1.一種基于智能終端本地認證的多服務提供商SP安全綁定的實現方法，其特征在于實現步驟如下：

(1)基于智能終端本地認證的多服務提供商SP安全綁定的數據信息交互體系構建

基于模塊內層次結構，通過AppID，FCH，EAuth，UID，Chl，KRD和Policy數據交互最終實現身份注冊及綁定；其中，AppID用于標記請求身份綁定的服務提供商SP，UID用于標記在服務提供商SP上用戶的唯一賬戶名，而EAuth作為一個認證設備的唯一標記通過公私鑰對簽名驗證機制被身份綁定服務器識別，EAuth在身份驗證過程之前已經在認證設備和身份綁定服務器之間溝通好；針對每一個(appID，UID)二元組，認證設備會生成一個全新的公私鑰對，公鑰由認證設備私鑰EAuth.priv簽名后發給身份綁定服務器，身份綁定服務器接收到后與用戶名一起存入記錄；Chl是由身份綁定服務器產生的一組隨機標記，用于防止惡意攻擊者的重放攻擊；認證策略Policy指明了哪些認證方式是合法的而那些認證方式是不被允許的；FCH身份綁定客戶端在接收到服務器發來的數據時，通過挑戰值、appID參數生成FCH并將其發送給認證設備；KRD是由FCH、認證設備新生成的用戶公鑰數據組成，并由認證設備的EAuth.priv簽名；

(2)基于智能終端本地認證的多服務提供商SP安全綁定的模塊化實現

劃分為了三個模塊：Web服務提供商模塊、身份綁定服務器模塊和綁定服務用戶設備模塊；

身份綁定服務器模塊：在收到Web服務提供商發送的請求后生成身份綁定請求進行身份綁定，并在身份綁定客戶端返回身份綁定響應后，驗證認證設備簽名并存儲用戶名UID以及用戶公鑰UAuth.pub供后續用戶身份驗證；該模塊還會在“信任預置”部分負責提前存儲可使用的認證設備公鑰；

Web服務提供商模塊：為用戶提供Web網絡服務并提供注冊功能使用戶獲取在該Web服務上的用戶名UID，UID是后續身份綁定過程的必要元素；該模塊還會根據所提供服務的安全需要制定自己的安全策略；

綁定服務用戶設備模塊：使用內置或外接與用戶智能終端的認證設備收集用戶信息，并為該信息生成用戶公私鑰，之后安裝在智能終端上的身份綁定客戶端將用戶公鑰和用戶名UID打包為KRD并用設備私鑰EAuth.priv進行簽名；

(3)基于智能終端本地認證的多服務提供商SP的身份綁定過程

(31)認證設備的“信任預置”

認證設備在出廠后正式投入商用前，首先要對認證設備的安全性問題進行檢測，以對其安全等級問題進行評估；并且在正式投入使用前，應為每個型號的安全設備生成公鑰證書，并將其對應公鑰注冊至身份綁定服務器端，私鑰保存于設備本身；當身份綁定服務器接收到由認證設備發送并用其私鑰簽名的數據包時，用其對應的公鑰進行驗證；

(32)認證設備及身份綁定客戶端的安裝

認證設備根據智能終端生產商設計的不同，內置于智能終端內或是由用戶在使用時連接至智能終端，用戶應將對應的身份綁定客戶端安裝至智能設備，并通過客戶端中的認證設備抽象層為認證設備提供驅動和接口；

(33)身份綁定服務器和服務提供商SP服務器的配置

身份綁定服務器或作為服務提供商SP web服務器的一個子模塊，或者作為一個獨立的存在，負責多個服務提供商SP的身份綁定和驗證功能；

(34)用戶注冊用戶賬號

用戶在服務提供商SP上注冊用戶賬號UID；

(35)將新注冊的用戶賬戶綁定至認證設備上

之前的步驟只是使用了傳統的身份注冊方法為用戶分配了唯一的UID，若要把這個用戶綁定到連接至智能終端的認證設備上，智能終端首先要獲知與其通信的服務提供商SP支持何種認證設備；根據不同服務提供商SP安全等級的不同，并不是所有類型的認證設備都可以被服務提供商SP接受，故還需要Policy參數指定可用的認證設備，如果連接至智能終端的認證設備不在Policy列表中，則身份綁定失敗；

(36)登記已綁定的UID和用戶設備

用戶完成步驟(35)時，即完成了賬號的綁定過程；認證設備為用戶生成了一個新的公私鑰對，將其中的公鑰發回身份綁定服務器，身份綁定服務器將公鑰和對應的用戶存入數據庫，當該用戶下次登錄時，身份綁定服務器用記錄的公鑰驗證登錄時認證設備發來的由私鑰簽名的數據，若驗證成功，則用戶成功登錄。