一种身份认证方法、装置、计算机设备和存储介质与流程

1.本技术涉及计算机技术领域，特别是涉及一种身份认证方法、装置、计算机设备和存储介质。


背景技术：

2.随着互联网的发展，针对云上的访问越来越多，产生了针对云上私有网络的访问技术(云应用集群访问)，云应用集群是指在互联网上构建的应用集群，通过云服务器存储和处理应用所需的数据，用户可以远程实现对云应用集群中的应用进行访问。由于私有网络是针对某个特定的用户群，如企业用户，在对私有网络进行访问时，安全问题显得尤为重要。
3.由于云上的访问都是远程访问，很容易遭受外部攻击，现有通过设置云防火墙来对私有网络进行保护，但是在远程访问针对内部员工需要对防火墙开启才能进行访问，防火墙开启只能根据ip地址进行识别，如出差员工、驻场外包员工进行访问时无法做到精细化控制开启。另外，私有网络是根据网络边界构建，也有通过用户身份认证进行访问，但是这种访问方式存在弱密码、暴力攻击或者代码级别低，也很容易遭受外部的入侵和攻击，导致内部数据外泄和破坏。
4.随着网络安全的不断加强，应用侧多因素身份认证(mfa，multifactor authentication)的使用越来越多。多因素身份认证(mfa)是一种身份验证方法，mfa不仅要求输入用户名和密码，还需要一个或多个其他验证因素，从而降低了成功进行网络攻击的可能性。
5.mfa设备可以基于硬件也可以基于软件，常用的因子之一是一次性密码(otp)，一次性密码通常是通过电子邮件，短信或某种移动应用程序收到的数字代码，数字代码将定期更新并且只能使用一次。
6.然而，在一个网络中，如果每个云应用都需要进行多因素身份认证，则导致认证过程相当繁琐，每次认证只能对单一云应用进行认证，导致认证效率低。


技术实现要素：

7.基于此，有必要针对上述技术问题，提供一种能够提高认证效率的身份认证方法、装置、计算机设备和存储介质。
8.一种身份认证方法，所述方法包括：
9.获取用户进入网络侧认证界面的请求，并根据所述网络侧认证界面的请求向客户端发送网络侧认证界面；
10.获取用户输入的用户名和密码，并对所述用户名和密码进行验证；
11.在验证通过后，获取所述客户端的环境信息；
12.根据所述客户端的环境信息，判断用户登录环境的安全级别；
13.在所述安全级别不符合要求时，向所述客户端开启网络侧mfa认证；
14.在所述网络侧mfa认证通过后，向所述客户端发送进入网络的界面；其中，所述进入网络的界面包括多个云应用。
15.在其中一个实施例中，所述客户端的环境信息包括所述客户端系统补丁情况、所述客户端重要进程是否运行、所述客户端接入网络的ip地址、所述客户端所处的经纬度和所述客户端的设备信息中至少一种；根据所述客户端的环境信息，判断用户登录环境的安全级别，包括：根据所述客户端接入网络的ip地址、所述客户端所处的经纬度和所述客户端的设备信息，判断客户端所处经纬度、设备信息、用户登录ip地址是否在用户常用设备清单中，以及判断所述客户端系统补丁是否为最新，以及所述客户端重要进程是否运行杀毒软件；如果根据设备信息、用户登录ip地址已经尝试多次登录并且网络侧mfa认证失败，或者在单一设备上有超过一定阈值的用户使用，或者所述客户端系统补丁不为最新，或者客户端重要进程未运行杀毒软件，则判断用户登录环境的安全级别为高风险；如果所述经纬度、设备信息、用户登录ip地址在用户常用设备清单，所述客户端系统补丁为最新，且客户端重要进程运行杀毒软件，则判断用户登录环境的安全级别为低风险；如果所述经纬度、设备信息、用户登录ip地址不在用户常用设备清单，所述客户端系统补丁为最新，且客户端重要进程运行杀毒软件，则判断用户登录环境的安全级别为中风险。
16.在其中一个实施例中，在所述安全级别不符合要求时，向所述客户端开启网络侧mfa认证，包括：在所述安全级别为中风险时，向所述客户端开启网络侧mfa认证。
17.在其中一个实施例中，在根据所述客户端的环境信息，判断用户登录环境的安全级别之后，包括：在所述安全级别为低风险时，向所述客户端发送进入网络的界面；其中，所述进入网络的界面包括多个云应用。
18.在其中一个实施例中，在根据所述客户端的环境信息，判断用户登录环境的安全级别之后，包括：在所述安全级别为高风险时，向所述客户端发送禁止进入网络的界面。
19.在其中一个实施例中，在获取用户进入网络侧认证界面的请求，并根据所述网络侧认证界面的请求向客户端发送网络侧认证界面之前，包括：获取用户的网络侧认证注册请求，所述网络侧认证注册请求包括用户的用户名和密码；根据所述用户名和密码进行网络侧认证注册；获取mfa功能的设置请求；根据所述mfa功能的设置请求进行mfa功能的设置。
20.在其中一个实施例中，所述根据所述mfa功能的设置请求进行mfa功能的设置，包括：根据所述mfa功能的设置请求，创建与所述用户名对应的密钥；根据所述密钥创建二维码并发送至客户端；其中，客户端对所述二维码进行扫描添加一次性密码。
21.在其中一个实施例中，所述向所述客户端开启网络侧mfa认证，包括：获取客户端发送的一次性密码；根据所述密钥和时间戳对所述一次性密码进行认证；如果认证成功，则所述网络侧mfa认证通过；如果认证失败，则所述网络侧mfa认证未通过。
22.一种身份认证方法，其特征在于，所述方法包括：
23.向服务器发送用户进入网络侧认证界面的请求，并获取服务器发送的网络侧认证界面；其中，用户进入网络侧认证界面的请求包括客户端的环境信息；
24.根据所述网络侧认证界面，获取用户输入的用户名和密码，并发送至服务器；其中，服务器对所述用户名和密码进行验证，在验证通过后，获取所述环境信息，根据所述环境信息，判断用户登录环境的安全级别；
25.在所述安全级别不符合要求时，进行网络侧mfa认证；
26.在所述网络侧mfa认证通过后，接收服务器发送的进入网络的界面；其中，所述进入网络的界面包括多个云应用。
27.在其中一个实施例中，所述客户端的环境信息包括所述客户端系统补丁情况、所述客户端重要进程是否运行、所述客户端接入网络的ip地址、所述客户端所处的经纬度和所述客户端的设备信息中至少一种；根据所述客户端的环境信息，判断用户登录环境的安全级别，包括：根据所述客户端接入网络的ip地址、所述客户端所处的经纬度和所述客户端的设备信息，判断客户端所处经纬度、设备信息、用户登录ip地址是否在用户常用设备清单中，以及判断所述客户端系统补丁是否为最新，以及所述客户端重要进程是否运行杀毒软件；如果根据设备信息、用户登录ip地址已经尝试多次登录并且网络侧mfa认证失败，或者在单一设备上有超过一定阈值的用户使用，或者所述客户端系统补丁不为最新，或者客户端重要进程未运行杀毒软件，则判断用户登录环境的安全级别为高风险；如果所述经纬度、设备信息、用户登录ip地址在用户常用设备清单，所述客户端系统补丁为最新，且客户端重要进程运行杀毒软件，则判断用户登录环境的安全级别为低风险；如果所述经纬度、设备信息、用户登录ip地址不在用户常用设备清单，所述客户端系统补丁为最新，且客户端重要进程运行杀毒软件，则判断用户登录环境的安全级别为中风险。
28.在其中一个实施例中，在所述安全级别不符合要求时，进行网络侧mfa认证，包括：在所述安全级别为中风险时，进行网络侧mfa认证。
29.在其中一个实施例中，在根据所述网络侧认证界面，获取用户输入的用户名和密码，并发送至服务器之后，包括：在所述安全级别为低风险时，接收进入网络的界面；其中，所述进入网络的界面包括多个云应用。
30.在其中一个实施例中，在根据所述网络侧认证界面，获取用户输入的用户名和密码，并发送至服务器之后，包括：在所述安全级别为高风险时，接收禁止进入网络的界面。
31.在其中一个实施例中，在向服务器发送用户进入网络侧认证界面的请求，并获取服务器发送的网络侧认证界面之前，包括：向服务器发送用户的网络侧认证注册请求，所述网络侧认证注册请求包括用户的用户名和密码；其中，服务器根据所述用户名和密码进行网络侧认证注册；向服务器发送mfa功能的设置请求；其中，服务器根据所述mfa功能的设置请求进行mfa功能的设置。
32.在其中一个实施例中，在向服务器发送mfa功能的设置请求之后，包括：获取根据密钥创建的二维码；其中，服务器根据所述mfa功能的设置请求，创建与所述用户名对应的密钥，并根据密钥创建二维码；对所述二维码进行扫描添加一次性密码。
33.在其中一个实施例中，进行网络侧mfa认证包括：向服务器发送一次性密码；其中，所述一次性密码通过开启虚拟mfa设备获得；服务器根据所述密钥和时间戳对所述一次性密码进行认证；如果认证成功，则所述网络侧mfa认证通过；如果认证失败，则所述网络侧mfa认证未通过。
34.一种身份认证装置，所述装置包括：
35.网络侧认证界面发送模块，用于获取用户进入网络侧认证界面的请求，并根据所述网络侧认证界面的请求向客户端发送网络侧认证界面；
36.验证模块，用于获取用户输入的用户名和密码，并对所述用户名和密码进行验证；
37.环境信息获取模块，用于在验证通过后，获取所述客户端的环境信息；
38.安全级别判断模块，用于根据所述客户端的环境信息，判断用户登录环境的安全级别；
39.认证开启模块，用于在所述安全级别不符合要求时，向所述客户端开启网络侧mfa认证；
40.网络界面发送模块，用于在所述网络侧mfa认证通过后，向所述客户端发送进入网络的界面；其中，所述进入网络的界面包括多个云应用。
41.一种身份认证装置，所述装置包括：
42.网络侧认证界面接收模块，用于向服务器发送用户进入网络侧认证界面的请求，并获取服务器发送的网络侧认证界面；其中，用户进入网络侧认证界面的请求包括客户端的环境信息；
43.验证信息发送模块，用于根据所述网络侧认证界面，获取用户输入的用户名和密码，并发送至服务器；其中，服务器对所述用户名和密码进行验证，在验证通过后，获取所述环境信息，根据所述环境信息，判断用户登录环境的安全级别；
44.认证模块，用于在所述安全级别不符合要求时，进行网络侧mfa认证；
45.网络界面接收模块，用于在所述网络侧mfa认证通过后，接收服务器发送的进入网络的界面；其中，所述进入网络的界面包括多个云应用。
46.一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现以下步骤：
47.获取用户进入网络侧认证界面的请求，并根据所述网络侧认证界面的请求向客户端发送网络侧认证界面；
48.获取用户输入的用户名和密码，并对所述用户名和密码进行验证；
49.在验证通过后，获取所述客户端的环境信息；
50.根据所述客户端的环境信息，判断用户登录环境的安全级别；
51.在所述安全级别不符合要求时，向所述客户端开启网络侧mfa认证；
52.在所述网络侧mfa认证通过后，向所述客户端发送进入网络的界面；其中，所述进入网络的界面包括多个云应用。
53.一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现以下步骤：
54.获取用户进入网络侧认证界面的请求，并根据所述网络侧认证界面的请求向客户端发送网络侧认证界面；
55.获取用户输入的用户名和密码，并对所述用户名和密码进行验证；
56.在验证通过后，获取所述客户端的环境信息；
57.根据所述客户端的环境信息，判断用户登录环境的安全级别；
58.在所述安全级别不符合要求时，向所述客户端开启网络侧mfa认证；
59.在所述网络侧mfa认证通过后，向所述客户端发送进入网络的界面；其中，所述进入网络的界面包括多个云应用。
60.上述身份认证方法、装置、计算机设备和存储介质，通过进入网络侧进行用户名和密码认证后，然后再判断客户端的环境信息的安全级别是否符合要求，在符合要求的情况
下再进行网络侧mfa认证，在mfa认证通过后可进行网络侧内部多个云应用的访问，在网络接入的位置进行多因素身份认证，可以很好的保护网络内的所有云应用，减少网络内云应用各自建设mfa的负担，同时保证了进入网络内用户的安全性。
附图说明
61.图1为一个实施例中身份认证方法的应用环境图；
62.图2为一个实施例中身份认证方法的流程示意图；
63.图3为另一个实施例中身份认证方法的流程示意图；
64.图4为一个实施例中身份认证装置的结构框图；
65.图5为另一个实施例中身份认证装置的结构框图；
66.图6为一个实施例中计算机设备的内部结构图。
具体实施方式
67.为了使本技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本技术进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本技术，并不用于限定本技术。
68.本技术提供的一种身份认证方法，可以应用于如图1所示的应用环境中。其中，在同一网络侧101内设置多个云应用102，用户访问云应用需要在网络侧进行用户名和密码认证以及网络侧mfa认证。服务器获取用户进入网络侧认证界面的请求，并根据所述网络侧认证界面的请求向客户端发送网络侧认证界面；获取用户输入的用户名和密码，并对所述用户名和密码进行验证；在验证通过后，获取所述客户端的环境信息；根据所述客户端的环境信息，判断用户登录环境的安全级别；在所述安全级别不符合要求时，向所述客户端开启网络侧mfa认证；在所述网络侧mfa认证通过后，向所述客户端发送进入网络的界面；其中，所述进入网络的界面包括多个云应用。其中，客户端可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备，服务器可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
69.在一个实施例中，如图2所示，提供了一种身份认证方法，以应用在服务器端进行说明，包括以下步骤：
70.s110，获取用户进入网络侧认证界面的请求，并根据所述网络侧认证界面的请求向客户端发送网络侧认证界面。
71.其中，网络侧认证界面是用于对用户的用户名和密码进行验证。
72.s120，获取用户输入的用户名和密码，并对所述用户名和密码进行验证。
73.s130，在验证通过后，获取所述客户端的环境信息。
74.其中，客户端的环境信息包括客户端接入网络的ip地址、所述客户端所处的经纬度和所述客户端的设备信息中至少一种。客户端的环境信息也可以包括访问上下文、用户历史行为。
75.s140，根据所述客户端的环境信息，判断用户登录环境的安全级别。
76.s150，在所述安全级别不符合要求时，向所述客户端开启网络侧mfa认证。
77.其中，当安全级别太低，服务器直接发送访问阻止指令。当安全级别很高，则不需
要开启网络侧mfa认证。只有在安全级别适中时，向所述客户端开启网络侧mfa认证。网络侧mfa认证是一种为了保护用户隐私和简化密码输入的手段，用户需要在输入密码后再至少添加一种身份认证信息。这些认证信息可以是一个标记，指纹或虹膜，也可以是密码提示信息等。
78.s160，在所述网络侧mfa认证通过后，向所述客户端发送进入网络的界面；其中，所述进入网络的界面包括多个云应用。
79.其中，云应用为包括web应用和cs应用。由于有些企业内部应用只允许内部员工访问，在从外部网络进入访问时需要保证云应用的访问安全。
80.上述身份认证方法中，通过进入网络侧进行用户名和密码认证后，然后再判断客户端的环境信息的安全级别是否符合要求，在符合要求的情况下再进行网络侧mfa认证，在网络侧mfa认证通过后可进行网络侧内部多个云应用的访问，在网络接入的位置进行多因素身份认证，可以很好的保护网络内的所有云应用，减少网络内应用各自建设mfa的负担，同时保证了进入网络内用户的安全性。
81.在其中一个实施例中，所述客户端的环境信息包括所述客户端系统补丁情况、所述客户端重要进程是否运行、所述客户端接入网络的ip地址、所述客户端所处的经纬度和所述客户端的设备信息中至少一种；
82.根据所述客户端的环境信息，判断用户登录环境的安全级别，包括：
83.根据所述客户端接入网络的ip地址、所述客户端所处的经纬度和所述客户端的设备信息，判断客户端所处经纬度、设备信息、用户登录ip地址是否在用户常用设备清单中，以及判断所述客户端系统补丁是否为最新，以及所述客户端重要进程是否运行杀毒软件；如果根据设备信息、用户登录ip地址已经尝试多次登录并且网络侧mfa认证失败，或者在单一设备上有超过一定阈值的用户使用，或者所述客户端系统补丁不为最新，或者客户端重要进程未运行杀毒软件，则判断用户登录环境的安全级别为高风险；如果所述经纬度、设备信息、用户登录ip地址在用户常用设备清单，所述客户端系统补丁为最新，且客户端重要进程运行杀毒软件，则判断用户登录环境的安全级别为低风险；如果所述经纬度、设备信息、用户登录ip地址不在用户常用设备清单，所述客户端系统补丁为最新，且客户端重要进程运行杀毒软件，则判断用户登录环境的安全级别为中风险。
84.例如，用户在陌生环境中第一次认证网络侧的时候将要求网络侧mfa认证，而在常用办公环境可能不需要网络侧mfa认证。
85.在其中一个实施例中，在所述安全级别不符合要求时，向所述客户端开启网络侧mfa认证，包括：在所述安全级别为中风险时，向所述客户端开启网络侧mfa认证。
86.在其中一个实施例中，在根据所述客户端的环境信息，判断用户登录环境的安全级别之后，包括：在所述安全级别为低风险时，向所述客户端发送进入网络的界面；其中，所述进入网络的界面包括多个云应用。
87.在其中一个实施例中，在根据所述客户端的环境信息，判断用户登录环境的安全级别之后，包括：在所述安全级别为高风险时，向所述客户端发送禁止进入网络的界面。
88.其中，禁止进入网络的界面在客户端进行显示，例如，显示当前账户为异常账户禁止访问。
89.在其中一个实施例中，在获取用户进入网络侧认证界面的请求，并根据所述网络
侧认证界面的请求向客户端发送网络侧认证界面之前，包括：获取用户的网络侧认证注册请求，所述网络侧认证注册请求包括用户的用户名和密码；根据所述用户名和密码进行网络侧认证注册；获取mfa功能的设置请求；根据所述mfa功能的设置请求进行mfa功能的设置。
90.在其中一个实施例中，所述根据所述mfa功能的设置请求进行mfa功能的设置，包括：根据所述mfa功能的设置请求，创建与所述用户名对应的密钥；根据所述密钥创建二维码并发送至客户端；其中，客户端对所述二维码进行扫描添加一次性密码。
91.在其中一个实施例中，所述向所述客户端开启网络侧mfa认证，包括：获取客户端发送的一次性密码；根据所述密钥和时间戳对所述一次性密码进行认证；如果认证成功，则所述网络侧mfa认证通过；如果认证失败，则所述网络侧mfa认证未通过。
92.其中，网络侧为每个用户生成一次性密码，密码具有有效期限且验证过一次即失效，根据客户端发送的一次性密码进行比对验证。
93.其中，客户端通过开启虚拟mfa设备获得一次性密码。本实施例采用一次性密码进行认证，能够提高云应用访问的安全性。虚拟mfa设备以google authenticator举例，但虚拟mfa设备可以基于硬件也可以基于软件，方式不限于移动设备的应用程序。
94.在一个实施例中，如图3所示，提供了一种身份认证方法，以应用于客户端进行说明，包括：
95.s210，向服务器发送用户进入网络侧认证界面的请求，并获取服务器发送的网络侧认证界面；其中，用户进入网络侧认证界面的请求包括客户端的环境信息。
96.其中，网络侧认证界面是用于对用户的用户名和密码进行验证。
97.s220，根据所述网络侧认证界面，获取用户输入的用户名和密码，并发送至服务器；其中，服务器对所述用户名和密码进行验证，在验证通过后，获取所述环境信息，根据所述环境信息，判断用户登录环境的安全级别。
98.其中，客户端的环境信息包括客户端接入网络的ip地址、所述客户端所处的经纬度和所述客户端的设备信息中至少一种。客户端的环境信息也可以包括访问上下文、用户历史行为。
99.s230，在所述安全级别不符合要求时，进行网络侧mfa认证。
100.其中，当安全级别太低，服务器直接发送访问阻止指令。当安全级别很高，则不需要开启网络侧mfa认证。只有在安全级别适中时，向所述客户端开启网络侧mfa认证。网络侧mfa认证是一种为了保护用户隐私和简化密码输入的手段，用户需要在输入密码后再至少添加一种身份认证信息。这些认证信息可以是一个标记，指纹或虹膜，也可以是密码提示信息等。
101.s240，在所述网络侧mfa认证通过后，接收服务器发送的进入网络的界面；其中，所述进入网络的界面包括多个云应用。
102.其中，云应用包括web应用和cs应用。由于有些企业内部应用只允许内部员工访问，在从外部网络进入访问时需要保证云应用的访问安全。
103.上述身份认证方法中，通过进入网络侧进行用户名和密码认证后，然后再判断客户端的环境信息的安全级别是否符合要求，在符合要求的情况下再进行网络侧mfa认证，在网络侧mfa认证通过后可进行网络侧内部多个云应用的访问，在网络接入的位置进行多因
素身份认证，可以很好的保护网络内的所有云应用，减少网络内应用各自建设mfa的负担，同时保证了进入网络内用户的安全性。
104.在其中一个实施例中，所述客户端的环境信息包括所述客户端系统补丁情况、所述客户端重要进程是否运行、所述客户端接入网络的ip地址、所述客户端所处的经纬度和所述客户端的设备信息中至少一种；根据所述客户端的环境信息，判断用户登录环境的安全级别，包括：根据所述客户端接入网络的ip地址、所述客户端所处的经纬度和所述客户端的设备信息，判断客户端所处经纬度、设备信息、用户登录ip地址是否在用户常用设备清单中，以及判断所述客户端系统补丁是否为最新，以及所述客户端重要进程是否运行杀毒软件；如果根据设备信息、用户登录ip地址已经尝试多次登录并且网络侧mfa认证失败，或者在单一设备上有超过一定阈值的用户使用，或者所述客户端系统补丁不为最新，或者客户端重要进程未运行杀毒软件，则判断用户登录环境的安全级别为高风险；如果所述经纬度、设备信息、用户登录ip地址在用户常用设备清单，所述客户端系统补丁为最新，且客户端重要进程运行杀毒软件，则判断用户登录环境的安全级别为低风险；如果所述经纬度、设备信息、用户登录ip地址不在用户常用设备清单，所述客户端系统补丁为最新，且客户端重要进程运行杀毒软件，则判断用户登录环境的安全级别为中风险。
105.在其中一个实施例中，在所述安全级别不符合要求时，进行网络侧mfa认证，包括：在所述安全级别为中风险时，进行网络侧mfa认证。本实施例中能够根据不同的风险级别件网络侧mfa认证，能够提高认证的便捷性。
106.在其中一个实施例中，在根据所述网络侧认证界面，获取用户输入的用户名和密码，并发送至服务器之后，包括：在所述安全级别为低风险时，接收进入网络的界面；其中，所述进入网络的界面包括多个云应用。
107.在其中一个实施例中，在根据所述网络侧认证界面，获取用户输入的用户名和密码，并发送至服务器之后，包括：在所述安全级别为高风险时，接收禁止进入网络的界面。
108.其中，禁止进入网络的界面在客户端进行显示，例如，显示当前账户为异常账户禁止访问。
109.在其中一个实施例中，在向服务器发送用户进入网络侧认证界面的请求，并获取服务器发送的网络侧认证界面之前，包括：向服务器发送用户的网络侧认证注册请求，所述网络侧认证注册请求包括用户的用户名和密码；其中，服务器根据所述用户名和密码进行网络侧认证注册；向服务器发送mfa功能的设置请求；其中，服务器根据所述mfa功能的设置请求进行mfa功能的设置。
110.在其中一个实施例中，在向服务器发送mfa功能的设置请求之后，包括：获取根据密钥创建的二维码；其中，服务器根据所述mfa功能的设置请求，创建与所述用户名对应的密钥，并根据密钥创建二维码；对所述二维码进行扫描添加一次性密码。
111.在其中一个实施例中，进行网络侧mfa认证包括：向服务器发送一次性密码；其中，所述一次性密码通过开启虚拟mfa设备获得；服务器根据所述密钥和时间戳对所述一次性密码进行认证；如果认证成功，则所述网络侧mfa认证通过；如果认证失败，则所述网络侧mfa认证未通过。
112.其中，客户端通过开启虚拟mfa设备获得一次性密码。本实施例采用一次性密码进行认证，能够提高云应用访问的安全性。
113.应该理解的是，虽然图2
‑
3的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，图2
‑
3中的至少一部分步骤可以包括多个步骤或者多个阶段，这些步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
114.在一个实施例中，如图4所示，提供了一种身份认证装置，包括：网络侧认证界面发送模块310、验证模块320、环境信息获取模块330、安全级别判断模块340、认证开启模块350和网络界面发送模块360，其中：
115.网络侧认证界面发送模块310，用于获取用户进入网络侧认证界面的请求，并根据所述网络侧认证界面的请求向客户端发送网络侧认证界面。
116.验证模块320，用于获取用户输入的用户名和密码，并对所述用户名和密码进行验证。
117.环境信息获取模块330，用于在验证通过后，获取所述客户端的环境信息。
118.安全级别判断模块340，用于根据所述客户端的环境信息，判断用户登录环境的安全级别。
119.认证开启模块350，用于在所述安全级别不符合要求时，向所述客户端开启网络侧mfa认证。
120.网络界面发送模块360，用于在所述网络侧mfa认证通过后，向所述客户端发送进入网络的界面；其中，所述进入网络的界面包括多个云应用。
121.在其中一个实施例中，所述客户端的环境信息包括所述客户端接入网络的ip地址、所述客户端所处的经纬度和所述客户端的设备信息中至少一种。所述安全级别判断模块340，还用于根据所述客户端接入网络的ip地址、所述客户端所处的经纬度和所述客户端的设备信息，判断客户端所处经纬度、设备信息、用户登录ip地址是否在用户常用设备清单中，以及判断所述客户端系统补丁是否为最新，以及所述客户端重要进程是否运行杀毒软件；如果根据设备信息、用户登录ip地址已经尝试多次登录并且网络侧mfa认证失败，或者在单一设备上有超过一定阈值的用户使用，或者所述客户端系统补丁不为最新，或者客户端重要进程未运行杀毒软件，则判断用户登录环境的安全级别为高风险；如果所述经纬度、设备信息、用户登录ip地址在用户常用设备清单，所述客户端系统补丁为最新，且客户端重要进程运行杀毒软件，则判断用户登录环境的安全级别为低风险；如果所述经纬度、设备信息、用户登录ip地址不在用户常用设备清单，所述客户端系统补丁为最新，且客户端重要进程运行杀毒软件，则判断用户登录环境的安全级别为中风险。
122.在其中一个实施例中，认证开启模块350，还用于在所述安全级别为中风险时，向所述客户端开启网络侧mfa认证。
123.在其中一个实施例中，认证开启模块350，还用于在所述安全级别为低风险时，向所述客户端发送进入网络的界面；其中，所述进入网络的界面包括多个云应用。
124.在其中一个实施例中，所述身份认证装置，还包括：禁止进入页面发送模块，用于在所述安全级别为高风险时，向所述客户端发送禁止进入网络的界面。
125.在其中一个实施例中，所述身份认证装置，还包括：网络侧认证注册请求接收模
块，用于获取用户的网络侧认证注册请求，所述网络侧认证注册请求包括用户的用户名和密码；网络侧认证注册模块，用于根据所述用户名和密码进行网络侧认证注册；设置请求接收模块，用于获取mfa功能的设置请求；maf功能设置模块，用于根据所述mfa功能的设置请求进行mfa功能的设置。
126.在其中一个实施例中，maf功能设置模块包括：密钥创建单元，用于根据所述mfa功能的设置请求，创建与所述用户名对应的密钥；二维码发送模块，用于根据所述密钥创建二维码并发送至客户端；其中，客户端对所述二维码进行扫描添加一次性密码。
127.在其中一个实施例中，所述向所述客户端开启网络侧mfa认证，包括：获取客户端发送的一次性密码；根据所述密钥和时间戳对所述一次性密码进行认证；如果认证成功，则所述网络侧mfa认证通过；如果认证失败，则所述网络侧mfa认证未通过。
128.在一个实施例中，如图5所示，提供了一种身份认证装置，所述装置包括：网络侧认证界面接收模块410、验证信息发送模块420、认证模块430和网络界面接收模块440。
129.网络侧认证界面接收模块410，用于向服务器发送用户进入网络侧认证界面的请求，并获取服务器发送的网络侧认证界面；其中，用户进入网络侧认证界面的请求包括客户端的环境信息。
130.验证信息发送模块420，用于根据所述网络侧认证界面，获取用户输入的用户名和密码，并发送至服务器；其中，服务器对所述用户名和密码进行验证，在验证通过后，获取所述环境信息，根据所述环境信息，判断用户登录环境的安全级别。
131.认证模块430，用于在所述安全级别不符合要求时，进行网络侧mfa认证。
132.网络界面接收模块440，用于在所述网络侧mfa认证通过后，接收服务器发送的进入网络的界面；其中，所述进入网络的界面包括多个云应用。
133.在一个实施例中，所述客户端的环境信息包括所述客户端接入网络的ip地址、所述客户端所处的经纬度和所述客户端的设备信息中至少一种。所述根据所述环境信息，判断用户登录环境的安全级别包括：根据所述客户端接入网络的ip地址、所述客户端所处的经纬度和所述客户端的设备信息，判断客户端所处经纬度、设备信息、用户登录ip地址是否在用户常用设备清单中，以及判断所述客户端系统补丁是否为最新，以及所述客户端重要进程是否运行杀毒软件；如果根据设备信息、用户登录ip地址已经尝试多次登录并且网络侧mfa认证失败，或者在单一设备上有超过一定阈值的用户使用，或者所述客户端系统补丁不为最新，或者客户端重要进程未运行杀毒软件，则判断用户登录环境的安全级别为高风险；如果所述经纬度、设备信息、用户登录ip地址在用户常用设备清单，所述客户端系统补丁为最新，且客户端重要进程运行杀毒软件，则判断用户登录环境的安全级别为低风险；如果所述经纬度、设备信息、用户登录ip地址不在用户常用设备清单，所述客户端系统补丁为最新，且客户端重要进程运行杀毒软件，则判断用户登录环境的安全级别为中风险。
134.在其中一个实施例中，认证模块430，还用于在所述安全级别为中风险时，进行网络侧mfa认证。
135.在其中一个实施例中，认证模块430，还用于在所述安全级别为低风险时，接收进入网络的界面；其中，所述进入网络的界面包括多个云应用。
136.在其中一个实施例中，所述身份认证装置，还包括：禁止进入页面接收模块，用于在所述安全级别为高风险时，接收禁止进入网络的界面。
137.在其中一个实施例中，所述身份认证装置，还包括：网络侧认证注册请求发送模块，用于向服务器发送用户的网络侧认证注册请求，所述网络侧认证注册请求包括用户的用户名和密码；其中，服务器根据所述用户名和密码进行网络侧认证注册；设置请求发送模块，用于向服务器发送mfa功能的设置请求；其中，服务器根据所述mfa功能的设置请求进行mfa功能的设置。
138.在其中一个实施例中，所述身份认证装置，还包括：二维码接收模块，用于在向服务器发送mfa功能的设置请求之后，获取根据密钥创建的二维码；其中，服务器根据所述mfa功能的设置请求，创建与所述用户名对应的密钥，并根据密钥创建二维码；一次性密码添加模块，用于对所述二维码进行扫描添加一次性密码。
139.在其中一个实施例中，进行网络侧mfa认证包括：向服务器发送一次性密码；其中，所述一次性密码通过开启虚拟mfa设备获得；服务器根据所述密钥和时间戳对所述一次性密码进行认证；如果认证成功，则所述网络侧mfa认证通过；如果认证失败，则所述网络侧mfa认证未通过。
140.关于身份认证装置的具体限定可以参见上文中对于身份认证方法的限定，在此不再赘述。上述身份认证装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。
141.在一个实施例中，提供了一种计算机设备，该计算机设备可以是服务器，其内部结构图可以如图6所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储已注册的用户数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种身份认证方法。
142.本领域技术人员可以理解，图6中示出的结构，仅仅是与本技术方案相关的部分结构的框图，并不构成对本技术方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。
143.在一个实施例中，还提供了一种计算机设备，包括存储器和处理器，存储器中存储有计算机程序，该处理器执行计算机程序时实现上述各方法实施例中的步骤。
144.在一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
145.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(read
‑
only memory，rom)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(random access memory，ram)或外部高速缓冲存储器。作为说明而非局限，ram可以是多种形式，比如静态随机存取存储器(static random access memory，sram)或动态随机存取存
储器(dynamic random access memory，dram)等。
146.以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
147.以上所述实施例仅表达了本技术的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本技术构思的前提下，还可以做出若干变形和改进，这些都属于本技术的保护范围。因此，本技术专利的保护范围应以所附权利要求为准。