一种可信访问认证处理方法、用户终端和服务端技术

本发明专利技术实施例涉及一种可信访问认证处理方法、用户终端和服务端，该方法包括：用户终端向与安全服务端建立设备安全注册关系；用户终端中向安全服务端发送应用客户端绑定消息，并根据设备安全注册关系建立应用客户端与设备安全绑定关系；用户终端与安全服务端建立应用账户可信访问路径验证关系；用户终端向应用服务端发送基于安全连接类型的登陆请求消息；应用服务端处理基于安全连接类型的登陆请求消息后向安全服务端发送登陆请求验证消息；安全服务端根据设备安全注册关系、应用账户可信访问路径验证关系对登陆请求验证消息验证，并向应用服务端发送应用可信访问认证结果；应用服务端根据应用可信访问认证结果响应用户终端的登陆请求消息。

【技术实现步骤摘要】
一种可信访问认证处理方法、用户终端和服务端
本专利技术实施例涉及信息安全
，具体涉及一种可信访问认证处理方法、用户终端和服务端。
技术介绍
本部分向读者介绍可能与本专利技术的各个方面相关的
技术介绍
，相信能够向读者提供有用的背景信息，从而有助于读者更好地理解本专利技术的各个方面。因此，可以理解，本部分的说明是用于上述目的，而并非构成对现有技术的承认。互联网用户易于受到应用用户身份，密码等私密信息被盗的攻击威胁，为了应对威胁，人们需要定期修改密码；但是经过较长时间后，记住用户名和密码是很困难的；网络上频繁发生各种诈骗和钓鱼网站，骗取用户名及密码，需要一种技术在密码被盗后防止偷盗者登陆系统侵害用户，需要一种技术即提高安全保障同时解决易用性问题。在客户端系统软件应用之间调用软件接口服务时，软件是很难侦测出请求的来源是来自本地预期软件还是被通过代理伪装的，如果为未知来源的请求提供了登陆签名报文，建立的连接安全的保障就没有了，需要一种方法解决这种风险；为了保证访问凭证被用来访问预期的服务，通过验证访问路径是一种可行的技术方法，即验证发起服务的应用客户端，应用客户端与应用服务端之间的会话都需要验证是预期的路径，这样才能保证访问凭证不被冒用；目前尚未有相关技术。客户端证书认证理论上可以解决用户在登陆时的唯一性认证，但是由于昂贵的解决方案和线下管理成本，目前互联架构无法实现为大部分客户端设备访问互联网提供这项安全服务，需要一种便宜和易于管理的自动化的技术实现用户登陆，服务的验证。
技术实现思路
要解决的技术问题是如何提高用户访问的安全性。针对现有技术中的缺陷，本专利技术实施例提供可信访问认证处理方法、用户终端和服务端，可以有效提高用户访问的安全性。第一方面，本专利技术实施例提供了一种可信访问认证处理方法，包括：用户终端向安全服务端发送安全可信客户端注册消息建立设备安全注册关系；所述用户终端中向所述安全服务端发送应用客户端绑定消息，并根据所述设备安全注册关系建立应用客户端与设备安全绑定关系；所述用户终端中向所述安全服务端发送应用及账户授权绑定请求消息，所述安全服务端根据客户端与设备安全绑定关系建立应用账户可信访问路径验证关系；所述用户终端向所述应用服务端发送基于安全连接类型的登陆请求消息；所述应用服务端处理所述基于安全连接类型的登陆请求消息后向所述安全服务端发送登陆请求验证消息；所述安全服务端根据所述设备安全注册关系、所述应用账户可信访问路径验证关系对所述登陆请求验证消息验证，并向所述应用服务端发送应用可信访问认证结果；所述应用服务端根据所述应用可信访问认证结果响应所述用户终端的登陆请求消息。可选地，所述用户终端向安全服务端发送安全可信客户端注册消息建立设备安全注册关系包括；所述用户终端向所述安全服务端发送安全可信客户端注册消息；所述安全服务端验证所述安全可信客户端注册消息；所述安全服务端为验证通过的安全可信客户端注册消息生成设备数据表项并向所述用户终端反馈安全可信客户端注册确认消息。可选地，所述设备数据表项包括：安全可信客户端设备用户ID、第二密钥、客户端信息、服务密码。可选地，所述安全可信客户端注册消息包括：设备安全注册主消息体和签名；所述设备安全注册主消息体包括安全可信客户端设备用户ID的密文、设备随机数密文、传输密钥密文、第二密钥、和用户允许的客户端信息；所述签名是所述用户终端对使用第一密钥对所述设备安全注册主消息体签名得到的。可选地，所述安全服务端验证所述安全可信客户端注册消息包括：所述安全服务端根据所述安全可信客户端注册消息中的第二密钥验证消息体签名；安全服务端使用与所述安全服务端加密公钥对应的私钥解密传输密钥密文，使用传输密钥解密安全可信客户端设备用户ID密文；验证通过后生成验证结果并产生对应设备数据表项。可选地，所述向用户终端反馈安全可信客户端注册确认消息包括：所述安全服务端产生注册确认消息；所述注册确认消息包括设备注册确认主消息体和签名；所述设备注册确认主消息体包括：动态握手码；所述签名是使用安全服务端私钥为所述注册确认消息体产生的签名。可选地，所述用户终端中向所述安全服务端发送应用客户端绑定消息，并根据所述设备安全注册关系建立应用客户端与设备安全绑定关系包括：所述用户终端发送应用客户端绑定消息；所述安全服务端接收所述应用客户端绑定消息并检查，根据检查结果向所述用户终端发送应用客户端绑定确认消息；所述用户终端在收到所述应用客户端绑定确认消息后应用客户端和安全可信客户端生成绑定码；所述用户终端在完成绑定证实后向所述向安全服务端发送应用客户端绑定完成消息；所述安全服务端验证应用客户端绑定完成消息将应用客户端特征添加到设备数据表项中。可选地，所述应用客户端绑定消息包括：应用客户端特征；使用第一密钥为应用客户端绑定消息体计算的签名。可选地，所述应用客户端绑定确认消息包括：客户端程序包名称、程序包版本、程序包散列值、程序包大小、应用服务商接入信息和与之对应的应用服务端加密公钥和应用服务端验证签名公钥、注册确认时间戳、本地程序包访问绝对路径和安全连接类型。可选地，所述用户终端中向所述安全服务端发送应用及账户授权绑定请求消息，所述安全服务端根据客户端与设备安全绑定关系建立应用账户可信访问路径验证关系包括：所述用户终端向应用服务端发送账户授权请求消息；所述应用服务端向安全服务端转发账户授权请求消息；所述安全服务端生成授权码消息发送至应用服务端并向所述用户终端通过独立通道发送授权码密文；所述用户终端生成并向所述安全服务端发送应用及账户授权绑定请求消息；所述安全服务端验证应用及账户授权绑定请求消息后，建立应用账户可信访问路径验证关系，并生成应用及账户授权确认消息发送至所述用户终端；所述安全服务端向所述应用服务端发送授权完成消息；所述应用服务端设置安全服务端验证标识。可选地，所述账户授权请求消息包括：安全可信客户端设备用户ID、授权请求识别码、应用客户端特征、应用服务商接入信息、账户名和应用服务类型。可选地，所述所述安全服务端生成授权码消息发送至应用服务端并向所述用户终端通过独立通道发送授权码密文包括：安全服务端收账户授权请求消息，检查安全可信客户端设备用户ID对应的设备数据表项中包括要求授权的应用客户端特征，是已经与安全可信客户端绑定的应用客户端，如不是已绑定应用客户端，则停止后续流程；如果是已经绑定的应用客户端，安全服务端为这次授权请求分配授权码明文并使用服务密码加密后产生授权码密文携带在授权码消息中发送给应用服务端。可选地，所述应用及账户授权绑定请求消息包括所述应用及账户授权绑定请求消息体和消息体签名：所述应用及账户授权绑定请求消息体包括：安全可信客户端设备用户ID、应用客户端特征、授权码密文、生物识别特征值、动态握手码、应用服务类型；所述应用及账户授权绑定请求消息体签名是由第一密钥对于所述应用及账户授权绑定请求消息体的签名。可选地，所述安全服务端验证所述应用及账户授权绑定请求消息包括：所述安全服务端使用安全可信客户端设备用户ID对应的应用客户端特征验证消息中包括的应用客户端特征是否一致，如果一致，则继续验证消息的签名，否则终止授权过程；所述安全服务端使用安全可信客户端设备用户ID对应的第二密钥验证所述应用及账户授权绑定请本文档来自技高网...

【技术保护点】
一种可信访问认证处理方法，其特征在于，包括：用户终端向安全服务端发送安全可信客户端注册消息建立设备安全注册关系；所述用户终端中向所述安全服务端发送应用客户端绑定消息，并根据所述设备安全注册关系建立应用客户端与设备安全绑定关系；所述用户终端中向所述安全服务端发送应用及账户授权绑定请求消息，所述安全服务端根据客户端与设备安全绑定关系建立应用账户可信访问路径验证关系；所述用户终端向所述应用服务端发送基于安全连接类型的登陆请求消息；所述应用服务端处理所述基于安全连接类型的登陆请求消息后向所述安全服务端发送登陆请求验证消息；所述安全服务端根据所述设备安全注册关系、所述应用账户可信访问路径验证关系对所述登陆请求验证消息验证，并向所述应用服务端发送应用可信访问认证结果；所述应用服务端根据所述应用可信访问认证结果响应所述用户终端的登陆请求消息。

【技术特征摘要】
2016.06.30 CN 20161050949451.一种可信访问认证处理方法，其特征在于，包括：用户终端向安全服务端发送安全可信客户端注册消息建立设备安全注册关系；所述用户终端中向所述安全服务端发送应用客户端绑定消息，并根据所述设备安全注册关系建立应用客户端与设备安全绑定关系；所述用户终端中向所述安全服务端发送应用及账户授权绑定请求消息，所述安全服务端根据客户端与设备安全绑定关系建立应用账户可信访问路径验证关系；所述用户终端向所述应用服务端发送基于安全连接类型的登陆请求消息；所述应用服务端处理所述基于安全连接类型的登陆请求消息后向所述安全服务端发送登陆请求验证消息；所述安全服务端根据所述设备安全注册关系、所述应用账户可信访问路径验证关系对所述登陆请求验证消息验证，并向所述应用服务端发送应用可信访问认证结果；所述应用服务端根据所述应用可信访问认证结果响应所述用户终端的登陆请求消息。2.根据权利要求1所述的可信访问认证处理方法，其特征在于，所述用户终端向安全服务端发送安全可信客户端注册消息建立设备安全注册关系包括；所述用户终端向所述安全服务端发送安全可信客户端注册消息；所述安全服务端验证所述安全可信客户端注册消息；所述安全服务端为验证通过的安全可信客户端注册消息生成设备数据表项并向所述用户终端反馈安全可信客户端注册确认消息。3.根据权利要求2所述的可信访问认证处理方法，其特征在于，所述设备数据表项包括：安全可信客户端设备用户ID、第二密钥、客户端信息、服务密码。4.根据权利要求2所述的可信访问认证处理方法，其特征在于，所述安全服务端验证所述安全可信客户端注册消息包括：所述安全服务端根据所述安全可信客户端注册消息中的第二密钥验证消息体签名；安全服务端使用与所述安全服务端加密公钥对应的私钥解密传输密钥密文，使用传输密钥解密安全可信客户端设备用户ID密文；验证通过后生成验证结果并产生对应设备数据表项。5.根据权利要求1所述的可信访问认证处理方法，其特征在于，所述用户终端中向所述安全服务端发送应用客户端绑定消息，并根据所述设备安全注册关系建立应用客户端与设备安全绑定关系包括：所述用户终端发送应用客户端绑定消息；所述安全服务端接收所述应用客户端绑定消息并检查，根据检查结果向所述用户终端发送应用客户端绑定确认消息；所述用户终端在收到所述应用客户端绑定确认消息后应用客户端和安全可信客户端生成绑定码；所述用户终端在完成绑定证实后向所述安全服务端发送应用客户端绑定完成消息；所述安全服务端验证应用客户端绑定完成消息将应用客户端特征添加到设备数据表项中。6.根据权利要求1所述的可信访问认证处理方法，其特征在于，所述用户终端中向所述安全服务端发送应用及账户授权绑定请求消息，所述安全服务端根据客户端与设备安全绑定关系建立应用账户可信访问路径验证关系包括：所述用户终端向应用服务端发送账户授权请求消息；所述应用服务端向安全服务端转发账户授权请求消息；所述安全服务端生成授权码消息发送至应用服务端并向所述用户终端通过独立通道发送授权码密文；所述用户终端生成并向所述安全服务端发送应用及账户授权绑定请求消息；所述安全服务端验证应用及账户授权绑定请求消息后，建立应用账户可信访问路径验证关系，并生成应用及账户授权确认消息发送至所述用户终端；所述安全服务端向所述应用服务端发送授权完成消息；所述应用服务端设置安全服务端验证标识。7.根据权利要求6所述的可信访问认证处理方法，其特征在于，所述安全服务端生成授权码消息发送至应用服务端并向所述用户终端通过独立通道发送授权码密文包括：安全服务端收到账户授权请求消息，检查安全可信客户端设备用户ID对应的设备数据表项中包括要求授权的应用客户端特征值，是已经与安全可信客户端绑定的应用客户端，如不是已绑定应用客户端，则停止后续流程；如果是已经绑定的应用客户端，安全服务端为这次授权请求分配授权码明文并使用服务密码加密后产生授权码密文携带在授权码消息中发送给应用服务端。8.根据权利要求6所述的可信访问认证处理方法，其特征在于，所述安全服务端验证所述应用及账户授权绑定请求消息包括：所述安全服务端使用安全可信客户端设备用户ID对应的应用客户端特征验证消息中包括的应用客户端特征是否一致，如果一致，则继续验证消息的签名，否则终止授权过程；所述安全服务端使用安全可信客户端设备用户ID对应的第二密钥验证所述应用及账户授权绑定请求消息的签名；验证通过后，使用安全可信客户端设备用户ID对应的服务密钥解密授权码密文，对照授权码明文和安全服务端本地分配给这次授权请求的的授权码是否一致，如果一致则判定应用及账户绑定请求通过授权；所述安全服务端将授权码对应的授权绑定请求的账户信息、应用服务类型、生物识别特征值添加到所述安全可信客户端设备用户ID对应的设备数据表项中。9.根据权利要求1所述的可信访问认证处理方法，其特征在于，所述用户终端向所述应用服务端发送登陆请求消息之前还包括：在安全连接类型配置为非安全链路连接时，所述用户终端向所述应用服务端发送会话上行消息携带加密的会话传输密钥；所述应用服务端收到所述会话上行消息后，为当前会话分配会话识别ID...

【专利技术属性】
技术研发人员：郭铮铮，
申请(专利权)人：北京动石科技有限公司，
类型：发明
国别省市：北京,11