本發明提供一種二次鑒權方法及相關設備，涉及移動通信領域。所述方法包括：將客戶端配置為當被安裝到移動終端上時，將客戶端標識以及移動終端標識通過所述移動終端的可信應用程序存儲到所述移動終端的可信執行環境中；將所述客戶端配置為在需要進行二次鑒權時，向所述可信應用程序發送獲取臨時令牌的請求，以通過獲取的臨時令牌訪問服務端；將所述可信應用程序配置為在接收到所述客戶端發送的獲取臨時令牌的請求時，根據所述可信執行環境中存儲的客戶端標識和移動終端標識對所述客戶端進行鑒權，在鑒權通過后，生成用于訪問服務端的臨時令牌，并將所述臨時令牌返回給所述客戶端。本發明的鑒權方法不依賴于服務端，可以提高用戶體驗，提高安全性。

技術領域

本發明涉及移動通信領域，特別涉及一種二次鑒權方法及相關設備。

背景技術

隨著移動互聯網技術的不斷發展，大量客戶端通過連接服務端來獲取系統資源、服務，因此，如何對客戶端進行鑒權至關重要。

鑒權用于驗證客戶端是否有權利訪問系統。現有的鑒權方法主要包括：1、客戶端將用戶的賬號密碼等信息發送給服務端，服務端根據賬號密碼等信息對客戶端進行鑒權，該方案技術方案較為簡單，但是鑒權效率較低、安全性較差。2、客戶端采集用戶的唯一信息(如指紋信息、人臉信息等)發送給服務端，服務端根據該用戶的唯一信息對客戶端進行鑒權。由于利用用戶的唯一信息進行鑒權，該方案提高了鑒權的安全性，但是其技術方案較為復雜，尤其是當需要二次鑒權時，該方案需要打斷用戶操作，使用戶再次輸入用戶信息，用戶體驗較差。3、借助外接設備(如USB)進行鑒權。該方案利用外接設備與鑒權服務器進行交互來完成鑒權，具有安全可靠的優點，但是由于外接設備的端口各異，在智能手機等移動終端上使用非常困難，并且，由于引入外接設備，用戶操作起來非常不便，用戶體驗較差。

因此，當需要對客戶端進行二次鑒權時，如何提高用戶體驗同時提高鑒權的安全性，是亟待解決的技術問題。

發明內容

為了解決二次鑒權時用戶體驗差、安全性低的問題，本發明實施方式提供了一種在移動終端上進行二次鑒權的方法及相關設備。本發明實施方式的技術方案如下：

本發明實施方式的第一方面提供一種二次鑒權方法，所述方法包括：

將客戶端配置為當被安裝到移動終端上時，將客戶端標識以及移動終端標識通過所述移動終端的可信應用程序存儲到所述移動終端的可信執行環境中；

將所述客戶端配置為在需要進行二次鑒權時，向所述可信應用程序發送獲取臨時令牌的請求，以通過獲取的臨時令牌訪問服務端，其中，所述獲取臨時令牌的請求攜帶有客戶端標識以及移動終端標識；

將所述可信應用程序配置為在接收到所述客戶端發送的獲取臨時令牌的請求時，根據所述可信執行環境中存儲的客戶端標識和移動終端標識對所述客戶端進行鑒權，在鑒權通過后，生成用于訪問服務端的臨時令牌，并將所述臨時令牌返回給所述客戶端。

在本發明的一種實施方式中，將所述客戶端配置為執行以下操作：

當客戶端用戶的訪問令牌和刷新令牌均失效時，檢測客戶端上是否有用戶操作，若有，則判斷需要進行二次鑒權，向所述可信應用程序發送獲取臨時令牌的請求。

在本發明的一種實施方式中，所述方法還包括：

將所述客戶端配置為在從服務端獲取到刷新令牌時將所述刷新令牌通過所述可信應用程序存儲到所述可信執行環境中。

在本發明的一種實施方式中，所述獲取臨時令牌的請求還攜帶有刷新令牌。

在本發明的一種實施方式中，所述可信應用程序被配置為通過以下方式對所述客戶端進行鑒權：

從所述請求中獲取客戶端標識、移動終端標識以及刷新令牌；