Nothing Special   »   [go: up one dir, main page]

CN107707355B - 终端认证方法及系统 - Google Patents

终端认证方法及系统 Download PDF

Info

Publication number
CN107707355B
CN107707355B CN201610640935.5A CN201610640935A CN107707355B CN 107707355 B CN107707355 B CN 107707355B CN 201610640935 A CN201610640935 A CN 201610640935A CN 107707355 B CN107707355 B CN 107707355B
Authority
CN
China
Prior art keywords
terminal
authentication
identity authentication
information
identity
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610640935.5A
Other languages
English (en)
Other versions
CN107707355A (zh
Inventor
樊宁
刘国荣
沈军
金华敏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Corp Ltd
Original Assignee
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Corp Ltd filed Critical China Telecom Corp Ltd
Priority to CN201610640935.5A priority Critical patent/CN107707355B/zh
Publication of CN107707355A publication Critical patent/CN107707355A/zh
Application granted granted Critical
Publication of CN107707355B publication Critical patent/CN107707355B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint

Landscapes

  • Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Telephonic Communication Services (AREA)
  • Telephone Function (AREA)

Abstract

本发明公开了一种终端认证方法及系统,涉及信息安全技术领域。其中的方法包括:第一终端接收身份认证消息;第一终端检测到申请身份认证的第二终端与接收身份认证消息的第一终端相同;第一终端启用附加认证;若附加认证通过,则第一终端呈现身份认证消息。从而提高了身份认证的安全性。

Description

终端认证方法及系统
技术领域
本发明涉及信息安全技术领域,特别涉及一种终端认证方法及系统。
背景技术
许多互联网服务在对访问用户进行身份认证时,常使用双因素认证手段,通过用户已知的静态密码以及附加的用户持有凭证来提升业务的安全等级。手机令牌是用户持有凭证的一种认证方法,用户通过申请身份认证所获得的一次性口令实现高安全强度安全性的身份确认与鉴权。手机令牌常作为静态密码认证的辅助,在用户需要更高级别权限时采用。由于不需要特殊令牌介质,成本低廉,而且实现方法简单有效,目前已被广为采用。
用户使用手机令牌进行认证的过程可以如图1所示。首先,用户通过终端向服务器申请一次性口令,服务器向终端返回一次性口令。然后,用户从终端获取一次性口令,并使用该口令与服务器之间建立连接。
随着手机智能化发展,手机已可作为应用服务的终端发起认证请求。如果手机被非法控制,由于手机上的应用会默认保存登陆密码,手机缓存中也有可能保存了登陆密码。此时,手机的非法控制者利用手机获取一次性口令后即可完成静态密码和一次性口令的双重认证,并获得非常高的服务权限,使得认证的安全性难以得到保障,后果不可预计。
发明内容
本发明所要解决的一个技术问题是:如何提高身份认证的安全性。
根据本发明实施例的一个方面,提供了一种终端认证方法,包括:第一终端接收身份认证消息;第一终端检测到申请身份认证的第二终端与接收身份认证消息的第一终端相同;第一终端启用附加认证;若附加认证通过,则第一终端呈现身份认证消息。
在一些实施例中,该方法还包括:第一终端检测到申请身份认证的第二终端与接收身份认证消息的第一终端不同;第一终端呈现身份认证消息。
在一些实施例中,该方法还包括:若附加认证未通过,则第一终端进行系统锁定或挂起身份认证进程。
在一些实施例中,第一终端检测到申请身份认证的第二终端与接收身份认证消息的第一终端相同包括:第一终端查询第一终端注册信息库得到身份认证消息对应的应用认证信息;第一终端检测到本地存在应用认证信息,则第一终端检测到申请身份认证的第二终端与接收身份认证消息的第一终端相同。
在一些实施例中,第一终端查询第一终端注册信息库得到身份认证消息对应的应用认证信息包括:第一终端利用身份认证消息的来源号码从注册信息库中得到对应的应用认证信息;和/或第一终端利用身份认证消息中的应用名称从注册信息库中得到对应的应用认证信息。
在一些实施例中,第一终端启用附加认证包括:第一终端启用生物特征方式的附加认证或者图形方式的附加认证。
根据本发明实施例的一个方面,提供了一种终端认证系统,包括:身份认证模块,用于接收身份认证消息;终端检测模块,用于检测申请身份认证的第二终端与接收身份认证消息的第一终端是否相同;附加认证模块,用于启用附加认证;消息呈现模块,用于若附加认证通过,则第一终端呈现身份认证消息。
在一些实施例中,消息呈现模块还用于:当第一终端检测模块检测到申请身份认证的第二终端与接收身份认证消息的第一终端不同时,呈现身份认证消息。
在一些实施例中,该系统还包括:系统锁定模块,用于若附加认证未通过,则进行系统锁定;或者,进程挂起模块,用于若附加认证未通过,挂起身份认证进程。
在一些实施例中,终端检测模块包括:信息查询单元,用于查询第一终端注册信息库得到身份认证消息对应的应用认证信息;信息检测单元,用于检测本地是否存在应用认证信息。
在一些实施例中,信息查询单元用于:利用身份认证消息的来源号码从注册信息库中得到对应的应用认证信息;和/或利用身份认证消息中的应用名称从注册信息库中得到对应的应用认证信息。
在一些实施例中,附加认证模块包括:生物特征方式的附加认证单元或者图形方式的附加认证单元。
本发明在第一终端检测到申请身份认证的第二终端与接收身份认证消息的第一终端相同的情况下启用附加认证,并在附加认证通过的情况下呈现身份认证消息,从而提高了身份认证的安全性。
通过以下参照附图对本发明的示例性实施例的详细描述,本发明的其它特征及其优点将会变得清楚。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1示出现有技术中的身份认证方法的流程示意图。
图2示出本发明终端认证方法的一个实施例的流程示意图。
图3示出申请身份认证的第二终端与接收身份认证消息的第一终端是否相同的检测方法。
图4示出本发明终端认证方法的另一个实施例的流程示意图。
图5示出本发明终端认证系统的一个实施例的结构示意图。
图6示出本发明终端认证系统的另一个实施例的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
现有方案中,默认申请身份认证的终端与接收身份认证消息的终端不同,使用手机令牌作为双因素认证,可以补充保障用户身份的真实性。然而,发明人发现,在申请身份认证的终端与接收身份认证消息的终端相同时,手机令牌的可信度将降低。因此本发明提出,在进行身份认证时,需要检测申请身份认证的终端与接收身份认证消息的终端是否相同,申请身份认证的终端与接收身份认证消息的终端相同的情况下将强制进行附加认证,从而弥补手机令牌认证失效而导致的移动应用安全漏洞,提高了身份认证的安全性。
下面结合图2描述本发明一个实施例的终端认证方法。
图2示出本发明终端认证方法的一个实施例的流程示意图。如图2所示,该实施例中的终端认证方法包括以下步骤:
步骤S202,第一终端接收身份认证消息。
例如,采用验证短信的方式进行身份认证,用户利用手机终端接收验证短信。
步骤S204,第一终端检测申请身份认证的第二终端与接收身份认证消息的第一终端是否相同。例如,手机终端检测申请获取验证短信的终端与接收验证短信的终端是否相同。如果相同,则说明此时存在身份认证安全隐患,不可以直接将验证短信呈现给用户,执行步骤S206;如果不同,则说明此时不存在身份认证安全隐患,执行步骤S208。
步骤S206,第一终端启用附加认证。由于此时手机终端检测申请获取验证短信的终端与接收验证短信的终端相同,附加认证可以进一步甄别接受验证短信的终端的持有者是否为身份认证的发起者。
例如,手机终端启用的附加认证可以是指纹认证、面部特征认证等生物特征方式的附加认证,也可以是例如图形密码等图形方式的附加认证。
步骤S207,判断附加认证是否通过。若附加认证通过,则说明此时不存在身份安全隐患,执行步骤S208;若附加认证不通过,则说明此时存在身份安全隐患,执行步骤S210。
步骤S208,第一终端呈现身份认证消息。例如,终端将接收到的验证短信中的验证码等信息呈现给用户。
步骤S210,第一终端进行系统锁定或挂起身份认证进程,以阻止风险用户的进一步操作,避免合法用户的损失。
通过上述方法,在第一终端检测到申请身份认证的第二终端与接收身份认证消息的第一终端相同的情况下启用附加认证,从而提高了身份认证的安全性。
下面结合图3描述申请身份认证的第二终端与接收身份认证消息的第一终端是否相同的检测方法。
基于图2所示的实施例,可以在执行步骤S202之前,第一终端备份注册信息库,该注册信息库中包括所有需要启用附加认证步骤的应用数据信息,例如应用ID、应用名称、应用系统号码、应用注册码、应用认证进程、应用认证网页、应用认证安全度等。因此如图3所示,步骤S204可以通过注册信息库来实现检测功能,具体包括以下步骤:
步骤S3042,第一终端查询终端注册信息库得到身份认证消息对应的应用认证信息。例如,手机终端在接收到验证短信之后,查询验证短信所对应的应用认证信息。
可选的,第一终端可以通过以下方式中的至少一种来得到身份认证消息对应的应用认证信息:
(1)第一终端利用身份认证消息的来源号码从注册信息库中得到对应的应用认证信息。
例如,手机终端检测到接收的验证短信的来源号码包含例如以106、100、111开头的特殊号码标记,则手机终端利用验证短信的来源号码查询注册信息库,得到对应的应用认证进程、应用认证网页等应用认证信息。
(2)第一终端利用身份认证消息中的应用名称从注册信息库中得到对应的应用认证信息。
例如,手机终端检测到接收的验证短信包含电商的应用名称,则手机终端利用验证短信包含的电商应用名称查询注册信息库,得到对应的应用认证进程、应用认证网页等应用认证信息。
步骤S3044,第一终端根据本地是否存在查询到的应用认证信息来判断申请身份认证的第二终端与接收身份认证消息的第一终端是否相同。具体的,如果终端检测到本地存在查询到的应用认证信息,则判定申请身份认证的终端与接收身份认证消息的终端相同。反之,如果终端检测到本地不存在查询到的应用认证信息,则判定申请身份认证的终端与接收身份认证消息的终端不同。
例如,手机终端检测到本地内存中存在相匹配的应用认证进程,或者手机终端检测到本地会话存续的网页中存在相匹配的URL,则手机终端检测到申请验证短信的终端与接收验证短信的手机终端相同。
通过上述方法,接收身份认证消息的终端可以实现对于申请身份认证的终端与接收身份认证消息的终端是否相同的严格检测,以便于在检测到二者相同是启用后续的附加认证过程。
下面结合图4描述本发明另一个实施例的终端认证方法。
图4示出本发明终端认证方法的另一个实施例的流程示意图。如图4所示,在图2所示的实施例基础上,该实施例中的终端认证方法还包括:
在步骤S204执行完毕之后,执行步骤S405:判断该应用是否是置信应用。其中,置信应用是无需考虑身份验证安全性的应用。如果该应用是置信应用,则执行步骤S208;如果该应用不是置信应用,则执行步骤S206。
通过上述方法,可以针对接收到身份认证消息所对应的应用是否为置信应用的两种情况决定是否进行附加认证,从而在接收到身份认证消息所对应的应用是置信应用的情况下省去了进行附加认证的过程,提高了身份认证的效率。
下面结合图5描述本发明一个实施例的终端认证系统。
图5示出本发明终端认证系统的一个实施例的结构示意图。如图5所示,该实施例中的终端认证系统50包括:
身份认证模块502,用于接收身份认证消息。
终端检测模块504,用于检测申请身份认证的第二终端与接收身份认证消息的第一终端是否相同。
附加认证模块506,用于启用附加认证。
消息呈现模块508,用于若附加认证通过,则第一终端呈现身份认证消息。
通过上述系统,在第一终端检测到申请身份认证的第二终端与接收身份认证消息的第一终端相同的情况下启用附加认证,从而提高了身份认证的安全性。
下面结合图6描述本发明另一个实施例的终端认证系统。
图6示出本发明终端认证系统的另一个实施例的结构示意图。如图6所示,该实施例中的终端认证系统60中,消息呈现模块508还用于:当第一终端检测到申请身份认证的第二终端与接收身份认证消息的第一终端不同时,呈现身份认证消息。
可选的,该系统还包括:系统锁定模块610,用于若附加认证未通过,则进行系统锁定;或者,进程挂起模块612,用于若附加认证未通过,挂起身份认证进程。
可选的,终端检测模块504包括:
信息查询单元6042,用于查询终端注册信息库得到身份认证消息对应的应用认证信息。
信息检测单元6044,用于检测本地是否存在应用认证信息。
可选的,信息查询单元6042用于:利用身份认证消息的来源号码从注册信息库中得到对应的应用认证信息;和/或利用身份认证消息中的应用名称从注册信息库中得到对应的应用认证信息。
可选的,附加认证模块506包括:生物特征方式的附加认证单元6062或者图形方式的附加认证单元6064。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种终端认证方法,其特征在于,所述方法包括:
第一终端接收身份认证消息;
第一终端检测到申请身份认证的第二终端与接收身份认证消息的第一终端相同;
第一终端启用附加认证;若附加认证通过,则第一终端呈现身份认证消息;
第一终端检测到申请身份认证的终端与接收身份认证消息的终端不同;
第一终端呈现身份认证消息。
2.如权利要求1所述的方法,其特征在于,所述方法还包括:
若附加认证未通过,则第一终端进行系统锁定或挂起身份认证进程。
3.如权利要求1所述的方法,其特征在于,所述第一终端检测到申请身份认证的第二终端与接收身份认证消息的第一终端相同包括:
第一终端查询第一终端注册信息库得到身份认证消息对应的应用认证信息;
第一终端检测到本地存在所述应用认证信息,则第一终端检测到申请身份认证的第二终端与接收身份认证消息的第一终端相同。
4.如权利要求3所述的方法,其特征在于,所述第一终端查询第一终端注册信息库得到身份认证消息对应的应用认证信息包括:
第一终端利用身份认证消息的来源号码从注册信息库中得到对应的应用认证信息;和/或
第一终端利用身份认证消息中的应用名称从注册信息库中得到对应的应用认证信息。
5.如权利要求1所述的方法,其特征在于,所述第一终端启用附加认证包括:
第一终端启用生物特征方式的附加认证或者图形方式的附加认证。
6.一种终端认证系统,其特征在于,所述系统包括:
身份认证模块,用于接收身份认证消息;
终端检测模块,用于检测申请身份认证的第二终端与接收身份认证消息的第一终端是否相同;
附加认证模块,用于启用附加认证;
消息呈现模块,用于若附加认证通过,则第一终端呈现身份认证消息;
当第一终端检测模块检测到申请身份认证的第二终端与接收身份认证消息的第一终端不同时,呈现身份认证消息。
7.如权利要求6所述的系统,其特征在于,所述系统还包括:
系统锁定模块,用于若附加认证未通过,则进行系统锁定;
或者,
进程挂起模块,用于若附加认证未通过,挂起身份认证进程。
8.如权利要求6所述的系统,其特征在于,所述终端检测模块包括:
信息查询单元,用于查询第一终端注册信息库得到身份认证消息对应的应用认证信息;
信息检测单元,用于检测本地是否存在所述应用认证信息。
9.如权利要求8所述的系统,其特征在于,所述信息查询单元用于:
利用身份认证消息的来源号码从注册信息库中得到对应的应用认证信息;和/或
利用身份认证消息中的应用名称从注册信息库中得到对应的应用认证信息。
10.如权利要求6所述的系统,其特征在于,所述附加认证模块包括:生物特征方式的附加认证单元或者图形方式的附加认证单元。
CN201610640935.5A 2016-08-08 2016-08-08 终端认证方法及系统 Active CN107707355B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610640935.5A CN107707355B (zh) 2016-08-08 2016-08-08 终端认证方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610640935.5A CN107707355B (zh) 2016-08-08 2016-08-08 终端认证方法及系统

Publications (2)

Publication Number Publication Date
CN107707355A CN107707355A (zh) 2018-02-16
CN107707355B true CN107707355B (zh) 2021-02-05

Family

ID=61168474

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610640935.5A Active CN107707355B (zh) 2016-08-08 2016-08-08 终端认证方法及系统

Country Status (1)

Country Link
CN (1) CN107707355B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108763895B (zh) * 2018-04-28 2021-03-30 Oppo广东移动通信有限公司 图像处理方法和装置、电子设备、存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102413456A (zh) * 2011-09-02 2012-04-11 中国电信股份有限公司 基于运营网络的用户终端防盗方法、装置和系统
CN103532933A (zh) * 2013-09-28 2014-01-22 刘琦 通过指纹确认实现客户端操作授权的方法和智能终端
CN105095705A (zh) * 2015-05-19 2015-11-25 努比亚技术有限公司 一种信息处理方法及装置
CN105208011A (zh) * 2015-08-31 2015-12-30 努比亚技术有限公司 一种验证系统及方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8255983B2 (en) * 2009-03-31 2012-08-28 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for email communication

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102413456A (zh) * 2011-09-02 2012-04-11 中国电信股份有限公司 基于运营网络的用户终端防盗方法、装置和系统
CN103532933A (zh) * 2013-09-28 2014-01-22 刘琦 通过指纹确认实现客户端操作授权的方法和智能终端
CN105095705A (zh) * 2015-05-19 2015-11-25 努比亚技术有限公司 一种信息处理方法及装置
CN105208011A (zh) * 2015-08-31 2015-12-30 努比亚技术有限公司 一种验证系统及方法

Also Published As

Publication number Publication date
CN107707355A (zh) 2018-02-16

Similar Documents

Publication Publication Date Title
KR102307665B1 (ko) 신원 인증
CN107665301B (zh) 验证方法及装置
CN107135073B (zh) 接口调用方法和装置
US20150089621A1 (en) Secure login for subscriber devices
US20180183777A1 (en) Methods and systems for user authentication
US20160004855A1 (en) Login using two-dimensional code
CN111027035B (zh) 一种基于区块链的多重身份认证方法及系统
KR101516881B1 (ko) 사용자 인증 방법 및 장치
CN105323253B (zh) 一种身份验证方法及装置
WO2019103945A1 (en) Protecting against malicious discovery of account existence
WO2017076216A1 (zh) 服务器、移动终端、网络实名认证系统及方法
CN108777691B (zh) 网络安全防护方法及装置
CN107358118B (zh) Sfs访问控制方法及系统、sfs及终端设备
CN108881130B (zh) 会话控制信息的安全控制方法和装置
US20240073024A1 (en) Passkey integration techniques for identity management
CN104850776A (zh) 控制对api调用的方法、装置与移动终端
CN107707355B (zh) 终端认证方法及系统
CN105577606B (zh) 一种实现认证器注册的方法和装置
KR20210116407A (ko) 온라인 서비스 서버와 클라이언트 간의 상호 인증 방법 및 시스템
CN106533685B (zh) 身份认证方法、装置及系统
US10079856B2 (en) Rotation of web site content to prevent e-mail spam/phishing attacks
CN109428869B (zh) 钓鱼攻击防御方法和授权服务器
CN108965335B (zh) 防止恶意访问登录接口的方法、电子设备及计算机介质
US9143510B2 (en) Secure identification of intranet network
KR101209176B1 (ko) 사용자 인증 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
EE01 Entry into force of recordation of patent licensing contract
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20180216

Assignee: EVERSEC (BEIJING) TECHNOLOGY Co.,Ltd.

Assignor: CHINA TELECOM Corp.,Ltd.

Contract record no.: X2024110000012

Denomination of invention: Terminal authentication methods and systems

Granted publication date: 20210205

License type: Common License

Record date: 20240226