一种认证用户方法及装置的制造方法
【技术领域】
[0001] 本发明涉及通信领域,尤其涉及一种认证用户方法及装置。
【背景技术】
[0002] 目前,互联网提供的资源和服务的数量非常巨大且增长迅猛,已成为用户获取信 息和服务的主要渠道。通常,用户需要通过用户名和登录密码的认证后,才能访问业务平台 提供的业务,例如,QQ账号登录、微博账号登录、邮箱登录等。
[0003] 现有技术中,为了降低用户信息泄露等风险,采用第三方认证系统统一管理用户 的用户名和登录密码。在用户终端访问业务平台时,第三方认证系统根据用户提供的用户 名和登录密码进行身份验证,当用户名和密码均正确且匹配时,则认为用户身份合法,认证 成功,用户终端才能访问业务平台提供的业务。但是,第三方认证系统仅仅具备用户身份认 证的功能,而不具备用户及业务间的管理功能。只要第三方认证系统认为用户身份合法,认 证成功,用户就能访问业务平台提供的业务。例如,用户很可能无意中访问到恶意网站提供 的服务,导致用户终端中毒;或者,用户可能是不可信的黑客。因此,如何认证用户的可信性 以及用户访问业务的可信性,提高用户访问业务平台的安全性是一个亟待解决的问题。
【发明内容】
[0004] 本发明的实施例提供一种认证用户方法及装置,能够认证用户的可信性以及用户 访问业务的可信性,提高用户访问业务平台的安全性。
[0005] 为达到上述目的,本发明的实施例采用如下技术方案:
[0006] 第一方面,提供认证用户方法,包括:
[0007] 接收认证请求消息,所述认证请求消息包括用户标识和业务标识;
[0008] 获取所述用户标识与所述业务标识之间的信任度;
[0009] 比较所述信任度与预设信任阈值,获得认证服务等级;
[0010] 根据所述认证服务等级认证所述用户标识的用户,得到认证结果。
[0011] 第二方面,提供认证用户装置,包括:
[0012] 接收单元,用于接收认证请求消息,所述认证请求消息包括用户标识和业务标 识;
[0013] 处理单元,用于获取所述用户标识与所述业务标识之间的信任度;
[0014] 所述处理单元还用于比较所述信任度与预设信任阈值,获得认证服务等级;
[0015] 所述处理单元还用于根据所述认证服务等级认证所述用户标识的用户,得到认证 结果。
[0016] 本发明实施例提供的认证用户方法及装置。当接收到包括用户标识和业务标识的 认证请求消息后,首先,获取所述用户标识与所述业务标识之间的信任度,然后,比较所述 信任度与预设信任阈值,获得认证服务等级;最后,根据所述认证服务等级认证所述用户标 识的用户,得到认证结果。相对于现有技术,只是单纯的根据用户提供的用户名和登录密 码进行身份验证,本发明根据用户标识与业务标识之间的信任度动态地对用户进行认证, 将用户和业务真正有效的关联起来,从而能够认证用户的可信性以及用户访问业务的可信 性,提高用户访问业务平台的安全性。
【附图说明】
[0017] 为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现 有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本 发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以 根据这些附图获得其他的附图。
[0018] 图1为本发明实施例提供一种认证系统示意图;
[0019] 图2为本发明实施例提供一种认证装置结构示意图;
[0020] 图3为本发明实施例提供一种认证用户方法流程图;
[0021] 图4为本发明实施例提供另一种认证用户方法流程图;
[0022] 图5为本发明实施例提供一种信任度结构示意图;
[0023] 图6为本发明实施例提供另一种认证装置结构示意图;
[0024] 图7为本发明实施例提供又一种认证装置结构示意图。
【具体实施方式】
[0025] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完 整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于 本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他 实施例,都属于本发明保护的范围。
[0026] 本发明实施例提供一种认证系统示意图,如图1所示,包括用户终端11、业务平台 12和认证用户装置13,用户终端分别与业务平台和认证用户装置连接,业务平台与认证用 户装置连接。
[0027] 具体的,如图2所示,认证用户装置结构示意图,包括用户层、业务层和认证层,每 层根据各自的职能分工提供不同类型的对外接口,用户层提供用户终端接口,认证层提供 认证交互接口,业务层提供业务平台接口。
[0028] 用户层主要用于对用户身份信息的管理以及与用户终端的交互,包括卡应用管理 模块、用户标识管理模块以及身份数据库。卡应用管理模块负责管理用户终端卡应用,包 括应用推送、激活、个人识别码(英文全称:Personal Identification Number,英文简称: PIN)重置等。用户标识管理模块负责对用户进行用户标识匹配,每个用户只要一个用户标 识,每个用户与用户标识属于一一映射的关系,例如,用户标识可以为用户的用户终端的电 话号码,每个用户标识对应该用户的身份数据,以用户标识(英文全称:identification, 英文简称:ID)为索引,将这些用户的身份数据按照固定的格式存储,生成身份数据库。
[0029] 业务层主要用于对业务进行管理和监控,包括操作记录模块、业务管理模块、业务 标识(ID)管理模块和业务的网际互连协议地址(英文全称internet Protocol,英文简 称:IP)管理模块。操作记录模块主要负责记录用户每次访问请求的完成情况,包括访问时 间、访问时长、用户标识、业务标识、访问成功或失败等信息。业务管理模块主要负责对业务 平台提供的业务进行业务监管,防止用户在访问互联网业务时存在安全隐患。业务标识管 理模块负责对业务标识进行匹配,每个业务对应唯一业务标识,与服务提供商无关,例如腾 讯微博和腾讯新闻属于两个不同的业务标识。IP管理主要负责为每个业务分配并管理IP 地址。
[0030] 认证层为中间层,该认证层主要用于身份认证,以及用户层与业务层的信息关联, 包括信任评估模块和认证算法库,其中,信任评估模块包括信任计算子模块、信任填充子模 块和信任决策子模块。信任评估模块主要负责关联用户层与业务层的相关信息,利用信任 计算子模块或信任填充子模块计算获得的用户与访问业务之间的信任度调用不同认证服 务等级,认证所述用户标识的用户,得到认证结果。本发明参考国际标准提供四种安全级别 的认证服务等级,
[0031] 第一认证服务等级(LoAl),可以用于低安全级别的业务,无需卡应用反馈,验证接 收到的用户终端发送的用户名和登录密码,以认证用户身份。
[0032] 第二认证服务等级(L〇A2),可以用于简单身份校验业务,向所述用户终端发送数 据短信,用户在手机弹窗中点击确认,根据所述数据短信以认证用户身份。
[0033] 第三认证服务等级(L〇A3),可以用于PIN码身份校验业务,向所述用户终端发送 数据短信,根据所述数据短信和预先设置的PIN码,以认证用户身份。
[0034] 第四认证服务等级(L〇A4),可以用于公钥证书身份校验的高安全级别业务,根据 公钥证书,以认证用户身份。
[0035] 所述用户终端可以是手机。所述业务平台可以提供腾讯、搜狐和百度等业务,该业 务平台存储每个业务的业务标识。
[0036] 从而利用认证层对用户信息和业务信息进行分类存储和管理,有效保证认证的安 全性和公平性。与此同时,通过用户与业务之间的信任度关联用户层与业务层的相关信息, 进行不同安全等级的认证服务,以实现可信性、安全性和便携性的权衡。
[0037] 实施例一
[0038] 本发明实施例提供