[发明专利]多因子通用可组合认证及服务授权方法、通信服务系统

权利要求书

1.一种多因子通用可组合认证及服务授权方法，其特征在于，所述多因子通用可组合认证及服务授权方法结合生物特征、口令字及智能卡进行身份认证，通过模块化的设计，将认证阶段灵活地组合或者拆分执行，实现四种安全等级的身份认证；根据不同的强度的认证提供对应的密钥协商协议并完成服务授权；

所述多因子通用可组合认证及服务授权方法具体包括：

第一步，认证初始化阶段；

第二步，注册阶段；具体包括：

(1)认证服务器AS检查用户是否注册，若已注册，则直接执行第三步；若未注册，则生成一个系统唯一的用户标识ID_C，该标识后链接两个可扩展域：可获取功能标识及安全等级；安全等级的取值为0、1、2、3之一，并且由0至3，安全强度逐一加强；

(2)用户C在一个可信的设备上采集生物特征，并输入模糊提取器产生一对(R,N)，其中R是由生物特征中提取的随机数，N为可公开的辅助参数，若在模糊提取器中输入相同的生物特征及N则可恢复出R；

(3)用户C计算一个消息认证码密钥K_B＝Hash(R)并将(K_B，N)发送至认证服务器AS；

(4)认证服务器AS接收到消息后，生成随机数RN₁并且用对称加密算法SKE.Enc及密钥SK_C将K_B加密，生成D_K、计算公式为：

AS构造生物特征认证信息组D_Bio、计算公式为：

D_Bio＝(N,D_K,Hash,Rep)；

其中Hash为方案中使用的hash函数，Rep为模糊提取器中的恢复函数；AS生成2个新随机数RN₂、RN₃并计算口令字认证信息D_E、计算公式为：

(5)认证服务器AS将存有D_C、D_Bio及共享的椭圆曲线E、P的智能卡SC移交给用户C；对于无线网络中的移动设备，安全传输并保存以上数据；

(6)用户C用K_B加密D_Bio并存储，并选择口令字PW，用户设备生成随机数RN₄并计算口令字认证信息

(7)认证服务器存储并删除RN₃,D_Bio；

第三步，认证接入阶段；

第四步，生物特征及智能卡认证过程；

第五步，口令字及智能卡认证过程；

第六步，会话密钥协商阶段；

第七步，服务授权阶段。

2.如权利要求1所述的多因子通用可组合认证及服务授权方法，其特征在于，所述第一步的认证初始化阶段具体包括：

(1)认证服务器AS运行公钥生成算法生成一对密钥(PK_AS,SK_AS)；

(2)AS运行对称密钥生成算法生成用于用户认证的密钥SK_C；

(3)AS确定一个椭圆曲线E并计算其基点P，n是基点P的阶。

3.如权利要求1所述的多因子通用可组合认证及服务授权方法，其特征在于，所述第三步的认证接入阶段具体包括：

(1)用户C选择需要的服务并检查是否有有效的授权token，若用户C具有获取服务的有效token则不执行以下步骤，直接执行第六步，若无有效token，则执行(2)；

(2)C发送一个服务认证请求(ID_C,Request)至认证服务器；

(3)认证服务器AS检查ID_C后链接的安全等级中最大的为SR，若SR为0，则完成认证并不再进行第四步、第五步及第六步，直接执行第七步；若SR为1、3则执行第四步，若SR为2则不执行第四步，直接执行第五步；AS根据判断发送(SR,Attach)通知用户C执行相应步骤。