[发明专利]一种基于云端利用NFC通信技术的双重鉴权登录系统

说明书

【技术领域】

本发明涉及数据安全技术领域，特别涉及一种基于云端利用NFC通信技术的双重鉴权登录系统。 

【背景技术】

企业数据量日益庞大，其中许多数据涉及商业秘密，如何对数据访问进行安全控制成为一个重要课题。传统的登录系统存在诸多弊端，简单静态的密码设置容易被破解，单一的鉴权方式存在安全隐患。而大型的安全系统对于中小企业来说又负担过重。 

本发明通过提供一种基于云端的双重鉴权的登录系统，为中小企业提供一种相对廉价的安全的数据访问管理方案。 

本系统具有以下特点： 

它为广泛的企事业单位提供鉴权登录服务，是一种真正安全的访问控制平台，而不仅仅是一款单一的企业登录软件。 

NFC(近场通信)在智能终端越来越流行，手机支付功能已初具规模，本发明利用NFC的短距离安全通信特性进行动态密码验证部分的载体。 

基于云端的加密数据库，提供高可靠性存储支持，用户登录数据不在本地减小了数据泄漏的可能性。 

后台鉴权服务器屏蔽了云端的加密数据库，实现透明鉴权。 

【发明内容】

本发明提供一种基于云端的双重鉴权登录系统，其特征在于：该系统包括，登录接口端，移动终端，后台鉴权服务器，位于云端的加密数据库； 

登录接口端：位于移动终端与后台鉴权服务器之间，提供NFC接口用于从 移动终端获取一次鉴权所需动态密码信息； 

登录接口端具备生物识别模块，用于提供生物识别接口从生物人获取二次鉴权所需生物ID； 

登录接口端具备远程通信模块，用于提供与后台鉴权服务器进行传递信令及数据的接口； 

登录接口端具备加密解密模块，用于提供对发送接收的数据进行加密解密的功能；

移动终端，用于提供一次鉴权所需动态密码； 

移动终端具备NFC接口，用于提供与登录接口端内的NFC接口进行安全的短距离通信； 

移动终端具备动态密码遍历模块，用于提供存储预先分配的动态密码组以及时钟触发按照动态密码遍历序列遍历预先分配的动态密码组； 

移动终端具备加密解密模块，用于提供对接收发送数据进行加密解密； 

后台鉴权服务器，作为一次鉴权决策者和二次鉴权触发者及决策者，位于登录接口端于位于云端的加密数据库之间； 

后台鉴权服务器具备：以移动终端唯一标示符UID维护一个与移动终端同样的动态密码遍历序列，以相同的时钟频率作触发动态改变指针，并提供冗余处理功能以调整时钟偏差；提供与登录接口端传递信令及数据的接口；提供与位于云端的加密数据库传递信令及数据的接口；完成对由登录接口端传递来的动态密码及生物ID的匹配，并根据相关算法对不同的匹配结果向登录接口端发送不同的信令；对发送接收数据进行加密解密； 

位于云端的加密数据库模块，基于云端的大规模密码库，拥有原始长数位密码(128位)，负责为移动终端提供资料密码库；以UID为键值维护用户动态 密码组及用户生物信息；当后台鉴权服务器需要对用户动态密码及生物ID做出匹配时提供相关信息；提供与后台鉴权服务器传递信令及数据的接口；对发送接收数据进行加密解密； 

动态密码分配模块，用于为移动终端分配以UID为键值的动态密码组及动态密码遍历序列。 

动态密码分配模块位于后台鉴权服务器，由后台鉴权服务器提供动态密码分配策略，产生动态密码遍历序列及用位于云端的加密数据库提供的资料密码库产生移动终端的动态密码组。 

位于云端的加密数据库不仅提供原始资料密码库还要以UID为键值维护分配给移动终端的动态密码组副本和用户生物信息及相关权限，并对这些信息提供加密功能。 

本发明通过两次鉴权对用户赋权，第一次通信利用NFC(近场通信)验证动态密码，以获得二次鉴权权利。一次鉴权过程中，利用NFC(近场通信)短距离安全通信的特性，进行动态密码验证，在减少手工输入密码不方便进行长密码验证的同时，也减少了被窥视的可能性。同时由于发送数据被加密，即使无线数据被截获也无法解析。 

二次鉴权可根据具体情况采用合适的生物鉴权技术(指纹，虹膜，声波等)，二次鉴权成功后用户会获得相应的访问权限，以达到数据安全的目的。 

本发明成功的分离了鉴权模块和用户信息存储模块，有效的减小了用户信息被盗取的可能性。 

将大质数密码库及用户信息存储在云端用以减少企业运营的成本。 

【附图说明】

图1为基于云端的双重鉴权登录系统架构图