CN112653679B - 一种动态身份认证方法、装置、服务器及存储介质 - Google Patents
一种动态身份认证方法、装置、服务器及存储介质 Download PDFInfo
- Publication number
- CN112653679B CN112653679B CN202011471797.5A CN202011471797A CN112653679B CN 112653679 B CN112653679 B CN 112653679B CN 202011471797 A CN202011471797 A CN 202011471797A CN 112653679 B CN112653679 B CN 112653679B
- Authority
- CN
- China
- Prior art keywords
- score
- authentication
- trust
- user agent
- agent information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0838—Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/12—Messaging; Mailboxes; Announcements
- H04W4/14—Short messaging services, e.g. short message services [SMS] or unstructured supplementary service data [USSD]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本发明实施例公开了一种动态身份认证方法、装置、服务器及存储介质。该方法包括:获取登录行为对应的身份认证请求中的用户代理信息,获取对应的信任分数和权重值,计算身份认证请求的总评分;若总评分低于信任阈值,则触发总评分所属的评分段对应的认证方式;根据认证结果以及预设的分数调整模型分别更新用户代理信息中各维度的信任分数,根据调整后的各信任分数和对应的权重值重新计算总评分,分数调整模型用于指示根据认证结果对用户代理信息中各维度的信任分数进行调整的配置信息;根据重新计算后的总评分与信任阈值的比较结果以及认证结果,确定登录行为的身份认证结果。本实施例通过对登录行为进行动态身份认证,提高了身份认证的安全性。
Description
技术领域
本发明实施例涉及身份认证技术,尤其涉及一种动态身份认证方法、装置、服务器及存储介质。
背景技术
软件***都离不开身份认证,而身份认证需要同时兼顾安全性和便利性。这在一定程度上对身份认证提出了更高的要求。
传统的认证***采用强要素认证(比如人脸)或多因子认证的机制,信息安全等级保护体系也明确要求采用口令、密码技术、生物等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。例如,目前市面上的简单的用户口令认证机制,复杂一点的根据用户访问失败次数触发账号或IP锁定策略等。
但这些通常是固定策略,在零信任被广泛关注和引入后,访问入口处的访问者除了用户还可以是其他盗号软件等非法用户,访问的终端也越来越复杂。传统的认证显然不能适应当前复杂使用环境的要求。因此,如何提高身份认证的安全性成为亟待解决的问题。
发明内容
本发明实施例提供一种动态身份认证方法、装置、服务器及存储介质,可以实现对登录行为进行动态身份认证,提高身份认证的安全性。
第一方面,本发明实施例提供了一种动态身份认证方法,包括:
获取登录行为对应的身份认证请求中的用户代理信息,获取与所述用户代理信息对应的信任分数和权重值,根据各个所述信任分数和对应的权重值计算所述身份认证请求的总评分,其中,所述用户代理信息基于登录信息和应用属性信息确定;
若所述总评分低于信任阈值,则触发所述总评分所属的评分段对应的认证方式;
获取所述认证方式对应的认证结果,根据所述认证结果以及预设的分数调整模型分别更新所述用户代理信息中各维度的信任分数,根据调整后的各所述信任分数和对应的权重值重新计算所述身份认证请求的总评分,其中,所述分数调整模型用于指示根据认证结果对所述用户代理信息中各维度的信任分数进行调整的配置信息;
根据重新计算后的总评分与所述信任阈值的比较结果以及所述认证结果,确定所述登录行为的身份认证结果。
第二方面,本发明实施例还提供了一种动态身份认证装置,包括:
评分计算模块,用于获取登录行为对应的身份认证请求中的用户代理信息,获取与所述用户代理信息对应的信任分数和权重值,根据各个所述信任分数和对应的权重值计算所述身份认证请求的总评分,其中,所述用户代理信息基于登录信息和应用属性信息确定;
认证触发模块,用于若所述总评分低于信任阈值,则触发所述总评分所属的评分段对应的认证方式;
分数调整模块,用于获取所述认证方式对应的认证结果,根据所述认证结果以及预设的分数调整模型分别更新所述用户代理信息中各维度的信任分数,根据调整后的各所述信任分数和对应的权重值重新计算所述身份认证请求的总评分,其中,所述分数调整模型用于指示根据认证结果对所述用户代理信息中各维度的信任分数进行调整的配置信息;
结果确定模块,用于根据重新计算后的总评分与所述信任阈值的比较结果以及所述认证结果,确定所述登录行为的身份认证结果。
第三方面,本发明实施例还提供了一种服务器,所述服务器包括:
一个或多个处理器;
存储器,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如本发明任意实施例提供的动态身份认证方法。
第四方面,本发明实施例还提供了一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行如本发明任意实施例提供的动态身份认证方法。
本发明实施例通过获取登录行为对应的身份认证请求中的用户代理信息,获取与用户代理信息对应的信任分数和权重值,根据各个所述信任分数和对应的权重值计算所述身份认证请求的总评分,若总评分低于信任阈值,触发所述总评分所属的评分段对应的认证方式,根据认证结果以及预设的分数调整模型分别更新所述用户代理信息中各维度的信任分数,根据调整后的各所述信任分数和对应的权重值重新计算所述身份认证请求的总评分,根据重新计算后的总评分与所述信任阈值的比较结果以及所述认证结果,确定所述登录行为的身份认证结果。本发明实施例通过在对登录行为的身份认证过程中动态调整用户代理信息中各维度对应的信任分数,在不降低用户使用的便利性的情况下,实现对登录行为进行动态身份认证,降低用户账号被盗用的风险,提高身份认证的安全性。
附图说明
图1是本发明实施例一提供的一种动态身份认证方法的流程图;
图2是本发明实施例二提供的另一种动态身份认证方法的流程图;
图3是本发明实施例三提供的一种动态身份认证装置的结构示意图;
图4是本发明实施例四提供的一种服务器的结构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
实施例一
图1是本发明实施例一提供的一种动态身份认证方法的流程图,本实施例可适用于对获取的登录行为进行身份认证,以根据身份认证结果判断是否允许登录的情况,该方法可以由动态身份认证装置来执行,该装置可以采用软件和/或硬件的方式实现。该装置可配置于服务器中。如图1所示,该方法包括:
步骤S110、获取登录行为对应的身份认证请求中的用户代理信息,获取与用户代理信息对应的信任分数和权重值,根据各个信任分数和对应的权重值计算身份认证请求的总评分。
登录行为可以是基于在访问终端上登录应用的用户账号而产生的行为。例如,登录行为可以是基于用户A在安卓设备上登录某应用的A账号产生的。用户可以通过访问终端向服务器发送登录行为对应的身份认证请求,以通过服务器获取登录权限。其中,身份认证请求可以用于向服务器申请登录权限。例如,身份认证请求可以包括基于身份认证的超文本传输协议(hypertext transport protocol,HTTP)请求等。
用户代理信息基于登录信息和应用属性信息确定。登录信息可以是与登录行为相关的信息,例如,可以包括登录行为中用户账号信息和访问终端信息等。其中,访问终端信息可以包括终端网际互连协议(Internet Protocol,IP)地址和终端类型等。终端IP地址可以是访问终端的IP地址。终端类型可以是访问终端的设备类型,例如,终端类型可以包括电脑、安卓手机和苹果手机等。应用属性信息可以是请求登录的应用的属性信息。例如,应用属性信息可以包括应用安全等级信息。可以基于应用程序是否涉及资金交易,设置应用程序的安全等级信息。可以为涉及资金交易的应用程序设置较高的安全等级。还可以基于应用程序中是否涉及个人隐私信息,设置应用程序的安全等级信息,对于涉及个人隐私信息的应用程序设置较高的安全等级等。
用户代理信息可以用于确定登录行为的相关要素信息。例如,用户代理信息可以包括登录信息和应用属性信息,或者,用户代理信息可以进一步包括用户账号信息、访问终端信息和应用属性信息。
用户代理信息对应的信任分数和权重值可以理解为用户代理信息中各维度对应的信任分数和权重值。用户代理信息对应的信任分数可以根据经验进行初始化,并在每一次获取到登录行为时,根据认证结果对各维度对应的信任分数进行分别动态调整,并将调整后的各个信任分数分别进行存储,以在下一次获取登录行为时获取调整后的各维度对应的信任分数。例如,若用户代理信息至少包括访问终端类型,可以根据各个访问终端的安全系数确定各个访问终端信息对应的初始信任分数。如某些设备的安全系数极高,可以将这些设备对应的初始信任分数设置为99,某些设备通过分析确定或预先已知被破解,如车载***或娱乐***等,可以将这些设备对应的初始信任分数设置为30或40等较低分数。各维度对应的权重值也可以根据经验进行初始化,并根据各维度的登录情况进行适应性调整。例如,将用户代理信息中登录信息和应用属性信息对应的权重值均初始化为0.25,在一段时间后发现某一特定应用只通过相应的应用程序(Application,APP)进行登录,而没有通过浏览器进行登录,可以将应用属性信息对应的权重值逐渐退化至0。
具体地,获取登录行为对应的身份认证请求,获取身份认证请求中的用户代理信息,根据用户代理信息中各维度的信息获取对应的信任分数和权重值,对各个信任分数和对应的权重值计算加权和,得到身份认证请求的总评分。
示例性地,获取登录行为对应的身份认证请求中的用户账号信息、终端IP地址、终端类型和应用属性信息。若用户账号信息、终端IP地址、终端类型和应用属性信息中的至少一个为首次登录,对于首次登录的目标维度,确定目标维度对应的信任分数为预设初始信任分数、对应的权重值为预设初始权重值。若用户账号信息、终端IP地址、终端类型和应用属性信息均非首次登录,直接从服务器中获取相应的信任分数和权重值。根据各个信任分数和对应的权重值计算该身份认证请求的总评分。
步骤S120、判断总评分是否低于信任阈值,若是,执行步骤S130,否则,执行步骤S160。
信任阈值可以预先设定为定值或者根据用户代理信息中各维度的安全级别以及各个安全级别对应的预设阈值确定,用于确定登录行为的身份认证结果是否为身份认证成功。
步骤S130、触发总评分所属的评分段对应的认证方式。
具体地,若计算得到的总评分低于信任阈值,确定总评分所属的评分段,并根据预设的评分段与认证方式之间的对应关系,确定该总评分对应的认证方式,触发该认证方式。其中,不同的认证方式可以以独立被触发的方式开放相应的接口和服务。
认证方式可以用于对登录行为进行身份认证。例如,认证方式可以包括口令认证、短信验证码认证、身份证号认证、指纹认证和人脸识别认证等。评分段与认证方式具有对应关系,例如,大于或等于50分且小于60分可以对应口令认证,大于或等于40分且小于50分可以对应短信验证码认证,大于或等于30分且小于40分可以对应人脸识别认证。
步骤S140、获取认证方式对应的认证结果,根据认证结果以及预设的分数调整模型分别更新用户代理信息中各维度的信任分数,根据调整后的各信任分数和对应的权重值重新计算身份认证请求的总评分。
其中,分数调整模型用于指示根据认证结果对用户代理信息中各维度的信任分数进行调整的配置信息。
示例性地,若用户代理信息包括用户账号信息、终端IP地址、终端类型和应用属性信息,则分数调整模型的认证矩阵可以是: 每当接收到应用登录行为的身份认证请求时,基于认证矩阵计算当前的身份认证结果,再根据身份认证结果和分数调整模型中与信任分数相关的配置信息调整各维度的信任分数,以基于身份认证结果回归迭代计算,实现对认证矩阵中各维度的信任分数的更新以及对登录尝试次数和成功次数的更新,直至得到最终的身份认证结果。
以终端IP地址为例,可以设置终端IP地址的初始信任分数为58。对于口令认证的认证方式,分数调整模型中的配置信息可以是认证成功则信任分数加5以及认证失败则信任分数减1。对于短信验证码认证的认证方式,分数调整模型中的配置信息可以是认证成功则信任分数加10以及认证失败则信任分数减2。对于人脸识别认证的认证方式,分数调整模型中的配置信息可以是认证成功则信任分数加20以及认证失败则信任分数减4。用户代理信息中的其他维度也可以类似配置相应的分数调整模型。若获取到口令认证对应的认证结果为认证成功,则将用户代理信息中的终端IP地址对应的信任分数加5,其他维度对应的信任分数均依据预设的分数调整模型进行分别更新。然后根据调整后的各信任分数和对应的权重值重新计算身份认证请求的总评分。
步骤S150、根据重新计算后的总评分与信任阈值的比较结果以及认证结果,确定登录行为的身份认证结果。
具体地,判断重新计算后的总评分是否低于信任阈值,根据比较结果和认证结果确定登录行为的身份认证结果。若重新计算后的总评分不低于信任阈值,则可以直接确定登录行为的身份认证结果是身份认证成功。若基于此次比较结果和此次认证结果仍无法确定登录行为的身份认证结果,则可以继续触发认证方式并调整用户代理信息中各维度对应的信任分数。例如,对于认证结果是认证成功的情况,若重新计算后的总评分仍低于信任阈值,则可以基于认证方式的级别排序结果触发更高一级的认证方式。对于认证结果是认证失败的情况,可以继续根据重新计算后的总评分触发对应的认证方式,并在认证失败的次数超过设定次数阈值时,可以直接确定登录行为的身份认证结果是身份认证失败。
步骤S160、确定登录行为的身份认证结果是身份认证成功。
具体地,若总评分高于或等于信任阈值,则确定登录行为的身份认证结果是身份认证成功。
本发明实施例通过获取登录行为对应的身份认证请求中的用户代理信息,获取与用户代理信息对应的信任分数和权重值,根据各个信任分数和对应的权重值计算身份认证请求的总评分,若总评分低于信任阈值,触发总评分所属的评分段对应的认证方式,根据认证结果以及预设的分数调整模型分别更新用户代理信息中各维度的信任分数,根据调整后的各信任分数和对应的权重值重新计算身份认证请求的总评分,根据重新计算后的总评分与信任阈值的比较结果以及认证结果,确定登录行为的身份认证结果。本发明实施例通过在对登录行为的身份认证过程中动态调整用户代理信息中各维度对应的信任分数,在不降低用户使用的便利性的情况下,实现对登录行为进行动态身份认证,降低用户账号被盗用的风险,提高身份认证的安全性。
实施例二
图2是本发明实施例二提供的另一种动态身份认证方法的流程图,本实施例在上述实施例的基础上进行优化,如图2所示,该方法包括:
步骤S201、获取登录行为对应的身份认证请求中的用户代理信息,获取与用户代理信息对应的信任分数和权重值,根据各个信任分数和对应的权重值计算身份认证请求的总评分。
其中,用户代理信息基于登录信息和应用属性信息确定。
步骤S202、判断总评分是否低于信任阈值,若是,执行步骤S203,否则,执行步骤S204。
步骤S203、确定登录行为的身份认证结果是身份认证成功。
步骤S204、根据用户代理信息中的应用属性信息确定应用的安全级别,根据安全级别确定应用对应的评分标准,基于评分标准确定对应的信任阈值、以及评分段与认证方式的对应关系。
示例性地,预先设定普通应用的信任阈值为60。预先设定高敏感应用的信任阈值高于普通应用,例如,金融级的安全应用的信任阈值可以为80。预先设定超高级别应用的信任阈值高于高敏感应用,例如,与敏感信息或敏感公文等相关的安全应用的信任阈值可以为90。同时预先设定相应的评分段以及评分的与认证方式的对应关系。
可替换地,根据用户代理信息中的应用属性信息确定应用的安全级别,根据安全级别确定应用对应的评分标准,可以包括:
根据用户代理信息中的终端IP地址以及预设的IP地址黑名单确定终端IP地址的安全级别,根据终端IP地址的安全级别确定对应的评分标准。
具体地,根据用户代理信息中的终端IP地址判断该终端IP地址在预设的IP地址黑名单中所处的安全级别,根据该安全级别确定对应的评分标准。例如,若终端IP地址位于IP地址黑名单中且因历史出现过多次盗用账号的情况而被设置为危险级别,则可以根据该危险级别确定相应的评分标准。
可替换地,根据用户代理信息中的应用属性信息确定应用的安全级别,根据安全级别确定应用对应的评分标准,可以包括:
根据用户代理信息中的终端信息判断访问终端是否被破解,根据判断结果确定访问终端的安全级别,根据安全级别确定应用对应的评分标准。
具体地,检测用户代理信息的终端信息中是否存在破解属性,若存在,则可以确定访问终端被破解,进一步可以确定破解终端对应的安全级别,若不存在,则可以确定访问终端未被破解,进一步可以确定未破解终端对应的安全级别。进而可以根据安全级别确定应用对应的评分标准。
步骤S205、触发总评分所属的评分段对应的认证方式。
可选地,触发总评分所属的评分段对应的认证方式,包括:
若总评分所属的评分段是第一评分段,确定第一评分段对应的认证方式是口令认证,触发口令认证;
若总评分所属的评分段是第二评分段,确定第二评分段对应的认证方式是短信验证码认证,触发短信验证码认证;
若总评分所属的评分段是第三评分段,确定第三评分段对应的认证方式是人脸识别认证,触发人脸识别认证。
其中,第一评分段、第二评分段和第三评分段可以互相不重叠或者相互重叠。例如,若三个评分段相互重叠,且总评分所属的评分段位于两个或三个评分段的重叠处,则可以相应地触发两个或三个认证方式。
步骤S206、获取认证方式对应的认证结果,若认证结果是认证通过,执行步骤S207,若认证结果是认证失败,执行步骤S208。
步骤S207、根据预设的分数调整模型中的第一加分规则分别增加用户代理信息中各维度的信任分数。继续执行步骤S209。
其中,第一加分规则可以用于指示根据认证成功的认证结果对用户代理中各维度的信任分数进行增加的配置信息。
步骤S208、根据预设的分数调整模型中的第一减分规则分别减少用户代理信息中各维度的信任分数。继续执行步骤S210。
其中,第一减分规则可以用于指示根据认证失败的认证结果对用户代理中各维度的信任分数进行减少的配置信息。
本实施例通过在获取到身份认证请求且计算得到的总评分低于信任阈值后,根据第一加分规则和第一减分规则动态调整用户代理中各维度的信任分数,提高了后续认证过程的简便性。
可选地,在预设的分数调整模型中的第一加分规则分别增加用户代理信息中各维度的信任分数,以及根据预设的分数调整模型中的第一减分规则分别减少用户代理信息中各维度的信任分数之前,还包括:
若检测到用户代理信息中各维度的信任分数在第一预设周期内保持不变,则调整预设的分数调整模型中的第一加分规则和第一减分规则。
示例性地,以用户代理信息中应用属性信息为例,应用属性信息对应的第一加分规则可以为口令认证成功则信任分数加6分,短信验证码认证成功则信任分数加12分。应用属性信息对应的第一减分规则可以是口令认证失败则信任分数减2分,短信验证码认证失败则信任分数减4。若检测到应用属性信息的信任分数在3个月内保持不变,则可以将第一加分规则中的增加分数均上调0.1,将第一减分规则中的减少分数均下调0.5。在这种情况下,若用户一直用APP登录,但偶然一次使用浏览器登录的时候,不会因为少数几次登录失败而直接触发更高一级的认证方式。本实施例通过动态调整第一加分规则和第一减分规则,能够更好地预测用户的登录行为。
步骤S209、根据增加后的各信任分数和对应的权重值重新计算身份认证请求的总评分。继续执行步骤S211。
步骤S210、根据减少后的各信任分数和对应的权重值重新计算身份认证请求的总评分。继续执行步骤S213。
步骤S211、判断重新计算后的总评分是否低于信任阈值,若是,执行步骤S203,否则,执行步骤S212。
步骤S212、基于认证方式的级别排序结果触发更高一级的认证方式,返回执行步骤S206。
对于认证结果是认证成功的情况,若重新计算后的总评分低于信任阈值,则基于认证方式的级别排序结果触发更高一级的认证方式,返回执行根据认证结果以及预设的分数调整模型分别更新用户代理信息中各维度的信任分数的步骤。
示例性地,若用户切换地点登录或更新访问终端,虽然用户步骤S206中获取的认证结果为认证通过,但重新计算后的总评分仍低于信任阈值,则会触发更高一级的认证方式,并返回执行根据认证结果以及预设的分数调整模型分别更新用户代理信息中各维度的信任分数的步骤。
步骤S213、判断认证失败的次数是否超过设定次数阈值,若是,执行步骤S214,否则,返回执行步骤S205。
对于认证结果是认证失败的情况,返回执行触发总评分所属的评分段对应的认证方式的步骤。
步骤S214、确定登录行为的身份认证结果是身份认证失败。
若认证失败的次数超过设定次数阈值,则确定登录行为的身份认证结果是身份认证失败。
可选地,在预设时刻,分别获取第二预设周期内所述用户代理信息中各维度对应的登录成功次数和登录尝试次数;
通过以下公式计算目标维度调整后的信任分数:
其中,第二数值与第一数值的比值等于预设准确率。
示例性地,以75%为分界线,准确率每提高5%,目标维度当天的信任分数增加1分。准确率每降低5%,目标维度当天的信任分数减少1分。
可选地,在预设时刻,分别获取第二预设周期内用户代理信息中各维度对应的登录成功次数和登录尝试次数;
分别计算登录成功次数与登录尝试次数的比值,得到登录准确率;
对于登录准确率高于预设准确率的目标维度,计算目标维度的准确率与预设准确率的差值,根据差值所属的准确率差值段对应的第二加分规则,增加目标维度对应的预设时刻的信任分数;
对于登录准确率低于预设准确率的目标维度,计算目标维度的准确率与预设准确率的差值,根据差值所属的准确率差值段对应的第二减分规则,减少目标维度对应的预设时刻的信任分数;
对于登录准确率等于预设准确率的目标维度,保持目标维度对应的预设时刻的信任分数不变。
示例性地,以天为单位,在每天的凌晨时刻获取当天用户代理信息中各维度对应的登录成功次数和登录尝试次数,分别计算各维度的登录准确率,以75%为预设准确率,对于准确率高于75%的目标维度,计算目标维度的准确率与75%的差值。若差值小于5%,则可以将该目标维度当天的信任分数加1;若差值大于或等于5%且小于10%,则可以将该目标维度当天的信任分数加2;若差值大于或等于10%且小于15%,则可以将该目标维度当天的信任分数加3;若差值大于或等于15%且小于20%,则可以将该目标维度当天的信任分数加4;若差值大于或等于20%且小于25%,则可以将该目标维度当天的信任分数加5。
本实施例通过审计用户代理信息中各维度的登录成功事件和登录尝试事件,并以此不断调整各维度的信任分数,可以更好的预测用户行为及***未来压力状况,从而降低安全风险。
本发明实施例通过在访问终端发出身份认证请求时,跟进当前访问终端的信任分数并触发相应的认证方式,认证通过后进一步根据调整后的信任分数和对应的权重值再次计算身份认证请求的总评分,并与信任阈值进行再次比较,根据比较结果确定是否触发更高级别的认证过程,实现了在身份认证过程中动态调整用户代理信息中各维度的信任分数,解决了现有技术中在复杂环境下不能对用户身份进行安全认证的问题,结合多维度信息实现对登录行为进行动态身份认证,提高了身份认证的安全性。
实施例三
图3是本发明实施例三提供的一种动态身份认证装置的结构示意图。该装置可由软件和/或硬件实现,一般可集成在服务器中,可以通过执行动态身份认证方法实现对登录行为进行动态身份认证,提高身份认证的安全性。如图3所示,该装置包括:
评分计算模块310,用于获取登录行为对应的身份认证请求中的用户代理信息,获取与所述用户代理信息对应的信任分数和权重值,根据各个所述信任分数和对应的权重值计算所述身份认证请求的总评分,其中,所述用户代理信息基于登录信息和应用属性信息确定;
认证触发模块320,用于若所述总评分低于信任阈值,则触发所述总评分所属的评分段对应的认证方式;
分数调整模块330,用于获取所述认证方式对应的认证结果,根据所述认证结果以及预设的分数调整模型分别更新所述用户代理信息中各维度的信任分数,根据调整后的各所述信任分数和对应的权重值重新计算所述身份认证请求的总评分,其中,所述分数调整模型用于指示根据认证结果对所述用户代理信息中各维度的信任分数进行调整的配置信息;
结果确定模块340,用于根据重新计算后的总评分与所述信任阈值的比较结果以及所述认证结果,确定所述登录行为的身份认证结果。
可选地,所述结果确定模块340,具体用于:
对于所述认证结果是认证成功的情况,若重新计算后的总评分不低于所述信任阈值,则确定所述登录行为的身份认证结果是身份认证成功;
对于所述认证结果是认证成功的情况,若重新计算后的总评分低于所述信任阈值,则基于认证方式的级别排序结果触发更高一级的认证方式,返回执行根据所述认证结果以及预设的分数调整模型分别更新所述用户代理信息中各维度的信任分数的步骤;
对于所述认证结果是认证失败的情况,返回执行触发所述总评分所属的评分段对应的认证方式的步骤;
若认证失败的次数超过设定次数阈值,则确定所述登录行为的身份认证结果是身份认证失败。
可选地,所述认证触发模块320,具体用于:
若所述总评分所属的评分段是第一评分段,确定所述第一评分段对应的认证方式是口令认证,触发所述口令认证;
若所述总评分所属的评分段是第二评分段,确定所述第二评分段对应的认证方式是短信验证码认证,触发所述短信验证码认证;
若所述总评分所属的评分段是第三评分段,确定所述第三评分段对应的认证方式是人脸识别认证,触发所述人脸识别认证。
可选地,所述分数调整模块330,具体用于:
若所述认证结果是认证通过,根据预设的分数调整模型中的第一加分规则分别增加所述用户代理信息中各维度的信任分数;
若所述认证结果是认证失败,根据预设的分数调整模型中的第一减分规则分别减少所述用户代理信息中各维度的信任分数。
可选地,所述分数调整模块330,具体还用于:
在预设的分数调整模型中的第一加分规则分别增加所述用户代理信息中各维度的信任分数,以及根据预设的分数调整模型中的第一减分规则分别减少所述用户代理信息中各维度的信任分数之前,若检测到所述用户代理信息中各维度的信任分数在第一预设周期内保持不变,则调整所述预设的分数调整模型中的所述第一加分规则和第一减分规则。
可选地,所述装置还包括:
安全级别确定模块,用于在若所述总评分低于信任阈值,则触发所述总评分所属的评分段对应的认证方式之前,根据所述用户代理信息中的应用属性信息确定应用的安全级别,根据所述安全级别确定所述应用对应的评分标准,基于所述评分标准确定对应的信任阈值、以及评分段与认证方式的对应关系。
可选地,所述装置还包括:
登录次数获取模块,用于在预设时刻,分别获取第二预设周期内所述用户代理信息中各维度对应的登录成功次数和登录尝试次数;
其中,f(目标维度)表示目标维度调整后的信任分数,第二数值与第一数值的比值等于预设准确率。
本发明实施例所提供的动态身份认证装置可执行本发明任意实施例所提供的动态身份认证方法,具备执行方法相应的功能模块和有益效果。
实施例四
图4是本发明实施例四提供的一种服务器的结构示意图,如图4所示,该服务器包括处理器400、存储器410、输入装置420和输出装置430;服务器中处理器400的数量可以是一个或多个,图4中以一个处理器400为例;服务器中的处理器400、存储器410、输入装置420和输出装置430可以通过总线或其他方式连接,图4中以通过总线连接为例。
存储器410作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块,如本发明实施例中的动态身份认证方法对应的程序指令和/或模块(例如,动态身份认证装置中的评分计算模块310、认证触发模块320、分数调整模块330和结果确定模块340)。处理器400通过运行存储在存储器410中的软件程序、指令以及模块,从而执行服务器的各种功能应用以及数据处理,即实现上述的动态身份认证方法。
存储器410可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作***、至少一个功能所需的应用程序;存储数据区可存储根据终端的使用所创建的数据等。此外,存储器410可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储器410可进一步包括相对于处理器400远程设置的存储器,这些远程存储器可以通过网络连接至服务器。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置420可用于接收输入的数字或字符信息,以及产生与服务器的用户设置以及功能控制有关的键信号输入。输出装置430可包括显示屏等显示设备。
实施例五
本发明实施例五还提供一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行一种动态身份认证方法,该方法包括:
获取登录行为对应的身份认证请求中的用户代理信息,获取与所述用户代理信息对应的信任分数和权重值,根据各个所述信任分数和对应的权重值计算所述身份认证请求的总评分,其中,所述用户代理信息基于登录信息和应用属性信息确定;
若所述总评分低于信任阈值,则触发所述总评分所属的评分段对应的认证方式;
获取所述认证方式对应的认证结果,根据所述认证结果以及预设的分数调整模型分别更新所述用户代理信息中各维度的信任分数,根据调整后的各所述信任分数和对应的权重值重新计算所述身份认证请求的总评分,其中,所述分数调整模型用于指示根据认证结果对所述用户代理信息中各维度的信任分数进行调整的配置信息;
根据重新计算后的总评分与所述信任阈值的比较结果以及所述认证结果,确定所述登录行为的身份认证结果。
当然,本发明实施例所提供的一种包含计算机可执行指令的存储介质,其计算机可执行指令不限于如上所述的方法操作,还可以执行本发明任意实施例所提供的动态身份认证方法中的相关操作。
通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到,本发明可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
值得注意的是,上述动态身份认证装置的实施例中,所包括的各个单元和模块只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (10)
1.一种动态身份认证方法,其特征在于,包括:
获取登录行为对应的身份认证请求中的用户代理信息,获取与所述用户代理信息对应的信任分数和权重值,根据各个所述信任分数和对应的权重值计算所述身份认证请求的总评分,其中,所述用户代理信息基于登录信息和应用属性信息确定;
若所述总评分低于信任阈值,则触发所述总评分所属的评分段对应的认证方式;
获取所述认证方式对应的认证结果,根据所述认证结果以及预设的分数调整模型分别更新所述用户代理信息中各维度的信任分数,根据调整后的各所述信任分数和对应的权重值重新计算所述身份认证请求的总评分,其中,所述分数调整模型用于指示根据认证结果对所述用户代理信息中各维度的信任分数进行调整的配置信息;
根据重新计算后的总评分与所述信任阈值的比较结果以及所述认证结果,确定所述登录行为的身份认证结果。
2.根据权利要求1所述的方法,其特征在于,所述根据重新计算后的总评分与所述信任阈值的比较结果以及所述认证结果,确定所述登录行为的身份认证结果,包括:
对于所述认证结果是认证成功的情况,若重新计算后的总评分不低于所述信任阈值,则确定所述登录行为的身份认证结果是身份认证成功;
对于所述认证结果是认证成功的情况,若重新计算后的总评分低于所述信任阈值,则基于认证方式的级别排序结果触发更高一级的认证方式,返回执行根据所述认证结果以及预设的分数调整模型分别更新所述用户代理信息中各维度的信任分数的步骤;
对于所述认证结果是认证失败的情况,返回执行触发所述总评分所属的评分段对应的认证方式的步骤;
若认证失败的次数超过设定次数阈值,则确定所述登录行为的身份认证结果是身份认证失败。
3.根据权利要求1所述的方法,其特征在于,所述触发所述总评分所属的评分段对应的认证方式,包括:
若所述总评分所属的评分段是第一评分段,确定所述第一评分段对应的认证方式是口令认证,触发所述口令认证;
若所述总评分所属的评分段是第二评分段,确定所述第二评分段对应的认证方式是短信验证码认证,触发所述短信验证码认证;
若所述总评分所属的评分段是第三评分段,确定所述第三评分段对应的认证方式是人脸识别认证,触发所述人脸识别认证。
4.根据权利要求1所述的方法,其特征在于,所述根据所述认证结果以及预设的分数调整模型分别更新所述用户代理信息中各维度的信任分数,包括:
若所述认证结果是认证通过,根据预设的分数调整模型中的第一加分规则分别增加所述用户代理信息中各维度的信任分数;
若所述认证结果是认证失败,根据预设的分数调整模型中的第一减分规则分别减少所述用户代理信息中各维度的信任分数。
5.根据权利要求4所述的方法,其特征在于,在预设的分数调整模型中的第一加分规则分别增加所述用户代理信息中各维度的信任分数,以及根据预设的分数调整模型中的第一减分规则分别减少所述用户代理信息中各维度的信任分数之前,还包括:
若检测到所述用户代理信息中各维度的信任分数在第一预设周期内保持不变,则调整所述预设的分数调整模型中的所述第一加分规则和第一减分规则。
6.根据权利要求1所述的方法,其特征在于,在若所述总评分低于信任阈值,则触发所述总评分所属的评分段对应的认证方式之前,还包括:
根据所述用户代理信息中的应用属性信息确定应用的安全级别,根据所述安全级别确定所述应用对应的评分标准,基于所述评分标准确定对应的信任阈值、以及评分段与认证方式的对应关系。
8.一种动态身份认证装置,其特征在于,包括:
评分计算模块,用于获取登录行为对应的身份认证请求中的用户代理信息,获取与所述用户代理信息对应的信任分数和权重值,根据各个所述信任分数和对应的权重值计算所述身份认证请求的总评分,其中,所述用户代理信息基于登录信息和应用属性信息确定;
认证触发模块,用于若所述总评分低于信任阈值,则触发所述总评分所属的评分段对应的认证方式;
分数调整模块,用于获取所述认证方式对应的认证结果,根据所述认证结果以及预设的分数调整模型分别更新所述用户代理信息中各维度的信任分数,根据调整后的各所述信任分数和对应的权重值重新计算所述身份认证请求的总评分,其中,所述分数调整模型用于指示根据认证结果对所述用户代理信息中各维度的信任分数进行调整的配置信息;
结果确定模块,用于根据重新计算后的总评分与所述信任阈值的比较结果以及所述认证结果,确定所述登录行为的身份认证结果。
9.一种服务器,其特征在于,所述服务器包括:
一个或多个处理器;
存储器,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-7中任一所述的动态身份认证方法。
10.一种包含计算机可执行指令的存储介质,其特征在于,所述计算机可执行指令在由计算机处理器执行时用于执行如权利要求1-7中任一所述的动态身份认证方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011471797.5A CN112653679B (zh) | 2020-12-14 | 2020-12-14 | 一种动态身份认证方法、装置、服务器及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011471797.5A CN112653679B (zh) | 2020-12-14 | 2020-12-14 | 一种动态身份认证方法、装置、服务器及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112653679A CN112653679A (zh) | 2021-04-13 |
CN112653679B true CN112653679B (zh) | 2022-11-15 |
Family
ID=75353887
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011471797.5A Active CN112653679B (zh) | 2020-12-14 | 2020-12-14 | 一种动态身份认证方法、装置、服务器及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112653679B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113779521B (zh) * | 2021-09-09 | 2024-05-24 | 北京安天网络安全技术有限公司 | 身份认证方法、装置、存储介质及电子设备 |
CN113824732B (zh) * | 2021-10-13 | 2023-08-22 | 成都安恒信息技术有限公司 | 一种基于零信任的多因子认证方法 |
CN115865606A (zh) * | 2022-12-06 | 2023-03-28 | 国网天津市电力公司 | 一种零信任下的分布式网络构建方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108076018A (zh) * | 2016-11-16 | 2018-05-25 | 阿里巴巴集团控股有限公司 | 身份认证***、方法、装置及账号认证方法 |
CN110120928A (zh) * | 2018-02-05 | 2019-08-13 | 北京智明星通科技股份有限公司 | 一种身份认证的方法、装置、服务器及计算机可读介质 |
CN111901347A (zh) * | 2020-07-29 | 2020-11-06 | 南方电网科学研究院有限责任公司 | 一种零信任下的动态身份认证方法和装置 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9319419B2 (en) * | 2013-09-26 | 2016-04-19 | Wave Systems Corp. | Device identification scoring |
US20160063229A1 (en) * | 2014-09-02 | 2016-03-03 | Securemetric Technology Sdn Bhd | Hybrid adaptive authentication scoring system |
-
2020
- 2020-12-14 CN CN202011471797.5A patent/CN112653679B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108076018A (zh) * | 2016-11-16 | 2018-05-25 | 阿里巴巴集团控股有限公司 | 身份认证***、方法、装置及账号认证方法 |
CN110120928A (zh) * | 2018-02-05 | 2019-08-13 | 北京智明星通科技股份有限公司 | 一种身份认证的方法、装置、服务器及计算机可读介质 |
CN111901347A (zh) * | 2020-07-29 | 2020-11-06 | 南方电网科学研究院有限责任公司 | 一种零信任下的动态身份认证方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
CN112653679A (zh) | 2021-04-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11108752B2 (en) | Systems and methods for managing resetting of user online identities or accounts | |
US11017100B2 (en) | Identity fraud risk engine platform | |
CN112653679B (zh) | 一种动态身份认证方法、装置、服务器及存储介质 | |
US10320800B2 (en) | Fraud detection mechanism | |
US10552590B2 (en) | System and method for providing an authentication agent in a persistent authentication framework | |
US8635662B2 (en) | Dynamic trust model for authenticating a user | |
US11399045B2 (en) | Detecting fraudulent logins | |
US8452980B1 (en) | Defeating real-time trojan login attack with delayed interaction with fraudster | |
US11212283B2 (en) | Method for authentication and authorization and authentication server using the same for providing user management mechanism required by multiple applications | |
US9485255B1 (en) | Authentication using remote device locking | |
US11714886B2 (en) | Modifying application function based on login attempt confidence score | |
US20150040193A1 (en) | Physical Interaction Style Based User Authentication for Mobile Computing Devices | |
US11810130B2 (en) | Security policy enforcement | |
US11811777B2 (en) | Multi-factor authentication using confidant verification of user identity | |
CN110704820A (zh) | 登录处理方法、装置、电子设备和计算机可读存储介质 | |
CN112187465B (zh) | 无感登录方法、装置、计算机设备和存储介质 | |
WO2019114246A1 (zh) | 一种身份认证方法、服务器及客户端设备 | |
US11336667B2 (en) | Single point secured mechanism to disable and enable the access to all user associated entities | |
US11461744B2 (en) | Introducing variance to online system access procedures | |
US20220400108A1 (en) | Tokenizing authentication information | |
US20230033954A1 (en) | Biometric authentication based on behavioral analysis | |
CN116709327A (zh) | 一种用户访问方法及装置、计算设备、存储介质 | |
CN114240059A (zh) | 资源在线申请处理方法、装置、计算机设备和存储介质 | |
CN113596049A (zh) | 一种身份认证方法、装置、计算机设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |