[发明专利]一种面向移动支付场景的双服务器多因子认证方法

说明书

本发明公开了一种面向移动支付场景的双服务器多因子认证方法，采用双服务器认证和多因子认证结合的方式，为移动支付场景提供强认证。并根据认证的隐私程度，选择不同的身份认证因子，提供不同安全级别的认证。有效降低了用户对口令的依赖程度，解决了由于服务器遭受攻击而导致的用户第一指纹信息泄露问题，增强了认证的可靠性，提高了用户数据的安全性，保护了用户隐私。

技术领域

本发明属于计算机技术领域，具体涉及一种面向移动支付场景的双服务器多因子认证方法。

背景技术

由于基于用户名-口令的认证方式具有易泄露、可靠性低等缺点，并且过量的口令管理使用户体验差强人意，此时用户迫切希望摆脱口令的束缚，寻求一种全新的身份验证方式。因此基于生物特征的多因子认证方式以其简单便捷、高可靠性等优点赢得了人们的青睐。现在基于生物特征，尤其是指纹信息的认证技术已十分成熟，尤其是在移动支付场景中应用已非十分普遍。在现有方案中，生物特征信息普遍被存储在服务器端。

Shen H, Gao C, He D, et al. 在其发表的论文“New biometrics-basedauthentication scheme for multi-server environment in critical systems”（Journal of Ambient Intelligence and Humanized Computing, 2015, 6(6):1-10.）中针对关键系统中的多服务器环境，提出了一个以口令、生物特征和随机数作为认证因子的多因子身份认证方案，将多因子和多服务器结合起来，提高了认证的可靠性。该方法的不足之处是，该方案易受到拒绝服务攻击，并且由于生物模板直接存储在智能卡中，没有匿名，因此生物模板的丢失会直接威胁用户数据的安全性，导致用户隐私遭受威胁。

现有的一种移动支付的认证方法及系统，用于提供灵活而且安全的移动支付认证方案。具体为：后台向终端发送认证请求，所述认证请求用于指示所述终端上传认证图像，所述认证图像为所述终端实时拍摄的用户面部图像；所述终端根据所述认证请求获取认证图像；所述终端向所述后台上传所述认证图像；所述后台根据所述认证图像判断支付指令是否由合法用户发送。通过实施该发明技术方案，能够提供一种单一的移动支付认证方法，或作为一种辅助认证方法，对用户的移动支付进行高效的资金安全保障。该方法的不足之处是，本地设备采集的用户面部图像仍通过信道传输给服务器，服务器端仍然能够获取到认证图像，一旦服务器遭受攻击，造成用户面部图像的泄露，将会对用户隐私造成致命的威胁。

发明内容

本发明所要解决的技术问题在于针对上述现有技术中的不足，提供一种面向移动支付场景的双服务器多因子认证方法，有效解决了移动支付场景下由于用户指纹信息泄露而造成的用户隐私泄露问题。

本发明采用以下技术方案：

一种面向移动支付场景的双服务器多因子认证方法，采用口令、指纹信息和动态验证码作为身份验证的因子，Web服务器和认证服务器共同验证用户身份，根据认证的隐私程度，选择不同的身份认证因子，提供不同安全级别的认证，当用户只需登录账户，查看账户信息时，采用基本用户鉴别，选择用户名和口令作为身份认证的因子，实现低安全等级认证；当用户需要进行交易时，采用交易用户鉴别，使用动态验证码和指纹作为身份认证的因子，实现高安全等级认证。

进一步的，包括以下步骤：

S1、通过离线注册和/或本地注册完成用户注册；

S2、移动终端发送用户登录信息，Web服务器对接收的用户登录信息进行验证后转发，认证服务器对接收的用户登录信息进行验证并反馈给Web服务器，Web服务器对用户登录信息进行验证后发送，移动终端对接收的用户登录信息进行验证，并显示基本鉴别结果；