4. 如权利要求1所述多因子身份验证方法,其特征是,所述注册阶段步骤1. 4)具体包 括: 1. 4. 1)保存{Uc,Nc,J3, Jj 至服务器; 1.4.2)利用 As、e和 j3,由函数J3计算得到h2(u」IPcJ IN」IF。); I. 4. 3)利用4和服务器S的私钥d,计算h 2 (As I I d); 1.4.4) 利用步骤L 4. 2)和1.4.3)的结果,计算民?2(Κ. Il巧Il AUI巧)? PU Il 4, 作为客户端的身份鉴别信息; 1. 4. 5)利用 As、e 和 J4,计算 YU Ik) φ J4 = ; 1. 4. 6)利用HF。、$及Im,计算Il A Il $ Il /m\得到激活手机软件的 秘钥Key ; 1. 4. 7)经过注册,将{ % , C , K,句,}保存至服务器; 1. 4. 8)将{Pass,Key}发送给客户端。
5. 如权利要求1所述多因子身份验证方法,其特征是,所述认证阶段步骤2. 1)具体包 括: 2. I. 1)利用U^N。,计算h2 (U。I IP。I IN。),得到用户名、用户口令、登录次数的哈希值; 2. 1. 2)由 Il Pf Il θ 五;计算得到 h2 (As I I e); 2.1.3) 生成随机数Re2,通过t = 04 Ik); Kc^h2(RcJlUc)计算得到认证阶 段客户端的临时变量MP K。2; 2. 1.4)保存{h2(As| |e),Rc2}; 2. I. 5)将{U。、!^、KJ发送给服务器端。
6. 如权利要求1所述多因子身份验证方法,其特征是,所述认证阶段步骤2. 2)具体包 括: 2. 2. 1)将步骤2. 1)发送来的{U。、Κε1、Κ?}保存至服务器S ; 2. 2. 2)利用4和e,计算得到h 2 (As I I e); 2. 2. 3)计算 A 田 P(4 ||e) = i?f2,得到 Rc2; 2.2.4) 计算得到 h2 (UcJ |RJ ; 2. 2. 5)将步骤2. 2. 4)的结果h2 (U。I I RJ与Κε2进行比较; 2. 2. 6)服务器S采集客户端的硬件指纹,与F。比较; 2. 2. 7)若步骤2. 2. 5)、步骤2. 2. 6)的比较结果均相同,则认证通过,进入步骤2. 2. 8); 否则认证无法通过,发出无法验证客户端身份的警告,认证结束; 2. 2. 8)利用私钥d加密当前时间信息T i,得到Cl(Ti); 2.2.9)计算11 = Ρ(4ΙΙ〇θ 得到Ksl,作为服务器发送给客户端的质询信息的 一部分; 2. 2. 10)计算Ks2= h 2 (Ti I I RJ,得到Ks2,作为服务器端质询信息的另一部分; 2. 2. 11)将{Ksl,Ks2}作为质询信息发送给客户端。
7. 如权利要求1所述多因子身份验证方法,其特征是,所述认证阶段步骤2. 3)具体包 括: 2. 3. 1)客户端保存{Ksl,Ks2}至本地硬盘; 2.3.2)由函数 计算得到 Cl(Ti); 2. 3. 3)利用服务器公钥e解密Cl(Ti),得到Ti; 2.3.4) 由哈希函数计算得到I12O^21 ITi); 2. 3. 5)将步骤2. 3. 4)的结果h2 (Re21 I Ti)与Ks2进行比较; 2. 3. 6)若比较结果相同,且本次时间信息Ti晚于上次认证时间,则认证通过,进入步骤 2. 3. 7);否则认证无法通过,发出警告,认证结束; 2. 3. 7)利用U。、P。、N。、匕和T i,计算得到以下值作为客户端回应服务器端质询的答复 的一部分: Kci = h2{Uc ||PC IIiVc ||Fj 0 h(h2{Uc \\P£ ||iVe ||Ff)?2:-). ? IIK -IIE)十 IIK IIK). , Kc5=h3(uc| IpcI Inc-II |fc); 2. 3.8)用户C利用手机M生成随机数Rm,其中Rm= h (Key I |T」),Tj为当前时间; 2. 3. 9)计算Ke6= h 2 (U。I I Rm),得到客户端回应服务器端质询的答复的一部分信息; 2. 3. 10)将{U。,1(。3,1(。4, K& KcJ作为回应信息发送给服务器。
8. 如权利要求1所述多因子身份验证方法,其特征是,所述认证阶段步骤2. 4)具体包 括: 2· 4· 1)保存{Uc,Kc3, Kc4, Kc5, Kc6}至服务器; 2.4.2)由哈希函数计算得到h2 (As I |d); 2. 4. 3)由函数C十力2(為Il旬计算得到Ks3; 2. 4. 4)由函数人、十? C)计算得到Ks4; 2. 4. 5)将Ks3与K s4比较,相同则认证通过,进入步骤2. 4. 6);否则认证无法通过,发出 警告,认证结束; 2.4.6) 由哈希函数计算得到h (Key I I Tj); 2.4.7) 由哈希函数计算得到h2 (Uc I I Rm); 2. 4. 8)将步骤2. 4. 7)的结果与Kc6比较,相同则认证通过,进入步骤2. 4. 9);否则认证 无法通过,发出警告,认证结束; 2. 4. 9)利用 Ks3及 K c4,计算 K5 = 十[c4 = A2〇7t. Il 6 Il K -I Il ) , h (Ks5) = h3 (U J IPcJ INc-Il |FC); 2.4. 10)将h(Ks5)与Kc5比较,相同则认证通过,进入步骤2.4. 11);否则,认证无法通 过,发出警告,认证结束; 2.4. 11)利用 Ks5 及步骤 2. 4. 2)的结果,计算足" =P(UJi5JiVc-IIIFf)十 Zi2 (411^0, 得到客户端身份鉴别信息. 2.4. 12)更新服务器中的存储信息{ R,&-1,巧, 2. 4. 13)将{Pass}发送给客户端。
9. 由权利要求1所述多因子身份验证方法实现的多因子身份验证系统,客户端包括客 户端注册模块和客户端认证模块,服务器端包括服务器端注册模块和服务器端认证模块; 客户端与服务器端通过网络通信接口进行通信;所述客户端注册模块用于保存用户C设置 的登录次数和客户端的身份鉴别信息;所述服务器端注册模块用于用户注册并保存用户C 的用户名、设置的登录次数、客户端指纹信息、客户端的身份鉴别信息和激活手机软件的秘 钥;所述客户端认证模块用于认证用户是否成功登录客户端;所述服务器端认证模块用于 认证用户是否成功登录服务器端。
10. 如权利要求9所述多因子身份验证系统,其特征是,所述客户端采用Windows系统; 服务器端采用Linux系统。
【专利摘要】本发明公布了一种多因子身份验证方法及其系统,包括注册阶段和认证阶段,注册阶段:当前用户设定为C,通过设置用户登录名和登录口令进行注册,认证阶段包括客户端与服务器端双向认证和登录关联:服务器端通过结合随机数和硬件指纹验证客户端信息、客户端通过注册时服务器返回的公钥验证服务器端、服务器端将本次登录和下一次登录进行登录关联。本发明是一种非硬件的多因子身份鉴别方法,可以满足登录身份验证系统的身份认证、信息安全性、完整性及不可抵赖性的要求;且无需硬件设备,方便使用。
【IPC分类】H04L29-06, H04L9-32
【公开号】CN104660605
【申请号】CN201510097325
【发明人】张涛, 宁戈, 王雁
【申请人】北京安普诺信息技术有限公司
【公开日】2015年5月27日
【申请日】2015年3月5日