WO2016112792A1

WO2016112792A1 - 身份认证方法及装置

Info

Publication number: WO2016112792A1
Application number: PCT/CN2016/070130
Authority: WO
Inventors: 汪凡
Original assignee: 阿里巴巴集团控股有限公司; 汪凡
Priority date: 2015-01-12
Filing date: 2016-01-05
Publication date: 2016-07-21
Also published as: CN105847216A

Abstract

本申请提供一种身份认证方法及装置。方法包括：获取用户输入的密码以及用户输入密码的熟练度；根据用户输入的密码和用户输入密码的熟练度，对用户进行身份认证。本申请同时结合用户输入的密码以及用户输入密码的熟练度对用户进行身份认证，可以提高身份认证的安全性，同时不再依赖用户的终端设备，实现上更加灵活性。

Description

身份认证方法及装置

【技术领域】

本申请涉及互联网技术领域，尤其涉及一种身份认证方法及装置。

【背景技术】

随着计算机技术的发展，密码安全问题一直是计算机领域内的一个重要研究方向，尤其是在互联网迅速发展的今天，密码安全技术也层出不穷。

目前，相对比较安全的密码技术是两步验证法。以谷歌(google)的两步验证法为例，该两步验证法首先要用户在的密码输入框输入密码，然后向用户注册时绑定的手机发送动态密码，要求用户再次输入动态密码。只有两次的密码校验都通过了，才确认用户是合法用户，并允许用户执行相应操作，例如登录。

上述两步验证法虽然在密码安全上面有一定提高，但是由于该方法依赖于用户的手机，在使用上存在一定限制，不够灵活，例如若手机当时不在用户身边，或者由于客观原因(如手机没有信号或没电等)无法接收到动态密码，导致合法用户无法进行身份认证，无法执行相应操作。

【发明内容】

本申请的多个方面提供一种身份认证方法及装置，用以在提高身份认证安全性的同时，提高身份认证的灵活性。

本申请的一方面，提供一种身份认证方法，包括：

获取用户输入的密码以及所述用户输入所述密码的熟练度；

根据所述用户输入的密码和所述用户输入所述密码的熟练度，对所述用户进行身份认证。

本申请的另一方面，提供一种身份认证装置，包括：

获取模块，用于获取用户输入的密码以及所述用户输入所述密码的熟练度；

认证模块，用于根据所述用户输入的密码和所述用户输入所述密码的熟练度，对所述用户进行身份认证。

在本申请中，获取用户输入的密码和用户输入密码的熟练度，同时根据用户输入的密码和用户输入密码的熟练度，对用户进行身份认证。与现有技术中仅根据密码对用户进行身份认证的方法相比，由于结合了两种信息，所以提高了身份认证的安全性；另外，用户输入密码的熟练度可以在用户输入密码的过程中获取，通过熟练度识别当前进行密码输入的是不是用户本人，实现对用户的认证，不需要依赖用户的终端设备接收动态密码，因此在使用上不受用户的终端设备的限制，具有较高的灵活性。

【附图说明】

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本申请一实施例提供的身份认证方法的流程示意图；

图2为本申请一实施例提供的身份认证装置的结构示意图。

【具体实施方式】

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

图1为本申请一实施例提供的身份认证方法的流程示意图。如图1所示，该方法包括：

101、获取用户输入的密码以及用户输入该密码的熟练度。

102、根据用户输入的密码和用户输入该密码的熟练度，对用户进行身份认证。

本实施例提供一种身份认证方法，可由身份认证装置来执行。本实施例提供的身份认证方法可应用于各种需要验证用户身份的场景，例如各种应用系统的登录过程、基于互联网的支付过程以及网络资源的访问过程等；相应的，身份认证装置可以是各种系统中的客户端或专门负责身份认证的装置。

举例说明，当用户需要登录某一应用系统，例如QQ或微信或天猫或淘宝等时，该应用系统的客户端向用户提供一登录界面，登录界面上显示有用户名输入框、密码输入框以及登录按钮(或者是提交按钮)，用于供用户输入用户名和密码。用户输入用户名和密码，并点击登录按钮或提交按钮，以向客户端提供用户名和密码。此时，客户端接收用户输入的用户名和密码。在该应用场景中，身份认证装置可以是应用系统的客户端，该客户端除了具有身份认证功能之外，还具有实现相应业务的功能。

举例说明，当用户需要使用在线支付业务时，在线支付系统的客户端向用户提供一在线支付界面，该支付界面上显示有支付金额、支付方、密码输入框、验证码以及确定按钮等信息，其中，密码输入框用于供用户输入密码。用户在密码输入框中输入密码，点击确认按钮，以向在线支付系统的客户端提供密码。此时，在线支付系统的客户端接收用户输入的密码。在该应用场景中，身份认证装置可以是在线支付系统的客户端。

考虑到用户的密码有可能被盗，因此若仅仅依据用户输入的密码对用户进行身份认证，其安全性较低。为此本实施例提供一种安全性较高的身份认证方法，具体如下：

当需要对用户进行身份认证时，身份认证装置获取用户输入的密码，同时获取用户输入该密码的熟练度。例如，身份认证装置可以向用户提供一交互界面，在该交互界面上提供密码输入框和提交按钮等信息，以供用户输入身份认证所需的密码。

其中，不同用户输入同一密码的熟练度一般不同。尤其是，一个熟悉密码的用户与一个不熟悉密码的用户相比，其两者在输入密码的熟练度上会有较大差异。熟悉密码的用户在输入密码时的输入动作比较流畅，比较快速；相反，不熟悉密码的用户在输入密码时的输入动作就会有停顿，速度也会比较慢。

基于上述分析，本实施例可以通过用户输入密码的熟练度来判断输入密码的用户是否是预先注册的合法用户。

之后，身份认证装置根据用户输入的密码和用户输入密码的熟练度，对用户进行身份认证。

由于本实施例除了采用用户输入的密码之外，还同时结合了用户输入密码的熟练度这一信息对用户进行身份认证，与现有技术中仅根据一种信息对用户进行身份认证的方法相比，其安全性有所提高；另外，用户输入密码的熟练度可以在用户输入密码的过程中获取，通过熟练度识别当前进行密码输入的是不是用户本人，实现对用户的认证，不需要依赖用户的终端设备接收动态密码，因此在使用上不受用户的终端设备的限制，具有较高的灵活性。

在一可选实施方式中，身份认证装置根据用户输入的密码和用户输入密码的熟练度，对用户进行身份认证的方式包括：

判断用户输入的密码与预设的密码是否相同；

若用户输入的密码与预设的密码相同，判断用户输入密码的熟练度是否在预设熟练度范围内；

若用户输入密码的熟练度在预设熟练度范围内，确定用户属于合法用户。

在上述可选实施方式中，合法用户需要预先进行注册，并预先设定密码。另外，身份认证装置也要预先设定合法用户输入密码的熟练度范围。具体的，身份认证装置将用户输入的密码与预设的密码进行比较；若用户输入的密码与预设的密码相同，进一步判断用户输入密码的熟练度是否在预设熟练度范围内；若用户输入密码的熟练度在预设熟练度范围内，说明用户属于合法用户。

可选的，当用户输入的密码与预设的密码不相同，或用户输入密码的熟练度不在预设熟练度范围内时，确定用户属于非法用户。或者

可选的，当用户输入的密码与预设的密码不相同时，确定用户属于非法用户；当用户输入的密码与预设的密码相同，但用户输入密码的熟练度不在预设熟练度范围内时，确定用户属于可疑用户。

若用户的密码丢失或被盗，即使通过了密码验证，由于输入密码的熟练度与合法用户输入密码的熟练度不一样，所以也会将非法用户识别出来，提高了身份认证的安全性。另外，与现有技术中的动态密码相比，用户输入密码的熟练度只需在用户输入密码的过程中获取即可，且不依赖于用户的终端设备，所以不受用户终端设备的限制，具有较高的灵活性。

在一可选实施方式中，考虑到用户越熟悉所要输入的密码，其输入速度就越快，则可以用用户输入密码中单个字符的耗时来表示用户输入密码的熟练度；耗时越短，表示用户输入密码的熟练度越高；反之，表示用户输入密码的熟练度越低。

基于上述，一种获取用户输入密码的熟练度的方式包括：监控用户输入密码过程中产生的键盘事件，以获得该密码包括的字符个数和用户输入密码的总耗时；进一步，根据用户输入密码的总耗时和该密码包括的字符个数，获得用户输入该密码中单个字符的平均耗时以作为用户输入密码的熟练度。这种方式实现相对简单，效率较高。

基于上述获取用户输入密码的熟练度的实现方式，一种判断用户输入密码的熟练度是否在预设熟练度范围内的实现方式包括：

获取用户输入密码中单个字符的平均耗时与预先获取的标准耗时的差值；

将所获取的差值与预设的阈值区间进行比较；

若所述差值在预设的阈值区间内，确定用户输入密码的熟练度在预设熟练度范围内；

若所述差值不在预设的阈值区间内，确定用户输入密码的熟练度不在预设熟练度范围内。

在上述实施例中，预设熟练度范围可以用阈值区间来表示，相当于将熟练度范围进行了量化，有利于实现和操作。其中，根据密码以及应用场景等的不同，该阈值区间的取值也会有所不同，本实施例并不限定该阈值区间的具体取值。举例说明，假设该阈值区间可以为[0.00,0.08]，则若单个字符的平均耗时可以是0.2秒，标准耗时为0.15秒，单个字符的平均耗时与标准耗时的差值为0.05，该差值在上述阈值区间内，说明用户输入密码的熟练度在预设熟练度范围内，可以判定进行密码输入的用户是合法用户。

值得说明的是，在实施上述方案之前，需要预先获取标准耗时。一种获取标准耗时的方式包括：

预先设定一学习周期。该学习周期可以是指定的一段时间，例如3天、一周、一个月等。或者，也可以设定用户输入密码的次数，例如10次、20次等，则该学习周期具体可以是用户输入密码的次数来确定。

在该学习周期内，用户会多次输入密码，用户输入密码的最大次数设为N，N是大于1的自然数。对于用户第i次输入密码来说，身份认证装置可以获取用户在学习周期内第i次输入密码中单个字符的平均耗时，记为S_i。例如，身份认证装置可以监控用户在学习周期内第i次输入密码过程中产生的键盘事件，以获得密码包括的字符个数和用户第i次输入密码的总耗时；根据用户第i次输入密码的总耗时和密码包括的字符个数，获得用户第i次输入密码中单个字符的平均耗时。其中，i＝1,2，…，N。这样，身份认证装置可以获取用户在预设学习周期内每次输入密码中单个字符的平均耗时，总共是N个平均耗时；之后可以计算所获取的N个平均耗时的标准差，以作为上述标准耗时。所述标准差的计算方法如下：

针对N个平均耗时，计算平均值E＝(S₁+S₂+…+S_N)/N；

根据公式(∑(S_i–E)²/N)^1/2，计算标准差SS。

基于上述各实施方式，为了进一步提高身份认证的安全性，同时又要降低将误判的概率(即降低合法用户判定为非法用户的概率)，当用户输入的密码与预设的密码相同，但用户输入密码的熟练度不在预设熟练度范围内时，可以将其判定为疑似非法用户(即可疑用户)，而不是直接判定为非法用户，这样可以进一步根据用户输入的验证码，对用户进行身份认证。该验证码可以是现有技术中的动态密码。

具体的，当判断出用户输入的密码与预设的密码相同，但用户输入密码的熟练度不在预设熟练度范围内时，身份认证装置可以向预先与用户名绑定的终端设备发送验证码，并向用户提供验证码输入界面，以供用户输入接收到的验证码，以便通过验证码对用户做进一步认证。

具体的，身份认证装置可以将用户输入的验证码与发送给用户的验证码进行比较；若两者相同，则确定用户是合法用户；若两者不相同，则确定用户是非法用户。

对用户来说，若是合法用户，则可以从其终端设备获取验证码，并提供给身份认证装置；若是非法用户，则无法获取验证码，从而无法通过身份认证。

在上述实施方式中，将用户输入密码的熟练度与两步验证法相结合，先基于用户输入密码的熟练度判断进行密码输入是否是注册该密码的用户，如果判定是注册该密码的用户，则不需要启动两步认证法中的第二步，可以在保证身份认证安全性的基础上规避用户终端设备的限制，具有较大的灵活性；如果判定是可疑用户，那么就开启两步认证法中的第二步，有利于在保证身份认证安全性的基础上尽量减低误判概率。值得说明的是，一般来讲密码作为一个用户最为关键的数据，用户输入的耗时都是在一个范围之内，开启第二步验证的概率极低，降低了对用户终端设备的依赖，整个方法在实现上比较灵活。

需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本申请并不受所描述的动作顺序的限制，因为依据本申请，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本申请所必须的。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

图2为本申请一实施例提供的身份认证装置的结构示意图。如图2所示，该装置包括：获取模块21和认证模块22。

获取模块21，用于获取用户输入的密码以及用户输入密码的熟练度。

认证模块22，用于根据获取模块21获取的用户输入的密码和用户输入密码的熟练度，对用户进行身份认证。

在一可选实施方式中，认证模块具体用于：判断用户输入的密码与预设的密码是否相同；若用户输入的密码与预设的密码相同，判断用户输入密码的熟练度是否在预设熟练度范围内；若用户输入密码的熟练度在预设熟练度范围内，确定用户属于合法用户。

认证模块还用于：若用户输入的密码与预设的密码不相同，或用户输入密码的熟练度不在预设熟练度范围内，确定用户属于非法用户。或者

认证模块还用于：在用户输入的密码与预设的密码不相同时，确定用户属于非合法用户；在用户输入的密码与预设的密码相同，但用户输入密码的熟练度不在预设熟练度范围内时，确定用户属于可疑用户。

进一步，认证模块还用于：在所述属于可疑用户时，继续根据所户输入的验证码，对用户进行身份验证。

在一可选实施方式中，获取模块21具体用于：监控用户输入密码过程中产生的键盘事件，以获得密码包括的字符个数和用户输入密码的总耗时；根据用户输入密码的总耗时和密码包括的字符个数，获得用户输入密码中单个字符的平均耗时以作为用户输入密码的熟练度。

基于上述获取模块21获取用户输入密码的熟练度的方案，认证模块22用于判断用户输入密码的熟练度是否在预设熟练度范围内，具体为：

获取用户输入密码中单个字符的平均耗时与预先获取的标准耗时的差值；若差值在预设的阈值区间，确定用户输入密码的熟练度在预设熟练度范围内；若差值不在预设的阈值区间，确定用户输入密码的熟练度不在预设熟练度范围内。

进一步，获取模块21还用于预先获取标准耗时，具体的：获取用户在预设学习周期内第i次输入密码中单个字符的平均耗时，i＝1,2，…，N，N是用户在学习周期内输入密码的最大次数，N是大于1的自然数；计算获取的N个平均耗时的标准差，以作为标准耗时。

本实施例提供的身份认证装置，获取用户输入的密码和用户输入密码的熟练度，同时根据用户输入的密码和用户输入密码的熟练度，对用户进行身份认证。由于本实施例提供的身份认证装置同时结合了两种信息对用户进行身份认证，所以提高了身份认证的安全性；另外，用户输入密码的熟练度可以在用户输入密码的过程中获取，通过熟练度识别当前进行密码输入的是不是用户本人，实现对用户的认证，不需要依赖用户的终端设备接收动态密码，因此在使用上不受用户的终端设备的限制，具有较高的灵活性。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

上述以软件功能单元的形式实现的集成的单元，可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)或处理器(processor)执行本申请各个实施例所述方法的部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。

Claims

一种身份认证方法，其特征在于，包括：

获取用户输入的密码以及所述用户输入所述密码的熟练度；

根据所述用户输入的密码和所述用户输入所述密码的熟练度，对所述用户进行身份认证。
根据权利要求1所述的方法，其特征在于，所述根据所述用户输入的密码和所述用户输入所述密码的熟练度，对所述用户进行身份认证，包括：

判断所述用户输入的密码与预设的密码是否相同；

若所述用户输入的密码与预设的密码相同，判断所述用户输入所述密码的熟练度是否在预设熟练度范围内；

若所述用户输入所述密码的熟练度在预设熟练度范围内，确定所述用户属于合法用户。
根据权利要求2所述的方法，其特征在于，所述获取所述用户输入所述密码的熟练度，包括：

监控所述用户输入所述密码过程中产生的键盘事件，以获得所述密码包括的字符个数和所述用户输入所述密码的总耗时；

根据所述用户输入所述密码的总耗时和所述密码包括的字符个数，获得所述用户输入所述密码中单个字符的平均耗时以作为所述用户输入所述密码的熟练度。
根据权利要求3所述的方法，其特征在于，所述判断所述用户输入所述密码的熟练度是否在预设熟练度范围内，包括：

获取所述用户输入所述密码中单个字符的平均耗时与预先获取的标准耗时的差值；

若所述差值在预设的阈值区间内，确定所述用户输入所述密码的熟练度在所述预设熟练度范围内；

若所述差值不在预设的阈值区间，确定所述用户输入所述密码的熟练度不在所述预设熟练度范围内。
根据权利要求4所述的方法，其特征在于，所述预先获取所述标准耗时，包括：

获取所述用户在预设学习周期内第i次输入所述密码中单个字符的平均耗时，i为小于N的自然数，N是用户在所述学习周期内输入所述密码的最大次数；

计算所述获取的N个平均耗时的标准差，以作为所述标准耗时。
根据权利要求2-5任一项所述的方法，其特征在于，还包括：

若所述用户输入的密码与预设的密码不相同，确定所述用户属于非合法用户；

若所述用户输入的密码与预设的密码相同，但所述用户输入所述密码的熟练度不在预设熟练度范围内，确定所述用户属于可疑用户。
根据权利要求6所述的方法，其特征在于，还包括：

若确定所述用户属于可疑用户，则继续根据所述用户输入的验证码，对所述用户进行身份验证。
一种身份认证装置，其特征在于，包括：

获取模块，用于获取用户输入的密码以及所述用户输入所述密码的熟练度；

认证模块，用于根据所述用户输入的密码和所述用户输入所述密码的熟练度，对所述用户进行身份认证。
根据权利要求8所述的装置，其特征在于，所述认证模块具体用于：

判断所述用户输入的密码与预设的密码是否相同；

若所述用户输入的密码与预设的密码相同，判断所述用户输入所述密码的熟练度是否在预设熟练度范围内；

若所述用户输入所述密码的熟练度在预设熟练度范围内，确定所述用户属于合法用户。
根据权利要求9所述的装置，其特征在于，所述获取模块具体用于：

监控所述用户输入所述密码过程中产生的键盘事件，以获得所述密码包括的字符个数和所述用户输入所述密码的总耗时；

根据所述用户输入所述密码的总耗时和所述密码包括的字符个数，获得所述用户输入所述密码中单个字符的平均耗时以作为所述用户输入所述密码的熟练度。
根据权利要求10所述的装置，其特征在于，所述认证模块具体用于：

获取所述用户输入所述密码中单个字符的平均耗时与预先获取的标准耗时的差值；

若所述差值在预设的阈值区间，确定所述用户输入所述密码的熟练度在所述预设熟练度范围内；

若所述差值不在预设的阈值区间，确定所述用户输入所述密码的熟练度不在所述预设熟练度范围内。
根据权利要求11所述的装置，其特征在于，所述获取模块还用于：

获取所述用户在预设学习周期内第i次输入所述密码中单个字符的平均耗时，i＝1,2，…，N，N是用户在所述学习周期内输入所述密码的最大次数，N是大于1的自然数；

计算所述获取的N个平均耗时的标准差，以作为所述标准耗时。
根据权利要求9-12任一项所述的装置，其特征在于，所述认证模块还用于：

在所述用户输入的密码与预设的密码不相同时，确定所述用户属于非合法用户；

在所述用户输入的密码与预设的密码相同，但所述用户输入所述密码的熟练度不在预设熟练度范围内时，确定所述用户属于可疑用户。
根据权利要求13所述的装置，其特征在于，所述认证模块还用于：

在所述用户属于可疑用户时，继续根据所述用户输入的验证码，对所述用户进行身份验证。