CN106230845A - 一种可灵活配置的多因素用户认证方法 - Google Patents
一种可灵活配置的多因素用户认证方法 Download PDFInfo
- Publication number
- CN106230845A CN106230845A CN201610642631.2A CN201610642631A CN106230845A CN 106230845 A CN106230845 A CN 106230845A CN 201610642631 A CN201610642631 A CN 201610642631A CN 106230845 A CN106230845 A CN 106230845A
- Authority
- CN
- China
- Prior art keywords
- user
- authentication
- certification
- authentication method
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Abstract
本发明公开了一种可灵活配置的多因素用户认证方法,本发明采用多因素认证(MFA),即为了验证当前用户的合法性而实行2种及以上认证方法的认证体系,建立多层防御使未经授权的人试图访问目标信息变得更加困难。此外,为了更好的防止用户暴力破解,本发明在用户的认证最前面加入了认证策略,也就是每个不同的用户都有属于他自己的策略,此策略记录了当前用户的认证体系中的若干认证方法,为用户安全新增了一层保护罩。本发明设计理念基于模块化,既每种认证方法都为独立的模块,以方便以后的扩展。
Description
技术领域
本发明属于信息安全领域,特别是实现对用户所提供的认证信息(credential)进行多因素认证。
背景技术
随着网络技术的不断发展、成熟,越来越多的安全问题浮出水面,单单基于用户单种认证方式已不再符合当前的安全要求,试想一下如果某用户单单基于口令或是电子令牌来校验其身份,那么一旦此用户的口令泄漏或令牌丢失被他人捡到,那么他人就很有可能冒充合法用户通过认证系统而造成一系列严重的后果。
发明内容
本发明的目的在于针对现有技术的不足,提供一种可灵活配置的多因素用户认证方法。
本发明的目的是通过以下技术方案来实现的:一种可灵活配置的多因素用户认证方法,该方法包括以下步骤:
(1)待认证用户关联策略,或待认证用户选择加入关联策略的用户组;所述策略包含N种认证方法的组合{M1,…,Mi,…,MN}和组合逻辑{'或','与'},N为大于1的整数;
(2)用户在网站上输入用户名user,输入N种认证方法的认证信息pwd;认证信息pwd中N种认证方法的认证码按确定格式排列;
(3)通过web表单将用户名user和认证信息pwd提交到后台web服务器,再由后台web服务器组合得到usr=user&pwd=[len_1,len_2,...,len_i,...,len_N]A1A2...Ai...AN,其中,Ai为第i种认证方法的认证码,len_i为第i种认证方法的认证码长度,将这段组合发送到MFA服务器的认证信息专用端口;
(4)当MFA服务器接收到数据后解析出usr,以usr的用户名user为条件查出该用户关联的策略,从而得到认证信息pwd的格式,如格式匹配失败则认证失败,否则通过格式认证;
(5)MFA服务器将认证信息pwd按格式分离出N个认证方法的认证码;
(6)MFA服务器按照策略对应的组合逻辑调用各认证方法对应的认证服务器进行认证,如满足组合逻辑则通过认证,否则认证失败。
进一步地,所述认证方法可选自证书、微软的Active Directory域、LDAP、一次一密(谷歌OTP和令牌OTP)、Radius、指纹认证。
进一步地,所述步骤6中组合逻辑为'或',此时只有一个认证服务器通过认证,则用户身份认证通过,否则认证失败。
进一步地,所述步骤6中组合逻辑为'与',此时所有认证服务器通过认证,则用户身份认证通过,否则认证失败。
进一步地,所述步骤6中组合逻辑为'与',按顺序从第一个认证方法对应的认证服务器进行认证,如该认证服务器通过认证,则进行下一个认证方法的认证,直至最后一个认证方法通过认证,则用户身份认证通过,否则认证失败。
本发明的有益效果是:本发明采用多因素认证(MFA),即为了验证当前用户的合法性而实行2种及以上认证方法的认证体系,建立多层防御使未经授权的人试图访问目标信息变得更加困难。此外,为了更好的防止用户暴力破解,本发明在用户的认证最前面加入了认证策略,也就是每个不同的用户都有属于他自己的策略,此策略记录了当前用户的认证体系中的若干认证方法,为用户安全新增了一层保护罩。本发明设计理念基于模块化,既每种认证方法都为独立的模块,以方便以后的扩展。
附图说明
图1为用户、户组与策略关联图;
图2为多因素认证(MFA)的具体实现逻辑图。
具体实施方式
下面结合附图和具体实施例对本发明作进一步详细说明。
本发明采用多因素认证,认证方法可选自证书、微软的Active Directory域、LDAP、一次一密(谷歌OTP和令牌OTP)、Radius、指纹认证等。
每位需要认证的用户都会关联到自己所属用户组中或者也可以无组,接下来为该用户组或用户本身关联一条策略。
策略本身包含了上述的几种认证方法,每位用户或用户组都可以为自己量身打造一条安全策略以适应不用的安全需求。
为了适应不同环境及不用用户的需求,策略中还增加了'或','与'的认证方式。'或':只要用户提供的认证信息符合认证方法中的其中一条,那么就认为此用户合法(不太安全)。'与':用户提供的认证信息必须通过此策略中所有的认证方法方为合法用户。
举例说明如下:
例子1:用户A关联了策略A,策略A中关联了Radius认证和指纹认证,并标记为'与'。那么此用户A必须同时提供正确的指纹和正确的Radius服务器上的口令方可通过。
例子2:用户B关联了策略B,策略B中关联了Radius认证和指纹认证,并标记为'或'。那么此用户B只需提供正确的指纹或正确的Radius服务器上的口令就可通过。
本发明专门为接收用户认证信息而开通一个端口例如(9999),当用户关联好策略后,则此用户可尝试去认证。再次以用户A为例。
用户A在认证开始之初输入了自己在Radius服务器上的口令,并按下了自己的指纹。那么本系统收集相关认证信息会在发送认证信息到9999端口认证之前格式化信息为[Radius口令长度,指纹码长度]Radius口令+指纹码。在接收到用户的认证信息(格式化后)和用户名(用户A)后,首先MFA服务器读取用户A的策略,获取此策略上关联的认证方法来校验此认证信息的格式合法性,如果合法,则会分离出Radius密码和指纹码分别发送到Radius服务器和指纹认证服务器进行认证。
本发明设计理念基于模块化,既每种认证方法都为独立的模块,以方便以后的扩展。例如以后要新增一种名为认证A的认证方法,则可以新增该模块,因为模块间是相互独立的,所以不会影响到之前的认证体系。以上用户A的认证则会启用Radius模块和指纹认证模块。
实施例:
如图1,用户可以所属一个组或独立,所属组的好处在于,当为一个组关联策略时,那么该组下的所有用户将都继承该组的策略。
假设用户user_a关联了策略A,而策略A包含两种认证方法(既双因素认证)radius+指纹。该用户在网站上输入了用户名user_a,radius码为abc,然后按下指纹仪器假设指纹仪器读取到该用户的指纹码为123。
那么在通过web表单提交到后台web服务器再由web服务器组合得到usr=user_a&pwd=[3,3]abc123并发送到MFA服务器的端口9999(结合图2)。当MFA接收到数据后会首先解析出usr参数并以此为条件查出关联到user_a用户的那条策略(图1的关联好的策略),得到radius+指纹。得到后MFA知道此用户为双因素认证方式,那么pwd参数格式应该为[数字,数字]XXX,检查格式通过。通过后MFA服务器通过[3,3]abc123这个很明了的格式分离出radius码为abc(前三位),指纹码为123(后三位)。
当分离出两类码后,那么MFA服务器首先会把radius码通过调用API把用户名user_a和abc组合为radius服务器能认识的格式发送给radius服务器进行认证,如果认证失败则直接返回失败,如果成功,那么MFA服务器则将把指纹码通过一定的格式发送给指纹服务器进行认证,失败则返回失败,如果也认证通过,这才返回成功状态。至此整套多因素认证完成。
需要声明的是,本发明内容及具体实施方式意在证明本发明所提供技术方案的实际应用,不应解释为对本发明保护范围的限定。本领域技术人员在本发明的精神和原理启发下,可作各种修改、等同替换、或改进。但这些变更或修改均在申请待批的保护范围内。
Claims (5)
1.一种可灵活配置的多因素用户认证方法,其特征在于,该方法包括以下步骤:
(1)待认证用户关联策略,或待认证用户选择加入关联策略的用户组;所述策略包含N种认证方法的组合{M1,…,Mi,…,MN}和组合逻辑{'或','与'},N为大于1的整数;
(2)用户在网站上输入用户名user,输入N种认证方法的认证信息pwd;认证信息pwd中N种认证方法的认证码按确定格式排列;
(3)通过web表单将用户名user和认证信息pwd提交到后台web服务器,再由后台web服务器组合得到usr=user&pwd=[len_1,len_2,...,len_i,...,len_N]A1A2...Ai...AN,其中,Ai为第i种认证方法的认证码,len_i为第i种认证方法的认证码长度,将这段组合发送到MFA服务器的认证信息专用端口;
(4)当MFA服务器接收到数据后解析出usr,以usr的用户名user为条件查出该用户关联的策略,从而得到认证信息pwd的格式,如格式匹配失败则认证失败,否则通过格式认证;
(5)MFA服务器将认证信息pwd按格式分离出N个认证方法的认证码;
(6)MFA服务器按照策略对应的组合逻辑调用各认证方法对应的认证服务器进行认证,如满足组合逻辑则通过认证,否则认证失败。
2.根据权利要求1所述的一种可灵活配置的多因素用户认证方法,其特征在于,所述认证方法可选自证书、微软的Active Directory域、LDAP、一次一密(谷歌OTP和令牌OTP)、Radius、指纹认证。
3.根据权利要求1所述的一种可灵活配置的多因素用户认证方法,其特征在于,所述步骤6中组合逻辑为'或',此时只有一个认证服务器通过认证,则用户身份认证通过,否则认证失败。
4.根据权利要求1所述的一种可灵活配置的多因素用户认证方法,其特征在于,所述步骤6中组合逻辑为'与',此时所有认证服务器通过认证,则用户身份认证通过,否则认证失败。
5.根据权利要求4所述的一种可灵活配置的多因素用户认证方法,其特征在于,所述步骤6中组合逻辑为'与',按顺序从第一个认证方法对应的认证服务器进行认证,如该认证服务器通过认证,则进行下一个认证方法的认证,直至最后一个认证方法通过认证,则用户身份认证通过,否则认证失败。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610642631.2A CN106230845A (zh) | 2016-08-04 | 2016-08-04 | 一种可灵活配置的多因素用户认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610642631.2A CN106230845A (zh) | 2016-08-04 | 2016-08-04 | 一种可灵活配置的多因素用户认证方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN106230845A true CN106230845A (zh) | 2016-12-14 |
Family
ID=57548106
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610642631.2A Pending CN106230845A (zh) | 2016-08-04 | 2016-08-04 | 一种可灵活配置的多因素用户认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106230845A (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108551456A (zh) * | 2018-04-26 | 2018-09-18 | 常州信息职业技术学院 | 一种智能认证设备及其工作方法 |
CN108900561A (zh) * | 2018-09-28 | 2018-11-27 | 北京芯盾时代科技有限公司 | 单点登录的方法、装置及系统 |
CN108989278A (zh) * | 2017-05-30 | 2018-12-11 | 三星Sds株式会社 | 认证服务系统及方法 |
CN109818907A (zh) * | 2017-11-21 | 2019-05-28 | 航天信息股份有限公司 | 一种基于ucon模型用户匿名访问方法和系统 |
CN111177697A (zh) * | 2019-12-29 | 2020-05-19 | 武汉迈威通信股份有限公司 | 交换设备的身份认证方法、系统及计算机可读存储介质 |
CN113411349A (zh) * | 2021-07-22 | 2021-09-17 | 用友汽车信息科技(上海)股份有限公司 | 鉴权认证方法、鉴权认证系统、计算机设备和存储介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101106456A (zh) * | 2006-07-11 | 2008-01-16 | 深圳市江波龙电子有限公司 | 在线身份的双因子认证方法和系统 |
CN201066853Y (zh) * | 2007-07-04 | 2008-05-28 | 福建伊时代信息科技有限公司 | 统一认证系统架构 |
CN103119907A (zh) * | 2010-07-21 | 2013-05-22 | 思杰系统有限公司 | 提供用于访问控制的智能组的系统和方法 |
CN103814380A (zh) * | 2011-08-02 | 2014-05-21 | 高通股份有限公司 | 用于使用多因子口令或动态口令以增强设备上的安全性的方法和装置 |
CN103856332A (zh) * | 2014-03-22 | 2014-06-11 | 中国科学院信息工程研究所 | 一种多屏多因子便捷web身份认证的一对多账号映射绑定的实现方法 |
US20150281279A1 (en) * | 2014-03-28 | 2015-10-01 | Ned M. Smith | Systems and Methods to Facilitate Multi-Factor Authentication Policy Enforcement Using One or More Policy Handlers |
-
2016
- 2016-08-04 CN CN201610642631.2A patent/CN106230845A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101106456A (zh) * | 2006-07-11 | 2008-01-16 | 深圳市江波龙电子有限公司 | 在线身份的双因子认证方法和系统 |
CN201066853Y (zh) * | 2007-07-04 | 2008-05-28 | 福建伊时代信息科技有限公司 | 统一认证系统架构 |
CN103119907A (zh) * | 2010-07-21 | 2013-05-22 | 思杰系统有限公司 | 提供用于访问控制的智能组的系统和方法 |
CN103814380A (zh) * | 2011-08-02 | 2014-05-21 | 高通股份有限公司 | 用于使用多因子口令或动态口令以增强设备上的安全性的方法和装置 |
CN103856332A (zh) * | 2014-03-22 | 2014-06-11 | 中国科学院信息工程研究所 | 一种多屏多因子便捷web身份认证的一对多账号映射绑定的实现方法 |
US20150281279A1 (en) * | 2014-03-28 | 2015-10-01 | Ned M. Smith | Systems and Methods to Facilitate Multi-Factor Authentication Policy Enforcement Using One or More Policy Handlers |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108989278A (zh) * | 2017-05-30 | 2018-12-11 | 三星Sds株式会社 | 认证服务系统及方法 |
CN109818907A (zh) * | 2017-11-21 | 2019-05-28 | 航天信息股份有限公司 | 一种基于ucon模型用户匿名访问方法和系统 |
CN108551456A (zh) * | 2018-04-26 | 2018-09-18 | 常州信息职业技术学院 | 一种智能认证设备及其工作方法 |
CN108551456B (zh) * | 2018-04-26 | 2020-08-11 | 常州信息职业技术学院 | 一种智能认证设备及其工作方法 |
CN108900561A (zh) * | 2018-09-28 | 2018-11-27 | 北京芯盾时代科技有限公司 | 单点登录的方法、装置及系统 |
CN111177697A (zh) * | 2019-12-29 | 2020-05-19 | 武汉迈威通信股份有限公司 | 交换设备的身份认证方法、系统及计算机可读存储介质 |
CN113411349A (zh) * | 2021-07-22 | 2021-09-17 | 用友汽车信息科技(上海)股份有限公司 | 鉴权认证方法、鉴权认证系统、计算机设备和存储介质 |
CN113411349B (zh) * | 2021-07-22 | 2022-09-02 | 用友汽车信息科技(上海)股份有限公司 | 鉴权认证方法、鉴权认证系统、计算机设备和存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106230845A (zh) | 一种可灵活配置的多因素用户认证方法 | |
Wei et al. | An improved authentication scheme for telecare medicine information systems | |
CN103152172B (zh) | 一种手机令牌动态口令生成方法、客户端、服务器以及系统 | |
Chen et al. | Mobile device integration of a fingerprint biometric remote authentication scheme | |
Das | A secure and robust temporal credential-based three-factor user authentication scheme for wireless sensor networks | |
Khan et al. | Improving the security of ‘a flexible biometrics remote user authentication scheme’ | |
CN103780397B (zh) | 一种多屏多因子便捷web身份认证方法 | |
Xu et al. | An improved smart card based password authentication scheme with provable security | |
CN102006299B (zh) | 一种面向可信互联网的基于实体标识的身份认证方法及系统 | |
CN103856332B (zh) | 一种多屏多因子便捷web身份认证的一对多账号映射绑定的实现方法 | |
CN104125199B (zh) | 一种基于属性的匿名认证方法及系统 | |
CN109151820A (zh) | 一种基于“一人一机一卡一号”的安全认证方法和装置 | |
CN103853950A (zh) | 一种基于移动终端的认证方法及移动终端 | |
CN105187405A (zh) | 基于信誉的云计算身份管理方法 | |
CN103312499B (zh) | 一种身份认证方法及系统 | |
CN107113613A (zh) | 服务器、移动终端、网络实名认证系统及方法 | |
Li et al. | An enhanced biometrics-based user authentication scheme for multi-server environments in critical systems | |
Jøsang | Identity management and trusted interaction in Internet and mobile computing | |
Shunmuganathan | A reliable lightweight two factor mutual authenticated session key agreement protocol for multi-server environment | |
WO2010034507A1 (en) | Method for supporting secure authentication of a user using a smartcard | |
Pinter et al. | Towards a multi-party, blockchain-based identity verification solution to implement clear name laws for online media platforms | |
CN106792677A (zh) | 一种移动终端绑定针对性服务的认证方法和认证系统 | |
CN105681350A (zh) | 一种基于环境相似的零交互双因素认证系统及方法 | |
Baldimtsi et al. | zkLogin: Privacy-Preserving Blockchain Authentication with Existing Credentials | |
CN106304052A (zh) | 一种安全通信的方法、装置、终端及客户识别模块卡 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20161214 |
|
RJ01 | Rejection of invention patent application after publication |