多因子安全增強授權與認證方法
【專利摘要】本發(fā)明實施例提供一種多因子安全增強授權與認證方法,包括:注冊步驟�,通過在驗證網(wǎng)關上存儲與示證用戶相關的可信因子來完成示證用戶在驗證網(wǎng)關上的注冊,并且在驗證網(wǎng)關與示證用戶之間同步可信因子���,并且分別將同步成功的可信因子存儲為認證因子��;安全增強授權步驟����,驗證網(wǎng)關在安全域內采集授權因子并同步到示證用戶����,驗證網(wǎng)關和示證用戶分別將同步成功的全部授權因子存儲為認證因子;安全增強認證碼生成步驟�����,驗證網(wǎng)關和示證用戶分別生成安全增強認證碼�����;以及安全認證步驟��,驗證網(wǎng)關驗證示證用戶提供的安全增強認證碼是否匹配��,以對示證用戶進行安全認證�����。本發(fā)明的方法提高多認證因子傳輸安全性��、減少認證數(shù)據(jù)網(wǎng)絡傳輸流量,減少認證時長��。
【專利說明】多因子安全增強授權與認證方法
【技術領域】
[0001] 本發(fā)明涉及信息安全領域�,尤其涉及一種多因子安全增強授權與認證方法。
【背景技術】
[0002] 安全域是指同一環(huán)境內有相同的安全保護需求��、相互信任��、并具有相同的安全訪 問控制和邊界控制策略的網(wǎng)絡或系統(tǒng)�。網(wǎng)絡安全域是指同一系統(tǒng)內有相同的安全保護需 求,相互信任��,并具有相同的安全訪問控制和邊界控制策略的子網(wǎng)或網(wǎng)絡�����,且相同的網(wǎng)絡安 全域共享一樣的安全策略����。廣義的安全域是具有相同業(yè)務要求和安全要求的系統(tǒng)要素集 合,該些要素包括網(wǎng)絡區(qū)域�����、主機和系統(tǒng)����、人和組織�����、物理環(huán)境�、策略和流程�、業(yè)務和使命等 諸多因素����。通過網(wǎng)絡安全域的劃分,可W把一個復雜的大型網(wǎng)絡系統(tǒng)安全問題轉化為較小 區(qū)域更為單純的安全保護問題�����,從而更好地控制網(wǎng)絡安全風險���,降低系統(tǒng)風險�����;利用網(wǎng)絡安 全域的劃分���,理順網(wǎng)絡架構��,可W更好地指導系統(tǒng)的安全規(guī)劃和設計����、入網(wǎng)和驗收工作��;通 過網(wǎng)絡安全域的劃分�,各區(qū)域防護重點明確,可W將有限的安全設備投入到最需要保護的 資產(chǎn)�,提高安全設備利用率;有了網(wǎng)絡安全域的劃分����,相對簡化了網(wǎng)絡安全的運維工作,并 可有的放矢地部署網(wǎng)絡審計設備����,提供檢查審核依據(jù)。
[0003] 安全域通過授權和身份認證來防止非法用戶對安全域的非法訪問��。授權和認證涉 及到兩方����;示證用戶和驗證網(wǎng)關。示證用戶一般指安全域的用戶終端��、用戶卡等,驗證網(wǎng)關 一般指安全域的授權與認證管理信息系統(tǒng)���、安全認證網(wǎng)關設備等��。
[0004] 授權是驗證網(wǎng)關簽發(fā)給示證用戶的通行證�����,對安全域而言���,是安全域簽發(fā)給用戶 的通行證�����,規(guī)定用戶是否有權出入某個安全域��,側重于強調用戶擁有什么樣的訪問權限����,該 種權限是系統(tǒng)預先設定的,并不關也用戶是否發(fā)起訪問請求�。
[0005] 身份認證是示證用戶向驗證網(wǎng)關證實其真實身份與其所聲稱的身份是否相符的 過程,該一過程是通過特定的協(xié)議和算法來實現(xiàn)的�����。身份認證是安全域驗證用戶身份與其 所聲稱的身份是否一致,防止非法用戶進入安全域����。身份認證是信息安全理論的重要組成 部分,它W密碼理論為基礎�����,同時也是訪問控制和審計的前提��,對網(wǎng)絡環(huán)境下的信息安全尤 其重要�。
[0006] 身份認證的數(shù)學基礎有兩種,知識認證和零知識認證����。示證用戶試圖向驗證網(wǎng)關 證明自己知道某信息。一種方法是示證用戶說出該一信息使得驗證網(wǎng)關相信�,該樣驗證網(wǎng) 關也知道了該一信息,該是基于知識的證明�,稱為知識認證。另一種方法是使用某種有效的 數(shù)學方法�,使得驗證網(wǎng)關相信示證用戶掌握該一信息,卻不泄露任何有用的信息,該是基于 零知識的證明�����,稱為零知識認證���。零知識認證可W分為兩大類����;最小泄露認證和零知識認 證��。
[0007] 身份認證的知識認證方式基于H種物理基礎�����;示證用戶所知道的知識�����、示證用戶 擁有的知識�、示證用戶的特征知識���。第一類的例子是最常用的密碼和口令�;第二類的例子有 身份證、護照�����、密鑰盤等�;第H類包括用戶的生物特征,如指紋�����、紅膜�、DNA、聲紋����,還包括用戶 的下意識行為,比如簽名�����。該H類物理基礎各有利弊���。第一類方法最簡單��,系統(tǒng)開銷最小��, 但是最不安全����;第二類泄漏秘密的可能性比較小,因而安全性比第一類高�,但是認證系統(tǒng)相 對復雜;第H類的安全性最高�����,比如想竊取一個人的指紋是很困難的�,但是涉及更復雜的算 法和實現(xiàn)技術。針對前兩類基礎的技術起步較早�,目前相對成熟,應用比較廣泛��。有關第H 類的技術也由于它在安全性上的優(yōu)勢正在迅速發(fā)展���。
[0008] 在安全域授權與認證領域��,計算機網(wǎng)絡世界中一切信息包括用戶的身份信息都是 用一組特定的數(shù)據(jù)來表示的���,計算機只能識別用戶的數(shù)字身份�,所有對用戶的授權也是針 對用戶數(shù)字身份的授權。由于大量的身份信息在計算機網(wǎng)絡上進行傳輸,關于身份信息的 保護越來越被關注與增強�,在電子交易、行政執(zhí)法�、移動辦公等領域,早已不再簡單的依靠 用戶名口令的方式認證�,越來越多的認證過程加入了授權過程加入了更多的認證因子。
[0009] 在實現(xiàn)本發(fā)明的過程中���,發(fā)明人發(fā)現(xiàn)現(xiàn)有的授權與認證技術中存在如下問題���;1、 認證過程中����,認證因子直接暴露在網(wǎng)絡上進行傳輸,很容易被非法獲?��?��;2、對于有較高安全 要求的系統(tǒng)或者網(wǎng)絡�,安全域采取多因子安全認證技術提高安全認證級別,現(xiàn)有的授權與 認證技術需要示證用戶傳輸所有的認證因子����,例如用戶密碼����、用戶特征值����、系統(tǒng)終端介質等 多重信息,導致網(wǎng)絡流量大����,在網(wǎng)絡帶寬有限的情況下,尤其是移動通信網(wǎng)絡下���,因認證數(shù) 據(jù)傳輸時間較長而直接導致認證過程耗時很長�����;3���、安全域在需要從不同側面對用戶進行認 證時,現(xiàn)有的授權與認證技術存在多次認證�����、認證網(wǎng)絡流量大�����、認證過程時間長等問題����,當 認證因子和驗證環(huán)節(jié)較多時,在當前使用的認證方法中采用多次認證方式�,每個側面都獨 立認證一次,導致示證用戶需要多次發(fā)起認證��、傳輸認證數(shù)據(jù)�、不同的驗證網(wǎng)關進行身份驗 證,導致認證時間長��、消耗的網(wǎng)絡流量大����。
【發(fā)明內容】
[0010] 本發(fā)明實施例提供一種多因子安全增強授權與認證方法,W在安全域對用戶進行 認證時提高多認證因子傳輸安全性����、減少認證數(shù)據(jù)網(wǎng)絡傳輸流量,減少認證時長���。
[0011] 根據(jù)本發(fā)明的第一方面��,提供一種多因子安全增強授權與認證方法��,用于安全域 的示證用戶認證過程�,所述安全域包括驗證網(wǎng)關,該多因子安全增強授權與認證方法包 括:
[0012] 注冊步驟����,在該步驟中,通過在驗證網(wǎng)關上存儲與示證用戶相關的可信因子來完 成示證用戶在驗證網(wǎng)關上的注冊�����,并且在驗證網(wǎng)關與示證用戶之間同步可信因子��,驗證網(wǎng) 關將同步成功的可信因子存儲為認證因子���,并且注冊用戶將同步成功的可信因子也存儲為 認證因子���;
[0013] 安全增強授權步驟,在該步驟中��,驗證網(wǎng)關在安全域內采集與完成了注冊步驟的 示證用戶關聯(lián)的一個或多個授權因子�,并且與示證用戶同步全部授權因子��,驗證網(wǎng)關將同 步成功的全部授權因子存儲為認證因子���,并且示證用戶將同步成功的全部授權因子存儲為 認證因子����;
[0014] 安全增強認證碼生成步驟,在該步驟中��,驗證網(wǎng)關和示證用戶分別根據(jù)各自存儲 的認證因子按照相同算法生成安全增強認證碼�;W及
[0015] 安全認證步驟,在該步驟中�����,驗證網(wǎng)關驗證自身生成的安全增強認證碼與示證用 戶提供的安全增強認證碼是否匹配�,W對示證用戶進行安全認證。
[0016] 根據(jù)本發(fā)明的第二方面的多因子安全增強授權與認證方法����,所述注冊步驟包括:
[0017] 邏輯注冊步驟,在該步驟中���,W在驗證網(wǎng)關的數(shù)據(jù)庫中存儲與示證用戶相關的邏 輯可信因子���,所述邏輯可信因子是與示證用戶相關聯(lián)的可信因子并且不描述示證用戶的物 理設備信息�����,僅僅完成邏輯注冊的示證用戶不允許訪問安全域內除驗證網(wǎng)關之外的其他任 何設備��;W及
[0018] 物理注冊步驟�,在邏輯注冊步驟完成后����,驗證網(wǎng)關授權示證用戶登錄到驗證網(wǎng)關 進行物理注冊步驟,在物理注冊步驟中��,示證用戶在首次登錄到驗證網(wǎng)關后�,W在線方式將 采集到的與示證用戶的物理設備相關的物理可信因子上傳到驗證網(wǎng)關的數(shù)據(jù)庫,所述物理 可信因子是描述示證用戶的物理設備信息的可信因子�,并且在驗證網(wǎng)關與示證用戶之間同 步邏輯可信因子和物理可信因子,驗證網(wǎng)關將同步成功的邏輯可信因子和物理可信因子存 儲為認證因子�����,并且注冊用戶將同步成功的邏輯可信因子和物理可信因子也存儲為認證因 子�����。
[0019] 根據(jù)本發(fā)明的第H方面的多因子安全增強授權與認證方法,示證用戶具有數(shù)據(jù) 庫���,在該數(shù)據(jù)庫中建立同步表和安全增強認證因子表�,并且驗證網(wǎng)關具有數(shù)據(jù)庫���,在該數(shù)據(jù) 庫中建立同步表和安全增強認證因子表����,其中�����,示證用戶的同步表和驗證網(wǎng)關的同步表均 用于存儲未在示證用戶和驗證網(wǎng)關之間完成同步的可信因子和授權因子��,示證用戶的安全 增強認證因子表和驗證網(wǎng)關的安全增強認證因子表均用于將已經(jīng)在示證用戶和驗證網(wǎng)關 之間完成同步的可信因子和授權因子存儲為認證因子��,
[0020] 其中���,所述物理注冊步驟包括:
[0021] 示證用戶采集與示證用戶的物理設備相關的物理可信因子并存儲到示證用戶的 同步表;
[0022] 示證用戶將示證用戶的同步表中的物理可信因子提交到驗證網(wǎng)關��;
[0023] 驗證網(wǎng)關在接收到示證用戶提交的物理可信因子后,將接收到的物理可信因子在 驗證網(wǎng)關的安全增強認證因子表中存儲為認證因子�;
[0024] 驗證網(wǎng)關將認證因子成功接收的確認信息返回給示證用戶;W及
[00巧]示證用戶接收到驗證網(wǎng)關發(fā)來的確認信息后��,將示證用戶的同步表中的物理可信 因子從該同步表中更新到示證用戶的安全增強認證因子表中作為認證因子���。
[0026] 根據(jù)本發(fā)明的第四方面的多因子安全增強授權與認證方法�,在將示證用戶的同步 表中的物理可信因子從該同步表中更新到示證用戶的安全增強認證因子表中作為認證因 子之后��,所述物理注冊步驟還包括:
[0027] 驗證網(wǎng)關采集需要與示證用戶同步的與示證用戶相關的邏輯可信因子��,將所述邏 輯可信因子存儲到驗證網(wǎng)關的同步表�;
[0028] 驗證網(wǎng)關向示證用戶發(fā)送驗證網(wǎng)關的同步表中存儲的邏輯可信因子;
[0029] 示證用戶在接收到驗證網(wǎng)關發(fā)送的邏輯可信因子后�����,將接收到的邏輯可信因子存 儲到示證用戶的同步表中�;
[0030] 示證用戶向驗證網(wǎng)關返回邏輯可信因子接收成功的確認信息;
[0031] 驗證網(wǎng)關在接收到示證用戶返回的邏輯可信因子接收成功的確認信息后�,將驗證 網(wǎng)關的同步表中的邏輯可信因子更新到驗證網(wǎng)關的安全增強認證因子表中;
[0032] 驗證網(wǎng)關向示證用戶返回在安全增強認證因子表中成功更新邏輯可信因子的確 認信息擬及
[0033] 示證用戶在接收到驗證網(wǎng)關返回的在安全增強認證因子表中成功更新邏輯可信 因子的確認信息后����,將示證用戶的同步表中的認證因子更新到示證用戶的安全增強認證因 子表中���。
[0034] 根據(jù)本發(fā)明的第五方面的多因子安全增強授權與認證方法,所述安全增強授權步 驟還包括:
[00巧]驗證網(wǎng)關在安全域內采集與完成了注冊步驟的示證用戶關聯(lián)的一個或多個授權 因子����,將所述授權因子存儲到驗證網(wǎng)關的同步表;
[0036] 驗證網(wǎng)關向示證用戶發(fā)送驗證網(wǎng)關的同步表中存儲的授權因子�����;
[0037] 示證用戶在接收到驗證網(wǎng)關發(fā)送的授權因子后��,將接收到的授權因子存儲到示證 用戶的同步表中����;
[0038] 示證用戶向驗證網(wǎng)關返回授權因子接收成功的確認信息����;
[0039] 驗證網(wǎng)關在接收到示證用戶返回的授權因子接收成功的確認信息后,將驗證網(wǎng)關 的同步表中的授權因子更新到驗證網(wǎng)關的安全增強認證因子表中�����;
[0040] 驗證網(wǎng)關向示證用戶返回在安全增強認證因子表中成功更新授權因子的確認信 息擬及
[0041] 示證用戶在接收到驗證網(wǎng)關返回的在安全增強認證因子表中成功更新授權因子 的確認信息后����,將示證用戶的同步表中的認證因子更新到示證用戶的安全增強認證因子表 中�����。
[0042] 根據(jù)本發(fā)明的第六方面的多因子安全增強授權與認證方法����,所述安全增強授權步 驟還包括W多環(huán)節(jié)授權方式生成授權因子����,所述多環(huán)節(jié)授權方式是指,如果在安全域內存 在多個授權環(huán)節(jié)���,所有授權環(huán)節(jié)共享授權因子數(shù)據(jù)庫并生成各自的授權因子�����,所有授權環(huán) 節(jié)統(tǒng)一將授權因子同步到示證用戶�。
[0043] 根據(jù)本發(fā)明的第走方面的多因子安全增強授權與認證方法�����,當安全認證步驟的結 果為認證未通過時����,將示證用戶的同步表中的數(shù)據(jù)更新到示證用戶的安全增強認證因子表 中之后���,再次執(zhí)行安全增強認證碼生成步驟和安全認證步驟。
[0044] 根據(jù)本發(fā)明的第八方面的多因子安全增強授權與認證方法�����,在示證用戶首次登錄 到驗證網(wǎng)關之后每次登錄驗證網(wǎng)關時���,示證用戶檢測示證用戶的安全增強認證因子表中存 儲的物理可信因子和采集到的與示證用戶的物理設備相關的物理可信因子是否一致��,如果 不一致�,則示證用戶先使用現(xiàn)有安全增強認證因子表執(zhí)行安全增強認證碼生成步驟和安全 認證步驟���,在安全認證步驟的結果為通過認證之后��,再次執(zhí)行物理注冊步驟。
[0045] 根據(jù)本發(fā)明的第九方面的多因子安全增強授權與認證方法�����,所述算法為哈希算 法�。
[0046] 根據(jù)本發(fā)明的第十方面的多因子安全增強授權與認證方法��,安全增強認證碼的長 度短于可信因子和授權因子的總長度����。
[0047] 上述技術方案具有如下有益效果���;1��、本發(fā)明的多因子安全增強授權與認證方法在 認證過程中�����,只是傳輸用戶名和安全增強認證碼����,而可信因子���、授權因子��、安全增強認證碼 生成算法均不在認證過程中傳輸�����,因此增強了可信因子���、授權因子的安全性�����。2��、本發(fā)明很好 地適用于多個可信因子��、授權因子組成的多因子認證����,通過算法���,優(yōu)選為哈希算法�����,編碼出 安全增強認證碼使得各個因子相互關聯(lián)���、相互認證,提高安全認證的級別����。3、本發(fā)明的多因 子安全增強授權與認證方法將示證用戶注冊步驟分為邏輯注冊步驟和物理注冊步驟兩步�, 要求示證用戶的用戶設備唯一編碼等物理信息由示證用戶在物理注冊過程中自行采集、自 動注冊�����,簡化了系統(tǒng)管理的過程��,使得系統(tǒng)管理人員不需要手工采集每個示證用戶的物理 可信因子����。4、本發(fā)明的多因子安全增強授權與認證方法優(yōu)選采用哈希算法編碼出固定長度 的安全增強認證碼��,可信因子和驗證網(wǎng)關的授權因子的數(shù)量��、長度不影響安全增強認證碼 的長度�����,支持一個安全增強認證碼通行整個安全域�����,有效支持多個驗證網(wǎng)關統(tǒng)一驗證����,支持 將多次驗證合并簡化為一次驗證��;通過減少認證次數(shù)提高了認證速度����,并且哈希算法本身 有很強的數(shù)據(jù)壓縮效果����,通過減少認證時的網(wǎng)絡流量提高了認證速度。5��、本發(fā)明優(yōu)選所有 授權環(huán)節(jié)共享授權因子數(shù)據(jù)庫����,全安全域統(tǒng)一同步授權因子到示證用戶,支持多方授權情 況下統(tǒng)一授權因子的同步和統(tǒng)一身份認證�����。6�����、本發(fā)明通過多次交互協(xié)商機制完成示證用戶 注冊、驗證網(wǎng)關授權因子發(fā)布等工作�����,并采用了示證用戶認證不通過后自動將示證用戶同 步表中的數(shù)據(jù)更新到示證用戶安全增強認證因子表中對應的數(shù)據(jù)�����,再次進行認證的手段��, 該些特征很好支持了各種網(wǎng)絡不穩(wěn)定��、授權或認證發(fā)生異常等情況下自動糾錯�����,提升了系 統(tǒng)的穩(wěn)定性和適用性���,尤其適用于移動通信網(wǎng)絡下的授權與認證。8��、本發(fā)明通過登錄檢測 示證用戶的物理可信因子��,與示證用戶的安全增強認證因子表中的數(shù)據(jù)進行對比�����,實時發(fā) 現(xiàn)物理可信因子的變化,及時將變化的認證因子重新注冊到驗證網(wǎng)關��,提升了多因子認證 的靈活性和適用性���。
【專利附圖】
【附圖說明】
[0048] 為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術中的技術方案��,下面將對實施例或現(xiàn) 有技術描述中所需要使用的附圖作簡單地介紹��,顯而易見地�,下面描述中的附圖僅僅是本 發(fā)明的一些實施例�����,對于本領域普通技術人員來講����,在不付出創(chuàng)造性勞動的前提下,還可W 根據(jù)該些附圖獲得其他的附圖��。
[0049] 圖1為本發(fā)明的多因子安全增強授權與認證方法的總體流程圖����。
[0050] 圖2為本發(fā)明的多因子安全增強授權與認證方法中的對物理可信因子進行"雙表 五步一確認"的同步處理的流程圖��。
[0051] 圖3為本發(fā)明的多因子安全增強授權與認證方法中的對邏輯可信因子進行"雙表 走步H確認"同步處理的流程圖�����。
[0052] 圖4為本發(fā)明的多因子安全增強授權與認證方法的實施例中示證用戶在驗證網(wǎng) 關上進行注冊的流程圖���。
[0053] 圖5為本發(fā)明的多因子安全增強授權與認證方法中的對授權因子進行"雙表走步 H確認"同步處理的流程圖�����。
[0054] 圖6為在圖5所示的本發(fā)明的多因子安全增強授權與認證方法中的對授權因子進 行"雙表走步H確認"同步處理過程中的步驟505之后出現(xiàn)網(wǎng)絡異常斷開情況時的處理過 程的流程圖�。
【具體實施方式】
[0055] 下面將結合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術方案進行清楚��、完 整地描述���,顯然�,所描述的實施例僅僅是本發(fā)明一部分實施例��,而不是全部的實施例����?�;?本發(fā)明中的實施例����,本領域普通技術人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他 實施例�,都屬于本發(fā)明保護的范圍。
[0056] 圖1為本發(fā)明的多因子安全增強授權與認證方法的總體流程圖��。
[0057] 圖1所示的本發(fā)明的多因子安全增強授權與認證方法用于安全域的示證用戶認 證過程�,所述安全域包括驗證網(wǎng)關。該多因子安全增強授權與認證方法包括:
[0058] 注冊步驟101�,在該步驟中,通過在驗證網(wǎng)關上存儲與示證用戶相關的可信因子來 完成示證用戶在驗證網(wǎng)關上的注冊����,并且在驗證網(wǎng)關與示證用戶之間同步可信因子,驗證 網(wǎng)關將同步成功的可信因子存儲為認證因子�,并且注冊用戶將同步成功的可信因子也存儲 為認證因子;
[0059] 安全增強授權步驟102,在該步驟中���,驗證網(wǎng)關在安全域內采集與完成了注冊步驟 101的示證用戶關聯(lián)的一個或多個授權因子�,并且與示證用戶同步全部授權因子���,驗證網(wǎng)關 將同步成功的全部授權因子存儲為認證因子�,并且示證用戶將同步成功的全部授權因子存 儲為認證因子;
[0060] 安全增強認證碼生成步驟103,在該步驟中��,驗證網(wǎng)關和示證用戶分別根據(jù)各自存 儲的認證因子按照相同算法生成安全增強認證碼�����;W及
[0061] 安全認證步驟104,在該步驟中�,驗證網(wǎng)關驗證自身生成的安全增強認證碼與示證 用戶提供的安全增強認證碼是否匹配,W對示證用戶進行安全認證�。
[0062] 優(yōu)選地,在圖1所示的本發(fā)明的多因子安全增強授權與認證方法中�,所述注冊步 驟101可W包括:
[0063] 邏輯注冊步驟����,在該步驟中,W在驗證網(wǎng)關的數(shù)據(jù)庫中存儲與示證用戶相關的邏 輯可信因子���,所述邏輯可信因子是與示證用戶相關聯(lián)的可信因子并且不描述示證用戶的物 理設備信息�,僅僅完成邏輯注冊的示證用戶不允許訪問安全域內除驗證網(wǎng)關之外的其他任 何設備����;W及
[0064] 物理注冊步驟,在邏輯注冊步驟完成后�,驗證網(wǎng)關授權示證用戶登錄到驗證網(wǎng)關 進行物理注冊步驟�����,在物理注冊步驟中����,示證用戶在首次登錄到驗證網(wǎng)關后��,W在線方式將 采集到的與示證用戶的物理設備相關的物理可信因子上傳到驗證網(wǎng)關的數(shù)據(jù)庫����,所述物理 可信因子是描述示證用戶的物理設備信息的可信因子,并且在驗證網(wǎng)關與示證用戶之間同 步邏輯可信因子和物理可信因子����,驗證網(wǎng)關將同步成功的邏輯可信因子和物理可信因子存 儲為認證因子,并且注冊用戶將同步成功的邏輯可信因子和物理可信因子也存儲為認證因 子�。
[0065] 具體而言,在圖1所示的本發(fā)明的多因子安全增強授權與認證方法中��,在注冊步 驟101中可W進行該樣的操作�����;在示證用戶的注冊數(shù)據(jù)中���,選擇示證用戶用戶名�、密碼、數(shù) 字證書�、用戶設備唯一編碼、用戶自身的身份識別編碼�����、用戶聯(lián)系方式等等數(shù)據(jù)作為可信因 子����。優(yōu)選的,示證用戶在驗證網(wǎng)關上注冊的過程可W分兩步�����;第一步�����,邏輯注冊��,即通過系 統(tǒng)管理人員在驗證網(wǎng)關上登記示證用戶的邏輯描述性的邏輯可信因子���,包括用戶名�,初始 密碼�����,組織機構數(shù)據(jù)����,聯(lián)系方式數(shù)據(jù)等等,注冊受理完成后�,驗證網(wǎng)關自動授權示證用戶登 錄到驗證網(wǎng)關進行下一步注冊過程,僅僅完成邏輯注冊的示證用戶不允許訪問安全域內除 驗證網(wǎng)關之外的其他任何設備���;第二步���,物理注冊,即示證用戶首次登錄到驗證網(wǎng)關后�,示 證用戶將其設備內存儲的描述示證用戶物理設備信息的物理可信因子,包括數(shù)字證書����、用 戶設備唯一編碼等數(shù)據(jù)上傳到驗證網(wǎng)關數(shù)據(jù)庫中,并從驗證網(wǎng)關數(shù)據(jù)庫中下載在上一步邏 輯注冊過程中登記的邏輯可信因子����。優(yōu)選的�����,在示證用戶的注冊數(shù)據(jù)中�����,選擇示證用戶用戶 名��、密碼���、數(shù)字證書、用戶設備唯一編碼��、用戶自身的身份識別編碼�、用戶聯(lián)系方式等等數(shù)據(jù) 作為可信因子。另外��,在邏輯注冊步驟中����,可W W離線方式或在線方式在驗證網(wǎng)關的數(shù)據(jù)庫 中存儲與示證用戶相關的邏輯可信因子��。
[0066] 邏輯注冊步驟和物理注冊步驟具體描述將在后面參照圖4對應用實施例進行討 論時再進一步進行描述。
[0067] 優(yōu)選地���,在圖1所示的本發(fā)明的多因子安全增強授權與認證方法中�,示證用戶具 有數(shù)據(jù)庫����,在該數(shù)據(jù)庫中建立同步表和安全增強認證因子表,并且驗證網(wǎng)關具有數(shù)據(jù)庫�,在 該數(shù)據(jù)庫中建立同步表和安全增強認證因子表,其中��,示證用戶的同步表和驗證網(wǎng)關的同 步表均用于存儲未在示證用戶和驗證網(wǎng)關之間完成同步的可信因子和授權因子�,示證用戶 的安全增強認證因子表和驗證網(wǎng)關的安全增強認證因子表均用于將已經(jīng)在示證用戶和驗 證網(wǎng)關之間完成同步的可信因子和授權因子存儲為認證因子。
[0068] 圖2為本發(fā)明的多因子安全增強授權與認證方法中的對物理可信因子進行"雙表 五步一確認"的同步處理的流程圖���。
[006引如圖2所示�����,所述物理注冊步驟包括:
[0070] 201���、示證用戶采集與示證用戶的物理設備相關的物理可信因子并存儲到示證用 戶的同步表;
[0071] 202���、示證用戶將示證用戶的同步表中的物理可信因子提交到驗證網(wǎng)關����;
[0072] 203、驗證網(wǎng)關在接收到示證用戶提交的物理可信因子后�,將接收到的物理可信因 子在驗證網(wǎng)關的安全增強認證因子表中存儲為認證因子;
[0073] 204�、驗證網(wǎng)關將認證因子成功接收的確認信息返回給示證用戶;W及
[0074] 205����、示證用戶接收到驗證網(wǎng)關發(fā)來的確認信息后,將示證用戶的同步表中的物理 可信因子從該同步表中更新到示證用戶的安全增強認證因子表中作為認證因子�����。
[00巧]在本發(fā)明中�,上述物理注冊步驟中將示證用戶的物理可信因子同步到驗證網(wǎng)關的 方式可W稱作"雙表五步一確認"方式。
[0076] 圖3為本發(fā)明的多因子安全增強授權與認證方法中的對邏輯可信因子進行"雙表 走步H確認"同步處理的流程圖�����。
[0077] 優(yōu)選地���,在圖1所示的本發(fā)明的多因子安全增強授權與認證方法中,在將示證用 戶的同步表中的物理可信因子從該同步表中更新到示證用戶的安全增強認證因子表中作 為認證因子之后,參照圖3,所述物理注冊步驟還包括:
[007引 301�����、驗證網(wǎng)關采集需要與示證用戶同步的與示證用戶相關的邏輯可信因子��,將所 述邏輯可信因子存儲到驗證網(wǎng)關的同步表�����;
[0079] 302����、驗證網(wǎng)關向示證用戶發(fā)送驗證網(wǎng)關的同步表中存儲的邏輯可信因子;
[0080] 303�、示證用戶在接收到驗證網(wǎng)關發(fā)送的邏輯可信因子后,將接收到的邏輯可信因 子存儲到示證用戶的同步表中��;
[0081] 304����、示證用戶向驗證網(wǎng)關返回邏輯可信因子接收成功的確認信息;
[0082] 305��、驗證網(wǎng)關在接收到示證用戶返回的邏輯可信因子接收成功的確認信息后�����,將 驗證網(wǎng)關的同步表中的邏輯可信因子更新到驗證網(wǎng)關的安全增強認證因子表中;
[0083] 306��、驗證網(wǎng)關向示證用戶返回在安全增強認證因子表中成功更新邏輯可信因子 的確認信息����;W及
[0084] 307、示證用戶在接收到驗證網(wǎng)關返回的在安全增強認證因子表中成功更新邏輯 可信因子的確認信息后���,將示證用戶的同步表中的認證因子更新到示證用戶的安全增強認 證因子表中���。
[0085] 在本發(fā)明中,上述物理注冊步驟中將驗證網(wǎng)關所存儲的邏輯可信因子同步到示證 用戶的同步到方式可W稱作"雙表走步H確認"方式�。
[0086] 圖5為本發(fā)明的多因子安全增強授權與認證方法中的對授權因子進行"雙表走步 H確認"同步處理的流程圖。
[0087] 優(yōu)選地����,在圖1所示的本發(fā)明的多因子安全增強授權與認證方法中,參照圖5,所 述安全增強授權步驟102還包括:
[0088] 501��、驗證網(wǎng)關在安全域內采集與完成了注冊步驟101的示證用戶關聯(lián)的一個或 多個授權因子�,將所述授權因子存儲到驗證網(wǎng)關的同步表;
[0089] 502���、驗證網(wǎng)關向示證用戶發(fā)送驗證網(wǎng)關的同步表中存儲的授權因子����;
[0090] 503���、示證用戶在接收到驗證網(wǎng)關發(fā)送的授權因子后���,將接收到的授權因子存儲到 示證用戶的同步表中;
[0091] 504��、示證用戶向驗證網(wǎng)關返回授權因子接收成功的確認信息�;
[0092] 505、驗證網(wǎng)關在接收到示證用戶返回的授權因子接收成功的確認信息后�����,將驗證 網(wǎng)關的同步表中的授權因子更新到驗證網(wǎng)關的安全增強認證因子表中�����;
[0093] 506���、驗證網(wǎng)關向示證用戶返回在安全增強認證因子表中成功更新授權因子的確 認信息���;W及
[0094] 507���、示證用戶在接收到驗證網(wǎng)關返回的在安全增強認證因子表中成功更新授權 因子的確認信息后,將示證用戶的同步表中的認證因子更新到示證用戶的安全增強認證因 子表中�。
[0095] 在本發(fā)明中,上述物理注冊步驟中將驗證網(wǎng)關所存儲的授權因子同步到示證用戶 的同步到方式也可W稱作"雙表走步H確認"方式��。
[0096] 而且���,從W上參照圖3和圖5的描述可見�����,將"邏輯可信因子"和"授權因子"從驗 證網(wǎng)關同步到示證用戶的方式都可采用"雙表走步H確認"方式�。
[0097] 在本發(fā)明中���,優(yōu)選地�,將示證用戶存儲的可信因子同步到驗證網(wǎng)關時��,可采用"雙 表五步一確認"的同步方式����,包括在注冊�����、變更等情況下物理可信因子和邏輯可信因子的同 步��。優(yōu)選地��,當將驗證網(wǎng)關存儲的可信因子和授權因子同步到示證用戶時,可采用"雙表走 步H確認"的同步方式���,包括從驗證網(wǎng)關上下載邏輯可信因子到示證用戶��、驗證網(wǎng)關發(fā)布授 權因子到示證用戶����、驗證網(wǎng)關修改認證因子同步到示證用戶等���。
[009引 W下舉例說明在"雙表五步一確認"的同步方式的概念��。例如���,"雙表"指的是:在 示證用戶數(shù)據(jù)庫和驗證網(wǎng)關數(shù)據(jù)庫中各建立兩張表,一個是同步表���,用于存儲未完成同步 的認證因子��,一個是安全增強認證因子表�,用于存儲已經(jīng)完成同步的認證因子,該表中的認 證因子用來生成安全增強認證碼���。例如��,"五步一確認"指的是:
[0099] 第一步�,示證用戶采集本地的認證因子存儲到本地同步表���;
[0100] 第二步����,示證用戶將同步表中的認證因子提交到驗證網(wǎng)關�;
[0101] 第H步,驗證網(wǎng)關收到示證用戶的認證因子后��,將認證因子存儲在本地安全增強 認證因子表中����;
[0102] 第四步,即,確認步驟��,驗證網(wǎng)關返回給示證用戶認證因子成功接收的確認信息��;
[0103] 第五步���,示證用戶接收到驗證網(wǎng)關發(fā)來的確認信息后����,將認證因子從本地的同步 表中剪切到安全增強認證因子表中����。
[0104] 而且����,在示證用戶中建立同步表和安全增強認證因子表,記錄下來未完成同步和 完成同步的認證因子�����,每次示證用戶與驗證網(wǎng)關認證通過后����,都要將同步表中未完成同步 的數(shù)據(jù)繼續(xù)完成同步工作。
[0105] W下舉例說明在"雙表走步H確認"的同步方式的概念。例如�����,"雙表"與上述關于 "雙表五步一確認"的描述中的"雙表"定義和數(shù)據(jù)結構一致���。例如��,"走步H確認"的具體 步驟可W包括:
[0106] 第一步����,驗證網(wǎng)關采集需要同步認證因子�����,存儲到本地同步表���;
[0107] 第二步����,驗證網(wǎng)關與示證用戶第一次確認����,驗證網(wǎng)關向示證用戶發(fā)布認證因子����; [010引第H步�,示證用戶接收到驗證網(wǎng)關發(fā)布的認證因子后,將認證因子存儲到本地的 同步表中��;
[0109] 第四步�,示證用戶與驗證網(wǎng)關第二次確認,示證用戶向驗證網(wǎng)關返回認證因子接 收成功的確認信息���;
[0110] 第五步�,驗證網(wǎng)關接收到示證用戶的確認信息后���,將同步表中的認證因子更新到 安全增強認證因子表中��;
[0111] 第六步�����,驗證網(wǎng)關與示證用戶第H次確認,驗證網(wǎng)關向示證用戶返回認證因子更 新成功的確認信息���;
[0112] 第走步����,示證用戶接收到驗證網(wǎng)關的更新確認信息后,將本地同步表中的認證因 子更新到安全增強認證因子表中��。
[0113] 在圖1所示的本發(fā)明的多因子安全增強授權與認證方法中��,在安全增強授權步驟 102中可W進行該樣的操作���;在驗證網(wǎng)關安全增強授權過程中���,賦予示證用戶安全域內唯 一身份識別碼、授權訪問安全域的權限���、授權防偽簽名碼等數(shù)據(jù)作為授權因子�����。優(yōu)選地�,在 圖1所示的本發(fā)明的多因子安全增強授權與認證方法中��,所述安全增強授權步驟102還包 括W多環(huán)節(jié)授權方式生成授權因子���,所述多環(huán)節(jié)授權方式是指��,如果在安全域內存在多個 授權環(huán)節(jié)�,所有授權環(huán)節(jié)共享授權因子數(shù)據(jù)庫并生成各自的授權因子,所有授權環(huán)節(jié)統(tǒng)一 將授權因子同步到示證用戶�����。目P���,驗證網(wǎng)關將該些授權因子存儲在數(shù)據(jù)庫中�����,安全域內如果 存在多個授權環(huán)節(jié)�,優(yōu)選所有授權環(huán)節(jié)共享授權因子數(shù)據(jù)庫���,全安全域統(tǒng)一同步授權因子 到示證用戶���,支持多方授權情況下統(tǒng)一授權因子的同步和統(tǒng)一身份認證。優(yōu)選地�����,驗證網(wǎng)關 安全增強授權后將授權因子優(yōu)選采用"雙表走步H確認"同步到示證用戶����。
[0114] 在圖1所示的本發(fā)明的多因子安全增強授權與認證方法中,在安全增強認證碼生 成步驟103中可W進行該樣的操作�����;驗證網(wǎng)關在安全增強認證因子表有更新時�,實時生成 安全增強認證碼,用于示證用戶進行安全增強認證�;示證用戶在每次登錄時,根據(jù)本地安全 增強認證因子表中認證因子實時生成安全增強認證碼��。另外����,優(yōu)選的是,示證用戶和驗證 網(wǎng)關生成安全增強認證碼的算法及采用的參數(shù)雙方需要保持一致�����,并要做到有數(shù)據(jù)壓縮效 果�。算法優(yōu)選采用哈希算法。而且�����,在哈希算法中優(yōu)選使用MD5、SHA等哈希算法�����。優(yōu)選地�����, 安全增強認證碼的長度短于可信因子和授權因子的總長度���。安全增強認證碼優(yōu)選為固定長 度��。安全增強認證碼的長度優(yōu)選32位�����、64位���、128位、256位�、512位、1024位等2的幕次方��。
[0115] 在圖1所示的本發(fā)明的多因子安全增強授權與認證方法中,在安全認證步驟104 中可W進行該樣的操作���;在認證過程中,傳輸示證用戶的用戶名和安全增強認證碼�,驗證網(wǎng) 關根據(jù)示證用戶上傳的用戶名和安全增強認證碼進行身份認證。整個認證過程中���,示證用 戶的可信因子�����、授權因子都不需要傳輸�����?�?紤]到網(wǎng)絡不穩(wěn)定等情況會導致同步過程中斷���,驗 證網(wǎng)關根據(jù)示證用戶提供的安全增強認證碼進行安全認證未通過時,將示證用戶同步表中 的數(shù)據(jù)更新到安全增強認證因子表中對應的數(shù)據(jù)����,再次進行認證。認證通過后���,如果示證用 戶的物理可信因子或邏輯可信因子發(fā)生了變化�,采用"雙表五步一確認"的方式進行重新注 冊;或者示證用戶和驗證網(wǎng)關的同步表中仍有未完成同步的認證因子�����,判斷當前同步到哪 一個環(huán)節(jié)���,繼續(xù)完成同步工作�����。優(yōu)選地���,驗證網(wǎng)關根據(jù)示證用戶提供的安全增強認證碼進行 安全認證的過程中處理認證異常的方式,即示證用戶將本地安全增強認證因子表中的多因 子按照與驗證網(wǎng)關同樣的壓縮算法生成固定長度的安全增強認證碼提交到驗證網(wǎng)關進行 認證�,認證未通過時,將示證用戶同步表中的數(shù)據(jù)剪切更新到安全增強認證因子表中對應 的數(shù)據(jù)�����,再次進行認證��。優(yōu)選地,示證用戶物理可信因子發(fā)生變化時要在驗證網(wǎng)關上重新注 冊物理可信因子的方式��,即示證用戶每次登錄時����,檢測示證用戶安全增強認證因子表中存 儲的物理可信因子和從承載介質上獲取的物理可信因子數(shù)據(jù)的一致性�����,如果不一致時���,貝U 說明實際的物理可信因子發(fā)生了變化����,先使用現(xiàn)有安全增強認證因子表產(chǎn)生的安全增強認 證碼進行認證�����,認證通過后��,優(yōu)選采用"雙表五步一確認"的同步方式將變化的物理可信因 子重新注冊����。優(yōu)選的,在物理可信因子重新注冊時要提醒或征得用戶的確認。
[0116] 在圖1所示的本發(fā)明的多因子安全增強授權與認證方法中��,優(yōu)選地����,當安全認證 步驟的結果為認證未通過時,在將示證用戶的同步表中的數(shù)據(jù)更新到示證用戶的安全增強 認證因子表中之后�����,再次執(zhí)行安全增強認證碼生成步驟和安全認證步驟��。
[0117] 在圖1所示的本發(fā)明的多因子安全增強授權與認證方法中�����,優(yōu)選地�����,在示證用戶 首次登錄到驗證網(wǎng)關之后每次登錄驗證網(wǎng)關時���,示證用戶檢測示證用戶的安全增強認證因 子表中存儲的物理可信因子和采集到的與示證用戶的物理設備相關的物理可信因子是否 一致���,如果不一致�����,則示證用戶先使用現(xiàn)有安全增強認證因子表執(zhí)行安全增強認證碼生成 步驟和安全認證步驟��,在安全認證步驟的結果為通過認證之后�����,再次執(zhí)行物理注冊步驟��。
[0118] 本發(fā)明的多因子安全增強授權與認證方法有如下有益效果;1�����、本發(fā)明的多因子安 全增強授權與認證方法在認證過程中���,只是傳輸用戶名和安全增強認證碼�����,而可信因子����、授 權因子、安全增強認證碼生成算法均不在認證過程中傳輸����,因此增強了可信因子、授權因子 的安全性��。2��、本發(fā)明很好地適用于多個可信因子���、授權因子組成的多因子認證���,通過算法, 優(yōu)選為哈希算法���,編碼出安全增強認證碼使得各個因子相互關聯(lián)���、相互認證,提高安全認證 的級別�。3、本發(fā)明的多因子安全增強授權與認證方法將示證用戶注冊步驟分為邏輯注冊步 驟和物理注冊步驟兩步�,要求示證用戶的用戶設備唯一編碼等物理信息由示證用戶在物理 注冊過程中自行采集、自動注冊����,簡化了系統(tǒng)管理的過程�,使得系統(tǒng)管理人員不需要采集每 個示證用戶的物理可信因子����。4、本發(fā)明的多因子安全增強授權與認證方法優(yōu)選采用哈希 算法編碼出固定長度的安全增強認證碼�����,可信因子和驗證網(wǎng)關的授權因子的數(shù)量�����、長度不 影響安全增強認證碼的長度��,支持一個安全增強認證碼通行整個安全域���,有效支持多個驗 證網(wǎng)關統(tǒng)一驗證,支持將多次驗證合并簡化為一次驗證����;通過減少認證次數(shù)提高了認證速 度,并且哈希算法本身有很強的數(shù)據(jù)壓縮效果����,通過減少認證時的網(wǎng)絡流量提高了認證速 度�。5�����、本發(fā)明優(yōu)選所有授權環(huán)節(jié)共享授權因子數(shù)據(jù)庫�,全安全域統(tǒng)一同步授權因子到示證 用戶,支持多方授權情況下統(tǒng)一授權因子的同步和統(tǒng)一身份認證����。6、本發(fā)明通過多次交互 協(xié)商機制完成示證用戶注冊����、驗證網(wǎng)關授權因子發(fā)布等工作,并采用了示證用戶認證不通 過后自動將示證用戶同步表中的數(shù)據(jù)更新到示證用戶安全增強認證因子表中對應的數(shù)據(jù)��, 再次進行認證的手段��,該些特征很好支持了各種網(wǎng)絡不穩(wěn)定�����、授權或認證發(fā)生異常等情況 下自動糾錯�,提升了系統(tǒng)的穩(wěn)定性和適用性��,尤其適用于移動通信網(wǎng)絡下的授權與認證�����。8����、 本發(fā)明通過登錄檢測示證用戶的物理可信因子�����,與示證用戶的安全增強認證因子表中的數(shù) 據(jù)進行對比��,實時發(fā)現(xiàn)物理可信因子的變化�����,及時將變化的認證因子重新注冊到驗證網(wǎng)關��, 提升了多因子認證的靈活性和適用性��。
[0119] W下結合應用實施例對本發(fā)明的上述技術方案進行詳細說明:
[0120] 實施例應用場景為�;手機(示證用戶)通過移動通信網(wǎng)絡APN安全接入政府內部 網(wǎng)絡(安全域)的安全接入認證��。本實施例中負責實現(xiàn)手機通過移動通信網(wǎng)絡APN安全接 入政府內部網(wǎng)絡的客戶端軟件為示證用戶;負責對示證用戶進行接入認證及接入管理的后 臺系統(tǒng)為驗證網(wǎng)關�。
[0121] 本實施例中示證用戶的可信因子有兩部分,一部分是邏輯可信因子���,包括姓名����、手 機號�、用戶密碼、組織機構代碼�、組織機構名稱,其中手機號為用戶名�,另一部分是物理可信 因子,包括手機IMEI號����、手機SIM卡號;授權因子包括示證用戶的唯一身份識別碼��、移動IP 地址����、防偽簽名碼。
[0122] 第一步,示證用戶在驗證網(wǎng)關上注冊��,具體過程說明如下��。圖4為本發(fā)明的多因子 安全增強授權與認證方法的實施例中示證用戶在驗證網(wǎng)關上進行注冊的流程圖�����。
[0123] 如圖4所示�,邏輯注冊步驟可包括步驟401和402,物理注冊步驟可包括步驟403 至 407。
[0124] 如圖4所示�,邏輯注冊步驟包括:
[0125] 401系統(tǒng)管理人員在驗證網(wǎng)關上注冊示證用戶的邏輯可信因子。
[0126] 系統(tǒng)管理人員在驗證網(wǎng)關上登記示證用戶的邏輯描述性的邏輯可信因子��,包括姓 名�、手機號、用戶密碼�����、組織機構代碼��、組織機構名稱���,將其存儲在驗證網(wǎng)關初始邏輯可信因 子數(shù)據(jù)表中,W下表1為驗證網(wǎng)關的初始邏輯可信因子表��。在本實施例中,該表中的數(shù)據(jù)如 下:
[0127] 表2驗證網(wǎng)關-初始邏輯可信因子表 [012 引
【權利要求】
1. 一種多因子安全增強授權與認證方法��,用于安全域的示證用戶認證過程��,所述安全 域包括驗證網(wǎng)關�,該多因子安全增強授權與認證方法的特征在于,包括: 注冊步驟����,在該步驟中,通過在驗證網(wǎng)關上存儲與示證用戶相關的可信因子來完成示 證用戶在驗證網(wǎng)關上的注冊�,并且在驗證網(wǎng)關與示證用戶之間同步可信因子,驗證網(wǎng)關將 同步成功的可信因子存儲為認證因子���,并且注冊用戶將同步成功的可信因子也存儲為認證 因子��; 安全增強授權步驟��,在該步驟中�����,驗證網(wǎng)關在安全域內采集與完成了注冊步驟的示證 用戶關聯(lián)的一個或多個授權因子����,并且與示證用戶同步全部授權因子,驗證網(wǎng)關將同步成 功的全部授權因子存儲為認證因子�,并且示證用戶將同步成功的全部授權因子存儲為認證 因子; 安全增強認證碼生成步驟�,在該步驟中,驗證網(wǎng)關和示證用戶分別根據(jù)各自存儲的認 證因子按照相同算法生成安全增強認證碼�;以及 安全認證步驟,在該步驟中�,驗證網(wǎng)關驗證自身生成的安全增強認證碼與示證用戶提 供的安全增強認證碼是否匹配,以對示證用戶進行安全認證��。
2. 如權利要求1所述的多因子安全增強授權與認證方法�����,其特征在于���,所述注冊步驟 包括: 邏輯注冊步驟��,在該步驟中�����,以在驗證網(wǎng)關的數(shù)據(jù)庫中存儲與示證用戶相關的邏輯可 信因子��,所述邏輯可信因子是與示證用戶相關聯(lián)的可信因子并且不描述示證用戶的物理設 備信息���,僅僅完成邏輯注冊的示證用戶不允許訪問安全域內除驗證網(wǎng)關之外的其他任何設 備;以及 物理注冊步驟�,在邏輯注冊步驟完成后,驗證網(wǎng)關授權示證用戶登錄到驗證網(wǎng)關進行 物理注冊步驟�����,在物理注冊步驟中��,示證用戶在首次登錄到驗證網(wǎng)關后��,以在線方式將采集 到的與示證用戶的物理設備相關的物理可信因子上傳到驗證網(wǎng)關的數(shù)據(jù)庫��,所述物理可信 因子是描述示證用戶的物理設備信息的可信因子���,并且在驗證網(wǎng)關與示證用戶之間同步邏 輯可信因子和物理可信因子��,驗證網(wǎng)關將同步成功的邏輯可信因子和物理可信因子存儲為 認證因子����,并且注冊用戶將同步成功的邏輯可信因子和物理可信因子也存儲為認證因子����。
3. 如權利要求2所述的多因子安全增強授權與認證方法����,其特征在于�,示證用戶具有 數(shù)據(jù)庫,在該數(shù)據(jù)庫中建立同步表和安全增強認證因子表����,并且驗證網(wǎng)關具有數(shù)據(jù)庫,在該 數(shù)據(jù)庫中建立同步表和安全增強認證因子表����,其中,示證用戶的同步表和驗證網(wǎng)關的同步 表均用于存儲未在示證用戶和驗證網(wǎng)關之間完成同步的可信因子和授權因子��,示證用戶的 安全增強認證因子表和驗證網(wǎng)關的安全增強認證因子表均用于將已經(jīng)在示證用戶和驗證 網(wǎng)關之間完成同步的可信因子和授權因子存儲為認證因子�����, 其中���,所述物理注冊步驟包括: 示證用戶采集與示證用戶的物理設備相關的物理可信因子并存儲到示證用戶的同步 表�����; 示證用戶將示證用戶的同步表中的物理可信因子提交到驗證網(wǎng)關���; 驗證網(wǎng)關在接收到示證用戶提交的物理可信因子后����,將接收到的物理可信因子在驗證 網(wǎng)關的安全增強認證因子表中存儲為認證因子�����; 驗證網(wǎng)關將認證因子成功接收的確認信息返回給示證用戶��;以及 示證用戶接收到驗證網(wǎng)關發(fā)來的確認信息后�����,將示證用戶的同步表中的物理可信因子 從該同步表中更新到示證用戶的安全增強認證因子表中作為認證因子��。
4. 如權利要求3所述的多因子安全增強授權與認證方法�����,其特征在于���,在將示證用戶 的同步表中的物理可信因子從該同步表中更新到示證用戶的安全增強認證因子表中作為 認證因子之后�����,所述物理注冊步驟還包括: 驗證網(wǎng)關采集需要與示證用戶同步的與示證用戶相關的邏輯可信因子�,將所述邏輯可 信因子存儲到驗證網(wǎng)關的同步表�����; 驗證網(wǎng)關向示證用戶發(fā)送驗證網(wǎng)關的同步表中存儲的邏輯可信因子����; 示證用戶在接收到驗證網(wǎng)關發(fā)送的邏輯可信因子后,將接收到的邏輯可信因子存儲到 示證用戶的同步表中���; 示證用戶向驗證網(wǎng)關返回邏輯可信因子接收成功的確認信息����; 驗證網(wǎng)關在接收到示證用戶返回的邏輯可信因子接收成功的確認信息后�����,將驗證網(wǎng)關 的同步表中的邏輯可信因子更新到驗證網(wǎng)關的安全增強認證因子表中����; 驗證網(wǎng)關向示證用戶返回在安全增強認證因子表中成功更新邏輯可信因子的確認信 息����;以及 示證用戶在接收到驗證網(wǎng)關返回的在安全增強認證因子表中成功更新邏輯可信因子 的確認信息后���,將示證用戶的同步表中的認證因子更新到示證用戶的安全增強認證因子表 中�����。
5. 如權利要求4所述的多因子安全增強授權與認證方法�,其特征在于���,所述安全增強 授權步驟還包括: 驗證網(wǎng)關在安全域內采集與完成了注冊步驟的示證用戶關聯(lián)的一個或多個授權因子, 將所述授權因子存儲到驗證網(wǎng)關的同步表�����; 驗證網(wǎng)關向示證用戶發(fā)送驗證網(wǎng)關的同步表中存儲的授權因子���; 示證用戶在接收到驗證網(wǎng)關發(fā)送的授權因子后���,將接收到的授權因子存儲到示證用戶 的同步表中; 示證用戶向驗證網(wǎng)關返回授權因子接收成功的確認信息�����; 驗證網(wǎng)關在接收到示證用戶返回的授權因子接收成功的確認信息后,將驗證網(wǎng)關的同 步表中的授權因子更新到驗證網(wǎng)關的安全增強認證因子表中�; 驗證網(wǎng)關向示證用戶返回在安全增強認證因子表中成功更新授權因子的確認信息;以 及 示證用戶在接收到驗證網(wǎng)關返回的在安全增強認證因子表中成功更新授權因子的確 認信息后���,將示證用戶的同步表中的認證因子更新到示證用戶的安全增強認證因子表中�。
6. 如權利要求5所述的多因子安全增強授權與認證方法�,其特征在于,所述安全增強 授權步驟還包括以多環(huán)節(jié)授權方式生成授權因子��,所述多環(huán)節(jié)授權方式是指���,如果在安全 域內存在多個授權環(huán)節(jié)�,所有授權環(huán)節(jié)共享授權因子數(shù)據(jù)庫并生成各自的授權因子�,所有 授權環(huán)節(jié)統(tǒng)一將授權因子同步到示證用戶。
7. 如權利要求3所述的多因子安全增強授權與認證方法����,其特征在于,當安全認證步 驟的結果為認證未通過時�����,將示證用戶的同步表中的數(shù)據(jù)更新到示證用戶的安全增強認證 因子表中之后,再次執(zhí)行安全增強認證碼生成步驟和安全認證步驟���。
8. 如權利要求3所述的多因子安全增強授權與認證方法����,其特征在于����,在示證用戶首 次登錄到驗證網(wǎng)關之后每次登錄驗證網(wǎng)關時,示證用戶檢測示證用戶的安全增強認證因子 表中存儲的物理可信因子和采集到的與示證用戶的物理設備相關的物理可信因子是否一 致�,如果不一致,則示證用戶先使用現(xiàn)有安全增強認證因子表執(zhí)行安全增強認證碼生成步 驟和安全認證步驟��,在安全認證步驟的結果為通過認證之后��,再次執(zhí)行物理注冊步驟�。
9. 如權利要求1所述的多因子安全增強授權與認證方法�,其特征在于,所述算法為哈 希算法��。
10. 如權利要求1所述的多因子安全增強授權與認證方法���,其特征在于��,安全增強認證 碼的長度短于可信因子和授權因子的總長度�����。
【文檔編號】H04L9/32GK104363207SQ201410593550
【公開日】2015年2月18日 申請日期:2014年10月29日 優(yōu)先權日:2014年10月29日
【發(fā)明者】丁愛民 申請人:北京成眾志科技有限公司