一種基于智能終端本地認證的多sp安全綁定的實現(xiàn)方法
【專利摘要】本發(fā)明涉及一種基于智能終端本地認證的多SP安全綁定的實現(xiàn)方法���,引入了“信任預(yù)置”思想,通過預(yù)置認證設(shè)備的公私鑰證書���,將認證設(shè)備和身份認證端綁定起來���。通過用戶向SP進行注冊,產(chǎn)生標記認證設(shè)備的用戶公私鑰UAuth并將該UAuth與用戶賬戶綁定��。一個用戶持有的安全認證設(shè)備可與該用戶在同一SP中的多個賬戶或多個不同SP中的賬戶進行一對多的雙向關(guān)聯(lián)�。通過本發(fā)明,用戶可以通過唯一安全設(shè)備安全通過多個身份認證����,并在很大程度上取代了傳統(tǒng)的用戶名密碼身份驗證方式��。并且在保證用戶身份認證操作便捷的情況下����,大大的提高了認證過程中信息的安全性���。
【專利說明】—種基于智能終端本地認證的多SP安全綁定的實現(xiàn)方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于信息安全領(lǐng)域的身份認證領(lǐng)域����,具體涉及到一種基于智能終端本地認證的多SP安全綁定的實現(xiàn)方法�����。
【背景技術(shù)】
[0002]隨著網(wǎng)絡(luò)的發(fā)展和互聯(lián)網(wǎng)的普及(桌面服務(wù)的網(wǎng)絡(luò)化)�����,互聯(lián)網(wǎng)服務(wù)的多樣化和用戶定制的個性化使得幾乎所有互聯(lián)網(wǎng)服務(wù)提供商在提供相應(yīng)服務(wù)之前都需要用戶首先進行身份注冊����。而傳統(tǒng)的身份注冊和驗證方式(即用戶名密碼的驗證方式)即存在密碼泄露或被竊聽等諸多安全問題,又會因為數(shù)量眾多記憶困難給用戶造成困擾�����。隨著生物識別技術(shù)和圖形圖像識別技術(shù)的發(fā)展,傳統(tǒng)的用戶名密碼已不再是基于網(wǎng)絡(luò)的用戶身份認證的唯一選擇��。本專利將重點放在了用戶擁有的信息(Something they have)和用戶的自身信息(Something they are)上,使用指紋驗證��,面部驗證或是手機二維碼等方式對用戶的身份進行鑒別�����。拋棄基于用戶知曉信息的驗證方式(something they know)��。
[0003]這種轉(zhuǎn)變也面臨著一些較難解決的問題:第一���、如何在不對現(xiàn)有的用戶數(shù)據(jù)造成損害的前提下�����,使用戶在短時間內(nèi)使用新的身份驗證方法登錄其持有的賬戶。數(shù)以萬計的互聯(lián)網(wǎng)服務(wù)提供商已經(jīng)形成了成熟且完備的傳統(tǒng)身份認證機制�,使服務(wù)提供商放棄已形成的用戶群,并讓用戶通過新的身份認證方式重新注冊賬戶顯然不現(xiàn)實��,且會給用戶造成信息丟失等困擾���。工作的重點應(yīng)該放在如何將新的身份驗證方式綁定到用戶已有的賬戶上來��。
[0004]第二�,身份認證設(shè)備的爆發(fā)式發(fā)展造成了設(shè)備種類眾多且標準不一的問題,目前尚沒有統(tǒng)一的標準規(guī)定可用于身份認證的認證設(shè)備實體���,用戶只能參考由服務(wù)提供商(SP, Service Provider)提供的推薦設(shè)備列表來選擇認證設(shè)備�,不僅認證設(shè)備的安全性得不到保障����,而且用戶需要為其所需的每一個服務(wù)提供商準備一個認證設(shè)備,認證設(shè)備的對應(yīng)和保存又給用戶提出了一個新的難題���。
[0005]因此��,將傳統(tǒng)身份認證方式和基于生物特征和圖形識別的新型身份認證方式整合起來�,將多個服務(wù)提供商的認證設(shè)備整合起來��,就成了現(xiàn)在身份認證發(fā)展面臨的主要問題����。
【發(fā)明內(nèi)容】
[0006]本發(fā)明技術(shù)解決問題:克服現(xiàn)有技術(shù)的不足,提供一種基于智能終端本地認證的多SP安全綁定的實現(xiàn)方法�,通過非對稱密鑰機制將用戶通過傳統(tǒng)身份注冊生成的用戶賬戶UID和利用用戶智能終端上安裝的認證客戶端以及內(nèi)置或外接于用戶智能終端的認證設(shè)備提取用戶新的身份信息(指紋�����,面部識別���,二維碼等)綁定起來,在保證用戶身份認證操作便捷的情況下����,大大的提高了認證過程中信息的安全性。
[0007]本發(fā)明技術(shù)解決方案:首先通過“信任預(yù)置”����,在認證設(shè)備投入使用前,為認證設(shè)備生成公私鑰證書����,將其公鑰存儲于身份綁定服務(wù)器端,私鑰存儲于認證設(shè)備中����,用于雙方信息交互過程中的簽名和驗證���。其次�����,在保證用戶身份認證高安全與操作便捷的前提下���,在身份綁定過程中��,將用戶持有的已連接認證設(shè)備的智能終端與用戶在SP中已申請的賬號進行綁定����,并且�,用戶持有的每一個智能終端,都可以同時和多個SP進行綁定��,通過這種方式�����,借助智能終端上的如指紋掃描器��、攝像頭等認證設(shè)備�����,實現(xiàn)了一種新型的賬號映射管理方法����,從而實現(xiàn)借助同一用戶設(shè)備登錄多個SP��,在簡化操作的同時����,也大大提高了身份注冊綁定過程中的安全性��。
[0008]本發(fā)明具體實現(xiàn)步驟如下:
[0009](1)基于智能終端本地認證的多SP安全綁定的模塊化實現(xiàn)方法
[0010]本發(fā)明的功能實現(xiàn)主要分為三個部分�����,為了將功能實現(xiàn)之間進行解耦�����,方便設(shè)計以及今后拓展��,將本專利劃分為了三個模塊:Web服務(wù)提供商模塊��、身份綁定服務(wù)器模塊和綁定服務(wù)用戶設(shè)備模塊��。下面對這三個模塊進行簡要功能介紹:
[0011](I)身份綁定模塊:該模塊在收到Web服務(wù)提供商發(fā)送的請求后生成身份綁定請求進行身份綁定���,并在身份綁定客戶端返回身份綁定相應(yīng)后���,驗證認證設(shè)備簽名并存儲WD—用戶公鑰UAuth.pub供后續(xù)用戶身份驗證。除此以外����,該模塊還會在“信任預(yù)置”部分負責(zé)提前存儲可使用的認證設(shè)備公鑰。
[0012](II) Web服務(wù)提供商模塊:該模塊的主要功能就是為用戶提供Web網(wǎng)絡(luò)服務(wù)并提供注冊功能使用戶獲取在該Web服務(wù)上的用戶名WD���。UID是后續(xù)身份綁定過程的必要元素�����。另外��,該模塊還會根據(jù)所提供服務(wù)的安全需要制定自己的安全策略(主要是支持認證設(shè)備的列表)���。
[0013](III)綁定服務(wù)認證設(shè)備模塊:該模塊主要是使用內(nèi)置或外接與用戶智能終端的認證設(shè)備收集用戶信息(如指紋等生物信息)并為該信息生成用戶公私鑰,之后安裝在智能終端上的身份綁定客戶端將用戶公鑰和用戶UID打包為KRD并用設(shè)備私鑰EAuth.priv進行簽名���。
[0014](2)基于智能終端本地認證的多SP安全綁定的數(shù)據(jù)信息交互體系
[0015]本專利在功能實現(xiàn)方面通過模塊化進行解耦����,在每個模塊內(nèi)也有多個層次結(jié)構(gòu)��,通過層次內(nèi)和層次以及模塊和模塊間的數(shù)據(jù)交互從而達到用戶身份綁定和安全認證的目的。
[0016]基于模塊內(nèi)層次結(jié)構(gòu)��,通過AppID���,F(xiàn)CH���,EAuth, UID, Chi, KRD和Policy等數(shù)據(jù)交互最終實現(xiàn)了身份注冊及綁定。其中�����,AppID主要用于標記請求身份綁定的服務(wù)提供商SP�,UID用于標記在服務(wù)提供商SP上用戶的為唯一賬戶名,而EAuth作為一個認證設(shè)備的唯一標記通過公私鑰對簽名驗證機制被身份綁定服務(wù)器識別��,EAuth在身份驗證過程之前已經(jīng)在認證設(shè)備和身份綁定服務(wù)器之間溝通好�����。針對每一個(appID���,UID) 二元組��,認證設(shè)備會生成一個全新的公私鑰對�����,公鑰由認證設(shè)備私鑰EAuth.priv簽名后發(fā)給身份綁定服務(wù)器��,身份綁定服務(wù)器接收到后與用戶名一起存入記錄���。
[0017]Chi是由身份綁定服務(wù)器產(chǎn)生的一組隨機標記,用于防止惡意攻擊者的重放攻擊�����。認證策略Policy指明了哪些認證方式是合法的而那些認證方式是不被允許的(身份綁定客戶端將據(jù)此通過用戶代理將可選的認證方式呈現(xiàn)給用戶)��。
[0018]FCH (Final Challenge Params)身份綁定客戶端在接收到服務(wù)器發(fā)來的數(shù)據(jù)時��,通過挑戰(zhàn)值�����、appID等參數(shù)生成FCH并將其發(fā)送給認證設(shè)備���。KRD (KeyRegistrat1n)是由FCH���、認證設(shè)備新生成的用戶公鑰等數(shù)據(jù)組成���,并由認證設(shè)備的EAuth.priv簽名。
[0019](3)基于智能終端本地認證的多SP的身份綁定過程
[0020](31)認證設(shè)備的“信任預(yù)置”
[0021]認證設(shè)備在出廠后正式投入商用前���,首先要對認證設(shè)備的安全性等問題進行檢測����,以對其安全等級等問題進行評估�����。并且�,在正式投入使用前,應(yīng)為每個型號的安全設(shè)備生成公鑰證書����,并將其對應(yīng)公鑰注冊至身份綁定服務(wù)器端,私鑰保存于設(shè)備本身�。當(dāng)身份綁定服務(wù)器接收到由認證設(shè)備發(fā)送并用其私鑰簽名的數(shù)據(jù)包時,用其對應(yīng)的公鑰進行驗證���。
[0022](32)認證設(shè)備及身份綁定客戶端的安裝
[0023]認證設(shè)備根據(jù)智能終端生產(chǎn)商設(shè)計的不同��,可以內(nèi)置于智能終端內(nèi)或是由用戶在使用時連接至智能終端���,用戶通常還應(yīng)將對應(yīng)的身份綁定客戶端安裝至智能設(shè)備并通過客戶端中的認證設(shè)備抽象層為認證設(shè)備提供驅(qū)動和接口��。
[0024](33)身份綁定服務(wù)器和SP服務(wù)器的配置
[0025]身份綁定服務(wù)器或可作為SP web服務(wù)器的一個子模塊�,或者可作為一個獨立的存在�,負責(zé)多個SP的身份綁定和驗證功能��。
[0026](34)用戶注冊用戶賬號
[0027]用戶在SP上注冊用戶賬號WD����。
[0028](35)將新注冊的用戶賬戶綁定至認證設(shè)備上
[0029]之前的步驟只是使用了傳統(tǒng)的身份注冊方法為用戶分配了唯一的WD,若要把這個用戶綁定到連接至智能終端的認證設(shè)備上����,智能終端首先要獲知與其通信的SP支持何種認證設(shè)備。根據(jù)不同SP安全等級的不同���,并不是所有類型的認證設(shè)備都可以被SP接受��,故還需要Policy參數(shù)指定可用的認證設(shè)備��,如果連接至智能終端的認證設(shè)備不在Policy列表中�,則身份綁定失敗。
[0030](36)登記已綁定的UID和用戶設(shè)備
[0031]用戶完成步驟(35)時�,即完成了賬號的基本綁定過程;認證設(shè)備為用戶生成了一個新的公私鑰對����,將其中的公鑰發(fā)回身份綁定服務(wù)器,身份綁定服務(wù)器將公鑰和對應(yīng)的用戶存入數(shù)據(jù)庫���,當(dāng)該用戶下次登錄時���,身份綁定服務(wù)器用記錄的公鑰驗證登錄時認證設(shè)備發(fā)來的由私鑰簽名的數(shù)據(jù),若驗證成功�,則用戶成功登錄。
[0032]所述步驟(31)中�,身份綁定服務(wù)器支持的認證設(shè)備對應(yīng)的EAuth的公鑰及相應(yīng)信息應(yīng)在認證設(shè)備發(fā)售前便已登記,身份綁定服務(wù)器一旦接收到?jīng)]有登記過的認證設(shè)備發(fā)來的綁定請求���,將會無視這一請求����。
[0033]所述步驟(34)中���,用戶的首次賬號注冊可以傳統(tǒng)的用戶名密碼表單提交的形式����,以尊重用戶的傳統(tǒng)操作習(xí)慣,并其�,一旦用戶將綁定的認證設(shè)備丟失,也可通過用戶名密碼的方式進行登錄操作�,傳統(tǒng)的用戶名密碼方式登錄后,用戶的操作權(quán)限是否會受限制或者會受多大限制��,可按照SP相應(yīng)的安全等級進行個性定制�����。
[0034]所述步驟(35)中����,如果驗證不通過則綁定失敗���,回滾到WD注冊前�����,防止出現(xiàn)單獨的UID無相應(yīng)認證設(shè)備綁定的情況,帶來潛在威脅�����。
[0035]所述步驟(36)中��,可能因為挑戰(zhàn)值對應(yīng)失敗�����,簽名驗證失敗等造成身份綁定服務(wù)器登記失敗�,則進程回滾到UID注冊前,防止出現(xiàn)身份綁定服務(wù)器中無對應(yīng)(WD��,認證公鑰)對的情況��。
[0036]用戶身份綁定后的身份認證:本發(fā)明基于公私鑰和服務(wù)器端挑戰(zhàn)進行身份綁定��,可以使得多個SP上的多個用戶賬戶綁定到一個驗證設(shè)備上����。當(dāng)用戶在SP上進行身份注冊后并按上述步驟綁定后,用戶便可通過持有的認證設(shè)備通過認證登錄相關(guān)SP���。用戶登錄請求激活身份綁定服務(wù)器首先發(fā)送AppID�、policy����、Chi和用戶名至身份綁定客戶端��。身份綁定客戶端包裝AppID, Chi等信息組成FCH傳遞給認證設(shè)備����,認證設(shè)備認證用戶并用對應(yīng)用戶之前生成的私鑰對FCH簽名生成SignedData����,SignedData隨即傳遞給身份綁定服務(wù)器,身份綁定服務(wù)器根據(jù)用戶名查找相應(yīng)的公鑰���,并使用公鑰驗證簽名��,驗證通過后��,用戶即登錄成功���。由此完成通過公私鑰和挑戰(zhàn)的用戶身份驗證過程�����。用戶可以通過個人持有的認證設(shè)備登錄所有已經(jīng)完成綁定的SP����。
[0037]本發(fā)明提出的一種基于智能終端本地認證的多SP安全綁定的實現(xiàn)方法��,用戶應(yīng)當(dāng)首先在支持本專利聲明的方法的服務(wù)提供商(或是該服務(wù)提供商集成了實現(xiàn)所述身份綁定方法的身份綁定服務(wù)器�����,或是該服務(wù)提供商在提供身份認證及綁定服務(wù)的其他身份綁定服務(wù)器上注冊)注冊一個屬于自己的用戶賬號WD����,然后參考服務(wù)提供商相應(yīng)的安全策略將相關(guān)認證設(shè)備連接到智能終端進行身份綁定����。這次綁定成功后,用戶之后只需通過連接至智能終端激活認證設(shè)備并通過認證即可登錄相應(yīng)的SP���。無需再使用用戶名密碼等信肩����、Ο
[0038]本發(fā)明與現(xiàn)有技術(shù)相比有優(yōu)點在于:本發(fā)明在通過公私鑰挑戰(zhàn)式進行身份綁定并借助外部認證設(shè)備提高用戶登錄安全性的同時��,提出一種便捷賬號映射管理方法���。用戶首先在SP端進行傳統(tǒng)的注冊��,通過身份綁定服務(wù)器����、身份綁定客戶端和認證設(shè)備之間的交互為每個新注冊的用戶生成唯一的公私鑰對,公鑰保存在身份綁定服務(wù)器上�,私鑰則保存在認證設(shè)備上,一臺身份綁定服務(wù)器可以為多個用戶甚至多個SP保存公鑰��,一個認證設(shè)備也可以保存該用戶在多個SP上的私鑰���,故可實現(xiàn)一對多的服務(wù)架構(gòu)��。在數(shù)據(jù)交互過程中全部通過TLS信道加密并使用身份綁定服務(wù)器生成挑戰(zhàn)值的方法�����,防止重放等攻擊���,安全性較傳統(tǒng)用戶名密碼登錄方式有較大提高。
【專利附圖】
【附圖說明】
[0039]圖1本發(fā)明的整體實施示意圖����;
[0040]圖2本發(fā)明的身份綁定方法中模塊架構(gòu)示意圖�;
[0041]圖3本發(fā)明身份綁定方法中的數(shù)據(jù)綁定關(guān)系示意圖;
[0042]圖4本身份綁定方法中身份綁定流程圖�。
【具體實施方式】
[0043]為使本發(fā)明的目的�、優(yōu)點以及技術(shù)方案更加清楚明白�,以下通過具體實施,并結(jié)合附圖�����,對本發(fā)明進一步詳細說明�����。
[0044]對于圖1從整體上描述了基于智能終端本地認證的多SP安全綁定過程中數(shù)據(jù)管理實施的總體架構(gòu)���,主要包括下面三部分的內(nèi)容����。
[0045]一����、基于智能終端本地認證的多SP安全綁定的模塊化實現(xiàn)方法
[0046]如圖2,本發(fā)明的體系設(shè)計主要分為三個模塊:Web服務(wù)提供商模塊���、身份綁定服務(wù)器模塊和綁定服務(wù)認證設(shè)備模塊��,這種分模塊設(shè)計主要是為了保證身份綁定過程中�,信息的保密、多身份間的便捷管理以及今后的功能及設(shè)備擴展�����。
[0047]身份綁定服務(wù)器模塊:該模塊主要負責(zé)以下三個功能:
[0048](1)觸發(fā)身份綁定進程:該模塊接收到Web服務(wù)提供商的激勵后生成身份綁定請求(Identity Binding Request, IB.req)觸發(fā)身份綁定進程,服務(wù)器端會獨立為此進程產(chǎn)生一個唯一的挑戰(zhàn)值Chl�����,該挑戰(zhàn)值存在于整個綁定過程���,用于將針對同一用戶的身份綁定請求和應(yīng)答捆綁起來��,并且有效阻止了重放等網(wǎng)絡(luò)攻擊�,之后�,該模塊將生成的身份綁定請求通過Web服務(wù)提供商傳遞發(fā)送給綁定服務(wù)用戶設(shè)備模塊。
[0049](2)存儲綁定UID及用戶公鑰:在身份綁定進程的最后部分�,該模塊收到由身份綁定客戶端生成并通過Web服務(wù)器傳遞的身份綁定響應(yīng)(Identity Binding Response, IB.res),通過之前存儲的認證設(shè)備公鑰EAuth.pub認證身份綁定響應(yīng)的簽名�。驗證成功后,將其中用戶UID和該由用戶使用的認證設(shè)備產(chǎn)生的用戶公鑰進行提取對應(yīng)和獨立存儲���。在之后的身份認證部分����,身份綁定服務(wù)器中的用戶公鑰可以用來驗證用戶數(shù)據(jù)的簽名���,以此對用戶身份進行認證�。
[0050](3)存儲并檢驗設(shè)備公鑰:在認證設(shè)備投入使用之前�����,設(shè)備生產(chǎn)商會和身份綁定服務(wù)器進行協(xié)商����,將該設(shè)備的設(shè)備公鑰存儲于該身份綁定服務(wù)器的元數(shù)據(jù)驗證部分,表示支持該認證設(shè)備���。即進行“信任預(yù)置”����。在該模塊接收到由認證設(shè)備簽名的IB.res時�,可通過元數(shù)據(jù)驗證中存儲的設(shè)備公鑰檢驗該響應(yīng)是否合法,并最終得出身份綁定結(jié)果�。
[0051]Web服務(wù)提供商模塊:該模塊主要負責(zé)以下兩個功能:
[0052](1)提供網(wǎng)絡(luò)服務(wù)即用戶WD:ffeb服務(wù)提供商模塊是整個身份綁定系統(tǒng)的基礎(chǔ)模塊,沒有其提供的網(wǎng)絡(luò)服務(wù)�,身份綁定無從談起�����。該模塊的主要任務(wù)是為用戶提供其豐富的網(wǎng)絡(luò)服務(wù)��。該模塊通過傳統(tǒng)的表單提交用戶名密碼的方式為用戶產(chǎn)生其WD�,隨后激勵認證服務(wù)服務(wù)器端開始本專利描述的身份綁定服務(wù)�����。該模塊產(chǎn)生的UID是連接服務(wù)器端和用戶設(shè)備端的橋梁����,也是用戶身份的重要說明。
[0053](2)提供身份綁定策略:Web服務(wù)模塊會根據(jù)自身對安全的需求����,為身份綁定過程提供綁定策略,這個策略主要包括可支持的認證設(shè)備列表����。該模塊將此列表通過智能終端上的用戶代理展現(xiàn)給用戶,用戶通過智能終端選擇支持的認證設(shè)備���,并使用此認證設(shè)備進行身份綁定����。進行接下來的身份綁定流程。
[0054]綁定服務(wù)認證設(shè)備模塊:該模塊主要負責(zé)以下兩個功能:
[0055](1)采集用戶信息進行綁定:認證設(shè)備抽象層為多樣的認證設(shè)備提供了統(tǒng)一的接口使上層的身份綁定客戶端無需在意底層的認證設(shè)備具體是什么�����。智能終端上的認證設(shè)備只需根據(jù)其特征采集用戶的指紋等信息并為該信息生成專屬該用戶的用戶公私鑰即可��。
[0056](2)生成KRD數(shù)據(jù)信息:該模塊為用戶產(chǎn)生用戶公私鑰UAuth后�,智能終端上的身份綁定客戶端將用戶UID和UAuth.pub等信息打包并使用該設(shè)備私鑰EAuth.priv進行簽名并將其傳遞至身份綁定服務(wù)器實現(xiàn)身份綁定并為之后的身份驗證和事務(wù)確認做準備���。
[0057]該模塊是整個身份綁定過程的核心部分����。也是整個系統(tǒng)可變性可拓展性最豐富的部分����。因為認證設(shè)備種類就十分繁多,并且隨著技術(shù)的發(fā)展出現(xiàn)了將認證設(shè)備和用戶設(shè)備進行整合的趨勢��。
[0058]三個主要設(shè)計模塊的結(jié)合與使用由于三個設(shè)計模塊是相互關(guān)聯(lián)而又獨立的���,可以實現(xiàn)一個認證設(shè)備映射綁定到多個WD���,而WD同時又可以屬于不同的SP�,只要這些SP都支持本專利上述的身份綁定方法即可�����。用戶首先在SP端獲取到注冊的WD��,隨即SP激勵身份綁定服務(wù)器開始身份綁定進程���,服務(wù)器通過安全信道將服務(wù)器產(chǎn)生的挑戰(zhàn)�,表明SP的AppID等數(shù)據(jù)傳遞給位于智能終端上的身份綁定客戶端���,身份綁定客戶端與連接到或內(nèi)置于智能終端的認證設(shè)備進行交互����,認證設(shè)備通過其本身功能根據(jù)用戶擁有����、知曉或者自身的信息驗證用戶身份,隨即為該用戶生成全新的用戶公私鑰對��,并將其中的公鑰傳回身份綁定服務(wù)器�����,至此完成身份綁定過程。
[0059]二�����、基于智能終端本地認證的多SP安全綁定的數(shù)據(jù)信息交互體系
[0060]如圖3所示�,用戶的身份綁定過程實際是標示用戶身份信息的數(shù)據(jù)相互綁定的過程,設(shè)備公私鑰EAuth�、用戶公私鑰UAuth����、用戶賬戶名UID以及應(yīng)用描述符AppID,Policy之間的相互關(guān)系是身份綁定的核心邏輯�。
[0061](1)認證設(shè)備信息EAuth。EAuth是與一種認證設(shè)備綁定的公私鑰對�����。在設(shè)備注冊到身份綁定服務(wù)器后����,該設(shè)備的公鑰將存儲在身份綁定服務(wù)器的數(shù)據(jù)倉庫中,實現(xiàn)認證設(shè)備和身份綁定服務(wù)器之間的信任預(yù)置��。當(dāng)智能終端上的認證設(shè)備為新用戶生成該用戶的公私鑰對UAuth時,用戶公鑰UAuth.pub使用認證設(shè)備的私鑰EAuth.priv進行簽名后發(fā)至身份綁定服務(wù)器��,身份綁定服務(wù)器使用EAuth.pub驗證簽名后登記用戶公鑰UAuth.pub���。
[0062](2)用戶賬號WD���。用戶帳號WD由用戶在SP Web服務(wù)器上提交表單申請注冊,UID在SP的Web服務(wù)器上與用戶的相關(guān)信息和權(quán)限綁定����,而在身份綁定服務(wù)器上和與認證設(shè)備約定的用戶公鑰UAuth.pub綁定,起到了不同功能模塊上間連接橋梁的作用�����。一個認證設(shè)備可以綁定多個SP上的多個用戶WD��,每一個UID有唯一的一對公私鑰UAuth對與之對應(yīng)����,以此實現(xiàn)了認證設(shè)備和SP —對多的綁定模式。
[0063](3)服務(wù)帳號AppID及服務(wù)策略Policy����。AppID用于指明參與整個基于智能終端本地認證的多SP安全綁定方法的SP��,AppID與UID組合唯一標明了參與身份綁定的一個用戶����。并且根據(jù)SP服務(wù)安全等級的不同����,對用戶的安全認證策略及可使用的認證設(shè)備也有所不同,比如對于有些涉及較多用戶隱私的SP可能要求只能使用如指紋掃描器等安全系數(shù)較高的設(shè)備���。使用了 Policy數(shù)據(jù)來標識當(dāng)前SP所支持的所有認證設(shè)備,Policy會被身份綁定客戶端解析并呈現(xiàn)給用戶選擇用戶想要使用的設(shè)備�。
[0064]三�、基于智能終端本地認證的多SP的身份綁定過程
[0065]初始化:用戶在使用該方案進行身份綁定之前��,需要對用戶智能終端(如智能手機����、Pad、電腦����、智能云電視等)等進行初始化操作,以便正確完成后續(xù)的身份綁定過程�����。
[0066]用戶設(shè)備的“信任預(yù)置”:整個多SP安全綁定方法必須建立在一套嚴格安全標準上,在新的認證設(shè)備設(shè)計生產(chǎn)后���,根據(jù)不同的認證型號��,應(yīng)該對其安全特性進行評估和檢測��,淘汰不符合基本安全標準的設(shè)備��,為通過檢測的設(shè)備進行安全評級��,以供SP和用戶選配����。在認證設(shè)備投入市場前����,該認證設(shè)備首先應(yīng)在目標身份綁定服務(wù)器上進行注冊,即將屬于該認證設(shè)備的公鑰登記到對應(yīng)的身份綁定服務(wù)器上���。至此���,該認證設(shè)備和對應(yīng)身份綁定服務(wù)器之間建立起了信任關(guān)系����,實現(xiàn)了信任預(yù)置�。
[0067]用戶設(shè)備的初始化:用戶首先應(yīng)在進行身份注冊并在用戶智能終端上安裝對應(yīng)的身份綁定客戶端(該身份綁定客戶端可根據(jù)用戶設(shè)備的不同分為獨立app和瀏覽器插件兩種形式)。若使用外接智能終端的認證設(shè)備�,則將該認證設(shè)備連接至智能終端上。身份綁定客戶端為身份綁定服務(wù)器和認證設(shè)備建立了有效連接并為認證設(shè)備提供了統(tǒng)一 API和驅(qū)動以保證其正常工作����。
[0068]如圖4所示,一次完整的身份綁定過程需要這些步驟��。假設(shè)位于智能終端的身份綁定客戶端已經(jīng)成功安裝并且認證設(shè)備已經(jīng)成功連接并可正確使用�����,下面結(jié)合附圖4����,說明具體的身份綁定實施過程:
[0069]a) - g)主要描述了傳統(tǒng)的身份注冊流程���,用戶通過其智能終端上的用戶代理訪問Web服務(wù)提供商的網(wǎng)站并進行身份注冊�,該Web服務(wù)網(wǎng)站將其跳轉(zhuǎn)至身份注冊頁面并提供身份注冊表單,用戶按照格式填寫并提交表單���,web服務(wù)器驗證用戶提交的信息后向身份綁定服務(wù)器IBS發(fā)送請求開始身份綁定進程����;
[0070]h)身份綁定服務(wù)器IBS到激發(fā)請求信息后向SP發(fā)送身份綁定請求�,該請求包含由身份綁定服務(wù)器生成的一個隨機且唯一的挑戰(zhàn)值Chl,該挑戰(zhàn)值用于標明這次綁定進程����,通過檢驗收到的身份綁定響應(yīng)中的挑戰(zhàn)值來確定是否屬于之前發(fā)出的請求;
[0071]i)ffeb服務(wù)器收到身份綁定服務(wù)器IBS發(fā)出的身份綁定請求后�����,在請求中添加之前與用戶間的sess1n回話信息���,之后轉(zhuǎn)發(fā)至用戶代理��,用戶代理在請求中添加AppID之后交付給智能終端上的身份綁定客戶端IBC �����;
[0072]j)身份綁定客戶端接收到身份綁定請求后�,提取其中由i)添加的AppID,并將其會送至SP的Web服務(wù)器���,Web服務(wù)器根據(jù)AppID獲取該網(wǎng)絡(luò)應(yīng)用可使用的認證設(shè)備種類并將列表存儲于Policy返回給身份綁定客戶端IBC �;
[0073]k)智能終端上的身份綁定客戶端通過用戶界面將可使用的認證設(shè)備AE列表呈現(xiàn)給用戶����,用戶選擇將要在接下來身份綁定進程中使用的認證設(shè)備AE ;
[0074]1)用戶正確選擇后����,身份綁定客戶端IBC檢查被選擇的認證設(shè)備AE是否正確安裝和驅(qū)動,如果測試成功���,則激發(fā)認證設(shè)備AE請求用戶根據(jù)認證設(shè)備功能進行身份認證并向認證設(shè)備發(fā)送AppID�、Chl�����、UID等數(shù)據(jù)�;
[0075]m)認證設(shè)備AE成功錄入用戶信息后,為該用戶生成用戶公私鑰對UAuth���,并將該公私鑰對和錄入的用戶信息以及該用戶的WD�、所屬Web服務(wù)提供商應(yīng)用AppID綁定起來�����。之后再次接收到相同的用戶信息就可以知道是哪個網(wǎng)絡(luò)應(yīng)用(AppID)中的哪個用戶(UID)請求進行身份驗證����;
[0076]η)認證設(shè)備AE在生成UAuth后,將用戶公鑰UAuth.pub��、挑戰(zhàn)值Chl組成新的數(shù)據(jù)結(jié)構(gòu)KRD(Key Registrat1n Data)并將此數(shù)據(jù)結(jié)構(gòu)用該認證設(shè)備本身的私鑰EAuth.priv簽名�,之后傳遞給身份綁定客戶端IBC ;
[0077]ο) IBC將KRD打包為身份綁定響應(yīng)經(jīng)用戶代理和位于SP上的網(wǎng)絡(luò)應(yīng)用轉(zhuǎn)發(fā)最終到達身份綁定服務(wù)器IBS ���;
[0078]p)身份綁定服務(wù)器IBS接收到身份綁定響應(yīng)后�����,用之前已經(jīng)存儲的認證設(shè)備公鑰EAuth.pub驗證簽名�,驗證通過后將UID和收到的UAuth.pub —并存儲用于以后對該用戶進行身份驗證或者事務(wù)確認��。將身份綁定結(jié)果發(fā)送給SP的web應(yīng)用���;
[0079]q) SP的web應(yīng)用收到綁定成功信息�����,完成整個身份注冊和綁定進程����。
【權(quán)利要求】
1.一種基于智能終端本地認證的多SP安全綁定的實現(xiàn)方法,其特征在于實現(xiàn)步驟如下: (1)基于智能終端本地認證的多SP安全綁定的模塊化實現(xiàn) 劃分為了三個模塊:Web服務(wù)提供商模塊����、身份綁定服務(wù)器模塊和綁定服務(wù)用戶設(shè)備模塊; 身份綁定模塊:在收到Web服務(wù)提供商發(fā)送的請求后生成身份綁定請求進行身份綁定���,并在身份綁定客戶端返回身份綁定相應(yīng)后��,驗證認證設(shè)備簽名并存儲UID—用戶公鑰UAuth.pub供后續(xù)用戶身份驗證�����;該模塊還會在“信任預(yù)置”部分負責(zé)提前存儲可使用的認證設(shè)備公鑰�����; Web服務(wù)提供商模塊:為用戶提供Web網(wǎng)絡(luò)服務(wù)并提供注冊功能使用戶獲取在該Web服務(wù)上的用戶名WD����,UID是后續(xù)身份綁定過程的必要元素;該模塊還會根據(jù)所提供服務(wù)的安全需要制定自己的安全策略����; 綁定服務(wù)認證設(shè)備模塊:使用內(nèi)置或外接與用戶智能終端的認證設(shè)備收集用戶信息�����,并為該信息生成用戶公私鑰����,之后安裝在智能終端上的身份綁定客戶端將用戶公鑰和用戶UID打包為KRD并用設(shè)備私鑰EAuth.priv進行簽名; (2)基于智能終端本地認證的多SP安全綁定的數(shù)據(jù)信息交互體系構(gòu)建 基于模塊內(nèi)層次結(jié)構(gòu)��,通過AppID�����,F(xiàn)CH���,EAuth,UID, Chl��,KRD和Policy數(shù)據(jù)交互最終實現(xiàn)身份注冊及綁定�����;其中�����,AppID用于標記請求身份綁定的服務(wù)提供商SP��,UID用于標記在服務(wù)提供商SP上用戶的為唯一賬戶名����,而EAuth作為一個認證設(shè)備的唯一標記通過公私鑰對簽名驗證機制被身份綁定服務(wù)器識別,EAuth在身份驗證過程之前已經(jīng)在認證設(shè)備和身份綁定服務(wù)器之間溝通好�����;針對每一個(appID�����,UID) 二元組��,認證設(shè)備會生成一個全新的公私鑰對���,公鑰由認證設(shè)備私鑰EAuth.priv簽名后發(fā)給身份綁定服務(wù)器���,身份綁定服務(wù)器接收到后與用戶名一起存入記錄���;Chl是由身份綁定服務(wù)器產(chǎn)生的一組隨機標記,用于防止惡意攻擊者的重放攻擊�����;認證策略Policy指明了哪些認證方式是合法的而那些認證方式是不被允許的�����;FCH(Final Challenge Params)身份綁定客戶端在接收到服務(wù)器發(fā)來的數(shù)據(jù)時���,通過挑戰(zhàn)值、appID參數(shù)生成FCH并將其發(fā)送給認證設(shè)備���;KRD(Key Registrat1n)是由FCH��、認證設(shè)備新生成的用戶公鑰數(shù)據(jù)組成�����,并由認證設(shè)備的EAuth.priv簽名����; (3)基于智能終端本地認證的多SP的身份綁定過程 (31)認證設(shè)備的“信任預(yù)置” 認證設(shè)備在出廠后正式投入商用前,首先要對認證設(shè)備的安全性等問題進行檢測��,以對其安全等級問題進行評估�����;并且在正式投入使用前���,應(yīng)為每個型號的安全設(shè)備生成公鑰證書��,并將其對應(yīng)公鑰注冊至身份綁定服務(wù)器端�����,私鑰保存于設(shè)備本身���;當(dāng)身份綁定服務(wù)器接收到由認證設(shè)備發(fā)送并用其私鑰簽名的數(shù)據(jù)包時,用其對應(yīng)的公鑰進行驗證�����; (32)認證設(shè)備及身份綁定客戶端的安裝 認證設(shè)備根據(jù)智能終端生產(chǎn)商設(shè)計的不同�,內(nèi)置于智能終端內(nèi)或是由用戶在使用時連接至智能終端,用戶通常還應(yīng)將對應(yīng)的身份綁定客戶端安裝至智能設(shè)備,并通過客戶端中的認證設(shè)備抽象層為認證設(shè)備提供驅(qū)動和接口�����; (33)身份綁定服務(wù)器和SP服務(wù)器的配置 身份綁定服務(wù)器或作為SP web服務(wù)器的一個子模塊��,或者可作為一個獨立的存在�,負責(zé)多個SP的身份綁定和驗證功能; (34)用戶注冊用戶賬號 用戶在SP上注冊用戶賬號WD �; (35)將新注冊的用戶賬戶綁定至認證設(shè)備上 之前的步驟只是使用了傳統(tǒng)的身份注冊方法為用戶分配了唯一的WD,若要把這個用戶綁定到連接至智能終端的認證設(shè)備上����,智能終端首先要獲知與其通信的SP支持何種認證設(shè)備��;根據(jù)不同SP安全等級的不同�����,并不是所有類型的認證設(shè)備都可以被SP接受�����,故還需要Policy參數(shù)指定可用的認證設(shè)備,如果連接至智能終端的認證設(shè)備不在Policy列表中���,則身份綁定失?���。? (36)登記已綁定的UID和用戶設(shè)備 用戶完成步驟(35)時�����,即完成了賬號的基本綁定過程�;認證設(shè)備為用戶生成了一個新的公私鑰對,將其中的公鑰發(fā)回身份綁定服務(wù)器��,身份綁定服務(wù)器將公鑰和對應(yīng)的用戶存入數(shù)據(jù)庫�,當(dāng)該用戶下次登錄時,身份綁定服務(wù)器用記錄的公鑰驗證登錄時認證設(shè)備發(fā)來的由私鑰簽名的數(shù)據(jù)����,若驗證成功,則用戶成功登錄����。
2.根據(jù)權(quán)利要求1所述的一種基于智能終端本地認證的多SP安全綁定的實現(xiàn)方法,其特征在于:所述步驟(31)中���,身份綁定服務(wù)器支持的認證設(shè)備對應(yīng)的EAuth的公鑰及相應(yīng)信息應(yīng)在認證設(shè)備發(fā)售前便已登記�����,身份綁定服務(wù)器一旦接收到?jīng)]有登記過的認證設(shè)備發(fā)來的綁定請求��,將會無視這一請求����。
3.根據(jù)權(quán)利要求1所述的一種基于智能終端本地認證的多SP安全綁定的實現(xiàn)方法,其特征在于:所述步驟(34)中�����,用戶的首次賬號注冊可以傳統(tǒng)的用戶名密碼表單提交的形式�����,以尊重用戶的傳統(tǒng)操作習(xí)慣�����,而且一旦用戶將綁定的認證設(shè)備丟失�,也可通過用戶名密碼的方式進行登錄操作��,傳統(tǒng)的用戶名密碼方式登錄后��,用戶的操作權(quán)限是否會受限制或者會受多大限制,可按照SP相應(yīng)的安全等級進行個性定制�����。
4.根據(jù)權(quán)利要求1所述的一種基于智能終端本地認證的多SP安全綁定的實現(xiàn)方法���,其特征在于:所述步驟(35)中��,如果驗證不通過則綁定失敗��,回滾到UID注冊前�,防止出現(xiàn)單獨的UID無相應(yīng)認證設(shè)備綁定的情況,帶來潛在威脅�����。
5.根據(jù)權(quán)利要求1所述的一種基于智能終端本地認證的多SP安全綁定的實現(xiàn)方法�����,其特征在于:所述步驟(36)中�����,可能因為挑戰(zhàn)值對應(yīng)失敗�����,簽名驗證失敗造成身份綁定服務(wù)器登記失敗,則進程回滾到UID注冊前��,防止出現(xiàn)身份綁定服務(wù)器中無對應(yīng)UID及認證公鑰對的情況��。
【文檔編號】H04L29/06GK104283885SQ201410542730
【公開日】2015年1月14日 申請日期:2014年10月14日 優(yōu)先權(quán)日:2014年10月14日
【發(fā)明者】王雅哲, 梁超, 寇睿明, 汪祖輝, 王瑜 申請人:中國科學(xué)院信息工程研究所, 聯(lián)想移動通信軟件(武漢)有限公司