CN116389145A - 基于多因素认证结合多维授权模型的动态访问控制方法 - Google Patents

Abstract

本发明公开了一种基于多因素认证结合多维授权模型的动态访问控制方法，利用身份与访问控制、生物识别、策略级授权(PBAC)技术的三者结合，收缩以及整个访问过程的持续验证与持续评估，大大增强了事前防护能力，提升客户的整体安全性与管理效能，在使用的过程当中进行认证时根据认证的衡量因素，灵活的认证策略进行认证在用户请求访问应用资源时能够起到多重保护的作用。

Description

基于多因素认证结合多维授权模型的动态访问控制方法

技术领域

本发明涉及数据安全通讯技术领域，具体涉及一种基于多因素认证结合多维授权模型的动态访问控制方法。

背景技术

多维度策略级授权是一种细粒度动态的权限管控模型，原则是用户在网上访问资源的过程中，不信任企业网络内外的任何人、设备和系统，通过对用户进行身份认证和应用授权建立起访问控制的信任基础，确保用户身份可信、使用设备可信、应用资源可信和访问链路可信。IAM为统一身份管理平台解决方案，具备集中的账号管理、统一身份认证、授权与安全审计管理。

目前，主流的身份认证与访问控制技术并没有深度与多维授权模型进行融合。虽然在部分行业与场景中有落地的项目案例，但是并没有体现出通过多维度授权与IAM之间进行联动融合所体现的价值亮点，市面上没有相对成熟且全面的动态访问控制方案。现有技术主要包括以下三种方案。

(1)通过IAM技术改善认证体验并降低身份管理的复杂度：

提供统一身份管理、统一身份认证、统一门户、单点登录(SSO)、审计与分析等功能，用户无需记忆复杂密码，一次性认证就可访问所有已授权的业务。作为统一的身份源和身份管理平台，为业务系统提供身份供给或账号绑定，实现统一分级的账号管理，对弱密码问题进行高效整治，在登录环境存在风险时进行增强认证，有效满足身份的合规要求并提升账号的安全性。

(2)基于细粒度的权限管控技术实现动态访问控制，提升内部安全性和可靠性：

通过收缩业务系统减少暴露面，有效应对HW和日常安全运营中的风险挑战，提供基于组织架构、群组、角色、身份的授权，并且在静态授权的基础上，基于终端环境、身份、行为、网络位置等多维度信息进行动态风险评估和动态访问控制，实现精细化权限管理，并且基于动态持续评估发现存在风险时能够进行阻断或增强认证，有效确保用户访问业务的安全性。

(3)引入生物识别技术，提高认证手段与动态访问控制级别：

在动态访问控制与持续信任评估的过程中引入指纹识别技术，认证服务代理可基于用户处于终端环境信任等级、上下文信息、访问应用敏感度等衡量因素进行灵活的认证策略配置，在用户请求访问应用资源时起到多重保护的作用，确保身份认证过程的安全性与合规性，进而保护用户访问应用资源过程的身份冒用与越权风险。

然而，上述方案存在如下缺点：

(1)认证安全性过低：当前较多的业务系统依旧采用传统的账号密码为主认证方式，手机验证码与手机扫码为辅助认证方式，相对而言上述的认证方式安全级别比较低，存在越权和身份伪造的风险。并且用户使用密码认证时，多数采取同一个密码应用在多个软件，随着网络钓鱼软件以及恶意软件增加等，黑客容易通过多种方式获取或破解用户密码，造成相关账号的泄露。

(2)响应处置策略不够灵活：策略级授权(PBAC)与IAM技术的融合存在割裂的现状，策略级授权主要解决的是细粒度的权限访问管控，根据判断用户当前访问环境的上下文风险情况实现多维度的信任评估机制，但是对用户访问的应用系统内的安全管控较为薄弱。而IAM平台主要解决的是应用系统内的统一权限管控，但在应用访问过程的管控不具有持续性和动态访问控制能力，在认证的过程当中IAM平台的策略与认证方式不够灵活，无法基于终端与行为的风险进行实时的响应处置动作(降权、增强认证等)。

发明内容

针对现有技术的不足，本发明旨在提供一种基于多因素认证技术结合多维授权模型的动态访问控制方法。

为了实现上述目的，本发明采用如下技术方案：

基于多因素认证结合多维授权模型的动态访问控制方法，具体包括如下步骤：

S1、用户发起访问请求：

S1.1、用户使用PC的浏览器登录访问A应用时，认证服务代理通过认证客户端agent实时监测当前账号登录时使用的终端的终端类型Type信息，并将过程向量中已知的信息补充完整并同步给IAM平台；过程向量为User_Authentication_Status(ID，a，b，c，d，e)，其中的ID，a，b，c，d，e分别为唯一标识Identity(User)、用户身份ID、访问的应用系统ID、终端类型Type、状态码Code和认证方式Type；所述状态码Code用于表示当前的访问和认证状态；所述认证方式为普通认证方式和生物认证方式中的一种或两种的组合；

S1.2、IAM平台将认证服务代理所同步的过程向量User_Authent ication_Status与IAM平台的规则向量IAM_Authentication进行比对得到当前访问所对应的认证方式，刷新认证页面，并将过程向量中d和e的值刷新后返回给认证服务代理；IAM平台的规则向量IAM_Authentication记为IAM_Authentication(ID，A，B，C，D，E)，ID、A、B、C、D、E分别对应跨平台唯一标识Identity(User)、用户身份ID、访问的应用系统ID、终端类型Type、状态码Code和认证方式Type；

S2、用户进行认证登录：

当步骤S1中IAM平台返回的过程向量中，e的值为普通认证方式和生物认证方式中的一种，用户按照IAM认证页面输入普通认证信息或生物认证信息即可；

当步骤S1中IAM平台返回的过程向量中，e的值为普通认证方式和生物认证，用户按照IAM认证页面进行输入普通认证信息以及生物认证信息；

用户输入认证信息后，认证服务代理刷新过程向量中d的值，并生成具体的认证向量User_Authentication_Value(ID,Type1,Type2)，然后返回给IAM平台进行普通认证信息和生物认证信息的认证；认证向量User_Authenticat ion_Value中，ID、Type1、Type2分别对应跨平台唯一标识Identity(User)、普通认证信息和生物认证信息；

S3、鉴别身份通过进行认证互信：

当认证通过后，IAM平台会根据认证结果再次刷新过程向量User_Authentication_Status中d的值，如果认证通过，此时IAM平台允许该用户登录上线和访问应用A，并通知认证服务代理该用户上线登录；反之则不允许访问继续留在当前认证页面或触发登录锁定策略。

进一步地，上述方法还包括有步骤S4、持续动态评估：

当用户在PC设备X使用账号正常登录和访问A应用时，若同时发生该用户账号在平板设备Y登录和访问A应用成功，认证服务代理会自动通知PC设备X的认证客户端触发PC设备X账号注销下线。

进一步地，步骤1.2中，IAM平台将把过程向量User_Authent ication_Status与IAM平台的规则向量IAM_Authentication进行比对的具体过程为：

1.2.1、比对用户身份：IAM平台先验证过程向量中a的值，即用户ID，以验证实际访问过程中用户的身份，当访问者不属于IAM平台被纳管的用户或者用户令牌失效则拒绝本次访问请求；

1.2.2、确认访问应用的敏感度等级：IAM平台根据过程向量中b的值，即应用系统ID，确定其所属的应用敏感度等级；

1.2.3、确认终端类型：IAM平台根据过程向量中c的值，即终端类型type，结合应用系统ID及其敏感度等级，根据预先设置的应用A的动态管控策略，确定当前访问所需的认证方式。

进一步地，在应用A上线发布时，管理员会事先在IAM平台，预设针对应用A的动态管控策略，包括应用A的敏感度等级，以及各个终端类型访问应用A时需要采用的认证方式。

进一步地，普通认证方式包括账号密码登录、二维码登录、手机号验证码登录中的一种或多种，生物认证方式包括指纹识别、生物图像识别、声音识别中的一种或多种。

进一步地，IAM平台预先与生物认证平台进行联动对接，将用户基本信息推送给生物认证平台，随后生物认证平台再进行对用户的生物信息采集流程和用户基本信息进行绑定，以确定多平台的用户生物信息及基本信息唯一性和统一性；所述基本信息至少包括用户的跨平台唯一标识Identity(User)。

更进一步地，在生物认证平台上有一个用户信息预设数据库，当IAM平台推送用户基本信息到生物认证平台后，生物认证平台将其存储在用户信息预设数据库中；生物认证平台针对用户信息预设数据库中的每个用户基本信息进行生物信息的采集、审核和入库关联；跨平台唯一标识Identity(User)为在生物认证时用户生物信息和用户基本信息相互关联的唯一标识；

采集生物信息后，提取所述生物信息中的生物特征值，按预设规则将所述生物特征值转化得到数字代码Standard(X,Y,…，Z)，其中X、Y、…，Z为采集的用户多元生物数值，包括人脸、虹膜、指纹、声纹等；将编码后的数字代码保存至生物认证平台的用户信息预设数据库中；

将采集的用户生物特征数字代码Standard(X,Y,…，Z)与跨平台唯一标识Identity(User)的预设值在用户信息预设数据库中进行关联，完成生物认证平台的用户完整性归档；当用户请求访问某个应用并需要进行生物认证时，IAM平台和生物认证平台联动，用户生物信息通过实际请求中Identity(User)的请求值和用户信息预设数据库中Identity(User)的预设值进行匹配比对，如果无法匹配，则说明生物认证失败。

本发明的有益效果在于：

本发明利用身份与访问控制、生物识别、策略级授权(PBAC)技术的三者结合，收缩以及整个访问过程的持续验证与持续评估，大大增强了事前防护能力，提升客户的整体安全性与管理效能，在使用的过程当中进行认证时根据认证的衡量因素，灵活的认证策略进行认证在用户请求访问应用资源时能够起到多重保护的作用。

(1)安全性高

面对企业信息或高级密度信息的认证，简单的账号密码已经不够满足所有的需求，生物认证技术可以精确定位登录用户的身份信息，生物认证技术所采集信息的唯一性可以防止用户在密码账号丢失后被他人冒用。并且认证技术的多样性也能后提高安全性。

(2)认证方式多样化

生物识别技术的主要应用领域有人脸识别、语音识别、指纹识别。识别的种类多用户在最初注册时要求采集的信息，在后续的使用过程中，用户进行资源访问的过程当时，多样化认证方式可供选择操作灵活。

(3)使用方便

生物识别技术的使用脱离传统手机账号密码、二维码等必须依靠外物获取或进行记忆，易出现遗忘密码或丢失手机等移动端设备导致无法登录。生物识别的信息主要依靠用户本身的特征进行识别具有唯一性。

(4)组合使用认证防止特殊情况

进行组合认证的识别能够有效的进行防护，针对用户人脸识别的相似性以及特殊用户个体难以获取指纹，个体生物信息也存在极少数的类似，但组合使用的情况下可以使概率降至极低无限趋近于零。

附图说明

图1为本发明实施例的方法流程示意图；

图2为本发明实施例中IAM平台和生物认证平台之间的联动过程示意图。

具体实施方式

以下将结合附图对本发明作进一步的描述，需要说明的是，本实施例以本技术方案为前提，给出了详细的实施方式和具体的操作过程，但本发明的保护范围并不限于本实施例。

实施例1

本实施例提供一种基于多因素认证结合多维授权模型的动态访问控制方法，关键内容包括：

(1)引入生物识别技术。虽然现有的生物识别技术如人脸识别、语音识别、指纹识别技术等已经非常成熟，但还是存在很多限制。比如人脸识别时容易受遮挡、角度、光照、姿态变化等影响，语音识别容易受周围环境噪声以及本人身体条件变化的影响，从而导致身份认证技术一些特定场景下识别效果还不够好。所以，针对生物信息收集的环境以及信息维度要多角度化。例如人脸识别中用户五官整体信息、眨眼、张嘴、侧脸等场景信息的采集，以便于生物识别信息能够转化为合理的生物特征值，即为一个多元数值。

(2)IAM平台与生物认证平台进行联动对接，将用户基本信息推送给生物认证平台，随后生物认证平台再实施对应用户的生物信息采集流程和用户基本信息绑定，以确定多平台的用户生物信息及用户基本信息唯一性和统一性。

(3)IAM平台进行策略认证的一个综合衡量标准，为规则向量IAM_Authentication(ID，A，B，C，D，E)，其中的ID、A、B、C、D、E分别为跨平台唯一标识Identity(User)、用户身份ID、访问的应用系统ID、终端类型Type、状态码Code和认证方式Type。整体规则向量核心是根据用户使用不同终端类型在访问不同敏感度等级应用时，会触发不同的生物认证方式，以保障不同应用的访问安全性。原有独立的IAM平台仅进行单一应用管控权限，只能做到静态策略配置防护，并不能做到本实施例方法联合平台的动态的访问管控，所以引入一个规则向量且内含动态变化因子、应用ID(会索引到应用敏感等级)，能够更有效应对访问应用时的动态风险防护和动态权限管控。本实施例中应用敏感度等级的划分如表1所示。

表1

其中，普通认证方式包括账号密码登录、二维码登录、手机号验证码登录，生物认证方式包括指纹识别、人脸识别、虹膜识别和声音识别等。终端类型包括PC、MAC电脑、手机和平板以及其他终端。

常规用户登录访问场景，选择以普通认证方式为主。为了提升认证和访问的安全性，当用户访问应用时，联合认证服务代理和IAM平台两平台以实现根据终端类型和应用敏感等级动态选择相应的认证方式。比如PC、MAC电脑端多数采用内网访问应用可信度高，则可使用单一的普通认证方式即可；手机和平板终端多数采用外网进行访问可信度较低应用则要进行二次认证(普通认证)；其他终端设备使用环境复杂则要进行加强认证(普通认证+生物认证)。其次是针对不同应用敏感等级(可以根据应用本身的端口开放程度、应用数据重要性、应用开放访问程度等综合考虑)，会触发不同的认证方式，针对高敏感度的应用，推荐生物认证方式是必选项，针对低敏感度应用、非敏感度应用则生物认证方式是可选项。引入严格的生物认证方式，更有助于识别身份冒用类的风险。

综上，本实施例方法基于生物识别技术，并结合认证服务代理与IAM平台实现应用资源访问过程的动态权限管控。核心是将生物识别技术应用在持续动态认证鉴别身份的过程中，通过生物识别技术实现对身份认证鉴别的安全性与合规性。如图1所示，具体包括如下步骤：

S1、用户发起访问请求：用户发起访问A应用的请求，认证服务代理检测到该用户账号还未上线，此时将访问请求转到IAM平台进行统一认证，此时过程向量为User_Authentication_Status(ID，a，b，c，d，e)，其中的ID，a，b，c，d，e分别对应跨平台唯一标识Identity(User)、用户身份ID、应用系统ID、终端类型Type、状态码Code和认证方式Type；所述状态码Code用于表示当前的访问和认证状态，例如“认证，请求访问”、“允许访问，但需要做认证”、“已认证，请求访问”、“已认证通过，允许访问”等。

以终端类型为PC为例进一步说明步骤S1的具体过程为：

S1.1、用户使用PC的浏览器登录访问A应用时，认证服务代理通过认证客户端agent实时监测当前账号登录时使用的终端的终端类型Type信息，并将过程向量中已知的信息补充完整并同步给IAM平台，即此时过程向量为User_Authentication_Status(ID＝Identity(User)，a＝用户身份ID1，b＝应用系统ID1，c＝终端类型Type1_PC，d＝未认证，请求访问，e＝无)，此时e为未知的信息。

在本实施例中，在应用A上线发布时，管理员会事先在IAM平台，预先设置针对应用A的动态管控策略，包括应用A的敏感度等级，以及各个终端类型访问应用A时需要采用的认证方式。例如，将应用A定义为高敏感度应用，且当访问终端的终端类型为PC和MAC电脑时，采用应用A的账号密码认证和生物图像认证(如人脸、虹膜等)。而当访问终端的终端类型为手机和平台等移动端设备，则需要同时采用应用A的账号密码认证以及生物图像认证和指纹认证。

S1.2、IAM平台将认证服务代理所同步的过程向量User_Authentication_Status与IAM平台的规则向量IAM_Authentication进行比对得到当前访问所对应的认证方式，刷新认证页面，并将过程向量中d和e的值刷新后返回给认证服务代理。例如，过程向量最新值为User_Authentication_Status(ID＝Identity(User)，a＝用户身份ID1，b＝应用系统ID1，c＝终端类型Type1_PC，d＝允许访问，但需要做认证，e＝账号认证和图像认证)。

在本实施例中，步骤1.2中，IAM平台将把过程向量User_Authentication_Status与IAM平台的规则向量IAM_Authentication进行比对的具体过程为：

1.2.1、比对用户身份：IAM平台先验证过程向量中a的值，即用户ID(可以为用户的唯一标识也可以为用户令牌)，以验证实际访问过程中用户的身份，当访问者不属于IAM平台被纳管的用户或者用户令牌失效则拒绝本次访问请求。

1.2.2、确认访问应用的敏感度等级：IAM平台根据过程向量中b的值，即应用系统ID(可以为应用的唯一标识也可以为应用令牌)，确定其所属的应用敏感度等级。比如应用系统ID1匹配OA办公系统，在应用治理(分类分级)过程中将OA办公系统定义为普通敏感等级。

1.2.3、确认终端类型：IAM平台根据过程向量中c的值，即终端类型type(由认证服务代理通过认证客户端检测终端类型)，结合应用系统ID及其敏感度等级，根据预先设置的应用A的动态管控策略，确定当前访问所需的认证方式。如当前张三使用的是PC办公电脑访问的OA办公系统，那么PC办公电脑会在认证策略管理模块中匹配对应的认证方式。

S2、用户进行认证登录；

当步骤S1中IAM平台返回的过程向量中，e的值为普通认证方式和生物认证方式中的一种，用户按照IAM认证页面输入普通认证信息或生物认证信息即可；

当步骤S1中IAM平台返回的过程向量中，e的值为普通认证方式和生物认证，用户按照IAM认证页面进行输入普通认证信息以及生物认证信息；

用户输入认证信息后，认证服务代理刷新过程向量中d的值，并生成具体的认证向量User_Authentication_Value(ID,Type1,Type2)，然后返回给IAM平台进行普通认证信息和生物认证信息的认证；认证向量User_Authentication_Value中，ID、Type1、Type2分别对应跨平台唯一标识Identity(User)、普通认证信息和生物认证信息。

以普通认证和生物认证结合的认证方式为例，进一步说明步骤S2的具体过程如下：

S2.1、用户在当前PC的浏览器内看到刷新后的IAM认证页面，此时用户根据页面显示的账号认证和图像认证，进行认证输入。完成后，此时的过程向量值再次刷新，具体为User_Authentication_Status(ID＝Identity(User)，a＝用户身份ID1，b＝应用系统ID1，c＝终端类型Type1_PC，d＝已认证，请求访问，e＝账号认证和图像认证)以及返回具体认证向量User_Authentication_Value(ID＝Identity(User)、Type1＝账号值、Type2＝生物图像值)，供IAM平台进行账号和生物特征比对。

S2.2、IAM平台根据返回认证向量User_Authentication_Value(ID＝Identity(User)，Type1＝账号值、Type2＝生物图像值)中的跨平台唯一标识Identity(User)进行该用户的账号信息、生物信息的索引匹配。当Type1的账号值能够匹配到该用户预存的账号信息时，则第一个认证校验成功。当Type2的图像值与预存的生物图像值且偏离度＜预设阈值(如5％)时，认为匹配成功，则第二个认证校验成功。当且仅当两个认证信息都校验成功时，才能够认证通过，反之则认证失败，无法访问业务。

S3、鉴别身份通过进行认证互信：

当认证通过后，IAM平台会根据认证结果再次刷新过程向量中d的值，如果认证通过，此时的过程向量为User_Authent icat ion_Status(ID＝Identity(User)，a＝用户身份ID1，b＝应用系统ID1，c＝终端类型Type1_PC，d＝已认证通过，允许访问，e＝账号认证和图像认证)，此时IAM平台允许该用户登录上线和访问应用A，并通知认证服务代理该用户上线登录。如果认证失败，反之则刷新过程向量User_Authenticat ion_Status(ID＝Identity(User)，a＝用户身份ID1，b＝应用系统ID1，c＝终端类型Type1_PC，d＝认证不通过，重新认证/锁定，e＝账号认证和图像认证)，即不允许访问继续留在当前认证页面或触发登录锁定策略等。

S4、持续动态评估：

当用户在PC设备X使用账号正常登录和访问A应用时，若同时发生该用户账号在平板设备Y登录和访问A应用成功，认证服务代理会自动通知PC设备X的认证客户端触发PC设备X账号注销下线。若此时在平板设备Y是正常访问，那默认用户主操作台是平板设备Y。若此时是异常用户冒用登录在平板设备Y，则正常用户在PC设备X被注销时也能够立即感知，并前往认证服务代理和IAM平台查看相关访问日志做进一步排查。

因IAM平台提前配置根据终端类型和应用敏感度等级的动态管控策略，即账号在平板设备Y访问时，此时过程向量为User_Authent ication_Status(ID＝Identity(User)，a＝用户身份ID1，b＝应用系统ID1，c＝终端类型Type1_平板，d＝未认证，请求访问，e＝无)，则会再次触发与规则向量IAM_Authentication(ID，A，B，C，D，E)的匹配和User_Authent ication_Status的刷新流转，如果认证方式包含生物认证，则在平板设备Y访问应用时，也会触发含生物认证的认证页面，若此时是黑客或冒用用户，因没有相关或高匹配度的生物特征信息输入，则也无法正常访问成功。不管用户认证成功与否，认证服务代理和IAM平台都会记录同一账号的相关用户访问日志，以做下一步溯源侦查，排查风险。

在本实施例中，IAM平台预先与生物认证平台进行联动对接，将用户基本信息推送给生物认证平台，随后生物认证平台再进行对用户的生物信息采集流程和用户基本信息进行绑定，以确定多平台的用户生物信息及基本信息唯一性和统一性。所述基本信息至少包括用户的跨平台唯一标识Identity(User)，还可以包括用户名称、用户分组(可结合业务情况而定，如角色、岗位、机构等属性，便于查询与统计)、用户状态(参考实例：0默认正常，1冻结，2锁定，3其他)以及设备序列号(用于设备内特征比对)等。

需要说明的是，除生物特征外，生物认证平台不允许存储用户的其他敏感信息，如手机号、身份证号、家庭住址、银行卡号等。

如图2所示，IAM平台预先与生物认证平台进行联动对接的具体过程为：

在生物认证平台上有一个用户信息预设数据库，当IAM平台推送用户基本信息到生物认证平台后，生物认证平台将其存储在用户信息预设数据库中。生物认证平台针对用户信息预设数据库中的每个用户基本信息进行生物信息的采集、审核和入库关联。跨平台唯一标识Identity(User)为在生物认证时用户生物信息和用户基本信息相互关联的唯一标识；

采集生物信息具体使用生物特征采集器进行。利用摄像头采集生物图像信息，图像信息的采集以视频或图片为基本单位，根据摄像头多角度的拍摄正脸、侧脸、表情动作来对帧数进行抓取进行存储。利用麦克风采集生物声音信息，包括用户声音的音调、音色、响度的属性进行，提供给用户一段文字让用户完整朗读以此来抓取声音信息抓取声音的主要因素。利用触摸屏来采集生物指纹信息，包括指平面指纹、滚动指纹及双手指纹。

采集生物信息后，提取所述生物信息中的生物特征值，按预设规则将所述生物特征值转化得到数字代码Standard(X,Y,…，Z)，其中X、Y、…，Z为采集的用户多元生物数值，包括人脸、虹膜、指纹、声纹等；将编码后的数字代码保存至生物认证平台的用户信息预设数据库中，并且在用户信息预设数据库中为数字代码设置好相应的阈值以便在认证的过程中能够像有效地匹配。

将采集的用户生物特征数字代码Standard(X,Y,…，Z)与跨平台唯一标识Identity(User)的预设值在用户信息预设数据库中进行关联，完成生物认证平台的用户完整性归档。当用户请求访问某个应用并需要进行生物认证时，IAM平台和生物认证平台联动，用户生物信息通过实际请求中Identity(User)的请求值和用户信息预设数据库中Identity(User)的预设值进行匹配比对，如果无法匹配，则说明生物认证失败。

对于本领域的技术人员来说，可以根据以上的技术方案和构思，给出各种相应的改变和变形，而所有的这些改变和变形，都应该包括在本发明权利要求的保护范围之内。

Claims (7)

1.基于多因素认证结合多维授权模型的动态访问控制方法，其特征在于，具体包括如下步骤：

S1、用户发起访问请求：

S1.1、用户使用PC的浏览器登录访问A应用时，认证服务代理通过认证客户端agent实时监测当前账号登录时使用的终端的终端类型Type信息，并将过程向量中已知的信息补充完整并同步给IAM平台；过程向量为User_Authentication_Status(ID，a，b，c，d，e)，其中的ID，a，b，c，d，e分别为唯一标识Identity(User)、用户身份ID、访问的应用系统ID、终端类型Type、状态码Code和认证方式Type；所述状态码Code用于表示当前的访问和认证状态；所述认证方式为普通认证方式和生物认证方式中的一种或两种的组合；

S1.2、IAM平台将认证服务代理所同步的过程向量User_Authentication_Status与IAM平台的规则向量IAM_Authentication进行比对得到当前访问所对应的认证方式，刷新认证页面，并将过程向量中d和e的值刷新后返回给认证服务代理；IAM平台的规则向量IAM_Authentication记为IAM_Authentication(ID，A，B，C，D，E)，ID、A、B、C、D、E分别对应跨平台唯一标识Identity(User)、用户身份ID、访问的应用系统ID、终端类型Type、状态码Code和认证方式Type；

S2、用户进行认证登录：

当步骤S1中IAM平台返回的过程向量中，e的值为普通认证方式和生物认证方式中的一种，用户按照IAM认证页面输入普通认证信息或生物认证信息即可；

当步骤S1中IAM平台返回的过程向量中，e的值为普通认证方式和生物认证，用户按照IAM认证页面进行输入普通认证信息以及生物认证信息；

用户输入认证信息后，认证服务代理刷新过程向量中d的值，并生成具体的认证向量User_Authentication_Value(ID,Type1,Type2)，然后返回给IAM平台进行普通认证信息和生物认证信息的认证；认证向量User_Authentication_Value中，ID、Type1、Type2分别对应跨平台唯一标识Identity(User)、普通认证信息和生物认证信息；

S3、鉴别身份通过进行认证互信：

当认证通过后，IAM平台会根据认证结果再次刷新过程向量User_Authentication_Status中d的值，如果认证通过，此时IAM平台允许该用户登录上线和访问应用A，并通知认证服务代理该用户上线登录；反之则不允许访问继续留在当前认证页面或触发登录锁定策略。

2.根据权利要求1所述的方法，其特征在于，还包括有步骤S4、持续动态评估：

当用户在PC设备X使用账号正常登录和访问A应用时，若同时发生该用户账号在平板设备Y登录和访问A应用成功，认证服务代理会自动通知PC设备X的认证客户端触发PC设备X账号注销下线。

3.根据权利要求1所述的方法，其特征在于，步骤1.2中，IAM平台将把过程向量User_Authentication_Status与IAM平台的规则向量IAM_Authentication进行比对的具体过程为：

1.2.1、比对用户身份：IAM平台先验证过程向量中a的值，即用户ID，以验证实际访问过程中用户的身份，当访问者不属于IAM平台被纳管的用户或者用户令牌失效则拒绝本次访问请求；

1.2.2、确认访问应用的敏感度等级：IAM平台根据过程向量中b的值，即应用系统ID，确定其所属的应用敏感度等级；

1.2.3、确认终端类型：IAM平台根据过程向量中c的值，即终端类型type，结合应用系统ID及其敏感度等级，根据预先设置的应用A的动态管控策略，确定当前访问所需的认证方式。

4.根据权利要求1所述的方法，其特征在于，在应用A上线发布时，管理员会事先在IAM平台，预设针对应用A的动态管控策略，包括应用A的敏感度等级，以及各个终端类型访问应用A时需要采用的认证方式。

5.根据权利要求1或2所述的方法，其特征在于，普通认证方式包括账号密码登录、二维码登录、手机号验证码登录中的一种或多种，生物认证方式包括指纹识别、生物图像识别、声音识别中的一种或多种。

6.根据权利要求1所述的方法，其特征在于，IAM平台预先与生物认证平台进行联动对接，将用户基本信息推送给生物认证平台，随后生物认证平台再进行对用户的生物信息采集流程和用户基本信息进行绑定，以确定多平台的用户生物信息及基本信息唯一性和统一性；所述基本信息至少包括用户的跨平台唯一标识Identity(User)。

7.根据权利要求6所述的方法，其特征在于，在生物认证平台上有一个用户信息预设数据库，当IAM平台推送用户基本信息到生物认证平台后，生物认证平台将其存储在用户信息预设数据库中；生物认证平台针对用户信息预设数据库中的每个用户基本信息进行生物信息的采集、审核和入库关联；跨平台唯一标识Identity(User)为在生物认证时用户生物信息和用户基本信息相互关联的唯一标识；

采集生物信息后，提取所述生物信息中的生物特征值，按预设规则将所述生物特征值转化得到数字代码Standard(X,Y,…，Z)，其中X、Y、…，Z为采集的用户多元生物数值，包括人脸、虹膜、指纹、声纹等；将编码后的数字代码保存至生物认证平台的用户信息预设数据库中；

将采集的用户生物特征数字代码Standard(X,Y,…，Z)与跨平台唯一标识Identity(User)的预设值在用户信息预设数据库中进行关联，完成生物认证平台的用户完整性归档；当用户请求访问某个应用并需要进行生物认证时，IAM平台和生物认证平台联动，用户生物信息通过实际请求中Identity(User)的请求值和用户信息预设数据库中Identity(User)的预设值进行匹配比对，如果无法匹配，则说明生物认证失败。

Images