一种双因子身份认证方法及装置与流程

本发明涉及身份认证技术领域，尤其涉及一种双因子身份认证方法及装置。

背景技术：

堡垒机经常成为企业内部安全的薄弱环节，堡垒机内部保存所有的设备资产和权限关系，一旦堡垒机被入侵，则意味很多时候黑客得到了登录服务器、网络设备的权限。

为了进一步加强认证的安全性，采用双因子身份认证方式，双因子就是将两种认证方法结合起来，例如，可以采用ad/ldap+radius的双因子身份认证方式，但当radius服务器故障时，导致双因子认证方式的用户无法登录堡垒机。

技术实现要素：

有鉴于此，本发明提供了一种双因子身份认证方法及装置，用以解决现有技术中双因子认证过程中，对应的服务器故障时，导致双因子认证方式的用户无法登录堡垒机的问题。具体方案如下：

一种双因子身份认证方法，包括：

在对目标堡垒机进行登录的情况下，采用第一维预设身份认证方式和第二维预设身份认证方式进行登录；

当检测到所述第一维预设身份认证方式认证成功且所述第二维预设身份认证方式对应的服务器故障时，调整认证方式，登录所述目标堡垒机。

上述的方法，可选的，还包括：

初始情况下对备用认证方式进行禁用。

上述的方法，可选的，当检测到所述第一维预设身份认证方式认证成功且所述第二维预设身份认证方式对应的服务器故障时，调整认证方式，登录所述目标堡垒机，包括：

禁用所述第二维预设身份认证方式；

启用所述备用认证方式；

依据与所述备用认证方式对应的登录密码登录所述目标堡垒机。

上述的方法，可选的，当检测到所述第一维预设身份认证方式认证成功且所述第二维预设身份认证方式对应的服务器故障时，调整认证方式，登录所述目标堡垒机，包括：

修改所述第二维预设身份认证方式，得到备选第二维预设身份认证方式；

依据与所述备选第二维预设身份认证方式对应的登录密码登录所述目标堡垒机。

上述的方法，可选的，在对目标堡垒机进行登录的情况下，采用第一维预设身份认证方式和第二维预设身份认证方式进行登录，包括：

选取所述第一维预设身份认证方式和所述第二维预设登录方式；

采用所述第一维预设身份认证方式进行登录；

当所述第一维预设身份认证方式登录成功时，采用所述第二维预设身份认证方式进行登录。

一种双因子身份认证装置，包括：

第一登录模块，用于在对目标堡垒机进行登录的情况下，采用第一维预设身份认证方式和第二维预设身份认证方式进行登录；

第二登录模块，用于当检测到所述第一维预设身份认证方式认证成功且所述第二维预设身份认证方式对应的服务器故障时，调整认证方式，登录所述目标堡垒机。

上述的装置，可选的，还包括：

禁用模块，用于初始情况下对备用认证方式进行禁用。

上述的装置，可选的，所述第二登录模块，包括：

禁用单元，用于禁用所述第二维预设身份认证方式；

启用单元，用于启用所述备用认证方式；

第一登录单元，用于依据与所述备用认证方式对应的登录密码登录所述目标堡垒机。

上述的装置，可选的，所述第二登录模块，包括：

修改单元，用于修改所述第二维预设身份认证方式，得到备选第二维预设身份认证方式；

第二登录单元，用于依据与所述备选第二维预设身份认证方式对应的登录密码登录所述目标堡垒机。

上述的装置，可选的，所述第一登录模块，包括：

选取单元，用于选取所述第一维预设身份认证方式和所述第二维预设登录方式；

第三登录单元，用于采用所述第一维预设身份认证方式进行登录；

第四登录单元，当所述第一维预设身份认证方式登录成功时，采用所述第二维预设身份认证方式进行登录。

与现有技术相比，本发明包括以下优点：

本发明公开了一种双因子身份认证方法，包括：在对目标堡垒机进行登录的情况下，采用第一维预设身份认证方式和第二维预设身份认证方式进行登录；当检测到所述第一维预设身份认证方式认证成功且所述第二维预设身份认证方式对应的服务器故障时，调整认证方式，登录所述目标堡垒机。上述的身份认证方法，当所述第一维预设身份认证方式认证成功且所述第二维预设身份认证方式对应的服务器故障时，调整认证方式，登录所述目标堡垒机，避免了在双因子身份认证过程中，对应的服务器故障时，导致双因子认证方式的用户无法登录堡垒机的问题。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例公开的一种双因子身份认证方法流程图；

图2为本申请实施例公开的一种双因子身份认证方法又一流程图；

图3为本申请实施例公开的一种双因子身份认证方法又一流程图；

图4为本申请实施例公开的一种双因子身份认证方法又一流程图；

图5为本申请实施例公开的一种双因子身份认证系统结构框图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明公开了一种双因子身份认证方法及系统，应用在登录堡垒机的过程中，其中，即在一个特定的网络环境下，为了保障网络和数据不受来自外部和内部用户的入侵和破坏，而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动，以便集中报警、及时处理及审计定责。

堡垒机可以实现自动化操作、操作审计、访问控制、身份管理和集中管理，堡垒机经常成为企业内部安全的薄弱环节，堡垒机内部保存所有的设备资产和权限关系，一旦堡垒机被入侵，则意味很多时候黑客得到了登录服务器、网络设备的权限。堡垒机口令是堡垒机安全的第一道防线，一旦堡垒机密码被其它人拿到，就意味着可以使用这个密码所有都的所有权限。

双因子认证是指结合密码以及实物(信用卡、sms手机、令牌或指纹等生物标志)两种条件对用户进行认证的方法，进一步加强认证的安全性。公司一般都有自己的认证方式，如ad/ldap、radius，且为了方便，优选的，本发明以堡垒机的认证方式为ad/ldap+radius为例进行说明，当radius服务器故障时，导致双因子认证方式的用户无法登录堡垒机，所述认证方法的执行流程如图1所示，包括步骤：

s101、在对目标堡垒机进行登录的情况下，采用第一维预设身份认证方式和第二维预设身份认证方式进行登录；

本发明实施例中，所述目标堡垒机为当前正在登录的堡垒机，采用双因子认证方法对所述目标堡垒机进行登录，其中，所述第一维预设身份认证方式和所述第二维预设身份认证方式都是预先由管理员进行设定的，所述第一维预设身份认证方式为ad/ldap，所述第二维预设身份认证方式为radius，本发明实施例中只是针对认证方式进行举例说明，对具体的认证方式不作限制。

s102、当检测到所述第一维预设身份认证方式认证成功且所述第二维预设身份认证方式对应的服务器故障时，调整认证方式，登录所述目标堡垒机。

本发明实施例中，在登录过程中进行检测，当检测到所述第一维预设身份认证方式认证成功且所述第二维预设身份认证方式对应的服务器故障时，调整认证方式，登录所述目标堡垒机，其中，调整认证方式可以为对所述第二维预设的认证方式进行更改，采用更改后第二维预设的认证方式登录所述目标堡垒机或者禁用所述第二预设身份认证方式，启用所述备用认证方式登录所述目标堡垒机。

其中，当所述第一维预设身份认证方式登录失败时，解析登录失败的原因，其中，所述登录失败原因可以为密码错误、对应的服务器故障或者其它的失败原因，依据所述失败原因，对登录过程进行调整，调整完成后，尝试再次登录，当所述第一维预设身份认证方式和所述第二维预设身份认证方式均认证成功时，完成所述目标堡垒机的登录。

本发明公开了一种双因子身份认证方法，包括：在对目标堡垒机进行登录的情况下，采用第一维预设身份认证方式和第二维预设身份认证方式进行登录；当检测到所述第一维预设身份认证方式认证成功且所述第二维预设身份认证方式对应的服务器故障时，调整认证方式，登录所述目标堡垒机。上述的身份认证方法，当所述第一维预设身份认证方式认证成功且所述第二维预设身份认证方式对应的服务器故障时，调整认证方式，登录所述目标堡垒机，避免了在双因子身份认证过程中，对应的服务器故障时，导致双因子认证方式的用户无法登录堡垒机的问题。

本发明实施例中，在对目标堡垒机进行登录的情况下，采用第一维预设身份认证方式和第二维预设身份认证方式进行登录的方法流程如图2所示，包括步骤：

s201、选取所述第一维预设身份认证方式和所述第二维预设登录方式；

本发明实施例中，依据所述目标堡垒机的应用环境或者经验在各个认证方式中选取所述第一维预设身份认证方式和所述第二维预设身份认证方式。

s202、采用所述第一维预设身份认证方式进行登录；

本发明实施例中，首先选择所述第一维预设身份认证方式对所述目标堡垒机进行登录。

s203、当所述第一维预设身份认证方式登录成功时，采用所述第二维预设身份认证方式进行登录。

本发明实施例中，当接收到所述第一维预设身份认证方式的登录成功指令时，采用所述第二维预设身份认证方式进行登录。

本发明实施例中，在确定所述第一维预设身份认证方式和所述第二维预设身份认证方式以后，对所备用认证方式进行禁用，优选的，所述备用认证方式可以为短信认证、令牌认证或者指纹认证等登录方式，本发明对所述备用登录方式的具体实现形式不作限定。

本发明实施例中，当检测到所述第一维预设身份认证方式认证成功且所述第二维预设身份认证方式对应的服务器故障时，调整认证方式，登录所述目标堡垒机的方法流程如图3所示，包括步骤：

s301、禁用所述第二维预设身份认证方式；

本发明实施例中，当所述第二维预设身份认证方式对应的服务器故障时，禁用所述第二维预设身份认证方式。

s302、启用所述备用认证方式；

本发明实施例中，在禁用所述第二维预设身份认证方式的同时，启用所述备用认证方式。

s303、依据与所述备用认证方式对应的登录密码登录所述目标堡垒机。

本发明实施例中，依据与所述备用认证方式对应的登录密码登录所述目标堡垒机。

本发明实施例中，当检测到所述第一维预设身份认证方式认证成功且所述第二维预设身份认证方式对应的服务器故障时，调整认证方式，登录所述目标堡垒机的方法流程如图4所示，包括步骤：

s401、修改所述第二维预设身份认证方式，得到备选第二维预设身份认证方式；

本发明实施例中，当所述第二维预设身份认证方式对应的服务器故障时，修改所述第二维预设身份认证方式，得到备选第二维预设身份认证方式。

s402、依据与所述备选第二维预设身份认证方式对应的登录密码登录所述目标堡垒机。

本发明实施例中，采用与所述备选第二维预设身份认证方式对应的登录密码登录所述目标堡垒机。

本发明实施例中，s301-s303和s401-s402所述的认证方法，实现了在所述第二维预设身份认证方式对应的服务器故障时，对所述目标堡垒机的登录，例如：支持第一维预设身份认证方式ad/ldap+第二维预设身份认证方式radius或短信认证进行组合认证登录；用户使用第一维认证方式(如ad/ldap)通过后，可选择使用radius或短信进行登录，当radius认证服务器异常依旧可以使用ad/ldap+短信认证登录所述目标堡垒机，还支持支持管理员禁用第二身份认证，如禁用radius或短信。

其中，本发明所述双因子身份认证方法，主要是以各种手段适配双因子认证服务器异常时的认证场景，在双因子认证服务器异常时，增加一键修改双因子功能，如禁用第二维预设身份认证方式或修改第二维预设身份认证方式。

基于上述的双因子身份认证方法，本发明实施例中，还提供了一种双因子身份认证装置，所述身份认证装置的结构框图如图5所示，包括：

第一登录模块501和第二登录模块502。

其中，

所述第一登录模块501，用于在对目标堡垒机进行登录的情况下，采用第一维预设身份认证方式和第二维预设身份认证方式进行登录；

所述第二登录模块502，用于当检测到所述第一维预设身份认证方式认证成功且所述第二维预设身份认证方式对应的服务器故障时，调整认证方式，登录所述目标堡垒机。

本发明公开了一种双因子身份认证装置，包括：在对目标堡垒机进行登录的情况下，采用第一维预设身份认证方式和第二维预设身份认证方式进行登录；当检测到所述第一维预设身份认证方式认证成功且所述第二维预设身份认证方式对应的服务器故障时，调整认证方式，登录所述目标堡垒机。上述的身份认证装置，当所述第一维预设身份认证方式认证成功且所述第二维预设身份认证方式对应的服务器故障时，调整认证方式，登录所述目标堡垒机，避免了在双因子身份认证过程中，对应的服务器故障时，导致双因子认证方式的用户无法登录堡垒机的问题。

本发明实施例中，所述认证装置还包括：禁用模块503。

其中，

所述禁用模块503，用于初始情况下对备用认证方式进行禁用。

本发明实施例中，所述第二登录模块502包括：

禁用单元504、启用单元505和第一登录单元506。

其中，

所述禁用单元504，用于禁用所述第二维预设身份认证方式；

所述启用单元505，用于启用所述备用认证方式；

所述第一登录单元506，用于依据与所述备用认证方式对应的登录密码登录所述目标堡垒机。

本发明实施例中，所述第二登录模块502包括：

修改单元507和第二登录单元508。

其中，

所述修改单元507，用于修改所述第二维预设身份认证方式，得到备选第二维预设身份认证方式；

所述第二登录单元508，用于依据与所述备选第二维预设身份认证方式对应的登录密码登录所述目标堡垒机。

本发明实施例中，所述第一登录模块，包括：

选取单元509、第三登录单元510和第四登录单元511。

其中，

所述选取单元509，用于选取所述第一维预设身份认证方式和所述第二维预设登录方式；

所述第三登录单元510，用于采用所述第一维预设身份认证方式进行登录；

所述第四登录单元511，当所述第一维预设身份认证方式登录成功时，采用所述第二维预设身份认证方式进行登录。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

需要说明的是，本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

为了描述的方便，描述以上装置时以功能分为各种单元分别描述。当然，在实施本发明时可以把各单元的功能在同一个或多个软件和/或硬件中实现。

通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。

以上对本发明所提供的一种双因子身份认证方法及装置进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。