CN209659342U - 一种多因子身份与访问管理系统 - Google Patents
一种多因子身份与访问管理系统 Download PDFInfo
- Publication number
- CN209659342U CN209659342U CN201920472561.XU CN201920472561U CN209659342U CN 209659342 U CN209659342 U CN 209659342U CN 201920472561 U CN201920472561 U CN 201920472561U CN 209659342 U CN209659342 U CN 209659342U
- Authority
- CN
- China
- Prior art keywords
- subsystem
- authentication
- access
- identity
- identification module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Collating Specific Patterns (AREA)
Abstract
本实用新型提供一种多因子身份与访问管理系统,包括依次连接的接入管理子系统、身份验证子系统和用于根据身份验证子系统的验证结果对用户访问进行控制的访问控制子系统;所述身份验证子系统包括生物识别模块和密钥识别模块;所述生物识别模块包括用于根据人体固有的生理特性进行身份鉴定的生理特性识别单元和根据行为特征进行身份鉴定的行为特性识别单元;本实用新型通过多因子身份认证,建立一个多层次的防御体系,可以弥补由单一身份认证所引发的身份认证风险,最大程度保证了使用者的身份信息安全和网络信息安全,协助客户风控人员高效、全方位、深层次的进行反欺诈的应对,以减轻访问控制和责任相关的风险。
Description
技术领域
本实用新型涉及电子领域,尤其涉及一种多因子身份与访问管理系统。
背景技术
ID(IDentity,身份)是任何企业、组织机构安全计划的重要部分,在数字化经济中,ID与安全和生产力密不可分。
用户凭证被盗会危及企业网络及其信息资产,因此,需要采用ID管理来保护其信息资产不受勒索软件、犯罪黑客行为、网络钓鱼和其他恶意软件攻击的威胁。健壮的ID管理系统,可通过确保整个组织内应用一致的用户访问规则和策略,为企业添加一层重要的防护。ID管理系统可增强运行效率,减少保护用户凭证和访问权限的复杂性及开销。同时,ID管理系统还让员工在各种环境下更富生产力和安全性,还可以为企业网络和数据提供安全的用户访问,减轻IT在这些琐碎但重要的任务上的负担。
但是,现有的ID管理系统,大部分在未经授权的人访问计算机系统或网络的过程中,在层次上较为单一,在网络在线金融交易方面还是不够安全。
实用新型内容
鉴于以上所述现有技术的缺点,本实用新型提供一种多因子身份与访问管理系统,以解决上述技术问题。
本实用新型提供的多因子身份与访问管理系统,包括依次连接的接入管理子系统、身份验证子系统和用于根据身份验证子系统的验证结果对用户访问进行控制的访问控制子系统;
所述身份验证子系统包括生物识别模块和密钥识别模块;
所述生物识别模块包括用于根据人体固有的生理特性进行身份鉴定的生理特性识别单元和根据行为特征进行身份鉴定的行为特性识别单元;
所述生理特性识别单元至少包括人脸识别子单元;
所述行为特性识别单元至少包括笔迹数字签名子单元。
可选的,还包括用于录入系统注册信息的注册子系统和用于存储数据的存储子系统,所述注册子系统分别与存储子系统和身份验证子系统连接。
可选的,所述笔迹数字签名子单元包括显示设备、用于进行手写电子签字的输入设备、用于采集手写电子签字场景信息的采集设备和用于将手写电子签字场景信息并注册信息进行对比的处理器;
所述输入设备的输出端和采集设备的输出端分别与处理器的输入端连接,所述处理器的输出端与显示设备的输入端连接,所述处理器与存储子系统连接。
可选的,所述手写电子签字场景信息至少包括签名笔序信息、笔迹信息、笔压信息、签字所使用的时间信息和时间戳信息。
可选的,所述生理特性识别单元还包括指纹识别子单元,所述指纹识别子单元分别与存储子系统和注册子系统连接。
可选的,所述生理特性识别单元还包括虹膜识别子单元,所述虹膜识别子单元分别与存储子系统和注册子系统连接。
可选的,所述行为特性识别模块还包括语音识别子单元,所述语音识别子单元分别与存储子系统和注册子系统连接。
可选的,所述密钥识别模块包括账号密码认证单元、动态口令单元、公钥基础设施单元和区块链单元。
可选的,还包括用于提供即时通讯的通信子系统。
可选的,所述身份验证子系统还包括用于提供统一认证的网关模块,所述网关模块分别与生物识别模块和密钥识别模块连接。
本实用新型的有益效果:本实用新型中的多因子身份与访问管理系统,通过多因子身份认证,建立一个多层次的防御体系,使未经授权的人访问计算机系统或网络更加困难,利用多重身份认证,可以弥补由单一身份认证所引发的身份认证风险,最大程度保证了使用者的身份信息安全和网络信息安全,协助客户风控人员高效、全方位、深层次的进行反欺诈的应对,以减轻访问控制和责任相关的风险。
附图说明
图1是本实用新型实施例中多因子身份与访问管理系统的原理示意图。
图2是本实用新型实施例中多因子身份与访问管理系统的身份验证子系统的结构示意图。
具体实施方式
以下通过特定的具体实例说明本实用新型的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本实用新型的其他优点与功效。本实用新型还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本实用新型的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。
需要说明的是,以下实施例中所提供的图示仅以示意方式说明本实用新型的基本构想,遂图式中仅显示与本实用新型中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制,其实际实施时各组件的型态、数量及比例可为一种随意的改变,且其组件布局型态也可能更为复杂。
在下文描述中,探讨了大量细节,以提供对本实用新型实施例的更透彻的解释,然而,对本领域技术人员来说,可以在没有这些具体细节的情况下实施本实用新型的实施例是显而易见的,在其他实施例中,以方框图的形式而不是以细节的形式来示出公知的结构和设备,以避免使本实用新型的实施例难以理解。
如图1所示,本实施例中的多因子身份与访问管理系统,其特征在于,包括依次连接的接入管理子系统、身份验证子系统和用于根据身份验证子系统的验证结果对用户访问进行控制的访问控制子系统;
所述身份验证子系统包括生物识别模块和密钥识别模块;
所述生物识别模块包括用于根据人体固有的生理特性进行身份鉴定的生理特性识别单元和根据行为特征进行身份鉴定的行为特性识别单元;
所述生理特性识别单元至少包括人脸识别子单元;
所述行为特性识别单元至少包括笔迹数字签名子单元。
IT系统中的身份与访问控制基本上就是定义和管理个人网络用户的角色和访问权限,以及规定用户获得授权(或被拒绝授权)的条件。在本实施例中,身份与访问控制的核心目标是为每个用户赋予一个身份。该数字身份一经建立,在用户的整个“访问生命周期”存续期间都应受到良好的维护、调整与监视。因此,身份管理的首要目标就是:从用户登录系统到权限授予到登出系统的整个过程中,根据需要在恰当的条件下及时赋予正确的用户对企业内适当资产的访问权,本实施例中的接入管理子系统可以外部的第三方接入系统连接,进行相应的数据交互,访问控制子系统可以根据身份验证子系统的验证结果对用户访问进行控制,控制的方式可以采用现有的控制方式,例如,当验证结果为正确时,允许用户接入,当验证结果为错误时,拒绝用户接入。
在本实施例中,身份验证子系统的结构如图2所示,生物识别模块通过计算机与光学、声学、生物传感器和生物统计学原理等高科技手段密切结合,利用人体固有的生理特性和行为特征来进行个人身份的鉴定,生理特性主要包括指纹、脸象、虹膜等,行为特征主要包括如笔迹、声音、步态等。
在本实施例中,通过可信多因子访问管理,实现对应用系统单点登录和访问控制,从用户的角度出发,能够让企业中的IT用户,通过一个唯一的用户ID,实现对所有应用系统一站式的访问,即sso,提高IT用户的工作效率。从可扩展的角度出发,使用者可以根据实际情况分步骤实施其他验证方式,添加新的认证方式,方便扩展。从应用系统角度出发,具体业务应用系统除了集成单点登录外,还可以根据实际情况,采用不同的集成多因子认证方式,比如人脸、指纹、签名等。从安全的角度出发,不但能够控制非法访问,保护信息资源,而且能够全方位跟踪用户的访问行为,使合规性审计不再成为难题。
在本实施例中,笔迹数字签名子单元包括显示设备、用于进行手写电子签字的输入设备、用于采集手写电子签字场景信息的采集设备和用于将手写电子签字场景信息并注册信息进行对比的处理器,笔迹数字签名子单元的输入设备可以采用电感式触控屏替代传统的纸质文本,把需要签字的电子文本显示在触控屏上,签署人浏览、审定、签名提交。签名时系统在线完整记录签字书写的笔序、笔迹、笔压和签字所使用的时间、时间戳以及签名时的各种场景细节信息,这些细节数据与所签署的文本在第一时间进行绑定加密打包处理以形成远超传统纸质签署文件信息的原子“原件”,同时输出相应的缩略图供浏览或打印。优选地,签署形成的“原件”可以采用不可逆的加密算法,得到惟一密钥,密钥由具有公信力的第三方权威机构(见证人地位)保存(电子证据保全),作为验证经加密的“原件”电子包的真伪密钥。也能通过对签名原始的完整记录数据重现其签字的全程行为过程,为以后的签字鉴定其真实性提供原始依据,使其具有无可争议的法律证据价值和证明力,也使签署的文本从源头具有惟一性、完整性、安全性和可追溯性。当发生争议时,由当事人双方与密钥保存机构和司法鉴定机构当场进行验证,快速简捷判断其真伪性,也可通过司法鉴定机构对其进行鉴定以确认事实本源,优选地,还可以采集书写点的坐标、压力、握笔的角度等。
在本实施例中,人脸识别可以在许多不同的场景中应用,采用摄像机或摄像头采集含有人脸的图像或视频流,并自动在图像中检测和跟踪人脸,进而对检测到的人脸进行脸部识别。人脸识别子单元主要包括四个组成部分,分别为:人脸图像采集及检测、人脸图像预处理、人脸图像特征提取以及匹配与识别。
人脸图像采集:不同的人脸图像都能通过摄像镜头采集下来,比如静态图像、动态图像、不同的位置、不同表情等方面都可以得到很好的采集。当用户在采集设备的拍摄范围内时,采集设备会自动搜索并拍摄用户的人脸图像。
人脸检测:人脸检测在实际中主要用于人脸识别的预处理,即在图像中准确标定出人脸的位置和大小。人脸图像中包含的模式特征十分丰富,如直方图特征、颜色特征、模板特征、结构特征及Haar特征等。
人脸图像预处理:基于人脸检测结果,对图像进行处理并最终服务于特征提取。在图像处理的早期阶段对其进行灰度校正、噪声过滤等图像预处理。对于人脸图像而言,其预处理过程主要包括人脸图像的光线补偿、灰度变换、直方图均衡化、归一化、几何校正、滤波以及锐化等。
人脸图像特征提取:可使用的特征通常分为视觉特征、像素统计特征、人脸图像变换系数特征、人脸图像代数特征等。人脸特征提取是对人脸进行特征建模的过程。
人脸图像匹配与识别:
提取的人脸图像的特征数据与数据库中存储的特征模板进行搜索匹配,通过设定一个阈值,当相似度超过这一阈值,则把匹配得到的结果输出,将待识别的人脸特征与已得到的人脸特征模板进行比较,根据相似程度对人脸的身份信息进行判断。
在本实施例中,密钥识别模块包括账号密码认证单元、动态口令单元、公钥基础设施单元和区块链单元,可以根据实际的需要,选取不同的认证策略或组合,其中,PKI(Public Key Infrastructure,公钥基础设施单元)能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,采用证书进行公钥管理,通过第三方的可信任机构(认证中心,即CA),把用户的公钥和用户的其他标识信息捆绑在一起。区块链单元是利用块链式数据结构来验证与存储数据、利用分布式节点共识算法来生成和更新数据、利用密码学的方式保证数据传输和访问的安全、利用由自动化脚本代码组成的智能合约来编程和操作数据的一种全新的分布式基础架构与计算方式,是一种分布式数据库。动态口令单元可以通过集成身份管理与治理的号码短信库进行验证;账号密码认证单元可以通过集成身份管理与治理的用户名密码库进行验证。
在本实施例中,还包括用于录入系统注册信息的注册子系统和用于存储数据的存储子系统,所述注册子系统分别与存储子系统和身份验证子系统连接。存储子系统可以用来存储用户的注册信息,以及其他相关数据。
在本实施例中,身份验证子系统还包括用于提供统一认证的网关模块,优选地,网关模块可以采用网关IDG,通过面试多个应用系统,提供集中、统一的安全认证服务,形成统一的、高安全的身份验证中心,支持用户名/口令、PKI/CA数字证书等多种强度不同的用户身份认证方式,在最小化改造应用系统前提下能够对多个用系统实现单点登录功能。
在本实施例中,还包括用于提供即时通讯的通信子系统,提供给客户在线交流工具,例如在线的文字、语音、视频交流。
注意,在实施例的对应附图中,用线来表示信号,一些线比较粗,以表示更多的构成信号路径(constituent_signal path)和/或一些线的一个或多个末端具有箭头,以表示主要信息流向,这些标识不是想要进行限制,事实上,结合一个或多个事例性实施例使用这些线有助于更容易地接电路或逻辑单元,任何所代表的信号(由设计需求或偏好所决定)实际上可以包括可以在任意一个方向传送的并且可以以任何适当类型的信号方案实现的一个或多个信号。
说明书对“实施例”、“一个实施例”、“一些实施例”、或“其他实施例”的提及表示结合实施例说明的特定特征、结构或特性包括在至少一些实施例中,但不必是全部实施例。“实施例”、“一个实施例”、“一些实施例”的多次出现不一定全部都指代相同的实施例。如果说明书描述了部件、特征、结构或特性“可以”、“或许”或“能够”被包括,则该特定部件、特征、结构或特性“可以”、“或许”或“能够”被包括,则该特定部件、特征、结构或特性不是必须被包括的。如果说明书或权利要求提及“一”元件,并非表示仅有一个元件。如果说明书或权利要求提及“一另外的”元件,并不排除存在多于一个的另外的元件。
尽管已经结合了本实用新型的具体实施例对本实用新型进行了描述,但是根据前面的描述,这些实施例的很多替换、修改和变形对本领域普通技术人员来说将是显而易见的。例如,其他存储结构(例如,动态RAM(DRAM))可以使用所讨论的实施例。本实用新型的实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本实用新型可用于众多通用或专用的计算系统环境或配置中。例如:个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器系统、基于微处理器的系统、置顶盒、可编程的消费电子设备、网络PC、小型计算机、大型计算机、包括以上任何系统或设备的分布式计算环境等等。
上述实施例仅例示性说明本实用新型的原理及其功效,而非用于限制本实用新型。任何熟悉此技术的人士皆可在不违背本实用新型的精神及范畴下,对上述实施例进行修饰或改变。因此,举凡所属技术领域中具有通常知识者在未脱离本实用新型所揭示的精神与技术思想下所完成的一切等效修饰或改变,仍应由本实用新型的权利要求所涵盖。
Claims (10)
1.一种多因子身份与访问管理系统,其特征在于,包括依次连接的接入管理子系统、身份验证子系统和用于根据身份验证子系统的验证结果对用户访问进行控制的访问控制子系统;
所述接入管理子系统与外部接入系统连接;
所述身份验证子系统包括生物识别模块和密钥识别模块;
所述生物识别模块包括用于根据人体固有的生理特性进行身份鉴定的生理特性识别单元和根据行为特征进行身份鉴定的行为特性识别单元;
所述生理特性识别单元至少包括人脸识别子单元;
所述行为特性识别单元至少包括笔迹数字签名子单元。
2.根据权利要求1所述的多因子身份与访问管理系统,其特征在于,还包括用于录入系统注册信息的注册子系统和用于存储数据的存储子系统,所述注册子系统分别与存储子系统和身份验证子系统连接。
3.根据权利要求2所述的多因子身份与访问管理系统,其特征在于,所述笔迹数字签名子单元包括显示设备、用于进行手写电子签字的输入设备、用于采集手写电子签字场景信息的采集设备和用于将手写电子签字场景信息并注册信息进行对比的处理器;
所述输入设备的输出端和采集设备的输出端分别与处理器的输入端连接,所述处理器的输出端与显示设备的输入端连接,所述处理器与存储子系统连接。
4.根据权利要求3所述的多因子身份与访问管理系统,其特征在于,所述手写电子签字场景信息至少包括签名笔序信息、笔迹信息、笔压信息、签字所使用的时间信息和时间戳信息。
5.根据权利要求2所述的多因子身份与访问管理系统,其特征在于,所述生理特性识别单元还包括指纹识别子单元,所述指纹识别子单元分别与存储子系统和注册子系统连接。
6.根据权利要求2所述的多因子身份与访问管理系统,其特征在于,所述生理特性识别单元还包括虹膜识别子单元,所述虹膜识别子单元分别与存储子系统和注册子系统连接。
7.根据权利要求2所述的多因子身份与访问管理系统,其特征在于,所述行为特性识别模块还包括语音识别子单元,所述语音识别子单元分别与存储子系统和注册子系统连接。
8.根据权利要求2所述的多因子身份与访问管理系统,其特征在于,所述密钥识别模块包括账号密码认证单元、动态口令单元、公钥基础设施单元和区块链单元。
9.根据权利要求1-8任一所述的多因子身份与访问管理系统,其特征在于,还包括用于提供即时通讯的通信子系统。
10.根据权利要求1-8任一所述的多因子身份与访问管理系统,其特征在于,所述身份验证子系统还包括用于提供统一认证的网关模块,所述网关模块分别与生物识别模块和密钥识别模块连接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201920472561.XU CN209659342U (zh) | 2019-04-09 | 2019-04-09 | 一种多因子身份与访问管理系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201920472561.XU CN209659342U (zh) | 2019-04-09 | 2019-04-09 | 一种多因子身份与访问管理系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN209659342U true CN209659342U (zh) | 2019-11-19 |
Family
ID=68529074
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201920472561.XU Active CN209659342U (zh) | 2019-04-09 | 2019-04-09 | 一种多因子身份与访问管理系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN209659342U (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112069475A (zh) * | 2020-09-14 | 2020-12-11 | 杭州熙菱信息技术有限公司 | 一种身份安全管理系统 |
| CN113672969A (zh) * | 2020-05-15 | 2021-11-19 | 天津理工大学 | 一种计算机网络身份验证系统 |
-
2019
- 2019-04-09 CN CN201920472561.XU patent/CN209659342U/zh active Active
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113672969A (zh) * | 2020-05-15 | 2021-11-19 | 天津理工大学 | 一种计算机网络身份验证系统 |
| CN112069475A (zh) * | 2020-09-14 | 2020-12-11 | 杭州熙菱信息技术有限公司 | 一种身份安全管理系统 |
| CN112069475B (zh) * | 2020-09-14 | 2023-10-24 | 杭州领信数科信息技术有限公司 | 一种身份安全管理系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11563728B2 (en) | System and method for identity management | |
| US11847197B2 (en) | System and method for identity management | |
| US10127378B2 (en) | Systems and methods for registering and acquiring E-credentials using proof-of-existence and digital seals | |
| US12008561B2 (en) | System for verification of pseudonymous credentials for digital identities with managed access to personal data on trust networks | |
| US9900309B2 (en) | Methods for using digital seals for non-repudiation of attestations | |
| US10810290B2 (en) | Robust method and an apparatus for authenticating a client in non-face-to-face online interactions based on a combination of live biometrics, biographical data, blockchain transactions and signed digital certificates | |
| Council | Authentication in an internet banking environment | |
| US20210385219A1 (en) | Method and system for data security within independent computer systems and digital networks | |
| Agrawal et al. | Privacy and security of Aadhaar: a computer science perspective | |
| US20150058931A1 (en) | System and Method for Identity Management | |
| US11736291B2 (en) | Digital notarization using a biometric identification service | |
| Park et al. | Combined authentication-based multilevel access control in mobile application for DailyLifeService | |
| Gordon et al. | The Official (ISC) 2 guide to the SSCP CBK | |
| CN209659342U (zh) | 一种多因子身份与访问管理系统 | |
| Ghafourian et al. | Combining blockchain and biometrics: A survey on technical aspects and a first legal analysis | |
| Pali et al. | A comprehensive survey of aadhar and security issues | |
| Rajput et al. | Towards a more secure Aadhaar | |
| Smejkal et al. | Strong authentication using dynamic biometric signature | |
| Chang et al. | [Retracted] Application of Face Recognition in E‐commerce Security Authentication in the Era of Big Data | |
| Laas-Mikko et al. | Promises, Social, and Ethical Challenges with Biometrics in Remote Identity Onboarding | |
| Zhang et al. | Controlling information risk in E-commerce | |
| Schaffer | Ontology for authentication | |
| Xu et al. | Privacy-aware biometric blockchain based e-passport system for automatic border control | |
| Blauw | Maxima: A Model for Constructing an Online Identity Model of a User Using Identity Fragments | |
| Kavitha et al. | A security hybrid mechanism using fuzzy with adaptive ElGamal approach in cloud |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| GR01 | Patent grant | ||
| GR01 | Patent grant |