身份认证方法、装置、存储介质及电子设备与流程

1.本发明涉及计算机技术领域，尤其涉及一种身份认证方法、装置、存储介质及电子设备。


背景技术：

2.身份认证是保障计算机系统安全性的重要手段。目前，身份认证通常是针对单一用户的身份安全进行处理。有一些身份认证方式仅能对用户当前的权限进行控制。而且仅在用户登陆时进行身份认证，这样如果用户在登陆之后通过其他方式对访问进行了篡改，那么就不能改变当前用户的认证状态，这样会导致系统处于危险中。


技术实现要素：

3.有鉴于此，本发明一个或多个实施例提供一种身份认证方法、装置、存储介质及电子设备，能够有效提高系统的安全性。
4.本发明一个或多个实施例提供了一种身份认证方法，包括：响应于第一用户的登陆请求，获取所述第一用户的授信评分，其中，所述授信评分与所述第一用户的历史登陆情况相关；根据所述第一用户的授信评分确定是否允许所述第一用户登陆；根据所述第一用户本次的登陆情况，提高或降低所述第一用户的授信评分。
5.可选的，在根据所述第一用户的评分确定是否允许所述第一用户登陆之后，所述方法还包括：根据所述第一用户本次的登陆情况，提高或降低与所述第一用户关联的其他用户的授信评分，其中，与所述第一用户关联的其他用户是与所述第一用户属于同一组的用户。
6.可选的，在响应于第一用户的登陆请求，获取所述第一用户的授信评分之前，所述方法还包括：获取用户的特征数据，其中，所述特征数据至少包括以下一种：用户名、用户所属的组、用户的类别以及用户的授信评分；根据所述特征数据对用户进行分组。
7.可选的，在所述第一用户登陆之后，所述方法还包括：获取系统的安全性指标；若所述安全性指标表明所述系统处于不安全状态，降低所述第一用户以及与所述第一用户关联的其他用户的授信评分。
8.可选的，在响应于第一用户的登陆请求，获取所述第一用户的授信评分之前，所述方法还包括：根据各用户的授信评分将用户划分为单点授信用户以及普通用户，其中，单点授信用户具有提高其组内普通用户的授信评分的权限。
9.可选的，在所述第一用户登陆之后，所述方法还包括：获取系统的安全性指标；若所述安全性指标表明所述系统处于不安全状态，禁止所述普通用户登陆；获取所述单点授信用户提高其组内其他第二用户的授权评分的请求；根据所述请求提高所述第二用户的授信评分；根据所述第二用户的授信评分确定是否允许所述第二用户登陆。
10.本发明一个或多个实施例还提供了一种身份认证装置，包括：第一获取模块，被配置为响应于第一用户的登陆请求，获取所述第一用户的授信评分，其中，所述授信评分由所
述第一用户的历史登陆情况决定；确定模块，被配置为根据所述第一用户的授信评分确定是否允许所述第一用户登陆；第一评分模块，被配置为根据所述第一用户本次的登陆情况，提高或降低所述第一用户的授信评分。
11.可选的，所述装置还包括：第二评分模块，被配置为在根据所述第一用户的评分确定是否允许所述第一用户登陆之后，根据所述第一用户本次的登陆情况，提高或降低与所述第一用户关联的其他用户的授信评分，其中，与所述第一用户关联的其他用户是与所述第一用户属于同一组的用户。
12.可选的，所述装置还包括：第二获取模块，被配置为在响应于第一用户的登陆请求，获取所述第一用户的授信评分之前，获取用户的特征数据，其中，所述特征数据至少包括以下一种：用户名、用户所属的组、用户的类别以及用户的授信评分；分组模块，被配置为根据所述特征数据对用户进行分组。
13.可选的，所述装置还包括：第三获取模块，被配置为在所述第一用户登陆之后，获取系统的安全性指标；第三评分模块，被配置为若所述安全性指标表明所述系统处于不安全状态，降低所述第一用户以及与所述第一用户关联的其他用户的授信评分。
14.可选的，所述装置还包括：划分模块，被配置为在响应于第一用户的登陆请求，获取所述第一用户的授信评分之前，根据各用户的授信评分将用户划分为单点授信用户以及普通用户，其中，单点授信用户具有提高其组内普通用户的授信评分的权限。
15.可选的，所述装置还包括：第四获取模块，被配置为在所述第一用户登陆之后，获取系统的安全性指标；禁止模块，被配置为若所述安全性指标表明所述系统处于不安全状态，禁止所述普通用户登陆；第五获取模块，被配置为获取所述单点授信用户提高其组内其他第二用户的授权评分的请求；第四评分模块，被配置为根据所述请求提高所述第二用户的授信评分；确定模块，被配置为根据所述第二用户的授信评分确定是否允许所述第二用户登陆。
16.本发明一个或多个实施例还提供了一种电子设备，所述电子设备包括：壳体、处理器、存储器、电路板和电源电路，其中，电路板安置在壳体围成的空间内部，处理器和存储器设置在电路板上；电源电路，用于为所述电子设备的各个电路或器件供电；存储器用于存储可执行程序代码；处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行上述任意一种身份认证方法。
17.本发明一个或多个实施例还提供了一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令用于使所述计算机执行上述任意一种身份认证方法。
18.本发明一个或多个实施例的身份认证方法、装置、存储介质及电子设备，响应于第一用户的登陆请求，获取第一用户的授信评分，根据第一用户的授信评分确定是否允许第一用户登陆，根据第一用户本次的登陆情况提高或降低第一用户的授信评分，从而可根据用户的历史登陆情况来对用户进行身份认证，可有效保证计算机系统的安全性。
附图说明
19.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本
发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。
20.图1是根据本发明一个或多个实施例示出的一种身份认证方法的流程图；
21.图2是根据本发明一个或多个实施例示出的一种身份认证方法的流程图；
22.图3是根据本发明一个或多个实施例示出的一种身份认证装置的结构示意图；
23.图4是根据本发明一个或多个实施例示出的一种电子设备的结构示意图。
具体实施方式
24.下面结合附图对本发明实施例进行详细描述。
25.应当明确，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。
26.图1是根据本发明一个或多个实施例示出的一种身份认证方法的流程图，如图1所示，该方法包括：
27.步骤101：响应于第一用户的登陆请求，获取所述第一用户的授信评分，其中，所述授信评分与所述第一用户的历史登陆情况相关；
28.可选的，上述第一用户的登陆请求中可以包括第一用户的身份信息，例如可以包括第一用户的用户名以及登陆密码。在上述步骤101中，可先核对第一用户的用户名以及登陆密码是否正确，在第一用户的用户名以及登陆密码均正确的基础上，再获取第一用户的授信评分。以待后续核对第一用户的授信评分是否满足预设授信评分阈值，从而可在第一用户的用户名以及密码均正确且第一用户的授信评分也满足预设授信评分阈值的情况下，才允许第一用户登陆
29.在本发明的一个或多个实施例中，可采用一套统一的评分机制根据用户登陆系统的情况对各用户进行授信评分，得到对应于各用户的授信评分，例如，用户a成功登陆系统，则提高用户a的授信评分，又例如，用户b在登陆系统的过程中出现问题，如登陆失败或异常登陆，则降低用户b的授信评分。采用统一的评分机制对用户进行评分，可减少身份认证过程中的人工干预，简化认证流程。且用户的授信评分可作为后续身份认证的基础。
30.步骤102：根据所述第一用户的授信评分确定是否允许所述第一用户登陆；
31.在本发明的一个或多个实施例中，用户所登陆的系统例如可以指计算机系统，基于此，对于不同风险等级的计算机，在对待登陆用户进行身份认证时，可基于不同的认证标准执行。例如，各计算机按照风险等级被划分为高风险计算机(例如绝密计算机)、中风险计算机(例如涉密计算机)以及低风险计算机(例如开放计算机)，各不同风险等级的计算机对应于不同的授信评分阈值。高风险计算机对应的授信评分阈值最高，中风险计算机对应的授信评分阈值次高，低风险计算机对应的授信评分阈值最低。在步骤102中，若第一用户的授信评分不低于其待登陆的计算机的风险等级所对应的授信评分阈值，则允许第一用户登陆，否则不允许第一用户登陆。
32.步骤103：根据所述第一用户本次的登陆情况，提高或降低所述第一用户的授信评分。
33.在本发明的一个或多个实施例中，若第一用户本次成功登陆，则可提高第一用户
的授信评分，例如，可在第一用户原本的授信评分的基础上增加预设的分值。若第一用户本次登陆失败，或异常登陆，则可降低第一用户的授信评分，例如，可在第一用户原本的授信评分的基础上减少预设的分值。
34.本发明一个或多个实施例的身份认证方法，响应于第一用户的登陆请求，获取第一用户的授信评分，根据第一用户的授信评分确定是否允许第一用户登陆，根据第一用户本次的登陆情况提高或降低第一用户的授信评分，从而可根据用户的历史登陆情况来对用户进行身份认证，可有效保证计算机系统的安全性。
35.在本发明的一个或多个实施例中，在用户登陆系统后，也需对用户的认证信息进行实时处理，从而实现对用户的安全实现全周期的覆盖，基于此，在根据所述第一用户的评分确定是否允许所述第一用户登陆之后，身份认证方法还可包括：
36.根据所述第一用户本次的登陆情况，提高或降低与所述第一用户关联的其他用户的授信评分，其中，与所述第一用户关联的其他用户是与所述第一用户属于同一组的用户。其中，第一用户本次的登陆情况包括但不限于登陆成功、登陆失败以及异常登陆。可在第一用户本次登陆成功时，在该第一用户以及与该第一用户关联的其他用户原本的授信评分的基础上增加预设的分值；可在第一用户本次登陆失败或异常登陆时，在该第一用户以及与该第一用户关联的其他用户原本的授信评分的基础上减去预设的分值，若系统中存在危险登陆，可对组内授信评分低于阈值的用户限制登陆。基于此，可保证系统下的各用户均可按照其自身或其所属组内成员的登陆情况进行评分。
37.在本发明的一个或多个实施例中，在响应于第一用户的登陆请求，获取所述第一用户的授信评分之前，身份认证方法还可包括：
38.获取用户的特征数据，其中，所述特征数据至少包括以下一种：
39.用户名、用户所属的组、用户的类别以及用户的授信评分；
40.其中，获取用户的特征数据可以是获取系统所有用户的特征数据。用户名用于标识用户的身份；用户所属的组，例如可以是创建该用户时所指定的组，该组可能与根据用户特征数据所划分的组不同，也可能相同，用户的类别例如可以包括：数据对应的用户(具有使用某些数据的权限的用户)、服务的用户(具有使用某些服务的权限的用户)、中间件对应的用户(具有使用某些中间件的权限的用户)以及管理员身份的用户。
41.根据所述特征数据对用户进行分组。
42.可选的，可以使用聚类算法根据各用户的特征数据对用户进行分组，例如可以使用k
‑
means聚类算法或其他已知聚类算法，本发明实施例对此不做具体限定。
43.在本发明的一个或多个实施例中，在所述第一用户登陆之后，身份认证方法还可包括：获取系统的安全性指标；若所述安全性指标表明所述系统处于不安全状态，降低所述第一用户以及与所述第一用户关联的其他用户的授信评分。其中，获取系统的安全性指标例如可以包括：用户是否有危险的操作行为，或登陆设备是否处于危险状态，若用户有危险的操作行为或登陆设备处于危险状态，可确定系统处于不安全状态。危险的操作行为例如可包括用户的异常行为、威胁行为以及误操作行为等。其中，降低第一用户以及与第一用户关联的其他用户的授信评分可以是分别在第一用户以及与第一用户关联的其他用户的已有的授权评分的基础上减去预设的分值。
44.在本发明的一个或多个实施例中，在响应于第一用户的登陆请求，获取所述第一
用户的授信评分之前，身份认证方法还可包括：根据各用户的授信评分将用户划分为单点授信用户以及普通用户，其中，单点授信用户具有提高其组内普通用户的授信评分的权限。如上文所述，系统按照统一的评分制度为各用户进行评分，使得各用户具有对应的授信评分。在对用户进行划分时，可以以组为单位，分别将各组内的各用户划分为单点授信用户以及普通用户。例如，对于一组内的多个用户，可将其中授信评分远高于(例如授信评分较其他用户高出某一预设数值)其他用户，且授信评分高于预设的标准评分值的用户划分为单点授信用户，将其余用户划分为普通用户。又或者，可直接将系统所有的用户划分为单点授信用户以及普通用户，将系统的用户中授信评分远高于其他用户且授信评分高于预设的标准评分值的用户划分为单点授信用户，将其余用户划分为普通用户。基于单点授信用户与普通用户的划分，在系统处于不安全状态时，可通过单点授信用户向普通用户授信的方式，例如，提高普通用户的授信评分，或直接给予普通用户登陆权限，使得普通用户也可在系统处于不安全状态时，安全登陆。
45.在本发明的一个或多个实施例中，在所述第一用户登陆之后，身份认证方法还可包括：
46.获取系统的安全性指标；
47.若所述安全性指标表明所述系统处于不安全状态，禁止所述普通用户登陆；
48.获取所述单点授信用户提高其组内其他第二用户的授权评分的请求；可选的，单点授信用户可请求将其组内用户的授信评分直接提高至上述授信评分阈值，或请求将组内用户的授信评分提高一指定的分值。
49.根据所述请求提高所述第二用户的授信评分；可选的，在提高第二用户的授信评分时，可对第二用户进行识别，判断第二用户是否是导致系统处于不安全状态的用户，若第二用户是导致系统处于不安全状态的用户，则可不提高第二用户的授信评分，以实现动态授信，突破了传统身份认证方式中仅能在用户的登录时进行认证的局限，使得身份安全能够覆盖用户操作的全周期。
50.在本发明的一个或多个实施例中，当计算机中存在严重危险信息或者系统遭受攻击时，普通用户会被禁止登陆，关联用户也会禁止登陆。但此时为了保证系统的稳定性，需保证单点授信用户能够正常登陆。通过实时对认证信息进行处理，单点授信用户可开启授权模式。通过单点授信用户对与其关联的用户进行授信，从而可保证一部分用户能够正常登陆。从而可防止由于过多用户无法登陆导致系统无法正常工作造成的情况，保证系统的稳定性。
51.根据所述第二用户的授信评分确定是否允许所述第二用户登陆。此外，若在提高第二用户的授信评分时未考虑第二用户是否是导致系统处于不安全状态的用户，也可在确定是否允许第二用户登陆时，再对该第二用户进行判断，若判断出该第二用户是导致系统处于不安全状态的用户，则限制其登陆；若第二用户不是导致系统处于不安全状态的用户，第二用户的授信评分满足上述授信评分阈值时，则允许第二用户登陆。
52.本发明一个或多个实施例的身份认证方法、装置、存储介质及电子设备，响应于第一用户的登陆请求，获取第一用户的授信评分，根据第一用户的授信评分确定是否允许第一用户登陆，根据第一用户本次的登陆情况提高或降低第一用户的授信评分，从而可根据用户的历史登陆情况来对用户进行身份认证，可有效保证计算机系统的安全性。在第一用
户登陆后，根据第一用户本次登陆的情况提高或降低与第一用户关联的其他用户的授信评分，可对用户的安全实现全周期的覆盖。对用户进行分组，可以使得具有类似特征的用户可被划分为一组，可以以组为单位对用户的授信评分进行调整，便于对用户的管理。在第一用户登陆后，根据系统的安全状态对第一用户及其关联用户的授信评分进行处理，可有效降低危险用户对系统造成的危害。根据用户的授信评分将用户划分为单点授信用户以及普通用户，赋予单点授信用户给其组内普通用户授信的权项，可在系统处于不安全状态时，使得组内普通用户也能安全登陆系统，保障了系统的稳定性。在系统处于不安全状态时，通过单点授信用户提高其组内的普通用户的授信评分，可使得其组内普通用户也可安全登陆系统，防止了由于过多用户无法登陆导致系统无法正常工作，保障了系统的稳定性。
53.为了便于对本发明实施例的身份认证方法的理解，以下结合图2，以一实例对本发明实施例的身份认证方法进行示例性说明。如图2所示，该方法包括：
54.步骤201：针对所有用户进行统一评分；
55.步骤202：按照评分(如上述授信评分)区别用户的级别；
56.步骤203：判断是否是高评分用户，例如评分远高于其他用户的用户，将高评分用户确定为单点授信用户，将低评分用户确定为普通用户；
57.步骤204：对用户进行聚类处理，与单点授信用户属于一组的用户为该单点授信用户的关联认证用户(即上述关联用户)。
58.步骤205：实时认证信息处理，若用户安全登陆，提高关联认证用户的评分，若系统存在危险信息则降低关联认证用户的评分，若有关联认证用户的评分低于指定评分，禁止该关联认证用户登陆；
59.步骤206：若存在严重危险信息或系统遭受攻击，通过单点授信用户对关联认证用户进行授信登陆。
60.图3是根据本发明一个或多个实施例示出的一种身份认证装置的结构示意图，如图3所示，该装置30包括：
61.第一获取模块31，被配置为响应于第一用户的登陆请求，获取所述第一用户的授信评分，其中，所述授信评分与所述第一用户的历史登陆情况相关；
62.确定模块32，被配置为根据所述第一用户的授信评分确定是否允许所述第一用户登陆；
63.第一评分模块33，被配置为根据所述第一用户本次的登陆情况，提高或降低所述第一用户的授信评分。
64.在本发明的一个或多个实施例中，身份认证装置还可包括：
65.第二评分模块，被配置为在根据所述第一用户的评分确定是否允许所述第一用户登陆之后，根据所述第一用户本次的登陆情况，提高或降低与所述第一用户关联的其他用户的授信评分，其中，与所述第一用户关联的其他用户是与所述第一用户属于同一组的用户。
66.在本发明的一个或多个实施例中，身份认证装置还可包括：
67.第二获取模块，被配置为在响应于第一用户的登陆请求，获取所述第一用户的授信评分之前，获取用户的特征数据，其中，所述特征数据至少包括以下一种：用户名、用户所属的组、用户的类别以及用户的授信评分；分组模块，被配置为根据所述特征数据对用户进
行分组。
68.在本发明的一个或多个实施例中，身份认证装置还可包括：
69.第三获取模块，被配置为在所述第一用户登陆之后，获取系统的安全性指标；
70.第三评分模块，被配置为若所述安全性指标表明所述系统处于不安全状态，降低所述第一用户以及与所述第一用户关联的其他用户的授信评分。
71.在本发明的一个或多个实施例中，身份认证装置还可包括：
72.划分模块，被配置为在响应于第一用户的登陆请求，获取所述第一用户的授信评分之前，根据各用户的授信评分将用户划分为单点授信用户以及普通用户，其中，单点授信用户具有提高其组内普通用户的授信评分的权限。
73.在本发明的一个或多个实施例中，身份认证装置还可包括：
74.第四获取模块，被配置为在所述第一用户登陆之后，获取系统的安全性指标；
75.禁止模块，被配置为若所述安全性指标表明所述系统处于不安全状态，禁止所述普通用户登陆；
76.第五获取模块，被配置为获取所述单点授信用户提高其组内其他第二用户的授权评分的请求；
77.第四评分模块，被配置为根据所述请求提高所述第二用户的授信评分；
78.确定模块，被配置为根据所述第二用户的授信评分确定是否允许所述第二用户登陆。
79.本发明一个或多个实施例还提供了一种电子设备，所述电子设备包括：壳体、处理器、存储器、电路板和电源电路，其中，电路板安置在壳体围成的空间内部，处理器和存储器设置在电路板上；电源电路，用于为所述电子设备的各个电路或器件供电；存储器用于存储可执行程序代码；处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行上述任意一种身份认证方法。
80.本发明一个或多个实施例还提供了一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令用于使所述计算机执行上述任意一种身份认证方法。
81.相应的，如图4所示，本发明的实施例提供的电子设备，可以包括：壳体41、处理器42、存储器43、电路板44和电源电路45，其中，电路板44安置在壳体41围成的空间内部，处理器42和存储器43设置在电路板44上；电源电路45，用于为所述服务器的各个电路或器件供电；存储器43用于存储可执行程序代码；处理器42通过读取存储器43中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行前述实施例提供的任一种身份认证方法。
82.需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
83.本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。
84.尤其，对于装置实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
85.为了描述的方便，描述以上装置是以功能分为各种单元/模块分别描述。当然，在实施本发明时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。
86.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(read
‑
only memory，rom)或随机存储记忆体(random access memory，ram)等。
87.以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。