一种多因素认证凭证生成及校验方法

本发明涉及信息安全，特别是涉及一种多因素认证凭证生成及校验方法。

背景技术：

1、随着国家不断推出各项信息安全法律，各企事业单位、政府机关对于业务系统的安全性要求日益提高，各监管机构也对其各自治下的单位或组织提出了更为具体的要求。其中，对财务系统、办公oa等业务系统的认证登录方式提出了至少两种认证方式的多因素认证要求。但原有业务系统在开发时并未过多考虑安全问题，绝大部分系统依然采用传统的用户名+口令的方式进行认证。

2、针对现有的业务系统一般均具有的单一认证方式存在的安全隐患，现有技术方案是通过改造业务系统源代码，增加一种用户认证方式，如：集成短信网关，由两种认证方式分别进行认证，全部通过后即算作通过。但这种方案改造每一个业务系统，都需要重新设计方案，需要在业务系统的源码基础上添加、修改代码，成本高昂，且通用性差；而业务系统改造后，凭证需要在每个业务中重新创建，繁琐麻烦；同时，孤立的两次认证方式需要通过一个中间凭证相关联，使得该认证系统更为复杂；而两次认证可能较长的间隔时间迫使认证系统需保持会话或长期保持中间凭证，使得认证系统容易被攻击。

技术实现思路

1、针对上述现有技术存在的技术问题，本发明提供了一种多因素认证凭证生成及校验方法，该方法能够避免对现有的认证系统进行改造，不需要对原业务系统的源码进行修改或内容添加，并能够接驳适应于多种业务系统，不需要在业务中重新创立新的凭证，也不需要多种凭证因素的重复验证，进一步地，多个认证因素之间不需要设立中间凭证进行关联，也不用保持回话或长期保持中间凭证。因此，相较于现有技术，该方法具有通用性好、成本低廉、架构简单、安全度高等优点。

2、为实现上述目的，本发明提供了一种多因素认证凭证生成及校验方法，该方法应用于业务客户端所在的pc端设置有多因素认证客户端，并在业务客户端和业务服务端之间设置有多因素认证服务端的业务系统；

3、包括步骤：

4、业务客户端将用户的身份凭证信息发送至多因素认证客户端；多因素认证客户端接收身份凭证信息并通过dh算法与多因素认证服务端协商生成临时密钥；

5、多因素认证服务端生成随机数，建立随机数与临时密钥的对应关系，并将使用临时密钥加密后的随机数发送至多因素认证客户端；

6、多因素认证客户端接收随机数后，采集pc端软件和/或硬件信息并生成设备指纹，再使用临时密钥加密身份凭证信息和设备指纹，并连同随机数封装为认证包经业务客户端发送至多因素认证服务端；

7、多因素认证服务端接收并打开该认证包，根据其中的随机数找到对应的临时密钥，解密身份凭证信息和设备指纹，并通过设备指纹比对确认当前pc与用户的对应关系；

8、设备指纹对比通过后，多因素认证服务端将身份凭证信息发送至业务服务端进行认证，当检测到认证通过的报文后放行用户。

9、可选地，业务客户端接收用户输入的身份凭证信息并发送至多因素认证客户端，之前还包括：多因素认证服务端接收用户通过业务客户端发送的登录请求并转发至业务服务端，业务服务端响应于所述请求，通过多因素认证服务端将登录页发送至业务客户端，用户通过登录页在业务客户端输入身份凭证信息；

10、相对应的，在业务系统的一些非登录场景中，例如需认证的高密级文件的下载过程中，多因素认证客户端可通过锁定执行文件下载的对象来获取该对象的身份凭证信息。

11、优选地，多因素认证客户端接收身份凭证信息并通过dh算法与多因素认证服务端协商生成临时密钥，包括：多因素认证客户端的多因素认证凭证封装接口接收身份凭证信息，向多因素认证服务端发起请求并通过dh算法协商生成临时密钥；

12、可选地，此处协商生成密钥可通过其他任一加密方法实现，如：md5加密、rsa加密等。

13、优选地，将使用临时密钥加密后的随机数发送至多因素认证客户端，之前还包括：多因素认证客户端向多因素认证服务端发送获取随机数的请求；

14、可选地，在生成随机数后，可通过多因素认证服务端主动将随机数发送至多因素认证客户端。

15、优选地，采集pc端硬件信息并生成设备指纹，包括：采集pc端的cpu序号、硬盘序列号、网卡mac地址、操作系统信息等软硬件的稳定特征信息中的至少一种，并根据该信息生成设备指纹。一般而言，对于一台固定的个人计算机而言，其cpu序号、硬盘序列号、网卡mac地址、操作系统信息等软件和/或硬件信息都是稳定的特征信息。

16、优选地，通过设备指纹比对确认当前pc与用户的对应关系，还包括：多因素认证服务端提前存储用户上报的设备指纹；

17、可选地，业务系统所属企事业单位可提前建立可存储由员工个人计算机软件和/或硬件信息生成的设备指纹的数据湖，多因素认证服务端与该数据湖连接，在设备指纹比对阶段，验证进行操作的计算机的设备指纹与数据湖中的设备指纹是否对应即可；此外，也可以通过建立设备指纹白名单完成相应验证。

18、优选地，当检测到认证通过的报文后放行用户，还包括：业务服务端接收并验证多因素认证服务端发送的身份凭证信息，并将验证结果生成报文返回至多因素认证服务端；

19、可选地，业务服务端可直接向多因素认证服务端返回包括是、非的单一指令。

20、优选地，当检测到认证通过的报文后放行用户，之后还包括：删除多因素认证服务端和多因素认证客户端上的随机数和临时密钥；

21、可选地，随机数和临时密钥可留存，作为历史登录数据存储在业务系统中。但删除随机数和临时密钥，可防止重放攻击。

22、可见，本发明提供的一种多因素认证凭证生成及校验方法能够避免对现有的认证系统进行改造，不需要对原业务系统的源码进行修改或内容添加，并能够接驳适应于多种业务系统，不需要在业务中重新创立新的凭证，也不需要多种凭证因素的重复验证，进一步地，多个认证因素之间不需要设立中间凭证进行关联，也不用保持回话或长期保持中间凭证。因此，相较于现有技术，该方法具有通用性好、成本低廉、架构简单、安全度高等优点。

技术特征：

1.一种多因素认证凭证生成及校验方法，其特征在于，应用于业务客户端所在的pc端设置有多因素认证客户端，并在业务客户端和业务服务端之间设置有多因素认证服务端的业务系统；

2.根据权利要求1所述的一种多因素认证凭证生成及校验方法，其特征在于，所述业务客户端接收用户输入的身份凭证信息并发送至多因素认证客户端，之前还包括：

3.根据权利要求1所述的一种多因素认证凭证生成及校验方法，其特征在于，所述多因素认证客户端接收身份凭证信息后，通过dh算法与多因素认证服务器协商生成临时密钥，包括：

4.根据权利要求1所述的一种多因素认证凭证生成及校验方法，其特征在于，所述将使用临时密钥加密后的随机数发送至多因素认证客户端，之前还包括：

5.根据权利要求1所述的一种多因素认证凭证生成及校验方法，其特征在于，所述采集pc端软硬件信息并生成设备指纹，包括：

6.根据权利要求1所述的一种多因素认证凭证生成及校验方法，其特征在于，所述通过设备指纹比对确认当前pc与用户的对应关系，还包括：

7.根据权利要求1所述的一种多因素认证凭证生成及校验方法，其特征在于，所述当检测到认证通过的报文后放行用户，还包括：

8.根据权利要求1所述的一种多因素认证凭证生成及校验方法，其特征在于，所述当检测到认证通过的报文后放行用户，之后还包括：

技术总结
本发明涉及信息安全技术领域，特别是涉及一种多因素认证凭证生成及校验方法，该方法应用于业务客户端所在的PC端设置有多因素认证客户端，并在业务客户端和业务服务端之间设置有多因素认证服务端的业务系统。在业务系统需认证的任务中，多因素认证客户端和多因素认证服务端通过DH加密算法协商生成临时密钥和与之对应的随机数。多因素认证客户端使用临时密钥加密用户的身份凭证信息和登录设备的设备指纹，并发送至多因素认证服务端进行认证。多因素认证服务端通过对比设备指纹对登录设备进行认证，并经由业务服务端认证身份凭证信息，若都通过认证，则放行该用户，并删除临时密钥和随机数。相较于现有技术，该方法具有通用性好、成本低廉、架构简单、安全度高等优点。

技术研发人员：方智阳,王俊峰,孙贺,李凡,邓彦杰,袁春旭
受保护的技术使用者：四川大学
技术研发日：
技术公布日：2024/1/15