[发明专利]多因子安全增强授权与认证方法

权利要求书

1.一种多因子安全增强授权与认证方法，用于安全域的示证用户认证过程，所述安全域包括验证网关，该多因子安全增强授权与认证方法的特征在于，包括：

注册步骤，在该步骤中，通过在验证网关上存储与示证用户相关的可信因子来完成示证用户在验证网关上的注册，并且在验证网关与示证用户之间同步可信因子，验证网关将同步成功的可信因子存储为认证因子，并且注册用户将同步成功的可信因子也存储为认证因子；

安全增强授权步骤，在该步骤中，验证网关在安全域内采集与完成了注册步骤的示证用户关联的一个或多个授权因子，并且与示证用户同步全部授权因子，验证网关将同步成功的全部授权因子存储为认证因子，并且示证用户将同步成功的全部授权因子存储为认证因子；

安全增强认证码生成步骤，在该步骤中，验证网关和示证用户分别根据各自存储的认证因子按照相同算法生成安全增强认证码；以及

安全认证步骤，在该步骤中，验证网关验证自身生成的安全增强认证码与示证用户提供的安全增强认证码是否匹配，以对示证用户进行安全认证。

2.如权利要求1所述的多因子安全增强授权与认证方法，其特征在于，所述注册步骤包括：

逻辑注册步骤，在该步骤中，以在验证网关的数据库中存储与示证用户相关的逻辑可信因子，所述逻辑可信因子是与示证用户相关联的可信因子并且不描述示证用户的物理设备信息，仅仅完成逻辑注册的示证用户不允许访问安全域内除验证网关之外的其他任何设备；以及

物理注册步骤，在逻辑注册步骤完成后，验证网关授权示证用户登录到验证网关进行物理注册步骤，在物理注册步骤中，示证用户在首次登录到验证网关后，以在线方式将采集到的与示证用户的物理设备相关的物理可信因子上传到验证网关的数据库，所述物理可信因子是描述示证用户的物理设备信息的可信因子，并且在验证网关与示证用户之间同步逻辑可信因子和物理可信因子，验证网关将同步成功的逻辑可信因子和物理可信因子存储为认证因子，并且注册用户将同步成功的逻辑可信因子和物理可信因子也存储为认证因子。

3.如权利要求2所述的多因子安全增强授权与认证方法，其特征在于，示证用户具有数据库，在该数据库中建立同步表和安全增强认证因子表，并且验证网关具有数据库，在该数据库中建立同步表和安全增强认证因子表，其中，示证用户的同步表和验证网关的同步表均用于存储未在示证用户和验证网关之间完成同步的可信因子和授权因子，示证用户的安全增强认证因子表和验证网关的安全增强认证因子表均用于将已经在示证用户和验证网关之间完成同步的可信因子和授权因子存储为认证因子，

其中，所述物理注册步骤包括：

示证用户采集与示证用户的物理设备相关的物理可信因子并存储到示证用户的同步表；

示证用户将示证用户的同步表中的物理可信因子提交到验证网关；

验证网关在接收到示证用户提交的物理可信因子后，将接收到的物理可信因子在验证网关的安全增强认证因子表中存储为认证因子；

验证网关将认证因子成功接收的确认信息返回给示证用户；以及

示证用户接收到验证网关发来的确认信息后，将示证用户的同步表中的物理可信因子从该同步表中更新到示证用户的安全增强认证因子表中作为认证因子。

4.如权利要求3所述的多因子安全增强授权与认证方法，其特征在于，在将示证用户的同步表中的物理可信因子从该同步表中更新到示证用户的安全增强认证因子表中作为认证因子之后，所述物理注册步骤还包括：

验证网关采集需要与示证用户同步的与示证用户相关的逻辑可信因子，将所述逻辑可信因子存储到验证网关的同步表；

验证网关向示证用户发送验证网关的同步表中存储的逻辑可信因子；

示证用户在接收到验证网关发送的逻辑可信因子后，将接收到的逻辑可信因子存储到示证用户的同步表中；

示证用户向验证网关返回逻辑可信因子接收成功的确认信息；

验证网关在接收到示证用户返回的逻辑可信因子接收成功的确认信息后，将验证网关的同步表中的逻辑可信因子更新到验证网关的安全增强认证因子表中；

验证网关向示证用户返回在安全增强认证因子表中成功更新逻辑可信因子的确认信息；以及

示证用户在接收到验证网关返回的在安全增强认证因子表中成功更新逻辑可信因子的确认信息后，将示证用户的同步表中的认证因子更新到示证用户的安全增强认证因子表中。