以用户为中心面向多IDP聚合的多因素认证方法技术

一种以用户为中心面向多IDP聚合的多因素认证方法，用于解决用户身份隐私和无法实现多IDP可扩展性的问题，具体步骤包括：数据注册中心生成公共参数和每个身份提供商IDP的签名密钥和验证密钥；每个身份提供商IDP为用户不同认证因素颁发身份凭证并存储在数据注册中心；根据服务提供商SP的授权策略用户从数据注册中心获取凭证；用户将多个凭证聚合为一个凭证；服务提供商SP利用零知识证明和双线性映射技术验证凭证中的认证因素。本发明专利技术具有用户不可链接性和不可跟踪性，降低了多IDP场景认证的计算开销，可广泛应用于高安全级别的身份认证类应用系统。证类应用系统。证类应用系统。

【技术实现步骤摘要】
以用户为中心面向多IDP聚合的多因素认证方法


[0001]本专利技术属于信息安全
，更进一步涉及身份认证
中的一种以用户为中心面向多身份提供商IDP(Identity Provider)聚合的多因素认证方法。本专利技术依托于远程服务器对待验证人(终端用户)进行身份认证，可广泛应用于多IDP场景的身份认证场景，处理终端用户身份和认证因素的关系。

技术介绍

[0002]多因素认证是指使用密码技术结合两种及以上不同的认证因素实现身份认证，其中认证因素归为三类，分别是人可以记忆的秘密(口令)、人持有的设备、智能卡、长密钥等，以及人自身具备的特征(人脸、指纹、行为)。只有同时获得全部的认证因素才能通过认证，多因素认证加强了身份认证的安全强度。然而，随着数字平台的数量不断增长，终端用户面临的威胁日趋复杂，现有的多因素认证方法存在不足之处。一方面，未考虑身份隐私问题，恶意攻击方可根据终端用户身份标识跟踪用户或者链接到同一用户；另一方面，忽略多IDP扩展性问题，即终端用户一次只能向服务提供商SP(Service Provider)展示一个IDP发行本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种以用户为中心面向多IDP聚合的多因素认证方法，其特征在于，采用以用户为中心的认证架构，使用基于标签的签名聚合由多个身份提供商IDP颁发的不同凭证，利用零知识证明验证聚合凭证中的认证因素；该方法的步骤包括如下：步骤1，数据注册中心生成公共参数和每个身份提供商的签名密钥和验证密钥：步骤1.1，数据注册中心分别生成并公开七个公共参数q,p,G1,G2,g,G
T
，数数据注册中心为每个用户生成各自的用户身份标识并传输给该用户；其中，p和q表示长度为160位的素数，p和q的关系满足q|(p
‑
1)，|表示整除符号，G1和G2表示以q为阶的循环群，g和分别表示G1和G2的生成元，循环群G1,G2,G
T
之间存在双线性映射G1×
G2→
G
T
，由群G1和G2中的所有元素能够生成群G
T
中的所有元素；步骤1.2，数据注册中心通过随机数发生器，在整数1到q
‑
1之间产生随机数(t
j
,u
j
,v
j
r
j,i
,s
j,i
)∈[1,q
‑
1]，作为每个身份提供商的签名密钥；根据公钥基础设施标准，数据注册中心计算签名密钥对应的验证密钥：其中，j表示身份提供商的序号，i表示用户认证因素的序号；步骤2，每个身份提供商为每个用户的不同认证因素颁发身份凭证：步骤2.1，用户利用Map
‑
to
‑
point函数，计算群元素h＝H
G
(ID)∈G2；用户利用随机数发生器，在整数1到q
‑
1之间产生随机数作为该用户的临时秘密；用户利用群元素h和临时秘密构造标签发送给每个身份提供商请求为该用户颁发凭证；其中，ID表示用户的身份标识，每个用户的身份标识均不同；步骤2.2，用户与每个身份提供商执行关于用户认证因素(x
j,1
,x
j,2
,
…
,x
j,n
)的零知识证明，其中，x
j,1
表示用户在第j个身份提供商处证明的第1个认证因素，n表示用户在第j个身份提供商处证明的认证因素的总数；步骤2.3，每个身份提供商利用基于标签的签名技术对用户的认证因素(x
j,1
,x
j,2
...

【专利技术属性】
技术研发人员：姜奇，刘怡静，杨雪，赵贵川，
申请(专利权)人：西安电子科技大学，
类型：发明
国别省市：