本發明涉及一種多因子身份認證方法，其中，包括：步驟1、預定義認證保證級別；認證保證級別定義為三級，級別一、級別二以及級別三，根據認證因子的秘密來源、認證因子是否包含密碼協議以及認證因子載體實現類型三個維度綜合進行定義；步驟2、進行用戶身份注冊；步驟3、用戶選擇認證因子組合；步驟4、進行多因子身份認證；步驟5、認證服務器根據用戶選擇的認證因子組合，與預定義認證保證級別進行比較判斷，輸出本次身份認證的認證保證級別，判斷時，從高級別向低級別順序進行驗證，首先驗證是否滿足級別三，再驗證是否滿足級別二，最后驗證是否滿足級別一；步驟6、輸出本次身份認證的認證保證級別。

技術領域

本發明涉及網絡安全技術領域，提出一種支持保證級別的多因子身份認證方法。

背景技術

隨著信息和網絡技術的飛速發展，人們的工作和生活已經越來越依賴于各種網絡應用和服務。網絡應用和服務為人們帶來便利的同時，也面臨各種網絡安全攻擊，導致信息資源被非法泄露、盜用或者破壞等問題。身份認證是網絡應用和服務安全防護的第一道防線，也是實施資源授權、訪問控制、安全審計等措施的前提。目前，已經有多種身份認證方法，不同的身份認證方法具有不同的安全特性和使用便捷性，如何平衡安全性和便捷性，滿足多樣化網絡應用和服務的需求是身份認證方法研究的重點之一。

認證因子是用戶所有并借以證明身份的憑據，可以從幾個不同維度對認證因子進行分類。一是從認證因子的秘密來源維度，可分為基于用戶所知道的秘密，包括靜態口令、動態口令等；基于用戶所屬的生物特征秘密，包括指紋、指靜脈等；基于用戶所持有的秘密介質，包括USBKEY、智能卡等。二是從認證因子是否包含密碼協議維度，可分為基于密碼協議的認證，如采用非對稱密碼機制或對稱密碼機制的USBKEY；不基于密碼協議的認證，如采用靜態口令、生物特征。三是從認證因子載體實現類型維度，可分為軟實現的認證因子和硬實現的認證因子，例如動態口令既可采用硬件令牌實現，也可采用軟件模塊實現。

不同的認證因子被攻擊難度存在差異。已有的身份認證方法有的采用單因子身份認證，安全強度不夠；有的采用多因子認證，但對不同的多因子組合都只給出認證成功是/否的結論，不能反映具體認證因子組合安全強度的差異。本發明提出的支持安全保證級別的多因子身份認證方法的基本思想是：一是采用多因子的身份認證方法，包括靜態口令、動態口令、指紋、指靜脈、人臉、虹膜、基于非對稱密碼機制的USBKEY。二是按照一定的安全策略，基于認證因子的安全性強度預定義多因子組合認證的安全保證級別，用戶認證成功后，同時根據用戶選用的認證因子得到當次認證的安全保證級別，將認證結果和安全保證級別提供給應用，方便應用進行更精細化的資源訪問決策。

發明內容

本發明的目的在于提供一種多因子身份認證方法，用于解決上述現有技術的問題。

本發明一種多因子身份認證方法，其中，包括：步驟1、預定義認證保證級別；認證保證級別定義為三級，級別一、級別二以及級別三，根據認證因子的秘密來源、認證因子是否包含密碼協議以及認證因子載體實現類型三個維度綜合進行定義；步驟2、進行用戶身份注冊；步驟3、用戶選擇認證因子組合；步驟4、進行多因子身份認證；步驟5、認證服務器根據用戶選擇的認證因子組合，與預定義認證保證級別進行比較判斷，輸出本次身份認證的認證保證級別，判斷時，從高級別向低級別順序進行驗證，首先驗證是否滿足級別三，再驗證是否滿足級別二，最后驗證是否滿足級別一；步驟6、輸出本次身份認證的認證保證級別。

根據本發明的多因子身份認證方法的一實施例，其中，預定義認證保證級別，認證保證級別基于認證因子被攻擊可能性的經驗性判斷進行定義。

根據本發明的多因子身份認證方法的一實施例，其中，用戶身份注冊分配用戶唯一標識，登記用戶的身份信息以及認證因子，身份信息是用戶一系列身份屬性，認證因子支持靜態口令、動態口令、指紋、指靜脈、人臉、虹膜以及基于非對稱密碼機制的USBKEY，不同的認證因子注冊的信息不同，用戶注冊成功后，為用戶分配用戶證書及相應密鑰，用于保證身份認證過程用戶意愿的真實性表達。