CN112989333A - 一种安全认证方法及系统 - Google Patents

一种安全认证方法及系统 Download PDF

Info

Publication number
CN112989333A
CN112989333A CN202110503190.9A CN202110503190A CN112989333A CN 112989333 A CN112989333 A CN 112989333A CN 202110503190 A CN202110503190 A CN 202110503190A CN 112989333 A CN112989333 A CN 112989333A
Authority
CN
China
Prior art keywords
authentication
data
risk
risk assessment
service process
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110503190.9A
Other languages
English (en)
Other versions
CN112989333B (zh
Inventor
刘铜强
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Antai Weiao Information Technology Co ltd
Original Assignee
Beijing Antai Weiao Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Antai Weiao Information Technology Co ltd filed Critical Beijing Antai Weiao Information Technology Co ltd
Priority to CN202110503190.9A priority Critical patent/CN112989333B/zh
Publication of CN112989333A publication Critical patent/CN112989333A/zh
Application granted granted Critical
Publication of CN112989333B publication Critical patent/CN112989333B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/903Querying
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • G06F17/10Complex mathematical operations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Mathematical Physics (AREA)
  • Computing Systems (AREA)
  • Computational Linguistics (AREA)
  • Algebra (AREA)
  • Computational Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Pure & Applied Mathematics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本申请提供一种安全认证方法及系统,该方法包括如下步骤:采集预先生成的认证业务进程相关联的风险评估数据;其中,风险评估数据包括:服务器端运行风险评估特征数据和外部风险特征数据;根据风险评估数据,计算认证业务进程的第一风险评估值;比较第一风险评估值和预设第一风险阈值的大小,若第一风险评估值大于预设第一风险阈值,则禁止执行认证业务进程,否则,根据第一风险评估值的大小,为待执行认证业务进程列表匹配对应的子认证业务进程;执行待执行认证业务进程列表中的子认证业务进程,进行认证。本申请通过计算系统的风险评估值,为系统设定不同等级的认证业务进程,提高了系统认证的安全性。

Description

一种安全认证方法及系统
技术领域
本申请涉及数据处理技术领域,尤其涉及一种安全认证方法及系统。
背景技术
随着科学技术的发展,越来越多的商企信息和个人信息都存储在设备终端,为了防止商企信息和个人信息被泄露,需要对用户操作进行合法性认证,合法性认证常采用设置密码/口令等认证信息进行认证然而,认证过程会被非法盗取信息的人员进行网络性的攻击,密码/口令等认证信息容易被非法盗取人员盗取和破解,非法认证成功后,导致商企信息和个人信息被泄露,存在较大的安全隐患。因此,提高认证的安全性,对用户认证风险进行评估是迫切需要的。
发明内容
本申请的目的在于提供一种安全认证方法及系统,该安全认证方法通过计算系统的风险评估值,为系统设定不同等级的认证业务进程,提高了系统认证的安全性。
为达到上述目的,本申请提供一种安全认证方法,该方法包括如下步骤:采集预先生成的认证业务进程相关联的风险评估数据;其中,风险评估数据包括:服务器端运行风险评估特征数据和外部风险特征数据;根据风险评估数据,计算认证业务进程的第一风险评估值;比较第一风险评估值和预设第一风险阈值的大小,若第一风险评估值大于预设第一风险阈值,则禁止执行认证业务进程,否则,根据第一风险评估值的大小,为待执行认证业务进程列表匹配对应的子认证业务进程;执行待执行认证业务进程列表中的子认证业务进程,进行认证。
如上的,其中,该方法还包括如下步骤:采集执行子认证业务进程的认证相关数据;根据采集的认证相关数据和所述第一风险评估值,计算第二风险评估值;比较第二风险评估值和预设第二风险阈值的大小,若第二风险评估值大于预设第二风险阈值,则为认证业务进程增加一个高安全级别的子认证业务进程,并重新返回计算第二风险评估值,否则,判断系统是否认证通过。
如上的,其中,服务器端运行风险评估特征数据包括服务器运行进程是否中断、认证业务进程运行时服务器的漏洞数据;外部风险特征数据的类别包括IP地址、MAC地址、用户名、端口、外部插入链接和外部插入代码。
如上的,其中,外部风险特征数据的获取方法为:采集服务器端的外部数据;将采集的服务器端的外部数据与预先构建恶意数据库中的数据进行比较,获得服务器端的外部数据中的恶意特征数据;将采集的服务器端的外部数据与预先构建的授权数据库中的数据进行比较,获得服务器端的外部数据中的授权特征数据。
如上的,其中,认证业务进程的第一风险评估值的计算公式为:
Figure 169201DEST_PATH_IMAGE001
其中,
Figure 642907DEST_PATH_IMAGE002
表示第一风险评估值;
Figure 346421DEST_PATH_IMAGE003
表示服务器端运行情况对第一风险评估值的影响权重;
Figure 32617DEST_PATH_IMAGE004
表示服务器端入侵情况对第一风险评估值的影响权重;I表示子认证业务进程的总个数;
Figure 770766DEST_PATH_IMAGE005
表示第
Figure 149795DEST_PATH_IMAGE006
个子认证业务进程的中断风险因子,若子认证业务进程中断,则该子认证业务进程的中断风险因子为1,若子认证业务进程未中断,则该子认证业务进程的中断风险因子为0.1;
Figure 340605DEST_PATH_IMAGE007
表示第
Figure 830492DEST_PATH_IMAGE006
个子认证业务进程运行时服务器存在的漏洞个数;
Figure 157568DEST_PATH_IMAGE008
表示第
Figure 707498DEST_PATH_IMAGE006
个子认证业务进程运行时服务器的漏洞的风险总值;j表示第j种外部风险特征数据;J表示外部风险特征数据的种类总个数;
Figure 385604DEST_PATH_IMAGE009
表示第j种外部风险特征数据的影响权重;e=2.718;
Figure 679182DEST_PATH_IMAGE010
表示第j种外部风险特征数据中属于恶意数据库中数据的个数;
Figure 126344DEST_PATH_IMAGE011
表示第j种外部风险特征数据中属于授权数据库中数据的个数;
Figure 581596DEST_PATH_IMAGE012
表示第j种外部风险特征数据中既不属于恶意数据也不属于授权数据的个数;
Figure 12578DEST_PATH_IMAGE013
表示恶意特征数据的影响因子;
Figure 844267DEST_PATH_IMAGE014
表示授权特征数据的影响因子。
如上的,其中,服务器的漏洞的风险总值计算公式如下:
Figure 411515DEST_PATH_IMAGE015
其中,
Figure 37668DEST_PATH_IMAGE016
表示第
Figure 690367DEST_PATH_IMAGE006
个子认证业务进程运行时服务器的漏洞的风险总值;
Figure 325747DEST_PATH_IMAGE017
表示第
Figure 481922DEST_PATH_IMAGE006
个子认证业务进程运行时服务器存在的漏洞种类数量;
Figure 544556DEST_PATH_IMAGE018
表示第
Figure 418971DEST_PATH_IMAGE006
个子认证业务进程运行时服务器存在的第
Figure 858043DEST_PATH_IMAGE006
个子认证业务进程第n种漏洞的数量;n表示第几种漏洞,
Figure 134303DEST_PATH_IMAGE019
表示第n种漏洞的风险值。
如上的,其中,为待执行认证业务进程列表匹配对应的子认证业务进程的方法包括:
根据第一风险评估值和预设的安全等级范围值,判断第一风险评估值所属的安全等级;
根据第一风险评估值所属的安全等级,为待执行认证业务进程列表匹配对应的子认证业务进程。
如上的,其中,采集执行子认证业务进程的认证相关数据包括采集认证操作数据和认证内容数据。
本申请还提供一种安全认证系统,该系统包括:采集装置,用于采集预先生成的认证业务进程相关联的风险评估数据;其中,风险评估数据包括:服务器端运行风险评估特征数据和外部风险特征数据;数据处理器,用于根据风险评估数据,计算认证业务进程的第一风险评估值;比较器,用于比较第一风险评估值和预设第一风险阈值的大小,若第一风险评估值大于预设第一风险阈值,则禁止执行认证业务进程,否则,根据第一风险评估值的大小,为待执行认证业务进程列表匹配对应的子认证业务进程;认证模块,用于执行待执行认证业务进程列表中的子认证业务进程,进行认证。
如上的,其中,采集装置,还用于采集执行子认证业务进程的认证相关数据;数据处理器,还用于根据采集的认证相关数据和所述第一风险评估值,计算第二风险评估值;比较器,还用于比较第二风险评估值和预设第二风险阈值的大小,若第二风险评估值大于预设第二风险阈值,则为认证业务进程增加一个高安全级别的子认证业务进程,并重新返回计算第二风险评估值,否则,判断系统是否认证通过;认证判断模块,还用于判断系统是否认证通过。
本申请实现的有益效果如下:
(1)本申请采集生成认证业务进程相关联的风险评估数据,风险评估数据包括服务器端运行风险评估特征数据和外部风险特征数据,根据采集的风险评估数据计算第一风险评估值,根据第一风险评估值判断系统的风险级别,根据风险级别为系统设定合理的认证进程,根据风险判断的结果最大程度上规避认证时的风险,从而提高系统的安全性。
(2)本申请采集执行认证业务进程时的认证操作相关数据,进一步计算在认证操作过程中的第二风险评估值,根据第二风险评估值,评估是否需要向系统增加一个级别的子认证业务进程,根据风险判断的结果最大程度上规避认证时的风险,从而进一步提高系统的安全性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域技术人员来讲,还可以根据这些附图获得其他的附图。
图1为本申请实施例的一种安全认证方法。
图2为本申请实施例的外部风险特征数据的获取方法。
图3为本申请实施例的执行待执行认证业务进程列表中的子认证业务进程方法。
图4为本申请实施例的一种安全认证系统。
附图标记:10-采集装置;20-数据处理器;30-比较器;40-认证判断模块;100-安全认证系统。
具体实施方式
下面结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
实施例一
如图1所示,本申请提供一种安全认证方法,该方法包括如下步骤:
步骤S1,采集预先生成的认证业务进程相关联的风险评估数据。
具体的,预先生成认证业务进程的方法为:在服务器端,生成认证业务进程,认证业务进程包括多个子认证业务进程。
具体的,采集服务器端认证业务进程相关联的风险评估数据,并将获取的风险评估数据存储至存储器。
根据本发明的一个具体实施例,风险评估数据包括:服务器端运行风险评估特征数据和外部风险特征数据。服务器端运行风险评估特征数据包括服务器运行进程是否中断、认证业务进程运行时服务器的漏洞数据等。外部风险特征数据包括恶意特征数据、授权特征数据和既不属于恶意特征数据也不数据授权特征数据的数据,外部风险特征数据的类别包括IP地址、MAC地址、用户名、端口、外部插入链接和外部插入代码等。此处,不限定外部风险特征数据的类别的种类。
如图2所示,根据本发明的一个具体实施例,外部风险特征数据的获取方法为:
步骤S110,采集服务器端的外部数据,外部数据类别包括IP地址、MAC地址、用户名、端口、链接和代码等。
步骤S120,将采集的服务器端的外部数据与预先构建恶意数据库中的数据进行比较,获得服务器端的外部数据中的恶意特征数据。
若采集的服务器端的外部数据与预先构建恶意数据库中的数据比较一致,则为恶意特征数据。
步骤S130,将采集的服务器端的外部数据与预先构建的授权数据库中的数据进行比较,获得服务器端的外部数据中的授权特征数据。
若采集的服务器端的外部数据与预先构建的授权数据库中的数据比较一致,则为授权特征数据。
具体的,根据采集的服务器端的外部数据与预先构建恶意数据库中的恶意数据进行比较,若存在一致的数据,则判断该外部数据为恶意数据;根据获取的服务器端的外部数据与预先构建授权数据库中的授权数据进行比较,若存在一致的数据,则判断该外部数据为授权数据。
其中,预先构建恶意数据库,恶意数据库中存储有恶意数据,恶意数据包括:历史盗取事件相关的盗取终端的盗取事件发生的时间、恶意IP地址、恶意MAC地址、恶意用户名、恶意端口,以及恶意链接和恶意代码等。
其中,授权数据库中包括授权数据,授权数据包括授权IP地址、授权MAC地址、授权用户名、授权端口、授权链接和授权代码等。
步骤S2,根据风险评估数据,计算认证业务进程的第一风险评估值。
具体的,认证业务进程的第一风险评估值的计算公式为:
Figure 367839DEST_PATH_IMAGE020
其中,
Figure 729550DEST_PATH_IMAGE021
表示第一风险评估值;
Figure 706733DEST_PATH_IMAGE022
表示服务器端运行情况对第一风险评估值的影响权重;
Figure 837500DEST_PATH_IMAGE023
表示服务器端入侵情况对第一风险评估值的影响权重;
Figure 241937DEST_PATH_IMAGE024
Figure 90944DEST_PATH_IMAGE023
之和为1;I表示子认证业务进程的总个数;
Figure 606239DEST_PATH_IMAGE025
表示第
Figure 857092DEST_PATH_IMAGE026
个子认证业务进程的中断风险因子,若子认证业务进程中断,则该子认证业务进程的中断风险因子为1,若子认证业务进程未中断,则该子认证业务进程的中断风险因子为0.1;
Figure 432429DEST_PATH_IMAGE027
表示第
Figure 768733DEST_PATH_IMAGE026
个子认证业务进程运行时服务器存在的漏洞个数;
Figure 87719DEST_PATH_IMAGE028
表示第
Figure 193078DEST_PATH_IMAGE026
个子认证业务进程运行时服务器的漏洞的风险总值;j表示第j种外部风险特征数据;J表示外部风险特征数据的种类总个数;
Figure 939317DEST_PATH_IMAGE029
表示第j种外部风险特征数据的影响权重;所有种类外部风险特征数据的影响权重之和为1;e=2.718;
Figure 497337DEST_PATH_IMAGE030
表示第j种外部风险特征数据中属于恶意数据库中数据的个数;
Figure 620014DEST_PATH_IMAGE031
表示第j种外部风险特征数据中属于授权数据库中数据的个数;
Figure 579880DEST_PATH_IMAGE032
表示第j种外部风险特征数据中既不属于恶意数据也不属于授权数据的个数;
Figure 497020DEST_PATH_IMAGE033
表示恶意特征数据的影响因子;
Figure 807916DEST_PATH_IMAGE034
表示授权特征数据的影响因子。
其中,服务器的漏洞的风险总值计算公式如下:
Figure 468704DEST_PATH_IMAGE035
其中,
Figure 283077DEST_PATH_IMAGE036
表示第
Figure 636698DEST_PATH_IMAGE037
个子认证业务进程运行时服务器的漏洞的风险总值;
Figure 169310DEST_PATH_IMAGE038
表示第
Figure 633790DEST_PATH_IMAGE037
个子认证业务进程运行时服务器存在的漏洞种类数量;
Figure 302668DEST_PATH_IMAGE039
表示第
Figure 827191DEST_PATH_IMAGE037
个子认证业务进程运行时服务器存在的第
Figure 847099DEST_PATH_IMAGE037
个子认证业务进程第n种漏洞的数量;n表示第几种漏洞,
Figure 849690DEST_PATH_IMAGE040
表示第n种漏洞的风险值。具体的,根据漏洞的种类不同,漏洞对服务器的运行风险不同,漏洞的风险值也不同。漏洞对服务器的运行风险影响越大,漏洞的风险值越大。漏洞的风险值为根据漏洞对服务器的运行风险影响的程度预先设定。
步骤S3,比较第一风险评估值和预设第一风险阈值的大小,若第一风险评估值大于预设第一风险阈值,则禁止执行认证业务进程,并将禁止执行的认证业务进程的相关信息存储至存储器,否则,执行下一步。
具体的,禁止执行认证业务进程后则输出认证不通过的指示内容。
步骤S4,根据第一风险评估值的大小,为待执行认证业务进程列表匹配对应的子认证业务进程。
其中,认证业务进程包括一个或多个子认证业务进程。子认证业务进程包括安全等级由低到高的第一子认证业务进程、第二子认证业务进程、第三子认证业务进程和第四子认证业务进程等,此处不限制子认证业务进程的个数,本领域的技术人员可以根据实际情况设定子认证业务进程的个数。
例如,子认证业务进程包括口令、密码、图形和短信等。
具体的,步骤S4包括如下子步骤:
步骤S410,根据第一风险评估值和预设的安全等级范围值,判断第一风险评估值所属的安全等级。
值得注意的是,第一风险评估值越大,则其所属的安全等级越高,认证过程的安全等级越高。
步骤S420,根据第一风险评估值所属的安全等级,为待执行认证业务进程列表匹配对应的子认证业务进程。
具体的,为认证业务进程匹配对应的子认证业务进程的方法为:若第一风险评估值所属的安全等级为第一等级,则为认证业务进程匹配第一子认证业务进程;若第一风险评估值所属的安全等级为第二等级,则为认证业务进程匹配第一子认证业务进程和第二子认证业务进程;若第一风险评估值所属的安全等级为第三等级,则为认证业务进程匹配第一子认证业务进程、第二子认证业务进程和第三子认证业务进程;若第一风险评估值所属的安全等级为第四等级,则为认证业务进程匹配第一子认证业务进程、第二子认证业务进程、第三子认证业务进程和第四子认证业务进程。
步骤S5,执行待执行认证业务进程列表中的子认证业务进程,并采集执行子认证业务进程的认证相关数据。
具体的,执行匹配后的子认证业务进程的认证业务进程,并获取执行每一个子认证业务进程的认证相关数据。
作为本发明的具体实施例,认证相关数据包括认证操作数据和认证内容数据。
作为本发明的具体实施例,认证操作数据包括认证操作次数和每次认证操作的时长。
如图3所示,步骤S5包括如下子步骤:
步骤S510,根据安全等级由低到高的顺序,依次执行所有的子认证业务进程。
步骤S520,在执行子认证业务进程的过程中采集其认证相关数据。
步骤S530,将采集的认证相关数据存储至存储器。
步骤S6,根据采集的认证相关数据和第一风险评估值,计算第二风险评估值。
具体的,根据采集的认证操作数据、认证内容数据和第一风险评估值,计算第二风险评估值。
具体的,第二风险评估值的计算公式如下:
Figure 638655DEST_PATH_IMAGE041
其中,
Figure 334078DEST_PATH_IMAGE042
表示第二风险评估值;
Figure 575704DEST_PATH_IMAGE043
表示第一风险评估值;
Figure 381986DEST_PATH_IMAGE044
表示第
Figure 291036DEST_PATH_IMAGE044
个子认证业务进程;G表示执行的认证业务进程中包含的子认证业务进程总个数;
Figure 891781DEST_PATH_IMAGE045
表示第
Figure 886282DEST_PATH_IMAGE044
个子认证业务进程认证错误的频次;
Figure 230676DEST_PATH_IMAGE046
表示预设第
Figure 994233DEST_PATH_IMAGE044
个子认证业务进程的认证风险权重;
Figure 765880DEST_PATH_IMAGE047
表示认证第
Figure 247676DEST_PATH_IMAGE044
个子认证业务进程的操作总次数;m表示认证第
Figure 395761DEST_PATH_IMAGE044
个子认证业务进程的第m次操作;
Figure 13824DEST_PATH_IMAGE048
表示认证第
Figure 221952DEST_PATH_IMAGE049
个子认证业务进程时第m次认证未通过操作的时长;
Figure 925465DEST_PATH_IMAGE050
表示认证第
Figure 611662DEST_PATH_IMAGE049
个子认证业务进程时第m次认证通过操作的时长;
Figure 349811DEST_PATH_IMAGE051
表示认证第
Figure 463260DEST_PATH_IMAGE049
个子认证业务进程标准时长;Z cim 表示认证第
Figure 654070DEST_PATH_IMAGE049
个子认证业务进程第m次操作输入的认证内容的错误字符总数量;Z i 表示认证第
Figure 409536DEST_PATH_IMAGE049
个子认证业务进程所需的认证内容的字符总数量;e=2.718。
步骤S7,比较第二风险评估值和预设第二风险阈值的大小,若第二风险评估值大于预设第二风险阈值,则为待执行认证业务进程列表增加一个高安全级别的子认证业务进程,并返回执行步骤S6,否则,执行下一步。
步骤S8,根据认证相关数据中的认证内容数据,以及标准认证数据,判断是否认证通过。
具体的,若待执行认证业务进程列表中所有子认证业务进程的认证内容数据与标准认证数据中对应的数据完全一致,则认证通过,否则,认证不通过。
具体的, 若认证通过,则输出认证通过的指示内容,若认证不通过,则输出认证不通过的指示内容。
实施例二
如图4所示,本申请提供一种安全认证系统100,该系统包括:
采集装置10,用于采集预先生成的认证业务进程相关联的风险评估数据;其中,风险评估数据包括:服务器端运行风险评估特征数据和外部风险特征数据。
数据处理器20,用于根据风险评估数据,计算认证业务进程的第一风险评估值。
比较器30,用于比较第一风险评估值和预设第一风险阈值的大小,若第一风险评估值大于预设第一风险阈值,则禁止执行认证业务进程,否则,根据第一风险评估值的大小,为待执行认证业务进程列表匹配对应的子认证业务进程。
认证判断模块40,用于执行待执行认证业务进程列表中的子认证业务进程,进行认证。
具体的,认证业务进程的第一风险评估值的计算公式为:
Figure 2192DEST_PATH_IMAGE052
其中,
Figure 552122DEST_PATH_IMAGE053
表示第一风险评估值;
Figure 230228DEST_PATH_IMAGE054
表示服务器端运行情况对第一风险评估值的影响权重;
Figure 258227DEST_PATH_IMAGE055
表示服务器端入侵情况对第一风险评估值的影响权重;
Figure 705388DEST_PATH_IMAGE054
Figure 426220DEST_PATH_IMAGE055
之和为1;I表示子认证业务进程的总个数;
Figure 591622DEST_PATH_IMAGE056
表示第
Figure 423312DEST_PATH_IMAGE057
个子认证业务进程的中断风险因子,若子认证业务进程中断,则该子认证业务进程的中断风险因子为1,若子认证业务进程未中断,则该子认证业务进程的中断风险因子为0.1;
Figure 724980DEST_PATH_IMAGE058
表示第
Figure 616713DEST_PATH_IMAGE057
个子认证业务进程运行时服务器存在的漏洞个数;
Figure 269411DEST_PATH_IMAGE059
表示第
Figure 639212DEST_PATH_IMAGE057
个子认证业务进程运行时服务器的漏洞的风险总值;j表示第j种外部风险特征数据;J表示外部风险特征数据的种类总个数;
Figure 60966DEST_PATH_IMAGE060
表示第j种外部风险特征数据的影响权重;所有种类外部风险特征数据的影响权重之和为1;e=2.718;
Figure 123600DEST_PATH_IMAGE061
表示第j种外部风险特征数据中属于恶意数据库中数据的个数;
Figure 732436DEST_PATH_IMAGE062
表示第j种外部风险特征数据中属于授权数据库中数据的个数;
Figure 171508DEST_PATH_IMAGE063
表示第j种外部风险特征数据中既不属于恶意数据也不属于授权数据的个数;
Figure 447768DEST_PATH_IMAGE064
表示恶意特征数据的影响因子;
Figure 681304DEST_PATH_IMAGE065
表示授权特征数据的影响因子。
其中,服务器的漏洞的风险总值计算公式如下:
Figure 43015DEST_PATH_IMAGE066
其中,
Figure 754619DEST_PATH_IMAGE067
表示第
Figure 150965DEST_PATH_IMAGE068
个子认证业务进程运行时服务器的漏洞的风险总值;
Figure 555402DEST_PATH_IMAGE069
表示第
Figure 404409DEST_PATH_IMAGE068
个子认证业务进程运行时服务器存在的漏洞种类数量;
Figure 185283DEST_PATH_IMAGE070
表示第
Figure 436136DEST_PATH_IMAGE068
个子认证业务进程运行时服务器存在的第
Figure 11474DEST_PATH_IMAGE068
个子认证业务进程第n种漏洞的数量;n表示第几种漏洞,
Figure 347777DEST_PATH_IMAGE071
表示第n种漏洞的风险值。具体的,根据漏洞的种类不同,漏洞对服务器的运行风险不同,漏洞的风险值也不同。漏洞对服务器的运行风险影响越大,漏洞的风险值越大。漏洞的风险值为根据漏洞对服务器的运行风险影响的程度预先设定。
采集装置10,还用于采集执行子认证业务进程的认证相关数据。
数据处理器20,还用于根据采集的认证相关数据和所述第一风险评估值,计算第二风险评估值。
比较器30,还用于比较第二风险评估值和预设第二风险阈值的大小,若第二风险评估值大于预设第二风险阈值,则为认证业务进程增加一个高安全级别的子认证业务进程,并重新返回计算第二风险评估值,否则,判断系统是否认证通过。
认证判断模块40,还用于判断系统是否认证通过。
具体的,第二风险评估值的计算公式如下:
Figure 401184DEST_PATH_IMAGE072
其中,
Figure 772122DEST_PATH_IMAGE073
表示第二风险评估值;
Figure 518361DEST_PATH_IMAGE074
表示第一风险评估值;
Figure 76382DEST_PATH_IMAGE075
表示第
Figure 933479DEST_PATH_IMAGE075
个子认证业务进程;G表示执行的认证业务进程中包含的子认证业务进程总个数;
Figure 893345DEST_PATH_IMAGE076
表示第
Figure 810485DEST_PATH_IMAGE075
个子认证业务进程认证错误的频次;
Figure 121381DEST_PATH_IMAGE077
表示预设第
Figure 782170DEST_PATH_IMAGE075
个子认证业务进程的认证风险权重;
Figure 596542DEST_PATH_IMAGE078
表示认证第
Figure 950163DEST_PATH_IMAGE075
个子认证业务进程的操作总次数;m表示认证第
Figure 482775DEST_PATH_IMAGE075
个子认证业务进程的第m次操作;
Figure 970692DEST_PATH_IMAGE079
表示认证第
Figure 639571DEST_PATH_IMAGE075
个子认证业务进程时第m次认证未通过操作的时长;
Figure 164093DEST_PATH_IMAGE080
表示认证第
Figure 918423DEST_PATH_IMAGE075
个子认证业务进程时第m次认证通过操作的时长;
Figure 186593DEST_PATH_IMAGE081
表示认证第
Figure 975557DEST_PATH_IMAGE075
个子认证业务进程标准时长;Z cim 表示认证第
Figure 405402DEST_PATH_IMAGE075
个子认证业务进程第m次操作输入的认证内容的错误字符总数量;Z i 表示认证第
Figure 912606DEST_PATH_IMAGE075
个子认证业务进程所需的认证内容的字符总数量;e=2.718。
本申请实现的有益效果如下:
(1)本申请采集生成认证业务进程相关联的风险评估数据,风险评估数据包括服务器端运行风险评估特征数据和外部风险特征数据,根据采集的风险评估数据计算第一风险评估值,根据第一风险评估值判断系统的风险级别,根据风险级别为系统设定合理的认证进程,从而提高系统的安全性。
(2)本申请采集执行认证业务进程时的认证操作相关数据,进一步计算在认证操作过程中的第二风险评估值,根据第二风险评估值,评估是否需要向系统增加一个级别的子认证业务进程,从而进一步提高系统的安全性。
上所述仅为本发明的实施方式而已,并不用于限制本发明。对于本领域技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原理的内所做的任何修改、等同替换、改进等,均应包括在本发明的权利要求范围之内。

Claims (10)

1.一种安全认证方法,其特征在于,该方法包括如下步骤:
采集预先生成的认证业务进程相关联的风险评估数据;其中,风险评估数据包括:服务器端运行风险评估特征数据和外部风险特征数据;
根据风险评估数据,计算认证业务进程的第一风险评估值;
比较第一风险评估值和预设第一风险阈值的大小,若第一风险评估值大于预设第一风险阈值,则禁止执行认证业务进程,否则,根据第一风险评估值的大小,为待执行认证业务进程列表匹配对应的子认证业务进程;
执行待执行认证业务进程列表中的子认证业务进程,进行认证。
2.根据权利要求1所述的安全认证方法,其特征在于,该方法还包括如下步骤:
采集执行子认证业务进程的认证相关数据;
根据采集的认证相关数据和所述第一风险评估值,计算第二风险评估值;
比较第二风险评估值和预设第二风险阈值的大小,若第二风险评估值大于预设第二风险阈值,则为认证业务进程增加一个高安全级别的子认证业务进程,并重新返回计算第二风险评估值,否则,判断系统是否认证通过。
3.根据权利要求1所述的安全认证方法,其特征在于,服务器端运行风险评估特征数据包括服务器运行进程是否中断、认证业务进程运行时服务器的漏洞数据;外部风险特征数据的类别包括IP地址、MAC地址、用户名、端口、外部插入链接和外部插入代码。
4.根据权利要求1所述的安全认证方法,其特征在于,外部风险特征数据的获取方法为:
采集服务器端的外部数据;
将采集的服务器端的外部数据与预先构建恶意数据库中的数据进行比较,获得服务器端的外部数据中的恶意特征数据;
将采集的服务器端的外部数据与预先构建的授权数据库中的数据进行比较,获得服务器端的外部数据中的授权特征数据。
5.根据权利要求1所述的安全认证方法,其特征在于,认证业务进程的第一风险评估值的计算公式为:
Figure 529690DEST_PATH_IMAGE001
其中,
Figure 712410DEST_PATH_IMAGE002
表示第一风险评估值;
Figure 757726DEST_PATH_IMAGE003
表示服务器端运行情况对第一风险评估值的影响权重;
Figure 418514DEST_PATH_IMAGE004
表示服务器端入侵情况对第一风险评估值的影响权重;I表示子认证业务进程的总个数;
Figure 498466DEST_PATH_IMAGE005
表示第
Figure 586508DEST_PATH_IMAGE006
个子认证业务进程的中断风险因子,若子认证业务进程中断,则该子认证业务进程的中断风险因子为1,若子认证业务进程未中断,则该子认证业务进程的中断风险因子为0.1;
Figure 119120DEST_PATH_IMAGE007
表示第
Figure 583600DEST_PATH_IMAGE006
个子认证业务进程运行时服务器存在的漏洞个数;
Figure 518058DEST_PATH_IMAGE008
表示第
Figure 777001DEST_PATH_IMAGE006
个子认证业务进程运行时服务器的漏洞的风险总值;j表示第j种外部风险特征数据;J表示外部风险特征数据的种类总个数;
Figure 796909DEST_PATH_IMAGE009
表示第j种外部风险特征数据的影响权重;e=2.718;
Figure 799500DEST_PATH_IMAGE010
表示第j种外部风险特征数据中属于恶意数据库中数据的个数;
Figure 588465DEST_PATH_IMAGE011
表示第j种外部风险特征数据中属于授权数据库中数据的个数;
Figure 283888DEST_PATH_IMAGE012
表示第j种外部风险特征数据中既不属于恶意数据也不属于授权数据的个数;
Figure 791093DEST_PATH_IMAGE013
表示恶意特征数据的影响因子;
Figure 331796DEST_PATH_IMAGE014
表示授权特征数据的影响因子。
6.根据权利要求5所述的安全认证方法,其特征在于,服务器的漏洞的风险总值计算公式如下:
Figure 240846DEST_PATH_IMAGE015
其中,
Figure 841591DEST_PATH_IMAGE016
表示第
Figure 836092DEST_PATH_IMAGE017
个子认证业务进程运行时服务器的漏洞的风险总值;
Figure 180486DEST_PATH_IMAGE018
表示第
Figure 209622DEST_PATH_IMAGE017
个子认证业务进程运行时服务器存在的漏洞种类数量;
Figure 246848DEST_PATH_IMAGE019
表示第
Figure 463066DEST_PATH_IMAGE017
个子认证业务进程运行时服务器存在的第个子认证业务进程第n种漏洞的数量;n表示第几种漏洞,
Figure 611150DEST_PATH_IMAGE020
表示第n种漏洞的风险值。
7.根据权利要求1所述的安全认证方法,其特征在于,为待执行认证业务进程列表匹配对应的子认证业务进程的方法包括:
根据第一风险评估值和预设的安全等级范围值,判断第一风险评估值所属的安全等级;
根据第一风险评估值所属的安全等级,为待执行认证业务进程列表匹配对应的子认证业务进程。
8.根据权利要求2所述的安全认证方法,其特征在于,采集执行子认证业务进程的认证相关数据包括采集认证操作数据和认证内容数据。
9.一种安全认证系统,用于执行1-8任意一项所述方法,其特征在于,该系统包括:
采集装置,用于采集预先生成的认证业务进程相关联的风险评估数据;其中,风险评估数据包括:服务器端运行风险评估特征数据和外部风险特征数据;
数据处理器,用于根据风险评估数据,计算认证业务进程的第一风险评估值;
比较器,用于比较第一风险评估值和预设第一风险阈值的大小,若第一风险评估值大于预设第一风险阈值,则禁止执行认证业务进程,否则,根据第一风险评估值的大小,为待执行认证业务进程列表匹配对应的子认证业务进程;
认证模块,用于执行待执行认证业务进程列表中的子认证业务进程,进行认证。
10.根据权利要求9所述的安全认证系统,其特征在于,
采集装置,还用于采集执行子认证业务进程的认证相关数据;
数据处理器,还用于根据采集的认证相关数据和所述第一风险评估值,计算第二风险评估值;
比较器,还用于比较第二风险评估值和预设第二风险阈值的大小,若第二风险评估值大于预设第二风险阈值,则为认证业务进程增加一个高安全级别的子认证业务进程,并重新返回计算第二风险评估值,否则,判断系统是否认证通过;
认证判断模块,还用于判断系统是否认证通过。
CN202110503190.9A 2021-05-10 2021-05-10 一种安全认证方法及系统 Active CN112989333B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110503190.9A CN112989333B (zh) 2021-05-10 2021-05-10 一种安全认证方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110503190.9A CN112989333B (zh) 2021-05-10 2021-05-10 一种安全认证方法及系统

Publications (2)

Publication Number Publication Date
CN112989333A true CN112989333A (zh) 2021-06-18
CN112989333B CN112989333B (zh) 2021-08-03

Family

ID=76337356

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110503190.9A Active CN112989333B (zh) 2021-05-10 2021-05-10 一种安全认证方法及系统

Country Status (1)

Country Link
CN (1) CN112989333B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115021996A (zh) * 2022-05-26 2022-09-06 云盾智慧安全科技有限公司 云安全中心的态势感知与动态重构方法、装置及存储介质

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080015978A1 (en) * 2006-06-14 2008-01-17 Curry Edith L Methods of monitoring behavior/activity of an individual associated with an organization
US20170289134A1 (en) * 2016-03-30 2017-10-05 Ping Identity Corporation Methods and apparatus for assessing authentication risk and implementing single sign on (sso) using a distributed consensus database
CN108959933A (zh) * 2017-05-25 2018-12-07 三星Sds株式会社 用于基于风险的认证的风险分析装置及方法
CN109302396A (zh) * 2018-10-10 2019-02-01 西安邮电大学 一种基于风险评估的网络安全态势感知方法
CN109933990A (zh) * 2019-03-12 2019-06-25 国网新疆电力有限公司电力科学研究院 基于多模式匹配的安全漏洞发现方法、装置及电子设备
US20190319945A1 (en) * 2018-04-13 2019-10-17 Sophos Limited Dynamic multi-factor authentication
US20200294055A1 (en) * 2014-09-16 2020-09-17 Mastercard International Incorporated Systems and methods for providing risk based decisioning service to a merchant
CN112559996A (zh) * 2021-02-23 2021-03-26 北京安泰伟奥信息技术有限公司 一种动态认证的风险检测方法及其系统
CN112600908A (zh) * 2020-12-07 2021-04-02 南京指掌易信息科技有限公司 一种通信链路的获取方法、装置、设备及存储介质

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080015978A1 (en) * 2006-06-14 2008-01-17 Curry Edith L Methods of monitoring behavior/activity of an individual associated with an organization
US20200294055A1 (en) * 2014-09-16 2020-09-17 Mastercard International Incorporated Systems and methods for providing risk based decisioning service to a merchant
US20170289134A1 (en) * 2016-03-30 2017-10-05 Ping Identity Corporation Methods and apparatus for assessing authentication risk and implementing single sign on (sso) using a distributed consensus database
CN108959933A (zh) * 2017-05-25 2018-12-07 三星Sds株式会社 用于基于风险的认证的风险分析装置及方法
US20190319945A1 (en) * 2018-04-13 2019-10-17 Sophos Limited Dynamic multi-factor authentication
CN109302396A (zh) * 2018-10-10 2019-02-01 西安邮电大学 一种基于风险评估的网络安全态势感知方法
CN109933990A (zh) * 2019-03-12 2019-06-25 国网新疆电力有限公司电力科学研究院 基于多模式匹配的安全漏洞发现方法、装置及电子设备
CN112600908A (zh) * 2020-12-07 2021-04-02 南京指掌易信息科技有限公司 一种通信链路的获取方法、装置、设备及存储介质
CN112559996A (zh) * 2021-02-23 2021-03-26 北京安泰伟奥信息技术有限公司 一种动态认证的风险检测方法及其系统

Non-Patent Citations (7)

* Cited by examiner, † Cited by third party
Title
F. HOFER等: "Reliable and valid measures of threat detection performance in X-ray screening", 《38TH ANNUAL 2004 INTERNATIONAL CARNAHAN CONFERENCE ON SECURITY TECHNOLOGY, 2004》 *
张泽虹: "基于评估流程的信息安全风险的综合评估", 《计算机工程与应用》 *
柯昌博等: "针对Web协同的授权用户风险评估方法", 《计算机应用于与软件》 *
甘玉宇: "基于信任度和风险评估的分布式认证模型", 《中国优秀硕士学位论文全文数据库 信息科技辑》 *
翟亚红: "浅析信息安全风险评估与等级保护的关系", 《信息安全与通信保密》 *
苏富林: "网络信息安全如何进行风险评估", 《甘肃科技纵横》 *
郭洪涛等: "产品认证过程中的风险评估研究", 《信息技术与标准化》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115021996A (zh) * 2022-05-26 2022-09-06 云盾智慧安全科技有限公司 云安全中心的态势感知与动态重构方法、装置及存储介质
CN115021996B (zh) * 2022-05-26 2023-11-21 云盾智慧安全科技有限公司 云安全中心的态势感知与动态重构方法、装置及存储介质

Also Published As

Publication number Publication date
CN112989333B (zh) 2021-08-03

Similar Documents

Publication Publication Date Title
CN103944722B (zh) 一种互联网环境下用户可信行为的识别方法
CN103581105B (zh) 登录验证方法和登录验证系统
CN110149328B (zh) 接口鉴权方法、装置、设备及计算机可读存储介质
CN106453205B (zh) 一种身份验证方法和装置
CN102377756B (zh) 业务访问、鉴权方法及对应的系统、客户端、鉴权服务器
CN110071917B (zh) 用户口令检测方法、设备、装置及存储介质
CN116545650B (zh) 一种网络动态防御方法
CN112989333B (zh) 一种安全认证方法及系统
JP2019036273A (ja) ユーザと銀行サービスとの相互通信中における潜在的に危険なデバイスを識別するシステム及び方法
CN112613893A (zh) 一种用户恶意注册识别方法、系统、设备及介质
WO2017068714A1 (ja) 不正通信制御装置および方法
CN106357657B (zh) 一种签核发起用户管理方法和设备
CN111949363A (zh) 业务访问的管理方法、计算机设备、存储介质及系统
Meriah et al. A survey of quantitative security risk analysis models for computer systems
CN111949952A (zh) 验证码请求处理方法及计算机可读存储介质
CN113411339B (zh) 基于零因子图序列的密码文件泄露的检测方法
CN112765588B (zh) 一种身份识别方法、装置、电子设备及存储介质
CN109862035A (zh) 游戏app账号验证方法及设备
Pöhn et al. Towards an Improved Taxonomy of Attacks Related to Digital Identities and Identity Management Systems
He et al. An attack scenario based approach for software security testing at design stage
CN109981600B (zh) 一种网站加固的安全性评估系统
CN113422776A (zh) 一种面向信息网络安全的主动防御方法及系统
Subari et al. Implementation of Password Guessing Resistant Protocol (PGRP) in improving user login security on Academic Information System
EP3441930A1 (en) System and method of identifying potentially dangerous devices during the interaction of a user with banking services
Banaei et al. A new quantitative model for web service security

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant