技術領域

本發(fā)明屬于信息安全領域的身份認證方法，具體涉及到一種基于智能終端本地認證的web安全訪問的實現。

背景技術

在大多數計算機連入網絡之前，各個系統(tǒng)中像身份驗證和授權這類安全服務的實現完全是獨立的。因此，執(zhí)行身份驗證所需的全部代碼，以及密鑰、口令，供授權決策所用的用戶信息，以及授權策略本身均存放于使用這些信息的系統(tǒng)上。每個系統(tǒng)都是一個孤島，各系統(tǒng)都要求用戶擁有一個賬戶才能訪問該系統(tǒng)。

隨著互聯(lián)網的出現，一個用戶往往會訪問許多服務，包括一種服務可能會由多臺機器提供，如果這些服務都使用各自的一套口令，對于用戶這是一個難以控制的問題，他們必須記住大量的口令。于是單點登錄(Single Sign-on，SSO)出現了。

單點登錄是一種用于方便用戶訪問網絡的技術。無論多么復雜的網絡結構，用戶只需進行一次登錄，即可獲得訪問系統(tǒng)和應用軟件的授權，以后便可以在網絡中自由穿梭，不必多次輸入用戶名和口令來確定身份。在此條件下，管理員無需修改或干涉用戶登錄就能方便地實施希望得到的安全控制，用戶也無需為記憶大量的口令付出代價。

然而，在傳統(tǒng)的單點登錄里，用戶仍然要記住在RP上的帳號和口令，而且由于一套帳號可以登錄很多服務，所以，一旦RP上的帳號被泄露，與這個帳號綁定的所有服務都會暴露在攻擊者面前，在某一方面來說會讓用戶賬號變得更加不安全，同時由于不同的設備支持的協(xié)議，加密標準都不太一樣，服務器要為每一套設備準備一套認證方案，很不方便。

因此，更好的身份認證的方法應該在保留傳統(tǒng)的單點登錄的特性之下，在不增加用戶使用難度的前提下，提升用戶資料的安全性，現有的身份認證方式主要是通過驗證用戶知曉的信息(something know)、用戶擁有的信息(something have)、用戶自身信息(something are)進行核實用戶身份，然而傳統(tǒng)的驗證方法仍然要上傳用戶自身信息，也存在著泄露的風險，本發(fā)明創(chuàng)新性的提出基于智能終端本地認證的web安全訪問的實現方法，將用戶本地的身份和在線身份綁定起來，使用本地身份和公私鑰簽名驗證來檢驗用戶的身份，用戶不需要反復提交身份證明，大大降低了身份信息泄露的可能性。

發(fā)明內容

本發(fā)明技術解決問題：克服現有技術的不足，提供基于智能終端本地認證的web安全訪問的實現方法，將用戶本地的身份和在線身份綁定起來，使用本地身份和公私鑰簽名驗證來檢驗用戶的身份，將本地的多種認證方法和在線的公私鑰的挑戰(zhàn)響應式結合起來，用戶不需要反復提交身份證明，大大降低了身份信息泄露的可能性。同時，本發(fā)明也為多種智能終端提供統(tǒng)一的在線認證服務，具有安全性高、用戶體驗效果好、使用方便快捷等優(yōu)點。

本發(fā)明的技術方案為：基于智能終端本地認證的web安全訪問的實現方法，實現步驟如下：

(1)在智能終端上安裝用戶代理(比如RP的客戶端,打開了RP網頁的瀏覽器)，智能終端需要擁有網絡連接功能；

(2)用戶在RP上注冊用戶賬號UID，然后將新注冊的用戶賬戶綁定至智能終端上；

(3)用戶請求認證時首先打開安裝在智能終端上的用戶代理，然后訪問到RP的頁面，該訪問和之后的訪問全程使用TLS進行保護；

(4)RP將用戶訪問重定向到認證服務器，認證服務器首先返回AppID，認證的Policy，以及服務器端生成的挑戰(zhàn)值Chl給認證客戶端，該挑戰(zhàn)值Chl使用偽隨機數算法生成；

(5)認證客戶端根據AppID，服務器挑戰(zhàn)Chl等生成FCH傳遞給認證設備；

(6)利用注冊的時候存儲的用戶本地身份信息，認證設備對用戶進行本地身份認證，認證成功以后，使用注冊的時候生成的私鑰UAuth.priv和FCH簽名生成SignedData，并且發(fā)送到認證服務器端；

(7)認證服務器端根據用戶名查找對應的公鑰，并使用公鑰驗證簽名，如果驗證通過，則用戶登錄成功，至此完成了基于公私鑰的挑戰(zhàn)響應式身份認證。

所述步驟(1)中，網絡連接功能是指通過以太網、Wi-Fi模塊或者藍牙等模塊連上網絡并且能訪問到RP。

所述步驟(2)中，用戶UID是指用戶使用傳統(tǒng)手段在RP上進行注冊，如使用賬戶名和密碼進注冊后，RP分配給用戶的一個唯一的身份ID，不同的用戶在同一個RP上獲取的UID不一樣，同一個用戶在不同的RP上獲取的UID相互不關聯(lián)，不同的用戶在不同的RP上活的的UID可能相同，在本權利書所述的認證過程中，假設用戶已經成功綁定了一個本地身份和在線身份。