一种基于多因子认证的安全防护方法、设备及存储介质与流程

1.本发明属于安全防护技术领域，尤其涉及一种基于多因子认证的安全防护方法、设备及存储介质。


背景技术：

2.在边缘计算网络终端域，为支持“人”与“物”、以及“物”与“物”的互联，大量的实时控制设备、状态监测设备和信息采集设备以及用户设备得以广泛应用。边缘计算终端汇聚接入的物联网感知设备种类繁多、异构多样且动态变化，对其进行分布式授权认证和行为控制存在较大难度。因此，恶意感知设备的接入，提高了感知设备节点以边缘计算终端为跳板的渗透攻击风险。同时，与传统的网络设备一样，边缘计算终端固件和系统同样存在一些难以被发掘的漏洞，这些漏洞一旦被黑客利用可能产生非常严重的后果。此外，边缘计算终端部署在非可控的边缘侧环境中，很容易被攻击者仿冒伪造，从而对边缘计算网络实施网络渗透攻击，导致数据泄露、系统瘫痪等网络与信息安全事件。
3.通过上述分析，现有技术存在的问题及缺陷为：
4.边缘计算终端汇聚接入的物联网感知设备种类繁多、异构多样且动态变化，对其进行分布式授权认证和行为控制存在较大难度。


技术实现要素：

5.针对现有技术存在的问题，本发明提供了一种基于多因子认证的安全防护方法、设备及存储介质。
6.本发明是这样实现的，一种基于多因子认证的安全防护方法，其特征在于，该方法具体包括：
7.s1：用户通过离线注册和本地注册完成用户注册；
8.s2：当用户通过移动终端发送身份认证请求时，服务器收到用户移动终端发来的身份认证请求信息时，服务器基于所述身份认证请求信息向身份认证平台发送认证请求；
9.s3：身份认证平台收到认证请求，调用多个认证因子，对用户进行身份认证；
10.s4：服务器基于所述身份认证请求信息对接口访问属性和账号风险进行综合评估当前用户身份，若该用户身份没有任何风险，则对移动终端反馈认证成功信息。
11.进一步，所述离线注册具体为：
12.s11、用户在移动终端输入用户名、口令、手机号码和共享哈希函数；
13.s12、移动终端将用户名、口令、手机号码和共享哈希函数发送至服务器，服务器转发至身份认证平台；
14.s13、身份认证平台接收到后，建立身份认证平台用户信息表，利用共享哈希函数对口令进行运算，生成第一口令哈希值，将用户名、第一口令哈希值、手机号码和共享哈希函数保存为身份认证平台用户信息表的表项，以用户名为索引。所述对口令进行运算包括：
15.如果选择的用户信息表是三种，设为μ1，μ2，μ3，口令长度是λ；则首先生成一个1到
λ的随机数λ1，设定λ1位置的字符属于用户信息表μ1；接着生成一个1到λ的随机数λ2，其中，λ2≠λ1，设定λ2位置的字符属于用户信息表μ2；随后生成接着生成一个1到λ的随机数λ3，λ3≠λ2，λ3≠λ1，设定λ3位置的字符属于用户信息表μ3；最后针对其他的λ-3个字符位，系统对于每一个字符位都从μ1，μ2，μ3中随机选择一种，作为该字符位的字符类型；
16.如果选择的用户信息表是四种，设为μ1，μ2，μ3，μ4，口令长度是λ；则首先生成一个1到λ的随机数λ1，设定λ1位置的字符属于用户信息表μ1；接着生成一个1到λ的随机数λ2，λ2≠λ1，设定λ2位置的字符属于用户信息表μ2；然后生成接着生成一个1到λ的随机数λ3，λ3≠λ2，λ3≠λ1，设定λ3位置的字符属于用户信息表μ3；随后生成一个1到λ的随机数λ4，λ4≠λ3，λ4≠λ2，λ4≠λ1，设定λ4位置的字符属于用户信息表μ4；最后针对其他的λ-4个字符位，系统对于每一个字符位都从μ1，μ2，μ3，μ4中随机选择一种，作为该字符位的字符类型；
17.对口令中的每一个字符位，生成一个5位二进制的随机数x，并随机构造一个gf(2)5上的非线性正形置换p，将该正形置换作用于所述随机数，得到p(x)5位二进制的数字；其中，gf(2)5表示二元伽罗瓦域的五维向量空间；
18.根据每一个字符位的字符类型，将p(x)5位二进制的数字转换为对应字符类型的字符,得到所生成的口令；包括如下四种情况：
19.如果该字符位的类型是阿拉伯数字，则将该5位二进制的数字模上10，所得余数对应的字符就为所求；
20.如果该字符位的类型是大写字母，则将该5位二进制的数字模上26，所得余数就是所求字符在大写字母集中相距第一个大写字母
‘
a’的距离,将该字符作为所求字符；
21.如果该字符位的类型是小写字母，则将该5位二进制的数字模上26，所得余数就是所求字符在小写字母集中相距第一个小写字母
‘
a’的距离，将该字符作为所求字符；
22.如果该字符位的类型是其他特殊字母，则这个5位二进制的数字就表示所求字符在其他特殊字母集中相距第一个特殊字母
‘
～’的距离，将该字符作为所求字符。
23.进一步，所述本地注册具体为：
24.s14、移动终端发送指纹请求给服务器，服务器发送认证请求给身份认证平台；
25.s15、身份认证平台接收到认证请求后，若身份认证平台中已有用户指纹，则执行步骤s16，否则身份认证平台触发指纹传感器提醒用户录入第一指纹信息，用户录入成功后，执行步骤s16；
26.s16、身份认证平台利用共享哈希函数，生成第一指纹信息哈希值，并保存在身份认证平台中，将该第一指纹信息哈希值添加进身份认证平台用户信息表。
27.进一步，所述认证因子具体包括口令、指纹信息和动态验证码。
28.进一步，所述s3身份认证平台收到认证请求，调用多个认证因子，对用户进行身份认证具体包括：
29.当身份认证平台收到服务器发送的用户名和口令时，根据用户名查询身份认证平台用户信息表，得到第一口令哈希值，并利用共享哈希函数对接收到的口令进行哈希运算，得到第二口令哈希值；比较第一口令哈希值和第二口令哈希值是否相等，若是，则将结果置为成功，否则，置为失败；
30.当身份认证平台收到服务器发送的用户名和指纹信息时，根据用户名查询移动终端用户信息表，得到第一指纹信息哈希值，并利用共享哈希函数对第一指纹信息进行哈希
运算，得到第二指纹信息哈希值；比对第一指纹信息哈希值和第二指纹信息哈希值是否相等，若是，则将结果置为成功，否则，置为失败。
31.进一步，所述步骤s4服务器基于所述身份认证请求信息对接口访问属性和账号风险进行综合评估当前用户身份，若该用户身份没有任何风险，则对移动终端反馈认证成功信息具体包括：
32.(1)移动终端在身份认证请求信息中，添加认证节点到包含数据信息的标记语言文件中；所述认证节点中至少包括利用密钥对节点属性信息进行加密算法转换后获得的标记值；
33.(2)服务器接收到身份认证请求信息后，解析身份认证请求中的认证节点，通过密钥与标记值判断节点属性信息是否匹配，若匹配成功，确认身份合法，认证结束，将服务器的数据信息发送给移动终端。
34.进一步，所述节点属性信息包括请求名称和/或提交请求的时间戳。
35.本发明另一目的在于提供一种计算机设备，所述计算机设备包括存储器和处理器，所述存储器存储有计算机程序，所述计算机程序被所述处理器执行时，使得所述处理器执行所述基于多因子认证的安全防护方法。
36.本发明另一目的在于提供一种计算机可读存储介质，存储有计算机程序，所述计算机程序被处理器执行时，使得所述处理器执行所述基于多因子认证的安全防护方法。
37.本发明另一目的在于提供一种基于多因子认证的安全防护设备，所述基于动态网络的防御终端用于实现所述的基于多因子认证的安全防护方法。
38.结合上述的技术方案和解决的技术问题，请从以下几方面分析本发明所要保护的技术方案所具备的优点及积极效果为：
39.第一、针对上述现有技术存在的技术问题以及解决该问题的难度，紧密结合本发明的所要保护的技术方案以及研发过程中结果和数据等，详细、深刻地分析本发明技术方案如何解决的技术问题，解决问题之后带来的一些具备创造性的技术效果。具体描述如下：
40.本发明使用基于多因子认证动态授权的安全防护技术，通过身份认证平台调用多个认证因子，对用户进行身份认证，来实现身份可信，对接口访问属性和账号风险等因素进行综合评估当前用户身份，来兼顾安全与效率。
41.第二，把技术方案看做一个整体或者从产品的角度，本发明所要保护的技术方案具备的技术效果和优点，具体描述如下：
42.本发明构建以身份为中心的信任安全基石，保障用户不间断稳定运行，解决了边缘计算终端汇聚接入的物联网感知设备种类繁多、异构多样且动态变化，对其进行分布式授权认证和行为控制存在较大难度的问题。
43.本发明所述对口令进行运算包括：
44.如果选择的用户信息表是三种，设为μ1，μ2，μ3，口令长度是λ；则首先生成一个1到λ的随机数λ1，设定λ1位置的字符属于用户信息表μ1；接着生成一个1到λ的随机数λ2，其中，λ2≠λ1，设定λ2位置的字符属于用户信息表μ2；随后生成接着生成一个1到λ的随机数λ3，λ3≠λ2，λ3≠λ1，设定λ3位置的字符属于用户信息表μ3；最后针对其他的λ-3个字符位，系统对于每一个字符位都从μ1，μ2，μ3中随机选择一种，作为该字符位的字符类型；
45.如果选择的用户信息表是四种，设为μ1，μ2，μ3，μ4，口令长度是λ；则首先生成一个
1到λ的随机数λ1，设定λ1位置的字符属于用户信息表μ1；接着生成一个1到λ的随机数λ2，λ2≠λ1，设定λ2位置的字符属于用户信息表μ2；然后生成接着生成一个1到λ的随机数λ3，λ3≠λ2，λ3≠λ1，设定λ3位置的字符属于用户信息表μ3；随后生成一个1到λ的随机数λ4，λ4≠λ3，λ4≠λ2，λ4≠λ1，设定λ4位置的字符属于用户信息表μ4；最后针对其他的λ-4个字符位，系统对于每一个字符位都从μ1，μ2，μ3，μ4中随机选择一种，作为该字符位的字符类型。获得口令数据准确。
附图说明
46.图1是本发明实施例提供的一种基于多因子认证的安全防护方法流程图；
47.图2是本发明实施例提供的离线注册方法流程图；
48.图3是本发明实施例提供的本地注册方法流程图。
具体实施方式
49.为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
50.一、解释说明实施例。为了使本领域技术人员充分了解本发明如何具体实现，该部分是对权利要求技术方案进行展开说明的解释说明实施例。
51.如附图1所示，一种基于多因子认证的安全防护方法，其特征在于，该方法具体包括：
52.s1：用户通过离线注册和本地注册完成用户注册；
53.s2：当用户通过移动终端发送身份认证请求时，服务器收到用户移动终端发来的身份认证请求信息时，服务器基于所述身份认证请求信息向身份认证平台发送认证请求；
54.s3：身份认证平台收到认证请求，调用多个认证因子，对用户进行身份认证；
55.s4：服务器基于所述身份认证请求信息对接口访问属性和账号风险进行综合评估当前用户身份，若该用户身份没有任何风险，则对移动终端反馈认证成功信息。
56.所述离线注册具体为：
57.s11、用户在移动终端输入用户名、口令、手机号码和共享哈希函数；
58.s12、移动终端将用户名、口令、手机号码和共享哈希函数发送至服务器，服务器转发至身份认证平台；
59.s13、身份认证平台接收到后，建立身份认证平台用户信息表，利用共享哈希函数对口令进行运算，生成第一口令哈希值，将用户名、第一口令哈希值、手机号码和共享哈希函数保存为身份认证平台用户信息表的表项，以用户名为索引。所述对口令进行运算包括：
60.如果选择的用户信息表是三种，设为μ1，μ2，μ3，口令长度是λ；则首先生成一个1到λ的随机数λ1，设定λ1位置的字符属于用户信息表μ1；接着生成一个1到λ的随机数λ2，其中，λ2≠λ1，设定λ2位置的字符属于用户信息表μ2；随后生成接着生成一个1到λ的随机数λ3，λ3≠λ2，λ3≠λ1，设定λ3位置的字符属于用户信息表μ3；最后针对其他的λ-3个字符位，系统对于每一个字符位都从μ1，μ2，μ3中随机选择一种，作为该字符位的字符类型；
61.如果选择的用户信息表是四种，设为μ1，μ2，μ3，μ4，口令长度是λ；则首先生成一个
1到λ的随机数λ1，设定λ1位置的字符属于用户信息表μ1；接着生成一个1到λ的随机数λ2，λ2≠λ1，设定λ2位置的字符属于用户信息表μ2；然后生成接着生成一个1到λ的随机数λ3，λ3≠λ2，λ3≠λ1，设定λ3位置的字符属于用户信息表μ3；随后生成一个1到λ的随机数λ4，λ4≠λ3，λ4≠λ2，λ4≠λ1，设定λ4位置的字符属于用户信息表μ4；最后针对其他的λ-4个字符位，系统对于每一个字符位都从μ1，μ2，μ3，μ4中随机选择一种，作为该字符位的字符类型；
62.对口令中的每一个字符位，生成一个5位二进制的随机数x，并随机构造一个gf(2)5上的非线性正形置换p，将该正形置换作用于所述随机数，得到p(x)5位二进制的数字；其中，gf(2)5表示二元伽罗瓦域的五维向量空间；
63.根据每一个字符位的字符类型，将p(x)5位二进制的数字转换为对应字符类型的字符,得到所生成的口令；包括如下四种情况：
64.如果该字符位的类型是阿拉伯数字，则将该5位二进制的数字模上10，所得余数对应的字符就为所求；
65.如果该字符位的类型是大写字母，则将该5位二进制的数字模上26，所得余数就是所求字符在大写字母集中相距第一个大写字母
‘
a’的距离,将该字符作为所求字符；
66.如果该字符位的类型是小写字母，则将该5位二进制的数字模上26，所得余数就是所求字符在小写字母集中相距第一个小写字母
‘
a’的距离，将该字符作为所求字符；
67.如果该字符位的类型是其他特殊字母，则这个5位二进制的数字就表示所求字符在其他特殊字母集中相距第一个特殊字母
‘
～’的距离，将该字符作为所求字符。
68.所述本地注册具体为：
69.s14、移动终端发送指纹请求给服务器，服务器发送认证请求给身份认证平台；
70.s15、身份认证平台接收到认证请求后，若身份认证平台中已有用户指纹，则执行步骤s16，否则身份认证平台触发指纹传感器提醒用户录入第一指纹信息，用户录入成功后，执行步骤s16；
71.s16、身份认证平台利用共享哈希函数，生成第一指纹信息哈希值，并保存在身份认证平台中，将该第一指纹信息哈希值添加进身份认证平台用户信息表。
72.所述认证因子具体包括口令、指纹信息和动态验证码。
73.所述s3身份认证平台收到认证请求，调用多个认证因子，对用户进行身份认证具体包括：
74.当身份认证平台收到服务器发送的用户名和口令时，根据用户名查询身份认证平台用户信息表，得到第一口令哈希值，并利用共享哈希函数对接收到的口令进行哈希运算，得到第二口令哈希值；比较第一口令哈希值和第二口令哈希值是否相等，若是，则将结果置为成功，否则，置为失败；
75.当身份认证平台收到服务器发送的用户名和指纹信息时，根据用户名查询移动终端用户信息表，得到第一指纹信息哈希值，并利用共享哈希函数对第一指纹信息进行哈希运算，得到第二指纹信息哈希值；比对第一指纹信息哈希值和第二指纹信息哈希值是否相等，若是，则将结果置为成功，否则，置为失败。
76.所述步骤s4服务器基于所述身份认证请求信息对接口访问属性和账号风险进行综合评估当前用户身份，若该用户身份没有任何风险，则对移动终端反馈认证成功信息具体包括：
77.(1)移动终端在身份认证请求信息中，添加认证节点到包含数据信息的标记语言文件中；所述认证节点中至少包括利用密钥对节点属性信息进行加密算法转换后获得的标记值；
78.(2)服务器接收到身份认证请求信息后，解析身份认证请求中的认证节点，通过密钥与标记值判断节点属性信息是否匹配，若匹配成功，确认身份合法，认证结束，将服务器的数据信息发送给移动终端。
79.所述节点属性信息包括请求名称和/或提交请求的时间戳。
80.二、应用实施例。为了证明本发明的技术方案的创造性和技术价值，该部分是对权利要求技术方案进行具体产品上或相关技术上的应用实施例。
81.本发明将基于多因子认证的安全防护方法应用于一种计算机设备，所述计算机设备包括存储器和处理器，所述存储器存储有计算机程序，所述计算机程序被所述处理器执行时，使得所述处理器执行所述基于多因子认证的安全防护方法。
82.本发明将基于多因子认证的安全防护方法应用于一种计算机可读存储介质，存储有计算机程序，所述计算机程序被处理器执行时，使得所述处理器执行所述基于多因子认证的安全防护方法。
83.本发明基于多因子认证的安全防护方法应用于一种基于多因子认证的安全防护设备，所述虚拟信息的网络伪装设备用于实现所述基于多因子认证的安全防护方法。
84.应当注意，本发明的实施方式可以通过硬件、软件或者软件和硬件的结合来实现。硬件部分可以利用专用逻辑来实现；软件部分可以存储在存储器中，由适当的指令执行系统，例如微处理器或者专用设计硬件来执行。本领域的普通技术人员可以理解上述的设备和方法可以使用计算机可执行指令和/或包含在处理器控制代码中来实现，例如在诸如磁盘、cd或dvd-rom的载体介质、诸如只读存储器(固件)的可编程的存储器或者诸如光学或电子信号载体的数据载体上提供了这样的代码。本发明的设备及其模块可以由诸如超大规模集成电路或门阵列、诸如逻辑芯片、晶体管等的半导体、或者诸如现场可编程门阵列、可编程逻辑设备等的可编程硬件设备的硬件电路实现，也可以用由各种类型的处理器执行的软件实现，也可以由上述硬件电路和软件的结合例如固件来实现。
85.以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，都应涵盖在本发明的保护范围之内。