一种基于带外验证和增强otp机制的二次认证方法
【技术领域】
[0001]本发明涉及信息安全领域,涉及身份认证领域,尤其涉及一种基于带外验证和增强0ΤΡ机制的二次认证方法,是一种强身份认证技术。
【背景技术】
[0002]认证技术是信息安全理论与技术的一个重要方面。用户在访问安全系统之前,首先经过身份认证系统识别身份,然后系统根据用户的身份和授权数据库决定用户是否能够访问某个资源。身份认证在安全系统中的地位极其重要,是最基本的安全服务,其它的安全服务都要依赖于它。一旦身份认证系统被攻破,那么系统的所有安全措施将形同虚设。黑客攻击的目标往往就是身份认证系统,因此身份认证实在是网络安全的关键。
[0003]在普通业务领域中,普遍采用静态密码作为身份认证技术,即根据你所知道的信息来证明你的身份。实际上,由于许多用户为了防止忘记密码,经常采用诸如生日、电话号码等容易被猜测的字符串作为密码,或者把密码抄在纸上放在一个自认为安全的地方,这样很容易造成密码泄漏。这种方法具有明显缺陷:一是难以记忆、二是容易被黑客破译。用在以安全为基础的金融行业显然不合适。此时非常需要有新的身份认证技术来提高应用系统的身份认证安全。
[0004]动态口令机制是为了解决静态口令的安全弱点,提出的一种双因素的动态口令身份认证机制。动态口令的产生因子一般都采用双因子运算:其一为令牌的种子密钥。它是代表用户身份的识别码,是固定不变的。其二为变动因子,正是变动因子的不断变化,才产生了不断变动的动态口令。采用不同的变动因子,形成了不同的动态口令认证技术:比如基于时间同步认证技术、基于事件同步认证技术和挑战/应答方式的非同步认证技术。
[0005]动态口令可以有效防止重放攻击、窃听、猜测攻击等。但是,它同样也存在着不足。现有的基于动态口令的身份认证系统都只能实现单向认证,即服务器对客户端的认证,这样就不能避免服务器端的攻击。从网银交易过程来看,动态口令仅对用户身份进行认证,而没有对交易过程进行验证。待用户身份确定之后,“中间人”便拦截用户的转账操作,篡改数据后发送给服务器,而服务器没有办法区分给它发出转账指令的是用户还是木马,直接执行了转账,“中间人”再把服务器返回的信息篡改后显示给用户。这样,“中间人”就轻而易举地绕过动态口令,获取了用户的个人认证信息,完全控制了这次交易。而动态口令也就成为一个“形同虚设”的“保镖”,无法真正保护用户账户的安全。而实际发生的一系列案例,也证明了动态口令无法锁牢用户的账户。
[0006]针对动态口令的“网络钓鱼”事件也时有发生。网银的“钓鱼事件”是一种在线欺诈行为,并非涉及计算机领域的信息安全技术,其本质是不法分子通过欺诈手段获得客户真实的动态口令密码,而后进行转账、汇款等非法操作。这种欺诈手段主要有两种表现形式:一是不法分子以银行名义发送垃圾邮件或拨打客户电话,用中奖、顾问、对账、紧急事件等虚假信息引诱用户在邮件或电话中回复银行卡号、身份证号、网银登陆密码、动态口令等敏感信息;二是不法分子克隆一个与网银登陆、在线支付页面及其相似的假冒网站,并利用即时通讯等聊天工具宣传、引诱客户前往,当客户进入假网站后,误认为自己处在一个真实、安全的银行在线服务环境中,并按假页面的提示要求输入自己的密码口令等敏感信息。以上两种方式都会导致客户的密码口令失窃,不法分子再利用这些口令进行资金盗窃。
【发明内容】
[0007]本发明针对现有动态口令技术存在的网络钓鱼和中间人攻击问题,提出了一种基于带外验证和增强0ΤΡ机制的二次身份认证方法,是一种金融级的强身份认证方法。
[0008]本发明的上述目的,其得以实现的技术解决方案是:一种基于带外验证和增强0ΤΡ机制的二次认证方法,关联于客户端和服务器之间且基于普通0ΤΡ实现,其特征在于:在客户端与服务器之间建立单向SSL认证协议的连接进行安全通信,服务器对客户端完整性校验,客户端对服务器基于PKI/CA体系认证,并在客户端与服务器之间建立带外安全信道,在完整性校验和PKI/CA体系认证后基于设备指纹为客户端对应的用户推送业务认证消息,并且客户端与服务器之间采用包括动态扫描与动态校验两部分的环境清场安全控件防止木马控制通信、破坏业务安全性,其中动态扫描为面向客户端本身动态校验执行环境状态、检测环境中病毒与木马动态威胁、防止恶意代码被植入、识别并预警潜在安全问题,动态校验为服务器面向客户端主动感知应用状态、及时发现二次打包版本、允许指定客户端解密,并且动态校验的内容及规则由上位机动态下发至服务器。
[0009]进一步地,服务器对客户端完整性校验基于哈希完整性校验方法实施。
[0010]进一步地,在服务器向客户端对应的用户推送业务认证消息后,需用户确认认证消息为本人操作后继续进行业务。
[0011]进一步地,基于带外安全信道,所述服务器通过客户端软件整合前台应用加固方法、安全控件、后台设备指纹及风险决策模拟硬件U盾。
[0012]进一步地,用户使用二次认证方法进行业务前需向服务器进行注册、绑定客户端的设备,且注册流程至少包括以下步骤:
501、客户端向服务器发送验证请求消息;
502、服务器给客户端提供公钥/CA证书进行验证;
503、客户端验证服务器公钥/CA证书的有效性及合法性;
504、服务器验证客户端的完整性;
505、客户端与服务器建立安全的单向SSL通信信道;
506、客户端采集计算设备指纹所需参数发送给服务器;
507、服务器将用户设备指纹安全存储在服务器附带的数据服务器中,并将设备指纹发送给客户端;
508、客户端设备指纹安全存储在本地设备。
[0013]进一步地,用户使用二次认证方法完成交易业务,至少包含以下步骤:
510、客户端向服务器发送验证请求消息;
511、服务器给客户端提供公钥/CA证书进行验证;
512、客户端验证服务器公钥/CA证书的有效性及合法性;
513、服务器验证客户端的完整性;
514、客户端与服务器建立安全的单向SSL通信信道; 515、客户端进行本地身份认证;
516、客户端向服务器发送二次认证请求;
517、客户端生成基于设备指纹的业务认证消息0TP1发送给服务器;
518、服务器生成业务认证消息0TP2,并对比与0TP1的一致性;
519、服务器查询用户绑定的设备指纹,向对应的绑定设备推送消息,消息包含本次业务信息的详细情况;
520、用户核实本次业务的操作真实性,将判定结果发送给服务器;
521、根据客户端的回应,服务器执行对应的操作或者拒绝对应的操作。
[0014]进一步地,所述二次认证方法用于网上银行、网上支付、网上转账、移动支付、快捷支付、普通业务的登陆及交易认证。
[0015]应用本发明基于带外验证和增强0ΤΡ机制的二次认证方式对用户进行身份认证,较之于现有身份认证方式具有显著的进步性:服务器通过手机软件模拟硬件U盾,整合前台应用加固、安全控件等多项安全技术,以及后台设备指纹、风险决策等技术,用手机实现身份认证,无需额外硬件,实现了开放环境下更安全与便捷的双因素认证;SSL单向实现对服务器端认证,服务器端对客户端进行完整性校验,同时通过带外通讯(安全信道)模拟二代U盾确认操作,客户端安装环境清场安全控件,消除了普通0ΤΡ存在的网络钓鱼和中间人攻击威胁。
【附图说明】
[0016]图1为本发明基于带外验证和增强0ΤΡ机制的二次认证的系统框图。
[0017]图2为本发明中用户移动设备在服务器注册的流程示意图。
[0018]图3为本发明中用户进行二次身份认证操作业务的详细流程示意图。
[0019]图4为本发明中用户在PC端进行认证的流程示意图。
【具体实施方式】
[0020]本发明针对现有0ΤΡ令牌认证存在的钓鱼问题和中间人攻击问题,提出了一种增强型的0ΤΡ机制,并结合带外安全通信,提出了一种新型的基于带外验证及增强0ΤΡ机制的多重身份认证方法,并同时给出了其实现方式。为了更清楚地说明本发明中的新型身份认证方案和实现方法,下面结合附图和实施例对本发明进行具体的描述,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的可行的等效变化。
[0021]如图1所示,为本发明基于带外验证和增强0ΤΡ机制的二次认证系统框图,系统主要涉及客户端、服务器、数据服务器、客户端的移动设备。客户端与服务器之前的连接为单向认证SSL连接,其中服务器有CA数字证书,协议实现客户端对服务器的认证并建立安全通信连接,同时通过该安全信道完成基本的0ΤΡ认证服务。增强0ΤΡ认证完成之后,服务器通过数据服务器查询用户对应设备指纹,然后向该设备通过带外安全信道推送验证消息,用户确认消息,二次认证完成。
[0022]另外,在用户移动设备端,病毒木马可能驻留系统,威胁移动金融应用动态安全;移动金融应用完整性被破坏,也将直接影响后台服务安全;因此,用户移动设备端需安装环境清场安全控件。环境清场应至少包括动态扫描与动态校验两个部分。其中动态扫描要达到的效果为:面向客户端本身动态校验执行环境状态(是否Root),检测环境中是否存在病毒、木马动态威胁,防止应用被植入恶意代码、对潜在安全问题提前识别和预警;动态校验要达到的效果为:(1)服务器面向客户端主动感知应用状态,及时发现二次打包版本;(2)校验内容、校验规则动态下发,防止重放攻击;(3)只有指定设备才能解密,防止远程伪造校验数据。
[0023]用户使用二次认证方法进行业务前需向服务器进行注册、绑定客户端的设备。如图2所示,为本发明用户移动设备在服务器注册流程示意图,其注册的流程至少包括以下步骤:
501、客户端向服务器发送验证请求消息;
502、服务器给客户端提供公钥/CA证书进行验证;
503、客户端验证服务器公钥/CA证书的有效性及合法性;
504、服务器验证客户端的完整性;
505、客户端与服务器建立安全的单向SSL通信信道;
506、客户端采集计算设备指纹所需参数发送给服务器;
507、服务器将用户设备指纹安全存储在服务器附带的数据服务器中,并将设备指纹发送给客户端;
508、客户端设备指纹安全存储在本地