[发明专利]一种基于威胁等级的多因子身份认证方法

说明书

本发明公开了一种基于威胁等级的多因子身份认证方法，进行以下步骤：建立身份认证模型；进行业务活动威胁分析；生成认证策略；进行安全认证。本发明针对当前身份认证方式的不足，提供一种基于威胁等级的多因子身份认证方法，其应用时基于应用场景中不同的安全威胁等级，制定相应身份认证策略的方法；根据身份认证策略，提出一种机制灵活的多因子身份认证模型，该模型采用模块化设计，可根据需要灵活更换；基于认证策略中的参数权重，提出认证模板方法，该方法综合考虑威胁等级、认证强度、计算成本、时间、便捷性等因素，自适应动态选择相应的认证模块，通过标准的接口设计和集成，灵活地做出满足不同安全等级需求的多因子身份认证。

技术领域

本发明涉及身份认证，具体涉及一种基于威胁等级的多因子身份认证方法。

背景技术

随着网络空间相关技术的快速发展，面临的安全形势越来越严峻，根据研究，81.1％的安全事件都与身份有关，身份窃取、破坏、伪造身份等活动日益频繁。但是传统的网络身份认证方法中，所采用的认证方式往往单一、简单，面对日益增长的网络计算能力、各式各样的网络攻击，原有的一些安全解决方案存在着较大的安全隐患，越来越难以满足当前安全应用需求。因此，身份认证作为信息系统的关键部件和安全基石，需要进一步研究出更加高效、安全的身份认证技术和机制，来保障和增强信息系统的安全性，为用户提供安全、便捷的身份认证服务。

认证又称鉴别、识别或确认，包括身份认证和消息认证。对实体所声称身份是否真实的验证，称为身份认证，用于保证验证方确信其正与所希望的实体通信；对数据来源及其消息完整性的验证，称为消息认证，也称为数据源认证，以保证数据在传送和存储过程中未被篡改、重放或延迟等。认证是机密性、完整性、可用性的基础。

对用户的身份认证的方法具有多种方式，主要包括三种：第一，对用户所知道的信息来证明身份，例如用户名密码、PIN、手势密码、地理位置等；第二，对用户所拥有的东西来证明身份，例如身份证、驾照、护照、PKI数字证书、信用卡、硬件动态令牌、智能卡等；第三种，对用户所具有的生物特征进行证明身份，如虹膜、指纹、声纹、掌纹、脸型、DNA、静脉等生理特征，以及步态、签名、击键等行为特征。

现有的身份认证方案中，广泛采用单一的账号密码身份认证方式，密码是由用户自己设定的一串静态数据，即使在后台采用了Hash杂凑存储、加盐(Salt)加密处理存储等技术，但是在认证过程其它环节中,容易被黑客截取和破解，存在着被窃取、暴力破解、重放攻击等安全隐患，一旦密码泄露，就可能被非法节点冒充。另外，当用户拥有多个账号密码时，需要定期更改密码，会增加用户使用和维护的复杂度。

二、在使用PKI/CA公钥体系身份认证方式中，存在证书颁发机构(CertificateAuthority，CA)可能发布非法证书，带来中间人攻击安全隐患，例如在2011年，DignitaryCA就发布了一个Google非法证书，该证书被用来尝试对Google用户进行中间人攻击，这种行为会危及整个系统的安全。

三、已有的一些方案中，身份认证方式在设计、用户注册时就固定，没有考虑到系统未来复杂应用环境的变化，以及用户体验，认证方式不灵活。随着系统面临的应用环境越来越复杂，安全策略需要灵活调整。例如线上快速身份认证(Fast Identity Online,FIDO)方案中，在系统用户注册阶段，就确定了特定的认证方法，一般是在保留密码验证方式的基础上，选择并固定一种生物特征、硬件设备身份识别方法。

因此，在现有的大多数方案中，采用单一因子或固定多因子认证方法存在着一定的安全隐患，不能灵活应对不同应用场景中安全威胁，有效地作出满足不同安全等级需求的身份认证方法。

发明内容