本申请提供一种时间、终端多维联合认证方法及系统。其中,所述方法包括:服务器接收第一终端发送的用户访问请求,并验证第一终端身份;若第一终端身份合法,服务器生成随机数和认证时间期限,并发送随机数至第一终端;第一终端接收到随机数后,将其发送至与第一终端预关联的第二终端;第二终端发送随机数至服务器;当满足以下三个条件时,服务器授权第一用户访问请求的访问权限:服务器在认证时间期限内接收到第二终端发送的随机数;第一终端和第二终端存在预关联;服务器、第一终端和第二终端三者所持有的随机数一致。这样,可以提升用户认证过程中验证信息的保密性,从而提升用户访问网络信息的安全性。访问网络信息的安全性。访问网络信息的安全性。
【技术实现步骤摘要】
时间、终端多维联合认证方法及系统
[0001]本申请涉及用户访问认证
,尤其涉及一种时间、终端多维联合认证方法及系统。
技术介绍
[0002]进行访问认证时,鉴权是许多数字和物理系统的关键组成部分,可以防止未经授权的访问敏感信息。当前进行系统鉴权,存在着各种各样的身份验证方法。例如,使用用户名和密码进行身份验证。又例如,通过生物(指纹、视网膜)计量身份认证。此外,多因素身份验证也已被企业组织普遍接受。
[0003]在实现现有技术的过程中,专利技术人发现:在用户访问系统的过程中,非法第三方可以窃取到用户的用户名/密码、生物计量身份或令牌设备等身份信息,从而访问到用户的敏感信息。即,在用户访问系统过程中,用户的身份认证信息保密性较低,容易被非法第三方获取,从而使得用户访问信息的安全性降低。
[0004]因此,需要提供一种能够提高用户身份认证信息保密性的技术方案。
技术实现思路
[0005]本申请实施例提供一种通过时间、终端多维联合认证方法,提高用户身份认证信息保密性的技术方案,用以解决用户的身份认证信息保密性低的技术问题。
[0006]具体的,一种时间、终端多维联合认证方法,包括以下步骤:服务器接收第一终端发送的、由第一终端私钥签名的第一用户访问请求;服务器验证所述第一终端的身份;当第一终端的身份合法时,服务器生成随机数和认证时间期限;服务器对随机数使用服务器私钥签名,得到包括被服务器私钥签名的随机数的第一数据包;服务器发送第一数据包至第一终端;第一终端接收第一数据包;第一终端使用第一终端私钥签名第一数据包,生成第二数据包;第一终端根据预设传输方式,将第二数据包传输至与第一终端预关联的第二终端;第二终端使用第二终端私钥签名第二数据包,生成第三数据包;第二终端发送第三数据包至服务器;当满足以下三个条件时,服务器授权第一用户访问请求的访问权限:服务器在认证时间期限内接收到第三数据包;所述第一终端和所述第二终端存在预关联;服务器、第一终端和第二终端三者所持有的随机数一致。
[0007]进一步的,所述第一数据包具有第一时间戳;所述第二数据包具有第二时间戳;所述第三数据包具有第三时间戳;第一时间戳早于第二时间戳;第二时间戳早于第三时间戳。
[0008]进一步的,所述服务器、第一终端和第二终端三者之间的身份通过共同的认证协议进行确认。
[0009]进一步的,所述认证协议兼容Android版本、Web版本和IOS版本。
[0010]进一步的,所述认证协议通过动态模型检查器、基于约束逻辑的攻击搜索器、基于sat的模型检查器和基于树的模型检查器至少其中之一进行确认。
[0011]进一步的,所述预设传输方式包括图像传输、二维码传输、NFC传输、振动传输、声波传输、光波传输和红外传输其中之一。
[0012]进一步的,所述方法支持串接认证链路。
[0013]本申请实施例还提供一种时间、终端多维联合认证系统。
[0014]具体的,一种时间、终端多维联合认证系统,包括:接收装置,用于服务器接收第一终端发送的、由第一终端私钥签名的第一用户访问请求;计算装置,用于服务器验证所述第一终端的身份;验证信息生成装置,用于当第一终端的身份合法时,服务器生成随机数和认证时间期限;所述计算装置,还用于服务器对随机数使用服务器私钥签名,得到包括被服务器私钥签名的随机数的第一数据包;发送装置,用于服务器发送第一数据包至第一终端;所述接收装置,还用于第一终端接收第一数据包;所述计算装置,还用于第一终端使用第一终端私钥签名第一数据包,生成第二数据包;所述发送装置,还用于第一终端根据预设传输方式,将第二数据包传输至与第一终端预关联的第二终端;所述计算装置,还用于第二终端使用第二终端私钥签名第二数据包,生成第三数据包;所述发送装置,还用于第二终端发送第三数据包至服务器;当满足以下三个条件时,服务器授权第一用户访问请求的访问权限:服务器在认证时间期限内接收到第三数据包;所述第一终端和所述第二终端存在预关联;服务器、第一终端和第二终端三者所持有的随机数一致。
[0015]进一步的,所述第一数据包具有第一时间戳;所述第二数据包具有第二时间戳;所述第三数据包具有第三时间戳;第一时间戳早于第二时间戳;
第二时间戳早于第三时间戳。
[0016]进一步的,所述服务器、第一终端和第二终端三者之间的身份通过共同的认证协议进行确认。
[0017]本申请实施例提供的技术方案,至少具有如下有益效果:通过至少两个彼此关联的用户设备进行用户身份验证,需要用户利用其发起访问设备的关联设备来进行权限验证。由于攻击者需要窃取所有相关的设备才能访问系统,因此引入更多的设备为认证过程带来了额外的安全层,从而提升了用户身份认证信息在认证过程中的保密性,提升了用户访问网络信息的安全性。
附图说明
[0018]此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:图1为本申请实施例提供的一种时间、终端多维联合认证方法的流程示意图。
[0019]图2为本申请实施例提供的一种用户认证过程中服务器端的处理流程示意图。
[0020]图3为本申请实施例提供的一种采用双设备进行用户身份认证的示意图。
[0021]图4为本申请实施例提供的一种采用三设备进行用户身份认证的示意图。
[0022]图5为本申请实施例提供的一种时间、终端多维联合认证系统的结构示意图。
具体实施方式
[0023]为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
[0024]在服务器端进行用户身份验证,需要借助相应的终端设备与服务器之间能够传输相应的认证信息。例如,访问应用程序时,需要将相应的用户名、密码等信息发送至服务器端验证。若提供的用户名、密码无误,即可访问相应的应用程序。但是,若非法第三方盗取到相应的用户名、密码,即可假冒合法用户访问相应的应用程序。即,服务器能够通过验证用户提供的身份认证信息,做出是否允许当前用户访问的决策。但是,服务器无法验证当前访问用户是否为非法第三方假冒的合法用户。一旦合法用户的相关认证信息泄露,将存在被非法第三方冒名登录的情形。并且,服务器会将非法第三方认证为合法用户,并做出允许访问的决策。这样,导致非法第三方能够获取到用户的系统信息,从而造成用户信息的泄露。特别的,对于保密等级要求较高的用户信息,一旦信息泄露,将造成严重的损失。例如,银行系统中相关用户的身份认证信息被非法第三方获取,将造成严重的经济损失。又或者,对信息保密等级要求较高的军工/机关单位,若系统用户的身份认证信息被非法第三方获取,将对国家安全造成严重的经本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种时间、终端多维联合认证方法,其特征在于,包括以下步骤:服务器接收第一终端发送的、由第一终端私钥签名的第一用户访问请求;服务器验证所述第一终端的身份;当第一终端的身份合法时,服务器生成随机数和认证时间期限;服务器对随机数使用服务器私钥签名,得到包括被服务器私钥签名的随机数的第一数据包;服务器发送第一数据包至第一终端;第一终端接收第一数据包;第一终端使用第一终端私钥签名第一数据包,生成第二数据包;第一终端根据预设传输方式,将第二数据包传输至与第一终端预关联的第二终端;第二终端使用第二终端私钥签名第二数据包,生成第三数据包;第二终端发送第三数据包至服务器;当满足以下三个条件时,服务器授权第一用户访问请求的访问权限:服务器在认证时间期限内接收到第三数据包;所述第一终端和所述第二终端存在预关联;服务器、第一终端和第二终端三者所持有的随机数一致。2.如权利要求1所述的多维联合认证方法,其特征在于,所述第一数据包具有第一时间戳;所述第二数据包具有第二时间戳;所述第三数据包具有第三时间戳;第一时间戳早于第二时间戳;第二时间戳早于第三时间戳。3.如权利要求1所述的多维联合认证方法,其特征在于,所述服务器、第一终端和第二终端三者之间的身份通过共同的认证协议进行确认。4.如权利要求3所述的多维联合认证方法,其特征在于,所述认证协议兼容Android版本、Web版本和IOS版本。5.如权利要求3所述的多维联合认证方法,其特征在于,所述认证协议通过动态模型检查器、基于约束逻辑的攻击搜索器、基于sat的模型检查器和基于树的模型检查器至少其中之一进行确认。6.如权利要求1所述的多维联合认证方法,其特征在于,所述预设传输方式包括图像...
【专利技术属性】
技术研发人员:刘风成,王晋,
申请(专利权)人:华腾数云北京科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。