一种用户身份验证的方法及装置与流程

本申请涉及计算机系统，特别涉及一种用户身份验证的方法及装置。
背景技术：
：随着计算机系统的不断发展，业务安全性成为了计算机系统首先需要关注的问题。为了避免非本人操作而产生非法交易，现有技术下，计算机系统大规模地使用短信验证码进行用户认证。然而，短信验证码的认证方式，其安全性相对较差，因为通过非法短信网关、手机木马等手段仍然可以获取到短信验证码，从而冒充用户完成业务操作，这样，不但给用户造成了巨大的损失，也对计算机系统的业务安全性造成了重大的威胁。技术实现要素：本申请实施例提供一种用户身份验证的方法及装置，用以提高计算机系统的业务安全性本申请实施例提供的具体技术方案如下：一种用户身份验证的方法，包括：接收第一用户终端基于用户账户发送的业务请求，该业务请求中携带有第一用户终端的方位标识信息；其中，方位标识信息指示用户终端所在区域；确定所述用户账户对应的第二用户终端，并向第二用户终端发送业务提示信息，其中，第二用户终端为与所述用户账户关联的经过安全性认证的用户终端；接收到第二用户终端返回的确认信息时，从所述确认信息中获取第二用户终端的方位标识信息；基于第二用户终端的方位标识信息对第一用户终端的方位标识信息进行安全性验证，确定第一用户终端的方位标识信息通过安全性验证后，处理所述业务请求；其中，所述安全性验证包括：验证第一用户终端的方位标识信息与第二用户终端的方位标识信息一致或对应。可选的，所述方位标识信息包括：无线局域网wifi名称和/或wifimac地址。可选的，通过如下一种或多种方式确定所述第二用户终端经过安全性认证：确定用户账户关联的用户终端已完成设定次数的业务、达到设定的业务额度或在业务完成后的设定时长内未发生告警事件。可选的，在所述确定所述用户账户对应的第二用户终端之后，以及所述在向第二用户终端发送业务提示信息之前，所述方法还包括：确定所述第二用户终端通过身份验证。可选的，通过查找白名单确定第二用户终端通过身份验证；其中，所述白名单记录有用户账户与经过安全性认证的第二用户终端的身份标识信息的对应关系。可选的，所述身份标识信息包括如下一种或多种：国际移动设备标识、国际移动用户识别码或方位标识信息。可选的，所述向第二用户终端发送业务提示信息，包括：检测本地与第二用户终端之间基于socket连接的push通道是否存在，若存在，则通过所述push通道向第二用户终端发送业务提示信息；若不存在，则提示第二用户终端建立所述push通道，并通过所述push通道向第二用户终端发送业务提示信息。可选的，验证第一用户终端的方位标识信息与第二用户终端的方位标识信息对应，包括：根据第二用户终端的方位标识信息获取相应的可信方位标识信息集合，验证第一用户终端的方位标识信息与该可信方位标识信息集合是否匹配。一种用户身份验证方法，应用于第二用户终端，其特征在于，包括：接收服务器发送的业务提示信息，所述业务提示信息是所述服务器在接收到第一用户终端基于用户账户的业务请求后发送的，所述业务请求中携带有第一用户终端的方位标识信息，方位标识信息指示用户终端所在区域；呈现所述业务提示信息并在确定用户确认后，将携带有方位标识信息的确认信息后发送给服务器，以供服务器利用确认信息中的第二用户终端的方位标识信息对第一用户终端的方位标识信息进行安全性验证，所述安全性验证包括：验证第二用户终端的方位标识信息与第一用户终端的方位标识信息一致或对应。可选的，在所述接收服务器发送的业务提示信息之前，所述方法还包括：接收服务器的身份标识信息获取请求，向所述服务器发送身份标识信息，以供所述服务器基于所述身份标识信息确定所述第二用户终端通过身份验证。可选的，通过基于socket连接的push通道与所述服务器通信。一种用户身份验证的装置，其特征在于，包括：第一接收单元，用于接收第一用户终端基于用户账户发送的业务请求，该业务请求中携带有第一用户终端的方位标识信息；其中，方位标识信息指示用户终端所在区域；发送单元，用于确定所述用户账户对应的第二用户终端，并向第二用户终端发送业务提示信息，其中，第二用户终端为与所述用户账户关联的经过安全性认证的用户终端；第二接收单元，用于接收到第二用户终端返回的确认信息时，从所述确认信息中获取第二用户终端的方位标识信息；验证单元，用于基于第二用户终端的方位标识信息对第一用户终端的方位标识信息进行安全性验证，确定第一用户终端的方位标识信息通过安全性验证后，处理所述业务请求；其中，所述安全性验证包括：验证第一用户终端的方位标识信息与第二用户终端的方位标识信息一致或对应。可选的，通过如下一种或多种方式确定所述第二用户终端经过安全性认证：确定用户账户关联的用户终端已完成设定次数的业务、达到设定的业务额度或在业务完成后的设定时长内未发生告警事件。可选的，所述验证单元在确定所述用户账户对应的第二用户终端之后，在向第二用户终端发送业务提示信息之前，还用于：确定所述第二用户终端通过身份验证。可选的，所述验证单元，还用于：通过查找白名单确定第二用户终端通过身份验证；其中，所述白名单记录有用户账户与经过安全性认证的第二用户终端的身份标识信息的对应关系。可选的，所述发送单元具体用于：检测本地与第二用户终端之间基于socket连接的push通道是否存在，若存在，则通过所述push通道向第二用户终端发送业务提示信息；若不存在，则提示第二用户终端建立所述push通道，并通过所述push通道向第二用户终端发送业务提示信息。可选的，所述验证单元，具体用于：根据第二用户终端的方位标识信息获取相应的可信方位标识信息集合，验证第一用户终端的方位标识信息与该可信方位标识信息集合是否匹配。附图说明图1为本申请实施例中对用户身份进行验证流程图；图2为本申请实施例中对用户身份进行验证详细流程图；图3为本申请实施例中服务器结构示意图。具体实施方式为了提高计算机系统的业务安全性，本申请实施例中，不再使用原有的短信验证码认证方式，而是通过用户使用的经信誉验证的用户终端，对同一用户使用的未经过信誉验证的用户终端进行认证，从而加强了计算机系统的业务安全性。下面结合附图对本申请优选的实施方式进行详细说明。参阅图1所示，本申请实施例中，计算机系统进行用户身份验证的详细流程如下：步骤100：服务器接收第一用户终端基于用户账户发送的业务请求，该业务请求中携带有第一用户终端的方位标识信息。本申请实施例中，第一用户终端通常为用户使用的个人电脑、笔记本电脑、平板电脑，手机等等。另一方面，第一用户终端的方位标识信息即是用于指示用户终端所在区域的信息，包含但不限于以下内容：网关媒体接入控制(mediumaccesscontrol，mac)地址、网关标识信息、无线局域网(wirelessfidelity，wifi)名称、wifimac地址等等，可以是其中的一种也可以是任意组合。步骤110：服务器确定用户账户对应的第二用户终端，并向第二用户终端发送业务提示信息，其中，第二用户终端为与用户账户关联的经过安全性认证的用户终端。通常情况下，第二用户终端为用户使用的与用户账户绑定的手机。为了对第二用户终端进行安全性认证，用户需要预先使用第二用户终端通过系统预设的测试项目，较佳的，测试项目可以为：完成设定次数的业务，达到设定的业务额度，经过设定时长后未有告警事件发生等等。完成测试项目后，系统将手机与用户账户绑定为可信关系。例如，用户a通过账户a在手机a上完成了5次业务，业务额度达到3000元，且交易完成一个月内没有被任何其他用户举报，则系统认为账户a与手机a之间存在可信关系，手机a可以用来协助用户a验证其他用户终端。基于此种可信关系，服务器可以在各个账户及相应的经过安全性认证的第二用户终端之间建立可信关系，这种关系是建立在第二用户终端的身份标识信息上的，其中，第二用户终端的身份标识信息用于标识用户终端的身份(可以一个用户终端对应一个身份标识信息，也可以在同一区域内的用户终端对应一个公共的身份标识信息)，实际应用中，用户终端的身份标识信息包含但不限于以下内容：国际移动设备标识(internationalmobileequipmentidentity，imei)、国际移动用户识别码(internationalmobilesubscriberidentificationnumber，imsi)等等。当然也可以使用网关mac地址+wifi名称，此时，可以使用方位标识信息作为身份标识信息，即多个用户终端可以使用同一个身份标识信息，因而只有在相同的网络环境下，第二用户终端的身份才被认可。具体如表1所示：表1(白名单)可选的，服务器在确定用户账户对应的第二用户终端之后，在向第二用户终端发送业务提示信息之前，服务器可以先对第二用户终端进行身份验证，即使用本地预先存储的如表1所示的白名单对第二用户终端进行验证，确定第二用户终端在白名单中后，再向第二用户终端发送业务提示信息。另一方面，在向第二用户终端发送业务提示信息时，服务器可以检测本地与第二用户终端之间基于socket连接的push通道是否存在，若存在，则说明第二用户终端在线，那么服务器通过push通道向第二用户终端发送业务提示信息；若不存在，则说明第二用户终端不在线，那么服务器可以提示第二用户终端建立push通道(如，通知短信方式)，并通过push通道向第二用户终端发送业务提示信息。之所以使用push通道发送业务提示信息，是为了避免由于短信遭拦截而造成的信息泄漏，从而进一步提高安全性。步骤120：服务器接收到第二用户终端返回的确认信息时，从该确认信息中获取第二用户终端的方位标识信息。本申请实施例中，第二用户终端接收到服务器返回的业务提示信息后，将业务提示信息呈现给用户，提示第一用户终端正在执行业务操作，请求给予确认，用户通过点击第二用户终端的界面，向服务器发送确认信息，在确认信息中携带有第二用户终端的方位标识信息，指示服务器根据第二用户终端的方位标识信息对第一用户终端进行身份验证。其中，第二用户终端的方位标识信息亦包含但不限于以下内容：网关mac地址、网关标识信息、wifi名称、wifimac地址等等，可以是其中的一种也可以是任意组合。第二用户终端的方位标识信息的类型要与第一用户终端的方位标识信息的类型保持一致。步骤130：服务器基于第二用户终端的方位标识信息对第一用户终端的方位标识信息进行安全性验证，确定第一用户终端的方位标识信息通过安全性验证时，开始处理第一用户终端发送的业务请求。具体的，在执行步骤120时，服务器可以采用但不包含以下两种方式：第一种方式为：服务器直接将第二用户终端的方位标识信息与第一用户终端的方位标识信息进行比较，判定两者一致时，确定第二用户终端的方位标识信息通过安全性验证。在采用第一种方式时，第一用户终端和第二用户终端通常在同一局域网内，如，两者通过同一无线路由器连接至互联网，此时，服务器可以通过判定两者的方位标识信息是否一致来确定第一用户终端是否可以通过安全性验证。第二种方式为：服务器根据第二用户终端的方位标识信息获取相应的可信方位标识信息集合，并将第一用户终端的方位标识信息与该可信方位标识信息集合进行匹配，判定匹配成功时，确定第二用户终端的方位标识信息通过安全性验证。在采用第二种方式时，第一用户终端和第二用户终端可以在同一局域网内，也可以不在同一局域网内，如，一个使用公司中的第一无线路由器上网，另一个使用公司中的第二无线路由器上网，此时，服务器需要获取第二用户终端可检测到的所有方位标识信息(如，第二用户终端可检测到的所有wifi名称)，将其作为可信方位标识信息集合，并其与第一用户终端的方位标识信息进行匹配，从而验证第一用户终端的安全性。例如，参阅表2所示，与手机a关联的可信方位标识信息如下：表2手机标识wifimacwifi名称af4df8fe2abcae4d68fe2abcaa4d68fe2111af5h68ve2222当然该可信方位标识信息集合可以预先由用户设置并确定，在此不再赘述。下面通过一个具体的应用场景对上述实施例作出进一步详细说明。参阅图2所示，本申请实施例中，通过无线客户端(如，手机)对执行支付操作的pc端进行验证的详细流程如下：步骤200：用户通过pc端向服务器发送支付请求，在该支付请求中携带有pc端的方位标识信息。步骤201：服务器判定当前存在支付风险。可选的，服务器确定pc端为未经过安全验证的终端时，判定pc端当前发起的支付流程存在支付风险。步骤202：服务器确定pc端使用的用户账户对应的可信终端为一无线客户端，并在判定与该无线客户端之间的push通道的socket长连接存在时，请求获取无线客户端的身份标识信息。具体的，假设pc端使用的用户账户已预先与一手机绑定，而该手机为已通过安全验证的可信终端，那么，服务器便需要通过该手机对发送支付请求的pc端进行安全验证。另一方面，push通道是一种基于socket长链接的通道，用户可以通过此通道接收可视化的消息通知。步骤203：无线客户端向服务器发送自身的身份标识信息。步骤204：服务器获取到无线客户端的身份标识信息。步骤205：服务器基于网络侧预先对应存储的白名单及无线客户端的身份标识信息，判断无线客户端是否为可信终端。步骤206：服务器获得查询结果，确定无线客户端为可信终端。步骤207、服务器向无线客户端发送push消息，提示用户其用户账户正在另一台pc端上使用。例如，可以在无线客户端屏幕上提示“某账户正在另一pc端上申请支付，请确认”步骤208：服务器向pc端返回一键确认页面，提示pc端正在通过无线客户端对其进行安全性验证。步骤209：pc端以轮询方式向服务器提交请求，询问服务器是否收到无线客户端的响应。步骤210：用户通过无线客户端回应push消息。例如，用户点击无线客户端上呈现的“确认”按钮，通知服务器已获知自身的用户账户在另一台pc端使用。步骤211：无线客户端跳转至一键确认页面，进一步向用户提示支付信息。例如：无线客户端向用户提示pc端的支付请求所申请的支付额度及交易种类。步骤212：用户点击确认支付信息。步骤213：无线客户端确定用户确认支付信息后，向服务器提交该确认信息，同时将自身的方位标识信息通过该确认信息发送至服务器。步骤214：服务器基于获得的方位标识信息对pc端进行安全性验证。例如：服务器将pc端的wifimac地址和wifi名称，与无线客户端的wifimac地址和wifi名称进行比较，确定两者一致，从而完成对pc端的安全性验证。步骤215：服务器响应pc端的轮询请求，通知pc端无线客户端已确认其支付请求，并将验证结果通过页面方式返回给pc端。步骤216：服务器开始处理pc端提交的支付请求。基于上述实施例，参阅图3所示，本申请实施例中，服务器包括第一接收单元30、发送单元31、第二接收单元32和验证单元33，其中，第一接收单元30，用于接收第一用户终端基于用户账户发送的业务请求，该业务请求中携带有第一用户终端的方位标识信息；发送单元31，用于确定用户账户对应的第二用户终端，并向第二用户终端发送业务提示信息，其中，第二用户终端为与用户账户关联的经过安全性认证的用户终端；第二接收单元32，用于接收到第二用户终端返回的确认信息时，从确认信息中获取第二用户终端的方位标识信息；验证单元33，用于服务器基于第二用户终端的方位标识信息对第一用户终端的方位标识信息进行安全性验证，确定第一用户终端的方位标识信息通过安全性验证时，开始处理第一用户终端发送的业务请求。验证单元33用于：确定用户账户关联的用户终端已完成设定次数的业务，并达到设定的业务额度，且在业务完成后的设定时长内未发生告警事件时，确定用户账户关联的用户终端通过安全性认证。验证单元33进一步用于：对第二用户终端进行身份验证，确定第二用户终端通过身份验证后，确定能够执行后续安全性验证。发送单元31具体用于：检测本地与第二用户终端之间基于socket连接的push通道是否存在，若存在，则通过push通道向第二用户终端发送业务提示信息；若不存在，则提示第二用户终端建立push通道，并通过push向第二用户终端发送业务提示信息。验证单元33具体用于：直接将第二用户终端的方位标识信息与第一用户终端的方位标识信息进行比较，判定两者一致时，确定第二用户终端的方位标识信息通过安全性验证；或者，根据第二用户终端的方位标识信息获取相应的可信方位标识信息集合，并将第一用户终端的方位标识信息与该可信方位标识信息集合进行匹配，判定匹配成功时，确定第二用户终端的方位标识信息通过安全性验证。综上所述，本申请实施例中，服务器不再使用短信验证方式，而是预先为用户账户绑定经过安全性认证的可信用户终端，当用户通过其他用户终端使用该用户账户进行业务操作时，服务器会基于可信用户终端的方位标识信息对其他用户终端的方位标识信息进行认证，认证通过后，才处理用户通过其他用户终端发送的业务请求。这样，验证信息无需交由用户处理，而仅仅在用户终端和服务器之间交互，从而有效避免了验证信息的外泄，也避免了用户遭遇非法事件的风险，进而有效提高了计算机系统的业务安全性。另一方面，在整体验证过程中，所有消息都是经过push通道推送给用户的，这样，亦可以避免短信推送造成的信息泄漏，进一步提高了信息安全性。本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。尽管已描述了本申请的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。显然，本领域的技术人员可以对本申请实施例进行各种改动和变型而不脱离本申请实施例的精神和范围。这样，倘若本申请实施例的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。当前第1页12