CN104168111A - 一种结合随身安全模块的移动应用统一身份认证实现方法 - Google Patents
一种结合随身安全模块的移动应用统一身份认证实现方法 Download PDFInfo
- Publication number
- CN104168111A CN104168111A CN201410001408.0A CN201410001408A CN104168111A CN 104168111 A CN104168111 A CN 104168111A CN 201410001408 A CN201410001408 A CN 201410001408A CN 104168111 A CN104168111 A CN 104168111A
- Authority
- CN
- China
- Prior art keywords
- mobile terminal
- application
- security module
- mobile
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Telephonic Communication Services (AREA)
Abstract
本发明涉及一种结合随身安全模块的移动应用统一身份认证实现方法,属于信息安全领域。将多功能安全终端与受控的移动终端连接,利用移动终端的网络通过反向连接方式与认证服务器连接并进行用户身份认证请求,认证请求成功后从认证服务器获取用户身份主凭证,并将主凭证存储到多功能安全终端的安全存储区;多功能安全终端可以同时与同一用户多台受控的移动终端进行连接,通过接收到访问特定移动应用请求并携带用户身份主凭证再到认证服务器获取访问特定应用资源的应用凭证,移动终端通过应用凭证即可访问特定移动应用系统。本发明可防止木马等恶意软件在移动终端不知情的情况下随意访问各种移动应用系统资源与数据,提高安全性。
Description
技术领域
本发明涉及一种结合随身安全模块的移动应用统一身份认证实现方法,属于信息安全领域。
背景技术
身份认证是在计算机网络中确认操作者身份的过程,身份认证是信息安全中最基本最重要的环节,即使将授权、保密性、完整性、不可否认等环节做得很完善,但如果非法用户盗用了合法用户的账号和口令并登录系统,系统仍然识别为合法用户,并给予相应的访问权限,系统资源与企业数据将完全暴露,给企业带来巨大损失。
同时,随着企业应用系统的不断增加,用户在访问每个应用系统时需要记忆大量的用户名和密码,并且重复输入,这种应用系统的访问方式不但使用上及其不便利,而且极易造成密码信息泄露而导致大量信息安全问题,使企业蒙受巨大损失,统一身份认证方案便是一种能解决上述问题的办法。利用统一身份认证技术,用户在统一用户身份认证入口进行一次用户身份信息检验并成功后,并可以获取用户身份主凭证,当用户需要访问某个特定应用系统时,出于高安全性考虑,需要进一步利用用户身份主凭证并向认证服务器请求访问特定应用系统资源的应用凭证。理论上用户获取用户身份主凭证后便可登录和访问该用户已授权的应用系统资源和数据,由此可见,用户身份主凭证的安全性尤为重要,需要对其进行加强保护。
目前企业为提高身份认证强度,多采用基于硬件数字证书的双因素身份认证,双因素身份认证即通过用户所能拥有的(硬件数字证书)再加上用户所知道的(PIN码)这二个要素组合到一起才能发挥作用的身份认证方式。硬件数字证书身份认证设备的基本原理和步骤为,硬件数字证书通过移动终端提供的数据通讯接口与移动终端进行连接,在SSL协议的基础上,当用户在移动终端提出身份认证请求后,硬件数字证书身份认证设备会响应请求计算数字签名,并将签名结果送出,客户端和服务器端分别验证对方证书的合法性和签名的正确性,若签名和证书都验证可信,则身份认证成功,否则身份认证失败。
硬件数字证书认证设备是基于智能卡芯片,集成了各种算法的协处理器,内部嵌入智能卡操作系统软件(COS)并具有安全存储特性的安全设备,但是这种身份认证方法特别是在移动终端中使用时仍然存在以下安全隐患:
移动终端易受到恶意软件侵害与黑客攻击,当用户提出身份认证请求而需要进行数字签名运算时,移动终端上的木马程序也可以提出同样的请求,提出请求后硬件数字证书身份认证设备会响应请求计算数字签名,并将签名结果送出,木马有了数字签名就能骗过服务器的身份信息检验。同时,基于硬件数字证书进行身份认证成功后,服务器端会给用户返回用户身份主凭证信息,该主凭证信息会存储在移动终端上,很容易被移动终端上的木马或恶意程序窃取,并在用户不知情的情况下滥用用户身份主凭证进行非法访问和操作应用系统,随意窃取、篡改企业的敏感数据。
发明内容
针对现有移动终端基于硬件数字证书进行用户身份认证方法的不足之处,本发明提供一种结合随身安全模块的移动应用统一身份认证实现方法,随身安全模块可以是多功能安全终端、智能密码钥匙或其他具备同等功能的安全模块。将移动应用统一身份认操作由安全可信的随身安全模块主动发起,配合随身安全模块的用户确认功能和用户身份主凭证保护机制,借助安全信道,同时对同一用户的多台移动终端提供应用层认证服务,从而有效防止了移动终端上的木马等恶意程序在用户不知情的情况下获取数字签名来骗取用户服务器认证凭证,或是直接从移动终端上窃取用户身份主凭证,增加移动应用系统用户身份认证过程的安全性和便利性。
所述实现方法包括:将随身安全模块与受控的移动终端连接,随身安全模块利用移动终端的网络通过反向连接的方式与认证服务器连接并进行用户身份认证请求,用户身份认证请求成功后从认证服务器获取用户身份主凭证,并将用户身份主凭证存储到随身安全模块的安全存储区;随身安全模块可以同时与同一用户的多台受控的移动终端进行连接,任一已连接的移动终端均可向获取了用户身份主凭证的随身安全模块请求访问特定移动应用系统,随身安全模块通过接收到访问特定移动应用请求并携带用户身份主凭证再到认证服务器获取访问特定应用资源的应用凭证,并将应用凭证返回给移动终端,移动终端通过应用凭证即可访问特定移动应用系统。
本发明实现步骤为:
步骤一、构建移动用户身份映射;
步骤二、通过步骤一集中身份管理与统一认证系统进行移动用户身份映射后,通过随身安全模块的数字证书更新功能进行移动应用用户数字证书的下载,移动数字证书下载包括第2.1步至第2.3步,具体为:
第2.1步:在随身安全模块正常运行过程中,用户通过触摸屏和某个系统接口,向用户交互模块发送数字证书下载指令和证书信息;
第2.2步:随身安全模块的用户交互模块根据接收到的数字证书下载指令和证书信息,调用应用级接口集成模块中对应的应用级数字证书更新接口;
第2.3步:应用级数字证书更新接口将上层应用发来的证书信息传递到数字证书管理模块,由数字证书管理模块对信息进行鉴别并分别处理:
如果是合法的数字证书,则执行下载操作,并将下载成功的提示信息逐级反馈至随身安全模块的显示屏;
如果是非法的数字证书,则放弃下载操作,并将下载失败的提示信息逐级反馈至随身安全模块的显示屏。进行移动数字证书下载;
步骤三、连入移动终端管理系统对移动终端进行管控;首先,可连入移动终端管理系统对移动终端进行登记注册,用户也可以选择自助注册方式进行登记注册,并通过移动终端的设备序列号作为移动终端的唯一标识;然后,移动终端通过主动下载或是接收可连入移动终端管理系统推送的设备证书,接下来,在移动终端进行设备证书的导入与安装,此方法为软证书方式,亦可根据安全需要选择移动硬件数字证书方式;移动终端只有在可连入移动终端管理系统进行登记注册,并安装了可连入移动终端管理系统下发的设备证书,方可被视为安全可靠的移动终端,允许与随身安全模块进行连接并组建安全信道;
步骤四、随身安全模块与移动终端建立连接;具体为:
第4.1步:在随身安全模块正常运行过程中,用户通过触摸屏,选择欲采用的系统接口,向用户交互模块发送连接建立指令;
优选的,随身安全模块上选择系统接口的顺序是蓝牙、Wi-Fi、USB接口;
第4.2步:用户交互模块根据接收到的连接建立指令和欲采用的系统接口信息,调用应用级接口集成模块中具体的应用级连接建立接口;
第4.3步:应用级连接建立接口根据系统接口类型,调用连接管理模块中对应的设备扫描子模块,发现所有可用的移动终端,形成列表并逐级返回至随身安全模块的触摸屏,供用户选择;
第4.4步:用户的选择结果反馈给应用级连接建立接口,由应用级连接建立接口根据系统接口类型,一方面,调用连接管理模块中对应的设备连接子模块,另一方面,通过所选接口向移动终端发送连接建立指令,等待其反馈;
步骤五、随身安全模块根据对步骤四中移动终端的反馈结果分别处理如下:
如果连接建立成功,更新连接管理模块的连接列表,记录新建连接的系统接口和对应移动终端的基本信息、状态信息等,并将新建连接的基本信息逐级反馈至随身安全模块的显示屏;
如果连接建立失败,给出提示信息并逐级反馈至随身安全模块的显示屏;
步骤六、随身安全模块与移动终端组建安全信道;具体为:
第6.1步:在随身安全模块正常运行过程中,用户在移动终端侧,通过随身安全模块和移动终端间某个已建立的连接,向用户交互模块发送安全信道组建指令;
第6.2步:用户交互模块根据接收到的安全信道组建指令和对应的系统接口信息,调用应用级接口集成模块中具体的应用级安全信道组建接口;
第6.3步:应用级安全信道组建接口根据系统接口类型,通过已建立的连接向移动终端发送安全信道组建指令,等待其反馈;
第6.4步:随身安全模块的应用级安全信道组建接口根据移动终端的反馈结果,处理如下:
如果移动终端上安全信道创建失败,给出提示信息并逐级反馈至智能移动终端,然后结束操作;
如果移动终端上安全信道创建成功,则调用安全信道模块中对应的安全信道组建子模块,利用随身安全模块和智能移动终端间已建立的连接,组建它们之间的安全信道,继续执行第6.5步;
第6.5步:在安全信道管理模块的安全信道列表中添加一条信息,用来记录所连接移动终端的标识和系统接口等内容,并将安全信道组建成功的信息反馈至移动终端;
步骤七、随身安全模块发起用户身份认证,具体为:
第7.1步:随身安全模块与安全可信的移动终端通过建立连接并组建安全信道;
第7.2步:随身安全模块接收到移动终端发送的身份认证请求,并在显示屏上启动认证口令输入界面,认证口令可以是数字PIN码、九宫格解锁、图案解锁等多种方式
第7.3步:用户在认证口令输入界面输入认证口令,随身安全模块后台认证程序获取用户输入的认证口令;
第7.4步:随身安全模块检验用户输入的认证口令的合法性,即用户输入的认证口令与随身安全模块中存储的认证口令是否一致;如果相同,则进入7.5步,否则返回到7.2步;
第7.5步:随身安全模块通过移动终端的网络使用反向连接的方式与认证服务器进行连接通讯,并向认证服务器发起用户身份认证的请求;
第7.6步:认证服务器根据随身安全模块通的认证请求进行用户身份认证,包含随身安全模块中证书有效性以及用户信息的有效性检验;如果认证成功,则进入7.7步,否则直接结束认证流程;
第7.7步:随身安全模块身份认证成功后,从认证服务器获取用户身份主凭证,并将用户身份主凭证存储到随身安全模块的安全存储区加以保护;
步骤八、功能安全终端发起用户身份认证并认证成功获取用户身份主凭证后,移动终端并可通过随身安全模块向认证服务器请求访问特定移动应用资源的应用凭证,具体为:
第8.1步:随身安全模块与安全可信的移动终端通过建立连接并组建安全信道;
第8.2步:随身安全模块接收到移动终端发起的访问特定移动应用资源的请求,通过移动终端的网络使用反向连接的方式与认证服务器进行连接通讯,并携带用户身份主凭证和特定应用资源的唯一标识,向认证服务器发起访问特定移动应用资源的应用认证请求;
第8.3步:认证服务器接收到8.2步的认证请求后,并在认证服务器用户授权管理模块中的用户与可访问应用资源列表中进行查找以判断应用认证是否成功,随身安全模块根据认证服务器的反馈结果分别处理如下:
如果应用认证成功,随身安全模块将接收到认证服务器返回的应用凭证,并将应用凭证再返回给移动终端,移动终端通过应用凭证即可访问特定的移动应用资源;
如果应用认证失败,随身安全模块将认证失败信息返回给移动终端。
进一步的,移动应用统一身份认证实现方法应与企业现有信息安全防护体系紧密结合,充分利用并扩展企业已有的信息安全基础设施与资源,建立企业统一完备的信息安全防护体系。具体的,移动应用统一身份认证实现方法可在企业已经建立的统一权威的公共密钥体系(PKI)基础设施以及集中的用户身份管理及统一认证服务平台的基础上进行扩展完善。由于移动应用所处的安全环境与企业内部局域网不同,出于隔离企业内外网安全风险、避免移动终端和随身安全模块丢失影响日常工作等方面的考虑,移动应用和企业内部局域网应用采用两套认证凭证(PC端使用USB Key证书,智能终端使用随身安全模块封装证书),并在集中身份管理与统一认证系统中增加用户移动应用“映射身份”的方式实现内部USBKey和外部移动应用Key等两套相互隔离但又相对应统一的数字证书体系。用户移动应用“映射身份”可通过为用户主账户生成一个虚拟的移动应用主账户,两者为从属关系,或采用其他方式进行身份映射均可。
有益效果
本发明专利提供了一种结合随身安全模块的移动应用统一身份认证实现方法,具有以下优点:
(1)跨平台性。本发明专利所述随身安全模块采用平台无关语言编写了丰富的应用级接口,确保了随身安全模块可以与其他各种平台的移动终端通过无线连接并组建安全信道进行正常通信,即各种平台的移动终端均可使用本发明专利的移动应用统一身份认证实现方法。
(2)高安全性。随身安全模块进行用户身份成功后接收到的用户身份主凭证保存在随身安全模块的安全存储区,所有认证操作及应用单点登录均在设备中完成,仅对外提供应用级的认证服务接口,减少了移动终端中病毒、木马而导致用户身份欺诈的威胁;同时随身安全模块与移动终端之间的安全信道以及随身安全模块与认证服务器之间的通信都采用双向SSL认证的方式,从而保证了连接双方的可信任性与通信信道的安全性。
(3)便捷性。随身安全模块通过无线方式与移动终端进行连接,较传统的移动硬件数字证书使用上更便捷,同时随身安全模块可支持同一用户的多台移动终端,实现认证信息的共享,用户操作更便捷。
利用本发明可以有效保护用户身份主凭证,防止木马等恶意软件在移动终端不知情的情况下随意访问各种移动应用系统资源与数据,同时随身安全模块可同时支持同一用户的多台且不同平台的移动终端,该方法为移动应用统一身份认证提高安全性的同时也增强了用户体验。
附图说明
图1本发明专利的结合多功能安全终端的移动应用统一身份认证实现方法体系架构图
图2本发明专利中多功能安全终端发起用户身份认证操作的流程图
图3身份管理系统中映射员工移动身份信息的具体方案图
实施实施方式
下面结合附图和具体实施例,对本发明做进一步的详细描述。
以下实施例中的随身安全模块为一款多功能安全终端,多功能安全终端是一种实现移动终端安全可信的装置,其主要模块包括:用户交互模块、应用级接口集成模块、安全信道模块、连接管理模块,以及主要由智能卡芯片负责的数字证书管理模块和信息安全处理模块。多功能安全终端具有跨平台性和高安全性等特点,设备上的智能操作系统,根据应用需要进行了裁剪,强化了设备驱动,扩展了蓝牙连接模块,并采用平台无关语言编写了丰富的应用级接口,确保了多功能安全终端可以与其他各种平台的移动终端进行正常通信;设备利用智能卡芯片,对数字证书进行了封存和加固;在可信关系建立方式上,以自身为主导,借助安全信道,实现了可信服务器对移动终端的可信度判断,绕开了移动终端,避开了潜在的危险,实现方式更加安全可信。
所述实现方法如图1所示,所述实现方法包括:将多功能安全终端与受控的移动终端连接,所述多功能安全终端利用移动终端的网络通过反向连接的方式与认证服务器连接并进行用户身份认证请求,用户身份认证请求成功后从认证服务器获取用户身份主凭证,并将用户身份主凭证存储到多功能安全终端的安全存储区;多功能安全终端可以同时与同一用户的多台受控的移动终端进行连接,任一已连接的移动终端均可向获取了用户身份主凭证的多功能安全终端请求访问特定移动应用系统,多功能安全终端通过接收到访问特定移动应用请求并携带用户身份主凭证再到认证服务器获取访问特定应用资源的应用凭证,并将应用凭证返回给移动终端,移动终端通过应用凭证即可访问特定移动应用系统。利用本发明可以有效保护用户身份主凭证,防止木马等恶意软件在移动终端不知情的情况下随意访问各种移动应用系统资源与数据,同时多功能安全终端可同时支持同一用户的多台且不同平台的移动终端,该方法为移动应用统一身份认证提高安全性的同时也增强了用户体验。
根据步骤一、移动应用统一身份认证实现方法可在企业已经建立的统一权威的公共密钥体系(PKI)基础设施以及集中的用户身份管理及统一认证服务平台的基础上进行扩展完善。由于移动应用所处的安全环境与企业内部局域网不同,出于隔离企业内外网安全风险、避免移动终端和多功能安全终端丢失影响日常工作等方面的考虑,移动应用和企业内部局域网应用采用两套认证凭证(PC端使用USB Key证书,智能终端使用多功能安全终端封装证书),并在集中身份管理与统一认证系统中增加用户移动应用“映射身份”的方式实现内部USB Key和外部移动应用Key等两套相互隔离但又相对应统一的数字证书体系。用户移动应用“映射身份”可通过为用户主账户生成一个虚拟的移动应用主账户,两者为从属关系。在企业集中身份管理系统中映射员工移动身份信息的具体方案如图3所示;
根据步骤二、通过集中身份管理与统一认证系统进行移动用户身份映射后,通过多功能安全终端的数字证书更新功能进行移动应用用户数字证书的下载,移动数字证书下载包括第2.1步至第2.3步,具体为:
第2.1步:在多功能安全终端正常运行过程中,用户通过触摸屏和下载证书的系统接口,向用户交互模块发送数字证书下载指令和证书信息;
第2.2步:多功能安全终端的用户交互模块根据接收到的数字证书下载指令和证书信息,调用应用级接口集成模块中对应的应用级数字证书更新接口;
第213步:应用级数字证书更新接口将上层应用发来的证书信息传递到数字证书管理模块,由数字证书管理模块对信息进行鉴别并分别处理:
如果是合法的数字证书,则执行下载操作,并将下载成功的提示信息逐级反馈至多功能安全终端的显示屏;
如果是非法的数字证书,则放弃下载操作,并将下载失败的提示信息逐级反馈至多功能安全终端的显示屏。
根据步骤三、为保证连入多功能安全终端的移动终端的可靠性与安全性,部署移动设备管理系统(Mobile Device Management)对移动终端进行管控。首先,可移动设备管理系统对移动终端进行登记注册,用户也可以选择自助注册方式进行登记注册,并通过移动终端的设备序列号作为移动终端的唯一标识;然后,移动终端通过主动下载或是接收可连入移动设备管理系统推送的设备证书,接下来,在移动终端进行设备证书的导入与安装,此方法为软证书方式,亦可根据安全需要选择移动硬件数字证书方式。移动终端只有在移动设备管理系统进行登记注册,并安装了移动设备管理系统下发的设备证书,方可被视为安全可靠的移动终端,允许与多功能安全终端进行连接并组建安全信道。
根据步骤四、多功能安全终端与移动终端建立连接的流程包括第4.1步至第4.4步,具体为:
第4.1步:在多功能安全终端正常运行过程中,用户通过触摸屏,通过蓝牙传输接口方式,向用户交互模块发送连接建立指令;
第4.2步:用户交互模块根据接收到的连接建立指令和蓝牙接口信息,调用应用级接口集成模块中具体的应用级连接建立接口;
第4.3步:应用级连接建立接口根据系统接口类型,调用连接管理模块中对应的设备扫描子模块,发现所有可用的移动终端,形成列表并逐级返回至多功能安全终端的触摸屏,供用户选择;
第4.4步:用户的选择结果反馈给应用级连接建立接口,由应用级连接建立接口根据系统接口类型,一方面,调用连接管理模块中对应的设备连接子模块,另一方面,通过所选接口向移动终端发送连接建立指令,等待其反馈。
根据步骤五、多功能安全终端根据建立连接的成功与否,更新连接管理模块的连接列表,记录新建连接的系统接口和对应移动终端的基本信息、状态信息等,并将新建连接的基本信息逐级反馈至多功能安全终端的显示屏。
根据步骤六、多功能安全终端与移动终端组建安全信道流程包括第6.1步至第6.5步,具体为:
第6.1步:在多功能安全终端正常运行过程中,用户在移动终端侧,通过多功能安全终端和移动终端间某个已建立的连接,向用户交互模块发送安全信道组建指令;
第6.2步:用户交互模块根据接收到的安全信道组建指令和对应的系统接口信息,调用应用级接口集成模块中具体的应用级安全信道组建接口;
第6.3步:应用级安全信道组建接口根据系统接口类型,通过已建立的连接向移动终端发送安全信道组建指令,等待其反馈;
第6.4步:多功能安全终端的应用级安全信道组建接口根据移动终端的反馈结果,处理如下:
如果移动终端上安全信道创建失败,给出提示信息并逐级反馈至移动终端,然后结束操作;
如果移动终端上安全信道创建成功,则调用安全信道模块中对应的安全信道组建子模块,利用多功能安全终端和移动终端问已建立的连接,组建它们之间的安全信道,继续执行第3.5步;
第6.5步:在安全信道管理模块的安全信道列表中添加一条信息,用来记录所连接移动终端的标识和系统接口等内容,并将安全信道组建成功的信息反馈至移动终端。
根据步骤七、多功能安全终端向统一身份认证管理服务器发起用户身份认证包括第7.1步至第7.7步,具体为:
第7.1步:多功能安全终端与安全可信的移动终端通过建立连接并组建安全信道;
第7.2步:多功能安全终端接收到移动终端发送的身份认证请求,并在显示屏上启动PIN码输入界面;
第7.3步:用户在PIN码输入界面输入PIN码,多功能安全终端后台认证程序获取用户输入的PIN码;
第7.4步:多功能安全终端检验用户输入的PIN码的合法性,即用户输入的PIN码与多功能安全终端中存储的PIN码是否一致。如果相同,则进入4.5步,否则返回到4.2步;
第7.5步:多功能安全终端通过移动终端的网络使用反向连接的方式与认证服务器进行连接通讯,并向认证服务器发起用户身份认证的请求。
第7.6步:认证服务器根据多功能安全终端通的认证请求进行用户身份认证,包含多功能安全终端中证书有效性以及用户信息的有效性检验。如果认证成功,则进入4.7步,否则直接结束认证流程;
第7.7步:多功能安全终端身份认证成功后,从认证服务器获取用户身份主凭证,并将用户身份主凭证存储到多功能安全终端的安全存储区加以保护。
根据步骤八、多功能安全终端发起用户身份认证并认证成功获取用户身份主凭证后,移动终端并通过多功能安全终端向认证服务器请求访问特定移动应用资源的应用凭证,其流程包括第8.1步至第8.3步,具体为:
第8.1步:多功能安全终端与安全可信的移动终端通过建立连接并组建安全信道;
第8.2步:多功能安全终端接收到移动终端发起的访问特定移动应用资源的请求,通过移动终端的网络使用反向连接的方式与认证服务器进行连接通讯,并携带用户身份主凭证和特定应用资源的唯一标识(应用资源编号)向认证服务器发起访问特定移动应用资源的应用认证请求;
第8.3步:认证服务器接收到8.2步的认证请求后,并在认证服务器用户授权管理模块中的用户与可访问应用资源列表中进行查找以判断应用认证是否成功,多功能安全终端根据认证服务器的反馈结果分别处理如下:
如果应用认证成功,多功能安全终端将接收到认证服务器返回的应用凭证,并将应用凭证再返回给移动终端,移动终端通过应用凭证即可访问特定的移动应用资源;
如果应用认证失败,多功能安全终端将认证失败信息返回给移动终端。
以上结合具体实施例对本发明的技术/方案作了说明,但这些说明不能被理解为限制了本发明的范围,本发明的保护范围由随附的权利要求书限定,任何在本发明权利要求基础上的改动都是本发明的保护范围。
Claims (3)
1.一种结合随身安全模块的移动应用统一身份认证实现方法,随身安全模块可以是多功能安全终端、智能密码钥匙或其他具备同等功能的安全模块,其特征在于:
步骤一、构建移动用户身份映射;
步骤二、通过步骤一集中身份管理与统一认证系统进行移动用户身份映射后,通过随身安全模块的数字证书更新功能进行移动应用用户数字证书的下载;
步骤三、连入移动终端管理系统对移动终端进行管控;首先,可连入移动终端管理系统对移动终端进行登记注册,用户也可以选择自助注册方式进行登记注册,并通过移动终端的设备序列号作为移动终端的唯一标识;然后,移动终端通过主动下载或是接收可连入移动终端管理系统推送的设备证书,接下来,在移动终端进行设备证书的导入与安装,此方法为软证书方式,亦可根据安全需要选择移动硬件数字证书方式;移动终端只有在可连入移动终端管理系统进行登记注册,并安装了可连入移动终端管理系统下发的设备证书,方可被视为安全可靠的移动终端,允许与随身安全模块进行连接并组建安全信道;
步骤四、随身安全模块与移动终端建立连接;
步骤五、随身安全模块根据对步骤四中移动终端的反馈结果分别处理如下:
如果连接建立成功,更新连接管理模块的连接列表,记录新建连接的系统接口和对应移动终端的基本信息、状态信息等,并将新建连接的基本信息逐级反馈至随身安全模块的显示屏;
如果连接建立失败,给出提示信息并逐级反馈至随身安全模块的显示屏;
步骤六、随身安全模块与移动终端组建安全信道;
步骤七、随身安全模块发起用户身份认证;
步骤八、功能安全终端发起用户身份认证并认证成功获取用户身份主凭证后,移动终端并可通过随身安全模块向认证服务器请求访问特定移动应用资源的应用凭证。
2.如权力要求1所述的一种结合随身安全模块的移动应用统一身份认证实现方法,其特征还在于:将随身安全模块与受控的移动终端连接,随身安全模块利用移动终端的网络通过反向连接的方式与认证服务器连接并进行用户身份认证请求,用户身份认证请求成功后从认证服务器获取用户身份主凭证,并将用户身份主凭证存储到随身安全模块的安全存储区;随身安全模块可以同时与同一用户的多台受控的移动终端进行连接,任一已连接的移动终端均可向获取了用户身份主凭证的随身安全模块请求访问特定移动应用系统,随身安全模块通过接收到访问特定移动应用请求并携带用户身份主凭证再到认证服务器获取访问特定应用资源的应用凭证,并将应用凭证返回给移动终端,移动终端通过应用凭证即可访问特定移动应用系统。
3.如权利要求1所述的一种结合随身安全模块的移动应用统一身份认证实现方法,多功能安全终端与移动终端组建安全信道步骤为:
在随身安全模块正常运行过程中,用户在移动终端侧,通过多功能安全终端和移动终端间某个已建立的连接,向用户交互模块发送安全信道组建指令;
用户交互模块根据接收到的安全信道组建指令和对应的系统接口信息,调用应用级接口集成模块中具体的应用级安全信道组建接口;
应用级安全信道组建接口根据系统接口类型,通过已建立的连接向移动终端发送安全信道组建指令,等待其反馈;
多功能安全终端的应用级安全信道组建接口根据移动终端的反馈结果,处理如下:
如果移动终端上安全信道创建失败,给出提示信息并逐级反馈至移动终端,然后结束操作;
如果移动终端上安全信道创建成功,则调用安全信道模块中对应的安全信道组建子模块,利用多功能安全终端和移动终端问已建立的连接,组建它们之间的安全信道;
在安全信道管理模块的安全信道列表中添加一条信息,用来记录所连接移动终端的标识和系统接口等内容,并将安全信道组建成功的信息反馈至移动终端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410001408.0A CN104168111A (zh) | 2014-01-02 | 2014-01-02 | 一种结合随身安全模块的移动应用统一身份认证实现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410001408.0A CN104168111A (zh) | 2014-01-02 | 2014-01-02 | 一种结合随身安全模块的移动应用统一身份认证实现方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104168111A true CN104168111A (zh) | 2014-11-26 |
Family
ID=51911763
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410001408.0A Pending CN104168111A (zh) | 2014-01-02 | 2014-01-02 | 一种结合随身安全模块的移动应用统一身份认证实现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104168111A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105553671A (zh) * | 2015-12-23 | 2016-05-04 | 北京奇虎科技有限公司 | 一种数字证书的管理方法、装置及系统 |
| CN105959267A (zh) * | 2016-04-25 | 2016-09-21 | 北京九州云腾科技有限公司 | 单点登录技术中的主令牌获取方法、单点登录方法及系统 |
| CN106357629A (zh) * | 2016-08-31 | 2017-01-25 | 天津灵创智恒软件技术有限公司 | 基于数字证书的智能终端身份认证与单点登录系统及方法 |
| CN106685912A (zh) * | 2016-08-09 | 2017-05-17 | 厦门天锐科技股份有限公司 | 一种应用系统的安全访问方法 |
| CN112383557A (zh) * | 2020-11-17 | 2021-02-19 | 北京明朝万达科技股份有限公司 | 一种安全接入网关及工业设备通信管理方法 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101351025A (zh) * | 2007-07-18 | 2009-01-21 | 中国移动通信集团公司 | 实现移动办公的系统及方法 |
-
2014
- 2014-01-02 CN CN201410001408.0A patent/CN104168111A/zh active Pending
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101351025A (zh) * | 2007-07-18 | 2009-01-21 | 中国移动通信集团公司 | 实现移动办公的系统及方法 |
Non-Patent Citations (2)
| Title |
|---|
| 刘鹏: ""基于数字签名的统一身份认证系统的研究与实现"", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
| 张湘东,张文安,黄泽龙: ""移动互联网高安全身份认证技术分析"", 《电信技术》 * |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105553671A (zh) * | 2015-12-23 | 2016-05-04 | 北京奇虎科技有限公司 | 一种数字证书的管理方法、装置及系统 |
| CN105553671B (zh) * | 2015-12-23 | 2019-05-14 | 北京奇虎科技有限公司 | 一种数字证书的管理方法、装置及系统 |
| CN105959267A (zh) * | 2016-04-25 | 2016-09-21 | 北京九州云腾科技有限公司 | 单点登录技术中的主令牌获取方法、单点登录方法及系统 |
| CN106685912A (zh) * | 2016-08-09 | 2017-05-17 | 厦门天锐科技股份有限公司 | 一种应用系统的安全访问方法 |
| CN106685912B (zh) * | 2016-08-09 | 2020-06-12 | 厦门天锐科技股份有限公司 | 一种应用系统的安全访问方法 |
| CN106357629A (zh) * | 2016-08-31 | 2017-01-25 | 天津灵创智恒软件技术有限公司 | 基于数字证书的智能终端身份认证与单点登录系统及方法 |
| CN106357629B (zh) * | 2016-08-31 | 2021-10-26 | 天津灵创智恒软件技术有限公司 | 基于数字证书的智能终端身份认证与单点登录系统及方法 |
| CN112383557A (zh) * | 2020-11-17 | 2021-02-19 | 北京明朝万达科技股份有限公司 | 一种安全接入网关及工业设备通信管理方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8751794B2 (en) | System and method for secure nework login | |
| US20180295137A1 (en) | Techniques for dynamic authentication in connection within applications and sessions | |
| US7913084B2 (en) | Policy driven, credential delegation for single sign on and secure access to network resources | |
| CN106257861B (zh) | 通过控制设备来和汽车通信的认证方法及其系统 | |
| EP1914658B1 (en) | Identity controlled data center | |
| KR102678262B1 (ko) | 분산형 컴퓨터 애플리케이션들을 구축하기 위한 비-보관 툴 | |
| US20140189811A1 (en) | Security enclave device to extend a virtual secure processing environment to a client device | |
| CN113316783A (zh) | 使用活动目录和一次性口令令牌组合的双因素身份认证 | |
| CN105430014B (zh) | 一种单点登录方法及其系统 | |
| CN104468115A (zh) | 信息系统访问认证方法及装置 | |
| CN101257489A (zh) | 一种保护账号安全的方法 | |
| WO2015188424A1 (zh) | 一种密钥存储设备及其使用方法 | |
| CN103152179A (zh) | 一种适用于多应用系统的统一身份认证方法 | |
| WO2011157538A1 (en) | Method for pairing a first device with a second device | |
| CN101986598B (zh) | 认证方法、服务器及系统 | |
| CN106230594B (zh) | 一种基于动态口令进行用户认证的方法 | |
| CN104168111A (zh) | 一种结合随身安全模块的移动应用统一身份认证实现方法 | |
| WO2014105914A1 (en) | Security enclave device to extend a virtual secure processing environment to a client device | |
| US20100132017A1 (en) | Process for authenticating a user by certificate using an out-of band message exchange | |
| JP2009157781A (ja) | リモートアクセス方法 | |
| CN104063650A (zh) | 一种密钥存储设备及其使用方法 | |
| EP2926527B1 (en) | Virtual smartcard authentication | |
| CN102571874A (zh) | 一种分布式系统中的在线审计方法及装置 | |
| CN101867588A (zh) | 一种基于802.1x的接入控制系统 | |
| US20140250499A1 (en) | Password based security method, systems and devices |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20141126 |