[发明专利]一种多屏多因子便捷WEB身份认证方法

权利要求书

1.一种多屏多因子便捷WEB身份认证方法，其特征在于实现步骤如下：

（1）在移动智能终端设备上安装客户端，在智能终端浏览器上安装浏览器插件；移动智能终端设备需具备无线网络连接功能和拍照功能，智能终端具备无线网络连接功能；

（2）用户在移动智能终端设备上首次启动客户端时，借助客户端在设备仓库服务器VS上完成设备注册，通过客户端预置的设备仓库服务器VS证书，建立SSL安全信道，将注册信息保存于设备仓库服务器VS上，所述注册信息包括移动智能终端的设备识别号，注册时间，注册IP地址，客户端版本信息；

（3）移动智能终端设备注册成功后，用户参与本地用户账号注册，通过移动智能终端设备上的客户端将用户账号、密码存储在本地，然后通过预置的设备仓库服务器VS证书，向设备仓库服务器VS发起用户注册，注册信息为移动智能终端设备的设备识别号，加密过的本地用户账号，用户证书签发请求（PKCS#10）、注册时间和注册IP地址信息；

（4）用户账号注册成功后，移动智能终端设备通过预置的设备仓库服务器VS证书建立的SSL安全信道，然后接收设备仓库服务器VS签发用户证书和备仓库服务器生成OTP共享密钥；接收设备仓库服务器VS将接受信息同本地用户账号、密码在移动智能终端设备上安全存储，并与设备仓库服务器VS完成基于UTC同步偏移窗口的时间同步；

（5）完成设备注册和本地用户账号注册后，用户通过开启客户端，验证本地用户名和密码通过后，读取安全存储区的共享密钥，根据系统UTC时间，生成OTP；

（6）用户在智能终端开启浏览器作身份认证时，需启动浏览器插件的无线网络连接功能，此时浏览器插件读取智能终端的IP地址与空闲端口号，通过随机数生成无线局域网络的随机服务设置标识（Service Set Identifier，SSID）和密码，并启动无线局域网络连接功能且等待外部连接，同时将连接信息SSID、密码、IP地址、端口号放入QR码（即二维码）中，屏幕显示QR码；

（7）用户使用移动智能终端设备的客户端扫描上述QR码，利用QR码内的信息与浏览器插件建立无线网络连接，并通过预置的浏览器插件证书建立安全Socket连接，传输用户证书序列号和OTP；

（8）智能终端浏览器插件接收到数据后，通过与认证服务器WS建立的SSL安全信道完成数据传送，认证服务器W对智能终端浏览器传送过来的用户证书序列号和OTP进行验证，验证通过后，允许用户进入相应业务，否则，拒绝用户服务。

2.根据权利要求1所述的多屏多因子便捷WEB身份认证方式，其特征在于：所述步骤（1）中，无线网络连接模块功能是指具有Wi-Fi模块，相似的具有蓝牙、NFC功能也能够作为替代。

3.根据权利要求1所述的多屏多因子便捷WEB身份认证方式，其特征在于：所述步骤（4）中，安全存储是在公用存储空间开辟一小块虚拟加密的存储块，然后使用证书序号转化的多重混淆密钥加密存储数据，保证移动智能终端设备的证书库和OTP的共享密钥、本地用户账号和密码的安全。

4.根据权利要求1所述的多屏多因子便捷WEB身份认证方式，其特征在于：进一步的，所述步骤（8）中，认证服务器W对智能终端浏览器传送过来的用户证书序列号和OTP进行验证过程为：认证服务器WS通过已存储的该用户的证书序列号与传送过来用户证书序列号进行比对验证，若验证不通过，则终止该身份认证；若验证通过，则认证服务器WS将该用户的用户标识、共享秘钥SK、系统UTC时间安全传送给设备仓库缓存器VC，作为哈希运算消息认证码HMAC（Hash-based Message Authentication Code，简称HMAC）算法的计算参数，产生一个OTP，结合该用户的同步偏移量值，对OTP进行验证。

5.根据权利要求1所述的多屏多因子便捷WEB身份认证方式，其特征在于：所步骤（4）中，设备仓库服务器VS与设备仓库服务器VS完成基于UTC同步偏移窗口的时间同步的方法为：设备仓库服务器VS预定义N个同步偏移量窗口，即-N，…，-3，-2，-1，0，1，2，3，…，N，其中N为自然数，然后使用同步偏移窗口内的偏移值的和，共享密钥SK和设备仓库服务器的UTC时间生成OTP，然后将接收到的OTP与生成的OTP依次比较，找到与接收到的OTP相等的OTP，则该OTP对应的偏移值即为接收到的OTP对应的偏移值，利用该偏移值完成同步。