本發明涉及信息技術技術領域，具體為一種基于MFA算法的雙向身份認證方法；用戶完成認證服務器A的身份認證并存儲用戶第i次登陸的一次性口令P_i，將P_i再次做F運算得到P′_i?1，亦即P′_i?1=F(P_i)，對P′_i?1和P_i?1做比對，若P′_i?1＝P_i?1，下一步；若P′_i?1≠P_i?1，認為有小數攻擊的風險，限制進行登陸；認證服務器A收到加密信息M并進行完整性驗證；驗證沒有篡改，那么運算P′_i=F^n?i(W+S)，解密密鑰P′_i對M解密，得到人臉特征值T；若驗證比對率超過預定閾值，那么對C的驗證合規；本發明充分利用一次性口令使用簡單、具有較高的安全性和人臉識別的唯一性，利用加密體制實現網絡傳輸的安全性，進一步成功防范身份認證中的冒名、篡改和重放等攻擊行為的發生。

技術領域

本發明涉及信息技術技術領域，具體為一種基于MFA算法的雙向身份認證方法。

背景技術

在信息化、網絡化極速推進的基礎下，社會各界各個領域都需要信息系統進行業務支撐，社會、企業及個人對信息系統的依賴程度越來越高，與日常工作、生活的關聯性越來越緊密。信息系統高速發展，造成系統安全問題越來越突出。身份認證作為信息系統的第一道防線，在信息系統安全中承擔著至關重要的任務。在對現有技術的研究和實踐過程中，現有技術目前大部分信息系統采用“帳戶+靜態口令”的身份認證機制模式，有可能被繞過防火墻和入侵檢測等安全防護設備從而遭到攻擊。由于這種單因子身份認證方法具有固定性、靜態性和長期使用性，所以易于遭到重放及窮舉等多種形式的攻擊，一旦泄露密碼，個人身份被冒充成為可能。

發明內容

本發明的目的在于提供一種基于MFA算法的雙向身份認證方法，提供一種人臉識別和動態口令相結合的雙向身份認證方法，能夠解決單因子身份認證容易被攻擊和冒充的技術問題。

為解決上述技術問題，本發明一種基于MFA算法的雙向身份認證方法，包括有如下步驟：

S1.用戶注冊：

S1.1.用戶動態口令注冊：用戶設置一個秘密通信短語W，認證服務器A給用戶產生一個種子值S，用戶設置一次性口令序列的最大元素個數N，最大元素個數N和種子值 S以安全通道傳到認證服務器；認證服務器A運算得出一次性口令P₀，其中P₀=Fⁿ(W+S)；

S1.2. 用戶人臉注冊：通過攝像頭采集用戶人臉并提取用戶的初始人臉特征值T′, 初始人臉特征值T′以安全通道傳到認證服務器A, 初始人臉特征值T′保存到認證服務器A的人臉數據特征庫中，人臉數據特征庫中用戶的注冊信息包括有：用戶的身份標志ID、用戶的秘密通信短語W、用戶的N、用戶的種子值S、用戶的一次性口令P₀和用戶的初始人臉特征值T′；

S2.第i次用戶認證：

S2.1：用戶以身份標志ID向認證服務器發起申請；

S2.2：認證服務器A應答步驟S2.1的申請，認證服務器A通過H(W)進行加密S+N-i+P_i-1得到E_H(W)(seed+N-i+P_i-1)，將E_H(W)(seed+N-i+P_i-1)和散列值hash傳到用戶;

S2.3：用戶收到挑戰信息，同時驗證數據的完整性，如果沒有篡改，那么解密可得出S,N-i，P_i-1，并運算用戶第i次登陸的一次性口令P_i，其中P_i=F^n-i(W+S)；