一種基于移動(dòng)終端的多因子認(rèn)證方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于通信技術(shù)領(lǐng)域�����,尤其涉及一種基于移動(dòng)終端的多因子認(rèn)證方法�����。
【背景技術(shù)】
[0002]對(duì)于企業(yè)的應(yīng)用系統(tǒng)來(lái)講,能夠驗(yàn)證登錄人身份是確保企業(yè)信息不泄露的重要依據(jù)��。身份驗(yàn)證是企業(yè)應(yīng)用系統(tǒng)數(shù)據(jù)安全的最重要的防線(xiàn)之一��,也是黑客最容易攻擊的一道防線(xiàn)����。隨著互聯(lián)網(wǎng)電子商務(wù)的深入發(fā)展�,越來(lái)越多軟件采用了多因子認(rèn)證技術(shù),要求用戶(hù)除輸入普通的用戶(hù)名密碼外���,還需提供另一種身份信息才可驗(yàn)證通過(guò)��。此處的另一種身份驗(yàn)證信息����,指的是除系統(tǒng)記錄的用戶(hù)名密碼外的���,其他的通過(guò)預(yù)留信息能夠驗(yàn)證登錄人身份的信息�。
[0003]身份驗(yàn)證���,一般包含三類(lèi):第一類(lèi)是依賴(lài)于記憶�����,只有登錄人知道的����,如用戶(hù)名和密碼,在身份驗(yàn)證時(shí)���,通過(guò)提供用戶(hù)名密碼��,交予認(rèn)證中心匹配�,匹配成功的��,身份驗(yàn)證通過(guò)�;第二類(lèi)是依賴(lài)于設(shè)備,只有登錄人才有的設(shè)備���,如USB key, OTP令牌等��,登錄系統(tǒng)時(shí)���,需要插入設(shè)備驗(yàn)證設(shè)備信息,或輸入設(shè)備中產(chǎn)生的隨機(jī)密碼�����,輸入成功了,才算驗(yàn)證成功�;第三類(lèi)是依賴(lài)于生物信息,如指紋�����,虹膜等�����,認(rèn)證中心需匹配預(yù)留的指紋�、虹膜信息進(jìn)行驗(yàn)證匹配����。第一類(lèi)最常用于單一身份驗(yàn)證系統(tǒng)中,也是最易被盜取的��。通常雙因子認(rèn)證將第一類(lèi)與第二或第三類(lèi)認(rèn)證技術(shù)結(jié)合�����,一起驗(yàn)證登錄人身份����,確保登錄人為本人��。其中第一類(lèi)加上第二類(lèi)的驗(yàn)證方式最為常見(jiàn)�。
[0004]—項(xiàng)現(xiàn)有技術(shù)中公開(kāi)的基于短信的雙因子身份認(rèn)證方法�����,此項(xiàng)現(xiàn)有技術(shù)采用依賴(lài)于設(shè)備和記憶的雙因子認(rèn)證方式�。此項(xiàng)技術(shù)雖然在設(shè)備上做到了精簡(jiǎn),使用了一般人都會(huì)有的手機(jī)作為設(shè)備驗(yàn)證的終端���,但是對(duì)于企業(yè)的應(yīng)用系統(tǒng)來(lái)講�����,每次登陸自己的系統(tǒng)���,還需再通過(guò)運(yùn)營(yíng)商向登錄人發(fā)送短信驗(yàn)證碼,通過(guò)運(yùn)營(yíng)商發(fā)送短信�����,勢(shì)必要增加短信成本�,而應(yīng)用系統(tǒng)登錄又是非常頻繁的�,且只通過(guò)短信驗(yàn)證碼就可以校驗(yàn)登錄人的身份�,其在身份驗(yàn)證中安全系數(shù)也不是很高,且運(yùn)營(yíng)商發(fā)送的短信并未加密����,若中途被截獲,也會(huì)有信息泄露的可能�。
[0005]綜上所述,如何設(shè)計(jì)出一種針對(duì)于企業(yè)應(yīng)用系統(tǒng)的多因子身份認(rèn)證方法���,使身份認(rèn)證更加安全可靠��,同時(shí)能夠節(jié)約成本�����,成為本領(lǐng)域亟待解決的問(wèn)題。
【發(fā)明內(nèi)容】
[0006]本發(fā)明所要解決的技術(shù)問(wèn)題是提出如何高身份驗(yàn)證中安全性���,并且能夠節(jié)約成本����。
[0007]為實(shí)現(xiàn)上述發(fā)明目的��,本發(fā)明提供一種基于移動(dòng)終端的多因子認(rèn)證方法和系統(tǒng)。
[0008]—方面�,本發(fā)明提供一種基于移動(dòng)終端的多因子認(rèn)證方法,包括:
[0009]S1.應(yīng)用服務(wù)器接收用戶(hù)終端發(fā)出的認(rèn)證請(qǐng)求和用戶(hù)信息�����,并將用戶(hù)信息轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器��;
[0010]S2.所述認(rèn)證服務(wù)器對(duì)用戶(hù)信息進(jìn)行驗(yàn)證���;若驗(yàn)證成功后���,則通過(guò)應(yīng)用服務(wù)器向用戶(hù)終端發(fā)起驗(yàn)證碼填寫(xiě)消息;
[0011]S3.所述應(yīng)用服務(wù)器收到在用戶(hù)終端發(fā)起的驗(yàn)證碼獲取請(qǐng)求后發(fā)送至所述認(rèn)證服務(wù)器�,所述認(rèn)證服務(wù)器生成驗(yàn)證碼并對(duì)驗(yàn)證碼使用隨機(jī)生成的密匙加密后生成密文,并將密文發(fā)送至移動(dòng)終端服務(wù)器和將密匙發(fā)送到應(yīng)用服務(wù)器���;
[0012]S4.用戶(hù)終端獲取應(yīng)用服務(wù)器上的密匙��;移動(dòng)終端獲取移動(dòng)終端服務(wù)器上的密文和用戶(hù)終端的密匙并對(duì)密文解密得到驗(yàn)證碼���;
[0013]S5.用戶(hù)終端輸入驗(yàn)證碼并通過(guò)應(yīng)用服務(wù)器發(fā)送至認(rèn)證服務(wù)器;
[0014]S6.所述認(rèn)證服務(wù)器對(duì)用戶(hù)輸入的驗(yàn)證碼校驗(yàn)���,若正確��,則向應(yīng)用服務(wù)器發(fā)送登陸成功消息���。
[0015]其中較優(yōu)地����,所述用戶(hù)信息包括:用戶(hù)名和密碼���。
[0016]其中較優(yōu)地��,所述步驟S3之前還包括:驗(yàn)證登陸歷史記錄的步驟����,具體包括:
[0017]所述認(rèn)證服務(wù)器查詢(xún)用戶(hù)在規(guī)定時(shí)間內(nèi)是否通過(guò)驗(yàn)證碼登錄的歷史記錄�,如果有則直接認(rèn)證登陸成功。
[0018]其中較優(yōu)地����,所述步驟S6之后還包括對(duì)驗(yàn)證時(shí)間校驗(yàn)的步驟���,具體包括:
[0019]判斷驗(yàn)證時(shí)間是否超過(guò)預(yù)定時(shí)間時(shí)����,若未超過(guò),則登錄成功��;
[0020]反之���,則登錄失敗���,并提示驗(yàn)證碼超時(shí)。
[0021]其中較優(yōu)地�,所述步驟S3中,所述密匙在用戶(hù)終端上以二維碼形式顯示�����。
[0022]其中較優(yōu)地�����,所述對(duì)驗(yàn)證碼加密的步驟具體包括:
[0023]所述認(rèn)證服務(wù)器生成密匙����;
[0024]使用密匙對(duì)驗(yàn)證碼加密生成密文。
[0025]其中較優(yōu)地,所述使用密匙對(duì)驗(yàn)證碼加密時(shí)使用DES加密算法加密���。
[0026]其中較優(yōu)地���,所述移動(dòng)終端獲取移動(dòng)終端服務(wù)器上的密文是通過(guò)移動(dòng)終端與移動(dòng)終端服務(wù)器之間的安全驗(yàn)證關(guān)系獲取的。
[0027]其中較優(yōu)地���,所述步驟S5之后還包括:
[0028]登錄成功后����,記錄使用驗(yàn)證碼登錄的開(kāi)始時(shí)間��,并根據(jù)規(guī)則計(jì)算出使用驗(yàn)證碼登錄的截止時(shí)間�����;
[0029]記錄登錄的IP地址����。
[0030]另一方面,本發(fā)明還提供一種基于移動(dòng)終端的多因子認(rèn)證系統(tǒng)�,其特征在于,包括相互通信連接的用戶(hù)終端���、應(yīng)用服務(wù)器�、認(rèn)證服務(wù)器��、移動(dòng)終端服務(wù)器和移動(dòng)終端��;
[0031]所述用戶(hù)終端向所述應(yīng)用服務(wù)器發(fā)起的認(rèn)證請(qǐng)求�,所述應(yīng)用服務(wù)器將認(rèn)證請(qǐng)求和用戶(hù)信息轉(zhuǎn)發(fā)至認(rèn)證服務(wù)器;
[0032]所述認(rèn)證服務(wù)器對(duì)用戶(hù)信息進(jìn)行驗(yàn)證����;若驗(yàn)證成功后,則通過(guò)應(yīng)用服務(wù)器向用戶(hù)終端發(fā)起驗(yàn)證碼填寫(xiě)消息��;
[0033]所述用戶(hù)終端向所述應(yīng)用服務(wù)器發(fā)起的驗(yàn)證碼獲取請(qǐng)求�,所述應(yīng)用服務(wù)器發(fā)送驗(yàn)證碼獲取請(qǐng)求至所述認(rèn)證服務(wù)器,所述認(rèn)證服務(wù)器生成驗(yàn)證碼并使用隨機(jī)生成的密匙對(duì)驗(yàn)證碼加密生成密文���,并將密文發(fā)送至移動(dòng)終端服務(wù)器�����,將密匙發(fā)送至應(yīng)用服務(wù)器�����;
[0034]所述用戶(hù)終端獲取應(yīng)用服務(wù)器上的密匙��;所述移動(dòng)終端獲取移動(dòng)終端服務(wù)器上的密文和用戶(hù)終端的密匙并對(duì)密文解密得到驗(yàn)證碼����;
[0035]所述用戶(hù)終端輸入驗(yàn)證碼并通過(guò)應(yīng)用服務(wù)器發(fā)送至所述認(rèn)證服務(wù)器;
[0036]所述認(rèn)證服務(wù)器對(duì)用戶(hù)輸入的驗(yàn)證碼校驗(yàn)�,若正確,則向應(yīng)用服務(wù)器發(fā)送登陸成功消息����。
[0037]本發(fā)明基于移動(dòng)終端的多因子認(rèn)證方法及系統(tǒng)更加適合于企業(yè)應(yīng)用系統(tǒng)的登錄,不再通過(guò)運(yùn)營(yíng)商發(fā)送短信����,而是使用移動(dòng)終端接收驗(yàn)證信息,這就可以使用密文傳送��,降低被截獲的風(fēng)險(xiǎn)�,而其與移動(dòng)終端相互綁定不僅為驗(yàn)證增加了一層安全保障,還給企業(yè)提供了多種實(shí)現(xiàn)身份認(rèn)證的可能性����。在數(shù)據(jù)傳輸?shù)陌踩詫用妫炯夹g(shù)方案也用了加密解密算法進(jìn)行保障��,并通過(guò)時(shí)間窗口的校驗(yàn),防止了重放攻擊����。因此��,本方案提出的有選擇性的多因子認(rèn)證方案�����,能有效提高企業(yè)身份認(rèn)證系統(tǒng)的安全性���,并且提高辦公效率�。
【附圖說(shuō)明】
[0038]通過(guò)參考附圖會(huì)更加清楚的理解本發(fā)明的特征和優(yōu)點(diǎn)��,附圖是示意性的而不應(yīng)理解為對(duì)本發(fā)明進(jìn)行任何限制�,在附圖中:
[0039]圖1示出了本發(fā)明一個(gè)實(shí)施例的通過(guò)多因子身份認(rèn)證方法的示意流程圖;
[0040]圖2示出了另一個(gè)實(shí)施例的通過(guò)多因子身份認(rèn)證方法的示意流程圖�。
【具體實(shí)施方式】
[0041]下面將結(jié)合附圖對(duì)本發(fā)明的實(shí)施例進(jìn)行詳細(xì)描述。
[0042]如圖1所示��,本發(fā)明提供一種基于移動(dòng)終端的多因子認(rèn)證方法��,該方法可以包括:S1.應(yīng)用服務(wù)器接收用戶(hù)終端發(fā)出的認(rèn)證請(qǐng)求和用戶(hù)信息���,并將用戶(hù)信息轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器��;S2.所述認(rèn)證服務(wù)器對(duì)用戶(hù)信息進(jìn)行驗(yàn)證����;若驗(yàn)證成功后,則通過(guò)應(yīng)用服務(wù)器向用戶(hù)終端發(fā)起驗(yàn)證碼填寫(xiě)消息����;S3.所述應(yīng)用服務(wù)器收到在用戶(hù)終端發(fā)起的驗(yàn)證碼獲取請(qǐng)求后發(fā)送至所述認(rèn)證服務(wù)器,所述認(rèn)證服務(wù)器生成驗(yàn)證碼并生成隨機(jī)密匙對(duì)驗(yàn)證碼加密生成密文����,并將密文發(fā)送至移動(dòng)終端服務(wù)器,將密匙發(fā)送到應(yīng)用服務(wù)器�����;S4.用戶(hù)終端獲取應(yīng)用服務(wù)器上的密匙���;移動(dòng)終端獲取移動(dòng)終端服務(wù)器上的密文和用戶(hù)終端的密文并對(duì)密文解密得到驗(yàn)證碼�����;S5.用戶(hù)終端輸入驗(yàn)證碼并通過(guò)應(yīng)用服務(wù)器發(fā)送至認(rèn)證服務(wù)器����;S6.所述認(rèn)證服務(wù)器對(duì)用戶(hù)輸入的驗(yàn)證碼校驗(yàn),若正確����,則向應(yīng)用服務(wù)器發(fā)送登陸成功消息。下面對(duì)本發(fā)明提供的基于移動(dòng)終端的多因子認(rèn)證方法展開(kāi)詳細(xì)說(shuō)明����。
[0043]在本發(fā)明中��,用戶(hù)終端可以是PC可以是其它終端例如智能手機(jī)���,PAD��、掌上電腦等�。應(yīng)用服務(wù)器可以WEB服務(wù)器�����。移動(dòng)終端可以是智能手機(jī)也可以是PAD��?��?傊?���,一切具備本發(fā)明移動(dòng)終端功能的電子設(shè)備均可以實(shí)現(xiàn)本發(fā)明。移動(dòng)終端服務(wù)器是與移動(dòng)終端存在安全驗(yàn)證關(guān)系的安全驗(yàn)證服務(wù)器�����,在移動(dòng)終端服務(wù)器上保存有動(dòng)終端的身份信息���?����?梢酝ㄟ^(guò)驗(yàn)證移動(dòng)終端的身份信息確定移動(dòng)終端與移動(dòng)終端服務(wù)器的安全通信���。為了進(jìn)一步保證移動(dòng)終端與移動(dòng)終端服務(wù)器驗(yàn)證的安全性,優(yōu)選在一種終端上安裝固定的APP��。APP設(shè)置有移動(dòng)終端與移動(dòng)終端唯一的通信方式�,避免其它因素造成安全影響。由于本實(shí)施例中對(duì)用戶(hù)的身份認(rèn)證是在認(rèn)證服務(wù)器中來(lái)實(shí)現(xiàn)用戶(hù)身份的認(rèn)證�,由應(yīng)用服務(wù)器向?qū)?yīng)所述用戶(hù)信息的認(rèn)證終端轉(zhuǎn)發(fā)所述請(qǐng)求消息。本步驟中該認(rèn)證服務(wù)器內(nèi)預(yù)先存儲(chǔ)了用戶(hù)本人的用戶(hù)信息,所以請(qǐng)求消息是向?qū)?yīng)所述用戶(hù)信息的認(rèn)證服務(wù)器發(fā)送的�����。
[0044]如圖2所示其中���,舉例而言�����,用戶(hù)可以是通過(guò)用戶(hù)終端使用Web端訪(fǎng)問(wèn)應(yīng)用服務(wù)器發(fā)出登錄請(qǐng)求����,并輸入用戶(hù)信息向認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求�。所述用戶(hù)信息包括:用戶(hù)名和密碼���。應(yīng)用服務(wù)器接收用戶(hù)發(fā)出的認(rèn)證請(qǐng)求和用戶(hù)信息后���,將用戶(hù)信息轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器。
[0045]舉例而言�,認(rèn)證服務(wù)器判斷用戶(hù)輸入的用戶(hù)名和密碼是否和認(rèn)證服務(wù)器中記錄的相應(yīng)信息是否一致,若一致��,則則通過(guò)應(yīng)用服務(wù)器向用戶(hù)終端發(fā)起驗(yàn)證碼填寫(xiě)消息��,繼續(xù)執(zhí)行步驟S3,若不一致����,則登錄失敗。
[0046]優(yōu)選的���,認(rèn)證服務(wù)器判斷用戶(hù)輸入的用戶(hù)名和密碼和認(rèn)證服務(wù)器中記錄的相應(yīng)信息相一致后����,在繼續(xù)執(zhí)行步驟S3之前�����,可以先進(jìn)行如下步驟:認(rèn)證服務(wù)器通過(guò)上一次登錄信息查詢(xún)用戶(hù)A驗(yàn)證碼驗(yàn)證是否過(guò)期���,若未過(guò)期�����,則繼續(xù)驗(yàn)證登錄IP與上次登錄時(shí)IP是否一致�,若一致����,則登錄成功����;若