技术特征:
1.一种针对数据库用户身份验证的双因素认证方法,其步骤包括:初始化阶段:为服务器s生成公私钥对(k
s
,k
s
);注册阶段:客户端c与智能手机d和服务器s通信,将用户u输入的口令pw转换为随机口令rw;智能手机d生成并存储该转换所需的秘密s
d
,服务器s生成并存储该转换所需的秘密s
s
;客户端c为用户u生成公私钥对(k
u
,k
u
),用rw加密用户u的私钥k
u
和服务器s的公钥k
s
,生成密文c;客户端c将用户u的公钥k
u
发送给服务器s,将密文c发送给智能手机d;认证阶段:用户u在客户端输入口令pw,通过该客户端向智能手机d发送连接请求;智能手机d与该客户端之间进行认证通过后,该客户端将用户u输入的口令pw转换为随机口令rw,然后用rw解密密文c获得用户u的私钥k
u
和服务器s的公钥k
s
;该客户端选择随机数r1,用公钥k
s
加密用户u的身份信息和随机数r1,得到并将其发送给服务器s;服务器s用私钥k
s
对收到的解密获得r1和该身份信息;服务器s验证该身份信息是否是注册过的用户,如果不是,则拒绝该用户u的访问请求;如果是注册过的用户,则服务器s选择随机数r2并用该用户u的公钥k
u
加密r1、r2和服务器s的身份信息,得到并将其发送给该客户端c;该客户端c用私钥k
u
对解密得到随机数r1、r2和服务器s的身份信息;用户u通过该客户端c验证r1以及服务器s的身份标识是否正确,如果其中一项不正确,则用户u将终止登录;否则,该用户u用服务器s的公钥k
s
加密随机数r2,得到并将其发送给服务器s;服务器s用私钥k
s
对解密后获得r2并验证r2的正确性,如果验证通过,则同意用户u的访问请求,并在该客户端c与服务器s之间建立临时会话密钥sk;否则服务器s终止连接服务。2.如权利要求1所述的方法,其特征在于,注册阶段,客户端c将用户u输入的口令pw转换为随机口令rw的方法为:客户端c根据用户u输入的口令pw和生成的随机数ρ计算得到α,然后将α分别发送给智能手机d和服务器s;智能手机d根据α、s
d
计算得到β1并将其发送给用户u所登录的客户端c,服务器s根据α、s
s
计算得到β2将其与公钥k
s
发送给用户u所登录的客户端c;客户端c根据β1、β2和口令pw计算得到rw。3.如权利要求2所述的方法,其特征在于,α=(h(pw))
ρ
;h()为哈希函数。4.如权利要求3所述的方法,其特征在于,5.如权利要求1所述的方法,其特征在于,认证阶段,该客户端c将用户u输入的口令pw转换为随机口令rw的方法为:该客户端c根据口令pw和随机数ρ
′
计算得到α
′
并将其分别发送给智能手机d和服务器s;然后智能手机d根据α
′
、s
d
计算得到β1′
并将其与密文c发送给该客户端c,服务器s根据α
′
、s
s
计算得到β2′
将其发送给该客户端c;该客户端c根据β1′
、β2′
和ρ
′
计算得到rw。6.如权利要求5所述的方法,其特征在于,α
′
=(h(pw))
ρ
′
,h()为哈希函数。7.如权利要求1所述的方法,其特征在于,认证阶段,智能手机d与该客户端c之间进行
认证的方法为:智能手机d收到该连接请求后,用户u在智能手机d上单击确认按钮。8.如权利要求1所述的方法,其特征在于,认证阶段,智能手机d与该客户端c之间进行认证的方法为:智能手机d收到该连接请求后,在该智能手机d上显示pin码,用户在客户端c上输入该pin码。9.如权利要求1所述的方法,其特征在于,认证阶段,智能手机d与该客户端c之间进行认证的方法为:客户端c上生成并显示二维码,用户u通过该智能手机d扫描该二维码并确认连接操作。
技术总结
本发明公开了一种针对数据库用户身份验证的双因素认证方法,其步骤包括:1)初始化阶段:服务器S生成并存储公私钥对(k
技术研发人员:王平 李文婷 程海波
受保护的技术使用者:北京大学
技术研发日:2020.12.25
技术公布日:2021/10/7