[发明专利]一种结合随身安全模块的移动应用统一身份认证实现方法

权利要求书

1.一种结合随身安全模块的移动应用统一身份认证实现方法，随身安全模块可以是多功能安全终端、智能密码钥匙或其他具备同等功能的安全模块，其特征在于：

步骤一、构建移动用户身份映射；

步骤二、通过步骤一集中身份管理与统一认证系统进行移动用户身份映射后，通过随身安全模块的数字证书更新功能进行移动应用用户数字证书的下载；

步骤三、连入移动终端管理系统对移动终端进行管控；首先，可连入移动终端管理系统对移动终端进行登记注册，用户也可以选择自助注册方式进行登记注册，并通过移动终端的设备序列号作为移动终端的唯一标识；然后，移动终端通过主动下载或是接收可连入移动终端管理系统推送的设备证书，接下来，在移动终端进行设备证书的导入与安装，此方法为软证书方式，亦可根据安全需要选择移动硬件数字证书方式；移动终端只有在可连入移动终端管理系统进行登记注册，并安装了可连入移动终端管理系统下发的设备证书，方可被视为安全可靠的移动终端，允许与随身安全模块进行连接并组建安全信道；

步骤四、随身安全模块与移动终端建立连接；

步骤五、随身安全模块根据对步骤四中移动终端的反馈结果分别处理如下：

如果连接建立成功，更新连接管理模块的连接列表，记录新建连接的系统接口和对应移动终端的基本信息、状态信息等，并将新建连接的基本信息逐级反馈至随身安全模块的显示屏；

如果连接建立失败，给出提示信息并逐级反馈至随身安全模块的显示屏；

步骤六、随身安全模块与移动终端组建安全信道；

步骤七、随身安全模块发起用户身份认证；

步骤八、功能安全终端发起用户身份认证并认证成功获取用户身份主凭证后，移动终端并可通过随身安全模块向认证服务器请求访问特定移动应用资源的应用凭证。

2.如权力要求1所述的一种结合随身安全模块的移动应用统一身份认证实现方法，其特征还在于：将随身安全模块与受控的移动终端连接，随身安全模块利用移动终端的网络通过反向连接的方式与认证服务器连接并进行用户身份认证请求，用户身份认证请求成功后从认证服务器获取用户身份主凭证，并将用户身份主凭证存储到随身安全模块的安全存储区；随身安全模块可以同时与同一用户的多台受控的移动终端进行连接，任一已连接的移动终端均可向获取了用户身份主凭证的随身安全模块请求访问特定移动应用系统，随身安全模块通过接收到访问特定移动应用请求并携带用户身份主凭证再到认证服务器获取访问特定应用资源的应用凭证，并将应用凭证返回给移动终端，移动终端通过应用凭证即可访问特定移动应用系统。

3.如权利要求1所述的一种结合随身安全模块的移动应用统一身份认证实现方法，多功能安全终端与移动终端组建安全信道步骤为：

在随身安全模块正常运行过程中，用户在移动终端侧，通过多功能安全终端和移动终端间某个已建立的连接，向用户交互模块发送安全信道组建指令；

用户交互模块根据接收到的安全信道组建指令和对应的系统接口信息，调用应用级接口集成模块中具体的应用级安全信道组建接口；

应用级安全信道组建接口根据系统接口类型，通过已建立的连接向移动终端发送安全信道组建指令，等待其反馈；

多功能安全终端的应用级安全信道组建接口根据移动终端的反馈结果，处理如下：

如果移动终端上安全信道创建失败，给出提示信息并逐级反馈至移动终端，然后结束操作；

如果移动终端上安全信道创建成功，则调用安全信道模块中对应的安全信道组建子模块，利用多功能安全终端和移动终端问已建立的连接，组建它们之间的安全信道；

在安全信道管理模块的安全信道列表中添加一条信息，用来记录所连接移动终端的标识和系统接口等内容，并将安全信道组建成功的信息反馈至移动终端。