[go: up one dir, main page]

CN119135353B - 一种基于挑战响应的对抗性用户设备认证方法 - Google Patents

一种基于挑战响应的对抗性用户设备认证方法

Info

Publication number
CN119135353B
CN119135353B CN202411182692.6A CN202411182692A CN119135353B CN 119135353 B CN119135353 B CN 119135353B CN 202411182692 A CN202411182692 A CN 202411182692A CN 119135353 B CN119135353 B CN 119135353B
Authority
CN
China
Prior art keywords
authentication
user equipment
response
user
authenticated
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202411182692.6A
Other languages
English (en)
Other versions
CN119135353A (zh
Inventor
田志宏
杨佳庚
方滨兴
鲁辉
孙彦斌
刘园
李默涵
苏申
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangzhou University
Original Assignee
Guangzhou University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangzhou University filed Critical Guangzhou University
Priority to CN202411182692.6A priority Critical patent/CN119135353B/zh
Publication of CN119135353A publication Critical patent/CN119135353A/zh
Application granted granted Critical
Publication of CN119135353B publication Critical patent/CN119135353B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Telephonic Communication Services (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明提供了一种基于挑战响应的对抗性用户设备认证方法包括:注册用户设备的认证凭据;配置载荷并投递至用户设备;接收载荷根据用户设备的设备信息生成的认证信物;接收用户设备的包括认证凭据的身份认证请求,当认证凭据有效时发起验证挑战;接收载荷生成的待验证响应;获取用户设备的认证信物,根据认证信物和验证挑战生成验证响应;比较待验证响应和验证响应是否一致以得出用户设备的认证结果。应用该方法基于载荷投递的方式在用户设备注册和进行认证阶段实时计算得到认证信物和待认证信物以进行用户设备身份认证,信物的属性能够校验用户设备运行环境的一致性,避免设备攻陷后攻击者冒充设备所有者发起认证而导致的对抗性攻击行为。

Description

一种基于挑战响应的对抗性用户设备认证方法
技术领域
本发明涉及网络空间安全技术领域,尤其涉及一种基于挑战响应的对抗性用户设备认证方法。
背景技术
网络钓鱼威胁是攻击者最常使用的获取受害者设备/系统初始访问权的攻击技术之一,攻击者通过伪造的登录页面或者冒用受信任实体发送的电子邮件,来欺骗受害者输入登录凭据或安装远控木马等恶意软件,最终获得受害者设备/系统的初始访问权。使用例如短信/邮箱验证码、一次性密码器等多因素认证机制能在一定程度上缓解网络钓鱼威胁,但攻击者依然可以利用实时钓鱼(实时中间人攻击)获取到验证码,从而突破多因素认证。
现有的防钓鱼威胁的身份认证技术需依赖专用安全硬件,用户需将该专用硬件加载到用户设备上,该硬件设备中具有可信计算基,位于可信计算基中的认证客户端发起身份认证请求,认证服务方对用户侧的专有硬件进行识别,进而判断发出认证请求的是合法用户而非攻击者。
而现有的防钓鱼身份认证技术所依赖的专用安全硬件使用成本高,因此专用安全硬件通常被设置为永久有效,或较长的有效期。如果用于身份认证的专用安全硬件丢失,身份认证系统会面临专有硬件的可信计算基中私钥丢失的风险,而造成认证系统服务侧可信计算基失效的风险。在防钓鱼专用安全硬件加载到用户设备后,如果该设备存在未知漏洞/后门,攻击者可能利用该漏洞/后门冒充设备所有者调用安全硬件来发起身份认证。针对这类攻击者已攻陷目标用户设备,试图借助此设备收集用户凭据并实施更大规模的横向移动的攻击企图,现有的防钓鱼身份认证技术无法解决这类对抗性攻击行为。
因此,有必要提供一种能够防止攻击者窃取用户登录凭据的网络钓鱼威胁,阻断攻击者冒用设备所有者实施的对抗性攻击行为的用户设备认证方法。
发明内容
本发明的目的在于提供一种基于挑战响应的对抗性用户设备认证方法,用以防止攻击者窃取用户登录凭据的网络钓鱼威胁,阻断攻击者冒用设备所有者实施的对抗性攻击行为。
第一方面,本发明提供的基于挑战响应的对抗性用户设备认证方法包括:接收用户设备的注册请求和用户设备提交的注册信息,根据所述注册信息注册所述用户设备的认证凭据并将所述认证凭据反馈至所述用户设备;根据所述用户设备的特征配置载荷,将所述载荷投递至所述用户设备;接收所述载荷根据所述用户设备的设备信息生成的认证信物,将所述认证信物与所述用户设备的注册信息对应存储至信物库;接收已注册的用户设备的身份认证请求,所述身份认证请求中包括所述认证凭据,校验所述认证凭据,当所述认证凭据有效时,向待认证的用户设备发起验证挑战;接收所述待认证的用户设备中的载荷生成的待验证响应,其中,所述待验证响应根据所述待验证的用户设备的设备信息和所述验证挑战生成;获取所述信物库中对应所述待认证的用户设备的认证信物,根据所述认证信物和所述验证挑战生成验证响应;比较所述待验证响应和所述验证响应是否一致,根据比较结果得出所述待认证的用户设备的认证结果。
本发明提供的基于挑战响应的对抗性用户设备认证方法的有益效果在于:基于载荷投递的方式,根据用户设备的软硬件信息及运行环境生成用于进行用户设备身份认证的信物,在用户设备注册和进行认证等多个阶段实时运行载荷计算得到的分别为认证信物和待认证信物,通过认证信物和待认证信物进行用户设备身份认证,认证信物和待认证的属性能够校验注册和认证时用户设备运行环境的一致性,避免设备攻陷后攻击者冒充设备所有者发起认证而导致的对抗性攻击行为。
一种可能的实施例中,根据所述用户设备的特征配置载荷,包括:在所述载荷中设置当所述载荷投递至用户设备后,获取用户设备的硬件信息、操作系统和应用程序信息生成唯一标识符;根据所述用户设备的唯一标识符、用户身份、登陆凭据和运行环境生成对应于所述用户身份及用户设备的认证信物。
另一种可能的实施例中,根据所述用户设备的特征配置载荷,包括:在所述载荷中设置当所述验证挑战发送至待认证的用户设备后,获取待认证的用户设备的硬件信息、操作系统和应用程序信息生成唯一标识符,根据唯一标识符、用户身份、登陆凭据和运行环境生成对应于所述用户身份及用户设备的待验证认证信物;根据所述待验证认证信物和所述验证挑战计算待验证响应。
其它可能的实施例中,比较所述待验证响应和所述验证响应是否一致,根据比较结果得出所述待认证的用户设备的认证结果,包括:当所述待验证响应和所述验证响应一致时,所述待认证的用户设备的身份认证通过;所述待验证响应和所述验证响应不一致时,所述待认证的用户设备的身份认证不通过并发出异常警告。
第二方面,本发明还提供了一种基于挑战响应的对抗性用户设备认证装置,包括:
注册单元,用于接收用户设备的注册请求和用户设备提交的注册信息,根据所述注册信息注册所述用户设备的认证凭据并将所述认证凭据反馈至所述用户设备;载荷投递单元,用于根据所述用户设备的特征配置载荷,将所述载荷投递至所述用户设备;信物存储单元,用于接收所述载荷根据所述用户设备的设备信息生成的认证信物,将所述认证信物与所述用户设备的注册信息对应存储至信物库;凭据校验单元,用于接收已注册的用户设备的身份认证请求,所述身份认证请求中包括所述认证凭据,校验所述认证凭据,当所述认证凭据有效时,向待认证的用户设备发起验证挑战;响应接收单元,用于接收所述待认证的用户设备中的载荷生成的待验证响应,其中,所述待验证响应根据所述待验证的用户设备的设备信息和所述验证挑战生成;验证响应生成单元,用于获取所述信物库中对应所述待认证的用户设备的认证信物,根据所述认证信物和所述验证挑战生成验证响应;认证单元,用于比较所述待验证响应和所述验证响应是否一致,根据比较结果得出所述待认证的用户设备的认证结果。
其中,所述载荷投递单元根据所述用户设备的特征配置载荷,包括:在所述载荷中设置当所述载荷投递至用户设备后,获取用户设备的硬件信息、操作系统和应用程序信息生成唯一标识符;根据所述用户设备的唯一标识符、用户身份、登陆凭据和运行环境生成对应于所述用户身份及用户设备的认证信物。
所述载荷投递单元根据所述用户设备的特征配置载荷,包括:在所述载荷中设置当所述验证挑战发送至待认证的用户设备后,获取待认证的用户设备的硬件信息、操作系统和应用程序信息生成唯一标识符,根据唯一标识符、用户身份、登陆凭据和运行环境生成对应于所述用户身份及用户设备的待验证认证信物;根据所述待验证认证信物和所述验证挑战计算待验证响应。
所述认证单元比较所述待验证响应和所述验证响应是否一致,根据比较结果得出所述待认证的用户设备的认证结果,包括:当所述待验证响应和所述验证响应一致时,所述待认证的用户设备的身份认证通过;所述待验证响应和所述验证响应不一致时,所述待认证的用户设备的身份认证不通过并发出异常警告。
第三方面,本发明还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述基于挑战响应的对抗性用户设备认证方法。
第四方面,本发明还提供了一种电子设备,包括:处理器及存储器;所述存储器用于存储计算机程序;所述处理器用于执行所述存储器存储的计算机程序,以使所述电子设备执行上述基于挑战响应的对抗性用户设备认证方法。
关于上述第二方面至第四方面的有益效果可以参见上述第一方面的描述。
附图说明
图1为本发明实施例提供的一种基于挑战响应的对抗性用户设备认证方法的流程示意图;
图2为本发明实施例提供的应用基于挑战响应的对抗性用户设备认证方法的认证服务器中设置的对抗性防钓鱼身份认证系统示意图;
图3为本发明实施例提供的对抗性防钓鱼身份认证系统进行用户设备认证的运行流程示意图;
图4为本发明实施例提供的一种基于挑战响应的对抗性用户设备认证装置的示意图;
图5为本发明实施例提供的一种电子设备结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。除非另外定义,此处使用的技术术语或者科学术语应当为本发明所属领域内具有一般技能的人士所理解的通常意义。本文中使用的“包括”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同,而不排除其他元件或者物件。
本实施例提供了一种基于挑战响应的对抗性用户设备认证方法。参见说明书附图1,该方法包括:
S101:接收用户设备的注册请求和用户设备提交的注册信息,根据注册信息注册用户设备的认证凭据并将认证凭据反馈至用户设备。
一种可能的实施例中,基于挑战响应的对抗性用户设备认证方法配置与用于对用户设备进行认证的认证服务器中,认证服务器与用户设备通信连接。认证服务器接收用户设备的注册请求和用户设备提交的注册信息,根据注册信息注册用户设备的认证凭据并将认证凭据反馈至用户设备。
一种可能的实施例中,用户设备进行注册时,由用户设备向认证服务器发送注册请求并提交注册信息以注册认证凭据。用户设备提及的注册信息可以是用户设备的用户个人信息、用户的生物特征信息等。认证服务器接收用户设备的注册请求和用户设备提交的注册信息,对用户的注册信息进行审核确认,当审核确认注册信息无误后注册并保存得到的该用户设备的认证凭据。其中,对用户的注册信息进行审核确认的方式包括多因素认证、用户生物特征校验或管理员人工身份核对等,通过多种方式强化用户的注册信息审核确认安全性。
S102:根据用户设备的特征配置载荷,将载荷投递至用户设备。
在一种可能的实施例中,对于审核确认注册信息无误后注册的用户设备,认证服务器根据用户设备的特征配置载荷并将载荷投递至用户设备。
在一个具体的实施例中,根据用户设备的操作系统类型、内核版本、处理器架构等特征配置可在用户设备上安全运行的载荷,将配置完成的载荷投递至该用户设备上。
在一种可能的实施例中,根据用户设备的特征配置载荷,包括在载荷中设置:当载荷投递至用户设备后,获取用户设备的硬件信息、操作系统和应用程序信息生成唯一标识符;根据用户设备的唯一标识符、用户身份、登陆凭据和运行环境生成对应于用户身份及用户设备的安全信物,该安全信物即作为得到的认证信物。
在一种可能的实施例中,根据用户设备的特征配置载荷,包括在载荷中设置:当载荷投递至用户设备后,获取用户设备的硬件信息、操作系统和应用程序信息生成唯一标识符;根据用户设备的唯一标识符、用户身份、登陆凭据和运行环境生成对应于用户身份及用户设备的安全信物,将安全信物作为私钥并计算对应的公钥,将公钥作为生成的认证信物。
在一种可能的实施例中,根据用户设备的特征配置载荷,包括在载荷中设置当验证挑战发送至待认证的用户设备后,获取待认证的用户设备的硬件信息、操作系统和应用程序信息生成唯一标识符,根据用户设备的唯一标识符、用户身份、登陆凭据和运行环境生成对应于用户身份及用户设备的待验证认证信物;根据待验证认证信物和验证挑战计算待验证响应。
在一个具体的实施例中,基于挑战响应的对抗性用户设备认证方法通过对注册的用户设备生成唯一的安全信物,在对用户设备进行认证时二次计算用户设备的安全信物以进行挑战—响应认证,两次安全信物的生成都需要根据设定的时机获取用户设备侧的信息并进行计算。因此,在配置载荷时,对载荷的运行进行设定以使认证服务器能够通过载荷接收到安全信物。
示例性地,在载荷中设置:当载荷投递至用户设备后,载荷在用户设备上运行以根据用户设备的硬件信息(包括但不限于CPU型号及序列号、网卡MAC地址、主板序列号等)、操作系统和应用程序信息(包括但不限于操作系统安全补丁版本、操作系统版本、安装的应用程序列表、注册表项等)等为用户设备生成唯一标识符,使用设备唯一标识符、用户身份、登录凭据、运行环境(包括但不限于载荷的代码段、数据段、函数调用栈等)等信息生成一个对应于该用户身份及用户设备的安全信物,将该安全信物作为认证信物通过安全信道回传到认证服务器。
当对用户设备进行认证时,用户设备将收到来自认证服务器的验证挑战。在载荷中设置:当验证挑战发送至用户设备后,将触发运行于用户设备中的载荷执行以下流程:获取用户设备的硬件信息、操作系统和应用程序信息生成唯一标识符,根据用户设备的唯一标识符、用户身份、登陆凭据和运行环境生成对应于用户身份及用户设备的安全信物。此时生成的安全信物即作为对用户设备进行认证时计算得到的用户设备的待验证认证信物。根据待验证认证信物和验证挑战计算待验证响应,将待验证响应返回至认证服务器。
S103:接收载荷根据用户设备的设备信息生成的认证信物,将认证信物与用户设备的注册信息对应存储至信物库。
在一种可能的实施例中,基于对载荷的配置,认证服务器将能够接收到载荷返回的根据用户设备的设备信息生成的认证信物,将认证信物与用户设备的注册信息对应存储至信物库,以使认证服务器中记录有对应注册的用户设备以及注册时用户设备中的用户身份信息的认证信物。
S104:接收已注册的用户设备的身份认证请求,身份认证请求中包括认证凭据,校验认证凭据,当认证凭据有效时,向待认证的用户设备发起验证挑战。
在一种可能的实施例中,当已注册的用户设备出现认证需求时,认证服务器将接收到来自用户设备的身份认证请求,身份认证请求中附带的信息包括该用户注册时得到的认证凭据。认证服务器将基于其所保存的认证凭据对身份认证请求中附带的认证凭据进行校验。当校验结果为认证凭据有效时,该身份认证请求有效,该发出身份认证请求的用户设备为待认证的用户设备,认证服务器将向待认证的用户设备发起验证挑战。当校验结果为认证凭据无效时,则认为该身份认证请求无效,结束此次响应。
在一种可能的实施例中,认证凭据为标准的基于共享秘密(shared secret)的凭据,例如<密码,密码哈希>,<私钥,公钥>等。认证服务器将基于其所保存的认证凭据对身份认证请求中附带的认证凭据进行校验可以是:用户在注册阶段设置自己的密码,服务器将该密码对应的哈希存储在数据库中,当用户登录时,用户输入自己设置的密码,认证服务器将该密码哈希化后,与存储在数据库中的密码哈希进行比较,一致则通过校验。需要说明的是,本发明中所述的认证凭据不做限制,也可以使用验证码机制,进行校验时也是进行类似的一致性校验,使得在用户眼中,本发明的认证方式与常规认证无差别,具有高适配度,无需用户进行额外的操作。
示例性地,当校验结果为认证凭据有效时,认证服务器将向待认证的用户设备发起验证挑战为:向用户设备发送挑战C,挑战C为一个随机字符串。具体地,可按照不同的策略配置挑战C的生成方式。
一种可能的实施例中,挑战C可理解为一个具有熵的随机数,一般有以下几类生成方式:1.单纯的随机数生成:挑战C由高质量的随机数生成器生成,以确保每次挑战都是不可预测的——使用密码学安全的伪随机数生成器(CSPRNG)生成挑战。2.基于时间的随机数生成:挑战C是基于系统当前时间生成的一个唯一标识符,通常结合时间戳和随机数生成——在时间戳基础上加入一定的随机熵,以防止攻击者预测未来的挑战。3.基于计数器:挑战C是一个递增的计数器值,每次请求时计数器增加——每次认证请求时递增计数器,并确保计数器不重复使用,结合随机数和防重放机制,预防攻击者的破解。
S105:接收待认证的用户设备中的载荷生成的待验证响应,其中,待验证响应根据待验证的用户设备的设备信息和验证挑战生成。
一种可能的实施例中,基于对载荷的设置,当验证挑战发送至待认证的用户设备后,在待认证的用户设备中运行的载荷能够接收到待认证的用户设备收到验证挑战的信息,从而触发载荷根据待验证的用户设备的设备信息和验证挑战生成待验证响应。
示例性地,载荷生成待验证响应的过程包括:获取用户设备的硬件信息、操作系统和应用程序信息生成唯一标识符,根据用户设备的唯一标识符、用户身份、登陆凭据和运行环境生成对应于用户身份及用户设备的待验证认证信物,根据待验证认证信物和验证挑战计算待验证响应,将待验证响应返回至认证服务器。所生成的待验证响应是根据待认证的用户设备收到验证挑战时用户设备的配置信息以及当时登录在用户设备上的用户身份等用户设备上的设备信息和验证挑战生成的。
S106:获取信物库中对应待认证的用户设备的认证信物,根据认证信物和验证挑战生成验证响应。
一种可能的实施例中,信物库中对应待认证的用户设备的认证信物,是用户设备进行注册时,向用户设备投递载荷以使载荷根据当时用户设备的配置信息以及当时登录在用户设备上的用户身份等用户设备上的设备信息生成,然后返回至认证服务器以存储在信物库中的。根据从信物库中获取的对应该用户设备的认证信物和验证挑战生成的验证响应是根据用户设备进行注册时用户设备的配置信息以及当时登录在用户设备上的用户身份等用户设备上的设备信息和验证挑战生成的。
S107:比较待验证响应和验证响应是否一致,根据比较结果得出待认证的用户设备的认证结果。
在一种可能的实施例中,由于待验证响应和验证响应分别是基于认证服务器响应用户设备的认证请求和用户设备注册时用户设备的配置信息以及当时登录在用户设备上的用户身份等用户设备上的设备信息和验证挑战生成的,且根据S102中所述,其中所用到的用户设备上的设备信息包括用户设备的软硬件信息,如用户设备的硬件信息、操作系统和应用程序信息、用户身份、登录凭据、运行环境。因此,通过比较待验证响应和验证响应是否一致,能够分析用户设备在注册时和认证时的运行环境、用户身份信息、用户设备特征等诸多因素是否一致,从而得出待认证的用户设备的认证结果。
在一种可能的实施例中,比较待验证响应和所述验证响应是否一致,根据比较结果得出待认证的用户设备的认证结果,包括:当待验证响应和所述验证响应一致时,待认证的用户设备的身份认证通过;待验证响应和验证响应不一致时,待认证的用户设备的身份认证不通过并发出异常警告。
本发明提供的基于挑战响应的对抗性用户设备认证方法基于载荷投递的方式,根据用户设备的软硬件信息及运行环境生成安全信物,并将此安全信物作为后续身份认证阶段挑战—响应认证过程的加密密钥,且该方法将认证凭据与用户设备、身份、认证环境相绑定,具有防钓鱼属性。在用户注册和进行认证等多个阶段实时运行载荷计算安全信物,根据安全信物得到认证信物和待认证信物用于进行用户设备身份认证,安全信物的属性会确保注册和认证时用户设备运行环境的一致性,避免设备攻陷后攻击者冒充设备所有者发起认证而导致的对抗性攻击行为。
应用本发明的基于挑战响应的对抗性用户设备认证方法通过向注册的用户设备投递载荷,载荷在用户设备上运行以根据用户设备的软硬件信息和特征计算生成唯一的安全信物。根据安全信物得到认证信物,然后将认证信物作为密钥(包括但不限于对称加密密钥、非对称加密密钥)应用于挑战-响应身份认证过程,从而解决网络钓鱼威胁造成的登录凭据失窃问题。载荷根据用户设备特征、用户信息、登录凭据、运行环境等信息实时计算对应于某一用户身份及对应用户设备的安全信物。安全信物的计算考虑了诸多因素,由合法用户(设备所有者)发起的身份认证和攻击者冒充用户发起的身份认证会由于上述诸多因素的差异而导致不同,使得生成的安全信物也不同,基于安全信物得到认证信物和待认证信物,并根据认证信物、待认证信物和验证挑战确定用户设备的身份认证结果,能够解决攻击者已攻陷目标设备试图冒用此设备所有者实施横向移动的对抗性攻击行为。
在一种可能的实施例中,应用本发明提供的基于挑战响应的对抗性用户设备认证方法的认证服务器中设置对抗性防钓鱼身份认证系统。参见说明书附图2,对抗性防钓鱼身份认证系统包括:载荷投递模块、载荷、数据接收模块、信物库、身份认证接口和决策模块。
其中,载荷投递模块用于在用户设请求注册时根据用户设备的特征(包括但不限于操作系统类型、内核版本、处理器架构等)准备可在该用户设备安全运行的载荷,将该载荷投递到用户设备上(用户设注册时用户的真实身份由系统管理员保证,例如人工确认、使用生物特征认证等手段)。
载荷用于在用户设备上运行,以在用户设备请求注册时计算安全信物并据此确定认证信物回传至对抗性防钓鱼身份认证系统,此认证信物将作为后续挑战—响应认证过程的密钥(挑战—响应认证过程使用的密钥包括但不限于对称加密算法和非对称加密算法,认证信物作为加密密钥,使用对称加密算法时,载荷将安全信物作为认证信物直接回传到身份认证系统;使用非对称加密算法时,载荷将安全信物作为私钥,计算其对应的公钥,将公钥作为认证信物回传到身份认证系统)。载荷还用于在用户设备请求认证时计算安全信物作为待认证信物,并根据验证挑战和待认证信物计算对应的待验证响应,将待验证响应回传至对抗性防钓鱼身份认证系统。用户设备实时计算安全信物的过程包括:据用户设备的硬件信息、操作系统和应用程序信息等为用户设备生成唯一标识符,使用唯一标识符、用户身份、登录凭据、运行环境(包括但不限于载荷的代码段、数据段、函数调用栈等)等信息生成一个对应于此用户身份及用户设备的安全信物。
数据接收模块用于接收来自用户设备上运行的载荷发出的信息,包括用户设备进行注册时计算的用于挑战—响应认证过程的密钥,以及用户设备进行身份认证时载荷计算的待验证响应;将接收到的信息传递给决策模块。
信物库用于记录来自载荷的对应于用户身份及设备的、与安全信物相关联的加密密钥。
身份认证接口用于在用户设备请求注册时接收来自用户的注册请求;在用户设备请求进行身份认证时,接收来自用户设备的身份认证请求,并根据身份认证请求中的认证凭据初步判断用户身份,若认证凭据正确则此次身份认证请求有效,身份认证通知决策模块启动挑战—响应认证过程,否则拒止此次身份认证请求。
决策模块用于在用户设备进行注册时,根据来自数据接收模块的加密密钥和用户身份,将加密密钥及对应的身份保存在信物库中;在用户设备进行身份认证时,在身份认证接口判断用户的认证凭据正确后生成一个验证挑战发送至用户设备上的载荷,并根据信物库中对应该用户身份的加密密钥判断载荷返回的待验证响应的正确性;如果待验证响应正确,则输出认证通过,否则,输出异常并告警。
在一个具体的实施例中,应用本发明的基于挑战响应的对抗性用户设备认证方法设置对抗性防钓鱼身份认证系统进行用户设备认证的运行流程如图3所示,本实施例中认证系统使用对称加密算法的挑战—响应认证。具体的,运行流程可分为预配置阶段和身份认证阶段。
示例性地,预配置阶段为用户注册阶段,认证系统完成用户身份的注册以及安全信物的保存,包括:1.用户注册:用户向认证系统进行注册,用户提交个人信息并向身份认证接口注册登录凭据,身份认证接口可配置多因素认证、用户生物特征校验或管理员人工身份核对等多种方式强化认证的安全性;身份认证接口确认注册信息无误后,保存登录凭据并通知决策模块。2.载荷投递:认证系统的载荷投递模块准备适当的载荷并向用户设备投递。3.信物计算:载荷获取用户设备的硬件信息(包括但不限于CPU型号及序列号、网卡MAC地址、主板序列号等)、操作系统和应用程序信息(包括但不限于操作系统安全补丁版本、操作系统版本、安装的应用程序列表、注册表项等)等为设备生成唯一标识符,使用设备唯一标识符、用户身份、登录凭据、运行环境(包括但不限于载荷运行时代码段、数据段、函数调用栈的部分信息等)生成一个对应于此用户身份、用户设备及运行环境的唯一安全信物K1;由于此认证过程使用的为对称加密算法,因此将安全信物K1作为加密密钥直接返回至认证系统。4.保存信物:认证系统在接收到安全信物K1后,根据注册用户信息将K1与用户身份对应保存到信物库中;至此完成用户注册过程。
在完成预配置阶段的用户注册工作后,认证系统已获得该用户身份对应的用于认证的加密密钥,可对该用户提供身份认证服务。身份认证阶段的交互如下:1.用户请求认证:用户使用其注册过的用户设备向认证系统发起身份认证请求,该请求中附带有该用户在注册时使用的认证凭据。2.发起挑战:身份认证接口校验该用户认证凭据,如果有效,则通知决策模块;否则,认为此次请求无效;决策模块在收到身份认证接口通知后,向发起请求的用户发送挑战C(挑战C为一个随机字符串,可按照不同的策略配置挑战C的生成方式)。3.实时计算信物K2:在收到挑战C后,载荷根据预配置阶段的步骤3的方法再次计算认证信物K2,作为挑战—响应认证过程的加密密钥。4.计算并返回响应:载荷根据加密密钥K2与挑战C计算响应R1,并将R1返回给认证系统。5.认证系统计算响应:认证系统的决策模块根据请求认证用户身份在信物库中查询其对应的预配置加密密钥K1,使用K1与挑战C计算响应R2。6.校验响应:认证系统的决策模块校验R1与R2是否一致,若一致,则此次认证通过,返回认证成功;否则,发出异常告警。
参见说明书附图4,本实施例还提供了一种基于挑战响应的对抗性用户设备认证装置,该装置用于实现上述方法实施例。该装置包括:
注册单元201,用于接收用户设备的注册请求和用户设备提交的注册信息,根据注册信息注册用户设备的认证凭据并将认证凭据反馈至所述用户设备。
载荷投递单元202,用于根据用户设备的特征配置载荷,将载荷投递至用户设备。
信物存储单元203,用于接收载荷根据用户设备的设备信息生成的认证信物,将认证信物与用户设备的注册信息对应存储至信物库。
凭据校验单元204,用于接收已注册的用户设备的身份认证请求,身份认证请求中包括认证凭据,校验认证凭据,当认证凭据有效时,向待认证的用户设备发起验证挑战。
响应接收单元205,用于接收待认证的用户设备中的载荷生成的待验证响应,其中,待验证响应根据待验证的用户设备的设备信息和验证挑战生成。
验证响应生成单元206,用于获取信物库中对应待认证的用户设备的认证信物,根据认证信物和验证挑战生成验证响应。
认证单元207,用于比较待验证响应和验证响应是否一致,根据比较结果得出待认证的用户设备的认证结果。
其中,载荷投递单元202根据用户设备的特征配置载荷,包括:在载荷中设置当载荷投递至用户设备后,获取用户设备的硬件信息、操作系统和应用程序信息生成唯一标识符;根据用户设备的唯一标识符、用户身份、登陆凭据和运行环境生成对应于用户身份及用户设备的认证信物。
载荷投递单元202根据用户设备的特征配置载荷,包括:在载荷中设置当验证挑战发送至待认证的用户设备后,获取待认证的用户设备的硬件信息、操作系统和应用程序信息生成唯一标识符,根据唯一标识符、用户身份、登陆凭据和运行环境生成对应于所述用户身份及用户设备的待验证认证信物;根据待验证认证信物和验证挑战计算待验证响应。
认证单元207比较待验证响应和所述验证响应是否一致,根据比较结果得出待认证的用户设备的认证结果,包括:当待验证响应和验证响应一致时,待认证的用户设备的身份认证通过;待验证响应和所述验证响应不一致时,待认证的用户设备的身份认证不通过并发出异常警告。
上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述,在此不再赘述。
在本申请的另一些实施例中,本申请实施例公开了一种电子设备,如图5所示,该电子设备300可以包括:一个或多个处理器301;存储器302;显示器303;一个或多个应用程序(未示出);以及一个或多个计算机程序304,上述各器件可以通过一个或多个通信总线305连接。其中该一个或多个计算机程序304被存储在上述存储器中并被配置为被该一个或多个处理器301执行,该一个或多个计算机程序304包括指令,上述指令可以用于执行如图1、图4及相应实施例中的各个步骤。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请实施例各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:快闪存储器、移动硬盘、只读存储器、随机存取存储器、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请实施例的具体实施方式,但本申请实施例的保护范围并不局限于此,任何在本申请实施例揭露的技术范围内的变化或替换,都应涵盖在本申请实施例的保护范围之内。因此,本申请实施例的保护范围应以所述权利要求的保护范围为准。

Claims (10)

1.一种基于挑战响应的对抗性用户设备认证方法,其特征在于,包括:
接收用户设备的注册请求和用户设备提交的注册信息,根据所述注册信息注册所述用户设备的认证凭据并将所述认证凭据反馈至所述用户设备;
根据所述用户设备的特征配置载荷,将所述载荷投递至所述用户设备;
接收所述载荷根据所述用户设备的设备信息生成的认证信物,将所述认证信物与所述用户设备的注册信息对应存储至信物库;
接收已注册的用户设备的身份认证请求,所述身份认证请求中包括所述认证凭据,校验所述认证凭据,当所述认证凭据有效时,向待认证的用户设备发起验证挑战;
接收所述待认证的用户设备中的载荷生成的待验证响应,其中,所述待验证响应根据所述待验证的用户设备的设备信息和所述验证挑战生成;
获取所述信物库中对应所述待认证的用户设备的认证信物,根据所述认证信物和所述验证挑战生成验证响应;
比较所述待验证响应和所述验证响应是否一致,根据比较结果得出所述待认证的用户设备的认证结果。
2.根据权利要求1所述的方法,其特征在于,根据所述用户设备的特征配置载荷,包括:
在所述载荷中设置当所述载荷投递至用户设备后,获取用户设备的硬件信息、操作系统和应用程序信息生成唯一标识符;
根据所述用户设备的唯一标识符、用户身份、登陆凭据和运行环境生成对应于所述用户身份及用户设备的认证信物。
3.根据权利要求1所述的方法,其特征在于,根据所述用户设备的特征配置载荷,包括:
在所述载荷中设置当所述验证挑战发送至待认证的用户设备后,获取待认证的用户设备的硬件信息、操作系统和应用程序信息生成唯一标识符,根据唯一标识符、用户身份、登陆凭据和运行环境生成对应于所述用户身份及用户设备的待验证认证信物;
根据所述待验证认证信物和所述验证挑战计算待验证响应。
4.根据权利要求1所述的方法,其特征在于,比较所述待验证响应和所述验证响应是否一致,根据比较结果得出所述待认证的用户设备的认证结果,包括:
当所述待验证响应和所述验证响应一致时,所述待认证的用户设备的身份认证通过;
所述待验证响应和所述验证响应不一致时,所述待认证的用户设备的身份认证不通过并发出异常警告。
5.一种基于挑战响应的对抗性用户设备认证装置,其特征在于,所述装置包括:
注册单元,用于接收用户设备的注册请求和用户设备提交的注册信息,根据所述注册信息注册所述用户设备的认证凭据并将所述认证凭据反馈至所述用户设备;
载荷投递单元,用于根据所述用户设备的特征配置载荷,将所述载荷投递至所述用户设备;
信物存储单元,用于接收所述载荷根据所述用户设备的设备信息生成的认证信物,将所述认证信物与所述用户设备的注册信息对应存储至信物库;
凭据校验单元,用于接收已注册的用户设备的身份认证请求,所述身份认证请求中包括所述认证凭据,校验所述认证凭据,当所述认证凭据有效时,向待认证的用户设备发起验证挑战;
响应接收单元,用于接收所述待认证的用户设备中的载荷生成的待验证响应,其中,所述待验证响应根据所述待验证的用户设备的设备信息和所述验证挑战生成;
验证响应生成单元,用于获取所述信物库中对应所述待认证的用户设备的认证信物,根据所述认证信物和所述验证挑战生成验证响应;
认证单元,用于比较所述待验证响应和所述验证响应是否一致,根据比较结果得出所述待认证的用户设备的认证结果。
6.根据权利要求5所述的装置,其特征在于,所述载荷投递单元根据所述用户设备的特征配置载荷,包括:
在所述载荷中设置当所述载荷投递至用户设备后,获取用户设备的硬件信息、操作系统和应用程序信息生成唯一标识符;
根据所述用户设备的唯一标识符、用户身份、登陆凭据和运行环境生成对应于所述用户身份及用户设备的认证信物。
7.根据权利要求5所述的装置,其特征在于,所述载荷投递单元根据所述用户设备的特征配置载荷,包括:
在所述载荷中设置当所述验证挑战发送至待认证的用户设备后,获取待认证的用户设备的硬件信息、操作系统和应用程序信息生成唯一标识符,根据唯一标识符、用户身份、登陆凭据和运行环境生成对应于所述用户身份及用户设备的待验证认证信物;
根据所述待验证认证信物和所述验证挑战计算待验证响应。
8.根据权利要求5所述的装置,其特征在于,所述认证单元比较所述待验证响应和所述验证响应是否一致,根据比较结果得出所述待认证的用户设备的认证结果,包括:
当所述待验证响应和所述验证响应一致时,所述待认证的用户设备的身份认证通过;
所述待验证响应和所述验证响应不一致时,所述待认证的用户设备的身份认证不通过并发出异常警告。
9.一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至4中任一项所述的基于挑战响应的对抗性用户设备认证方法。
10.一种电子设备,其特征在于,包括:处理器及存储器;
所述存储器用于存储计算机程序;
所述处理器用于执行所述存储器存储的计算机程序,以使所述电子设备执行权利要求1至4中任一项所述的基于挑战响应的对抗性用户设备认证方法。
CN202411182692.6A 2024-08-27 2024-08-27 一种基于挑战响应的对抗性用户设备认证方法 Active CN119135353B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202411182692.6A CN119135353B (zh) 2024-08-27 2024-08-27 一种基于挑战响应的对抗性用户设备认证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202411182692.6A CN119135353B (zh) 2024-08-27 2024-08-27 一种基于挑战响应的对抗性用户设备认证方法

Publications (2)

Publication Number Publication Date
CN119135353A CN119135353A (zh) 2024-12-13
CN119135353B true CN119135353B (zh) 2025-09-23

Family

ID=93759601

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202411182692.6A Active CN119135353B (zh) 2024-08-27 2024-08-27 一种基于挑战响应的对抗性用户设备认证方法

Country Status (1)

Country Link
CN (1) CN119135353B (zh)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016105591A1 (en) * 2014-12-22 2016-06-30 University Of South Florida Systems and methods for authentication using multiple devices
CN112039848B (zh) * 2020-08-05 2022-11-04 北京链飞未来科技有限公司 一种基于区块链公钥数字签名的Web认证方法、系统和装置
CN114679293A (zh) * 2021-06-15 2022-06-28 腾讯云计算(北京)有限责任公司 基于零信任安全的访问控制方法、设备及存储介质
CN114915970B (zh) * 2022-04-02 2023-09-08 北京航空航天大学 基于puf的轻量级智能表批量认证方法及网关

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Context-Aware Phishing-Resistant Authentication for Federated Identity in Internet of Things Platforms;Jiageng Yang等;IEEE Internet of the Things Journal;20241211;全文 *

Also Published As

Publication number Publication date
CN119135353A (zh) 2024-12-13

Similar Documents

Publication Publication Date Title
US10484185B2 (en) Method and system for distributing attestation key and certificate in trusted computing
CN110061842B (zh) 带外远程认证
US8584224B1 (en) Ticket based strong authentication with web service
US20190281028A1 (en) System and method for decentralized authentication using a distributed transaction-based state machine
EP1914658B1 (en) Identity controlled data center
US20140189807A1 (en) Methods, systems and apparatus to facilitate client-based authentication
US20160149893A1 (en) Strong authentication method
WO2018112482A1 (en) Method and system for distributing attestation key and certificate in trusted computing
CN114301617A (zh) 多云应用网关的身份认证方法、装置、计算机设备及介质
WO2006049520A1 (en) Systems and methods of user authentication
Cheng et al. Per-user network access control kernel module with secure multifactor authentication
Song et al. Trustcube: An infrastructure that builds trust in client
US11177958B2 (en) Protection of authentication tokens
Pippal et al. Enhanced time-bound ticket-based mutual authentication scheme for cloud computing
CN119135353B (zh) 一种基于挑战响应的对抗性用户设备认证方法
CN114444060B (zh) 一种权限校验方法、装置、系统及存储介质
CN116996305A (zh) 一种多层次安全认证方法、系统、设备、存储介质及入口网关
CN115277240A (zh) 一种物联网设备的认证方法及装置
Baghdasaryan et al. FIDO Security Reference
CN114500074A (zh) 单点系统安全访问方法、装置及相关设备
CN114024682A (zh) 跨域单点登录方法、服务设备及认证设备
CN113987461B (zh) 身份认证方法、装置和电子设备
Sheng et al. An online user authentication scheme for web-based services
CN103999401B (zh) 用于促进基于客户端的认证的方法、系统和装置
WO2023237197A1 (en) Attested one-time on-device secure api authorization

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant