一种基于智能终端本地认证的多SP安全绑定的实现方法

摘要

本发明涉及一种基于智能终端本地认证的多SP安全绑定的实现方法，引入了“信任预置”思想，通过预置认证设备的公私钥证书，将认证设备和身份认证端绑定起来。通过用户向SP进行注册，产生标记认证设备的用户公私钥UAuth并将该UAuth与用户账户绑定。一个用户持有的安全认证设备可与该用户在同一SP中的多个账户或多个不同SP中的账户进行一对多的双向关联。通过本发明，用户可以通过唯一安全设备安全通过多个身份认证，并在很大程度上取代了传统的用户名密码身份验证方式。并且在保证用户身份认证操作便捷的情况下，大大的提高了认证过程中信息的安全性。

主权项

一种基于智能终端本地认证的多SP安全绑定的实现方法，其特征在于实现步骤如下：(1)基于智能终端本地认证的多SP安全绑定的模块化实现划分为了三个模块：Web服务提供商模块、身份绑定服务器模块和绑定服务用户设备模块；身份绑定模块：在收到Web服务提供商发送的请求后生成身份绑定请求进行身份绑定，并在身份绑定客户端返回身份绑定相应后，验证认证设备签名并存储UID—用户公钥UAuth.pub供后续用户身份验证；该模块还会在“信任预置”部分负责提前存储可使用的认证设备公钥；Web服务提供商模块：为用户提供Web网络服务并提供注册功能使用户获取在该Web服务上的用户名UID，UID是后续身份绑定过程的必要元素；该模块还会根据所提供服务的安全需要制定自己的安全策略；绑定服务认证设备模块：使用内置或外接与用户智能终端的认证设备收集用户信息，并为该信息生成用户公私钥，之后安装在智能终端上的身份绑定客户端将用户公钥和用户UID打包为KRD并用设备私钥EAuth.priv进行签名；(2)基于智能终端本地认证的多SP安全绑定的数据信息交互体系构建基于模块内层次结构，通过AppID，FCH，EAuth，UID，Chl，KRD和Policy数据交互最终实现身份注册及绑定；其中，AppID用于标记请求身份绑定的服务提供商SP，UID用于标记在服务提供商SP上用户的为唯一账户名，而EAuth作为一个认证设备的唯一标记通过公私钥对签名验证机制被身份绑定服务器识别，EAuth在身份验证过程之前已经在认证设备和身份绑定服务器之间沟通好；针对每一个(appID，UID)二元组，认证设备会生成一个全新的公私钥对，公钥由认证设备私钥EAuth.priv签名后发给身份绑定服务器，身份绑定服务器接收到后与用户名一起存入记录；Chl是由身份绑定服务器产生的一组随机标记，用于防止恶意攻击者的重放攻击；认证策略Policy指明了哪些认证方式是合法的而那些认证方式是不被允许的；FCH(Final Challenge Params)身份绑定客户端在接收到服务器发来的数据时，通过挑战值、appID参数生成FCH并将其发送给认证设备；KRD(Key Registration)是由FCH、认证设备新生成的用户公钥数据组成，并由认证设备的EAuth.priv签名；(3)基于智能终端本地认证的多SP的身份绑定过程(31)认证设备的“信任预置”认证设备在出厂后正式投入商用前，首先要对认证设备的安全性等问题进行检测，以对其安全等级问题进行评估；并且在正式投入使用前，应为每个型号的安全设备生成公钥证书，并将其对应公钥注册至身份绑定服务器端，私钥保存于设备本身；当身份绑定服务器接收到由认证设备发送并用其私钥签名的数据包时，用其对应的公钥进行验证；(32)认证设备及身份绑定客户端的安装认证设备根据智能终端生产商设计的不同，内置于智能终端内或是由用户在使用时连接至智能终端，用户通常还应将对应的身份绑定客户端安装至智能设备，并通过客户端中的认证设备抽象层为认证设备提供驱动和接口；(33)身份绑定服务器和SP服务器的配置身份绑定服务器或作为SP web服务器的一个子模块，或者可作为一个独立的存在，负责多个SP的身份绑定和验证功能；(34)用户注册用户账号用户在SP上注册用户账号UID；(35)将新注册的用户账户绑定至认证设备上之前的步骤只是使用了传统的身份注册方法为用户分配了唯一的UID，若要把这个用户绑定到连接至智能终端的认证设备上，智能终端首先要获知与其通信的SP支持何种认证设备；根据不同SP安全等级的不同，并不是所有类型的认证设备都可以被SP接受，故还需要Policy参数指定可用的认证设备，如果连接至智能终端的认证设备不在Policy列表中，则身份绑定失败；(36)登记已绑定的UID和用户设备用户完成步骤(35)时，即完成了账号的基本绑定过程；认证设备为用户生成了一个新的公私钥对，将其中的公钥发回身份绑定服务器，身份绑定服务器将公钥和对应的用户存入数据库，当该用户下次登录时，身份绑定服务器用记录的公钥验证登录时认证设备发来的由私钥签名的数据，若验证成功，则用户成功登录。