一种基于FIDO实现业务帐号认证的方法

技术领域

本发明属于网络安全技术领域，具体涉及一种基于FIDO实现业务帐号认证的方法。

背景技术

目前，电力集团全面朝着数字化、网络化的方向建设，集团层面的供应链管理、财务管理、人力资源管理，以及各下级单位的项目管理等各种工作场景，均可通过建立一个业务系统来辅助管理，单位的用户通过注册账号的方式访问业务系统。随着大型电力公司应用系统的生态体系不断成长，供企业内部或用户使用的应用系统种类众多，企业的内部网络资源管理负担也会越来越重。另外，目前大部分应用还是需要员工或用户注册账号，通过密码进行登录，由于应用系统较多，用于登录的账号和密码也越来越多，导致经常会忘记密码，员工或用户的登录体验不好。

发明内容

本发明旨在提供一种基于FIDO实现业务帐号认证的方法，解决现有技术中企业的内部应用系统占据较大管理空间，导致企业服务器负担较重，以及员工登录企业内部应用系统不够便捷的技术问题。

为解决上述技术问题，本发明采用以下技术方案：

提供一种基于FIDO实现业务帐号认证的方法，包括：

(1)在第一云服务器设置数据库，所述数据库中存储有用于供员工访问的资源；在第二云服务器设置在线服务模块，所述在线服务模块用于对员工访问所述数据库进行管理，所述在线服务模块与所述数据库之间能够通信；

(2)员工在所述在线服务模块中注册账号；

(3)员工的终端设备设置FIDO验证模块，员工的账号通过所述终端设备登录所述在线服务模块时，将员工自己的生物识别特征录入到所述FIDO验证模块；

(4)员工再次通过所述终端设备登录所述在线服务模块时，直接通过所述终端设备输入之前录入的生物识别特征进行登录。

优选的，在企业服务器中设置数据库管理模块和在线服务管理模块，所述数据库管理模块用于对所述数据库进行管理，所述在线服务管理模块用于对所述在线服务模块进行管理，所述企业服务器为企业内部服务器。

优选的，员工的终端设备设有客户端应用模块和门户网站登录模块，员工可通过所述客户端应用模块或所述门户网站登录模块直接登录所述在线服务模块。

优选的，所述在线服务模块中设有FIDO服务单元、通信管理单元、审计单元，所述FIDO服务单元用于对FIDO登录模式的账号进行管理，所述通信管理单元用于建立或关闭终端设备与所述数据库的通信路径，所述审计单元用于对账号的登录行为进行安全审查。

优选的，所述FIDO验证模块中设有生物识别特征存储单元，所述生物识别特征存储单元中设有指纹信息子单元、人脸识别信息子单元、声音信息子单元、虹膜信息子单元，员工录入的生物识别特征存储在所述生物识别特征存储单元中。

优选的，所述FIDO验证模块中还设有PIN码验证单元，所述PIN码验证单元用于对员工输入的PIN码进行验证。

优选的，所述FIDO服务单元能够要求所述FIDO验证模块中采用任一种生物识别特征进行验证，或要求所述FIDO验证模块中采用两种及以上生物识别特征进行组合验证，或要求所述FIDO验证模块中的至少一种生物识别特征与PIN码结合进行验证。

与现有技术相比，本发明的有益效果是：

1、该基于FIDO实现业务帐号认证的方法在第一云服务器设置数据库，数据库中存储有用于供员工访问的资源，在第二云服务器设置在线服务模块，在线服务模块用于对员工访问数据库进行管理，在线服务模块与数据库之间能够通信，第一云服务器和第二云服务器是相互隔离的，使得企业的数据库和用于对员工访问数据库进行管理的在线服务模块彼此独立，运行安全得到保障；由于第一云服务器和第二云服务器之间能够相互通信，使得员工经过在线服务模块验证后顺利访问数据库。

2、该基于FIDO实现业务帐号认证的方法将企业的数据库和用于对员工访问数据库进行管理的在线服务模块设于云服务器，降低了企业内部服务器的负担，使得集团的应用系统能够轻量化运行。

3、该基于FIDO实现业务帐号认证方法采用FIDO验证技术，能够消除或减弱用户对密码的依赖，使得员工登录企业内部应用系统更加便捷。

附图说明

图1为本发明基于FIDO实现业务帐号认证的方法一实施例的流程图。

图2为本发明基于FIDO实现业务帐号认证的方法一实施例中FIDO验证模块的架构图。

图3为本发明基于FIDO实现业务帐号认证的方法一实施例中FIDO服务单元的架构图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

一种基于FIDO实现业务帐号认证的方法，请参阅图1至图3。

该基于FIDO实现业务帐号认证的方法用于简化用户访问企业网络资源的方式，改善传统的繁琐的密码登录方式，使得访问企业的网络资源更加便捷。

具体的，如图1所示，该基于FIDO实现业务帐号认证的方法包括以下步骤：

一、在第一云服务器设置数据库，数据库中存储有用于供员工访问的资源；在第二云服务器设置在线服务模块，在线服务模块用于对员工访问数据库进行管理，在线服务模块与数据库之间能够通信。

其中，第一云服务器和第二云服务器是相互隔离的，使得企业的数据库和用于对员工访问数据库进行管理的在线服务模块彼此独立；但是第一云服务器和第二云服务器之间能够相互通信，使得员工经过在线服务模块验证后顺利访问数据库。

另外，在企业服务器中设置数据库管理模块和在线服务管理模块，该企业服务器为企业内部服务器，与第一云服务器和第二云服务器相互独立，数据库管理模块用于对数据库进行管理，在线服务管理模块用于对在线服务模块进行管理。并且员工的终端设备设有客户端应用模块和门户网站登录模块，员工可通过客户端应用模块或门户网站登录模块直接登录在线服务模块。

在线服务模块中设有FIDO服务单元、通信管理单元、审计单元，FIDO服务单元用于对FIDO登录模式的账号进行管理，通信管理单元用于建立或关闭终端设备与数据库的通信路径，审计单元用于对账号的登录行为进行安全审查。

如图2所示，FIDO验证模块中设有生物识别特征存储单元，生物识别特征存储单元中设有指纹信息子单元、人脸识别信息子单元、声音信息子单元、虹膜信息子单元，员工录入的生物识别特征存储在生物识别特征存储单元中。如图3所示，FIDO验证模块中还设有PIN码验证单元，PIN码验证单元用于对员工输入的PIN码进行验证。

二、员工在在线服务模块中注册账号。

三、员工的终端设备设置FIDO验证模块，员工的账号通过终端设备登录在线服务模块时，将员工自己的生物识别特征录入到FIDO验证模块。

四、员工再次通过终端设备登录在线服务模块时，直接通过终端设备输入之前录入的生物识别特征进行登录。

FIDO服务单元能够要求FIDO验证模块中采用任一种生物识别特征进行验证，或要求FIDO验证模块中采用两种及以上生物识别特征进行组合验证，或要求FIDO验证模块中的至少一种生物识别特征与PIN码结合进行验证。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解，在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。