[发明专利]带触摸屏的手持移动设备身份认证系统及认证方法

说明书

技术领域

本发明属于信息安全技术领域，涉及身份认证，具体地说就是通过图形化的输入方式来代替传统的文本口令输入方式，可用于在有触摸屏的移动设备上输入口令进行身份认证，例如有触摸屏的PDA、手机的开机、解除锁定等。

背景技术

身份认证是信息安全系统决定一个使用者是否有权限登陆本系统并使用特定资源的过程，是安全领域的重要研究课题。目前存在众多的新型身份认证方式，例如利用生物技术和智能卡技术来进行身份验证，但应用最为广泛的仍然是由用户提供相应文本的文本口令认证方式，并且在未来一段时间内，其仍将作为身份认证的一项重要手段。随着越来越多智能移动设备的使用，用户认证被认为是一个非常有效的保护用户敏感信息的手段，因为这类移动设备很容易落入未经授权的其他人员手里。

传统的文本认证方式要求用户输入由数字和英文字符组成的口令，存在其固有的诸多缺陷，并且这些缺点极易演变为安全问题。比如用户在选择文本口令时大多倾向于选择短小简单并且具有一定规律的文本，如选取包含自己信息的名字、生日或字典中存在的单词作为口令。攻击者则通常利用所掌握的口令分布规律构造口令字典，对口令进行暴力猜测攻击。在这种字典攻击下，一部分文本口令通常会显得十分脆弱而被成功破解。美国学者Klein曾进行了相关实验，其调用了14000个使用者的Unix系统口令，而后只用仅由3×106个单词组成的字典对这些口令进行猜测攻击，结果发现，约有25％的用户口令能够被成功破解。Morris蠕虫使用一个由432个常用单词和1988年UNIX在线词汇组成的字典，能够惊人地破解一些站点50％左右的用户口令。为了增强文本口令的安全性，用户设定的口令必须足够复杂，并经常更换，但是这样的口令不利于用户记忆，实际操作起来具有相当困难，因此，传统的文本认证方式常常会使用户处于两难境地。

许多认知学和心理学的研究表明，人类对于有意义的短语或句子的记忆要优于对没有意义的文本的记忆。现在移动设备上所使用的文本口令都是由数字和英文字符所组成的，不适合于中国用户所使用和记忆。汉语是中国人广泛熟悉和经常使用的，大多数中国人都是在汉语环境中成长的，对于汉语的理解和记忆要优于数字或英文等其他字符所组成的文本的理解和记忆。因此，大多数中国人对于汉语的认知和记忆都不存在障碍。现在在手持移动设备上使用的口令认证方式有：传统的文本认证方式；visKey PPC；G1手机Android系统登陆认证方法。

(1)传统的文本认证方式

传统的文本认证方式要求用户输入由数字和英文字符组成的口令。在移动设备上，不管是键盘或是触摸屏中的软键盘，按键设计的都比较小巧，用户输入口令的时候，需要去逐个敲击按键，速度比较慢，并且由数字和英文字符组成的口令不适合中国用户记忆。

(2)visKey PPC

SFR公司于2000年发布了这款专为移动设备设计的商业软件产品，visKey PPC。在用户注册阶段，用户在口令图片上选择1至9点作为口令对象。之后visKey将取代原先的口令机制，在每次用户的移动设备开启的时候，就会显示口令图片，用户需要输入自己的口令进行验证。如果验证不成功，则不能进入智能移动设备内部。visKey将安全性和易用性结合在一起并应用在智能移动设备上，用户只需几次点击就可以提供较大的密码空间。例如，在合理设置参数的情况下，一个四个点的口令，理论上可提供近1亿种可能性，文本口令需要五个字符才能形成类似规模的密码空间。但是这样的密码空间没有大到足以抵制一个快速计算机的离线攻击。因此，为了获得更高的安全性，更多的点必须被选择作为口令的一部分。但是，这些点没有明确的边界，用户输入容易出现偏差，很难精确输入，造成认证速度下降。此外，逐个点击口令位置也是造成认证速度慢的另一个因素。

(3)G1手机Android系统登陆认证方法

考虑到手机用户的实用性和趣味性，Google公司在2008年推出的G1手机中，其Android系统登陆采用的是以九宫格为基础的认证方法。其登陆画面就是由3×3的9点矩阵组成，用户通过在上面画线来进行系统登陆的。用户设计的口令可以是通过若干个点组成一个连续的线，下次解除锁定的时候，只要按照正确的顺序画出线即可。但是，这相同的9个点对于用户来说，没有任何意义也很难区分，并不利于用户对口令的记忆。

综上所述，现有的移动设备中的口令系统或者在可用性方面存在不足，或者会带给用户很大的记忆负担，都不能在提供系统很高的安全性的基础上，提供用户良好的可用性和可记忆性。

发明内容