一种基于双因子的统一身份认证方法技术

本发明专利技术公开了一种基于双因子的统一身份认证方法；1)用户注册：待注册用户设置口令并提供生物特征信息，计算口令与生物特征的哈希值，并利用哈希值生成对应的公私钥对；用户利用私钥计算注册签名，并将相关信息与签名发送给管理员验证有效后通过智能合约将用户公钥上传至区块链中，并生成与用户公钥对应的id；2)权限授权：当注册用户请求被授权某个系统的权限时，需提供身份信息及签名供管理员验证，管理员验证有效后，在区块链的系统授权列表中添加用户的系统权限；3)用户登录：当用户登录某个系统时，提供身份信息及签名供系统服务器验证，系统服务器利用智能合约验证用户合法则允许用户登录系统。本发明专利技术具有安全性高、兼容性强等特点。性强等特点。性强等特点。

【技术实现步骤摘要】
一种基于双因子的统一身份认证方法


[0001]本专利技术属于信息安全
，涉及一种基于双因子的统一身份认证方法。

技术介绍

[0002]身份认证技术是指确定用户真实身份的技术，是信息安全体系的重要组成部分，且在计算机网络、电子商务、金融交易等领域中起到非常重要的作用。在传统业务中，通常通过身份证件(如身份证、户口本、护照等)确认用户身份，并保存身份证件的纸质或者电子图像作为业务授权凭证。
[0003]进入数字化时代后，账号加口令、数字证书加私钥成为主流的两种数字身份安全认证技术。然而，现有身份认证技术虽然便捷使用，但在安全和管理方面还有待进一步改进、丰富和完善，主要体现在以下两个方面：
[0004](1)单因子认证方式单一，一旦口令丢失，用户账户将泄露；
[0005](2)PKI体系的身份认证涉及繁琐的证书管理，增加运营成本。

技术实现思路

[0006]针对现有技术中存在的技术问题，本专利技术的目的在于提供一种基于双因子的统一身份认证方法，利用区块链技术的公开可验、不可篡改、可靠审计等特性，提供一种可信注册、自主授权和可靠审计的双因子统一认证系统，以便于各类应用系统访问、使用与管理。本专利基于口令、密钥或生物技术两种因子进行身份认证，即使用户口令丢失或泄露，仍能保证账户安全，满足系统安全、可靠的统一身份认证需求。
[0007]针对本专利技术的目的，本专利技术提出了一种是基于的双因子的统一认证方法，具体包括以下3个步骤：
[0008]步骤1.注册阶段(Register)：注册服务器根据用户设置的口令pwd和采集的用户生物特征信息P
i
，计算得到该用户的私钥公钥pk＝g
sk
；并获取当前时间的注册时间戳ts
r
，计算注册签名σ
r
＝sign
sk
(M
r
,ts
r
)，以上处理均在注册服务器上完成。处理完成后，注册服务器将申请注册信息M
r
,注册时间戳ts
r
,公钥pk,注册签名σ
r
发送给验证服务器。验证服务器自动验证注册时间戳ts
r
的有效性，若有效，则运行验证算法verf
pk
(M
r
,ts
r
,σ
r
)计算结果是否为1。若为1，则利用智能合约的Submit功能将pk上传至区块链中，并生成对应的用户id返回给用户，表示注册完成。
[0009]步骤2.授权阶段(Authorization)：当用户请求被授权系统服务器中一目标应用的权限时，需要输入口令pwd以及生物特征信息P
i
，同时生成请求权限信息M
a
，M
a
为用户所请求被授权的应用及权限信息。随后，获取当前时间的授权时间戳ts
a
以及计算私钥再根据私钥sk计算请求权限签名σ
a
＝sign
sk
(M
a
,ts
a
,id)。以上处理均在用户端上完成。处理完成后，用户将请求权限信息M
a
，授权时间戳ts
a
以及请求权限签名σ
a
发送给系统服务器。随后处理在系统服务器上完成。系统服务器自动验证授权时间戳ts
a
的有效性，若有效，则运行智能合约中的Check(id)算法验证该用户id是否存在，若存在，则利用
用户的公钥pk验证σ
a
的有效性，若有效则在区块链的系统授权列表List中添加对应的pk信息，表示用户被授权所请求的系统服务器中目标应用的权限。
[0010]步骤3.登录阶段(Login)：当用户登录系统中一目标应用时，需要输入口令pwd以及生物特征信息P
i
，同时生成请求登录信息M
l
，M
l
为用户所请求登录的应用信息。随后，获取当前时间的登录时间戳ts
l
以及计算私钥再根据私钥sk计算请求登录签名σ
l
＝sign
sk
(M
l
,ts
l
,id)。以上处理均在用户端上完成。处理完成后，用户将请求登录信息M
l
，登录时间戳ts
l
以及请求登录签名σ
l
发送给系统服务器。系统服务器调用智能合约中的Check(id,System)算法进行验证，其中System为此系统服务器中目标应用的标识，若结果为1，则说明该用户已被此系统授权，系统进一步调用verf
pk
(M
l
,ts
l
,σ
l
)算法，若结果为1，则允许用户登录系统中的目标应用，否则拒绝其登录。
[0011]本专利技术的优点如下：
[0012]目前市场上存在的身份认证系统大多采用密码算法是安全强度较差MD5国际哈希算法的单一的口令认证方式，这种认证方式安全性较差。虽然市场上存在一些双因子认证系统，但这些系统要求服务端存储用户口令、密钥、生物信息，一旦服务端遭到入侵，用户的这些私密信息将泄露，难以满足安全、可靠、高效等需求。
[0013]本专利技术设计一种基于双因子的统一身份认证协议，使用口令、密钥或生物技术两种因子设计统一认证方法，即使用户口令丢失或泄露，仍能保证账户安全。此外，此方法无需在服务端存储用户口令、密钥和生物信息，仅将公开信息存储在区块链，有效降低用户信息因服务器遭入侵而泄露的风险。此外，本专利技术可结合目前市场上现有ECDSA、Schnorr、SM2等数字签名算法，具有较强的系统兼容性。
附图说明
[0014]图1是本专利技术的一种实施流程图。
具体实施方式
[0015]下面结合附图对本专利技术进行进一步详细描述，所举实例只用于解释本专利技术，并非用于限定本专利技术的范围。
[0016]本专利技术的一种实施流程如图1所示，包括用户端、验证端、注册服务器、系统服务器、区块链。具体的用户注册、权限授权和用户登录流程如下：
[0017]1)用户注册：待注册用户设置口令并提供生物特征信息，计算口令与生物特征的哈希值，并利用哈希值生成对应的公私钥对。用户利用私钥计算包含时间戳和注册信息的注册签名，并将注册信息、注册时间戳、公钥及注册签名共同发送给验证服务器供验证服务器验证，验证服务器验证有效后调用智能合约中的身份信息注册功能，将用户公钥上传至区块链中，并生成与用户公钥对应的id表示用户成功注册。
[0018]2)权限授权：假设注册用户请求被授权系统服务器中一目标应用的权限时，需要输入口令以及生物特征信息，计算口令与生物特征的哈希值，并利用哈希值生成对应的公私钥对。用户利用私钥计算包含时间戳、用户id和请求授权信息的请求授权签名，并将请求授权信息，授权时间戳，公钥，用户id及本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于双因子的统一身份认证方法，其步骤包括：注册阶段：注册服务器根据采集的用户生物特征信息P
i
和用户设置的口令pwd，计算得到该用户的私钥sk、公钥pk；并利用当前的注册时间戳ts
r
计算注册签名σ
r
；然后注册服务器将申请注册信息M
r
、注册时间戳ts
r
、公钥pk和注册签名σ
r
发送给验证端进行验证，验证通过后所述验证端将该用户的公钥pk上传至区块链中，并生成对应的用户id返回给该用户；授权阶段：当该用户请求系统服务器中一目标应用的权限时，用户端根据该用户所请求的目标应用及权限、输入的口令pwd及生物特征信息P
i
生成请求权限信息M
a
，获取当前的授权时间戳ts
a
并计算私钥sk，再根据私钥sk、请求权限信息M
a
和授权时间戳ts
a
计算请求权限签名σ
a
；然后所述用户端将请求权限信息M
a
、授权时间戳ts
a
以及请求权限签名σ
a
发送给所述系统服务器进行验证，若验证通过则在区块链的系统授权列表List中添加对应的公钥pk；登录阶段：当该用户登录所述系统服务器时，所述用户端根据该用户输入的口令pwd以及生物特征信息P
i
并生成登录请求信息M
l
，获取当前的登录时间戳ts
l
以及计算私钥sk，再根据私钥sk计算请求登录签名σ
l
；然后所述用户端将登录请求信息M
l
、登录时间戳ts
l
以及请求登录签名σ
l
发送给所述系统服务器进行验证，若验证通过则允许该用户登录所述系统服务器并在对应的权限范围内访问所请求的目标应用，否则拒绝其登录所述系统服务器。2.根据权利要求1所述的方法，其特征在于，所述系统服务器首先验证时间戳ts
a
的有效性，若有效，则验证该用户id是否存在，若存在，则利用公钥pk验证σ
a
的有效性，若有效则验证通过，在区块链的系统授权列表List中添加对应的公钥pk，代表允许该用户访问所请求的目标应用及权限。3.根据权利要求1所述的方法，其特征在于，所述系统服务器调用智能合约中的验证算法Check(id，System)进行验证，其中System为所述系统服务器的标识，若结果为1，则判定该用户已获得所述系统服务器的授权；然后调用签名验证算法verf
pk
(M
i
，ts
l
，σ
l
)进行验证，若结果为1，则允许该用户登录所述系统服务器并在对应的权限范围内访问所请求的目标应用。4.根据权利...

【专利技术属性】
技术研发人员：杨晨，晏敏，雷瑞恒，柯宇泓，冉大亮，王顺明，
申请(专利权)人：北京中科江南信息技术股份有限公司，
类型：发明
国别省市：