一种身份认证方法及装置与流程

1.本技术涉及信息安全领域，特别是涉及一种身份认证方法及装置。


背景技术：

2.对于一些企业而言，其包括对内对外双网站。具体地：对互联网用户提供互联网登陆网站、对内部用户提供内网登陆网站。
3.对于互联网用户而言，其所处的互联网环境较为复杂，因此，前述互联网登录网站被网络攻击的可能性也较高，如何保证前述互联网登录网站的安全性，是目前急需解决的问题。


技术实现要素：

4.本技术所要解决的技术问题是如何保证企业的互联网登录网站的安全性，提供一种身份认证方法及装置。
5.第一方面，本技术实施例提供了一种身份认证方法，由第一服务器执行，所述方法包括：
6.接收互联网用户的第一身份认证信息，所述第一身份认证信息包括：用户名、密码以及手机验证码；
7.对所述第一身份认证信息进行验证；
8.在所述第一身份认证信息通过验证的情况下，将所述互联网用户的因特网协议ip地址与ip地址白名单进行匹配，若所述ip地址白名单中包括所述ip地址，则确定所述互联网用户通过身份认证。
9.可选的，所述对所述第一身份信息进行验证，包括：
10.验证预先存储的密码本中是否包括所述用户名以及该手机验证码对应的手机号，所述密码本是企业内部员工预先录入的。
11.可选的，所述ip地址白名单为企业内部员工预先录入的。
12.可选的，所述方法还包括：
13.接收企业内网用户的第二身份认证信息，所述第二身份认证信息包括：用户名、密码以及手机验证码；
14.对所述第二身份认证信息进行验证；
15.在所述第二身份认证信息通过验证的情况下，将所述第二身份认证信息发送给部署在企业内网的第二服务器，由所述第二服务器再次对所述第二身份认证信息进行验证。
16.可选的，所述第一身份认证信息采用密文传输。
17.第二方面，本技术实施例提供了一种身份认证装置，应用于第一服务器，所述装置包括：
18.第一接收单元，用于接收互联网用户的第一身份认证信息，所述第一身份认证信息包括：用户名、密码以及手机验证码；
19.第一验证单元，用于对所述第一身份认证信息进行验证；
20.匹配单元，用于在所述第一身份认证信息通过验证的情况下，将所述互联网用户的因特网协议ip地址与ip地址白名单进行匹配；
21.确定单元，用于若所述ip地址白名单中包括所述ip地址，则确定所述互联网用户通过身份认证。
22.可选的，所述第一验证单元，用于：
23.验证预先存储的密码本中是否包括所述用户名以及该手机验证码对应的手机号，所述密码本是企业内部员工预先录入的。
24.可选的，所述ip地址白名单为企业内部员工预先录入的。
25.可选的，所述装置还包括：
26.第二接收单元，用于接收企业内网用户的第二身份认证信息，所述第二身份认证信息包括：用户名、密码以及手机验证码；
27.第二验证单元，用于对所述第二身份认证信息进行验证；
28.发送单元，用于在所述第二身份认证信息通过验证的情况下，将所述第二身份认证信息发送给部署在企业内网的第二服务器，由所述第二服务器再次对所述第二身份认证信息进行验证。
29.可选的，所述第一身份认证信息采用密文传输。
30.第三方面，本技术实施例提供了一种设备，所述设备包括：处理器、存储器、系统总线；所述设备以及所述存储器通过所述系统总线相连；所述存储器用于存储一个或多个程序，所述一个或多个程序包括指令，所述指令当被所述处理器执行时使所述处理器执行以上第一方面所述的方法。
31.第四方面，本技术实施例提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当所述指令在终端设备上运行时，使得所述终端设备执行以上第一方面所述的方法。
32.与现有技术相比，本技术实施例具有以下优点：
33.本技术实施例提供了一种身份认证方法，该方法可以由第一服务器执行。第一服务器可以接收互联网用户的第一身份认证信息，其中，所述第一身份认证信息包括：用户名、密码以及手机验证码。而后，对所述第一身份认证信息进行验证；在所述第一身份认证信息通过验证的情况下，进一步将所述互联网用户的ip地址与ip地址白名单进行匹配，若所述ip地址白名单中包括所述ip地址，则确定所述互联网用户通过验证。由此可见，利用本方案，对互联网用户进行身份认证时，采用多重认证，先基于第一身份认证进行认证，而后基于ip地址进行认证，多重认证均通过之后，才确定所述互联网用户通过身份认证，从而有效保证企业的互联网登录网站的安全性。
附图说明
34.为了更清楚地说明本技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
35.图1为本技术实施例提供的一种身份认证方法的流程示意图；
36.图2为本技术实施例提供的又一种身份认证的方法的流程示意图；
37.图3为本技术实施例提供的一种身份认证装置的结构示意图。
具体实施方式
38.为了使本技术领域的人员更好地理解本技术方案，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
39.下面结合附图，详细说明本技术的各种非限制性实施方式。
40.示例性方法
41.参见图1，该图为本技术实施例提供的一种身份认证方法的流程示意图。在本实施例中，所述方法可以由第一服务器执行，所述第一服务器可以部署于企业内网。在一个示例中，所述第一服务器可以部署于内网的管理信息系统(management information system，mis)区。
42.在一个示例中，所述企业内网可以部署nginx软负载均衡，将来自客户端的流量转发至多台服务器上。
43.图1所示的方法，例如可以包括以下步骤：s101-s103。
44.s101：接收互联网用户的第一身份认证信息，所述第一身份认证信息包括：用户名、密码以及手机验证码。
45.所述互联网用户可以在互联网登陆网站上输入前述第一身份认证信息。在一个示例中，为了保证第一身份认证信息的安全，所述第一身份认证信息可以采用密文传输。
46.在一个示例中，可以采用对称加密算对所述第一身份认证信息进行加密。其中，对称加密算法例如可以是高级加密标准(advanced encryption standard，aes)算法，对称加密算法又如可以是数据加密标准(data encryption standard，des)算法。
47.在又一个示例中，可以采用非对称加密算法对所述第一身份认证信息进行加密。其中，非对称加密算法例如可以是rsa算法。
48.在又一个示例中，可以采用杂凑算法对所述第一身份认证信息进行加密。其中，杂凑算法例如可以是md5算法或者hash 256算法。
49.在另一个示例中，可以采用国密算法对所述第一身份认证信息进行加密。其中，国密算法例如可以是sm1、sm2或者sm3。
50.s102：对所述第一身份认证信息进行验证。
51.对所述第一身份认证信息进行验证在具体实现时，可以验证所述用户名是否合法，验证所述密码和所述用户名是否匹配，以及验证所述手机验证码是否正确。
52.在一个示例中，所述第一服务器中可以预先存储有密码本(例如第一密码本)，所述第一密码本中包括合法的用户名以及手机号。相应的，第一服务器即可基于所述第一密码本对第一身份认证信息中的部分信息进行验证。具体地：第一服务器可以验证预先存储的第一密码本中是否包括所述用户名以及该手机验证码对应的手机号。若所述第一密码本中包括所述第一身份认证信息中的用户名、并且，所述第一密码本中包括所述第一身份认
证信息中的手机验证码所对应的手机号，则可以确定所述用户名合法。并且，该手机号也合法。进一步地，可以验证所述第一身份认证信息中的密码和用户名是否匹配、以及验证所述第一身份认证信息中的手机验证码是否正确。
53.关于验证所述第一身份认证信息中的密码和用户名是否匹配、以及验证所述第一身份认证信息中的手机验证码是否正确的方式，可以参考传统的验证方式从，此处不再详细说明。
54.在一个示例中，所述第一密码本可以是企业内部员工预先录入的。采用这种方式，可以由企业内部员工对互联网用户的身份认证进行管控，从而可以有效避免互联网登录网站被攻击。
55.s103：在所述第一身份认证信息通过验证的情况下，将所述互联网用户的ip地址与ip地址白名单进行匹配，若所述ip地址白名单中包括所述ip地址，则确定所述互联网用户通过身份认证。
56.在本技术实施例中，若第一身份认证信息中的用户名合法、第一身份认证信息中的密码和用户名匹配、第一身份认证信息中的手机验证码正确，则所述第一身份认证信息通过验证。
57.在一个示例中，所述第一服务器可以首先获取所述互联网用户的因特网协议(internet protocol，ip)地址，而后，对所述ip地址进行验证。其中，所述ip地址可以是因特网协议第4版(internet protocol version 4，ipv4)地址，也可以是因特网协议第6版(internet protocol version 6，ipv6)地址，本技术实施例不做具体限定。
58.在一个示例中，所述第一服务器可以将所述ip地址与ip地址白名单进行匹配，若所述ip地址白名单中包括所述ip地址，则所述ip地址合法，相应的，第一服务器可以确定所述互联网用户通过身份认证。
59.在一个示例中，所述ip地址白名单可以是企业内部员工预先录入的。采用这种方式，可以由企业内部员工对互联网用户的身份认证进行管控，从而可以有效避免互联网登录网站被攻击。
60.通过以上描述可知，利用本方案，对互联网用户进行身份认证时，采用多重认证，先基于第一身份认证进行认证，而后基于ip地址进行认证，多重认证均通过之后，才确定所述互联网用户通过身份认证，从而有效保证企业的互联网登录网站的安全性。
61.在一个示例中，若所述互联网用户未通过认证，则所述互联网用户可以再次触发身份认证，例如重新输入密码，重新输入手机验证码，等等。在一个示例中，若所述互联网用户身份认证n次均失败，则所述互联网用户的账户被锁定，从而有效避免暴力破解。其中，n为大于1的整数，例如，n的值为10。
62.在又一个示例中，互联网用户的账户被锁定一段时间后被解锁，例如，互联网用户被锁定一个小时被解锁。当然，互联网用户也可以联系企业内部管理者进行账户解锁。
63.本技术实施例提供的方案，还可以对企业内网用户进行身份认证。
64.参见图2，该图为本技术实施例提供的又一种身份认证的方法的流程示意图。
65.图2所示的方法，可以包括如下s201-s203。
66.s201：接收企业内网用户的第二身份认证信息，所述第二身份认证信息包括：用户名、密码以及手机验证码。
67.所述企业内网用户可以在内网登陆网站上输入前述第二身份认证信息。在一个示例中，为了保证第二身份认证信息的安全，所述第二身份认证信息可以采用密文传输。
68.在一个示例中，可以采用对称加密算对所述第二身份认证信息进行加密。其中，对称加密算法例如可以是aes算法，对称加密算法又如可以是des算法。
69.在又一个示例中，可以采用非对称加密算法对所述第二身份认证信息进行加密。其中，非对称加密算法例如可以是rsa算法。
70.在又一个示例中，可以采用杂凑算法对所述第二身份认证信息进行加密。其中，杂凑算法例如可以是md5算法或者hash 256算法。
71.在另一个示例中，可以采用国密算法对所述第二身份认证信息进行加密。其中，国密算法例如可以是sm1、sm2或者sm3。
72.s202：对所述第二身份认证信息进行验证。
73.第一服务器对第二身份认证信息进行验证在具体实现时，例如可以基于预先存储的第二密码本，验证所述第二身份认证信息中的用户名和第二身份认证信息中的密码是否匹配。并验证所述手机验证码是否正确。
74.s203：在所述第二身份认证信息通过验证的情况下，将所述第二身份认证信息发送给部署在企业内网的第二服务器，由所述第二服务器再次对所述第二身份认证信息进行验证。
75.在本技术实施例中，若第二身份认证信息中的密码和用户名匹配、第二身份认证信息中的手机验证码正确，则所述第二身份认证信息通过验证。对于这种情况，可以将第二身份认证信息发送给部署在企业内网的第二服务器，由第二服务器再次对所述第二身份认证信息进行验证。此处提及的第二服务器，可以认为是安全认证中心，该安全认证中心用于对企业内网用户进行身份认证。
76.其中，第二服务器对所述第二身份认证信息进行验证的具体实现，与第一服务器对所述第二身份认证信息进行验证的具体实现类似，此处不再重复说明。
77.采用这种方式，对内网用户的身份认证也采用双重认证，从而有效保障内网登陆网站的安全。
78.示例性设备
79.基于以上实施例提供的方法，本技术实施例还提供了一种装置，以下结合附图介绍该装置。
80.参见图3，该图为本技术实施例提供的一种身份认证装置的结构示意图。所述装置300可以应用于第一服务器，用于执行以上方法实施例提供的由第一服务器执行的方法。所述装置300包括：第一接收单元301、第一验证单元302、匹配单元303和确定单元304。
81.第一接收单元301，用于接收互联网用户的第一身份认证信息，所述第一身份认证信息包括：用户名、密码以及手机验证码；
82.第一验证单元302，用于对所述第一身份认证信息进行验证；
83.匹配单元303，用于在所述第一身份认证信息通过验证的情况下，将所述互联网用户的因特网协议ip地址与ip地址白名单进行匹配；
84.确定单元304，用于若所述ip地址白名单中包括所述ip地址，则确定所述互联网用户通过身份认证。
85.可选的，所述第一验证单元302，用于：
86.验证预先存储的密码本中是否包括所述用户名以及该手机验证码对应的手机号，所述密码本是企业内部员工预先录入的。
87.可选的，所述ip地址白名单为企业内部员工预先录入的。
88.可选的，所述装置还包括：
89.第二接收单元，用于接收企业内网用户的第二身份认证信息，所述第二身份认证信息包括：用户名、密码以及手机验证码；
90.第二验证单元，用于对所述第二身份认证信息进行验证；
91.发送单元，用于在所述第二身份认证信息通过验证的情况下，将所述第二身份认证信息发送给部署在企业内网的第二服务器，由所述第二服务器再次对所述第二身份认证信息进行验证。
92.可选的，所述第一身份认证信息采用密文传输。
93.由于所述装置300是与以上方法实施例提供的方法对应的装置，所述装置300的各个单元的具体实现，均与以上方法实施例为同一构思，因此，关于所述装置300的各个单元的具体实现，可以参考以上方法实施例的描述部分，此处不再赘述。
94.本技术实施例提供了一种设备，所述设备包括：处理器、存储器、系统总线；所述设备以及所述存储器通过所述系统总线相连；所述存储器用于存储一个或多个程序，所述一个或多个程序包括指令，所述指令当被所述处理器执行时使所述处理器执行以上方法实施例所述的方法。
95.本技术实施例提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当所述指令在终端设备上运行时，使得所述终端设备执行以上方法实施例所述的方法。
96.本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本技术的其它实施方案。本技术旨在涵盖本技术的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本技术的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本技术的真正范围和精神由下面的权利要求指出。
97.应当理解的是，本技术并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本技术的范围仅由所附的权利要求来限制。
98.以上所述仅为本技术的较佳实施例，并不用以限制本技术，凡在本技术的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本技术的保护范围之内。