一种在移动设备中进行多系统认证及同步的系统和方法技术方案

本发明专利技术公开了一种在移动设备中进行多系统认证及同步的系统和方法，该系统由统一认证组件SDK和统一认证平台组成，其中：统一认证组件SDK包括：设备指纹模块、沙箱模块、证书模块、密钥管理模块、算法模块和认证逻辑模块；统一认证平台包括：用户管理模块、权限管理模块、SSO模块、设备管理模块、邮件服务模块、日志模块、接口管理模块、推送模块、短信/语音模块、人脸模块、声纹模块和指纹模块。该系统和方法能够适用于现在企业业务向移动端迁移的业务场景，提供企业用户在移动端认证和状态同步，通过创新的设备指纹生成算法及匹配算法，系统激活流程，用户可以绑定自己的手机与企业账号，实现企业账号在移动设备上的登录及状态同步。

A system and method for multi system authentication and synchronization in a mobile device

The invention discloses a multi system authentication and synchronization system and method in a mobile device, the system is composed of components of the SDK unified authentication and unified authentication platform, including: unified authentication SDK components include: equipment module, fingerprint module, Sandbox certificate module, key management module, algorithm module and the authentication logic module; the unified authentication platform includes: user management module, rights management module, SSO module, device management module, mail service module, log module, interface module, management module, SMS push / voice module, module, voice module face and fingerprint module. The system and method can be applied to the business enterprise now migrating to the mobile terminal business scenarios, providing enterprise users in the mobile terminal authentication and synchronization state through the device fingerprint generation algorithm innovation and matching algorithm, system activation process, users can bind their mobile phone and corporate account, login and status on the mobile device synchronization business account.

【技术实现步骤摘要】
一种在移动设备中进行多系统认证及同步的系统和方法
本专利技术涉及移动互联网
，具体涉及一种在移动设备中进行多系统认证及同步的系统和方法。
技术介绍
近年来，随着移动互联网时代的到来，以及智能手机，平板电脑的爆发式增长，单位员工可以随时随地依托移动智能终端来实现办公，从而打破了工作的时间、空间的边界，企业员工将个人的智能终端设备用于企业日常办公，这类现象称为BYOD(BringYourOwnDevice)。·Marketsandmarkets统计数据显示：2017年与BYOD相关的市场规模将达到1813.9亿美元，软件安全需求成为主要推动力。·CTI论坛：BYOD趋势正在以每年15％的速度增长，预计到2017年，BYOD市场价值将达到1810亿美元。·Cisco：美国是当前最大的BYOD应用市场，目前有7100万台相关BYOD的设备在使用中；到2016年，中国将成为BYOD应用市场的领导者，将有1.66亿台设备使用·平均69％的企业员工拥有1部以上的移动智能终端；·平均77％的企业员工利用自带设备用于企业办公；·平均不到20％的企业员工愿意支付工作相关的通信费用；·平均超过56％的企业主有BYOD的部署和管理需求；·平均18％的企业愿意为员工购买移动智能终端设备随着移动互联网的发展，移动办公的兴起，原有的传统认证方式，已经无法适应新的应用场景和安全需求，主要面临的问题有：1.多系统账号密码过多·各种各样的SaaS服务，各有各的账号和密码，密码各自有各自的规则。·对于企业选择的产品集群，用户有太多密码需要记忆和使用。2.系统间认证无法打通·各种各样的SaaS服务，各有各的入口，用户需要不断从一个入口出来，从另一个入口进入。·由于各个服务之间的认证并未打通，用户找到新的入口还需要再次认证。3.认证信息泄露·企业是黑客重点攻击的目标，各种攻击事件层出不穷，不仅导致企业的财产受到重大损失，也导致企业名誉受到影响，这是企业″谈虎色变″的关键问题。·企业员工密码口令设置过于简单，密码多人共享等，造成安全隐患，黑客可能比较容易尝试出密码。4.各系统安全防护水平不平衡·各个系统的安全防护水平不同，各个系统打通后，安全防护能力受制于最薄弱的环节，导致系统极易受到攻击，严重威胁企业信息安全。在这样的大背景下，亟需一个适合企业移动办公场景下的多系统认证及状态同步解决方案为企业雇员提供安全、有效、便捷的认证服务。
技术实现思路
为了克服现有技术中存在的问题，本专利技术提供一种在移动设备中进行多系统认证及同步的系统，该系统在识别标记用户移动终端设备的基础上，经由安全通道对用户初始身份进行确认，并生成与用户信息和设备信息绑定生成唯一的身份密钥，并在手机终端中安全保存，后续用户认证基于用户身份密钥，可实现扫码、推送、短信、语音等多种认证方式。根据系统特点及业务场景，可以有机结合一种或几种认证方式，实现对用户身份的有效认证，业务系统的便捷访问。为实现上述目的，本专利技术所述的在移动设备中进行多系统认证及同步的系统由统一认证组件SDK和统一认证平台组成，其中：统一认证组件SDK包括：设备指纹模块，用于实现设备指纹采集、计算及匹配算法；沙箱模块，用于实现终端侧SDK运行保护，防止动态、静态破解；证书模块，用于支持用户身份证书的签发及验证；密钥管理模块，用于保证密钥在终端本地的安全存储，防止破解和篡改；算法模块，用于提供算法支持；和认证逻辑模块，用于实现终端侧认证及策略管理；统一认证平台包括：用户管理模块，用于完成基本的用户信息和状态管理；权限管理模块，用于实现对用户权限的分级管理，与业务系统权限管理模块对接；SSO模块，用于实现多系统间认证状态同步及跳转；设备管理模块，用于完成用户终端设备信息管理；邮件服务模块，用于提供激活及通知邮件服务；日志模块，用于实现系统日志维护及管理；接口管理模块，用于实现系统与外部接口管理及流量控制；推送模块，用于实现消息推送及认证请求推送功能；短信/语音模块，用于实现对接运营商语音或短信通道，发送短信或语音；人脸模块，用于实现人脸识别认证功能；声纹模块，用于实现声纹识别认证功能；和指纹模块，用于实现指纹识别认证功能。所述算法模块支持的算法包括对称算法、非对称算法和/或杂凑算法。所述对称算法包括AES和/或SM4，非对称算法包括RSA和/或SM2，杂凑算法包括SHA256和/或SM3。所述的在移动设备中进行多系统认证及同步的系统采用自适应的设备指纹动态匹配算法进行设备识别，所述的自适应的设备指纹动态匹配算法为：F＝∑C(H(Fi)，H(Fi′))×wi其中i＝1...n；其中，函数H(a)代表指纹转换算法，函数C(a，b)代表比对算法，F1...Fn代表采集绑定某用户时首次采集的硬件信息，F1′...Fn′代表某用户设备目前采集的硬件信息，w1...Wn代表该硬件信息的权重；硬件信息的权重w会根据系统运行状态动态调整，具体规则为：假设某段时间内，每项信息的命中次数为tn，则设置阈值N，终端设备认证时，将初次采集指纹与当前指纹采用设备指纹动态匹配算法进行计算，获得F，当F＞＝N时，认为指纹匹配即是同一设备，当F＜N时，认为指纹不匹配即是不同设备。所述的统一认证平台进行终端身份认证时，采用设备激活绑定阶段生成的用户身份密钥进行鉴别，具体生成算法如下：Keydev＝HMAC-SHA256(Keyroot+rand1+rand2+F)其中：·Keydev是生成的用户身份密钥；·HMAC-SHA256是国际标准摘要算法；·Keyroot是统一认证SDK预置根密钥，在SDK发布时进行生成并加密保存于SDK内；·rand1由客户端生成，加密后由终端发送至服务器；·rand2由服务器生成，加密后由服务器发送至终端；·F为当前设备采集的指纹，加密后由终端发送至服务器；密钥产生过程中，rand1、rand2分别由服务器、终端分别产生，避免黑客进行中间人截取，预置的Keyroot用于终端初始通信加密，F为当前设备采集的指纹，确保用户身份密钥的设备相关性；每次密钥运算时，均采用所述的设备指纹动态匹配算法进行匹配阈值校验，如匹配失败则认为用户终端设备发生改变或密钥文件被非法赋值，密钥失效，自动销毁；用户身份密钥生成后具备有效期，平台侧根据业务策略设置密钥有效期，密钥过期后必须重新进行密钥协商生成；所述统一认证平台与统一认证组件SDK均具备密钥重置功能，用于用户或管理员在发生密钥泄露、设备更换和/或设备遗失场景下的密钥管理。所述的统一认证平台根据配置表与各业务应用采用不同的业务平台对接模式，主要模式分为三种：·标准模式：统一认证平台与业务应用之间，采用LDAP/Radius等协议进行通信和认证管理；·组件模式：统一认证平台与集成于业务应用内的统一认证组件，采用透明模式进行认证及管理；·web模式：统一认证Portal作为认证代理与统一认证平台、统一认证App之间进行双向身份认证，并保持认证状态；统一认证Portal认证成功后，直接跳转至各业务应用，无需再次登录；三种业务平台对接模式在统一认证平台进行动态配置和管理，同时可以根据业务策略配置相应的用户权限管理策略；对于某一平台可存在多条策略，根据策略优先级进行优先匹配，同时可以根据特定用本文档来自技高网...

【技术保护点】
一种在移动设备中进行多系统认证及同步的系统，其特征在于，所述在移动设备中进行多系统认证及同步的系统由统一认证组件SDK和统一认证平台组成，其中：统一认证组件SDK包括：设备指纹模块，用于实现设备指纹采集、计算及匹配算法；沙箱模块，用于实现终端侧SDK运行保护，防止动态、静态破解；证书模块，用于支持用户身份证书的签发及验证；密钥管理模块，用于保证密钥在终端本地的安全存储，防止破解和篡改；算法模块，用于提供算法支持；和认证逻辑模块，用于实现终端侧认证及策略管理；统一认证平台包括：用户管理模块，用于完成基本的用户信息和状态管理；权限管理模块，用于实现对用户权限的分级管理，与业务系统权限管理模块对接；SSO模块，用于实现多系统间认证状态同步及跳转；设备管理模块，用于完成用户终端设备信息管理；邮件服务模块，用于提供激活及通知邮件服务；日志模块，用于实现系统日志维护及管理；接口管理模块，用于实现系统与外部接口管理及流量控制；推送模块，用于实现消息推送及认证请求推送功能；短信/语音模块，用于实现对接运营商语音或短信通道，发送短信或语音；人脸模块，用于实现人脸识别认证功能；声纹模块，用于实现声纹识别认证功能；和指纹模块，用于实现指纹识别认证功能。...

【技术特征摘要】
1.一种在移动设备中进行多系统认证及同步的系统，其特征在于，所述在移动设备中进行多系统认证及同步的系统由统一认证组件SDK和统一认证平台组成，其中：统一认证组件SDK包括：设备指纹模块，用于实现设备指纹采集、计算及匹配算法；沙箱模块，用于实现终端侧SDK运行保护，防止动态、静态破解；证书模块，用于支持用户身份证书的签发及验证；密钥管理模块，用于保证密钥在终端本地的安全存储，防止破解和篡改；算法模块，用于提供算法支持；和认证逻辑模块，用于实现终端侧认证及策略管理；统一认证平台包括：用户管理模块，用于完成基本的用户信息和状态管理；权限管理模块，用于实现对用户权限的分级管理，与业务系统权限管理模块对接；SSO模块，用于实现多系统间认证状态同步及跳转；设备管理模块，用于完成用户终端设备信息管理；邮件服务模块，用于提供激活及通知邮件服务；日志模块，用于实现系统日志维护及管理；接口管理模块，用于实现系统与外部接口管理及流量控制；推送模块，用于实现消息推送及认证请求推送功能；短信/语音模块，用于实现对接运营商语音或短信通道，发送短信或语音；人脸模块，用于实现人脸识别认证功能；声纹模块，用于实现声纹识别认证功能；和指纹模块，用于实现指纹识别认证功能。2.如权利要求1所述的在移动设备中进行多系统认证及同步的系统，其特征在于，所述算法模块支持的算法包括对称算法、非对称算法和/或杂凑算法。3.如权利要求2所述的在移动设备中进行多系统认证及同步的系统，其特征在于，所述对称算法包括AES和/或SM4，非对称算法包括RSA和/或SM2，杂凑算法包括SHA256和/或SM3。4.如权利要求1所述的在移动设备中进行多系统认证及同步的系统，其特征在于，所述的在移动设备中进行多系统认证及同步的系统采用自适应的设备指纹动态匹配算法进行设备识别，所述的自适应的设备指纹动态匹配算法为：F＝∑C(H(Fi)，H(Fi′))×wi其中i＝1...n；其中，函数H(a)代表指纹转换算法，函数C(a，b)代表比对算法，F1...Fn代表采集绑定某用户时首次采集的硬件信息，F1′...Fn′代表某用户设备目前采集的硬件信息，W1...Wn代表该硬件信息的权重；硬件信息的权重w会根据系统运行状态动态调整，具体规则为：假设某段时间内，每项信息的命中次数为tn，则设置阈值N，终端设备认证时，将初次采集指纹与当前指纹采用设备指纹动态匹配算法进行计算，获得F，当F＞＝N时，认为指纹匹配即是同一设备，当F＜N时，认为指纹不匹配即是不同设备。5.如权利要求4所述的在移动设备中进行多系统认证及同步的系统，其特征在于，所述的统一认证平台进行终端身份认证时，采用设备激活绑定阶段生成的用户身份密钥进行鉴别，具体生成算法如下：Keydev＝HMAC-SHA256(Keyroot+rand1+rand2+F)其中：·Keydev是生成的用户身份密钥；·HMAC-SHA256是国际标准摘要算法；·Keyroot是统一认证SDK预置根密钥，在SDK发布时进行生成并加密保存于SDK内；·rand1由客户端生成，加密后由终端发送至服务器；·rand2由服务器生成，加密后由服务器发送至终端；·F为当前设备采集的指纹，加密后由终端发送至服务器；密钥产生过程中，rand1、rand2分别由服务器、终端分别产生，避免黑客进行中间人截取，预置的Keyroot用于终端初始通信加密，F为当前设备采集的指纹，确保用户身份密钥的设备相关性；每次密钥运算时，均采用所述的设备指纹动态匹配算法进行匹配阈值校验，如匹配失败则认为用户终端设备发生改变或密钥文件被非法赋值，密钥失效，自动销毁；用户身份密钥生成后具备有效期，平台侧根据业务策略设置密钥有效期，密钥过期后必须重新进行密钥协商生成；所述统一认证平台与统一认证组件SDK均具备密钥重置功能，用于用户或管理员在发生密钥泄露、设备更换和/或设备遗失场景下的密钥管理。6.如权利要求5所述的在移动设备中进行多系统认证及同步的系统，其特征在于，所述的统一认证平台根据配置表与各业务应用采用不同的业务平台对接模式，主要模式分为三种：·标准模式：统一认证平台与业务应用之间，采用LDAP/Radius协议进行通信和认证管理；·组件模式：统一认证平台与集成于业务应用内的统一认证组件，采用透明模式进行认证及管理；·web模式：统一认证...

【专利技术属性】
技术研发人员：蔡准，郭晓鹏，孙悦，王在方，赵军，
申请(专利权)人：北京芯盾时代科技有限公司，
类型：发明
国别省市：北京,11