一种基于隐式登录指示符传递的图形认证方法

1.本发明涉及一种基于隐式登录指示符传递的图形认证方法，属于信息安全技术领域。


背景技术：

2.随着互联网技术的蓬勃发展，各种智能设备通过互联网连接起来，利用互联网传播信息的便利实现了自动上报数据、远程访问、远程控制管理等各种便利的功能。
3.很多物联网与移动设备在大部分时间中是无人看守的，需要用户通过网络远程管理控制设备，或设备将收集的信息分享给特定用户。这些信息多数是具有隐私属性的信息，因此权限管理以及身份验证是非常重要的。研究者们在身份验证机制的研究上面付出了巨大的努力，以防止这些机制被不同的攻击破解。但新的攻击手段一直在被提出，且非常多样化。肩窥攻击、污迹攻击的出现使得传统的被普遍应用的登录认证方案变得越来越容易被攻破，从而威胁到用户的隐私数据安全。
4.在过去的登录认证方法中，使用数字或字母(pin)的登录方法因为其操作方便以及良好的抵抗暴力破解攻击的性质而受到了用户的广泛使用。但简单的文本密码安全性较低，而强大的文本密码为用户带来了不可忽视的记忆负担，且经常导致密码重用问题。研究者们针对这个问题，提出了基于图形的密码。这种密码虽容易记忆，但易受肩窥攻击的威胁。在普遍的图形密码方案中，用户每次在屏幕上留下的轨迹是有迹可循且易被分析的，因此它也无法抵抗污迹攻击。有研究者针对这些攻击手段提出了一些解决方案，但它们存在便携性差(例如：登录时需要使用者额外配备耳机等设备)，使用场景受限的弱点。在此之后，人们提出了基于生物特征识别的认证方案，例如指纹识别，以及人脸识别等，但近期报道称它们均已被破解，这也意味着它们也无法有效保护用户隐私安全，人们需要一种新型的认证方案以抵御各类攻击，且具有良好的易用性。


技术实现要素：

5.本发明所要解决的技术问题是：提供一种基于隐式登录指示符传递的图形认证方法，该方法可以抵抗肩窥攻击、污迹攻击、屏幕录制攻击给用户带来的隐私威胁，确保用户在登录设备过程中的安全性。
6.本发明为解决上述技术问题采用以下技术方案：
7.一种基于隐式登录指示符传递的图形认证方法，该方法包括注册阶段和登录阶段；
8.其中，注册阶段包括如下步骤：
9.步骤1，用户在注册时输入用户名或手机号建立一个账号；
10.步骤2，用户选择使用初始预设的密码盘或自定义的密码盘设置密码；所述初始预设的密码盘包括一个内圈和一个外圈，内圈、外圈均包括18个圆球状珠子bead，内圈bead与外圈bead一一对应，一个内圈bead和与之对应的外圈bead 组合在一起定义为一个区域
area，使用9种不同的颜色对内圈和外圈共36个bead 进行涂覆，即每4个bead涂覆一种颜色；自定义的密码盘为在初始预设的密码盘的基础上，用户拖动内圈bead或外圈bead，使其在密码盘上的位置发生变化，从而形成的新密码盘；
11.步骤3，用户在初始预设的密码盘或自定义的密码盘上按顺序选择bead1和 bead2，并记住它们的选择顺序和位置，记为用户密码1；
12.步骤4，用户在初始预设的密码盘或自定义的密码盘上按顺序选择area1和 area2，并记住它们的选择顺序和位置，记为用户密码2，该步骤所使用的密码盘与步骤3所使用的密码盘相同；
13.步骤5，将用户密码1和用户密码2映射到步骤1建立的账号下，注册完成；
14.登录阶段包括如下步骤：
15.步骤6，用户输入注册阶段所建立的账号；
16.步骤7，系统显示登录界面1，即登录界面1对应的密码盘，并将0
‑
9共10 个数字以及a
‑
z共26个字母随机填充到密码盘36个bead中；
17.步骤8，用户观察登录界面1，根据步骤3所选择的bead1和bead2的位置，从登录界面1上依次提取bead1和bead2对应位置的有效登录指示符，记为b1 和b2；
18.步骤9，系统显示登录界面2，即登录界面2对应的密码盘，并将0
‑
9共10 个数字以及a
‑
z共26个字母再次随机填充到密码盘36个bead中；通过转动密码盘，依次将有效登录指示符b1所在bead旋转到area1中，将有效登录指示符 b2所在bead旋转到area2中；
19.步骤10，系统检测有效登录指示符是否与用户作为密码的area一一对应，若是则登录成功，否则登录失败。
20.作为本发明的一种优选方案，所述步骤1中，用户输入用户名或手机号，系统检测该用户名或手机号是否已经存在，若已存在，则要求用户重新输入有效的用户名或手机号；若未存在，则以该用户名或手机号建立一个账号。
21.作为本发明的一种优选方案，所述步骤6中，用户输入用户名或手机号，系统检测该用户名或手机号是否存在，若不存在则给出错误提示，要求用户重新输入用户名，若已存在则登录过程继续。
22.作为本发明的一种优选方案，所述步骤7中，系统显示登录界面1，即登录界面1对应的密码盘，为密码盘上的bead随机填充登录指示符，登录指示符包括字母和数字，登录界面1对应的密码盘固定不可动，用于用户静态观察并隐式地获取系统传递的有效登录指示符。
23.作为本发明的一种优选方案，所述步骤9中，系统显示登录界面2，用户通过滑动来转动登录界面2对应的密码盘，内圈、外圈均独立旋转，系统再次重新为密码盘上的bead随机填充字母或数字，bead顺序也重新进行随机打乱显示，用户按步骤7获取到的有效登录指示符，将有效登录指示符所在bead通过转动密码盘按照正确顺序对应到自己选择作为密码的area中。
24.作为本发明的一种优选方案，所述步骤10中，系统检测用户作为密码的area 是否与有效登录指示符一一对应，若一一对应，则登录成功，若均不对应或仅有一组对应，则登录失败，返回步骤8；若连续失败5次以上，则锁定用户，12小时内不能再次进行该登录操作。
25.本发明采用以上技术方案与现有技术相比，具有以下技术效果：
26.1、本发明用户作为密码的bead与area均仅有用户知道，且用户在进行登录认证操作时不会暴露该内容，因为密码盘是一个整体，用户在操作时，所有bead 均会进行转动。在通过肩窥进行攻击的攻击者看来，存在大量的可能情况(密码)，因此使攻击者无法有效地推断密码。
27.2、本发明登录指示符是系统随机生成的，每次登录认证时均会发生变化，使得攻击者无法通过定向推断登录指示符从而破解密码。
28.3、本发明登录指示符在传递时，仅有用户选择的bead中的值是可以作为登录认证凭证的有效值，而其他作为非用户密码的bead，系统也仍会进行填充，但均是无效的。这样在肩窥攻击者看来，无法区分哪个bead是密码，从而无法推断正确的有效登录指示符，从而达到隐式传递的目的。
29.4、本发明同时解决了传统文本密码与传统图形密码的易受攻击且记忆困难的缺点，支持用户自定义密码盘与bead的排布方式，具有丰富的多样性与较高的安全性。
附图说明
30.图1是本发明的用户注册阶段流程图。
31.图2是本发明的用户登录阶段流程图。
32.图3是本发明的用户与系统交互总览图。
33.图4是实施例中自定义bead界面、注册阶段1、注册阶段2示意图。
34.图5是实施例中登录阶段1示意图。
35.图6是实施例中登录界面2初始状态示意图。
36.图7是实施例中登录界面2经用户操作后示意图。
具体实施方式
37.下面详细描述本发明的实施方式，所述实施方式的示例在附图中示出。下面通过参考附图描述的实施方式是示例性的，仅用于解释本发明，而不能解释为对本发明的限制。
38.本发明提供一种基于隐式登录指示符传递的图形登录认证方法，用户在注册时需要通过该方案提供的密码盘选择两个作为密码的bead(共36个，均为圆球状，具有不同颜色)，以及密码盘上的两个区域位置(密码盘呈放射状分割后，共可分为18个区域，一个内圈bead与一个外圈bead组合在一起可称之为一个区域)，并均按顺序记下以作为密码。在登录阶段，系统将随机填充以字母和数字作为内容的登录指示符进入36个bead中，而用户需要通过自己选定的bead 来获取该登录指示符，并需要将其正确地按顺序对应到自己所选择的区域位置中，方能完成解锁。由于bead传递登录指示符的过程，以及用户将登录指示符对应到区域位置中的过程均是隐式的，不可通过观察来推断用户密码，以达到保护用户隐私的目的。
39.如图1、图2所示，具体步骤如下：
40.步骤1：用户注册时输入用户名或手机号建立一个账户；
41.步骤2：自定义密码盘或使用系统初始预设的密码盘；
42.步骤3：系统显示bead选择界面，用户选择两个特定bead，记为用户location1 密码；
43.步骤4：系统显示area选择界面，用户选择两个area，记为用户location2 密码；
44.步骤5：系统记录存储该用户的两段密码，映射到该用户名下，注册完成；
45.步骤6：登录认证阶段，用户首先输入用户名，或系统默认用户；
46.步骤7：认证阶段1：系统显示登录界面1，系统隐式地提供登录指示符；
47.步骤8：用户观察登录界面1，提取有效登录指示符；
48.步骤9：认证阶段2：系统显示登录界面2，用户需通过转动密码盘，将有效登录指示符所在bead按顺序对应到选作密码的area中；
49.步骤10：系统检测到登录指示符与用户密码正确对应，即可完成登录，否则登录失败。
50.在步骤1中，用户输入用户名username，系统检测用户名是否已经存在，若已存在，则要求用户重新输入有效的用户名，若未存在，可进入步骤2。
51.在步骤2中，系统提供自定义注册界面的密码盘，用户可以选择初始预设，也可借由拖动屏幕上的bead，自行定义密码盘上bead的排布规则，此阶段bead 均可被用户手指拖动改变其位置。
52.在步骤3中，系统显示bead选择界面，此界面密码盘的状态即为步骤2中用户自定义选择的密码盘样式；用户按顺序选择两个特定bead1和bead2，记为用户密码1，其位置与选择顺序均需被用户当成密码记住。
53.在步骤4中，系统显示area选择界面，密码盘状态同上一步骤，用户选择两个区域area1和area2，记为用户密码2，与步骤3同理，除位置外，顺序也同样需要被铭记。
54.在步骤5中，系统将{username,bead1,bead2，area1，area2}存储到数据库中，用户注册完成。
55.在步骤6中，用户输入用户名username，系统检测该用户名是否存在，若未存在则给出错误提示，要求用户重新输入用户名，若已存在则登录过程继续。
56.在步骤7中，系统显示登录界面1，为密码盘上的bead随机填充登录指示符，登录指示符由字母或数字组成，该阶段的密码盘是固定不可动的，仅供用户静态观察并隐式地获取系统传递的登录指示符。
57.在步骤8中，用户观察该界面，根据自己选作密码的bead，以及bead的顺序，按顺序获提取用户作为密码的bead中的值，可能是数字也可能是字母，其为有效登录指示符。用户观察完毕后可点击“下一步”进入下一步骤。
58.在步骤9中，系统显示登录界面2，该阶段的密码盘用户可通过滑动屏幕来整体转动，外圈可以独立旋转，内圈也可以独立旋转。该阶段系统再次重新为 bead随机填充字母数字，bead顺序也重新进行随机打乱显示，用户需按上一阶段获取到的登录指示符，将有效登录指示符所在bead通过转动密码盘按照正确顺序对应到自己选择作为密码的area中，由于area同时包含内圈与外圈，因此无论装有登录指示符的bead刷新在内圈还是外圈，均可将它们转动到目标area 中。
59.在步骤10中，系统检测用户作为密码的area是否与有效登录指示符一一对应，若一一对应，则登录成功，若均不对应或仅有一组对应，则登录失败，返回步骤8。若连续失败5次以上，则锁定用户，12小时内不可再次进行该登录操作。
60.下面结合实例进行注册与登录的具体说明：
61.步骤一：显示初始自定义bead界面。图1为初始化密码盘界面，在该界面中，用户可以拖动bead改变其排布方式以自定义密码盘。在本示例中，选择初始预设。(即图4显示的密码盘)
62.步骤二：注册阶段1。在该阶段，用户需要按照顺序选择两个bead(记为 location1)。在实例中，系统为用户提供图1显示的密码盘，用户按顺序选择了“k”所在的bead，与“5”所在的bead，作为该用户的location1密码。
63.步骤三：注册阶段2。在该阶段，用户需要按顺序选择两个area(记为 location2)。在实例中，系统仍为用户提供图4显示的密码盘，用户按顺序选择了“8，q”所在的area，以及“z，h”所在的area，作为该用户的location2密码。至此，注册过程完毕，系统完整地记录下了用户所选择的location1密码与 location2密码，并将其映射到该用户的用户名。
64.步骤四：登录阶段1。系统为用户提供图5显示的界面。此界面即为登录界面1。且系统为bead随机注入登录指示符(登录指示符)，但只有用户选择的两个bead中装入的登录指示符才是有效登录指示符，可以用作下一阶段的登录操作。在实例中，系统为用户传递的有效2位登录指示符为：“8，t”。注意，2 位登录指示符有顺序要求，根据用户选择bead的顺序，其登录指示符为“8，t”而不是“t，8”。至此，用户通过观察登录界面1，可提取出系统传递的登录指示符，二位有效登录指示符完成了隐式传递。
65.但在攻击者视角中，并不能获知哪个bead中装入的才是有效登录指示符。
66.步骤五：登录阶段2。系统为用户显示登录界面2，即为图6所示。密码盘的bead被打乱，且系统为每个bead随机填充字母数字。用户需要操作转动密码盘，将有效登录指示符所在bead按顺序正确地转入用户选择的两个area，即 location2密码。在实例中，用户将含有“8”的bead转入左下角的area，将装有“t”的bead转入右上角的area，如图7中的高亮显示。
67.步骤六：系统检测有效登录指示符是否与用户选择的area(location2密码) 正确对应。此时，实例中的用户已可完成解锁。然而在攻击者的视角中，任意一个area中装入的均有可能是有效挑战值，因此无法猜测用户真实密码。至此，用户完成了隐式的登录操作。用户与系统的交互示意图如图3所示。
68.以上实施例仅为说明本发明的技术思想，不能以此限定本发明的保护范围，凡是按照本发明提出的技术思想，在技术方案基础上所做的任何改动，均落入本发明保护范围之内。