[发明专利]一种基于多终端多场景的可信身份认证方法

说明书

技术领域

本发明涉及身份认证技术领域，具体的说，是一种基于多终端多场景的可信身份认证方法。

背景技术

由于大中型企业信息化的不断发展，信息化水平的不断提升，业务应用场景已由原始的单体架构环境向更加复杂的多元化应用场景进行转变。同时，在互联网技术发达的今天，很多新兴技术正在引领传统企业进行改变，多数企业甚至都已经将应用向云环境进行迁移和覆盖。但是，企业应用身份验证模式的转变是一个首先要解决的问题，由于企业信息化进程的不断推进，最终导致应用孤岛问题。时下传统的身份认证孤岛问题主要为以下几个方面：1）身份信息的集中式存储问题；2）用户多密码记忆以及弱口令问题；3）认证集成多元化复杂化，增加身份数据泄露问题；4）互联网时代智能设备的便捷性认证问题。

根据GARTER 2016 身份泄露的数据统计报告，有超过一半的企业网络安全事故和身份认证凭据盗用有关。采用更加高效和安全的身份认证技术也变得越来越重要，传统的账号密码这种单一的认证方式已无法满足企业级统一认证需求，也不再适应未来的需求。如何为应用系统提供方便、安全、快捷的身份认证服务，成为摆在我们面前不得不面对的课题。数据安全始终是每一个信息系统信息交互过程都要面临的一个重要问题。

然而，传统用户密码的验证方式和问题已在上文进行了详细的描述，传统企业应用构建的模式，身份认证方式让我们不得不用大脑或笔记来记住各种各样的密码甚至忘记自己的密码，总会担心密码及核心身份数据被安全攻击挟持等风险。

基于传统方案的以上问题，典型的技术做法主要有以下两种：

1）时下主流的生物识别技术

如图2所示，目前，在先进企业，尤其是在互联网公司，应用较多、也受大众认可的认证方式主要是通过生物识别技术（二维码、指纹、人脸、虹膜、声纹、静脉、UKEY、穿戴设备等），来代替传统的用户密码验证，解决了用户密码记忆和协议集成等多从困难问题。这种方式的优点是方便快捷，并且用户不用记忆很多密码。缺点是复杂性、冗余性、不方便携带等问题，并且部分设备价格也不低。

2）多终端多场景可信身份验证技术

如图3所示，这种方式的做法是首先基于一种国际通用的轻量级身份安全鉴别协议，核心是采用终端设备内嵌的安全芯片的能力，在不同的安全级别要求下，将设备的认证方式和策略进行设置，实现对通用身份安全鉴别协议的支持，从而完成基于用户现有移动终端的身份验证。这种方式的优点是：充分利用了用户现有的手持设备，将身份验证的工作交给设备内置的安全芯片处理，实现认证方式与认证协议的分离解耦，让身份认证更加安全高效、价格低廉。缺点是目前过于陈旧的或者一些山寨的移动终端暂不支持这种通用的身份安全鉴别协议。

发明内容

本发明的目的在于：提供一种基于多终端多场景的可信身份认证方法，充分利用终端设备内嵌的认证器的能力，将认证方式和认证协议进行解耦，保护用户数据隐私，以解决传统认证的各种复杂问题。

本发明通过下述技术方案实现：一种基于多终端多场景的可信身份认证方法，基于具有生物特征识别功能的终端设备，让认证方式与认证协议完全解耦，即认证方式在终端设备上即插即用，完成用户身份的安全认证；同时，统一仅有客户端和服务端的标准化认证协议，使任何终端设备都能使用认证协议中的客户端。

进一步地，为了更好的实现本发明，所述终端设备内嵌有集成标准化认证协议的认证器；所述认证器在不同安全级别要求下将终端设备内置的认证方式和策略进行设置，保护用户数据隐私，完成所有用户所有设备的多样化认证，即任何终端设备都能使用认证协议中的客户端。

本发明中认证器是指终端设备中内置的安全芯片，如：TEE芯片、TPM芯片、SE芯片。

所述认证器解锁不同认证方式的特定密钥并生成一公私钥对；所述公私钥对中私钥存储在认证器的内部，公钥通过标准化认证协议并代表用户向服务端请求认证。

本发明基于能识别生物特征数据的终端设备，生物特征数据安全存储在留存私钥信息的认证器内部；服务器不存储用户隐私数据，只留存用户公钥信息，进一步提高数据安全性。

进一步地，为了更好的实现本发明，所述认证方式在终端设备上即插即用主要包括以下流程：设备注册、认证器鉴别、数据加密、鉴别流程、交易流程、撤销流程。

进一步地，为了更好的实现本发明，所述设备注册具体包括以下依次进行的步骤：

步骤A：用户将内嵌认证器的移动终端设备进行注册；

步骤B：在浏览器上登录已集成标准化认证协议的应用；

步骤C：初始化注册提交；