一种基于移动终端的统一身份认证方法及装置与流程

1.本发明涉及身份认证技术领域，尤其涉及一种基于移动终端的统一身份认证方法及装置。


背景技术：

2.随着企业信息化的发展，企业内部建设了众多的信息系统，系统账号各自管理，用户使用不同信息系统时，需要使用不同的用户名和密码，用户往往苦恼于记住各信息系统的账号密码和各信息系统间的登录和切换，用户体验度很差，影响到办公效率，因此，统一身份认证方法应运而生，一套用户名密码即可访问所有应用，统一企业内部身份认证机制，提升企业应用的集成和管理能力。
3.然而传统的统一身份认证方法存在以下缺陷：(1)只采用用户名口令的登录方式，导致安全性较低；(2)需要用到附加硬件作为身份凭证载体，而附加硬件易遗忘和丢失，不仅导致安全性较低，还会影响用户的使用体验。


技术实现要素：

4.有鉴于此，本发明提出一种基于移动终端的统一身份认证方法及装置，可以解决现有统一身份认证方法所存在的安全性低和影响用户使用体验的缺陷。
5.本发明的技术方案是这样实现的：
6.一种基于移动终端的统一身份认证方法，所述方法还基于认证系统和应用系统，具体包括以下步骤：
7.步骤s1，移动终端与认证系统连接，并向认证系统发送注册请求；
8.步骤s2，认证系统依据注册请求生成数字证书，并将所述数字证书存于认证系统和写入移动终端中；
9.步骤s3，判断用户是否直接通过移动终端登录认证系统，若是，则执行步骤s4，否则执行步骤s5；
10.步骤s4，通过移动终端中的数字证书认证登录认证系统；
11.步骤s5，通过移动终端扫描应用系统显示的二维码来登录认证系统。
12.作为所述基于移动终端的统一身份认证方法的进一步可选方案，所述认证系统包括认证服务器和证书服务器，所述认证服务器用于用户的管理、用户的登录、身份凭证的发放和身份凭证的验证，所述证书服务器用于数字证书的生成、颁发、查询和撤销，所述应用系统包括应用服务器，所述应用服务器用于支持统一身份认证。
13.作为所述基于移动终端的统一身份认证方法的进一步可选方案，所述步骤s2具体包括以下步骤：
14.步骤s21，认证服务器调用接口，让移动终端生成用户对应的密钥对，并读出公钥；
15.步骤s22，将公钥转发证书服务器生成数字证书，并将所述数字证书存于认证服务器；
16.步骤s23，认证服务器将所述数字证书写入移动终端中。
17.作为所述基于移动终端的统一身份认证方法的进一步可选方案，所述步骤s5具体包括以下步骤：
18.步骤s51，用户用移动终端扫描登录界面的二维码，获得二维码信息；
19.步骤s52，依据二维码信息生成数字签名，并将二维码信息和数字签名发送至认证服务器中；
20.步骤s53，认证服务器将二维码信息和数字签名进行验证，并将验证结果发送至应用服务器中；
21.步骤s54，应用服务器依据验证结果判断是否允许登录。
22.作为所述基于移动终端的统一身份认证方法的进一步可选方案，所述步骤s53具体包括以下步骤：
23.步骤s531，认证服务器验证二维码信息和数字签名是否该用户生成，以及验证二维码信息和数字签名是否重放攻击，从而得到验证结果；
24.步骤s532，依据认证服务器的私钥对验证结果进行数字签名并发送至应用服务器中。
25.一种基于移动终端的统一身份认证装置，所述装置包括：
26.注册请求模块，用于移动终端与认证系统连接，并向认证系统发送注册请求；
27.数字证书生成模块，用于认证系统依据注册请求生成数字证书，并将所述数字证书存于认证系统和写入移动终端中；
28.判断模块，用于判断用户是否直接通过移动终端登录认证系统；
29.第一登录模块，用于通过移动终端中的数字证书认证登录认证系统；
30.第二登录模块，用于通过移动终端扫描应用系统显示的二维码来登录认证系统。
31.作为所述基于移动终端的统一身份认证装置的进一步可选方案，所述认证系统包括认证服务器和证书服务器，所述认证服务器用于用户的管理、用户的登录、身份凭证的发放和身份凭证的验证，所述证书服务器用于数字证书的生成、颁发、查询和撤销，所述应用系统包括应用服务器，所述应用服务器用于支持统一身份认证。
32.作为所述基于移动终端的统一身份认证装置的进一步可选方案，所述数字证书生成模块包括：
33.密钥对生成模块，用于认证服务器调用接口，让移动终端生成用户对应的密钥对，并读出公钥；
34.转发模块，用于将公钥转发证书服务器生成数字证书，并将所述数字证书存于认证服务器；
35.写入模块，用于认证服务器将所述数字证书写入移动终端中。
36.作为所述基于移动终端的统一身份认证装置的进一步可选方案，所述第二登录模块包括：
37.二维码信息获取模块，用于用户通过移动终端扫描登录界面的二维码，获得二维码信息；
38.数字签名生成模块，用于依据二维码信息生成数字签名，并将二维码信息和数字签名发送至认证服务器中；
39.验证模块，用于认证服务器将二维码信息和数字签名进行验证，并将验证结果发送至应用服务器中；
40.判断登录模块，用于应用服务器依据验证结果判断是否允许登录。
41.作为所述基于移动终端的统一身份认证装置的进一步可选方案，所述验证模块包括：
42.验证结果生成模块，用于认证服务器验证二维码信息和数字签名是否该用户生成，以及验证二维码信息和数字签名是否重放攻击，从而得到验证结果；
43.验证结果处理模块，用于依据认证服务器的私钥对验证结果进行数字签名并发送至应用服务器中。
44.本发明的有益效果是：通过生成数字证书，并将所述数字证书存于认证系统和写入移动终端中，能够提高身份认证的安全性，此外，通过采用移动终端作为身份凭证载体，兼顾了安全性和便利性，有效解决现有技术存在的安全性低和影响用户使用体验的缺陷。
附图说明
45.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
46.图1为本发明一种基于移动终端的统一身份认证方法的流程示意图。
具体实施方式
47.下面将对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。
48.参考图1，一种基于移动终端的统一身份认证方法，所述方法还基于认证系统和应用系统，具体包括以下步骤：
49.步骤s1，移动终端与认证系统连接，并向认证系统发送注册请求；
50.步骤s2，认证系统依据注册请求生成数字证书，并将所述数字证书存于认证系统和写入移动终端中；
51.步骤s3，判断用户是否直接通过移动终端登录认证系统，若是，则执行步骤s4，否则执行步骤s5；
52.步骤s4，通过移动终端中的数字证书认证登录认证系统；
53.步骤s5，通过移动终端扫描应用系统显示的二维码来登录认证系统。
54.在本实施例中，通过生成数字证书，并将所述数字证书存于认证系统和写入移动终端中，能够提高身份认证的安全性，此外，通过采用移动终端作为身份凭证载体，兼顾了安全性和便利性，有效解决现有技术存在的安全性低和影响用户使用体验的缺陷。
55.需要说明的是，所述数字证书除了可写入移动终端外，还可以写入附加设备中，所述附加设备包括但不限于sdkey、usb key、手机套、nfc工牌和蓝牙key，这里不做具体限定。
56.优选的，所述认证系统包括认证服务器和证书服务器，所述认证服务器用于用户的管理、用户的登录、身份凭证的发放和身份凭证的验证，所述证书服务器用于数字证书的生成、颁发、查询和撤销，所述应用系统包括应用服务器，所述应用服务器用于支持统一身份认证。
57.优选的，所述步骤s2具体包括以下步骤：
58.步骤s21，认证服务器调用接口，让移动终端生成用户对应的密钥对，并读出公钥；
59.步骤s22，将公钥转发证书服务器生成数字证书，并将所述数字证书存于认证服务器；
60.步骤s23，认证服务器将所述数字证书写入移动终端中。
61.在本实施例中，认证服务器接收到注册请求后，通过调用接口，能够生成用户对应的密钥对，并将密钥对的公钥读出生成数字证书，从而保证每个移动终端都生成唯一的数字证书，进一步提高安全性。
62.优选的，所述步骤s5具体包括以下步骤：
63.步骤s51，用户用移动终端扫描登录界面的二维码，获得二维码信息；
64.步骤s52，依据二维码信息生成数字签名，并将二维码信息和数字签名发送至认证服务器中；
65.步骤s53，认证服务器将二维码信息和数字签名进行验证，并将验证结果发送至应用服务器中；
66.步骤s54，应用服务器依据验证结果判断是否允许登录。
67.优选的，所述步骤s53具体包括以下步骤：
68.步骤s531，认证服务器验证二维码信息和数字签名是否该用户生成，以及验证二维码信息和数字签名是否重放攻击，从而得到验证结果；
69.步骤s532，依据认证服务器的私钥对验证结果进行数字签名并发送至应用服务器中。
70.在本实施例中，用户要登录某个应用服务器，可以用电脑或移动终端访问该应用系统的登录界面，用户用移动终端上的app扫描登录界面的二维码，二维码中包含要登录的系统的信息、时间和随机信息，app将二维码的信息发到智能终端内置硬件模块/sdkey/usb key/usb key/手机套/nfc工牌/蓝牙key，用用户的私钥做数字签名，app将二维码信息和数字签名发认证服务器中，认证服务器将二维码信息和数字签名进行验证，检验是否该用户生成及是否重放攻击，认证服务器用认证服务器的私钥对验证结果进行数字签名并转发应用服务器，应用服务器验证认证服务器发送的验证结果并允许用户登录或显示认证错误信息等处理。
71.一种基于移动终端的统一身份认证装置，所述装置包括：
72.注册请求模块，用于移动终端与认证系统连接，并向认证系统发送注册请求；
73.数字证书生成模块，用于认证系统依据注册请求生成数字证书，并将所述数字证书存于认证系统和写入移动终端中；
74.判断模块，用于判断用户是否直接通过移动终端登录认证系统；
75.第一登录模块，用于通过移动终端中的数字证书认证登录认证系统；
76.第二登录模块，用于通过移动终端扫描应用系统显示的二维码来登录认证系统。
77.在本实施例中，通过生成数字证书，并将所述数字证书存于认证系统和写入移动终端中，能够提高身份认证的安全性，此外，通过采用移动终端作为身份凭证载体，兼顾了安全性和便利性，有效解决现有技术存在的安全性低和影响用户使用体验的缺陷。
78.需要说明的是，所述数字证书除了可写入移动终端外，还可以写入附加设备中，所述附加设备包括但不限于sdkey、usb key、手机套、nfc工牌和蓝牙key，这里不做具体限定。
79.优选的，所述认证系统包括认证服务器和证书服务器，所述认证服务器用于用户的管理、用户的登录、身份凭证的发放和身份凭证的验证，所述证书服务器用于数字证书的生成、颁发、查询和撤销，所述应用系统包括应用服务器，所述应用服务器用于支持统一身份认证。
80.优选的，所述数字证书生成模块包括：
81.密钥对生成模块，用于认证服务器调用接口，让移动终端生成用户对应的密钥对，并读出公钥；
82.转发模块，用于将公钥转发证书服务器生成数字证书，并将所述数字证书存于认证服务器；
83.写入模块，用于认证服务器将所述数字证书写入移动终端中。
84.在本实施例中，认证服务器接收到注册请求后，通过调用接口，能够生成用户对应的密钥对，并将密钥对的公钥读出生成数字证书，从而保证每个移动终端都生成唯一的数字证书，进一步提高安全性。
85.优选的，所述第二登录模块包括：
86.二维码信息获取模块，用于用户通过移动终端扫描登录界面的二维码，获得二维码信息；
87.数字签名生成模块，用于依据二维码信息生成数字签名，并将二维码信息和数字签名发送至认证服务器中；
88.验证模块，用于认证服务器将二维码信息和数字签名进行验证，并将验证结果发送至应用服务器中；
89.判断登录模块，用于应用服务器依据验证结果判断是否允许登录。
90.优选的，所述验证模块包括：
91.验证结果生成模块，用于认证服务器验证二维码信息和数字签名是否该用户生成，以及验证二维码信息和数字签名是否重放攻击，从而得到验证结果；
92.验证结果处理模块，用于依据认证服务器的私钥对验证结果进行数字签名并发送至应用服务器中。
93.在本实施例中，用户要登录某个应用服务器，可以用电脑或移动终端访问该应用系统的登录界面，用户用移动终端上的app扫描登录界面的二维码，二维码中包含要登录的系统的信息、时间和随机信息，app将二维码的信息发到智能终端内置硬件模块/sdkey/usb key/usb key/手机套/nfc工牌/蓝牙key，用用户的私钥做数字签名，app将二维码信息和数字签名发认证服务器中，认证服务器将二维码信息和数字签名进行验证，检验是否该用户生成及是否重放攻击，认证服务器用认证服务器的私钥对验证结果进行数字签名并转发应用服务器，应用服务器验证认证服务器发送的验证结果并允许用户登录或显示认证错误信息等处理。
94.以上所述仅为本发明的较佳实施方式而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。