[发明专利]一种动态检测认证系统及其方法

说明书

本申请公开了一种动态检测认证系统和方法，该方法包括如下步骤：响应于用户的认证请求，获取环境参数；将环境参数输入预先构建的风险识别引擎，输出认证结果；根据认证结果认证用户。采用本申请提供的动态检测认证系统和方法能够实现预先为用户建模，根据不同的用户因人而异的确定风险等级，从而提供更加安全的认证环境。

技术领域

本申请涉及计算机领域，尤其涉及一种动态检测认证系统及其方法。

背景技术

用户在使用网络应用之前往往需要首先向身份认证系统提供身份凭证以证明自己的身份，因此身份认证的安全是应用安全的基础。为了保证身份认证的安全，在不同的身份认证系统中提供了很多种认证方式，包括用户名/口令、数字证书、生物特征和动态口令等认证方法。

但是上述认证方式均存在潜在的安全威胁，即攻击者伪造或者窃取用户的身份凭证实施登录，从而可以绕过现有的认证方式，实施成功的攻击。

为了保证登录认证的安全，现有技术基本上有两种解决方法，一种是加强认证因子的强度，另一种是编写规则根据认证请求的环境因素推导出风险级别，再根据风险级别采取措施。

不同的认证因子有不同的认证强度。用户名口令的认证强度最低，最容易被攻破；在生物特征中，指静脉的认证强度高于指纹，因为指纹可以被贴膜复制。为了提高认证强度，身份认证系统还采用多因子组合认证的方式，比如数字证书和指纹的双因子认证。

单纯提高认证强度只是增加了冒用身份凭证的难度，在攻击者冒用了身份凭证之后，认证强度就不再起作用了。单纯提高认证强度并不能解决身份凭证被冒用后的风险，既不能识别出身份凭证被冒用，更不能因为识别出风险而采用进一步的防护措施。

静态的固定的规则虽然能够识别登录过程中身份冒用的可能性，并提供额外的保护，但是它不能自适应地因人而异地确定风险等级，比如一个经常旅行的人，在不同地点登录应用系统是很正常的行为，不应被视为风险；另一个很少旅行的人，偶尔的更换登录地点本身蕴含着很大的风险。

发明内容

基于此，本申请提供一种动态检测认证系统及其方法，实现动态地、因人而异地、根据认证请求的环境参数识别出认证因子被冒用的风险，并根据风险实现进一步的管控措施。

本申请提出一种动态检测认证方法，包括如下步骤：响应于用户的认证请求，获取环境参数；将环境参数输入预先构建的风险识别引擎，输出认证结果；根据认证结果认证用户。

优选的，其中，响应于用户的认证请求，获取环境参数包括如下子步骤：从用户的认证请求中抽取待认证参数；对所述待认证参数进行数据预处理，以得到所述待认证用户的环境参数，所述预处理包括参数量化。

优选的，其中参数量化包括使用如下公式对认证错误次数T进行量化：

；

其中q为用户的认证错误次数T累计认证次数，T_q为认证错误次数T的第q次数据，R为参数T的量化结果。

优选的，其中还包括预先创建风险识别引擎的步骤，具体包括如下子步骤：

获取用户数据库；

从用户数据库中提取用户认证请求数据；

对认证请求数据进行预处理，获取环境参数；

将未存在于用户数据库中的环境参数添加到用户数据库中；

使用用户数据库中的数据进行训练，获得风险识别引擎。

优选的，其中环境参数包括发起认证的时间、发起认证的地点、发起认证的设备和准备接入的应用、认证错误次数量化值。