CN103685244B - 一种差异化认证方法及装置 - Google Patents
一种差异化认证方法及装置 Download PDFInfo
- Publication number
- CN103685244B CN103685244B CN201310627836.XA CN201310627836A CN103685244B CN 103685244 B CN103685244 B CN 103685244B CN 201310627836 A CN201310627836 A CN 201310627836A CN 103685244 B CN103685244 B CN 103685244B
- Authority
- CN
- China
- Prior art keywords
- user
- identifying algorithm
- algorithm
- certification
- identifying
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本发明适用计算机技术领域,提供了一种差异化认证方法及装置,所述方法包括:接收应用服务器发送的对用户进行认证的认证请求,所述认证请求包括认证的信用等级、所述用户接入的网络环境参数以及所述用户受攻击的历史信息;根据所述信用等级、所述网络环境参数以及所述用户受攻击的历史信息,计算对所述用户进行认证所需认证算法的认证强度;从预设的认证算法列表中获取所述认证强度对应的认证算法,根据所述获取的认证算法,与所述用户对应的应用程序客户端协商,以得到协商一致的认证算法;使用所述协商一致的认证算法对所述用户进行认证,从而实现了根据用户访问应用服务器时的安全状态,对用户实行差异化认证,提高了应用服务器的安全。
Description
技术领域
本发明属于计算机技术领域,尤其涉及一种差异化认证方法及装置。
背景技术
联盟身份管理(Federated Identity Management,FIdM)主要由用户、应用服务器、认证服务器三部分组成。用户事先在认证服务器上注册认证,当用户要访问某个应用服务器上的应用服务时,应用服务器请求对应的认证服务器对用户进行身份认证,认证服务器认证用户身份并返回认证结果信息,最后应用服务器根据认证结果决定是否授权用户访问资源。
然而,现有技术中认证服务器所选择的认证方法是由认证服务器和应用客户端协商选择的,认证方法的安全强度跟应用服务器提供的应用服务的安全需求是分开的。另外,认证方法的算法强度没有统一的分类。在选择认证方法时,认证双方一般通过简单的支持与不支持来协商决定最后的认证方法,从而无法针对具体的应用服务提供精确的差异化安全服务。一方面,若选择的算法安全强度不够,容易导致应用服务器的安全性降低,从而影响到网络安全,另一方面若选择的安全算法安全强度超过实际安全需求,容易导致用户使用业务的便利性下降,降低业务的吸引力。
发明内容
本发明实施例的目的在于提供一种差异化认证方法及装置,旨在解决由于现有技术无法针对具体的应用服务提供精确的差异化安全服务,导致应用服务器安全性较低的问题。
第一方面,本发明实施例提出了一种差异化认证方法,所述方法包括下述步骤:
接收应用服务器发送的对用户进行认证的认证请求,所述认证请求包括认证的信用等级、所述用户接入的网络环境参数以及所述用户受攻击的历史信息;
根据所述信用等级、所述网络环境参数以及所述用户受攻击的历史信息,计算对所述用户进行认证所需认证算法的认证强度;
从预设的认证算法列表中获取所述认证强度对应的认证算法,根据所述获取的认证算法,与所述用户对应的应用程序客户端协商,以得到协商一致的认证算法;
使用所述协商一致的认证算法对所述用户进行认证。
第二方面,本发明实施例提出了一种差异化认证装置,所述装置包括:
认证请求接收单元,用于接收应用服务器发送的对用户进行认证的认证请求,所述认证请求包括认证的信用等级、所述用户接入的网络环境参数以及所述用户受攻击的历史信息;
认证强度计算单元,用于根据所述信用等级、所述网络环境参数以及所述用户受攻击的历史信息,计算对所述用户进行认证所需认证算法的认证强度;
算法协商单元,用于从预设的认证算法列表中获取所述认证强度对应的认证算法,根据所述获取的认证算法,与所述用户对应的应用程序客户端协商,以得到协商一致的认证算法;以及
认证单元,用于使用所述协商一致的认证算法对所述用户进行认证。
本发明实施例根据应用服务器认证请求中包括的认证的信用等级、用户接入的网络环境参数以及用户受攻击的历史信息,计算对用户进行认证所需认证算法的认证强度,进而从预设的认证算法列表中获取认证强度对应的认证算法,与用户对应的应用程序客户端协商,最终得到协商一致的认证算法,进而对用户进行认证,从而实现了根据用户访问应用服务器时的安全状态,对用户实行差异化认证,提高了应用服务器的安全。
附图说明
图1是本发明实施例一提供的差异化认证方法的实现流程图;
图2是本发明实施例一提供的差异化认证方法的示意图;
图3是本发明实施例二提供的差异化认证装置的结构图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
以下结合具体实施例对本发明的具体实现进行详细描述:
实施例一:
图1示出了本发明实施例一提供的差异化认证方法的实现流程,详述如下:
在步骤S101中,接收应用服务器发送的对用户进行认证的认证请求,所述认证请求包括认证的信用等级、所述用户接入的网络环境参数以及所述用户受攻击的历史信息。
在本发明实施例中,应用服务器用于提供应用服务,当用户通过应用程序客户端请求访问应用服务器时,应用服务器请求认证服务器对用户进行认证。该认证服务器为应用服务提供者/应用服务器信任的认证服务提供者,例如,CA中心等。
在本发明实施例中,接收到的认证请求中包括认证的信用等级、用户接入的网络环境参数以及用户受攻击的历史信息。其中,认证的信用等级(Level ofAssurance,LoA)可使用标准化的标记来定义,例如,国际电信联盟的ITU-TX.1252文档中定义的LoA,这样可对信用等级进行标准化,有利于应用服务器与认证服务器之间的互联互通。网络环境参数可以包括用户接入的地理位置以及接入网络信息。作为示例地,根据地理位置信息认证服务器可判断出用户访问时所处的位置,例如,国内、国外、城市、农村、家里还是工作地等,从而得到位置对应的安全参数。根据接入网络信息,认证服务器可判断出用户访问时使用的网络类型,例如,专用网络还是公用网络等,进而可得到接入网络对应的安全参数。在具体实施例中,用户受攻击的历史信息包括应用服务器记录的在访问资源过程中的受攻击的历史信息、认证服务器本地存储的认证过程中所述用户受攻击的信息、以及安全网关记录的有关所述用户受攻击的历史信息,这些历史信息包括受攻击的次数、每次受攻击的地理位置以及接入网络信息,由用户受攻击的历史信息可以得到哪些用户是易受攻击用户、在哪里访问时易受攻击、通过何种网络接入以及在何时访问时受攻击等信息,从而为差异化认证提供了依据。
在步骤S102中,根据所述信用等级、所述网络环境参数以及所述用户受攻击的历史信息,计算对所述用户进行认证所需认证算法的认证强度。
在本发明实施例中,认证服务器根据接收到的信用等级、网络环境参数以及用户受攻击的历史信息,可计算出对用户进行认证所需认证算法的认证强度。本发明实施例所述的认证算法,包含认证协议以及支持认证协议所需的计算方法,例如密钥的生成方法、加密方法等。作为示例地,在计算认证强度时,可根据用户受攻击的历史信息,即受攻击的次数、每次受攻击的地理位置以及接入网络信息,通过将受攻击的次数、每次受攻击的地理位置以及接入网络信息作为参数输入,通过预设的数据挖掘算法,输出对应的安全参数。同理,由所述网络环境参数也可以得到对应的安全参数。因此,在本发明实施例中,可预先设置计算认证强度中安全参数的方法/模型或规则库等,由输入的用户接入的网络环境参数以及用户受攻击的历史信息分别得到对应的安全参数,从而提高认证过程中参数获取的自动化程度,有助于加快用户的认证过程,作为示例地,所述方法/模型可以为神经网络、朴素贝叶斯模型等。
进一步地,在得到对应的安全参数后,基于该安全参数以及认证的信用等级通过预设的映射方式得到用户进行认证所需的认证算法的认证强度。
在步骤S103中,从预设的认证算法列表中获取所述认证强度对应的认证算法,根据所述获取的认证算法,与所述用户对应的应用程序客户端协商,以得到协商一致的认证算法。
在本发明实施例中,可预先为不同认证强度配置对应的认证算法。具体地,由于一认证算法对应一认证强度,因此,可以将认证强度相同的认证算法放入一认证算法列表,将认证强度作为索引值。当通过步骤S102得到用户进行认证所需的认证强度时,在认证算法列表中检索该认证强度,当检索到该认证强度时,获取该认证强度对应的认证算法列表。
在获取认证强度对应的认证算法列表后,从中获取一认证算法,将该认证算法对应的标识发送给用户对应的应用程序客户端,当接收到应用程序客户端发送的确定信息时,确认该认证算法为协商一致的认证算法,当接收到应用程序客户端发送的否定信息时,从认证算法列表中获取下一认证算法,直至得到协商一致的认证算法。
在步骤S104中,使用所述协商一致的认证算法对所述用户进行认证。
在本发明实施例中,当步骤S103得到协商一致的认证算法时,使用该认证算法对用户进行认证。
作为示例地,图2示出了本发明的一实施例,在该实施例中,用户通过应用程序客户端向应用服务器发送访问应用服务请求,应用服务器请求认证服务器对用户进行认证,进而认证服务器与应用程序客户端进行算法协商,协商成功后对用户进行认证,其中,应用服务器向认证服务器发送的认证请求中包括认证的信用等级、用户接入的网络环境参数以及用户受攻击的历史信息等。这些信息表征了认证不同用户时的安全需求,从而为最终实现差异化认证提供了基础。
本发明实施例根据认证请求中用户接入的网络环境参数以及用户受攻击的历史信息,通过预设的算法获取对应的安全参数,提高认证过程中参数获取的自动化程度,加快了用户的认证过程,之后根据认证的信用等级和获取的安全参数,计算对用户进行认证所需认证算法的认证强度,进而从预设的认证算法列表中获取认证强度对应的认证算法,与用户对应的应用程序客户端协商,最终使用协商一致的认证算法对用户进行认证,从而实现了根据用户访问应用服务器时的安全状态,对用户实行差异化认证,提高了应用服务器的安全。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于一计算机可读取存储介质中,所述的存储介质,如ROM/RAM、磁盘、光盘等。
实施例二:
图3示出了本发明实施例二提供的差异化认证装置的结构,为了便于说明,仅示出了与本发明实施例相关的部分。
算法配置单元31,用于为预设的不同认证强度配置对应的认证算法。
认证请求接收单元32,用于接收应用服务器发送的对用户进行认证的认证请求,所述认证请求包括认证的信用等级、所述用户接入的网络环境参数以及所述用户受攻击的历史信息;
认证强度计算单元33,用于根据所述信用等级、所述网络环境参数以及所述用户受攻击的历史信息,计算对所述用户进行认证所需认证算法的认证强度;
算法协商单元34,用于从预设的认证算法列表中获取所述认证强度对应的认证算法,根据所述获取的认证算法,与所述用户对应的应用程序客户端协商,以得到协商一致的认证算法;以及
认证单元35,用于使用所述协商一致的认证算法对所述用户进行认证。
其中,算法协商单元34可以包括:
算法标识发送子单元341,用于从预设的认证算法列表中获取所述认证强度对应的一认证算法,将所述认证算法对应的标识发送给所述用户对应的应用程序客户端;以及
算法确认子单元342,用于当接收到所述应用程序客户端发送的确定信息时,确认该认证算法为协商一致的认证算法。
在本发明实施例中,在获取认证强度对应的认证算法列表后,从中获取一认证算法,将该认证算法对应的标识发送给用户对应的应用程序客户端,当接收到应用程序客户端发送的确定信息时,确认该认证算法为协商一致的认证算法,当接收到应用程序客户端发送的否定信息时,触发算法标识发送子单元341从认证算法列表中获取下一认证算法,直至得到协商一致的认证算法。
本发明实施例根据应用服务器认证请求中包括的认证的信用等级、用户接入的网络环境参数以及用户受攻击的历史信息,计算对用户进行认证所需认证算法的认证强度,进而从预设的认证算法列表中获取认证强度对应的认证算法,与用户对应的应用程序客户端协商,最终得到协商一致的认证算法,进而对用户进行认证,从而实现了根据用户访问应用服务器时的安全状态,对用户实行差异化认证,提高了应用服务器的安全。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种差异化认证方法,其特征在于,所述方法包括下述步骤:
接收应用服务器发送的对用户进行认证的认证请求,所述认证请求包括认证的信用等级、用户接入的网络环境参数以及用户受攻击的历史信息;
根据所述信用等级、所述网络环境参数以及所述用户受攻击的历史信息,计算对所述用户进行认证所需认证算法的认证强度;
从预设的认证算法列表中获取所述认证强度对应的认证算法,根据所述获取的认证算法,与所述用户对应的应用程序客户端协商,以得到协商一致的认证算法;
使用所述协商一致的认证算法对所述用户进行认证;
其中,从预设的认证算法列表中获取所述认证强度对应的认证算法,根据所述获取的认证算法,与所述用户对应的应用程序客户端协商,以得到协商一致的认证算法的步骤包括:
从预设的认证算法列表中获取所述认证强度对应的一认证算法,将所述认证算法对应的标识发送给所述用户对应的应用程序客户端;
当接收到所述应用程序客户端发送的确定信息时,确认该认证算法为协商一致的认证算法;
当接收到所述应用程序客户端发送的否定信息时,从所述认证算法列表中获取所述认证强度对应的下一认证算法,直至得到协商一致的认证算法。
2.如权利要求1所述的方法,其特征在于,在从预设的认证算法列表中获取所述认证强度对应的认证算法的步骤之前,所述方法还包括步骤:
为预设的不同认证强度配置对应的认证算法。
3.如权利要求1至2任一所述的方法,其特征在于,所述网络环境参数包括用户接入的地理位置以及接入网络信息。
4.如权利要求1至2任一所述的方法,其特征在于,所述用户受攻击的历史信息包括受攻击的次数、每次受攻击的地理位置以及接入网络信息。
5.一种差异化认证装置,其特征在于,所述装置包括:
认证请求接收单元,用于接收应用服务器发送的对用户进行认证的认证请求,所述认证请求包括认证的信用等级、用户接入的网络环境参数以及用户受攻击的历史信息;
认证强度计算单元,用于根据所述信用等级、所述网络环境参数以及所述用户受攻击的历史信息,计算对所述用户进行认证所需认证算法的认证强度;
算法协商单元,用于从预设的认证算法列表中获取所述认证强度对应的认证算法,根据所述获取的认证算法,与所述用户对应的应用程序客户端协商,以得到协商一致的认证算法;以及
认证单元,用于使用所述协商一致的认证算法对所述用户进行认证;
所述算法协商单元包括:
算法标识发送子单元,用于从预设的认证算法列表中获取所述认证强度对应的一认证算法,将所述认证算法对应的标识发送给所述用户对应的应用程序客户端;以及
算法确认子单元,用于当接收到所述应用程序客户端发送的确定信息时,确认该认证算法为协商一致的认证算法。
6.如权利要求5所述的装置,其特征在于,所述装置还包括:
算法配置单元,用于为预设的不同认证强度配置对应的认证算法。
7.如权利要求5至6任一所述的装置,其特征在于,所述网络环境参数包括用户接入的地理位置以及接入网络信息。
8.如权利要求5至6任一所述的装置,其特征在于,所述用户受攻击的历史信息包括受攻击的次数、每次受攻击的地理位置以及接入网络信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310627836.XA CN103685244B (zh) | 2013-11-28 | 2013-11-28 | 一种差异化认证方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310627836.XA CN103685244B (zh) | 2013-11-28 | 2013-11-28 | 一种差异化认证方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103685244A CN103685244A (zh) | 2014-03-26 |
CN103685244B true CN103685244B (zh) | 2017-01-04 |
Family
ID=50321559
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310627836.XA Active CN103685244B (zh) | 2013-11-28 | 2013-11-28 | 一种差异化认证方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103685244B (zh) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103957103B (zh) * | 2014-04-17 | 2017-07-04 | 小米科技有限责任公司 | 安全验证的方法、装置及移动终端 |
CN107454042A (zh) * | 2016-05-31 | 2017-12-08 | 中兴通讯股份有限公司 | 报文发送、接收方法及装置 |
CN105933328B (zh) * | 2016-06-12 | 2017-07-18 | 北京三快在线科技有限公司 | 一种用户访问行为的处理方法和装置 |
CN107743112A (zh) * | 2016-10-31 | 2018-02-27 | 腾讯科技(深圳)有限公司 | 一种身份验证方法、装置和系统 |
CN109873794B (zh) * | 2017-12-04 | 2022-11-08 | 北京安云世纪科技有限公司 | 一种拒绝服务攻击的防护方法及服务器 |
CN110046785A (zh) * | 2018-12-26 | 2019-07-23 | 阿里巴巴集团控股有限公司 | 一种业务处理方法、设备及其电子设备 |
CN110290142B (zh) * | 2019-06-28 | 2021-10-22 | 腾讯科技(深圳)有限公司 | 基于场景的鉴权方法、装置、服务器及存储介质 |
CN113965369B (zh) * | 2021-10-19 | 2024-05-28 | 北京顶象技术有限公司 | 一种验证图形获取方法及装置 |
CN114584381A (zh) * | 2022-03-07 | 2022-06-03 | 云知声智能科技股份有限公司 | 基于网关的安全认证方法、装置、电子设备和存储介质 |
CN116599777B (zh) * | 2023-07-18 | 2023-09-26 | 北京睿芯高通量科技有限公司 | 一种多端多级认证、鉴权的方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101911585A (zh) * | 2008-01-04 | 2010-12-08 | 微软公司 | 基于认证输入属性的选择性授权 |
CN102510337A (zh) * | 2011-12-15 | 2012-06-20 | 复旦大学 | 一种量化风险和收益自适应的动态多因子认证方法 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6845453B2 (en) * | 1998-02-13 | 2005-01-18 | Tecsec, Inc. | Multiple factor-based user identification and authentication |
US8504704B2 (en) * | 2004-06-16 | 2013-08-06 | Dormarke Assets Limited Liability Company | Distributed contact information management |
CN101136904A (zh) * | 2006-10-10 | 2008-03-05 | 中兴通讯股份有限公司 | 一种接入网鉴权服务器通知发起接入鉴权的方法 |
CN101170811B (zh) * | 2006-10-24 | 2010-09-01 | 中兴通讯股份有限公司 | 通用引导体系中安全等级的协商方法 |
CN100574325C (zh) * | 2006-12-26 | 2009-12-23 | 北京大学 | 一种Web通信加密方法 |
-
2013
- 2013-11-28 CN CN201310627836.XA patent/CN103685244B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101911585A (zh) * | 2008-01-04 | 2010-12-08 | 微软公司 | 基于认证输入属性的选择性授权 |
CN102510337A (zh) * | 2011-12-15 | 2012-06-20 | 复旦大学 | 一种量化风险和收益自适应的动态多因子认证方法 |
Also Published As
Publication number | Publication date |
---|---|
CN103685244A (zh) | 2014-03-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103685244B (zh) | 一种差异化认证方法及装置 | |
CN108665946B (zh) | 一种业务数据的访问方法和装置 | |
US11481511B2 (en) | Secure identity and profiling system | |
US20170316497A1 (en) | Method for creating, registering, revoking authentication information and server using the same | |
JP6574168B2 (ja) | 端末識別方法、ならびにマシン識別コードを登録する方法、システム及び装置 | |
CN105207996A (zh) | 账户合并方法及装置 | |
CN111787530B (zh) | 一种基于sim卡的区块链数字身份管理方法 | |
CN104506487B (zh) | 云环境下隐私策略的可信执行方法 | |
CN105099673A (zh) | 一种授权方法、请求授权的方法及装置 | |
CN109460966A (zh) | 基于请求方类别的合同签订方法、装置及终端设备 | |
CN105516110A (zh) | 移动设备安全数据传送方法 | |
CN105591744A (zh) | 一种网络实名认证方法及系统 | |
CN101321064A (zh) | 一种基于数字证书技术的信息系统的访问控制方法及装置 | |
WO2016065186A1 (en) | Method and apparatus for facilitating the login of an account | |
EP3804218B1 (en) | Blockchain based access control using time-dependent obfuscation of access tokens | |
CN104038486A (zh) | 一种基于标识型密码实现用户登录鉴别的系统及方法 | |
CN105100034A (zh) | 一种网络应用中访问功能的方法和设备 | |
CN103095733A (zh) | 一种面向云存储的关键字密文检索方法 | |
CN105871786A (zh) | 一种用户信息的验证方法、装置和系统 | |
CN105450750A (zh) | 智能终端安全交互方法 | |
CN111292174A (zh) | 一种纳税信息处理方法、装置及计算机可读存储介质 | |
CN105635168A (zh) | 一种脱机交易装置及其安全密钥的使用方法 | |
CN110442654A (zh) | 违约信息查询方法、装置、计算机设备和存储介质 | |
CN105162774A (zh) | 虚拟机登陆方法、用于终端的虚拟机登陆方法及装置 | |
CN103532989A (zh) | 文件数据的下载方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |