身份鉴权的方法及装置制造方法

身份鉴权的方法及装置制造方法
【专利摘要】本发明公开了一种身份鉴权的方法及装置，涉及互联网【技术领域】，能够解决互联网应用中个人账户无法得到切实保护的问题。本发明涉及的方法包括：获取用户的特征数据；根据所述特征数据分析所述用户的账号安全状态；查找与所述账号安全状态对应的操作权限；执行所述账号安全状态对应的操作权限。本发明主要应用于账号安全性检测的过程中。
【专利说明】身份鉴权的方法及装置

【技术领域】
[0001] 本发明涉及互联网【技术领域】，尤其涉及一种身份鉴权的方法及装置。

【背景技术】
[0002] 目前，社交网站（SocialNetworkingServices,简称SNS)以及众多应用都需要用 户注册个人账户。个人账户中的数据大多涉及用户的私人信息，这些私人信息不宜泄露给 他人。为保证个人账户的安全性，在登录个人账户时通常需要用户输入用户名以及密码，网 络侧站点通过一系列算法对用户输入的密码进行鉴权，从而实现对用户的身份鉴权。
[0003] 然而密码鉴权仅仅是用户身份鉴权的一关，鉴权成功并不能代表用户的个人账户 绝对安全。例如，黑客通过非法手段在网页页面中嵌入了备份程序，当用户在登录页面中输 入用户名和密码时，黑客可以通过备份程序窃取到用户名和密码，然后通过窃取到的用户 名和密码登录用户的个人账户。也就是说，即使密码或密码鉴权算法再过复杂，也存在个人 账户被盗的可能，个人账户的安全性无法得到绝对的保障。
[0004] 随着互联网社交化的不断发展，出于提高用户间粘连性的考虑，社交网站会向用 户提供丰富多彩的互动应用，例如开心农场等网页游戏。这些应用通常涉及经验值、电子货 币、装备等虚拟财产，如果用户的个人账户被盗，则用户个人的虚拟财产也存在被盗用、交 易的风险。目前，全球越来越多的国家开始认可包括比特币（Bitcoin，即电子货币）在内的 虚拟财产的法律地位，虚拟财产作为互联网用户人身财产的一部分，如何与用户的私人信 息一起得到可靠的保护，是当前互联网应用中亟待解决的一个问题。


【发明内容】

[0005] 本发明实施例提供一种身份鉴权的方法及装置，能够解决互联网应用中个人账户 无法得到切实保护的问题。
[0006] -方面，本发明实施例提供了一种身份鉴权的方法，包括：
[0007] 获取用户的特征数据；
[0008] 根据所述特征数据分析所述用户的账号安全状态；
[0009] 查找与所述账号安全状态对应的操作权限；
[0010] 执行所述账号安全状态对应的操作权限。
[0011] 另一方面，本发明实施例还提供了一种身份鉴权的装置，包括：
[0012] 数据获取单元，用于获取用户的特征数据；
[0013] 状态分析单元，用于根据所述数据获取单元获取的所述特征数据分析所述用户的 账号安全状态；
[0014] 权限查找单元，用于查找与所述状态分析单元分析的所述账号安全状态对应的操 作权限；
[0015] 权限执行单元，用于执行所述权限查找单元查找的所述账号安全状态对应的操作 权限。
[0016] 本发明实施例提供的身份鉴权的方法及装置，能够获取用户进行网络操作时的特 征数据，根据获取的特征数据分析，用户操作行为习惯的可靠性，由此得出用户的账号安全 状态，然后查找并执行与账号安全状态对应的操作权限。对于可靠性较高的用户，账号的安 全性较高，可以赋予用户较高的操作权限，而对于可靠性较低的用户，则账号的安全性也较 低，需要赋予用户较低的操作权限甚至取消该用户的操作权限，以防他人盗用合法用户账 号的情况的发生，由此实现用户账号的安全性管理。由于用户的特征数据由每个用户的特 定行为习惯所决定，而每一个用户的行为习惯又不尽相同，因此与人类的指纹或虹膜类似， 特征数据具有较强的唯一性和不可复制性，与现有技术中的登录密码相比，他人几乎无法 模仿或盗取其他用户的特征数据，因而能够实现对互联网应用中个人账户的切实保护。

【专利附图】

【附图说明】
[0017] 为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现 有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本 发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以 根据这些附图获得其他的附图。
[0018] 图1为本发明实施例中第一个身份鉴权的方法的流程图；
[0019] 图2为本发明实施例中第二个身份鉴权的方法的流程图；
[0020] 图3为本发明实施例中特征数据与账号安全状态之间映射关系的示意图；
[0021] 图4为本发明实施例中人工神经网络的架构示意图；
[0022] 图5为本发明实施例中三种综合特征数据模型的示意图；
[0023] 图6为本发明实施例中站点选取的特征数据模型的示意图；
[0024] 图7为本发明实施例中第一个身份鉴权的装置的结构示意图；
[0025] 图8为本发明实施例中第二个身份鉴权的装置的结构示意图；
[0026] 图9为本发明实施例中第三个身份鉴权的装置的结构示意图；
[0027] 图10为本发明实施例中第四个身份鉴权的装置的结构示意图。

【具体实施方式】
[0028] 下面将结合本实施例中的附图，对本实施例中的技术方案进行清楚、完整地描述， 显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的 实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都 属于本发明保护的范围。
[0029] 为使用户账号的安全得到切实保护，本实施例提供了一种身份鉴权的方法，用以 通过用户特征数据鉴权的方式对用户操作权限进行授权，从而使他人无法用户的账号进行 非法操作。如图1所示，所述方法包括：
[0030] 101、获取用户的特征数据。
[0031] 网络侧站点(后续简称为站点）对用户进行操作时产生的特征数据进行获取，所述 操作包括用户对电子设备的操作或者对互联网网页的操作，所述特征数据用于描述用户上 网的行为习惯，例如账号登录时间、使用电子设备的设备标识、用户的账号等级等，本实施 例对此不做穷尽列举。
[0032] 站点获取特征数据的时机可以是在用户登录账号之前，对用户触发的一般操作进 行获取，也可以在用户登录账号时(或之后一段时间内）对用户触发的涉及账号的操作进行 获取，本实施例对获取特征数据的时机不做限制。
[0033] 102、根据特征数据分析用户的账号安全状态。
[0034] 站点根据分析策略选择一种或多种特征数据进行组合计算账号安全状态分值，根 据账号安全状态分值得出相应的账号安全状态。本实施例中，账号安全状态可以是"安全" 与"不安全"两种对立结果，也可以是多个不同程度的状态等级，例如"1级状态"、"2级状 态"、"3级状态"、"4级状态"等，其中可以预设"1级状态"最为安全，"4级状态"最不安全。
[0035] 站点可以通过划分分值段的方式将账号安全状态分值与账号安全状态进行关联。 例如，分值高于80分的账号对应安全状态"安全"，分值低于60分的账号对应安全状态"不 安全";或者，将满分100分划分为10个分值段，每一个分值段对应一级安全状态，由此得到 十级安全状态等，本实施例对账号安全状态的划分规则以及账号安全状态分值与账号安全 状态的对应算法仅为事例性说明，不作为对实际应用的限制。
[0036] 103、查找与账号安全状态对应的操作权限。
[0037] 站点中可以预设有账号安全状态与操作权限关联的映射关系表，站点在获得账号 安全状态(级别）后，根据该映射关系表自动查找对应的操作权限。
[0038] 本实施例中，所述操作权限包括但不限于"完全权限"、"完全无权限"，也可以包括 "部分权限"，例如"访客权限"、"允许操作权限"、"信息发布权限"或者"信息修改权限"。
[0039] 104、执行账号安全状态对应的操作权限。
[0040] 当用户登录账号后站点根据执行的操作权限限制用户的操作行为，例如禁止登录 账号、或者允许登录账号等。
[0041] 现有技术中对用户账号进行保护的方式主要是通过密码鉴权验证用户的个人身 份，如果密码鉴权成功则用户可以登录账号，如果密码鉴权失败则用户无法登录账号。这 种身份鉴权的方式虽然能够保证密码的唯一性，但是无法保证验证依据与用户本人的粘合 性。他人可以通过推断或技术手段获得用户的密码，例如推断密码为用户生日，或通过备份 程序盗取用户密码等，这种情况下验证依据与用户本人实际脱离。
[0042] 本实施例中，站点可以根据用户的操作行为提取用户的特征数据，将特征数据作 为判断账号安全状态以及授权操作权限的依据。例如，某账号的实际用户通常在下午7点 通过IP地址为a的电子设备登录账号进行游戏，如果某一天站点检测到该用户在上午10 点通过IP地址为b的电子设备登录账号，并且较多次数的输入密码，则站点判断该账号存 在被盗号风险，因此降低用户的操作权限，仅允许用户进行浏览，以防他人盗用用户账号修 改其个人信息。由于用户的特征数据与用户个人的使用习惯密切相关，他人几乎无法效仿 或窃取，因此以用户的特征数据作为身份鉴权的依据，可以避免现有技术中验证依据与用 户本人实际脱离的问题，真正实现对用户本人的身份鉴权，由此可以切实提高个人账户的 安全性。
[0043] 作为对图1所示实施例的详细说明及进一步扩展，本实施例还提供了一种身份鉴 权的方法，如图2所示，所述方法包括：
[0044] 201、获取用户操作事件的行为特征数据以及账号的历史特征数据。
[0045] 用于用户身份鉴权的数据包括动态数据和静态数据两部分，其中所谓动态数据即 为用户操作事件的行为特征数据，所谓静态数据即为账号的历史特征数据。
[0046] 行为特征数据是用户对某一事件进行操作时实际产生的操作数据，具有较强的时 效性。例如用户打开浏览器，通过某检索网页进入账号登录网页，手动输入用户名和密码； 再例如用户进入某门户网站，浏览某项主题图片，然后播放视频等。在本实施例中，站点获 取用户在网络侧页面或本地客户端上的操作事件所产生的各种行为特征数据，这些行为特 征数据包括下述至少一种特征数据：
[0047] 用户/设备标识（IDentity，简称ID)、操作时间、网间协议（InternetProtocol, 简称IP)地址、站点来源或者具体操作行为。
[0048] 其中，用户/设备标识可以为用户所使用的硬件设备的设备标识，也可以为运营 商为用户分配的物理标识；操作时间包括两个部分，第一为用户进行事件操作的起始/终 止时间，该时间为一个时刻值，第二为用户进行事件操作的持续时间，该时间为一段时长； IP地址作为用户网络路径的标识，不同设备连接互联网所使用的IP地址通常各不相同， 站点可以通过IP地址识别用户的联网路径；站点来源用于标识用户通过何种方式链接到 该站点，例如通过搜索网页链接到账号登录网页，或者通过浏览器中存储的网页地址直接 链接到账号登录网页；所述操作行为具体是指用户在网页或客户端上执行的一系列操作动 作，例如启动播放器、浏览网页、点击超链接等，本实施例中站点通过记录用户操作轨迹的 方式记录用户的操作行为。通常，多种行为特征数据的组合可以反映出用户上网的行为习 惯，例如用户早上10点使用设备标识为1的手机登录个人账号浏览新闻并进行网页游戏。
[0049] 历史特征数据用于反映个人账号使用频度或用户真实度的特征数据，该部分数据 由用户历次事件操作的结果积累而成，但与某次事件操作的关联程度较低，因此被称为静 态数据。站点获取的历史特征数据包括下述至少一种特征数据：账号等级、账号关联业务的 属性信息、历史账号安全状态、好友数量或者信息发布频率/数量。
[0050] 其中，账号关联业务指该账号适用的各种应用例如网页游戏，账号关联业务的属 性信息是指与该账号关联的应用属性信息，例如对于网页游戏而言，属性信息可以为用户 的装备、虚拟货币数量等；历史账号安全状态为历次身份鉴权过程中得到的安全状态结果。
[0051] 站点通过静态数据和动态数据对用户账号的安全状态进行分析。
[0052] 202、根据行为特征数据和历史特征数据分析用户的账号安全状态。
[0053] 网管人员可以预先建立特征数据（或特征数据组合）与账号安全状态之间的关联 关系，站点根据该关联关系获得用户的账号安全状态。例如如图3所示，作为动态数据的行 为特征数据为：
[0054]

【权利要求】
1. 一种身份鉴权的方法，其特征在于，包括： 获取用户的特征数据； 根据所述特征数据分析所述用户的账号安全状态； 查找与所述账号安全状态对应的操作权限； 执行所述账号安全状态对应的操作权限。
2. 根据权利要求1所述的身份鉴权的方法，其特征在于，所述获取用户的特征数据的 步骤，包括： 获取所述用户操作事件的行为特征数据以及所述账号的历史特征数据。
3. 根据权利要求2所述的身份鉴权的方法，其特征在于，所述获取所述用户操作事件 的行为特征数据的步骤，包括： 获取所述用户在网络侧页面或本地客户端上的操作事件所产生的各种行为特征数据， 所述行为特征数据包括下述至少一种特征数据： 用户/设备标识（ID)、操作时间、网间协议（IP)地址、站点来源或者具体操作行为； 所述获取所述账号的历史特征数据的步骤，包括： 获取反映所述账号使用频度或用户真实度的历史特征数据，所述历史特征数据包括下 述至少一种特征数据： 账号等级、账号关联业务的属性信息、历史账号安全状态、好友数量或者信息发布频率 /数量。
4. 根据权利要求2所述的身份鉴权的方法，其特征在于，所述根据所述特征数据分析 所述用户的账号安全状态的步骤，包括： 从预设的行为特征数据模型集合中选取一个预设的行为特征数据模型； 提取对应所述行为特征数据模型的至少一种行为特征数据； 根据所述至少一种行为特征数据以及对应每一行为特征数据的第一权重值，计算得出 第一子安全状态； 从预设的历史特征数据模型集合中选取一个预设的历史特征数据模型； 提取对应所述历史特征数据模型的至少一种历史特征数据； 根据所述至少一种历史特征数据以及对应每一历史特征数据的第二权重值，计算得出 第二子安全状态； 根据所述第一子安全状态以及所述第二子安全状态综合计算得出所述账号安全状态。
5. 根据权利要求1所述的身份鉴权的方法，其特征在于，所述查找与所述账号安全状 态对应的操作权限的步骤，包括： 根据所述账号安全状态以及预设的映射关系表，查找对应所述账号安全状态的操作权 限，其中，所述映射关系表用于表征不同账号安全状态与不同操作权限之间的对应关系； 所述操作权限包括：完全权限、完全无权限、访客权限、允许操作权限、信息发布权限或 者信息修改权限。
6. 根据权利要求1所述的身份鉴权的方法，其特征在于，在所述获取用户的特征数据 的步骤之前，所述方法进一步包括： 建立特征数据模型集合，所述特征数据模型集合中包含多个根据不同数量特征数据的 不同排列组合结果得到的特征数据模型； 为所述特征数据模型中的每一个特征数据预设权重值。
7. 根据权利要求6所述的身份鉴权的方法，其特征在于，所述方法进一步包括： 接收审计反馈结果，所述审计反馈结果用于评价所述账号安全状态的准确性； 根据所述审计反馈结果调整所述特征数据模型中特征数据的种类和/或特征数据的 权重值。
8. -种身份鉴权的装置，其特征在于，包括： 数据获取单元，用于获取用户的特征数据； 状态分析单元，用于根据所述数据获取单元获取的所述特征数据分析所述用户的账号 安全状态； 权限查找单元，用于查找与所述状态分析单元分析的所述账号安全状态对应的操作权 限； 权限执行单元，用于执行所述权限查找单元查找的所述账号安全状态对应的操作权 限。
9. 根据权利要求8所述的身份鉴权的装置，其特征在于，所述数据获取单元包括：第一 数据获取子单元和第二数据获取子单元； 所述第一数据获取子单元，用于获取所述用户操作事件的行为特征数据； 所述第二数据获取子单元，用于获取所述账号的历史特征数据。
10. 根据权利要求9所述的身份鉴权的装置，其特征在于，所述第一数据获取子单元 用于获取所述用户在网络侧页面或本地客户端上的操作事件所产生的各种行为特征数据， 所述行为特征数据包括下述至少一种特征数据：用户/设备标识（ID)、操作时间、网间协议 (IP)地址、站点来源或者具体操作行为； 所述第二数据获取子单元用于获取反映所述账号使用频度或用户真实度的历史特征 数据，所述历史特征数据包括下述至少一种特征数据：账号等级、账号关联业务的属性信 息、历史账号安全状态、好友数量或者信息发布频率/数量。
11. 根据权利要求9所述的身份鉴权的装置，其特征在于，所述状态分析单元包括：第 一计算子单元、第二计算子单元以及综合计算子单元； 所述第一计算子单元，用于从预设的行为特征数据模型集合中选取一个预设的行为特 征数据模型，提取对应所述行为特征数据模型的至少一种行为特征数据，根据所述至少一 种行为特征数据以及对应每一行为特征数据的第一权重值，计算得出第一子安全状态； 所述第二计算子单元，用于从预设的历史特征数据模型集合中选取一个预设的历史特 征数据模型，提取对应所述历史特征数据模型的至少一种历史特征数据，根据所述至少一 种历史特征数据以及对应每一历史特征数据的第二权重值，计算得出第二子安全状态； 所述综合计算子单元，用于根据所述第一计算子单元计算的所述第一子安全状态以及 所述第二计算子单元计算的所述第二子安全状态综合计算得出所述账号安全状态。
12. 根据权利要求8所述的身份鉴权的装置，其特征在于，所述权限查找单元用于根据 所述账号安全状态以及预设的映射关系表，查找对应所述账号安全状态的操作权限，其中， 所述映射关系表用于表征不同账号安全状态与不同操作权限之间的对应关系，所述操作权 限包括：完全权限、完全无权限、访客权限、允许操作权限、信息发布权限或者信息修改权 限。
13. 根据权利要求8所述的身份鉴权的装置，其特征在于，所述装置还包括： 模型建立单元，用于在所述数据获取单元获取用户的特征数据之前，建立特征数据模 型集合，为所述特征数据模型中的每一个特征数据预设权重值，所述特征数据模型集合中 包含多个根据不同数量特征数据的不同排列组合结果得到的特征数据模型。
14. 根据权利要求13所述的身份鉴权的装置，其特征在于，所述装置还包括： 反馈接收单元，用于接收审计反馈结果，所述审计反馈结果用于评价所述账号安全状 态的准确性； 模型调整单元，根据所述反馈接收单元接收的所述审计反馈结果调整所述特征数据模 型中特征数据的种类和/或特征数据的权重值。
【文档编号】H04L29/06GK104426884SQ201310395457
【公开日】2015年3月18日 申请日期:2013年9月3日 优先权日:2013年9月3日
【发明者】喻欣, 郭计伟, 王小叶, 胡育辉 申请人:深圳市腾讯计算机系统有限公司