一种多屏多因子便捷web身份认证的一对多账号映射绑定的实现方法
【专利摘要】本发明涉及一种多屏多因子便捷WEB身份认证的一对多账号映射绑定的实现方法,在保证用户身份认证高安全与操作便捷的前提下,在多屏多因子身份认证(即用户首先移动智能终端设备完成本地敏感信息验证,验证通过后,在服务器端完成基于一次性密码OTP验证)中通过身份提供者IDP账号与服务提供商SP服务账号的一对多双向关联和身份提供者IDP账号与设备账号(Device?Identity,简称DID)的一对多双向关联,完成一种新型的SSO账号映射管理方法,从而实现将多SP的登陆过程变为使用多DID中的任意一个完成单点登录过程。本发明在保证用户身份认证操作便捷的情况下,大大的提高了认证过程中信息的安全性。
【专利说明】一种多屏多因子便捷WEB身份认证的一对多账号映射绑定的实现方法
【技术领域】
[0001]本发明属于信息安全领域的身份认证领域,具体涉及到一种多屏多因子便捷WEB身份认证的一对多账号映射绑定的实现方法。
【背景技术】
[0002]随着网络的发展和互联网的普及(桌面服务的网络化),用户在获得网络服务的同时将拥有大量的账号。调查表明:如果一个用户拥有30个账号,则该用户会使用5个或者6个密码,而且用户总是采用尝试的方法进行登陆,即尝试每一个密码登陆直到登陆成功,或者是使用重置密码功能登陆。这样用户将会耗费大量的时间在登录过程中,并且由于网站登录策略的限制会耗费更长的时间,即有些网站要求在输入几次错误密码后,需要填写验证码。随着越来越多的网络服务的涌现,如果用户在登陆每个网站都需使用不同的密码,这将是对用户记忆力的一大考验。
[0003]单点登录(Single Sign-On,简称SS0)可大大简化用户登陆网站的过程:它允许用户使用同一个身份提供者(Identity Provider,简称IDP)的账户登录各服务提供商(Service Provider,简称SP)的网站,使用户从在多个网站注册账号和使用多个密码的记忆中解脱出来。因此,SSO具有使用户记忆较少的密码、一点登陆,全域漫游、用户体验性好等优点。但是,传统SSO登陆方式并没有从本质上解决用户高安全登陆的问题,只是将用户能否安全便捷登陆SP转化为能否安全登陆IDP,一旦IDP登陆账号被人窃取,该IDP绑定的其他SP网络服务就会被人盗用,使用户数据面临着严重的安全威胁。
[0004]传统增强的身份认证方式,一般采用两步身份认证,即在服务器端通过验证用户知道的信息(something know)、用户拥有的信息(something have)、用户自身信息(something are)中的两到三项完成多因子认证来提高认证的安全等级。若用户在连接服务器的过程中信道被劫持,再多的认证因子信息也会通过被劫持信道泄露,给用户带来潜在的安全隐患。
【发明内容】
[0005]本发明技术解决问题:克服现有技术的不足,提供一种多屏多因子便捷WEB身份认证的一对多账号映射绑定的实现方法,在保证用户身份认证操作便捷的情况下,大大的提高了认证过程中信息的安全性。
[0006]本发明技术解决方案:在保证用户身份认证高安全与操作便捷的前提下,在多屏多因子身份认证(即用户首先移动智能终端设备完成本地敏感信息验证,验证通过后,在服务器端完成基于一次性密码OTP (One Time Password,简称OTP)验证)中通过身份提供者IDP账号与服务提供商SP服务账号的一对多双向关联和身份提供者IDP账号与设备账号(Deviceidentity,简称DID)的一对多双向关联,完成一种新型的SSO账号映射管理方法,从而实现将多SP的登陆过程变为使用多DID中的任意一个完成单点登录过程。[0007]本发明具体实现步骤如下:
[0008]( I)首先建立三层账号体系
[0009]借助三层账号体系,完成对设备、用户、服务三个层面的关联,所述三层账号体系分别是设备账号DID、用户账号UID和服务账号SPID,分别对应设备层(DID)、用户层(UID)和服务层(SPID);其中:
[0010]设备账号DID作为移动智能终端设备的识别信息,起到标识用户拥有该设备的作用,由移动智能终端设备在设备仓库服务器VS上通过证书激活技术获得;DID信息由两部分信息共同组成,一部分为移动智能终端设备拥有者信息,保存在移动智能终端本地安全存储区上;另一部分为移动智能终端设备本身信息,保存在设备仓库服务器VS上;用户信息利用本地设备映射关系,直接跟DID信息关联,设备仓库服务器VS上只存储设备信息;
[0011]用户账号UID作为用户在WS的账号,是用户的身份,由用户在认证服务器WS上注册获得,UID信息保存在认证服务器WS,为DID与SPID关联的中间件,是三层账号体系的实施的基础;
[0012]服务账号SPID为用户的服务账号,由SP提供;SPID的注册在SP端进行,同时SPID的信息保存在SP服务器上,SPID的服务权限由SP提供管理;
[0013](2)三层账号映射绑定及使用
[0014]三层账号映射绑定的方式为多个DID映射绑定到一个WD,一个WD映射绑定到多个SPID上,即通过设备证书激活技术获得设备层标识、在服务提供商SP处获得用户服务层标识、在认证服务器用户注册获得用户层标识,并在该层实现用户三层账号体系下的映射关联,用户在完成三层账号体系映射绑定后,要获得服务提供商SP提供的服务时,首先在通过本地设备层验证后,将移动智能终端的DID及包括OTP信息的其它信息发送给认证服务器WS,认证服务器WS从中找到DID对应的WD,再根据用户UID对应的要登录的服务提供商提供的服务选择对应的服务层账号SPID,认证服务器WS将相关信息发送给SP服务器,完成用户要享受服务的认证登录过程;
[0015](3)三层账号体系下账号映射绑定后的登陆过程
[0016](31)移动智能终端注册
[0017]在移动智能终端设备上安装客户端,首次运行时在设备仓库服务器VS上注册设备账号DID ;
[0018](32)用户在移动智能终端上注册
[0019]用户在使用移动智能终端设备时,在移动智能终端本地上注册用户信息,然后完成与设备账号DID的绑定;
[0020]( 33 )用户注册用户账号
[0021]用户在认证服务器WS上注册用户账号UID ;
[0022](34)设备账号DID绑定用户账号HD
[0023]用户完成步骤(33)时,需要绑定到DID上,这时需要用户继续完成绑定过程,然后选择绑定WD,浏览器安全插件会启动本地W1-Fi,将W1-Fi连接信息以QR码的形式展现给用户,用户通过移动智能终端的QR码扫描功能,读取传入信息建立与浏览器插件的无线互联,同时传送DID信息及OTP信息经浏览器插件转发给WS,验证通过后完成绑定;
[0024](35)设备账号DID绑定服务账号SPID[0025]用户完成步骤(34)时,即完成了账号的基本绑定过程;每当用户访问服务提供商SP时,通过本地验证和SP服务器验证后,会根据DID找对应SP绑定的SPID,如没有绑定,跳转到初始SPID绑定,绑定过程为先通过SPID的账号和密码完成登录,登陆后SPID将SPID和安全断言发送给认证服务器WS,认证服务器WS依据断言和SPID与WD的对应关系完成绑定;若已绑定,WS发送安全断言和SPID信息至SP服务器,完成认证登录过程。
[0026]所述步骤(31)中,首次运行客户端需要完成设备在设备仓库服务器VS上注册,若VS上已有注册,跳过在VS上注册过程,并通知用户设备已注册过,可继续使用。
[0027]所述步骤(32)中,绑定信息存于移动智能终端本地,目的是为用户将输入自己的本地账号信息留在移动智能终端以完成本地验证,验证通过完成第一层验证,设备启动OTP产生过程以完成后续验证;若本地验证不通过,则要求重新验证直至成功。
[0028]所述步骤(34)中,如果验证不通过则绑定失败,回滚到UID注册前,防止出现单独的UID无DID绑定的情况,带来潜在威胁。
[0029]所述步骤(35)中,安全断言分别为SP服务器和认证服务器WS分别产生,所有的验证不通过都会导致步骤(35)失败,要求重新执行。
[0030]下面简要介绍本方案的基本原理。
[0031]方面一,设备账号DID。DID作为用户的移动智能终端设备识别标志,起到标识用户拥有该设备的作用,由移动终端设备在设备仓库服务器VS上注册,通过设备证书激活技术获得设备账号信息(如设备证书等XDID账号信息由两部分组成,一部分为用户静态敏感信息保存在移动终端;另一部分为移动终端设备信息保存在设备仓库服务器VS。这两部分信息存在一种映射关联关系。其优点在于:(1)服务器并不知道具体使用者的身份,只能识别可信设备,即通过可信设备的身份起到标识用户账号身份的作用,从而保护了用户身份的隐私安全;(2)设备账号对移动终端有识别功能,为后期增强的身份认证信息比对,起到用户信息与移动终端映射关联作用。
[0032]方面二,用户账号WD。用户账号UID作为三层账号体系的中间件,起到了三层账号间连接桥梁的作用,由用户在认证服务器WS上注册获得用户账号信息。这层账号存在的好处在于:将映射绑定控制权交予认证服务器WS的账号管理模块处理,实现用户账号WD与设备账号DID —对多的映射绑定及关联解锁、用户账户UID与服务账号SPID —对多的映射绑定及关联解锁,提供更好的使用体验和对高兼容性的支持。
[0033]方面三,服务账号SPID。SPID为用户的服务账号,由服务提供商SP提供。SPID的注册在服务提供商SP的服务器端完成,同时SPID的信息保存在SP服务器上,SPID的服务权限由SP进行管理。三层账号体系下UID账号关联服务账号SPID,SPID作为用户网络服务可识别的信息,既保证服务控制权保留在SP,使SP可通过黑名单来拒绝用户的服务请求,又确保SP不进行改动,降低了与SP对接的代价和安全风险,增加了系统部署的便捷性。
[0034]本发明提出的一种多屏多因子便捷WEB身份认证的一对多账号映射绑定的实现方法,需要用户在FIDO (Fast Identity Online,简称FIDO,快速身份认证联盟)基础框架之上利用多屏多因子认证机制内提供的FIDO-1DP (FIDO身份提供者)网站内注册一个属于自己的FIDO用户账号WD,然后将所使用的网络服务账号与该账号绑定。用户在需要使用网络服务时,需要通过一次两层的安全认证登陆FID0-1DP,得到FIDO-1DP对SP账号的授权后即可使用网络服务。[0035]本发明与现有技术相比有优点在于:本发明通过多屏多因子的安全认证方式提高用户登录安全性的同时提出一种便捷账号映射管理方法。首先在移动智能终端设备验证用户本地静态敏感信息,验证通过后,将移动智能终端设备生成的一次性密钥(OTP)加密处理后提交至服务端FIDO-1DP进行验证,最大限度的保证用户认证的安全,同时借助移动智能终端设备账号,FIDO-1DP用户账号和服务提供商SP服务账号SPID的三层的关联体系,简化了单点登录的过程和身份的识别过程。
【专利附图】
【附图说明】
[0036]图1本发明的整体实施示意图;
[0037]图2本发明多屏多因子身份认证中三层账号体系示意图;
[0038]图3本发明多屏多因子身份认证中三层账号体系下用户便捷登陆示意图;
[0039]图4本发明多屏多因子身份认证中三层账号体系下账号绑定登录流程图。
【具体实施方式】
[0040]为使本发明的目的、优点以及技术方案更加清楚明白,以下通过具体实施,并结合附图,对本发明进一步详细说明。
[0041]三层账号体系本发明在多屏多因子认证方法(即在本地设备层和服务端服务器层分别对不同认证数据进行验证。避免了传统认证中仅在服务器层对数据进行验证,通过多屏下多层级的验证提高了身份认证过程中的安全性。即用户通过移动智能终端设备的本地身份验证,再借助移动智能终端设备登陆FID0-1DP,最终获得网络服务授权的过程)基础上,借助三层账号关联体系,完成对设备、用户、服务三个层面的关联。以用户账号为关键的中间连接层,保持设备、用户、服务关联的同时,使它们各自保持一定的独立性。通过分层的实现方法既保证了安全认证过程的完整性,同时也保护了各层数据的隐私安全。
[0042]本发明针对用户登录的时提供多屏多因子的认证方法,即用户在移动智能终端设备进行本地的验证后,再利用移动智能终端设备生成的OTP提交到认证服务器FIDO-1DP进行验证。完成两层认证功能需要的部件有:浏览器插件、移动智能终端设备、设备仓库服务器(VS )、设备仓库验证缓存(VC )、认证服务器(WS )、服务提供商(SP )。
[0043]浏览器插件是安装在用户智能终端,为了保证整个系统的各部分顺利工作所定制的一个重要功能部件,它主要提供生成QR码,与移动智能终端设备的安全连接,消息内容的转发等功能。用户在绑定用户账号或者登陆用户账号时,需要调用该插件生成包含智能终端连接信息的QR码,移动智能终端设备扫描QR码后,利用QR码中的信息与插件进行安全连接,该插件还会在建立安全连接后完成一些消息内容(如0ΤΡ)的转发操作。
[0044]移动智能终端提供了一个密码的物理隔离设备。移动智能终端设备在使用前需要在VC上进行注册,并协商产生OTP的共享秘钥;它还能够提供第一因素的本地的验证功能,并在验证通过之后,才会生成OTP以提供第二因素的验证。同时,移动智能终端设备通过扫描QR码获得智能终端的连接信息,与智能终端完成自动无线连接。
[0045]设备仓库验证缓存(VC)是设备仓库服务器存储数据的一个缓存,它和认证服务器WS是物理相连的。认证服务器WS每次提交移动智能终端设备识别信息DID后,它能够快速高效的返回对应的0ΤΡ。[0046]认证服务器(WS)是本系统的核心部分,是FIDO-1DP的最要的组成部分,负责核心的用户账号管理和账号绑定管理。用户在登录SP时需要在该服务器登录用户账号,得到该服务器返回的对服务提供商账号的授权。用户在登录账号时,它会向VC提交DID对应OTP请求。
[0047]设备仓库服务器(VS)提供移动智能终端设备的注册功能,所有的移动智能终端设备在使用该系统前都需要注册。它与移动智能终端设备共同协商秘钥和移动智能终端设备识别信息(DID)等内容。它会存储这些内容并将其更新到VC中,以便WS在对用户的第二因素验证过程中能够得到用户对应移动智能终端设备的信息。
[0048]服务提供商(SP)则是提供网络服务的实体,用户可以通过将用户账号绑定多个服务提供商账号,这样通过登陆一个用户账号则可以登陆多个服务提供商账号。服务提供商需要和WS建立一定的信任关系并且有安全的通信方式。
[0049]上述完成多屏多因子认证方法中的功能部件,设备仓库服务器VS负责提供三层账号体系下的设备账号,服务提供商SP负责提供三层账号体系下的用户服务账号,认证服务器WS负责提供三层账号体系下用户账号,是三层账号连接的桥梁。
[0050]对于图1从整体上描述了多屏多因子身份认证中账号管理实施的总体架构,主要包括下面两部分的内容。
[0051]一、多屏多因子身份认证中三层账号体系的实现方法
[0052]如图2,三层账号体系设计分别对应设备层(DID)、用户层(UID)和服务层(SPID),这种三层账号设计主要是为了解决身份认证过程中,信息的保密与多身份间的便捷管理。
[0053]设备账号DID作为移动智能终端设备的识别信息,由移动智能终端设备在VS上通过证书激活技术获得。DID信息由两部分信息共同组成,一部分为移动智能终端设备拥有者信息,保存在移动智能终端本地安全存储区上;另一部分为移动智能终端设备本身信息,保存在设备仓库服务器VS上。用户信息利用本地设备映射关系,直接跟DID信息关联,服务器VS上只存储设备信息,这样的好处是,服务器并不知道具体使用者的身份,只能识别为使用者拥有设备为信任设备,同时设备所有者可授权其拥有设备给其他可信使用者使用。DID起到了对移动智能终端设备的识别功能,同时为用户身份认证信息提供在认证服务器WS端的比对功能,作为用户身份认证信息与移动智能终端设备关联的桥梁。
[0054]用户账号UID作为用户在WS的账号,是用户的身份,由用户在WS服务器上注册获得,UID信息保存在WS服务器,为DID与SPID关联的中间件,是三层账号体系的实施的基础。存在该层账号的好处在于将映射控制权交予WS处理,通过WS上账号管理模块,对DID实现一对多的映射绑定和对SPID实现一对多的映射绑定以及与DID和SPID的关联解锁,提供更好的使用体验和高兼容性的支持。
[0055]服务账号SPID为用户的服务账号,由SP提供。SPID的注册在SP端进行,同时SPID的信息保存在SP服务器上,SPID的服务权限由SP提供管理。UID账号系统关联SPID,SPID为服务提供商SP可识别的信息,既可以使服务控制方保留在SP,使SP可以通过黑名单来拒绝用户的服务请求,又保证了对SP服务系统无需改动,降低了与SP服务系统对接的代价,增加了系统部署的便捷性,同时将服务控制方分散于各SP,在一定程度上保护了用户的隐私信息。
[0056]三层账号映射绑定及使用绑定的方式为多个DID映射绑定到一个WD,一个WD映射绑定到多个SPID上,即通过设备证书激活技术获得设备层标识、在服务提供商SP处获得用户服务层标识、在认证服务器用户注册获得用户层标识,并在该层实现用户三层账号体系下的映射关联。用户在完成三层账号体系映射绑定后,用户要获得服务提供商提供的服务时用户首先在通过本地设备层验证后,将移动智能终端的DID及其它信息(如OTP信息)发送给认证服务器,认证服务器WS从中找到DID对应的WD,再根据用户UID对应的要登录的服务提供商提供的服务选择对应的服务层账号SPID,认证服务器将相关信息发送给SP服务器,完成用户要享受服务的认证登录过程。
[0057]二、三层账号体系下账号映射绑定后的登陆过程
[0058]初始化用户在使用该方案映射绑定之前,需要对移动智能终端设备(如智能手机、Pad等)和智能终端(如电脑、智能云电视等)等进行初始化操作,以便获得三层账号提下各层对应的账号信息。
[0059]移动智能终端设备的初始化:用户在移动智能终端设备安装多屏多因子认证应用后,需对其应用进行初始化,即连接设备验证服务器VS完成注册,协商得到用户的移动智能终端设备证书,该证书用于标识用户和建立安全信道SSL连接等功能。同时协商得到标识证书的DID,以及生成OTP的共享秘钥K,这些数据都被存储在移动智能终端设备的安全存储区,该存储区只能被多屏多因子认证应用访问。注册成功后,VS会将移动智能终端设备对应的信息更新至各分布式设备仓库验证缓存VC。该过程实现主要建立起设备层账号,为多屏多因子认证奠定设备层条件。
[0060]智能终端的初始化:用户需要在智能终端(如PC、智能云电视)浏览器上安装认证安全插件,完成基于无线安全传递认证信息的登陆功能。同时,用户需安装在智能终端浏览器上安装证书以保证认证安全插件和移动智能终端设备、认证安全插件和认证服务器WS之间的建立安全信道SSL。
[0061]如图3所示,一次完整的登陆需要这些步骤。假设用户已经拥有用户账号UID和服务提供商账号SPID,并且它们已经在认证服务器WS端完成绑定。设备账号DID和用户账号UID已完成映射绑定。由于在本方案内移动智能终端设备并不限定为某一类设备,本文以智能手机为例,结合附图4,说明具体的实施过程,其中a)-h)步为用户账号登陆过程,i)-l)步得到为服务提供商SP账号授权的过程:
[0062]a)用户在智能终端PC中的浏览器B访问SP网站,并选择单点登陆,服务提供商SP网站将跳转至认证服务器WS登陆页面;
[0063]b)浏览器借助认证安全插件与WS服务器建立SSL安全连接,令SSL共享秘钥为KBW。WS页面调用已经安装在浏览器的安全插件,建立W1-FI接入点,并将PC的W1-Fi连接信息生成二维码显示于页面中。二维码包含的信息为:[SSID, Password, Address, Port],其中SSID为W1-Fi接入点的标记ID,Password为W1-Fi接入点密码,Address为W1-Fi接入点的IP地址信息,Port为W1-Fi接入点的空闲端口号;
[0064]c)用户首先在移动智能终端设备利用本地密码解锁对应本地账号,打开移动智能终端设备的应用,扫描b)步骤生成二维码,解析二维码内容并与智能终端PC浏览器建立安全信道SSL连接,令SSL共享秘钥为KBM ;
[0065]d)移动智能终端设备利用预先协商的共享秘钥K生成0ΤΡ,利用c)建立的安全连接将信息{DID,Time, SigjKBM发送至智能终端:[0066]e)智能终端PC的安全插件接收到移动智能终端设备无线安全传递的消息后,再通过浏览器与WS服务器之间建立地安全信道将(e)转发至WS服务器;
[0067]f) WS服务器接收到智能终端PC发送的消息,在安全信道SSL利用KBW解密后获得DID、Time和Sig,验证Time的有效性,并且将DID、Time和Sig提交至设备仓库验证缓存VC验证其有效性;gTime无效,验证不通过,该提示用户失败;
[0068]g) VC在接收到DID、Sig和Time后,通过DID找到对应的共享秘钥K,再使用该秘钥和系统当前时间作为计算参数生成0ΤΡ,利用OTP采用与一种智能终端相同的HMAC算法对DID,Time签名,并与接受到Sig值比对,将验证结果返回给WS ;
[0069]h)若Sig验证通过,即VC返回验证成功的结果,至此DID绑定的用户账号登陆成功;若Sig不通过,验证失败。此时WS页面会显示用户已经绑定的SP账号,用户选择其中一个SP账号进行登陆。WS会随机生成一个验证码Authorization Code并将其与用户选定的SP账号关联。并返回一个带参数的跳转至SP的链接,其中参数为Authorization Code ;
[0070]i)浏览器将根据WS返回的链接跳转至SP的处理页面;
[0071]j)SP验证此次跳转链接请求的有效性,即此跳转链接的请求和开始登陆的请求来自同一个浏览器。验证有效,则将Authorization Code发送至WS,请求SP账号的授权;若无效,返回登录错误;
[0072]k) WS在收到SP账号授权请求后,将Authorization Code对应的SP账号返回至服务提供商SP ;
[0073]I) SP向智能终端PC的浏览器返回SP账号登陆成功或失败的结果。
【权利要求】
1.一种多屏多因子便捷WEB身份认证的一对多账号映射绑定的实现方法,其特征在于实现步骤如下: (1)首先建立三层账号体系 借助三层账号体系,完成对设备、用户、服务三个层面的关联,所述三层账号体系分别是设备账号DID、用户账号UID和服务账号SPID,分别对应设备层(DID)、用户层(UID)和服务层(SPID);其中: 设备账号DID作为移动智能终端设备的识别信息,起到标识用户拥有该设备的作用,由移动智能终端设备在设备仓库服务器VS上通过证书激活技术获得;DID信息由两部分信息共同组成,一部分为移动智能终端设备拥有者信息,保存在移动智能终端本地安全存储区上;另一部分为移动智能终端设备本身信息,保存在设备仓库服务器VS上;用户信息利用本地设备映射关系,直接跟DID信息关联,设备仓库服务器VS上只存储设备信息; 用户账号UID作为用户在WS的账号,是用户的身份,由用户在认证服务器WS上注册获得,UID信息保存在认证服务器WS,为DID与SPID关联的中间件,是三层账号体系的实施的基础; 服务账号SPID为用户的服务账号,由SP提供;SPID的注册在SP端进行,同时SPID的信息保存在SP服务器上,SPID的服务权限由SP提供管理; (2)三层账号映射绑定 三层账号映射绑定的方式为多个DID映射绑定到一个UID,一个UID映射绑定到多个SPID上,即通过设备证书激活技术获得设备层标识、在服务提供商SP处获得用户服务层标识、在认证服务器用户注册获得用户层标识,并在该层实现用户三层账号体系下的映射关联,用户在完成三层账号体系映射绑定;· (3)三层账号体系下账号映射绑定后的登陆过程 (31)移动智能终端注册 在移动智能终端设备上安装客户端,首次运行时在设备仓库服务器VS上注册设备账号 DID ; (32)用户在移动智能终端上注册 用户在使用移动智能终端设备时,在移动智能终端本地上注册用户信息,然后完成与设备账号DID的绑定; (33)用户注册用户账号 用户在认证服务器WS上注册用户账号WD ; (34)设备账号DID绑定用户账号WD 用户完成步骤(33)时,需要绑定到DID上,这时需要用户继续完成绑定过程,然后选择绑定WD,浏览器安全插件会启动本地W1-Fi,将W1-Fi连接信息以QR码的形式展现给用户,用户通过移动智能终端的QR码扫描功能,读取传入信息建立与浏览器插件的无线互联,同时传送DID信息及OTP信息经浏览器插件转发给WS,验证通过后完成绑定; (35)设备账号DID绑定服务账号SPID 用户完成步骤(34)时,即完成了账号的基本绑定过程;每当用户访问服务提供商SP时,通过本地验证和SP服务器验证后,会根据DID找对应SP绑定的SPID,如没有绑定,跳转到初始SPID绑定,绑定过程为先通过SPID的账号和密码完成登录,登陆后SPID将SPID和安全断言发送给认证服务器WS,认证服务器WS依据断言和SPID与WD的对应关系完成绑定;若已绑定,WS发送安全断言和SPID信息至SP服务器,完成认证登录过程。
2.根据权利要求1所述的一种多屏多因子便捷WEB身份认证的一对多账号映射绑定的实现方法,其特征在于:所述步骤(31)中,首次运行客户端需要完成设备在设备仓库服务器VS上注册,若VS上已有注册,跳过在VS上注册过程,并通知用户设备已注册过,可继续使用。
3.根据权利要求1所述的一种多屏多因子便捷WEB身份认证的一对多账号映射绑定的实现方法,其特征在于:所述步骤(32)中,绑定信息存于移动智能终端本地,目的是为用户将输入自己的本地账号信息留在移动智能终端以完成本地验证,验证通过完成第一层验证,设备启动OTP产生过程以完成后续验证;若本地验证不通过,则要求重新验证直至成功。
4.根据权利要求1所述的一种多屏多因子便捷WEB身份认证的一对多账号映射绑定的实现方法,其特征在于:所述步骤(34)中,如果验证不通过则绑定失败,回滚到UID注册前,防止出现单独的UID无DID绑定的情况,带来潜在威胁。
5.根据权利要求1所述的一种多屏多因子便捷WEB身份认证的一对多账号映射绑定的实现方法,其特征在于:所述步骤(35)中,安全断言分别为SP服务器和认证服务器WS分别产生,所有的验证不通过都会导致步骤(35`)失败,要求重新执行。
【文档编号】H04L9/32GK103856332SQ201410109452
【公开日】2014年6月11日 申请日期:2014年3月22日 优先权日:2014年3月22日
【发明者】王雅哲, 李琛, 王瑜 申请人:中国科学院信息工程研究所