基于用户画像和设备指纹的用户访问认证系统及方法与流程

本发明涉及网络安全，具体地说是基于用户画像和设备指纹的用户访问认证系统及方法。

背景技术：

1、现有常见的身份认证技术主要包括静态口令认证技术、生物特征认证技术、双因子身份认证技术、基于数字证书的身份认证技术、kerberos身份认证技术等技术。静态口令认证技术实施简单，无需额外硬件设备，易于理解和使用，但用户倾向于使用容易记忆的弱密码，导致密码容易被暴力破解或钓鱼网站窃取；生物特征认证技术利用人体独特的生物特征进行认证，难以伪造，无需携带额外的身份验证工具，但涉及个人生物信息的采集和存储，存在隐私泄露风险，并且实施成本较高，需要相应的设备和技术支持；双因子身份认证技术结合了多种认证方式，增加了破解难度，增强了用户对网络平台的信任度，但需要用户多次输入验证信息，降低了用户体验，并且也需要相应的硬件设备支持，成本较高；kerberos身份认证技术实现了用户与服务器的双向认证，安全性高，也减少了密钥被窃取的可能性和kdc的负担，但也存在弱口令风险和时间同步等问题。

2、对于用户的身份认证、如何在降低使用成本的同时保证较高的安全性，是需要解决的技术问题。

技术实现思路

1、本发明的技术任务是针对以上不足，提供基于用户画像和设备指纹的用户访问认证系统及方法，来解决对于用户的身份认证、如何在降低使用成本的同时保证较高的安全性的技术问题。

2、第一方面，本发明一种基于用户画像和设备指纹的用户访问认证系统，包括用户管理模块、认证授权模块、日志分析模块和访问授权模块；

3、所述用户管理模块用于管理用户和用户基本信息，用于以区块链的形式存储用户日志，用户日志包括用户访问资源日志和用户登录设备日志；

4、所述日志分析模块用于从用户管理模块读取历史用户日志，基于历史用户日志构建用户特征画像，基于用户登录设备日志提取用户登录使用设备的识别指纹，并将用户特征画像和设备指纹存储至本地服务器；

5、所述认证授权模块用于通过去中心化系统对登录系统的用户进行身份认证，对于通过身份认证的用户，用于基于设备指纹对用户登录使用设备进行设备认证；

6、所述访问授权模块中配置有基于规则的访问控制模型，用于基于用户特征画像、通过基于规则的访问控制模型设置用户的资源访问权限，对于用户提交的资源访问请求，用于基于用户当前的资源访问权限对用户认证请求中指定要访问的资源进行授权。

7、作为优选，所述日志分析模块用于执行如下：

8、获取历史用户日志，并对历史用户日志进行数据清洗，通过数据清洗去除历史用户日志中错误、不完整以及无关的数据，得到清洗后历史用户日志；

9、对清洗后历史用户日志中的数据进行数据转换，通过数据转换将历史用户日志中的数据转换为预定格式，得到预处理后历史用户日志；

10、基于预处理后历史用户访问资源日志、通过构建的用户模型提取用户特征并构建用户特征画像；

11、基于预处理后历史用户登录设备日志、提取用户登录使用设备的设备特征和设备属性，基于设备特征和设备属性生成设备指纹。

12、作为优选，基于预处理后历史用户访问资源日志、通过构建的用户模型提取用户特征并构建用户特征画像，包括如下步骤：

13、基于预处理后历史用户访问资源日志对用户进行分析，根据分析结果构建用户标签库；

14、基于标签库中标签、基于预处理后历史用户访问资源日志对用户进行特征分析，得到用户特征，用户特征表示用户偏好；

15、基于机器学习算法构建用户模型，并基于用户标签和用户特征对用户模型进行训练；

16、基于每个用户的用户访问资源日志、通过训练后的用户模型对用户进行分析，基于分析结果构建用户特征画像；

17、其中，机器学习算法包括决策树、随机森林、支持向量机以及神经网络。

18、作为优选，基于设备特征和设备属性生成设备指纹时，为设备特征和设备属性分配权重，基于设备特征、每个设备特征的权重、设备属性以及每个设备属性的权重生成一个代表设备唯一性的设备指纹。

19、作为优选，对于每个用户，基于用户提交的注册申请，去中心化身份认证系统基于用户提交注册申请中用户信息为用户分配一个身份标识did、并建立用户身份的did文档，用户接收去中心化身份认证系统返回的身份标识did和did文档，并将did文档存储在区块链或分布式账本中，并通过智能合约将身份标识did及其对应的did文档注册到一个去中心化的did注册表中；

20、对于登录系统的用户，认证授权模块向用户发送一个认证请求，认证请求中包括验证信息，用户基于其私钥对验证信息进行签名，并将签名信息发送至认证授权模块，认证授权模块基于did文档中公钥验证签名信息的有效性，并检查验证信息的真实性和完整性，以实现对用户的身份验证；

21、其中，对于首次登录系统的用户，认证授权模块对用户进行身份验证后，允许通过身份验证的用户登录系统；

22、对于已经多次登录系统的用户，认证授权模块对用户进行身份验证后，对于通过认证的用户，基于设备指纹对用户登录使用设备进行设备认证，如果通过验证，允许用户登录系统，如果未通过验证，基于用户信息指定的联系方式向用户推送通知，并基于用户的许可允许用户登录系统。

23、第二方面，本发明一种基于用户画像和设备指纹的用户访问认证方法，用于通过如第一方面任一项所述的一种基于用户画像和设备指纹的用户访问认证系统实现用户访问认证，所述方法包括如下步骤：

24、对登录系统的用户进行身份认证，对于通过身份认证的用户，基于设备指纹对用户登录使用设备进行设备认证；

25、管理用户和用户的基本信息，以区块链的形式存储用户日志，用户日志包括用户访问资源日志和用户登录设备日志；

26、读取历史用户日志，基于历史用户日志构建用户特征画像，基于用户登录设备日志提取用户登录使用设备的识别指纹，并将用户特征画像和设备指纹存储至本地服务器；

27、基于用户特征画像、通过基于规则的访问控制模型设置用户的资源访问权限，对于用户提交的资源访问请求，用于基于用户当前的资源访问权限对用户认证请求中指定要访问的资源进行授权。

28、作为优选，基于历史用户日志构建用户特征画像，基于用户登录设备日志提取用户登录使用设备的识别指纹，包括如下步骤：

29、获取历史用户日志，并对历史用户日志进行数据清洗，通过数据清洗去除历史用户日志中错误、不完整以及无关的数据，得到清洗后历史用户日志；

30、对清洗后历史用户日志中的数据进行数据转换，通过数据转换将历史用户日志中的数据转换为预定格式，得到预处理后历史用户日志；

31、基于预处理后历史用户访问资源日志、通过构建的用户模型提取用户特征并构建用户特征画像；

32、基于预处理后历史用户登录设备日志、提取用户登录使用设备的设备特征和设备属性，基于设备特征和设备属性生成设备指纹。

33、作为优选，基于预处理后历史用户访问资源日志、通过构建的用户模型提取用户特征并构建用户特征画像，包括如下步骤：

34、基于预处理后历史用户访问资源日志对用户进行分析，根据分析结果构建用户标签库；

35、基于标签库中标签、基于预处理后历史用户访问资源日志对用户进行特征分析，得到用户特征，用户特征表示用户偏好；

36、基于机器学习算法构建用户模型，并基于用户标签和用户特征对用户模型进行训练；

37、基于每个用户的用户访问资源日志、通过训练后的用户模型对用户进行分析，基于分析结果构建用户特征画像；

38、其中，机器学习算法包括决策树、随机森林、支持向量机以及神经网络。

39、作为优选，基于设备特征和设备属性生成设备指纹时，为设备特征和设备属性分配权重，基于设备特征、每个设备特征的权重、设备属性以及每个设备属性的权重生成一个代表设备唯一性的设备指纹。

40、作为优选，对于每个用户，基于用户提交的注册申请，去中心化身份认证系统基于用户提交注册申请中用户信息为用户分配一个身份标识did、并建立用户身份的did文档，用户接收去中心化身份认证系统返回的身份标识did和did文档，并将did文档存储在区块链或分布式账本中，并通过智能合约将身份标识did及其对应的did文档注册到一个去中心化的did注册表中；

41、对于登录系统的用户，通过认证授权模块向用户发送一个认证请求，认证请求中包括验证信息，用户基于其私钥对验证信息进行签名，并将签名信息发送至认证授权模块，认证授权模块基于did文档中公钥验证签名信息的有效性，并检查验证信息的真实性和完整性，以实现对用户的身份验证；

42、其中，对于首次登录系统的用户，通过认证授权模块对用户进行身份验证后，允许通过身份验证的用户登录系统；

43、对于已经多次登录系统的用户，通过认证授权模块对用户进行身份验证后，对于通过认证的用户，基于设备指纹对用户登录使用设备进行设备认证，如果通过验证，允许用户登录系统，如果未通过验证，基于用户信息指定的联系方式向用户推送通知，并基于用户的许可允许用户登录系统。

44、本发明的基于用户画像和设备指纹的用户访问认证系统及方法具有以下优点：

45、1、使用去中心化身份认证系统和设备指纹结合进行认证，能够有效防止不法分子盗用或冒用用户账号，确保只有合法正确的用户能够访问系统资源，有效防止未经授权的访问，保护数据和资源免受盗窃或恶意操作；

46、2、使用基于规则的访问控制模型和用户画像结合进行访问授权，能够更精确地识别用户的角色、行为和权限，从而确保只有经过授权的用户才能访问特定的系统资源。既能够提升用户的使用体验，便于用户能够快速高效的访问系统资源，又能保证资源的安全性，大大降低了非法访问和未授权访问的风险；

47、3、使用深度学习模型分析用户数据，提取出角色特征画像和设备指纹，能够捕捉到更加抽象和复杂的特征，从而提高用户画像和设备指纹的准确率。同时不需要人工提取特征，大大减少了人工处理数据的时间和人力资源成本。