本發明公開了不依賴用戶真實特征信息的身份驗證方法、設備與系統，屬于網絡技術領域。本發明先通過輔助驗證的第一模塊產生序列號，需要驗證的第二模塊綁定用戶和序列號；第二模塊再產生用戶特征碼，第一模塊再綁定特征碼；在驗證時由第一模塊根據綁定的用戶特征碼、序列號和系統時間生成驗證碼，用戶輸入第一模塊產生的驗證碼至第二模塊，第二模塊根據相應的信息進行用戶身份驗證。本發明方案可以用于局域網內身份驗證，不需要身份驗證的模塊具備向外網網絡發送信息的條件，使用序列號和特征碼綁定用戶，不會造成用戶真實身份信息泄露，并且更換用戶綁定信息代價小。

技術領域

本發明涉及一種不依賴外網通信和用戶真實特征信息的身份驗證方法、設備與系統，屬于網絡安全技術領域。

背景技術

如圖1所示，是一種目前廣泛使用的、典型的身份驗證方法，主要包括的兩個模塊：第一模塊A，通常是手機APP或者郵箱，用于接收驗證碼；第二模塊B，通常是網站服務，用于產生驗證碼和驗證碼校驗。

通常的驗證過程是：1、B發起驗證流程；B要求用戶填寫手機號或者使用用戶已經注冊的手機號或者郵箱；2、用戶在B上輸入手機號或者郵箱，或者使用之前已經注冊的手機號或者郵箱等；3、B產生驗證碼；4、B向A發送驗證碼；5、用戶讀取驗證碼；6、用戶在B上填寫驗證碼；7、B驗證驗證碼；8、B向用戶反饋驗證結果。

以上過程存在的問題是：1、B需要能夠向外部網絡發送信息（手機消息或郵件）；但是有些應用場景下，例如對安全和保密有要求的單位會設有專網，專網不允許接入互聯網，在局域網內，B不具備向外部發送消息的條件；2、用戶需要向B注冊特征信息綁定用戶，如手機號，郵箱等，可能會造成用戶真實身份信息泄露；3、攻擊者可以假冒用戶的手機號接收驗證碼，或者攻擊者可以通過抓取通信包的方式獲得驗證碼；4、一旦用戶的特征信息泄露，更換手機號、郵箱等綁定信息代價高。

發明內容

發明目的：針對上述現有技術存在的問題，本發明目的在于提供一種不依賴用戶真實特征信息、可用于局域網內的身份驗證方法、設備與系統。

技術方案：為實現上述發明目的，本發明提供的一種不依賴用戶真實特征信息的身份驗證方法，包括如下步驟：

第一模塊在接收到用戶發起的生成或查看序列號的請求時，產生并保存或讀取序列號，向用戶反饋序列號；

第二模塊在接收到用戶發起的注冊序列號請求時，綁定用戶和第一模塊產生的序列號；

第二模塊在接收到用戶發起的綁定特征碼請求時，產生特征碼，并根據用戶特征碼、系統時間和已綁定的序列號產生二維碼；

第一模塊在接收到用戶發起的綁定特征碼請求時，掃描并解析第二模塊產生的二維碼，若解析到的信息中序列號與第一模塊存儲的一致，則保存用戶特征碼，并向用戶反饋綁定結果；

第二模塊在接收到用戶反饋的用戶特征碼綁定成功的結果時，保存產生的特征碼；

第一模塊在接收到用戶發起的生成驗證碼請求時，根據系統時間、用戶特征碼和序列號生成設定時間段內有效的驗證碼；

第二模塊在發起驗證請求后，接收到用戶輸入的第一模塊生成的驗證碼時，根據系統時間、用戶綁定的序列號和特征碼驗證用戶輸入的驗證碼，并反饋驗證結果。

進一步地，在第一模塊和第二模塊時間不同步時，第一模塊在保存用戶特征碼的同時還保存第一模塊與第二模塊的系統時間差值，第一模塊在生成驗證碼時利用時間差值計算第二模塊的系統時間，依據第二模塊的系統時間生成驗證碼。

進一步地，第二模塊在產生二維碼時對二維碼信息進行加密。

作為優選，所述特征碼為隨機生成的字符串或數字。

基于相同的發明構思，本發明提供的另一種不依賴用戶真實特征信息的身份驗證方法，包括如下步驟：