专利名称:带触摸屏的手持移动设备身份认证系统及认证方法
技术领域:
本发明属于信息安全技术领域,涉及身份认证,具体地说就是通过图形化的输入方 式来代替传统的文本口令输入方式,可用于在有触摸屏的移动设备上输入口令进行身份 认证,例如有触摸屏的PDA、手机的开机、解除锁定等。
背景技术:
身份认证是信息安全系统决定一个使用者是否有权限登陆本系统并使用特定资源的 过程,是安全领域的重要研究课题。目前存在众多的新型身份认证方式,例如利用生物 技术和智能卡技术来进行身份验证,但应用最为广泛的仍然是由用户提供相应文本的文 本口令认证方式,并且在未来一段时间内,其仍将作为身份认证的一项重要手段。随着 越来越多智能移动设备的使用,用户认证被认为是一个非常有效的保护用户敏感信息的 手段,因为这类移动设备很容易落入未经授权的其他人员手里。
传统的文本认证方式要求用户输入由数字和英文字符组成的口令,存在其固有的诸 多缺陷,并且这些缺点极易演变为安全问题。比如用户在选择文本口令时大多倾向于选 择短小简单并且具有一定规律的文本,如选取包含自己信息的名字、生日或字典中存在 的单词作为口令。攻击者则通常利用所掌握的口令分布规律构造口令字典,对口令进行
暴力猜测攻击。在这种字典攻击下, 一部分文本口令通常会显得十分脆弱而被成功破解。 美国学者Klein曾进行了相关实验,其调用了 14000个使用者的Unix系统口令,而后只 用仅由3X106个单词组成的字典对这些口令进行猜测攻击,结果发现,约有25%的用户 口令能够被成功破解。Morris蠕虫使用一个由432个常用单词和1988年UNIX在线词汇 组成的字典,能够惊人地破解一些站点50%左右的用户口令。为了增强文本口令的安全 性,用户设定的口令必须足够复杂,并经常更换,但是这样的口令不利于用户记忆,实 际操作起来具有相当困难,因此,传统的文本认证方式常常会使用户处于两难境地。
许多认知学和心理学的研究表明,人类对于有意义的短语或句子的记忆要优于对没 有意义的文本的记忆。现在移动设备上所使用的文本口令都是由数字和英文字符所组成 的,不适合于中国用户所使用和记忆。汉语是中国人广泛熟悉和经常使用的,大多数中 国人都是在汉语环境中成长的,对于汉语的理解和记忆要优于数字或英文等其他字符所 组成的文本的理解和记忆。因此,大多数中国人对于汉语的认知和记忆都不存在障碍。现在在手持移动设备上使用的口令认证方式有传统的文本认证方式;visKeyPPC; Gl 手机Android系统登陆认证方法。
(1) 传统的文本认证方式 传统的文本认证方式要求用户输入由数字和英文字符组成的口令。在移动设备上,
不管是键盘或是触摸屏中的软键盘,按键设计的都比较小巧,用户输入口令的时候,需 要去逐个敲击按键,速度比较慢,并且由数字和英文字符组成的口令不适合中国用户记 忆。 '
(2) visKeyPPC
SFR公司于2000年发布了这款专为移动设备设计的商业软件产品,visKeyPPC。在 用户注册阶段,用户在口令图片上选择1至9点作为口令对象。之后visKey将取代原先 的口令机制,在每次用户的移动设备开启的时候,就会显示口令图片,用户需要输入自 己的口令进行验证。如果验证不成功,则不能进入智能移动设备内部。visKey将安全性 和易用性结合在一起并应用在智能移动设备上,用户只需几次点击就可以提供较大的密 码空间。例如,在合理设置参数的情况下, 一个四个点的口令,理论上可提供近l亿种 可能性,文本口令需要五个字符才能形成类似规模的密码空间。但是这样的密码空间没 有大到足以抵制一个快速计算机的离线攻击。因此,为了获得更高的安全性,更多的点 必须被选择作为口令的一部分。但是,这些点没有明确的边界,用户输入容易出现偏差, 很难精确输入,造成认证速度下降。此外,逐个点击口令位置也是造成认证速度慢的另 一个因素。
(3) Gl手机Android系统登陆认证方法 考虑到手机用户的实用性和趣味性,Google公司在2008年推出的Gl手机中,其
Android系统登陆采用的是以九宫格为基础的认证方法。其登陆画面就是由3X3的9点 矩阵组成,用户通过在上面画线来进行系统登陆的。用户设计的口令可以是通过若干个 点组成一个连续的线,下次解除锁定的时候,只要按照正确的顺序画出线即可。但是, 这相同的9个点对于用户来说,没有任何意义也很难区分,并不利于用户对口令的记忆。 综上所述,现有的移动设备中的口令系统或者在可用性方面存在不足,或者会带给 用户很大的记忆负担,都不能在提供系统很高的安全性的基础上,提供用户良好的可用 性和可记忆性。
发明内容
本发明的目的在于克服上述已有技术的不足,提供一种带触摸屏的手持移动设备的身份认证系统及方法,以提高认证系统的记忆性和可用性,为便携式移动设备提供更好
更有效的登陆认证机制。
为实现上述目的,本发明提供的带触摸屏的手持移动设备的身份认证系统,包括 用户口令信息库,用于存储加密的用户口令和登陆界面所显示的其他汉字,及该两
者的位置信息;
信息加密/解密层,用于对用户口令信息进行加密和解密;
用户身份验证模块,用于对系统用户输入的口令进行验证,以及与应用程序界面交
互;
用户设置口令模块,用于对用户口令进行设置和更改; 交互层,用于与用户进行系统认证交互;
所述的信息加密/解密层分别与用户口令信息库、用户身份验证模块和用户设置口令 模块双向传输;
所述的交互层分别与用户设置口令模块、用户身份验证模块和用户双向传输。
所述的交互层位于系统顶层,信息加密/解密层位于系统底层,用户身份验证模块和 用户设置口令模块位于系统中间层。
为实现上述目的,本发明提供的带触摸屏的手持移动设备身份认证方法,包括
用户注册口令步骤用户先输入任意汉字序列作为自己的口令,然后由系统随机产 生其他汉字,并随机分配口令汉字和其他汉字在显示界面上的位置,将该口令和位置信 息加密后存储到口令信息库中;
用户身份验证步骤系统解密口令信息库中的口令和位置信息,加载由口令汉字和 其他汉字构成的界面,用户画线将口令汉字按输入顺序连接起来,如果当前输入汉字包 含口令信息库中的口令汉字,则允许用户使用资源,否则返回验证界面。
所述的用户输入的任意汉字序列,只包含简体汉字的序列,不包含数字、英文字符 和标点符号等其他字符。
本发明由于使用用户口令信息库,不仅能存储加密的用户口令,而且能存储验证界 面所显示的其他汉字及该两者的位置信息,使得解密口令信息库中的信息后所加载的验 证界面每一次都是相同的,用户的口令汉字所在的位置是固定的,而且画线形状也是大 致相同的,能提高用户的记忆性;本发明由于使用了信息加密/解密层,对用户口令信息 库中的信息进行加密,因此即使攻击者得到了用户口令信息库,也无法得到用户的口令, 提高了系统的安全性;本发明由于显示口令汉字和其他汉字构成的界面,能提示用户口 令信息,减轻了用户的记忆负担;本发明由于采用用户输入任意汉字序列作为自己的口令,使用户能根据自身情况设置口令,提高了用户对口令的记^/性;本发明由于采用汉 字口令代替传统的由数字和英文字符组成的文本口令,提高了中国用户对口令的记忆性; 由于首次采用用户画线将口令汉字按输入顺序连接起来的方式,提高了用户输入口令的 速度,因此提高了系统的可用性。
图1是本发明的系统框架示意图2是本发明身份认证流程图3是本发明用户身份验证步骤的屏幕显示界面示例图; 图4是本发明用户身份验证步骤的屏幕显示界面用户输入轨迹示例图; 图5为30名参与者分别10次登录的平均时间变化图。
具体实施例方式
参照图1,本发明的带触摸屏的手持移动设备的身份认证系统,包括用户口令信息库 115,交互层111,用户设置口令模块112,用户身份验证模块113,信息加密/解密层114, 用户1G2和应用程序界面101。交互层111位于系统顶层,信息加密/解密层114位于系 统底层,用户身份验证模块113和用户设置口令模块112位于中间层。
所述的交互层111,用于与用户102进行认证交互,用户102通过交互层111向系统 提交口令信息,以及获得系统的反馈信息。交互层111分别与用户设置口令模块U2、用 户身份验证模块113及用户102双向传输。当用户102要开启移动设备或解除移动设备 的锁定时,交互层111会调用用户身份验证模块113要求用户102进行认证,验证成功 的进入系统,验证失败的返回验证界面;当用户102需要设置或修改口令信息时,通过 交互层111选择进入用户设置口令模块112,设置或修改的口令信息。
所述的用户口令信息库115,用于存储加密后的用户口令和登陆界面所显示的其他汉 字,该两者的位置信息及顺序连接各个口令汉字的最小长度。
所述的用户设置口令模块112,用于对用户口令的设置和修改。用户先输入任意汉字 序列作为自己的口令,系统判断用户输入的序列是否规范,如果规范则设置成功,系统 从字库中随机选择其他汉字与用户输入汉字一起组成汉字矩阵,并将这些信息传输给信 息加密/解密层114;并且在屏幕上显示汉字矩阵,其中口令汉字突出显示;如果输入不 规范,系统提示输入不规范,并提示错误类型,要求用户102重新输入。
所述的用户身份验证模块113,用于进行用户口令的验证。用户身份验证模块113 调用信息加密/解密层114来解密用户口令信息库115中的信息,根据所解密的信息加载由口令汉字和其他汉字构成的界面,如附图3所示。图3中由直线将界面分割为8X12 的规则矩形网格,每一个网格随机填入一个汉字。用户身份验证模块113计算用户输入 曲线的长度,判断用户输入曲线的长度是否超出最小距离的一定比例,如果没有超出比 例,则将用户102输入的口令与用户口令信息库115中的口令信息进行比较验证,否则 返回验证界面。如果当前输入汉字包含口令信息库115中的口令汉字,则允许用户使用 资源,否则返回验证界面。用户身份验证模块113还能够用于与应用程序界面101交互, 交互时,用户通过锁定屏幕进入用户身份验证模块113;通过成功验证进入应用程序界面 101。
所述的信息加密/解密层114,用于加密/解密存储的用户口令和登陆界面所显示的其 他汉字,及该两者的位置信息,该位置信息采用DES对称加解密算法进行加解密。信息 加密/解密层114分别与用户口令信息库115、用户设置口令模块112及用户身份验证模 块113双向传输。用户设置口令时,口令及其相关信息从用户设置口令模块112经信息 加密/解密层114加密后流向用户口令信息库115。用户身份验证时,用户身份验证模块 113调用信息加密/解密层114来解密用户口令信息库115中的信息,口令及其相关信息 从用户口令信息库115经信息加密/解密层114流向用户身份验证模块113。
参照图2,本发明的带触摸屏的手持移动设备身份认证方法,包括如下步骤-
A.用户注册口令步骤
Al)用户输入任意汉字序列作为自己的口令;
A2)系统检查用户输入的汉字口令是否规范,该规范要求用户输入的汉字口令只能 包含汉字,不能包含数字、英文字符、标点符号等其他字符,如果检查为规范,则继续 下一步,否则系统提示输入不规范,并提示错误类型,要求用户重新输入;
A3)系统随机从字库中随机选择除口令汉字以外的其他汉字,并随机分配口令汉字 和其他汉字在显示界面上的位置,计算顺序连接口令汉字曲线需要通过的最小像素值作 为该曲线的最小长度值,并将该最小长度值存储到口令信息库中;
A4)调用信息加密/解密层用DES加密算法加密用户口令信息和矩阵信息并存储到 用户口令信息库115;
A5〉调用信息加密/解密层用DES解密算法解密用户口令信息库中的信息,获得矩 阵信息后在屏幕上显示汉字矩阵,告知用户口令汉字所在的具体位置,方便其记忆及以 后验证时迅速登陆,这里将矩阵中的口令汉字突出显示,例如图4所示,其中用户设置 的口令是"计算机学院";
7A6)用户根据需要选择练习验证过程,如果需要练习,则进行练习验证过程,练习 验证的步骤与下述的步骤B相同,练习完成后,完成设置口令过程,进入用户身份验证
步骤;如果不需要练习,则直接进行用户身份验证步骤。
B.用户身份验证步骤-
Bl)系统调用解密调用信息加密/解密层解密用户口令信息库中的信息,获得矩阵信 息后在屏幕上加载由口令汉字和其他汉字构成的界面,这个界面与用户注册口令步骤中 显示的界面是一致的,只是口令汉字不再突出显示;
B2)用户在触摸屏上画一笔曲线将口令汉字按输入顺序连接起来,连接的顺序需要 与用户注册口令步骤中输入汉字序列的顺序相同。例如图4所示,将口令按1—2—3—4 —5的顺序连接起来,形成输入汉字序列"计算机学院";
B3)将用户连接汉字的曲线所通过的像素点个数作为该曲线的长度,并提取用户口 令信息库中存储的顺序连接各个口令汉字的最小长度值,判断用户输入曲线的长度是否 超出该最小长度值的设定比例,如果没有超出,转下一步;否则验证失败,转步骤B1;
B4)判断当前输入汉字是否包含口令信息库中的口令汉字,如果是,则验证成功解 除锁定的屏幕进入用户系统;否则验证失败,转步骤B1;
B5)需要重新解除锁定的屏幕时,转步骤B1,循环使用用户身份验证。
本发明的效果可以通过以下实验进一步说明-
用C诉吾言对上述系统和方法进行了编写,分别进行如下实验
1) 可用性实验。在这个实验中,30名汉语母语参与者被要求进行10次登录验证, 并由工具自动记录每次登录的时间。图5为30名参与者分别登录10次的平均时间变化 示意图。由图5可以看出随着登录次数的增加,参与者对系统和口令位置的熟悉程度不 断加深,对曲线的走向趋势越来越熟悉,登录的时间呈下降趋势,并稳定在2秒多。实 验结果表明,本系统的登录时间短,可用性好。
2) 记忆性实验。在上面的实验结束一周之后,30名参与者再重新登录系统。结果 表明,在只给一次机会的情况下,90%的参与者能够成功登录系统;在给三次机会的情 况下,100%的参与者能够成功登录系统。再经过一个月,给三次机会的情况下,100%的 参与者仍然能够成功登录系统。实验结果表明,本系统和方法的记忆性良好。
权利要求
1.一种带触摸屏的手持移动设备身份认证系统,包括用户口令信息库(115),用于存储加密的用户口令和登陆界面所显示的其他汉字,及该两者的位置信息;信息加密/解密层(114),用于对用户口令信息进行加密和解密;用户身份验证模块(113),用于对系统用户输入的口令进行验证,以及与应用程序界面(101)交互;用户设置口令模块(112),用于对用户口令进行设置和更改;交互层(111),用于与用户(102)进行系统认证交互;所述的信息加密/解密层(114)分别与用户口令信息库(115)、用户身份验证模块(113)和用户设置口令模块(112)双向传输;所述的交互层(111)分别与用户设置口令模块(112)、用户身份验证模块(113)和用户(102)双向传输。
2. 根据权利要求1所述的带触摸屏的手持移动设备身份认证系统,其中交互层 (lll)位于系统顶层,信息加密/解密层(114)位于系统底层,用户身份验证模块(113)和用户设置口令模块(112)位于系统中间层。
3. —种带触摸屏的手持移动设备身份认证方法,包括步骤用户注册口令步骤用户先输入任意汉字序列作为自己的口令,然后由系统随机产 生其他汉字,并随机分配口令汉字和其他汉字在显示界面上的位置,将该口令和位置信 息加密后存储到口令信息库中;用户身份验证步骤系统解密口令信息库中的口令和位置信息,加载由口令汉字和 其他汉字构成的界面,用户画线将口令汉字按输入顺序连接起来,如果当前输入汉字包 含口令信息库中的口令汉字,则允许用户使用资源,否则返回验证界面。
4. 根据权利要求3所述的带触摸屏的手持移动设备身份认证方法,其中用户输入的任意汉字序列,只包含简体汉字的序列。
全文摘要
本发明公开了一种带触摸屏的手持移动设备的身份认证系统及方法,主要解决现有带触摸屏的手持移动设备的身份认证时间长、记忆性差的问题。系统包括用户口令信息库、信息加密/解密层、用户身份验证模块、用户设置口令模块和交互层,其中信息加密解密层分别与用户口令信息库、用户身份验证模块及用户设置口令模块双向传输;交互层分别与用户设置口令模块、用户身份验证模块及用户双向传输。系统运行时,首先判断用户需要设置口令或者验证身份登录;对于需要设置口令的用户,用户输入汉字口令,再选择退出系统或者回到登录界面;对于需要验证身份登录的用户,加载由多个汉字矩阵组成的验证界面进行口令验证,再选择退出系统或者回到登录界面。本发明具有记忆性良好、可用性和安全性高的优点,可用于带触摸屏的手持移动设备的身份认证。
文档编号G06F21/00GK101645123SQ20091002370
公开日2010年2月10日 申请日期2009年8月26日 优先权日2009年8月26日
发明者刘西洋, 戴如意, 王思东, 王黎明, 高海昌 申请人:西安电子科技大学