[发明专利]智能终端多因子认证方法、智能终端、认证服务器及系统

权利要求书

1.一种智能终端多因子认证方法，其特征在于，包括：

从认证服务器获取预先开启的本地认证方式，所述本地认证方式包括如下认证方式的至少一种或者多种的组合：指纹、声纹、加密口令、虹膜、面部特征、静脉、人眼、地理位置及掌纹；

基于本地智能终端当前支持的认证方式判断所述本地智能终端是否存在所述本地认证方式；

若存在所述本地认证方式，利用所述本地认证方式进行用户身份验证；

若验证通过，使用身份认证开启时产生的非对称密钥对中的私钥对随机数进行签名，得到第一签名值，并将所述第一签名值发送至所述认证服务器，以供所述认证服务器基于所述第一签名值及身份认证开启时获得的用户公钥进行身份认证；所述随机数为所述智能终端向所述认证服务器查询协商的认证方式时，所述认证服务器挑战应答反馈的随机数；

所述智能终端多因子认证方法还包括：

从所述认证服务器获取协商的本地认证方式；

枚举本地智能终端当前支持的认证方式，判断所述本地智能终端是否存在协商的本地认证方式；

若存在，利用协商的本地认证方式进行用户身份验证；

若用户身份验证通过，在安全环境中产生非对称密钥对，并使用本地智能终端中的认证设备私钥对所述非对称密钥对中的用户公钥进行签名，生成第二签名值；其中，所述安全环境至少包括：TEE、SE、SD卡；

将所述第二签名值及经认证设备私钥签名的用户公钥上传至所述认证服务器，以使所述认证服务器使用认证设备公钥验证所述第二签名值是否有效。

2.根据权利要求1所述的智能终端多因子认证方法，其特征在于，还包括：

利用所述本地智能终端用户代理与所述认证服务器协商至少一种本地认证方式，并将协商的本地认证方式发送至所述认证服务器存储，其中，所述用户代理为应用APP或浏览器。

3.根据权利要求2所述的智能终端多因子认证方法，其特征在于，在与所述认证服务器协商至少一种本地认证方式之后，还包括：将本地智能终端中的认证客户端集成到所述用户代理的认证模块中。

4.一种智能终端，其特征在于，包括：

用户代理模块，用于从认证服务器获取预先开启的本地认证方式，并基于本地智能终端当前支持的认证方式判断所述本地智能终端是否存在所述本地认证方式；所述本地认证方式包括如下认证方式的至少一种或者多种的组合：指纹、声纹、加密口令、虹膜、面部特征、静脉、人眼、地理位置及掌纹；

认证客户端，用于在所述本地智能终端存在所述本地认证方式时，利用所述本地认证方式进行用户身份验证；

认证设备，用于在验证通过时，使用身份认证开启时产生的非对称密钥对中的私钥对随机数进行签名，得到第一签名值，并将所述第一签名值通过所述认证客户端及用户代理模块发送至所述认证服务器，以供所述认证服务器基于所述第一签名值及身份认证开启时获得的用户公钥进行身份认证；所述随机数为所述智能终端向所述认证服务器查询协商的认证方式时，所述认证服务器挑战应答反馈的随机数；

所述用户代理模块还用于从所述认证服务器获取协商的本地认证方式，枚举本地智能终端当前支持的认证方式，判断所述本地智能终端是否存在协商的本地认证方式；

所述认证客户端还用于利用协商的本地认证方式进行用户身份验证；

所述认证设备还用于在安全环境中产生非对称密钥对，并使用本地智能终端中的认证设备私钥对所述非对称密钥对中的用户公钥进行签名，生成第二签名值，并将将所述第二签名值及经认证设备私钥签名的用户公钥经过所述认证客户端及用户代理模块上传至所述认证服务器，以使所述认证服务器使用认证设备公钥验证所述第二签名值是否有效；其中，所述安全环境至少包括：TEE、SE、SD卡。

5.根据权利要求4所述的智能终端，其特征在于，所述用户代理模块还用于与所述认证服务器协商至少一种本地认证方式，并将协商的本地认证方式发送至所述认证服务器存储，其中，所述用户代理模块为应用APP或浏览器。

6.根据权利要求4所述的智能终端，其特征在于，在所述用户代理模块与所述认证服务器协商至少一种本地认证方式之后，所述用户代理模块还用于：将本地智能终端中的认证客户端集成到所述用户代理的认证模块中。