CN117061188A - 网络服务的安全认证方法、系统、装置和计算机设备 - Google Patents

网络服务的安全认证方法、系统、装置和计算机设备 Download PDF

Info

Publication number
CN117061188A
CN117061188A CN202311076599.2A CN202311076599A CN117061188A CN 117061188 A CN117061188 A CN 117061188A CN 202311076599 A CN202311076599 A CN 202311076599A CN 117061188 A CN117061188 A CN 117061188A
Authority
CN
China
Prior art keywords
authentication
authenticator
user terminal
uaf
response information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202311076599.2A
Other languages
English (en)
Other versions
CN117061188B (zh
Inventor
林飞
陈文华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Technology Innovation Center
China Telecom Corp Ltd
Original Assignee
China Telecom Technology Innovation Center
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Technology Innovation Center, China Telecom Corp Ltd filed Critical China Telecom Technology Innovation Center
Priority to CN202311076599.2A priority Critical patent/CN117061188B/zh
Publication of CN117061188A publication Critical patent/CN117061188A/zh
Application granted granted Critical
Publication of CN117061188B publication Critical patent/CN117061188B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本申请涉及一种网络服务的安全认证方法、系统、装置、计算机设备、可读存储介质和计算机程序产品。所述方法包括:对用户终端的登录操作,发送第一UAF认证请求并接收第一认证响应信息。若认证通过,发送认证成功消息。登录服务器后,满足安全认证触发条件,输入信用评估特征到信任评估模型,得到信任评估结果。满足预设条件时,发送第二UAF认证请求并接收第二认证响应信息。第一UAF认证请求和第二UAF认证请求使用不同认证因子的认证器。采用本地认证和系统认证协议解耦能够提高认证系统可扩展性,提供可靠和灵活的身份验证,满足认证成功再次进行信任评估,之后重新发送新认证请求实现动态的用户身份验证,增强了系统安全。

Description

网络服务的安全认证方法、系统、装置和计算机设备
技术领域
本申请涉及网络安全技术领域,特别是涉及一种网络服务的安全认证方法、系统、装置、计算机设备、可读存储介质和计算机程序产品。
背景技术
随着网络安全技术的发展,密码认证,指纹认证,人脸认证各色认证方式层出不穷,但即便是私人独有的识别码也可能出现信息泄露的危险状况,混合认证的方式逐渐占领市场主体,当下最流行的多因子认证方式,即用户要通过两种以上的认证因素鉴别机制之后,才能得到使用互联网资源的授权,两种认证方式的叠加,一定程度上保障了用户使用互联网服务的安全性。
然而,目前的传统认证方式,存在不能满足用户在持续访问互联网资源过程中应对动态安全风险的安全需求的问题。
发明内容
基于此,有必要针对不能满足用户在持续访问互联网资源过程中应对动态安全风险的安全需求的技术问题,提供一种能够满足应对动态安全需求的网络服务的安全认证方法、系统、装置、计算机设备、可读存储介质和计算机程序产品。
第一方面,本申请提供了一种网络服务的安全认证方法,其特征在于,应用于目标网络服务对应的服务器,所述方法包括:
响应于用户终端针对于服务器的登录操作,将针对用户终端的第一UAF认证请求发送至用户终端,并接收用户终端通过调用与第一UAF认证请求相匹配的认证器得到的,与第一UAF认证请求相匹配的第一认证响应信息;
在第一认证响应信息表征认证通过的情况下,向用户终端发送认证成功消息;
在用户终端基于认证成功消息登录服务器后,若满足预设安全认证触发条件,则将用户终端匹配的信用评估特征输入预设的信任评估模型,得到用户终端的信任评估结果;
在信任评估结果满足预设条件的情况下,将针对用户终端的第二UAF认证请求发送至用户终端,并接收用户终端通过调用与第二UAF认证请求相匹配的认证器得到的,与第二UAF认证请求相匹配的第二认证响应信息;第一UAF认证请求相匹配的认证器与第二UAF认证请求相匹配的认证器属于不相同认证因子的认证器。
在其中一个实施例中,第一认证响应信息包括包括:第一数字签名信息以及认证器响应信息;第一数字签名信息由第一UAF认证请求相匹配的认证器基于预先生成的服务器与用户终端关联的用户证书私钥生成;
在第一认证响应信息表征认证通过的情况下,向用户终端发送认证成功消息,包括:
解析第一认证响应消息,得到第一数字签名信息;
利用服务器预先存储的服务器与用户终端关联的用户证书公钥对第一数字签名信息进行解密验证,并在第一数字签名信息解密验证通过后,获取认证器响应信息表征的认证结果;
在认证器响应信息表征的认证结果为认证通过的情况下,向用户终端发送认证成功消息。
在其中一个实施例中,利用服务器预先存储的服务器与用户终端关联的用户证书公钥对第一数字签名信息进行解密验证之前,还包括:
响应于用户终端针对于服务器的注册操作,将针对用户终端的注册请求发送至用户终端,并接收用户终端通过调用与注册请求相匹配的认证器得到的,与注册请求相匹配的注册响应信息;注册响应信息中包含有服务器与用户终端关联的用户证书公钥;
解析注册响应信息,在注册响应消息表征认证通过的情况下,从注册响应信息中获取服务器与用户终端关联的用户证书公钥并存储,以及向用户终端发送注册成功消息。
在另外一个实施例中,注册响应消息,还包括:第二数字签名信息以及认证器注册响应信息;第二数字签名信息由注册请求相匹配的认证器基于该认证器的认证器私钥生成;
在注册响应消息表征认证通过的情况下,从注册响应信息中获取服务器与用户终端关联的用户证书公钥并存储,以及向用户终端发送注册成功消息,包括:
获取注册请求相匹配的认证器的认证器公钥;
利用认证器公钥对第二数字签名信息进行解密验证,并在第二数字签名信息解密验证通过后,获取认证器注册响应信息表征的认证结果;
在认证器注册响应信息表征的认证结果表征的认证结果为认证通过的情况下,从注册响应信息中获取服务器与用户终端关联的用户证书公钥并存储,以及向用户终端发送注册成功消息。
其中一个实施例中,信任评估结果通过用户终端的信任评分表征;
在信任评估结果满足预设条件的情况下,将针对用户终端的第二UAF认证请求发送至用户终端,包括:
在信任评分小于预设的信任评分阈值的情况下,将第二UAF认证请求发送至用户终端。
第二方面,本申请还提供了一种网络服务的安全认证方法,其特征在于,应用于用户终端,方法包括:
向目标网络服务对应的服务器触发针对于服务器的登录操作,并接收服务器针对登录操作返回的第一UAF认证请求;
基于第一UAF认证请求,调用与第一UAF认证请求相匹配的认证器,得到与第一UAF认证请求相匹配的第一认证响应信息,并将第一认证响应信息发送至服务器;
接收服务器在第一认证响应信息表征认证通过的情况下返回的认证成功消息;
在基于认证成功消息登录服务器之后,若接收到服务器发送的第二UAF认证请求,调用与第二UAF认证请求相匹配的认证器,得到与第二UAF认证请求相匹配的第二认证响应信息,并将第二认证响应信息发送至服务器;第一UAF认证请求相匹配的认证器与第二UAF认证请求相匹配的认证器属于不相同认证因子的认证器;第二UAF认证请求由服务器在满足预设安全认证触发条件下,将用户终端匹配的信用评估特征输入预设的信任评估模型,得到用户终端的信任评估结果,并在信任评估结果满足预设条件的情况下发送至用户终端。
在其中一个实施例中,其特征在于,基于第一UAF认证请求,调用与第一UAF认证请求相匹配的认证器,得到与第一UAF认证请求相匹配的第一认证响应信息,包括:
解析第一UAF认证请求,确定与第一UAF认证请求相匹配的认证器,并调用ASM认证模块;ASM认证模块用于生成密钥句柄访问令牌,并通过密钥句柄访问令牌访问第一UAF认证请求相匹配的认证器,并接收第一UAF认证请求相匹配的认证器返回的认证器响应信息;
从ASM认证模块中接收认证器响应信息,并生成与认证器响应信息相匹配的第一认证响应信息。
在另外一个实施例中,其特征在于,第一UAF认证请求相匹配的认证器,还用于获取预先生成的服务器与用户终端关联的用户证书私钥,并利用用户证书私钥,生成认证器响应信息对应的第一数字签名信息,并将第一数字签名信息与认证器响应信息返回ASM认证模块;
从ASM认证模块中接收认证器响应信息,并生成与认证器响应信息相匹配的第一认证响应信息,包括:
从ASM认证模块中接收认证器响应信息,以及第一数字签名信息,并根据认证器响应信息,以及第一数字签名信息生成第一认证响应信息。
其他的一个实施例中,其特征在于,解析第一UAF认证请求之前,还包括:
向服务器触发注册操作,并接收服务器针对登录操作返回的注册请求;
解析注册请求,确定与注册请求相匹配的认证器,并调用ASM认证模块;ASM认证模块用于生成密钥句柄访问令牌,并通过密钥句柄访问令牌访问注册请求相匹配的认证器,并接收注册请求相匹配的认证器返回的认证器注册响应信息;
从ASM认证模块中接收认证器注册响应信息,并生成与认证器注册响应信息对应的注册响应信息,发送至服务器;服务器用于解析注册响应信息,在认证器注册响应信息表征的认证结果表征的认证结果为认证通过的情况下,向用户终端发送注册成功消息。
在一个实施例中,其特征在于,注册请求相匹配的认证器,还用于生成服务器与用户终端关联的用户证书私钥以及用户证书公钥并存储,以及利用该认证器的认证器私钥,生成认证器注册响应信息对应的第二数字签名信息,并将用户证书公钥、第二数字签名信息以及认证器注册响应信息返回ASM认证模块;
从ASM认证模块中接收认证器注册响应信息,并生成与认证器注册响应信息对应的注册响应信息,发送至服务器,包括:
从ASM认证模块中接收用户证书公钥、第二数字签名信息以及认证器注册响应信息,并根据用户证书公钥、第二数字签名信息以及认证器注册响应信息,生成注册响应信息,发送至服务器;服务器用于解析注册响应信息,并利用预先获取的注册请求相匹配的认证器的认证器公钥,对第二数字签名信息进行解密验证,并在第二数字签名信息解密验证通过后,获取认证器注册响应信息表征的认证结果,以及在认证器注册响应信息表征的认证结果表征的认证结果为认证通过的情况下,从注册响应信息中获取服务器与用户终端关联的用户证书公钥并存储,以及向用户终端发送注册成功消息。
第三方面,本申请还提供了一种网络服务的安全认证系统,其特征在于,包括:目标网络服务对应的服务器和用户终端;
服务器,用于响应于用户终端针对于服务器的登录操作,将针对用户终端的第一UAF认证请求发送至用户终端;
用户终端,用于基于第一UAF认证请求,调用与第一UAF认证请求相匹配的认证器,得到与第一UAF认证请求相匹配的第一认证响应信息,并将第一认证响应信息发送至服务器;
服务器,还用于在第一认证响应信息表征认证通过的情况下,向用户终端发送认证成功消息,并在用户终端基于认证成功消息登录服务器后,若满足预设安全认证触发条件,则将用户终端匹配的信用评估特征输入预设的信任评估模型,得到用户终端的信任评估结果;在信任评估结果满足预设条件的情况下,将针对用户终端的第二UAF认证请求发送至用户终端;第一UAF认证请求相匹配的认证器与第二UAF认证请求相匹配的认证器属于不相同认证因子的认证器;
用户终端,还用于调用与第二UAF认证请求相匹配的认证器,得到与第二UAF认证请求相匹配的第二认证响应信息,并将第二认证响应信息发送至服务器。
其中一个实施例中,其特征在于,还包括:ASM认证模块。
用户终端,还用于解析第一UAF认证请求,确定与第一UAF认证请求相匹配的认证器,并调用ASM认证模块;
ASM认证模块,用于生成密钥句柄访问令牌,并通过密钥句柄访问令牌访问第一UAF认证请求相匹配的认证器,并接收第一UAF认证请求相匹配的认证器返回的认证器响应信息;
用户终端,还用于从ASM认证模块中接收认证器响应信息,并生成与认证器响应信息相匹配的第一认证响应信息。
第四方面,本申请还提供了一种网络服务的安全认证装置,其特征在于,应用于目标网络服务对应的服务器,所述装置包括:
响应消息接收模块,用于响应于用户终端针对于服务器的登录操作,将针对用户终端的第一UAF认证请求发送至用户终端,并接收用户终端通过调用与第一UAF认证请求相匹配的认证器得到的,与第一UAF认证请求相匹配的第一认证响应信息;
信息表征认证模块,用于在第一认证响应信息表征认证通过的情况下,向用户终端发送认证成功消息;
评估结果生成模块,用于在用户终端基于认证成功消息登录服务器后,若满足预设安全认证触发条件,则将用户终端匹配的信用评估特征输入预设的信任评估模型,得到用户终端的信任评估结果;
认证模块,用于在信任评估结果满足预设条件的情况下,将针对用户终端的第二UAF认证请求发送至用户终端,并接收用户终端通过调用与第二UAF认证请求相匹配的认证器得到的,与第二UAF认证请求相匹配的第二认证响应信息;第一UAF认证请求相匹配的认证器与第二UAF认证请求相匹配的认证器属于不相同认证因子的认证器。
第五方面,本申请还提供了一种网络服务的安全认证装置,其特征在于,应用于用户终端,所述装置包括:
认证请求接收模块,向目标网络服务对应的服务器触发针对于服务器的登录操作,并接收服务器针对登录操作返回的第一UAF认证请求;
响应消息生成模块,基于第一UAF认证请求,调用与第一UAF认证请求相匹配的认证器,得到与第一UAF认证请求相匹配的第一认证响应信息,并将第一认证响应信息发送至服务器;
成功消息接收模块,接收服务器在第一认证响应信息表征认证通过的情况下返回的认证成功消息;
认证模块,在基于认证成功消息登录服务器之后,若接收到服务器发送的第二UAF认证请求,调用与第二UAF认证请求相匹配的认证器,得到与第二UAF认证请求相匹配的第二认证响应信息,并将第二认证响应信息发送至服务器;第一UAF认证请求相匹配的认证器与第二UAF认证请求相匹配的认证器属于不相同认证因子的认证器;第二UAF认证请求由服务器在满足预设安全认证触发条件下,将用户终端匹配的信用评估特征输入预设的信任评估模型,得到用户终端的信任评估结果,并在信任评估结果满足预设条件的情况下发送至用户终端。
第六方面,本申请还提供了一种计算机设备。所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现如第一方面或者第二方面任一项实施例所述的网络服务的安全认证方法。
第七方面,本申请还提供了一种计算机可读存储介质。所述计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面或者第二方面任一项实施例所述的网络服务的安全认证方法。
第八方面,本申请还提供了一种计算机程序产品。所述计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现如第一方面或者第二方面任一项实施例所述的网络服务的安全认证方法。
上述网络服务的安全认证方法、系统、装置、计算机设备、可读存储介质和计算机程序产品,响应于用户终端针对于服务器的登录操作,将针对用户终端的第一UAF认证请求发送至用户终端,并接收用户终端通过调用与第一UAF认证请求相匹配的认证器得到的,与第一UAF认证请求相匹配的第一认证响应信息;在第一认证响应信息表征认证通过的情况下,向用户终端发送认证成功消息;在用户终端基于认证成功消息登录服务器后,若满足预设安全认证触发条件,则将用户终端匹配的信用评估特征输入预设的信任评估模型,得到用户终端的信任评估结果;在信任评估结果满足预设条件的情况下,将针对用户终端的第二UAF认证请求发送至用户终端,并接收用户终端通过调用与第二UAF认证请求相匹配的认证器得到的,与第二UAF认证请求相匹配的第二认证响应信息;第一UAF认证请求相匹配的认证器与第二UAF认证请求相匹配的认证器属于不相同认证因子的认证器。用户终端本地的认证手段与UAF协议解耦的多因子认证,可以提高安全性和提供可扩展性,从而提供更可靠和灵活的身份验证方案。满足服务成功发送认证成功消息之后,之后再满足信任评估条件后,通过综合不同的认证因子,服务器可以实现动态的用户身份验证从而降低被攻击的风险性,增强系统的整体安全性。
附图说明
图1为一个实施例中一种网络服务的安全认证方法的应用环境图;
图2为一个实施例中一种网络服务的安全认证方法流程示意图;
图3为另一个实施例中一种网络服务的安全认证方法流程示意图;
图4为一个实施例中用户注册的流程示意图;
图5为一个实施例中网络服务的安全认证系统框图;
图6为另一个实施例中网络服务的安全认证系统中的用户终端系统框图;
图7为一个实施例中一种网络服务的安全认证方法的应用环境示意图
图8为一个实施例中一种网络服务的安全认证方法的详细流程示意图;
图9为一个实施例中一种网络服务的安全认证方法的详细流程示意图;
图10为另一个实施例中一种网络服务的安全认证方法装置的结构框图;
图11为一个实施例中一种网络服务的安全认证方法装置的结构框图;
图12为另一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请实施例提供的一种网络服务的安全认证方法,可以应用于如图1所示的应用环境中。其中,用户终端102和服务器104。用户终端触发登录操作,收到服务器发送的第一UAF认证请求。用户终端使用相匹配的认证器获得第一认证响应信息,并发送给服务器。如果认证通过,服务器发送认证成功消息。用户终端登录服务器后,如果满足安全认证触发条件,服务器将用户终端的信用评估特征输入信任评估模型,得到信任评估结果。在满足预设条件下,服务器发送第二UAF认证请求给用户终端。用户终端使用相匹配的认证器获得第二认证响应信息,并发送给服务器。第一UAF认证请求和第二UAF认证请求使用不同认证因子的认证器。。其中,用户设备可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑、物联网设备和便携式可穿戴设备,物联网设备可为智能音箱、智能电视、智能空调、智能车载设备等。便携式可穿戴设备可为智能手表、智能手环、头戴设备等。服务器可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
在一个实施例中,如图2所示,提供了一种网络服务的安全认证方法,以该方法应用于图1中的服务器104为例进行说明,包括以下步骤:
步骤S201,服务器响应于用户终端针对于服务器的登录操作,将针对用户终端的第一UAF认证请求发送至用户终端,并接收用户终端通过调用与第一UAF认证请求相匹配的认证器得到的,与第一UAF认证请求相匹配的第一认证响应信息。
具体来说,在用户通过用户终端102向服务器104发起登录操作时,服务器104则可以响应该登录操作,并将第一UAF认证请求发送至用户终端102。用户终端102则可以调用与该第一UAF认证请求相匹配的认证器,来得到与第一UAF认证请求相对应的第一响应信息,返回服务器104。
步骤S202,在第一认证响应信息表征认证通过的情况下,向用户终端102发送认证成功消息。
在得到第一认证响应信息后,服务器104则可以解析第一认证响应信息,验证上述第一认证响应信息表征是否表征认证通过,如果是,则向用户终端102发送认证成功的信息。
步骤S203,在用户终端基于认证成功消息登录服务器后,若满足预设安全认证触发条件,则将用户终端匹配的信用评估特征输入预设的信任评估模型,得到用户终端的信任评估结果。
预设安全认证触发条件可以是预先设定的触发安全认证的条件,例如可以是设定的某个间隔时间。信任评估特征可以理解为认证器标识符、服务器标识符、用户终端、ASM(Authenticator Specific Module,认证器特定模块)、认证器元数据声明(包括认证方法和认证特性)服务器和第一认证响应消息等等用于评估用户终端102的信任度的特征。其中,信任评估模型可以是用于评估用户终端102的神经网络模型,该模型可以基于机器学习中的对数几率回归活逻辑斯蒂回归,对数几率回归属任意阶可导凸函数训练得到。
可选地,当用户终端102成功登录服务器104并满足预设的安全认证触发条件,服务器104还可以将用户终端102的信用评估特征输入预设的信任评估模型进行评估,从而得到用户终端的信任评估结果,该结果可以是一个0~1之间的实数。
步骤S204,在信任评估结果满足预设条件的情况下,将针对用户终端的第二UAF认证请求发送至用户终端,并接收用户终端通过调用与第二UAF认证请求相匹配的认证器得到的,与第二UAF认证请求相匹配的第二认证响应信息;第一UAF认证请求相匹配的认证器与第二UAF认证请求相匹配的认证器属于不相同认证因子的认证器。
其中,预设条件可以指的是是否小于先设阈值的条件,第二UAF认证请求则指的是与采用与第一UAF认证请求不相同认证因子的认证器进行认证的请求,第二认证响应信息则是第二UAF认证请求对应的响应信息。
具体来说,服务器104得到的信任评估结果满足预设条件的情况时,例如可以是小于先设阈值的情况下,服务器104还可以将针对用户终端102的第二UAF认证请求发送至用户终端102。用户终端102则可以再次调用与第二UAF认证请求相匹配的认证器,来进行认证,从而使用户终端102再次得到第二认证响应信息返回服务器104。
上述网络服务的安全认证方法中,服务器对用户终端102登录操作的响应是发送第一UAF认证请求,并接收与之匹配的第一认证响应信息。如果第一认证通过,服务器104发送认证成功消息给用户终端。用户终端102基于认证成功消息登录服务器后,如果满足预设的安全认证触发条件,服务器104将用户终端的信用评估特征输入信任评估模型,得到信任评估结果。当信任评估结果满足预设条件时,服务器104发送第二UAF认证请求,并接收与之匹配的第二认证响应信息。第一UAF认证请求和第二UAF认证请求的认证器属于不同认证因子。用户终端本地的认证手段与UAF协议解耦的多因子认证,可以提高安全性和提供可扩展性,从而提供更可靠和灵活的身份验证方案。满足服务器104发送认证成功消息之后,通过再次输入信任评估模型判断满足预设条件则再次发送第二UAF认证请求,服务器104可以实现动态的可靠的用户身份验证和信任评估,增强系统的整体安全性。
在一个实施例中,第一认证响应信息包括:第一数字签名信息以及认证器响应信息;第一数字签名信息由第一UAF认证请求相匹配的认证器基于预先生成的服务器104与用户终端104关联的用户证书私钥生成;在第一认证响应信息表征认证通过的情况下,向用户终端102发送认证成功消息,包括:解析第一认证响应消息,得到第一数字签名信息;利用服务器104预先存储的服务器与用户终端关联的用户证书公钥对第一数字签名信息进行解密验证,并在第一数字签名信息解密验证通过后,获取认证器响应信息表征的认证结果;在认证器响应信息表征的认证结果为认证通过的情况下,向用户终端102发送认证成功消息。
其中,第一数字签名信息可以理解为所匹配的认证器基于预先生成的服务器与用户终端关联的用户证书私钥数字签名后的相关信息。
可选地,首先对获取到的第一认证响应消息进行解析提取出其中的第一数字签名信息,并利用预先存储的预先生成的服务器与用户终端关联的用户证书公钥解密,验证之前基于预先生成的服务器104与用户终端102关联的用户证书私钥生成的第一数字签名信息。信息加密解密的过程极大保障了交互数据的保密性,并且在中途也不容易被破解和获取,保护了用户终端102使用网络系统时的安全性。
在一个实施例中,利用服务器104预先存储的服务器104与用户终端102关联的用户证书公钥对第一数字签名信息进行解密验证之前,还包括:响应于用户终端102针对于服务器104的注册操作,将针对用户终端102的注册请求发送至用户终端1102,并接收用户终端102通过调用与注册请求相匹配的认证器得到的,与注册请求相匹配的注册响应信息;注册响应信息中包含有服务器104与用户终端102关联的用户证书公钥;解析注册响应信息,在注册响应消息表征认证通过的情况下,从注册响应信息中获取服务器104与用户终端102关联的用户证书公钥并存储,以及向用户终端102发送注册成功消息。
示例地,用户通过客户端102注册服务器104,响应于此操作服务器104发送注册请求,并接收客户端调用与注册请求相匹配的认证器得到的注册响应消息,在解析并验证注册响应消息之后,提取其中的服务器104与用户终端102关联的用户证书公钥存储,并向客户端发送注册成功的消息。注册时提前存储了认证时需要用到的公钥,减少了不必要的操作节约了操作的时间,加快了认证的效率。
在一个实施例中,注册响应消息还包括:第二数字签名信息以及认证器注册响应信息;第二数字签名信息由注册请求相匹配的认证器基于该认证器的认证器私钥生成在注册响应消息表征认证通过的情况下,从注册响应信息中获取服务器104与用户终端102关联的用户证书公钥并存储,以及向用户终端102发送注册成功消息,包括:获取注册请求相匹配的认证器的认证器公钥;利用认证器公钥对第二数字签名信息进行解密验证,并在第二数字签名信息解密验证通过后,获取认证器注册响应信息表征的认证结果;在认证器注册响应信息表征的认证结果表征的认证结果为认证通过的情况下,从注册响应信息中获取服务器104与用户终端102关联的用户证书公钥并存储,以及向用户终端102发送注册成功消息。
其中,第二数字签名信息可以理解为认所匹配认证器自身的鉴证私钥进行数字签名后的相关信息,认证器公钥可以理解为鉴证公钥。
可选地,服务器104获取所述匹配认证器的鉴证公钥,并利用该鉴证公钥对加密后的第二数字签名信息进行解密,,注册响应信息的表征验证通过之后,服务器104才能从注册响应信息中获取服务器104与用户终端102关联的用户证书公钥并存储,之后再向客户端返回一个注册成功消息。注册时利用的认证器自身的鉴证公私钥对来作为一对锁与钥匙的组合保护信息不被泄露,与此同时顺利将服务器104与用户终端102关联的用户证书公钥成功发送至服务器104,为后续认证提供了便利,同时也确保了用户注册过程中信息不被盗取,保护了用户的个人隐私,增强了系统的整体安全性。
在一个实施例中,信任评估结果通过用户终端102的信任评分表征;在信任评估结果满足预设条件的情况下,将针对用户终端102的第二UAF认证请求发送至用户终端102,包括:在信任评分小于预设的信任评分阈值的情况下,将第二UAF认证请求发送至用户终端102。
示例地,这里选择的是将信任评估结果小于信任评分阈值的情况下,只有满足了输出结果小于这个阈值,服务器104才会将拥有不相同认证因子的第二认证请求发送至客户端,从而进行多因子认证,进一步确定用户的身份,保证连续使用互联网服务中用户的身份安全。
一个实施例中,如图3所示,提供了一种网络服务的安全认证方法,以该方法应用于图1中的用户终端102为例进行说明,包括以下步骤包括:
步骤S301,向目标网络服务对应的服务器104触发针对于服务器104的登录操作,并接收服务器104针对所述登录操作返回的第一UAF认证请求。
可选地,用户通过客户端登录服务器104,触发客户端与服务器104之间的信息交换,客户端接收服务器104针对此操作返回的第一UAF认证请求。可以通过UAF认证方式实现服务器104对客户端身份的验证,提高认证方式的可扩展性和灵活性。
步骤S302,基于所述第一UAF认证请求,调用与所述第一UAF认证请求相匹配的认证器,得到与所述第一UAF认证请求相匹配的第一认证响应信息,并将所述第一认证响应信息发送至所述服务器104。
示例地,用户终端102解析第一UAF请求,通过其中携带的相匹配的认证器标识和预先注册的密钥注册数据调用对应的认证器,并将第一认证响应消息发送到FIDO服务器104。将UAF认证手段与本地认证手段相结合。
步骤S303,接收所述服务器104在所述第一认证响应信息表征认证通过的情况下返回的认证成功消息。
可选地,接收基于服务器104在验证第一认证响应信息表征通过后返回的认证成功消息。
步骤S304,在基于所述认证成功消息登录所述服务器104之后,若接收到所述服务器104发送的第二UAF认证请求,调用与所述第二UAF认证请求相匹配的认证器,得到与所述第二UAF认证请求相匹配的第二认证响应信息,并将所述第二认证响应信息发送至所述服务器104;所述第一UAF认证请求相匹配的认证器与所述第二UAF认证请求相匹配的认证器属于不相同认证因子的认证器;所述第二UAF认证请求由所述服务器104在满足预设安全认证触发条件下,将所述用户终端102匹配的信用评估特征输入预设的信任评估模型,得到所述用户终端102的信任评估结果,并在所述信任评估结果满足预设条件的情况下发送至所述用户终端102。
示例地,如果客户端又收到了第二认证请求,会再次重复步骤S302到S304,实现一个多因子的认证,并且在重复的过程中第二认证请求中携带的是与第一次不相同的认证因子。
本实施例中,通过向目标网络服务对应的服务器104触发登录操作并接收服务器104返回的第一UAF认证请求;基于第一UAF认证请求,调用相匹配的认证器,得到第一认证响应信息并发送至服务器104;接收服务器104返回的认证成功消息;在登录服务器104后,若接收到第二UAF认证请求,调用相匹配的认证器,得到第二认证响应信息并发送至服务器104;第一UAF认证请求与第二UAF认证请求的认证器属于不同认证因子的认证器;第二UAF认证请求由服务器104根据用户终端102的信用评估特征输入信任评估模型得到信任评估结果,并在满足预设条件时发送至用户终端102,能够达到用户终端102本地的认证手段与UAF协议解耦的多因子认证,可以提高安全性和提供可扩展性,从而提供更可靠和灵活的身份验证方案。只要接收到服务器104发送的第二认证请求,在接收到认证成功消息之后照常进行多因子判决,用户终端102可以实现更可靠的用户身份验证和信任评估,增强系统的整体安全性。
其中一个实施例中,其特征在于,基于第一UAF认证请求,调用与第一UAF认证请求相匹配的认证器,得到与第一UAF认证请求相匹配的第一认证响应信息,包括:解析第一UAF认证请求,确定与第一UAF认证请求相匹配的认证器,并调用ASM认证模块;ASM认证模块用于生成密钥句柄访问令牌,并通过密钥句柄访问令牌访问第一UAF认证请求相匹配的认证器,并接收第一UAF认证请求相匹配的认证器返回的认证器响应信息;从ASM认证模块中接收认证器响应信息,并生成与认证器响应信息相匹配的第一认证响应信息。
其中,ASM认证模块可以理解为抽象FIDO认证器功能,为上层用户终端102提供标准统一的一组接口规范(API),适配下层各种具体的认证器。密钥句柄访问令牌可以理解为访问认证器的一把通关密钥。
示例地,用户终端102解析第一UAF认证请求后确定对应匹配的认证器,通过ASM认证模块调用对应匹配的认证器,与此同时从ASM认证模块中接收认证器响应消息生成对应匹配的第一认证消息。通过在用户终端102和认真器之间添加上一个转接的云平台ASM认证模块,模块与多个不相同认证因子的认证器互联,实现了查找对应匹配认证器的效率,减少了认证所需要耗费的时间。
另外一个实施例中,其特征在于,第一UAF认证请求相匹配的认证器,还用于获取预先生成的服务器104与用户终端102关联的用户证书私钥,并利用用户证书私钥,生成认证器响应信息对应的第一数字签名信息,并将第一数字签名信息与认证器响应信息返回ASM认证模块;从ASM认证模块中接收认证器响应信息,并生成与认证器响应信息相匹配的第一认证响应信息,包括:从ASM认证模块中接收认证器响应信息,以及第一数字签名信息,并根据认证器响应信息,以及第一数字签名信息生成第一认证响应信息。
可选地,对应匹配的认证器获取并利用预先生成的服务器104与用户终端102关联的用户证书私钥,生成认证器响应信息对应的第一数字签名信息,并将二者返回到ASM认证模块,用户终端102从ASM认证模块中接收并根据认证器响应消息和第一数字签名信息生成第一认证响应消息。通过使用用户证书私钥和数字签名技术,可以确保认证过程中的数据完整性、身份认证和双向认证。这有助于防止未经授权的访问和保护用户终端102与认证模块之间的通信安全。
在一个实施例中,如图4所示,其特征在于,解析第一UAF认证请求之前,包括以下步骤:
步骤S401,向服务器104触发注册操作,并接收服务器104针对登录操作返回的注册请求。
示例地,用户终端102发起注册操作,并接收服务响应于此操作而返回的注册请求,用户终端102可以与服务器104进行交互,完成注册过程,并获取注册结果。
步骤S402,解析注册请求,确定与注册请求相匹配的认证器,并调用ASM认证模块;ASM认证模块用于生成密钥句柄访问令牌,并通过密钥句柄访问令牌访问注册请求相匹配的认证器,并接收注册请求相匹配的认证器返回的认证器注册响应信息;
可选地,用户终端102解析注册请求,确定并通过ASM认证模块调用对应匹配的认证器,其中ASM认证模块在接受用户终端102命令寻找对应匹配认证器之后会生成密钥句柄访问令牌(KHAccessToken),作为访问该认证器的令牌保护认证器不被非法访问。通过ASM认证模块的管理和调度,确保选择正确的认证器,并生成密钥句柄访问令牌来保护认证器的安全。
步骤S403,从ASM认证模块中接收认证器注册响应信息,并生成与认证器注册响应信息对应的注册响应信息,发送至服务器104;服务器104用于解析注册响应信息,在认证器注册响应信息表征的认证结果表征的认证结果为认证通过的情况下,向用户终端102发送注册成功消息。
示例地,用户终端102从ASM认证器模块中接收认证器注册响应信息,同时生成对应的注册响应消息并发送至服务器104,之后接收在服务器104解析注册响应信息之后,该信息的信息表征通过之后发送的注册成功消息。
上述公开的实施例中,注册过程中服务器104和用户终端102能够实现及时的交互,互相反馈注册的结果,并且通过ASM认证模块更加方便地调用对应匹配的认证器,保证了交互的及时性,操作的便捷性,有利于保护用户信息安全和提高注册效率。
另外的一个实施例中,其特征在于,注册请求相匹配的认证器,还用于生成服务器104与用户终端102关联的用户证书私钥以及用户证书公钥并存储,以及利用该认证器的认证器私钥,生成认证器注册响应信息对应的第二数字签名信息,并将用户证书公钥、第二数字签名信息以及认证器注册响应信息返回ASM认证模块;从ASM认证模块中接收认证器注册响应信息,并生成与认证器注册响应信息对应的注册响应信息,发送至服务器104,包括:从ASM认证模块中接收用户证书公钥、第二数字签名信息以及认证器注册响应信息,并根据用户证书公钥、第二数字签名信息以及认证器注册响应信息,生成注册响应信息,发送至服务器104;服务器104用于解析注册响应信息,并利用预先获取的注册请求相匹配的认证器的认证器公钥,对第二数字签名信息进行解密验证,并在第二数字签名信息解密验证通过后,获取认证器注册响应信息表征的认证结果,以及在认证器注册响应信息表征的认证结果表征的认证结果为认证通过的情况下,从注册响应信息中获取服务器104与用户终端102关联的用户证书公钥并存储,以及向用户终端102发送注册成功消息。
其中,认证器私钥和认证器私钥可以理解为认证器鉴证私钥和认证器鉴证公钥,相当于用于验证认证器身份和通信安全的密钥对,认证器自身私钥和用户关联认证证书私钥存储于用户终端102安全区域。
用户终端102从ASM认证模块中接收用户证书公钥、第二数字签名信息以及认证器注册响应信息,并根据用户证书公钥、第二数字签名信息以及认证器注册响应信息,生成注册响应信息,发送至服务器104;服务器104用于解析注册响应信息,并利用预先获取的注册请求相匹配的认证器的认证器公钥,对第二数字签名信息进行解密验证,并在第二数字签名信息解密验证通过后,获取认证器注册响应信息表征的认证结果,以及在认证器注册响应信息表征的认证结果表征的认证结果为认证通过的情况下,从注册响应信息中获取服务器104与用户终端102关联的用户证书公钥并存储,以及向用户终端102发送注册成功消息。此处的第二数字签名信息在用户终端102利用用认证器私钥加密,在服务器104中利用认证器公钥解密,加密解密的过程保证了用户身份信息的安全,并且同时还可以再次确认选择的认证器是否正确可以实现反复验证,认证器鉴证私钥和用户关联认证证书私钥存储于用户终端102安全区域,而不是集中存储在服务器104,极大增强了密钥安全性,大大提高了系统的通信安全性和容错性。
在一个实施例中,如图5所示,一种网络服务的安全认证系统,其特征在于,包括:包括:目标网络服务对应的服务器501和用户终端502;
服务器501,用于响应于用户终端针对于服务器的登录操作,将针对用户终端的第一UAF认证请求发送至用户终端;
用户终端502基于第一UAF认证请求,调用与第一UAF认证请求相匹配的认证器,得到与第一UAF认证请求相匹配的第一认证响应信息,并将第一认证响应信息发送至服务器;
服务器501用于在第一认证响应信息表征认证通过的情况下,向用户终端发送认证成功消息,并在用户终端基于认证成功消息登录服务器后,若满足预设安全认证触发条件,则将用户终端匹配的信用评估特征输入预设的信任评估模型,得到用户终端的信任评估结果;在信任评估结果满足预设条件的情况下,将针对用户终端的第二UAF认证请求发送至用户终端;第一UAF认证请求相匹配的认证器与第二UAF认证请求相匹配的认证器属于不相同认证因子的认证器;
用户终端502还用于调用与第二UAF认证请求相匹配的认证器,得到与第二UAF认证请求相匹配的第二认证响应信息,并将第二认证响应信息发送至服务器。
示例地,关于一种网络服务的安全认证系统的具体限定可以参见上文中对于一种网络服务的安全认证方法,应用于目标网络服务对应的服务器和一种网络服务的安全认证方法,应用于用户终端相应的限定,在此不再赘述。上述一种网络服务的安全认证系统中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在其中一个实施例中,如图6所示,用户终端模块,其特征在于,还包括:ASM认证模块602和用户终端601;
用户终端601用于解析第一UAF认证请求,确定与第一UAF认证请求相匹配的认证器,并调用ASM认证模块;
ASM认证模块602用于生成密钥句柄访问令牌,并通过密钥句柄访问令牌访问第一UAF认证请求相匹配的认证器,并接收第一UAF认证请求相匹配的认证器返回的认证器响应信息;
用户终端601还用于从ASM认证模块中接收认证器响应信息,并生成与认证器响应信息相匹配的第一认证响应信息。
示例地,关于ASM认证模块的具体限定可以参见上文中对于所述基于所述第一UAF认证请求,调用与所述第一UAF认证请求相匹配的认证器,得到与所述第一UAF认证请求相匹配的第一认证响应信息相应的限定,在此不再赘述。上述ASM认证模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个详细实施例中,应用于如图7所示的应用环境内,应用环境主要包括Web客户端、FIDO客户端、ASM(Authenticator Specific Module)认证器特定模块、FIDO认证器、Web服务器、FIDO服务器、FIDO元数据服务七大组件。
详细介绍如下:
Web客户端:可表现为SDK、APP或浏览器,充当FIDO客户端的用户代理。Web客户端与Web服务器之间通过TLS安全协议通信。
FIDO客户端:调用ASM认证器特定模块API,与特定的FIDO认证器交互;通过Web客户端为用户代理,与FIDO服务器交互UAF(Universal Authentication Framework)协议消息(注册、认证、交易确认、注销)。
ASM认证器特定模块:充当抽象FIDO认证器功能,为上层FIDO客户端提供标准API,适配下层各种具体的FIDO认证器。
FIDO认证器:连接或封装在FIDO用户设备中的安全实体,内置匹配器包括人脸识别、指纹识别、声纹识别、虹膜识别等生物特征认证,可以创建与依赖方(Relying Party)相关联的密钥材料(依赖方用户关联认证证书公私钥、数字签名、哈希)。认证器自身鉴证私钥和用户关联认证证书私钥存储于设备安全区域。密钥可以用来参与FIDO强鉴别协议,例如生成加密挑战的响应以向依赖方证明自己。
Web服务器:提供Web在线服务;充当FIDO服务器的代理,传送FIDO客户端与FIDO服务器之间交互的UAF协议消息。
FIDO服务器:通过Web服务器为代理,与FIDO客户端交互UAF协议消息(注册、认证、交易确认、注销);接受FIDO认证器厂商提供的FIDO认证器公钥证书等元数据服务;FIDO安全认证策略调用信任评估模型(譬如基于机器学习中的对数几率回归或逻辑逻辑斯蒂回归),依据信任评分做出多因子认证判决,实现动态安全认证。
FIDO元数据服务:向FIDO服务器提供FIDO认证器厂商公钥证书等元数据服务。
上述应用于如图7所示的应用环境内的一个详细实施例中,网络服务的安全注册方法,如图8所示具体实施步骤如下:
步骤S801,FIDO服务器从元数据服务获得FIDO联盟权威可靠的FIDO认证器厂商公钥证书等元数据。
步骤S802,用户输入用户名口令,通过Web客户端(TLS)登录依赖方Web服务。
步骤S803,Web服务器校验用户口令成功后,FIDO服务器触发UAF注册请求,发送包含用户名、依赖服务方标识符(AppID)、随机挑战数、UAF注册策略的UAF注册请求消息给FIDO客户端。
步骤S804,FIDO客户端解析UAF注册请求消息,根据UAF注册策略选择特定的认证器,ASM认证器特定模块生成KHAccessToken密钥句柄访问令牌用于保护认证器的UAF证书不被非法使用。
步骤S805,认证器(Authenticator Attestation ID)通过设备内置的匹配器(一般包括人脸识别、指纹识别、声纹识别、虹膜识别等生物特征认证)校验用户后,生成与依赖服务方用户名和AppID关联的公私钥证书,认证器自身Attestation鉴证私钥和用户关联认证证书私钥存储于设备安全区域。生成KeyRegistrationData(KRD)密钥注册数据,用认证器自身的Attestation私钥对相关信息进行数字签名。
步骤S806,FIDO客户端生成UAF注册响应消息(包括KRD)。
步骤S807,FIDO服务器解析FIDO客户端UAF注册响应消息,确保符合其UAF注册策略,用FIDO认证器自身的Attestation公钥解密验证相关信息后,向FIDO客户端发送UAF注册成功消息。
上述应用于如图7所示的应用环境内的另一个详细实施例中,网络服务的安全认证方法,如图9所示具体实施步骤如下:
步骤S901,用户通过Web客户端(TLS)登录依赖方Web服务。
步骤S902,FIDO服务器触发UAF认证请求,发送包含用户名、依赖服务方标识符(AppID)、随机挑战数、UAF认证策略的UAF认证请求消息给FIDO客户端。与UAF注册策略不同,此时基于FIDO认证器ID和其已注册密钥KeyID的组合(AAID,KeyID)将被添加到UAF认证策略的接受部分。
步骤S903,FIDO客户端解析UAF认证请求消息,根据UAF认证策略选择特定的认证器,ASM生成KHAccessToken密钥句柄访问令牌。
步骤S904,认证器通过设备内置的匹配器(一般包括人脸识别、指纹识别、声纹识别、虹膜识别等生物特征认证)校验用户后,生成认证器响应消息,用之前注册生成的依赖方用户证书私钥进行数字签名。
步骤S905,FIDO客户端生成UAF认证响应消息。
步骤S906,FIDO服务器解析FIDO认证响应消息,验证符合其UAF认证策略和认证器元数据声明数据特性,用之前已注册的依赖方用户证书公钥解密验证签名信息后,向FIDO客户端发送UAF认证成功消息。
步骤S907,FIDO服务器认证策略模块调用信任评估模型(譬如基于机器学习中的对数几率回归或逻辑斯蒂回归),依据信任评分做出多因子认证判决。如满足多因子认证策略,重复步骤2-6,从而实现动态安全认证。基于对数几率回归(Logistic Regression逻辑斯蒂回归)的信任评估模型输入特征变量包括认证器AAID、依赖方AppID、FIDO客户端、ASM、认证器元数据声明(包括认证方法和认证特性)、依赖方用户、用户角色、UAF认证响应消息等,输出为(0,1)区间的某个实数。FIDO服务器认证策略模块依据信任评估模型的输出评分和先设阈值,做出多因子认证判决。对数几率回归属任意阶可导凸函数,无需事先假设数据分布,能应用梯度下降法、牛顿法求取最优解。
上述公开的实施例,与现有技术相比具有以下优势:
1、本申请提出了一种网络服务的安全认证方法,实现用户设备、Web服务客户端与Web服务器端之间的认证手段和认证协议解耦的多因子认证;依据信任评估模型(譬如基于机器学习中的对数几率回归或逻辑斯蒂回归)评分做出多因子认证判决,实现动态安全认证。
2、实现用户设备、Web服务客户端与Web服务器端之间的认证手段和认证协议解耦的多因子认证。认证器自鉴证私钥和用户关联认证证书私钥存储于用户终端安全区域,而不是集中存储在依赖方Web服务器端,极大增强了密钥安全性。本地认证手段(一般包括人脸识别、指纹识别、声纹识别、虹膜识别等生物特征认证)和UAF通用认证框架相互解耦分离,认证体系兼容性和扩展性高。
3、依据信任评估模型(譬如基于机器学习中的对数几率回归或逻辑斯蒂回归)评分做出多因子认证判决,实现动态安全认证。
应该理解的是,虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
基于同样的发明构思,本申请实施例还提供了一种用于实现上述所涉及的网络服务的安全认证方法的网络服务的安全认证装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个或多个网络服务的安全认证装置实施例中的具体限定可以参见上文中对于网络服务的安全认证方法的限定,在此不再赘述。
在一个实施例中,如图10所示,提供了一种网络服务的安全认证装置,其特征在于,应用于目标网络服务对应的服务器,包括:响应消息接收模块1001、成功消息发送模块1002、评估结果生成模块1003和多因子判决模块1004,其中:
响应消息接收模块1001,用于响应于用户终端针对于服务器的登录操作,将针对用户终端的第一UAF认证请求发送至用户终端,并接收用户终端通过调用与第一UAF认证请求相匹配的认证器得到的,与第一UAF认证请求相匹配的第一认证响应信息;
成功消息发送模块1002,用于在第一认证响应信息表征认证通过的情况下,向用户终端发送认证成功消息;
评估结果生成模块1003,用于在用户终端基于认证成功消息登录服务器后,若满足预设安全认证触发条件,则将用户终端匹配的信用评估特征输入预设的信任评估模型,得到用户终端的信任评估结果;
判决模块1004,用于在信任评估结果满足预设条件的情况下,将针对用户终端的第二UAF认证请求发送至用户终端,并接收用户终端通过调用与第二UAF认证请求相匹配的认证器得到的,与第二UAF认证请求相匹配的第二认证响应信息;第一UAF认证请求相匹配的认证器与第二UAF认证请求相匹配的认证器属于不相同认证因子的认证器。
在一个实施例中,响应消息接收模块1002还包括解析子模块、验证子模块和发送子模块,第一认证响应信息包括:第一数字签名信息以及认证器响应信息;第一数字签名信息由第一UAF认证请求相匹配的认证器基于预先生成的服务器与用户终端关联的用户证书私钥生成,其中:
解析子模块,用于解析第一认证响应消息,得到第一数字签名信息。
验证子模块,用于利用服务器预先存储的服务器与用户终端关联的用户证书公钥对第一数字签名信息进行解密验证,并在第一数字签名信息解密验证通过后,获取认证器响应信息表征的认证结果。
发送子模块,用于在认证器响应信息表征的认证结果为认证通过的情况下,向用户终端发送认证成功消息。
在一个实施例中,验证子模块具体用于在响应于用户终端针对于服务器的注册操作,将针对用户终端的注册请求发送至用户终端,并接收用户终端通过调用与注册请求相匹配的认证器得到的,与注册请求相匹配的注册响应信息;注册响应信息中包含有服务器与用户终端关联的用户证书公钥;
解析注册响应信息,注册响应消息,还包括:第二数字签名信息以及认证器注册响应信息;第二数字签名信息由注册请求相匹配的认证器基于该认证器的认证器私钥生成;
在注册响应消息表征认证通过的情况下,从注册响应信息中获取服务器与用户终端关联的用户证书公钥并存储,以及向用户终端发送注册成功消息,包括:
获取注册请求相匹配的认证器的认证器公钥;
利用认证器公钥对第二数字签名信息进行解密验证,并在第二数字签名信息解密验证通过后,获取认证器注册响应信息表征的认证结果;
在认证器注册响应信息表征的认证结果表征的认证结果为认证通过的情况下,从注册响应信息中获取服务器与用户终端关联的用户证书公钥并存储,以及向用户终端发送注册成功消息。
判决模块1004具体用于在信任评估结果通过用户终端的信任评分表征;
在信任评估结果满足预设条件的情况下,将针对用户终端的第二UAF认证请求发送至用户终端,包括:
在信任评分小于预设的信任评分阈值的情况下,将第二UAF认证请求发送至用户终端。
在一个实施例中,如图11所示,提供了一种网络服务的安全认证装置,其特征在于,应用于用户终端,包括:认证请求接收模块1101、响应消息生成模块1102、成功消息接收模块1103和多因子认证模块1104,其中:
认证请求接收模块1101,用于向目标网络服务对应的服务器触发针对于服务器的登录操作,并接收服务器针对登录操作返回的第一UAF认证请求;
响应消息生成模块1102,用于基于第一UAF认证请求,调用与第一UAF认证请求相匹配的认证器,得到与第一UAF认证请求相匹配的第一认证响应信息,并将第一认证响应信息发送至服务器;
成功消息接收模块1103,用于接收服务器在第一认证响应信息表征认证通过的情况下返回的认证成功消息;
认证模块1104,用于在基于认证成功消息登录服务器之后,若接收到服务器发送的第二UAF认证请求,调用与第二UAF认证请求相匹配的认证器,得到与第二UAF认证请求相匹配的第二认证响应信息,并将第二认证响应信息发送至服务器;第一UAF认证请求相匹配的认证器与第二UAF认证请求相匹配的认证器属于不相同认证因子的认证器;第二UAF认证请求由服务器在满足预设安全认证触发条件下,将用户终端匹配的信用评估特征输入预设的信任评估模型,得到用户终端的信任评估结果,并在信任评估结果满足预设条件的情况下发送至用户终端。
在其中一个实施例中,响应消息接收模块1103还包括:解析子模块和生成子模块,其特征在于,基于第一UAF认证请求,调用与第一UAF认证请求相匹配的认证器,得到与第一UAF认证请求相匹配的第一认证响应信息,其中:
解析子模块:解析第一UAF认证请求,确定与第一UAF认证请求相匹配的认证器,并调用ASM认证模块;ASM认证模块用于生成密钥句柄访问令牌,并通过密钥句柄访问令牌访问第一UAF认证请求相匹配的认证器,并接收第一UAF认证请求相匹配的认证器返回的认证器响应信息。
生成子模块:从ASM认证模块中接收认证器响应信息,并生成与认证器响应信息相匹配的第一认证响应信息。
另外一个实施例中,其特征在于,第一UAF认证请求相匹配的认证器,还用于获取预先生成的服务器与用户终端关联的用户证书私钥,并利用用户证书私钥,生成认证器响应信息对应的第一数字签名信息,并将第一数字签名信息与认证器响应信息返回ASM认证模块;从ASM认证模块中接收认证器响应信息,并生成与认证器响应信息相匹配的第一认证响应信息,生成子模块主要用于在从ASM认证模块中接收认证器响应信息,以及第一数字签名信息,并根据认证器响应信息,以及第一数字签名信息生成第一认证响应信息。
其他的一个实施例中,进入解析子模块之前还包括:向服务器触发注册操作,并接收服务器针对登录操作返回的注册请求;
解析注册请求,确定与注册请求相匹配的认证器,并调用ASM认证模块;ASM认证模块用于生成密钥句柄访问令牌,并通过密钥句柄访问令牌访问注册请求相匹配的认证器,并接收注册请求相匹配的认证器返回的认证器注册响应信息;
从ASM认证模块中接收认证器注册响应信息,并生成与认证器注册响应信息对应的注册响应信息,发送至服务器;服务器用于解析注册响应信息,在认证器注册响应信息表征的认证结果表征的认证结果为认证通过的情况下,向用户终端发送注册成功消息。
在一个实施例中,其特征在于,注册请求相匹配的认证器,还用于生成服务器与用户终端关联的用户证书私钥以及用户证书公钥并存储,以及利用该认证器的认证器私钥,生成认证器注册响应信息对应的第二数字签名信息,并将用户证书公钥、第二数字签名信息以及认证器注册响应信息返回ASM认证模块;
从ASM认证模块中接收认证器注册响应信息,并生成与认证器注册响应信息对应的注册响应信息,发送至服务器,包括:
从ASM认证模块中接收用户证书公钥、第二数字签名信息以及认证器注册响应信息,并根据用户证书公钥、第二数字签名信息以及认证器注册响应信息,生成注册响应信息,发送至服务器;服务器用于解析注册响应信息,并利用预先获取的注册请求相匹配的认证器的认证器公钥,对第二数字签名信息进行解密验证,并在第二数字签名信息解密验证通过后,获取认证器注册响应信息表征的认证结果,以及在认证器注册响应信息表征的认证结果表征的认证结果为认证通过的情况下,从注册响应信息中获取服务器与用户终端关联的用户证书公钥并存储,以及向用户终端发送注册成功消息。
上述网络服务的安全认证装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图12所示。该计算机设备包括处理器、存储器、输入/输出接口(Input/Output,简称I/O)和通信接口。其中,处理器、存储器和输入/输出接口通过系统总线连接,通信接口通过输入/输出接口连接到系统总线。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储认证器厂商公钥证书等数据。该计算机设备的输入/输出接口用于处理器与外部设备之间交换信息。该计算机设备的通信接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种网络服务的安全认证方法。
本领域技术人员可以理解,图12中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述公开实施例的网络服务的安全认证方法。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述公开实施例的网络服务的安全认证方法。
在一个实施例中,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述公开实施例的网络服务的安全认证方法。
需要说明的是,本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据,且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(Ferroelectric Random Access Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory,DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。

Claims (17)

1.一种网络服务的安全认证方法,其特征在于,应用于目标网络服务对应的服务器,所述方法包括:
响应于用户终端针对于所述服务器的登录操作,将针对所述用户终端的第一UAF认证请求发送至所述用户终端,并接收所述用户终端通过调用与所述第一UAF认证请求相匹配的认证器得到的,与所述第一UAF认证请求相匹配的第一认证响应信息;
在所述第一认证响应信息表征认证通过的情况下,向所述用户终端发送认证成功消息;
在所述用户终端基于所述认证成功消息登录所述服务器后,若满足预设安全认证触发条件,则将所述用户终端匹配的信用评估特征输入预设的信任评估模型,得到所述用户终端的信任评估结果;
在所述信任评估结果满足预设条件的情况下,将针对所述用户终端的第二UAF认证请求发送至所述用户终端,并接收所述用户终端通过调用与所述第二UAF认证请求相匹配的认证器得到的,与所述第二UAF认证请求相匹配的第二认证响应信息;所述第一UAF认证请求相匹配的认证器与所述第二UAF认证请求相匹配的认证器属于不相同认证因子的认证器。
2.根据权利要求1所述的方法,其特征在于,所述第一认证响应信息包括:第一数字签名信息以及认证器响应信息;所述第一数字签名信息由所述第一UAF认证请求相匹配的认证器基于预先生成的所述服务器与所述用户终端关联的用户证书私钥生成;
所述在所述第一认证响应信息表征认证通过的情况下,向所述用户终端发送认证成功消息,包括:
解析所述第一认证响应消息,得到所述第一数字签名信息;
利用所述服务器预先存储的所述服务器与所述用户终端关联的用户证书公钥对所述第一数字签名信息进行解密验证,并在所述第一数字签名信息解密验证通过后,获取所述认证器响应信息表征的认证结果;
在所述认证器响应信息表征的认证结果为认证通过的情况下,向所述用户终端发送认证成功消息。
3.根据权利要求2所述的方法,其特征在于,所述利用所述服务器预先存储的所述服务器与所述用户终端关联的用户证书公钥对所述第一数字签名信息进行解密验证之前,还包括:
响应于所述用户终端针对于所述服务器的注册操作,将针对所述用户终端的注册请求发送至所述用户终端,并接收所述用户终端通过调用与所述注册请求相匹配的认证器得到的,与所述注册请求相匹配的注册响应信息;所述注册响应信息中包含有所述服务器与所述用户终端关联的用户证书公钥;
解析所述注册响应信息,在所述注册响应消息表征认证通过的情况下,从所述注册响应信息中获取所述服务器与所述用户终端关联的用户证书公钥并存储,以及向所述用户终端发送注册成功消息。
4.根据权利要求3所述的方法,其特征在于,所述注册响应消息,还包括:第二数字签名信息以及认证器注册响应信息;所述第二数字签名信息由所述注册请求相匹配的认证器基于该认证器的认证器私钥生成;
所述在所述注册响应消息表征认证通过的情况下,从所述注册响应信息中获取所述服务器与所述用户终端关联的用户证书公钥并存储,以及向所述用户终端发送注册成功消息,包括:
获取所述注册请求相匹配的认证器的认证器公钥;
利用所述认证器公钥对所述第二数字签名信息进行解密验证,并在所述第二数字签名信息解密验证通过后,获取所述认证器注册响应信息表征的认证结果;
在所述认证器注册响应信息表征的认证结果表征的认证结果为认证通过的情况下,从所述注册响应信息中获取所述服务器与所述用户终端关联的用户证书公钥并存储,以及向所述用户终端发送注册成功消息。
5.根据权利要求1所述的方法,其特征在于,所述信任评估结果通过所述用户终端的信任评分表征;
所述在所述信任评估结果满足预设条件的情况下,将针对所述用户终端的第二UAF认证请求发送至所述用户终端,包括:
在所述信任评分小于预设的信任评分阈值的情况下,将所述第二UAF认证请求发送至所述用户终端。
6.一种网络服务的安全认证方法,其特征在于,应用于用户终端,所述方法包括:
向目标网络服务对应的服务器触发针对于所述服务器的登录操作,并接收所述服务器针对所述登录操作返回的第一UAF认证请求;
基于所述第一UAF认证请求,调用与所述第一UAF认证请求相匹配的认证器,得到与所述第一UAF认证请求相匹配的第一认证响应信息,并将所述第一认证响应信息发送至所述服务器;
接收所述服务器在所述第一认证响应信息表征认证通过的情况下返回的认证成功消息;
在基于所述认证成功消息登录所述服务器之后,若接收到所述服务器发送的第二UAF认证请求,调用与所述第二UAF认证请求相匹配的认证器,得到与所述第二UAF认证请求相匹配的第二认证响应信息,并将所述第二认证响应信息发送至所述服务器;所述第一UAF认证请求相匹配的认证器与所述第二UAF认证请求相匹配的认证器属于不相同认证因子的认证器;所述第二UAF认证请求由所述服务器在满足预设安全认证触发条件下,将所述用户终端匹配的信用评估特征输入预设的信任评估模型,得到所述用户终端的信任评估结果,并在所述信任评估结果满足预设条件的情况下发送至所述用户终端。
7.根据权利要求6所述的方法,其特征在于,所述基于所述第一UAF认证请求,调用与所述第一UAF认证请求相匹配的认证器,得到与所述第一UAF认证请求相匹配的第一认证响应信息,包括:
解析所述第一UAF认证请求,确定与所述第一UAF认证请求相匹配的认证器,并调用ASM认证模块;所述ASM认证模块用于生成密钥句柄访问令牌,并通过所述密钥句柄访问令牌访问所述第一UAF认证请求相匹配的认证器,并接收所述第一UAF认证请求相匹配的认证器返回的认证器响应信息;
从所述ASM认证模块中接收所述认证器响应信息,并生成与所述认证器响应信息相匹配的第一认证响应信息。
8.根据权利要求7所述的方法,其特征在于,所述第一UAF认证请求相匹配的认证器,还用于获取预先生成的所述服务器与所述用户终端关联的用户证书私钥,并利用所述用户证书私钥,生成所述认证器响应信息对应的第一数字签名信息,并将所述第一数字签名信息与所述认证器响应信息返回所述ASM认证模块;
所述从所述ASM认证模块中接收所述认证器响应信息,并生成与所述认证器响应信息相匹配的第一认证响应信息,包括:
从所述ASM认证模块中接收所述认证器响应信息,以及所述第一数字签名信息,并根据所述认证器响应信息,以及所述第一数字签名信息生成所述第一认证响应信息。
9.根据权利要求8所述的方法,其特征在于,所述解析所述第一UAF认证请求之前,还包括:
向所述服务器触发注册操作,并接收所述服务器针对所述登录操作返回的注册请求;
解析所述注册请求,确定与所述注册请求相匹配的认证器,并调用所述ASM认证模块;所述ASM认证模块用于生成密钥句柄访问令牌,并通过所述密钥句柄访问令牌访问所述注册请求相匹配的认证器,并接收所述注册请求相匹配的认证器返回的认证器注册响应信息;
从所述ASM认证模块中接收所述认证器注册响应信息,并生成与所述认证器注册响应信息对应的注册响应信息,发送至所述服务器;所述服务器用于解析所述注册响应信息,在所述认证器注册响应信息表征的认证结果表征的认证结果为认证通过的情况下,向所述用户终端发送注册成功消息。
10.根据权利要求9所述的方法,其特征在于,所述注册请求相匹配的认证器,还用于生成所述服务器与所述用户终端关联的用户证书私钥以及用户证书公钥并存储,以及利用该认证器的认证器私钥,生成所述认证器注册响应信息对应的第二数字签名信息,并将所述用户证书公钥、所述第二数字签名信息以及所述认证器注册响应信息返回所述ASM认证模块;
所述从所述ASM认证模块中接收所述认证器注册响应信息,并生成与所述认证器注册响应信息对应的注册响应信息,发送至所述服务器,包括:
从所述ASM认证模块中接收所述用户证书公钥、所述第二数字签名信息以及所述认证器注册响应信息,并根据所述用户证书公钥、所述第二数字签名信息以及所述认证器注册响应信息,生成所述注册响应信息,发送至所述服务器;所述服务器用于解析所述注册响应信息,并利用预先获取的所述注册请求相匹配的认证器的认证器公钥,对所述第二数字签名信息进行解密验证,并在所述第二数字签名信息解密验证通过后,获取所述认证器注册响应信息表征的认证结果,以及在所述认证器注册响应信息表征的认证结果表征的认证结果为认证通过的情况下,从所述注册响应信息中获取所述服务器与所述用户终端关联的用户证书公钥并存储,以及向所述用户终端发送注册成功消息。
11.一种网络服务的安全认证系统,其特征在于,包括:目标网络服务对应的服务器和用户终端;
所述服务器,用于响应于用户终端针对于所述服务器的登录操作,将针对所述用户终端的第一UAF认证请求发送至所述用户终端;
所述用户终端,用于基于所述第一UAF认证请求,调用与所述第一UAF认证请求相匹配的认证器,得到与所述第一UAF认证请求相匹配的第一认证响应信息,并将所述第一认证响应信息发送至所述服务器;
所述服务器,还用于在所述第一认证响应信息表征认证通过的情况下,向所述用户终端发送认证成功消息,并在所述用户终端基于所述认证成功消息登录所述服务器后,若满足预设安全认证触发条件,则将所述用户终端匹配的信用评估特征输入预设的信任评估模型,得到所述用户终端的信任评估结果;在所述信任评估结果满足预设条件的情况下,将针对所述用户终端的第二UAF认证请求发送至所述用户终端;所述第一UAF认证请求相匹配的认证器与所述第二UAF认证请求相匹配的认证器属于不相同认证因子的认证器;
所述用户终端,还用于调用与所述第二UAF认证请求相匹配的认证器,得到与所述第二UAF认证请求相匹配的第二认证响应信息,并将所述第二认证响应信息发送至所述服务器。
12.根据权利要求11所述的系统,其特征在于,还包括:ASM认证模块;
所述用户终端,还用于解析所述第一UAF认证请求,确定与所述第一UAF认证请求相匹配的认证器,并调用所述ASM认证模块;
所述ASM认证模块,用于生成密钥句柄访问令牌,并通过所述密钥句柄访问令牌访问所述第一UAF认证请求相匹配的认证器,并接收所述第一UAF认证请求相匹配的认证器返回的认证器响应信息;
所述用户终端,还用于从所述ASM认证模块中接收所述认证器响应信息,并生成与所述认证器响应信息相匹配的第一认证响应信息。
13.一种网络服务的安全认证装置,其特征在于,应用于目标网络服务对应的服务器,包括:
响应消息接收模块,响应于用户终端针对于所述服务器的登录操作,将针对所述用户终端的第一UAF认证请求发送至所述用户终端,并接收所述用户终端通过调用与所述第一UAF认证请求相匹配的认证器得到的,与所述第一UAF认证请求相匹配的第一认证响应信息;
成功消息发送模块,在所述第一认证响应信息表征认证通过的情况下,向所述用户终端发送认证成功消息;
评估结果生成模块,在所述用户终端基于所述认证成功消息登录所述服务器后,若满足预设安全认证触发条件,则将所述用户终端匹配的信用评估特征输入预设的信任评估模型,得到所述用户终端的信任评估结果;
判决模块,在所述信任评估结果满足预设条件的情况下,将针对所述用户终端的第二UAF认证请求发送至所述用户终端,并接收所述用户终端通过调用与所述第二UAF认证请求相匹配的认证器得到的,与所述第二UAF认证请求相匹配的第二认证响应信息;所述第一UAF认证请求相匹配的认证器与所述第二UAF认证请求相匹配的认证器属于不相同认证因子的认证器。
14.一种网络服务的安全认证装置,其特征在于,应用于用户终端,包括:
认证请求接收模块,向目标网络服务对应的服务器触发针对于所述服务器的登录操作,并接收所述服务器针对所述登录操作返回的第一UAF认证请求;
响应消息生成模块,基于所述第一UAF认证请求,调用与所述第一UAF认证请求相匹配的认证器,得到与所述第一UAF认证请求相匹配的第一认证响应信息,并将所述第一认证响应信息发送至所述服务器;
成功消息接收模块,接收所述服务器在所述第一认证响应信息表征认证通过的情况下返回的认证成功消息;
认证模块,在基于所述认证成功消息登录所述服务器之后,若接收到所述服务器发送的第二UAF认证请求,调用与所述第二UAF认证请求相匹配的认证器,得到与所述第二UAF认证请求相匹配的第二认证响应信息,并将所述第二认证响应信息发送至所述服务器;所述第一UAF认证请求相匹配的认证器与所述第二UAF认证请求相匹配的认证器属于不相同认证因子的认证器;所述第二UAF认证请求由所述服务器在满足预设安全认证触发条件下,将所述用户终端匹配的信用评估特征输入预设的信任评估模型,得到所述用户终端的信任评估结果,并在所述信任评估结果满足预设条件的情况下发送至所述用户终端。
15.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至10中任一项所述的方法的步骤。
16.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至10中任一项所述的方法的步骤。
17.一种计算机程序产品,包括计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至10中任一项所述的方法的步骤。
CN202311076599.2A 2023-08-24 2023-08-24 网络服务的安全认证方法、系统、装置和计算机设备 Active CN117061188B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311076599.2A CN117061188B (zh) 2023-08-24 2023-08-24 网络服务的安全认证方法、系统、装置和计算机设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311076599.2A CN117061188B (zh) 2023-08-24 2023-08-24 网络服务的安全认证方法、系统、装置和计算机设备

Publications (2)

Publication Number Publication Date
CN117061188A true CN117061188A (zh) 2023-11-14
CN117061188B CN117061188B (zh) 2025-08-19

Family

ID=88656956

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311076599.2A Active CN117061188B (zh) 2023-08-24 2023-08-24 网络服务的安全认证方法、系统、装置和计算机设备

Country Status (1)

Country Link
CN (1) CN117061188B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN119276642A (zh) * 2024-12-10 2025-01-07 之江实验室 一种基于fido2协议的抗量子密码迁移方法、电子设备、介质
CN119299237A (zh) * 2024-12-12 2025-01-10 方圆标志认证集团有限公司 一种基于云平台的认证系统及方法
CN119995896A (zh) * 2025-02-14 2025-05-13 中国电信股份有限公司技术创新中心 一种基于对数几率回归模型的信任评估方法
CN120766331A (zh) * 2025-07-02 2025-10-10 来邦科技股份公司 一种基于人脸识别的会面管理方法及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112953970A (zh) * 2021-04-01 2021-06-11 国民认证科技(北京)有限公司 一种身份认证方法及身份认证系统
CN114760040A (zh) * 2020-12-26 2022-07-15 西安西电捷通无线网络通信股份有限公司 一种身份鉴别方法和装置
CN116633638A (zh) * 2023-05-29 2023-08-22 北京东方通网信科技有限公司 一种增强型身份认证、资源访问控制系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114760040A (zh) * 2020-12-26 2022-07-15 西安西电捷通无线网络通信股份有限公司 一种身份鉴别方法和装置
CN112953970A (zh) * 2021-04-01 2021-06-11 国民认证科技(北京)有限公司 一种身份认证方法及身份认证系统
CN116633638A (zh) * 2023-05-29 2023-08-22 北京东方通网信科技有限公司 一种增强型身份认证、资源访问控制系统

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN119276642A (zh) * 2024-12-10 2025-01-07 之江实验室 一种基于fido2协议的抗量子密码迁移方法、电子设备、介质
CN119299237A (zh) * 2024-12-12 2025-01-10 方圆标志认证集团有限公司 一种基于云平台的认证系统及方法
CN119995896A (zh) * 2025-02-14 2025-05-13 中国电信股份有限公司技术创新中心 一种基于对数几率回归模型的信任评估方法
CN119995896B (zh) * 2025-02-14 2026-01-06 中国电信股份有限公司技术创新中心 一种基于对数几率回归模型的信任评估方法
CN120766331A (zh) * 2025-07-02 2025-10-10 来邦科技股份公司 一种基于人脸识别的会面管理方法及系统
CN120766331B (zh) * 2025-07-02 2026-02-13 来邦科技股份公司 一种基于人脸识别的会面管理方法及系统

Also Published As

Publication number Publication date
CN117061188B (zh) 2025-08-19

Similar Documents

Publication Publication Date Title
US11963006B2 (en) Secure mobile initiated authentication
US11973750B2 (en) Federated identity management with decentralized computing platforms
US11659392B2 (en) Secure mobile initiated authentications to web-services
US11558381B2 (en) Out-of-band authentication based on secure channel to trusted execution environment on client device
CN111429254B (zh) 一种业务数据处理方法、设备以及可读存储介质
US11677547B1 (en) Mobile authenticator for performing a role in user authentication
TWI776404B (zh) 生物支付設備的認證方法、裝置、電腦設備和儲存媒體
CN117061188B (zh) 网络服务的安全认证方法、系统、装置和计算机设备
WO2021127577A1 (en) Secure mobile initiated authentications to web-services
WO2021127575A1 (en) Secure mobile initiated authentication
CN114257410B (zh) 基于数字证书的身份认证方法、装置、计算机设备
CN115550002B (zh) 一种基于tee的智能家居远程控制方法及相关装置
US12107956B2 (en) Information processing device, information processing method, and non-transitory computer readable storage medium
CN117081736A (zh) 密钥分发方法、密钥分发装置、通信方法及通信装置
Prakasha et al. Automated user authentication in wireless public key infrastructure for mobile devices using Aadhar card
CN116248368B (zh) 基于区块链的身份认证方法、系统、设备及存储介质
CN1921395B (zh) 提高网络软件安全性的方法
CN120337205A (zh) 一种ai大模型安全一体机、安全信道建立方法及装置
CN115225286A (zh) 应用访问鉴权方法及装置
CN115987636B (zh) 一种信息安全的实现方法、装置及存储介质
CN113987461B (zh) 身份认证方法、装置和电子设备
CN120979833A (zh) 基于二维码第三方登录与国密认证的数据验证方法及装置
CN120980529A (zh) 机载离线身份认证方法、认证码生成方法、机载设备
CN119696767A (zh) 登录凭据的处理方法及装置、设备、存储介质
CN121792082A (zh) 身份认证方法、设备、终端设备、认证服务器及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant