一种基于智能终端本地认证的web安全访问的实现方法

摘要

一种基于智能终端本地认证的web安全访问的实现方法，用户在使用该系统进行认证登录时，在保证用户使用便捷的前提下，为用户提供基于公私钥挑战响应式认证方法。首先，将用户的本地身份和RP上身份绑定；其次，用户在认证登录RP的时候，不需提交在RP上的身份证明，只需在智能终端完成本地用户身份验证；最后，本地用户身份验证通过后，利用智能终端生成的签名提交到RP认证服务器进行验证登录。本发明这种基于智能终端本地认证的WEB安全访问方法，简化增强认证时用户手动过程，提高了系统的安全性及用户体验性。

主权项

一种基于智能终端本地认证的web安全访问的实现方法，其特征在于完成这一身份认证过程的有功能部件有：用户代理(UA)、认证客户端(AC)、认证服务器(AS)、服务依赖方(RP)、认证设备(AE)、认证设备抽象层(AA)以及认证设备的元数据认证模块(AMV)；具体实现步骤如下：(1)在智能终端上安装用户代理，智能终端需要拥有网络连接功能；(2)用户在服务依赖方RP上注册用户账号UID，然后将新注册的用户账户绑定至智能终端上；(3)用户请求认证时首先打开安装在智能终端上的用户代理，然后访问到服务依赖方RP的页面，该访问过程使用传输层安全协议TLS进行保护；(4)服务依赖方RP将用户访问重定向到认证服务器AS，认证服务器AS首先返回服务帐号AppID，认证服务策略Policy，以及认证服务器端生成的挑战值Chl给认证客户端，该挑战值Chl使用伪随机数算法生成；所述AppID是依赖方RP的唯一标识，服务器挑战值Chl是由认证服务器产生的一组随机标记，用于防止恶意攻击者的重放攻击；所述认证策略Policy指明了哪些认证方式是合法的而那些认证方式是不被允许的；(5)认证客户端根据AppID，服务器挑战值Chl生成FCH(Final Challenge Params)传递给认证设备；利用注册的时候存储的用户本地身份信息，认证设备对用户进行本地身份认证，认证成功以后，使用注册的时候生成的私钥UAuth.priv和FCH签名生成SignedData，并且发送到认证服务器端；(6)认证服务器端根据用户名查找对应的公钥，并使用公钥验证签名，如果验证通过，则用户登录成功，至此完成了基于智能终端本地认证的web安全访问的实现方法。