智能终端多因子认证方法、智能终端、认证服务器及系统与流程

本发明涉及信息安全认证技术，特别涉及一种智能终端多因子认证方法、智能终端、认证服务器及系统。

背景技术：

随着云计算、移动通信技术的不断发展，以及电子商务、电子政务、网上银行、网上证券、网上购物等网上交易业务的移动智能化，目前网络安全特别是智能终端的安全性令人瞩目，通过智能终端进行信息传递的安全问题日益受到人们的重视，确保智能终端信息传递的保密性、完整性、不可否认性是人们关注的重点。

在当前的绝大多数智能终端应用中，都是采用用户名、口令的用户认证方式，即便是采用了PKI的安全加固，在一些应用环节也是要输入口令获取权限，这样就需要用户记录不同应用的不同口令，也需要应用系统保存众多用户的口令。应用的友好性受到很大影响，安全短板也因为应用系统对口令的存储而凸显。

为了解决上述问题，现有技术中采用PKI安全加固技术，对智能终端用户下发数字证书，使用第二因子方式加强用户身份安全，并使用多形态的key，包括蓝牙key，音频key，双接口KEY等，以及SD/TF卡，保证证书的安全性，利用硬件密码设备密钥不可导出性，加强用户的身份安全。发明人在实现本发明过程中，发现上述现有技术中至少存在如下问题：

由于智能终端的特殊性，无论使用任何形态的key，包括蓝牙key，音频key，双接口KEY，以及SD/TF卡，都需在移动终端外接设备，特别是目前智能终端的厂家多样性，比如有些厂家不支持外接SD/TF卡，导致该方式普适性较差，而使用蓝牙key、音频key的方式，更降低了方案的易用性，增加了用户的操作复杂度。

为了解决上述问题，现有技术中还采用PKI-SIM方式，通过定制SIM卡支持密钥算法。发明人在实现本发明过程中，发现上述现有技术中至少存在如下问题：

首先，运营商换卡成本很高，推广很难。其次，虽然PKI-SIM方式使交易和SIM卡完全绑定了，离开了这张卡，无法完成交易，无需担心钓鱼之类的风险，但交易数据可能被篡改。

为了解决上述问题，现有技术中还采用生物特征识别，将生物识别信息传输到服务器，主要由服务器完成验证。发明人在实现本发明过程中，发现上述现有技术中至少存在如下问题：

业务量很大时，对于服务器的处理性能有更高的要求。另外，生物识别信息需要传输，安全性受到挑战。再者，生物识别信息在服务器保存具有较大安全风险，容易出现生物特征库整体被盗的情况，带来灾难性的损失。

技术实现要素：

本发明提供了一种智能终端多因子认证方法、智能终端、认证服务器及系统，以解决现有技术中存在的容易受到网络窃听、篡改、字典攻击、猜测攻击等问题，提高安全性。

为了实现上述目的，本发明实施例提供了一种智能终端多因子认证方法，该智能终端多因子认证方法包括：

从认证服务器获取预先开启的本地认证方式，所述本地认证方式包括如下认证方式的至少一种或者多种的组合：指纹、声纹、加密口令、虹膜、面部特征、静脉、人眼、地理位置及掌纹；

基于本地智能终端当前支持的认证方式判断所述本地智能终端是否存在所述本地认证方式；

若存在所述本地认证方式，利用所述本地认证方式进行用户身份验证；

若验证通过，使用身份认证开启时产生的非对称密钥对中的私钥对随机数进行签名，得到第一签名值，并将所述第一签名值发送至所述认证服务器，以供所述认证服务器基于所述第一签名值及身份认证开启时获得的用户公钥进行身份认证。

一实施例中，该智能终端多因子认证方法还包括：

利用所述本地智能终端用户代理与所述认证服务器协商至少一种本地认证方式，并将协商的本地认证方式发送至所述认证服务器存储，其中，所述用户代理为应用APP或浏览器，本发明不限于APP或浏览器，只要可以实现用户代理的方式均可以采用。

一实施例中，该智能终端多因子认证方法还包括：

从所述认证服务器获取协商的本地认证方式；

枚举本地智能终端当前支持的认证方式，判断所述本地智能终端是否存在协商的本地认证方式；

若存在，利用协商的本地认证方式进行用户身份验证；

若用户身份验证通过，在安全环境中产生非对称密钥对，并使用本地智能终端中的认证设备私钥对所述非对称密钥对中的用户公钥进行签名，生成第二签名值；其中，所述安全环境至少包括：TEE、SE、SD卡；

将所述第二签名值及经认证设备私钥签名的用户公钥上传至所述认证服务器，以使所述认证服务器使用认证设备公钥验证所述第二签名值是否有效。

一实施例中，在与所述认证服务器协商至少一种本地认证方式之后，还包括：将本地智能终端中的认证客户端集成到所述用户代理的认证模块中。

为了实现上述目的，本发明实施例提供了一种智能终端，该智能终端包括：

用户代理模块，用于从认证服务器获取预先开启的本地认证方式，并基于本地智能终端当前支持的认证方式判断所述本地智能终端是否存在所述本地认证方式；所述本地认证方式包括如下认证方式的至少一种或者多种的组合：指纹、声纹、加密口令、虹膜、面部特征、静脉、人眼、地理位置及掌纹；

认证客户端，用于在所述本地智能终端存在所述本地认证方式时，利用所述本地认证方式进行用户身份验证；

认证设备，用于在验证通过时，使用身份认证开启时产生的非对称密钥对中的私钥对随机数进行签名，得到第一签名值，并将所述第一签名值通过所述认证客户端及用户代理模块发送至所述认证服务器，以供所述认证服务器基于所述第一签名值及身份认证开启时获得的用户公钥进行身份认证。

一实施例中，所述用户代理模块还用于与所述认证服务器协商至少一种本地认证方式，并将协商的本地认证方式发送至所述认证服务器存储，其中，所述用户代理为应用APP或浏览器，本发明不限于APP或浏览器。

一实施例中，所述用户代理模块还用于从所述认证服务器获取协商的本地认证方式，枚举本地智能终端当前支持的认证方式，判断所述本地智能终端是否存在协商的本地认证方式；

所述认证客户端还用于利用协商的本地认证方式进行用户身份验证；

所述认证设备还用于在安全环境中产生非对称密钥对，并使用本地智能终端中的认证设备私钥对所述非对称密钥对中的用户公钥进行签名，生成第二签名值，并将将所述第二签名值及经认证设备私钥签名的用户公钥经过所述认证客户端及用户代理模块上传至所述认证服务器，以使所述认证服务器使用认证设备公钥验证所述第二签名值是否有效；其中，所述安全环境至少包括：TEE、SE、SD卡。

一实施例中，在所述用户代理模块与所述认证服务器协商至少一种本地认证方式之后，所述用户代理模块还用于：将本地智能终端中的认证客户端集成到所述用户代理的认证模块中。

为了实现上述目的，本发明实施例提供了一种智能终端多因子认证方法，该智能终端多因子认证方法包括：

接收智能终端发送的认证方式获取请求；

基于所述认证方式获取请求向所述智能终端反馈预先开启的认证方式；

接收所述智能终端上传的第一签名值，基于所述第一签名值及身份认证开启时从所述智能终端获得的用户公钥进行身份认证。

一实施例中，该智能终端多因子认证方法还包括：

接收所述智能终端的认证方式协商请求；

基于所述认证方式协商请求与所述智能终端的用户代理协商至少一种认证方式，其中，所述用户代理为应用APP或浏览器。

一实施例中，该智能终端多因子认证方法还包括：

接收所述智能终端的协商认证方式获取请求；

基于所述协商认证方式获取请求向所述智能终端反馈协商的认证方式；

接收所述智能终端上传的第二签名值及经认证设备私钥签名的用户公钥，使用认证设备公钥验证所述第二签名值是否有效，其中，所述第二签名值由本地智能终端中的认证设备利用自身的私钥对在TEE环境中产生的非对称密钥对中的用户公钥进行签名得到。

为了实现上述目的，本发明实施例提供了一种认证服务器，该认证服务器包括：

请求接收单元，用于接收智能终端发送的认证方式获取请求；

反馈单元，用于基于所述认证方式获取请求向所述智能终端反馈预先开启的认证方式；

身份认证单元，用于接收所述智能终端上传的第一签名值，基于所述第一签名值及身份认证开启时从所述智能终端获得的用户公钥进行身份认证。

一实施例中，还包括：

协商单元，在所述请求接收单元接收所述智能终端的认证方式协商请求之后，用于基于所述认证方式协商请求与所述智能终端的用户代理协商至少一种认证方式，其中，所述用户代理为应用APP或浏览器。

一实施例中，所述请求接收单元还用于接收所述智能终端的协商认证方式获取请求；

所述反馈单元还用于基于所述协商认证方式获取请求向所述智能终端反馈协商的认证方式；

所述身份认证单元还用于接收所述智能终端上传的第二签名值及经认证设备私钥签名的用户公钥，使用认证设备公钥验证所述第二签名值是否有效，其中，所述第二签名值由本地智能终端中的认证设备利用自身的私钥对在TEE环境中产生的非对称密钥对中的用户公钥进行签名得到。

为了实现上述目的，本发明实施例提供了一种智能终端多因子认证系统，该智能终端多因子认证系统包括：智能终端，认证服务器，以及设置在所述智能终端中的用户代理模块、认证客户端及认证设备；

所述用户代理模块用于从认证服务器获取预先开启的本地认证方式，并基于本地智能终端当前支持的认证方式判断所述本地智能终端是否存在所述本地认证方式；所述本地认证方式至少包括：指纹、声纹、加密口令、虹膜、面部特征、静脉、人眼、地理位置及掌纹；

所述认证客户端用于在所述本地智能终端存在所述本地认证方式时，利用所述本地认证方式进行用户身份验证；

所述认证设备用于在验证通过时，使用身份认证开启时产生的非对称密钥对中的私钥对随机数进行签名，得到第一签名值，并将所述第一签名值通过所述认证客户端及用户代理模块发送至所述认证服务器，以供所述认证服务器基于所述第一签名值及身份认证开启时获得的用户公钥进行身份认证；

所述认证服务器用于接收智能终端发送的认证方式获取请求；基于所述认证方式获取请求向所述智能终端反馈预先开启的认证方式；接收所述智能终端上传的第一签名值，基于所述第一签名值及身份认证开启时从所述智能终端获得的用户公钥进行身份认证。

一实施例中，所述用户代理模块还用于从所述认证服务器获取协商的本地认证方式，枚举本地智能终端当前支持的认证方式，判断所述本地智能终端是否存在协商的本地认证方式；

所述认证客户端还用于利用协商的本地认证方式进行用户身份验证；

所述认证设备还用于在TEE环境中产生非对称密钥对，并使用本地智能终端中的认证设备私钥对所述非对称密钥对中的用户公钥进行签名，生成第二签名值，并将将所述第二签名值及经认证设备私钥签名的用户公钥经过所述认证客户端及用户代理模块上传至所述认证服务器，以使所述认证服务器使用认证设备公钥验证所述第二签名值是否有效。

一实施例中，在所述用户代理模块与所述认证服务器协商至少一种本地认证方式之后，所述用户代理模块还用于：将本地智能终端中的认证客户端集成到所述用户代理的认证模块中。

本发明至少具备如下有益技术效果：

无需其他硬件，在TEE(安全执行环境)中安全运算与存储，可以保持与SE类似的安全性。

认证数据本地存储、比对和运算，也无需上传至后台服务器，更具安全性。

采用多因子组合认证的方式，用户可根据需要自由选择认证方式，更加安全和便捷。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例的智能终端多因子认证方法流程图；

图2为本发明实施例的认证开启方法流程图；

图3为本发明实施例智能终端多因子认证方法的认证开启过程示意图；

图4为本发明实施例认证开启过程中密钥传递的流程图；

图5为本发明实施例智能终端多因子认证方法的身份认证过程示意图；

图6为本发明实施例身份认证过程中密钥传递的流程图；

图7为本发明实施例的智能终端的结构框图；

图8为本实施例的智能终端多因子认证方法流程图；

图9为本实施例的认证开启过程流程图；

图10为本发明实施例的认证服务器的结构框图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例一

图1为本发明实施例的智能终端多因子认证方法流程图，该智能终端多因子认证方法的执行主体为智能终端，与认证服务器连接。该智能终端可以为手机、PAD、PC等。该智能终端中中的功能部件有：用户代理、认证客户端、认证设备等。其中，用户代理可以有多种，可以为应用APP(例如手机银行APP等)，还可以为浏览器等，本发明仅以应用APP为例进行说明，并非用于限定。

如图1所示，该智能终端多因子认证方法包括：

S101：应用APP从认证服务器获取预先开启的本地认证方式，所述本地认证方式包括如下认证方式的至少一种或者多种的组合：指纹、声纹、加密口令、虹膜、面部特征、静脉、人眼、地理位置及掌纹，本发明的本地认证方式不限于上述几种方式，通过多种认证方式，提高了用户选择的灵活性。

S102：应用APP基于本地智能终端当前支持的认证方式判断所述本地智能终端是否存在所述本地认证方式；

S103：若存在所述本地认证方式，认证客户端利用所述本地认证方式进行用户身份验证；

S104：若验证通过，认证设备使用身份认证开启时产生的非对称密钥对中的私钥对随机数进行签名，得到第一签名值，并将所述第一签名值依次经过认证客户端及应用APP发送至所述认证服务器，以供所述认证服务器基于所述第一签名值及身份认证开启时获得的用户公钥进行身份认证。

图1所示的流程为用户身份认证过程，该过程中，智能终端中安装的应用APP通过认证服务器下载当前智能终端开启的认证方式，并使用智能终端的认证客户端发现枚举当前智能终端支持的认证方式，根据开启的认证方式及当前智能终端支持的认证方式匹配过滤出当前智能终端可用的认证方式展现给用户，供用户选择及验证。用户验证后，采用开启本地认证时智能终端的认证设备在安全环境(该安全环境至少包括：TEE、SE、SD卡)中产生的非对称密钥对中的用户私钥对随机数进行签名，并将签名值返回认证服务器。认证服务器利用开启本地认证后存储的用户公钥验证签名值的有效性。根据签名值是否有效判决身份认证是否成功，如果签名值有效，身份认证成功；如果签名值无效，则身份认证失败。

本发明实施例中，在进行用户身份认证前，还需要进行认证开启。在开启认证前，需要利用智能终端的应用APP与认证服务器协商至少一种本地认证方式，并将协商的本地认证方式发送至所述认证服务器存储。协商完成认证方式之后，本发明实施例将本地智能终端中的认证客户端集成到所述用户代理的认证模块中，这样，可以代替传统的用户名+口令的认证方式。

图2为本发明实施例的认证开启方法流程图，如图2所示，该认证开启方法包括：

S201：应用APP从所述认证服务器获取协商的本地认证方式；

S202：应用APP枚举本地智能终端当前支持的认证方式，判断所述本地智能终端是否存在协商的本地认证方式；

S203：若存在，认证客户端利用协商的本地认证方式进行用户身份验证；

S204：若用户身份验证通过，认证设备在安全环境中产生非对称密钥对，并使用本地智能终端中的认证设备私钥对所述非对称密钥对中的用户公钥进行签名，生成第二签名值；然后，认证设备将所述第二签名值及经认证设备私钥签名的用户公钥上传通过认证客户端就应用APP传输至认证服务器，以使认证服务器使用认证设备公钥验证所述第二签名值是否有效；其中，所述安全环境至少包括：TEE、SE、SD卡，本发明仅以TEE环境进行说明，并非用于限定。

图2所示的流程为认证开启过程，该过程中，智能终端中安装的应用APP通过认证服务器下载协商的认证方式，并使用智能终端的认证客户端发现枚举当前智能终端支持的认证方式，根据协商的认证方式及当前智能终端支持的认证方式匹配过滤出可用的认证方式展现给用户，供用户选择及验证，用户验证后，智能终端的认证设备在TEE中产生非对称密钥，并将公钥及开启的认证方式返回认证管理平台存储。

上面简单描述了本发明的认证开启过程及身份认证过程，为了更好理解本发明的认证开启过程及身份认证过程，下面结合具体地流程图进行详细说明。

图3为本发明实施例智能终端多因子认证方法的认证开启过程示意图。图4为本发明实施例认证开启过程中密钥传递的流程图。结合图4的描述，如图3所示，认证开启过程包括如下步骤：

步骤a)：首先在使用前，智能终端的应用APP协商使用某一种或几种本地认证方法(指纹、声纹、加密口令、虹膜、面部特征、静脉、人眼、地理位置及掌纹等)，并将认证方式存储在认证服务器；

步骤b)：开启本地认证时，智能终端的应用APP从认证服务器(服务端)获取协商的认证方式，进入步骤c1)；

步骤c1)：应用APP枚举智能终端设备当前支持的本地认证方式；

步骤c2)：若智能终端当前支持的本地认证方式中存在符合与服务端协商的认证方式，则进入步骤d)，若智能终端当前支持的本地认证方式中不存在符合与服务端协商的认证方式，则结束开启流程；

步骤d)：应用APP提示用户选择认证方式，智能终端的认证客户端对选择第认证方式进行验证，若认证方式验证不通过，则结束认证开启过程，若验证通过则进入步骤e1)；

步骤e1)：智能终端的认证设备在智能终端的TEE环境中产生非对称密钥对；

步骤e2)：认证设备将非对称密钥对中的公钥导出，并使用认证设备私钥对非对称密钥对中的用户公钥进行签名，得到签名值，将签名后的用户公钥和签名值上传至认证服务器。

步骤f)：认证服务器使用认证设备公钥验证签名值是否有效，若验证不通过，则结束认证开启，若验证通过则完成认证开启。

在开启本地认证后，在智能终端的TEE环境中产生非对称密钥对，并将非对称密钥对中的用户公约导出，通过加密传输协议，将用户公约传送到认证服务器。当完成本地认证开启后，在下次使用应用APP时，认证设备完成身份验证(认证方式验证)后，直接调用TEE中存放的非对称密钥对中的私钥对摘要(随机数)进行签名，并将签名值传递到认证服务器进行校验。认证开启过程中密钥具体传递的流程如图4所示。

图5为本发明实施例智能终端多因子认证方法的身份认证过程示意图。图6为本发明实施例身份认证过程中密钥传递的流程图。结合图6的描述，如图5所示，身份认证过程包括如下步骤：

步骤A)：进行本地身份认证时，智能终端的应用APP首先从服务端获取图3所示的流程中开启的认证方式，进入步骤B1)；

步骤B1)：应用APP枚举智能终端支持的本地认证方式；

步骤B2)：若智能终端支持的本地认证方式中存在开启的认证方式，则进入C)，若智能终端支持的本地认证方式中不存在开启的认证方式，则结束开启流程；

步骤C)：应用APP提示用户选择认证方式，认证客户端对选择的认证方式进行验证，若验证不通过，则结束身份认证，若验证通过则进入D1)；

步骤D1)：使用认证开启时认证设备在TEE环境中生成的非对称密钥对中的私钥对随机数(该随机数为智能终端向认证服务器查询协商的认证方式时，认证服务器挑战应答反馈的随机数)进行签名，得到签名值；

步骤D2)：将签名值上传至服务端；

步骤E)：服务端调用存储的用户公钥(在身份认证开启时获得)验证数字签名值，若验证成功，则身份认证成功，若验证失败，则身份认证失败。

本发明至少具备如下有益技术效果：

无需其他硬件，在TEE(安全执行环境)中安全运算与存储，可以保持与SE类似的安全性。

认证数据本地存储、比对和运算，也无需上传至后台服务器，更具安全性。

采用多因子组合认证的方式，用户可根据需要自由选择认证方式，更加安全和便捷。

综上，利用本发明，可以解决现有技术中存在的容易受到网络窃听、篡改、字典攻击、猜测攻击等问题，提高安全性。

实施例二

基于与上述实施例一智能终端多因子认证方法相同的发明构思，本申请提供一种智能终端，如下面实施例所述。由于该智能终端解决问题的原理与智能终端多因子认证方法相似，因此该终端的实施可以参见智能终端多因子认证方法的实施，重复之处不再赘述。

图7为本发明实施例的智能终端的结构框图，如图7所示，该智能终端包括：

用户代理模块701，用于从认证服务器获取预先开启的本地认证方式，并基于本地智能终端当前支持的认证方式判断所述本地智能终端是否存在所述本地认证方式；所述本地认证方式至少包括：指纹、声纹、加密口令、虹膜、面部特征、静脉、人眼、地理位置及掌纹；

认证客户端702，用于在所述本地智能终端存在所述本地认证方式时，利用所述本地认证方式进行用户身份验证；

认证设备703，用于在验证通过时，使用身份认证开启时产生的非对称密钥对中的私钥对随机数进行签名，得到第一签名值，并将所述第一签名值通过所述认证客户端及用户代理模块发送至所述认证服务器，以供所述认证服务器基于所述第一签名值及身份认证开启时获得的用户公钥进行身份认证。

本实施例中，所述用户代理模块701还用于与所述认证服务器协商至少一种本地认证方式，并将协商的本地认证方式发送至所述认证服务器存储，其中，所述用户代理模块为应用APP或浏览器，本发明不限于APP或浏览器。

本实施例中，用户代理模块还用于从所述认证服务器获取协商的本地认证方式，枚举本地智能终端当前支持的认证方式，判断所述本地智能终端是否存在协商的本地认证方式；所述认证客户端还用于利用协商的本地认证方式进行用户身份验证；所述认证设备还用于在TEE环境中产生非对称密钥对，并使用本地智能终端中的认证设备私钥对所述非对称密钥对中的用户公钥进行签名，生成第二签名值，并将将所述第二签名值及经认证设备私钥签名的用户公钥经过所述认证客户端及用户代理模块上传至所述认证服务器，以使所述认证服务器使用认证设备公钥验证所述第二签名值是否有效。

本实施例中，在所述用户代理模块与所述认证服务器协商至少一种本地认证方式之后，所述用户代理模块还用于：将本地智能终端中的认证客户端集成到所述用户代理的认证模块中。

本发明至少具备如下有益技术效果：

无需其他硬件，在TEE(安全执行环境)中安全运算与存储，可以保持与SE类似的安全性。

认证数据本地存储、比对和运算，也无需上传至后台服务器，更具安全性。

采用多因子组合认证的方式，用户可根据需要自由选择认证方式，更加安全和便捷。

综上，利用本发明，可以解决现有技术中存在的容易受到网络窃听、篡改、字典攻击、猜测攻击等问题，提高安全性。

实施例三

基于与上述实施例一智能终端多因子认证方法相同的发明构思，本申请还提供了提供一种智能终端多因子认证方法，本实施例的方法的执行主体为与智能终端连接的认证服务器。如下面实施例所述。由于本实施例的智能终端多因子认证方法解决问题的原理与实施例一的智能终端多因子认证方法相似，因此本实施例的智能终端多因子认证方法的实施可以参见实施例一所示智能终端多因子认证方法的实施，重复之处不再赘述。

图8为本实施例的智能终端多因子认证方法流程图。如图8所示，该智能终端多因子认证方法包括：

S801：接收智能终端发送的认证方式获取请求；

S802：基于所述认证方式获取请求向所述智能终端反馈预先开启的认证方式；

S803：接收所述智能终端上传的第一签名值，基于所述第一签名值及身份认证开启时从所述智能终端获得的用户公钥进行身份认证。

本发明实施例中，在进行用户身份认证前，还需要进行认证开启。在开启认证前，认证服务器需要与智能终端的应用APP与协商至少一种本地认证方式，并将协商的本地认证方式存储。具体地，需要接收所述智能终端的认证方式协商请求；基于所述认证方式协商请求与所述智能终端的用户代理协商至少一种认证方式，其中，所述用户代理为应用APP或浏览器，本发明不限于APP或浏览器。

如图9所示，本实施例的认证开启过程包括：

S901：接收所述智能终端的协商认证方式获取请求；

S902：基于所述协商认证方式获取请求向所述智能终端反馈协商的认证方式；

S903：接收所述智能终端上传的第二签名值及经认证设备私钥签名的用户公钥，使用认证设备公钥验证所述第二签名值是否有效，其中，所述第二签名值由本地智能终端中的认证设备利用自身的私钥对在TEE环境中产生的非对称密钥对中的用户公钥进行签名得到。

本发明至少具备如下有益技术效果：

无需其他硬件，在TEE(安全执行环境)中安全运算与存储，可以保持与SE类似的安全性。

认证数据本地存储、比对和运算，也无需上传至后台服务器，更具安全性。

采用多因子组合认证的方式，用户可根据需要自由选择认证方式，更加安全和便捷。

综上，利用本发明，可以解决现有技术中存在的容易受到网络窃听、篡改、字典攻击、猜测攻击等问题，提高安全性。

实施例四

基于与上述实施例三的智能终端多因子认证方法相同的发明构思，本申请提供一种认证服务器，如下面实施例所述。由于该认证服务器解决问题的原理与智能终端多因子认证方法相似，因此该认证服务器的实施可以参见实施例三的智能终端多因子认证方法的实施，重复之处不再赘述。

图10为本发明实施例的认证服务器的结构框图。如图10所示，该认证服务器

请求接收单元1001，用于接收智能终端发送的认证方式获取请求；

反馈单元1002，用于基于所述认证方式获取请求向所述智能终端反馈预先开启的认证方式；

身份认证单元1003，用于接收所述智能终端上传的第一签名值，基于所述第一签名值及身份认证开启时从所述智能终端获得的用户公钥进行身份认证。

本实施例中，认证服务器还可以包括：

协商单元1004，在所述请求接收单元接收所述智能终端的认证方式协商请求之后，用于基于所述认证方式协商请求与所述智能终端的用户代理协商至少一种认证方式，其中，所述用户代理为应用APP或浏览器。

本实施例具体实施时，请求接收单元1001还用于接收所述智能终端的协商认证方式获取请求；反馈单元1002还用于基于所述协商认证方式获取请求向所述智能终端反馈协商的认证方式；身份认证单元1003还用于接收所述智能终端上传的第二签名值及经认证设备私钥签名的用户公钥，使用认证设备公钥验证所述第二签名值是否有效，其中，所述第二签名值由本地智能终端中的认证设备利用自身的私钥对在TEE环境中产生的非对称密钥对中的用户公钥进行签名得到。

本发明至少具备如下有益技术效果：

无需其他硬件，在TEE(安全执行环境)中安全运算与存储，可以保持与SE类似的安全性。

认证数据本地存储、比对和运算，也无需上传至后台服务器，更具安全性。

采用多因子组合认证的方式，用户可根据需要自由选择认证方式，更加安全和便捷。

综上，利用本发明，可以解决现有技术中存在的容易受到网络窃听、篡改、字典攻击、猜测攻击等问题，提高安全性。

实施五

基于与上述实施例一及实施例三智能终端多因子认证方法相同的发明构思，本申请提供一种智能终端多因子认证系统，如下面实施例所述。由于该智能终端多因子认证系统解决问题的原理与智能终端多因子认证方法相似，因此该终端的实施可以参见实施例一及实施例三智能终端多因子认证方法的实施，重复之处不再赘述。

如图4及图6所示，该智能终端多因子认证系统包括：智能终端，认证服务器，以及设置在所述智能终端中的用户代理模块(本法发明实施例仅以应用APP进行说明)、认证客户端及认证设备。应用APP连接至认证客户端，认证设备利用认证设备抽象层与认证客户端连接。

应用APP用于从认证服务器获取预先开启的本地认证方式，并基于本地智能终端当前支持的认证方式判断所述本地智能终端是否存在所述本地认证方式；所述本地认证方式至少包括：指纹、声纹、加密口令、虹膜、面部特征、静脉、人眼、地理位置及掌纹；

所述认证客户端用于在所述本地智能终端存在所述本地认证方式时，利用所述本地认证方式进行用户身份验证；

所述认证设备用于在验证通过时，使用身份认证开启时产生的非对称密钥对中的私钥对随机数进行签名，得到第一签名值，并将所述第一签名值通过所述认证客户端及用户代理模块发送至所述认证服务器，以供所述认证服务器基于所述第一签名值及身份认证开启时获得的用户公钥进行身份认证；

所述认证服务器用于接收智能终端发送的认证方式获取请求；基于所述认证方式获取请求向所述智能终端反馈预先开启的认证方式；接收所述智能终端上传的第一签名值，基于所述第一签名值及身份认证开启时从所述智能终端获得的用户公钥进行身份认证。

本实施具体实施时，应用APP还用于从所述认证服务器获取协商的本地认证方式，枚举本地智能终端当前支持的认证方式，判断所述本地智能终端是否存在协商的本地认证方式；认证客户端还用于利用协商的本地认证方式进行用户身份验证；认证设备还用于在TEE环境中产生非对称密钥对，并使用本地智能终端中的认证设备私钥对所述非对称密钥对中的用户公钥进行签名，生成第二签名值，并将将所述第二签名值及经认证设备私钥签名的用户公钥经过所述认证客户端及用户代理模块上传至所述认证服务器，以使所述认证服务器使用认证设备公钥验证所述第二签名值是否有效。

本实施例中，在所述用户代理模块与所述认证服务器协商至少一种本地认证方式之后，应用APP还用于将本地智能终端中的认证客户端集成到所述用户代理的认证模块中。

本发明至少具备如下有益技术效果：

无需其他硬件，在TEE(安全执行环境)中安全运算与存储，可以保持与SE类似的安全性。

认证数据本地存储、比对和运算，也无需上传至后台服务器，更具安全性。

采用多因子组合认证的方式，用户可根据需要自由选择认证方式，更加安全和便捷。

综上，利用本发明，可以解决现有技术中存在的容易受到网络窃听、篡改、字典攻击、猜测攻击等问题，提高安全性。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

本发明中应用了具体实施例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。