一种多因子用户身份动态认证系统及其方法

技术领域

本发明属于身份认证技术领域，具体涉及一种多因子用户身份动态认证系统及其方法。

背景技术

随着云计算和微服务技术的不断发展，种类繁多的用户身份认证和授信系统在一个项目中混合使用的情况经常出现，为接解决这个问题，很多厂商推出了新的用户认证方式，即统一用户认证平台或IAM(Identity and Access Management 身份识别与访问管理)系统。不同厂商所推出的产品或技术都是遵循自身公司关注的用户身份认证因子（如指纹、面部识别、私钥等）而开发，在实际应用场景中存在众多问题。

目前很多厂商已经认识到常规的以用户名、身份、动态验证码的身份认证技术的缺陷，推出了更为复杂的用户统一身份认证平台，用户统一身份认证平台更多的关注在用户的认证的适配性上，也就是IAM所提出的大4A解决方案，即认证、授权、审计、账号管理四大功能。用户统一身份认证平台解决了常规认证方式在应用场景中的弊端问题，很多厂商也在自己的统一身份认证平台中加入了更多的认证因子来实现更加安全的认证方式。但是现在市场上的用户统一认证平台都存在着一个重大问题就是无法满足一个大型平台中的多个应用或服务，对其认证方式的需求是不一样的问题，导致简单的应用在进行部署时，无法灵活的选择合适的认证因子来进行授信，只能被动的受用户统一认证平台的认证规则来一步步的开展认证和授信。

发明内容

本发明要解决的技术问题是克服现有的缺陷，提供一种多因子用户身份动态认证系统及其方法，以解决上述背景技术中提出的无法满足一个大型平台中的多个应用或服务，对其认证方式的需求是不一样的问题，导致简单的应用在进行部署时，无法灵活的选择合适的认证因子来进行授信，只能被动的受用户统一认证平台的认证规则来一步步的开展认证和授信的问题。

为实现上述目的，本发明提供如下技术方案：一种多因子用户身份动态认证系统，包括认证系统，所述认证系统包括用户管理、角色管理、授权管理、授信环境设置、认证计算、证书管理和接口，所述用户管理包括用户注册、用户信息管理和用户注销，所述授信环境设置包括授信策略名称、授信客体、授信主体、计算因子及其权重、授信动作、授信阈值、认证评率和计算结果，所述接口包括认证请求接口、认证因子接入接口、认证因子调用接口、认证因子退出接口、证书签发接口、证书更新接口、证书销毁接口、令牌签发接口、令牌更新接口和令牌销毁接口。

一种多因子用户身份动态认证方法，包括以下步骤：

步骤一：管理员对授信环境进行设置，授信环境设置是对用户进行认证计算时所依托的计算环境信息的设置功能，其解决系统在应用场景中的灵活性问题，通过对计算环境的设置，来应对不同应用场景下不同认证方式的要求，授信环境设置是为安全管理人员提供一个人机交互界面，来获取安全管理人员的安全设置需求并将其转化为认证策略下发给认证计算单元，由认证计算单元执行该认证策略进行认证计算并返回认证结果，授信环境的设置，对认证频率进行设定，从而驱动认证计算单元动态的对用户进行认证；

步骤二：认证计算是执行授信环境所生成的认证策略的认证计算单元，其通过认证因子获取接口，将实时的认证因子、系统存储的认证因子比对计算，并根据各认证因子的权重进行逻辑回归（Logistic Regression）算法计算；

步骤三：用户通过用户管理的功能模块实现用户注册、用户信息管理和用户注销等功能；

步骤四：管理员使用角色管理对多角色的用户进行管理，可按照需求对用户进行角色划分和管理；

步骤五：授权管理提供了针对用户、角色的授权服务，以接口方式将微服务的权限与用户和角色进行关联的功能；

步骤六：在经过认证计算后，系统会根据计算环境设置生成响应的令牌或证书，该功能是对证书、令牌的状态进行监控的功能服务；

步骤七：本系统不破坏原有用户统一认证框架，是以接口的方式将用户认证计算嵌入到应用平台中，提供丰富的接口来实现快速接入。

优选的，所述步骤二中，认证计算首先要进行数据的预处理，将离散变量转化为哑变量，即为0,1类变量，例如将计算因子口令、人脸识别、指纹、声纹、虹膜、地理位置、网络位置……，经过哑变量转化处理后为口令是否正确、人脸识别是否匹配、指纹是否匹配、声纹是否匹配、虹膜是否匹配、地理位置是否在规范区域内、网络位置是否正确……，

对变量线性化处理，需要针对连续型且非单调性变量进行WOE处理，用WOE指替换指标值，以实现数据之间的线性关系。WOE计算公式为WOE=In(%good/%bad)，其中%good表示非安全用户构成，%bad表示正常用户构成，

非安全用户比率被定义为一个记录被划分为非安全的评估概率与划分为正常的评估概率之间的比率，将估算非安全概率用p表示，估算正常概率为1-p。因此可以定义发生比：

Odds=p/(1-p)

设定的分值刻度是可以将分值表示为比率（Odds）的线性表达式来定义。如下所示：

Score=A-B*log(Odds)

其中：A,B都为常数。其中A称为补偿分数，B称为刻度，它们可以通过两个已知或者假设的分支代入计算得到，一是在某个特定比率设定特定的预期分值，二是指定比率翻番的分数（PDO），

首先，设定比率y的特定点的分值为P0，然后，比率为2y的点的分值为P0+PDO,代入上式可以得到如下两个等式：

P0=A-B*log(y)

P0+PDO=A-B*log(2y)

解上述两个方程中的常数A和B，可以得到：

B=PDO/log(2)

A=P0+B*log(y)

对于logistic回归算法，Odds表示为：

Log(Odds)=B0+B1*X1+B2*X2+……+BnXn

根据授信环境设置的计算因子权重代入上式进行计算。

优选的，所述步骤七中，接口中的认证请求接口是实现应用场景中需要认证服务时，应用发起请求的接口，一般情况下与微服务网关对接。实现请求的接收和调度。

优选的，所述步骤七中，接口中的认证因子接入接口是实现多认证因子接入的入口，比如指纹识别，通过接入该接口，认证因子的获取系统只有接入了本系统，才能够融合如本系统，该接口是实现多认证因子融合的重要入口。

优选的，所述步骤七中，接口中的认证因子调用接口是本系统调用认证因子设备、系统的重要接口，当认证因子接入到系统后，通过该接口系统才能调用各个认证因子进行认证因子获取。

优选的，所述步骤七中，接口中的认证因子退出接口，当认证因子的系统或设备不在本系统的融合范围内时，需要调用本接口进行认证因子的退出。

优选的，所述步骤七中，接口中的证书签发、更新和销毁接口，当认证计算完成后，系统会生成响应的用户证书进行签发，证书签发接口是实现证书签发的接口；证书更新接口在动态认证过程中，会对用户证书进行更新，每次认证计算都会都证书进行一次更新，将认证的结果写入证书，以便在应用系统能够使用更加有效的证书；证书销毁接口在进行认证计算，得到的结果是不安全的情况下，系统会对用户证书进行销毁，用户证书一旦销毁，该用户的所有操作都不再被允许。

优选的，所述步骤七中，接口中的令牌签发、更新和销毁接口，令牌签发接口在认证计算完成后，系统会生成响应的用户令牌进行签发，该接口是实现令牌签发的接口；令牌更新接口在动态认证过程中，会对用户令牌进行更新，每次认证计算都会都令牌进行一次更新，将认证的结果写入证书，以便在应用系统能够使用更加有效的令牌；令牌销毁接口在系统进行认证计算，得到的结果是不安全的情况下，系统会对用户令牌进行销毁，用户令牌一旦销毁，该用户的所有操作都不再被允许。

优选的，所述步骤七中，用户认证完成后，系统自动将用户接入各种应用服务中。

与现有技术相比，本发明提供了一种多因子用户身份动态认证系统及其方法，具备以下有益效果：

1、本发明通过设置的认证算法，以认证算法为核心，融合用户名、密码、动态验证码、手机验证码、身份证号、生物质因子（人脸识别、指纹、虹膜、声纹）、地位位置、网络位置、用户习惯操作等多认证因子，通过认证算法对用户进行授信，以达到更加精准的用户认证技术；

2、本发明通过融合了足够多的用户认证因子，并且可以根据应用或服务的不同需求，为应用服务配置符合本服务用户认证要求的认证因子，在进行授信计算时，该方案的认证算法都能够支持，这种方式更加的灵活高效，且符合云计算和微服务部署要求；

3、本发明通过采用了零信任中的动态认证规则，在系统用户通过认证后，系统持续监控用户的授信状态，通过对用户认证因子的实时监控来确保用户的合法性不被破坏。

附图说明

附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本发明的实施例一起用于解释本发明，并不构成对本发明的限制，在附图中：

图1为本发明提出的多因子用户身份动态认证系统及其方法的系统示意图；

图2为本发明提出的多因子用户身份动态认证系统及其方法中具体实施时的系统图；

图3为本发明提出的多因子用户身份动态认证系统及其方法的中认证系统的结构示意图；

图4为本发明提出的多因子用户身份动态认证系统及其方法中用户管理的结构示意图；

图5为本发明提出的多因子用户身份动态认证系统及其方法中授信环境设置的结构示意图；

图6为本发明提出的多因子用户身份动态认证系统及其方法中接口的结构示意图；

图中：1、认证系统；2、用户管理；201、用户注册；202、用户信息管理；203、用户注销；3、角色管理；4、授权管理；5、授信环境设置；501、授信策略名称；502、授信客体；503、授信主体；504、计算因子及其权重；505、授信动作；506、授信阈值；507、认证评率；508、计算结果；6、认证计算；7、证书管理；8、接口；801、认证请求接口；802、认证因子接入接口；803、认证因子调用接口；804、认证因子退出接口；805、证书签发接口；806、证书更新接口；807、证书销毁接口；808、令牌签发接口；809、令牌更新接口；810、令牌销毁接口。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

请参阅图1-6，本发明提供一种技术方案：一种多因子用户身份动态认证系统，包括认证系统1，认证系统1包括用户管理2、角色管理3、授权管理4、授信环境设置5、认证计算6、证书管理7和接口8，用户管理2包括用户注册201、用户信息管理202和用户注销203，授信环境设置5包括授信策略名称501、授信客体502、授信主体503、计算因子及其权重504、授信动作505、授信阈值506、认证评率507和计算结果508，接口8包括认证请求接口801、认证因子接入接口802、认证因子调用接口803、认证因子退出接口804、证书签发接口805、证书更新接口806、证书销毁接口807、令牌签发接口808、令牌更新接口809和令牌销毁接口810。

一种多因子用户身份动态认证方法，包括以下步骤：

步骤一：管理员对授信环境进行设置，授信环境设置是对用户进行认证计算时所依托的计算环境信息的设置功能，其解决系统在应用场景中的灵活性问题，通过对计算环境的设置，来应对不同应用场景下不同认证方式的要求，授信环境设置是为安全管理人员提供一个人机交互界面，来获取安全管理人员的安全设置需求并将其转化为认证策略下发给认证计算单元，由认证计算单元执行该认证策略进行认证计算并返回认证结果，授信环境的设置，对认证频率进行设定，从而驱动认证计算单元动态的对用户进行认证；

步骤二：认证计算是执行授信环境所生成的认证策略的认证计算单元，其通过认证因子获取接口，将实时的认证因子、系统存储的认证因子比对计算，并根据各认证因子的权重进行逻辑回归Logistic Regression算法计算；

步骤三：用户通过用户管理的功能模块实现用户注册、用户信息管理和用户注销等功能；

步骤四：管理员使用角色管理对多角色的用户进行管理，可按照需求对用户进行角色划分和管理；

步骤五：授权管理提供了针对用户、角色的授权服务，以接口方式将微服务的权限与用户和角色进行关联的功能；

步骤六：在经过认证计算后，系统会根据计算环境设置生成响应的令牌或证书，该功能是对证书、令牌的状态进行监控的功能服务；

步骤七：本系统不破坏原有用户统一认证框架，是以接口的方式将用户认证计算嵌入到应用平台中，提供丰富的接口来实现快速接入。

本发明中，优选的，步骤二中，认证计算首先要进行数据的预处理，将离散变量转化为哑变量，即为0,1类变量，例如将计算因子口令、人脸识别、指纹、声纹、虹膜、地理位置、网络位置……，经过哑变量转化处理后为口令是否正确、人脸识别是否匹配、指纹是否匹配、声纹是否匹配、虹膜是否匹配、地理位置是否在规范区域内、网络位置是否正确……，

对变量线性化处理，需要针对连续型且非单调性变量进行WOE处理，用WOE指替换指标值，以实现数据之间的线性关系。WOE计算公式为WOE=In(%good/%bad)，其中%good表示非安全用户构成，%bad表示正常用户构成，

非安全用户比率被定义为一个记录被划分为非安全的评估概率与划分为正常的评估概率之间的比率，将估算非安全概率用p表示，估算正常概率为1-p。因此可以定义发生比：

Odds=p/(1-p)

设定的分值刻度是可以将分值表示为比率Odds的线性表达式来定义。如下所示：

Score=A-B*log(Odds)

其中：A,B都为常数。其中A称为补偿分数，B称为刻度，它们可以通过两个已知或者假设的分支代入计算得到，一是在某个特定比率设定特定的预期分值，二是指定比率翻番的分数PDO，

首先，设定比率y的特定点的分值为P0，然后，比率为2y的点的分值为P0+PDO,代入上式可以得到如下两个等式：

P0=A-B*log(y)

P0+PDO=A-B*log(2y)

解上述两个方程中的常数A和B，可以得到：

B=PDO/log(2)

A=P0+B*log(y)

对于logistic回归算法，Odds表示为：

Log(Odds)=B0+B1*X1+B2*X2+……+BnXn

根据授信环境设置的计算因子权重代入上式进行计算，本发明通过设置的认证算法，以认证算法为核心，融合用户名、密码、动态验证码、手机验证码、身份证号、生物质因子（人脸识别、指纹、虹膜、声纹）、地位位置、网络位置、用户习惯操作等多认证因子，通过认证算法对用户进行授信，以达到更加精准的用户认证技术。

本发明中，优选的，步骤七中，接口中的认证请求接口是实现应用场景中需要认证服务时，应用发起请求的接口，一般情况下与微服务网关对接。实现请求的接收和调度。

本发明中，优选的，步骤七中，接口中的认证因子接入接口是实现多认证因子接入的入口，比如指纹识别，通过接入该接口，认证因子的获取系统只有接入了本系统，才能够融合如本系统，该接口是实现多认证因子融合的重要入口，本发明通过融合了足够多的用户认证因子，并且可以根据应用或服务的不同需求，为应用服务配置符合本服务用户认证要求的认证因子，在进行授信计算时，该方案的认证算法都能够支持，这种方式更加的灵活高效，且符合云计算和微服务部署要求。

本发明中，优选的，步骤七中，接口中的认证因子调用接口是本系统调用认证因子设备、系统的重要接口，当认证因子接入到系统后，通过该接口系统才能调用各个认证因子进行认证因子获取。

本发明中，优选的，步骤七中，接口中的认证因子退出接口，当认证因子的系统或设备不在本系统的融合范围内时，需要调用本接口进行认证因子的退出。

本发明中，优选的，步骤七中，接口中的证书签发、更新和销毁接口，当认证计算完成后，系统会生成响应的用户证书进行签发，证书签发接口是实现证书签发的接口；证书更新接口在动态认证过程中，会对用户证书进行更新，每次认证计算都会都证书进行一次更新，将认证的结果写入证书，以便在应用系统能够使用更加有效的证书；证书销毁接口在进行认证计算，得到的结果是不安全的情况下，系统会对用户证书进行销毁，用户证书一旦销毁，该用户的所有操作都不再被允许。

本发明中，优选的，步骤七中，接口中的令牌签发、更新和销毁接口，令牌签发接口在认证计算完成后，系统会生成响应的用户令牌进行签发，该接口是实现令牌签发的接口；令牌更新接口在动态认证过程中，会对用户令牌进行更新，每次认证计算都会都令牌进行一次更新，将认证的结果写入证书，以便在应用系统能够使用更加有效的令牌；令牌销毁接口在系统进行认证计算，得到的结果是不安全的情况下，系统会对用户令牌进行销毁，用户令牌一旦销毁，该用户的所有操作都不再被允许。

本发明中，优选的，步骤七中，用户认证完成后，系统自动将用户接入各种应用服务中。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。