本申请实施例提供一种身份认证方法、装置及相关设备,其中方法包括:服务提供商的服务器接收用户的用户身份已通过身份提供商的服务器认证的消息,该消息包括用户绑定的验证方式信息;所述服务提供商的服务器根据验证方式信息向用户终端发送验证请求;服务提供商的服务器接收用户终端发送的验证码,对验证码进行验证;在服务提供商的服务器对所述验证码验证通过的情况下,服务提供商的服务器生成用户对应的访问凭据,并将访问凭据发送给用户终端,该访问凭据指示用户具有访问服务提供商的服务器的权限。通过实施上述方法,在实现联邦身份认证的过程中,通过多因素认证对用户的身份进行确认,防止单一系统的身份凭据泄漏给用户数据安全带来的风险。
An identity authentication method, device and related equipment
【技术实现步骤摘要】
一种身份认证方法、装置及相关设备
本申请涉及计算机
,尤其涉及一种身份认证方法、装置及相关设备。
技术介绍
随着网络技术的发展,用户经常需要使用不同的服务提供商(serviceprovider,SP)提供的服务,但是每个SP一般都有自己独立的身份认证系统,用户在需要使用不同SP提供的服务时,需要分别通过各个SP的身份认证系统的验证才能使用服务。当前可以将不同SP的身份认证系统实现联邦,通过单点登录(singlesignon,SSO)技术实现在单个身份认证系统中通过验证,即可使用实现联邦的多个身份认证系统对应的SP提供的服务。但是,当多个身份认证系统实现联邦时,只需要使用单一的认证凭据即可通过验证,若单一的认证凭据出现泄漏,攻击者可以通过单一系统的身份凭证使用多个SP的服务,用户信息安全会受到严重威胁。
技术实现思路
本申请实施例公开了一种身份认证方法、装置及相关设备,在进行联邦身份认证的过程中,通过多因素认证对用户的身份进行确认,防止单一系统的身份凭据泄漏给用户数据安全带来的风险,提高联邦身份认证的安全性。第一方面,本申请实施例提供一种联邦身份认证方法,包括:服务提供商的服务器接收用户的用户身份已通过身份提供商的服务器认证的消息,所述消息包括所述用户绑定的验证方式信息;所述服务提供商的服务器根据所述验证方式信息,向用户终端发送验证请求;所述服务提供商的服务器接收所述用户终端发送的验证码,对所述验证码进行验证;在所述服务提供商的服务器对所述验证码验证通过的情况下,所述服务提供商的服务器生成所述用户对应的访问凭据,并将所述访问凭据发送给所述用户终端,所述访问凭据指示所述用户具有访问所述服务提供商的服务器的权限。通过实施上述方法,在通过联邦身份认证时,在身份提供商的服务器对用户的用户身份进行第一次认证并认证成功之后,服务提供商的服务器需要对用户身份进行第二次认证,在用户通过服务提供商的服务器的第二次认证之后,服务提供商的服务器才会允许用户访问服务提供商的资源。通过多因素认证对用户身份进行认证,防止联邦身份认证过程中使用单一系统的身份凭据,在单一系统的身份凭据泄漏时对用户数据安全带来的风险,提高联邦身份认证的安全性。在一种具体的实施例中,所述服务提供商的服务器根据所述验证方式信息,向用户终端发送验证请求,包括:所述服务提供商的服务器根据所述验证方式信息,确定所述用户接收所述验证码的方式,所述用户接收验证码的方式包括通过邮箱接收验证码或通过短信息接收验证码;所述服务提供商的服务器向所述用户终端发送验证请求,并生成所述验证码,将所述验证码通过确定的所述用户接收验证码的方式发送给用户使用的电子设备。在一种具体的实施例中,所述验证码是用户使用的多因素认证设备生成的,所述消息包括所述用户的多因素认证密钥;所述服务提供商的服务器接收所述用户终端发送的验证码,对所述验证码就行验证,包括:所述服务提供商的服务器接收所述用户终端发送的多因素认证设备生成的第一验证码;所述服务提供商的设备根据所述多因素认证密钥生成第二验证码,根据所述第二验证码对所述第一验证码进行验证。在一种具体的实施例中,所述服务提供商的服务器接收用户的用户身份已通过身份提供商的服务器的认证的消息之前,所述方法还包括:服务提供商的服务器接收所述用户终端发送的第一访问请求,所述第一访问请求包括所述身份提供商的标识;所述服务提供商的服务器根据所述第一访问请求生成认证请求,所述认证请求包括所述服务提供商的标识;所述服务提供商的服务器根据所述身份提供商的标识确定所述身份提供商的服务器的地址,将所述认证请求发送至所述身份提供商的服务器,所述认证请求指示所述身份提供商的服务器对所述用户的用户身份进行认证,并根据认证结果向所述用户终端发送所述消息。在一种具体的实施例中,所述方法还包括:所述服务提供商的服务器接收所述用户终端的发送的第二访问请求,所述第二访问请求包括所述访问凭据;在所述服务提供商的服务器确定所述访问凭据是其颁发的合法访问凭据时,所述服务提供商的服务器将所述第二访问请求访问的数据发送给所述用户终端,其中,所述服务提供商可以是云服务提供商。第二方面,本申请实施例提供一种身份认证装置,包括:接收单元,用于接收用户的用户身份已通过身份提供商的服务器认证的消息,所述消息包括所述用户绑定的验证方式信息;发送单元,用于根据所述验证方式信息,向用户终端发送验证请求;所述接收单元,还用于接收所述用户终端发送的验证码;处理单元,用于对所述验证码进行验证;在所述验证码验证通过的情况下,生成所述用户对应的访问凭据,所述访问凭据指示所述用户具有访问服务提供商的服务器的权限;所述发送单元,还用于将所述访问凭据发送给所述用户终端。在一种具体的实施例中,所述处理单元,还用于根据所述验证方式信息,确定所述用户接收所述验证码的方式,并生成所述验证码,其中,所述用户接收验证码的方式包括通过邮箱接收验证码或通过短信息接收验证码;所述发送单元,具体用于向所述用户终端发送验证请求,并将所述验证码通过确定的所述用户接收所述验证码的方式发送给用户使用的电子设备。在一种具体的实施例中,所述验证码是用户使用的多因素认证设备生成的,所述消息包括所述用户的多因素认证密钥;所述接收单元,还用于接收所述用户终端发送的多因素认证设备生成的第一验证码;所述处理单元,具体用于根据所述多因素认证密钥生成第二验证码,根据所述第二验证码对所述第一验证码进行验证。在一种具体的实施例中,所述接收单元,还用于接收所述用户终端发送的访问请求,所述访问请求包括所述身份提供商的标识;所述处理单元,还用于根据所述访问请求生成认证请求,所述认证请求包括所述服务提供商的标识;根据所述身份提供商的标识确定所述身份提供商的服务器的地址;所述发送单元,还用于将所述认证请求发送至所述身份提供商的服务器,所述认证请求指示所述身份提供商的服务器对所述用户的用户身份进行认证,并根据认证结果向所述用户终端发送所述消息。第三方面,本申请实施例提供一种服务器,包括处理器和存储器,所述存储器用于存储指令,所述处理器用于执行所述指令,当所述处理器执行所述指令时,所述服务器执行如第一方面或第一方面任一具体实施例中所述的方法。第四方面,本申请实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时,所述处理器执行如第一方面或第一方面任一具体实施例中所述的方法。附图说明图1是本申请实施例提供的一种联邦身份认证系统的示意图;图2是本申请实施例提供的一种联邦身份认证的交互示意图;图3是本申请实施例提供的一种多因素认证页面示意图;图4是本申请实施例提供的另一种联邦身份认证系统的交互示意图;图5是本申请实施例提供的一种本文档来自技高网...
【技术保护点】
1.一种身份认证方法,其特征在于,包括:/n服务提供商的服务器接收用户的用户身份已通过身份提供商的服务器认证的消息,所述消息包括所述用户绑定的验证方式信息;/n所述服务提供商的服务器根据所述验证方式信息,向用户终端发送验证请求;/n所述服务提供商的服务器接收所述用户终端发送的验证码,对所述验证码进行验证;/n在所述服务提供商的服务器对所述验证码验证通过的情况下,所述服务提供商的服务器生成所述用户对应的访问凭据,并将所述访问凭据发送给所述用户终端,所述访问凭据指示所述用户具有访问所述服务提供商的服务器的权限。/n
【技术特征摘要】
1.一种身份认证方法,其特征在于,包括:
服务提供商的服务器接收用户的用户身份已通过身份提供商的服务器认证的消息,所述消息包括所述用户绑定的验证方式信息;
所述服务提供商的服务器根据所述验证方式信息,向用户终端发送验证请求;
所述服务提供商的服务器接收所述用户终端发送的验证码,对所述验证码进行验证;
在所述服务提供商的服务器对所述验证码验证通过的情况下,所述服务提供商的服务器生成所述用户对应的访问凭据,并将所述访问凭据发送给所述用户终端,所述访问凭据指示所述用户具有访问所述服务提供商的服务器的权限。
2.根据权利要求1所述的方法,其特征在于,所述服务提供商的服务器根据所述验证方式信息,向用户终端发送验证请求,包括:
所述服务提供商的服务器根据所述验证方式信息,确定所述用户接收所述验证码的方式,所述用户接收验证码的方式包括通过邮箱接收验证码或通过短信息接收验证码;
所述服务提供商的服务器向所述用户终端发送验证请求,并生成所述验证码,将所述验证码通过确定的所述用户接收验证码的方式发送给用户使用的电子设备。
3.根据权利要求1所述的方法,其特征在于,所述验证码是用户使用的多因素认证设备生成的,所述消息包括所述用户的多因素认证密钥;
所述服务提供商的服务器接收所述用户终端发送的验证码,对所述验证码就行验证,包括:
所述服务提供商的服务器接收所述用户终端发送的多因素认证设备生成的第一验证码;
所述服务提供商的设备根据所述多因素认证密钥生成第二验证码,根据所述第二验证码对所述第一验证码进行验证。
4.根据权利要求1至3任一项所述的方法,其特征在于,所述服务提供商的SP的服务器接收用户的用户身份已通过身份提供商的服务器的认证的消息之前,所述方法还包括:
服务提供商的服务器接收所述用户终端发送的访问请求,所述访问请求包括所述身份提供商的标识;
所述服务提供商的服务器根据所述访问请求生成认证请求,所述认证请求包括所述服务提供商的标识;
所述服务提供商的服务器根据所述身份提供商的标识确定所述身份提供商的服务器的地址,将所述认证请求发送至所述身份提供商的服务器,所述认证请求指示所述身份提供商的服务器对所述用户的用户身份进行认证,并根据认证结果向所述用户终端发送所述消息。
5.一种身份认证装置,其特征在于,...
【专利技术属性】
技术研发人员:韩长垚,周迪超,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。