[发明专利]一种基于环境相似的零交互双因素认证系统及方法

权利要求书

1.一种基于环境相似的零交互双因素认证系统，其特征在于：包括个人计算机、智能手机和服务器；

所述个人计算机用于同服务建立TLS链接，提交帐户名和口令，与所述服务器保持时间同步，采集并提交用户周围的环境信息；其中环境信息包括声音、光照、Wifi信号的一种或几种；

所述智能手机用于同服务建立TLS链接，提交手机产生的公钥，与所述服务器保持时间同步，采集用户周围的环境信息，对环境信息进行签名以及提交环境信息与签名信息；其中环境信息包括声音、光照、Wifi信号的一种或几种；

所述服务器用于保存用户的用户名，口令以及公钥，验证用户的帐户名和口令的合法性，向智能手机和个人计算机发起时间同步和环境信息采集请求，验证智能手机签名信息的合法性，比较智能手机和个人计算机所提交环境信息的相似程度，给出用户合是否合法的判断结果，返回给个人计算机。

2.一种基于环境相似的零交互双因素认证方法，其特征在于：包括注册过程、认证过程和重认证过程；

所述注册过程是用户在登录系统前进行帐户注册，具体包括以下步骤：

步骤A1：用户通过个人计算机中的浏览器登录要访问的网站，并在网站中的注册页面填写个人的注册信息，并提交，其中个人注册信息包括用户的帐户名、口令及其他信息；

步骤A2：服务器端在收到用户传来的注册信息后对其进行验证，如果用户信息填写正确，则保存并返回注册成功信息，否则返回注册失败信息；

步骤A3 ：用户通过智能手机应用程序中的进入添加帐户页面，输入帐户名和口令，并提交；

步骤A4：服务器验证通过后，返回用户确认信息，否则返回登录失败信息；

步骤A5 ：智能手机应用程序如果收到服务器发来的确认信息，则会生成公、私钥对PKa和SKa，其中公钥PKa会提交给服务器，私钥SKa会连同用户的帐户名一起保存在手机中；如果收到登录失败信息，则进行重新登录；

步骤A6 ：服务器在收到智能手机传来的公钥PKa后，会将其添加到保存用户的个人信息的文件中；

所述认证过程用于用户登录已注册的网站，具体过程包括以下步骤：

步骤B1 ：用户将智能手机和网络进行链接，并开启智能手机应用程序与服务器建立链接；

步骤B2 ：用户通过个人计算机中的浏览器中登录要访问的网站，并在登录页面中输入帐户名、口令以及验证码后提交；

步骤B3 ：服务器验证通过用户提交的帐户名和口令后，分别向个人计算机浏览器和智能手机发起时间同步请求；否则要求用户进行重新登录；

步骤Ｂ4 ：个人计算机中的浏览器和智能手机应用程序在收到消息后，采用NTP协议与服务器保持时间同步，并通知服务器；

步骤Ｂ5 ：服务器在确认个人计算机和智能手机与完成时间同步后，会将采集环境信息的请求发送给个人计算机中的浏览器和智能手机应用程序；所述环境信息包括声音、光照、wifi信号的一种或几种；

步骤Ｂ6 ：个人计算机中的浏览器在收到消息后，在规定的时间段对环境信息进行采集，并将采集到的环境信息提交给服务器；

步骤Ｂ7 ：智能手机应用程序在收到消息后，同样按照规定的时间段采集环境信息；但在采集结束后，会用智能手机中保存的私钥对环境信息进行签名，最终将签名信息和环境信息一起提交给服务器；

步骤Ｂ8 ：服务器在收到个人计算机中的浏览器和智能手机应用程序发来的消息后，对用户的身份进行判断，并向个人计算机中的浏览器返回判断结果；

具体实现过程包括以下子步骤：

步骤Ｂ8.1：利用用户的公钥解密签名信息，并验证智能手机的签名的真实性；如果签名为真，则执行步骤Ｂ8.2，否则通知用户重新登录，并采用基于短消息验证码的双因素认证方式对用户进行认证；

步骤Ｂ8.2 ：比较个人计算机中的浏览器提交的环境信息和智能手机提交环境信息的相似度，如果在规定的阈值之内，允许用户进行登录，否则通知用户重新登录，并采用基于短消息验证码的双因素认证方式对用户进行认证；

所述重认证过程在用户成功登录系统以后，每隔固定时间执行一次；具体包括以下步骤：

C1 ：服务器将采集环境信息的请求发送给个人计算机中的浏览器和智能手机应用程序；

C2 ：个人计算机中的浏览器在收到消息后，在规定的时间段对环境信息进行采集，并将采集到的环境信息提交给服务器；

C3 ：智能手机应用程序在收到消息后，同样按照规定的时间段采集环境信息；但在采集结束后，用手机中保存的私钥对环境信息进行签名，最终将签名信息和环境信息同时提交给服务器；

Ｃ4：服务器在收到个人计算机中的浏览器和智能手机应用程序发来的消息后，对用户的身份进行判断，并向个人计算机中的浏览器返回判断结果。