身份认证方法、装置、系统以及存储介质

技术领域

本发明涉及计算机领域，尤其涉及一种身份认证方法、装置、系统以及存储介质。

背景技术

身份认证也称为“身份验证”或“身份鉴别”，是指在网络通信过程中确认操作者身份的过程，从而确定该操作者是否具有对某种资源的访问和使用权限，进而使计算机和网络系统的访问策略能够可靠、有效地执行，防止攻击者假冒合法操作者获得资源的访问权限，保证系统和数据的安全，以及授权访问者的合法利益。

随着互联网的普及，增加了数据安全隐患。因此，将一些存储有重要负责数据存储设备接入安全性能较高的网络中，甚至，为确保数据的安全，不允许将数据存储设备接入互联网中。从而用传统的互联网身份认证方式不能满足现有的需求。

发明内容

本发明的主要目的在于提供一种身份认证方法、装置、系统以及存储介质，以便可以实现不通过互联网完成身份认证。

为实现上述目的，本发明提供了一种身份认证方法，所述身份认证方法包括：

获取第一认证请求；

根据所述第一认证请求，生成第一认证信息；

发送所述第一认证信息至代理设备，以便通过所述代理设备将所述第一认证信息发送至第一认证设备，使所述第一认证设备校验所述第一认证信息的合法性。

进一步地，所述“获取第一认证请求”具体为：

从代理设备获取第一认证请求；

其中，所述第一认证请求由所述第一认证设备根据第一待认证终端发送的第一操作请求生成并发送至所述代理设备。

进一步地，所述身份认证方法应用于移动终端，所述移动终端与所述代理设备通过第一无线通信方式进行通信连接。

进一步地，所述第一无线通信方式包括蓝牙、NFC或WiFi。

进一步地，所述身份认证方法还包括：

获取第二认证请求；

根据所述第二认证请求，生成第二认证信息；

将所述第二认证信息发送至第二认证设备，以便所述第二认证设备校验所述第二认证信息的合法性；

其中，所述认证方法应用于移动终端，所述移动终端通过互联网与所述第二认证设备通信连接。

进一步地，所述“根据所述第一认证请求，生成第一认证信息”包括：

根据所述第一认证请求获取第一关键数据，使用预置数字证书对所述第一关键数据签名生成第一认证信息；

所述“根据所述第二认证请求，生成第二认证信息”包括：

根据所述第二认证请求获取第二关键数据，使用所述预置数字证书对所述第二关键数据签名生成第二认证信息。

本发明还提供一种身份认证装置，所述身份认证装置包括处理器和存储器，所述存储器存储有身份认证程序，所述身份认证程序被配置成由处理器执行，处理器执行身份认证程序以实现上述所述身份认证方法。

本发明还一种存储介质，所述存储介质为计算机可读存储介质，所述存储介质上存储有身份认证程序，所述身份认证程序可被一个或者多个处理器执行，以实现上述所述身份认证方法。

本发明还提供一种身份认证系统，包括上述所述身份认证装置、代理设备和第一认证设备；所述身份认证装置用于获取第一认证请求，并根据所述第一认证请求生成第一认证信息；所述代理设备用于获取第一认证信息并发送至第一认证设备；所述第一认证设备用于校验所述认证信息合法性。

进一步地，所述身份认证装置与所述代理设备通过第一无线通信方式进行通信连接，所述代理设备与所述认证设备通过内部网络进行通信连接，其中，所述内部网络与互联网相隔离。

本发明的有益效果在于，通过代理设备传递移动终端与认证设备之间的认证请求、认证信息，使认证设备在不接入互联网的情况下实现对移动终端的身份认证，提高了安全性。

附图说明

图1为本发明一实施例提供的身份认证方法的流程图；

图2为图1中步骤S101的子步骤流程图；

图3为图1中步骤S105的子步骤流程图；

图4为本发明另一实施例提供的身份认证方法的流程图；

图5为本发明一实施例提供的身份认证装置结构示意图。

本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

需要说明的是，在本发明中涉及“第一”、“第二”等的描述仅用于描述目的，而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。另外，各个实施例之间的技术方案可以相互结合，但是必须是以本领域普通技术人员能够实现为基础，当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在，也不在本发明要求的保护范围之内。

请参看图1，图1为本发明一实施例提供的身份认证方法的流程示意图。该方法可以由一个装置执行，该装置可以由软件和/或硬件实现。

步骤S101：获取第一认证请求；

步骤S103：根据所述第一认证请求，生成第一认证信息；

步骤S105：发送所述第一认证信息至代理设备。

在本实施例中，所述身份认证方法应用于移动终端。通过所述代理设备将所述第一认证信息发送至第一认证设备，使所述第一认证设备校验所述第一认证信息是否满足合法性。具体的，所述第一认证请求由所述第一认证设备根据第一待认证终端发送的第一操作请求生成并发送至所述代理设备。第一认证设备不与移动终端直接进行身份认证，需通过代理设备与移动终端建立联系，获取认证信息。同时，因第一认证设备不接入互联网，减少通过互联网监视身份认证过程，伪造身份认证信息的情况。所述第一待认证终端与所述认证设备通信连接，所述代理设备与所述第一认证设备通信连接。在一实施例中，所述移动终端可以是智能手机或平板电脑等带有身份信息的智能终端。

请参看图2，具体地，所述步骤S101包括：

步骤S201：第一认证设备接收来自第一待认证终端触发的请求指令；

步骤S203：第一认证设备根据所述请求指令生成认证请求；

步骤S205：第一认证设备将所述第一认证请求发送给代理设备；

步骤S207：所述代理设备将所述第一认证请求发送至移动终端。

具体的，所述移动终端与所述代理设备还可以通过二维码方式获取信息，即所述代理设备将所述第一认证请求转为二维码显示，所述移动终端通过扫描二维码获取第一认证请求，所述移动终端将所述第一认证信息转化为二维码显示，所述代理设备扫描二维码获得所述第一认证信息。

在另一实施例中，所述移动终端与所述代理设备通过第一无线通信方式建立连接，获取第一认证请求。第一无线通信方式可以是，但不限于通过蓝牙、NFC(Near FieldCommunication，近场通信)、WiFi。

具体地，所述步骤S103包括：获取所述第一认证请求中的第一关键数据；其中，所述第一关键数据是可以对客户端身份进行验证的重要数据；通过预置证书对所述第一关键数据签名，以生成第一认证信息。

更进一步地，在实际应用中，通过所述移动终端的APP获取所述第一认证信息中的第一关键数据并显示，用户确认之后通过所述移动终端将所述第一关键数据发送至所述移动终端的安全模块，所述安全模块通过预置数字证书对应的私钥对所述第一关键数据签名生成第一认证信息。其中，所述第一认证信息包括认证编号，所述认证编号可以从所述第一认证请求中获得。当存在多个请求指令时，可通过认证编号区别请求认证的移动终端。

更进一步地，当移动终端将第一认证信息发送至代理设备，代理设备需要对第一认证信息做进一步排查，确定该第一认证信息为有效的认证信息。请参看图4，具体的，所述步骤S105包括：

步骤S301：解析所述第一认证信息；

步骤S303：判断所述第一认证信息是否满足安全性；若判断所述第一认证信息满足安全性，则执行步骤S305；否则，执行步骤S307。

步骤S305：发送所述第一认证信息至所述第一认证设备；及

步骤S307：清除所述第一认证信息。

所述代理设备设有防火墙，检测所述第一认证信息是否包括不安全因素；若所述第一认证信息包括不安全因素，隔离所述第一认证信息。

优选的，所述第一认证设备校验所述第一认证信息是否满足合法性，具体包括：第一认证设备根据所述第一认证信息，获取原始数据及预置证书的公钥，对所述第一认证信息进行验证。

优选的，若所述第一认证信息满足验证条件，发送验证结果至所述移动终端。具体的，所述第一认证设备将验证结果发送至代理设备，代理设备再发送至移动终端，告知用户身份认证成功。

优选的，在另一实施例中，所述身份认证方法还包括：

步骤S401：获取第二认证请求；

步骤S403；根据所述第二认证请求，生成第二认证信息；

步骤S405：将所述第二认证信息发送至第二认证设备。

在上述实施例中，所述移动终端通过互联网与所述第二认证设备通信连接，由第二认证设备校验所述第二认证信息的是否满足合法性；具体的，移动终端根据所述第二认证请求获取第二关键数据，使用所述预置数字证书对所述第二关键数据签名生成第二认证信息。移动终端通过互联网直接与第二认证设备进行认证，

在上述实施例中，通过代理设备传递移动终端与认证设备之间的认证请求、认证信息，能够在认证设备在不接入互联网的情况下完成对移动终端的身份认证，提高了安全性。同时，使用移动终端进行身份认证，方便快捷，成本低，省去了诸多繁琐的认证步骤，提高了效率。

请参看图5，图5为本发明的一实施例的基于移动终端的身份认证装置的示意图，包括存储器100和处理器200，所述存储器存储有身份认证程序，所述身份认证程序被配置成由处理器200执行，处理器200执行所述身份认证程序以实现上述实施例的身份认证方法。

所述身份认证装置还包括网络接口(图未示)和通信总线(图未示)

其中，存储器100至少包括一种类型的可读存储介质，所述可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如SD或DX存储器等)、磁性存储器、磁盘、光盘等。存储器100在一些实施例中可以是身份认证装置的内部存储单元，例如该身份认证装置的硬盘。存储器100在另一些实施例中也可以是身份认证装置的外部存储设备，例如身份认证装置上配备的插接式硬盘，智能存储卡(Smart Media Card，SMC)，安全数字(Secure Digital，SD)卡，闪存卡(Flash Card)等。进一步地，存储器100还可以既包括身份认证装置的内部存储单元也包括外部存储设备。存储器100不仅可以用于存储安装于身份认证装置的应用软件及各类数据，例如身份认证装置的代码等，还可以用于暂时地存储已经输出或者将要输出的数据。

处理器200在一些实施例中可以是一中央处理器(Central Processing Unit，CPU)、控制器、微控制器、微处理器或其他数据处理芯片，用于运行存储器11中存储的程序代码或处理数据，例如执行身份认证方法等。

网络接口可选的可以包括标准的有线接口、无线接口(如WI-FI接口)，通常用于在该身份认证装置与其他电子设备之间建立通信连接。

网络接口用于实现这些组件之间的连接通信。

通信总线用于实现这些组件之间的连接通信。

一种身份认证系统，包括上述身份认证装置、代理设备和认证设备；所述身份认证装置执行身份认证程序以实现所述的身份认证方法；所述代理设备用于获取所述认证信息并发送至所述认证设备；所述认证设备用于校验所述认证信息合法性。

所述身份认证装置与所述代理设备通过第一无线通信方式进行通信连接，第一无线通信方式包括蓝牙、NFC或WiFi。所述代理设备与所述认证设备通过内部网络进行通信连接，其中，所述内部网络与互联网相隔离。

本发明实施例还提供了一种存储介质，所述存储介质上存储有身份认证程序，所述身份认证程序可被一个或者多个处理器执行，以实现如下操作：

步骤S101：获取第一认证请求；

步骤S103：根据所述第一认证请求，生成第一认证信息；

步骤S105：发送所述第一认证信息至代理设备。

本发明存储介质具体实施方式与上述身份认证方法和身份认证装置各实施例基本相同，在此不作累述。

需要说明的是，上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。并且本文中的术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、装置、物品或者方法不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、装置、物品或者方法所固有的要素。在没有更多限制的情况下，由语句“包括一……”限定的要素，并不排除在包括该要素的过程、装置、物品或者方法中还存在另外的相同要素。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台身份认证装置执行本发明各个实施例所述的方法。

以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。