技術領域

本發明屬于信息安全領域的身份認證領域，具體涉及到一種基于智能終端本地認證的多SP安全綁定的實現方法。

背景技術

隨著網絡的發展和互聯網的普及(桌面服務的網絡化)，互聯網服務的多樣化和用戶定制的個性化使得幾乎所有互聯網服務提供商在提供相應服務之前都需要用戶首先進行身份注冊。而傳統的身份注冊和驗證方式(即用戶名密碼的驗證方式)即存在密碼泄露或被竊聽等諸多安全問題，又會因為數量眾多記憶困難給用戶造成困擾。隨著生物識別技術和圖形圖像識別技術的發展，傳統的用戶名密碼已不再是基于網絡的用戶身份認證的唯一選擇。本專利將重點放在了用戶擁有的信息(Something they have)和用戶的自身信息(Something they are)上，使用指紋驗證，面部驗證或是手機二維碼等方式對用戶的身份進行鑒別。拋棄基于用戶知曉信息的驗證方式(something they know)。

這種轉變也面臨著一些較難解決的問題：第一、如何在不對現有的用戶數據造成損害的前提下，使用戶在短時間內使用新的身份驗證方法登錄其持有的賬戶。數以萬計的互聯網服務提供商已經形成了成熟且完備的傳統身份認證機制，使服務提供商放棄已形成的用戶群，并讓用戶通過新的身份認證方式重新注冊賬戶顯然不現實，且會給用戶造成信息丟失等困擾。工作的重點應該放在如何將新的身份驗證方式綁定到用戶已有的賬戶上來。

第二，身份認證設備的爆發式發展造成了設備種類眾多且標準不一的問題，目前尚沒有統一的標準規定可用于身份認證的認證設備實體，用戶只能參考由服務提供商(SP,Service Provider)提供的推薦設備列表來選擇認證設備，不僅認證設備的安全性得不到保障，而且用戶需要為其所需的每一個服務提供商準備一個認證設備，認證設備的對應和保存又給用戶提出了一個新的難題。

因此，將傳統身份認證方式和基于生物特征和圖形識別的新型身份認證方式整合起來，將多個服務提供商的認證設備整合起來，就成了現在身份認證發展面臨的主要問題。

發明內容

本發明技術解決問題：克服現有技術的不足，提供一種基于智能終端本地認證的多SP安全綁定的實現方法，通過非對稱密鑰機制將用戶通過傳統身份注冊生成的用戶賬戶UID和利用用戶智能終端上安裝的認證客戶端以及內置或外接于用戶智能終端的認證設備提取用戶新的身份信息(指紋，面部識別，二維碼等)綁定起來，在保證用戶身份認證操作便捷的情況下，大大的提高了認證過程中信息的安全性。

本發明技術解決方案：首先通過“信任預置”，在認證設備投入使用前，為認證設備生成公私鑰證書，將其公鑰存儲于身份綁定服務器端，私鑰存儲于認證設備中，用于雙方信息交互過程中的簽名和驗證。其次，在保證用戶身份認證高安全與操作便捷的前提下，在身份綁定過程中，將用戶持有的已連接認證設備的智能終端與用戶在SP中已申請的賬號進行綁定，并且，用戶持有的每一個智能終端，都可以同時和多個SP進行綁定，通過這種方式，借助智能終端上的如指紋掃描器、攝像頭等認證設備，實現了一種新型的賬號映射管理方法，從而實現借助同一用戶設備登錄多個SP，在簡化操作的同時，也大大提高了身份注冊綁定過程中的安全性。

本發明具體實現步驟如下：

(1)基于智能終端本地認證的多SP安全綁定的模塊化實現方法

本發明的功能實現主要分為三個部分，為了將功能實現之間進行解耦，方便設計以及今后拓展，將本專利劃分為了三個模塊：Web服務提供商模塊、身份綁定服務器模塊和綁定服務用戶設備模塊。下面對這三個模塊進行簡要功能介紹：

(I)身份綁定模塊：該模塊在收到Web服務提供商發送的請求后生成身份綁定請求進行身份綁定，并在身份綁定客戶端返回身份綁定相應后，驗證認證設備簽名并存儲UID—用戶公鑰UAuth.pub供后續用戶身份驗證。除此以外，該模塊還會在“信任預置”部分負責提前存儲可使用的認證設備公鑰。

(II)Web服務提供商模塊：該模塊的主要功能就是為用戶提供Web網絡服務并提供注冊功能使用戶獲取在該Web服務上的用戶名UID。UID是后續身份綁定過程的必要元素。另外，該模塊還會根據所提供服務的安全需要制定自己的安全策略(主要是支持認證設備的列表)。

(III)綁定服務認證設備模塊：該模塊主要是使用內置或外接與用戶智能終端的認證設備收集用戶信息(如指紋等生物信息)并為該信息生成用戶公私鑰，之后安裝在智能終端上的身份綁定客戶端將用戶公鑰和用戶UID打包為KRD并用設備私鑰EAuth.priv進行簽名。