[发明专利]一种基于手机令牌和NFC技术的Web身份认证方法

权利要求书

1.一种基于手机令牌和NFC技术的Web身份认证方法，用于用户使用手机代替USBKey连接到Web站点时进行认证，其特征在于：包括使用手机在Web站点进行注册和将手机作为类USBkey设备、通过NFC登录Web站点进行身份认证两步骤；

所述的使用手机在Web站点进行注册包括以下子步骤：

步骤1.1：用户使用手机端浏览器访问支持手机令牌登录方式的Web站点，手机令牌管理程序TokenManager被触发调用；

步骤1.2：所述的TokenManager与所述的Web站点建立https连接请求，所述的Web站点为所述的用户颁发公钥Pubks和私钥Prikc，通过安全通道传送给所述的用户，所述的TokenManager安全存储用户公钥和私钥，然后所述的TokenManager产生随机数Nc，用所述的用户私钥签名后发送到服务器端；

步骤1.3：所述的服务器利用所述的用户公钥验证用户的签名信息，若正确，则产生随机数Ns，同时将所述的Ns，Nc用自己的服务器私钥签名之后发送给所述的TokenManager；

步骤1.4：所述的TokenManager验证接收到的随机数Nc并验证，若正确，则所述的TokenManager产生一个会话密钥K，并用服务器公钥加密所述的会话密钥K；然后，所述的TokenManager获取所述的手机唯一标识符IMEI，对所述的IMEI和Ns进行签名，并利用所述的会话密钥K加密，得到加密消息；最后，所述的TokenManager把通过服务器公钥加密后的会话密钥K附在所述的加密消息中发送到所述的服务器端；

步骤1.5：所述的服务器首先验证所述的随机数Ns，若正确，则对所述的IMEI进行是否篡改的验证，若未经篡改，则获取所述的TokenManager的IMEI，为所述的TokenManager产生一个唯一的手机令牌Token，并把所述的手机令牌Token发送给所述的TokenManager，所述的TokenManger使用android系统中的SharedPreferences存储方式存储所述的手机令牌Token；

所述的将手机作为类USBkey设备、通过NFC登录Web站点进行身份认证包括以下子步骤：

步骤2.1：所述的用户通过PC端浏览器访问所述的Web站点，所述的PC端浏览器的NFC插件被自动触发调用；

步骤2.2：所述的PC端浏览器的NFC插件与所述的手机令牌管理程序TokenManager进行NFC通信，所述的TokenManager从所述的SharedPreferences中获取所述的手机令牌Token和手机唯一标识符IMEI信息，使用所述的用户私钥进行签名，并使用所述的服务器公钥加密后一起通过NFC发送给所述的Web站点NFC插件；

步骤2.3：所述的Web站点NFC插件将接收到的加密后信息发送给所述的服务器，所述的服务器对所述的加密后信息进行解密，并验证该信息的签名；然后，所述的服务器根据接收到的IMEI查询数据库中的手机令牌Token，将收到手机令牌Token与数据库中的手机令牌Token比较，如果相同则验证成功，并跳转到登录成功页面；否则，返回错误信息。

2.根据权利要求1所述的基于手机令牌和NFC技术的Web身份认证方法，其特征在于：把所述的手机令牌Token发送给所述的TokenManager，首先对所述的手机令牌Token进行HASH(Token)加密，然后对所述的加密结果进行签名，最后拼接上所述的手机令牌Token并用所述的会话密钥K加密之后传回所述的TokenManager。

3.根据权利要求1所述的基于手机令牌和NFC技术的Web身份认证方法，其特征在于：所述的用户在所述的Web站点注册成功之后，所述的TokenManager会将所述的用户的身份信息安全存储于所述的用户手机中，以实现USBKey的功能。

4.根据权利要求3所述的基于手机令牌和NFC技术的Web身份认证方法，其特征在于：所述的用户的身份信息包括所述的Web站点分配给所述的用户的手机令牌Token、所述的用户公钥和私钥对。

5.根据权利要求1所述的基于手机令牌和NFC技术的Web身份认证方法，其特征在于：所述的TokenManager把通过服务器公钥加密后的会话密钥K附在所述的加密消息中发送到所述的服务器端，采用的是SSl方式通信，SSL{E(K,Pubks),E((IMEI,Ns,SIG(Ns,HASH(IMEI)),Prikc)), K) }，其中K表示会话密钥，Prikc表示用户私钥，Pubks表示服务器公钥，IMEI表示手机唯一标识符，Ns表示服务器端的随机数；E(消息,K)表示使用会话密钥K加密消息，SIG(消息，Prikc)表示使用客户端私钥对消息进行签名，SSL{}表示以SSL方式发送。