CN104767723B - 一种认证方法及装置 - Google Patents

一种认证方法及装置 Download PDF

Info

Publication number
CN104767723B
CN104767723B CN201410008226.6A CN201410008226A CN104767723B CN 104767723 B CN104767723 B CN 104767723B CN 201410008226 A CN201410008226 A CN 201410008226A CN 104767723 B CN104767723 B CN 104767723B
Authority
CN
China
Prior art keywords
user
active user
current
degree
belief information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201410008226.6A
Other languages
English (en)
Other versions
CN104767723A (zh
Inventor
马亮
黄丽云
姚朋伟
徐冬涛
韩恩
郭璇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Group Hebei Co Ltd
Original Assignee
China Mobile Group Hebei Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Group Hebei Co Ltd filed Critical China Mobile Group Hebei Co Ltd
Priority to CN201410008226.6A priority Critical patent/CN104767723B/zh
Publication of CN104767723A publication Critical patent/CN104767723A/zh
Application granted granted Critical
Publication of CN104767723B publication Critical patent/CN104767723B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明公开了一种认证方法,所述方法包括:接收当前用户的当前登录请求;确定所述当前用户的当前信任度信息;确定出所述当前信任度信息超出预设的可信度区间且接收到所述当前用户的二次登录请求时,为所述当前用户分配当前登录口令,使所述当前用户利用所述当前登录口令进行登录;确定出所述当前信任度信息未超出所述可信度区间时,为所述当前用户分配当前登录口令,使所述当前用户利用所述当前登录口令进行登录;同时,本发明还公开了一种认证装置。利用本发明的技术方案,加强了访问安全性,节省了成本。

Description

一种认证方法及装置
技术领域
本发明涉及认证技术,具体涉及一种认证方法及装置。
背景技术
在Linux、Unix、伯克利软件套件(BSD,Berkeley Software Distribution)等操作系统中,在远程访问服务器时,为保证访问安全性,需要采用双因子口令认证技术对当前用户的口令进行合法性认证。而利用双因子口令认证技术实现在服务器上的成功登录,需要在服务器端额外配置密码生成器与认证服务器,无形当中增加了成本。同时,密码生成器生成的认证密码在本质上仅采用单个密钥,当该单个密钥被不法人员识别后,由该密码生成器生成的所有认证密码均可被破解,不法人员也可利用破解后的密码对服务器进行访问,无法保证访问服务器的安全性。
发明内容
为解决现有存在的技术问题,本发明实施例提供了一种认证方法及装置,能够提高对服务器访问的安全性,无需额外配置资源,节省了成本。
为达到上述目的,本发明实施例的技术方案是这样实现的:
本发明实施例提供了一种认证方法,所述方法包括:
接收当前用户的当前登录请求;
确定所述当前用户的当前信任度信息;
确定出所述当前信任度信息超出预设的可信度区间且接收到所述当前用户的二次登录请求时,为所述当前用户分配当前登录口令,使所述当前用户利用所述当前登录口令进行登录;
确定出所述当前信任度信息未超出所述可信度区间时,为所述当前用户分配当前登录口令,使所述当前用户利用所述当前登录口令进行登录。
上述方案中,所述为所述当前用户分配当前登录口令,包括:
读取数据库中存储的登录密码,将所读取的登录密码解密为明文密码,并将所述明文密码作为所述当前登录口令分配给所述当前用户。
上述方案中,在为所述当前用户分配当前登录口令之后,所述方法还包括:
为所述当前登录口令设置有效期限并监测所述有效期限是否结束;
当监测到所述有效期限结束时,更新所述数据库中的登录密码。
上述方案中,所述确定所述当前用户的信任度信息,包括:
在存储的用户标识与信任度信息之间的对应关系中,依据所述当前登录请求中携带的当前用户的用户标识,查找出所述当前用户的当前信任度信息。
上述方案中,所述方法还包括:
监测为所述当前用户的当前信任度信息设置的更新周期是否到来,并在监测到所述更新周期到来时,更新所述当前用户的当前信任度信息。
上述方案中,所述更新所述当前用户的当前信任度信息,包括:
确定所述更新周期内进行登录的所有用户中的每个用户成功登录服务器次数的平均值、所有用户中的每个用户登录时使用的网际IP地址占可信任IP段的比例的平均值、以及所有用户中的每个用户登录服务器的时间占工作时间比例的平均值;
确定所述更新周期内所有用户成功登录服务器次数的平均值、所有用户登录时使用的IP地址占可信任IP段的比例的平均值、以及所有用户登录服务器的时间占工作时间的比例的平均值;
确定所述更新周期内所有用户成功登录服务器次数的标准差、所有用户登录时使用的IP地址占可信任IP段的比例的标准差、以及所有用户登录服务器的时间占工作时间的比例的标准差;
依据所述更新周期内所有用户成功登录服务器次数的平均值及对应的标准差,确定所述当前用户的待更新的信任度信息中的第一变化量;
依据所述更新周期内所有用户登录时使用的IP地址占可信任IP段比例的平均值及对应的标准差,确定所述当前用户的待更新的信任度信息中的第二变化量;
依据所述更新周期内所有用户登录服务器的时间占工作时间比例的平均值及对应的标准差,确定所述当前用户的待更新的信任度信息中的第三变化量;
依据所述第一变化量、第二变化量、第三变化量以及所述当前用户的当前信任度信息,对所述当前用户的当前信任度信息进行更新。
本发明实施例还提供了一种认证装置,所述装置包括:接收单元、第一确定单元、确定与接收单元、第二确定单元,分配单元;其中,
所述接收单元,用于接收当前用户的当前登录请求;
所述第一确定单元,用于确定所述当前用户的当前信任度信息;
所述确定与接收单元,用于确定出所述当前信任度信息超出预设的可信度区间且接收到所述当前用户的二次登录请求时,触发所述分配单元;
所述第二确定单元,用于确定出所述当前信任度信息未超出所述可信度区间时,触发所述分配单元;
所述分配单元,用于为所述当前用户分配当前登录口令,使所述当前用户利用所述当前登录口令进行登录。
上述方案中,所述分配单元,还用于读取数据库中存储的登录密码,将所读取的登录密码解密为明文密码,并将所述明文密码作为所述当前登录口令分配给所述当前用户。
上述方案中,所述装置还包括:第一设置单元、第一监测单元、第一更新单元;其中,
所述第一设置单元,用于为所述当前登录口令设置有效期限;
所述第一监测单元,用于监测所述有效期限是否结束,当监测到所述有效期限结束时,触发所述第一更新单元;
所述第一更新单元,用于更新所述数据库中的登录密码。
上述方案中,所述第一确定单元,还用于在存储的用户标识与信任度信息之间的对应关系中,依据所述当前登录请求中携带的当前用户的用户标识,查找出所述当前用户的当前信任度信息。
上述方案中,所述装置还包括:第二设置单元、第二监测单元、第二更新单元;其中,
所述第一设置单元,用于为所述当前用户的当前信任度信息设置更新周期;
所述第二监测单元,用于监测所述更新周期是否到来,当监测到所述更新周期到来时,触发所述第二更新单元;
所述第二更新单元,用于更新所述当前用户的当前信任度信息。
上述方案中,所述第二更新单元包括:
第一确定子单元、第二确定子单元、第三确定子单元、第四确定子单元、第五确定子单元、第六确定子单元以及更新子单元;其中,
所述第一确定子单元,用于确定所述更新周期内进行登录的所有用户中的每个用户成功登录服务器次数的平均值、所有用户中的每个用户登录时使用的网际IP地址占可信任IP段的比例的平均值、以及所有用户中的每个用户登录服务器的时间占工作时间比例的平均值;
所述第二确定子单元,用于确定所述更新周期内所有用户成功登录服务器次数的平均值、所有用户登录时使用的IP地址占可信任IP段的比例的平均值、以及所有用户登录服务器的时间占工作时间的比例的平均值;
所述第三确定子单元,用于确定所述更新周期内所有用户成功登录服务器次数的标准差、所有用户登录时使用的IP地址占可信任IP段的比例的标准差、以及所有用户登录服务器的时间占工作时间的比例的标准差;
所述第四确定子单元,用于依据所述更新周期内所有用户成功登录服务器次数的平均值及对应的标准差,确定所述当前用户的待更新的信任度信息中的第一变化量;
所述第五确定子单元,用于依据所述更新周期内所有用户登录时使用的IP地址占可信任IP段比例的平均值及对应的标准差,确定所述当前用户的待更新的信任度信息中的第二变化量;
所述第六确定子单元,用于依据所述更新周期内所有用户登录服务器的时间占工作时间比例的平均值及对应的标准差,确定所述当前用户的待更新的信任度信息中的第三变化量;
所述更新子单元,用于依据所述第一变化量、第二变化量、第三变化量以及所述当前用户的当前信任度信息,对所述当前用户的当前信任度信息进行更新。
本发明实施例提供的认证方法及装置,接收当前用户的当前登录请求;确定所述当前用户的当前信任度信息;确定出所述当前信任度信息超出预设的可信度区间且接收到所述当前用户的二次登录请求时,为所述当前用户分配当前登录口令,使所述当前用户利用所述当前登录口令进行登录;确定出所述当前信任度信息未超出所述可信度区间时,为所述当前用户分配当前登录口令,使所述当前用户利用所述当前登录口令进行登录。利用本发明实施例的技术方案,无需额外配置资源,节省了成本;同时,对于没有超出可信度区间的访问用户允许访问服务器,对于超出可信度区间的访问用户还需要在接收到其二次登录请求后才允许其访问,加强了访问安全性。
附图说明
图1为本发明实施例的认证方法的实现流程图;
图2为本发明实施例的认证方法的具体实现流程图;
图3为本发明实施例的认证装置的组成结构示意图。
具体实施方式
以下结合附图对本发明的优选实施例进行详细说明,应当理解,以下所说明的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
图1为本发明实施例提供的认证方法的实现流程图;如图1所示,所述方法包括:
步骤101:接收当前用户的当前登录请求。
这里,在用户想要登录服务器或通过单点登录方式实现登录时,向服务器发出登录请求,例如:输入当前用户的用户账号;其中,所述登录请求携带有当前用户的用户标识(用户账号)等。
步骤102:确定所述当前用户的当前信任度信息。
服务器接收到所述用户的当前登录请求后,依据所述登录请求携带的用户标识,查找所述用户的当前信任度信息。监测为所述用户的信任度信息设置的更新周期是否到来,当所述更新周期到来时,更新所述用户的信任度信息。
步骤103:确定出所述当前信任度信息超出预设的可信度区间且接收到所述当前用户的二次登录请求时,为所述当前用户分配当前登录口令,使所述当前用户利用所述当前登录口令进行登录。
这里,分配当前登录口令之后,为所述当前登录口令设置有效期限,在所述有效期限内,所述用户利用所述当前登录口令登录所述服务器;当所述有效期限结束时,禁止所述用户利用所述当前登录口令登录所述服务器,所述服务器对登录口令进行更新。
步骤104:确定出所述当前信任度信息未超出所述可信度区间时,为所述当前用户分配当前登录口令,使所述当前用户利用所述当前登录口令进行登录。
当所述服务器确定所述用户的信任度信息未超出预设的可信度区间时,说明所述用户为所述服务器可信任的用户,读取数据库中存储的登录密码,并将读取到的登录密码解密为明文密码,并作为所述当前登录口令分配给所述用户,使所述用户使用所述登录口令登录至所述服务器。当为所述用户的登录口令分配的有效期限结束时,所述用户无法再利用所述当前登录口令登录所述服务器,所述服务器对登录口令进行更新。
由此可见,本发明实施例允许没有超出可信度区间的访问用户访问服务器,对于超出可信度区间的访问用户还需要在接收到其二次登录请求后才允许其访问,加强了访问安全性;此外,无需额外配置密码生成器与认证服务器,节省了成本。
上述方案中,对登录用户的信任度信息进行更新,包括:
首先,确定所述更新周期内进行登录的所有用户中的每个用户成功登录服务器次数的平均值、所有用户中的每个用户登录时使用的网际IP地址占可信任IP段的比例的平均值、以及所有用户中的每个用户登录服务器的时间占工作时间比例的平均值。具体的,所述用户信任度指的是每个用户都有一个与之相关的信任度数据Mi,Mi∈[0,1],i表示第i个用户。现以设置的信任度信息的更新周期为一周、更新周期内的每等间隔时间为一天、所述当前用户的当前登录下的信任度Mi为Miold为例。
统计一周内与用户的信任度信息相关的以下三个变量:
(1)用户成功登录服务器如主机次数Li;(2)用户登录主机时使用的网际协议(IP,Internet Protocol)地址占可信任IP段的比例Pi;(3)用户登录主机的时间占工作时间的比例Ti;其中,所述可信任IP段、工作时间的时长均可根据实际应用情况,自行设置。
假设Lix为用户i在一周内的第x(x≤7)天的成功登录主机的次数;Pix为用户i在一周内的第x天登录主机时使用的IP地址占可信任IP段的比例;Tix为用户i在一周内的第x天登录主机的时间占工作时间内的比例;则一周内用户i成功登录主机次数的集合为[Li1,Li2....Li7];用户i使用的IP占可信任IP段的比例的集合为[Pi1,Pi2....Pi7];用户i登录主机的时间占工作时间的比例的集合为[Ti1,Ti2....Ti7]。
计算用户i(单个用户)在一周内成功登录主机次数的平均值一周内使用的IP地址占可信任IP段的比例平均值以及一周内登录主机的时间占工作时间的比例平均值其中,
一周内访问Linux系统的主机的用户为N(N为正整数)时,N个用户在一周内产生的N个成功登录主机次数的平均值为N个用户登录时所使用IP地址占可信任IP地址的比例平均值为N个用户登录时间占工作时间的比例平均值为
其次,确定所述更新周期内所有用户成功登录服务器次数的平均值、所有用户登 录时使用的网际IP地址占可信任IP段的比例的平均值、以及所有用户登录服务器的时间占 工作时间的比例的平均值。具体的,计算所有用户在该周内成功登录主机的次数的平均值所有用户在该周内登录主机时使用的IP地址占可信任 IP段的比例平均值所有用户在该周内登录主机的时间占 工作时间的比例平均值
再次,确定所述更新周期内所有用户成功登录服务器次数的标准差、所有用户登录时使用的网际IP地址占可信任IP段的比例的标准差、以及所有用户登录服务器的时间占工作时间的比例的标准差。具体的,计算该一周内所有用户成功登录主机次数的标准差σL、该一周内所有用户登录主机时使用的IP地址占可信任IP段的比例的标准差σP、以及该一周内所有用户登录主机的时间占工作时间的比例的标准差σT;其中,
通过对正态分布图及标准差的规则的分析,可得到第一变化量ΔMLi的取值为:
得到第二变化量ΔMPi的取值为:
得到第三变化量ΔMTi的取值为:
其中i∈[1,N]。
最后,依据所述第一变化量、第二变化量、第三变化量以及所述当前用户的当前信任度信息,对所述当前用户的当前信任度信息进行更新;具体的,当前用户的更新后的信任度Mi new=Mi old+ΔMi=Mi old+(ΔMLi+ΔMPi+ΔMTi)/3;并在服务器中存储当前用户的用户标识与更新后的信任度信息之间的对应关系,以便于当前用户对服务器的下一次访问。
这里,经过大量的实验,在用户初次登录服务器时可设置该用户的M=0.5;为保证用户登录服务器的安全性,预设的可信度区间取值可以为[0.8,1]。
图2为本发明实施例的认证方法的具体实现流程图;下面结合图2对本发明实施例的技术方案作进一步说明。
步骤201:服务器接收用户A的当前登录请求;
这里,所述用户A向所述服务器输入自己的用户账号。
步骤202:服务器依据用户A的用户账号,在存储的用户标识如用户账号与信任度信息之间的对应关系中,查找用户A的信任度。
步骤203:判断用户A的信任度是否超出预设的可信度区间;判断为是时,执行步骤204;判断为否时,执行步骤205。
步骤204:启动服务器的金库模式,在该金库模式下,服务器发送用户A的登录请求至审批人,服务器接收审批人发送的验证码,继续执行步骤205。
这里,考虑到服务器登录的安全性,采用了金库模式,在该金库模式下由至少两个审批人(高权限的服务器管理者)对登录服务器的用户进行监督;服务器可通过短信方式将用户A的登录请求发送至审批人,当审批人确认请求登录的用户符合登录要求如该用户是合法用户时,通过短信方式向服务器发送一验证码,用以表示审批人同意该用户的登录请求。所述验证码可以作为用户A向服务器发出的二次登录请求。
步骤205:服务器向数据库读取登录密码,并将读取到的登录密码解密为明文密码,并将该明文密码分配给用户A,使得用户A使用该明文密码进行服务器的登录。
这里,金库模式下,服务器可通过显示屏展示或短信方式将明文密码输出给用户A。
步骤206:服务器为登录口令设置有效期限,并监测所述有效期限是否结束;当监测到所述有效期限结束时,自动更新登录口令,并将更新后的登录口令存储于数据库中,以便下一次使用。
本步骤中,可以设置状态标识位用以标识有效期限是否结束;当为用户A分配明文密码时,设置该状态标识位为1(或为0);监测到状态标识位由1跳变为0(或者由0跳变为1)时,说明有效期限结束。
步骤207:服务器对用户A的信任度信息的更新周期进行监测,当监测到更新周期到来时,对用户的信任度信息进行更新,并保存用户的用户标识与更新后的信任度信息之间的对应关系,以方便下一次用户A的登录。
本步骤中,所述采用的信任度信息的更新方法请参见前述说明,此处不再赘述。
步骤208:服务器记录审计日志。
本步骤中,将状态标识位由1跳变为0状态作为预设触发器的触发,触发器接收到所述触发时,服务器记录用户A的审计日志,以便日后查询;所述审计日志包括:对请求当前登录口令的申请人(用户A)、申请开始时间、申请结束时间等信息。
由此可见,本发明实施例只允许没有超出可信度区间的访问用户访问服务器,对于超出可信度区间的访问用户还需要在接收到其二次登录请求后才允许其访问,加强了访问安全性;实现了对用户信任度信息的更新,保证了信任度信息的及时变化,体现了设备的人性化;同时,本发明实施例无需额外配置密码生成器与认证服务器,节省了成本。
基于上述认证方法,本发明实施例还提供了一种认证装置;图3为本发明实施例提供的认证装置的组成结构示意图;如图3所示,所述装置包括:接收单元301、第一确定单元302、确定与接收单元303、第二确定单元304,分配单元305;其中,
所述接收单元301,用于接收当前用户的当前登录请求;
所述第一确定单元302,用于确定所述当前用户的当前信任度信息;
所述确定与接收单元303,用于确定出所述当前信任度信息超出预设的可信度区间且接收到所述当前用户的二次登录请求时,触发所述分配单元305;
所述第二确定单元304,用于确定出所述当前信任度信息未超出所述可信度区间时,触发所述分配单元305;
所述分配单元305,用于为所述当前用户分配当前登录口令,使得所述当前用户利用所述当前登录口令进行登录。
如图3所示,所述装置还包括:第一设置单元306、第一监测单元307、第一更新单元308、第二设置单元309、第二监测单元310及第二更新单元311;其中,
所述第一设置单元306,用于为所述当前登录口令设置有效期限;
所述第一监测单元307,用于监测所述有效期限,当监测到所述有效期限结束时,触发所述第一更新单元308;
所述第一更新单元308,用于更新所述数据库中的登录密码;
所述第二设置单元309,用于为所述当前用户的当前信任度信息设置更新周期;
所述第二监测单元310,用于监测所述更新周期,当监测到所述更新周期到来时,触发所述第二更新单元311;
所述第二更新单元311,用于更新所述当前用户的当前信任度信息。
具体的,服务器、具体是所述接收单元301接收用户A的当前登录请求,并将接收到的当前登录请求输出至所述第一确定单元302;所述第一确定单元302依据用户A的用户标识如用户账号,在存储的用户标识与信任度信息之间的对应关系中,查找出用户A的信任度;所述确定与接收单元303判断出用户A的信任度超出预设的可信度区间时,启动预设的金库模式,在该模式下,发送用户A的登录请求至审批人,并在接收到审批人通过短信方式发送的验证码时触发所述分配单元305;所述分配单元305读取数据库中存储的登录密码,并将读取到的登录密码解密为明文密码,并将该明文密码分配给用户A,使得用户A使用该明文密码进行登录。
所述第二确定单元304判断出用户A的信任度未超出预设的可信度区间时,触发所述分配单元305;所述分配单元305读取数据库中存储的登录密码,并将读取到的登录密码解密为明文密码,并将该明文密码分配给用户A,使用户A使用该明文密码进行登录。
在所述分配单元305为用户A分配登录口令时,所述第一设置单元306为登录口令设置有效期限,所述第一监测单元307对所述有效期限进行监测,当监测到所述有效期限结束时,触发所述第一更新单元308;所述第一更新单元308更新所述数据库中的登录密码。
所述第二监测单元310监测所述第二设置单元309为用户A的当前信任度信息设置的更新周期,当监测到所述更新周期到来时,触发所述第二更新单元311;所述第二更新单元311,用于更新所述用户A的当前信任度信息。
如图3所示,所述第二更新单元311进一步包括:第一确定子单元3111、第二确定子单元3112、第三确定子单元3113、第四确定子单元3114、第五确定子单元3115、第六确定子单元3116以及更新子单元3117;其中,
所述第一确定子单元3111,用于确定所述更新周期内进行登录的所有用户中的每个用户成功登录服务器次数的平均值、所有用户中的每个用户登录时使用的IP地址占可信任IP段的比例的平均值、以及所有用户中的每个用户登录服务器的时间占工作时间比例的平均值;
所述第二确定子单元3112,用于确定所述更新周期内所有用户成功登录服务器次数的平均值、所有用户登录时使用的IP地址占可信任IP段的比例的平均值、以及所有用户登录服务器的时间占工作时间的比例的平均值;
所述第三确定子单元3113,用于确定所述更新周期内所有用户成功登录服务器次数的标准差、所有用户登录时使用的IP地址占可信任IP段的比例的标准差、以及所有用户登录服务器的时间占工作时间的比例的标准差;
所述第四确定子单元3114,用于依据所述更新周期内所有用户成功登录服务器次数的平均值及对应的标准差,确定所述用户的待更新的信任度信息中的第一变化量;
所述第五确定子单元3115,用于依据所述更新周期内所有用户登录时使用的网际IP地址占可信任IP段比例的平均值及对应的标准差,确定所述用户的待更新的信任度信息中的第二变化量;
所述第六确定子单元3116,用于依据所述更新周期内所有用户登录服务器的时间占工作时间比例的平均值及对应的标准差,确定所述用户的待更新的信任度信息中的第三变化量;
所述更新子单元3117,用于依据所述第一变化量、第二变化量、第三变化量以及所述当前用户的当前信任度信息,对所述当前用户的当前信任度信息进行更新。
这里,所述第二更新单元311及其各组成子单元所实现的更新用户的信任度信息的具体过程请参见前述方法的说明,这里不再赘述。
由此可见,本发明实施例只允许没有超出可信度区间的访问用户访问服务器,对于超出可信度区间的访问用户还需要在接收到其二次登录请求后才允许其访问,加强了访问安全性;此外,本发明实施例实现了对用户信任度信息的更新,保证了信任度信息的及时变化,体现了设备的人性化;同时,本发明实施例无需额外配置密码生成器与认证服务器,节省了成本。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。

Claims (12)

1.一种认证方法,其特征在于,所述方法包括:
接收当前用户的当前登录请求;
确定所述当前用户的当前信任度信息;
确定出所述当前信任度信息超出预设的可信度区间且接收到所述当前用户的二次登录请求时,为所述当前用户分配当前登录口令,使所述当前用户利用所述当前登录口令进行登录;
确定出所述当前信任度信息未超出所述可信度区间时,为所述当前用户分配当前登录口令,使所述当前用户利用所述当前登录口令进行登录;
其中,依据更新周期内所有用户成功登录服务器次数的平均值及对应的标准差,确定所述当前用户的待更新的信任度信息中的第一变化量;依据所述更新周期内所有用户登录时使用的IP地址占可信任IP段比例的平均值及对应的标准差,确定所述当前用户的待更新的信任度信息中的第二变化量;依据所述更新周期内所有用户登录服务器的时间占工作时间比例的平均值及对应的标准差,确定所述当前用户的待更新的信任度信息中的第三变化量;依据所述第一变化量、第二变化量、第三变化量以及所述当前用户的当前信任度信息,对所述当前用户的当前信任度信息进行更新。
2.根据权利要求1所述的方法,其特征在于,所述为所述当前用户分配当前登录口令,包括:
读取数据库中存储的登录密码,将所读取的登录密码解密为明文密码,并将所述明文密码作为所述当前登录口令分配给所述当前用户。
3.根据权利要求2所述的方法,其特征在于,在为所述当前用户分配当前登录口令之后,所述方法还包括:
为所述当前登录口令设置有效期限并监测所述有效期限是否结束;
当监测到所述有效期限结束时,更新所述数据库中的登录密码。
4.根据权利要求1至3任一项所述的方法,其特征在于,所述确定所述当前用户的当前信任度信息,包括:
在存储的用户标识与信任度信息之间的对应关系中,依据所述当前登录请求中携带的当前用户的用户标识,查找出所述当前用户的当前信任度信息。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
监测为所述当前用户的当前信任度信息设置的更新周期是否到来,并在监测到所述更新周期到来时,更新所述当前用户的当前信任度信息。
6.根据权利要求5所述的方法,其特征在于,所述更新所述当前用户的当前信任度信息,包括:
确定所述更新周期内进行登录的所有用户中的每个用户成功登录服务器次数的平均值、所有用户中的每个用户登录时使用的网际IP地址占可信任IP段的比例的平均值、以及所有用户中的每个用户登录服务器的时间占工作时间比例的平均值;
确定所述更新周期内所有用户成功登录服务器次数的平均值、所有用户登录时使用的IP地址占可信任IP段的比例的平均值、以及所有用户登录服务器的时间占工作时间的比例的平均值;
确定所述更新周期内所有用户成功登录服务器次数的标准差、所有用户登录时使用的IP地址占可信任IP段的比例的标准差、以及所有用户登录服务器的时间占工作时间的比例的标准差。
7.一种认证装置,其特征在于,所述装置包括:接收单元、第一确定单元、确定与接收单元、第二确定单元,分配单元;其中,
所述接收单元,用于接收当前用户的当前登录请求;
所述第一确定单元,用于确定所述当前用户的当前信任度信息;
所述确定与接收单元,用于确定出所述当前信任度信息超出预设的可信度区间且接收到所述当前用户的二次登录请求时,触发所述分配单元;
所述第二确定单元,用于确定出所述当前信任度信息未超出所述可信度区间时,触发所述分配单元;
所述分配单元,用于为所述当前用户分配当前登录口令,使所述当前用户利用所述当前登录口令进行登录;
其中,依据更新周期内所有用户成功登录服务器次数的平均值及对应的标准差,确定所述当前用户的待更新的信任度信息中的第一变化量;依据所述更新周期内所有用户登录时使用的IP地址占可信任IP段比例的平均值及对应的标准差,确定所述当前用户的待更新的信任度信息中的第二变化量;依据所述更新周期内所有用户登录服务器的时间占工作时间比例的平均值及对应的标准差,确定所述当前用户的待更新的信任度信息中的第三变化量;依据所述第一变化量、第二变化量、第三变化量以及所述当前用户的当前信任度信息,对所述当前用户的当前信任度信息进行更新。
8.根据权利要求7所述的装置,其特征在于,所述分配单元,还用于读取数据库中存储的登录密码,将所读取的登录密码解密为明文密码,并将所述明文密码作为所述当前登录口令分配给所述当前用户。
9.根据权利要求8所述的装置,其特征在于,所述装置还包括:第一设置单元、第一监测单元、第一更新单元;其中,
所述第一设置单元,用于为所述当前登录口令设置有效期限;
所述第一监测单元,用于监测所述有效期限是否结束,当监测到所述有效期限结束时,触发所述第一更新单元;
所述第一更新单元,用于更新所述数据库中的登录密码。
10.根据权利要求7至9任一项所述的装置,其特征在于,所述第一确定单元,还用于在存储的用户标识与信任度信息之间的对应关系中,依据所述当前登录请求中携带的当前用户的用户标识,查找出所述当前用户的当前信任度信息。
11.根据权利要求10所述的装置,其特征在于,所述装置还包括:第二设置单元、第二监测单元、第二更新单元;其中,
所述第二设置单元,用于为所述当前用户的当前信任度信息设置更新周期;
所述第二监测单元,用于监测所述更新周期是否到来,当监测到所述更新周期到来时,触发所述第二更新单元;
所述第二更新单元,用于更新所述当前用户的当前信任度信息。
12.根据权利要求11所述的装置,其特征在于,所述第二更新单元包括:
第一确定子单元、第二确定子单元、第三确定子单元、第四确定子单元、第五确定子单元、第六确定子单元以及更新子单元;其中,
所述第一确定子单元,用于确定所述更新周期内进行登录的所有用户中的每个用户成功登录服务器次数的平均值、所有用户中的每个用户登录时使用的网际IP地址占可信任IP段的比例的平均值、以及所有用户中的每个用户登录服务器的时间占工作时间比例的平均值;
所述第二确定子单元,用于确定所述更新周期内所有用户成功登录服务器次数的平均值、所有用户登录时使用的IP地址占可信任IP段的比例的平均值、以及所有用户登录服务器的时间占工作时间的比例的平均值;
所述第三确定子单元,用于确定所述更新周期内所有用户成功登录服务器次数的标准差、所有用户登录时使用的IP地址占可信任IP段的比例的标准差、以及所有用户登录服务器的时间占工作时间的比例的标准差;
所述第四确定子单元,用于依据所述更新周期内所有用户成功登录服务器次数的平均值及对应的标准差,确定所述当前用户的待更新的信任度信息中的第一变化量;
所述第五确定子单元,用于依据所述更新周期内所有用户登录时使用的IP地址占可信任IP段比例的平均值及对应的标准差,确定所述当前用户的待更新的信任度信息中的第二变化量;
所述第六确定子单元,用于依据所述更新周期内所有用户登录服务器的时间占工作时间比例的平均值及对应的标准差,确定所述当前用户的待更新的信任度信息中的第三变化量;
所述更新子单元,用于依据所述第一变化量、第二变化量、第三变化量以及所述当前用户的当前信任度信息,对所述当前用户的当前信任度信息进行更新。
CN201410008226.6A 2014-01-08 2014-01-08 一种认证方法及装置 Active CN104767723B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201410008226.6A CN104767723B (zh) 2014-01-08 2014-01-08 一种认证方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410008226.6A CN104767723B (zh) 2014-01-08 2014-01-08 一种认证方法及装置

Publications (2)

Publication Number Publication Date
CN104767723A CN104767723A (zh) 2015-07-08
CN104767723B true CN104767723B (zh) 2018-12-07

Family

ID=53649335

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410008226.6A Active CN104767723B (zh) 2014-01-08 2014-01-08 一种认证方法及装置

Country Status (1)

Country Link
CN (1) CN104767723B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105516138B (zh) * 2015-12-09 2019-02-15 广州密码科技有限公司 一种基于登录日志分析的验证方法及装置
CN107395679A (zh) * 2017-06-23 2017-11-24 上海斐讯数据通信技术有限公司 海量认证信息保存方法及系统、海量用户认证方法及系统
CN110011992B (zh) * 2019-03-25 2022-07-26 联想(北京)有限公司 系统登录方法及电子设备

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101925020A (zh) * 2009-06-15 2010-12-22 北京华智大为科技有限公司 一种电子邮箱地址与移动电话号码绑定应用的方法和系统

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101443806A (zh) * 2005-12-16 2009-05-27 约翰·斯坦纳克·戴维斯 基于信任的评价系统
CN101039322A (zh) * 2007-04-20 2007-09-19 华中师范大学 一种普适计算的动态访问控制方法
US8387122B2 (en) * 2008-05-16 2013-02-26 University Of Washington Access control by testing for shared knowledge
CN101719202A (zh) * 2009-11-12 2010-06-02 北京交通大学 一种基于动态信任管理的互操作安全保障方法
CN102823190B (zh) * 2010-03-26 2016-08-10 诺基亚技术有限公司 用于提供访问资源的信任等级的方法和装置
CN102104599B (zh) * 2010-12-29 2014-04-16 北京理工大学 一种基于信任机制的dRBAC模型的改进方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101925020A (zh) * 2009-06-15 2010-12-22 北京华智大为科技有限公司 一种电子邮箱地址与移动电话号码绑定应用的方法和系统

Also Published As

Publication number Publication date
CN104767723A (zh) 2015-07-08

Similar Documents

Publication Publication Date Title
CN110324276B (zh) 一种登录应用的方法、系统、终端和电子设备
CN110601853B (zh) 一种区块链私钥生成方法以及设备
US8572699B2 (en) Hardware-based credential distribution
US20170289134A1 (en) Methods and apparatus for assessing authentication risk and implementing single sign on (sso) using a distributed consensus database
US6978017B2 (en) Method and system for providing updated encryption key pairs and digital signature key pairs in a public key system
CN101860540B (zh) 一种识别网站服务合法性的方法及装置
CN107483495B (zh) 一种大数据集群主机管理方法、管理系统及服务端
CN110225031B (zh) 动态权限漏洞检测方法、系统、装置及可读存储介质
EP2506492A3 (en) Method and system for user equipment configuration
CN108804909B (zh) 一种用于对检测数据进行区块链存证处理的方法
JP6207797B1 (ja) ユーザ認証方法及びかかる方法を実現するためのシステム
CN108650289B (zh) 一种基于区块链的管理数据的方法和装置
CN108881309A (zh) 大数据平台的访问方法、装置、电子设备及可读存储介质
CN104767723B (zh) 一种认证方法及装置
CN112333133B (zh) 数据安全传输方法、装置、设备及计算机可读存储介质
CN110049046A (zh) 访问控制方法、终端、服务器及系统
CN110474921A (zh) 一种面向局域物联网的感知层数据保真方法
CN116455668A (zh) 零信任网络环境下用户信任度量方法与系统
CN102571874B (zh) 一种分布式系统中的在线审计方法及装置
CN106209905A (zh) 一种网络安全管理方法和装置
CN109587181B (zh) 一种基于二维码身份认证方式实现单点登录资产的方法
CN108289096A (zh) 一种直播间关注、验证直播间关注的方法及装置
CN110570197A (zh) 一种基于区块链的数据处理方法以及设备
CN114257451B (zh) 验证界面更换方法、装置、存储介质及计算机设备
CN104125566B (zh) 复用智能终端无线ap防蹭网方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
EXSB Decision made by sipo to initiate substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant