技術領域

本發明屬于信息安全領域，特別是一種基于用戶標識和筆跡的兩層在線認證系統及認證方法。

背景技術

在線筆跡認證是指利用專門輸入設備在線獲取用戶的筆跡，經比較其中所蕰涵的個性化特征從而實現用戶身份鑒別的一項技術。

盡管手寫簽名作為用戶身份標識在經濟、司法等領域有著悠久的應用歷史，但在網絡環境下，基于筆跡的計算機在線自動身份認證技術卻不為人們所廣泛接受。除了現有學習算法所面臨的超小樣本訓練挑戰外，還因為真實筆跡之間固有的差異以及潛在高相似性摹仿筆跡的威脅，使用戶難以相信現有的技術是安全可靠的。

根據學者賈志輝等人的研究發現，偽造筆跡的摹仿相似程度與練習摹仿時間是正相關的——練習時間越長，相似性越高。基于上述研究發現，專利“一種基于計算機系統的在線筆跡認證方法”（申請號：201210002605.5）提出了一種筆跡認證模板可變的認證方法。相較于傳統在線筆跡認證，該方法通過限制攻擊者的摹仿練習時間來保證系統的安全性。

然而，進一步分析發現，僅憑可變的模板筆跡是難以控制攻擊者摹仿練習時間的。例如，攻擊者可以通過多次登錄的方式，在獲取足夠多的模板筆跡信息后，私下通過足夠長時間的練習摹仿來欺騙認證系統。和現有的認證系統一樣，系統仍處于被動地攻擊狀態，而沒有充分利用手寫筆跡特有的模板內容可更改性和書寫過程的自主性來檢測攻擊行為，從而主動加以應對。

發明內容

本發明的目的是提供一種需通過用戶標識信息認證，方能查看到筆跡認證所要書寫的內容，只有同時通過兩層認證才被所述認證系統接受為真實用戶的基于用戶標識和筆跡的兩層在線認證系統及認證方法。

為了實現上述目的，本發明所采用的技術方案是：

一種基于用戶標識和筆跡的兩層在線認證系統，包括

交互設備：呈現用戶登錄信息，所述用戶登錄信息首先呈現第一層用戶標識認證信息，當用戶通過第一層用戶標識認證后，呈現第二層基于用戶筆跡的認證信息，當用戶通過第二層基于用戶筆跡的認證后，表示用戶通過所述認證系統認證；

所述第一層用戶標識認證信息不含基于用戶筆跡的認證信息；

所述用戶筆跡是指用戶通過手寫輸入設備在線書寫的手寫筆跡。

首次使用所述認證系統的用戶需要通過所述認證系統進行用戶注冊，所述用戶注冊的方法是：

用戶標識信息注冊：根據所述認證系統為用戶分配的唯一身份識別號U_ID，將用戶提交的用戶標識信息以及用戶聯系方式一并存入數據庫；

筆跡注冊：用戶根據所述認證系統依次呈現的若干個標準字符借助手寫輸入設備逐個書寫并提交對應標準字符的注冊筆跡組，所述注冊筆跡組為用戶對某一個標準字符進行若干次書寫的若干個注冊筆跡樣本集合，所述認證系統從提交的每個注冊筆跡組中隨機指定一個注冊筆跡樣本，提取該注冊筆跡樣本的二維靜態字形信息作為該組注冊筆跡的顯示筆跡，基于每一注冊筆跡組，采用傳統的筆跡注冊方法訓練得到該組筆跡的認證器；根據所述認證系統為用戶分配的唯一身份識別號，將所述認證系統呈現給用戶的標準字符集合、用戶依次書寫并提交的與標準字符集合相對應的注冊筆跡組集合、每個注冊筆跡組的顯示筆跡集合以及基于每個注冊筆跡組訓練得到的認證器集合一并存入數據庫。

所述筆跡注冊的具體方法是：

第一步驟：初始化：設集合C表示所述認證系統自定義的標準字符集合，集合A表示所述認證系統在用戶注冊階段呈現給用戶的標準字符集合，集合B表示用戶注冊筆跡組的集合，集合W表示用戶顯示筆跡的集合，集合V表示認證器的集合，A、B、W、V初值均為空，?i表示每個集合中元素的序號，初值為1；

第二步驟：挑選并呈現標準字符：所述認證系統從集合C-A中隨機選取一個標準字符,設為a_i，通過所述認證系統的顯示設備將標準字符a_i呈現給用戶標識號為U_id的用戶；

第三步驟：獲取相應的筆跡組：用戶標識號為U_id的用戶依次書寫并提交與a_i對應的注冊筆跡樣本集合，B_i∈B，其中B_i表示該用戶根據所述認證系統呈現的標準字符a_i書寫并提交的第i組注冊筆跡，表示該用戶提交的第i組注冊筆跡的第k個注冊筆跡樣本，1≤k≤r_i,r_i表示該組注冊筆跡中筆跡樣本的個數，并且要求r_i≥1；