CN103780397A - 一种多屏多因子便捷web身份认证方法 - Google Patents

Abstract

一种多屏多因子便捷WEB身份认证方法，用户在使用该***进行用户登录认证时，在保证用户使用便捷的条件下，将能够为用户提供多屏多因素的认证方法。用户在移动智能终端设备进行第一因素本地的验证后，再利用移动智能终端设备生成的OTP提交到认证服务器WS进行第二因素的验证。本发明在不改变原有***的业务逻辑的前提下，增加了多因子的身份认证，提高***的安全性及用户体验性，用基于移动智能终端设备预装客户端和智能终端浏览器插件完成多屏互动任务和OTP与账号密码的多因子隐式增强认证技术，保证用户登录的安全，同时也简化增强认证时用户手动过程，因此用户体验效果好、安全性高。

Description

一种多屏多因子便捷WEB身份认证方法

技术领域

本发明属于信息安全领域的身份认证方法，具体涉及到一种多屏多因子便捷WEB身份认证方法。

背景技术

OTP（One-time Password）是一种安全便捷的账号防盗技术，可以有效保护交易和登录的认证安全，采用动态口令就无需定期更换密码，安全省心。OTP采用专用算法每隔一段时间生成一个不可预测的随机数字组合，且该随机数组合作为口令只能使用一次，所以能很好的防范重放攻击和字典彩虹表攻击，同时使用OTP动态口令无需定期更换密码，安全省心、技术难度小、成本低，还可减小应用***的认证负担。

采用的验证用户指纹、虹膜等生物信息的传统认证方式中，数据的泄露会带来不可预估的后果，用户的生物信息无法更改，泄露的数据长期有效；采用验证用户安全设备的传统认证方式中，这种方法带来的问题是携带困难与受限于使用条件（如没电、没有网络信号）；采用预设安全问题的认证方式中，数据的泄露会造成用户隐私信息的公开。

在传统的身份认证过程中，用户在同一个设备上输入一个或多个认证信息，如果该设备在用户输入前被病毒感染或者有后门程序，可能会带来用户信息的泄露。在服务器上的数据认证过程中，如果服务器遭到攻破，用户注册信息会带来被复制或者删除的风险。因此传统单一屏单一因素身份认证所面临的增强身份认证安全性的技术挑战。

发明内容

本发明技术解决问题：克服现有技术的不足，提供一种多屏多因子便捷WEB身份认证方式，具有安全性高、用户体验效果好、使用方便快捷等优点。

本发明的技术方案为：一种多屏多因子便捷WEB身份认证方法，其特征在于实现步骤如下：

（1）在移动智能终端设备（如智能手机、pad等）上安装客户端，在智能终端（如智能电视、电脑等）浏览器上安装浏览器插件；移动智能终端设备需具备无线网络连接功能和拍照功能，智能终端具备无线网络连接功能；

（2）用户在移动智能终端设备上首次启动客户端时，借助客户端在设备仓库服务器VS上完成设备注册，通过客户端预置的设备仓库服务器VS证书，建立SSL安全信道，将注册信息保存于设备仓库服务器VS上，所述注册信息包括移动智能终端的设备识别号，注册时间，注册IP地址，客户端版本信息；

（3）移动智能终端设备注册成功后，用户参与本地用户账号注册，通过移动智能终端设备上的客户端将用户账号、密码存储在本地，然后通过预置的设备仓库服务器VS证书，向设备仓库服务器VS发起用户注册，注册信息为移动智能终端设备的设备识别号，加密过的本地用户账号，用户证书签发请求（PKCS#10）、注册时间和注册IP地址信息；

（4）用户账号注册成功后，移动智能终端设备通过预置的设备仓库服务器VS证书建立的SSL安全信道，然后接收设备仓库服务器VS签发用户证书和设备仓库服务器生成OTP的共享密钥，将接受信息同本地用户账号、密码在移动智能终端设备上安全存储，并与设备仓库服务器VS完成基于UTC同步偏移窗口的时间同步；

（5）完成设备注册和本地用户账号注册后，用户通过开启客户端，验证用户名和密码通过后，读取安全存储区的共享密钥，根据***UTC时间，生成OTP；

（6）用户在智能终端开启浏览器作身份认证时，需启动浏览器插件的无线网络连接功能，此时浏览器插件读取智能终端的IP地址与空闲端口号，通过随机数生成无线局域网络的随机服务设置标识（Service Set Identifier，SSID）和密码，并启动无线局域网络功能且等待外部连接，同时将连接信息SSID、密码、IP地址、端口号放入QR码（即二维码）中，屏幕显示QR码；

（7）用户使用移动智能终端设备的客户端扫描上述QR码，利用QR码内的信息与浏览器插件建立无线网络连接，并通过预置的浏览器插件证书建立安全Socket连接，传输用户证书序列号和OTP；

（8）智能终端浏览器插件接收到数据后，通过与认证服务器WS建立的SSL安全信道完成数据传送，认证服务器WS对智能终端浏览器传送过来的用户证书序列号和OTP进行验证，验证用户身份通过后，允许用户进入相应业务，否则，拒绝用户服务。

所述步骤（1）中，无线网络连接模块功能是指具有Wi-Fi模块，相似的具有蓝牙、NFC功能也能够作为替代。

所述步骤（4）中，安全存储是在公用存储空间开辟一小块虚拟加密的存储块，然后使用证书序号转化的多重混淆密钥加密存储数据，保证移动智能终端设备的证书库和OTP的共享密钥、用户名、密码的安全。

所述步骤（8）中，认证服务器WS对智能终端浏览器传送过来的用户证书序列号和OTP进行验证过程为：认证服务器WS通过该用户的证书序列号与传送过来用户证书序列号进行比对验证，若验证不通过，则终止该身份认证；若验证通过，则认证服务器WS将该用户的用户标识、共享秘钥SK、***UTC时间安全传送给设备仓库缓存VC，作为哈希运算消息认证码HMAC（Hash-based Message Authentication Code，简称HMAC）算法的计算参数，产生一个OTP，结合该用户的同步偏移量值，对OTP进行验证。

所步骤（4）中，设备仓库服务器VS与设备仓库服务器VS完成基于UTC同步偏移窗口的时间同步的方法为：设备仓库服务器VS预定义N个同步偏移量窗口，即-N，…，-3，-2，-1，0，1，2，3，…，N，其中N为自然数，然后使用同步偏移窗口内的偏移值的和，共享密钥SK和设备仓库服务器的UTC时间生成OTP，然后将接收到的OTP与生成的OTP依次比较，找到与接收到的OTP相等的OTP，则该OTP对应的偏移值即为接收到的OTP对应的偏移值，利用该偏移值完成同步。

所述步骤（7）中生成所述OTP的方法为：将共享密钥SK、用户标识和UTC时间作为HMAC算法的计算参数，生成信息摘要；然后从生成的信息摘要中随机摘取设定位数的比特信息，生成OTP。

所述步骤（4）中，移动智能终端设备完成用户注册时，在本地会生成一个公私钥对并收集本地信息，产生证书签发请求PKCS#10，通过安全信道传输给设备仓库服务器VS；VS验证通过后用自身私钥签发生成VS签名证书，将VS签发证书通过安全信道传输给移动智能终端设备进行安全存储。

所述步骤（8）中，若认证服务器验证用户身份通过，则所述认证服务器WS将一有时间期限的认证凭证保存在智能终端浏览器端，以便该用户下次直接登录。

下面简要介绍本方案的基本思想，本发明在吸取已有解决方案的优点的基础之上，提出了自己的设计思想，具体来说，本发明技术方案包括下列几个方面：

方面一，设备仓库服务器VS接收移动智能终端设备的注册信息（包括移动智能终端设备的客户端初始化注册和本地用户注册），将用户注册信息同步存储于设备仓库验证缓存（VC），VC与认证服务器WS物理相近，保证了WS访问VC的安全性和高效性。设备仓库服务器VS定期同步VC存储信息，保证信息的一致性。WS与VC的物理隔离，保证用户登录信息的物理分离，在便捷性的基础上保证数据的安全性。

方面二，用户通过自身携带的移动智能终端设备作为用户身份标识与OTP生成载体，并与认证服务器WS建立安全信道，完成用户与已预装客户端的移动智能终端设备的绑定注册。用户与移动智能终端设备绑定注册时，在客户端本地生成公私钥对，同时通过安全信道将用户注册信息（移动智能终端设备的设备识别号、随机数加密过的本地用户账号、IP地址、时间等）、OTP生成载体的无线通信标识（如蓝牙的MAC地址、Wi-Fi的SSID和Password）和PKCS#10证书签发请求发送到设备仓库服务器VS；设备仓库服务器VS将合法用户移动智能终端设备标识与用户标识进行绑定，协商产生一随机共享密钥（SK），并签发用户公钥证书并保存，完成用户和设备映射绑定。该过程的实施将为基于OTP的多因子身份认证的实现奠定坚实的基础，实现设备间多屏互动及人机的融合，将移动智能终端设备智能作为用户的标识，给便捷认证提供了方便。

方面三，借助用户的移动智能终端设备（如智能手机、Pad等）预装的客户端扫描智能终端浏览器插件生成的QR码，获得连接智能终端的无线连接参数（Wi-Fi的SSID、蓝牙的MAC地址、密码及IP和端口号），完成多屏互动信息隐式传送，同时采用HMAC算法，将用户证书序列号、***UTC时间（即协调世界时，又称世界统一时间，被应用于许多互联网和万维网的标准中）、OTP共享秘钥作为计算参数，每30秒计算一次OTP。该过程的实现是基于OTP的及用户信息的多因子的身份认证，降低了用户账号及***的风险。

方面四，在多因子身份认证中，用户通过在移动智能终端设备输入的用户名和密码完成用户身份第一因素认证，再通过第一因素用户身份验证后，利用移动智能终端设备生成OTP和存储的用户证书来向认证服务器WS请求，完成用户第二因素身份验证。多因子的身份验证好处在于某一项的信息泄露后不会立刻对账户安全造成威胁，同时，两级的身份认证并没有给用户带来比单因子更复杂的用户使用体验，而且还大大的提高了安全等级。

方面五，用户在移动智能终端设备客户端上完成用户注册后，接受来自设备仓库服务器VS发放给用户的身份识别信息（用户证书），证书可唯一的标识使用移动智能终端设备的用户，设备仓库服务器VS就可以通过不同用户的证书来区分不同的使用移动智能终端设备的不同用户。后续的与设备仓库服务器VS的通信都采用用户证书建立SSL安全信道进行通信保护，以防止某一个安全终端的预置VS证书泄露后，所有的移动智能终端设备都会失去保护。

方面六，设备仓库服务器VS可利用用户证书识别不同的移动智能终端设备，通过黑名单或者证书撤销列表的处理方式，以拒绝非法移动智能终端设备的访问请求。主控方由移动智能终端设备转变为设备仓库服务器VS，因为预置VS服务器证书的不唯一性（即VS不能通过预置的VS证书标识区别移动智能终端设备），从而也就无法拒绝非法请求。主控方在设备仓库服务器VS好处是，防止移动智能终端设备在挂失后非法用户继续使用认证过的移动智能终端设备进行合法访问。

方面七，移动智能终端设备与智能终端的多屏互动中，无线连接的信息被智能终端的浏览器插件封装在QR码中，使用移动智能终端设备的QR码扫描器，将无线连接信息传递到客户端，完成连接后，通过预置的SSL通信证书将OTP及用户证书序列号隐式安全地传输到智能终端的浏览器插件。该过程没有给用户带来额外的操作，并且实现数据的物理隔离，从安全性上和用户体验上，为身份认证方式带来了新的上升空间。

本发明与现有技术相比，具有以下优点：本发明在不改变原有***的业务逻辑的前提下，增加了多因子的身份认证，提高***的安全性及用户体验性，用基于移动智能终端设备预装客户端和智能终端浏览器插件完成多屏互动任务和OTP与账号密码的多因子隐式增强认证技术，保证用户登录的安全，同时也简化增强认证时用户手动过程，因此用户体验效果好、安全性高。

附图说明

图1本发明的整体实施示意图；

图2基于一次性密码OTP认证的多屏间设备注册的流程图；

图3基于账号管理及绑定的核心用户账号注册的流程图；

图4用户主账号与移动智能终端设备一对多映射绑定的流程图；

图5用户主账号与服务提供商账号一对多映射绑定的流程图；

图6基于多屏多因素认证的用户登录的流程图。

具体实施方式

为使本发明的目的、优点以及技术方案更加清楚明白，以下通过具体实施，并结合附图，对本发明进一步详细说明。

用户在使用该***进行用户登录认证时，在保证用户使用便捷的条件下，将为用户能够提供多屏多因素的认证方法。用户在移动智能终端设备进行第一因素本地的验证后，再利用移动智能终端设备生成的OTP提交到认证服务器WS进行第二因素的验证。如图1所示，完成这些功能需要的部件有：浏览器插件、移动智能终端设备、设备仓库服务器（VS）、设备仓库验证缓存（VC）、认证服务器（WS）、服务提供商（SP）等。

浏览器插件是安装在用户智能终端，为了保证整个***的各部分顺利工作所定制的一个重要功能部件，它主要提供生成QR码（即二维码），与移动智能终端设备的安全连接，消息内容的转发等功能。用户在绑定用户账号或者登陆用户账号时，需要调用该插件生成包含智能终端连接信息的QR码，移动智能终端设备扫描QR码后，利用QR码中的信息与插件进行安全连接，该插件还会在建立安全连接后完成一些消息内容（如OTP）的转发操作。

移动智能终端提供了一个密码的物理隔离设备。移动智能终端设备在使用前需要在VS上进行注册，并协商产生OTP的共享秘钥；它还能够提供第一因素的本地的验证功能，并在验证通过之后，才会生成OTP以提供第二因素的验证。同时，移动智能终端设备通过扫描QR码获得智能终端的连接信息，与智能终端完成自动无线连接。

设备仓库服务器（VS）提供移动智能终端设备的注册功能，所有的移动智能终端设备在使用该***前都需要注册。它与移动智能终端设备共同协商秘钥和移动智能终端设备识别信息（OID）等内容。它会存储这些内容并将其更新到VC中，以便WS在对用户的第二因素验证过程中能够得到用户对应移动智能终端设备的信息。

设备仓库验证缓存（VC）是设备仓库服务器存储数据的一个缓存，它和认证服务器WS是物理相连的。认证服务器WS每次提交移动智能终端设备识别信息OID后，它能够快速高效的返回对应的OTP。

认证服务器（WS）是本***的核心部分，负责用户账号管理和账号绑定管理。用户在登录SP时需要在该服务器登录用户账号，得到该服务器返回的对服务提供商账号的授权。用户在登录账号时，它会向VC提交OID对应OTP请求。

服务提供商（SP）则是提供网络服务的实体，用户可以通过将用户账号绑定多个服务提供商账号，这样通过登陆一个用户账号则可以登陆多个服务提供商账号。服务提供商需要和WS建立一定的信任关系并且有安全的通信方式。

对于图1从整体上描述了该方案实施的总体架构，主要包括下面五个部分的内容。

一、基于一次性密码OTP认证的多屏间设备注册的实现方法

移动智能终端设备在使用之前，需要在VS上进行注册，并完成协商秘钥和OID等信息。注册成功后才能在登陆认证的过程中使用，下面结合附图2具体描述其执行过程：

（1）移动智能终端设备与设备仓库服务器VS建立安全信道之后，移动智能终端设备发送随机数N用以协商生成OTP的秘钥SK和OID，VS服务器在收到随机数N后，将计算生成秘钥K和OID，并将其发送给移动智能终端设备，消息内容格式为[K,OID]；

（2）移动智能终端设备在收到[K,OID]后，利用秘钥K生成OTP发送至VS服务器。用以验证协商秘钥SK的正确性。消息内容格式为[OTP,OID]；

（3）设备仓库服务器VS服务器利用秘钥生成OTP，与移动智能终端设备发送的OTP比较，若一致则服务器保存该秘钥和OID，并返回验证通过的结果。移动智能终端设备接受验证通过标识，则存储秘钥和OID；若验证不一致重新验证；

（4）设备仓库服务器VS将新注册的移动智能终端设备的信息更新至各VC。

在注册完成后，用户可根据自己的需要设定一个移动智能终端设备应用的密码。用户每次在使用该终端进行认证时都需要输入该密码用以成功解锁移动智能终端设备的应用，这样可有效防止终端在丢失时用户的数据被任意读取和使用。

二、基于账号管理及绑定的核心用户账号注册的实现方法

用户在不改变传统注册过程的前提下，需要用户注册一个账号作为主登陆账号（即用户所有登录业务的核心功能账号），该账号注册成功后与SP账号绑定，以后所有绑定的SP账号的登陆业务都可以通过该用户主账号来进行。这样可以极大的简化用户的登陆和提高用户体验。下面结合附图3具体描述其执行过程：

（1）用户在智能终端PC通过浏览器访问认证服务器（WS）；

（2）用户在认证服务器WS登陆页面选择注册功能，请求注册用户账号；

（3）认证服务器WS返回对应的注册页面；

（4）用户输入用户名、密码、邮箱等用户注册信息后，确认注册；

（5）认证服务器WS在验证注册信息合法后，转入移动智能终端设备与用户账号绑定过程（见第三节）；若验证不通过，注册失败。

用户账号不仅可以用作SP账号的登陆，在认证服务器WS中，用户还可以管理用户账号和移动智能终端设备的绑定关系，用户账号与SP账号的绑定关系，可以在不改变SP账号前提下，完成单一用户账号对多SP账号的单点登录，同时给多移动智能终端设备的映射绑定奠定基础。

三、用户主账号与移动智能设备一对多映射绑定的实现方法

在用户账号注册时，需要用户账号和某个移动智能终端设备进行映射绑定。另外，在用户账号的使用过程中，也可以将多个移动智能终端设备绑定到一个用户账号。本节则提供了用户主账号和移动智能终端设备映射绑定的功能。下面结合附图4具体描述其执行过程：

（1）用户打开浏览器，访问认证服务器WS；

（2）在确认用户的用户主账号已经登录后，进行绑定操作；

（3）认证服务器WS返回绑定页面，页面会利用浏览器插件生成QR码。QR码中保存着智能终端的连接信息，比如MAC地址等；

（4）用户在成功解锁设备上的应用后，使用移动智能终端设备上应用扫描QR码，移动智能终端设备将解析该QR码并得到智能终端的无线连接信息；

（5）移动智能终端设备利用无线连接信息与智能终端协商通信并建立安全信道；

（6）移动智能终端设备生成OTP并读取安全存储的OID一起发送至智能终端。消息内容格式[OTP,OID]；

（7）智能终端在接收到移动智能终端设备发送的消息后，获取OID信息并将部分OID信息显示在页面，等待用户确认OID正确性；如不正确，可能的情况为受到附近人员的冒名攻击，停止绑定过程；

（8）浏览器将OTP和OID发送至认证服务器WS，消息内容格式为[OTP,ID]；

（9）认证服务器WS在收到OTP和OID后，会向VC发送OID，请求OID对应的OTP；

（10）VC利用OID查询得到对应的秘钥生成OTP，返回给认证服务器WS；

（11）认证服务器WS比较两个OTP值，如果一致的话，表示绑定成功，将绑定成功的结果返回智能终端的浏览器，并将ID和用户主账号的绑定关系写入数据库；如果不一致，绑定失败。

用户在使用移动智能终端设备扫描QR码之前，如果用户对认证应用程序设定了密码，则需要成功解锁对应的应用程序。这样不仅提高了移动智能终端设备应用的安全性，也对验证过程添加了一次验证，提高了整个过程的安全性。在移动智能终端设备绑定设备后，可以进行安全的用户账号登陆。

四、用户主账号与服务提供商账号一对多映射绑定的实现方法

用户账号需要与SP账号进行绑定，才能提供身份认证服务。具体的绑定过程如图5下：

（1）用户操作智能终端，访问SP网站，请求SP账号和用户主账号的绑定；

（2）SP网站将会跳转至认证服务器WS，用户进行登陆，具体过程见第四节；

（3）在用户主账号登陆后，用户需要输入将要绑定的SP账号，跳转回SP。跳转包含参数N，N为与用户账号对应的一个随机数；

（4）用户成功登陆SP后，SP会发送对应账号的验证凭据给WS，消息内容格式为Sign[N，SPID]KPSP，其中N为随机数、SPID为绑定的SP账号、KPSP为SP私钥；

（5）认证服务器WS确认验证凭据：通过随机数N确定用户主账号，且该用户主账号需要绑定的SP账号为SPID；绑定的过程同时需要用户的参与确认。认证服务器WS将存储绑定关系。

用户主账号与SPID的绑定过程是用户、认证服务器WS和服务提供商（SP）共同合作完成的。用户需要在认证服务器WS绑定页面输入需要绑定的SPID，并携带参数随机数N跳转到SP。随机数N是为了防止在SP和认证服务器WS通信过程中，消息被攻击者获取而受到重放攻击。同时，利用N也能快速查找到需要绑定的用户账号，在确认N和用户主账号以及SPID的对应关系后完成绑定。认证服务器WS和服务提供商（SP）之间需要一种安全的通信方式和一套消息的通信协议。

五、基于多屏多因素认证的用户单点登陆的实现方法

用户主账号在登陆的过程中，需要用户使用移动智能终端设备来进行多因素的验证登陆。结合移动智能终端设备的本地验证和基于OTP的网络验证，提供了更加安全的登陆方式。下面结合附图6具体描述其执行过程：

（1）用户打开浏览器，访问认证服务器WS；

（2）用户选择登陆功能进行登陆；

（3）认证服务器WS返回登陆的页面，并利用浏览器插件生成QR码。QR码包含智能终端的无线连接信息，比如MAC地址等；

（4）用户在成功解锁移动智能终端设备应用后，利用移动智能终端设备上应用扫描QR码，并解析该QR码获得智能终端的无线连接信息；

（5）移动智能终端设备利用连接信息与智能终端协商通信并建立安全信道；

（6）移动智能终端设备生成OTP，发送至智能终端。消息内容格式[OTP,OID]；

（7）智能终端通过浏览器将OTP值和OID发送至认证服务器WS，消息内容格式为[OTP,OID]；

（8）认证服务器WS在收到OTP和OID后，会向VC发送OID，请求对应OID的OTP；

（9）VC利用OID查询得到对应的秘钥，生成OTP，返回给认证服务器WS；

（10）认证服务器WS比较两个OTP，如果一致的话，则表示登陆成功，将登陆成功的结果返回智能终端的浏览器，返回并更新WS凭据(Cookie)（即通过该WS凭证实现传统意思上的单点登录SSO功能）。若不一致，登陆不成功，请求用户操作。

用户账号在第一次登陆时需要上述过程，而如果用户账号在之前已经登录过，并且在浏览器中存在有效的WS凭据时，则可以简化登陆的过程。

（1）用户打开浏览器，访问认证服务器WS；

（2）用户选择登陆功能进行登陆；

（3）浏览器检测到存在WS凭据(Cookie)，直接将其发送给认证服务器WS；

（4）WS验证凭据有效后，表示凭据对应账号登陆成功，认证服务器WS将返回登录成功的结果并更新WS凭据；

用户主账号的登陆表面看起来比较复杂，但是用户实际操作是比较少的。仅需要解锁移动智能终端设备应用并扫描QR码。特别是浏览器存在有效的WS凭据时，登陆过程十分方便，有良好的用户体验。

本发明未详细阐述部分属于本领域公知技术。

以上所述，仅为本发明部分具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本领域的人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。

Claims (8)

1.一种多屏多因子便捷WEB身份认证方法，其特征在于实现步骤如下：

（1）在移动智能终端设备上安装客户端，在智能终端浏览器上安装浏览器插件；移动智能终端设备需具备无线网络连接功能和拍照功能，智能终端具备无线网络连接功能；

（2）用户在移动智能终端设备上首次启动客户端时，借助客户端在设备仓库服务器VS上完成设备注册，通过客户端预置的设备仓库服务器VS证书，建立SSL安全信道，将注册信息保存于设备仓库服务器VS上，所述注册信息包括移动智能终端的设备识别号，注册时间，注册IP地址，客户端版本信息；

（3）移动智能终端设备注册成功后，用户参与本地用户账号注册，通过移动智能终端设备上的客户端将用户账号、密码存储在本地，然后通过预置的设备仓库服务器VS证书，向设备仓库服务器VS发起用户注册，注册信息为移动智能终端设备的设备识别号，加密过的本地用户账号，用户证书签发请求（PKCS#10）、注册时间和注册IP地址信息；

（4）用户账号注册成功后，移动智能终端设备通过预置的设备仓库服务器VS证书建立的SSL安全信道，然后接收设备仓库服务器VS签发用户证书和备仓库服务器生成OTP共享密钥；接收设备仓库服务器VS将接受信息同本地用户账号、密码在移动智能终端设备上安全存储，并与设备仓库服务器VS完成基于UTC同步偏移窗口的时间同步；

（5）完成设备注册和本地用户账号注册后，用户通过开启客户端，验证本地用户名和密码通过后，读取安全存储区的共享密钥，根据***UTC时间，生成OTP；

（6）用户在智能终端开启浏览器作身份认证时，需启动浏览器插件的无线网络连接功能，此时浏览器插件读取智能终端的IP地址与空闲端口号，通过随机数生成无线局域网络的随机服务设置标识（Service Set Identifier，SSID）和密码，并启动无线局域网络连接功能且等待外部连接，同时将连接信息SSID、密码、IP地址、端口号放入QR码（即二维码）中，屏幕显示QR码；

（7）用户使用移动智能终端设备的客户端扫描上述QR码，利用QR码内的信息与浏览器插件建立无线网络连接，并通过预置的浏览器插件证书建立安全Socket连接，传输用户证书序列号和OTP；

（8）智能终端浏览器插件接收到数据后，通过与认证服务器WS建立的SSL安全信道完成数据传送，认证服务器W对智能终端浏览器传送过来的用户证书序列号和OTP进行验证，验证通过后，允许用户进入相应业务，否则，拒绝用户服务。

2.根据权利要求1所述的多屏多因子便捷WEB身份认证方式，其特征在于：所述步骤（1）中，无线网络连接模块功能是指具有Wi-Fi模块，相似的具有蓝牙、NFC功能也能够作为替代。

3.根据权利要求1所述的多屏多因子便捷WEB身份认证方式，其特征在于：所述步骤（4）中，安全存储是在公用存储空间开辟一小块虚拟加密的存储块，然后使用证书序号转化的多重混淆密钥加密存储数据，保证移动智能终端设备的证书库和OTP的共享密钥、本地用户账号和密码的安全。

4.根据权利要求1所述的多屏多因子便捷WEB身份认证方式，其特征在于：进一步的，所述步骤（8）中，认证服务器W对智能终端浏览器传送过来的用户证书序列号和OTP进行验证过程为：认证服务器WS通过已存储的该用户的证书序列号与传送过来用户证书序列号进行比对验证，若验证不通过，则终止该身份认证；若验证通过，则认证服务器WS将该用户的用户标识、共享秘钥SK、***UTC时间安全传送给设备仓库缓存器VC，作为哈希运算消息认证码HMAC（Hash-based Message Authentication Code，简称HMAC）算法的计算参数，产生一个OTP，结合该用户的同步偏移量值，对OTP进行验证。

5.根据权利要求1所述的多屏多因子便捷WEB身份认证方式，其特征在于：所步骤（4）中，设备仓库服务器VS与设备仓库服务器VS完成基于UTC同步偏移窗口的时间同步的方法为：设备仓库服务器VS预定义N个同步偏移量窗口，即-N，…，-3，-2，-1，0，1，2，3，…，N，其中N为自然数，然后使用同步偏移窗口内的偏移值的和，共享密钥SK和设备仓库服务器的UTC时间生成OTP，然后将接收到的OTP与生成的OTP依次比较，找到与接收到的OTP相等的OTP，则该OTP对应的偏移值即为接收到的OTP对应的偏移值，利用该偏移值完成同步。

6.根据权利要求1所述的多屏多因子便捷WEB身份认证方式，其特征在于：所述步骤（7）中生成所述OTP的方法为：将共享密钥SK、用户标识和UTC时间作为HMAC算法的计算参数，生成信息摘要；然后从生成的信息摘要中随机摘取设定位数的比特信息，生成OTP。

7.根据权利要求1所述的多屏多因子便捷WEB身份认证方式，其特征在于：所述步骤（4）中，移动智能终端设备完成本地用户注册时，在本地会生成一个公私钥对并收集本地信息，产生证书签发请求PKCS#10，通过安全信道传输给设备仓库服务器VS；VS验证通过后，使用自身私钥签发生成VS签名证书，将VS签发证书通过安全信道传输给移动智能终端设备进行安全存储。

8.根据权利要求1所述的多屏多因子便捷WEB身份认证方式，其特征在于：所述步骤（8）中，若认证服务器验证用户身份通过，则所述认证服务器WS将一有时间期限的认证凭证保存在智能终端浏览器端，以便该用户下次直接登录。

Images