【技术实现步骤摘要】
网络服务的安全认证方法、系统、装置和计算机设备
[0001]本申请涉及网络安全
,特别是涉及一种网络服务的安全认证方法
、
系统
、
装置
、
计算机设备
、
可读存储介质和计算机程序产品
。
技术介绍
[0002]随着网络安全技术的发展,密码认证,指纹认证,人脸认证各色认证方式层出不穷,但即便是私人独有的识别码也可能出现信息泄露的危险状况,混合认证的方式逐渐占领市场主体,当下最流行的多因子认证方式,即用户要通过两种以上的认证因素鉴别机制之后,才能得到使用互联网资源的授权,两种认证方式的叠加,一定程度上保障了用户使用互联网服务的安全性
。
[0003]然而,目前的传统认证方式,存在不能满足用户在持续访问互联网资源过程中应对动态安全风险的安全需求的问题
。
技术实现思路
[0004]基于此,有必要针对不能满足用户在持续访问互联网资源过程中应对动态安全风险的安全需求的技术问题,提供一种能够满足应对动态安全需求的网络服务的安全认证方法
、
系统
、
装置
、
计算机设备
、
可读存储介质和计算机程序产品
。
[0005]第一方面,本申请提供了一种网络服务的安全认证方法,其特征在于,应用于目标网络服务对应的服务器,所述方法包括:
[0006]响应于用户终端针对于服务器的登录操作,将针对用户终端的第一
UAF>认证请求发送至用户终端,并接收用户终端通过调用与第一
UAF
认证请求相匹配的认证器得到的,与第一
UAF
认证请求相匹配的第一认证响应信息;
[0007]在第一认证响应信息表征认证通过的情况下,向用户终端发送认证成功消息;
[0008]在用户终端基于认证成功消息登录服务器后,若满足预设安全认证触发条件,则将用户终端匹配的信用评估特征输入预设的信任评估模型,得到用户终端的信任评估结果;
[0009]在信任评估结果满足预设条件的情况下,将针对用户终端的第二
UAF
认证请求发送至用户终端,并接收用户终端通过调用与第二
UAF
认证请求相匹配的认证器得到的,与第二
UAF
认证请求相匹配的第二认证响应信息;第一
UAF
认证请求相匹配的认证器与第二
UAF
认证请求相匹配的认证器属于不相同认证因子的认证器
。
[0010]在其中一个实施例中,第一认证响应信息包括包括:第一数字签名信息以及认证器响应信息;第一数字签名信息由第一
UAF
认证请求相匹配的认证器基于预先生成的服务器与用户终端关联的用户证书私钥生成;
[0011]在第一认证响应信息表征认证通过的情况下,向用户终端发送认证成功消息,包括:
[0012]解析第一认证响应消息,得到第一数字签名信息;
[0013]利用服务器预先存储的服务器与用户终端关联的用户证书公钥对第一数字签名信息进行解密验证,并在第一数字签名信息解密验证通过后,获取认证器响应信息表征的认证结果;
[0014]在认证器响应信息表征的认证结果为认证通过的情况下,向用户终端发送认证成功消息
。
[0015]在其中一个实施例中,利用服务器预先存储的服务器与用户终端关联的用户证书公钥对第一数字签名信息进行解密验证之前,还包括:
[0016]响应于用户终端针对于服务器的注册操作,将针对用户终端的注册请求发送至用户终端,并接收用户终端通过调用与注册请求相匹配的认证器得到的,与注册请求相匹配的注册响应信息;注册响应信息中包含有服务器与用户终端关联的用户证书公钥;
[0017]解析注册响应信息,在注册响应消息表征认证通过的情况下,从注册响应信息中获取服务器与用户终端关联的用户证书公钥并存储,以及向用户终端发送注册成功消息
。
[0018]在另外一个实施例中,注册响应消息,还包括:第二数字签名信息以及认证器注册响应信息;第二数字签名信息由注册请求相匹配的认证器基于该认证器的认证器私钥生成;
[0019]在注册响应消息表征认证通过的情况下,从注册响应信息中获取服务器与用户终端关联的用户证书公钥并存储,以及向用户终端发送注册成功消息,包括:
[0020]获取注册请求相匹配的认证器的认证器公钥;
[0021]利用认证器公钥对第二数字签名信息进行解密验证,并在第二数字签名信息解密验证通过后,获取认证器注册响应信息表征的认证结果;
[0022]在认证器注册响应信息表征的认证结果表征的认证结果为认证通过的情况下,从注册响应信息中获取服务器与用户终端关联的用户证书公钥并存储,以及向用户终端发送注册成功消息
。
[0023]其中一个实施例中,信任评估结果通过用户终端的信任评分表征;
[0024]在信任评估结果满足预设条件的情况下,将针对用户终端的第二
UAF
认证请求发送至用户终端,包括:
[0025]在信任评分小于预设的信任评分阈值的情况下,将第二
UAF
认证请求发送至用户终端
。
[0026]第二方面,本申请还提供了一种网络服务的安全认证方法,其特征在于,应用于用户终端,方法包括:
[0027]向目标网络服务对应的服务器触发针对于服务器的登录操作,并接收服务器针对登录操作返回的第一
UAF
认证请求;
[0028]基于第一
UAF
认证请求,调用与第一
UAF
认证请求相匹配的认证器,得到与第一
UAF
认证请求相匹配的第一认证响应信息,并将第一认证响应信息发送至服务器;
[0029]接收服务器在第一认证响应信息表征认证通过的情况下返回的认证成功消息;
[0030]在基于认证成功消息登录服务器之后,若接收到服务器发送的第二
UAF
认证请求,调用与第二
UAF
认证请求相匹配的认证器,得到与第二
UAF
认证请求相匹配的第二认证响应信息,并将第二认证响应信息发送至服务器;第一
UAF
认证请求相匹配的认证器与第二
UAF
认证请求相匹配的认证器属于不相同认证因子的认证器;第二
UAF
认证请求由服务器在满
足预设安全认证触发条件下,将用户终端匹配的信用评估特征输入预设的信任评估模型,得到用户终端的信任评估结果,并在信任评估结果满足预设条件的情况下发送至用户终端
。
[0031]在其中一个实施例中,其特征在于,基于第一
UAF
认证请求,调用与第一
UAF
认证请求相匹配的认证器,得到与第一
UAF
认证请求相匹配的第一认证响应信息,本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.
一种网络服务的安全认证方法,其特征在于,应用于目标网络服务对应的服务器,所述方法包括:响应于用户终端针对于所述服务器的登录操作,将针对所述用户终端的第一
UAF
认证请求发送至所述用户终端,并接收所述用户终端通过调用与所述第一
UAF
认证请求相匹配的认证器得到的,与所述第一
UAF
认证请求相匹配的第一认证响应信息;在所述第一认证响应信息表征认证通过的情况下,向所述用户终端发送认证成功消息;在所述用户终端基于所述认证成功消息登录所述服务器后,若满足预设安全认证触发条件,则将所述用户终端匹配的信用评估特征输入预设的信任评估模型,得到所述用户终端的信任评估结果;在所述信任评估结果满足预设条件的情况下,将针对所述用户终端的第二
UAF
认证请求发送至所述用户终端,并接收所述用户终端通过调用与所述第二
UAF
认证请求相匹配的认证器得到的,与所述第二
UAF
认证请求相匹配的第二认证响应信息;所述第一
UAF
认证请求相匹配的认证器与所述第二
UAF
认证请求相匹配的认证器属于不相同认证因子的认证器
。2.
根据权利要求1所述的方法,其特征在于,所述第一认证响应信息包括:第一数字签名信息以及认证器响应信息;所述第一数字签名信息由所述第一
UAF
认证请求相匹配的认证器基于预先生成的所述服务器与所述用户终端关联的用户证书私钥生成;所述在所述第一认证响应信息表征认证通过的情况下,向所述用户终端发送认证成功消息,包括:解析所述第一认证响应消息,得到所述第一数字签名信息;利用所述服务器预先存储的所述服务器与所述用户终端关联的用户证书公钥对所述第一数字签名信息进行解密验证,并在所述第一数字签名信息解密验证通过后,获取所述认证器响应信息表征的认证结果;在所述认证器响应信息表征的认证结果为认证通过的情况下,向所述用户终端发送认证成功消息
。3.
根据权利要求2所述的方法,其特征在于,所述利用所述服务器预先存储的所述服务器与所述用户终端关联的用户证书公钥对所述第一数字签名信息进行解密验证之前,还包括:响应于所述用户终端针对于所述服务器的注册操作,将针对所述用户终端的注册请求发送至所述用户终端,并接收所述用户终端通过调用与所述注册请求相匹配的认证器得到的,与所述注册请求相匹配的注册响应信息;所述注册响应信息中包含有所述服务器与所述用户终端关联的用户证书公钥;解析所述注册响应信息,在所述注册响应消息表征认证通过的情况下,从所述注册响应信息中获取所述服务器与所述用户终端关联的用户证书公钥并存储,以及向所述用户终端发送注册成功消息
。4.
根据权利要求3所述的方法,其特征在于,所述注册响应消息,还包括:第二数字签名信息以及认证器注册响应信息;所述第二数字签名信息由所述注册请求相匹配的认证器基于该认证器的认证器私钥生成;
所述在所述注册响应消息表征认证通过的情况下,从所述注册响应信息中获取所述服务器与所述用户终端关联的用户证书公钥并存储,以及向所述用户终端发送注册成功消息,包括:获取所述注册请求相匹配的认证器的认证器公钥;利用所述认证器公钥对所述第二数字签名信息进行解密验证,并在所述第二数字签名信息解密验证通过后,获取所述认证器注册响应信息表征的认证结果;在所述认证器注册响应信息表征的认证结果表征的认证结果为认证通过的情况下,从所述注册响应信息中获取所述服务器与所述用户终端关联的用户证书公钥并存储,以及向所述用户终端发送注册成功消息
。5.
根据权利要求1所述的方法,其特征在于,所述信任评估结果通过所述用户终端的信任评分表征;所述在所述信任评估结果满足预设条件的情况下,将针对所述用户终端的第二
UAF
认证请求发送至所述用户终端,包括:在所述信任评分小于预设的信任评分阈值的情况下,将所述第二
UAF
认证请求发送至所述用户终端
。6.
一种网络服务的安全认证方法,其特征在于,应用于用户终端,所述方法包括:向目标网络服务对应的服务器触发针对于所述服务器的登录操作,并接收所述服务器针对所述登录操作返回的第一
UAF
认证请求;基于所述第一
UAF
认证请求,调用与所述第一
UAF
认证请求相匹配的认证器,得到与所述第一
UAF
认证请求相匹配的第一认证响应信息,并将所述第一认证响应信息发送至所述服务器;接收所述服务器在所述第一认证响应信息表征认证通过的情况下返回的认证成功消息;在基于所述认证成功消息登录所述服务器之后,若接收到所述服务器发送的第二
UAF
认证请求,调用与所述第二
UAF
认证请求相匹配的认证器,得到与所述第二
UAF
认证请求相匹配的第二认证响应信息,并将所述第二认证响应信息发送至所述服务器;所述第一
UAF
认证请求相匹配的认证器与所述第二
UAF
认证请求相匹配的认证器属于不相同认证因子的认证器;所述第二
UAF
认证请求由所述服务器在满足预设安全认证触发条件下,将所述用户终端匹配的信用评估特征输入预设的信任评估模型,得到所述用户终端的信任评估结果,并在所述信任评估结果满足预设条件的情况下发送至所述用户终端
。7.
根据权利要求6所述的方法,其特征在于,所述基于所述第一
UAF
认证请求,调用与所述第一
UAF
认证请求相匹配的认证器,得到与所述第一
UAF
认证请求相匹配的第一认证响应信息,包括:解析所述第一
UAF
认证请求,确定与所述第一
UAF
认证请求相匹配的认证器,并调用
ASM
认证模块;所述
ASM
认证模块用于生成密钥句柄访问令牌,并通过所述密钥句柄访问令牌访问所述第一
UAF
认证请求相匹配的认证器,并接收所述第一
UAF
认证请求相匹配的认证器返回的认证器响应信息;从所述
ASM
认证模块中接收所述认证器响应信息,并生成与所述认证器响应信息相匹配的第一认证响应信息
。
8.
根据权利要求7所述的方法,其特征在于,所述第一
UAF
认证请求相匹配的认证器,还用于获取预先生成的所述服务器与所述用户终端关联的用户证书私钥,并利用所述用户证书私钥,生成所述认证器响应信息对应的第一数字签名信息,并将所述第一数字签名信息与所述认证器响应信息返回所述
ASM
认证模块;所述从所述
ASM
认证模块中接收所述认证器响应信息,并生成与所述认证器响应信息相匹配的第一认证响应信息,包括:从所述
ASM
认证模块中接收所述认证器响应信息,以及所述第一数字签名信息,并根据所述认证器响应信息,以及所述第一数字签名信息生成所述第一认证响应信息
。9.
根据权利要求8所述的方法,其特征在于,所述解析所述第一
UAF
认证请求之前,还包括:向所述服务器触发注册操作,并接收所述服务器针对所述登录操作返回的注册请求;解析所述注册请求,确定与所述注册请求相匹配的认证器,并调用所述
ASM
认证模块;所述
ASM
认证模块用于生成密钥句柄访问令牌,并通过所述密钥句柄访问令牌访问所述注册请求相匹配的认证器,...
【专利技术属性】
技术研发人员:林飞,陈文华,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。