[发明专利]一种身份验证方法及装置

说明书

本发明实施例提供了一种身份验证方法及装置，涉及网络安全领域。客户端获取用户的人脸图像并将该人脸图像上传至服务端，服务端接收人脸图像并向客户端发送图像集，该图像集包括与人脸图像关联的预设图像，客户端显示预设图像并获取用户对预设图像进行响应的眼动数据，客户端将获取的眼动数据上传至服务端，服务端将眼动数据与预设的眼动数据进行比对，当获取的眼动数据满足预设规则时，通过身份验证。上述方法通过双向身份验证的方式，可解决现有身份认证系统的单向核对验证方式存在的缺陷，通过验证图像集内是否含有预设图像来判断即将访问的服务器是否为虚假服务器，从而避免被虚假服务器骗取个人信息，且密码暗藏在图像中不易被偷窥。

技术领域

本发明涉及网络安全领域，具体而言，涉及一种身份验证方法及装置。

背景技术

目前，常用的身份认证系统采用单向核对式进行认证，系统为每一个用户建立一个配对的用户名和密码。当用户登录系统时，提示用户输入自己的用户名和密码，系统通过核对用户输入的用户名、密码与系统内用户的用户名及密码是否匹配来进行身份验证。

然而，这种认证方式存在天然的安全缺陷。首先，身份认证的安全性仅基于用户密码的保密性，而用户密码一般较短且容易猜测，因此这种方案不能有效抵御密码猜测攻击；此外，攻击者可能窃听通信信道或进行网络窥探，密码的明文传输使得攻击者只要在密码传输过程中获得用户密码，认证系统就会被攻破。在网络环境下，明文传输的缺陷使得这种身份认证方案变得极不安全。解决办法是将密码加密传输，这可以在一定程度上弥补上面提到的第二种缺陷，但攻击者仍可以采用离线方式对密文实施字典攻击。然而，最大缺陷是目前大多数用户网站采用单向认证方式，只有服务端比对用户，用户无从验证是否是真实的服务端。因此，在进行身份认证时一旦遭遇虚假服务端钓鱼这时无论密码设置的多么复杂，用户的身份信息都会轻易地被不法分子获取，从而对广大用户造成了极大损失。

发明内容

针对上述现有技术的不足，本发明提供了一种身份验证方法及装置，以解决现有身份认证系统的单向核对式验证方式存在的缺陷，用户通过验证图像集内是否含有预设图像来判断即将访问的服务器是否为虚假服务器，从而避免被虚假服务器骗取个人信息，通过用户对图像的眼动数据进行验证，不需要用户与设备直接接触，密码暗藏在图像中不易被偷窥，从而杜绝密码泄漏。

为达到上述的目的，本发明采用的技术方案如下所述：

一种身份验证方法，应用于相互通信的服务端和客户端，所述方法包括：

客户端获取用户的人脸图像；

客户端将所述人脸图像上传至所述服务端；

服务端接收所述人脸图像，向所述客户端发送图像集，所述图像集包括与所述人脸图像关联的预设图像；

客户端显示所述预设图像；

客户端获取用户对所述预设图像进行响应的眼动数据；

客户端将所述眼动数据上传至服务端；

服务端将所述眼动数据与预设的眼动数据进行对比，当所述眼动数据满足预设规则时，通过身份验证。

优选的，还包括步骤：

客户端获取用户的人脸图像；

客户端获取用户选取的与所述人脸图像所关联的预设图像；

客户端获取用户对所述预设图像进行响应的眼动数据；

客户端将所述用户的人脸图像、与所述人脸图像关联的预设图像以及用户对所述预设图像进行响应的眼动数据上传至服务端；

服务端接收并存储所述用户的人脸图像、与所述人脸图像关联的预设图像以及用户对所述预设图像进行响应的眼动数据。

优选的，还包括步骤：