CN115333747A - 一种基于多因子认证的安全防护方法、设备及存储介质 - Google Patents

一种基于多因子认证的安全防护方法、设备及存储介质 Download PDF

Info

Publication number
CN115333747A
CN115333747A CN202210886319.3A CN202210886319A CN115333747A CN 115333747 A CN115333747 A CN 115333747A CN 202210886319 A CN202210886319 A CN 202210886319A CN 115333747 A CN115333747 A CN 115333747A
Authority
CN
China
Prior art keywords
lambda
user
character
identity
identity authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210886319.3A
Other languages
English (en)
Inventor
郭岳
庄严
柯旺松
徐杰
廖荣涛
董亮
刘芬
王逸兮
李想
黄超
梁源
李磊
胡耀东
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
Information and Telecommunication Branch of State Grid Hubei Electric Power Co Ltd
Original Assignee
State Grid Corp of China SGCC
Information and Telecommunication Branch of State Grid Hubei Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, Information and Telecommunication Branch of State Grid Hubei Electric Power Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN202210886319.3A priority Critical patent/CN115333747A/zh
Publication of CN115333747A publication Critical patent/CN115333747A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication

Abstract

本发明属于安全防护技术领域,公开了一种基于多因子认证的安全防护方法、设备及存储介质,该方法具体包括:当用户通过移动终端发送身份认证请求时,服务器收到用户移动终端发来的身份认证请求信息时,服务器基于所述身份认证请求信息向身份认证平台发送认证请求;身份认证平台收到认证请求,调用多个认证因子,对用户进行身份认证;服务器基于所述身份认证请求信息对接口访问属性和账号风险进行综合评估当前用户身份。本发明构建以身份为中心的信任安全基石,保障用户不间断稳定运行,解决了边缘计算终端汇聚接入的物联网感知设备种类繁多、异构多样且动态变化,对其进行分布式授权认证和行为控制存在较大难度的问题。

Description

一种基于多因子认证的安全防护方法、设备及存储介质
技术领域
本发明属于安全防护技术领域,尤其涉及一种基于多因子认证的安全防护方法、设备及存储介质。
背景技术
在边缘计算网络终端域,为支持“人”与“物”、以及“物”与“物”的互联,大量的实时控制设备、状态监测设备和信息采集设备以及用户设备得以广泛应用。边缘计算终端汇聚接入的物联网感知设备种类繁多、异构多样且动态变化,对其进行分布式授权认证和行为控制存在较大难度。因此,恶意感知设备的接入,提高了感知设备节点以边缘计算终端为跳板的渗透攻击风险。同时,与传统的网络设备一样,边缘计算终端固件和系统同样存在一些难以被发掘的漏洞,这些漏洞一旦被黑客利用可能产生非常严重的后果。此外,边缘计算终端部署在非可控的边缘侧环境中,很容易被攻击者仿冒伪造,从而对边缘计算网络实施网络渗透攻击,导致数据泄露、系统瘫痪等网络与信息安全事件。
通过上述分析,现有技术存在的问题及缺陷为:
边缘计算终端汇聚接入的物联网感知设备种类繁多、异构多样且动态变化,对其进行分布式授权认证和行为控制存在较大难度。
发明内容
针对现有技术存在的问题,本发明提供了一种基于多因子认证的安全防护方法、设备及存储介质。
本发明是这样实现的,一种基于多因子认证的安全防护方法,其特征在于,该方法具体包括:
S1:用户通过离线注册和本地注册完成用户注册;
S2:当用户通过移动终端发送身份认证请求时,服务器收到用户移动终端发来的身份认证请求信息时,服务器基于所述身份认证请求信息向身份认证平台发送认证请求;
S3:身份认证平台收到认证请求,调用多个认证因子,对用户进行身份认证;
S4:服务器基于所述身份认证请求信息对接口访问属性和账号风险进行综合评估当前用户身份,若该用户身份没有任何风险,则对移动终端反馈认证成功信息。
进一步,所述离线注册具体为:
S11、用户在移动终端输入用户名、口令、手机号码和共享哈希函数;
S12、移动终端将用户名、口令、手机号码和共享哈希函数发送至服务器,服务器转发至身份认证平台;
S13、身份认证平台接收到后,建立身份认证平台用户信息表,利用共享哈希函数对口令进行运算,生成第一口令哈希值,将用户名、第一口令哈希值、手机号码和共享哈希函数保存为身份认证平台用户信息表的表项,以用户名为索引。所述对口令进行运算包括:
如果选择的用户信息表是三种,设为μ1,μ2,μ3,口令长度是λ;则首先生成一个1到λ的随机数λ1,设定λ1位置的字符属于用户信息表μ1;接着生成一个1到λ的随机数λ2,其中,λ2≠λ1,设定λ2位置的字符属于用户信息表μ2;随后生成接着生成一个1到λ的随机数λ3,λ3≠λ2,λ3≠λ1,设定λ3位置的字符属于用户信息表μ3;最后针对其他的λ-3个字符位,系统对于每一个字符位都从μ1,μ2,μ3中随机选择一种,作为该字符位的字符类型;
如果选择的用户信息表是四种,设为μ1,μ2,μ3,μ4,口令长度是λ;则首先生成一个1到λ的随机数λ1,设定λ1位置的字符属于用户信息表μ1;接着生成一个1到λ的随机数λ2,λ2≠λ1,设定λ2位置的字符属于用户信息表μ2;然后生成接着生成一个1到λ的随机数λ3,λ3≠λ2,λ3≠λ1,设定λ3位置的字符属于用户信息表μ3;随后生成一个1到λ的随机数λ4,λ4≠λ3,λ4≠λ2,λ4≠λ1,设定λ4位置的字符属于用户信息表μ4;最后针对其他的λ-4个字符位,系统对于每一个字符位都从μ1,μ2,μ3,μ4中随机选择一种,作为该字符位的字符类型;
对口令中的每一个字符位,生成一个5位二进制的随机数x,并随机构造一个GF(2)5上的非线性正形置换P,将该正形置换作用于所述随机数,得到P(x)5位二进制的数字;其中,GF(2)5表示二元伽罗瓦域的五维向量空间;
根据每一个字符位的字符类型,将P(x)5位二进制的数字转换为对应字符类型的字符,得到所生成的口令;包括如下四种情况:
如果该字符位的类型是阿拉伯数字,则将该5位二进制的数字模上10,所得余数对应的字符就为所求;
如果该字符位的类型是大写字母,则将该5位二进制的数字模上26,所得余数就是所求字符在大写字母集中相距第一个大写字母‘A’的距离,将该字符作为所求字符;
如果该字符位的类型是小写字母,则将该5位二进制的数字模上26,所得余数就是所求字符在小写字母集中相距第一个小写字母‘a’的距离,将该字符作为所求字符;
如果该字符位的类型是其他特殊字母,则这个5位二进制的数字就表示所求字符在其他特殊字母集中相距第一个特殊字母‘~’的距离,将该字符作为所求字符。
进一步,所述本地注册具体为:
S14、移动终端发送指纹请求给服务器,服务器发送认证请求给身份认证平台;
S15、身份认证平台接收到认证请求后,若身份认证平台中已有用户指纹,则执行步骤S16,否则身份认证平台触发指纹传感器提醒用户录入第一指纹信息,用户录入成功后,执行步骤S16;
S16、身份认证平台利用共享哈希函数,生成第一指纹信息哈希值,并保存在身份认证平台中,将该第一指纹信息哈希值添加进身份认证平台用户信息表。
进一步,所述认证因子具体包括口令、指纹信息和动态验证码。
进一步,所述S3身份认证平台收到认证请求,调用多个认证因子,对用户进行身份认证具体包括:
当身份认证平台收到服务器发送的用户名和口令时,根据用户名查询身份认证平台用户信息表,得到第一口令哈希值,并利用共享哈希函数对接收到的口令进行哈希运算,得到第二口令哈希值;比较第一口令哈希值和第二口令哈希值是否相等,若是,则将结果置为成功,否则,置为失败;
当身份认证平台收到服务器发送的用户名和指纹信息时,根据用户名查询移动终端用户信息表,得到第一指纹信息哈希值,并利用共享哈希函数对第一指纹信息进行哈希运算,得到第二指纹信息哈希值;比对第一指纹信息哈希值和第二指纹信息哈希值是否相等,若是,则将结果置为成功,否则,置为失败。
进一步,所述步骤S4服务器基于所述身份认证请求信息对接口访问属性和账号风险进行综合评估当前用户身份,若该用户身份没有任何风险,则对移动终端反馈认证成功信息具体包括:
(1)移动终端在身份认证请求信息中,添加认证节点到包含数据信息的标记语言文件中;所述认证节点中至少包括利用密钥对节点属性信息进行加密算法转换后获得的标记值;
(2)服务器接收到身份认证请求信息后,解析身份认证请求中的认证节点,通过密钥与标记值判断节点属性信息是否匹配,若匹配成功,确认身份合法,认证结束,将服务器的数据信息发送给移动终端。
进一步,所述节点属性信息包括请求名称和/或提交请求的时间戳。
本发明另一目的在于提供一种计算机设备,所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行所述基于多因子认证的安全防护方法。
本发明另一目的在于提供一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行所述基于多因子认证的安全防护方法。
本发明另一目的在于提供一种基于多因子认证的安全防护设备,所述基于动态网络的防御终端用于实现所述的基于多因子认证的安全防护方法。
结合上述的技术方案和解决的技术问题,请从以下几方面分析本发明所要保护的技术方案所具备的优点及积极效果为:
第一、针对上述现有技术存在的技术问题以及解决该问题的难度,紧密结合本发明的所要保护的技术方案以及研发过程中结果和数据等,详细、深刻地分析本发明技术方案如何解决的技术问题,解决问题之后带来的一些具备创造性的技术效果。具体描述如下:
本发明使用基于多因子认证动态授权的安全防护技术,通过身份认证平台调用多个认证因子,对用户进行身份认证,来实现身份可信,对接口访问属性和账号风险等因素进行综合评估当前用户身份,来兼顾安全与效率。
第二,把技术方案看做一个整体或者从产品的角度,本发明所要保护的技术方案具备的技术效果和优点,具体描述如下:
本发明构建以身份为中心的信任安全基石,保障用户不间断稳定运行,解决了边缘计算终端汇聚接入的物联网感知设备种类繁多、异构多样且动态变化,对其进行分布式授权认证和行为控制存在较大难度的问题。
本发明所述对口令进行运算包括:
如果选择的用户信息表是三种,设为μ1,μ2,μ3,口令长度是λ;则首先生成一个1到λ的随机数λ1,设定λ1位置的字符属于用户信息表μ1;接着生成一个1到λ的随机数λ2,其中,λ2≠λ1,设定λ2位置的字符属于用户信息表μ2;随后生成接着生成一个1到λ的随机数λ3,λ3≠λ2,λ3≠λ1,设定λ3位置的字符属于用户信息表μ3;最后针对其他的λ-3个字符位,系统对于每一个字符位都从μ1,μ2,μ3中随机选择一种,作为该字符位的字符类型;
如果选择的用户信息表是四种,设为μ1,μ2,μ3,μ4,口令长度是λ;则首先生成一个1到λ的随机数λ1,设定λ1位置的字符属于用户信息表μ1;接着生成一个1到λ的随机数λ2,λ2≠λ1,设定λ2位置的字符属于用户信息表μ2;然后生成接着生成一个1到λ的随机数λ3,λ3≠λ2,λ3≠λ1,设定λ3位置的字符属于用户信息表μ3;随后生成一个1到λ的随机数λ4,λ4≠λ3,λ4≠λ2,λ4≠λ1,设定λ4位置的字符属于用户信息表μ4;最后针对其他的λ-4个字符位,系统对于每一个字符位都从μ1,μ2,μ3,μ4中随机选择一种,作为该字符位的字符类型。获得口令数据准确。
附图说明
图1是本发明实施例提供的一种基于多因子认证的安全防护方法流程图;
图2是本发明实施例提供的离线注册方法流程图;
图3是本发明实施例提供的本地注册方法流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
一、解释说明实施例。为了使本领域技术人员充分了解本发明如何具体实现,该部分是对权利要求技术方案进行展开说明的解释说明实施例。
如附图1所示,一种基于多因子认证的安全防护方法,其特征在于,该方法具体包括:
S1:用户通过离线注册和本地注册完成用户注册;
S2:当用户通过移动终端发送身份认证请求时,服务器收到用户移动终端发来的身份认证请求信息时,服务器基于所述身份认证请求信息向身份认证平台发送认证请求;
S3:身份认证平台收到认证请求,调用多个认证因子,对用户进行身份认证;
S4:服务器基于所述身份认证请求信息对接口访问属性和账号风险进行综合评估当前用户身份,若该用户身份没有任何风险,则对移动终端反馈认证成功信息。
所述离线注册具体为:
S11、用户在移动终端输入用户名、口令、手机号码和共享哈希函数;
S12、移动终端将用户名、口令、手机号码和共享哈希函数发送至服务器,服务器转发至身份认证平台;
S13、身份认证平台接收到后,建立身份认证平台用户信息表,利用共享哈希函数对口令进行运算,生成第一口令哈希值,将用户名、第一口令哈希值、手机号码和共享哈希函数保存为身份认证平台用户信息表的表项,以用户名为索引。所述对口令进行运算包括:
如果选择的用户信息表是三种,设为μ1,μ2,μ3,口令长度是λ;则首先生成一个1到λ的随机数λ1,设定λ1位置的字符属于用户信息表μ1;接着生成一个1到λ的随机数λ2,其中,λ2≠λ1,设定λ2位置的字符属于用户信息表μ2;随后生成接着生成一个1到λ的随机数λ3,λ3≠λ2,λ3≠λ1,设定λ3位置的字符属于用户信息表μ3;最后针对其他的λ-3个字符位,系统对于每一个字符位都从μ1,μ2,μ3中随机选择一种,作为该字符位的字符类型;
如果选择的用户信息表是四种,设为μ1,μ2,μ3,μ4,口令长度是λ;则首先生成一个1到λ的随机数λ1,设定λ1位置的字符属于用户信息表μ1;接着生成一个1到λ的随机数λ2,λ2≠λ1,设定λ2位置的字符属于用户信息表μ2;然后生成接着生成一个1到λ的随机数λ3,λ3≠λ2,λ3≠λ1,设定λ3位置的字符属于用户信息表μ3;随后生成一个1到λ的随机数λ4,λ4≠λ3,λ4≠λ2,λ4≠λ1,设定λ4位置的字符属于用户信息表μ4;最后针对其他的λ-4个字符位,系统对于每一个字符位都从μ1,μ2,μ3,μ4中随机选择一种,作为该字符位的字符类型;
对口令中的每一个字符位,生成一个5位二进制的随机数x,并随机构造一个GF(2)5上的非线性正形置换P,将该正形置换作用于所述随机数,得到P(x)5位二进制的数字;其中,GF(2)5表示二元伽罗瓦域的五维向量空间;
根据每一个字符位的字符类型,将P(x)5位二进制的数字转换为对应字符类型的字符,得到所生成的口令;包括如下四种情况:
如果该字符位的类型是阿拉伯数字,则将该5位二进制的数字模上10,所得余数对应的字符就为所求;
如果该字符位的类型是大写字母,则将该5位二进制的数字模上26,所得余数就是所求字符在大写字母集中相距第一个大写字母‘A’的距离,将该字符作为所求字符;
如果该字符位的类型是小写字母,则将该5位二进制的数字模上26,所得余数就是所求字符在小写字母集中相距第一个小写字母‘a’的距离,将该字符作为所求字符;
如果该字符位的类型是其他特殊字母,则这个5位二进制的数字就表示所求字符在其他特殊字母集中相距第一个特殊字母‘~’的距离,将该字符作为所求字符。
所述本地注册具体为:
S14、移动终端发送指纹请求给服务器,服务器发送认证请求给身份认证平台;
S15、身份认证平台接收到认证请求后,若身份认证平台中已有用户指纹,则执行步骤S16,否则身份认证平台触发指纹传感器提醒用户录入第一指纹信息,用户录入成功后,执行步骤S16;
S16、身份认证平台利用共享哈希函数,生成第一指纹信息哈希值,并保存在身份认证平台中,将该第一指纹信息哈希值添加进身份认证平台用户信息表。
所述认证因子具体包括口令、指纹信息和动态验证码。
所述S3身份认证平台收到认证请求,调用多个认证因子,对用户进行身份认证具体包括:
当身份认证平台收到服务器发送的用户名和口令时,根据用户名查询身份认证平台用户信息表,得到第一口令哈希值,并利用共享哈希函数对接收到的口令进行哈希运算,得到第二口令哈希值;比较第一口令哈希值和第二口令哈希值是否相等,若是,则将结果置为成功,否则,置为失败;
当身份认证平台收到服务器发送的用户名和指纹信息时,根据用户名查询移动终端用户信息表,得到第一指纹信息哈希值,并利用共享哈希函数对第一指纹信息进行哈希运算,得到第二指纹信息哈希值;比对第一指纹信息哈希值和第二指纹信息哈希值是否相等,若是,则将结果置为成功,否则,置为失败。
所述步骤S4服务器基于所述身份认证请求信息对接口访问属性和账号风险进行综合评估当前用户身份,若该用户身份没有任何风险,则对移动终端反馈认证成功信息具体包括:
(1)移动终端在身份认证请求信息中,添加认证节点到包含数据信息的标记语言文件中;所述认证节点中至少包括利用密钥对节点属性信息进行加密算法转换后获得的标记值;
(2)服务器接收到身份认证请求信息后,解析身份认证请求中的认证节点,通过密钥与标记值判断节点属性信息是否匹配,若匹配成功,确认身份合法,认证结束,将服务器的数据信息发送给移动终端。
所述节点属性信息包括请求名称和/或提交请求的时间戳。
二、应用实施例。为了证明本发明的技术方案的创造性和技术价值,该部分是对权利要求技术方案进行具体产品上或相关技术上的应用实施例。
本发明将基于多因子认证的安全防护方法应用于一种计算机设备,所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行所述基于多因子认证的安全防护方法。
本发明将基于多因子认证的安全防护方法应用于一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行所述基于多因子认证的安全防护方法。
本发明基于多因子认证的安全防护方法应用于一种基于多因子认证的安全防护设备,所述虚拟信息的网络伪装设备用于实现所述基于多因子认证的安全防护方法。
应当注意,本发明的实施方式可以通过硬件、软件或者软件和硬件的结合来实现。硬件部分可以利用专用逻辑来实现;软件部分可以存储在存储器中,由适当的指令执行系统,例如微处理器或者专用设计硬件来执行。本领域的普通技术人员可以理解上述的设备和方法可以使用计算机可执行指令和/或包含在处理器控制代码中来实现,例如在诸如磁盘、CD或DVD-ROM的载体介质、诸如只读存储器(固件)的可编程的存储器或者诸如光学或电子信号载体的数据载体上提供了这样的代码。本发明的设备及其模块可以由诸如超大规模集成电路或门阵列、诸如逻辑芯片、晶体管等的半导体、或者诸如现场可编程门阵列、可编程逻辑设备等的可编程硬件设备的硬件电路实现,也可以用由各种类型的处理器执行的软件实现,也可以由上述硬件电路和软件的结合例如固件来实现。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,都应涵盖在本发明的保护范围之内。

Claims (10)

1.一种基于多因子认证的安全防护方法,其特征在于,所述基于多因子认证的安全防护方法包括:
S1:用户通过离线注册和本地注册完成用户注册;
S2:当用户通过移动终端发送身份认证请求时,服务器收到用户移动终端发来的身份认证请求信息时,服务器基于所述身份认证请求信息向身份认证平台发送认证请求;
S3:身份认证平台收到认证请求,调用多个认证因子,对用户进行身份认证;
S4:服务器基于所述身份认证请求信息对接口访问属性和账号风险进行综合评估当前用户身份,若该用户身份没有任何风险,则对移动终端反馈认证成功信息。
2.如权利要求1所述的基于多因子认证的安全防护方法,其特征在于,所述离线注册具体为:
S11、用户在移动终端输入用户名、口令、手机号码和共享哈希函数;
S12、移动终端将用户名、口令、手机号码和共享哈希函数发送至服务器,服务器转发至身份认证平台;
S13、身份认证平台接收到后,建立身份认证平台用户信息表,利用共享哈希函数对口令进行运算,生成第一口令哈希值,将用户名、第一口令哈希值、手机号码和共享哈希函数保存为身份认证平台用户信息表的表项,以用户名为索引;所述对口令进行运算包括:
如果选择的用户信息表是三种,设为μ1,μ2,μ3,口令长度是λ;则首先生成一个1到λ的随机数λ1,设定λ1位置的字符属于用户信息表μ1;接着生成一个1到λ的随机数λ2,其中,λ2≠λ1,设定λ2位置的字符属于用户信息表μ2;随后生成接着生成一个1到λ的随机数λ3,λ3≠λ2,λ3≠λ1,设定λ3位置的字符属于用户信息表μ3;最后针对其他的λ-3个字符位,系统对于每一个字符位都从μ1,μ2,μ3中随机选择一种,作为该字符位的字符类型;
如果选择的用户信息表是四种,设为μ1,μ2,μ3,μ4,口令长度是λ;则首先生成一个1到λ的随机数λ1,设定λ1位置的字符属于用户信息表μ1;接着生成一个1到λ的随机数λ2,λ2≠λ1,设定λ2位置的字符属于用户信息表μ2;然后生成接着生成一个1到λ的随机数λ3,λ3≠λ2,λ3≠λ1,设定λ3位置的字符属于用户信息表μ3;随后生成一个1到λ的随机数λ4,λ4≠λ3,λ4≠λ2,λ4≠λ1,设定λ4位置的字符属于用户信息表μ4;最后针对其他的λ-4个字符位,系统对于每一个字符位都从μ1,μ2,μ3,μ4中随机选择一种,作为该字符位的字符类型;
对口令中的每一个字符位,生成一个5位二进制的随机数x,并随机构造一个GF(2)5上的非线性正形置换P,将该正形置换作用于所述随机数,得到P(x)5位二进制的数字;其中,GF(2)5表示二元伽罗瓦域的五维向量空间;
根据每一个字符位的字符类型,将P(x)5位二进制的数字转换为对应字符类型的字符,得到所生成的口令;包括如下四种情况:
如果该字符位的类型是阿拉伯数字,则将该5位二进制的数字模上10,所得余数对应的字符就为所求;
如果该字符位的类型是大写字母,则将该5位二进制的数字模上26,所得余数就是所求字符在大写字母集中相距第一个大写字母‘A’的距离,将该字符作为所求字符;
如果该字符位的类型是小写字母,则将该5位二进制的数字模上26,所得余数就是所求字符在小写字母集中相距第一个小写字母‘a’的距离,将该字符作为所求字符;
如果该字符位的类型是其他特殊字母,则这个5位二进制的数字就表示所求字符在其他特殊字母集中相距第一个特殊字母‘~’的距离,将该字符作为所求字符。
3.如权利要求1所述的基于多因子认证的安全防护方法,其特征在于,所述本地注册具体为:
S14、移动终端发送指纹请求给服务器,服务器发送认证请求给身份认证平台;
S15、身份认证平台接收到认证请求后,若身份认证平台中已有用户指纹,则执行步骤S16,否则身份认证平台触发指纹传感器提醒用户录入第一指纹信息,用户录入成功后,执行步骤S16;
S16、身份认证平台利用共享哈希函数,生成第一指纹信息哈希值,并保存在身份认证平台中,将该第一指纹信息哈希值添加进身份认证平台用户信息表。
4.如权利要求1所述的基于多因子认证的安全防护方法,其特征在于,所述认证因子具体包括口令、指纹信息和动态验证码。
5.如权利要求1所述的基于多因子认证的安全防护方法,其特征在于,所述S3身份认证平台收到认证请求,调用多个认证因子,对用户进行身份认证具体包括:
当身份认证平台收到服务器发送的用户名和口令时,根据用户名查询身份认证平台用户信息表,得到第一口令哈希值,并利用共享哈希函数对接收到的口令进行哈希运算,得到第二口令哈希值;比较第一口令哈希值和第二口令哈希值是否相等,若是,则将结果置为成功,否则,置为失败;
当身份认证平台收到服务器发送的用户名和指纹信息时,根据用户名查询移动终端用户信息表,得到第一指纹信息哈希值,并利用共享哈希函数对第一指纹信息进行哈希运算,得到第二指纹信息哈希值;比对第一指纹信息哈希值和第二指纹信息哈希值是否相等,若是,则将结果置为成功,否则,置为失败。
6.如权利要求1所述的基于多因子认证的安全防护方法,其特征在于,所述步骤S4服务器基于所述身份认证请求信息对接口访问属性和账号风险进行综合评估当前用户身份,若该用户身份没有任何风险,则对移动终端反馈认证成功信息具体包括:
(1)移动终端在身份认证请求信息中,添加认证节点到包含数据信息的标记语言文件中;所述认证节点中至少包括利用密钥对节点属性信息进行加密算法转换后获得的标记值;
(2)服务器接收到身份认证请求信息后,解析身份认证请求中的认证节点,通过密钥与标记值判断节点属性信息是否匹配,若匹配成功,确认身份合法,认证结束,将服务器的数据信息发送给移动终端。
7.如权利要求6所述的基于多因子认证的安全防护方法,其特征在于,所述节点属性信息包括请求名称和/或提交请求的时间戳。
8.一种计算机设备,其特征在于,所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行如权利要求1-7所述基于多因子认证的安全防护方法。
9.一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行如权利要求1-7所述基于多因子认证的安全防护方法。
10.一种基于多因子认证的安全防护设备,其特征在于,所述基于动态网络的防御终端用于实现如权利要求1-7所述的基于多因子认证的安全防护方法。
CN202210886319.3A 2022-07-26 2022-07-26 一种基于多因子认证的安全防护方法、设备及存储介质 Pending CN115333747A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210886319.3A CN115333747A (zh) 2022-07-26 2022-07-26 一种基于多因子认证的安全防护方法、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210886319.3A CN115333747A (zh) 2022-07-26 2022-07-26 一种基于多因子认证的安全防护方法、设备及存储介质

Publications (1)

Publication Number Publication Date
CN115333747A true CN115333747A (zh) 2022-11-11

Family

ID=83919929

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210886319.3A Pending CN115333747A (zh) 2022-07-26 2022-07-26 一种基于多因子认证的安全防护方法、设备及存储介质

Country Status (1)

Country Link
CN (1) CN115333747A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115604028A (zh) * 2022-11-28 2023-01-13 北京鸿迪鑫业科技有限公司(Cn) 一种云服务器数据安全保护系统
CN116170806A (zh) * 2022-12-07 2023-05-26 南京南瑞信息通信科技有限公司 一种智能电网lwm2m协议安全访问控制方法及系统
CN117371048A (zh) * 2023-12-08 2024-01-09 深圳市研盛芯控电子技术有限公司 远程访问的数据处理方法、装置、设备及存储介质

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115604028A (zh) * 2022-11-28 2023-01-13 北京鸿迪鑫业科技有限公司(Cn) 一种云服务器数据安全保护系统
CN116170806A (zh) * 2022-12-07 2023-05-26 南京南瑞信息通信科技有限公司 一种智能电网lwm2m协议安全访问控制方法及系统
CN117371048A (zh) * 2023-12-08 2024-01-09 深圳市研盛芯控电子技术有限公司 远程访问的数据处理方法、装置、设备及存储介质
CN117371048B (zh) * 2023-12-08 2024-03-29 深圳市研盛芯控电子技术有限公司 远程访问的数据处理方法、装置、设备及存储介质

Similar Documents

Publication Publication Date Title
Bojinov et al. Kamouflage: Loss-resistant password management
CN115333747A (zh) 一种基于多因子认证的安全防护方法、设备及存储介质
CN111431707B (zh) 业务数据信息处理方法、装置、设备以及可读存储介质
EP2572489B1 (en) System and method for protecting access to authentication systems
Yeh et al. Cryptanalysis of Hsiang‐Shih's authentication scheme for multi‐server architecture
Singh et al. A 3-level multifactor Authentication scheme for cloud computing
Bilal et al. Assessment of secure OpenID-based DAAA protocol for avoiding session hijacking in Web applications
Mihailescu et al. Brute-Force and Buffer Overflow Attacks
CN109145543B (zh) 一种身份认证方法
Mohammed et al. Current multi-factor of authentication: Approaches, requirements, attacks and challenges
Binu et al. A strong single sign-on user authentication scheme using mobile token without verifier table for cloud based services
Santosa et al. New design of lightweight authentication protocol in wearable technology
CN111046440B (zh) 一种安全区域内容的篡改验证方法及系统
Eldow et al. Literature review of authentication layer for public cloud computing: a meta-analysis
Subari et al. Implementation of Password Guessing Resistant Protocol (PGRP) in improving user login security on Academic Information System
Singh et al. Relevance of Multifactor Authentication for Secure Cloud Access
Kim et al. Multimedia image data processing on smartphone for authentication
Verbitskiy Node. js security
Channabasava et al. Dynamic password protocol for user authentication
Aldumiji et al. Fingerprint and location based multifactor authentication for mobile applications
Kumari et al. Hacking resistance protocol for securing passwords using personal device
Sail et al. A multi-factor authentication scheme to strength data-storage access
Mahansaria et al. Secure Authentication Using One Time Contextual QR Code
Bhatt et al. A Review on Authentication Techniques in Mobile Cloud Computing
Renuka et al. CLOUD SHIELD ARCHITECTURE: A PROPOSED MODEL FOR HIGH LEVEL AUTHENTICATION

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB03 Change of inventor or designer information
CB03 Change of inventor or designer information

Inventor after: Guo Yue

Inventor after: Huang Chao

Inventor after: Liang Yuan

Inventor after: Li Lei

Inventor after: Hu Yaodong

Inventor after: Deng Guoru

Inventor after: Zhuang Yan

Inventor after: Ke Wangsong

Inventor after: Xu Jie

Inventor after: Liao Rongtao

Inventor after: Dong Liang

Inventor after: Liu Fen

Inventor after: Wang Yixi

Inventor after: Li Xiang

Inventor before: Guo Yue

Inventor before: Huang Chao

Inventor before: Liang Yuan

Inventor before: Li Lei

Inventor before: Hu Yaodong

Inventor before: Zhuang Yan

Inventor before: Ke Wangsong

Inventor before: Xu Jie

Inventor before: Liao Rongtao

Inventor before: Dong Liang

Inventor before: Liu Fen

Inventor before: Wang Yixi

Inventor before: Li Xiang