技術領域

本發明涉及一種生物特征識別和信息系統安全領域的身份判定方法，具體涉及一種基于鍵鼠交叉認證的身份判定方法。

背景技術

在生物特征識別和信息系統安全領域，基于生物行為的身份認證已經變成了一個非常重要和前沿的研究課題。信息系統通過身份認證或身份監控等技術手段為系統使用者與系統賬號之間建立起合法的對應關系，這是后續進行權限控制、行為審計等其它安全管理措施的先決條件。當前判定用戶身份的依據主要有三類：1.你所知道的，如口令、PIN等；2.你所擁有的，如ID卡(身份卡)、令牌等；3.你自身，如指紋、虹膜等生物生理特征(PhysicalBiometrics)。口令是應用最廣泛的身份判定手段，但口令難于記憶、容易混淆和泄露，安全性不高；ID卡需要隨身攜帶、易失竊或失效；基于指紋、虹膜甚至是DNA等生理特征的身份判定方法是目前國內外研究的熱點，也是當前最為準確的身份判定手段，但這類方法需要額外的硬件設備，短期內也無法在互聯網環境中大范圍使用。

擊鍵、鼠標等指點設備是計算機圖形環境下進行人機互動的基本操作工具，不同用戶間由于生理、習慣、工作性質等各種因素的差異會產生不同的行為特征，基于此可對用戶的身份進行認證。同口令、ID卡，指紋或虹膜等現有方法相比，基于擊鍵、鼠標等操作行為特征判定身份的方法具有以下優點：

1)不需要額外的硬件，適用于現有的互聯網環境；

2)無需記憶或攜帶，也無法被竊取，其它用戶很難進行模仿和偽造；

3)還可對登錄后用戶操作的全過程進行無干擾的實時身份跟蹤與監控。

但是由于行為特征存在一定的波動性，基于擊鍵或鼠標行為的身份判定方法會產生誤判，特別是較容易將合法用戶錯判為非法用戶。因此要成為一種實用的身份判定方法，必須解決合法用戶身份錯判的問題。本發明提出一種可以較為有效地解決這一問題的新方法。

發明內容

本發明的目的是提供一種基于鍵鼠交叉認證的身份判定方法，用于對計算機用戶進行身份監控和身份認證。該方法基于計算機操作行為(擊鍵和鼠標行為)對用戶進行身份監控和身份認證，利用交叉認證的方法將擊鍵行為認證與鼠標行為認證有機的結合起來，從而解決基于單獨使用擊鍵或鼠標行為特征判定身份時的合法用戶身份誤判的問題。

為達到以上目的，本發明是采取如下技術方案予以實現的：

一種基于鍵鼠交叉認證的身份判定方法，其特征在于，包括下述步驟：

(1)用戶登錄前，新用戶先注冊，啟動訓練模式，訓練模式對用戶擊鍵行為或鼠標行為數據進行分析并提取特征，生成參考特征模板，保存入特征模板庫；用戶登錄時，老用戶隨機選取擊鍵行為或鼠標行為分別作為身份認證的首選認證機制或備選認證機制，當選取擊鍵行為作為身份認證的首選認證機制時，則鼠標行為將作為身份認證的備選機制，記錄當前用戶的擊鍵行為數據，提取行為特征并生成擊鍵行為的輸入特征模板；當選取鼠標行為作為身份認證的首選認證機制時，則擊鍵行為將作為身份認證的備選機制，記錄當前用戶的鼠標行為數據，提取行為特征并生成鼠標行為的輸入特征模板；

(2)然后將輸入特征模板與參考特征模板比較，進行身份認證，當首選身份認證機制認證成功時，用戶通過身份認證；當首選身份認證機制認證失敗時，用備選認證機制對用戶進行身份再認證，若認證通過，則用戶登錄成功；否則用戶登錄失敗；

(3)用戶登錄成功后，啟動監控模式，實時采集當前用戶的擊鍵和鼠標輸入行為數據，提取行為特征并生成擊鍵和鼠標的輸入特征模板，隨后，將該擊鍵和鼠標的輸入特征模板與用戶在特征模板庫中的參考特征模板匹配，進行驗證，如果驗證結果為非法用戶，則執行步驟(4)，如果驗證結果為合法用戶，則繼續監控；

(4)對當前用戶進行再認證：再認證方式為，當檢測到用戶的擊鍵行為發生異常，則采用鼠標行為認證方式進行身份再認證；當檢測到用戶的鼠標行為發生異常，則采用擊鍵行為認證方式進行身份再認證，如果通過再認證，繼續對當前用戶身份進行監控；如果未通過再認證，則強制用戶登出計算機系統。

根據上述方法，步驟(3)中，如果驗證結果為合法用戶，則暫停監控后同時對行為特征模板庫進行更新。所述匹配的具體實施方式為：擊鍵行為模板匹配的算法采用加權貝葉斯算法；鼠標行為模板匹配的算法采用類間距離分類或貝葉斯決策算法。