基于近距离无线通信手机的智能认证方法及系统

1.一种基于近距离无线通信手机的智能认证方法，其特征在于将存储有认证信息的手机作为认证要素确定用户的身份，具体步骤如下：
步骤1.注册认证信息：(a)由界面特征获取子系统(5)搜集HOST的登录界面特征，操作系统需要搜集的特征包括操作系统版本号、系统所在的网卡卡号；网站登录系统需要搜集URL地址、网页内容的散列值、当前会话的数字证书散列值；(b)由认证信息接收/发送子系统
(4)将注册认证信息发送到手机端的口令管理子系统(3)；(c)如果是操作系统，则在口令管理子系统(3)中填写界面特征对应的用户名和口令并存储；如果是网站登录系统，则在界面特征获取子系统(5)中输入用户名和口令并通过认证信息接收/发送子系统(4)发送到手机端的口令管理子系统(3)，并由该口令管理子系统(3)进行存储；(d)结束本过程；
步骤2.认证登录界面：(a)由HOST发起该功能；(b)由界面特征获取子系统(5)搜集HOST的登录界面特征，操作系统需要搜集的特征包括操作系统版本号、系统所在的网卡卡号；网站登录系统需要搜集URL地址、网页内容的散列值、当前会话的数字证书散列值；(c)由认证信息接收/发送子系统(4)将登录界面特征的信息发送到手机端的口令管理子系统(3)；(d)在口令管理子系统(3)中查找该界面特征是否存在，如果不存在，提示是否界面已经修改或者发生钓鱼攻击的可能，结束本过程；(e)如果界面特征在本系统中存在并且完全吻合，则建立安全认证会话并结束本过程；
步骤3.发送并填写用户名口令：(a)由口令管理子系统(3)发送用户名和口令到认证信息接收/发送子系统(4)的手机端；(b)认证信息接收/发送子系统(4)的手机端加密用户名和口令并通过近距离无线通信传递到认证信息接收/发送子系统(4)的HOST端；(c)认证信息接收/发送子系统(4)的HOST端将解密用户名和口令，并传送到用户名口令填写子系统
(6)；(d)用户名口令填写子系统(6)填写用户名和口令到对应计算系统登录界面输入框；(e)如果登录成功则发送消息给认证信息接收/发送子系统(4)，否则提示错误信息；
结束本过程；
步骤4.智能锁定认证会话：(a)认证信息接收/发送子系统(4)接到用户名口令填写子系统(6)认证成功的消息，则将当前认证会话信息发送到智能锁定子系统(7)；(b)智能锁定子系统(7)每隔5秒定时探测近距离无线通信的有效性，如果一旦低于预先设定的信号强度或者没有信号，则锁定HOST；(c)如果智能锁定子系统(7)探测到锁定的会话中近距离无线通信再度有效则自动重新登录HOST；
这里，HOST指计算机系统的主机。
2.根据权利要求1所述的智能认证方法，其特征在于：
所述手机存储有多组界面特征及其对应的用户名口令信息，手机操作系统支持Symbian，Windows Mobile，嵌入式Linux；
近距离无线通信为蓝牙通信、红外通信或无线局域网IEEE 802.11a/b/g协议；
手机端通过预先搜集的界面特征验证计算机系统登录界面的合法性，所述界面特征为：操作系统版本号、所在计算机的网卡地址、浏览器认证系统中的URL地址、网页散列值和数字证书散列值；
所述用户名口令分为静态口令和动态口令两种；
所述的计算机系统登录界面，为Windows、Linux计算机操作系统登录界面和基于浏览器的网站登录界面。
3.一个基于近距离无线通信手机的智能认证系统，其特征在于系统包括：基于手机的口令管理子系统(3)，基于近距离无线通信的认证信息接收/发送子系统(4)，界面特征获取子系统(5)，计算机系统登录界面的用户名口令填写子系统(6)和基于近距离无线通信信号强弱的智能锁定子系统(7)；所述各子系统实现智能认证的流程如下：
步骤1.注册认证信息：(a)由界面特征获取子系统(5)搜集HOST的登录界面特征，操作系统需要搜集的特征包括操作系统版本号、系统所在的网卡卡号；网站登录系统需要搜集URL地址、网页内容的散列值、当前会话的数字证书散列值；(b)由认证信息接收/发送子系统(4)将注册认证信息发送到手机端的口令管理子系统(3)；(c)如果是操作系统，则在口令管理子系统(3)中填写界面特征对应的用户名和口令并存储；如果是网站登录系统，则在界面特征获取子系统(5)中输入用户名和口令并通过认证信息接收/发送子系统(4)发送到手机端的口令管理子系统(3)，并由口令管理子系统(3)进行存储；(d)结束本过程；
步骤2.认证登录界面：(a)由HOST发起该功能；(b)由界面特征获取子系统(5)搜集HOST的登录界面特征，操作系统需要搜集的特征包括操作系统版本号、系统所在的网卡卡号；网站登录系统需要搜集URL地址、网页内容的散列值、当前会话的数字证书散列值；(c)由认证信息接收/发送子系统(4)将登录界面特征的信息发送到手机端的口令管理子系统(3)；(d)在口令管理子系统(3)中查找该界面特征是否存在，如果不存在，提示是否界面已经修改或者发生钓鱼攻击的可能，结束本过程；(e)如果界面特征在本系统中存在并且完全吻合，则建立安全认证会话并结束本过程；
步骤3.发送并填写用户名口令：(a)由口令管理子系统(3)发送用户名和口令到认证信息接收/发送子系统(4)的手机端；(b)认证信息接收/发送子系统(4)的手机端加密用户名和口令并通过近距离无线通信传递到认证信息接收/发送子系统(4)的HOST端；(c)认证信息接收/发送子系统(4)的HOST端将解密用户名和口令，并传送到用户名口令填写子系统(6)；(d)用户名口令填写子系统(6)填写用户名和口令到对应计算系统登录界面输入框；(e)如果登录成功则发送消息给认证信息接收/发送子系统(4)，否则提示错误信息；
结束本过程；
步骤4.智能锁定认证会话：(a)认证信息接收/发送子系统(4)接到用户名口令填写子系统(6)认证成功的消息，则将当前认证会话信息发送到智能锁定子系统(7)；(b)智能锁定子系统(7)每隔5秒定时探测近距离无线通信的有效性，如果一旦低于预先设定的信号强度或者没有信号，则锁定HOST；(c)如果智能锁定子系统(7)探测到锁定的会话中近距离无线通信再度有效则自动重新登录HOST；
这里，HOST指计算机系统的主机。

基于近距离无线通信手机的智能认证方法及系统 \n技术领域\n[0001] 本发明属于无线通信技术领域，具体涉及一种口令管理和智能认证方法和系统，尤其是利用近距离无线通信手段和手机实现用户名口令的管理并实现智能认证的方法和系统。 \n背景技术\n[0002] 当前计算机系统中出现针对用户口令的安全攻击(比如网络钓鱼、中间人攻击、口令破解等)，使得对口令保护和用户认证的研究成为计算机安全领域的一个热门话题。\n目前计算机网络安全机制主要手段包括安全认证，即用户在登录计算机系统包括网站系统前，服务器端先从用户端获得登录信息(如用户名和口令)后，在服务器端进行认证以确定与存储在服务器的认证信息是否一致。如果一致，则允许该用户进入计算机系统，否则拒绝登录。 \n[0003] 用户名口令计算系统认证技术以其简单且相对安全而广为广大计算用户接受。然而使用用户名口令进行登录具有很多缺陷，尤其是在一些对安全性要求较高的信息系统(如网上银行系统)中，这些系统往往要求口令具有一定的长度，并且对不同的计算机系统设置不同的口令。现有用户名口令登录系统的缺陷主要包括口令的记忆困难，口令的输入困难，口令的安全存储困难。 \n[0004] 1.口令的记忆困难是指用户很难记住自己的口令，一旦忘记则需要消耗计算机大量的资源并采用复杂的处理过程用以恢复口令； \n[0005] 2.口令的输入困难是指用户容易输错口令导致系统对合法用户的真实身份进行误判； \n[0006] 现有一些用户名口令管理软件管理这些用户名口令，但存在一些问题。其中最突出的在于这些管理软件运行在个人电脑上，一旦个人电脑被恶意程序控制，则所有用户名口令有可能完全泄漏给攻击者。 \n[0007] 另一种安全用户名口令的解决方案是动态令牌系统，典型的如RSA公司的SecureID，网易公司的将军令等。这些系统的特点是利用专用便携的硬件定时动态生成一个口令，输入到口令框中作为认证要素，与其它认证要素结合可大幅度提高系统认证的安全性。然而这种解决方案解决了口令记忆困难，但没有解决用户输入口令的困难。同时，这种方案需要系统改变认证方式，系统修改比较困难。此外，这种方案需要特殊的硬件，部署的成本相对较高，虽然该硬件设计得比较小，但是还是需要额外携带这些硬件。\n[0008] 以上这些方案都没有办法将人和计算机登录联系在一起，也即人离开系统的时候，系统应该自动锁定或者退出系统，否则当合法用户在离开已经登录的计算机系统的时候，其他人可以恶意冒充合法用户在系统中执行非法操作。 \n发明内容\n[0009] 本发明的目的在于提供一种安全性好、口令记忆和输入方便的基于近距离无线通信手机的认证方法及系统，为计算机系统提供一种智能认证的技术方案。 [0010] 本发明提出的智能认证方法，是将存储有认证信息的手机作为认证要素确定用户身份，具体步骤如下：先由手机存储计算机系统登录界面的特征信息，用户登录时由手机根据预先存储的特征信息进行验证，确定登录界面的合法性；在确定界面合法的情况下，由手机存储用户名和口令，通过近距离无线通信将用户名和口令传送到计算机系统登陆界面，并进行自动填写，实现用户的身份认证；通过检测有效的近距离无线通信信号的强弱，实现“人离即锁定”认证会话智能维持。 \n[0011] 本发明的智能认证系统实现上述智能认证方法，系统包括：(1)基于手机的口令管理子系统；(2)基于近距离无线通信的认证信息接收/发送子系统；(3)界面特征获取子系统；(4)计算机系统登录界面的用户名口令填写子系统；(5)基于近距离无线通信信号强弱的智能锁定子系统。本方法和系统可以有效地管理多个计算机的用户名和口令；对存储在手机上的口令进行有效地保护；对登录的界面进行认证以防止钓鱼攻击。 [0012] 手机可以存储多组界面特征及其对应的用户名口令信息。本发明中，手机操作系统支持Symbian，Windows Mobile，嵌入式Linux等。近距离无线通信手段包括蓝牙通信、红外通信、无线局域网IEEE802.11a/b/g协议及其它近距离无线通信手段。手机端通过预先搜集的界面特征验证计算机系统登录界面的合法性，这些界面特征包括：操作系统版本号、所在计算机的网卡地址、浏览器认证系统中的URL地址、网页散列值和数字证书散列值。 [0013] 本发明中认证要素包括用户名口令，口令包括静态口令和动态口令。 [0014] 本发明中所述的计算机系统登录界面，包括Windows、Linux等计算机操作系统登录界面和基于浏览器的网站登录界面。 \n[0015] 本发明所述的“人离即锁定”的认证会话智能维持，其中主机根据定时判断近距离无线通信的有效性来判断用户是否离开主机。有效性判断基于信号减弱到预先设定的阈值或者近距离无线通信不能传输数据。主机在判断用户离开后，即锁定主机；主机在判断在有效时间内重新建立的有效近距离无线通信信道，即自动登录。\n[0016] 本发明中，子系统1实现认证要素的注册、存储。子系统2实现无线近距离通信。\n子系统3实现计算机系统登录界面的特征提取。实现计算机系统登录界面的用户名口令自动填写。实现“人离即锁定”的认证会话智能维持方法。 \n[0017] 本方法和系统的优势在于： \n[0018] 1.解决了用户的口令记忆困难。用户不需要自行记忆口令而只需要将口令存储在手机中即可； \n[0019] 2.解决了用户输入口令的困难。系统自动会判断合法的界面并将用户名和口令输入到界面； \n[0020] 3.部署成本较低。随着手机技术的日益发展，手机能够承载的计算能力和通信能力越来越强，近距离无线通信如蓝牙通信等已经广泛地装备在新型手机中，而我们设计的系统是运行在这些中高档手机中的应用软件，因此部署成本很低。同时我们的系统不需要更改原有计算机系统的认证协议，因此修改原有计算机系统的成本也较低； [0021] 4.可以实现反网络钓鱼攻击。通过手机预先存储的界面特征识别合法输入界面，杜绝将用户名口令输入到非法界面，从而实现反网络钓鱼攻击。 \n[0022] 5.可以实现“人离即锁定”功能。通过对近距离无线通信信号强弱的识别，如果近距离无线通信信号强度弱于预先设定的值，则锁定系统； \n[0023] 附图说明\n[0024] 图1为本发明的系统示意图。 \n[0025] 图2为本发明系统结构框图。 \n[0026] 图中标号1表示手机这一端(PH)；2表示计算机系统这一端(HOST)。3表示基于手机的口令管理子系统，实现对多组用户名口令的添加、修改和删除功能；4表示认证信息接收/发送子系统，实现近距离无线通信功能；5表示界面特征获取子系统，实现对计算机系统登录界面特征信息的获取功能；6表示用户名口令填写子系统，实现将接受到的信息自动的填写到计算机系统登录界面的功能；7表示智能锁定子系统，实现基于近距离无线通信信号强度的智能锁定功能。 \n[0027] 具体实施方式\n[0028] 假设有一个用户，具有用户名：UN，口令：PWD。应用环境中有计算机系统一台：\nHOST，手机一台：PH。以该用户及其应用环境为例说明本系统的四个实施子过程： [0029] 1. 1.注册认证信息：(1)由界面特征获取子系统5搜集HOST的登录界面特征，操作系统需要搜集的特征包括操作系统版本号、系统所在的网卡卡号；网站登录系统需要搜集URL地址、网页内容的散列值、当前会话的数字证书散列值；(2)由认证信息接收/发送子系统4将信息发送到手机端PH的口令管理子系统3；(3)如果是操作系统，则在口令管理子系统3中填写界面特征对应的用户名UN和口令PWD并存储；如果是网站登录系统，则在界面特征获取子系统5中输入用户名UN和口令PWD并通过子系统4发送到手机端PH的子系统3，并由子系统3进行存储；(4)结束本过程。 \n[0030] 2.认证登录界面：(1)由HOST发起该功能；(2)由子系统5搜集HOST的登录界面特征，操作系统需要搜集的特征包括操作系统版本号、系统所在的网卡卡号；网站登录系统需要搜集URL地址、网页内容的散列值、当前会话的数字证书散列值；(3)由子系统4将信息发送到手机端PH子系统3；(4)在子系统3中查找该界面特征是否存在，如果不存在，提示是否界面已经修改或者发生钓鱼攻击的可能，结束本过程；(5)如果界面特征在本系统中存在并且完全吻合则；(6)建立安全认证会话并结束本过程。 \n[0031] 3.发送并填写用户名口令：(1)由子系统3发送用户名UN和口令PWD到子系统4的手机端PH；(2)子系统4的手机端PH加密用户名UN和口令PWD并通过近距离无线通信传递到子系统4的HOST端；(3)子系统4的HOST端将解密用户名UN和口令PWD，并传送到子系统⑥；(4)子系统6填写用户名UN和口令PWD到对应计算系统登录界面输入框；(5)如果登录成功则发送消息给子系统4，否则提示错误信息。结束本过程； \n[0032] 4.智能锁定认证会话：(1)子系统4接到子系统6认证成功的消息，则将当前认证会话信息发送到子系统7；(2)子系统7每隔5秒定时探测近距离无线通信的有效性，如果一旦低于预先设定的信号强度或者没有信号，则锁定HOST；(3)如果子系统7探测到锁定的会话中近距离无线通信再度有效则自动重新登录HOST。