本发明涉及身份认证领域,尤其涉及一种抗钓鱼身份认证机制。
背景技术:
1、网络钓鱼威胁是攻击者最常使用的窃取受害者登录凭据的攻击手段之一,攻击者通过钓鱼网页伪装成合法服务诱骗受害者输入个人凭据。启用以短信或邮箱验证码为主的多因素认证能在一定程度上缓解网络钓鱼威胁,但攻击者依然可利用实时钓鱼(作为中间人在用户和认证服务方之间转发二者之间的通信讯息)诱骗用户输入验证码,从而绕过多因素认证。
2、现有的抗钓鱼身份认证技术需要依赖于专用硬件,用户需将该专有硬件加载到用户设备上,专有设备中具有可信计算基,从该计算基中发起身份认证请求,认证服务方对用户侧的专有硬件进行识别,进而判断发出认证请求的是合法用户而非攻击者,使用成本较高。同时,由于使用成本较高,认证专有硬件通常被设置为永久有效,如果用于认证的专有硬件丢失,则会面临存储在可信计算基中私钥丢失而造成认证服务侧可信计算基失效的风险。使用抗钓鱼专有硬件用户身份仅能在适配相关硬件机制的身份认证系统内完成身份的认证和授权,该用户身份无法在其他系统内授权或使用,无法实现跨域的联合身份认证或第三方身份认证(例如,单点登录认证)。
3、因此,我们需要开发一种抗钓鱼身份认证机制,以改善现有技术中存在的问题。
技术实现思路
1、本发明的目的在于开发一种抗钓鱼身份认证机制,以改善现有技术中存在的问题。
2、一种抗钓鱼身份认证机制,包括预配置阶段和身份认证阶段;预配置阶段用于获取注册用户信息以及登录用户信息;身份认证阶段获取认证用户信息,并与预配置阶段获取的注册用户信息以及登录用户信息进行比较,得到认证结果。
3、更为优选地,预配置阶段包括一阶段载荷投递并获取注册用户信息和登录用户信息、根据注册用户信息生成合法身份令牌。
4、更为优选地,身份认证阶段包括基于二阶段载荷获取认证用户信息、对注册用户信息和登录用户信息以及认证用户信息进行比较,得到认证结果。
5、更为优选地,注册用户信息包括注册终端设备、注册设备指纹、注册用户个人信息;登录用户信息包括登录终端设备、一阶段登录指纹、登录用户个人信息。
6、更为优选地,一阶段载荷获取注册用户信息以及登录用户信息,具体包括如下步骤:注册用户在用户设备提交个人信息和注册凭据,向认证系统进行注册并登录;认证系统向用户设备投递一阶段载荷,一阶段载荷收集注册用户信息以及登录用户信息,并生成注册设备指纹和一阶段登录设备指纹,回传至认证系统。
7、更为优选地,注册凭据包括密码、密钥、一次性密码、验证码。
8、更为优选地,根据注册用户信息生成合法身份令牌,合法身份令牌包含注册设备指纹、注册用户信息和身份令牌有效期。
9、更为优选地,基于二阶段载荷获取认证用户信息,具体包括如下步骤:认证用户在用户设备向认证系统发起认证请求,该请求中附带认证用户的身份令牌;认证系统解析该身份令牌,并校验身份令牌的有效性;若身份令牌有效,则认证系统向用户设备投递二阶段载荷,二阶段载荷获取认证用户信息,并生成二阶段认证设备指纹,回传至认证系统;否则,显示该令牌不合法,需要用户重新注册其身份信息,并颁发新的合法身份令牌。
10、更为优选地,校验身份令牌的有效性具体包括如下步骤:根据身份令牌的签名校验令牌的合法性和有效性,如令牌合法且在有效期内,则将该身份令牌包含的信息传递给认证系统,如不合法或不在有效期内,则显示该令牌不合法。
11、更为优选地,对注册用户信息和登录用户信息以及认证用户信息进行比较,得到认证结果,具体包括:根据身份令牌的用户身份在信物库中查找一阶段登录设备指纹,将其与二阶段认证设备指纹以及合法身份令牌的注册设备指纹进行比较,若三者相同,则认证通过,否则,认证系统告警。
12、与现有技术相比,本发明具有如下优点:
13、1、本发明根据多阶段向认证设备投递载荷的方式获取了用户的设备指纹,从而防止攻击者通过网络钓鱼的方式窃取用户的登录凭据并接管账户的风险;与现有的抗钓鱼身份认证技术相比,本发明未要求使用专有硬件来保证设备的一致性,而是通过多阶段投递载荷的方式保证设备指纹是认证系统可见且可靠的;
14、2、身份令牌具有可配置的有效期,在身份令牌颁发时间过长超出有效期后,用户需要重新注册,避免了由设备遗失而造成的攻击者长期访问的风险;
15、3、本发明将用户的身份信息、有效期、设备指纹等封装到一个可自校验的令牌格式中,认证系统可以在不同域的系统中实施第三方的身份认证和鉴权,具有跨域认证属性,可扩展到多种认证模式下并赋予其抗钓鱼风险的属性。
1.一种抗钓鱼身份认证机制,其特征在于,包括预配置阶段和身份认证阶段;预配置阶段用于获取注册用户信息以及登录用户信息;身份认证阶段获取认证用户信息,并与预配置阶段获取的注册用户信息以及登录用户信息进行比较,得到认证结果。
2.根据权利要求1所述的一种抗钓鱼身份认证机制,其特征在于,预配置阶段包括一阶段载荷投递并获取注册用户信息和登录用户信息、根据注册用户信息生成合法身份令牌。
3.根据权利要求2所述的一种抗钓鱼身份认证机制,其特征在于,身份认证阶段包括基于二阶段载荷获取认证用户信息、对注册用户信息和登录用户信息以及认证用户信息进行比较,得到认证结果。
4.根据权利要求3所述的一种抗钓鱼身份认证机制,其特征在于,注册用户信息包括注册终端设备、注册设备指纹、注册用户个人信息;登录用户信息包括登录终端设备、一阶段登录指纹、登录用户个人信息。
5.根据权利要求4所述的一种抗钓鱼身份认证机制,其特征在于,一阶段载荷获取注册用户信息以及登录用户信息,具体包括如下步骤:
6.根据权利要求5所述的一种抗钓鱼身份认证机制,其特征在于,注册凭据包括密码、密钥、一次性密码、验证码。
7.根据权利要求6所述的一种抗钓鱼身份认证机制,其特征在于,根据注册用户信息生成合法身份令牌,合法身份令牌包含注册设备指纹、注册用户信息和身份令牌有效期。
8.根据权利要求7所述的一种抗钓鱼身份认证机制,其特征在于,基于二阶段载荷获取认证用户信息,具体包括如下步骤:
9.根据权利要求8所述的一种抗钓鱼身份认证机制,其特征在于,校验身份令牌的有效性具体包括如下步骤:
10.根据权利要求9所述的一种抗钓鱼身份认证机制,其特征在于,对注册用户信息和登录用户信息以及认证用户信息进行比较,得到认证结果,具体包括:
