[发明专利]一种身份认证方法及系统

说明书

技术领域

本发明涉及网络安全技术领域，具体来说，涉及一种身份认证方法及系统。

背景技术

身份认证是保证系统安全稳定运行不可缺少和至关重要的一步。用户在访问应用系统时，应该首先通过某种身份验证机制来验证用户的身份与所宣称的是否一致，即网络系统中的虚拟身份是否与现实世界的实体身份相符合。目前常用的身份认证通常是采用现有静态口令认证或动态口令认证或生物特征认证(主要有指纹、虹膜、人脸和语音等)进行单一认证的，而这种单一的认证存在严重的安全隐患，很容易被非法人员模仿或者篡改，进而无法起到真正意义上的安全认证。

此外，现有技术中也存在综合的身份认证方法，例如，中国专利号为201310123555.0、专利名称为基于动态密码语音的身份确认系统及方法的专利以及中国专利号200910078848.5、专利名称为远程语音身份认证系统及方法的专利就是这样的综合身份认证方法。

其中，专利号为201310123555.0、专利名称为基于动态密码语音的身份确认系统及方法的专利的主要方案是：用户发出登录请求后，服务器向用户发送动态口令文本数据，并在后台生成该用户的动态口令语音数据。用户念出动态口令后将语音数据发送到服务器，服务器再根据两个语音数据是否一致来判别是否是合法用户。这种方案虽然实现了双认证，但是，其严格来说，并不属于动态密码语言身份认证技术，因为用户端没有口令令牌，即用户端与服务器端没有使用共享密钥来进行密码学处理。这中方案的好处只是每一次用户发出的语音信息是不同的，防止了口令重放攻击，而无法避免非法人员的截取，在实际应用时，当非法人员截获了某用户一定数量的语音信息，通过语音合成技术就可以冒充合法用户的身份，因为需要朗读的动态口令是从服务器端传送过来的，非法人员能够直接得到。

而专利号200910078848.5、专利名称为远程语音身份认证系统及方法的专利其主要方案是：用户发出登录请求后，服务器向用户发送随机数，用户念出随机数后将语音信息发送到服务器。服务器分别进行语音识别和声纹识别。只有从语音中提出的随机数与服务器的相同，且语音声纹特征也相符才是合法用户。该方案与盘问/应答的动态口令技术很相似，但还是因为没有使用共享密钥来进行密码学处理，所以上述的攻击方法还是难以防止。

针对相关技术中的上述技术问题，目前尚未提出有效的解决方案。

发明内容

针对相关技术中的上述技术问题，本发明提出一种身份认证方法及系统，能够有效的提高身份认证时的安全性，做到真正意义上的安全认证。

本发明的技术方案是这样实现的：

根据本发明的一个方面，提供了一种身份认证方法。

该身份认证方法包括：

用户根据预先配置的动态口令令牌，获取动态口令信息；并根据所述动态口令信息，生成与所述动态口令信息相对应的语音口令信息；

用户将所述语音口令信息输入至认证服务器，促使所述认证服务器对所述语音口令信息进行分析，确定所述语音口令信息中所包含的动态口令信息和声纹信息，并对该动态口令信息和声纹信息进行验证；

在所述语音口令信息中所包含的动态口令信息和声纹信息均通过验证的情况下，所述认证服务器判定所述用户为合法用户。

此外，所述身份认证方法还包括：在所述语音口令信息中所包含的动态口令信息和/或声纹信息不通过验证的情况下，所述认证服务器判定所述用户为非法用户。

其中，在所述认证服务器对所述动态口令信息进行验证时，所述认证服务器可根据预先存储的所述动态口令令牌的令牌序列号和种子密钥，对所述动态口令信息进行验证。

其中，在所述认证服务器对所述声纹信息进行验证时，所述认证服务器可根据预先配置的声纹参考信息，对所述声纹信息进行验证；其中，所述声纹参考信息包括所述用户的声纹特征信息。

可选的，所述动态口令令牌包括基于时间同步的动态口令令牌、或基于事件同步的动态口令令牌。

根据本发明的另一方面，提供了一种身份认证系统。

该身份认证系统包括：

用户端，用于根据用户输入的动态口令信息，生成与所述动态口令信息相对应的语音口令信息，其中，所述动态口令信息根据预先配置的动态口令令牌获得；

认证服务器，用于接收所述用户端发送的语音口令信息，并对所述语音口令信息进行分析，确定所述语音口令信息中所包含的动态口令信息和声纹信息，并对该动态口令信息和声纹信息进行验证；

其中，在所述语音口令信息中所包含的动态口令信息和声纹信息均通过验证的情况下，所述认证服务器判定所述用户为合法用户。