身份认证方法、装置和系统制造方法及图纸

本发明专利技术公开了一种身份认证方法、装置和系统。其中，该系统包括：前端设备，用于发送登录请求，其中，登录请求包括：使用前端设备的当前账户的账户信息；认证系统，与前端设备网络连接，用于接收前端设备发出的登录请求，根据账户信息确定与前端设备关联的确认设备，并根据账户信息生成认证请求，其中，认证请求包括账户信息；确认设备，与认证系统网络连接，用于接收认证请求，并将根据认证请求而生成的确认信息返回至认证系统；其中，在认证系统将确认信息反馈给前端设备的情况下，确定当前账户为合法账户。本发明专利技术解决了现有技术中的身份认证方法安全风险高，同时用户体验差的技术问题。

Identity authentication methods, devices, and systems

The invention discloses an identity authentication method, device and system. Among them, the system includes: front-end equipment, used to send the login request, the login request includes: current account using the account information of the front-end equipment; authentication system, connected with the front-end equipment for a network, receiving front-end equipment is determined according to the login request, confirm the equipment associated with the front-end equipment and according to the account information, account information to generate the authentication request, the authentication request including account information; confirm the equipment connected with the network authentication system, for receiving the authentication request, and will return to confirm the information according to the authentication request generated to the certification system; among them, the authentication system will confirm the feedback information to the front-end equipment, determine the current account for the legitimate account. The invention solves the technical problems of high security risk and poor user experience in the existing technology of identity authentication.

【技术实现步骤摘要】
身份认证方法、装置和系统
本专利技术涉及互联网安全领域，具体而言，涉及一种身份认证方法、装置和系统。
技术介绍
双因素是密码学的一个概念，从理论上来说，身份认证有三个要素，第一个要素是需要使用者记忆的身份认证内容，例如密码和身份证号码等；第二个要素是使用者拥有的特殊认证加强机制，例如动态密码卡，IC卡，磁卡等；第三个要素是使用者本身拥有的唯一特征，例如指纹、瞳孔、声音等。每个要素单独存在时，都有其脆弱性，而将两种要素结合起来，实现双重要素认证，即双因素认证，可以有效提高系统方位控制的安全性。目前，双因素在远程SSH(安全外壳协议，SecureShell的缩写)主机登录上已经广为使用，主要有以下几种方式：a)密码+令牌code登录；b)公钥登录；c)USB卡登录。但是，通过密码+令牌code的方式登录，在非安全环境如公共环境、咖啡厅等，容易造成密码泄露；使用公钥登录(包括USB卡登录)，第三方人员容易伪装成用户登录。上述三种方案都是部分提高了登录安全，同时降低了用户体验，且带来其他安全风险。针对现有技术中的身份认证方法安全风险高，同时用户体验差的问题，目前尚未提出有效的解决方案。
技术实现思路
本专利技术实施例提供了一种身份认证方法、装置和系统，以至少解决现有技术中的身份认证方法安全风险高，同时用户体验差的技术问题。根据本专利技术实施例的一个方面，提供了一种身份认证方法，包括：认证系统接收前端设备发出的登录请求，其中，登录请求包括：使用前端设备的当前账户的账户信息；认证系统根据账户信息确定与前端设备关联的确认设备；认证系统发送认证请求至确认设备进行显示，其中，认证请求包括账户信息；认证系统在接收到确认设备返回确认信息的情况下，确定当前账户为合法账户，其中，确认信息为确认设备接收到确认指令之后所产生的信息。根据本专利技术实施例的另一方面，还提供了一种身份认证方法，包括：前端设备发出登录请求至认证系统，其中，登录请求包括：使用前端设备的当前账户的账户信息；前端设备接收认证系统返回的登录结果，其中，认证系统根据账户信息确定与前端设备关联的确认设备，并发送包括了账户信息的认证请求至确认设备，在接收到确认设备响应认证请求而返回的确认信息的情况下，登录结果为当前账户为合法账户。根据本专利技术实施例的另一方面，还提供了一种身份认证方法，包括：目标主机接收前端设备发出的登录请求，其中，登录请求包括：使用前端设备的当前账户的账户信息；目标主机将账户信息发送至认证服务器，使得认证服务器在根据账户信息确定与前端设备关联的确认设备之后，发送认证请求至确认设备，其中，认证请求包括账户信息；目标主机在接收到确认设备响应认证请求而返回的确认信息的情况下，确定当前账户为合法账户。根据本专利技术实施例的另一方面，还提供了一种身份认证系统，包括：前端设备，用于发送登录请求，其中，登录请求包括：使用前端设备的当前账户的账户信息；认证系统，与前端设备网络连接，用于接收前端设备发出的登录请求，根据账户信息确定与前端设备关联的确认设备，并根据账户信息生成认证请求，其中，认证请求包括账户信息；确认设备，与认证系统网络连接，用于接收认证请求，并将根据认证请求而生成的确认信息返回至认证服务器；其中，在认证系统将确认信息反馈给前端设备的情况下，确定当前账户为合法账户。根据本专利技术实施例的另一方面，还提供了一种身份认证系统，包括：前端设备，用于发送登录请求，其中，登录请求包括：使用前端设备的当前账户的账户信息；目标主机，与前端设备网络连接，用于接收前端设备发出的登录请求，根据账户信息确定与账户信息关联的证书，并调用证书向认证服务器发起TLS连接；认证服务器，与目标主机具有连接关系，用于接收目标主机发送的账户信息，并根据账户信息确定是否存在与前端设备关联的确认设备，如果存在，根据账户信息生成认证请求，其中，认证请求包括账户信息；确认设备，与认证服务器网络连接，用于接收认证请求，并将根据认证请求而生成的确认信息返回至认证服务器；其中，在认证服务器将确认信息反馈给前端设备的情况下，确定当前账户为合法账户。根据本专利技术实施例的另一方面，还提供了一种身份认证装置，包括：接收模块，用于使认证系统接收前端设备发出的登录请求，其中，登录请求包括：使用前端设备的当前账户的账户信息；第一确定模块，用于使认证系统根据账户信息确定与前端设备关联的确认设备；发送模块，用于使认证系统发送认证请求至确认设备进行显示，其中，认证请求包括账户信息；第二确定模块，用于使认证系统在接收到确认设备返回的情况下，确定当前账户为合法账户，其中，确认信息为确认设备接收到确认指令之后所产生的信息。根据本专利技术实施例的另一方面，还提供了一种身份认证装置，包括：发送模块，用于使前端设备发出登录请求至认证系统，其中，登录请求包括：使用前端设备的当前账户的账户信息；接收模块，用于使前端设备接收认证系统返回的登录结果，其中，认证系统根据账户信息确定与前端设备关联的确认设备，并发送包括了账户信息的认证请求至确认设备，在接收到确认设备响应认证请求而返回的确认信息的情况下，登录结果为当前账户为合法账户。根据本专利技术实施例的另一方面，还提供了一种身份认证装置，包括：第一发送模块，用于使目标主机接收前端设备发出的登录请求，其中，登录请求包括：使用前端设备的当前账户的账户信息；第二发送模块，用于使目标主机将账户信息发送至认证服务器，使得认证服务器在根据账户信息确定与前端设备关联的确认设备之后，发送认证请求至确认设备，其中，认证请求包括账户信息；确定模块，用于使目标主机在接收到确认设备响应认证请求而返回的确认信息的情况下，确定当前账户为合法账户。在本专利技术实施例中，认证系统接收前端设备发出的登录请求，根据账户信息确定与前端设备关联的确认设备，发送认证请求至确认设备，在接收到确认设备响应认证请求而返回的确认信息的情况下，确定当前账户为合法账户，从而实现远程登录的身份认证。容易注意到，由于前端设备发送的登录请求中包含使用前端设备的当前账户的账户信息，认证系统可以根据账户信息查询到确认设备，并将账户信息发送给确认设备，用户可以通过手动操作确认账户信息，完成身份认证，避免密码泄露或者他人伪造带来的安全风险，并且在身份认证过程中用户不需要输入密码，只需要进行简单地确认操作。因此，通过本申请实施例所提供的方案，可以达到提升用户的登录体验，节省用户登录时间成本，有效防止用户伪造的效果。由此，本申请提供的上述实施例的方案解决了现有技术中的身份认证方法安全风险高，同时用户体验差的技术问题。附图说明此处所说明的附图用来提供对本专利技术的进一步理解，构成本申请的一部分，本专利技术的示意性实施例及其说明用于解释本专利技术，并不构成对本专利技术的不当限定。在附图中：图1是根据本申请实施例一的一种身份认证系统的示意图；图2是根据本申请实施例的一种用户设备和服务器之间数据交互的示意图；图3是根据本申请实施例一的一种可选的身份认证系统的示意图；图4是根据本申请实施例的一种用于实现身份认证方法的计算机终端的硬件结构框图；图5是根据本申请实施例的一种用计算机终端作为接收端的硬件结构框图；图6是根据本申请实施例二的一种身份认证方法的流程图；图7是根据本申请实施例二的一种可选的身份认证方法的流程图；图8是本文档来自技高网...

【技术保护点】
一种身份认证系统，其特征在于，包括：前端设备，用于发送登录请求，其中，所述登录请求包括：使用所述前端设备的当前账户的账户信息；认证系统，与所述前端设备网络连接，用于接收所述前端设备发出的登录请求，根据所述账户信息确定与所述前端设备关联的确认设备，并根据所述账户信息生成认证请求，其中，所述认证请求包括所述账户信息；所述确认设备，与所述认证系统网络连接，用于接收所述认证请求，并将根据所述认证请求而生成的确认信息返回至所述认证系统；其中，在所述认证系统将所述确认信息反馈给所述前端设备的情况下，确定所述当前账户为合法账户。

【技术特征摘要】
1.一种身份认证系统，其特征在于，包括：前端设备，用于发送登录请求，其中，所述登录请求包括：使用所述前端设备的当前账户的账户信息；认证系统，与所述前端设备网络连接，用于接收所述前端设备发出的登录请求，根据所述账户信息确定与所述前端设备关联的确认设备，并根据所述账户信息生成认证请求，其中，所述认证请求包括所述账户信息；所述确认设备，与所述认证系统网络连接，用于接收所述认证请求，并将根据所述认证请求而生成的确认信息返回至所述认证系统；其中，在所述认证系统将所述确认信息反馈给所述前端设备的情况下，确定所述当前账户为合法账户。2.根据权利要求1所述的系统，其特征在于，所述认证系统分别与至少一个前端设备和至少一个确认设备建立网络连接，并接收任意一个前端设备发送的第一注册请求和/或任意一个确认设备发送的第二注册请求，其中，所述第一注册请求中携带有所述任意一个前端设备首次远程登录所述认证系统时所使用的第一账户信息，所述第二注册请求中携带有所述任意一个确认设备首次远程登录所述认证系统时所使用的第二账户信息；所述认证系统根据所述第一注册请求生成第一注册信息，和/或根据所述第二注册请求生成第二注册信息，其中，所述第一注册信息包括：所述第一账户信息和与所述第一账户信息关联的证书，所述第二注册信息至少包括：所述第二账户信息；所述认证系统保存所述第一注册信息和所述第二注册信息；其中，在所述第一账户信息与所述第二账户信息相同的情况下，所述认证系统中使用所述第一账户信息注册的前端设备与使用所述第二账户信息注册的确认设备是相互关联的设备。3.根据权利要求1或2所述的系统，其特征在于，所述认证系统包括：鉴权服务器，与所述前端设备网络连接，用于接收所述前端设备发送的验证码，按照预定的解密算法对所述验证码进行解码，并验证解码结果，其中，所述验证码为所述前端设备按照预定加密算法将所述当前账户的所述账户信息和安全证书进行加密，生成的用于鉴权的验证码；其中，如果验证所述解码结果通过，所述认证系统向所述前端设备询问是否需要接入网络，如果需要则所述前端设备与所述认证系统建立网络连接，并向所述认证系统发出所述登录请求。4.根据权利要求3所述的系统，其特征在于，所述鉴权服务器还用于接收到所述前端设备的注册请求，并产生与所述注册请求对应的所述安全证书，将所述安全证书返回至所述前端设备。5.一种身份认证方法，其特征在于，包括：认证系统接收前端设备发出的登录请求，其中，所述登录请求包括：使用所述前端设备的当前账户的账户信息；所述认证系统根据所述账户信息确定与所述前端设备关联的确认设备；所述认证系统发送认证请求至所述确认设备进行显示，其中，所述认证请求包括所述账户信息；所述认证系统在接收到所述确认设备返回确认信息的情况下，确定所述当前账户为合法账户，其中，所述确认信息为所述确认设备接收到确认指令之后所产生的信息。6.根据权利要求5所述的方法，其特征在于，在认证系统接收前端设备发出的登录请求之前，所述方法还包括：所述认证系统分别与至少一个前端设备和至少一个确认设备建立网络连接，并接收任意一个前端设备发送的第一注册请求和/或任意一个确认设备发送的第二注册请求，其中，所述第一注册请求中携带有所述任意一个前端设备首次远程登录所述认证系统时所使用的第一账户信息，所述第二注册请求中携带有所述任意一个确认设备首次远程登录所述认证系统时所使用的第二账户信息；所述认证系统根据所述第一注册请求生成第一注册信息，和/或根据所述第二注册请求生成第二注册信息，其中，所述第一注册信息包括：所述第一账户信息和与所述第一账户信息关联的证书，所述第二注册信息至少包括：所述第二账户信息；所述认证系统保存所述第一注册信息和所述第二注册信息；其中，在所述第一账户信息与所述第二账户信息相同的情况下，所述认证系统中使用所述第一账户信息注册的前端设备与使用所述第二账户信息注册的确认设备是相互关联的设备。7.根据权利要求6所述的方法，其特征在于，所述认证系统根据所述账户信息确定与所述前端设备关联的确认设备，包括：所述认证系统查询是否存在与所述账户信息相同的第一账户信息和第二账户信息；如果查询成功，所述认证系统确定发出所述登录请求的前端设备为已经注册过的设备，并确认使用所述第二账户信息注册的确认设备为与所述前端设备关联的确认设备。8.根据权利要求7所述的方法，其特征在于，在所述认证系统包括：目标主机和认证服务器的情况下，所述目标主机接收所述任意一个前端设备首次远程登录时所使用的第一账户信息，在将携带了所述第一账户信息的第一注册请求发送至所述认证服务器之后，接收所述认证服务器返回的与所述第一账户信息关联的证书，得到所述第一注册信息。9.根据权利要求8所述的方法，其特征在于，所述认证系统查询是否存在与所述账户信息相同的第一账户信息和第二账户信息，如果查询成功，所述认证系统确认使用所述第二账户信息注册的确认设备为与所述前端设备关联的确认设备，包括：所述目标主机查询是否存在与所述账户信息相同的第一账户信息；如果查询成功，所述目标主机获取与所述第一账户信息关联的证书；所述目标主机调用所述证书向所述认证服务器发起TLS连接，并将所述账户信息发送至所述认证服务器；所述认证服务器查询是否存在与所述账户信息相同的第二账户信息；如此查询成功，确定使用所述第二账户信息注册的确认设备为与所述前端设备关联的确认设备。10.根据权利要求9所述的方法，其特征在于，所述认证系统在接收到所述确认设备响应所述认证请求而返回的确认信息的情况下，确定所述当前账户为合法账户，包括：所述认证服务器将所述确认信息转发给所述目标主机；所述目标主机根据所述确认信息生成远程登录结果，并将所述远程登录结果返回至所述前端设备；其中，在成功将所述远程登录结果返回至所述前端设备的情况下，确定使用所述前端设备的当前账户为所述合法账户，使得所述当前账户通过所述前端设备登录所述目标主机成功。11.根据权利要求5所述的方法，其特征在于，所述确认设备触发产生所述确认信息的方式包括如下至少一个：检测到点击操作、滑动操作、长按操作、双击操作、手势操作和语音操作。12.根据权利要求5至11中任一项所述的方法，其特征在于，所述认证系统包括：...

【专利技术属性】
技术研发人员：王青华，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛,KY