技術領域

本發明涉及一種身份認證技術，特別是一種基于用戶行為特征識別的主動身份認證系統。

背景技術

身份認證是信息系統的第一道關卡，用戶在訪問系統之前，首先由身份認證系統進行身份識別，然后訪問控制設備根據用戶的身份和授權策略決定用戶是否能夠訪問某個資源，其中授權策略由安全管理員按照需要進行配置。另外，信息系統中其它安全防護設備的工作也是基于身份認證進行的，審計系統根據身份認證系統提供的用戶身份信息，記錄用戶的行為，并以此進行行為審計、關聯分析等；入侵檢測系統根據身份認證設備提供的用戶—設備對應關系，實時監測用戶訪問行為是否有入侵行為，并通過頻繁模式匹配等分析發現復雜入侵行為。身份認證不僅是信息系統的第一道防線，同時也是整個系統的安全基礎，其它的安全服務都在一定程度上依賴于安全認證。一旦身份認證系統被攻破，系統的所有安全措施將形同虛設，因此要加強系統的信息安全建設，身份認證系統的構建是至關重要的一個環節。

當前主要采用密碼、USBKey、IC卡等被動身份認證方式訪問計算機系統，雖然一定程度上了保證了登錄用戶身份的合法性，但是也存在一些安全問題：

(1)當前身份認證機制的安全性多依賴于密碼的安全性，面對不同的計算機和應用系統，用戶往往需要設置不同的冗長復雜類型的密碼，一方面會出現由于忘記口令無法進入系統的情況，另一方面口令本身易泄露或被破解，從而對整個系統造成安全威脅。

(2)現有的用戶身份認證方式，即使是指紋識別、虹膜識別等 先進身份認證方式，都屬于被動身份驗證，多數只能驗證最初登錄時用戶的身份是否可靠，只要該用戶的登錄密碼和訪問卡正確，就可以登錄并使用系統，并不能驗證正在使用該系統的用戶是否為最初驗證的用戶，無法實現用戶在訪問過程中的持續的、主動的身份驗證，如果用戶登錄密碼被破解或者最初通過身份驗證的用戶未能采取適當措施，則非授權用戶也可能非法訪問內部信息系統資源。

發明內容

本發明的目的在于提供一種基于用戶行為特征識別的主動身份認證系統，用于解決上述現有技術的問題。

本發明一種基于用戶行為特征識別的主動身份認證系統，其中，包括：用戶行為感知器、用戶行為特征提取器、用戶行為特征分類識別器以及用戶行為特征認知軌跡庫；其中，該用戶行為感知器、該用戶行為特征提取器以及該用戶行為特征分類識別器部署在用戶的主機端；該用戶行為特征認知軌跡庫部署在服務器端；該用戶行為感知器用于抓取用戶的主機端的操作各類人機交互設備產生的事件信息；該用戶行為特征提取器用于根據該用戶行為感知器抓取的各類事件信息提取出能夠描述用戶行為生物學的特征向量；該用戶行為特征分類識別器用于根據用戶行為生物學的特征向量，形成用戶驗證模型；用戶行為特征認知軌跡庫，用于存儲用戶驗證模型，并建立用戶和用戶驗證模型的關聯關系。

根據本發明的基于用戶行為特征識別的主動身份認證系統的一實施例，其中，服務端能夠將用戶的終端行為與用戶驗證模型進行比較，如比較結果不符，將會強制該用戶下線。

根據本發明的基于用戶行為特征識別的主動身份認證系統的一實施例，其中，用戶操作各類人機交互設備產生的事件包括：鼠標點擊信息以及鍵盤敲擊信息。

根據本發明的基于用戶行為特征識別的主動身份認證系統的一實施例，其中，生物學的特征向量包括：單個頁面的瀏覽速度、 電子郵件及其他通信的方法和結構、鍵盤敲擊方式、鼠標點擊方式、用戶信息搜索和篩選方式以及用戶閱讀素材的方式。

綜上，本發明提供一種基于用戶行為特征識別的主動身份認證系統，通過軟件實現用戶行為特征認知軌跡的識別，實現用戶操作計算機全過程持續的、主動的身份認證，改變傳統的認證手段只能對用戶身份進行被動驗證的模式，有效解決現有方法只能在初始登錄階段進行認證，過多依賴密碼復雜性等問題和不足。

附圖說明

圖1所示為本發明基于用戶行為特征識別的主動身份認證系統的模塊圖。

具體實施方式

為使本發明的目的、內容、和優點更加清楚，下面結合附圖和實施例，對本發明的具體實施方式作進一步詳細描述。

圖1所示為本發明基于用戶行為特征識別的主動身份認證系統的模塊圖，如圖1所示，本發明基于用戶行為特征識別的主動身份認證系統分為主機端1與服務端2，主機端1包括：用戶行為感知器3、用戶行為特征提取器4以及用戶行為特征分類識別器5。服務器端2包括用戶行為特征認知軌跡庫6。