一种用户访问方法及装置、计算设备、存储介质与流程

1.本技术涉及网络安全领域，尤其涉及一种用户访问方法及装置、计算设备、存储介质。


背景技术：

2.日益发展的移动互联网在为用户带来通信、信息共享便利的同时，也带来了安全问题的新挑战。由于无线移动网络的开放性，使得无线通信数据更容易被截获、监听、篡改，这对用户隐私造成极大威胁。因而需要采用身份认证的方式保护用户和系统的安全性。身份认证的方式也随着互联网的发展变得多种多样，除了常见的账号密码外，生物验证逐渐成为验证的主力军。用户通过生物验证后，设备会生成用户访问所需的签名信息，被访问的系统不存储用户的密码信息以确保密码信息的安全性。但是目前的生物验证只在登录时进行，若在登录成功后出现用户被劫持或者“内鬼”操作时，则无法保证系统的安全性。
3.基于此，本技术实施例提供一种用户访问方法，用以解决在初始登录后对系统安全性的威胁。


技术实现要素：

4.本技术实施例提供一种用户访问方法，用以保证在用户安全登录后，对用户的操控进行防控，保证了系统的安全性。
5.第一方面，本技术实施例提供一种用户访问方法，包括：终端在认证服务器的访问验证结果为通过后，访问目标系统；访问验证结果至少是根据终端发送的用户认证结果得到的；用户认证结果是终端根据用户在终端输入的生物特征信息得到的；终端在访问所述目标系统的过程中，基于用户在终端的持续使用情况，生成第一用户信任结果；终端将第一用户信任结果发送至认证服务器；第一用户信任结果用于认证服务器确定是否允许终端持续访问所述目标系统。
6.上述的设计中，终端在认证服务器的访问结果通过后即可访问目标系统，基于用户访问目标系统的使用过程中，会生成第一用户信任结果，将第一用户信任结果发送给认证服务器进行认证终端是否允许继续访问目标系统。其中，访问验证结果至少是根据所述终端发送的用户认证结果得到的，而用户认证结果是通过用户在终端输入的生物特征信息确定的。与现有的技术相比，可以在第一次通过验证后，持续获取用户的第一用户信任结果，持续的判断用户对目标系统的使用合法性，从而保证了系统的安全性。
7.在一种可能的设计中，访问目标系统之前，还包括：基于认证服务器在终端访问目标系统时发起的访问验证请求，终端获取用户输入的生物特征信息；终端对生物特征信息进行验证，生成用户认证结果；终端将用户认证结果及第二用户信任结果发送至认证服务器；第二用户信任结果是终端基于用户在终端的历史使用情况生成的；用户认证结果及第二用户信任结果用于认证服务器确定访问验证结果。
8.上述的设计中，在访问目标系统之前会确定访问验证结果，也就是用户在访问目
标系统之前需要先进行登录。具体来看，终端基于认证服务器在终端访问目标系统时发起的访问验证请求，终端获取用户输入的生物特征信息，在获取到生物特征信息之后，对其进行验证，生成用户认证结果。终端根据用户认证结果和基于用户在终端的历史使用情况生成的第二用户信任结果发送给认证服务器进行认证，从而得到访问验证结果。根据验证结果来判断用户是否可以访问目标系统，只有通过验证结果的用户才能进行访问目标系统，保证了系统的安全性。
9.在一种可能的设计中，终端将第一用户信任结果发送至认证服务器之后，还包括：终端接收认证服务器发送的再次认证请求；再次认证请求是认证服务器基于第一用户信任结果确定不允许终端持续访问目标系统时发送的。
10.上述的设计中，终端将第一用户信任结果发送至认证服务器之后还会继续接收认证服务器发送的再次认证请求，再次认证请求是针对基于第一用户信任结果访问验证结果不允许终端继续访问目标系统，所以需要重新确认用户访问目标系统的合法性。而再次认证请求的操作可以大大提高用户访问目标系统的安全性。
11.在一种可能的设计中，任一用户信任结果是通过用户行为信息、终端硬件信息以及终端使用环境中的至少一项确定的。
12.上述的设计中，用户信任结果是根据用户行为信息、终端硬件信息以及终端使用环境三项中至少一项确定的，可以有效的保证信任结果的准确全面性。
13.在一种可能的设计中，任一用户信任结果是通过用户行为信息、终端硬件信息以及终端使用环境中的至少一项确定的，包括：在采集的用户行为信息不满足用户行为习惯时，调整用户信任结果；和/或，在采集的终端硬件信息发生异常时，调整用户信任结果；和/或，在采集的终端使用环境发生异常时，调整用户信任结果。
14.上述的设计中，根据用户行为信息、终端硬件信息以及终端使用环境中的至少一项确定的。具体来看，用户行为信息是指用户在进行访问系统的行为习惯，终端采集用户行为信息不满足用户平常的使用习惯时，就需要调整用户信任结果，也就是更新用户信任结果；和/或对终端硬件信息是否发生异常进行采集，调整用户信任结果；和/或对终端使用环境是否发生异常进行采集，调整用户信任结果。根据上述的其中之一、之二或者共同确定用户信任结果，大大提高用户访问目标系统安全的全面性。
15.第二方面，本技术实施例提供一种用户访问方法，包括：认证服务器在确定终端对目标系统的访问验证结果为通过后，接收终端发送的第一用户信任结果；第一用户信任结果是终端在访问目标系统的过程中，基于用户在终端的持续使用情况生成的；认证服务器根据第一用户信任结果确定是否允许终端持续访问目标系统。
16.上述的设计中，当终端对目标系统的访问验证结果通过后，则认证服务器接收终端发送的第一用户信任结果，认证服务器根据第一用户信任结果确定终端是否可以持续的访问目标系统。其中，第一用户信任结果是指在用户持续访问目标系统过程中，根据终端的使用情况决定的。也就是说，根据第一用户信任结果可以实时确定用户持续访问目标系统的安全性。
17.在一种可能的设计中，认证服务器生成访问验证请求并发送给终端；所述访问验证请求是认证服务器基于所述目标系统针对终端的访问请求触发的；认证服务器接收用户认证结果及第二用户信任结果；用户认证结果是所述终端基于用户输入的生物特征信息进
行验证得到的；第二用户信任结果是所述终端基于用户在所述终端的历史使用情况生成的；认证服务器根据所述用户认证结果及第二用户信任结果，确定访问验证结果。
18.上述的设计中，基于终端访问目标系统时认证服务器会生成访问验证请求，并将访问验证请求发送给终端，再接收终端发来的用户认证结果及第二用户信任结果，根据用户认证结果和第二用户信任结果确定访问验证结果。其中，用户认证结果是终端基于用户输入的生物特征信息进行验证得到的，第二用户信任结果是终端基于用户在终端的历史使用情况生成的。根据访问验证结果确定用户的安全性，避免用户被劫持而对目标系统的访问产生威胁。
19.在一种可能的设计中，认证服务器根据第一用户信任结果确定是否允许终端持续访问目标系统之后，还包括：认证服务器在确定不允许终端持续访问目标系统之后，向终端发送再次认证请求。
20.上述的设计中，根据第一用户信任结果确定是否允许终端持续访问目标系统，当不允许访问的时候，则会生成再次认证请求发给终端，来验证访问目标系统的用户安全性。
21.第三方面，本技术实施例提供一种用户访问装置，包括：访问单元，用于在认证服务器的访问验证结果为通过后，访问目标系统；所述访问验证结果至少是根据所述终端发送的用户认证结果得到的；所述用户认证结果是所述终端根据用户在所述终端输入的生物特征信息得到的；
22.生成单元，用于在访问所述目标系统的过程中，基于用户在所述终端的持续使用情况，生成第一用户信任结果；
23.发送单元，用于将所述第一用户信任结果发送至所述认证服务器；所述第一用户信任结果用于所述认证服务器确定是否允许所述终端持续访问所述目标系统。
24.在一种可能的设计中，还包括：获取单元和验证单元；
25.所述获取单元，还用于基于所述认证服务器在访问所述目标系统时发起的访问验证请求，获取用户输入的生物特征信息；
26.所述验证单元，还用于对所述生物特征信息进行验证，生成所述用户认证结果；
27.所述发送单元，还用于所述用户认证结果及第二用户信任结果发送至所述认证服务器；所述第二用户信任结果是所述终端基于用户在所述终端的历史使用情况生成的；所述用户认证结果及所述第二用户信任结果用于所述认证服务器确定所述访问验证结果。
28.在一种可能的设计中，还包括：接收单元；
29.所述接收单元，还用于接收所述认证服务器发送的再次认证请求；所述再次认证请求是所述认证服务器基于所述第一用户信任结果确定不允许所述终端持续访问所述目标系统时发送的。
30.在一种可能的设计中，所述确定单元，用于任一用户信任结果是通过用户行为信息、终端硬件信息以及终端使用环境中的至少一项确定的。
31.在一种可能的设计中，所述生成单元，具体用于在采集的用户行为信息不满足用户行为习惯时，调整用户信任结果；和/或，
32.所述生成单元，具体用于在采集的终端硬件信息发生异常时，调整用户信任结果；和/或，
33.所述生成单元，具体用于在采集的终端使用环境发生异常时，调整用户信任结果。
34.第四方面，本技术实施例还提供一种用户访问装置，包括：接收单元，用于在确定终端对目标系统的访问验证结果为通过后，接收终端发送的第一用户信任结果；所述第一用户信任结果是所述终端在访问所述目标系统的过程中，基于用户在所述终端的持续使用情况生成的；
35.确定单元，用于根据所述第一用户信任结果确定是否允许所述终端持续访问所述目标系统。
36.在一种可能的设计中，还包括：生成单元；
37.所述生成单元，还用于生成访问验证请求并发送给所述终端；所述访问验证请求是所述认证服务器基于所述目标系统针对所述终端的访问请求触发的；
38.所述接收单元，还用于接收用户认证结果及第二用户信任结果；所述用户认证结果是所述终端基于用户输入的生物特征信息进行验证得到的；所述第二用户信任结果是所述终端基于用户在所述终端的历史使用情况生成的；
39.所述确定单元，还用于根据所述用户认证结果及所述第二用户信任结果，确定所述访问验证结果。
40.在一种可能的设计中，还包括：发送单元；
41.所述发送单元，还用于在确定不允许所述终端持续访问所述目标系统之后，向所述终端发送再次认证请求。
42.第五方面，本技术还提供一种计算设备，包括：
43.存储器，用于存储程序指令；
44.处理器，用于调用存储器中存储的程序指令，按照获得的程序执行上述用户访问的方法。
45.第六方面，本技术还提供一种计算机可读非易失性存储介质，包括计算机可读指令，当计算机读取并执行计算机可读指令时，使得计算机执行上述用户访问的方法。
46.上述第三方面至第六方面中任一方面可以达到的技术效果可以参照上述第一方面中有益效果的描述，此处不再重复赘述。
附图说明
47.为了更清楚地说明本技术实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
48.图1为本技术实施例提供一种用户访问的系统架构图；
49.图2为本技术实施例提供的一种用户访问方法流程示意图；
50.图3为本技术实施例提供的另一种用户访问方法流程示意图；
51.图4为本技术实施例提供一种用户访问方法整体流程示意图；
52.图5为本技术实施例提供了一种用户访问装置示意图；
53.图6为本技术实施例提供了另一种用户访问装置示意图；
54.图7为本技术实施例还提供了一种计算设备。
具体实施方式
55.为了使本技术的目的、技术方案和优点更加清楚，下面将结合附图对本技术作进一步地详细描述，显然，所描述的实施例仅仅是本技术的一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。
56.本发明实施例描述的应用场景是为了更加清楚的说明本发明实施例的技术方案，并不构成对于本发明实施例提供的技术方案的限定，本领域普通技术人员可知，随着新应用场景的出现，本发明实施例提供的技术方案对于类似的技术问题，同样适用。其中，在本发明的描述中，除非另有说明，“多个”的含义是两个或两个以上。
57.任何需要登录的系统或者网站都会存储用户的登录信息，例如账号和密码。虽然现在已经可以针对生物体征进行密码验证，例如指纹严重、人脸识别等。但是密码一旦泄露就会对目标系统造成严重损失。而目前的常规做法，用户通过生物验证后，设备不会存储生成访问所生成的签名信息，也就是说被访问系统不存储用户的密码信息，以确保密码数据的安全。但是在登录成功后被人劫持或者登录的用户为“内鬼”，则都无法对用户的后续操作进行防控，从而对系统造成风险。
58.基于此，本技术实施例提供一种用户访问方法，用以解决在初始登录后对系统安全性的威胁。
59.图1为本技术实施例提供一种用户访问的系统架构图，如图1(1)所示，该系统包括终端101、目标系统102、认证服务器103。其中，终端101是计算机网络中处于网络最外围的设备，主要用于用户信息的输入以及处理结果的输出等。目标系统102是指一个目标的确定，执行和完成的整个系统，也就是用户访问的系统；认证服务器103是用来实现用户快速认证的设备，通过认证服务器103不断实时的对用户进行评估，保证用户访问目标系统的安全性。
60.图1(2)中终端101中包括认证器，其认证器中包括了生物验证模块和持续认证模块，用于生成用户认证结果和第一用户信任结果、第二用户信任结果，也就是说对于认证器来说，是用来采集用户信息的功能。
61.终端101、目标系统102、认证服务器103的连接方式多种多样，可以是无线连接，也可以是其他连接方式，在此不作限制。
62.针对具体的用户访问方法，如图2所示，图2为本技术实施例提供的一种用户访问方法流程示意图，包括：
63.s201.终端在认证服务器的访问验证结果为通过后，访问目标系统；访问验证结果至少是根据终端发送的用户认证结果得到的；用户认证结果是终端根据用户在终端输入的生物特征信息得到的。
64.为了保证系统的安全性，需要确认用户访问目标系统时，终端接收到认证服务器的访问验证结果为通过后，则可以访问目标系统。其中访问验证结果的确定是终端根据用户输入的生物特征信息先得到用户认证结果，再根据用户认证结果确定访问验证结果。
65.一个示例中，终端想访问目标系统a，终端接收访问验证结果a/或者是目标系统接收到了访问验证结果a，允许终端进行访问，即访问验证结果a为通过，也就是用户与用户输入的认证信息是匹配的。根据访问验证结果a进行访问目标系统a。
66.应注意，访问验证结果的方式至少是根据终端发送的用户认证结果得到的，也可以涉及到其他的获取方式，比如根据用户认证结果和用户信任结果确定，在此不作唯一限定。
67.s202.终端在访问目标系统的过程中，基于用户在终端的持续使用情况，生成第一用户信任结果。
68.第一用户信任结果是指用来评估用户访问目标系统的安全性，也就是对用户进行信任评估。为了保证用户登录成功后对目标系统的后续访问的系统防控，需要对终端在访问目标系统的过程中，会基于用户在终端的持续使用情况，生成第一用户信任结果。
69.接着上述示例，用户访问目标系统a的过程中，用户在目标系统a的持续使用情况生成第一用户信任结果。具体来看，用户可以在使用目标系统a时的输入习惯，习惯操作区域等持续使用情况进行信任分计算，得到第一用户信任结果a。
70.s203.终端将第一用户信任结果发送至认证服务器；第一用户信任结果用于认证服务器确定是否允许终端持续访问目标系统。
71.终端将基于用户在终端的持续使用情况生成的第一用户信任结果发送给认证服务器。第一用户信任结果是用于认证服务器根据其去判断用户是否允许终端持续访问目标系统。
72.任一用户信任结果的确定方式多种多样，下面以其中一种实施例为例，其是通过用户行为信息、终端硬件信息以及终端使用环境中的至少一项确定的。其中，用户行为信息是指对用户的行为的检测，包括用户的屏幕常用操作区域变化、终端安装允许未知来源app、用户的输入习惯等。根据用户行为信息中的每一项设置的信任分数评判，确定用户行为信息的用户信任结果。终端硬件信息是指用户在访问目标系统时的终端硬件，包含cpu和内存利用率、内存信息、存储信息等。根据终端硬件信息中的每一项设置的信任分数评判，确定终端硬件信息的用户信任结果。终端使用环境包括对地理环境和网络环境的检测，确定终端使用环境用户信任结果。
73.一个示例中，假设用户行为信息的信任分为95、终端硬件信息的信任分为90以及终端使用环境的信任分为93，根据其中至少一项确定用户信任结果，假设此时是用户行为信息，也就是此时用户信任结果为95。
74.根据用户行为信息、终端硬件信息以及终端使用环境中的至少一项确定任一用户信任结果。具体来看，在采集的用户行为信息不满足用户行为习惯时，调整用户信任结果；和/或，在采集的终端硬件信息发生异常时，调整用户信任结果；和/或，在采集的终端使用环境发生异常时，调整用户信任结果。
75.其中，终端采集用户行为信息，例如用户的屏幕常用操作区域变化、终端安装允许未知来源app等，确定用户行为信息不满足用户的行为习惯时，则在原有的基础上调整用户信任分；和/或终端采集终端硬件信息，例如cpu和内存利用率、内存信息等，确定终端硬件信息使用异常，调整用户信任结果；和/或终端采集终端使用环境，例如新的登陆环境地点或者新的网络等，确定终端使用环境使用异常，调整用户信任结果。
76.一个示例中，终端在认证服务器的访问验证结果为通过后，访问目标系统时设置用户初始信用分为100分，根据其中用户行为中的安装允许未知来源app为在初始信用分上减10分进而调整用户信任结果，即为90分。
77.应注意，上述只以其中一项的实施方式为示例，在此不一一列举。
78.另一示例中，终端在认证服务器的访问验证结果为通过后，访问目标系统时设置用户初始信用分为100分，根据其中用户行为中的安装允许未知来源app为在初始信用分上减十分(-10分)，即为90分；使用新环境减十分(-10)，即为90分；进而调整用户信任结果，即为90分。
79.应注意，上述只以其中其中两项的实施方式为示例，在此不一一列举。
80.第三示例中，终端在认证服务器的访问验证结果为通过后，访问目标系统时设置用户初始信用分为100分，根据其中用户行为中的安装允许未知来源app为在初始信用分上减十分(-10分)，即为90分；使用新环境减十分(-10)，即为90分；插入usb存储设备减五分(-5分)即为95分，进而调整用户信任结果，即为91.6分。
81.在将第一信任结果发送至认证服务器之后，终端还需要接收认证服务器发送的再次认证请求。再次认证请求是认证服务器基于第一用户信任结果确定不允许终端持续访问目标系统时发送的。
82.其中，为了保证用户访问系统的安全性，采用基于对用户的持续操作进行确定第一信任结果，并将第一信任结果发送给认证服务器之后，终端还要继续接收是否有来自认证服务器发送的再次认证请求。所谓再次认证请求就是认证服务器根据第一用户信任结果确定不允许终端持续访问目标系统，这时候认证服务器会生成再次认证请求，将再次认证请求发送给终端。
83.一个示例中，假设第一信任结果为83，终端将第一信任结果83发送给认证服务器，认证服务器将第一信任结果83进行判断，假设判断标准为80-90之间需要二次认证，也就是说认证服务器发现第一信任结果大于80，小于90(80《＝83《90)，认证服务器会将生成的再次认证请求发送给终端。
84.终端可以访问目标系统是需要在认证服务器的访问验证结果为通过后实现的，而如何确定访问验证结果的方式多种多样，以下以一种实施方式为例：访问目标系统之前，还包括：基于认证服务器在终端访问目标系统时发起的访问验证请求，终端获取用户输入的生物特征信息；终端对生物特征信息进行验证，生成用户认证结果；终端将用户认证结果及第二用户信任结果发送至认证服务器；第二用户信任结果是终端基于用户在终端的历史使用情况生成的；用户认证结果及第二用户信任结果用于认证服务器确定访问验证结果。
85.其中，终端会获取用户输入的生物特征信息，对生物特征信息进行验证，得到验证结果，也就是用户认证结果；终端将用户认证结果和第二用户信任结果发送给认证服务器用于认证服务器确定访问验证结果。对于第二用户信任结果来说，是终端基于用户在所述终端的历史使用情况生成的，可以是在用户访问目标系统时跟用户认证结果一样实时生成的，也可以是前期生成的，在此处直接调取的，在此不作具体限定。
86.一个示例中，终端获取用户登录xx账号时输入指纹识别验证，对指纹识别验证进行认证，得到用户认证结果；终端将用户认证结果和第二用户信任结果发送给认证服务器。
87.基于相同的构思，针对具体的用户访问方法，上述是站在终端的角度来看，下面如图3所示，站在认证服务器的角度来看，图3为本技术实施例提供的另一种用户访问方法流程示意图，包括：
88.s301.认证服务器在确定终端对目标系统的访问验证结果为通过后，接收终端发
送的第一用户信任结果；第一用户信任结果是终端在访问所述目标系统的过程中，基于用户在终端的持续使用情况生成的。
89.认证服务器(authentication server)是一个应用它促进试图访问网络的实体认证，也就是可以简单的理解是进行认证判断的服务器。对于认证服务器来说，在确定终端对目标系统的访问验证结果为通过后，会接收终端发送的第一用户信任结果。
90.一个示例中，在确定终端对目标系统的访问验证结果为通过后，认证服务器接收终端发送的第一用户信任结果93。
91.s302.认证服务器根据第一用户信任结果确定是否允许终端持续访问目标系统。
92.根据上述s301步骤中提到认证服务器接收到第一用户信任结果，去判断此时的第一用户信任结果是否允许终端持续访问目标系统。其中，判断第一用户信任结果的标准是认证服务器基于用户的身份、组织机构、角色、访问目标、网络环境、终端状态等多个维度，定义一套信任评分标准。组织机构是指一个app中的组织构成，例如行政组织、研究组织、财务组织等，角色就是指其组织机构下的身份。信任评分标准设定为用户初始信任分数100分，分数大于90分可以正常访问；分数大于80小于90，则要求进行二次认证或降低访问权限；如果信任分小于70，则拒绝访问或者触发安全警报。应注意，分数上限100分，已达100分时，分数不再增加。基于上述所述，将第一用户信任结果与信任评分标准进行匹配，来确定第一用户信任结果是否允许终端持续访问目标系统。
93.接着上述示例，认证服务器接收第一用户信任结果93，将第一用户信任结果93与信任评分标准进行匹配，确定第一用户信任结果93大于90，是可以允许终端持续访问目标系统；假设认证服务器接收第一用户信任结果此时为82，则需要进行二次认证；假设认证服务器接收第一用户信任结果此时为60，则不允许终端持续访问目标系统。
94.针对上述提到的第一用户信任结果属于信任评分标准中分数大于80小于90时，需要进行重新认证，也就是认证服务器根据第一用户信任结果确定是否允许终端持续访问目标系统之后，还包括：认证服务器在确定不允许终端持续访问目标系统之后，向终端发送再次认证请求。
95.其中，上面提到了在第一用户信任结果除了可以访问目标系统和不可以访问目标系统之外，还包括第一用户信任结果属于信任评分标准的第二栏，也就是位于分数大于80小于90，其代表的含义就是终端访问目标系统时生成的第一用户信任结果没有达到可以直接访问，但是有没有过低的情况，只是可能在访问过程中，访问了一下异常会扣分的情况，对降低第一用户信任结果，此时需要认证服务器重新进行认证，认证服务器在确定不允许终端持续访问目标系统之后，向终端发送再次认证请求。
96.一个示例中，第一用户信任结果为86，认证服务器将其与任评分标准进行判断得到需要进行重新认证，此时认证服务器需要生成再次认证请求，并将再次认证请求发送给终端。
97.针对访问目标系统之前，还需要确定终端是否可以第一次访问目标系统，也就是说需要确定访问验证请求是否通过，而具体如何生成访问验证请求的方式多种多样，下面以一种实现方式为例：具体来看认证服务器生成访问验证请求并发送给终端；访问验证请求是认证服务器基于目标系统针对终端的访问请求触发的；认证服务器接收用户认证结果及第二用户信任结果；用户认证结果是终端基于用户输入的生物特征信息进行验证得到
的；第二用户信任结果是终端基于用户在终端的历史使用情况生成的；认证服务器根据用户认证结果及第二用户信任结果，确定访问验证结果。
98.其中，认证服务器确定访问验证结果是根据用户认证结果及第二用户信任结果。而确定用户认证结果是依据终端获取用户输入的生物特征信息进行验证得到的，所谓生物特征信息既包括人体所固有的生理特征,例如人脸、指纹、声纹、虹膜、手型、掌纹、指静脉、视网膜、dna等,又包括人的行为特征,例如按键习惯、步态等。第二用户信任结果是终端基于用户在终端的历史使用情况生成的，也就是说确定第二用户信任结果的用户行为信息、终端硬件信息以及终端使用环境是历史数据。在确定用户认证结果和第二用户信任结果后，认证服务器进行确定访问验证结果。
99.其中用户认证结果是根据公钥私钥确定的，也就是说认证服务器中存储了用户访问目标系统对应的公钥，用户认证结果中存储了其私钥，认证服务器基于公钥与私钥的匹配关系确定用户认证结果是否认真成功；第二用户信任结果依旧与信任评分标准进行确定，认证服务器基于用户认证结果和第二用户信任结果确定访问验证结果。
100.一个示例中，假设用户认证结果匹配成功，第二用户信任结果为95,95》90,允许正常访问，则此时确定的访问验证结果即为通过。
101.另一示例中，第二用户信任结果为69，69《70，则无需确定用户认证结果匹配情况，直接可以确定访问验证结果为不通过。
102.针对在实际应用场景中用户访问方法的整体流程如下，如图4所示，图4为本技术实施例提供一种用户访问方法整体流程示意图，包括：
103.用户发起访问请求，根据哈希链注册生成哈希值后，认证服务器根据哈希值确定用户的公钥和私钥，用户存储私钥，认证服务器存储公钥，用户通过私钥确定用户认证结果后，认证服务器先判断是否为受信用户，也就是第二用户信任结果是否可以正常访问，若可以，则认证服务器继续确定用户认证结果的公钥私钥是否匹配，不匹配，则不允许访问，匹配，则确定访问验证结果为通过，允许访问。
104.在确定访问验证结果为通过后，终端访问目标系统，在访问目标系统的过程中基于用户的使用情况，持续获取相关信息，持续生成第一用户信任结果，认证服务器根据第一用户信任结果进行判断是否允许终端持续访问目标系统。允许，则继续访问，不允许则拒绝访问/二次验证。与现有的技术相比，可以在第一次通过验证后，持续获取用户的信任结果，不断的判断用户对目标系统的使用合法性，从而保证了系统的安全性。
105.在访问目标系统的过程中基于用户的使用情况，生成第一用户信任结果具如下表1所示，根据信任评分标准初始设置为100分，在身份核验通过+10分，同时后续持续使用过程中，终端发生如下表格内的情况，根据每一项进行分数调整，最终会确定第一用户信任结果，假设此时第一用户结果为85，则通过二次验证，若二次验证成功，则此时第一用户信任结果为95，大于信任评分标准中允许访问的90分，则允许访问。
[0106][0107][0108]
表1
[0109]
基于相同的构思，本技术实施例提供一种用户访问装置，如图5所示，包括：访问单元501，用于在认证服务器的访问验证结果为通过后，访问目标系统；所述访问验证结果至少是根据所述终端发送的用户认证结果得到的；所述用户认证结果是所述终端根据用户在所述终端输入的生物特征信息得到的；
[0110]
生成单元502，用于在访问所述目标系统的过程中，基于用户在所述终端的持续使用情况，生成第一用户信任结果；
[0111]
发送单元503，用于将所述第一用户信任结果发送至所述认证服务器；所述第一用户信任结果用于所述认证服务器确定是否允许所述终端持续访问所述目标系统。
[0112]
一种可选地实施方式中，还包括：获取单元504和验证单元505；
[0113]
所述获取单元504，还用于基于所述认证服务器在访问所述目标系统时发起的访问验证请求，获取用户输入的生物特征信息；
[0114]
所述验证单元505，还用于对所述生物特征信息进行验证，生成所述用户认证结果；
[0115]
所述发送单元503，还用于所述用户认证结果及第二用户信任结果发送至所述认证服务器；所述第二用户信任结果是所述终端基于用户在所述终端的历史使用情况生成的；所述用户认证结果及所述第二用户信任结果用于所述认证服务器确定所述访问验证结果。
[0116]
一种可选地实施方式中，还包括：接收单元506；
[0117]
所述接收单元506，还用于接收所述认证服务器发送的再次认证请求；所述再次认证请求是所述认证服务器基于所述第一用户信任结果确定不允许所述终端持续访问所述目标系统时发送的。
[0118]
一种可选地实施方式中，所述生成单元502，用于任一用户信任结果是通过用户行为信息、终端硬件信息以及终端使用环境中的至少一项确定的。
[0119]
一种可选地实施方式中，所述生成单元502，具体用于在采集的用户行为信息不满足用户行为习惯时，调整用户信任结果；和/或，
[0120]
所述生成单元502，具体用于在采集的终端硬件信息发生异常时，调整用户信任结果；和/或，
[0121]
所述生成单元502，具体用于在采集的终端使用环境发生异常时，调整用户信任结
果。
[0122]
基于相同的构思，本技术实施例提供另一种用户访问装置，如图6所示，包括：接收单元601，用于在确定终端对目标系统的访问验证结果为通过后，接收终端发送的第一用户信任结果；所述第一用户信任结果是所述终端在访问所述目标系统的过程中，基于用户在所述终端的持续使用情况生成的；
[0123]
确定单元602，用于根据所述第一用户信任结果确定是否允许所述终端持续访问所述目标系统。
[0124]
一种可选地实施方式中，还包括：生成单元603；
[0125]
所述生成单元603，还用于生成访问验证请求并发送给所述终端；所述访问验证请求是所述认证服务器基于所述目标系统针对所述终端的访问请求触发的；
[0126]
所述接收单元601，还用于接收用户认证结果及第二用户信任结果；所述用户认证结果是所述终端基于用户输入的生物特征信息进行验证得到的；所述第二用户信任结果是所述终端基于用户在所述终端的历史使用情况生成的；
[0127]
所述确定单元602，还用于根据所述用户认证结果及所述第二用户信任结果，确定所述访问验证结果。
[0128]
一种可选地实施方式中，还包括：发送单元604；
[0129]
所述发送单元604，还用于在确定不允许所述终端持续访问所述目标系统之后，向所述终端发送再次认证请求。
[0130]
基于相同的技术构思，本发明实施例还提供了一种计算设备，如图7所示，包括至少一个处理器701，以及与至少一个处理器连接的存储器702，本发明实施例中不限定处理器701与存储器702之间的具体连接介质，图7中处理器701和存储器702之间通过总线连接为例。总线可以分为地址总线、数据总线、控制总线等。
[0131]
在本发明实施例中，存储器702存储有可被至少一个处理器701执行的指令，至少一个处理器701通过执行存储器702存储的指令，可以执行前述的基于用户访问方法中所包括的步骤。
[0132]
其中，处理器701是计算设备的控制中心，可以利用各种接口和线路连接计算设备的各个部分，通过运行或执行存储在存储器702内的指令以及调用存储在存储器702内的数据，从而实现数据处理。可选的，处理器701可包括一个或多个处理单元，处理器701可集成应用处理器和调制解调处理器，其中，应用处理器主要处理操作系统、用户界面和应用程序等，调制解调处理器主要处理下发指令。可以理解的是，上述调制解调处理器也可以不集成到处理器701中。在一些实施例中，处理器701和存储器702可以在同一芯片上实现，在一些实施例中，它们也可以在独立的芯片上分别实现。
[0133]
处理器701可以是通用处理器，例如中央处理器(cpu)、数字信号处理器、专用集成电路(application specific integrated circuit，asic)、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件，可以实现或者执行本发明实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合基于用户访问方法实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。
[0134]
存储器702作为一种非易失性计算机可读存储介质，可用于存储非易失性软件程
序、非易失性计算机可执行程序以及模块。存储器702可以包括至少一种类型的存储介质，例如可以包括闪存、硬盘、多媒体卡、卡型存储器、随机访问存储器(random access memory，ram)、静态随机访问存储器(static random access memory，sram)、可编程只读存储器(programmable read only memory，prom)、只读存储器(read only memory，rom)、带电可擦除可编程只读存储器(electrically erasable programmable read-only memory，eeprom)、磁性存储器、磁盘、光盘等等。存储器702是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。本发明实施例中的存储器702还可以是电路或者其它任意能够实现存储功能的装置，用于存储程序指令和/或数据。
[0135]
基于相同的技术构思，本发明实施例还提供了一种计算机可读存储介质，其存储有可由计算设备执行的计算机程序，当所述程序在所述计算设备上运行时，使得所述计算设备执行上述基于用户访问方法的步骤。
[0136]
本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
[0137]
本技术是参照根据本技术的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0138]
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0139]
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0140]
显然，本领域的技术人员可以对本技术进行各种改动和变型而不脱离本技术的精神和范围。这样，倘若本技术的这些修改和变型属于本技术权利要求及其等同技术的范围之内，则本技术也意图包含这些改动和变型在内。

技术特征：
1.一种用户访问方法，其特征在于，包括：终端在认证服务器的访问验证结果为通过后，访问目标系统；所述访问验证结果至少是根据所述终端发送的用户认证结果得到的；所述用户认证结果是所述终端根据用户在所述终端输入的生物特征信息得到的；所述终端在访问所述目标系统的过程中，基于用户在所述终端的持续使用情况，生成第一用户信任结果；所述终端将所述第一用户信任结果发送至所述认证服务器；所述第一用户信任结果用于所述认证服务器确定是否允许所述终端持续访问所述目标系统。2.如权利要求1所述的访问方法，其特征在于，访问目标系统之前，还包括：基于所述认证服务器在所述终端访问所述目标系统时发起的访问验证请求，所述终端获取用户输入的生物特征信息；所述终端对所述生物特征信息进行验证，生成所述用户认证结果；所述终端将所述用户认证结果及第二用户信任结果发送至所述认证服务器；所述第二用户信任结果是所述终端基于用户在所述终端的历史使用情况生成的；所述用户认证结果及所述第二用户信任结果用于所述认证服务器确定所述访问验证结果。3.如权利要求1所述的访问方法，其特征在于，所述终端将所述第一用户信任结果发送至所述认证服务器之后，还包括：所述终端接收所述认证服务器发送的再次认证请求；所述再次认证请求是所述认证服务器基于所述第一用户信任结果确定不允许所述终端持续访问所述目标系统时发送的。4.如权利要求1-3任意一项所述的访问方法，其特征在于，任一用户信任结果是通过用户行为信息、终端硬件信息以及终端使用环境中的至少一项确定的。5.如权利要求4所述的访问方法，其特征在于，任一用户信任结果是通过用户行为信息、终端硬件信息以及终端使用环境中的至少一项确定的，包括：在采集的用户行为信息不满足用户行为习惯时，调整用户信任结果；和/或，在采集的终端硬件信息发生异常时，调整用户信任结果；和/或，在采集的终端使用环境发生异常时，调整用户信任结果。6.一种用户访问方法，其特征在于，包括：认证服务器在确定终端对目标系统的访问验证结果为通过后，接收终端发送的第一用户信任结果；所述第一用户信任结果是所述终端在访问所述目标系统的过程中，基于用户在所述终端的持续使用情况生成的；所述认证服务器根据所述第一用户信任结果确定是否允许所述终端持续访问所述目标系统。7.如权利要求6所述的访问方法，其特征在于，访问目标系统之前，还包括：所述认证服务器生成访问验证请求并发送给所述终端；所述访问验证请求是所述认证服务器基于所述目标系统针对所述终端的访问请求触发的；所述认证服务器接收用户认证结果及第二用户信任结果；所述用户认证结果是所述终端基于用户输入的生物特征信息进行验证得到的；所述第二用户信任结果是所述终端基于用户在所述终端的历史使用情况生成的；所述认证服务器根据所述用户认证结果及所述第二用户信任结果，确定所述访问验证
结果。8.如权利要求6所述的访问方法，其特征在于，所述认证服务器根据所述第一用户信任结果确定是否允许所述终端持续访问所述目标系统之后，还包括：所述认证服务器在确定不允许所述终端持续访问所述目标系统之后，向所述终端发送再次认证请求。9.一种用户访问装置，其特征在于，包括：访问单元，用于在认证服务器的访问验证结果为通过后，访问目标系统；所述访问验证结果至少是根据所述终端发送的用户认证结果得到的；所述用户认证结果是所述终端根据用户在所述终端输入的生物特征信息得到的；生成单元，用于在访问所述目标系统的过程中，基于用户在所述终端的持续使用情况，生成第一用户信任结果；发送单元，用于将所述第一用户信任结果发送至所述认证服务器；所述第一用户信任结果用于所述认证服务器确定是否允许所述终端持续访问所述目标系统。10.一种用户访问装置，其特征在于，包括：接收单元，用于在确定终端对目标系统的访问验证结果为通过后，接收终端发送的第一用户信任结果；所述第一用户信任结果是所述终端在访问所述目标系统的过程中，基于用户在所述终端的持续使用情况生成的；确定单元，用于根据所述第一用户信任结果确定是否允许所述终端持续访问所述目标系统。11.一种计算设备，其特征在于，包括：存储器，用于存储程序指令；处理器，用于调用所述存储器中存储的程序指令，按照获得的程序执行如权利要求1至8中任一项权利要求所述的方法。12.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机程序，当所述计算机程序被运行时，执行如权利要求1至8中任一项所述的方法。

技术总结
本申请实施例提供了一种用户访问方法及装置、计算设备、存储介质，涉及网络安全领域，该方法包括：终端在认证服务器的访问验证结果为通过后，访问目标系统；访问验证结果至少是根据终端发送的用户认证结果得到的；用户认证结果是终端根据用户在终端输入的生物特征信息得到的；终端在访问所述目标系统的过程中，基于用户在终端的持续使用情况，生成第一用户信任结果；终端将所述第一用户信任结果发送至认证服务器；第一用户信任结果用于认证服务器确定是否允许终端持续访问所述目标系统。上述的方式，在成功登陆后对用户的操作进行防控，有效保证了系统的安全性。有效保证了系统的安全性。有效保证了系统的安全性。


技术研发人员：李国平 徐勇 陈勇量 高加盟 谢杨
受保护的技术使用者：中国电信股份有限公司
技术研发日：2023.07.06
技术公布日：2023/9/9