基于智能设备的双因子身份验证方法

基于智能设备的双因子身份验证方法
【专利摘要】本发明公开了一种基于智能设备的双因子身份验证方法，解决现有技术中登录远程网站需要输入账号密码操作不便，用户账号和网络设备的安全性不高的问题。包括以下步骤：创建活动目录服务器，在活动目录服务器数据库中导入AD账号清单；创建配置服务器，管理维护用户的机构识别码；将IDQ应用服务器的URL与机构识别码进行绑定；手机端进行IDQ注册，验证机构识别码和AD账号是否合法，若合法则注册成功，若不合法则注册失败；用手机访问设备和网站。本发明通过手机扫描由验证服务器生成的实时变更二维码，进行网络资源的登录访问，替代了传统的键盘输入账号密码进行登录的方式，极大的保障了用户账号及网络设备的安全性。
【专利说明】基于智能设备的双因子身份验证方法
【技术领域】
[0001]本发明涉及一种验证方法，具体地说，是涉及基于智能设备的双因子身份验证方法。
【背景技术】
[0002]进行软件系统或者硬件设备等网络资源的登录访问时，常常需要输入登录账号密码才能进行访问，有时不同的网站注册不同的账号和密码，常常导致账号和密码的混淆，导致无法登录；同时，设置的账号和密码往往安全性不高，容易被破解，导致用户的信息容易被窃取，用户账号的安全性和网络设备的安全性不高。

【发明内容】

[0003]本发明的目的在于提供一种基于智能设备的双因子身份验证方法，解决现有技术中登录远程网站需要输入账号密码操作不便，用户账号和网络设备的安全性不高的问题。
[0004]为了实现上述目的，本发明采用的技术方案如下:
基于智能设备的双因子身份验证方法，包括以下步骤:
注册阶段:
(a)创建活动目录服务器，在活动目录服务器数据库中导入由管理员分配AD账号清
单；
(b)创建配置服务器，管理维护用户从管理员处分配的机构识别码；
(c)将IDQ应用服务器的URL与机构识别码进行绑定；
Cd)手机端进行IDQ注册，验证机构识别码和AD账号是否合法，若合法则注册成功，若不合法则注册失败；
登录阶段:
Ce)在被访问的电脑上安装桌面登录验证客户端，拦截用户的访问；
(f)在RDP代理服务配置文件中，设置桌面访问的网关URL及需要访问的IP；
(g)网关服务器验证网关URL及需要访问的IP是否正确，若正确则进入远程设备资源列表界面，若不正确则不动作；
(h)在远程设备资源列表界面点击需要访问的设备，桌面登录验证客户端拦截，并在电脑桌面上展示二维码锁屏；
(i)手机扫描二维码访问设备和网站；
或设置E-mail，该设备被访问时，桌面登录验证客户端生成身份令牌串然后将其发送至E-mail，然后将该令牌串输入到锁屏界面指定的位置，即可解锁访问。
[0005]具体地，所述步骤(d)手机端进行IDQ注册，具体步骤如下:
(dl)手机下载安装IDQ-APP并打开，输入机构识别码，IDQ应用服务器接收该机构识别码，发送给配置服务器；
(d2)配置服务器验证机构识别码并查询通讯地址即IDQ应用服务器的URL，若查询到该通讯地址，则进入注册界面；若没有查询到，则返回；
(d3)在注册界面输入AD账号和密码，IDQ应用服务器接收手机端发起的注册信息，并自动保存用户的注册信息，然后将用户注册的信息发送给活动目录服务器；
(d4)活动目录服务器验证AD账号是否为活动目录服务器的合法账号，并返回验证结果给IDQ应用服务器；
(d5)IDQ应用服务器根据验证结果，判断该AD账号是否为活动目录服务器的合法可用的账号，若该AD账号为活动目录服务器的合法可用的账号，则注册成功，并保留注册信息；若否，则注册失败。
[0006]在此步骤中，用户的注册信息包括手机型号、手机序列号、账号信息，并保存在提前预设在IDQ应用服务器的列表中，所述IDQ应用服务器还预设有另一个列表，该列表包括访问的网关URL及需要访问的IP以及资源设备的账号和密码。
[0007]再进一步地，所述步骤(i)中，用手机扫描二维码访问设备和网站的具体步骤如下:
(il)使用手机登录IDQ-APP，扫描二维码，生成一次性认证授权信息包并发送到IDQ应用服务器；
(?2) IDQ应用服务器接收一次性认证授权信息包，并且通过IDQ应用服务器验证该用户是否有权限访问该设备，并转发该授权信息包到授权服务器进行验证，若验证通过，则告知桌面登录验证客户端解锁，访问网络设备。
[0008]具体地，一次性授权信息包包括该二维码数据包及手机应用内的密匙信息。
[0009]另外， 所述步骤(d)中，还可通过注册网站账号，然后授权该网站账号通过手机扫描二维码进行登录，所述授权流程和登录流程包括如下步骤:
授权流程:
(Si)用户在二维码登录授权中心点击授权按钮，激活该网站账号通过IDQ平台与手机进行绑定；
(s2)打开手机IDQ-APP，输入登陆IDQ-APP的密码，扫描二维码，IDQ应用服务器将用户注册信息与列表中的被授权网站的URL相互连通，让用户注册信息与网站的相关信息产生映射关系；
登录流程:
(s3)用户点击登录，验证服务器拦截并在站点界面上展示二维码锁屏；
(s4)用户使用手机登录IDQ-APP扫描二维码，生成扫描验证包并发送到IDQ应用服务
器；
(s5)IDQ应用服务器接收扫描验证包，并转发该扫描验证包到授权服务器验证，若验证通过，则解除二维码锁定完成登录。
[0010]具体地，所述扫描验证包包括访问来源、信道、账号及手机硬件信息。
[0011]与现有技术相比，本发明具有以下有益效果:
(1)本发明通过可信的移动设备-手机，扫描由验证服务器生成的实时变更二维码，进行网络资源的登录访问，替代了传统的键盘输入账号密码进行登录的方式，极大的保障了用户账号的安全性及网络设备的安全性；
(2)本发明中将IDQ应用服务器的URL与机构识别码进行绑定，并提前在活动目录服务器数据库中导入AD账号清单，用手机进行IDQ-APP注册时，需要输入由管理员分配的机构识别码和AD账号才能注册成功，在高机密需求的场所，实用性强、安全性高；
(3)本发明中访问设备和网站时验证服务器会拦截，并在电脑桌面上展示二维码锁屏，用手机登录IDQ-APP，扫描二维码然后发送到桌面登录验证客户端验证，验证通过才可解锁，避免了输入账号密码的方式进行访问，并且安全性高。
[0012](4)本发明中，为了预防用户忘记携带手机，需要在注册IDQ帐号时提前设置好个人邮箱地址。一旦手机没在身边，而该设备需要被访问时，桌面登录验证客户端拦截并显示二维码锁屏，可点击发送令牌串到邮箱按钮，身份令牌串发送至邮箱，将该令牌串输入到锁屏界面指定的位置，即可解锁，操作方便。
【专利附图】

【附图说明】
[0013]图1为本发明流程示意图。
[0014]图2为本发明IDQ注册流程示意图。
[0015]图3为本发明手机扫描二维码访问设备和网站流程示意图。
【具体实施方式】
[0016]下面结合附图和实施例对本发明作进一步说明，本发明的实施方式包括但不限于下列实施例。
实施例
[0017]如图1至图3所示，基于智能设备的双因子身份验证方法，包括以下步骤:(a)创建活动目录服务器，在活动目录服务器数据库中导入由管理员分配的AD账号清单；(b)创建配置服务器，管理维护用户从管理员处分配的机构识别码；(c)将IDQ应用服务器的URL与机构识别码进行绑定；(d)手机端进行IDQ注册，验证机构识别码和AD账号是否合法，若合法则注册成功，若不合法则注册失败；(e)在被访问的电脑上安装桌面登录验证客户端，拦截用户的访问；(f )在RDP代理服务配置文件中，设置桌面访问的网关URL及需要访问的IP;(g)网关服务器验证网关URL及需要访问的IP是否正确，若正确则进入远程设备资源列表界面，若不正确则不动作；(h)在远程设备资源列表界面点击需要访问的设备，桌面登录验证客户端拦截，并在电脑桌面上展示二维码锁屏；(i )手机扫描二维码访问设备和网站。
[0018]注册以前，用户需要从管理员取得机构识别码和AD账号，该机构识别码与用户公司的IDQ应用服务器的IP地址一一对应，然后进行注册，所述步骤(d)具体步骤如下:(dl)手机下载安装IDQ-APP并打开，输入机构识别码，IDQ应用服务器接收该机构识别码，发送给配置服务器；(d2)配置服务器验证机构识别码并查询通讯地址即IDQ应用服务器的URL，若查询到该通讯地址，则进入注册界面；若没有查询到，则返回；(d3)在注册界面输入AD账号和密码，IDQ应用服务器接收手机端发起的注册信息，并自动保存用户的注册信息，然后将用户注册的信息发送给活动目录服务器；(d4)活动目录服务器验证AD账号是否为活动目录服务器的合法账号，并返回验证结果给IDQ应用服务器；(d5)IDQ应用服务器根据验证结果，判断该AD账号是否为活动目录服务器的合法可用的账号，若该AD账号为活动目录服务器的合法可用的账号，则注册成功，并保留注册信息；若否，则注册失败。
[0019]所述步骤(d3)中，用户的注册信息包括手机型号、手机序列号、账号信息，并保存在提前预设在IDQ应用服务器的列表中，所述IDQ应用服务器还预设有另一个列表，该列表包括访问的网关URL及需要访问的IP以及资源设备的账号和密码。
[0020]手机登录设备或者网站时，所述步骤(i)具体步骤如下:(il)使用手机登录IDQ-APP,扫描二维码，生成一次性认证授权信息包并发送到IDQ应用服务器；(i2)IDQ应用服务器接收一次性认证授权信息包，并且通过IDQ应用服务器验证该用户是否有权限访问该设备，并转发该授权信息包到授权服务器进行验证，若验证通过，则告知桌面登录验证客户端解锁，访问网络设备。
[0021 ] 所述步骤(i I)中，一次性授权信息包包括该二维码数据包及手机应用内的密匙信
肩、O
[0022]更进一步地，所述步骤(d)中，还可通过注册网站账号，然后授权该网站账号通过手机扫描二维码进行登录，注册网站账号与普通的网站注册相同，在此不作赘述，所述授权流程包括如下步骤:(Si)用户在二维码登录授权中心点击授权按钮，激活该网站账号通过IDQ平台与手机进行绑定；(s2)打开手机IDQ-APP，输入登陆IDQ-APP的密码，扫描二维码，IDQ应用服务器将用户注册信息与列表中的被授权网站的URL相互连通，让用户注册信息与网站的相关信息产生映射关系；(s3)用户点击登录，验证服务器拦截并在站点界面上展示二维码锁屏；(s4)用户使用手机登录IDQ-APP扫描二维码，生成扫描验证包并发送到IDQ应用服务器；(s5) IDQ应用服务器接收扫描验证包，并转发该扫描验证包到授权服务器验证，若验证通过，则解除二维码锁定完成登录。
[0023]所述步骤(s4)中，扫描验证包包括访问来源、信道、账号及手机硬件信息。
[0024]为了避免用户忘记带手机导致无法登录设备和网站的情况，在电脑上安装桌面登录验证客户端后，设置E-maiI，该设备被访问时，桌面登录验证客户端拦截并显示二维码锁屏，桌面登录验证客户端生成身份令牌串发送至E-mail，然后将该令牌串输入到锁屏界面指定的位置，即可解锁。具体步骤如下:(il)在电脑上安装桌面登录验证客户端后，在桌面登陆验证客户端设置E-mail ;(i2)如果用户忘记携带手机，可使用E-mail方式，桌面登录验证客户端会将身份令牌串发送至用户邮箱；(i3)将该令牌串输入到锁屏界面指定的位置，点击连接；(i4)该身份令牌串将由授权验证服务器进行验证，若验证通过，则告知桌面登录验证客户端解锁，访问网络设备。
[0025]在本实施例中，登录方式还包括LINUX登陆,方法与windows相同。具体步骤如下:(el)在被访问的电脑上安装桌面登录验证客户端，拦截用户的访问；(e2)在RDP代理服务配置文件中，设置桌面访问的网关URL及需要访问的IP ; (e3)网关服务器验证网关URL及需要访问的IP是否正确，若正确则进入远程设备资源列表界面，若不正确则不动作；(e4)在设备资源列表界面点击需要访问的设备，桌面登录验证客户端拦截，并在电脑桌面上展示二维码锁屏；(e5)使用手机登录IDQ-APP，扫描二维码，生成一次性认证授权信息包并发送到IDQ应用服务器；(e6)IDQ应用服务器接收一次性认证授权信息包，并且通过IDQ应用服务器验证该用户是否有权限访问该设备，并转发该授权信息包到授权服务器进行验证，若验证通过，则告知桌面登录验证客户端解锁，访问网络设备。
[0026]按照上述实施例，便可很好地实现本发明。
【权利要求】
1.基于智能设备的双因子身份验证方法，其特征在于，包括以下步骤: 注册阶段: Ca)创建活动目录服务器，在活动目录服务器数据库中导入由管理员分配的AD账号清单； (b)创建配置服务器，管理维护用户从管理员处分配的机构识别码； (c)将IDQ应用服务器的URL与机构识别码进行绑定； Cd)手机端进行IDQ注册，验证机构识别码和AD账号是否合法，若合法则注册成功，若不合法则注册失败； 登录阶段: Ce)在被访问的电脑上安装桌面登录验证客户端，拦截用户的访问； (f)在RDP代理服务配置文件中，设置桌面访问的网关URL及需要访问的IP； (g)网关服务器验证网关URL及需要访问的IP是否正确，若正确则进入远程设备资源列表界面，若不正确则不动作； (h)在远程设备资源列表界面点击需要访问的设备，桌面登录验证客户端拦截，并在电脑桌面上展示二维码锁屏； (i)手机扫描二维码访问设备和网站； 或设置E-mail，该设备被访问时，桌面登录验证客户端生成身份令牌串然后用过E-mail将其发送至用手机，然后将该令牌串输入到锁屏界面指定的位置，即可解锁访问。
2.根据权利要求1所述的基于智能设备的双因子身份验证方法，其特征在于，所述步骤(d)手机端进行IDQ注册，具体步骤如下: (dl)手机下载安装IDQ-APP并打开，输入机构识别码，IDQ应用服务器接收该机构识别码，发送给配置服务器； (d2)配置服务器验证机构识别码并查询通讯地址即IDQ应用服务器的URL，若查询到该通讯地址，则进入注册界面；若没有查询到，则返回； (d3)在注册界面输入AD账号和密码，IDQ应用服务器接收手机端发起的注册信息，并自动保存用户的注册信息，然后将用户注册的信息发送给活动目录服务器； (d4)活动目录服务器验证AD账号是否为活动目录服务器的合法账号，并返回验证结果给IDQ应用服务器； (d5)IDQ应用服务器根据验证结果，判断该AD账号是否为活动目录服务器的合法可用的账号，若该AD账号为活动目录服务器的合法可用的账号，则注册成功，并保留注册信息；若否，则注册失败。
3.根据权利要求2所述的基于智能设备的双因子身份验证方法，其特征在于，所述用户的注册信息包括手机信息、账号信息、设备信息，并保存在提前预设在IDQ应用服务器的列表中，所述IDQ应用服务器还预设有另一个列表，该列表包括访问的网关URL及需要访问的IP以及资源设备的账号和密码。
4.根据权利要求1所述的基于智能设备的双因子身份验证方法，其特征在于，所述步骤(i)中，用手机扫描二维码访问设备和网站的具体步骤如下: (il)使用手机登录IDQ-APP，扫描二维码，生成一次性认证授权信息包并发送到IDQ应用服务器；(i2)IDQ应用服务器接收一次性认证授权信息包，并且通过IDQ应用服务器验证该用户是否有权限访问该设备，并转发该授权信息包到授权服务器进行验证，若验证通过，则告知桌面登录验证客户端解锁，访问网络设备。
5.根据权利要求4所述的基于智能设备的双因子身份验证方法，其特征在于，所述一次性授权信息包包括二维码数据包及手机应用内的密匙信息。
6.根据权利要求1所述的基于智能设备的双因子身份验证方法，其特征在于，所述步骤(d)中，还可通过注册网站账号，然后授权该网站账号通过手机扫描二维码进行登录，所述授权流程和登录流程包括如下步骤: 授权流程: (Si)用户在二维码登录授权中心点击授权按钮，激活该网站账号通过IDQ平台与手机进行绑定； (s2)打开手机IDQ-APP，输入登陆IDQ-APP的密码，扫描二维码，IDQ应用服务器将用户注册信息与列表中的被授权网站的URL相互连通，让用户注册信息与网站的相关信息产生映射关系； 登录流程: (s3)用户点击登录，验证服务器拦截并在站点界面上展示二维码锁屏； (s4)用户使用手机 登录IDQ-APP扫描二维码，生成扫描验证包并发送到IDQ应用服务器； (s5)IDQ应用服务器接收扫描验证包，并转发该扫描验证包到授权服务器验证，若验证通过，则解除二维码锁定完成登录。
7.根据权利要求6所述的基于智能设备的双因子身份验证方法，其特征在于，所述扫描验证包包括访问来源、信道、账号及手机硬件信息。
【文档编号】H04L9/32GK103986584SQ201410257336
【公开日】2014年8月13日 申请日期:2014年6月11日 优先权日:2014年6月11日
【发明者】胥寅, 张采荣 申请人:四川省宁潮科技有限公司