CN109309572A - 基于移动终端数字证书的统一身份认证方法 - Google Patents

Abstract

本发明公开了基于移动终端数字证书的统一身份认证方法，它属于移动应用信息安全领域。具体的认证方法为：移动终端用户在线实名注册，移动终端用户设置注册用户名和密码，移动终端用户输入注册手机号和短信验证码，移动终端用户判断人脸比对实名认证，移动终端用户根据注册的用户信息申请数字证书；移动终端用户设置数字证书保护密码；移动终端用户下载数字证书；业务客户端发起身份认证请求；当业务系统需要身份认证时，用户通过移动终端的扫描二维码功能扫一扫，便能实现身份认证；且一张数字证书可以用于多个单位的业务系统或相同单位的多个业务系统，实现一证通用的统一认证，提高身份认证的安全性、并降低资源重复浪费。

Description

基于移动终端数字证书的统一身份认证方法

技术领域：

本发明涉及基于移动终端数字证书的统一身份认证方法，属于移动应用信息安全领域。

背景技术：

目前，很多单位(或组织)为了缓解线下工作人员的压力，逐渐将业务搬到了线上，搭建了在线业务系统，通过身份认证对来访人员资源访问权限进行控制，认证方式大多采用“用户名”+“口令”进行系统登录，口令容易被盗，存在一定风险和安全隐患。同时，每个单位(或组织)的业务系统都有各自的“用户名”+“口令”，缺乏多系统、多账户之间的统一的用户身份认证功能，导致资源重复浪费。

发明内容：

针对上述问题，本发明要解决的技术问题是提供基于移动终端数字证书的统一身份认证方法，以解决现有技术存在的安全性和经济性问题。

本发明的基于移动终端数字证书的统一身份认证方法包括以下步骤：

步骤101，移动终端用户在线实名注册；

步骤102，移动终端用户设置注册用户名和密码；

步骤103，移动终端用户判断注册用户名是否已注册，如果存在到步骤102，如果不存在到步骤104；

步骤104，移动终端用户输入注册手机号和短信验证码；

步骤105，移动终端用户判断手机验证码是否正确，如果正确到步骤106，如果不正确到步骤104；

步骤106，移动终端用户自动采集移动终端MAC地址和IMEI硬件信息，并将此信息和步骤109-步骤111中的数字证书绑定，此数字证书只能在该移动终端上使用；移动终端用户通过摄像头扫描采集证件照正反面和现场照片，进行人脸比对实名认证；

步骤107，移动终端用户判断人脸比对实名认证，如果实名认证通过到步骤109，如果失败到步骤106，重新采集证件照正反面和现场照片，进行人脸比对实名认证，或者到步骤108进行人工审核，人工审核通过后到步骤109；

步骤109，移动终端用户根据注册的用户信息申请数字证书；

步骤110，移动终端用户设置数字证书保护密码；

步骤111，移动终端用户下载数字证书；

步骤201，业务客户端发起身份认证请求；

步骤202，业务服务器将本次请求标识数据生成二维码，并在业务客户端显示二维码，其中请求标识数据至少含用于唯一标识本次请求的事务ID和用于进行电子签名的时间戳；

步骤203，移动终端用户扫描并解析二维码，获取本次请求标识数据；

步骤204，判断移动终端用户是否已注册，如果已注册到步骤206，如果未注册到步骤205，执行步骤101-步骤111，执行完之后到步骤206；

步骤206，判断移动终端用户是否已实名认证，如果已实名认证到步骤208，如果未实名认证到步骤207，执行步骤106-步骤111，执行之后到步骤208；

步骤208，判断移动终端用户是否已下载数字证书，如果已下载到步骤210，如果未下载到步骤209，执行步骤109-步骤111，执行之后到步骤210；

步骤210，验证移动终端用户数字证书保护密码；

步骤211，移动终端用户使用数字证书对本次请求标识数据中的时间戳进行电子签名，并将生成的统一电子签名和事务ID发送至业务服务器；

步骤212，业务服务器收到事务ID和统一电子签名，先判断事务ID是否有效，如果有效将统一电子签名和时间戳发送至统一认证服务器，否则给手机终端用户返回事务ID非法、无效；

步骤213，统一认证服务器收到统一电子签名和时间戳，对其进行数字证书电子签名验签，如果验签成功，将数字证书序列号返回给业务服务器，否则返回验签失败给业务服务器；

步骤214，业务服务器收到的如果是验签失败，根据事务ID向对应业务客户端做出认证失败处理或超时处理，到步骤201重试，业务系统收到的如果是证书序列号，根据数字证书序列号在业务系统检索相应用户，再根据事务ID在对应业务客户端将此用户状态置为认证通过。

本发明的有益效果：当业务系统需要身份认证时，用户通过移动终端的扫描二维码功能扫一扫，便能实现身份认证；且一张数字证书可以用于多个单位(或组织)的业务系统或相同单位(或组织)的多个业务系统，实现一证通用的统一认证，提高身份认证的安全性、并降低资源重复浪费。

附图说明

图1为本发明中移动终端用户在线实名注册过程结构示意图；

图2为本发明中业务客户端发起身份认证请求过程的结构示意图。

具体实施方式：

本具体实施方式采用以下技术方案和实施例对发明进行进一步的详细说明。

参照图1-图2，本具体实施方式中基于移动终端数字证书的统一身份认证方法包括以下步骤：步骤101，移动终端用户在线实名注册；

步骤102，移动终端用户设置注册用户名和密码；

步骤103，移动终端用户判断注册用户名是否已注册，如果存在到步骤102，如果不存在到步骤104；

步骤104，移动终端用户输入注册手机号和短信验证码；

步骤105，移动终端用户判断手机验证码是否正确，如果正确到步骤106，如果不正确到步骤104；

步骤106，移动终端用户自动采集移动终端MAC地址和IMEI硬件信息，并将此信息和步骤109-步骤111中的数字证书绑定，此数字证书只能在该移动终端上使用；移动终端用户通过摄像头扫描采集证件照正反面和现场照片，进行人脸比对实名认证；

步骤107，移动终端用户判断人脸比对实名认证，如果实名认证通过到步骤109，如果失败到步骤106，重新采集证件照正反面和现场照片，进行人脸比对实名认证，或者到步骤108进行人工审核，人工审核通过后到步骤109；

步骤109，移动终端用户根据注册的用户信息申请数字证书；

步骤110，移动终端用户设置数字证书保护密码；

步骤111，移动终端用户下载数字证书；

步骤201，业务客户端发起身份认证请求；

步骤202，业务服务器将本次请求标识数据生成二维码，并在业务客户端显示二维码，其中请求标识数据至少含用于唯一标识本次请求的事务ID和用于进行电子签名的时间戳；

步骤203，移动终端用户扫描并解析二维码，获取本次请求标识数据；

步骤204，判断移动终端用户是否已注册，如果已注册到步骤206，如果未注册到步骤205，执行步骤101-步骤111，执行完之后到步骤206；

步骤206，判断移动终端用户是否已实名认证，如果已实名认证到步骤208，如果未实名认证到步骤207，执行步骤106-步骤111，执行之后到步骤208；

步骤208，判断移动终端用户是否已下载数字证书，如果已下载到步骤210，如果未下载到步骤209，执行步骤109-步骤111，执行之后到步骤210；

步骤210，验证移动终端用户数字证书保护密码；

步骤211，移动终端用户使用数字证书对本次请求标识数据中的时间戳进行电子签名，并将生成的统一电子签名和事务ID发送至业务服务器；

步骤212，业务服务器收到事务ID和统一电子签名，先判断事务ID是否有效，如果有效将统一电子签名和时间戳发送至统一认证服务器，否则给手机终端用户返回事务ID非法、无效；

步骤213，统一认证服务器收到统一电子签名和时间戳，对其进行数字证书电子签名验签，如果验签成功，将数字证书序列号返回给业务服务器，否则返回验签失败给业务服务器；

步骤214，业务服务器收到的如果是验签失败，根据事务ID向对应业务客户端做出认证失败处理或超时处理，到步骤201重试，业务系统收到的如果是证书序列号，根据数字证书序列号在业务系统检索相应用户，再根据事务ID在对应业务客户端将此用户状态置为认证通过。

以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。

Claims (1)

1.基于移动终端数字证书的统一身份认证方法，其特征在于：所述的认证方法包含以下步骤：

步骤101，移动终端用户在线实名注册；

步骤102，移动终端用户设置注册用户名和密码；

步骤103，移动终端用户判断注册用户名是否已注册，如果存在到步骤102，如果不存在到步骤104；

步骤104，移动终端用户输入注册手机号和短信验证码；

步骤105，移动终端用户判断手机验证码是否正确，如果正确到步骤106，如果不正确到步骤104；

步骤106，移动终端用户自动采集移动终端MAC地址和IMEI硬件信息，并将此信息和步骤109-步骤111中的数字证书绑定，此数字证书只能在该移动终端上使用；移动终端用户通过摄像头扫描采集证件照正反面和现场照片，进行人脸比对实名认证；

步骤107，移动终端用户判断人脸比对实名认证，如果实名认证通过到步骤109，如果失败到步骤106，重新采集证件照正反面和现场照片，进行人脸比对实名认证，或者到步骤108进行人工审核，人工审核通过后到步骤109；

步骤109，移动终端用户根据注册的用户信息申请数字证书；

步骤110，移动终端用户设置数字证书保护密码；

步骤111，移动终端用户下载数字证书；

步骤201，业务客户端发起身份认证请求；

步骤202，业务服务器将本次请求标识数据生成二维码，并在业务客户端显示二维码，其中请求标识数据至少含用于唯一标识本次请求的事务ID和用于进行电子签名的时间戳；

步骤203，移动终端用户扫描并解析二维码，获取本次请求标识数据；

步骤204，判断移动终端用户是否已注册，如果已注册到步骤206，如果未注册到步骤205，执行步骤101-步骤111，执行完之后到步骤206；

步骤206，判断移动终端用户是否已实名认证，如果已实名认证到步骤208，如果未实名认证到步骤207，执行步骤106-步骤111，执行之后到步骤208；

步骤208，判断移动终端用户是否已下载数字证书，如果已下载到步骤210，如果未下载到步骤209，执行步骤109-步骤111，执行之后到步骤210；

步骤210，验证移动终端用户数字证书保护密码；

步骤211，移动终端用户使用数字证书对本次请求标识数据中的时间戳进行电子签名，并将生成的统一电子签名和事务ID发送至业务服务器；

步骤212，业务服务器收到事务ID和统一电子签名，先判断事务ID是否有效，如果有效将统一电子签名和时间戳发送至统一认证服务器，否则给手机终端用户返回事务ID非法、无效；

步骤213，统一认证服务器收到统一电子签名和时间戳，对其进行数字证书电子签名验签，如果验签成功，将数字证书序列号返回给业务服务器，否则返回验签失败给业务服务器；

步骤214，业务服务器收到的如果是验签失败，根据事务ID向对应业务客户端做出认证失败处理或超时处理，到步骤201重试，业务系统收到的如果是证书序列号，根据数字证书序列号在业务系统检索相应用户，再根据事务ID在对应业务客户端将此用户状态置为认证通过。