一种多屏多因子便捷WEB身份认证方法

摘要

一种多屏多因子便捷WEB身份认证方法，用户在使用该系统进行用户登录认证时，在保证用户使用便捷的条件下，将能够为用户提供多屏多因素的认证方法。用户在移动智能终端设备进行第一因素本地的验证后，再利用移动智能终端设备生成的OTP提交到认证服务器WS进行第二因素的验证。本发明在不改变原有系统的业务逻辑的前提下，增加了多因子的身份认证，提高系统的安全性及用户体验性，用基于移动智能终端设备预装客户端和智能终端浏览器插件完成多屏互动任务和OTP与账号密码的多因子隐式增强认证技术，保证用户登录的安全，同时也简化增强认证时用户手动过程，因此用户体验效果好、安全性高。

主权项

一种多屏多因子便捷WEB身份认证方法，其特征在于实现步骤如下：（1）在移动智能终端设备上安装客户端，在智能终端浏览器上安装浏览器插件；移动智能终端设备需具备无线网络连接功能和拍照功能，智能终端具备无线网络连接功能；（2）用户在移动智能终端设备上首次启动客户端时，借助客户端在设备仓库服务器VS上完成设备注册，通过客户端预置的设备仓库服务器VS证书，建立SSL安全信道，将注册信息保存于设备仓库服务器VS上，所述注册信息包括移动智能终端的设备识别号，注册时间，注册IP地址，客户端版本信息；（3）移动智能终端设备注册成功后，用户参与本地用户账号注册，通过移动智能终端设备上的客户端将用户账号、密码存储在本地，然后通过预置的设备仓库服务器VS证书，向设备仓库服务器VS发起用户注册，注册信息为移动智能终端设备的设备识别号，加密过的本地用户账号，用户证书签发请求（PKCS#10）、注册时间和注册IP地址信息；（4）用户账号注册成功后，移动智能终端设备通过预置的设备仓库服务器VS证书建立的SSL安全信道，然后接收设备仓库服务器VS签发用户证书和备仓库服务器生成OTP共享密钥；接收设备仓库服务器VS将接受信息同本地用户账号、密码在移动智能终端设备上安全存储，并与设备仓库服务器VS完成基于UTC同步偏移窗口的时间同步；（5）完成设备注册和本地用户账号注册后，用户通过开启客户端，验证本地用户名和密码通过后，读取安全存储区的共享密钥，根据系统UTC时间，生成OTP；（6）用户在智能终端开启浏览器作身份认证时，需启动浏览器插件的无线网络连接功能，此时浏览器插件读取智能终端的IP地址与空闲端口号，通过随机数生成无线局域网络的随机服务设置标识（Service Set Identifier，SSID）和密码，并启动无线局域网络连接功能且等待外部连接，同时将连接信息SSID、密码、IP地址、端口号放入QR码（即二维码）中，屏幕显示QR码；（7）用户使用移动智能终端设备的客户端扫描上述QR码，利用QR码内的信息与浏览器插件建立无线网络连接，并通过预置的浏览器插件证书建立安全Socket连接，传输用户证书序列号和OTP；（8）智能终端浏览器插件接收到数据后，通过与认证服务器WS建立的SSL安全信道完成数据传送，认证服务器W对智能终端浏览器传送过来的用户证书序列号和OTP进行验证，验证通过后，允许用户进入相应业务，否则，拒绝用户服务。