一种身份认证方法及系统转让专利
申请号 : CN201410391052.6
文献号 : CN104158664A
文献日 : 2014-11-19
发明人 : 李春林
申请人 : 北京唐桓科技发展有限公司
摘要 :
本发明公开了一种身份认证方法,该身份认证方法包括:用户根据预先配置的动态口令令牌,获取动态口令信息;并根据所述动态口令信息,生成与所述动态口令信息相对应的语音口令信息;用户将所述语音口令信息输入至认证服务器,促使所述认证服务器对所述语音口令信息进行分析,确定所述语音口令信息中所包含的动态口令信息和声纹信息,并对该动态口令信息和声纹信息进行验证;在所述语音口令信息中所包含的动态口令信息和声纹信息均通过验证的情况下,所述认证服务器判定所述用户为合法用户。本发明利用动态口令一次一变的特性和语音声纹识别的安全便利性,将二者有机结合来实现互联网的远程用户身份识别,从而达到了既安全又便于用户使用的目的。
权利要求 :
1.一种身份认证方法,其特征在于,包括以下步骤:
用户根据预先配置的动态口令令牌,获取动态口令信息;并根据所述动态口令信息,生成与所述动态口令信息相对应的语音口令信息;
用户将所述语音口令信息输入至认证服务器,促使所述认证服务器对所述语音口令信息进行分析,确定所述语音口令信息中所包含的动态口令信息和声纹信息,并对该动态口令信息和声纹信息进行验证;
在所述语音口令信息中所包含的动态口令信息和声纹信息均通过验证的情况下,所述认证服务器判定所述用户为合法用户。
2.根据权利要求1所述的身份认证方法,其特征在于,进一步包括:在所述语音口令信息中所包含的动态口令信息和/或声纹信息不通过验证的情况下,所述认证服务器判定所述用户为非法用户。
3.根据权利要求1或2所述的身份认证方法,其特征在于,所述认证服务器对所述动态口令信息进行验证包括:所述认证服务器根据预先存储的所述动态口令令牌的令牌序列号和种子密钥,对所述动态口令信息进行验证。
4.根据权利要求1或2所述的身份认证方法,其特征在于,所述认证服务器对所述声纹信息进行验证包括:所述认证服务器根据预先配置的声纹参考信息,对所述声纹信息进行验证;其中,所述声纹参考信息包括所述用户的声纹特征信息。
5.根据权利要求1或2所述的身份认证方法,其特征在于,所述动态口令令牌包括基于时间同步的动态口令令牌、或基于事件同步的动态口令令牌。
6.一种身份认证系统,其特征在于,包括:
用户端,用于根据用户输入的动态口令信息,生成与所述动态口令信息相对应的语音口令信息,其中,所述动态口令信息根据预先配置的动态口令令牌获得;
认证服务器,用于接收所述用户端发送的语音口令信息,并对所述语音口令信息进行分析,确定所述语音口令信息中所包含的动态口令信息和声纹信息,并对该动态口令信息和声纹信息进行验证;
其中,在所述语音口令信息中所包含的动态口令信息和声纹信息均通过验证的情况下,所述认证服务器判定所述用户为合法用户。
7.根据权利要求6所述的身份认证系统,其特征在于,在所述语音口令信息中所包含的动态口令信息和/或声纹信息不通过验证的情况下,所述认证服务器判定所述用户为非法用户。
8.根据权利要求6或7所述的身份认证系统,其特征在于,所述认证服务器包括口令验证模块,所述口令验证模块用于根据预先存储的所述动态口令令牌的令牌序列号和种子密钥,对所述动态口令信息进行验证。
9.根据权利要求6或7所述的身份认证系统,其特征在于,所述认证服务器包括声纹验证模块,所述声纹验证模块用于根据预先配置的声纹参考信息,对所述声纹信息进行验证;
其中,所述声纹参考信息包括所述用户的声纹特征信息。
10.根据权利要求6或7所述的身份认证系统,其特征在于,所述动态口令令牌包括基于时间同步的动态口令令牌、或基于事件同步的动态口令令牌。
说明书 :
一种身份认证方法及系统
技术领域
[0001] 本发明涉及网络安全技术领域,具体来说,涉及一种身份认证方法及系统。
背景技术
[0002] 身份认证是保证系统安全稳定运行不可缺少和至关重要的一步。用户在访问应用系统时,应该首先通过某种身份验证机制来验证用户的身份与所宣称的是否一致,即网络系统中的虚拟身份是否与现实世界的实体身份相符合。目前常用的身份认证通常是采用现有静态口令认证或动态口令认证或生物特征认证(主要有指纹、虹膜、人脸和语音等)进行单一认证的,而这种单一的认证存在严重的安全隐患,很容易被非法人员模仿或者篡改,进而无法起到真正意义上的安全认证。
[0003] 此外,现有技术中也存在综合的身份认证方法,例如,中国专利号为201310123555.0、专利名称为基于动态密码语音的身份确认系统及方法的专利以及中国专利号200910078848.5、专利名称为远程语音身份认证系统及方法的专利就是这样的综合身份认证方法。
[0004] 其中,专利号为201310123555.0、专利名称为基于动态密码语音的身份确认系统及方法的专利的主要方案是:用户发出登录请求后,服务器向用户发送动态口令文本数据,并在后台生成该用户的动态口令语音数据。用户念出动态口令后将语音数据发送到服务器,服务器再根据两个语音数据是否一致来判别是否是合法用户。这种方案虽然实现了双认证,但是,其严格来说,并不属于动态密码语言身份认证技术,因为用户端没有口令令牌,即用户端与服务器端没有使用共享密钥来进行密码学处理。这中方案的好处只是每一次用户发出的语音信息是不同的,防止了口令重放攻击,而无法避免非法人员的截取,在实际应用时,当非法人员截获了某用户一定数量的语音信息,通过语音合成技术就可以冒充合法用户的身份,因为需要朗读的动态口令是从服务器端传送过来的,非法人员能够直接得到。
[0005] 而专利号200910078848.5、专利名称为远程语音身份认证系统及方法的专利其主要方案是:用户发出登录请求后,服务器向用户发送随机数,用户念出随机数后将语音信息发送到服务器。服务器分别进行语音识别和声纹识别。只有从语音中提出的随机数与服务器的相同,且语音声纹特征也相符才是合法用户。该方案与盘问/应答的动态口令技术很相似,但还是因为没有使用共享密钥来进行密码学处理,所以上述的攻击方法还是难以防止。
[0006] 针对相关技术中的上述技术问题,目前尚未提出有效的解决方案。
发明内容
[0007] 针对相关技术中的上述技术问题,本发明提出一种身份认证方法及系统,能够有效的提高身份认证时的安全性,做到真正意义上的安全认证。
[0008] 本发明的技术方案是这样实现的:
[0009] 根据本发明的一个方面,提供了一种身份认证方法。
[0010] 该身份认证方法包括:
[0011] 用户根据预先配置的动态口令令牌,获取动态口令信息;并根据所述动态口令信息,生成与所述动态口令信息相对应的语音口令信息;
[0012] 用户将所述语音口令信息输入至认证服务器,促使所述认证服务器对所述语音口令信息进行分析,确定所述语音口令信息中所包含的动态口令信息和声纹信息,并对该动态口令信息和声纹信息进行验证;
[0013] 在所述语音口令信息中所包含的动态口令信息和声纹信息均通过验证的情况下,所述认证服务器判定所述用户为合法用户。
[0014] 此外,所述身份认证方法还包括:在所述语音口令信息中所包含的动态口令信息和/或声纹信息不通过验证的情况下,所述认证服务器判定所述用户为非法用户。
[0015] 其中,在所述认证服务器对所述动态口令信息进行验证时,所述认证服务器可根据预先存储的所述动态口令令牌的令牌序列号和种子密钥,对所述动态口令信息进行验证。
[0016] 其中,在所述认证服务器对所述声纹信息进行验证时,所述认证服务器可根据预先配置的声纹参考信息,对所述声纹信息进行验证;其中,所述声纹参考信息包括所述用户的声纹特征信息。
[0017] 可选的,所述动态口令令牌包括基于时间同步的动态口令令牌、或基于事件同步的动态口令令牌。
[0018] 根据本发明的另一方面,提供了一种身份认证系统。
[0019] 该身份认证系统包括:
[0020] 用户端,用于根据用户输入的动态口令信息,生成与所述动态口令信息相对应的语音口令信息,其中,所述动态口令信息根据预先配置的动态口令令牌获得;
[0021] 认证服务器,用于接收所述用户端发送的语音口令信息,并对所述语音口令信息进行分析,确定所述语音口令信息中所包含的动态口令信息和声纹信息,并对该动态口令信息和声纹信息进行验证;
[0022] 其中,在所述语音口令信息中所包含的动态口令信息和声纹信息均通过验证的情况下,所述认证服务器判定所述用户为合法用户。
[0023] 此外,在所述语音口令信息中所包含的动态口令信息和/或声纹信息不通过验证的情况下,所述认证服务器判定所述用户为非法用户。
[0024] 其中,所述认证服务器包括口令验证模块,所述口令验证模块用于根据预先存储的所述动态口令令牌的令牌序列号和种子密钥,对所述动态口令信息进行验证。
[0025] 其中,所述认证服务器包括声纹验证模块,所述声纹验证模块用于根据预先配置的声纹参考信息,对所述声纹信息进行验证;其中,所述声纹参考信息包括所述用户的声纹特征信息。
[0026] 可选的,所述动态口令令牌包括基于时间同步的动态口令令牌、或基于事件同步的动态口令令牌。
[0027] 本发明利用动态口令一次一变的特性和语音声纹识别的安全便利性,将二者有机结合来实现互联网(特别是移动互联网)的远程用户身份识别,从而达到了既安全又便于用户使用的目的。
附图说明
[0028] 为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0029] 图1是根据本发明实施例的身份认证方法的流程示意图;
[0030] 图2是根据本发明实施例的身份认证系统的示意框图。
具体实施方式
[0031] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本发明保护的范围。
[0032] 根据本发明的实施例,提供了一种身份认证方法。
[0033] 如图1所示,根据本发明实施例的身份认证方法包括:
[0034] 步骤S101,用户根据预先配置的动态口令令牌,获取动态口令信息;并根据所述动态口令信息,生成与所述动态口令信息相对应的语音口令信息;
[0035] 步骤S103,用户将所述语音口令信息输入至认证服务器,促使所述认证服务器对所述语音口令信息进行分析,确定所述语音口令信息中所包含的动态口令信息和声纹信息,并对该动态口令信息和声纹信息进行验证;其中,在所述语音口令信息中所包含的动态口令信息和声纹信息均通过验证的情况下,所述认证服务器判定所述用户为合法用户。
[0036] 此外,所述身份认证方法还包括:在所述语音口令信息中所包含的动态口令信息和/或声纹信息不通过验证的情况下,所述认证服务器判定所述用户为非法用户。
[0037] 其中,在所述认证服务器对所述动态口令信息进行验证时,所述认证服务器可根据预先存储的所述动态口令令牌的令牌序列号和种子密钥,对所述动态口令信息进行验证。
[0038] 其中,在所述认证服务器对所述声纹信息进行验证时,所述认证服务器可根据预先配置的声纹参考信息,对所述声纹信息进行验证;其中,所述声纹参考信息包括所述用户的声纹特征信息。
[0039] 可选的,所述动态口令令牌包括基于时间同步的动态口令令牌、或基于事件同步的动态口令令牌。
[0040] 根据本发明的实施例,还提供了一种身份认证系统。
[0041] 如图2所示,根据本发明实施例的身份认证系统包括:
[0042] 用户端21,用于根据用户输入的动态口令信息,生成与所述动态口令信息相对应的语音口令信息,其中,所述动态口令信息根据预先配置的动态口令令牌获得;
[0043] 认证服务器22,用于接收所述用户端发送的语音口令信息,并对所述语音口令信息进行分析,确定所述语音口令信息中所包含的动态口令信息和声纹信息,并对该动态口令信息和声纹信息进行验证;其中,在所述语音口令信息中所包含的动态口令信息和声纹信息均通过验证的情况下,所述认证服务器判定所述用户为合法用户。
[0044] 此外,在所述语音口令信息中所包含的动态口令信息和/或声纹信息不通过验证的情况下,所述认证服务器判定所述用户为非法用户。
[0045] 其中,所述认证服务器22包括口令验证模块(未示出),所述口令验证模块用于根据预先存储的所述动态口令令牌的令牌序列号和种子密钥,对所述动态口令信息进行验证。
[0046] 其中,所述认证服务器包括声纹验证模块(未示出),所述声纹验证模块用于根据预先配置的声纹参考信息,对所述声纹信息进行验证;其中,所述声纹参考信息包括所述用户的声纹特征信息。
[0047] 可选的,所述动态口令令牌包括基于时间同步的动态口令令牌、或基于事件同步的动态口令令牌。
[0048] 为了方便理解本发明的上述技术方案,以下通过实施过程对本发明的上述技术方案进行详细说明。
[0049] 在具体实施时,本发明的实施过程主要包括系统初始化设置和认证服务器启用两大过程。
[0050] 1)系统初始化设置:系统初始化设置主要有两部分内容,一是将注册帐号与动态口令令牌绑定,二是建立注册帐号用户语音、声纹识别库。建立注册帐号与动态口令令牌的绑定关系,也就是将用户帐号与用户使用的口令令牌之间建立起一一对应的关系,这是通过在认证服务器数据库中建立用户帐号与令牌序列号之间的关联关系实现的。每个动态口令令牌都有唯一的令牌序列号,以便与其它的令牌相区别。每个令牌都具有不同的种子密钥和同步状态值,这些数值同时保存在令牌和认证服务器数据库中。
[0051] 具体的,认证服务器随机产生一组动态口令(如8345 6712,4570 3397等8位数字或2419 3805 1278,3907 5513 7802等12位数字)发送给注册用户,用户以正常的语速和声调读出这些动态口令数字(0至9这十个数字),并将记录下来的语音数据发送到认证服务器。认证服务器调用语音识别建模模块,建立起该注册用户对十个数字的语音识别模型。当语音识别模型建好之后,认证服务器再向用户发送一个动态口令数据,用户读出后将语音数据返回服务器。服务器调用语音识别模块对该段语音数据进行识别。如果能够多次全部正确识别出用户读出的数字,则该用户的语音识别模型就建立完成了。如果不能全部正确识别出来,就需要再调整语音识别模型的相关参数,再进行用户训练和测试,直到能够多次全部正确地识别出来。利用用户发送过来的语音数据,认证服务器调用声纹识别建模模块,建立起该注册用户所特有的声纹识别模型,用于识别一段动态口令语音是否为该用户所读出。当用户的声纹识别模型建立后,认证服务器再向用户发送一个动态口令数据,用户读出后将语音数据返回服务器。服务器调用声纹识别模块对该段语音数据进行识别。如果能够以较高的置信率确认该段语音为注册用户所读出,则该用户的声纹识别模型就建立完成了。如果不能以高置信率识别出来,则再调整声纹识别模型的相关参数,再进行用户训练和测试,直到能够以较高的置信率正确地识别出来。当所有用户的语音识别、声纹识别建模过程全部结束,认证系统就可以正式投入运行了。
[0052] 2)认证服务器启用:当认证服务器完成初始化设置以后,就可以正式启用。具体认证流程如下:
[0053] 第一步:用户使用与注册帐号绑定的动态口令令牌产生出当前状态的动态口令。用户可以使用基于时间同步的动态口令令牌,也可以使用基于事件同步的动态口令令牌;
令牌的外在形式可以是自带显示屏的LCD硬件令牌,也可以是纯软件实现的软件令牌,还可以是带客户端程序的USBKey令牌、智能卡令牌,或者是智能手机上的APP软件令牌以及其它嵌入APP应用中的令牌。
令牌的外在形式可以是自带显示屏的LCD硬件令牌,也可以是纯软件实现的软件令牌,还可以是带客户端程序的USBKey令牌、智能卡令牌,或者是智能手机上的APP软件令牌以及其它嵌入APP应用中的令牌。
[0054] 第二步:用户输入登录帐号,念出动态口令的数字并将语音数据传送到认证服务器。不管用户采用何种形式的令牌,都能产生一次一变的一系列数字作为新的认证口令,用户不需要用键盘或手写的方式将令牌产生出的动态口令输入到口令输入框中,而是念出口令中的数字,将这一段语音数据传送到认证服务器中,这将不仅方便用户使用,也将极大地提高认证过程的安全性。
[0055] 第三步:认证系统对输入语音进行语音识别得到动态口令数据,并验证动态口令是否正确,若正确则进行下一步,若错误则结束本次认证过程。认证系统根据用户的登录帐号查找出该用户的语音识别模型数据,对用户念出的包含动态口令的语音数据进行处理,提取出其中的动态口令数据,并根据系统采用的动态口令认证规则对本次动态口令进行认证,确定用户是否能通过动态口令认证这一步。
[0056] 第四步:认证系统对输入语音进行声纹识别,判断是否与注册用户声纹特征相符。认证系统根据声纹识别模板,从输入语音数据中提出用户的声纹特征,并根据用户的登录帐号查找出该用户注册时保存在服务器中的声纹特征数据,将两者进行对比认证。若声纹特征相同率超出系统设定的阈值,则认为该段语音是注册用户读出的,通过对用户的声纹特征识别。如果声纹特征相同率低于系统设定的阈值,则可能是他人冒充的,拒绝该用户登录系统。只有同时通过了动态口令认证和声纹特征认证才能判定为合法注册用户。
[0057] 由此可见,借助于本发明的上述技术方案,利用动态口令一次一变的特性和语音声纹识别的安全便利性,将二者有机结合来实现互联网(特别是移动互联网)的远程用户身份识别,从而达到既安全又便于用户使用的目的。
[0058] 其中,对于安全性来说,即使攻击者取得了某用户之前的动态口令语音数据,并能合成该用户的任意动态口令语音数据(这时现有的专利就不安全),但由于没有用户的令牌,不知道下一个动态口令是什么,因此不能通过本方法的认证;如果用户的令牌或手机丢失,冒用者的声纹特征与合法用户的声纹特征很相似的概率是很低的。可以在用户挂失之前保障用户帐号的安全。
[0059] 而对于易用性来说,现有技术需要用户用手将令牌显示的动态口令输入到口令框中,而本发明则只需要点击或按住屏幕的某个按钮,念出令牌所显示的动态口令数字,相比之下易用性提高了不少,特别适合移动互联网各应用系统使用。
[0060] 以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。