[发明专利]一种基于MFA算法的双向身份认证方法

权利要求书

1.一种基于MFA算法的双向身份认证方法，其特征在于：包括有如下步骤：

S1.用户注册：

S1.1.用户动态口令注册：用户设置一个秘密通信短语W，认证服务器A给用户产生一个种子值S，用户设置一次性口令序列的最大元素个数N，最大元素个数N和种子值 S以安全通道传到认证服务器；认证服务器A运算得出一次性口令P₀，其中P₀=Fⁿ(W+S)；

S1.2. 用户人脸注册：通过摄像头采集用户人脸并提取用户的初始人脸特征值T´, 初始人脸特征值T´以安全通道传到认证服务器A, 初始人脸特征值T´保存到认证服务器A的人脸数据特征库中，人脸数据特征库中用户的注册信息包括有：用户的身份标志ID、用户的秘密通信短语W、用户的N、用户的种子值S、用户的一次性口令P₀和用户的初始人脸特征值T´；

S2.第i次用户认证：

S2.1：用户以身份标志ID向认证服务器发起申请；

S2.2：认证服务器A应答步骤S2.1的申请，认证服务器A通过H(W)进行加密S+N-i+P_i-1得到E_H(W)(seed+N-i+P_i-1)，将E_H(W)(seed+N-i+P_i-1)和散列值hash传到用户;

S2.3：用户收到挑战信息，同时验证数据的完整性，如果没有篡改，那么解密可得出S,N-i，P_i-1，并运算用户第i次登陆的一次性口令P_i，其中P_i=F^n-i(W+S)；

S2.4：用户完成认证服务器A的身份认证并存储用户第i次登陆的一次性口令P_i，将P_i再次做F运算得到P´_i-1，亦即P´_i-1=F(P_i)，对P´_i-1和P_i-1做比对；

S2.4.1:若P´_i-1＝P_i-1，下一步；

S2.4.2: 若P´_i-1≠P_i-1，认为有小数攻击的风险，限制进行登陆；

S2.5：通过摄像头采集用户人脸并提取用户的人脸特征值T, 以P_i为密钥来对T做做非对称加密，同时将加密信息M以及它的散列值hash传到认证服务器A，即加密信息M=E_pi(T)；

S2.6：认证服务器A收到加密信息M并进行完整性验证；

S2.6.1：若S2.6验证没有篡改，那么运算P´_i=F^n-i(W+S)，解密密钥P´_i对M解密，得到人脸特征值T；

S2.6.2若S2.6验证比对率超过预定阈值，那么对C的验证合规；

S2.7认证服务器A变更存储的数据，将序列号递减1，及认证口令变更成P_i，为下一次成功登录做准备；一旦序列号递减到0，必须做初始化。

2.根据权利要求1所述的一种基于MFA算法的双向身份认证方法，其特征在于：所述的步骤S1.2中的初始人脸特征值T´为摄像头提取的脸型及五官的相对位置和相对大小。

3.根据权利要求2所述的一种基于MFA算法的双向身份认证方法，其特征在于：所述的步骤S1.2中采用边界Fisher分析Marginal Fisher Analysis算法、简称MFA算法得到初始人脸特征值T´，MFA算法把同类人脸样本数据中近邻的样本拉近，MFA算法把异类人脸样本数据间近邻的样本推远。