一种网络身份认证装置及一种登录器的制作方法

本实用新型涉及信息安全技术控制技术领域，更具体地说，涉及一种网络身份认证装置及一种登录器。

背景技术：

随着互联网规模的扩张及用户使用需求的增大，网络空间发展给我们带来方便快捷的同时，也为个人及国家安全和社会稳定带来新的挑战，传统基于字符型“用户名-密码”的网络身份认证管理机制因其使用简单、可靠性强、易于部署、成本低廉而成为当前主流的网络身份认证管理机制。

然而如今单个用户需要面对在多个网站上注册网络身份、同时管理多个网络身份的场景，由此可能遭受到如密码疲劳、钓鱼诈骗、撞库攻击等一系列严重的网络安全威胁。

例如，某用户在多个网站上注册了网络身份，为了提高安全性，不同网络身份需要设置不同的用户名和密码。为此该用户需同时记忆很多用户名和密码，易造成多个用户名及密码混淆不清，用户体验很差。这就是所谓“密码疲劳”问题。

为方便起见，大多数用户选择相同的或近似的用户名且共享一个密码，这样虽然易于记忆，但安全性较低。一旦一个账号被盗，所有账号都有被泄露的风险。黑客可以通过尝试使用已经泄露的身份信息或常用密码去登录，非法获得大量的用户网络身份信息。这就是所谓的“撞库”攻击。

因此，如何在避免密码疲劳的前提下，提高了网络身份认证的安全性是本领域技术人员需要解决的问题。

技术实现要素：

本实用新型的目的在于提供一种网络身份认证装置及一种登录器，在避免密码疲劳的前提下，提高了网络身份认证的安全性。

为实现上述目的，本实用新型实施例提供了一种网络身份认证装置，包括上网终端和与所述上网终端相连的网站服务器，还包括：

与所述上网终端相连，用于生成并向第二服务器发送目标网站的注册信息的第一服务器；

与所述第一服务器和所述网站服务器相连，用于利用所述注册信息向所述网站服务器发送认证请求完成认证操作的所述第二服务器。

其中，所述第二服务器直接与所述网站服务器相连，用于直接将所述目标网站的身份信息和所述注册信息发送至所述网站服务器完成认证操作。

其中，所述第二服务器通过所述上网终端与所述网站服务器相连，用于向所述上网终端转发所述目标网站的身份信息和所述注册信息，以便所述上网终端向所述网站服务器完成认证操作。

其中，所述第二服务器包括上网终端扩展和扩展服务器；

所述上网终端扩展连接所述上网终端和所述第一服务器；

所述扩展服务器连接所述第一服务器和所述上网终端扩展。

为实现上述目的，本实用新型实施例提供了一种登录器，包括上述网络身份认证装置，用于登录终端设备。

通过以上方案可知，本实用新型实施例提供的一种网络身份认证装置包括上网终端和与所述上网终端相连的网站服务器，还包括：与所述上网终端相连，用于生成并向第二服务器发送目标网站的注册信息的第一服务器；与所述第一服务器和所述网站服务器相连，用于利用所述注册信息向所述网站服务器发送认证请求完成认证操作的所述第二服务器。

本实用新型实施例提供的网络身份认证装置，第一服务器可以为用户在每一个需要注册的目标网站上自动生成不同的用户名和密码，用户不需要记住这些用户名和密码，在需要注册或登录目标网站时，不需要从目标网站下载所需应用程序，第二服务器可以直接将带有用户名和密码的注册信息发送至网站服务器完成认证操作，避免由于用户名密码过于相似造成的撞库攻击。由此可见，本实用新型实施例提供的网络身份认证装置，在避免密码疲劳的前提下，提高了网络身份认证的安全性。本实用新型还公开了一种登录器，同样能实现上述技术效果。

附图说明

为了更清楚地说明本实用新型实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本实用新型的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本实用新型实施例公开的一种网络身份认证装置的结构示意图；

图2为本实用新型实施例公开的另一种网络身份认证装置的结构示意图。

具体实施方式

下面将结合本实用新型实施例中的附图，对本实用新型实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本实用新型一部分实施例，而不是全部的实施例。基于本实用新型中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本实用新型保护的范围。

本实用新型实施例公开了一种网络身份认证装置，在避免密码疲劳的前提下，提高了网络身份认证的安全性。

参见图1，图1为本实用新型实施例公开的一种网络身份认证装置的结构示意图，如图1所示，包括上网终端101和与所述上网终端101相连的网站服务器102，还包括：

与所述上网终端相连，用于生成并向第二服务器发送目标网站的注册信息的第一服务器103；

与所述第一服务器和所述网站服务器相连，用于利用所述注册信息向所述网站服务器发送认证请求完成认证操作的所述第二服务器104。

本实施例中，网络身份认证装置具体的工作流程如下：

S1：第一服务器通过上网终端获取目标网站的身份信息和注册规则；

此步骤的目的在于获取目标网站的身份信息和注册规则，以便后续步骤根据注册规则自动生成目标网站的注册信息，该注册信息可以包括登录该目标网站的用户名和密码，利用身份信息和注册信息访问该目标网站。

在具体实施中，上网终端通过网站服务器获取目标网站的身份信息和注册规则，并将该身份信息和注册规则发送至第一服务器。所述身份信息包括所述目标网站的网址和会话信息。

可以理解的是，第一服务器获取目标网站的身份信息和注册规则存在多种方式，在此不作具体限定，本领域技术人员可以根据实际情况灵活选择。例如，第二服务器根据上网终端请求显示的目标网站，得到目标网站的身份信息和注册规则，并自动或在用户点击输入框时生成对应的二维码传回至上网终端显示，第一服务器扫描二维码，与第二服务器建立安全连接，并通过安全连接从第二服务器获取目标网站的身份信息和注册规则。

又如，第一服务器先与第二服务器建立安全连接，第二服务器根据上网终端请求显示的目标网站，得到目标网站的身份信息和注册规则后，在用户点击上网终端上页面中的相应输入框时，将目标网站的身份信息和注册规则通过安全连接发送给第一服务器。

需要说明的是，在上述例子中建立安全连接的方式有很多，在此不作具体限定。例如，第一服务器可以通过登录第二服务器的方式与第二服务器建立安全连接。又如，第二服务器根据上网终端请求显示的目标网站得到其身份信息，产生唯一会话标识符(session ID)，并生成包含该唯一会话标识符的二维码，第一服务器通过扫描二维码的方式得到所述唯一会话标识符，并将所述唯一会话标识符发送至第二服务器，第二服务器对接收到的唯一会话标识符进行校验，若校验成功则完成第一服务器与第二服务器之间建立安全连接的操作。

第一服务器是一个可以被用户信任，帮助用户自动生成账户信息的计算机系统。需要说明的是，每个用户可以授权多个第一服务器，但一个第一服务器只能为一个用户服务。

此步骤默认第一服务器已经被用户授权并激活。其中，用户激活该第一服务器可以有多种方式，在此不作具体限定。例如，用户可以为该第一服务器设置一个主密码，通过输入主密码的方式激活该第一服务器。又如，用户可以通过输入已经授权的生物体征的方式激活该第一服务器，生物体征可以包括用户的虹膜信息、指纹信息、音频信息等，在此不作具体限定。

第一服务器通过上网终端获取目标网站的身份信息和注册规则之后，还可以包括根据所述身份信息判断所述目标网站是否为钓鱼网站的步骤。当然，本领域技术人员可以选择任意一种方式判断目标网站是否为钓鱼网站，都在本实用新型实施例的保护范围内。例如，可以通过特征提取器提取该目标网站的特征向量，并将得到的特征向量输入训练完成的分类器中进行分类，从而判断该目标网站是否为钓鱼网站。当目标网站为钓鱼网站时，可以通过上网终端向用户发送告警提示，可以理解的是，告警提示的方式也存在多种形式，如弹出提示框、音频等方式，在此不作具体限定。

S2：根据所述身份信息得到所述目标网站的注册信息，或根据所述注册规则生成所述注册信息；

在具体实施中，第一服务器可以代替用户自动完成账户信息(即用户名和密码)的生成，网站服务器需将注册时所需的信息(如邮箱、手机号等)及对用户名及密码的规则要求以约定的(如JSON)格式告知第一服务器，如有必要，第一服务器可以根据服务器端的要求从其他途径获取所需信息(可以包括第一服务器的软硬件的序列号等)，并利用这些信息按服务器要求的规则生成用户名和密码，连同所述用户提供的其他信息(当然也可以包括第一服务器自动获取的其他信息)，生成所述目标网站的所需注册信息。

需要说明的是，第一服务器还可以实现用户已注册的网络身份的管理。用户已经注册的网络身份信息，即已注册过网站的用户名和密码可以存储在第一服务器中，用户可以随时添加新注册的账号或是删除曾经注册过的旧账号并在云端及多个第一服务器之间备份和同步。

在生成所述注册信息之前，第一服务器可以根据所述身份信息找到所述目标网站的用户已经注册的网络身份信息并直接执行S3完成登录认证操作。当然，即使第一服务器已经查询到所述目标网站已经注册的一个或多个历史注册信息，用户仍然可以选择根据所述注册规则生成所述目标网站的一个新的注册信息，然后执行S3完成注册认证操作。

S3：将所述身份信息和所述注册信息发送至第二服务器，以便所述第二服务器利用所述身份信息和所述注册信息向网站服务器发送认证请求完成认证操作。

在具体实施中，第二服务器的作用为向网站服务器发送认证请求，该认证请求可以是注册请求，也可以是登录请求。因此，在上述根据所述注册规则生成所述目标网站的注册信息的步骤之前，还包括根据所述身份信息查询身份信息表中是否存在所述目标网站的历史注册信息的步骤；若是，则将所述历史注册信息作为所述目标网站的登录信息，并将所述身份信息和所述历史注册信息发送至第二服务器，以便所述第二服务器利用所述身份信息和所述历史注册信息向网站服务器发送登录请求完成认证操作，若否，则执行根据所述注册规则生成所述目标网站的注册信息的步骤。

可以理解的是，用户可以通过第一服务器随时自动修改身份信息表中的历史注册信息。第一服务器首先与第二服务器之间建立安全连接，并通过该安全连接获取待修改网站的身份信息，第一服务器根据所述身份信息查询并根据所述注册规则自动修改待修改网站的历史注册信息，将所述身份信息和修改后的注册信息通过第二服务器发送至网站服务器，网站服务器完成注册信息的修改后通知上网终端修改成功与否。需要说明的是，此处建立安全连接的方式与上文相似，在此不再赘述。

第二服务器利用所述身份信息和所述注册信息向网站服务器发送认证请求完成认证操作之前，还可以包括判断包括所述认证请求在内的任意请求是否为非法或恶意请求的步骤，当所述注册请求为非法或恶意请求时，可以向管理员发送告警提示，可以理解的是，告警提示的方式也存在多种形式，如弹出提示框、音频等方式，在此不作具体限定。若所述注册请求不为非法或恶意请求，则执行所述第二服务器利用所述身份信息和所述注册信息向网站服务器发送注册请求完成认证操作的步骤。

可以理解的是，检测恶意请求的方式存在多种方式，在此不作具体限定。例如，利用预先总结的规则集来对请求进行检测；或利用机器学习算法训练得到的分类器来进行检测。第二服务器首先检查并过滤来自第一服务器的注册、登录等请求，以此达到提高服务器效率，减轻服务器压力的目的。某些登录请求集中高发的网站(例如“12306”等)可能会存在某些用户通过频繁登录、注册多个账号来从事不法行为(例如“黄牛”刷票等)的情况。此外，频繁的登录尝试也是攻击者实施“撞库攻击”的常用手段。在这些情况下，第二服务器会在短时间内收到大量来自第一服务器的注册、登录请求。通过分析这些请求信息中自带的信息源参数，可辨别这些请求是否来自同一第一服务器。如果第二服务器发现同一个第一服务器在一定时间段内多次请求在该站点服务器登录或是创建新账号，则第二服务器将会自动过滤掉来自该第一服务器的一切请求并暂时封禁该第一服务器。经由第二服务器传递过来的注册、登录请求都将被网站服务器端视为合法有效的，并被网站服务器悉数响应处理。被处理后的请求结果将被反馈至第一服务器处和用户上网终端供用户进行下一步的操作。

由此可见，当第二服务器实现了监测并过滤恶意注册和登录请求的功能时，验证码则无需继续存在，注册和登录过程中的用户体验将进一步得到提高。网站服务器遭到攻击时，第二服务器可自动采取保护预案(如临时禁止相关或所有网络身份的登录功能、要求提供更多认证信息等)并通知网站管理员及用户采取相关的措施(如更改密码)。

需要说明的是，第二服务器可以部署在网站服务器端，也可以部署在上网终端一侧。具体的，当第二服务器部署在网站服务器端时，第二服务器与网站服务器连接紧密，可以直接将目标网站的身份信息和注册信息传输至网站服务器完成认证操作。当第二服务器部署在上网终端一侧时，第二服务器需要先与第一服务器建立安全连接，第一服务器通过安全连接将目标网站的身份信息和注册信息发送给第二服务器，第二服务器再将目标网站的身份信息和注册信息发送至上网终端，最后由上网终端向网站服务器发送认证请求以完成认证操作。

本实用新型实施例提供的网络身份认证装置，第一服务器可以为用户在每一个需要注册的目标网站上自动生成不同的用户名和密码，用户不需要记住这些用户名和密码，在需要注册或登录目标网站时，不需要从目标网站下载所需应用程序，第二服务器可以直接将带有用户名和密码的注册信息发送至网站服务器完成认证操作，避免由于用户名密码过于相似造成的撞库攻击。由此可见，本实用新型实施例提供的网络身份认证装置，在避免密码疲劳的前提下，提高了网络身份认证的安全性。

本实用新型实施例公开了一种网络身份认证方法，相对于上一实施例，本实施例对技术方案作了进一步的说明和优化。具体的：

参见图2，图2为本实用新型实施例公开的另一种网络身份认证装置的结构示意图，如图2所示，包括上网终端201和网站服务器202，还包括：

与所述上网终端相连，用于生成并向第二服务器发送目标网站的注册信息的第一服务器203；

与所述第一服务器相连、通过所述上网终端与所述网站服务器相连，用于向所述上网终端转发所述目标网站的身份信息和所述注册信息，以便所述上网终端向所述网站服务器完成认证操作的所述第二服务器204。

在上述实施例的基础上，作为优选实施方式，所述第二服务器包括上网终端扩展和扩展服务器；

所述上网终端扩展连接所述上网终端和所述第一服务器；

所述扩展服务器连接所述第一服务器和所述上网终端扩展。

本申请还提供了一种登录器，包括如上述实施例提供的网络身份认证装置，用于登录终端设备。

本实用新型实施例提供的登录器，第一服务器可以为用户在每一个需要注册的目标网站上自动生成不同的用户名和密码，用户不需要记住这些用户名和密码，在需要注册或登录目标网站时，不需要从目标网站下载所需应用程序，第二服务器可以直接将带有用户名和密码的注册信息发送至网站服务器完成认证操作，避免由于用户名密码过于相似造成的撞库攻击。由此可见，本实用新型实施例提供的网络身份认证装置，在避免密码疲劳的前提下，提高了网络身份认证的安全性。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本实用新型。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本实用新型的精神或范围的情况下，在其它实施例中实现。因此，本实用新型将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。应当指出，对于本技术领域的普通技术人员来说，在不脱离本申请原理的前提下，还可以对本申请进行若干改进和修饰，这些改进和修饰也落入本申请权利要求的保护范围内。

还需要说明的是，在本说明书中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。