CN112152997A - 面向设备识别的双因子认证方法、系统、介质及服务端 - Google Patents
面向设备识别的双因子认证方法、系统、介质及服务端 Download PDFInfo
- Publication number
- CN112152997A CN112152997A CN202010844751.7A CN202010844751A CN112152997A CN 112152997 A CN112152997 A CN 112152997A CN 202010844751 A CN202010844751 A CN 202010844751A CN 112152997 A CN112152997 A CN 112152997A
- Authority
- CN
- China
- Prior art keywords
- authentication
- equipment
- client
- uniqueness
- credibility
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种面向设备识别的双因子认证方法、系统、介质及服务端,所述方法包括:采集客户端的设备信息;将客户端的设备信息与服务端中基准信息进行匹配,以判断该客户端是否为与服务端关联的已有设备;同时对客户端进行设备可信度和设备唯一性的认证,以获取可信度认证和唯一性认证的认证结果;根据可信度认证和唯一性认证的认证结果及预设双因子认证策略,更新服务端中的基准信息。本发明提出双因子认证策略,结合设备可信认证的高准确率和设备唯一性认证的适用范围广的优点,提高设备唯一性认证的准确率,并降低错误接受率和错误拒绝率。同时提出了双因子的基准更新策略,解决了设备可信认证和设备唯一性认证判别结果不同时的基准更新问题。
Description
技术领域
本发明属于互联网技术领域,涉及一种认证方法和系统,特别是涉及一种面向设备识别的双因子认证方法、系统、介质及服务端。
背景技术
随着互联网的快速发展,各种传统的业务逐渐转至线上,互联网金融、电子商务迅速发展,人们逐渐开始通过手机、IPAD、笔记本电脑等移动终端实现在线支付、管理资产、浏览新闻等。网络逐渐成为人类的第二空间,网民无法识别身份、无法自证信誉极大地阻碍了互联网业务的拓展,身份的不确定性,滋生了种种线上欺诈行为。设备指纹技术是一种在网络中辨识设备的技术,被广泛应用于反欺诈风控、安全认证、用户行为追踪和访问控制等领域中。设备指纹是指可以用于唯一标识出该设备的设备特征或者独特的设备标识,通过设备指纹,可以更加精准的分析互联网欺诈者的行为轨迹,从蛛丝马迹中识别风险、预警风险,准确追踪定位风险产生的用户主体以及关联的所有用户。
现有的移动端设备指纹识别技术中,根据设备认证过程中是否参考用户信息,可将设备认证分为设备可信认证和设备唯一性认证。设备可信认证基于设备指纹技术进行用户身份认证,判断用户登录的设备是否为该用户的可信设备;设备唯一性认证不考虑用户信息,通过检索所有已知的设备集合,判断登录的某台设备是否为已有设备集合中的某一台设备,或是一台未知的新设备。由于可信认证用于判断某个用户账号下的设备,而每个用户的设备数量很少,因此识别准确率很高。但是当用户切换账号在同一台设备登录时,无法获取用户账号之间的关联,应用场景比较受限。唯一性认证对应用范围比较广,但由于其设备基准数目远远大于设备可信认证时每个用户的设备基准数,唯一性认证准确率低于可信认证。在设备唯一性认证中,相同型号的设备相似度比较高,较为难以区分,造成唯一性认证中错误接受率较高。因此,如何提高设备唯一性认证的准确率,降低错误拒绝率和错误接受率是本发明研究的重点。
因此,如何提供一种面向设备识别的双因子认证方法、系统、介质及服务端,以解决现有技术在设备唯一性认证中,相同型号的设备相似度比较高,较为难以区分,造成唯一性认证中错误接受率较高,设备唯一性认证的准确率低等缺陷,实已成为本领域技术人员亟待解决的技术问题。
发明内容
鉴于以上所述现有技术的缺点,本发明的目的在于提供一种面向设备识别的双因子认证方法、系统、介质及服务端,用于解决现有技术在设备唯一性认证中,相同型号的设备相似度比较高,较为难以区分,造成唯一性认证中错误接受率较高,设备唯一性认证的准确率低的问题。
为实现上述目的及其他相关目的,本发明一方面提供提供一种面向设备识别的双因子认证方法,应用于包括至少二个客户端和与所述客户端通信连接的服务端的通信系统;所述服务端内设置有唯一性设备基准库和可信性设备基准库;所述可信度设备基准库用于认证所述客户端的可信度;所述唯一性设备基准库用于认证所述客户端的唯一性;所述面向设备识别的双因子认证方法包括:采集所述客户端的设备信息;将实时登录的所述客户端的设备信息与所述服务端中基准信息进行匹配,以判断该客户端是否为与所述服务端关联的已有设备;同时对所述客户端进行设备可信度和设备唯一性的认证,以获取可信度认证和唯一性认证的认证结果;根据可信度认证和唯一性认证的认证结果及预设双因子认证策略,更新所述服务端中的基准信息。
于本发明的一实施例中,在采集所述客户端的设备信息的步骤之后,所述面向设备识别的双因子认证方法还包括:将采集的设备信息进行数值化处理。
于本发明的一实施例中,所述将实时登录的所述客户端的设备信息与所述服务端中基准信息进行匹配,以判断该客户端是否为与所述服务端关联的已有设备的步骤包括:计算实时登录的客户端的设备信息与所述服务端中每一基准信息两者之间的设备相似度;若最大的设备相似度大于相似度阈值,则表示该实时登录的客户端为已有设备;若最大的设备相似度小于或等于相似度阈值,则表示该实时登录的客户端为新设备,将该新设备的设备信息插入所述服务端中。
于本发明的一实施例中,对所述客户端进行设备可信度的认证,获取可信度认证和唯一性认证的认证结果的步骤包括:根据实时登录的客户端的登录数据,判断登录的客户端是否出现在所述可信度设备基准库中;若是,则表示该客户端是可信设备;若否,则表示该客户端是非可信设备;获取可信度认证的认证结果;所述可信度认证的认证结果包括实时登录的客户端是可信设备或实时登录的客户端是非可信设备。
于本发明的一实施例中,对所述客户端进行设备唯一性的认证,获取唯一性认证的认证结果的步骤包括:根据实时登录的客户端的登录数据,判断已登录的客户端是否出现在所述唯一性设备基准库中;若是,则表示该客户端是已有设备;若否,则表示该客户端是新设备;获取唯一性认证的认证结果;所述唯一性认证的认证结果包括实时登录的客户端是已有设备或实时登录的客户端是新设备。
于本发明的一实施例中,所述预设双因子认证策略包括:当唯一性认证结果和可信认证结果一致,且实时登录的客户端判定为已有设备时,以当前的登录数据更新唯一性设备基准库和可信度设备基准库;当唯一性认证结果和可信认证结果一致,且实时登录的客户端判定为新设备时,分别向所述唯一性设备基准库和所述可信度设备基准库中插入该新设备作为基准。
于本发明的一实施例中,所述预设双因子认证策略还包括:当唯一性认证结果和可信认证结果不一致,且唯一性认证将实时登录的客户端认证为一已有设备,可信度认证将实时登录的客户端为另一已有设备,此时认为唯一性认证判断错误,仅更新所述可信性设备基准库,且将唯一性认证结果校正为另一设备;当唯一性认证结果和可信认证结果不一致,唯一性认证实时登录的客户端认证为已有设备,可信度认证将该设备认证为新设备时,仅在所述可信性设备基准库插入该设备认证为新设备作为基准信息,不更新所述唯一性设备基准库,以免将错误传递;当唯一性认证结果和可信认证结果不一致,唯一性认证实时登录的客户端认证为新设备,可信度认证将实时登录的客户端认证为已有设备时,更新所述可信性设备基准库,同时将唯一性认证结果校正为已有设备,且不在所述唯一性设备基准库中新增基准。
本发明另一方面提供一种面向设备识别的双因子认证系统,应用于包括至少二个客户端和与所述客户端通信连接的服务端的通信系统;所述服务端内设置有唯一性设备基准库和可信性设备基准库;所述可信度设备基准库用于认证所述客户端的可信度;所述唯一性设备基准库用于认证所述客户端的唯一性;包括:采集模块,用于采集所述客户端的设备信息;匹配模块,用于将实时登录的所述客户端的设备信息与所述服务端中基准信息进行匹配,以判断该客户端是否为与所述服务端关联的已有设备;认证模块,用于同时对所述客户端进行设备可信度和设备唯一性的认证,以获取可信度认证和唯一性认证的认证结果;更新模块,用于根据可信度认证和唯一性认证的认证结果及预设双因子认证策略,更新所述服务端中的基准信息。
本发明又一方面提供一种介质,其上存储有计算机程序,该计算机程序被处理器执行时实现所述面向设备识别的双因子认证方法。
本发明最后一方面提供一种服务端,包括:处理器及存储器;所述存储器用于存储计算机程序,所述处理器用于执行所述存储器存储的计算机程序,以使所述服务端执行所述面向设备识别的双因子认证方法。
如上所述,本发明所述的面向设备识别的双因子认证方法、系统、介质及服务端,具有以下有益效果:
本发明所述面向设备识别的双因子认证方法、系统、介质及服务端提出双因子认证策略,结合设备可信认证的高准确率和设备唯一性认证的适用范围广的优点,提高设备唯一性认证的准确率,并降低错误接受率和错误拒绝率。同时提出了双因子的基准更新策略,解决了设备可信认证和设备唯一性认证判别结果不同时的基准更新问题。
附图说明
图1显示为本发明的所应用的场景示意图。
图2显示为本发明的面向设备识别的双因子认证方法于一实施例中的流程示意图。
图3显示为本发明的面向设备识别的双因子认证系统于一实施例中的原理结构示意图。
元件标号说明
具体实施方式
以下通过特定的具体实例说明本发明的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本发明的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。
需要说明的是,以下实施例中所提供的图示仅以示意方式说明本发明的基本构想,遂图式中仅显示与本发明中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制,其实际实施时各组件的型态、数量及比例可为一种随意的改变,且其组件布局型态也可能更为复杂。
本发明所述面向设备识别的双因子认证方法、系统、介质及服务端的技术原理如下:
当设备首次登录并通过验证时,将向设备指纹基准库中插入该设备的基准指纹。当设备再次登录并触发设备指纹认证服务时,首先,将设备数据数值化处理。其次,读取设备可信基准库的该用户的设备基准和设备唯一性基准库的设备基准,通过设备可信认证模型和设备唯一性认证模型分别判别用户设备的可信性和设备的唯一性。如若与基准匹配,则将待检测设备认证为已有设备;若不匹配,则将待检测设备认证为新设备。具体的匹配方法为:计算设备标识符之间的相似度,并与可信阈值相比较,若在设备基准数据库中匹配到相似度大于阈值的设备基准,则将该设备与相似度最大的设备绑定,判定为已有设备,否则判断该设备为新设备。并最终根据基准更新策略,校正唯一性认证结果,更新设备基准库。
实施例一
本实施例提供一种面向设备识别的双因子认证方法,应用于包括至少二个客户端和与所述客户端通信连接的服务端的通信系统;所述服务端内设置有唯一性设备基准库和可信性设备基准库;所述可信度设备基准库用于认证所述客户端的可信度;所述唯一性设备基准库用于认证所述客户端的唯一性;所述面向设备识别的双因子认证方法包括:
采集所述客户端的设备信息;
将实时登录的所述客户端的设备信息与所述服务端中基准信息进行匹配,以判断该客户端是否为与所述服务端关联的已有设备;
同时对所述客户端进行设备可信度和设备唯一性的认证,以获取可信度认证和唯一性认证的认证结果;
根据可信度认证和唯一性认证的认证结果及预设双因子认证策略,更新所述服务端中的基准信息。
以下将结合图示对本实施例所提供的面向设备识别的双因子认证方法进行详细描述。本实施例所述面向设备识别的双因子认证方法应用于如图1所示通信系统1。所述通信系统1包括至少两个客户端11和与所述客户端11通信连接的服务端12。于实际应用中,所述客户端11包括例如为智能手机、平板电脑、笔记本电脑等电子设备。所述服务端12包括用于存储已登录客户端11的基准信息的设备登录日志库、用于认证所述客户端的可信度的可信度设备基准库、用于认证所述客户端的唯一性的唯一性设备基准库。在本实施例中,所述已登录客户端11的基准信息包括设备ID,登录用户名和密码等。
请参阅图2,显示为面向设备识别的双因子认证方法于一实施例中的流程示意图。如图2所示,所述面向设备识别的双因子认证方法具体包括以下几个步骤:
S21,采集所述客户端的设备信息。
在本实施例中,所述客户端的设备信息包括客户端的操作系统、设备型号等设备标识符数据。
具体地,通过调用系统API以及执行Linux Shell命令两种方式采集客户端的操作系统、设备型号等设备标识符数据。所有设备标识符的<key,value>键值对数据都保存在HashMap对象中,获取完成后,将HashMap对象中的内容序列化成JSON格式字符串,并从中解析出能够反映客户端设备特性的信息作为样本特征,使用HTTPPOST方式将采集的数据上传至服务端。
当用户发送客户端登录请求时,根据步骤S21采集新登录的客户端的设备信息,并存储于所述服务端的登录日志库中。
S22,将采集的设备信息进行数值化处理。
具体地,本步骤将采集的设备标识符数据进行数值化处理。由于设备指纹属性值之间不存在“序”关系,因此,需要将属性值数值化为一一对应的离散值,而不能数值化为基于空间模型的连续值。本实施例采用哈希散列方式将属性值数值化,将字符型属性值映射到10位的整数区间内,并将数据预处理之后的样本数据存储在登录日志库中。
S23,在所述设备登录日志库、所述可信度设备基准库、所述唯一性设备基准库建立阶段,将所述客户端已登录的历史数据作为训练数据集,对所述训练数据集进行训练,并初始化所述可信度设备基准库和所述唯一性设备基准库,用于设备指纹认证。
S24,将数值化处理后的实时登录的所述客户端的设备信息与所述服务端中基准信息进行匹配,以判断该客户端是否为与所述服务端关联的已有设备,
具体地,步骤S24包括以下步骤:
计算实时登录的客户端的设备信息与所述服务端中每一客户端基准信息两者之间的设备相似度。
具体地,由于设备指纹属性的取值均为离散值,且属性值之间不存在“序”关系,欧氏距离、马氏距离等相似性度量函数无法准确反映设备指纹相似度,而汉明距离可用于衡量离散值的距离。因此,本实施例选取汉明距离函数作为相似性度量函数。假设设备标识符数据共有N维特征,则客户端和服务端中已存储客户端的设备标识符数据的相似度S定义为:
其中,fAi和fBi分别表示客户端A和服务端中已存储客户端B的第i个特征值;I(·)为指示函数,若·为真,则I(·)=1,若·为假,则I(·)=0。
若最大的设备相似度大于相似度阈值T,则表示该实时登录的客户端为已有设备;
若最大的设备相似度小于或等于相似度阈值T,则表示该实时登录的客户端为新设备,将该新设备的设备信息插入所述服务端的登录日志库中。
S25,同时对所述客户端进行设备可信度和设备唯一性的认证,以获取可信度认证和唯一性认证的认证结果。
其中,对所述客户端进行设备可信度的认证,获取可信度认证和唯一性认证的认证结果的步骤包括:
根据实时登录的客户端的登录数据,判断登录的客户端是否出现在所述可信度设备基准库中;若是,则表示该客户端是可信设备;若否,则表示该客户端是非可信设备。在本实施例中,所述登录数据包括登录用户名及密码,设备信息,IP地址等数据。
获取可信度认证的认证结果;所述可信度认证的认证结果包括实时登录的客户端是可信设备或实时登录的客户端是非可信设备。
例如,给定用户已有的客户端的可信度设备基准库user_fpbench,判断实时登录的客户端的登录数据x是否出现在user_fpbench中。也就是说基于可信度设备基准库中存储的数据对实时登录的客户端进行用户身份认证。
在可信度设备基准库中,读取可信度设备基准库的设备基准信息,将设备基准信息与该客户端的登录数据x进行匹配,判断实时登录的客户端是否为该用户的可信设备。设备指纹可信认证方法实时性强且准确率比较高,可以在用户登录账号的情况下检测异常设备,以防止账号盗用、黑客攻击等事件带来的潜在风险。
对所述客户端进行设备唯一性的认证,获取唯一性认证的认证结果的步骤包括:
根据实时登录的客户端的登录数据,判断已登录的客户端是否出现在所述唯一性设备基准库中;若是,则表示该客户端是已有设备;若否,则表示该客户端是新设备;
获取唯一性认证的认证结果;所述唯一性认证的认证结果包括实时登录的客户端是已有设备或实时登录的客户端是新设备。
例如,给定已有唯一性设备基准库fpbench,以及已登录的客户端的登录数据x,判断x是否出现在fpbench中,以及属于fpbench中的哪一台设备。
在唯一性设备基准库中,将已登录的客户端的登录数据与唯一性设备基准库中存储的设备基准信息进行匹配,以判断已登录的客户端为所述唯一性设备基准库中已有设备还是未知的新设备。
S26,根据可信度认证和唯一性认证的认证结果及预设双因子认证策略,更新所述服务端中的基准信息。
在本实施例中,步骤S26根据可信和唯一性认证的认证结果,综合双因子基准更新策略更新所述可信度设备基准库和所述唯一性设备基准库。双因子认证策略的主要实现方式是通过比较可信度认证与唯一性认证结果,调整基准更新策略。
于本实施例中,当设备登录进行实时认证时,同时进行设备可信认证和设备唯一性认证,获取到可信认证与唯一性认证的判别结果。通过比较和核查可信认证和唯一性认证的结果,根据双因子基准更新策略更新设备基准。大部分情况下,由于可信认证的准确率更高,若可信认证与唯一性认证结果不一致,我们认为可信认证的认证结果可信度更高,可以通过可信认证结果校正唯一性认证结果,从而提高唯一性认证的准确率,我们将这种方法称为双因子认证策略。所述双因子认证策略可通过表1表达。
表1:双因子认证策略
具体地,将当前待认证的客户端记作x,所述预设双因子认证策略包括:
当唯一性认证结果和可信认证结果一致,且实时登录的客户端判定为已有设备(P)时,以当前的登录数据更新唯一性设备基准库和可信度设备基准库;
当唯一性认证结果和可信认证结果一致,且实时登录的客户端判定为新设备(N)时,分别向所述唯一性设备基准库和所述可信度设备基准库中插入该新设备作为基准。
当唯一性认证结果和可信认证结果不一致,且唯一性认证将实时登录的客户端x认证为一已有设备A,可信度认证将实时登录的客户端x为另一已有设备B时,此时认为唯一性认证判断错误,仅更新所述可信性设备基准库,而不更新所述唯一性设备基准库,以免将错误出传递,并且将唯一性认证结果校正为另一已有设备B。
当唯一性认证结果和可信认证结果不一致,唯一性认证实时登录的客户端x认证为已有设备A,可信度认证将该客户端x认证为新设备时,可能是由于设备A在其他用户账户下登录过,但该用户是第一次在设备A上登录;可能由于唯一性认证判断错误,由于无法确定两者判断的正确性,仅在所述可信性设备基准库插入该设备认证为新设备作为基准信息,不更新所述唯一性设备基准库,以免将错误传递;
当唯一性认证结果和可信认证结果不一致,唯一性认证实时登录的客户端x认证为新设备,可信度认证将实时登录的客户端x认证为已有设备时,此时,认为可信度认证结果可信度更好,更新所述可信性设备基准库,同时将唯一性认证结果校正为已有设备,且不在所述唯一性设备基准库中新增基准。
本实施例所述面向设备识别的双因子认证方法提出双因子认证策略,结合设备可信认证的高准确率和设备唯一性认证的适用范围广的优点,提高设备唯一性认证的准确率,并降低错误接受率和错误拒绝率。同时提出了双因子的基准更新策略,解决了设备可信认证和设备唯一性认证判别结果不同时的基准更新问题。
本实施例还提供一种介质(亦称为计算机可读存储介质),其上存储有计算机程序,该计算机程序被处理器执行时实现上述面向设备识别的双因子认证方法。
本领域普通技术人员可以理解计算机可读存储介质为:实现上述各方法实施例的全部或部分步骤可以通过计算机程序相关的硬件来完成。前述的计算机程序可以存储于一计算机可读存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
实施例二
本实施例提供一种面向设备识别的双因子认证系统,应用于包括至少二个客户端和与所述客户端通信连接的服务端的通信系统;所述服务端内设置有唯一性设备基准库和可信性设备基准库;所述可信度设备基准库用于认证所述客户端的可信度;所述唯一性设备基准库用于认证所述客户端的唯一性;包括:
采集模块,用于采集所述客户端的设备信息;
匹配模块,用于将实时登录的所述客户端的设备信息与所述服务端中基准信息进行匹配,以判断该客户端是否为与所述服务端关联的已有设备;
认证模块,用于同时对所述客户端进行设备可信度和设备唯一性的认证,以获取可信度认证和唯一性认证的认证结果;
更新模块,用于根据可信度认证和唯一性认证的认证结果及预设双因子认证策略,更新所述服务端中的基准信息。
以下将结合图示对本实施例所提供的面向设备识别的双因子认证系统进行详细描述。请参阅图3,显示为面向设备识别的双因子认证系统于一实施例中的原理结构示意图。如图3所示,所述面向设备识别的双因子认证系统3包括:采集模块31、数值化处理模块32、初始化模块33、指纹匹配模块34、认证模块35及更新模块36。
所述采集模块31用于采集所述客户端的设备信息。
在本实施例中,所述客户端的设备信息包括客户端的操作系统、设备型号等设备标识符数据。
具体地,所述采集模块31通过调用系统API以及执行Linux Shell命令两种方式采集客户端的操作系统、设备型号等设备标识符数据。所有设备标识符的<key,value>键值对数据都保存在HashMap对象中,获取完成后,将HashMap对象中的内容序列化成JSON格式字符串,并从中解析出能够反映客户端设备特性的信息作为样本特征,使用HTTPPOST方式将采集的数据上传至服务端。
当用户发送客户端登录请求时,所述采集模块31采集新登录的客户端的设备信息,并存储于所述服务端的登录日志库中。
所述数值化处理模块32用于将采集的设备信息进行数值化处理。
具体地,所述数值化处理模块32将采集的设备标识符数据进行数值化处理。由于设备指纹属性值之间不存在“序”关系,因此,需要将属性值数值化为一一对应的离散值,而不能数值化为基于空间模型的连续值。本实施例采用哈希散列方式将属性值数值化,将字符型属性值映射到10位的整数区间内,并将数据预处理之后的样本数据存储在登录日志库中。
所述初始化模块33用于在所述设备登录日志库、所述可信度设备基准库、所述唯一性设备基准库建立阶段,将所述客户端已登录的历史数据作为训练数据集,对所述训练数据集进行训练,并初始化所述可信度设备基准库和所述唯一性设备基准库,用于设备指纹认证。
与所述数值化处理模块32和所述初始化模块33耦合的指纹匹配模块34用于将数值化处理后的实时登录的所述客户端的设备信息与所述服务端中基准信息进行匹配,以判断该客户端是否为与所述服务端关联的已有设备,
具体地,所述指纹匹配模块34用于计算实时登录的客户端的设备信息与所述服务端中每一客户端基准信息两者之间的设备相似度。若最大的设备相似度大于相似度阈值T,则表示该实时登录的客户端为已有设备;若最大的设备相似度小于或等于相似度阈值T,则表示该实时登录的客户端为新设备,将该新设备的设备信息插入所述服务端的登录日志库中。
与所述指纹匹配模块34耦合的认证模块35用于同时对所述客户端进行设备可信度和设备唯一性的认证,以获取可信度认证和唯一性认证的认证结果。
具体地,所述认证模块35用于根据实时登录的客户端的登录数据,判断登录的客户端是否出现在所述可信度设备基准库中;若是,则表示该客户端是可信设备;若否,则表示该客户端是非可信设备。在本实施例中,所述登录数据包括登录用户名及密码,设备信息,IP地址等数据。获取可信度认证的认证结果;所述可信度认证的认证结果包括实时登录的客户端是可信设备或实时登录的客户端是非可信设备。
具体地,所述认证模块35还用于根据实时登录的客户端的登录数据,判断已登录的客户端是否出现在所述唯一性设备基准库中;若是,则表示该客户端是已有设备;若否,则表示该客户端是新设备;获取唯一性认证的认证结果;所述唯一性认证的认证结果包括实时登录的客户端是已有设备或实时登录的客户端是新设备。
与所述认证模块35耦合的更新模块36用于根据可信度认证和唯一性认证的认证结果及预设双因子认证策略,更新所述服务端中的基准信息。
在本实施例中,所述更新模块36根据可信和唯一性认证的认证结果,综合双因子基准更新策略更新所述可信度设备基准库和所述唯一性设备基准库。双因子认证策略的主要实现方式是通过比较可信度认证与唯一性认证结果,调整基准更新策略。
于本实施例中,当设备登录进行实时认证时,同时进行设备可信认证和设备唯一性认证,获取到可信认证与唯一性认证的判别结果。通过比较和核查可信认证和唯一性认证的结果,根据双因子基准更新策略更新设备基准。大部分情况下,由于可信认证的准确率更高,若可信认证与唯一性认证结果不一致,我们认为可信认证的认证结果可信度更高,可以通过可信认证结果校正唯一性认证结果,从而提高唯一性认证的准确率,我们将这种方法称为双因子认证策略。所述双因子认证策略可通过表1表达。
具体地,将当前待认证的客户端记作x,所述预设双因子认证策略包括:
当唯一性认证结果和可信认证结果一致,且实时登录的客户端判定为已有设备(P)时,以当前的登录数据更新唯一性设备基准库和可信度设备基准库;
当唯一性认证结果和可信认证结果一致,且实时登录的客户端判定为新设备(N)时,分别向所述唯一性设备基准库和所述可信度设备基准库中插入该新设备作为基准。
当唯一性认证结果和可信认证结果不一致,且唯一性认证将实时登录的客户端x认证为一设备A,可信度认证将实时登录的客户端x为另一设备B时,此时认为唯一性认证判断错误,仅更新所述可信性设备基准库,而不更新所述唯一性设备基准库,以免将错误出传递,并且将唯一性认证结果校正为另一设备B。
当唯一性认证结果和可信认证结果不一致,唯一性认证实时登录的客户端x认证为已有设备A,可信度认证将该客户端x认证为新设备时,可能是由于设备A在其他用户账户下登录过,但该用户是第一次在设备A上登录;可能由于唯一性认证判断错误,由于无法确定两者判断的正确性,仅在所述可信性设备基准库插入该设备认证为新设备作为基准信息,不更新所述唯一性设备基准库,以免将错误传递;
当唯一性认证结果和可信认证结果不一致,唯一性认证实时登录的客户端x认证为新设备,可信度认证将实时登录的客户端x认证为已有设备时,此时,认为可信度认证结果可信度更好,更新所述可信性设备基准库,同时将唯一性认证结果校正为已有设备,且不在所述唯一性设备基准库中新增基准。
需要说明的是,应理解以上系统的各个模块的划分仅仅是一种逻辑功能的划分,实际实现时可以全部或部分集成到一个物理实体上,也可以物理上分开。且这些模块可以全部以软件通过处理元件调用的形式实现,也可以全部以硬件的形式实现,还可以部分模块通过处理元件调用软件的形式实现,部分模块通过硬件的形式实现。例如:x模块可以为单独设立的处理元件,也可以集成在上述系统的某一个芯片中实现。此外,x模块也可以以程序代码的形式存储于上述系统的存储器中,由上述系统的某一个处理元件调用并执行以上x模块的功能。其它模块的实现与之类似。这些模块全部或部分可以集成在一起,也可以独立实现。这里所述的处理元件可以是一种集成电路,具有信号的处理能力。在实现过程中,上述方法的各步骤或以上各个模块可以通过处理器元件中的硬件的集成逻辑电路或者软件形式的指令完成。以上这些模块可以是被配置成实施以上方法的一个或多个集成电路,例如:一个或多个特定集成电路(Application Specific Integrated Circuit,简称ASIC),一个或多个微处理器(Digital Singnal Processor,简称DSP),一个或者多个现场可编程门阵列(Field Programmable Gate Array,简称FPGA)等。当以上某个模块通过处理元件调度程序代码的形式实现时,该处理元件可以是通用处理器,如中央处理器(CentralProcessing Unit,简称CPU)或其它可以调用程序代码的处理器。这些模块可以集成在一起,以片上系统(System-on-a-chip,简称SOC)的形式实现。
实施例三
本实施例提供一种服务端,所述服务端包括:处理器、存储器、收发器、通信接口或/和系统总线;存储器和通信接口通过系统总线与处理器和收发器连接并完成相互间的通信,存储器用于存储计算机程序,通信接口用于和其他设备进行通信,处理器和收发器用于运行计算机程序,使服务端执行如上面向设备识别的双因子认证方法的各个步骤。
上述提到的系统总线可以是外设部件互连标准(Peripheral ComponentInterconnect,简称PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,简称EISA)总线等。该系统总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。通信接口用于实现数据库访问装置与其他设备(如客户端、读写库和只读库)之间的通信。存储器可能包含随机存取存储器(Random Access Memory,简称RAM),也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(Digital Signal Processing,简称DSP)、专用集成电路(Application SpecificIntegrated Circuit,简称ASIC)、现场可编程门阵列(Field Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
本发明所述的面向设备识别的双因子认证方法的保护范围不限于本实施例列举的步骤执行顺序,凡是根据本发明的原理所做的现有技术的步骤增减、步骤替换所实现的方案都包括在本发明的保护范围内。
本发明还提供一种面向设备识别的双因子认证系统,所述面向设备识别的双因子认证系统可以实现本发明所述的面向设备识别的双因子认证方法,但本发明所述的面向设备识别的双因子认证方法的实现装置包括但不限于本实施例列举的面向设备识别的双因子认证系统的结构,凡是根据本发明的原理所做的现有技术的结构变形和替换,都包括在本发明的保护范围内。
综上所述,本发明所述面向设备识别的双因子认证方法、系统、介质及服务端提出双因子认证策略,结合设备可信认证的高准确率和设备唯一性认证的适用范围广的优点,提高设备唯一性认证的准确率,并降低错误接受率和错误拒绝率。同时提出了双因子的基准更新策略,解决了设备可信认证和设备唯一性认证判别结果不同时的基准更新问题。因此,本发明有效克服了现有技术中的种种缺点而具高度产业利用价值。
上述实施例仅例示性说明本发明的原理及其功效,而非用于限制本发明。任何熟悉此技术的人士皆可在不违背本发明的精神及范畴下,对上述实施例进行修饰或改变。因此,举凡所属技术领域中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完成的一切等效修饰或改变,仍应由本发明的权利要求所涵盖。
Claims (10)
1.一种面向设备识别的双因子认证方法,其特征在于,应用于包括至少二个客户端和与所述客户端通信连接的服务端的通信系统;所述服务端内设置有唯一性设备基准库和可信性设备基准库;所述可信度设备基准库用于认证所述客户端的可信度;所述唯一性设备基准库用于认证所述客户端的唯一性;所述面向设备识别的双因子认证方法包括:
采集所述客户端的设备信息;
将实时登录的所述客户端的设备信息与所述服务端中基准信息进行匹配,以判断该客户端是否为与所述服务端关联的已有设备;
同时对所述客户端进行设备可信度和设备唯一性的认证,以获取可信度认证和唯一性认证的认证结果;
根据可信度认证和唯一性认证的认证结果及预设双因子认证策略,更新所述服务端中的基准信息。
2.根据权利要求1所述的面向设备识别的双因子认证方法,其特征在于,在采集所述客户端的设备信息的步骤之后,所述面向设备识别的双因子认证方法还包括:
将采集的设备信息进行数值化处理。
3.根据权利要求1所述的面向设备识别的双因子认证方法,其特征在于,所述将实时登录的所述客户端的设备信息与所述服务端中基准信息进行匹配,以判断该客户端是否为与所述服务端关联的已有设备的步骤包括:
计算实时登录的客户端的设备信息与所述服务端中每一基准信息两者之间的设备相似度;
若最大的设备相似度大于相似度阈值,则表示该实时登录的客户端为已有设备;
若最大的设备相似度小于或等于相似度阈值,则表示该实时登录的客户端为新设备,将该新设备的设备信息插入所述服务端中。
4.根据权利要求3所述的面向设备识别的双因子认证方法,其特征在于,对所述客户端进行设备可信度的认证,获取可信度认证和唯一性认证的认证结果的步骤包括:
根据实时登录的客户端的登录数据,判断登录的客户端是否出现在所述可信度设备基准库中;若是,则表示该客户端是可信设备;若否,则表示该客户端是非可信设备;
获取可信度认证的认证结果;所述可信度认证的认证结果包括实时登录的客户端是可信设备或实时登录的客户端是非可信设备。
5.根据权利要求4所述的面向设备识别的双因子认证方法,其特征在于,对所述客户端进行设备唯一性的认证,获取唯一性认证的认证结果的步骤包括:
根据实时登录的客户端的登录数据,判断已登录的客户端是否出现在所述唯一性设备基准库中;若是,则表示该客户端是已有设备;若否,则表示该客户端是新设备;
获取唯一性认证的认证结果;所述唯一性认证的认证结果包括实时登录的客户端是已有设备或实时登录的客户端是新设备。
6.根据权利要求5所述的面向设备识别的双因子认证方法,其特征在于,所述预设双因子认证策略包括:
当唯一性认证结果和可信认证结果一致,且实时登录的客户端判定为已有设备时,以当前的登录数据更新唯一性设备基准库和可信度设备基准库;
当唯一性认证结果和可信认证结果一致,且实时登录的客户端判定为新设备时,分别向所述唯一性设备基准库和所述可信度设备基准库中插入该新设备作为基准。
7.根据权利要求6所述的面向设备识别的双因子认证方法,其特征在于,所述预设双因子认证策略还包括:
当唯一性认证结果和可信认证结果不一致,且唯一性认证将实时登录的客户端认证为一已有设备,可信度认证将实时登录的客户端为另一已有设备时,此时认为唯一性认证判断错误,仅更新所述可信性设备基准库,且将唯一性认证结果校正为另一设备;
当唯一性认证结果和可信认证结果不一致,唯一性认证实时登录的客户端认证为已有设备,可信度认证将该设备认证为新设备时,仅在所述可信性设备基准库插入该设备认证为新设备作为基准信息,不更新所述唯一性设备基准库,以免将错误传递;
当唯一性认证结果和可信认证结果不一致,唯一性认证实时登录的客户端认证为新设备,可信度认证将实时登录的客户端认证为已有设备时,更新所述可信性设备基准库,同时将唯一性认证结果校正为已有设备,且不在所述唯一性设备基准库中新增基准。
8.一种面向设备识别的双因子认证系统,其特征在于,应用于包括至少二个客户端和与所述客户端通信连接的服务端的通信系统;所述服务端内设置有唯一性设备基准库和可信性设备基准库;所述可信度设备基准库用于认证所述客户端的可信度;所述唯一性设备基准库用于认证所述客户端的唯一性;包括:
采集模块,用于采集所述客户端的设备信息;
匹配模块,用于将实时登录的所述客户端的设备信息与所述服务端中基准信息进行匹配,以判断该客户端是否为与所述服务端关联的已有设备;
认证模块,用于同时对所述客户端进行设备可信度和设备唯一性的认证,以获取可信度认证和唯一性认证的认证结果;
更新模块,用于根据可信度认证和唯一性认证的认证结果及预设双因子认证策略,更新所述服务端中的基准信息。
9.一种介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至7中任一项所述面向设备识别的双因子认证方法。
10.一种服务端,其特征在于,包括:处理器及存储器;
所述存储器用于存储计算机程序,所述处理器用于执行所述存储器存储的计算机程序,以使所述服务端执行如权利要求1至7中任一项所述面向设备识别的双因子认证方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010844751.7A CN112152997B (zh) | 2020-08-20 | 2020-08-20 | 面向设备识别的双因子认证方法、系统、介质及服务端 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010844751.7A CN112152997B (zh) | 2020-08-20 | 2020-08-20 | 面向设备识别的双因子认证方法、系统、介质及服务端 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112152997A true CN112152997A (zh) | 2020-12-29 |
| CN112152997B CN112152997B (zh) | 2021-10-22 |
Family
ID=73888403
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010844751.7A Active CN112152997B (zh) | 2020-08-20 | 2020-08-20 | 面向设备识别的双因子认证方法、系统、介质及服务端 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112152997B (zh) |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130178190A1 (en) * | 2012-01-05 | 2013-07-11 | International Business Machines Corporation | Mobile device identification for secure device access |
| CN106952096A (zh) * | 2017-03-03 | 2017-07-14 | 中国工商银行股份有限公司 | 客户端设备的安全认证系统、方法及客户端可信识别装置 |
| CN107392121A (zh) * | 2017-07-06 | 2017-11-24 | 同济大学 | 一种基于指纹识别的自适应设备识别方法及系统 |
| CN107992736A (zh) * | 2017-11-30 | 2018-05-04 | 北京集创北方科技股份有限公司 | 电子设备、显示系统及其集成控制装置、认证方法 |
| CN108683508A (zh) * | 2018-05-11 | 2018-10-19 | 越亮传奇科技股份有限公司 | 基于设备指纹的移动终端信息认证方法 |
| CN109766678A (zh) * | 2018-12-12 | 2019-05-17 | 同济大学 | 面向移动端设备指纹识别认证方法、系统、介质及设备 |
| CN110175448A (zh) * | 2019-04-28 | 2019-08-27 | 众安信息技术服务有限公司 | 一种可信设备登录认证方法及具有认证功能的应用系统 |
| CN110213246A (zh) * | 2019-05-16 | 2019-09-06 | 南瑞集团有限公司 | 一种广域多因子身份认证系统 |
| WO2019222131A1 (en) * | 2018-05-14 | 2019-11-21 | Skydio, Inc. | Trusted contextual content |
| CN110737881A (zh) * | 2018-07-18 | 2020-01-31 | 马上消费金融股份有限公司 | 一种智能设备指纹验证方法及装置 |
| CN111046890A (zh) * | 2018-10-11 | 2020-04-21 | 同济大学 | 通信系统、服务器、基于传感器的设备识别方法及装置 |
-
2020
- 2020-08-20 CN CN202010844751.7A patent/CN112152997B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130178190A1 (en) * | 2012-01-05 | 2013-07-11 | International Business Machines Corporation | Mobile device identification for secure device access |
| CN106952096A (zh) * | 2017-03-03 | 2017-07-14 | 中国工商银行股份有限公司 | 客户端设备的安全认证系统、方法及客户端可信识别装置 |
| CN107392121A (zh) * | 2017-07-06 | 2017-11-24 | 同济大学 | 一种基于指纹识别的自适应设备识别方法及系统 |
| CN107992736A (zh) * | 2017-11-30 | 2018-05-04 | 北京集创北方科技股份有限公司 | 电子设备、显示系统及其集成控制装置、认证方法 |
| CN108683508A (zh) * | 2018-05-11 | 2018-10-19 | 越亮传奇科技股份有限公司 | 基于设备指纹的移动终端信息认证方法 |
| WO2019222131A1 (en) * | 2018-05-14 | 2019-11-21 | Skydio, Inc. | Trusted contextual content |
| CN110737881A (zh) * | 2018-07-18 | 2020-01-31 | 马上消费金融股份有限公司 | 一种智能设备指纹验证方法及装置 |
| CN111046890A (zh) * | 2018-10-11 | 2020-04-21 | 同济大学 | 通信系统、服务器、基于传感器的设备识别方法及装置 |
| CN109766678A (zh) * | 2018-12-12 | 2019-05-17 | 同济大学 | 面向移动端设备指纹识别认证方法、系统、介质及设备 |
| CN110175448A (zh) * | 2019-04-28 | 2019-08-27 | 众安信息技术服务有限公司 | 一种可信设备登录认证方法及具有认证功能的应用系统 |
| CN110213246A (zh) * | 2019-05-16 | 2019-09-06 | 南瑞集团有限公司 | 一种广域多因子身份认证系统 |
Non-Patent Citations (2)
| Title |
|---|
| LIU HOU,LAIWEN WEI,CHEN WANG,ANDI WANG: "Research on Two-Factor Identity Authentication System Based on Smart Phone and User Password", 《SPRINGERLINK》 * |
| 应治: "基于设备识别的认证系统设计", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112152997B (zh) | 2021-10-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11936788B1 (en) | Distributed ledger system for identity data storage and access control | |
| US11138300B2 (en) | Multi-factor profile and security fingerprint analysis | |
| EP2748781B1 (en) | Multi-factor identity fingerprinting with user behavior | |
| US20170140386A1 (en) | Transaction assessment and/or authentication | |
| US20160269411A1 (en) | System and Method for Anonymous Biometric Access Control | |
| CN106909811B (zh) | 用户标识处理的方法和装置 | |
| CN109766678B (zh) | 面向移动端设备指纹识别认证方法、系统、介质及设备 | |
| JP2018519586A (ja) | アカウント盗難リスクの識別方法、識別装置、及び防止・制御システム | |
| US11429698B2 (en) | Method and apparatus for identity authentication, server and computer readable medium | |
| KR20160086830A (ko) | 인간의 생물학적 특징을 이용한 신원 인증 | |
| CN105516133A (zh) | 用户身份的验证方法、服务器及客户端 | |
| CN111400695B (zh) | 一种设备指纹生成方法、装置、设备和介质 | |
| CN111581661A (zh) | 基于生物特征识别的终端管理方法、装置、计算机设备 | |
| EP2896005A1 (en) | Multi-factor profile and security fingerprint analysis | |
| CN111784355B (zh) | 一种基于边缘计算的交易安全性验证方法及装置 | |
| RU2659736C1 (ru) | Система и способ выявления новых устройств при взаимодействии пользователя с банковскими сервисами | |
| CN112152997B (zh) | 面向设备识别的双因子认证方法、系统、介质及服务端 | |
| CN113239333A (zh) | 基于跨域资源访问的浏览器用户身份验证的方法及系统 | |
| CN107977570A (zh) | 信息验证方法、装置、电子设备及存储介质 | |
| CN107370769B (zh) | 用户认证方法及系统 | |
| CN111737580B (zh) | 信息验证方法、装置、计算机设备和可读存储介质 | |
| CN112272195B (zh) | 一种动态检测认证系统及其方法 | |
| JP3923268B2 (ja) | 不正クライアント判別装置 | |
| Rithvik et al. | Fingerprint Password Method Provides Improved Accuracy over Token-based Authentication for Efficient and Secure File Transfers | |
| CN118171252A (zh) | 身份识别方法、装置、计算机设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |