一种身份认证方法、装置及系统与流程

本申请涉及身份认证技术领域，尤其涉及一种身份认证方法、装置及系统。

背景技术：

不同的访客终端受信任的程度不一样，因此访客终端在接入网络的过程中，需要通过网关设备对访客终端的身份进行验证，在身份验证成功后，才能够允许访客终端接入网络，访问内、外网资源。

现有技术中常用的身份认证方式包括以下几种：本地认证、短信认证、app认证以及免认证。本地认证即预先在网关设备或第三方认证服务器上创建用户，访客终端接入网络时，向网关设备或第三方认证服务器提交用户名、密码完成认证。短信认证即访客终端在短信认证页面输入指定手机号并点击“发送验证码”，网关设备生成验证码并通过短信服务商转发给指定手机号的访客终端。访客终端收到验证码后，通过认证页面将手机号、验证码一起提交给网关设备进行验证。app认证即在认证时，调用第三方的app提供的库函数，唤醒相应的app，通过第三方的app服务器完成认证。免认证即访客终端不需要提供认证信息，直接以ip地址作为用户名完成认证。

然而，以上的几种认证方式在实际应用中，均存在一定的不足之处。例如，本地认证的方式需要管理员预先配置用户的用户名和密码，对于存在大量访客终端的情况工作量较大。短信认证的方式需要租用短信服务商提供的短信发送服务，增加了认证的成本。app认证通常需要在app平台进行相应的注册，操作较为繁琐且可能增加成本。免认证的方式仅适用于对信任程度高的内部员工的认证，不适合于对临时用户进行认证，安全性有限。

技术实现要素：

本申请提供了一种身份认证方法、装置及系统，以解决现有的身份认证方式无法在实现快捷的部署、降低认证的成本的同时，保证认证的安全性的问题。

第一方面，本申请提供一种身份认证方法，所述方法包括：

接收访客终端对网络的访问请求；

对所述访问请求进行劫持并重定向到二维码认证页面，以将所述二维码认证页面返回给所述访客终端；

接收审核终端对审核页面的访问请求，所述审核终端通过扫描并解析所述访客终端上二维码认证页面的二维码，得到所述审核页面的url地址；

将所述审核页面返回给所述审核终端；

接收审核终端发送的对所述访客终端的认证请求，所述认证请求携带有所述访客终端的备注信息；

对所述认证请求进行验证；

如果所述认证请求通过验证，创建二维码用户，向所述访客终端分配联网权限。

结合第一方面，在第一方面的第一种可实现方式中，对所述访问请求进行劫持并重定向到二维码认证页面，以将所述二维码认证页面返回给所述访客终端之后，所述方法还包括：

存储所述访客终端的认证参数，以及所述认证参数的校验值。

结合第一方面的第一种可实现方式，在第一方面的第二种可实现方式中，所述认证参数包括所述访客终端的ip地址，对所述认证请求进行验证包括：

验证所述审核终端是否具备审核权限；

如果所述审核终端具备审核权限，根据所述校验值，验证所述访客终端的ip地址是否被篡改。

结合第一方面的第二种可实现方式，在第一方面的第三种可实现方式中，所述认证参数还包括所述二维码认证页面的二维码生成时间，根据所述校验值，验证所述访客终端的ip地址是否被篡改之后，所述方法还包括：

如果所述访客终端的ip地址没有被篡改，验证所述二维码认证页面的二维码生成时间是否在有效期限内。

结合第一方面，在第一方面的第四种可实现方式中，创建二维码用户，向所述访客终端分配联网权限之后，所述方法还包括：

向所述审核终端返回认证成功提示信息。

结合第一方面的第四种可实现方式，在第一方面的第五种可实现方式中，所述方法还包括：

接收所述访客终端对认证结果的周期性查询请求；

切换所述访客终端的页面至认证成功页面。

结合第一方面，在第一方面的第六种可实现方式中，对所述认证请求进行验证之后，所述方法还包括：

如果所述认证请求未通过验证，向所述审核终端返回认证失败提示信息。

结合第一方面的第六种可实现方式，在第一方面的第七种可实现方式中，所述方法还包括：

接收所述访客终端对认证结果的周期性查询请求；

保持所述访客终端的页面在二维码认证页面。

第二方面，本申请提供一种身份认证装置，所述装置包括：

接收单元，用于接收访客终端对网络的访问请求；

重定向单元，用于对所述访问请求进行劫持并重定向到二维码认证页面，以将所述二维码认证页面返回给所述访客终端；

所述接收单元，还用于接收审核终端对审核页面的访问请求，所述审核终端通过扫描并解析所述访客终端上二维码认证页面的二维码，得到所述审核页面的url地址；

返回单元，用于将所述审核页面返回给所述审核终端；

所述接收单元，还用于接收审核终端发送的对所述访客终端的认证请求，所述认证请求携带有所述访客终端的备注信息；

验证单元，用于对所述认证请求进行验证；

分配单元，用于在所述认证请求通过验证的情况下，创建二维码用户，向所述访客终端分配联网权限。

第三方面，本申请提供一种身份认证系统，所述系统包括：访客终端、审核终端以及网关设备；

所述访客终端，用于向所述网关设备发起对网络的访问请求；

所述网关设备，用于接收访客终端对网络的访问请求，对所述访问请求进行劫持并重定向到二维码认证页面，以将所述二维码认证页面返回给所述访客终端，接收审核终端对审核页面的访问请求，将所述审核页面返回给所述审核终端，接收审核终端发送的对所述访客终端的认证请求，所述认证请求携带有所述访客终端的备注信息，对所述认证请求进行验证，如果所述认证请求通过验证，创建二维码用户，向所述访客终端分配联网权限；

所述审核终端，用于通过扫描并解析所述访客终端上二维码认证页面的二维码，得到所述审核页面的url地址，向所述网关设备发起对审核页面的访问请求，接收网关设备返回的审核页面，以及，向所述网关设备发起对所述访客终端的认证请求。

由以上技术方案可知，本申请提供了一种身份认证方法、装置及系统，该方法预先指定具有审核权限的审核终端，在接收到访客终端对网络的访问请求时，对访问请求进行劫持并重定向到二维码认证页面返回给访客终端，接收审核终端通过扫描并解析访客终端上二维码认证页面的二维码所发起的对审核页面的访问请求，之后将审核页面返回给审核终端，接收审核终端发送的对访客终端的认证请求，认证请求携带有访客终端的备注信息，对认证请求进行验证，如果认证请求通过验证，则创建二维码用户，向访客终端分配联网权限，本发明针对访客终端的临时联网行为，无需进行用户信息的预先配置，设置方便快捷，尤其适用于存在大量访客终端需要访问网络的情况；并且也无需购买或租用第三方的服务，可显著降低成本；在实现快捷的部署、降低认证的成本的同时，保证认证的安全。

附图说明

为了更清楚地说明本申请的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本申请提供的一种身份认证方法的第一实施例的流程图。

图2为本申请提供的一种身份认证方法的第二实施例的流程图。

图3为本申请提供的一种身份认证方法的第三实施例的流程图。

图4为本申请提供的一种身份认证方法的第四实施例的流程图。

图5为本申请提供的一种身份认证方法的第五实施例的流程图。

图6为本申请提供的一种身份认证方法的第六实施例的流程图。

图7为本申请实施例提供的一种身份认证装置的结构框图。

图8为本申请实施例提供的一种身份认证系统的示意图。

图9为本申请实施例提供的一种身份认证系统的认证时序图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。以下结合附图，详细说明本申请各实施例提供的技术方案。

请参阅图1，图1为本申请提供的一种身份认证方法的第一实施例的流程图，本实施例的方法可应用于网关设备，本实施例中的网关设备具体可以指防火墙或上网行为管理设备。本实施例的执行主体可以是网关设备，本实施例的身份认证方法包括如下步骤：

步骤s101，接收访客终端对网络的访问请求。

具体地，上述步骤中的网络指需要对访客终端的身份进行认证的内、外网资源。访客终端需要访问这些内、外网资源时可以发出访问请求，访客终端具体可通过无线路由器以无线网络的方式接入网络，或者以网线的方式接入网络。访问请求具体可以以http/https报文的形式发送。

步骤s102，对所述访问请求进行劫持并重定向到二维码认证页面，以将所述二维码认证页面返回给所述访客终端。

具体地，当访客终端的http/https流量经过网关设备时，网关设备将其劫持并重定向到二维码认证页面，使得访客终端上跳转到二维码认证页面。

步骤s103，接收审核终端对审核页面的访问请求，所述审核终端通过扫描并解析所述访客终端上二维码认证页面的二维码，得到所述审核页面的url地址。

具体地，审核终端可以是能扫描二维码的移动终端，如智能手机。审核终端可以通过无线路由器接入网络。审核终端预先已经完成了身份认证，审核终端的用户是由管理员配置的、具有审核其他访客终端接入的用户。访客终端在接收到二维码认证页面后，可通过审核终端上的二维码扫描工具来扫描访客终端收到的二维码，并解析二维码得到审核页面的url地址，并通过该url地址向网关设备请求审核页面。

步骤s104，将所述审核页面返回给所述审核终端。

具体地，网关设备收到审核终端对审核页面的访问请求后，将审核页面返回给所述审核终端，审核页面具体可以是用于填写请求审核的访客终端的信息的页面。

步骤s105，接收审核终端发送的对所述访客终端的认证请求，所述认证请求携带有所述访客终端的备注信息。

具体地，审核终端收到审核页面后，可以在审核页面备注访客终端的一些相关备注信息，如用户名，然后向网关设备发起针对访客终端的认证请求。

步骤s106，对所述认证请求进行验证。

具体地，网关设备接收到审核终端发送的对所述访客终端的认证请求后，对该认证请求进行验证，以确定访客终端是否可以访问内、外网资源。

步骤s107，如果所述认证请求通过验证，创建二维码用户，向所述访客终端分配联网权限。

具体地，如果网关设备确定认证请求通过验证，则可以创建二维码用户并向访客终端分配联网权限，以使得访客终端可以访问内、外网资源。

请参阅图2，图2为本申请提供的一种身份认证方法的第二实施例的流程图，本实施例的方法可应用于网关设备，本实施例中的网关设备具体可以指防火墙或上网行为管理设备。本实施例的执行主体可以是网关设备，在第一实施例的基础上，对所述访问请求进行劫持并重定向到二维码认证页面，以将所述二维码认证页面返回给所述访客终端之后，所述方法还包括：

步骤s1021，存储所述访客终端的认证参数，以及所述认证参数的校验值。

具体地，本实施例中，网关设备在对所述访客终端发出的访问请求进行劫持并重定向到二维码认证页面后，还可以将访客终端的认证参数，以及所述认证参数的校验值进行存储，用于对认证请求进行验证。

请参阅图3，图3为本申请提供的一种身份认证方法的第三实施例的流程图，本实施例的方法可应用于网关设备，本实施例中的网关设备具体可以指防火墙或上网行为管理设备。本实施例的执行主体可以是网关设备，在第二实施例的基础上，所述认证参数包括所述访客终端的ip地址，对所述认证请求进行验证包括：

步骤s1061，验证所述审核终端是否具备审核权限。

具体地，对所述认证请求进行验证具体可以先验证所述审核终端是否具备审核权限，只有在审核终端具备审核权限的前提下，再对访客终端的身份进行验证。如果审核终端不具备审核权限，则可以结束本次身份认证过程。

步骤s1062，如果所述审核终端具备审核权限，根据所述校验值，验证所述访客终端的ip地址是否被篡改。

具体地，存储所述访客终端的认证参数，以及所述认证参数的校验值时，可以具体存储访客终端的ip地址和ip地址的校验值。审核终端具备审核权限时，可以根据访客终端的ip地址的校验值，验证所述访客终端的ip地址是否被篡改，ip地址被篡改，则不能通过验证。

请参阅图4，图4为本申请提供的一种身份认证方法的第四实施例的流程图，本实施例的方法可应用于网关设备，本实施例中的网关设备具体可以指防火墙或上网行为管理设备。本实施例的执行主体可以是网关设备，在第三实施例的基础上，所述认证参数还包括所述二维码认证页面的二维码生成时间，根据所述校验值，验证所述访客终端的ip地址是否被篡改之后，所述方法还包括：

步骤s1063，如果所述访客终端的ip地址没有被篡改，验证所述二维码认证页面的二维码生成时间是否在有效期限内。

具体地，存储所述访客终端的认证参数，以及所述认证参数的校验值时，还可以具体存储二维码认证页面的二维码生成时间和二维码生成时间的校验值。访客终端的ip地址没有被篡改，验证所述二维码认证页面的二维码生成时间是否在有效期限内，在期限内则通过验证，不在期限内则不能通过验证。

请参阅图5，图5为本申请提供的一种身份认证方法的第五实施例的流程图，本实施例的方法可应用于网关设备，本实施例中的网关设备具体可以指防火墙或上网行为管理设备。本实施例的执行主体可以是网关设备，在第一实施例的基础上，创建二维码用户，向所述访客终端分配联网权限之后，所述方法还包括：

步骤s108，向所述审核终端返回认证成功提示信息。

进一步地，所述方法还包括：

步骤s109，接收所述访客终端对认证结果的周期性查询请求。

具体地，访客终端在获取二维码认证页面之后，可周期性地查询访客终端的认证结果。

步骤s110，切换所述访客终端的页面至认证成功页面。

具体地，认证成功后，访客终端切换到认证成功页面，可以访问内、外网资源。

请参阅图6，图6为本申请提供的一种身份认证方法的第六实施例的流程图，本实施例的方法可应用于网关设备，本实施例中的网关设备具体可以指防火墙或上网行为管理设备。本实施例的执行主体可以是网关设备，在第一实施例的基础上，对所述认证请求进行验证之后，所述方法还包括：

步骤s1081，如果所述认证请求未通过验证，向所述审核终端返回认证失败提示信息。

进一步地，所述方法还包括：

步骤s109，接收所述访客终端对认证结果的周期性查询请求。

步骤s1091，保持所述访客终端的页面在二维码认证页面。

由以上技术方案可知，本申请实施例提供的身份认证方法，通过预先指定具有审核权限的审核终端，在接收到访客终端对网络的访问请求时，对访问请求进行劫持并重定向到二维码认证页面返回给访客终端，接收审核终端通过扫描并解析访客终端上二维码认证页面的二维码所发起的对审核页面的访问请求，之后将审核页面返回给审核终端，接收审核终端发送的对访客终端的认证请求，认证请求携带有访客终端的备注信息，对认证请求进行验证，如果认证请求通过验证，则创建二维码用户，向访客终端分配联网权限，本发明针对访客终端的临时联网行为，无需进行用户信息的预先配置，设置方便快捷，尤其适用于存在大量访客终端需要访问网络的情况；并且也无需购买或租用第三方的服务，可显著降低成本；在实现快捷的部署、降低认证的成本的同时，保证认证的安全。

请参阅图7，图7为本申请提供的一种身份认证装置的结构框图，所述装置包括：

接收单元701，用于接收访客终端对网络的访问请求。

重定向单元702，用于对所述访问请求进行劫持并重定向到二维码认证页面，以将所述二维码认证页面返回给所述访客终端。

所述接收单元701，还用于接收审核终端对审核页面的访问请求，所述审核终端通过扫描并解析所述访客终端上二维码认证页面的二维码，得到所述审核页面的url地址；

返回单元703，用于将所述审核页面返回给所述审核终端。

所述接收单元701，还用于接收审核终端发送的对所述访客终端的认证请求，所述认证请求携带有所述访客终端的备注信息。

验证单元704，用于对所述认证请求进行验证。

分配单元705，用于在所述认证请求通过验证的情况下，创建二维码用户，向所述访客终端分配联网权限。

请参阅图8，图8为本申请提供的一种身份认证系统的示意图，所述系统包括：访客终端100、审核终端200以及网关设备300。图9为该身份认证系统的身份认证过程的认证时序图。

所述访客终端100，用于向所述网关设备发起对网络的访问请求。

所述网关设备200，用于接收访客终端对网络的访问请求，对所述访问请求进行劫持并重定向到二维码认证页面，以将所述二维码认证页面返回给所述访客终端，接收审核终端对审核页面的访问请求，将所述审核页面返回给所述审核终端，接收审核终端发送的对所述访客终端的认证请求，所述认证请求携带有所述访客终端的备注信息，对所述认证请求进行验证，如果所述认证请求通过验证，创建二维码用户，向所述访客终端分配联网权限。

所述审核终端300，用于通过扫描并解析所述访客终端上二维码认证页面的二维码，得到所述审核页面的url地址，向所述网关设备发起对审核页面的访问请求，接收网关设备返回的审核页面，以及，向所述网关设备发起对所述访客终端的认证请求。

具体实现中，本申请还提供一种计算机存储介质，其中，该计算机存储介质可存储有程序，该程序执行时可包括本发明提供的身份认证方法的各实施例中的部分或全部步骤。所述的存储介质可为磁碟、光盘、只读存储记忆体(英文：read-onlymemory，简称：rom)或随机存储记忆体(英文：randomaccessmemory，简称：ram)等。

本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本发明实施例中的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。

本说明书中各个实施例之间相同相似的部分互相参见即可。尤其，对于身份认证装置以及系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例中的说明即可。

以上所述的本申请实施方式并不构成对本申请保护范围的限定。