一種身份認(rèn)證方法、裝置及系統(tǒng)的制作方法
【專利摘要】本發(fā)明提供一種身份認(rèn)證方法、裝置及系統(tǒng),涉及移動通信領(lǐng)域。應(yīng)用于客戶端的方法包括:對客戶端的環(huán)境變量進(jìn)行風(fēng)險(xiǎn)評估,得到風(fēng)險(xiǎn)評估結(jié)果;根據(jù)所述風(fēng)險(xiǎn)評估結(jié)果,動態(tài)選擇認(rèn)證類型;根據(jù)選擇的認(rèn)證類型,發(fā)送認(rèn)證請求給身份認(rèn)證服務(wù)器;接收所述身份認(rèn)證服務(wù)器反饋的認(rèn)證成功或者失敗的反饋信息。本發(fā)明的方法、裝置及系統(tǒng)對客戶端的環(huán)境變量進(jìn)行風(fēng)險(xiǎn)評估,通過對風(fēng)險(xiǎn)評估后選擇的合理認(rèn)證類型,使對用戶的身份認(rèn)證更快捷、更安全。
【專利說明】一種身份認(rèn)證方法、裝置及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及移動通信領(lǐng)域,特別是指一種身份認(rèn)證方法、裝置及系統(tǒng)。
【背景技術(shù)】
[0002]身份認(rèn)證是身份管理系統(tǒng)的一部分,主要是根據(jù)當(dāng)前的信息來判斷實(shí)體用戶身份的真實(shí)性。目前絕大多數(shù)的身份認(rèn)證系統(tǒng)都基于用戶名和密碼;一些對信息安全要求較高的系統(tǒng)(如理財(cái)服務(wù)等),會通過輔助設(shè)備或用戶的問答來加強(qiáng)安全級別;
[0003]以手機(jī)應(yīng)用服務(wù)為例,現(xiàn)有的身份認(rèn)證系統(tǒng)一般流程如下:
[0004]S1:用戶訪問某個(gè)應(yīng)用服務(wù)(例如:登錄某網(wǎng)站或打開手機(jī)應(yīng)用);
[0005]S2:用戶輸入用戶名和密碼;
[0006]S3:該應(yīng)用通過SSL (Secure Sockets Layer安全套接層),將用戶名和密碼傳送到該應(yīng)用的服務(wù)器端進(jìn)行認(rèn)證;
[0007]S4:應(yīng)用服務(wù)器返回結(jié)果,如果認(rèn)證成功,則用戶成功登錄;否則,根據(jù)錯(cuò)誤信息提示下一個(gè)操作。
[0008]現(xiàn)有的統(tǒng)一認(rèn)證方案普遍存在以下兩大缺點(diǎn):
[0009]1.缺乏安全級別管理:這種“靜態(tài)的”安全機(jī)制,一方面沒有將用戶的使用習(xí)慣和環(huán)境因素納入安全風(fēng)險(xiǎn)的評估中,在大多數(shù)情況下沒有給用戶帶來便利;另一方面在安全風(fēng)險(xiǎn)增加時(shí),缺乏有效的增強(qiáng)認(rèn)證的手段。
[0010]2.潛在安全危害程度大:對用戶來說,一旦入侵者獲得用戶名/密碼,他所有的應(yīng)用及個(gè)人數(shù)據(jù)都可能受到影響。
【發(fā)明內(nèi)容】
[0011]本發(fā)明要解決的技術(shù)問題是提供一種身份認(rèn)證方法、裝置及系統(tǒng),通過在終端側(cè)基于環(huán)境變量對個(gè)人身份進(jìn)行風(fēng)險(xiǎn)評估,來動態(tài)的決定認(rèn)證的級別,增強(qiáng)了移動應(yīng)用認(rèn)證的安全性。
[0012]為解決上述技術(shù)問題,本發(fā)明的實(shí)施例提供一種身份認(rèn)證方法,應(yīng)用于客戶端,包括:
[0013]對客戶端的環(huán)境變量進(jìn)行風(fēng)險(xiǎn)評估,得到風(fēng)險(xiǎn)評估結(jié)果;
[0014]根據(jù)所述風(fēng)險(xiǎn)評估結(jié)果,動態(tài)選擇認(rèn)證類型;
[0015]根據(jù)選擇的認(rèn)證類型,發(fā)送認(rèn)證請求給身份認(rèn)證服務(wù)器;
[0016]接收所述身份認(rèn)證服務(wù)器反饋的認(rèn)證成功或者失敗的反饋信息。
[0017]其中,對客戶端的環(huán)境變量進(jìn)行風(fēng)險(xiǎn)評估,得到風(fēng)險(xiǎn)評估結(jié)果的步驟包括:
[0018]對客戶端檢測到的當(dāng)前地點(diǎn)、所處的環(huán)境、客戶端所在終端的移動情況、所述終端上的相關(guān)應(yīng)用使用的規(guī)律進(jìn)行風(fēng)險(xiǎn)評估,得到風(fēng)險(xiǎn)評估結(jié)果。
[0019]其中,根據(jù)所述風(fēng)險(xiǎn)評估結(jié)果,動態(tài)選擇認(rèn)證類型的步驟包括:
[0020]若所述風(fēng)險(xiǎn)評估結(jié)果為:沒有風(fēng)險(xiǎn)檔案存在,則自動選擇“增強(qiáng)型登錄”的認(rèn)證類型;否則,根據(jù)風(fēng)險(xiǎn)檔案得到安全風(fēng)險(xiǎn)級別,根據(jù)所述安全風(fēng)險(xiǎn)級別選擇“常規(guī)型登錄”或者“自動型登錄”或者“增強(qiáng)型登錄”的認(rèn)證類型。
[0021]其中,根據(jù)選擇的認(rèn)證類型,發(fā)送認(rèn)證請求給身份認(rèn)證服務(wù)器的步驟包括:
[0022]在選擇“自動型登錄”的認(rèn)證類型進(jìn)行登錄時(shí),自動將用戶信息加密后,直接發(fā)送“自動認(rèn)證請求”給認(rèn)證服務(wù)器。
[0023]其中,根據(jù)選擇的認(rèn)證類型,發(fā)送認(rèn)證請求給身份認(rèn)證服務(wù)器的步驟包括:
[0024]在選擇“常規(guī)型登錄”的認(rèn)證類型進(jìn)行登錄時(shí),獲取用戶輸入的用戶信息,并加密后,發(fā)送“常規(guī)認(rèn)證請求”給認(rèn)證服務(wù)器。
[0025]其中,根據(jù)選擇的認(rèn)證類型,發(fā)送認(rèn)證請求給身份認(rèn)證服務(wù)器的步驟包括:
[0026]在選擇“增強(qiáng)型登錄”的認(rèn)證類型進(jìn)行登錄時(shí),獲取用戶輸入的用戶信息以及所述客戶端檢測到的增強(qiáng)型事件以及安全風(fēng)險(xiǎn)級別,加密后,發(fā)送“增強(qiáng)認(rèn)證請求”給認(rèn)證服務(wù)器。
[0027]其中,所述增強(qiáng)型事件包括:
[0028]用戶在指定時(shí)間段內(nèi)的環(huán)境、用戶在指定時(shí)間段內(nèi)使用過的應(yīng)用、用戶上一次主要系統(tǒng)事件發(fā)生的時(shí)間及環(huán)境、用戶主要使用該終端或者應(yīng)用的時(shí)間和/或用戶主要使用的設(shè)備或者應(yīng)用的環(huán)境。
[0029]其中,接收所述身份認(rèn)證服務(wù)器反饋的認(rèn)證成功或者失敗的反饋信息后還包括:
[0030]根據(jù)所述反饋信息,更新保存于本地的風(fēng)險(xiǎn)檔案庫。
[0031]本發(fā)明的實(shí)施例還提供一種身份認(rèn)證方法,應(yīng)用于認(rèn)證服務(wù)器,包括:
[0032]接收客戶端發(fā)送的用戶選擇的身份認(rèn)證類型的認(rèn)證請求;
[0033]根據(jù)認(rèn)證請求,向客戶端反饋認(rèn)證成功或者失敗的反饋信息。
[0034]其中,根據(jù)認(rèn)證請求,向客戶端反饋認(rèn)證成功或者失敗的反饋信息的步驟包括:
[0035]若所述認(rèn)證類型為“自動型登錄”,則根據(jù)所述認(rèn)證請求判斷發(fā)送所述認(rèn)證請求的用戶的安全設(shè)定記錄,若所述安全設(shè)定記錄支持并符合“自動型登錄”的條件,則直接向所述客戶端反饋認(rèn)證令牌,否則,向所述客戶端反饋認(rèn)證失敗的反饋信息。
[0036]其中,根據(jù)認(rèn)證請求,向客戶端反饋認(rèn)證成功或者失敗的反饋信息的步驟包括:
[0037]若所述認(rèn)證類型為“常規(guī)型登錄”,則根據(jù)所述認(rèn)證請求判斷認(rèn)證通過,則向所述客戶端反饋簽了名的認(rèn)證令牌,否則,向所述客戶端反饋認(rèn)證失敗的反饋信息。
[0038]其中,根據(jù)認(rèn)證請求,向客戶端反饋認(rèn)證成功或者失敗的反饋信息的步驟包括:
[0039]若所述認(rèn)證類型為“增強(qiáng)型登錄”,則根據(jù)所述認(rèn)證請求,與所述客戶端交互確認(rèn)后,判斷認(rèn)證通過,則向所述客戶端反饋簽了名的認(rèn)證令牌,否則,向所述客戶端反饋認(rèn)證失敗的反饋息。
[0040]本發(fā)明的實(shí)施例還提供一種身份認(rèn)證裝置,應(yīng)用于客戶端,包括:
[0041]評估模塊,用于對客戶端的環(huán)境變量進(jìn)行風(fēng)險(xiǎn)評估,得到風(fēng)險(xiǎn)評估結(jié)果;
[0042]動態(tài)選擇模塊,用于根據(jù)所述風(fēng)險(xiǎn)評估結(jié)果,動態(tài)選擇認(rèn)證類型;
[0043]發(fā)送模塊,用于根據(jù)選擇的認(rèn)證類型,發(fā)送認(rèn)證請求給身份認(rèn)證服務(wù)器;
[0044]第一接收模塊,用于接收所述身份認(rèn)證服務(wù)器反饋的認(rèn)證成功或者失敗的反饋信肩、O
[0045]其中,動態(tài)選擇模塊具體用于:若所述風(fēng)險(xiǎn)評估結(jié)果為:沒有風(fēng)險(xiǎn)檔案存在,則自動選擇“增強(qiáng)型登錄”的認(rèn)證類型;否則,根據(jù)風(fēng)險(xiǎn)檔案得到安全風(fēng)險(xiǎn)級別,根據(jù)所述安全風(fēng)險(xiǎn)級別選擇“常規(guī)型登錄”或者“自動型登錄”或者“增強(qiáng)型登錄”的認(rèn)證類型。
[0046]本發(fā)明的實(shí)施例還提供一種身份認(rèn)證裝置,應(yīng)用于認(rèn)證服務(wù)器,包括:
[0047]第二接收模塊,用于接收客戶端發(fā)送的用戶選擇的身份認(rèn)證類型的認(rèn)證請求;
[0048]處理模塊,用于根據(jù)認(rèn)證請求,向客戶端反饋認(rèn)證成功或者失敗的反饋信息。
[0049]其中,所述處理模塊具體用于:若所述認(rèn)證類型為“自動型登錄”,則根據(jù)所述認(rèn)證請求判斷發(fā)送所述認(rèn)證請求的用戶的安全設(shè)定記錄,若所述安全設(shè)定記錄支持并符合“自動型登錄”的條件,則直接向所述客戶端反饋認(rèn)證令牌,否則,向所述客戶端反饋認(rèn)證失敗的反饋信息;或者
[0050]若所述認(rèn)證類型為“常規(guī)型登錄”,則根據(jù)所述認(rèn)證請求判斷認(rèn)證通過,則向所述客戶端反饋簽了名的認(rèn)證令牌,否則,向所述客戶端反饋認(rèn)證失敗的反饋信息;或者
[0051]若所述認(rèn)證類型為“增強(qiáng)型登錄”,則根據(jù)所述認(rèn)證請求,與所述客戶端交互確認(rèn)后,判斷認(rèn)證通過,則向所述客戶端反饋簽了名的認(rèn)證令牌,否則,向所述客戶端反饋認(rèn)證失敗的反饋息。
[0052]本發(fā)明的實(shí)施例還提供一種身份認(rèn)證系統(tǒng),客戶端和認(rèn)證服務(wù)器,所述客戶端包括如上所述的應(yīng)用于客戶端的身份認(rèn)證裝置,所述認(rèn)證服務(wù)器包括如上所述的應(yīng)用于認(rèn)證服務(wù)器的身份認(rèn)證裝置。
[0053]本發(fā)明的上述技術(shù)方案的有益效果如下:
[0054]上述方案中,本實(shí)施例的方法可以通過客戶端所在的終端側(cè),基于環(huán)境變量對個(gè)人身份進(jìn)行風(fēng)險(xiǎn)評估,來動態(tài)的決定認(rèn)證的級別,從而能夠增強(qiáng)用戶身份認(rèn)證的安全性、快捷性。
【專利附圖】
【附圖說明】
[0055]圖1為本發(fā)明的實(shí)施主體為客戶端的身份認(rèn)證方法的示意圖;
[0056]圖2為本發(fā)明的實(shí)施主體為認(rèn)證服務(wù)器的身份認(rèn)證方法的示意圖;
[0057]圖3為本發(fā)明的身份認(rèn)證方法的具體流程圖;
[0058]圖4為本發(fā)明中應(yīng)用于客戶端的身份認(rèn)證裝置的結(jié)構(gòu)示意圖;
[0059]圖5為本發(fā)明中應(yīng)用于認(rèn)證服務(wù)器的身份認(rèn)證裝置的結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0060]為使本發(fā)明要解決的技術(shù)問題、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面將結(jié)合附圖及具體實(shí)施例進(jìn)行詳細(xì)描述。
[0061]實(shí)施例1
[0062]如圖1所示,一種身份認(rèn)證方法,應(yīng)用于客戶端的步驟包括:
[0063]步驟1,對客戶端的環(huán)境變量進(jìn)行風(fēng)險(xiǎn)評估,得到風(fēng)險(xiǎn)評估結(jié)果;
[0064]步驟2,根據(jù)所述風(fēng)險(xiǎn)評估結(jié)果,動態(tài)選擇認(rèn)證類型;
[0065]步驟3,根據(jù)選擇的認(rèn)證類型,發(fā)送認(rèn)證請求給身份認(rèn)證服務(wù)器;
[0066]步驟4,接收所述身份認(rèn)證服務(wù)器反饋的認(rèn)證成功或者失敗的反饋信息。
[0067]本實(shí)施例的方法可以通過客戶端所在的終端側(cè),基于環(huán)境變量對個(gè)人身份進(jìn)行風(fēng)險(xiǎn)評估,來動態(tài)的決定認(rèn)證的級別,從而能夠增強(qiáng)用戶身份認(rèn)證的安全性、快捷性。
[0068]下面對圖1所示的方法進(jìn)行詳細(xì)描述:
[0069]首先對客戶端檢測到的當(dāng)前地點(diǎn)、所處的環(huán)境、客戶端所在終端的移動情況、所述終端上的相關(guān)應(yīng)用使用的規(guī)律(如間隔,時(shí)辰等)進(jìn)行風(fēng)險(xiǎn)評估,得到風(fēng)險(xiǎn)評估結(jié)果。
[0070]若所述風(fēng)險(xiǎn)評估結(jié)果為:沒有風(fēng)險(xiǎn)檔案存在,則自動選擇“增強(qiáng)型登錄”的認(rèn)證類型;否則,根據(jù)風(fēng)險(xiǎn)檔案得到安全風(fēng)險(xiǎn)級別,根據(jù)所述安全風(fēng)險(xiǎn)級別選擇“常規(guī)型登錄”或者“自動型登錄”或者“增強(qiáng)型登錄”的認(rèn)證類型。
[0071]在選擇“自動型登錄”的認(rèn)證類型進(jìn)行登錄時(shí),客戶端能夠自動將用戶信息加密后,直接發(fā)送“自動認(rèn)證請求”給認(rèn)證服務(wù)器。
[0072]在選擇“常規(guī)型登錄”的認(rèn)證類型進(jìn)行登錄時(shí),客戶端能夠獲取用戶輸入的用戶信息,并加密后,發(fā)送“常規(guī)認(rèn)證請求”給認(rèn)證服務(wù)器。
[0073]在選擇“增強(qiáng)型登錄”的認(rèn)證類型進(jìn)行登錄時(shí),客戶端獲取用戶輸入的用戶信息以及所述客戶端檢測到的增強(qiáng)型事件以及安全風(fēng)險(xiǎn)級別,加密后,發(fā)送“增強(qiáng)認(rèn)證請求”給認(rèn)證服務(wù)器。
[0074]其中,所述增強(qiáng)型事件包括:用戶在指定時(shí)間段內(nèi)的環(huán)境、用戶在指定時(shí)間段內(nèi)使用過的應(yīng)用、用戶上一次主要系統(tǒng)事件發(fā)生的時(shí)間及環(huán)境、用戶主要使用該終端或者應(yīng)用的時(shí)間和/或用戶主要使用某設(shè)備或者應(yīng)用的環(huán)境。
[0075]優(yōu)選地,在所述身份認(rèn)證服務(wù)器反饋的認(rèn)證成功或者失敗的反饋信息后還可以根據(jù)所述反饋信息,更新保存本地的風(fēng)險(xiǎn)檔案庫。
[0076]實(shí)施例2
[0077]如圖2所示,應(yīng)用于認(rèn)證服務(wù)器的步驟包括:
[0078]步驟I ',接收客戶端發(fā)送的用戶選擇的身份認(rèn)證類型的認(rèn)證請求;
[0079]步驟2',根據(jù)認(rèn)證請求,向客戶端反饋認(rèn)證成功或者失敗的反饋信息。
[0080]其中,若所述認(rèn)證類型為“自動型登錄”,則根據(jù)所述認(rèn)證請求判斷發(fā)送所述認(rèn)證請求的用戶的安全設(shè)定記錄,若所述安全設(shè)定記錄支持并符合“自動型登錄”的條件,則直接向所述客戶端反饋認(rèn)證令牌,否則,向所述客戶端反饋認(rèn)證失敗的反饋信息。其中,認(rèn)證失敗的反饋信息包括:錯(cuò)誤代碼,風(fēng)險(xiǎn)參數(shù)和HASH串。
[0081]若所述認(rèn)證類型為“常規(guī)型登錄”,則根據(jù)所述認(rèn)證請求判斷認(rèn)證通過,則向所述客戶端反饋簽了名的認(rèn)證令牌,否則,向所述客戶端反饋認(rèn)證失敗的反饋信息。其中,認(rèn)證服務(wù)器在向客戶端反饋了簽了名的認(rèn)證令牌時(shí),還可以進(jìn)一步反饋認(rèn)證成功情況下的風(fēng)險(xiǎn)參數(shù)和HASH串;在向客戶端反饋認(rèn)證失敗的反饋信息時(shí),該反饋信息可以包括:認(rèn)證失敗情況下的錯(cuò)誤代碼,風(fēng)險(xiǎn)參數(shù)和HASH串。
[0082]若所述認(rèn)證類型為“增強(qiáng)型登錄”,則根據(jù)所述認(rèn)證請求,與所述客戶端交互確認(rèn)后,判斷認(rèn)證通過,則向所述客戶端反饋簽了名的認(rèn)證令牌,否則,向所述客戶端反饋認(rèn)證失敗的反饋信息。其中,認(rèn)證服務(wù)器在向客戶端反饋了簽了名的認(rèn)證令牌時(shí),還可以進(jìn)一步反饋認(rèn)證成功情況下的風(fēng)險(xiǎn)參數(shù)和HASH串;在向客戶端反饋認(rèn)證失敗的反饋信息時(shí),該反饋信息可以包括:認(rèn)證失敗情況下的錯(cuò)誤代碼,風(fēng)險(xiǎn)參數(shù)和HASH串。
[0083]下面結(jié)合客戶端以及認(rèn)證服務(wù)器的身份認(rèn)證方法,對整個(gè)實(shí)施過程進(jìn)行具體地描述:[0084]如圖3所示,進(jìn)行以下步驟:
[0085]S310,用戶訪問應(yīng)用,發(fā)起認(rèn)證請求,客戶端接獲用戶的身份認(rèn)證請求;
[0086]S320,客戶端首先根據(jù)個(gè)人的風(fēng)險(xiǎn)檔案(Assertions)對目標(biāo)身份的環(huán)境變量進(jìn)行評估,并且根據(jù)計(jì)算出來的安全風(fēng)險(xiǎn)級別選擇“自動型登錄”,“常規(guī)型登錄”或“增強(qiáng)型登錄”。
[0087]如果系統(tǒng)有多個(gè)目標(biāo)身份的風(fēng)險(xiǎn)檔案(如家庭成員公共一個(gè)平板電腦),則需要主體對象首先確認(rèn)目標(biāo)身份;
[0088]如果用戶在客戶端還沒有建立風(fēng)險(xiǎn)檔案(Assertions),則自動采用“增強(qiáng)型登錄”方案;如果已經(jīng)建立了風(fēng)險(xiǎn)檔案,則會根據(jù)風(fēng)險(xiǎn)檔案得到安全風(fēng)險(xiǎn)級別,并根據(jù)安全風(fēng)險(xiǎn)級別選擇“自動型登錄”,“常規(guī)型登錄”或“增強(qiáng)型登錄”方式進(jìn)行登錄認(rèn)證;
[0089]S330,進(jìn)行登錄步驟;其中,S330包括:
[0090]S331,如果客戶端選擇了“自動型登錄”,用戶則無需再輸入用戶名和密碼,客戶端會自動將目標(biāo)用戶的信息加密后,給認(rèn)證服務(wù)器直接發(fā)送“自動認(rèn)證”請求(該步驟可通過安全套接層SSL實(shí)現(xiàn));
[0091]認(rèn)證服務(wù)器接到請求后會先確認(rèn)該用戶的安全設(shè)定,根據(jù)所述認(rèn)證請求判斷發(fā)送所述認(rèn)證請求的用戶的安全設(shè)定記錄,若所述安全設(shè)定記錄支持并符合“自動型登錄”的條件,則直接向所述客戶端反饋認(rèn)證令牌,通過認(rèn)證。用戶在“自動型登錄”成功之后,客戶端不會更新風(fēng)險(xiǎn)檔案;
[0092]如果“自動型登錄”失敗,認(rèn)證服務(wù)器會向客戶端反饋認(rèn)證失敗信息;其中,所述認(rèn)證失敗信息包括:錯(cuò)誤代碼,風(fēng)險(xiǎn)參數(shù)和哈希函數(shù)串(Hash串)客戶端也會根據(jù)這些信息更新風(fēng)險(xiǎn)檔案。
[0093]每一次用戶“自動型登錄”成功之后,認(rèn)證服務(wù)器會啟動異步流程記錄自動型登錄事件。
[0094]S332,如果客戶端選擇了 “常規(guī)型登錄”,
[0095]用戶則需要將用戶名和密碼按照目前的方式通過SSL傳送到認(rèn)證服務(wù)器進(jìn)行認(rèn)證;
[0096]如果認(rèn)證成功,認(rèn)證服務(wù)器會將簽了名的令牌(包括:風(fēng)險(xiǎn)參數(shù)和HASH串)返回給客戶端,客戶端會根據(jù)這些信息更新風(fēng)險(xiǎn)檔案;
[0097]如果認(rèn)證失敗,認(rèn)證服務(wù)器會將錯(cuò)誤代碼,風(fēng)險(xiǎn)參數(shù)和HASH串返回給客戶端,客戶端會根據(jù)這些信息更新風(fēng)險(xiǎn)檔案;
[0098]每一次用戶“常規(guī)型登錄”成功之后,認(rèn)證服務(wù)器端會啟動異步流程記錄常規(guī)型登錄事件。
[0099]S333,如果客戶端選擇了 “增強(qiáng)型登錄”,
[0100]客戶端除了需要將用戶名和密碼按照常規(guī)的方式通過SSL傳送到認(rèn)證服務(wù)器之夕卜,客戶端還會將一些用戶“增強(qiáng)型事件”連同安全風(fēng)險(xiǎn)級別一起加密后發(fā)送給認(rèn)證服務(wù)器,
[0101]然后由認(rèn)證服務(wù)器根據(jù)目標(biāo)用戶的安全風(fēng)險(xiǎn)級別,進(jìn)一步讓用戶確認(rèn)。
[0102]其中,“增強(qiáng)型事件”可以包括:用戶在指定時(shí)間段內(nèi)的環(huán)境、用戶在指定時(shí)間段內(nèi)使用過的應(yīng)用、用戶上一次主要系統(tǒng)事件(如充電,關(guān)機(jī)等)發(fā)生的時(shí)間或環(huán)境、用戶主要使用該設(shè)備或應(yīng)用的時(shí)間、用戶主要使用某設(shè)備或應(yīng)用的環(huán)境;
[0103]如果認(rèn)證成功,認(rèn)證服務(wù)器會將簽了名的令牌,風(fēng)險(xiǎn)參數(shù)和HASH串返回給客戶端??蛻舳藭鶕?jù)這些信息更新風(fēng)險(xiǎn)檔案;如果認(rèn)證失敗,認(rèn)證服務(wù)器會將錯(cuò)誤代碼,風(fēng)險(xiǎn)參數(shù)和HASH串返回給客戶端,客戶端會根據(jù)這些信息更新風(fēng)險(xiǎn)檔案。
[0104]優(yōu)選地,還可以進(jìn)一步對本實(shí)施例的方法進(jìn)行完善:
[0105]1.無論用戶登錄驗(yàn)證是成功還是失敗,客戶端會自動記錄認(rèn)證事件,并將該事件的風(fēng)險(xiǎn)信息加入到用戶的客戶端風(fēng)險(xiǎn)檔案庫中(用于風(fēng)險(xiǎn)評估);
[0106]2.如果不是自動型登錄,認(rèn)證服務(wù)器會記錄當(dāng)前用戶的環(huán)境變量。如果登錄成功,這些相對與眾不同的環(huán)境變量會作為將來增強(qiáng)認(rèn)證的依據(jù);
[0107]3.用戶也可以在人份認(rèn)證成功之后,通過直接訪問認(rèn)證服務(wù)器,來修改各類身份安全設(shè)定,如激活/收回自動登錄設(shè)置,提高安全警戒級別,刪改增強(qiáng)型事件等。
[0108]本實(shí)施例的方法可以通過客戶端所在的終端側(cè),基于環(huán)境變量對個(gè)人身份進(jìn)行風(fēng)險(xiǎn)評估,來動態(tài)的決定認(rèn)證的級別。具備以下功能:
[0109]對于客戶端的來說:能夠?qū)⒂脩舻氖褂昧?xí)慣和環(huán)境因素納入安全評估中,并保留上一次非“自動型”認(rèn)證的令牌證書及風(fēng)險(xiǎn)參數(shù)來自動型認(rèn)證,還可以根據(jù)失敗認(rèn)證的環(huán)境變量來修改風(fēng)險(xiǎn)檔案。
[0110]對于認(rèn)證服務(wù)器來說:能夠收集“增強(qiáng)型事件”,根據(jù)客戶端收集的增強(qiáng)型事件”和每次成功的認(rèn)證的環(huán)境參數(shù)進(jìn)行統(tǒng)計(jì)分析,自動生成增強(qiáng)型問題;
[0111]對于用戶控制來說:能夠訪問認(rèn)證服務(wù)器來修改各種安全級別的設(shè)定,還能刪改各種增強(qiáng)型問題設(shè)定。
[0112]綜上所述,本實(shí)施例的方法具有以下優(yōu)點(diǎn):
[0113]1.減少了真實(shí)用戶輸入用戶名和密碼的認(rèn)證步驟;
[0114]2.變向地?cái)U(kuò)展了認(rèn)證服務(wù)器的處理能力;
[0115]3.通過增加了增強(qiáng)安全環(huán)節(jié),給盜用者提高了難度;
[0116]4.用戶可根據(jù)自身情況,設(shè)置屬于自己的增強(qiáng)登陸,更加人性化、靈活化。
[0117]實(shí)施例3
[0118]如圖4所示,一種身份認(rèn)證裝置,應(yīng)用于客戶端,包括:
[0119]評估模塊,用于對客戶端的環(huán)境變量進(jìn)行風(fēng)險(xiǎn)評估,得到風(fēng)險(xiǎn)評估結(jié)果;
[0120]動態(tài)選擇模塊,用于根據(jù)所述風(fēng)險(xiǎn)評估結(jié)果,動態(tài)選擇認(rèn)證類型;
[0121]發(fā)送模塊,用于根據(jù)選擇的認(rèn)證類型,發(fā)送認(rèn)證請求給身份認(rèn)證服務(wù)器;
[0122]第一接收模塊,用于接收所述身份認(rèn)證服務(wù)器反饋的認(rèn)證成功或者失敗的反饋信肩、O
[0123]其中所述認(rèn)證類型包括“自動型登錄”、“常規(guī)型登錄”以及“增強(qiáng)型登錄”,
[0124]首先,評估模塊測到客戶端的當(dāng)前地點(diǎn)、所處的環(huán)境、客戶端所在終端的移動情況、所述終端上的相關(guān)應(yīng)用使用的規(guī)律(如間隔,時(shí)辰等)進(jìn)行風(fēng)險(xiǎn)評估,得到風(fēng)險(xiǎn)評估結(jié)果O
[0125]若所述風(fēng)險(xiǎn)評估結(jié)果為:沒有風(fēng)險(xiǎn)檔案存在,則動態(tài)選擇模塊自動選擇“增強(qiáng)型登錄”的認(rèn)證類型;否則,根據(jù)風(fēng)險(xiǎn)檔案得到安全風(fēng)險(xiǎn)級別,根據(jù)所述安全風(fēng)險(xiǎn)級別選擇“常規(guī)型登錄”或者“自動型登錄”或者“增強(qiáng)型登錄”的認(rèn)證類型。[0126]在動態(tài)選擇模塊選擇“自動型登錄”的認(rèn)證類型進(jìn)行登錄時(shí),發(fā)送模塊自動將用戶信息加密后,直接發(fā)送“自動認(rèn)證請求”給認(rèn)證服務(wù)器。
[0127]在動態(tài)選擇模塊選擇“常規(guī)型登錄”的認(rèn)證類型進(jìn)行登錄時(shí),發(fā)送模塊獲取用戶輸入的用戶信息,并加密后,發(fā)送“常規(guī)認(rèn)證請求”給認(rèn)證服務(wù)器。
[0128]在動態(tài)選擇模塊選擇“增強(qiáng)型登錄”的認(rèn)證類型進(jìn)行登錄時(shí),發(fā)送模塊獲取用戶輸入的用戶信息以及所述客戶端檢測到的增強(qiáng)型事件以及安全風(fēng)險(xiǎn)級別,加密后,發(fā)送“增強(qiáng)認(rèn)證請求”給認(rèn)證服務(wù)器。
[0129]其中,所述增強(qiáng)型事件包括:用戶在指定時(shí)間段內(nèi)的環(huán)境、用戶在指定時(shí)間段內(nèi)使用過的應(yīng)用、用戶上一次主要系統(tǒng)事件發(fā)生的時(shí)間及環(huán)境、用戶主要使用該終端或者應(yīng)用的時(shí)間和/或用戶主要使用某設(shè)備或者應(yīng)用的環(huán)境。
[0130]優(yōu)選地,在所述身份認(rèn)證服務(wù)器反饋的認(rèn)證成功或者失敗的反饋信息后還可以根據(jù)所述反饋信息,第一接收模塊還能進(jìn)一步地更新保存于本地的風(fēng)險(xiǎn)檔案庫。
[0131]需要說明的是:該裝置的實(shí)施例是與上述實(shí)施例1中所述方法相對應(yīng)的裝置,上述實(shí)施例1所述的方法中的所有特征均適用于該裝置的實(shí)施例中,也能達(dá)到相同的技術(shù)效
果O
[0132]實(shí)施例4
[0133]如圖5所示,應(yīng)用于認(rèn)證服務(wù)器的身份認(rèn)證裝置包括:
[0134]第二接收模塊,用于接收客戶端發(fā)送的用戶選擇的身份認(rèn)證類型的認(rèn)證請求;
[0135]處理模塊,用于根據(jù)認(rèn)證請求,向客戶端反饋認(rèn)證成功或者失敗的反饋信息。
[0136]若所述認(rèn)證類型為“自動型登錄”,則處理模塊根據(jù)所述認(rèn)證請求判斷發(fā)送所述認(rèn)證請求的用戶的安全設(shè)定記錄,若所述安全設(shè)定記錄支持并符合“自動型登錄”的條件,則直接向所述客戶端反饋認(rèn)證令牌,否則,向所述客戶端反饋認(rèn)證失敗的反饋信息;其中,所述認(rèn)證失敗的反饋信息包括:錯(cuò)誤代碼,風(fēng)險(xiǎn)參數(shù)和哈希函數(shù)串(Hash串;或者
[0137]若所述認(rèn)證類型為“常規(guī)型登錄”,則處理模塊根據(jù)所述認(rèn)證請求判斷認(rèn)證通過,則向所述客戶端反饋簽了名的認(rèn)證令牌(進(jìn)一步還可以向客戶端反饋:風(fēng)險(xiǎn)參數(shù)和Hash串),否則,向所述客戶端反饋認(rèn)證失敗的反饋信息;其中,該認(rèn)證失敗的反饋信息包含錯(cuò)誤代碼、風(fēng)險(xiǎn)參數(shù)、Hash串;或者
[0138]若所述認(rèn)證類型為“增強(qiáng)型登錄”,則處理模塊根據(jù)所述認(rèn)證請求,與所述客戶端交互確認(rèn)后,判斷認(rèn)證通過,則向所述客戶端反饋簽了名的認(rèn)證令牌(進(jìn)一步還可以向客戶端反饋:風(fēng)險(xiǎn)參數(shù)和Hash串),否則,向所述客戶端反饋認(rèn)證失敗的反饋信息,其中,該認(rèn)證失敗的反饋信息包含錯(cuò)誤代碼、風(fēng)險(xiǎn)參數(shù)、Hash串。
[0139]需要說明的是:該裝置的實(shí)施例是與上述實(shí)施例2中所述方法相對應(yīng)的裝置,上述實(shí)施例2所述的方法中的所有特征均適用于該裝置的實(shí)施例中,也能達(dá)到相同的技術(shù)效
果O
[0140]上述實(shí)施例3和4所述的裝置同樣可以通過客戶端所在的終端側(cè),基于環(huán)境變量對個(gè)人身份進(jìn)行風(fēng)險(xiǎn)評估,來動態(tài)的決定認(rèn)證的級別。具備以下功能:
[0141]對應(yīng)用于客戶端的裝置來說:能夠?qū)⒂脩舻氖褂昧?xí)慣和環(huán)境因素納入安全評估中,并保留上一次非“自動型”認(rèn)證的令牌證書及風(fēng)險(xiǎn)參數(shù)來自動型認(rèn)證,還可以根據(jù)失敗認(rèn)證的環(huán)境變量來修改風(fēng)險(xiǎn)檔案。[0142]對應(yīng)用于認(rèn)證服務(wù)器的裝置來說:能夠收集“增強(qiáng)型事件”,根據(jù)客戶端收集的增強(qiáng)型事件和每次成功的認(rèn)證的環(huán)境參數(shù)進(jìn)行統(tǒng)計(jì)分析,自動生成增強(qiáng)型問題;
[0143]綜上所述,本實(shí)施例的裝置具有以下優(yōu)點(diǎn):
[0144]1.減少了真實(shí)用戶輸入用戶名和密碼的認(rèn)證步驟;
[0145]2.變向地?cái)U(kuò)展了認(rèn)證服務(wù)器的處理能力;
[0146]3.通過增加了增強(qiáng)安全環(huán)節(jié),給盜用者提高了難度。
[0147]實(shí)施例5
[0148]一種身份認(rèn)證系統(tǒng),包括:客戶端和認(rèn)證服務(wù)器,所述客戶端包括如上所述的應(yīng)用于客戶端的身份認(rèn)證裝置,以及應(yīng)用于認(rèn)證服務(wù)器的身份認(rèn)證裝置。
[0149]本系統(tǒng)同樣能夠?qū)⒂脩舻氖褂昧?xí)慣和環(huán)境因素納入安全評估中,并保留上一次非“自動型”認(rèn)證的令牌證書及風(fēng)險(xiǎn)參數(shù)來自動型認(rèn)證,還可以根據(jù)失敗認(rèn)證的環(huán)境變量來修改風(fēng)險(xiǎn)檔案。進(jìn)一步地,本系統(tǒng)通過收集“增強(qiáng)型事件”和每次成功的認(rèn)證的環(huán)境參數(shù)進(jìn)行統(tǒng)計(jì)分析,自動生成增強(qiáng)型問題。從而使用戶的身份認(rèn)證更安全、更快捷。
[0150]以上所述是本發(fā)明的優(yōu)選實(shí)施方式,應(yīng)當(dāng)指出,對于本【技術(shù)領(lǐng)域】的普通技術(shù)人員來說,在不脫離本發(fā)明所述原理的前提下,還可以作出若干改進(jìn)和潤飾,這些改進(jìn)和潤飾也應(yīng)視為本發(fā)明的保護(hù)范圍。
【權(quán)利要求】
1.一種身份認(rèn)證方法,應(yīng)用于客戶端,其特征在于,包括: 對客戶端的環(huán)境變量進(jìn)行風(fēng)險(xiǎn)評估,得到風(fēng)險(xiǎn)評估結(jié)果; 根據(jù)所述風(fēng)險(xiǎn)評估結(jié)果,動態(tài)選擇認(rèn)證類型; 根據(jù)選擇的認(rèn)證類型,發(fā)送認(rèn)證請求給身份認(rèn)證服務(wù)器; 接收所述身份認(rèn)證服務(wù)器反饋的認(rèn)證成功或者失敗的反饋信息。
2.根據(jù)權(quán)利要求1所述的身份認(rèn)證方法,其特征在于,對客戶端的環(huán)境變量進(jìn)行風(fēng)險(xiǎn)評估,得到風(fēng)險(xiǎn)評估結(jié)果的步驟包括: 對客戶端檢測到的當(dāng)前地點(diǎn)、所處的環(huán)境、客戶端所在終端的移動情況、所述終端上的相關(guān)應(yīng)用使用的規(guī)律進(jìn)行風(fēng)險(xiǎn)評估,得到風(fēng)險(xiǎn)評估結(jié)果。
3.根據(jù)權(quán)利要求1所述的身份認(rèn)證方法,其特征在于,根據(jù)所述風(fēng)險(xiǎn)評估結(jié)果,動態(tài)選擇認(rèn)證類型的步驟包括: 若所述風(fēng)險(xiǎn)評估結(jié)果為:沒有風(fēng)險(xiǎn)檔案存在,則自動選擇“增強(qiáng)型登錄”的認(rèn)證類型;否則,根據(jù)風(fēng)險(xiǎn)檔案得到安全風(fēng)險(xiǎn)級別,根據(jù)所述安全風(fēng)險(xiǎn)級別選擇“常規(guī)型登錄”或者“自動型登錄”或者“增強(qiáng)型登錄”的認(rèn)證類型。
4.根據(jù)權(quán)利要求3所述的身份認(rèn)證方法,其特征在于,根據(jù)選擇的認(rèn)證類型,發(fā)送認(rèn)證請求給身份認(rèn)證服務(wù)器的步驟包括: 在選擇“自動型登錄”的認(rèn)證類型進(jìn)行登錄時(shí),自動將預(yù)先保存的用戶信息加密后,直接發(fā)送“自動認(rèn)證請求”給認(rèn)證服務(wù)器。
5.根據(jù)權(quán)利要求3所述的身份認(rèn)證方法,其特征在于,根據(jù)選擇的認(rèn)證類型,發(fā)送認(rèn)證請求給身份認(rèn)證服務(wù)器的步驟包括: 在選擇“常規(guī)型登錄”的認(rèn)證類型進(jìn)行登錄時(shí),獲取用戶輸入的用戶信息,并加密后,發(fā)送“常規(guī)認(rèn)證請求”給認(rèn)證服務(wù)器。
6.根據(jù)權(quán)利要求3所述的身份認(rèn)證方法,其特征在于,根據(jù)選擇的認(rèn)證類型,發(fā)送認(rèn)證請求給身份認(rèn)證服務(wù)器的步驟包括: 在選擇“增強(qiáng)型登錄”的認(rèn)證類型進(jìn)行登錄時(shí),獲取用戶輸入的用戶信息以及所述客戶端檢測到的增強(qiáng)型事件以及安全風(fēng)險(xiǎn)級別,加密后,發(fā)送“增強(qiáng)認(rèn)證請求”給認(rèn)證服務(wù)器。
7.根據(jù)權(quán)利要求6所述的身份認(rèn)證方法,其特征在于,所述增強(qiáng)型事件包括: 用戶在指定時(shí)間段內(nèi)的環(huán)境、用戶在指定時(shí)間段內(nèi)使用過的應(yīng)用、用戶上一次主要系統(tǒng)事件發(fā)生的時(shí)間及環(huán)境、用戶主要使用該終端或者應(yīng)用的時(shí)間和/或用戶主要使用的設(shè)備或者應(yīng)用的環(huán)境。
8.根據(jù)權(quán)利要求1所述的身份認(rèn)證方法,其特征在于,接收所述身份認(rèn)證服務(wù)器反饋的認(rèn)證成功或者失敗的反饋信息后還包括: 根據(jù)所述反饋信息,更新保存于本地的風(fēng)險(xiǎn)檔案庫。
9.一種身份認(rèn)證方法,應(yīng)用于認(rèn)證服務(wù)器,其特征在于,包括: 接收客戶端發(fā)送的用戶選擇的身份認(rèn)證類型的認(rèn)證請求; 根據(jù)認(rèn)證請求,向客戶端反饋認(rèn)證成功或者失敗的反饋信息。
10.根據(jù)權(quán)利要求9所述的身份認(rèn)證方法,其特征在在于,根據(jù)認(rèn)證請求,向客戶端反饋認(rèn)證成功或者失敗的反饋信息的步驟包括: 若所述認(rèn)證類型為“自動型登錄”,則根據(jù)所述認(rèn)證請求判斷發(fā)送所述認(rèn)證請求的用戶的安全設(shè)定記錄,若所述安全設(shè)定記錄支持并符合“自動型登錄”的條件,則直接向所述客戶端反饋認(rèn)證令牌,否則,向所述客戶端反饋認(rèn)證失敗的反饋信息。
11.根據(jù)權(quán)利要求9所述的身份認(rèn)證方法,其特征在在于,根據(jù)認(rèn)證請求,向客戶端反饋認(rèn)證成功或者失敗的反饋信息的步驟包括: 若所述認(rèn)證類型為“常規(guī)型登錄”,則根據(jù)所述認(rèn)證請求判斷認(rèn)證通過,則向所述客戶端反饋簽了名的認(rèn)證令牌,否則,向所述客戶端反饋認(rèn)證失敗的反饋信息。
12.根據(jù)權(quán)利要求9所述的身份認(rèn)證方法,其特征在在于,根據(jù)認(rèn)證請求,向客戶端反饋認(rèn)證成功或者失敗的反饋信息的步驟包括: 若所述認(rèn)證類型為“增強(qiáng)型登錄”,則根據(jù)所述認(rèn)證請求,與所述客戶端交互確認(rèn)后,判斷認(rèn)證通過,則向所述客戶端反饋簽了名的認(rèn)證令牌,否則,向所述客戶端反饋認(rèn)證失敗的反饋信息。
13.一種身份認(rèn)證裝置,應(yīng)用于客戶端,其特征在于,包括: 評估模塊,用于對客戶端的環(huán)境變量進(jìn)行風(fēng)險(xiǎn)評估,得到風(fēng)險(xiǎn)評估結(jié)果; 動態(tài)選擇模塊,用于根據(jù)所述風(fēng)險(xiǎn)評估結(jié)果,動態(tài)選擇認(rèn)證類型; 發(fā)送模塊,用于根據(jù)選擇的認(rèn)證類型,發(fā)送認(rèn)證請求給身份認(rèn)證服務(wù)器; 第一接收模塊,用于接收所述身份認(rèn)證服務(wù)器反饋的認(rèn)證成功或者失敗的反饋信息。
14.根據(jù)權(quán)利要求13所述的身份認(rèn)證裝置,其特征在于,動態(tài)選擇模塊具體用于:若所述風(fēng)險(xiǎn)評估結(jié)果為:沒有風(fēng)險(xiǎn)檔案存在,則自動選 擇“增強(qiáng)型登錄”的認(rèn)證類型;否則,根據(jù)風(fēng)險(xiǎn)檔案得到安全風(fēng)險(xiǎn)級別,根據(jù)所述安全風(fēng)險(xiǎn)級別選擇“常規(guī)型登錄”或者“自動型登錄”或者“增強(qiáng)型登錄”的認(rèn)證類型。
15.一種身份認(rèn)證裝置,應(yīng)用于認(rèn)證服務(wù)器,其特征在于,包括: 第二接收模塊,用于接收客戶端發(fā)送的用戶選擇的身份認(rèn)證類型的認(rèn)證請求; 處理模塊,用于根據(jù)認(rèn)證請求,向客戶端反饋認(rèn)證成功或者失敗的反饋信息。
16.根據(jù)權(quán)利要求15所述的身份認(rèn)證裝置,其特征在在于,所述處理模塊具體用于:若所述認(rèn)證類型為“自動型登錄”,則根據(jù)所述認(rèn)證請求判斷發(fā)送所述認(rèn)證請求的用戶的安全設(shè)定記錄,若所述安全設(shè)定記錄支持并符合“自動型登錄”的條件,則直接向所述客戶端反饋認(rèn)證令牌,否則,向所述客戶端反饋認(rèn)證失敗的反饋信息;或者 若所述認(rèn)證類型為“常規(guī)型登錄”,則根據(jù)所述認(rèn)證請求判斷認(rèn)證通過,則向所述客戶端反饋簽了名的認(rèn)證令牌,否則,向所述客戶端反饋認(rèn)證失敗的反饋信息;或者 若所述認(rèn)證類型為“增強(qiáng)型登錄”,則根據(jù)所述認(rèn)證請求,與所述客戶端交互確認(rèn)后,判斷認(rèn)證通過,則向所述客戶端反饋簽了名的認(rèn)證令牌,否則,向所述客戶端反饋認(rèn)證失敗的反饋信息。
17.一種身份認(rèn)證系統(tǒng),客戶端和認(rèn)證服務(wù)器,其特征在在于,所述客戶端包括如權(quán)利要求13所述的身份認(rèn)證裝置,所述認(rèn)證服務(wù)器包括如權(quán)利要求15所述的身份認(rèn)證裝置。
【文檔編號】H04L9/32GK103888255SQ201210563905
【公開日】2014年6月25日 申請日期:2012年12月21日 優(yōu)先權(quán)日:2012年12月21日
【發(fā)明者】趙振剛 申請人:中國移動通信集團(tuán)公司