[发明专利]一种移动云计算环境下基于OTP和用户行为的认证授权方法

摘要

本发明公开一种移动云计算环境下基于OTP和用户行为的认证授权方法，其特征是在移动云计算环境下，针对用户可能使用多种智能移动终端通过无线网络等访问云服务，通过对一次性口令技术(OTP)进行改进实现了客户端和服务器的双向身份认证，增强了认证过程的安全性和可靠性。并且根据使用云服务的用户具体行为习惯，采用数据挖掘技术对用户的历史行为数据进行分析提取特征，形成用户正常行为模式的知识库，当用户有不正常或者可疑的行为可以进行身份再认证，认证通过后才授权给予相应的服务，防止他人进行非法操作，充分保障了用户的信息安全。

主权项

一种移动云计算环境下基于OTP和用户行为的认证授权方法，该方法包括如下步骤：(1)用户注册阶段：1)认证授权服务器S利用椭圆曲线密码体制生成自己的公钥S_puk和私钥S_prk，用户使用客户端C向S发起密钥申请请求，S产生安全椭圆曲线ECC参数集，并连同自己的公钥S_puk一起发送给客户端，C接收并存储S的公钥S_puk，并根据安全椭圆曲线ECC产生自身的公钥C_puk和私钥C_prk；2)C向S发起注册请求，填写注册的用户账号UID、用户密码PWD、安全密语SPP和安全手机号码PID，C自动获取设备的唯一标识DID(如MAC地址，IMEI号等)和当前注册时间T₀，然后利用SHA‑256单向散列函数对UID和PWD进行哈希散列运算HASH(UID||PWD)，并存储在本地操作系统的安全区中；3)C用S的公钥S_puk对UID、HASH(PWD)、HASH(SPP)、PID、DID、C_puk和T₀加密运算即ENC(UID，HASH(P WD)，HASH(SPP)，HASH(PID)，DID，C_puk，T₀)将得到的结果发送到S，然后后S利用S_prk解密得到UID、HASH(SPP)、PID、DID、C_puk和T₀，并检查UID是否已被注册，若已注册则通知用户重新注册；否则将解密所得到的各项信息存储到数据库；4)S通过计算HASH(DID||T₀)生成一次性口令OTP₀，并利用C的公钥认证阶段C_puk进行加密运算ENC(HASH(DID||T₀))发送给C，C利用私钥C_prk进行解密运算DEC(ENC(HASH(DID||T₀)))获得HASH(DID||T₀)，存储到操作系统的安全区中。(2)认证阶段(以第一次登录为列)：1)用户填写使用客户端C填写UID和PWD，然后计算出HASH(UID||PWD)比较与存储在操作系统安全区中的HASH(UID||PWD)比较：若安全区中的HASH(UID||PWD)值为空，则代表用户可能使用了新的移动设备，转步骤(6)；若不为空且两者相等，则继续进行下面(2)的认证；若不相等，报告用户用户名或密码错误；2)C使用S的公钥S_puk对UID、DID和HASH(DID||T₀)和当前登录时间T₁进行加密即ENC(UID，DID，HASH(DID||T₀)，T₁)，C暂存T₁，并将加密后的信息发送给S，S用自己的私钥S_prk对ENC(UID，DID，HASH(DID||T₀)，T₁)进行解密获得UID、DID、HASH(DID||T₀)和T₁，暂存T₁；3)S利用解密获得的UID和DID获得存储在数据库中的登录时间T₀，并计算HASH(DID||T₀)，若该值和从客户端解密得到的HASH(DID||T₀)不相等，则通知客户端身份认证失败；否则计算HASH(DID||T₁)的值，并利用公钥C_puk对T₀、T₁和HASH(DID||T₁)进行加密运算，即ENC(HASH(DID||T₁)，T₀，T₁)，并发送给C；4)C利用自己的私钥C_prk进行解密运算DEC(ENC(HASH(DID||T₁)，T₀，T₁))获得HASH(DID||T₁)、T₀和T₁，C将T₁和之前暂存的T₁比较若相等则完成对服务器身份的验证，并暂存HASH(DID||T₁)，C再利用S的公钥S_puk对UID、DID和T₀进行加密即ENC(UID，DID，T₀)，发送给S；5)S利用S_prk对ENC(UID，DID，T₀)进行解密获得UID、DID和T₀，若T₀与通过UID和DID获得存储在数据库中的登录时间T₀相等，则用T₁代替T₀存入数据库，完成对客户端的身份验证，发送认证成功的消息给客户端，否则认证失败，C收到认证成功的消息后用HASH(DID||T₁)代替HASH(DID||T₀)存储到系统的安全区中，完成身份认证；6)C向S发起密钥申请请求，S产生安全椭圆曲线ECC和公钥S_puk一起发送给客户端，C接收并存储S的公钥S_puk，并根据安全椭圆曲线ECC产生自身的公钥C_puk和私钥C_prk，然后C用S的公钥S_puk对UID、HASH(PWD)、DID、C_puk和T₀进行加密运算即ENC(UID，HASH(PWD)，DID，C_puk，T₀)将得到的结果发送到S；7)S对ENC(UID，HASH(PWD)，DID，C_puk，T₀)进行解密，S通过UID查询数据库获得HASH(PWD)与解密获得的HASH(PWD)比较，若一致则将该设备的DID、C_puk和T₀存储到数据库，并且按照注册阶段中的(7)使得C获得HASH(DID||T₀)，并和HASH(UID||PWD)一起存储到操作系统的安全区中，并转到步骤(1)进行登录验证操作；否则提示客户端用户名或密码错误。(3)行为认证阶段行为认证主要包括对行为状态BS，行为内容BC和习惯BH进行认证，其主要作用是保证用户行为操作的安全性与合法性。其中BS主要包括使用云服务时登录的地点p，登录的时间t；用户的行为内容即用户主要使用了移动云服务哪些功能e和访问了哪些资源r，H主要包括用户访问移动云服务资源的顺序s和使用移动云服务资源占用的时间Δt。1)用户注册登陆后，移动云计算服务管理中心，将用户的历史行为信息记录到用户行为日志数据库，其中用户的历史行为信息包括上述的p、t、e、r、s和Δt等。2)在用户使用移动云服务满一定期限T后，用户行为特征分析挖掘代理对用户的历史行为进行分析挖掘处理，形成用户的正常行为模式知识库；3)对使用期限满T后的用户，当访问云服务时，再通过(2)中所述的身份认证后，进行行为状态BS的再认证，若发现登录的时间地点<p，t>与知识库中正常模式进行相似度计算后低于阈值V₁，则需进行身份再认证转6)；否则进行行为内容BC的认证。4)若发现用户行为内容未出现在知识库中，则需进行身份再认证转6)；否则进行行为习惯BH的认证。5)若发现用户调用资源的顺序s与知识库中的相似度低于阈值V₂，或者用户访问某一资源的时间与知识库中的时间差值绝对值高一某一阈值V₃，则需进行身份再认证转6)；6)身份认证授权服务器S要求用户输入安全密语SPP，客户端C将HASH(SPP)使用S_puk加密即ENC(HASH(SPP))，然后发送给S，S用S_prk解密后将其与数据库中的HASH(SPP)比较，若相等，则生成一次性口令P，暂存P，否则报告用户安全密语错误。然后根据用户的UID检索出数据库中用户的安全号码PID，将P以短信的形式发送到用户的安全手机上，用户输入P后，客户端将P使用服务端密钥S_puk加密后发送到服务端，服务端解密后与暂存的相比较，若相等，则通知移动云服务管理中心可以提供服务，否则报告用户动态口令错误，拒绝提供服务。