CN107172049A - 一种智能身份认证系统 - Google Patents
一种智能身份认证系统 Download PDFInfo
- Publication number
- CN107172049A CN107172049A CN201710358046.4A CN201710358046A CN107172049A CN 107172049 A CN107172049 A CN 107172049A CN 201710358046 A CN201710358046 A CN 201710358046A CN 107172049 A CN107172049 A CN 107172049A
- Authority
- CN
- China
- Prior art keywords
- authentication
- certification
- user
- certificate server
- sdk
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提出了一种智能身份认证系统,包括:认证客户端SDK用于采集认证用户的客户端信息;认证服务端SDK用于检查服务的策略,执行和转发认证客户端的信息;认证服务代理装置用于在认证服务端SDK无法实现认证功能时,提供服务端反向代理;认证服务器用于对服务策略、认证方式和案例管理,并对认证分析结果进行展示;认证分析引擎用于基于风险控制模型进行风险分析,包括:基于预定义规则进行风险等级评分,并结合大数据分析引擎实现大数据分析;云服务平台根据认证服务器和认证分析引擎的风险分析结果动态调整身份认证方式和要求,对用户进行身份认证,并将认证结果返回至认证分析引擎。本发明可以基于风险分析的方法,为用户选择合适的身份认证方式。
Description
技术领域
本发明涉及身份认证技术领域,特别涉及一种智能身份认证系统。
背景技术
网络欺诈正在成为当前主要的网络犯罪模式,索尼被黑客入侵事件、花旗集团用户资料泄密事件的背后都晃动着网络欺诈的身影。
现在网络欺诈、网络钓鱼的攻击手段愈发丰富化,针对性变得更强,不再进行普遍性攻击,而是针对某一类人群进行“鱼枪式”的精准攻击。索尼、花旗集团就是这类精准攻击的受害者。恶意攻击者可能会入侵宾馆、酒店系统,获取其中VIP类客户的信息,比如客户积分等,恶意入侵者获取这些信息后兑换成有价证券,进而获取经济利益。
从近期的几起入侵事件来看,恶意攻击者的目的十分明确,就是要把所窃取的各类信息、数据兑换成金钱。为此,恶意攻击者需要确保其入侵方法不会受到任何阻碍、不被察觉。所以恶意攻击者也在观察、研究最新的安全防护技术、产品、解决方案,及时升级变换其入侵方法。
互联网初期时代,黑客往往是技术牛人的代名词。而今,所谓的“黑客”更多的是以经济利益为目的的网络恶意攻击者、网络犯罪分子。而且,现在网络犯罪的产业化、组织化愈发明显,黑客组织化程度越来越高,恶意攻击产业化现象凸显,网络黑社会、网络犯罪集团已经初露端倪,并具有全球化的趋势。
恶意攻击者为了获取更多的经济利益,不会放过任何一个可以利用的漏洞。而且,恶意攻击者十分注重规模经济效应:欧美银行的信用卡业务、网络银行业务发达,规模经济效应明显,恶意攻击者将其列为了主要攻击目标之一;网络世界里,使用IE浏览器的网友依然占据大多数,恶意攻击者针对IE浏览器及其平台Windows系统所潜藏的安全漏洞进行着持续、深入的研究,虽然微软在以最快的速度推出安全补丁,但依然赶不上恶意攻击者利用漏洞所发起的欺诈攻击;iPad类产品的热卖,使得苹果电脑被更多用户选择使用,并正在形成一定的规模,针对苹果系统的病毒、木马也开始多了起来。
当微软推出新的安全补丁封堵所发现的系统漏洞时,恶意攻击者,也在更新他们的攻击工具,替换已经被微软封堵的漏洞,换上微软尚未发现的漏洞。RSA的研究实验室人员一直在通过网络里的“地下聊天室”观察、研究最新黑客攻击行为,他们发现,哪怕是一个对电脑技术一窍不通的人员,只要有充裕的资金支持,就会得到网络犯罪集团全面而细致入微的“服务”。如果,某人想要窃取某系统内部资料,那么他可以在“地下聊天室”发布任务信息,相关网络犯罪集团会售卖给其可用的攻击工具,会教其如何使用,会派遣恶意攻击者代其发起入侵攻击,会帮助其获取数据,会帮助其卖出数据获取最终利益。
自适应身份认证产品会根据网络安全环境风险情况不同,进行不同程度的安全验证。比如在进行信用卡交易时,自适应身份认证系统会根据风险情况不同,决定是否进行追加提问认证。也就是说,当用户所处网络环境比较复杂时,自适应身份认证系统会多提问一些问题(比如,上次用户取了多少钱,购买了哪些物品,在某个时间段是否有外出、约会等等),而这些问题是仅为客户所知道的。这样一来,除非恶意攻击者对用户进行24小时不间断的贴身监视,否则,恶意攻击者即便想办法获取了用户的账号、密码,但在自适应系统面前,恶意攻击者依然无法正确通过追加安全认证,自然也就无法达成攻击预期目的——获取经济利益。
随着互联网、移动互联网的发展,身份认证经历硬件认证、移动认证的发展阶段,正向着云端化、一体化、智能化方向发展。
认证因素按类型可划分为:
用户知道的秘密,例如密码;
用户拥有的设备(或凭证),比如U盾、短信验证码以及近期流行的智能手环、手表等可穿戴设备;
用户固有的属性,比如指纹、虹膜、静脉等生物特征。
钓鱼、数据泄漏、“撞库”等方式导致地下黑产掌握大量的账号密码,频频爆出的各类开发漏洞也导致密码安全局面雪上加霜。
作为最常用的移动支付认证方式,短信验证码具有简单易用的优点,同时也成为黑客攻击的重点目标。相关安全事件显示针对短信验证码的攻击呈现逐年上涨趋势,其安全性备受质疑。
Gartner在《Magic Quadrant for User Authentication》报告中预计,到2017年将有超过30%的组织使用自适应身份认证技术(智能身份认证),而现在这一比例不到5%。根据Gartner的统计,2012年身份认证市场约22亿美元,2013年24亿美元。Gartner估计年增长率约为15%,其中2012年增长率为14%。由于这个市场与身份认证市场结合紧密,很难区分出来,但Gartner魔力象限中大多数厂家均以自己的方式支持自适应身份认证功能,因此该功能将成为竞争的必选项。
发明内容
本发明的目的旨在至少解决所述技术缺陷之一。
为此,本发明的目的在于提出一种智能身份认证系统,可以基于风险分析的方法,为用户选择合适的身份认证方式。
为了实现上述目的,本发明的实施例提供一种智能身份认证系统,包括:认证客户端SDK、认证服务端SDK、认证服务代理装置、认证服务器、认证分析引擎和云服务平台,其中,所述认证客户端SDK与所述认证服务端SDK和认证服务代理装置进行通信,所述认证服务器与所述认证服务的SDK、所述认证服务代理装置和认证分析引擎进行通信,所述云服务平台与所述认证分析引擎进行通信,
所述认证客户端SDK用于采集认证用户的客户端信息;
所述认证服务端SDK用于检查服务的策略,执行和转发所述认证客户端的信息;
所述认证服务代理装置用于在所述认证服务端SDK无法实现认证功能时,提供服务端反向代理;
所述认证服务器用于对服务策略、认证方式和案例管理,并对认证分析结果进行展示;
所述认证分析引擎用于基于风险控制模型进行风险分析,包括:基于预定义规则进行风险等级评分,并结合大数据分析引擎实现大数据分析;
所述云服务平台根据所述认证服务器和认证分析引擎的风险分析结果动态调整身份认证方式和要求,对所述用户进行身份认证,并将认证结果返回至所述认证分析引擎。
进一步,所述认证客户端的信息包括:设备信息、系统信息、应用信息、网络信息、位置信息、时区信息、预设信息、信息保护方式、认证接口。
进一步,所述认证服务代理装置用于进行代理服务端的身份认证、粗粒度访问控制功能,所述认证服务代理装置利用所述认证服务端SDK实现基本认证功能,通过HTTP协议将认证信息发送至所述认证服务的,阻断未通过认证的访问请求。
进一步,所述风险控制模型采用PDRP模型。
进一步,所述云服务平台向用户提供的身份认证方式包括以下一种或多种:用户名/口令、设备认证、短信、移动软令牌、动态令牌、二维码、移动设备证书、移动智能凭据、智能卡/USBKey、交易签名、指纹、虹膜、人脸和声纹。
进一步,所述认证分析引擎对每种身份分别设置对应的安全等级,并根据所述客户端信息进行安全评估,得到所述用户的安全指数,进而由所述云服务平台根据预设的安全策略,动态调整身份认证方式和要求,对所述用户进行身份认证。
进一步,所述认证服务器根据预先配置的策略规则确定用户的认证策略,如果需要所述用户输入挑战,则按照分步认证方式进行认证;否则按照单步认证方式进行认证,在获得凭据后再执行分步认证。
进一步,所述分步认证方式先后采用以下方式对所述用户进行身份认证:动态口令、短信和问答形式。
进一步,所述认证客户端SDK、认证服务端SDK、认证服务代理装置、认证服务器集成于本地的硬件盒子中,所述认证分析引擎和云服务平台位于云端。
进一步,所述认证客户端SDK采用AJAX异步技术将用户的客户端信息发送至所述认证服务器。
根据本发明实施例的智能身份认证系统,采用基于风险分析的方法,基于设备、行为、区域、时间和业务等多项信息对用户进行画像并根据大数据分析结果为用户选择合适的身份认证方式进行身份认证。智能身份认证是基于风险的身份认证辅助系统,目的是根据风险分析的结果为用户选择方便合适的身份认证方式。本发明采用大数据风险控制技术,从设备、网络、地理、历史行为等多个角度实时判断风险,根据安全策略要求实施灵活的认证方式。对于绝大多数正常用户(低风险)简化认证流程,高风险场景叠加多因素认证,保障认证安全性,可平衡安全、可用性和成本。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解,其中:
图1为根据本发明一个实施例的智能身份认证系统的结构框图;
图2为根据本发明另一个实施例的智能身份认证系统的示意图;
图3为根据本发明实施例的自适应安全架构的示意图;
图4为根据本发明实施例的身份认证方式的示意图;
图5为根据本发明实施例的身份认证流程的示意图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本发明,而不能理解为对本发明的限制。
本发明实施例的智能身份认证系统,采用大数据风险控制技术,从设备、网络、地理、历史行为等多个角度实时判断风险,根据安全策略要求实施灵活的认证方式。对于绝大多数正常用户(低风险)简化认证流程,高风险场景叠加多因素认证,保障认证安全性。
如图1和图2所示,本发明实施例的智能身份认证系统,包括:认证客户端SDK1、认证服务端SDK2、认证服务代理装置3、认证服务器4、认证分析引擎5和云服务平台6。其中,认证客户端SDK1与认证服务端SDK2和认证服务代理装置3进行通信,认证服务器4与认证服务的SDK、认证服务代理装置3和认证分析引擎5进行通信,云服务平台6与认证分析引擎5进行通信。该智能身份认证系统是与业务系统联动的身份认证管理系统,根据认证服务器4和认证分析引擎5的风险分析结果动态调整身份认证方式和要求。
需要首先说明的是,考虑到智能身份认证系统与各种业务系统耦合程度不同,本发明采用灵活的架构,提供SDK和代理两种模式,后台系统采用Web服务的形式提供RestfulAPI,方便各种系统使用;分析引擎采用外部数据导入和云分析引擎两种模式,用户可以选择使用何种方式,从而可以适应不同的应用场景和业务需求。
下面结合图2至图5,对本发明的智能身份认证系统中各个模块的具体功能。
具体地,认证客户端SDK1用于采集认证用户的客户端信息。
在本发明的一个实施例中,认证客户端的信息包括:设备信息、系统信息、应用信息(浏览器信息、Cookie等)、网络信息、位置信息、时区信息、预设信息、信息保护方式(数据加密、签名或HTTPS等)、认证接口(单步认证、分步认证)。此外,认证客户端SDK1还用于实现令牌共享、跨域认证和安全退出的功能。
需要说明的是,认证客户端SDK1不限于采集上述举例的信息,还可以包括其他类型的客户端信息,在此不再赘述。
在本发明的一个实施例中,认证客户端SDK1采用AJAX异步技术将用户的客户端信息发送至认证服务器4。
认证服务端SDK2用于检查服务的策略,执行和转发认证客户端的信息,支持支持多种编程语言和服务器环境,支持多种认证协议,将认证结果反馈到服务器中,对于比较封闭的服务端环境,可采用服务端代理形式。
此外,认证服务的SDK可以实现访问令牌验证、业务认证(根据业务情况重新评估安全风险并选择合适的身份认证方式)以及安全退出功能。
认证服务代理装置3用于在认证服务端SDK2无法实现认证功能时,提供服务端反向代理。
具体地,认证服务代理装置3用于进行代理服务端的身份认证、粗粒度访问控制功能。其中,粗粒访问控制功能是指仅判定是否通过认证。
认证服务代理装置3利用认证服务端SDK2实现基本认证功能,通过HTTP协议将认证信息发送至认证服务的,阻断未通过认证的访问请求。
在本发明的一个实施例中,认证服务代理装置3具有以下功能:代理的形式提供服务端SDK功能、配置管理、系统管理和WebUI。
认证服务器4用于对服务策略、认证方式和案例管理,并对认证分析结果进行展示。具体来说,认证服务器4是智能身份认证系统的核心,负责策略管理、认证方式管理、案例管理和分析结果展示、用户特征管理、用户环境管理、身份认证方法管理、访问控制策略、资源管理、分析规则管理、系统管理和报表管理。
在本发明的一个实施例中,认证服务器4采用Web服务架构,实现具体的认证业务管理和分发。
认证分析引擎5用于基于风险控制模型进行风险分析,包括:基于预定义规则进行风险等级评分,并结合大数据分析引擎实现大数据分析。具体地,认证分析引擎5可以前期可基于预定义规则进行风险等级评分;后期可加入大数据分析引擎Spark之类的产品,进行大数据分析。
认证分析引擎5可以实现数据采集、数据规范化、控制台、魔剑管理、应急处理和数据库管理等功能。其中,控制台管理包括:总体态势、资产管理和报表管理功能。数据库管理包括:规则库、策略库和事件库的管理。
具体地,认证分析引擎5对每种身份分别设置对应的安全等级,并根据客户端信息进行安全评估,得到用户的安全指数,进而由云服务平台6根据预设的安全策略,动态调整身份认证方式和要求,对用户进行身份认证。
在本发明的一个实施例中,风险控制模型采用PDRP模型。
下面对风险控制模型进行说明。
具体地,如图3所示,风险控制模型采用PDRP模型作为基本模型,即通过防御->监控->回溯->预测四个大的步骤动态循环调整风险评估效果。风险控制模型需要随着各种攻击形式的出现,特别是高级持续攻击的出现,做出改变和调整,以使得风险控制系统必须在持续更新的状态下运行,这就需要自适应安全架构。
下面对自适应安全架构能力进行说明。
1.“防御能力”是指一系列策略集、产品和服务可以用于防御攻击。这个方面的关键目标是通过减少被攻击面来提升攻击门槛,并在受影响前拦截攻击动作。
2.“检测能力”用于发现那些逃过防御网络的攻击,该方面的关键目标是降低威胁造成的“停摆时间”以及其他潜在的损失。检测能力非常关键应该假设自己已处在被攻击状态中。
3.“回溯能力”用于高效调查和补救被检测分析功能(或外部服务)查出的事务,以提供入侵认证和攻击来源分析,并产生新的预防手段来避免未来事故。
4.“预测能力”使系安全系统可从外部监控下的黑客行动中学习,以主动锁定对现有系统和信息具有威胁的新型攻击,并对漏洞划定优先级和定位。该情报将反馈到预防和检测功能,从而构成整个处理流程的闭环。
在持续攻击时代,要完成对安全思维的根本性切换,从“应急响应”到“持续响应”,前者认为攻击是偶发的,一次性的事故,而后者则认为攻击是不间断的,黑客渗透系统和信息的努力是不可能完全拦截的,系统应承认自己时刻处于被攻击中。在这样的认知下,才能认清持续监控和分析的必要性。
为面向高级持续攻击而实现真正的自适应及基于风险的响应,风控程序的核心一定是持续的,主动监控和可视化将持续分析攻击痕迹,生成大量数据。然而,配以恰当的分析(辅以外部资源如场景和社区信息、威胁智能感知系统来提升准确度)用于提高执行力建议。可以用多种分析手段来处理这些数据,包括启发性方法、统计方法、推理建模、机器学习、聚类分析、贝叶斯建模。
高效的风控平台除了包括传统的安全信息事件管理系统之外,核心能力中都会嵌入特定领域分析系统。风控平台应转为主动式,应覆盖尽可能多的IT栈层,包括网络活动层、端点层、系统交互层、应用事务层和用户行为层。
此外,可视化应该包括企业和员工个人设备,并支持跨企业数据中心和外部云服务。未来的防御不仅要深入到控制层,还应该包括监控和可视化。
云服务平台6根据认证服务器4和认证分析引擎5的风险分析结果动态调整身份认证方式和要求,对用户进行身份认证,并将认证结果返回至认证分析引擎5。
在本发明的一个实施例中,如图4所示,云服务平台6向用户提供的身份认证方式包括以下一种或多种:用户名/口令、设备认证、短信、移动软令牌、动态令牌、二维码、移动设备证书、移动智能凭据、智能卡/USBKey、交易签名、指纹、虹膜、人脸和声纹等生物特征。
需要说明的是,本发明可提供的身份认证方式不限于上述举例,还可以为其他身份认证方式,在此不再赘述。
智能身份认证系统采用基于风险控制技术对业务系统的各种认证风险进行评估,为用户选择适宜的身份认证方式进行认证并将认证结果返回给业务系统。
风险控制技术从设备、网络、地理、历史行为等多个角度实时判断风险,根据安全策略要求实施灵活的认证方式。对于绝大多数正常用户(低风险)简化认证流程,高风险场景叠加多因素认证,保障认证安全性。
系统为对各自认证方式设定相应的安全等级,并根据用户所处位置、使用设备、设备系统情况和所使用的业务进行整体安全评估,得出目前用户的安全指数,再根据系统预先制定的安全策略,选择最优身份认证方式并引导用户进行身份认证。
需要说明的是,认证客户端SDK1、认证服务端SDK2、认证服务代理装置3、认证服务器4集成于本地的硬件盒子中,提供命令行和WebUI管理功能。认证分析引擎5和云服务平台6位于云端,以云平台形式,同时构建风险分析服务,提供风险分析服务和风险分析策略更新、外部风险数据源的收集整理。
如图5所示,智能身份认证系统的认证流程如下:
1)用户从登录界面输入用户名,客户端SDK采用AJAX或其他异步技术将用户名和相关信息提交给后台认证服务器4。
在本发明的一个实施例中,用户可以通过SSL VPN、Web Portal或SaaS等方式登录。
2)后台认证服务器4将收到的信息转交给分析引擎;
3)分析引擎分析出用户目前的安全风险级别;
4)认证服务器4根据预先配置的策略规则确定用户的认证策略;
5)若需要用户输入挑战,则按照分步认证方式进行认证,否则执行步骤6);
6)按照单步认证方式进行认证。
在本发明的一个实施例中,认证服务器4根据预先配置的策略规则确定用户的认证策略,如果需要用户输入挑战,则按照分步认证方式进行认证;否则按照单步认证方式进行认证,在获得凭据后再执行分步认证。其中,分步认证方式先后采用以下方式对用户进行身份认证:动态口令、短信和问答形式。
根据本发明实施例的智能身份认证系统,采用基于风险分析的方法,基于设备、行为、区域、时间和业务等多项信息对用户进行画像并根据大数据分析结果为用户选择合适的身份认证方式进行身份认证。智能身份认证是基于风险的身份认证辅助系统,目的是根据风险分析的结果为用户选择方便合适的身份认证方式。本发明采用大数据风险控制技术,从设备、网络、地理、历史行为等多个角度实时判断风险,根据安全策略要求实施灵活的认证方式。对于绝大多数正常用户(低风险)简化认证流程,高风险场景叠加多因素认证,保障认证安全性,可平衡安全、可用性和成本。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在不脱离本发明的原理和宗旨的情况下在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。本发明的范围由所附权利要求及其等同限定。
Claims (10)
1.一种智能身份认证系统,其特征在于,包括:认证客户端SDK、认证服务端SDK、认证服务代理装置、认证服务器、认证分析引擎和云服务平台,其中,所述认证客户端SDK与所述认证服务端SDK和认证服务代理装置进行通信,所述认证服务器与所述认证服务的SDK、所述认证服务代理装置和认证分析引擎进行通信,所述云服务平台与所述认证分析引擎进行通信,
所述认证客户端SDK用于采集认证用户的客户端信息;
所述认证服务端SDK用于检查服务的策略,执行和转发所述认证客户端的信息;
所述认证服务代理装置用于在所述认证服务端SDK无法实现认证功能时,提供服务端反向代理;
所述认证服务器用于对服务策略、认证方式和案例管理,并对认证分析结果进行展示;
所述认证分析引擎用于基于风险控制模型进行风险分析,包括:基于预定义规则进行风险等级评分,并结合大数据分析引擎实现大数据分析;
所述云服务平台根据所述认证服务器和认证分析引擎的风险分析结果动态调整身份认证方式和要求,对所述用户进行身份认证,并将认证结果返回至所述认证分析引擎。
2.如权利要求1所述的智能身份认证系统,其特征在于,所述认证客户端的信息包括:设备信息、系统信息、应用信息、网络信息、位置信息、时区信息、预设信息、信息保护方式、认证接口。
3.如权利要求1所述的智能身份认证系统,其特征在于,所述认证服务代理装置用于进行代理服务端的身份认证、粗粒度访问控制功能,所述认证服务代理装置利用所述认证服务端SDK实现基本认证功能,通过HTTP协议将认证信息发送至所述认证服务的,阻断未通过认证的访问请求。
4.如权利要求1所述的智能身份认证系统,其特征在于,所述风险控制模型采用PDRP模型。
5.如权利要求1所述的智能身份认证系统,其特征在于,所述云服务平台向用户提供的身份认证方式包括以下一种或多种:用户名/口令、设备认证、短信、移动软令牌、动态令牌、二维码、移动设备证书、移动智能凭据、智能卡/USBKey、交易签名、指纹、虹膜、人脸和声纹。
6.如权利要求5所述的智能身份认证系统,其特征在于,所述认证分析引擎对每种身份分别设置对应的安全等级,并根据所述客户端信息进行安全评估,得到所述用户的安全指数,进而由所述云服务平台根据预设的安全策略,动态调整身份认证方式和要求,对所述用户进行身份认证。
7.如权利要求1所述的智能身份认证系统,其特征在于,所述认证服务器根据预先配置的策略规则确定用户的认证策略,如果需要所述用户输入挑战,则按照分步认证方式进行认证;否则按照单步认证方式进行认证,在获得凭据后再执行分步认证。
8.如权利要求1所述的智能身份认证系统,其特征在于,所述分步认证方式先后采用以下方式对所述用户进行身份认证:动态口令、短信和问答形式。
9.如权利要求1所述的智能身份认证系统,其特征在于,所述认证客户端SDK、认证服务端SDK、认证服务代理装置、认证服务器集成于本地的硬件盒子中,所述认证分析引擎和云服务平台位于云端。
10.如权利要求1所述的智能身份认证系统,其特征在于,所述认证客户端SDK采用AJAX异步技术将用户的客户端信息发送至所述认证服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710358046.4A CN107172049A (zh) | 2017-05-19 | 2017-05-19 | 一种智能身份认证系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710358046.4A CN107172049A (zh) | 2017-05-19 | 2017-05-19 | 一种智能身份认证系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107172049A true CN107172049A (zh) | 2017-09-15 |
Family
ID=59815755
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710358046.4A Pending CN107172049A (zh) | 2017-05-19 | 2017-05-19 | 一种智能身份认证系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107172049A (zh) |
Cited By (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018090839A1 (zh) * | 2016-11-16 | 2018-05-24 | 阿里巴巴集团控股有限公司 | 身份认证系统、方法、装置及账号认证方法 |
| CN108173864A (zh) * | 2017-12-29 | 2018-06-15 | 咪咕文化科技有限公司 | 一种信息验证方式调整方法及装置和存储介质 |
| CN109034991A (zh) * | 2018-09-07 | 2018-12-18 | 重庆满助智能科技研究院有限公司 | 一种财务风险控制预警方法 |
| CN109064217A (zh) * | 2018-07-16 | 2018-12-21 | 阿里巴巴集团控股有限公司 | 基于用户等级的核身策略确定方法、装置及电子设备 |
| CN109064179A (zh) * | 2018-07-11 | 2018-12-21 | 成都理工大学 | 移动支付安全态势感知系统 |
| CN109344582A (zh) * | 2018-08-21 | 2019-02-15 | 中国联合网络通信集团有限公司 | 认证方法、装置和存储介质 |
| CN109450959A (zh) * | 2019-01-08 | 2019-03-08 | 四川九洲电器集团有限责任公司 | 一种基于威胁等级的多因子身份认证方法 |
| CN109474631A (zh) * | 2018-12-28 | 2019-03-15 | 深圳竹云科技有限公司 | 一种动态追踪的多节点认证方法 |
| CN109672659A (zh) * | 2018-09-25 | 2019-04-23 | 平安科技(深圳)有限公司 | 用户端指纹识别方法、装置、设备及可读存储介质 |
| CN110009515A (zh) * | 2019-03-12 | 2019-07-12 | 中国平安财产保险股份有限公司 | 基于人脸识别的单据校验方法、装置、服务器及介质 |
| CN110400145A (zh) * | 2018-07-13 | 2019-11-01 | 腾讯科技(深圳)有限公司 | 一种数字身份申请系统及方法、身份认证系统及方法 |
| CN110619208A (zh) * | 2019-09-24 | 2019-12-27 | 京东数字科技控股有限公司 | 用户验证方法、服务器、用户设备和系统 |
| CN110647730A (zh) * | 2018-06-26 | 2020-01-03 | 国际商业机器公司 | 经由单独的处理路径进行单通道输入多因素认证 |
| CN110647728A (zh) * | 2019-08-27 | 2020-01-03 | 武汉烽火众智数字技术有限责任公司 | 一种便捷登陆方法及装置 |
| WO2020025056A1 (zh) * | 2018-08-03 | 2020-02-06 | 京东数字科技控股有限公司 | 安全认证方法、装置和系统,移动终端 |
| CN110942317A (zh) * | 2019-12-31 | 2020-03-31 | 中国银行股份有限公司 | 安全工具推荐方法及装置 |
| CN111046368A (zh) * | 2019-12-30 | 2020-04-21 | 重庆长安汽车股份有限公司 | 基于人脸识别登录智能汽车云平台的方法 |
| CN111314380A (zh) * | 2020-03-20 | 2020-06-19 | 浪潮通用软件有限公司 | 一种基于微服务的认证系统、设备及介质 |
| CN111726365A (zh) * | 2020-06-29 | 2020-09-29 | 深圳前海微众银行股份有限公司 | 一种在线身份认证的方法及装置 |
| CN112100589A (zh) * | 2020-09-15 | 2020-12-18 | 北京通付盾人工智能技术有限公司 | Kyc数字身份管理系统 |
| CN112437036A (zh) * | 2020-01-21 | 2021-03-02 | 上海哔哩哔哩科技有限公司 | 一种数据分析的方法及设备 |
| CN112464200A (zh) * | 2021-02-02 | 2021-03-09 | 北京安泰伟奥信息技术有限公司 | 一种认证风险检测方法及其系统 |
| CN114024688A (zh) * | 2021-11-29 | 2022-02-08 | 中电金信软件有限公司 | 网络请求方法、网络认证方法、终端设备和服务端 |
| CN115563605A (zh) * | 2022-11-10 | 2023-01-03 | 北京顶象技术有限公司 | 一种基于安全云更新验证码的方法及系统 |
| US11677731B2 (en) | 2020-04-29 | 2023-06-13 | Wells Fargo Bank, N.A. | Adaptive authentication |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102510337A (zh) * | 2011-12-15 | 2012-06-20 | 复旦大学 | 一种量化风险和收益自适应的动态多因子认证方法 |
| CN105141586A (zh) * | 2015-07-31 | 2015-12-09 | 广州华多网络科技有限公司 | 一种对用户进行验证的方法和系统 |
| CN106302344A (zh) * | 2015-05-27 | 2017-01-04 | 腾讯科技(深圳)有限公司 | 安全扫描方法及系统 |
| CN106575401A (zh) * | 2014-07-31 | 2017-04-19 | 诺克诺克实验公司 | 用于使用数据分析执行验证的系统和方法 |
| CN106612246A (zh) * | 2015-10-21 | 2017-05-03 | 星际空间(天津)科技发展有限公司 | 一种模拟身份的统一认证方法 |
-
2017
- 2017-05-19 CN CN201710358046.4A patent/CN107172049A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102510337A (zh) * | 2011-12-15 | 2012-06-20 | 复旦大学 | 一种量化风险和收益自适应的动态多因子认证方法 |
| CN106575401A (zh) * | 2014-07-31 | 2017-04-19 | 诺克诺克实验公司 | 用于使用数据分析执行验证的系统和方法 |
| CN106302344A (zh) * | 2015-05-27 | 2017-01-04 | 腾讯科技(深圳)有限公司 | 安全扫描方法及系统 |
| CN105141586A (zh) * | 2015-07-31 | 2015-12-09 | 广州华多网络科技有限公司 | 一种对用户进行验证的方法和系统 |
| CN106612246A (zh) * | 2015-10-21 | 2017-05-03 | 星际空间(天津)科技发展有限公司 | 一种模拟身份的统一认证方法 |
Cited By (34)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018090839A1 (zh) * | 2016-11-16 | 2018-05-24 | 阿里巴巴集团控股有限公司 | 身份认证系统、方法、装置及账号认证方法 |
| CN108173864A (zh) * | 2017-12-29 | 2018-06-15 | 咪咕文化科技有限公司 | 一种信息验证方式调整方法及装置和存储介质 |
| CN108173864B (zh) * | 2017-12-29 | 2020-12-15 | 咪咕文化科技有限公司 | 一种信息验证方式调整方法及装置和存储介质 |
| CN110647730A (zh) * | 2018-06-26 | 2020-01-03 | 国际商业机器公司 | 经由单独的处理路径进行单通道输入多因素认证 |
| CN110647730B (zh) * | 2018-06-26 | 2022-04-22 | 国际商业机器公司 | 经由单独的处理路径进行单通道输入多因素认证 |
| CN109064179A (zh) * | 2018-07-11 | 2018-12-21 | 成都理工大学 | 移动支付安全态势感知系统 |
| CN109064179B (zh) * | 2018-07-11 | 2022-05-20 | 成都理工大学 | 移动支付安全态势感知系统 |
| CN110400145A (zh) * | 2018-07-13 | 2019-11-01 | 腾讯科技(深圳)有限公司 | 一种数字身份申请系统及方法、身份认证系统及方法 |
| CN109064217A (zh) * | 2018-07-16 | 2018-12-21 | 阿里巴巴集团控股有限公司 | 基于用户等级的核身策略确定方法、装置及电子设备 |
| WO2020025056A1 (zh) * | 2018-08-03 | 2020-02-06 | 京东数字科技控股有限公司 | 安全认证方法、装置和系统,移动终端 |
| CN109344582B (zh) * | 2018-08-21 | 2021-12-14 | 中国联合网络通信集团有限公司 | 认证方法、装置和存储介质 |
| CN109344582A (zh) * | 2018-08-21 | 2019-02-15 | 中国联合网络通信集团有限公司 | 认证方法、装置和存储介质 |
| CN109034991A (zh) * | 2018-09-07 | 2018-12-18 | 重庆满助智能科技研究院有限公司 | 一种财务风险控制预警方法 |
| CN109672659A (zh) * | 2018-09-25 | 2019-04-23 | 平安科技(深圳)有限公司 | 用户端指纹识别方法、装置、设备及可读存储介质 |
| CN109474631A (zh) * | 2018-12-28 | 2019-03-15 | 深圳竹云科技有限公司 | 一种动态追踪的多节点认证方法 |
| CN109450959A (zh) * | 2019-01-08 | 2019-03-08 | 四川九洲电器集团有限责任公司 | 一种基于威胁等级的多因子身份认证方法 |
| CN110009515A (zh) * | 2019-03-12 | 2019-07-12 | 中国平安财产保险股份有限公司 | 基于人脸识别的单据校验方法、装置、服务器及介质 |
| CN110647728A (zh) * | 2019-08-27 | 2020-01-03 | 武汉烽火众智数字技术有限责任公司 | 一种便捷登陆方法及装置 |
| CN110619208A (zh) * | 2019-09-24 | 2019-12-27 | 京东数字科技控股有限公司 | 用户验证方法、服务器、用户设备和系统 |
| CN110619208B (zh) * | 2019-09-24 | 2022-02-01 | 京东科技控股股份有限公司 | 用户验证方法、服务器、用户设备和系统 |
| CN111046368A (zh) * | 2019-12-30 | 2020-04-21 | 重庆长安汽车股份有限公司 | 基于人脸识别登录智能汽车云平台的方法 |
| CN110942317A (zh) * | 2019-12-31 | 2020-03-31 | 中国银行股份有限公司 | 安全工具推荐方法及装置 |
| CN112437036A (zh) * | 2020-01-21 | 2021-03-02 | 上海哔哩哔哩科技有限公司 | 一种数据分析的方法及设备 |
| CN112437036B (zh) * | 2020-01-21 | 2023-01-24 | 上海哔哩哔哩科技有限公司 | 一种数据分析的方法及设备 |
| CN111314380A (zh) * | 2020-03-20 | 2020-06-19 | 浪潮通用软件有限公司 | 一种基于微服务的认证系统、设备及介质 |
| CN111314380B (zh) * | 2020-03-20 | 2023-01-24 | 浪潮通用软件有限公司 | 一种基于微服务的认证系统、设备及介质 |
| US11677731B2 (en) | 2020-04-29 | 2023-06-13 | Wells Fargo Bank, N.A. | Adaptive authentication |
| US11973747B2 (en) | 2020-04-29 | 2024-04-30 | Wells Fargo Bank, N.A. | Adaptive authentication |
| CN111726365A (zh) * | 2020-06-29 | 2020-09-29 | 深圳前海微众银行股份有限公司 | 一种在线身份认证的方法及装置 |
| CN112100589A (zh) * | 2020-09-15 | 2020-12-18 | 北京通付盾人工智能技术有限公司 | Kyc数字身份管理系统 |
| CN112464200A (zh) * | 2021-02-02 | 2021-03-09 | 北京安泰伟奥信息技术有限公司 | 一种认证风险检测方法及其系统 |
| CN112464200B (zh) * | 2021-02-02 | 2021-09-21 | 北京安泰伟奥信息技术有限公司 | 一种认证风险检测方法及其系统 |
| CN114024688A (zh) * | 2021-11-29 | 2022-02-08 | 中电金信软件有限公司 | 网络请求方法、网络认证方法、终端设备和服务端 |
| CN115563605A (zh) * | 2022-11-10 | 2023-01-03 | 北京顶象技术有限公司 | 一种基于安全云更新验证码的方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107172049A (zh) | 一种智能身份认证系统 | |
| Braun et al. | Security and privacy challenges in smart cities | |
| Nguyen et al. | Deep reinforcement learning for cyber security | |
| Radoglou-Grammatikis et al. | Modeling, detecting, and mitigating threats against industrial healthcare systems: a combined software defined networking and reinforcement learning approach | |
| Manoharan et al. | Revolutionizing Cybersecurity: Unleashing the Power of Artificial Intelligence and Machine Learning for Next-Generation Threat Detection | |
| Al-Naji et al. | A survey on continuous authentication methods in Internet of Things environment | |
| Meng et al. | Enhancing the security of blockchain-based software defined networking through trust-based traffic fusion and filtration | |
| Man et al. | Intelligent intrusion detection based on federated learning for edge-assisted internet of things | |
| Schinagl et al. | A framework for designing a security operations centre (SOC) | |
| Lin et al. | Internet of things intrusion detection model and algorithm based on cloud computing and multi-feature extraction extreme learning machine | |
| Gordon et al. | The Official (ISC) 2 guide to the SSCP CBK | |
| Dostálek | Multi-factor authentication modeling | |
| Grover et al. | A Review on Block chain and Data Mining Based Data Security Methods | |
| Papaioannou et al. | Risk-based adaptive user authentication for mobile passenger ID devices for land/sea border control | |
| Telo | Understanding Security Awareness Among Bank Customers: A Study Using Multiple Regression Analysis | |
| Chaudhary et al. | Generative Edge Intelligence for Securing IoT-assisted Smart Grid against Cyber-Threats. | |
| Fu et al. | ZTEI: Zero-trust and edge intelligence empowered continuous authentication for satellite networks | |
| Sarveshwaran et al. | Artificial Intelligence and Cyber Security in Industry 4.0 | |
| Wang et al. | Optimal network defense strategy selection based on Bayesian game | |
| Zimmer et al. | Insiders dissected: New foundations and a systematisation of the research on insiders | |
| Mbuguah et al. | A Survey of Awareness of Social Engineering Attacks to Information Security Management Systems: The Case of Kibabii University Kenya | |
| Hossain et al. | Threat Model-based Security Analysis and Mitigation Strategies for a Trustworthy Metaverse | |
| Kubarek et al. | Data Security in Cognitive Information Systems | |
| Verma et al. | Analysis of Security Measures on the Internet of Things based Applications | |
| Sharmila et al. | Theil-Sen Regressive Miyaguchi–Preneel-based Cryptographic Hash Blockchain for Secure Data Transmission Using Remote Sensing Data in IoT |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 100000 Haidian District, Haidian District, Beijing, No. 23, No. 2, No. 1001 Applicant after: Beijing Xin'an century Polytron Technologies Inc Address before: 100054 Beijing city Xicheng District Baizhifang Street No. 2 economic daily integrated business building A block 6 layer Applicant before: Beijing Infosec Technologies Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170915 |
|
| RJ01 | Rejection of invention patent application after publication |