本發(fā)明涉及身份驗(yàn)證，具體是涉及一種多因素動(dòng)態(tài)身份驗(yàn)證與訪問(wèn)控制系統(tǒng)。

背景技術(shù)：

1、隨著信息技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)安全問(wèn)題日益嚴(yán)峻。傳統(tǒng)的單一因素身份驗(yàn)證方式，如僅依賴用戶名和密碼，已難以滿足現(xiàn)代網(wǎng)絡(luò)環(huán)境下的安全需求。因此，多因素動(dòng)態(tài)身份驗(yàn)證與訪問(wèn)控制系統(tǒng)應(yīng)運(yùn)而生，通過(guò)結(jié)合多種身份驗(yàn)證因素及動(dòng)態(tài)評(píng)估機(jī)制，顯著提升系統(tǒng)的安全性和可靠性。本方案旨在詳細(xì)介紹一種新型的多因素動(dòng)態(tài)身份驗(yàn)證與訪問(wèn)控制系統(tǒng)，該系統(tǒng)集成了身份與訪問(wèn)控制、生物識(shí)別、策略級(jí)授權(quán)（pbac）等多種技術(shù)，實(shí)現(xiàn)了對(duì)用戶訪問(wèn)過(guò)程的全面監(jiān)控與實(shí)時(shí)保護(hù)。

技術(shù)實(shí)現(xiàn)思路

1、本發(fā)明的目的是提供一種多因素動(dòng)態(tài)身份驗(yàn)證與訪問(wèn)控制系統(tǒng)，以實(shí)現(xiàn)了對(duì)用戶訪問(wèn)過(guò)程的全面監(jiān)控與實(shí)時(shí)保護(hù)。

2、為實(shí)現(xiàn)上述目的，本發(fā)明提供如下技術(shù)方案：一種多因素動(dòng)態(tài)身份驗(yàn)證與訪問(wèn)控制系統(tǒng)，包括用戶管理模塊、生物識(shí)別模塊、策略級(jí)授權(quán)模塊、動(dòng)態(tài)評(píng)估模塊以及接口模塊。

3、用戶管理模塊用于用戶的注冊(cè)、信息管理及注銷，用戶注冊(cè)時(shí)，需提交基本身份信息及至少一種生物質(zhì)因子信息，系統(tǒng)將上述信息加密后存儲(chǔ)在安全數(shù)據(jù)庫(kù)中，用戶信息管理模塊允許用戶修改個(gè)人信息及重置密碼操作，用戶注銷時(shí)，系統(tǒng)將清除用戶的所有登錄狀態(tài)及會(huì)話信息，確保用戶身份的安全退出。

4、生物識(shí)別模塊采用生物識(shí)別技術(shù)，對(duì)用戶的生物特征進(jìn)行采集、處理及比對(duì)，該生物識(shí)別模塊與生物認(rèn)證平臺(tái)聯(lián)動(dòng)對(duì)接，將用戶的基本信息及生物特征信息推送至生物認(rèn)證平臺(tái)進(jìn)行統(tǒng)一管理和驗(yàn)證，在用戶請(qǐng)求訪問(wèn)時(shí)，系統(tǒng)通過(guò)生物識(shí)別模塊實(shí)時(shí)采集用戶的生物特征信息，并與預(yù)存的生物特征信息進(jìn)行比對(duì)，以驗(yàn)證用戶的真實(shí)身份。

5、策略級(jí)授權(quán)模塊用于根據(jù)用戶身份、訪問(wèn)應(yīng)用的敏感度等級(jí)及終端類型因素，動(dòng)態(tài)生成并應(yīng)用不同的訪問(wèn)控制策略，iam平臺(tái)將用戶請(qǐng)求的過(guò)程向量與預(yù)設(shè)的規(guī)則向量進(jìn)行比對(duì)，以確定用戶的訪問(wèn)權(quán)限及所需的認(rèn)證方式，策略級(jí)授權(quán)模塊支持靈活的認(rèn)證策略配置，以滿足不同場(chǎng)景下的安全需求。

6、動(dòng)態(tài)評(píng)估模塊負(fù)責(zé)對(duì)用戶訪問(wèn)過(guò)程進(jìn)行實(shí)時(shí)監(jiān)控與評(píng)估，當(dāng)用戶請(qǐng)求訪問(wèn)應(yīng)用資源時(shí)，動(dòng)態(tài)評(píng)估模塊會(huì)根據(jù)用戶的認(rèn)證結(jié)果、訪問(wèn)行為及系統(tǒng)安全狀態(tài)因素，綜合評(píng)估用戶的訪問(wèn)風(fēng)險(xiǎn)，若評(píng)估結(jié)果顯示用戶訪問(wèn)存在異?；驖撛陲L(fēng)險(xiǎn)，系統(tǒng)將自動(dòng)觸發(fā)安全響應(yīng)機(jī)制，此外，動(dòng)態(tài)評(píng)估模塊還支持持續(xù)驗(yàn)證與評(píng)估，即在用戶訪問(wèn)過(guò)程中不斷收集新的認(rèn)證因素及行為數(shù)據(jù)，對(duì)用戶的訪問(wèn)權(quán)限進(jìn)行動(dòng)態(tài)調(diào)整。

7、接口模塊用于提供系統(tǒng)與其他系統(tǒng)或應(yīng)用之間的交互接口，通過(guò)接口模塊，系統(tǒng)能夠接收來(lái)自其他系統(tǒng)或應(yīng)用的認(rèn)證請(qǐng)求及訪問(wèn)請(qǐng)求，并返回相應(yīng)的認(rèn)證結(jié)果及訪問(wèn)權(quán)限信息，接口模塊支持多種通信協(xié)議和數(shù)據(jù)格式，確保系統(tǒng)能夠與其他系統(tǒng)或應(yīng)用無(wú)縫集成。

8、作為本發(fā)明的優(yōu)選方案，生物質(zhì)因子信息至少包括指紋、虹膜、聲紋或面部特征的其中一種。

9、作為本發(fā)明的優(yōu)選方案，生物識(shí)別技術(shù)至少包括人臉識(shí)別技術(shù)、指紋識(shí)別技術(shù)、虹膜識(shí)別技術(shù)或聲紋識(shí)別技術(shù)的其中一種。

10、作為本發(fā)明的優(yōu)選方案，向量包括至少用戶id、應(yīng)用系統(tǒng)id、終端類型。

11、作為本發(fā)明的進(jìn)一步方案，認(rèn)證策略配置包括基于時(shí)間的訪問(wèn)控制認(rèn)證策略配置、基于地理位置的訪問(wèn)控制認(rèn)證策略配置及基于行為的訪問(wèn)控制認(rèn)證策略配置。

12、作為本發(fā)明的優(yōu)選方案，安全響應(yīng)機(jī)制包括加強(qiáng)認(rèn)證機(jī)制、限制訪問(wèn)機(jī)制或觸發(fā)報(bào)警機(jī)制。

13、作為本發(fā)明的優(yōu)選方案，通信協(xié)議包括傳輸層協(xié)議、網(wǎng)絡(luò)層協(xié)議、應(yīng)用層協(xié)議、數(shù)據(jù)鏈路層協(xié)議以及物理層協(xié)議，數(shù)據(jù)格式包括文本格式、二進(jìn)制格式、json以及xml。

14、作為本發(fā)明的優(yōu)選方案，該系統(tǒng)采用多認(rèn)證因子融合算法對(duì)用戶身份進(jìn)行驗(yàn)證，該算法以認(rèn)證算法為核心，融合用戶名、密碼、動(dòng)態(tài)驗(yàn)證碼、手機(jī)驗(yàn)證碼、生物質(zhì)因子、地理位置、網(wǎng)絡(luò)位置及用戶習(xí)慣操作多認(rèn)證因子，算法首先對(duì)用戶提交的基本認(rèn)證信息進(jìn)行初步驗(yàn)證；然后結(jié)合生物識(shí)別模塊的驗(yàn)證結(jié)果；最后根據(jù)用戶的地理位置、網(wǎng)絡(luò)位置及歷史訪問(wèn)行為信息進(jìn)行綜合評(píng)估，多認(rèn)證因子融合算法通過(guò)加權(quán)求和或模糊邏輯方法，將多個(gè)認(rèn)證因素的結(jié)果進(jìn)行融合處理，以得出最終的驗(yàn)證結(jié)果。

15、作為本發(fā)明的進(jìn)一步方案，該系統(tǒng)采用動(dòng)態(tài)評(píng)估模型實(shí)現(xiàn)持續(xù)驗(yàn)證與評(píng)估，該動(dòng)態(tài)評(píng)估模型基于機(jī)器學(xué)習(xí)算法和大數(shù)據(jù)分析技術(shù)構(gòu)建而成，能夠?qū)崟r(shí)分析用戶的訪問(wèn)行為及系統(tǒng)安全狀態(tài)信息，動(dòng)態(tài)評(píng)估模型通過(guò)不斷學(xué)習(xí)和優(yōu)化算法參數(shù)，提高對(duì)用戶訪問(wèn)行為的預(yù)測(cè)準(zhǔn)確性和風(fēng)險(xiǎn)評(píng)估能力，當(dāng)用戶請(qǐng)求訪問(wèn)應(yīng)用資源時(shí)，動(dòng)態(tài)評(píng)估模型會(huì)根據(jù)用戶的當(dāng)前狀態(tài)及歷史行為數(shù)據(jù)信息進(jìn)行評(píng)估；若評(píng)估結(jié)果顯示用戶訪問(wèn)存在異?；驖撛陲L(fēng)險(xiǎn)，則自動(dòng)觸發(fā)相應(yīng)的安全響應(yīng)機(jī)制。

16、作為本發(fā)明的進(jìn)一步方案，該系統(tǒng)采用策略級(jí)授權(quán)策略配置實(shí)現(xiàn)靈活訪問(wèn)控制，并利用iam平臺(tái)提供豐富的策略配置選項(xiàng)和靈活的策略組合方式，允許管理員根據(jù)應(yīng)用的敏感度等級(jí)及用戶的角色權(quán)限信息定制不同的訪問(wèn)控制策略，策略級(jí)授權(quán)策略配置包括基于時(shí)間的訪問(wèn)控制策略、基于地理位置的訪問(wèn)控制策略及基于行為的訪問(wèn)控制策略。

17、相比于現(xiàn)有技術(shù)，本發(fā)明一種多因素動(dòng)態(tài)身份驗(yàn)證與訪問(wèn)控制系統(tǒng)通過(guò)集成多種先進(jìn)技術(shù)，實(shí)現(xiàn)了高效、安全、靈活的訪問(wèn)控制管理，提升整體系統(tǒng)的安全性和用戶體驗(yàn)，多因素動(dòng)態(tài)身份驗(yàn)證機(jī)制有效抵御了單一因素認(rèn)證帶來(lái)的安全風(fēng)險(xiǎn)，實(shí)時(shí)動(dòng)態(tài)評(píng)估與監(jiān)控機(jī)制能夠及時(shí)發(fā)現(xiàn)并應(yīng)對(duì)潛在的安全威脅，靈活的策略級(jí)授權(quán)策略可以根據(jù)不同場(chǎng)景下的安全需求動(dòng)態(tài)調(diào)整訪問(wèn)控制策略，生物識(shí)別技術(shù)提供便捷、快速的認(rèn)證方式，減少用戶記憶復(fù)雜密碼的負(fù)擔(dān)，系統(tǒng)支持多種通信協(xié)議和數(shù)據(jù)格式，確保與其他系統(tǒng)或應(yīng)用的兼容性和易用性，用戶管理模塊實(shí)現(xiàn)用戶信息的集中管理和高效維護(hù)，iam平臺(tái)提供豐富的策略配置選項(xiàng)和靈活的策略組合方式，便于管理員進(jìn)行定制化的訪問(wèn)控制管理，多認(rèn)證因子融合算法、動(dòng)態(tài)評(píng)估模型等技術(shù)的應(yīng)用推動(dòng)身份驗(yàn)證與訪問(wèn)控制領(lǐng)域的技術(shù)創(chuàng)新，系統(tǒng)架構(gòu)的設(shè)計(jì)為后續(xù)的功能擴(kuò)展和性能優(yōu)化提供良好的基礎(chǔ)。

技術(shù)特征：

1.一種多因素動(dòng)態(tài)身份驗(yàn)證與訪問(wèn)控制系統(tǒng)，其特征在于：

2.根據(jù)權(quán)利要求1所述的多因素動(dòng)態(tài)身份驗(yàn)證與訪問(wèn)控制系統(tǒng)，其特征在于：所述生物質(zhì)因子信息至少包括指紋、虹膜、聲紋或面部特征的其中一種。

3.根據(jù)權(quán)利要求1所述的多因素動(dòng)態(tài)身份驗(yàn)證與訪問(wèn)控制系統(tǒng)，其特征在于：所述生物識(shí)別技術(shù)至少包括人臉識(shí)別技術(shù)、指紋識(shí)別技術(shù)、虹膜識(shí)別技術(shù)或聲紋識(shí)別技術(shù)的其中一種。

4.根據(jù)權(quán)利要求1所述的多因素動(dòng)態(tài)身份驗(yàn)證與訪問(wèn)控制系統(tǒng)，其特征在于：所述向量包括至少用戶id、應(yīng)用系統(tǒng)id、終端類型。

5.根據(jù)權(quán)利要求4所述的多因素動(dòng)態(tài)身份驗(yàn)證與訪問(wèn)控制系統(tǒng)，其特征在于：所述認(rèn)證策略配置包括基于時(shí)間的訪問(wèn)控制認(rèn)證策略配置、基于地理位置的訪問(wèn)控制認(rèn)證策略配置及基于行為的訪問(wèn)控制認(rèn)證策略配置。

6.根據(jù)權(quán)利要求1所述的多因素動(dòng)態(tài)身份驗(yàn)證與訪問(wèn)控制系統(tǒng)，其特征在于：所述安全響應(yīng)機(jī)制包括加強(qiáng)認(rèn)證機(jī)制、限制訪問(wèn)機(jī)制或觸發(fā)報(bào)警機(jī)制。

7.根據(jù)權(quán)利要求1所述的多因素動(dòng)態(tài)身份驗(yàn)證與訪問(wèn)控制系統(tǒng)，其特征在于：所述通信協(xié)議包括傳輸層協(xié)議、網(wǎng)絡(luò)層協(xié)議、應(yīng)用層協(xié)議、數(shù)據(jù)鏈路層協(xié)議以及物理層協(xié)議，所述數(shù)據(jù)格式包括文本格式、二進(jìn)制格式、json以及xml。

8.根據(jù)權(quán)利要求1所述的多因素動(dòng)態(tài)身份驗(yàn)證與訪問(wèn)控制系統(tǒng)，其特征在于：該系統(tǒng)采用多認(rèn)證因子融合算法對(duì)用戶身份進(jìn)行驗(yàn)證，該算法以認(rèn)證算法為核心，融合用戶名、密碼、動(dòng)態(tài)驗(yàn)證碼、手機(jī)驗(yàn)證碼、生物質(zhì)因子、地理位置、網(wǎng)絡(luò)位置及用戶習(xí)慣操作多認(rèn)證因子，算法首先對(duì)用戶提交的基本認(rèn)證信息進(jìn)行初步驗(yàn)證；然后結(jié)合生物識(shí)別模塊的驗(yàn)證結(jié)果；最后根據(jù)用戶的地理位置、網(wǎng)絡(luò)位置及歷史訪問(wèn)行為信息進(jìn)行綜合評(píng)估，多認(rèn)證因子融合算法通過(guò)加權(quán)求和或模糊邏輯方法，將多個(gè)認(rèn)證因素的結(jié)果進(jìn)行融合處理，以得出最終的驗(yàn)證結(jié)果。

9.根據(jù)權(quán)利要求8所述的多因素動(dòng)態(tài)身份驗(yàn)證與訪問(wèn)控制系統(tǒng)，其特征在于：該系統(tǒng)采用動(dòng)態(tài)評(píng)估模型實(shí)現(xiàn)持續(xù)驗(yàn)證與評(píng)估，該動(dòng)態(tài)評(píng)估模型基于機(jī)器學(xué)習(xí)算法和大數(shù)據(jù)分析技術(shù)構(gòu)建而成，能夠?qū)崟r(shí)分析用戶的訪問(wèn)行為及系統(tǒng)安全狀態(tài)信息，動(dòng)態(tài)評(píng)估模型通過(guò)不斷學(xué)習(xí)和優(yōu)化算法參數(shù)，提高對(duì)用戶訪問(wèn)行為的預(yù)測(cè)準(zhǔn)確性和風(fēng)險(xiǎn)評(píng)估能力，當(dāng)用戶請(qǐng)求訪問(wèn)應(yīng)用資源時(shí)，動(dòng)態(tài)評(píng)估模型會(huì)根據(jù)用戶的當(dāng)前狀態(tài)及歷史行為數(shù)據(jù)信息進(jìn)行評(píng)估；若評(píng)估結(jié)果顯示用戶訪問(wèn)存在異常或潛在風(fēng)險(xiǎn)，則自動(dòng)觸發(fā)相應(yīng)的安全響應(yīng)機(jī)制。

10.根據(jù)權(quán)利要求9所述的多因素動(dòng)態(tài)身份驗(yàn)證與訪問(wèn)控制系統(tǒng)，其特征在于：該系統(tǒng)采用策略級(jí)授權(quán)策略配置實(shí)現(xiàn)靈活訪問(wèn)控制，并利用iam平臺(tái)提供豐富的策略配置選項(xiàng)和靈活的策略組合方式，允許管理員根據(jù)應(yīng)用的敏感度等級(jí)及用戶的角色權(quán)限信息定制不同的訪問(wèn)控制策略，策略級(jí)授權(quán)策略配置包括基于時(shí)間的訪問(wèn)控制策略、基于地理位置的訪問(wèn)控制策略及基于行為的訪問(wèn)控制策略。

技術(shù)總結(jié)
本發(fā)明公開(kāi)的一種多因素動(dòng)態(tài)身份驗(yàn)證與訪問(wèn)控制系統(tǒng)，包括用戶管理模塊、生物識(shí)別模塊、策略級(jí)授權(quán)模塊、動(dòng)態(tài)評(píng)估模塊以及接口模塊，其中用戶管理模塊用于用戶的注冊(cè)、信息管理及注銷；生物識(shí)別模塊采用生物識(shí)別技術(shù)，對(duì)用戶的生物特征進(jìn)行采集、處理及比對(duì)；策略級(jí)授權(quán)模塊用于根據(jù)用戶身份、訪問(wèn)應(yīng)用的敏感度等級(jí)及終端類型因素；動(dòng)態(tài)評(píng)估模塊負(fù)責(zé)對(duì)用戶訪問(wèn)過(guò)程進(jìn)行實(shí)時(shí)監(jiān)控與評(píng)估；接口模塊用于提供系統(tǒng)與其他系統(tǒng)或應(yīng)用之間的交互接口。本發(fā)明通過(guò)集成多種先進(jìn)技術(shù)，實(shí)現(xiàn)高效、安全、靈活的訪問(wèn)控制管理，提升整體系統(tǒng)的安全性和用戶體驗(yàn)。

技術(shù)研發(fā)人員：周貞棠,鄭劍榮,李小玢,張廷琪,葛向亮
受保護(hù)的技術(shù)使用者：浙江華數(shù)數(shù)智科技有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2025/1/9