多因子安全增强授权与认证方法技术

本发明专利技术实施例提供一种多因子安全增强授权与认证方法，包括：注册步骤，通过在验证网关上存储与示证用户相关的可信因子来完成示证用户在验证网关上的注册，并且在验证网关与示证用户之间同步可信因子，并且分别将同步成功的可信因子存储为认证因子；安全增强授权步骤，验证网关在安全域内采集授权因子并同步到示证用户，验证网关和示证用户分别将同步成功的全部授权因子存储为认证因子；安全增强认证码生成步骤，验证网关和示证用户分别生成安全增强认证码；以及安全认证步骤，验证网关验证示证用户提供的安全增强认证码是否匹配，以对示证用户进行安全认证。本发明专利技术的方法提高多认证因子传输安全性、减少认证数据网络传输流量，减少认证时长。

【技术实现步骤摘要】
多因子安全增强授权与认证方法
本专利技术涉及信息安全领域，尤其涉及一种多因子安全增强授权与认证方法。
技术介绍
安全域是指同一环境内有相同的安全保护需求、相互信任、并具有相同的安全访问控制和边界控制策略的网络或系统。网络安全域是指同一系统内有相同的安全保护需求，相互信任，并具有相同的安全访问控制和边界控制策略的子网或网络，且相同的网络安全域共享一样的安全策略。广义的安全域是具有相同业务要求和安全要求的系统要素集合，这些要素包括网络区域、主机和系统、人和组织、物理环境、策略和流程、业务和使命等诸多因素。通过网络安全域的划分，可以把一个复杂的大型网络系统安全问题转化为较小区域更为单纯的安全保护问题，从而更好地控制网络安全风险，降低系统风险；利用网络安全域的划分，理顺网络架构，可以更好地指导系统的安全规划和设计、入网和验收工作；通过网络安全域的划分，各区域防护重点明确，可以将有限的安全设备投入到最需要保护的资产，提高安全设备利用率；有了网络安全域的划分，相对简化了网络安全的运维工作，并可有的放矢地部署网络审计设备，提供检查审核依据。安全域通过授权和身份认证来防止非法用户对安全域的非法访问。授权和认证涉及到两方：示证用户和验证网关。示证用户一般指安全域的用户终端、用户卡等，验证网关一般指安全域的授权与认证管理信息系统、安全认证网关设备等。授权是验证网关签发给示证用户的通行证，对安全域而言，是安全域签发给用户的通行证，规定用户是否有权出入某个安全域，侧重于强调用户拥有什么样的访问权限，这种权限是系统预先设定的，并不关心用户是否发起访问请求。身份认证是示证用户向验证网关证实其真实身份与其所声称的身份是否相符的过程，这一过程是通过特定的协议和算法来实现的。身份认证是安全域验证用户身份与其所声称的身份是否一致，防止非法用户进入安全域。身份认证是信息安全理论的重要组成部分，它以密码理论为基础，同时也是访问控制和审计的前提，对网络环境下的信息安全尤其重要。身份认证的数学基础有两种，知识认证和零知识认证。示证用户试图向验证网关证明自己知道某信息。一种方法是示证用户说出这一信息使得验证网关相信，这样验证网关也知道了这一信息，这是基于知识的证明，称为知识认证。另一种方法是使用某种有效的数学方法，使得验证网关相信示证用户掌握这一信息，却不泄露任何有用的信息，这是基于零知识的证明，称为零知识认证。零知识认证可以分为两大类：最小泄露认证和零知识认证。身份认证的知识认证方式基于三种物理基础：示证用户所知道的知识、示证用户拥有的知识、示证用户的特征知识。第一类的例子是最常用的密码和口令；第二类的例子有身份证、护照、密钥盘等；第三类包括用户的生物特征，如指纹、红膜、DNA、声纹，还包括用户的下意识行为，比如签名。这三类物理基础各有利弊。第一类方法最简单，系统开销最小，但是最不安全；第二类泄漏秘密的可能性比较小，因而安全性比第一类高，但是认证系统相对复杂；第三类的安全性最高，比如想窃取一个人的指纹是很困难的，但是涉及更复杂的算法和实现技术。针对前两类基础的技术起步较早，目前相对成熟，应用比较广泛。有关第三类的技术也由于它在安全性上的优势正在迅速发展。在安全域授权与认证领域，计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的，计算机只能识别用户的数字身份，所有对用户的授权也是针对用户数字身份的授权。由于大量的身份信息在计算机网络上进行传输，关于身份信息的保护越来越被关注与增强，在电子交易、行政执法、移动办公等领域，早已不再简单的依靠用户名口令的方式认证，越来越多的认证过程加入了授权过程加入了更多的认证因子。在实现本专利技术的过程中，专利技术人发现现有的授权与认证技术中存在如下问题：1、认证过程中，认证因子直接暴露在网络上进行传输，很容易被非法获取；2、对于有较高安全要求的系统或者网络，安全域采取多因子安全认证技术提高安全认证级别，现有的授权与认证技术需要示证用户传输所有的认证因子，例如用户密码、用户特征值、系统终端介质等多重信息，导致网络流量大，在网络带宽有限的情况下，尤其是移动通信网络下，因认证数据传输时间较长而直接导致认证过程耗时很长；3、安全域在需要从不同侧面对用户进行认证时，现有的授权与认证技术存在多次认证、认证网络流量大、认证过程时间长等问题，当认证因子和验证环节较多时，在当前使用的认证方法中采用多次认证方式，每个侧面都独立认证一次，导致示证用户需要多次发起认证、传输认证数据、不同的验证网关进行身份验证，导致认证时间长、消耗的网络流量大。
技术实现思路
本专利技术实施例提供一种多因子安全增强授权与认证方法，以在安全域对用户进行认证时提高多认证因子传输安全性、减少认证数据网络传输流量，减少认证时长。根据本专利技术的第一方面，提供一种多因子安全增强授权与认证方法，用于安全域的示证用户认证过程，所述安全域包括验证网关，该多因子安全增强授权与认证方法包括：注册步骤，在该步骤中，通过在验证网关上存储与示证用户相关的可信因子来完成示证用户在验证网关上的注册，并且在验证网关与示证用户之间同步可信因子，验证网关将同步成功的可信因子存储为认证因子，并且注册用户将同步成功的可信因子也存储为认证因子；安全增强授权步骤，在该步骤中，验证网关在安全域内采集与完成了注册步骤的示证用户关联的一个或多个授权因子，并且与示证用户同步全部授权因子，验证网关将同步成功的全部授权因子存储为认证因子，并且示证用户将同步成功的全部授权因子存储为认证因子；安全增强认证码生成步骤，在该步骤中，验证网关和示证用户分别根据各自存储的认证因子按照相同算法生成安全增强认证码；以及安全认证步骤，在该步骤中，验证网关验证自身生成的安全增强认证码与示证用户提供的安全增强认证码是否匹配，以对示证用户进行安全认证。根据本专利技术的第二方面的多因子安全增强授权与认证方法，所述注册步骤包括：逻辑注册步骤，在该步骤中，以在验证网关的数据库中存储与示证用户相关的逻辑可信因子，所述逻辑可信因子是与示证用户相关联的可信因子并且不描述示证用户的物理设备信息，仅仅完成逻辑注册的示证用户不允许访问安全域内除验证网关之外的其他任何设备；以及物理注册步骤，在逻辑注册步骤完成后，验证网关授权示证用户登录到验证网关进行物理注册步骤，在物理注册步骤中，示证用户在首次登录到验证网关后，以在线方式将采集到的与示证用户的物理设备相关的物理可信因子上传到验证网关的数据库，所述物理可信因子是描述示证用户的物理设备信息的可信因子，并且在验证网关与示证用户之间同步逻辑可信因子和物理可信因子，验证网关将同步成功的逻辑可信因子和物理可信因子存储为认证因子，并且注册用户将同步成功的逻辑可信因子和物理可信因子也存储为认证因子。根据本专利技术的第三方面的多因子安全增强授权与认证方法，示证用户具有数据库，在该数据库中建立同步表和安全增强认证因子表，并且验证网关具有数据库，在该数据库中建立同步表和安全增强认证因子表，其中，示证用户的同步表和验证网关的同步表均用于存储未在示证用户和验证网关之间完成同步的可信因子和授权因子，示证用户的安全增强认证因子表和验证网关的安全增强认证因子表均用于将已经在示证用户和验证网关之间完成同步的可信因子和授权因子存储为认证本文档来自技高网...

【技术保护点】
一种多因子安全增强授权与认证方法，用于安全域的示证用户认证过程，所述安全域包括验证网关，该多因子安全增强授权与认证方法的特征在于，包括：注册步骤，在该步骤中，通过在验证网关上存储与示证用户相关的可信因子来完成示证用户在验证网关上的注册，并且在验证网关与示证用户之间同步可信因子，验证网关将同步成功的可信因子存储为认证因子，并且注册用户将同步成功的可信因子也存储为认证因子；安全增强授权步骤，在该步骤中，验证网关在安全域内采集与完成了注册步骤的示证用户关联的一个或多个授权因子，并且与示证用户同步全部授权因子，验证网关将同步成功的全部授权因子存储为认证因子，并且示证用户将同步成功的全部授权因子存储为认证因子；安全增强认证码生成步骤，在该步骤中，验证网关和示证用户分别根据各自存储的认证因子按照相同算法生成安全增强认证码；以及安全认证步骤，在该步骤中，验证网关验证自身生成的安全增强认证码与示证用户提供的安全增强认证码是否匹配，以对示证用户进行安全认证。

【技术特征摘要】
1.一种多因子安全增强授权与认证方法，用于安全域的示证用户认证过程，所述安全域包括验证网关，该多因子安全增强授权与认证方法的特征在于，包括：注册步骤，在该步骤中，通过在验证网关上存储与示证用户相关的可信因子来完成示证用户在验证网关上的注册，并且在验证网关与示证用户之间同步可信因子，验证网关将同步成功的可信因子存储为认证因子，并且注册用户将同步成功的可信因子也存储为认证因子；安全增强授权步骤，在该步骤中，验证网关在安全域内采集与完成了注册步骤的示证用户关联的一个或多个授权因子，并且与示证用户同步全部授权因子，验证网关将同步成功的全部授权因子存储为认证因子，并且示证用户将同步成功的全部授权因子存储为认证因子；安全增强认证码生成步骤，在该步骤中，验证网关和示证用户分别根据各自存储的认证因子按照相同算法生成安全增强认证码；以及安全认证步骤，在该步骤中，验证网关验证自身生成的安全增强认证码与示证用户提供的安全增强认证码是否匹配，以对示证用户进行安全认证。2.如权利要求1所述的多因子安全增强授权与认证方法，其特征在于，所述注册步骤包括：逻辑注册步骤，在该步骤中，以在验证网关的数据库中存储与示证用户相关的逻辑可信因子，所述逻辑可信因子是与示证用户相关联的可信因子并且不描述示证用户的物理设备信息，仅仅完成逻辑注册的示证用户不允许访问安全域内除验证网关之外的其他任何设备；以及物理注册步骤，在逻辑注册步骤完成后，验证网关授权示证用户登录到验证网关进行物理注册步骤，在物理注册步骤中，示证用户在首次登录到验证网关后，以在线方式将采集到的与示证用户的物理设备相关的物理可信因子上传到验证网关的数据库，所述物理可信因子是描述示证用户的物理设备信息的可信因子，并且在验证网关与示证用户之间同步逻辑可信因子和物理可信因子，验证网关将同步成功的逻辑可信因子和物理可信因子存储为认证因子，并且注册用户将同步成功的逻辑可信因子和物理可信因子也存储为认证因子。3.如权利要求2所述的多因子安全增强授权与认证方法，其特征在于，示证用户具有数据库，在该数据库中建立同步表和安全增强认证因子表，并且验证网关具有数据库，在该数据库中建立同步表和安全增强认证因子表，其中，示证用户的同步表和验证网关的同步表均用于存储未在示证用户和验证网关之间完成同步的可信因子和授权因子，示证用户的安全增强认证因子表和验证网关的安全增强认证因子表均用于将已经在示证用户和验证网关之间完成同步的可信因子和授权因子存储为认证因子，其中，所述物理注册步骤包括：示证用户采集与示证用户的物理设备相关的物理可信因子并存储到示证用户的同步表；示证用户将示证用户的同步表中的物理可信因子提交到验证网关；验证网关在接收到示证用户提交的物理可信因子后，将接收到的物理可信因子在验证网关的安全增强认证因子表中存储为认证因子；验证网关将认证因子成功接收的确认信息返回给示证用户；以及示证用户接收到验证网关发来的确认信息后，将示证用户的同步表中的物理可信因子从该同步表中更新到示证用户的安全增强认证因子表中作为认证因子。4.如权利要求3所述的多因子安全增强授权与认证方法，其特征在于，在将示...

【专利技术属性】
技术研发人员：丁爱民，
申请(专利权)人：北京成众志科技有限公司，
类型：发明
国别省市：北京;11