法律状态公告日
法律状态信息
法律状态
2014-07-09
授权
授权
2013-05-29
著录事项变更 IPC(主分类):H04L9/32 变更前: 变更后: 申请日:20111215
著录事项变更
2012-11-14
实质审查的生效 IPC(主分类):H04L9/32 申请日:20111215
实质审查的生效
2012-06-20
公开
公开
技术领域
本发明属于系统安全和访问控制技术领域,具体涉及一种基于量化风险和收益自适应的动态多因子认证方法,根据信息系统所处上下文动态地从认证因子库中选取合适因子或者多因子绑定进行用户的身份认证。
背景技术
随着个人电脑和互联网技术的不断普及,各种各样的信息系统在人们的日常生活中扮演着重要的角色。随着信息系统的复杂程度不断提高,尤其是各种大型多用户信息系统的出现,如何确保信息系统的安全性成为了企业、用户以及研究者所关心的热点问题。
访问控制是决定多用户信息系统中用户能否访问敏感信息的一种核心技术,广泛地应用于各种分布式系统中,如网格计算系统,云计算系统及普适计算系统等。传统的访问控制机制提供的策略表述机制比较刚性,系统管理员需要频繁地调整安全策略以适应信息系统的变化,难以适应当前高度变化的复杂信息系统。近几年柔性访问控制得到了飞速的发展。当前的柔性访问控制往往提供表达丰富但复杂的策略语言,用以解决访问控制策略制定和实施之间的不协调问题。然而,采用复杂的策略语言表达以适应动态的信息系统的访问控制策略存在着两个瓶颈:首先,当信息系统运行状态发生快速变化时,系统管理员往往无法及时调整访问控制策略。这会导致关键信息无法访问或者关键操作无法完成,最终造成系统暂时失效。其次,复杂的策略语言往往会导致访问控制策略集过于庞大,进而使系统无法检测出管理员制定的矛盾甚至错误的安全策略,最终导致对系统的安全保护失败。
基于柔性访问控制机制的瓶颈问题,风险自适应访问控制成为了当前柔性访问控制的研究热点之一。当前研究者在访问控制研究中,较多的考虑量化风险,而少有人考虑量化收益。在本发明中,我们把量化收益这一重要因素考虑到访问控制机制之中,提出了量化风险和收益自适应的柔性访问控制机制,通过对访问请求以及当前上下文中的量化风险和收益的评估,得出请求结果。之所以可以应用量化风险和收益来加强信息系统安全性是因为:
1、当前信息系统的安全策略隐式考虑了量化风险与收益。如安全策略“用户A可以访问网页P”表明了该安全策略接受了用户A访问网页P所带来的风险和收益。
2、基于量化风险和收益的柔性访问控制机制可以较好处理高度变化的网络环境,因为量化风险和收益为信息系统的决策提供了更直接的依据。
在实际应用中,访问控制体现在对用户访问请求的认证方法上。由于当前信息系统的复杂性,同一信息系统中往往具有很多不同的认证方法。例如在网上银行中,用户可以输入自己的用户名和密码登录进网上银行,也可以通过插入USB证书自动导入个人密钥信息。当前网上银行大多采用较为固定的方式决定在何时采用何种方式的认证信息。例如,中国银行个人网上银行客户在登录时需要输入个人用户名和密码,以及图片验证码。在进行交易支付时,需要在输入在手机上收到的验证码(实时发送),以及RSA SecureID动态口令令牌上所显示的一次性口令。这种通过固定策略来确定认证方法的设计,有以下几点不足:
1、由于策略固定,无法适应高度变化的网络环境。如果网络环境发生变化,需要改变当前信息系统对安全级别的要求,则无法较快地做出反应。例如2011年上半年出现的中国银行网上银行密钥系统被攻破的情况,中国银行并无法在自己的网上银行系统中尽快改变认证方式以提高安全级别。这为恶意用户损害系统安全提供了更多的攻击时间。
2、在网络环境正常的条件下,对于正常用户如果采用较为繁琐的认证方式,会扰乱用户的正常交易行为,使得用户倾向于选择更为易用的其他网上银行服务。
针对这些缺点,本发明应用量化风险和收益自适应的访问控制机制,动态地决定信息系统的认证因子组合方式实现用户的身份认证。
发明内容
本发明的目的在于提出一种量化风险和收益自适应的动态多因子认证方法。它能够平衡提高安全级别并确保正常交易两方面的需求。
本发明提出的量化风险和收益自适应的动态多因子认证方法,包括对于信息系统中量化风险和收益的评估,以及自适应地决定认证因子组合等。所述实现框架包括评估引擎、策略决策引擎、认证因子库、选取的认证因子组合、认证因子选取策略库和历史数据库。本发明的具体步骤如下:
(1)系统管理员通过分析设定该信息系统中需要衡量的风险和收益因素,确定量化风险和收益的评估方法,并定义在评估引擎中;
(2)系统管理员结合用户群体接受程度,确定该信息系统所采用的多种认证方法作为认证因子,并放置在认证因子库中;
(3)系统管理员设定策略,规定在特定量化风险和收益评估结果之上采用何种强度的认证过程,并对应到认证因子组合实现用户身份认证过程,将上述策略定义在认证因子选取策略库中;
(4)当用户对信息系统发起访问请求时,评估引擎首先结合请求的类型和由系统历史数据库中调取的历史数据,计算出该访问请求的量化风险和收益。下文以网上银行为例,描述了计算过程;
(5)根据步骤(4)中计算结果,信息系统将请求发往策略决策引擎,由策略决策引擎在认证因子选取策略库中寻找匹配的策略;然后策略决策引擎将依据所选策略对该访问请求进行模糊推断,确定所采用的认证因子组合;
(6)信息系统从认证因子库中选取步骤(5)中所得认证因子组合实现用户身份认证过程;
(7)信息系统将访问历史记录在历史数据库中,为之后的量化风险和收益评估和策略制定提供数据来源;
(8)信息系统历史数据发生变化时,将影响步骤(4)、步骤(5)所述评估和决策结果,实现动态自适应地调整认证因子组合。
本方法中,信息系统具有认证因子选取策略库,其中包括了系统管理员预先定义的安全策略。策略结合了模糊逻辑的特点,并且在信息系统运行系统中可以通过参数调整进行自适应调整。
本方法中,评估引擎对用户的访问请求进行了分类,对不同类别的访问请求进行不同形式的量化风险和收益评估。例如以网上银行作为登录场景,用户的请求可分为登录网上银行,支付和转账。
本方法中,量化风险分为允许访问风险和拒绝访问风险。量化收益同样分为允许访问收益和拒绝访问收益。
以网上银行为例,
用户登录时的量化风险和收益评估模型如下:
计算允许访问风险RAA:
RAA的原始数值 为:
其中,为该用户当前账户余额。 为本次登录造成账户泄漏的概率。这个概率与最近三个月内系统被攻破造成的损失之和T有关。具体对应关系为下表。
表中,
其中n为三个月内系统被攻破总次数,damage(i)为第i次损失(元)。
而最终RAA的计算如下
以上公式中,,为系统管理员设定的常数,决定了如何被转化为值域为(0..1)的RAA。
计算拒绝访问风险RDA:
RDA的原始数值为:
以上公式中,为该用户当前账户余额, 为本次登录被拒绝造成用户弃用户弃用该账户的概率。 为用户自开户以来被拒绝登录次数之和。 为管理员设置根据历史数据设置的常数,代表了用户在被拒绝登录多少次之后会弃用该账户。
而最终RDA的计算如下
,为系统管理员设定的常数,决定了如何被转化为值域为(0..1)的RDA。
计算允许访问收益BAA:
BAA的原始数值为
以上公式中,为用户登录帐户可以带来的间接金钱收益,由前次登录所带来的总收入计算得出。 为本次登录通过使该银行市场份额增加所带来的收益,由系统管理员结合银行现行市场条件确定。
而最终BAA的计算如下
,为系统管理员根据当前系统安全级别设定的常数,决定了如何被转化为值域为(0..1)的BAA。
计算拒绝访问收益BDA:
在网上银行系统中,拒绝登录不会带来明显的收益,因此BDA设置为0。
用户转账和支付(统称为交易)时的量化风险和收益评估模型如下:
计算允许访问风险RAA:
RAA的原始数值为
以上公式中,为该次交易金额。 为本次登录造成账户泄漏的概率。这个概率与最近三个月内系统被攻破造成的损失之和T有关。T的相关计算见上一小节登录时的RAA计算。
而最终RAA的计算如下
,为系统管理员设定的常数,决定了如何被转化为值域为(0..1)的RAA。
计算拒绝访问风险RDA:
RDA的原始数值为:
以上公式中,为该次交易金额, 为本次交易被拒绝造成用户弃用该账户的概率。 为用户自开户以来被拒绝交易次数之和。 为管理员设置根据历史数据设置的常数,代表了用户在被拒交易多少次之后会弃用该账户。
而最终RDA的计算如下
,为系统管理员设定的常数,决定了如何被转化为值域为(0..1)的RDA。
计算允许访问收益BAA:
BAA的原始数值为
以上公式中,为该用户该笔交易的金额,为用户进行转账和支付是可以为银行带来的直接收益charge,即手续费。 为本次登录通过使该银行市场份额增加所带来的收益,由系统管理员结合银行现行市场条件确定。
而最终BAA的计算如下
,为系统管理员设定的常数,决定了如何被转化为值域为(0..1)的BAA。
计算拒绝访问收益BDA:
在网上银行系统中,拒绝交易不会带来明显的收益,因此BDA设置为0。
本方法中,评估引擎会结合信息系统当前的上下文及历史数据对访问进行量化风险和收益评估。由于信息系统当前的上下文和历史数据处在变动之中,因此评估过程也是动态的。以前述两个模型为例。变量根据当前系统的上下文得出,实现了反馈机制。同时,系统管理员可以根据当前的安全状况调整系列常量的数值。当系统安全级别提高时,系统会倾向于拒绝可疑的登录和交易请求。而当系统安全级别正常或较低时,系统会倾向于允许更多的访问请求,以增加总收益。
本方法中,策略决策引擎采用了模糊集和模糊逻辑进行模糊推断,以根据当前访问请求的量化风险和收益评估结果动态确定所采用的认证方法。模糊逻辑的采用使得认证因子组合更加柔性。变量在模糊集中不仅拥有布尔值,也拥有相应的数值作为真实度。例如手续费收益“高”与“低(不高)”这一对布尔值,可以被细化成“30%高”或“50%低”。通过模糊化、推理、组合、去模糊化四个过程,实现模糊推理。最终根据模糊推理得出的认证强度,决定认证因子的使用。
本方法中,信息系统对于访问请求拥有多种不同的认证因子,存储在认证因子库中,由本发明所述方法决定所采用和实施的认证方法。例如以网上银行作为登录场景,存在的认证因子包括用户名/口令、图片验证码、手机短信令牌,以及USB令牌。认证因子可以单独采用,也可以对多个认证因子进行绑定同时使用。
本方法中,信息系统将访问请求及相应的决策结果存储在历史数据库中。量化风险和收益评估引擎会根据历史数据库中的记录调整自身参数。
本方法中,信息系统会根据当前情况自动调整评估引擎中的参数以及策略决策引擎中的策略,根据目前信息系统所处的上下文动态决定所采用的认证因子组合。本发明实现了信息系统对于认证因子组合的自适应调整。对于前述模型中常数的调整体现了自适应的过程。
本方法可以平衡信息系统安全性和易用性的需求,提高信息系统对异常事件的响应速度。本发明可以应用在不同类型的信息系统之中,根据量化风险和收益自适应地决定对于访问请求的认证方法。可能的应用场景包括网上银行、网上支付平台、在线期货交易系统、在线股票交易平台等。
附图说明
图1为系统结构图示。
图2为基于网上银行系统的一个例子。
具体实施方式
以图2为例,一个网上银行中的访问流程如下:
(1)网上银行系统管理员根据当前系统情况,确定安全级别为正常,并据此设置系列变量。访问请求的认证强度和对应的认证方法分四组:
(2)用户在第三方购物网站中购买商品。
(3)用户选择网上银行为支付方式。第三方购物网站将用户转接到网上银行系统。
(4)用户登录网上银行系统,在网上银行中发起支付请求,支付金额为Amount=5000元。
(5)网上银行将用户请求发送到量化风险和收益评估引擎,通过对历史数据库中调取的历史记录的查找及对当前网络上下文的分析,评估量化风险和收益。
经过对三个月内系统被攻破总次数的计算,得出T=15000, 对应的Disclosure_factor为0.3。因此Raw’RAA为1500。而系统管理员此时设定的安全级别对应的k’RAA=1/400, mid’RAA=2000,计算得出RAA=0.223。
用户所有被拒绝交易次数之和为3,而bound’rej为60因此Discard_factor’ = 0.05。Raw’RDA为250。结合此时的k’RDA=1/10,mid’RDA=300,计算得出RDA=0.007。
当前的Direct_income’ = 50. 而系统此时的Market_share_income’ = 5。Raw’BAA为55。结合此时的k’BAA=1/198, mid’BAA=300,计算得出BAA=0.225 (四舍五入)。
根据发明内容所述,BDA = 0。
(6)评估引擎将带有量化风险和收益数值的访问请求发送到策略决策引擎。策略决策引擎寻找相对应的策略。通过搜索认证因子选取策略库,找到是适用策略P“当RAA低,RDA和BAA中时,认证强度为安全”和适用策略Q“当RAA中,RDA和BAA高时,认证强度为正常”。
(7)通过模糊推断,确定该访问请求所对应的认证强度落在正常(0.3 – 0.5) 区间内。
(8)针对该访问请求对应的认证强度级别正常,寻找合适的认证方法。确定采用的认证方法为输入口令+一次性口令+手机短信令牌绑定。
(9)由于用户已经完成了口令登录,因此在支付认证页面中,网上银行系统向用户呈现一次性口令验证框,同时呈现手机短信令牌验证框。用户输入一次性口令,并点击链接索取手机验证码,之后将手机上收到的验证码输入,完成支付认证过程。
(10)用户的支付请求完成,并跳转回第三方购物网站。
机译: 使用结构化前瞻性模拟技术的风险分割和风险量化预测系统,可以量化损失,因意外损失累积和高收益波动性导致的长尾风险事件及其解决方法
机译: 使用结构化前瞻性模拟技术的风险分割和风险量化预测系统,可以量化损失,因意外损失累积和高收益波动性导致的长尾风险事件及其解决方法
机译: 自适应多因子认证的系统和方法