本发明涉及身份认证技术领域,具体而言,特别涉及一种基于多种不同类型输入组合序列的身份认证方法及装置。
背景技术:
生物特征识别技术(例如:指纹、虹膜、声纹和面孔等)因其具有的高排他性而在身份认证领域有着广泛的应用前景,而该技术也因为较易盗用而饱受诟病,例如:指纹可在一些器物上提取到,虹膜和面孔可以通过拍照提取到,而声纹可以通过录音提取到。因此,在很多领域,密码和令牌(例如:ic卡、非接触式卡等)仍然广泛用于对用户进行身份识别。
传统的身份认证技术只能根据用户所知、所有或独一无二的身体特征判定用户的身份,无法判定用户的具体意图。此外,传统的身份认证技术不具有抗胁迫性。用户一旦被胁迫只有满足胁迫者的要求才能使胁迫者终止胁迫行为,更有甚者胁迫者要求被满足后还可能采取灭口等措施。
传统的多模态生物特征识别技术虽然能结合人的多个生物特征进行身份识别,分别进行数据层融合、特征层融合、匹配层融合和决策层融合,但仍无法解决生物特征的盗用问题。
技术实现要素:
本发明旨在至少在一定程度上解决现有技术中的上述技术问题之一。
有鉴于此,本发明提供了一种基于多种不同类型输入组合序列的身份认证方法及装置,能够用于识别用户的意图,具有抗胁迫和抗生物特征盗用的特点。
第一方面,为一种身份认证方法,包括如下步骤:接收输入的多输入组合序列;将多输入组合序列与预先存储的比对信息做比对;基于比对结果,进行合法用户和非法用户的身份鉴定;其中,多输入组合序列基于非生物特征和生物特征的顺序组合,或至少两个生物特征的顺序组合;非生物特征包括多个用户口令。
在一个实施例中,所述多输入组合序列为同时输入的多种不同类型的输入组合序列。
在一个实施例中,所述多输入组合序列为同时输入的多个同种类型的输入组合序列。
在一个实施例中,所述将所述多输入组合序列与预先存储的比对信息做比对,进一步包括:判断接收的所述多输入组合序列是否属于白名单,若是,则表明输入的所述多输入组合序列可被用于用户身份认证及意图识别;所述白名单为预先设定,能够执行合法生物特征输入的录入、修改、删除和查询,以及非生物特征类输入范围的设置、修改、删除和查询,自定义输入类型的增加、修改、删除和查询。
在一个实施例中,所述将所述多输入组合序列与预先存储的比对信息做比对,进一步包括:判断接收的所述多输入组合序列是否属于黑名单,若是,则表明输入的所述多输入组合序列不可被用于用户身份认证或意图识别;所述黑名单为预先设定,并且能够执行非法输入的加入、移除和查询的功能。
在一个实施例中,所述多输入组合序列还包括用户口令,所述用户口令包括正常操作口令和胁迫操作口令。
在一个实施例中,所述基于比对结果,进行合法用户和非法用户的身份鉴定和意图识别,进一步包括:本地验证、全云端验证或部分云端验证。
在一个实施例中,所述比对结果在互相信任的产品或系统中能够共享。
在一个实施例中,所述多输入组合序列的用户口令配置为:判断口令的组成、口令的长度设置、口令的更换周期、以及历史不重复口令数量是否满足预先设定,若是,则该次用户输入口令可以作为合法输入信息;否则不予接受。
根据本发明实施例的一种身份认证方法,通过将密码和生物/非生物特征结合起来的技术——多输入组合序列,具有抗盗用、抗胁迫和可编程传递信息的优点,还可被用于识别用户的意图。
第二方面,为一种身份认证装置,包括:输入设备,用于接收输入的多输入组合序列;服务器,用于将多输入组合序列与预先存储的比对信息做比对;执行设备,用于基于比对结果,进行合法用户和非法用户的身份鉴定;其中,多输入组合序列基于生物特征输入和非生物特征输入的顺序组合,或至少两个生物特征的顺序组合;多输入组合序列包括多个用户名和多个用户口令。
根据本发明实施例的一种身份认证装置,通过将密码和生物/非生物特征结合起来的技术——多输入组合序列,具有抗盗用、抗胁迫和可编程传递信息的优点,还可被用于识别用户的意图。
附图说明
构成本发明的一部分的附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为一种身份认证方法的流程示意图;
图2为一种身份认证装置的结构示意图;
图3为一种身份认证装置的具体结构示意图;
图4为一种身份认证装置的输入设备的结构示意图。
具体实施方式
下面详细描述本发明的实施例,实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本发明,而不能理解为对本发明的限制。
如图1所示,为一种身份认证方法,参照图1,该身份认证方法包括如下步骤:
s100,接收输入的多输入组合序列。
s110,将多输入组合序列与预先存储的比对信息做比对。
在一个实施例中,将多输入组合序列与预先存储的比对信息做比对,进一步包括:判断接收的多输入组合序列是否属于白名单,若是,则表明输入的多输入组合序列可被用于用户身份认证及意图识别;白名单为预先设定,能够执行合法生物特征输入的录入、修改、删除和查询,以及非生物特征类输入范围的设置、修改、删除和查询,自定义输入类型的增加、修改、删除和查询。
在一个实施例中,将多输入组合序列与预先存储的比对信息做比对进一步包括:判断接收的多输入组合序列是否属于黑名单,若是,则表明输入的多输入组合序列不可被用于用户身份认证或意图识别;黑名单为预先设定,并且能够执行非法输入的加入、移除和查询的功能。
s120,基于比对结果,进行合法用户和非法用户的身份鉴定。
在一个实施例中,基于比对结果,进行合法用户和非法用户的身份鉴定和意图识别,进一步包括:本地验证、全云端验证或部分云端验证。本地验证是指在产品或系统本地进行多输入组合序列黑白名单以及多输入组合序列的存储及验证。全云端验证是指在云端服务器进行多输入组合序列黑白名单以及多输入组合序列的存储及验证。部分云端验证是指在产品或系统本地进行多输入组合序列黑白名单的存储及验证,而在云端服务器进行多输入组合序列的存储及验证。
其中,多输入组合序列基于非生物特征和生物特征的顺序组合,或至少两个生物特征的顺序组合;非生物特征还包括多个用户名。
在一个实施例中,多输入组合序列为同时输入的多种不同类型的输入组合序列。在一个实施例中,多输入组合序列为同时输入的多个同种类型的输入组合序列。
在一个实施例中,将用户口令分为正常操作口令和胁迫操作口令两部分。可以理解的是,对用户口令设置提出要求:一是要求所有用户的用户口令至少包括正常操作口令和胁迫操作口令,其中胁迫操作口令用于通知产品或系统用户正处在被胁迫的状态下;二是允许用户自定义产品或系统接收到胁迫操作口令后采取的操作,其中包括:对敏感数据进行隐藏、备份、销毁操作,提供虚假数据;对应用或功能进行隐藏,提供虚假功能;激活或者禁用某一多输入组合顺序;发送联动信号,通知关联产品或系统采取行动。
在一个实施例中,基于比对结果,进行合法用户和非法用户的身份鉴定和意图识别,进一步包括:本地验证、全云端验证或部分云端验证。本地验证是指在产品或系统本地进行多输入组合序列黑白名单以及多输入组合序列的存储及验证。全云端验证是指在云端服务器进行多输入组合序列黑白名单以及多输入组合序列的存储及验证。部分云端验证是指在产品或系统本地进行多输入组合序列黑白名单的存储及验证,而在云端服务器进行多输入组合序列的存储及验证。
在一个实施例中,比对结果在互相信任的产品或系统中能够共享,包括以下功能,向受信任的产品或系统分享比对结果;向受信任产品或系统列表中加入新的产品或系统,或将已经存在于受信任产品或系统列表中的产品或系统移除;接受受信任产品或系统分享来的比对结果。
在一个实施例中,多输入组合序列的用户口令配置为:判断口令的组成、口令的长度设置、口令的更换周期、以及,历史不重复口令数量是否满足预先设定,若是,则该次用户输入口令可以作为合法输入信息;否则不予接受。
具体而言,将用户名与口令由“一对一”映射转变为“多对多”映射,也即一个用户可以用多套不通的用户名及口令,并且一个用户名可以对应多个口令,于是可根据用户在执行某操作时输入的不同口令实施不同的具体操作。将口令所包含内容的范围由生物特征信号或非生物特征信号单独使用扩展到组合使用,且允许用户同时输入多种不同类型的口令元素,生物特征信号包括但不限于:指纹、虹膜、人脸、掌纹、声纹等已知或者将来可能作为生物特征的技术,非生物特征信号包括但不限于:键盘输入大小写字母、数字、特殊字符等,这样使口令空间扩大,从而提高了暴力破解的成本,降低口令被暴力破解的概率。当仅使用生物特征作为口令时,要求用户至少顺依次/同时(或者同时)输入两个或两种(或者两种)以上的生物特征,而当口令中仅有一个生物特征时,则将生物特征要求必需与非生物特征输入(例如键盘输入)混合使用,从而提高口令的复杂度;从生物特征抗盗用角度看,将生物特征信号或者是与非生物特征信号(例如键盘输入)混合使用,能够使单纯盗用生物特征变得没有意义。
进一步地,多输入可分为生物特征输入和非生物特征输入两大类;其中非生物特征输入是指生物特征输入以外的输入,可分类为键盘输入、传感器输入和其他非生物特征输入三小类。生物特征是指人体所固有的生理特征或行为特征,生理特征包括但不限于指纹、虹膜、面孔、掌纹、指静脉等,行为特征包括但不限于声纹、步态、签名、按键力度等;键盘输入可分为字母、数字和特殊字符,其中特殊字符指字母和数字以外的字符。传感器可分为光线传感器、距离传感器、触摸传感器、重力传感器、加速度传感器、陀螺仪、指纹传感器、气压传感器、心率传感器、血氧传感器。其他非生物特征输入是指生物特征输入、键盘输入和传感器输入以外的输入,包括时间、日期、使用次数、地理位置、设备自身姿态、速度、温度、湿度、电流、电压。多输入的组合可分为四种情况,一是指生物特征输入与非生物特征输入均出现在多输入组合序列中,二是指属于不同类型生物特征输入均出现在多输入组合序列中,三是属于同一类型生物特征中不同的生物特征均出现在多输入组合序列中,四是单一生物特征两次以上出现在多输入组合序列中。用户名可为字符串、手机号、邮箱账号、社交账号、其他网站或应用系统账号,其中社交账号包括微信号、qq号、微博号;用户名不可包括生物特征;用户口令为多输入组合序列;当多输入组合序列中用户口令部分仅有一种生物特征时序列长度必需大于1。比对信息包括预先存储存储在本地或者云端的用户账号、用户口令、生物特征数据、多输入组合序列矩阵、多输入组合序列黑名单、多输入组合序列白名单和/或数字证书。多输入组合序列矩阵包含序号部分、用户名部分、用户口令部分、口令状态部分以及意义部分,其中序号部分用于排序;用户名部分用于记录用户名部分数据;用户口令部分用于记录用户口令数据;口令状态分为已激活和已禁用两类;意义部分用于标识对应的意义及产品或系统将要采取的操作。多输入组合序列矩阵具有稀疏性,可采取利用存储空间较少的稀疏矩阵存储。
下面结合一个实施例,对本发明一种基于多种不同输入组合序列的抗胁迫方法的多输入组合序列做进一步地说明。
如表1所示,第一个序列表示这个序列的用户名部分是正常的用户名,用户口令部分由3个生物(分别属于不同的类型)输入组成,按照时间顺序依次为:面孔、右手食指和左眼虹膜。设置第一序列表示为正常登录,开启加密数据空间。
第二个序列表示这个序列的用户名部分为手机号1,用户口令部分仅由指纹一种生物特征组成,按照时间顺序依次为:左手中指和左手食指。设置第二个序列表示为胁迫登录,仅开启公共数据空间。
第三个序列表示在一个序列中,如果硬件允许的话,可以同时输入两种(甚至两种以上)的生物特征,按照时间顺序依次为:首先同时输入左手中指和左眼虹膜、然后同时输入左手小拇指和面孔、最后同时输入左手中指和右眼虹膜。设置第三个序列表示为正常业务操作1。
第四个序列表示在一个序列中,允许同一个特征重复出现,三次均输入右手食指。设置第四个序列表示为胁迫业务操作2。
第五个序列表示在一个序列中,允许出现生物特征和非生物特征,按照时间顺序依次为:首先输入左手食指、然后输入数字1、最后输入小写字母a。设置第五个序列表示为联机报警。
表1
根据本发明实施例的一种身份认证方法,通过将密码和生物/非生物特征结合起来的技术——多输入组合序列,具有抗盗用、抗胁迫和可编程传递信息的优点,还可被用于识别用户的意图。
如图2所示,为一种身份认证装置的结构示意图,参照图2,一种身份认证装置包括输入设备20,用于接收输入的多输入组合序列;服务器22,用于将多输入组合序列与预先存储的比对信息做比对;执行设备24,用于基于比对结果,进行合法用户和非法用户的身份鉴定;其中,多输入组合序列基于非生物特征和生物特征的顺序组合,或至少两个生物特征的顺序组合;非生物特征包括多个用户名和多个用户口令。
在一个实施例中,还包括感应设备26和加解密设备28,感应设备26用于感知生物/非生物特征信号并将生物/非生物特征信号发送给服务器22。加解密设备28用于对生物/非生物特征信号进行加密或者解密操作。
根据本发明实施例的一种身份认证装置,通过将密码和生物/非生物特征结合起来的技术——多输入组合序列,具有抗盗用、抗胁迫和可编程传递信息的优点,还可被用于识别用户的意图。
如图3所示,为一种身份认证装置的具体结构示意图。参考图3,该装置包括存储模块30,输入采集模块32,状态感知模块34,数据传输模块36以及数据加解密模块38。
具体而言,存储模块30,用于存储用户口令、生物特征数据、生物特征组合顺序矩阵、数字证书私钥等用户敏感数据,确保数据不可被非法访问,分为本地存储模块和云端存储模块,可以是usbkey或者microsd卡等硬件设备。输入采集模块32,用于采集用户的输入,包括但不限于生物特征输入和非生物特征输入(例如:键盘输入)等可以用作口令的输入,采集模块可以为键盘、摄像头、麦克风等输入设备。状态感知模块34,用于感知产品或者系统的状态,可以为地理位置、速度、加速度等传感器。数据传输模块36,采用tcp/ip协议、wifi、wapi、移动通讯协议(2g、3g、4g、5g等)、蓝牙、红外、nfc等有线或者无线协议进行数据传输。数据加解密模块388,采用rsa等国际通用的加解密算法,以及sm系列等国产加解密算法,对数据进行对称或者非对称加解密操作,确保数据的完整性和保密性。
如图4所示,为一种身份认证装置的输入设备的结构示意图。请参考图4,该输入设备包括生物特征组合顺序管理模块40,白名单管理模块41,黑名单管理模块42,监视列表管理43,联动模块44,本地验证模块45,云端验证模块46,角色管理模块47,口令复杂度管理模块48,权限管理模块49以及日志审计模块50。
具体而言,生物特征组合顺序管理模块40,具体的功能包括:设置、修改、删除、与操作关联设置、查询、泛化关联(包括但不限于:时间、地理位置范围、海拔范围、速度、加速度、产品自身姿态等传感器感知因素)等。
白名单管理模块41,预先输入或者设置合法输入的范围,从而保证只有在白名单内的输入才可作为生物特征组合顺序中的输入。合法输入包括生物特征类输入和非生物特征类输入(例如:键盘输入)。白名单管理模块的功能包括:合法生物特征类输入的录入、修改、删除和查询,以及非生物特征类输入范围的设置、修改、删除和查询,自定义输入类型的增加、修改、删除和查询。
黑名单管理模块42,黑名单管理是与白名单相对应的,在黑名单中的输入(包括:生物特征类输入、非生物特征类输入以及生物特征组合顺序)不可被用于身份认证,具体的功能包括:加入黑名单、从黑名单中移除、查询。
监视列表管理43,一旦有用户输入监视列表中的输入,产品或系统将对用户行为进行监视和记录,具体的功能包括:监视列表的增加、删除、修改和查询。
联动模块44,与其他产品或系统联动,按照预先约定发送联动信号,以通知其他产品或系统采取行动(例如:报警),具体的功能包括:联动功能开启,联动功能关闭,联动动作设置、删除、修改、查询。
本地验证模块45,在本地终端完成所有验证和认证流程,将最终验证和认证结果签名、加密传输至云端,进行其他系统的身份认证,具体的功能包括:本地验证功能开启、本地验证功能关闭。
云端验证模块46,用户终端本地采集生物特征组合顺序后,将顺序编码、获取摘要、签名,加密传输至云端,在云端进行比对,并将比对结果签名、加密传回用户终端以完成验证和认证流程,具体的功能包括:云端验证功能开启、云端验证功能关闭。
角色管理模块47,用于区分产品或系统中不同用户类型及对应的权限,角色至少分为管理员、审计员和操作员,具体的功能包括:角色创建、修改、删除、查询、角色权限设置。
口令复杂度管理模块48,用于管理用户口令的复杂度,具体的功能包括:口令组成设置、口令长度设置(最小值是2)、口令更换周期设置、历史不重复口令数量设置。
权限管理模块49,用于对用户或者角色的权限进行设置,具体的功能包括:权限增加、删除、修改、查询。
日志审计模块50,用于对产品或者系统的日志进行管理,具体的功能包括:审计日志查询、备份、导出。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。此外,本领域的技术人员可以将本说明书中描述的不同实施例或示例进行接合和组合。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。