本發(fā)明公開了一種廣域多因子身份認(rèn)證系統(tǒng)，包括身份認(rèn)證SDK模塊，用于讀取身份認(rèn)證終端用戶信息并和身份認(rèn)證服務(wù)器進行交互，對身份認(rèn)證流程、網(wǎng)絡(luò)通信、數(shù)據(jù)加解密傳輸進行安全封裝；數(shù)字證書系統(tǒng)，用戶人員證書等證書實體的簽發(fā)和管理，支持將人員證書、安全標(biāo)簽導(dǎo)入身份認(rèn)證終端和統(tǒng)一身份認(rèn)證服務(wù)器，將設(shè)備證書、程序證書導(dǎo)入統(tǒng)一身份認(rèn)證服務(wù)器；身份認(rèn)證終端；和統(tǒng)一身份認(rèn)證服務(wù)器，集中管理和維護用戶信息、設(shè)備信息、業(yè)務(wù)應(yīng)用信息，提供身份認(rèn)證和安全審計服務(wù)；在用戶身份認(rèn)證和業(yè)務(wù)應(yīng)用程序入網(wǎng)認(rèn)證通過后，將認(rèn)證結(jié)果返送至業(yè)務(wù)應(yīng)用程序，獲取登錄用戶及業(yè)務(wù)應(yīng)用程序的訪問權(quán)限。本發(fā)明靈活性和安全性更高，通過數(shù)字證書簽發(fā)系統(tǒng)實現(xiàn)用戶的統(tǒng)一授權(quán)和管理。

技術(shù)領(lǐng)域

本發(fā)明涉及一種廣域多因子身份認(rèn)證系統(tǒng)，屬于網(wǎng)絡(luò)安全防護技術(shù)領(lǐng)域。

背景技術(shù)

隨著大云物移智等技術(shù)在電力調(diào)度控制系統(tǒng)中的深入研究和應(yīng)用，各業(yè)務(wù)應(yīng)用系統(tǒng)體系架構(gòu)逐漸向云計算架構(gòu)體系演進，出現(xiàn)以業(yè)務(wù)為核心，實現(xiàn)廣泛共享，導(dǎo)致共享的資源更多，共享的范圍更大，則需加強人員在廣域范圍內(nèi)的身份認(rèn)證和授權(quán)管理。云架構(gòu)模式下的業(yè)務(wù)應(yīng)用系統(tǒng)呈現(xiàn)廣域分布、邏輯統(tǒng)一的特點，需要在全網(wǎng)范圍內(nèi)對人員進行身份認(rèn)證，以及人員身份在整個調(diào)度系統(tǒng)的身份識別，需構(gòu)建統(tǒng)一的身份認(rèn)證體系。

身份認(rèn)證是業(yè)務(wù)訪問的入口，是業(yè)務(wù)安全的第一道防線，傳統(tǒng)的用戶名+口令、動態(tài)密碼、智能鎖Ukey等身份認(rèn)證方法安全性不高、用戶名和密碼等信息易泄露、記憶繁瑣等問題，已不能滿足廣域網(wǎng)內(nèi)系統(tǒng)對身份認(rèn)證提出的靈活性、高強度、防竊取、防偽造的要求；傳統(tǒng)的基于ACL訪問控制列表或基于角色的訪問控制模型無法實現(xiàn)細(xì)顆粒度控制，無法體現(xiàn)資源之間層級結(jié)構(gòu)和用戶之間從屬關(guān)系；基于人臉、指紋、指靜脈等生物體征識別認(rèn)證技術(shù)代表了安全認(rèn)證領(lǐng)域的最新發(fā)展，該技術(shù)具有唯一性、保密性和方便性等特點，以生物特征作為識別因子具有不易遺忘，防偽造等優(yōu)點，可隨身“攜帶”，真正實現(xiàn)隨時隨地可用的優(yōu)勢。

另外傳統(tǒng)的身份認(rèn)證手段，往往僅機械式的比對人員的合法性，而忽略了對其他參與主體“設(shè)備”、“程序”和“行為”的驗證，無事后審計和非法登錄訪問的追述定位機制，因此亟需革新現(xiàn)有的身份認(rèn)證方式，為用戶提供一種新的具有更高安全性、免密性、防偽造、方便快捷智能化的身份認(rèn)證方法，能夠?qū)崿F(xiàn)全系統(tǒng)范圍內(nèi)的用戶管理和人員在廣域網(wǎng)范圍內(nèi)的身份認(rèn)證，滿足廣域網(wǎng)各業(yè)務(wù)應(yīng)用系統(tǒng)對人員身份的認(rèn)證和授權(quán)管理的要求。

發(fā)明內(nèi)容

針對現(xiàn)有技術(shù)存在的不足，本發(fā)明目的是提供一種廣域多因子身份認(rèn)證系統(tǒng)，通過數(shù)字證書簽發(fā)系統(tǒng)實現(xiàn)用戶的統(tǒng)一授權(quán)和管理，從而提供了高強度、免密、智能的身份認(rèn)證服務(wù)。

為了實現(xiàn)上述目的，本發(fā)明是通過如下的技術(shù)方案來實現(xiàn)：

本發(fā)明的廣域多因子身份認(rèn)證系統(tǒng)包括身份認(rèn)證SDK模塊，用于讀取身份認(rèn)證終端的用戶信息并和身份認(rèn)證服務(wù)器進行交互，對身份認(rèn)證流程、網(wǎng)絡(luò)通信、數(shù)據(jù)加解密傳輸進行安全封裝，為業(yè)務(wù)應(yīng)用程序(指系統(tǒng)的應(yīng)用對象)提供統(tǒng)一透明的API接口；并讀取所述身份認(rèn)證終端的用戶認(rèn)證信息發(fā)送至統(tǒng)一身份認(rèn)證服務(wù)器進行用戶身份認(rèn)證；

數(shù)字證書系統(tǒng)，用于根據(jù)注冊的具有業(yè)務(wù)應(yīng)用訪問權(quán)限的可信用戶的人員信息，生成人員證書，并授權(quán)簽發(fā)至身份認(rèn)證終端，用于實現(xiàn)可信用戶與身份認(rèn)證終端的綁定；根據(jù)可信用戶的權(quán)限信息，生成安全標(biāo)簽，根據(jù)業(yè)務(wù)應(yīng)用程序運行的主機設(shè)備信息，生成設(shè)備證書，根據(jù)所述業(yè)務(wù)應(yīng)用程序的業(yè)務(wù)應(yīng)用程序信息(包括應(yīng)用標(biāo)識、應(yīng)用名稱、版本號)，生成程序證書；并將所述人員證書、安全標(biāo)簽導(dǎo)入身份認(rèn)證終端和統(tǒng)一身份認(rèn)證服務(wù)器，將所述設(shè)備證書、程序證書導(dǎo)入統(tǒng)一身份認(rèn)證服務(wù)器；

身份認(rèn)證終端，用于采集身份認(rèn)證用戶的身份認(rèn)證信息；并根據(jù)存儲在身份認(rèn)證終端中的具有業(yè)務(wù)應(yīng)用程序訪問權(quán)限的可信用戶的身份認(rèn)證信息進行驗證，驗證通過后，將可信用戶的身份認(rèn)證信息和人員信息、人員證書、安全標(biāo)簽進行綁定，以及生成的數(shù)字簽名發(fā)送至統(tǒng)一身份認(rèn)證服務(wù)器進行用戶身份認(rèn)證；