CN116389114B - 一种静态与动态身份一致性验证方法及*** - Google Patents
一种静态与动态身份一致性验证方法及*** Download PDFInfo
- Publication number
- CN116389114B CN116389114B CN202310356212.2A CN202310356212A CN116389114B CN 116389114 B CN116389114 B CN 116389114B CN 202310356212 A CN202310356212 A CN 202310356212A CN 116389114 B CN116389114 B CN 116389114B
- Authority
- CN
- China
- Prior art keywords
- user
- static
- reliability
- identity verification
- knowledge
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012795 verification Methods 0.000 title claims abstract description 151
- 230000003068 static effect Effects 0.000 title claims abstract description 81
- 238000000034 method Methods 0.000 title claims abstract description 25
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 60
- 238000012549 training Methods 0.000 claims abstract description 37
- 238000012937 correction Methods 0.000 claims abstract description 33
- 238000007621 cluster analysis Methods 0.000 claims abstract description 15
- 238000005457 optimization Methods 0.000 claims abstract description 8
- 238000001514 detection method Methods 0.000 claims abstract description 7
- 230000004791 biological behavior Effects 0.000 claims abstract description 6
- 230000006399 behavior Effects 0.000 claims description 27
- 238000012545 processing Methods 0.000 claims description 24
- 230000010152 pollination Effects 0.000 claims description 15
- 230000002194 synthesizing effect Effects 0.000 claims description 10
- 230000007704 transition Effects 0.000 claims description 10
- 238000007781 pre-processing Methods 0.000 claims description 6
- 238000004364 calculation method Methods 0.000 claims description 5
- 238000004458 analytical method Methods 0.000 claims description 3
- 238000012360 testing method Methods 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 5
- 239000004575 stone Substances 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000005021 gait Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 210000001525 retina Anatomy 0.000 description 3
- 230000007613 environmental effect Effects 0.000 description 2
- 238000011156 evaluation Methods 0.000 description 2
- 230000004424 eye movement Effects 0.000 description 2
- 230000008921 facial expression Effects 0.000 description 2
- 238000005286 illumination Methods 0.000 description 2
- 230000036544 posture Effects 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 210000005252 bulbus oculi Anatomy 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000011002 quantification Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0838—Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
- G06F18/232—Non-hierarchical techniques
- G06F18/2321—Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
- G06F18/23213—Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions with fixed number of clusters, e.g. K-means clustering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Health & Medical Sciences (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Biomedical Technology (AREA)
- Probability & Statistics with Applications (AREA)
- Evolutionary Biology (AREA)
- Evolutionary Computation (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Collating Specific Patterns (AREA)
Abstract
本发明公开了一种静态与动态身份一致性验证方法及***,静态与动态身份一致性验证方法,包括:静态身份验证阶段和动态身份验证阶段;其中静态身份验证阶段用于对登录用户的初次身份验证,可以根据需要配置口令、动态短信密码、人脸识别、数字证书或引用的第三方身份验证等静态身份验证方式对用户进行单因素或多因素的静态一次性身份验证;动态身份验证阶段基于对生物行为特征的持续检测来进行身份验证,使用改进Kmeans算法进行聚类分析,同时基于可信度修正进行不确定性推理,随后使用参数优化后的XGBoost算法进行模型训练与匹配,得到最终动态身份可信度,最后基于结果执行授权访问或是退出到静态验证阶段进行再次验证,以此提高零信任***的安全性及合理性。
Description
技术领域
本发明涉及一种静态与动态身份一致性验证方法及***,属于零信任及网络安全技术领域。
背景技术
云计算和大数据时代,网络安全边界逐渐瓦解,内外部威胁愈演愈烈,传统的边界安全架构难以应对,零信任安全架构应运而生。零信任安全架构基于“以身份为基石、业务安全访问、持续信任评估、动态访问控制”四大关键能力,是构筑以身份为基石的动态虚拟边界的解决方案,是实现全面身份化、授权动态化、风险度量化、管理自动化的新一代网络安全架构。
零信任的本质是以身份认证为基石进行动态访问控制,全面身份化是实现零信任的前提和基石,因此用户身份验证的准确性直接关乎零信任***的安全性。传统的身份验证以静态验证方式为主,基于口令的单因素识别方式是其典型代表,但随着计算机性能和相关技术的发展,仅仅通过暴力破解便能破解大多数基于此种验证方式的***。随后便出现了利用诸如指纹、声音、视网膜等生物特征以及使用智能卡、***等独有设备来进行验证的方式,虽然这两种方式在一定程度上加强了对用户身份验证的可靠性,但因其对设备的特殊要求,存在着一定的局限性。
除此之外,这些身份验证方式都一次验证方式,即用户成功登录***后,直至退出都将拥有相应的权限。而零信任强调的则是持续的信任评估,因此,动态的持续身份验证技术对于零信任***来说必不可少。现有的动态持续身份验证方式大多基于对生物行为特征的持续监测,例如击键动态特征、触摸屏动态、眼球运动、步态等。此类身份验证***具备无干扰性,提高用户体验以及针对网络攻击的无漏洞性等优点,能够提供更高级别的安全性。但仅仅依据个体的行为特征进行用户的身份验证及识别,仍然具有一定的局限性,例如,在光照充足的白天,通过摄像头可以清晰的识别用户的面部表情,而在黑暗的夜晚,对于面部表情的识别则具有一定的模糊性。同时持续的动态验证也会在一定程度上影响***的性能。针对这一现状,开展静态与动态身份融合验证技术的研究,是本领域亟需解决的问题。
发明内容
发明目的:本发明针对现有的身份一致性验证方案,提出一种更加安全合理的身份一致性验证方案。
现有的静态身份验证方案依靠口令、指纹、智能卡等方式对用户进行验证,但这种方式均是一次性验证方式,并且对设备也有一定的要求,并不符合零信任理念,且现有的动态身份验证以对生物行为特征的检测来进行身份验证,并没有考虑到环境等上下文信息,仍有一定的局限性。为此,本发明提出了一种静态与动态身份一致性验证方法,可以根据需要配置口令、动态短信密码、人脸识别、数字证书或引用的第三方身份验证等方式对用户进行单因素或多因素的静态一次性身份验证,随后便基于对生物行为特征的持续检测来动态持续身份验证,对用户数据进行持续检测,使用改进Kmeans算法进行聚类分析,同时基于可信度修正进行不确定性推理,随后使用参数优化后的XGBoost算法进行模型训练与匹配,得到最终动态身份可信度,最后基于结果执行授权访问或是退出到静态验证阶段进行再次验证,以此提高零信任***的安全性及合理性。
为解决上述技术问题,本发明所采用的技术方案如下:
一种静态与动态身份一致性验证方法,包括:静态身份验证阶段和动态身份验证阶段;其中静态身份验证阶段用于对登录用户的初次身份验证,可以根据需要配置口令、动态短信密码、人脸识别、数字证书或引用的第三方身份验证等静态身份验证方式对用户进行单因素或多因素的静态一次性身份验证;动态身份验证阶段基于对生物行为特征的持续检测来进行身份验证,使用改进Kmeans算法进行聚类分析,同时基于可信度修正进行不确定性推理,随后使用参数优化后的XGBoost算法进行模型训练与匹配,得到最终动态身份可信度,最后基于结果执行授权访问或是退出到静态验证阶段进行再次验证,以此提高零信任***的安全性及合理性。
上述静态与动态身份一致性验证方法,具体包括如下步骤:
步骤一:进行***配置,配置静态身份验证方式,可选择一种或两种以上静态身份验证方式来进行单因素或多因素的验证;
步骤二:根据配置对用户进行身份验证,并判断用户登录时间有无超过时间期限t,若没超过,则转到下一步骤,否则返回重新登录;
步骤三:持续不间断的采集用户信息数据,用户信息数据包括用户行为特征以及上下文信息;
步骤四:使用改进Kmeans算法对用户信息数据进行聚类分析;
步骤五:基于可信度修正的方式将聚类分析的结果进行可信度修正,并利用修正后的知识可信度值来计算动态身份验证结论的综合可信度,得到用于训练预测的监督数据集;
步骤六:将监督数据集形式化表示并将75%数据作为训练集输入训练参数优化后的XGBoost模型,然后利用测试集对用户身份验证结论的可信度进行预测;
步骤七:比较预测的结论可信度与预设的可信阈值λ,若结论可信度大于可信阈值λ,则判断用户可信,用户可继续访问***;若结论可信度小于可信阈值λ,则判断用户不可信,终止用户的访问并退回进行静态身份验证。
由于Kmeans算法对初始中心敏感,聚类结果很难找到全局最优解,因此使用花授粉算法对其进行优化改进。改进的Kmeans算法具体如下:
(1)初始化FPA(花授粉算法)控制参数,控制参数有种群大小N、最大迭代次数Maxgen和转换概率p;
(2)初始化种群,根据给定的上下界随机生成初始解x1,x2,...,xn,并计算其相应的适应度值;
(3)根据初始种群及其适应度值找出最佳解决方案g*及其适应度值f(g*);
(4)生成新的种群,根据转换概率p∈[0,1]的值来确定采用全局搜索还是局部搜索,当生成的随机数rand∈U[0,1]小于p时,采用全局搜索策略,否则采用局部搜索策略,公式如下:
其中,表示当花粉个体在花授粉算法中进行全局或局部搜索环节时,花粉个体i进行第t次迭代更新后的具体花粉位置;/>和/>表示花粉种群中的任意两个花粉个体在第t次迭代更新时的具体花粉位置,同时这两个花粉位置的选取是随机的且不同于花粉i的具***置;而ε∈U[0,1];γ是步长控制因子;参数L表示授粉强度,本质上是一个步长,服从莱维分布,公式如下:
λ为常数,在该算法中取λ=1.5;Γ(λ)为标准伽马函数;s0是最小步长;s是步长,计算公式如下:
其中,μ和ν为两个随机数且服从标准正态分布μ~N(0,σ2),ν~N(0,1),其中方差σ2是通过以下公式得到:
(5)更新种群和最佳解决方案,根据适应度值,替换比存储的解决方案质量更好的新解决方案,并获得最佳解决方案g*;
(6)检查停止标准,重复执行步骤(4)、(5),直到达到最大迭代数,此时的解即为初始聚类中心mk;
(7)计算每个样本x和聚类中心mk之间的欧式距离其中xi是样本x的第i个特征,mki是聚类中心mk的第i个特征。
(8)将各样本划分进与其距离最近的聚类中心mk所对应的簇Ck;
(9)计算每个聚簇中所有样本的均值,更新聚类中心;
(10)重复(7)、(8)、(9)直到聚类中心无变化;
(11)根据类别进行标记处理,得到用户各类别信息数据。
上述可信度修正算法如下:
(1)设CEx={C1,C2,...,Cn}为当前访问用户的用户信息数据,用户信息数据包含用户行为信息及其上下文信息,其中Ci,i=1,2,...,n为信息参数;
(2)提供衡量各信息对用户身份验证结果的知识可信度CF(X,Ci),其值介于-1到1之间,值1表示极度可信,值-1表示极度不可信,提供各信息的重要性权值wi,其中
(3)计算知识的平均可信度
(4)计算各信息的知识可信度与知识平均可信度之间的距离:
(5)计算知识的可信度修正值:
综合可信度的具体算法如下:
(1)提供各信息的可信度CF(Ci);
(2)计算每个信息单独作用时用户身份验证结果的可信度CFi(X)=CF(Ci)CF′(X,Ci);
(3)以如下公式将第一条知识和第二条知识合成,随后将合成后的知识与第三条知识合成,以此类推,最终得到结论的综合可信度:
一种静态与动态身份一致性验证***,包括:静态验证模块、采集模块、数据处理模块、训练预测模块和结果执行模块;
静态验证模块,用于对登录用户的初次身份验证,可以根据需要配置口令、动态短信密码、人脸识别、数字证书或引用的第三方身份验证等静态身份验证方式对用户进行单因素或多因素的静态一次性身份验证;
也即上述静态验证模块用于对登录用户身份的初次验证,可以使用软件口令的方式,让用户提供所需的账户密码来进行身份验证;或使用硬件智能卡的方式,将其***专用设备中进行读取来进行身份验证;或使用生物识别的方式,将用户的指纹、掌型、视网膜、虹膜等生物特征与数据库中的数据进行比较来进行身份验证等等。另外,所述静态验证模块还可以与第三方***进行通讯,引用第三方***的提供的静态身份验证方式。静态验证模块不仅仅可以进行上述单因素身份验证,而且可以通过配置多个方式来进行多因素的静态身份验证。
由于静态验证方式是一次性验证方式,即验证成功后便可以访问***中的资源。因此为了保证***的安全性,需要设置一个时间期限t,当用户登录时间超过这个时间期限时,需要重新进行静态身份验证。
采集模块,用于对用户行为特征及其上下文信息进行持续性采集,并将采集的数据存储于数据库中,以供其他模块使用;这是对用户进行持续身份验证的第一步。通过传感器等设备采集各种各样的用户操作信息,包括认证频次、登录时间、海外IP访问等;以及用户行为信息,包括击键动态、身体姿势、眼运、步行步态等。收集的不仅包括用户数据,还包括环境上下文,位置上下文,时间上下文以及与每个身份验证或访问尝试相关的任何其他上下文信息,并将这些信息将存储在数据库中。
数据处理模块,用于对采集的原始数据进行预处理,通过改进的Kmeans算法对用户数据信息进行聚类分析,基于可信度修正的方式对用户行为特征及其上下文信息等知识进行可信度修正,并利用修正后的知识可信度值来计算动态身份验证结论的综合可信度;
上述数据处理模块主要对采集的原始数据进行预处理,进行min-max标准化处理,同时处理丢失的数据,丢弃噪声和冗余数据,并整合来自不同来源的数据。随后通过改进的Kmeans算法对用户数据信息进行聚类分析,对数据的不平衡进行处理,根据类别进行标记处理。考虑到采集信息的可靠性对结论的不同影响,基于可信度修正的方式对用户及其上下文信息等知识进行可信度修正,并利用修正后的知识可信度值来计算动态身份验证结论的综合可信度,得到用于训练预测的监督数据集。
训练预测模块,采用XGBOOST算法进行模型训练,并将训练后的模型用于预测用户动态身份验证结果;
结果执行模块,用于将模型预测的用户动态身份验证结论可信度与设定的可信阈值λ进行比较,以判断动态身份验证结果,同时将用户行为、上下文信息、静态验证结果和动态验证结果等信息进行展示。
本发明所公开的结果处理模块通过将模型预测的用户动态身份验证结论可信度与设定的可信阈值λ进行比较,当结论可信度大于等于λ时,则验证成功,执行授权访问;否则验证失败,同时退出到静态验证阶段进行再次验证。同时结果处理模块还将用户行为、上下文信息、静态验证结果、动态验证结果等信息进行展示,用于辅助管理员更好地分析处理。
由于Kmeans算法对初始中心敏感,聚类结果很难找到全局最优解,因此使用花授粉算法对其进行优化改进。改进的Kmeans算法具体如下:
(1)初始化FPA控制参数,控制参数有种群大小N、最大迭代次数Maxgen和转换概率p;
(2)初始化种群,根据给定的上下界随机生成初始解x1,x2,…,xn,并计算其相应的适应度值;
(3)根据初始种群及其适应度值找出最佳解决方案g*及其适应度值f(g*);
(4)生成新的种群,根据转换概率p∈[0,1]的值来确定采用全局搜索还是局部搜索,当生成的随机数rand∈U[0,1]小于p时,采用全局搜索策略,否则采用局部搜索策略,公式如下:
其中,表示当花粉个体在花授粉算法中进行全局或局部搜索环节时,花粉个体i进行第t次迭代更新后的具体花粉位置;/>和/>表示花粉种群中的任意两个花粉个体在第t次迭代更新时的具体花粉位置,同时这两个花粉位置的选取是随机的且不同于花粉i的具***置。而ε∈U[0,1],γ是步长控制因子,参数L表示授粉强度,本质上是一个步长,服从莱维分布,公式如下:
λ为常数,在该算法中取λ=1.5;Γ(λ)为标准伽马函数;s0是最小步长;s是步长,计算公式如下:
其中,μ和ν为两个随机数且服从标准正态分布μ~N(0,σ2),ν~N(0,1),其中方差σ2是通过以下公式得到:
(5)更新种群和最佳解决方案,根据适应度值,替换比存储的解决方案质量更好的新解决方案,并获得最佳解决方案g*;
(6)检查停止标准,重复执行步骤(4)、(5),直到达到最大迭代数,此时的解即为初始聚类中心mk;
(7)计算每个样本x和聚类中心mk之间的欧式距离其中xi是样本x的第i个特征,mki是聚类中心mk的第i个特征。
(8)将各样本划分进与其距离最近的聚类中心mk所对应的簇Ck;
(9)计算每个聚簇中所有样本的均值,更新聚类中心;
(10)重复(7)、(8)、(9)直到聚类中心无变化;
(11)根据类别进行标记处理,得到用户各类别信息数据。
上述可信度修正算法如下:
(1)设CEx={C1,C2,...,Cn}为当前访问的用户的用户信息数据,用户信息数据包含用户行为信息及其上下文信息,其中Ci,i=1,2,...,n为信息参数;
(2)提供衡量各信息对用户身份验证结果的知识可信度CF(X,Ci),其值介于-1到1之间,值1表示极度可信,值-1表示极度不可信,提供各信息的重要性权值wi,其中
(3)计算知识的平均可信度
(4)计算各信息的知识可信度与知识平均可信度之间的距离:
(5)计算知识的可信度修正值:
综合可信度的具体算法如下:
(1)提供各信息的可信度CF(Ci);
(2)计算每个信息单独作用时用户身份验证结果的可信度CFi(X)=CF(Ci)CF′(X,Ci);
(3)以如下公式将第一条知识和第二条知识合成,随后将合成后的知识与第三条知识合成,以此类推,最终得到结论的综合可信度:
上述训练预测模块采用XGBoost算法进行模型训练,将用户行为数据和上下文信息形式化表示成如下形式:
其中Xi(i=1,2,…,n)表示前提;Yj(j=1,2,…,m)表示结论;是可信度因子,表示相关前提的可信程度,以75%数据作为训练集输入XGBoost模型进行训练,最后将其用于预测用户动态身份验证结果。
由于XGBoost模型参数值会极大地影响其准确性,因此参数的最优化是模型训练中重要的步骤。同样使用花授粉算法解决全局优化问题,对基分类器个数、学习率、最大树深和最小叶子权重等参数进行优化、从而提升模型的准确度。
本发明未提及的技术均参照现有技术。
本发明静态与动态身份一致性验证方法和***,将静态验证方式与动态验证方式相结合,能够适应大多数场景,具备持续身份一致性验证能力,提高零信任***的安全性,符合零信任理念;使用花授粉算法对Kmeans和XGBoost算法进行参数调优,提高算法的准确度;使用基于可信度修正的方式来优化前提与结论的可信度,避免因设备采集等因素对身份验证准确率的影响;动态持续身份验证时不需要用户进行额外的认证行为,对用户完全透明,提高用户体验。
附图说明
图1为本发明所述的身份验证***的处理流程图。
图2为本发明所述的模块关系图。
图3为本发明所述的改进Kmeans算法流程图。
具体实施方式
为了更好地理解本发明,下面结合实施例进一步阐明本发明的内容,但本发明的内容不仅仅局限于下面的实施例。
一种静态与动态身份一致性验证方法,包括静态身份验证阶段和动态身份验证阶段。其中静态身份验证阶段用于对登录用户的初次身份验证,可以根据需要配置口令、动态短信密码、人脸识别、数字证书或引用的第三方身份验证等方式对用户进行单因素或多因素的静态一次性身份验证。动态身份验证阶段对用户行为信息和上下文信息进行持续性采集和分析,使用改进Kmeans算法进行聚类分析,同时基于可信度修正进行不确定性推理,随后使用参数优化后的XGBoost算法进行模型训练与预测,得到最终动态身份可信度。最后基于结果执行授权访问或是退出到静态验证阶段进行再次验证。
图1所示的是本发明所述的身份验证***的处理流程图。
步骤S101:进行***配置,配置静态身份验证方式,可选择一种或两种以上静态身份验证方式来进行单因素或多因素的验证。
步骤S102:根据配置对用户进行身份验证,并判断用户登录时间有无超过时间期限,若没超过,则转到下一步骤;否则返回重新登录。
步骤S103:持续不间断的采集用户信息数据,用户信息数据包括用户行为特征以及上下文信息。
步骤S104:进行数据预处理,使用改进Kmeans算法对用户信息数据进行聚类分析。
步骤S105:基于可信度修正的方式将聚类分析的结果进行可信度修正,并利用修正后的知识可信度值来计算动态身份验证结论的综合可信度,得到用于训练预测的监督数据集。
步骤S106:将监督数据集形式化表示、并将75%数据作为训练集输入训练参数优化后的XGBoost模型,然后利用测试集对用户身份验证的结论可信度进行预测。
步骤S107:通过比较预测的结论可信度与预设的可信阈值λ,若结论可信度大于可信阈值λ,则判断用户可信,用户可继续访问***;若结论可信度小于可信阈值λ,则判断用户不可信,终止用户的访问并退回进行静态身份验证。
图2所示的是本发明所述的模块结构图。具体包含静态验证模块、采集模块、数据处理模块、训练预测模块和结果执行模块。
静态验证模块,该模块用于对登录用户的初次身份验证,可以根据需要配置口令、动态短信密码、人脸识别、数字证书或引用的第三方身份验证等方式对用户进行单因素或多因素的静态一次性身份验证。
也即上述静态验证模块用于对登录用户身份的初次验证,可以使用软件口令的方式,让用户提供所需的账户密码来进行身份验证;或使用硬件智能卡的方式,将其***专用设备中进行读取来进行身份验证;或使用生物识别的方式,将用户的指纹、掌型、视网膜、虹膜等生物特征与数据库中的数据进行比较来进行身份验证等等。另外,所述静态验证模块还可以与第三方***进行通讯,引用第三方***的提供的静态身份验证方式。静态验证模块不仅仅可以进行上述单因素身份验证,而且可以通过配置多个方式来进行多因素的静态身份验证。
由于静态验证方式是一次性验证方式,即验证成功后便可以访问***中的资源。因此为了保证***的安全性,需要设置一个时间期限t,当用户登录时间超过这个时间期限时,需要重新进行静态身份验证。
采集模块,该模块用于对用户行为特征及其上下文信息进行持续性采集,并将采集的数据存储于数据库中,以供其他模块使用。这是对用户进行持续身份验证的第一步。通过传感器等设备采集各种各样的用户操作信息,包括认证频次、登录时间、海外IP访问等;以及用户行为信息,包括击键动态、身体姿势、眼运、步行步态等。收集的不仅包括用户数据,还包括环境上下文,位置上下文,时间上下文以及与每个身份验证或访问尝试相关的任何其他上下文信息,并将这些信息将存储在数据库中。
数据处理模块,用于对采集的原始数据进行预处理,通过改进的Kmeans算法对用户数据信息进行聚类分析,基于可信度修正的方式对用户行为特征及其上下文信息等知识进行可信度修正,并利用修正后的知识可信度值来计算动态身份验证结论的综合可信度。
上述数据处理模块主要对采集的原始数据进行预处理,进行min-max标准化处理,同时处理丢失的数据,丢弃噪声和冗余数据,并整合来自不同来源的数据。随后通过改进的Kmeans算法对用户数据信息进行聚类分析,对数据的不平衡进行处理,根据类别进行标记处理。考虑到采集信息的可靠性对结论的不同影响,基于可信度修正的方式对用户及其上下文信息等知识进行可信度修正,并利用修正后的知识可信度值来计算动态身份验证结论的综合可信度,得到用于训练预测的监督数据集。
训练预测模块。该模块采用XGBOOST算法进行模型训练,并将训练后的模型用于预测用户动态身份验证结果。将用户行为数据和上下文信息形式化表示成如下形式:
其中Xi(i=1,2,…,n)表示前提;Yj(j=1,2,…,m)表示结论;是可信度因子,表示相关前提的可信程度,以75%数据作为训练集输入XGBoost模型进行训练,最后将其用于预测用户动态身份验证结果。
结果执行模块,用于将模型预测的用户动态身份验证结论可信度与设定的可信阈值λ进行比较,以判断动态身份验证结果,同时将用户行为、上下文信息、静态验证结果、动态验证结果等信息进行展示。
图3所示的是改进Kmeans算法处理流程图,具体如下:
步骤S301:初始化FPA控制参数。控制参数有种群大小(N)、最大迭代次数(Maxgen)、转换概率p。
步骤S302:初始化种群。根据给定的上下界随机生成初始解x1,x2,…,xn,并计算其相应的适应度值。
步骤S303:从初始种群中获得最佳解决方案。根据初始种群及其适应度值找出最佳解决方案g*及其适应度值f(g*)。
步骤S304:生成新的种群。根据转换概率p∈[0,1]的值来确定采用全局搜索还是局部搜索,当生成的随机数rand∈U[0,1]小于p时,采用全局搜索策略,否则采用局部搜索策略,公式如下:
其中,表示当花粉个体在花授粉算法中进行全局或局部搜索环节时,花粉个体i进行第t次迭代更新后的具体花粉位置;/>和/>表示花粉种群中的任意两个花粉个体在第t次迭代更新时的具体花粉位置,同时这两个花粉位置的选取是随机的且不同于花粉i的具***置;而ε∈U[0,1];γ是步长控制因子;参数L表示授粉强度,本质上是一个步长,服从莱维分布,公式如下:
λ为常数,在该算法中取λ=1.5;Γ(λ)为标准伽马函数;s0是最小步长;s是步长,计算公式如下:
其中,μ和ν为两个随机数且服从标准正态分布μ~N(0,σ2),ν~N(0,1),其中方差σ2是通过以下公式得到:
步骤S305:更新种群和最佳解决方案。根据适应度值,替换比存储的解决方案质量更好的新解决方案,并获得最佳解决方案g*。
步骤S306:检查停止标准。重复执行步骤S304、S305,直到达到最大迭代数。此时的解即为初始聚类中心mk。
步骤S307:计算每个样本x和聚类中心mk之间的欧式距离其中xi是样本x的第i个特征,mki是聚类中心mk的第i个特征。
步骤S308:将各样本划分进与其距离最近的聚类中心mk所对应的簇Ck。
步骤S309:计算每个聚簇中所有样本的均值,更新聚类中心。
步骤S310:重复步骤S307、S308、S310直到聚类中心无变化。
步骤S311:根据类别进行标记处理,得到用户各类别信息数据。
可信度修正算法如下:
(1)设CEx={C1,C2,...,Cn}为当前访问的用户的用户信息数据,用户信息数据包含用户行为信息及其上下文信息,其中Ci,i=1,2,...,n为信息参数;
(2)提供衡量各信息对用户身份验证结果的知识可信度CF(X,Ci),其值介于-1到1之间,值1表示极度可信,值-1表示极度不可信,提供各信息的重要性权值wi,其中
(3)计算知识的平均可信度
(4)计算各信息的知识可信度与知识平均可信度之间的距离:
(5)计算知识的可信度修正值:
综合可信度的算法如下:
(1)提供各信息的可信度CF(Ci);
(2)计算每个信息单独作用时用户身份验证结果的可信度CFi(X)=CF(Ci)CF′(X,Ci);
(3)以如下公式将第一条知识和第二条知识合成,随后将合成后的知识与第三条知识合成,以此类推,最终得到结论的综合可信度:
上述静态与动态身份一致性验证方法,可以根据需要配置口令、动态短信密码、人脸识别、数字证书或引用的第三方身份验证等方式对用户进行单因素或多因素的静态一次性身份验证。随后便基于对用户行为及其上下文信息的持续检测来进行动态持续身份验证,使用改进Kmeans算法进行聚类分析,同时基于可信度修正方式进行不确定性推理,随后使用参数优化后的XGBoost算法进行模型训练与预测,得到最终可信度。最后基于结果执行授权访问或是退出到静态验证阶段进行再次验证,以此提高零信任***的安全性及合理性。能够适应大多数场景,具备持续身份一致性验证能力,提高了零信任***的安全性,符合零信任理念,准确性高,用户体验好。
本发明提出的方法及***可以有效解决当前身份验证方式的繁琐与安全性不足等问题,融合了静态验证和动态验证的优点,具备用户友好性,具备持续验证能力,能适应大多数场景,符合零信任理念。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。本实施例中未明确的各组成部分均可用现有技术加以实现。
Claims (7)
1.一种静态与动态身份一致性验证方法,其特征在于:包括:静态身份验证阶段和动态身份验证阶段;其中静态身份验证阶段用于对登录用户的初次身份验证,通过静态身份验证方式对用户进行单因素或多因素的静态一次性身份验证;动态身份验证阶段基于对生物行为特征的持续检测来进行身份验证,使用改进Kmeans算法进行聚类分析,同时基于可信度修正进行不确定性推理,随后使用参数优化后的XGBoost算法进行模型训练与匹配,得到最终动态身份可信度,最后基于结果执行授权访问或是退出到静态验证阶段进行再次验证;具体包括如下步骤:
步骤一:进行***配置,配置静态身份验证方式,选择一种或两种以上静态身份验证方式来进行单因素或多因素的验证;
步骤二:根据配置对用户进行身份验证,并判断用户登录时间有无超过时间期限t,若没超过,则转到下一步骤,否则返回重新登录;
步骤三:持续不间断的采集用户信息数据,用户信息数据包括用户行为特征以及上下文信息;
步骤四:使用改进Kmeans算法对用户信息数据进行聚类分析;
步骤五:基于可信度修正的方式将聚类分析的结果进行可信度修正,并利用修正后的知识可信度值来计算动态身份验证结论的综合可信度,得到用于训练预测的监督数据集;
步骤六:将监督数据集形式化表示、并将75%数据作为训练集输入训练参数优化后的XGBoost模型,然后利用测试集对用户身份验证的结论可信度进行预测;
步骤七:比较预测的结论可信度与预设的可信阈值λ,若结论可信度大于可信阈值λ,则判断用户可信,用户可继续访问***;若结论可信度小于可信阈值λ,则判断用户不可信,终止用户的访问并退回进行静态身份验证。
2.如权利要求1所述的方法,其特征在于:步骤四中,改进的Kmeans算法具体如下:
(1)初始化FPA控制参数,控制参数有种群大小N、最大迭代次数Maxgen和转换概率p;
(2)初始化种群,根据给定的上下界随机生成初始解x1,x2,…,xn,并计算其相应的适应度值;
(3)根据初始种群及其适应度值找出最佳解决方案g*及其适应度值f(g*);
(4)生成新的种群,根据转换概率p∈[0,1]的值来确定采用全局搜索还是局部搜索,当生成的随机数rand∈U[0,1]小于p时,采用全局搜索策略,否则采用局部搜索策略,公式如下:
其中,表示当花粉个体在花授粉算法中进行全局或局部搜索环节时,花粉个体i进行第t次迭代更新后的具体花粉位置;/>和/>表示花粉种群中的任意两个花粉个体在第t次迭代更新时的具体花粉位置,同时这两个花粉位置的选取是随机的且不同于花粉i的具***置;ε∈U[0,1];γ是步长控制因子;参数L表示授粉强度,本质上是一个步长,服从莱维分布,公式如下:
λ为常数,在该算法中取λ=1.5;Γ(λ)为标准伽马函数;s0是最小步长;s是步长,计算公式如下:
其中,μ和ν为两个随机数且服从标准正态分布μ~N(0,σ2),ν~N(0,1),其中方差σ2是通过以下公式得到:
(5)更新种群和最佳解决方案,根据适应度值,替换比存储的解决方案质量更好的新解决方案,并获得最佳解决方案g*;
(6)检查停止标准,重复执行步骤(4)、(5),直到达到最大迭代数,此时的解即为初始聚类中心mk;
(7)计算每个样本x和聚类中心mk之间的欧式距离其中xi是样本x的第i个特征,mki是聚类中心mk的第i个特征;
(8)将各样本划分进与其距离最近的聚类中心mk所对应的簇Ck;
(9)计算每个聚簇中所有样本的均值,更新聚类中心;
(10)重复(7)、(8)、(9)直到聚类中心无变化;
(11)根据类别进行标记处理,得到用户各类别信息数据。
3.如权利要求1或2所述的方法,其特征在于:步骤五中,可信度修正算法如下:
(1)设CEx={C1,C2,...,Cn}为当前访问的用户的用户信息数据,用户信息数据包含用户行为信息及其上下文信息,其中Ci,i=1,2,...,n为信息参数;
(2)提供衡量各信息对用户身份验证结果的知识可信度CF(X,Ci),其值介于-1到1之间,值1表示极度可信,值-1表示极度不可信,提供各信息的重要性权值wi,其中
(3)计算知识的平均可信度
(4)计算各信息的知识可信度与知识平均可信度之间的距离:
(5)计算知识的可信度修正值:
综合可信度的算法如下:
(1)提供各信息的可信度CF(Ci);
(2)计算每个信息单独作用时用户身份验证结果的可信度CFi(X)=CF(Ci)CF′(X,Ci);
(3)以如下公式将第一条知识和第二条知识合成,随后将合成后的知识与第三条知识合成,以此类推,最终得到结论的综合可信度:
4.一种静态与动态身份一致性验证***,其特征在于:包括:静态验证模块、采集模块、数据处理模块、训练预测模块和结果执行模块;
静态验证模块,用于对登录用户的初次身份验证,采用静态身份验证方式对用户进行单因素或多因素的静态一次性身份验证;
采集模块,用于对用户行为特征及其上下文信息进行持续性采集,并将采集的数据存储于数据库中,以供其他模块使用;
数据处理模块,用于对采集的原始数据进行预处理,通过改进的Kmeans算法对用户行为特征进行聚类分析,基于可信度修正的方式对用户行为特征及其上下文信息进行可信度修正,并利用修正后的知识可信度值来计算动态身份验证结论的综合可信度;
训练预测模块,采用XGBoost算法进行模型训练,并将训练后的模型用于预测用户动态身份验证结果;
结果执行模块,用于将模型预测的用户动态身份验证结论可信度与设定的可信阈值λ进行比较,以判断动态身份验证结果,同时将用户行为、上下文信息、静态验证结果和动态验证结果进行展示。
5.如权利要求4所示的***,其特征在于:改进的Kmeans算法具体如下:
(1)初始化FPA控制参数,控制参数有种群大小N、最大迭代次数Maxgen和转换概率p;
(2)初始化种群,根据给定的上下界随机生成初始解x1,x2,…,xn,并计算其相应的适应度值;
(3)根据初始种群及其适应度值找出最佳解决方案g*及其适应度值f(g*);
(4)生成新的种群,根据转换概率p∈[0,1]的值来确定采用全局搜索还是局部搜索,当生成的随机数rand∈U[0,1]小于p时,采用全局搜索策略,否则采用局部搜索策略,公式如下:
其中,表示当花粉个体在花授粉算法中进行全局或局部搜索环节时,花粉个体i进行第t次迭代更新后的具体花粉位置;/>和/>表示花粉种群中的任意两个花粉个体在第t次迭代更新时的具体花粉位置,同时这两个花粉位置的选取是随机的且不同于花粉i的具***置;ε∈U[0,1];γ是步长控制因子;参数L表示授粉强度,本质上是一个步长,服从莱维分布,公式如下:
λ为常数,在该算法中取λ=1.5;Γ(λ)为标准伽马函数;s0是最小步长;s是步长,计算公式如下:
其中,μ和ν为两个随机数且服从标准正态分布μ~N(0,σ2),ν~N(0,1),其中方差σ2是通过以下公式得到:
(5)更新种群和最佳解决方案,根据适应度值,替换比存储的解决方案质量更好的新解决方案,并获得最佳解决方案g*;
(6)检查停止标准,重复执行步骤(4)、(5),直到达到最大迭代数,此时的解即为初始聚类中心mk;
(7)计算每个样本x和聚类中心mk之间的欧式距离其中xi是样本x的第i个特征,mki是聚类中心mk的第i个特征;
(8)将各样本划分进与其距离最近的聚类中心mk所对应的簇Ck;
(9)计算每个聚簇中所有样本的均值,更新聚类中心;
(10)重复(7)、(8)、(9)直到聚类中心无变化;
(11)根据类别进行标记处理,得到用户各类别信息数据。
6.如权利要求4或5所示的***,其特征在于:可信度修正算法如下:
(1)设CEx={C1,C2,...,Cn}为当前访问的用户信息数据,用户信息数据包含用户行为信息及其上下文信息,其中Ci,i=1,2,...,n为信息参数;
(2)提供衡量各信息对用户身份验证结果的知识可信度CF(X,Ci),其值介于-1到1之间,值1表示极度可信,值-1表示极度不可信,提供各信息的重要性权值wi,其中
(3)计算知识的平均可信度
(4)计算各信息的知识可信度与知识平均可信度之间的距离:
(5)计算知识的可信度修正值:
综合可信度的算法如下:
(1)提供各信息的可信度CF(Ci);
(2)计算每个信息单独作用时用户身份验证结果的可信度CFi(X)=CF(Ci)CF′(X,Ci);
(3)以如下公式将第一条知识和第二条知识合成,随后将合成后的知识与第三条知识合成,以此类推,最终得到结论的综合可信度:
7.如权利要求4或5所示的***,其特征在于:训练预测模块采用XGBoost算法进行模型训练,将用户行为数据和上下文信息形式化表示成如下形式:
其中Xi(i=1,2,…,n)表示前提;Yj(j=1,2,…,m)表示结论;是可信度因子,表示相关前提的可信程度,以75%数据作为训练集输入XGBoost模型进行训练,最后将其用于预测用户动态身份验证结果。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310356212.2A CN116389114B (zh) | 2023-04-04 | 2023-04-04 | 一种静态与动态身份一致性验证方法及*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310356212.2A CN116389114B (zh) | 2023-04-04 | 2023-04-04 | 一种静态与动态身份一致性验证方法及*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116389114A CN116389114A (zh) | 2023-07-04 |
CN116389114B true CN116389114B (zh) | 2024-02-02 |
Family
ID=86972743
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310356212.2A Active CN116389114B (zh) | 2023-04-04 | 2023-04-04 | 一种静态与动态身份一致性验证方法及*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116389114B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116756719B (zh) * | 2023-08-16 | 2023-10-24 | 北京亚大通讯网络有限责任公司 | 基于指纹生物识别及uwb协议的身份验证*** |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112333200A (zh) * | 2020-11-20 | 2021-02-05 | 长沙普世信安科技有限公司 | 一种面向零信任模型的行为特征持续身份验证方法及*** |
CN115879091A (zh) * | 2022-11-28 | 2023-03-31 | 云南电网有限责任公司信息中心 | 一种基于零信任的动态与静态身份认证融合*** |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7178864B2 (ja) * | 2018-10-22 | 2022-11-28 | 株式会社ワコム | サイン検証装置、システム、方法及びプログラム |
-
2023
- 2023-04-04 CN CN202310356212.2A patent/CN116389114B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112333200A (zh) * | 2020-11-20 | 2021-02-05 | 长沙普世信安科技有限公司 | 一种面向零信任模型的行为特征持续身份验证方法及*** |
CN115879091A (zh) * | 2022-11-28 | 2023-03-31 | 云南电网有限责任公司信息中心 | 一种基于零信任的动态与静态身份认证融合*** |
Non-Patent Citations (1)
Title |
---|
身份认证专利技术综述;周瑞瑞 等;河南科技(第总701期第三期期);147-152 * |
Also Published As
Publication number | Publication date |
---|---|
CN116389114A (zh) | 2023-07-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8433922B2 (en) | System and method of biometric authentication using multiple kinds of templates | |
EP3504859B1 (en) | Remote usage of locally stored biometric authentication data | |
US20200184053A1 (en) | Generative adversarial network training and feature extraction for biometric authentication | |
EP2523149B1 (en) | A method and system for association and decision fusion of multimodal inputs | |
CA2600388C (en) | Multimodal biometric analysis | |
US8020005B2 (en) | Method and apparatus for multi-model hybrid comparison system | |
US7356168B2 (en) | Biometric verification system and method utilizing a data classifier and fusion model | |
CN107924436A (zh) | 使用生物识别技术的电子装置接入控制 | |
AU2015215826A1 (en) | A machine-learning system to optimise the performance of a biometric system | |
CN116389114B (zh) | 一种静态与动态身份一致性验证方法及*** | |
GB2437100A (en) | Biometric security system using keystroke dynamics of a user's login attempt | |
Wang et al. | User authentication via keystroke dynamics based on difference subspace and slope correlation degree | |
CN112861082B (zh) | 用于被动认证的集成***和方法 | |
EP4120105A1 (en) | Identity authentication method, and method and device for training identity authentication model | |
Li et al. | Enhanced free-text keystroke continuous authentication based on dynamics of wrist motion | |
JPH11253426A (ja) | 生体的特徴の認証方法及び装置、記録媒体 | |
CN114519898A (zh) | 生物特征多模态融合识别方法、装置、存储介质及设备 | |
Altwaijry | Keystroke dynamics analysis for user authentication using a deep learning approach | |
Ryu et al. | The design and evaluation of adaptive biometric authentication systems: Current status, challenges and future direction | |
Fu et al. | Artificial intelligence meets kinesthetic intelligence: Mouse-based user authentication based on hybrid human-machine learning | |
CN112272195B (zh) | 一种动态检测认证***及其方法 | |
Kumar et al. | Fingerprint based authentication system with keystroke dynamics for realistic user | |
Meghanathan | Biometric systems for user authentication | |
CN112765579B (zh) | 一种用户身份识别方法、装置、设备和存储介质 | |
Purohit et al. | Contemporary biometric system design |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |