[发明专利]用户认证的方法和装置

说明书

本发明总体上涉及用户认证的方法和装置。根据本发明的实施例，可以将认证有关的信息编码在二维码之类的图像中。通过在用户的一个或多个设备与认证服务器之间传送和解码这些图像信息以及其他认证信息，认证服务器可以对用户所使用的设备以及用户本人进行有效的认证，同时避免现有技术中由于口令泄漏而导致的认证失效风险。本发明的实施例可以与现有的静态口令和/或动态口令认证结合使用，具有良好的兼容性。

技术领域

本发明的实施例总体上涉及网络安全，更具体地，涉及用于一种用户认证的方法和装置。

背景技术

随着网络技术不断发展，在很多应用和场景中需要对用户进行认证，即，核实用户的身份对于特定服务、数据和/或网络域而言是否是合法的。作为一个示例，虚拟专用网络(Virtual Private Network，VPN)是一种常用的网络技术，其允许用户通过公共网络(例如，因特网)远程接入和使用组织或者机构的内部专用网络。为了防止非法用户侵入内部专用网络，在建立VPN连接之前需要对用户进行身份认证。

在现有技术中，常见的身份认证方式大致可以分为以下两类。第一类身份认证基于用户名和静态口令。与用户相关联的口令被存储在认证服务器，用户只有输入有效的用户名以及与之匹配的口令才能通过身份认证。但是，用户名和口令可能丢失或者被恶意第三方利用病毒程序、木马程序等手段窃取。在这种情况下，用户认证将丧失有效性。

另一类已知的身份认证方案基于动态口令。在认证过程中，用户需要输入用户名以及随时间而动态改变的口令，即动态口令。动态口令例如由认证服务器生成，并且以预定的时间间隔发送给用户的设备。或者，认证服务器和用户设备可以同步地生成这种动态口令，双方生成的口令在给定时段内对于给定的用户而言是相同的。用户设备通常是便携式设备，例如由认证服务的提供分发给用户。而且，动态口令也可以与传统的静态口令配合使用。目前这种动态口令在VPN、金融、银行服务等很多领域得到了广泛使用。

但是，在基于动态口令的用户认证中，用户必须随身携带专用的便携式设备，否则便无法完成认证，这显然给用户带来了不便。在改进的动态口令方案中，可以在用户的移动电话或者PDA上安装专用程序用于接收动态口令，而不必携带专用的便携式设备。然而，用户仍然需要在认证时输入动态口令，该操作本身是易错的，特别是在移动环境中。除此之外，与用户名和静态口令一样，动态口令仍然存在着被恶意第三方非法获得的风险。

发明内容

鉴于本领域中存在的上述以及其他问题和缺陷，本发明提出一种更为有效的用户认证方案。

在本发明的第一方面，提供一种用户认证方法。该方法包括：从与用户相关联的设备读取图像，所述图像在认证服务器处响应于从所述设备接收到的认证请求而被生成并且被发送给所述设备；从所述图像中解码所述设备的特性信息以及在所述认证服务器处生成的第一认证信息；获取与所述用户相关联的第二认证信息；以及向所述认证服务器发送所述第一认证信息以及所述第二认证信息以用于对所述用户的认证。

在本发明的第二方面，提供一种用户认证方法。该方法包括：在认证服务器处从与用户相关联的设备接收认证请求，所述认证请求至少包括所述设备的特性信息；响应于所述认证请求而生成将被用于对所述用户进行认证的第一认证信息；将所述特性信息和所述第一认证信息编码到图像中以便发送给所述设备；以及接收从所述图像解码出的所述第一认证信息以及与用户相关联的第二认证信息以用于所述认证。

在本发明的第三方面，提供一种用户认证装置。该装置包括：读取单元，被配置为从与用户相关联的设备读取图像，所述图像在认证服务器处响应于从所述设备接收到的认证请求而被生成并且被发送给所述设备；解码单元，被配置为从所述图像中解码所述设备的特性信息以及在所述认证服务器处生成的第一认证信息；获取单元，被配置为获取与所述用户相关联的第二认证信息；以及发送单元，被配置为向所述认证服务器发送所述第一认证信息以及所述第二认证信息以用于对所述用户的认证。