CN109492356A - 一种基于用户行为风险判断的多级认证方法 - Google Patents
一种基于用户行为风险判断的多级认证方法 Download PDFInfo
- Publication number
- CN109492356A CN109492356A CN201811617921.7A CN201811617921A CN109492356A CN 109492356 A CN109492356 A CN 109492356A CN 201811617921 A CN201811617921 A CN 201811617921A CN 109492356 A CN109492356 A CN 109492356A
- Authority
- CN
- China
- Prior art keywords
- risk
- user behavior
- authentication method
- stage authentication
- certification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及一种基于用户行为风险判断的多级认证方法,本发明步骤为:首先定义一系列风险、风险组合以及对应的处理方式;每次认证完成后,服务端向用户行为分析系统发送当次用户行为数据,由用户行为系统建立基准线;每次用户进行访问系统,进行第一级认证之后,向用户行为系统发送当次的行为数据,由系统使用基准数据和本次行为数据进行对比,返回相应的风险给服务端;后端收集到风险后,根据预置的规则,进行处理。本发明认证策略灵活处理,在用户体验和系统安全方面做到平衡处理;根据特定的风险,进行特定的反馈,对风险进行分级,保证用户系统的安全性。
Description
技术领域
本发明涉及一种多级认证方法,更具体地说,涉及一种基于用户行为风险判断的多级认证方法。
背景技术
身份认证场景下,一般的系统仅需用户做一次认证来判定用户身份。而一次认证,由于缺失对认证状态收集机制,无法对风险进行有效分析、分级和判断,存在诸多安全性问题。少量系统可以做到对风险进行识别,但是处理方式单一、固定,无法针对具体风险进行个性化处理。
在用户访问系统过程中,单纯使用密码+图形验证码进行认证,或者检测到风险的时候,固定的增加短信校验环节。
1.单次认证的脆弱性。(1)弱口令:用户可能选择非常简单的密码,并在多套系统中使用同样的密码。一旦被破解将影响到一系列系统的安全。(2)使用不便:忘记密码带来的后果严重,用户只能联系管理员,或者通过复杂流程进行重置,使用体验不好。
2.无法根据风险对验证方式进行灵活处理。目前大多数系统,在访问遇到风险情况下,都是进行固定处理。比如新增短信认证。或者,最开始就假定了访问具有高风险,而使用复杂的验证方法。比如银行系统默认需要使用U盾、动态验证码等才能进行大额转账。前者在发现风险时,处理方式单一。后者直接以牺牲用户体验作为代价。
发明内容
本发明要解决的技术问题在于,针对现有技术中的缺陷,提供一种基于用户行为风险判断的多级认证方法,使系统具有多级认证的能力,并且当用户登录出现风险时,根据策略选择相应的风险处理方式进行处理。
本发明解决其技术问题所采用的技术方案是:构造一种基于用户行为风险判断的多级认证方法,需要定义一系列风险、风险组合以及对应的处理方式,后端收集到风险后,根据预置的规则,进行处理。
在本发明所述的基于用户行为风险判断的多级认证方法中,所述基于用户行为风险判断的多级认证方法步骤为:
S1.风险定义:首先需要定义一系列风险、风险组合以及对应的处理方式,比如频繁登录需要发一条通知短信、异地登录需要短信验证、密码错误次数过多则需要在认证时新增指纹认证环节等。
S2.风险收集:每次认证完成后(完整的认证链完成),服务端向用户行为分析系统发送当次用户行为数据,比如登录ip、认证链、每次认证间隔,操作习惯等,由用户行为系统建立基准线。
S3.风险判定:每次用户进行访问系统,进行第一级认证之后,向用户行为系统发送当次的行为数据,由系统使用基准数据和本次行为数据进行对比,返回相应的风险给服务端。
S4.风险处理:后端收集到风险后,根据预置的规则,进行处理。
实施本发明的一种基于用户行为风险判断的多级认证方法,具有以下有益效果:本发明认证策略灵活处理,在用户体验和系统安全方面做到平衡处理;根据特定的风险,进行特定的反馈,对风险进行分级,保证用户系统的安全性。
附图说明
下面将结合附图及实施例对本发明作进一步说明,附图中:
图1是本发明的基于用户行为风险判断的多级认证方法流程图
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
如图1所示,所述基于用户行为风险判断的多级认证方法步骤为:
S1.风险定义:首先需要定义一系列风险、风险组合以及对应的处理方式,比如频繁登录需要发一条通知短信、异地登录需要短信验证、密码错误次数过多则需要在认证时新增指纹认证环节等。
S2.风险收集:每次认证完成后(完整的认证链完成),服务端向用户行为分析系统发送当次用户行为数据,比如登录ip、认证链、每次认证间隔,操作习惯等,由用户行为系统建立基准线。
S3.风险判定:每次用户进行访问系统,进行第一级认证之后,向用户行为系统发送当次的行为数据,由系统使用基准数据和本次行为数据进行对比,返回相应的风险给服务端。
S4.风险处理:后端收集到风险后,根据预置的规则,进行处理。
进一步地,所述基于用户行为风险判断的多级认证方法的工作模式为定义不同风险编码,组合成不同的风险组合及处理方式,通过基线收集、登录判定的方式,对不同风险进行处理的过程。
进一步地,所述S1风险定义的步骤为:根据系统能力预制不同的风险编码,然后将风险编码组合成具体的风险行为。其中风险编码包括但不限于:IP地址异常(IP_ERROR)、登录城市异常(CITY_ERROR)、密码错误异常(PASS_ERROR)、IP画像异常(IP_IMAGE)。然后将这些异常组合成具体的风险行为,如IP异常和登录城市异常可判定为“异地登录风险”。IP画像异常和密码错误异常可判定为“密码字典攻击风险”等。
进一步地,所述S2和S3风险收集和判定所使用的数据包括但不限于,用户ID,用户姓名、用户登录名,登录IP,应用系统标识,操作时间,操作动作,操作结果,认证类型,认证结果,所属安全级别等。
进一步地,所述S4风险处理方式:包括(1)短信通知(2)邮件通知(3)电话通知(4)增强认证。其中短信、邮件通知的内容可根据风险内容进行定制。特别的,增强认证可根据风险内容对不同风险设置不同的认证级别,具体来说就是可以设置不同的认证类型,以及多级认证后才能通过,如可以设置为单次补充认证人脸即可通过、或者需要补充认证人脸,人脸通过后再认证声纹,才可以通过整个认证环节。
尽管通过以上实施例对本发明进行了揭示,但本发明的保护范围并不局限于此,在不偏离本发明构思的条件下,对以上各构件所做的变形、替换等均将落入本发明的权利要求范围内。
Claims (4)
1.一种基于用户行为风险判断的多级认证方法,其特征在于,所述基于用户行为风险判断的多级认证方法步骤为:
S1.风险定义:首先定义一系列风险、风险组合以及对应的处理方式;
S2.风险收集:每次认证完成后,服务端向用户行为分析系统发送当次用户行为数据,由用户行为系统建立基准线;
S3.风险判定:每次用户进行访问系统,进行第一级认证之后,向用户行为系统发送当次的行为数据,由系统使用基准数据和本次行为数据进行对比,返回相应的风险给服务端;
S4.风险处理:后端收集到风险后,根据预置的规则,进行处理。
2.根据权利要求1所述的基于用户行为风险判断的多级认证方法,其特征在于,所述基于用户行为风险判断的多级认证方法的工作模式为定义不同风险编码,组合成不同的风险组合及处理方式,通过基线收集、登录判定的方式,对不同风险进行处理的过程。
3.根据权利要求1所述的基于用户行为风险判断的多级认证方法,其特征在于,所述S1风险定义的步骤为:根据系统能力预制不同的风险编码,然后将风险编码组合成具体的风险行为。其中风险编码包括但不限于:I P地址异常(I P_ERROR)、登录城市异常(CITY_ERROR)、密码错误异常(PASS_ERROR)、I P画像异常(I P_I MAGE)。然后将这些异常组合成具体的风险行为,如I P异常和登录城市异常可判定为“异地登录风险”。I P画像异常和密码错误异常可判定为“密码字典攻击风险”等。
4.根据权利要求1所述的基于用户行为风险判断的多级认证方法,其特征在于,所述S4风险处理方式:包括(1)短信通知(2)邮件通知(3)电话通知(4)增强认证。其中短信、邮件通知的内容根据风险内容进行定制。所述增强认证为根据风险内容对不同风险设置不同的认证级别,具体来说就是设置不同的认证类型,以及多级认证后才能通过。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811617921.7A CN109492356A (zh) | 2018-12-28 | 2018-12-28 | 一种基于用户行为风险判断的多级认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811617921.7A CN109492356A (zh) | 2018-12-28 | 2018-12-28 | 一种基于用户行为风险判断的多级认证方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109492356A true CN109492356A (zh) | 2019-03-19 |
Family
ID=65712799
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811617921.7A Pending CN109492356A (zh) | 2018-12-28 | 2018-12-28 | 一种基于用户行为风险判断的多级认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109492356A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110826036A (zh) * | 2019-11-06 | 2020-02-21 | 支付宝(杭州)信息技术有限公司 | 用户操作行为安全性的识别方法、装置和电子设备 |
| CN110958236A (zh) * | 2019-11-25 | 2020-04-03 | 杭州安恒信息技术股份有限公司 | 基于风险因子洞察的运维审计系统动态授权方法 |
| CN113378131A (zh) * | 2021-06-30 | 2021-09-10 | 深圳竹云科技有限公司 | 一种用户数据认证的方法、装置及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103123712A (zh) * | 2011-11-17 | 2013-05-29 | 阿里巴巴集团控股有限公司 | 一种网络行为数据的监控方法和系统 |
| CN107483500A (zh) * | 2017-09-25 | 2017-12-15 | 咪咕文化科技有限公司 | 一种基于用户行为的风险识别方法、装置及存储介质 |
| CN108123926A (zh) * | 2016-11-30 | 2018-06-05 | 阿里巴巴集团控股有限公司 | 身份认证方法及装置和计算设备 |
| CN108959933A (zh) * | 2017-05-25 | 2018-12-07 | 三星Sds株式会社 | 用于基于风险的认证的风险分析装置及方法 |
-
2018
- 2018-12-28 CN CN201811617921.7A patent/CN109492356A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103123712A (zh) * | 2011-11-17 | 2013-05-29 | 阿里巴巴集团控股有限公司 | 一种网络行为数据的监控方法和系统 |
| CN108123926A (zh) * | 2016-11-30 | 2018-06-05 | 阿里巴巴集团控股有限公司 | 身份认证方法及装置和计算设备 |
| CN108959933A (zh) * | 2017-05-25 | 2018-12-07 | 三星Sds株式会社 | 用于基于风险的认证的风险分析装置及方法 |
| CN107483500A (zh) * | 2017-09-25 | 2017-12-15 | 咪咕文化科技有限公司 | 一种基于用户行为的风险识别方法、装置及存储介质 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110826036A (zh) * | 2019-11-06 | 2020-02-21 | 支付宝(杭州)信息技术有限公司 | 用户操作行为安全性的识别方法、装置和电子设备 |
| CN110958236A (zh) * | 2019-11-25 | 2020-04-03 | 杭州安恒信息技术股份有限公司 | 基于风险因子洞察的运维审计系统动态授权方法 |
| CN113378131A (zh) * | 2021-06-30 | 2021-09-10 | 深圳竹云科技有限公司 | 一种用户数据认证的方法、装置及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10693880B2 (en) | Multi-stage authentication of an electronic communication | |
| CA2561906C (en) | System, method and program for user authentication, and recording medium on which the program is recorded | |
| US20170034183A1 (en) | Method and system for user authentication | |
| Preuveneers et al. | SmartAuth: dynamic context fingerprinting for continuous user authentication | |
| US20170147600A1 (en) | Techniques for securely sharing files from a cloud storage | |
| US8613064B1 (en) | Method and apparatus for providing a secure authentication process | |
| US20130297513A1 (en) | Multi factor user authentication | |
| CN106453205B (zh) | 一种身份验证方法和装置 | |
| US9767262B1 (en) | Managing security credentials | |
| CN109492356A (zh) | 一种基于用户行为风险判断的多级认证方法 | |
| CN106453422B (zh) | 一种基于移动终端动态认证方法及系统 | |
| EP2875606A1 (en) | Method and system of login authentication | |
| Parmar et al. | A comprehensive study on passwordless authentication | |
| EP3011721B1 (en) | System and method for filtering electronic messages | |
| US9092599B1 (en) | Managing knowledge-based authentication systems | |
| CN110502886A (zh) | 多重身份验证方法、装置、终端及计算机存储介质 | |
| US20190297071A1 (en) | Managing security credentials | |
| CN107645471A (zh) | 一种用于移动终端用户身份认证的方法和系统 | |
| US8387126B2 (en) | Systems and methods for authenticating a server by combining image recognition with codes | |
| CN112055017A (zh) | 单一账号多应用统一登录方法、装置及计算机设备 | |
| WO2017200789A1 (en) | Automated scalable identity-proofing and authentication process | |
| CN108234239A (zh) | 虚拟机的心跳检测方法及其装置、设备和存储介质 | |
| CN109583177B (zh) | 在用户与银行服务的交互期间识别新设备的系统和方法 | |
| RU2659736C1 (ru) | Система и способ выявления новых устройств при взаимодействии пользователя с банковскими сервисами | |
| CN107844290B (zh) | 基于数据流安全威胁分析的软件产品设计方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190319 |