(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210886319.3 (22)申请日 2022.07.26 (71)申请人 国网湖北省电力有限公司信息通信 公司 地址 430077 湖北省武汉市洪山区徐 东大 街341号 申请人 国家电网有限公司 (72)发明人 郭岳　庄严　柯旺松　徐杰　 廖荣涛　董亮　刘芬　王逸兮　 李想　黄超　梁源　李磊　胡耀东　 (74)专利代理 机构 武汉楚天专利事务所 421 13 专利代理师 胡盛登 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/40(2022.01) (54)发明名称 一种基于多因子认证的安全防护方法、 设备 及存储介质 (57)摘要 本发明属于安全防护技术领域， 公开了一种 基于多因子认证的安全防护方法、 设备及存储介 质， 该方法具体包括： 当用户通过移动终端发送 身份认证请求时， 服务器收到用户移动终端发来 的身份认证请求信息时， 服务器基于所述身份认 证请求信息向身份认证平台发送认证请求； 身份 认证平台收到认证请求， 调用多个认证因子， 对 用户进行身份认 证； 服务器基于所述身份认证请 求信息对接口访问属性和账号风险进行综合评 估当前用户身份。 本发明构建以身份为中心的信 任安全基石， 保障用户不间断稳定运行， 解决了 边缘计算终端汇聚接入的物联网感知设备种类 繁多、 异构多样且动态变化， 对其进行分布式授 权认证和行为控制存在较大难度的问题。 权利要求书2页 说明书6页 附图2页 CN 115333747 A 2022.11.11 CN 115333747 A 1.一种基于多因子认证的安全防护方法， 其特征在于， 所述基于多因子认证的安全防 护方法包括： S1： 用户通过离线注 册和本地注 册完成用户注 册； S2： 当用户通过移动终端发送身份认证请求时， 服务器收到用户移动终端发来的身份 认证请求信息时， 服 务器基于所述身份认证请求信息向身份认证平台发送 认证请求； S3： 身份认证平台收到认证请求， 调用多个认证因子， 对用户进行身份认证； S4： 服务器基于所述身份认证请求信 息对接口访问属性和账号风险进行综合评估当前 用户身份， 若该用户身份没有任何风险， 则对移动终端反馈认证成功信息 。 2.如权利要求1所述的基于多因子认证的安全防护方法， 其特征在于， 所述离线注册具 体为： S11、 用户在移动终端输入用户名、 口令、 手机号码和共享哈希函数； S12、 移动终端将用户名、 口令、 手机号码和共享哈希函数发送至服务器， 服务器转发至 身份认证平台； S13、 身份认证平台接收到后， 建立身份认证平台用户信息表， 利用共享哈希函数对口 令进行运算， 生成第一口令哈希值， 将用户名、 第一口令哈希值、 手机号码和共享哈希函数 保存为身份认证平台用户信息表的表项， 以用户名为索引； 所述对口令进行运 算包括： 如果选择的用户信息表是三种， 设为μ1， μ2， μ3， 口令长度是λ； 则首先生成一个1到λ的 随机数λ1， 设定λ1位置的字符属于用户信息表 μ1； 接着生成一个1到λ 的随机数λ2， 其中， λ2 ≠ λ1， 设定 λ2位置的字 符属于用户信息表 μ2； 随后生 成接着生 成一个1到 λ 的随机数λ3， λ3≠ λ2， λ3≠ λ1， 设定 λ3位置的字 符属于用户信息表 μ3； 最后针对其他的λ ‑3个字符位， 系统对于 每一个字符位都从 μ1， μ2， μ3中随机 选择一种， 作为该字符位的字符类型； 如果选择的用户信息表是四种， 设为 μ1， μ2， μ3， μ4， 口令长度是λ； 则首先生成一个1到λ 的随机数λ1， 设定λ1位置的字符属于用户信息表 μ1； 接着生成一个1到λ 的随机数λ2， λ2≠λ 1， 设定 λ2位置的字 符属于用户信息表 μ2； 然后生 成接着生 成一个1到 λ 的随机数λ3， λ3≠ λ2， λ3≠λ1， 设定λ3位置的字符属于用户信息表 μ3； 随后生成一个1到λ 的随机数λ4， λ4≠λ3， λ4 ≠ λ2， λ4≠ λ1， 设定 λ4位置的字 符属于用户信息表 μ4； 最后针对其他的λ ‑4个字符位， 系统对 于每一个字符位都从 μ1， μ2， μ3， μ4中随机 选择一种， 作为该字符位的字符类型； 对口令中的每一个字符位， 生成一个5位二进制的随机 数x， 并随机构造一个GF(2)5上的 非线性正形置换P， 将该正形置换作用于所述随机数， 得到P(x)5位二进制的数字； 其中， GF (2)5表示二元伽罗瓦域的五 维向量空间； 根据每一个字符位的字符类型， 将P(x)5位二进制的数字转换为对应字符类型的字符, 得到所生成的 口令； 包括如下四种情况： 如果该字符位的类型是阿拉伯数字， 则将该5位二进制的数字模上10， 所得余数对应的 字符就为所求； 如果该字符位的类型是大写字母， 则将该5位二进制的数字模上26， 所得余数就是所求 字符在大写字母集中相距第一个大写字母 ‘A’的距离,将该字符作为所求字符； 如果该字符位的类型是小写字母， 则将该5位二进制的数字模上26， 所得余数就是所求 字符在小 写字母集中相距第一个小 写字母‘a’的距离， 将该字符作为所求字符； 如果该字符位的类型是其他特殊字母， 则这个5位二进制的数字就表示所求字符在其权　利　要　求　书 1/2 页 2 CN 115333747 A 2他特殊字母集中相距第一个特殊字母 ‘～’的距离， 将该字符作为所求字符。 3.如权利要求1所述的基于多因子认证的安全防护方法， 其特征在于， 所述本地注册具 体为： S14、 移动终端发送指纹请求给服 务器， 服务器发送 认证请求给身份认证平台； S15、 身份认证平台接收到认证请求后， 若身份认证平台中已有用户指纹， 则执行步骤 S16， 否则身份认证平台触发指纹传感器提醒用户录入第一指纹信息， 用户录入成功后， 执 行步骤S16； S16、 身份认证平台利用共享哈希函数， 生成第一指纹信息 哈希值， 并保存在身份认证 平台中， 将该第一指纹信息哈希值添加进 身份认证平台用户信息表。 4.如权利要求1所述的基于多因子认证的安全防护方法， 其特征在于， 所述认证因子具 体包括口令、 指纹信息和动态验证码。 5.如权利要求1所述的基于多因子认证的安全防护方法， 其特征在于， 所述S3身份认证 平台收到认证请求， 调用多个认证因子， 对用户进行身份认证具体包括： 当身份认证平台收到服务器发送的用户名和口令时， 根据用户名查询身份认证平台用 户信息表， 得到第一口令哈希 值， 并利用共享哈希函数对接收到的口令进 行哈希运算， 得到 第二口令哈希值； 比较第一口令哈希 值和第二口令哈希值是否相等， 若 是， 则将结果置为成 功， 否则， 置为失败； 当身份认证平台收到服务器发送的用户名和指纹信 息时， 根据用户名查询移动终端用 户信息表， 得到第一指纹信息哈希值， 并利用共享哈希函数对第一指纹信息进 行哈希运算， 得到第二指纹信息哈希值； 比对第一指纹信息哈希值和第二指纹信息哈希值是否相等， 若 是， 则将结果置为成功， 否则， 置为失败。 6.如权利要求1所述的基于多因子认证的安全防护方法， 其特征在于， 所述步骤S4服务 器基于所述身份认证请求信息对接口访问属性和账号风险进 行综合评估当前用户身份， 若 该用户身份没有任何风险， 则对移动终端反馈认证成功信息具体包括： (1)移动终端在身份认证请求信息中， 添加认证节点到包含数据信息的标记语言文件 中； 所述认证节点中至少包括利用密钥对节点属性信息进行加密算法转换后获得的标记 值； (2)服务器接收到身份认证请求信息后， 解析身份认证请求中的认证节点， 通过密钥与 标记值判断节点属性信息是否匹配， 若匹配成功， 确认身份合法， 认证结束， 将服务器的数 据信息发送给移动终端。 7.如权利要求6所述的基于多因子认证的安全防护方法， 其特征在于， 所述节点属性信 息包括请求名称和/或提交请求的时间戳。 8.一种计算机设备， 其特征在于， 所述计算机设备包括存储器和处理器， 所述存储器存 储有计算机程序， 所述计算机程序被所述处理器执行时， 使得所述处理器执行如权利要求 1‑7所述基于多因子认证的安全防护方法。 9.一种计算机可读存储介质， 存储有计算机程序， 所述计算机程序被处理器执行时， 使 得所述处理器执行如权利要求1 ‑7所述基于多因子认证的安全防护方法。 10.一种基于多因子认证的安全防护设备， 其特征在于， 所述基于动态网络的防御终端 用于实现如权利要求1 ‑7所述的基于多因子认证的安全防护方法。权　利　要　求　书 2/2 页 3 CN 115333747 A 3