CN106453422B - 一种基于移动终端动态认证方法及系统 - Google Patents
一种基于移动终端动态认证方法及系统 Download PDFInfo
- Publication number
- CN106453422B CN106453422B CN201611122719.8A CN201611122719A CN106453422B CN 106453422 B CN106453422 B CN 106453422B CN 201611122719 A CN201611122719 A CN 201611122719A CN 106453422 B CN106453422 B CN 106453422B
- Authority
- CN
- China
- Prior art keywords
- authentication
- mobile terminal
- information
- strategy
- login
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 39
- 238000001514 detection method Methods 0.000 claims abstract description 42
- 238000012795 verification Methods 0.000 claims description 13
- 230000007613 environmental effect Effects 0.000 claims description 7
- 239000003181 biological factor Substances 0.000 claims description 5
- 238000012545 processing Methods 0.000 claims description 2
- 230000008569 process Effects 0.000 description 8
- 230000036541 health Effects 0.000 description 6
- 230000002159 abnormal effect Effects 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 4
- 230000004044 response Effects 0.000 description 4
- 210000000887 face Anatomy 0.000 description 3
- 210000001747 pupil Anatomy 0.000 description 3
- 238000005034 decoration Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 238000013142 basic testing Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 231100000279 safety data Toxicity 0.000 description 1
- 231100000817 safety factor Toxicity 0.000 description 1
- 239000000243 solution Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0838—Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Telephone Function (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明公开了一种基于移动终端动态认证方法及系统,包括:步骤S100在预设时间期限内获取数据库中所属移动终端的待认证参考信息,所述数据库保存在服务器中;步骤S200对保存在数据库中所属移动终端的待认证参考信息进行安全检测;步骤S300根据所述步骤S200中对所述待认证参考信息进行安全检测的结果信息,设置相应的动态认证策略;步骤S400根据所述步骤S300设置的动态认证策略,在用户进行登录时进行相应的认证。在本发明中,根据检测移动终端的安全状况,当安全状况较好时,使用低级别的认证策略,当安全状况不好时,自动增强认证强度;使得用户体验更智能,认证强度更合理、更安全。
Description
技术领域
本发明涉及网络通讯监测领域,特别是涉及一种基于移动终端动态认证方法及系统。
背景技术
身份认证时身份管理系统的一部分,主要是根据当前的信息来判断实体用户身份的真实性。目前大多是的身份认证系统都基于用户名和密码;一些对信息安全要求较高的系统(如理财服务等),都辅助设备或者用户的问答来加强安全级别。
认证在一个安全系统中起着至关重要的作用,认证技术决定了系统的安全程度。目前绝大多数信息系统都采用用户名密码的方式,安全强度较低,基于口令的认证方式中口令是不随时间变化的,只能提供弱认证。因此,一次性口令码的认证方式盛行,但是普通的这种认证方式每次的认证项都是一成不变的,当业务的安全需求不是很高的时候也采用这种方式,会增加用户的操作,影响用户体验。
基于以上的问题,本发明提供了一种基于移动终端动态认证方法及系统。
发明内容
本发明的提供了一种基于移动终端动态认证方法及系统,其目的根据不参考信息的不同检测结果,使其设置不同的安全策略机制,使得用户体验更智能,认证强度更合理、更安全。
本发明提供的技术方案如下:
一种基于移动终端动态认证方法,包括:步骤S100在预设时间期限内获取数据库中所属移动终端的待认证参考信息,所述数据库保存在服务器中;步骤S200对保存在数据库中所属移动终端的待认证参考信息进行安全检测;步骤S300根据所述步骤S200中对所述待认证参考信息进行安全检测的结果信息,设置相应的动态认证策略;步骤S400根据所述步骤S300设置的动态认证策略,在用户进行登录时进行相应的认证。
在本发明中,根据检测移动终端的安全状况,当安全状况较好时,使用低级别的认证策略,当安全状况不好时,自动增强认证强度;使得用户体验更智能,认证强度更合理、更安全。
优选的,包括:步骤310判断当所述待认证参考信息中移动终端的操作系统未超过所属移动终端的使用权限,并且安全插件保存在移动终端系统中,同时应用程序签名值和hash值信息与所述预设信息一致时;身份认证失败,设置所述移动终端的认证策略为“第一认证策略”。
和/或;
步骤320判断当所述待认证参考信息中移动终端的操作系统未超过所属移动终端的使用权限,判断所述安全插件未保存在移动终端系统中,和/或,所述应用程序签名值和所述hash值信息与所述预设信息不一致时;设置所述移动终端的认证策略为“第二认证策略”。
优选的,包括:步骤330当所述待认证参考信息中移动终端的操作系统超过所属移动终端的使用权限时,判断安全插件未保存在移动终端系统中时,向所述移动终端发送下载所述安全插件的提醒信息;
或者,
步骤340判断当所述待认证参考信息中移动终端的操作系统超过所属移动终端的使用权限,安全插件保存在移动终端系统中时,设置所述移动终端的认证策略为“第三认证策略”。
在本发明中,根据检测的参考信息的不同检测结果设置不同安全认证策略,合理利用系统资源,提高了系统的响应速度;根据参考信息设置认证策略,当风险程度在增加时,其采用的认证策略在不同程度上增强,以此提高信息数据的安全性。
优选的,步骤S410当选择所述第一认证策略时进行登录时,服务器根据用户登录信息获取登录密码,对所述登录密码进行认证。
优选的,步骤S420当选择所述第二认证策略时进行登录时,服务器根据用户登录信息获取登录密码,对所述登录密码进行认证;步骤S421服务器进一步获取用户的生物特征信息,进行生物认证。
优选的,步骤S430当选择所述第二认证策略时进行登录时,服务器根据用户登录信息获取登录密码,对所述登录密码进行认证;步骤S431服务器进一步获取用户的生物特征信息,进行生物认证;步骤S432服务器进一步获取动态数据信息生成挑战信息,进行挑战认证。
在本发明中,根据检测移动终端的安全状况,当安全状况较好时,使用低级别的认证策略,当安全状况不好时,自动增强认证强度;使得用户体验更智能,认证强度更合理、更安全。
一种基于移动终端动态认证系统,包括:参考信息获取模块,在预设时间期限内获取数据库中所属移动终端的待认证参考信息,所述数据库保存在服务器中;参考信息检测模块,与所述参考信息获取模块电连接,对保存在数据库中所属移动终端的待认证参考信息进行安全检测;认证策略设置模块,与所述参考信息检测模块电连接,根据所述参考信息检测模块中对所述待认证参考信息进行安全检测的结果信息,设置相应的动态认证策略;登录认证模块,根据所述认证策略设置模块设置的动态认证策略,在用户进行登录时进行相应的认证。
在本发明中,根据检测移动终端的安全状况,当安全状况较好时,使用低级别的认证策略,当安全状况不好时,自动增强认证强度;使得用户体验更智能,认证强度更合理、更安全。
优选的,包括:第一认证设置子模块,当所述待认证参考信息中移动终端的操作系统未超过所属移动终端的使用权限,并且安全插件保存在移动终端系统中,同时应用程序签名值和hash值信息与所述预设信息一致时;身份认证失败,设置所述移动终端的认证策略为“第一认证策略”;
和/或;
第二认证设置子模块,判断当所述待认证参考信息中移动终端的操作系统未超过所属移动终端的使用权限时,判断所述安全插件未保存在移动终端系统中,和/或,所述应用程序签名值和所述hash值信息与所述预设信息不一致时;设置所述移动终端的认证策略为“第二认证策略”。
优选的,包括:认证提醒子模块,当所述待认证参考信息中移动终端的操作系统超过所属移动终端的使用权限时,判断安全插件未保存在移动终端系统中时,向所述移动终端发送下载所述安全插件的提醒信息;或者,第三认证设置子模块,判断当所述待认证参考信息中移动终端的操作系统超过所属移动终端的使用权限,安全插件保存在移动终端系统中时,设置所述移动终端的认证策略为“第三认证策略”。
在本发明中,根据检测的参考信息的不同检测结果设置不同安全认证策略,合理利用系统资源,提高了系统的响应速度;根据参考信息设置认证策略,当风险程度在增加时,其采用的认证策略在不同程度上增强,以此提高信息数据的安全性。
优选的,所述登录认证模块,用于当选择第一认证策略进行登录时,服务器根据用户登录信息获取登录密码,对所述登录密码进行认证。
优选的,所述登录认证模块,还用于当选择第二认证策略进行登录时,服务器根据用户登录信息获取登录密码,对所述登录密码进行认证;进一步获取用户的生物特征信息,进行生物认证。
优选的,所述登录认证模块,还用于当选择第三认证策略进行登录时,服务器根据用户登录信息获取登录密码,对所述登录密码进行认证;再次获取用户的生物特征信息,进行生物认证;进一步获取动态数据信息生成挑战信息,进行挑战认证。
在本发明中,能够根据当前移动终端的健康状况,动态调整认证项,动态增强认证强度;使移动终端处于安全状况良好的使用状态,体现出认证更加便捷、灵活,合理、安全。
与现有技术相比,本发明提供一种基于移动终端动态认证方法及系统,至少带来以下一种技术效果:
1、在本发明中,生物认证策略,根据人体自身生物特征进行认证,该认证方式无法复制,发生篡改的问题。
2、在本发明中,挑战认证策略,由于每个认证系统根据相应的算法为每个用户、每个终端生成的唯一的安全插件,在进行认证业务时可根据设备信息、挑战码、交易要素等多因素生成一次性认证码,作为业务的身份认证,来提高业务的安全性。
3、在本发明中,根据获取的参考信息不同,通过认证强度的灵活配置和安全性的结合,解决了源代码调试程序被破译的问题。
4、在本发明中,解决了无论业务的安全需求是否一样都采用一种单一的认证方式,增加用户的操作,影响用户体验的问题。
5、在本发明中,环境比较安全的情况下采用弱认证使得操作体验更便捷;当环境存在一定风险时,提高认证级别,保证用户安全。
附图说明
下面将以明确易懂的方式,结合附图说明优选实施方式,对一种基于移动终端动态认证方法及系统特性、技术特征、优点及其实现方式予以进一步说明。
图1是本发明基于移动终端动态认证方法一个实施例的流程图;
图2是本发明基于移动终端动态认证方法另一个实施例的流程图;
图3是本发明基于移动终端动态认证系统的一个实施例的结构示意图;
图4是本发明基于移动终端动态认证系统另一个实施例的结构示意图;
图5是本发明基于移动终端动态认证方法另一个实施例的流程图。
具体实施方式
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对照附图说明本发明的具体实施方式。显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图,并获得其他的实施方式。
为使图面简洁,各图中只示意性地表示出了与本发明相关的部分,它们并不代表其作为产品的实际结构。另外,以使图面简洁便于理解,在有些图中具有相同结构或功能的部件,仅示意性地绘示了其中的一个,或仅标出了其中的一个。在本文中,“一个”不仅表示“仅此一个”,也可以表示“多于一个”的情形。
本发明提供一种基于移动终端动态认证方法的实施例,包括:步骤S100在预设时间期限内获取数据库中所属移动终端的待认证参考信息,所述数据库保存在服务器中;步骤S200对保存在数据库中所属移动终端的待认证参考信息进行安全检测;步骤S300根据所述步骤S200中对所述待认证参考信息进行安全检测的结果信息,设置相应的动态认证策略;步骤S400根据所述步骤S300设置的动态认证策略,在用户进行登录时进行相应的认证。
具体的,在本实施例中,参考图1所示;服务器在定期的检测移动终端安全状态,主要包括参考信息包括:移动终端的操作系统是否超过所属移动终端的使用权限;安全插件是否保存在移动终端系统中即安全插件是否下载;应用程序签名值和hash值信息与所述预设信息一致时即移动终端系统中每一个数据包中都包括密钥,即公钥和私钥,在记性解密中时密钥是够一致;身份认证即在移动终中每一个应用系统的身份信息的完善程度,是否可以避免程序仿造的共计危害;还包括其他检测项:a.debug破译者调试App b.截屏c.动态注入d.虚假WI-FI;通过以上参考信息的检测,判断移动终端的安全等级,根据安全等级即危险程度,采用不同的安全的策略进行相应的认证。
在本发明中,根据检测移动终端的安全状况,当安全状况较好时,使用低级别的认证策略,当安全状况不好时,自动增强认证强度;使得用户体验更智能,认证强度更合理、更安全。
优选的,包括:步骤310当所述待认证参考信息中移动终端的操作系统未超过所属移动终端的使用权限,并且安全插件保存在移动终端系统中,同时应用程序签名值和hash值信息与所述预设信息一致时;身份认证失败,设置所述移动终端的认证策略为“第一认证策略”。
和/或;
步骤320判断当所述待认证参考信息中移动终端的操作系统未超过所属移动终端的使用权限,判断所述安全插件未保存在移动终端系统中,和/或,所述应用程序签名值和所述hash值信息与所述预设信息不一致时;设置所述移动终端的认证策略为“第二认证策略”。
优选的,包括:步骤330判断当所述待认证参考信息中移动终端的操作系统超过所属移动终端的使用权限时,判断安全插件未保存在移动终端系统中时,向所述移动终端发送下载所述安全插件的提醒信息;
或者,
步骤340判断当所述待认证参考信息中移动终端的操作系统超过所属移动终端的使用权限,安全插件保存在移动终端系统中时,设置所述移动终端的认证策略为“第三认证策略”。
具体的,本实施例是在以上实施例的基础上提供的又一实施例,参考图2所示;服务器根据从移动终端中获取的参考信息进行判断检测,移动终端的操作系统是否超过所属移动终端的使用权限,即是判断移动终端是否root(越狱):root的移动终端存在文件夹可以修改的权限,使得移动终端的风险大大提高;当前用户的移动终端是否下载了安全插件;安全插件:认证系统根据白盒算法为每个用户、每个终端生成的唯一的安全插件,在进行认证业务时可根据设备信息、挑战码、交易要素等多因素生成一次性认证码,作为业务的身份认证,来提高业务的安全性;应用的签名值和hash值是否与一致,应用的签名值不一致,证明该应用的版本不一致,风险也会很高;是否进行身份认证:该用户的身份信息的完善性一定程度上能够避免程序仿造的攻击危害;首先判断移动终端是否越狱,没有越狱,已经下载安全插件,应用的签名值和hash值与预设也一致,此时移动终端的工作状态处于正常状态,此时在进行登录过程中,采用最基本的认证方式,也即“第一认证策略”;其次如果移动终端没有越狱,再判断安全插件是否下载和应用的签名值和hash值是否与预设一致,只要其中之一发生异常,“没有下载或不一致”,此时在进行登录过程中,采用最基本的认证方式和生物认证方式,也即“第二认证策略”;再次当移动终端已越狱,再次判断没有下载安全插件,那么此时用户无法完成认证,不能执行任何操作,服务器会推送此时的移动终端处于超级危险状态的信息,提醒用户当前移动终端需要下载安全插件;最后当移动终端已越狱,移动终端已下载安全插件,此时在进行登录过程中,采用最基本的认证方式,生物认证方式,挑战认证方式完成登录认证,也即“第三认证策略”。
在本发明中,根据检测的参考信息的不同检测结果设置不同安全认证策略,合理利用系统资源,提高了系统的响应速度;根据参考信息设置认证策略,当风险程度在增加时,其采用的认证策略在不同程度上增强,以此提高信息数据的安全性。
优选的,步骤S410当选择所述第一认证策略时进行登录时,服务器根据用户登录信息获取登录密码,对所述登录密码进行认证。
优选的,步骤S420当选择所述第二认证策略时进行登录时,服务器根据用户登录信息获取登录密码,对所述登录密码进行认证;步骤S421服务器进一步获取用户的生物特征信息,进行生物认证。
优选的,步骤S430当选择所述第二认证策略时进行登录时,服务器根据用户登录信息获取登录密码,对所述登录密码进行认证;步骤S431服务器进一步获取用户的生物特征信息,进行生物认证;步骤S432服务器进一步获取动态数据信息生成挑战信息,进行挑战认证。
具体的,本实施例是在以上实施例的基础上提供的又一实施例,参考图2所示;第一认证策略包括当前安全状况良好,使用基本的app服务端校验策略,即app的服务端校验:用户信息、登录密码、支付密码等;第二认证策略中的生物认证包括:获取用户在所属移动终端中设置的指纹、手势码、声波、人脸、瞳孔进行认证;第三认证策略中的挑战认证包括:根据当前时间,系统内动态的参数等生成的保护码、时间型认证码、挑战型认证码、PIN码型认证码、客户端挑战型认证码、PIN加客户端挑战型认证码、PIN加服务端挑战型认证码、服务端加客户端挑战型认证码等。
在本发明中,能够根据当前移动终端的健康状况,动态调整认证项,动态增强认证强度;使移动终端处于安全状况良好的使用状态,体现出认证更加便捷、灵活,合理、安全。
本发明还提一种基于移动终端动态认证系统的一个实施例,包括:参考信息获取模块100,在预设时间期限内获取数据库中所属移动终端的待认证参考信息,所述数据库保存在服务器中;参考信息检测模块200,与所述参考信息获取模块电连接,对保存在数据库中所属移动终端的待认证参考信息进行安全检测;认证策略设置模块300,与所述参考信息检测模块电连接,根据所述参考信息检测模块200中对所述待认证参考信息进行安全检测的结果信息,设置相应的动态认证策略;登录认证模块400,根据所述认证策略设置模块300设置的动态认证策略,在用户进行登录时进行相应的认证。
具体的,在本实施例中,参考图3所示;服务器在定期的检测移动终端安全状态,主要包括参考信息包括:移动终端的操作系统是否超过所属移动终端的使用权限;安全插件是否保存在移动终端系统中即安全插件是否下载;应用程序签名值和hash值信息与所述预设信息一致时即移动终端系统中每一个数据包中都包括密钥,即公钥和私钥,在记性解密中时密钥是够一致;身份认证即在移动终中每一个应用系统的身份信息的完善程度,是否可以避免程序仿造的共计危害;还包括其他检测项:a.debug破译者调试App b.截屏c.动态注入d.虚假WI-FI;通过以上参考信息的检测,判断移动终端的安全等级,根据安全等级即危险程度,采用不同的安全的策略进行相应的认证。
在本发明中,根据检测移动终端的安全状况,当安全状况较好时,使用低级别的认证策略,当安全状况不好时,自动增强认证强度;使得用户体验更智能,认证强度更合理、更安全。
优选的,包括:第一认证设置子模块310,当所述待认证参考信息中移动终端的操作系统未超过所属移动终端的使用权限,并且安全插件保存在移动终端系统中,同时应用程序签名值和hash值信息与所述预设信息一致时;身份认证失败,设置所述移动终端的认证策略为“第一认证策略”;
和/或;
第二认证设置子模块320,判断当所述待认证参考信息中移动终端的操作系统未超过所属移动终端的使用权限时,判断所述安全插件未保存在移动终端系统中,和/或,所述应用程序签名值和所述hash值信息与所述预设信息不一致时;设置所述移动终端的认证策略为“第二认证策略”。
优选的,包括:认证提醒子模块330,当所述待认证参考信息中移动终端的操作系统超过所属移动终端的使用权限时,判断安全插件未保存在移动终端系统中时,向所述移动终端发送下载所述安全插件的提醒信息;或者,第三认证设置子模块340,判断当所述待认证参考信息中移动终端的操作系统超过所属移动终端的使用权限,安全插件保存在移动终端系统中时,设置所述移动终端的认证策略为“第三认证策略”。
具体的,本实施例是在以上实施例的基础上提供的又一实施例,参考图4所示;服务器根据从移动终端中获取的参考信息进行判断检测,移动终端的操作系统是否超过所属移动终端的使用权限,即是判断移动终端是否root(越狱):root的移动终端存在文件夹可以修改的权限,使得移动终端的风险大大提高;当前用户的移动终端是否下载了安全插件;安全插件:认证系统根据白盒算法为每个用户、每个终端生成的唯一的安全插件,在进行认证业务时可根据设备信息、挑战码、交易要素等多因素生成一次性认证码,作为业务的身份认证,来提高业务的安全性;应用的签名值和hash值是否与一致,应用的签名值不一致,证明该应用的版本不一致,风险也会很高;是否进行身份认证:该用户的身份信息的完善性一定程度上能够避免程序仿造的攻击危害;首先判断移动终端是否越狱,没有越狱,已经下载安全插件,应用的签名值和hash值与预设也一致,此时移动终端的工作状态处于正常状态,此时在进行登录过程中,采用最基本的认证方式,也即“第一认证策略”;其次如果移动终端没有越狱,再判断安全插件是否下载和应用的签名值和hash值是否与预设一致,只要其中之一发生异常,“没有下载或不一致”,此时在进行登录过程中,采用最基本的认证方式和生物认证方式,也即“第二认证策略”;再次当移动终端已越狱,再次判断没有下载安全插件,那么此时用户无法完成认证,不能执行任何操作,服务器会推送此时的移动终端处于超级危险状态的信息,提醒用户当前移动终端需要下载安全插件;最后当移动终端已越狱,移动终端已下载安全插件,此时在进行登录过程中,采用最基本的认证方式,生物认证方式,挑战认证方式完成登录认证,也即“第三认证策略”。
在本发明中,根据检测的参考信息的不同检测结果设置不同安全认证策略,合理利用系统资源,提高了系统的响应速度;根据参考信息设置认证策略,当风险程度在增加时,其采用的认证策略在不同程度上增强,以此提高信息数据的安全性。
优选的,所述登录认证模块,用于当选择第一认证策略进行登录时,服务器根据用户登录信息获取登录密码,对所述登录密码进行认证。
优选的,所述登录认证模块,还用于当选择第二认证策略进行登录时,服务器根据用户登录信息获取登录密码,对所述登录密码进行认证;进一步获取用户的生物特征信息,进行生物认证。
优选的,所述登录认证模块,还用于当选择第三认证策略进行登录时,服务器根据用户登录信息获取登录密码,对所述登录密码进行认证;再次获取用户的生物特征信息,进行生物认证;进一步获取动态数据信息生成挑战信息,进行挑战认证。
具体的,本实施例是在以上实施例的基础上提供的又一实施例,参考图4所示;第一认证策略包括当前安全状况良好,使用基本的app服务端校验策略,即app的服务端校验:用户信息、登录密码、支付密码等;第二认证策略中的生物认证包括:获取用户在所属移动终端中设置的指纹、手势码、声波、人脸、瞳孔进行认证;第三认证策略中的挑战认证包括:根据当前时间,系统内动态的参数等生成的保护码、时间型认证码、挑战型认证码、PIN码型认证码、客户端挑战型认证码、PIN加客户端挑战型认证码、PIN加服务端挑战型认证码、服务端加客户端挑战型认证码等。
在本发明中,能够根据当前移动终端的健康状况,动态调整认证项,动态增强认证强度;使移动终端处于安全状况良好的使用状态,体现出认证更加便捷、灵活,合理、安全。
本发明还提一种基于移动终端动态认证方法的一个实施例;参考图5所示;包括:根据移动终端当前健康状态监测的结果,生成移动终端环境安全评分(评分机制参照术语解释);将移动终端评分传到服务器,服务器根据评分动态调整需要检测的策略项(认证策略机制参照实施例),生成一个策略值,返给客户端;客户端解析策略值得到需要验证的策略项,拼接策略项到服务器完成认证。移动终端健康状态评分:通过检测移动终端当前的各种安全因素,综合计算出移动终端安全状况评分,检测项包括以下内容:
移动终端是否root(越狱):root的移动终端存在文件夹可以修改的权限,使得移动终端的风险大大提高;权重分配0.4;
当前用户是否下载了安全插件:安全插件能够使用SOTP完成认证,大大增强了安全等级;权重分配0.2;
应用的签名值和hash值:应用的签名值不一致,证明该应用的版本不一致,风险也会很高;权重分配0.2;
是否进行身份认证:该用户的身份信息的完善性一定程度上能够避免程序仿造的攻击危害;权重分配0.1;
其他检测项:
a.debug破译者调试App,
危害:破译源码调试程序;
b.截屏截获程序运行时的关键操作,主要是输入操作比如密码等,
危害:拿到密码后随意操作用户账户;
c.动态注入:编译脚本注入程序重新打包,破坏原有逻辑,
危害:能获取到更多的用户数据;
d.WI-FI:虚假WI-FI,
危害:过滤通过该WFIFI的交互数据,获取及破译用户的安全数据,比如支付宝,银行卡以及密码等;
上面四项综合权重分配0.1;
根据以上的权重进行分数统计,假设100分制,将所有检测项按照权重划分为不同的分数,检测无风险则计入总分中最后算出得分,认证策略验证机制:
基本策略:当评分在85%以上时,当前安全状况良好,使用基本的app服务端校验策略(例如:支付密码);当检测结果满足以下条件之一时评分落在此区间:a.未身份认证;b.其他检测异常;c.无异常以上情形风险较小可以使用基本测完成认证;
增强策略:当评分在85%-60%之间,当前安全状况一般,使用app服务端校验项其中一项+app端生物因素校验项其中一项进行校验(例如:支付密码+指纹);当检测结果满足以下条件之一时评分落在区间内:a.未下载插件;b.hash签名不匹配;c.未身份认证+其他检测异常,以上情形存在移动终端app被篡改重新打包的风险需要使用增强策略;
SOTP增强策略:当评分低于60%且已经下载过SOTP插件时:当前安全状况差,使用app服务端校验项其中一项+app端生物因素校验项其中一项+认证系统校验项其中一项进行校验(例如:支付密码+指纹+挑战型认证码);当检测结果满足以下条件之一时评分低于60:a.root,b.hash签名不匹配+未身份认证+其他检测异常,以上两种情形存在root等高风险(风险参照术语解释)的操作,所以需要使用更高的认证手段。
动态调整的策略如下:
1、app端生物因素校验:指纹、手势码、声波、人脸、瞳孔等
2、app的服务端校验:用户信息、登录密码、支付密码等
3、认证系统校验:保护码、时间型认证码、挑战型认证码、PIN码型认证码、客户端挑战型认证码、PIN加客户端挑战型认证码、PIN加服务端挑战型认证码、服务端加客户端挑战型认证码等。
在本发明中,可实现以下技术效果:
1、能够根据当前移动终端的健康状况,动态调整认证项,动态增强认证强度;
2、当移动终端安全状况良好时体现出认证更加便捷、灵活,当移动终端安全情况欠佳时,提高认证强度体现出安全。
应当说明的是,上述实施例均可根据需要自由组合。以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (12)
1.一种基于移动终端动态认证方法,其特征在于,包括:
步骤S100在预设时间期限内获取数据库中所属移动终端的待认证参考信息,所述数据库设置保存在服务器中;其中,所述待认证参考信息包括移动终端的操作系统是否root、安全插件是否保存在移动终端系统中即安全插件是否下载、应用程序签名值和hash值信息与所述预设信息是否一致;
步骤S200对保存在数据库中所属移动终端的待认证参考信息进行安全检测;
步骤S300根据所述步骤S200中对所述待认证参考信息进行安全检测的结果信息,设置相应的动态认证策略;
步骤S400根据所述步骤S300设置的动态认证策略,在用户进行登录时进行相应的认证;
所述步骤S200对保存在数据库中所属移动终端的待认证参考信息进行安全检测具体包括:
根据所述待认证参考信息中的各安全因素的权重信息生成移动终端的环境安全评分,并将所述环境安全评分发送至服务器;
所述步骤S300根据所述步骤S200中对所述待认证参考信息进行安全检测的结果信息,设置相应的动态认证策略具体包括:
接收所述服务器返回的策略值,并根据所述策略值解析得到需要验证的策略项,所述策略值由所述服务器根据需要检测的策略项生成,所述策略项由所述服务器根据所述环境安全评分动态调整得到,其中,所述策略项包括app的服务端校验、app端生物因素校验、认证系统校验中的任意一种或多种;
所述步骤S400根据所述步骤S300设置的动态认证策略,在用户进行登录时进行相应的认证具体包括:
根据所述策略项,在用户进行登录时进行相应的认证。
2.根据权利要求1所述的基于移动终端动态认证方法,其特征在于,包括:
步骤310当所述待认证参考信息中移动终端的操作系统未超过所属移动终端的使用权限,并且安全插件保存在移动终端系统中,同时应用程序签名值和hash值信息与所述预设信息一致时;身份认证失败,设置所述移动终端的认证策略为“第一认证策略”;
和/或;
步骤320当所述待认证参考信息中移动终端的操作系统未超过所属移动终端的使用权限时,判断所述安全插件未保存在移动终端系统中,和/或,所述应用程序签名值和所述hash值信息与所述预设信息不一致时;设置所述移动终端的认证策略为“第二认证策略”。
3.根据权利要求1所述的基于移动终端动态认证方法,其特征在于,包括:
步骤330当所述待认证参考信息中移动终端的操作系统超过所属移动终端的使用权限时,判断安全插件未保存在移动终端系统中时,向所述移动终端发送下载所述安全插件的提醒信息;
或者,
步骤340判断当所述待认证参考信息中移动终端的操作系统超过所属移动终端的使用权限,安全插件保存在移动终端系统中时,设置所述移动终端的认证策略为“第三认证策略”。
4.根据权利要求2所述的基于移动终端动态认证方法,其特征在于,
步骤S410当选择所述第一认证策略时进行登录时,服务器根据用户登录信息获取登录密码,对所述登录密码进行认证。
5.根据权利要求2所述的基于移动终端动态认证方法,其特征在于,
步骤S420当选择所述第二认证策略时进行登录时,服务器根据用户登录信息获取登录密码,对所述登录密码进行认证;
步骤S421服务器进一步获取用户的生物特征信息,进行生物认证。
6.根据权利要求3所述的基于移动终端动态认证方法,其特征在于,
步骤S430当选择所述第三认证策略时进行登录时,服务器根据用户登录信息获取登录密码,对所述登录密码进行认证;
步骤S431服务器再次获取用户的生物特征信息,进行生物认证;
步骤S432服务器进一步获取动态数据信息生成挑战信息,进行挑战认证。
7.一种基于移动终端动态认证系统,其特征在于,包括:
参考信息获取模块,在预设时间期限内获取数据库中所属移动终端的待认证参考信息,所述数据库保存在服务器中;其中,所述待认证参考信息包括移动终端的操作系统是否root;安全插件是否保存在移动终端系统中即安全插件是否下载;应用程序签名值和hash值信息与所述预设信息是否一致;
参考信息检测模块,与所述参考信息获取模块电连接,对保存在数据库中所属移动终端的待认证参考信息进行安全检测;
认证策略设置模块,与所述参考信息检测模块电连接,根据所述参考信息检测模块中对所述待认证参考信息进行安全检测的结果信息,设置相应的动态认证策略;
登录认证模块,根据所述认证策略设置模块设置的动态认证策略,在用户进行登录时进行相应的认证;
所述参考信息检测模块包括:
评分生成单元,用于根据所述待认证参考信息中的各安全因素的权重信息生成移动终端的环境安全评分;
发送单元,用于将所述环境安全评分发送至服务器;
所述认证策略设置模块包括:
接收单元,用于接收所述服务器返回的策略值;
解析单元,用于根据所述策略值解析得到需要验证的策略项,所述策略值由所述服务器根据需要检测的策略项生成,所述策略项由所述服务器根据所述环境安全评分动态调整得到,其中,所述策略项包括app的服务端校验、app端生物因素校验、认证系统校验中的任意一种或多种;
所述登录认证模块包括:
认证单元,用于根据所述策略项,在用户进行登录时进行相应的认证。
8.根据权利要求7所述的基于移动终端动态认证系统,其特征在于,包括:
第一认证设置子模块,当所述待认证参考信息中移动终端的操作系统未超过所属移动终端的使用权限,并且安全插件保存在移动终端系统中,同时应用程序签名值和hash值信息与所述预设信息一致时;身份认证失败,设置所述移动终端的认证策略为“第一认证策略”;
第二认证设置子模块,当所述待认证参考信息中移动终端的操作系统未超过所属移动终端的使用权限时,判断所述安全插件未保存在移动终端系统中,和/或,所述应用程序签名值和所述hash值信息与所述预设信息不一致时;设置所述移动终端的认证策略为“第二认证策略”。
9.根据权利要求7所述的基于移动终端动态认证系统,其特征在于,包括:
认证提醒子模块,当所述待认证参考信息中移动终端的操作系统超过所属移动终端的使用权限时,判断安全插件未保存在移动终端系统中时,向所述移动终端发送下载所述安全插件的提醒信息;
第三认证设置子模块,判断当所述待认证参考信息中移动终端的操作系统超过所属移动终端的使用权限,安全插件保存在移动终端系统中时,设置所述移动终端的认证策略为“第三认证策略”。
10.根据权利要求8所述的基于移动终端动态认证系统,其特征在于:
所述登录认证模块,用于当选择第一认证策略进行登录时,服务器根据用户登录信息获取登录密码,对所述登录密码进行认证。
11.根据权利要求8所述的基于移动终端动态认证系统,其特征在于:
所述登录认证模块,还用于当选择第二认证策略进行登录时,服务器根据用户登录信息获取登录密码,对所述登录密码进行认证;进一步获取用户的生物特征信息,进行生物认证。
12.根据权利要求9所述的基于移动终端动态认证系统,其特征在于:
所述登录认证模块,还用于当选择第三认证策略进行登录时,服务器根据用户登录信息获取登录密码,对所述登录密码进行认证;再次获取用户的生物特征信息,进行生物认证;进一步获取动态数据信息生成挑战信息,进行挑战认证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611122719.8A CN106453422B (zh) | 2016-12-08 | 2016-12-08 | 一种基于移动终端动态认证方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611122719.8A CN106453422B (zh) | 2016-12-08 | 2016-12-08 | 一种基于移动终端动态认证方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106453422A CN106453422A (zh) | 2017-02-22 |
| CN106453422B true CN106453422B (zh) | 2020-09-04 |
Family
ID=58217539
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611122719.8A Active CN106453422B (zh) | 2016-12-08 | 2016-12-08 | 一种基于移动终端动态认证方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106453422B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107959670B (zh) * | 2017-11-06 | 2020-12-18 | 北京明华联盟科技有限公司 | 一种动态口令的生成方法、装置、终端设备和存储介质 |
| CN109902545B (zh) * | 2017-12-11 | 2021-12-24 | 日立楼宇技术(广州)有限公司 | 用户特征分析方法及系统 |
| CN110493163A (zh) * | 2018-05-14 | 2019-11-22 | 优酷网络技术(北京)有限公司 | 多媒体资源请求的识别方法及装置 |
| CN109462501B (zh) * | 2018-10-29 | 2021-02-02 | 北京芯盾时代科技有限公司 | 一种认证流程控制方法及系统 |
| CN109639657A (zh) * | 2018-12-03 | 2019-04-16 | 北京芯盾时代科技有限公司 | 一种筛选认证方式的方法及装置 |
| CN109450959A (zh) * | 2019-01-08 | 2019-03-08 | 四川九洲电器集团有限责任公司 | 一种基于威胁等级的多因子身份认证方法 |
| CN110532752A (zh) * | 2019-09-03 | 2019-12-03 | 山东超越数控电子股份有限公司 | 一种登录云桌面系统的方法、设备及可读介质 |
| CN111800790B (zh) * | 2020-06-19 | 2021-02-02 | 安徽省信盾科技有限公司 | 基于云计算和5g互联的信息解析方法及人机协同云平台 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103685139A (zh) * | 2012-08-30 | 2014-03-26 | 中兴通讯股份有限公司 | 认证授权处理方法及装置 |
| CN104750463A (zh) * | 2013-12-26 | 2015-07-01 | 任子行网络技术股份有限公司 | 一种插件开发方法及系统 |
| CN105391544A (zh) * | 2015-11-19 | 2016-03-09 | 北京石油化工学院 | 一种适用于RFID认证系统的Hash函数构造方法 |
| WO2016079358A1 (es) * | 2014-11-21 | 2016-05-26 | Omnivisión Seguridad, S.L. | Sistema y procedimiento para la detección automática y gestión de infracciones de tráfico |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103888255B (zh) * | 2012-12-21 | 2017-12-22 | 中国移动通信集团公司 | 一种身份认证方法、装置及系统 |
| CN103269326A (zh) * | 2012-12-22 | 2013-08-28 | 潘铁军 | 一种面向泛在网的安全设备、多应用系统和安全方法 |
| CN105516195B (zh) * | 2016-01-19 | 2018-11-06 | 上海众人网络安全技术有限公司 | 一种基于应用平台登录的安全认证系统及其认证方法 |
-
2016
- 2016-12-08 CN CN201611122719.8A patent/CN106453422B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103685139A (zh) * | 2012-08-30 | 2014-03-26 | 中兴通讯股份有限公司 | 认证授权处理方法及装置 |
| CN104750463A (zh) * | 2013-12-26 | 2015-07-01 | 任子行网络技术股份有限公司 | 一种插件开发方法及系统 |
| WO2016079358A1 (es) * | 2014-11-21 | 2016-05-26 | Omnivisión Seguridad, S.L. | Sistema y procedimiento para la detección automática y gestión de infracciones de tráfico |
| CN105391544A (zh) * | 2015-11-19 | 2016-03-09 | 北京石油化工学院 | 一种适用于RFID认证系统的Hash函数构造方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106453422A (zh) | 2017-02-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106453422B (zh) | 一种基于移动终端动态认证方法及系统 | |
| US10798087B2 (en) | Apparatus and method for implementing composite authenticators | |
| CN106330850B (zh) | 一种基于生物特征的安全校验方法及客户端、服务器 | |
| CN106487511B (zh) | 身份认证方法及装置 | |
| CN100459488C (zh) | 便携式一次性动态密码生成器以及使用其的安全认证系统 | |
| CN106464673B (zh) | 用于验证装置注册的增强的安全性 | |
| US20220038291A1 (en) | Electronic signature authentication system based on biometric information and electronic signature authentication method | |
| CN101272237B (zh) | 一种用于自动生成和填写登录信息的方法和系统 | |
| CN111414599A (zh) | 身份验证方法、装置、终端、服务端以及可读存储介质 | |
| CN101051908B (zh) | 动态密码认证系统及方法 | |
| CN104113411B (zh) | 一种ic卡脱机pin验证方法以及ic卡脱机验证系统 | |
| CN103888255A (zh) | 一种身份认证方法、装置及系统 | |
| CN108496323B (zh) | 一种证书导入方法及终端 | |
| Marforio et al. | Hardened setup of personalized security indicators to counter phishing attacks in mobile banking | |
| CN107948186A (zh) | 一种安全认证方法及装置 | |
| CN2865145Y (zh) | 便携式一次性动态密码生成器以及使用其的安全认证系统 | |
| CN110990814A (zh) | 一种可信数字身份认证方法、系统、设备及介质 | |
| CN111600701B (zh) | 一种基于区块链的私钥存储方法、装置及存储介质 | |
| CN113205342A (zh) | 基于多端支付的用户身份验证方法及装置 | |
| CN111898101A (zh) | 一种应用的安全设备验证方法及装置 | |
| Tan et al. | Securing password authentication for web-based applications | |
| CN104009963B (zh) | 远程密码的安全认证机制 | |
| CN110505199A (zh) | 基于轻量级非对称身份的Email安全登录方法 | |
| CN116112234A (zh) | 一种电子签收安全校验方法、系统、介质及设备 | |
| CN113794571A (zh) | 一种基于动态口令的认证方法、装置及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 201203 Room 01, 1-4 storey, 9 Zuchong Road, China (Shanghai) Free Trade Pilot Area, Pudong New Area, Shanghai Applicant after: SHANGHAI PEOPLENET SECURITY TECHNOLOGY Co.,Ltd. Address before: 201821 room 4, building 1411, No. 211, Yecheng Road, Shanghai, Jiading District Applicant before: SHANGHAI PEOPLENET SECURITY TECHNOLOGY Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240522 Address after: Room 503, Building 3, No. 6, Xicheng Xi'an North Road, Xinluo District, Longyan City, Fujian Province, 364000 Patentee after: Xie Xinyong Country or region after: China Address before: 201203 Pudong New Area, Shanghai, China (Shanghai) free trade pilot area 899 9, 1-4 1-4 story 01 rooms. Patentee before: SHANGHAI PEOPLENET SECURITY TECHNOLOGY Co.,Ltd. Country or region before: China |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240619 Address after: Room A4, B2, C2, D3, D4, 27th Floor, Building A, Xinxing Building, No. 93 Minzu Avenue, Qingxiu District, Nanning City, Guangxi Zhuang Autonomous Region, 530000 Patentee after: Guangxi Tianshen Information Technology Co.,Ltd. Country or region after: China Address before: Room 503, Building 3, No. 6, Xicheng Xi'an North Road, Xinluo District, Longyan City, Fujian Province, 364000 Patentee before: Xie Xinyong Country or region before: China |