[实用新型]一种基于移动终端的身份认证系统

说明书

技术领域

本实用新型涉及无线通信、网络通信、算法安全以及网络安全相结合的技术，具体讲的是在可信移动终端上生成动态密码并使用此密码实现强身份认证的安全体系。 

背景技术

随着互联网的快速发展，越来越多的应用系统在公网上运行，网络安全问题日益突出，对于敏感操作入口的身份认证也变的异常重要。目前大多数应用系统仍然采用的是用户名加静态密码的身份认证方式，这种认证方式有诸多的安全隐患，例如：静态密码容易被猜测和破解、静态密码被黑客截获、静态密码被管理员非法使用、被钓鱼网站骗取、众多的静态密码不便于记忆等。 

针对上述问题目前主要有以下几种解决方案： 

（1）数字证书：使用数字证书可实现安全链路和数字签名，能较好的保护网上传输的信息。数字证书的局限是只能在己安装证书的电脑上进行操作，使用不方便，并且基于PKI的证书体系成本较高。 

（2）USB移动证书：将密钥或数字证书存储在USB Key硬件设备中，利用内置在USB Key中的算法实现对用户身份的认证。使用USB Key的局限在于需要设备上有USB插口、需要有与设备上的操作系统对应的驱动程序并安装、面临着木马病毒的威胁，存在安全隐患、成本相对较高。 

(3)请求应答式密码体系：在系统需要验证身份时，用户需要先发送一个获取密码的请求，服务器端收到请求后会生成一个临时密码并记住，然后通过特定的渠道发送给用户，用户再输入此密码到服务器端进行身份认证。 

由于用户每次获取的临时密码都不一样，这种验证方式可以增强安全性，但在整个验证的过程中，服务器端需要通过特定的渠道将密码传送给用户，因此具有一定的局限，并且不能保证传送渠道的安全，比如使用短信，密码都是以明文传输的。 

（4）动态密码（OTP）认证体系：用户手中会有一个硬件设备，硬件设备中内置一个唯一的密钥，并会通过特定的算法生成动态密码，用户进行认证时候，除输入静态密码之外，必须要求输入动态密码，此动态密码最终会被送到认证服务器端，服务器端首先找到与用户对应的密钥通过相同的算法生成动态密码，然后进行对比实现认证。算法会采用事件、时间等作为动态因子，因此硬件设备中每次生成的密码都是不同的，并且整个体系可以实现一个 动态密码只能使用一次，这种认证体系是目前能够有效解决用户身份认证的方式之一。不过，用户使用硬件设备获取动态密码具有一定的缺陷：成本较高、不能进行通信、不能很好的解决与认证服务器间的动态因子的同步、不能为用户提供丰富的操作体验和业务功能。 

实用新型内容

有鉴于此，为了克服现有技术的不足，本实用新型提供一种基于移动终端的身份认证系统，此系统采用动态密码认证体系，以软件客户端代替硬件设备，节约了硬件生产成本，同时灵活的软件客户端能够与认证服务器间的动态因子实现同步，并且结合软件客户端提供一种方便与第三方应用系统集成的强身份认证系统，解决了使用硬件设备给整个认证体系带来的局限和不足。 

本实用新型提供的基于移动终端的身份认证方法的认证系统，所述系统包括：移动终端、自助服务器端和认证服务器端，所述移动终端与自助服务器端、认证服务器端分别无线通讯连接，所述自助服务器端与认证服务器端之间以互联网通讯连接。 

进一步，所述移动终端中设置智能卡。 

所述认证服务器端含有认证信息库和认证代理包，所述移动终端含有初始化完成后生成动态密码的动态密码生成单元、一键初始化单元、实现客户端与认证服务器端动态因子同步的一键同步单元、一键校验单元、认证结果接收单元和获取终端位置信息并上传至服务器的位置服务单元。 

所述认证服务器端包括：采用非对称算法解出移动终端请求数据的数据解密模块，计算出动态密码的密码校验模块，保证已经使用过的动态密码不会被再次使用的访问控制模块，位置比对模块，数据加密模块，动态因子同步模块，密钥生成模块，初始化密码生成模块和日志模块，所述自助服务器端包括：序列号生成模块，自保护模块，日志模块，用户自主操作模块，以及客户端更新模块。 

进一步，还包括管理服务器端，所述管理服务器端包括：第三方应用管理模块、密钥分发模块、角色权限模块、认证服务器监控模块、客户端版本发布管理模块、日志管理模块、行为分析模块和报表展现模块。