CN108989346A - 基于账号隐匿的第三方有效身份托管敏捷认证访问模式 - Google Patents

Abstract

本发明涉及基于账号隐匿的第三方有效身份托管敏捷认证访问模式，所述的第三方有效身份托管敏捷认证访问模式包括以下步骤：步骤S1、搭建“态安全”身份认证服务平台；步骤S2、实现与接入企业的数据联通与用户注册；步骤S3、“态安全”首次托管授权验证；步骤S4、“态安全”访问控制登录验证；步骤S5、以一次性密码登录的形式取代传统的账号密码登录操作。其优点表现在：通过搭建第三方身份认证服务平台，以“态安全”APP为用户操作载体，建立统一的多因素交互身份认证接口并提供给所有公司开放使用，对接入公司进行身份认证服务并将用户认证结果以可证明的形式提供给接入公司，操作用户将会以更加便捷高效的形式进行认证登录。

Description

基于账号隐匿的第三方有效身份托管敏捷认证访问模式

技术领域

本发明涉及身份验证技术领域，具体说，是基于账号隐匿的第三方有效身份托管敏捷认证访问模式。

背景技术

随着互联网公司、高校研究所、商业化公司、电子政务、工控安全中的计算机信息系统、云计算平台、企业级系统应用、网页应用、APP移动等应用的发展，在其登录模块中的交互认证模式与访问控制模式的身份验证技术及模式去实现总体的访问控制，因此，身份验证技术及模式成为研究的热点。

为了形象理解身份验证技术及模式的内含，以下通过例子形式呈现，即自然人能够被一台计算机所认证，需要基于1.知道什么、2.具有什么、3.你是谁。这三大要素的单一或相结合的形式实现了总体的访问控制实现方法，具体分类有如下几种技术。

一、现有的身份验证技术：

1.基于账号口令的身份验证：账号口令是最传统的身份认证的技术，通过分配唯一标识性的账号给用户，用户给自己的账号设置登录口令或登录密码，每次访问时必须同时将登录账号和登录密码输入正确才可以进行正常的访问登录。

但是带来的问题也是极大的，一方面在国家信息安全等级保护的要求下，为消除弱口令/密码，登录密码的设定要求极其复杂不易于记忆且需定期更换；其次，很多商业公司在设计系统时并未规范性操作，明文存储用户的登录密码。一旦发生网络安全攻击事件，用户的账号密码可以被攻击者直接窃取利用，带来巨大的损失。目前这种方法配合摘要加密算法，如MD5、SHA-1、SHA-256、国密SM-3等，仍是主流的身份验证技术。

2.基于智能卡的身份验证：通过给用户分配一种可以被加密读取信息的RFID智能卡，录入用户的身份信息成为唯一标识，并在智能卡中嵌入部分加密措施。每次进行身份验证时，仅需将智能卡放置在读取区，通过无线射频完成加密信息的读取解密验证，如身份无误便可通过门禁或验证，如果智能卡的所有者不具有相应权限则门禁或验证依旧处于锁状态。身份验证的过程便捷快速

但是因为门禁卡体积小且使用频率不高，遗失掉落的可能性极高，而一旦智能卡遗失，无法迅速令遗失的智能卡认证信息失效，他人只需获得验证卡，同样可以通过身份验证。即无法验证此时请求身份验证的人与智能卡内存储的用户相一致。

3.基于生物特征信息的身份验证：目前使用较为广泛的生物特征信息有指纹验证、语音验证、面部识别认证、瞳孔验证、掌纹验证等方式，这种方式基于每个人独一无二的生物特征所设定，安全性较高且不易被仿制。

但同时该种方式对于硬件有着较高的要求且价格昂贵，不适合大规模推广应用。不过随着目前智能手机的普及与应用，基本智能手机都采取了指纹识别做机主的身份识别，一些高级的APP功能采取了面部识别的方法来进一步增强身份认证确认。

二、现有的身份认证模式

1.传统密码静态认证：通过存储在应用方数据库中的账号与密码，通过用户输入的账号密码进行比对匹配，完成账号与密码的双重正确匹配则通过身份验证，否则无法通过。

这种认证模式单一且脆弱，极易遭受到各种网络攻击，如账号暴力破解、DDos攻击、身份欺诈引起的社会工程学攻击等。且无法确认用户的有效真实身份，更无法甄别访问者是自然人还是软件机器人所控制自动登录引发的虚假流量与虚假访问。

2.第三方应用授权验证：利用QQ、微信、支付宝、微博等第三方应用的账号直接登录，暨利用第三方账户的有效性与合法性完成其应用的登录验证，增加了便捷性也省去了自身验证的风险性与复杂性。

第三方用户自身便存在虚假登录问题，暨可以使用软件机器人，一次性注册大量的QQ号，同时操纵这些QQ号进行其应用的登录，不但安全性无法保证，更是为应用所有者公司带去大量的虚假数据，严重影响公司的经营。

3.传统密码+验证码动态登录：通过1的传统账号密码登录操作之外，添加验证码操作，通过用户输入验证码图片上对应的文字或答案验证用户为自然人而非机器，杜绝机器软件的虚假登录流量，并防止暴力破解密码的情况发生。

4.一次性密码动态登录：银行USBKey(U盾)与短信验证码登录都是归属于一次性密码动态登录。其中短信验证码是通过第三方的短信服务商的接口生成一次性密码，并将一次性密码以短信的形式发送到用户的手机上，用户在手机上查看到短信验证码输入至验证界面中，完成验证。

这种方法安全性较高，但是依旧无法保证用户的真实身份，毕竟短信验证码在很多手机屏幕上会直接显示出来，任何手机附近的人都可以看到，通过熟人下手或短信截取依旧可以实现伪造身份登录。且该种模式也无法防止机器登录制造虚假流量。

5.基于机器学习的拖块验证：该种模式是极验公司推出的一种新型验证模式，通过用户滑动拖块，结合机器学习模型，判定登录者是人还是机器，并极大的缩短了身份验证的时间，将最传统身份认证时间13秒压缩至7到8秒。

该种模式尽可以判别用户是人还是机器，但是无法对是否为用户本人操作进行判别，且一直有新型的技术可以攻破极验的拖块验证，尽管极验一直在进行技术升级，但仍会在每次技术升级后很快出现破解技术详解和实用案例。

6.基于生物信息的登录：应用方通过调用摄像头和指纹识别设备，对注册用户的身份信息进行采集存储，并在每次登录时进行校验核对，此种方法安全性较高但仍有较大缺陷。

首先生物信息采集设备昂贵，不适合大规模普及，对于手机端的生物信息登录尽管便于推广，但是对用户造成较大困扰，经常会因为一些环境因素导致无法通过面部识别。这种认证过程特别是面部识别时间较长，在技术上也可以实现破解，如2016年发生的UberAPP网约车司机“鬼脸”事件，便是因为不法分子使用虚拟仿真技术模拟Uber APP注册用户时所进行的面部识别点头眨眼张嘴等操作而造成，随着虚拟仿真和人工智能技术的发展，该种伪造模式依旧会对单一的生物信息认证带来困扰。

7.基于第三方APP的授权：通过用户在网页端输入账号密码，点击进行验证，会在其认证专有APP上推送一条验证码，将验证码输入在验证区域，才可完成登录操作。或会在APP端再次推送一条确认登录信息，只有点击确认才可完成登录。如微信登录、网易账号管家等。

用户操作过于繁琐，因为追加安全性而让降低用户体验，此外并不能很好的解决用户对于账号密码记忆困难的问题，且未能有效解决人机交互问题。

综上所述，需要一种通过搭建第三方身份认证服务平台，以“态安全”APP为用户操作载体，建立统一的多因素交互身份认证接口并提供给所有公司开放使用，对接入公司进行身份认证服务并将用户认证结果以可证明的形式提供给接入公司的三方有效身份托管敏捷认证访问模式。而关于这种三方有效身份托管敏捷认证访问模式目前还未见报道。

发明内容

本发明的目的是针对现有技术中的不足，提供一种通过搭建第三方身份认证服务平台，以“态安全”APP为用户操作载体，建立统一的多因素交互身份认证接口并提供给所有公司开放使用，对接入公司进行身份认证服务并将用户认证结果以可证明的形式提供给接入公司的三方有效身份托管敏捷认证访问模式。

为实现上述目的，本发明采取的技术方案是：

基于账号隐匿的第三方有效身份托管敏捷认证访问模式，所述的第三方有效身份托管敏捷认证访问模式包括以下步骤：

步骤S1、搭建“态安全”身份认证服务平台；

步骤S2、实现与接入企业的数据联通与用户注册；

步骤S3、“态安全”首次托管授权验证；

步骤S4、“态安全”访问控制登录验证。

步骤S5、以一次性密码登录的形式取代传统的账号密码登录操作

作为一种优选的技术方案，步骤S1中的身份认证服务平台同时面企业端和用户端，面向企业端需满足可以对接多企业用户的需求，统一数据格式与传输形式，且每个企业的平台接入数据独立存储：同时为保证数据安全，服务平台的整体后端数据库使用加密数据库，对存入数据库中的用户注册账号、用户的硬件地址进行加密存储，并且支持密文索引和可搜索加密。

作为一种优选的技术方案，步骤S2中把“态安全”身份认证服务平台后台与企业后台相连接，并建立接入企业存储的用户与注册“态安全”认证服务平台的通识数据项。

作为一种优选的技术方案，步骤S3中具体包括以下步骤：

步骤S31、用户注册时需填入手机号码作为态安全应用的账号，APP自动获取手机的IMEI唯一标识码与手机型号与版本信息，之后还需通过手机本机自带的指纹校验功能才能完成注册成为正式的“态安全”认证平台用户；

步骤S32、用户首次进行登录的身份认证时，需先进行账户托管认证授权，“态安全”认证服务平台为用户提供所有的接入认证企业，用户根据自己的需求选择需要进行托管登录的应用，之后需输入用户该应用的账号和密码，由“态安全”认证服务的接口传输至接入企业应用的服务器后端进行验证；

步骤S33、在进行传输验证过程中，“态安全”使用隐私保护及加密技术保护用户的账号与密码信息，即“态安全”后端只是起到传递加密信息的作用，但是却不能获得用户账号与密码相关的任何信息，之后再将以上信息传递给接入企业后端解密后进行验证；

步骤S34、通过验证证明是合法的账户后由接入企业后端告知“态安全”平台后端，“态安全”平台服务器会请求APP进行指纹验证，确保拥有此应用合法账户的个人为该手机的持有者，验证了账户、手机、持有者三者的关联性后，便可依据此成为托管认证的安全性保证，完成身份验证托管。

作为一种优选的技术方案，步骤S4中具体包括以下步骤：

步骤S41.指纹验证通过后，“态安全”认证平台后端会生成一次性验证密码OTP，将此OTP发送给APP界面前端；

步骤S41.指纹验证通过后，“态安全”认证平台后端会生成一次性验证密码OTP，将此OTP发送给APP界面前端；

步骤S42.指纹验证通过后，“态安全”认证平台后端会生成一次性验证密码OTP，将此OTP发送给APP界面前端；

步骤S43.“态安全”服务器后端将一次性密码OTP首先进行扩展至与账号同等长度，与请求登录的托管账号进行异或操作生成新的一次性密码COTP，将一次性验证密码COTP+态安全账号一起传输给接入公司服务器后端，告知接入公司服务器后端当前正在请求进行登录的态安全账号及验证一次性验证密码COTP；

步骤S44.用户接收到一次性密码OTP后，将该一次性密码输入在接入公司应用的网页端或者APP端，企业服务器后端接收到用户输入的OTP后，根据扩展规则，扩展至与COTP同等长度，再将其与COTP进行异或，使企业后端解密验证得到该次请求登录的账号，并根据通识数据项确定此次进行请求的有效性；

步骤S45.企业后端再将进行登录请求的账号发送给态安全服务器后端进行解密结果校验即登录账号判断，态安全后端接收到企业后端发送来的解密账号，核验无误后向企业发送确认信息，接收到态安全的确认信息后才可成功实现账户的登录跳转。

作为一种优选的技术方案，所述的第三方有效身份托管敏捷认证访问模式还包括以下步骤S5，特殊情况处理的步骤，具体包括以下步骤：

步骤S51、隐藏核验：当用户非首次登录时，通过隐藏校验因素进行验证，当出现较大的因素改变时，均会再次向态安全账户APP推送登录确认，只有在APP端进行了确认后才可进行成功登录；

步骤S52、用户使用态安全进行首次Web/App登录；通过态安全的用户APP显示目前正在登录的网站，并提示是否为本人操作，若点击“允许”才可完成登录，并同时记录此次成功登录的用户账户登录相关的网络环境信息；

步骤S53、同一设备下切换用户：切换账号用户点击自己的态安全APP托管验证账号获取一次性密码，并将一次性密码输入在他人的设备上，在完成了一次性密码校验后，安全校验系统会发现该登录账户切换网络环境进行登录，对该账户进行手机端再次推送确认，完成确认本人身份后即可登录；

步骤S54、用户异地登录：用户异地登录属于IP变化登录，参照IP变化进行登录再次推送确认

步骤S55、用户更换手机号：对用户进行核验身份账户合并操作，并由“态安全”的人工客服会在24小时内进行APP上的人工核验；

步骤S56、用户丢失手机或用户更换手机；在一次性密码验证后再次向手机端发送一条推送请求登录确认。

本发明优点在于：

1、本发明的基于账号隐匿的第三方有效身份托管敏捷认证访问模式，通过搭建第三方身份认证服务平台，以“态安全”APP为用户操作载体，建立统一的多因素交互身份认证接口并提供给所有公司开放使用，对接入公司进行身份认证服务并将用户认证结果以可证明的形式提供给接入公司。

2、弱化账号概念，在登录时将登录账号匿名化，通过一次性密码技术保障安全，同时结合一系列系统安全技术与措施保护网络安全。将甲方(个人普通用户)、乙方(服务接入企业)、及丙方“态安全”第三方认证服务平台进行有效耦合交互连接，甲方与乙方实现有效登录信息的认证，保证甲方是一个合法用户；甲方与“态安全”第三方服务平台实现有效的身份信息认证，保证是甲方用户本人亲自在进行登录的行为操作；乙方公司与“态安全”实现交互式的信息确认操作，防止虚假流量的出现。

3、简化了登录验证流程与时间，屏蔽了网络攻击的前端接口，提升了访问控制的高安全属性。实现保证用户本人亲自操作，完全杜绝网络黑客的精准化目标账号攻击，基本杜绝网络攻击者的大范围攻击窃取行为，基本杜绝所有的网络虚假流量与虚假访问，分摊了接入认证服务公司的网络安全保障成本与压力。通过一系列的高度保密性信息确认匹配与动态信息交互验证，保证了访问者身份的安全有效，进而保证了用户构建三者的稳定三角关系。

4、极大的缩减登录验证的全套流程步骤与时间，可将用户的登录验证时间压缩至2至3秒。

5、登录账号匿名化，杜绝黑客精准化目标攻击与大范围账号窃取行为。

6、全面提升了登录模块访问控制的安全性，屏蔽前端攻击接口，极大的保护了账户系统安全。

7、确保了用户登录的真实性，可以保证是其本人操作且不可抵赖。

8、分摊企业的网络安全保障成本与压力，提供精准身份认证核验信息。

9、鉴别网络虚假流量，在虚假流量的源头直接卡死(无法通过控制软件进行大规模操作登录)。

10、极大提升了接入企业的运维水平，还原真实用户数量下企业的硬件配置需求，防止DDos攻击发生。

11、建立安全访问控制应用新模式，可以为多企业同时提供安全登录验证，更加高效节省企业资源。

附图说明

附图1是基于账号隐匿的第三方有效身份托管敏捷认证访问模式的流程示意图。

附图2是企业与第三方认证服务平台接入，第三方认证用户注册认证登录流程示意图。

附图3非隐藏式账号的多模式多因素交互身份认证登录流程示意图。

附图4是Web端隐藏式多模式身份认证接入与认证流程示意图。

附图5为APP端多模式身份认证流程示意图。

附图6是态安全为第三方身份认证服务平台的流程示意图。

具体实施方式

下面结合附图对本发明提供的具体实施方式作详细说明。

请参照图1-图6，本技术方案采用“两个最小一个最大”原则。暨最小化获取接入企业的运营数据，仅需企业账户登录系统中的账户名称，其他关于用户账号的任何数据都不会进行请求获取及存储；最小化获取用户隐私数据，仅获取用户的注册电话、邮箱与手机硬件地址进行数据对接使用，除高权限认证用户外其余用户的任何数据都不会存储；最大化的保证接入企业与企业用户的访问控制安全与运营安全。

1搭建“态安全”身份认证服务平台

通过搭建统一的“态安全”身份认证服务平台，该服务平台同时面向B端(企业端)和C端(用户端)，面向B端需满足可以对接多企业用户的需求，统一数据格式与传输形式，且每个企业的平台接入数据独立存储，暨假如有A、B两家公司同时接入认证平台，其两家用户数据会分开存储互不相交，但同时A、B公司的所有用户数据会都存储在平台的面向C端的平台用户数据库里面，以方便进行快速搜索匹配操作。

同时为保证数据安全，服务平台的整体后端数据库使用加密数据库，对存入数据库中的用户注册账号(手机号码或邮箱)、用户的硬件地址进行加密存储。并且支持密文索引和可搜索加密(SSE)。

需要说明的是：搭建第三方身份认证服务平台的具体步骤如下：

1、第三方身份认证服务平台接收Web端的身份验证请求，参数为Web端的身份信息(appId)以及用户的第三方身份认证服务平台账号信息(tsAcount)。

2、第三方身份认证服务平台根据用户的第三方身份认证服务平台账号信息(tsAcount)作一次AES 128加密得到密文(tsAcount)，将密文(tsAcount)作为遍历数据库用户表的参数查找用户APP端的身份标识(clientId)，然后根据APP端的身份标识(clientId)向目标APP端发起验证请求推送，参数为Web端的身份信息(appId)、用户的操作记录以及web端的类型。

3、APP端接收到验证请求后用户进行身份验证操作，首先进行指纹验证，指纹验证通过跳转到验证码生成方式(短信、APP、邮件、语音)选择，不同的的生成方式对应第三方身份认证服务平台的不同验证码生成发送接口。方式选定后，APP端将用户的第三方身份认证服务平台账号信息(tsAcount)、方式标识(verifyWay)以及身份验证操作的结果作为请求参数(verifyResult)向第三方身份认证平台发起验证码发送请求。

4、第三方身份认证服务平台根据APP端的参数(tsAcount、verifyWay、verifyResult)进入到相应的验证码生成程序生成验证码并发送。

5、用户收到验证码后，将验证码输入Web端，Web端将用户的第三方身份认证服务平台账号信息(tsAcount)、Web端的身份信息(appId)以及验证码(verifyCode)作为参数请求第三方身份认证服务平台的验证码验证接口。

6、第三方身份认证服务平台将接收到的参数(tsAcount、appId、verifyCode)做一次验证，并将验证结果(verifyResult)作为参数回馈给Web端

7、Web端根据第三方身份认证服务平台回馈的验证结果(verifyResult)判断此次认证是否通过。

2实现与接入企业的数据联通与用户注册

与企业签订接入协议后，便会将企业后台与“态安全”身份认证服务平台后台相连接，需建立接入企业存储的用户与注册“态安全”认证服务平台的通识数据项，一般来说通识数据项由用户“态安全”账号(手机号)与接入企业应用账号组成(如态安全账号+新浪账号便可构成一条该用户对应新浪公司的通识数据项)。通过通识数据项可以将接入企业的后台用户与注册“态安全”认证服务平台的用户进行有效准确的连接。在身份认证模块中，是基于首次三方联通认证后的托管型登录认证，结合针对通识数据项的一次性密码认证，安全高效操作方便且模式创新性极高。

这种认证模块均可以同时兼容对网页前端登录与APP登录的身份认证，操作流程上略有差异，但都是基于三方交互的不可否认性验证，并结合即时性的生物信息认证，保证接入应用的“态安全”公司访问控制的高安全属性。

需要说明的是：实现与接入企业的数据联通与用户注册的具体实施步骤如下：

1、企业应用通过向第三方身份认证服务平台申请接入得到企业应用在第三方身份认证服务平台的身份标识(appId)。

2、第三方身份认证服务平台根据企业应用的身份标识(appId)为其在相应的数据库中建表或者将企业的身份标识(appId)作为一个字段属性添加到相应的用户表中，作为认证流程中的一个链条，使得整个认证流程环环相扣。

3“态安全”首次托管授权验证

3.1.用户注册时需填入手机号码作为态安全应用的账号，APP自动获取手机的IMEI唯一标识码与手机型号与版本信息，之后还需通过手机本机自带的指纹校验功能才能完成注册成为正式的“态安全”认证平台用户，此指纹认证也成为多因素身份认证的一大重要因素。

3.2.用户首次进行登录的身份认证时，需先进行账户托管认证授权。暨“态安全”认证服务平台为用户提供所有的接入认证企业，用户根据自己的需求选择需要进行托管登录的应用，之后需输入自己该应用的账号和密码，由“态安全”认证服务的接口传输至接入企业应用的服务器后端进行验证。

3.3.在进行传输验证过程中，“态安全”APP前端用户输入完账号与密码后会对密码进行代理重加密与SHA-256哈希计算，然后将账号与密码的加密密文和哈希值再次进行传输加密后传输给后端，后端再将以上信息传递给接入企业后端进行解密验证。

3.4.通过验证证明是合法的账户后由接入企业后端告知“态安全”平台后端，“态安全”平台服务器会请求APP进行指纹验证，确保拥有此应用合法账户的个人为该手机的持有者。验证了账户、手机、持有者三者的关联性后，便可依据此成为托管认证的安全性保证，完成身份验证托管。

4“态安全”访问控制登录验证

4.1.在首次托管认证后的所有登录环节中，用户进入“态安全”认证服务平台APP选择自己需要进行登录的网页或者APP应用，点击具体名称(如“新浪账号17892012@qq.com”或“华住酒店集团18291001234”等)，APP会要求进行指纹验证，确保当前操作者为账号持有者本人。

4.2.指纹验证通过后，“态安全”认证平台后端会生成一次性验证密码OTP，将此OTP发送给APP界面前端。OTP采取6位的英文字母加数字(英文字母区分大小写)，且该一次性密码的有效时间为60s(从接入公司服务器后端接收到OTP的哈希值开始算起)。

4.3.“态安全”服务器后端将一次性密码OTP首先进行扩展至与账号同等长度，与请求登录的托管账号进行异或操作生成新的一次性密码COTP(如OPT＝8CGe1m，托管新浪账号＝17892012@qq.com，生成COTP＝o7xLwwN1d33)，将COTP+态安全账号一起传输给接入公司服务器后端，告知接入公司服务器后端当前正在请求进行登录的态安全账号及验证COTP。

4.4.用户接收到一次性密码OTP后，将该一次性密码输入在接入公司应用的网页端或者APP端，企业服务器后端接收到用户输入的OTP后，根据扩展规则，扩展至与COTP同等长度，再将其与COTP进行异或，使企业后端解密验证得到该次请求登录的账号，并根据通识数据项确定此次进行请求的有效性。

4.5.企业后端再将进行登录请求的账号发送给态安全服务器后端进行解密结果校验即登录账号判断，态安全后端接收到企业后端发送来的解密账号，核验无误后向企业发送确认信息，接收到态安全的确认信息后才可成功实现账户的登录跳转。

用户在今后所有的登录中，将不会再以账号密码登录作为主要的登录模式。传统的账号密码登录将会以更加快捷简便的一次性密码输入(兼容加密二维码扫描登录)为主。在用户界面端将不会出现账号入口，仅有一次性密码输入入口。简化了登录规则，减去了短信验证码获取输入、极验拖块、图形验证码输入、图片人机校验等模块。节省开发运维成本。

5方案中几种特殊情况处理

5.1隐藏核验

用户在第三方应用的Web端和App端尽管只进行输入一次性密码的操作，但是在输入完一次性密码点击验证时，会将用户的相关网络环境信息进行收集并传送至后端，作为用户特征行为的参考因素存入数据库中，作为非首次登录的重要因素。

Web端会获取以下数据至后端：源IP、MAC地址、浏览器类型、浏览器版本(见表一)；

App端会获取以下数据至后端：IMEI码、SIM卡信息、手机型号、系统版本(见表一)。

表1-网络环境因素变化推送确认表

后续所有的非首次登录时，除去校验一次性密码外，以上收集的数据都会作为隐藏校验因素，当出现较大的因素改变时，如IP变化、MAC变化、浏览器变化、IMEI码变化、手机型号变化时，均会再次向态安全账户APP推送登录确认，只有在APP端进行了确认后才可进行成功登录。

5.2用户使用态安全进行首次Web/App登录

在用户完成态安全APP上的账户身份验证托管操作后，首次进行Web端或App端的登录操作，除方案正常的流程外，会在完成校验一次性密码后向对应态安全账号手机推送一条确认通知。即会在态安全的用户APP显示目前正在登录的网站，并提示是否为本人操作，若点击“允许”才可完成登录。

并同时记录此次成功登录的的用户账户登录相关的网络环境信息，以作为之后登录隐藏核验的重要依旧与证明。同一账户会拥有多条网络环境的隐藏核验信息。

5.3同一设备下切换用户

在同设备下切换其他用户的登录验证操作与首次登录验证的操作步骤类似。即切换账号用户点击自己的态安全APP托管验证账号获取一次性密码，并将一次性密码输入在他人的设备上。在完成了一次性密码校验后，安全校验系统会发现该登录账户切换网络环境进行登录，对该账户进行手机端再次推送确认，完成确认本人身份后即可登录。

5.4用户异地登录

用户异地登录属于IP变化登录，参照IP变化进行登录再次推送确认即可。

5.5用户更换手机号

用户更换手机号后，原有的手机号无法接收验证码，但用户依旧要进行托管登录操作，因此需要对用户进行核验身份账户合并操作。在使用新手机号码注册新态安全账号身份后，点击“申请进行账户合并”，会随机出现一些原手机号账户的相关问题，进行填写后确认无误。会由“态安全”的人工客服会在24小时内进行APP上的人工核验，核验方式不限于询问问题、人脸识别验证等。确认无误后便将二者账户进行合并，并注销原手机号态安全账户极其相关所有信息(留验信息除外)。

当然用户也可以选择在“态安全”APP中进行账户注销，并在新手机号下进行态安全账户申请注册并添加第三方应用托管账号(有时仍需进行人工再次核验)。

5.6用户丢失手机

用户丢失手机需重新购买手机，复制手机卡。在态安全后台等同于进行更换手机的认证操作，即在一次性密码验证后再次向手机端发送一条推送请求登录确认。

5.7用户更换手机

更换手机后的登录认证操作步骤同上。

本发明的基于账号隐匿的第三方有效身份托管敏捷认证访问模式，通过搭建第三方身份认证服务平台，以“态安全”APP为用户操作载体，建立统一的多因素交互身份认证接口并提供给所有公司开放使用，对接入公司进行身份认证服务并将用户认证结果以可证明的形式提供给接入公司。

弱化账号概念，在登录时将登录账号匿名化，通过一次性密码技术保障安全，同时结合一系列系统安全技术与措施保护网络安全。将甲方(个人普通用户)、乙方(服务接入企业)、及丙方“态安全”第三方认证服务平台进行有效耦合交互连接，甲方与乙方实现有效登录信息的认证，保证甲方是一个合法用户；甲方与“态安全”第三方服务平台实现有效的身份信息认证，保证是甲方用户本人亲自在进行登录的行为操作；乙方公司与“态安全”实现交互式的信息确认操作，防止虚假流量的出现。

简化了登录验证流程与时间，屏蔽了网络攻击的前端接口，提升了访问控制的高安全属性。实现保证用户本人亲自操作，完全杜绝网络黑客的精准化目标账号攻击，基本杜绝网络攻击者的大范围攻击窃取行为，基本杜绝所有的网络虚假流量与虚假访问，分摊了接入认证服务公司的网络安全保障成本与压力。通过一系列的高度保密性信息确认匹配与动态信息交互验证，保证了访问者身份的安全有效，进而保证了用户构建三者的稳定三角关系。

本发明一旦投入应用，可以实现以下技术效果：

1.极大的缩减登录验证的全套流程步骤与时间，可将用户的登录验证时间压缩至2至3秒；

2.登录账号匿名化，杜绝黑客精准化目标攻击与大范围账号窃取行为；

3.全面提升了登录模块访问控制的安全性，屏蔽前端攻击接口，极大的保护了账户系统安全；

4.确保了用户登录的真实性，可以保证是其本人操作且不可抵赖；

5.分摊企业的网络安全保障成本与压力，提供精准身份认证核验信息；

6.鉴别网络虚假流量，在虚假流量的源头直接卡死(无法通过控制软件进行大规模操作登录)；

7.极大提升了接入企业的运维水平，还原真实用户数量下企业的硬件配置需求，防止DDos攻击发生；

8.建立安全访问控制应用新模式，可以为多企业同时提供安全登录验证，更加高效节省企业资源。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员，在不脱离本发明方法的前提下，还可以做出若干改进和补充，这些改进和补充也应视为本发明的保护范围。

Claims (6)

1.基于账号隐匿的第三方有效身份托管敏捷认证访问模式，其特征在于，所述的第三方有效身份托管敏捷认证访问模式包括以下步骤：

步骤S1、搭建“态安全”身份认证服务平台；

步骤S2、实现与接入企业的数据联通与用户注册；

步骤S3、“态安全”首次托管授权验证；

步骤S4、“态安全”访问控制登录验证；

步骤S5、以一次性密码登录的形式取代传统的账号密码登录操作。

2.根据权利要求1所述的第三方有效身份托管敏捷认证访问模式，其特征在于，步骤S1中的身份认证服务平台同时面企业端和用户端，面向企业端需满足可以对接多企业用户的需求，统一数据格式与传输形式，且每个企业的平台接入数据独立存储：同时为保证数据安全，服务平台的整体后端数据库使用加密数据库，对存入数据库中的用户注册账号、用户的硬件地址进行加密存储，并且支持密文索引和可搜索加密。

3.根据权利要求1所述的第三方有效身份托管敏捷认证访问模式，其特征在于，步骤S2中把“态安全”身份认证服务平台后台与企业后台相连接，并建立接入企业存储的用户与注册“态安全”认证服务平台的通识数据项。

4.根据权利要求1所述的第三方有效身份托管敏捷认证访问模式，其特征在于，步骤S3中具体包括以下步骤：

步骤S31、用户注册时需填入手机号码作为态安全应用的账号，APP自动获取手机的IMEI唯一标识码与手机型号与版本信息，之后还需通过手机本机自带的指纹校验功能才能完成注册成为正式的“态安全”认证平台用户；

步骤S32、用户首次进行登录的身份认证时，需先进行账户托管认证授权，“态安全”认证服务平台为用户提供所有的接入认证企业，用户根据自己的需求选择需要进行托管登录的应用，之后需输入用户该应用的账号和密码，由“态安全”认证服务的接口传输至接入企业应用的服务器后端进行验证；

步骤S33、在进行传输验证过程中，“态安全”使用隐私保护及加密技术保护用户的账号与密码信息，即“态安全”后端只是起到传递加密信息的作用，但是却不能获得用户账号与密码相关的任何信息，之后再将以上信息传递给接入企业后端解密后进行验证；

步骤S34、通过验证证明是合法的账户后由接入企业后端告知“态安全”平台后端，“态安全”平台服务器会请求APP进行指纹验证，确保拥有此应用合法账户的个人为该手机的持有者，验证了账户、手机、持有者三者的关联性后，便可依据此成为托管认证的安全性保证，完成身份验证托管。

5.根据权利要求1所述的第三方有效身份托管敏捷认证访问模式，其特征在于，步骤S4中具体包括以下步骤：

步骤S41.指纹验证通过后，“态安全”认证平台后端会生成一次性验证密码OTP，将此OTP发送给APP界面前端；

步骤S41.指纹验证通过后，“态安全”认证平台后端会生成一次性验证密码OTP，将此OTP发送给APP界面前端；

步骤S42.指纹验证通过后，“态安全”认证平台后端会生成一次性验证密码OTP，将此OTP发送给APP界面前端；

步骤S43.“态安全”服务器后端将一次性密码OTP首先进行扩展至与账号同等长度，与请求登录的托管账号进行异或操作生成新的一次性密码COTP，将一次性验证密码COTP+态安全账号一起传输给接入公司服务器后端，告知接入公司服务器后端当前正在请求进行登录的态安全账号及验证一次性验证密码COTP；

步骤S44.用户接收到一次性密码OTP后，将该一次性密码输入在接入公司应用的网页端或者APP端，企业服务器后端接收到用户输入的OTP后，根据扩展规则，扩展至与COTP同等长度，再将其与COTP进行异或，使企业后端解密验证得到该次请求登录的账号，并根据通识数据项确定此次进行请求的有效性；

步骤S45.企业后端再将进行登录请求的账号发送给态安全服务器后端进行解密结果校验即登录账号判断，态安全后端接收到企业后端发送来的解密账号，核验无误后向企业发送确认信息，接收到态安全的确认信息后才可成功实现账户的登录跳转。

6.根据权利要求1所述的第三方有效身份托管敏捷认证访问模式，其特征在于，所述的第三方有效身份托管敏捷认证访问模式还包括以下步骤S5，特殊情况处理的步骤，具体包括以下步骤：

步骤S51、隐藏核验：当用户非首次登录时，通过隐藏校验因素进行验证，当出现较大的因素改变时，均会再次向态安全账户APP推送登录确认，只有在APP端进行了确认后才可进行成功登录；

步骤S52、用户使用态安全进行首次Web/App登录；通过态安全的用户APP显示目前正在登录的网站，并提示是否为本人操作，若点击“允许”才可完成登录，并同时记录此次成功登录的用户账户登录相关的网络环境信息；

步骤S53、同一设备下切换用户：切换账号用户点击自己的态安全APP托管验证账号获取一次性密码，并将一次性密码输入在他人的设备上，在完成了一次性密码校验后，安全校验系统会发现该登录账户切换网络环境进行登录，对该账户进行手机端再次推送确认，完成确认本人身份后即可登录；

步骤S54、用户异地登录：用户异地登录属于IP变化登录，参照IP变化进行登录再次推送确认

步骤S55、用户更换手机号：对用户进行核验身份账户合并操作，并由“态安全”的人工客服会在24小时内进行APP上的人工核验；

步骤S56、用户丢失手机或用户更换手机；在一次性密码验证后再次向手机端发送一条推送请求登录确认。