[发明专利]一种结合随身安全模块的移动应用统一身份认证实现方法

说明书

技术领域

本发明涉及一种结合随身安全模块的移动应用统一身份认证实现方法，属于信息安全领域。

背景技术

身份认证是在计算机网络中确认操作者身份的过程，身份认证是信息安全中最基本最重要的环节，即使将授权、保密性、完整性、不可否认等环节做得很完善，但如果非法用户盗用了合法用户的账号和口令并登录系统，系统仍然识别为合法用户，并给予相应的访问权限，系统资源与企业数据将完全暴露，给企业带来巨大损失。

同时，随着企业应用系统的不断增加，用户在访问每个应用系统时需要记忆大量的用户名和密码，并且重复输入，这种应用系统的访问方式不但使用上及其不便利，而且极易造成密码信息泄露而导致大量信息安全问题，使企业蒙受巨大损失，统一身份认证方案便是一种能解决上述问题的办法。利用统一身份认证技术，用户在统一用户身份认证入口进行一次用户身份信息检验并成功后，并可以获取用户身份主凭证，当用户需要访问某个特定应用系统时，出于高安全性考虑，需要进一步利用用户身份主凭证并向认证服务器请求访问特定应用系统资源的应用凭证。理论上用户获取用户身份主凭证后便可登录和访问该用户已授权的应用系统资源和数据，由此可见，用户身份主凭证的安全性尤为重要，需要对其进行加强保护。

目前企业为提高身份认证强度，多采用基于硬件数字证书的双因素身份认证，双因素身份认证即通过用户所能拥有的(硬件数字证书)再加上用户所知道的(PIN码)这二个要素组合到一起才能发挥作用的身份认证方式。硬件数字证书身份认证设备的基本原理和步骤为，硬件数字证书通过移动终端提供的数据通讯接口与移动终端进行连接，在SSL协议的基础上，当用户在移动终端提出身份认证请求后，硬件数字证书身份认证设备会响应请求计算数字签名，并将签名结果送出，客户端和服务器端分别验证对方证书的合法性和签名的正确性，若签名和证书都验证可信，则身份认证成功，否则身份认证失败。

硬件数字证书认证设备是基于智能卡芯片，集成了各种算法的协处理器，内部嵌入智能卡操作系统软件(COS)并具有安全存储特性的安全设备，但是这种身份认证方法特别是在移动终端中使用时仍然存在以下安全隐患：

移动终端易受到恶意软件侵害与黑客攻击，当用户提出身份认证请求而需要进行数字签名运算时，移动终端上的木马程序也可以提出同样的请求，提出请求后硬件数字证书身份认证设备会响应请求计算数字签名，并将签名结果送出，木马有了数字签名就能骗过服务器的身份信息检验。同时，基于硬件数字证书进行身份认证成功后，服务器端会给用户返回用户身份主凭证信息，该主凭证信息会存储在移动终端上，很容易被移动终端上的木马或恶意程序窃取，并在用户不知情的情况下滥用用户身份主凭证进行非法访问和操作应用系统，随意窃取、篡改企业的敏感数据。

发明内容

针对现有移动终端基于硬件数字证书进行用户身份认证方法的不足之处，本发明提供一种结合随身安全模块的移动应用统一身份认证实现方法，随身安全模块可以是多功能安全终端、智能密码钥匙或其他具备同等功能的安全模块。将移动应用统一身份认操作由安全可信的随身安全模块主动发起，配合随身安全模块的用户确认功能和用户身份主凭证保护机制，借助安全信道，同时对同一用户的多台移动终端提供应用层认证服务，从而有效防止了移动终端上的木马等恶意程序在用户不知情的情况下获取数字签名来骗取用户服务器认证凭证，或是直接从移动终端上窃取用户身份主凭证，增加移动应用系统用户身份认证过程的安全性和便利性。

所述实现方法包括：将随身安全模块与受控的移动终端连接，随身安全模块利用移动终端的网络通过反向连接的方式与认证服务器连接并进行用户身份认证请求，用户身份认证请求成功后从认证服务器获取用户身份主凭证，并将用户身份主凭证存储到随身安全模块的安全存储区；随身安全模块可以同时与同一用户的多台受控的移动终端进行连接，任一已连接的移动终端均可向获取了用户身份主凭证的随身安全模块请求访问特定移动应用系统，随身安全模块通过接收到访问特定移动应用请求并携带用户身份主凭证再到认证服务器获取访问特定应用资源的应用凭证，并将应用凭证返回给移动终端，移动终端通过应用凭证即可访问特定移动应用系统。

本发明实现步骤为：

步骤一、构建移动用户身份映射；

步骤二、通过步骤一集中身份管理与统一认证系统进行移动用户身份映射后，通过随身安全模块的数字证书更新功能进行移动应用用户数字证书的下载，移动数字证书下载包括第2.1步至第2.3步，具体为：