[发明专利]一种基于手机令牌和NFC技术的Web身份认证方法

说明书

技术领域

本发明属于互联网技术领域，特别是涉及一种新的基于手机令牌和近场通信（Near Field Communication，NFC）技术的Web身份认证方法。

 

背景技术

目前，基于手机的身份认证方式主要是基于手机动态口令的方法。基于手机动态口令的方法主要分为短信密码和手机令牌两种方式。

短信密码以手机短信形式请求包含6位随机数的动态密码，是一种手机动态口令形式，身份认证系统以短信形式发送随机的6/8位密码到客户的手机上，客户在登录或者交易认证时候输入此动态密码，从而确保系统身份认证的安全性。Shu Minglei等人曾在2009年通过短讯服务传输经数字证书加密的手机短信，实现了手机与服务器之间的身份认证。但由于这种认证方式需要用户短信输入，所以会给用户带来不便。

手机令牌是另外一种手机动态口令形式，它是安装在客户手机上的软件，动态口令手机端生成，不存在通信信道中被截取的可能性，手机作为动态口令生成的载体进行身份认证。Hallsteinsen等人在2007年提出了使用手机端的一次性密码实现身份认证的方案；Van Thanh Do等人曾在2008年提出了基于移动用户识别码的安全身份认证机制；TanviParekh等人曾在2011年对多种身份认证方案进行了分析，提出了使用手机代替成本较高的安全令牌的可行性；王鹃等人也曾在2012年提出了一种以用户为中心的移动互联网身份管理及认证系统。此外，PengKunyu等人在2009年提出了结合公私钥对和密码的手机认证方式。该方法通过用户密码和一组安全参数生成用户的公私钥对，认证时将用户名/密码利用用户私钥签名，通过蓝牙发送给服务器。服务器端收到认证信息后，通过安全参数、用户和密码恢复出用户公钥，从而验证手机用户的身份。该方法虽然比传统的用户名/密码方式更安全，但是仍然存在以下不足之处：

（1）该方法是基于用户名/密码方式，仅能实现单向身份认证；

（2）该方法采用蓝牙通信，由于蓝牙数据传输距离在10m以内，存在数据遭截获的可能性，因此这种认证方式会影响系统的安全性。

 

发明内容

为了解决上述的技术问题，本发明提供了一种能实现用户与Web站点双向认证、并且安全性高的基于手机令牌和NFC技术的Web身份认证方法。

本发明所采用的技术方案是：一种基于手机令牌和NFC技术的Web身份认证方法，用于用户使用手机代替USBKey连接到Web站点时进行认证，其特征在于：包括使用手机在Web站点进行注册和将手机作为类USBkey设备、通过NFC登录Web站点进行身份认证两步骤；

所述的使用手机在Web站点进行注册包括以下子步骤：

步骤1.1：用户使用手机端浏览器访问支持手机令牌登录方式的Web站点，手机令牌管理程序TokenManager被触发调用；

步骤1.2：所述的TokenManager与所述的Web站点建立https连接请求，所述的Web站点为所述的用户颁发公钥Pubks和私钥Prikc，通过安全通道传送给所述的用户，所述的TokenManager安全存储用户公钥和私钥，然后所述的TokenManager产生随机数Nc，用所述的用户私钥签名后发送到服务器端；

步骤1.3：所述的服务器利用所述的用户公钥验证用户的签名信息，若正确，则产生随机数Ns，同时将所述的Ns，Nc用自己的服务器私钥签名之后发送给所述的TokenManager；

步骤1.4：所述的TokenManager验证接收到的随机数Nc并验证，若正确，则所述的TokenManager产生一个会话密钥K，并用服务器公钥加密所述的会话密钥K；然后，所述的TokenManager获取所述的手机唯一标识符IMEI，对所述的IMEI和Ns进行签名，并利用所述的会话密钥K加密，得到加密消息；最后，所述的TokenManager把通过服务器公钥加密后的会话密钥K附在所述的加密消息中发送到所述的服务器端；

步骤1.5：所述的服务器首先验证所述的随机数Ns，若正确，则对所述的IMEI进行是否篡改的验证，若未经篡改，则获取所述的TokenManager的IMEI，为所述的TokenManager产生一个唯一的手机令牌Token，并把所述的手机令牌Token发送给所述的TokenManager，所述的TokenManger使用android系统中的SharedPreferences存储方式存储所述的手机令牌Token；