一种推送认证的系统和设备的工作方法
【技术领域】
[0001]本发明涉及信息安全领域,尤其涉及一种推送认证的系统和设备的工作方法。
【背景技术】
[0002]移动设备令牌,全称动态密码移动设备(包括手机、pad等)令牌,是用来生成动态口令的移动设备客户端软件,移动设备令牌是由运行在移动设备上的程序产生动态口令,动态口令与移动设备绑定进行身份认证,口令的生成过程不产生通信及费用,具有使用简单、安全性高、低成本、无需携带额外设备、容易获取、无物流等优势,移动设备令牌是3G时代动态密码身份认证的发展趋势。
[0003]推送,是一种先进的服务器和客户机之前的通信连接方式,将服务器数据源源不断地推向客户机,从而使客户机和服务器之间的交互性能大大提提高,实现用户的多层次需求,使得用户能够自己设定所需要的信息频道,并直接在用户端接收定制信息的实现方式。
[0004]现有技术在认证过程中,均为通过用户触发产生口令发至服务器进行验证,口令容易泄露,安全性较低,且认证需要用户干预所以影响认证速度且安全性低。
【发明内容】
[0005]为解决现有技术中提供的问题,本发明提供了一种推送认证的系统和设备的工作方法。
[0006]本发明采用的技术方案是:一种推送认证系统的工作方法,应用于包括应用界面、应用服务器、认证服务器和移动终端令牌组成的系统中,所述方法包括:
[0007]步骤S1:所述应用界面接收用户输入的用户信息,将所述用户信息发送至所述应用服务器;
[0008]步骤S2:所述应用服务器接收到所述用户信息后,根据所述用户信息和内部保存的应用标识生成认证请求,将所述认证请求发送至所述认证服务器;
[0009]步骤S3:所述认证服务器接收到所述认证请求后,生成挑战值并保存,从所述认证请求中获取用户信息和应用标识,根据所述用户信息获取对应的令牌信息和网络数据链路,并根据所述应用标识获取对应的应用名称;
[0010]步骤S4:所述认证服务器根据所述挑战值、所述令牌信息、所述用户信息和所述应用名称生成推送认证请求,通过所述网络数据链路将所述推送认证请求推送至对应的移动终?而令牌;
[0011]步骤S5:所述移动终端令牌接收到所述推送认证请求后,根据所述推送认证请求中的用户信息和应用名称生成登录信息并显示,接收用户对所述登录信息的选择,当接收到用户选择确认登录时,执行步骤S6,否则结束;
[0012]步骤S6:所述移动终端令牌从所述推送认证请求中获取挑战值,对所述挑战值和内部保存的所述令牌种子密钥进行计算,生成第一应答值;
[0013]步骤S7:所述移动终端令牌生成包含所述第一应答值的授权结果,通过所述网络数据链路将所述授权结果发送至所述认证服务器;
[0014]步骤S8:所述认证服务器接收到所述授权结果后,从所述授权结果中获取第一应答值,并获取对应保存的服务器种子密钥和挑战值,对所述挑战值和所述服务器种子密钥进行计算,得到第二应答值;
[0015]步骤S9:所述认证服务器判断所述第一应答值和所述第二应答值是否匹配,是则向所述应用服务器返回认证成功的认证结果,执行步骤S10,否则结束;
[0016]步骤SlO:所述应用服务器接收到所述认证成功的认证结果后,向所述应用界面发送认证成功信息;
[0017]步骤Sll:所述应用界面接收到所述认证成功信息后,允许用户访问应用,结束。
[0018]一种推送认证的系统中认证服务器的工作方法,包括:
[0019]步骤Tl:所述认证服务器接收到来自应用服务器的认证请求后,生成挑战值并保存,并从所述认证请求中获取用户信息和应用标识;
[0020]步骤T2:所述认证服务器根据所述用户信息获取对应的令牌信息和网络数据链路,并根据所述应用标识获取对应的应用名称;
[0021]步骤T3:所述认证服务器根据所述挑战值、所述令牌信息、所述用户信息和所述应用名称生成推送认证请求,并通过所述网络数据链路将所述推送认证请求推送至移动终?而令牌;
[0022]步骤Τ4:所述认证服务器接收所述移动终端令牌返回的授权结果,从所述授权结果中获取第一应答值,并获取保存的服务器种子密钥和所述挑战值,对所述挑战值和所述服务器种子密钥进行计算,得到第二应答值;
[0023]步骤Τ5:所述认证服务器判断所述第一应答值和所述第二应答值是否匹配,如果是,则向所述应用服务器返回认证成功的认证结果,结束,否则向所述应用服务器返回认证失败的认证结果,结束。
[0024]一种推送认证的系统中移动终端令牌的工作方法,包括:
[0025]步骤Kl:所述移动终端令牌接收来自认证服务器的推送认证请求;
[0026]步骤Κ2:所述移动终端令牌从所述推送认证请求中获取用户信息和应用名称,根据所述用户信息和所述应用名称生成登录信息并显示;
[0027]步骤Κ3:所述移动终端令牌接收用户对登录信息的选择,当接收到用户选择确认登录时,执行步骤Κ4,否则结束;
[0028]步骤Κ4:所述移动终端令牌从所述推送认证请求中获取挑战值,并获取保存的令牌种子密钥,对所述挑战值和所述令牌种子密钥进行计算,生成第一应答值;
[0029]步骤Κ5:所述移动终端令牌从所述推送认证请求中获取令牌信息,根据所述第一应答值和所述令牌信息生成允许登录的授权结果,并通过网络数据链路发送至所述认证服务器,令牌操作结束。
[0030]本发明取得的有益效果是:采用本发明的技术方案,采用推送的方式实现客户端、服务器和移动设备令牌之间的口令认证,提高传统认证的数据传输速度,并且无需用户参与口令的输入并采用挑战应答方式,防止中间人攻击,提高了认证过程中的安全性。
【附图说明】
[0031]为了更清楚的说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0032]图1是本发明实施例1提供的一种推送认证系统的工作方法流程图;
[0033]图2、图3和图4是本发明实施例2提供的一种推送认证系统的工作方法流程图;
[0034]图5是本发明实施例3提供的一种推送认证系统中认证服务器的工作方法流程图;
[0035]图6是本发明实施例4提供的一种推送认证系统中移动终端令牌的工作方法流程图。
【具体实施方式】
[0036]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0037]本发明中,推送认证系统包括应用界面、应用服务器、认证服务器和移动终端令牌,推送认证设备包括认证服务器和移动终端令牌。
[0038]本发明中,认证服务器对移动终端令牌激活过程中,建立两者之间的网络数据链路,且在认证服务器中保存有用户信息与网络数据链路的对应关系,之后每次当移动终端令牌启动时,获取内部保存的访问地址,根据访问地址访问认证服务器,重新建立起移动终端令牌与认证服务器之间的网络数据链路(优选为TCP协议的网络数据链路),移动终端令牌通过该网络数据链路将令牌信息发送至认证服务器,认证服务器接收到令牌信息后,获取服务器存储区中对应保存的令牌信息,若接收到的令牌信息与保存的令牌信息不相同,则更新保存的令牌信息为接收到的令牌信息;
[0039]其中,令牌信息包括:令牌序列号、令牌标识码、移动终端操作系统;
[0040]例如,移动终端令牌内部保存的访问地址为ap1-dfserv.cloudentify.com:1843 ;
[0041]移动终端令牌发送至认证服务器的令牌信息为:
[0042]{"tokens":["1000000006","1000000003"],"os":"1",udid":"57987117827971672588""reqtype":"I"}。
[0043]实施例1
[0044]本发明实施例1提供了一种推送认证系统的工作方法,应用于包括应用界面、应用服务器、认证服务器和移动设备令牌组成的系统中,如图1所示,包括:
[0045]步骤101:应用界面接收用户输入的用户信息;
[0046]其中,用户信息可以为用户名,也可以为用户名和密码,本实施例以用户信息为用户名为例来说明。
[0047]步骤102:应用界面将用户信息发送至应用服务器;
[0048]步骤103:应用服务器接收到用户信息后,根据用户信息和内部保存的应用标识生成认证请求;
[0049]步骤104:应用服务器将认证请求发送至认证服务器;
[0050]步骤105:认证服务器接收到认证请求后,生成挑战值并保存,从认证请求中获取用户信息和应用标识,根据用户信息获取对应的令牌信息和网络数据链路,并根据应用标识获取对应的应用名称;
[0051]步骤106:认证服务器根据挑战值、令牌信息、用户信息和应用名称生成推送认证请求;
[0052]步骤107:认证服务器通过网络数据链路将推送认证请求推送至对应的移动终端令牌;
[0053]步骤108:移动终端令牌接收到推送认证请求后,根据推送认证请求中的用户信息和应用名称生成登录信息并显示,接收用户对所述登录信息的选择,当接收到用户选择确认登录时,执行步骤109,否则结束;
[0054]步骤109:移动终端令牌从推送认证请求中获取挑战值,对挑战值和内部保存的所述令牌种子密钥进行计算,生成第一应答值;
[0055]步骤110:移动终端令牌生成包含第一应答值的授权结果;
[0056]步骤111:移动终端令牌通过网络数据链路将授权结果发送至认证服务器;
[0057]步骤112:认证服务器接收到授权结果后,从授权结果中获取第一应答值,并获取对应保存的服务器种子密钥和挑战值,对挑战值和服务器种子密钥进行计算,得到第二应答值;
[0058]步骤113:认证服务器判断第一应答值和第二应答值是否匹配,是则执行步骤114,否则结束;
[0059]步骤114:认证服务器向应用服务器返回认证成功的认证结果;
[0060]步骤115:应用服务器接收到认证成功的认证结果后,向应用界面发送认证成功信息;