一种安全认证的方法、装置及系统与流程

本发明涉及安全认证领域，特别是涉及一种安全认证的方法、装置及系统。

背景技术：

随着企业业务的不断发展，对企业信息的管理提出了新的挑战。为保障系统的安全正常使用和信息的一致性，需要将分散的用户信息进行统一管理，LDAP是首选的用户管理工具。

LDAP(Lightweight Directory Access Protocol)是轻量目录访问协议。LDAP与Linux系统的集成，可以用来管理企业的Linux系统的用户。LDAP统一管理企业的所有用户，能够快速构建出符合企业自身用户信息管理的需求，消除系统间用户的信息孤岛，实现人员集中管理和企业各级分散的授权管理。

但是，LDAP在安全认证时，所使用密码的是固定密码，固定密码在安全性上存在很大的问题，例如，存在容易被别人盗取、猜测等问题，进而使得认证的过程安全性较低。如何使得安全认证的安全性较高是本领域亟待解决的问题。

技术实现要素：

本发明的目的是提供一种安全认证的方法、装置及系统，目的在于解决现有使用固定密码认证从而造成安全性较低的问题。

为解决上述技术问题，本发明提供一种安全认证的方法，该方法包括：

获取客户端发送的用户信息、动态口令以及固定密码；

将所述动态口令以及所述用户信息发送至动态口令认证服务器，接收所述动态口令认证服务器返回的根据所述用户信息对所述动态口令进行认证得出的动态口令认证结果；

将所述固定密码与预存储固定密码相比对，判断是否一致；

当所述动态口令认证结果为正确，以及所述固定密码与所述预存储固定密码一致时，生成认证成功信息，将所述认证成功信息返回给所述客户端。

可选地，所述获取客户端发送的用户信息、动态口令以及固定密码包括：

获取所述客户端发送的所述用户信息以及密码；

根据所述固定密码的位数以及所述动态口令的位数，以及所述固定密码与所述动态口令的先后排列顺序，将所述密码拆分为所述固定密码以及所述动态口令。

可选地，所述将所述动态口令以及所述用户信息发送至动态口令认证服务器包括：

从预设地址存储文件中读取所述动态口令认证服务器的网络地址以及认证接口；

根据所述网络地址以及所述认证接口，将所述动态口令以及所述用户信息发送至动态口令认证服务器。

可选地，在所述将所述动态口令以及所述用户信息发送至动态口令认证服务器，接收所述动态口令认证服务器返回的根据所述用户信息对所述动态口令进行认证得出的动态口令认证结果之后还包括：

当所述动态口令认证结果为错误时，生成认证失败信息，将所述认证失败信息返回给所述客户端。

可选地，在所述将所述动态口令以及所述用户信息发送至动态口令认证服务器，接收所述动态口令认证服务器返回的根据所述用户信息对所述动态口令进行认证得出的动态口令认证结果之后还包括：

当所述动态口令认证结果为正确，所述固定密码与所述预存储固定密码不一致时，生成认证失败信息，将所述认证失败信息返回给所述客户端。

此外，本发明还提供了一种安全认证的装置，该装置包括：

获取模块，用于获取客户端发送的用户信息、动态口令以及固定密码；

发送接收模块，用于将所述动态口令以及所述用户信息发送至动态口令认证服务器，接收所述动态口令认证服务器返回的根据所述用户信息对所述动态口令进行认证得出的动态口令认证结果；

比对模块，用于将所述固定密码与预存储固定密码相比对，判断是否一致；

生成发送模块，用于当所述动态口令认证结果为正确，以及所述固定密码与所述预存储固定密码一致时，生成认证成功信息，将所述认证成功信息返回给所述客户端。

可选地，所述发送接收模块包括：

获取单元，用于获取所述客户端发送的所述用户信息以及密码；

拆分单元，用于根据所述固定密码的位数以及所述动态口令的位数，以及所述固定密码与所述动态口令的先后排列顺序，将所述密码拆分为所述固定密码以及所述动态口令。

可选地，所述发送接收模块包括：

读取单元，用于从预设地址存储文件中读取所述动态口令认证服务器的网络地址以及认证接口；

发送单元，用于根据所述网络地址以及所述认证接口，将所述动态口令以及所述用户信息发送至动态口令认证服务器。

可选地，还包括：

认证失败发送模块，用于当所述动态口令认证结果为错误时，生成认证失败信息，将所述认证失败信息返回给所述客户端。

此外，本发明还提供了一种安全认证的系统，该系统包括：

客户端，用于获取用户信息、动态口令以及固定密码，将所述用户信息、所述动态口令以及所述固定密码发送至LDAP服务器；

所述LDAP服务器，用于获取所述客户端发送的所述用户信息、所述动态口令以及所述固定密码；将所述动态口令以及所述用户信息发送至动态口令认证服务器，接收所述动态口令认证服务器返回的根据所述用户信息对所述动态口令进行认证得出的动态口令认证结果；将所述固定密码与预存储固定密码相比对，判断是否一致；当所述动态口令认证结果为正确，以及所述固定密码与所述预存储固定密码一致时，生成认证成功信息，将所述认证成功信息返回给所述客户端；

所述动态口令认证服务器，用于接收所述动态口令，判断所述动态口令是否正确，得出所述动态口令认证结果，将所述动态口令认证结果发送至所述LDAP服务器。

本发明所提供的一种安全认证的方法、装置及系统，获取客户端发送的用户信息、动态口令以及固定密码；将动态口令以及用户信息发送至动态口令认证服务器，接收动态口令认证服务器返回的根据用户信息对所述动态口令进行认证得出的动态口令认证结果；将固定密码与预存储固定密码相比对，判断是否一致；当动态口令认证结果为正确，以及固定密码与所述预存储固定密码一致时，生成认证成功信息，将认证成功信息返回给客户端。获取动态口令以及固定密码，即在固定密码认证的基础上，增加动态口令认证，相较于单一的固定密码认证，其安全性更高。将动态口令单独地发送至动态口令认证服务器进行认证，当且仅当动态口令以及固定密码均正确时，认证才成功。可见，本申请基于动态口令以及固定密码进行安全认证，有利于提高认证的安全性。

附图说明

为了更清楚的说明本发明实施例或现有技术的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例所提供的安全认证方法的一种具体实施方式的流程示意图；

图2为本发明实施例所提供的安全认证方法的另一种具体实施方式的流程示意图；

图3为本发明实施例提供的安全认证装置的结构示意框图；

图4为本发明实施例提供的安全认证系统的结构示意框图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面结合附图和具体实施方式对本发明作进一步的详细说明。显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

请参见图1，图1为本发明实施例所提供的安全认证方法的一种具体实施方式的流程示意图，该方法包括：

步骤101：获取客户端发送的用户信息、动态口令以及固定密码；

需要说明的是，上述用户信息、动态口令以及固定密码为用户登录客户端时的安全认证信息，即用户登录客户端的用户信息、动态口令以及固定密码。上述用户信息可以为用户的登录名，登录名可以为由汉字组成，例如，张三；也可以单独由多位数字组成，其数字位数可以为任意数值，例如，登录名可以由任意的6位数字组成；也可以由英文字母和数字组成，即登录名由若干个英文字母以及若干个数字组成，其英文字母可以为大写字母，或者是小写字母，亦或者是大写字母以及小写字母混合组成，而英文字母与数字的比例可以为任意，即英文字母的个数以及数字的个数可以为任意。显而易见地，登录名的组成并不限于上述所提及的。当然，上述用户信息还可以包括登录名以外的信息。

上述固定密码可以由汉字组成；也可以单独由多位数字组成，其数字位数可以为任意数值，例如，由任意的6位数字组成；也可以由英文字母和数字组成。当然，上述固定密码的组成还可以为其它，在此不一一列举。

上述动态口令可以是指动态密码，其可以由多位数字组成，其位数可以是任意地，例如，由任意8位数字组成；也可以是由英文字母和数字组成。当然，上述动态口令的组成还可以为其它，在此不一一列举。

可以理解的是，上述动态口令可以由动态口令令牌产生的，动态口令令牌可以具体表现为动态口令卡，动态口令卡可以为硬件口令卡，该口令卡上有多个数字组成的动态口令，每隔一段时间，所显示的数字会作相应的变动；动态口令令牌还可以具体表现为软件的口令卡，即通过运行动态口令软件，以产生用于安全认证的口令。例如，可以为手机令牌，即在手机上运行动态口令软件，每隔一段时间，所显示的数字会作相应的变动。当然，动态口令的产生方式还可以为其它方式，在此不作限定。

用户信息、固定密码以及动态口令均是由客户端发送来的，故客户端需要获取用户信息、固定密码以及动态口令。用户信息、固定密码以及动态口令可以由用户输入，即用户可以在登录界面的相应位置输入用户信息、固定密码以及动态口令。当然，用户信息、固定密码以及动态口令的还可以由其它方式生成，在此不作限定。

固定密码和动态口令也可以不处于同一个输入位置，即固定密码和动态口令是分开的，例如，当用户信息、固定密码以及动态口令为用户输入生成时，用户可以在登录界面的登录名项输入用户名，在密码项输入固定密码，在动态口令项输入动态口令，即动态口令与固定密码处于不同的输入框，也即密码只为固定密码，动态口令为单独输入。此时，客户端将固定密码和动态口令分开单独发送。

固定密码和动态口令可以处于同一个输入位置，即固定密码和动态口令不是分开的。例如，当用户信息、固定密码以及动态口令为用户输入生成时，用户可以在登录界面的登录名项输入用户名，在密码项输入固定密码和动态口令，即密码由固定密码和动态口令组成。此时，客户端获取到用户登录名和密码，密码有固定密码和动态口令组成。可以理解的是，固定密码和动态口令的先后顺序可以为任意，例如，可以是固定密码在前，动态口令在后，即用户先输入固定密码，后输入动态口令。而固定密码和动态口令的位数可以是任意的，例如，可以设定固定密码的位数为8位，动态口令的位数为6位。

当固定密码和动态口令不是单独存在时，即密码由固定密码和动态口令组成，此时，客户端发送的是用户信息和密码。在接收到密码后，需要对密码进行拆分，得出固定密码和动态口令。

故在本发明的一些实施例中，其过程可以具体为：获取所述客户端发送的所述用户信息以及密码；根据所述固定密码的位数以及所述动态口令的位数，以及所述固定密码与所述动态口令的先后排列顺序，将所述密码拆分为所述固定密码以及所述动态口令。由于固定密码的位数以及动态口令的位数是预先设定好的，而固定密码和动态口令的先后顺序也是预先设定好的，故在接收到密码后，可以根据预先设定好的规则拆分密码，得出固定密码和动态口令。例如，预设约定固定密码为8位，动态口令为6位，固定密码在前，动态口令在后；在接收到密码后，从密码的第8位处进行数据拆解，将前8位和后6位分开，得出相应的固定密码和动态口令。

上述客户端可以为用户想要的登录的系统，例如，系统为Linux系统，客户端可以具体表现为Linux服务器。当然，上述客户端还可以为其它类型，在此不作限定。

步骤102：将所述动态口令以及所述用户信息发送至动态口令认证服务器，接收所述动态口令认证服务器返回的根据所述用户信息对所述动态口令进行认证得出的动态口令认证结果；

具体地，将动态口令和用户信息发送至动态口令认证服务器，动态口令认证服务器可以根据用户信息查找到相应的动态口令，然后进行比对，判断是否一致，若一致，则判断当前动态口令正确，返回正确的动态口令认证结果；若不一致，则判断当前动态口令错误，返回错误的动态口令认证结果。

需要说明的是，动态口令认证服务器的数据库中存储有不同用户的动态口令的原始标志符，动态口令的产生一般是基于初始标志符，通过一定的变化规律进行相应变动而产生的。当动态口令认证服务器接收到用户信息和动态口令时，根据用户信息在数据库中查找对应的初始标志符，然后进行相应的变动，得到动态口令，最后将变动产生的动态口令与接收到的动态口令进行比对，查看是否一致，当一致时，则判断当前动态口令正确，当不一致时，则判断当前动态口令不正确。例如，当用户信息为张三时，动态口令认证服务器根据张三查找数据库，数据库预先存储有用户信息以及对应的初始标志符，然后在对查找到的初始标志符进行变动，得出动态口令，再进行比对判断，得出认证结果。

由于需要将所述动态口令以及所述用户信息发送至动态口令认证服务器，故需要知道动态口令认证服务器的网络地址等信息，在本发明的一些实施例中，其过程可以具体为：从预设地址存储文件中读取所述动态口令认证服务器的网络地址以及认证接口；根据所述网络地址以及所述认证接口，将所述动态口令以及所述用户信息发送至动态口令认证服务器。可以从配置文件即预设地址存储文件中，读取到所需的地址信息，根据地址信息发送相关信息至动态口令认证服务器。

步骤103：将所述固定密码与预存储固定密码相比对，判断是否一致；

需要说明的是，判断固定密码的正确与否可以是在接收到动态口令认证服务器返回的认证结果后才进行，也可以在接收到固定密码时就开始比对，即固定密码的比对判断与动态口令的比对判断没有严格的先后顺序。

可以理解的是，预存储固定密码可以存储在数据库内，可以根据用户信息从数据库中读取到相应的预存储固定密码，然后与接收到的固定密码进行比对，判断是否一致。显而易见地，此处的数据库和上文提到的数据库可以是同一个，也可以是不同的数据库，即预存储固定密码和动态口令信息可以存储在同一个数据库，也可以存储在不同的数据库，在此不作限定。

步骤104：当所述动态口令认证结果为正确，以及所述固定密码与所述预存储固定密码一致时，生成认证成功信息，将所述认证成功信息返回给所述客户端。

需要说明的是，只有当动态口令认证正确，以及固定密码的认证也正确时，才判断出认证成功，生成认证成功信息，将认证成功信息返回客户端，以使用户可以登录到相应的系统。例如，Linux系统。

为了提高认证效率，可以设定当动态口令认证错误或者是固定口令认证错误时，则认证失败，返回认证失败信息。

故在本发明的一些实施例中，其过程可以具体为：当所述动态口令认证结果为错误时，生成认证失败信息，将所述认证失败信息返回给所述客户端。接收动态口令认证服务器返回的动态口令认证结果，当为错误时，不用管固定密码判断结果正确与否，直接可以判断认证失败。

显而易见地，也可以设定当固定密码认证错误时，不用管动态口令认证结果的正确与否，可以直接判断认证失败。

为了更好地进行安全认证，可以设定固定密码比对和动态口令比对的先后顺序。可以设定先进行动态口令比对，根据动态口令比对的结果，确定是否进行固定密码的比对。

故在本发明的一些实施例中，其过程可以具体为：当所述动态口令认证结果为正确，所述固定密码与所述预存储固定密码不一致时，生成认证失败信息，将所述认证失败信息返回给所述客户端。当动态口令认证结果为正确时，继续进行固定密码比对，判断出固定密码错误时，则可以生成认证失败信息。

本发明实施例所提供的安全认证的方法，获取动态口令以及固定密码，即在固定密码认证的基础上，增加动态口令认证，相较于单一的固定密码认证，其安全性更高。将动态口令单独地发送至动态口令认证服务器进行认证，当且仅当动态口令以及固定密码均正确时，认证才成功。可见，该方法基于动态口令以及固定密码进行安全认证，有利于提高认证的安全性。

为了更好地介绍本发明实例提供的安全认证方法，下面将LDAP服务器上的处理流程进行介绍。

请参见图2，图2为本发明实施例所提供的安全认证方法的另一种具体实施方式的流程示意图，该方法可以包括：

步骤201：接收客户端发送的用户名和密码；

需要说明的是，客户端可以是指用户所需登录的系统对应的服务器，例如，当使用的Linux操作系统时，上述客户端为Linux服务器。而用户名和密码具体可以参见上文相应内容，在此不再赘述。

步骤202：将密码拆分为固定密码和动态口令；

具体地，根据预先设定的固定密码的位数以及动态口令的位数，固定密码和动态口令的先后顺序，将接收到的密码拆分为固定密码和动态口令，具体操作可以参见上文相应内容，在此不再赘述。

步骤203：将动态口令发送至动态口令认证服务器，以使动态口令认证服务器对动态口令进行认证；

需要说明的是，动态口令的认证过程可以参见上文相应内容，在此不再赘述。

步骤204：接收动态口令认证服务器返回的动态口令认证结果；

步骤205：判断动态口令认证结果是否正确，若正确，则进而步骤206，若不正确，则返回给客户端登录失败信息；

步骤206：判断固定密码是否正确，若正确，则返回登录成功信息，若不正确，则返回给客户端登录失败信息。

本发明实施例所提供的安全认证的方法，在固定密码认证的基础上，增加动态口令认证，相较于单一的固定密码认证，其安全性更高。将动态口令单独地发送至动态口令认证服务器进行认证，当且仅当动态口令以及固定密码均正确时，认证才成功。基于动态口令以及固定密码进行安全认证，有利于提高安全认证的安全性。

下面对本发明实施例提供的安全认证装置进行介绍，下文描述的安全认证装置与上文描述的安全认证方法可相互对应参照。

图3为本发明实施例提供的安全认证装置的结构示意框图，参照图3安全认证装置可以包括：

获取模块201，用于获取客户端发送的用户信息、动态口令以及固定密码；

发送接收模块302，用于将所述动态口令以及所述用户信息发送至动态口令认证服务器，接收所述动态口令认证服务器返回的根据所述用户信息对所述动态口令进行认证得出的动态口令认证结果；

比对模块303，用于将所述固定密码与预存储固定密码相比对，判断是否一致；

生成发送模块304，用于当所述动态口令认证结果为正确，以及所述固定密码与所述预存储固定密码一致时，生成认证成功信息，将所述认证成功信息返回给所述客户端。

需要说明的是，上述装置可以具体表现为LDAP服务器，LDAP服务器可以接受客户端发送来的安全认证信息，包括用户信息、固定密码以及动态口令。将动态口令发送至动态口令认证服务器进行认证，将固定密码进行比对，接受动态口令认证服务器返回的动态认证结果，最后得出最终的安全认证结果。

可选地，所述发送接收模块包括：

获取单元，用于获取所述客户端发送的所述用户信息以及密码；

拆分单元，用于根据所述固定密码的位数以及所述动态口令的位数，以及所述固定密码与所述动态口令的先后排列顺序，将所述密码拆分为所述固定密码以及所述动态口令。

可选地，所述发送接收模块包括：

读取单元，用于从预设地址存储文件中读取所述动态口令认证服务器的网络地址以及认证接口；

发送单元，用于根据所述网络地址以及所述认证接口，将所述动态口令以及所述用户信息发送至动态口令认证服务器。

可选地，还包括：

认证失败发送模块，用于当所述动态口令认证结果为错误时，生成认证失败信息，将所述认证失败信息返回给所述客户端。

本发明实施例所提供的安全认证的装置，该装置通过获取动态口令以及固定密码，即在固定密码认证的基础上，增加动态口令认证，相较于单一的固定密码认证，其安全性更高。将动态口令单独地发送至动态口令认证服务器进行认证，当且仅当动态口令以及固定密码均正确时，认证才成功。可见，该装置基于动态口令以及固定密码进行安全认证，有利于提高认证的安全性。

下面对本发明实施例提供的安全认证系统进行介绍，下文描述的安全认证装置与上文描述的安全认证方法可相互对应参照。

图4为本发明实施例提供的安全认证系统的结构示意框图，该系统可以包括：

客户端401，用于获取用户信息、动态口令以及固定密码，将所述用户信息、所述动态口令以及所述固定密码发送至LDAP服务器；

可以理解的是，上述客户端可以具体表现为Linux系统对应的Linux服务器。

所述LDAP服务器402，用于获取所述客户端发送的所述用户信息、所述动态口令以及所述固定密码；将所述动态口令以及所述用户信息发送至动态口令认证服务器，接收所述动态口令认证服务器返回的根据所述用户信息对所述动态口令进行认证得出的动态口令认证结果；将所述固定密码与预存储固定密码相比对，判断是否一致；当所述动态口令认证结果为正确，以及所述固定密码与所述预存储固定密码一致时，生成认证成功信息，将所述认证成功信息返回给所述客户端；

所述动态口令认证服务器403，用于接收所述动态口令，判断所述动态口令是否正确，得出所述动态口令认证结果，将所述动态口令认证结果发送至所述LDAP服务器。

本发明实施例所提供的安全认证的系统，该系统通过LDAP服务器获取动态口令以及固定密码，即在固定密码认证的基础上，增加动态口令认证，相较于单一的固定密码认证，其安全性更高。LDAP服务器将动态口令单独地发送至动态口令认证服务器进行认证，当且仅当动态口令以及固定密码均正确时，认证才成功。可见，该系统基于动态口令以及固定密码进行安全认证，有利于提高认证的安全性。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。

以上对本发明所提供的安全认证的方法、装置及系统进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以对本发明进行若干改进和修饰，这些改进和修饰也落入本发明权利要求的保护范围内。