[发明专利]一种基于智能终端本地认证的web安全访问的实现方法

摘要

一种基于智能终端本地认证的web安全访问的实现方法，用户在使用该系统进行认证登录时，在保证用户使用便捷的前提下，为用户提供基于公私钥挑战响应式认证方法。首先，将用户的本地身份和RP上身份绑定；其次，用户在认证登录RP的时候，不需提交在RP上的身份证明，只需在智能终端完成本地用户身份验证；最后，本地用户身份验证通过后，利用智能终端生成的签名提交到RP认证服务器进行验证登录。本发明这种基于智能终端本地认证的WEB安全访问方法，简化增强认证时用户手动过程，提高了系统的安全性及用户体验性。

主权项

一种基于智能终端本地认证的web安全访问的实现方法，其特征在于完成这一身份认证过程的功能部件有：用户代理(UA)、认证客户端(AC)、认证服务器(AS)、服务依赖方(RP)、认证设备(AE)、认证设备抽象层(AA)是为认证客户端提供了多设备支持以及相关认证设备的驱动程序，元数据认证服务器(AMV)是与认证服务器直接建立联系，其主要用于存储公钥证书；具体实现步骤如下：(1)在智能终端上安装用户代理，智能终端需要拥有网络连接功能；(2)用户在服务依赖方RP上注册用户账号UID，然后将新注册的用户账号绑定至智能终端上；(3)用户请求认证时首先打开安装在智能终端上的用户代理，然后访问到服务依赖方RP的页面，该访问过程使用传输层安全协议TLS进行保护；(4)服务依赖方RP将用户访问重定向到认证服务器AS，认证服务器AS首先返回服务帐号AppID，认证服务策略Policy，以及认证服务器端生成的挑战值Chl给认证客户端，该挑战值Chl使用伪随机数算法生成；所述AppID是依赖方RP的唯一标识，服务器挑战值Chl是由认证服务器产生的一组随机标记，用于防止恶意攻击者的重放攻击；所述认证策略Policy指明了哪些认证方式是合法的而哪些认证方式是不被允许的；(5)认证客户端根据服务器挑战值Chl生成最终挑战参数FCH，并与AppID打包传递给认证设备；利用注册的时候存储的用户本地身份信息，认证设备对用户进行本地身份信息认证，认证成功以后，使用注册的时候生成的私钥UAuth.priv和FCH签名生成签名数据SignedData，并且发送到认证客户端后再转发给认证服务器端；(6)认证服务器端根据用户账号查找对应的公钥，并使用公钥验证签名，如果验证通过，则用户登录成功，至此完成了基于智能终端本地认证的web安全访问的实现方法；所述步骤(2)中，用户在服务依赖方RP上注册用户账号UID是指用户使用传统手段在RP上进行注册，即使用用户账号和密码进行注册后，RP分配给用户的一个唯一的身份ID，不同的用户在同一个RP上获取的UID不一样，同一个用户在不同的RP上获取的UID相互不关联，不同的用户在不同的RP上获得的UID可能相同；所述步骤(5)中，所述用户本地身份信息是指对于用户所持有的，或者是用户本身特征，包括IC卡或指纹。