用户鉴权的实现方法和装置制造方法及图纸

本发明专利技术公开了一种用户鉴权的实现方法和装置，其中，该方法包括：在应用服务器需要对用户进行鉴权的情况下，通过移动终端对用户的身份进行验证；在用户通过移动终端的验证后，移动终端将鉴权协助信息发送至认证服务器，鉴权协助信息用于通知认证服务器协助用户实现在应用服务器上的鉴权操作，其中，鉴权协助信息包括用户的第一标识，第一标识为用户在认证服务器上的唯一标识。本发明专利技术能避免用户记忆众多应用服务器的帐号和密码，解决用户密码过于简单、用户在多个应用服务器使用相同密码、以及用户在安全性较差的终端侧(如个人电脑)上保存并管理密码所带来的安全性问题。

【技术实现步骤摘要】

本专利技术涉及通信领域，并且特别地，涉及一种用户鉴权的实现方法和装置。
技术介绍
目前，登录应用服务器(本文中的应用服务器包括能够接受用户登录、以及向用户提供服务的网站或者CS服务器等)大多采用帐号、密码方式。用户在输入正确的用户名和密码后，应用服务器就会确定该用户通过鉴权，并允许用户登录以及在后续向用户提供各种服务或者资源。但是，通过用户名和密码的鉴权方式存在如下缺点：(1)从安全角度出发，一方面，用户设置的密码应当尽量复杂，并且应定期更换密码；另一方面，在不同应用服务器上(对于不同的账户)应该设置不同的密码。随着用户使用的应用服务越来越多，记住这些帐号和密码无疑成为用户的沉重负担，对于多数用户而言，让用户设置复杂密码并且定期更换，是几乎不可能完成的；(2)现实中，根据调查和统计，为了避免记忆复杂的密码，很多用户对于不同的应用服务器上注册的账号仅设置非常简单的密码，而且在不同的应用服务器上通常会设置相同的密码，一旦用户在一个应用服务器上的帐号和密码被黑客攻破，将会导致用户失去其他账户，从而用户的利益和隐私存在极大的安全隐患。为了方便用户在应用服务器上进行鉴权操作，目前主要提出了以下两种方案：(1)OAUTH(可称为开放授权)、以及(2)采用密码管理工具(如Robo Form、LastPass等)。这些方案虽然能够在一定程度上避免用户记忆大量的复杂密码，但是也存在非常明显的缺陷。对于OAUTH方案来说，虽然用户不必输入应用服务器上注册的用户名和密码，但是OAUTH方案的认证过程中要先以帐号密码方式登录认证服务器，然后再登录到应用服务器，这一过程仍然需要用户输入密码。一旦该密码被破解，同样会导致用户在应用服务器上注册的账户丢失。另外，在采用密码管理工具管理密码的方案中，密码及加/解密程序都在安全性较差的终端侧(如个人电脑)，一旦密码管理工具被破解，将导致密码管理工具所管理的所有用户名和密码均丢失，存在较大的安全隐患。此外，基于密码管理工具的认证过程完全在单一终端上完成，不仅容易被攻击，而且一旦在公共电脑上使用，更加容易导致账户信息外泄。针对相关技术中用户的密码设置难以兼顾记忆和安全性的问题，目前尚未提出有效的解决方案。
技术实现思路
针对相关技术中的问题，本专利技术提出一种用户鉴权的实现方法和装置，能避免用户记忆众多应用服务器的帐号和密码，解决用户密码过于简单、多个应用服务器使用相同密码、以及用户在安全性较差的终端侧(如个人电脑)保存并管理密码所带来的安全性问题。为了实现上述目的，根据本专利技术的一个方面，提供了一种用户鉴权的实现方法。根据本专利技术的用户鉴权的实现方法包括：在应用服务器需要对用户进行鉴权的情况下，通过移动终端对用户的身份进行验证；在用户通过移动终端的验证后，移动终端将鉴权协助信息发送至认证服务器，鉴权协助信息用于通知认证服务器协助用户实现在应用服务器上的鉴权操作，其中，鉴权协助信息包括用户的第一标识，第一标识为用户在认证服务器上的唯一标识。其中，上述鉴权协助信息中进一步包括认证服务器的身份校验码，并且，实现方法进一步包括：在认证服务器收到鉴权协助信息的情况下，对鉴权协助信息的中的身份校验码进行核对，并在核对通过后协助用户实现在应用服务器上的鉴权操作。此外，上述鉴权协助信息中可以进一步包括应用服务器的标识、本次鉴权操作的标识，并且，根据本专利技术的实现方法可以进一步包括：在应用服务器需要对用户进行鉴权的情况下，移动终端获取本次鉴权的鉴权请求信息，其中，鉴权请求信息包括应用服务器的标识、本次鉴权操作的标识，应用服务器的标识为应用服务器在认证服务器上的唯一识别码，本次鉴权操作的标识为本次鉴权操作的唯一识别码。一方面，在移动终端对用户的身份进行验证之前，根据本专利技术的实现方法进一步包括：用户通过PC端发起鉴权请求；响应于鉴权请求，应用服务器或PC端生成识别码并在PC端显示该识别码，其中，识别码包括应用服务器的标识、本次鉴权操作的标识；移动终端对识别码进行识别后，发起对用户的身份验证。在用户通过PC端发起鉴权请求的情况下，认证服务器可通过以下方式协助用户实现在应用服务器上的鉴权操作：方式一：认证服务器将鉴权许可信息发送至应用服务器，其中，鉴权许可信息包含第一标识、本次鉴权操作的标识；应用服务器在收到鉴权许可信息后，根据预先保存的第一标识与第二标识之间的对应关系查找与第一标识对应的第二标识，并根据本次鉴权操作的标识允许第二标识对应的用户通过本次鉴权；其中，第二标识为用户在应用服务器上的唯一标识；或者方式二：认证服务器根据鉴权协助信息中包含的第一标识在本地查找与用户标识关联保存的第二标识和应用服务器登录密码，并将第二标识和应用服务器登录密码发送至PC端，以便PC端将第二标识和应用服务器登录密码提交给应用服务器以完成鉴权；其中，第二标识为用户在应用服务器上的唯一标识，应用服务器登录密码为与该唯一标识对应的密码；或者方式三：认证服务器根据鉴权协助信息中包含的第一标识在本地查找与用户标识关联保存的第二标识，在查找到第二标识后，认证服务器将第二标识以及动态安全识别码发送至PC端，以便PC端将第二标识和动态安全识别码提交至应用服务器以完成鉴权；其中，第二标识为用户在应用服务器上的唯一标识。另一方面，在移动终端对用户的身份进行验证之前，根据本专利技术的实现方法可以进一步包括：用户通过移动终端的第三方APP发起鉴权请求；响应于鉴权请求，第三方APP调用移动终端的验证模块对用户进行身份验证。在用户通过移动终端的第三方APP发起鉴权请求的情况下，认证服务器可以通过以下方式协助用户实现在应用服务器上的鉴权操作：方式四：认证服务器将鉴权许可信息发送至应用服务器，其中，鉴权许可信息包含第一标识、本次鉴权操作的标识；应用服务器在收到鉴权许可信息后，根据预先保存的第一标识与第二标识之间的对应关系查找与第一标识对应的第二标识，并根据本次鉴权操作的标识允许第二标识对应的用户通过本次鉴权；其中，第二标识为用户在应用服务器上的唯一标识；或者方式五：认证服务器根据鉴权协助信息中包含的第一标识在本地查找与用户标识关联保存的第二标识，在查找到第二标识后，认证服务器将第二标识以及动态安全识别码发送至第三方APP，以便第三方APP将第二标识以及动态安全识别码提交至应用服务器以完成鉴权；其中，第二标识为用户在应用服务器上的唯一标识。其中，对于方式一，在应用服务器允许第二标识对应的用户通过本次鉴权之前，进一步包括以下步骤：PC端向应用服务器请求通过鉴权，并在请求时将本次鉴权操作的标识发送至应用服务器；并且，在应用服务器接收到鉴权许可信息时，如果应用服务器确定PC端在请求通过鉴权时发送的本次鉴权操作的标识与鉴权许可信息中携带的本次鉴权操作的标识相同，则允许该第二标识所对应的用户在该PC端上通过鉴权；对于方式二，在认证服务器发送第二标识和应用服务器登录密码之前，进一步包括以下步骤：PC端向认证服务器请求获取第二标识和应用服务器登录密码，并在请求时将本次鉴权操作的标识发送至认证服务器，在认证服务器确定该本次鉴权操作的标识与鉴权协助信息中携带的本次鉴权操作的标识相同的情况下，允许将第二标识和应用服务器登录密码发送至PC端；对于方式三，在认证服务器发送第二标识以及动态安本文档来自技高网...

【技术保护点】
一种用户鉴权的实现方法，其特征在于，包括：在应用服务器需要对用户进行鉴权的情况下，通过移动终端对所述用户的身份进行验证；在所述用户通过所述移动终端的验证后，所述移动终端将鉴权协助信息发送至认证服务器，所述鉴权协助信息用于通知所述认证服务器协助所述用户实现在所述应用服务器上的鉴权操作，其中，所述鉴权协助信息包括所述用户的第一标识，所述第一标识为所述用户在所述认证服务器上的唯一标识。

【技术特征摘要】
1.一种用户鉴权的实现方法，其特征在于，包括：在应用服务器需要对用户进行鉴权的情况下，通过移动终端对所述用户的身份进行验证；在所述用户通过所述移动终端的验证后，所述移动终端将鉴权协助信息发送至认证服务器，所述鉴权协助信息用于通知所述认证服务器协助所述用户实现在所述应用服务器上的鉴权操作，其中，所述鉴权协助信息包括所述用户的第一标识，所述第一标识为所述用户在所述认证服务器上的唯一标识。2.根据权利要求1所述的实现方法，其特征在于，所述鉴权协助信息中进一步包括所述认证服务器的身份校验码，并且，所述实现方法进一步包括：在所述认证服务器收到所述鉴权协助信息的情况下，对所述鉴权协助信息中的身份校验码进行核对，并在核对通过后协助所述用户实现在所述应用服务器上的鉴权操作。3.根据权利要求1所述的实现方法，其特征在于，所述鉴权协助信息中进一步包括所述应用服务器的标识、本次鉴权操作的标识，并且，所述实现方法进一步包括：在所述应用服务器需要对用户进行鉴权的情况下，所述移动终端获取本次鉴权的鉴权请求信息，其中，所述鉴权请求信息包括所述应用服务器的标识、本次鉴权操作的标识，所述应用服务器的标识为所述应用服务器在所述认证服务器上的唯一识别码，本次鉴权操作的标识为本次鉴权操作的唯一识别码。4.根据权利要求3所述的实现方法，其特征在于，在所述移动终端对所述用户的身份进行验证之前，所述实现方法进一步包括：所述用户通过PC端发起鉴权请求；响应于所述鉴权请求，所述应用服务器或所述PC端生成识别码并在所述PC端显示该识别码，其中，所述识别码包括所述应用服务器的标识、本次鉴权操作的标识；所述移动终端对所述识别码进行识别后，发起对所述用户的身份验证。5.根据权利要求4所述的实现方法，其特征在于，所述认证服务器通过以下方式协助所述用户实现在所述应用服务器上的鉴权操作：方式一：所述认证服务器将鉴权许可信息发送至所述应用服务器，其中，所述鉴权许可信息包含所述第一标识、本次鉴权操作的标识；所述应用服务器在收到所述鉴权许可信息后，根据预先保存的所述第一标识与第二标识之间的对应关系查找与所述第一标识对应的第二标识，并根据本次鉴权操作的标识允许所述第二标识对应的用户通过本次鉴权；其中，所述第二标识为所述用户在所述应用服务器上的唯一标识；或者方式二：所述认证服务器根据所述鉴权协助信息中包含的所述第一标识在本地查找与所述用户标识关联保存的第二标识和应用服务器登录密码，并将所述第二标识和所述应用服务器登录密码发送至所述PC端，以便PC端将所述第二标识和所述应用服务器登录密码提交给所述应用服务器以完成鉴权；其中，所述第二标识为所述用户在所述应用服务器上的唯一标识，所述应用服务器登录密码为与该唯一标识对应的密码；或者方式三：所述认证服务器根据所述鉴权协助信息中包含的所述第一标识在本地查找与所述用户标识关联保存的第二标识，在查找到所述第二标识后，所述认证服务器将所述第二标识以及动态安全识别码发送至所述PC端，以便PC端将所述第二标识和所述动态安全识别码提交至所述应用服务器以完成鉴权；其中，所述第二标识为所述用户在所述应用服务器上的唯一标识。6.根据权利要求3所述的实现方法，其特征在于，在所述移动终端对所述用户的身份进行验证之前，所述实现方法进一步包括：所述用户通过所述移动终端的第三方APP发起鉴权请求；响应于所述鉴权请求，所述第三方APP调用所述移动终端的验证模块对所述用户进行身份验证。7.根据权利要求6所述的实现方法，其特征在于，所述认证服务器通过以下方式协助所述用户实现在所述应用服务器上的鉴权操作：方式四：所述认证服务器将鉴权许可信息发送至所述应用服务器，其中，所述鉴权许可信息包含所述第一标识、本次鉴权操作的标识；所述应用服务器在收到所述鉴权许可信息后，根据预先保存的所述第一标识与第二标识之间的对应...

【专利技术属性】
技术研发人员：沈书荣，
申请(专利权)人：沈书荣，
类型：发明
国别省市：北京;11