多因子安全增强授权与认证方法

多因子安全增强授权与认证方法
【专利摘要】本发明实施例提供一种多因子安全增强授权与认证方法，包括：注册步骤，通过在验证网关上存储与示证用户相关的可信因子来完成示证用户在验证网关上的注册，并且在验证网关与示证用户之间同步可信因子，并且分别将同步成功的可信因子存储为认证因子；安全增强授权步骤，验证网关在安全域内采集授权因子并同步到示证用户，验证网关和示证用户分别将同步成功的全部授权因子存储为认证因子；安全增强认证码生成步骤，验证网关和示证用户分别生成安全增强认证码；以及安全认证步骤，验证网关验证示证用户提供的安全增强认证码是否匹配，以对示证用户进行安全认证。本发明的方法提高多认证因子传输安全性、减少认证数据网络传输流量，减少认证时长。
【专利说明】多因子安全增强授权与认证方法

【技术领域】
[0001] 本发明涉及信息安全领域，尤其涉及一种多因子安全增强授权与认证方法。

【背景技术】
[0002] 安全域是指同一环境内有相同的安全保护需求、相互信任、并具有相同的安全访 问控制和边界控制策略的网络或系统。网络安全域是指同一系统内有相同的安全保护需 求，相互信任，并具有相同的安全访问控制和边界控制策略的子网或网络，且相同的网络安 全域共享一样的安全策略。广义的安全域是具有相同业务要求和安全要求的系统要素集 合，该些要素包括网络区域、主机和系统、人和组织、物理环境、策略和流程、业务和使命等 诸多因素。通过网络安全域的划分，可W把一个复杂的大型网络系统安全问题转化为较小 区域更为单纯的安全保护问题，从而更好地控制网络安全风险，降低系统风险；利用网络安 全域的划分，理顺网络架构，可W更好地指导系统的安全规划和设计、入网和验收工作；通 过网络安全域的划分，各区域防护重点明确，可W将有限的安全设备投入到最需要保护的 资产，提高安全设备利用率；有了网络安全域的划分，相对简化了网络安全的运维工作，并 可有的放矢地部署网络审计设备，提供检查审核依据。
[0003] 安全域通过授权和身份认证来防止非法用户对安全域的非法访问。授权和认证涉 及到两方；示证用户和验证网关。示证用户一般指安全域的用户终端、用户卡等，验证网关 一般指安全域的授权与认证管理信息系统、安全认证网关设备等。
[0004] 授权是验证网关签发给示证用户的通行证，对安全域而言，是安全域签发给用户 的通行证，规定用户是否有权出入某个安全域，侧重于强调用户拥有什么样的访问权限，该 种权限是系统预先设定的，并不关也用户是否发起访问请求。
[0005] 身份认证是示证用户向验证网关证实其真实身份与其所声称的身份是否相符的 过程，该一过程是通过特定的协议和算法来实现的。身份认证是安全域验证用户身份与其 所声称的身份是否一致，防止非法用户进入安全域。身份认证是信息安全理论的重要组成 部分，它W密码理论为基础，同时也是访问控制和审计的前提，对网络环境下的信息安全尤 其重要。
[0006] 身份认证的数学基础有两种，知识认证和零知识认证。示证用户试图向验证网关 证明自己知道某信息。一种方法是示证用户说出该一信息使得验证网关相信，该样验证网 关也知道了该一信息，该是基于知识的证明，称为知识认证。另一种方法是使用某种有效的 数学方法，使得验证网关相信示证用户掌握该一信息，却不泄露任何有用的信息，该是基于 零知识的证明，称为零知识认证。零知识认证可W分为两大类；最小泄露认证和零知识认 证。
[0007] 身份认证的知识认证方式基于H种物理基础；示证用户所知道的知识、示证用户 拥有的知识、示证用户的特征知识。第一类的例子是最常用的密码和口令；第二类的例子有 身份证、护照、密钥盘等；第H类包括用户的生物特征，如指纹、红膜、DNA、声纹，还包括用户 的下意识行为，比如签名。该H类物理基础各有利弊。第一类方法最简单，系统开销最小， 但是最不安全；第二类泄漏秘密的可能性比较小，因而安全性比第一类高，但是认证系统相 对复杂；第H类的安全性最高，比如想窃取一个人的指纹是很困难的，但是涉及更复杂的算 法和实现技术。针对前两类基础的技术起步较早，目前相对成熟，应用比较广泛。有关第H 类的技术也由于它在安全性上的优势正在迅速发展。
[0008] 在安全域授权与认证领域，计算机网络世界中一切信息包括用户的身份信息都是 用一组特定的数据来表示的，计算机只能识别用户的数字身份，所有对用户的授权也是针 对用户数字身份的授权。由于大量的身份信息在计算机网络上进行传输，关于身份信息的 保护越来越被关注与增强，在电子交易、行政执法、移动办公等领域，早已不再简单的依靠 用户名口令的方式认证，越来越多的认证过程加入了授权过程加入了更多的认证因子。
[0009] 在实现本发明的过程中，发明人发现现有的授权与认证技术中存在如下问题；1、 认证过程中，认证因子直接暴露在网络上进行传输，很容易被非法获取；2、对于有较高安全 要求的系统或者网络，安全域采取多因子安全认证技术提高安全认证级别，现有的授权与 认证技术需要示证用户传输所有的认证因子，例如用户密码、用户特征值、系统终端介质等 多重信息，导致网络流量大，在网络带宽有限的情况下，尤其是移动通信网络下，因认证数 据传输时间较长而直接导致认证过程耗时很长；3、安全域在需要从不同侧面对用户进行认 证时，现有的授权与认证技术存在多次认证、认证网络流量大、认证过程时间长等问题，当 认证因子和验证环节较多时，在当前使用的认证方法中采用多次认证方式，每个侧面都独 立认证一次，导致示证用户需要多次发起认证、传输认证数据、不同的验证网关进行身份验 证，导致认证时间长、消耗的网络流量大。


【发明内容】

[0010] 本发明实施例提供一种多因子安全增强授权与认证方法，W在安全域对用户进行 认证时提高多认证因子传输安全性、减少认证数据网络传输流量，减少认证时长。
[0011] 根据本发明的第一方面，提供一种多因子安全增强授权与认证方法，用于安全域 的示证用户认证过程，所述安全域包括验证网关，该多因子安全增强授权与认证方法包 括：
[0012] 注册步骤，在该步骤中，通过在验证网关上存储与示证用户相关的可信因子来完 成示证用户在验证网关上的注册，并且在验证网关与示证用户之间同步可信因子，验证网 关将同步成功的可信因子存储为认证因子，并且注册用户将同步成功的可信因子也存储为 认证因子；
[0013] 安全增强授权步骤，在该步骤中，验证网关在安全域内采集与完成了注册步骤的 示证用户关联的一个或多个授权因子，并且与示证用户同步全部授权因子，验证网关将同 步成功的全部授权因子存储为认证因子，并且示证用户将同步成功的全部授权因子存储为 认证因子；
[0014] 安全增强认证码生成步骤，在该步骤中，验证网关和示证用户分别根据各自存储 的认证因子按照相同算法生成安全增强认证码；W及
[0015] 安全认证步骤，在该步骤中，验证网关验证自身生成的安全增强认证码与示证用 户提供的安全增强认证码是否匹配，W对示证用户进行安全认证。
[0016] 根据本发明的第二方面的多因子安全增强授权与认证方法，所述注册步骤包括：
[0017] 逻辑注册步骤，在该步骤中，W在验证网关的数据库中存储与示证用户相关的逻 辑可信因子，所述逻辑可信因子是与示证用户相关联的可信因子并且不描述示证用户的物 理设备信息，仅仅完成逻辑注册的示证用户不允许访问安全域内除验证网关之外的其他任 何设备；W及
[0018] 物理注册步骤，在逻辑注册步骤完成后，验证网关授权示证用户登录到验证网关 进行物理注册步骤，在物理注册步骤中，示证用户在首次登录到验证网关后，W在线方式将 采集到的与示证用户的物理设备相关的物理可信因子上传到验证网关的数据库，所述物理 可信因子是描述示证用户的物理设备信息的可信因子，并且在验证网关与示证用户之间同 步逻辑可信因子和物理可信因子，验证网关将同步成功的逻辑可信因子和物理可信因子存 储为认证因子，并且注册用户将同步成功的逻辑可信因子和物理可信因子也存储为认证因 子。
[0019] 根据本发明的第H方面的多因子安全增强授权与认证方法，示证用户具有数据 库，在该数据库中建立同步表和安全增强认证因子表，并且验证网关具有数据库，在该数据 库中建立同步表和安全增强认证因子表，其中，示证用户的同步表和验证网关的同步表均 用于存储未在示证用户和验证网关之间完成同步的可信因子和授权因子，示证用户的安全 增强认证因子表和验证网关的安全增强认证因子表均用于将已经在示证用户和验证网关 之间完成同步的可信因子和授权因子存储为认证因子，
[0020] 其中，所述物理注册步骤包括：
[0021] 示证用户采集与示证用户的物理设备相关的物理可信因子并存储到示证用户的 同步表；
[0022] 示证用户将示证用户的同步表中的物理可信因子提交到验证网关；
[0023] 验证网关在接收到示证用户提交的物理可信因子后，将接收到的物理可信因子在 验证网关的安全增强认证因子表中存储为认证因子；
[0024] 验证网关将认证因子成功接收的确认信息返回给示证用户；W及
[00巧]示证用户接收到验证网关发来的确认信息后，将示证用户的同步表中的物理可信 因子从该同步表中更新到示证用户的安全增强认证因子表中作为认证因子。
[0026] 根据本发明的第四方面的多因子安全增强授权与认证方法，在将示证用户的同步 表中的物理可信因子从该同步表中更新到示证用户的安全增强认证因子表中作为认证因 子之后，所述物理注册步骤还包括：
[0027] 验证网关采集需要与示证用户同步的与示证用户相关的逻辑可信因子，将所述逻 辑可信因子存储到验证网关的同步表；
[0028] 验证网关向示证用户发送验证网关的同步表中存储的逻辑可信因子；
[0029] 示证用户在接收到验证网关发送的逻辑可信因子后，将接收到的逻辑可信因子存 储到示证用户的同步表中；
[0030] 示证用户向验证网关返回逻辑可信因子接收成功的确认信息；
[0031] 验证网关在接收到示证用户返回的逻辑可信因子接收成功的确认信息后，将验证 网关的同步表中的逻辑可信因子更新到验证网关的安全增强认证因子表中；
[0032] 验证网关向示证用户返回在安全增强认证因子表中成功更新逻辑可信因子的确 认信息拟及
[0033] 示证用户在接收到验证网关返回的在安全增强认证因子表中成功更新逻辑可信 因子的确认信息后，将示证用户的同步表中的认证因子更新到示证用户的安全增强认证因 子表中。
[0034] 根据本发明的第五方面的多因子安全增强授权与认证方法，所述安全增强授权步 骤还包括：
[00巧]验证网关在安全域内采集与完成了注册步骤的示证用户关联的一个或多个授权 因子，将所述授权因子存储到验证网关的同步表；
[0036] 验证网关向示证用户发送验证网关的同步表中存储的授权因子；
[0037] 示证用户在接收到验证网关发送的授权因子后，将接收到的授权因子存储到示证 用户的同步表中；
[0038] 示证用户向验证网关返回授权因子接收成功的确认信息；
[0039] 验证网关在接收到示证用户返回的授权因子接收成功的确认信息后，将验证网关 的同步表中的授权因子更新到验证网关的安全增强认证因子表中；
[0040] 验证网关向示证用户返回在安全增强认证因子表中成功更新授权因子的确认信 息拟及
[0041] 示证用户在接收到验证网关返回的在安全增强认证因子表中成功更新授权因子 的确认信息后，将示证用户的同步表中的认证因子更新到示证用户的安全增强认证因子表 中。
[0042] 根据本发明的第六方面的多因子安全增强授权与认证方法，所述安全增强授权步 骤还包括W多环节授权方式生成授权因子，所述多环节授权方式是指，如果在安全域内存 在多个授权环节，所有授权环节共享授权因子数据库并生成各自的授权因子，所有授权环 节统一将授权因子同步到示证用户。
[0043] 根据本发明的第走方面的多因子安全增强授权与认证方法，当安全认证步骤的结 果为认证未通过时，将示证用户的同步表中的数据更新到示证用户的安全增强认证因子表 中之后，再次执行安全增强认证码生成步骤和安全认证步骤。
[0044] 根据本发明的第八方面的多因子安全增强授权与认证方法，在示证用户首次登录 到验证网关之后每次登录验证网关时，示证用户检测示证用户的安全增强认证因子表中存 储的物理可信因子和采集到的与示证用户的物理设备相关的物理可信因子是否一致，如果 不一致，则示证用户先使用现有安全增强认证因子表执行安全增强认证码生成步骤和安全 认证步骤，在安全认证步骤的结果为通过认证之后，再次执行物理注册步骤。
[0045] 根据本发明的第九方面的多因子安全增强授权与认证方法，所述算法为哈希算 法。
[0046] 根据本发明的第十方面的多因子安全增强授权与认证方法，安全增强认证码的长 度短于可信因子和授权因子的总长度。
[0047] 上述技术方案具有如下有益效果；1、本发明的多因子安全增强授权与认证方法在 认证过程中，只是传输用户名和安全增强认证码，而可信因子、授权因子、安全增强认证码 生成算法均不在认证过程中传输，因此增强了可信因子、授权因子的安全性。2、本发明很好 地适用于多个可信因子、授权因子组成的多因子认证，通过算法，优选为哈希算法，编码出 安全增强认证码使得各个因子相互关联、相互认证，提高安全认证的级别。3、本发明的多因 子安全增强授权与认证方法将示证用户注册步骤分为逻辑注册步骤和物理注册步骤两步， 要求示证用户的用户设备唯一编码等物理信息由示证用户在物理注册过程中自行采集、自 动注册，简化了系统管理的过程，使得系统管理人员不需要手工采集每个示证用户的物理 可信因子。4、本发明的多因子安全增强授权与认证方法优选采用哈希算法编码出固定长度 的安全增强认证码，可信因子和验证网关的授权因子的数量、长度不影响安全增强认证码 的长度，支持一个安全增强认证码通行整个安全域，有效支持多个验证网关统一验证，支持 将多次验证合并简化为一次验证；通过减少认证次数提高了认证速度，并且哈希算法本身 有很强的数据压缩效果，通过减少认证时的网络流量提高了认证速度。5、本发明优选所有 授权环节共享授权因子数据库，全安全域统一同步授权因子到示证用户，支持多方授权情 况下统一授权因子的同步和统一身份认证。6、本发明通过多次交互协商机制完成示证用户 注册、验证网关授权因子发布等工作，并采用了示证用户认证不通过后自动将示证用户同 步表中的数据更新到示证用户安全增强认证因子表中对应的数据，再次进行认证的手段， 该些特征很好支持了各种网络不稳定、授权或认证发生异常等情况下自动纠错，提升了系 统的稳定性和适用性，尤其适用于移动通信网络下的授权与认证。8、本发明通过登录检测 示证用户的物理可信因子，与示证用户的安全增强认证因子表中的数据进行对比，实时发 现物理可信因子的变化，及时将变化的认证因子重新注册到验证网关，提升了多因子认证 的灵活性和适用性。

【专利附图】

【附图说明】
[0048] 为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现 有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本 发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可W 根据该些附图获得其他的附图。
[0049] 图1为本发明的多因子安全增强授权与认证方法的总体流程图。
[0050] 图2为本发明的多因子安全增强授权与认证方法中的对物理可信因子进行"双表 五步一确认"的同步处理的流程图。
[0051] 图3为本发明的多因子安全增强授权与认证方法中的对逻辑可信因子进行"双表 走步H确认"同步处理的流程图。
[0052] 图4为本发明的多因子安全增强授权与认证方法的实施例中示证用户在验证网 关上进行注册的流程图。
[0053] 图5为本发明的多因子安全增强授权与认证方法中的对授权因子进行"双表走步 H确认"同步处理的流程图。
[0054] 图6为在图5所示的本发明的多因子安全增强授权与认证方法中的对授权因子进 行"双表走步H确认"同步处理过程中的步骤505之后出现网络异常断开情况时的处理过 程的流程图。

【具体实施方式】
[0055] 下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完 整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于 本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他 实施例，都属于本发明保护的范围。
[0056] 图1为本发明的多因子安全增强授权与认证方法的总体流程图。
[0057] 图1所示的本发明的多因子安全增强授权与认证方法用于安全域的示证用户认 证过程，所述安全域包括验证网关。该多因子安全增强授权与认证方法包括：
[0058] 注册步骤101，在该步骤中，通过在验证网关上存储与示证用户相关的可信因子来 完成示证用户在验证网关上的注册，并且在验证网关与示证用户之间同步可信因子，验证 网关将同步成功的可信因子存储为认证因子，并且注册用户将同步成功的可信因子也存储 为认证因子；
[0059] 安全增强授权步骤102,在该步骤中，验证网关在安全域内采集与完成了注册步骤 101的示证用户关联的一个或多个授权因子，并且与示证用户同步全部授权因子，验证网关 将同步成功的全部授权因子存储为认证因子，并且示证用户将同步成功的全部授权因子存 储为认证因子；
[0060] 安全增强认证码生成步骤103,在该步骤中，验证网关和示证用户分别根据各自存 储的认证因子按照相同算法生成安全增强认证码；W及
[0061] 安全认证步骤104,在该步骤中，验证网关验证自身生成的安全增强认证码与示证 用户提供的安全增强认证码是否匹配，W对示证用户进行安全认证。
[0062] 优选地，在图1所示的本发明的多因子安全增强授权与认证方法中，所述注册步 骤101可W包括：
[0063] 逻辑注册步骤，在该步骤中，W在验证网关的数据库中存储与示证用户相关的逻 辑可信因子，所述逻辑可信因子是与示证用户相关联的可信因子并且不描述示证用户的物 理设备信息，仅仅完成逻辑注册的示证用户不允许访问安全域内除验证网关之外的其他任 何设备；W及
[0064] 物理注册步骤，在逻辑注册步骤完成后，验证网关授权示证用户登录到验证网关 进行物理注册步骤，在物理注册步骤中，示证用户在首次登录到验证网关后，W在线方式将 采集到的与示证用户的物理设备相关的物理可信因子上传到验证网关的数据库，所述物理 可信因子是描述示证用户的物理设备信息的可信因子，并且在验证网关与示证用户之间同 步逻辑可信因子和物理可信因子，验证网关将同步成功的逻辑可信因子和物理可信因子存 储为认证因子，并且注册用户将同步成功的逻辑可信因子和物理可信因子也存储为认证因 子。
[0065] 具体而言，在图1所示的本发明的多因子安全增强授权与认证方法中，在注册步 骤101中可W进行该样的操作；在示证用户的注册数据中，选择示证用户用户名、密码、数 字证书、用户设备唯一编码、用户自身的身份识别编码、用户联系方式等等数据作为可信因 子。优选的，示证用户在验证网关上注册的过程可W分两步；第一步，逻辑注册，即通过系 统管理人员在验证网关上登记示证用户的逻辑描述性的逻辑可信因子，包括用户名，初始 密码，组织机构数据，联系方式数据等等，注册受理完成后，验证网关自动授权示证用户登 录到验证网关进行下一步注册过程，仅仅完成逻辑注册的示证用户不允许访问安全域内除 验证网关之外的其他任何设备；第二步，物理注册，即示证用户首次登录到验证网关后，示 证用户将其设备内存储的描述示证用户物理设备信息的物理可信因子，包括数字证书、用 户设备唯一编码等数据上传到验证网关数据库中，并从验证网关数据库中下载在上一步逻 辑注册过程中登记的逻辑可信因子。优选的，在示证用户的注册数据中，选择示证用户用户 名、密码、数字证书、用户设备唯一编码、用户自身的身份识别编码、用户联系方式等等数据 作为可信因子。另外，在逻辑注册步骤中，可W W离线方式或在线方式在验证网关的数据库 中存储与示证用户相关的逻辑可信因子。
[0066] 逻辑注册步骤和物理注册步骤具体描述将在后面参照图4对应用实施例进行讨 论时再进一步进行描述。
[0067] 优选地，在图1所示的本发明的多因子安全增强授权与认证方法中，示证用户具 有数据库，在该数据库中建立同步表和安全增强认证因子表，并且验证网关具有数据库，在 该数据库中建立同步表和安全增强认证因子表，其中，示证用户的同步表和验证网关的同 步表均用于存储未在示证用户和验证网关之间完成同步的可信因子和授权因子，示证用户 的安全增强认证因子表和验证网关的安全增强认证因子表均用于将已经在示证用户和验 证网关之间完成同步的可信因子和授权因子存储为认证因子。
[0068] 图2为本发明的多因子安全增强授权与认证方法中的对物理可信因子进行"双表 五步一确认"的同步处理的流程图。
[006引如图2所示，所述物理注册步骤包括：
[0070] 201、示证用户采集与示证用户的物理设备相关的物理可信因子并存储到示证用 户的同步表；
[0071] 202、示证用户将示证用户的同步表中的物理可信因子提交到验证网关；
[0072] 203、验证网关在接收到示证用户提交的物理可信因子后，将接收到的物理可信因 子在验证网关的安全增强认证因子表中存储为认证因子；
[0073] 204、验证网关将认证因子成功接收的确认信息返回给示证用户；W及
[0074] 205、示证用户接收到验证网关发来的确认信息后，将示证用户的同步表中的物理 可信因子从该同步表中更新到示证用户的安全增强认证因子表中作为认证因子。
[00巧]在本发明中，上述物理注册步骤中将示证用户的物理可信因子同步到验证网关的 方式可W称作"双表五步一确认"方式。
[0076] 图3为本发明的多因子安全增强授权与认证方法中的对逻辑可信因子进行"双表 走步H确认"同步处理的流程图。
[0077] 优选地，在图1所示的本发明的多因子安全增强授权与认证方法中，在将示证用 户的同步表中的物理可信因子从该同步表中更新到示证用户的安全增强认证因子表中作 为认证因子之后，参照图3,所述物理注册步骤还包括：
[007引 301、验证网关采集需要与示证用户同步的与示证用户相关的逻辑可信因子，将所 述逻辑可信因子存储到验证网关的同步表；
[0079] 302、验证网关向示证用户发送验证网关的同步表中存储的逻辑可信因子；
[0080] 303、示证用户在接收到验证网关发送的逻辑可信因子后，将接收到的逻辑可信因 子存储到示证用户的同步表中；
[0081] 304、示证用户向验证网关返回逻辑可信因子接收成功的确认信息；
[0082] 305、验证网关在接收到示证用户返回的逻辑可信因子接收成功的确认信息后，将 验证网关的同步表中的逻辑可信因子更新到验证网关的安全增强认证因子表中；
[0083] 306、验证网关向示证用户返回在安全增强认证因子表中成功更新逻辑可信因子 的确认信息；W及
[0084] 307、示证用户在接收到验证网关返回的在安全增强认证因子表中成功更新逻辑 可信因子的确认信息后，将示证用户的同步表中的认证因子更新到示证用户的安全增强认 证因子表中。
[0085] 在本发明中，上述物理注册步骤中将验证网关所存储的逻辑可信因子同步到示证 用户的同步到方式可W称作"双表走步H确认"方式。
[0086] 图5为本发明的多因子安全增强授权与认证方法中的对授权因子进行"双表走步 H确认"同步处理的流程图。
[0087] 优选地，在图1所示的本发明的多因子安全增强授权与认证方法中，参照图5,所 述安全增强授权步骤102还包括：
[0088] 501、验证网关在安全域内采集与完成了注册步骤101的示证用户关联的一个或 多个授权因子，将所述授权因子存储到验证网关的同步表；
[0089] 502、验证网关向示证用户发送验证网关的同步表中存储的授权因子；
[0090] 503、示证用户在接收到验证网关发送的授权因子后，将接收到的授权因子存储到 示证用户的同步表中；
[0091] 504、示证用户向验证网关返回授权因子接收成功的确认信息；
[0092] 505、验证网关在接收到示证用户返回的授权因子接收成功的确认信息后，将验证 网关的同步表中的授权因子更新到验证网关的安全增强认证因子表中；
[0093] 506、验证网关向示证用户返回在安全增强认证因子表中成功更新授权因子的确 认信息；W及
[0094] 507、示证用户在接收到验证网关返回的在安全增强认证因子表中成功更新授权 因子的确认信息后，将示证用户的同步表中的认证因子更新到示证用户的安全增强认证因 子表中。
[0095] 在本发明中，上述物理注册步骤中将验证网关所存储的授权因子同步到示证用户 的同步到方式也可W称作"双表走步H确认"方式。
[0096] 而且，从W上参照图3和图5的描述可见，将"逻辑可信因子"和"授权因子"从验 证网关同步到示证用户的方式都可采用"双表走步H确认"方式。
[0097] 在本发明中，优选地，将示证用户存储的可信因子同步到验证网关时，可采用"双 表五步一确认"的同步方式，包括在注册、变更等情况下物理可信因子和逻辑可信因子的同 步。优选地，当将验证网关存储的可信因子和授权因子同步到示证用户时，可采用"双表走 步H确认"的同步方式，包括从验证网关上下载逻辑可信因子到示证用户、验证网关发布授 权因子到示证用户、验证网关修改认证因子同步到示证用户等。
[009引 W下举例说明在"双表五步一确认"的同步方式的概念。例如，"双表"指的是：在 示证用户数据库和验证网关数据库中各建立两张表，一个是同步表，用于存储未完成同步 的认证因子，一个是安全增强认证因子表，用于存储已经完成同步的认证因子，该表中的认 证因子用来生成安全增强认证码。例如，"五步一确认"指的是：
[0099] 第一步，示证用户采集本地的认证因子存储到本地同步表；
[0100] 第二步，示证用户将同步表中的认证因子提交到验证网关；
[0101] 第H步，验证网关收到示证用户的认证因子后，将认证因子存储在本地安全增强 认证因子表中；
[0102] 第四步，即，确认步骤，验证网关返回给示证用户认证因子成功接收的确认信息；
[0103] 第五步，示证用户接收到验证网关发来的确认信息后，将认证因子从本地的同步 表中剪切到安全增强认证因子表中。
[0104] 而且，在示证用户中建立同步表和安全增强认证因子表，记录下来未完成同步和 完成同步的认证因子，每次示证用户与验证网关认证通过后，都要将同步表中未完成同步 的数据继续完成同步工作。
[0105] W下举例说明在"双表走步H确认"的同步方式的概念。例如，"双表"与上述关于 "双表五步一确认"的描述中的"双表"定义和数据结构一致。例如，"走步H确认"的具体 步骤可W包括：
[0106] 第一步，验证网关采集需要同步认证因子，存储到本地同步表；
[0107] 第二步，验证网关与示证用户第一次确认，验证网关向示证用户发布认证因子； [010引第H步，示证用户接收到验证网关发布的认证因子后，将认证因子存储到本地的 同步表中；
[0109] 第四步，示证用户与验证网关第二次确认，示证用户向验证网关返回认证因子接 收成功的确认信息；
[0110] 第五步，验证网关接收到示证用户的确认信息后，将同步表中的认证因子更新到 安全增强认证因子表中；
[0111] 第六步，验证网关与示证用户第H次确认，验证网关向示证用户返回认证因子更 新成功的确认信息；
[0112] 第走步，示证用户接收到验证网关的更新确认信息后，将本地同步表中的认证因 子更新到安全增强认证因子表中。
[0113] 在图1所示的本发明的多因子安全增强授权与认证方法中，在安全增强授权步骤 102中可W进行该样的操作；在验证网关安全增强授权过程中，赋予示证用户安全域内唯 一身份识别码、授权访问安全域的权限、授权防伪签名码等数据作为授权因子。优选地，在 图1所示的本发明的多因子安全增强授权与认证方法中，所述安全增强授权步骤102还包 括W多环节授权方式生成授权因子，所述多环节授权方式是指，如果在安全域内存在多个 授权环节，所有授权环节共享授权因子数据库并生成各自的授权因子，所有授权环节统一 将授权因子同步到示证用户。目P，验证网关将该些授权因子存储在数据库中，安全域内如果 存在多个授权环节，优选所有授权环节共享授权因子数据库，全安全域统一同步授权因子 到示证用户，支持多方授权情况下统一授权因子的同步和统一身份认证。优选地，验证网关 安全增强授权后将授权因子优选采用"双表走步H确认"同步到示证用户。
[0114] 在图1所示的本发明的多因子安全增强授权与认证方法中，在安全增强认证码生 成步骤103中可W进行该样的操作；验证网关在安全增强认证因子表有更新时，实时生成 安全增强认证码，用于示证用户进行安全增强认证；示证用户在每次登录时，根据本地安全 增强认证因子表中认证因子实时生成安全增强认证码。另外，优选的是，示证用户和验证 网关生成安全增强认证码的算法及采用的参数双方需要保持一致，并要做到有数据压缩效 果。算法优选采用哈希算法。而且，在哈希算法中优选使用MD5、SHA等哈希算法。优选地， 安全增强认证码的长度短于可信因子和授权因子的总长度。安全增强认证码优选为固定长 度。安全增强认证码的长度优选32位、64位、128位、256位、512位、1024位等2的幕次方。
[0115] 在图1所示的本发明的多因子安全增强授权与认证方法中，在安全认证步骤104 中可W进行该样的操作；在认证过程中，传输示证用户的用户名和安全增强认证码，验证网 关根据示证用户上传的用户名和安全增强认证码进行身份认证。整个认证过程中，示证用 户的可信因子、授权因子都不需要传输。考虑到网络不稳定等情况会导致同步过程中断，验 证网关根据示证用户提供的安全增强认证码进行安全认证未通过时，将示证用户同步表中 的数据更新到安全增强认证因子表中对应的数据，再次进行认证。认证通过后，如果示证用 户的物理可信因子或逻辑可信因子发生了变化，采用"双表五步一确认"的方式进行重新注 册；或者示证用户和验证网关的同步表中仍有未完成同步的认证因子，判断当前同步到哪 一个环节，继续完成同步工作。优选地，验证网关根据示证用户提供的安全增强认证码进行 安全认证的过程中处理认证异常的方式，即示证用户将本地安全增强认证因子表中的多因 子按照与验证网关同样的压缩算法生成固定长度的安全增强认证码提交到验证网关进行 认证，认证未通过时，将示证用户同步表中的数据剪切更新到安全增强认证因子表中对应 的数据，再次进行认证。优选地，示证用户物理可信因子发生变化时要在验证网关上重新注 册物理可信因子的方式，即示证用户每次登录时，检测示证用户安全增强认证因子表中存 储的物理可信因子和从承载介质上获取的物理可信因子数据的一致性，如果不一致时，贝U 说明实际的物理可信因子发生了变化，先使用现有安全增强认证因子表产生的安全增强认 证码进行认证，认证通过后，优选采用"双表五步一确认"的同步方式将变化的物理可信因 子重新注册。优选的，在物理可信因子重新注册时要提醒或征得用户的确认。
[0116] 在图1所示的本发明的多因子安全增强授权与认证方法中，优选地，当安全认证 步骤的结果为认证未通过时，在将示证用户的同步表中的数据更新到示证用户的安全增强 认证因子表中之后，再次执行安全增强认证码生成步骤和安全认证步骤。
[0117] 在图1所示的本发明的多因子安全增强授权与认证方法中，优选地，在示证用户 首次登录到验证网关之后每次登录验证网关时，示证用户检测示证用户的安全增强认证因 子表中存储的物理可信因子和采集到的与示证用户的物理设备相关的物理可信因子是否 一致，如果不一致，则示证用户先使用现有安全增强认证因子表执行安全增强认证码生成 步骤和安全认证步骤，在安全认证步骤的结果为通过认证之后，再次执行物理注册步骤。
[0118] 本发明的多因子安全增强授权与认证方法有如下有益效果；1、本发明的多因子安 全增强授权与认证方法在认证过程中，只是传输用户名和安全增强认证码，而可信因子、授 权因子、安全增强认证码生成算法均不在认证过程中传输，因此增强了可信因子、授权因子 的安全性。2、本发明很好地适用于多个可信因子、授权因子组成的多因子认证，通过算法， 优选为哈希算法，编码出安全增强认证码使得各个因子相互关联、相互认证，提高安全认证 的级别。3、本发明的多因子安全增强授权与认证方法将示证用户注册步骤分为逻辑注册步 骤和物理注册步骤两步，要求示证用户的用户设备唯一编码等物理信息由示证用户在物理 注册过程中自行采集、自动注册，简化了系统管理的过程，使得系统管理人员不需要采集每 个示证用户的物理可信因子。4、本发明的多因子安全增强授权与认证方法优选采用哈希 算法编码出固定长度的安全增强认证码，可信因子和验证网关的授权因子的数量、长度不 影响安全增强认证码的长度，支持一个安全增强认证码通行整个安全域，有效支持多个验 证网关统一验证，支持将多次验证合并简化为一次验证；通过减少认证次数提高了认证速 度，并且哈希算法本身有很强的数据压缩效果，通过减少认证时的网络流量提高了认证速 度。5、本发明优选所有授权环节共享授权因子数据库，全安全域统一同步授权因子到示证 用户，支持多方授权情况下统一授权因子的同步和统一身份认证。6、本发明通过多次交互 协商机制完成示证用户注册、验证网关授权因子发布等工作，并采用了示证用户认证不通 过后自动将示证用户同步表中的数据更新到示证用户安全增强认证因子表中对应的数据， 再次进行认证的手段，该些特征很好支持了各种网络不稳定、授权或认证发生异常等情况 下自动纠错，提升了系统的稳定性和适用性，尤其适用于移动通信网络下的授权与认证。8、 本发明通过登录检测示证用户的物理可信因子，与示证用户的安全增强认证因子表中的数 据进行对比，实时发现物理可信因子的变化，及时将变化的认证因子重新注册到验证网关， 提升了多因子认证的灵活性和适用性。
[0119] W下结合应用实施例对本发明的上述技术方案进行详细说明：
[0120] 实施例应用场景为；手机（示证用户）通过移动通信网络APN安全接入政府内部 网络（安全域）的安全接入认证。本实施例中负责实现手机通过移动通信网络APN安全接 入政府内部网络的客户端软件为示证用户；负责对示证用户进行接入认证及接入管理的后 台系统为验证网关。
[0121] 本实施例中示证用户的可信因子有两部分，一部分是逻辑可信因子，包括姓名、手 机号、用户密码、组织机构代码、组织机构名称，其中手机号为用户名，另一部分是物理可信 因子，包括手机IMEI号、手机SIM卡号；授权因子包括示证用户的唯一身份识别码、移动IP 地址、防伪签名码。
[0122] 第一步，示证用户在验证网关上注册，具体过程说明如下。图4为本发明的多因子 安全增强授权与认证方法的实施例中示证用户在验证网关上进行注册的流程图。
[0123] 如图4所示，逻辑注册步骤可包括步骤401和402,物理注册步骤可包括步骤403 至 407。
[0124] 如图4所示，逻辑注册步骤包括：
[0125] 401系统管理人员在验证网关上注册示证用户的逻辑可信因子。
[0126] 系统管理人员在验证网关上登记示证用户的逻辑描述性的逻辑可信因子，包括姓 名、手机号、用户密码、组织机构代码、组织机构名称，将其存储在验证网关初始逻辑可信因 子数据表中，W下表1为验证网关的初始逻辑可信因子表。在本实施例中，该表中的数据如 下：
[0127] 表2验证网关-初始逻辑可信因子表 [012 引

【权利要求】
1. 一种多因子安全增强授权与认证方法，用于安全域的示证用户认证过程，所述安全 域包括验证网关，该多因子安全增强授权与认证方法的特征在于，包括： 注册步骤，在该步骤中，通过在验证网关上存储与示证用户相关的可信因子来完成示 证用户在验证网关上的注册，并且在验证网关与示证用户之间同步可信因子，验证网关将 同步成功的可信因子存储为认证因子，并且注册用户将同步成功的可信因子也存储为认证 因子； 安全增强授权步骤，在该步骤中，验证网关在安全域内采集与完成了注册步骤的示证 用户关联的一个或多个授权因子，并且与示证用户同步全部授权因子，验证网关将同步成 功的全部授权因子存储为认证因子，并且示证用户将同步成功的全部授权因子存储为认证 因子； 安全增强认证码生成步骤，在该步骤中，验证网关和示证用户分别根据各自存储的认 证因子按照相同算法生成安全增强认证码；以及 安全认证步骤，在该步骤中，验证网关验证自身生成的安全增强认证码与示证用户提 供的安全增强认证码是否匹配，以对示证用户进行安全认证。
2. 如权利要求1所述的多因子安全增强授权与认证方法，其特征在于，所述注册步骤 包括： 逻辑注册步骤，在该步骤中，以在验证网关的数据库中存储与示证用户相关的逻辑可 信因子，所述逻辑可信因子是与示证用户相关联的可信因子并且不描述示证用户的物理设 备信息，仅仅完成逻辑注册的示证用户不允许访问安全域内除验证网关之外的其他任何设 备；以及 物理注册步骤，在逻辑注册步骤完成后，验证网关授权示证用户登录到验证网关进行 物理注册步骤，在物理注册步骤中，示证用户在首次登录到验证网关后，以在线方式将采集 到的与示证用户的物理设备相关的物理可信因子上传到验证网关的数据库，所述物理可信 因子是描述示证用户的物理设备信息的可信因子，并且在验证网关与示证用户之间同步逻 辑可信因子和物理可信因子，验证网关将同步成功的逻辑可信因子和物理可信因子存储为 认证因子，并且注册用户将同步成功的逻辑可信因子和物理可信因子也存储为认证因子。
3. 如权利要求2所述的多因子安全增强授权与认证方法，其特征在于，示证用户具有 数据库，在该数据库中建立同步表和安全增强认证因子表，并且验证网关具有数据库，在该 数据库中建立同步表和安全增强认证因子表，其中，示证用户的同步表和验证网关的同步 表均用于存储未在示证用户和验证网关之间完成同步的可信因子和授权因子，示证用户的 安全增强认证因子表和验证网关的安全增强认证因子表均用于将已经在示证用户和验证 网关之间完成同步的可信因子和授权因子存储为认证因子， 其中，所述物理注册步骤包括： 示证用户采集与示证用户的物理设备相关的物理可信因子并存储到示证用户的同步 表； 示证用户将示证用户的同步表中的物理可信因子提交到验证网关； 验证网关在接收到示证用户提交的物理可信因子后，将接收到的物理可信因子在验证 网关的安全增强认证因子表中存储为认证因子； 验证网关将认证因子成功接收的确认信息返回给示证用户；以及 示证用户接收到验证网关发来的确认信息后，将示证用户的同步表中的物理可信因子 从该同步表中更新到示证用户的安全增强认证因子表中作为认证因子。
4. 如权利要求3所述的多因子安全增强授权与认证方法，其特征在于，在将示证用户 的同步表中的物理可信因子从该同步表中更新到示证用户的安全增强认证因子表中作为 认证因子之后，所述物理注册步骤还包括： 验证网关采集需要与示证用户同步的与示证用户相关的逻辑可信因子，将所述逻辑可 信因子存储到验证网关的同步表； 验证网关向示证用户发送验证网关的同步表中存储的逻辑可信因子； 示证用户在接收到验证网关发送的逻辑可信因子后，将接收到的逻辑可信因子存储到 示证用户的同步表中； 示证用户向验证网关返回逻辑可信因子接收成功的确认信息； 验证网关在接收到示证用户返回的逻辑可信因子接收成功的确认信息后，将验证网关 的同步表中的逻辑可信因子更新到验证网关的安全增强认证因子表中； 验证网关向示证用户返回在安全增强认证因子表中成功更新逻辑可信因子的确认信 息；以及 示证用户在接收到验证网关返回的在安全增强认证因子表中成功更新逻辑可信因子 的确认信息后，将示证用户的同步表中的认证因子更新到示证用户的安全增强认证因子表 中。
5. 如权利要求4所述的多因子安全增强授权与认证方法，其特征在于，所述安全增强 授权步骤还包括： 验证网关在安全域内采集与完成了注册步骤的示证用户关联的一个或多个授权因子， 将所述授权因子存储到验证网关的同步表； 验证网关向示证用户发送验证网关的同步表中存储的授权因子； 示证用户在接收到验证网关发送的授权因子后，将接收到的授权因子存储到示证用户 的同步表中； 示证用户向验证网关返回授权因子接收成功的确认信息； 验证网关在接收到示证用户返回的授权因子接收成功的确认信息后，将验证网关的同 步表中的授权因子更新到验证网关的安全增强认证因子表中； 验证网关向示证用户返回在安全增强认证因子表中成功更新授权因子的确认信息；以 及 示证用户在接收到验证网关返回的在安全增强认证因子表中成功更新授权因子的确 认信息后，将示证用户的同步表中的认证因子更新到示证用户的安全增强认证因子表中。
6. 如权利要求5所述的多因子安全增强授权与认证方法，其特征在于，所述安全增强 授权步骤还包括以多环节授权方式生成授权因子，所述多环节授权方式是指，如果在安全 域内存在多个授权环节，所有授权环节共享授权因子数据库并生成各自的授权因子，所有 授权环节统一将授权因子同步到示证用户。
7. 如权利要求3所述的多因子安全增强授权与认证方法，其特征在于，当安全认证步 骤的结果为认证未通过时，将示证用户的同步表中的数据更新到示证用户的安全增强认证 因子表中之后，再次执行安全增强认证码生成步骤和安全认证步骤。
8. 如权利要求3所述的多因子安全增强授权与认证方法，其特征在于，在示证用户首 次登录到验证网关之后每次登录验证网关时，示证用户检测示证用户的安全增强认证因子 表中存储的物理可信因子和采集到的与示证用户的物理设备相关的物理可信因子是否一 致，如果不一致，则示证用户先使用现有安全增强认证因子表执行安全增强认证码生成步 骤和安全认证步骤，在安全认证步骤的结果为通过认证之后，再次执行物理注册步骤。
9. 如权利要求1所述的多因子安全增强授权与认证方法，其特征在于，所述算法为哈 希算法。
10. 如权利要求1所述的多因子安全增强授权与认证方法，其特征在于，安全增强认证 码的长度短于可信因子和授权因子的总长度。
【文档编号】H04L9/32GK104363207SQ201410593550
【公开日】2015年2月18日 申请日期:2014年10月29日 优先权日:2014年10月29日
【发明者】丁爱民 申请人:北京成众志科技有限公司