[發明專利]一種支持保證級別的多因子身份認證方法在審
| 申請號: | 201910909113.6 | 申請日: | 2019-09-25 |
| 公開(公告)號: | CN110661800A | 公開(公告)日: | 2020-01-07 |
| 發明(設計)人: | 龔自洪;石波;馬書磊;吳朝雄;譚旭升 | 申請(專利權)人: | 北京計算機技術及應用研究所 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06 |
| 代理公司: | 11011 中國兵器工業集團公司專利中心 | 代理人: | 張然 |
| 地址: | 100854*** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 認證因子 認證 驗證 多因子身份認證 認證因子組合 身份認證 預定義 保證 認證服務器 比較判斷 級別定義 密碼協議 用戶身份 輸出 低級別 高級別 維度 秘密 | ||
1.一種多因子身份認證方法,其特征在于,包括:
步驟1、預定義認證保證級別;
認證保證級別定義為三級,級別一、級別二以及級別三,根據認證因子的秘密來源、認證因子是否包含密碼協議以及認證因子載體實現類型三個維度綜合進行定義;
步驟2、進行用戶身份注冊;
步驟3、用戶選擇認證因子組合;
步驟4、進行多因子身份認證;
步驟5、認證服務器根據用戶選擇的認證因子組合,與預定義認證保證級別進行比較判斷,輸出本次身份認證的認證保證級別,判斷時,從高級別向低級別順序進行驗證,首先驗證是否滿足級別三,再驗證是否滿足級別二,最后驗證是否滿足級別一;
步驟6、輸出本次身份認證的認證保證級別。
2.如權利要求1所述的多因子身份認證方法,其特征在于,預定義認證保證級別,認證保證級別基于認證因子被攻擊可能性的經驗性判斷進行定義。
3.如權利要求1所述的多因子身份認證方法,其特征在于,用戶身份注冊分配用戶唯一標識,登記用戶的身份信息以及認證因子,身份信息是用戶一系列身份屬性,認證因子支持靜態口令、動態口令、指紋、指靜脈、人臉、虹膜以及基于非對稱密碼機制的USBKEY,不同的認證因子注冊的信息不同,用戶注冊成功后,為用戶分配用戶證書及相應密鑰,用于保證身份認證過程用戶意愿的真實性表達。
4.如權利要求1所述的多因子身份認證方法,其特征在于,根據當次認證環境的是否已經注冊了靜態口令、是否具有生物特征采集設備以及將訪問的應用系統的認證需求,選擇具體的認證因子組合。
5.如權利要求1所述的多因子身份認證方法,其特征在于,根據用戶選擇的認證因子組合,逐一針對各個因子進行身份認證,應是每個認證因子均認證成功,多因子身份認證結果才能輸出成功,否則輸出失敗。
6.如權利要求1所述的多因子身份認證方法,其特征在于,應用客戶端訪問應用服務器時,應用服務器會將客戶端請求重定向到認證服務器,認證服務器和認證客戶端執行身份認證協議,認證結束后,認證服務器將認證斷言發送給應用服務器,應用服務器執行后續的資源訪問控制策略。
7.如權利要求1所述的多因子身份認證方法,其特征在于,三個維度的認證保證級別具體定義為:級別1:采用任意一種身份認證因子;級別2:采用兩種及兩種以上身份認證因子,至少一種認證因子包含密碼協議;級別3:采用兩種及兩種以上身份認證因子,至少一種認證因子包含密碼協議,以及至少一種認證因子載體采用硬件實現。
8.如權利要求1所述的多因子身份認證方法,其特征在于,認證因子包括靜態口令、動態口令、指紋、指靜脈、人臉、虹膜以及基于非對稱密碼機制的USBKEY,不同的認證因子注冊的信息不同;
靜態口令包括:注冊用戶名和用戶靜態口令;
動態口令包括:注冊用戶名以及動態口令令牌硬件唯一標識;
指紋包括:注冊用戶的指紋生物特征模板;
指靜脈包括:注冊用戶的指靜脈生物特征模板;
人臉包括:注冊用戶的人臉生物特征模板;
虹膜包括:注冊用戶的紅魔生物特征模板;
非對稱密碼機制的USBKEY,注冊USBKEY對應的公鑰證書CertKey,USBKEY內包含私鑰SkKey;
用戶注冊成功后,為用戶分配用戶證書CertUser和相應私鑰SkUser。
9.如權利要求1所述的多因子身份認證方法,其特征在于,對結果的輸出,若步驟身份認證失敗,則輸出失敗;若身份認證成功,則輸出成功和產生的認證保證級別。
10.如權利要求1所述的多因子身份認證方法,其特征在于,步驟4具體包括:
認證服務器根據用戶選擇的認證因子組合,發送認證請求,若認證因子包含動態口令或者非對稱密碼機制的USBKEY,則認證服務器發送的認證請求包含隨機數Rs,文本字段text,認證服務器通過簽名函數Sign輸出的簽名Sign(text|Rs),將三個部分內容連接后得到認證請求text|Rs|Sign(text|Rs);
認證客戶端根據所選擇的認證因子組合,逐一進行身份認證,如果選擇了指紋身份認證,則采集用戶指紋特征fiT’,傳輸給認證服務器進行比較;如果認證因子包含動態口令,則采用消息認證碼函數MAC輸出Mac(text|Rs|Time)作為動態口令,返回信息fiT’|Mac(text|Rs|Time);如果包含非對稱密碼機制的USBKEY,則采用簽名函數輸出SignSkKey(text|Rs),返回信息fiT’|SignSkKey(text|Rs);
認證服務器對認證客戶端返回的信息進行逐一驗證,若選擇了指紋驗證,則驗證fiT’與fiT是注冊的指紋特征模板是否匹配。如果認證因子包含動態口令,則驗證Mac(text|Rs|Time)與本地計算的Mac(text|Rs|Time)是否一致;如果包含非對稱密碼機制的USBKEY,則采用簽名驗證函數Verify驗證VerifyCertKey(text|Rs)是否成功,簽名驗證函數與簽名函數對應,對于采用私鑰SkKey簽名的消息,采用對應公鑰證書CertKey驗證結果應該為真,如果簽名驗證函數輸出結果為真,則表示認證成功,如果簽名驗證函數輸出結果為假,則表示認證失敗,上述的參數Time表示對應的時間戳。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于北京計算機技術及應用研究所,未經北京計算機技術及應用研究所許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201910909113.6/1.html,轉載請聲明來源鉆瓜專利網。
