總數(shù)的比重超過第一預設閾值����。預設失敗路徑包括多個預設子驗證結果��,且預設失敗路徑中表示子驗證成功的預設子驗證結果的個數(shù)占預設失敗路徑的預設子驗證結果總數(shù)的比重不超過第二預設閾值���。其中���,第一預設閾值大于或等于第二預設閾值。
[0081]本實施例中����,提供了生成預設成功路徑和預設失敗路徑的手段。每條預設成功路徑和預設失敗路徑包括多個按順序排列的預設驗證信息以及與該預設驗證信息對應的預設子驗證結果。其中預設成功路徑中表示子驗證成功的預設子驗證結果的個數(shù)占預設成功路徑中的預設子驗證結果總數(shù)的比重超過第一預設閾值�����,這樣進行身份驗證時子驗證正確率超過第一預設閾值才會判定為身份驗證成功��。相反�,預設失敗路徑中表示子驗證成功的預設子驗證結果的個數(shù)占預設失敗路徑的預設子驗證結果總數(shù)的比重不超過第二預設閾值,這樣進行身份驗證時子驗證正確率低于第二預設閾值則判定為身份驗證失敗����。并且第一預設閾值大于或等于第二預設閾值,以完全區(qū)分預設成功路徑和預設失敗路徑����,保證身份驗證能夠得到唯一正確的結果。
[0082]步驟310�,根據(jù)驗證路徑與預設成功路徑或預設失敗路徑的匹配結果判定身份驗證結果。
[0083]具體地�,若驗證路徑與成功路徑匹配�,則驗證端判定身份驗證成功;若驗證路徑與失敗路徑匹配���,則驗證端判定身份驗證失敗���,從而可給出最終的身份驗證結果�。
[0084]上述身份驗證方法�,驗證端先根據(jù)請求端發(fā)送的身份驗證請求獲取第一驗證信息,根據(jù)該第一驗證信息對請求端進行一次子驗證��,獲得相應的子驗證結果����。然后驗證端再根據(jù)前一次子驗證所獲得的子驗證結果獲取第二驗證信息,根據(jù)該第二驗證信息再對請求端進行又一次子驗證��,獲得相應的子驗證結果�。這樣后一次子驗證所使用的驗證信息是根據(jù)前一次子驗證過程的子驗證結果決定的,前一次子驗證的成功或失敗�,會導致后一次子驗證所使用的驗證信息的不同。然后再根據(jù)已發(fā)送的驗證信息和已獲得的子驗證結果確定驗證路徑���,從而判斷驗證路徑是否與預設成功路徑或失敗路徑匹配�。若匹配則直接給出身份驗證結果��,若不匹配則繼續(xù)根據(jù)前一次子驗證所獲得的子驗證結果獲取第二驗證信息���,從而進行又一次子驗證����,直至能夠給出身份驗證結果。
[0085]這樣當惡意用戶欲通過猜測方式破解身份驗證時���,惡意用戶無法知道每次子驗證的子驗證結果��,也就無法知曉每次針對驗證信息的猜測是否正確�,難以破解��,安全性高��。而且由于后一次子驗證是基于前一次子驗證的子驗證結果進行的�,這樣惡意用戶多次通過猜測方式破解身份驗證時,會因猜測正確或錯誤的不同而導致后續(xù)子驗證所使用的驗證信息的不同����,從而增加了整個身份驗證過程的動態(tài)變化,進一步增加了破解難度��,提高了安全性��。
[0086]在一個實施例中��,步驟302包括:根據(jù)請求端通過網(wǎng)頁服務器發(fā)送的身份驗證請求獲取第一驗證信息���,通過網(wǎng)頁服務器將第一驗證信息發(fā)送給請求端�����,根據(jù)請求端響應于第一驗證信息而通過網(wǎng)頁服務器所反饋的第一響應信息進行第一次子驗證���,獲得對應第一次子驗證的子驗證結果。
[0087]而且����,步驟304包括:根據(jù)前一次子驗證所獲得的子驗證結果獲取第二驗證信息,通過網(wǎng)頁服務器將第二驗證信息發(fā)送給請求端����,根據(jù)請求端響應于第二驗證信息而通過網(wǎng)頁服務器所反饋的第二響應信息進行又一次子驗證,獲得對應又一次子驗證的子驗證結果O
[0088]本實施例中�,請求端和驗證端之間的通信都通過網(wǎng)頁服務器中轉,適用于請求端通過訪問網(wǎng)頁以訪問網(wǎng)頁服務器從而進行身份驗證的應用場景�����,比如找回用戶密碼的應用場景���?���?蓪σ延械木W(wǎng)頁服務器稍加改造,增加驗證端即可實現(xiàn)本實施例的身份驗證方法��,使得該身份驗證方法的應用兼容性強�����。
[0089]在一個實施例中��,步驟302具體包括步驟11)?步驟14):
[0090]步驟11)����,根據(jù)請求端發(fā)送的身份驗證請求在預設決策樹中確定用于第一次子驗證的決策結點。
[0091]參考圖4�����,圖4為預設的決策樹的邏輯圖��,預設決策樹的每個非葉子結點(比如A0�、A1、A2��、A3�、B1����、B2�����、B3等)與預設驗證信息一一對應���。預設驗證信息可以存儲在決策樹的對應結點中;也可以分別存儲預設決策樹和預設驗證信息��,并存儲預設決策樹的決策結點和預設驗證信息的對應關系����。預設決策樹和/或預設驗證信息可存儲在驗證端中,也可以存儲在網(wǎng)絡上的其它節(jié)點中�����,需要時即時獲取����。驗證端接收到請求端發(fā)送的身份驗證請求后,可采用多種方式在預設決策樹中確定用于第一次子驗證的決策結點��。
[0092]在一個實施例中,步驟11)具體包括:根據(jù)請求端發(fā)送的身份驗證請求�����,從預設決策樹中選擇預設的初始決策結點作為用于第一次子驗證的決策結點���。本實施例中��,預設決策樹中預設了初始決策結點���,驗證端接收到請求端發(fā)送的身份驗證請求后,直接將該初始決策結點作為用于第一次子驗證的決策結點��。比如可將預設決策樹的根結點作為用于第一次子驗證的決策結點���。
[0093]在一個實施例中�����,步驟11)具體包括:根據(jù)請求端發(fā)送的身份驗證請求�����,從預設決策樹中隨機選取決策結點作為用于第一次子驗證的決策結點�。本實施例中,驗證端在接收到請求端發(fā)送的身份驗證請求后����,從預設決策樹的各個決策結點中隨機選取一個決策結點作為用于第一次子驗證的決策結點。采用隨機方式確定用于第一次子驗證的決策結點可進一步增加破解難度���。
[0094]在一個實施例中,身份驗證請求包括請求端的屬性信息���,步驟11)具體包括:根據(jù)請求端發(fā)送的身份驗證請求�����,從預設決策樹的根結點對應的孩子結點中選擇與屬性信息匹配的孩子結點作為用于第一次子驗證的決策結點�����。
[0095]本實施例中���,請求端獲取請求端自身的屬性信息,從而將包括屬性信息的身份驗證請求發(fā)送給驗證端。屬性信息是描述請求端自身特性的信息�����,比如可以是請求端的IP地址和/或MAC (Media Access Control,介質訪問控制層)地址,還可以是請求端的終端類型,終端類型比如為手機��、計算機等����。其中一個決策結點的孩子結點是指該決策結點的直接后繼子結點。
[0096]具體地���,若屬性信息為請求端的IP地址��,則驗證端可根據(jù)預設決策樹的根結點對應的判定條件�,對請求端的IP地址進行區(qū)域判定��,確定請求端所在地區(qū)���,比如北京�����、上海等��,進而從預設決策樹的根結點對應的孩子結點中選擇與確定的請求端所在地區(qū)匹配的孩子結點作為用于第一次子驗證的決策結點�。
[0097]步驟12),根據(jù)預設的決策結點與預設驗證信息的對應關系����,獲取用于第一次子驗證的決策結點所對應的預設驗證信息作為第一驗證信息。
[0098]驗證端或其它網(wǎng)絡節(jié)點上預存了決策結點與預設驗證信息的對應關系�,需要時驗證端可隨時獲取該對應關系。驗證端在確定了用于第一次子驗證的決策結點后����,根據(jù)該對應關系,直接獲取用于第一次子驗證的決策結點所對應的預設驗證信息作為第一驗證信肩�、O
[0099]步驟13)�,將第一驗證信息發(fā)送給請求端,接收請求端響應于第一驗證信息所反饋的第一響應信息�����。
[0100]驗證端將第一驗證信息發(fā)送給請求端���,請求端接收并顯示該第一驗證信息,用戶根據(jù)顯示的第一驗證信息向請求端輸入第一響應信息��,從而請求端將第一響應信息反饋給驗證端���,驗證端接收請求端所反饋的第一響應信息。
[0101]步驟14),通過判斷第一響應信息是否與用于第一次子驗證的決策結點所對應的預設響應信息匹配進行第一次子驗證���,獲得對應第一次子驗證的子驗證結果����。
[0102]驗證端上或其它網(wǎng)絡節(jié)點上預存了預設決策樹的決策結點和預設響應信息的對應關系����,這里的預設響應信息是與預設驗證信息匹配的正確的響應信息。當?shù)谝豁憫畔⑴c用于第一次子驗證的決策結點所對應的預設響應信息匹配時�,說明第一次子驗證成功;若不匹配則說明第一次子驗證失敗���。
[0103]本實施例中����,通過上述步驟11)?步驟14)��,根據(jù)預設決策樹來獲取第一驗證信息��,并使用預設決策樹來對請求端根據(jù)第一驗證信息反饋的第一響應信息進行第一次子驗證��。決策樹可以很好地表示各個決策結點之間的關系��,可提高計算效率。
[0104]在一個實施例中���,步驟304具體包括步驟21)?步驟24):
[0105]步驟21)��,從預設決策樹中的用于前一次子驗證的決策結點所對應的孩子結點中����,選擇與前一次子驗證的子驗證結果匹配的孩子結點作為用于又一次子驗證的決策結點����。
[0106]預設決策樹的每個非葉子結點可對應兩個孩子結點,且兩個孩子節(jié)點分別與該非根結點對應的子驗證結果匹配��。比如圖4中��,當結點Al為用于第一次子驗證的決策結點時����,若結點A2與表示子驗證失敗的子驗證結果匹配�����,則結點A3與表示子驗證成功的子驗證結果匹配���。預設決策樹的葉子節(jié)點對應預設子驗證結果���。
[0107]驗證端進行又一次子驗證�����,需要先從預設決策樹中的用于前一次子驗證的決策結點所對應的孩子結點中���,根據(jù)前一次子驗證的子驗證結果,若該子驗證結果為成功����,則選擇與該表示成功的子驗證結果匹配的孩子結點作為用于又一次子驗證的決策結點。若該子驗證結果為失敗��,則選擇與該表示子驗證失敗的子驗證結果匹配的孩子結點作為用于又一次子驗證的決策結點����。
[0108]具體地,進行第二次子驗證�,需要先從預設決策樹中的用于第一次子驗證的決策結點所對應的孩子結點中,選擇與第一次子驗證的子驗證結果匹配的孩子結點作為用于第二次子驗證的決策結點��。
[0109]步驟22)�����,根據(jù)預設的決策結點與預設驗證信息的對應關系,獲取用于又一次子驗證的決策結點所對應的預設驗證信息作為第二驗證信息��。
[0110]驗證端或其它網(wǎng)絡節(jié)點上預存了決策結點與預設驗證信息的對應關系��,需要時驗證端可隨時獲取該對應關系��。驗證端在確定了用于又一次子驗證的決策結點后����,根據(jù)該對應關系,直接獲取用于又一次子驗證的決策結點所對應的預設驗證信息作為第二驗證信肩�����、O
[0111]步驟23)��,將第二驗證信息發(fā)送給請求端�,接收請求端響應于第二驗證信息所反饋的第二響應信息�����。
[0112]驗證端將第二驗證信息發(fā)送給請求端����,請求端接收并顯示該第二驗證信息�,用戶根據(jù)顯示的第二驗證信息向請求端輸入第二響應信息��,從而請求端將第二響應信息反饋給驗證端����,驗證端接收請求端所反饋的第二響應信息。
[0113]步驟24)�����,通過判斷第二響應信息是否與用于又一次子驗證的決策結點所對應的預設響應信息匹配進行又一次子驗證����,獲得對應又一次子驗證的子驗證結果。
[0114]驗證端上或其它網(wǎng)絡節(jié)點上預存了預設決策樹的決策結點和預設響應信息的對應關系���,這里的預設響應信息是與預設驗證信息匹配的正確的響應信息�。當?shù)诙憫畔⑴c用于又一次子驗證的決策結點所對應的預設響應信息匹配時���,說明該又一次子驗證成功���;若不匹配則說明該又一次子驗證失敗��。
[0115]本實施例中�����,通過上述步驟21)?步驟24)����,根據(jù)預設決策樹中用于前一次子驗證的決策結點來確定用于又一次子驗證的決策結點��,從而獲取的第二驗證信息是根據(jù)前一次子驗證的子驗證結果確定的���,并使用預設決策樹來對請求端根據(jù)第二驗證信息反饋的第二響應信息進行又一次子驗證��。決策樹可以很好地表示各個決策結點之間的關系��,可快速根據(jù)前一次子驗證的子驗證結果進行又一次子驗證�����,可提高計算效率���。
[0116]在一個實施例中�����,步驟306包括:根據(jù)預設決策樹中的已發(fā)送的驗證信息所對應的決策結點生成驗證路徑。
[0117]在預設決策樹中�,各個已發(fā)送的驗證信息所對應的決策結點中,用于又一次子驗證的決策結點是根據(jù)前一次子驗證的子驗證結果確定的�,那么已發(fā)送的驗證信息所對應的決策結點構成的驗證路徑本身就包含各次子驗證所獲得的子驗證結果信息。比如圖4中��,A0-A1-A3-A4可以作為一條驗證路徑�����。本實施例中�����,根據(jù)預設決策樹中的已發(fā)送的驗證信息所對應的決策結點生成的驗證路徑��,既能夠體現(xiàn)每次子驗證所使用的驗證信息以及每次子驗證的子驗證結果�,可提高身份驗證的效率。
[0118]在一個實施例中�����,身份驗證請求包括待驗證用戶標識�����;該身份驗證方法還包括:當獲得表示身份驗證成功的身份驗證結果時,向請求端或待驗證用戶標識對應的通信地址標識所對應的終端發(fā)送對應待驗證用戶標識的驗證憑據(jù)���,驗證憑據(jù)用于據(jù)以修改待驗證用戶標識對應的用戶資料����。
[0119]本實施例中��,當身份驗證成功時�,說明操作請求端的用戶是可靠的,可認定操作請求端的用戶是該待驗證用戶標識的主人��。此時驗證端可向請求端發(fā)送對應待驗證用戶標識的驗證憑據(jù)�,或者可向待驗證用戶標識對應的通信地址標識所對應的終端發(fā)送該待驗證用戶標識的驗證憑據(jù)。通信地址標識可以是IP地址和/或MAC地址����。請求端或其它終端接收到憑據(jù)后,用戶可通過請求端或其它終端���,根據(jù)該驗證憑據(jù)修改待驗證用戶標識對應的用戶資料����。比如該驗證憑據(jù)可以是一個網(wǎng)頁鏈接,用戶接收到該網(wǎng)頁鏈接后點擊該網(wǎng)頁鏈接進入對應的網(wǎng)頁����,修改諸如用戶密碼等用戶資料���。
[0120]在一個實施例中����,該身份驗證方法還包括:記錄每次身份驗證時生成的驗證路徑���;每隔預設時間或每到預設時間點�����,根據(jù)記錄的驗證路徑更新預設成功路徑和/或預設失敗路徑�����。
[0121]本實施例中��,驗證端在進行身份驗證過程中�����,會記錄每次身份驗證時生成的驗證路徑��。驗證端每隔預設時間����,比如每隔預設天數(shù)、每隔預設周數(shù)或每隔預設月數(shù)���;或者每到預設時間點�����,比如每天的固定時間點����、每周的固定日子����、每月的固定日期等,根據(jù)記錄的驗證路徑更新預設成功路徑和/或預設失敗路徑���。
[0122]具體地��,驗證端可統(tǒng)計記錄的驗證路徑中與預設成功路徑匹配的個數(shù)或頻率�,當統(tǒng)計的個數(shù)或頻率超出第一個數(shù)門限值或第一頻率門限值時,從多個預設成功路徑中刪除匹配的預設成功路徑���;此時說明該匹配的預設成功路徑太容易實現(xiàn)�,可能存在安全風險�����,刪除匹配的預設成功路徑后可增加破解難度��。
[0123]進一步地���,驗證端也可統(tǒng)計記錄的驗證路徑中驗證成功的個數(shù),將驗證成功的個數(shù)超過驗證成功個數(shù)閾值�����,且不屬于預設成功路徑和預設失敗路徑的驗證路徑設置為預設成功路徑�����;此時可將滿足要求的驗證決策路徑設置為預設成功路徑�,增加破解難度。
[0124]下面用一個具體應用場景來說明上述身份驗證方法的原理。該應用場景中應用上述身份驗證方法的身份驗證系統(tǒng)的結構圖如圖2所示�����,包括請求端和驗證端��,用戶操作請求端���,參考圖5�,具體包括如下步驟:
[0125]請求端請求進行身份驗證:請求端向驗證端發(fā)送身份驗證請求���,身份驗證請求包括請求端的地址標識和待驗證用戶標識���,地址標識包括IP地址,該地址標識為請求端的屬性信息�����。
[0126]驗證端根據(jù)該身份驗證請求�����,獲取預設決策樹的根結點(如圖4中的A0)對應的判定條件�,對請求端的IP地址進行區(qū)域判定��,確定請求端所在地區(qū)��,比如北京���。進而驗證端從預設決策樹的根結點對應的孩子結點(如圖4中的A1、B1)中選擇與確定的請求端所在地區(qū)匹配的孩子結點(如圖4中的Al)作為用于第一次子驗證的決策結點���。
[0127]驗證端根據(jù)預設的決策結點與預設驗證信息的對應關系���,獲取用于第一次子驗證的決策結點所對應的預設驗證信息作為第一驗證信息�����。驗證端將第一驗證信息發(fā)送給請求端���,接收請求端響應于第一驗證信息所反饋的第一響應信息�����。驗證端通過判斷第一響應信息是否與用于第一次子驗證的決策結點所對應的預設響應信息匹配進行第一次子驗證�,獲得對應第一次子驗證的子驗證結果�����。
[0128]驗證端從預設決策樹中的用于第一次子驗證的決策結點(如圖4中的Al)所對應的孩子結點(如圖4中的A2、A3)中�,選擇與第一次子驗證的子驗證結果匹配的孩子結點(如圖4中的A3)作為用于又一次子驗證的決策結點。驗證端根據(jù)預設的決策結點與預設驗證信息的對應關系���,獲取用于又一次子驗證的決策結點A3所對應的預設驗證信息作為第二驗證信息���。驗證端將第二驗證信息發(fā)送給請求端,接收請求端響應于第二驗證信息所反饋的第二響應信息����。驗證端通過判斷第二響應信息是否與用于又一次子驗證的決策結點所對應的預設響應信息匹配進行又一次子驗證,獲得對應又一次子驗證的子驗證結果��。
[0129]驗證端根據(jù)預設決策樹中的已發(fā)送的驗證信息所對應的決策結點(如圖4中的Al��、A3)生成驗證路徑為A0-A1-A3-A4�����,其中結點AO為起點�����,結點A4為A3的孩子結點中與第二子驗證結果匹配的決策結點,以體現(xiàn)決策結點A3對應的子驗證結果����。
[0130]驗證端判斷驗證路徑是否與預設成功路徑或預設失敗路徑匹配,當判斷為匹配時����,若驗證路徑與成功路徑匹配,則驗證端判定身份驗證成功��;若驗證路徑與失敗路徑匹配�����,則驗證端判定身份驗證失敗����。當判斷為不匹配時則繼續(xù)根據(jù)前一次子驗證所獲得的子驗證結果獲取第二驗證信息�����,將第二驗證信息發(fā)送給請求端����,根據(jù)請求端響應于第二驗證信息所反饋的第二響應信息進行又一次子驗證��,獲得對應又一次子驗證的子驗證結果��,直至根據(jù)已發(fā)送的驗證信息和已獲得的子驗證結果確定的驗證路徑能夠與預設成功路徑或預設失敗路徑匹配���。
[0131]最后,驗證端判定身份驗證結果后,向請求端返回身份驗證成功或失敗的結果�����,并返回與待驗證用戶標識對應的驗證憑據(jù)���,用戶通過請求端根據(jù)該驗證憑據(jù)修改待驗證用戶標識對應的用戶資料���,比如密碼等。
[0132]在另一個具體應用場景中��,應用上述身份驗證方法的身份驗證系統(tǒng)的結構圖如圖6所示��,包括請求端����、網(wǎng)頁服務器和作為驗證端的驗證服務器,用戶通過操作請求端進行身份驗證�。具體步驟可參照圖7��,與上述應用場景中不同的是����,請求端與驗證服務器之間不直接進行通信�����,請求端通過訪問網(wǎng)頁服務器�,網(wǎng)頁服務器再訪問驗證服務器完成身份驗證的過程。詳細身份驗證的步驟請參考圖7以及上述應用場景中的具體步驟���,這里不再贅述�����。
[0133]如圖8所示���,在一個實施例中�����,提供了一種身份驗證方法����,該方法包括:
[0134]步驟801,請求端向驗證端發(fā)送身份驗證請求�。
[0135]身份驗證是指對操作請求端的用戶的身份的確認操作�。當用戶需要進行身份驗證時,通過請求端向驗證端發(fā)送身份驗證請求��。
[0136]步驟802�,驗證端根據(jù)身份驗證請求獲取第一驗證信息,并將第一驗證信息發(fā)送給請求端�����。
[0137]驗證端接收到身份驗證請求后����,根據(jù)請求端發(fā)送的身份驗證請求獲取第一驗證信息并發(fā)送給請求端。其中驗證信息與用戶身份信息相關��,比如驗證信息可以是該用戶的用戶標識對應的用戶歷史資料相關的問題或提示語���,用戶標識用以唯一區(qū)分用戶����,用戶標識比如可以是賬號。第一驗證信息是指用于第一次子驗證的驗證信息����。
[0138]步驟803,請求端響應于第一驗證信息����,向驗證端發(fā)送第一響應信息。
[0139]請求端接收到第一驗證信息后顯示該第一驗證信息����,用戶根據(jù)顯示的第一驗證信息向請求端輸入第一響應信息,請求端將第一響應信息發(fā)送給驗證端�。響應信息與驗證信息對應,正確的響應信息應當與驗證信息匹配��,響應信息可以是用戶標識對應的用戶歷史資料�。第一響應信息是指用于第一次子驗證的響應信息。
[0140]步驟804�����,驗證端根據(jù)第一響應信息進行第一次子驗證��,獲得對應第一次子驗證的子驗證結果�。
[0141]在整個身份驗證過程中驗證端需要進行多次子驗證,驗證端通過判斷第一響應信息是否與第一驗證信息匹配進行第