[发明专利]一种手机客户端口令统一认证方法及系统

说明书

技术领域

 本发明涉及互联网安全领域,特别是一种手机客户端口令统一认证方法及系统。 

背景技术

互联网时代，众多手机应用都需要对用户的身份进行验证，其中最常用的简单身份认证方式是通过核对用户输入的用户名和口令，看其是否与系统中存储的该用户的用户名和口令一致，来判断用户身份是否正确。

用户使用手机客户端软件进行交易或购物时，有被攻击者钓鱼的风险。所谓钓鱼风险，即攻击者制作伪装的手机客户端从合法用户处获取登陆口令，黑客使用盗取的登陆信息登陆银行盗取金钱。

网络身份虚假，对社会造成欺诈等不良影响。虽然很多网站声明用户身份实名认证，但是都以用户输入身份证信息进行实名认证，无法有效的技术手段，仍有造假可能。

业务系统存在口令明文保存或在日志文件中记录，存在被泄漏的风险。不久前，多个网站的登录口令被泄漏并在网络上流传。

用户通常在手机终端中使用多个客户端软件，每个应用登陆时候都需要输入用户名和口令。如果所以客户端使用同一个口令，按照木桶原理，安全性决定于最差的客户端，易于造成口令的泄露，同时设置同一密钥也容易被恶意客户端或钓鱼客户端获取所有客户端的口令；如果每个客户端设立单独口令，过多的口令用户难以记清，这给用户造成了极大的不便。 

发明内容

 本发明所要解决的技术问题是，针对现有技术不足，提供一种手机客户端口令统一认证方法及系统，实现多个客户端登录验证，降低口令被钓鱼及被泄漏的风险，保证登录操作安全。

为解决上述技术问题，本发明所采用的技术方案是：一种手机客户端口令统一认证方法，该方法主要实现过程为：在手机访问SE的安全控件中输入PIN码；手机访问SE的安全控件请求SE进行用户认证；将SE生成的用户认证令牌通过SE访问安全控件返回给手机客户端；手机客户端提交用户信息和SE生成的用户认证令牌，并请求后台业务系统处理业务。

SE为具有硬加解密功能的安全芯片，可以存在于接收方身份识别模块（SIM卡），也可以存在于SD卡，也可以存在于手机终端内部。

在手机访问SE的安全控件中输入PIN码前，进行如下处理：

1）进入手机客户端；

2）手机客户端启动手机访问SE的安全控件。

手机访问SE的安全控件请求SE进行用户认证后，SE验证输入的PIN码，若输入的PIN码正确，则SE生成用户认证令牌；若输入的PIN码不正确，则结束。

手机客户端提交用户信息和SE生成的用户认证令牌，并请求后台业务系统处理业务后，进行如下处理：

1）业务系统请求统一认证系统进行用户身份验证；

2）统一认证系统根据用户信息生成令牌，检验SE生成的用户认证令牌与统一认证系统生成的令牌是否相同，若相同，统一认证系统向业务系统反馈认证结果，业务系统根据认证结果返回业务处理响应；否则，结束。

本发明还提供了一种手机客户端口令认证系统，包括：

手机客户端：用于启动手机访问SE的安全控件，并在手机访问SE的安全控件中输入PIN码，提交用户信息和SE生成的用户认证令牌，并请求登录业务系统；

手机访问SE的安全控件：用于请求SE进行用户认证，将SE生成的用户认证令牌返回给手机客户端；

SE：用于验证输入的PIN码，并在输入的PIN码正确时生成用户认证令牌；

业务系统：用于请求统一认证系统进行用户身份验证，根据统一认证系统反馈的认证结果返回登录响应；

统一认证系统：用于根据用户信息生成令牌，检验SE生成的用户认证令牌与统一认证系统生成的令牌是否相同，并在相同时向业务系统反馈认证结果。

与现有技术相比，本发明所具有的有益效果为：使用本发明的方法，用户只需要记住统一口令，即可完成多种业务的登陆；PIN本地验证，不在空中传输，防止黑客盗取口令；只有合法客户端才可以调用SE访问安全控件，防止钓鱼客户端的使用，有效地保证了登录操作安全。

附图说明

图1为本发明认证系统结构示意图；

图2为本发明方法流程图；

图3为业务平台用户身份认证的流程。

具体实施方式

如图1所示，本发明认证系统包括业务系统、统一认证系统、手机客户端、手机访问SE的安全控件以及SE（安全元件）。

其中手机客户端和业务系统为统一认证的服务使用方；访问SE安全控件、认证Applet及统一认证系统为统一认证的服务提供方。