CN111901347A - 一种零信任下的动态身份认证方法和装置 - Google Patents
一种零信任下的动态身份认证方法和装置 Download PDFInfo
- Publication number
- CN111901347A CN111901347A CN202010744690.7A CN202010744690A CN111901347A CN 111901347 A CN111901347 A CN 111901347A CN 202010744690 A CN202010744690 A CN 202010744690A CN 111901347 A CN111901347 A CN 111901347A
- Authority
- CN
- China
- Prior art keywords
- calling
- current
- training
- weight
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Abstract
本发明公开了一种零信任下的动态身份认证方法和装置,本发明包括:响应于接收到的多个训练登录指令确定训练身份信息;根据训练身份信息调用系统服务的训练调用信息,建立有限状态模型;响应于接收到的用户登录指令确定对应的当前身份信息;接收当前身份信息调用系统服务的当前调用信息并输入到有限状态模型,确定当前调用信息对应的当前调用权重;根据当前调用权重与预设行为阈值的比较结果,判断当前身份信息是否通过认证。若当前身份信息通过认证,则按照当前调用信息和当前调用权重更新有限状态模型,再次接收当前调用信息,从而实现基于零信任体系下的身份认证,提高系统服务调用过程的安全性和可靠性。
Description
技术领域
本发明涉及身份认证技术领域,尤其涉及一种零信任下的动态身份认证方法和装置。
背景技术
随着信息技术的不断发展,数字身份也越来越体现其重要性,但随着网络边界越来越模糊,以账户为基础的认证逐步难以适应网络安全,如何对用户身份进行有效认证成为急需解决的技术问题。
为此,现有技术中通常是通过在账户的基础上提供数字证书,动态验证码等方式进行用户身份认证,但上述认证方式都是通过可信任体系进行认证的,若是信任方出现故障或被入侵,整个认证体系都失去了身份认证的可靠性与安全性。
发明内容
本发明提供了一种零信任下的动态身份认证方法和装置,解决了现有技术中通过可信任体系进行身份认证的方式可能由于意外情况,导致可靠性与安全性较低的技术问题。
本发明提供的一种零信任下的动态身份认证方法,包括:
响应于接收到的多个训练登录指令,确定所述多个训练登录指令分别对应的训练身份信息;
根据所述训练身份信息调用系统服务的训练调用信息,建立有限状态模型;
响应于接收到的用户登录指令,确定所述用户登录指令对应的当前身份信息;
接收所述当前身份信息调用所述系统服务的当前调用信息;
输入所述当前调用信息到所述有限状态模型,确定所述当前调用信息对应的当前调用权重;
根据所述当前调用权重与预设行为阈值的比较结果,判断所述当前身份信息是否通过认证;
若所述当前身份信息通过认证,则按照所述当前调用信息和所述当前调用权重更新所述有限状态模型,返回接收所述当前身份信息调用所述系统服务的当前调用信息的步骤。
可选地,所述根据所述训练身份信息调用系统服务的训练调用信息,建立有限状态模型的步骤,包括:
从所述训练调用信息中提取调用系统服务所使用的接口的训练调用次数和训练调用顺序;
根据所述训练调用顺序,确定所述接口之间的训练调用关系;
根据所述训练调用次数,设置每个所述训练调用关系的训练调用权重;
采用所述训练调用关系和所述训练调用权重,建立有限状态模型。
可选地,所述当前调用信息包括调用所述系统服务所使用接口的当前调用顺序,所述输入所述当前调用信息到所述有限状态模型,确定所述当前调用信息对应的当前调用权重的步骤,包括:
输入所述当前调用顺序到所述有限状态模型;
从所述有限状态模型中确定与所述当前调用顺序对应的训练调用权重;
按预设梯度增加所述训练调用权重,得到目标调用权重;
将所述目标调用权重确定为所述当前调用信息对应的当前调用权重。
可选地,所述预设行为阈值包括最大阈值和最小阈值,所述根据所述当前调用权重与预设行为阈值的比较结果,判断所述当前身份信息是否通过认证的步骤,包括:
比较所述当前调用权重、所述最大阈值和所述最小阈值;
若所述当前调用权重大于或等于所述最大阈值,则判定所述当前身份信息未通过认证;
若所述当前调用权重小于所述最小阈值,则判定所述当前身份信息通过认证。
可选地,所述若所述当前身份信息通过认证,则按照所述当前调用信息和所述当前调用权重更新所述有限状态模型,返回接收所述当前身份信息调用所述系统服务的当前调用信息的步骤,包括:
若所述当前身份信息通过认证,则根据所述当前调用顺序,确定所述接口之间的当前调用关系;
采用所述当前调用关系和所述当前调用权重,更新所述有限状态模型;
返回接收所述当前身份信息调用所述系统服务的当前调用信息的步骤。
可选地,所述方法还包括:
若所述当前身份信息未通过认证,则输出未认证警报。
本发明还提供了一种零信任下的动态身份认证装置,包括:
训练身份信息确定模块,用于响应于接收到的多个训练登录指令,确定所述多个训练登录指令分别对应的训练身份信息;
有限状态模型建立模块,用于根据所述训练身份信息调用系统服务的训练调用信息,建立有限状态模型;
当前身份信息确定模块,用于响应于接收到的用户登录指令,确定所述用户登录指令对应的当前身份信息;
当前调用信息接收模块,用于接收所述当前身份信息调用所述系统服务的当前调用信息;
当前调用权重确定模块,用于输入所述当前调用信息到所述有限状态模型,确定所述当前调用信息对应的当前调用权重;
认证模块,用于根据所述当前调用权重与预设行为阈值的比较结果,判断所述当前身份信息是否通过认证;
更新模块,用于若所述当前身份信息通过认证,则按照所述当前调用信息和所述当前调用权重更新所述有限状态模型,返回接收所述当前身份信息调用所述系统服务的当前调用信息的步骤。
可选地,所述有限状态模型建立模块包括:
提取子模块,用于从所述训练调用信息中提取调用系统服务所使用的接口的训练调用次数和训练调用顺序;
训练调用关系确定子模块,用于根据所述训练调用顺序,确定所述接口之间的训练调用关系;
训练调用权重设置子模块,用于根据所述训练调用次数,设置每个所述训练调用关系的训练调用权重;
有限状态模型建立子模块,用于采用所述训练调用关系和所述训练调用权重,建立有限状态模型。
可选地,所述当前调用信息包括调用所述系统服务所使用接口的当前调用顺序,所述当前调用权重确定模块包括:
输入子模块,用于输入所述当前调用顺序到所述有限状态模型;
训练调用权重确定子模块,用于从所述有限状态模型中确定与所述当前调用顺序对应的训练调用权重;
目标调用权重确定子模块,用于按预设梯度增加所述训练调用权重,得到目标调用权重;
当前调用权重确定子模块,将所述目标调用权重确定为所述当前调用信息对应的当前调用权重。
可选地,所述预设行为阈值包括最大阈值和最小阈值,认证模块包括:
比较子模块,用于比较所述当前调用权重、所述最大阈值和所述最小阈值;
第一认证子模块,用于若所述当前调用权重大于或等于所述最大阈值,则判定所述当前身份信息未通过认证;
第二认证子模块,用于若所述当前调用权重小于所述最小阈值,则判定所述当前身份信息通过认证。
可选地,所述更新模块包括:
当前调用关系确定子模块,用于若所述当前身份信息通过认证,则根据所述当前调用顺序,确定所述接口之间的当前调用关系;
更新子模块,用于采用所述当前调用关系和所述当前调用权重,更新所述有限状态模型;
返回子模块,用于返回接收所述当前身份信息调用所述系统服务的当前调用信息的步骤。
可选地,所述装置还包括:
警报输出模块,用于若所述当前身份信息未通过认证,则输出未认证警报。
从以上技术方案可以看出,本发明具有以下优点:
在本发明实施例中,通过接收用户输入的多个训练登录指令,确定每个训练登录指令所对应的训练身份信息,根据训练身份信息调用系统服务的训练调用信息,确定每个训练身份信息对应的调用行为以建立有限状态模型;而当接收到用户登录指令时,确定用户登录指令对应的当前身份信息;根据当前身份信息调用系统服务的当前调用信息,采用有限状态模型根据当前调用信息确定所对应的当前调用权重,最后通过当前调用权重与预设行为阈值的比较结果,判断当前身份信息是否通过认证,若所述当前身份信息通过认证,则按照所述当前调用信息和所述当前调用权重更新所述有限状态模型,重新接收当前调用信息。从而提供了一种基于零信任体系下的身份认证方法,解决了现有技术中通过可信任体系进行身份认证的方式可能由于意外情况,导致可靠性与安全性较低的技术问题,进而提高系统服务调用过程的安全性和可靠性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。
图1为本发明实施例的一种零信任下的动态身份认证方法的步骤流程图;
图2为本发明可选实施例的一种零信任下的动态身份认证方法的步骤流程图;
图3为本发明实施例的有限状态模型的拓扑图;
图4为本发明可选实施例的有限状态模型的拓扑图;
图5为本发明实施例的一种零信任下的动态身份认证装置的结构框图。
具体实施方式
传统的办公网安全架构通过网络位置来划分“信任区域”,外部不受信任,内部则属于信任特权区域。而上述“信任区域”的传统安全架构存在天然的缺陷,一旦被渗透到信任区域,将无法有效隔离和保护数据资产。内部区域中虽然部署了大量安全设备,但设备与设备之间缺少信息共享和安全联动,产品大量堆叠,但安全实质处于割裂状态。
为此,本发明实施例提供了一种零信任下的动态身份认证方法和装置,用于解决现有技术中通过可信任体系进行身份认证的方式可能由于意外情况,导致可靠性与安全性较低的技术问题。
为使得本发明的发明目的、特征、优点能够更加的明显和易懂,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,下面所描述的实施例仅仅是本发明一部分实施例,而非全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
为了解决传统基于可信任体系建立的安全架构可靠性和安全性较低的问题,需要建立零信任体系的安全架构。
所谓零信任体系的安全架构所指的是默认情况下不应该信任网络内部和外部的任何人/设备/系统,需要基于认证和授权重构访问控制的信任基础的安全架构,其本质是以身份认证为中心进行系统服务的动态访问控制。
请参阅图1,图1为本发明实施例提供的一种零信任下的动态身份认证方法的步骤流程图,包括:
步骤101,响应于接收到的多个训练登录指令,确定所述多个训练登录指令分别对应的训练身份信息;
步骤102,根据所述训练身份信息调用系统服务的训练调用信息,建立有限状态模型;
在本发明实施例中,基于零信任体系的技术构思,需要通过定义谁(身份)对哪些资源具有哪种调用权限(角色)来管理调用权限控制。而对于通过接口调用系统服务的行为,在调用系统服务的过程中必然是处于某一确定状态的,通过调用接口从当前状态跳转到下一状态。为此可以通过建立有限状态模型进行对调用状态进行限制。
因此,可以通过管理人员在建立有限状态模型之前,先根据所有不同的身份信息建立对应的训练登录指令,在本发明接收到多个训练登录指令后,确定所述多个训练登录指令分别对应的训练身份信息;采用不同的训练身份信息调用系统服务,以建立不同的训练身份信息对应的调用行为作为训练调用信息,根据所述训练调用信息建立有限状态模型,以便于后续根据所述有限状态模型对后续输入的调用信息提供零信任体系下的身份认证。
值得一提的是,所述有限状态模型指的是有限状态机(Finite-state machine,FSM),又称为有限状态自动机,简称状态机,是表示有限个状态以及在这些状态之间的转移和动作等行为的数学模型。一般都有以下特点:(1)可以用状态来描述事物,并且任一时刻,事物总是处于一种状态;(2)事物拥有的状态总数是有限的;(3)通过触发事物的某些行为,可以导致事物从一种状态过渡到另一种状态;(4)事物状态变化是有规则的,A状态可以变换到B,B可以变换到C,A却不一定能变换到C;(5)同一种行为,可以将事物从多种状态变成同种状态,但是不能从同种状态变成多种状态。
步骤103,响应于接收到的用户登录指令,确定所述用户登录指令对应的当前身份信息;
在本发明实施例中,在接收用户登录指令之后,在零信任体系下无法确定用户登录指令是否具有设定的调用权限,为此,还需要确定所述用户登录指令对应的当前身份信息,以根据当前身份信息确定该用户的调用行为是否是被允许的。
步骤104,接收所述当前身份信息调用所述系统服务的当前调用信息;
步骤105,输入所述当前调用信息到所述有限状态模型,确定所述当前调用信息对应的当前调用权重;
在本发明的一个示例中,为验证当前身份信息对应的调用行为是否是被允许的,当所述当前身份信息对应的用户开始调用系统服务时,接收调用系统服务的当前调用信息并输入到有限状态模型,以确定当前调用信息对应的当前调用权重。
所述当前调用权重用于反映所述当前身份信息对应的接口调用的异常程度。
步骤106,根据所述当前调用权重与预设行为阈值的比较结果,判断所述当前身份信息是否通过认证。
在具体实现中,通过比较当前调用权重和预设行为阈值,则可以确定所述当前身份信息调用系统服务的行为是否正常的,从而判断当前身份信息是否通过认证。
步骤107,若所述当前身份信息通过认证,则按照所述当前调用信息和所述当前调用权重更新所述有限状态模型,返回接收所述当前身份信息调用所述系统服务的当前调用信息的步骤。
在本发明实施例中,通过接收用户输入的多个训练登录指令,确定每个训练登录指令所对应的训练身份信息,根据训练身份信息调用系统服务的训练调用信息,确定每个训练身份信息对应的调用行为以建立有限状态模型;而当接收到用户登录指令时,确定用户登录指令对应的当前身份信息;根据当前身份信息调用系统服务的当前调用信息,采用有限状态模型根据当前调用信息确定所对应的当前调用权重,最后通过当前调用权重与预设行为阈值的比较结果,判断当前身份信息是否通过认证,若所述当前身份信息通过认证,则按照所述当前调用信息和所述当前调用权重更新所述有限状态模型,重新接收当前调用信息。从而提供了一种基于零信任体系下的身份认证方法,解决了现有技术中通过可信任体系进行身份认证的方式可能由于意外情况,导致可靠性与安全性较低的技术问题,进而提高系统服务调用过程的安全性和可靠性。
参见图2,图2示出了本发明可选实施例的一种零信任下的动态身份认证方法的步骤流程图,所述方法包括:
步骤201,响应于接收到的训练登录指令,确定所述训练登录指令对应的训练身份信息;
在本发明实施例中,所述步骤201与所述步骤101的实施过程类似,在此不再赘述。
步骤202,根据所述训练身份信息调用系统服务的训练调用信息,建立有限状态模型;
可选地,所述步骤202可以包括以下子步骤2021-2024:
子步骤2021,从所述训练调用信息中提取调用系统服务所使用的接口的训练调用次数和训练调用顺序;
子步骤2022,根据所述训练调用顺序,确定所述接口之间的训练调用关系;
在本发明实施例中,在获取到训练身份信息调用系统服务的训练调用信息后,而系统服务是按预定的顺序调用不同的接口进行调用的。为确定接口之间的调用关系,从所述训练调用信息中提取接口的训练调用次数和训练调用顺序,通过所述训练调用顺序,即可得知用户所调用的第一个接口到最后一个接口之间的关系,也就可以确定接口之间的训练调用关系。
所述接口可以如下表1所示:
| 接口1 |
| 接口2 |
| 接口3 |
| 接口4 |
| 接口5 |
| 接口6 |
| 接口7 |
| 接口8 |
| ... |
| 接口n |
表1
例如,用户需要通过IE浏览器登录财务系统进行“差旅报销”,需要调用的接口顺序为1—3—6—8,因此所得到的调用关系为1-3、3-6和6-8;而在需要调用“资金分解”时,需要调用的接口顺序为2—3—7—8,则所得到的调用关系为2-3、3-7和7-8。
子步骤2023,根据所述训练调用次数,设置每个所述训练调用关系的训练调用权重;
子步骤2024,采用所述训练调用关系和所述训练调用权重,建立有限状态模型。
在本发明的一个示例中,系统服务的调用需要根据身份信息的不同而出现不同的调用关系,例如普通用户,只进行业务操作,常规使用送不会进行系统配置的操作,从而不会调用系统配置的相关接口;如果该用户突然调用了系统配置的接口,则可怀疑该用户行为可疑,存在越权操作等风险。为确定系统服务的调用关系的异常程度,通过训练调用次数,为每个训练调用关系设置对应的训练调用权重。
在得到所述训练调用权重和所述训练调用关系后,在所述训练调用关系上分别设置各自的训练调用权重,建立有限状态模型。
所述有限状态模型可以如图3所示,依接口1、接口2、接口3、接口8的调用顺序建立了训练调用关系1-2、2-3和3-8,而在训练身份信息调用该系统服务的次数分别为10次、84次和47次,因此,为所述训练调用关系分别设置各自的训练调用权重1/10、1/84和1/47;
同理,按接口1、接口6的调用顺序的调用关系1-6的训练调用权重为1/33;按接口6、接口8的调用顺序的调用关系6-8的训练调用权重为1/115;按接口3、接口6的调用顺序的调用关系3-6的训练调用权重为1/37。
值得一提的是,其他未标注的调用关系例如1-8、2-8等,所述训练调用权重为1。
在建立所述有限状态模型之后,可以通过所述有限状态模型对实际用户的登录指令对应的当前身份信息进行认证,以确定所述当前身份信息对应的行为是否异常,身份能否通过认证。
步骤203,响应于接收到的用户登录指令,确定所述用户登录指令对应的当前身份信息;
步骤204,接收所述当前身份信息调用所述系统服务的当前调用信息;
在本发明实施例中,所述步骤203-204的实施过程与上述步骤103-104类似,在此不再赘述。
步骤205,输入所述当前调用信息到所述有限状态模型,确定所述当前调用信息对应的当前调用权重;
可选地,所述当前调用信息包括调用所述系统服务所使用接口的当前调用顺序,所述步骤205可以包括以下子步骤2051-2054:
子步骤2051,输入所述当前调用顺序到所述有限状态模型;
子步骤2052,从所述有限状态模型中确定与所述当前调用顺序对应的训练调用权重;
子步骤2053,按预设梯度增加所述训练调用权重,得到目标调用权重;
子步骤2054,将所述目标调用权重确定为所述当前调用信息对应的当前调用权重。
在本发明的一个示例中,从当前调用信息中提取到调用所述系统服务所使用接口的当前调用顺序;由于所述有限状态模型中包括了训练调用关系以及相应的训练调用权重,为将所述训练调用权重更新为与当前调用关系对应的权重,可以在所述当前调用顺序输入到所述有限状态模型之后,从中确定选择与所述当前调用顺序对应的训练调用权重;按预设梯度增加所述训练调用权重以得到目标调用权重,所述目标调用权重也就是当前调用信息对应的当前调用权重。
值得一提的是,预设梯度可以为每出现一次调用顺序,则在对应的调用关系的调用次数加1。而在训练调用权重中的增加步骤中,可以为分母增加1。例如,调用关系3-6的训练调用权重为1/37,按预设梯度增加后,目标调用权重为1/38。
在确定当前调用信息对应的当前调用权重之后,并不清楚当前调用权重对应的调用行为是否异常,此时,还需要将所述当前调用权重与预设行为阈值进行进一步的比较,以确定调用行为是否异常,若是异常则说明当前身份信息未通过认证,若是正常则说明当前身份信息通过认证。
步骤206,根据所述当前调用权重与预设行为阈值的比较结果,判断所述当前身份信息是否通过认证。
在本发明可选实施例中,所述预置行为阈值包括最大阈值和最小阈值,所述步骤206可以包括以下子步骤2061-2063:
子步骤2061,比较所述当前调用权重、所述最大阈值和所述最小阈值;
子步骤2062,若所述当前调用权重大于或等于所述最大阈值,则判定所述当前身份信息未通过认证;
子步骤2063,若所述当前调用权重小于所述最小阈值,则判定所述当前身份信息通过认证。
在本发明的一个示例中,为确定当前调用权重对应的调用行为是否异常,则可以通过当前调用权重、最大阈值和最小阈值的比较结果进行确定,若是所述当前调用权重大于或等于所述最大阈值,则说明此时调用的接口顺序并不是当前身份信息能够调用的接口顺序,调用行为异常,判定为当前身份信息未通过认证;而若是所述当前调用权重小于所述最小阈值时,则说明此时接口的调用行为正常,判定当前身份信息通过认证。
值得一提的是,若所述当前调用权重大于或等于所述最小阈值,且小于所述最大阈值时,说明此时有限状态模型并未完成建模,返回所述步骤202。
其中,所述最小阈值和所述最大阈值可以相等,也可以不相等;当不相等时,所述最小阈值可以为0.1或0.2等,所述最大阈值可以为0.9或0.8等;当相等时,所述最小阈值和所述最大阈值都可以设置为0.1或0.2等,本发明实施例对此不作限制。
如图3和图4所示,设置最小阈值为0.1,最大阈值为0.9,当所述当前身份信息对应的用户通过调用关系1-6-8调用系统服务时,所述1-6和6-8的权重更新为1/34和1/116,而1/34和1/116小于0.1,则判定当前身份信息通过认证;若是所述当前身份信息对应的用户通过调用关系1-8调用系统服务时,所述1-8的权重更新为1/1,则判断当前身份信息未通过认证。
步骤207,若所述当前身份信息通过认证,则按照所述当前调用信息和所述当前调用权重更新所述有限状态模型,返回接收所述当前身份信息调用所述系统服务的当前调用信息的步骤。
在本发明的另一实施例中,所述步骤207包括以下子步骤2071-2073:
子步骤2071,若所述当前身份信息通过认证,则根据所述当前调用顺序,确定所述接口之间的当前调用关系;
子步骤2072,采用所述当前调用关系和所述当前调用权重,更新所述有限状态模型;
子步骤2073,返回接收所述当前身份信息调用所述系统服务的当前调用信息的步骤。
在具体实现中,为使有限状态模型能够动态学习并根据权重进行自适应调整,在当前身份信息通过认证的时候,按照当前调用信息的当前调用顺序,根据当前调用顺序确定接口之间的当前调用关系,使用所述当前调用关系和当前调用权重,重新建立更新后的有限状态模型;并返回接收当前身份信息调用系统服务的当前调用信息的步骤,以待接收下一次的当前调用信息,继续更新所述有限状态模型。
可选地,若所述当前身份信息未通过认证,说明此当前身份信息对应的用户的系统服务调用操作并不合规,此时为了防止当前身份信息以多次违规操作更新有限状态模型建立新的违规调用关系,可以通过不更新所述有限状态模型,使当前身份信息对应的用户无法建立新的违规调用关系。
步骤208,若所述当前身份信息未通过认证,则输出未认证警报。
可选地,在当前身份信息未通过认证时,为达到未授权登录能够及时预警目的,此时可以输出未认证警报,以告知管理人员或监控人员该用户越权操作,执行未经身份认证授权的调用行为,进一步提高安全性。
在本发明实施例中,通过接收用户输入的多个训练登录指令,确定每个训练登录指令所对应的训练身份信息,从训练身份信息调用系统服务的训练调用信息中提取到训练调用顺序和训练调用次数,根据所述训练调用顺序确定训练调用关系,再根据训练调用次数分别确定训练调用关系的训练调用权重,以所述训练调用关系和所述训练调用权重建立有限状态模型;而当接收到用户登录指令时,确定用户登录指令对应的当前身份信息;根据当前身份信息调用系统服务的当前调用信息,采用有限状态模型根据当前调用信息确定所对应的当前调用权重,最后通过当前调用权重、最大阈值和最小阈值的比较结果,若当前调用权重大于或等于所述最大阈值则判定当前身份信息未通过认证;若当前调用权重小于所述最小阈值则判定当前身份信息通过认证若所述当前身份信息通过认证,则按照所述当前调用信息和所述当前调用权重更新所述有限状态模型,返回接收所述当前身份信息调用所述系统服务的当前调用信息的步骤。从而提供了一种基于零信任体系下的身份认证方法,解决了现有技术中通过可信任体系进行身份认证的方式可能由于意外情况,导致可靠性与安全性较低的技术问题。而在当前身份信息未通过认证时,输出未认证警报以达到对未授权行为进行预警的目的,让监管人员能够及时处理未经授权行为,进一步提高系统服务调用过程的安全性。
参见图5,本发明实施例还提供了一种零信任下的动态身份认证装置的结构框图,包括:
训练身份信息确定模块501,用于响应于接收到的多个训练登录指令,确定所述多个训练登录指令分别对应的训练身份信息;
有限状态模型建立模块502,用于根据所述训练身份信息调用系统服务的训练调用信息,建立有限状态模型;
当前身份信息确定模块503,用于响应于接收到的用户登录指令,确定所述用户登录指令对应的当前身份信息;
当前调用信息接收模块504,用于接收所述当前身份信息调用所述系统服务的当前调用信息;
当前调用权重确定模块505,用于输入所述当前调用信息到所述有限状态模型,确定所述当前调用信息对应的当前调用权重;
认证模块506,用于根据所述当前调用权重与预设行为阈值的比较结果,判断所述当前身份信息是否通过认证。
更新模块507,用于若所述当前身份信息通过认证,则按照所述当前调用信息和所述当前调用权重更新所述有限状态模型,返回接收所述当前身份信息调用所述系统服务的当前调用信息的步骤。
可选地,所述有限状态模型建立模块502包括:
提取子模块,用于从所述训练调用信息中提取调用系统服务所使用的接口的训练调用次数和训练调用顺序;
训练调用关系确定子模块,用于根据所述训练调用顺序,确定所述接口之间的训练调用关系;
训练调用权重设置子模块,用于根据所述训练调用次数,设置每个所述训练调用关系的训练调用权重;
有限状态模型建立子模块,用于采用所述训练调用关系和所述训练调用权重,建立有限状态模型。
可选地,所述当前调用信息包括调用所述系统服务所使用接口的当前调用顺序,所述当前调用权重确定模块505包括:
输入子模块,用于输入所述当前调用顺序到所述有限状态模型;
训练调用权重确定子模块,用于从所述有限状态模型中确定与所述当前调用顺序对应的训练调用权重;
目标调用权重确定子模块,用于按预设梯度增加所述训练调用权重,得到目标调用权重;
当前调用权重确定子模块,将所述目标调用权重确定为所述当前调用信息对应的当前调用权重。
可选地,所述预设行为阈值包括最大阈值和最小阈值,认证模块506包括:
比较子模块,用于比较所述当前调用权重、所述最大阈值和所述最小阈值;
第一认证子模块,用于若所述当前调用权重大于或等于所述最大阈值,则判定所述当前身份信息未通过认证;
第二认证子模块,用于若所述当前调用权重小于所述最小阈值,则判定所述当前身份信息通过认证。
可选地,所述更新模块507包括:
当前调用关系确定子模块,用于若所述当前身份信息通过认证,则根据所述当前调用顺序,确定所述接口之间的当前调用关系;
更新子模块,用于采用所述当前调用关系和所述当前调用权重,更新所述有限状态模型;
返回子模块,用于返回接收所述当前身份信息调用所述系统服务的当前调用信息的步骤。
可选地,所述装置还包括:
警报输出模块,用于若所述当前身份信息未通过认证,则输出未认证警报。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本发明所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种零信任下的动态身份认证方法,其特征在于,包括:
响应于接收到的多个训练登录指令,确定所述多个训练登录指令分别对应的训练身份信息;
根据所述训练身份信息调用系统服务的训练调用信息,建立有限状态模型;
响应于接收到的用户登录指令,确定所述用户登录指令对应的当前身份信息;
接收所述当前身份信息调用所述系统服务的当前调用信息;
输入所述当前调用信息到所述有限状态模型,确定所述当前调用信息对应的当前调用权重;
根据所述当前调用权重与预设行为阈值的比较结果,判断所述当前身份信息是否通过认证;
若所述当前身份信息通过认证,则按照所述当前调用信息和所述当前调用权重更新所述有限状态模型,返回接收所述当前身份信息调用所述系统服务的当前调用信息的步骤。
2.根据权利要求1所述的方法,其特征在于,所述根据所述训练身份信息调用系统服务的训练调用信息,建立有限状态模型的步骤,包括:
从所述训练调用信息中提取调用系统服务所使用的接口的训练调用次数和训练调用顺序;
根据所述训练调用顺序,确定所述接口之间的训练调用关系;
根据所述训练调用次数,设置每个所述训练调用关系的训练调用权重;
采用所述训练调用关系和所述训练调用权重,建立有限状态模型。
3.根据权利要求2所述的方法,其特征在于,所述当前调用信息包括调用所述系统服务所使用接口的当前调用顺序,所述输入所述当前调用信息到所述有限状态模型,确定所述当前调用信息对应的当前调用权重的步骤,包括:
输入所述当前调用顺序到所述有限状态模型;
从所述有限状态模型中确定与所述当前调用顺序对应的训练调用权重;
按预设梯度增加所述训练调用权重,得到目标调用权重;
将所述目标调用权重确定为所述当前调用信息对应的当前调用权重。
4.根据权利要求1所述的方法,其特征在于,所述预设行为阈值包括最大阈值和最小阈值,所述根据所述当前调用权重与预设行为阈值的比较结果,判断所述当前身份信息是否通过认证的步骤,包括:
比较所述当前调用权重、所述最大阈值和所述最小阈值;
若所述当前调用权重大于或等于所述最大阈值,则判定所述当前身份信息未通过认证;
若所述当前调用权重小于所述最小阈值,则判定所述当前身份信息通过认证。
5.根据权利要求3所述的方法,其特征在于,所述若所述当前身份信息通过认证,则按照所述当前调用信息和所述当前调用权重更新所述有限状态模型,返回接收所述当前身份信息调用所述系统服务的当前调用信息的步骤,包括:
若所述当前身份信息通过认证,则根据所述当前调用顺序,确定所述接口之间的当前调用关系;
采用所述当前调用关系和所述当前调用权重,更新所述有限状态模型;
返回接收所述当前身份信息调用所述系统服务的当前调用信息的步骤。
6.根据权利要求1-5任一项所述的方法,其特征在于,所述方法还包括:
若所述当前身份信息未通过认证,则输出未认证警报。
7.一种零信任下的动态身份认证装置,其特征在于,包括:
训练身份信息确定模块,用于响应于接收到的多个训练登录指令,确定所述多个训练登录指令分别对应的训练身份信息;
有限状态模型建立模块,用于根据所述训练身份信息调用系统服务的训练调用信息,建立有限状态模型;
当前身份信息确定模块,用于响应于接收到的用户登录指令,确定所述用户登录指令对应的当前身份信息;
当前调用信息接收模块,用于接收所述当前身份信息调用所述系统服务的当前调用信息;
当前调用权重确定模块,用于输入所述当前调用信息到所述有限状态模型,确定所述当前调用信息对应的当前调用权重;
认证模块,用于根据所述当前调用权重与预设行为阈值的比较结果,判断所述当前身份信息是否通过认证;
更新模块,用于若所述当前身份信息通过认证,则按照所述当前调用信息和所述当前调用权重更新所述有限状态模型,返回接收所述当前身份信息调用所述系统服务的当前调用信息的步骤。
8.根据权利要求7所述的装置,其特征在于,所述有限状态模型建立模块包括:
提取子模块,用于从所述训练调用信息中提取调用系统服务所使用的接口的训练调用次数和训练调用顺序;
训练调用关系确定子模块,用于根据所述训练调用顺序,确定所述接口之间的训练调用关系;
训练调用权重设置子模块,用于根据所述训练调用次数,设置每个所述训练调用关系的训练调用权重;
有限状态模型建立子模块,用于采用所述训练调用关系和所述训练调用权重,建立有限状态模型。
9.根据权利要求8所述的装置,其特征在于,所述当前调用信息包括调用所述系统服务所使用接口的当前调用顺序,所述当前调用权重确定模块包括:
输入子模块,用于输入所述当前调用顺序到所述有限状态模型;
训练调用权重确定子模块,用于从所述有限状态模型中确定与所述当前调用顺序对应的训练调用权重;
目标调用权重确定子模块,用于按预设梯度增加所述训练调用权重,得到目标调用权重;
当前调用权重确定子模块,将所述目标调用权重确定为所述当前调用信息对应的当前调用权重。
10.根据权利要求7所述的装置,其特征在于,所述预设行为阈值包括最大阈值和最小阈值,认证模块包括:
比较子模块,用于比较所述当前调用权重、所述最大阈值和所述最小阈值;
第一认证子模块,用于若所述当前调用权重大于或等于所述最大阈值,则判定所述当前身份信息未通过认证;
第二认证子模块,用于若所述当前调用权重小于所述最小阈值,则判定所述当前身份信息通过认证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010744690.7A CN111901347B (zh) | 2020-07-29 | 2020-07-29 | 一种零信任下的动态身份认证方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010744690.7A CN111901347B (zh) | 2020-07-29 | 2020-07-29 | 一种零信任下的动态身份认证方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111901347A true CN111901347A (zh) | 2020-11-06 |
| CN111901347B CN111901347B (zh) | 2022-12-06 |
Family
ID=73182527
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010744690.7A Active CN111901347B (zh) | 2020-07-29 | 2020-07-29 | 一种零信任下的动态身份认证方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111901347B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112653679A (zh) * | 2020-12-14 | 2021-04-13 | 北京指掌易科技有限公司 | 一种动态身份认证方法、装置、服务器及存储介质 |
| WO2022183832A1 (zh) * | 2021-03-05 | 2022-09-09 | 华为技术有限公司 | 一种用户账号的风险度量方法及相关装置 |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103927483A (zh) * | 2014-04-04 | 2014-07-16 | 西安电子科技大学 | 用于检测恶意程序的判定模型及恶意程序的检测方法 |
| CN105099690A (zh) * | 2014-05-19 | 2015-11-25 | 江苏博智软件科技有限公司 | 一种移动云计算环境下基于otp和用户行为的认证授权方法 |
| WO2016049983A1 (zh) * | 2014-09-29 | 2016-04-07 | 同济大学 | 用户键盘按键行为模式建模与分析系统及其身份识别方法 |
| CN105590055A (zh) * | 2014-10-23 | 2016-05-18 | 阿里巴巴集团控股有限公司 | 用于在网络交互系统中识别用户可信行为的方法及装置 |
| WO2016107415A1 (zh) * | 2014-12-30 | 2016-07-07 | 中国银联股份有限公司 | 基于用户网络行为特征的辅助身份验证方法 |
| CN108377241A (zh) * | 2018-02-12 | 2018-08-07 | 平安普惠企业管理有限公司 | 基于访问频率的监测方法、装置、设备和计算机存储介质 |
| CN108595923A (zh) * | 2018-04-20 | 2018-09-28 | 北京元心科技有限公司 | 身份认证方法、装置及终端设备 |
| CN108665297A (zh) * | 2017-03-31 | 2018-10-16 | 北京京东尚科信息技术有限公司 | 异常访问行为的检测方法、装置、电子设备和存储介质 |
| CN109871673A (zh) * | 2019-03-11 | 2019-06-11 | 重庆邮电大学 | 基于不同上下文环境中的持续身份认证方法和系统 |
| CN110163611A (zh) * | 2019-03-18 | 2019-08-23 | 腾讯科技(深圳)有限公司 | 一种身份识别方法、装置以及相关设备 |
| US20190286242A1 (en) * | 2018-03-16 | 2019-09-19 | Veridium Ip Limited | System and method for user recognition using motion sensor data |
| CN110489307A (zh) * | 2019-08-27 | 2019-11-22 | 中国工商银行股份有限公司 | 接口异常调用监测方法及装置 |
| CN110502895A (zh) * | 2019-08-27 | 2019-11-26 | 中国工商银行股份有限公司 | 接口异常调用确定方法及装置 |
-
2020
- 2020-07-29 CN CN202010744690.7A patent/CN111901347B/zh active Active
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103927483A (zh) * | 2014-04-04 | 2014-07-16 | 西安电子科技大学 | 用于检测恶意程序的判定模型及恶意程序的检测方法 |
| CN105099690A (zh) * | 2014-05-19 | 2015-11-25 | 江苏博智软件科技有限公司 | 一种移动云计算环境下基于otp和用户行为的认证授权方法 |
| WO2016049983A1 (zh) * | 2014-09-29 | 2016-04-07 | 同济大学 | 用户键盘按键行为模式建模与分析系统及其身份识别方法 |
| CN105590055A (zh) * | 2014-10-23 | 2016-05-18 | 阿里巴巴集团控股有限公司 | 用于在网络交互系统中识别用户可信行为的方法及装置 |
| WO2016107415A1 (zh) * | 2014-12-30 | 2016-07-07 | 中国银联股份有限公司 | 基于用户网络行为特征的辅助身份验证方法 |
| CN108665297A (zh) * | 2017-03-31 | 2018-10-16 | 北京京东尚科信息技术有限公司 | 异常访问行为的检测方法、装置、电子设备和存储介质 |
| CN108377241A (zh) * | 2018-02-12 | 2018-08-07 | 平安普惠企业管理有限公司 | 基于访问频率的监测方法、装置、设备和计算机存储介质 |
| US20190286242A1 (en) * | 2018-03-16 | 2019-09-19 | Veridium Ip Limited | System and method for user recognition using motion sensor data |
| CN108595923A (zh) * | 2018-04-20 | 2018-09-28 | 北京元心科技有限公司 | 身份认证方法、装置及终端设备 |
| CN109871673A (zh) * | 2019-03-11 | 2019-06-11 | 重庆邮电大学 | 基于不同上下文环境中的持续身份认证方法和系统 |
| CN110163611A (zh) * | 2019-03-18 | 2019-08-23 | 腾讯科技(深圳)有限公司 | 一种身份识别方法、装置以及相关设备 |
| CN110489307A (zh) * | 2019-08-27 | 2019-11-22 | 中国工商银行股份有限公司 | 接口异常调用监测方法及装置 |
| CN110502895A (zh) * | 2019-08-27 | 2019-11-26 | 中国工商银行股份有限公司 | 接口异常调用确定方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 刘梦昕: "基于用户击键行为的认证技术研究", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112653679A (zh) * | 2020-12-14 | 2021-04-13 | 北京指掌易科技有限公司 | 一种动态身份认证方法、装置、服务器及存储介质 |
| CN112653679B (zh) * | 2020-12-14 | 2022-11-15 | 北京指掌易科技有限公司 | 一种动态身份认证方法、装置、服务器及存储介质 |
| WO2022183832A1 (zh) * | 2021-03-05 | 2022-09-09 | 华为技术有限公司 | 一种用户账号的风险度量方法及相关装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111901347B (zh) | 2022-12-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6928549B2 (en) | Dynamic intrusion detection for computer systems | |
| US7523499B2 (en) | Security attack detection and defense | |
| US6134664A (en) | Method and system for reducing the volume of audit data and normalizing the audit data received from heterogeneous sources | |
| US20130067596A1 (en) | Detection filter | |
| US20080222706A1 (en) | Globally aware authentication system | |
| CN111901347B (zh) | 一种零信任下的动态身份认证方法和装置 | |
| US20070157156A1 (en) | Information models and the application life cycle | |
| US20190124092A1 (en) | Detection of Remote Fraudulent Activity in a Client-Server-System | |
| CN107147627A (zh) | 一种基于大数据平台的网络安全防护方法及系统 | |
| CN116708210A (zh) | 一种运维处理方法和终端设备 | |
| CN112653679B (zh) | 一种动态身份认证方法、装置、服务器及存储介质 | |
| Sharma et al. | Survey of intrusion detection techniques and architectures in cloud computing | |
| US20170346837A1 (en) | Real-time security modification and control | |
| CN102546522A (zh) | 一种内网安全系统及其实现方法 | |
| CN110086779B (zh) | 一种多域光网络串扰攻击的通信安全判别方法 | |
| US11188647B2 (en) | Security via web browser tampering detection | |
| CN109862035A (zh) | 游戏app账号验证方法及设备 | |
| CN111339542A (zh) | 一种计算数据安全输入方法 | |
| CN115695015A (zh) | 用户权限调整方法、装置、电子设备及存储介质 | |
| CN110378120A (zh) | 应用程序接口攻击检测方法、装置以及可读存储介质 | |
| CN116248308A (zh) | 一种基于零信任和边缘智能的物联网持续认证方法 | |
| EP2450820B1 (en) | User authentication system and plant control system having user authentication system | |
| Dervišević et al. | Case study: Security of system for remote management of windows | |
| CN108449753A (zh) | 一种手机设备读取可信计算环境中的数据的方法 | |
| CN116389089A (zh) | 一种安全运维方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |