[发明专利]多因子通用可组合认证及服务授权方法、通信服务系统

说明书

本发明属于通信网络安全技术领域，公开了一种多因子通用可组合认证及服务授权方法、通信服务系统；包括：认证初始化阶段；注册阶段；认证接入阶段；生物特征及智能卡认证过程；口令字及智能卡认证过程；会话密钥协商阶段；服务授权阶段。本发明结合生物特征、口令字及智能卡等三因子进行身份认证，通过模块化的设计，可将认证阶段灵活地组合或者拆分执行，实现四种安全等级的身份认证，大大减少了系统的复杂性，提高了系统效率；根据不同的强度的认证设计了对应的密钥协商协议并完成服务授权，能完成各种电子服务系统中的服务控制，包括5G网络等其他复杂网络环境下的服务系统，并能够抵抗目前已知的所有攻击。

技术领域

本发明属于通信网络安全技术领域，尤其涉及一种多因子通用可组合认证及服务授权方法、通信服务系统。

背景技术

目前，业内常用的现有技术是这样的：随着通信技术及无线网络的发展，出现了越来越多的复杂服务系统，不仅仅提供单一种类的服务，为用户提供多元化的服务并且系统是由差异化的服务器构成的。以即将提供服务的5G网络为例，5G将为用户提供高容量、低延迟及更好的用户体验，如高清视频通信、车联网及电子医疗等许多服务都将被加入到5G平台中，因此安全的用户认证及服务授权是系统安全的基础。但不同的服务具有差异化的安全需求，如电子医疗需要高强度的安全保证，而浏览一些公共信息则具有低延迟的用户需求。若为每一个服务都设计不同的认证及授权方案，大大增加了系统复杂性，但差异化安全需求的服务使用统一的认证方案也将因需保障最高水平的安全强度而造成资源浪费及效率降低，显然是不合理的。

目前为了解决服务系统的认证安全性问题，研究者已为多种场景提供解决方案。如为提升认证强度，采用多因子认证的方式，结合生物特征、口令字、智能卡及短信等认证因子对实体用户进行认证。这些方案大多基于特定场景设计，或只能提供一种固定的安全强度。有部分研究者也提出通用的认证框架，这些方案通过组合一个二因子认证及一个单因子认证方案，其中二因子方案为一个通用可变换的模块，则可单独执行二因子的认证方案。多因子方案若直接组合单因子认证方案，将在安全强度方面不具有太多的提升，而将大大降低方案的效率，因此直接的组合是不具有意义的。3GPP标准中也设计了实体认证架构EAP(Extensible Authentication Protocol，可扩展认证协议)，但每个EAP系列协议中都只采用了固定的认证方案，如公钥或对称密码体制，多个独立的EAP系列协议分别为不同的服务或应用提供认证方案。

迄今为止，只有很少的方案考虑了在多元服务系统中采用一种通用可组合的架构实现用户认证及授权，这些方案一般从通用设计的角度出发，设计的方案其中部分模块是可以替换为任何符合要求的子协议的，因此设计重点是通用的多因子认证协议设计框架。但是，这些方案都没有从多样化使用的角度出发，无法按照服务需求或安全等级分类认证。这些方案依然只能完成某种特定的安全强度，无法根据不同的服务需求动态调整协议的执行步骤，故只适用于完成系统某类服务的认证功能。若将不同安全需求的服务按照安全强度或需求进行分类，设计一个通用的认证方案，可以通过拆分协议步骤或组合某部分协议形成新的子协议单独执行，就能完成不同安全需求及效率的认证，系统仅需部署一个统一的协议即可完成差异化需求的服务认证及授权工作，大大降低了系统复杂性。为满足系统最高的安全需求，这应该是一个多因子认证方案，但多因子不能直接将单因子方案进行叠加使用，会导致效率大幅降低，而安全性增益不明显。将多种认证因子糅合重构协议，但还需保证该协议可模块化使用，是设计协议的难点。目前还没有一种可通过拆分组合使用的通用认证协议实现多安全等级的用户认证及服务授权方案。因此，如何实现单个方案完成差异化需求的服务认证及授权是复杂服务系统面临的一个关键问题。

综上所述，现有技术存在的问题是：现有技术都没有按照服务需求分类认证；目前还没有一种可拆分组合的通用认证协议实现多安全等级的用户认证及服务授权方案。