252”和密碼“123456”,筆記型電腦將使用者輸入的帳戶名“1252”和密碼“123456”通過網路發送給目標主機,目標主機接收到使用筆記型電腦的帳戶資訊“1252”和“123456”。
步驟S34,認證系統根據帳戶資訊確定與前端設備關聯的確認設備。
具體的,上述確認設備可以是使用者提前綁定的手持設備,例如智慧型手機、平板電腦,iPad等設備,可以作為身份認證的符記端設備。使用者可以通過帳戶資訊,將當前使用的前端設備與確認設備進行關聯,認證系統會將帳戶資訊和對應的確認設備進行關聯保存。
在一種可選的方案中,當使用者需要遠端登入時,可以輸入帳戶資訊,前端設備通過網路將帳戶資訊發送給認證系統進行認證,認證系統根據接收到的帳戶資訊,查詢 本地資料庫中是否保存有該帳戶資訊,如果認證系統未查詢到該帳戶資訊,則確定該帳戶為非法帳戶;如果認證系統查詢到該帳戶資訊,則確定與該帳戶資訊關聯的確認設備,即確定與該前端設備關聯的確認設備。
例如,仍以認證系統為目標主機,前端設備為筆記型電腦,確認設備為符記手機為例,對本申請案上述實施例進行詳細說明。目標主機在接收到帳戶資訊“1252”和“123456”之後,在本地查詢與該帳號名和密碼關聯的符記手機,查詢到符記手機A。
步驟S36,認證系統發送認證請求至確認設備進行顯示,其中,認證請求包括帳戶資訊。
在一種可選的方案中,認證系統在查詢到帳戶資訊,並確定與該帳戶資訊關聯的確認設備之後,可以將帳戶資訊通過網路發送給確認設備,確認設備在顯示幕中顯示帳戶資訊,使用者可以手動對確認設備接收到的帳戶資訊進行確認。
例如,仍以認證系統為目標主機,前端設備為筆記型電腦,確認設備為符記手機為例,對本申請案上述實施例進行詳細說明。目標主機在查詢到符記手機A之後,可以將將認證請求“帳戶‘1252’請求進行遠端登入,是否允許”發送給符記手機A,符記手機A可以在顯示幕中顯示認證請求“帳戶‘1252’請求進行遠端登入,是否允許”,以及允許按鈕和拒絕按鈕,持有符記手機A的使用者可以查看認證請求。
步驟S38,認證系統在接收到確認設備返回確認資訊的情況下,確定當前帳戶為合法帳戶,其中,確認資訊為確認設備接收到確認指令之後所產生的資訊。
可選的,根據本申請案上述實施例,確認設備觸發產生確認資訊的方式包括如下至少一個:檢測到點擊操作、滑動操作、長按操作、按兩下操作、手勢操作和語音操作。
在一種可選的方案中,如果使用者確定認證系統發送的帳戶資訊是使用者自己輸入的帳戶資訊,則使用者可以通過點擊確認設備上顯示的確認按鈕,或者在確認設備的顯示幕上滑動一下,生成確認資訊,確認設備將確認資訊返回給認證系統,認證系統確定該帳戶為合法帳戶,可以進行遠端登入。如果認證系統未接受到確認設備返回的確認資訊,則確定該帳戶為非法帳戶,無法進行遠端登入。
在另一種可選的方案中,如果使用者確認未輸入帳戶資訊,或者認證系統發送的帳戶資訊不是使用者自己輸入的帳戶資訊,則使用者可以通過點擊確認設備上顯示的否認按鈕,生成否認資訊,確認設備將否認資訊返回給認證系統,認證系統確定該帳戶為非法帳戶,無法進行遠端登入。
例如,仍以認證系統為目標主機,前端設備為筆記型電腦,確認設備為符記手機為例,對本申請案上述實施例進行詳細說明。如果持有符記手機A的使用者允許帳戶“1252”進行遠端登入,則可以通過點擊允許按鈕生成確認 資訊,符記手機A將確認資訊返回給目標主機,目標主機確定帳戶“1252”為合法帳戶,允許該帳戶進行遠端登入,並和筆記型電腦建立遠端登入連接。
此處需要說明的是,前端設備指當前需要進行身份認證的設備,認證系統指對前端設備進行第一次身份認證的設備,確認設備對前端設備進行第二次身份認證的設備,從而實現對前端設備進行雙因素認證,提高身份認證的安全性。
由上可知,本申請案上述實施例二公開的方案中,認證系統接收前端設備發出的登錄請求,根據帳戶資訊確定與前端設備關聯的確認設備,發送認證請求至確認設備,在接收到確認設備回應認證請求而返回的確認資訊的情況下,確定當前帳戶為合法帳戶,從而實現遠端登入的身份認證。
容易注意到,由於前端設備發送的登錄請求中包含使用前端設備的當前帳戶的帳戶資訊,認證系統可以根據帳戶資訊查詢到確認設備,並將帳戶資訊發送給確認設備,使用者可以通過手動操作確認帳戶資訊,完成身份認證,避免密碼洩露或者他人偽造帶來的安全風險,並且在身份認證過程中使用者不需要輸入密碼,只需要進行簡單地確認操作。因此,通過本申請案實施例所提供的方案,可以達到提升使用者的登錄體驗,節省使用者登錄時間成本,有效防止使用者偽造的效果。
由此,本申請案提供的上述實施例二的方案解決了現 有技術中的身份認證方法安全風險高,同時使用者體驗差的技術問題。
根據本申請案上述實施例,在步驟S32,認證系統接收前端設備發出的登錄請求之前,上述方法還可以包括如下步驟:
步驟S302,認證系統分別與至少一個前端設備和至少一個確認設備建立網路連接,並接收任意一個前端設備發送的第一註冊請求和/或任意一個確認設備發送的第二註冊請求,其中,第一註冊請求中攜帶有任意一個前端設備首次遠端登入認證系統時所使用的第一帳戶資訊,第二註冊請求中攜帶有任意一個確認設備首次遠端登入認證系統時所使用的第二帳戶資訊。
在一種可選的方案中,認證系統可以和多個進行遠端登入的前端設備,以及與多個前端設備相關聯的確認設備進行遠端網路連接,每個使用者在首次進行遠端登入時,可以通過前端設備將遠端登入的帳戶資訊發送給認證系統進行註冊,並通過確認設備將該帳戶資訊發送給認證系統進行註冊。
例如,仍以認證系統為目標主機,前端設備為筆記型電腦,確認設備為符記手機為例,對本申請案上述實施例進行詳細說明。使用者A在首次使用筆記型電腦A進行遠端登入時,可以在筆記型電腦A和符記手機A中均輸入遠端登入帳戶的帳戶名“1252”和密碼“123456”,筆記型電腦A和符記手機A將使用者輸入的帳戶名“1252”和密 碼“123456”通過網路發送給目標主機;使用者B在首次使用筆記型電腦B進行遠端登入時,可以在筆記型電腦B和符記手機B中均輸入遠端登入帳戶的帳戶名“1253”和密碼“456123”,筆記型電腦B和符記手機B將使用者輸入的帳戶名“1253”和密碼“456123”通過網路發送給目標主機。
步驟S304,認證系統根據第一註冊請求生成第一註冊資訊,和/或根據第二註冊請求生成第二註冊資訊,其中,第一註冊資訊包括:第一帳戶資訊和與第一帳戶資訊關聯的證書,第二註冊資訊至少包括:第二帳戶資訊。
具體的,上述的第一註冊資訊可以是用於下次發起登錄的可信證書資訊。上述的第二註冊資訊還可以包括與第二帳戶資訊關聯的證書和確認設備的標識資訊,在通過確認設備進行身份認證之前,可以根據證書對確認設備進行驗證,如果未通過驗證,則說明該確認設備為非法設備,認證系統不會將使用者輸入的帳戶資訊發送給該確認設備。
步驟S306,認證系統保存第一註冊資訊和第二註冊資訊。
在一種可選的方案中,認證系統在接收到前端設備發送的第一帳戶資訊之後,可以根據第一帳戶資訊生成相應的證書,並將第一帳戶資訊和相應的證書保存在認證系統本地;認證系統在接收到確認設備發送的第二帳戶資訊之後,可以將確認設備的標識資訊和第二帳戶資訊保存在認證系統本地。
在另一種可選的方案中,認證系統在接收到前端設備發送的第一帳戶資訊之後,可以根據第一帳戶資訊生成相應的證書,並將第一帳戶資訊和相應的證書保存在認證系統本地;認證系統在接收到確認設備發送的第二帳戶資訊之後,可以根據第二帳戶資訊生成相應的證書,並將確認設備的標識資訊,第二帳戶資訊和相應的證書保存在認證系統本地。
例如,仍以認證系統為目標主機,前端設備為筆記型電腦,確認設備為符記手機為例,對本申請案上述實施例進行詳細說明。目標主機在接收到筆記型電腦A發送的帳戶名“1252”和密碼“123456”之後,可以生成筆記型電腦A的證書A,將帳戶名“1252”和密碼“123456”以及證書A保存在本地資料庫;目標主機在接收到符記手機A發送的帳戶名“1252”和密碼“123456”之後,可以將符記手機A的標識資訊,帳戶名“1252”和密碼“123456”保存在本地資料庫;目標主機在接收到筆記型電腦B發送的帳戶名“1253”和密碼“456123”之後,可以生成筆記型電腦B的證書B,將帳戶名“1253”和密碼“456123”以及證書B保存在本地資料庫;目標主機在接收到符記手機B發送的帳戶名“1253”和密碼“456123”之後,可以將符記手機B的標識資訊,帳戶名“1253”和密碼“456123”保存在本地資料庫。
其中,在第一帳戶資訊與第二帳戶資訊相同的情況下,認證系統中使用第一帳戶資訊註冊的前端設備與使用第二帳戶資訊註冊的確認設備是相互關聯的設備。
在一種可選的方案中,當使用者將自己的確認設備和前端設備進行綁定時,使用者可以通過前端設備發送遠端登入帳戶資訊給認證系統進行註冊,並通過確認設備發送相同的遠端登入帳戶資訊給認證系統進行註冊,從而認證系統確認該確認設備與該前端設備相互關聯。
例如,仍以認證系統為目標主機,前端設備為筆記型電腦,確認設備為符記手機為例,對本申請案上述實施例進行詳細說明。目標主機可以根據儲存的帳戶名和密碼,確定筆記型電腦A和符記手機A為關聯設備,筆記型電腦B和符記手機B為關聯設備。
通過上述方案,首次遠端登入認證系統時,認證系統可以根據接收到的帳戶資訊生成身份驗證需要的註冊資訊,並確認前端設備和確認設備的關聯關係,實現再次遠端登入認證系統時,認證系統根據接收到的帳戶資訊進行身份認證的目的。
根據本申請案上述實施例,步驟S34,認證系統根據帳戶資訊確定與前端設備關聯的確認設備,可以包括如下步驟:
步驟S342,認證系統查詢是否存在與帳戶資訊相同的第一帳戶資訊和第二帳戶資訊。
步驟S344,如果查詢成功,認證系統確定發出登錄請求的前端設備為已經註冊過的設備,並確認使用第二帳戶資訊註冊的確認設備為與前端設備關聯的確認設備。
在一種可選的方案中,認證系統在接收到前端設備發 送的帳戶資訊之後,可以在本地資料庫查詢是否存在與該帳戶資訊相同的帳戶資訊,如果存在,則確定發送該帳戶資訊的前端設備已經在認證系統進行註冊,根據該帳戶資訊查詢到相應的確認設備,並將該帳戶資訊發送給查詢到的確認設備;如果不存在,則確定發送該帳戶資訊的前端設備未進行註冊,該帳戶資訊為非法帳戶。
例如,仍以認證系統為目標主機,前端設備為筆記型電腦,確認設備為符記手機為例,對本申請案上述實施例進行詳細說明。目標主機在接收到筆記型電腦A發送的帳戶名“1252”和密碼“123456”之後,可以在本地資料庫查詢是否存在帳戶名“1252”和密碼“123456”,如果查詢到帳戶名“1252”和密碼“123456”,則確定筆記型電腦A已經進行過註冊,並查詢到與筆記型電腦A關聯的符記手機A的標識資訊,將認證請求“帳戶‘1252’請求進行遠端登入,是否允許”發送給符記手機A,進行身份認證。
通過上述方案,認證系統可以根據帳戶資訊進行查詢,確定發送該帳戶資訊的前端設備是否已經進行註冊,以及與該前端設備關聯的確認設備。
根據本申請案上述實施例,在認證系統包括:目標主機和認證伺服器的情況下,目標主機接收任意一個前端設備首次遠端登入時所使用的第一帳戶資訊,在將攜帶了第一帳戶資訊的第一註冊請求發送至認證伺服器之後,接收認證伺服器返回的與第一帳戶資訊關聯的證書,得到第一註冊資訊。
具體的,上述的目標主機和認證伺服器可以是兩個分離的伺服器,也可以是一個伺服器,即認證伺服器。
在一種可選的方案中,認證系統可以包括目標主機和認證伺服器,目標主機為使用者遠端登入的主機,認證伺服器用於對使用者輸入的帳戶資訊進行身份認證,每個使用者在通過前端設備首次進行遠端登入時,可以通過常規方式,輸入帳戶資訊登錄到目標主機,目標主機將接收到的帳戶資訊發送給認證伺服器進行註冊,認證伺服器根據接收到的帳戶資訊生成與帳戶資訊對應的證書,並將帳戶資訊對應的證書返回給目標主機,目標主機根據帳戶資訊和接收到的證書得到註冊資訊,並將註冊資訊保存在本地資料庫。
例如,以前端設備為筆記型電腦,確認設備為符記手機為例,對本申請案上述實施例進行詳細說明。使用者A在首次使用筆記型電腦A進行遠端登入時,可以輸入遠端登入帳戶的帳戶名“1252”和密碼“123456”,筆記型電腦A將使用者輸入的帳戶名“1252”和密碼“123456”通過網路發送給目標主機。目標主機在接收到筆記型電腦A發送的帳戶名“1252”和密碼“123456”之後,可以根據帳戶名“1252”和密碼“123456”生成註冊請求,併發送給認證伺服器。認證伺服器在接收到帳戶名“1252”和密碼“123456”之後,可以生成與帳戶名“1252”和密碼“123456”對應的可信證書,並將可信證書返回給目標主機。目標主機將帳戶名“1252”和密碼“123456”,以及接收到的可信證書作為一個整體保 存在本地資料庫。
此處需要說明的是,每個使用者在通過前端設備首次進行遠端登入時,還可以通過確認設備輸入帳戶資訊登錄到目標主機,目標主機將帳戶資訊發送給認證伺服器進行註冊,認證伺服器根據接收到的帳戶資訊生成對應的證書,並返回給目標主機,目標主機將確認設備發送的帳戶資訊和對應的證書作為註冊資訊,保存在本地資料庫。
通過上述方案,可以通過認證伺服器進行前端設備的註冊,通過目標主機進行遠端登入,無需一個伺服器既進行前端設備的註冊,又進行遠端登入,從而降低伺服器的負擔。
根據本申請案上述實施例,步驟S342,認證系統查詢是否存在與帳戶資訊相同的第一帳戶資訊和第二帳戶資訊,和步驟S344,如果查詢成功,認證系統確認使用第二帳戶資訊註冊的確認設備為與前端設備關聯的確認設備,可以包括如下步驟:
步驟S360,目標主機查詢是否存在與帳戶資訊相同的第一帳戶資訊。
步驟S362,如果查詢成功,目標主機獲取與第一帳戶資訊關聯的證書。
步驟S364,目標主機調用證書向認證伺服器發起TLS連接,並將帳戶資訊發送至認證伺服器。
步驟S366,認證伺服器查詢是否存在與帳戶資訊相同的第二帳戶資訊。
步驟S368,如此查詢成功,確定使用第二帳戶資訊註冊的確認設備為與前端設備關聯的確認設備。
在一種可選的方案中,使用者在通過前端設備首次進行遠端登入之後,目標主機本機存放區前端設備發送的帳戶資訊和對應的證書。使用者在通過該前端設備再次進行遠端登入時,目標主機在接收到前端設備發送的帳戶資訊之後,在本地查詢是否已經保存在該帳戶資訊,如果未查詢到該帳戶資訊,則該前端設備為進行註冊,需要進行註冊。如果查詢到該帳戶資訊,則提取與該帳戶資訊對應的可信證書,調用可信證書和認證伺服器建立TLS連接,將該帳戶資訊發送給認證伺服器,認證伺服器在本地查詢是否存在與帳戶資訊相同的第二帳戶資訊,如果存在,則該第二帳戶資訊對應的確認設備與前端設備相互關聯。
例如,仍以前端設備為筆記型電腦,確認設備為符記手機為例,對本申請案上述實施例進行詳細說明。目標主機在接收到筆記型電腦A發送的帳戶名“1252”和密碼“123456”之後,可以根據帳戶名“1252”和密碼“123456”查詢本地是否存在對應的可信證書,如果存在對應的可信證書,則調用可信證書和認證伺服器建立TLS連接,並將帳戶名“1252”和密碼“123456”發送給認證伺服器。認證伺服器在接收到帳戶名“1252”和密碼“123456”之後,可以在本地查詢與帳戶名“1252”和密碼“123456”對應的符記手機,如果查詢到對應的符記手機A,則確定該符記手機A與筆記型電腦A相關聯。
通過上述方案,可以通過目標主機查詢證書,並調用證書向認證伺服器發起TLS連接,認證伺服器可以查詢與前端設備相關聯的確認設備,從而實現根據帳戶資訊確定關聯的確認設備的目的。
根據本申請案上述實施例,步驟S38,認證系統在接收到確認設備回應認證請求而返回的確認資訊的情況下,確定當前帳戶為合法帳戶,可以包括如下步驟:
步驟S382,認證伺服器將確認資訊轉發給目標主機。
步驟S384,目標主機根據確認資訊生成遠端登入結果,並將遠端登入結果返回至前端設備。
其中,在成功將遠端登入結果返回至前端設備的情況下,確定使用前端設備的當前帳戶為合法帳戶,使得當前帳戶通過前端設備登錄目標主機成功。
具體的,上述遠端登入結果可以是成功建立遠端登入連接之後的遠端桌面資料,可以包括遠端桌面圖片資料,遠端桌面應用程式顯示圖示資料等。
在一種可選的方案中,使用者在通過點擊確認設備上顯示的確認按鈕,生成確認資訊之後,確認設備將確認資訊返回給認證伺服器,認證伺服器通過TLS連接將確認資訊轉發給目標主機,目標主機根據確認資訊生成遠端登入結果,並將遠端登入結果返回至前端設備,允許前端設備成功登錄目標主機。
例如,仍以前端設備為筆記型電腦,確認設備為符記 手機為例,對本申請案上述實施例進行詳細說明。如果持有符記手機的使用者允許帳戶“1252”進行遠端登入,則可以通過點擊允許按鈕生成確認資訊,符記手機將確認資訊返回給認證伺服器,認證伺服器通過TLS連接將確認資訊返回給目標主機,目標主機確定帳戶“1252”為合法帳戶,允許該帳戶進行遠端登入,並和筆記型電腦建立遠端登入連接,將帳戶“1252”對應的遠端桌面返回給筆記型電腦。
通過上述方案,認證伺服器可以轉發確認資訊,目標主機生成遠端登入結果返回前端設備,從而實現使用者通過前端設備成功登錄目標主機。
此處需要說明的是,現有的主流方式有如下三種:a)開放式直接接入;b)通過撥號形式接入某個網路,輸入密碼等;c)在系統上對接入某個網路進行配置,如證書等。通過證書配置方式,在設備環境被拷貝時,可以偽造設備進行上網;使用帳號密碼上網,容易造成帳號洩露;開放式網路更是脆弱。這些技術都無法融入到安全防護終端模組中去,對於網路的管理和檢測帶來諸多不便。因此,可以基於證書方案,替換系統上網策略,由鑑別伺服器進行使用者身份識別。
根據本申請案上述實施例,上述認證系統可以包括:鑑別伺服器,其中,在步驟S32,認證系統接收前端設備發出的登錄請求之前,上述方法還可以包括如下步驟:
步驟S312,鑑別伺服器接收前端設備發送的驗證 碼,其中,驗證碼為前端設備按照預定加密演算法將當前帳戶的帳戶資訊和安全證書進行加密,生成的用於鑑別的驗證碼。
具體的,上述的鑑別伺服器可以是認證伺服器,即由認證伺服器進行鑑別和認證,也可以是目標主機,即由目標主機進行遠端登入,認證和鑑別。
步驟S314,鑑別伺服器按照預定的解密演算法對驗證碼進行解碼,並驗證解碼結果。
具體的,上述預定加密演算法與預定的解密演算法對應,可以為DES加密演算法,本申請案對此不作具體限定。
在一種可選的方案中,前端設備可以和鑑別伺服器建立SSL連接,可以按照預設的加密演算法,將前端設備對應的證書和使用者輸入的帳戶資訊進行加密,生成鑑別Key,即上述的驗證碼,並將鑑別Key發送給鑑別伺服器。鑑別伺服器在接收到鑑別Key之後,可以按照預設的解密演算法對鑑別Key進行解密,得到前端設備的證書和帳戶資訊,並在本地查詢是否保存有該帳戶資訊和證書,如果保存有,則驗證前端設備為合法設備,可以進行網路連接。
其中,如果驗證解碼結果通過,認證系統向前端設備詢問是否需要接上網路,如果需要則前端設備與認證系統建立網路連接,並向認證系統發出登錄請求。
在一種可選的方案中,如圖7所示,認證系統詢問是 否需要接上網路,如果前端設備需要接上網路,則建立遠端網路連接,並向認證系統發送遠端登入請求。當網路出現異常或者通過心跳檢測,發現前段設備斷開時,可以斷開遠端網路連接。
例如,仍以前端設備為筆記型電腦,認證系統為目標主機,確認設備為符記手機為例,對本申請案上述實施例進行詳細說明。使用者在通過筆記型電腦進行遠端登入之前,需要與認證系統進行遠端網路連接。筆記型電腦可以首先與鑑別伺服器建立SSL連接,使用者可以輸入帳戶名“1252”和密碼“123456”,筆記型電腦根據帳戶名“1252”和密碼“123456”,以及筆記型電腦的安全證書,生成筆記型電腦的鑑別Key,筆記型電腦將鑑別Key發送給鑑別伺服器,鑑別伺服器對筆記型電腦的鑑別Key進行解密,得到帳戶名“1252”和密碼“123456”,以及筆記型電腦的安全證書,在本地查詢是否存在相同的帳戶資訊和安全證書,如果存在,則確定該筆記型電腦為合法設備,詢問是否需要接上網路。在使用者確定需要接上網路之後,可以將筆記型電腦和目標主機建立遠端網路連接。
此處需要說明的是,確認設備在與認證系統建立連接之前,也可以進行鑑別,將用於鑑別的驗證碼發送給鑑別伺服器,鑑別伺服器進行解碼、驗證,驗證通過之後詢問確認設備是否接上網路,如果接上網路,則建立遠端網路連接。
通過上述方案,可以採用證書和帳戶資訊加密的方 式,對前端設備進行鑑別,從達到更安全的保護使用者上網,不容易受到偽造攻擊,有效控制設備上網和斷開的效果。
根據本申請案上述實施例,在步驟S312,鑑別伺服器接收前端設備發送的驗證碼之前,上述方法還可以包括如下步驟:
步驟S3102,鑑別伺服器接收到前端設備的註冊請求,並產生與註冊請求對應的安全證書。
具體的,上述註冊請求可以包括前端設備發送的帳戶資訊,即使用者輸入的遠端登入的帳戶資訊。
步驟S3104,鑑別伺服器將安全證書返回至前端設備。
在一種可選的方案中,如圖7所示,前端設備在首次進行鑑別的時候,需要在健全伺服器進行註冊,可以將使用者輸入的帳戶資訊發送給鑑別伺服器,鑑別伺服器根據帳戶資訊生成對應的前端設備的安全證書,並將帳戶資訊和對應的安全證書保存在鑑別伺服器本地。鑑別伺服器將生成的安全證書返回給前端設備,以便前端設備進行再次鑑別,從而可以安全接上網路。
通過上述方案,鑑別伺服器可以根據帳戶資訊生成安全證書,從而實現基於證書,對前端設備進行鑑別的目的。
下面結合圖8詳細介紹本申請案的一種較佳實施例。
如8所示,提供了一種可選的基於生物特徵的身份認 證方法,該方法可以包括如下步驟S51至步驟S517:
步驟S51,前端設備131發送註冊請求至鑑別伺服器141。
可選的,前端設備首先和鑑別伺服器建立SSL連接,然後根據使用前端設備的當前帳戶的帳戶資訊,生成註冊請求,併發送給鑑別伺服器。
步驟S52,鑑別伺服器141生成安全證書,並返回前端設備131。
可選的,鑑別伺服器根據接收到的帳戶資訊,生成與帳戶資訊對應的安全證書,並返回給前端設備,由前端設備進行保存。
步驟S53,前端設備131發送驗證碼至鑑別伺服器141。
可選的,前端設備可以根據使用前端設備的當前帳戶的帳戶資訊,以及保存的前端設備的安全證書,按照預設加密演算法得到驗證碼,並將驗證碼發送給鑑別伺服器。
步驟S54,鑑別伺服器141對接收到的驗證碼進行解碼,驗證解碼結果。
可選的,鑑別伺服器按照預設解密演算法對接收到的驗證碼進行解碼,得到解碼結果,並驗證該解碼結果。
步驟S55,鑑別伺服器141詢問前端設備131是否接上網路。
可選的,如果解碼結果驗證成功,則確定該前端設備為合法設備,詢問是否需要接上網路,如果前端設備需要 接上網路,則將前端設備和目標主機之間建立遠端網路連接。
步驟S56,前端設備131發送帳戶資訊至目標主機133。
可選的,在首次通過前端設備進行遠端登入目標主機的時候,可以輸入帳戶的帳戶資訊,前端設備將帳戶資訊發送給目標主機,前端設備正常登錄目標主機。
步驟S57,目標主機133發送攜帶帳戶資訊的註冊請求至認證伺服器135。
可選的,目標主機根據接收到的帳戶資訊生成註冊請求,並將註冊請求發送給認證伺服器進行註冊。
步驟S58,認證伺服器135生成與帳戶資訊相關聯的證書,並返回至目標主機133。
可選的,認證伺服器解析接收到的註冊請求,得到前端設備發送的帳戶資訊,並生成與帳戶資訊相關聯的證書,即前端設備的證書。
步驟S59,目標主機133將帳戶資訊和與帳戶資訊相關聯的證書進行保存。
可選的,目標主機接收前端設備的證書,並根據前端設備發送的帳戶資訊,得到前端設備的註冊資訊,並將前端設備的註冊資訊保存在本地資料庫。
步驟S510,前端設備131發送帳戶資訊至目標主機133。
可選的,再次通過前端設備進行遠端登入目標主機 時,可以輸入帳戶的帳戶資訊,前端設備將帳戶資訊發送給目標主機。
步驟S511,目標主機133調用與帳戶資訊相關聯的證書,向認證伺服器135發起TLS請求。
可選的,目標主機在本地查詢與前端設備發送的帳戶資訊相同的帳戶資訊,如果查詢到,則獲取前端設備的證書,並通過調用證書向認證伺服器發起TLS請求,建立TLS連接。
步驟S512,目標主機133將帳戶資訊發送給認證伺服器135。
可選的,在目標主機與認證伺服器建立TLS連接之後,將前端設備發送的帳戶資訊轉發給認證伺服器。
步驟S513,認證伺服器135查詢與前端設備關聯的確認設備137。
可選的,認證伺服器在本地查詢與前端設備發送的帳戶資訊相同的帳戶資訊,如果查詢到,則獲取與前端設備發送的帳戶資訊關聯的確認設備,即查詢與前端設備關聯的確認設備。
步驟S514,認證伺服器135將帳戶資訊發送給確認設備137進行認證。
可選的,認證伺服器根據前端設備發送的帳戶資訊,生成認證請求,並將認證請求發送給確認設備,進行手動認證。
步驟S515,確認設備137生成確認資訊,並返回至 認證伺服器135。
可選的,如果使用者認證成功,可以通過點擊、滑動等操作生成確認資訊,並返回至認證伺服器。
步驟S516,認證伺服器135將確認資訊返回給目標主機133。
可選的,認證伺服器將確認資訊轉發給目標主機。
步驟S517,目標主機133根據確認資訊生成遠端登入結果,並將遠端登入結果返回給前端設備131。
可選的,目標主機可以根據確認資訊生成遠端登入結果,併發送給前端設備,在前端設備成功接收到遠端登入結果的情況下,確定使用前端設備的當前帳戶為合法帳戶,身份認證成功,可以通過前端設備登錄目標主機。
通過上述步驟S51至步驟S517,可以基於證書方案,替換系統上網策略,鑑別伺服器完成使用者身份識別,將前端設備上網,在使用者第一次接入目標主機時,需要將該前端設備註冊為可信登錄設備,在第二次登錄時,目標主機會通過證書TLS連接,將認證請求通過認證伺服器發送給確認設備,由確認設備進行認證,從而可以更安全的保護使用者上網,不容易受到偽造攻擊,並且在保證雙因素安全的前提下,提升使用者的登錄體驗,節省使用者登錄時間成本。
需要說明的是,對於前述的各方法實施例,為了簡單描述,故將其都表述為一系列的動作組合,但是本領域技術人員應該知悉,本申請案並不受所描述的動作順序的限 制,因為依據本申請案,某些步驟可以採用其他順序或者同時進行。其次,本領域技術人員也應該知悉,說明書中所描述的實施例均屬於較佳實施例,所涉及的動作和模組並不一定是本申請案所必須的。
通過以上的實施方式的描述,本領域的技術人員可以清楚地瞭解到根據上述實施例的方法可借助軟體加必需的通用硬體平臺的方式來實現,當然也可以通過硬體,但很多情況下前者是更佳的實施方式。基於這樣的理解,本申請案的技術方案本質上或者說對現有技術做出貢獻的部分可以以軟體產品的形式體現出來,該電腦軟體產品儲存在一個儲存媒體(如ROM/RAM、磁碟、光碟)中,包括若干指令用以使得一台終端設備(可以是手機,電腦,伺服器,或者網路設備等)執行本申請案各個實施例所述的方法。
實施例3
根據本申請案實施例,還提供了一種身份認證方法的方法實施例,需要說明的是,在附圖的流程圖示出的步驟可以在諸如一組電腦可執行指令的電腦系統中執行,並且,雖然在流程圖中示出了邏輯順序,但是在某些情況下,可以以不同於此處的循序執行所示出或描述的步驟。
圖9是根據本申請案實施例三的一種身份認證方法的流程圖,如圖9所示,該方法包括如下步驟:
步驟S62,前端設備發出登錄請求至認證系統,其 中,登錄請求包括:使用前端設備的當前帳戶的帳戶資訊。
具體的,上述的認證系統可以是使用者遠端登入的目標主機,該目標主機可以對使用者進行身份認證。上述的前端設備可以是使用者使用的電腦設備(包括PC,筆記型電腦等),移動終端設備(包括智慧型手機、平板電腦、iPad等)等客戶端。上述的登錄請求可以是使用者通過前端設備遠端登入認證系統進行身份認證的遠端登入請求。上述的帳戶資訊可以是使用者進行遠端登入的帳戶資訊,例如,遠端登入的帳戶名和密碼。
例如,以認證系統為目標主機,前端設備為筆記型電腦,確認設備為符記手機為例,對本申請案上述實施例進行詳細說明。使用者A在使用筆記型電腦進行遠端登入時,可以輸入遠端登入帳戶的帳戶名“1252”和密碼“123456”,筆記型電腦將使用者輸入的帳戶名“1252”和密碼“123456”通過網路發送給目標主機。
步驟S64,前端設備接收認證系統返回的登錄結果。
其中,認證系統根據帳戶資訊確定與前端設備關聯的確認設備,並發送包括了帳戶資訊的認證請求至確認設備,在接收到確認設備回應認證請求而返回的確認資訊的情況下,登錄結果為當前帳戶為合法帳戶。
具體的,上述確認設備可以是使用者提前綁定的手持設備,例如智慧型手機、平板電腦,iPad等設備,可以作為身份認證的符記端設備。使用者可以通過帳戶資訊,將 當前使用的前端設備與確認設備進行關聯,認證系統會將帳戶資訊和對應的確認設備進行關聯保存。
可選的,根據本申請案上述實施例,確認設備觸發產生確認資訊的方式包括如下至少一個:檢測到點擊操作、滑動操作、長按操作、按兩下操作、手勢操作和語音操作。
在一種可選的方案中,當使用者需要遠端登入時,可以輸入帳戶資訊,前端設備通過網路將帳戶資訊發送給認證系統進行認證,認證系統根據接收到的帳戶資訊,查詢本地資料庫中是否保存有該帳戶資訊,如果認證系統未查詢到該帳戶資訊,則確定該帳戶為非法帳戶;如果認證系統查詢到該帳戶資訊,則確定與該帳戶資訊關聯的確認設備,即確定與該前端設備關聯的確認設備。認證系統在查詢到帳戶資訊,並確定與該帳戶資訊關聯的確認設備之後,可以將帳戶資訊通過網路發送給確認設備,使用者可以手動對確認設備接收到的帳戶資訊進行確認。如果使用者確定認證系統發送的帳戶資訊是使用者自己輸入的帳戶資訊,則使用者可以通過點擊確認設備上顯示的確認按鈕,或者在確認設備的顯示幕上滑動一下,生成確認資訊,確認設備將確認資訊返回給認證系統,認證系統確定該帳戶為合法帳戶,可以進行遠端登入。如果認證系統未接受到確認設備返回的確認資訊,則確定該帳戶為非法帳戶,無法進行遠端登入。
在另一種可選的方案中,如果使用者確認未輸入帳戶 資訊,或者認證系統發送的帳戶資訊不是使用者自己輸入的帳戶資訊,則使用者可以通過點擊確認設備上顯示的否認按鈕,生成否認資訊,確認設備將否認資訊返回給認證系統,認證系統確定該帳戶為非法帳戶,無法進行遠端登入。
例如,仍以認證系統為目標主機,前端設備為筆記型電腦,確認設備為符記手機為例,對本申請案上述實施例進行詳細說明。目標主機在接收到帳戶名“1252”和密碼“123456”之後,在本地查詢與該帳號名和密碼關聯的符記手機,查詢到符記手機A,將認證請求“帳戶‘1252’請求進行遠端登入,是否允許”發送給符記手機A,符記手機A可以在顯示幕中顯示認證請求“帳戶‘1252’請求進行遠端登入,是否允許”,以及允許按鈕和拒絕按鈕,持有符記手機A的使用者可以查看認證請求,如果允許帳戶“1252”進行遠端登入,則可以通過點擊允許按鈕生成確認資訊,符記手機A將確認資訊返回給目標主機,目標主機確定帳戶“1252”為合法帳戶,允許該帳戶進行遠端登入,並和筆記型電腦建立遠端登入連接。
此處需要說明的是,前端設備指當前需要進行身份認證的設備,認證系統指對前端設備進行第一次身份認證的設備,確認設備對前端設備進行第二次身份認證的設備,從而實現對前端設備進行雙因素認證,提高身份認證的安全性。
由上可知,本申請案上述實施例三公開的方案中,前 端設備發出登錄請求至認證系統,前端設備接收認證系統返回的登錄結果,從而實現遠端登入的身份認證。
容易注意到,由於前端設備發送的登錄請求中包含使用前端設備的當前帳戶的帳戶資訊,認證系統可以根據帳戶資訊查詢到確認設備,並將帳戶資訊發送給確認設備,使用者可以通過手動操作確認帳戶資訊,完成身份認證,避免密碼洩露或者他人偽造帶來的安全風險,並且在身份認證過程中使用者不需要輸入密碼,只需要進行簡單地確認操作。因此,通過本申請案實施例所提供的方案,可以達到提升使用者的登錄體驗,節省使用者登錄時間成本,有效防止使用者偽造的效果。
由此,本申請案提供的上述實施例三的方案解決了現有技術中的身份認證方法安全風險高,同時使用者體驗差的技術問題。
實施例4
根據本申請案實施例,還提供了一種身份認證方法的方法實施例,需要說明的是,在附圖的流程圖示出的步驟可以在諸如一組電腦可執行指令的電腦系統中執行,並且,雖然在流程圖中示出了邏輯順序,但是在某些情況下,可以以不同於此處的循序執行所示出或描述的步驟。
圖10是根據本申請案實施例四的一種身份認證方法的流程圖,如圖10所示,該方法包括如下步驟:
步驟S72,目標主機接收前端設備發出的登錄請求, 其中,登錄請求包括:使用前端設備的當前帳戶的帳戶資訊。
具體的,上述的目標主機可以是使用者遠端登入的目標主機,該目標主機可以對使用者進行身份認證。上述的前端設備可以是使用者使用的電腦設備(包括PC,筆記型電腦等),移動終端設備(包括智慧型手機、平板電腦、iPad等)等客戶端。上述的登錄請求可以是使用者通過前端設備遠端登入目標主機進行身份認證的遠端登入請求。上述的帳戶資訊可以是使用者進行遠端登入的帳戶資訊,例如,遠端登入的帳戶名和密碼。
例如,以前端設備為筆記型電腦,確認設備為符記手機為例,對本申請案上述實施例進行詳細說明。使用者A在使用筆記型電腦進行遠端登入時,可以輸入遠端登入帳戶的帳戶名“1252”和密碼“123456”,筆記型電腦將使用者輸入的帳戶名“1252”和密碼“123456”通過網路發送給目標主機,目標主機接收到使用筆記型電腦的帳戶資訊“1252”和“123456”。
步驟S74,目標主機將帳戶資訊發送至認證伺服器,使得認證伺服器在根據帳戶資訊確定與前端設備關聯的確認設備之後,發送認證請求至確認設備,其中,認證請求包括帳戶資訊。
具體的,上述確認設備可以是使用者提前綁定的手持設備,例如智慧型手機、平板電腦,iPad等設備,可以作為身份認證的符記端設備。使用者可以通過帳戶資訊,將 當前使用的前端設備與確認設備進行關聯,認證伺服器會將帳戶資訊和對應的確認設備進行關聯保存。
在一種可選的方案中,當使用者需要遠端登入時,可以輸入帳戶資訊,前端設備通過網路將帳戶資訊發送給目標主機進行認證,目標主機將帳戶資訊轉發給認證伺服器,認證伺服器根據接收到的帳戶資訊,查詢本地資料庫中是否保存有該帳戶資訊,如果認證伺服器未查詢到該帳戶資訊,則確定該帳戶為非法帳戶;如果認證伺服器查詢到該帳戶資訊,則確定與該帳戶資訊關聯的確認設備,即確定與該前端設備關聯的確認設備。認證伺服器在查詢到帳戶資訊,並確定與該帳戶資訊關聯的確認設備之後,可以將帳戶資訊通過網路發送給確認設備,使用者可以手動對確認設備接收到的帳戶資訊進行確認。
例如,仍以前端設備為筆記型電腦,確認設備為符記手機為例,對本申請案上述實施例進行詳細說明。目標主機在接收到帳戶資訊“1252”和“123456”之後,將帳戶資訊轉發給認證伺服器,認證伺服器在本地查詢與該帳號名和密碼關聯的符記手機,查詢到符記手機A,將認證請求“帳戶‘1252’請求進行遠端登入,是否允許”發送給符記手機A,符記手機A可以在顯示幕中顯示認證請求“帳戶‘1252’請求進行遠端登入,是否允許”,以及允許按鈕和拒絕按鈕,持有符記手機A的使用者可以查看認證請求,
步驟S76,目標主機在接收到確認設備回應認證請求而返回的確認資訊的情況下,確定當前帳戶為合法帳戶。
可選的,根據本申請案上述實施例,確認設備觸發產生確認資訊的方式包括如下至少一個:檢測到點擊操作、滑動操作、長按操作、按兩下操作、手勢操作和語音操作。
在一種可選的方案中,如果使用者確定認證伺服器發送的帳戶資訊是使用者自己輸入的帳戶資訊,則使用者可以通過點擊確認設備上顯示的確認按鈕,或者在確認設備的顯示幕上滑動一下,生成確認資訊,確認設備將確認資訊返回給認證伺服器,認證伺服器返回給目標主機,目標主機確定該帳戶為合法帳戶,可以進行遠端登入。如果目標主機未接受到確認設備返回的確認資訊,則確定該帳戶為非法帳戶,無法進行遠端登入。
在另一種可選的方案中,如果使用者確認未輸入帳戶資訊,或者認證伺服器發送的帳戶資訊不是使用者自己輸入的帳戶資訊,則使用者可以通過點擊確認設備上顯示的否認按鈕,生成否認資訊,確認設備將否認資訊返回給認證伺服器,認證伺服器返回給目標主機,目標主機確定該帳戶為非法帳戶,無法進行遠端登入。
例如,仍以前端設備為筆記型電腦,確認設備為符記手機為例,對本申請案上述實施例進行詳細說明。如果持有符記手機A的使用者允許帳戶“1252”進行遠端登入,則可以通過點擊允許按鈕生成確認資訊,符記手機A將確認資訊返回給目標主機,目標主機確定帳戶“1252”為合法帳戶,允許該帳戶進行遠端登入,並和筆記型電腦建立遠端 登入連接。
此處需要說明的是,前端設備指當前需要進行身份認證的設備,目標主機指前端設備進行遠端登入的設備,認證伺服器指對前端設備進行第一次身份認證的設備,確認設備對前端設備進行第二次身份認證的設備,從而實現對前端設備進行雙因素認證,提高身份認證的安全性。
由上可知,本申請案上述實施例四公開的方案中,目標主機接收前端設備發出的登錄請求,目標主機將帳戶資訊發送至認證伺服器,使得認證伺服器在根據帳戶資訊確定與前端設備關聯的確認設備之後,發送認證請求至確認設備,目標主機在接收到確認設備回應認證請求而返回的確認資訊的情況下,確定當前帳戶為合法帳戶,從而實現遠端登入的身份認證。
容易注意到,由於前端設備發送的登錄請求中包含使用前端設備的當前帳戶的帳戶資訊,認證伺服器可以根據帳戶資訊查詢到確認設備,並將帳戶資訊發送給確認設備,使用者可以通過手動操作確認帳戶資訊,完成身份認證,避免密碼洩露或者他人偽造帶來的安全風險,並且在身份認證過程中使用者不需要輸入密碼,只需要進行簡單地確認操作。因此,通過本申請案實施例所提供的方案,可以達到提升使用者的登錄體驗,節省使用者登錄時間成本,有效防止使用者偽造的效果。
由此,本申請案提供的上述實施例四的方案解決了現有技術中的身份認證方法安全風險高,同時使用者體驗差 的技術問題。
實施例5
根據本申請案實施例,還提供了一種用於實施上述身份認證方法的身份認證裝置,如圖11所示,該裝置80包括:接收模組801,第一確定模組803,發送模組805和第二確定模組807。
其中,接收模組801用於使認證系統接收前端設備發出的登錄請求,其中,登錄請求包括:使用前端設備的當前帳戶的帳戶資訊;第一確定模組803用於使認證系統根據帳戶資訊確定與前端設備關聯的確認設備;發送模組805用於使認證系統發送認證請求至確認設備進行顯示,其中,認證請求包括帳戶資訊;第二確定模組807用於使認證系統在接收到確認設備返回確認資訊的情況下,確定當前帳戶為合法帳戶,其中,確認資訊為確認設備接收到確認指令之後所產生的資訊。
具體的,上述的認證系統可以是使用者遠端登入的目標主機,該目標主機可以對使用者進行身份認證。上述的前端設備可以是使用者使用的電腦設備(包括PC,筆記型電腦等),移動終端設備(包括智慧型手機、平板電腦、iPad等)等客戶端。上述的登錄請求可以是使用者通過前端設備遠端登入認證系統進行身份認證的遠端登入請求。上述的帳戶資訊可以是使用者進行遠端登入的帳戶資訊,例如,遠端登入的帳戶名和密碼。上述確認設備可以 是使用者提前綁定的手持設備,例如智慧型手機、平板電腦,iPad等設備,可以作為身份認證的符記端設備。使用者可以通過帳戶資訊,將當前使用的前端設備與確認設備進行關聯,認證系統會將帳戶資訊和對應的確認設備進行關聯保存。
可選的,根據本申請案上述實施例,確認設備觸發產生確認資訊的方式包括如下至少一個:檢測到點擊操作、滑動操作、長按操作、按兩下操作、手勢操作和語音操作。
此處需要說明的是,上述接收模組801,第一確定模組803,發送模組805和第二確定模組807對應於實施例二中的步驟S32至步驟S38,四個模組與對應的步驟所實現的實例和應用場景相同,但不限於上述實施例二所公開的內容。需要說明的是,上述模組作為裝置的一部分可以運行在實施例二提供的電腦終端10中。
此處還需要說明的是,前端設備指當前需要進行身份認證的設備,認證系統指對前端設備進行第一次身份認證的設備,確認設備對前端設備進行第二次身份認證的設備,從而實現對前端設備進行雙因素認證,提高身份認證的安全性。
由上可知,本申請案上述實施例五公開的方案中,認證系統接收前端設備發出的登錄請求,根據帳戶資訊確定與前端設備關聯的確認設備,發送認證請求至確認設備,在接收到確認設備回應認證請求而返回的確認資訊的情況 下,確定當前帳戶為合法帳戶,從而實現遠端登入的身份認證。
容易注意到,由於前端設備發送的登錄請求中包含使用前端設備的當前帳戶的帳戶資訊,認證系統可以根據帳戶資訊查詢到確認設備,並將帳戶資訊發送給確認設備,使用者可以通過手動操作確認帳戶資訊,完成身份認證,避免密碼洩露或者他人偽造帶來的安全風險,並且在身份認證過程中使用者不需要輸入密碼,只需要進行簡單地確認操作。因此,通過本申請案實施例所提供的方案,可以達到提升使用者的登錄體驗,節省使用者登錄時間成本,有效防止使用者偽造的效果。
由此,本申請案提供的上述實施例五的方案解決了現有技術中的身份認證方法安全風險高,同時使用者體驗差的技術問題。
根據本申請案上述實施例,如圖11所示,上述裝置80還可以包括:連接模組809,生成模組811和保存模組813。
其中,連接模組809用於使認證系統分別與至少一個前端設備和至少一個確認設備建立網路連接,並接收任意一個前端設備發送的第一註冊請求和/或任意一個確認設備發送的第二註冊請求,其中,第一註冊請求中攜帶有任意一個前端設備首次遠端登入認證系統時所使用的第一帳戶資訊,第二註冊請求中攜帶有任意一個確認設備首次遠端登入認證系統時所使用的第二帳戶資訊;生成模組811 用於認證系統根據第一註冊請求生成第一註冊資訊,和/或根據第二註冊請求生成第二註冊資訊,其中,第一註冊資訊包括:第一帳戶資訊和與第一帳戶資訊關聯的證書,第二註冊資訊至少包括:第二帳戶資訊;保存模組813用於認證系統保存第一註冊資訊和第二註冊資訊;其中,在第一帳戶資訊與第二帳戶資訊相同的情況下,認證系統中使用第一帳戶資訊註冊的前端設備與使用第二帳戶資訊註冊的確認設備是相互關聯的設備。
根據本申請案上述實施例,如圖11所示,第一確定模組803可以包括:第一查詢模組815。
第一查詢模組815用於認證系統查詢是否存在與帳戶資訊相同的第一帳戶資訊和第二帳戶資訊;如果查詢成功,認證系統確定發出登錄請求的前端設備為已經註冊過的設備,並確認使用第二帳戶資訊註冊的確認設備為與前端設備關聯的確認設備。
根據本申請案上述實施例,在認證系統包括:目標主機和認證伺服器的情況下,如圖11所示,連接模組809包括:第一接收模組817和第二接收模組819。
其中,第一接收模組817用於使目標主機接收任意一個前端設備首次遠端登入時所使用的第一帳戶資訊;第二接收模組819用於在將攜帶了第一帳戶資訊的第一註冊請求發送至認證伺服器之後,接收認證伺服器返回的與第一帳戶資訊關聯的證書,得到第一註冊資訊。
根據本申請案上述實施例,如圖11所示,第一查詢 模組815可以包括:第二查詢模組821,獲取模組823,調用模組825,第三查詢模組827和第三確定模組829。
其中,第二查詢模組821用於使目標主機查詢是否存在與帳戶資訊相同的第一帳戶資訊;獲取模組823用於如果查詢成功,目標主機獲取與第一帳戶資訊關聯的證書;調用模組825用於使目標主機調用證書向認證伺服器發起TLS連接,並將帳戶資訊發送至認證伺服器;第三查詢模組827用於使認證伺服器查詢是否存在與帳戶資訊相同的第二帳戶資訊;第三確定模組829用於如此查詢成功,確定使用第二帳戶資訊註冊的確認設備為與前端設備關聯的確認設備。
根據本申請案上述實施例,如圖11所示,第二確定模組807可以包括:轉發模組831和第一返回模組833。
其中,轉發模組831用於使認證伺服器將確認資訊轉發給目標主機;第一返回模組833用於使目標主機根據確認資訊生成遠端登入結果,並將遠端登入結果返回至前端設備;其中,在成功將遠端登入結果返回至前端設備的情況下,確定使用前端設備的當前帳戶為合法帳戶,使得當前帳戶通過前端設備登錄目標主機成功。
根據本申請案上述實施例,上述認證系統可以包括:鑑別伺服器,其中,如圖11所示,上述裝置80還可以包括:第三接收模組835和解碼模組837。
其中,第三接收模組835用於使鑑別伺服器接收前端設備發送的驗證碼,其中,驗證碼為前端設備按照預定加 密演算法將當前帳戶的帳戶資訊和安全證書進行加密,生成的用於鑑別的驗證碼;解碼模組837用於使鑑別伺服器按照預定的解密演算法對驗證碼進行解碼,並驗證解碼結果;其中,如果驗證解碼結果通過,認證系統向前端設備詢問是否需要接上網路,如果需要則前端設備與認證系統建立網路連接,並向認證系統發出登錄請求。
根據本申請案上述實施例,如圖11所示,上述裝置80還可以包括:第四接收模組839和第二返回模組841。
其中,第四接收模組839用於鑑別伺服器接收到前端設備的註冊請求,並產生與註冊請求對應的安全證書;第二返回模組841用於使鑑別伺服器將安全證書返回至前端設備。
實施例6
根據本申請案實施例,還提供了一種用於實施上述身份認證方法的身份認證裝置,如圖12所示,該身份認證裝置90包括:發送模組91和接收模組93。
其中,發送模組91用於使前端設備發出登錄請求至認證系統,其中,登錄請求包括:使用前端設備的當前帳戶的帳戶資訊;接收模組93用於使前端設備接收認證系統返回的登錄結果,其中,認證系統根據帳戶資訊確定與前端設備關聯的確認設備,並發送包括了帳戶資訊的認證請求至確認設備,在接收到確認設備回應認證請求而返回的確認資訊的情況下,登錄結果為當前帳戶為合法帳戶。
具體的,上述的認證系統可以是使用者遠端登入的目標主機,該目標主機可以對使用者進行身份認證。上述的前端設備可以是使用者使用的電腦設備(包括PC,筆記型電腦等),移動終端設備(包括智慧型手機、平板電腦、iPad等)等客戶端。上述的登錄請求可以是使用者通過前端設備遠端登入認證系統進行身份認證的遠端登入請求。上述的帳戶資訊可以是使用者進行遠端登入的帳戶資訊,例如,遠端登入的帳戶名和密碼。上述確認設備可以是使用者提前綁定的手持設備,例如智慧型手機、平板電腦,iPad等設備,可以作為身份認證的符記端設備。使用者可以通過帳戶資訊,將當前使用的前端設備與確認設備進行關聯,認證系統會將帳戶資訊和對應的確認設備進行關聯保存。
可選的,根據本申請案上述實施例,確認設備觸發產生確認資訊的方式包括如下至少一個:檢測到點擊操作、滑動操作、長按操作、按兩下操作、手勢操作和語音操作。
此處需要說明的是,上述發送模組91和接收模組93對應於實施例三中的步驟S62至步驟S64,兩個模組與對應的步驟所實現的實例和應用場景相同,但不限於上述實施例三所公開的內容。需要說明的是,上述模組作為裝置的一部分可以運行在實施例二提供的電腦終端10中。
此處還需要說明的是,前端設備指當前需要進行身份認證的設備,認證系統指對前端設備進行第一次身份認證 的設備,確認設備對前端設備進行第二次身份認證的設備,從而實現對前端設備進行雙因素認證,提高身份認證的安全性。
由上可知,本申請案上述實施例六公開的方案中,前端設備發出登錄請求至認證系統,前端設備接收認證系統返回的登錄結果,從而實現遠端登入的身份認證。
容易注意到,由於前端設備發送的登錄請求中包含使用前端設備的當前帳戶的帳戶資訊,認證系統可以根據帳戶資訊查詢到確認設備,並將帳戶資訊發送給確認設備,使用者可以通過手動操作確認帳戶資訊,完成身份認證,避免密碼洩露或者他人偽造帶來的安全風險,並且在身份認證過程中使用者不需要輸入密碼,只需要進行簡單地確認操作。因此,通過本申請案實施例所提供的方案,可以達到提升使用者的登錄體驗,節省使用者登錄時間成本,有效防止使用者偽造的效果。
由此,本申請案提供的上述實施例六的方案解決了現有技術中的身份認證方法安全風險高,同時使用者體驗差的技術問題。
實施例7
根據本申請案實施例,還提供了一種用於實施上述身份認證方法的身份認證裝置,如圖13所示,該身份認證裝置100包括:第一發送模組101,第二發送模組103和確定模組105。
其中,第一發送模組101用於使目標主機接收前端設備發出的登錄請求,其中,登錄請求包括:使用前端設備的當前帳戶的帳戶資訊;第二發送模組103用於使目標主機將帳戶資訊發送至認證伺服器,使得認證伺服器在根據帳戶資訊確定與前端設備關聯的確認設備之後,發送認證請求至確認設備,其中,認證請求包括帳戶資訊;確定模組105用於使目標主機在接收到確認設備回應認證請求而返回的確認資訊的情況下,確定當前帳戶為合法帳戶。
具體的,上述的目標主機可以是使用者遠端登入的目標主機,該目標主機可以對使用者進行身份認證。上述的前端設備可以是使用者使用的電腦設備(包括PC,筆記型電腦等),移動終端設備(包括智慧型手機、平板電腦、iPad等)等客戶端。上述的登錄請求可以是使用者通過前端設備遠端登入目標主機進行身份認證的遠端登入請求。上述的帳戶資訊可以是使用者進行遠端登入的帳戶資訊,例如,遠端登入的帳戶名和密碼。上述確認設備可以是使用者提前綁定的手持設備,例如智慧型手機、平板電腦,iPad等設備,可以作為身份認證的符記端設備。使用者可以通過帳戶資訊,將當前使用的前端設備與確認設備進行關聯,目標主機會將帳戶資訊和對應的確認設備進行關聯保存。
可選的,根據本申請案上述實施例,確認設備觸發產生確認資訊的方式包括如下至少一個:檢測到點擊操作、滑動操作、長按操作、按兩下操作、手勢操作和語音操 作。
此處需要說明的是,上述發送模組101,發送模組103和確定模組105對應於實施例四中的步驟S72至步驟S76,三個模組與對應的步驟所實現的實例和應用場景相同,但不限於上述實施例四所公開的內容。需要說明的是,上述模組作為裝置的一部分可以運行在實施例二提供的電腦終端10中。
此處還需要說明的是,前端設備指當前需要進行身份認證的設備,目標主機指前端設備進行遠端登入的設備,認證伺服器指對前端設備進行第一次身份認證的設備,確認設備對前端設備進行第二次身份認證的設備,從而實現對前端設備進行雙因素認證,提高身份認證的安全性。
由上可知,本申請案上述實施例七公開的方案中,目標主機接收前端設備發出的登錄請求,目標主機將帳戶資訊發送至認證伺服器,使得認證伺服器在根據帳戶資訊確定與前端設備關聯的確認設備之後,發送認證請求至確認設備,目標主機在接收到確認設備回應認證請求而返回的確認資訊的情況下,確定當前帳戶為合法帳戶,從而實現遠端登入的身份認證。
容易注意到,由於前端設備發送的登錄請求中包含使用前端設備的當前帳戶的帳戶資訊,認證伺服器可以根據帳戶資訊查詢到確認設備,並將帳戶資訊發送給確認設備,使用者可以通過手動操作確認帳戶資訊,完成身份認證,避免密碼洩露或者他人偽造帶來的安全風險,並且在 身份認證過程中使用者不需要輸入密碼,只需要進行簡單地確認操作。因此,通過本申請案實施例所提供的方案,可以達到提升使用者的登錄體驗,節省使用者登錄時間成本,有效防止使用者偽造的效果。
由此,本申請案提供的上述實施例七的方案解決了現有技術中的身份認證方法安全風險高,同時使用者體驗差的技術問題。
實施例8
根據本申請案實施例,還提供了一種用於實施上述身份認證方法的身份認證系統,如圖14所示,該系統包括:
前端設備141,用於發送登錄請求,其中,登錄請求包括:使用前端設備的當前帳戶的帳戶資訊。
具體的,上述的前端設備可以是使用者使用的電腦設備(包括PC,筆記型電腦等),移動終端設備(包括智慧型手機、平板電腦、iPad等)等客戶端。上述的登錄請求可以是使用者通過前端設備遠端登入目標主機進行身份認證的遠端登入請求。上述的帳戶資訊可以是使用者進行遠端登入的帳戶資訊,例如,遠端登入的帳戶名和密碼。
例如,以前端設備為筆記型電腦,確認設備為符記手機為例,對本申請案上述實施例進行詳細說明。使用者A在首次使用筆記型電腦A進行遠端登入時,可以輸入遠端登入帳戶的帳戶名“1252”和密碼“123456”,筆記型電腦A 將使用者輸入的帳戶名“1252”和密碼“123456”通過網路發送給目標主機。
目標主機143,與前端設備141網路連接,用於接收前端設備發出的登錄請求,根據帳戶資訊確定與帳戶資訊關聯的證書,並調用證書向認證伺服器發起TLS連接。
具體的,上述的目標主機可以是使用者遠端登入的目標主機,該目標主機可以對使用者進行身份認證。
在一種可選的方案中,當使用者需要遠端登入時,可以輸入帳戶資訊,前端設備通過網路將帳戶資訊發送給目標主機進行認證,目標主機將帳戶資訊轉發給認證伺服器,認證伺服器根據接收到的帳戶資訊,查詢本地資料庫中是否保存有該帳戶資訊,如果認證伺服器未查詢到該帳戶資訊,則確定該帳戶為非法帳戶;如果認證伺服器查詢到該帳戶資訊,則確定與該帳戶資訊關聯的證書,在查詢到帳戶資訊,並確定與該帳戶資訊關聯的證書之後,調用查找到的證書與認證伺服器建立TLS連接,在TLS連接建立之後,將該帳戶資訊發送給認證伺服器進行認證。
例如,以前端設備為筆記型電腦,確認設備為符記手機為例,對本申請案上述實施例進行詳細說明。目標主機接收到當前使用筆記型電腦的帳戶資訊“1252”和“123456”,可以在本地查詢與帳戶名“1252”和密碼“123456”對應的證書,查詢到證書A,並調用證書A向認證伺服器發起TLS連接,在建立連接之後,目標主機將帳戶名“1252”和密碼“123456”發送給認證伺服器。
認證伺服器145,與目標主機143具有連接關係,用於接收目標主機發送的帳戶資訊,並根據帳戶資訊確定是否存在與前端設備關聯的確認設備,如果存在,根據帳戶資訊生成認證請求,其中,認證請求包括帳戶資訊。
具體的,上述的目標主機和認證伺服器可以是兩個分離的伺服器,也可以是一個伺服器,即認證伺服器。上述確認設備可以是使用者提前綁定的手持設備,例如智慧型手機、平板電腦,iPad等設備,可以作為身份認證的符記端設備。使用者可以通過帳戶資訊,將當前使用的前端設備與確認設備進行關聯,認證伺服器會將帳戶資訊和對應的確認設備進行關聯保存。
在一種可選的方案中,認證伺服器在接收到目標主機發送的帳戶資訊之後,可以根據接收到的帳戶資訊,查詢本地資料庫中是否保存有該帳戶資訊,如果認證伺服器未查詢到該帳戶資訊,則確定該帳戶為非法帳戶;如果認證伺服器查詢到該帳戶資訊,則確定與該帳戶資訊關聯的確認設備,即確定與該前端設備關聯的確認設備。認證伺服器在查詢到帳戶資訊,並確定與該帳戶資訊關聯的確認設備之後,可以將帳戶資訊通過網路發送給確認設備,使用者可以手動對確認設備接收到的帳戶資訊進行確認。
例如,仍以前端設備為筆記型電腦,確認設備為符記手機為例,對本申請案上述實施例進行詳細說明。認證伺服器在接收到帳戶資訊“1252”和“123456”之後,在本地查詢與該帳號名和密碼關聯的符記手機,查詢到符記手機 A,將認證請求“帳戶‘1252’請求進行遠端登入,是否允許”發送給符記手機A。
確認設備147,與認證伺服器145網路連接,用於接收認證請求,並將根據認證請求而生成的確認資訊返回至認證伺服器。
具體的,上述確認設備可以是使用者提前綁定的手持設備,例如智慧型手機、平板電腦,iPad等設備,可以作為身份認證的符記端設備。使用者可以通過帳戶資訊,將當前使用的前端設備與確認設備進行關聯,認證伺服器會將帳戶資訊和對應的確認設備進行關聯保存。
可選的,根據本申請案上述實施例,確認設備觸發產生確認資訊的方式包括如下至少一個:檢測到點擊操作、滑動操作、長按操作、按兩下操作、手勢操作和語音操作。
其中,在認證伺服器將確認資訊回饋給前端設備的情況下,確定當前帳戶為合法帳戶。
在一種可選的方案中,如果使用者確定認證伺服器發送的帳戶資訊是使用者自己輸入的帳戶資訊,則使用者可以通過點擊確認設備上顯示的確認按鈕,或者在確認設備的顯示幕上滑動一下,生成確認資訊,確認設備將確認資訊返回給認證伺服器,認證伺服器返回給目標主機,目標主機確定該帳戶為合法帳戶,可以進行遠端登入。如果目標主機未接受到確認設備返回的確認資訊,則確定該帳戶為非法帳戶,無法進行遠端登入。
在另一種可選的方案中,如果使用者確認未輸入帳戶資訊,或者認證伺服器發送的帳戶資訊不是使用者自己輸入的帳戶資訊,則使用者可以通過點擊確認設備上顯示的否認按鈕,生成否認資訊,確認設備將否認資訊返回給認證伺服器,認證伺服器返回給目標主機,目標主機確定該帳戶為非法帳戶,無法進行遠端登入。
例如,仍以前端設備為筆記型電腦,確認設備為符記手機為例,對本申請案上述實施例進行詳細說明。符記手機A在接收到認證伺服器發送的認證請求之後可以在顯示幕中顯示認證請求“帳戶‘1252’請求進行遠端登入,是否允許”,持有符記手機A的使用者可以查看認證請求,符記手機A可以在顯示幕中顯示認證請求“帳戶‘1252’請求進行遠端登入,是否允許”,以及允許按鈕和拒絕按鈕,持有符記手機A的使用者可以查看認證請求。如果允許帳戶“1252”進行遠端登入,則可以通過點擊允許按鈕生成確認資訊,符記手機A將確認資訊返回給目標主機,目標主機確定帳戶“1252”為合法帳戶,允許該帳戶進行遠端登入,並和筆記型電腦建立遠端登入連接。
此處需要說明的是,圖2以方塊圖示出的使用者設備與伺服器之間的資料互動,也可以用於表示上述圖14中前端設備141和目標主機143,以及認證伺服器145和確認設備147之間的資料互動。
此處還需要說明的是,前端設備指當前需要進行身份認證的設備,目標主機指前端設備進行遠端登入的設備, 認證伺服器指對前端設備進行第一次身份認證的設備,確認設備對前端設備進行第二次身份認證的設備,從而實現對前端設備進行雙因素認證,提高身份認證的安全性。
由上可知,本申請案上述實施例八公開的方案中,前端設備發送登錄請求,目標主機接收前端設備發出的登錄請求,根據帳戶資訊確定與帳戶資訊關聯的證書,並調用證書向認證伺服器發起TLS連接,認證伺服器根據帳戶資訊確定是否存在與前端設備關聯的確認設備,如果存在,根據帳戶資訊生成認證請求,發送認證請求至確認設備,確認設備將根據認證請求而生成的確認資訊返回至認證伺服器,從而實現遠端登入的身份認證。
容易注意到,由於前端設備發送的登錄請求中包含使用前端設備的當前帳戶的帳戶資訊,認證伺服器可以根據帳戶資訊查詢到確認設備,並將帳戶資訊發送給確認設備,使用者可以通過手動操作確認帳戶資訊,完成身份認證,避免密碼洩露或者他人偽造帶來的安全風險,並且在身份認證過程中使用者不需要輸入密碼,只需要進行簡單地確認操作。因此,通過本申請案實施例所提供的方案,可以達到提升使用者的登錄體驗,節省使用者登錄時間成本,有效防止使用者偽造的效果。
由此,本申請案提供的上述實施例八的方案解決了現有技術中的身份認證方法安全風險高,同時使用者體驗差的技術問題。
根據本申請案上述實施例,目標主機分別與至少一個 前端設備和至少一個確認設備建立網路連接,並接收任意一個前端設備首次遠端登入目標主機時所使用的第一帳戶資訊,以及任意一個確認設備首次遠端登入目標主機時所使用的第二帳戶資訊。
在一種可選的方案中,目標主機可以和多個進行遠端登入的前端設備,以及與多個前端設備相關聯的確認設備進行遠端網路連接,每個使用者在首次進行遠端登入時,可以通過前端設備將遠端登入的帳戶資訊發送給目標主機進行註冊,並通過確認設備將該帳戶資訊發送給目標主機進行註冊。
目標主機根據第一帳戶資訊生成第一註冊請求,根據第二帳戶資訊生成第二註冊請求。
具體的,上述的第一註冊資訊可以是用於下次發起登錄的可信證書資訊。上述的第二註冊資訊還可以包括與第二帳戶資訊關聯的證書和確認設備的標識資訊,在通過確認設備進行身份認證之前,可以根據證書對確認設備進行驗證,如果未通過驗證,則說明該確認設備為非法設備,認證伺服器不會將使用者輸入的帳戶資訊發送給該確認設備。
目標主機將第一註冊請求和/或第二註冊請求發送至認證伺服器。
例如,仍以前端設備為筆記型電腦,確認設備為符記手機為例,對本申請案上述實施例進行詳細說明。使用者A在首次使用筆記型電腦A進行遠端登入時,可以在筆記 型電腦A和符記手機A中均輸入遠端登入帳戶的帳戶名“1252”和密碼“123456”,筆記型電腦A和符記手機A將使用者輸入的帳戶名“1252”和密碼“123456”通過網路發送給目標主機;使用者B在首次使用筆記型電腦B進行遠端登入時,可以在筆記型電腦B和符記手機B中均輸入遠端登入帳戶的帳戶名“1253”和密碼“456123”,筆記型電腦B和符記手機B將使用者輸入的帳戶名“1253”和密碼“456123”通過網路發送給目標主機,並轉發給認證伺服器。
目標主機接收認證伺服器根據第一註冊請求生成第一註冊資訊,和/或根據第二註冊請求生成第二註冊資訊,其中,第一註冊資訊包括:與第一帳戶資訊關聯的證書,第二註冊資訊至少包括:第二帳戶資訊。
目標主機保存第一註冊資訊和第二註冊資訊。
在一種可選的方案中,認證伺服器在接收到前端設備發送的第一帳戶資訊之後,可以根據第一帳戶資訊生成相應的證書,並將相應的證書返回給目標主機,目標主機可以將第一帳戶資訊和相應的證書保存在目標主機本地;認證伺服器在接收到確認設備發送的第二帳戶資訊之後,可以將確認設備的標識資訊和第二帳戶資訊保存在認證伺服器本地。
在另一種可選的方案中,認證伺服器在接收到前端設備發送的第一帳戶資訊之後,可以根據第一帳戶資訊生成相應的證書,並將相應的證書返回給目標主機,目標主機 可以將第一帳戶資訊和相應的證書保存在目標主機本地;認證伺服器在接收到確認設備發送的第二帳戶資訊之後,可以根據第二帳戶資訊生成相應的證書,並相應的證書返回給目標主機,目標主機可以將確認設備的標識資訊,第二帳戶資訊和相應的證書保存在認證伺服器本地。
例如,仍以前端設備為筆記型電腦,確認設備為符記手機為例,對本申請案上述實施例進行詳細說明。認證伺服器在接收到筆記型電腦A發送的帳戶名“1252”和密碼“123456”之後,可以生成筆記型電腦A的證書A,並返回給目標主機,目標主機將帳戶名“1252”和密碼“123456”以及證書A保存在本地資料庫;認證伺服器在接收到符記手機A發送的帳戶名“1252”和密碼“123456”之後,可以將符記手機A的標識資訊,帳戶名“1252”和密碼“123456”保存在本地資料庫;認證伺服器在接收到筆記型電腦B發送的帳戶名“1253”和密碼“456123”之後,可以生成筆記型電腦B的證書B,並返回給目標主機,目標主機將帳戶名“1253”和密碼“456123”以及證書B保存在本地資料庫;認證伺服器在接收到符記手機B發送的帳戶名“1253”和密碼“456123”之後,可以將符記手機B的標識資訊,帳戶名“1253”和密碼“456123”保存在本地資料庫。
其中,在第一帳戶資訊與第二帳戶資訊相同的情況下,認證伺服器中使用第一帳戶資訊註冊的前端設備與使用第二帳戶資訊註冊的確認設備是相互關聯的設備。
在一種可選的方案中,當使用者將自己的確認設備和 前端設備進行綁定時,使用者可以通過前端設備發送遠端登入帳戶資訊給認證伺服器進行註冊,並通過確認設備發送相同的遠端登入帳戶資訊給認證伺服器進行註冊,從而認證伺服器確認該確認設備與該前端設備相互關聯。
例如,仍以前端設備為筆記型電腦,確認設備為符記手機為例,對本申請案上述實施例進行詳細說明。認證伺服器可以根據儲存的帳戶名和密碼,確定筆記型電腦A和符記手機A為關聯設備,筆記型電腦B和符記手機B為關聯設備。
通過上述方案,首次遠端登入目標主機時,認證伺服器可以根據接收到的帳戶資訊生成身份驗證需要的註冊資訊,並確認前端設備和確認設備的關聯關係,實現再次遠端登入目標主機時,認證伺服器根據接收到的帳戶資訊進行身份認證的目的。
根據本申請案上述實施例,如圖15所示,上述系統還包括:鑑別伺服器151,與前端設備151網路連接,用於接收前端設備發送的驗證碼,按照預定的解密演算法對驗證碼進行解碼,並驗證解碼結果,其中,驗證碼為前端設備按照預定加密演算法將當前帳戶的帳戶資訊和安全證書進行加密,生成的用於鑑別的驗證碼;其中,如果驗證解碼結果通過,目標主機向前端設備詢問是否需要接上網路,如果需要則前端設備與目標主機建立網路連接,並向目標主機發出登錄請求。
具體的,上述預定加密演算法與預定的解密演算法對 應,可以為DES加密演算法,本申請案對此不作具體限定。
在一種可選的方案中,前端設備可以和鑑別伺服器建立SSL連接,可以按照預設的加密演算法,將前端設備對應的證書和使用者輸入的帳戶資訊進行加密,生成鑑別Key,即上述的驗證碼,並將鑑別Key發送給鑑別伺服器。鑑別伺服器在接收到鑑別Key之後,可以按照預設的解密演算法對鑑別Key進行解密,得到前端設備的證書和帳戶資訊,並在本地查詢是否保存有該帳戶資訊和證書,如果保存有,則驗證前端設備為合法設備,可以進行網路連接。
在另一種可選的方案中,如圖4所示,目標主機詢問是否需要接上網路,如果前端設備需要接上網路,則建立遠端網路連接,並向目標主機發送登錄請求。當網路出現異常或者通過心跳檢測,發現前段設備斷開時,可以斷開遠端網路連接。
例如,仍以前端設備為筆記型電腦,確認設備為符記手機為例,對本申請案上述實施例進行詳細說明。使用者在通過筆記型電腦進行遠端登入之前,需要與目標主機進行遠端網路連接。筆記型電腦可以首先與鑑別伺服器建立SSL連接,使用者可以輸入帳戶名“1252”和密碼“123456”,筆記型電腦根據帳戶名“1252”和密碼“123456”,以及筆記型電腦的安全證書,生成筆記型電腦的鑑別Key,筆記型電腦將鑑別Key發送給鑑別伺服器, 鑑別伺服器對筆記型電腦的鑑別Key進行解密,得到帳戶名“1252”和密碼“123456”,以及筆記型電腦的安全證書,在本地查詢是否存在相同的帳戶資訊和安全證書,如果存在,則確定該筆記型電腦為合法設備,詢問是否需要接上網路。在使用者確定需要接上網路之後,可以將筆記型電腦和目標主機建立遠端網路連接。
此處需要說明的是,確認設備在與目標主機建立連接之前,也可以進行鑑別,將用於鑑別的驗證碼發送給鑑別伺服器,鑑別伺服器進行解碼、驗證,驗證通過之後詢問確認設備是否接上網路,如果接上網路,則建立遠端網路連接。
通過上述方案,可以採用證書和帳戶資訊加密的方式,對前端設備進行鑑別,從達到更安全的保護使用者上網,不容易受到偽造攻擊,有效控制設備上網和斷開的效果。
根據本申請案上述實施例,鑑別伺服器還用於接收到前端設備的註冊請求,並產生與註冊請求對應的安全證書,將安全證書返回至前端設備。
具體的,上述註冊請求可以包括前端設備發送的帳戶資訊,即使用者輸入的遠端登入的帳戶資訊。
在一種可選的方案中,如圖4所示,前端設備在首次進行鑑別的時候,需要在健全伺服器進行註冊,可以將使用者輸入的帳戶資訊發送給鑑別伺服器,鑑別伺服器根據帳戶資訊生成對應的前端設備的安全證書,並將帳戶資訊 和對應的安全證書保存在鑑別伺服器本地。鑑別伺服器將生成的安全證書返回給前端設備,以便前端設備進行再次鑑別,從而可以安全接上網路。
通過上述方案,鑑別伺服器可以根據帳戶資訊生成安全證書,從而實現基於證書,對前端設備進行鑑別的目的。
實施例9
本申請案的實施例可以提供一種電腦終端,該電腦終端可以是電腦終端群中的任意一個電腦終端設備。可選地,在本實施例中,上述電腦終端也可以替換為移動終端等終端設備。
可選地,在本實施例中,上述電腦終端可以位於電腦網路的多個網路設備中的至少一個網路設備。
在本實施例中,上述電腦終端可以執行應用程式的身份認證方法中以下步驟的程式碼:認證系統接收前端設備發出的登錄請求,其中,登錄請求包括:使用前端設備的當前帳戶的帳戶資訊;認證系統根據帳戶資訊確定與前端設備關聯的確認設備;認證系統發送認證請求至確認設備,其中,認證請求包括帳戶資訊;認證系統在接收到確認設備回應認證請求而返回的確認資訊的情況下,確定當前帳戶為合法帳戶。
可選地,圖16是根據本申請案實施例的一種電腦終端的結構方塊圖。如圖16所示,該電腦終端160可以包 括:一個或多個(圖中僅示出一個)處理器162、記憶體164。
其中,記憶體可用於儲存軟體程式以及模組,如本申請案實施例中的身份認證方法和裝置對應的程式指令/模組,處理器通過運行儲存在記憶體內的軟體程式以及模組,從而執行各種功能應用以及資料處理,即實現上述的身份認證方法。記憶體可包括高速隨機記憶體,還可以包括非易失性記憶體,如一個或者多個磁性儲存裝置、快閃記憶體、或者其他非易失性固態記憶體。在一些實例中,記憶體可進一步包括相對於處理器遠端設置的記憶體,這些遠端存放器可以通過網路連接至終端160。上述網路的實例包括但不限於網際網路、企業內部網、局域網、移動通信網及其組合。
處理器可以通過傳輸裝置調用記憶體儲存的資訊及應用程式,以執行下述步驟:認證系統接收前端設備發出的登錄請求,其中,登錄請求包括:使用前端設備的當前帳戶的帳戶資訊;認證系統根據帳戶資訊確定與前端設備關聯的確認設備;認證系統發送認證請求至確認設備,其中,認證請求包括帳戶資訊;認證系統在接收到確認設備回應認證請求而返回的確認資訊的情況下,確定當前帳戶為合法帳戶。
可選的,上述處理器還可以執行如下步驟的程式碼:在認證系統接收前端設備發出的登錄請求之前,認證系統分別與至少一個前端設備和至少一個確認設備建立網路連 接,並接收任意一個前端設備發送的第一註冊請求和/或任意一個確認設備發送的第二註冊請求,其中,第一註冊請求中攜帶有任意一個前端設備首次遠端登入認證系統時所使用的第一帳戶資訊,第二註冊請求中攜帶有任意一個確認設備首次遠端登入認證系統時所使用的第二帳戶資訊;認證系統根據第一註冊請求生成第一註冊資訊,和/或根據第二註冊請求生成第二註冊資訊,其中,第一註冊資訊包括:第一帳戶資訊和與第一帳戶資訊關聯的證書,第二註冊資訊至少包括:第二帳戶資訊;認證系統保存第一註冊資訊和第二註冊資訊;其中,在第一帳戶資訊與第二帳戶資訊相同的情況下,認證系統中使用第一帳戶資訊註冊的前端設備與使用第二帳戶資訊註冊的確認設備是相互關聯的設備。
可選的,上述處理器還可以執行如下步驟的程式碼:認證系統查詢是否存在與帳戶資訊相同的第一帳戶資訊和第二帳戶資訊;如果查詢成功,認證系統確定發出登錄請求的前端設備為已經註冊過的設備,並確認使用第二帳戶資訊註冊的確認設備為與前端設備關聯的確認設備。
可選的,上述處理器還可以執行如下步驟的程式碼:在認證系統包括:目標主機和認證伺服器的情況下,目標主機接收任意一個前端設備首次遠端登入時所使用的第一帳戶資訊,在將攜帶了第一帳戶資訊的第一註冊請求發送至認證伺服器之後,接收認證伺服器返回的與第一帳戶資訊關聯的證書,得到第一註冊資訊。
可選的,上述處理器還可以執行如下步驟的程式碼:目標主機查詢是否存在與帳戶資訊相同的第一帳戶資訊;如果查詢成功,目標主機獲取與第一帳戶資訊關聯的證書;目標主機調用證書向認證伺服器發起TLS連接,並將帳戶資訊發送至認證伺服器;認證伺服器查詢是否存在與帳戶資訊相同的第二帳戶資訊;如此查詢成功,確定使用第二帳戶資訊註冊的確認設備為與前端設備關聯的確認設備。
可選的,上述處理器還可以執行如下步驟的程式碼:認證伺服器將確認資訊轉發給目標主機;目標主機根據確認資訊生成遠端登入結果,並將遠端登入結果返回至前端設備;其中,在成功將遠端登入結果返回至前端設備的情況下,確定使用前端設備的當前帳戶為合法帳戶,使得當前帳戶通過前端設備登錄目標主機成功。
可選的,上述處理器還可以執行如下步驟的程式碼:確認設備觸發產生確認資訊的方式包括如下至少一個:檢測到點擊操作、滑動操作、長按操作、按兩下操作、手勢操作和語音操作。
可選的,上述處理器還可以執行如下步驟的程式碼:認證系統包括:鑑別伺服器,其中,在認證系統接收前端設備發出的登錄請求之前,鑑別伺服器接收前端設備發送的驗證碼,其中,驗證碼為前端設備按照預定加密演算法將當前帳戶的帳戶資訊和安全證書進行加密,生成的用於鑑別的驗證碼;鑑別伺服器按照預定的解密演算法對驗證 碼進行解碼,並驗證解碼結果;其中,如果驗證解碼結果通過,認證系統向前端設備詢問是否需要接上網路,如果需要則前端設備與認證系統建立網路連接,並向認證系統發出登錄請求。
可選的,上述處理器還可以執行如下步驟的程式碼:在鑑別伺服器接收前端設備發送的驗證碼之前,鑑別伺服器接收到前端設備的註冊請求,並產生與註冊請求對應的安全證書;鑑別伺服器將安全證書返回至前端設備。
採用本申請案實施例,認證系統接收前端設備發出的登錄請求,根據帳戶資訊確定與前端設備關聯的確認設備,發送認證請求至確認設備,在接收到確認設備回應認證請求而返回的確認資訊的情況下,確定當前帳戶為合法帳戶,從而實現遠端登入的身份認證。
容易注意到,由於前端設備發送的登錄請求中包含使用前端設備的當前帳戶的帳戶資訊,認證系統可以根據帳戶資訊查詢到確認設備,並將帳戶資訊發送給確認設備,使用者可以通過手動操作確認帳戶資訊,完成身份認證,避免密碼洩露或者他人偽造帶來的安全風險,並且在身份認證過程中使用者不需要輸入密碼,只需要進行簡單地確認操作。因此,通過本申請案實施例所提供的方案,可以達到提升使用者的登錄體驗,節省使用者登錄時間成本,有效防止使用者偽造的效果。
由此,本申請案提供的上述實施例解決了現有技術中的身份認證方法安全風險高,同時使用者體驗差的技術問 題。
本領域普通技術人員可以理解,圖16所示的結構僅為示意,電腦終端也可以是智慧型手機(如Android手機、iOS手機等)、平板電腦、掌聲電腦以及移動網際網路設備(Mobile Internet Devices,MID)、PAD等終端設備。圖16其並不對上述電子裝置的結構造成限定。例如,電腦終端160還可包括比圖16中所示更多或者更少的元件(如網路介面、顯示裝置等),或者具有與圖16所示不同的配置。
本領域普通技術人員可以理解上述實施例的各種方法中的全部或部分步驟是可以通過程式來指令終端設備相關的硬體來完成,該程式可以儲存於一電腦可讀儲存媒體中,儲存媒體可以包括:快閃記憶體盤、唯讀記憶體(Read-Only Memory,ROM)、隨機存取記憶體(Random Access Memory,RAM)、磁片或光碟等。
實施例10
本申請案的實施例還提供了一種儲存媒體。可選地,在本實施例中,上述儲存媒體可以用於保存上述實施例一所提供的身份認證方法所執行的程式碼。
可選地,在本實施例中,上述儲存媒體可以位於電腦網路中電腦終端群中的任意一個電腦終端中,或者位於移動終端群中的任意一個移動終端中。
可選地,在本實施例中,儲存媒體被設置為儲存用於 執行以下步驟的程式碼:認證系統接收前端設備發出的登錄請求,其中,登錄請求包括:使用前端設備的當前帳戶的帳戶資訊;認證系統根據帳戶資訊確定與前端設備關聯的確認設備;認證系統發送認證請求至確認設備,其中,認證請求包括帳戶資訊;認證系統在接收到確認設備回應認證請求而返回的確認資訊的情況下,確定當前帳戶為合法帳戶。
可選的,上述儲存媒體還被設置為儲存用於執行以下步驟的程式碼:在認證系統接收前端設備發出的登錄請求之前,認證系統分別與至少一個前端設備和至少一個確認設備建立網路連接,並接收任意一個前端設備發送的第一註冊請求和/或任意一個確認設備發送的第二註冊請求,其中,第一註冊請求中攜帶有任意一個前端設備首次遠端登入認證系統時所使用的第一帳戶資訊,第二註冊請求中攜帶有任意一個確認設備首次遠端登入認證系統時所使用的第二帳戶資訊;認證系統根據第一註冊請求生成第一註冊資訊,和/或根據第二註冊請求生成第二註冊資訊,其中,第一註冊資訊包括:第一帳戶資訊和與第一帳戶資訊關聯的證書,第二註冊資訊至少包括:第二帳戶資訊;認證系統保存第一註冊資訊和第二註冊資訊;其中,在第一帳戶資訊與第二帳戶資訊相同的情況下,認證系統中使用第一帳戶資訊註冊的前端設備與使用第二帳戶資訊註冊的確認設備是相互關聯的設備。
可選的,上述儲存媒體還被設置為儲存用於執行以下 步驟的程式碼:認證系統查詢是否存在與帳戶資訊相同的第一帳戶資訊和第二帳戶資訊;如果查詢成功,認證系統確定發出登錄請求的前端設備為已經註冊過的設備,並確認使用第二帳戶資訊註冊的確認設備為與前端設備關聯的確認設備。
可選的,上述儲存媒體還被設置為儲存用於執行以下步驟的程式碼:在認證系統包括:目標主機和認證伺服器的情況下,目標主機接收任意一個前端設備首次遠端登入時所使用的第一帳戶資訊,在將攜帶了第一帳戶資訊的第一註冊請求發送至認證伺服器之後,接收認證伺服器返回的與第一帳戶資訊關聯的證書,得到第一註冊資訊。
可選的,上述儲存媒體還被設置為儲存用於執行以下步驟的程式碼:目標主機查詢是否存在與帳戶資訊相同的第一帳戶資訊;如果查詢成功,目標主機獲取與第一帳戶資訊關聯的證書;目標主機調用證書向認證伺服器發起TLS連接,並將帳戶資訊發送至認證伺服器;認證伺服器查詢是否存在與帳戶資訊相同的第二帳戶資訊;如此查詢成功,確定使用第二帳戶資訊註冊的確認設備為與前端設備關聯的確認設備。
可選的,上述儲存媒體還被設置為儲存用於執行以下步驟的程式碼:認證伺服器將確認資訊轉發給目標主機;目標主機根據確認資訊生成遠端登入結果,並將遠端登入結果返回至前端設備;其中,在成功將遠端登入結果返回至前端設備的情況下,確定使用前端設備的當前帳戶為合 法帳戶,使得當前帳戶通過前端設備登錄目標主機成功。
可選的,上述儲存媒體還被設置為儲存用於執行以下步驟的程式碼:確認設備觸發產生確認資訊的方式包括如下至少一個:檢測到點擊操作、滑動操作、長按操作、按兩下操作、手勢操作和語音操作。
可選的,上述儲存媒體還被設置為儲存用於執行以下步驟的程式碼:認證系統包括:鑑別伺服器,其中,在認證系統接收前端設備發出的登錄請求之前,鑑別伺服器接收前端設備發送的驗證碼,其中,驗證碼為前端設備按照預定加密演算法將當前帳戶的帳戶資訊和安全證書進行加密,生成的用於鑑別的驗證碼;鑑別伺服器按照預定的解密演算法對驗證碼進行解碼,並驗證解碼結果;其中,如果驗證解碼結果通過,認證系統向前端設備詢問是否需要接上網路,如果需要則前端設備與認證系統建立網路連接,並向認證系統發出登錄請求。
可選的,上述處理器還可以執行如下步驟的程式碼:在鑑別伺服器接收前端設備發送的驗證碼之前,鑑別伺服器接收到前端設備的註冊請求,並產生與註冊請求對應的安全證書;鑑別伺服器將安全證書返回至前端設備。
上述本發明實施例序號僅僅為了描述,不代表實施例的優劣。
在本發明的上述實施例中,對各個實施例的描述都各有側重,某個實施例中沒有詳述的部分,可以參見其他實施例的相關描述。
在本申請案所提供的幾個實施例中,應該理解到,所揭露的技術內容,可通過其它的方式實現。其中,以上所描述的裝置實施例僅僅是示意性的,例如所述單元的劃分,僅僅為一種邏輯功能劃分,實際實現時可以有另外的劃分方式,例如多個單元或元件可以結合或者可以集成到另一個系統,或一些特徵可以忽略,或不執行。另一點,所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些介面,單元或模組的間接耦合或通信連接,可以是電性或其它的形式。
所述作為分離部件說明的單元可以是或者也可以不是物理上分開的,作為單元顯示的部件可以是或者也可以不是物理單元,即可以位於一個地方,或者也可以分佈到多個網路單元上。可以根據實際的需要選擇其中的部分或者全部單元來實現本實施例方案的目的。
另外,在本發明各個實施例中的各功能單元可以集成在一個處理單元中,也可以是各個單元單獨物理存在,也可以兩個或兩個以上單元集成在一個單元中。上述集成的單元既可以採用硬體的形式實現,也可以採用軟體功能單元的形式實現。
所述集成的單元如果以軟體功能單元的形式實現並作為獨立的產品銷售或使用時,可以儲存在一個電腦可讀取儲存媒體中。基於這樣的理解,本發明的技術方案本質上或者說對現有技術做出貢獻的部分或者該技術方案的全部或部分可以以軟體產品的形式體現出來,該電腦軟體產品 儲存在一個儲存媒體中,包括若干指令用以使得一台電腦設備(可為個人電腦、伺服器或者網路設備等)執行本發明各個實施例所述方法的全部或部分步驟。而前述的儲存媒體包括:USB隨身碟、唯讀記憶體(ROM,Read-Only Memory)、隨機存取記憶體(RAM,Random Access Memory)、移動硬碟、磁碟或者光碟等各種可以儲存程式碼的媒體。
以上所述僅是本發明的較佳實施方式,應當指出,對於本技術領域的普通技術人員來說,在不脫離本發明原理的前提下,還可以做出若干改進和潤飾,這些改進和潤飾也應視為本發明的保護範圍。
111‧‧‧前端設備
113‧‧‧認證系統
115‧‧‧確認設備

Claims (22)

  1. 一種身份認證系統,其特徵在於,包括:前端設備,用於發送登錄請求,其中,所述登錄請求包括:使用所述前端設備的當前帳戶的帳戶資訊;認證系統,與所述前端設備網路連接,用於接收所述前端設備發出的登錄請求,根據所述帳戶資訊確定與所述前端設備關聯的確認設備,並根據所述帳戶資訊生成認證請求,其中,所述認證請求包括所述帳戶資訊;所述確認設備,與所述認證系統網路連接,用於接收所述認證請求,並將根據所述認證請求而生成的確認資訊返回至所述認證系統;其中,在所述認證系統將所述確認資訊回饋給所述前端設備的情況下,確定所述當前帳戶為合法帳戶,其中,所述前端設備還用於發送所述帳戶資訊至所述認證系統進行註冊,所述確認設備還用於發送所述帳戶資訊至所述認證系統進行註冊,所述認證系統還用於確定所述前端設備與所述確認設備相互關聯。
  2. 根據申請專利範圍第1項所述的系統,其中,所述認證系統分別與至少一個前端設備和至少一個確認設備建立網路連接,並接收任意一個前端設備發送的第一註冊請求和/或任意一個確認設備發送的第二註冊請求,其中,所述第一註冊請求中攜帶有所述任意一個前端 設備首次遠端登入所述認證系統時所使用的第一帳戶資訊,所述第二註冊請求中攜帶有所述任意一個確認設備首次遠端登入所述認證系統時所使用的第二帳戶資訊;所述認證系統根據所述第一註冊請求生成第一註冊資訊,和/或根據所述第二註冊請求生成第二註冊資訊,其中,所述第一註冊資訊包括:所述第一帳戶資訊和與所述第一帳戶資訊關聯的證書,所述第二註冊資訊至少包括:所述第二帳戶資訊;所述認證系統保存所述第一註冊資訊和所述第二註冊資訊;其中,在所述第一帳戶資訊與所述第二帳戶資訊相同的情況下,所述認證系統中使用所述第一帳戶資訊註冊的前端設備與使用所述第二帳戶資訊註冊的確認設備是相互關聯的設備。
  3. 根據申請專利範圍第1或2項所述的系統,其中,所述認證系統包括:鑑別伺服器,與所述前端設備網路連接,用於接收所述前端設備發送的驗證碼,按照預定的解密演算法對所述驗證碼進行解碼,並驗證解碼結果,其中,所述驗證碼為所述前端設備按照預定加密演算法將所述當前帳戶的所述帳戶資訊和安全證書進行加密,生成的用於鑑別的驗證碼;其中,如果驗證所述解碼結果通過,所述認證系統向所述前端設備詢問是否需要接上網路,如果需要則所述前 端設備與所述認證系統建立網路連接,並向所述認證系統發出所述登錄請求。
  4. 根據申請專利範圍第3項所述的系統,其中,所述鑑別伺服器還用於接收到所述前端設備的註冊請求,並產生與所述註冊請求對應的所述安全證書,將所述安全證書返回至所述前端設備。
  5. 一種身份認證方法,其特徵在於,包括:認證系統接收前端設備發出的登錄請求,其中,所述登錄請求包括:使用所述前端設備的當前帳戶的帳戶資訊;所述認證系統根據所述帳戶資訊確定與所述前端設備關聯的確認設備;所述認證系統發送認證請求至所述確認設備進行顯示,其中,所述認證請求包括所述帳戶資訊;所述認證系統在接收到所述確認設備返回確認資訊的情況下,確定所述當前帳戶為合法帳戶,其中,所述確認資訊為所述確認設備接收到確認指令之後所產生的資訊,其中,所述認證系統基於所述前端設備發送的所述帳戶資訊,對所述前端設備進行註冊、基於所述確認設備發送的所述帳戶資訊,對所述確認設備進行註冊、並確定所述前端設備與所述確認設備相互關聯。
  6. 根據申請專利範圍第5項所述的方法,其中,在認證系統接收前端設備發出的登錄請求之前,所述方法還包括:所述認證系統分別與至少一個前端設備和至少一個確認設備建立網路連接,並接收任意一個前端設備發送的第一註冊請求和/或任意一個確認設備發送的第二註冊請求,其中,所述第一註冊請求中攜帶有所述任意一個前端設備首次遠端登入所述認證系統時所使用的第一帳戶資訊,所述第二註冊請求中攜帶有所述任意一個確認設備首次遠端登入所述認證系統時所使用的第二帳戶資訊;所述認證系統根據所述第一註冊請求生成第一註冊資訊,和/或根據所述第二註冊請求生成第二註冊資訊,其中,所述第一註冊資訊包括:所述第一帳戶資訊和與所述第一帳戶資訊關聯的證書,所述第二註冊資訊至少包括:所述第二帳戶資訊;所述認證系統保存所述第一註冊資訊和所述第二註冊資訊;其中,在所述第一帳戶資訊與所述第二帳戶資訊相同的情況下,所述認證系統中使用所述第一帳戶資訊註冊的前端設備與使用所述第二帳戶資訊註冊的確認設備是相互關聯的設備。
  7. 根據申請專利範圍第6項所述的方法,其中,所述認證系統根據所述帳戶資訊確定與所述前端設備關聯的確認 設備,包括:所述認證系統查詢是否存在與所述帳戶資訊相同的第一帳戶資訊和第二帳戶資訊;如果查詢成功,所述認證系統確定發出所述登錄請求的前端設備為已經註冊過的設備,並確認使用所述第二帳戶資訊註冊的確認設備為與所述前端設備關聯的確認設備。
  8. 根據申請專利範圍第7項所述的方法,其中,在所述認證系統包括:目標主機和認證伺服器的情況下,所述目標主機接收所述任意一個前端設備首次遠端登入時所使用的第一帳戶資訊,在將攜帶了所述第一帳戶資訊的第一註冊請求發送至所述認證伺服器之後,接收所述認證伺服器返回的與所述第一帳戶資訊關聯的證書,得到所述第一註冊資訊。
  9. 根據申請專利範圍第8項所述的方法,其中,所述認證系統查詢是否存在與所述帳戶資訊相同的第一帳戶資訊和第二帳戶資訊,如果查詢成功,所述認證系統確認使用所述第二帳戶資訊註冊的確認設備為與所述前端設備關聯的確認設備,包括:所述目標主機查詢是否存在與所述帳戶資訊相同的第一帳戶資訊;如果查詢成功,所述目標主機獲取與所述第一帳戶資 訊關聯的證書;所述目標主機調用所述證書向所述認證伺服器發起TLS連接,並將所述帳戶資訊發送至所述認證伺服器;所述認證伺服器查詢是否存在與所述帳戶資訊相同的第二帳戶資訊;如此查詢成功,確定使用所述第二帳戶資訊註冊的確認設備為與所述前端設備關聯的確認設備。
  10. 根據申請專利範圍第9項所述的方法,其中,所述認證系統在接收到所述確認設備回應所述認證請求而返回的確認資訊的情況下,確定所述當前帳戶為合法帳戶,包括:所述認證伺服器將所述確認資訊轉發給所述目標主機;所述目標主機根據所述確認資訊生成遠端登入結果,並將所述遠端登入結果返回至所述前端設備;其中,在成功將所述遠端登入結果返回至所述前端設備的情況下,確定使用所述前端設備的當前帳戶為所述合法帳戶,使得所述當前帳戶通過所述前端設備登錄所述目標主機成功。
  11. 根據申請專利範圍第5項所述的方法,其中,所述確認設備觸發產生所述確認資訊的方式包括如下至少一個:檢測到點擊操作、滑動操作、長按操作、按兩下操作、手 勢操作和語音操作。
  12. 根據申請專利範圍第5至11項中任一項所述的方法,其中,所述認證系統包括:鑑別伺服器,其中,在認證系統接收前端設備發出的登錄請求之前,所述方法還包括;所述鑑別伺服器接收所述前端設備發送的驗證碼,其中,所述驗證碼為所述前端設備按照預定加密演算法將所述當前帳戶的所述帳戶資訊和安全證書進行加密,生成的用於鑑別的驗證碼;所述鑑別伺服器按照預定的解密演算法對所述驗證碼進行解碼,並驗證解碼結果;其中,如果驗證所述解碼結果通過,所述認證系統向所述前端設備詢問是否需要接上網路,如果需要則所述前端設備與所述認證系統建立網路連接,並向所述認證系統發出所述登錄請求。
  13. 根據申請專利範圍第12項所述的方法,其中,在所述鑑別伺服器接收所述前端設備發送的驗證碼之前,所述方法還包括:所述鑑別伺服器接收到所述前端設備的註冊請求,並產生與所述註冊請求對應的所述安全證書;所述鑑別伺服器將所述安全證書返回至所述前端設備。
  14. 一種身份認證方法,其特徵在於,包括:前端設備發出登錄請求至認證系統,其中,所述登錄請求包括:使用所述前端設備的當前帳戶的帳戶資訊;所述前端設備接收所述認證系統返回的登錄結果;其中,所述認證系統根據所述帳戶資訊確定與所述前端設備關聯的確認設備,並發送包括了所述帳戶資訊的認證請求至所述確認設備,在接收到所述確認設備回應所述認證請求而返回的確認資訊的情況下,所述登錄結果為所述當前帳戶為合法帳戶,其中,所述認證系統基於所述前端設備發送的所述帳戶資訊,對所述前端設備進行註冊、基於所述確認設備發送的所述帳戶資訊,對所述確認設備進行註冊、並確定所述前端設備與所述確認設備相互關聯。
  15. 一種身份認證方法,其特徵在於,包括:目標主機接收前端設備發出的登錄請求,其中,所述登錄請求包括:使用所述前端設備的當前帳戶的帳戶資訊;所述目標主機將所述帳戶資訊發送至認證伺服器,使得所述認證伺服器在根據所述帳戶資訊確定與所述前端設備關聯的確認設備之後,發送認證請求至所述確認設備,其中,所述認證請求包括所述帳戶資訊;所述目標主機在接收到所述確認設備回應所述認證請 求而返回的確認資訊的情況下,確定所述當前帳戶為合法帳戶,其中,所述認證伺服器基於所述前端設備發送的所述帳戶資訊,對所述前端設備進行註冊、基於所述確認設備發送的所述帳戶資訊,對所述確認設備進行註冊、並確定所述前端設備與所述確認設備相互關聯。
  16. 一種身份認證系統,其特徵在於,包括:前端設備,用於發送登錄請求,其中,所述登錄請求包括:使用所述前端設備的當前帳戶的帳戶資訊;目標主機,與所述前端設備網路連接,用於接收所述前端設備發出的登錄請求,根據所述帳戶資訊確定與所述帳戶資訊關聯的證書,並調用所述證書向認證伺服器發起TLS連接;所述認證伺服器,與所述目標主機具有連接關係,用於接收所述目標主機發送的所述帳戶資訊,並根據所述帳戶資訊確定是否存在與所述前端設備關聯的確認設備,如果存在,根據所述帳戶資訊生成認證請求,其中,所述認證請求包括所述帳戶資訊;確認設備,與所述認證伺服器網路連接,用於接收所述認證請求,並將根據所述認證請求而生成的確認資訊返回至所述認證伺服器;其中,在所述認證伺服器將所述確認資訊回饋給所述前端設備的情況下,確定所述當前帳戶為合法帳戶, 其中,所述前端設備還用於發送所述帳戶資訊至所述認證系統進行註冊,所述確認設備還用於發送所述帳戶資訊至所述認證系統進行註冊,所述認證伺服器還用於確定所述前端設備與所述確認設備相互關聯。
  17. 根據申請專利範圍第16項所述的系統,其中,所述目標主機分別與至少一個前端設備和至少一個確認設備建立網路連接,並接收任意一個前端設備首次遠端登入所述目標主機時所使用的第一帳戶資訊,以及任意一個確認設備首次遠端登入所述目標主機時所使用的第二帳戶資訊;所述目標主機根據所述第一帳戶資訊生成第一註冊請求,根據所述第二帳戶資訊生成第二註冊請求;所述目標主機將所述第一註冊請求和/或所述第二註冊請求發送至所述認證伺服器;所述目標主機接收所述認證伺服器根據所述第一註冊請求生成第一註冊資訊,和/或根據所述第二註冊請求生成第二註冊資訊,其中,所述第一註冊資訊包括:與所述第一帳戶資訊關聯的證書,所述第二註冊資訊至少包括:所述第二帳戶資訊;所述目標主機保存所述第一註冊資訊和所述第二註冊資訊;其中,在所述第一帳戶資訊與所述第二帳戶資訊相同的情況下,所述認證伺服器中使用所述第一帳戶資訊註冊 的前端設備與使用所述第二帳戶資訊註冊的確認設備是相互關聯的設備。
  18. 根據申請專利範圍第16或17項所述的系統,其中,所述系統還包括:鑑別伺服器,與所述前端設備網路連接,用於接收所述前端設備發送的驗證碼,按照預定的解密演算法對所述驗證碼進行解碼,並驗證解碼結果,其中,所述驗證碼為所述前端設備按照預定加密演算法將所述當前帳戶的所述帳戶資訊和安全證書進行加密,生成的用於鑑別的驗證碼;其中,如果驗證所述解碼結果通過,所述目標主機向所述前端設備詢問是否需要接上網路,如果需要則所述前端設備與所述目標主機建立網路連接,並向所述目標主機發出所述登錄請求。
  19. 根據申請專利範圍第18項所述的系統,其中,所述鑑別伺服器還用於接收到所述前端設備的註冊請求,並產生與所述註冊請求對應的所述安全證書,將所述安全證書返回至所述前端設備。
  20. 一種身份認證裝置,其特徵在於,包括:接收模組,用於使認證系統接收前端設備發出的登錄請求,其中,所述登錄請求包括:使用所述前端設備的當前帳戶的帳戶資訊; 第一確定模組,用於使所述認證系統根據所述帳戶資訊確定與所述前端設備關聯的確認設備;發送模組,用於使所述認證系統發送認證請求至所述確認設備進行顯示,其中,所述認證請求包括所述帳戶資訊;第二確定模組,用於使所述認證系統在接收到所述確認設備返回確認資訊的情況下,確定所述當前帳戶為合法帳戶,其中,所述確認資訊為所述確認設備接收到確認指令之後所產生的資訊,其中,所述裝置還用於使所述認證系統基於所述前端設備發送的所述帳戶資訊,對所述前端設備進行註冊、基於所述確認設備發送的所述帳戶資訊,對所述確認設備進行註冊、並確定所述前端設備與所述確認設備相互關聯。
  21. 一種身份認證裝置,其特徵在於,包括:發送模組,用於使前端設備發出登錄請求至認證系統,其中,所述登錄請求包括:使用所述前端設備的當前帳戶的帳戶資訊;接收模組,用於使所述前端設備接收所述認證系統返回的登錄結果,其中,所述認證系統根據所述帳戶資訊確定與所述前端設備關聯的確認設備,並發送包括了所述帳戶資訊的認證請求至所述確認設備,在接收到所述確認設備回應所述認證請求而返回的確認資訊的情況下,所述登錄結果為所 述當前帳戶為合法帳戶,其中,所述認證系統基於所述前端設備發送的所述帳戶資訊,對所述前端設備進行註冊、基於所述確認設備發送的所述帳戶資訊,對所述確認設備進行註冊、並確定所述前端設備與所述確認設備相互關聯。
  22. 一種身份認證裝置,其特徵在於,包括:第一發送模組,用於使目標主機接收前端設備發出的登錄請求,其中,所述登錄請求包括:使用所述前端設備的當前帳戶的帳戶資訊;第二發送模組,用於使所述目標主機將所述帳戶資訊發送至認證伺服器,使得所述認證伺服器在根據所述帳戶資訊確定與所述前端設備關聯的確認設備之後,發送認證請求至所述確認設備,其中,所述認證請求包括所述帳戶資訊;確定模組,用於使所述目標主機在接收到所述確認設備回應所述認證請求而返回的確認資訊的情況下,確定所述當前帳戶為合法帳戶,其中,所述認證系統基於所述前端設備發送的所述帳戶資訊,對所述前端設備進行註冊、基於所述確認設備發送的所述帳戶資訊,對所述確認設備進行註冊、並確定所述前端設備與所述確認設備相互關聯。
TW106115667A 2016-08-05 2017-05-11 身份認證方法、裝置和系統 TWI780047B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
??201610638118.6 2016-08-05
CN201610638118.6A CN107689944A (zh) 2016-08-05 2016-08-05 身份认证方法、装置和系统
CN201610638118.6 2016-08-05

Publications (2)

Publication Number Publication Date
TW201805846A TW201805846A (zh) 2018-02-16
TWI780047B true TWI780047B (zh) 2022-10-11

Family

ID=61069668

Family Applications (1)

Application Number Title Priority Date Filing Date
TW106115667A TWI780047B (zh) 2016-08-05 2017-05-11 身份認證方法、裝置和系統

Country Status (4)

Country Link
US (1) US10897455B2 (zh)
CN (1) CN107689944A (zh)
TW (1) TWI780047B (zh)
WO (1) WO2018027056A1 (zh)

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6891569B2 (ja) * 2017-03-17 2021-06-18 株式会社リコー 情報端末、情報処理システム、情報処理方法及びプログラム
US11836717B2 (en) 2017-12-04 2023-12-05 Vijay Madisetti System and method for processing payments in fiat currency using blockchain and tethered tokens
US10853772B2 (en) * 2018-04-04 2020-12-01 Vijay K. Madisetti Method and system for exchange of value or tokens between blockchain networks
CN109347787B (zh) 2018-08-15 2020-08-04 阿里巴巴集团控股有限公司 一种身份信息的识别方法及装置
CN109684799B (zh) * 2018-08-21 2023-12-26 Tcl金融科技(深圳)有限公司 账户登录方法、登录装置、账户登录设备及存储介质
CN109587148A (zh) * 2018-12-11 2019-04-05 上海宜延电子商务有限公司 一种数据计算客户端、数据计算服务器及数据计算系统
CN109688133B (zh) * 2018-12-26 2020-11-06 恒宝股份有限公司 一种基于免账号登录的通信方法
CN111414604B (zh) * 2019-01-08 2023-10-03 阿里巴巴集团控股有限公司 认证方法、设备、系统及存储介质
US10440015B1 (en) * 2019-01-10 2019-10-08 Capital One Services, Llc Techniques for peer entity account management
US11531532B2 (en) * 2019-01-16 2022-12-20 Vmware, Inc. Remote deployment of provisioned packages
CN113812125B (zh) * 2019-08-15 2023-10-20 奇安信安全技术(珠海)有限公司 登录行为的校验方法及装置、系统、存储介质、电子装置
US11606687B1 (en) * 2019-12-12 2023-03-14 Amazon Technologies, Inc. Anonymized bluetooth beacons
US11778048B2 (en) * 2020-01-08 2023-10-03 Bank Of America Corporation Automatically executing responsive actions upon detecting an incomplete account lineage chain
CN111935693B (zh) * 2020-08-26 2022-05-06 支付宝(杭州)信息技术有限公司 蓝牙设备连接方法和蓝牙设备
CN112073400A (zh) * 2020-08-28 2020-12-11 腾讯科技(深圳)有限公司 一种访问控制方法、系统、装置及计算设备
CN114598481A (zh) * 2020-11-19 2022-06-07 卫宁健康科技集团股份有限公司 一种授权认证方法、装置、电子设备及存储介质
US20220217136A1 (en) * 2021-01-04 2022-07-07 Bank Of America Corporation Identity verification through multisystem cooperation
CN113950055A (zh) * 2021-10-08 2022-01-18 湖北亿咖通科技有限公司 应用配置方法、系统及移动终端
CN114338086A (zh) * 2021-12-03 2022-04-12 浙江毫微米科技有限公司 一种身份认证方法、装置
CN114338115A (zh) * 2021-12-21 2022-04-12 北京三快在线科技有限公司 一种无人设备的远程登录方法及装置
CN115834077B (zh) * 2022-11-11 2023-08-01 北京深盾科技股份有限公司 控制方法、控制系统、电子设备及存储介质

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011069492A1 (de) * 2009-12-10 2011-06-16 Eberhard Karls Universität Tübingen Verfahren und computerprogrammprodukte zum authentisierten zugang zu online -accounts
TW201216076A (en) * 2010-06-29 2012-04-16 Enterproid Inc Remote access to a mobile device
CN103546430A (zh) * 2012-07-11 2014-01-29 网易(杭州)网络有限公司 基于移动终端的身份验证方法、移动终端、服务器及系统
US20140189808A1 (en) * 2012-12-28 2014-07-03 Lookout, Inc. Multi-factor authentication and comprehensive login system for client-server networks
TW201628371A (zh) * 2011-03-23 2016-08-01 內數位專利控股公司 確寶網路通訊系統及方法
US20160224768A1 (en) * 2005-10-18 2016-08-04 Intertrust Technologies Corporation Digital Rights Management Engine Systems and Methods
US20160381038A1 (en) * 2012-12-05 2016-12-29 Telesign Corporation Frictionless multi-factor authentication system and method

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101997824B (zh) * 2009-08-20 2016-08-10 中国移动通信集团公司 基于移动终端的身份认证方法及其装置和系统
US8769784B2 (en) * 2009-11-02 2014-07-08 Authentify, Inc. Secure and efficient authentication using plug-in hardware compatible with desktops, laptops and/or smart mobile communication devices such as iPhones
JP4713693B1 (ja) 2010-10-05 2011-06-29 株式会社シー・エス・イー オフライン二要素ユーザ認証システム、その方法、およびそのプログラム
CN102591889A (zh) * 2011-01-17 2012-07-18 腾讯科技(深圳)有限公司 一种基于移动终端浏览器辅助用户输入的方法及装置
US9210150B2 (en) * 2011-10-25 2015-12-08 Salesforce.Com, Inc. Two-factor authentication systems and methods
US9378356B2 (en) * 2012-04-13 2016-06-28 Paypal, Inc. Two factor authentication using a one-time password
US9172699B1 (en) 2012-11-30 2015-10-27 Microstrategy Incorporated Associating a device with a user account
US20140173695A1 (en) * 2012-12-18 2014-06-19 Google Inc. Token based account access
US20160048846A1 (en) * 2013-03-15 2016-02-18 Capital One Financial Corporation System and method for digital authentication
US9301139B2 (en) * 2013-05-07 2016-03-29 Prathamesh Anand Korgaonkar System and method for multifactor authentication and login through smart wrist watch using near field communication
US20150082390A1 (en) * 2013-09-08 2015-03-19 Yona Flink Method and a system for secure login to a computer, computer network, and computer website using biometrics and a mobile computing wireless electronic communication device
JP2017521934A (ja) * 2014-06-27 2017-08-03 ジェラード リンGerard Lin クライアントとサーバとの間の相互検証の方法
US9426149B2 (en) * 2014-12-30 2016-08-23 Ynjiun Paul Wang Mobile secure login system and method
WO2016134657A1 (zh) * 2015-02-27 2016-09-01 飞天诚信科技股份有限公司 一种推送认证的系统和设备的工作方法
US9942763B2 (en) * 2015-11-19 2018-04-10 Beijing Nanbao Technology Co., Ltd. Method and apparatus of triggering applications in a wireless environment

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160224768A1 (en) * 2005-10-18 2016-08-04 Intertrust Technologies Corporation Digital Rights Management Engine Systems and Methods
WO2011069492A1 (de) * 2009-12-10 2011-06-16 Eberhard Karls Universität Tübingen Verfahren und computerprogrammprodukte zum authentisierten zugang zu online -accounts
TW201216076A (en) * 2010-06-29 2012-04-16 Enterproid Inc Remote access to a mobile device
TW201628371A (zh) * 2011-03-23 2016-08-01 內數位專利控股公司 確寶網路通訊系統及方法
CN103546430A (zh) * 2012-07-11 2014-01-29 网易(杭州)网络有限公司 基于移动终端的身份验证方法、移动终端、服务器及系统
US20160381038A1 (en) * 2012-12-05 2016-12-29 Telesign Corporation Frictionless multi-factor authentication system and method
US20140189808A1 (en) * 2012-12-28 2014-07-03 Lookout, Inc. Multi-factor authentication and comprehensive login system for client-server networks

Also Published As

Publication number Publication date
CN107689944A (zh) 2018-02-13
US20180041479A1 (en) 2018-02-08
TW201805846A (zh) 2018-02-16
WO2018027056A1 (en) 2018-02-08
US10897455B2 (en) 2021-01-19

Similar Documents

Publication Publication Date Title
TWI780047B (zh) 身份認證方法、裝置和系統
JP6701364B2 (ja) パスワードなしのコンピュータログインのサービス支援モバイルペアリングのためのシステム及び方法
WO2019120091A1 (zh) 身份认证方法、系统及计算设备
JP6865158B2 (ja) セキュア送信プロトコルを使用して信頼を確立するためのシステム及び方法
JP6803326B2 (ja) 非対称暗号方式を使用してワンタイムパスワードを実装するためのシステム及び方法
JP6517359B2 (ja) アカウント復元プロトコル
US9832183B2 (en) Key management using quasi out of band authentication architecture
US10136315B2 (en) Password-less authentication system, method and device
US9185096B2 (en) Identity verification
US8739260B1 (en) Systems and methods for authentication via mobile communication device
US8701166B2 (en) Secure authentication
US8606234B2 (en) Methods and apparatus for provisioning devices with secrets
Das et al. On the security of SSL/TLS-enabled applications
US10356079B2 (en) System and method for a single sign on connection in a zero-knowledge vault architecture
US9979725B1 (en) Two-way authentication using two-dimensional codes
CN108880822A (zh) 一种身份认证方法、装置、系统及一种智能无线设备
US9332011B2 (en) Secure authentication system with automatic cancellation of fraudulent operations
CN113411187B (zh) 身份认证方法和系统、存储介质及处理器
CA2797353C (en) Secure authentication
KR101651607B1 (ko) 익명 아이디를 사용하는 원클릭 사용자 인증 방법 및 시스템
WO2015110043A1 (zh) 一种双通道身份认证选择的装置、系统和方法
US20240007272A1 (en) Secure device pairing
CN117336092A (zh) 一种客户端登录方法、装置、电子设备和存储介质
KR101576038B1 (ko) 사용자 신원 인증을 안전하게 보장하기 위한 네트워크 인증 방법

Legal Events

Date Code Title Description
GD4A Issue of patent certificate for granted invention patent