一种以用户为中心面向多IDP聚合的多因素认证方法,用于解决用户身份隐私和无法实现多IDP可扩展性的问题,具体步骤包括:数据注册中心生成公共参数和每个身份提供商IDP的签名密钥和验证密钥;每个身份提供商IDP为用户不同认证因素颁发身份凭证并存储在数据注册中心;根据服务提供商SP的授权策略用户从数据注册中心获取凭证;用户将多个凭证聚合为一个凭证;服务提供商SP利用零知识证明和双线性映射技术验证凭证中的认证因素。本发明专利技术具有用户不可链接性和不可跟踪性,降低了多IDP场景认证的计算开销,可广泛应用于高安全级别的身份认证类应用系统。证类应用系统。证类应用系统。
【技术实现步骤摘要】
以用户为中心面向多IDP聚合的多因素认证方法
[0001]本专利技术属于信息安全
,更进一步涉及身份认证
中的一种以用户为中心面向多身份提供商IDP(Identity Provider)聚合的多因素认证方法。本专利技术依托于远程服务器对待验证人(终端用户)进行身份认证,可广泛应用于多IDP场景的身份认证场景,处理终端用户身份和认证因素的关系。
技术介绍
[0002]多因素认证是指使用密码技术结合两种及以上不同的认证因素实现身份认证,其中认证因素归为三类,分别是人可以记忆的秘密(口令)、人持有的设备、智能卡、长密钥等,以及人自身具备的特征(人脸、指纹、行为)。只有同时获得全部的认证因素才能通过认证,多因素认证加强了身份认证的安全强度。然而,随着数字平台的数量不断增长,终端用户面临的威胁日趋复杂,现有的多因素认证方法存在不足之处。一方面,未考虑身份隐私问题,恶意攻击方可根据终端用户身份标识跟踪用户或者链接到同一用户;另一方面,忽略多IDP扩展性问题,即终端用户一次只能向服务提供商SP(Service Provider)展示一个IDP发行的身份凭证,多个IDP颁发的凭证需要多次验证,增加了认证过程的计算开销。
[0003]北京大学在其申请的专利文献“一种基于门限的动态多因素身份认证方法和通信方法”(专利申请号CN202111158752.7,申请公布号CN113904833A)中公开了一种基于门限的多因素认证方法。该方法利用基于门限的不经意伪随机函数TOPRF(Threshold Oblivious Pseudo Random Function)和认证密钥交换协议AKE(Authenticated Key
‑
Exchange)构造门限多因素认证方法TMFA(Threshold Multi
‑
factor Authentication)。该方法允许用户通过口令、多个可选设备、生物特征进行身份认证,支持用户根据需求从多个认证因素中自主选择其中的几个因素进行认证。通过修改的TOPRF协议,将口令增强为随机密钥,再使用该随机密钥运行AKE协议进行身份认证。设备因素的密钥存储在本地,生物因素通过模糊提取技术将用户生物特征提取成密钥,以防止服务器存储文件泄漏时发生生物因素泄漏。虽然该方法提高了多因素认证的安全性,有效实现了多因素身份认证中用户使用因素的灵活性,但是,该方法仍然存在的不足之处是:首先,由于该方法限制了认证因素种类,即用户通过从口令、生物特征以及多个设备(共n个)中自由选择t个实现认证,只要恶意攻击者获取n个因子中的t个便能够伪装成用户;其次,对于不同的SP,用户可能会使用相同的凭证认证,导致多个SP能够链接同一用户,由此泄露用户其他隐私;最后,对于多个IDP颁发的多个身份凭证,SP需要分开验证,大大增加了计算开销。
[0004]Laborde R等人在其发表的论文“A User
‑
Centric Identity Management Framework based on the W3C Verifiable Credentials and the FIDO Universal Authentication Framework”(2020IEEE 17th Annual Consumer Communications&Networking Conference(CCNC),IEEE,2020:1
‑
8.)中提出了一种以用户为中心面向多IDP的身份认证方法。该方法将IDP划分为多个属性权威机构AA(Attribute Authorities),例如,大学作为AA声明文凭或学生身份,公司和市政厅作为AA声明姓名和地址等等。该方法的
步骤是,首先用户向SP请求服务,SP返回一个包含AA和对应属性的授权策略;随后用户向多个AA查询,AA验证用户身份并对用户属性进行签名得到基于属性的凭证(Attribute Based Credentials);用户收到全部凭证后并将其转发给SP;SP收到凭证集合后,使用AA公钥验证凭证的真实性,验证成功,用户通过身份认证,SP为用户提供服务,否则,拒绝服务。SP能够细粒度的选择授权策略中所需的属性,提高了认证方法的灵活性,但是,该方法仍然存在的不足之处是:其一,该方法要求SP和AA必须同时在线,因为SP提出授权策略后,用户需要立刻查询AA来获取ABC;其二,该方法对于不同AA颁发的ABC需要分开验证,增加了SP验证凭证的计算开销;其三,该方法仅支持多属性认证,常见的属性包括性别、语言、住址和年龄等,使用属性认证用户难以保证认证的准确性,其理由是具有相同属性的用户可能并非为同一人。
技术实现思路
[0005]本专利技术的目的是针对上述现有技术存在的不足,提供一种以用户为中心面向多IDP聚合的多因素认证方法,用于解决多个SP链接同一用户带来的泄露用户其他隐私,SP委托IDP认证,IDP能够跟踪用户访问的SP问题,以及实现不可跟踪性和不可链接性的问题。
[0006]实现本专利技术目的的思路是:本专利技术根据W3C官方机构提出的可验证凭证数据模型设定四个参与实体,分别是数据注册中心、用户、IDP和SP。本专利技术采用以用户为中心的认证架构,用户与IDP交互获取凭证,与SP交互验证凭证,与数据注册中心交互存储和检索凭证,除用户外其余三个实体不能进行交互,以用户为中心的架构保证了IDP不参与验证凭证过程,无法跟踪用户访问的SP,以此解决SP委托IDP认证,IDP能够跟踪用户访问的SP问题。本专利技术针对多个IDP,利用零知识证明技术验证用户的口令、生物特征等认证因素,在认证的过程中未向IDP泄露认证因素,并通过基于标签的签名技术为用户颁发基于认证因素的身份凭证。本专利技术中用户从数据注册中心检索凭证并进行随机化处理,利用零知识证明技术认证,使得对于不同SP展示不同的凭证,多个SP无法通过凭证链接到同一用户,以此解决多个SP链接同一用户带来的泄露用户其他隐私的问题。本专利技术用户将多个凭证聚合,以一个凭证的形式展示给SP,SP验证凭证的真实性和完整性,如果验证成功则提供服务,否则,拒绝服务,实现多IDP扩展性,提升认证效率。
[0007]本专利技术的实现步骤包括如下:
[0008]步骤1,数据注册中心生成公共参数和每个身份提供商的签名密钥和验证密钥:
[0009]步骤1.1,数据注册中心分别生成并公开七个公共参数q,p,G1,G2,g,G
T
,数数据注册中心为每个用户生成各自的用户身份标识并传输给该用户;其中,p和q表示长度为160位的素数,p和q的关系满足q|(p
‑
1),|表示整除符号,G1和G2表示以q为阶的循环群,g和分别表示G1和G2的生成元,循环群G1,G2,G
T
之间存在双线性映射G1×
G2→
G
T
,由群G1和G2中的所有元素能够生成群G
T
中的所有元素;
[0010]步骤1.2,本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种以用户为中心面向多IDP聚合的多因素认证方法,其特征在于,采用以用户为中心的认证架构,使用基于标签的签名聚合由多个身份提供商IDP颁发的不同凭证,利用零知识证明验证聚合凭证中的认证因素;该方法的步骤包括如下:步骤1,数据注册中心生成公共参数和每个身份提供商的签名密钥和验证密钥:步骤1.1,数据注册中心分别生成并公开七个公共参数q,p,G1,G2,g,G
T
,数数据注册中心为每个用户生成各自的用户身份标识并传输给该用户;其中,p和q表示长度为160位的素数,p和q的关系满足q|(p
‑
1),|表示整除符号,G1和G2表示以q为阶的循环群,g和分别表示G1和G2的生成元,循环群G1,G2,G
T
之间存在双线性映射G1×
G2→
G
T
,由群G1和G2中的所有元素能够生成群G
T
中的所有元素;步骤1.2,数据注册中心通过随机数发生器,在整数1到q
‑
1之间产生随机数(t
j
,u
j
,v
j
r
j,i
,s
j,i
)∈[1,q
‑
1],作为每个身份提供商的签名密钥;根据公钥基础设施标准,数据注册中心计算签名密钥对应的验证密钥:其中,j表示身份提供商的序号,i表示用户认证因素的序号;步骤2,每个身份提供商为每个用户的不同认证因素颁发身份凭证:步骤2.1,用户利用Map
‑
to
‑
point函数,计算群元素h=H
G
(ID)∈G2;用户利用随机数发生器,在整数1到q
‑
1之间产生随机数作为该用户的临时秘密;用户利用群元素h和临时秘密构造标签发送给每个身份提供商请求为该用户颁发凭证;其中,ID表示用户的身份标识,每个用户的身份标识均不同;步骤2.2,用户与每个身份提供商执行关于用户认证因素(x
j,1
,x
j,2
,
…
,x
j,n
)的零知识证明,其中,x
j,1
表示用户在第j个身份提供商处证明的第1个认证因素,n表示用户在第j个身份提供商处证明的认证因素的总数;步骤2.3,每个身份提供商利用基于标签的签名技术对用户的认证因素(x
j,1
,x
j,2
...
【专利技术属性】
技术研发人员:姜奇,刘怡静,杨雪,赵贵川,
申请(专利权)人:西安电子科技大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。