[发明专利]一种隐式增强便捷WEB身份认证方法

摘要

本发明公开了一种隐式增强便捷WEB身份认证方法，本方法为：1）用户通过自身携带的移动设备作为SHA3-OTP生成载体并与认证服务器建立安全信道，完成用户与设备的绑定，并生成QR码发送给该移动设备；2）该客户端扫描被加密的QR码生成OTP；3）该用户在浏览器端向认证服务器发起身份认证请求；4）服务器将登录令牌发送给该浏览器端；5）该浏览器端将本次会话标识、登录令牌发送给该设备；6）该设备判断两会话标识进行身份认证，如果一致，则将当前生成的OTP和会话标识签名经浏览器端转发给服务器进行验证，若验证不通过，则终止该身份认证；若通过，则允许该用户进入相应的业务系统。本发明安全性高、用户体验效果好。

主权项

一种隐式增强便捷WEB身份认证方法，其步骤为：1）在用户的移动设备上安装一SHA3‑OPT客户端，并在该移动设备与认证服务器之间建立一安全信道；所述SHA3‑OPT客户端为能够扫描被加密保存OTP共享秘钥的QR码载体，并利用该QR码与SHA3‑HMAC散列函数生成SHA3‑OTP；2）该移动设备通过所述安全信道将用户注册信息、该移动设备的无线通信标识和证书签发请求发送到认证服务器；认证服务器验证通过后将该移动设备标识与用户标识进行绑定，并生成加密的QR码发送给该移动设备；该QR码包含用户标识、共享秘钥SK和公钥证书信息；3）该SHA3‑OTP客户端扫描被加密的QR码，获得用户标识、共享秘钥SK和公钥证书，本地保存该公钥证书，并采用SHA3‑HMAC算法将用户标识、系统UTC时间、共享密钥SK作为计算参数定期生成SHA3‑OTP；4）该用户在浏览器端输入登录信息后，向认证服务器发起身份认证请求；5）登录信息认证通过后，认证服务器将共享秘钥SK加密的登录令牌、保护密钥PK和该移动设备的无线通信标识发送给该浏览器端，该登录令牌包含本次会话标识、时间戳、用户标识和保护密钥PK；6）该浏览器端用保护密钥PK加密本次会话标识并生成一会话令牌；然后将该会话令牌以及保护密钥PK加密的本次会话标识、该登录令牌发送给该移动设备；7）该移动设备依据该共享密钥SK解密该登录令牌得到一会话标识SessionIDSK和保护秘钥PK，再通过该保护密钥PK解密该会话令牌获得一个会话标识SessionIDPK，如果两个会话标识不一致，则终止该身份认证，如果一致，则SHA3‑OTP客户端对当前生成的SHA3‑OTP和会话标识签名，并将签名结果和SHA3‑OTP发送到该浏览器端；8）该浏览器端将所述签名结果和SHA3‑OTP转发给认证服务器进行验证，若验证不通过，则终止该身份认证；若验证通过，则允许该用户进入相应的业务系统。