[發(fā)明專利]一種多因子身份驗證方法及其系統(tǒng)有效
| 申請?zhí)枺?/td> | 201510097325.0 | 申請日: | 2015-03-05 |
| 公開(公告)號: | CN104660605B | 公開(公告)日: | 2018-03-23 |
| 發(fā)明(設計)人: | 張濤;寧戈;王雁 | 申請(專利權)人: | 北京安普諾信息技術有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06;H04L9/32 |
| 代理公司: | 北京萬象新悅知識產權代理事務所(普通合伙)11360 | 代理人: | 蘇愛華 |
| 地址: | 100085 北京市海淀區(qū)*** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 因子 身份驗證 方法 及其 系統(tǒng) | ||
技術領域
本發(fā)明涉及信息安全技術領域,尤其涉及一種多因子身份驗證方法及其系統(tǒng)。
背景技術
隨著互聯(lián)網(wǎng)技術的飛速發(fā)展,通過互聯(lián)網(wǎng)提供的互聯(lián)網(wǎng)應用也越來越多。用戶在訪問這些互聯(lián)網(wǎng)應用時,如訪問電子郵件、訪問即時通信應用、訪問網(wǎng)站等,為了保證訪問的安全性,各互聯(lián)網(wǎng)應用的提供方通常需要在用戶登錄時對用戶進行身份驗證。
從基本原理角度,根據(jù)認證因子的不同,身份認證可分為三類:用戶所知道的信息(比如口令);用戶所持有的物理介質,一般為令牌、智能卡等;用戶所具有的特征,即生物特征認證方式。針對多因子身份驗證,目前國內外采用的主要是用戶名/口令(用戶所知)+硬件(用戶所持有)。其中,靜態(tài)口令存在很多安全隱患,比如攻擊者在侵入服務器后對獲取的用戶口令表采用口令猜測攻擊來獲取用戶口令;在遠程登錄時則不能抵抗直接的網(wǎng)絡竊聽,從而易遭受重放攻擊等。而動態(tài)口令即在傳輸?shù)目诹铗炞C信息,是動態(tài)變化的。
從計算開銷方面考慮,身份鑒別方案可分為兩類:基于非單向散列函數(shù)和基于單向散列函數(shù)的方案。前者有以DES、RSA和EIGamal等進行加密的方案,這類方案的主要局限性是計算開銷大、配置較復雜等問題,因此不太適合某些受限制的應用環(huán)境(比如用戶的計算機配置較低的系統(tǒng))。以單向散列函數(shù)(如MD5和SHA-1)進行加密的方案,由于具有存儲、處理和傳輸開銷較小的優(yōu)點而被廣泛關注,但下面幾種常見的身份認證協(xié)議存在中間人攻擊等安全隱患。
1)S/KEY。此方案中由于種子(seed)和迭代值(Seq)都是以明文形式在網(wǎng)絡上傳輸,因此容易受到小數(shù)攻擊。另外用戶登錄N-I次后必須重新注冊,并且此方案的運算量大且在不同時間運算量不平均,實用性不佳。
2)CHAP(Challenge Handshake Authentication Protocol)。CHAP采用質詢/響應方式進行身份鑒別,通過三次握手來對用戶進行周期性地驗證登錄和訪問請求,這種方案易受到內部攻擊,口令猜測攻擊和中間人攻擊。
綜合說來,多因子身份驗證方法的現(xiàn)有技術存在如下問題:
1.多因子認證中,包含硬件因子,比如令牌、智能卡等會給認證帶來以下問題:丟失硬件導致無法認證,引入的硬件與企業(yè)中原有Key發(fā)生沖突,增加企業(yè)成本(比如USB Key的缺點在于CA中心的部署和維護成本非常巨大)等。
2.單向認證方法無法抵抗中間人攻擊。用戶無法驗證服務器身份,會存在服務器被冒充的風險。
發(fā)明內容
為了克服上述現(xiàn)有技術的不足,本發(fā)明提供一種多因子身份驗證方法,目的是提高身份驗證的安全性,可以應用到具有客戶端/服務器端且保密性要求較高的身份驗證系統(tǒng)中。
為了便于說明,本方法中所使用的符號說明如表1:
表1本發(fā)明所使用的符號及其含義說明
本發(fā)明的原理是:本發(fā)明的方法是通過動態(tài)口令、雙向認證、非硬件因子相結合的一種多因子身份認證方法。其中:在本方法中引入時間和隨機數(shù)作為動態(tài)因子。雙向認證中,服務器驗證客戶端的身份結合了隨機數(shù)和硬件指紋來實現(xiàn),在特定局域網(wǎng)辦公機構中自有USB Key決定了一人一機,本方法采集客戶端的MAC地址、硬盤序列號和CpuID作為硬件指紋;雖然在這種特定辦公環(huán)境下,可以將客戶端身份和用戶身份等同,但是這依舊存在很大安全隱患,為了解決這個問題,本方法采用手機軟件來驗證用戶身份;而客戶端是通過注冊時服務器返回的公鑰來驗證服務器身份。此外,本發(fā)明還通過登錄關聯(lián)的方法,即將本次登錄和下一次登錄相關聯(lián),使得重放攻擊的風險降到最低。本發(fā)明首先通過客戶端注冊,在注冊階段,客戶端與服務器端相互通信,最終,客戶端保存至本地硬盤,服務器保存了本發(fā)明提供的多因子身份認證是一種非硬件的多因子身份鑒別方法,一方面,可以滿足登錄身份驗證系統(tǒng)的身份認證、信息安全性、完整性及不可抵賴性的要求;另一方面,本發(fā)明提供方法無需硬件設備,方便使用。
本發(fā)明提供的技術方案如下:
一種多因子身份驗證方法,包括注冊階段和認證階段,具體包括如下步驟:
(一)注冊階段:當前用戶設定為C,通過設置登錄名為Uc、登錄口令為Pc、登錄次數(shù)為Nc進行注冊,客戶端和服務器端S依次進行如下操作:
1.1)客戶端生成隨機數(shù)Rc1,通過計算得到J1,將{Uc,J1}保存;同時將{Uc,J1}發(fā)送給服務器端;
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于北京安普諾信息技術有限公司,未經(jīng)北京安普諾信息技術有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業(yè)授權和技術合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201510097325.0/2.html,轉載請聲明來源鉆瓜專利網(wǎng)。
