本發(fā)明涉及賬戶的安全認(rèn)證和管理��,特別是一種支持多系統(tǒng)的統(tǒng)一身份安全認(rèn)證方法。
背景技術(shù):
當(dāng)前各類網(wǎng)站平臺���、各類系統(tǒng)繁多��,對系統(tǒng)用戶認(rèn)證的方式方法也各不相同,但當(dāng)前主流的系統(tǒng)賬戶認(rèn)證方式大多是靠單一的用戶名���、口令(密碼)進(jìn)行系統(tǒng)登錄���,這會導(dǎo)致密碼失竊或被破解后,無法在信息傳輸前確認(rèn)用戶身份���,存在一定的風(fēng)險和安全隱患���。
同時,存在關(guān)聯(lián)關(guān)系的各系統(tǒng)之間��,大多系統(tǒng)都往往各自為政���,缺乏多系統(tǒng)�、多賬戶之間的統(tǒng)一的用戶身份認(rèn)證功能����,導(dǎo)致各系統(tǒng)之前的安全認(rèn)證體系和等級各不相同�,管理比較雜亂�,采用多種身份認(rèn)證也往往導(dǎo)致資源重復(fù)浪費(fèi)。
另外���,也存在一些使用手機(jī)令牌身份認(rèn)證的系統(tǒng)��,這種認(rèn)證方式也存在被黑客拷屏而導(dǎo)致令牌被偽造的風(fēng)險和漏洞��。
技術(shù)實(shí)現(xiàn)要素:
本發(fā)明的主要目的在于克服現(xiàn)有技術(shù)的不足���,提供一種支持多系統(tǒng)的安全可靠的統(tǒng)一身份安全認(rèn)證方法。
為實(shí)現(xiàn)上述目的���,本發(fā)明采用以下技術(shù)方案:
一種支持多系統(tǒng)的統(tǒng)一身份安全認(rèn)證方法���,包括以下步驟:
S1、用戶手機(jī)向系統(tǒng)方服務(wù)器發(fā)起以手機(jī)號為唯一識別標(biāo)志的授權(quán)請求�����;
S2���、所述系統(tǒng)方服務(wù)器向所述用戶手機(jī)發(fā)送訪問許可安全鏈接����;
S3、所述用戶手機(jī)訪問所述訪問許可安全鏈接后����,所述系統(tǒng)方服務(wù)器獲得所述用戶手機(jī)的MAC地址;
S4��、所述系統(tǒng)方服務(wù)器向認(rèn)證服務(wù)器提交用戶信息��,產(chǎn)生用戶名和密碼����,記錄所述用戶手機(jī)的MAC地址���,配置用戶的手機(jī)OTP令牌�,并將所述手機(jī)OTP令牌發(fā)送到所述用戶手機(jī)���;
S5���、所述用戶手機(jī)向所述認(rèn)證服務(wù)器提交包含所述用戶名和密碼的私有證書以及所述手機(jī)OTP令牌�����,來向所述認(rèn)證服務(wù)器請求訪問令牌�;
S6���、所述認(rèn)證服務(wù)器驗(yàn)證所述私有證書和所述手機(jī)OTP令牌的有效性�,并驗(yàn)證請求訪問令牌的用戶手機(jī)的MAC地址是否和步驟S3中記錄的用戶手機(jī)的MAC地址吻合��;
如果驗(yàn)證成功�����,進(jìn)入步驟S7�����;如驗(yàn)證失敗��,則需要返回步驟S5重新提交所述私有證書和所述手機(jī)OTP令牌���;
S7�、所述認(rèn)證服務(wù)器向所述用戶手機(jī)發(fā)送所述訪問令牌�;
S8��、所述用戶手機(jī)向所述系統(tǒng)方服務(wù)器提交所述訪問令牌�,并向所述系統(tǒng)方服務(wù)器請求訪問受保護(hù)資源信息��;
S9���、所述系統(tǒng)方服務(wù)器對所述訪問令牌做出響應(yīng)和確認(rèn)����,從而允許所述用戶手機(jī)訪問所述受保護(hù)資源信息�����。
進(jìn)一步地:
所述訪問令牌為無狀態(tài)訪問令牌�。
所述訪問令牌至少包括訪問許可的作用域和有效時間信息�����。
步驟S6中��,如驗(yàn)證失敗���,所述認(rèn)證服務(wù)器向所述用戶手機(jī)提示驗(yàn)證失敗�����。
通過開放的接口��,多個不同應(yīng)用的系統(tǒng)方服務(wù)器共用一個所述認(rèn)證服務(wù)器��,實(shí)現(xiàn)集成多個應(yīng)用系統(tǒng)的統(tǒng)一認(rèn)證�����。
一種支持多系統(tǒng)的統(tǒng)一身份安全認(rèn)證方法�����,包括以下步驟:
S1�、系統(tǒng)方服務(wù)器收到用戶手機(jī)發(fā)起的以手機(jī)號為唯一識別標(biāo)志的授權(quán)請求后,向所述用戶手機(jī)發(fā)送訪問許可安全鏈接����;
S2、所述系統(tǒng)方服務(wù)器獲得訪問所述訪問許可安全鏈接的所述用戶手機(jī)的MAC地址�;
S3、所述系統(tǒng)方服務(wù)器向認(rèn)證服務(wù)器提交用戶信息�,產(chǎn)生用戶名和密碼,記錄所述用戶手機(jī)的MAC地址�,配置用戶的手機(jī)OTP令牌�����,并將所述手機(jī)OTP令牌發(fā)送到所述用戶手機(jī)�����;
S4��、所述認(rèn)證服務(wù)器收到所述用戶手機(jī)提交的包含所述用戶名和密碼的私有證書以及所述手機(jī)OTP令牌后����,驗(yàn)證所述私有證書和所述手機(jī)OTP令牌的有效性����,并驗(yàn)證請求訪問令牌的用戶手機(jī)的MAC地址是否和步驟S3中記錄的用戶手機(jī)的MAC地址吻合;
如果驗(yàn)證成功��,進(jìn)入步驟S5��;如驗(yàn)證失敗����,則需要重新提交和驗(yàn)證�����;
S5、所述認(rèn)證服務(wù)器向所述用戶手機(jī)發(fā)送所述訪問令牌�����;
S6���、所述系統(tǒng)方服務(wù)器收到所述用戶手機(jī)提交的所述訪問令牌以及對受保護(hù)資源信息的訪問請求時�,對所述訪問令牌做出響應(yīng)和確認(rèn)�����,以允許所述用戶手機(jī)訪問所述受保護(hù)資源信息�。
進(jìn)一步地:
所述訪問令牌為無狀態(tài)訪問令牌。
所述訪問令牌至少包括訪問許可的作用域和有效時間信息��。
步驟S4中�,如驗(yàn)證失敗,所述認(rèn)證服務(wù)器向所述用戶手機(jī)提示驗(yàn)證失敗��。
通過開放的接口��,多個不同應(yīng)用的系統(tǒng)方服務(wù)器共用一個所述認(rèn)證服務(wù)器,實(shí)現(xiàn)集成多個應(yīng)用系統(tǒng)的統(tǒng)一認(rèn)證�。
本發(fā)明的有益效果:
本發(fā)明提供了一種支持多系統(tǒng)的統(tǒng)一身份安全認(rèn)證方法,該方法通過訪問令牌�����、手機(jī)OTP令牌��、MAC地址等多種驗(yàn)證途徑����,進(jìn)行多流程環(huán)節(jié)的安全認(rèn)證控制,確保身份認(rèn)證過程的萬無一失����,也確保了系統(tǒng)的賬戶體系和信息安全。進(jìn)一步地�����,基于本發(fā)明的認(rèn)證方法����,可以通過技術(shù)接口和平臺��,支持多系統(tǒng)的同時部署應(yīng)用,提升系統(tǒng)安全認(rèn)證的同時����,也對系統(tǒng)賬戶進(jìn)行了統(tǒng)一管理和規(guī)范,提升管理效率��,避免資源浪費(fèi)�����。
本發(fā)明為各類系統(tǒng)�、網(wǎng)站,尤其是涉及交易��、支付�����、結(jié)算的電商類平臺��,提供了一套安全可靠���,操作使用便捷�,可支持多個應(yīng)用系統(tǒng)的���、統(tǒng)一的身份認(rèn)證方法���,這對系統(tǒng)賬戶安全�、賬戶會員體系建設(shè)管理都有非常實(shí)際的意義和價值�����。
附圖說明
圖1為本發(fā)明支持多系統(tǒng)的統(tǒng)一身份安全認(rèn)證方法一種實(shí)施例的流程圖�����。
具體實(shí)施方式
以下對本發(fā)明的實(shí)施方式作詳細(xì)說明����。應(yīng)該強(qiáng)調(diào)的是,下述說明僅僅是示例性的�,而不是為了限制本發(fā)明的范圍及其應(yīng)用。
參閱圖1����,在一種實(shí)施例中,一種支持多系統(tǒng)的統(tǒng)一身份安全認(rèn)證方法����,包括以下步驟:
S1�����、用戶手機(jī)向系統(tǒng)方服務(wù)器發(fā)起以手機(jī)號為唯一識別標(biāo)志的授權(quán)請求;
S2��、所述系統(tǒng)方服務(wù)器向所述用戶手機(jī)發(fā)送訪問許可安全鏈接���;
S3��、所述用戶手機(jī)訪問所述訪問許可安全鏈接后�,所述系統(tǒng)方服務(wù)器獲得所述用戶手機(jī)的MAC地址���;
S4�����、所述系統(tǒng)方服務(wù)器向認(rèn)證服務(wù)器提交用戶信息��,產(chǎn)生用戶名和密碼���,記錄所述用戶手機(jī)的MAC地址,配置用戶的手機(jī)OTP令牌�,并將所述手機(jī)OTP令牌發(fā)送到所述用戶手機(jī)�;
S5��、所述用戶手機(jī)向所述認(rèn)證服務(wù)器提交包含所述用戶名和密碼的私有證書以及所述手機(jī)OTP令牌�����,來向所述認(rèn)證服務(wù)器請求訪問令牌��;
S6�����、所述認(rèn)證服務(wù)器驗(yàn)證所述私有證書和所述手機(jī)OTP令牌的有效性�,并驗(yàn)證請求訪問令牌的用戶手機(jī)的MAC地址是否和步驟S3中記錄的用戶手機(jī)的MAC地址吻合;
如果驗(yàn)證成功���,進(jìn)入步驟S7���;如驗(yàn)證失敗,則需要返回步驟S5重新提交所述私有證書以及所述手機(jī)OTP令牌�����;
S7��、所述認(rèn)證服務(wù)器向所述用戶手機(jī)發(fā)送所述訪問令牌;
S8����、所述用戶手機(jī)向所述系統(tǒng)方服務(wù)器提交所述訪問令牌,并向所述系統(tǒng)方服務(wù)器請求訪問受保護(hù)資源信息���;
S9、所述系統(tǒng)方服務(wù)器對所述訪問令牌做出響應(yīng)和確認(rèn)���,從而允許所述用戶手機(jī)訪問所述受保護(hù)資源信息�����。
所述訪問令牌可以為無狀態(tài)訪問令牌����。
在優(yōu)選的實(shí)施例中�����,所述訪問令牌至少包括訪問許可的作用域和有效時間信息�����。
在優(yōu)選的實(shí)施例中,步驟S6中��,如驗(yàn)證失敗���,所述認(rèn)證服務(wù)器向所述用戶手機(jī)提示驗(yàn)證失敗��。
在優(yōu)選的實(shí)施例中�����,通過開放的接口����,多個不同應(yīng)用的系統(tǒng)方服務(wù)器共用一個所述認(rèn)證服務(wù)器�,實(shí)現(xiàn)集成多個應(yīng)用系統(tǒng)的統(tǒng)一認(rèn)證。
在另一種實(shí)施例中���,一種支持多系統(tǒng)的統(tǒng)一身份安全認(rèn)證方法��,包括以下步驟:
S1����、系統(tǒng)方服務(wù)器收到用戶手機(jī)發(fā)起的以手機(jī)號為唯一識別標(biāo)志的授權(quán)請求后���,向所述用戶手機(jī)發(fā)送訪問許可安全鏈接�����;
S2����、所述系統(tǒng)方服務(wù)器獲得訪問所述訪問許可安全鏈接的所述用戶手機(jī)的MAC地址;
S3����、所述系統(tǒng)方服務(wù)器向認(rèn)證服務(wù)器提交用戶信息��,產(chǎn)生用戶名和密碼���,記錄所述用戶手機(jī)的MAC地址�����,配置用戶的手機(jī)OTP令牌����,并將所述手機(jī)OTP令牌發(fā)送到所述用戶手機(jī)����;
S4�、所述認(rèn)證服務(wù)器收到所述用戶手機(jī)提交的包含所述用戶名和密碼的私有證書以及所述手機(jī)OTP令牌后�,驗(yàn)證所述私有證書和所述手機(jī)OTP令牌的有效性,并驗(yàn)證請求訪問令牌的用戶手機(jī)的MAC地址是否和步驟S3中記錄的用戶手機(jī)的MAC地址吻合�����;
如果驗(yàn)證成功���,進(jìn)入步驟S5���;如驗(yàn)證失敗,則需要重新提交和驗(yàn)證上述信息����;
S5、所述認(rèn)證服務(wù)器向所述用戶手機(jī)發(fā)送所述訪問令牌����;
S6、所述系統(tǒng)方服務(wù)器收到所述用戶手機(jī)提交的所述訪問令牌以及對受保護(hù)資源信息的訪問請求時��,對所述訪問令牌做出響應(yīng)和確認(rèn),以允許所述用戶手機(jī)訪問所述受保護(hù)資源信息��。
所述訪問令牌可以為無狀態(tài)訪問令牌���。
在優(yōu)選的實(shí)施例中��,所述訪問令牌至少包括訪問許可的作用域和有效時間信息�����。
在優(yōu)選的實(shí)施例中���,步驟S4中,如驗(yàn)證失敗���,所述認(rèn)證服務(wù)器向所述用戶手機(jī)提示驗(yàn)證失敗。
在優(yōu)選的實(shí)施例中�����,通過開放的接口�,多個不同應(yīng)用的系統(tǒng)方服務(wù)器共用一個所述認(rèn)證服務(wù)器,實(shí)現(xiàn)集成多個應(yīng)用系統(tǒng)的統(tǒng)一認(rèn)證�����。
以下結(jié)合附圖進(jìn)一步描述本發(fā)明具體實(shí)施例及其優(yōu)點(diǎn)。
本發(fā)明的實(shí)施例提供了一種整合多種安全認(rèn)證方式��、支持多系統(tǒng)的統(tǒng)一認(rèn)證方法����,可以利用無狀態(tài)訪問令牌,并結(jié)合手機(jī)OTP令牌����、綁定手機(jī)MAC地址,從而實(shí)現(xiàn)集成多個應(yīng)用系統(tǒng)統(tǒng)一認(rèn)證登錄的強(qiáng)安全認(rèn)證��。本發(fā)明的具體實(shí)施例可基于OAuth2.0協(xié)議實(shí)現(xiàn)��。
本發(fā)明一個典型的具體實(shí)施例包括如下步驟:
步驟一:
系統(tǒng)用戶或調(diào)用接口的第三方用戶通過用戶手機(jī)向系統(tǒng)方發(fā)起以手機(jī)號為唯一識別標(biāo)志的請求授權(quán)���。
步驟二:
系統(tǒng)方給用戶手機(jī)發(fā)送一個訪問許可安全鏈接�。
步驟三:
用戶訪問此安全鏈接后�,系統(tǒng)方獲得用戶手機(jī)的MAC地址。
步驟四:
系統(tǒng)方向認(rèn)證服務(wù)器提交客戶信息��,并為用戶授權(quán)��,產(chǎn)生用戶名和密碼、記錄用戶手機(jī)MAC地址�、配置用戶手機(jī)OTP令牌,并通知用戶����。
步驟五:
用戶出示自己的私有證書(用戶名和密碼)和手機(jī)OTP令牌,來向認(rèn)證服務(wù)器請求一個訪問令牌���;
步驟六:
認(rèn)證服務(wù)器驗(yàn)證用戶的私有證書和手機(jī)OTP令牌的有效性����,同時驗(yàn)證用戶手機(jī)MAC地址是否和數(shù)據(jù)庫中保存的用戶MAC地址吻合��。如果驗(yàn)證有效�,進(jìn)入步驟七;如驗(yàn)證失敗���,則返回步驟五��,要求用戶重新提交。
步驟七:
向客戶端發(fā)送一個訪問令牌�����,訪問令牌包括許可的作用域、有效時間和一些其他屬性信息��。
步驟八:
用戶出示訪問令牌向系統(tǒng)方服務(wù)器請求受保護(hù)資源信息��;
步驟九:
系統(tǒng)方服務(wù)器對訪問令牌做出響應(yīng)和確認(rèn)�,允許用戶訪問受保護(hù)資源信息。
以上步驟完成一套完整的系統(tǒng)安全身份認(rèn)證流程�。該方案可以通過開放的接口,同時應(yīng)用部署于多個系統(tǒng)���,來實(shí)現(xiàn)多系統(tǒng)的統(tǒng)一認(rèn)證管理��。
通過無狀態(tài)訪問令牌�、手機(jī)OTP令牌��、MAC地址等多種驗(yàn)證途徑����,按上述控制流程,經(jīng)驗(yàn)證�,本安全認(rèn)證方法支持部署在多個系統(tǒng),實(shí)現(xiàn)系統(tǒng)認(rèn)證統(tǒng)一管理��。
本發(fā)明對于加強(qiáng)系統(tǒng)賬戶的安全認(rèn)證和管理�����,特別是對資金賬戶信息、安全管理要求比較高的交易性平臺�、支付結(jié)算平臺、電商網(wǎng)站�����、財(cái)務(wù)系統(tǒng)等賬戶身份認(rèn)證領(lǐng)域具有直接的應(yīng)用價值����。
以上內(nèi)容是結(jié)合具體/優(yōu)選的實(shí)施方式對本發(fā)明所作的進(jìn)一步詳細(xì)說明,不能認(rèn)定本發(fā)明的具體實(shí)施只局限于這些說明�����。對于本發(fā)明所屬技術(shù)領(lǐng)域的普通技術(shù)人員來說�,在不脫離本發(fā)明構(gòu)思的前提下,其還可以對這些已描述的實(shí)施方式做出若干替代或變型���,而這些替代或變型方式都應(yīng)當(dāng)視為屬于本發(fā)明的保護(hù)范圍�。