[发明专利]一种AAA多因子安全增强认证方法

说明书

技术领域：

本发明涉及信息安全领域，尤其涉及一种AAA多因子安全增强认证方法。

背景技术：

AAA是一种用户入网认证的服务，在移动通信系统中，用户要访问网络资源，首先要进行入网认证，这样用户才能访问网络资源。鉴别的过程就是验证用户身份的合法性；鉴别完成后，才能对用户访问网络资源进行授权。AAA服务是一个能够处理用户访问请求的服务器程序，提供验证授权以及帐户服务，AAA服务器通常同网络访问控制、网关服务器、数据库以及用户信息目录等协同工作。

AAA一般采用客户机、服务器结构，客户端运行于网络接入设备上，服务器端则集中管理用户信息，当用户想要通过接入设备取得访问其他网络资源的权利时，客户端就会把用户的认证，授权信息传递给AAA服务器端；AAA是一种管理框架，提供了授权部分实体去访问特定资源，同时可以记录这些实体操作行为的一种安全机制，由于AAA实现了对用户信息的集中管理，因此被广泛的使用。

在实现本发明的过程中，发明人发现现有AAA认证的方法至少存在如下问题：1.用于身份验证的认证因子单一，目前AAA服务器提供的身份验证基本上都是基于单一认证因子的用户原始身份信息的验证，而将这些信息直接在网络上进行传输有很大的安全隐患，用户密码很容易被盗取，对这种认证方式攻击的办法有很多，包括信息窃听，截取，穷举、窥探等，安全漏洞显而易见；2、AAA服务器认证对认证参数的长度和参数的数量一般都有明确的限制，因此对于安全性要求较高的多因子认证适应不足；3、一旦认证因子绑定了用户设备的设备号，当用户终端设备发生改变时，需要在AAA服务器端对该用户进行从新注册，增加了系统管理员的工作量，操作繁琐，使用不便，同时也无法将用户的历史数据进行保存，不方便今后的查看和使用。

发明内容：

本发明实施例提供一种AAA多因子安全增强认证方法，通过增强AAA认证因子提升访问的安全性，并采用多用户名关联的方式增加了用户使用的灵活性，同时保留了业务历史数据，方便今后的查看与使用。

根据本发明第一方面的一种AAA多因子安全增强认证方法，用于示证用户在AAA服务器进行身份的安全增强认证，其一种AAA多因子安全增强认证方法的特征在于，包括：

（参看图5一种AAA多因子安全增强认证方法流程图）

生成系统认证信息步骤，在该步骤中，根据示证用户在AAA服务器上的注册信息生成示证用户的系统身份识别码和系统密码，作为AAA服务器认证的用户名和密码；

多用户名关联授权步骤，在该步骤中，将系统身份识别码关联到示证用户方便记住的其他身份识别信息，作为第二身份识别码、第N个身份识别码，N大于等于2；

安全增强认证步骤，在该步骤中，示证用户在本地采集生成系统密码的原始因子，采用与AAA服务器同样的算法生成系统密码，生成的系统密码与任意一个被授权的用户名提交到AAA服务器进行认证。

根据本发明第二方面的一种AAA多因子安全增强认证方法，其特征在于，所述的生成系统认证信息步骤包括：在AAA服务器上注册示证用户原始因子，所述的原始因子是与示证用户或与示证用户接入设备相关的属性信息，AAA服务器将原始因子保存在本地并通过一定的特殊算法生成系统认证信息，系统认证信息包括系统身份识别码和系统密码，可分别直接作为AAA服务器认证的用户名和密码；

根据本发明第三方面的生成系统认证信息步骤，其特征在于，系统认证信息中的系统身份识别码和系统密码，可选取示证用户不同的原始因子通过一定特殊算法生成，且生成身份识别码和系统密码的原始因子不少于2个，系统身份识别码和系统密码要匹配使用；

根据本发明第四方面的生成系统认证信息步骤，其特征在于所述的生成系统认证信息的算法具有数据压缩效果，即系统身份识别码和系统密码的长度短于原始因子的总长度；所选算法优选哈希算法，在哈希算法中优选使用MD5、SHA等；系统身份识别码和系统密码优选为固定长度，长度优选为32位、64位、128位等2的幂次方；