[发明专利]认证方法及装置

说明书

本公开是关于认证方法及装置。该方法包括：拦截商业应用服务器发送至账号认证服务器的第一认证请求；其中，所述第一认证请求包括账号和认证信息；从第三方服务器获取与所述账号对应的目标认证信息；根据所述认证信息与所述目标认证信息，对所述第一认证请求进行响应。该技术方案能够实现基于第三方的账号认证，降低密码泄露的风险。

技术领域

本公开涉及信息安全技术领域，尤其涉及认证方法及装置。

背景技术

单点登录(SSO，Single Sign On)是指在多个应用系统并存的环境下，用户只需要登录一次就可以访问所有相互信任的应用系统。SSO涉及的领域大致上可以分为三种：社会性网站间的SSO、部门SSO、企业级SSO，其中：社会性网站间的SSO主要涉及帐号信息开放性问题，能否实施成功主要取决于各网站帐号管理是否遵循相同的标准协议；部门级SSO比较简单，适用于涉及的系统不多的场景，由技术人员通过编程方式实现即可；企业级SSO涉及的系统较多，包括客户端/服务器(C/S)结构系统、企业管理软件系统、或者非web登录方式(如windows域登录)，企业级SSO的安全性要求高于社会性网站间的SSO及部门SSO，如要求同享登录有效时间等。企业级SSO是企业常用的业务整合解决方案之一。

微软的系列商业产品因为易于搭建、功能完备，广泛应用于企业内部邮件服务器；用户希望在企业级SSO中也支持微软的展望网页应用(OWA，Outlook Web App)。但是因为微软商业产品的封闭性，导致基于微软的OWA邮件服务器，客户端软件Outlook难以与单点登录服务、二阶段认证服务进行集成，Outlook难以接入SSO服务；这就存在如下问题：a)用户每次登录系统都需要输入账号和密码，用户体验差；b)邮件服务暴露在外网环境中，黑客在了解系统登录协议的情况下，会使用暴力破解的方式对公司内部账号进行弱密码扫描，导致内网安全漏洞。微软虽然也推出了微软商用单点登录方案，但是微软商用单点登录方案支持的协议有限，无法满足复杂的企业内部信息化需求，如微软商用单点登录方案可能不支持用户需要的二阶段认证。

为了在企业级SSO中也支持微软的OWA，将Outlook接入SSO服务，使得在用户访问OWA邮件服务器时支持基于二阶段认证的认证方式，相关技术通常采用集中式认证服务(CAS，Central Authentication Service)的访问管理(ClearPass)技术，具体包括：在单点登录服务器上保存用户账号与密码的对应关系，当用户访问OWA邮件服务器时，不要求用户重复输入密码，直接通过单点登录已保存的密码，自动登录OWA邮件服务器。

发明内容

为克服相关技术中存在的问题，本公开实施例提供一种认证方法及装置。

所述技术方案如下：

根据本公开实施例的第一方面，提供一种认证方法，应用于代理服务器，方法包括：

拦截商业应用服务器发送至账号认证服务器的第一认证请求；其中，所述第一认证请求包括账号和认证信息；

从第三方服务器获取与所述账号对应的目标认证信息；

根据所述认证信息与所述目标认证信息，对所述第一认证请求进行响应。

本公开的实施例提供的技术方案可以包括以下有益效果：该技术方案中商业应用服务器发起认证请求时可以不用携带账户密码而是携带与账号对应的认证信息，基于代理服务器拦截商业应用服务器发送至账号认证服务器的认证请求，实现基于第三方的账号认证，账号认证过程可以不携带密码原文，能够防止暴力破解，降低密码泄露的安全风险，如此，能够提高用户体验。

在一个实施例中，所述根据所述认证信息与所述目标认证信息，对所述第一认证请求进行响应，包括：

在所述认证信息与所述目标认证信息匹配时，向所述商业应用服务器发送认证成功响应；或者，