[发明专利]一种多因子身份验证方法及其系统

说明书

技术领域

本发明涉及信息安全技术领域，尤其涉及一种多因子身份验证方法及其系统。

背景技术

随着互联网技术的飞速发展，通过互联网提供的互联网应用也越来越多。用户在访问这些互联网应用时，如访问电子邮件、访问即时通信应用、访问网站等，为了保证访问的安全性，各互联网应用的提供方通常需要在用户登录时对用户进行身份验证。

从基本原理角度，根据认证因子的不同，身份认证可分为三类：用户所知道的信息(比如口令)；用户所持有的物理介质，一般为令牌、智能卡等；用户所具有的特征，即生物特征认证方式。针对多因子身份验证，目前国内外采用的主要是用户名/口令(用户所知)+硬件(用户所持有)。其中，静态口令存在很多安全隐患，比如攻击者在侵入服务器后对获取的用户口令表采用口令猜测攻击来获取用户口令；在远程登录时则不能抵抗直接的网络窃听，从而易遭受重放攻击等。而动态口令即在传输的口令验证信息，是动态变化的。

从计算开销方面考虑,身份鉴别方案可分为两类:基于非单向散列函数和基于单向散列函数的方案。前者有以DES、RSA和EIGamal等进行加密的方案,这类方案的主要局限性是计算开销大、配置较复杂等问题,因此不太适合某些受限制的应用环境(比如用户的计算机配置较低的系统)。以单向散列函数(如MD5和SHA-1)进行加密的方案,由于具有存储、处理和传输开销较小的优点而被广泛关注，但下面几种常见的身份认证协议存在中间人攻击等安全隐患。

1)S/KEY。此方案中由于种子(seed)和迭代值(Seq)都是以明文形式在网络上传输,因此容易受到小数攻击。另外用户登录N-I次后必须重新注册,并且此方案的运算量大且在不同时间运算量不平均,实用性不佳。

2)CHAP(Challenge Handshake Authentication Protocol)。CHAP采用质询/响应方式进行身份鉴别,通过三次握手来对用户进行周期性地验证登录和访问请求,这种方案易受到内部攻击,口令猜测攻击和中间人攻击。

综合说来，多因子身份验证方法的现有技术存在如下问题：

1.多因子认证中，包含硬件因子，比如令牌、智能卡等会给认证带来以下问题：丢失硬件导致无法认证，引入的硬件与企业中原有Key发生冲突，增加企业成本(比如USB Key的缺点在于CA中心的部署和维护成本非常巨大)等。

2.单向认证方法无法抵抗中间人攻击。用户无法验证服务器身份，会存在服务器被冒充的风险。

发明内容

为了克服上述现有技术的不足，本发明提供一种多因子身份验证方法，目的是提高身份验证的安全性，可以应用到具有客户端/服务器端且保密性要求较高的身份验证系统中。

为了便于说明，本方法中所使用的符号说明如表1：

表1本发明所使用的符号及其含义说明

本发明的原理是：本发明的方法是通过动态口令、双向认证、非硬件因子相结合的一种多因子身份认证方法。其中：在本方法中引入时间和随机数作为动态因子。双向认证中，服务器验证客户端的身份结合了随机数和硬件指纹来实现，在特定局域网办公机构中自有USB Key决定了一人一机，本方法采集客户端的MAC地址、硬盘序列号和CpuID作为硬件指纹；虽然在这种特定办公环境下，可以将客户端身份和用户身份等同，但是这依旧存在很大安全隐患，为了解决这个问题，本方法采用手机软件来验证用户身份；而客户端是通过注册时服务器返回的公钥来验证服务器身份。此外，本发明还通过登录关联的方法，即将本次登录和下一次登录相关联，使得重放攻击的风险降到最低。本发明首先通过客户端注册，在注册阶段，客户端与服务器端相互通信，最终，客户端保存至本地硬盘，服务器保存了本发明提供的多因子身份认证是一种非硬件的多因子身份鉴别方法，一方面，可以满足登录身份验证系统的身份认证、信息安全性、完整性及不可抵赖性的要求；另一方面，本发明提供方法无需硬件设备，方便使用。

本发明提供的技术方案如下：

一种多因子身份验证方法，包括注册阶段和认证阶段，具体包括如下步骤：

(一)注册阶段：当前用户设定为C，通过设置登录名为Uc、登录口令为P_c、登录次数为N_c进行注册，客户端和服务器端S依次进行如下操作：

1.1)客户端生成随机数R_c1，通过计算得到J₁，将{U_c，J₁}保存；同时将{U_c，J₁}发送给服务器端；