一种透明双因子认证系统及方法技术方案

本发明专利技术公开了一种透明双因子认证系统，包括浏览器端、服务器端和手机端；浏览器端用于用户登录注册、录音、音频加解密和数据传输；服务器端用于数据存储和数据传输；手机端用于录音、音频加解密、音频对比、数据传输和PUF认证。本发明专利技术还公开了所述透明双因子认证系统的方法。本发明专利技术在不改变用户体验的前提下提出对用户完全透明的基于物理不可克隆函数的认证以及环境背景音的特征分析与比对，避免了在用户与智能设备间的冗余互动，增强了单因子密码身份验证机制原本的安全性，着重提高了双因子认证系统的便捷性和安全性，并达到反欺诈的目的。

A Transparent Two-factor Authentication System and Method

The invention discloses a transparent two-factor authentication system, including browser, server and mobile terminal; browser terminal is used for user registration, recording, audio encryption and decryption and data transmission; server terminal is used for data storage and data transmission; mobile terminal is used for recording, audio encryption and decryption, audio contrast, data transmission and PUF authentication. The invention also discloses a method of the transparent two-factor authentication system. Without changing the user experience, the present invention proposes a completely transparent authentication based on physical non-clonal function and feature analysis and comparison of environmental background sound for users, avoids redundant interaction between users and intelligent devices, enhances the original security of single-factor password authentication mechanism, and focuses on improving the convenience and security of dual-factor authentication system. For the purpose of anti-fraud.

【技术实现步骤摘要】
一种透明双因子认证系统及方法
本专利技术具体涉及一种透明双因子认证系统及方法。
技术介绍
随着信息化进程的不断深入和计算机网络的飞速发展，信息网络日益庞大，网络的种类、覆盖范围、节点数、用户数、数据类型、通信量不断增加，参与通信的平台和操作系统越来越多，通过网络传播的信息呈指数增长。人的生活、工作和学习方式正在发生巨大变化，信息资源得到最大程度的共享，效率大为提高；同时随着电子商务的发展，企业信息化进程不断深入，越来越多的企业和机构开始通过网络开展业务。然而，在享受网络带来的便利的同时，互联网开放性、多功能和多业务的特点，使得以互联网为核心的网络安全问题日益突出。据CNNIC统计，2015年，42.7％的网民遭遇过网络安全问题，网络安全成为信息网络健康发展必不可少的重要一环。用户身份认证是网络安全中最直接也是最前沿的一道防线，目的是解决验证网络通讯双方真实身份的问题，并在通信双方之间建立相互信任的关系。传统的身份认证技术使用静态口令的“用户名+密码”单因子认证方式，这种方式是目前应用最为广泛的认证方法。它的优点是实现简单，部署方便，无须附加其他设备，但是这种基于密码的身份验证机制，只是单因子认证，安全性全部依赖于静态口令，口令一旦泄露，用户即可被冒充。在早期互联网阶段，由于远程访问没有广泛应用且攻击模式单一，这种单因子认证比较有效。而在病毒泛滥的今天，木马可以截获用户的按键记录，甚至可以通过对鼠标点击位置的比对破译出用户的登录账号和密码，从而突破密码保护技术。在2015年度的互联网安全事件中，电脑与手机中病毒或木马的情况最为严重，发生率为24.2％，其次是账号或密码被盗，发生率为22.9％。例如，CSDN的“泄密门”事件曾波及到数家从事互联网应用的企业，包括人人网、天涯、多玩等公司的静态账户被泄露。2016年5月，谷歌宣布计划全面取消密码，其认为最安全的方式是用多种混合认证，并开发了全新的认证方式。由此可见，基于密码的单因子身份认证已经越来越不适用，所以更安全的机制亟待被设计出来，双因子认证技术应运而生。双因子认证技术是指将密码以及实物(信用卡、手机、令牌或指纹)等结合,形成两种因子对用户进行合法性验证的方法。然而，相对于常用的密码验证方式，双因子验证在以不同的实物作为因子时，会或多或少增加操作步骤，会给用户带来许多不便。比如动态令牌方式属于一次性密码，通过多重验证对用户身份进行鉴别,安全性好但访问不同网站时往往需要不同的令牌，当你需要同时访问许多网站时，携带一大串令牌将会显得很麻烦。同时，现有的双因子认证方式也受到了一些质疑，例如迈克菲和GuardianAnalytics公司发布题为《深度剖析针对高净值账户的盗窃行为》联合报告，其中提到某国际性犯罪团伙一直在窥视着企业和个人的银行账户，并且采用了与某地远程服务器密切关联的自动化操作，通过未授权且具有欺诈性的转账，企图盗窃巨额资金。由于犯罪团伙给受害者的计算机植入了恶意软件，因此在登录并验证第二重因子的过程中，用来验证银行账户访问授权的双因子认证令牌形同虚设，被他们轻易地窃取到令牌的密码信息。不法分子甚至可以操纵用户的验证过程，并将窃取到的密码信息整合到针对账户的自动化攻击过程中，最终窃取用户的资产。这种通过植入恶意软件来威胁认证安全性的例子屡见不鲜。然而威胁双因子认证的手段远不止这些，甚至不需要任何的技术便能达到欺诈的目的。2016年5月，央视曝光的一则关于双因子认证的电信诈骗新闻，被疯狂传播。即使有双因子认证的存在，不法分子仍通过中国移动的一项在线4G换卡的冷门业务，轻松窃取被害人全部资产。不法分子所做的仅仅是冒充受害者申请线上4G自助换卡业务，并假冒中国移动，欺骗受害人回复收到的认证短信第二重认证因子。因为受害人突然收到真的业务信息，便轻易的被不法分子“1分钟内回复收到验证信息，免费取消业务”的短信所欺骗并回复。这样，不法分子得到了第二重因子，便能轻易窃取被害人资产。这类无技术含量的欺骗非常容易实现。该事件发生的根本原因在于当前的第二因子的认证过程涉及用户操作，犯罪分子可通过欺诈手段骗取到用户的第二重验证因子，从而完成认证过程。综上所述，当前的传统静态口令验证面临极大的威胁，一旦泄露，用户将毫无安全性可言。而当前的双因子认证虽然在一定程度上提高了用户的安全性，但是不仅增加了冗余的操作，降低了用户体验，且需要人为交互，易受诈骗等威胁。
技术实现思路
本专利技术的目的之一在于提供一种可靠性高、机密性好且使用方便的透明双因子认证系统。本专利技术的目的之二在于提供一种所述透明双因子认证系统的方法。本专利技术提供的这种透明双因子认证系统，包括浏览器端、服务器端和手机端；浏览器端包括浏览器登录注册模块、浏览器录音模块、浏览器音频加解密模块和浏览器数据传输模块；服务器端包括服务器数据库存储模块和服务器数据传输模块；手机端包括手机录音模块、手机音频加解密模块、手机音频对比模块、手机数据传输模块和手机PUF模块；浏览器登录注册模块用于对用户进行登录或注册操作时对输入信息的鉴别与传输；浏览器录音模块用于在服务器通过对用户的用户名和密钥进行验证后对用户设备周围的环境声音进行采集；浏览器音频加解密模块用于对浏览器采集的环境声音数据进行加密；浏览器数据传输模块用于浏览器与服务器、浏览器与手机之间的数据传输；服务器数据库存储模块用于在用户进行登录或注册过程中服务器向服务器数据库存储模块进行查询或插入数据；服务器数据传输模块用于服务器端与浏览器端、服务器端与手机端之间的数据传输；手机录音模块用于服务器通过对用户名和密钥的验证后对用户手机所在的环境的环境声音进行录制；手机音频加解密模块用于对手机采集完毕的音频数据进行加密；手机音频对比模块用于对用户浏览器端录制的声音数据和手机端录制的声音数据进行对比；手机数据传输模块用于手机端与服务器端、手机端与浏览器端之间的数据传输；手机PUF模块用于在服务器通过对用户的用户名和密钥验证后对用户手机的合法性进行确认。本专利技术还提供了一种所述透明双因子认证系统的方法，包括如下步骤：S1.用户通过浏览器进行登录，浏览器将用户的登录信息上传服务器；S2.服务器对用户的登录信息进行验证，同时服务器验证用户手机的PUF响应；S3.浏览器通过所在的设备录制若干时间的设备所在环境的环境声音，同时控制用户手机录制相同时间的手机所在环境的环境声音；S4.比对浏览器所录制的设备所在环境的环境声音与手机所录制的手机所在环境的环境声音；S5.对步骤S4的比对结果进行判定并将判定结果发送给浏览器；S6.浏览器根据接收的判定结果对用户进行认证。步骤S2所述的服务器对用户的登录信息进行验证，同时服务器验证用户手机的PUF响应，具体为采用如下步骤进行验证：A.服务器对用户的登录信息进行验证：若验证通过，则服务器向用户手机发送PUF激励进行合法性验证；若验证不通过，则服务器向浏览器下发提示信息；B.服务器向用户手机发送PUF激励进行合法性验证，并获取用户手机端回复的PUF响应：若用户手机端回复的PUF响应与服务器端存储的PUF响应相等，则进行后续的认证过程；若用户手机端回复的PUF响应与服务器端存储的PUF响应不相等，则服务器向浏览器下发提示信息。步骤S3所述的浏览器通过所在的设备录本文档来自技高网...

【技术保护点】
1.一种透明双因子认证系统，其特征在于包括浏览器端、服务器端和手机端；浏览器端包括浏览器登录注册模块、浏览器录音模块、浏览器音频加解密模块和浏览器数据传输模块；服务器端包括服务器数据库存储模块和服务器数据传输模块；手机端包括手机录音模块、手机音频加解密模块、手机音频对比模块、手机数据传输模块和手机PUF模块；浏览器登录注册模块用于对用户进行登录或注册操作时进行对输入信息的鉴别与传输；浏览器录音模块用于在服务器通过对用户的用户名和密钥进行验证后对用户设备周围的环境声音进行采集；浏览器音频加解密模块用于对浏览器采集的环境声音数据进行加密；浏览器数据传输模块用于浏览器与服务器、浏览器与手机之间的数据传输；服务器数据库存储模块用于在用户进行登录或注册过程中服务器向服务器数据库存储模块进行查询或插入数据；服务器数据传输模块用于服务器端与浏览器端、服务器端与手机端之间的数据传输；手机录音模块用于服务器通过对用户名和密钥的验证后对用户手机所在的环境的环境声音进行录制；手机音频加解密模块用于对手机采集完毕的音频数据进行加密；手机音频对比模块用于对用户浏览器端录制的声音数据和手机端录制的声音数据进行对比；手机数据传输模块用于手机端与服务器端、手机端与浏览器端之间的数据传输；手机PUF模块用于在服务器通过对用户的用户名和密钥验证后对用户手机的合法性进行确认。...

【技术特征摘要】
1.一种透明双因子认证系统，其特征在于包括浏览器端、服务器端和手机端；浏览器端包括浏览器登录注册模块、浏览器录音模块、浏览器音频加解密模块和浏览器数据传输模块；服务器端包括服务器数据库存储模块和服务器数据传输模块；手机端包括手机录音模块、手机音频加解密模块、手机音频对比模块、手机数据传输模块和手机PUF模块；浏览器登录注册模块用于对用户进行登录或注册操作时进行对输入信息的鉴别与传输；浏览器录音模块用于在服务器通过对用户的用户名和密钥进行验证后对用户设备周围的环境声音进行采集；浏览器音频加解密模块用于对浏览器采集的环境声音数据进行加密；浏览器数据传输模块用于浏览器与服务器、浏览器与手机之间的数据传输；服务器数据库存储模块用于在用户进行登录或注册过程中服务器向服务器数据库存储模块进行查询或插入数据；服务器数据传输模块用于服务器端与浏览器端、服务器端与手机端之间的数据传输；手机录音模块用于服务器通过对用户名和密钥的验证后对用户手机所在的环境的环境声音进行录制；手机音频加解密模块用于对手机采集完毕的音频数据进行加密；手机音频对比模块用于对用户浏览器端录制的声音数据和手机端录制的声音数据进行对比；手机数据传输模块用于手机端与服务器端、手机端与浏览器端之间的数据传输；手机PUF模块用于在服务器通过对用户的用户名和密钥验证后对用户手机的合法性进行确认。2.一种权利要求1所述的透明双因子认证系统的方法，包括如下步骤：S1.用户通过浏览器进行登录，浏览器将用户的登录信息上传服务器；S2.服务器对用户的登录信息进行验证，同时服务器验证用户手机的PUF响应；S3.浏览器通过所在的设备录制若干时间的设备所在环境的环境声音，同时控制用户手机录制相同时间的手机所在环境的环境声音；S4.比对浏览器所录制的设备所在环境的环境声音与手机所录制的手机所在环境的环境声音；S5.对步骤S4的比对结果进行判定并将判定结果发送给浏览器；S6.浏览器根据接收的判定结果对用户进行认证。3.根据权利要求2所述的方法，其特征在于步骤S2所述的服务器对用户的登录信息进行验证，同时服务器验证用户手机的PUF响应，具体为采用如下步骤进行验证：A.服务器对用户的登录信息进行验证：若验证通过，则服务器向用户手机发送PUF激励进行合法性...

【专利技术属性】
技术研发人员：王湘奇，
申请(专利权)人：湖南第一师范学院，
类型：发明
国别省市：湖南,43