[发明专利]一种基于移动终端的身份认证系统及方法

说明书

技术领域

本发明涉及无线通信、网络通信、算法安全以及网络安全相结合的技术，具体讲的是在可信移动终端上生成动态密码并使用此密码实现强身份认证的安全体系及方法。 

背景技术

随着互联网的快速发展，越来越多的应用系统在公网上运行，网络安全问题日益突出，对于敏感操作入口的身份认证也变的异常重要。目前大多数应用系统仍然采用的是用户名加静态密码的身份认证方式，这种认证方式有诸多的安全隐患，例如：静态密码容易被猜测和破解、静态密码被黑客截获、静态密码被管理员非法使用、被钓鱼网站骗取、众多的静态密码不便于记忆等。 

针对上述问题目前主要有以下几种解决方案： 

(1)数字证书：使用数字证书可实现安全链路和数字签名，能较好的保护网上传输的信息。数字证书的局限是只能在己安装证书的电脑上进行操作，使用不方便，并且基于PKI的证书体系成本较高。 

(2)USB移动证书：将密钥或数字证书存储在USB Key硬件设备中，利用内置在USBKey中的算法实现对用户身份的认证。使用USB Key的局限在于需要设备上有USB插口、需要有与设备上的操作系统对应的驱动程序并安装、面临着木马病毒的威胁，存在安全隐患、成本相对较高。 

(3)请求应答式密码体系：在系统需要验证身份时，用户需要先发送一个获取密码的请求，服务器端收到请求后会生成一个临时密码并记住，然后通过特定的渠道发送给用户，用户再输入此密码到服务器端进行身份认证。 

由于用户每次获取的临时密码都不一样，这种验证方式可以增强安全性，但在整个验证的过程中，服务器端需要通过特定的渠道将密码传送给用户，因此具有一定的局限，并且不能保证传送渠道的安全，比如使用短信，密码都是以明文传输的。 

(4)动态密码(OTP)认证体系：用户手中会有一个硬件设备，硬件设备中内置一个唯一的密钥，并会通过特定的算法生成动态密码，用户进行认证时候，除输入静态密码之外，必须要求输入动态密码，此动态密码最终会被送到认证服务器端，服务器端首先找到与用户对应的密钥通过相同的算法生成动态密码，然后进行对比实现认证。算法会采用事件、时间等作为动态因子，因此硬件设备中每次生成的密码都是不同的，并且整个体系可以实现一个 动态密码只能使用一次，这种认证体系是目前能够有效解决用户身份认证的方式之一。不过，用户使用硬件设备获取动态密码具有一定的缺陷：成本较高、不能进行通信、不能很好的解决与认证服务器间的动态因子的同步、不能为用户提供丰富的操作体验和业务功能。 

发明内容

有鉴于此，为了克服现有技术的不足，本发明提供一种基于移动终端的身份认证方法，此方法采用动态密码认证体系，以软件客户端代替硬件设备，节约了硬件生产成本，同时灵活的软件客户端能够与认证服务器间的动态因子实现同步，并且结合软件客户端提供一种方便与第三方应用系统集成的强身份认证方法，解决了使用硬件设备给整个认证体系带来的局限和不足。 

本发明的另一目的是实现所述基于移动终端的身份认证方法的系统。 

本发明提供一种基于移动终端的身份认证方法，包括步骤：(1)获取登录自助服务端的初始密码，(2)用户登录自助服务端获取移动客户端初始化的序列号，(3)移动客户端初始化，(4)身份认证：用户向第三方应用服务器提出登陆申请的同时，移动终端向认证服务器提出认证请求，第三方应用服务器获得认证服务器对移动终端认证结果后，向用户返回认证结果，所述移动终端向认证服务器提出的认证请求包括动态密码认证和位置信息认证。 

进一步，所述步骤：(1)用户通过第三方应用服务器向认证服务器或通过管理员向管理服务器请求登录自助服务器的初始密码，所生成初始密码及用户名保存于认证信息库，并向用户返回登录自助服务器的初始密码。 

进一步，所述步骤：(2)用户通过自助服务器端向认证服务器请求初始化客户端的序列号，认证服务器生成所述序列号及其密钥，并加密保存于认证信息库中，同时通过自助服务器向用户返回所述序列号，所述序列号及用户名缓存于自助服务器。 

进一步，所述步骤：(3)用户向移动终端手动输入或扫描二维码获取请求初始化的序列号，然后移动终端向自助服务器提出初始化请求，自助服务器根据序列号检索有效缓存，并向认证服务器获取密钥信息，所述认证服务器通过自助服务器向移动终端返回密钥信息，移动终端验证并保存所述密钥信息，并向自助服务器提出绑定请求，自助服务器绑定序列号与移动终端的标示信息，然后绑定序列号与用户名，完成移动终端初始化。 

进一步，移动终端采用一键设置完成绑定与初始化。