,保证了用户行为的可信,防止非法用户进行操作。
[0039]用户行为的双重保护认证:首先通过安全密语进行身份认证,安全密语正确后,月艮务端产生一次性动态口令发送到用户安全号码的手机上再次进行认证,更加保证了用户行为认证的安全性。
【附图说明】
[0040]图1为本发明在用户注册阶段的流程示意图。
[0041]图2为本发明在OTP认证阶段的流程示意图。
[0042]图3为本发明在行为认证阶段的流程示意图。
[0043]图4为本发明身份认证整体架构示意图。
【具体实施方式】
[0044]下面结合附图4对本发明的【具体实施方式】作进一步的详细说明。
[0045]图4为本发明身份认证整体架构示意图,具体步骤如下:
[0046]①用户首次使用访问移动云服务时,首先按照
[0013]-
[0016]通过身份认证授权代理完成用户信息注册;若用户在已完成注册后,进行登录时按照
[0018]-
[0024]完成OTP身份认证。
[0047]②向用户反馈注册或登录时的成功或失败信息。
[0048]③若用户通过OTP身份认证,且使用服务的时间未达到T则不进行用户行为认证,身份认证授权代理通知移动云计算服务管理中心提供云服务,否则转
[0055],对用户的行为状态进行认证。
[0049]④移动云计算服务管理中心根据用户的需求向用户提供相应的服务。
[0050]⑤移动云计算服务中心监控用户的使用云服务的行为操作,当发现用户的行为内容或行为习惯发生异常时则转
[0054]。
[0051]⑥移动云计算服务管理中心,将用户的历史行为信息记录到用户行为日志数据库,其中用户的历史行为信息包括
[0027]中所述的p、t、e、r、s和At等。
[0052]⑦用户行为特征分析挖掘代理通过对用户行为日志数据库中的信息进行挖掘分析;
[0053]⑧将对用户日志数据挖掘分析的结果存储到正常行为模式知识库;
[0054]⑨移动云计算服务管理中心通知身份认证服授权代理需要进行行为内容或行为习惯进行认证。
[0055]⑩身份认证授权代理通过调用正常行为模式库中的行为模式,对现有的用户行为进行认证。
【主权项】
1.一种移动云计算环境下基于OTP和用户行为的认证授权方法,该方法包括如下步骤: (1)用户注册阶段: 1)认证授权服务器S利用椭圆曲线密码体制生成自己的公钥Spuk和私钥SpA,用户使用客户端C向S发起密钥申请请求,S产生安全椭圆曲线ECC参数集,并连同自己的公钥Spuk一起发送给客户端,C接收并存储S的公钥Spuk,并根据安全椭圆曲线ECC产生自身的公钥Cpuk和私钥Cprt ; 2)C向S发起注册请求,填写注册的用户账号UID、用户密码PWD、安全密语SPP和安全手机号码PID,C自动获取设备的唯一标识DID (如MAC地址,頂EI号等)和当前注册时间T0,然后利用SHA-256单向散列函数对UID和PWD进行哈希散列运算HASH (UID | | PWD),并存储在本地操作系统的安全区中; 3)C用 S 的公钥 Spuk 对 UID、HASH(PffD)、HASH(SPP)、PID、DID、Cpuk 和 T。加密运算即ENC (UID, HASH (P WD),HASH(SPP),HASH(PID),DID, Cpuk,T0)将得到的结果发送到 S,然后后S利用Sprii解密得到UID、HASH (SPP)、PID、DID、Cpuk和T。,并检查UID是否已被注册,若已注册则通知用户重新注册;否则将解密所得到的各项信息存储到数据库; 4)S通过计算HASH (DID | | T0)生成一次性口令0ΤΡ。,并利用C的公钥认证阶段Cpuk进行加密运算ENC (HASH (DID! T0))发送给C,C利用私钥Cprii进行解密运算DEC (ENC (HASH (DID T0)))获得HASH (DID T。),存储到操作系统的安全区中。 (2)认证阶段(以第一次登录为列): 1)用户填写使用客户端C填写UID和PWD,然后计算出HASH(UIDI PffD)比较与存储在操作系统安全区中的HASH (UID I PffD)比较:若安全区中的HASH (UID | PffD)值为空,则代表用户可能使用了新的移动设备,转步骤(6);若不为空且两者相等,则继续进行下面(2)的认证;若不相等,报告用户用户名或密码错误; 2)C使用S的公钥Spuk对UID、DID和HASH(DID T0)和当前登录时间T1进行加密即ENC (UID, DID, HASH (DID | | T0),T1),C暂存T1,并将加密后的信息发送给S,S用自己的私钥Sprii 对 ENC (UID,DID,HASH (DID I T0), T1)进行解密获得 UID、DID、HASH (DID | T0)和 T1,暂存T1; 3)S利用解密获得的UID和DID获得存储在数据库中的登录时间T。,并计算HASH (DID I T。),若该值和从客户端解密得到的HASH (DID I T0)不相等,则通知客户端身份认证失败;否则计算HASH (DID I I T1)的值,并利用公钥Cpuk对T。、T1和HASH (DID | | T1)进行加密运算,即 ENC (HASH(DID | | T1),T0, T1),并发送给 C ; 4)C利用自己的私钥Cprii进行解密运算DEC (ENC (HASH (DID | | T1), T0, T1))获得HASH (DID I I T1)、T。和T1, C将T1和之前暂存的T1比较若相等则完成对服务器身份的验证,并暂存HASH (DID I |!\),C再利用S的公钥Spuk对UID、DID和T。进行加密即ENC (UID,DID,T。),发送给S; 5)S利用Sprii对ENC (UID,DID, T0)进行解密获得UID、DID和T。,若T。与通过UID和DID获得存储在数据库中的登录时间T。相等,则用T1代替T。存入数据库,完成对客户端的身份验证,发送认证成功的消息给客户端,否则认证失败,C收到认证成功的消息后用HASH (DID T1)代替HASH (DID I T0)存储到系统的安全区中,完成身份认证; 6)C向S发起密钥申请请求,S产生安全椭圆曲线ECC和公钥Spuk —起发送给客户端,C接收并存储S的公钥Spuk,并根据安全椭圆曲线ECC产生自身的公钥Cpuk和私钥CpA,然后C 用 S 的公钥 Spuk 对 UID、HASH(PffD)、DID、Cpuk 和 T。进行加密运算即 ENC (UID,HASH(PffD),DID, Cpuk, T0)将得到的结果发送到S ; 7)S对ENC(UID,HASH(PWD),DID,Cpuk, T0)进行解密,S通过UID查询数据库获得HASH(PffD)与解密获得的HASH(PWD)比较,若一致则将该设备的DID、Cpuk和T。存储到数据库,并且按照注册阶段中的(7)使得C获得HASH (DID I | T。),并和HASH(UID | PWD) 一起存储到操作系统的安全区中,并转到步骤(I)进行登录验证操作;否则提示客户端用户名或密码错误。 (3)行为认证阶段 行为认证主要包括对行为状态BS,行为内容BC和习惯BH进行认证,其主要作用是保证用户行为操作的安全性与合法性。其中BS主要包括使用云服务时登录的地点P,登录的时间t ;用户的行为内容即用户主要使用了移动云服务哪些功能e和访问了哪些资源r,H主要包括用户访问移动云服务资源的顺序s和使用移动云服务资源占用的时间At。 1)用户注册登陆后,移动云计算服务管理中心,将用户的历史行为信息记录到用户行为日志数据库,其中用户的历史行为信息包括上述的P、t、e、r、s和Λ t等。 2)在用户使用移动云服务满一定期限T后,用户行为特征分析挖掘代理对用户的历史行为进行分析挖掘处理,形成用户的正常行为模式知识库; 3)对使用期限满T后的用户,当访问云服务时,再通过(2)中所述的身份认证后,进行行为状态BS的再认证,若发现登录的时间地点〈p,t>与知识库中正常模式进行相似度计算后低于阈值V1,则需进行身份再认证转6);否则进行行为内容BC的认证。 4)若发现用户行为内容未出现在知识库中,则需进行身份再认证转6);否则进行行为习惯BH的认证。 5)若发现用户调用资源的顺序s与知识库中的相似度低于阈值V2,或者用户访问某一资源的时间与知识库中的时间差值绝对值高一某一阈值V3,则需进行身份再认证转6); 6)身份认证授权服务器S要求用户输入安全密语SPP,客户端C将HASH(SPP)使用Spuk加密即ENC (HASH(SPP)),然后发送给S,S用Sprii解密后将其与数据库中的HASH(SPP)比较,若相等,则生成一次性口令P,暂存P,否则报告用户安全密语错误。然后根据用户的UID检索出数据库中用户的安全号码PID,将P以短信的形式发送到用户的安全手机上,用户输入P后,客户端将P使用服务端密钥Spuk加密后发送到服务端,服务端解密后与暂存的相比较,若相等,则通知移动云服务管理中心可以提供服务,否则报告用户动态口令错误,拒绝提供服务。2.根据权利要求1所述的方法,其特征是在于登录时先对用户进行双向身份验证,认证通过后,在使用云服务的过程中再对用户进行行为认证。3.根据权利要求1所述的方法,其特征是在移动云计算的环境下确认用户身份,用户可以使用不同的终端设备进行云服务,而上述注册阶段只需执行一次即可,而不需要再不同设备上重新注册。4.根据权利要求1所述的方法,其特征是使用了ECC密码体制分别生成了服务端和客户端的公钥和私钥,在客户端与服务端信息交换中用来加密和解密,并且使用SHA-256单向散列函数对一些重要信息进行散列。5.根据权利要求1所述的方法,其特征是运用设备的标识信息DID和每次登录时间T1进行散列后生成一次性口令,保证了一次一密。6.根据权利要求1所述的方法,其特征是行为认证主要包括了对行为状态、内容和习惯的认证,根据知识库中的正常行为模式对这三方面进行认证。7.根据权利要求1所述的方法,其特征是用户行为特征分析挖掘代理需定期对用户的行为日志进行挖掘分析,形成新的正常模式知识库。8.根据权利要求1所述的方法,在进行用户行为认证时只有用户输入了正确的安全密语和一次性动态可令后才能通过身份验证。
【专利摘要】本发明公开一种移动云计算环境下基于OTP和用户行为的认证授权方法,其特征是在移动云计算环境下,针对用户可能使用多种智能移动终端通过无线网络等访问云服务,通过对一次性口令技术(OTP)进行改进实现了客户端和服务器的双向身份认证,增强了认证过程的安全性和可靠性。并且根据使用云服务的用户具体行为习惯,采用数据挖掘技术对用户的历史行为数据进行分析提取特征,形成用户正常行为模式的知识库,当用户有不正常或者可疑的行为可以进行身份再认证,认证通过后才授权给予相应的服务,防止他人进行非法操作,充分保障了用户的信息安全。
【IPC分类】H04L9/32, H04L29/06, H04L29/08
【公开号】CN105099690
【申请号】CN201410212027
【发明人】傅涛, 傅德胜, 经正俊, 孙文静
【申请人】江苏博智软件科技有限公司
【公开日】2015年11月25日
【申请日】2014年5月19日