多因子通用可组合认证及服务授权方法、通信服务系统技术方案

本发明专利技术属于通信网络安全技术领域，公开了一种多因子通用可组合认证及服务授权方法、通信服务系统；包括：认证初始化阶段；注册阶段；认证接入阶段；生物特征及智能卡认证过程；口令字及智能卡认证过程；会话密钥协商阶段；服务授权阶段。本发明专利技术结合生物特征、口令字及智能卡等三因子进行身份认证，通过模块化的设计，可将认证阶段灵活地组合或者拆分执行，实现四种安全等级的身份认证，大大减少了系统的复杂性，提高了系统效率；根据不同的强度的认证设计了对应的密钥协商协议并完成服务授权，能完成各种电子服务系统中的服务控制，包括5G网络等其他复杂网络环境下的服务系统，并能够抵抗目前已知的所有攻击。

【技术实现步骤摘要】
多因子通用可组合认证及服务授权方法、通信服务系统
本专利技术属于通信网络安全
，尤其涉及一种多因子通用可组合认证及服务授权方法、通信服务系统。
技术介绍
目前，业内常用的现有技术是这样的：随着通信技术及无线网络的发展，出现了越来越多的复杂服务系统，不仅仅提供单一种类的服务，为用户提供多元化的服务并且系统是由差异化的服务器构成的。以即将提供服务的5G网络为例，5G将为用户提供高容量、低延迟及更好的用户体验，如高清视频通信、车联网及电子医疗等许多服务都将被加入到5G平台中，因此安全的用户认证及服务授权是系统安全的基础。但不同的服务具有差异化的安全需求，如电子医疗需要高强度的安全保证，而浏览一些公共信息则具有低延迟的用户需求。若为每一个服务都设计不同的认证及授权方案，大大增加了系统复杂性，但差异化安全需求的服务使用统一的认证方案也将因需保障最高水平的安全强度而造成资源浪费及效率降低，显然是不合理的。目前为了解决服务系统的认证安全性问题，研究者已为多种场景提供解决方案。如为提升认证强度，采用多因子认证的方式，结合生物特征、口令字、智能卡及短信等认证因子对实体用户进行认证。这些方案大多基于特定场景设计，或只能提供一种固定的安全强度。有部分研究者也提出通用的认证框架，这些方案通过组合一个二因子认证及一个单因子认证方案，其中二因子方案为一个通用可变换的模块，则可单独执行二因子的认证方案。多因子方案若直接组合单因子认证方案，将在安全强度方面不具有太多的提升，二将大大降低方案的效率，因此直接的组合是不具有意义的。3GPP标准中也设计了实体认证架构EAP(ExtensibleAuthenticationProtocol，可扩展认证协议)，但每个EAP系列协议中都只采用了固定的认证方案，如公钥或对称密码体制，多个独立的EAP系列协议分别为不同的服务或应用提供认证方案。迄今为止，只有很少的方案考虑了在多元服务系统中采用一种通用可组合的架构实现用户认证及授权，这些方案一般从通用设计的角度出发，设计的方案其中部分模块是可以替换为任何符合要求的子协议的，因此设计重点是通用的多因子认证协议设计框架。但是，这些方案都没有从多样化使用的角度出发，无法按照服务需求或安全等级分类认证。这些方案依然只能完成某种特定的安全强度，无法根据不同的服务需求动态调整协议的执行步骤，故只适用于完成系统某类服务的认证功能。若将不同安全需求的服务按照安全强度或需求进行分类，设计一个通用的认证方案，可以通过拆分协议步骤或组合某部分协议形成新的子协议单独执行，就能完成不同安全需求及效率的认证，系统仅需部署一个统一的协议即可完成差异化需求的服务认证及授权工作，大大降低了系统复杂性。为满足系统最高的安全需求，这应该是一个多因子认证方案，但多因子不能直接将单因子方案进行叠加使用，会导致效率大幅降低，而安全性增益不明显。将多种认证因子糅合重构协议，但还需保证该协议可模块化使用，是设计协议的难点。目前还没有一种可通过拆分组合使用的通用认证协议实现多安全等级的用户认证及服务授权方案。因此，如何实现单个方案完成差异化需求的服务认证及授权是复杂服务系统面临的一个关键问题。综上所述，现有技术存在的问题是：现有技术都没有按照服务需求分类认证；目前还没有一种可拆分组合的通用认证协议实现多安全等级的用户认证及服务授权方案。解决上述技术问题的难度：目前通用可组合的方案未考虑到拆分组合使用的问题，一般针对可替换性的通用架构问题进行设计，而本方案从协议拆分组合使用的多样性出发，并按照安全强度进行分类使用。设计多因子方案不能直接将单因子方案进行叠加使用，直接叠加将大大增加计算消耗，影响协议效率，并对安全性无明显提升。因此有效的多因子方案必须结合多种认证因子重构协议，这也增加了协议可拆分的难度，如何将多种因子糅合认证但协议保持模块化并可拆分组合使用是设计的难点。解决上述技术问题的意义：对服务按照安全需求进行分类后，在认证协议中增加安全等级参数，并设计可以拆分组合使用的多因子认证协议，使用一个通用的协议即可完成系统中多项服务的用户认证与授权。以往的系统中对差异化的服务往往采用多种不同的身份认证协议，这将增加系统复杂度及效率等方面的负担。若可实现一个多因子认证协议能拆分组合使用，则无需部署多种方案即可均衡效率及安全性，且多因子认证也保障了方案的安全强度，可以用于完成复杂服务网络中高效安全的用户认证及服务授权。
技术实现思路
针对现有技术存在的问题，本专利技术提供了一种多因子通用可组合认证及服务授权方法、通信服务系统。本专利技术是这样实现的，一种多因子通用可组合认证及服务授权方法，所述多因子通用可组合认证及服务授权方法结合生物特征、口令字及智能卡等三因子进行身份认证，通过模块化的设计，将认证阶段灵活地组合或者拆分执行，实现四种安全等级的身份认证；根据不同的强度的认证设计了对应的密钥协商协议并完成服务授权。进一步，所述多因子通用可组合认证及服务授权方法具体包括：第一步，认证初始化阶段；第二步，注册阶段；第三步，认证接入阶段；第四步，生物特征及智能卡认证过程；第五步，口令字及智能卡认证过程；第六步，会话密钥协商阶段；第七步，服务授权阶段。进一步，所述第一步的认证初始化阶段具体包括：(1)认证服务器AS运行公钥生成算法生成一对密钥(PKAS,SKAS)；(2)AS运行对称密钥生成算法生成用于该用户认证的私钥SKC；(3)AS确定一个椭圆曲线E并计算其基点P，n是基点P的阶。进一步，所述第二步的注册阶段具体包括：(1)认证服务器AS检查该用户是否注册，若已注册，则直接执行S3阶段；若未注册，则生成一个系统唯一的用户标识IDC，该标识后链接两个可扩展域：可获取功能标识及安全等级；安全等级的取值为0、1、2、3之一，并且由0至3，安全强度逐一加强；(2)用户C在一个可信的设备上采集生物特征，并输入模糊提取器产生一对(R,N)，其中R是由生物特征中提取的随机数，N为可公开的辅助参数，若在模糊提取器中输入相同的生物特征及N则可恢复出R；(3)用户C计算一个消息认证码密钥KB＝Hash(R)并将(KB，N)发送至认证服务器AS；(4)认证服务器AS接收到消息后，NRF生成随机数RN1并且用对称加密算法SKE.Enc及密钥SKC将KB加密，生成DK、计算公式为：AS构造生物特征认证信息组DBio、计算公式为：DBio＝(N,DK,Hash,Rep)；其中Hash为方案中使用的hash函数，Rep为模糊提取器中的恢复函数；AS生成2个新随机数RN2、RN3并计算口令字认证信息DE、计算公式为：AS构造(5)认证服务器AS将存有DC、DBio及共享的椭圆曲线E、P的智能卡SC移交给用户C；对于无线网络中的移动设备，安全传输并保存以上数据；(6)用户C用KB加密DBio并存储，并选择口令字PW，用户设备生产随机数RN4并计算口令字认证信息(7)认证服务器存储并删除RN3,DBio。进一步，所述第三步的认证接入阶段具体包括：(1)用户C选择需要的服务并检查是否有有效的授权token，若用户C具有获取服务的有效token则不执行以下步骤，直接执行步骤六，若无有效token，则执行(2)；(2)C发送一个服务认证请求(IDC,R本文档来自技高网...

【技术保护点】
1.一种多因子通用可组合认证及服务授权方法，其特征在于，所述多因子通用可组合认证及服务授权方法结合生物特征、口令字及智能卡进行身份认证，通过模块化的设计，将认证阶段灵活地组合或者拆分执行，实现四种安全等级的身份认证；根据不同的强度的认证设计了对应的密钥协商协议并完成服务授权。

【技术特征摘要】
1.一种多因子通用可组合认证及服务授权方法，其特征在于，所述多因子通用可组合认证及服务授权方法结合生物特征、口令字及智能卡进行身份认证，通过模块化的设计，将认证阶段灵活地组合或者拆分执行，实现四种安全等级的身份认证；根据不同的强度的认证设计了对应的密钥协商协议并完成服务授权。2.如权利要求1所述的多因子通用可组合认证及服务授权方法，其特征在于，所述多因子通用可组合认证及服务授权方法具体包括：第一步，认证初始化阶段；第二步，注册阶段；第三步，认证接入阶段；第四步，生物特征及智能卡认证过程；第五步，口令字及智能卡认证过程；第六步，会话密钥协商阶段；第七步，服务授权阶段。3.如权利要求2所述的多因子通用可组合认证及服务授权方法，其特征在于，所述第一步的认证初始化阶段具体包括：(1)认证服务器AS运行公钥生成算法生成一对密钥(PKAS,SKAS)；(2)AS运行对称密钥生成算法生成用于该用户认证的私钥SKC；(3)AS确定一个椭圆曲线E并计算其基点P，n是基点P的阶。4.如权利要求2所述的多因子通用可组合认证及服务授权方法，其特征在于，所述第二步的注册阶段具体包括：(1)认证服务器AS检查该用户是否注册，若已注册，则直接执行S3阶段；若未注册，则生成一个系统唯一的用户标识IDC，该标识后链接两个可扩展域：可获取功能标识及安全等级；安全等级的取值为0、1、2、3之一，并且由0至3，安全强度逐一加强；(2)用户C在一个可信的设备上采集生物特征，并输入模糊提取器产生一对(R,N)，其中R是由生物特征中提取的随机数，N为可公开的辅助参数，若在模糊提取器中输入相同的生物特征及N则可恢复出R；(3)用户C计算一个消息认证码密钥KB＝Hash(R)并将(KB，N)发送至认证服务器AS；(4)认证服务器AS接收到消息后，NRF生成随机数RN1并且用对称加密算法SKE.Enc及密钥SKC将KB加密，生成DK、计算公式为：AS构造生物特征认证信息组DBio、计算公式为：DBio＝(N,DK,Hash,Rep)；其中Hash为方案中使用的hash函数，Rep为模糊提取器中的恢复函数；AS生成2个新随机数RN2、RN3并计算口令字认证信息DE、计算公式为：AS构造(5)认证服务器AS将存有DC、DBio及共享的椭圆曲线E、P的智能卡SC移交给用户C；对于无线网络中的移动设备，安全传输并保存以上数据；(6)用户C用KB加密DBio并存储，并选择口令字PW，用户设备生产随机数RN4并计算口令字认证信息(7)认证服务器存储并删除RN3,DBio。5.如权利要求2所述的多因子通用可组合认证及服务授权方法，其特征在于，所述第三步的认证接入阶段具体包括：(1)用户C选择需要的服务并检查是否有有效的授权token，若用户C具有获取服务的有效token则不执行以下步骤，直接执行步骤六，若无有效token，则执行(2)；(2)C发送一个服务认证请求(IDC,Request)至认证服务器；(3)认证服务器AS检查IDC后链接的安全等级中最大的为SR，若SR为0，则完成认证并不再进行步骤四、步骤五及步骤六，直接执行步骤七；若SR为1、3则执行步骤四，若SR为2则不执行步骤四，直接执行步骤五；AS根据判断发送(SR,Attach)通知用户C执行相应步骤。6.如权利要求2所述的多因子通用可组合认证及服务授权方法，其特征在于，所述第四步的生物特征及智能卡认证过程具体包括：(1)用户C生成一个新的随机数RN5，并将(IDC,T1,RN5)发送至认证服务器AS；(2)当认证服务器AS收到消息后，执行下列步骤：1)检查时间戳T1是否有效，若不是有效的时戳则认证失败，停止认证，若为有效时戳，则执行2)；2)通过IDC在数据库中找到该用户对应的并用SKC解密获得KB；3)生成随机数RN6，并计算认证消息DK、MK，计算公式为：4)发送(T2||RN6,MK)至用户C；(3)当用户C收到消息后，执行下列步骤：1)检查时间戳T2是否有效，若不是有效的时戳则认证失败，停止认证，若为有效时戳，则执行2)；2)在设备上录入生物特征Bio...

【专利技术属性】
技术研发人员：曹进，罗玙瑢，李晖，赵兴文，
申请(专利权)人：西安电子科技大学，
类型：发明
国别省市：陕西,61