[发明专利]一种支持保证级别的多因子身份认证方法

权利要求书

1.一种多因子身份认证方法，其特征在于，包括：

步骤1、预定义认证保证级别；

认证保证级别定义为三级，级别一、级别二以及级别三，根据认证因子的秘密来源、认证因子是否包含密码协议以及认证因子载体实现类型三个维度综合进行定义；

步骤2、进行用户身份注册；

步骤3、用户选择认证因子组合；

步骤4、进行多因子身份认证；

步骤5、认证服务器根据用户选择的认证因子组合，与预定义认证保证级别进行比较判断，输出本次身份认证的认证保证级别，判断时，从高级别向低级别顺序进行验证，首先验证是否满足级别三，再验证是否满足级别二，最后验证是否满足级别一；

步骤6、输出本次身份认证的认证保证级别。

2.如权利要求1所述的多因子身份认证方法，其特征在于，预定义认证保证级别，认证保证级别基于认证因子被攻击可能性的经验性判断进行定义。

3.如权利要求1所述的多因子身份认证方法，其特征在于，用户身份注册分配用户唯一标识，登记用户的身份信息以及认证因子，身份信息是用户一系列身份属性，认证因子支持静态口令、动态口令、指纹、指静脉、人脸、虹膜以及基于非对称密码机制的USBKEY，不同的认证因子注册的信息不同，用户注册成功后，为用户分配用户证书及相应密钥，用于保证身份认证过程用户意愿的真实性表达。

4.如权利要求1所述的多因子身份认证方法，其特征在于，根据当次认证环境的是否已经注册了静态口令、是否具有生物特征采集设备以及将访问的应用系统的认证需求，选择具体的认证因子组合。

5.如权利要求1所述的多因子身份认证方法，其特征在于，根据用户选择的认证因子组合，逐一针对各个因子进行身份认证，应是每个认证因子均认证成功，多因子身份认证结果才能输出成功，否则输出失败。

6.如权利要求1所述的多因子身份认证方法，其特征在于，应用客户端访问应用服务器时，应用服务器会将客户端请求重定向到认证服务器，认证服务器和认证客户端执行身份认证协议，认证结束后，认证服务器将认证断言发送给应用服务器，应用服务器执行后续的资源访问控制策略。

7.如权利要求1所述的多因子身份认证方法，其特征在于，三个维度的认证保证级别具体定义为：级别1：采用任意一种身份认证因子；级别2：采用两种及两种以上身份认证因子，至少一种认证因子包含密码协议；级别3：采用两种及两种以上身份认证因子，至少一种认证因子包含密码协议，以及至少一种认证因子载体采用硬件实现。

8.如权利要求1所述的多因子身份认证方法，其特征在于，认证因子包括静态口令、动态口令、指纹、指静脉、人脸、虹膜以及基于非对称密码机制的USBKEY，不同的认证因子注册的信息不同；

静态口令包括：注册用户名和用户静态口令；

动态口令包括：注册用户名以及动态口令令牌硬件唯一标识；

指纹包括：注册用户的指纹生物特征模板；

指静脉包括：注册用户的指静脉生物特征模板；

人脸包括：注册用户的人脸生物特征模板；

虹膜包括：注册用户的红魔生物特征模板；

非对称密码机制的USBKEY，注册USBKEY对应的公钥证书CertKey，USBKEY内包含私钥SkKey；

用户注册成功后，为用户分配用户证书CertUser和相应私钥SkUser。

9.如权利要求1所述的多因子身份认证方法，其特征在于，对结果的输出，若步骤身份认证失败，则输出失败；若身份认证成功，则输出成功和产生的认证保证级别。

10.如权利要求1所述的多因子身份认证方法，其特征在于，步骤4具体包括：

认证服务器根据用户选择的认证因子组合，发送认证请求，若认证因子包含动态口令或者非对称密码机制的USBKEY，则认证服务器发送的认证请求包含随机数Rs，文本字段text，认证服务器通过签名函数Sign输出的签名Sign(text|Rs)，将三个部分内容连接后得到认证请求text|Rs|Sign(text|Rs)；

认证客户端根据所选择的认证因子组合，逐一进行身份认证，如果选择了指纹身份认证，则采集用户指纹特征fiT’，传输给认证服务器进行比较；如果认证因子包含动态口令，则采用消息认证码函数MAC输出Mac(text|Rs|Time)作为动态口令，返回信息fiT’|Mac(text|Rs|Time)；如果包含非对称密码机制的USBKEY，则采用签名函数输出SignSkKey(text|Rs)，返回信息fiT’|SignSkKey(text|Rs)；

认证服务器对认证客户端返回的信息进行逐一验证，若选择了指纹验证，则验证fiT’与fiT是注册的指纹特征模板是否匹配。如果认证因子包含动态口令，则验证Mac(text|Rs|Time)与本地计算的Mac(text|Rs|Time)是否一致；如果包含非对称密码机制的USBKEY，则采用签名验证函数Verify验证VerifyCertKey(text|Rs)是否成功，签名验证函数与签名函数对应，对于采用私钥SkKey签名的消息，采用对应公钥证书CertKey验证结果应该为真，如果签名验证函数输出结果为真，则表示认证成功，如果签名验证函数输出结果为假，则表示认证失败，上述的参数Time表示对应的时间戳。