一种基于双因子的统一身份认证方法

本发明属于信息安全，涉及一种基于双因子的统一身份认证方法。

背景技术：

1、身份认证技术是指确定用户真实身份的技术，是信息安全体系的重要组成部分，且在计算机网络、电子商务、金融交易等领域中起到非常重要的作用。在传统业务中，通常通过身份证件(如身份证、户口本、护照等)确认用户身份，并保存身份证件的纸质或者电子图像作为业务授权凭证。

2、进入数字化时代后，账号加口令、数字证书加私钥成为主流的两种数字身份安全认证技术。然而，现有身份认证技术虽然便捷使用，但在安全和管理方面还有待进一步改进、丰富和完善，主要体现在以下两个方面：

3、(1)单因子认证方式单一，一旦口令丢失，用户账户将泄露；

4、(2)pki体系的身份认证涉及繁琐的证书管理，增加运营成本。

技术实现思路

1、针对现有技术中存在的技术问题，本发明的目的在于提供一种基于双因子的统一身份认证方法，利用区块链技术的公开可验、不可篡改、可靠审计等特性，提供一种可信注册、自主授权和可靠审计的双因子统一认证系统，以便于各类应用系统访问、使用与管理。本专利基于口令、密钥或生物技术两种因子进行身份认证，即使用户口令丢失或泄露，仍能保证账户安全，满足系统安全、可靠的统一身份认证需求。

2、针对本发明的目的，本发明提出了一种是基于的双因子的统一认证方法，具体包括以下3个步骤：

3、步骤1.注册阶段(register)：注册服务器根据用户设置的口令pwd和采集的用户生物特征信息pi，计算得到该用户的私钥公钥pk＝gsk；并获取当前时间的注册时间戳tsr，计算注册签名σr＝signsk(mr,tsr)，以上处理均在注册服务器上完成。处理完成后，注册服务器将申请注册信息mr,注册时间戳tsr,公钥pk,注册签名σr发送给验证服务器。验证服务器自动验证注册时间戳tsr的有效性，若有效，则运行验证算法verfpk(mr,tsr,σr)计算结果是否为1。若为1，则利用智能合约的submit功能将pk上传至区块链中，并生成对应的用户id返回给用户，表示注册完成。

4、步骤2.授权阶段(authorization)：当用户请求被授权系统服务器中一目标应用的权限时，需要输入口令pwd以及生物特征信息pi，同时生成请求权限信息ma，ma为用户所请求被授权的应用及权限信息。随后，获取当前时间的授权时间戳tsa以及计算私钥再根据私钥sk计算请求权限签名σa＝signsk(ma,tsa,id)。以上处理均在用户端上完成。处理完成后，用户将请求权限信息ma，授权时间戳tsa以及请求权限签名σa发送给系统服务器。随后处理在系统服务器上完成。系统服务器自动验证授权时间戳tsa的有效性，若有效，则运行智能合约中的check(id)算法验证该用户id是否存在，若存在，则利用用户的公钥pk验证σa的有效性，若有效则在区块链的系统授权列表list中添加对应的pk信息，表示用户被授权所请求的系统服务器中目标应用的权限。

5、步骤3.登录阶段(login)：当用户登录系统中一目标应用时，需要输入口令pwd以及生物特征信息pi，同时生成请求登录信息ml，ml为用户所请求登录的应用信息。随后，获取当前时间的登录时间戳tsl以及计算私钥再根据私钥sk计算请求登录签名σl＝signsk(ml,tsl,id)。以上处理均在用户端上完成。处理完成后，用户将请求登录信息ml，登录时间戳tsl以及请求登录签名σl发送给系统服务器。系统服务器调用智能合约中的check(id,system)算法进行验证，其中system为此系统服务器中目标应用的标识，若结果为1，则说明该用户已被此系统授权，系统进一步调用verfpk(ml,tsl,σl)算法，若结果为1，则允许用户登录系统中的目标应用，否则拒绝其登录。

6、本发明的优点如下：

7、目前市场上存在的身份认证系统大多采用密码算法是安全强度较差md5国际哈希算法的单一的口令认证方式，这种认证方式安全性较差。虽然市场上存在一些双因子认证系统，但这些系统要求服务端存储用户口令、密钥、生物信息，一旦服务端遭到入侵，用户的这些私密信息将泄露，难以满足安全、可靠、高效等需求。

8、本发明设计一种基于双因子的统一身份认证协议，使用口令、密钥或生物技术两种因子设计统一认证方法，即使用户口令丢失或泄露，仍能保证账户安全。此外，此方法无需在服务端存储用户口令、密钥和生物信息，仅将公开信息存储在区块链，有效降低用户信息因服务器遭入侵而泄露的风险。此外，本发明可结合目前市场上现有ecdsa、schnorr、sm2等数字签名算法，具有较强的系统兼容性。

技术特征：

1.一种基于双因子的统一身份认证方法，其步骤包括：

2.根据权利要求1所述的方法，其特征在于，所述系统服务器首先验证时间戳tsa的有效性，若有效，则验证该用户id是否存在，若存在，则利用公钥pk验证σa的有效性，若有效则验证通过，在区块链的系统授权列表list中添加对应的公钥pk，代表允许该用户访问所请求的目标应用及权限。

3.根据权利要求1所述的方法，其特征在于，所述系统服务器调用智能合约中的验证算法check(id，system)进行验证，其中system为所述系统服务器的标识，若结果为1，则判定该用户已获得所述系统服务器的授权；然后调用签名验证算法verfpk(mi，tsl，σl)进行验证，若结果为1，则允许该用户登录所述系统服务器并在对应的权限范围内访问所请求的目标应用。

4.根据权利要求1或2或3所述的方法，其特征在于，私钥公钥pk＝gsk，注册签名σr＝signsk(mr，tsr)，权限签名σa＝signsk(ma，tsa，id)，请求登录签名σl＝signsk(ml，tsi，id)；其中，为哈希函数，g为乘法群的生成元，signsk(·)为签名算法。

5.根据权利要求1或2或3所述的方法，其特征在于，所述验证端利用智能合约将该用户的公钥pk上传至区块链中。

6.一种基于双因子的统一身份认证系统，其特征在于，包括注册服务器、系统服务器、验证端和用户端；

技术总结
本发明公开了一种基于双因子的统一身份认证方法；1)用户注册：待注册用户设置口令并提供生物特征信息，计算口令与生物特征的哈希值，并利用哈希值生成对应的公私钥对；用户利用私钥计算注册签名，并将相关信息与签名发送给管理员验证有效后通过智能合约将用户公钥上传至区块链中，并生成与用户公钥对应的id；2)权限授权：当注册用户请求被授权某个系统的权限时，需提供身份信息及签名供管理员验证，管理员验证有效后，在区块链的系统授权列表中添加用户的系统权限；3)用户登录：当用户登录某个系统时，提供身份信息及签名供系统服务器验证，系统服务器利用智能合约验证用户合法则允许用户登录系统。本发明具有安全性高、兼容性强等特点。

技术研发人员：杨晨,晏敏,雷瑞恒,柯宇泓,冉大亮,王顺明
受保护的技术使用者：中国科学院软件研究所
技术研发日：
技术公布日：2024/1/16