[发明专利]一种针对数据库用户身份验证的双因素认证方法

说明书

本发明公开了一种针对数据库用户身份验证的双因素认证方法，其步骤包括：1)初始化阶段：服务器S生成并存储公私钥对(k_s，K_S)；2)注册阶段：客户端C同时与智能手机D和服务器S通信，将用户U输入的口令pw转换为随机口令rw；客户端C为用户U生成公私钥对(k_U，K_U)，用rw加密私钥k_U和公钥K_S，生成密文c；客户端C将公钥K_U发送给服务器S，将密文c发送给手机D；服务器S存储K_U，手机D存储密文c；3)认证阶段：用户U在手机D的辅助下与服务器S互相验证，如果均验证通过，则服务器S同意用户U访问数据库，并建立临时会话密钥SK；否则服务器S终止连接服务。本发明可实现安全高效的双因素认证。

技术领域

本发明属于信息安全技术领域，涉及一种实用的、可组合的用户身份认证方法，尤其涉及一种针对数据库用户的基于智能手机的双因素身份认证协议设计及实现方法。

背景技术

确保数据库系统安全的一个基本步骤是验证访问数据库的用户身份(身份验证)。完善的身份验证方案有助于保护用户及其存储的数据不受攻击者的攻击。现有的数据库系统(如Oracle，MySQL)提供了多种身份验证策略以满足用户需求，例如基于口令的身份认证方法，基于令牌或智能卡的强身份认证方法，基于公钥基础设施(PKI)的认证方法，代理认证等。在这些认证方法中，基于口令的认证是最基本、最方便的方法。用户只需要提供正确的口令，即可建立数据库访问连接。数据库可以将用户的口令以加密的方式(例如，加盐哈希)存储在服务器中，用户可以随时更改口令。但是，随着应用数量的增加，单口令认证方式给用户增加了负担。每个用户可能在不同的数据库上拥有多个账户，这使得记忆口令变得更加困难。对于企业级数据库，服务器可能远程部署，且要防止内部人员攻击。因此，不应该允许服务器获得口令明文(或可猜测的口令哈希)，这在单口令认证方式中难以实现。此外，当用户离开公司或更换工作时，应立即更改用户特权，同时不影响企业中其他用户的使用。但是，单口令认证方式势必会影响其他用户的访问，难以及时更改权限。