本申请涉及物联网技术领域,具体涉及一种认证方法及装置。
背景技术:
随着物联网技术的发展,物联网安全问题也日益受到重视。保障物联网安全的一个重要环节是在终端访问物联网服务器时,服务器对终端的合法性进行认证,以避免非法终端接入物联网。由于终端与物联网服务器的通信无人工参与,因此,其认证方法有别于互联网领域的认证方法。目前,物联网领域主要采用预置密码或者预置数字证书的方式来进行认证。即,在终端出厂之前或者安装终端之前,在终端中预置认证密码或者数字证书,并在物联网服务器上保存同样的密码或者同根证书。在终端与物联网服务器通信之前,两者通过预置的密码或数字证书来完成单向认证或者双向认证。但是,在终端中预置密码或者数字证书,对终端生产环境的安全性提出更高要求,同时,在物联网服务器保存密码和数字证书,对服务器的安全性也提出更高要求。要满足上述要求,势必导致终端的生产成本和使用成本大幅提高。
因此,如何以较低成本实现对物联网终端的安全认证,成为本领域亟待解决的问题。
技术实现要素:
为此,本申请提供一种认证方法及装置,以解决采用预置密码或数据证书的认证方法导致终端的生产成本和使用成本较高的问题。
为了实现上述目的,本申请第一方面提供一种认证方法,该认证方法包括:
响应于认证服务节点发送的认证请求,与终端建立网络连接;
接收终端发送的认证标识,并根据认证标识和预存认证信息获取第一网络地址;
根据网络连接的源网络地址信息,获得第二网络地址;
根据第一网络地址和第二网络地址对终端进行认证,获得认证结果;
将认证结果发送至认证服务节点,以供认证服务节点根据认证结果确定是否允许终端的访问操作。
进一步地,预存认证信息为认证代理节点基于认证请求预先存储的信息。
进一步地,认证请求包括终端的用户识别卡的标识、第一网络地址和认证标识;其中,第一网络地址为终端的网络地址,认证标识为认证服务节点针对本次认证操作生成的标识。
进一步地,认证标识包括时间戳标识、随机数标识、计数器标识中的一种或多种。
进一步地,响应于认证服务节点发送的认证请求,与终端建立网络连接,包括:
根据用户识别卡的标识,获取用户识别卡的国际移动台综合业务数字网码;
根据用户识别卡的国际移动台综合业务数字网码,向终端发送认证连接信息,以供终端根据认证连接信息与认证代理节点建立网络连接;其中,认证连接信息包括卡认证应用的标识、认证代理节点的网络地址和认证标识,卡认证应用为具有解析认证连接信息以获取认证代理节点的网络地址和认证标识的功能的应用程序。
进一步地,根据用户识别卡的标识,获取用户识别卡的国际移动台综合业务数字网码,包括:
根据用户识别卡的标识,确定用户识别卡的归属运营商;
通过归属运营商获取用户识别卡的国际移动台综合业务数字网码。
进一步地,根据用户识别卡的国际移动台综合业务数字网码,向终端发送认证连接信息,包括:
将认证连接信息发送至短信网关,以供短信网关根据用户识别卡的国际移动台综合业务数字网码,将认证连接信息发送至终端。
进一步地,根据第一网络地址和第二网络地址对终端进行认证,获得认证结果,包括:
比较第一网络地址和第二网络地址;
在第一网络地址与第二网络地址一致的情况下,获得终端通过认证的认证结果;
在第一网络地址与第二网络地址不一致的情况下,获得终端未通过认证的认证结果。
为了实现上述目的,本申请第二方面提供一种认证装置,该认证装置包括:
连接模块,用于响应于认证服务节点发送的认证请求,与终端建立网络连接;
接收模块,用于接收终端发送的认证标识;
第一获取模块,用于根据认证标识和预存认证信息获取第一网络地址;
第二获取模块,用于根据网络连接的源网络地址信息,获得第二网络地址;
认证模块,用于根据第一网络地址和第二网络地址对终端进行认证,获得认证结果;
发送模块,用于将认证结果发送至认证服务节点,以供认证服务节点根据认证结果确定是否允许终端的访问操作。
进一步地,认证模块,包括:
比较单元,用于比较第一网络地址和第二网络地址;
获取单元,用于在第一网络地址与第二网络地址一致的情况下,获得终端通过认证的认证结果,在第一网络地址与第二网络地址不一致的情况下,获得终端未通过认证的认证结果。
本申请具有如下优点:
本申请提供的认证方法,响应于认证服务节点发送的认证请求,与终端建立网络连接;接收终端发送的认证标识,并根据认证标识和预存认证信息获取第一网络地址;根据网络连接的源网络地址信息,获得第二网络地址;根据第一网络地址和第二网络地址对终端进行认证,获得认证结果;将认证结果发送至认证服务节点,以供认证服务节点根据认证结果确定是否允许终端的访问操作,可以避免在终端预置密码或认证证书,从而以较低成本实现对终端的安全认证。
附图说明
附图是用来提供对本申请的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本申请,但并不构成对本申请的限制。
图1为本申请实施例提供的一种认证系统的组成方框图;
图2为本申请实施例提供的一种认证方法的流程图;
图3为本申请实施例提供的另一种认证方法的流程图;
图4为本申请实施例提供的一种认证系统的工作流程图;
图5为本申请实施例提供的一种认证装置的原理框图。
具体实施方式
以下结合附图对本申请的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本申请,并不用于限制本申请。
物联网(internetofthings,简称iot)即“万物相连的互联网”,是在互联网基础上进行延伸和扩展的网络,物联网将各种信息传感设备与互联网结合起来形成的一个巨大网络,从而实现在任何时间、任何地点,人、机、物的互联互通。目前,物联网技术已经广泛应用于能源、交通、家居和医疗等行业。随着物联网技术发展,物联网安全受到广泛关注。
当前的物联网安全保障机制中,主要通过对待接入物联网服务器的终端进行身份认证,以确保只有安全合法的终端能访问物联网服务器。与互联网领域不同,物联网领域中终端与物联网服务器之间的通信无人工参与,其对应的认证方法也与互联网领域的认证方法不同。现有技术中,一般通过在终端和物联网服务器预置密码或数字证书的方式实现单向认证或双向认证。但是,在终端中预置密码或者数字证书,对终端生产环境的安全性提出更高要求,同时,在物联网服务器保存密码和数字证书,对服务器的安全性也提出更高要求。要满足上述要求,势必导致终端的生产成本和使用成本大幅提高。
有鉴于此,本申请提出一种认证方法及装置,认证代理节点通过两种相对独立的方式获取待认证终端的网络地址,比较这两个网络地址是否一致,并根据比较结果确定终端是否通过认证,可以避免在终端和服务器预置密码和数字证书,从而可以以较低成本实现对终端的安全认证。
图1是本申请实施例提供的一种认证系统的组成方框图。如图1所示,该认证系统包括:认证服务器11、认证代理12和终端13。
其中,认证服务器11为物联网中具有身份认证功能的服务器,其分别与认证代理12和终端13通信连接。在一些具体实现中,认证服务器11与认证代理12共同对终端13进行身份认证。认证代理12是实现代理性质身份认证的功能实体,其分别与认证服务器11和终端13通信连接(认证代理12在接收到认证请求之后才与终端13建立通信连接)。终端13为待接入物联网的终端设备,其通过认证服务器11和认证代理12进行身份认证。
在一个具体实现中,终端13需要访问物联网时,认证服务器11向认证代理12发送认证请求,认证代理12接收认证请求之后,与终端13建立网络连接,并分别根据预存认证信息以及认证代理12与终端13的网络连接获取终端对应的两个网络地址,通过比较两个网络地址是否一致获得对终端的认证结果,并将认证结果发送至认证服务器11。认证服务器11接收认证结果,并根据认证结果确定是否允许终端13访问物联网。
本申请的第一方面提供一种认证方法。图2是本申请实施例提供的一种认证方法的流程图,该认证方法可以应用于认证代理节点。如图2所示,该认证方法包括如下步骤:
步骤s201,响应于认证服务节点发送的认证请求,与终端建立网络连接。
其中,认证服务节点是对认证服务器的抽象描述,认证代理节点是对认证代理的抽象描述。可以理解的是,认证请求中应包括用于识别终端的标识信息,以供认证代理节点根据认证请求可以唯一确定终端,并与终端建立网络连接。
在一些实施例中,认证请求包括终端的用户识别卡(subscriberidentitymodule,sim)的标识、第一网络地址和认证标识。其中,第一网络地址为终端的网络地址,认证标识为认证服务节点针对本次认证操作生成的标识。在一些具体实现中,认证标识包括时间戳标识和/或随机数标识和/或计数器标识。
需要说明的是,认证标识为针对某一次特定认证操作设置的标识,使得认证标识的使用范围和使用权限得以限制。一旦认证标识超出使用范围或使用权限,认证标识即成为无效标识,从而可以在一定程度上保障认证过程的安全性以及认证结果的准确性。
在第一个实施方式中,当终端存在接入物联网的需求时,终端启动认证操作。具体地,终端安装的物联网应用客户端读取sim卡的标识iccid(integratecircuitcardidentity,集成电路卡识别码),同时读取终端在接入移动通信网络时分配的ip地址,其中,该ip地址即第一网络地址。终端将iccid和第一网络地址发送至认证服务节点。认证服务节点接收终端发送的iccid和第一网络地址,针对本次认证过程生成对应的认证标识,并基于iccid、第一网络地址和认证标识生成认证请求,然后将认证请求发送至认证代理节点。认证代理节点接收认证请求,并与终端建立网络连接。
在第二个实施方式中,认证服务节点预存终端的硬件标识与iccid的映射关系。当终端存在接入物联网的需求时,终端将硬件标识和第一网络地址发送至认证服务节点。认证服务节点接收终端发送的硬件标识和第一网络地址,依据硬件标识和预存的硬件标识与iccid的映射关系,获得终端对应的iccid,针对本次认证过程生成对应的认证标识,并基于iccid、第一网络地址和认证标识生成认证请求,然后将认证请求发送至认证代理节点。认证代理节点接收认证请求,并与终端建立网络连接。
其中,认证代理节点与终端建立网络连接可以通过短信网关实现。
在一个实施方式中,认证代理节点根据sim卡的标识iccid,获取sim卡的msisdn(mobilesubscriberinternationalisdn/pstnnumber,国际移动台综合业务数字网码)。在一个具体实现中,认证代理节点根据iccid,确定sim卡的归属运营商,并通过归属运营商的bss系统(businesssupportsystem,业务支撑系统)获取sim卡的msisdn。
获取sim卡的msisdn之后,认证代理节点基于卡认证应用的标识、认证代理节点的网络地址和认证标识生成认证连接信息,并将认证连接信息发送至短信网关,短信网关接收认证连接信息之后,根据sim卡的msisdn将认证连接信息转发至终端。其中,卡认证应用为具有解析认证连接信息以获取认证代理节点的网络地址和认证标识的功能的应用程序。
终端接收认证连接信息,根据认证连接信息中的卡认证应用的标识确定对应的卡认证应用,通过该卡认证应用解析认证连接信息,获得认证代理节点的网络地址和认证标识,并基于认证代理节点的网络地址与认证代理节点建立网络连接。
需要说明的是,以上对于认证连接信息的发送方式仅是举例说明,可根据实际情况进行具体设定,其他未说明的是认证连接信息的发送方式也在本申请的保护范围之内,在此不再赘述。
步骤s202,接收终端发送的认证标识,并根据认证标识和预存认证信息获取第一网络地址。
其中,预存认证信息是认证代理节点接收认证请求后,根据认证请求预先存储的信息。在一些具体实现中,认证请求包括终端的sim卡的标识、第一网络地址和认证标识。认证代理节点接收认证请求之后,保存认证请求中的认证标识与第一网络地址,以在对终端进行认证时,可以根据认证标识确定与之对应的终端的网络地址(即第一网络地址)。
在一个实施方式中,认证代理节点接收终端发送的认证标识,基于认证标识,并根据预存认证信息中认证标识与第一网络地址的映射关系,确定第一网络地址。
步骤s203,根据网络连接的源网络地址信息,获得第二网络地址。
其中,源网络地址信息包括但不限于源ip(internetprotocol,互联网协议)地址。该源ip地址即为与认证代理节点建立网络连接的终端的当前实际网络地址,也即第二网络地址。在一些具体实现中,源网络地址信息为四元组形式,包括源ip地址、源端口、目的ip地址和目的端口。其中,源ip地址为终端对应的网络地址,源端口为终端对应的网络端口,目的ip地址为认证代理节点对应的网络地址,目的端口为认证代理节点对应的网络端口。
具体地,认证代理节点获取第一网络地址之后,为保障当前与其建立网络连接的终端是第一网络地址对应的终端,认证代理节点获取当前网络连接的源网络地址信息,并根据源网络地址信息获取第二网络地址,以比较第一网络地址与第二网络地址是否相同,并根据比较结果确定两个网络地址对应的终端是否为同一终端。
在一个实施方式中,认证代理节点通过采集工具获取当前网络连接的四元组信息,四元组信息包括源ip地址、源端口、目的ip地址和目的端口。其中,源ip地址即为第二网络地址。
需要说明的是,以上对于第二网络地址的获取方式仅是举例说明,可根据实际情况进行具体设定,其他未说明的是第二网络地址的获取方式也在本申请的保护范围之内,在此不再赘述。
步骤s204,根据第一网络地址和第二网络地址对终端进行认证,获得认证结果。
第一网络地址为认证代理节点根据预存信息获取的终端的网络地址,第二网络地址为认证代理节点根据当前网络连接获取的终端的网络地址,当两个网络地址相同时,可以证明终端的身份为真实的身份,即终端通过了认证代理节点的身份认证。
在一个实施方式中,认证代理节点比较第一网络地址和第二网络地址是否一致。在第一网络地址与第二网络地址一致的情况下,认证代理节点确定终端的身份为真实可信的身份,并获得终端通过认证的认证结果;在第一网络地址与第二网络地址不一致的情况下,认证代理节点确定终端的身份不是真实可信的身份,并获得终端未通过认证的认证结果。
步骤s205,将认证结果发送至认证服务节点,以供认证服务节点根据认证结果确定是否允许终端的访问操作。
认证服务节点需根据认证代理节点的认证结果确定是否允许终端的访问操作。
在一个实施方式中,认证代理节点将认证结果发送至认证服务节点。认证服务节点接收认证结果。当认证结果为终端通过认证时,认证服务节点允许终端进行访问操作;当认证结果为终端未通过认证时,认证服务节点禁止终端的访问操作。
图3是本申请实施例提供的另一种认证方法的流程图,该认证方法可以应用于认证代理节点。如图3所示,该认证方法包括如下步骤:
步骤s301,响应于认证服务节点发送的认证请求,根据认证请求中用户识别卡的标识,确定用户识别卡的归属运营商。
在一些具体实现中,认证请求包括终端的sim标识、第一网络地址和认证标识。其中,第一网络地址为终端的网络地址,认证标识为认证服务节点针对本次认证操作生成的标识。
认证代理节点接收并响应认证服务节点发送的认证请求,根据认证请求中的sim卡标识,确定sim卡的归属运营商。
步骤s302,通过归属运营商获取用户识别卡的国际移动台综合业务数字网码。
其中,国际移动台综合业务数字网码可以唯一标识移动台号码,即通过国际移动台综合业务数字网码可以将信息发送至指定终端或指定用户。
在一个实施方式中,认证代理节点通过归属运营商的bss系统获取sim卡的msisdn。
步骤s303,将认证连接信息发送至短信网关,以供短信网关根据用户识别卡的国际移动台综合业务数字网码将认证连接信息发送至终端。
在一个实施方式中,认证代理节点基于卡认证应用的标识、认证代理节点的网络地址和认证标识生成认证连接信息,并将认证连接信息发送至短信网关,短信网关接收认证连接信息之后,根据sim卡的msisdn将认证连接信息转发至终端。其中,卡认证应用为具有解析认证连接信息以获取认证代理节点的网络地址和认证标识的功能的应用程序。
终端接收认证连接信息,根据认证连接信息中的卡认证应用的标识确定对应的卡认证应用,通过该卡认证应用解析认证连接信息,从而获得认证代理节点的网络地址和认证标识,并基于认证代理节点的网络地址与认证代理节点建立网络连接。
步骤s304,接收终端发送的认证标识,并根据认证标识和预存认证信息获取第一网络地址。
步骤s305,根据网络连接的源网络地址信息,获得第二网络地址。
步骤s306,根据第一网络地址和第二网络地址对终端进行认证,获得认证结果。
步骤s307,将认证结果发送至认证服务节点,以供认证服务节点根据认证结果确定是否允许终端的访问操作。
本实施例中的步骤s304~步骤s307与本申请上一实施例中步骤s202~步骤s205的内容相同,在此不再赘述。
本申请实施例提供的认证方法,通过预存认证信息和当前网络连接信息两种相对独立的信息获取渠道获取终端对应的网络地址,并比较通过两个信息获取渠道获取的网络地址是否相同来判断终端是否通过认证,无需在终端和服务器预置密码和数字证书,从而可以以较低成本实现对终端的安全认证。
图4是本申请实施例提供的一种认证系统的工作流程图。如图4所示,该认证系统包括终端41、认证服务节点42和认证代理节点43。
该认证系统的工作流程包括如下步骤:
步骤s401,终端41向认证服务节点42发送用户识别卡的标识和第一网络地址。
步骤s402,认证服务节点42接收终端41发送的用户识别卡的标识和第一网络地址,针对本次认证操作生成对应的认证标识,并基于用户识别卡的标识、第一网络地址和认证标识生成认证请求。
步骤s403,认证服务节点42将认证请求发送至认证代理节点43。
步骤s404,认证代理节点43接收并响应认证请求,根据认证请求中用户识别卡的标识,确定用户识别卡的归属运营商,并通过归属运营商获取用户识别卡的国际移动台综合业务数字网码。
步骤s405,认证代理节点43根据用户识别卡的国际移动台综合业务数字网码将认证连接信息发送至终端41。
步骤s406,终端41接收认证连接信息,解析认证连接信息获得认证代理节点的网络地址,根据认证代理节点的网络地址与认证代理节点43建立网络连接。
步骤s407,终端41向认证代理节点43发送认证标识。
步骤s408,认证代理节点43接收终端41发送的认证标识,并根据认证标识和预存认证信息获取第一网络地址。
步骤s409,认证代理节点43根据网络连接的源网络地址信息,获得第二网络地址。
步骤s410,认证代理节点43根据第一网络地址和第二网络地址对终端41进行认证,获得认证结果。
步骤s411,认证代理节点43将认证结果发送至认证服务节点42。
步骤s412,认证服务节点42接收认证代理节点43发送的认证结果,并根据认证结果确定是否允许终端41的访问操作。
上面各种方法的步骤划分,只是为了描述清楚,实现时可以合并为一个步骤或者对某些步骤进行拆分,分解为多个步骤,只要包括相同的逻辑关系,都在本专利的保护范围内;对算法中或者流程中添加无关紧要的修改或者引入无关紧要的设计,但不改变其算法和流程的核心设计都在该专利的保护范围内。
本申请的第二方面提供一种认证装置。图5是本申请实施例提供的一种认证装置的原理框图。如图5所示,该认证装置包括:连接模块501、接收模块502、第一获取模块53、第二获取模块504、认证模块505和发送模块506。
连接模块501,用于响应于认证服务节点发送的认证请求,与终端建立网络连接。
其中,认证请求应包括用于识别终端的标识信息,以供认证代理节点根据认证请求可以唯一确定终端,并与终端建立网络连接。在一些实施例中,认证请求包括终端的用户识别卡的标识、第一网络地址和认证标识。其中,第一网络地址为终端的网络地址,认证标识为认证服务节点针对本次认证操作生成的标识。在一些具体实现中,认证标识包括时间戳标识和/或随机数标识和/或计数器标识。
在第一个实施方式中,当终端存在接入物联网的需求时,终端启动认证操作。具体地,终端安装的物联网应用客户端读取sim卡的标识iccid,同时读取终端在接入移动通信网络时分配的ip地址,其中,该ip地址即第一网络地址。终端将iccid和第一网络地址发送至认证服务节点。认证服务节点接收终端发送的iccid和第一网络地址,针对本次认证过程生成对应的认证标识,并基于iccid、第一网络地址和认证标识生成认证请求,然后将认证请求发送至认证代理节点。认证代理节点接收认证请求,并通过连接模块501与终端建立网络连接。
在第二个实施方式中,认证服务节点预存终端的硬件标识与iccid的映射关系。当终端存在接入物联网的需求时,终端将硬件标识和第一网络地址发送至认证服务节点。认证服务节点接收终端发送的硬件标识和第一网络地址,依据硬件标识和预存的硬件标识与iccid的映射关系,获得终端对应的iccid,针对本次认证过程生成对应的认证标识,并基于iccid、第一网络地址和认证标识生成认证请求,然后将认证请求发送至认证代理节点。认证代理节点接收认证请求,并通过连接模块501与终端建立网络连接。
在一个具体实现中,认证代理节点通过连接模块501与终端建立网络连接,包括:
认证代理节点根据sim卡的标识iccid,获取sim卡的msisdn。在一个具体实现中,认证代理节点根据iccid,确定sim卡的归属运营商,并通过归属运营商的bss系统获取sim卡的msisdn。
获取sim卡的msisdn之后,认证代理节点基于卡认证应用的标识、认证代理节点的网络地址和认证标识生成认证连接信息,并将认证连接信息发送至短信网关,短信网关接收认证连接信息之后,根据sim卡的msisdn将认证连接信息转发至终端。其中,卡认证应用为具有解析认证连接信息以获取认证代理节点的网络地址和认证标识的功能的应用程序。
终端接收认证连接信息,根据认证连接信息中的卡认证应用的标识确定对应的卡认证应用,通过该卡认证应用解析认证连接信息,获得认证代理节点的网络地址和认证标识,并基于认证代理节点的网络地址与认证代理节点建立网络连接。
需要说明的是,以上对于认证连接信息的发送方式仅是举例说明,可根据实际情况进行具体设定,其他未说明的是认证连接信息的发送方式也在本申请的保护范围之内,在此不再赘述。
接收模块502,用于接收终端发送的认证标识。
接收模块502为具有信息接收功能的模块。在本实施例中,接收模块接收终端发送的认证标识。其中,认证标识为认证服务节点生成并发送至认证代理节点的信息。在一些具体实现中,认证代理节点将认证标识打包至认证连接信息,并通过短信网关将认证连接信息发送至终端。终端接收认证连接信息,基于认证连接信息获得认证标识。
第一获取模块503,用于根据认证标识和预存认证信息获取第一网络地址。
其中,预存认证信息是认证代理节点接收认证请求后,根据认证请求预先存储的信息。在一些具体实现中,认证请求包括终端的sim卡的标识、第一网络地址和认证标识。认证代理节点接收认证请求之后,保存认证请求中的认证标识与第一网络地址,以在对终端进行认证时,可以根据认证标识确定与之对应的终端的网络地址(即第一网络地址)。
在一个实施方式中,认证代理节点接收终端发送的认证标识后,基于认证标识和预存认证信息中认证标识与第一网络地址的映射关系,通过第一获取模块503获得第一网络地址。
第二获取模块504,用于根据网络连接的源网络地址信息,获得第二网络地址。
其中,源网络地址信息包括但不限于源ip地址。该源ip地址即为与认证代理节点建立网络连接的终端的当前实际网络地址,也即第二网络地址。
认证代理节点获取第一网络地址之后,为保障当前与其建立网络连接的终端是第一网络地址对应的终端,认证代理节点获取当前网络连接的源网络地址信息,并根据源网络地址信息获取第二网络地址,以比较第一网络地址与第二网络地址是否相同,并根据比较结果确定两个网络地址对应的终端是否为同一终端。
在一个实施方式中,认证代理节点通过采集工具获取当前网络连接的四元组信息,并通过第二获取模块504获得第二网络地址。其中,四元组信息包括源ip地址、源端口、目的ip地址和目的端口,第二网络地址即为源ip地址。
认证模块505,用于根据第一网络地址和第二网络地址对终端进行认证,获得认证结果。
第一网络地址为认证代理节点根据预存信息获取的终端的网络地址,第二网络地址为认证代理节点根据当前网络连接获取的终端的网络地址,当两个网络地址相同时,可以证明终端的身份为真实的身份,即终端通过了认证代理节点的身份认证。
在一个实施方式中,认证代理节点通过认证模块505比较第一网络地址和第二网络地址是否一致。在第一网络地址与第二网络地址一致的情况下,认证代理节点确定终端的身份为真实可信的身份,并获得终端通过认证的认证结果;在第一网络地址与第二网络地址不一致的情况下,认证代理节点确定终端的身份不是真实可信的身份,并获得终端未通过认证的认证结果。
发送模块506,用于将认证结果发送至认证服务节点,以供认证服务节点根据认证结果确定是否允许终端的访问操作。
认证服务节点需根据认证代理节点的认证结果确定是否允许终端的访问操作。
在一个实施方式中,认证代理节点通过发送模块506将认证结果发送至认证服务节点。认证服务节点接收认证结果。当认证结果为终端通过认证时,认证服务节点允许终端进行访问操作;当认证结果为终端未通过认证时,认证服务节点禁止终端的访问操作。
值得一提的是,本实施方式中所涉及到的各模块均为逻辑模块,在实际应用中,一个逻辑单元可以是一个物理单元,也可以是一个物理单元的一部分,还可以以多个物理单元的组合实现。此外,为了突出本申请的创新部分,本实施方式中并没有将与解决本申请所提出的技术问题关系不太密切的单元引入,但这并不表明本实施方式中不存在其它的单元。
可以理解的是,以上实施方式仅仅是为了说明本申请的原理而采用的示例性实施方式,然而本申请并不局限于此。对于本领域内的普通技术人员而言,在不脱离本申请的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本申请的保护范围。
1.一种认证方法,其特征在于,包括:
响应于认证服务节点发送的认证请求,与终端建立网络连接;
接收所述终端发送的认证标识,并根据所述认证标识和预存认证信息获取第一网络地址;
根据所述网络连接的源网络地址信息,获得第二网络地址;
根据所述第一网络地址和所述第二网络地址对所述终端进行认证,获得认证结果;
将所述认证结果发送至所述认证服务节点,以供所述认证服务节点根据所述认证结果确定是否允许所述终端的访问操作。
2.根据权利要求1所述的认证方法,其特征在于,所述预存认证信息为认证代理节点基于所述认证请求预先存储的信息。
3.根据权利要求1或2所述的认证方法,其特征在于,所述认证请求包括所述终端的用户识别卡的标识、所述第一网络地址和所述认证标识;其中,所述第一网络地址为所述终端的网络地址,所述认证标识为所述认证服务节点针对本次认证操作生成的标识。
4.根据权利要求3所述的认证方法,其特征在于,所述认证标识包括时间戳标识、随机数标识、计数器标识中的一种或多种。
5.根据权利要求3所述的认证方法,其特征在于,所述响应于认证服务节点发送的认证请求,与终端建立网络连接,包括:
根据所述用户识别卡的标识,获取所述用户识别卡的国际移动台综合业务数字网码;
根据所述用户识别卡的国际移动台综合业务数字网码,向所述终端发送认证连接信息,以供所述终端根据所述认证连接信息与所述认证代理节点建立网络连接;其中,所述认证连接信息包括卡认证应用的标识、所述认证代理节点的网络地址和所述认证标识,所述卡认证应用为具有解析所述认证连接信息以获取所述认证代理节点的网络地址和所述认证标识的功能的应用程序。
6.根据权利要求5所述的认证方法,其特征在于,所述根据所述用户识别卡的标识,获取所述用户识别卡的国际移动台综合业务数字网码,包括:
根据所述用户识别卡的标识,确定所述用户识别卡的归属运营商;
通过所述归属运营商获取所述用户识别卡的国际移动台综合业务数字网码。
7.根据权利要求5所述的认证方法,其特征在于,所述根据所述用户识别卡的国际移动台综合业务数字网码,向所述终端发送认证连接信息,包括:
将所述认证连接信息发送至短信网关,以供所述短信网关根据所述用户识别卡的国际移动台综合业务数字网码将所述认证连接信息发送至所述终端。
8.根据权利要求1所述的认证方法,其特征在于,所述根据所述第一网络地址和所述第二网络地址对所述终端进行认证,获得认证结果,包括:
比较所述第一网络地址和所述第二网络地址;
在所述第一网络地址与所述第二网络地址一致的情况下,获得终端通过认证的所述认证结果;
在所述第一网络地址与所述第二网络地址不一致的情况下,获得终端未通过认证的所述认证结果。
9.一种认证装置,其特征在于,包括:
连接模块,用于响应于认证服务节点发送的认证请求,与终端建立网络连接;
接收模块,用于接收所述终端发送的认证标识;
第一获取模块,用于根据所述认证标识和预存认证信息获取第一网络地址;
第二获取模块,用于根据所述网络连接的源网络地址信息,获得第二网络地址;
认证模块,用于根据所述第一网络地址和所述第二网络地址对所述终端进行认证,获得认证结果;
发送模块,用于将所述认证结果发送至所述认证服务节点,以供所述认证服务节点根据所述认证结果确定是否允许所述终端的访问操作。
10.根据权利要求9所述的认证装置,其特征在于,所述认证模块,包括:
比较单元,用于比较所述第一网络地址和所述第二网络地址;
获取单元,用于在所述第一网络地址与所述第二网络地址一致的情况下,获得终端通过认证的所述认证结果,在所述第一网络地址与所述第二网络地址不一致的情况下,获得终端未通过认证的所述认证结果。
技术总结