认证服务系统及方法技术方案

本发明专利技术公开一种认证服务系统及方法。本发明专利技术的方法包括如下步骤：从客户端装置接收针对第一认证因素的识别信息及基于第一认证因素生成的第一认证信息，并基于该识别信息向多个认证服务器中的一个传递第一认证信息，进而中继第一认证程序；在第一认证程序成功的情况下，生成第一访问令牌，并向客户端装置传送第一访问令牌；从客户端装置接收第一访问令牌，验证第一访问令牌的有效性；有效的情况下，从客户端装置接收针对第二认证因素的识别信息及第二认证信息，并基于该识别信息向多个认证服务器中的一个传递第二认证信息，进而中继第二认证程序；以及在第二认证程序成功的情况下，生成第二访问令牌，并向客户端装置传递第二访问令牌。

【技术实现步骤摘要】
认证服务系统及方法
本专利技术涉及一种利用多个认证因素的用户认证技术。
技术介绍
由于逐渐更加巧妙的黑客入侵技术，最近的互联网环境难以通过单一因素认证技术有效地应对各种各样智能的黑客入侵的威胁。通常，使用密码、短信服务(SMS)认证、一次性密码、数字证书等多种认证技术以进行用户认证。但是，攻击者正试图通过多种方法进行认证信息的入侵以获取金钱收益，因此，在仅应用单一因素认证技术的情况下，可能会造成相关信息泄漏的巨大危险。最近，作为用于完善单一因素认证技术的方法，结合了两种以上的单一因素认证技术的多因素认证(multi-factorauthentication)技术、基于风险的认证(riskbasedauthentication)正受到瞩目。【现有技术文献】【专利文献】韩国授权专利公报第10-1635278号(2016.07.01公布)
技术实现思路
本专利技术的实施例的目的在于提供一种认证服务系统及方法。根据本专利技术的一实施例的认证服务方法，包括如下步骤：(a)从客户端装置接收针对第一认证因素的识别信息及基于所述第一认证因素生成的第一认证信息，并基于针对所述第一认证因素的识别信息向多个认证服务器中的一个传递所述第一认证信息，进而中继所述客户端装置的针对用户的第一认证程序；(b)在所述第一认证程序成功的情况下，生成包含针对所述第一认证因素的识别信息的第一访问令牌(accesstoken)，并向所述客户端装置传送所述第一访问令牌；(c)从所述客户端装置接收第一访问令牌，进而验证接收的所述第一访问令牌的有效性；(d)在接收的所述第一访问令牌有效的情况下，从所述客户端装置接收针对第二认证因素的识别信息及基于所述第二认证因素生成的第二认证信息，并基于针对所述第二认证因素的识别信息向所述多个认证服务器中的一个传递所述第二认证信息，进而中继针对所述用户的第二认证程序；以及(e)在所述第二认证程序成功的情况下，生成包含分别针对所述第一认证因素及所述第二认证因素的识别信息的第二访问令牌，并向所述客户端装置传递所述第二访问令牌。所述第一认证因素及所述第二认证因素可以分别是基于知识的认证因素、基于持有的认证因素及基于特征的认证因素中的一种。所述多个认证服务器包括基于线上快速身份(FIDO：FastIdentityOnline)认证技术的认证服务器、基于一次性密码(OTP)的认证服务器、基于短信服务(SMS：ShortMessageService)的认证服务器、基于电子邮件(e-mail)的认证服务器、基于证书的认证服务器中的至少一种。所述认证服务方法还可以包括如下步骤：(f)在所述第一认证程序成功的情况下，基于与所述第一认证程序相关的风险因素(riskfactor)计算针对所述第一认证程序的风险评分；以及(g)基于所述风险评分判断是否执行所述第二认证程序，其中，在所述(b)步骤中，在需要执行所述第二认证程序的情况下，向所述客户端装置传递所述第一访问令牌及执行所述第二认证程序的请求，所述(c)步骤至所述(e)步骤在所述(b)步骤中传递了执行所述第二认证程序的请求的情况下执行。所述认证服务方法还可以包括如下步骤：(h)在所述第二认证程序成功的情况下，基于与所述第一认证程序及所述第二认证程序相关的风险因素计算风险评分。所述认证服务方法还可以包括如下步骤：(i)基于所述风险评分判断是否执行第三认证程序，其中，在所述(e)步骤中，在需要执行所述第三认证程序的情况下，向所述客户端装置传递所述第二访问令牌及执行所述第三认证程序的请求。所述认证服务方法还可以包括如下步骤：(j)从所述客户端装置接收第二访问令牌，进而验证接收的所述第二访问令牌的有效性；(k)在接收的所述第二访问令牌有效的情况下，从所述客户端装置接收针对第三认证因素的识别信息及基于所述第三认证因素生成的第三认证信息，并基于针对所述第三认证因素的识别信息向所述多个认证服务器中的一个传递所述第三认证信息，进而中继针对所述用户的第三认证程序；以及(l)在所述第三认证程序成功的情况下，生成包含分别针对所述第一认证因素、所述第二认证因素、所述第三认证因素的识别信息的第三访问令牌，并向所述客户端装置传递所述第三访问令牌。所述第一认证因素、所述第二认证因素及所述第三认证因素可以分别是基于知识的认证因素、基于持有的认证因素及基于特征的认证因素中的一种。所述认证服务方法还可以包括如下步骤：(m)在所述第三认证程序成功的情况下，基于与所述第一认证程序、所述第二认证程序及所述第三认证程序相关的风险因素计算风险评分。根据本专利技术的一实施例的认证服务系统可以包括：一个以上的处理器；存储器；以及一个以上的程序，构成为用于通过所述一个以上的处理器运行且存储于所述存储器中，其中，所述程序包括用于执行以下步骤的指令：(a)从客户端装置接收针对第一认证因素的识别信息及基于所述第一认证因素生成的第一认证信息，并基于针对所述第一认证因素的识别信息向多个认证服务器中的一个传递所述第一认证信息，进而中继所述客户端装置的针对用户的第一认证程序；(b)在所述第一认证程序成功的情况下，生成包含针对所述第一认证因素的识别信息的第一访问令牌(accesstoken)，并向所述客户端装置传送所述第一访问令牌；(c)从所述客户端装置接收第一访问令牌，进而验证接收的所述第一访问令牌的有效性；(d)在接收的所述第一访问令牌有效的情况下，从所述客户端装置接收针对第二认证因素的识别信息及基于所述第二认证因素生成的第二认证信息，并基于针对所述第二认证因素的识别信息向所述多个认证服务器中的一个传递所述第二认证信息，进而中继针对所述用户的第二认证程序；以及(e)在所述第二认证程序成功的情况下，生成包含分别针对所述第一认证因素及所述第二认证因素的识别信息的第二访问令牌，并向所述客户端装置传递所述第二访问令牌。所述第一认证因素及所述第二认证因素分别是基于知识的认证因素、基于持有的认证因素及基于特征的认证因素中的一种。所述多个认证服务器包括基于线上快速身份(FIDO：FastIdentityOnline)认证技术的认证服务器、基于一次性密码(OTP)的认证服务器、基于短信服务(SMS：ShortMessageService)的认证服务器、基于电子邮件(e-mail)的认证服务器、基于证书的认证服务器中的至少一种。所述程序还可以包括用于执行如下步骤的指令：(f)在所述第一认证程序成功的情况下，基于与所述第一认证程序相关的风险因素计算针对所述第一认证程序的风险评分；以及(g)基于所述风险评分判断是否执行所述第二认证程序，其中，在所述(b)步骤中，在需要执行所述第二认证程序的情况下，向所述客户端装置传递所述第一访问令牌及执行所述第二认证程序的请求，所述(c)步骤至所述(e)步骤在所述(b)步骤中传递了执行所述第二认证程序的请求的情况下执行。程序还可以包括用于执行如下步骤的指令：(h)在所述第二认证程序成功的情况下，基于与所述第一认证程序及所述第二认证程序相关的风险因素计算风险评分。所述程序还可以包括用于执行如下步骤的指令：(i)基于所述风险评分判断是否执行第三认证程序，其中，在所述(e)步骤中，在需要执行所述第三认证程序的情况下，向所述客户端装置传递所述第二访问本文档来自技高网...

【技术保护点】
1.一种认证服务方法，其中，包括如下步骤：(a)从客户端装置接收针对第一认证因素的识别信息及基于所述第一认证因素生成的第一认证信息，并基于针对所述第一认证因素的识别信息向多个认证服务器中的一个传递所述第一认证信息，进而中继所述客户端装置的针对用户的第一认证程序；(b)在所述第一认证程序成功的情况下，生成包含针对所述第一认证因素的识别信息的第一访问令牌，并向所述客户端装置传送所述第一访问令牌；(c)从所述客户端装置接收第一访问令牌，进而验证接收的所述第一访问令牌的有效性；(d)在接收的所述第一访问令牌有效的情况下，从所述客户端装置接收针对第二认证因素的识别信息及基于所述第二认证因素生成的第二认证信息，并基于针对所述第二认证因素的识别信息向所述多个认证服务器中的一个传递所述第二认证信息，进而中继针对所述用户的第二认证程序；以及(e)在所述第二认证程序成功的情况下，生成包含分别针对所述第一认证因素及所述第二认证因素的识别信息的第二访问令牌，并向所述客户端装置传递所述第二访问令牌。

【技术特征摘要】
2017.05.30 KR 10-2017-00666881.一种认证服务方法，其中，包括如下步骤：(a)从客户端装置接收针对第一认证因素的识别信息及基于所述第一认证因素生成的第一认证信息，并基于针对所述第一认证因素的识别信息向多个认证服务器中的一个传递所述第一认证信息，进而中继所述客户端装置的针对用户的第一认证程序；(b)在所述第一认证程序成功的情况下，生成包含针对所述第一认证因素的识别信息的第一访问令牌，并向所述客户端装置传送所述第一访问令牌；(c)从所述客户端装置接收第一访问令牌，进而验证接收的所述第一访问令牌的有效性；(d)在接收的所述第一访问令牌有效的情况下，从所述客户端装置接收针对第二认证因素的识别信息及基于所述第二认证因素生成的第二认证信息，并基于针对所述第二认证因素的识别信息向所述多个认证服务器中的一个传递所述第二认证信息，进而中继针对所述用户的第二认证程序；以及(e)在所述第二认证程序成功的情况下，生成包含分别针对所述第一认证因素及所述第二认证因素的识别信息的第二访问令牌，并向所述客户端装置传递所述第二访问令牌。2.如权利要求1所述的认证服务方法，其中，所述第一认证因素及所述第二认证因素分别是基于知识的认证因素、基于持有的认证因素及基于特征的认证因素中的一种。3.如权利要求1所述的认证服务方法，其中，所述多个认证服务器包括基于线上快速身份认证技术的认证服务器、基于一次性密码的认证服务器、基于短信服务的认证服务器、基于电子邮件的认证服务器、基于证书的认证服务器及基于ID/密码的认证服务器中的至少一种。4.如权利要求1所述的认证服务方法，其中，还包括如下步骤：(f)在所述第一认证程序成功的情况下，基于与所述第一认证程序相关的风险因素计算针对所述第一认证程序的风险评分；以及(g)基于所述风险评分判断是否执行所述第二认证程序，其中，在所述(b)步骤中，在需要执行所述第二认证程序的情况下，向所述客户端装置传递所述第一访问令牌及执行所述第二认证程序的请求，所述(c)步骤至所述(e)步骤在所述(b)步骤中传递了执行所述第二认证程序的请求的情况下执行。5.如权利要求1所述的认证服务方法，其中，还包括如下步骤：(h)在所述第二认证程序成功的情况下，基于与所述第一认证程序及所述第二认证程序相关的风险因素计算风险评分。6.如权利要求5所述的认证服务方法，其中，还包括如下步骤：(i)基于所述风险评分判断是否执行第三认证程序，其中，在所述(e)步骤中，在需要执行所述第三认证程序的情况下，向所述客户端装置传递所述第二访问令牌及执行所述第三认证程序的请求。7.如权利要求6所述的认证服务方法，其中，还包括如下步骤：(j)从所述客户端装置接收第二访问令牌，进而验证接收的所述第二访问令牌的有效性；(k)在接收的所述第二访问令牌有效的情况下，从所述客户端装置接收针对第三认证因素的识别信息及基于所述第三认证因素生成的第三认证信息，并基于针对所述第三认证因素的识别信息向所述多个认证服务器中的一个传递所述第三认证信息，进而中继针对所述用户的第三认证程序；以及(l)在所述第三认证程序成功的情况下，生成包含分别针对所述第一认证因素、所述第二认证因素、所述第三认证因素的识别信息的第三访问令牌，并向所述客户端装置传递所述第三访问令牌。8.如权利要求7所述的认证服务方法，其中，所述第一认证因素、所述第二认证因素及所述第三认证因素分别是基于知识的认证因素、基于持有的认证因素及基于特征的认证因素中的一种。9.如权利要求7所述的认证服务方法，其中，还包括如下步骤：(m)在所述第三认证程序成功的情况下，基于与所述第一认证程序、所述第二认证程序及所述第三认证程序相关的风险因素计算风险评分。10.一种认证服务系统，其中，包括：一个以上的处理器；存储器；以及一个以上的程序，构...

【专利技术属性】
技术研发人员：曹宰赫，梁熙星，申铉培，朴贤哲，
申请(专利权)人：三星SDS株式会社，
类型：发明
国别省市：韩国,KR