1.一種基于MFA算法的雙向身份認證方法，其特征在于：包括有如下步驟：

S1.用戶注冊：

S1.1.用戶動態口令注冊：用戶設置一個秘密通信短語W，認證服務器A給用戶產生一個種子值S，用戶設置一次性口令序列的最大元素個數N，最大元素個數N和種子值 S以安全通道傳到認證服務器；認證服務器A運算得出一次性口令P₀，其中P₀=Fⁿ(W+S)；

S1.2. 用戶人臉注冊：通過攝像頭采集用戶人臉并提取用戶的初始人臉特征值T′, 初始人臉特征值T′以安全通道傳到認證服務器A, 初始人臉特征值T′保存到認證服務器A的人臉數據特征庫中，人臉數據特征庫中用戶的注冊信息包括有：用戶的身份標志ID、用戶的秘密通信短語W、用戶的N、用戶的種子值S、用戶的一次性口令P₀和用戶的初始人臉特征值T′；

S2.第i次用戶認證：

S2.1：用戶以身份標志ID向認證服務器發起申請；

S2.2：認證服務器A應答步驟S2.1的申請，認證服務器A通過H(W)進行加密S+N-i+P_i-1得到E_H(W)(seed+N-i+P_i-1)，將E_H(W)(seed+N-i+P_i-1)和散列值hash傳到用戶;

S2.3：用戶收到挑戰信息，同時驗證數據的完整性，如果沒有篡改，那么解密可得出S,N-i，P_i-1，并運算用戶第i次登陸的一次性口令P_i，其中P_i=F^n-i(W+S)；

S2.4：用戶完成認證服務器A的身份認證并存儲用戶第i次登陸的一次性口令P_i，將P_i再次做F運算得到P′_i-1，亦即P′_i-1=F(P_i)，對P′_i-1和P_i-1做比對；

S2.4.1:若P′_i-1＝P_i-1，下一步；

S2.4.2: 若P′_i-1≠P_i-1，認為有小數攻擊的風險，限制進行登陸；

S2.5：通過攝像頭采集用戶人臉并提取用戶的人臉特征值T, 以P_i為密鑰來對T做做非對稱加密，同時將加密信息M以及它的散列值hash傳到認證服務器A，即加密信息M=E_pi(T)；

S2.6：認證服務器A收到加密信息M并進行完整性驗證；

S2.6.1：若S2.6驗證沒有篡改，那么運算P′_i=F^n-i(W+S)，解密密鑰P′_i對M解密，得到人臉特征值T；

S2.6.2若S2.6驗證比對率超過預定閾值，那么對C的驗證合規；

S2.7認證服務器A變更存儲的數據，將序列號遞減1，及認證口令變更成P_i，為下一次成功登錄做準備；一旦序列號遞減到0，必須做初始化。