[发明专利]一种基于UAF和IBC的统一身份认证方法及装置

说明书

本发明公开了一种基于UAF和IBC的统一身份认证方法及装置，方法包括：通过UAF和IBC对注册的用户身份进行认证，在完成用户身份认证后，通过OAuth协议执行资源访问过程。本发明能够通过UAF实现“无口令”的认证，能过IBC实现用户能通过统一认证平台认证身份，无需各业务服务器分别绑定用户账户和公钥，实现统一的身份认证，有效提升了认证的安全性和效率。

技术领域

本发明涉及身份认证技术领域，尤其涉及一种基于UAF(UniversalAuthentication Framework，通用认证框架)和IBC(Identity-Based Cryptography，基于标识的密码技术)的统一身份认证方法及装置。

背景技术

目前国家电网公司大力推进“国上国网”等电力新兴业务建设，交费、办电、能源服务等业务繁多，现有静态、封闭的身份管理机制存在身份认证方式单一、安全隐患排查困难的问题。为了增强电力业务身份认证安全强度，降低认证成本，需要研究新的统一身份认证授权方案，实现各种电力业务“一证通办”的目标。

目前大多数业务系统采用“用户名+口令”方式实现用户的在线身份认证，用户首先通过在线服务或网站进行注册，将用户名和口令与用户账户进行绑定，在随后的登录过程中，只需要通过用户名和口令的方式完成用户在线认证。但这种认证方式存在口令易泄露、复杂口令易遗忘、弱口令等问题。

为了解决上述问题，FIDO(Fast Identity Online，在线快速身份认证)联盟成立，旨在创建一套标准的开放协议实现强用户认证，以此消除或减弱用户对口令的依赖。目前FIDO给出UAF和U2F(Universal Second Factor，通用第二因子协议)两套协议，UAF能够实现“无口令”的强用户认证，U2F则增加第二因子提升现有口令认证机制的安全性。UAF在注册时将用户在服务器端的账户和UAF设备绑定在一起，随后在认证过程中，用户无需输入口令，只需要在UAF设备中通过生物特征识别或简单的PIN即可完成认证实现账户登录。但UAF需要用户在服务器端进行注册，将用户账户和公钥绑定，并没有解决统一身份认证问题，尤其是用户身份认证涉及多个业务统或跨域多资源访问时，分别需要进行注册和认证，使用并不方便。

IBC能够将用户的身份信息作为公钥，无需数字证书绑定，因此非常适用于身份认证。在IBC中，首先由KGC(Key Generation Center，密钥生成中心)生成主公钥和主私钥，然后KGC再利用自己的密钥根据用户的身份信息ID(如名称、e-mail、身份证号等)为用户生在私钥，用户的ID即为公钥，能够非常简单地实现用户身份认证。但IBC存在密钥更新难题，即若某个用户私钥泄露，或者需要用户更换ID，此时身份的自证性会大打折扣，或者由KGC更换主私钥和主公钥，此时所有用户的私钥都需要重新更新，造成非常大的麻烦。

因此，如何更加有效的进行统一身份认证，是一项亟待解决的问题。

发明内容

有鉴于此，本发明提供了一种基于UAF和IBC的统一身份认证方法，能够通过UAF实现“无口令”的认证，能过IBC实现用户能通过统一认证平台认证身份，无需各业务服务器分别绑定用户账户和公钥，实现统一的身份认证，有效提升了认证的安全性和效率。

本发明提供了一种基于UAF和IBC的统一身份认证方法，包括：

通过UAF和IBC对注册的用户身份进行认证；

在完成用户身份认证后，通过OAuth协议执行资源访问过程。

优选地，所述在通过UAF和IBC对注册的用户身份进行认证前，还包括：

注册用户身份。

优选地，所述注册用户身份，包括：

用户终端生成用户ID，并将所述用户ID发送至统一认证平台；