一种数据网与电话网协同认证鉴权的方法
【专利摘要】本发明提供了一种数据网和电话网的协同认证鉴权方法。该方法包括:在认证和鉴权过程中引入认证协同单元。在应用系统要求对用户身份进行认证或鉴权时,用户通过数据网输入自己的用户识别标记;应用系统向认证协同单元发起认证请求,认证协同单元利用电话网提供的信令能力发起与用户绑定的电话终端的信息交互过程,认证协同单元将从电话终端采集到鉴权验证信息以及该电话终端在电话网中的网络属性回送给应用系统;应用系统根据从认证协同单元获取的信息完成用户的认证鉴权过程。因此,本发明在不改变应用系统认证方法的基础上,实现了用户认证鉴权过程的网络分离,并进一步利用电话网提供的属性加强认证的安全性。
【专利说明】一种数据网与电话网协同认证鉴权的方法
【技术领域】
[0001]本发明涉及应用访问的安全性认证办法,更具体地说,一种结合数据网和电话网两个独立输入途径进行组合认证鉴权方法。
【背景技术】
[0002]近年来,网络已经深入到用户生活的方方面面,用户经常通过网络登录到各类应用系统获取各类服务。多数应用系统采用在同一网络输入用户识别标记和密码的认证鉴权方式;现今的Internet上,木马、病毒、钓鱼网站、黑客等严重威胁用户登录安全,单一网络被攻击时,账户所有信息资料泄露的事件时有发生。
[0003]如果有一种认证鉴权方法,支持用户识别标记和密码由不同途径输入,则可以很大程度上降低用户识别标记和密码同时被窃取的概率;同时,增加了冒用用户识别标记和密码成功登录系统的难度。
【发明内容】
[0004]本发明提出了一种数据网和电话网组合认证鉴权的方法,实现从数据网输入用户识别标记,从电话网输入所述用户识别标记关联的鉴权要求回复的内容,在应用系统内部完成最终鉴权。该方法可用于各种有认证鉴权需求的网络应用系统。
[0005]本发明的目的是这样实现的,采用数据网和电话网组合认证鉴权方法来认证应用系统的用户身份,其特征在于,所述方法包括用户通过用户(I)经IP网络(2)使用应用系统(3)提供的服务,在所述应用系统(3)要求对所述用户的身份进行鉴权时,所述用户通过所述用户(I)输入用户识别标记;所述应用系统(3)将所述用户识别标记绑定的电话终端号码提供给认证协同单元(4),所述认证协同单元(4)经电话网(5)发起与应用系统提供的电话终端(6)之间的认证鉴权交互过程,并要求所述用户在所述电话终端(6)上回复鉴权验证信息,所述认证协同单元(4)从所述电话终端(6)采集到所述鉴权验证信息,并回送给所述应用系统(3);所述应用系统(3)将从所述用户(I)收到的所述用户识别标记和从所述认证协同单元(4)收到的所述鉴权验证信息与预先保存在所述应用系统(3)的认证信息进行核对,根据核对结果确定所述用户身份,完成对所述用户的鉴权。
【专利附图】
【附图说明】
[0006]图1为本发明的用户登录应用系统的流程图【具体实施方式】
[0007]为使本发明的目的、技术方案和优点更加清楚明白,下面结合实施例和附图,对本发明进一步详细说明。
[0008]参照图1,本发明的协同认证鉴权方法,应用系统为在互联网提供应用服务的系统,认证协同单元通过信令方式连接在电话交换网上,应用系统与认证协同单元通过专线或者VPN方式相连。
[0009]本发明的数据网和电话网协同认证鉴权方法具体处理时包括以下步骤:
[0010]步骤101:用户在网络终端(PC机、定制终端)上请求登录应用系统;
[0011]步骤102:应用系统根据内部认证鉴权方法,向认证协同单元发起协同认证请求,协同认证请求至少包括一个电话号码和一个认证鉴权要求信息;
[0012]步骤103:认证协同单元根据协同认证请求中的电话号码和认证鉴权要求,在电话网上发起到该电话号码的认证请求交互过程;
[0013]步骤104:用户在电话终端上响应由认证协同单元发起的交互过程,输入应用系统要求的认证鉴权信息,通过电话网上传至认证协同单元;
[0014]步骤105:认证协同单元接收用户通过电话终端上传的认证鉴权信息,同时组合该电话终端的电话网内附加属性,作为对协同认证请求的响应,回送至应用系统;
[0015]步骤106:应用系统根据认证协同单元返回的信息,判断用户的合法性及使用权限,决定是否允许用户登录应用系统。
[0016]在本发明的数据网和电话网的协同认证鉴权方法中,应用系统利用认证协同单元实现用户登录和验证使用的不同网络,并进一步可以利用用户电话终端的网络属性,设计更安全的认证鉴权流程。因此,在本发明的数据网和电话网的协同认证鉴权的方法在不影响原有应用系统认证鉴权过程的同时实现了用户的安全登录,无需改造应用系统的现有设备和算法,解决了用户在同一网络认证鉴权时账号被木马窃取的问题,同时利用电话网的固有属性,提升了用户登录的安全性。
[0017]通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必要的通用硬件平台的方式实现。基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
[0018]以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,可以对本发明进行各种改动和变型,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
【权利要求】
1.一种数据网和电话网的协同认证鉴权方法,用于对访问应用系统⑶的用户⑴的身份进行认证鉴权,其特征在于,所述方法包括用户(I)经数据网络(2)使用所述应用系统(3)提供的服务,在所述应用系统(3)要求对所述用户的身份进行鉴权时,所述用户(I)输入用户识别信息;所述应用系统(3)将鉴权方式和相应参数传递给认证协同单元(4),所述认证协同单元(4)经电话网(5)发起与应用系统提供的电话终端(6)之间的认证鉴权交互过程,获取所述电话终端(6)上回复的鉴权验证信息,所述认证协同单元(4)从所述电话终端(6)采集到所述鉴权验证信息,并回送给所述应用系统(3);所述应用系统(3)将从所述用户(I)收到的所述用户识别标记和从所述认证协同单元(4)收到的所述鉴权验证信息与预先保存在所述应用系统(3)的认证信息进行核对,根据核对结果确定所述用户身份,完成对所述用户的鉴权。
2.如权利要求1所述的数据网和电话网的组合认证鉴权方法,在所述应用系统(3)中保存有用于认证鉴权的多元组信息,每一条所述的多元组信息包括用户识别标记、用户密码和关联的电话终端号码及附加鉴权信息。用户识别标记包括但不限于:用户名、邮箱地址、电话号码、身份证号、即时通讯帐号、社交网账号、银行卡账号等。
3.如权利要求1所述的数据网和电话网的组合认证鉴权方法,在所述应用系统(3)对所述用户发起身份鉴权时,所述用户(I)在数据网上输入所述用户关联的如权利要求2所述的用户识别标记。
4.如权利要求1所述的数据网和电话网的组合认证鉴权方法,在所述应用系统(3)对所述用户发起身份鉴权时,所述应用系统(3)在接收到如权利要求3所述的用户识别标记后,将所述用户识别标记关联的如权利要求2所述的电话终端号码、鉴权附加信息和鉴权要求发送给所述的认证协同单元(4)。
5.如权利要求1所述的数据网和电话网的组合认证鉴权方法,所述认证协同单元(4)在接收到如权利要求4所述`的电话终端号码、所述的鉴权附加信息和所述的鉴权要求后,所述认证协同单元(4)利用所述电话网(5)的信令能力发起所述电话终端号码(6)的交互过程,如权利要求3所述用户在所述电话终端(6)上回复认证鉴权信息给所述认证协同单元(4)。
6.如权利要求1所述的数据网和电话网的组合认证鉴权方法,所述认证协同单元(4)根据如权利要求4所述的鉴权要求中指明的附加用户鉴权方式和附件网络鉴权方式,进行附加鉴权认证,采集附加鉴权认证结果。
7.如权利要求6所述的附加鉴权方式,所述附件用户鉴权结果包括但不限于: 7.1所述认证协同单元(4)提示所述用户预先在所述应用系统(3)中设置的安全问题,所述认证协同单元(4)接收到的所述用户在所述电话终端上回复的答案; 7.2所述认证协同单元(4)提示所述用户的预先所述应用系统(3)中设置的个人信息指定信息项,所述认证协同单元(4)接收到的所述用户在所述电话终端上回复的内容。
8.如权利要求6所述的附加鉴权方式,所述附加网络鉴权结果还包括但不限于: 8.1所述认证协同单元(4)从所述电话网(5)采集到所述电话终端的位置信息; 8.2所述认证协同单元(4)从所述电话网(5)采集到所述电话终端的硬件标识信息; 8.3所述认证协同单元(4)从所述电话网(5)采集到所述电话终端的历史通话记录信肩、O
9.如权利要求1所述的数据网和电话网的组合认证鉴权方法,所述认证协同单元(4)将接收到的如权利要求5所述用户回复的认证鉴权信息以及如权利要求7所述的附加用户鉴权结果和如权利要求8所述的附加网络鉴权结果回送给所述应用系统(3)。
10.如权利要求1所述的数据网和电话网的组合认证鉴权方法,所述应用系统(3)将如权利要求3所述的用户识别标记、如权利要求9所述用户回复的认证鉴权信息和所述附加用户鉴权信息和附加网络鉴权信息以某种鉴权算法与如权利要求2所述的多元组信息进行鉴权计算,得到鉴权结果。
11.如权利要求1所述的数据网和电话网的协同认证鉴权方法,所述电话网 (5)是公共交换电话网络(PSTN)网,所述的电话终端是固定电话; 或 所述电话网(5)是GSM移动电话网络网,所述的电话终端是GSM手机; 或 所述电话网(5)是CDMA移动电话网络网,所述的电话终端是CDMA手机; 或 所述电话网(5)是WCDM A移动电话网络网,所述的电话终端是WCDMA手机; 或 所述电话网(5)是CDMA2000移动电话网络网,所述的电话终端是CDMA2000手机; 或 所述电话网(5)是TD-SCMDA移动电话网络网,所述的电话终端是TD-SCDMA手机; 或 所述电话网(5)是LTE移动电话网络网,所述的电话终端是LTE手机。
12.如权利要求1所述的数据网和电话网的协同认证鉴权方法,所述数据网包括但不限于:IP网络、ATM网络、帧中继网络、DDN网络等。
13.如权利要求5所述的认证协同单元使用的电话网的信令能力,包括但不限于:USSD方式、UserToUser信令、短信、IVR等。
14.如权利要求1所述的数据网和电话网的协同认证鉴权方法,所述应用系统包括但不限于:电子商务网站、网上银行、网上证券、网络游戏、社交网络等。
【文档编号】H04L29/06GK103516677SQ201210210765
【公开日】2014年1月15日 申请日期:2012年6月26日 优先权日:2012年6月26日
【发明者】郑言璋, 郑千里, 叶树瑶, 方朝东, 韩红 申请人:广州晨扬通信技术有限公司