CN114466358B - 一种基于零信任的用户身份持续认证方法及装置 - Google Patents

一种基于零信任的用户身份持续认证方法及装置 Download PDF

Info

Publication number
CN114466358B
CN114466358B CN202210114290.7A CN202210114290A CN114466358B CN 114466358 B CN114466358 B CN 114466358B CN 202210114290 A CN202210114290 A CN 202210114290A CN 114466358 B CN114466358 B CN 114466358B
Authority
CN
China
Prior art keywords
characteristic data
data
illegal
encrypted
initial
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210114290.7A
Other languages
English (en)
Other versions
CN114466358A (zh
Inventor
陈璐
陈牧
马媛媛
邵志鹏
李尼格
戴造建
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
State Grid Jiangsu Electric Power Co Ltd
Global Energy Interconnection Research Institute
Information and Telecommunication Branch of State Grid Jiangsu Electric Power Co Ltd
Original Assignee
State Grid Corp of China SGCC
State Grid Jiangsu Electric Power Co Ltd
Global Energy Interconnection Research Institute
Information and Telecommunication Branch of State Grid Jiangsu Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, State Grid Jiangsu Electric Power Co Ltd, Global Energy Interconnection Research Institute, Information and Telecommunication Branch of State Grid Jiangsu Electric Power Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN202210114290.7A priority Critical patent/CN114466358B/zh
Publication of CN114466358A publication Critical patent/CN114466358A/zh
Application granted granted Critical
Publication of CN114466358B publication Critical patent/CN114466358B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/065Continuous authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/008Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving homomorphic encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Computation (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Molecular Biology (AREA)
  • Computing Systems (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Mathematical Physics (AREA)
  • Evolutionary Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Collating Specific Patterns (AREA)

Abstract

本发明提供了一种用户身份持续认证方法及装置,其中,该方法包括:在多个时刻下,分别获取与目标用户相关联的多个终端采集的特征数据,形成初始特征数据;对初始特征数据进行同态加密,得到加密特征数据;将加密特征数据输入预先训练好的第一分类器中,确定加密特征数据的合法性;若加密特征数据为非法数据,通过预先训练好的第二分类器,确定加密特征数据对应的非法类型。通过实施本发明,用于判断用户合法性的数据来源于多个终端,丰富了数据的维度,提高了对用户的合法性进行认证时的准确性,并且,对加密特征数据进行合法性判定,以及确定非法类型时,都是在加密特征数据的基础上进行的,提高了持续身份认证过程中用户隐私的安全性。

Description

一种基于零信任的用户身份持续认证方法及装置
技术领域
本发明涉及安全认证技术领域,具体涉及一种用户身份持续认证方法及装置。
背景技术
身份认证技术是电力移动互联网应用当中非常重要的技术,其能够在一定程度上保证访问移动应用的用户的身份的合法性,从而保证应用的安全性。为解决不同场景下的身份安全隐患,各式各样的身份认证技术应运而生。一是静态身份认证,包括口令认证、人脸认证以及智能卡认证等等;二是基于安全评估值的动态认证。通过基于安全评估值的动态认证,一方面进一步认证用户身份的真实性,另一方面动态认证用户访问的安全性与合法性,主要工作为认证证书与存证证书的生成与更新。静态认证作为一次性认证技术,只能提供身份的输入与静态核实,并且,不能在用户使用过程中发现安全隐患,因此局限性很大。动态认证则需要生成证书,消耗大量资源。随着移动互联网环境变得愈加复杂,简单的一次性认证技术不能够保证应用的安全性。因此,持续认证对于终端的安全保护变得非常重要。
已有的持续认证方法有基于单一终端的传感器数据的持续认证。这种认证方法所采集的数据相对于每个用户是不同的,具有独特性。但是通过已有的持续认证方法对用户身份进行验证时,对用户的数据进行处理时,数据存在被窃取的风险,并且,通过已有的持续认证方法对用户身份进行验证时,数据来自于单一的终端,其适用面较小,验证结果的准确度较差。
发明内容
因此,本发明要解决的技术问题在于克服现有技术中对用户身份进行验证时,验证结果的准确度较差的缺陷,从而提供一种用户身份持续认证方法及装置。
本发明第一方面提供了一种用户身份持续认证方法,包括:在多个时刻下,分别获取与目标用户相关联的多个终端采集的特征数据,形成初始特征数据;对初始特征数据进行同态加密,得到加密特征数据;将加密特征数据输入预先训练好的第一分类器中,确定加密特征数据的合法性;若加密特征数据为非法数据,通过预先训练好的第二分类器,确定加密特征数据对应的非法类型。
可选地,在本发明提供的用户身份持续认证方法中,在多个时刻下,分别获取与目标用户相关联的多个终端采集的特征数据,形成初始特征数据的步骤,包括:根据一个时刻下与目标用户相关联的多个终端采集的特征数据形成特征向量;根据多个时刻下获取的特征向量形成初始特征数据。
可选地,在本发明提供的用户身份持续认证方法中,对初始特征数据进行同态加密,得到加密特征数据的步骤,包括:按照预设拆分规则将初始特征数据进行拆分; 通过目标用户提供的密钥对拆分后的初始特征数据进行同态加密,得到加密特征数据。
可选地,在本发明提供的用户身份持续认证方法中,通过预先训练好的第二分类器,确定加密特征数据对应的非法类型的步骤,包括:剔除加密特征数据中的合法特征值,以及非法特征值中与正常阈值之间的偏离值小于预设值的特征值,得到简化数据; 在简化数据中加入无效数据,得到非法数据,非法数据与加密特征数据的数据长度相同;将非法数据输入第二分类器中,得到加密特征数据对应到的非法类型。
可选地,在本发明提供的用户身份持续认证方法中,还包括:根据非法类型和各非法特征值对应的偏离值,确定惩罚措施。
可选地,在本发明提供的用户身份持续认证方法中,在在多个时刻下,分别获取与目标用户相关联的多个终端采集的特征数据,形成初始特征数据的步骤之前,还包括:获取目标用户的相关信息;将目标用户的相关信息与目标用户的注册信息进行匹配;若目标用户的相关信息与目标用户的注册信息匹配成功,判定目标用户通过静态认证,执行在多个时刻下,分别获取与目标用户相关联的多个终端采集的特征数据,形成初始特征数据的步骤。
可选地,在本发明提供的用户身份持续认证方法中,通过如下步骤训练第一分类器:分别获取多个时刻下与用户相关联的多个终端采集的特征数据,形成训练初始特征数据;对训练初始特征数据进行同态加密,得到训练加密特征数据;将训练加密特征数据输入初始神经网络模型中,得到输出结果;根据各训练加密特征数据对应的输出结果和真实合法性计算代价函数;若代价函数不满足预设条件,计算代价函数对于各个模型参数的偏导数,并根据偏导数与自适应的梯度值的乘积更新各模型参数,返回将训练加密特征数据输入初始神经网络模型中,得到输出结果的步骤,直到代价函数满足预设条件,得到第一分类器。
本发明第二方面提供了一种用户身份持续认证装置,包括:初始特征数据获取模块,用于在多个时刻下,分别获取与目标用户相关联的多个终端采集的特征数据,形成初始特征数据;数据加密模块,用于对初始特征数据进行同态加密,得到加密特征数据;合法性判定模块,用于将加密特征数据输入预先训练好的第一分类器中,确定加密特征数据的合法性;非法类型判定模块,若加密特征数据为非法数据,非法类型判定模块用于通过预先训练好的第二分类器,确定加密特征数据对应的非法类型。
本发明第三方面提供了一种计算机设备,包括:至少一个处理器;以及与至少一个处理器通信连接的存储器;其中,存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,从而执行如本发明第一方面提供的用户身份持续认证方法。
本发明第四方面提供了一种计算机可读存储介质,其特征在于,计算机可读存储介质存储有计算机指令,计算机指令用于使计算机执行如本发明第一方面提供的用户身份持续认证方法。
本发明技术方案,具有如下优点:
本发明提供的用户身份持续认证方法及装置,在多个时刻下分别获取与目标用户相关联的多个终端采集的特征数据,形成初始特征数据,然后对初始特征数据进行进一步的分析,判断用户的合法性,由于初始特征数据来源于多个终端,丰富了数据的维度,因此,通过本发明提供的用户身份持续认证方法及装置提高了对用户的合法性进行认证时的准确性,并且,在基于初始特征数据判断用户的合法性时,先对初始特征数据进行同态加密,得到加密特征数据,然后将加密特征数据输入到第一分类器中,确定加密特征数据的合法性,若加密特征数据为非法数据,则通过第二分类器确定加密特征数据对应的非法类型,在本发明提供的用户身份持续认证方法及装置中,对加密特征数据进行合法性判定,以及确定非法类型时,都是在加密特征数据的基础上进行的,加密特征数据是对初始特征数据进行同态加密得到的,基于同态特征,使得数据在加密状态下依然可以得到正确的处理,提高了持续身份认证过程中用户隐私的安全性。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中用户身份持续认证方法的一个具体示例的流程图;
图2为本发明实施例中惩罚协议的一个示意图;
图3为本发明实施例中用户身份持续认证装置的一个具体示例的原理框图;
图4为本发明实施例中计算机设备的一个具体示例的原理框图。
具体实施方式
下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明的描述中,需要说明的是,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性。
此外,下面所描述的本发明不同实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互结合。
本发明实施例提供了一种用户身份持续认证方法,如图1所示,包括:
步骤S11:在多个时刻下,分别获取与目标用户相关联的多个终端采集的特征数据,形成初始特征数据。
在一可选实施例中,与目标用户相关联的终端包括手机、平板电脑、个人笔记本以及台式电脑等。
在一可选实施例中,当与目标用户相关联的终端具有系统所提供的数据获取应用时,终端执行应用程序,根据已经设置好的时间节点获取特征数据,各终端采集特征数据的时间点相同。
在一可选实施例中,各终端持续采集特征数据,按照预设时间窗口从各终端采集的特征数据中提取初始特征数据。
在一可选实施例中,特征数据包括各终端采集的传感数据和应用数据,应用数据是各终端在执行同一应用程序时产生的数据,传感数据包括通过陀螺仪获取的数据、通过加速度计获取的数据、通过GPS获取的数据,以及陀螺仪、加速度计、GPS之间的非线性组合运算产生的新特征等。
步骤S12:对初始特征数据进行同态加密,得到加密特征数据。
在本发明实施例中,后续对特征数据合法性的判定,以及识别非法类型,都是对加密特征数据进行分析得到的,为了确保加密后的数据能够被正常处理,本发明实施例基于同态加密技术对初始特征数据进行了加密,利用同态性对加密特征数据进行进一步处理。
在一可选实施例中,数据的同态加密过程包括:
定义KG函数,即密钥生成函数,该函数由终端执行并产生加密数据Data所使用的密钥Key。这其中,根据需要还有一些公开的常数PP。
定义EC函数,即加密函数,该函数由终端运行,用之前产生的Key对初始特征数据Data进行加密,得到密文CT。
定义EL函数,即评估函数。该函数由远程系统执行,在系统给定的数据处理方法f下,对密文进行操作,使得结果相当于用户密钥Key对f(Data)进行加密。f通常是系统训练出来的神经网络分类器模型。
定义DC函数,即解密函数,这个函数由终端运行,用于得到系统处理的结果f(Data)。
步骤S13:将加密特征数据输入预先训练好的第一分类器中,确定加密特征数据的合法性,若加密特征数据为非法数据,执行步骤S14。
在一可选实施例中,在通过训练好的第一分类器对加密特征数据的合法性进行判定时,将加密特征数据作为假设函数的输入,假设函数会根据输入数据以及之前收集的其他终端的数据来对加密特征数据进行分类,根据获取数据的值是否偏离正常值而将加密特征数据分为非法数据或合法数据。
步骤S14:通过预先训练好的第二分类器,确定加密特征数据对应的非法类型。
在一可选实施例中,非法类型包括账户本人违规操作、账户他人违规操作、非法人员进行恶意攻击、终端环境安全系数低、终端他人非法操作、终端本人非法操作等。
在一可选实施例中,第一分类器和第二分类是基于不断出现的非法数据中的非法特征而构建的,相当于一个复杂的假设函数,其参数根据数据的更新而不断优化。
在一可选实施例中,当目标用户通过终端发起请求时,服务器端执行上述步骤S11-步骤S13,若在执行步骤S13时判定加密特征数据为非法数据,则判定目标用户发起的请求为非法请求,然后执行步骤S14确定非法请求的类型。
本发明实施例提供的用户身份持续认证方法,在多个时刻下分别获取与目标用户相关联的多个终端采集的特征数据,形成初始特征数据,然后对初始特征数据进行进一步的分析,判断用户的合法性,由于初始特征数据来源于多个终端,丰富了数据的维度,因此,通过本发明实施例提供的用户身份持续认证方法提高了对用户的合法性进行认证时的准确性,并且,在基于初始特征数据判断用户的合法性时,先对初始特征数据进行同态加密,得到加密特征数据,然后将加密特征数据输入到第一分类器中,确定加密特征数据的合法性,若加密特征数据为非法数据,则通过第二分类器确定加密特征数据对应的非法类型,在本发明实施例提供的用户身份持续认证方法中,对加密特征数据进行合法性判定,以及确定非法类型时,都是在加密特征数据的基础上进行的,加密特征数据是对初始特征数据进行同态加密得到的,基于同态特征,使得数据在加密状态下依然可以得到正确的处理,提高了持续身份认证过程中用户隐私的安全性。
在一可选实施例中,在执行上述步骤S11前,本发明实施例提供的用户身份持续认证方法还包括如下步骤:
首先,获取目标用户的相关信息。
在一可选实施例中,目标用户需要根据系统要求填写自己的相关信息,以完成登录验证,目标用户的相关信息主要包括账号名、密码以及动态验证码。
然后,目标用户的相关信息与目标用户的注册信息进行匹配。
在一可选实施例中,对于系统未标识的新用户,需要进行首次的注册登录工作,在首次注册登录过程中,获取目标用户的注册信息。在首次注册登录过程中,用户注册自己的身份信息,包括实名认证,账号密码等信息,系统向用户提供应用服务,用户需要根据相关要求来为系统提供的应用授权,保证系统应用能够正常的在终端运行工作。系统会基于终端机器码形成终端的唯一标识符,基于用户身份证号形成用户的唯一标识符,基于账号形成账户的唯一标识符等。
若目标用户的相关信息与目标用户的注册信息匹配成功,判定目标用户通过静态认证,执行步骤S11。
在一可选实施例中,在本发明实施例提供的用户身份持续认证方法中,上述步骤S11具体包括如下内容:
首先,根据一个时刻下所获取的与目标用户相关联的多个终端采集的特征数据,形成特征向量。
在本发明实施例中,将不同终端在同一时刻下所采集的所有特征数据进行组合,形成当前时刻下的特征向量。
然后,根据多个时刻下获取的特征向量形成初始特征数据。
在一可选实施例中,初始特征数据可以为矩阵形式,矩阵中不同行的数据为不同时刻下采集的特征向量。
当初始特征数据为矩阵形式时,矩阵大小基于时间窗口的大小确定。
在一可选实施例中,在本发明实施例提供的用户身份持续认证方法中,上述步骤S12具体包括如下内容:
首先,按照预设拆分规则将初始特征数据进行拆分。
在本发明实施例中,初始特征数据为顺序可识别的数据,按照预设规则将初始特征数据进行拆分后,形成一段无需不可识别的数据,防止终端环境存在恶意插件对程序进行恶意攻击造成数据泄露,保障了用户的隐私,提高了身份认证过程中的数据安全性。
然后,通过目标用户提供的密钥对拆分后的初始特征数据进行同态加密,得到加密特征数据。
在一可选实施例中,在本发明实施例提供的用户身份持续认证方法中,上述步骤S14具体包括如下内容:
首先,剔除加密特征数据中的合法特征值,以及非法特征值中与正常阈值之间的偏离值小于预设值的特征值,得到简化数据。
在一可选实施例中,对于各特征值,均具有其对应的正常值范围,若该特征值位于对应的正常值范围内,则判定该特征值为合法特征值。
在本发明实施例中,剔除合法特征值,以及与正常阈值之间的偏离值小于预设值的特征值后,降低了数据维度,简化数据中的值为能够表征非法特征的特征值,从而,基于简化数据能够精准地定位非法类型。
然后,在简化数据中加入无效数据,得到非法数据,非法数据与加密数据的长度相同。
在一可选实施例中,若初始特征数据和加密特征数据均为矩阵形式的数据,则非法数据也为矩阵形式的数据,且非法数据的列数与加密特征数据的列数相同,非法数据的行数与加密特征数据的行数相同。
在本发明实施例中,对于不同的加密特征数据,剔除合法特征值,以及非法特征值中与正常阈值之间的偏离值小于预设值的特征值后,得到的简化数据的长度并不一定是相同的,为了保证针对所有的加密特征数据,在对其进行处理得到对应的简化数据后,都能够输入到第二分类器中得到对应的非法类型,本发明实施例中在简化数据中加入无效数据,得到非法数据,使得非法数据与加密特征数据的长度相同,从而提高了第二分类器的适用性,对于任意的加密特征数据,都能通过第二分类器更准确的得到该加密特征数据对应的非法类型。
最后,将非法数据输入第二分类器中,得到加密特征数据对应到的非法类型。
在一可选实施例中,在执行上述步骤S14后,本发明实施例提供的用户身份持续认证方法还包括:
根据非法类型和各非法特征值对应的偏离值,确定惩罚措施。
在一可选实施例中,将非法类型作为初始特征数据的非法标签,根据各非法特征值对应的偏离值,以及该非法行为对系统造成的危害程度,生成用于记录非法程度的特征及其数据,利用惩罚协议对用于记录非法程度的特征及其数据进行分析,得到惩罚措施。
在一可选实施例中,正常情况下,各非法特征对应的偏离值与非法行为对系统造成的危害程度是相对应的,通过记录偏离值和危害程度两种数据,当其中一种数据出现偏差时,便于后续分析优化认证判定参数。
在一可选实施例中,非法程度分为五级,从小到大危害性逐渐递增,最严重可致使系统瘫痪以致无法正常工作。
在一可选实施例中,惩罚措施包括对目标用户、用户账号、用户权限、终端等进行惩罚。基于机器码进行人机分离式的惩罚。
在一可选实施例中,如图2所示,本发明实施例所提出的惩罚协议主要包括以下几个类别结论模块:终端惩罚模块、用户本人惩罚模块、用户账户惩罚模块。
终端惩罚模块主要针对的是频繁更换陌生终端发送请求、终端环境不安全、终端丢失、终端数据泄露、应用版本过低等一系列由终端产生的问题。
用户本人惩罚模块主要针对的是盗用实名、网络攻击者、多次严重违规操作等一系列由用户本人产生的问题。
用户账户惩罚模块主要针对的是盗用账号、账户违规操作、账户安全系数低等一些列由账户产生的问题。
在一可选实施例中,如图2所示,本发明实施例所提出的惩罚协议主要包括以下几个程度结论模块:请求对象永久封禁模块、请求对象暂时封禁模块、请求权限限制模块、请求时间限制模块、请求次数限制模块、其他限制模块。
请求对象永久封禁模块主要涉及请求对象的非法程度过高,对系统造成的危害性过大,包括对机器码、身份证号以及账户账号的永久性封禁。
请求对象暂时封禁模块相对于永久封禁而言,在一定时间内处于封禁状态,在封禁期满后,会有一段考察测试时间,在通过系统安全考察之后,封禁将会彻底解除,用户拥有最初始的权限。
请求权限限制模块,主要针对非法程度没有达到封禁程度的非法请求,系统会根据其非法程度限制请求对象的权限,一般为降低用户权限,保证系统的安全。
请求时间限制模块主要针对特定特征处于异常的非法请求,请求次数限制模块主要针对过于频繁的异常请求次数。
通过类别结论模块确定惩罚对象,通过程度结论模块确定对所要惩罚对象的某个方面的惩罚力度。
非法数据的来源可能是“人的行为”,也有可能是“终端的行为”,亦或是“应用的行为”,因此,将这些客观实体进行分离惩罚,使得用户体验感更好,以防误操作得到的不当惩罚。对于终端的惩罚实际上是对机器码的惩罚。
在一可选实施例中,对于由于终端本身,包括终端上过多的危险插件而造成的请求非法,系统会对终端实施惩罚。
在一可选实施例中,终端的惩罚基于终端所有的机器码,即封禁或是缩小该机器码所属终端的权限。用户的个人账号,用户本身等相关权限并没有改变,从客观上,实现了基于机器码的人机分离式惩罚机制。
在一可选实施例中,在惩罚结束之后,进入新的认证环节,即对新的用户以及之前已经认证的合法用户再次执行上述实施例中步骤S11-步骤S14,对用户进行再认证,以此达到持续认证的目的。
在一可选实施例中,通过如下步骤训练第一分类器:
首先,分别获取多个时刻下与用户相关联的多个终端采集的特征数据,形成训练初始特征数据,详细内容参见上述实施例中对获取初始特征数据的过程的描述,在此不再赘述。
其次,对训练初始特征数据进行同态加密,得到训练加密特征数据,详细内容参见上述实施例中对获取加密特征数据的过程的描述,在此不再赘述
再次,将训练加密特征数据输入初始神经网络模型中,得到输出结果。
在一可选实施例中,可以选择层数为m的神经网络,并对该神经网络的权重进行随机初始化,得到初始神经网络模型,通常m越大,模型的训练效果越好,准确度越高。
然后,根据各训练加密特征数据对应的输出结果和真实合法性计算代价函数,若代价函数不满足预设条件,执行如下步骤:
计算代价函数对于各个模型参数的偏导数,并根据偏导数与自适应的梯度值的乘积更新各模型参数,将训练加密特征数据输入初始神经网络模型中,得到输出结果的步骤,直到代价函数满足预设条件,得到第一分类器。
在一可选实施例中,当代价函数降到最小值后,判定代价函数满足预设条件。
在一可选实施例中,若代价函数的值趋于稳定并且值在预设范围内,则认为代价函数降到最小值,判定当前代价函数满足预设条件。
在一可选实施例中,在训练得到第一分类器和第二分类器后,会将第一分类器和第二分类器存入服务器中,并且,第一分类器和第二分类器会不定时的更新以适应新的数据、新的环境的需要,保证输出结果的准确性。
本发明实施例提供了一种用户身份持续认证装置,如图3所示,包括:
初始特征数据获取模块21,用于在多个时刻下,分别获取与目标用户相关联的多个终端采集的特征数据,形成初始特征数据,详细内容参见上述实施例中对步骤S11的描述,在此不再赘述。
数据加密模块22,用于对初始特征数据进行同态加密,得到加密特征数据,详细内容参见上述实施例中对步骤S12的描述,在此不再赘述。
合法性判定模块23,用于将加密特征数据输入预先训练好的第一分类器中,确定加密特征数据的合法性,详细内容参见上述实施例中对步骤S13的描述,在此不再赘述。
非法类型判定模块24,若加密特征数据为非法数据,非法类型判定模块用于通过预先训练好的第二分类器,确定加密特征数据对应的非法类型,详细内容参见上述实施例中对步骤S14的描述,在此不再赘述。
本发明实施例提供了一种计算机设备,如图4所示,该计算机设备主要包括一个或多个处理器31以及存储器32,图4中以一个处理器31为例。
该计算机设备还可以包括:输入装置33和输出装置34。
处理器31、存储器32、输入装置33和输出装置34可以通过总线或者其他方式连接,图4中以通过总线连接为例。
处理器31可以为中央处理器(Central Processing Unit,CPU)。处理器31还可以为其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片,或者上述各类芯片的组合。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。存储器32可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储根据用户身份持续认证装置的使用所创建的数据等。此外,存储器32可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中,存储器32可选包括相对于处理器31远程设置的存储器,这些远程存储器可以通过网络连接至用户身份持续认证装置。输入装置33可接收用户输入的计算请求(或其他数字或字符信息),以及产生与用户身份持续认证装置有关的键信号输入。输出装置34可包括显示屏等显示设备,用以输出计算结果。
本发明实施例提供了一种计算机可读存储介质,该计算机可读存储介质存储计算机指令,计算机存储介质存储有计算机可执行指令,该计算机可执行指令可执行上述任意方法实施例中的用户身份持续认证方法。其中,存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)、随机存储记忆体(Random Access Memory,RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid-State Drive,SSD)等;存储介质还可以包括上述种类的存储器的组合。
显然,上述实施例仅仅是为清楚地说明所作的举例,而并非对实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本发明创造的保护范围之中。

Claims (8)

1.一种用户身份持续认证方法,其特征在于,包括:
在多个时刻下,分别获取与目标用户相关联的多个终端采集的特征数据,形成初始特征数据;
对所述初始特征数据进行同态加密,得到加密特征数据;
将所述加密特征数据输入预先训练好的第一分类器中,确定所述加密特征数据的合法性;
若所述加密特征数据为非法数据,通过预先训练好的第二分类器,确定所述加密特征数据对应的非法类型;
通过预先训练好的第二分类器,确定所述加密特征数据对应的非法类型的步骤,包括:
剔除所述加密特征数据中的合法特征值,以及非法特征值中与正常阈值之间的偏离值小于预设值的特征值,得到简化数据;
在所述简化数据中加入无效数据,得到非法数据,所述非法数据与所述加密特征数据的数据长度相同;
将所述非法数据输入所述第二分类器中,得到所述加密特征数据对应到的非法类型;
通过如下步骤训练所述第一分类器:
分别获取多个时刻下与用户相关联的多个终端采集的特征数据,形成训练初始特征数据;
对所述训练初始特征数据进行同态加密,得到训练加密特征数据;
将所述训练加密特征数据输入初始神经网络模型中,得到输出结果;
根据各所述训练加密特征数据对应的输出结果和真实合法性计算代价函数;
若所述代价函数不满足预设条件,计算代价函数对于各个模型参数的偏导数,并根据所述偏导数与自适应的梯度值的乘积更新各模型参数,返回将所述训练加密特征数据输入初始神经网络模型中,得到输出结果的步骤,直到所述代价函数满足预设条件,得到所述第一分类器。
2.根据权利要求1所述的用户身份持续认证方法,其特征在于,在多个时刻下,分别获取与目标用户相关联的多个终端采集的特征数据,形成初始特征数据的步骤,包括:
根据一个时刻下与目标用户相关联的多个终端采集的特征数据形成特征向量;
根据多个时刻下获取的特征向量形成所述初始特征数据。
3.根据权利要求1或2所述的用户身份持续认证方法,其特征在于,对所述初始特征数据进行同态加密,得到加密特征数据的步骤,包括:
按照预设拆分规则将所述初始特征数据进行拆分;
通过所述目标用户提供的密钥对拆分后的初始特征数据进行同态加密,得到所述加密特征数据。
4.根据权利要求1所述的用户身份持续认证方法,其特征在于,还包括:
根据所述非法类型和各所述非法特征值对应的偏离值,确定惩罚措施。
5.根据权利要求1所述的用户身份持续认证方法,其特征在于,在所述在多个时刻下,分别获取与目标用户相关联的多个终端采集的特征数据,形成初始特征数据的步骤之前,还包括:
获取所述目标用户的相关信息;
将所述目标用户的相关信息与所述目标用户的注册信息进行匹配;
若所述目标用户的相关信息与所述目标用户的注册信息匹配成功,判定所述目标用户通过静态认证,执行在多个时刻下,分别获取与目标用户相关联的多个终端采集的特征数据,形成初始特征数据的步骤。
6.一种用户身份持续认证装置,其特征在于,包括:
初始特征数据获取模块,用于在多个时刻下,分别获取与目标用户相关联的多个终端采集的特征数据,形成初始特征数据;
数据加密模块,用于对所述初始特征数据进行同态加密,得到加密特征数据;
合法性判定模块,用于将所述加密特征数据输入预先训练好的第一分类器中,确定所述加密特征数据的合法性;
非法类型判定模块,若所述加密特征数据为非法数据,所述非法类型判定模块用于通过预先训练好的第二分类器,确定所述加密特征数据对应的非法类型;
通过预先训练好的第二分类器,确定所述加密特征数据对应的非法类型的步骤,包括:
剔除所述加密特征数据中的合法特征值,以及非法特征值中与正常阈值之间的偏离值小于预设值的特征值,得到简化数据;
在所述简化数据中加入无效数据,得到非法数据,所述非法数据与所述加密特征数据的数据长度相同;
将所述非法数据输入所述第二分类器中,得到所述加密特征数据对应到的非法类型;
通过如下步骤训练所述第一分类器:
分别获取多个时刻下与用户相关联的多个终端采集的特征数据,形成训练初始特征数据;
对所述训练初始特征数据进行同态加密,得到训练加密特征数据;
将所述训练加密特征数据输入初始神经网络模型中,得到输出结果;
根据各所述训练加密特征数据对应的输出结果和真实合法性计算代价函数;
若所述代价函数不满足预设条件,计算代价函数对于各个模型参数的偏导数,并根据所述偏导数与自适应的梯度值的乘积更新各模型参数,返回将所述训练加密特征数据输入初始神经网络模型中,得到输出结果的步骤,直到所述代价函数满足预设条件,得到所述第一分类器。
7.一种计算机设备,其特征在于,包括:
至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,从而执行如权利要求1-5中任一项所述的用户身份持续认证方法。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使所述计算机执行如权利要求1-5中任一项所述的用户身份持续认证方法。
CN202210114290.7A 2022-01-30 2022-01-30 一种基于零信任的用户身份持续认证方法及装置 Active CN114466358B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210114290.7A CN114466358B (zh) 2022-01-30 2022-01-30 一种基于零信任的用户身份持续认证方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210114290.7A CN114466358B (zh) 2022-01-30 2022-01-30 一种基于零信任的用户身份持续认证方法及装置

Publications (2)

Publication Number Publication Date
CN114466358A CN114466358A (zh) 2022-05-10
CN114466358B true CN114466358B (zh) 2023-10-31

Family

ID=81411860

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210114290.7A Active CN114466358B (zh) 2022-01-30 2022-01-30 一种基于零信任的用户身份持续认证方法及装置

Country Status (1)

Country Link
CN (1) CN114466358B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105491444A (zh) * 2015-11-25 2016-04-13 珠海多玩信息技术有限公司 一种数据识别处理方法以及装置
CN108920921A (zh) * 2018-05-24 2018-11-30 西北工业大学 一种针对智能手机敏感app的可持续身份认证方法
CN109684812A (zh) * 2018-12-29 2019-04-26 西安电子科技大学 一种移动设备采集用户运动行为的持续身份认证方法
CN112464209A (zh) * 2020-11-30 2021-03-09 深圳供电局有限公司 一种电力终端指纹认证方法及装置
CN113435121A (zh) * 2021-06-30 2021-09-24 平安科技(深圳)有限公司 基于联邦学习的模型训练验证方法、装置、设备及介质
CN113434873A (zh) * 2021-06-01 2021-09-24 内蒙古大学 一种基于同态加密的联邦学习隐私保护方法
WO2021232754A1 (zh) * 2020-05-22 2021-11-25 深圳前海微众银行股份有限公司 联邦学习建模方法、设备及计算机可读存储介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105260628B (zh) * 2014-06-03 2019-01-11 腾讯科技(深圳)有限公司 分类器训练方法和装置、身份验证方法和系统

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105491444A (zh) * 2015-11-25 2016-04-13 珠海多玩信息技术有限公司 一种数据识别处理方法以及装置
CN108920921A (zh) * 2018-05-24 2018-11-30 西北工业大学 一种针对智能手机敏感app的可持续身份认证方法
CN109684812A (zh) * 2018-12-29 2019-04-26 西安电子科技大学 一种移动设备采集用户运动行为的持续身份认证方法
WO2021232754A1 (zh) * 2020-05-22 2021-11-25 深圳前海微众银行股份有限公司 联邦学习建模方法、设备及计算机可读存储介质
CN112464209A (zh) * 2020-11-30 2021-03-09 深圳供电局有限公司 一种电力终端指纹认证方法及装置
CN113434873A (zh) * 2021-06-01 2021-09-24 内蒙古大学 一种基于同态加密的联邦学习隐私保护方法
CN113435121A (zh) * 2021-06-30 2021-09-24 平安科技(深圳)有限公司 基于联邦学习的模型训练验证方法、装置、设备及介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
边缘计算隐私保护研究进展;周俊;沈华杰;林中允;曹珍富;董晓蕾;;计算机研究与发展(10);全文 *

Also Published As

Publication number Publication date
CN114466358A (zh) 2022-05-10

Similar Documents

Publication Publication Date Title
CN110493202B (zh) 登录令牌的生成及验证方法、装置和服务器
CN109522698B (zh) 基于区块链的用户认证方法及终端设备
CN106330850B (zh) 一种基于生物特征的安全校验方法及客户端、服务器
US9800574B2 (en) Method and apparatus for providing client-side score-based authentication
CN110149328B (zh) 接口鉴权方法、装置、设备及计算机可读存储介质
KR101755995B1 (ko) 동형 암호를 이용한 특성벡터 기반 원격 바이오 인증 방법 및 시스템
CN112425114B (zh) 受公钥-私钥对保护的密码管理器
CN107612698B (zh) 一种商用密码检测方法、装置与系统
CN114008974B (zh) 符号流中的部分模式识别
CN113950804B (zh) 用于认证密码的设备和方法
CN106612180A (zh) 实现会话标识同步的方法及装置
CN108075888B (zh) 动态url生成方法及装置、存储介质、电子设备
CN113994632B (zh) 符号流中的部分模式识别
CN114900338A (zh) 一种加密解密方法、装置、设备和介质
CN111510442A (zh) 一种用户验证方法、装置、电子设备及存储介质
CN106101092A (zh) 一种信息评估处理方法及第一实体
CN116962076A (zh) 基于区块链的物联网零信任系统
CN112380501A (zh) 设备运行方法、装置、设备和存储介质
CN109033784A (zh) 在通信网络中身份认证方法和装置
CN110830507B (zh) 资源访问方法、装置、电子设备及系统
CN112926101A (zh) 磁盘分区加密方法、系统、设备,以及计算机可读介质
CN114466358B (zh) 一种基于零信任的用户身份持续认证方法及装置
WO2019159809A1 (ja) アクセス分析システム及びアクセス分析方法
CN115643081A (zh) 工业控制系统认证方法、装置和计算机设备
CN113868628B (zh) 一种签名验证方法、装置、计算机设备和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant