[发明专利]一种针对数据库用户身份验证的双因素认证方法

权利要求书

1.一种针对数据库用户身份验证的双因素认证方法，其步骤包括：

初始化阶段：为服务器S生成公私钥对(k_s,K_S)；

注册阶段：客户端C与智能手机D和服务器S通信，将用户U输入的口令pw转换为随机口令rw；智能手机D生成并存储该转换所需的秘密s_D，服务器S生成并存储该转换所需的秘密s_S；客户端C为用户U生成公私钥对(k_U,K_U)，用rw加密用户U的私钥k_U和服务器S的公钥K_S，生成密文c；客户端C将用户U的公钥K_U发送给服务器S，将密文c发送给智能手机D；

认证阶段：

用户U在客户端输入口令pw，通过该客户端向智能手机D发送连接请求；智能手机D与该客户端之间进行认证通过后，该客户端将用户U输入的口令pw转换为随机口令rw，然后用rw解密密文c获得用户U的私钥k_U和服务器S的公钥K_S；

该客户端选择随机数r₁，用公钥K_S加密用户U的身份信息和随机数r₁，得到并将其发送给服务器S；服务器S用私钥k_s对收到的解密获得r₁和该身份信息；服务器S验证该身份信息是否是注册过的用户，如果不是，则拒绝该用户U的访问请求；如果是注册过的用户，则服务器S选择随机数r₂并用该用户U的公钥K_U加密r₁、r₂和服务器S的身份信息，得到并将其发送给该客户端C；

该客户端C用私钥k_U对解密得到随机数r₁、r₂和服务器S的身份信息；用户U通过该客户端C验证r₁以及服务器S的身份标识是否正确，如果其中一项不正确，则用户U将终止登录；否则，该用户U用服务器S的公钥K_S加密随机数r₂，得到并将其发送给服务器S；服务器S用私钥k_s对解密后获得r₂并验证r₂的正确性，如果验证通过，则同意用户U的访问请求，并在该客户端C与服务器S之间建立临时会话密钥SK；否则服务器S终止连接服务。

2.如权利要求1所述的方法，其特征在于，注册阶段，客户端C将用户U输入的口令pw转换为随机口令rw的方法为：客户端C根据用户U输入的口令pw和生成的随机数ρ计算得到α，然后将α分别发送给智能手机D和服务器S；智能手机D根据α、s_D计算得到β₁并将其发送给用户U所登录的客户端C，服务器S根据α、s_S计算得到β₂将其与公钥K_S发送给用户U所登录的客户端C；客户端C根据β₁、β₂和口令pw计算得到rw。

3.如权利要求2所述的方法，其特征在于，α＝(H(pw))^ρ；H()为哈希函数。

4.如权利要求3所述的方法，其特征在于，

5.如权利要求1所述的方法，其特征在于，认证阶段，该客户端C将用户U输入的口令pw转换为随机口令rw的方法为：该客户端C根据口令pw和随机数ρ′计算得到α′并将其分别发送给智能手机D和服务器S；然后智能手机D根据α′、s_D计算得到β₁′并将其与密文c发送给该客户端C，服务器S根据α′、s_S计算得到β₂′将其发送给该客户端C；该客户端C根据β₁′、β₂′和ρ′计算得到rw。

6.如权利要求5所述的方法，其特征在于，α′＝(H(pw))ρ′，H()为哈希函数。