CN105681350B - 一种基于环境相似的零交互双因素认证系统及方法 - Google Patents

一种基于环境相似的零交互双因素认证系统及方法 Download PDF

Info

Publication number
CN105681350B
CN105681350B CN201610160001.1A CN201610160001A CN105681350B CN 105681350 B CN105681350 B CN 105681350B CN 201610160001 A CN201610160001 A CN 201610160001A CN 105681350 B CN105681350 B CN 105681350B
Authority
CN
China
Prior art keywords
user
mobile phone
server
environmental information
smart mobile
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610160001.1A
Other languages
English (en)
Other versions
CN105681350A (zh
Inventor
陈晶
刘冬
杜瑞颖
张博闻
郭云龙
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wuhan University WHU
Original Assignee
Wuhan University WHU
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wuhan University WHU filed Critical Wuhan University WHU
Priority to CN201610160001.1A priority Critical patent/CN105681350B/zh
Publication of CN105681350A publication Critical patent/CN105681350A/zh
Application granted granted Critical
Publication of CN105681350B publication Critical patent/CN105681350B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1073Registration or de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Multimedia (AREA)
  • Telephonic Communication Services (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明公开了一种基于环境相似的零交互双因素认证系统及方法,涉及个人计算机,智能手机以及服务器。其中个人计算机主要用于登录服务器,提交帐户名和口令,采集用户周围的环境信息。个人手机主要用于采集用户周围的环境信息,并对采集到的环境信息进行签名。服务器主要通过验证用户的帐户名、口令,个人手机的签名以及计算机和手机提交环境信息的相似度来防止攻击者非法获取用户的账户名和口令后的异地登录。本发明所提供的双因素认证方式对用户透明,部署容易,安全可靠。

Description

一种基于环境相似的零交互双因素认证系统及方法
技术领域
本发明属于移动通信技术领域,具体涉及一种基于环境相似的零交互双因素认证系统及方法。
背景技术
用户在使用浏览器登录想要访问的网站时,网站会要求用户输入帐户名和口令,其目的是为了保证只有合法的用户才能访问该网站的特定资源。这种基于口令的认证方式虽然简单,易用,但却有着诸多问题:首先由于用户注册的网站过多,为了方便记忆,他们通常会选择相同的口令,这样一旦某个安全级别较低的系统受到攻击,存在其它安全性级别较高的网站中的口令也会泄露;其次,互联网中存在着各种钓鱼网站,如果用户不小心访问了其中某一个,也会导致用户的口令泄露。
为了解决该问题,人们提出了双因数的认证方法,即用户登录已注册的网站时,不仅要输入他所知道的信息,如口令,而且还要提供他拥有的物件证明,如令牌。这样即使攻击者能够窃取到用户的口令,由于没有用户的令牌,他也无法进行正常登录。目前常见的双因素证方法有两类:一类基于硬件令牌,如:动态口令牌,USB KEY,OCL。另一类是基于软件令牌,如短消息验证码,Google身份验证器。其中基于硬件令牌的双因素认证方式在技术上比较成熟,具有很高的安全性,但是这种方式生产成本较高,用户携带不便,容易丢失;基于软件令牌的双因素认证方法是随着手机的普及而逐步发展起来,相比硬件令牌,它的成本低廉,便于携带,而且同一软件令牌能够应用多个网站使用。但是不论是哪类双因素认证方法,都需要用户在登录网站时输入额外的信息进行认证,这无疑增加了用户负担,同时也改变了用户的习惯。
通过以上分析发现,双因素认证技术是防止因用户口令泄露导致攻击者异地登陆的有效途经,易用性则是妨碍这种技术普及的重要原因。考虑到智能手机已成为人们随身携带的物品之一,我们可以将其作为双因数认证中的用户拥有某物的凭证。因此,如何设计出基于智能手机,不需要用户输入额外信息的零交互双因素认证系统有着重要的价值。
发明内容
本发明针对现有的双因素认证系统存在的弊端以及智能手机自身的特点,提出了一种新的基于环境相似的零交互双因素认证系统。
本发明的系统所采用的技术方案是:一种基于环境相似的零交互双因素认证系统,包括个人计算机、智能手机和服务器;
所述个人计算机用于同服务建立TLS链接,提交帐户名和口令,与所述服务器保持时间同步,采集并提交用户周围的环境信息;其中环境信息包括声音、光照、Wifi信号的一种或几种;
所述智能手机用于同服务建立TLS链接,提交手机产生的公钥,与所述服务器保持时间同步,采集用户周围的环境信息,对环境信息进行签名以及提交环境信息与签名信息;其中环境信息包括声音、光照、Wifi信号的一种或几种;
所述服务器用于保存用户的用户名,口令以及公钥,验证用户的帐户名和口令的合法性,向智能手机和个人计算机发起时间同步和环境信息采集请求,验证智能手机签名信息的合法性,比较智能手机和个人计算机所提交环境信息的相似程度,给出用户合是否合法的判断结果,返回给个人计算机。
本发明的方法所采用的技术方案是:一种基于环境相似的零交互双因素认证方法,包括注册过程、认证过程和重认证过程;
所述注册过程是用户在登录系统前进行帐户注册,具体包括以下步骤:
步骤A1:用户通过个人计算机中的浏览器登录要访问的网站,并在网站中的注册页面填写个人的注册信息,并提交,其中个人注册信息包括用户的帐户名、口令及其他信息;
步骤A2:服务器端在收到用户传来的注册信息后对其进行验证,如果用户信息填写正确,则保存并返回注册成功信息,否则返回注册失败信息;
步骤A3:用户通过智能手机应用程序中的进入添加帐户页面,输入帐户名和口令,并提交;
步骤A4:服务器验证通过后,返回用户确认信息,否则返回登录失败信息;
步骤A5:智能手机应用程序如果收到服务器发来的确认信息,则会生成公、私钥对PKa和SKa,其中公钥PKa会提交给服务器,私钥SKa会连同用户的帐户名一起保存在手机中;如果收到登录失败信息,则进行重新登录;
步骤A6:服务器在收到智能手机传来的公钥PKa后,会将其添加到保存用户的个人信息的文件中;
所述认证过程用于用户登录已注册的网站,具体过程包括以下步骤:
步骤B1:用户将智能手机和网络进行链接,并开启智能手机应用程序与服务器建立链接;
步骤B2:用户通过个人计算机中的浏览器中登录要访问的网站,并在登录页面中输入帐户名、口令以及验证码后提交;
步骤B3:服务器验证通过用户提交的帐户名和口令后,分别向个人计算机浏览器和智能手机发起时间同步请求;否则要求用户进行重新登录;
步骤B4:个人计算机中的浏览器和智能手机应用程序在收到消息后,采用NTP协议与服务器保持时间同步,并通知服务器;
步骤B5:服务器在确认个人计算机和智能手机与完成时间同步后,会将采集环境信息的请求发送给个人计算机中的浏览器和智能手机应用程序;
步骤B6:个人计算机中的浏览器在收到消息后,在规定的时间段对环境信息进行采集,并将采集到的环境信息提交给服务器;
步骤B7:智能手机应用程序在收到消息后,同样按照规定的时间段采集环境信息;但在采集结束后,会用智能手机中保存的私钥对环境信息进行签名,最终将签名信息和环境信息一起提交给服务器;
步骤B8:服务器在收到个人计算机中的浏览器和智能手机应用程序发来的消息后,对用户的身份进行判断,并向个人计算机中的浏览器返回判断结果;
所述重认证过程在用户成功登录系统以后,每隔固定时间执行一次;具体包括以下步骤:
C1:服务器将采集环境信息的请求发送给个人计算机中的浏览器和智能手机应用程序;
C2:个人计算机中的浏览器在收到消息后,在规定的时间段对环境信息进行采集,并将采集到的环境信息提交给服务器;
C3:智能手机应用程序在收到消息后,同样按照规定的时间段采集环境信息;但在采集结束后,用手机中保存的私钥对环境信息进行签名,最终将签名信息和环境信息同时提交给服务器;
C4:服务器在收到个人计算机中的浏览器和智能手机应用程序发来的消息后,对用户的身份进行判断,并向个人计算机中的浏览器返回判断结果。
作为优选,所述智能手机在向服务器注册时,会自动生成公、私钥对,其中公钥提交给服务器,并与注册时提交的帐户名和口令一起保存;私钥会同用户的帐户名保存在智能手机中。
作为优选,步骤B8的具体实现过程包括以下子步骤:
步骤B8.1:利用用户的公钥解密智能手机提交的签名信息,并验证该签名信息的真实性;如果签名信息为真,则执行步骤B8.2,否则通知用户重新登录,并采用基于短消息验证码的双因素认证方式对用户进行认证;
步骤B8.2:比较个人计算机中的浏览器提交的环境信息和智能手机提交环境信息的相似度,如果在规定的阈值之内,允许用户进行登录,否则通知用户重新登录,并采用基于短消息验证码的双因素认证方式对用户进行认证。
作为优选,步骤C4的具体实现过程包括以下子步骤:
C4.1:利用用户公钥解密智能手机提交的签名信息,并验证该签名信息的真实性,如果签名为真则执行下一步,否则通知用户重新登录,并采用基于短消息验证码的双因素认证方式对用户进行认证;
C4.2:比较个人计算机中的浏览器提交的环境信息和智能手机提交环境信息的相似度,如果相似度在规定的阈值之内,变量X加1,如果相似度大于规定的阈值,变量Y加1,其中变量X、变量Y为服务器设定的变量,分别用于记录进行环境相似度比较时成功和失败的次数,其初始值为0;
C4.3:判断X+Y是否达到规定的次数,如果超过了规定的次数,执行下一步,否则重新开始;
C4.4:判断X/(X+Y)是否超过了规定的阈值,如果超过了,对X,Y清零,并采用短消息验证码的方式来要求用户登录,否则重新开始。
作为优选,所述智能手机通过数字签名技术来保证提交给服务器的环境信息的真实性;所述用户计算机中的浏览器必须支持html5技术,以保证浏览器能够采集周围的环境信息;所述计算机浏览器和服务器,智能手机应用程序和服务器的通信均建立在TLS协议基础之上,以保证服务器的真实性和服务器通信的机密性。
本发明的基于环境相似的零交互双因素认证方案,相比现有技术,其优点和积极效果主要体现在以下几个方面:
(1)它对用户是透明的,用户登录网站时只需登录输入帐户名和口令就能达到双因素认证的效果。
(2)它易于部署,用户只需在自己的手机上安装应用程序即可,不需在电脑上安装额外的软件。
(3)它可以对用户进行多次认证,而且是零交互的,可以防止了攻击者对环境信息的猜测攻击。
附图说明
图1为本发明实施例中注册过程的原理图。
图2为本发明实施例中的认证过程的原理图。
图3为本发明实施例中重认证过程中服务器的执行的原理图。
具体实施方式
为了便于本领域普通技术人员理解和实施本发明,下面结合附图及实施例对本发明作进一步的详细描述,应当理解,此处所描述的实施示例仅用于说明和解释本发明,并不用于限定本发明。
本发明提供的一种基于环境相似的零交互双因素认证系统,包括个人计算机、智能手机和服务器;个人计算机用于同服务建立TLS链接,提交帐户名和口令,与服务器保持时间同步,采集并提交用户周围的环境信息;其中环境信息包括声音、光照、Wifi信号的一种或几种;智能手机用于同服务建立TLS链接,提交手机产生的公钥,与服务器保持时间同步,采集用户周围的环境信息,对环境信息进行签名以及提交环境信息与签名信息;其中环境信息包括声音、光照、Wifi信号的一种或几种;服务器用于保存用户的帐户名,口令以及公钥,验证用户的帐户名和口令的合法性,向智能手机和个人计算机发起时间同步和环境信息采集请求,验证智能手机签名信息的合法性,比较智能手机和个人计算机所提交环境信息的相似程度,给出用户合是否合法的判断结果,返回给个人计算机。
本发明提供的一种基于环境相似的零交互双因素认证方法,包括注册过程、认证过程和重认证过程。
请见图1,本实施例的注册过程是用户在登录系统前进行帐户注册,具体包括以下步骤:
步骤A1:用户通过个人计算机中的浏览器登录要访问的网站,并在网站中的注册页面填写个人的注册信息,并提交,其中个人注册信息包括用户的帐户名、口令及其他信息;
步骤A2:服务器端在收到用户传来的注册信息后对其进行验证,如果用户信息填写正确,则保存并返回注册成功信息,否则返回注册失败信息;
步骤A3:用户通过智能手机应用程序中的进入添加帐户页面,输入帐户名和口令,并提交;
步骤A4:服务器验证通过后,返回用户确认信息,否则返回登录失败信息;
步骤A5:智能手机应用程序如果收到服务器发来的确认信息,则会生成公、私钥对PKa和SKa,其中公钥PKa会提交给服务器,私钥SKa会连同用户的帐户名一起保存在手机中;如果收到登录失败信息,则进行重新登录;
步骤A6:服务器在收到智能手机传来的公钥PKa后,会将其添加到保存用户的个人信息的文件中;
请见图2,本实施的认证过程用于用户登录网站,具体过程包括以下步骤:
步骤B1:用户将智能手机和网络进行链接,并开启智能手机应用程序与服务器建立链接;
步骤B2:用户通过个人计算机中的浏览器中登录要访问的网站,并在登录页面中输入帐户名、口令以及验证码后提交;
步骤B3:服务器验证通过用户提交的帐户名和口令后,分别向个人计算机浏览器和智能手机发起时间同步请求;否则要求用户进行重新登录;
步骤B4:个人计算机中的浏览器和智能手机应用程序在收到消息后,采用NTP协议与服务器保持时间同步,并通知服务器;
步骤B5:服务器在确认个人计算机和智能手机与完成时间同步后,会将采集环境信息的请求发送给个人计算机中的浏览器和智能手机应用程序;
步骤B6:个人计算机中的浏览器在收到消息后,在规定的时间段对环境信息进行采集,并将采集到的环境信息提交给服务器;
步骤B7:智能手机应用程序在收到消息后,同样按照规定的时间段采集环境信息;但在采集结束后,会用智能手机中保存的私钥对环境信息进行签名,最终将签名信息和环境信息一起提交给服务器;
步骤B8:服务器在收到个人计算机中的浏览器和智能手机应用程序发来的消息后,对用户的身份进行判断,并向个人计算机中的浏览器返回判断结果;具体实现过程包括以下子步骤:
步骤B8.1:利用用户公钥解密智能手机提交的签名信息,并验证该签名信息的真实性;如果签名信息为真,则执行步骤B8.2,否则通知用户重新登录,并采用基于短消息验证码的双因素认证方式对用户进行认证;
步骤B8.2:比较个人计算机中的浏览器提交的环境信息和智能手机提交环境信息的相似度,如果在规定的阈值之内,允许用户进行登录,否则通知用户重新登录,并采用基于短消息验证码的双因素认证方式对用户进行认证。
请见图3,本实施例的重认证过程在用户成功登录系统以后,每隔固定时间执行一次;具体包括以下步骤:
C1:服务器将采集环境信息的请求发送给个人计算机中的浏览器和智能手机应用程序;
C2:个人计算机中的浏览器在收到消息后,在规定的时间段对环境信息进行采集,并将采集到的环境信息提交给服务器;
C3:智能手机应用程序在收到消息后,同样按照规定的时间段采集环境信息;但在采集结束后,用手机中保存的私钥对环境信息进行签名,最终将签名信息和环境信息同时提交给服务器;
C4:服务器在收到个人计算机中的浏览器和智能手机应用程序发来的消息后,然后执行下述子步骤:
C4.1:利用用户公钥解密智能手机提交的签名信息,并验证该签名信息的真实性,如果签名信息为真,则执行下一步,否则通知用户重新登录,并采用基于短消息验证码的双因素认证方式对用户进行认证;
C4.2:比较个人计算机中的浏览器提交的环境信息和智能手机提交环境信息的相似度,如果相似度在规定的阈值之内,变量X加1,如果相似度大于规定的阈值,变量Y加1,其中变量X、变量Y为服务器设定的变量,分别用于记录进行环境相似度比较时成功和失败的次数,其初始值均为0;
C4.3:判断X+Y是否达到规定的次数,如果超过了规定的次数,执行下一步,否则重新开始;
C4.4:判断X/(X+Y)是否超过了规定的阈值,如果超过了,对X,Y清零,并采用短消息验证码的方式来要求用户登录,否则重新开始。
本实施例的智能手机通过数字签名技术来保证提交给服务器的环境信息的真实性;用户计算机中的浏览器必须支持html5技术,以保证浏览器能够采集周围的环境信息;计算机浏览器和服务器,智能手机应用程序和服务器的通信均建立在TLS协议基础之上,以保证服务器的真实性和服务器通信的机密性。
本发明首先它可以有效地防止用户口令被窃取后,攻击者的异地登陆;其次具有很好的易用性,用户登录网站时,只需输入帐户名和口令,不需要再输额外信息;另外部署方便,用户只需在手机上安装应用软件,不需要在电脑上安装任何其他程序;最后安全性高,它可以对用户进行多次重复认证,而且是零交互的。
应当理解的是,本说明书未详细阐述的部分均属于现有技术。
应当理解的是,上述针对较佳实施例的描述较为详细,并不能因此而认为是对本发明专利保护范围的限制,本领域的普通技术人员在本发明的启示下,在不脱离本发明权利要求所保护的范围情况下,还可以做出替换或变形,均落入本发明的保护范围之内,本发明的请求保护范围应以所附权利要求为准。

Claims (5)

1.一种基于环境相似的零交互双因素认证系统,其特征在于:包括个人计算机、智能手机和服务器;
所述个人计算机用于同服务建立TLS链接,提交帐户名和口令,与所述服务器保持时间同步,采集并提交用户周围的环境信息;其中环境信息包括声音、光照、Wifi信号的一种或几种;
所述智能手机用于同服务建立TLS链接,提交手机产生的公钥,与所述服务器保持时间同步,采集用户周围的环境信息,对环境信息进行签名以及提交环境信息与签名信息;其中环境信息包括声音、光照、Wifi信号的一种或几种;
所述服务器用于保存用户的用户名,口令以及公钥,验证用户的帐户名和口令的合法性,向智能手机和个人计算机发起时间同步和环境信息采集请求,验证智能手机签名信息的合法性,比较智能手机和个人计算机所提交环境信息的相似程度,给出用户合是否合法的判断结果,返回给个人计算机。
2.一种基于环境相似的零交互双因素认证方法,其特征在于:包括注册过程、认证过程和重认证过程;
所述注册过程是用户在登录系统前进行帐户注册,具体包括以下步骤:
步骤A1:用户通过个人计算机中的浏览器登录要访问的网站,并在网站中的注册页面填写个人的注册信息,并提交,其中个人注册信息包括用户的帐户名、口令及其他信息;
步骤A2:服务器端在收到用户传来的注册信息后对其进行验证,如果用户信息填写正确,则保存并返回注册成功信息,否则返回注册失败信息;
步骤A3 :用户通过智能手机应用程序中的进入添加帐户页面,输入帐户名和口令,并提交;
步骤A4:服务器验证通过后,返回用户确认信息,否则返回登录失败信息;
步骤A5 :智能手机应用程序如果收到服务器发来的确认信息,则会生成公、私钥对PKa和SKa,其中公钥PKa会提交给服务器,私钥SKa会连同用户的帐户名一起保存在手机中;如果收到登录失败信息,则进行重新登录;
步骤A6 :服务器在收到智能手机传来的公钥PKa后,会将其添加到保存用户的个人信息的文件中;
所述认证过程用于用户登录已注册的网站,具体过程包括以下步骤:
步骤B1 :用户将智能手机和网络进行链接,并开启智能手机应用程序与服务器建立链接;
步骤B2 :用户通过个人计算机中的浏览器中登录要访问的网站,并在登录页面中输入帐户名、口令以及验证码后提交;
步骤B3 :服务器验证通过用户提交的帐户名和口令后,分别向个人计算机浏览器和智能手机发起时间同步请求;否则要求用户进行重新登录;
步骤B4 :个人计算机中的浏览器和智能手机应用程序在收到消息后,采用NTP协议与服务器保持时间同步,并通知服务器;
步骤B5 :服务器在确认个人计算机和智能手机与完成时间同步后,会将采集环境信息的请求发送给个人计算机中的浏览器和智能手机应用程序;所述环境信息包括声音、光照、wifi信号的一种或几种;
步骤B6 :个人计算机中的浏览器在收到消息后,在规定的时间段对环境信息进行采集,并将采集到的环境信息提交给服务器;
步骤B7 :智能手机应用程序在收到消息后,同样按照规定的时间段采集环境信息;但在采集结束后,会用智能手机中保存的私钥对环境信息进行签名,最终将签名信息和环境信息一起提交给服务器;
步骤B8 :服务器在收到个人计算机中的浏览器和智能手机应用程序发来的消息后,对用户的身份进行判断,并向个人计算机中的浏览器返回判断结果;
具体实现过程包括以下子步骤:
步骤B8.1:利用用户的公钥解密签名信息,并验证智能手机的签名的真实性;如果签名为真,则执行步骤B8.2,否则通知用户重新登录,并采用基于短消息验证码的双因素认证方式对用户进行认证;
步骤B8.2 :比较个人计算机中的浏览器提交的环境信息和智能手机提交环境信息的相似度,如果在规定的阈值之内,允许用户进行登录,否则通知用户重新登录,并采用基于短消息验证码的双因素认证方式对用户进行认证;
所述重认证过程在用户成功登录系统以后,每隔固定时间执行一次;具体包括以下步骤:
C1 :服务器将采集环境信息的请求发送给个人计算机中的浏览器和智能手机应用程序;
C2 :个人计算机中的浏览器在收到消息后,在规定的时间段对环境信息进行采集,并将采集到的环境信息提交给服务器;
C3 :智能手机应用程序在收到消息后,同样按照规定的时间段采集环境信息;但在采集结束后,用手机中保存的私钥对环境信息进行签名,最终将签名信息和环境信息同时提交给服务器;
C4:服务器在收到个人计算机中的浏览器和智能手机应用程序发来的消息后,对用户的身份进行判断,并向个人计算机中的浏览器返回判断结果。
3.根据权利要求2所述基于环境相似的零交互双因素认证方法,其特征在于:所述智能手机在向服务器注册时,会自动生成公、私钥对,其中公钥提交给服务器,并与注册时提交的帐户名和口令一起保存;私钥会同用户的帐户名保存在智能手机中。
4.根据权利要求2所述的基于环境相似的零交互双因素认证方法,其特征在于,步骤C4的具体实现过程包括以下子步骤:
C4.1 :利用用户的公钥解密智能手机的签名信息, 验证该签名的真实性,如果签名正确则进行下一步,否则通知用户重新登录,并采用基于短消息验证码的双因素认证方式对用户进行认证;
C4.2:比较个人计算机中的浏览器提交的环境信息和智能手机提交环境信息的相似度,如果相似度在规定的阈值之内,变量X加1,如果相似度大于规定的阈值,变量Y加1,其中变量X、变量Y为服务器设定的变量,分别用于记录进行环境相似度比较时成功和失败的次数,其初始值为0;
C4.3 :判断X+Y是否达到规定的次数,如果超过了规定的次数,执行下一步,否则重新开始;
C4.4:判断X/(X+Y)是否超过了规定的阈值,如果超过了,对X,Y清零,并采用短消息验证码的方式来要求用户登录,否则重新开始。
5.根据权利要求2、3或4所述基于环境相似的零交互双因素认证方法,其特征在于:所述智能手机通过数字签名技术来保证提交给服务器的环境信息的真实性;所述用户计算机中的浏览器必须支持html5技术,以保证浏览器能够采集周围的环境信息;所述计算机浏览器和服务器,智能手机应用程序和服务器的通信均建立在TLS协议基础之上,以保证服务器的真实性和服务器通信的机密性。
CN201610160001.1A 2016-03-21 2016-03-21 一种基于环境相似的零交互双因素认证系统及方法 Active CN105681350B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610160001.1A CN105681350B (zh) 2016-03-21 2016-03-21 一种基于环境相似的零交互双因素认证系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610160001.1A CN105681350B (zh) 2016-03-21 2016-03-21 一种基于环境相似的零交互双因素认证系统及方法

Publications (2)

Publication Number Publication Date
CN105681350A CN105681350A (zh) 2016-06-15
CN105681350B true CN105681350B (zh) 2018-08-10

Family

ID=56311103

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610160001.1A Active CN105681350B (zh) 2016-03-21 2016-03-21 一种基于环境相似的零交互双因素认证系统及方法

Country Status (1)

Country Link
CN (1) CN105681350B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10050963B2 (en) * 2016-03-29 2018-08-14 Microsoft Technology Licensing, Llc Securing remote authentication
JP6647258B2 (ja) * 2017-09-11 2020-02-14 Capy株式会社 ユーザ認証方法、評価装置、プログラム、及びユーザ認証システム
CN109818755A (zh) * 2019-03-08 2019-05-28 湖南第一师范学院 一种透明双因子认证系统及方法
CN113472731B (zh) * 2020-12-25 2022-07-22 北京大学 一种针对数据库用户身份验证的双因素认证方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103179564A (zh) * 2011-12-22 2013-06-26 上海格尔软件股份有限公司 基于移动终端认证的网络应用登录方法
CN103718184A (zh) * 2011-06-15 2014-04-09 飞路得新思探有限公司 认证系统和认证方法
CN103745164A (zh) * 2013-12-20 2014-04-23 中国科学院计算技术研究所 一种基于环境认证的文件安全存储方法与系统
CN104639526A (zh) * 2013-11-06 2015-05-20 株式会社理光 认证系统、认证管理装置、认证方法
CN104820794A (zh) * 2015-04-29 2015-08-05 百度在线网络技术(北京)有限公司 登录数据的处理方法及装置
CN105024819A (zh) * 2015-05-29 2015-11-04 北京中亦安图科技股份有限公司 一种基于移动终端的多因子认证方法及系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8230231B2 (en) * 2009-04-14 2012-07-24 Microsoft Corporation One time password key ring for mobile computing device

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103718184A (zh) * 2011-06-15 2014-04-09 飞路得新思探有限公司 认证系统和认证方法
CN103179564A (zh) * 2011-12-22 2013-06-26 上海格尔软件股份有限公司 基于移动终端认证的网络应用登录方法
CN104639526A (zh) * 2013-11-06 2015-05-20 株式会社理光 认证系统、认证管理装置、认证方法
CN103745164A (zh) * 2013-12-20 2014-04-23 中国科学院计算技术研究所 一种基于环境认证的文件安全存储方法与系统
CN104820794A (zh) * 2015-04-29 2015-08-05 百度在线网络技术(北京)有限公司 登录数据的处理方法及装置
CN105024819A (zh) * 2015-05-29 2015-11-04 北京中亦安图科技股份有限公司 一种基于移动终端的多因子认证方法及系统

Also Published As

Publication number Publication date
CN105681350A (zh) 2016-06-15

Similar Documents

Publication Publication Date Title
CN106100848B (zh) 基于智能手机和用户口令的双因子身份认证系统及方法
US20180295137A1 (en) Techniques for dynamic authentication in connection within applications and sessions
US9032498B1 (en) Method for changing authentication for a legacy access interface
CN103795731B (zh) 一种用户账户登录方法
US9473493B2 (en) Secure data communication
Kontaxis et al. Sauth: Protecting user accounts from password database leaks
US20150222435A1 (en) Identity generation mechanism
US9032217B1 (en) Device-specific tokens for authentication
US10225260B2 (en) Enhanced authentication security
US9477830B2 (en) Controlled and client-side authentication module
US9787689B2 (en) Network authentication of multiple profile accesses from a single remote device
CN105681350B (zh) 一种基于环境相似的零交互双因素认证系统及方法
CN106230594B (zh) 一种基于动态口令进行用户认证的方法
CN106161475A (zh) 用户鉴权的实现方法和装置
Zhao et al. Explicit authentication response considered harmful
CN109729045B (zh) 单点登录方法、系统、服务器以及存储介质
CA2955448C (en) Using timing of character input to verify password
JP7021790B2 (ja) 構造化された記憶済みデータへのアクセスの提供
CA2797353C (en) Secure authentication
Abbas et al. Identifying an OpenID anti‐phishing scheme for cyberspace
Hossain et al. Adding Knock Code Technology as a Third Authentication Element to a Global Two-factor Authentication System
CN110505199A (zh) 基于轻量级非对称身份的Email安全登录方法
Aldwairi et al. Multi-factor authentication system
WO2016112792A1 (zh) 身份认证方法及装置
Khodabacchus et al. Secured SAML cloud authentication using fingerprint

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant