一种多屏多因子便捷WEB身份认证的一对多账号映射绑定的实现方法

摘要

本发明涉及一种多屏多因子便捷WEB身份认证的一对多账号映射绑定的实现方法，在保证用户身份认证高安全与操作便捷的前提下，在多屏多因子身份认证（即用户首先移动智能终端设备完成本地敏感信息验证，验证通过后，在服务器端完成基于一次性密码OTP验证）中通过身份提供者IDP账号与服务提供商SP服务账号的一对多双向关联和身份提供者IDP账号与设备账号（Device Identity，简称DID）的一对多双向关联，完成一种新型的SSO账号映射管理方法，从而实现将多SP的登陆过程变为使用多DID中的任意一个完成单点登录过程。本发明在保证用户身份认证操作便捷的情况下，大大的提高了认证过程中信息的安全性。

主权项

一种多屏多因子便捷WEB身份认证的一对多账号映射绑定的实现方法，其特征在于实现步骤如下：（1）首先建立三层账号体系借助三层账号体系，完成对设备、用户、服务三个层面的关联，所述三层账号体系分别是设备账号DID、用户账号UID和服务账号SPID，分别对应设备层（DID）、用户层（UID）和服务层（SPID）；其中：设备账号DID作为移动智能终端设备的识别信息，起到标识用户拥有该设备的作用，由移动智能终端设备在设备仓库服务器VS上通过证书激活技术获得；DID信息由两部分信息共同组成，一部分为移动智能终端设备拥有者信息，保存在移动智能终端本地安全存储区上；另一部分为移动智能终端设备本身信息，保存在设备仓库服务器VS上；用户信息利用本地设备映射关系，直接跟DID信息关联，设备仓库服务器VS上只存储设备信息；用户账号UID作为用户在WS的账号，是用户的身份，由用户在认证服务器WS上注册获得，UID信息保存在认证服务器WS，为DID与SPID关联的中间件，是三层账号体系的实施的基础；服务账号SPID为用户的服务账号，由SP提供；SPID的注册在SP端进行，同时SPID的信息保存在SP服务器上，SPID的服务权限由SP提供管理；（2）三层账号映射绑定三层账号映射绑定的方式为多个DID映射绑定到一个UID，一个UID映射绑定到多个SPID上，即通过设备证书激活技术获得设备层标识、在服务提供商SP处获得用户服务层标识、在认证服务器用户注册获得用户层标识，并在该层实现用户三层账号体系下的映射关联，用户在完成三层账号体系映射绑定；（3）三层账号体系下账号映射绑定后的登陆过程（31）移动智能终端注册在移动智能终端设备上安装客户端，首次运行时在设备仓库服务器VS上注册设备账号DID；（32）用户在移动智能终端上注册用户在使用移动智能终端设备时，在移动智能终端本地上注册用户信息，然后完成与设备账号DID的绑定；（33）用户注册用户账号用户在认证服务器WS上注册用户账号UID；（34）设备账号DID绑定用户账号UID用户完成步骤（33）时，需要绑定到DID上，这时需要用户继续完成绑定过程，然后选择绑定UID，浏览器安全插件会启动本地Wi‑Fi，将Wi‑Fi连接信息以QR码的形式展现给用户，用户通过移动智能终端的QR码扫描功能，读取传入信息建立与浏览器插件的无线互联，同时传送DID信息及OTP信息经浏览器插件转发给WS，验证通过后完成绑定；（35）设备账号DID绑定服务账号SPID用户完成步骤（34）时，即完成了账号的基本绑定过程；每当用户访问服务提供商SP时，通过本地验证和SP服务器验证后，会根据DID找对应SP绑定的SPID，如没有绑定，跳转到初始SPID绑定，绑定过程为先通过SPID的账号和密码完成登录，登陆后SPID将SPID和安全断言发送给认证服务器WS，认证服务器WS依据断言和SPID与UID的对应关系完成绑定；若已绑定，WS发送安全断言和SPID信息至SP服务器，完成认证登录过程。