一种认证服务器、系统和方法及待认证终端与流程

本发明涉及计算机技术领域，特别涉及一种认证服务器、系统和方法及待认证终端。

背景技术：

随着云计算技术的不断发展，云管理系统应运而生，云管理系统被广泛的应用到各个行业，为了限制非法用户访问云管理系统中的资源，身份认证技术被广泛的应用到云管理系统中，作为保护云管理系统安全的第一道防线。

目前，云管理系统的身份认证方式主要通过静态口令，即通过用户账号和固定的口令进行身份认证的，这种身份认证方式的安全性主要依赖于静态口令，任何人只要拥有账户账号和固定的口令就可以对云管理系统进行登录访问和操作，而且静态口令在通过网络传输给云管理系统过程中易被黑客等非法用户截获或者破解，从而非法用户就可以通过截获或者破解的静态口令登录云管理系统，获取云管理系统中存储的各种资料或者破坏云管理系统的资源，给云管理系统平台造成不可预估的损失。因此，现有的云管理系统的身份认证安全性较低。

技术实现要素：

本发明实施例提供了一种认证服务器、系统和方法及待认证终端，以便于提高待认证终端的身份认证安全性。

第一方面，本发明实施例提供了一种认证服务器，该认证服务器包括：

动态口令单元和认证单元，其中，

所述动态口令单元，用于接收待认证终端发来的动态口令调用指令，根据所述动态口令调用指令，生成请求登录所述待认证终端的目标用户对应的第一动态口令，并将所述第一动态口令发送至所述认证单元；

所述认证单元，用于存储至少一个用户的属性信息，接收所述待认证终端发来的目标用户的登录请求信息和第二动态口令，接收所述动态口令单元发来的所述第一动态口令，判断是否满足：所述第一动态口令与所述第二动态口令相匹配，且每个所述登录请求信息与对应的所述目标用户的属性信息相匹配，如果是，则生成认证成功指令，并将所述认证成功指令发送至所述待认证终端，以使所述待认证终端允许所述目标用户进行登录。

优选地，

所述属性信息，包括：登录日期范围、登录时间范围、IP地址(Internet Protocol Address，互联网协议地址)和MAC地址(Media Access Control，物理地址)中的任意一种或多种；

所述认证单元，在执行所述判断是否满足每个所述登录请求信息与对应的所述目标用户的属性信息相匹配时，用于：

判断所述登录请求信息中的登录日期是否在所述登录日期范围内，如果是，则确定所述登录日期与所述登录日期范围相匹配；

优选地，

判断所述登录请求信息中的登录时间是否在所述登录时间范围内，如果是，则确定所述登录时间与所述登录时间范围相匹配；

优选地，

判断所述登录请求信息中的当前IP地址是否与所述IP地址相同，如果是，则确定所述当前IP地址与所述IP地址相匹配；

优选地，

判断所述登录请求信息中的当前MAC地址是否与所述MAC地址相同，如果是，则确定所述当前MAC地址与所述MAC地址相匹配。

优选地，

所述动态口令单元，用于保存至少一个用户与唯一序列号的对应关系和共享密钥，根据所述对应关系确定所述目标用户对应的目标唯一序列号，利用所述共享密钥及所述目标唯一序列号，生成所述第一动态口令。

第二方面，本发明实施例提供了一种待认证终端，该待认证终端包括：

接收单元，用于接收目标用户发来的登录请求信息；

确定单元，用于根据所述登录请求信息，确定所述目标用户的目标身份，当所述目标身份符合预设的身份认证规则时，获取所述目标用户输入的第二动态口令，其中，所述身份认证规则包括：当身份为预设身份时，需要通过动态口令进行登录；

发送单元，用于将所述第二动态口令和所述登录请求信息发送给认证服务器，以使所述认证服务器对所述目标用户进行认证。

第三方面，本发明实施例提供了一种认证系统，该系统包括：

第一方面所述任一所述的认证服务器和第二方面所述的至少一个待认证终端。

优选地，进一步包括：

动态口令终端，用于向所述待认证终端发送所述目标用户的所述第二动态口令。

优选地，

所述动态口令终端包括：硬件令牌、手机令牌、软件令牌、短信密码生成终端。

第四方面，本发明实施例提供了一种认证方法，该方法包括：

存储至少一个用户的属性信息；

接收待认证终端发来的动态口令调用指令；

根据所述动态口令调用指令，生成请求登录所述待认证终端的目标用户对应的第一动态口令；

接收所述待认证终端发来的目标用户的登录请求信息和第二动态口令；

判断所述第一动态口令与所述第二动态口令相匹配，且每个所述登录请求信息与对应的所述目标用户的属性信息相匹配时，生成认证成功指令；

将所述认证成功指令发送至所述待认证终端，以使所述待认证终端允许所述目标用户进行登录。

优选地，

所述属性信息，包括：登录日期范围、登录时间范围、IP地址和MAC地址中的任意一种或多种；

所述判断每个所述登录请求信息与对应的所述目标用户的属性信息相匹配时，包括：

判断所述登录请求信息中的登录日期是否在所述登录日期范围内，如果是，则确定所述登录日期与所述登录日期范围相匹配；

优选地，

所述判断每个所述登录请求信息与对应的所述目标用户的属性信息相匹配时，包括：

判断所述登录请求信息中的登录时间是否在所述登录时间范围内，如果是，则确定所述登录时间与所述登录时间范围相匹配；

优选地，

所述判断每个所述登录请求信息与对应的所述目标用户的属性信息相匹配时，包括：

判断所述登录请求信息中的当前IP地址是否与所述IP地址相同，如果是，则确定所述当前IP地址与所述IP地址相匹配；

优选地，

所述判断每个所述登录请求信息与对应的所述目标用户的属性信息相匹配时，包括：

判断所述登录请求信息中的当前MAC地址是否与所述MAC地址相同，如果是，则确定所述当前MAC地址与所述MAC地址相匹配。

优选地，

保存至少一个用户与唯一序列号的对应关系和共享密钥；

所述生成请求登录所述待认证终端的目标用户对应的第一动态口令，包括：

根据所述对应关系确定所述目标用户对应的目标唯一序列号；

利用所述共享密钥及所述目标唯一序列号，生成所述第一动态口令。

可见，本发明实施例提供了一种认证服务器、系统和方法及待认证终端，通过所述动态口令单元，接收待认证终端发来的动态口令调用指令，根据所述动态口令调用指令，生成请求登录所述待认证终端的目标用户对应的第一动态口令，并将所述第一动态口令发送至所述认证单元。以使所述认证单元根据第一动态口令，以及所述待认证终端发来的目标用户的登录请求信息和第二动态口令，判断当所述第一动态口令与所述第二动态口令相匹配，且每个所述登录请求信息与对应的所述目标用户的属性信息相匹配时，生成认证成功指令，并将所述认证成功指令发送至所述待认证终端，以使所述待认证终端允许所述目标用户进行登录。本发明进行认证的时候，需要登录请求信息与对应的目标用户的属性信息相匹配，且与待认证终端发送的动态口令相对应的第一动态口令与待认证终端发来的目标用户的第二动态口令相匹配时，待认证终端才允许所述目标用户进行登录，因此本方案有效地提高了待认证终端的身份认证安全性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明一个实施例提供的一种认证服务器的结构示意图；

图2是本发明一个实施例提供的一种认证终端的结构示意图；

图3是本发明一个实施例提供的一种认证系统的结构示意图；

图4是本发明另一个实施例提供的一种认证系统的结构示意图；

图5是本发明一个实施例提供的一种认证方法的流程图；

图6是本发明另一个实施例提供的一种认证方法的流程图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例，基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1所示，本发明实施例提供了一种认证服务器，该认证服务器可以包括：动态口令单元101和认证单元102，其中，

所述动态口令单元101，用于接收待认证终端发来的动态口令调用指令，根据所述动态口令调用指令，生成请求登录所述待认证终端的目标用户对应的第一动态口令，并将所述第一动态口令发送至所述认证单元102；

所述认证单元102，用于存储至少一个用户的属性信息，接收所述待认证终端发来的目标用户的登录请求信息和第二动态口令，接收所述动态口令单元发来的所述第一动态口令，判断是否满足：所述第一动态口令与所述第二动态口令相匹配，且每个所述登录请求信息与对应的所述目标用户的属性信息相匹配，如果是，则生成认证成功指令，并将所述认证成功指令发送至所述待认证终端，以使所述待认证终端允许所述目标用户进行登录。

根据上述实施例，通过所述动态口令单元，接收待认证终端发来的动态口令调用指令，根据所述动态口令调用指令，生成请求登录所述待认证终端的目标用户对应的第一动态口令，并将所述第一动态口令发送至所述认证单元。以使所述认证单元根据第一动态口令，以及所述待认证终端发来的目标用户的登录请求信息和第二动态口令，判断当所述第一动态口令与所述第二动态口令相匹配，且每个所述登录请求信息与对应的所述目标用户的属性信息相匹配时，生成认证成功指令，并将所述认证成功指令发送至所述待认证终端，以使所述待认证终端允许所述目标用户进行登录。本发明进行认证的时候，不仅需要登录请求信息与对应的目标用户的属性信息相匹配，且与待认证终端发送的动态口令相对应的第一动态口令与待认证终端发来的目标用户的第二动态口令相匹配时，待认证终端才允许所述目标用户进行登录，因此本方案有效地提高了待认证终端的身份认证安全性。

在本发明一个实施例中，为了保证认证的灵活性，在所述用户的属性信息中可以包括：登录日期范围、登录时间范围、IP地址和MAC地址中的任意一种或多种。

其中，所述属性信息具体包括的内容可以根据具体的业务要求来确定，当属性信息中包括登录日期范围、登录时间范围、IP地址和MAC地址中的任意一种或多种时，所述认证单元就要相应的判断每一个所述登录请求信息与是否与对应的所述目标用户的属性信息相匹配。确定相匹配的情况分为两种，一种是属性信息中所有的信息均相匹配的时候，才认定为相匹配，另一种情况是属性信息中所有信息的至少一种或多种相匹配时，就认定为相匹配。

所述属性信息，包括：登录日期范围时，所述认证单元102，在执行所述，用于：判断所述登录请求信息中的登录日期是否在所述登录日期范围内，如果是，则确定所述登录日期与所述登录日期范围相匹配；

所述属性信息，包括：登录时间范围时，所述认证单元102，在执行所述，用于：判断所述登录请求信息中的登录时间是否在所述登录时间范围内，如果是，则确定所述登录时间与所述登录时间范围相匹配；

所述属性信息，包括：IP地址时，所述认证单元102，在执行所述，用于：判断所述登录请求信息中的当前IP地址是否与所述IP地址相同，如果是，则确定所述当前IP地址与所述IP地址相匹配；

所述属性信息，包括：MAC地址时，所述认证单元102，在执行所述，用于：判断所述登录请求信息中的当前MAC地址是否与所述MAC地址相同，如果是，则确定所述当前MAC地址与所述MAC地址相匹配。

根据上述实施例，所述属性信息中包括：登录日期范围、登录时间范围、IP地址和MAC地址中的任意一种或多种，根据属性信息中包括的具体内容，所述认证单元判断每个所述登录请求信息与对应的所述目标用户的属性信息是否相匹配，由于可以根据具体的业务要求去确定属性信息中包括的信息内容，因此保证了认证的灵活性。

在本发明一个实施例中，为了保证生成动态口令满足一次一密的特点，所述动态口令单元101，用于保存至少一个用户与唯一序列号的对应关系和共享密钥，根据所述对应关系确定所述目标用户对应的目标唯一序列号，利用所述共享密钥及所述目标唯一序列号，生成所述第一动态口令。

所述每一个用户对应一个序列号，这个序列号是唯一性的，不重复的。所述共享密钥，可以根据具体的业务要求来确定，可以是一个数字组合。可以根据公式(1)计算生成第一动态口令；

其中，F表征第一动态口令；K表征共享密钥；C表征目标用户对应的目标唯一序列号；H表征哈希算法；a表征第一预设值；b表征第二预设值；表征异或运算符；|表征或运算符。

在本发明一个实施例中，H哈希算法所采用的算法可以是SHA-256，共享密钥K为101110，目标用户对应的目标唯一序列号C为1110110，将上述数值带入公式(1)得出第一动态口令。除了可以上述公式(1)生成第一动态口令，也可以根据具体的业务要求来确定生成第一动态口令具体方式。第一预设值的位数与K相同，第二预设值的位数与K相同。

根据上述实施例，所述动态口令单元根据预先保存的每一个用户与唯一序列号的对应关系和共享密钥，根据目标唯一序列号和第一公式，生成第一动态口令。由于每一个用户都有一个属于自身的唯一序列号，利用目标唯一序列号，根据公式(1)生成相应的动态口令，因此保证了生成动态口令满足一次一密的特点。

如图2所示，本发明实施例提供了一种待认证终端，该终端可以包括：

接收单元201，用于接收目标用户发来的登录请求信息；

确定单元202，用于根据所述登录请求信息，确定所述目标用户的目标身份，当所述目标身份符合预设的身份认证规则时，获取所述目标用户输入的第二动态口令，其中，所述身份认证规则包括：当身份为预设身份时，需要通过动态口令进行登录；

发送单元203，用于将所述第二动态口令和所述登录请求信息发送给认证服务器，以使所述认证服务器对所述目标用户进行认证。

所述身份认证规则中包括至少一种身份，比如可以包括普通用户身份和管理员身份。预设身份中包括的身份可以根据具体的业务要求来确定。

在本发明一个实施例中，预设的身份认证规则中包括管理员身份，当用户1发来的登录请求信息，即用户1的用户名和密码时，根据用户名和密码就确定用户1的身份为普通用户时，确定所述目标身份不符合预设的身份认证规则，则用户1不需要通过动态口令登录，可直接登录待认证终端。当根据用户名和密码确定用户1的身份为管理员身份时，确定所述目标身份符合预设的身份认证规则，则用户1需要通过动态口令登录，则需要获取目标用户输入的第二动态口令，并将第二动态口令和登录请求信息发送给认证服务器，以使认证服务器对所述目标用户进行认证。其中，第二动态口令可以通过硬件令牌、手机令牌、软件令牌、短信密码生成终端提供。

根据上述实施例，待认证终端通过根据预设的身份认证规则确定接收到的目标用户发来的登录请求信息是否满足预设的身份认证规则，只有当登录请求信息对应的身份为预设身份时，才需要通过动态口令进行登录，因此提高了身份认证操作的灵活性。

如图3所示，本发明实施例提供了一种认证系统，该系统可以包括：上述任一所述的认证服务器301和上述至少一个待认证终端302。其中，所述待认证终端的数量可以根据具体的业务要求来确定

在本发明一个实施例中，如图4所示，为了提高认证的安全性，所述认证系统，进一步包括：动态口令终端401；

所述动态口令终端401，用于向所述待认证终端302发送所述目标用户的所述第二动态口令。

在本发明一个实施例中，为了适应不同的业务需求，所述动态口令终端401包括：硬件令牌、手机令牌、软件令牌、短信密码生成终端。

所述动态口令终端，可以根据具体的业务要求选择硬件令牌、手机令牌、软件令牌和短信密码生成终端中任意一种或多种。

所述硬件令牌，是一种时间型动态密码生成设备，可以在设定的时间间隔内变化一个密码，且该密码只可以使用一次，用户登录时就可以将登录请求信息以及所述硬件令牌生成的密码对应的动态口令发送至认证服务器。

所述手机令牌，是运行在手机上的程序，用于生成动态口令，并在设定的时间间隔内生成的随机密码，用户在登录时可以将登录请求信息以及所述手机令牌生成的密码对应的动态口令发送至认证服务器。

所述软件令牌，是在设定的时间间隔内生成随机密码的程序，用户在登录时可以将登录请求信息以及所述软件令牌生成的密码对应的动态口令发送至认证服务器。

所述短信密码生成终端，是根据登录请求随机生成验证码并以短信的方式呈现的生成终端。

上述装置内的各单元之间的信息交互、执行过程等内容，由于与本发明方法实施例基于同一构思，具体内容可参见本发明方法实施例中的叙述，此处不再赘述。

如图5所示，本发明实施例提供了一种认证方法，该方法可以包括：

步骤501：存储至少一个用户的属性信息；

步骤502：接收待认证终端发来的动态口令调用指令；

步骤503：根据所述动态口令调用指令，生成请求登录所述待认证终端的目标用户对应的第一动态口令；

步骤504：接收所述待认证终端发来的目标用户的登录请求信息和第二动态口令；

步骤505：判断所述第一动态口令与所述第二动态口令相匹配，且每个所述登录请求信息与对应的所述目标用户的属性信息相匹配时，生成认证成功指令；

步骤506：将所述认证成功指令发送至所述待认证终端，以使所述待认证终端允许所述目标用户进行登录。

根据上述实施例，根据所述动态口令调用指令，生成请求登录所述待认证终端的目标用户对应的第一动态口令，以及接收所述待认证终端发来的目标用户的登录请求信息和第二动态口令，并判断所述第一动态口令与所述第二动态口令相匹配，且每个所述登录请求信息与对应的所述目标用户的属性信息相匹配时，生成认证成功指令，将所述认证成功指令发送至所述待认证终端，以使所述待认证终端允许所述目标用户进行登录。本发明进行认证时，需要登录请求信息与对应的目标用户的属性信息相匹配，且与待认证终端发送的动态口令相对应的第一动态口令与待认证终端发来的目标用户的第二动态口令相匹配时，待认证终端才允许所述目标用户进行登录，因此本方案有效地提高了待认证终端的身份认证安全性。

在本发明一个实施例中，为了保证认证的灵活性，每一个用户的属性信息，包括：登录日期范围、登录时间范围、IP地址和MAC地址中的任意一种或多种。

所述属性信息具体包括的内容可以根据具体的业务要求来确定，当属性信息中包括登录日期范围、登录时间范围、IP地址和MAC地址中的任意一种或多种时，需要相应的判断每一个所述登录请求信息是否与对应的所述目标用户的属性信息相匹配。确定相匹配的情况分为两种，一种是属性信息中所有的信息均相匹配时，才认定为相匹配。另一种情况是属性信息中所有信息的至少一种或多种相匹配时，就认定为相匹配。

所述判断每个所述登录请求信息与对应的所述目标用户的属性信息相匹配时，包括：

判断所述登录请求信息中的登录日期是否在所述登录日期范围内，如果是，则确定所述登录日期与所述登录日期范围相匹配；

和/或，

所述判断每个所述登录请求信息与对应的所述目标用户的属性信息相匹配时，包括：

判断所述登录请求信息中的登录时间是否在所述登录时间范围内，如果是，则确定所述登录时间与所述登录时间范围相匹配；

和/或，

所述判断每个所述登录请求信息与对应的所述目标用户的属性信息相匹配时，包括：

判断所述登录请求信息中的当前IP地址是否与所述IP地址相同，如果是，则确定所述当前IP地址与所述IP地址相匹配；

和/或，

所述判断每个所述登录请求信息与对应的所述目标用户的属性信息相匹配时，包括：

判断所述登录请求信息中的当前MAC地址是否与所述MAC地址相同，如果是，则确定所述当前MAC地址与所述MAC地址相匹配。

在本发明一个实施例中，为了保证生成动态口令满足一次一密的特点，包括：

保存至少一个用户与唯一序列号的对应关系和共享密钥；

所述生成请求登录所述待认证终端的目标用户对应的第一动态口令，包括：

根据所述对应关系确定所述目标用户对应的目标唯一序列号；

利用所述共享密钥及所述目标唯一序列号，生成所述第一动态口令，可以根据下述公式(1)计算生成第一动态口令；

其中，F表征第一动态口令；K表征共享密钥；C表征目标用户对应的目标唯一序列号；H表征哈希算法；a表征第一预设值；b表征第二预设值；表征异或运算符；|表征或运算符。其中第一预设值的位数与K相同，第二预设值的位数与K相同。

下面以一个认证系统中包括认证服务器、一个待认证终端和动态口令终端为例，对本发明实施例提供的认证方法进行说明，如图6所示，该认证方法可以包括如下步骤：

步骤601：利用认证服务器存储至少一个用户的属性信息，保存至少一个用户与唯一序列号的对应关系和共享密钥。

存储至少一个用户的属性信息，其中每一个用户的属性信息包括：登录日期范围、登录时间范围、IP地址和MAC地址中的任意一种或多种；可以根据具体的要求来确定属性信息中的具体内容。

在本实施例中，存储了用户1、用户2和用户3的属性信息，其中用户1的属性信息为登录日期范围为2016/1/1至2016/1/30、登录时间范围为8:00至20:00、IP地址为192.168.10.0和MAC地址为44-45-53-54-00-00。

保存至少一个用户与唯一序列号的对应关系，根据每一用户的用户名和密码为每一个用户对应设定一个唯一序列号，序列号的形式可以根据具体的业务要求来确定，在本实施例中保存用户1、用户2和用户3与唯一序列号的对应关系，如用户1的序列号为000789。

共享密钥的具体形式也可以根据具体的业务要求来确定，可以是不同数字的组合，在本实施例中，共享密钥为111579。

步骤602：利用待认证终端预设身份认证规则。

所述身份认证规则中包括至少一种身份，其中身份可以根据具体的业务要求确定。在本实施例中，预设的身份认证规则中，包括管理员身份。

步骤603：利用待认证终端接收目标用户发来的登录请求信息。

所述登录请求信息中，包括用户名和密码。在本实施例中，利用待认证终端接收用户1发来的登录请求信息包括：用户名A和密码B。

步骤604：利用待认证终端根据所述登录请求信息，确定所述目标用户的目标身份。

在本实施例中，待认证终端根据用户1的登录请求信息用户名A和密码B，确定用户1的身份为管理员。

步骤605：利用待认证终端判断所述目标身份是否符合预设身份认证规则，如果是，则执行步骤：606，否则，则执行步骤：614。

在本实施例中，待认证终端根据用户1的登录请求信息用户名A和密码B，确定用户1的身份为管理员。步骤602预设的身份认证规则中，包括管理员身份。确定用户1的管理员身份是否符合预设身份认证规则中包括的管理员身份，如果是，则执行步骤：606，否则，则执行步骤：614。

步骤606：利用动态口令终端向所述待认证终端发送所述目标用户的所述第二动态口令。

所述动态口令终端包括：硬件令牌、手机令牌、软件令牌、短信密码生成终端。根据具体的业务要求可以选取其中的任意一种或多种。

在本实施例中，选用的动态口令终端为硬件令牌，比如U盾，那么就利用U盾向待认证终端发送用户1的第二动态口令，第二动态口令可以是动态口令终端产生的一个随机密码，是在设定的时间间隔内变化一个密码，且该密码只可以使用一次，具体的形式也可以根据具体的业务要求来确定，比如，本实施例中为6位数字的排列组合：598713。

步骤607：将所述第二动态口令和所述登录请求信息发送给认证服务器。

在本实施例中，将第二动态口令598713和用户1的登录请求信息用户名A和密码B发送给认证服务器。

步骤608：利用认证服务器接收所述待认证终端发来的目标用户的登录请求信息和第二动态口令。

在本实施例中，利用认证服务器接收所述待认证终端发来的用户1的登录请求信息用户名A和密码B，和第二动态口令598713。

步骤609：利用认证服务器接收待认证终端发来的动态口令调用指令。

在本实施例中，认证服务器接收待认证终端发来的动态口令调用指令。

步骤610：利用认证服务器根据所述动态口令调用指令，以及根据所述对应关系确定所述目标用户对应的目标唯一序列号，利用所述共享密钥及所述目标唯一序列号，生成所述第一动态口令。

其中，可以根据下述公式(1)生成第一动态口令；

其中，F表征第一动态口令；K表征共享密钥；C表征目标用户对应的目标唯一序列号；H表征哈希算法；a表征第一重复次数；b表征第二重复次数；表征异或运算符；|表征或运算符。其中第一预设值的位数与K相同，第二预设值的位数与K相同。

除了可以上述公式(1)生成第一动态口令，也可以根据具体的业务要求来确定生成第一动态口令具体方式。

步骤611：利用认证服务器判断所述第一动态口令与所述第二动态口令是否匹配，且每个所述登录请求信息与对应的所述目标用户的属性信息是否匹配。如果是，执行步骤612；否则，执行步骤615。

步骤612：利用认证服务器判断所述第一动态口令与所述第二动态口令相匹配，且每个所述登录请求信息与对应的所述目标用户的属性信息相匹配时，生成认证成功指令。

每一个用户的属性信息包括：登录日期范围、登录时间范围、IP地址和MAC地址中的任意一种或多种。属性信息中包括的具体内容可以根据具体的业务要求来确定。所以判断每个所述登录请求信息与对应的所述目标用户的属性信息相匹配时存在两种情况，一种是属性信息中所有的信息均相匹配的时候，才认定为相匹配，另一种情况是属性信息中所有信息的至少一种相匹配时，就认定为相匹配。

在本实施例中，每一个用户的属性信息包括：登录日期范围、登录时间范围、IP地址和MAC地址。规定属性信息中所有的信息均相匹配时，才认定每个所述登录请求信息与对应的所述目标用户的属性信息相匹配。所以需要做如下判断：

判断所述登录请求信息中的登录日期是否在所述登录日期范围内，如果是，则确定所述登录日期与所述登录日期范围相匹配；

判断所述登录请求信息中的登录时间是否在所述登录时间范围内，如果是，则确定所述登录时间与所述登录时间范围相匹配；

判断所述登录请求信息中的当前IP地址是否与所述IP地址相同，如果是，则确定所述当前IP地址与所述IP地址相匹配；

判断所述登录请求信息中的当前MAC地址是否与所述MAC地址相同，如果是，则确定所述当前MAC地址与所述MAC地址相匹配。

在本实施例中，经过判断用户的登录请求信息与对应的用户1的属性信息登录日期范围为2016/1/1至2016/1/30、登录时间范围为8:00至20:00、IP地址为192.168.10.0和MAC地址为44-45-53-54-00-00均匹配。且第一动态口令与所述第二动态口令相匹配，生成认证成功指令。

步骤613：利用认证服务器将所述认证成功指令发送至所述待认证终端。

在本实施例中，认证服务器判断所述第一动态口令与所述第二动态口令相匹配，且每个所述登录请求信息与对应的所述目标用户的属性信息相匹配时，生成认证成功指令，并将认证成功指令发送至待认证终端。

步骤614：利用所述待认证终端认证成功指令发送至所述待认证终端允许所述目标用户进行登录。

在本实施例中，待认证终端接收到认证成功指令后，允许用户1进行登录。

步骤615：所述待认证终端不允许所述目标用户进行登录。

综上，本发明各个实施例至少可以实现如下有益效果：

1、在本发明实施例中，通过所述动态口令单元，接收待认证终端发来的动态口令调用指令，根据所述动态口令调用指令，生成请求登录所述待认证终端的目标用户对应的第一动态口令，并将所述第一动态口令发送至所述认证单元。以使所述认证单元根据第一动态口令，以及所述待认证终端发来的目标用户的登录请求信息和第二动态口令，判断当所述第一动态口令与所述第二动态口令相匹配，且每个所述登录请求信息与对应的所述目标用户的属性信息相匹配时，生成认证成功指令，并将所述认证成功指令发送至所述待认证终端，以使所述待认证终端允许所述目标用户进行登录。本发明进行认证的时候，需要登录请求信息与对应的目标用户的属性信息相匹配，且与待认证终端发送的动态口令相对应的第一动态口令与待认证终端发来的目标用户的第二动态口令相匹配时，待认证终端才允许所述目标用户进行登录，因此本方案有效地提高了待认证终端的身份认证安全性。

2、在本发明实施例中，所述属性信息中包括：登录日期范围、登录时间范围、IP地址和MAC地址中的任意一种或多种，根据属性信息中包括的具体内容，所述认证单元判断每个所述登录请求信息与对应的所述目标用户的属性信息均是否相匹配，由于可以根据具体的业务要求确定属性信息中包括的具体信息内容，因此保证了认证的灵活性。

3、在本发明实施例中，所述动态口令单元根据预先保存的每一个用户与唯一序列号的对应关系和共享密钥，根据目标唯一序列号和第一公式，生成第一动态口令。由于每一个用户都有一个属于自身的唯一序列号，利用目标唯一序列号，根据公式(1)生成相应的动态口令，因此保证了生成动态口令满足一次一密的特点。

4、在本发明实施例中，待认证终端通过根据预设的身份认证规则确定接收到的目标用户发来的登录请求信息是否满足预设的身份认证规则，只有当登录请求信息对应的身份为预设身份时，才需要通过动态口令进行登录，因此提高了身份认证操作的灵活性。

需要说明的是，在本文中，诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个······”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储在计算机可读取的存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质中。

最后需要说明的是：以上所述仅为本发明的较佳实施例，仅用于说明本发明的技术方案，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等，均包含在本发明的保护范围内。