技術(shù)領(lǐng)域

本發(fā)明屬于信息安全領(lǐng)域的身份認(rèn)證領(lǐng)域，具體涉及到一種多屏多因子便捷WEB身份認(rèn)證的一對(duì)多賬號(hào)映射綁定的實(shí)現(xiàn)方法。

背景技術(shù)

隨著網(wǎng)絡(luò)的發(fā)展和互聯(lián)網(wǎng)的普及（桌面服務(wù)的網(wǎng)絡(luò)化），用戶在獲得網(wǎng)絡(luò)服務(wù)的同時(shí)將擁有大量的賬號(hào)。調(diào)查表明：如果一個(gè)用戶擁有30個(gè)賬號(hào)，則該用戶會(huì)使用5個(gè)或者6個(gè)密碼，而且用戶總是采用嘗試的方法進(jìn)行登陸，即嘗試每一個(gè)密碼登陸直到登陸成功，或者是使用重置密碼功能登陸。這樣用戶將會(huì)耗費(fèi)大量的時(shí)間在登錄過程中，并且由于網(wǎng)站登錄策略的限制會(huì)耗費(fèi)更長(zhǎng)的時(shí)間，即有些網(wǎng)站要求在輸入幾次錯(cuò)誤密碼后，需要填寫驗(yàn)證碼。隨著越來(lái)越多的網(wǎng)絡(luò)服務(wù)的涌現(xiàn)，如果用戶在登陸每個(gè)網(wǎng)站都需使用不同的密碼，這將是對(duì)用戶記憶力的一大考驗(yàn)。

單點(diǎn)登錄（Single?Sign-On，簡(jiǎn)稱SSO）可大大簡(jiǎn)化用戶登陸網(wǎng)站的過程：它允許用戶使用同一個(gè)身份提供者（Identity?Provider，簡(jiǎn)稱IDP）的賬戶登錄各服務(wù)提供商(Service?Provider，簡(jiǎn)稱SP)的網(wǎng)站，使用戶從在多個(gè)網(wǎng)站注冊(cè)賬號(hào)和使用多個(gè)密碼的記憶中解脫出來(lái)。因此，SSO具有使用戶記憶較少的密碼、一點(diǎn)登陸，全域漫游、用戶體驗(yàn)性好等優(yōu)點(diǎn)。但是，傳統(tǒng)SSO登陸方式并沒有從本質(zhì)上解決用戶高安全登陸的問題，只是將用戶能否安全便捷登陸SP轉(zhuǎn)化為能否安全登陸IDP，一旦IDP登陸賬號(hào)被人竊取，該IDP綁定的其他SP網(wǎng)絡(luò)服務(wù)就會(huì)被人盜用，使用戶數(shù)據(jù)面臨著嚴(yán)重的安全威脅。

傳統(tǒng)增強(qiáng)的身份認(rèn)證方式，一般采用兩步身份認(rèn)證，即在服務(wù)器端通過驗(yàn)證用戶知道的信息(something?know)、用戶擁有的信息（something?have）、用戶自身信息（something?are）中的兩到三項(xiàng)完成多因子認(rèn)證來(lái)提高認(rèn)證的安全等級(jí)。若用戶在連接服務(wù)器的過程中信道被劫持，再多的認(rèn)證因子信息也會(huì)通過被劫持信道泄露，給用戶帶來(lái)潛在的安全隱患。

發(fā)明內(nèi)容

本發(fā)明技術(shù)解決問題：克服現(xiàn)有技術(shù)的不足，提供一種多屏多因子便捷WEB身份認(rèn)證的一對(duì)多賬號(hào)映射綁定的實(shí)現(xiàn)方法，在保證用戶身份認(rèn)證操作便捷的情況下，大大的提高了認(rèn)證過程中信息的安全性。

本發(fā)明技術(shù)解決方案：在保證用戶身份認(rèn)證高安全與操作便捷的前提下，在多屏多因子身份認(rèn)證（即用戶首先移動(dòng)智能終端設(shè)備完成本地敏感信息驗(yàn)證，驗(yàn)證通過后，在服務(wù)器端完成基于一次性密碼OTP（One?Time?Password，簡(jiǎn)稱OTP）驗(yàn)證）中通過身份提供者IDP賬號(hào)與服務(wù)提供商SP服務(wù)賬號(hào)的一對(duì)多雙向關(guān)聯(lián)和身份提供者IDP賬號(hào)與設(shè)備賬號(hào)（DeviceIdentity，簡(jiǎn)稱DID）的一對(duì)多雙向關(guān)聯(lián)，完成一種新型的SSO賬號(hào)映射管理方法，從而實(shí)現(xiàn)將多SP的登陸過程變?yōu)槭褂枚郉ID中的任意一個(gè)完成單點(diǎn)登錄過程。

本發(fā)明具體實(shí)現(xiàn)步驟如下：

（1）首先建立三層賬號(hào)體系

借助三層賬號(hào)體系，完成對(duì)設(shè)備、用戶、服務(wù)三個(gè)層面的關(guān)聯(lián)，所述三層賬號(hào)體系分別是設(shè)備賬號(hào)DID、用戶賬號(hào)UID和服務(wù)賬號(hào)SPID，分別對(duì)應(yīng)設(shè)備層（DID）、用戶層（UID）和服務(wù)層（SPID）；其中：

設(shè)備賬號(hào)DID作為移動(dòng)智能終端設(shè)備的識(shí)別信息，起到標(biāo)識(shí)用戶擁有該設(shè)備的作用，由移動(dòng)智能終端設(shè)備在設(shè)備倉(cāng)庫(kù)服務(wù)器VS上通過證書激活技術(shù)獲得；DID信息由兩部分信息共同組成，一部分為移動(dòng)智能終端設(shè)備擁有者信息，保存在移動(dòng)智能終端本地安全存儲(chǔ)區(qū)上；另一部分為移動(dòng)智能終端設(shè)備本身信息，保存在設(shè)備倉(cāng)庫(kù)服務(wù)器VS上；用戶信息利用本地設(shè)備映射關(guān)系，直接跟DID信息關(guān)聯(lián)，設(shè)備倉(cāng)庫(kù)服務(wù)器VS上只存儲(chǔ)設(shè)備信息；

用戶賬號(hào)UID作為用戶在WS的賬號(hào)，是用戶的身份，由用戶在認(rèn)證服務(wù)器WS上注冊(cè)獲得，UID信息保存在認(rèn)證服務(wù)器WS，為DID與SPID關(guān)聯(lián)的中間件，是三層賬號(hào)體系的實(shí)施的基礎(chǔ)；

服務(wù)賬號(hào)SPID為用戶的服務(wù)賬號(hào)，由SP提供；SPID的注冊(cè)在SP端進(jìn)行，同時(shí)SPID的信息保存在SP服務(wù)器上，SPID的服務(wù)權(quán)限由SP提供管理；

（2）三層賬號(hào)映射綁定及使用