一种双因子身份认证方法及相关装置

技术领域

本申请涉及身份认证技术领域，尤其涉及一种双因子身份认证方法及相关装置。

背景技术

在大型企业中，由于生产车间、部门、以及工作站较多，造成了庞大的组网环境。而各个网段间需要进行信息交互以及作业调度等工作，而网络信息传输的关键节点设备就是交换机和路由器，其承担了全部的网络转发任务。

在传统方式中对于交换机路由器设备的管理一般是在交换机路由器本地进行密码验证登录或者进行AAA远端认证等，但这样导致了密码易泄露、密码易被暴力破解、密码需要不停定期更换以及管理权限无法及时回收等问题。

发明内容

本申请提供了一种双因子身份认证方法及相关装置，用于解决现有身份认证过程容易造成密码泄露或者破解，导致密码需要不停更换的技术问题。

有鉴于此，本申请第一方面提供了一种双因子身份认证方法，包括：

获取当前用户的用户认证信息，所述用户认证信息包括用户登录名、用户登录密码、用户动态口令和用户IP地址；

通过所述用户认证信息的初步合法性检查后，根据所述用户登录名和所述用户登录密码进行密码校验；

若通过所述密码校验，则判断所述用户动态口令是否正确，且所述当前用户与当前口令生成器绑定，若是，则身份认证成功，若否，身份认证失败。

优选地，所述通过所述用户认证信息的初步合法性检查后，根据所述用户登录名和所述用户登录密码进行密码校验，包括：

分别对所述用户登录名的长度、所述用户登录密码的长度、所述用户动态口令的长度和数据分类进行初步合法性检查；

通过所述初步合法性检查后，采用预置匹配策略根据所述用户登录名和所述用户登录密码进行密码校验。

优选地，所述通过所述用户认证信息的初步合法性检查后，根据所述用户登录名和所述用户登录密码进行密码校验，还包括：

根据所述用户IP地址获取所述当前用户的权限，同时判断所述用户IP地址是否合法，若是，则通过IP校验，若否，则身份认证失败。

优选地，所述获取当前用户的用户认证信息，之前还包括：

接收所述当前用户的认证请求信息；

根据预置3A策略对所述认证请求信息进行解析，得到用户认证信息。

本申请第二方面提供了一种双因子身份认证装置，包括：

获取模块，用于获取当前用户的用户认证信息，所述用户认证信息包括用户登录名、用户登录密码、用户动态口令和用户IP地址；

第一校验模块，用于通过所述用户认证信息的初步合法性检查后，根据所述用户登录名和所述用户登录密码进行密码校验；

第二校验模块，用于若通过所述密码校验，则判断所述用户动态口令是否正确，且所述当前用户与当前口令生成器绑定，若是，则身份认证成功，若否，身份认证失败。

优选地，所述第一校验模块，包括：

初步检查模块，用于分别对所述用户登录名的长度、所述用户登录密码的长度、所述用户动态口令的长度和数据分类进行初步合法性检查；

密码校验模块，用于通过所述初步合法性检查后，采用预置匹配策略根据所述用户登录名和所述用户登录密码进行密码校验。

优选地，IP校验模块，用于根据所述用户IP地址获取所述当前用户的权限，同时判断所述用户IP地址是否合法，若是，则通过IP校验，若否，则身份认证失败。

优选地，还包括：

接收模块，用于接收所述当前用户的认证请求信息；

解析模块，用于根据预置3A策略对所述认证请求信息进行解析，得到用户认证信息。

本申请第三方面提供了一种双因子身份认证设备，所述设备包括处理器以及存储器；

所述存储器用于存储程序代码，并将所述程序代码传输给所述处理器；

所述处理器用于根据所述程序代码中的指令执行第一方面所述的双因子身份认证方法。

本申请第四方面提供了一种计算机可读存储介质，所述计算机可读存储介质用于存储程序代码，所述程序代码用于执行第一方面所述的双因子身份认证方法。

从以上技术方案可以看出，本申请实施例具有以下优点：

本申请中，提供了一种双因子身份认证方法，包括：获取当前用户的用户认证信息，用户认证信息包括用户登录名、用户登录密码、用户动态口令和用户IP地址；通过用户认证信息的初步合法性检查后，根据用户登录名和用户登录密码进行密码校验；若通过密码校验，则判断用户动态口令是否正确，且当前用户与当前口令生成器绑定，若是，则身份认证成功，若否，身份认证失败。

本申请提供的双因子身份认证方法，通过结合密码和动态口令的双因子方式对当前用户进行身份认证；动态口令通过口令生成器随机生成，免去了额外的密码更新操作，而动态口令的及时性也较大程度的降低了密码泄露和破解的概率；通过结合密码和动态口令实现身份认证能够加强认证的可靠性。因此，本申请能够解决现有身份认证过程容易造成密码泄露或者破解，导致密码需要不停更换的技术问题。

附图说明

图1为本申请实施例提供的一种双因子身份认证方法的流程示意图；

图2为本申请实施例提供的一种双因子身份认证装置的结构示意图。

具体实施方式

为了使本技术领域的人员更好地理解本申请方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

术语解释：

1)AAA认证

AAA(Authentication、Authorization、Accounting)认证，集合了认证、授权以及计费为一体的统称，是网络安全中进行访问控制的一种安全管理机制，提供认证、授权和计费三种安全服务，可用于用户登录时的认证检查，用户操作时的权限检查以及用户计费，支持AAA认证协议有Radius、Tacacs+等。

2)PAM机制

PAM(Pluggable Authentication Modules)即可插拔式认证模块，它是一种高效而且灵活的用户级别的认证方式，它也是当前Linux服务器普遍使用的认证方式。PAM可以根据用户的网段、时间、用户名、密码等实现认证。

3)双因子认证机制

双因子认证是指结合密码以及实物(信用卡、SMS手机或指纹等生物标志)具备两种认证条件，对用户进行严格身份认证的方法。

4)动态口令认证

一次性密码(OTP，One-Time Password)又称一次性PIN码或者动态密码，其基于时间戳实现在客户端和服务器之间通过标准算法在特定时间内，客户端和服务器可同时得到相同密码，是增强目前静态口令认证的一种非常方便技术手段，动态口令认证技术包括客户端用于生成口令的产生器，是一个硬件设备，与用于管理令牌及口令认证的后台动态口令认证系统组成。

为了便于理解，请参阅图1，本申请提供的一种双因子身份认证方法的实施例，包括：

步骤101、获取当前用户的用户认证信息，用户认证信息包括用户登录名、用户登录密码、用户动态口令和用户IP地址。

服务器获取客户端的用户认证信息，实则是用户在客户端输入了认证信息，作登录认证请求，服务器根据用户输入的信息进行身份认证。用户登录过程中除了登录名和登录密码外，还需要输入口令生成器生成的用户动态口令，而用户请求认证后，服务器就可以获取到用户的IP地址，以及作认证请求的客户端的IP地址。

进一步地，步骤101，之前还包括：

接收当前用户的认证请求信息；

根据预置3A策略对认证请求信息进行解析，得到用户认证信息。

首先是用户在客户端进行认证请求，也就是登录操作，服务器在接收到当前用户的认证请求消息后就会对该消息进行解析，解析的过程中需要采用预置3A策略，即在3A认证服务器中根据需要设置相关协议，例如Radius协议、Tacacs+协议；通过协议对信息进行传输处理，解析处理等。

步骤102、通过用户认证信息的初步合法性检查后，根据用户登录名和用户登录密码进行密码校验。

初步合法性检查是为了避免部分异常情况，影响认证响应速度。检查的实质就是判断用户认证信息是否合法，若是检查通过，则可以进入密码校验阶段，可以认为用户登录名称和用户登录密码在注册时存储在服务器中，在密码校验过程中主要是匹配用登录名和用户登录密码是否正确，从而实现身份的认证。

进一步地，步骤102，包括：

分别对用户登录名的长度、用户登录密码的长度、用户动态口令的长度和数据分类进行初步合法性检查；

通过初步合法性检查后，采用预置匹配策略根据用户登录名和用户登录密码进行密码校验。

具体的初步合法性检查是对用户认证信息中的用户登录名、用户登录密码和用户动态口令的长度进行校验，并且验证用户认证信息的数据分类是否正确，如果此处的初步合法性检查不通过，则直接判定身份认证失败，不执行后续的认证操作。

预置匹配策略实质就是将当前的用户登录名和用户登录密码互相作匹配的同时，也与注册时的登录名和密码进行匹配，需要满足用户登录密码与用户登录名相匹配，且与注册时的登录名和密码一致。只有匹配验证都是一致才能使得密码校验通过。

进一步地，步骤102，还包括：

根据用户IP地址获取当前用户的权限，同时判断用户IP地址是否合法，若是，则通过IP校验，若否，则身份认证失败。

此处的IP校验存在两种意义，一种是指用户自身IP地址的权限获取，另一种是用户所在的发起客户端设备IP的合法性判定。即此处的用户IP地址包括用户自身IP地址和用户使用的当前设备IP地址。IP校验失败也是直接判定身份认证失败，不需要执行后续的校验操作。

步骤103、若通过密码校验，则判断用户动态口令是否正确，且当前用户与当前口令生成器绑定，若是，则身份认证成功，若否，身份认证失败。

口令生成器会将生成的动态口令分配给需要交互的两个节点，例如客户端和服务器，跟详细一点即为交换机和路由器；当前口令生成器是与当前用户绑定的，且一个口令生成器只与一个用户绑定。管理员可以根据需要对这一绑定关系进行解绑，或者建立新的绑定关系。同一时间可能存在多个用户登录请求，那么服务器需要对多个请求身份进行验证，验证通过才可以认证成功。

动态口令生成器具备独立、防拆卸、放水和防震的特点，可以满足多种技术指标的要求，同时加入多个不可预估的随机因子产生动态密码，从根本上杜绝了口令窃取的可能。

动态口令校验也分为两种，一种是判断用户动态口令是否与分配给当前服务器的动态口令一致，即是否正确；另外一种就是判断当前用户是否与当前口令生成器处于绑定关系。只有验证用户动态口令正确，且当前用户与当前口令生成器处于绑定状态，校验才算通过，身份认证即成功，否则身份认证失败。

本申请实施例提供的双因子身份认证方法，通过结合密码和动态口令的双因子方式对当前用户进行身份认证；动态口令通过口令生成器随机生成，免去了额外的密码更新操作，而动态口令的及时性也较大程度的降低了密码泄露和破解的概率；通过结合密码和动态口令实现身份认证能够加强认证的可靠性。因此，本申请实施例能够解决现有身份认证过程容易造成密码泄露或者破解，导致密码需要不停更换的技术问题。

为了便于理解，本申请提供了一种应用双因子身份认证方法的系统，主要包括3A服务器模块和PAM动态口令认证模块；该系统用于远端PC和交换机路由器的交互认证过程。由源端PC申请登录，输入用户登录信息，当交换机或者路由器接收到源端PC的登录请求后，通过预定协议将信息发送至3A服务器模块，然后3A服务器模块根据相关协议对用户登录信息进行解析，得到关键信息；然后将信息发送给PAM动态口令认证模块，首先进行初步合法性检查，然后进行密码校验，即验证源端PC的登录名和登录密码是否准确，且源端PC的用户是否与当前口令生成器绑定，若是则身份认证通过；否则返回认证失败的信息。

以上为本申请提供的一种双因子身份认证方法的实施例，以下为本申请提供的一种双因子身份认证装置的实施例。

为了便于理解，请参阅图2，本申请提供了一种双因子身份认证装置的实施例，包括：

获取模块201，用于获取当前用户的用户认证信息，用户认证信息包括用户登录名、用户登录密码、用户动态口令和用户IP地址；

第一校验模块202，用于通过用户认证信息的初步合法性检查后，根据用户登录名和用户登录密码进行密码校验；

第二校验模块203，用于若通过密码校验，则判断用户动态口令是否正确，且当前用户与当前口令生成器绑定，若是，则身份认证成功，若否，身份认证失败。

进一步地，第一校验模块202，包括：

初步检查模块2021，用于分别对用户登录名的长度、用户登录密码的长度、用户动态口令的长度和数据分类进行初步合法性检查；

密码校验模块2022，用于通过初步合法性检查后，采用预置匹配策略根据用户登录名和用户登录密码进行密码校验。

进一步地，还包括：

IP校验模块204，用于根据用户IP地址获取当前用户的权限，同时判断用户IP地址是否合法，若是，则通过IP校验，若否，则身份认证失败。

进一步地，还包括：

接收模块205，用于接收当前用户的认证请求信息；

解析模块206，用于根据预置3A策略对认证请求信息进行解析，得到用户认证信息。

以上为本申请提供的一种双因子身份认证装置的实施例，以下为本申请提供的一种双因子身份认证设备的实施例。

本申请还提供了一种双因子身份认证设备，设备包括处理器以及存储器；

存储器用于存储程序代码，并将程序代码传输给处理器；

处理器用于根据程序代码中的指令执行上述方法实施例中的双因子身份认证方法。

本申请还提供了一种计算机可读存储介质，计算机可读存储介质用于存储程序代码，程序代码用于执行上述方法实施例中的双因子身份认证方法。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以通过一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(英文全称：Read-OnlyMemory，英文缩写：ROM)、随机存取存储器(英文全称：Random Access Memory，英文缩写：RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，以上实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。