一种身份认证方法及装置与流程

本发明涉及计算机技术领域，特别涉及一种身份认证方法及装置。

背景技术：

基于usbkey的身份认证方式是近几年发展起来的一种方便、安全、可靠的身份认证技术，并提供usb接口与现今的电脑通用。每一个usbkey都具有硬件pin码保护，pin码和硬件构成用户使用usbkey的两个必要因素，用户只有同时取得usbkey和用户pin码，才可以登录系统。

目前，用户可以基于usbkey和pin码以完成身份认证，从而可以登录系统。

不过，一旦出现usbkey临时丢失、损坏、故障等情况，则需补办usbkey才能正常登录系统，故身份认证灵活度不高，使得用户体验差。

技术实现要素：

本发明提供了一种身份认证方法及装置，能够提高身份认证灵活度。

为了达到上述目的，本发明是通过如下技术方案实现的：

一方面，本发明提供了一种身份认证方法，确定每一个用户信息对应的身份认证方式、身份标识信息、用户名密码；还包括：

s1：在接收到外部输入的携带有目标用户信息的系统登录请求时，确定所述目标用户信息对应的目标身份认证方式；

s2：判断所述目标身份认证方式是否为用户名密码认证方式，若否，执行s3；

s3：在接收到外部输入的将所述目标身份认证方式更换为用户名密码认证方式的更换请求，以及接收到外部提供的目标身份标识信息时，判断所述目标身份标识信息是否与所述目标用户信息对应的身份标识信息相一致，若是，执行s4；

s4：在接收到外部输入的目标用户名密码时，判断所述目标用户名密码是否为所述目标用户信息对应的用户名密码，若是，通过身份认证。

进一步地，所述用户信息包括：用户名、身份证信息、usbkey信息中的至少一种。

进一步地，所述身份标识信息包括：用户名、身份证信息、usbkey信息、ip地址中的至少一种。

进一步地，在s1之后且s2之前，进一步包括：提供认证方式更换接口服务。

进一步地，s2中，在判断出所述目标身份认证方式不为用户名密码认证方式时，提供认证方式更换接口服务。

进一步地，任一所述用户信息对应的身份认证方式为用户名密码认证方式、usbkey认证方式、用户名密码和usbkey的组合认证方式中的任意一种。

进一步地，s2中，在判断出所述目标身份认证方式不为用户名密码认证方式之后，进一步包括：在确定出存在一目标usbkey处于插入状态，且接收到外部输入的pin码时，向外部的认证网关发送认证请求，所述认证请求包括所述目标usbkey中预存的证书和所述pin码；在接收到所述认证网关返回的认证通过通知，且所述目标身份认证方式为usbkey认证方式时，通过身份认证并结束当前流程，在接收到所述认证网关返回的认证通过通知，且所述目标身份认证方式为组合认证方式时，执行s4。

进一步，该方法还包括：在监测到所述目标用户信息对应的身份认证方式不为用户名密码认证方式，且处于插入状态的一目标usbkey被拔出时，锁定操作系统。

另一方面，本发明提供了一种身份认证装置，包括：

确定单元，用于确定每一个用户信息对应的身份认证方式、身份标识信息、用户名密码；

第一处理单元，用于在接收到外部输入的携带有目标用户信息的系统登录请求时，确定所述目标用户信息对应的目标身份认证方式；

第二处理单元，用于判断所述目标身份认证方式是否为用户名密码认证方式，若否，触发第三处理单元；

所述第三处理单元，用于在接收到外部输入的将所述目标身份认证方式更换为用户名密码认证方式的更换请求，以及接收到外部提供的目标身份标识信息时，判断所述目标身份标识信息是否与所述目标用户信息对应的身份标识信息相一致，若是，触发第四处理单元；

所述第四处理单元，用于在接收到外部输入的目标用户名密码时，判断所述目标用户名密码是否为所述目标用户信息对应的用户名密码，若是，通过身份认证。

进一步地，所述用户信息包括：用户名、身份证信息、usbkey信息中的至少一种。

进一步地，所述身份标识信息包括：用户名、身份证信息、usbkey信息、ip地址中的至少一种。

进一步地，所述第一处理单元，还用于在所述确定所述目标用户信息对应的目标身份认证方式之后，提供认证方式更换接口服务。

进一步地，所述第二处理单元，还用于在判断出所述目标身份认证方式不为用户名密码认证方式时，提供认证方式更换接口服务。

进一步地，任一所述用户信息对应的身份认证方式为用户名密码认证方式、usbkey认证方式、用户名密码和usbkey的组合认证方式中的任意一种。

进一步地，所述第二处理单元，还用于在判断出所述目标身份认证方式不为用户名密码认证方式之后，在确定出存在一目标usbkey处于插入状态，且接收到外部输入的pin码时，向外部的认证网关发送认证请求，所述认证请求包括所述目标usbkey中预存的证书和所述pin码；在接收到所述认证网关返回的认证通过通知，且所述目标身份认证方式为usbkey认证方式时，通过身份认证并结束，在接收到所述认证网关返回的认证通过通知，且所述目标身份认证方式为组合认证方式时，触发第四处理单元。

进一步地，该身份认证装置还包括：监测单元，用于在监测到所述目标用户信息对应的身份认证方式不为用户名密码认证方式，且处于插入状态的一目标usbkey被拔出时，锁定操作系统。

本发明提供了一种身份认证方法及装置，该方法包括：确定各用户信息对应的身份认证方式、身份标识信息、用户名密码；在接收到外部输入的携带有目标用户信息的系统登录请求时，确定目标用户信息对应的目标身份认证方式；若不为用户名密码认证方式，则在接收到外部输入的将目标身份认证方式更换为用户名密码认证方式的更换请求、提供的目标身份标识信息时，判断其是否与目标用户信息对应的身份标识信息相一致；若一致，则在接收到外部输入的目标用户名密码，且判断出其为目标用户信息对应的用户名密码时，通过身份认证。身份认证方式可被用户更改为用户名密码认证方式，使得usbkey不可用时仍能进行身份认证，故可提高身份认证灵活度。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明一实施例提供的一种身份认证方法的流程图；

图2是本发明一实施例提供的另一种身份认证方法的流程图；

图3是本发明一实施例提供的一种身份认证装置的示意图；

图4是本发明一实施例提供的另一种身份认证装置的示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例，基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1所示，本发明实施例提供了一种身份认证方法，可以包括以下步骤：

步骤101：确定每一个用户信息对应的身份认证方式、身份标识信息、用户名密码。

步骤102：在接收到外部输入的携带有目标用户信息的系统登录请求时，确定所述目标用户信息对应的目标身份认证方式。

步骤103：判断所述目标身份认证方式是否为用户名密码认证方式，若否，执行步骤104。

步骤104：在接收到外部输入的将所述目标身份认证方式更换为用户名密码认证方式的更换请求，以及接收到外部提供的目标身份标识信息时，判断所述目标身份标识信息是否与所述目标用户信息对应的身份标识信息相一致，若是，执行步骤105。

步骤105：在接收到外部输入的目标用户名密码时，判断所述目标用户名密码是否为所述目标用户信息对应的用户名密码，若是，通过身份认证。

本发明实施例提供了一种身份认证方法，确定各用户信息对应的身份认证方式、身份标识信息、用户名密码；在接收到外部输入的携带有目标用户信息的系统登录请求时，确定目标用户信息对应的目标身份认证方式；若不为用户名密码认证方式，则在接收到外部输入的将目标身份认证方式更换为用户名密码认证方式的更换请求、提供的目标身份标识信息时，判断其是否与目标用户信息对应的身份标识信息相一致；若一致，则在接收到外部输入的目标用户名密码，且判断出其为目标用户信息对应的用户名密码时，通过身份认证。身份认证方式可被用户更改为用户名密码认证方式，使得usbkey不可用时仍能进行身份认证，故可提高身份认证灵活度。

详细地，为了能够实现认证方式的按需更改，用户登录系统时，后台系统首先可以确定该用户的预设认证方式。如此，需要预先确定各用户信息对应的身份认证方式。当然，为保证这一对应方式唯一准确，故各用户信息具有唯一标识性。

因此，在本发明的一个实施例中，所述用户信息包括：用户名、身份证信息、usbkey信息中的至少一种。

比如，不同用户的用户名不同，用户预登录系统时，首先可以输入自身的用户名。如此，后台系统即可找到与该用户名对应的身份认证方式。如用户不更改，则后台系统则可引导用户通过该身份认证方式进行身份认证。

同理，身份证信息也具有唯一标识作用，故可以作为用户信息中的一种。比如，用户预登录系统时，首先可以输入身份证号这一身份证信息，或将身份证置于身份证自动读取区的感应范围内，以使后台系统读取身份证号、用户照片等身份证信息。

同理，usbkey信息也具有唯一标识作用，故可以作为用户信息中的一种。比如，用户预登录系统时，首先可以输入usbkey唯一编码这一usbkey信息，或插入usbkey，以使后台系统读取usbkey中预存的证书，进而读取证书中的证书唯一编号、usbkey唯一编码、用户身份证号等usbkey信息。

基于上述内容，当需要更改身份认证方式时，用户需要提供自身的身份标识信息，该身份标识信息应具有唯一性，以能保证更改操作是用户本人执行，从而避免其他恶意第三人窃取用户名密码后，故意更改用户预定的身份认证方式。

因此，在本发明的一个实施例中，所述身份标识信息包括：用户名、身份证信息、usbkey信息、ip地址中的至少一种。

同上所述的信息提供方式，用户请求更改身份认证方式时，可以输入用户名、提供身份证信息或提供usbkey信息等。

此外，用户还可提供ip地址。比如，由于ip地址具有唯一标示性，且通常情况下其他用户因不知开机用户名密码，故恶意第三人不能正常使用具有该ip地址的电脑。因此，预定该用户可用具有该ip地址的电脑登录系统，后台系统可以根据电脑的ip地址，来确定是否允许外部输入的更改请求。

为方便用户更改身份认证方式，故在本发明一个实施例中，步骤103中，在判断出所述目标身份认证方式不为用户名密码认证方式时，提供认证方式更换接口服务。

当预定的认证方式不为用户名密码认证方式时，通常需要利用usbkey来进行身份认证。但当usbkey当前不可用时，用户可以触发后台系统提供的该认证方式更换接口服务，以请求更换身份认证方式。

举例来说，如果用户usbkey损坏或者其他原因导致usbkey不能使用的情况下，支持由用户名密码认证方式替换usbkey认证方式，此处预留了一个接口服务，实现此接口就执行对应的异常处理逻辑，可采用的异常处理方式如指定用户名、指定ip等方式。

基于不同用户的实际应用需求，不仅考虑usbkey当前不可用时的更换请求之外，还可以考虑用户自身为简化认证流程等，而提出的更换请求。

因此，在本发明一个实施例中，在步骤102之后且步骤103之前，进一步包括：提供认证方式更换接口服务。

即，只要后台系统确定出目标身份认证方式，无论该身份认证方式何种方式，用户均可按需触发后台系统提供的该认证方式更换接口服务，以请求更换身份认证方式。

由于使用用户名密码和usbkey均可对用户进行唯一有效认证，故在本发明一个实施例中，任一所述用户信息对应的身份认证方式为用户名密码认证方式、usbkey认证方式、用户名密码和usbkey的组合认证方式中的任意一种。

如此，身份认证方式至少可以包括用户名密码认证方式、usbkey认证方式、用户名密码和usbkey的组合认证方式这三种。

在本发明一个实施例中，步骤101中，确定各用户信息对应的身份认证方式时，可以建立各用户信息绑定的身份认证方式参数。比如，0代表用户名密码认证方式、1代表usbkey认证方式、2代表组合认证方式。

举例来说，可以在属性配置文件或数据库中配置一个认证方式参数。用户登录系统时，后台系统首先读取此参数，以判断系统当前指定的身份认证方式。同时可以配置usbkey登录界面与用户名密码登录界面，根据认证方式的不同跳转不同的界面，此外还可支持自定义的usbkey登录界面个性化设计。

在本发明一个实施例中，为了说明一种usbkey身份鉴别的可能实现方式，所以，步骤103中，在判断出所述目标身份认证方式不为用户名密码认证方式之后，进一步包括：在确定出存在一目标usbkey处于插入状态，且接收到外部输入的pin码时，向外部的认证网关发送认证请求，所述认证请求包括所述目标usbkey中预存的证书和所述pin码；在接收到所述认证网关返回的认证通过通知，且所述目标身份认证方式为usbkey认证方式时，通过身份认证并结束当前流程，在接收到所述认证网关返回的认证通过通知，且所述目标身份认证方式为组合认证方式时，执行步骤105。

详细地，认证网关返回认证校验结果时，若身份认证方式为usbkey认证方式，则验证通过时即可登录系统。对应地，若身份认证方式为组合认证方式，则验证通过时，还需进一步验证用户名密码，故需执行步骤105。

举例来说，后台系统实现采购usbkey产品的身份鉴别，此处预留了鉴别接口以及调用的认证服务器地址配置，同时提供了认证通过的处理逻辑以及认证失败的跳转页面。按照usbkey的使用方式，独立部署认证网关，系统向认证网关发送认证请求，认证通过则根据认证方式参数决定进行用户名密码验证还是直接进入系统，认证不通过则在认证页面提示错误信息。

通常情况下，当用户提供的身份标识信息无误时，说明更换请求是用户本人所为，故后台系统可以对预定的身份认证方式进行相应更新替换。

比如，可以usbkey丢失时，用户可以请求将认证方式由组合认证方式更换为用户名密码认证方式，进而由后台系统执行相应更新操作。详细地，可以通过认证方式参数的设置来实现此需求。

当认证方式设定为用户名密码或者usbkey与用户名密码组合认证方式时，系统将实现用户名密码的身份鉴别。此项也作为一种容错机制，以防止usbkey损坏而影响正常的系统操作。

在本发明一个实施例中，为了能够进行在线过程中插拔usbkey验证，故该方法可以进一步包括：在监测到所述目标用户信息对应的身份认证方式不为用户名密码认证方式，且处于插入状态的一目标usbkey被拔出时，锁定操作系统。

举例来说，架构中脚本文件由用户自行实现，已默认作为加载项进行加载。当用户在线操作系统时，系统时刻检测usbkey是否被拔掉，如果检测不到usbkey的存在，则锁定系统，不允许用户继续操作，直至插入usbkey后，才可进行相关后续操作，如解锁系统或进行再次身份认证等。

本架构设计所阐明的架构，可独立应用于不同的产品，实现方式简单、结构清晰、灵活实现，有效提高系统的易用性以及用户体验。

如图2所示，本发明一个实施例提供了另一种身份认证方法，具体包括以下步骤：

步骤201：确定每一个用户信息对应的身份认证方式、身份标识信息、用户名密码。

详细地，用户信息包括用户名、身份证信息、usbkey信息中的至少一种。

详细地，身份认证方式为用户名密码认证方式、usbkey认证方式、用户名密码和usbkey的组合认证方式中的任意一种。

详细地，身份标识信息包括用户名、身份证信息、usbkey信息、ip地址中的至少一种。

步骤202：在接收到外部输入的携带有用户信息a的系统登录请求时，确定用户信息a对应的身份认证方式a，并提供认证方式更换接口服务。

比如，用户预登录系统时，输入用户名以请求登录系统。

步骤203：判断身份认证方式a是否为用户名密码认证方式，若是，提供预设的用户名密码登录页面，并执行步骤206，否则，提供预设的usbkey登录页面，执行步骤204。

详细地，如果为用户名密码认证方式，则可以直接进行用户名密码验证，验证通过则可登录操作系统。

当然，基于同样的实现原理，当用户需要将用户名密码认证方式进行按需更改时，同样可以触发认证方式更换接口服务，然后提供身份标识信息，该身份标识信息经验证无误后，即可执行更换请求并提供预设的usbkey登录页面，执行步骤204。本发明实施例在此对这一操作不作详细描述。

详细地，如果为usbkey认证方式，则可以直接进行usbkey验证，验证通过则可登录操作系统。

详细地，如果为组合认证方式，则可以先进行usbkey验证，验证通过则再进行用户名密码验证，验证通过则可登录操作系统。

步骤204：在接收到外部经触发认证方式更换接口服务、而输入的将身份认证方式a更换为用户名密码认证方式的更换请求，以及接收到外部提供的身份标识信息a时，判断身份标识信息a是否与用户信息a对应的身份标识信息相一致，若是，执行该更换请求，提供预设的用户名密码登录页面并执行步骤206，否则，执行异常处理并结束当前流程；

在确定出存在一usbkeya处于插入状态，且接收到外部经usbkey登录页面而输入的pin码时，向外部的认证网关发送认证请求，认证请求包括usbkeya中预存的证书和pin码，并执行步骤205。

详细地，用户可以在步骤202中插入usbkey以相当于输入系统登录请求，也可以在步骤204中，在输入pin码之前插入usbkey。

步骤205：在接收到认证网关返回的认证通过通知，且身份认证方式a为usbkey认证方式时，通过身份认证并结束当前流程，在接收到认证网关返回的认证通过通知，且身份认证方式a为组合认证方式时，提供预设的用户名密码登录页面，执行步骤206；

在监测到用户信息a对应的身份认证方式不为用户名密码认证方式，且处于插入状态的一usbkeya被拔出时，锁定操作系统。

详细地，身份认证通过后，后台系统即可控制正常登陆操作系统。

详细地，由于经认证网关认证，说明认证方式涉及usbkey，故用户登录操作系统需使用usbkey，则可以在用户使用操作系统的过程中，对usbkey插拔实时监控。

步骤205中，已确定身份认证方式不是用户名密码认证方式，但身份认证方式还存在两种可能，这两种可能的判断结果既可以在步骤203中已得出，也可以在步骤205中实时判断而得出。

步骤206：在接收到外部经用户名密码登录页面而输入的用户名密码a时，判断用户名密码a是否为用户信息a对应的用户名密码，若是，通过身份认证，否则，执行异常处理。

如图3所示，本发明一个实施例提供了一种身份认证装置，包括：

确定单元301，用于确定每一个用户信息对应的身份认证方式、身份标识信息、用户名密码；

第一处理单元302，用于在接收到外部输入的携带有目标用户信息的系统登录请求时，确定所述目标用户信息对应的目标身份认证方式；

第二处理单元303，用于判断所述目标身份认证方式是否为用户名密码认证方式，若否，触发第三处理单元304；

所述第三处理单元304，用于在接收到外部输入的将所述目标身份认证方式更换为用户名密码认证方式的更换请求，以及接收到外部提供的目标身份标识信息时，判断所述目标身份标识信息是否与所述目标用户信息对应的身份标识信息相一致，若是，触发第四处理单元305；

所述第四处理单元305，用于在接收到外部输入的目标用户名密码时，判断所述目标用户名密码是否为所述目标用户信息对应的用户名密码，若是，通过身份认证。

在本发明一个实施例中，这一身份认证装置可以为一自助服务器，该自助服务器包括前端用户交互页面、后端接口服务以及数据库参数配置等。

在本发明一个实施例中，所述用户信息包括：用户名、身份证信息、usbkey信息中的至少一种。

在本发明一个实施例中，所述身份标识信息包括：用户名、身份证信息、usbkey信息、ip地址中的至少一种。

在本发明一个实施例中，所述第一处理单元302，还用于在所述确定所述目标用户信息对应的目标身份认证方式之后，提供认证方式更换接口服务。

在本发明一个实施例中，所述第二处理单元303，还用于在判断出所述目标身份认证方式不为用户名密码认证方式时，提供认证方式更换接口服务。

在本发明一个实施例中，任一所述用户信息对应的身份认证方式为用户名密码认证方式、usbkey认证方式、用户名密码和usbkey的组合认证方式中的任意一种。

在本发明一个实施例中，所述第二处理单元303，还用于在判断出所述目标身份认证方式不为用户名密码认证方式之后，在确定出存在一目标usbkey处于插入状态，且接收到外部输入的pin码时，向外部的认证网关发送认证请求，所述认证请求包括所述目标usbkey中预存的证书和所述pin码；在接收到所述认证网关返回的认证通过通知，且所述目标身份认证方式为usbkey认证方式时，通过身份认证并结束，在接收到所述认证网关返回的认证通过通知，且所述目标身份认证方式为组合认证方式时，触发第四处理单元305。

在本发明一个实施例中，请参考图4，该身份认证装置还可以包括：监测单元401，用于在监测到所述目标用户信息对应的身份认证方式不为用户名密码认证方式，且处于插入状态的一目标usbkey被拔出时，锁定操作系统。

综上所述，本发明实施例所述的身份认证装置可以实现：身份认证方式参数的读取与解析；读取usbkey损坏登录者的身份标识并对登录认证方式进行转换；实现usbkey的身份认证；实现用户名和密码的身份认证；实现usbkey插拔的实时监测。

上述装置内的各单元之间的信息交互、执行过程等内容，由于与本发明方法实施例基于同一构思，具体内容可参见本发明方法实施例中的叙述，此处不再赘述。

综上所述，本发明的各个实施例至少具有如下有益效果：

1、本发明实施例中，确定各用户信息对应的身份认证方式、身份标识信息、用户名密码；在接收到外部输入的携带有目标用户信息的系统登录请求时，确定目标用户信息对应的目标身份认证方式；若不为用户名密码认证方式，则在接收到外部输入的将目标身份认证方式更换为用户名密码认证方式的更换请求、提供的目标身份标识信息时，判断其是否与目标用户信息对应的身份标识信息相一致；若一致，则在接收到外部输入的目标用户名密码，且判断出其为目标用户信息对应的用户名密码时，通过身份认证。身份认证方式可被用户更改为用户名密码认证方式，使得usbkey不可用时仍能进行身份认证，故可提高身份认证灵活度。

2、本发明实施例中，身份认证方法可独立应用于不同的产品，实现方式简单、结构清晰、灵活实现，有效提高系统的易用性以及用户体验。

需要说明的是，在本文中，诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个······”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储在计算机可读取的存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：rom、ram、磁碟或者光盘等各种可以存储程序代码的介质中。

最后需要说明的是：以上所述仅为本发明的较佳实施例，仅用于说明本发明的技术方案，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等，均包含在本发明的保护范围内。