[发明专利]一种支持保证级别的多因子身份认证方法

说明书

本发明涉及一种多因子身份认证方法，其中，包括：步骤1、预定义认证保证级别；认证保证级别定义为三级，级别一、级别二以及级别三，根据认证因子的秘密来源、认证因子是否包含密码协议以及认证因子载体实现类型三个维度综合进行定义；步骤2、进行用户身份注册；步骤3、用户选择认证因子组合；步骤4、进行多因子身份认证；步骤5、认证服务器根据用户选择的认证因子组合，与预定义认证保证级别进行比较判断，输出本次身份认证的认证保证级别，判断时，从高级别向低级别顺序进行验证，首先验证是否满足级别三，再验证是否满足级别二，最后验证是否满足级别一；步骤6、输出本次身份认证的认证保证级别。

技术领域

本发明涉及网络安全技术领域，提出一种支持保证级别的多因子身份认证方法。

背景技术

随着信息和网络技术的飞速发展，人们的工作和生活已经越来越依赖于各种网络应用和服务。网络应用和服务为人们带来便利的同时，也面临各种网络安全攻击，导致信息资源被非法泄露、盗用或者破坏等问题。身份认证是网络应用和服务安全防护的第一道防线，也是实施资源授权、访问控制、安全审计等措施的前提。目前，已经有多种身份认证方法，不同的身份认证方法具有不同的安全特性和使用便捷性，如何平衡安全性和便捷性，满足多样化网络应用和服务的需求是身份认证方法研究的重点之一。

认证因子是用户所有并借以证明身份的凭据，可以从几个不同维度对认证因子进行分类。一是从认证因子的秘密来源维度，可分为基于用户所知道的秘密，包括静态口令、动态口令等；基于用户所属的生物特征秘密，包括指纹、指静脉等；基于用户所持有的秘密介质，包括USBKEY、智能卡等。二是从认证因子是否包含密码协议维度，可分为基于密码协议的认证，如采用非对称密码机制或对称密码机制的USBKEY；不基于密码协议的认证，如采用静态口令、生物特征。三是从认证因子载体实现类型维度，可分为软实现的认证因子和硬实现的认证因子，例如动态口令既可采用硬件令牌实现，也可采用软件模块实现。

不同的认证因子被攻击难度存在差异。已有的身份认证方法有的采用单因子身份认证，安全强度不够；有的采用多因子认证，但对不同的多因子组合都只给出认证成功是/否的结论，不能反映具体认证因子组合安全强度的差异。本发明提出的支持安全保证级别的多因子身份认证方法的基本思想是：一是采用多因子的身份认证方法，包括静态口令、动态口令、指纹、指静脉、人脸、虹膜、基于非对称密码机制的USBKEY。二是按照一定的安全策略，基于认证因子的安全性强度预定义多因子组合认证的安全保证级别，用户认证成功后，同时根据用户选用的认证因子得到当次认证的安全保证级别，将认证结果和安全保证级别提供给应用，方便应用进行更精细化的资源访问决策。

发明内容

本发明的目的在于提供一种多因子身份认证方法，用于解决上述现有技术的问题。

本发明一种多因子身份认证方法，其中，包括：步骤1、预定义认证保证级别；认证保证级别定义为三级，级别一、级别二以及级别三，根据认证因子的秘密来源、认证因子是否包含密码协议以及认证因子载体实现类型三个维度综合进行定义；步骤2、进行用户身份注册；步骤3、用户选择认证因子组合；步骤4、进行多因子身份认证；步骤5、认证服务器根据用户选择的认证因子组合，与预定义认证保证级别进行比较判断，输出本次身份认证的认证保证级别，判断时，从高级别向低级别顺序进行验证，首先验证是否满足级别三，再验证是否满足级别二，最后验证是否满足级别一；步骤6、输出本次身份认证的认证保证级别。

根据本发明的多因子身份认证方法的一实施例，其中，预定义认证保证级别，认证保证级别基于认证因子被攻击可能性的经验性判断进行定义。

根据本发明的多因子身份认证方法的一实施例，其中，用户身份注册分配用户唯一标识，登记用户的身份信息以及认证因子，身份信息是用户一系列身份属性，认证因子支持静态口令、动态口令、指纹、指静脉、人脸、虹膜以及基于非对称密码机制的USBKEY，不同的认证因子注册的信息不同，用户注册成功后，为用户分配用户证书及相应密钥，用于保证身份认证过程用户意愿的真实性表达。