用户登录认证方法及装置制造方法

用户登录认证方法及装置制造方法
【专利摘要】本发明公开了一种用户登录认证方法及装置。其中该方法包括：在用户输入登录信息的同时，根据预设的用户行为指标捕捉用户的输入行为特征数据；根据输入行为特征数据判断用户行为是否异常；当用户行为正常时，对登录信息进行验证；当用户行为异常时，对登录的用户进行身份验证，判断是否为合法用户本人进行的登录操作；当是合法用户本人进行的登录操作时，对登录信息进行验证；当不是合法用户本人进行的登录操作时，向合法用户本人发送告警信息。本发明还提供一种用于实现上述方法的用户登录认证装置。
【专利说明】用户登录认证方法及装置

【技术领域】
[0001] 本发明涉及业务支撑【技术领域】，尤其涉及一种用户登录认证方法及装置。

【背景技术】
[0002] 黑龙江移动对综合客户服务系统（CRM)、办公自动化系统（0A)等企业应用提供互 联网VPN访问接口，企业内部用户、第三方用户近15000人，登录认证模式主要采用静态密 码+动态短信口令相结合的双因子认证模式。
[0003] 如图1所示，现有技术方案处理流程阐述如下：
[0004] 1、用户通过访问 Web 页面 https://vpn. hi. chinamobile. com 登陆系统， Fir印ass4300 VPN接入网关接收到用户请求后返回SSLVPN系统登录页。
[0005] 2、用户在登陆页面输入用户名和静态密码，提交并等待系统验证。
[0006] 3、省内密码触发服务器接收用户名和静态密码，并发送给集团Radius认证服务 器；
[0007] 4、集团Radius认证服务器将收到的用户名、静态密码和用户统一管理平台数据 库的用户信息进行比对验证，验证成功，触发动态口令生成；验证失败，返回提示信息，要求 用户重新输入用户名和静态密码。
[0008] 5、SMAP动态口令生成服务器生成随机6位动态口令后，将生成的动态口令回传给 集团Radius认证服务器进行存储，同时触发短信服务器发送动态口令给用户。
[0009] 6、用户使用接收到的动态口令进行二次登录验证。
[0010] 7、省内密码触发服务器接收用户名和动态口令并发送给集团Radius服务器。
[0011] 8、集团Radius进行用户名和动态口令验证，验证成功，用户成功登录应用系统； 验证失败，返回提示信息，要求用户重新输入动态口令进行二次登录验证。
[0012] 如图2所示，现有系统拓扑结构中的SSLVPN系统使用基于静态密码的动态短信口 令对用户进行认证，认证系统的硬件配置为3台Firepass4300,其中由2台firepass4300 配置的容错对和第三台配置成集群工作模式。
[0013] 综上所述，目前的登录系统认证方式为用户名密码数据匹配认证，主要存在以下 技术弊端：
[0014] 1.传统的认证系统无法对整个认证过程进行监控分析，进而无法对认证结果进行 有效判断。传统的认证服务器对用户信息进行验证后，若验证登录成功则进入系统，否则登 录页将向用户提示"用户名或密码错误"的信息。这种认证技术的缺点在于：①非法用户将 错误用户名或密码进行多次输入试探时，系统将对该用户名进行冻结处理，继而造成正常 登录用户也将无法立即使用。②合法用户在输入了正确的用户名和密码时若被他人窃取， 非法用户能够模仿合法用户进行系统登录，从而窃取其重要资料，因而安全保障水平较低。
[0015] 2.发生非法登录或者登录信息被窃取时，管理员只能进行被动维护。由于现有技 术应用的传统认证方法对用户验证的方式相对简单，造成系统登录门槛较低，安全隐患众 多，极易被掌握一定作案手段的不法分子或者黑客团伙所利用。一旦发生非法登录或者登 录信息被窃取时，系统管理员无法在第一时间通过现有技术发现，只能通过用户的反馈来 进行被动维护，而此时已经造成了系统信息的安全泄露，所以此弊端亟待改善。


【发明内容】

[0016] 为了解决现有技术中非法登录或登录信息被盗窃引起信息安全性降低的技术问 题，本发明提出一种用户登录认证方法及装置。
[0017] 本发明的一个方面，提供一种用户登录认证方法，包括：
[0018] 在用户输入登录信息的同时，根据预设的用户行为指标捕捉用户的输入行为特征 数据；
[0019] 根据输入行为特征数据判断用户行为是否异常；
[0020] 当用户行为正常时，对登录信息进行验证；当用户行为异常时，对登录的用户进行 身份验证，判断是否为合法用户本人进行的登录操作；
[0021] 当是合法用户本人进行的登录操作时，对登录信息进行验证；当不是合法用户本 人进行的登录操作时，向合法用户本人发送告警信息。
[0022] 本发明的另一个方面，提供一种用户登录认证装置，包括：
[0023] 捕捉模块，用于在用户输入登录信息的同时，根据预设的用户行为指标捕捉用户 的输入行为特征数据；
[0024] 特征分析模块，用于根据输入行为特征数据判断用户行为是否异常；
[0025] 身份验证模块，当用户行为异常时，对登录的用户进行身份验证，判断是否为合法 用户本人进行的登录操作；
[0026] 登录验证模块，用于当用户行为正常时，对登录信息进行验证；当是合法用户本人 进行的登录操作时，对登录信息进行验证；
[0027] 告警模块，用于当不是合法用户本人进行的登录操作时，向合法用户本人发送告 警息。
[0028] 本发明的用户登录认证方法及装置，通过对用户登录时的输入行为进行分析，判 断是否为用户本人进行的输入操作。实现了用户登录时的基于用户特征习惯的深层次行为 分析检测，进一步提高用户登录系统安全等级，以保障业务访问质量、提高用户使用体验。 同时，降低了系统安全维护成本，降低故障率。

【专利附图】

【附图说明】
[0029] 图1是现有技术登录方法流程示意图；
[0030] 图2是现有技术登录系统结构示意图；
[0031] 图3是本发明用户登录认证方法实施例的流程图；
[0032] 图4是本发明用户行为指标之间的依赖关系不意图；
[0033] 图5是本发明用户行为异常分析实施例的流程图；
[0034] 图6是本发明计算用户行为异常概率实施例的流程图；
[0035] 图7是本发明的用户登录认证装置实施例的结构图；
[0036] 图8是本发明的捕捉模块实施例的结构图；
[0037] 图9是本发明的特征分析模块实施例的结构图；
[0038] 图10是本发明的登录系统的结构示意图；
[0039] 图11是本发明的登录方法的流程示意图。

【具体实施方式】
[0040] 以下结合附图对本发明进行详细说明。
[0041] 如图3所示，本发明的用户登录认证方法实施例包括以下步骤：
[0042] 步骤302,在用户输入登录信息的同时，根据预设的用户行为指标捕捉用户的输入 行为特征数据；
[0043] 步骤304,根据输入行为特征数据判断用户行为是否异常；当用户行为正常时，执 行步骤308 ;当用户行为异常时，执行步骤306 ;
[0044] 步骤306,对登录的用户进行身份验证，判断是否为合法用户本人进行的登录操 作；当是合法用户本人进行的登录操作时，执行步骤308 ;当不是合法用户本人进行的登录 操作时，执行步骤310 ;
[0045] 步骤308,对登录信息进行验证；
[0046] 步骤310,向合法用户本人发送告警信息。
[0047] 本发明用户行为指标主要包括以下四个：
[0048] (1)输入字符时间间隔指标
[0049] 输入字符时间间隔指标是一个时间范围，可定义为登录用户在输入登录用户名和 静态密码等多个字符时的时间间隔的一个平均值。从一定程度上讲，该指标可作为一种用 户对已设定的用户名和静态密码熟悉程度的一种判断，因而具有实际的应用价值。
[0050] (2)输入全部字符时间指标
[0051] 输入全部字符时间指标是一个时间段，为整个登录过程中用户进行输入操作时间 总和的标准范围，定义为从用户点击键盘输入操作开始到输入完最后一个字符为止的时 间。该指标可以用来衡量用户对登陆操作的熟练程度。
[0052] (3)按键频次指标
[0053] 按键频次指标为在用户整个登录过程中所有按键次数的总和，起止时间为输入全 部字符时间范围，包含正确、错误及回退等所有按键次数。该指标可以用来衡量用户对登陆 操作的熟练程度。
[0054] (4)更改次数指标
[0055] 更改次数指标为在用户整个登录过程中回退按键次数的总和，起止时间为输入全 部字符时间范围。该指标可以用来衡量用户对登陆操作的熟练程度。
[0056] 以上四项指标皆为在一定时间段内用户进行正常登录操作获取的指标值经过积 累、分析和提炼而形成的，具有非常强的数据真实性和实际可操作性。
[0057] 本发明中，主要针对输入字符时间间隔、输入全部字符时间、按键频次和更改次 数这四个用户行为指标进行捕捉，充分考虑到了用户在实际操作中可能产生的输入更改行 为这一重要特征，同时也考虑到了输入全部字符时间、按键频次这两项具有明显个人特征 兼具总和属性的重要指标值，而将按键持续时间这一意义不甚大的次要指标淡化，从而更 为合理、全面地捕捉用户行为特征的重要方面。将用户输入习惯和风格通过指标的形式进 行记录备案，捕捉行为过程对用户是透明无感知的，不会对客户的业务应用体验造成任何 不便。
[0058] 捕捉到的输入行为特征数据中包括捕捉到的输入字符时间间隔、输入全部字符时 间、按键频次和更改次数的数值。
[0059] 上述步骤302,捕捉用户的输入行为特征数据的具体方式如下：
[0060] 当检测到用户将光标定位在输入栏中并按下按键，判定为用户输入开始，记录输 入起始时间Time_InputBegin和用户按键时间Time_Press ;
[0061] 当检测到用户按下"登陆"键进行数据提交，判定为用户输入完全结束，记录输入 终止时间Time_InputEnd，并将按键频次Num_Sum赋值为1 ;
[0062] 当未检测到用户按下"登陆"键进行数据提交，判定为用户继续输入状态中，用户 每按一次除"登陆"键之外的按键，将按键频次Num_Sum的数值递增加1 ;
[0063] 当检测到用户每按一次回退按键，将更改次数Num_Change的数值递增加1 ;
[0064] 根据输入起始时间和输入终止时间计算输入全部字符时间Time_Sum=Time_ InputEnd_Time_InputBegin ;
[0065] 根据输入全部字符时间、用户按键时间和按键频次计算输入字符时间间隔Time_ Dwell=(Time_Sum-Time_Press*Num_Sum)/(Num_Sum-l);
[0066] 至此，捕捉算法结束。根据获取到的四项指标数值：用户输入字符时间间隔Time_ Dwel 1、用户输入全部字符时间Time_Sum、用户按键频次Num_Sum、用户更改次数Num_ Change进行后续步骤的处理。
[0067] 根据本发明涉及业务的数据指标特性，可以采用贝叶斯分类算法进行用户行为分 析。
[0068] 贝叶斯分类算法是一类利用概率统计知识进行分类的统计学分类方法，在其庞大 的方法体系中，朴素贝叶斯（Naive Bayesian，NB)分类算法是可以与决策树和神经网络分 类算法相媲美的被广泛采用的基础性算法，该算法能运用到大型数据库中，且方法简单、分 类准确率高、速度快。
[0069] 但由于贝叶斯定理假设一个属性值对给定类的影响独立于其它属性的值，而此假 设在实际情况中经常是不成立的，尤其在本发明中所要处理的实际问题中各种数据指标的 属性依赖关系较强，彼此间独立性相对较弱，会导致其分类准确率可能会下降。因此，本发 明采用贝叶斯分类算法体系中更符合实际问题的一种降低独立性假设的贝叶斯分类算法： TAN(Tree Augmented Bayes Network)算法。
[0070] TAN算法通过发现属性对之间的依赖关系来降低NB中任意属性之间独立的假设， 是在NB网络结构的基础上增加属性对之间的关联（边）来实现的
[0071] 如图4所示，图中结点表示属性，用有向边表示属性之间的依赖关系，属性Ai与Aj 之间的边意味着属性Ai对类别变量C的影响还取决于属性Aj的取值，此处类别变量C为 正常类别用户对象和异常类别用户对象。
[0072] 如图5所示，上述步骤304,根据输入行为特征数据判断用户行为是否异常具体包 括：
[0073] 步骤502,将历史捕捉的异常用户和正常用户的输入行为特征数据分别生成异常 行为数据集和正常行为数据集，将用户每次输入时的输入行为特征数据作为一个行为特征 字符串（以下简称TOKEN串），例如，输入字符时间间隔Time_Dwell=0. 8s、输入全部字符时 间 Time_Sum=15s、按键频次 Num_Sum=16、更改次数 Num_Change=2 等作为一个 TOKEN 串； [0074] 步骤504,从捕捉到用户当前的输入行为特征数据得到一个或多个TOKEN串；
[0075] 步骤506,计算TOKEN串在正常行为数据集和异常行为数据集的出现概率？"^)和 P2(ti)；
[0076] 步骤508,根据Pjti)和己(心）计算用户行为异常概率Ρ(Α/%);
[0077] 步骤510,将P (A/%)与预设的概率阈值进行比较，当P (A/%)超过概率阈值时，判 断该用户为异常用户。
[0078] 如图6所示，上述步骤508具体包括：
[0079] 步骤602,计算正常行为数据集和异常行为数据集对应的哈希表的长度LI、L2 ;
[0080] 步骤604,统计TOKEN串在正常行为数据集和异常行为数据集的出现次数F1、F2 ;
[0081] 步骤606,计算TOKEN串在正常行为数据集的出现概率&(&) = F1/L1 ;Τ0ΚΕΝ串 在异常行为数据集的出现概率：P2(ti) =F2/L2。
[0082] 步骤608,计算用户行为异常概率：
[0083]

【权利要求】
1. 一种用户登录认证方法，其特征在于，包括： 在用户输入登录信息的同时，根据预设的用户行为指标捕捉用户的输入行为特征数 据； 根据所述输入行为特征数据判断所述用户行为是否异常； 当所述用户行为正常时，对所述登录信息进行验证；当所述用户行为异常时，对所述登 录的用户进行身份验证，判断是否为合法用户本人进行的登录操作； 当是合法用户本人进行的登录操作时，对所述登录信息进行验证；当不是合法用户本 人进行的登录操作时，向所述合法用户本人发送告警信息。
2. 根据权利要求1所述的方法，其特征在于，所述用户行为指标包括： 输入字符时间间隔、输入全部字符时间、按键频次和更改次数； 所述输入行为特征数据中包括捕捉到的输入字符时间间隔、输入全部字符时间、按键 频次和更改次数的数值。
3. 根据权利要求2所述的方法，其特征在于，在用户输入登录信息的同时，根据预设的 用户行为指标捕捉用户的输入行为特征数据包括： 当检测到用户将光标定位在输入栏中并按下按键，判定为用户输入开始，记录输入起 始时间和用户按键时间； 当检测到用户按下"登陆"键进行数据提交，判定为用户输入完全结束，记录输入终止 时间，并将所述按键频次赋值为1 ; 当未检测到用户按下"登陆"键进行数据提交，判定为用户继续输入状态中，用户每按 一次除"登陆"键之外的按键，将所述按键频次的数值递增加1 ; 当检测到用户每按一次回退按键，将更改次数的数值递增加1 ; 根据所述输入起始时间和输入终止时间计算所述输入全部字符时间，根据所述输入全 部字符时间、所述用户按键时间和按键频次计算所述输入字符时间间隔。
4. 根据权利要求2或3所述的方法，其特征在于，根据所述输入行为特征数据判断所述 用户行为是否异常包括： 将历史捕捉的该用户的异常行为和正常行为的输入行为特征数据分别生成异常行为 数据集和正常行为数据集，将用户每次输入时的输入行为特征数据作为一个行为特征字符 串； 从捕捉到用户当前的输入行为特征数据得到一个或多个行为特征字符串； 计算行为特征字符串在所述正常行为数据集和异常行为数据集的出现概率，根据所述 行为特征字符串在所述正常行为数据集和异常行为数据集的出现概率计算用户行为异常 概率； 当所述用户行为异常概率超过预设的概率阈值时，判断该用户为行为异常用户。
5. 根据权利要求4所述的方法，其特征在于，计算行为特征字符串在所述正常行为数 据集和异常行为数据集的出现概率包括： 计算所述正常行为数据集和异常行为数据集对应的哈希表的长度； 统计所述行为特征字符串在所述正常行为数据集和异常行为数据集的出现次数； 计算所述行为特征字符串在所述正常行为数据集的出现概率为所述行为特征字符串 在所述正常行为数据集的出现次数除以正常行为数据集对应的哈希表的长度； 计算所述行为特征字符串在所述异常行为数据集的出现概率为所述行为特征字符串 在所述异常行为数据集的出现次数除以异常行为数据集对应的哈希表的长度。
6. 根据权利要求5所述的方法，其特征在于，根据所述行为特征字符串在所述正常行 为数据集和异常行为数据集的出现概率计算用户行为异常概率包括：
其中，A表示当前用户行为异常的事件，&表示行为特征字 符串，Ρ(Α/%)为从用户当前的输入行为特征数据得到行为特征字符串&时，该用户行为异 常概率，Pi (tj为所述行为特征字符串在所述正常行为数据集的出现概率，P2(ti)为所述行 为特征字符串在所述异常行为数据集的出现概率； 或 P (A/11； t2, . . . tn) = P (A/ti) *P (A/12) *. . . P (A/tn) / {P (A/*P (A/12) *. . . P (A/ tJ + ElKA/tWHl-Pa/h)]*··· [l-P(A/tn)]}其中，Ρ(Α/%，?2，…tn)为从用户当前的 输入行为特征数据得到η个行为特征字符串怀t 2,... tn时，该用户行为异常概率。
7. -种用户登录认证装置，其特征在于，包括： 捕捉模块，用于在用户输入登录信息的同时，根据预设的用户行为指标捕捉用户的输 入行为特征数据； 特征分析模块，用于根据所述输入行为特征数据判断所述用户行为是否异常； 身份验证模块，当所述用户行为异常时，对所述登录的用户进行身份验证，判断是否为 合法用户本人进行的登录操作； 登录验证模块，用于当所述用户行为正常时，对所述登录信息进行验证；当是合法用户 本人进行的登录操作时，对所述登录信息进行验证； 告警模块，用于当不是合法用户本人进行的登录操作时，向所述合法用户本人发送告 警息。
8. 根据权利要求7所述的装置，其特征在于，所述用户行为指标包括：输入字符时间间 隔、输入全部字符时间、按键频次和更改次数；所述输入行为特征数据中包括捕捉到的输入 字符时间间隔、输入全部字符时间、按键频次和更改次数的数值； 所述捕捉模块包括： 检测子模块，用于检测用户将光标定位在输入栏中并按下按键的行为，用户按下"登 陆"键进行数据提交的行为，用户按下除"登陆"键之外的按键的行为，用户按下回退按键的 行为； 计时子模块，用于当检测到用户将光标定位在输入栏中并按下按键，判定为用户输入 开始，记录输入起始时间和用户按键时间；当检测到用户按下"登陆"键进行数据提交，判定 为用户输入完全结束，记录输入终止时间； 计数子模块，用于当检测到用户按下"登陆"键进行数据提交，将所述按键频次赋值为 1 ;当未检测到用户按下"登陆"键进行数据提交，用户每按一次除"登陆"键之外的按键，将 所述按键频次的数值递增加1 ;当检测到用户每按一次回退按键，将更改次数的数值递增 加1 ; 计算子模块，根据所述输入起始时间和输入终止时间计算所述输入全部字符时间；根 据所述输入全部字符时间、所述用户按键时间和按键频次计算所述输入字符时间间隔。
9. 根据权利要求7所述的装置，其特征在于，所述特征分析模块包括： 数据集生成子模块，用于将历史捕捉的该用户的异常行为和正常行为的输入行为特征 数据分别生成异常行为数据集和正常行为数据集，将用户每次输入时的输入行为特征数据 作为一个行为特征字符串； 字符串生成子模块，用于从捕捉到用户当前的输入行为特征数据得到一个或多个行为 特征字符串； 计算子模块，用于计算行为特征字符串在所述正常行为数据集和异常行为数据集的出 现概率，并根据所述行为特征字符串在所述正常行为数据集和异常行为数据集的出现概率 计算用户行为异常概率； 比较子模块，用于将所述用户行为异常概率与预设的概率阈值进行比较，当所述用户 行为异常概率超过所述概率阈值时，判断该用户为异常用户。
10. 根据权利要求9所述的装置，其特征在于，所述计算子模块，用于计算所述正常行 为数据集和异常行为数据集对应的哈希表的长度；统计所述行为特征字符串在所述正常行 为数据集和异常行为数据集的出现次数；计算所述行为特征字符串在所述正常行为数据集 的出现概率为所述行为特征字符串在所述正常行为数据集的出现次数除以正常行为数据 集对应的哈希表的长度；计算所述行为特征字符串在所述异常行为数据集的出现概率为所 述行为特征字符串在所述异常行为数据集的出现次数除以异常行为数据集对应的哈希表 的长度。
11. 根据权利要求9所述的装置，其特征在于，所述计算子模块，用于计算用户行为异 常概率如下： PiA / ^.)=
，其中，A表示当前用户行为异常的事件，&表示行为特征字 符串，Ρ(Α/%)为从用户当前的输入行为特征数据得到行为特征字符串&时，该用户行为异 常概率，Pi(tj为所述行为特征字符串在所述正常行为数据集的出现概率，P2(ti)为所述行 为特征字符串在所述异常行为数据集的出现概率； 或 P (A/11； t2, . . . tn) = P (A/ti) *P (A/12) *. . . P (A/tn) / {P (A/*P (A/12) *. . . P (A/ tJ + ElKA/tWHl-Pa/h)]*··· [l-P(A/tn)]}其中，Ρ(Α/%，?2，…tn)为从用户当前的 输入行为特征数据得到η个行为特征字符串怀t 2,... tn时，该用户行为异常概率。
【文档编号】H04L9/32GK104301286SQ201310295620
【公开日】2015年1月21日 申请日期:2013年7月15日 优先权日:2013年7月15日
【发明者】李冰, 顾健, 王雅文, 李宏昌, 迟建德, 付载国, 李佳记, 于志卓 申请人:中国移动通信集团黑龙江有限公司