[发明专利]安全认证方法及相关设备

说明书

本申请涉及通信技术领域，公开了一种安全认证方法及相关设备，该安全认证方法包括：当第一客户端从认证服务器接收到登录指令时，将第一浏览器指纹与用户名和密码一同发送到认证服务器，进而，从认证服务器接收令牌。当第二客户端携带该令牌与第二浏览器指纹请求认证服务器认证时，认证服务器通过检测第二浏览器指纹与第一浏览器指纹是否相同，确定令牌是否从第一客户端被泄露。由于浏览器指纹包含的信息更多，可见本申请的认证方式可靠性更高，从而能够避免令牌泄露带来的风险。

技术领域

本申请涉及通信技术领域，尤其涉及一种安全认证方法及相关设备。

背景技术

单点登录(single sign-on，SSO)是指在多个相互信任的应用中，用户只需要登录一次就可以访问所有应用。

例如，一个支持单点登录的网站包括网上营业厅、网上商城、积分商城、Portal等web应用，相应的，如图1所示，单点登录系统的示例性网络架构包括客户端，支撑上述各个应用的服务器，以及用于登录和令牌认证的SSO服务器。结合图1，一种单点登录的实施过程包括：用户访问网上营业厅时，客户端向网上营业厅服务器发送访问请求，网上营业厅服务器确定用户未登录时触发客户端在SSO服务器登录；客户端向SSO服务器发送携带用户名和密码的登录请求，SSO服务器根据用户名和密码确定用户成功登录后为用户生成令牌，将令牌发送给客户端；之后，客户端向网上营业厅服务器发送携带令牌的访问请求，网上营业厅服务器将令牌发送至SSO服务器进行认证，如果认证结果为认证成功，SSO服务器向网上营业厅服务器反馈用户信息，网上营业厅服务器允许用户访问网上营业厅；进一步的，用户访问网上商城时，客户端向网上商城服务器发送携带令牌的访问请求，网上商城服务器将令牌发送至SSO服务器进行认证，如果认证结果为认证成功，SSO服务器向网上商城服务器反馈用户信息，网上商城服务器允许用户访问网上商城。用户访问该网站其他应用时的实施过程，与用户访问网上商城时的实施过程相似，此处不再详述。

基于此，若令牌被攻击者得到，攻击者也可以登录任一相应应用，从而会造成用户信息泄露，带来安全风险。可见，如何规避因令牌泄露产生的安全风险，是本领域亟待解决的问题。

发明内容

本申请提供了一种安全认证方法及相关设备，能够解决因令牌泄露产生安全风险的问题。

第一方面，本申请提供了一种安全认证方法，包括：认证服务器从第一客户端接收登录请求，所述登录请求包括用户名、密码以及第一浏览器指纹；在确定所述用户名和密码认证通过后，所述认证服务器向所述第一客户端发送登录成功响应，所述登录成功响应中包含令牌；所述认证服务器从第二客户端接收认证请求，所述认证请求中包含所述令牌和第二浏览器指纹；所述认证服务器检测所述第一浏览器指纹与所述第二浏览器指纹是否相同；若所述第一浏览器指纹与所述第二浏览器指纹相同，所述认证服务器向所述第二客户端发送认证成功响应。

本申请中，当用户使用第一客户端向认证服务器执行登录的过程中，第一客户端可以将第一浏览器指纹发送到认证服务器。进而，当第二客户端向认证服务器发送包含第二浏览器指纹认证请求之后，认证服务器通过检测第二浏览器指纹和第一浏览器指纹是否相同，确定发送认证请求的是否是第一客户端发送登录请求的浏览器，进而，确定令牌是否被泄露。其中，浏览器指纹包含客户端以及浏览器的多项信息，并且能够唯一标识浏览器。所以，采用本实现方式，对浏览器认证的准确性更高，从而能够提高安全性，进而能够避免令牌泄露带来的风险。

在一种可能的设计中，所述认证服务器从第一客户端接收登录请求之后，在向所述第一客户端发送登录成功响应之前，还包括：所述认证服务器将所述第一浏览器指纹作为所述令牌的部分数据，生成并存储所述令牌。一些实施例中，认证服务器将第一浏览器指纹作为生成令牌的部分数据，使得第一浏览器指纹不会被泄露或者篡改，从而能够认证的可靠性。