一種多屏多因子便捷web身份認(rèn)證方法
【專利摘要】一種多屏多因子便捷WEB身份認(rèn)證方法��,用戶在使用該系統(tǒng)進(jìn)行用戶登錄認(rèn)證時(shí),在保證用戶使用便捷的條件下����,將能夠?yàn)橛脩籼峁┒嗥炼嘁蛩氐恼J(rèn)證方法。用戶在移動(dòng)智能終端設(shè)備進(jìn)行第一因素本地的驗(yàn)證后�����,再利用移動(dòng)智能終端設(shè)備生成的OTP提交到認(rèn)證服務(wù)器WS進(jìn)行第二因素的驗(yàn)證��。本發(fā)明在不改變?cè)邢到y(tǒng)的業(yè)務(wù)邏輯的前提下����,增加了多因子的身份認(rèn)證,提高系統(tǒng)的安全性及用戶體驗(yàn)性�,用基于移動(dòng)智能終端設(shè)備預(yù)裝客戶端和智能終端瀏覽器插件完成多屏互動(dòng)任務(wù)和OTP與賬號(hào)密碼的多因子隱式增強(qiáng)認(rèn)證技術(shù),保證用戶登錄的安全�,同時(shí)也簡(jiǎn)化增強(qiáng)認(rèn)證時(shí)用戶手動(dòng)過程,因此用戶體驗(yàn)效果好�、安全性高。
【專利說明】—種多屏多因子便捷WEB身份認(rèn)證方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于信息安全領(lǐng)域的身份認(rèn)證方法��,具體涉及到一種多屏多因子便捷WEB身份認(rèn)證方法���。
【背景技術(shù)】
[0002]OTP (One-time Password)是一種安全便捷的賬號(hào)防盜技術(shù),可以有效保護(hù)交易和登錄的認(rèn)證安全��,采用動(dòng)態(tài)口令就無需定期更換密碼�,安全省心。OTP采用專用算法每隔一段時(shí)間生成一個(gè)不可預(yù)測(cè)的隨機(jī)數(shù)字組合�����,且該隨機(jī)數(shù)組合作為口令只能使用一次�����,所以能很好的防范重放攻擊和字典彩虹表攻擊��,同時(shí)使用OTP動(dòng)態(tài)口令無需定期更換密碼�����,安全省心��、技術(shù)難度小�、成本低,還可減小應(yīng)用系統(tǒng)的認(rèn)證負(fù)擔(dān)����。
[0003]采用的驗(yàn)證用戶指紋�、虹膜等生物信息的傳統(tǒng)認(rèn)證方式中,數(shù)據(jù)的泄露會(huì)帶來不可預(yù)估的后果,用戶的生物信息無法更改���,泄露的數(shù)據(jù)長期有效��;采用驗(yàn)證用戶安全設(shè)備的傳統(tǒng)認(rèn)證方式中����,這種方法帶來的問題是攜帶困難與受限于使用條件(如沒電���、沒有網(wǎng)絡(luò)信號(hào))���;采用預(yù)設(shè)安全問題的認(rèn)證方式中,數(shù)據(jù)的泄露會(huì)造成用戶隱私信息的公開�����。
[0004]在傳統(tǒng)的身份認(rèn)證過程中����,用戶在同一個(gè)設(shè)備上輸入一個(gè)或多個(gè)認(rèn)證信息,如果該設(shè)備在用戶輸入前被病毒感染或者有后門程序��,可能會(huì)帶來用戶信息的泄露����。在服務(wù)器上的數(shù)據(jù)認(rèn)證過程中,如果服務(wù)器遭到攻破�,用戶注冊(cè)信息會(huì)帶來被復(fù)制或者刪除的風(fēng)險(xiǎn)��。因此傳統(tǒng)單一屏單一因素身份認(rèn)證所面臨的增強(qiáng)身份認(rèn)證安全性的技術(shù)挑戰(zhàn)。
【發(fā)明內(nèi)容】
[0005]本發(fā)明技術(shù)解決問題:克服現(xiàn)有技術(shù)的不足��,提供一種多屏多因子便捷WEB身份認(rèn)證方式��,具有安全性高��、用戶體驗(yàn)效果好��、使用方便快捷等優(yōu)點(diǎn)。
[0006]本發(fā)明的技術(shù)方案為:一種多屏多因子便捷WEB身份認(rèn)證方法��,其特征在于實(shí)現(xiàn)步驟如下:
[0007]( I)在移動(dòng)智能終端設(shè)備(如智能手機(jī)����、pad等)上安裝客戶端,在智能終端(如智能電視�����、電腦等)瀏覽器上安裝瀏覽器插件���;移動(dòng)智能終端設(shè)備需具備無線網(wǎng)絡(luò)連接功能和拍照功能�,智能終端具備無線網(wǎng)絡(luò)連接功能��;
[0008](2)用戶在移動(dòng)智能終端設(shè)備上首次啟動(dòng)客戶端時(shí)����,借助客戶端在設(shè)備倉庫服務(wù)器VS上完成設(shè)備注冊(cè),通過客戶端預(yù)置的設(shè)備倉庫服務(wù)器VS證書�����,建立SSL安全信道,將注冊(cè)信息保存于設(shè)備倉庫服務(wù)器VS上�,所述注冊(cè)信息包括移動(dòng)智能終端的設(shè)備識(shí)別號(hào),注冊(cè)時(shí)間��,注冊(cè)IP地址���,客戶端版本信息;
[0009](3)移動(dòng)智能終端設(shè)備注冊(cè)成功后�����,用戶參與本地用戶賬號(hào)注冊(cè)���,通過移動(dòng)智能終端設(shè)備上的客戶端將用戶賬號(hào)�、密碼存儲(chǔ)在本地�,然后通過預(yù)置的設(shè)備倉庫服務(wù)器VS證書,向設(shè)備倉庫服務(wù)器VS發(fā)起用戶注冊(cè)�����,注冊(cè)信息為移動(dòng)智能終端設(shè)備的設(shè)備識(shí)別號(hào)���,力口密過的本地用戶賬號(hào)���,用戶證書簽發(fā)請(qǐng)求(PKCS#10)���、注冊(cè)時(shí)間和注冊(cè)IP地址信息;
[0010](4)用戶賬號(hào)注冊(cè)成功后���,移動(dòng)智能終端設(shè)備通過預(yù)置的設(shè)備倉庫服務(wù)器VS證書建立的SSL安全信道�����,然后接收設(shè)備倉庫服務(wù)器VS簽發(fā)用戶證書和設(shè)備倉庫服務(wù)器生成OTP的共享密鑰��,將接受信息同本地用戶賬號(hào)���、密碼在移動(dòng)智能終端設(shè)備上安全存儲(chǔ),并與設(shè)備倉庫服務(wù)器VS完成基于UTC同步偏移窗口的時(shí)間同步����;
[0011](5)完成設(shè)備注冊(cè)和本地用戶賬號(hào)注冊(cè)后,用戶通過開啟客戶端�,驗(yàn)證用戶名和密碼通過后,讀取安全存儲(chǔ)區(qū)的共享密鑰�����,根據(jù)系統(tǒng)UTC時(shí)間,生成OTP ��;
[0012](6)用戶在智能終端開啟瀏覽器作身份認(rèn)證時(shí)�,需啟動(dòng)瀏覽器插件的無線網(wǎng)絡(luò)連接功能,此時(shí)瀏覽器插件讀取智能終端的IP地址與空閑端口號(hào)���,通過隨機(jī)數(shù)生成無線局域網(wǎng)絡(luò)的隨機(jī)服務(wù)設(shè)置標(biāo)識(shí)(Service Set Identifier, SSID)和密碼,并啟動(dòng)無線局域網(wǎng)絡(luò)功能且等待外部連接��,同時(shí)將連接信息SSID����、密碼����、IP地址�、端口號(hào)放入QR碼(即二維碼)中,屏眷顯不QR碼�����;
[0013](7)用戶使用移動(dòng)智能終端設(shè)備的客戶端掃描上述QR碼���,利用QR碼內(nèi)的信息與瀏覽器插件建立無線網(wǎng)絡(luò)連接����,并通過預(yù)置的瀏覽器插件證書建立安全Socket連接,傳輸用戶證書序列號(hào)和OTP ����;
[0014](8)智能終端瀏覽器插件接收到數(shù)據(jù)后,通過與認(rèn)證服務(wù)器WS建立的SSL安全信道完成數(shù)據(jù)傳送���,認(rèn)證服務(wù)器WS對(duì)智能終端瀏覽器傳送過來的用戶證書序列號(hào)和OTP進(jìn)行驗(yàn)證���,驗(yàn)證用戶身份通過后,允許用戶進(jìn)入相應(yīng)業(yè)務(wù)����,否則,拒絕用戶服務(wù)��。
[0015]所述步驟(1)中�����,無線網(wǎng)絡(luò)連接模塊功能是指具有W1-Fi模塊��,相似的具有藍(lán)牙��、NFC功能也能夠作為替代。
[0016]所述步驟(4)中����,安全存儲(chǔ)是在公用存儲(chǔ)空間開辟一小塊虛擬加密的存儲(chǔ)塊,然后使用證書序號(hào)轉(zhuǎn)化的多重混淆 密鑰加密存儲(chǔ)數(shù)據(jù)�,保證移動(dòng)智能終端設(shè)備的證書庫和OTP的共享密鑰、用戶名��、密碼的安全��。
[0017]所述步驟(8)中�,認(rèn)證服務(wù)器WS對(duì)智能終端瀏覽器傳送過來的用戶證書序列號(hào)和OTP進(jìn)行驗(yàn)證過程為:認(rèn)證服務(wù)器WS通過該用戶的證書序列號(hào)與傳送過來用戶證書序列號(hào)進(jìn)行比對(duì)驗(yàn)證,若驗(yàn)證不通過����,則終止該身份認(rèn)證���;若驗(yàn)證通過��,則認(rèn)證服務(wù)器WS將該用戶的用戶標(biāo)識(shí)�、共享秘鑰SK�����、系統(tǒng)UTC時(shí)間安全傳送給設(shè)備倉庫緩存VC,作為哈希運(yùn)算消息認(rèn)證碼 HMAC (Hash-based Message Authentication Code,簡(jiǎn)稱 HMAC)算法的計(jì)算參數(shù)�����,產(chǎn)生一個(gè)0ΤΡ�,結(jié)合該用戶的同步偏移量值,對(duì)OTP進(jìn)行驗(yàn)證����。
[0018]所步驟(4)中,設(shè)備倉庫服務(wù)器VS與設(shè)備倉庫服務(wù)器VS完成基于UTC同步偏移窗口的時(shí)間同步的方法為:設(shè)備倉庫服務(wù)器VS預(yù)定義N個(gè)同步偏移量窗口����,即-N,…,-3,-2,-1,0,1,2,3,…���,N����,其中N為自然數(shù)�,然后使用同步偏移窗口內(nèi)的偏移值的和,共享密鑰SK和設(shè)備倉庫服務(wù)器的UTC時(shí)間生成0ΤΡ���,然后將接收到的OTP與生成的OTP依次比較���,找到與接收到的OTP相等的0ΤΡ�����,則該OTP對(duì)應(yīng)的偏移值即為接收到的OTP對(duì)應(yīng)的偏移值�,利用該偏移值完成同步����。
[0019]所述步驟(7)中生成所述OTP的方法為:將共享密鑰SK、用戶標(biāo)識(shí)和UTC時(shí)間作為HMAC算法的計(jì)算參數(shù)��,生成信息摘要�;然后從生成的信息摘要中隨機(jī)摘取設(shè)定位數(shù)的比特信息,生成OTP����。
[0020]所述步驟(4)中,移動(dòng)智能終端設(shè)備完成用戶注冊(cè)時(shí)�����,在本地會(huì)生成一個(gè)公私鑰對(duì)并收集本地信息�����,產(chǎn)生證書簽發(fā)請(qǐng)求PKCS#10�����,通過安全信道傳輸給設(shè)備倉庫服務(wù)器VS ����;vs驗(yàn)證通過后用自身私鑰簽發(fā)生成VS簽名證書,將VS簽發(fā)證書通過安全信道傳輸給移動(dòng)智能終端設(shè)備進(jìn)行安全存儲(chǔ)�����。
[0021]所述步驟(8)中�����,若認(rèn)證服務(wù)器驗(yàn)證用戶身份通過�,則所述認(rèn)證服務(wù)器WS將一有時(shí)間期限的認(rèn)證憑證保存在智能終端瀏覽器端,以便該用戶下次直接登錄�。
[0022]下面簡(jiǎn)要介紹本方案的基本思想,本發(fā)明在吸取已有解決方案的優(yōu)點(diǎn)的基礎(chǔ)之上�����,提出了自己的設(shè)計(jì)思想���,具體來說�����,本發(fā)明技術(shù)方案包括下列幾個(gè)方面:
[0023]方面一�����,設(shè)備倉庫服務(wù)器VS接收移動(dòng)智能終端設(shè)備的注冊(cè)信息(包括移動(dòng)智能終端設(shè)備的客戶端初始化注冊(cè)和本地用戶注冊(cè))�,將用戶注冊(cè)信息同步存儲(chǔ)于設(shè)備倉庫驗(yàn)證緩存(vc),vc與認(rèn)證服務(wù)器WS物理相近��,保證了 WS訪問VC的安全性和高效性��。設(shè)備倉庫服務(wù)器VS定期同步VC存儲(chǔ)信息��,保證信息的一致性��。WS與VC的物理隔離����,保證用戶登錄信息的物理分離,在便捷性的基礎(chǔ)上保證數(shù)據(jù)的安全性�����。
[0024]方面二�,用戶通過自身攜帶的移動(dòng)智能終端設(shè)備作為用戶身份標(biāo)識(shí)與OTP生成載體,并與認(rèn)證服務(wù)器WS建立安全信道����,完成用戶與已預(yù)裝客戶端的移動(dòng)智能終端設(shè)備的綁定注冊(cè)。用戶與移動(dòng)智能終端設(shè)備綁定注冊(cè)時(shí)�,在客戶端本地生成公私鑰對(duì),同時(shí)通過安全信道將用戶注冊(cè)信息(移動(dòng)智能終端設(shè)備的設(shè)備識(shí)別號(hào)���、隨機(jī)數(shù)加密過的本地用戶賬號(hào)����、IP地址�����、時(shí)間等)����、OTP生成載體的無線通信標(biāo)識(shí)(如藍(lán)牙的MAC地址、W1-Fi的SSID和Password)和PKCS#10證書簽發(fā)請(qǐng)求發(fā)送到設(shè)備倉庫服務(wù)器VS ;設(shè)備倉庫服務(wù)器VS將合法用戶移動(dòng)智能終端設(shè)備標(biāo)識(shí)與用戶標(biāo)識(shí)進(jìn)行綁定�,協(xié)商產(chǎn)生一隨機(jī)共享密鑰(SK),并簽發(fā)用戶公鑰證書并保存,完成用戶和設(shè)備映射綁定���。該過程的實(shí)施將為基于OTP的多因子身份認(rèn)證的實(shí)現(xiàn)奠定堅(jiān)實(shí)的基礎(chǔ)��,實(shí)現(xiàn)設(shè)備間多屏互動(dòng)及人機(jī)的融合���,將移動(dòng)智能終端設(shè)備智能作為用戶的標(biāo)識(shí),給便捷認(rèn)證提供了方便�。
[0025]方面三,借助用戶的移動(dòng)智能終端設(shè)備(如智能手機(jī)���、Pad等)預(yù)裝的客戶端掃描智能終端瀏覽器插件生成的QR碼�����,獲得連接智能終端的無線連接參數(shù)(W1-Fi的SSID�、藍(lán)牙的MAC地址�����、密碼及IP和端口號(hào))�,完成多屏互動(dòng)信息隱式傳送,同時(shí)采用HMAC算法����,將用戶證書序列號(hào)�、系統(tǒng)UTC時(shí)間(即協(xié)調(diào)世界時(shí)�,又稱世界統(tǒng)一時(shí)間�,被應(yīng)用于許多互聯(lián)網(wǎng)和萬維網(wǎng)的標(biāo)準(zhǔn)中)、OTP共享秘鑰作為計(jì)算參數(shù)���,每30秒計(jì)算一次0ΤΡ����。該過程的實(shí)現(xiàn)是基于OTP的及用戶信息的多因子的身份認(rèn)證�����,降低了用戶賬號(hào)及系統(tǒng)的風(fēng)險(xiǎn)�����。
[0026]方面四��,在多因子身份認(rèn)證中����,用戶通過在移動(dòng)智能終端設(shè)備輸入的用戶名和密碼完成用戶身份第一因素認(rèn)證,再通過第一因素用戶身份驗(yàn)證后,利用移動(dòng)智能終端設(shè)備生成OTP和存儲(chǔ)的用戶證書來向認(rèn)證服務(wù)器WS請(qǐng)求����,完成用戶第二因素身份驗(yàn)證。多因子的身份驗(yàn)證好處在于某一項(xiàng)的信息泄露后不會(huì)立刻對(duì)賬戶安全造成威脅���,同時(shí)��,兩級(jí)的身份認(rèn)證并沒有給用戶帶來比單因子更復(fù)雜的用戶使用體驗(yàn)���,而且還大大的提高了安全等級(jí)。
[0027]方面五�,用戶在移動(dòng)智能終端設(shè)備客戶端上完成用戶注冊(cè)后,接受來自設(shè)備倉庫服務(wù)器VS發(fā)放給用戶的身份識(shí)別信息(用戶證書)��,證書可唯一的標(biāo)識(shí)使用移動(dòng)智能終端設(shè)備的用戶���,設(shè)備倉庫服務(wù)器VS就可以通過不同用戶的證書來區(qū)分不同的使用移動(dòng)智能終端設(shè)備的不同用戶����。后續(xù)的與設(shè)備倉庫服務(wù)器VS的通信都采用用戶證書建立SSL安全信道進(jìn)行通信保護(hù)��,以防止某一個(gè)安全終端的預(yù)置VS證書泄露后����,所有的移動(dòng)智能終端設(shè)備都會(huì)失去保護(hù)��。
[0028]方面六����,設(shè)備倉庫服務(wù)器VS可利用用戶證書識(shí)別不同的移動(dòng)智能終端設(shè)備�,通過黑名單或者證書撤銷列表的處理方式���,以拒絕非法移動(dòng)智能終端設(shè)備的訪問請(qǐng)求��。主控方由移動(dòng)智能終端設(shè)備轉(zhuǎn)變?yōu)樵O(shè)備倉庫服務(wù)器VS�����,因?yàn)轭A(yù)置VS服務(wù)器證書的不唯一性(即VS不能通過預(yù)置的VS證書標(biāo)識(shí)區(qū)別移動(dòng)智能終端設(shè)備)��,從而也就無法拒絕非法請(qǐng)求�����。主控方在設(shè)備倉庫服務(wù)器VS好處是��,防止移動(dòng)智能終端設(shè)備在掛失后非法用戶繼續(xù)使用認(rèn)證過的移動(dòng)智能終端設(shè)備進(jìn)行合法訪問�����。
[0029]方面七�����,移動(dòng)智能終端設(shè)備與智能終端的多屏互動(dòng)中��,無線連接的信息被智能終端的瀏覽器插件封裝在QR碼中��,使用移動(dòng)智能終端設(shè)備的QR碼掃描器�����,將無線連接信息傳遞到客戶端���,完成連接后��,通過預(yù)置的SSL通信證書將OTP及用戶證書序列號(hào)隱式安全地傳輸?shù)街悄芙K端的瀏覽器插件��。該過程沒有給用戶帶來額外的操作����,并且實(shí)現(xiàn)數(shù)據(jù)的物理隔離���,從安全性上和用戶體驗(yàn)上�����,為身份認(rèn)證方式帶來了新的上升空間��。
[0030]本發(fā)明與現(xiàn)有技術(shù)相比��,具有以下優(yōu)點(diǎn):本發(fā)明在不改變?cè)邢到y(tǒng)的業(yè)務(wù)邏輯的前提下�����,增加了多因子的身份認(rèn)證��,提高系統(tǒng)的安全性及用戶體驗(yàn)性����,用基于移動(dòng)智能終端設(shè)備預(yù)裝客戶端和智能終端瀏覽器插件完成多屏互動(dòng)任務(wù)和OTP與賬號(hào)密碼的多因子隱式增強(qiáng)認(rèn)證技術(shù)���,保證用戶登錄的安全���,同時(shí)也簡(jiǎn)化增強(qiáng)認(rèn)證時(shí)用戶手動(dòng)過程,因此用戶體驗(yàn)效果好�、安全性高�。
【專利附圖】
【附圖說明】
[0031]圖1本發(fā)明的整體實(shí)施示意圖����;
[0032]圖2基于一次性密碼OTP認(rèn)證的多屏間設(shè)備注冊(cè)的流程圖;
[0033]圖3基于賬號(hào)管理及綁定的核心用戶賬號(hào)注冊(cè)的流程圖��;
[0034]圖4用戶主賬號(hào)與移動(dòng)智能終端設(shè)備一對(duì)多映射綁定的流程圖���;
[0035]圖5用戶主賬號(hào)與服務(wù)提供商賬號(hào)一對(duì)多映射綁定的流程圖�����;
[0036]圖6基于多屏多因素認(rèn)證的用戶登錄的流程圖�。
【具體實(shí)施方式】
[0037]為使本發(fā)明的目的�����、優(yōu)點(diǎn)以及技術(shù)方案更加清楚明白����,以下通過具體實(shí)施,并結(jié)合附圖�����,對(duì)本發(fā)明進(jìn)一步詳細(xì)說明。
[0038]用戶在使用該系統(tǒng)進(jìn)行用戶登錄認(rèn)證時(shí)���,在保證用戶使用便捷的條件下�,將為用戶能夠提供多屏多因素的認(rèn)證方法�����。用戶在移動(dòng)智能終端設(shè)備進(jìn)行第一因素本地的驗(yàn)證后�����,再利用移動(dòng)智能終端設(shè)備生成的OTP提交到認(rèn)證服務(wù)器WS進(jìn)行第二因素的驗(yàn)證����。如圖1所示���,完成這些功能需要的部件有:瀏覽器插件�����、移動(dòng)智能終端設(shè)備��、設(shè)備倉庫服務(wù)器(VS )����、設(shè)備倉庫驗(yàn)證緩存(VC )、認(rèn)證服務(wù)器(WS )����、服務(wù)提供商(SP )等。
[0039]瀏覽器插件是安裝在用戶智能終端�����,為了保證整個(gè)系統(tǒng)的各部分順利工作所定制的一個(gè)重要功能部件��,它主要提供生成QR碼(即二維碼)�,與移動(dòng)智能終端設(shè)備的安全連接,消息內(nèi)容的轉(zhuǎn)發(fā)等功能�����。用戶在綁定用戶賬號(hào)或者登陸用戶賬號(hào)時(shí)�����,需要調(diào)用該插件生成包含智能終端連接信息的QR碼����,移動(dòng)智能終端設(shè)備掃描QR碼后����,利用QR碼中的信息與插件進(jìn)行安全連接��,該插件還會(huì)在建立安全連接后完成一些消息內(nèi)容(如0ΤΡ)的轉(zhuǎn)發(fā)操作����。
[0040]移動(dòng)智能終端提供了一個(gè)密碼的物理隔離設(shè)備。移動(dòng)智能終端設(shè)備在使用前需要在VS上進(jìn)行注冊(cè)�,并協(xié)商產(chǎn)生OTP的共享秘鑰;它還能夠提供第一因素的本地的驗(yàn)證功能�,并在驗(yàn)證通過之后,才會(huì)生成OTP以提供第二因素的驗(yàn)證����。同時(shí),移動(dòng)智能終端設(shè)備通過掃描QR碼獲得智能終端的連接信息�����,與智能終端完成自動(dòng)無線連接���。
[0041]設(shè)備倉庫服務(wù)器(VS)提供移動(dòng)智能終端設(shè)備的注冊(cè)功能,所有的移動(dòng)智能終端設(shè)備在使用該系統(tǒng)前都需要注冊(cè)。它與移動(dòng)智能終端設(shè)備共同協(xié)商秘鑰和移動(dòng)智能終端設(shè)備識(shí)別信息(OID)等內(nèi)容�。它會(huì)存儲(chǔ)這些內(nèi)容并將其更新到VC中,以便WS在對(duì)用戶的第二因素驗(yàn)證過程中能夠得到用戶對(duì)應(yīng)移動(dòng)智能終端設(shè)備的信息���。
[0042]設(shè)備倉庫驗(yàn)證緩存(VC)是設(shè)備倉庫服務(wù)器存儲(chǔ)數(shù)據(jù)的一個(gè)緩存��,它和認(rèn)證服務(wù)器WS是物理相連的��。認(rèn)證服務(wù)器WS每次提交移動(dòng)智能終端設(shè)備識(shí)別信息OID后�,它能夠快速高效的返回對(duì)應(yīng)的0ΤΡ���。
[0043]認(rèn)證服務(wù)器(WS)是本系統(tǒng)的核心部分�����,負(fù)責(zé)用戶賬號(hào)管理和賬號(hào)綁定管理����。用戶在登錄SP時(shí)需要在該服務(wù)器登錄用戶賬號(hào)����,得到該服務(wù)器返回的對(duì)服務(wù)提供商賬號(hào)的授權(quán)。用戶在登錄賬號(hào)時(shí)��,它會(huì)向VC提交OID對(duì)應(yīng)OTP請(qǐng)求。
[0044]服務(wù)提供商(SP)則是提供網(wǎng)絡(luò)服務(wù)的實(shí)體���,用戶可以通過將用戶賬號(hào)綁定多個(gè)服務(wù)提供商賬號(hào)���,這樣通過登陸一個(gè)用戶賬號(hào)則可以登陸多個(gè)服務(wù)提供商賬號(hào)。服務(wù)提供商需要和WS建立一定的信任關(guān)系并且有安全的通信方式���。
[0045]對(duì)于圖1從整體上描述了該方案實(shí)施的總體架構(gòu)����,主要包括下面五個(gè)部分的內(nèi)容��。
[0046]一��、基于一次性密碼OTP認(rèn)證的多屏間設(shè)備注冊(cè)的實(shí)現(xiàn)方法
[0047]移動(dòng)智能終端設(shè)備在使用之前�,需要在VS上進(jìn)行注冊(cè),并完成協(xié)商秘鑰和OID等信息����。注冊(cè)成功后才能在登陸認(rèn)證的過程中使用,下面結(jié)合附圖2具體描述其執(zhí)行過程:
[0048](I)移動(dòng)智能終端設(shè)備與設(shè)備倉庫服務(wù)器VS建立安全信道之后�����,移動(dòng)智能終端設(shè)備發(fā)送隨機(jī)數(shù)N用以協(xié)商生成OTP的秘鑰SK和OID��,VS服務(wù)器在收到隨機(jī)數(shù)N后�����,將計(jì)算生成秘鑰K和0ID�,并將其發(fā)送給移動(dòng)智能終端設(shè)備,消息內(nèi)容格式為[K�,0ID];
[0049](2)移動(dòng)智能終端設(shè)備在收到[K��,0ID]后�,利用秘鑰K生成OTP發(fā)送至VS服務(wù)器。用以驗(yàn)證協(xié)商秘鑰SK的正確性���。消息內(nèi)容格式為[0TP�����,0ID]�;
[0050](3)設(shè)備倉庫服務(wù)器VS服務(wù)器利用秘鑰生成0ΤΡ�����,與移動(dòng)智能終端設(shè)備發(fā)送的OTP比較,若一致則服務(wù)器保存該秘鑰和0ID����,并返回驗(yàn)證通過的結(jié)果。移動(dòng)智能終端設(shè)備接受驗(yàn)證通過標(biāo)識(shí)��,則存儲(chǔ)秘鑰和OID ;若驗(yàn)證不一致重新驗(yàn)證�;
[0051](4)設(shè)備倉庫服務(wù)器VS將新注冊(cè)的移動(dòng)智能終端設(shè)備的信息更新至各VC。
[0052]在注冊(cè)完成后���,用戶可根據(jù)自己的需要設(shè)定一個(gè)移動(dòng)智能終端設(shè)備應(yīng)用的密碼���。用戶每次在使用該終端進(jìn)行認(rèn)證時(shí)都需要輸入該密碼用以成功解鎖移動(dòng)智能終端設(shè)備的應(yīng)用,這樣可有效防止終端在丟失時(shí)用戶的數(shù)據(jù)被任意讀取和使用����。
[0053]二、基于賬號(hào)管理及綁定的核心用戶賬號(hào)注冊(cè)的實(shí)現(xiàn)方法
[0054]用戶在不改變傳統(tǒng)注冊(cè)過程的前提下�,需要用戶注冊(cè)一個(gè)賬號(hào)作為主登陸賬號(hào)(即用戶所有登錄業(yè)務(wù)的核心功能賬號(hào)),該賬號(hào)注冊(cè)成功后與SP賬號(hào)綁定���,以后所有綁定的SP賬號(hào)的登陸業(yè)務(wù)都可以通過該用戶主賬號(hào)來進(jìn)行��。這樣可以極大的簡(jiǎn)化用戶的登陸和提高用戶體驗(yàn)�����。下面結(jié)合附圖3具體描述其執(zhí)行過程:
[0055](I)用戶在智能終端PC通過瀏覽器訪問認(rèn)證服務(wù)器(WS)�����;
[0056](2)用戶在認(rèn)證服務(wù)器WS登陸頁面選擇注冊(cè)功能�,請(qǐng)求注冊(cè)用戶賬號(hào)���;[0057](3)認(rèn)證服務(wù)器WS返回對(duì)應(yīng)的注冊(cè)頁面�;
[0058](4)用戶輸入用戶名�����、密碼�����、郵箱等用戶注冊(cè)信息后��,確認(rèn)注冊(cè)���;
[0059](5)認(rèn)證服務(wù)器WS在驗(yàn)證注冊(cè)信息合法后�����,轉(zhuǎn)入移動(dòng)智能終端設(shè)備與用戶賬號(hào)綁定過程(見第三節(jié))�;若驗(yàn)證不通過,注冊(cè)失敗���。
[0060]用戶賬號(hào)不僅可以用作SP賬號(hào)的登陸��,在認(rèn)證服務(wù)器WS中��,用戶還可以管理用戶賬號(hào)和移動(dòng)智能終端設(shè)備的綁定關(guān)系��,用戶賬號(hào)與SP賬號(hào)的綁定關(guān)系���,可以在不改變SP賬號(hào)前提下,完成單一用戶賬號(hào)對(duì)多SP賬號(hào)的單點(diǎn)登錄����,同時(shí)給多移動(dòng)智能終端設(shè)備的映射綁定奠定基礎(chǔ)。
[0061]三����、用戶主賬號(hào)與移動(dòng)智能設(shè)備一對(duì)多映射綁定的實(shí)現(xiàn)方法
[0062]在用戶賬號(hào)注冊(cè)時(shí),需要用戶賬號(hào)和某個(gè)移動(dòng)智能終端設(shè)備進(jìn)行映射綁定。另外���,在用戶賬號(hào)的使用過程中�,也可以將多個(gè)移動(dòng)智能終端設(shè)備綁定到一個(gè)用戶賬號(hào)��。本節(jié)則提供了用戶主賬號(hào)和移動(dòng)智能終端設(shè)備映射綁定的功能��。下面結(jié)合附圖4具體描述其執(zhí)行過程:
[0063](I)用戶打開瀏覽器�����,訪問認(rèn)證服務(wù)器WS ���;
[0064](2)在確認(rèn)用戶的用戶主賬號(hào)已經(jīng)登錄后,進(jìn)行綁定操作�����;
[0065](3)認(rèn)證服務(wù)器WS返回綁定頁面�����,頁面會(huì)利用瀏覽器插件生成QR碼�。QR碼中保存著智能終端的連接信息,比如MAC地址等�����;
[0066](4)用戶在成功解鎖設(shè)備上的應(yīng)用后,使用移動(dòng)智能終端設(shè)備上應(yīng)用掃描QR碼�����,移動(dòng)智能終端設(shè)備將解析該QR碼并得到智能終端的無線連接信息�����;
[0067](5)移動(dòng)智能終端設(shè)備利用無線連接信息與智能終端協(xié)商通信并建立安全信道�����;
[0068](6)移動(dòng)智能終端設(shè)備生成OTP并讀取安全存儲(chǔ)的OID —起發(fā)送至智能終端�。消息內(nèi)容格式[OTP, 0ID];
[0069](7)智能終端在接收到移動(dòng)智能終端設(shè)備發(fā)送的消息后��,獲取OID信息并將部分OID信息顯示在頁面����,等待用戶確認(rèn)OID正確性;如不正確�,可能的情況為受到附近人員的冒名攻擊,停止綁定過程;
[0070](8)瀏覽器將OTP和OID發(fā)送至認(rèn)證服務(wù)器WS����,消息內(nèi)容格式為[OTP,ID]��;
[0071](9)認(rèn)證服務(wù)器WS在收到OTP和OID后�,會(huì)向VC發(fā)送0ID,請(qǐng)求OID對(duì)應(yīng)的OTP �;
[0072](IO)VC利用OID查詢得到對(duì)應(yīng)的秘鑰生成0ΤΡ,返回給認(rèn)證服務(wù)器WS ��;
[0073](11)認(rèn)證服務(wù)器WS比較兩個(gè)OTP值�����,如果一致的話���,表示綁定成功,將綁定成功的結(jié)果返回智能終端的瀏覽器�����,并將ID和用戶主賬號(hào)的綁定關(guān)系寫入數(shù)據(jù)庫���;如果不一致���,綁定失敗�。
[0074]用戶在使用移動(dòng)智能終端設(shè)備掃描QR碼之前����,如果用戶對(duì)認(rèn)證應(yīng)用程序設(shè)定了密碼,則需要成功解鎖對(duì)應(yīng)的應(yīng)用程序�����。這樣不僅提高了移動(dòng)智能終端設(shè)備應(yīng)用的安全性��,也對(duì)驗(yàn)證過程添加了一次驗(yàn)證��,提高了整個(gè)過程的安全性����。在移動(dòng)智能終端設(shè)備綁定設(shè)備后,可以進(jìn)行安全的用戶賬號(hào)登陸��。
[0075]四�����、用戶主賬號(hào)與服務(wù)提供商賬號(hào)一對(duì)多映射綁定的實(shí)現(xiàn)方法
[0076]用戶賬號(hào)需要與SP賬號(hào)進(jìn)行綁定,才能提供身份認(rèn)證服務(wù)�。具體的綁定過程如圖5下:
[0077](I)用戶操作智能終端,訪問SP網(wǎng)站�,請(qǐng)求SP賬號(hào)和用戶主賬號(hào)的綁定;[0078](2) SP網(wǎng)站將會(huì)跳轉(zhuǎn)至認(rèn)證服務(wù)器WS��,用戶進(jìn)行登陸�����,具體過程見第四節(jié)���;
[0079](3)在用戶主賬號(hào)登陸后��,用戶需要輸入將要綁定的SP賬號(hào)�,跳轉(zhuǎn)回SP����。跳轉(zhuǎn)包含參數(shù)N���,N為與用戶賬號(hào)對(duì)應(yīng)的一個(gè)隨機(jī)數(shù)���;
[0080](4)用戶成功登陸SP后�,SP會(huì)發(fā)送對(duì)應(yīng)賬號(hào)的驗(yàn)證憑據(jù)給WS���,消息內(nèi)容格式為Sign [N, SPID]KPSP����,其中N為隨機(jī)數(shù)�����、SPID為綁定的SP賬號(hào)���、KPSP為SP私鑰���;
[0081](5)認(rèn)證服務(wù)器WS確認(rèn)驗(yàn)證憑據(jù):通過隨機(jī)數(shù)N確定用戶主賬號(hào),且該用戶主賬號(hào)需要綁定的SP賬號(hào)為SPID ;綁定的過程同時(shí)需要用戶的參與確認(rèn)�。認(rèn)證服務(wù)器WS將存儲(chǔ)綁定關(guān)系。
[0082]用戶主賬號(hào)與SPID的綁定過程是用戶���、認(rèn)證服務(wù)器WS和服務(wù)提供商(SP)共同合作完成的���。用戶需要在認(rèn)證服務(wù)器WS綁定頁面輸入需要綁定的SPID,并攜帶參數(shù)隨機(jī)數(shù)N跳轉(zhuǎn)到SP����。隨機(jī)數(shù)N是為了防止在SP和認(rèn)證服務(wù)器WS通信過程中����,消息被攻擊者獲取而受到重放攻擊���。同時(shí)��,利用N也能快速查找到需要綁定的用戶賬號(hào)���,在確認(rèn)N和用戶主賬號(hào)以及SPID的對(duì)應(yīng)關(guān)系后完成綁定。認(rèn)證服務(wù)器WS和服務(wù)提供商(SP)之間需要一種安全的通信方式和一套消息的通信協(xié)議����。
[0083]五、基于多屏多因素認(rèn)證的用戶單點(diǎn)登陸的實(shí)現(xiàn)方法
[0084]用戶主賬號(hào)在登陸的過程中�,需要用戶使用移動(dòng)智能終端設(shè)備來進(jìn)行多因素的驗(yàn)證登陸。結(jié)合移動(dòng)智能終端設(shè)備的本地驗(yàn)證和基于OTP的網(wǎng)絡(luò)驗(yàn)證����,提供了更加安全的登陸方式����。下面結(jié)合附圖6具體描述其執(zhí)行過程:
[0085](I)用戶打開瀏覽器�����,訪問認(rèn)證服務(wù)器WS �����;
[0086](2)用戶選擇登陸功能進(jìn)行登陸���;
[0087](3)認(rèn)證服務(wù)器WS返回登陸的頁面,并利用瀏覽器插件生成QR碼�。QR碼包含智能終端的無線連接信息,比如MAC地址等����;
[0088](4)用戶在成功解鎖移動(dòng)智能終端設(shè)備應(yīng)用后,利用移動(dòng)智能終端設(shè)備上應(yīng)用掃描QR碼���,并解析該QR碼獲得智能終端的無線連接信息��;
[0089](5)移動(dòng)智能終端設(shè)備利用連接信息與智能終端協(xié)商通信并建立安全信道�����;
[0090](6)移動(dòng)智能終端設(shè)備生成0ΤΡ���,發(fā)送至智能終端�。消息內(nèi)容格式[OTP�,0ID];
[0091](7)智能終端通過瀏覽器將OTP值和OID發(fā)送至認(rèn)證服務(wù)器WS��,消息內(nèi)容格式為[OTP�����,0ID]���;
[0092](8)認(rèn)證服務(wù)器WS在收到OTP和OID后�,會(huì)向VC發(fā)送0ID����,請(qǐng)求對(duì)應(yīng)OID的OTP ;
[0093](9) VC利用OID查詢得到對(duì)應(yīng)的秘鑰���,生成0ΤΡ���,返回給認(rèn)證服務(wù)器WS ;
[0094](10)認(rèn)證服務(wù)器WS比較兩個(gè)0ΤΡ,如果一致的話����,則表示登陸成功�,將登陸成功的結(jié)果返回智能終端的瀏覽器,返回并更新WS憑據(jù)(Cookie)(即通過該WS憑證實(shí)現(xiàn)傳統(tǒng)意思上的單點(diǎn)登錄SSO功能)�。若不一致,登陸不成功�����,請(qǐng)求用戶操作���。
[0095]用戶賬號(hào)在第一次登陸時(shí)需要上述過程�,而如果用戶賬號(hào)在之前已經(jīng)登錄過�,并且在瀏覽器中存在有效的WS憑據(jù)時(shí),則可以簡(jiǎn)化登陸的過程���。
[0096](I)用戶打開瀏覽器�,訪問認(rèn)證服務(wù)器WS �;
[0097](2)用戶選擇登陸功能進(jìn)行登陸;
[0098](3)瀏覽器檢測(cè)到存在WS憑據(jù)(Cookie)�,直接將其發(fā)送給認(rèn)證服務(wù)器WS ;
[0099](4) WS驗(yàn)證憑據(jù)有效后,表示憑據(jù)對(duì)應(yīng)賬號(hào)登陸成功����,認(rèn)證服務(wù)器WS將返回登錄成功的結(jié)果并更新WS憑據(jù);
[0100]用戶主賬號(hào)的登陸表面看起來比較復(fù)雜��,但是用戶實(shí)際操作是比較少的���。僅需要解鎖移動(dòng)智能終端設(shè)備應(yīng)用并掃描QR碼���。特別是瀏覽器存在有效的WS憑據(jù)時(shí),登陸過程十分方便�����,有良好的用戶體驗(yàn)�����。
[0101]本發(fā)明未詳細(xì)闡述部分屬于本領(lǐng)域公知技術(shù)����。
[0102]以上所述,僅為本發(fā)明部分【具體實(shí)施方式】���,但本發(fā)明的保護(hù)范圍并不局限于此���,任何熟悉本領(lǐng)域的人員在本發(fā)明揭露的技術(shù)范圍內(nèi)���,可輕易想到的變化或替換��,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)�����。
【權(quán)利要求】
1.一種多屏多因子便捷WEB身份認(rèn)證方法����,其特征在于實(shí)現(xiàn)步驟如下: (1)在移動(dòng)智能終端設(shè)備上安裝客戶端,在智能終端瀏覽器上安裝瀏覽器插件����;移動(dòng)智能終端設(shè)備需具備無線網(wǎng)絡(luò)連接功能和拍照功能,智能終端具備無線網(wǎng)絡(luò)連接功能�����; (2)用戶在移動(dòng)智能終端設(shè)備上首次啟動(dòng)客戶端時(shí)�,借助客戶端在設(shè)備倉庫服務(wù)器VS上完成設(shè)備注冊(cè),通過客戶端預(yù)置的設(shè)備倉庫服務(wù)器VS證書,建立SSL安全信道�,將注冊(cè)信息保存于設(shè)備倉庫服務(wù)器VS上,所述注冊(cè)信息包括移動(dòng)智能終端的設(shè)備識(shí)別號(hào)���,注冊(cè)時(shí)間,注冊(cè)IP地址,客戶端版本信息��; (3)移動(dòng)智能終端設(shè)備注冊(cè)成功后�����,用戶參與本地用戶賬號(hào)注冊(cè)�����,通過移動(dòng)智能終端設(shè)備上的客戶端將用戶賬號(hào)���、密碼存儲(chǔ)在本地,然后通過預(yù)置的設(shè)備倉庫服務(wù)器VS證書�����,向設(shè)備倉庫服務(wù)器VS發(fā)起用戶注冊(cè)���,注冊(cè)信息為移動(dòng)智能終端設(shè)備的設(shè)備識(shí)別號(hào)���,加密過的本地用戶賬號(hào)�,用戶證書簽發(fā)請(qǐng)求(PKCS#10)����、注冊(cè)時(shí)間和注冊(cè)IP地址信息; (4)用戶賬號(hào)注冊(cè)成功后����,移動(dòng)智能終端設(shè)備通過預(yù)置的設(shè)備倉庫服務(wù)器VS證書建立的SSL安全信道�����,然后接收設(shè)備倉庫服務(wù)器VS簽發(fā)用戶證書和備倉庫服務(wù)器生成OTP共享密鑰���;接收設(shè)備倉庫服務(wù)器VS將接受信息同本地用戶賬號(hào)����、密碼在移動(dòng)智能終端設(shè)備上安全存儲(chǔ)�����,并與設(shè)備倉庫服務(wù)器VS完成基于UTC同步偏移窗口的時(shí)間同步����; (5)完成設(shè)備注冊(cè)和本地用戶賬號(hào)注冊(cè)后�,用戶通過開啟客戶端����,驗(yàn)證本地用戶名和密碼通過后,讀取安全存儲(chǔ)區(qū)的共享密鑰��,根據(jù)系統(tǒng)UTC時(shí)間���,生成OTP �; (6)用戶在智能終端開啟瀏覽器作身份認(rèn)證時(shí)��,需啟動(dòng)瀏覽器插件的無線網(wǎng)絡(luò)連接功能����,此時(shí)瀏覽器插件讀取智能終端的IP地址與空閑端口號(hào),通過隨機(jī)數(shù)生成無線局域網(wǎng)絡(luò)的隨機(jī)服務(wù)設(shè)置標(biāo)識(shí)(Service Set Identifier, SSID)和密碼���,并啟動(dòng)無線局域網(wǎng)絡(luò)連接功能且等待外部連接��,同時(shí)`將連接信息SSID�、密碼�����、IP地址、端口號(hào)放入QR碼(即二維碼)中����,屏眷顯不QR碼; (7)用戶使用移動(dòng)智能終端設(shè)備的客戶端掃描上述QR碼����,利用QR碼內(nèi)的信息與瀏覽器插件建立無線網(wǎng)絡(luò)連接,并通過預(yù)置的瀏覽器插件證書建立安全Socket連接�����,傳輸用戶證書序列號(hào)和OTP ���; (8)智能終端瀏覽器插件接收到數(shù)據(jù)后,通過與認(rèn)證服務(wù)器WS建立的SSL安全信道完成數(shù)據(jù)傳送����,認(rèn)證服務(wù)器W對(duì)智能終端瀏覽器傳送過來的用戶證書序列號(hào)和OTP進(jìn)行驗(yàn)證,驗(yàn)證通過后���,允許用戶進(jìn)入相應(yīng)業(yè)務(wù)��,否則��,拒絕用戶服務(wù)�����。
2.根據(jù)權(quán)利要求1所述的多屏多因子便捷WEB身份認(rèn)證方式����,其特征在于:所述步驟(I)中,無線網(wǎng)絡(luò)連接模塊功能是指具有W1-Fi模塊�����,相似的具有藍(lán)牙�、NFC功能也能夠作為替代。
3.根據(jù)權(quán)利要求1所述的多屏多因子便捷WEB身份認(rèn)證方式��,其特征在于:所述步驟(4)中���,安全存儲(chǔ)是在公用存儲(chǔ)空間開辟一小塊虛擬加密的存儲(chǔ)塊����,然后使用證書序號(hào)轉(zhuǎn)化的多重混淆密鑰加密存儲(chǔ)數(shù)據(jù)�����,保證移動(dòng)智能終端設(shè)備的證書庫和OTP的共享密鑰、本地用戶賬號(hào)和密碼的安全�。
4.根據(jù)權(quán)利要求1所述的多屏多因子便捷WEB身份認(rèn)證方式,其特征在于:進(jìn)一步的���,所述步驟(8)中���,認(rèn)證服務(wù)器W對(duì)智能終端瀏覽器傳送過來的用戶證書序列號(hào)和OTP進(jìn)行驗(yàn)證過程為:認(rèn)證服務(wù)器WS通過已存儲(chǔ)的該用戶的證書序列號(hào)與傳送過來用戶證書序列號(hào)進(jìn)行比對(duì)驗(yàn)證,若驗(yàn)證不通過��,則終止該身份認(rèn)證���;若驗(yàn)證通過�����,則認(rèn)證服務(wù)器WS將該用戶的用戶標(biāo)識(shí)、共享秘鑰SK�、系統(tǒng)UTC時(shí)間安全傳送給設(shè)備倉庫緩存器VC,作為哈希運(yùn)算消息認(rèn)證碼 HMAC (Hash-based Message Authentication Code,簡(jiǎn)稱 HMAC)算法的計(jì)算參數(shù)��,產(chǎn)生一個(gè)0TP��,結(jié)合該用戶的同步偏移量值,對(duì)OTP進(jìn)行驗(yàn)證����。
5.根據(jù)權(quán)利要求1所述的多屏多因子便捷WEB身份認(rèn)證方式,其特征在于:所步驟(4)中�����,設(shè)備倉庫服務(wù)器VS與設(shè)備倉庫服務(wù)器VS完成基于UTC同步偏移窗口的時(shí)間同步的方法為:設(shè)備倉庫服務(wù)器VS預(yù)定義N個(gè)同步偏移量窗口���,即-N���,吣,-3����,-2,-1�,0,1���,2����,3,…���,N����,其中N為自然數(shù)��,然后使用同步偏移窗口內(nèi)的偏移值的和��,共享密鑰SK和設(shè)備倉庫服務(wù)器的UTC時(shí)間生成0ΤΡ�,然后將接收到的OTP與生成的OTP依次比較,找到與接收到的OTP相等的0ΤΡ����,則該OTP對(duì)應(yīng)的偏移值即為接收到的OTP對(duì)應(yīng)的偏移值,利用該偏移值完成同止/J/ O
6.根據(jù)權(quán)利要求1所述的多屏多因子便捷WEB身份認(rèn)證方式����,其特征在于:所述步驟(7)中生成所述OTP的方法為:將共享密鑰SK、用戶標(biāo)識(shí)和UTC時(shí)間作為HMAC算法的計(jì)算參數(shù)�,生成信息摘要;然后從生成的信息摘要中隨機(jī)摘取設(shè)定位數(shù)的比特信息�,生成0ΤΡ。
7.根據(jù)權(quán)利要求1所述的多屏多因子便捷WEB身份認(rèn)證方式�����,其特征在于:所述步驟(4)中�����,移動(dòng)智能終端設(shè)備完成本地用戶注冊(cè)時(shí)��,在本地會(huì)生成一個(gè)公私鑰對(duì)并收集本地信息�����,產(chǎn)生證書簽發(fā)請(qǐng)求PKCS#10��,通過安全信道傳輸給設(shè)備倉庫服務(wù)器VS ��;vs驗(yàn)證通過后���,使用自身私鑰簽發(fā)生成VS簽名證書����,將VS簽發(fā)證書通過安全信道傳輸給移動(dòng)智能終端設(shè)備進(jìn)行安全存儲(chǔ)����。
8.根據(jù)權(quán)利要求1所述的多屏多因子便`捷WEB身份認(rèn)證方式�,其特征在于:所述步驟(8)中��,若認(rèn)證服務(wù)器驗(yàn)證用戶身份通過���,則所述認(rèn)證服務(wù)器WS將一有時(shí)間期限的認(rèn)證憑證保存在智能終端瀏覽器端���,以便該用戶下次直接登錄。
【文檔編號(hào)】H04L29/06GK103780397SQ201410065291
【公開日】2014年5月7日 申請(qǐng)日期:2014年2月25日 優(yōu)先權(quán)日:2014年2月25日
【發(fā)明者】王雅哲, 李琛, 王瑜, 胡銘銘 申請(qǐng)人:中國科學(xué)院信息工程研究所