身份验证方法、装置和存储介质与流程

本公开涉及网络安全领域，尤其涉及一种身份验证方法、装置和存储介质。

背景技术：

近年来，随着互联网的发展，越来越多的公司通过移动互联网和电子设备提供网上交易、移动支付和网上银行等在线服务。为了在上述在线服务中保护用户的财产和隐私，网络安全成为其中非常重要的一环，用户登录时的身份验证就是网络安全中较为普遍的保护方法。身份验证又称“验证”、“鉴权”，是指通过一定的手段，完成对用户身份的确认。相关技术中，身份验证包括相对简单地输入用户名和密码的方式，以及较为复杂的多因素身份认证解决方案，该多因素认证解决方案涉及发送至用户控制的移动终端的sms(短消息服务)消息以及生物测量数据等等。

技术实现要素：

为克服相关技术中存在的问题，本公开提供一种身份验证方法、装置和存储介质。

根据本公开实施例的第一方面，提供一种身份验证方法，应用于网关设备，所述方法包括：

接收用户设备发起的基于第一用户账号访问目标网络应用服务的访问请求；

响应于所述访问请求，获取已生成的与所述目标网络应用服务以及所述第一用户账号对应的私钥；

向所述目标网络应用服务的服务器发送所述访问请求，所述访问请求中携带利用所述私钥对所述网关设备的指定信息的签名，用于所述服务器通过与所述私钥对应的公钥对所述签名进行验证来对所述第一用户账号进行身份验证。

可选的，在所述接收用户设备发起的基于第一用户账号访问目标网络应用服务的访问请求之前，所述方法还包括：

接收所述用户设备发送的配置请求，所述配置请求中包含所述第一用户账号和密码；

通过所述第一用户账号和密码向所述服务器进行所述第一用户账号的身份验证；

当所述第一用户账号通过验证时，生成所述公钥和所述私钥；

储存所述私钥；

将所述公钥发送至所述服务器。

可选的，所述在所述接收用户设备发起的基于第一用户账号访问目标网络应用服务的访问请求之前，所述方法还包括：

接收所述用户设备发送的配置请求，所述配置请求中包含所述第一用户账号，以及与所述第一用户账号绑定的通信号码；

向所述服务器发送验证请求，所述验证请求中包含所述第一用户账号和所述通信号码，用于所述服务器向所述通信号码发送验证码；

接收用户设备上传的验证码，并发送至所述服务器，所述验证码用于所述服务器对所述第一用户账号进行身份验证；

当所述第一用户账号通过验证时，生成所述公钥和所述私钥；

储存所述私钥；

将所述公钥发送至所述服务器。

可选的，所述向所述目标网络应用服务的服务器发送所述访问请求，所述访问请求中携带利用所述私钥对所述网关设备的指定信息的签名，包括：

利用所述私钥对所述网关设备的id的进行签名处理，得到所述签名；

向所述目标网络应用服务的服务器发送携带所述签名的所述访问请求。

可选的，所述向所述目标网络应用服务的服务器发送携带所述签名的所述访问请求，包括：

在所述访问请求中的所述目标网络应用服务的url后添加包含所述签名的字段；

将添加包含所述签名的字段后的所述访问请求发送至所述服务器。

根据本公开实施例的第二方面，提供一种身份验证方法，应用于服务器，所述方法包括：

从网关设备接收用户设备的访问请求，所述访问请求是所述用户设备通过第一用户账号访问目标网络应用服务的访问请求；

当确定所述访问请求中携带了所述网关设备利用私钥对所述网关设备的指定信息的签名时，获取已存储的与所述私钥对应的公钥，所述公钥是由所述网关设备生成后发送至所述服务器的；

通过所述公钥对所述签名进行验证，所述私钥和所述公钥与所述目标网络应用服务以及所述第一用户账号对应；

当所述签名通过验证时，确认所述第一用户账号通过验证。

可选的，所述方法还包括：

当确定所述访问请求中未携带所述签名时，向所述第一用户账号绑定的通信号码发送验证码；或者，

当所述签名验证失败时，向所述第一用户账号绑定的通信号码发送验证码。

根据本公开实施例的第三方面，提供一种身份验证装置，应用于网关设备，所述装置包括：

接收模块，被配置为接收用户设备发起的基于第一用户账号访问目标网络应用服务的访问请求；

密钥获取模块，被配置为响应于所述访问请求，获取已生成的与所述目标网络应用服务以及所述第一用户账号对应的私钥；

发送模块，被配置为向所述目标网络应用服务的服务器发送所述访问请求，所述访问请求中携带利用所述私钥对所述网关设备的指定信息的签名，用于所述服务器通过与所述私钥对应的公钥对所述签名进行验证来对所述第一用户账号进行身份验证。

可选的，在所述接收模块之前，所述装置还包括：

配置接收模块，被配置为接收所述用户设备发送的配置请求，所述配置请求中包含所述第一用户账号和密码；

账号验证模块，被配置为通过所述第一用户账号和密码向所述服务器进行所述第一用户账号的身份验证；

密钥生成模块，被配置为当所述第一用户账号通过验证时，生成所述公钥和所述私钥；

密钥储存模块，被配置为储存所述私钥；

密钥发送模块，被配置为将所述公钥发送至所述服务器。

可选的，所述在所述接收模块之前，所述装置还包括：

配置接收模块，被配置为接收所述用户设备发送的配置请求，所述配置请求中包含所述第一用户账号，以及与所述第一用户账号绑定的通信号码；

账号验证模块，被配置为向所述服务器发送验证请求，所述验证请求中包含所述第一用户账号和所述通信号码，用于所述服务器向所述通信号码发送验证码；

验证码转发模块，被配置为接收用户设备上传的验证码，并发送至所述服务器，所述验证码用于所述服务器对所述第一用户账号进行身份验证；

密钥生成模块，被配置为当所述第一用户账号通过验证时，生成所述公钥和所述私钥；

密钥储存模块，被配置为储存所述私钥；

密钥发送模块，被配置为将所述公钥发送至所述服务器。

可选的，所述发送模块，包括：

签名获取子模块，被配置为利用所述私钥对所述网关设备的id的进行签名处理，得到所述签名；

访问发送子模块，被配置为向所述目标网络应用服务的服务器发送携带所述签名的所述访问请求。

可选的，所述访问发送子模块，被配置为：

在所述访问请求中的所述目标网络应用服务的url后添加包含所述签名的字段；

将添加包含所述签名的字段后的所述访问请求发送至所述服务器。

根据本公开实施例的第四方面，提供一种身份验证装置，应用于服务器，所述装置包括：

接收模块，被配置为从网关设备接收用户设备的访问请求，所述访问请求是所述用户设备通过第一用户账号访问目标网络应用服务的访问请求；

密钥获取模块，被配置为当确定所述访问请求中携带了所述网关设备利用私钥对所述网关设备的指定信息的签名时，获取已存储的与所述私钥对应的公钥，所述公钥是由所述网关设备生成后发送至所述服务器的；

签名验证模块，被配置为通过所述公钥对所述签名进行验证，所述私钥和所述公钥与所述目标网络应用服务以及所述第一用户账号对应；

验证确认模块，被配置为当所述签名通过验证时，确认所述第一用户账号通过验证。

可选的，所述装置还包括：

验证码发送模块，被配置为当确定所述访问请求中未携带所述签名时，向所述第一用户账号绑定的通信号码发送验证码；或者，

当所述签名验证失败时，向所述第一用户账号绑定的通信号码发送验证码。

根据本公开实施例的第五方面，提供一种计算机可读存储介质，其上存储有计算机程序指令，该程序指令被处理器执行时实现本公开第一方面所提供的身份验证方法的步骤。

根据本公开实施例的第六方面，提供一种计算机可读存储介质，其上存储有计算机程序指令，该程序指令被处理器执行时实现本公开第二方面所提供的身份验证方法的步骤。

本公开的实施例提供的技术方案可以包括以下有益效果：

本公开实施例能够接收用户设备发起的基于第一用户账号访问目标网络应用服务的访问请求；响应于该访问请求，获取已生成的与该目标网络应用服务以及该第一用户账号对应的私钥；向该目标网络应用服务的服务器发送该访问请求，该访问请求中携带利用该私钥对该网关设备的指定信息的签名，用于该服务器通过与该私钥对应的公钥对该签名进行验证来对该第一用户账号进行身份验证。能够通过将网关设备配置为针对于网络应用服务的用户账号的安全设备，免除用户登录网络应用服务时需要进行的包括短信息验证等的多因素身份验证过程，在保证安全性的前提下简化用户登录过程，优化网络服务体验。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。

图1是根据一示例性实施例示出的一种身份验证方法的流程图。

图2是根据一示例性实施例示出的另一种身份验证方法的流程图。

图3是根据一示例性实施例示出的又一种身份验证方法的流程图。

图4是根据一示例性实施例示出的一种访问请求发送方法的流程图。

图5是根据另一示例性实施例示出的一种身份验证方法的流程图。

图6是根据另一示例性实施例示出的另一种身份验证方法的流程图。

图7是根据一示例性实施例示出的一种身份验证流程的示意图。

图8是根据一示例性实施例示出的一种用于网关设备的身份验证装置的框图。

图9是根据一示例性实施例示出的另一种用于网关设备的身份验证装置的框图。

图10是根据一示例性实施例示出的又一种用于网关设备的身份验证装置的框图。

图11是根据一示例性实施例示出的一种发送模块的框图。

图12是根据一示例性实施例示出的一种用于服务器的身份验证装置的框图。

图13是根据一示例性实施例示出的另一种用于服务器的身份验证装置的框图。

图14是根据一示例性实施例示出的一种用于身份验证的装置的框图。

图15是根据一示例性实施例示出的另一种用于身份验证的装置的框图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。

在介绍本公开提供的身份验证方法之前，首先对本公开所涉及应用场景进行介绍，该应用场景可以包括一网关设备和一服务器。该网关设备可以为能够在多个网络间提供数据转换服务的计算机系统和设备，例如可以是路由器以及支持路由功能的交换机、集线器甚至计算机等。该服务器可以为一种能够为网络应用或者业务网站提供储存和计算服务的服务器，例如可以是文件服务器，数据库服务器，应用程序服务器，web服务器等。现在通过下面的实施例对本公开提供的身份验证方法进行说明。

图1是根据一示例性实施例示出的一种身份验证方法的流程图，该身份验证方法用于网关设备中，本实施例以该网关设备为上述的应用场景中所述的路由器为例进行说明，如图1所示，该身份验证方法包括以下步骤。

在步骤101中，接收用户设备发起的基于第一用户账号访问目标网络应用服务的访问请求。

示例地，该用户设备为用户对网络应用服务进行登录和使用的电子设备，例如可以为智能手机。该第一用户账号为登录该网络应用服务所需的用户账号。当用户在某个路由器提供的网络环境下利用该电子设备通过该第一用户账号对该目标网络应用服务器进行访问时，首先由该路由器对该访问请求进行识别和处理。

在步骤102中，响应于该访问请求，获取已生成的与该目标网络应用服务以及该第一用户账号对应的私钥。

示例地，当该路由器接收到该访问请求时，首先确认该路由器中是否有已生成的与该目标网络应用服务以及该第一用户账号对应的私钥，当确认该路由器中存在该私钥时，获取该私钥的密钥信息，其中该私钥以及与其对应的公钥，是预先对该路由器进行配置后生成的密钥对，该密钥对与该目标网络应用服务以及该第一用户账号对应，从而实现将该路由器配置为可信的安全网关的目的。数字签名技术是基于非对称加密算法的一种签名技术，通常是通过将指定内容的摘要信息用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要信息，然后用hash(哈希)函数对收到的原文产生一个摘要信息，与解密的摘要信息对比，如果相同，则说明收到的信息是完整的，在传输过程中没有被修改，否则说明信息被修改过，因此数字签名能够验证信息的完整性，以及能够对发送者的身份进行验证。

在步骤103中，向该目标网络应用服务的服务器发送该访问请求，该访问请求中携带利用该私钥对该网关设备的指定信息的签名。

示例地，该指定信息可以为网关设备的id，以路由器为例，该指定信息可以为路由器的mac(mediaaccesscontrol，介质访问控制)地址，在向该目标网络应用服务的服务器发送该访问请求之前，需要利用该私钥对该mac地址进行数字签名处理，得到对应的签名，再将该签名添加至该访问请求的数据信息中，示例地，该数据信息可以为该访问请求中的该目标网络应用服务的url(uniformresourcelocator，统一资源定位符)。

其中，该访问请求用于该服务器通过与该私钥对应的公钥对该签名进行验证来对该第一用户账号进行身份验证。

综上所述，本公开实施例能够接收用户设备发起的基于第一用户账号访问目标网络应用服务的访问请求；响应于该访问请求，获取已生成的与该目标网络应用服务以及该第一用户账号对应的私钥；向该目标网络应用服务的服务器发送该访问请求，该访问请求中携带利用该私钥对该网关设备的指定信息的签名，用于该服务器通过与该私钥对应的公钥对该签名进行验证来对该第一用户账号进行身份验证。能够通过将网关设备配置为针对于网络应用服务的用户账号的安全设备，免除用户登录网络应用服务时需要进行的包括短信息验证的多因素身份验证过程，在保证安全性的前提下简化用户登录过程，优化网络服务体验。

图2是根据一示例性实施例示出的另一种身份验证方法的流程图，如图2所示，该身份验证方法用于网关设备中，在步骤101之前，还可以包括以下步骤。

在步骤104中，接收该用户设备发送的配置请求，该配置请求中包含该第一用户账号和密码。

在步骤105中，通过该第一用户账号和密码向该服务器进行该第一用户账号的身份验证。

示例地，当路由器接收到用户设备发送的配置请求时，首先需要确认该配置请求中的第一用户账号和密码是否能够通过目标网络应用服务的服务器的身份验证，即确认该第一用户账号是否为能够登录该目标网络应用服务的合法账号。

在步骤106中，当该第一用户账号通过验证时，生成该公钥和该私钥。

在步骤107中，储存该私钥。

在步骤108中，将该公钥发送至该服务器。

由此可见，在步骤101之前，需要对路由器进行安全配置，用户通过在自己信任的路由器(例如家里或者办公室的路由器)中输入目标网络应用服务的第一用户账号和密码后，由该路由器验证该第一用户账号是能够登录该目标网络应用服务的合法账号，验证成功后该路由器可以生成与该第一用户账号对应的密钥对。经过上述安全配置过程，该路由器被设置为针对于该目标网络应用服务以及该第一用户账号的安全路由器。

或者在另一种方式中，也可以采用账号加验证码的方式对路由器进行配置，图3是根据一示例性实施例示出的又一种身份验证方法的流程图，如图3所示，该身份验证方法用于网关设备中，在步骤101之前，还可以包括以下步骤。

在步骤109中，接收该用户设备发送的配置请求，该配置请求中包含该第一用户账号，以及与该第一用户账号绑定的通信号码。

在步骤110中，向该服务器发送验证请求，该验证请求中包含该第一用户账号和该通信号码。

其中，该验证请求用于该服务器向该通信号码发送验证码。

在步骤111中，接收用户设备上传的验证码，并发送至该服务器，该验证码用于该服务器对该第一用户账号进行身份验证。

即用户通过在自己信任的路由器(例如家里或者办公室的路由器)中输入目标网络应用服务的第一用户账号，以及服务器发送的验证码来对该第一用户账号，验证成功后该路由器可以生成与该第一用户账号对应的密钥对。经过上述安全配置过程，该路由器被设置为针对于该目标网络应用服务以及该第一用户账号的安全路由器。

图4是根据一示例性实施例示出的一种访问请求发送方法的流程图，如图4所示，该步骤103包括以下步骤。

在步骤1031中，利用该私钥对该网关设备的id的进行签名处理，得到该签名。

在步骤1032中，向该目标网络应用服务的服务器发送携带该签名的访问请求。

示例地，该步骤1032可以包括：在该访问请求中的该目标网络应用服务的url后添加包含该签名的字段；将添加包含该签名的字段后的访问请求发送至服务器。

图5是根据另一示例性实施例示出的一种身份验证方法的流程图，该身份验证方法用于上述的应用场景中所述的服务器中，如图5所示，该身份验证方法包括以下步骤。

在步骤201中，从网关设备接收用户设备的访问请求，该访问请求是该用户设备通过第一用户账号访问目标网络应用服务的访问请求。

在步骤202中，当确定该访问请求中携带了该网关设备利用私钥对该网关设备的指定信息的签名时，获取已存储的与该私钥对应的公钥。

其中，该公钥是由该网关设备生成后发送至该服务器的。该公钥由服务器储存，并在接收到该访问请求时，由服务器根据该访问请求中携带的签名查找并获取对应的公钥。

在步骤203中，通过该公钥对该签名进行验证，该私钥和该公钥与该目标网络应用服务以及该第一用户账号对应。

示例地，通过该公钥对该访问请求中携带的该网关设备利用私钥对路由器的mac地址的签名进行验证。其中，网关设备利用私钥对路由器的mac地址的签名可以是路由器利用该私钥对该路由器的mac地址进行签名操作得到的签名，相应的，服务器利用该公钥对该签名进行验证，可以是该服务器利用该公钥对该签名进行解密，并将解密后得到的数据与该mac地址的原文(或是利用该预设hash算法得到的该mac地址的摘要)进行对比，当解密后的数据与mac地址的原文一致时，确定该签名通过验证。或者，上述签名可以是对该mac地址的摘要进行的签名，该摘要可以是利用预设hash算法得到的该mac地址哈希值，在此情况下，该服务器利用该公钥对该签名进行解密后，将解密后得到的数据与该mac地址的摘要原文进行对比，如果一致，则确定该签名通过验证。

在步骤204中，当该签名通过验证时，确认该第一用户账号通过验证。

图6是根据另一示例性实施例示出的另一种身份验证方法的流程图，该身份验证方法用于上述的应用场景中所述的服务器中，如图6所示，该身份验证方法还可以包括以下步骤。

在步骤205中，当确定该访问请求中未携带该签名时，向该第一用户账号绑定的通信号码发送验证码。

在步骤206中，当该签名验证失败时，向该第一用户账号绑定的通信号码发送验证码。

示例地，当该访问请求中未携带该签名或者该签名验证失败时，可以确认该第一用户账号无法通过安全路由器的方式被验证，因此需要重新发送验证码，以对该第一用户账号身份验证。

图7是根据一示例性实施例示出的一种身份验证流程的示意图，其中，以网关设备为路由器为例，在该流程中可以包括用户设备710，路由器720，目标网络应用服务的服务器730。

用户首先需要将该路由器720配置为安全路由器，如图7所示，配置安全路由器的过程可以包括以下步骤：

在步骤701中，该用户设备710首先向该路由器720发送配置请求，该配置请求包括用户账号和密码，该用户账号和密码能够用于访问该目标网络应用服务；

在步骤702中，响应于该配置请求，该路由器720将该配置请求中的用户账号和密码发送至该服务器730；

在步骤703中，该服务器730进行身份验证并得到验证结果；

在步骤704中，该服务器730将该验证结果发送至路由器720；

在步骤705中，当该验证结果为验证通过时，该路由器720生成该用户账号对应的公钥和私钥；

在步骤706中，该路由器720保存该私钥，并将该公钥发送至该服务器730。

在前述配置过程完成后，用户使用该用户账号通过该路由器720对该服务器730进行访问时，用户不必再输入用户账号和密码，可以包括以下步骤：

在步骤707中，该路由器720接收该用户设备710发送的访问请求；

在步骤708中，该路由器720利用该私钥对该路由器720的id的进行签名；

在步骤709中，将携带该签名的访问请求发送至该服务器730；

在步骤710中，该服务器730通过已储存的公钥对该签名进行验证，得到验证结果；

在步骤711中，当该签名通过验证时，服务器730向该用户设备710返回允许该用户账号进行登录的信息；或者，

在步骤712中，当确定该访问请求中未携带该签名，或者该签名验证失败时，向该用户账号绑定的通信号码发送验证码(该步骤712未在图中示出)。

综上所述，在本公开实施例中，网关设备能够接收用户设备发起的基于第一用户账号访问目标网络应用服务的访问请求，并响应于该访问请求，获取已生成的与该目标网络应用服务以及该第一用户账号对应的私钥，而后网关设备向该目标网络应用服务的服务器发送该访问请求，该访问请求中携带利用该私钥对该网关设备的指定信息的签名，而后该服务器通过与该私钥对应的公钥对该签名进行验证来对该第一用户账号进行身份验证。由此可见，本公开提供的技术方案能够通过将网关设备配置为针对于网络应用服务的用户账号的安全设备，免除用户登录网络应用服务时需要进行的包括短信息验证的多因素身份验证过程，在保证安全性的前提下简化用户登录过程，优化网络服务体验。

图8是根据一示例性实施例示出的一种用于网关设备的身份验证装置框图，该用于网关设备的身份验证装置300可以用于执行图1所述的方法，该装置300可以通过软件、硬件或者两者的结合实现成为网关设备的部分或者全部。参照图8，该身份验证装置300包括：

接收模块310，被配置为接收用户设备发起的基于第一用户账号访问目标网络应用服务的访问请求；

密钥获取模块320，被配置为响应于该访问请求，获取已生成的与该目标网络应用服务以及该第一用户账号对应的私钥；

发送模块330，被配置为向该目标网络应用服务的服务器发送该访问请求，该访问请求中携带利用该私钥对该网关设备的指定信息的签名，用于该服务器通过与该私钥对应的公钥对该签名进行验证来对该第一用户账号进行身份验证。

图9是根据一示例性实施例示出的另一种用于网关设备的身份验证装置框图，该用于网关设备的身份验证装置300可以用于执行图2所述的方法，该装置300可以通过软件、硬件或者两者的结合实现成为网关设备的部分或者全部。参照图9，该身份验证装置300还可以包括：

配置接收模块340，被配置为接收该用户设备发送的配置请求，该配置请求中包含该第一用户账号和密码；

账号验证模块350，被配置为通过该第一用户账号和密码向该服务器进行该第一用户账号的身份验证；

密钥生成模块360，被配置为当该第一用户账号通过验证时，生成该公钥和该私钥；

密钥储存模块370，被配置为储存该私钥；

密钥发送模块380，被配置为将该公钥发送至该服务器。

图10是根据一示例性实施例示出的又一种用于网关设备的身份验证装置框图，该用于网关设备的身份验证装置300可以用于执行图3所述的方法，该装置300可以通过软件、硬件或者两者的结合实现成为网关设备的部分或者全部。参照图10，该身份验证装置300还可以包括：

配置接收模块340，被配置为接收该用户设备发送的配置请求，该配置请求中包含该第一用户账号，以及与该第一用户账号绑定的通信号码；

账号验证模块350，被配置为向该服务器发送验证请求，该验证请求中包含该第一用户账号和该通信号码，用于该服务器向该通信号码发送验证码；

验证码转发模块390，被配置为接收用户设备上传的验证码，并发送至该服务器，该验证码用于该服务器对该第一用户账号进行身份验证；

密钥生成模块360，被配置为当该第一用户账号通过验证时，生成该公钥和该私钥；

密钥储存模块370，被配置为储存该私钥；

密钥发送模块380，被配置为将该公钥发送至该服务器。

图11是根据一示例性实施例示出的一种发送模块的框图，该发送模块330可以用于执行图4所述的方法。参照图11，该发送模块330包括：

签名获取子模块331，被配置为利用所述私钥对所述网关设备的id的进行签名处理，得到该签名；

访问发送子模块332，被配置为向该目标网络应用服务的服务器发送携带该签名的访问请求。

可选的，该访问发送子模块332，可以被配置为：

在该访问请求中的该目标网络应用服务的url后添加包含该签名的字段；

将添加包含该签名的字段后的访问请求发送至该服务器。

图12是根据另一示例性实施例示出的一种用于服务器的身份验证装置框图，该用于服务器的身份验证装置400可以用于执行图5所述的方法，该装置400可以通过软件、硬件或者两者的结合实现成为服务器的部分或者全部。参照图12，该身份验证装置400包括：

接收模块410，被配置为从网关设备接收用户设备的访问请求，该访问请求是该用户设备通过第一用户账号访问目标网络应用服务的访问请求。

密钥获取模块420，被配置为当确定该访问请求中携带了该网关设备利用私钥对该网关设备的指定信息的签名时，获取已存储的与该私钥对应的公钥，该公钥是由该网关设备生成后发送至该服务器的；

签名验证模块430，被配置为通过该公钥对该签名进行验证，该私钥和该公钥与该目标网络应用服务以及该第一用户账号对应；

验证确认模块440，被配置为当该签名通过验证时，确认该第一用户账号通过验证。

图13是根据另一示例性实施例示出的另一种用于服务器的身份验证装置框图，该用于服务器的身份验证装置400可以用于执行图6所述的方法。参照图13，该身份验证装置400包括：

验证码发送模块450，被配置为当确定该访问请求中未携带该签名时，向该第一用户账号绑定的通信号码发送验证码；或者，当该签名验证失败时，向该第一用户账号绑定的通信号码发送验证码。

在上述技术方案中，首先接收用户设备发起的访问请求，该访问请求时该用户设备通过第一用户账号访问目标网络应用服务的访问请求；然后，响应于该访问请求，获取已生成的与该目标网络应用服务以及该第一用户账号对应的私钥；最后，向该目标网络应用服务的服务器发送该访问请求，该访问请求中携带利用该私钥对该网关设备的指定信息的签名，用于该服务器通过与该私钥对应的公钥对该签名进行验证来对该第一用户账号进行身份验证。能够通过将网关设备配置为针对于网络应用服务的用户账号的安全设备，免除用户登录网络应用服务时需要进行的包括短信息验证的多因素身份验证过程，在保证安全性的前提下简化用户登录过程，优化网络服务体验。

关于上述实施例中的装置，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。

本公开还提供一种计算机可读存储介质，其上存储有计算机程序指令，该程序指令被处理器执行时实现本公开提供的身份验证方法的步骤。

图14是根据一示例性实施例示出的一种用于身份验证的装置1400的框图。例如，装置1400可以是网关设备、路由器、集线器以及交换机等。

参照图14，装置1400可以包括以下一个或多个组件：处理组件1402，存储器1404，电力组件1406，输入/输出(i/o)的接口1412，以及通信组件1416。

处理组件1402通常控制装置1400的整体操作，诸如与显示，电话呼叫，数据通信，相机操作和记录操作相关联的操作。处理组件1402可以包括一个或多个处理器1420来执行指令，以完成上述身份验证方法的全部或部分步骤。此外，处理组件1402可以包括一个或多个模块，便于处理组件1402和其他组件之间的交互。

存储器1404被配置为存储各种类型的数据以支持在装置1400的操作。这些数据的示例包括用于在装置1400上操作的任何应用程序或方法的指令，联系人数据，电话簿数据，消息，图片，视频等。存储器1404可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(sram)，电可擦除可编程只读存储器(eeprom)，可擦除可编程只读存储器(eprom)，可编程只读存储器(prom)，只读存储器(rom)，磁存储器，快闪存储器，磁盘或光盘。

电力组件1406为装置1400的各种组件提供电力。电力组件1406可以包括电源管理系统，一个或多个电源，及其他与为装置1400生成、管理和分配电力相关联的组件。

i/o接口1412为处理组件1402和外围接口模块之间提供接口，上述外围接口模块可以是键盘，点击轮，按钮等。

通信组件1416被配置为便于装置1400和其他设备之间有线或无线方式的通信。装置1400可以接入基于通信标准的无线网络，如wifi，2g或3g，或它们的组合。在一个示例性实施例中，通信组件1416经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中，所述通信组件1416还包括近场通信(nfc)模块，以促进短程通信。例如，在nfc模块可基于射频识别(rfid)技术，红外数据协会(irda)技术，超宽带(uwb)技术，蓝牙(bt)技术和其他技术来实现。

在示例性实施例中，装置1400可以被一个或多个应用专用集成电路(asic)、数字信号处理器(dsp)、数字信号处理设备(dspd)、可编程逻辑器件(pld)、现场可编程门阵列(fpga)、控制器、微控制器、微处理器或其他电子元件实现，用于执行上述身份验证方法。

在示例性实施例中，还提供了一种包括指令的非临时性计算机可读存储介质，例如包括指令的存储器1404，上述指令可由装置1400的处理器1420执行以完成上述身份验证方法。例如，所述非临时性计算机可读存储介质可以是rom、随机存取存储器(ram)、cd-rom、磁带、软盘和光数据存储设备等。

图15是根据一示例性实施例示出的一种用于身份验证的装置1500的框图。例如，装置1500可以被提供为一服务器。参照图15，装置1500包括处理组件1522，其进一步包括一个或多个处理器，以及由存储器1532所代表的存储器资源，用于存储可由处理组件1522的执行的指令，例如应用程序。存储器1532中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外，处理组件1522被配置为执行指令，以执行上述身份验证方法。

装置1500还可以包括一个电源组件1526被配置为执行装置1500的电源管理，一个有线或无线网络接口1550被配置为将装置1500连接到网络，和一个输入输出(i/o)接口1558。装置1500可以操作基于存储在存储器1532的操作系统，例如windowsservertm，macosxtm，unixtm,linuxtm，freebsdtm或类似。

本领域技术人员在考虑说明书及实践本公开后，将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本公开的真正范围和精神由下面的权利要求指出。

应当理解的是，本公开并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限制。