CN107665301A - 验证方法及装置 - Google Patents
验证方法及装置 Download PDFInfo
- Publication number
- CN107665301A CN107665301A CN201610613071.8A CN201610613071A CN107665301A CN 107665301 A CN107665301 A CN 107665301A CN 201610613071 A CN201610613071 A CN 201610613071A CN 107665301 A CN107665301 A CN 107665301A
- Authority
- CN
- China
- Prior art keywords
- user
- verification mode
- login
- terminal
- verification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Telephonic Communication Services (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种验证方法及装置;方法包括:基于用户用于登录实例的第一验证信息、以及第一验证方式对所述用户进行验证;基于验证结果,对所述用户登录所述实例进行登录异常分析;基于分析结果对候选验证方式进行决策得到第二验证方式;其中,所述第二验证方式与所述第一验证方式不同;基于所述用户用于登录实例的第二验证信息、以及所述第二验证方式对所述用户进行验证。实施本发明,能够保证登录实例的账号安全,避免账号泄露风险。
Description
技术领域
本发明涉及通信领域的安全技术,尤其涉及一种验证方法及装置。
背景技术
互联网时代,应用的种类日益繁多如社交应用、多媒体应用、网购应用等,这些应用的普遍特点是,基于用户预先注册的账号来识别用户并有针对性提供服务。用户在使用服务之前,需要向终端的运行的应用(客户端)提交所注册账户的验证信息,例如密码、短信验证码等,由应用提交验证信息至相应的后台服务器,当后台服务器在基于验证信息对用户验证成功之后,为相应账号执行登录,并更新终端的应用中相应账号的状态,用户的账号在终端中显示为已经登录状态,用户可以使用账号的服务。
目前,相关技术往往是采用一种或两种固定的验证方式结合的方式对用户登录应用进行验证,一旦验证信息泄露就存在账号泄露的风险。
发明内容
本发明为至少解决相关技术存在的上述问题而提供一种验证方法及装置。
本发明实施例的技术方案是这样实现的:
第一方面,本发明实施例提供一种验证方法,所述方法包括:
基于用户用于登录实例的第一验证信息、以及第一验证方式对所述用户进行验证;
基于验证结果,对所述用户登录所述实例进行登录异常分析;
基于分析结果对候选验证方式进行决策得到第二验证方式;其中,所述第二验证方式与所述第一验证方式不同;
基于所述用户用于登录实例的第二验证信息、以及所述第二验证方式对所述用户进行验证。
第二方面,本发明实施例提供一种验证装置,所述装置包括:
身份验证管理模块,用于基于用户用于登录实例的第一验证信息、以及第一验证方式对所述用户进行验证;
登录异常分析模块,用于基于验证结果,对所述用户登录所述实例进行登录异常分析;
决策模块,用于基于分析结果对候选验证方式进行决策得到第二验证方式;其中,所述第二验证方式与所述第一验证方式不同;
所述身份验证管理模块,还用于基于所述用户用于登录实例的第二验证信息、以及所述第二验证方式对所述用户进行验证。
第三方面,本发明实施例提供一种验证装置,所述装置包括:
处理器和存储介质;所述存储介质中存储有可执行指令,所述可执行指令用于引起所述处理器执行以下的操作:
基于用户用于登录实例的第一验证信息、以及第一验证方式对所述用户进行验证;
基于验证结果,对所述用户登录所述实例进行登录异常分析;
基于分析结果对候选验证方式进行决策得到第二验证方式;其中,所述第二验证方式与所述第一验证方式不同;
基于所述用户用于登录实例的第二验证信息、以及所述第二验证方式对所述用户进行验证。。
本发明实施例具有以下有益效果:
通过二次验证的方式对登录实例的用户进行验证,避免一次验证账号风险高的问题;
当第一次验证用户登录实例存在异常时,通过智能动态的决策验证方式进行二次验证,避免了采用固定的验证方式组合的方式带来的被攻击的潜在风险,对于盗号攻击者,要攻破动态的不同类型的验证方式,盗号难度增大,账号安全更有保障;
对于账号的合法用户,即使用户在第一次验证因为各种原因(如忘记密码)而登录实现,也能够基于后续决策出的验证方式通过验证以顺利登录。
附图说明
图1是本发明实施例中验证方法的一个可选的流程示意图;
图2是本发明实施例提供的验证方法的一个可选的场景示意图;
图3是本发明实施例提供的验证方法的一个可选的场景示意图;
图4是本发明实施例中验证方法的一个可选的流程示意图;
图5是本发明实施例中验证装置的一个可选的硬件结构示意图;
图6-1是本发明实施例中验证装置的一个可选的功能结构示意图;
图6-2是本发明实施例中验证装置的功能结构的一个可选的分布示意图;
图6-3是本发明实施例中验证装置的功能结构的一个可选的分布示意图;
图7是本发明实施例中基于智能决策的双重身份验证的一个可选的框架示意图;
图8是本发明实施例中双重身份验证的一个可选的场景示意图。
具体实施方式
以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所提供的实施例仅仅用以解释本发明,并不用于限定本发明。另外,以下所提供的实施例是用于实施本发明的部分实施例,而非提供实施本发明的全部实施例,在不冲突的情况下,本发明实施例记载的技术方案可以任意组合的方式实施。
需要说明的是,本发明实施例所涉及的术语“第一\第二”仅仅是是区别类似的对象,不代表针对对象的特定排序,可以理解地,“第一\第二”在允许的情况下可以互换特定的顺序或先后次序。应该理解“第一\第二”区分的对象在适当情况下可以互换,以使这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。
发明人在实施本发明的过程中发现,相关技术提供的登录应用的方式至少存在以下问题:
1)部分应用仅对用户进行一次验证,如账号+密码等一次性的验证方式,账号被盗的风险很高。
例如,在某些情况下,对可疑登录没有多重身份验证,导致账号被盗风险高。例如没有开启设备锁(用于对登录终端进行验证)的社交应用,只需要账号和密码就能登录;部分第三方支付应用在凭借短信验证码登录时,也不需要进行二次验证。
2)部分应用采用双重验证的方式以降低账号被盗风险,但是相关技术使用的验证方式的策略比较固定,没有根据登录环境对使用何种验证方式进行智能决策,导致防盗强度低和用户体验差。
例如,对于社交应用来说,开启设备锁时才验证短信是固定的策略;第三方支付应用使用短信验证码登录时,就不会进行其他方式的验证是固定的策略,这种采用固定的验证方式的策略存在风险,表现在以下方面:
短信功能可能被劫持,单纯采用短信验证码登录的方式仍然存在风险信任短信;第三方支付应用虽然存在其他验证方式,例如安全问题验证、人脸识别等,但这些验证方式十可选的形式罗列供用户选择,一旦恶意突破其中的一个验证方式即可登录。
3)部分应用的验证方式是固定不变的,当用户不能通过固定验证方式时,没有其他验证方式替代以使用户顺利登录。
例如,当社交应用使用账号和密码方式进行验证时,如果用户忘记密码而不断进行尝试时会导致账号锁定无法登录;第三方支付应用使用短信验证码进行第二次验证时,当用户手机不在身边时则无法通过验证以登录。
针对上述问题,本发明实施例提供于对用户登录实例进行验证的验证方法、以及应用验证方法的验证装置;当然,本发明实施例不局限于提供为方法和装置,还可有多种实现方式,例如提供为存储介质(存储有用于执行本发明实施例提供的验证方法的指令)。
以下对验证方法不同的实现方式举例说明。
一、在服务器侧实施,服务器应用程序及平台
本发明实施例可提供使用C/C++、Java等编程语言设计的应用软件或大型软件系统中的专用软件模块,运行于服务器(以可执行指令的方式在服务器的存储介质中存储,并由服务器端的处理器运行),在终端用户提交验证信息以登录实例时对用户进行验证,在验证通过时为用户执行登录初始化。
实例可以在终端运行(例如,实例可以为社交应用),服务器作为实例的后台服务器,用于实现对用户的验证以及登录控制。当然,实例也可以在服务器运行(例如,云操作系统),终端仅提供用于与服务器运行的实例进行交互的界面,并将用户终端输入的验证信息提交给服务器进行验证。
本发明实施例还可以提供为在多台服务器构成的分布式、并行计算平台上,搭载定制的、易于交互的网络(Web)界面或其他各用户界面(UI,User Interface),以在终端用户提交验证信息以登录实例时对用户进行验证,并在验证通过时为用户执行登录初始化。
二、在终端侧实施,提供为应用或模块
本发明实施例可提供为使用C/C++、Java等编程语言设计的应用或者模块,模块可以嵌入到基于Android或iOS等系统的各种终端的应用中(例如社交应用等,以可执行指令的存储在终端的存储介质中,由终端的处理器执行),从而直接使用终端自身的计算资源对用户进行验证,在验证通过时为用户执行登录初始化,还可以并且定期或不定期地通过各种网络通信方式将验证的结果传送给服务器,或者在终端本地保存。
对本发明进行进一步详细说明之前,对本发明实施例中涉及的名词和术语进行说明,本发明实施例中涉及的名词和术语适用于如下的解释。
1)终端,包括智能手机、平板电脑、车载终端等移动终端,还可以为台式机电脑或类似的计算终端。
2)实例,带有验证机制的操作系统和应用等。
例如,实例的可执行代码可以完全在服务器运行,在终端提供用于登录管理实例的图形界面,如云操作系统。
再例如,实例的可执行代码可以在终端运行,提供为各种可通过安装包安装的应用,如社交应用、第三方支付应用等,并在
3)验证方式,验证用户当前登录实例的行为是否用户的技术手段。
示例性地,验证方式包括:
账号+密码验证方式;
账号+短信验证码验证方式;
生物特征(如指纹、声纹、虹膜等)验证方式;
可信终端验证方式,例如通过可信终端的扫码授权来确认用户的当前登录合法;可信终端是指,例如,曾经以当前登录账号登录实例的终端,用户的好友中近期处于活跃状态的登录终端。
关系链验证方式,通过其他合法用户确认用户的当前登录合法,如通过好友辅助确认的方式登录。
4)验证信息,与验证方式结合使用,是用于验证用户登录实例的行为是否合法的凭据,如账号+密码、账号+短信验证码、生物特征、可信终端的登录确认、关系链用户的登录确认等。
以本发明实施例提供的验证方法在服务器侧实施为例进行说明,参见图1示出验证方法的一个可选的流程示意图,包括以下步骤:
步骤101,终端向服务器提交用户用于登录实例的第一验证信息。
在一个实施例中,如前所述,实例包括以下几种类型:
1)终端中运行的操作系统,用户登录该操作系统时,需要经由终端向服务器提交验证信息,由服务器对用户进行验证并在验证成功后激活终端中操作系统的登录初始化。
2)终端中运行的应用,服务器为应用的后台服务器,并且存储有用户的验证信息,或者,服务器能够读取数据库服务器中存储的验证信息,用户在终端登录应用时需要经由终端向服务器提交验证信息,由服务器对用户进行验证并在验证成功后激活终端中应用的登录初始化,并为应用提供相关的业务支持。
3)服务器(或服务器形成的分布式的计算平台)中运行的操作系统(如操作系统),用户登录该操作系统时,需要经由终端向服务器提交验证信息,由服务器对用户进行验证并在验证成功后,为用户激活服务器中云操作系统的登录初始化。
4)服务器(或服务器形成的分布式的计算平台)中运行的应用(如云计算服务),用户登录应用时,需要经由终端向服务器提交验证信息,由服务器对用户进行验证并在验证成功后,为用户激活服务器中应用的登录初始化。
在一个实施例中,示例性地,第一验证信息是用户需要经由终端登录目标实例时所需要提交的信息,验证信息的类型取决于实例所采用的验证方式(也成为第一验证方式)。
例如,当验证方式为账号+密码验证方式时,第一验证信息为用户为登录实例所提交的账号和密码;当验证方式为账号+短信验证码方式时,第一验证信息为用户为登录实例所提交的账号、以及通过终端接收到的短信验证码;当验证方式为指纹验证时,第一验证信息为用户在终端录入的指纹数据。
步骤102,服务器基于用户用于登录实例的第一验证信息、以及第一验证方式对用户进行验证。
在一个实施例中,设用户经由终端提交的第一验证信息,与第一验证方式的合法的验证信息(在服务器本地存储,或者由服务器从验证信息数据库服务器读取)比对,根据是否比对成功形成验证结果。
步骤103,服务器基于验证结果,检测用户登录实例是否存在异常,如果未存在异常则执行步骤104;否则执行步骤105。
当用户登录实例未存在异常时,表明用户登录实例所使用的账号不存在安全威胁,因此可以为用户执行登录初始化(步骤104),下面对检测登录实例异常的方式进行说明。
方式1)
在一个实施例中,针对提交的验证信息错误的场景,服务器检测到基于用户用于登录实例的第一验证信息、以及第一验证方式对用户进行验证失败时,即判定存在异常。
例如,以第一验证方式为账号+密码验证方式为例,当用户经由终端提交的账号和密码,与服务器查询到的相应账号的密码不一致时,即判定用户登录实例存在异常。
方式2)
在另一个实施例中,针对用户更换登录实例所使用的终端的场景,服务器检测到基于用户用于登录实例的第一验证信息、以及第一验证方式对用户进行验证成功,并且,检测到用户登录实例的登录终端不同于历史登录终端时,即判定用户登录实例存在异常。
例如,以用户更换新手机登录实例,第一验证方式为账号(如手机号码)+短信验证码方式为例,当用户登录实例提交的手机号码以及针对该手机号码下发的短信验证码一致时,即验证成功,但是检测到该手机与用户之前登录所用的手机不同,即判定用户登录实例存在异常。
方式3)
在另一个实施例中,针对终端被注入恶意代码的场景,当服务器检测到基于用户用于登录实例的第一验证信息、以及第一验证方式对用户进行验证成功,并且,检测到用户登录实例的登录终端运行有获取终端信息的恶意代码。
例如,服务器检测到基于用户用于登录实例的第一验证信息、以及第一验证方式对用户进行验证成功,一旦检测到终端中注入有恶意软件、恶意插件等形式的恶意代码时,即使用户登录实例的登录终端没有发生变化,也判定用户登录实例存在异常。
步骤104,服务器为用户执行登录初始化。
服务器为用户执行登录初始化完成后,用户的账号在实例中处于登录状态,支持用户在实例中获取各种业务。
步骤105,服务器对用户登录实例进行登录异常分析。
结合前述的检测异常的方式对登录异常分析进行说明。
接续前述方式1),在一个实施例中,服务器分析用户基于第一验证信息尝试登录实例的次数低于预设时长(如1天或者1小时,根据实例的安全策略而定)内的最大错误登录次数,形成相应的分析结果,其中记录有用户基于第一验证信息尝试登录实例的次数,通常,当尝试登录次数超出最大错误登录次数时会因潜在的安全威胁而执行账号锁定,账号暂时处于无法登录的状态,直至排除安全威胁。
接续前述方式2)和方式3),在一个实施例中,服务器比较用户登录实例的登录特征与用户登录实例的历史登录特征,基于登录特征的差异,确定用户登录实例的存在异常的登录特征(称为异常点)以及相应异常点的异常度。例如,将登录示例的各个维度的登录特征与历史登录特征存在差异(或者存在差异且差异程度超出相应差异程度阈值)的登录特征识别为异常点。
示例性地,登录特征可以采用以下维度:
维度1)登录方式,如登录时间、登录地点、登录账号的类型(如社交应用账号、手机号码、电子邮箱等)、密码类型(如社交应用的密码、短信验证码等)。
维度2)登录历史习惯,常用登录地点、常用登录终端、常用登录时间等。
维度3)登录环境,主要是指登录的终端的联网方式。
维度4)登录终端的异常度,终端异常是指,例如终端是一个模拟器、并且有其他可疑被盗账号尝试登录过、终端的操作系统的系统版本过低、终端的操作系统与用户登录实例的历史终端的操作系统不同,例如iOS终端的用户,一直使用iOS系统,如果登录终端的操作系统更换为android系统,则存在终端异常,异常度是对上述终端异常的量化表征。
维度5)登录终端的可信度,终端可信指终端是否有可疑的账号登录的情况的,不存在可疑账号登录的终端较存在可疑账号登录可信,终端的可信度与终端中存在可疑账号登录的数量负相关。
维度6)账户的登录状态,登录状态是指,用户基于该账户登录实例之前,该账户是否处于已经处于登录状态,如果已经处于登录状态,则用户当前登录实例的存在异常。
例如,用户当前账号的登录时间为夜间12点,登录账号的类型为社交应用账号,登录账号的密码为社交应用的密码,而该账号的历史登录时间总是集中在日间,登录账号的类型为手机号码,登录账号的密码为短信验证码,由于当前用户登录实例与用户的历史登录方式存在较大差异,因此登录方式存在潜在的异常点。
再例如,用户当前登录的终端被检测到曾经存在大量可疑账号登录的情况,那么在登录终端的可信度这一维度存在异常点。
又例如,用户当前登录实例的账号在服务器侧已经被执行登录初始化而处于登录状态,则用户当前基于该账号的登录是恶意用户登录的风险较高,在登录状态这一维度存在异常点。
步骤106,服务器基于分析结果对候选验证方式进行决策得到第二验证方式。
接续前述方式1),在一个实施例中,适用于用户连续提交登录实例的错误验证信息的场景,当分析出用户基于第一验证信息尝试登录实例的次数未高于预设时长内的最大错误登录次数时,表明此时尚不需要对登录实例的账号执行账号锁定,并判决为用户可能是忘记了对应第一验证方式的验证信息,因此,在用户登录的实例账号支持的验证方式中排除第一验证方式而得到候选验证方式,在候选验证方式选取终端支持的验证方式为第二验证方式。
接续前述方式2)和方式3),适用于基于第一验证方式验证成功但是用户登录实例的终端为新终端,或用户登录实例的终端被植入恶意代码的场景。
在一个实施例中,服务器通过对不同的验证方式进行身份验证特性分析,确定不同的候选验证方式所支持对抗的登录攻击的类型,并解析出相应类型的登录攻击未使用的登录特征为相应验证方式所防护的登录特征。
例如对账号+短信验证码验证方式进行身份验证特性分析,可以得到该验证方式可以用于对抗账号+密码验证这一登录特征的攻击(因为企图登录实例的恶意用户可能无法获取短信验证码)。
再例如,对指纹验证方式进行身份验证特性分析,确定该验证方式可以用于对抗账号+密码验证的攻击、以及对抗账号+短信验证码这一登录特征的攻击(因为企图登录实例的恶意用户无法获取账户合法用户的指纹)。
接续前述方式2)和方式3)说明,服务器基于用户登录实例的异常点,以及候选验证方式所防护的登录特征,选取登录特征不涉及异常点的相应候选验证方式为对用户进行再次验证的方式(第二验证方式)。
例如,当使用账号+密码方式对用户验证成功,且登录终端存在异常,如该终端存在可疑账号的登录记录时,选取不涉及异常点的登录方式如账号+短信验证码验证方式、指纹验证方式为第二验证方式。
在一个实施例中,服务器可以决策出两种以上的第二验证方式,例如,当用户登录实例的异常点的异常度超出异常度阈值时,选取两种不同的候选验证方式作为第二验证方式。例如,对于高异常度的登录,选取两种异于第一验证方式的候选验证方式(作为第二验证方式)依次对用户进行验证,确保账号安全。以下对选取两个以上的方式进行示例性说明。
示例性地,接续前述方式1),针对提交的验证信息错误的场景,服务器检测到基于用户用于登录实例的第一验证信息、以及第一验证方式对用户进行验证失败时,服务器选取两种异于第一验证方式的候选验证方式(作为第二验证方式)依次对用户进行验证,在验证成功时为用户执行登录初始化,在验证失败时屏蔽用户登录实例。
示例性地,接续前述方式2)、3),适用于服务器基于第一验证方式验证成功但是用户登录实例的终端为新终端(首次用于登录实例),或用户登录实例的终端被植入恶意代码的场景,服务器基于用户登录实例的异常点,以及候选验证方式所防护的登录特征,选取登录特征不涉及异常点的两种异于第一验证方式的候选验证方式(作为第二验证方式)依次对用户进行验证,在验证成功时为用户执行登录初始化,在验证失败时屏蔽用户登录实例。
如前所述,登录特征包括登录终端、登录历史习惯;登录环境等不同的维度,以下再结合具体情况,对选取不涉及异常点的异于第一验证方式的候选验证方式(作为第二验证方式)进行说明。
例如,当异常点为登录终端(用户当前登录实例所使用的终端)与历史登录终端不同时,例如用户在使用一新终端尝试登录实例,并且登录终端存在可疑账号登录的记录时,若检测到所述登录终端未涉及使用短信验证方式登录,则判定所述登录终端不具备盗取短信能力,选取不涉及当前异常点的短信验证登录方式为第二验证方式。
再例如,当异常点为用户在新地点以新的账号名类型登录实例(例如,用户之前从未在该地点以电子邮箱+密码方式登录实例),表明登录终端为异常的登录终端,若检测到异常的登录终端未具有使用声纹数据的登录记录,则判定所述登录终端不具备盗取声纹数据能力,选取不涉及当前异常点的声纹验证登录方式为第二验证方式。
又例如,当异常点为用户在的登录地点以及登录所使用的网络连接已经存在可疑账号登录的情况,当前的登录终端属于高度异常的情况,判定当前的登录用户没有侵入好友账号的能力,选取与当前异常点线下联系人(好友)辅助验证方式,当接收到预定数量的好友确定当前用户登录合法时执行登录初始化。
步骤107,服务器基于用户用于登录实例的第二验证信息、以及第二验证方式对用户进行验证。
步骤108,服务器基于验证结果,检测用户登录实例是否存在异常,如果未存在异常则执行步骤104;否则执行步骤109。
步骤109,服务器屏蔽用户登录实例。
接续前述方式1)的有益效果进行说明,在使用一种验证方式(第一验证方式)对用户验证失败时提供另一种替换的验证方式(第二验证方式)对用户登录实例进行验证,避免了用户在忘记第一验证方式的验证信息时即无法登录的情况,实现了帮助用户在忘记一种验证方式的验证信息的情况下也能顺利登录顺利的技术效果。
接续对前述方式2)、3)的有益效果进行说明,在用户使用新终端登录实例且第一次验证成功的场景中,以及第一次验证成功且登录实例终端被植入恶意代码的场景中,基于登录实例的异常点所无法涉及(攻击)的登录特征来动态决策对用户进行第二次验证所使用的验证方式,由于第二验证方式所涉及的登录特征与异常点无关,与使用固定的二次验证方式相比,提升了恶意用户攻击登录的难度,因为既然第二次验证方式对于恶意用户来说是无法预知的,恶意用户无法根本无法攻击登录第二次验证,实现了准确识别恶意用户登录并有效屏蔽的技术效果,在用户使用新终端登录实例时有效保证了账号安全。
下面结合示例对上述实施在服务器侧的验证处理进行说明。
参见图2示出的本发明实施例提供的验证用户的一个可选的场景示意图,在图2中,用户在终端以微信账号和微信密码尝试登录微信,服务器基于存储的对应该微信账号的微信密码对用户进行第一次验证,这里假设用户忘记微信密码而提交错误的微信密码导致第一次验证失败,服务器对登录进行异常分析确定登录的异常点,对微信账号进行账号设置分析,确定用户的微信账号绑定的验证方式,基于异常点在验证方式(除微信账号+微信密码验证方式)进行决策,例如如下决策:第一次验证为非短信验证而且用户的登录终端没有中短信木马病毒的情况,因此选取微信账号+手机短信的验证方式进行二次验证。如果第二次验证成功则为微信账号执行登录初始化;如果第二次验证失败,则基于登录的异常点再次决策出第三次验证方式,设为声纹验证方式,如果第三次验证成功则为微信账号执行登录初始化,如果第三次验证失败则在一段时间内屏蔽该微信账号的登录。
在第一次验证失败时通过智能决策后续验证方式(第二次验证方式、第三次验证方式),并且决策的验证方式是基于异常点选择的能够防范登录攻击的验证方式,一方面避免由用户选择验证方式导致的账号风险,另一方面也保证账号的合法用户能够顺利登录。
参见图3示出的本发明实施例提供的验证用户的一个可选的场景示意图,在图3中,用户在终端以微信账号和微信密码,在新终端尝试登录微信,服务器基于存储的对应该微信账号的微信密码对用户进行第一次验证,这里假设用户忘记微信密码而提交错误的微信密码导致第一次验证成功,但是检测到存在异常,例如终端与用户曾经登录微信账号使用的终端不同,或者终端为用户登录微信账号所使用的终端,但是终端中被植入恶意代码。
服务器对登录进行异常分析确定登录的异常点,对微信账号进行账号设置分析,确定用户的微信账号绑定的验证方式。基于异常点以及异常度在验证方式(除微信账号+微信密码验证方式)进行决策,例如,当异常度未超出异常度阈值时决策出两种验证方式(用于第二次验证),当异常度超出异常度阈值时决策出两种验证方式(用于第二次验证和第三次验证),包括:第二次验证方式可信终端扫码授权方式,适用于可信终端在线并且最近一段时间可行终端有登录该微信账号行为;好友辅助验证方式,适用于线下联系好友在线。
如果第二次验证、第三次验证成功则为微信账号执行登录初始化,在第一次验证失败时通过智能决策后续验证方式(第二次验证方式、第三次验证方式),并且决策的验证方式是基于异常点选择的能够防范登录攻击的验证方式,一方面避免由用户选择验证方式导致的账号风险,另一方面通过二次验证的方式保障了账号安全。
前述以本发明实施例提供的验证方法在服务器侧实施为例进行说明,也就是由服务完成对登录实例的用户的验证,本发明实施例提供的验证方法还可以在终端侧实施,也就是由终端完成对登录实例的用户的验证。
将验证方法实施在服务器侧,相较于将验证方法实施在终端侧,能够避免终端侧的验证处理逻辑被恶意破解从而伪造验证信息欺骗服务器以登录实例的情况,对于终端来说,只能向服务器提交验证信息而无法对验证逻辑进行修改(因为验证逻辑在服务器侧),从而保证验证结果的可靠性。
将验证方法实施在终端侧,相较于将验证方法实施在服务器侧,由于在验证过程中只需要用户向终端提交验证信息,在终端侧实施验证处理以对用户登录实例进行验证,验证过程中不需要网络通信,也就是不依赖于网络通信即可完成对用户的验证,适用于缺少网络通信能力的情况下对用户验证,或者适应于安全性较高的封闭系统(在物理上与互联网没有连接)的登录验证,或者适应于安全性较高的封闭系统中运行的特定应用的登录验证。
以本发明实施例提供的验证方法在终端侧实施为例进行说明,与图1示出的验证方法不同,图4示出的验证方法全部在终端侧实施,适用于终端运行离线实例并需要对用户进行验证的场景。见图4示出验证方法的一个可选的流程示意图,包括以下步骤:
步骤201,终端向获取提交用户用于登录实例的第一验证信息。
在一个实施例中,如前所述,实例包括以下几种类型:
1)终端中运行的操作系统,用户登录该操作系统时,需要经由终端对用户进行验证并在验证成功后激活终端中操作系统的登录初始化。
2)终端中运行的应用,并且存储有用户的验证信息,用户在终端登录应用时需要向终端提交验证信息,由对终端用户进行验证并在验证成功后激活终端中应用的登录初始化,并为应用提供相关的业务支持。
在一个实施例中,示例性地,第一验证信息是用户需要经由终端登录目标实例时所需要提交的信息,验证信息的类型取决于实例所采用的验证方式(也成为第一验证方式)。
例如,当验证方式为账号+密码验证方式时,第一验证信息为用户为登录实例所提交的账号和密码;当验证方式为账号+短信验证码方式时,第一验证信息为用户为登录实例所提交的账号、以及通过终端接收到的短信验证码;当验证方式为指纹验证时,第一验证信息为用户在终端录入的指纹数据。
步骤202,终端基于用户用于登录实例的第一验证信息、以及第一验证方式对用户进行验证。
在一个实施例中,终端将用户经向终端提交的第一验证信息,与第一验证方式的合法的验证信息比对,根据是否比对成功形成验证结果。
步骤203,终端基于验证结果,检测用户登录实例是否存在异常,如果未存在异常则执行步骤204;否则执行步骤205。
当用户登录实例未存在异常时,表明用户登录实例所使用的账号不存在安全威胁,因此可以为用户执行登录初始化(步骤205),下面对检测登录实例异常的方式进行说明。
方式1)
在一个实施例中,针对提交的验证信息错误的场景,终端检测到基于用户用于登录实例的第一验证信息、以及第一验证方式对用户进行验证失败时,即判定存在异常。
例如,以第一验证方式为账号+密码验证方式为例,当用户经由终端提交的账号和密码,与终端查询到的相应账号的密码不一致时,即判定用户登录实例存在异常。
方式2)
在另一个实施例中,针对用户更换登录实例所使用的终端的场景,终端检测到基于用户用于登录实例的第一验证信息、以及第一验证方式对用户进行验证成功,并且,检测到用户登录实例的登录终端不同于历史登录终端时,即判定用户登录实例存在异常。
例如,以用户更换新手机登录实例,第一验证方式为账号(如手机号码)+短信验证码方式为例,当用户登录实例提交的手机号码以及针对该手机号码下发的短信验证码一致时,即验证成功,但是检测到该手机与用户之前登录所用的手机不同,即判定用户登录实例存在异常。
方式3)
在另一个实施例中,针对终端被注入恶意代码的场景,当终端检测到基于用户用于登录实例的第一验证信息、以及第一验证方式对用户进行验证成功,并且,检测到用户登录实例的登录终端运行有获取终端信息的恶意代码。
例如,针对用户更换登录实例所使用的终端的场景,终端检测到基于用户用于登录实例的第一验证信息、以及第一验证方式对用户进行验证成功,并且,一旦检测到终端中注入有恶意软件、恶意插件等形式的恶意代码时,即使用户登录实例的登录终端没有发生变化,也判定用户登录实例存在异常。
步骤204,终端为用户执行登录初始化。
终端为用户执行登录初始化完成后,用户的账号在实例中处于登录状态,支持用户在实例中获取各种业务。
步骤205,终端对用户登录实例进行登录异常分析。
结合前述的检测异常的方式对登录异常分析进行说明。
接续前述方式1),在一个实施例中,终端分析用户基于第一验证信息尝试登录实例的次数低于预设时长(如1天或者1小时,根据实例的安全策略而定)内的最大错误登录次数,形成相应的分析结果,其中记录有用户基于第一验证信息尝试登录实例的次数,通常,当尝试登录次数超出最大错误登录次数时会因潜在的安全威胁而执行账号锁定,账号暂时处于无法登录的状态,直至排除安全威胁。
接续前述方式2)和方式3),在一个实施例中,终端比较用户登录实例的登录特征与用户登录实例的历史登录特征,基于登录特征的差异,确定用户登录实例的存在异常的登录特征(称为异常点)以及相应异常点的异常度。例如,将登录示例的各个维度的登录特征与历史登录特征存在差异(或者存在差异且差异程度超出相应差异程度阈值)的登录特征识别为异常点。
示例性地,登录特征可以采用以下维度:
维度1)登录方式,如登录时间、登录地点、登录账号的类型(如社交应用账号、手机号码、电子邮箱等)、密码类型(如社交应用的密码、短信验证码等)。
维度2)登录历史习惯,常用登录地点、常用登录时间等。
维度3)登录环境,主要是指登录的终端的联网方式。
维度4)账户的登录状态,登录状态是指,用户基于该账户登录实例之前,该账户是否处于已经处于登录状态,如果已经处于登录状态,则用户当前登录实例的存在异常。
步骤206,终端基于分析结果对候选验证方式进行决策得到第二验证方式。
接续前述方式1),在一个实施例中,适用于用户连续提交登录实例的错误验证信息的场景,当分析出用户基于第一验证信息尝试登录实例的次数未高于预设时长内的最大错误登录次数时,表明此时尚不需要对登录实例的账号执行账号锁定,并判决为用户可能是忘记了对应第一验证方式的验证信息,因此,在用户登录的实例账号支持的验证方式中排除第一验证方式而得到候选验证方式,在候选验证方式选取终端支持的验证方式为第二验证方式。
接续前述方式2)和方式3),适用于基于第一验证方式验证成功但是用户登录实例的终端为新终端,或用户登录实例的终端被植入恶意代码的场景。
在一个实施例中,终端通过对不同的验证方式进行身份验证特性分析,确定不同的候选验证方式所支持对抗的登录攻击的类型,并解析出相应类型的登录攻击未使用的登录特征为相应验证方式所防护的登录特征。
例如对账号+短信验证码验证方式进行身份验证特性分析,可以得到该验证方式可以用于对抗账号+密码验证这一登录特征的攻击(因为企图登录实例的恶意用户可能无法获取短信验证码)。
再例如,对指纹验证方式进行身份验证特性分析,确定该验证方式可以用于对抗账号+密码验证的攻击、以及对抗账号+短信验证码这一登录特征的攻击(因为企图登录实例的恶意用户无法获取账户合法用户的指纹)。
接续前述方式2)和方式3)说明,终端基于用户登录实例的异常点,以及候选验证方式所防护的登录特征,选取登录特征不涉及异常点的相应候选验证方式为对用户进行再次验证的方式(第二验证方式)。
例如,当使用账号+密码方式对用户验证成功,且登录终端存在异常,如该终端存在可疑账号的登录记录时,选取不涉及异常点的登录方式如账号+短信验证码验证方式、指纹验证方式为第二验证方式。
在一个实施例中,终端可以决策出两种以上的第二验证方式,例如,当用户登录实例的异常点的异常度超出异常度阈值时,选取两种不同的候选验证方式作为第二验证方式。例如,对于高异常度的登录,选取两种异于第一验证方式的候选验证方式(作为第二验证方式)依次对用户进行验证,确保账号安全。以下对选取两个以上的方式进行示例性说明。
示例性地,接续前述方式1),针对提交的验证信息错误的场景,终端检测到基于用户用于登录实例的第一验证信息、以及第一验证方式对用户进行验证失败时,终端选取两种异于第一验证方式的候选验证方式(作为第二验证方式)依次对用户进行验证,在验证成功时为用户执行登录初始化,在验证失败时屏蔽用户登录实例。
示例性地,接续前述方式2)、3),适用于终端基于第一验证方式验证成功但是用户登录实例的终端为新终端,或用户登录实例的终端被植入恶意代码的场景,终端基于用户登录实例的异常点,以及候选验证方式所防护的登录特征,选取登录特征不涉及异常点的两种异于第一验证方式的候选验证方式(作为第二验证方式)依次对用户进行验证,在验证成功时为用户执行登录初始化,在验证失败时屏蔽用户登录实例。
步骤207,终端基于用户用于登录实例的第二验证信息、以及第二验证方式对用户进行验证。
步骤208,终端基于验证结果,检测用户登录实例是否存在异常,如果未存在异常则执行步骤204;否则执行步骤209。
步骤209,终端屏蔽用户登录实例。
接续前述方式1)的有益效果进行说明,在使用一种验证方式(第一验证方式)对用户验证失败时提供另一种替换的验证方式(第二验证方式)对用户登录实例进行验证,避免了用户在忘记第一验证方式的验证信息时即无法登录的情况,实现了帮助用户在忘记一种验证方式的验证信息的情况下,也能顺利登录顺利的技术效果。
接续对前述方式2)、3)的有益效果进行说明,在用户使用新终端登录实例且第一次验证成功的场景中,以及第一次验证成功且登录实例终端被植入恶意代码的场景中,基于登录实例的异常点所无法涉及(攻击)的登录特征来动态决策对用户进行第二次验证所使用的验证方式,由于第二验证方式所涉及的登录特征与异常点无关,与使用固定的二次验证方式相比,提升了恶意用户攻击登录的难度,因为第二次验证方式对于恶意用户来说是无法预知的,恶意用户无法根本无法通过第二次验证,实现了准确识别恶意用户登录并有效屏蔽的技术效果,在用户使用新终端登录实例时有效保证了账号安全。
对前述验证装置的硬件结构和逻辑功能结构进行说明,参见图5示出的验证装置10的一个可选的硬件结构示意图,验证装置10包括:
处理器11、输入/输出接口13,存储介质14以及网络接口12,组件可以经系统总线连接通信。
处理器11可以采用中央处理器(CPU)、微处理器(MCU,Microcontroller Unit)、专用集成电路(ASIC,Application Specific Integrated Circuit)或逻辑可编程门阵列(FPGA,Field-Programmable Gate Array)实现。
输入/输出接口13可以采用如显示屏、触摸屏、扬声器等输入/输出器件实现。
存储介质14可以采用闪存、硬盘、光盘等非易失性存储介质实现,也可以采用双倍率(DDR,Double Data Rate)动态缓存等易失性存储介质实现,示例性地,存储介质14可以与硬件结构中的其他组件共同在同一设备设置,也可以相对硬件结构中的其他组件异地远程设置。
网络接口12向处理器11提供外部数据如异地设置的存储介质14的访问能力,示例性地,网络接口12可以基于近场通信(NFC,Near Field Communication)技术、蓝牙(Bluetooth)技术、紫蜂(ZigBee)技术进行的近距离通信,另外,还可以实现如基于码分多址(CDMA,Code Division Multiple Access)、宽带码分多址(WCDMA,Wideband CodeDivision Multiple Access)等通信制式及其演进制式的通信。
参见图6-1示出的验证装置10的一个可选的功能结构示意图,验证装置10包括:
身份验证管理模块15,用于基于用户用于登录实例的第一验证信息、以及第一验证方式对用户进行验证;
登录异常分析模块16,用于基于验证结果,检测到用户登录实例存在异常,对用户登录实例进行登录异常分析;
决策模块17,用于基于分析结果对候选验证方式进行决策得到第二验证方式;其中,第二验证方式与第一验证方式不同;
身份验证管理模块15,还用于基于用户用于登录实例的第二验证信息、以及第二验证方式对用户进行验证。
在一个实施例中,登录异常分析模块16,还用于检测到基于用户用于登录实例的第一验证信息、以及第一验证方式对用户进行验证失败;
分析出用户基于第一验证信息尝试登录实例的次数是否高于预设时长内的最大错误登录次数。
在一个实施例中,登录异常分析模块16,还用于检测到基于第一验证信息、以及第一验证方式对用户进行验证成功,并且,检测到用户登录实例的终端不同于历史登录终端。
在一个实施例中,登录异常分析模块16,还用于检测到基于用户用于登录实例的第一验证信息、以及第一验证方式对用户进行验证成功,并且,检测到用户登录实例的登录终端运行有获取终端信息的恶意代码。
在一个实施例中,登录异常分析模块16,还用于比较用户登录实例的登录特征与用户登录实例的历史登录特征,基于登录特征的差异确定用户登录实例的异常点。
在一个实施例中,决策模块17,还用于基于用户登录实例的异常点,以及候选验证方式所防护的登录特征,选取登录特征不涉及异常点的相应候选验证方式为第二验证方式。
在一个实施例中,验证装置10还包括:
身份验证特性管理模块18,用于解析候选验证方式的验证特性得到候选验证方式所支持对抗的登录攻击的类型,并解析出相应类型的登录攻击未使用的登录特征为相应验证方式所防护的登录特征。
在一个实施例中,验证装置10还包括:
账号设置分析模块19,用于分析出用户的实例账号支持的验证方式;
决策模块17,还用于在用户的实例账号支持的验证方式中排除第一验证方式,得到候选验证方式;在候选验证方式选取终端支持的验证方式为第二验证方式。
在一个实施例中,决策模块17,还用于当用户登录实例的异常点的异常度超出异常度阈值时,选取两种不同于第一验证方式的候选验证方式作为第二验证方式。
如前,本发明实施例提供的身份验证方法可以在服务器侧实施,也可以在终端侧实施,相应地,如图6-2所示,验证装置10可以使用服务器侧的硬件资源(如前述的处理器、网络接口等)实现,以实施为服务器的形式对通过终端登录实例的用户进行验证。或者,如图6-3所示,验证装置10可以使用终端侧的硬件资源实现,从而在不需要网络通信的情况下对登录实例的用户进行验证。
下面以验证装置10在服务器侧实施,进行双重身份验证为例再进行说明。
参见图7示出的基于智能决策的双重身份验证的一个可选的框架示意图、以及图8示出的双重身份验证的一个可选的场景示意图。在图7中,身份验证的功能包括5个模块来实现,分别是账号设置分析模块、登录异常分析模块、身份验证特性管理模块、决策模块和身份验证管理模块。
当用户尝试使用新终端登录时,以密码或者手机验证码通过身份验证管理模块的验证后,会由该框架中的相关模块进行分析,基于领域知识决策使用身份验证方式进行二次身份验证。每次身份验证通过的结果将记录在服务器保存的终端信息中,如果该终端完成了足够的身份验证,那么这个终端后续可以作为可信终端。
账号设置分析模块用户进行终端可支持的身份验证方式的判断,例如用户登录的账号是否支持验证短信(是否绑定手机号码)、是否设置了声纹、账号的关系链是否可用于选择好友和好友辅助验证(例如,是否有固定经常联系的好友)、账号当前状态是否支持扫码授权登录等。
登录异常分析模块负责分析出用户当前登录的异常度,通过分析用户历史登录习惯(常用登录地点、常用登录终端、登录时间)、当前登录方式(登录时间、地点、账号名类型(微信号、手机号、QQ号、Email)和密码类型(微信密码、QQ密码、短信验证码)。将当前登录的行为与用户历史的登录习惯、登录方式比较,分析出异常点。例如用户之前从来没在某个地方登录、从来没使用过email登录等等)、该用户登录使用的账号的当前在线情况、当前登录终端异常度与可信度、当前登录环境异常度等,得到该次登录的异常点和异常程度。
终端异常是指,例如终端是一个模拟器终端、终端上有其他可疑被盗账号尝试登录过、终端的系统版本过低、终端的系统与用户之前终端的系统不同(例如之前登录的终端的系统为iOS,但是当前登录设备的系统为android),异常程度是对终端异常的量化。终端异常还可以是指,终端是否有可疑的用户登录过等情况,如果有可疑用户登录的情况,则异常度相对于不存在可疑的用户登录的终端要高。
终端可信是指,登录实例的终端不存在异常点的同时,还具有可信特征,例如终端上有经常联系的好友账号长期使用、终端的名称信息与账号实名信息对应等,终端可信度是对终端可信的量化。
登录环境主要是指登录的终端、联网方式、登录的客户端类型等,如果当前登录终端和联网方式(如使用的无线局域网)已经有其他可疑被盗用户,那这次登录是十分可疑的。
身份验证特性管理模块是对各种身份验证方式适用于对抗何种攻击的管理。例如短信验证码身份验证方式适用于用户首次身份验证为非短信验证而且用户历史使用终端没有中短信木马病毒的情况。可信终端扫码授权方式适用于可信终端在线并且最近有行为的情况。好友辅助因为需要线下联系好友进行辅助,有一定的操作门槛并且安全度高,所以适用于高可疑登录的情况。
决策模块是对账号设置分析模块、登录异常度分析模块和身份验证特性模块得到的结果的综合分析,决策使用适合的身份验证方式,决策出的验证方式与当前登录的异常点无关,从而避免被恶意攻击的情况。实际应用中具体的决策方式,可以通过历史案例分析与身份验证的特性归纳得到,并在线上进行ABTest不断调整得到。
身份验证管理模块是各种身份验证方法实现的模块,包括身份数据提供和验证的技术实现。身份验证方法可以是手机短信验证、可信终端授权、关系链验证、生物识别验证等。
结合示例说明,当用户使用账号名+密码登录在新终端登录时,触发异常登录分析以二次验证方式决策的处理。账号设置分析模块发现该账号具备验证短信(绑定了手机号码)和选择好友头像(关系链确认)的条件。登录异常分析模块发现该登录终端是恶意终端,上面有大量异地账号登录,终端无验证短信记录。决策模块开始工作,根据基于领域知识决策使用短信的二次验证,依据是攻击者使用账号名登录,账号绑定的手机号码很大可能是不知道的,推测难以盗取用户短信,而且终端上没验短记录,也证明了这一点。于是,攻击者虽然密码验证正确,但遇到了验证短信验证码的方式,由于无法获取短信验证码,因此不能成功登录。
综上所述,本发明实施例实现以下有益效果:
通过智能动态的决策二次或多次的验证方式,避免了采用固定的验证方式组合的方式带来的被攻击的潜在风险;
决策的验证方式避开了当前登录的异常点,对于盗号攻击者,要攻破动态的不同类型的身份验证方式,盗号难度增大,账号安全更有保障;
对于账号的合法用户,即使用户在第一次验证因为各种原因(如忘记密码)而登录实现,由于后续决策出的验证方式是与账号所支持(绑定)的验证方式,使得用户能够顺利通过验证以登录。
本领域的技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储装置、随机存取存储器(RAM,Random Access Memory)、只读存储器(ROM,Read-Only Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本发明上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机装置(可以是个人计算机、服务器、或者网络装置等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储装置、RAM、ROM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (21)
1.一种验证方法,其特征在于,所述方法包括:
基于用户用于登录实例的第一验证信息、以及第一验证方式对所述用户进行验证;
基于验证结果,对所述用户登录所述实例进行登录异常分析;
基于分析结果对候选验证方式进行决策得到第二验证方式;其中,所述第二验证方式与所述第一验证方式不同;
基于所述用户用于登录实例的第二验证信息、以及所述第二验证方式对所述用户进行验证。
2.根据权利要求1所述的方法,其特征在于,所述基于验证结果,对所述用户登录所述实例进行登录异常分析,包括:
基于验证结果,检测到所述用户登录所述实例是否存在异常,若存在异常则对所述用户登录所述实例进行登录异常分析。
3.根据权利要求1所述的方法,其特征在于,所述基于验证结果,对所述用户登录所述实例进行登录异常分析,包括:
检测到基于用户用于登录实例的第一验证信息、以及第一验证方式对所述用户进行验证失败时,判定所述用户登录所述实例存在异常;
分析出所述用户基于所述第一验证信息尝试登录所述实例的次数是否高于预设时长内的最大错误登录次数。
4.根据权利要求1所述的方法,其特征在于,所述基于验证结果,对所述用户登录所述实例进行登录异常分析,包括:
检测到基于所述第一验证信息、以及第一验证方式对所述用户进行验证成功,并且,检测到所述用户登录所述实例的终端不同于历史登录终端时,判定所述用户登录所述实例存在异常。
5.根据权利要求1所述的方法,其特征在于,所述基于验证结果,对所述用户登录所述实例进行登录异常分析,包括:
检测到基于所述第一验证信息、以及第一验证方式对所述用户进行验证成功,并且,检测到所述用户登录所述实例的终端运行有获取终端信息的恶意代码时,判定所述用户登录所述实例存在异常。
6.根据权利要求1所述的方法,其特征在于,所述对用户登录所述实例进行登录异常分析,包括:
比较所述用户登录所述实例的登录特征与所述用户登录所述实例的历史登录特征,基于登录特征的差异确定所述用户登录所述实例的异常点。
7.根据权利要求6所述的方法,其特征在于,所述用户登录所述实例的登录特征包括以下之一的维度:
登录方式;登录历史习惯;登录环境;登录终端的异常度;登录终端的可信度;登录所述实例的账户的登录状态。
8.根据权利要求1所述的方法,其特征在于,所述基于分析结果对候选验证方式进行决策得到第二验证方式,包括:
基于所述用户登录所述实例的异常点,以及所述候选验证方式所防护的登录特征,选取登录特征不涉及所述异常点的相应候选验证方式为所述第二验证方式。
9.根据权利要求1所述的方法,其特征在于,所述方法还包括:
解析所述候选验证方式的验证特性得到所述候选验证方式所支持对抗的登录攻击的类型,解析出相应类型的登录攻击未攻击的登录特征为相应验证方式所防护的登录特征。
10.根据权利要求1所述的方法,其特征在于,所述基于分析结果对候选验证方式进行决策得到第二验证方式,包括:
在所述用户的实例账号绑定的验证方式中排除所述第一验证方式,得到所述候选验证方式;
在所述候选验证方式选取所述用户登录所述实例的登录终端支持的验证方式为所述第二验证方式。
11.根据权利要求1所述的方法,其特征在于,所述基于分析结果对候选验证方式进行决策得到第二验证方式,包括:
当所述用户登录所述实例的异常点的异常度超出异常度阈值时,选取两种不同于所述第一验证方式的所述候选验证方式作为所述第二验证方式。
12.一种验证装置,其特征在于,所述装置包括:
身份验证管理模块,用于基于用户用于登录实例的第一验证信息、以及第一验证方式对所述用户进行验证;
登录异常分析模块,用于基于验证结果,对所述用户登录所述实例进行登录异常分析;
决策模块,用于基于分析结果对候选验证方式进行决策得到第二验证方式;其中,所述第二验证方式与所述第一验证方式不同;
所述身份验证管理模块,还用于基于所述用户用于登录实例的第二验证信息、以及所述第二验证方式对所述用户进行验证。
13.根据权利要求12所述的装置,其特征在于,
所述登录异常分析模块,还用于基于验证结果,检测到所述用户登录所述实例是否存在异常,若存在异常则对所述用户登录所述实例进行登录异常分析。
14.根据权利要求12所述的装置,其特征在于,
所述登录异常分析模块,还用于检测到基于用户用于登录实例的第一验证信息、以及第一验证方式对所述用户进行验证失败时,判定所述用户登录所述实例存在异常;分析出所述用户基于所述第一验证信息尝试登录所述实例的次数是否高于预设时长内的最大错误登录次数。
15.根据权利要求12所述的装置,其特征在于,
所述登录异常分析模块,还用于检测到基于所述第一验证信息、以及第一验证方式对所述用户进行验证成功,并且,检测到所述用户登录所述实例的终端不同于历史登录终端时,判定所述用户登录所述实例存在异常。
16.根据权利要求12所述的装置,其特征在于,
所述登录异常分析模块,还用于检测到基于所述第一验证信息、以及第一验证方式对所述用户进行验证成功,并且,检测到所述用户登录所述实例的登录终端运行有获取终端信息的恶意代码时,判定所述用户登录所述实例存在异常。
17.根据权利要求12所述的装置,其特征在于,
所述登录异常分析模块,还用于比较所述用户登录所述实例的登录特征与所述用户登录所述实例的历史登录特征,基于登录特征的差异确定所述用户登录所述实例的异常点。
18.根据权利要求12所述的装置,其特征在于,
所述决策模块,还用于基于所述用户登录所述实例的异常点,以及所述候选验证方式所防护的登录特征,选取登录特征不涉及所述异常点的相应候选验证方式为所述第二验证方式。
19.根据权利要求12所述的装置,其特征在于,所述装置还包括:
身份验证特性管理模块,用于解析所述候选验证方式的验证特性得到所述候选验证方式所支持对抗的登录攻击的类型,并解析出相应类型的登录攻击未使用的登录特征为相应验证方式所防护的登录特征。
20.根据权利要求12所述的装置,其特征在于,所述装置还包括:
账号设置分析模块,用于分析出所述用户的实例账号支持的验证方式;
所述决策模块,还用于在所述用户的实例账号支持的验证方式中排除所述第一验证方式,得到所述候选验证方式;在所述候选验证方式选取所述用户登录所述实例的登录终端支持的验证方式为所述第二验证方式。
21.根据权利要求12所述的装置,其特征在于,
所述决策模块,还用于当所述用户登录所述实例的异常点的异常度超出异常度阈值时,选取两种不同于所述第一验证方式的所述候选验证方式作为所述第二验证方式。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610613071.8A CN107665301B (zh) | 2016-07-28 | 2016-07-28 | 验证方法及装置 |
| PCT/CN2017/094399 WO2018019243A1 (zh) | 2016-07-28 | 2017-07-25 | 一种验证方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610613071.8A CN107665301B (zh) | 2016-07-28 | 2016-07-28 | 验证方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107665301A true CN107665301A (zh) | 2018-02-06 |
| CN107665301B CN107665301B (zh) | 2021-03-19 |
Family
ID=61016381
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610613071.8A Active CN107665301B (zh) | 2016-07-28 | 2016-07-28 | 验证方法及装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN107665301B (zh) |
| WO (1) | WO2018019243A1 (zh) |
Cited By (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108418829A (zh) * | 2018-03-22 | 2018-08-17 | 平安科技(深圳)有限公司 | 账号登陆验证方法、装置、计算机设备及存储介质 |
| CN108833258A (zh) * | 2018-06-12 | 2018-11-16 | 广东睿江云计算股份有限公司 | 一种邮件服务主动发现异常的方法 |
| CN108960839A (zh) * | 2018-06-20 | 2018-12-07 | 阿里巴巴集团控股有限公司 | 一种支付方法及装置 |
| CN109218170A (zh) * | 2018-10-18 | 2019-01-15 | 杭州安恒信息技术股份有限公司 | 一种基于ip地址的邮件异常登录检测方法及系统 |
| CN109493089A (zh) * | 2018-11-02 | 2019-03-19 | 南方电网调峰调频发电有限公司 | 一种基于数据库多租用户的用户管理系统 |
| CN109639724A (zh) * | 2019-01-14 | 2019-04-16 | 平安科技(深圳)有限公司 | 密码找回方法、密码找回装置、计算机设备及存储介质 |
| CN109753772A (zh) * | 2018-11-29 | 2019-05-14 | 武汉极意网络科技有限公司 | 一种账户安全验证方法及系统 |
| CN109753778A (zh) * | 2018-12-30 | 2019-05-14 | 北京城市网邻信息技术有限公司 | 用户的审核方法、装置、设备及存储介质 |
| CN109889507A (zh) * | 2019-01-24 | 2019-06-14 | 太仓红码软件技术有限公司 | 一种用于监测邮箱操作安全的监测方法及其系统 |
| CN110224992A (zh) * | 2019-05-14 | 2019-09-10 | 北京百度网讯科技有限公司 | 共享资源限制复用的方法、设备、系统及计算机可读介质 |
| CN110232270A (zh) * | 2018-03-06 | 2019-09-13 | 中国移动通信集团有限公司 | 一种安全认证的方法、设备、装置及存储介质 |
| WO2019184122A1 (zh) * | 2018-03-30 | 2019-10-03 | 平安科技(深圳)有限公司 | 一种登录验证方法、装置、终端设备及存储介质 |
| CN110321688A (zh) * | 2019-06-10 | 2019-10-11 | 许超贤 | 一种防止信息泄露的金融终端及业务处理方法 |
| CN110414198A (zh) * | 2019-08-07 | 2019-11-05 | Oppo(重庆)智能科技有限公司 | 一种隐私应用保护方法、装置及计算机可读存储介质 |
| CN110535850A (zh) * | 2019-08-26 | 2019-12-03 | 腾讯科技(武汉)有限公司 | 帐号登录的处理方法和装置、存储介质及电子装置 |
| CN110874460A (zh) * | 2019-11-14 | 2020-03-10 | 江苏税软软件科技有限公司 | App安全验证方法 |
| CN111581613A (zh) * | 2020-04-29 | 2020-08-25 | 支付宝(杭州)信息技术有限公司 | 一种账户登录验证方法及系统 |
| CN112183167A (zh) * | 2019-07-04 | 2021-01-05 | 钉钉控股(开曼)有限公司 | 考勤方法、认证方法、活体检测方法、装置及设备 |
| CN113674085A (zh) * | 2021-08-19 | 2021-11-19 | 支付宝(杭州)信息技术有限公司 | 一种账户的解限方法、装置及设备 |
| CN113709082A (zh) * | 2020-05-20 | 2021-11-26 | 腾讯科技(深圳)有限公司 | 应用登录方法和装置、账号登录方式的设置方法 |
| CN113849786A (zh) * | 2021-08-13 | 2021-12-28 | 广州酷狗计算机科技有限公司 | 异常用户检测方法、装置、电子设备及存储介质 |
| CN114186209A (zh) * | 2022-02-15 | 2022-03-15 | 北京安帝科技有限公司 | 身份验证方法及系统 |
| CN114205119A (zh) * | 2021-11-17 | 2022-03-18 | 南方电网数字电网研究院有限公司 | 电网控制平台用的数据安全保护异常登录对应方法 |
| CN114237144A (zh) * | 2021-11-22 | 2022-03-25 | 上海交通大学宁波人工智能研究院 | 一种基于嵌入式的plc安全可信的系统和方法 |
| CN116244684A (zh) * | 2023-05-11 | 2023-06-09 | 深圳奥联信息安全技术有限公司 | 一种密码管理方法、系统、计算机设备及存储介质 |
| CN116881890A (zh) * | 2023-09-08 | 2023-10-13 | 深圳市普惠智助医疗设备有限公司 | 用于自助清单打印机的用户身份识别管理方法及系统 |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110334559B (zh) * | 2019-05-31 | 2024-03-15 | 努比亚技术有限公司 | 一种扫码识别方法、终端及计算机可读存储介质 |
| CN111835765B (zh) * | 2020-07-13 | 2022-09-23 | 中国联合网络通信集团有限公司 | 一种验证方法及装置 |
| CN112309008A (zh) * | 2020-10-29 | 2021-02-02 | 一汽奔腾轿车有限公司 | 一种汽车数字钥匙的安全管理平台 |
| CN112613020B (zh) * | 2020-12-31 | 2024-05-28 | 中国农业银行股份有限公司 | 一种身份验证方法及装置 |
| CN113627208B (zh) * | 2021-08-17 | 2024-04-05 | 上海源慧信息科技股份有限公司 | 一种扫码登陆预警方法、装置、计算机设备和存储介质 |
| CN114172717A (zh) * | 2021-12-03 | 2022-03-11 | 武汉极意网络科技有限公司 | 一种基于事件追踪的账户风险评价方法 |
| CN114449519B (zh) * | 2022-01-12 | 2024-07-02 | 中车唐山机车车辆有限公司 | 一种访问无线网络的方法、装置及系统 |
| CN115022002B (zh) * | 2022-05-27 | 2024-02-06 | 中国电信股份有限公司 | 验证方式确定方法、装置、存储介质和电子设备 |
| CN117592021A (zh) * | 2022-08-19 | 2024-02-23 | 荣耀终端有限公司 | 账号登录的方法及电子设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102325062A (zh) * | 2011-09-20 | 2012-01-18 | 北京神州绿盟信息安全科技股份有限公司 | 异常登录检测方法及装置 |
| US20120123920A1 (en) * | 2010-11-10 | 2012-05-17 | Fraser Norman M | User Authentication System and Method Thereof |
| CN102664877A (zh) * | 2012-03-30 | 2012-09-12 | 北京千橡网景科技发展有限公司 | 登录过程中的异常处理方法和设备 |
| CN103532797A (zh) * | 2013-11-06 | 2014-01-22 | 网之易信息技术(北京)有限公司 | 一种用户登录异常监测方法和装置 |
| CN104125062A (zh) * | 2013-04-26 | 2014-10-29 | 腾讯科技(深圳)有限公司 | 登录方法与装置、登录验证装置、服务器、终端及系统 |
| CN105516138A (zh) * | 2015-12-09 | 2016-04-20 | 赛肯(北京)科技有限公司 | 一种基于登录日志分析的验证方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104144419B (zh) * | 2014-01-24 | 2017-05-24 | 腾讯科技(深圳)有限公司 | 一种身份验证的方法、装置及系统 |
-
2016
- 2016-07-28 CN CN201610613071.8A patent/CN107665301B/zh active Active
-
2017
- 2017-07-25 WO PCT/CN2017/094399 patent/WO2018019243A1/zh active Application Filing
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120123920A1 (en) * | 2010-11-10 | 2012-05-17 | Fraser Norman M | User Authentication System and Method Thereof |
| CN102325062A (zh) * | 2011-09-20 | 2012-01-18 | 北京神州绿盟信息安全科技股份有限公司 | 异常登录检测方法及装置 |
| CN102664877A (zh) * | 2012-03-30 | 2012-09-12 | 北京千橡网景科技发展有限公司 | 登录过程中的异常处理方法和设备 |
| CN104125062A (zh) * | 2013-04-26 | 2014-10-29 | 腾讯科技(深圳)有限公司 | 登录方法与装置、登录验证装置、服务器、终端及系统 |
| CN103532797A (zh) * | 2013-11-06 | 2014-01-22 | 网之易信息技术(北京)有限公司 | 一种用户登录异常监测方法和装置 |
| CN105516138A (zh) * | 2015-12-09 | 2016-04-20 | 赛肯(北京)科技有限公司 | 一种基于登录日志分析的验证方法及装置 |
Cited By (39)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110232270B (zh) * | 2018-03-06 | 2022-06-10 | 中移动信息技术有限公司 | 一种安全认证的方法、设备、装置及存储介质 |
| CN110232270A (zh) * | 2018-03-06 | 2019-09-13 | 中国移动通信集团有限公司 | 一种安全认证的方法、设备、装置及存储介质 |
| CN108418829A (zh) * | 2018-03-22 | 2018-08-17 | 平安科技(深圳)有限公司 | 账号登陆验证方法、装置、计算机设备及存储介质 |
| WO2019179041A1 (zh) * | 2018-03-22 | 2019-09-26 | 平安科技(深圳)有限公司 | 账号登陆验证方法、装置、计算机设备及存储介质 |
| WO2019184122A1 (zh) * | 2018-03-30 | 2019-10-03 | 平安科技(深圳)有限公司 | 一种登录验证方法、装置、终端设备及存储介质 |
| CN108833258A (zh) * | 2018-06-12 | 2018-11-16 | 广东睿江云计算股份有限公司 | 一种邮件服务主动发现异常的方法 |
| CN108960839A (zh) * | 2018-06-20 | 2018-12-07 | 阿里巴巴集团控股有限公司 | 一种支付方法及装置 |
| CN108960839B (zh) * | 2018-06-20 | 2021-04-23 | 创新先进技术有限公司 | 一种支付方法及装置 |
| CN109218170A (zh) * | 2018-10-18 | 2019-01-15 | 杭州安恒信息技术股份有限公司 | 一种基于ip地址的邮件异常登录检测方法及系统 |
| CN109493089A (zh) * | 2018-11-02 | 2019-03-19 | 南方电网调峰调频发电有限公司 | 一种基于数据库多租用户的用户管理系统 |
| CN109753772A (zh) * | 2018-11-29 | 2019-05-14 | 武汉极意网络科技有限公司 | 一种账户安全验证方法及系统 |
| CN109753778A (zh) * | 2018-12-30 | 2019-05-14 | 北京城市网邻信息技术有限公司 | 用户的审核方法、装置、设备及存储介质 |
| CN109639724A (zh) * | 2019-01-14 | 2019-04-16 | 平安科技(深圳)有限公司 | 密码找回方法、密码找回装置、计算机设备及存储介质 |
| CN109889507A (zh) * | 2019-01-24 | 2019-06-14 | 太仓红码软件技术有限公司 | 一种用于监测邮箱操作安全的监测方法及其系统 |
| CN109889507B (zh) * | 2019-01-24 | 2021-08-06 | 印象(山东)大数据有限公司 | 一种用于监测邮箱操作安全的监测方法及其系统 |
| CN110224992A (zh) * | 2019-05-14 | 2019-09-10 | 北京百度网讯科技有限公司 | 共享资源限制复用的方法、设备、系统及计算机可读介质 |
| CN110224992B (zh) * | 2019-05-14 | 2022-11-29 | 北京百度网讯科技有限公司 | 共享资源限制复用的方法、设备、系统及计算机可读介质 |
| CN110321688A (zh) * | 2019-06-10 | 2019-10-11 | 许超贤 | 一种防止信息泄露的金融终端及业务处理方法 |
| CN112183167B (zh) * | 2019-07-04 | 2023-09-22 | 钉钉控股(开曼)有限公司 | 考勤方法、认证方法、活体检测方法、装置及设备 |
| CN112183167A (zh) * | 2019-07-04 | 2021-01-05 | 钉钉控股(开曼)有限公司 | 考勤方法、认证方法、活体检测方法、装置及设备 |
| CN110414198A (zh) * | 2019-08-07 | 2019-11-05 | Oppo(重庆)智能科技有限公司 | 一种隐私应用保护方法、装置及计算机可读存储介质 |
| CN110535850A (zh) * | 2019-08-26 | 2019-12-03 | 腾讯科技(武汉)有限公司 | 帐号登录的处理方法和装置、存储介质及电子装置 |
| CN110535850B (zh) * | 2019-08-26 | 2022-07-29 | 腾讯科技(武汉)有限公司 | 帐号登录的处理方法和装置、存储介质及电子装置 |
| CN110874460A (zh) * | 2019-11-14 | 2020-03-10 | 江苏税软软件科技有限公司 | App安全验证方法 |
| CN111581613B (zh) * | 2020-04-29 | 2023-11-14 | 支付宝(杭州)信息技术有限公司 | 一种账户登录验证方法及系统 |
| CN111581613A (zh) * | 2020-04-29 | 2020-08-25 | 支付宝(杭州)信息技术有限公司 | 一种账户登录验证方法及系统 |
| CN113709082B (zh) * | 2020-05-20 | 2023-07-21 | 腾讯科技(深圳)有限公司 | 应用登录方法和装置、账号登录方式的设置方法 |
| CN113709082A (zh) * | 2020-05-20 | 2021-11-26 | 腾讯科技(深圳)有限公司 | 应用登录方法和装置、账号登录方式的设置方法 |
| CN113849786A (zh) * | 2021-08-13 | 2021-12-28 | 广州酷狗计算机科技有限公司 | 异常用户检测方法、装置、电子设备及存储介质 |
| CN113674085A (zh) * | 2021-08-19 | 2021-11-19 | 支付宝(杭州)信息技术有限公司 | 一种账户的解限方法、装置及设备 |
| CN114205119A (zh) * | 2021-11-17 | 2022-03-18 | 南方电网数字电网研究院有限公司 | 电网控制平台用的数据安全保护异常登录对应方法 |
| CN114205119B (zh) * | 2021-11-17 | 2023-11-21 | 南方电网数字电网研究院有限公司 | 电网控制平台用的数据安全保护异常登录对应方法 |
| CN114237144A (zh) * | 2021-11-22 | 2022-03-25 | 上海交通大学宁波人工智能研究院 | 一种基于嵌入式的plc安全可信的系统和方法 |
| CN114237144B (zh) * | 2021-11-22 | 2024-04-02 | 上海交通大学宁波人工智能研究院 | 一种基于嵌入式的plc安全可信的系统和方法 |
| CN114186209B (zh) * | 2022-02-15 | 2022-06-28 | 北京安帝科技有限公司 | 身份验证方法及系统 |
| CN114186209A (zh) * | 2022-02-15 | 2022-03-15 | 北京安帝科技有限公司 | 身份验证方法及系统 |
| CN116244684A (zh) * | 2023-05-11 | 2023-06-09 | 深圳奥联信息安全技术有限公司 | 一种密码管理方法、系统、计算机设备及存储介质 |
| CN116881890A (zh) * | 2023-09-08 | 2023-10-13 | 深圳市普惠智助医疗设备有限公司 | 用于自助清单打印机的用户身份识别管理方法及系统 |
| CN116881890B (zh) * | 2023-09-08 | 2023-12-26 | 深圳市普惠智助医疗设备有限公司 | 用于自助清单打印机的用户身份识别管理方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2018019243A1 (zh) | 2018-02-01 |
| CN107665301B (zh) | 2021-03-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107665301A (zh) | 验证方法及装置 | |
| US8225401B2 (en) | Methods and systems for detecting man-in-the-browser attacks | |
| US20220156404A1 (en) | Early data breach detection | |
| Lee et al. | An empirical study of wireless carrier authentication for {SIM} swaps | |
| US8387119B2 (en) | Secure application network | |
| US20160125522A1 (en) | Automatic account lockout | |
| KR101569753B1 (ko) | 보안 로그인 시스템, 방법 및 장치 | |
| US20190058992A1 (en) | Multifactor network authentication | |
| US11392677B2 (en) | Modifying application function based on login attempt confidence score | |
| US11722510B2 (en) | Monitoring and preventing remote user automated cyber attacks | |
| US8613064B1 (en) | Method and apparatus for providing a secure authentication process | |
| US11887124B2 (en) | Systems, methods and computer program products for securing electronic transactions | |
| Ulqinaku et al. | Is real-time phishing eliminated with {FIDO}? social engineering downgrade attacks against {FIDO} protocols | |
| US11146576B1 (en) | Method and system for detecting credential stealing attacks | |
| US20190058702A1 (en) | Self-adjusting multifactor network authentication | |
| US11372958B1 (en) | Multi-channel authentication using smart cards | |
| US10069825B2 (en) | Electronic device identification | |
| US20240121236A1 (en) | Passcode authentication using a wallet card | |
| US8973137B1 (en) | Systems and methods for detecting illegitimate out-of-band authentication attempts | |
| US20230199002A1 (en) | Detecting malicious email addresses using email metadata indicators | |
| Neil | CompTIA Security+ Certification Guide: Master IT security essentials and exam topics for CompTIA Security+ SY0-501 certification | |
| Yan et al. | Stealing Trust: Unraveling Blind Message Attacks in Web3 Authentication | |
| Saini | Comparative analysis of top 5, 2-factor authentication solutions | |
| Gallotto et al. | Security Management of Bring-Your-Own-Devices | |
| Utakrit | Security awareness by online banking users in Western Australian of phishing attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |