[发明专利]一种身份认证方法及装置

说明书

本发明公开了一种身份认证方法及装置，方法应用于身份认证系统的服务端，包括根据身份注册请求中的用户身份信息和设备身份信息以及反映设备运行状态的设备完整性信息等进行身份注册，通过身份注册将设备和用户进行绑定，生成认证证书；在有系统接入请求时，通过对用户和设备身份以及设备运行状态信息进行认证，实现多层级的身份认证，进一步依据对身份和设备状态的综合认证情况，制定多层次和多组合的访问控制策略，有效提高了网络系统的安全性，本发明的身份认证方法，基于多因子技术认证用户身份，基于可信计算认证设备身份以及设备完整性，实现了一种零信任的身份认证系统，有效提高了网络系统的安全性。

技术领域

本发明涉及计算机技术领域，尤其涉及一种身份认证方法及装置。

背景技术

随着信息技术的发展，云计算、移动互联网、BYOD(Bring Your Own Device，携带自己的设备办公)等新兴应用和移动办公方式的普及，网络内外部之间的界限变得模糊，现有的以边界为中心的网络安全架构中，假设内部网络可以信任，仅基于用户身份信息进行身份认证，此种方法因为仅确认了用户身份没有对设备的安全性进行认证，一旦受信任用户的身份被恶意用户盗用或冒用，或者用户所使用设备存在安全隐患，将直接影响到内部网络资源的安全，造成信息泄露等损失，存在极大的安全风险问题。

发明内容

为了解决上述技术问题，本发明提供了一种身份认证方法及装置，解决了现有身份认证方法中仅针对用户身份进行身份认证所导致的安全风险较大的问题。

依据本发明的一个方面，提供了一种身份认证方法，应用于身份认证系统的服务端，包括：

接收代理客户端发送的身份注册请求；所述身份注册请求中包括：通过所述代理客户端获取的用户身份信息、设备身份信息和设备完整性信息；

根据所述用户身份信息和所述设备身份信息，生成认证证书，并发送给所述代理客户端；

接收所述代理客户端在获取到所述认证证书后发送的第一认证信息；

其中，所述第一认证信息包括：所述设备身份信息、所述用户身份信息、所述认证证书以及所述设备完整性信息；

根据所述用户身份信息、所述设备身份信息和所述认证证书，认证身份信息，并生成第一认证结果；以及根据所述设备完整性信息，认证设备的可信状态，并生成第二认证结果。

可选的，根据所述用户身份信息和所述设备身份信息，生成认证证书之前，还包括：

根据身份注册请求，验证用户身份和设备身份；

在用户身份和设备身份验证通过后，根据所述用户身份信息和所述设备身份信息，生成认证证书。

可选的，所述设备配置有可信模块，所述可信模块内置背书密钥和背书证书；

所述设备身份信息包括：所述背书证书和基于所述背书密钥生成的认证密钥，所述背书证书用于标识所述设备的身份。

可选的，根据所述用户身份信息和所述设备身份信息，生成认证证书，包括：

根据所述用户身份信息和所述设备身份信息中的所述认证密钥，生成认证证书，所述认证证书用以标识所述设备和所述用户的绑定关系。

可选的，所述设备完整性信息是在基于所述可信模块构建所述设备的可信链的过程中，通过对所述设备的各组件进行完整性度量时生成的一组度量值。

可选的，所述第一认证信息，还包括：

用于标识所述设备合规性的软件环境基线信息。

可选的，所述方法还包括：

根据所述软件环境基线信息，认证设备的合规性，并生成第三认证结果。