本发明涉及网络空间安全,尤其涉及一种基于挑战响应的对抗性用户设备认证方法。
背景技术:
1、网络钓鱼威胁是攻击者最常使用的获取受害者设备/系统初始访问权的攻击技术之一,攻击者通过伪造的登录页面或者冒用受信任实体发送的电子邮件,来欺骗受害者输入登录凭据或安装远控木马等恶意软件,最终获得受害者设备/系统的初始访问权。使用例如短信/邮箱验证码、一次性密码器等多因素认证机制能在一定程度上缓解网络钓鱼威胁,但攻击者依然可以利用实时钓鱼(实时中间人攻击)获取到验证码,从而突破多因素认证。
2、现有的防钓鱼威胁的身份认证技术需依赖专用安全硬件,用户需将该专用硬件加载到用户设备上,该硬件设备中具有可信计算基,位于可信计算基中的认证客户端发起身份认证请求,认证服务方对用户侧的专有硬件进行识别,进而判断发出认证请求的是合法用户而非攻击者。
3、而现有的防钓鱼身份认证技术所依赖的专用安全硬件使用成本高,因此专用安全硬件通常被设置为永久有效,或较长的有效期。如果用于身份认证的专用安全硬件丢失,身份认证系统会面临专有硬件的可信计算基中私钥丢失的风险,而造成认证系统服务侧可信计算基失效的风险。在防钓鱼专用安全硬件加载到用户设备后,如果该设备存在未知漏洞/后门,攻击者可能利用该漏洞/后门冒充设备所有者调用安全硬件来发起身份认证。针对这类攻击者已攻陷目标用户设备,试图借助此设备收集用户凭据并实施更大规模的横向移动的攻击企图,现有的防钓鱼身份认证技术无法解决这类对抗性攻击行为。
4、因此,有必要提供一种能够防止攻击者窃取用户登录凭据的网络钓鱼威胁,阻断攻击者冒用设备所有者实施的对抗性攻击行为的用户设备认证方法。
技术实现思路
1、本发明的目的在于提供一种基于挑战响应的对抗性用户设备认证方法,用以防止攻击者窃取用户登录凭据的网络钓鱼威胁,阻断攻击者冒用设备所有者实施的对抗性攻击行为。
2、第一方面,本发明提供的基于挑战响应的对抗性用户设备认证方法包括:接收用户设备的注册请求和用户设备提交的注册信息,根据所述注册信息注册所述用户设备的认证凭据并将所述认证凭据反馈至所述用户设备;根据所述用户设备的特征配置载荷,将所述载荷投递至所述用户设备;接收所述载荷根据所述用户设备的设备信息生成的认证信物,将所述认证信物与所述用户设备的注册信息对应存储至信物库;接收已注册的用户设备的身份认证请求,所述身份认证请求中包括所述认证凭据,校验所述认证凭据,当所述认证凭据有效时,向待认证的用户设备发起验证挑战;接收所述待认证的用户设备中的载荷生成的待验证响应,其中,所述待验证响应根据所述待验证的用户设备的设备信息和所述验证挑战生成;获取所述信物库中对应所述待认证的用户设备的认证信物,根据所述认证信物和所述验证挑战生成验证响应;比较所述待验证响应和所述验证响应是否一致,根据比较结果得出所述待认证的用户设备的认证结果。
3、本发明提供的基于挑战响应的对抗性用户设备认证方法的有益效果在于:基于载荷投递的方式,根据用户设备的软硬件信息及运行环境生成用于进行用户设备身份认证的信物,在用户设备注册和进行认证等多个阶段实时运行载荷计算得到的分别为认证信物和待认证信物,通过认证信物和待认证信物进行用户设备身份认证,认证信物和待认证的属性能够校验注册和认证时用户设备运行环境的一致性,避免设备攻陷后攻击者冒充设备所有者发起认证而导致的对抗性攻击行为。
4、一种可能的实施例中,根据所述用户设备的特征配置载荷,包括:在所述载荷中设置当所述载荷投递至用户设备后,获取用户设备的硬件信息、操作系统和应用程序信息生成唯一标识符;根据所述用户设备的唯一标识符、用户身份、登陆凭据和运行环境生成对应于所述用户身份及用户设备的认证信物。
5、另一种可能的实施例中,根据所述用户设备的特征配置载荷,包括:在所述载荷中设置当所述验证挑战发送至待认证的用户设备后,获取待认证的用户设备的硬件信息、操作系统和应用程序信息生成唯一标识符,根据唯一标识符、用户身份、登陆凭据和运行环境生成对应于所述用户身份及用户设备的待验证认证信物;根据所述待验证认证信物和所述验证挑战计算待验证响应。
6、其它可能的实施例中,比较所述待验证响应和所述验证响应是否一致,根据比较结果得出所述待认证的用户设备的认证结果,包括:当所述待验证响应和所述验证响应一致时,所述待认证的用户设备的身份认证通过;所述待验证响应和所述验证响应不一致时,所述待认证的用户设备的身份认证不通过并发出异常警告。
7、第二方面,本发明还提供了一种基于挑战响应的对抗性用户设备认证装置,包括:
8、注册单元,用于接收用户设备的注册请求和用户设备提交的注册信息,根据所述注册信息注册所述用户设备的认证凭据并将所述认证凭据反馈至所述用户设备;载荷投递单元,用于根据所述用户设备的特征配置载荷,将所述载荷投递至所述用户设备;信物存储单元,用于接收所述载荷根据所述用户设备的设备信息生成的认证信物,将所述认证信物与所述用户设备的注册信息对应存储至信物库;凭据校验单元,用于接收已注册的用户设备的身份认证请求,所述身份认证请求中包括所述认证凭据,校验所述认证凭据,当所述认证凭据有效时,向待认证的用户设备发起验证挑战;响应接收单元,用于接收所述待认证的用户设备中的载荷生成的待验证响应,其中,所述待验证响应根据所述待验证的用户设备的设备信息和所述验证挑战生成;验证响应生成单元,用于获取所述信物库中对应所述待认证的用户设备的认证信物,根据所述认证信物和所述验证挑战生成验证响应;认证单元,用于比较所述待验证响应和所述验证响应是否一致,根据比较结果得出所述待认证的用户设备的认证结果。
9、其中,所述载荷投递单元根据所述用户设备的特征配置载荷,包括:在所述载荷中设置当所述载荷投递至用户设备后,获取用户设备的硬件信息、操作系统和应用程序信息生成唯一标识符;根据所述用户设备的唯一标识符、用户身份、登陆凭据和运行环境生成对应于所述用户身份及用户设备的认证信物。
10、所述载荷投递单元根据所述用户设备的特征配置载荷,包括:在所述载荷中设置当所述验证挑战发送至待认证的用户设备后,获取待认证的用户设备的硬件信息、操作系统和应用程序信息生成唯一标识符,根据唯一标识符、用户身份、登陆凭据和运行环境生成对应于所述用户身份及用户设备的待验证认证信物;根据所述待验证认证信物和所述验证挑战计算待验证响应。
11、所述认证单元比较所述待验证响应和所述验证响应是否一致,根据比较结果得出所述待认证的用户设备的认证结果,包括:当所述待验证响应和所述验证响应一致时,所述待认证的用户设备的身份认证通过;所述待验证响应和所述验证响应不一致时,所述待认证的用户设备的身份认证不通过并发出异常警告。
12、第三方面,本发明还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述基于挑战响应的对抗性用户设备认证方法。
13、第四方面,本发明还提供了一种电子设备,包括:处理器及存储器;所述存储器用于存储计算机程序;所述处理器用于执行所述存储器存储的计算机程序,以使所述电子设备执行上述基于挑战响应的对抗性用户设备认证方法。
14、关于上述第二方面至第四方面的有益效果可以参见上述第一方面的描述。
1.一种基于挑战响应的对抗性用户设备认证方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,根据所述用户设备的特征配置载荷,包括:
3.根据权利要求1所述的方法,其特征在于,根据所述用户设备的特征配置载荷,包括:
4.根据权利要求1所述的方法,其特征在于,比较所述待验证响应和所述验证响应是否一致,根据比较结果得出所述待认证的用户设备的认证结果,包括:
5.一种基于挑战响应的对抗性用户设备认证装置,其特征在于,所述装置包括:
6.根据权利要求5所述的装置,其特征在于,所述载荷投递单元根据所述用户设备的特征配置载荷,包括:
7.根据权利要求5所述的装置,其特征在于,所述载荷投递单元根据所述用户设备的特征配置载荷,包括:
8.根据权利要求5所述的装置,其特征在于,所述认证单元比较所述待验证响应和所述验证响应是否一致,根据比较结果得出所述待认证的用户设备的认证结果,包括:
9.一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至4中任一项所述的基于挑战响应的对抗性用户设备认证方法。
10.一种电子设备,其特征在于,包括:处理器及存储器;
