本申請(qǐng)涉及信息安全領(lǐng)域，尤其涉及一種身份認(rèn)證方法及裝置。

背景技術(shù)：

現(xiàn)如今，網(wǎng)絡(luò)技術(shù)飛速發(fā)展。一方面，網(wǎng)絡(luò)技術(shù)為人們的生活提供了便利，提升了人們的工作效率。另一方面，網(wǎng)絡(luò)安全問題也層出不窮，對(duì)人們的生活造成了困擾。

為方便用戶使用并保證用戶數(shù)據(jù)安全，在用戶登錄任一平臺(tái)時(shí)，通常需輸入賬號(hào)以及登錄密碼。服務(wù)器根據(jù)用戶輸入的賬號(hào)以及登錄密碼對(duì)用戶進(jìn)行身份認(rèn)證，若認(rèn)證成功，則接受用戶的訪問。

但是，用戶的賬號(hào)及密碼極易受到非法盜取，進(jìn)而導(dǎo)致用戶的數(shù)據(jù)安全將遭到極大威脅。

技術(shù)實(shí)現(xiàn)要素：

本申請(qǐng)實(shí)施例提供一種身份認(rèn)證方法及裝置，用以解決現(xiàn)有技術(shù)中使用賬號(hào)及密碼的登錄方式的安全性較低的缺陷。

本申請(qǐng)實(shí)施例提供一種身份認(rèn)證方法，包括：

獲取用戶輸入的登錄賬號(hào)、登錄密碼以及第一登錄口令；

根據(jù)所述用戶賬號(hào)以及所述登錄密碼，對(duì)所述用戶進(jìn)行合法性驗(yàn)證以及權(quán)限鑒別；

確定所述用戶通過所述合法性驗(yàn)證以及所述權(quán)限鑒別之后，調(diào)用預(yù)先配置的身份認(rèn)證服務(wù)，驗(yàn)證所述第一登錄口令的有效性；

在所述第一登錄口令通過有效性驗(yàn)證時(shí)，確定所述用戶通過身份認(rèn)證。

進(jìn)一步可選地，根據(jù)所述用戶賬號(hào)以及所述登錄密碼，對(duì)所述用戶進(jìn)行合法性驗(yàn)證以及權(quán)限鑒別，包括：將所述登錄賬號(hào)在數(shù)據(jù)庫(kù)中進(jìn)行匹配；若在所述數(shù)據(jù)庫(kù)中匹配到所述登錄賬號(hào)，確定所述用戶是合法用戶；根據(jù)所述登錄賬號(hào)在所述數(shù)據(jù)庫(kù)中查詢所述登錄賬號(hào)對(duì)應(yīng)的用戶密碼；若查詢到的所述用戶密碼與所述登錄密碼一致，則確定所述用戶具有登錄權(quán)限。

進(jìn)一步可選地，在獲取第一登錄口令之前，所述方法包括：根據(jù)所述用戶請(qǐng)求登錄口令時(shí)的時(shí)間戳以及與所述用戶賬號(hào)對(duì)應(yīng)的密鑰隨機(jī)生成所述第一登錄口令；顯示所述第一登錄口令。

進(jìn)一步可選地，調(diào)用預(yù)先配置的身份認(rèn)證服務(wù)，驗(yàn)證所述第一登錄口令的有效性，包括：根據(jù)所述身份認(rèn)證服務(wù)的類型，從可插拔的認(rèn)證模塊(pam)中，調(diào)用所述身份認(rèn)證服務(wù)對(duì)應(yīng)的配置文件；根據(jù)所述配置文件，加載預(yù)存在指定路徑下的所述身份認(rèn)證服務(wù)的認(rèn)證庫(kù)文件；通過所述認(rèn)證庫(kù)文件對(duì)所述第一口令進(jìn)行有效性驗(yàn)證。

進(jìn)一步可選地，根據(jù)所述配置文件，加載預(yù)存在指定路徑下的所述身份認(rèn)證服務(wù)的認(rèn)證庫(kù)文件，包括：通過所述配置文件的鑒別類接口，確定所述指定路徑；根據(jù)所述指定路徑，加載所述認(rèn)證庫(kù)文件。

進(jìn)一步可選地，通過所述認(rèn)證庫(kù)文件對(duì)所述第一口令進(jìn)行有效性驗(yàn)證，包括：驗(yàn)證所述第一登錄口令與所述身份認(rèn)證服務(wù)根據(jù)所述用戶登錄時(shí)的時(shí)間戳，以及所述用戶賬號(hào)對(duì)應(yīng)的密鑰生成的第二登錄口令的一致性；若所述第一登錄口令與所述第二登錄口令一致，則確定所述第一登錄口令通過有效性驗(yàn)證。

本申請(qǐng)實(shí)施例提供一種身份認(rèn)證裝置，包括：

數(shù)據(jù)獲取模塊，用于獲取用戶輸入的登錄賬號(hào)、登錄密碼以及第一登錄口令；

第一認(rèn)證模塊，用于根據(jù)所述用戶賬號(hào)以及所述登錄密碼，對(duì)所述用戶進(jìn)行合法性驗(yàn)證以及權(quán)限鑒別；

第二認(rèn)證模塊，用于確定所述用戶通過所述合法性驗(yàn)證以及所述權(quán)限鑒別之后，調(diào)用預(yù)先配置的身份認(rèn)證服務(wù)，驗(yàn)證所述第一登錄口令的有效性；

確定模塊，用于在所述第一登錄口令通過有效性驗(yàn)證時(shí)，確定所述用戶通過身份認(rèn)證。

進(jìn)一步可選地，所述第一認(rèn)證模塊具體用于：將所述登錄賬號(hào)在數(shù)據(jù)庫(kù)中進(jìn)行匹配；若在所述數(shù)據(jù)庫(kù)中匹配到所述登錄賬號(hào)，確定所述用戶是合法用戶；根據(jù)所述登錄賬號(hào)在所述數(shù)據(jù)庫(kù)中查詢所述登錄賬號(hào)對(duì)應(yīng)的用戶密碼；若查詢到的所述用戶密碼與所述登錄密碼一致，則確定所述用戶具有登錄權(quán)限。

進(jìn)一步可選地，所述裝置還包括口令生成模塊，所述口令生成模塊具體用于：在獲取第一登錄口令之前，根據(jù)所述用戶請(qǐng)求登錄口令時(shí)的時(shí)間戳以及與所述用戶賬號(hào)對(duì)應(yīng)的密鑰隨機(jī)生成所述第一登錄口令；顯示所述第一登錄口令。

進(jìn)一步可選地，所述第二認(rèn)證模塊，具體用于：根據(jù)所述身份認(rèn)證服務(wù)的類型，從可插拔的認(rèn)證模塊(pam)中，調(diào)用所述身份認(rèn)證服務(wù)對(duì)應(yīng)的配置文件；根據(jù)所述配置文件，加載預(yù)存在指定路徑下的所述身份認(rèn)證服務(wù)的認(rèn)證庫(kù)文件；通過所述認(rèn)證庫(kù)文件對(duì)所述第一口令進(jìn)行有效性驗(yàn)證。

本申請(qǐng)實(shí)施例提供的一種身份認(rèn)證方法及裝置，在根據(jù)用戶賬號(hào)以及用戶的登錄密碼，對(duì)用戶進(jìn)行合法性驗(yàn)證以及權(quán)限鑒別之后，進(jìn)一步采用預(yù)先配置的身份認(rèn)證服務(wù)對(duì)用戶輸入的第一登錄口令進(jìn)行有效性驗(yàn)證。在第一登錄口令通過有效性驗(yàn)證之后，才可確定該用戶通過身份認(rèn)證，進(jìn)一步增加了用戶賬號(hào)的安全性，保障了用戶的數(shù)據(jù)安全。

附圖說明

為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作一簡(jiǎn)單地介紹，顯而易見地，下面描述中的附圖是本發(fā)明的一些實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1是本申請(qǐng)實(shí)施例提供的一身份認(rèn)證方法的流程示意圖；

圖2是本申請(qǐng)實(shí)施例提供的另一身份認(rèn)證方法的流程示意圖；

圖3是本申請(qǐng)實(shí)施例提供的一身份認(rèn)證裝置的結(jié)構(gòu)示意圖。

具體實(shí)施方式

為使本發(fā)明實(shí)施例的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚，下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例。基于本發(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。

針對(duì)現(xiàn)有的用戶在登錄時(shí)存在的賬號(hào)安全問題，本申請(qǐng)實(shí)施例提供一種解決方案，其核心原理是：根據(jù)用戶對(duì)登錄口令的請(qǐng)求，為用戶生成登錄口令。用戶采用賬號(hào)、密碼以及該登錄口令進(jìn)行登錄；在確定用戶賬號(hào)以及密碼通過驗(yàn)證后，進(jìn)一步驗(yàn)證該登錄口令的正確性。通過進(jìn)一步驗(yàn)證該登錄口令的正確性，避免了用戶賬號(hào)被非法盜取時(shí)所產(chǎn)生的風(fēng)險(xiǎn)，進(jìn)而提升了用戶數(shù)據(jù)的安全性。

圖1是本申請(qǐng)實(shí)施例提供的一身份認(rèn)證方法的流程示意圖，結(jié)合圖1，該方法包括：

步驟101、獲取用戶輸入的登錄賬號(hào)、登錄密碼以及第一登錄口令。

步驟102、根據(jù)用戶賬號(hào)以及登錄密碼，對(duì)用戶進(jìn)行合法性驗(yàn)證以及權(quán)限鑒別。

步驟103、確定用戶通過合法性驗(yàn)證以及權(quán)限鑒別之后，調(diào)用預(yù)先配置的身份認(rèn)證服務(wù)，驗(yàn)證第一登錄口令的有效性。

步驟104、在第一登錄口令通過有效性驗(yàn)證時(shí)，確定用戶通過身份認(rèn)證。

針對(duì)步驟101，在用戶登錄某一平臺(tái)或客戶端時(shí)，該平臺(tái)或客戶端會(huì)提供一頁(yè)面，該頁(yè)面包含登錄提示信息以及賬戶和密碼輸入?yún)^(qū)。用戶根據(jù)登錄提示信息在賬戶和密碼輸入?yún)^(qū)內(nèi)輸入對(duì)應(yīng)的賬戶和密碼，從而，身份認(rèn)證裝置可獲取用戶所輸入的內(nèi)容并對(duì)用戶進(jìn)行身份認(rèn)證。

在本步驟中，登錄提示信息還提示用戶在密碼輸入?yún)^(qū)輸入登錄口令。該登錄口令是身份認(rèn)證服務(wù)給用戶提供的、與當(dāng)前時(shí)間相關(guān)的隨機(jī)數(shù)，用于進(jìn)一步對(duì)用戶進(jìn)行身份認(rèn)證。為便于后續(xù)描述以及區(qū)分，標(biāo)記該登錄口令為第一登錄口令。

針對(duì)步驟102，在獲取用戶賬號(hào)之后，首先判斷該用戶賬號(hào)對(duì)應(yīng)的用戶是否為合法用戶，例如，判斷該用戶賬號(hào)是否存在于本地或者遠(yuǎn)程的數(shù)據(jù)庫(kù)中，若存在，繼續(xù)判斷該用戶賬號(hào)是否過期，若未過期，則確定該用戶賬號(hào)對(duì)應(yīng)的用戶是合法用戶；否則，確定該用戶賬號(hào)對(duì)應(yīng)的用戶為非法用戶，不再進(jìn)行下一步認(rèn)證并拒絕登錄。

進(jìn)一步地，在驗(yàn)證用戶賬號(hào)的合法性之后，用戶進(jìn)行權(quán)限鑒別。例如，驗(yàn)證該用戶輸入的登錄密碼與本地或者遠(yuǎn)程的數(shù)據(jù)庫(kù)中保存的該用戶賬號(hào)對(duì)應(yīng)的密碼是否一致，若一直，則確定該用戶具有登錄權(quán)限；若不一致，則不再進(jìn)行下一步認(rèn)證并拒絕登錄。

針對(duì)步驟103、在上一步驟確定該用戶通過合法性驗(yàn)證以及權(quán)限鑒別之后，調(diào)用預(yù)先配置的身份認(rèn)證服務(wù)，驗(yàn)證該用戶輸入的第一登錄口令的有效性。

預(yù)先配置的身份認(rèn)證服務(wù)，可由預(yù)先配置于身份認(rèn)證裝置的身份認(rèn)證模塊實(shí)現(xiàn)。該身份認(rèn)證服務(wù)用于生成該用戶對(duì)應(yīng)的第二登錄口令，并驗(yàn)證第一登錄口令以及第二登錄口令的一致性。

針對(duì)步驟104、若上一步驟中，第一登錄口令以及第二登錄口令完全一致，則可確定第一登錄口令通過有效性驗(yàn)證，進(jìn)而確定該用戶通過身份認(rèn)證，為用戶展示登錄后的內(nèi)容。

本實(shí)施例提供的一種身份認(rèn)證方法，在根據(jù)用戶賬號(hào)以及用戶的登錄密碼，對(duì)用戶進(jìn)行合法性驗(yàn)證以及權(quán)限鑒別之后，進(jìn)一步采用預(yù)先配置的身份認(rèn)證服務(wù)對(duì)用戶輸入的第一登錄口令進(jìn)行有效性驗(yàn)證。在第一登錄口令通過有效性驗(yàn)證之后，才可確定該用戶通過身份認(rèn)證，進(jìn)一步增加了用戶賬號(hào)的安全性，保障了用戶的數(shù)據(jù)安全。

在一種可選的實(shí)施方式中，本申請(qǐng)實(shí)施例提供的身份認(rèn)證方法可以由內(nèi)置有谷歌身份認(rèn)證服務(wù)(googleauthenticator)的遠(yuǎn)程撥號(hào)認(rèn)證服務(wù)(radius，remoteauthenticationdialinuserservice)實(shí)現(xiàn)。在本申請(qǐng)實(shí)施例中，谷歌身份認(rèn)證服務(wù)，由安裝于用戶的終端設(shè)備上的谷歌身份認(rèn)證客戶端以及內(nèi)嵌于遠(yuǎn)程撥號(hào)認(rèn)證服務(wù)的谷歌身份認(rèn)證服務(wù)端組合完成。

在本申請(qǐng)實(shí)施例中，遠(yuǎn)程撥號(hào)認(rèn)證服務(wù)(radius)內(nèi)置谷歌身份認(rèn)證服務(wù)(googleauthenticator)后，遠(yuǎn)程撥號(hào)認(rèn)證服務(wù)會(huì)向用戶提供一個(gè)與用戶賬號(hào)對(duì)應(yīng)的默認(rèn)的密鑰。用戶在終端設(shè)備上以用戶賬號(hào)登錄谷歌身份認(rèn)證客戶端時(shí)，需輸入該用戶賬號(hào)對(duì)應(yīng)的密鑰。谷歌身份認(rèn)證客戶端將該密鑰保存至本地，進(jìn)而，后續(xù)用戶需要登錄內(nèi)置有谷歌身份認(rèn)證服務(wù)的遠(yuǎn)程撥號(hào)認(rèn)證服務(wù)時(shí)，可預(yù)先從谷歌身份認(rèn)證服務(wù)的客戶端上請(qǐng)求登錄口令。谷歌身份認(rèn)證服務(wù)的客戶端根據(jù)用戶請(qǐng)求登錄口令時(shí)的時(shí)間戳，以及本地保存的用戶賬號(hào)對(duì)應(yīng)的密鑰生成一串隨機(jī)數(shù)，該隨機(jī)數(shù)即為第一登錄口令。

在遠(yuǎn)程撥號(hào)認(rèn)證服務(wù)調(diào)用谷歌身份認(rèn)證服務(wù)時(shí)，內(nèi)嵌于遠(yuǎn)程撥號(hào)認(rèn)證服務(wù)的谷歌身份認(rèn)證服務(wù)端，利用該密鑰以及被調(diào)用的時(shí)的時(shí)間戳生成第二登錄口令。通過判斷第一登錄口令以及第二登錄口令的一致性即可完成對(duì)用戶身份的認(rèn)證。以下將結(jié)合圖2對(duì)該身份認(rèn)證方法進(jìn)行進(jìn)一步地闡述。

圖2是本申請(qǐng)實(shí)施例提供的另一身份認(rèn)證方法的流程示意圖，結(jié)合圖2，該方法包括：

步驟201、根據(jù)用戶請(qǐng)求登錄口令時(shí)的時(shí)間戳以及與用戶賬號(hào)對(duì)應(yīng)的密鑰隨機(jī)生成第一登錄口令，并顯示第一登錄口令。

步驟202、獲取用戶輸入的登錄賬號(hào)、登錄密碼以及第一登錄口令。

步驟203、根據(jù)用戶賬號(hào)以及登錄密碼，對(duì)用戶進(jìn)行合法性驗(yàn)證以及權(quán)限鑒別。

步驟204、根據(jù)身份認(rèn)證服務(wù)的類型，從可插拔的認(rèn)證模塊(pam)中，調(diào)用身份認(rèn)證服務(wù)對(duì)應(yīng)的配置文件。

步驟205、根據(jù)配置文件，加載預(yù)存在指定路徑下的身份認(rèn)證服務(wù)的認(rèn)證庫(kù)文件。

步驟206、通過所述認(rèn)證庫(kù)文件對(duì)第一口令進(jìn)行有效性驗(yàn)證。

步驟207、在第一登錄口令通過有效性驗(yàn)證時(shí)，確定用戶通過身份認(rèn)證。

針對(duì)步驟201、用戶通radius客戶端進(jìn)行登錄操作前，預(yù)先從安裝于終端設(shè)備上的谷歌身份認(rèn)證客戶端獲取動(dòng)態(tài)的登錄口令。此時(shí)，谷歌身份認(rèn)證客戶端根據(jù)該用戶的賬號(hào)查詢本地保存的與該用戶賬號(hào)對(duì)應(yīng)的密鑰，以及用戶請(qǐng)求登錄口令時(shí)的時(shí)間戳，生成第一登錄口令，并向用戶展示該第一登錄口令。可選的，在展示該第一登錄口令時(shí)，展示該第一登錄口令的有效時(shí)間，以提示用戶在有效的時(shí)間范圍內(nèi)采用該第一登錄口令進(jìn)行身份認(rèn)證。

針對(duì)步驟202，在用戶登錄時(shí)，radius客戶端獲取用戶的登錄賬號(hào)、登錄密碼以及第一登錄口令。根據(jù)獲取到的用戶的登錄賬號(hào)、登錄密碼，向radius服務(wù)器發(fā)送認(rèn)證請(qǐng)求包(access-request)。

針對(duì)步驟203，radius服務(wù)器獲取認(rèn)證請(qǐng)求包之后，結(jié)合本地或遠(yuǎn)程數(shù)據(jù)庫(kù)中保存的用戶數(shù)據(jù)，對(duì)認(rèn)證請(qǐng)求包中攜帶的用戶的登錄賬號(hào)、登錄密碼進(jìn)行合法性驗(yàn)證以及權(quán)限鑒別。

可選的，radius服務(wù)器進(jìn)行合法性驗(yàn)證以及權(quán)限鑒別可以通過如下的過程實(shí)現(xiàn)：首先將登錄賬號(hào)在數(shù)據(jù)庫(kù)中進(jìn)行匹配；若在數(shù)據(jù)庫(kù)中匹配到該登錄賬號(hào)，確定該用戶是合法用戶；其次，根據(jù)該登錄賬號(hào)在數(shù)據(jù)庫(kù)中查詢?cè)摰卿涃~號(hào)對(duì)應(yīng)的用戶密碼；若查詢到的用戶密碼與該用戶輸入的登錄密碼一致，則確定該用戶具有登錄權(quán)限。

如果radius服務(wù)器對(duì)該用戶進(jìn)行合法性驗(yàn)證以及權(quán)限鑒別成功，則將用戶的權(quán)限信息以接受訪問數(shù)據(jù)包(access-accept)發(fā)送給radius客戶端；如果認(rèn)證失敗，則返回拒絕訪問數(shù)據(jù)包(access-reject)至radius客戶端,以使radius客戶端拒絕用戶登錄。

針對(duì)步驟204、可選的，在本申請(qǐng)實(shí)施例中，在接收到radius服務(wù)器發(fā)送的接受訪問數(shù)據(jù)包(access-accept)之后，通過可插拔的認(rèn)證模塊(pam)調(diào)用預(yù)先配置的身份認(rèn)證服務(wù)。

可插拔的認(rèn)證模塊(pam)，是一套共享庫(kù)，由一組共享庫(kù)文件和一些配置文件組成的。當(dāng)接收到身份認(rèn)證服務(wù)的請(qǐng)求時(shí)，具有pam認(rèn)證功能的radius客戶端將與共享庫(kù)中包含的庫(kù)文件進(jìn)行交互，以便得知是否可以授權(quán)給發(fā)起請(qǐng)求的用戶來使用相應(yīng)的身份認(rèn)證服務(wù)。

pam通過配置文件來管理不同類型的身份認(rèn)證服務(wù)，配置文件指定了身份認(rèn)證服務(wù)的類型，即指定調(diào)用哪種身份認(rèn)證方法。pam核心庫(kù)(libpam)可以讀取配置文件并以該配置文件為依據(jù)將radius和相應(yīng)的身份認(rèn)證方法聯(lián)系起來。因此，radius客戶端可以根據(jù)所綁定的身份認(rèn)證服務(wù)的類型，從可插拔的認(rèn)證模塊(pam)中，調(diào)用該身份認(rèn)證服務(wù)對(duì)應(yīng)的配置文件，進(jìn)而實(shí)現(xiàn)對(duì)該身份認(rèn)證服務(wù)的調(diào)用。

針對(duì)步驟205，可選的，預(yù)存有身份認(rèn)證庫(kù)文件的指定路徑配置于配置文件的鑒別類接口(auth)中，通過讀取配置文件的鑒別類接口所配置的內(nèi)容，即可確定所述指定路徑并從所述指定路徑，以加載動(dòng)態(tài)庫(kù)的形式加載身份認(rèn)證服務(wù)的認(rèn)證庫(kù)文件。

鑒別類接口，即radius所使用的pam的認(rèn)證接口類型。pam有四種類型的接口，auth(鑒別類接口)、account(賬戶類接口)、session(會(huì)話類接口)、password(口令類接口)。上述四種類型的接口分別對(duì)應(yīng)不同的功能，auth(鑒別類接口)，主要負(fù)責(zé)賬戶合法性檢查，確認(rèn)帳號(hào)是否過期，是否有權(quán)限登錄系統(tǒng)等。

在鑒別類接口配置認(rèn)證庫(kù)文件的指定路徑之后，還需設(shè)置該鑒別類接口的控制位(control_flag)?？刂莆灰?guī)定了如何處理認(rèn)證服務(wù)認(rèn)證的結(jié)果，其取值分別為required、requisite、sufficient或_optional。

required：表示該接口所涉及到的身份認(rèn)證服務(wù)的成功是用戶通過身份認(rèn)證的必要條件。只有在所有控制位取值為required的接口對(duì)應(yīng)的認(rèn)證服務(wù)全部成功后，才能將鑒別成功消息傳送至radius客戶端。如果任何取值為required的接口對(duì)應(yīng)的認(rèn)證服務(wù)出現(xiàn)了錯(cuò)誤，pam并不立刻將錯(cuò)誤消息返回給radius，而是在所有接口都調(diào)用完畢后才將錯(cuò)誤消息返回至radius客戶端。

requisite：表示該接口所涉及到的身份認(rèn)證服務(wù)的成功是用戶通過身份認(rèn)證的必要條件，且控制位取值為requisite的接口一旦失敗就不再執(zhí)行后續(xù)其他接口對(duì)應(yīng)的認(rèn)證服務(wù)，并且認(rèn)證服務(wù)過程到此結(jié)束，向radius客戶端返回錯(cuò)誤信息。

sufficient：表示該接口所涉及到的身份認(rèn)證服務(wù)的成功是用戶通過身份認(rèn)證的充分條件。即只要控制位取值為sufficient的接口一旦鑒別成功，那么pam便立即向radiu客戶端返回成功結(jié)果而不必嘗試任何其他接口對(duì)應(yīng)的身份認(rèn)證服務(wù)。

optional：表示該接口所涉及到的身份認(rèn)證服務(wù)即使失敗，用戶仍能夠通過認(rèn)證。

在本申請(qǐng)實(shí)施例中，設(shè)置auth(鑒別類接口)的控制位的取值為requisite，即，如果該鑒別類接口auth對(duì)應(yīng)的身份認(rèn)證服務(wù)的認(rèn)證失敗，則結(jié)束該身份認(rèn)證。

例如，在一種可選的實(shí)施方式中，可在配置文件中按照如下方式設(shè)置一auth(鑒別類接口)：

authrequisite/usr/local/lib/security/pam_google_authenticator.so

其中，requisite是auth的控制位的取值，/usr/local/lib/security/是預(yù)存身份認(rèn)證服務(wù)的庫(kù)文件的指定路徑，pam_google_authenticator.so即為身份認(rèn)證服務(wù)的庫(kù)文件。

針對(duì)步驟206，加載預(yù)存在指定路徑下的身份認(rèn)證服務(wù)的認(rèn)證庫(kù)文件即實(shí)現(xiàn)了對(duì)谷歌身份認(rèn)證服務(wù)端的調(diào)用。谷歌身份認(rèn)證服務(wù)端根據(jù)用戶登錄時(shí)的時(shí)間戳，以及用戶賬號(hào)對(duì)應(yīng)的密鑰生成的第二登錄口令，驗(yàn)證第一登錄口令與第二登錄口令的一致性；若第一登錄口令與第二登錄口令一致，則確定所述第一登錄口令通過有效性驗(yàn)證。

針對(duì)步驟207、在第一登錄口令通過有效性驗(yàn)證時(shí)，確定用戶通過身份認(rèn)證，接受用戶登錄請(qǐng)求，并為用戶展示登錄后的內(nèi)容。

本實(shí)施例提供的身份認(rèn)證方法，通過對(duì)pam的配置文件進(jìn)行配置，實(shí)現(xiàn)了將谷歌身份認(rèn)證服務(wù)嵌入radius服務(wù)，從而在用戶登錄時(shí)，基于radius對(duì)用戶進(jìn)行合法性驗(yàn)證以及權(quán)限鑒別的結(jié)果，進(jìn)一步采用谷歌身份認(rèn)證服務(wù)對(duì)用戶輸入的第一登錄口令進(jìn)行有效性驗(yàn)證。在第一登錄口令通過有效性驗(yàn)證之后，才可確定該用戶通過身份認(rèn)證，進(jìn)一步增加了用戶賬號(hào)的安全性，保障了用戶的數(shù)據(jù)安全。

圖3是本申請(qǐng)實(shí)施例提供的一身份認(rèn)證裝置的結(jié)構(gòu)示意圖，結(jié)合圖3，該裝置包括：

數(shù)據(jù)獲取模塊301，用于獲取用戶輸入的登錄賬號(hào)、登錄密碼以及第一登錄口令；

第一認(rèn)證模塊302，用于根據(jù)所述用戶賬號(hào)以及所述登錄密碼，對(duì)所述用戶進(jìn)行合法性驗(yàn)證以及權(quán)限鑒別；

第二認(rèn)證模塊303，用于確定所述用戶通過所述合法性驗(yàn)證以及所述權(quán)限鑒別之后，調(diào)用預(yù)先配置的身份認(rèn)證服務(wù)，驗(yàn)證所述第一登錄口令的有效性；

確定模塊304，用于在所述第一登錄口令通過有效性驗(yàn)證時(shí)，確定所述用戶通過身份認(rèn)證。

進(jìn)一步可選的，所述第一認(rèn)證模塊302具體用于：將所述登錄賬號(hào)在數(shù)據(jù)庫(kù)中進(jìn)行匹配；若在所述數(shù)據(jù)庫(kù)中匹配到所述登錄賬號(hào)，確定所述用戶是合法用戶；根據(jù)所述登錄賬號(hào)在所述數(shù)據(jù)庫(kù)中查詢所述登錄賬號(hào)對(duì)應(yīng)的用戶密碼；若查詢到的所述用戶密碼與所述登錄密碼一致，則確定所述用戶具有登錄權(quán)限。

進(jìn)一步可選地，所述裝置還包括口令生成模塊305，所述口令生成模塊具體用于：在獲取第一登錄口令之前，根據(jù)所述用戶請(qǐng)求登錄口令時(shí)的時(shí)間戳以及與所述用戶賬號(hào)對(duì)應(yīng)的密鑰隨機(jī)生成所述第一登錄口令；顯示所述第一登錄口令。

進(jìn)一步可選地，所述第二認(rèn)證模塊303，具體用于：根據(jù)所述身份認(rèn)證服務(wù)的類型，從可插拔的認(rèn)證模塊(pam)中，調(diào)用所述身份認(rèn)證服務(wù)對(duì)應(yīng)的配置文件；根據(jù)所述配置文件，加載預(yù)存在指定路徑下的所述身份認(rèn)證服務(wù)的認(rèn)證庫(kù)文件；通過所述認(rèn)證庫(kù)文件對(duì)所述第一口令進(jìn)行有效性驗(yàn)證。

進(jìn)一步可選地，所述第二認(rèn)證模塊303具體用于：通過所述配置文件的鑒別類接口，確定所述指定路徑；根據(jù)所述指定路徑，加載所述認(rèn)證庫(kù)文件。

進(jìn)一步可選地，所述第二認(rèn)證模塊303具體用于：驗(yàn)證所述第一登錄口令與所述身份認(rèn)證服務(wù)根據(jù)所述用戶登錄時(shí)的時(shí)間戳，以及所述用戶賬號(hào)對(duì)應(yīng)的密鑰生成的第二登錄口令的一致性；若所述第一登錄口令與所述第二登錄口令一致，則確定所述第一登錄口令通過有效性驗(yàn)證。

本實(shí)施例提供的身份認(rèn)證裝置，在根據(jù)用戶賬號(hào)以及用戶的登錄密碼，對(duì)用戶進(jìn)行合法性驗(yàn)證以及權(quán)限鑒別之后，進(jìn)一步采用預(yù)先配置的身份認(rèn)證服務(wù)對(duì)用戶輸入的第一登錄口令進(jìn)行有效性驗(yàn)證。在第一登錄口令通過有效性驗(yàn)證之后，才可確定該用戶通過身份認(rèn)證，進(jìn)一步增加了用戶賬號(hào)的安全性，保障了用戶的數(shù)據(jù)安全。

以上所描述的裝置實(shí)施例僅僅是示意性的，其中所述作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個(gè)地方，或者也可以分布到多個(gè)網(wǎng)絡(luò)單元上。可以根據(jù)實(shí)際的需要選擇其中的部分或者全部模塊來實(shí)現(xiàn)本實(shí)施例方案的目的。本領(lǐng)域普通技術(shù)人員在不付出創(chuàng)造性的勞動(dòng)的情況下，即可以理解并實(shí)施。

通過以上的實(shí)施方式的描述，本領(lǐng)域的技術(shù)人員可以清楚地了解到各實(shí)施方式可借助軟件加必需的通用硬件平臺(tái)的方式來實(shí)現(xiàn)，當(dāng)然也可以通過硬件?；谶@樣的理解，上述技術(shù)方案本質(zhì)上或者說對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來，該計(jì)算機(jī)軟件產(chǎn)品可以存儲(chǔ)在計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中，如rom/ram、磁碟、光盤等，包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī)，服務(wù)器，或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行各個(gè)實(shí)施例或者實(shí)施例的某些部分所述的方法。

最后應(yīng)說明的是：以上實(shí)施例僅用以說明本發(fā)明的技術(shù)方案，而非對(duì)其限制；盡管參照前述實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)的說明，本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解：其依然可以對(duì)前述各實(shí)施例所記載的技術(shù)方案進(jìn)行修改，或者對(duì)其中部分技術(shù)特征進(jìn)行等同替換；而這些修改或者替換，并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實(shí)施例技術(shù)方案的精神和范圍。