申请/专利权人：中国电子科技集团公司第五十四研究所

申请日：2023-12-19

公开（公告）日：2024-03-22

公开（公告）号：CN117749475A

主分类号：H04L9/40

分类号：H04L9/40;H04L9/32;H04L9/08

优先权：

专利状态码：在审-实质审查的生效

法律状态：2024.04.09#实质审查的生效;2024.03.22#公开

摘要：本发明属于信息安全领域，公开了一种基于标识密码的多因素持续验证系统，主要解决现有技术安全性不足和资源开销较大的问题。该系统包括标识密码生成服务器、持续认证服务器和持续认证客户端；标识密码生成服务器完成系统密码参数的初始化，接受持续认证服务器和持续认证客户端的密钥生成请求并为其生成密钥；持续认证服务器接受用户的认证协商请求，完成对持续认证属性的确认，并基于该属性完成对持续认证客户端的持续认证；持续认证客户端向持续认证服务器认证协商请求，完成认证协商并确定持续认证属性，并基于持续认证属性完成对用户的身份认证。本发明能够提升持续认证协议的安全性并降低资源开销，能够用于资源访问系统的安全防护。

主权项：1.一种基于标识密码的多因素持续验证系统，其特征在于，包括标识密码生成服务器、持续认证服务器和持续认证客户端；标识密码生成服务器包括：密码参数生成子模块，用于接收系统管理员设定的系统安全参数，并选定标识密码算法标准，根据系统安全参数和标识密码算法标准的要求生成标识密码系统公共参数，将标识密码系统公共参数发送给密钥生成子模块，并将标识密码系统公共参数中的公开部分发送给系统中的持续认证服务器和持续认证客户端；密钥生成子模块，用于接收持续认证服务器或持续认证客户端发送来的标识私钥生成请求和标识ID，根据标识密码系统公共参数和标识密码算法标准生成标识ID所对应的标识密码私钥，并将标识密码私钥返回给请求方；持续认证服务器包括：初始化子模块，用于初始化持续认证服务器的参数，包括设定持续认证的频率、持续认证服务器的标识IDs和支持的认证属性列表，并将初始化参数发送至各持续认证客户端；还用于根据业务资源的安全防护需求设定安全防护规则，并将安全防护规则发送给持续认证数据验证子模块和各持续认证客户端；以及获取持续认证服务器所支持的特征属性列表，根据特征信息的安全程度将获取的特性信息进行分类，并将分类后的特征信息发送给各持续认证客户端；还用于将持续认证服务器标识IDs发送至标识密码生成服务器并发起标识私钥生成请求，以及接收标识密码生成服务器返回的标识密码私钥SKS，并将标识密码私钥发送至持续认证数据验证子模块；持续认证数据验证子模块，用于接收持续认证客户端的持续认证属性协商请求和其选择的持续认证属性，根据业务资源的安全防护需求设定安全防护规则对持续认证属性的合规性进行判断，并向持续认证客户端返回持续认证属性协商结果；还用于根据持续认证属性列表各个维度的属性是否是固定的数值将持续认证属性列表中的属性分为数值固定属性集和数值可变属性集合，根据数值固定属性集和持续认证客户端的标识IDc，生成持续认证客户端本次业务访问的持续认证身份标识IDac，并将持续认证身份标识IDac发送至持续认证客户端，然后为可变属性集中的各个属性设置阈值：{Tb1，Tb2，…，Tbβ}，并将设置的阈值发送给属性合规性判别子模块；还用于将持续认证客户端的持续认证标识IDac发送至服务器密码服务子模块并发起标识公钥计算请求，以及接收服务器密码服务子模块返回的持续认证客户端的持续认证标识公钥PKac；并接收持续认证客户端发起的持续认证请求、持续认证属性密文和持续认证属性签名数据，将持续认证属性密文和持续认证服务器标识私钥SKs发送至服务器密码服务子模块并发起数据解密请求，以获取对应的持续认证属性明文，将持续认证属性明文、持续认证属性签名数据和持续认证客户端的持续认证标识公钥PKac发送至服务器密码服务子模块并发起签名验证请求请求，以获取签名验证结果；以及将持续认证属性发送至属性合规性判别子模块，并发起属性合规性判别请求，根据判别结果向持续认证客户端返回持续认证结果；属性合规性判别子模块，用于判断持续认证客户端的持续认证属性是否合规，并接受持续认证数据验证子模块发送来的持续认证属性，按照系统设定的规则和持续认证数据验证子模块设定的可变属性集阈值{Tb1，Tb2，…，Tbβ}对持续认证属性中的各个属性的合规性进行判断，并返回判别结果；服务器密码服务子模块，用于根据持续认证数据验证子模块输入的持续认证标识ID计算标识ID对应的标识公钥，并完成持续认证过程中的解密和验签操作；并接收持续认证数据验证子模块的标识公钥计算请求和输入的持续认证客户端的持续认证标识ID，根据标识密码系统公共参数公开部分和标识密码算法标准计算持续认证客户端的持续认证标识公钥PKac，将持续认证客户端的持续认证公钥PKac返回给持续认证数据验证子模块；并接收持续认证数据验证子模块发起的数据解密请求以及输入的持续认证属性密文和持续认证服务器标识私钥SKS，根据标识密码算法标准和持续认证服务器标识私钥SKS计算出持续认证属性明文，将持续认证属性明文返回给持续认证数据验证子模块；并接收持续认证数据验证子模块发起的数据签名验证请求以及输入的持续认证属性明文和持续认证客户端的持续认证标识公钥PKac，根据标识密码算法标准和持续认证客户端的持续认证标识公钥PKac验证持续认证属性的签名，向持续认证数据验证子模块返回签名验证结果；持续认证客户端包括：持续认证数据生成子模块，用于根据持续认证服务器设定的持续认证频率周期性的生成持续认证数据，并发送至持续认证服务器；以及将持续认证服务器的标识ID发送至客户端密码服务子模块并发起标识公钥计算请求，并接收客户端密码服务子模块返回的持续认证服务器标识公钥PKS；还用于获取当前持续认证客户端所支持的认证属性，根据服务器所支持的特征属性列表和安全防护等级需求规则，生成其访问业务资源的持续认证属性列表将持续认证属性列表发送至持续认证服务器，并发起持续认证属性协商请求；还用于将持续认证客户端的持续认证标识ID发送至标识密码生成服务器并发起标识私钥生成请求，以及接收标识密码生成服务器返回的持续认证客户端的持续认证标识私钥SKac；以及根据持续认证服务器设定的持续认证频率，周期性的向信息采集子模块发送信息采集请求，并接受信息采集子模块返回的持续认证属性；并将持续认证服务器标识公钥PKS和持续认证属性发送至客户端密码服务子模块并向客户端密码服务子模块发起数据加密请求，以及接收客户端密码服务子模块返回的持续认证属性密文；还用于将持续认证客户端的认证标识私钥SKac和持续认证属性发送至客户端密码服务子模块，并向客户端密码服务子模块发起数据签名请求，以及接收客户端密码服务子模块返回的持续认证属性签名；还用于将接收到的持续认证属性密文和持续认证属性签名数据发送至持续认证服务器，并向持续认证服务器发起持续认证请求；客户端密码服务子模块，用于接收持续认证数据生成子模块的标识公钥计算请求和输入的持续认证服务器标识ID，根据标识密码公共参数的公共部分和标识密码算法标准计算出持续认证服务器标识公钥PKS，将持续认证服务器标识公钥PKS返回给持续认证数据生成子模块；并接收持续认证数据生成子模块发起的数据加密请求以及输入的持续认证属性和持续认证服务器标识公钥PKS，根据标识密码算法标准和持续认证服务器标识公钥PKS计算出持续认证属性密文，并将持续认证属性密文返回给持续认证数据生成子模块；还用于接收持续认证数据生成子模块发起的数据签名请求和输入持续认证属性持续认证客户端的认证标识私钥SKac，根据标识密码算法标准和持续认证客户端的认证标识私钥SKac计算持续认证属性的签名，并向持续认证数据生成子模块返回持续认证属性的签名；信息采集子模块，用于接收持续认证数据生成子模块发起的持续认证属性信息采集请求，调用本地的传感器按照信息请求的要求采集对应的属性值，并将采集到持续认证属性返回给持续认证数据生成子模块。

全文数据：

权利要求：

百度查询： 中国电子科技集团公司第五十四研究所 一种基于标识密码的多因素持续验证系统

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD