一种多因子认证方法及装置与流程

本发明涉及计算机技术领域，尤其涉及一种多因子认证方法及装置。

背景技术：

随着互联网技术的发展以及便携式移动设备的普及，人们越来越习惯通过网上支付平台向商家付款。在对支付密码进行设置时，复杂的密码虽然会提高资金的安全性，但用户很容易忘记，密码找回又需要经过复杂的流程，造成支付的不便捷；而简单的密码，虽然容易记忆，但会为用户的资金安全埋下极大的隐患。

考虑到上述问题，双因子认证方法应运而生。在网上支付平台上采用双因子认证方法，用户需要通过两种或两种以上的验证方式后才可以进行登陆、支付或密码修改等操作。例如，用户在进行支付或密码修改时，在输入了正确的密码时，还需要提供向注册账户时预留的手机号发送的手机验证码，二者均验证正确后网上支付平台才会完成支付操作。

但是，现有的双因子支付仍然存在安全隐患问题。若采用密码加手机验证码的方式进行网上支付平台的支付操作，会使手机验证码和用户的密码融为一体，一旦用户的手机验证码被拦截窃取，不法分子就可以通过手机验证码，破解用户的支付账号和密码，转移用户互联网金融账户的资金，影响用户的资金安全。也就是说，不法分子只要掌握了用户的手机短信验证码，就完全可以以用户的身份进行资金转账等操作。

技术实现要素：

有鉴于此，本发明提供了一种多因子认证方法及装置，能够解决现有双因子认证时存在的账户安全隐患问题。

本发明实施例提供的一种多因子认证方法，包括：

接收用户发送的操作请求，所述操作请求携带所述用户的识别信息；

根据所述识别信息，获取所述用户预置的X个预置认证因子，X为大于或等于2的整数；

显示Y个待选认证因子的标识，Y为大于X的整数，所述Y个待选认证因子包括所述X个预置认证因子；

当接收到所述用户发送的认证因子选择通知时，判断所述认证因子选择通知携带的Z个录入认证因子标识是否与所述X个预置认证因子的标识相同，所述Z个录入认证因子标识由所述用户从显示的标识中选出，Z为大于1的整数，且Z小于或等于Y；

若所述Z个录入认证因子标识与所述X个预置认证因子的标识全部相同，则发送认证因子输入通知，所述认证因子输入通知携带所述Z个录入认证因子标识；

当接收到所述用户发送的认证因子验证请求时，判断所述X个预置认证因子是否包括所述认证因子验证请求携带的M个录入认证因子，所述M个录入认证因子由所述用户对应所述Z个录入认证因子标识输入，M为大于1的整数，且M小于或等于Y；

若所述X个预置认证因子包括所述M个录入认证因子，则执行所述操作请求。

可选的，所述判断所述认证因子选择通知携带的Z个录入认证因子标识是否与所述X个预置认证因子的标识相同，之后还包括：

若所述Z个录入认证因子标识与所述X个预置认证因子的标识存在不同，则拒绝所述操作请求。

可选的，所述X为大于2的整数。

可选的，所述接收用户发送的操作请求，之前还包括：

接收所述用户的注册录入请求，所述注册录入请求携带所述用户的识别信息；

发送认证注册通知至所述用户，以使所述用户录入对应的认证因子，所述认证注册通知携带N个注册认证因子标识，N为大于或等于X的整数；

当接收到所述用户发送的认证因子存储请求时，根据所述认证因子存储请求携带的由所述用户录入的认证因子，获得所述用户的认证因子数据；

其中，所述认证因子存储请求携带所述X个预置认证因子，所述X个预置认证因子由所述用户对应所述N个注册认证因子标识录入，所述认证因子数据包括所述X个预置认证因子和所述用户的识别信息。

可选的，所述Y个待选认证因子，包括密码、指纹、人脸、声音、静脉、虹膜、手机验证、邮箱验证、安全问题、身份证号、护照号和数字证书中任意Y个。

本发明实施例提供的一种多因子认证装置，包括：

接收模块，用于接收用户发送的操作请求，所述操作请求携带所述用户的识别信息；还用于接收所述用户发送的认证因子选择通知；还用于接收所述用户发送的认证因子验证请求；

获取模块，用于根据所述识别信息，获取所述用户预置的X个预置认证因子，X为大于或等于2的整数；

显示模块，用于显示Y个待选认证因子的标识，Y为大于X的整数，所述Y个待选认证因子包括所述X个预置认证因子；

第一判断模块，用于当所述接收模块接收到所述用户发送的认证因子选择通知时，判断所述认证因子选择通知携带的Z个录入认证因子标识是否与所述X个预置认证因子的标识相同，所述Z个录入认证因子标识由所述用户从显示的标识中选出，Z为大于1的整数，且Z小于或等于Y；

发送模块，用于当所述第一判断模块判断所述Z个录入认证因子标识与所述X个预置认证因子的标识全部相同时，发送认证因子输入通知，所述认证因子输入通知携带所述Z个录入认证因子标识；

第二判断模块，用于当所述接收模块接收到所述用户发送的认证因子验证请求时，判断所述X个预置认证因子是否包括所述认证因子验证请求携带的M个录入认证因子，所述M个录入认证因子由所述用户对应所述Z个录入因子标识输入，M为大于1的整数，且M小于或等于Y；

处理模块，用于当所述第二判断模块判断所述X个预置认证因子包括所述M个录入认证因子时，执行所述操作请求。

可选的，所述处理模块，还用于当所述第一判断模块判断所述Z个录入认证因子标识与所述X个预置认证因子的标识存在不同时，拒绝所述操作请求。

可选的，所述X为大于2的整数。

可选的，还包括：注册模块；

所述接收模块，还用于接收所述用户的注册录入请求，所述注册录入请求携带所述用户的识别信息；还用于接收所述用户发送的认证因子存储请求；

所述发送模块，还用于发送认证注册通知至所述用户，以使所述用户录入对应的认证因子，所述认证注册通知携带N个注册认证因子标识，N为大于或等于X的整数；

所述注册模块，用于当所述接收模块接收到所述用户发送的认证因子存储请求时，根据所述认证因子存储请求携带的由所述用户录入的认证因子，获得所述用户的认证因子数据；

其中，所述认证因子存储请求携带所述X个预置认证因子，所述X个预置认证因子由所述用户对应所述N个注册认证因子标识录入，所述认证因子数据包括所述X个预置认证因子和所述用户的识别信息。

可选的，所述Y个待选认证因子，包括密码、指纹、人脸、声音、静脉、虹膜、手机验证、邮箱验证、安全问题、身份证号、护照号和数字证书中任意Y个。

与现有技术相比，本发明至少具有以下优点：

本发明实施例提供的多因子认证方法及装置，在用户请求执行操作时，需用户先通过认证，才执行相应的操作。具体认证时，首先获取用户预置的多个认证因子，再显示多个认证方法供用户选择输入，该多个认证方式不仅包括用户预置的认证因子，还包括其他非用户预置的认证因子。用户从中选出全部预置的认证因子，并根据指示逐一对选出的认证因子进行输入。只有在用户选择输入的认证因子与该用户预置的认证因子相同，且用户录入的认证因子正确时，才能够通过认证，执行操作请求；反之，则认证失败，拒绝用户的操作请求。如此可知，本发明实施例的操作认证过程，不仅需要从多个认证方式中将正确的认证方式全部选出，还需要输入正确的认证内容，避免了正确的认证内容被窃取时账户的安全隐患问题。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1为本发明实施例提供的一种多因子认证方法的流程示意图；

图2为本发明实施例提供的另一种多因子认证方法的流程示意图；

图3为本发明实施例提供的一种多因子认证装置的结构示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

现有的密码加手机验证码的操作认证方式，使个人的账号密码和验证码成为一体，使“双因子认证”变成了“单因子认证”，致使支付的安全性降低。一旦用户的手机中被植入木马病毒，用户短信、手机银行、支付宝账号等个人隐私信息就可以被不法分子窃取。不法分子通过用户手机中的个人隐私信息，可以取消数字证书等设置。并且通过手机中的木马病毒，还可以拦截和屏蔽用户的手机短信，盗取手机支付确认验证码，从而可以破解用户的支付账号和密码，转移用户互联网金融账户的资金。也就是说，不法分子只要掌握了用户的手机短信验证码，就完全可以以用户的身份进行资金转账等操作。

为此，本发明实施例提供的多因子认证方法及装置，采用随机双盲因子认证方式，在接收到用户的操作请求时，根据用户在注册时预留的或后期合法修改的多个认证方式，提供多个认证方式供用户选择，提供的多个认证方式不仅包括用户在注册时预留的或后期合法修改的多个认证方式，还包括非用户预置的认证方式。若用户选择的认证方式与其预置的认证方式完全一致，则使用户输入相应的认证因子输入。只有当用户选择的认证方式以及输入的认证因子均正确时，才执行用户的操作请求。当用户选择的认证方式与其预置的认证方式不完全一致，或者，用户输入的认证因子下错误时，拒绝的操作请求。如此，在用户的手机短信验证码泄露时，仍然可以通过认证方式的选择保护其账户安全，避免账户出现安全隐患问题。

基于上述思想，为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图对本发明的具体实施方式做详细的说明。

方法实施例：

参见图1，该图为本发明实施例提供的一种多因子认证方法的流程示意图。

本实施例提供的多因子认证方法，可以应用于网上支付平台系统，用于对用户的操作进行认证，下面均以网上支付平台系统为例说明。当然，本实施例提供的多因子认证方法还可以应用于其他需操作认证的系统，这里不再一一列举。

本实施例提供的多因子认证方法具体可以包括以下步骤S101-S107。

S101：接收用户发送的操作请求，操作请求携带用户的识别信息。

在本实施例中，操作请求包括但不限于以下几种：登陆、支付、转账、银行卡绑定和个人信息修改。用户的识别信息可以是用户的登录账号、身份证号、手机号或邮箱号等，还可以是用户请求该操作发送所使用的设备标识等，这里不再一一列举。

S102：根据用户的识别信息，获取用户预置的X个预置认证因子，X为大于或等于2的整数。

需要说明的是，用户预置的X个预置认证因子是用户在注册时根据指示预留的认证因子。认证因子可以是用户设置的密码、指纹、人脸信息和声音信息等。

在实际操作中，用户在使用网上支付平台前，需要在该网上支付平台上申请注册。用户注册时，除了填写必要的身份信息和支付信息以外，还必须预留登录和支付的认证因子。网上支付平台需提供多种认证方式供用户选择录入，用户至少需要从提供的认证方式中选出两种用于登录或支付时的验证，以保证用户的账户安全。用户对选出的认证方式进行逐一录入确定，即可得到用户预置的X个预置认证因子。

作为一个示例，网上支付平台需提供多种认证方式可以包括：密码验证、指纹验证、人脸验证、声音验证、静脉验证、虹膜验证、手机验证、邮箱验证、安全问题验证、身份证号验证、护照号验证和数字证书验证。

这里需要说明的是，为了进一步的提高用户的账户安全，在本实施例优选的实施方案中，用户注册时需选择至少3种认证方式进行录入，即X为大于2的整数。

S103：显示Y个待选认证因子的标识，Y为大于X的整数，Y个待选认证因子包括X个预置认证因子。

在本实施例中，Y个待选认证因子的标识是网上支付平台预先设置的可以提供给用户进行认证的多种认证方式，其中包括用户预先选择并录入的全部认证方式。

在实际操作中，用户在网上支付平台进行登录、付款、转账或银行卡绑定等操作时，网上支付平台显示多种认证方式(即，待选认证因子的标识)供用户从中选出注册时预留的认证方式，以对用户的身份进行第一次验证。例如，用户预留的认证方式为指纹、密码和人脸时，网上支付平台显示密码、指纹、手机验证码、安全问题、人脸和声音供用户选择。

作为一个示例，Y个待选认证因子可以包括密码、指纹、人脸、声音、静脉、虹膜、手机验证、邮箱验证、安全问题、身份证号、护照号和数字证书中的任意Y个。

S104：当接收到用户发送的认证因子选择通知时，判断认证因子选择通知携带的Z个录入认证因子标识是否与X个预置认证因子的标识相同，Z个录入认证因子标识由用户从显示的标识中选出，Z为大于1的整数，且Z小于或等于Y。

S105：若Z个录入认证因子标识与X个预置认证因子的标识全部相同，则发送认证因子输入通知，认证因子输入通知携带Z个录入认证因子标识。

认证因子选择通知携带有用户从网上支付平台系统提供的多种认证方式中选出的注册时预留的认证方式。若用户准确的选出全部预留的认证方式，则用户通过第一次验证，再指示用户输入相应的认证因子进行第二次认证。

例如，用户预留的认证方式为指纹、密码和人脸，而网上支付平台显示密码、指纹、手机验证码、安全问题、人脸和声音供用户选择时，用户需准确的选出指纹、密码和人脸才能通过网上支付平台的第一次验证。

若用户选出的认证方式错误或未选出预留的认证方式，则说明用户的身份存疑，未通过第一次验证，网上支付平台即拒绝用户的操作请求，以保护用户的账户安全。如此，即使用户的手机验证码被窃取，也可以通过对认证方式的选择来防止非法人员对用户账户的非法操作，保证用户的账户资金安全。

如此，在本实施例优选的实施方案中，步骤S104之后，若Z个录入认证因子标识与X个预置认证因子的标识存在不同，则执行以下步骤S108：拒绝操作请求。

S106：当接收到用户发送的认证因子验证请求时，判断X个预置认证因子是否包括认证因子验证请求携带的M个录入认证因子，M个录入认证因子由用户对应Z个录入认证因子标识输入，M为大于1的整数，且M小于或等于Y。

在本实施例中，当用户通过第一次验证时，用户还需要输入相应的认证因子进行第二次验证。认证因子验证请求中携带了用户对认证因子进行的输入。为了保证账户安全，用户需要输入至少2种认证因子进行验证。

在实际操作中，用户可以预留不少于2种认证方式以保护其账户安全，但是每次操作时，对全部预留的认证方式进行录入，会导致认证过程复杂、操作效率低的问题，为此，在本实施例优选的实施方案中，用户可以从预留的认证方式中任意选择至少两种进行认证因子的输入。

S107：若X个预置认证因子包括M个录入认证因子，则执行操作请求。

可以理解的是，若用户输入的认证因子与预留的认证因子均相同，例如用户输入的密码和指纹与预留的均相同，则用户通过第二次验证，网上支付平台处理用户的操作请求。若用户输入的认证因子与预留的认证因子存在不同，则第二次验证失败，执行步骤S108，网上支付平台系统拒绝用户的操作请求以保护用户的账户安全。

本实施例提供的多因子认证方法，在用户请求执行操作时，需用户先通过认证，才执行相应的操作。具体认证时，首先获取用户预置的多个认证因子，再显示多个认证方法供用户选择输入，该多个认证方式不仅包括用户预置的认证因子，还包括其他非用户预置的认证因子。用户从中选出全部预置的认证因子，并根据指示逐一对选出的认证因子进行输入。只有在用户选择输入的认证因子与该用户预置的认证因子相同，且用户录入的认证因子正确时，才能够通过认证，执行操作请求；反之，则认证失败，拒绝用户的操作请求。如此可知，本实施例的操作认证过程，不仅需要从多个认证方式中将正确的认证方式全部选出，还需要输入正确的认证内容，避免了正确的认证内容被窃取时账户的安全隐患问题。

在本实施例一些可能的实现方式中，参见图2，步骤S101之前还可以包括用户在网上支付平台注册时录入认证因子的过程，具体包括以下步骤S201-S203：

S201：接收用户的注册录入请求，注册录入请求携带用户的识别信息。

用户注册时，除了填写必要的身份信息和支付信息以外，还必须预留登录和支付的认证因子。用户录入的认证因子与其识别信息对应。

S202：发送认证注册通知至用户，以使用户录入对应的认证因子，认证注册通知携带N个注册认证因子标识，N为大于或等于X的整数。

为了保证用户账户安全，网上支付平台需提供多种认证方式供用户选择录入，即，认证注册通知携带了多个注册认证因子标识(认证方式)。

S203：当接收到用户发送的认证因子存储请求时，根据认证因子存储请求携带的由用户录入的认证因子，获得用户的认证因子数据。

其中，认证因子存储请求携带X个预置认证因子，X个预置认证因子由用户对应N个注册认证因子标识录入，认证因子数据包括X个预置认证因子和用户的识别信息。

用户从上支付平台提供的多种认证方式中选择至少两种认证方式并录入对应的认证因子(即X个预置认证因子)作为操作时的验证依据。用户录入的认证因子和其识别信息对应保存，以用于后续对该用户操作的认证。

通过上述步骤S201-S203，即可得到用户预留的认证因子，在用户的后续操作过程中，以用户预留的认证因子为依据，先指示用户选出全部预留的认证方式，再指示用户输入正确的认证因子，在认证因子被窃取的情况下，仍然可以保证用户的账户不受侵害，保证用户的账户安全。

基于上述实施例提供的多因子认证方法，本发明实施例还提供了一种多因子认证装置。

装置实施例：

参见图3，该图为本发明实施例提供的一种多因子认证装置的结构示意图。

本实施例提供的多因子认证装置，包括：接收模块100、获取模块200、显示模块300、第一判断模块401、第二判断模块402和发送模块500、处理模块600。

接收模块100，用于接收用户发送的操作请求，操作请求携带用户的识别信息；还用于接收用户发送的认证因子选择通知；还用于接收用户发送的认证因子验证请求。

获取模块200，用于根据识别信息，获取用户预置的X个预置认证因子，X为大于或等于2的整数。

在一个例子中，X为大于2的整数。

显示模块300，用于显示Y个待选认证因子的标识，Y为大于X的整数，Y个待选认证因子包括X个预置认证因子；

作为一个示例，Y个待选认证因子，可以包括密码、指纹、人脸、声音、静脉、虹膜、手机验证、邮箱验证、安全问题、身份证号、护照号和数字证书中的任意Y个。

第一判断模块401，用于当接收模块100接收到用户发送的认证因子选择通知时，判断认证因子选择通知携带的Z个录入认证因子标识是否与X个预置认证因子的标识相同，Z个录入认证因子标识由用户从显示的标识中选出，Z为大于1的整数，且Z小于或等于Y。

发送模块500，用于当第一判断模块401判断Z个录入认证因子标识与X个预置认证因子的标识全部相同时，发送认证因子输入通知，认证因子输入通知携带Z个录入认证因子标识。

第二判断模块402，用于当接收模块100接收到用户发送的认证因子验证请求时，判断X个预置认证因子是否包括认证因子验证请求携带的M个录入认证因子，M个录入认证因子由用户对应Z个录入因子标识输入，M为大于1的整数，且M小于或等于Y。

处理模块600，用于当第二判断模块402判断X个预置认证因子包括M个录入认证因子时，执行操作请求。

在本实施例一些可能的实现方式中，处理模块600，还用于当第一判断模块401判断Z个录入认证因子标识与X个预置认证因子的标识存在不同时，拒绝操作请求。

在本实施例一些可能的实现方式中，多因子认证装置还可以包括：注册模块；

接收模块100，还用于接收用户的注册录入请求，注册录入请求携带用户的识别信息；还用于接收用户发送的认证因子存储请求。

发送模块500，还用于发送认证注册通知至用户，以使用户录入对应的认证因子，认证注册通知携带N个注册认证因子标识，N为大于或等于X的整数。

注册模块，用于当接收模块100接收到用户发送的认证因子存储请求时，根据认证因子存储请求携带的由用户录入的认证因子，获得用户的认证因子数据。

其中，认证因子存储请求携带X个预置认证因子，X个预置认证因子由用户对应N个注册认证因子标识录入，认证因子数据包括X个预置认证因子和用户的识别信息。

本实施例提供的多因子认证装置，在用户请求执行操作时，需用户先通过认证，才执行相应的操作。具体认证时，首先获取用户预置的多个认证因子，再显示多个认证方法供用户选择输入，该多个认证方式不仅包括用户预置的认证因子，还包括其他非用户预置的认证因子。用户从中选出全部预置的认证因子，并根据指示逐一对选出的认证因子进行输入。只有在用户选择输入的认证因子与该用户预置的认证因子相同，且用户录入的认证因子正确时，才能够通过认证，执行操作请求；反之，则认证失败，拒绝用户的操作请求。如此可知，本实施例的操作认证过程，不仅需要从多个认证方式中将正确的认证方式全部选出，还需要输入正确的认证内容，避免了正确的认证内容被窃取时账户的安全隐患问题。

需要说明的是，本说明书中，对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。

以上，仅是本发明的较佳实施例而已，并非对本发明作任何形式上的限制。虽然本发明已以较佳实施例揭露如上，然而并非用以限定本发明。任何熟悉本领域的技术人员，在不脱离本发明技术方案范围情况下，都可利用上述揭示的方法和技术内容对本发明技术方案做出许多可能的变动和修饰，或修改为等同变化的等效实施例。因此，凡是未脱离本发明技术方案的内容，依据本发明的技术实质对以上实施例所做的任何简单修改、等同变化及修饰，均仍属于本发明技术方案保护的范围内。