[发明专利]一种多屏多因子便捷WEB身份认证方法

说明书

技术领域

本发明属于信息安全领域的身份认证方法，具体涉及到一种多屏多因子便捷WEB身份认证方法。

背景技术

OTP（One-time Password）是一种安全便捷的账号防盗技术，可以有效保护交易和登录的认证安全，采用动态口令就无需定期更换密码，安全省心。OTP采用专用算法每隔一段时间生成一个不可预测的随机数字组合，且该随机数组合作为口令只能使用一次，所以能很好的防范重放攻击和字典彩虹表攻击，同时使用OTP动态口令无需定期更换密码，安全省心、技术难度小、成本低，还可减小应用系统的认证负担。

采用的验证用户指纹、虹膜等生物信息的传统认证方式中，数据的泄露会带来不可预估的后果，用户的生物信息无法更改，泄露的数据长期有效；采用验证用户安全设备的传统认证方式中，这种方法带来的问题是携带困难与受限于使用条件（如没电、没有网络信号）；采用预设安全问题的认证方式中，数据的泄露会造成用户隐私信息的公开。

在传统的身份认证过程中，用户在同一个设备上输入一个或多个认证信息，如果该设备在用户输入前被病毒感染或者有后门程序，可能会带来用户信息的泄露。在服务器上的数据认证过程中，如果服务器遭到攻破，用户注册信息会带来被复制或者删除的风险。因此传统单一屏单一因素身份认证所面临的增强身份认证安全性的技术挑战。

发明内容

本发明技术解决问题：克服现有技术的不足，提供一种多屏多因子便捷WEB身份认证方式，具有安全性高、用户体验效果好、使用方便快捷等优点。

本发明的技术方案为：一种多屏多因子便捷WEB身份认证方法，其特征在于实现步骤如下：

（1）在移动智能终端设备（如智能手机、pad等）上安装客户端，在智能终端（如智能电视、电脑等）浏览器上安装浏览器插件；移动智能终端设备需具备无线网络连接功能和拍照功能，智能终端具备无线网络连接功能；

（2）用户在移动智能终端设备上首次启动客户端时，借助客户端在设备仓库服务器VS上完成设备注册，通过客户端预置的设备仓库服务器VS证书，建立SSL安全信道，将注册信息保存于设备仓库服务器VS上，所述注册信息包括移动智能终端的设备识别号，注册时间，注册IP地址，客户端版本信息；

（3）移动智能终端设备注册成功后，用户参与本地用户账号注册，通过移动智能终端设备上的客户端将用户账号、密码存储在本地，然后通过预置的设备仓库服务器VS证书，向设备仓库服务器VS发起用户注册，注册信息为移动智能终端设备的设备识别号，加密过的本地用户账号，用户证书签发请求（PKCS#10）、注册时间和注册IP地址信息；

（4）用户账号注册成功后，移动智能终端设备通过预置的设备仓库服务器VS证书建立的SSL安全信道，然后接收设备仓库服务器VS签发用户证书和设备仓库服务器生成OTP的共享密钥，将接受信息同本地用户账号、密码在移动智能终端设备上安全存储，并与设备仓库服务器VS完成基于UTC同步偏移窗口的时间同步；

（5）完成设备注册和本地用户账号注册后，用户通过开启客户端，验证用户名和密码通过后，读取安全存储区的共享密钥，根据系统UTC时间，生成OTP；

（6）用户在智能终端开启浏览器作身份认证时，需启动浏览器插件的无线网络连接功能，此时浏览器插件读取智能终端的IP地址与空闲端口号，通过随机数生成无线局域网络的随机服务设置标识（Service Set Identifier，SSID）和密码，并启动无线局域网络功能且等待外部连接，同时将连接信息SSID、密码、IP地址、端口号放入QR码（即二维码）中，屏幕显示QR码；

（7）用户使用移动智能终端设备的客户端扫描上述QR码，利用QR码内的信息与浏览器插件建立无线网络连接，并通过预置的浏览器插件证书建立安全Socket连接，传输用户证书序列号和OTP；

（8）智能终端浏览器插件接收到数据后，通过与认证服务器WS建立的SSL安全信道完成数据传送，认证服务器WS对智能终端浏览器传送过来的用户证书序列号和OTP进行验证，验证用户身份通过后，允许用户进入相应业务，否则，拒绝用户服务。

所述步骤（1）中，无线网络连接模块功能是指具有Wi-Fi模块，相似的具有蓝牙、NFC功能也能够作为替代。

所述步骤（4）中，安全存储是在公用存储空间开辟一小块虚拟加密的存储块，然后使用证书序号转化的多重混淆密钥加密存储数据，保证移动智能终端设备的证书库和OTP的共享密钥、用户名、密码的安全。