CN113111319A - 基于工业控制系统的身份认证系统及方法 - Google Patents

基于工业控制系统的身份认证系统及方法 Download PDF

Info

Publication number
CN113111319A
CN113111319A CN202110369608.1A CN202110369608A CN113111319A CN 113111319 A CN113111319 A CN 113111319A CN 202110369608 A CN202110369608 A CN 202110369608A CN 113111319 A CN113111319 A CN 113111319A
Authority
CN
China
Prior art keywords
user
module
authentication
mobile medium
time
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110369608.1A
Other languages
English (en)
Other versions
CN113111319B (zh
Inventor
刘智勇
陈敏超
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhuhai Hongrui Information Technology Co Ltd
Original Assignee
Zhuhai Hongrui Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhuhai Hongrui Information Technology Co Ltd filed Critical Zhuhai Hongrui Information Technology Co Ltd
Priority to CN202110369608.1A priority Critical patent/CN113111319B/zh
Publication of CN113111319A publication Critical patent/CN113111319A/zh
Application granted granted Critical
Publication of CN113111319B publication Critical patent/CN113111319B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/316User authentication by observing the pattern of computer usage, e.g. typical user behaviour
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Abstract

本发明公开了基于工业控制系统的身份认证系统及方法,包括可查看文件存储模块、可查看文件等级分级模块、移动介质接入检测模块、移动介质标识模块、移动介质认证模块、权限审核授予模块、第一用户身份认证模块、第二用户身份认证模块、用户习惯记录模块、操作记忆恢复模块、身份认证失败预警模块,本发明的有益效果在于:对可查看文件进行分级存储,用户通过第一次认证后,则拥有对相应等级文件的操作权限,检测当前登录设备是否有移动介质接入,若有则对移动介质进行标识并认证,根据移动介质认证结果选择性对用户身份进行第二次认证,第二次认证根据用户习惯进行认证,能够防止越级操作,保证数据不被泄露。

Description

基于工业控制系统的身份认证系统及方法
技术领域
本发明涉及互联网技术领域,具体为基于工业控制系统的身份认证系统及方法。
背景技术
工业控制系统是对诸如图像、语音信号等大数据量、高速率传输的要求,又催生了当前在商业领域风靡的以太网与控制网络的结合,这股工业控制系统的网络化浪潮又使得如今的工业控制系统融合了多种当今流行技术,如嵌入式技术、多标准工业控制网络互联、无线技术等,另外,在信息的生命周期中,会受到各个方面的安全威胁,这些威胁会利用应用环境的脆弱性对应用环境产生不利的影响,因而需要多因素身份验证并强制执行最小权限原则。
现有的工业控制系统中,追求可用性而牺牲安全性,是工业控制系统存在的普遍现象,缺乏完整有效的安全策略与管理流程也给工业控制安全带来了一定的威胁,例如移动存储介质包括笔记本电脑、U盘等设备的随意使用和不严格的访问控制策略。
基于上述问题,亟待提出基于工业控制系统的身份认证系统及方法,通过对可查看文件进行等级分级存储,设立两次用户认证,第一次认证通过之后,授予用户对相应等级文件的可操作权限,并检测当前登录设备是否有移动介质接入,若有则对移动介质进行标识并进行移动介质认证,根据移动介质认证结果选择性对用户身份进行第二次认证,第二次认证根据用户习惯进行认证,限制移动介质的使用并严格控制访问策略,能够防止越级操作,保证数据不被泄露。
发明内容
本发明的目的在于提供基于工业控制系统的身份认证系统及方法,以解决上述背景技术中提出的问题。
为了解决上述技术问题,本发明提供如下技术方案:
基于工业控制系统的身份认证系统,包括可查看文件存储模块、可查看文件等级分级模块、移动介质接入检测模块、移动介质标识模块、移动介质认证模块、权限审核授予模块、第一用户身份认证模块、第二用户身份认证模块、用户习惯记录模块、操作记忆恢复模块、身份认证失败预警模块,所述可查看文件存储模块用于预先存储属性为可查看的文件,所述可查看文件等级分级模块用于对属性为可查看的文件等级进行分级,所述移动介质接入检测模块用于检测当前设备是否有移动介质接入,所述移动介质标识模块用于根据移动介质下载、上传以及删除的文件等级对相应的移动介质进行标识,所述移动介质认证模块用于根据用户身份认证结果以及移动介质标识对相应的移动介质进行认证,认证的同时获取与移动介质标识相对应的用户标识,所述权限审核模块用于对用户身份进行审核并授予与用户身份相对应的操作权限,所述第一用户身份认证模块用于根据用户的基本信息对用户的身份进行第一次认证并获取进行认证用户的用户标识,所述用户标识与用户账号之间存在对应关系,所述第二用户身份认证模块用于根据用户习惯对用户的身份进行第二次认证,所述用户习惯记录模块用于实时记录用户于设备的操作信息,并根据操作信息生成操作习惯特征,所述操作记忆恢复模块用于备份、删除和恢复一定时间段内的用户操作,所述身份认证失败预警模块用于身份认证失败时的预警并进一步对当前用户的可操作权限进行修改限制。
进一步的,所述可查看文件等级分级模块连接所述可查看文件存储模块,所述可查看文件存储模块在存储可查看文件时,根据可查看文件的等级分级对可查看文件进行分级存储,
所述可查看文件存储模块对新生成的可查看文件先进行预存储,所述可查看文件等级分级模块通过所述可查看文件存储模块获取预存储的可查看文件,进一步对获取到的可查看文件进行等级分级,所述可查看文件存储模块根据等级分级对预存储的可查看文件进行分级存储,因为现有的工业控制系统缺乏完整有效的安全策略与管理流程,这给工业控制安全带来了一定的威胁,例如移动存储介质包括笔记本电脑、U盘等设备的随意使用和不严格的访问控制策略,从而将文件进行分级存储,根据不同用户的可查看到的文件级别对文件进行一个分级,用户无法查看文件等级比自身可查看文件等级高的文件,这样就保证了越隐秘的文件越少人知道,而且就算是有人使用该台设备,但是通过用户的身份认证,获取用户的可操作权限,即可查看的文件等级,这样就能避免用户越级查看,规定访问控制策略,保证文件的隐秘性。
进一步的,所述第一用户身份认证模块可通过账号密码方式进行用户的身份认证,
如果当前用户的身份认证通过,则获取当前用户的用户标识与认证通过时的时间节点,并根据所述用户标识获取与当前用户相对应的可查看文件等级,当前用户可对相应的可查看文件等级的文件进行操作;
如果当前用户的身份认证未通过,则获取当前用户的用户标识,将一定时间段内的身份认证视为一次认证过程,将每次因认证未通过而获取用户标识的次数进行累加,在一次认证过程中累计次数超过第一预设值或是在若干次认证过程中累计次数超过第二预设值时,
所述身份认证失败预警模块进行报警提示,且进一步通过所述权限审核授予模块根据当前用户的用户标识对当前用户的可操作权限进行限制,并对当前用户的身份进行审核,如果审核成功,则重新授予与用户身份相对应的操作权限,防止有人冒用他人身份账号进行登录,从而窃取私密文件,但是也不缺乏长期未使用密码登录而忘记的情况,所以限定登录的次数,超过一定次数之后,获取该用户的用户标识,对该用户的可操作权限进行限制,所以即使在限定次数过后想起来了密码,登上了账号,但是本系统已经对用户标志对应的账号可操作权限进行了限制,用户必须通过权限审核,才能重新获得之前的可操作权限,这样就保证了数据的安全性,防止隐私文件泄露。
进一步的,所述第一身份认证模块连接移动介质接入检测模块,所述移动介质接入检测模块通过所述第一身份认证模块获取第一次认证通过时的时间节点,自所述时间节点起计时,限制计时时长,当超过所述计时时长时,防止有人登上了账号,但是临时离开,有人通过接入移动介质如U盘等在该台设备上进行一系列的操作,对数据进行篡改,或者是拷贝重要数据,因此对接入的移动介质进行一个检测,根据移动介质内的历史文件的最高可查看等级可以判定当前移动介质和用户之间的联系,即移动介质的最高可查看文件等级与用户的最高可查看文件等级应该是对应的,如果移动介质的最高可查看文件等级大于用户的最高可查看文件等级,那么就说明该移动介质是不属于当前登录账号的用户的,防止该用户对移动介质内存储的内容进行一系列操作,对用户的可操作权限进行限制,防止数据泄露,
如果所述移动介质接入检测模块检测到当前设备有移动介质接入,获取该移动介质的历史下载、上传以及删除的文件所对应的最高可查看文件等级,移动介质标识模块根据所述最高可查看文件等级生成该移动介质的移动介质标识,
通过移动介质认证模块获取当前认证通过用户的用户标识以及该移动介质的移动介质标识,进一步获取用户标识相对应的第一可查看文件等级与移动介质标识相对应的第二可查看文件等级,
如果第二可查看文件等级大于第一可查看文件等级即移动介质认证失败,则所述权限审核授予模块对当前用户的可操作权限进行限制,即当前用户无法对该移动介质进行查看、下载、上传以及删除操作。
进一步的,所述移动介质认证模块连接第二用户身份认证模块,所述第二用户身份认证模块连接用户习惯记录模块,
所述移动介质认证模块在进行移动介质认证时认证成功,即所述第二可查看文件等级等于所述第一可查看文件等级时,
所述第二用户身份认证模块通过所述用户习惯记录模块获取用户于设备的操作习惯,并根据操作习惯获对当前登录用户身份进行第二次认证,就算移动介质的最高可查看文件等级和用户的最高可查看文件等级对应上,那也不能说明该移动介质就是属于该用户的,因此还需要对用户的身份进行下一步的认证。
进一步的,所述用户习惯记录模块获取第一次认证通过时的时间节点,自所述时间节点起至第二次认证时的二次时间节点,在这段时间内,所述用户习惯记录模块对用户于设备的操作信息进行实时记录,
在第二次认证未认证成功前,当前用户于该设备所有的操作信息均被操作记忆恢复模块备份,因为该用户的身份还不能明确,所以该用户再次期间进行的所有操作信息需要进行备份,只有当第二次认证也成功的时候,才能承认该用户的所有操作,否则就要将所有备份的操作信息进行恢复,防止因该用户的操作导致信息的泄露和系统的瘫痪,
如果第二次认证成功,则当前用户于该设备备份的所有操作信息均被操作记忆恢复模块删除,
如果第二次认证失败,则当前用户于该设备备份的所有操作信息均被操作记忆恢复模块恢复,且通过身份认证失败预警模块进行报警提示,并对当前用户的可操作权限进行限制。
进一步的,所述用户习惯记录模块获取历史每一个第一次认证通过时的时间节点T1i,自历史每一个第一次认证通过时的时间节点起至相应的第二次认证时的二次时间节点T2i
计算时间节点T1i与二次时间节点T2i之间的历史时间间隔,其中,i为获取到的历史第二次认证的次数,将所述历史时间间隔均分成若干个小的时间段,获取每一个时间段内的操作信息,统计相同操作的次数,所述操作包括下载、上传、删除、查看,
对每一个历史时间间隔都有若干个小的时间段,将每一个历史时间间隔的时间段对应,计算每一个对应的时间段内的每一项操作的操作次数总和,并根据历史第二次认证的次数计算每一项操作的操作次数平均值,将每一个对应的时间段内的操作次数平均值最大的操作视为该时间段内的历史用户习惯特征,每个人的习惯都是不一样的,根据当前登录的用户账号获取历史用户习惯特征,即历史的用户的操作习惯,将操作习惯进一步细分为各项操作的操作次数,在划分小的时间段,对每个小的时间段内的操作次数进行统计和分析,以保证数据的准确性。
进一步的,所述用户习惯记录模块以时间段信息作为横坐标,以操作次数作为纵坐标建立坐标系,获取最大操作次数平均值对应的特征操作,
所述用户习惯记录模块进一步获取本次第一次认证通过时的时间节点与第二次认证时的二次时间节点之间的本次时间间隔,将本次时间间隔同样均分成若干个小的时间段,如果时间段的数量为n,统计每一个时间段内每一项操作的操作次数,以特征操作的操作次数作为该时间段内的本次用户习惯特征,
逐一比较每一个对应时间段内的本次用户习惯特征与历史用户习惯特征,
如果本次用户习惯特征与历史用户习惯特征相同的时间段的数量为m,则通过第二用户身份认证模块进一步计算(n-m)/n的值,
当(n-m)/n的值小于等于一预设值时,则第二用户身份认证模块判定此次认证通过,
(n-m)/n的值反应的是本次用户习惯特征与历史用户习惯特征不同的时间段的数量占总的时间段数量的比值,这个比值当然是越小约好,越小的话就越说明本次用户习惯特征是越接近历史用户习惯特征,设定一个预设值,这个值作为临界点,当小于这个值的时候,我们可以认为当前设备前的用户就为登录的用户本人;
当(n-m)/n的值大于一预设值时,虽然这个值大于我们所设的临界点,但因为之前取的是每个时间段内的平均操作次数最大值,但是这个最大值可能还会存在与其非常接近的值,这些值所对应的操作我们也可以将其视为用户的习惯特征,所以需要进一步进行分析,则第二用户身份认证模块获取直角坐标系,连接两个相邻时间段内的最大操作次数平均值为第一直线,连接两个相邻时间段内的特征操作的操作次数为第二直线,
计算第一直线与第二直线的夹角,则第一个时间段与第二个时间段的第一直线与第二直线的夹角为θ1
第二个时间段与第三个时间段的第一直线与第二直线的夹角为θ2,...,第n-1个时间段与第n个时间段的第一直线与第二直线的夹角为θn,当这个夹角越小的时候说明在这个时间段内本次用户的操作信息与历史用户的操作信息是越接近的,所以计算所有夹角的平均值,再将夹角的平均值与设置好的阈值一同进行处理,从而判断第二次认证是否通过,
计算夹角平均值
Figure BDA0003008783620000051
当θv≤θ0时或θv≥θ0
Figure BDA0003008783620000052
的值小于等于阈值时,其中,θ0为角度阈值,第二用户身份认证模块判定此次认证通过,
当θv≥θ0
Figure BDA0003008783620000061
的值大于阈值时,则第二用户身份认证模块判定此次认证失败。
进一步的,基于工业控制系统的身份认证方法,所述身份认证方法包括以下步骤:
S1:对可查看文件进行等级分级,根据等级分级对可查看文件进行分级存储;
S2:对用户身份进行第一次认证,若认证通过,获取用户标识,根据用户标识允许用户使用相应的操作权限,若认证未通过,则根据用户的验证次数选择性对用户进行操作限制;
S3:第一次认证通过后,进行是否有移动介质接入检测,如果有,则获取移动介质标识,并根据移动介质标识与用户标识对移动介质进行认证;
S4:如果移动介质认证失败,则限制当前用户的可操作权限;
S5:如果移动介质认证成功,则根据用户操作习惯对当前用户身份进行第二次认证;
S6:对第一次认证成功时至第二次认证成功前的时间段内的操作信息进行备份,根据第二次认证结果,对备份信息选择删除或是恢复。
进一步的,所述身份认证方法还包括以下步骤:
S1-1:可查看文件等级分级模块连接可查看文件存储模块,可查看文件存储模块对新生成的可查看文件先进行预存储,可查看文件等级分级模块通过可查看文件存储模块获取预存储的可查看文件,进一步对获取到的可查看文件进行等级分级,可查看文件存储模块根据等级分级对预存储的可查看文件进行分级存储;
S2-1:第一用户身份认证模块可通过账号密码方式进行用户的身份认证,如果当前用户的身份认证通过,则获取当前用户的用户标识与认证通过时的时间节点,并根据用户标识获取与当前用户相对应的可查看文件等级,当前用户可对相应的可查看文件等级的文件进行操作;
如果当前用户的身份认证未通过,则获取当前用户的用户标识,将一定时间段内的身份认证视为一次认证过程,将每次因认证未通过而获取用户标识的次数进行累加,在一次认证过程中累计次数超过第一预设值或是在若干次认证过程中累计次数超过第二预设值时,
身份认证失败预警模块进行报警提示,且进一步通过权限审核授予模块根据当前用户的用户标识对当前用户的可操作权限进行限制,并对当前用户的身份进行审核,如果审核成功,则重新授予与用户身份相对应的操作权限;
S3-1:第一身份认证模块连接移动介质接入检测模块,移动介质接入检测模块通过第一身份认证模块获取第一次认证通过时的时间节点,自时间节点起计时,限制计时时长,当超过计时时长时,
如果移动介质接入检测模块检测到当前设备有移动介质接入,获取该移动介质的历史下载、上传以及删除的文件所对应的最高可查看文件等级,移动介质标识模块根据最高可查看文件等级生成该移动介质的移动介质标识,
通过移动介质认证模块获取当前认证通过用户的用户标识以及该移动介质的移动介质标识,进一步获取用户标识相对应的第一可查看文件等级与移动介质标识相对应的第二可查看文件等级;
S4-1:如果第二可查看文件等级大于第一可查看文件等级即移动介质认证失败,则权限审核授予模块对当前用户的可操作权限进行限制,即当前用户无法对该移动介质进行查看、下载、上传以及删除操作;
S5-1:移动介质认证模块连接第二用户身份认证模块,第二用户身份认证模块连接用户习惯记录模块,移动介质认证模块在进行移动介质认证时认证成功,即第二可查看文件等级等于第一可查看文件等级时,第二用户身份认证模块通过用户习惯记录模块获取用户于设备的操作习惯,并根据操作习惯获对当前登录用户身份进行第二次认证,
用户习惯记录模块获取历史每一个第一次认证通过时的时间节点T1i,自历史每一个第一次认证通过时的时间节点起至相应的第二次认证时的二次时间节点T2i
计算时间节点T1i与二次时间节点T2i之间的历史时间间隔,其中,i为获取到的历史第二次认证的次数,将历史时间间隔均分成若干个小的时间段,获取每一个时间段内的操作信息,统计相同操作的次数,操作包括下载、上传、删除、查看,
对每一个历史时间间隔都有若干个小的时间段,将每一个历史时间间隔的时间段对应,计算每一个对应的时间段内的每一项操作的操作次数总和,并根据历史第二次认证的次数计算每一项操作的操作次数平均值,将每一个对应的时间段内的操作次数平均值最大的操作视为该时间段内的历史用户习惯特征。
用户习惯记录模块以时间段信息作为横坐标,以操作次数作为纵坐标建立坐标系,获取最大操作次数平均值对应的特征操作,
用户习惯记录模块进一步获取本次第一次认证通过时的时间节点与第二次认证时的二次时间节点之间的本次时间间隔,将本次时间间隔同样均分成若干个小的时间段,如果时间段的数量为n,统计每一个时间段内每一项操作的操作次数,以特征操作的操作次数作为该时间段内的本次用户习惯特征,
逐一比较每一个对应时间段内的本次用户习惯特征与历史用户习惯特征,
如果本次用户习惯特征与历史用户习惯特征相同的时间段的数量为m,则通过第二用户身份认证模块进一步计算(n-m)/n的值,
当(n-m)/n的值小于等于一预设值时,则第二用户身份认证模块判定此次认证通过;
当(n-m)/n的值大于一预设值时,则第二用户身份认证模块获取直角坐标系,连接两个相邻时间段内的最大操作次数平均值为第一直线,连接两个相邻时间段内的特征操作的操作次数为第二直线,
计算第一直线与第二直线的夹角,则第一个时间段与第二个时间段的第一直线与第二直线的夹角为θ1
第二个时间段与第三个时间段的第一直线与第二直线的夹角为θ2,...,第n-1个时间段与第n个时间段的第一直线与第二直线的夹角为θn
计算夹角平均值
Figure BDA0003008783620000081
当θv≤θ0时或θv≥θ0
Figure BDA0003008783620000082
的值小于等于阈值时,其中,θ0为角度阈值,第二用户身份认证模块判定此次认证通过,
当θv≥θ0
Figure BDA0003008783620000083
的值大于阈值时,则第二用户身份认证模块判定此次认证失败;
S6-1:用户习惯记录模块获取第一次认证通过时的时间节点,自时间节点起至第二次认证时的二次时间节点,在这段时间内,用户习惯记录模块对用户于设备的操作信息进行实时记录,
在第二次认证未认证成功前,当前用户于该设备所有的操作信息均被操作记忆恢复模块备份,如果第二次认证成功,则当前用户于该设备备份的所有操作信息均被操作记忆恢复模块删除,如果第二次认证失败,则当前用户于该设备备份的所有操作信息均被操作记忆恢复模块恢复,且通过身份认证失败预警模块进行报警提示,并对当前用户的可操作权限进行限制。
与现有技术相比,本发明所达到的有益效果是:本发明通过对可查看文件进行等级分级存储,设立两次用户认证,第一次认证通过之后,授予用户对相应等级文件的可操作权限,并检测当前登录设备是否有移动介质接入,若有则对移动介质进行标识并进行移动介质认证,根据移动介质认证结果选择性对用户身份进行第二次认证,第二次认证根据用户习惯进行认证,限制移动介质的使用并严格控制访问策略,能够防止越级操作,保证数据不被泄露。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1是本发明基于工业控制系统的身份认证系统的模块示意图;
图2是本发明基于工业控制系统的身份认证方法的步骤示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1-2,本发明提供技术方案:
基于工业控制系统的身份认证系统,包括可查看文件存储模块、可查看文件等级分级模块、移动介质接入检测模块、移动介质标识模块、移动介质认证模块、权限审核授予模块、第一用户身份认证模块、第二用户身份认证模块、用户习惯记录模块、操作记忆恢复模块、身份认证失败预警模块,可查看文件存储模块用于预先存储属性为可查看的文件,可查看文件等级分级模块用于对属性为可查看的文件等级进行分级,移动介质接入检测模块用于检测当前设备是否有移动介质接入,移动介质标识模块用于根据移动介质下载、上传以及删除的文件等级对相应的移动介质进行标识,移动介质认证模块用于根据用户身份认证结果以及移动介质标识对相应的移动介质进行认证,认证的同时获取与移动介质标识相对应的用户标识,权限审核模块用于对用户身份进行审核并授予与用户身份相对应的操作权限,第一用户身份认证模块用于根据用户的基本信息对用户的身份进行第一次认证并获取进行认证用户的用户标识,用户标识与用户账号之间存在对应关系,第二用户身份认证模块用于根据用户习惯对用户的身份进行第二次认证,用户习惯记录模块用于实时记录用户于设备的操作信息,并根据操作信息生成操作习惯特征,操作记忆恢复模块用于备份、删除和恢复一定时间段内的用户操作,身份认证失败预警模块用于身份认证失败时的预警并进一步对当前用户的可操作权限进行修改限制。
可查看文件等级分级模块连接可查看文件存储模块,可查看文件存储模块在存储可查看文件时,根据可查看文件的等级分级对可查看文件进行分级存储,
可查看文件存储模块对新生成的可查看文件先进行预存储,可查看文件等级分级模块通过可查看文件存储模块获取预存储的可查看文件,进一步对获取到的可查看文件进行等级分级,可查看文件存储模块根据等级分级对预存储的可查看文件进行分级存储。
第一用户身份认证模块可通过账号密码方式进行用户的身份认证,如果当前用户的身份认证通过,则获取当前用户的用户标识与认证通过时的时间节点,并根据用户标识获取与当前用户相对应的可查看文件等级,当前用户可对相应的可查看文件等级的文件进行操作;
如果当前用户的身份认证未通过,则获取当前用户的用户标识,将一定时间段内的身份认证视为一次认证过程,将每次因认证未通过而获取用户标识的次数进行累加,在一次认证过程中累计次数超过第一预设值或是在若干次认证过程中累计次数超过第二预设值时,
身份认证失败预警模块进行报警提示,且进一步通过权限审核授予模块根据当前用户的用户标识对当前用户的可操作权限进行限制,并对当前用户的身份进行审核,如果审核成功,则重新授予与用户身份相对应的操作权限。
第一身份认证模块连接移动介质接入检测模块,移动介质接入检测模块通过第一身份认证模块获取第一次认证通过时的时间节点,自时间节点起计时,限制计时时长,当超过计时时长时,
如果移动介质接入检测模块检测到当前设备有移动介质接入,获取该移动介质的历史下载、上传以及删除的文件所对应的最高可查看文件等级,移动介质标识模块根据最高可查看文件等级生成该移动介质的移动介质标识,
通过移动介质认证模块获取当前认证通过用户的用户标识以及该移动介质的移动介质标识,进一步获取用户标识相对应的第一可查看文件等级与移动介质标识相对应的第二可查看文件等级,
如果第二可查看文件等级大于第一可查看文件等级即移动介质认证失败,则权限审核授予模块对当前用户的可操作权限进行限制,即当前用户无法对该移动介质进行查看、下载、上传以及删除操作。
移动介质认证模块连接第二用户身份认证模块,第二用户身份认证模块连接用户习惯记录模块,
移动介质认证模块在进行移动介质认证时认证成功,即第二可查看文件等级等于第一可查看文件等级时,
第二用户身份认证模块通过用户习惯记录模块获取用户于设备的操作习惯,并根据操作习惯获对当前登录用户身份进行第二次认证。
用户习惯记录模块获取第一次认证通过时的时间节点,自时间节点起至第二次认证时的二次时间节点,在这段时间内,用户习惯记录模块对用户于设备的操作信息进行实时记录,在第二次认证未认证成功前,当前用户于该设备所有的操作信息均被操作记忆恢复模块备份,如果第二次认证成功,则当前用户于该设备备份的所有操作信息均被操作记忆恢复模块删除,如果第二次认证失败,则当前用户于该设备备份的所有操作信息均被操作记忆恢复模块恢复,且通过身份认证失败预警模块进行报警提示,并对当前用户的可操作权限进行限制。
用户习惯记录模块获取历史每一个第一次认证通过时的时间节点T1i,自历史每一个第一次认证通过时的时间节点起至相应的第二次认证时的二次时间节点T2i
计算时间节点T1i与二次时间节点T2i之间的历史时间间隔,其中,i为获取到的历史第二次认证的次数,将历史时间间隔均分成若干个小的时间段,获取每一个时间段内的操作信息,统计相同操作的次数,操作包括下载、上传、删除、查看,
对每一个历史时间间隔都有若干个小的时间段,将每一个历史时间间隔的时间段对应,计算每一个对应的时间段内的每一项操作的操作次数总和,并根据历史第二次认证的次数计算每一项操作的操作次数平均值,将每一个对应的时间段内的操作次数平均值最大的操作视为该时间段内的历史用户习惯特征。
用户习惯记录模块以时间段信息作为横坐标,以操作次数作为纵坐标建立坐标系,获取最大操作次数平均值对应的特征操作,
用户习惯记录模块进一步获取本次第一次认证通过时的时间节点与第二次认证时的二次时间节点之间的本次时间间隔,将本次时间间隔同样均分成若干个小的时间段,如果时间段的数量为n,统计每一个时间段内每一项操作的操作次数,以特征操作的操作次数作为该时间段内的本次用户习惯特征,
逐一比较每一个对应时间段内的本次用户习惯特征与历史用户习惯特征,
如果本次用户习惯特征与历史用户习惯特征相同的时间段的数量为m,则通过第二用户身份认证模块进一步计算(n-m)/n的值,
当(n-m)/n的值小于等于一预设值时,则第二用户身份认证模块判定此次认证通过;
当(n-m)/n的值大于一预设值时,则第二用户身份认证模块获取直角坐标系,连接两个相邻时间段内的最大操作次数平均值为第一直线,连接两个相邻时间段内的特征操作的操作次数为第二直线,
计算第一直线与第二直线的夹角,则第一个时间段与第二个时间段的第一直线与第二直线的夹角为θ1
第二个时间段与第三个时间段的第一直线与第二直线的夹角为θ2,...,第n-1个时间段与第n个时间段的第一直线与第二直线的夹角为θn
计算夹角平均值
Figure BDA0003008783620000121
当θv≤θ0时或θv≥θ0
Figure BDA0003008783620000122
的值小于等于阈值时,其中,θ0为角度阈值,第二用户身份认证模块判定此次认证通过,
当θv≥θ0
Figure BDA0003008783620000123
的值大于阈值时,则第二用户身份认证模块判定此次认证失败。
基于工业控制系统的身份认证方法,身份认证方法包括以下步骤:
S1:对可查看文件进行等级分级,根据等级分级对可查看文件进行分级存储;
S2:对用户身份进行第一次认证,若认证通过,获取用户标识,根据用户标识允许用户使用相应的操作权限,若认证未通过,则根据用户的验证次数选择性对用户进行操作限制;
S3:第一次认证通过后,进行是否有移动介质接入检测,如果有,则获取移动介质标识,并根据移动介质标识与用户标识对移动介质进行认证;
S4:如果移动介质认证失败,则限制当前用户的可操作权限;
S5:如果移动介质认证成功,则根据用户操作习惯对当前用户身份进行第二次认证;
S6:对第一次认证成功时至第二次认证成功前的时间段内的操作信息进行备份,根据第二次认证结果,对备份信息选择删除或是恢复。
身份认证方法还包括以下步骤:
S1-1:可查看文件等级分级模块连接可查看文件存储模块,可查看文件存储模块对新生成的可查看文件先进行预存储,可查看文件等级分级模块通过可查看文件存储模块获取预存储的可查看文件,进一步对获取到的可查看文件进行等级分级,可查看文件存储模块根据等级分级对预存储的可查看文件进行分级存储;
S2-1:第一用户身份认证模块可通过账号密码方式进行用户的身份认证,如果当前用户的身份认证通过,则获取当前用户的用户标识与认证通过时的时间节点,并根据用户标识获取与当前用户相对应的可查看文件等级,当前用户可对相应的可查看文件等级的文件进行操作;
如果当前用户的身份认证未通过,则获取当前用户的用户标识,将一定时间段内的身份认证视为一次认证过程,将每次因认证未通过而获取用户标识的次数进行累加,在一次认证过程中累计次数超过第一预设值或是在若干次认证过程中累计次数超过第二预设值时,
身份认证失败预警模块进行报警提示,且进一步通过权限审核授予模块根据当前用户的用户标识对当前用户的可操作权限进行限制,并对当前用户的身份进行审核,如果审核成功,则重新授予与用户身份相对应的操作权限;
S3-1:第一身份认证模块连接移动介质接入检测模块,移动介质接入检测模块通过第一身份认证模块获取第一次认证通过时的时间节点,自时间节点起计时,限制计时时长,当超过计时时长时,
如果移动介质接入检测模块检测到当前设备有移动介质接入,获取该移动介质的历史下载、上传以及删除的文件所对应的最高可查看文件等级,移动介质标识模块根据最高可查看文件等级生成该移动介质的移动介质标识,
通过移动介质认证模块获取当前认证通过用户的用户标识以及该移动介质的移动介质标识,进一步获取用户标识相对应的第一可查看文件等级与移动介质标识相对应的第二可查看文件等级;
S4-1:如果第二可查看文件等级大于第一可查看文件等级即移动介质认证失败,则权限审核授予模块对当前用户的可操作权限进行限制,即当前用户无法对该移动介质进行查看、下载、上传以及删除操作;
S5-1:移动介质认证模块连接第二用户身份认证模块,第二用户身份认证模块连接用户习惯记录模块,移动介质认证模块在进行移动介质认证时认证成功,即第二可查看文件等级等于第一可查看文件等级时,第二用户身份认证模块通过用户习惯记录模块获取用户于设备的操作习惯,并根据操作习惯获对当前登录用户身份进行第二次认证,
用户习惯记录模块获取历史每一个第一次认证通过时的时间节点T1i,自历史每一个第一次认证通过时的时间节点起至相应的第二次认证时的二次时间节点T2i
计算时间节点T1i与二次时间节点T2i之间的历史时间间隔,其中,i为获取到的历史第二次认证的次数,将历史时间间隔均分成若干个小的时间段,获取每一个时间段内的操作信息,统计相同操作的次数,操作包括下载、上传、删除、查看,
对每一个历史时间间隔都有若干个小的时间段,将每一个历史时间间隔的时间段对应,计算每一个对应的时间段内的每一项操作的操作次数总和,并根据历史第二次认证的次数计算每一项操作的操作次数平均值,将每一个对应的时间段内的操作次数平均值最大的操作视为该时间段内的历史用户习惯特征。
用户习惯记录模块以时间段信息作为横坐标,以操作次数作为纵坐标建立坐标系,获取最大操作次数平均值对应的特征操作,
用户习惯记录模块进一步获取本次第一次认证通过时的时间节点与第二次认证时的二次时间节点之间的本次时间间隔,将本次时间间隔同样均分成若干个小的时间段,如果时间段的数量为n,统计每一个时间段内每一项操作的操作次数,以特征操作的操作次数作为该时间段内的本次用户习惯特征,
逐一比较每一个对应时间段内的本次用户习惯特征与历史用户习惯特征,
如果本次用户习惯特征与历史用户习惯特征相同的时间段的数量为m,则通过第二用户身份认证模块进一步计算(n-m)/n的值,
当(n-m)/n的值小于等于一预设值时,则第二用户身份认证模块判定此次认证通过;
当(n-m)/n的值大于一预设值时,则第二用户身份认证模块获取直角坐标系,连接两个相邻时间段内的最大操作次数平均值为第一直线,连接两个相邻时间段内的特征操作的操作次数为第二直线,
计算第一直线与第二直线的夹角,则第一个时间段与第二个时间段的第一直线与第二直线的夹角为θ1
第二个时间段与第三个时间段的第一直线与第二直线的夹角为θ2,...,第n-1个时间段与第n个时间段的第一直线与第二直线的夹角为θn
计算夹角平均值
Figure BDA0003008783620000141
当θv≤θ0时或θv≥θ0
Figure BDA0003008783620000142
的值小于等于阈值时,其中,θ0为角度阈值,第二用户身份认证模块判定此次认证通过,
当θv≥θ0
Figure BDA0003008783620000151
的值大于阈值时,则第二用户身份认证模块判定此次认证失败;
S6-1:用户习惯记录模块获取第一次认证通过时的时间节点,自时间节点起至第二次认证时的二次时间节点,在这段时间内,用户习惯记录模块对用户于设备的操作信息进行实时记录,
在第二次认证未认证成功前,当前用户于该设备所有的操作信息均被操作记忆恢复模块备份,如果第二次认证成功,则当前用户于该设备备份的所有操作信息均被操作记忆恢复模块删除,如果第二次认证失败,则当前用户于该设备备份的所有操作信息均被操作记忆恢复模块恢复,且通过身份认证失败预警模块进行报警提示,并对当前用户的可操作权限进行限制。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。
最后应说明的是:以上所述仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.基于工业控制系统的身份认证系统,其特征在于:包括可查看文件存储模块、可查看文件等级分级模块、移动介质接入检测模块、移动介质标识模块、移动介质认证模块、权限审核授予模块、第一用户身份认证模块、第二用户身份认证模块、用户习惯记录模块、操作记忆恢复模块、身份认证失败预警模块,
所述可查看文件存储模块用于预先存储属性为可查看的文件,所述可查看文件等级分级模块用于对属性为可查看的文件等级进行分级,所述移动介质接入检测模块用于检测当前设备是否有移动介质接入,所述移动介质标识模块用于根据移动介质下载、上传以及删除的文件等级对相应的移动介质进行标识,所述移动介质认证模块用于根据用户身份认证结果以及移动介质标识对相应的移动介质进行认证,认证的同时获取与移动介质标识相对应的用户标识,所述权限审核模块用于对用户身份进行审核并授予与用户身份相对应的操作权限,所述第一用户身份认证模块用于根据用户的基本信息对用户的身份进行第一次认证并获取进行认证用户的用户标识,所述用户标识与用户账号之间存在对应关系,所述第二用户身份认证模块用于根据用户习惯对用户的身份进行第二次认证,所述用户习惯记录模块用于实时记录用户于设备的操作信息,并根据操作信息生成操作习惯特征,所述操作记忆恢复模块用于备份、删除和恢复一定时间段内的用户操作,所述身份认证失败预警模块用于身份认证失败时的预警并进一步对当前用户的可操作权限进行修改限制。
2.根据权利要求1所述的基于工业控制系统的身份认证系统,其特征在于:所述可查看文件等级分级模块连接所述可查看文件存储模块,
所述可查看文件存储模块在存储可查看文件时,根据可查看文件的等级分级对可查看文件进行分级存储,
所述可查看文件存储模块对新生成的可查看文件先进行预存储,所述可查看文件等级分级模块通过所述可查看文件存储模块获取预存储的可查看文件,进一步对获取到的可查看文件进行等级分级,所述可查看文件存储模块根据等级分级对预存储的可查看文件进行分级存储。
3.根据权利要求1所述的基于工业控制系统的身份认证系统,其特征在于:所述第一用户身份认证模块可通过账号密码方式进行用户的身份认证,
如果当前用户的身份认证通过,则获取当前用户的用户标识与认证通过时的时间节点,并根据所述用户标识获取与当前用户相对应的可查看文件等级,当前用户可对相应的可查看文件等级的文件进行操作;
如果当前用户的身份认证未通过,则获取当前用户的用户标识,将一定时间段内的身份认证视为一次认证过程,将每次因认证未通过而获取用户标识的次数进行累加,在一次认证过程中累计次数超过第一预设值或是在若干次认证过程中累计次数超过第二预设值时,
所述身份认证失败预警模块进行报警提示,且进一步通过所述权限审核授予模块根据当前用户的用户标识对当前用户的可操作权限进行限制,并对当前用户的身份进行审核,如果审核成功,则重新授予与用户身份相对应的操作权限。
4.根据权利要求1或3所述的基于工业控制系统的身份认证系统,其特征在于:所述第一身份认证模块连接移动介质接入检测模块,所述移动介质接入检测模块通过所述第一身份认证模块获取第一次认证通过时的时间节点,自所述时间节点起计时,限制计时时长,当超过所述计时时长时,
如果所述移动介质接入检测模块检测到当前设备有移动介质接入,获取该移动介质的历史下载、上传以及删除的文件所对应的最高可查看文件等级,移动介质标识模块根据所述最高可查看文件等级生成该移动介质的移动介质标识,
通过移动介质认证模块获取当前认证通过用户的用户标识以及该移动介质的移动介质标识,进一步获取用户标识相对应的第一可查看文件等级与移动介质标识相对应的第二可查看文件等级,
如果第二可查看文件等级大于第一可查看文件等级即移动介质认证失败,则所述权限审核授予模块对当前用户的可操作权限进行限制,即当前用户无法对该移动介质进行查看、下载、上传以及删除操作。
5.根据权利要求4所述的基于工业控制系统的身份认证系统,其特征在于:所述移动介质认证模块连接第二用户身份认证模块,所述第二用户身份认证模块连接用户习惯记录模块,
所述移动介质认证模块在进行移动介质认证时认证成功,即所述第二可查看文件等级等于所述第一可查看文件等级时,
所述第二用户身份认证模块通过所述用户习惯记录模块获取用户于设备的操作习惯,并根据操作习惯获对当前登录用户身份进行第二次认证。
6.根据权利要求5所述的基于工业控制系统的身份认证系统,其特征在于:所述用户习惯记录模块获取第一次认证通过时的时间节点,自所述时间节点起至第二次认证时的二次时间节点,在这段时间内,所述用户习惯记录模块对用户于设备的操作信息进行实时记录,
在第二次认证未认证成功前,当前用户于该设备所有的操作信息均被操作记忆恢复模块备份,
如果第二次认证成功,则当前用户于该设备备份的所有操作信息均被操作记忆恢复模块删除,
如果第二次认证失败,则当前用户于该设备备份的所有操作信息均被操作记忆恢复模块恢复,且通过身份认证失败预警模块进行报警提示,并对当前用户的可操作权限进行限制。
7.根据权利要求5或6所述的基于工业控制系统的身份认证系统,其特征在于:所述用户习惯记录模块获取历史每一个第一次认证通过时的时间节点T1i,自历史每一个第一次认证通过时的时间节点起至相应的第二次认证时的二次时间节点T2i
计算时间节点T1i与二次时间节点T2i之间的历史时间间隔,其中,i为获取到的历史第二次认证的次数,将所述历史时间间隔均分成若干个小的时间段,获取每一个时间段内的操作信息,统计相同操作的次数,所述操作包括下载、上传、删除、查看,
对每一个历史时间间隔都有若干个小的时间段,将每一个历史时间间隔的时间段对应,计算每一个对应的时间段内的每一项操作的操作次数总和,并根据历史第二次认证的次数计算每一项操作的操作次数平均值,将每一个对应的时间段内的操作次数平均值最大的操作视为该时间段内的历史用户习惯特征。
8.根据权利要求7所述的基于工业控制系统的身份认证系统,其特征在于:所述用户习惯记录模块以时间段信息作为横坐标,以操作次数作为纵坐标建立坐标系,获取最大操作次数平均值对应的特征操作,
所述用户习惯记录模块进一步获取本次第一次认证通过时的时间节点与第二次认证时的二次时间节点之间的本次时间间隔,将本次时间间隔同样均分成若干个小的时间段,如果时间段的数量为n,统计每一个时间段内每一项操作的操作次数,以特征操作的操作次数作为该时间段内的本次用户习惯特征,
逐一比较每一个对应时间段内的本次用户习惯特征与历史用户习惯特征,
如果本次用户习惯特征与历史用户习惯特征相同的时间段的数量为m,则通过第二用户身份认证模块进一步计算(n-m)/n的值,
当(n-m)/n的值小于等于一预设值时,则第二用户身份认证模块判定此次认证通过;
当(n-m)/n的值大于一预设值时,则第二用户身份认证模块获取直角坐标系,连接两个相邻时间段内的最大操作次数平均值为第一直线,连接两个相邻时间段内的特征操作的操作次数为第二直线,
计算第一直线与第二直线的夹角,则第一个时间段与第二个时间段的第一直线与第二直线的夹角为θ1
第二个时间段与第三个时间段的第一直线与第二直线的夹角为θ2,...,第n-1个时间段与第n个时间段的第一直线与第二直线的夹角为θn
计算夹角平均值
Figure FDA0003008783610000041
当θv≤θ0时或θv≥θ0
Figure FDA0003008783610000042
的值小于等于阈值时,其中,θ0为角度阈值,第二用户身份认证模块判定此次认证通过,
当θv≥θ0
Figure FDA0003008783610000043
的值大于阈值时,则第二用户身份认证模块判定此次认证失败。
9.基于工业控制系统的身份认证方法,其特征在于:所述身份认证方法包括以下步骤:
S1:对可查看文件进行等级分级,根据等级分级对可查看文件进行分级存储;
S2:对用户身份进行第一次认证,若认证通过,获取用户标识,根据用户标识允许用户使用相应的操作权限,若认证未通过,则根据用户的验证次数选择性对用户进行操作限制;
S3:第一次认证通过后,进行是否有移动介质接入检测,如果有,则获取移动介质标识,并根据移动介质标识与用户标识对移动介质进行认证;
S4:如果移动介质认证失败,则限制当前用户的可操作权限;
S5:如果移动介质认证成功,则根据用户操作习惯对当前用户身份进行第二次认证;
S6:对第一次认证成功时至第二次认证成功前的时间段内的操作信息进行备份,根据第二次认证结果,对备份信息选择删除或是恢复。
10.根据权利要求9所述的基于工业控制系统的身份认证方法,其特征在于:所述身份认证方法还包括以下步骤:
S1-1:可查看文件等级分级模块连接可查看文件存储模块,可查看文件存储模块对新生成的可查看文件先进行预存储,可查看文件等级分级模块通过可查看文件存储模块获取预存储的可查看文件,进一步对获取到的可查看文件进行等级分级,可查看文件存储模块根据等级分级对预存储的可查看文件进行分级存储;
S2-1:第一用户身份认证模块可通过账号密码方式进行用户的身份认证,如果当前用户的身份认证通过,则获取当前用户的用户标识与认证通过时的时间节点,并根据用户标识获取与当前用户相对应的可查看文件等级,当前用户可对相应的可查看文件等级的文件进行操作;
如果当前用户的身份认证未通过,则获取当前用户的用户标识,将一定时间段内的身份认证视为一次认证过程,将每次因认证未通过而获取用户标识的次数进行累加,在一次认证过程中累计次数超过第一预设值或是在若干次认证过程中累计次数超过第二预设值时,
身份认证失败预警模块进行报警提示,且进一步通过权限审核授予模块根据当前用户的用户标识对当前用户的可操作权限进行限制,并对当前用户的身份进行审核,如果审核成功,则重新授予与用户身份相对应的操作权限;
S3-1:第一身份认证模块连接移动介质接入检测模块,移动介质接入检测模块通过第一身份认证模块获取第一次认证通过时的时间节点,自时间节点起计时,限制计时时长,当超过计时时长时,
如果移动介质接入检测模块检测到当前设备有移动介质接入,获取该移动介质的历史下载、上传以及删除的文件所对应的最高可查看文件等级,移动介质标识模块根据最高可查看文件等级生成该移动介质的移动介质标识,
通过移动介质认证模块获取当前认证通过用户的用户标识以及该移动介质的移动介质标识,进一步获取用户标识相对应的第一可查看文件等级与移动介质标识相对应的第二可查看文件等级;
S4-1:如果第二可查看文件等级大于第一可查看文件等级即移动介质认证失败,则权限审核授予模块对当前用户的可操作权限进行限制,即当前用户无法对该移动介质进行查看、下载、上传以及删除操作;
S5-1:移动介质认证模块连接第二用户身份认证模块,第二用户身份认证模块连接用户习惯记录模块,移动介质认证模块在进行移动介质认证时认证成功,即第二可查看文件等级等于第一可查看文件等级时,第二用户身份认证模块通过用户习惯记录模块获取用户于设备的操作习惯,并根据操作习惯获对当前登录用户身份进行第二次认证,
用户习惯记录模块获取历史每一个第一次认证通过时的时间节点T1i,自历史每一个第一次认证通过时的时间节点起至相应的第二次认证时的二次时间节点T2i
计算时间节点T1i与二次时间节点T2i之间的历史时间间隔,其中,i为获取到的历史第二次认证的次数,将历史时间间隔均分成若干个小的时间段,获取每一个时间段内的操作信息,统计相同操作的次数,操作包括下载、上传、删除、查看,
对每一个历史时间间隔都有若干个小的时间段,将每一个历史时间间隔的时间段对应,计算每一个对应的时间段内的每一项操作的操作次数总和,并根据历史第二次认证的次数计算每一项操作的操作次数平均值,将每一个对应的时间段内的操作次数平均值最大的操作视为该时间段内的历史用户习惯特征。
用户习惯记录模块以时间段信息作为横坐标,以操作次数作为纵坐标建立坐标系,获取最大操作次数平均值对应的特征操作,
用户习惯记录模块进一步获取本次第一次认证通过时的时间节点与第二次认证时的二次时间节点之间的本次时间间隔,将本次时间间隔同样均分成若干个小的时间段,如果时间段的数量为n,统计每一个时间段内每一项操作的操作次数,以特征操作的操作次数作为该时间段内的本次用户习惯特征,
逐一比较每一个对应时间段内的本次用户习惯特征与历史用户习惯特征,
如果本次用户习惯特征与历史用户习惯特征相同的时间段的数量为m,则通过第二用户身份认证模块进一步计算(n-m)/n的值,
当(n-m)/n的值小于等于一预设值时,则第二用户身份认证模块判定此次认证通过;
当(n-m)/n的值大于一预设值时,则第二用户身份认证模块获取直角坐标系,连接两个相邻时间段内的最大操作次数平均值为第一直线,连接两个相邻时间段内的特征操作的操作次数为第二直线,
计算第一直线与第二直线的夹角,则第一个时间段与第二个时间段的第一直线与第二直线的夹角为θ1
第二个时间段与第三个时间段的第一直线与第二直线的夹角为θ2,...,第n-1个时间段与第n个时间段的第一直线与第二直线的夹角为θn
计算夹角平均值
Figure FDA0003008783610000071
当θv≤θ0时或θv≥θ0
Figure FDA0003008783610000072
的值小于等于阈值时,其中,θ0为角度阈值,第二用户身份认证模块判定此次认证通过,
当θv≥θ0
Figure FDA0003008783610000073
的值大于阈值时,则第二用户身份认证模块判定此次认证失败;
S6-1:用户习惯记录模块获取第一次认证通过时的时间节点,自时间节点起至第二次认证时的二次时间节点,在这段时间内,用户习惯记录模块对用户于设备的操作信息进行实时记录,
在第二次认证未认证成功前,当前用户于该设备所有的操作信息均被操作记忆恢复模块备份,
如果第二次认证成功,则当前用户于该设备备份的所有操作信息均被操作记忆恢复模块删除,
如果第二次认证失败,则当前用户于该设备备份的所有操作信息均被操作记忆恢复模块恢复,且通过身份认证失败预警模块进行报警提示,并对当前用户的可操作权限进行限制。
CN202110369608.1A 2021-04-07 2021-04-07 基于工业控制系统的身份认证系统及方法 Active CN113111319B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110369608.1A CN113111319B (zh) 2021-04-07 2021-04-07 基于工业控制系统的身份认证系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110369608.1A CN113111319B (zh) 2021-04-07 2021-04-07 基于工业控制系统的身份认证系统及方法

Publications (2)

Publication Number Publication Date
CN113111319A true CN113111319A (zh) 2021-07-13
CN113111319B CN113111319B (zh) 2021-10-08

Family

ID=76714351

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110369608.1A Active CN113111319B (zh) 2021-04-07 2021-04-07 基于工业控制系统的身份认证系统及方法

Country Status (1)

Country Link
CN (1) CN113111319B (zh)

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100268824A1 (en) * 2007-07-23 2010-10-21 Novell, Inc. System and method for cross-authoritative configuration management
CN105072112A (zh) * 2015-08-07 2015-11-18 中国联合网络通信集团有限公司 一种身份认证方法及装置
CN105825120A (zh) * 2016-03-11 2016-08-03 北京天创征腾信息科技有限公司 一种计算机与移动终端之间交互认证的方法及系统
US20170116403A1 (en) * 2013-08-23 2017-04-27 Morphotrust Usa, Llc System and Method for Identity Management
CN107172008A (zh) * 2017-04-01 2017-09-15 北京芯盾时代科技有限公司 一种在移动设备中进行多系统认证及同步的系统和方法
CN108806074A (zh) * 2018-06-05 2018-11-13 腾讯科技(深圳)有限公司 购物信息的生成方法、装置及存储介质
CN111858488A (zh) * 2020-07-15 2020-10-30 陈俞伶 一种基于大数据的文件存储访问系统及方法
CN111935716A (zh) * 2020-09-29 2020-11-13 统信软件技术有限公司 一种认证方法、认证系统及计算设备

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100268824A1 (en) * 2007-07-23 2010-10-21 Novell, Inc. System and method for cross-authoritative configuration management
US20170116403A1 (en) * 2013-08-23 2017-04-27 Morphotrust Usa, Llc System and Method for Identity Management
CN105072112A (zh) * 2015-08-07 2015-11-18 中国联合网络通信集团有限公司 一种身份认证方法及装置
CN105825120A (zh) * 2016-03-11 2016-08-03 北京天创征腾信息科技有限公司 一种计算机与移动终端之间交互认证的方法及系统
CN107172008A (zh) * 2017-04-01 2017-09-15 北京芯盾时代科技有限公司 一种在移动设备中进行多系统认证及同步的系统和方法
CN108806074A (zh) * 2018-06-05 2018-11-13 腾讯科技(深圳)有限公司 购物信息的生成方法、装置及存储介质
CN111858488A (zh) * 2020-07-15 2020-10-30 陈俞伶 一种基于大数据的文件存储访问系统及方法
CN111935716A (zh) * 2020-09-29 2020-11-13 统信软件技术有限公司 一种认证方法、认证系统及计算设备

Also Published As

Publication number Publication date
CN113111319B (zh) 2021-10-08

Similar Documents

Publication Publication Date Title
CN112182519B (zh) 一种计算机存储系统安全访问方法及访问系统
US20110314549A1 (en) Method and apparatus for periodic context-aware authentication
EP3101865B1 (en) Detection of anomalous administrative actions
US7979465B2 (en) Data protection method, authentication method, and program therefor
Sandhu et al. Authentication, Access Controls, and Intrusion Detection.
US11902307B2 (en) Method and apparatus for network fraud detection and remediation through analytics
US20040083394A1 (en) Dynamic user authentication
US20090235345A1 (en) Authentication system, authentication server apparatus, user apparatus and application server apparatus
EP0999490A2 (en) Security monitoring apparatus based on access log and method thereof
US20100223668A1 (en) Apparatus and method for managing terminal users
CN116545731A (zh) 一种基于时间窗动态切换的零信任网络访问控制方法及系统
CN111274046A (zh) 服务调用的合法性检测方法、装置、计算机设备及计算机存储介质
CN112905965B (zh) 一种基于区块链的金融大数据处理系统
US20220215093A1 (en) Event Monitoring
CN114785720B (zh) 一种用于企业局域网络的上网行为监管平台
CN115758355A (zh) 一种基于细粒度访问控制的勒索软件防御方法及系统
CN116962076A (zh) 基于区块链的物联网零信任系统
CN113111319B (zh) 基于工业控制系统的身份认证系统及方法
CN111814121B (zh) 一种基于计算机系统的登录鉴权管理系统及方法
US20070055478A1 (en) System and method for active data protection in a computer system in response to a request to access to a resource of the computer system
CN115085956A (zh) 入侵检测方法、装置、电子设备及存储介质
CN111209552A (zh) 一种基于用户行为的身份认证方法及装置
KR102615474B1 (ko) 블록체인에 기반한 로그인 이상징후 감지 및 로그인 관련 로그 데이터 관리 방법, 및 이를 수행하기 위한 장치
US20210303666A1 (en) Authentication system and method thereof
JP2011150612A (ja) アカウント不正使用判別プログラム、装置、及び方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant