本发明涉及身份认证技术领域,具体的说,是一种基于多终端多场景的可信身份认证方法。
背景技术:
由于大中型企业信息化的不断发展,信息化水平的不断提升,业务应用场景已由原始的单体架构环境向更加复杂的多元化应用场景进行转变。同时,在互联网技术发达的今天,很多新兴技术正在引领传统企业进行改变,多数企业甚至都已经将应用向云环境进行迁移和覆盖。但是,企业应用身份验证模式的转变是一个首先要解决的问题,由于企业信息化进程的不断推进,最终导致应用孤岛问题。时下传统的身份认证孤岛问题主要为以下几个方面:1)身份信息的集中式存储问题;2)用户多密码记忆以及弱口令问题;3)认证集成多元化复杂化,增加身份数据泄露问题;4)互联网时代智能设备的便捷性认证问题。
根据garter2016身份泄露的数据统计报告,有超过一半的企业网络安全事故和身份认证凭据盗用有关。采用更加高效和安全的身份认证技术也变得越来越重要,传统的账号密码这种单一的认证方式已无法满足企业级统一认证需求,也不再适应未来的需求。如何为应用系统提供方便、安全、快捷的身份认证服务,成为摆在我们面前不得不面对的课题。数据安全始终是每一个信息系统信息交互过程都要面临的一个重要问题。
然而,传统用户密码的验证方式和问题已在上文进行了详细的描述,传统企业应用构建的模式,身份认证方式让我们不得不用大脑或笔记来记住各种各样的密码甚至忘记自己的密码,总会担心密码及核心身份数据被安全攻击挟持等风险。
基于传统方案的以上问题,典型的技术做法主要有以下两种:
1)时下主流的生物识别技术
如图2所示,目前,在先进企业,尤其是在互联网公司,应用较多、也受大众认可的认证方式主要是通过生物识别技术(二维码、指纹、人脸、虹膜、声纹、静脉、ukey、穿戴设备等),来代替传统的用户密码验证,解决了用户密码记忆和协议集成等多从困难问题。这种方式的优点是方便快捷,并且用户不用记忆很多密码。缺点是复杂性、冗余性、不方便携带等问题,并且部分设备价格也不低。
2)多终端多场景可信身份验证技术
如图3所示,这种方式的做法是首先基于一种国际通用的轻量级身份安全鉴别协议,核心是采用终端设备内嵌的安全芯片的能力,在不同的安全级别要求下,将设备的认证方式和策略进行设置,实现对通用身份安全鉴别协议的支持,从而完成基于用户现有移动终端的身份验证。这种方式的优点是:充分利用了用户现有的手持设备,将身份验证的工作交给设备内置的安全芯片处理,实现认证方式与认证协议的分离解耦,让身份认证更加安全高效、价格低廉。缺点是目前过于陈旧的或者一些山寨的移动终端暂不支持这种通用的身份安全鉴别协议。
技术实现要素:
本发明的目的在于:提供一种基于多终端多场景的可信身份认证方法,充分利用终端设备内嵌的认证器的能力,将认证方式和认证协议进行解耦,保护用户数据隐私,以解决传统认证的各种复杂问题。
本发明通过下述技术方案实现:一种基于多终端多场景的可信身份认证方法,基于具有生物特征识别功能的终端设备,让认证方式与认证协议完全解耦,即认证方式在终端设备上即插即用,完成用户身份的安全认证;同时,统一仅有客户端和服务端的标准化认证协议,使任何终端设备都能使用认证协议中的客户端。
进一步地,为了更好的实现本发明,所述终端设备内嵌有集成标准化认证协议的认证器;所述认证器在不同安全级别要求下将终端设备内置的认证方式和策略进行设置,保护用户数据隐私,完成所有用户所有设备的多样化认证,即任何终端设备都能使用认证协议中的客户端。
本发明中认证器是指终端设备中内置的安全芯片,如:tee芯片、tpm芯片、se芯片。
所述认证器解锁不同认证方式的特定密钥并生成一公私钥对;所述公私钥对中私钥存储在认证器的内部,公钥通过标准化认证协议并代表用户向服务端请求认证。
本发明基于能识别生物特征数据的终端设备,生物特征数据安全存储在留存私钥信息的认证器内部;服务器不存储用户隐私数据,只留存用户公钥信息,进一步提高数据安全性。
进一步地,为了更好的实现本发明,所述认证方式在终端设备上即插即用主要包括以下流程:设备注册、认证器鉴别、数据加密、鉴别流程、交易流程、撤销流程。
进一步地,为了更好的实现本发明,所述设备注册具体包括以下依次进行的步骤:
步骤a:用户将内嵌认证器的移动终端设备进行注册;
步骤b:在浏览器上登录已集成标准化认证协议的应用;
步骤c:初始化注册提交;
步骤d:然后服务端会转发用户注册请求的消息和策略数据给客户端其终端设备的认证器;
步骤e:认证器接收后,完成用户注册并会生成一公私钥对,所述公私钥对中的私钥存储在认证器的内部,所述公私钥对中的公钥和用户注册通知均通过标准化认证协议发送给服务端;
步骤f:服务端验证发送的消息和认证器的合法性以完成注册。
进一步地,为了更好的实现本发明,所述认证器鉴别的过程主要是通过客户端应用进行数字证书签名以及服务端验证签名的方式进行鉴权。
进一步地,为了更好的实现本发明,所述数据加密是指整个注册、访问、响应流程都会进行数据流加密,而且数据流加密采用非对称的公私钥对进行数据加解密。
进一步地,为了更好的实现本发明,所述鉴别流程是指:应用端发起一个鉴别流程,最终在终端设备上完成用户身份验证及签名,服务端完成签名的校验,鉴别流程完成。
进一步地,为了更好的实现本发明,所述交易流程是指:应用端发起一个交易流程,最终在终端设备上完成交易验证及签名和计算hash值,服务端完成签名的校验、合法性及文本hash,交易完成。
进一步地,为了更好的实现本发明,所述撤销流程是指:应用端初始化一个注销请求,服务端验证认证器的合法性并且删除本地用户相关的认证器数据后,发送注销消息给终端设备,终端设备删除本地注册数据以完成注销。
从背景技术可知,时下主流的生物识别做法,解决了用户身份数据集中记忆及弱口令的问题,但是安全设备购置费用昂贵,携带不方便。另外,在数据使用安全上需要针对终端做强安全加固等,不同的生物识别技术之间的协同认证也给安全带来一个新的问题,认证方式与认证协议的耦合度问题导致安全模块的升级也随之变动。
本发明提出的一种基于多终端多场景的可信身份认证方法,不但解决了用户身份数据集中记忆及弱口令的问题,还从技术上实现了认证方式和认证协议的松耦合,模块升级完全解耦,充分利用设备内置的安全芯片的能力,让身份认证更加安全高效快捷。
本发明与现有技术相比,具有以下优点及有益效果:
(1)本发明通过认证方式和认证协议的解耦,即采用在用户的终端设备上即插即用的认证方式,并充分利用终端设备内置的认证器(安全芯片)的能力,让身份认证更加安全、高效、快捷。另外,统一标准化认证协议,任何设备都能使用的认证客户端。
(2)本发明中同一个服务端对应任意不同的认证方式,解决身份认证的孤岛问题。
(3)本发明中基于能识别生物特征数据的终端设备,由作为认证器的安全芯片对生物特征数据进行安全存储;服务器不存储用户隐私数据,只留存用户公钥信息,进一步提高数据安全性。
(4)本发明具有认证协议的不可链接性:对于不同的服务端(依赖方)和终端设备,用户密钥都是不同的,认证器鉴证密钥并不是每台设备都唯一的,防止由于唯一性而导致的可追溯性,不存在一个全局的设备唯一标识,防止留下“足印”。
(5)本发明中认证协议无任何第三方参与:认证协议仅有客户端和服务端,机构清晰、易实现,每层都向上提供标准化的api。另外,客户端提供符合标准的协议,服务端(依赖方)部署服务端并修改应用,无需引入第三方ca等,减少认证环节,降低成本。
附图说明
图1为实施例1中方案的架构图;
图2为时下主流的生物识别技术示意图;
图3为多终端多场景可信身份验证技术示意图;
图4为本发明中标准化认证协议的部署方案。
具体实施方式
下面结合实施例对本发明作进一步地详细说明,但本发明的实施方式不限于此。
本发明提供了一种基于多终端多场景的可信身份认证方法,首先对以下名词进行解释:
多终端:这里指的是不同类别的认证终端,主要是因为认证设备的碎片化严重,接口标准规范不统一,从而导致的认证孤岛问题严重。
多场景:这里指的是认证方式方法不统一,主要是因为应用的认证接口不统一、认证方式多样,从而导致的认证孤岛问题严重。
身份验证:指的是使用特定的设备和方式进行特定业务场景的身份证明。
实施例1:
一种基于多终端多场景的可信身份认证方法,基于具有生物特征识别功能的终端设备,让认证方式与认证协议完全解耦,即认证方式在终端设备上即插即用,完成用户身份的安全认证;同时,统一仅有客户端和服务端的标准化认证协议,使任何终端设备都能使用认证协议中的客户端。
所述终端设备内嵌有集成标准化认证协议的认证器;所述认证器在不同安全级别要求下将终端设备内置的认证方式和策略进行设置,保护用户数据隐私,完成所有用户所有设备的多样化认证,即任何终端设备都能使用认证协议中的客户端。
如图1所示,本实施例中统一的标准化认证协议为通用安全身份鉴别协议。用户通过内置认证器、能识别生物特征的智能终端设备进行本地身份认证,由认证器通过通用安全身份鉴别协议向服务端进行认证。
本发明是一种面向多终端多场景的可信身份验证技术,基础技术是:基于人类特征的唯一性和稳定性进行身份鉴别的认证技术。现在的新型智能终端已经集成了指纹识别器、高清摄像头、以及记忆麦克风等智能设备,可进行指纹采集、脸部图形采集和声音采集等,这些数据成为在智能终端设备上进行身份识别打下了坚实的基础。
本发明主要是源于移动互联网的大规模应用,基于时下主流的生物识别认证技术,针对线上应用实现的一种实现基于终端设备认证器的新的认证方案,它吸取了互联网及传统认证方案的先进理念,简化了企业传统认证过程,优化改进了认证集成方式,加强了身份认证数据及用户隐私的安全性保护,提升了身份安全认证效率。
本发明中,通过国际标准化开放协议u2f、uaf,实现统一标准化认证协议的目的。如图4所示,本实施例中标准化认证协议的部署方案。本实施例通过u2f、uaf保证各个厂商开发的强认证技术之间的互操作性,改变目前的主流在线验证的方式(即使用密码作为主要验证手段),消除或者减弱用户对密码的依赖。
本发明不同于fido(快速在线身份认证)技术,虽然fido技术也可以实现认证方式与认证协议的分离,但本发明具有以下特点:
(一)轻量化认证集成:基于统一的标准化认证协议,使得认证方式和认证协议脱钩,即在用户设备上即插即用的认证方式,认证方式与认证协议之间通过遵照统一标准化认证协议的认证器做数据转换;集成方式为提供统一标准化的api和sdk,集成简单,侵入性小;
(二)统一标准化认证协议,开放任何设备都能使用的认证客户端;
(三)标准化认证协议仅有客户端和服务端,机构清晰,实现上提供标准化的api;终端设备提供符合标准的协议,客户端通用协议sdk进行调用,服务端修改应用逻辑,实现通用协议服务器部署,无需引入第三方ca等,减少认证环节,降低了成本;
(四)数据可得到安全保护:首先是每次请求采用非对称公私钥数据加密;其次是在终端设备上完成用户身份验证及签名,服务端完成签名校验。
实施例2:
本实施例在实施例1的基础上进一步公开技术方案。所述u2f、uaf标准协议支持多种硬件设备,如u盘(或u盾)、nfc芯片、tpm(可信赖平台模块)芯片,以及指纹扫描器、语音识别、脸部识别、虹膜识别等生物识别硬件。
本实施例中,主要针对的是usbkey设备。本实施例通过usbkey指纹识别+证书认证的方式,实现指纹数据统一注册和统一登录,在服务器端实现证书签名验证和指纹数据验证,指纹数据的采集和注册信息统一由usbkey实现,usbkey支持统一开放协议。
本实施例的其他部分与上述实施例相同,故不再赘述。
实施例3:
本实施例在实施例1的基础上进一步公开技术方案,所述认证方式在终端设备上即插即用主要包括以下流程:设备注册、认证器鉴别、数据加密、鉴别流程、交易流程、撤销流程。
所述设备注册具体包括以下依次进行的步骤:
步骤a:用户将内嵌认证器的移动终端设备进行注册;
步骤b:在浏览器上登录已集成标准化认证协议的应用;
步骤c:初始化注册提交;
步骤d:然后服务端会转发用户注册请求的消息和策略数据给客户端其终端设备的认证器;
步骤e:认证器接收后,完成用户注册并会生成一公私钥对,所述公私钥对中的私钥存储在认证器的内部,所述公私钥对中的公钥和用户注册通知均通过标准化认证协议发送给服务端;
步骤f:服务端验证发送的消息和认证器的合法性以完成注册。
所述认证器鉴别的过程主要是通过客户端应用进行数字证书签名以及服务端验证签名的方式进行鉴权。
所述数据加密是指整个注册、访问、响应流程都会进行数据流加密,而且数据流加密采用非对称的公私钥对进行数据加解密。
所述鉴别流程是指:应用端发起一个鉴别流程,最终在终端设备上完成用户身份验证及签名,服务端完成签名的校验,鉴别流程完成。
所述交易流程是指:应用端发起一个交易流程,最终在终端设备上完成交易验证及签名和计算hash值,服务端完成签名的校验、合法性及文本hash,交易完成。
所述撤销流程是指:应用端初始化一个注销请求,服务端验证认证器的合法性并且删除本地用户相关的认证器数据后,发送注销消息给终端设备,终端设备删除本地注册数据以完成注销。
本实施例的其他部分与上述实施例相同,故不再赘述。
以上所述,仅是本发明的较佳实施例,并非对本发明做任何形式上的限制,凡是依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化,均落入本发明的保护范围之内。