【技术实现步骤摘要】
本专利技术属于信息安全领域,具体涉及一种基于标识密码的多因素持续验证系统。
技术介绍
1、身份认证是保证信息系统用户身份真实可靠的基础。单次身份认证仅在用户在接入系统时对用户的身份进行一次验证,不会在后续的使用过程中对用户的身份进行持续性的验证,导致用户认证过的设备在被非法用户获取后仍然可以访问信息系统,无法保证信息系统的安全性。持续认证通过在用户访问信息系统的整个过程中对用户身份进行验证,可以显著提高信息系统的安全性,特别是基于多因素融合的持续认证,能够提供安全性更高的防护。但当前的多因素持续认证方案中,各因素的认证相互独立验证,不能通过多因素的融合交叉验证对信息系统的访问行为的合法性进行校验;另一方面,为保证认证过程中特征属性的保密性和完整性,需要对全部的特征属性进行加密,导致通信、计算开销增大。
技术实现思路
1、本专利技术的目的在于针对现有技术的不足,提出了一种基于标识密码的多因素持续验证系统,基于标识密码实现了多维因素之间的融合验证,提升持续认证协议的安全性,降低了持续认证的通信开销,保证信息系统的访问安全可靠。
2、为实现上述目的,本专利技术采用的技术方案为:
3、一种基于标识密码的多因素持续验证系统,包括标识密码生成服务器、持续认证服务器和持续认证客户端;
4、标识密码生成服务器包括:
5、密码参数生成子模块,用于接收系统管理员设定的系统安全参数,并选定标识密码算法标准,根据系统安全参数和标识密码算法标准的要求生成标识密
6、密钥生成子模块,用于接收持续认证服务器或持续认证客户端发送来的标识私钥生成请求和标识id,根据标识密码系统公共参数和标识密码算法标准生成标识id所对应的标识密码私钥,并将标识密码私钥返回给请求方;
7、持续认证服务器包括:
8、初始化子模块,用于初始化持续认证服务器的参数,包括设定持续认证的频率、持续认证服务器的标识ids和支持的认证属性列表,并将初始化参数发送至各持续认证客户端;还用于根据业务资源的安全防护需求设定安全防护规则,并将安全防护规则发送给持续认证数据验证子模块和各持续认证客户端;以及获取持续认证服务器所支持的特征属性列表,根据特征信息的安全程度将获取的特性信息进行分类,并将分类后的特征信息发送给各持续认证客户端;还用于将持续认证服务器标识ids发送至标识密码生成服务器并发起标识私钥生成请求,以及接收标识密码生成服务器返回的标识密码私钥sks,并将标识密码私钥发送至持续认证数据验证子模块;
9、持续认证数据验证子模块,用于接收持续认证客户端的持续认证属性协商请求和其选择的持续认证属性,根据业务资源的安全防护需求设定安全防护规则对持续认证属性的合规性进行判断,并向持续认证客户端返回持续认证属性协商结果;还用于根据持续认证属性列表各个维度的属性是否是固定的数值将持续认证属性列表中的属性分为数值固定属性集和数值可变属性集合,根据数值固定属性集和持续认证客户端的标识idc,生成持续认证客户端本次业务访问的持续认证身份标识idac,并将持续认证身份标识idac发送至持续认证客户端,然后为可变属性集中的各个属性设置阈值:{tb1,tb2,…,tbβ},并将设置的阈值发送给属性合规性判别子模块;还用于将持续认证客户端的持续认证标识idac发送至服务器密码服务子模块并发起标识公钥计算请求,以及接收服务器密码服务子模块返回的持续认证客户端的持续认证标识公钥pkac;并接收持续认证客户端发起的持续认证请求、持续认证属性密文和持续认证属性签名数据,将持续认证属性密文和持续认证服务器标识私钥sks发送至服务器密码服务子模块并发起数据解密请求,以获取对应的持续认证属性明文,将持续认证属性明文、持续认证属性签名数据和持续认证客户端的持续认证标识公钥pkac发送至服务器密码服务子模块并发起签名验证请求请求,以获取签名验证结果;以及将持续认证属性发送至属性合规性判别子模块,并发起属性合规性判别请求,根据判别结果向持续认证客户端返回持续认证结果;
10、属性合规性判别子模块,用于判断持续认证客户端的持续认证属性是否合规,并接受持续认证数据验证子模块发送来的持续认证属性,按照系统设定的规则和持续认证数据验证子模块设定的可变属性集阈值{tb1,tb2,…,tbβ}对持续认证属性中的各个属性的合规性进行判断,并返回判别结果;
11、服务器密码服务子模块,用于根据持续认证数据验证子模块输入的持续认证标识id计算标识id对应的标识公钥,并完成持续认证过程中的解密和验签操作;并接收持续认证数据验证子模块的标识公钥计算请求和输入的持续认证客户端的持续认证标识id,根据标识密码系统公共参数公开部分和标识密码算法标准计算持续认证客户端的持续认证标识公钥pkac,将持续认证客户端的持续认证公钥pkac返回给持续认证数据验证子模块;并接收持续认证数据验证子模块发起的数据解密请求以及输入的持续认证属性密文和持续认证服务器标识私钥sks,根据标识密码算法标准和持续认证服务器标识私钥sks计算出持续认证属性明文,将持续认证属性明文返回给持续认证数据验证子模块;并接收持续认证数据验证子模块发起的数据签名验证请求以及输入的持续认证属性明文和持续认证客户端的持续认证标识公钥pkac,根据标识密码算法标准和持续认证客户端的持续认证标识公钥pkac验证持续认证属性的签名,向持续认证数据验证子模块返回签名验证结果;
12、持续认证客户端包括:
13、持续认证数据生成子模块,用于根据持续认证服务器设定的持续认证频率周期性的生成持续认证数据,并发送至持续认证服务器;以及将持续认证服务器的标识id发送至客户端密码服务子模块并发起标识公钥计算请求,并接收客户端密码服务子模块返回的持续认证服务器标识公钥pks;还用于获取当前持续认证客户端所支持的认证属性,根据服务器所支持的特征属性列表和安全防护等级需求规则,生成其访问业务资源的持续认证属性列表将持续认证属性列表发送至持续认证服务器,并发起持续认证属性协商请求;还用于将持续认证客户端的持续认证标识id发送至标识密码生成服务器并发起标识私钥生成请求,以及接收标识密码生成服务器返回的持续认证客户端的持续认证标识私钥skac;以及根据持续认证服务器设定的持续认证频率,周期性的向信息采集子模块发送信息采集请求,并接受信息采集子模块返回的持续认证属性;并将持续认证服务器标识公钥pks和持续认证属性发送至客户端密码服务子模块并向客户端密码服务子模块发起数据加密请求,以及接收客户端密码服务子模块返回的持续认证属性密文;还用于将持续认证客户端的认证标识私钥skac和持续认证属性发送至客户端密码服务子模块,并向客户端密码服务子模块发起数据签名请求,以及接收客户端密码服务子模块返回的持续认证属性签名;还用于将接收到的持续认证属性密文和持续认证属性本文档来自技高网...
【技术保护点】
1.一种基于标识密码的多因素持续验证系统,其特征在于,包括标识密码生成服务器、持续认证服务器和持续认证客户端;
【技术特征摘要】
1.一种基于标识密码的多因素持续验证系统,其特征在于,包...
【专利技术属性】
技术研发人员:杨晓鹏,李皓,王强,赵阳阳,贾紫艺,国晓博,焦利彬,刘丽哲,
申请(专利权)人:中国电子科技集团公司第五十四研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。