CN109818755A - 一种透明双因子认证系统及方法 - Google Patents
一种透明双因子认证系统及方法 Download PDFInfo
- Publication number
- CN109818755A CN109818755A CN201910175752.4A CN201910175752A CN109818755A CN 109818755 A CN109818755 A CN 109818755A CN 201910175752 A CN201910175752 A CN 201910175752A CN 109818755 A CN109818755 A CN 109818755A
- Authority
- CN
- China
- Prior art keywords
- mobile phone
- user
- browser
- server
- puf
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Telephonic Communication Services (AREA)
Abstract
本发明公开了一种透明双因子认证系统,包括浏览器端、服务器端和手机端;浏览器端用于用户登录注册、录音、音频加解密和数据传输;服务器端用于数据存储和数据传输;手机端用于录音、音频加解密、音频对比、数据传输和PUF认证。本发明还公开了所述透明双因子认证系统的方法。本发明在不改变用户体验的前提下提出对用户完全透明的基于物理不可克隆函数的认证以及环境背景音的特征分析与比对,避免了在用户与智能设备间的冗余互动,增强了单因子密码身份验证机制原本的安全性,着重提高了双因子认证系统的便捷性和安全性,并达到反欺诈的目的。
Description
技术领域
本发明具体涉及一种透明双因子认证系统及方法。
背景技术
随着信息化进程的不断深入和计算机网络的飞速发展,信息网络日益庞大,网络的种类、覆盖范围、节点数、用户数、数据类型、通信量不断增加,参与通信的平台和操作系统越来越多,通过网络传播的信息呈指数增长。人的生活、工作和学习方式正在发生巨大变化,信息资源得到最大程度的共享,效率大为提高;同时随着电子商务的发展,企业信息化进程不断深入,越来越多的企业和机构开始通过网络开展业务。然而,在享受网络带来的便利的同时,互联网开放性、多功能和多业务的特点,使得以互联网为核心的网络安全问题日益突出。据CNNIC统计,2015年,42.7%的网民遭遇过网络安全问题,网络安全成为信息网络健康发展必不可少的重要一环。
用户身份认证是网络安全中最直接也是最前沿的一道防线,目的是解决验证网络通讯双方真实身份的问题,并在通信双方之间建立相互信任的关系。传统的身份认证技术使用静态口令的“用户名+密码”单因子认证方式,这种方式是目前应用最为广泛的认证方法。它的优点是实现简单,部署方便,无须附加其他设备,但是这种基于密码的身份验证机制,只是单因子认证,安全性全部依赖于静态口令,口令一旦泄露,用户即可被冒充。在早期互联网阶段,由于远程访问没有广泛应用且攻击模式单一,这种单因子认证比较有效。而在病毒泛滥的今天,木马可以截获用户的按键记录,甚至可以通过对鼠标点击位置的比对破译出用户的登录账号和密码,从而突破密码保护技术。在2015年度的互联网安全事件中,电脑与手机中病毒或木马的情况最为严重,发生率为24.2%,其次是账号或密码被盗,发生率为22.9%。例如,CSDN的“泄密门”事件曾波及到数家从事互联网应用的企业,包括人人网、天涯、多玩等公司的静态账户被泄露。2016年5月,谷歌宣布计划全面取消密码,其认为最安全的方式是用多种混合认证,并开发了全新的认证方式。
由此可见,基于密码的单因子身份认证已经越来越不适用,所以更安全的机制亟待被设计出来,双因子认证技术应运而生。双因子认证技术是指将密码以及实物(信用卡、手机、令牌或指纹)等结合,形成两种因子对用户进行合法性验证的方法。然而,相对于常用的密码验证方式,双因子验证在以不同的实物作为因子时,会或多或少增加操作步骤,会给用户带来许多不便。比如动态令牌方式属于一次性密码,通过多重验证对用户身份进行鉴别,安全性好但访问不同网站时往往需要不同的令牌,当你需要同时访问许多网站时,携带一大串令牌将会显得很麻烦。同时,现有的双因子认证方式也受到了一些质疑,例如迈克菲和Guardian Analytics公司发布题为《深度剖析针对高净值账户的盗窃行为》联合报告,其中提到某国际性犯罪团伙一直在窥视着企业和个人的银行账户,并且采用了与某地远程服务器密切关联的自动化操作,通过未授权且具有欺诈性的转账,企图盗窃巨额资金。由于犯罪团伙给受害者的计算机植入了恶意软件,因此在登录并验证第二重因子的过程中,用来验证银行账户访问授权的双因子认证令牌形同虚设,被他们轻易地窃取到令牌的密码信息。不法分子甚至可以操纵用户的验证过程,并将窃取到的密码信息整合到针对账户的自动化攻击过程中,最终窃取用户的资产。这种通过植入恶意软件来威胁认证安全性的例子屡见不鲜。然而威胁双因子认证的手段远不止这些,甚至不需要任何的技术便能达到欺诈的目的。2016年5月,央视曝光的一则关于双因子认证的电信诈骗新闻,被疯狂传播。即使有双因子认证的存在,不法分子仍通过中国移动的一项在线4G换卡的冷门业务,轻松窃取被害人全部资产。不法分子所做的仅仅是冒充受害者申请线上4G自助换卡业务,并假冒中国移动,欺骗受害人回复收到的认证短信第二重认证因子。因为受害人突然收到真的业务信息,便轻易的被不法分子“1分钟内回复收到验证信息,免费取消业务”的短信所欺骗并回复。这样,不法分子得到了第二重因子,便能轻易窃取被害人资产。这类无技术含量的欺骗非常容易实现。该事件发生的根本原因在于当前的第二因子的认证过程涉及用户操作,犯罪分子可通过欺诈手段骗取到用户的第二重验证因子,从而完成认证过程。
综上所述,当前的传统静态口令验证面临极大的威胁,一旦泄露,用户将毫无安全性可言。而当前的双因子认证虽然在一定程度上提高了用户的安全性,但是不仅增加了冗余的操作,降低了用户体验,且需要人为交互,易受诈骗等威胁。
发明内容
本发明的目的之一在于提供一种可靠性高、机密性好且使用方便的透明双因子认证系统。
本发明的目的之二在于提供一种所述透明双因子认证系统的方法。
本发明提供的这种透明双因子认证系统,包括浏览器端、服务器端和手机端;浏览器端包括浏览器登录注册模块、浏览器录音模块、浏览器音频加解密模块和浏览器数据传输模块;服务器端包括服务器数据库存储模块和服务器数据传输模块;手机端包括手机录音模块、手机音频加解密模块、手机音频对比模块、手机数据传输模块和手机PUF模块;浏览器登录注册模块用于对用户进行登录或注册操作时对输入信息的鉴别与传输;浏览器录音模块用于在服务器通过对用户的用户名和密钥进行验证后对用户设备周围的环境声音进行采集;浏览器音频加解密模块用于对浏览器采集的环境声音数据进行加密;浏览器数据传输模块用于浏览器与服务器、浏览器与手机之间的数据传输;服务器数据库存储模块用于在用户进行登录或注册过程中服务器向服务器数据库存储模块进行查询或插入数据;服务器数据传输模块用于服务器端与浏览器端、服务器端与手机端之间的数据传输;手机录音模块用于服务器通过对用户名和密钥的验证后对用户手机所在的环境的环境声音进行录制;手机音频加解密模块用于对手机采集完毕的音频数据进行加密;手机音频对比模块用于对用户浏览器端录制的声音数据和手机端录制的声音数据进行对比;手机数据传输模块用于手机端与服务器端、手机端与浏览器端之间的数据传输;手机PUF模块用于在服务器通过对用户的用户名和密钥验证后对用户手机的合法性进行确认。
本发明还提供了一种所述透明双因子认证系统的方法,包括如下步骤:
S1.用户通过浏览器进行登录,浏览器将用户的登录信息上传服务器;
S2.服务器对用户的登录信息进行验证,同时服务器验证用户手机的PUF响应;
S3.浏览器通过所在的设备录制若干时间的设备所在环境的环境声音,同时控制用户手机录制相同时间的手机所在环境的环境声音;
S4.比对浏览器所录制的设备所在环境的环境声音与手机所录制的手机所在环境的环境声音;
S5.对步骤S4的比对结果进行判定并将判定结果发送给浏览器;
S6.浏览器根据接收的判定结果对用户进行认证。
步骤S2所述的服务器对用户的登录信息进行验证,同时服务器验证用户手机的PUF响应,具体为采用如下步骤进行验证:
A.服务器对用户的登录信息进行验证:
若验证通过,则服务器向用户手机发送PUF激励进行合法性验证;
若验证不通过,则服务器向浏览器下发提示信息;
B.服务器向用户手机发送PUF激励进行合法性验证,并获取用户手机端回复的PUF响应:
若用户手机端回复的PUF响应与服务器端存储的PUF响应相等,则进行后续的认证过程;
若用户手机端回复的PUF响应与服务器端存储的PUF响应不相等,则服务器向浏览器下发提示信息。
步骤S3所述的浏览器通过所在的设备录制若干时间的设备所在环境的环境声音,同时控制用户手机录制相同时间的手机所在环境的环境声音,具体为浏览器通过HTML5中的WebRTC PAI来调用用户设备的麦克风进行设备所在环境的环境声音录制,同时用户手机也进行相应的用户手机所在环境的环境声音录制;用户设备和用户手机所录制的各自的环境声音的时间长相等,且在时间上必须同步。
步骤S4所述的比对浏览器所录制的设备所在环境的环境声音与手机所录制的手机所在环境的环境声音,具体为浏览器将录制的用户设备所在环境的环境声音加密后发送给服务器,服务器将接收到的数据直接转发给用户的手机,用户的手机解密接收到的用户设备所在环境的环境声音,并与自身录制的环境声音进行对比。
步骤S5所述的对步骤S4的比对结果进行判定并将判定结果发送给浏览器,具体为用户手机对录制的两组声音信息进行对比,并将对比结果发送给服务器,服务器将接收到的对比结果直接转发给浏览器。
步骤S6所述的浏览器根据接收的判定结果对用户进行认证,具体为若浏览器接收的判定结果为两组声音数据的相似度高于或等于设定的阈值,则用户认证通过;若浏览器接收的判定结果为两组声音数据的相似度低于设定的阈值,则用户认证不通过。
步骤S2所述的服务器验证用户手机的PUF响应,具体为采用如下步骤进行验证:采用机器学习算法建立PUF的激励响应函数,并模拟和预测PUF的随机响应;对PUF的随机响应进行验证。
步骤S4所述的比对浏览器所录制的设备所在环境的环境声音与手机所录制的手机所在环境的环境声音,具体为使用交叉相关来判断音频的相似性。
本发明提供的这种透明双因子认证系统及方法,通过设计基于PUF和声纹的透明双因子认证机制,在不改变用户体验的前提下(即仅仅需要用户输入用户名和静态密码口令),提出对用户完全透明的基于物理不可克隆函数的认证以及环境背景音的特征分析与比对,避免了在双因子认证阶段用户与智能设备间的冗余互动,不仅增强了单因子密码身份验证机制原本的安全性,还着重提高了双因子认证系统的便捷性和安全性,同时达到反欺诈的目的,具有很好的应用前景。
附图说明
图1为本发明方法的方法流程图。
图2为本发明方法中的Arbiter-based PUF的基本结构示意图。
图3为本发明方法中的基于PUF的传统认证的认证示意图。
图4为本发明的认证系统的系统模块示意图。
图5为本发明的实施例的室外环境下音频相似度测试数据表。
图6为本发明的实施例的安静环境下音频相似度测试数据表。
图7为本发明的实施例的安静环境中音频相似度对比结果示意图。
图8为本发明的实施例的室内情况下音频相似度对比结果示意图。
图9为本发明的实施例的室内情况下音频相似度对比结果示意图。
图10为本发明的实施例的室外情况下音频相似度对比结果事宜图。
图11为本发明的实施例的逻辑回归对64x64Arbiter PUF建模效果示意图。
具体实施方式
如图1所示为本发明方法的方法流程图:本发明提供的这种基于透明双因子的认证方法,包括如下步骤:
S1.用户通过浏览器进行登录,浏览器将用户的登录信息上传服务器;
S2.服务器对用户的登录信息进行验证,同时服务器验证用户手机的PUF响应;具体为采用如下步骤进行验证:
A.服务器对用户的登录信息进行验证:
若验证通过,则服务器向用户手机发送PUF激励进行合法性验证;
若验证不通过,则服务器向浏览器下发提示信息;
B.服务器向用户手机发送PUF激励进行合法性验证,并获取用户手机端回复的PUF响应:
若用户手机端回复的PUF响应与服务器端存储的PUF响应相等,则进行后续的认证过程;
若用户手机端回复的PUF响应与服务器端存储的PUF响应不相等,则服务器向浏览器下发提示信息;
在具体实施时,采用如下步骤进行验证:采用机器学习算法建立PUF的激励响应函数,并模拟和预测PUF的随机响应;并PUF的随机响应进行验证;
以下对物理不可克隆函数及其具体实施例进行说明:
物理不可克隆函数(Physical Unclonable Function,PUF)作为一种新的硬件安全原语,近年得到国内外学术界的广泛研究,工业界也已基于PUF开发出相应的产品;PUF利用芯片制造的差异性(Fabrication Variation)可以唯一地标识同一生产工艺制造出来的芯片(即硬件指纹),当给PUF一个激励时,它会产生一个响应。即使拥有复杂度很高的生产设备也不可能制造出第二个激励-响应行为完全相同的系统。目前虽然很难对所有种类的PUF有一个统一的定义,但是PUF都应该满足以下性质:
永久性和不可预测性:激励(Ci)的响应(Ri)是随机的、不可预测的,但是在同一个激励下多次测量得到的响应值是不变的;
不可克隆性:不通过物理访问PUF是不可能从Ci得到Ri的。换句话说,给定一个PUF,攻击者想重新构建一个满足所有激励到对应响应映射关系的PUF是不可行的;
防篡改性:对PUF入侵性攻击会破坏PUF的结构,而这种破坏很容易被检测到;
因为这些独特的属性,PUF可广泛用于IP保护、FPGA安全和设备认证;自从第一个光PUF被提出后,大量PUF结构,比如Arbiter PUF,RO PUF和SRAM PUF等被提出。其中Arbiter PUF作为一种经典的强PUF,具有大量的激励响应对,从而很适合用于设备认证。
Arbiter PUF由Lee等人提出,其结构如下图2所示。结构中两条平行的n阶多路选择器链共享输入端,输出端分别连接到一个触发器的D输入端和时钟输入端。其中输入端使用阶跃输入信号,多路选择器链的选择端形成激励输入位b1~bn。信号bi决定在多路选择器链的第i阶所输入的阶跃信号是沿着原来的多路选择器链传输还是使得两条平行链上的信号互换。不同的激励输入位信号以及上下两条多路选择器链在时延特性上的差异决定了阶跃信号会先到达触发器的D输入端还是时钟输入端,从而分别导致逻辑1或逻辑0被锁存。被锁存的值即可以作为PUF响应的1个比特位。
利用PUF做认证的最常用的方式是在PUF出厂时测试出大量的激励响应对,然后将激励响应对(Challenge-Response Pairs,CRP)存储于服务器中;如图3所示,PUF被嵌入到设备A中,CRP被收集存储在服务器的安全数据库中。由于每个设备的PUF响应都是唯一且不可预知的,因此,随机给定一个激励,可以简单地将设备生成的响应与数据库中预先存储的响应进行比较,从而对集成PUF的设备进行合法性验证。为了防止中间人攻击,已使用的CRP将从数据库中删除。但是每个PUF都有大量的激励响应对,存储所有设备的PUF的激励响应,对服务器存储要求非常高,因此不建议使用这种认证模式。
本申请提出的双因子认证方案中使用物理不可克隆函数对智能设备(手机等)进行合法性认证,通过对PUF建模,将建模后的参数存储在服务器中,替换传统的存储激励响应对的方式对设备进行合法性验证,从而节省大量存储开销。如果知道PUF路径中全部单元的延迟,则给定激励后很容易计算出响应,但是在实践中想要测出每个单元的时延是非常困难的。因此,使用机器学习的方法仿真出PUF电路路径中每个单元的延迟,也就说使用机器学习技术建立对PUF建立软件模型来模拟PUF的激励响应行为,从而预测PUF的随机响应。本文以Arbiter PUF为例,使用逻辑回归的思想对Arbiter PUF建模。具体方法如下:
Arbiter PUF结构如图2,激励C由外部的控制比特产生,比如,C=b1…bk,这个输出的0或者1通常被当作R。参数k通常指的是Arbiter PUF的比特长度,所以,可以使用线性延迟模型来描述Arbiter PUFs的功能;信号的整体延迟为各个stage的延迟累加,在这种模型中,可以将上下两部分最后的延迟差Δ做如下定义:
其中,和的维数都是k+1,参数向量表示Arbiter PUFs中每个stage的延迟,而特征向量表示输入到PUF电路中的(k+1)-bit的C。用表示运行时stage i的时延,1表示多路复用器中交叉,0表示不交叉。因此有:
其中且
其中
最后Arbiter PUFs的输出值t由最后的总时延差Δ的符号函数值决定。在这里,在t=-1时将PUF的输出值视作0,在t=1时将其视作1:
上述等式说明:向量通过来决定一个在所有特征向量空间中的分离超平面;当t=-1时,所有的特征向量均在这个超平面的一侧,反之,t=1时,所有的特征向量均在另一侧,通过求得的超平面对PUF来进行预测;
逻辑回归(logistic Regression)是一种被广泛使用的机器学习算法。当PUF用LR建模时,每个challenge C=b1…bk被分配一个概率来产生1或者-1(这里由于技术理论原因,将-1和1用来代替0和1,这样便于建模)。这个概率是由作用于logistic上的sigmoid函数求得的,具体为:
因此,f通过f=0来确定相等输出概率的决策边界。对于给出CRPs的训练集M,通过不断训练参数使其对负数的对数似然估计(log-likehood)达到最小:
由于,没有直接的方法来计算出只能选择迭代的方式来计算其值,对于机器学习中不同的梯度下降方式,RProp表现最好,所以这里使用RProp梯度下降方法:
由上可知,Arbiter PUF的响应可使用激励的线性函数表示,因此,攻击者也可以通过收集到的已使用的CRP对PUF建模,只要收集到足够多的激励响应对,攻击者可使用机器学习技术建立软件模型来模拟Arbiter PUF,从而预测PUF的随机响应,因此Arbiter PUF易遭受建模攻击。但是当前提出了大量的混淆技术,以提高攻击者建模攻击的难度;因此将当前提出的大量的混淆技术与本发明技术进行融合,即可提供强PUF抗建模攻击;
S3.浏览器通过所在的设备录制若干时间的设备所在环境的环境声音,同时控制用户手机录制相同时间的手机所在环境的环境声音;具体为浏览器通过HTML5中的WebRTCPAI来调用用户设备的麦克风进行设备所在环境的环境声音录制,同时用户手机也进行相应的用户手机所在环境的环境声音录制;用户设备和用户手机所录制的各自的环境声音的时间长相等,且在时间上必须同步;
S4.比对浏览器所录制的设备所在环境的环境声音与手机所录制的手机所在环境的环境声音;具体为浏览器将录制的用户设备所在环境的环境声音加密后发送给服务器,服务器将接收到的数据直接转发给用户的手机,用户的手机解密接收到的用户设备所在环境的环境声音,并与自身录制的环境声音进行对比;在具体实施时,采用交叉相关来判断音频的相似性;
S5.对步骤S4的比对结果进行判定并将判定结果发送给浏览器;具体为用户手机对录制的两组声音信息进行对比,并将对比结果发送给服务器,服务器将接收到的对比结果直接转发给浏览器;
S6.浏览器根据接收的判定结果对用户进行认证;具体为若浏览器接收的判定结果为两组声音数据的相似度高于或等于设定的阈值,则用户认证通过;若浏览器接收的判定结果为两组声音数据的相似度低于设定的阈值,则用户认证不通过;
如图4所示为本发明提供的认证系统的系统模块示意图:本发明提供的这种实现所述基于透明双因子的认证方法的认证系统,包括浏览器端、服务器端和手机端;浏览器端包括浏览器登录注册模块、浏览器录音模块、浏览器音频加解密模块和浏览器数据传输模块;服务器端包括服务器数据库存储模块和服务器数据传输模块;手机端包括手机录音模块、手机音频加解密模块、手机音频对比模块、手机数据传输模块和手机PUF模块;浏览器登录注册模块用于对用户进行登录或注册操作时进行对输入信息的鉴别与传输;浏览器录音模块用于在服务器通过对用户的用户名和密钥进行验证后对用户设备周围的环境声音进行采集;浏览器音频加解密模块用于对浏览器采集的环境声音数据进行加密;浏览器数据传输模块用于浏览器与服务器、浏览器与手机之间的数据传输;服务器数据库存储模块用于在用户进行登录或注册过程中服务器向服务器数据库存储模块进行查询或插入数据;服务器数据传输模块用于服务器端与浏览器端、服务器端与手机端之间的数据传输;手机录音模块用于服务器通过对用户名和密钥的验证后对用户手机所在的环境的环境声音进行录制;手机音频加解密模块用于对手机采集完毕的音频数据进行加密;手机音频对比模块用于对用户浏览器端录制的声音数据和手机端录制的声音数据进行对比;手机数据传输模块用于手机端与服务器端、手机端与浏览器端之间的数据传输;手机PUF模块用于在服务器通过对用户的用户名和密钥验证后对用户手机的合法性进行确认。
以下结合具体实施例对本发明方法进行进一步说明:
测试环境:
实现了基于PUF和声纹的透明双因子认证系统,其中PUF在Xilinx Vertex 5FPGA开发板中实现。具体硬件环境和软件环境如表1所示。
表1测试环境
算法测试:
音频相似度算法对比测试:
对前文所实现的音频相似度算法进行测试。使用Node.js来搭建一个简单的、支持本程序的服务器。在测试过程中,每次登录,手机和电脑端各录制3s音频,然后使用在不同环境中所收集到的音频数据,通过算法进行处理求得两端音频文件的相似度值。
分别在不同的环境下尝试登录来收集数据:不安静的室内(如:寝室内有人播放音乐,聊天或视频)、充满噪音的室外(如:正是饭点的食堂)和安静的室内室外(如:晚上睡觉时)。
在以上三种环境下,又分为如下几种情况:
不安静的室内:手机和电脑紧贴
手机和电脑距离在尝试登录的测试者口袋里
手机和电脑距离1m
手机和电脑距离2m
手机和电脑距离3m
手机和电脑距离4m以上
充满噪音的室外:手机和电脑距离紧贴
手机和电脑距离在尝试登录的测试者口袋里
手机和电脑距离1m以上
安静的室内室外:手机和电脑处于任意位置
手机和电脑紧贴(登陆者哼歌)
在室内环境下,分别对六种不同的情况进行测试,得到手机距计算机之间的距离为紧贴、1m、2m、3m、4m以上以及手机放在口袋里这六种情况下的相似度。测试数据如表2所示:
表2音频相似度测试数据表(室内环境)
| 设备紧靠 | 手机在口袋 | 1m | 2m | 3m | 4m以上 |
| 0.07964602 | 0.09734513 | 0.04347826 | 0.01769911 | 0.01769911 | 0.00884955 |
| 0.11504425 | 0.11504425 | 0.06194690 | 0.02654867 | 0.01769911 | 0.00884955 |
| 0.13274336 | 0.11504425 | 0.06194690 | 0.02654867 | 0.01769911 | 0.00884955 |
| 0.14159292 | 0.11504425 | 0.07079646 | 0.02654867 | 0.02654867 | 0.00884955 |
| 0.15044248 | 0.13274336 | 0.08849557 | 0.02654867 | 0.04247787 | 0.01769911 |
| 0.16814159 | 0.13513513 | 0.09734513 | 0.03539823 | 0.04504504 | 0.01769911 |
| 0.17699115 | 0.13513513 | 0.09734513 | 0.03539823 | 0.05309734 | 0.01769911 |
| 0.17699115 | 0.16814159 | 0.09734513 | 0.03539823 | 0.05309734 | 0.01769911 |
| 0.17699115 | 0.16814159 | 0.10619469 | 0.04424778 | 0.05309734 | 0.02608695 |
| 0.19469027 | 0.16814159 | 0.11504425 | 0.04424778 | 0.07079646 | 0.02608695 |
| 0.19469027 | 0.17699115 | 0.12389380 | 0.04424778 | 0.07079646 | 0.02654867 |
| 0.19469027 | 0.17699115 | 0.12389380 | 0.05309734 | 0.08849557 | 0.02727272 |
| 0.20353982 | 0.17699115 | 0.12389380 | 0.06194690 | 0.08849557 | 0.02727272 |
| 0.21238938 | 0.18584071 | 0.15044248 | 0.06194690 | 0.08849557 | 0.02727272 |
| 0.21238938 | 0.18584071 | 0.1529204 | 0.06194690 | 0.08849557 | 0.03539823 |
| 0.22123894 | 0.18584071 | 0.1544248 | 0.06194690 | 0.08849557 | 0.03539823 |
| 0.2300885 | 0.18584071 | 0.15652174 | 0.07079646 | 0.09734513 | 0.03539823 |
| 0.2300885 | 0.19469027 | 0.15929204 | 0.07079646 | 0.09734513 | 0.04424778 |
| 0.23893805 | 0.21238938 | 0.15929204 | 0.07079646 | 0.10619469 | 0.04424778 |
| 0.24778761 | 0.25663716 | 0.15929204 | 0.07079646 | 0.10619469 | 0.05309734 |
| ... | ... | ... | ... | ... | ... |
在室外环境下,分别对三种情况进行测试,得到手机距计算机之间的距离为紧贴、1m以上以及手机放在口袋里这三种情况下的相似度。分别对三种情况测试,结果如图5所示;
安静的环境下,测试数据如图6所示;
音频相似度算法阈值设置测试:
考虑到室内情况下,例如在家中或办公室这类个人空间内,使用者的手机可能不会随身带着,可能距离稍远,因此设定2米左右为合法的登录范围。而在室外,例如食堂,报告厅等,用户的手机应该随身携带,因此设定1m以内为合法登录范围。另外由于安静环境很容易被非法登陆者猜到并模仿。因此,安静环境下的登录应该被拒绝。在拒绝安静环境下登录的同时,为了保证合法的登录,要求登陆者轻声哼一段歌来制造噪音。
因此,阈值设定要保证在室内环境下,当手机与计算机之间的距离小于2m左右(即使手机放在口袋里)时,登录的成功率为100%;在4m以上时,登录成功率为0%。同时,阈值的设定保证在室外环境下,当手机与计算机之间的距离小于1m(即使手机放在口袋里)时,登录的成功率为100%;手机与计算机之间的距离大于1m,登录的成功率为0%。而且,无论室内室外,安静环境下的登录成功率均为0%,在该环境下哼歌,登录成功率为100%。
根据音频相似度对比算法对比测试的结果,绘制折线图表示每次测试在不同情况中算法所得出的结果。分别针对室内情况下手机与计算机之间相距小于1m(紧贴)、大于1m小于2m、大于2m小于3m、大于3m小于4m、大于4m和手机在口袋中的情况各进行了50次测试;室外情况下手机与计算机之间相距小于1m(紧贴)、大于1m和手机在口袋中的情况各进行了50次测试。安静环境下,手机电脑在任意位置和手机电脑紧靠并让登陆者哼歌的情况进行了50次测试。在保证上文所设置的阈值要求的情况下求得阈值为0.11504425。此值保证了在室内环境下,手机与计算机之间的距离小于1m和手机在登录者口袋里的情况下,登录成功率为99%;距离大于1m小于2m的情况下,登录成功率为95%;距离大于4m的情况下,登录成功率基本为0%。该阈值同时保证,在室外环境下,手机与计算机之间的距离小于1m和手机在登录这口袋里的情况下,登录成功率为99%;距离大于1m的情况下,成功率基本为0%;而无论室内室外,当处于安静的环境下是,登录的成功率均基本为0%,而此时,登陆者哼歌,登录的成功率为100%。综上所述,设置的阈值0.11504425满足系统所需的要求。具体测试范围如图7、8、9、10所示。
Arbiter PUF建模实验与分析:
如图11所示,LR对Arbiter PUF的建模效果非常好,仅用650个CRPs对64X64的Arbiter PUF建模的准确度达95%,时间不到1s;使用3000个CRPs建模准确度达99%,时间不到1s;大约20000个CRPs准确度达到99.9%,时间大概2s。因此,将建好的模型放在服务器端作为设备验证使用,不仅存储开销大大减小,而且验证效率也大大提高。
Claims (9)
1.一种透明双因子认证系统,其特征在于包括浏览器端、服务器端和手机端;浏览器端包括浏览器登录注册模块、浏览器录音模块、浏览器音频加解密模块和浏览器数据传输模块;服务器端包括服务器数据库存储模块和服务器数据传输模块;手机端包括手机录音模块、手机音频加解密模块、手机音频对比模块、手机数据传输模块和手机PUF模块;浏览器登录注册模块用于对用户进行登录或注册操作时进行对输入信息的鉴别与传输;浏览器录音模块用于在服务器通过对用户的用户名和密钥进行验证后对用户设备周围的环境声音进行采集;浏览器音频加解密模块用于对浏览器采集的环境声音数据进行加密;浏览器数据传输模块用于浏览器与服务器、浏览器与手机之间的数据传输;服务器数据库存储模块用于在用户进行登录或注册过程中服务器向服务器数据库存储模块进行查询或插入数据;服务器数据传输模块用于服务器端与浏览器端、服务器端与手机端之间的数据传输;手机录音模块用于服务器通过对用户名和密钥的验证后对用户手机所在的环境的环境声音进行录制;手机音频加解密模块用于对手机采集完毕的音频数据进行加密;手机音频对比模块用于对用户浏览器端录制的声音数据和手机端录制的声音数据进行对比;手机数据传输模块用于手机端与服务器端、手机端与浏览器端之间的数据传输;手机PUF模块用于在服务器通过对用户的用户名和密钥验证后对用户手机的合法性进行确认。
2.一种权利要求1所述的透明双因子认证系统的方法,包括如下步骤:
S1.用户通过浏览器进行登录,浏览器将用户的登录信息上传服务器;
S2.服务器对用户的登录信息进行验证,同时服务器验证用户手机的PUF响应;
S3.浏览器通过所在的设备录制若干时间的设备所在环境的环境声音,同时控制用户手机录制相同时间的手机所在环境的环境声音;
S4.比对浏览器所录制的设备所在环境的环境声音与手机所录制的手机所在环境的环境声音;
S5.对步骤S4的比对结果进行判定并将判定结果发送给浏览器;
S6.浏览器根据接收的判定结果对用户进行认证。
3.根据权利要求2所述的方法,其特征在于步骤S2所述的服务器对用户的登录信息进行验证,同时服务器验证用户手机的PUF响应,具体为采用如下步骤进行验证:
A.服务器对用户的登录信息进行验证:
若验证通过,则服务器向用户手机发送PUF激励进行合法性验证;
若验证不通过,则服务器向浏览器下发提示信息;
B.服务器向用户手机发送PUF激励进行合法性验证,并获取用户手机端回复的PUF响应:
若用户手机端回复的PUF响应与服务器端存储的PUF响应相等,则进行后续的认证过程;
若用户手机端回复的PUF响应与服务器端存储的PUF响应不相等,则服务器向浏览器下发提示信息。
4.根据权利要求2所述的方法,其特征在于步骤S3所述的浏览器通过所在的设备录制若干时间的设备所在环境的环境声音,同时控制用户手机录制相同时间的手机所在环境的环境声音,具体为浏览器通过HTML5中的WebRTC PAI来调用用户设备的麦克风进行设备所在环境的环境声音录制,同时用户手机也进行相应的用户手机所在环境的环境声音录制;用户设备和用户手机所录制的各自的环境声音的时间长相等,且在时间上必须同步。
5.根据权利要求2所述的方法,其特征在于步骤S4所述的比对浏览器所录制的设备所在环境的环境声音与手机所录制的手机所在环境的环境声音,具体为浏览器将录制的用户设备所在环境的环境声音加密后发送给服务器,服务器将接收到的数据直接转发给用户的手机,用户的手机解密接收到的用户设备所在环境的环境声音,并与自身录制的环境声音进行对比。
6.根据权利要求2所述的方法,其特征在于步骤S5所述的对步骤S4的比对结果进行判定并将判定结果发送给浏览器,具体为用户手机对录制的两组声音信息进行对比,并将对比结果发送给服务器,服务器将接收到的对比结果直接转发给浏览器。
7.根据权利要求2所述的方法,其特征在于步骤S6所述的浏览器根据接收的判定结果对用户进行认证,具体为若浏览器接收的判定结果为两组声音数据的相似度高于或等于设定的阈值,则用户认证通过;若浏览器接收的判定结果为两组声音数据的相似度低于设定的阈值,则用户认证不通过。
8.根据权利要求2~7之一所述的方法,其特征在于步骤S2所述的服务器验证用户手机的PUF响应,具体为采用如下步骤进行验证:采用机器学习算法建立PUF的激励响应函数,并模拟和预测PUF的随机响应;对PUF的随机响应进行验证。
9.根据权利要求2~7之一所述的方法,其特征在于步骤S4所述的比对浏览器所录制的设备所在环境的环境声音与手机所录制的手机所在环境的环境声音,具体为采用交叉相关来判断音频的相似性。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910175752.4A CN109818755A (zh) | 2019-03-08 | 2019-03-08 | 一种透明双因子认证系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910175752.4A CN109818755A (zh) | 2019-03-08 | 2019-03-08 | 一种透明双因子认证系统及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109818755A true CN109818755A (zh) | 2019-05-28 |
Family
ID=66608440
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910175752.4A Pending CN109818755A (zh) | 2019-03-08 | 2019-03-08 | 一种透明双因子认证系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109818755A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111355588A (zh) * | 2020-02-19 | 2020-06-30 | 武汉大学 | 一种基于puf与指纹特征的可穿戴设备双因子认证方法及系统 |
| CN113541964A (zh) * | 2021-07-17 | 2021-10-22 | 太原理工大学 | 一种基于光折变晶体puf的双程干涉式身份验证系统 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8868923B1 (en) * | 2010-07-28 | 2014-10-21 | Sandia Corporation | Multi-factor authentication |
| US20160164855A1 (en) * | 2014-06-26 | 2016-06-09 | Amazon Technologies, Inc. | Two factor authentication with authentication objects |
| CN105681350A (zh) * | 2016-03-21 | 2016-06-15 | 武汉大学 | 一种基于环境相似的零交互双因素认证系统及方法 |
| CN105760786A (zh) * | 2016-02-06 | 2016-07-13 | 中国科学院计算技术研究所 | 一种cpu+fpga集成芯片的强puf认证方法及系统 |
| CN105809065A (zh) * | 2016-03-09 | 2016-07-27 | 中国科学院计算技术研究所 | 模糊输入输出的强物理不可克隆函数 |
| CN106330902A (zh) * | 2016-08-23 | 2017-01-11 | 西安电子科技大学 | 基于环境声音的双因素快速认证方法 |
| CN108616358A (zh) * | 2018-05-10 | 2018-10-02 | 广西大学 | 基于puf的无线体域网中传感器与主控单元的认证方法 |
| CN108768660A (zh) * | 2018-05-28 | 2018-11-06 | 北京航空航天大学 | 基于物理不可克隆函数的物联网设备身份认证方法 |
-
2019
- 2019-03-08 CN CN201910175752.4A patent/CN109818755A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8868923B1 (en) * | 2010-07-28 | 2014-10-21 | Sandia Corporation | Multi-factor authentication |
| US20160164855A1 (en) * | 2014-06-26 | 2016-06-09 | Amazon Technologies, Inc. | Two factor authentication with authentication objects |
| CN105760786A (zh) * | 2016-02-06 | 2016-07-13 | 中国科学院计算技术研究所 | 一种cpu+fpga集成芯片的强puf认证方法及系统 |
| CN105809065A (zh) * | 2016-03-09 | 2016-07-27 | 中国科学院计算技术研究所 | 模糊输入输出的强物理不可克隆函数 |
| CN105681350A (zh) * | 2016-03-21 | 2016-06-15 | 武汉大学 | 一种基于环境相似的零交互双因素认证系统及方法 |
| CN106330902A (zh) * | 2016-08-23 | 2017-01-11 | 西安电子科技大学 | 基于环境声音的双因素快速认证方法 |
| CN108616358A (zh) * | 2018-05-10 | 2018-10-02 | 广西大学 | 基于puf的无线体域网中传感器与主控单元的认证方法 |
| CN108768660A (zh) * | 2018-05-28 | 2018-11-06 | 北京航空航天大学 | 基于物理不可克隆函数的物联网设备身份认证方法 |
Non-Patent Citations (2)
| Title |
|---|
| JIN WOOK BYUN: ""An efficient multi-factor authenticated key exchange with physically unclonable function"", 《2019 INTERNATIONAL CONFERENCE ON ELECTRONICS, INFORMATION, AND COMMUNICATION (ICEIC)》 * |
| 王俊等: "基于PUF和IPI的可穿戴设备双因子认证协议", 《通信学报》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111355588A (zh) * | 2020-02-19 | 2020-06-30 | 武汉大学 | 一种基于puf与指纹特征的可穿戴设备双因子认证方法及系统 |
| CN113541964A (zh) * | 2021-07-17 | 2021-10-22 | 太原理工大学 | 一种基于光折变晶体puf的双程干涉式身份验证系统 |
| CN113541964B (zh) * | 2021-07-17 | 2022-10-04 | 太原理工大学 | 一种基于光折变晶体puf的双程干涉式身份验证系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Zhang et al. | T2FA: Transparent two-factor authentication | |
| US7073067B2 (en) | Authentication system and method based upon random partial digitized path recognition | |
| Alomar et al. | Social authentication applications, attacks, defense strategies and future research directions: a systematic review | |
| CN104036780A (zh) | 一种人机识别方法及系统 | |
| Parmar et al. | A comprehensive study on passwordless authentication | |
| Abu-Shanab et al. | Security and Fraud Issues of E-banking | |
| Fraga et al. | A taxonomy of trust and reputation system attacks | |
| Zhu et al. | Secure Online Examination with Biometric Authentication and Blockchain‐Based Framework | |
| Zhu et al. | QuickAuth: Two-factor quick authentication based on ambient sound | |
| CN109818755A (zh) | 一种透明双因子认证系统及方法 | |
| Sehgal et al. | Cloud computing and information security | |
| Alaca et al. | Comparative analysis and framework evaluating mimicry-resistant and invisible web authentication schemes | |
| Sansanwal et al. | Security Attacks in Cloud Computing: A Systematic Review | |
| Salami et al. | SIMP-REAUTH: a simple multilevel real user remote authentication scheme for mobile cloud computing | |
| Tellini et al. | Two-Factor Authentication: Selecting and implementing a two-factor authentication method for a digital assessment platform | |
| Babu et al. | Two Factor Authentication using Hardware and Biometrics Factors for IoT Devices and Users | |
| De et al. | Trusted cloud-and femtocell-based biometric authentication for mobile networks | |
| US7110858B2 (en) | Object identification uses prediction of data in distributed network | |
| Nwogu et al. | Enhancing the robustness of a three-layer security electronic voting system using Kerberos authentication | |
| van Oorschot et al. | User authentication—passwords, biometrics and alternatives | |
| Aboshosha et al. | Secure Authentication Protocol Based on Machine-metrics and RC4-EA Hashing. | |
| Nielson | Authentication Technology | |
| Majdalawieh et al. | Assessing the Attacks Against the Online Authentication Methods Using a Comparison Matrix: A Case of Online Banking | |
| US11880448B1 (en) | Secure authentication using recurrent neural networks | |
| Casola et al. | TRUST: TRust Unguarded Service Terminals |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB03 | Change of inventor or designer information | ||
| CB03 | Change of inventor or designer information |
Inventor after: Wang Xiangqi Inventor after: Tan Xiao Inventor after: Zhang Jiliang Inventor after: Qin Zheng Inventor after: Yan Aibin Inventor before: Wang Xiangqi |
|
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190528 |