一种基于多终端多场景的可信身份认证方法技术

本发明专利技术公开了一种基于多终端多场景的可信身份认证方法，基于具有生物特征识别功能的终端设备，让认证方式与认证协议完全解耦，即认证方式在终端设备上即插即用，完成用户身份的安全认证；同时，统一仅有客户端和服务端的标准化认证协议，使任何终端设备都能使用认证协议中的客户端。本发明专利技术能够克服现有技术不足，充分利用设备内置的安全芯片的能力，使认证方式和认证协议解耦，让身份认证更加安全高效快捷。

A trusted identity authentication method based on multi terminal and multi scene

The invention discloses a trusted authentication method based on multi terminal multi scene, terminal equipment with biometric features based on authentication and authentication protocol that is completely decoupled, authentication in the terminal plug, security certification complete user identity; at the same time, the standard only unified authentication protocol the client and server, so that any terminal equipment can be used in the client authentication protocol. The invention can overcome the insufficiency of the existing technology, make full use of the built-in security chip of the device, make the authentication mode and the authentication protocol decouple, and make the identity authentication safer, more efficient and quicker.

【技术实现步骤摘要】
一种基于多终端多场景的可信身份认证方法
本专利技术涉及身份认证
，具体的说，是一种基于多终端多场景的可信身份认证方法。
技术介绍
由于大中型企业信息化的不断发展，信息化水平的不断提升，业务应用场景已由原始的单体架构环境向更加复杂的多元化应用场景进行转变。同时，在互联网技术发达的今天，很多新兴技术正在引领传统企业进行改变，多数企业甚至都已经将应用向云环境进行迁移和覆盖。但是，企业应用身份验证模式的转变是一个首先要解决的问题，由于企业信息化进程的不断推进，最终导致应用孤岛问题。时下传统的身份认证孤岛问题主要为以下几个方面：1）身份信息的集中式存储问题；2）用户多密码记忆以及弱口令问题；3）认证集成多元化复杂化，增加身份数据泄露问题；4）互联网时代智能设备的便捷性认证问题。根据GARTER2016身份泄露的数据统计报告，有超过一半的企业网络安全事故和身份认证凭据盗用有关。采用更加高效和安全的身份认证技术也变得越来越重要，传统的账号密码这种单一的认证方式已无法满足企业级统一认证需求，也不再适应未来的需求。如何为应用系统提供方便、安全、快捷的身份认证服务，成为摆在我们面前不得不面对的课题。数据安全始终是每一个信息系统信息交互过程都要面临的一个重要问题。然而，传统用户密码的验证方式和问题已在上文进行了详细的描述，传统企业应用构建的模式，身份认证方式让我们不得不用大脑或笔记来记住各种各样的密码甚至忘记自己的密码，总会担心密码及核心身份数据被安全攻击挟持等风险。基于传统方案的以上问题，典型的技术做法主要有以下两种：1）时下主流的生物识别技术如图2所示，目前，在先进企业，尤其是在互联网公司，应用较多、也受大众认可的认证方式主要是通过生物识别技术（二维码、指纹、人脸、虹膜、声纹、静脉、UKEY、穿戴设备等），来代替传统的用户密码验证，解决了用户密码记忆和协议集成等多从困难问题。这种方式的优点是方便快捷，并且用户不用记忆很多密码。缺点是复杂性、冗余性、不方便携带等问题，并且部分设备价格也不低。2）多终端多场景可信身份验证技术如图3所示，这种方式的做法是首先基于一种国际通用的轻量级身份安全鉴别协议，核心是采用终端设备内嵌的安全芯片的能力，在不同的安全级别要求下，将设备的认证方式和策略进行设置，实现对通用身份安全鉴别协议的支持，从而完成基于用户现有移动终端的身份验证。这种方式的优点是：充分利用了用户现有的手持设备，将身份验证的工作交给设备内置的安全芯片处理，实现认证方式与认证协议的分离解耦，让身份认证更加安全高效、价格低廉。缺点是目前过于陈旧的或者一些山寨的移动终端暂不支持这种通用的身份安全鉴别协议。
技术实现思路
本专利技术的目的在于：提供一种基于多终端多场景的可信身份认证方法，充分利用终端设备内嵌的认证器的能力，将认证方式和认证协议进行解耦，保护用户数据隐私，以解决传统认证的各种复杂问题。本专利技术通过下述技术方案实现：一种基于多终端多场景的可信身份认证方法，基于具有生物特征识别功能的终端设备，让认证方式与认证协议完全解耦，即认证方式在终端设备上即插即用，完成用户身份的安全认证；同时，统一仅有客户端和服务端的标准化认证协议，使任何终端设备都能使用认证协议中的客户端。进一步地，为了更好的实现本专利技术，所述终端设备内嵌有集成标准化认证协议的认证器；所述认证器在不同安全级别要求下将终端设备内置的认证方式和策略进行设置，保护用户数据隐私，完成所有用户所有设备的多样化认证，即任何终端设备都能使用认证协议中的客户端。本专利技术中认证器是指终端设备中内置的安全芯片，如：TEE芯片、TPM芯片、SE芯片。所述认证器解锁不同认证方式的特定密钥并生成一公私钥对；所述公私钥对中私钥存储在认证器的内部，公钥通过标准化认证协议并代表用户向服务端请求认证。本专利技术基于能识别生物特征数据的终端设备，生物特征数据安全存储在留存私钥信息的认证器内部；服务器不存储用户隐私数据，只留存用户公钥信息，进一步提高数据安全性。进一步地，为了更好的实现本专利技术，所述认证方式在终端设备上即插即用主要包括以下流程：设备注册、认证器鉴别、数据加密、鉴别流程、交易流程、撤销流程。进一步地，为了更好的实现本专利技术，所述设备注册具体包括以下依次进行的步骤：步骤A：用户将内嵌认证器的移动终端设备进行注册；步骤B：在浏览器上登录已集成标准化认证协议的应用；步骤C：初始化注册提交；步骤D：然后服务端会转发用户注册请求的消息和策略数据给客户端其终端设备的认证器；步骤E：认证器接收后，完成用户注册并会生成一公私钥对，所述公私钥对中的私钥存储在认证器的内部，所述公私钥对中的公钥和用户注册通知均通过标准化认证协议发送给服务端；步骤F：服务端验证发送的消息和认证器的合法性以完成注册。进一步地，为了更好的实现本专利技术，所述认证器鉴别的过程主要是通过客户端应用进行数字证书签名以及服务端验证签名的方式进行鉴权。进一步地，为了更好的实现本专利技术，所述数据加密是指整个注册、访问、响应流程都会进行数据流加密，而且数据流加密采用非对称的公私钥对进行数据加解密。进一步地，为了更好的实现本专利技术，所述鉴别流程是指：应用端发起一个鉴别流程，最终在终端设备上完成用户身份验证及签名，服务端完成签名的校验，鉴别流程完成。进一步地，为了更好的实现本专利技术，所述交易流程是指：应用端发起一个交易流程，最终在终端设备上完成交易验证及签名和计算HASH值，服务端完成签名的校验、合法性及文本HASH，交易完成。进一步地，为了更好的实现本专利技术，所述撤销流程是指：应用端初始化一个注销请求，服务端验证认证器的合法性并且删除本地用户相关的认证器数据后，发送注销消息给终端设备，终端设备删除本地注册数据以完成注销。从
技术介绍
可知，时下主流的生物识别做法，解决了用户身份数据集中记忆及弱口令的问题，但是安全设备购置费用昂贵，携带不方便。另外，在数据使用安全上需要针对终端做强安全加固等，不同的生物识别技术之间的协同认证也给安全带来一个新的问题，认证方式与认证协议的耦合度问题导致安全模块的升级也随之变动。本专利技术提出的一种基于多终端多场景的可信身份认证方法，不但解决了用户身份数据集中记忆及弱口令的问题，还从技术上实现了认证方式和认证协议的松耦合，模块升级完全解耦，充分利用设备内置的安全芯片的能力，让身份认证更加安全高效快捷。本专利技术与现有技术相比，具有以下优点及有益效果：（1）本专利技术通过认证方式和认证协议的解耦，即采用在用户的终端设备上即插即用的认证方式，并充分利用终端设备内置的认证器（安全芯片）的能力，让身份认证更加安全、高效、快捷。另外，统一标准化认证协议，任何设备都能使用的认证客户端。（2）本专利技术中同一个服务端对应任意不同的认证方式，解决身份认证的孤岛问题。（3）本专利技术中基于能识别生物特征数据的终端设备，由作为认证器的安全芯片对生物特征数据进行安全存储；服务器不存储用户隐私数据，只留存用户公钥信息，进一步提高数据安全性。（4）本专利技术具有认证协议的不可链接性：对于不同的服务端（依赖方）和终端设备，用户密钥都是不同的，认证器鉴证密钥并不是每台设备都唯一的，防止由于唯一性而导致的可追溯性，不存在一个全局的设备唯一标识，防止留下“足印”。（5）本专利技术中认证协议无任何第三方参本文档来自技高网...

【技术保护点】
一种基于多终端多场景的可信身份认证方法，基于具有生物特征识别功能的终端设备，其特征在于：让认证方式与认证协议完全解耦，即认证方式在终端设备上即插即用，完成用户身份的安全认证；同时，统一仅有客户端和服务端的标准化认证协议，使任何终端设备都能使用认证协议中的客户端。

【技术特征摘要】
1.一种基于多终端多场景的可信身份认证方法，基于具有生物特征识别功能的终端设备，其特征在于：让认证方式与认证协议完全解耦，即认证方式在终端设备上即插即用，完成用户身份的安全认证；同时，统一仅有客户端和服务端的标准化认证协议，使任何终端设备都能使用认证协议中的客户端。2.根据权利要求1所述的一种基于多终端多场景的可信身份认证方法，其特征在于：所述终端设备内嵌有集成标准化认证协议的认证器；所述认证器在不同安全级别要求下将终端设备内置的认证方式和策略进行设置，保护用户数据隐私，完成所有用户所有设备的多样化认证，即任何终端设备都能使用认证协议中的客户端。3.根据权利要求2所述的一种基于多终端多场景的可信身份认证方法，其特征在于：所述认证方式在终端设备上即插即用主要包括以下流程：设备注册、认证器鉴别、数据加密、鉴别流程、交易流程、撤销流程。4.根据权利要求3所述的一种基于多终端多场景的可信身份认证方法，其特征在于：所述设备注册具体包括以下依次进行的步骤：步骤A：用户将内嵌认证器的移动终端设备进行注册；步骤B：在浏览器上登录已集成标准化认证协议的应用；步骤C：初始化注册提交；步骤D：然后服务端会转发用户注册请求的消息和策略数据给客户端其终端设备的认证器；步骤E：认证器接收后，完成用户注册并会生成一公私钥对，所述公私钥对中的私钥存储在认证...

【专利技术属性】
技术研发人员：杨平，彭永勇，张晓韬，张捷，郭晶，曾强，何林，王先兵，
申请(专利权)人：四川中电启明星信息技术有限公司，
类型：发明
国别省市：四川,51