本申请公开了一种动态检测认证系统和方法,该方法包括如下步骤:响应于用户的认证请求,获取环境参数;将环境参数输入预先构建的风险识别引擎,输出认证结果;根据认证结果认证用户。采用本申请提供的动态检测认证系统和方法能够实现预先为用户建模,根据不同的用户因人而异的确定风险等级,从而提供更加安全的认证环境。认证环境。认证环境。
【技术实现步骤摘要】
一种动态检测认证系统及其方法
[0001]本申请涉及计算机领域,尤其涉及一种动态检测认证系统及其方法。
技术介绍
[0002]用户在使用网络应用之前往往需要首先向身份认证系统提供身份凭证以证明自己的身份,因此身份认证的安全是应用安全的基础。为了保证身份认证的安全,在不同的身份认证系统中提供了很多种认证方式,包括用户名/口令、数字证书、生物特征和动态口令等认证方法。
[0003]但是上述认证方式均存在潜在的安全威胁,即攻击者伪造或者窃取用户的身份凭证实施登录,从而可以绕过现有的认证方式,实施成功的攻击。
[0004]为了保证登录认证的安全,现有技术基本上有两种解决方法,一种是加强认证因子的强度,另一种是编写规则根据认证请求的环境因素推导出风险级别,再根据风险级别采取措施。
[0005]不同的认证因子有不同的认证强度。用户名口令的认证强度最低,最容易被攻破;在生物特征中,指静脉的认证强度高于指纹,因为指纹可以被贴膜复制。为了提高认证强度,身份认证系统还采用多因子组合认证的方式,比如数字证书和指纹的双因子认证。
[0006]单纯提高认证强度只是增加了冒用身份凭证的难度,在攻击者冒用了身份凭证之后,认证强度就不再起作用了。单纯提高认证强度并不能解决身份凭证被冒用后的风险,既不能识别出身份凭证被冒用,更不能因为识别出风险而采用进一步的防护措施。
[0007]静态的固定的规则虽然能够识别登录过程中身份冒用的可能性,并提供额外的保护,但是它不能自适应地因人而异地确定风险等级,比如一个经常旅行的人,在不同地点登录应用系统是很正常的行为,不应被视为风险;另一个很少旅行的人,偶尔的更换登录地点本身蕴含着很大的风险。
技术实现思路
[0008]基于此,本申请提供一种动态检测认证系统及其方法,实现动态地、因人而异地、根据认证请求的环境参数识别出认证因子被冒用的风险,并根据风险实现进一步的管控措施。
[0009]本申请提出一种动态检测认证方法,包括如下步骤:响应于用户的认证请求,获取环境参数;将环境参数输入预先构建的风险识别引擎,输出认证结果;根据认证结果认证用户。
[0010]优选的,其中,响应于用户的认证请求,获取环境参数包括如下子步骤:从用户的认证请求中抽取待认证参数;对所述待认证参数进行数据预处理,以得到所述待认证用户的环境参数,所述预处理包括参数量化。
[0011]优选的,其中参数量化包括使用如下公式对认证错误次数T进行量化:
;;;其中q为用户的认证错误次数T累计认证次数,T
q
为认证错误次数T的第q次数据,R为参数T的量化结果。
[0012]优选的,其中还包括预先创建风险识别引擎的步骤,具体包括如下子步骤:获取用户数据库;从用户数据库中提取用户认证请求数据;对认证请求数据进行预处理,获取环境参数;将未存在于用户数据库中的环境参数添加到用户数据库中;使用用户数据库中的数据进行训练,获得风险识别引擎。
[0013]优选的,其中环境参数包括发起认证的时间、发起认证的地点、发起认证的设备和准备接入的应用、认证错误次数量化值。
[0014]本申请还提供一种动态监测认证系统,包括客户端和认证服务器,其中:客户端接收用户的认证请求,并将所述认证请求发送到认证服务器;认证服务器执行以下步骤:响应于用户的认证请求,获取环境参数;将环境参数输入预先构建的风险识别引擎,输出认证结果;根据认证结果认证用户。
[0015]优选的,其中,响应于用户的认证请求,获取环境参数包括如下子步骤:从用户的认证请求中抽取待认证参数;对所述待认证参数进行数据预处理,以得到所述待认证用户的环境参数,所述预处理包括参数量化。
[0016]优选的,其中参数量化包括使用如下公式对认证错误次数T进行量化:;
其中q为用户的认证错误次数T累计认证次数,T
q
为认证错误次数T的第q次数据,R为参数T的量化结果。
[0017]优选的,其中还包括预先创建风险识别引擎的步骤,具体包括如下子步骤:获取用户数据库;从用户数据库中提取用户认证请求数据;对认证请求数据进行预处理,获取环境参数;将未存在于用户数据库中的环境参数添加到用户数据库中;使用用户数据库中的数据进行训练,获得风险识别引擎。
[0018]优选的,其中环境参数包括发起认证的时间、发起认证的地点、发起认证的设备和准备接入的应用、认证错误次数量化值。
[0019]本申请实现的有益效果如下:采用本申请提供的动态检测认证系统和方法能够实现预先为用户建模,根据不同的用户因人而异的确定风险等级,从而提供更加安全的认证环境。
附图说明
[0020]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
[0021]图1是本申请的一种动态检测认证系统示意图;图2是实施例一提供的一种动态检测认证方法流程图;图3是实施例二提供的一种预先创建风险识别引擎的方法流程图。
具体实施方式
[0022]下面结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0023]如图1所示,本申请实施例一提供一种动态检测认证系统,包括用户110,客户端120和认证服务器130,其中,客户端120接收用户110的认证请求,并将所述认证请求发送到认证服务器130,认证服务器130执行下述动态检测认证方法。
[0024]实施例一本申请提供一种动态检测认证方法,如图2所示,包括:步骤210、响应于用户的认证请求,获取环境参数;
用户110从客户端120输入认证请求,并将所述认证请求通过网络发送到认证服务器130。认证服务器130响应于用户的认证请求,获取环境参数。其中环境参数包括发起认证的时间、发起认证的地点、发起认证的设备和准备接入的应用、认证错误次数量化值等等。
[0025]其中,响应于用户的认证请求,获取环境参数包括如下子步骤:步骤2101、从用户的认证请求中抽取待认证参数;其中待认证参数包括发起认证的时间、发起认证的地点、发起认证的设备和准备接入的应用、发起认证请求前的认证错误次数等等。其中发起认证前的认证错误次数,包括该用户在发次此次认证之前,历次认证时输入的错误次数,如果在认证请求中未携带,则使用认证请求中携带的用户ID,从认证服务器中保存的用户数据库中抽取。
[0026]步骤2102、对所述待认证参数进行数据预处理,以得到所述待认证用户的环境参数,所述预处理包括参数量化。
[0027]其中参数量化包括使用如下公式对认证错误次数T进行量化:;;;其中本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种动态检测认证方法,其特征在于,包括如下步骤:响应于用户的认证请求,获取环境参数;将环境参数输入预先构建的风险识别引擎,输出认证结果;根据认证结果认证用户。2.如权利要求1所述的动态检测认证方法,其中,响应于用户的认证请求,获取环境参数包括如下子步骤:从用户的认证请求中抽取待认证参数;对所述待认证参数进行数据预处理,以得到所述待认证用户的环境参数,所述预处理包括参数量化。3.如权利要求1所述的动态检测认证方法,其中参数量化包括使用如下公式对认证错误次数T进行量化:;;;其中q为用户的认证错误次数T累计认证次数,T
q
为认证错误次数T的第q次数据,R为参数T的量化结果。4.如权利要求1所述的动态检测认证方法,其中还包括预先创建风险识别引擎的步骤,具体包括如下子步骤:获取用户数据库;从用户数据库中提取用户认证请求数据;对认证请求数据进行预处理,获取环境参数;将未存在于用户数据库中的环境参数添加到用户数据库中;使用用户数据库中的数据进行训练,获得风险识别引擎。5.如权利要求1所述的动态检测认证方法,其中环境参数包括发起认证的时间、发起认证的地点、发起认证的设备和准备接入的应用、认证错误次数量化值。6.一种动态检测认证系统,包括客户端和认证服务器,其中:客...
【专利技术属性】
技术研发人员:刘铜强,
申请(专利权)人:北京安泰伟奥信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。