技术领域
[0001] 本
发明涉及通信安全领域,尤其涉及一种登录虚拟专用网络服务器的多方 式认证的方法及装置。
背景技术
[0002] 虚拟专用网络(Virtual Private Network,VPN)属于远程
访问技术,简单地 说就是利用公用网络架设专用网络;虚拟专用网络网关通过对数据包的加密和 数据包目标地址的转换实现远程访问,例如某公司员工出差到外地,他想访问 企业内网的服务器资源,这种访问就属于远程访问,客户端与虚拟专用网络服 务器之间的数据传输是通过radius协议完成的。
[0003] 目前,登录虚拟专用网络服务器的认证方式比较单一,windows是后台配置 到其他服务器去认证或者默认是用域认证(即AD认证,用户名和密码放在一 台服务器上,每台计算机登录时,用服务器上的用户名/密码进行认证)登录虚 拟专用网络服务器,而虚拟专用网络厂家或会将登录
请求转到其他服务器去认 证,或密码认证或域认证,不会用比较复杂安全的其他登录认证方式登录虚拟 专用网络服务器。因此,目前用户一般只能使用域认证或者密码认证方式进行 虚拟专用网络服务器登录,这就使得用户对虚拟专用网络登录认证方式的可选 择性很小,用户体验降低,此外使用单一认证方式进行虚拟专用网络登录的安 全性有限,很难满足用户对虚拟专用网络登录高安全性的要求。
发明内容
[0004] 本发明的目的是为了克服
现有技术的不足,提供一种登录虚拟专用网络服 务器的多方式认证的方法及装置。
[0005] 本发明提供了一种登录虚拟专用网络服务器的多方式认证的方法,包括:
[0006] 本发明又提供了一种登录虚拟专用网络服务器的装置,包括:
[0007] 本发明与现有技术相比,具有以下优点:本发明提供一种登录虚拟专用网 络服务器的多方式认证的方法及装置,增加了多种登录虚拟专用网络服务器的 认证方式,满足了用户对虚拟专用网络登录认证的安全性及多样性的要求,提 高了用户体验。
附图说明
[0008] 图1为本发明
实施例一提供的一种登录虚拟专用网络服务器的多方式认证 的方法的
流程图;
[0009] 图2为本发明实施例二提供的一种登录虚拟专用网络服务器的多方式认证 的方法的流程图;
[0010] 图3为本发明实施例三提供的一种登录虚拟专用网络服务器的多方式认证 的方法的流程图;
[0011] 图4为本发明实施例四提供的一种登录虚拟专用网络服务器的多方式认证 的方法的流程图;
[0012] 图5-8为本发明实施例五提供的一种登录虚拟专用网络服务器的多方式认 证的方法的流程图;
[0013] 图9为本发明实施例六提供的一种登录虚拟专用网络服务器的多方式认证 的方法的流程图;
[0014] 图10为本发明实施例七提供的一种登录虚拟专用网络服务器的多方式认证 的装置的方
框图。
具体实施方式
[0015] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清 楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是 全部的实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳 动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0016] 实施例一
[0017] 本发明实施例一提供一种登录虚拟专用网络服务器的多方式认证的方法, 如图1所示,包括以下步骤:
[0018] 步骤S1:当虚拟专用网络代理接收到虚拟专用网络登录请求时,虚拟专用 网络代理解析接收到的虚拟专用网络登录请求得到登录密码,根据第一预设条 件判断是否需要第二次认证,是则执行步骤S3,否则执行步骤S2;
[0019] 进一步地,步骤S1中,根据第一预设条件判断是否需要第二次认证,是则 执行步骤S3,否则执行步骤S2,具体为:虚拟专用网络代理判断第二认证标识 是否为第一数据,是则执行S3,否则执行步骤S2。
[0020] 进一步地,步骤S1中,虚拟专用网络代理解析接收到的虚拟专用网络登录 请求得到登录密码之后,根据第一预设条件判断是否需要第二次认证之前,还 包括:虚拟专用网络代理判断登录密码是否为空,是则返回认证失败结果至客 户端,否则根据第一预设条件判断是否需要二次认证。
[0021] 进一步地,步骤S1中,当虚拟专用网络代理接收到虚拟专用网络登录请求 之后,还包括:虚拟专用网络代理判断是否预先
指定认证方式,是则执行步骤 N1,否则根据第一预设条件判断是否需要启用第二次认证;
[0022] 步骤N1:虚拟专用网络代理判断指定的认证方式类型,当指定的认证方式 类型为动态口令认证时,执行步骤N2,当指定的认证方式类型为动态口令推送 认证时,执行步骤N3,当指定的认证方式类型为
生物推送认证时,执行步骤 N4;
[0023] 步骤N2:虚拟专用网络代理进行动态口令认证,生成动态口令认证结果, 返回生成的动态口令认证结果至客户端;
[0024] 步骤N3:虚拟专用网络代理进行动态口令推送认证,生成动态口令推送认 证结果,返回生成的动态口令推送认证结果至客户端;
[0025] 步骤N4:虚拟专用网络代理进行生物推送认证,生成生物推送认证结果, 返回生成的生物推送认证结果至客户端;
[0026] 更进一步地,步骤N3,具体为:
[0027] 步骤P1:虚拟专用网络代理根据与指定的推送认证类型相对应的目标推送 认证标识、用户信息和预置的应用标识生成第一推送认证请求,发送生成的第 一推送认证请求至认证服务器;
[0028] 步骤P2:认证服务器接收并解析第一推送认证请求得到目标推送认证标识、 用户信息和应用标识,根据解析所得的、目标推送认证标识、用户信息、根据 述用户信息获取的令牌信息和根据应用标识获取的应用名称生成第二推送认证 请求,发送第二推送认证请求至移动终端;
[0029] 步骤P3:移动终端接收并解析第二推送认证请求得到目标推送认证标识、 用户信息、令牌信息和应用名称,根据解析所得的目标推送认证标识、用户信 息、令牌信息和应用名称生成登录信息并显示,当接收到用户确认登录的信息 时,判断是否接收到用户输入的与目标推送认证标识相对应的
种子信息,是则 根据种子信息和第一认证时间生成第一动态口令,根据第一动态口令生成第一 应答值,根据目标推送认证标识和第一应答值生成授权结果,发送生成的授权 结果至认证服务器,执行步骤P4,否则报错,结束;
[0030] 步骤P4:认证服务器接收并解析授权结果得到目标推送认证标识和第一应 答值,根据目标推送认证标识获取与目标推送认证标识相对应的种子信息,根 据种子信息和第二认证时间生成第二动态口令,根据第二动态口令生成第二应 答值,判断第一应答值和第二应答值是否匹配,生成第一判断结果,发送生成 的第一判断结果所述装置;
[0031] 步骤P5:虚拟专用网络代理接收第一判断结果,根据接收的第一判断结果 判断推送认证是否认证成功,是则向客户端返回推送认证成功信息,否则向客 户端返回推送认证失败信息。
[0032] 更进一步地,生物推送认证包括指纹推送认证、人脸推送认证、虹膜推送 认证
和声纹推送认证;
[0033] 更进一步地,步骤N4,具体为:
[0034] 步骤Q1:虚拟专用网络代理根据与指定的生物推送认证类型相对应的目标 推送认证标识、用户信息和预置的应用标识生成第三推送认证请求,发送生成 的第三推送认证请求至认证服务器;
[0035] 步骤Q2:认证服务器接收并解析第三推送认证请求,根据解析第三推送认 证请求所得的目标推送认证标识、用户信息和所述应用标识,根据解析所得的 目标推送认证标识、用户信息、根据用户信息获取的令牌信息和根据应用标识 获取的应用名称生成第四推送认证请求,发送生成的第四推送认证请求至移动 终端;
[0036] 步骤Q3:移动终端接收并解析第四推送认证请求得到目标推送认证标识、 用户信息、令牌信息和应用名称,根据解析第四推送认证请求所得的目标推送 认证标识、用户信息、令牌信息和应用名称生成登录信息并显示,当接收到用 户确认登录的信息时,判断是否接收到用户输入的与目标推送认证标识相对应 的应答数据信息,是则根据应答数据信息生成第三应答值,根据目标推送认证 标识和生成的第三应答值生成授权结果,发送生成的授权结果至认证服务器, 执行步骤Q4,否则报错,结束;
[0037] 步骤Q4:认证服务器接收并解析授权结果得到目标推送认证标识和第三应 答值,根据目标推送认证标识获取与目标推送认证标识相对应的用户注册数据, 根据用户注册数据生成第四应答值,判断第三应答值和第四应答值是否匹配, 生成第二判断结果,发送生成的第二判断结果至本实施例中的装置;
[0038] 步骤Q5:虚拟专用网络代理根据接收的第二判断结果判断推送认证是否认 证成功,是则向客户端返回推送认证成功信息,否则向客户端返回推送认证失 败信息。
[0039] 步骤S2:虚拟专用网络代理根据登录密码进行登录认证,生成登录认证结 果,返回生成的登录认证结果至客户端;
[0040] 进一步地,步骤S2中,登录认证为域认证或动态口令认证或推送认证。
[0041] 步骤S3:虚拟专用网络代理根据第二预设条件分登录密码为第一登录密码 和第二登录密码两部分,根据第一登录密码进行第一次认证,判断第一次认证 是否认证成功,是则根据第二登录密码进行第二次认证,生成第二次认证结果, 返回生成的第二次认证结果至客户端,否则返回认证失败结果至客户端;
[0042] 进一步地,步骤S3中,虚拟专用网络代理根据第二预设条件分登录密码为 第一登录密码和第二登录密码两部分,具体为:虚拟专用网络代理判断登录密 码中是否有预设的分割标识,当登录密码中有预设的分割标识时,根据分割标 识分登录密码为第一登录密码和第二登录密码两部分,执行根据第一登录密码 进行第一次认证;当登录密码中没有预设的分割标识时,根据预先指定的第二 次认证进行认证,生成第二次认证的认证结果,返回第二次认证的认证结果至 客户端;
[0043] 更进一步地,当分割标识的数量大于1个时,分割标识为登录密码中所有 分割标识中的最后一个分割标识;
[0044] 更进一步地,当分割标识是登录密码的第一个字符时,第一登录密码具体 为登录密码的分割标识后的第一预设长度的字符串;
[0045] 更进一步地,当分割标识是登录密码的中间
位置的字符时,第一登录密码 具体为登录密码的分割标识之前的全部字符;
[0046] 更进一步地,当分割标识是登录密码的最后一个字符时,第一登录密码具 体为登录密码的分割标识之前的第二预设长度的字符串。
[0047] 进一步地,步骤S3替换为:虚拟专用网络代理根据登录密码进行第一次认 证,判断第一次认证是否认证成功,是则提示用户输入推送认证密码,根据用 户输入的推送认证密码进行推送认证,生成推送认证结果,返回生成的推送认 证结果至客户端,否则返回认证失败结果至客户端;
[0048] 更进一步地,第一次认证为域认证或者动态口令认证。
[0049] 进一步地,步骤S3中,当第一次认证为域认证时,第二次认证为推送认证 或动态口令认证;
[0050] 当第一次认证为动态口令认证时,第二次认证为域认证或推送认证;
[0051] 当第一次认证为推送认证时,第二次认证为域认证或动态口令认证;
[0052] 更进一步地,当第一次认证为域认证、第二次认证为动态口令认证且第一 次认证成功时,根据第二登录密码进行第二次认证之前,还包括:虚拟专用网 络代理判断第二登录密码是否符合第三预设长度,当第二登录密码符合第三预 设长度时,执行根据第二登录密码进行第二次认证,当第二登录密码不符合第 三预设长度时,生成报错信息,返回生成的报错信息至客户端;
[0053] 更进一步地,第三预设长度为6或8个阿拉伯数字;
[0054] 更进一步地,当第一次认证为推送认证时,根据第一登录密码进行第一次 认证具体为:虚拟专用网络代理根据推送认证的类型标识进行推送认证,当推 送认证的类型标识为第一数据时,进行动态口令推送认证;当推送认证的类型 标识为第二数据时,进行指纹推送认证;当推送认证的类型标识为第三数据时, 进行人脸推送认证;当推送认证的类型标识为第四数据时,进行虹膜推送认证; 当推送认证的类型标识为第五数据时,进行声纹推送认证;
[0055] 或当第二次认证为推送认证时,根据第一登录密码进行第二次认证具体为: 虚拟专用网络代理根据推送认证的类型标识进行推送认证,当推送认证的类型 标识为第一数据时,进行动态口令推送认证;当推送认证的类型标识为第二数 据时,进行指纹推送认证;当推送认证的类型标识为第三数据时,进行人脸推 送认证;当推送认证的类型标识为第四数据时,进行虹膜推送认证;当推送认 证的类型标识为第五数据时,进行声纹推送认证。
[0056] 本发明与现有技术相比,具有以下优点:本发明提供一种登录虚拟专用网 络服务器的多方式认证的方法及装置,增加了多种登录虚拟专用网络服务器的 认证方式,满足了用户对虚拟专用网络登录认证的安全性及多样性的要求,提 高了用户体验。
[0057] 实施例二
[0058] 本发明实施例二提供一种登录虚拟专用网络服务器的多方式认证的方法, 当客户端接收到用户输入的用户账号和确认的登录虚拟专用网络服务器信息 时,客户端预先判断用户输入登录密码是否为空,当用户输入的登录密码不为 空时,客户端生成虚拟专用网络登录请求,发送虚拟专用网络登录请求至虚拟 专用网络服务器,虚拟专用网络服务器发送虚拟专用网络登录请求至虚拟专用 网络代理;客户端与虚拟专用网络服务器及虚拟专用网络服务器与虚拟专用网 络代理之间的数据传输是通过radius协议完成的;如图2所示,包括
[0059] 步骤201:虚拟专用网络代理接收虚拟专用网络登录请求;
[0060] 步骤202:虚拟专用网络代理根据配置的启用域认证属性判断是否需要启用 域认证,是则需要启用域认证,执行步骤203,否则不需要启用域认证,执行步 骤211;
[0061] 具体地,本实施例中,虚拟专用网络代理根据配置的启用域认证属性判断 是否需要启用域认证,当启用域认证属性为第一配置值时,需要启用域认证, 执行步骤203,当启用域认证属性为第二配置值时,不需要启用域认证,执行步 骤211;第一配置值与第二配置值不相同;
[0062] 例如,本实施中,第一配置值为0,第二配置值为1;
[0063] 本实施例中,步骤202之前还包括:预先配置启用域认证属性;
[0064] 步骤203:虚拟专用网络代理判断用户输入密码中是否有配置的分割符号, 是则执行步骤204,否则执行步骤207;
[0065] 本实施例中,步骤203之前还包括:预先配置分割符号;分割符号可以是 任意一个或者连续多个字符;优选地,分割符号是特殊符号中的一种;分割符 号可以是@、#、¥、%、……、&、*等特殊符号中的一种;更优选地,分割符号 为“&”(不包括双引号);
[0066] 步骤204:虚拟专用网络代理将最后分割符号之前全部字符作为域认证密 码,进行域认证,判断域认证是否认证成功,是则执行步骤205,否则执行步骤 207;
[0067] 具体地,虚拟专用网络代理将最后分割符号之前全部字符作为域认证密码, 从配置中获取配置的域信息进行域认证,判断域认证是否认证成功,,是则执行 步骤205,否则执行步骤207;
[0068] 本实施例中,步骤204之前,虚拟专用网络代理预先配置域信息;
[0069] 步骤205:虚拟专用网络代理获取用户输入密码中的最后分割符号位置,判 断最后分割符号之后字符是否是6或8位数字,是则执行步骤206,否则执行步 骤210;
[0070] 本实施例中,当用户输入的登录密码中包括多个配置的分割符号时,最后 分割符号是指多个配置的分割符号中的最后的一个分割符号;当用户输入的登 录密码中包括唯一的一个配置的分割符号时,最后分割符号是指用户输入的登 录密码中唯一的一个分割符号;
[0071] 本实施例中,6或8位数字是阿拉伯数字;
[0072] 步骤206:虚拟专用网络代理截取最后分割符号之后全部字符,进行动态口 令认证,执行步骤213;
[0073] 本实施例中,动态口令全称叫One-time Password,也称OTP,是根据专
门 的
算法每隔一定时间间隔(例如60秒)生成一个与时间相关的、不可预测的随 机数字组合,每个口令只能使用一次,每天可以产生43200个密码;其主要的 工作方式是:用户向主机提供当时显示在动态口令令牌上的密码,主机验证动 态口令(一次性密码)时,会在接收到动态口令的当前时间的一定范围内不停 计算,得到动态口令(一次性密码),直到与用户输入的一次性密码相同即完成 动态口令认证;动态口令(一次性密码)一般为6或8个阿拉伯数字;
[0074] 步骤207:虚拟专用网络代理将用户输入密码全部字符作为域认证密码,进 行域认证,执行步骤208;
[0075] 具体地,虚拟专用网络代理将用户输入密码全部字符作为域认证密码,从 配置中获取配置的域信息进行域认证,执行步骤208;
[0076] 本实施例中,步骤207之前,虚拟专用网络代理预先配置域信息;
[0077] 步骤208:虚拟专用网络代理判断域认证是否认证成功,是则执行步骤210, 否则执行步骤209;
[0078] 步骤209:虚拟专用网络代理生成认证失败信息,通过虚拟专用网络服务器 返回认证失败信息至客户端;
[0079] 步骤210:虚拟专用网络代理进行推送认证,通过虚拟专用网络服务器返回 推送认证结果至客户端;
[0080] 步骤211:虚拟专用网络代理判断用户输入密码全部字符是否是推送认证指 令,是则执行步骤210,否则执行步骤212;
[0081] 本实施例中,虚拟专用网络代理预先配置推送认证指令,推送认证指令可 以是不同于配置的分割符号的任意字符或字符串;优选地,推送认证指令是字 符串“push”(不包括双引号);
[0082] 本实施例中,推送认证主要的工作方式是:以推送到手机APP认证为例, 手机APP激活用户令牌后,获取服务器信息,与服务器建立连接,此时当服务 器接收到来自虚拟专用网络代理的推送认证请求时,就会将认证请求推送到手 机APP端,由手机APP端显示允许登录和拒绝登录;
[0083] 步骤212:虚拟专用网络代理进行动态口令认证,执行步骤213;
[0084] 步骤213:虚拟专用网络代理生成动态口令认证结果,通过虚拟专用网络服 务器返回动态口令认证结果至客户端。
[0085] 本实施例中所述方法不只适用于登录虚拟专用网络服务器,同样适用于基 于RADIUS协议的其他客户端和应用程序。
[0086] 本发明与现有技术相比,具有以下优点:本发明提供一种登录虚拟专用网 络服务器的多方式认证的方法及装置,增加了多种登录虚拟专用网络代理的认 证方式,满足了用户对虚拟专用网络登录认证的安全性及多样性的要求,提高 了用户体验。
[0087] 实施例三
[0088] 本发明实施例三提供一种登录虚拟专用网络服务器的多方式认证的方法, 当客户端接收到用户输入的用户账号和确认的登录虚拟专用网络服务器信息 时,客户端并不判断用户输入登录密码是否为空,即生成虚拟专用网络登录请 求,发送虚拟专用网络登录请求至虚拟专用网络服务器,虚拟专用网络服务器 发送虚拟专用网络登录请求至虚拟专用网络代理;客户端与虚拟专用网络服务 器及虚拟专用网络服务器与虚拟专用网络代理之间的数据传输是通过radius协 议完成的;如图3所示,包括:
[0089] 步骤301:虚拟专用网络代理接收虚拟专用网络登录请求;
[0090] 步骤302:虚拟专用网络代理根据配置的启用域认证属性判断是否需要启用 域认证,是则执行步骤303,否则执行步骤311;
[0091] 具体地,本实施例中,虚拟专用网络代理根据配置的启用域认证属性判断 是否需要启用域认证,当启用域认证属性为第一配置值时,需要启用域认证, 执行步骤303,当启用域认证属性为第二配置值时,不需要启用域认证,执行步 骤311;第一配置值与第二配置值不相同;
[0092] 例如,本实施中,第一配置值为0,第二配置值为1;
[0093] 本实施例中,步骤302之前还包括:预先配置启用域认证属性;
[0094] 步骤303:虚拟专用网络代理判断用户输入密码中是否有配置的分割符号, 是则执行步骤304,否则执行步骤305;
[0095] 本实施例中,步骤303之前还包括:预先配置分割符号;分割符号可以是 任意一个或者连续多个字符;优选地,分割符号是特殊符号中的一种;分割符 号可以是@、#、¥、%、……、&、*等特殊符号中的一种;更优选地,分割符 号为“&”(不包括双引号);
[0096] 步骤304:虚拟专用网络代理获取用户输入密码中的最后分割符号位置,判 断最后分割符号之后字符是否是6或8位数字,是则执行步骤307,否则执行步 骤305;
[0097] 本实施例中,当用户输入的登录密码中包括多个配置的分割符号时,最后 分割符号是指多个配置的分割符号中的最后的一个分割符号;当用户输入的登 录密码中包括唯一的一个配置的分割符号时,最后分割符号是指用户输入的登 录密码中唯一的一个分割符号;
[0098] 本实施例中,6或8位数字是阿拉伯数字;
[0099] 步骤305:虚拟专用网络代理将用户输入密码全部字符作为域认证密码,进 行域认证,执行步骤306;
[0100] 具体地,虚拟专用网络代理将用户输入密码全部字符作为域认证密码,从 配置中获取配置的域信息进行域认证,执行步骤306;
[0101] 本实施例中,步骤305之前,虚拟专用网络代理预先配置域信息;
[0102] 步骤306:虚拟专用网络代理判断域认证是否认证成功,是则执行步骤310, 否则执行步骤312;
[0103] 步骤307:虚拟专用网络代理将最后分割符号之前全部字符作为域认证密 码,进行域认证,执行步骤308;
[0104] 具体地,虚拟专用网络代理将最后分割符号之前全部字符作为域认证密码, 从配置中获取配置的域信息进行域认证,执行步骤308;
[0105] 本实施例中,步骤307之前,虚拟专用网络代理预先配置域信息;
[0106] 步骤308:虚拟专用网络代理判断域认证是否认证成功,是则执行步骤309, 否则执行步骤305;
[0107] 步骤309:虚拟专用网络代理截取最后分割符号之后全部字符,进行动态口 令认证,执行步骤315;
[0108] 本实施例中,动态口令全称叫One-time Password,也称OTP,是根据专门 的算法每隔一定时间间隔(例如60秒)生成一个与时间相关的、不可预测的随 机数字组合,每个口令只能使用一次,每天可以产生43200个密码;其主要的 工作方式是:用户向主机提供当时显示在动态口令令牌上的密码,主机验证动 态口令(一次性密码)时,会在接收到动态口令的当前时间的一定范围内不停 计算,得到动态口令(一次性密码),直到与用户输入的一次性密码相同即完成 动态口令认证;动态口令(一次性密码)一般在6或8个阿拉伯数字;
[0109] 步骤310:虚拟专用网络代理进行推送认证,通过虚拟专用网络服务器返回 推送认证结果至客户端;
[0110] 步骤311:虚拟专用网络代理判断用户输入密码是否为空,是则不能认证, 执行步骤312,否则执行步骤313;
[0111] 步骤312:虚拟专用网络代理生成认证失败信息,通过虚拟专用网络服务器 返回认证失败信息至客户端;
[0112] 步骤313:虚拟专用网络代理判断用户输入密码全部字符是否是推送认证指 令,是则执行步骤310,否则执行步骤314;
[0113] 本实施例中,虚拟专用网络代理预先配置推送认证指令,推送认证指令可 以是不同于配置的分割符号的任意字符或字符串;优选地,推送认证指令是字 符串“push”(不包括双引号);
[0114] 本实施例中,推送认证主要的工作方式是:以推送到手机APP认证为例, 手机APP激活用户令牌后,获取服务器信息,与服务器建立连接,此时当服务 器接收到来自虚拟专用网络代理的推送认证请求时,就会将认证请求推送到手 机APP端,由手机APP端显示允许登录和拒绝登录;
[0115] 步骤314:虚拟专用网络代理进行动态口令认证,执行步骤315;
[0116] 步骤315:虚拟专用网络代理生成动态口令认证结果,通过虚拟专用网络服 务器返回动态口令认证结果至客户端。
[0117] 本方法不只适用于登录虚拟专用网络服务器,同样适用于基于RADIUS协 议的其他客户端和应用程序。
[0118] 本发明与现有技术相比,具有以下优点:本发明提供一种登录虚拟专用网 络服务器的多方式认证的方法及装置,增加了多种登录虚拟专用网络代理的认 证方式,满足了用户对虚拟专用网络登录认证的安全性及多样性的要求,提高 了用户体验。
[0119] 实施例四
[0120] 本发明实施例四提供一种登录虚拟专用网络服务器的多方式认证的方法, 当客户端接收到用户输入的用户账号和确认的登录虚拟专用网络服务器信息 时,客户端预先判断用户输入登录密码是否为空,当用户输入的登录密码不为 空时,客户端生成虚拟专用网络登录请求,发送虚拟专用网络登录请求至虚拟 专用网络服务器,虚拟专用网络服务器发送虚拟专用网络登录请求至虚拟专用 网络代理;客户端与虚拟专用网络服务器及虚拟专用网络服务器与虚拟专用网 络代理之间的数据传输是通过radius协议完成的;如图4所示,包括以下步骤:
[0121] 步骤401:虚拟专用网络代理接收虚拟专用网络登录请求;
[0122] 步骤402:虚拟专用网络代理根据配置的启用域认证属性判断是否需要启用 域认证,是则执行步骤403,否则执行步骤412;
[0123] 具体地,本实施例中,虚拟专用网络代理根据配置的启用域认证属性判断 是否需要启用域认证,当启用域认证属性为第一配置值时,需要启用域认证, 执行步骤403,当启用域认证属性为第二配置值时,不需要启用域认证,执行步 骤412;第一配置值与第二配置值不相同;
[0124] 例如,本实施中,第一配置值为0,第二配置值为1;
[0125] 本实施例中,步骤402之前还包括:预先配置启用域认证属性;
[0126] 步骤403:虚拟专用网络代理判断用户输入密码中是否有配置的分割符号, 是则执行步骤404,否则执行步骤405;
[0127] 本实施例中,步骤403之前还包括:预先配置分割符号;分割符号可以是 任意一个或者连续多个字符;优选地,分割符号是特殊符号中的一种;分割符 号可以是@、#、¥、%、……、&、*等特殊符号中的一种;更优选地,分割符 号为“&”(不包括双引号);
[0128] 步骤404:虚拟专用网络代理获取用户输入密码中的最后分割符号位置,判 断最后分割符号之后字符是否是6或8位数字,是则执行步骤407,否则执行步 骤405;
[0129] 本实施例中,当用户输入的登录密码中包括多个配置的分割符号时,最后 分割符号是指多个配置的分割符号中的最后的一个分割符号;当用户输入的登 录密码中包括唯一的一个配置的分割符号时,最后分割符号是指用户输入的登 录密码中唯一的一个分割符号;
[0130] 本实施例中,6或8位数字是阿拉伯数字;
[0131] 步骤405:虚拟专用网络代理将用户输入密码全部字符作为域认证密码,进 行域认证,执行步骤406;
[0132] 具体地,虚拟专用网络代理将用户输入密码全部字符作为域认证密码,从 配置中获取配置的域信息进行域认证,执行步骤406;
[0133] 本实施例中,步骤405之前,虚拟专用网络代理预先配置域信息;
[0134] 步骤406:虚拟专用网络代理判断域认证是否认证成功,是则执行步骤410, 否则执行步骤411;
[0135] 步骤407:虚拟专用网络代理将最后分割符号之前全部字符作为域认证密 码,进行域认证,执行步骤408;
[0136] 具体地,虚拟专用网络代理将用户输入密码全部字符作为域认证密码,从 配置中获取配置的域信息进行域认证,执行步骤408;
[0137] 本实施例中,步骤407之前,虚拟专用网络代理预先配置域信息;
[0138] 步骤408:虚拟专用网络代理判断域认证是否认证成功,是则执行步骤409, 否则执行步骤405;
[0139] 步骤409:虚拟专用网络代理截取最后分割符号之后全部字符,进行动态口 令认证,执行步骤414;
[0140] 本实施例中,动态口令全称叫One-time Password,也称OTP,是根据专门 的算法每隔一定时间间隔(例如60秒)生成一个与时间相关的、不可预测的随 机数字组合,每个口令只能使用一次,每天可以产生43200个密码;其主要的 工作方式是:用户向主机提供当时显示在动态口令令牌上的密码,主机验证动 态口令(一次性密码)时,会在接收到动态口令的当前时间的一定范围内不停 计算,得到动态口令(一次性密码),直到与用户输入的一次性密码相同即完成 动态口令认证;动态口令(一次性密码)一般在6或8个阿拉伯数字;
[0141] 步骤410:虚拟专用网络代理进行推送认证,通过虚拟专用网络服务器返回 推送认证结果至客户端;
[0142] 步骤411:虚拟专用网络代理生成认证失败信息,通过虚拟专用网络服务器 返回认证失败信息至客户端;
[0143] 步骤412:虚拟专用网络代理判断用户输入密码全部字符是否是推送认证指 令,是则执行步骤410,否则执行步骤413;
[0144] 本实施例中,虚拟专用网络代理预先配置推送认证指令,推送认证指令可 以是不同于配置的分割符号的任意字符或字符串;优选地,推送认证指令是字 符串“push”(不包括双引号);
[0145] 本实施例中,推送认证主要的工作方式是:以推送到手机APP认证为例, 手机APP激活用户令牌后,获取服务器信息,与服务器建立连接,此时当服务 器接收到来自虚拟专用网络代理的推送认证请求时,就会将认证请求推送到手 机APP端,由手机APP端显示允许登录和拒绝登录;
[0146] 步骤413:虚拟专用网络代理进行动态口令认证,执行步骤414;
[0147] 步骤414:虚拟专用网络代理生成动态口令认证结果,通过虚拟专用网络服 务器返回动态口令认证结果至客户端。
[0148] 本实施中所述不只适用于登录虚拟专用网络服务器,同样适用于基于 RADIUS协议的其他客户端和应用程序。
[0149] 本发明与现有技术相比,具有以下优点:本发明提供一种登录虚拟专用网 络服务器的多方式认证的方法及装置,增加了多种登录虚拟专用网络代理的认 证方式,满足了用户对虚拟专用网络登录认证的安全性及多样性的要求,提高 了用户体验。
[0150] 实施例五
[0151] 本发明实施例五提供一种登录虚拟专用网络服务器的多方式认证的方法, 当客户端接收到用户输入的用户账号和确认的登录虚拟专用网络服务器信息 时,客户端并不判断用户输入登录密码是否为空,即生成虚拟专用网络登录请 求,发送虚拟专用网络登录请求至虚拟专用网络服务器,虚拟专用网络服务器 发送虚拟专用网络登录请求至虚拟专用网络代理;客户端与虚拟专用网络服务 器及虚拟专用网络服务器与虚拟专用网络代理之间的数据传输是通过radius协 议完成的;增加了动态口令推送认证、指纹推送认证、人脸推送认证、虹膜推 送认证和声纹推送认证方式;如图5-8所示,包括以下步骤:
[0152] 步骤501:虚拟专用网络代理接收虚拟专用网络登录请求;
[0153] 步骤502:虚拟专用网络代理根据配置的启用域认证属性判断是否需要启用 域认证,是则需要启用域认证,执行步骤503,否则不需要启用域认证,执行步 骤529;
[0154] 具体地,本实施例中,虚拟专用网络代理根据配置的启用域认证属性判断 是否需要启用域认证,当启用域认证属性为第一配置值时,需要启用域认证, 执行步骤503,当启用域认证属性为第二配置值时,不需要启用域认证,执行步 骤529;第一配置值与第二配置值不相同;
[0155] 例如,本实施中,第一配置值为0,第二配置值为1;
[0156] 本实施例中,步骤502之前还包括:预先配置启用域认证属性;
[0157] 步骤503:虚拟专用网络代理判断是否启用域认证后的二次认证,是则执行 步骤508,否则执行步骤504;
[0158] 具体地,本实施例中,虚拟专用网络代理根据启用域认证后进行二次认证 的配置值判断是否需要启用二次认证,当二次认证的配置值为第三配置值时, 需要启用域认证后的二次认证,执行步骤508,当二次认证的配置值为第四配置 值时,不启用域认证后的二次认证,执行步骤504;第三配置值与第四配置值不 相同;
[0159] 例如,本实施中,第三配置值为0,第四配置值为1;
[0160] 本实施例中,域认证后的二次认证是指除域认证之外的其他认证方式,包 括:动态口令认证、动态口令推送认证、指纹推送认证、掌纹推送认证、人脸 推送认证、虹膜推送认证和声纹推送认证;
[0161] 本实施例中,步骤503之前还包括:预先配置启用域认证后进行二次认证 的配置值;
[0162] 本实施例中,推送认证主要的工作方式是:以推送到手机APP认证为例, 手机APP激活用户令牌后,获取服务器信息,与服务器建立连接,此时当服务 器接收到来自虚拟专用网络代理的推送认证请求时,就会将推送认证请求推送 到手机APP端,由手机APP端显示允许登录或拒绝登录;
[0163] 步骤504:虚拟专用网络代理将用户输入密码全部字符作为域认证密码,进 行域认证,执行步骤505;
[0164] 具体地,虚拟专用网络代理将用户输入密码全部字符作为域认证密码,从 配置中获取配置的域信息进行域认证;
[0165] 本实施例中,步骤504之前,虚拟专用网络代理预先配置域信息;
[0166] 步骤505:虚拟专用网络代理判断域认证是否认证成功,是则执行步骤506, 否则执行步骤507;
[0167] 步骤506:虚拟专用网络代理生成域认证成功信息,通过虚拟专用网络服务 器返回域认证成功信息至客户端;
[0168] 步骤507:虚拟专用网络代理生成域认证失败信息,通过虚拟专用网络服务 器返回域认证失败信息至客户端;
[0169] 步骤508:虚拟专用网络代理判断用户输入密码中是否有配置的分割符号, 是则执行步骤524,否则执行步骤509;
[0170] 本实施例中,步骤508之前还包括:预先配置分割符号;分割符号可以是 任意一个或者连续多个字符;优选地,分割符号是特殊符号中的一种;分割符 号可以是@、#、¥、%、……、&、*等特殊符号中的一种;更优选地,分割符 号为“&”(不包括双引号);
[0171] 步骤509:虚拟专用网络代理将用户输入密码全部字符作为域认证密码,进 行域认证,执行步骤510;
[0172] 具体地,虚拟专用网络代理将用户输入密码全部字符作为域认证密码,从 配置中获取配置的域信息进行域认证;
[0173] 本实施例中,步骤509之前,虚拟专用网络代理预先配置域信息;
[0174] 步骤510:虚拟专用网络代理判断域认证是否认证成功,是则执行步骤511, 否则执行步骤507;
[0175] 步骤511:虚拟专用网络代理判断二次认证类型,当二次认证类型为动态口 令认证时,执行步骤512;当二次认证类型为动态口令推送认证时,执行步骤 514;当二次认证类型为指纹推送认证时,执行步骤516;当二次认证类型为人 脸推送认证时,执行步骤518;当二次认证类型为虹膜推送认证时,执行步骤 520;当二次认证类型为声纹推送认证时,执行步骤522;
[0176] 具体地,虚拟专用网络代理根据二次认证标识类型判断二次认证类型,当 二次认证标识等于第五配置值时,执行步骤512;当二次认证标识等于第六配置 值时,执行步骤514;当二次认证标识等于第七配置值时,执行步骤516;当二 次认证标识等于第八配置值时,执行步骤518;当二次认证标识等于第九配置值 时,执行步骤520;当二次认证标识等于第十配置值时,执行步骤522;
[0177] 相应地,本实施例中,虚拟专用网络代理预先配置二次认证类型及其相对 应的二次认证标识(default_two_factor)类型(第五配置值-第十配置值);第五配 置值-第十配置值是与分割符号不相同的任意字符串,且互不相等;
[0178] 例如,本实施中,第五配置值-第十配置值分别为:0、1、2、3、4和5;
[0179] 本实施例中,动态口令全称叫One-time Password,也称OTP,是根据专门 的算法每隔一定时间间隔(例如60秒)生成一个与时间相关的、不可预测的随 机数字组合,每个口令只能使用一次,每天可以产生43200个密码;其主要的 工作方式是:用户向主机提供当时显示在动态口令令牌上的密码,主机验证动 态口令(一次性密码)时,会在接收到动态口令的当前时间的一定范围内不停 计算,得到动态口令(一次性密码),直到与用户输入的一次性密码相同即完成 动态口令认证;动态口令(一次性密码)一般在6或8个阿拉伯数字;
[0180] 步骤512:虚拟专用网络代理进行动态口令认证,执行步骤513;
[0181] 步骤513:虚拟专用网络代理生成动态口令认证结果,通过虚拟专用网络服 务器返回动态口令认证结果至客户端;
[0182] 步骤514:虚拟专用网络代理进行动态口令推送认证,执行步骤515;
[0183] 步骤515:虚拟专用网络代理生成动态口令推送认证结果,通过虚拟专用网 络服务器返回动态口令推送认证结果至客户端;
[0184] 步骤516:虚拟专用网络代理进行指纹推送认证,执行步骤517;
[0185] 步骤517:虚拟专用网络代理生成指纹推送认证结果,通过虚拟专用网络服 务器返回指纹推送认证结果至客户端;
[0186] 步骤518:虚拟专用网络代理进行人脸推送认证,执行步骤519;
[0187] 步骤519:虚拟专用网络代理生成人脸推送认证结果,通过虚拟专用网络服 务器返回人脸推送认证结果至客户端;
[0188] 步骤520:虚拟专用网络代理进行虹膜推送认证,执行步骤521;
[0189] 步骤521:虚拟专用网络代理生成虹膜推送认证结果,通过虚拟专用网络服 务器返回虹膜推送认证结果至客户端;
[0190] 步骤522:虚拟专用网络代理进行声纹推送认证,执行步骤523;
[0191] 步骤523:虚拟专用网络代理生成声纹推送认证结果,通过虚拟专用网络服 务器返回声纹推送认证结果至客户端;
[0192] 步骤524:虚拟专用网络代理将最后分割符号之前全部字符作为域认证密 码,进行域认证,执行步骤525;
[0193] 具体地,虚拟专用网络代理将最后分割符号之前全部字符作为域认证密码, 从配置中获取配置的域信息进行域认证;
[0194] 本实施例中,步骤524之前,虚拟专用网络代理预先配置域信息;
[0195] 步骤525:虚拟专用网络代理判断域认证是否认证成功,是则执行步骤528, 否则执行步骤526;
[0196] 步骤526:虚拟专用网络代理将用户输入密码全部字符作为域认证密码,进 行域认证,执行步骤527;
[0197] 步骤527:虚拟专用网络代理判断域认证是否认证成功,是则执行步骤511, 否则执行步骤507;
[0198] 步骤528:虚拟专用网络代理截取最后分割符号之后全部字符,判断截取最 后分割符号之后全部字符的推送认证指令类型,当推送认证指令类型为动态口 令推送认证指令时,执行步骤514,当推送认证指令类型为指纹推送认证指令时, 执行步骤516,当推送认证指令类型为人脸推送认证指令时,执行步骤518,当 推送认证指令为虹膜推送认证指令时,执行步骤520,当推送认证指令类型为声 纹推送认证指令时,执行步骤522,当推送认证指令不是动态口令推送认证指令、 指纹推送认证指令、人脸推送认证指令、虹膜推送认证指令和声纹推送认证指 令中的任意一种时,执行步骤532;
[0199] 具体地,虚拟专用网络代理截取最后分割符号之后全部字符,判断截取最 后分割符号之后全部字符,当推送认证指令为第十一配置值时,执行步骤514, 当推送认证指令为第十二配置值时,执行步骤516,当推送认证指令为第十三配 置值时,执行步骤518,当推送认证指令为第十四配置值时,执行步骤520,当 推送认证指令为第十五配置值时,执行步骤522,当推送认证指令不是动态口令 推送认证指令、指纹推送认证指令、人脸推送认证指令、虹膜推送认证指令和 声纹推送认证指令中的任意一种时,执行步骤532;
[0200] 相应地,本实施例中,步骤528之前包括,预先配置推送指令类型和各推 送认证指令类型相对应的配置值(第十一配置值-第十五配置值);第十一配置值 -第十五配置值是与分割符号不相同的任意字符串,且互不相等;
[0201] 例如,本实施中,第十一配置值-第十五配置值分别为:push1、push 2、push 3、push 4和push 5;
[0202] 步骤529:虚拟专用网络代理判断用户输入密码是否为空,是则执行步骤 530,否则执行步骤531;
[0203] 步骤530:虚拟专用网络代理生成认证失败信息,通过虚拟专用网络服务器 返回认证失败信息至客户端;
[0204] 步骤531:虚拟专用网络代理判断用户输入密码全部字符的推送认证指令类 型,当推送认证指令类型为动态口令推送认证指令时,执行步骤514,当推送认 证指令类型为指纹推送认证指令时,执行步骤516,当推送认证指令类型为人脸 推送认证指令时,执行步骤518,当推送认证指令类型为虹膜推送认证时,执行 步骤520,当推送认证指令类型为声纹推送认证指令时,执行步骤522,当推送 认证指令类型不是动态口令推送认证指令、指纹推送认证指令、人脸推送认证 指令、虹膜推送认证指令和声纹推送认证指令中的任意一种时,执行步骤532;
[0205] 具体地,虚拟专用网络代理判断用户输入密码全部字符的推送认证指令类 型,当推送认证指令为第十一配置值时,执行步骤514,当推送认证指令为第十 二配置值时,执行步骤516,当推送认证指令为第十三配置值时,执行步骤518, 当推送认证指令为第十四配置值时,执行步骤520,当推送认证指令为第十五配 置值时,执行步骤522,当推送认证指令不是动态口令推送认证指令、指纹推送 认证指令、人脸推送认证指令、虹膜推送认证指令和声纹推送认证指令中的任 意一种时,执行步骤532;
[0206] 相应地,本实施例中,步骤528之前包括,预先配置推送指令类型和各推 送认证指令类型相对应的配置值(第十一配置值-第十五配置值);第十一配置值 -第十五配置值是与分割符号不相同的任意字符串,且互不相等;
[0207] 例如,本实施中,第十一配置值-第十五配置值分别为:push1、push 2、push 3、push 4和push 5;
[0208] 步骤532:虚拟专用网络代理判断推送认证指令是否是6或8位数字,是则 执行步骤512,否则执行步骤533;
[0209] 本实施例中,6或8位数字是阿拉伯数字;
[0210] 步骤533:虚拟专用网络代理生成认证失败信息,通过虚拟专用网络服务器 返回认证失败信息至客户端。
[0211] 本实施中,当客户端接收到用户输入的用户账号和确认的登录虚拟专用网 络服务器信息时,客户端预先判断用户输入登录密码是否为空,当用户输入的 登录密码不为空时,客户端生成虚拟专用网络登录请求,发送虚拟专用网络登 录请求至虚拟专用网络服务器,虚拟专用网络服务器发送虚拟专用网络登录请 求至虚拟专用网络代理;
[0212] 步骤502可以替换为步骤502-1:
[0213] 步骤502-1:虚拟专用网络代理根据配置的启用域认证属性判断是否需要启 用域认证,是则执行步骤503,否则执行步骤531;
[0214] 具体地,本实施例中,虚拟专用网络代理根据配置的启用域认证属性判断 是否需要启用域认证,当启用域认证属性为第一配置值时,需要启用域认证, 执行步骤503,当启用域认证属性为第二配置值时,不需要启用域认证,执行步 骤531;第一配置值与第二配置值不相同。
[0215] 本实施中所述方法不只适用于登录虚拟专用网络服务器,同样适用于基于 RADIUS协议的其他客户端和应用程序。
[0216] 本发明与现有技术相比,具有以下优点:本发明提供一种登录虚拟专用网 络服务器的多方式认证的方法及装置,增加了多种登录虚拟专用网络代理的认 证方式,满足了用户对虚拟专用网络登录认证的安全性及多样性的要求,提高 了用户体验。
[0217] 实施例六
[0218] 本发明实施例六提供一种登录虚拟专用网络服务器的多方式认证的方法, 当客户端接收到用户输入的用户信息和确认登录虚拟专用网络服务器的信息时 生成虚拟专用网络登录请求,虚拟专用网络代理接收虚拟专用网络登录请求并 选择推送认证方式后生成推送认证请求,将推送认证请求发送至认证服务器, 通过移动终端采集用户生物认证信息进行认证或生成动态口令进行认证,然后 将认证结果返回给虚拟专用网络代理,虚拟专用网络代理将认证结果发送到客 户端;如图9所示,包括:
[0219] 步骤601:虚拟专用网络代理接收客户端发送的虚拟专用网络登录请求;
[0220] 本实施例中,客户端的虚拟专用网络登录请求包括用户信息,用户信息可 以是用户账号、手机号、身份证号等可以唯一标识应用用户身份的信息;
[0221] 步骤602:虚拟专用网络代理指定推送认证类型,获取与指定的推送认证类 型相对应的推送认证标识,记为目标推送认证标识;
[0222] 本实施例中,推送认证类型与推送认证标识一一对应,推送认证类型和与 推送认证类型相对应的推送认证标识的对应关系在步骤601之前预先设定;
[0223] 本实施例中,推送认证类型包括但是不限于:指纹推送认证、人脸推送认 证、虹膜推送认证、声纹推送认证和动态口令推送认证;
[0224] 推送认证类型和与推送认证类型相对应的推送认证标识的对应关系例如: 指纹推送认证与第一推送认证标识相对应,人脸推送认证与第二推送认证标识 相对应,虹膜推送认证与第三推送认证标识相对应,声纹推送认证与第四推送 认证标识相对应,动态口令推送认证与第五推送认证标识相对应;其中,第一 推送认证标识-第五推送认证标识为互不相等的字符串;
[0225] 步骤603:虚拟专用网络代理根据目标推送认证标识、用户信息和预置的应 用标识生成第一推送认证请求;
[0226] 本实施例中,步骤601之前进行推送认证注册流程,认证服务器和移动终 端保存推送认证类型及推送认证类型与推送认证标识对应关系;认证服务器保 存与用户信息和推送认证标识相对应的用户的生物认证信息(当步骤602中虚 拟专用网络代理指定的推送认证类型为动态口令推送认证时,认证服务器生成 与用户信息和推送认证标识相对应的种子并保存);
[0227] 步骤604:虚拟专用网络代理发送第一推送认证请求至认证服务器;
[0228] 步骤605:认证服务器接收并解析第一推送认证请求,得到目标推送认证标 识、用户信息和应用标识并保存,根据用户信息获取对应的令牌信息和网络数 据链路,并根据应用标识获取对应的应用名称;
[0229] 步骤606:认证服务器根据目标推送认证标识、令牌信息、用户信息和应用 名称生成第二推送认证请求;
[0230] 步骤607:认证服务器发送第二推送认证请求推送至移动终端;
[0231] 步骤608:移动终端接收并解析第二推送认证请求,根据解析第二推送认证 请求得到的目标推送认证标识、用户信息和应用名称生成登录信息并显示,提 示用户进行登录确认;
[0232] 步骤609:移动终端判断是否接收到用户确认登录的信息,是则执行步骤 610,否则报错;
[0233] 步骤610:移动终端根据解析第二推送认证请求得到的目标推送认证标识提 示用户输入与目标推送认证标识相对应的应答数据信息;
[0234] 本实施例中,推送认证类型与推送认证标识一一对应,推送认证类型和与 推送认证类型相对应的推送认证标识的对应关系在步骤601之前预先设定;
[0235] 本实施例中,推送认证类型包括但是不限于:指纹推送认证、人脸推送认 证、虹膜推送认证、声纹推送认证和动态口令推送认证;
[0236] 例如,推送认证类型和与推送认证类型相对应的推送认证标识的对应关系 为:
[0237] 指纹推送认证与第一推送认证标识相对应,人脸推送认证与第二推送认证 标识相对应,虹膜推送认证与第三推送认证标识相对应,声纹推送认证与第四 推送认证标识相对应,动态口令推送认证与第五推送认证标识相对应;其中, 第一推送认证标识-第五推送认证标识为互不相等的字符串;
[0238] 例如,指纹推送认证与第一推送认证标识相对应,当目标推送认证标识是 第一推送认证标识时,提示用户输入指纹信息;人脸推送认证与第二推送认证 标识相对应,当目标推送认证标识是第二推送认证标识时,提示用户输入人脸 信息;虹膜推送认证与第三推送认证标识相对应,当目标推送认证标识是第三 推送认证标识时,提示用户输入虹膜信息;声纹推送认证与第四推送认证标识 相对应,当目标推送认证标识是第四推送认证标识时,提示用户输入声纹信息; 动态口令推送认证与第五推送认证标识相对应,当目标推送认证标识是第五推 送认证标识时,生成动态口令;
[0239] 本实施例中,步骤601之前进行推送认证注册流程,认证服务器和移动终 端保存推送认证类型与推送认证标识对应关系,认证服务器保存与用户信息和 推送认证标识相对应的用户的生物认证信息(当步骤602中虚拟专用网络代理 指定的推送认证类型为动态口令推送认证时,认证服务器生成与用户信息和推 送认证标识相对应的种子);
[0240] 本实施例中,动态口令全称叫One-time Password,也称OTP,是根据专门 的算法每隔一定时间间隔(例如60秒)生成一个与时间相关的、不可预测的随 机数字组合,每个口令只能使用一次,每天可以产生43200个密码;其主要的 工作方式是:用户向主机提供当时显示在动态口令令牌上的密码,主机验证动 态口令(一次性密码)时,会在接收到动态口令的当前时间的一定范围内不停 计算,得到动态口令(一次性密码),直到与用户输入的一次性密码相同即完成 动态口令认证;动态口令(一次性密码)一般在6或8个阿拉伯数字;
[0241] 其中,第一推送认证标识-第五推送认证标识为互不相等的字符串;
[0242] 本实施例中,当步骤602中虚拟专用网络代理指定的推送认证类型为动态 口令推送认证时,步骤610替换为步骤610-1,
[0243] 步骤610-1:移动终端根据解析第二推送认证请求得到的目标推送认证标识 获取与解析第二推送认证请求得到的目标推送认证标识相对应的种子信息,根 据种子信息和第一认证时间生成与目标推送认证标识相对应的第一动态口令, 根据第一动态口令生成第一应答值,执行步骤613;
[0244] 步骤611:移动终端判断是否接收到用户输入的与目标推送认证标识相对应 的应答数据信息,是则执行步骤612,否则报错;
[0245] 步骤612:移动终端获取与目标推送认证标识相对应的应答数据信息,生成 第一应答值;
[0246] 步骤613:移动终端生成包含目标推送认证标识和第一应答值的授权结果;
[0247] 步骤614:移动终端发送授权结果至认证服务器;
[0248] 步骤615:认证服务器接收并解析授权结果,根据解析授权结果所得目标推 送认证标识获取与解析授权结果所得目标推送认证标识相对应的用户注册数 据,得到第二应答值;
[0249] 本实施例中,当步骤602中虚拟专用网络代理指定的推送认证类型为动态 口令推送认证,且步骤610替换为步骤610-1时,步骤615替换为步骤615-1:
[0250] 步骤615-1:认证服务器接收并解析授权结果,根据解析授权结果所得目标 推送认证标识获取与解析授权结果所得目标推送认证标识相对应的种子信息, 根据第二认证时间和与解析授权结果所得目标推送认证标识相对应的种子信息 生成第二动态口令,根据第二动态口令生成第二应答值;
[0251] 本实施例中,第一认证时间和第二认证时间之间不能超过一定时间间隔; 优选地,第一认证时间和第二认证时间之间的时间间隔应该小于1分钟(例如, 30秒);
[0252] 步骤616:认证服务器判断第一应答值和第二应答值是否匹配,是则推送认 证成功,生成推送认证成功信息,执行步骤617,否则推送认证失败,生成推送 认证失败信息,执行步骤619;
[0253] 步骤617:认证服务器发送推送认证成功信息至虚拟专用网络代理;
[0254] 步骤618:虚拟专用网络代理接收推送认证成功信息,并向客户端返回推送 认证成功信息;
[0255] 步骤619:认证服务器发送推送认证失败信息至虚拟专用网络代理;
[0256] 步骤620:虚拟专用网络代理接收推送认证失败信息,并向客户端返回推送 认证失败信息。
[0257] 本实施中所述方法不只适用于登录虚拟专用网络服务器,同样适用于基于 RADIUS协议的其他客户端和应用程序。
[0258] 本发明与现有技术相比,具有以下优点:本发明提供一种登录虚拟专用网 络服务器的多方式认证的方法及装置,增加了多种登录虚拟专用网络代理的认 证方式,满足了用户对虚拟专用网络登录认证的安全性及多样性的要求,提高 了用户体验。
[0259] 实施例七
[0260] 本发明实施例七提供一种登录虚拟专用网络服务器的多方式认证的装置, 如图10所示,包括第一接收模
块701、第一解析模块702、第一判断模块703、 登录认证模块704、第一发送模块705、分割模块706、第一认证判断模块707 和第二次认证模块708;
[0261] 第一接收模块701,用于接收虚拟专用网络登录请求;
[0262] 第一解析模块702,用于解析第一接收模块701接收到的虚拟专用网络登录 请求得到登录密码;
[0263] 第一判断模块703,用于当第一解析模块702解析虚拟专用网络登录请求得 到登录密码后,根据第一预设条件判断是否需要第二次认证;
[0264] 登录认证模块704,用于当第一判断模块703判断不需要第二次认证时,根 据第一解析模块702解析虚拟专用网络登录请求得到的登录密码进行登录认证, 生成登录认证结果;
[0265] 进一步地,本实施例中,登录认证模块704中的登录认证为域认证或动态 口令认证或推送认证。
[0266] 第一发送模块705,用于返回登录认证模块704生成的登录认证结果至客户 端;
[0267] 分割模块706,用于当第一判断模块703判断需要第二次认证时,根据第二 预设条件分第一解析模块702解析虚拟专用网络登录请求得到的登录密码为第 一登录密码和第二登录密码两部分;
[0268] 进一步地,本实施例中,分割模块706,具体包括第一判断单元、分割单元 和指定认证单元;
[0269] 第一判断单元,用于判断登录密码中是否有预设的分割标识;
[0270] 分割单元,用于当第一判断单元判断登录密码中有预设的分割标识时,根 据分割标识分登录密码为第一登录密码和第二登录密码两部分,触发第一认证 判断模块707;
[0271] 指定认证单元,用于当第一判断单元判断登录密码中没有预设的分割标识 时,根据预先指定的第二次认证进行认证,生成第二次认证的认证结果;
[0272] 第一发送模块705,还用于返回指定认证单元生成的第二次认证的认证结果 至客户端。
[0273] 更进一步地,本实施例中,当分割模块706中的分割标识的数量大于1个 时,分割模块706中的分割标识为登录密码中所有分割标识中的最后的一个分 割标识。
[0274] 更进一步地,本实施例中,当分割模块706中的分割标识是登录密码的第 一个字符时,第一登录密码具体为登录密码的分割模块706中的分割标识后的 第一预设长度的字符串。
[0275] 更进一步地,本实施例中,当分割模块706中的分割标识是登录密码的中 间位置的字符时,第一登录密码具体为登录密码的分割模块706中的分割标识 之前的全部字符。
[0276] 更进一步地,本实施例中,当分割模块706中的分割标识是登录密码的最 后一个字符时,第一登录密码具体为登录密码的分割模块706中的分割标识之 前的第二预设长度的字符串。
[0277] 进一步地,本实施例中,第一判断模块703,具体用于当第一解析模块702 解析虚拟专用网络登录请求得到登录密码后,判断第二认证标识是否为第一数 据;
[0278] 分割模块706,具体用于当第一判断模块703判断第二认证标识为第一数据 时,根据第二预设条件分第一解析模块702解析虚拟专用网络登录请求得到的 登录密码为第一登录密码和第二登录密码两部分;
[0279] 登录认证模块704,具体用于当第一判断模块703判断第二认证标识不为第 一数据时,根据第一解析模块702解析虚拟专用网络登录请求得到的登录密码 进行登录认证,生成登录认证结果。
[0280] 第一认证判断模块707,用于根据分割模块706分登录密码所得的第一登录 密码进行第一次认证,判断第一次认证是否认证成功;
[0281] 进一步地,本实施例中,当第一认证判断模块707中的第一次认证为域认 证时,第二次认证模块708中的第二次认证为推送认证或动态口令认证;
[0282] 当第一认证判断模块707中的第一次认证为动态口令认证时,第二次认证 模块708中的第二次认证为域认证或推送认证;
[0283] 当第一认证判断模块707中的第一次认证为推送认证时,第二次认证模块 708中的第二次认证为域认证或动态口令认证。
[0284] 进一步地,本实施例中,当第一认证判断模块707中第一次认证为推送认 证时,第一认证判断模块707具体包括:第二推送认证单元、第二动态口令推 送认证单元、第二指纹推送认证单元、第二人脸推送认证单元、第二虹膜推送 认证单元和第二声纹推送认证单元;
[0285] 第二推送认证单元,用于根据推送认证的类型标识进行推送认证;
[0286] 第二动态口令推送认证单元,用于当第二推送认证单元中推送认证的类型 标识为第一数据时,进行动态口令推送认证;
[0287] 第二指纹推送认证单元,用于当第二推送认证单元中推送认证的类型标识 为第二数据时,进行指纹推送认证;
[0288] 第二人脸推送认证单元,用于当第二推送认证单元中推送认证的类型标识 为第三数据时,进行人脸推送认证;
[0289] 第二虹膜推送认证单元,用于当第二推送认证单元中推送认证的类型标识 为第四数据时,进行虹膜推送认证;
[0290] 第二声纹推送认证单元,用于当第二推送认证单元中推送认证的类型标识 为第五数据时,进行声纹推送认证;
[0291] 或者,当第二次认证模块708中第二次认证为推送认证时,第二次认证模 块708具体包括第三推送认证单元、第三动态口令推送认证单元、第三指纹推 送认证单元、第三人脸推送认证单元、第三虹膜推送认证单元和第三声纹推送 认证单元;
[0292] 第三推送认证单元,用于根据推送认证的类型标识进行推送认证;
[0293] 第三动态口令推送认证单元,用于当第三推送认证单元中推送认证的类型 标识为第一数据时,进行动态口令推送认证;
[0294] 第三指纹推送认证单元,用于当第三推送认证单元中推送认证的类型标识 为第二数据时,进行指纹推送认证;
[0295] 第三人脸推送认证单元,用于当第三推送认证单元中推送认证的类型标识 为第三数据时,进行人脸推送认证;
[0296] 第三虹膜推送认证单元,用于当第三推送认证单元中推送认证的类型标识 为第四数据时,进行虹膜推送认证;
[0297] 第三声纹推送认证单元,用于当第三推送认证单元中推送认证的类型标识 为第五数据时,进行声纹推送认证。
[0298] 第二次认证模块708,用于当第一认证判断模块707判断第一次认证认证成 功时,根据分割模块706分登录密码所得的第二登录密码进行第二次认证,生 成第二次认证结果;
[0299] 第一发送模块705,还用于返回第二次认证模块708生成的第二次认证结果 至客户端;
[0300] 第一发送模块705,还用于当第一认证判断模块707判断第一次认证未认证 成功时,返回认证失败结果至客户端。
[0301] 进一步地,本实施例中的装置,还包括提示模块和推送认证模块;
[0302] 第一认证判断模块707,具体用于根据登录密码进行第一次认证,判断第一 次认证是否认证成功;
[0303] 提示模块,用于当第一认证判断模块707判断第一次认证认证成功时,提 示用户输入推送认证密码;
[0304] 推送认证模块,用于根据提示模块提示用户输入的推送认证密码进行推送 认证,生成推送认证结果;
[0305] 第一发送模块705,还用于返回推送认证模块生成的推送认证结果至客户 端;
[0306] 第一发送模块705,还用于当第一认证判断模块707判断第一次认证未认证 成功时,返回认证失败结果至客户端;
[0307] 更进一步地,本实施例中,第一认证判断模块707中的第一次认证具体为 域认证或者动态口令认证。
[0308] 进一步地,本实施例中的装置,还包括第二判断模块;
[0309] 第二判断模块,用于判断登录密码是否为空;
[0310] 第一发送模块705,还用于当第二判断模块判断登录密码为空时,返回认证 失败结果至客户端;
[0311] 第一判断模块703,具体用于当第一解析模块702解虚拟专用网络登录请求 得到登录密码后触发第二判断模块,当第二判断模块判断登录密码不为空时, 根据第一预设条件判断是否需要二次认证。
[0312] 进一步地,本实施例中的装置,还包括第三判断模块和第一报错模块;
[0313] 第三判断模块,用于当第一认证判断模块707中的第一次认证为域认证、 第二次认证模块708中的第二次认证为动态口令认证且第一认证判断模块707 中的第一次认证成功时,判断第二登录密码是否符合第三预设长度;
[0314] 第二次认证模块708,还用于当第三判断模块判断第二登录密码符合第三预 设长度时,根据第二登录密码进行第二次认证;
[0315] 第一报错模块,用于当第三判断模块判断第二登录密码不符合第三预设长 度时,生成报错信息;
[0316] 第一发送模块705,还用于返回第一报错模块生成的报错信息至客户端。
[0317] 更进一步地,本实施例中,第三判断模块中第三预设长度为6或8个阿拉 伯数字。
[0318] 进一步地,本实施例中的装置,还包括第四判断模块、第五判断模块、动 态口令认证模块、动态口令推送认证模块和生物推送认证模块;
[0319] 第四判断模块,用于当第一接收模块701接收到虚拟专用网络登录请求后, 判断是否预先指定认证方式;
[0320] 第一判断模块703,还用于当第四判断模块判断未预先指定认证方式时,根 据第一预设条件判断是否需要第二次认证;
[0321] 第五判断模块,用于当第四判断模块判断预先指定认证方式时,判断指定 的认证方式类型;
[0322] 动态口令认证模块,用于当第五判断模块判断指定的认证方式类型为动态 口令认证时,进行动态口令认证,生成动态口令认证结果;
[0323] 第一发送模块705,还用于返回动态口令认证模块生成的动态口令认证结果 至客户端;
[0324] 动态口令推送认证模块,用于当第五判断模块判断指定的认证方式类型为 动态口令推送认证时,进行动态口令推送认证,生成动态口令推送认证结果;
[0325] 第一发送模块705,还用于返回动态口令推送认证模块生成的动态口令推送 认证结果至客户端;
[0326] 生物推送认证模块,用于当第五判断模块判断指定的认证方式类型为生物 推送认证时,进行生物推送认证,生成生物推送认证结果;
[0327] 第一发送模块705,还用于返回生物推送认证模块生成的生物推送认证结果 至客户端。
[0328] 更进一步地,本实施例中的装置组成的系统,还包括认证服务器和移动终 端;
[0329] 认证服务器包括第二解析模块、第一生成模块、第二接收模块、第二发送 模块、第四解析模块、第一获取模块和第四生成模块;
[0330] 移动终端包括第三发送模块、第三接收模块、第三解析模块、第三生成模 块、第六判断模块和第二报错模块;
[0331] 动态口令推送认证模块包括第一生成单元和第二判断单元;
[0332] 第一生成单元,用于根据与指定的推送认证类型相对应的目标推送认证标 识、用户信息和预置的应用标识生成第一推送认证请求;
[0333] 第一发送模块705,还用于发送第一生成单元生成的第一推送认证请求至认 证服务器;
[0334] 第二接收模块,用于接收第一发送模块705发送的第一推送认证请求;
[0335] 第二解析模块,用于解析第二接收模块接收的第一推送认证请求得到目标 推送认证标识;
[0336] 第一生成模块,用于根据第二解析模块解析第一推送认证请求得到的目标 推送认证标识、用户信息、根据用户信息获取的令牌信息和根据应用标识获取 的应用名称生成第二推送认证请求;
[0337] 第二发送模块,用于发送第一生成模块生成的第二推送认证请求至移动终 端;
[0338] 第三接收模块,用于接收第二发送模块发送的第二推送认证请求;
[0339] 第三解析模块,用于解析第三接收模块接收的第二推送认证请求得到目标 推送认证标识、用户信息、令牌信息和应用名称;
[0340] 第二生成模块,用于根据第三解析模块解析第二推送认证请求所得的目标 推送认证标识、用户信息、令牌信息和应用名称生成登录信息并显示;
[0341] 第三接收模块,还用于接收用户确认登录的信息;
[0342] 第六判断模块,用于当第三接收模块接收到用户确认登录的信息时,判断 是否接收到用户输入的与目标推送认证标识相对应的种子信息;
[0343] 第二报错模块,用于当第六判断模块判断未接收到用户输入的与目标推送 认证标识相对应的种子信息时,报错;
[0344] 第三生成模块,用于当第六判断模块判断接收到用户输入的与目标推送认 证标识相对应的种子信息时,根据种子信息和第一认证时间生成第一动态口令, 根据第一动态口令生成第一应答值,根据目标推送认证标识和第一应答值生成 授权结果;
[0345] 第三发送模块,用于发送第三生成模块生成的授权结果至认证服务器;
[0346] 第二接收模块,还用于接收第三发送模块发送的授权结果;
[0347] 第四解析模块,用于解析第二接收模块接收的授权结果得到目标推送认证 标识;
[0348] 第一获取模块,用于根据第四解析模块解析授权结果得到的目标推送认证 标识获取与目标推送认证标识相对应的种子信息;
[0349] 第四生成模块,用于根据第一获取模块获取的种子信息和第二认证时间生 成第二动态口令,根据第二动态口令生成第二应答值,判断第一应答值和第二 应答值是否匹配,生成第一判断结果;
[0350] 第二发送模块,还用于发送第四生成模块生成的第一判断结果至本实施例 中的装置;
[0351] 第一接收模块701,还用于接收第二发送模块发送的第一判断结果;
[0352] 第二判断单元,用于根据第一接收模块701接收的第一判断结果判断推送 认证是否认证成功;
[0353] 第一发送模块705,还用于当第二判断单元根据第一接收模块701接收的第 一判断结果判断推送认证认证成功时,向客户端返回推送认证成功信息;还用 于当第二判断单元根据第一接收模块701接收的第一判断结果判断推送认证未 认证成功时,向客户端返回推送认证失败信息。
[0354] 更进一步地,本实施例中,生物推送认证具体包括指纹推送认证、人脸推 送认证、虹膜推送认证和声纹推送认证。
[0355] 更进一步地,本实施例中的装置组成的系统,还包括认证服务器和移动终 端;
[0356] 认证服务器包括第五解析模块、第五生成模块、第二接收模块、第二发送 模块、第七解析模块、第二获取模块和第八生成模块;
[0357] 移动终端包括第三发送模块、第三接收模块、第六解析模块、第六生成模 块、第七判断模块、第七生成模块和第三报错模块;
[0358] 生物推送认证模块包括第二生成单元和第三判断单元;
[0359] 第二生成单元,用于根据与指定的生物推送认证类型相对应的目标推送认 证标识、用户信息和预置的应用标识生成第三推送认证请求;
[0360] 第一发送模块705,还用于发送第二生成单元生成的第三推送认证请求至认 证服务器;
[0361] 第二接收模块,用于接收第三推送认证请求;
[0362] 第五解析模块,用于解析第二接收模块接收的第三推送认证请求得到目标 推送认证标识、用户信息和应用标识;
[0363] 第五生成模块,用于根据第五解析模块解析第三推送认证请求所得的目标 推送认证标识、用户信息、根据用户信息获取的令牌信息和根据应用标识获取 的与应用标识相对应的应用名称生成第四推送认证请求;
[0364] 第二发送模块,用于发送第五生成模块生成的第四推送认证请求推送至移 动终端;
[0365] 第三接收模块,用于接收第二发送模块发送的第四推送认证请求;
[0366] 第六解析模块,用于解析第三接收模块接收的第四推送认证请求得到目标 推送认证标识、用户信息、令牌信息和应用名称;
[0367] 第六生成模块,用于根据第六解析模块解析第四推送认证请求所得的目标 推送认证标识、用户信息、令牌信息和应用名称生成登录信息并显示;
[0368] 第三接收模块,还用于接收用户确认登录的信息;
[0369] 第七判断模块,用于当第三接收模块接收到用户确认登录的信息时,判断 是否接收到用户输入的与目标推送认证标识相对应的应答数据信息;
[0370] 第三报错模块,用于当第七判断模块判断未接收到用户输入的与目标推送 认证标识相对应的应答数据信息时,报错;
[0371] 第七生成模块,用于当第七判断模块判断接收到用户输入的与目标推送认 证标识相对应的应答数据信息时,根据应答数据信息生成第三应答值,根据目 标推送认证标识和生成的第三应答值生成授权结果;
[0372] 第三发送模块,用于发送第七生成模块生成的授权结果至认证服务器;
[0373] 第二接收模块,还用于接收第三发送模块发送的授权结果;
[0374] 第七解析模块,用于解析第二接收模块接收的授权结果得到目标推送认证 标识和第三应答值;
[0375] 第二获取模块,用于根据第七解析模块解析所得的目标认证标识获取与目 标推送认证标识相对应的用户注册数据;
[0376] 第八生成模块,用于根据第二获取模块获取的用户注册数据生成第四应答 值,判断第三应答值和第四应答值是否匹配,生成第二判断结果;
[0377] 第二发送模块,还用于发送第八生成模块生成的第二判断结果至本实施例 中的装置;
[0378] 第一接收模块701,还用于接收第三发送模块发送的第二判断结果;
[0379] 第三判断单元,用于根据第一接收模块701接收的第二判断结果判断推送 认证是否认证成功;
[0380] 第一发送模块705,还用于当第三判断单元根据第一接收模块701接收的第 二判断结果判断推送认证认证成功时,向客户端返回推送认证成功信息;还用 于当第三判断单元根据第一接收模块701接收的第二判断结果判断推送认证未 认证成功时,向客户端返回推送认证失败信息。
[0381] 本发明与现有技术相比,具有以下优点:本发明提供一种登录虚拟专用网 络服务器的多方式认证的方法及装置,增加了多种登录虚拟专用网络代理的认 证方式,满足了用户对虚拟专用网络登录认证的安全性及多样性的要求,提高 了用户体验。
[0382] 以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局 限于此,任何熟悉
本技术领域的技术人员在本发明公开的技术范围内,可轻易 想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护 范围应该以
权利要求的保护范围为准。
