CN112073191A - 采用超声波通信的用户无感双因素身份鉴别方法及系统 - Google Patents
采用超声波通信的用户无感双因素身份鉴别方法及系统 Download PDFInfo
- Publication number
- CN112073191A CN112073191A CN202010921597.9A CN202010921597A CN112073191A CN 112073191 A CN112073191 A CN 112073191A CN 202010921597 A CN202010921597 A CN 202010921597A CN 112073191 A CN112073191 A CN 112073191A
- Authority
- CN
- China
- Prior art keywords
- identity authentication
- server
- user
- mobile terminal
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04B—TRANSMISSION
- H04B11/00—Transmission systems employing sonic, ultrasonic or infrasonic waves
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明涉及一种采用超声波通信的用户无感双因素身份鉴别方法及系统,属于信息安全技术领域。本发明的用户无感双因素身份鉴别系统,包括服务端、客户端和移动端。其中服务端主要用于验证用户的用户账户名和口令,给客户端发送超声波音频形式的身份鉴别信息,验证移动端提交的身份鉴别信息;客户端主要用于登录系统,播放超声波音频;移动端主要用于接收超声波音频、转换为身份鉴别信息、进行密码运算并发送给服务端。本发明实现了采用超声波通信的双因素身份鉴别,在保证安全性的同时,兼顾便携性和易用性、容易广泛应用部署,用户在输入口令之外无需任何操作,即可实现双因素身份鉴别。
Description
技术领域
本发明涉及一种采用超声波通信的用户无感双因素身份鉴别方法及系统,属于信息安全技术领域。
背景技术
身份鉴别是网络安全的重要机制和第一道防线,它可以保证只有合法用户才能进入系统并获取系统资源。传统的基于账户名和口令的身份鉴别存在一些风险:比如用户可能选择安全性较弱的口令,容易被破解;用户在多个系统使用相同口令,一旦某个安全性较低的系统被攻击,其他系统中的口令也会泄露;容易受到字典攻击、钓鱼攻击、偷窥攻击等。
双因素身份鉴别可以有效解决以上问题。用户在登录系统时,需要验证两种身份鉴别因素,这样即使攻击者得到了用户的口令,也无法通过身份鉴别、访问系统资源。常用的身份鉴别因素有知识因素(即用户所知道的秘密知识,如口令)、拥有因素(用户所拥有的事物,如硬件令牌、移动终端)及内在因素(用户的生物特征,如指纹、虹膜)。使用内在因素的身份鉴别方法硬件成本相对较高,易用性较差;传统的基于硬件令牌的身份鉴别方法依赖于额外的硬件设备,易丢失、不易携带;由于移动终端的普及,基于移动终端上软件令牌的双因素身份鉴别方法得到了很多应用,但这种方法需要用户在输入口令的同时还需要额外的操作,增加了用户负担。
发明内容
本发明的目的是提出一种采用超声波通信的用户无感双因素身份鉴别方法及系统以克服已有技术的不足,在保证通信安全性的同时,兼顾便携性和易用性、部署方便,用户在输入口令之外无需任何操作,即可实现双因素身份鉴别。
本发明提出的采用超声波通信的用户无感双因素身份鉴别方法,包括以下步骤:
(1)用户注册:用户在移动端生成用于密码运算的对称密钥或者公私钥对,公私钥对包括公钥和私钥;用户向服务端提交用户信息,用户信息包括:用户账户名、口令、用户移动端的设备唯一标识符以及用于密码运算的对称密钥或公私钥对中的公钥;服务端接收并存储用户信息,其中所述的密码运算为基于对称密码体制的密码运算或基于公钥密码体制的密码运算;
(2)移动端登录:移动端通过网络连接服务端,用户在移动端通过用户账户名、设备唯一标识符及口令登录已注册的账户;
(3)客户端登录过程:用户在客户端登录已注册的账户,包括以下步骤:
(3-1)客户端通过网络连接服务端,用户在客户端输入用户账户名和口令,并将用户账户名和口令发送至服务端;
(3-2)服务端对接收的用户账户名和口令进行验证,若验证失败,则向客户端返回登录失败信息,返回步骤(3-1),若验证成功,则进行步骤(3-3);
(3-3)服务端随机生成一个身份鉴别信息,并将该身份鉴别信息转换为一个超声波音频数据,将该超声波音频数据发送给客户端,同时服务端通知用户的移动端接收该超声波音频数据;
(3-4)客户端的播放器根据接收的超声波音频数据,播放超声波音频信号,移动端接收该超声波音频信号,并将该超声波音频信号转换为身份鉴别信息,移动端根据步骤(1)中用于密码运算的的对称密钥或者公私钥对,对身份鉴别信息进行密码运算,并将该密码运算结果发送给服务端;其中所述的密码运算为基于对称密码体制的密码运算或基于公钥密码体制的密码运算;
(3-5)服务端对来自移动端的密码运算结果进行验证,若验证成功,则允许客户端登录,并向客户端返回登录成功信息,若验证不成功,则向客户端返回登录失败信息,返回步骤(3-1)。
上述身份鉴别方法中,所述的基于对称密码体制的密码运算及验证方法,包括以下步骤:
(1)用户在移动端生成一个对称密钥,并将生成的对称密钥发送至服务端,移动端和服务端各保留该对称密钥;
(2)移动端根据步骤(1)的对称密钥,对来自服务端的身份鉴别信息进行加密;
(3)服务端根据步骤(1)的对称密钥,对来自移动端的密码运算结果进行解密得到身份鉴别信息,服务端将该身份鉴别信息与由服务端产生的身份鉴别信息进行对比验证,若该身份鉴别信息与由服务端产生的身份鉴别信息相同,则服务端判定对移动端的身份鉴别成功;若该身份鉴别信息与由服务端产生的身份鉴别信息不相同,则服务端判定对移动端的身份鉴别不成功。
上述身份鉴别方法中,所述的基于公钥密码体制的密码运算及验证方法,包括以下步骤:
(1)用户在移动端生成一个公私钥对,用户将公私钥对中的公钥发送至服务端,移动端保留公私钥对,服务端保留公钥;
(2)移动端根据步骤(1)的私钥,对来自服务端的身份鉴别信息进行签名,并将该签名发送至服务端;
(3)服务端根据步骤(1)的公钥,对来自移动端的签名进行验证,若验证成功,则服务端判定对移动端的身份鉴别成功;若验证不成功,则服务端判定对移动端的身份鉴别不成功。
上述身份鉴别方法中,服务端随机生成的身份鉴别信息包括一个随机数和服务端系统时间。
上述身份鉴别方法中,在移动端得到身份鉴别信息后、进行密码运算之前,可以向用户显示登录确认界面,用户确认后再执行后续流程。
本发明提出的采用超声波通信的用户无感双因素身份鉴别系统,包括;
服务端,用于保存用户的用户账户名、口令及移动端的设备唯一标识符,验证客户端提交的用户账户名和口令,客户端登录时产生超声波音频数据格式的身份鉴别信息并发送给客户端、验证移动端提交的身份鉴别信息、得出是否允许登录的结果并返回给客户端;
客户端,用于与服务端建立安全网络链路,登录,接收服务端的超声波音频数据并播放超声波音频;
移动端,用于与服务端建立安全网络链路,获取客户端播放的超声波音频信号、转换为身份鉴别信息、进行密码运算、将结果发送给服务端。
上述用户无感双因素身份鉴别系统中,移动端与服务端之间以及客户端与服务端之间,分别采用安全网络链路进行通信,该安全网络链路基于安全套接字协议、传输层安全协议或超文本传输安全协议。
本发明提出的采用超声波通信的用户无感双因素身份鉴别方法及系统,其特点和优点是:
(1)本发明的采用超声波通信的用户无感双因素身份鉴别方法及系统,无需引入额外的硬件设备,仅需要客户端设备具有扬声器、移动端设备具有麦克风即可实现,很容易广泛应用部署;用户也无需携带额外的硬件设备,在输入口令之外无需任何操作,即可实现双因素身份鉴别,因此本发明系统的便携性和易用性较强。
(2)本发明方法中的第二因素身份鉴别过程(即本发明方法中的超声波音频的验证过程)对用户是无感的,用户只需要在客户端输入账户信息、无需任何其他操作即可实现双因素身份鉴别,对用户非常友好。
(3)本发明身份鉴别方法中的第二因素身份鉴别方法的核心是基于超声波通信的挑战/应答,安全性由服务端产生的随机数的安全程度决定,安全性较高,可以有效抵抗声音模拟攻击,即由于攻击者无法获得服务端产生的随机数,所以不能发起声音模拟攻击。
附图说明
图1为本发明方法中用户注册过程的流程示意图。
图2为本发明方法中移动端登录过程的流程示意图。
图3为本发明方法中客户端登录过程的流程示意图。
具体实施方式
本发明提出的采用超声波通信的用户无感双因素身份鉴别方法,包括以下步骤:
(1)用户注册:其流程框图如图1所示,用户在移动端(例如手机)生成用于密码运算的对称密钥或者公私钥对,公私钥对包括公钥和私钥;用户向服务端提交用户信息,用户信息包括:用户账户名、口令、用户移动端的设备唯一标识符以及用于密码运算的对称密钥或公私钥对中的公钥;服务端存储用户信息;其中所述的密码运算为基于对称密码体制的密码运算或基于公钥密码体制的密码运算;
(2)移动端登录:其流程框图如图2所示,移动端通过网络连接服务端,用户在移动端通过用户账户名、设备唯一标识符及口令登录已注册的账户;
(3)客户端登录过程:其流程框图如图3所示,用户在客户端登录已注册的账户,包括以下步骤:
(3-1)客户端通过网络连接服务端,用户在客户端输入用户账户名和口令,并将用户账户名和口令发送至服务端;
(3-2)服务端对接收的用户账户名和口令进行验证,若验证失败,则向客户端返回登录失败信息,返回步骤(3-1),若验证成功,则进行步骤(3-3);
(3-3)服务端随机生成一个身份鉴别信息,并将该身份鉴别信息转换为一个超声波音频数据,将该超声波音频数据发送给客户端,同时服务端通知用户的移动端接收该超声波音频数据;
(3-4)客户端的播放器根据接收的超声波音频数据,播放超声波音频信号,移动端接收该超声波音频信号,并将该超声波音频信号转换为身份鉴别信息,移动端根据步骤(1)中用于密码运算的的对称密钥或者公私钥对,对身份鉴别信息进行密码运算,并将该密码运算结果发送给服务端;其中所述的密码运算为基于对称密码体制的密码运算或基于公钥密码体制的密码运算;
(3-5)服务端对来自移动端的密码运算结果进行验证,若验证成功,则允许客户端登录,并向客户端返回登录成功信息,若验证不成功,则向客户端返回登录失败信息,返回步骤(3-1)。
上述身份鉴别方法中,所述的基于对称密码体制的密码运算及验证方法,包括以下步骤:
(1)用户在移动端生成一个对称密钥,并将生成的对称密钥发送至服务端,移动端和服务端各保留该对称密钥;
(2)移动端根据步骤(1)的对称密钥,对来自服务端的身份鉴别信息进行加密;
(3)服务端根据步骤(1)的对称密钥,对来自移动端的密码运算结果进行解密得到身份鉴别信息,服务端将该身份鉴别信息与由服务端产生的身份鉴别信息进行对比验证,若该身份鉴别信息与由服务端产生的身份鉴别信息相同,则服务端判定对移动端的身份鉴别成功;若该身份鉴别信息与由服务端产生的身份鉴别信息不相同,则服务端判定对移动端的身份鉴别不成功。
上述身份鉴别方法中,所述的基于公钥密码体制的密码运算及验证方法,包括以下步骤:
(1)用户在移动端生成一个公私钥对,用户将公私钥对中的公钥发送至服务端,移动端保留公私钥对,服务端保留公钥;
(2)移动端根据步骤(1)的私钥,对来自服务端的身份鉴别信息进行签名,并将该签名发送至服务端;
(3)服务端根据步骤(1)的公钥,对来自移动端的签名进行验证,若验证成功,则服务端判定对移动端的身份鉴别成功;若验证不成功,则服务端判定对移动端的身份鉴别不成功。
上述身份鉴别方法中,服务端随机生成的身份鉴别信息身份鉴别信息包括一个随机数和服务端系统时间。
上述身份鉴别方法中,在移动端得到身份鉴别信息后、进行密码运算之前,可以向用户显示登录确认界面,用户确认后再执行后续流程。
本发明提出的采用超声波通信的用户无感双因素身份鉴别系统,包括;
服务端,用于保存用户的用户账户名、口令及移动端的设备唯一标识符,验证客户端提交的用户账户名和口令,客户端登录时产生超声波音频数据格式的身份鉴别信息并发送给客户端、验证移动端提交的身份鉴别信息、得出是否允许登录的结果并返回给客户端;
客户端,用于与服务端建立安全网络链路,登录,接收服务端的超声波音频数据并播放超声波音频;
移动端,用于与服务端建立安全网络链路,获取客户端播放的超声波音频信号、转换为身份鉴别信息、进行密码运算、将结果发送给服务端。
上述用户无感双因素身份鉴别系统中,移动端与服务端之间以及客户端与服务端之间,分别采用安全网络链路进行通信,该安全网络链路基于安全套接字协议、传输层安全协议或超文本传输安全协议。
以下结合附图,对本发明内容做进一步详细介绍:
本发明提供的一种采用超声波通信的用户无感双因素身份鉴别系统,包括服务端、客户端和移动端,在本实施例中,客户端指个人计算机,移动端指智能手机;服务端用于保存用户的账户信息,验证客户端或移动端提交的账户信息的正确性,绑定用户的账户信息与其移动端,在用户使用客户端登录时产生超声波音频数据格式的身份鉴别信息并发送给客户端,验证移动端提交的身份鉴别信息、得出是否允许登录的结果并返回给客户端;客户端用于与服务端建立安全通信链路,注册账户,在移动端已登录的前提下登录系统,接收服务端的超声波音频数据并播放音频;移动端用于通过无线网络与服务端建立安全通信链路,注册账户,登录系统,获取客户端播放的超声波音频信号、转化为身份鉴别信息并发送给服务端。
本发明提供的一种采用超声波通信的用户无感双因素身份鉴别方法,包括用户注册过程,移动端登录过程,客户端登录过程。
本发明的用户注册过程包含移动端用户注册过程和客户端用户注册过程。请见图1,本发明方法的用户注册过程是指用户首次登录系统前,注册账户。包括以下步骤:
(1-1)用户在移动端选择密码运算方式,可选基于对称密码体制以及基于公钥密码体制的密码运算。如果采用基于对称密码体制的密码运算,则移动端生成一个对称密钥,作为之后使用的SM4分组密码算法的密钥,将对称密钥发送至服务端;如果采用基于公钥密码体制的密码运算,则移动端生成一个SM2椭圆曲线公钥密码算法的公私钥对(保护一个公钥及一个私钥),将公钥发送至服务端。;
(1-2)用户在服务端或者网页端向服务端提交注册信息(包括账户名、登录口令)、移动端的设备唯一标识符(如国际移动设备识别码:International Mobile EquipmentIdentity,IMEI)、用于密码运算的对称密钥或者公私钥对中的公钥;
(1-3)服务端接收用户提交的信息,根据系统注册规则对注册信息进行验证,注册规则包括:账户名可以由大小写字母及数字组成,首字符不能为数字,账户名长度限制在6-20位;登录口令可以由大小写字母、数字及特殊字符组成,长度限制在8-20位。如果验证失败则向移动端返回注册失败信息,进行步骤(1-1)或者步骤(2-1);如果验证成功则将用户注册信息与移动端的IMEI码绑定并存储,向移动端返回注册成功信息,进行步骤(2-1)。
请见图2,本发明方法的移动端登录过程是指用户使用客户端登录之前,首先使用移动端登录已注册的账户并保持登录状态。包括以下步骤:
(2-1)移动端与服务端建立TLS链接,用户在移动端输入账户信息(包括用户名、登录口令),将该信息与移动端的IMEI码发送至服务端;
(2-2)服务端将账户信息、IMEI码与系统中存储的数据进行对比验证,如果验证失败则向移动端返回登录失败信息,返回步骤(2-1);如果验证成功则向移动端返回登录成功信息,进行步骤(3-1);
请见图3,本实施例的客户端登录过程是指用户在客户端上登录已注册的账户。具体包括以下步骤:
(3-1)移动端中与服务端建立TLS链接,且用户在移动端保持登录状态、移动端通过消息队列遥测传输协议(Message Queuing Telemetry Transport,MQTT)接收服务端的通知,客户端与服务端建立TLS链接。用户在客户端输入账户信息(包括用户账户名、口令),发送至服务端;
(3-2)服务端对接收的账户信息进行验证,如果验证失败则向客户端返回登录失败信息,返回步骤(3-1);如果验证成功则执行步骤(3-3);
(3-3)服务端生成本次登录的身份鉴别信息,内容包括用户账户名、客户端的IP地址、随机数、系统时间;服务端将身份鉴别信息转换为超声波音频数据。转换方式为:①服务端预先为每个小写字母、大写字母、数字和特殊字符建立一个WAV格式音频文件:设定音频文件的采样率为192khz,位深度为32位,波形为正弦波、振幅为-18db,持续时间为50毫秒,不同字符所对应的的音频文件采用不同的声音频率,在18-20kHz之间。按照上述方法为数据起始标记、数据结束标记两个标记位建立音频文件,持续时间100毫秒。②加密后得到的密文字符串对应一个音频文件序列,将这些音频文件的data块按序拼接起来,然后在最前和最后分别添加数据起始标记、数据结束标记对应的音频文件的data块,最后手动创建文件头,组成目标超声波音频数据文件。服务端将超声波音频数据发送给客户端,同时服务端通知移动端接收超声波音频数据;
(3-4)客户端的播放器根据客户端接收的超声波音频数据,播放超声波音频信号,移动端接收该超声波音频信号,并将该超声波音频信号转换为身份鉴别信息,转换方式为:在音频数据中找到数据起始标记和数据结束标记,取出中间的音频数据,分割为时长50毫秒的音频数据序列,通过傅里叶变换获取音频的频率,根据不同字符与声音频率的对应关系得到每段音频对应的字符,组合成字符串。移动端根据步骤(1)设定的用于身份鉴别的密码运算方法,对身份鉴别信息进行密码运算,并将密码运算结果发送给服务端。以基于公钥密码体制的密码运算为例:移动端使用SM2数字签名算法生成身份鉴别数据的签名,将身份鉴别信息及签名发送给服务端。
(3-5)服务端将收到的信息与原始身份鉴别信息进行对比验证,并验证移动端的签名。如果验证成功则允许客户端的此次登录操作,向客户端返回登录成功信息;如果验证不成功,则向客户端返回登录失败信息,返回步骤(3-1)。
可选地,步骤(1)中移动端和服务端可以协商使用基于对称密码体制的密码运算。如果选用此密码运算方式,则步骤(3-4)中,移动端接收到超声波音频信号并转换成身份鉴别信息之后,使用SM4分组密码算法加密身份鉴别信息,将密文发送给服务端;步骤(3-5)中,服务端使用SM4算法解密收到的信息,得到完整的身份鉴别信息,之后进行对比验证,向客户端返回登录结果。
可选地,步骤(3-4)中,在移动端得到身份鉴别信息后、进行密码运算之前,可以向用户显示登录确认界面,用户确认后再执行后续流程。
经过测试,本实施例可以有效实现双因素身份鉴别。可用性方面,客户端登录过程的等待时间主要取决于音频数据的播放时长,除去这部分时间外耗时在200ms左右;用户使用移动端或者客户端注册账户的响应耗时在20ms左右,移动端登录过程的响应耗时为50ms左右。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (7)
1.一种采用超声波通信的用户无感双因素身份鉴别方法,其特征在于,该方法包括以下步骤:
(1)用户注册:用户在移动端生成用于密码运算的对称密钥或者公私钥对,公私钥对包括公钥和私钥;用户向服务端提交用户信息,用户信息包括:用户账户名、口令、用户移动端的设备唯一标识符以及用于密码运算的对称密钥或公私钥对中的公钥;服务端接收并存储用户信息,其中所述的密码运算为基于对称密码体制的密码运算或基于公钥密码体制的密码运算;
(2)移动端登录:移动端通过网络连接服务端,用户在移动端通过用户账户名、设备唯一标识符及口令登录已注册的账户;
(3)客户端登录过程:用户在客户端登录已注册的账户,包括以下步骤:
(3-1)客户端通过网络连接服务端,用户在客户端输入用户账户名和口令,并将用户账户名和口令发送至服务端;
(3-2)服务端对接收的用户账户名和口令进行验证,若验证失败,则向客户端返回登录失败信息,返回步骤(3-1),若验证成功,则进行步骤(3-3);
(3-3)服务端随机生成一个身份鉴别信息,并将该身份鉴别信息转换为一个超声波音频数据,将该超声波音频数据发送给客户端,同时服务端通知用户的移动端接收该超声波音频数据;
(3-4)客户端的播放器根据接收的超声波音频数据,播放超声波音频信号,移动端接收该超声波音频信号,并将该超声波音频信号转换为身份鉴别信息,移动端根据步骤(1)中用于密码运算的的对称密钥或者公私钥对,对身份鉴别信息进行密码运算,并将该密码运算结果发送给服务端;其中所述的密码运算为基于对称密码体制的密码运算或基于公钥密码体制的密码运算;
(3-5)服务端对来自移动端的密码运算结果进行验证,若验证成功,则允许客户端登录,并向客户端返回登录成功信息,若验证不成功,则向客户端返回登录失败信息,返回步骤(3-1)。
2.如权利要求1所述的身份鉴别方法,其特征在于,其中所述的基于对称密码体制的密码运算及验证方法,包括以下步骤:
(1)用户在移动端生成一个对称密钥,并将生成的对称密钥发送至服务端,移动端和服务端各保留该对称密钥;
(2)移动端根据步骤(1)的对称密钥,对来自服务端的身份鉴别信息进行加密;
(3)服务端根据步骤(1)的对称密钥,对来自移动端的密码运算结果进行解密得到身份鉴别信息,服务端将该身份鉴别信息与由服务端产生的身份鉴别信息进行对比验证,若该身份鉴别信息与由服务端产生的身份鉴别信息相同,则服务端判定对移动端的身份鉴别成功;若该身份鉴别信息与由服务端产生的身份鉴别信息不相同,则服务端判定对移动端的身份鉴别不成功。
3.如权利要求1所述的身份鉴别方法,其特征在于,其中所述的基于公钥密码体制的密码运算及验证方法,包括以下步骤:
(1)用户在移动端生成一个公私钥对,用户将公私钥对中的公钥发送至服务端,移动端保留公私钥对,服务端保留公钥;
(2)移动端根据步骤(1)的私钥,对来自服务端的身份鉴别信息进行签名,并将该签名发送至服务端;
(3)服务端根据步骤(1)的公钥,对来自移动端的签名进行验证,若验证成功,则服务端判定对移动端的身份鉴别成功;若验证不成功,则服务端判定对移动端的身份鉴别不成功。
4.如权利要求1所述的身份鉴别方法,其特征在于,所述的步骤(3-3)中身份鉴别信息包括一个随机数和服务端系统时间。
5.如权利要求1所述的身份鉴别方法,其特征在于,所述的步骤(3-4)中移动端得到身份鉴别信息后、进行密码运算之前,向用户显示登录确认界面,用户确认后再执行后续流程。
6.一种采用超声波通信的用户无感双因素身份鉴别系统,其特征在于,该鉴别系统包括;
服务端,用于保存用户的用户账户名、口令及移动端的设备唯一标识符,验证客户端提交的用户账户名和口令,客户端登录时产生超声波音频数据格式的身份鉴别信息并发送给客户端、验证移动端提交的身份鉴别信息、得出是否允许登录的结果并返回给客户端;
客户端,用于与服务端建立安全网络链路,登录,接收服务端的超声波音频数据并播放超声波音频;
移动端,用于与服务端建立安全网络链路,获取客户端播放的超声波音频信号、转换为身份鉴别信息、进行密码运算、将结果发送给服务端。
7.如权利要求6所述的用户无感双因素身份鉴别系统,其特征在于,其中移动端与服务端之间以及客户端与服务端之间,分别采用安全网络链路进行通信,该安全网络链路基于安全套接字协议、传输层安全协议或超文本传输安全协议。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010921597.9A CN112073191B (zh) | 2020-09-04 | 2020-09-04 | 采用超声波通信的用户无感双因素身份鉴别方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010921597.9A CN112073191B (zh) | 2020-09-04 | 2020-09-04 | 采用超声波通信的用户无感双因素身份鉴别方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112073191A true CN112073191A (zh) | 2020-12-11 |
| CN112073191B CN112073191B (zh) | 2023-06-27 |
Family
ID=73664999
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010921597.9A Active CN112073191B (zh) | 2020-09-04 | 2020-09-04 | 采用超声波通信的用户无感双因素身份鉴别方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112073191B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080071537A1 (en) * | 1999-10-04 | 2008-03-20 | Beepcard Ltd. | Sonic/ultrasonic authentication device |
| CN106022764A (zh) * | 2016-05-17 | 2016-10-12 | 重庆中商科技有限公司 | 超声波pos机系统及其控制方法 |
| US20190066063A1 (en) * | 2017-08-22 | 2019-02-28 | Jeffery J. Jessamine | Method and System for Secure Identity Transmission with Integrated Service Network and Application Ecosystem |
| WO2019241691A1 (en) * | 2018-06-14 | 2019-12-19 | Paypal, Inc. | Two-factor authentication through ultrasonic audio transmissions |
-
2020
- 2020-09-04 CN CN202010921597.9A patent/CN112073191B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080071537A1 (en) * | 1999-10-04 | 2008-03-20 | Beepcard Ltd. | Sonic/ultrasonic authentication device |
| CN106022764A (zh) * | 2016-05-17 | 2016-10-12 | 重庆中商科技有限公司 | 超声波pos机系统及其控制方法 |
| US20190066063A1 (en) * | 2017-08-22 | 2019-02-28 | Jeffery J. Jessamine | Method and System for Secure Identity Transmission with Integrated Service Network and Application Ecosystem |
| WO2019241691A1 (en) * | 2018-06-14 | 2019-12-19 | Paypal, Inc. | Two-factor authentication through ultrasonic audio transmissions |
Non-Patent Citations (1)
| Title |
|---|
| 刘洋等: "使用超声波通信的无源传感器感知系统设计", 单片机与嵌入式系统应用 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112073191B (zh) | 2023-06-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101527633B (zh) | 智能密钥设备获取数字证书的方法 | |
| EP1277299B1 (en) | Method for securing communications between a terminal and an additional user equipment | |
| CN106209763B (zh) | 一种登录方法及系统 | |
| US8776176B2 (en) | Multi-factor password-authenticated key exchange | |
| KR101237632B1 (ko) | 토큰과 검증자 사이의 인증을 위한 네크워크 헬퍼 | |
| CN103763356B (zh) | 一种安全套接层连接的建立方法、装置及系统 | |
| US10367797B2 (en) | Methods, systems, and media for authenticating users using multiple services | |
| US8352738B2 (en) | Method and apparatus for secure online transactions | |
| CN101527630B (zh) | 远程制证的方法、服务器及系统 | |
| CN112953970B (zh) | 一种身份认证方法及身份认证系统 | |
| US20220166623A1 (en) | Hardware authentication token with remote validation | |
| US20110219427A1 (en) | Smart Device User Authentication | |
| JP4018875B2 (ja) | 通信接続参加者の信頼性レベルを確立する方法 | |
| US7509119B2 (en) | Authentication method and device in a telecommunication network using a portable device | |
| CN106100848A (zh) | 基于智能手机和用户口令的双因子身份认证系统及方法 | |
| CA2457493A1 (en) | Data certification method and apparatus | |
| JP2002026899A (ja) | アドホック無線通信用検証システム | |
| CN101527714B (zh) | 制证的方法、装置及系统 | |
| CN109063438A (zh) | 一种数据访问方法、装置、本地数据安全访问设备及终端 | |
| CN111949958B (zh) | Oauth协议中的授权认证方法及装置 | |
| CN111949959B (zh) | Oauth协议中的授权认证方法及装置 | |
| CN106161475A (zh) | 用户鉴权的实现方法和装置 | |
| CN109005144A (zh) | 一种身份认证方法、设备、介质和系统 | |
| TW201328280A (zh) | 即時通訊身分認證系統與方法 | |
| CN112073191B (zh) | 采用超声波通信的用户无感双因素身份鉴别方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |