CN107172008A - 一种在移动设备中进行多系统认证及同步的系统和方法 - Google Patents

Abstract

本发明公开了一种在移动设备中进行多系统认证及同步的系统和方法，该系统由统一认证组件SDK和统一认证平台组成，其中：统一认证组件SDK包括：设备指纹模块、沙箱模块、证书模块、密钥管理模块、算法模块和认证逻辑模块；统一认证平台包括：用户管理模块、权限管理模块、SSO模块、设备管理模块、邮件服务模块、日志模块、接口管理模块、推送模块、短信/语音模块、人脸模块、声纹模块和指纹模块。该系统和方法能够适用于现在企业业务向移动端迁移的业务场景，提供企业用户在移动端认证和状态同步，通过创新的设备指纹生成算法及匹配算法，系统激活流程，用户可以绑定自己的手机与企业账号，实现企业账号在移动设备上的登录及状态同步。

Description

一种在移动设备中进行多系统认证及同步的系统和方法

技术领域

本发明涉及移动互联网技术领域，具体涉及一种在移动设备中进行多系统认证及同步的系统和方法。

背景技术

近年来，随着移动互联网时代的到来，以及智能手机，平板电脑的爆发式增长，单位员工可以随时随地依托移动智能终端来实现办公，从而打破了工作的时间、空间的边界，企业员工将个人的智能终端设备用于企业日常办公，这类现象称为BYOD(Bring Your OwnDevice)。

·Marketsandmarkets统计数据显示：2017年与BYOD相关的市场规模将达到1813.9亿美元，软件安全需求成为主要推动力。

·CTI论坛：BYOD趋势正在以每年15％的速度增长，预计到2017年，BYOD市场价值将达到1810亿美元。

·Cisco：美国是当前最大的BYOD应用市场，目前有7100万台相关BYOD的设备在使用中；到2016年，中国将成为BYOD应用市场的领导者，将有1.66亿台设备使用

·平均69％的企业员工拥有1部以上的移动智能终端；

·平均77％的企业员工利用自带设备用于企业办公；

·平均不到20％的企业员工愿意支付工作相关的通信费用；

·平均超过56％的企业主有BYOD的部署和管理需求；

·平均18％的企业愿意为员工购买移动智能终端设备

随着移动互联网的发展，移动办公的兴起，原有的传统认证方式，已经无法适应新的应用场景和安全需求，主要面临的问题有：

1.多系统账号密码过多

·各种各样的SaaS服务，各有各的账号和密码，密码各自有各自的规则。

·对于企业选择的产品集群，用户有太多密码需要记忆和使用。

2.系统间认证无法打通

·各种各样的SaaS服务，各有各的入口，用户需要不断从一个入口出来，从另一个入口进入。

·由于各个服务之间的认证并未打通，用户找到新的入口还需要再次认证。

3.认证信息泄露

·企业是黑客重点攻击的目标，各种攻击事件层出不穷，不仅导致企业的财产受到重大损失，也导致企业名誉受到影响，这是企业″谈虎色变″的关键问题。

·企业员工密码口令设置过于简单，密码多人共享等，造成安全隐患，黑客可能比较容易尝试出密码。

4.各系统安全防护水平不平衡

·各个系统的安全防护水平不同，各个系统打通后，安全防护能力受制于最薄弱的环节，导致系统极易受到攻击，严重威胁企业信息安全。

在这样的大背景下，亟需一个适合企业移动办公场景下的多系统认证及状态同步解决方案为企业雇员提供安全、有效、便捷的认证服务。

发明内容

为了克服现有技术中存在的问题，本发明提供一种在移动设备中进行多系统认证及同步的系统，该系统在识别标记用户移动终端设备的基础上，经由安全通道对用户初始身份进行确认，并生成与用户信息和设备信息绑定生成唯一的身份密钥，并在手机终端中安全保存，后续用户认证基于用户身份密钥，可实现扫码、推送、短信、语音等多种认证方式。根据系统特点及业务场景，可以有机结合一种或几种认证方式，实现对用户身份的有效认证，业务系统的便捷访问。

为实现上述目的，本发明所述的在移动设备中进行多系统认证及同步的系统由统一认证组件SDK和统一认证平台组成，其中：

统一认证组件SDK包括：

设备指纹模块，用于实现设备指纹采集、计算及匹配算法；

沙箱模块，用于实现终端侧SDK运行保护，防止动态、静态破解；

证书模块，用于支持用户身份证书的签发及验证；

密钥管理模块，用于保证密钥在终端本地的安全存储，防止破解和篡改；

算法模块，用于提供算法支持；和

认证逻辑模块，用于实现终端侧认证及策略管理；

统一认证平台包括：

用户管理模块，用于完成基本的用户信息和状态管理；

权限管理模块，用于实现对用户权限的分级管理，与业务系统权限管理模块对接；

SSO模块，用于实现多系统间认证状态同步及跳转；

设备管理模块，用于完成用户终端设备信息管理；

邮件服务模块，用于提供激活及通知邮件服务；

日志模块，用于实现系统日志维护及管理；

接口管理模块，用于实现系统与外部接口管理及流量控制；

推送模块，用于实现消息推送及认证请求推送功能；

短信/语音模块，用于实现对接运营商语音或短信通道，发送短信或语音；

人脸模块，用于实现人脸识别认证功能；

声纹模块，用于实现声纹识别认证功能；和

指纹模块，用于实现指纹识别认证功能。

所述算法模块支持的算法包括对称算法、非对称算法和/或杂凑算法。

所述对称算法包括AES和/或SM4，非对称算法包括RSA和/或SM2，杂凑算法包括SHA256和/或SM3。

所述的在移动设备中进行多系统认证及同步的系统采用自适应的设备指纹动态匹配算法进行设备识别，所述的自适应的设备指纹动态匹配算法为：

F＝∑C(H(F_i)，H(F_i′))×w_i

其中i＝1...n；

其中，函数H(a)代表指纹转换算法，函数C(a，b)代表比对算法，F₁...F_n代表采集绑定某用户时首次采集的硬件信息，F₁′...F_n′代表某用户设备目前采集的硬件信息，w₁...W_n代表该硬件信息的权重；

硬件信息的权重w会根据系统运行状态动态调整，具体规则为：

假设某段时间内，每项信息的命中次数为t_n，则

设置阈值N，终端设备认证时，将初次采集指纹与当前指纹采用设备指纹动态匹配算法进行计算，获得F，当F＞＝N时，认为指纹匹配即是同一设备，当F＜N时，认为指纹不匹配即是不同设备。

所述的统一认证平台进行终端身份认证时，采用设备激活绑定阶段生成的用户身份密钥进行鉴别，具体生成算法如下：

Key_dev＝HMAC-SHA256(Key_root+rand₁+rand₂+F)

其中：

·Key_dev是生成的用户身份密钥；

·HMAC-SHA256是国际标准摘要算法；

·Key_root是统一认证SDK预置根密钥，在SDK发布时进行生成并加密保存于SDK内；

·rand₁由客户端生成，加密后由终端发送至服务器；

·rand₂由服务器生成，加密后由服务器发送至终端；

·F为当前设备采集的指纹，加密后由终端发送至服务器；

密钥产生过程中，rand₁、rand₂分别由服务器、终端分别产生，避免黑客进行中间人截取，预置的Key_root用于终端初始通信加密，F为当前设备采集的指纹，确保用户身份密钥的设备相关性；

每次密钥运算时，均采用所述的设备指纹动态匹配算法进行匹配阈值校验，如匹配失败则认为用户终端设备发生改变或密钥文件被非法赋值，密钥失效，自动销毁；

用户身份密钥生成后具备有效期，平台侧根据业务策略设置密钥有效期，密钥过期后必须重新进行密钥协商生成；

所述统一认证平台与统一认证组件SDK均具备密钥重置功能，用于用户或管理员在发生密钥泄露、设备更换和/或设备遗失场景下的密钥管理。

所述的统一认证平台根据配置表与各业务应用采用不同的业务平台对接模式，主要模式分为三种：

·标准模式：统一认证平台与业务应用之间，采用LDAP/Radius等协议进行通信和认证管理；

·组件模式：统一认证平台与集成于业务应用内的统一认证组件，采用透明模式进行认证及管理；

·web模式：统一认证Portal作为认证代理与统一认证平台、统一认证App之间进行双向身份认证，并保持认证状态；统一认证Portal认证成功后，直接跳转至各业务应用，无需再次登录；

三种业务平台对接模式在统一认证平台进行动态配置和管理，同时可以根据业务策略配置相应的用户权限管理策略；

对于某一平台可存在多条策略，根据策略优先级进行优先匹配，同时可以根据特定用户组进行相应策略设置。

本发明还提供一种在移动设备中进行多系统认证及同步的方法，包括激活流程、扫码认证流程、推送认证流程和语音/短信认证流程，其中在激活流程中：

首先统一认证组件检测设备是否已经被激活，如未激活则触发用户输入企业邮箱；

统一认证平台发送邮件激活码至用户邮箱，用户输入激活码后，发起激活请求；激活请求携带设备采集信息devinfo，设备唯一uuid，随机数及校验码；

统一认证组件采集终端设备信息和用户信息，上传至平台侧，同时与认证平台进行双向密钥协商；双向认证过程中，统一认证平台通过阈值Key_root进行终端请求合法性验证，同时对设备信息进行处理及用户身份密钥计算；

协商后生成用户密钥并进行相关设置；记录激活设备的设备指纹，并进行设备绑定。

在所述扫码认证流程中，使用用户终端设备，采用扫码方式进行业务系统认证；

用户在PC或移动终端上使用业务平台，进行登录，业务请求发送到App服务器后，通过js脚本方式触发统一认证平台服务；

由用户选择认证方式，包括推送、扫码、语音和/或短信；

如用户选择的是扫码登录，由统一认证平台生成相应二维码，并显示在页面上；认证平台生成的二维码，包含业务应用信息及一次性token，具体生成算法为token＝HMAC-SHA256(appid，sessionID，timestamp)，其中appid为业务应用唯一识别码，由统一认证平台与业务应用对接时生成，sessionID为当前认证的事务ID，用于认证平台管理所有认证请求，timestamp为唯一性的时间戳，用于防止认证请求被黑客重放攻击；

用户使用移动终端设备的统一认证客户端App或集成统一认证SDK的业务App进行扫码，使用用户身份密钥验证身份，完成业务登录；用户使用App扫描二维码信息时，统一认证客户端App或业务应用App，使用用户身份密钥对登录请求进行签名，格式为：atoken＝HMAC-SHA256(Key_dev+sessionID+uuid+devinfo)；其中Key_dev为用户唯一身份密钥，在设备激活绑定时生成，sessionID为平台侧发送至终端的事务ID，uuid为用户唯一标识字符串，devinfo为当前状态下用户设备采集的指纹信息匹配结果，此结果采用前述设备指纹动态匹配算法生成。

在所述推送认证流程中，用户使用移动终端，确认认证平台推送的认证请求，完成身份认证；

用户在PC或移动终端上使用业务平台，进行登录，业务请求发送到App服务器后，通过js脚本方式触发统一认证平台服务；

由用户选择认证方式，包括推送、扫码、语音和/或短信；

如用户选择的是推送登录方式，统一认证平台向用户统一认证客户端推送相应的认证请求，推送认证请求中的参数与所述扫码认证流程中的扫码认证请求参数类型相同，生成算法也相同；

用户启动统一认证App或集成统一认证SDK的业务App，查询推送的认证请求，并在App内进行用户二次确认；确认成功后，统一认证平台同步认证状态至业务服务器；完成用户认证；用户终端对认证请求的确认方式与算法与所述扫码认证流程中的参数类型及算法相同。

在所述的语音/短信认证流程中，用户通过语音或短信验证码直接验证身份；

用户在PC或移动终端上使用业务平台，进行登录，业务请求发送到App服务器后，通过js脚本方式触发统一认证平台服务；

由用户选择认证方式，包括推送、扫码、语音和/或短信；

如用户选择的是短信/语音认证方式，统一认证平台生成相应的验证码，并通过运营商通道，使用短信/语音的形式，将验证码发送给用户；

用户在业务平台输入验证码后，完成认证；

正常用户状态下，直接短信/语音验证码登录处于禁止状态，只有用户忘记携带或遗失自己移动设备的情况下，经管理员批准，方可获取在一定有效期内，使用短信、语音验证码登录的权限。

本发明具有如下优点：本发明所述的在移动设备中进行多系统认证及同步的系统和方法与现有技术相比，能够适用于现在企业业务向移动端迁移的业务场景，提供企业用户在移动端认证和状态同步。通过创新的设备指纹生成算法及匹配算法，系统激活流程，用户可以绑定自己的手机与企业账号，实现企业账号在移动设备上的登录及状态同步。

系统激活后，用户可以使用扫码、语音、短信、推送等多种方式进行身份认证，更好的保障了使用的便利性和用户体验，同时可以有效杜绝黑客使用假冒设备、虚假身份进入业务系统。认证成功后，使用创新的密钥管理及交换算法生成用户身份密钥。

业务使用过程中，通过用户激活阶段生成的用户唯一身份密钥，对业务认证过程进行保护，同时采用设备指纹技术避免设备伪造和仿冒。业务体验方面，使用扫码、推送等多种形式，为用户提供最佳体验，充分适应用户的使用习惯。语音/短信验证码的方式，很好的弥补了设备忘带或遗失等无法使用时的场景，采用用户直接接受语音/短信推送来确认身份。

用户使用短信/语音验证码形式直接登录业务系统时，必须经过管理员临时授权，同时严格限制认证有效期，充分避免这种方式被黑客利用。

附图说明

图1是本发明所述的在移动设备中进行多系统认证及同步的系统的整体架构图。

图2是本发明所述的三种登录模式(即业务平台对接模式)的结构图。

图3是本发明所述的激活流程示意图。

图4是本发明所述的扫码认证流程示意图。

图5是本发明所述的推送认证流程示意图。

图6是本发明所述的语音/短信认证流程示意图。

具体实施方式

以下实施例用于说明本发明，但不用来限制本发明的范围。

如图1所示，本发明所述的在移动设备中进行多系统认证及同步的系统由统一认证组件SDK和统一认证平台组成，其中：

统一认证组件SDK包括：

设备指纹模块，用于实现设备指纹采集、计算及匹配算法；

沙箱模块，用于实现终端侧SDK运行保护，防止动态、静态破解；

证书模块，用于支持用户身份证书的签发及验证；

密钥管理模块，用于保证密钥在终端本地的安全存储，防止破解和篡改；

算法模块，用于提供算法支持，算法包括对称算法：AES、SM4，非对称算法：RSA、SM2，杂凑算法：SHA256，SM3；和

认证逻辑模块，用于实现终端侧认证及策略管理；

统一认证平台包括：

用户管理模块，用于完成基本的用户信息和状态管理；

权限管理模块，用于实现对用户权限的分级管理，与业务系统权限管理模块对接；

SSO模块，用于实现多系统间认证状态同步及跳转；

设备管理模块，用于完成用户终端设备信息管理；

邮件服务模块，用于提供激活及通知邮件服务；

日志模块，用于实现系统日志维护及管理；

接口管理模块，用于实现系统与外部接口管理及流量控制；

推送模块，用于实现消息推送及认证请求推送功能；

短信/语音模块，用于实现对接运营商语音或短信通道，发送短信或语音；

人脸模块，用于实现人脸识别认证功能；

声纹模块，用于实现声纹识别认证功能；和

指纹模块，用于实现指纹识别认证功能。

设备激活与识别

移动设备中进行身份认证的基础是识别和标记硬件设备。只有识别出终端设备的唯一性，再根据设备与用户身份进行绑定，方可实现基于设备的身份认证。

设备识别时，本发明采用自适应的设备指纹动态匹配算法，具体描述如下：

F＝∑C(H(F_i)，H(F_i′))×w_i

其中i＝1...n

其中，函数H(a)代表指纹转换算法，函数C(a，b)代表比对算法，F₁...F_n代表采集绑定某用户时首次采集的硬件信息，F₁′...F_n′代表某用户设备目前采集的硬件信息，W₁...W_n代表该硬件信息的权重。

硬件信息权重w会根据系统运行状态动态调整，具体规则为：

假设某段时间内，每项信息的命中次数为tn，则

设置阈值N，终端设备认证时，将初次采集指纹与当前指纹采用设备指纹动态匹配算法进行计算，获得F，当F＞＝N时，认为指纹匹配即是同一设备，当F＜N时，认为指纹不匹配即是不同设备。

密钥安全性

统一认证平台进行终端身份认证时，采用设备激活绑定阶段生成的用户身份密钥进行鉴别。具体生成算法如下：

Key_dev＝HMAC-SHA256(Key_root+rand₁+rand₂+F)

其中：

·Key_dev是生成的用户身份密钥；

·HMAC-SHA256是国际标准摘要算法；

·Key_root是统一认证SDK预置根密钥，在SDK发布时进行生成并加密保存于SDK内；

·rand₁由客户端生成，加密后由终端发送至服务器；

·rand₂由服务器生成，加密后由服务器发送至终端；

·F为当前设备采集的指纹，加密后由终端发送至服务器；

密钥产生过程中，rand₁、rand₂分别由服务器、终端分别产生，避免黑客进行中间人截取，预置的Key_root用于终端初始通信加密，F为设备指纹，确保用户身份密钥的设备相关性。

每次密钥运算时，均采用前面所述的设备指纹动态匹配算法进行匹配阈值校验，如匹配失败则认为用户终端设备发生改变或密钥文件被非法赋值，密钥失效，自动销毁。

用户身份密钥生成后具备一定有效期，平台侧可根据业务策略设置密钥有效期，密钥过期后必须重新进行密钥协商生成。

统一认证平台与统一认证组件SDK，均具备密钥重置功能，用于用户或管理员在发生密钥泄露，设备更换，设备遗失等场景下的密钥管理。

业务平台对接模式

如图2所示，统一认证平台，根据配置表与各业务应用采用不同的业务平台对接模式，主要模式分为三种：

·标准模式：统一认证平台与业务应用之间，采用LDAP/Radius等协议进行通信和认证管理；

·组件模式：统一认证平台与集成于业务应用内的统一认证组件，采用透明模式进行认证及管理；

·web模式：统一认证Portal作为认证代理与统一认证平台、统一认证App之间进行双向身份认证，并保持认证状态；统一认证Portal认证成功后，可直接跳转至各业务应用，无需再次登录；

三种业务平台对接模式在统一认证平台进行动态配置和管理，同时可以根据业务策略配置相应的用户权限管理策略。

业务平台配置格式举例如下：

对于某一平台可存在多条策略，根据策略优先级进行优先匹配，同时可以根据特定用户组进行相应策略设置。

本发明还提供一种在移动设备中进行多系统认证及同步的方法，包括以下流程：

流程1：激活流程：首次使用应用，需要进行用户信息和设备信息绑定及激活；如图3所示，该流程中：

首先统一认证组件检测设备是否已经被激活，如未激活则触发用户输入企业邮箱；

统一认证平台发送邮件激活码至用户邮箱，用户输入激活码后，发起激活请求；激活请求携带设备采集信息devinfo，设备唯一uuid，随机数及校验码；

统一认证组件采集终端设备信息、用户信息等，上传至平台侧，同时与认证平台进行双向密钥协商；双向认证过程中，统一认证平台通过阈值Key_root进行终端请求合法性验证，同时对设备信息进行处理及用户身份密钥计算，密钥计算算法如前述；

协商后生成用户密钥并进行相关设置；记录激活设备的设备指纹，并进行设备绑定。

流程2：扫码认证流程：使用用户终端设备，采用扫码方式进行业务系统认证；

如图4所示，该流程中：

用户在PC或移动终端上使用业务平台，进行登录，业务请求发送到App服务器后，通过js脚本方式触发统一认证平台服务；

由用户选择认证方式，包括推送、扫码、语音、短信等；

如用户选择的是扫码登录，由统一认证平台生成相应二维码，并显示在页面上；认证平台生成的二维码，包含业务应用信息及一次性token，具体生成算法为token＝HMAC-SHA256(appid，sessionID，timestamp)，其中appid为业务应用唯一识别码，由统一认证平台与业务应用对接时生成，sessionID为当前认证的事务ID，用于认证平台管理所有认证请求，timestamp为唯一性的时间戳，用于防止认证请求被黑客重放攻击；

用户使用移动终端设备的统一认证客户端App或集成统一认证SDK的业务App进行扫码，使用用户身份密钥验证身份，完成业务登录；用户使用App扫描二维码等信息时，统一认证客户端App或业务应用App，使用用户身份密钥对登录请求进行签名，格式为：atoken＝HMAC-SHA256(Key_dev+sessionID+uuid+devinfo)；其中Key_dev为用户唯一身份密钥，在设备激活绑定时生成，sessionID为平台侧发送至终端的事务ID，uuid为用户唯一标识字符串，devinfo为当前状态下用户设备采集的指纹信息匹配结果，此结果采用前述设备指纹动态匹配算法生成。

流程3：推送认证流程：用户使用移动终端，确认认证平台推送的认证请求，完成身份认证；

如图5所示，该流程中：

用户在PC或移动终端上使用业务平台，进行登录，业务请求发送到App服务器后，通过js脚本方式触发统一认证平台服务；

由用户选择认证方式，包括推送、扫码、语音、短信等；

如用户选择的是推送登录方式，统一认证平台向用户统一认证客户端推送相应的认证请求，推送认证请求中的参数与流程2扫码认证请求参数类型相同，生成算法相同，具体算法参见流程2；

用户启动统一认证App或集成统一认证SDK的业务App，查询推送的认证请求，并在App内进行用户二次确认；确认成功后，统一认证平台同步认证状态至业务服务器；完成用户认证；用户终端对认证请求的确认方式与算法与流程2参数类型及算法相同；具体算法参见流程2。

流程4：语音/短信认证流程：用户通过语音或短信验证码直接验证身份；

如图6所示，该流程中：

用户在PC或移动终端上使用业务平台，进行登录，业务请求发送到App服务器后，通过js脚本方式触发统一认证平台服务；

由用户选择认证方式，包括推送、扫码、语音、短信等；

如用户选择的是短信/语音认证方式，统一认证平台生成相应的验证码，并通过运营商通道，使用短信/语音等形式，将验证码发送给用户；

用户在业务平台输入验证码后，完成认证；

正常用户状态下，直接短信/语音验证码登录处于禁止状态，只有用户忘记携带或遗失自己移动设备的情况下，经管理员批准，方可获取一定有效期内，使用短信、语音验证码登录的权限。

本发明所述的系统和方法能够适用于现在企业业务向移动端迁移的业务场景，提供企业用户在移动端认证和状态同步。

通过创新的设备指纹生成算法及匹配算法，系统激活流程，用户可以绑定自己的手机与企业账号，实现企业账号在移动设备上的登录及状态同步。

系统激活后，用户可以使用扫码、语音、短信、推送等多种方式进行身份认证，更好的保障了使用的便利性和用户体验，同时可以有效杜绝黑客使用假冒设备、虚假身份进入业务系统。认证成功后，使用创新的密钥管理及交换算法生成用户身份密钥。

业务使用过程中，通过用户激活阶段生成的用户唯一身份密钥，对业务认证过程进行保护，同时采用设备指纹技术避免设备伪造和仿冒。业务体验方面，使用扫码、推送等多种形式，为用户提供最佳体验，充分适应用户的使用习惯。语音/短信验证码的方式，很好的弥补了设备忘带或遗失等无法使用时的场景，采用用户直接接受语音/短信推送来确认身份。

用户使用短信/语音验证码形式直接登录业务系统时，必须经过管理员临时授权，同时严格限制认证有效期，充分避免这种方式被黑客利用。

虽然，上文中已经用一般性说明及具体实施例对本发明作了详尽的描述，但在本发明基础上，可以对之作一些修改或改进，这对本领域技术人员而言是显而易见的。因此，在不偏离本发明精神的基础上所做的这些修改或改进，均属于本发明要求保护的范围。

Claims (10)

1.一种在移动设备中进行多系统认证及同步的系统，其特征在于，所述在移动设备中进行多系统认证及同步的系统由统一认证组件SDK和统一认证平台组成，其中：

统一认证组件SDK包括：

设备指纹模块，用于实现设备指纹采集、计算及匹配算法；

沙箱模块，用于实现终端侧SDK运行保护，防止动态、静态破解；

证书模块，用于支持用户身份证书的签发及验证；

密钥管理模块，用于保证密钥在终端本地的安全存储，防止破解和篡改；

算法模块，用于提供算法支持；和

认证逻辑模块，用于实现终端侧认证及策略管理；

统一认证平台包括：

用户管理模块，用于完成基本的用户信息和状态管理；

权限管理模块，用于实现对用户权限的分级管理，与业务系统权限管理模块对接；

SSO模块，用于实现多系统间认证状态同步及跳转；

设备管理模块，用于完成用户终端设备信息管理；

邮件服务模块，用于提供激活及通知邮件服务；

日志模块，用于实现系统日志维护及管理；

接口管理模块，用于实现系统与外部接口管理及流量控制；

推送模块，用于实现消息推送及认证请求推送功能；

短信/语音模块，用于实现对接运营商语音或短信通道，发送短信或语音；

人脸模块，用于实现人脸识别认证功能；

声纹模块，用于实现声纹识别认证功能；和

指纹模块，用于实现指纹识别认证功能。

2.如权利要求1所述的在移动设备中进行多系统认证及同步的系统，其特征在于，所述算法模块支持的算法包括对称算法、非对称算法和/或杂凑算法。

3.如权利要求2所述的在移动设备中进行多系统认证及同步的系统，其特征在于，所述对称算法包括AES和/或SM4，非对称算法包括RSA和/或SM2，杂凑算法包括SHA256和/或SM3。

4.如权利要求1所述的在移动设备中进行多系统认证及同步的系统，其特征在于，所述的在移动设备中进行多系统认证及同步的系统采用自适应的设备指纹动态匹配算法进行设备识别，所述的自适应的设备指纹动态匹配算法为：

F＝∑C(H(F_i)，H(F_i′))×w_i

其中i＝1...n；

其中，函数H(a)代表指纹转换算法，函数C(a，b)代表比对算法，F₁...F_n代表采集绑定某用户时首次采集的硬件信息，F₁′...F_n′代表某用户设备目前采集的硬件信息，W₁...W_n代表该硬件信息的权重；

硬件信息的权重w会根据系统运行状态动态调整，具体规则为：

假设某段时间内，每项信息的命中次数为t_n，则

设置阈值N，终端设备认证时，将初次采集指纹与当前指纹采用设备指纹动态匹配算法进行计算，获得F，当F＞＝N时，认为指纹匹配即是同一设备，当F＜N时，认为指纹不匹配即是不同设备。

5.如权利要求4所述的在移动设备中进行多系统认证及同步的系统，其特征在于，所述的统一认证平台进行终端身份认证时，采用设备激活绑定阶段生成的用户身份密钥进行鉴别，具体生成算法如下：

Key_dev＝HMAC-SHA256(Key_root+rand₁+rand₂+F)

其中：

·Key_dev是生成的用户身份密钥；

·HMAC-SHA256是国际标准摘要算法；

·Key_root是统一认证SDK预置根密钥，在SDK发布时进行生成并加密保存于SDK内；

·rand₁由客户端生成，加密后由终端发送至服务器；

·rand₂由服务器生成，加密后由服务器发送至终端；

·F为当前设备采集的指纹，加密后由终端发送至服务器；

密钥产生过程中，rand₁、rand₂分别由服务器、终端分别产生，避免黑客进行中间人截取，预置的Key_root用于终端初始通信加密，F为当前设备采集的指纹，确保用户身份密钥的设备相关性；

每次密钥运算时，均采用所述的设备指纹动态匹配算法进行匹配阈值校验，如匹配失败则认为用户终端设备发生改变或密钥文件被非法赋值，密钥失效，自动销毁；

用户身份密钥生成后具备有效期，平台侧根据业务策略设置密钥有效期，密钥过期后必须重新进行密钥协商生成；

所述统一认证平台与统一认证组件SDK均具备密钥重置功能，用于用户或管理员在发生密钥泄露、设备更换和/或设备遗失场景下的密钥管理。

6.如权利要求5所述的在移动设备中进行多系统认证及同步的系统，其特征在于，所述的统一认证平台根据配置表与各业务应用采用不同的业务平台对接模式，主要模式分为三种：

·标准模式：统一认证平台与业务应用之间，采用LDAP/Radius协议进行通信和认证管理；

·组件模式：统一认证平台与集成于业务应用内的统一认证组件，采用透明模式进行认证及管理；

·web模式：统一认证Portal作为认证代理与统一认证平台、统一认证App之间进行双向身份认证，并保持认证状态；统一认证Portal认证成功后，直接跳转至各业务应用，无需再次登录；三种业务平台对接模式在统一认证平台进行动态配置和管理，同时可以根据业务策略配置相应的用户权限管理策略；

对于某一平台可存在多条策略，根据策略优先级进行优先匹配，同时可以根据特定用户组进行相应策略设置。

7.采用如权利要求1至6任一项所述的系统在移动设备中进行多系统认证及同步的方法，其特征在于，该方法包括激活流程、扫码认证流程、推送认证流程和语音/短信认证流程，其中在激活流程中：

首先统一认证组件检测设备是否已经被激活，如未激活则触发用户输入企业邮箱；

统一认证平台发送邮件激活码至用户邮箱，用户输入激活码后，发起激活请求；激活请求携带设备采集信息devinfo，设备唯一uuid，随机数及校验码；

统一认证组件采集终端设备信息和用户信息，上传至平台侧，同时与认证平台进行双向密钥协商；双向认证过程中，统一认证平台通过阈值Key_root进行终端请求合法性验证，同时对设备信息进行处理及用户身份密钥计算；

协商后生成用户密钥并进行相关设置；记录激活设备的设备指纹，并进行设备绑定。

8.如权利要求7所述的方法，其特征在于，在所述扫码认证流程中，使用用户终端设备，采用扫码方式进行业务系统认证；

用户在PC或移动终端上使用业务平台，进行登录，业务请求发送到App服务器后，通过js脚本方式触发统一认证平台服务；

由用户选择认证方式，包括推送、扫码、语音和/或短信；

如用户选择的是扫码登录，由统一认证平台生成相应二维码，并显示在页面上；认证平台生成的二维码，包含业务应用信息及一次性token，具体生成算法为token＝HMAC-SHA256(appid，sessionID，timestamp)，其中appid为业务应用唯一识别码，由统一认证平台与业务应用对接时生成，sessionID为当前认证的事务ID，用于认证平台管理所有认证请求，timestamp为唯一性的时间戳，用于防止认证请求被黑客重放攻击；

用户使用移动终端设备的统一认证客户端App或集成统一认证SDK的业务App进行扫码，使用用户身份密钥验证身份，完成业务登录；用户使用App扫描二维码信息时，统一认证客户端App或业务应用App，使用用户身份密钥对登录请求进行签名，格式为：atoken＝HMAC-SHA256(Key_dev+sessionID+uuid+devinfo)；其中Key_dev为用户唯一身份密钥，在设备激活绑定时生成，sessionID为平台侧发送至终端的事务ID，uuid为用户唯一标识字符串，devinfo为当前状态下用户设备采集的指纹信息匹配结果，此结果采用前述设备指纹动态匹配算法生成。

9.如权利要求8所述的方法，其特征在于，在所述推送认证流程中，用户使用移动终端，确认认证平台推送的认证请求，完成身份认证；

用户在PC或移动终端上使用业务平台，进行登录，业务请求发送到App服务器后，通过js脚本方式触发统一认证平台服务；

由用户选择认证方式，包括推送、扫码、语音和/或短信；

如用户选择的是推送登录方式，统一认证平台向用户统一认证客户端推送相应的认证请求，推送认证请求中的参数与所述扫码认证流程中的扫码认证请求参数类型相同，生成算法也相同；

用户启动统一认证App或集成统一认证SDK的业务App，查询推送的认证请求，并在App内进行用户二次确认；确认成功后，统一认证平台同步认证状态至业务服务器；完成用户认证；用户终端对认证请求的确认方式与算法与所述扫码认证流程中的参数类型及算法相同。

10.如权利要求9所述的方法，其特征在于，在所述的语音/短信认证流程中，用户通过语音或短信验证码直接验证身份；

用户在PC或移动终端上使用业务平台，进行登录，业务请求发送到App服务器后，通过js脚本方式触发统一认证平台服务；

由用户选择认证方式，包括推送、扫码、语音和/或短信；

如用户选择的是短信/语音认证方式，统一认证平台生成相应的验证码，并通过运营商通道，使用短信/语音的形式，将验证码发送给用户；

用户在业务平台输入验证码后，完成认证；

正常用户状态下，直接短信/语音验证码登录处于禁止状态，只有用户忘记携带或遗失自己移动设备的情况下，经管理员批准，方可获取在一定有效期内，使用短信、语音验证码登录的权限。