【技术实现步骤摘要】
多因子通用可组合认证及服务授权方法、通信服务系统
本专利技术属于通信网络安全
,尤其涉及一种多因子通用可组合认证及服务授权方法、通信服务系统。
技术介绍
目前,业内常用的现有技术是这样的:随着通信技术及无线网络的发展,出现了越来越多的复杂服务系统,不仅仅提供单一种类的服务,为用户提供多元化的服务并且系统是由差异化的服务器构成的。以即将提供服务的5G网络为例,5G将为用户提供高容量、低延迟及更好的用户体验,如高清视频通信、车联网及电子医疗等许多服务都将被加入到5G平台中,因此安全的用户认证及服务授权是系统安全的基础。但不同的服务具有差异化的安全需求,如电子医疗需要高强度的安全保证,而浏览一些公共信息则具有低延迟的用户需求。若为每一个服务都设计不同的认证及授权方案,大大增加了系统复杂性,但差异化安全需求的服务使用统一的认证方案也将因需保障最高水平的安全强度而造成资源浪费及效率降低,显然是不合理的。目前为了解决服务系统的认证安全性问题,研究者已为多种场景提供解决方案。如为提升认证强度,采用多因子认证的方式,结合生物特征、口令字、智能卡及短信等认证因子对实体用户进行认证。这些方案大多基于特定场景设计,或只能提供一种固定的安全强度。有部分研究者也提出通用的认证框架,这些方案通过组合一个二因子认证及一个单因子认证方案,其中二因子方案为一个通用可变换的模块,则可单独执行二因子的认证方案。多因子方案若直接组合单因子认证方案,将在安全强度方面不具有太多的提升,二将大大降低方案的效率,因此直接的组合是不具有意义的。3GPP标准中也设计了实体认证架构EAP(Extensi ...
【技术保护点】
1.一种多因子通用可组合认证及服务授权方法,其特征在于,所述多因子通用可组合认证及服务授权方法结合生物特征、口令字及智能卡进行身份认证,通过模块化的设计,将认证阶段灵活地组合或者拆分执行,实现四种安全等级的身份认证;根据不同的强度的认证设计了对应的密钥协商协议并完成服务授权。
【技术特征摘要】
1.一种多因子通用可组合认证及服务授权方法,其特征在于,所述多因子通用可组合认证及服务授权方法结合生物特征、口令字及智能卡进行身份认证,通过模块化的设计,将认证阶段灵活地组合或者拆分执行,实现四种安全等级的身份认证;根据不同的强度的认证设计了对应的密钥协商协议并完成服务授权。2.如权利要求1所述的多因子通用可组合认证及服务授权方法,其特征在于,所述多因子通用可组合认证及服务授权方法具体包括:第一步,认证初始化阶段;第二步,注册阶段;第三步,认证接入阶段;第四步,生物特征及智能卡认证过程;第五步,口令字及智能卡认证过程;第六步,会话密钥协商阶段;第七步,服务授权阶段。3.如权利要求2所述的多因子通用可组合认证及服务授权方法,其特征在于,所述第一步的认证初始化阶段具体包括:(1)认证服务器AS运行公钥生成算法生成一对密钥(PKAS,SKAS);(2)AS运行对称密钥生成算法生成用于该用户认证的私钥SKC;(3)AS确定一个椭圆曲线E并计算其基点P,n是基点P的阶。4.如权利要求2所述的多因子通用可组合认证及服务授权方法,其特征在于,所述第二步的注册阶段具体包括:(1)认证服务器AS检查该用户是否注册,若已注册,则直接执行S3阶段;若未注册,则生成一个系统唯一的用户标识IDC,该标识后链接两个可扩展域:可获取功能标识及安全等级;安全等级的取值为0、1、2、3之一,并且由0至3,安全强度逐一加强;(2)用户C在一个可信的设备上采集生物特征,并输入模糊提取器产生一对(R,N),其中R是由生物特征中提取的随机数,N为可公开的辅助参数,若在模糊提取器中输入相同的生物特征及N则可恢复出R;(3)用户C计算一个消息认证码密钥KB=Hash(R)并将(KB,N)发送至认证服务器AS;(4)认证服务器AS接收到消息后,NRF生成随机数RN1并且用对称加密算法SKE.Enc及密钥SKC将KB加密,生成DK、计算公式为:AS构造生物特征认证信息组DBio、计算公式为:DBio=(N,DK,Hash,Rep);其中Hash为方案中使用的hash函数,Rep为模糊提取器中的恢复函数;AS生成2个新随机数RN2、RN3并计算口令字认证信息DE、计算公式为:AS构造(5)认证服务器AS将存有DC、DBio及共享的椭圆曲线E、P的智能卡SC移交给用户C;对于无线网络中的移动设备,安全传输并保存以上数据;(6)用户C用KB加密DBio并存储,并选择口令字PW,用户设备生产随机数RN4并计算口令字认证信息(7)认证服务器存储并删除RN3,DBio。5.如权利要求2所述的多因子通用可组合认证及服务授权方法,其特征在于,所述第三步的认证接入阶段具体包括:(1)用户C选择需要的服务并检查是否有有效的授权token,若用户C具有获取服务的有效token则不执行以下步骤,直接执行步骤六,若无有效token,则执行(2);(2)C发送一个服务认证请求(IDC,Request)至认证服务器;(3)认证服务器AS检查IDC后链接的安全等级中最大的为SR,若SR为0,则完成认证并不再进行步骤四、步骤五及步骤六,直接执行步骤七;若SR为1、3则执行步骤四,若SR为2则不执行步骤四,直接执行步骤五;AS根据判断发送(SR,Attach)通知用户C执行相应步骤。6.如权利要求2所述的多因子通用可组合认证及服务授权方法,其特征在于,所述第四步的生物特征及智能卡认证过程具体包括:(1)用户C生成一个新的随机数RN5,并将(IDC,T1,RN5)发送至认证服务器AS;(2)当认证服务器AS收到消息后,执行下列步骤:1)检查时间戳T1是否有效,若不是有效的时戳则认证失败,停止认证,若为有效时戳,则执行2);2)通过IDC在数据库中找到该用户对应的并用SKC解密获得KB;3)生成随机数RN6,并计算认证消息DK、MK,计算公式为:4)发送(T2||RN6,MK)至用户C;(3)当用户C收到消息后,执行下列步骤:1)检查时间戳T2是否有效,若不是有效的时戳则认证失败,停止认证,若为有效时戳,则执行2);2)在设备上录入生物特征Bio...
【专利技术属性】
技术研发人员:曹进,罗玙瑢,李晖,赵兴文,
申请(专利权)人:西安电子科技大学,
类型:发明
国别省市:陕西,61
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。