本發明公開了一種基于門限的動態多因素身份認證方法和通信方法。本發明允許用戶通過口令、多個可選設備、生物特征進行身份認證，支持用戶根據需求從n個認證因素中自主選擇t個因素進行認證。利用基于門限的不經意偽隨機函數和認證密鑰交換協議構造門限多因素認證協議框架。本發明使用除口令外其他t?1個因素中的任意一個，通過修改的TOPRF協議將口令增強為隨機密鑰，使用該隨機密鑰運行AKE協議進行身份認證。除口令外，其他因素都對應TOPRF中的一個密鑰。設備因素的密鑰存儲在本地，生物因素通過模糊提取技術將用戶生物特征提取成密鑰，以防止服務器存儲文件泄漏時發生生物因素泄漏。

技術領域

本發明屬于信息安全技術領域，涉及一種動態的、實用的用戶身份認證方法，尤其涉及一種基于門限的動態多因素身份認證協議設計和實現方法。

背景技術

近年來，多因素認證(Multi-factor Authentication，MFA)逐漸深入人們的生產生活中。如基于銀行卡和PIN碼的認證方式、基于口令和短信驗證碼的認證、基于生物特征和電子護照的認證等。用戶的認證因素通常分為三類：用戶所知(如口令、PIN碼等)、用戶所有(如智能卡、智能手機等)、用戶所是(如聲音、指紋等)，多因素認證方式即是將其中的多個因素相結合。與基于單一因素的認證方式不同，多因素認證要求用戶認證時出示t個指定因素，攻擊者只有在同時獲得t個因素的情況下才能仿冒用戶，增強了認證的安全性。

然而，現有的多因素認證方式均要求用戶出示t個固定因素。例如GoogleAuthenticator要求同時提供口令和PIN碼。Jarecki等人在文獻1(Jarecki S，Krawczyk H，Shirvanian M，et al.Two-Factor Authentication with End-to-End PasswordSecurity[J].IACR International Workshop on Public Key Cryptography，2018.431-461.)中提出的OpTFA協議要求用戶認證時同時提供口令和智能手機。Far等人在文獻2(FarH，Bayat M，Das A K，et al.LAPTAS：lightweight anonymous privacy-preservingthree-factor authentication scheme for WSN-based IIoT[J].Wireless Networks，2021，27(4)：1-24.)中提出的LAPTAS協議要求同時提供口令、智能卡和生物特征。由于“靜態”多因素認證方式要求用戶隨時隨地攜帶t個因素，限制了用戶使用因素的靈活性。

同時，t個固定因素也限制了多因素認證的安全性。一般來說，認證因素越多(如t＝5)，認證系統所能提供的安全性越高，而我們難以要求用戶同時攜帶更多的認證因素維持安全性。例如，現實生活中通常采用雙因素認證或三因素認證，其安全性遠不如五因素認證，但要求用戶同時攜帶5個認證因素不具備可行性。

調查發現，用戶在家庭中或工作場所中擁有多個電子設備已成為常態。例如家庭中的智能音箱、工作場所中的內網服務器，而出行時便于攜帶的智能手機、智能手表、平板電腦也為較多用戶所擁有。甚至不常用的舊手機也可以用作備用認證因素。目前尚未有研究考慮動態的多因素身份認證。

發明內容