一種基于可溯源的用戶信息認(rèn)證方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及一種認(rèn)證方法�����,具體涉及一種基于可溯源的用戶信息認(rèn)證方法���。
【背景技術(shù)】
[0002] 隨著網(wǎng)絡(luò)信息系統(tǒng)應(yīng)用的不斷普及和深化����,信息安全問題越來越受到重視����,為了 保障信息系統(tǒng)的安全,終端安全防護(hù)成為亟需解決的難題����。
[0003] 終端用戶認(rèn)證技術(shù)作為計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全的第一道關(guān)口�,是確認(rèn)操作者身份 的重要技術(shù)手段���。目前����,常采用的安全防護(hù)措施有向用戶頒發(fā)數(shù)字證書��、USB用戶密鑰�、生物 特征(指紋�����、虹膜)等輔助安全手段驗(yàn)證用戶身份的真實(shí)性����,保障用戶在互聯(lián)網(wǎng)活動(dòng)中的安 全。
[0004] 近年來移動(dòng)終端發(fā)展的愈發(fā)迅猛�����,由于移動(dòng)終端硬件設(shè)施的局限性和手機(jī)操作系 統(tǒng)種類繁多等問題��,傳統(tǒng)的安全防護(hù)措施已經(jīng)不太適用�;另外����,傳統(tǒng)的身份認(rèn)證方法對(duì)用戶 進(jìn)行身份確認(rèn)�,但只有身份信任還是不夠的,因?yàn)樵谀承┣闆r下���,用戶身份可信�,但其行為 未必可信����。因此,必須保證用戶身份和行為的雙重可信�����。
[0005] 目前針對(duì)互聯(lián)網(wǎng)用戶進(jìn)行身份認(rèn)證的技術(shù)主要有口令機(jī)制和生物識(shí)別技術(shù)����,但這 兩種方法都存在各自的局限性。具體而言���,口令機(jī)制的缺點(diǎn)為:口令通過明文傳送至驗(yàn)證服 務(wù)器�,期間容易被截獲�����,且口令維護(hù)的成本較高;然而為保證安全性,口令應(yīng)當(dāng)經(jīng)常更換���,另 外為避免對(duì)口令的字典攻擊��,口令應(yīng)當(dāng)保證一定的長度����,難于記憶��;口令在輸入時(shí)容易被他 人偷窺��。生物識(shí)別技術(shù)的缺點(diǎn)為:生物識(shí)別需要的精準(zhǔn)實(shí)驗(yàn)設(shè)備通常較昂貴����,且由于人的很 多生物特征會(huì)發(fā)生改變;因此該方法且穩(wěn)定度低�、識(shí)別失敗率高。
【發(fā)明內(nèi)容】
[0006] 為了克服上述缺陷���,本發(fā)明提供一種基于可溯源的用戶信息認(rèn)證方法����,避免了用 戶身份認(rèn)證誤判,解決了網(wǎng)絡(luò)活動(dòng)中對(duì)不法用戶的檢測問題;提高了互聯(lián)網(wǎng)的安全性����。
[0007] 本發(fā)明的目的是采用下述技術(shù)方案實(shí)現(xiàn)的:
[0008] -種基于可溯源的用戶信息認(rèn)證方法,所述方法包括下述步驟:
[0009] 1)認(rèn)證用戶身份���;
[0010] 2)構(gòu)建行為認(rèn)證集���;
[0011] 3)基于D-S證據(jù)理論對(duì)用戶行為進(jìn)行可信認(rèn)證;
[0012] 4)溯源認(rèn)證用戶身份�����。
[0013]優(yōu)選的�����,所述步驟1)中��,認(rèn)證用戶身份包括�,用戶向服務(wù)器發(fā)送一個(gè)請(qǐng)求報(bào)文,月艮 務(wù)器接收該報(bào)文后����,提取其包含的用戶IP地址和二進(jìn)制數(shù)的取反運(yùn)算規(guī)則����;
[0014] 利用該取反運(yùn)算規(guī)則對(duì)用戶IP地址按位取反���,生成動(dòng)態(tài)密碼�����,回執(zhí)給用戶��;
[0015] 用戶獲得動(dòng)態(tài)密碼后����,填寫用戶名和動(dòng)態(tài)密碼提交至服務(wù)器進(jìn)行認(rèn)證�,若認(rèn)證成 功�����,則允許進(jìn)入網(wǎng)絡(luò)系統(tǒng)����,轉(zhuǎn)至步驟2);否則登錄失敗。
[0016] 優(yōu)選的,所述步驟2)中的構(gòu)建行為認(rèn)證集數(shù)據(jù)包括內(nèi)容異常數(shù)據(jù)��、習(xí)慣異常數(shù)據(jù)�、 安全異常數(shù)據(jù)和契約異常數(shù)據(jù)優(yōu)選的,所述步驟3)基于D-S證據(jù)理論對(duì)用戶行為進(jìn)行可信 認(rèn)證包括:
[0017] 3-1根據(jù)網(wǎng)絡(luò)流量中用戶提交的報(bào)文內(nèi)容捕獲用戶行為;并根據(jù)行為認(rèn)證集�,將用 戶的行為分為可信行為和不可信行為;
[0018] 3-2確定用戶行為可信度評(píng)估函數(shù)����;
[0019] 3-3對(duì)用戶行為進(jìn)行可信認(rèn)證。
[0020]進(jìn)一步地���,所述步驟3-1的劃分方法包括:將行為認(rèn)證集設(shè)定為S ={ Si����,S2�����, S3......sn}���,第k次行為質(zhì)量為Sk;其中����,l<k<n;
[0021] 定義行為認(rèn)證集的可信門限值α和β,滿足1;當(dāng)1時(shí)��,則第k次交 互行可信���;當(dāng)0 < S1^ α?xí)r��,則交互行為不可信;若a < Sk < β����,則第k次交互行為為不確定行為��。
[0022] 進(jìn)一步地�,所述步驟3-2的用戶行為可信度評(píng)估函數(shù)包括可信行為的概率分配函 數(shù)、不可信行為的概率分配函數(shù)和不確定行為的概率分配函數(shù)���,具體為:
[0023] 設(shè)置樣本空間D={T����,-T}����,可信行為的概率分配函數(shù)如式m{T}=p*lengthT/N所 示�����,其中0〈ρ〈1,{Τ}為可信行為序列�����,IengthT為可信行為序列的長度�,p為可信行為調(diào)節(jié)系 數(shù);
[0024] 不可信行為的概率分配函數(shù)如式m{-T}=q*length-τ/Ν所示�,其中0〈q〈l,{-T}SF 可信行為序列���,length-τ為不可信行為序列長度�,q為不可信行為調(diào)節(jié)系數(shù)�。
[0025]進(jìn)一步地,將均不屬于可信行為序列{T}和不可信行為序列{-T}的用戶行為定義 為不確定行為序列{T�,-T},生成用戶行為可信度評(píng)估函數(shù)三元組<m{T}�,m{-T},m{T����,-T}>; 其中,m{T��,-T}表示不確定行為的概率分配函數(shù)。
[0026]進(jìn)一步地����,所述步驟3-3中,用戶行為的可信認(rèn)證方法包括:對(duì)用戶行為可信度評(píng) 估函數(shù)歸一化處理���,獲得可信行為發(fā)生概率;若概率范圍未超過預(yù)設(shè)閾值則用戶行為可信�����, 允許繼續(xù)操作��,否則跳轉(zhuǎn)至步驟4);其中����,
[0027]歸一化處理后的用戶行為可信度評(píng)估函數(shù)如下式所示:
[0029] 其中�,T為可信行為集合,P(T)為可信行為發(fā)生概率;則�����,
[0030] Ρ(Τ) = (1_β)/( l-β+α) .Bel(T) =m(T) = p*lengthT/N����,pi (T) = 1-Bel (-T)
[0031] 其中,Pl(T)為可信行為集合的似然函數(shù);Bel(T)為可信行為集合的信任函數(shù)�����。
[0032] 優(yōu)選的�����,所述步驟4)溯源確認(rèn)用戶身份包括:若用戶行為不可信��,則由系統(tǒng)服務(wù)提 供商自動(dòng)向服務(wù)器提出身份溯源請(qǐng)求�����,對(duì)用戶進(jìn)行二次認(rèn)證���,判斷用戶身份及行為是否存 在虛假信息���。
[0033]進(jìn)一步地,所述二次認(rèn)證包括:服務(wù)器接收系統(tǒng)服務(wù)提供商的身份溯源請(qǐng)求后���,向 系統(tǒng)服務(wù)提供商返回可信行為發(fā)生概率范圍超過預(yù)設(shè)閾值對(duì)應(yīng)用戶的溯源信息碼;對(duì)比返 回的溯源信息碼與預(yù)置在SP服務(wù)器中的原始溯源信息碼是否相同��;其中���,所述溯源信息碼 包括即用戶注冊(cè)信息和歷史行為�。
[0034] 與現(xiàn)有技術(shù)相比���,本發(fā)明達(dá)到的有益效果是:
[0035] 本發(fā)明方案中�����,在密碼生成方面�,利用合法用戶所持移動(dòng)終端的IP地址取反生成 動(dòng)態(tài)密碼���,既可以有效避免不法用戶在其他移動(dòng)設(shè)備上利用當(dāng)前用戶賬號(hào)進(jìn)行登錄�����,也避 免人們使用生日號(hào)等過于簡單的密碼��,加大了密碼被破解的難度;有效避免了用戶密碼容 易破解的不足��,大大提高了安全性��。
[0036] 本發(fā)明提出基于行為認(rèn)證集對(duì)用戶行為進(jìn)行認(rèn)證�����,彌補(bǔ)了傳統(tǒng)認(rèn)證過程忽略檢測 用戶行為的不足����,規(guī)范用戶的網(wǎng)絡(luò)行為����;
[0037] 本發(fā)明不但對(duì)用戶身份認(rèn)證,還對(duì)用戶行為認(rèn)證���,既能有效避免不法用戶進(jìn)入網(wǎng) 絡(luò)系統(tǒng)����,又能規(guī)范用戶的網(wǎng)絡(luò)行為;本發(fā)明在行為認(rèn)證失敗后����,再次對(duì)用身份溯源確認(rèn),通 過二次確認(rèn)���,可以有效避免身份誤判的情況發(fā)生�����,提高了認(rèn)證的準(zhǔn)確性���。
【附圖說明】
[0038]圖1為基于可溯源的用戶信息認(rèn)證方法流程圖���;
[0039]圖2為基于可溯源的用戶信息認(rèn)證方案時(shí)序圖;
【具體實(shí)施方式】
[0040]下面結(jié)合附圖對(duì)本發(fā)明的【具體實(shí)施方式】做進(jìn)一步的詳細(xì)說明����。
[0041 ] 如圖1所示,一種基于可溯源的用戶信息認(rèn)證方法����,所述方法包括下述步驟:
[0042] 1)認(rèn)證用戶身份;步驟1)中���,認(rèn)證用戶身份包括�����,用戶向服務(wù)器發(fā)送一個(gè)請(qǐng)求報(bào) 文�,服務(wù)器接收該報(bào)文后�,提取其包含的用戶IP地址和二進(jìn)制數(shù)的取反運(yùn)算規(guī)則;
[0043]利用該取反運(yùn)算規(guī)則對(duì)用戶IP地址按位取反�����,生成動(dòng)態(tài)密碼,回執(zhí)給用戶��;
[0044]用戶獲得動(dòng)態(tài)密碼后�,填寫用戶名和動(dòng)態(tài)密碼提交至服務(wù)器進(jìn)行認(rèn)證,若認(rèn)證成 功��,則允許進(jìn)入網(wǎng)絡(luò)系統(tǒng)�,轉(zhuǎn)至步驟2);否則登錄失敗�。
[0045] 2)構(gòu)建行為認(rèn)證集;步驟2)中的行為認(rèn)證集依據(jù)網(wǎng)絡(luò)安全規(guī)則進(jìn)行構(gòu)建;其包括 內(nèi)容異常數(shù)據(jù)����、習(xí)慣異常數(shù)據(jù)、安全異常數(shù)據(jù)和契約異常數(shù)據(jù)���。
[0046]內(nèi)容異常數(shù)據(jù)的獲取:例如某專業(yè)的學(xué)生大量下載與其專業(yè)不相關(guān)的學(xué)習(xí)資料��; 某用戶突然大量購買以往非常規(guī)商品等���。
[0047]習(xí)慣異常數(shù)據(jù)的獲取:每個(gè)終端用戶在使用云計(jì)算資源的時(shí)候,具有自己獨(dú)特的 行為操作習(xí)慣�����,例如對(duì)于熟悉自己云資源的老用戶來說,操作的流程可能是直接點(diǎn)擊用戶 以往常用的資源��,使用資源���,再釋放資源等���。對(duì)于欺騙者,使用網(wǎng)絡(luò)的習(xí)慣可能與原用戶有 所不同�����;
[0048] 安全異常數(shù)據(jù)的獲取:這種異常行為可能對(duì)系統(tǒng)形成巨大安全隱患��,造成系統(tǒng)破 壞�����,這個(gè)可以根據(jù)目前的入侵檢測規(guī)則作為我們行為安全檢測的認(rèn)證集��;
[0049] 契約異常數(shù)據(jù)的獲取:對(duì)于重要網(wǎng)絡(luò)服務(wù)來說�����,云服務(wù)提供商都與終端用戶簽訂 服務(wù)契約,對(duì)于非法用戶或者圖謀不軌的某些合法用戶都會(huì)在用戶行為中違反契約規(guī)定�����。
[0050] 3)基于D-S證據(jù)理論對(duì)用戶行為進(jìn)行可信認(rèn)證�;
[00511 D-S證據(jù)理論相關(guān)知識(shí)介紹如下:
[0052]定義1:設(shè)D為樣本空間,領(lǐng)域內(nèi)的命題都用D的子集表示
[005