一种鉴权认证方法和相关装置与流程

1.本技术涉及网络技术领域，特别是涉及一种鉴权认证方法和相关装置。


背景技术：

2.随着互联网技术发展，以用户为中心的万物互联时代的到来，随之对网络安全提出了更高的要求，往往需要对用户触发的访问请求进行鉴权认证，即根据访问请求来确认用户对应的客户端是否存在安全风险。
3.目前的鉴权认证方式常常存在以下问题：使用低安全等级的鉴权认证(如单因素认证)在有些网络环境下存在安全风险，使用高安全等级的鉴权认证(如双因素或者多因素认证)虽然保证安全性，但使用复杂，降低了产品登录鉴权易用性。


技术实现要素：

4.为了解决上述技术问题，本技术提供了一种鉴权认证方法和相关装置，实现基于ip地址的网络环境进行不同安全等级的鉴权认证，既能保证安全性，又能提高产品登录鉴权易用性。
5.本技术实施例公开了如下技术方案：
6.第一方面，本技术实施例提供了一种鉴权认证方法，所述方法包括：
7.获取目标客户端发送的访问请求，所述访问请求中包括所述目标客户端的国际互联协议ip地址；
8.根据所述目标客户端的ip地址和鉴权等级绑定关系确定所述目标客户端对应的目标鉴权等级，所述鉴权等级绑定关系是不同客户端的ip地址与配置的鉴权等级的绑定关系；
9.确定与所述目标鉴权等级对应的目标鉴权方式；
10.通过所述目标鉴权方式对所述目标客户端进行认证。
11.可选的，所述通过所述目标鉴权方式对所述目标客户端进行认证，包括：
12.获取用户通过所述目标客户端发送的鉴权信息，所述鉴权信息是基于所述目标鉴权方式对应的鉴权登录界面获取的；
13.根据所述目标鉴权等级查找所述目标客户端对应的目标鉴权信息；
14.根据从所述目标客户端获取的鉴权信息与所述目标鉴权信息确定认证结果。
15.可选的，所述根据从所述目标客户端获取的鉴权信息与所述目标鉴权信息确定认证结果，包括：
16.若从所述目标客户端获取的鉴权信息与所述目标鉴权信息一致，则确定所述目标客户端认证成功；
17.若从所述目标客户端获取的鉴权信息与所述目标鉴权信息不一致，则确定所述目标客户端认证失败。
18.可选的，所述通过所述目标鉴权方式对所述目标客户端进行认证之后，所述方法
还包括：
19.获取对所述目标客户端进行认证的认证结果；
20.根据所述认证结果确定所述目标客户端存在安全风险，对所述目标鉴权等级进行更新，并更新所述鉴权等级绑定关系。
21.可选的，所述根据所述认证结果确定所述目标客户端存在安全风险，包括：
22.对多次获取的所述认证结果进行统计；
23.若统计认证结果表示的认证失败次数超出预设阈值，确定所述目标客户端存在安全风险。
24.可选的，所述对所述目标鉴权等级进行更新，包括：
25.若所述目标鉴权等级小于最高安全等级，提升所述目标鉴权等级。
26.可选的，对所述目标鉴权等级进行更新之后，所述方法还包括：
27.利用更新后的目标鉴权等级重新对所述目标客户端进行认证；
28.若认证结果表示认证成功，将更新后的目标鉴权等级恢复到目标鉴权等级。
29.可选的，所述鉴权等级绑定关系的确定方式为：
30.属于可信任区域的ip地址绑定一级鉴权等级、属于隔离区域的ip地址绑定二级鉴权等级、属于不可信任区域的ip地址绑定三级鉴权等级，鉴权等级与安全性正相关。
31.第二方面，本技术实施例提供了一种鉴权认证装置，所述装置包括：
32.获取单元，用于获取目标客户端发送的访问请求，所述访问请求中包括所述目标客户端的国际互联协议ip地址；
33.确定单元，用于根据所述目标客户端的ip地址和鉴权等级绑定关系确定所述目标客户端对应的目标鉴权等级，所述鉴权等级绑定关系是不同客户端的ip地址与配置的鉴权等级的绑定关系；
34.确定单元，还用于确定与所述目标鉴权等级对应的目标鉴权方式；
35.认证单元，用于通过所述目标鉴权方式对所述目标客户端进行认证。
36.可选的，所述认证单元，具体用于：
37.获取用户通过所述目标客户端发送的鉴权信息，所述鉴权信息是基于所述目标鉴权方式对应的鉴权登录界面获取的；
38.根据所述目标鉴权等级查找所述目标客户端对应的目标鉴权信息；
39.根据从所述目标客户端获取的鉴权信息与所述目标鉴权信息确定认证结果。
40.可选的，所述认证单元，具体用于：
41.若从所述目标客户端获取的鉴权信息与所述目标鉴权信息一致，则确定所述目标客户端认证成功；
42.若从所述目标客户端获取的鉴权信息与所述目标鉴权信息不一致，则确定所述目标客户端认证失败。
43.可选的，所述装置还包括更新单元：
44.所述获取单元，还用于获取对所述目标客户端进行认证的认证结果；
45.所述更新单元，用于根据所述认证结果确定所述目标客户端存在安全风险，对所述目标鉴权等级进行更新，并更新所述鉴权等级绑定关系。
46.可选的，所述更新单元，用于：
47.对多次获取的所述认证结果进行统计；
48.若统计认证结果表示的认证失败次数超出预设阈值，确定所述目标客户端存在安全风险。
49.可选的，所述更新单元，用于：
50.若所述目标鉴权等级小于最高安全等级，提升所述目标鉴权等级。
51.可选的，所述装置还包括恢复单元：
52.所述认证单元，还用于利用更新后的目标鉴权等级重新对所述目标客户端进行认证；
53.所述恢复单元，用于若认证结果表示认证成功，将更新后的目标鉴权等级恢复到目标鉴权等级。
54.可选的，所述确定单元，用于：
55.属于可信任区域的ip地址绑定一级鉴权等级、属于隔离区域的ip地址绑定二级鉴权等级、属于不可信任区域的ip地址绑定三级鉴权等级，鉴权等级与安全性正相关。
56.第三方面，本技术实施例提供了一种用于鉴权认证的设备，所述设备包括处理器以及存储器：
57.所述存储器用于存储程序代码，并将所述程序代码传输给所述处理器；
58.所述处理器用于根据所述程序代码中的指令执行前述第一方面任一所述的方法。
59.由上述技术方案可以看出，本技术实施例具有以下优点：
60.服务器获取目标客户端发送的访问请求，所述访问请求中包括所述目标客户端的国际互联协议ip地址；根据所述目标客户端的ip地址和鉴权等级绑定关系确定所述目标客户端对应的目标鉴权等级，所述鉴权等级绑定关系是不同客户端的ip地址与配置的鉴权等级的绑定关系；确定与所述目标鉴权等级对应的目标鉴权方式；通过所述目标鉴权方式对所述目标客户端进行认证。从而实现基于ip地址的网络环境进行不同安全等级的鉴权认证，既能保证安全性，又能提高产品登录鉴权易用性。
附图说明
61.为了更清楚地说明本技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
62.图1为本技术实施例提供的一种鉴权认证方法的流程图；
63.图2为本技术实施例提供的一种服务器的结构图；
64.图3为本技术实施例提供的一种鉴权等级的动态调整的流程图；
65.图4为本技术实施例提供的一种鉴权认证装置的结构图。
具体实施方式
66.为了使本技术领域的人员更好地理解本技术方案，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在
没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
67.为了解决传统技术中存在的技术问题：使用低安全等级的鉴权认证(如单因素认证)在有些网络环境下存在安全风险，使用高安全等级的鉴权认证(如双因素或者多因素认证)虽然保证安全性，但使用复杂，降低了产品登录鉴权易用性，本技术实施例提供一种鉴权认证方法，参见图1，该方法包括：
68.s101、获取目标客户端发送的访问请求。
69.当某个用户希望通过其对应的客户端例如目标客户端访问服务器时，可以通过目标客户端发送访问请求，该访问请求中包括目标客户端的国际互联协议(internet protocol，ip)地址。例如用户希望登录手机银行，以访问对应的服务器，则可以触发对应的访问请求。
70.可以理解的是，本技术实施例提供的方法可以通过服务器执行，服务器的结构可以参见图2所示。其中，s101可以通过图2中的访问接入模块201实现。
71.s102、根据所述目标客户端的ip地址和鉴权等级绑定关系确定所述目标客户端对应的目标鉴权等级。
72.在本实施例中，鉴权等级绑定关系是不同客户端的ip地址与配置的鉴权等级的绑定关系。该鉴权等级绑定关系是服务器预先设置的，服务器根据ip地址确定不同ip地址对应的鉴权等级，通常情况下，鉴权等级分为一级鉴权等级、二级鉴权等级、三级鉴权等级。
73.若根据ip地址确定其属于可信任(trust)区域，则该ip地址绑定一级鉴权等级；若根据ip地址确定其属于隔离(demilitarized zone，dmz)区域，则该ip地址绑定二级鉴权等级；若根据ip地址确定其属于不可信任(untrust)区域，则该ip地址绑定三级鉴权等级。鉴权等级与安全性正相关，鉴权等级越高，鉴权认证方式实现的安全性越高。trust区域的网络环境安全性最高，dmz区域的网络环境安全性次之，untrust区域的网络环境安全性最低，通过本实施例的配置方式，便可以实现为网络环境更为安全的区域配置较低的鉴权等级，为网络环境更为不安全的区域配置较高的鉴权等级，从而在后续鉴权认证的过程中，在较为安全的网络环境下使用低等级的鉴权认证，在存在安全风险的网络环境下，使用高等级的鉴权认证，以便在保证安全性的同时，降低使用复杂度，提高产品登录鉴权易用性。
74.基于图2所示的服务器结构，鉴权等级绑定关系的配置可以通过图2中鉴权管理模块202实现。
75.在获取到目标客户端的ip地址后，可以根据目标客户端的ip地址和鉴权等级绑定关系查找该目标客户端对应的目标鉴权等级。
76.其中，s102可以通过图2中鉴权判定模块203实现，鉴权判定模块203可以管理ip地址和鉴权等级绑定关系，从而根据ip地址确定目标鉴权等级。
77.s103、确定与所述目标鉴权等级对应的目标鉴权方式。
78.不同鉴权等级绑定不同的鉴权方式，故需要确定目标鉴权等级对应的目标鉴权方式。鉴权方式可以包括基于用户名密码的鉴权方式、基于验证码的鉴权方式、基于证书的鉴权方式等等。
79.其中，鉴权方式与鉴权等级的绑定关系也是通过服务器预先配置的，例如可以通过图2中鉴权管理模块202实现。相应的，图2中鉴权判定模块203可以管理鉴权方式与鉴权等级的绑定关系，从而根据目标鉴权等级确定目标鉴权方式。
80.s104、通过所述目标鉴权方式对所述目标客户端进行认证。
81.其中，s104可以通过图2中鉴权认证模块204实现。
82.需要说明的是，在一些情况下，鉴权认证需要鉴权信息，鉴权信息与鉴权方式相关，若鉴权方式是基于用户名密码的鉴权方式，则鉴权信息可以包括用户名和密码，若鉴权方式是基于证书的鉴权方式，则鉴权信息可以包括证书。因此，在本技术中可以预先设置不同鉴权方式对应的鉴权信息，以便根据鉴权信息对目标客户端进行认证。
83.具体的，在确定鉴权方式中，服务器根据鉴权方式为目标客户端提供对应的鉴权登录界面，用户可以在鉴权登录界面上录入鉴权信息。例如鉴权方式是基于用户名密码的鉴权方式，则鉴权登录界面上提供用户名输入框和密码输入框，以便用户输入用户名和密码。服务器可以获取用户通过目标客户端发送的鉴权信息，该鉴权信息是基于目标鉴权方式对应的鉴权登录界面获取的。然后根据目标鉴权等级查找目标客户端对应的目标鉴权信息，从而根据从目标客户端获取的鉴权信息与所述目标鉴权信息确定认证结果。
84.在一些情况下，根据从目标客户端获取的鉴权信息与目标鉴权信息确定认证结果的方式可以是若从目标客户端获取的鉴权信息与目标鉴权信息一致，则确定目标客户端认证成功；若从目标客户端获取的鉴权信息与目标鉴权信息不一致，则确定目标客户端认证失败。
85.一般情况下，除了确定从目标客户端获取的鉴权信息与目标鉴权信息一致之外，还要确定该用户存在，若用户不存在，则确定认证失败。
86.在这种情况下，鉴权认证模块204可以管理用户的鉴权信息，包括用户不同鉴权等级的不同鉴权信息以及访问用户的鉴权认证。
87.由上述技术方案可以看出，本技术实施例具有以下优点：
88.服务器获取目标客户端发送的访问请求，所述访问请求中包括所述目标客户端的国际互联协议ip地址；根据所述目标客户端的ip地址和鉴权等级绑定关系确定所述目标客户端对应的目标鉴权等级，所述鉴权等级绑定关系是不同客户端的ip地址与配置的鉴权等级的绑定关系；确定与所述目标鉴权等级对应的目标鉴权方式；通过所述目标鉴权方式对所述目标客户端进行认证。从而实现基于ip地址的网络环境进行不同安全等级的鉴权认证，既能保证安全性，又能提高产品登录鉴权易用性。
89.需要说明的是，目标客户端的认证结果可以反映出目标客户端是否存在安全风险。故本实施例在通过目标鉴权方式对目标客户端进行认证之后，服务器可以获取对目标客户端进行认证的认证结果，从而根据认证结果确定目标客户端是否存在安全风险。若服务器根据认证结果确定目标客户端存在安全风险，对目标鉴权等级进行更新，并更新鉴权等级绑定关系，从而实现对鉴权等级的动态调整。
90.其中，鉴权等级的动态调整可以通过图2中动态检测模块205实现，动态检测模块205依据目标客户端的认证结果判断该ip地址对应目标客户端的安全风险，并依据安全风险针对ip地址进行鉴权等级的调整。
91.在本技术实施例中，确定目标客户端是否存在安全风险的方式可以包括多种，一种可能的方式是若认证结果表示认证失败，则确定目标客户端存在安全风险。而在大多数情况下，认证失败可能是由于存在安全风险，也可能仅是用户偶然错误的使用鉴权信息，从而导致认证失败。例如用户记错用户名和密码，从而导致发送至服务器的鉴权信息与该ip
地址对应的目标鉴权信息不一致，导致认证失败。故在另一种可能的实现方式中，为了提高安全风险判断的准确性，可以根据多次鉴权认证的认证结果确定安全风险，从而降低偶然性对判断安全风险的影响。
92.具体的，服务器可以对多次获取的认证结果进行统计(参见图3中s301所示)，若统计认证结果表示的认证失败次数超出预设阈值，确定目标客户端存在安全风险，对目标鉴权等级进行更新(参见图3中s302所示)。
93.在对目标鉴权等级进行更新时，若目标鉴权等级小于最高安全等级，则提升目标鉴权等级，例如可以每次更新提升1个等级，当然也可以提升多个等级，本实施例对此不做限定。若目标鉴权等级已经达到最高安全等级，则不执行任何操作。
94.在对目标鉴权等级进行更新之后，若目标客户端再次访问服务器，服务器利用更新后的目标鉴权等级重新对目标客户端进行认证，其认证方法与图1对应实施例提供的方法相似，此处不再赘述。若认证结果表示认证成功，可以认为目标客户端存在安全风险解除，并将更新后的目标鉴权等级恢复到原始的目标鉴权等级(参见图3中s303所示)。可以理解的是，该过程也可以认为是鉴权等级的动态更新过程，可以通过动态检测模块205实现。
95.基于图1对应实施例所提供的鉴权认证方法，本技术实施例提供了一种鉴权认证装置，参见图4，所述装置包括：
96.获取单元401，用于获取目标客户端发送的访问请求，所述访问请求中包括所述目标客户端的国际互联协议ip地址；
97.确定单元402，用于根据所述目标客户端的ip地址和鉴权等级绑定关系确定所述目标客户端对应的目标鉴权等级，所述鉴权等级绑定关系是不同客户端的ip地址与配置的鉴权等级的绑定关系；
98.确定单元402，还用于确定与所述目标鉴权等级对应的目标鉴权方式；
99.认证单元403，用于通过所述目标鉴权方式对所述目标客户端进行认证。
100.可选的，所述认证单元，具体用于：
101.获取用户通过所述目标客户端发送的鉴权信息，所述鉴权信息是基于所述目标鉴权方式对应的鉴权登录界面获取的；
102.根据所述目标鉴权等级查找所述目标客户端对应的目标鉴权信息；
103.根据从所述目标客户端获取的鉴权信息与所述目标鉴权信息确定认证结果。
104.可选的，所述认证单元，具体用于：
105.若从所述目标客户端获取的鉴权信息与所述目标鉴权信息一致，则确定所述目标客户端认证成功；
106.若从所述目标客户端获取的鉴权信息与所述目标鉴权信息不一致，则确定所述目标客户端认证失败。
107.可选的，所述装置还包括更新单元：
108.所述获取单元，还用于获取对所述目标客户端进行认证的认证结果；
109.所述更新单元，用于根据所述认证结果确定所述目标客户端存在安全风险，对所述目标鉴权等级进行更新，并更新所述鉴权等级绑定关系。
110.可选的，所述更新单元，用于：
111.对多次获取的所述认证结果进行统计；
112.若统计认证结果表示的认证失败次数超出预设阈值，确定所述目标客户端存在安全风险。
113.可选的，所述更新单元，用于：
114.若所述目标鉴权等级小于最高安全等级，提升所述目标鉴权等级。
115.可选的，所述装置还包括恢复单元：
116.所述认证单元，还用于利用更新后的目标鉴权等级重新对所述目标客户端进行认证；
117.所述恢复单元，用于若认证结果表示认证成功，将更新后的目标鉴权等级恢复到目标鉴权等级。
118.可选的，所述确定单元，用于：
119.属于可信任区域的ip地址绑定一级鉴权等级、属于隔离区域的ip地址绑定二级鉴权等级、属于不可信任区域的ip地址绑定三级鉴权等级，鉴权等级与安全性正相关。
120.由上述技术方案可以看出，本技术实施例具有以下优点：
121.服务器获取目标客户端发送的访问请求，所述访问请求中包括所述目标客户端的国际互联协议ip地址；根据所述目标客户端的ip地址和鉴权等级绑定关系确定所述目标客户端对应的目标鉴权等级，所述鉴权等级绑定关系是不同客户端的ip地址与配置的鉴权等级的绑定关系；确定与所述目标鉴权等级对应的目标鉴权方式；通过所述目标鉴权方式对所述目标客户端进行认证。从而实现基于ip地址的网络环境进行不同安全等级的鉴权认证，既能保证安全性，又能提高产品登录鉴权易用性。
122.本技术实施例还提供了一种用于鉴权认证的设备，所述设备包括处理器以及存储器：
123.所述存储器用于存储程序代码，并将所述程序代码传输给所述处理器；
124.所述处理器用于根据所述程序代码中的指令执行前述实施例任一所述的鉴权认证方法。
125.本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质可以是下述介质中的至少一种：只读存储器(英文：read
‑
only memory，缩写：rom)、ram、磁碟或者光盘等各种可以存储程序代码的介质。
126.需要说明的是，本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于设备及系统实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的设备及系统实施例仅仅是示意性的，其中作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。
127.以上所述，仅为本技术的一种具体实施方式，但本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到的变化或替换，
都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应该以权利要求的保护范围为准。