云計算及互聯網中的用戶二次認證方法�����、裝置和系統的制作方法
【專利摘要】本發(fā)明提供了一種云計算及互聯網中的用戶二次認證方法、裝置和系統��。其中��,該方法包括:網絡服務器接收到第一用戶終端發(fā)送的登錄請求后�,提示用戶輸入用戶信息和登錄密碼;網絡服務器接收用戶信息和登錄密碼����,對用戶信息和登錄密碼進行一次認證;上述一次認證通過后��,網絡服務器觸發(fā)用戶關聯的第二用戶終端生成并返回一次性密鑰�,判斷一次性密鑰是否通過二次認證,如果是���,允許用戶執(zhí)行后續(xù)操作���。本發(fā)明不需要用戶手工輸入一次性密鑰,簡化了用戶的操作��,兩種認證方式的有效結合����,提升了認證的安全性和可靠性��,適于推廣應用。
【專利說明】云計算及互聯網中的用戶二次認證方法�����、裝置和系統
【技術領域】
[0001]本發(fā)明涉及通信領域���,具體而言��,涉及一種云計算及互聯網中的用戶二次認證方法���、裝置和系統。
【背景技術】
[0002]目前����,云計算和互聯網可以通過用戶名(或稱為賬戶、賬號)與密碼的傳統驗證方式登錄���,但這種方式的安全漏洞較大��,無法應對截獲用戶名與密碼重放登錄的問題�。為了解決這個問題,一些網站在登錄時采用了二次認證方式�,該方式除了要求輸入賬戶與密碼之夕卜,還需要輸入另一個一次性密碼��。銀行常用的動態(tài)口令卡(也稱“令牌”)就是一次性密碼的例子����,還有一種是在線支付網站的一次性短信密碼實現方式。但是上述兩種實現方法使用繁瑣��,影響推廣����。同時因為沒有采用行業(yè)或是國際標準,存在不安全隱患�����。
[0003]參見圖1所示的用戶登錄網站的基本認證方法的示意圖�����,該方法包括如下步驟:
[0004]步驟S102����,客戶端向服務器發(fā)起用戶訪問服務請求���;
[0005]步驟S104,服務器接收到上述訪問服務請求后�����,向客戶端提供認證窗口�,提示用戶輸入用戶名與密碼(執(zhí)行401認證)���;
[0006]步驟S106�����,客戶端接收用戶輸入的用戶名和密碼��,并發(fā)送給上述服務器����;
[0007]步驟S108���,服務器對上述用戶名和密碼進行驗證�,驗證成功后���,指向該用戶登錄的界面�����。
[0008]參見圖2所示的二次認證登錄方法的示意圖����,該方法包括如下步驟:
[0009]步驟S200,用戶使用客戶端��;
[0010]步驟S202�,客戶端向服務器發(fā)起訪問服務請求;
[0011 ] 步驟S204�,服務器接收到上述訪問服務請求后,向客戶端提供認證窗口��,提示用戶輸入用戶名與密碼(執(zhí)行401認證)����;
[0012]步驟S206,客戶端接收用戶輸入的用戶名和密碼���,并發(fā)送給上述服務器�;
[0013]步驟S208����,服務器對上述用戶名和密碼進行驗證�,驗證成功后����,按約定指向二次認證服務器;
[0014]步驟S210���,二次認證服務器向上述服務器發(fā)送帶隨機數的驗證碼請求消息��;
[0015]步驟S212���,服務器請求用戶輸入認證碼��;
[0016]步驟S214��,用戶通過RSA或USB生成一次性認證碼�����;
[0017]步驟S216����,用戶將上述一次性認證碼發(fā)送給服務器���;
[0018]步驟S218,服務器按隨機數將上述一次性認證碼返回給二次認證服務器��;
[0019]步驟S220�����,二次認證服務器收到上述一次性認證碼后進行認證�,認證成功后向服務器返回確認消息;
[0020]步驟S222��,服務器向上述客戶端返回驗證成功��,執(zhí)行登錄后功能���;
[0021]步驟S224���,用戶繼續(xù)使用客戶端。
[0022]通過上述流程可以看出���,用戶在確認的時候�,不得不隨身攜帶有源的RSA�����,或是無源的USB卡,并且要手工輸入動態(tài)的認證碼��,(通常為6位數的密碼)�,操作比較繁瑣,在云計算中��,因為沒有物理網絡的保護���,用戶身份是唯一的防火墻�����,而該保護方式容易被竊取���,影響云計算的推廣��。
【發(fā)明內容】
[0023]本發(fā)明的目的在于提供一種云計算及互聯網中的用戶二次認證方法���、裝置和系統����,以解決上述的問題。
[0024]在本發(fā)明的實施例中提供了一種云計算及互聯網中的用戶二次認證方法��,包括:網絡服務器接收到第一用戶終端發(fā)送的登錄請求后�����,提示用戶輸入用戶信息和登錄密碼��;網絡服務器接收用戶信息和登錄密碼��,對用戶信息和登錄密碼進行一次認證����;上述一次認證通過后,網絡服務器觸發(fā)用戶關聯的第二用戶終端生成并返回一次性密鑰����,判斷一次性密鑰是否通過二次認證,如果是�����,允許用戶執(zhí)行后續(xù)操作�。
[0025]優(yōu)選地,上述方法還包括:網絡服務器接收用戶的注冊請求,提示用戶是否進行二次認證��;網絡服務器接收到用戶確認進行二次認證的消息后�,將用戶注冊的第二用戶終端的信息保存至二次認證服務器;網絡服務器觸發(fā)用戶關聯的第二用戶終端生成并返回一次性密鑰����,判斷一次性密鑰是否通過二次認證包括:網絡服務器向二次認證服務器發(fā)送對用戶進行二次認證的通知;二次認證服務器接收到通知后�,向用戶關聯的第二用戶終端發(fā)送二次認證請求消息;二次認證服務器接收第二用戶終端返回的一次性密鑰����,對一次性密鑰進行認證,并將認證結果通知網絡服務器��;網絡服務器根據認證結果確認用戶是否通過二次認證��。
[0026]在本發(fā)明的實施例中還提供了一種云計算及互聯網中的用戶二次認證方法��,包括:第一用戶終端向網絡側發(fā)送用戶的登錄請求��;第一用戶終端接收并顯示網絡側返回的輸入用戶信息和登錄密碼的提示消息���;第一用戶終端接收用戶輸入的用戶信息和登錄密碼,將用戶信息和登錄密碼發(fā)送給網絡側進行認證;用戶的第二用戶終端接收到來自網絡側的二次認證請求消息后����,判斷用戶是否同意進行二次認證;如果是����,生成一次性密鑰,并將一次性密鑰發(fā)送給網絡側進行認證���;第一用戶終端接收到網絡側返回的認證通過消息后���,允許用戶執(zhí)行后續(xù)操作。
[0027]優(yōu)選地�����,上述用戶的第二用戶終端判斷用戶是否同意進行二次認證包括:第二用戶終端提示用戶是否進行二次認證��;當第二用戶終端在指定時間內感應到搖晃自身的頻率和/或幅度達到設定閾值時���,第二用戶終端確定用戶同意進行二次認證���。
[0028]優(yōu)選地��,上述用戶的第二用戶終端判斷用戶是否同意進行二次認證包括:第二用戶終端提示用戶是否進行二次認證���;當第二用戶終端在指定時間內接收到用戶按壓確認鍵的信號時或者確認用戶按壓屏幕的軌跡與設定軌跡匹配時,第二用戶終端確定用戶同意進行二次認證�����。
[0029]在本發(fā)明的實施例中提供了一種云計算及互聯網中的用戶二次認證裝置�����,包括:第一認證提示模塊����,用于接收到第一用戶終端發(fā)送的登錄請求后,提示用戶輸入用戶信息和登錄密碼����;第一認證模塊,用于接收用戶信息和登錄密碼���,對用戶信息和登錄密碼進行一次認證���;第二認證模塊���,用于在一次認證通過后�����,觸發(fā)用戶關聯的第二用戶終端生成并返回一次性密鑰�����,判斷一次性密鑰是否通過二次認證����;登錄處理模塊,用于當第二認證模塊的認證結果為是時����,允許用戶執(zhí)行后續(xù)操作。
[0030]在本發(fā)明的實施例中提供了一種云計算及互聯網中的用戶二次認證系統�,包括設置于網絡側的網絡服務器、設置于用戶側的第一用戶終端和第二用戶終端�;其中:網絡服務器包括上述裝置;第一用戶終端包括:登錄請求發(fā)送模塊��,用于向網絡側發(fā)送用戶的登錄請求��;提示信息接收模塊,用于接收并顯示網絡側返回的輸入用戶信息和登錄密碼的提示消息����;第一認證信息接收與發(fā)送模塊,用于接收用戶輸入的用戶信息和登錄密碼��,將用戶信息和登錄密碼發(fā)送給網絡側進行認證�����;操作模塊���,用于接收到網絡側返回的認證通過消息后����,允許用戶執(zhí)行后續(xù)操作����;第二用戶終端包括:二次認證判斷模塊,用于接收到來自網絡側的二次認證請求消息后��,判斷用戶是否同意進行二次認證���;二次認證模塊���,用于在二次認證判斷模塊的判斷結果為是時���,生成一次性密鑰���,并將一次性密鑰發(fā)送給網絡側進行認證�����。
[0031]優(yōu)選地����,上述系統還包括二次認證服務器����;上述網絡服務器還包括:二次認證提示模塊,用于接收用戶的注冊請求�,提示用戶是否進行二次認證;注冊信息保存模塊��,用于接收到用戶確認進行二次認證的消息后�,將用戶注冊的第二用戶終端的信息保存至二次認證服務器;
[0032]上述第二認證模塊包括:二次認證通知單元�����,用于在一次認證通過后,向二次認證服務器發(fā)送對用戶進行二次認證的通知����;二次認證確認單元,用于根據二次認證服務器返回的認證結果確認用戶是否通過二次認證��;
[0033]上述二次認證服務器包括:二次認證請求消息發(fā)送模塊����,用于接收到網絡服務器發(fā)送的二次認證通知后,向用戶關聯的第二用戶終端發(fā)送二次認證請求消息���;一次性密鑰認證模塊���,用于接收第二用戶終端返回的一次性密鑰,對一次性密鑰進行認證���,并將認證結果通知網絡服務器�。
[0034]優(yōu)選地�����,上述二次認證判斷模塊包括:認證提示單元,用于提示用戶是否進行二次認證��;二次認證確定單元����,用于當第二用戶終端在指定時間內確認有以下事件之一發(fā)生時,確定用戶同意進行二次認證:(I)感應到用戶搖晃自身的頻率和/或幅度達到設定閾值���;
(2)接收到用戶按壓確認鍵的信號;(3)確認用戶按壓屏幕的軌跡與設定軌跡匹配�����。
[0035]優(yōu)選地����,上述第一用戶終端與第二用戶終端可以為同一設備。
[0036]本發(fā)明實施例提供的方法����、裝置和系統,通過網絡側在對用戶進行一次認證通過的基礎上���,觸發(fā)用戶的終端設備自動生成一次性密鑰���,并自動將該一次性密鑰發(fā)送給網絡偵牝由網絡側對該一次性密鑰進行認證��,進而實現二次認證���,這兩種認證方式的結合,不需要用戶手工輸入一次性密鑰�����,簡化了用戶的操作�,同時兩種認證方式的有效結合,提升了認證的安全性和可靠性���,適于推廣應用����。
【專利附圖】
【附圖說明】
[0037]圖1示出了相關技術提供的用戶登錄網站的基本認證方法的示意圖�;
[0038]圖2示出了相關技術提供的二次認證登錄方法的示意圖;
[0039]圖3示出了本發(fā)明實施例提供的云計算及互聯網中的用戶二次認證方法的流程圖�;
[0040]圖4示出了本發(fā)明實施例提供的用戶注冊的方法示意圖;
[0041]圖5示出了本發(fā)明實施例提供的云計算及互聯網中的用戶二次認證方法的流程圖���;
[0042]圖6示出了本發(fā)明實施例提供的云計算及互聯網中的用戶二次認證方法的流程圖�;
[0043]圖7示出了本發(fā)明實施例提供的云計算及互聯網中的用戶二次認證方法的示意圖;
[0044]圖8示出了本發(fā)明實施例提供的云計算及互聯網中的用戶二次認證裝置的結構框圖�����。
【具體實施方式】
[0045]下面通過具體的實施例并結合附圖對本發(fā)明做進一步的詳細描述�����。
[0046]本發(fā)明實施例為了提升用戶在云計算及互聯網中的身份安全認證方式�,在傳統一次認證(用戶名/密碼認證)的基礎上,通過用戶的終端設備(例如:個人手機或穿戴設備)來進行二次認證��。因為采用了來自個人設備如手機等的確認過程���,從而保證用戶在云計算及互聯網中的身份更為安全?;诖?,本發(fā)明實施例提供了一種云計算及互聯網中的用戶二次認證方法、裝置和系統�,具體實施例如下�����。
[0047]參見圖3所示的云計算及互聯網中的用戶二次認證方法的流程圖�,該方法以從網絡側描述為例進行說明,包括以下步驟:
[0048]步驟S302�����,網絡服務器接收到第一用戶終端發(fā)送的登錄請求后�,提示用戶輸入用戶信息和登錄密碼;其中���,用戶信息指用戶注冊時提供的身份信息�����,例如:用戶名��、用戶標識碼(手機號)�����、郵箱地址等����;
[0049]步驟S304��,網絡服務器接收上述用戶信息和登錄密碼,對該用戶信息和登錄密碼進行一次認證���;
[0050]步驟S306�,上述一次認證通過后���,網絡服務器觸發(fā)用戶關聯的第二用戶終端生成并返回一次性密鑰�,判斷該一次性密鑰是否通過二次認證�����,如果是����,允許上述用戶執(zhí)行后續(xù)動作。
[0051]本實施例的第一用戶終端和第二用戶終端可以是同一個設備�,也可以兩個不同的設備。例如均為用戶的手機�,或者一個是用戶的手機�,一個是用戶的電腦等。
[0052]其中���,本實施例的一次性密鑰可以是基于時間要素(系統時間)生成的一次性口令�����,也可以是基于事件要素(使用次數)生成的一次性口令����,以基于時間要素生成的一次性口令為例,本發(fā)明實施例可以基于互聯網工程任務組(Internet Engineering TaskForce, IETF)的標準算法RFC 6238 (RFC 4226的一種擴展)��。這是一種基于時間的一次性密碼(Time-based One-time Password,簡稱Τ0ΤΡ,也可以稱為一次性密鑰)�,在用戶終端(如手機)上安裝該密碼生成應用程序,就可以生成一個隨著時間變化的一次性密碼�����。
[0053]TOTP的工作原理如下:客戶端和服務器事先協商好一個密鑰K�,用于一次性密碼的生成過程,此密鑰不被任何第三方所知道�����。此外�����,客戶端和服務器各有一個當前時間Τ����,并且事先將當前標準時間盡量同步��。選用手機的原因是運營商在會自動把手機和基站的時間有一個同步過程���,只要服務器采用類似的同步方法,者的誤差很小��。
[0054]進行驗證時�����,客戶端對密鑰和計數器的組合(K, Τ)使用HMAC(Hash-based MessageAuthenticat1n Code)算法計算一次性密碼��,公式如下:
[0055]TOTP(K, T) = Truncate(HMAC-SHA-1(K, T))
[0056]上面采用了 HMAC-SHA-1���,當然也可以使用HMAC-MD5等���。HMAC算法得出的值位數比較多,不方便用戶輸入��,因此需要截斷(Truncate)成為一組不太長十進制數(例如6位)�����。用戶將這一組十進制數輸入并且提交之后��,服務器端同樣的計算���,并且與用戶提交的數值比較��,驗證通過則意味二次認證通過�����。
[0057]由于網絡延時��,用戶輸入延遲等因素���,可能當服務器端接收到一次性密碼時,T的數值已經改變�����,這樣就會導致服務器計算的一次性密碼值與用戶輸入的不同�����,驗證失敗���。解決這個問題的一個方法是�,服務器計算當前時間片以及前后的η個時間片內的一次性密碼值,只要其中有一個與用戶輸入的密碼相同�,則驗證通過。當然���,η不能太大��,否則會降低安全性�,通常選擇5次���。
[0058]因為時間每時每刻都在變化�����,如果選擇一個變化太快的T (例如從某一時間點開始的秒數)����,那么用戶來不及輸入密碼��。如果選擇一個變化太慢的T(例如從某一時間點開始的小時數)�����,那么第三方攻擊者就有充足的時間去嘗試所有可能的一次性密碼出位數字的一次性密碼僅僅有10~6種組合),降低了密碼的安全性��。變化太慢的T還會導致另一個問題���。如果用戶需要在短時間內兩次登錄賬戶,由于密碼是一次性的不可重用����,用戶需要等到下一個一次性密碼被生成時才能登錄,這意味著最多需要等待59分59秒����!這顯然不可接受。綜合以上考慮��,多數廠商(例如Google)選擇了 30秒作為時間片�����,T的數值為從Unix印och(1970年I月I H 00:00:00)來經歷的30秒的個數�����。
[0059]本實施例的上述方法,通過網絡側在對用戶進行一次認證通過的基礎上��,觸發(fā)用戶的終端設備自動生成一次性密鑰��,并自動將該一次性密鑰發(fā)送給網絡側����,由網絡側對該一次性密鑰進行認證,進而實現二次認證�,這兩種認證方式的結合,不需要用戶手工輸入一次性密鑰�����,簡化了用戶的操作����,同時兩種認證方式的有效結合,提升了認證的安全性和可靠性��,適于推廣應用��。
[0060]為了提升網絡側的認證能力����,可以在網絡側設置一個專門用于二次認證的服務器�,本發(fā)明實施例中稱之為二次認證服務器��,基于此�����,用戶在注冊過程中的相關信息可以直接保存至二次認證服務器中�,具體實現時�,上述方法還可以包括:網絡服務器接收用戶的注冊請求,提示用戶是否進行二次認證����;網絡服務器接收到用戶確認進行二次認證的消息后,將用戶注冊的第二用戶終端的信息保存至二次認證服務器�����;相應地����,上述網絡服務器觸發(fā)用戶關聯的第二用戶終端生成并返回一次性密鑰,判斷一次性密鑰是否通過二次認證可以包括如下步驟:
[0061](I)網絡服務器向二次認證服務器發(fā)送對用戶進行二次認證的通知��;
[0062](2) 二次認證服務器接收到通知后�����,向用戶關聯的第二用戶終端發(fā)送二次認證請求消息;
[0063](3) 二次認證服務器接收第二用戶終端返回的一次性密鑰�,對一次性密鑰進行認證,并將認證結果通知網絡服務器�����;
[0064](4)網絡服務器根據認證結果確認用戶是否通過二次認證�。
[0065]參見圖4所示的用戶注冊的方法示意圖,該注冊方法包括以下步驟:
[0066]步驟S402���,用戶初次登錄服務器(即上述網絡服務器�,其可以是云端服務器�,也可以是通信網絡中的服務器);
[0067]步驟S404��,服務器向該用戶返回登錄成功消息����;
[0068]步驟S406,用戶向服務器啟動二次認證注冊流程�;
[0069]步驟S408,服務器通知二次認證服務器該用戶要求登記���;
[0070]步驟S410����,二次認證服務器將生成隨機密鑰發(fā)送給服務器;并等待服務器返回登記信息�;
[0071]步驟S412,服務器生成二維碼��,并將該二維碼發(fā)送給該用戶����,進入等待狀態(tài)���;
[0072]步驟S414��,用戶使用終端設備(如手機)掃描二維碼�,向服務器進行登記����;
[0073]步驟S416,服務器接收到二維碼登記信息后��,向二次認證服務器返回登記信息�;
[0074]步驟S418�,二次認證服務器向服務器返回綁定確認消息�;
[0075]步驟S420,服務器向用戶返回登記確認消息���。
[0076]上述用戶只需要注冊一個api帳戶�����,就可以完成上述登記注冊過程�。
[0077]上述方法是從網絡側描述的用戶認證過程���,參見圖5所示的云計算及互聯網中的用戶二次認證方法的流程圖���,該方法以從用戶側描述為例進行的說明,該方法包括以下步驟:
[0078]步驟S502�,第一用戶終端向網絡側(例如上述網絡服務器)發(fā)送用戶的登錄請求;
[0079]步驟S504���,第一用戶終端接收并顯示網絡側返回的輸入用戶信息和登錄密碼的提示消息��;
[0080]步驟S506����,第一用戶終端接收用戶輸入的用戶信息和登錄密碼,將用戶信息和登錄密碼發(fā)送給網絡側進行認證�����;
[0081]步驟S508�,上述用戶的第二用戶終端接收到來自網絡側(可以是上述網絡服務器,也可以是上述二次認證服務器)的二次認證請求消息后���,判斷該用戶是否同意進行二次認證�����;如果是��,生成一次性密鑰,并將一次性密鑰發(fā)送給網絡側進行認證��;
[0082]當然�����,如果用戶不同意進行二次認證�����,則此用戶認證失敗。
[0083]步驟S510��,第一用戶終端接收到網絡側返回的認證通過消息后�,允許用戶執(zhí)行后續(xù)操作。
[0084]本實施例的方法�,在第一用戶終端通過一次認證通過的基礎上,觸發(fā)第二用戶終端在用戶確認進行二次認證時自動生成一次性密鑰���,并自動將該一次性密鑰發(fā)送給網絡偵牝由網絡側對該一次性密鑰進行認證�,進而實現二次認證����,這兩種認證方式的結合,不需要用戶手工輸入一次性密鑰�����,簡化了用戶的操作�,同時兩種認證方式的有效結合,提升了認證的安全性和可靠性�����,適于推廣應用�。
[0085]為了進一步增加認證的安全性����,上述用戶的第二用戶終端判斷用戶是否同意進行二次認證包括:第二用戶終端提示用戶是否進行二次認證���;當第二用戶終端在指定時間內感應到搖晃自身的頻率和/或幅度達到設定閾值時�����,第二用戶終端確定用戶同意進行二次認證����。
[0086]或者����,用戶的第二用戶終端判斷用戶是否同意進行二次認證包括:第二用戶終端提示用戶是否進行二次認證;當第二用戶終端在指定時間內接收到用戶按壓確認鍵的信號時或者確認用戶按壓屏幕的軌跡與設定軌跡匹配時��,第二用戶終端確定用戶同意進行二次認證�����。
[0087]上述幾種判斷用戶是否同意進行二次認證的方式能夠進一步增強安全性和可操作性����,用戶僅需要一個動作即可觸發(fā)第二用戶終端生成一次性密鑰,并自動將該一次性密鑰發(fā)送給網絡側����,進行二次認證。網絡側也是在二次認證通過時����,向第一用戶終端返回認證通過的消息,這樣即完成了整個用戶認證過程�,之后用戶即可登錄相應的網址。
[0088]由上述方法可知��,用戶登錄時����,先是輸入用戶名/密碼,通過服務器進行傳統的網絡基本認證�;在此之后,還需要一個來自用戶預先關聯設備如手機的確認動作���,然后才能打開用戶界面或進行下一步操作���。本發(fā)明是通過將傳統的RFC 2617 BASIC和RFC 6238 TOTP相結合進行二次認證的一種方法,且二次認證部分通常是用戶擁有的,比如手機上生成的30秒變化一次的一次性令牌�����,達到控制用戶對在云計算中自身資源的授權訪問�,并充分利用了手機等智能終端的推送功能,可以實現用戶不需要逐字輸入通常6位一次性密碼�,用戶可以通過實施一個手勢,比如搖晃一下手機完成確認動作����,通過二者的結合,保證了用戶在云計算中的用戶身份安全�。
[0089]參見圖6所示的云計算及互聯網中的用戶二次認證方法的流程圖,該方法以從用戶側和網絡側描述為例進行的說明����,該方法包括以下步驟:
[0090]步驟S601,用戶登錄��,輸入登錄信息��;具體地�,用戶提交用戶名和密碼,或其它的數字特征�,到服務器(即上述網絡服務器)認證。
[0091]步驟S602�����,服務器對上述信息進行認證�,判斷是否正確?如果是�����,執(zhí)行步驟S603����,否則,執(zhí)行步驟S613;
[0092]步驟S603�����,服務器查看該用戶是否要求使用二次認證���,如果是����,向其在服務器上提前登記的設備發(fā)送確認請求消息�;并自動進入步驟S608���,等候狀態(tài)。
[0093]步驟S604��,手機接收來自服務器的確認請求�。
[0094]步驟S605,判斷用戶是否同意�����,如果是���,進入下一步606�����。如果否����,進入步驟S615�����,即登錄失?�。?br>
[0095]步驟S606�,用戶搖晃手機確認,用戶米用搖晃一下手機這種手勢��,手機應用會自動生成一個用戶獨有的6位30秒有效的一次性密碼��,并進入步驟S607�����。
[0096]步驟S607���,手機應用通過已經登錄到手機的用戶身份,向服務器發(fā)送上述一次性密碼�����,確認回調���。
[0097]步驟S608�,處于等待狀態(tài)的服務器在指定時間內接收上述一次性密碼��。
[0098]步驟S609���,在定時器的指定時間內發(fā)現收到上述一次性密碼�,則執(zhí)行步驟S610,否則執(zhí)行步驟S614��,即用戶選擇放棄還是重試���;
[0099]步驟S610��,驗證收到的一次性密碼��。其中為了防止服務器和手機時間的不同步��,及傳遞過程的延誤�,允許前后2分鐘的偏差����。
[0100]步驟S611,驗證是否通過���?如果是�,執(zhí)行步驟S612 ;如果否���,執(zhí)行步驟S615�。
[0101]步驟S612, 二次認證通過,用戶認證成功。
[0102]步驟S613�����,判斷驗證登錄信息失敗的次數是否超過3次��,如果是��,執(zhí)行步驟S615 �;否則返回步驟S601����。
[0103]步驟S614,用戶選擇放棄還是重試�����,如果是放棄���,執(zhí)行步驟S615 ;否則返回步驟S603�����。
[0104]步驟S615�,用戶認證失敗。
[0105]上述方法中����,用戶登錄,輸入正確的用戶名/密碼后����,還會向用戶手機發(fā)一個二次認證,用戶通過搖晃等手勢確認后�����,才能登錄進入到下一步操作�����。該二次認證方法可以應用在云計算中的SAAS應用等中����。
[0106]參見圖7所示的云計算及互聯網中的用戶二次認證方法的示意圖,該方法以從用戶側和網絡側描述為例進行的說明����,該方法包括以下步驟:
[0107]步驟S702,用戶使用客戶端;
[0108]步驟S704��,客戶端向服務器(即上述網絡服務器)發(fā)送用戶的訪問服務���;
[0109]步驟S706����,服務器通知客戶端需要認證(401認證)���;
[0110]步驟S708��,客戶端向服務器返回用戶輸入的用戶名/ 口令�����;
[0111]步驟S710,服務器通知二次認證服務器���,一次驗證成功�����;
[0112]步驟S712�,二次認證服務器向用戶登記的手機發(fā)出確認請求�����;用戶收到請求后,可以決定拒絕或是接受���;如果接受���,執(zhí)行步驟S714 ;
[0113]步驟S714�����,用戶搖晃手機���,向二次認證服務器發(fā)出30秒有效的一次性確認��;
[0114]手機在捕捉到搖晃這個信號后��,自動調用RFC 6238�����,生成一次性密鑰���,進行30秒有效的一次性確認�;
[0115]步驟S716���,二次認證服務器認證通過后��,通知服務器收到確認��;
[0116]步驟S718��,服務器向客戶端返回驗證成功�,執(zhí)行登錄后功能����;
[0117]步驟S720,用戶繼續(xù)使用客戶端����。
[0118]本實施例中引入了一個二次認證服務器以保證用戶設備登記����,帳戶關聯等一系列的需求。
[0119]為了節(jié)省網絡帶寬����,確保將來支持多用戶并發(fā)的需求��。服務器可以使用Push(推送)的方式�����,當服務器端有新信息了��,則把最新的信息Push到客戶端上�。這樣����,客戶端就能自動的接收到消息。
[0120]在iphone上�����,推送功能的工作機制可以簡單的概括為應用服務器將攜帶簽名的推送消息發(fā)送給APNS消息服務器��;APNS消息服務器再將推送消息發(fā)送給手機���;手機再將推送消息發(fā)送給客戶端應用�����。
[0121]對應于上述方法��,本發(fā)明實施例還提供了一種云計算及互聯網中的用戶二次認證裝置��,該裝置設置與網絡側的服務器上�,參見圖8,該裝置包括以下模塊:
[0122]第一認證提示模塊82�����,用于接收到第一用戶終端發(fā)送的登錄請求后����,提示用戶輸入用戶信息和登錄密碼;
[0123]第一認證模塊84�,用于接收用戶信息和登錄密碼,對用戶信息和登錄密碼進行一次認證����;
[0124]第二認證模塊86,用于在一次認證通過后�,觸發(fā)用戶關聯的第二用戶終端生成并返回一次性密鑰�,判斷一次性密鑰是否通過二次認證;
[0125]登錄處理模塊88�,用于當第二認證模塊86的認證結果為是時�,允許用戶執(zhí)行后續(xù)操作����。
[0126]本實施例的裝置通過在對用戶進行一次認證通過的基礎上,觸發(fā)用戶的終端設備自動生成一次性密鑰���,并自動將該一次性密鑰發(fā)送給網絡側���,由網絡側對該一次性密鑰進行認證,進而實現二次認證��,這兩種認證方式的結合�����,不需要用戶輸入一次性密鑰�,簡化了用戶的操作,同時兩種認證方式的有效結合���,提升了認證的安全性和可靠性���,適于推廣應用。
[0127]對應于上述方法和裝置�,本發(fā)明實施例還提供了一種云計算及互聯網中的用戶二次認證系統�,包括設置于網絡側的網絡服務器�、設置于用戶側的第一用戶終端和第二用戶終端;其中:網絡服務器包括圖8所示的裝置���;
[0128]第一用戶終端包括:登錄請求發(fā)送模塊�,用于向網絡側發(fā)送用戶的登錄請求�����;提示信息接收模塊�����,用于接收并顯示網絡側返回的輸入用戶信息和登錄密碼的提示消息��;第一認證信息接收與發(fā)送模塊��,用于接收用戶輸入的用戶信息和登錄密碼���,將用戶信息和登錄密碼發(fā)送給網絡側進行認證���;操作模塊,用于接收到網絡側返回的認證通過消息后����,允許用戶執(zhí)行后續(xù)操作;
[0129]第二用戶終端包括:二次認證判斷模塊���,用于接收到來自網絡側的二次認證請求消息后���,判斷用戶是否同意進行二次認證;二次認證模塊���,用于在二次認證判斷模塊的判斷結果為是時���,生成一次性密鑰,并將一次性密鑰發(fā)送給網絡側進行認證�。
[0130]進一步地,上述系統還包括二次認證服務器����;相應地,網絡服務器還包括:二次認證提示模塊�,用于接收用戶的注冊請求,提示用戶是否進行二次認證�;注冊信息保存模塊,用于接收到用戶確認進行二次認證的消息后��,將用戶注冊的第二用戶終端的信息保存至二次認證服務器;
[0131]相應地�����,上述第二認證模塊包括:二次認證通知單元�,用于在一次認證通過后,向二次認證服務器發(fā)送對用戶進行二次認證的通知��;二次認證確認單元���,用于根據二次認證服務器返回的認證結果確認用戶是否通過二次認證���;
[0132]上述二次認證服務器包括:二次認證請求消息發(fā)送模塊,用于接收到網絡服務器發(fā)送的二次認證通知后�,向用戶關聯的第二用戶終端發(fā)送二次認證請求消息;一次性密鑰認證模塊����,用于接收第二用戶終端返回的一次性密鑰,對一次性密鑰進行認證�,并將認證結果通知網絡服務器。
[0133]優(yōu)選地��,上述二次認證判斷模塊包括:認證提示單元,用于提示用戶是否進行二次認證�;二次認證確定單元,用于當第二用戶終端在指定時間內確認有以下事件之一發(fā)生時����,確定用戶同意進行二次認證:(I)感應到用戶搖晃自身的頻率和/或幅度達到設定閾值�����;
(2)接收到用戶按壓確認鍵的信號�����;(3)確認用戶按壓屏幕的軌跡與設定軌跡匹配�����。
[0134]上述第一用戶終端與第二用戶終端為同一設備��。
[0135]本發(fā)明以上實施例提供的認證機制可以在云計算及互聯網中的身份安全中進行應用���,具體實現時��,可以通過用戶個人手機或穿戴設備來進行二次認證����。主要基于傳統的用戶名/密碼認證(basic);及在此基礎上增加一種一次性令牌認證(TOTP)的二次認證技術,因為采用了來自個人設備如手機等的確認過程����,從而保證用戶在云計算及互聯網中的身份更為安全,解決了相關認證機制的不安全和不便捷的問題����,適于推廣應用。
[0136]顯然�,本領域的技術人員應該明白,上述的本發(fā)明的各模塊或各步驟可以用通用的計算裝置來實現����,它們可以集中在單個的計算裝置上,或者分布在多個計算裝置所組成的網絡上����,可選地,它們可以用計算裝置可執(zhí)行的程序代碼來實現����,從而,可以將它們存儲在存儲裝置中由計算裝置來執(zhí)行�����,或者將它們分別制作成各個集成電路模塊,或者將它們中的多個模塊或步驟制作成單個集成電路模塊來實現��。這樣���,本發(fā)明不限制于任何特定的硬件和軟件結合�����。
[0137]以上所述僅為本發(fā)明的優(yōu)選實施例而已,并不用于限制本發(fā)明�����,對于本領域的技術人員來說�����,本發(fā)明可以有各種更改和變化����。凡在本發(fā)明的精神和原則之內,所作的任何修改�、等同替換、改進等,均應包含在本發(fā)明的保護范圍之內�����。
【權利要求】
1.一種云計算及互聯網中的用戶二次認證方法�����,其特征在于�����,包括: 網絡服務器接收到第一用戶終端發(fā)送的登錄請求后���,提示用戶輸入用戶信息和登錄密碼�; 所述網絡服務器接收所述用戶信息和登錄密碼���,對所述用戶信息和登錄密碼進行一次認證���; 所述一次認證通過后,所述網絡服務器觸發(fā)所述用戶關聯的第二用戶終端生成并返回一次性密鑰�����,判斷所述一次性密鑰是否通過二次認證,如果是��,允許所述用戶執(zhí)行后續(xù)操作���。
2.根據權利要求1所述的方法����,其特征在于���,所述方法還包括:網絡服務器接收用戶的注冊請求�����,提示所述用戶是否進行二次認證;所述網絡服務器接收到所述用戶確認進行二次認證的消息后�����,將所述用戶注冊的第二用戶終端的信息保存至二次認證服務器��; 所述網絡服務器觸發(fā)所述用戶關聯的第二用戶終端生成并返回一次性密鑰����,判斷所述一次性密鑰是否通過二次認證包括:所述網絡服務器向所述二次認證服務器發(fā)送對所述用戶進行二次認證的通知�;所述二次認證服務器接收到所述通知后�����,向所述用戶關聯的第二用戶終端發(fā)送二次認證請求消息��;所述二次認證服務器接收所述第二用戶終端返回的一次性密鑰�,對所述一次性密鑰進行認證,并將認證結果通知所述網絡服務器�����;所述網絡服務器根據所述認證結果確認所述用戶是否通過二次認證����。
3.—種云計算及互聯網中的用戶二次認證方法,其特征在于��,包括: 第一用戶終端向網絡側發(fā)送用戶的登錄請求���; 所述第一用戶終端接收并顯示所述網絡側返回的輸入用戶信息和登錄密碼的提示消息����; 所述第一用戶終端接收所述用戶輸入的用戶信息和登錄密碼�,將所述用戶信息和登錄密碼發(fā)送給所述網絡側進行認證��; 所述用戶的第二用戶終端接收到來自所述網絡側的二次認證請求消息后��,判斷所述用戶是否同意進行二次認證����;如果是���,生成一次性密鑰�����,并將所述一次性密鑰發(fā)送給所述網絡側進行認證�����; 所述第一用戶終端接收到所述網絡側返回的認證通過消息后��,允許用戶執(zhí)行后續(xù)操作。
4.根據權利要求3所述的方法��,其特征在于�����,所述用戶的第二用戶終端判斷所述用戶是否同意進行二次認證包括: 所述第二用戶終端提示所述用戶是否進行二次認證; 當所述第二用戶終端在指定時間內感應到搖晃自身的頻率和/或幅度達到設定閾值時���,所述第二用戶終端確定所述用戶同意進行二次認證��。
5.根據權利要求3所述的方法�,其特征在于�����,所述用戶的第二用戶終端判斷所述用戶是否同意進行二次認證包括: 所述第二用戶終端提示所述用戶是否進行二次認證���; 當所述第二用戶終端在指定時間內接收到所述用戶按壓確認鍵的信號時或者確認所述用戶按壓屏幕的軌跡與設定軌跡匹配時�����,所述第二用戶終端確定所述用戶同意進行二次認證�。
6.一種云計算及互聯網中的用戶二次認證裝置��,其特征在于��,包括: 第一認證提示模塊����,用于接收到第一用戶終端發(fā)送的登錄請求后����,提示用戶輸入用戶信息和登錄密碼�; 第一認證模塊,用于接收所述用戶信息和登錄密碼���,對所述用戶信息和登錄密碼進行一次認證�����; 第二認證模塊�,用于在所述一次認證通過后�����,觸發(fā)所述用戶關聯的第二用戶終端生成并返回一次性密鑰��,判斷所述一次性密鑰是否通過二次認證�; 登錄處理模塊,用于當所述第二認證模塊的認證結果為是時�����,允許所述用戶執(zhí)行后續(xù)操作�。
7.一種云計算及互聯網中的用戶二次認證系統,其特征在于�����,包括設置于網絡側的網絡服務器����、設置于用戶側的第一用戶終端和第二用戶終端;其中: 所述網絡服務器包括權利要求6所述的裝置��; 所述第一用戶終端包括:登錄請求發(fā)送模塊���,用于向網絡側發(fā)送用戶的登錄請求�����;提示信息接收模塊�,用于接收并顯示所述網絡側返回的輸入用戶信息和登錄密碼的提示消息�����;第一認證信息接收與發(fā)送模塊����,用于接收所述用戶輸入的用戶信息和登錄密碼�,將所述用戶信息和登錄密碼發(fā)送給所述網絡側進行認證���;操作模塊��,用于接收到所述網絡側返回的認證通過消息后�,允許所述用戶執(zhí)行后續(xù)操作���; 所述第二用戶終端包括:二次認證判斷模塊�����,用于接收到來自所述網絡側的二次認證請求消息后��,判斷所述用戶是否同意進行二次認證�;二次認證模塊��,用于在所述二次認證判斷模塊的判斷結果為是時��,生成一次性密鑰���,并將所述一次性密鑰發(fā)送給所述網絡側進行認證�����。
8.根據權利要求7所述的系統���,其特征在于,所述系統還包括二次認證服務器��; 所述網絡服務器還包括:二次認證提示模塊����,用于接收用戶的注冊請求,提示所述用戶是否進行二次認證�����;注冊信息保存模塊����,用于接收到所述用戶確認進行二次認證的消息后,將所述用戶注冊的第二用戶終端的信息保存至所述二次認證服務器���; 所述第二認證模塊包括:二次認證通知單元�����,用于在所述一次認證通過后�����,向所述二次認證服務器發(fā)送對所述用戶進行二次認證的通知��;二次認證確認單元���,用于根據所述二次認證服務器返回的認證結果確認所述用戶是否通過二次認證��; 所述二次認證服務器包括:二次認證請求消息發(fā)送模塊���,用于接收到所述網絡服務器發(fā)送的二次認證通知后,向所述用戶關聯的第二用戶終端發(fā)送二次認證請求消息�;一次性密鑰認證模塊,用于接收所述第二用戶終端返回的一次性密鑰�,對所述一次性密鑰進行認證,并將認證結果通知所述網絡服務器�����。
9.根據權利要求7所述的系統���,其特征在于����,所述二次認證判斷模塊包括: 認證提示單元,用于提示所述用戶是否進行二次認證���; 二次認證確定單元����,用于當所述第二用戶終端在指定時間內確認有以下事件之一發(fā)生時�����,確定所述用戶同意進行二次認證:(I)感應到所述用戶搖晃自身的頻率和/或幅度達到設定閾值��;(2)接收到所述用戶按壓確認鍵的信號�;(3)確認所述用戶按壓屏幕的軌跡與設定軌跡匹配��。
10.根據權利要求7所述的系統�,其特征在于,所述第一用戶終端與所述第二用戶終端為同一設備�����。
【文檔編號】H04L29/08GK104168329SQ201410431588
【公開日】2014年11月26日 申請日期:2014年8月28日 優(yōu)先權日:2014年8月28日
【發(fā)明者】尚春明, 尚紅林, 尚書 申請人:尚春明