本发明涉及账户的安全认证和管理,特别是一种支持多系统的统一身份安全认证方法。
背景技术:
当前各类网站平台、各类系统繁多,对系统用户认证的方式方法也各不相同,但当前主流的系统账户认证方式大多是靠单一的用户名、口令(密码)进行系统登录,这会导致密码失窃或被破解后,无法在信息传输前确认用户身份,存在一定的风险和安全隐患。
同时,存在关联关系的各系统之间,大多系统都往往各自为政,缺乏多系统、多账户之间的统一的用户身份认证功能,导致各系统之前的安全认证体系和等级各不相同,管理比较杂乱,采用多种身份认证也往往导致资源重复浪费。
另外,也存在一些使用手机令牌身份认证的系统,这种认证方式也存在被黑客拷屏而导致令牌被伪造的风险和漏洞。
技术实现要素:
本发明的主要目的在于克服现有技术的不足,提供一种支持多系统的安全可靠的统一身份安全认证方法。
为实现上述目的,本发明采用以下技术方案:
一种支持多系统的统一身份安全认证方法,包括以下步骤:
S1、用户手机向系统方服务器发起以手机号为唯一识别标志的授权请求;
S2、所述系统方服务器向所述用户手机发送访问许可安全链接;
S3、所述用户手机访问所述访问许可安全链接后,所述系统方服务器获得所述用户手机的MAC地址;
S4、所述系统方服务器向认证服务器提交用户信息,产生用户名和密码,记录所述用户手机的MAC地址,配置用户的手机OTP令牌,并将所述手机OTP令牌发送到所述用户手机;
S5、所述用户手机向所述认证服务器提交包含所述用户名和密码的私有证书以及所述手机OTP令牌,来向所述认证服务器请求访问令牌;
S6、所述认证服务器验证所述私有证书和所述手机OTP令牌的有效性,并验证请求访问令牌的用户手机的MAC地址是否和步骤S3中记录的用户手机的MAC地址吻合;
如果验证成功,进入步骤S7;如验证失败,则需要返回步骤S5重新提交所述私有证书和所述手机OTP令牌;
S7、所述认证服务器向所述用户手机发送所述访问令牌;
S8、所述用户手机向所述系统方服务器提交所述访问令牌,并向所述系统方服务器请求访问受保护资源信息;
S9、所述系统方服务器对所述访问令牌做出响应和确认,从而允许所述用户手机访问所述受保护资源信息。
进一步地:
所述访问令牌为无状态访问令牌。
所述访问令牌至少包括访问许可的作用域和有效时间信息。
步骤S6中,如验证失败,所述认证服务器向所述用户手机提示验证失败。
通过开放的接口,多个不同应用的系统方服务器共用一个所述认证服务器,实现集成多个应用系统的统一认证。
一种支持多系统的统一身份安全认证方法,包括以下步骤:
S1、系统方服务器收到用户手机发起的以手机号为唯一识别标志的授权请求后,向所述用户手机发送访问许可安全链接;
S2、所述系统方服务器获得访问所述访问许可安全链接的所述用户手机的MAC地址;
S3、所述系统方服务器向认证服务器提交用户信息,产生用户名和密码,记录所述用户手机的MAC地址,配置用户的手机OTP令牌,并将所述手机OTP令牌发送到所述用户手机;
S4、所述认证服务器收到所述用户手机提交的包含所述用户名和密码的私有证书以及所述手机OTP令牌后,验证所述私有证书和所述手机OTP令牌的有效性,并验证请求访问令牌的用户手机的MAC地址是否和步骤S3中记录的用户手机的MAC地址吻合;
如果验证成功,进入步骤S5;如验证失败,则需要重新提交和验证;
S5、所述认证服务器向所述用户手机发送所述访问令牌;
S6、所述系统方服务器收到所述用户手机提交的所述访问令牌以及对受保护资源信息的访问请求时,对所述访问令牌做出响应和确认,以允许所述用户手机访问所述受保护资源信息。
进一步地:
所述访问令牌为无状态访问令牌。
所述访问令牌至少包括访问许可的作用域和有效时间信息。
步骤S4中,如验证失败,所述认证服务器向所述用户手机提示验证失败。
通过开放的接口,多个不同应用的系统方服务器共用一个所述认证服务器,实现集成多个应用系统的统一认证。
本发明的有益效果:
本发明提供了一种支持多系统的统一身份安全认证方法,该方法通过访问令牌、手机OTP令牌、MAC地址等多种验证途径,进行多流程环节的安全认证控制,确保身份认证过程的万无一失,也确保了系统的账户体系和信息安全。进一步地,基于本发明的认证方法,可以通过技术接口和平台,支持多系统的同时部署应用,提升系统安全认证的同时,也对系统账户进行了统一管理和规范,提升管理效率,避免资源浪费。
本发明为各类系统、网站,尤其是涉及交易、支付、结算的电商类平台,提供了一套安全可靠,操作使用便捷,可支持多个应用系统的、统一的身份认证方法,这对系统账户安全、账户会员体系建设管理都有非常实际的意义和价值。
附图说明
图1为本发明支持多系统的统一身份安全认证方法一种实施例的流程图。
具体实施方式
以下对本发明的实施方式作详细说明。应该强调的是,下述说明仅仅是示例性的,而不是为了限制本发明的范围及其应用。
参阅图1,在一种实施例中,一种支持多系统的统一身份安全认证方法,包括以下步骤:
S1、用户手机向系统方服务器发起以手机号为唯一识别标志的授权请求;
S2、所述系统方服务器向所述用户手机发送访问许可安全链接;
S3、所述用户手机访问所述访问许可安全链接后,所述系统方服务器获得所述用户手机的MAC地址;
S4、所述系统方服务器向认证服务器提交用户信息,产生用户名和密码,记录所述用户手机的MAC地址,配置用户的手机OTP令牌,并将所述手机OTP令牌发送到所述用户手机;
S5、所述用户手机向所述认证服务器提交包含所述用户名和密码的私有证书以及所述手机OTP令牌,来向所述认证服务器请求访问令牌;
S6、所述认证服务器验证所述私有证书和所述手机OTP令牌的有效性,并验证请求访问令牌的用户手机的MAC地址是否和步骤S3中记录的用户手机的MAC地址吻合;
如果验证成功,进入步骤S7;如验证失败,则需要返回步骤S5重新提交所述私有证书以及所述手机OTP令牌;
S7、所述认证服务器向所述用户手机发送所述访问令牌;
S8、所述用户手机向所述系统方服务器提交所述访问令牌,并向所述系统方服务器请求访问受保护资源信息;
S9、所述系统方服务器对所述访问令牌做出响应和确认,从而允许所述用户手机访问所述受保护资源信息。
所述访问令牌可以为无状态访问令牌。
在优选的实施例中,所述访问令牌至少包括访问许可的作用域和有效时间信息。
在优选的实施例中,步骤S6中,如验证失败,所述认证服务器向所述用户手机提示验证失败。
在优选的实施例中,通过开放的接口,多个不同应用的系统方服务器共用一个所述认证服务器,实现集成多个应用系统的统一认证。
在另一种实施例中,一种支持多系统的统一身份安全认证方法,包括以下步骤:
S1、系统方服务器收到用户手机发起的以手机号为唯一识别标志的授权请求后,向所述用户手机发送访问许可安全链接;
S2、所述系统方服务器获得访问所述访问许可安全链接的所述用户手机的MAC地址;
S3、所述系统方服务器向认证服务器提交用户信息,产生用户名和密码,记录所述用户手机的MAC地址,配置用户的手机OTP令牌,并将所述手机OTP令牌发送到所述用户手机;
S4、所述认证服务器收到所述用户手机提交的包含所述用户名和密码的私有证书以及所述手机OTP令牌后,验证所述私有证书和所述手机OTP令牌的有效性,并验证请求访问令牌的用户手机的MAC地址是否和步骤S3中记录的用户手机的MAC地址吻合;
如果验证成功,进入步骤S5;如验证失败,则需要重新提交和验证上述信息;
S5、所述认证服务器向所述用户手机发送所述访问令牌;
S6、所述系统方服务器收到所述用户手机提交的所述访问令牌以及对受保护资源信息的访问请求时,对所述访问令牌做出响应和确认,以允许所述用户手机访问所述受保护资源信息。
所述访问令牌可以为无状态访问令牌。
在优选的实施例中,所述访问令牌至少包括访问许可的作用域和有效时间信息。
在优选的实施例中,步骤S4中,如验证失败,所述认证服务器向所述用户手机提示验证失败。
在优选的实施例中,通过开放的接口,多个不同应用的系统方服务器共用一个所述认证服务器,实现集成多个应用系统的统一认证。
以下结合附图进一步描述本发明具体实施例及其优点。
本发明的实施例提供了一种整合多种安全认证方式、支持多系统的统一认证方法,可以利用无状态访问令牌,并结合手机OTP令牌、绑定手机MAC地址,从而实现集成多个应用系统统一认证登录的强安全认证。本发明的具体实施例可基于OAuth2.0协议实现。
本发明一个典型的具体实施例包括如下步骤:
步骤一:
系统用户或调用接口的第三方用户通过用户手机向系统方发起以手机号为唯一识别标志的请求授权。
步骤二:
系统方给用户手机发送一个访问许可安全链接。
步骤三:
用户访问此安全链接后,系统方获得用户手机的MAC地址。
步骤四:
系统方向认证服务器提交客户信息,并为用户授权,产生用户名和密码、记录用户手机MAC地址、配置用户手机OTP令牌,并通知用户。
步骤五:
用户出示自己的私有证书(用户名和密码)和手机OTP令牌,来向认证服务器请求一个访问令牌;
步骤六:
认证服务器验证用户的私有证书和手机OTP令牌的有效性,同时验证用户手机MAC地址是否和数据库中保存的用户MAC地址吻合。如果验证有效,进入步骤七;如验证失败,则返回步骤五,要求用户重新提交。
步骤七:
向客户端发送一个访问令牌,访问令牌包括许可的作用域、有效时间和一些其他属性信息。
步骤八:
用户出示访问令牌向系统方服务器请求受保护资源信息;
步骤九:
系统方服务器对访问令牌做出响应和确认,允许用户访问受保护资源信息。
以上步骤完成一套完整的系统安全身份认证流程。该方案可以通过开放的接口,同时应用部署于多个系统,来实现多系统的统一认证管理。
通过无状态访问令牌、手机OTP令牌、MAC地址等多种验证途径,按上述控制流程,经验证,本安全认证方法支持部署在多个系统,实现系统认证统一管理。
本发明对于加强系统账户的安全认证和管理,特别是对资金账户信息、安全管理要求比较高的交易性平台、支付结算平台、电商网站、财务系统等账户身份认证领域具有直接的应用价值。
以上内容是结合具体/优选的实施方式对本发明所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,其还可以对这些已描述的实施方式做出若干替代或变型,而这些替代或变型方式都应当视为属于本发明的保护范围。