技術(shù)領(lǐng)域

本發(fā)明涉及身份認(rèn)證技術(shù)領(lǐng)域，具體的說，是一種基于多終端多場(chǎng)景的可信身份認(rèn)證方法。

背景技術(shù)

由于大中型企業(yè)信息化的不斷發(fā)展，信息化水平的不斷提升，業(yè)務(wù)應(yīng)用場(chǎng)景已由原始的單體架構(gòu)環(huán)境向更加復(fù)雜的多元化應(yīng)用場(chǎng)景進(jìn)行轉(zhuǎn)變。同時(shí)，在互聯(lián)網(wǎng)技術(shù)發(fā)達(dá)的今天，很多新興技術(shù)正在引領(lǐng)傳統(tǒng)企業(yè)進(jìn)行改變，多數(shù)企業(yè)甚至都已經(jīng)將應(yīng)用向云環(huán)境進(jìn)行遷移和覆蓋。但是，企業(yè)應(yīng)用身份驗(yàn)證模式的轉(zhuǎn)變是一個(gè)首先要解決的問題，由于企業(yè)信息化進(jìn)程的不斷推進(jìn)，最終導(dǎo)致應(yīng)用孤島問題。時(shí)下傳統(tǒng)的身份認(rèn)證孤島問題主要為以下幾個(gè)方面：1）身份信息的集中式存儲(chǔ)問題；2）用戶多密碼記憶以及弱口令問題；3）認(rèn)證集成多元化復(fù)雜化，增加身份數(shù)據(jù)泄露問題；4）互聯(lián)網(wǎng)時(shí)代智能設(shè)備的便捷性認(rèn)證問題。

根據(jù)GARTER 2016 身份泄露的數(shù)據(jù)統(tǒng)計(jì)報(bào)告，有超過一半的企業(yè)網(wǎng)絡(luò)安全事故和身份認(rèn)證憑據(jù)盜用有關(guān)。采用更加高效和安全的身份認(rèn)證技術(shù)也變得越來越重要，傳統(tǒng)的賬號(hào)密碼這種單一的認(rèn)證方式已無法滿足企業(yè)級(jí)統(tǒng)一認(rèn)證需求，也不再適應(yīng)未來的需求。如何為應(yīng)用系統(tǒng)提供方便、安全、快捷的身份認(rèn)證服務(wù)，成為擺在我們面前不得不面對(duì)的課題。數(shù)據(jù)安全始終是每一個(gè)信息系統(tǒng)信息交互過程都要面臨的一個(gè)重要問題。

然而，傳統(tǒng)用戶密碼的驗(yàn)證方式和問題已在上文進(jìn)行了詳細(xì)的描述，傳統(tǒng)企業(yè)應(yīng)用構(gòu)建的模式，身份認(rèn)證方式讓我們不得不用大腦或筆記來記住各種各樣的密碼甚至忘記自己的密碼，總會(huì)擔(dān)心密碼及核心身份數(shù)據(jù)被安全攻擊挾持等風(fēng)險(xiǎn)。

基于傳統(tǒng)方案的以上問題，典型的技術(shù)做法主要有以下兩種：

1）時(shí)下主流的生物識(shí)別技術(shù)

如圖2所示，目前，在先進(jìn)企業(yè)，尤其是在互聯(lián)網(wǎng)公司，應(yīng)用較多、也受大眾認(rèn)可的認(rèn)證方式主要是通過生物識(shí)別技術(shù)（二維碼、指紋、人臉、虹膜、聲紋、靜脈、UKEY、穿戴設(shè)備等），來代替?zhèn)鹘y(tǒng)的用戶密碼驗(yàn)證，解決了用戶密碼記憶和協(xié)議集成等多從困難問題。這種方式的優(yōu)點(diǎn)是方便快捷，并且用戶不用記憶很多密碼。缺點(diǎn)是復(fù)雜性、冗余性、不方便攜帶等問題，并且部分設(shè)備價(jià)格也不低。

2）多終端多場(chǎng)景可信身份驗(yàn)證技術(shù)

如圖3所示，這種方式的做法是首先基于一種國(guó)際通用的輕量級(jí)身份安全鑒別協(xié)議，核心是采用終端設(shè)備內(nèi)嵌的安全芯片的能力，在不同的安全級(jí)別要求下，將設(shè)備的認(rèn)證方式和策略進(jìn)行設(shè)置，實(shí)現(xiàn)對(duì)通用身份安全鑒別協(xié)議的支持，從而完成基于用戶現(xiàn)有移動(dòng)終端的身份驗(yàn)證。這種方式的優(yōu)點(diǎn)是：充分利用了用戶現(xiàn)有的手持設(shè)備，將身份驗(yàn)證的工作交給設(shè)備內(nèi)置的安全芯片處理，實(shí)現(xiàn)認(rèn)證方式與認(rèn)證協(xié)議的分離解耦，讓身份認(rèn)證更加安全高效、價(jià)格低廉。缺點(diǎn)是目前過于陳舊的或者一些山寨的移動(dòng)終端暫不支持這種通用的身份安全鑒別協(xié)議。

發(fā)明內(nèi)容

本發(fā)明的目的在于：提供一種基于多終端多場(chǎng)景的可信身份認(rèn)證方法，充分利用終端設(shè)備內(nèi)嵌的認(rèn)證器的能力，將認(rèn)證方式和認(rèn)證協(xié)議進(jìn)行解耦，保護(hù)用戶數(shù)據(jù)隱私，以解決傳統(tǒng)認(rèn)證的各種復(fù)雜問題。

本發(fā)明通過下述技術(shù)方案實(shí)現(xiàn)：一種基于多終端多場(chǎng)景的可信身份認(rèn)證方法，基于具有生物特征識(shí)別功能的終端設(shè)備，讓認(rèn)證方式與認(rèn)證協(xié)議完全解耦，即認(rèn)證方式在終端設(shè)備上即插即用，完成用戶身份的安全認(rèn)證；同時(shí)，統(tǒng)一僅有客戶端和服務(wù)端的標(biāo)準(zhǔn)化認(rèn)證協(xié)議，使任何終端設(shè)備都能使用認(rèn)證協(xié)議中的客戶端。

進(jìn)一步地，為了更好的實(shí)現(xiàn)本發(fā)明，所述終端設(shè)備內(nèi)嵌有集成標(biāo)準(zhǔn)化認(rèn)證協(xié)議的認(rèn)證器；所述認(rèn)證器在不同安全級(jí)別要求下將終端設(shè)備內(nèi)置的認(rèn)證方式和策略進(jìn)行設(shè)置，保護(hù)用戶數(shù)據(jù)隱私，完成所有用戶所有設(shè)備的多樣化認(rèn)證，即任何終端設(shè)備都能使用認(rèn)證協(xié)議中的客戶端。

本發(fā)明中認(rèn)證器是指終端設(shè)備中內(nèi)置的安全芯片，如：TEE芯片、TPM芯片、SE芯片。

所述認(rèn)證器解鎖不同認(rèn)證方式的特定密鑰并生成一公私鑰對(duì)；所述公私鑰對(duì)中私鑰存儲(chǔ)在認(rèn)證器的內(nèi)部，公鑰通過標(biāo)準(zhǔn)化認(rèn)證協(xié)議并代表用戶向服務(wù)端請(qǐng)求認(rèn)證。

本發(fā)明基于能識(shí)別生物特征數(shù)據(jù)的終端設(shè)備，生物特征數(shù)據(jù)安全存儲(chǔ)在留存私鑰信息的認(rèn)證器內(nèi)部；服務(wù)器不存儲(chǔ)用戶隱私數(shù)據(jù)，只留存用戶公鑰信息，進(jìn)一步提高數(shù)據(jù)安全性。

進(jìn)一步地，為了更好的實(shí)現(xiàn)本發(fā)明，所述認(rèn)證方式在終端設(shè)備上即插即用主要包括以下流程：設(shè)備注冊(cè)、認(rèn)證器鑒別、數(shù)據(jù)加密、鑒別流程、交易流程、撤銷流程。

進(jìn)一步地，為了更好的實(shí)現(xiàn)本發(fā)明，所述設(shè)備注冊(cè)具體包括以下依次進(jìn)行的步驟：

步驟A：用戶將內(nèi)嵌認(rèn)證器的移動(dòng)終端設(shè)備進(jìn)行注冊(cè)；

步驟B：在瀏覽器上登錄已集成標(biāo)準(zhǔn)化認(rèn)證協(xié)議的應(yīng)用；

步驟C：初始化注冊(cè)提交；