安全认证方法、装置、电子设备及存储介质

技术领域

本申请涉及安全认证技术领域，尤其涉及一种安全认证方法、装置、电子设备及存储介质。

背景技术

基于公司办公环境的变化，工作人员从线下办公转为线上办公的现象越来越普遍。而随着当今网络的发展，多种办公方式的存在也对办公网络的安全提出了巨大的挑战，因此谷歌提出了零信任模型，零信任模型的核心思想是：网络边界内外的任何东西，在没经过验证之前都不予信任。

基于对零信任概念的理解，网络安全是全面零信任战略中的一个重要支柱。随着信息技术的发展，公司的应用系统越来越多，例如ERP、OA、邮件系统、考勤系统、财务系统等等相互独立的应用系统。此类协同办公系统只需或者只能在公司内部使用，而往往工作人员只要连接上公司内部网络便可以访问所有的应用系统，但并不是所有人员都需要或者有权访问某些公司应用系统，去接触公司的数据资源。此类现象还是普遍存在的。

发明内容

本申请的主要目的在于提供一种安全认证方法、装置、电子设备及存储介质。

为实现上述目的，本申请实施例第一方面提供一种安全认证方法，包括：

响应于用户所在客户端发出的资源访问请求，验证所述用户的身份信息，所述资源访问请求携带访问资源类型和所述客户端的MAC地址；

在所述用户的身份信息验证通过的情况下，根据所述用户的身份信息、所述访问资源类型、所述客户端的MAC地址和当前时间戳，生成全球单播IPv6地址；

基于所述全球单播IPv6地址，得出对所述资源访问请求的响应结果。

在本公开一实施例中，所述根据所述用户的身份信息、所述访问资源类型、所述客户端的MAC地址和当前时间戳，生成全球单播IPv6地址包括：

将所述用户的用户名和实名认证信息作为SHA256哈希算法输入项，生成第一哈希值，随机截取所述第一哈希值的16位作为所述全球单播IPv6地址的后64位地址的第一部分；

将所述访问资源类型作为SHA256哈希算法的输入项，生成第二哈希值，随机截取所述第二哈希值的16位作为所述全球单播IPv6地址的后64位地址的第二部分；

将所述当前时间戳作为SHA256哈希算法的输入项，生成第三哈希值，随机截取所述第三哈希值的16位作为所述全球单播IPv6地址的后64位地址的第三部分；

将所述客户端的MAC地址作为SHA256哈希算法的输入项，生成第四哈希值，随机截取所述第四哈希值的16位作为所述全球单播IPv6地址的后64位地址的第四部分。

在本公开一实施例中，所述方法还包括：

在首次接收到用户所在客户端发出的资源访问请求的情况下，生成所述客户端指定的全球单播IPv6地址；

将所述指定的全球单播IPv6地址存储在数据库中。

在本公开一实施例中，所述基于所述全球单播IPv6地址，得出对所述资源访问请求的响应结果包括：

判断所述全球单播IPv6地址是否与所述指定的全球单播IPv6地址一致；

若所述全球单播IPv6地址与所述指定的全球单播IPv6地址一致，则对所述资源访问请求的响应结果为允许访问；

若所述全球单播IPv6地址与所述指定的全球单播IPv6地址不一致，则对所述资源访问请求的响应结果为不允许访问。

在本公开一实施例中，所述访问资源的类型包括开发环境系统类型、集成环境系统类型或者测试环境系统类型。

在本公开一实施例中，所述验证所述用户的身份信息包括：

对所述用户进行账号认证；

在所述账号认证通过的情况下，对所述用户进行实名认证。

本申请实施例第二方面提供一种安全认证装置，包括：

身份验证模块，用于响应于用户所在客户端发出的资源访问请求，验证所述用户的身份信息，所述资源访问请求携带访问资源类型和所述客户端的MAC地址；

生成模块，用于在所述用户的身份信息验证通过的情况下，根据所述用户的身份信息、所述访问资源类型、所述客户端的MAC地址和当前时间戳，生成全球单播IPv6地址；

响应模块，用于基于所述全球单播IPv6地址，得出对所述资源访问请求的响应结果。

在本公开一实施例中，所述生成模块包括：

第一生成模块，用于将所述用户的用户名和实名认证信息作为SHA256哈希算法输入项，生成第一哈希值，随机截取所述第一哈希值的16位作为所述全球单播IPv6地址的后64位地址的第一部分；

第二生成模块，用于将所述访问资源类型作为SHA256哈希算法的输入项，生成第二哈希值，随机截取所述第二哈希值的16位作为所述全球单播IPv6地址的后64位地址的第二部分；

第三生成模块，用于将所述当前时间戳作为SHA256哈希算法的输入项，生成第三哈希值，随机截取所述第三哈希值的16位作为所述全球单播IPv6地址的后64位地址的第三部分；

第四生成模块，用于将所述客户端的MAC地址作为SHA256哈希算法的输入项，生成第四哈希值，随机截取所述第四哈希值的16位作为所述全球单播IPv6地址的后64位地址的第四部分。

本申请实施例第三方面提供了一种电子设备，包括：

存储器，处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现本申请实施例第一方面提供的安全认证方法。

本申请实施例第四方面提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现本申请实施例第一方面提供的安全认证方法。

从上述本申请实施例可知，本申请提供的安全认证方法、装置、电子设备及存储介质，在用户访问网络资源过程中，不断的对用户身份进行验证，而且用户指定的全球单播IPv6地址存储在各交换机的数据库中，将身份认证工作最大限度的从“网络中心化”走向“身份中心化”，实现零信任网络“去中心化”的指导思想，达到分布式认证的效果。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请一实施例提供的安全认证方法的流程示意图；

图2为本申请一实施例提供的安全认证装置的结构示意图；

图3示出了一种电子设备的硬件结构示意图。

具体实施方式

为使得本申请的申请目的、特征、优点能够更加的明显和易懂，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而非全部实施例。基于本申请中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

请参阅图1，图1为本申请一实施例提供的安全认证方法的流程示意图，该方法可应用于电子设备中，电子设备包括：手机、平板电脑、手提电脑、智能手表、智能眼镜等可在移动中进行数据处理的电子设备以及台式计算机、一体机、智能电视机等非可在移动中进行数据处理的电子设备，该电子设备可以是交换机，该方法主要包括以下步骤：

S101、响应于用户所在客户端发出的资源访问请求，验证该用户的身份信息，该资源访问请求携带访问资源类型和该客户端的MAC地址。

S102、在该用户的身份信息验证通过的情况下，根据该用户的身份信息、该访问资源类型、该客户端的MAC地址和当前时间戳，生成全球单播IPv6地址。

S103、基于该全球单播IPv6地址，得出对该资源访问请求的响应结果。

在本公开一实施例中，该根据该用户的身份信息、该访问资源类型、该客户端的MAC地址和当前时间戳，生成全球单播IPv6地址包括：

将该用户的用户名和实名认证信息作为SHA256哈希算法输入项，生成第一哈希值，随机截取该第一哈希值的16位作为该全球单播IPv6地址的后64位地址的第一部分；

将该访问资源类型作为SHA256哈希算法的输入项，生成第二哈希值，随机截取该第二哈希值的16位作为该全球单播IPv6地址的后64位地址的第二部分；

将该当前时间戳作为SHA256哈希算法的输入项，生成第三哈希值，随机截取该第三哈希值的16位作为该全球单播IPv6地址的后64位地址的第三部分；

将该客户端的MAC地址作为SHA256哈希算法的输入项，生成第四哈希值，随机截取该第四哈希值的16位作为该全球单播IPv6地址的后64位地址的第四部分。

在本公开一实施例中，该方法还包括：

在首次接收到用户所在客户端发出的资源访问请求的情况下，生成该客户端指定的全球单播IPv6地址；

将该指定的全球单播IPv6地址存储在数据库中。

在本公开中，当客户端初次访问网络时，交换机为其分配一个本地链路地址，将MAC地址和本地链路地址存储在数据库中；然后，在客户端浏览器中弹出身份认证页面。页面中认证元素至少包含用户名和密码。用户提交用户名和密码后，交换机与数据库中的用户名、密码进行匹配，若未匹配，则不允许访问网络；若匹配则根据用户名取得该用户关联的实名认证信息(可以是手机号码、电子邮箱或者微信账号等)；然后，认证该实名信息，可以根据已绑定的实名信息，为用户提供不同的认证方法，例如通过手机验证码认证手机号码，通过验证邮件认证电子邮箱，通过微信扫码认证微信账号等。认证成功之后进行第六步，认证失败的用户不予访问网络资源；交换机根据用户名、实名信息、MAC地址、访问资源类型和时间戳按照规定的算法生成全球单播IPv6地址分配给客户端用于访问网路资源，并将用户名、实名信息、MAC地址作为该指定的全球单播IPv6地址存储在数据库中，作为安全认证信息的判定依据。

在本公开一实施例中，该基于该全球单播IPv6地址，得出对该资源访问请求的响应结果包括：

判断该全球单播IPv6地址是否与该指定的全球单播IPv6地址一致；

若该全球单播IPv6地址与该指定的全球单播IPv6地址一致，则对该资源访问请求的响应结果为允许访问；

若该全球单播IPv6地址与该指定的全球单播IPv6地址不一致，则对该资源访问请求的响应结果为不允许访问。

在本公开一实施例中，该访问资源的类型包括开发环境系统类型、集成环境系统类型或者测试环境系统类型。

在本公开一实施例中，该验证该用户的身份信息包括：对该用户进行账号认证；在该账号认证通过的情况下，对该用户进行实名认证。

在实施本公开前，可以建立用户信息库，至少包括用户名和密码信息。其中密码应采用有效的加密算法，防止密码被破解，作为用户身份认证依据。建立根据用户名的关联实名认证信息，其可以是手机号码、电子邮箱、微信账号等，用以加强身份认证，加强虚拟网络与用户实体之间的联系。

根据本公开实施例，当用户每次请求网络资源时，都需要做以上的安全认证，针对每一次网络请求都做了验证，即实现了零信任中“永不信任、一直验证”的目标。

请参阅图2，图2是本申请又一实施例提供的安全认证装置的结构示意图，该装置可内置于电子设备中，该装置主要包括：

身份验证模块210，用于响应于用户所在客户端发出的资源访问请求，验证该用户的身份信息，该资源访问请求携带访问资源类型和该客户端的MAC地址；

生成模块220，用于在该用户的身份信息验证通过的情况下，根据该用户的身份信息、该访问资源类型、该客户端的MAC地址和当前时间戳，生成全球单播IPv6地址；

响应模块230，用于基于该全球单播IPv6地址，得出对该资源访问请求的响应结果。

在本公开一实施例中，该生成模块220包括：

第一生成模块，用于将该用户的用户名和实名认证信息作为SHA256哈希算法输入项，生成第一哈希值，随机截取该第一哈希值的16位作为该全球单播IPv6地址的后64位地址的第一部分；

第二生成模块，用于将该访问资源类型作为SHA256哈希算法的输入项，生成第二哈希值，随机截取该第二哈希值的16位作为该全球单播IPv6地址的后64位地址的第二部分；

第三生成模块，用于将该当前时间戳作为SHA256哈希算法的输入项，生成第三哈希值，随机截取该第三哈希值的16位作为该全球单播IPv6地址的后64位地址的第三部分；

第四生成模块，用于将该客户端的MAC地址作为SHA256哈希算法的输入项，生成第四哈希值，随机截取该第四哈希值的16位作为该全球单播IPv6地址的后64位地址的第四部分。

在本公开一实施例中，该装置还包括：指定地址生成模块，用于在首次接收到用户所在客户端发出的资源访问请求的情况下，生成该客户端指定的全球单播IPv6地址；

存储模块，用于将该指定的全球单播IPv6地址存储在数据库中。

在本公开一实施例中，该响应模块包括：

判断子模块，用于判断该全球单播IPv6地址是否与该指定的全球单播IPv6地址一致；

第一响应子模块，用于若该全球单播IPv6地址与该指定的全球单播IPv6地址一致，则对该资源访问请求的响应结果为允许访问；

第二响应子模块，用于若该全球单播IPv6地址与该指定的全球单播IPv6地址不一致，则对该资源访问请求的响应结果为不允许访问。

在本公开一实施例中，该访问资源的类型包括开发环境系统类型、集成环境系统类型或者测试环境系统类型。

在本公开一实施例中，该验证该用户的身份信息包括：对该用户进行账号认证；在该账号认证通过的情况下，对该用户进行实名认证。

请参见图3，图3示出了一种电子设备的硬件结构图。

本实施例中所描述的电子设备，包括：

存储器41、处理器42及存储在存储器41上并可在处理器上运行的计算机程序，处理器执行该程序时实现前述图1所示实施例中描述的多轴运动系统的同步控制方法。

进一步地，该电子设备还包括：

至少一个输入设备43；至少一个输出设备44。

上述存储器41、处理器42输入设备43和输出设备44通过总线45连接。

其中，输入设备43具体可为摄像头、触控面板、物理按键或者鼠标等等。输出设备44具体可为显示屏。

存储器41可以是高速随机存取记忆体(RAM，Random Access Memory)存储器，也可为非不稳定的存储器(non-volatile memory)，例如磁盘存储器。存储器41用于存储一组可执行程序代码，处理器42与存储器41耦合。

进一步地，本公开实施例还提供了一种计算机可读存储介质，该计算机可读存储介质可以是设置于上述各实施例中的电子设备中，该计算机可读存储介质可以是前述图3所示实施例中的电子设备。该计算机可读存储介质上存储有计算机程序，该程序被处理器执行时实现前述图1所示实施例中描述的安全认证方法。进一步地，该计算机可存储介质还可以是U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，RandomAccess Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

需要说明的是，在本公开各个实施例中的各功能模块可以集成在一个处理模块中，也可以是各个模块单独物理存在，也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。

该集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来。

需要说明的是，对于前述的各方法实施例，为了简便描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明并不受所描述的动作顺序的限制，因为依据本发明，某些步骤可以采用其它顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定都是本发明所必须的。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其它实施例的相关描述。

以上为对本发明所提供的一种安全认证方法、装置、电子设备及可读存储介质的描述，对于本领域的技术人员，依据本发明实施例的思想，在具体实施方式及应用范围上均会有改变之处，综上，本说明书内容不应理解为对本发明的限制。