登录认证方法、装置、计算机设备和存储介质与流程

1.本技术涉及网络安全技术领域，特别是涉及一种登录认证方法、装置、计算机设备、存储介质和计算机程序产品。


背景技术：

2.目前，给企业带来安全隐患的主要是来自内网的数据泄露和来自外网的攻击，而现有网络中默认内网的网络环境相较于外网更安全，从而默认对内网网络环境、设备和身份的信任，因此，现有网络系统多以同一种认证方式对客户端/系统提供安全保障。
3.但是，以同一种认证方式进行登录认证的方法容易被破解，安全性较低。


技术实现要素：

4.基于此，有必要针对上述方法容易被破解，安全性较低的技术问题，提供一种登录认证方法、装置、计算机设备、计算机可读存储介质和计算机程序产品。
5.第一方面，本技术提供了一种登录认证方法。所述方法包括：
6.响应于客户端发送的认证请求，获取所述客户端的认证信息和历史交互信息；所述历史交互信息表示所述客户端与认证网关之间的历史交互信息；
7.根据所述历史交互信息，确定针对所述客户端的直接信任度值，以及根据所述认证信息，确定针对所述客户端的间接信任度值；
8.对所述直接信任度值和所述间接信任度值进行融合处理，得到针对所述客户端的综合信任度值；
9.在所述综合信任度值大于阈值的情况下，对所述客户端对应的数据访问权限值进行调整，得到调整后的数据访问权限值；
10.基于所述调整后的数据访问权限值，确定针对所述客户端的认证方式，基于所述认证方式对所述客户端进行登录认证。
11.在其中一个实施例中，所述历史交互信息包括所述客户端历史登录的成功次数和失败次数；所述根据所述历史交互信息，确定针对所述客户端的直接信任度值，包括：
12.获取所述客户端登录成功的期望模型、奖励模型、衰减模型和时间衰减因子；
13.根据所述期望模型、所述奖励模型、所述衰减模型和所述时间衰减因子，构建直接信任度计算模型；
14.通过所述直接信任度计算模型，对所述历史交互信息中的成功次数和所述失败次数进行处理，得到所述直接信任度值。
15.在其中一个实施例中，所述认证信息包括多个认证因素的信息；所述根据所述认证信息，确定针对所述客户端的间接信任度值，包括：
16.获取各个认证因素的间接信任值，基于所述间接信任值确定所述各个认证因素的第一权重；所述间接信任值与所述第一权重成正相关关系；
17.根据所述各个认证因素的第一权重对所述各个认证因素的间接信任值进行加权
求和处理，得到所述间接信任度值。
18.在其中一个实施例中，所述获取各个认证因素的间接信任值，包括：
19.获取所述客户端历史登录成功时，所述各个认证因素的基准信息；
20.获取所述各个认证因素的信息与对应的基准信息之间的相似度，基于所述相似度，确定所述各个认证因素的间接信任值。
21.在其中一个实施例中，所述客户端对应的数据访问权限值通过下述方式确定：
22.获取所述客户端的权限信息；
23.根据所述权限信息，查询预设的权限信息与数据访问权限值的映射表，得到所述客户端对应的数据访问权限值。
24.在其中一个实施例中，所述历史交互信息包括所述客户端历史登录的成功次数和失败次数；所述在所述综合信任度值大于阈值的情况下，对所述客户端对应的数据访问权限值进行调整，得到调整后的数据访问权限值，包括：
25.在所述综合信任度值大于阈值的情况下，获取所述成功次数与所述失败次数的平均值；
26.若所述成功次数大于所述平均值，则获取权限衰减因子；
27.通过所述权限衰减因子，对所述数据访问权限值进行减小处理，得到调整后的数据访问权限值。
28.在其中一个实施例中，所述基于所述调整后的数据访问权限值，确定针对所述客户端的认证方式，包括：
29.按照调整后的数据访问权限值与认证方式的复杂程度成正相关的关系，基于所述调整后的数据访问权限值，确定针对所述客户端的认证方式。
30.在其中一个实施例中，所述对所述直接信任度值和所述间接信任度值进行融合处理，得到针对所述客户端的综合信任度值，包括：
31.获取针对所述直接信任度值和所述间接信任度值预设的第二权重；
32.根据所述第二权重，对所述直接信任度值和所述间接信任度值进行加权求和处理，得到针对所述客户端的综合信任度值。
33.第二方面，本技术还提供了一种登录认证装置。所述装置包括：
34.信息获取模块，用于响应于客户端发送的认证请求，获取所述客户端的认证信息和历史交互信息；所述历史交互信息表示所述客户端与认证网关之间的历史交互信息；
35.信任度确定模块，用于根据所述历史交互信息，确定针对所述客户端的直接信任度值，以及根据所述认证信息，确定针对所述客户端的间接信任度值；
36.信任度融合模块，用于对所述直接信任度值和所述间接信任度值进行融合处理，得到针对所述客户端的综合信任度值；
37.权限值调整模块，用于在所述综合信任度值大于阈值的情况下，对所述客户端对应的数据访问权限值进行调整，得到调整后的数据访问权限值；
38.方式确定模块，用于基于所述调整后的数据访问权限值，确定针对所述客户端的认证方式，基于所述认证方式对所述客户端进行登录认证。
39.第三方面，本技术还提供了一种计算机设备。所述计算机设备包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现以下步骤：
40.响应于客户端发送的认证请求，获取所述客户端的认证信息和历史交互信息；所述历史交互信息表示所述客户端与认证网关之间的历史交互信息；
41.根据所述历史交互信息，确定针对所述客户端的直接信任度值，以及根据所述认证信息，确定针对所述客户端的间接信任度值；
42.对所述直接信任度值和所述间接信任度值进行融合处理，得到针对所述客户端的综合信任度值；
43.在所述综合信任度值大于阈值的情况下，对所述客户端对应的数据访问权限值进行调整，得到调整后的数据访问权限值；
44.基于所述调整后的数据访问权限值，确定针对所述客户端的认证方式，基于所述认证方式对所述客户端进行登录认证。
45.第四方面，本技术还提供了一种计算机可读存储介质。所述计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现以下步骤：
46.响应于客户端发送的认证请求，获取所述客户端的认证信息和历史交互信息；所述历史交互信息表示所述客户端与认证网关之间的历史交互信息；
47.根据所述历史交互信息，确定针对所述客户端的直接信任度值，以及根据所述认证信息，确定针对所述客户端的间接信任度值；
48.对所述直接信任度值和所述间接信任度值进行融合处理，得到针对所述客户端的综合信任度值；
49.在所述综合信任度值大于阈值的情况下，对所述客户端对应的数据访问权限值进行调整，得到调整后的数据访问权限值；
50.基于所述调整后的数据访问权限值，确定针对所述客户端的认证方式，基于所述认证方式对所述客户端进行登录认证。
51.第五方面，本技术还提供了一种计算机程序产品。所述计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现以下步骤：
52.响应于客户端发送的认证请求，获取所述客户端的认证信息和历史交互信息；所述历史交互信息表示所述客户端与认证网关之间的历史交互信息；
53.根据所述历史交互信息，确定针对所述客户端的直接信任度值，以及根据所述认证信息，确定针对所述客户端的间接信任度值；
54.对所述直接信任度值和所述间接信任度值进行融合处理，得到针对所述客户端的综合信任度值；
55.在所述综合信任度值大于阈值的情况下，对所述客户端对应的数据访问权限值进行调整，得到调整后的数据访问权限值；
56.基于所述调整后的数据访问权限值，确定针对所述客户端的认证方式，基于所述认证方式对所述客户端进行登录认证。
57.上述登录认证方法、装置、计算机设备、存储介质和计算机程序产品，响应于客户端发送的认证请求，获取客户端的认证信息和历史交互信息；根据历史交互信息，确定针对客户端的直接信任度值，以及根据认证信息，确定针对客户端的间接信任度值；进一步对直接信任度值和间接信任度值进行融合处理，得到针对客户端的综合信任度值；在综合信任度值大于阈值的情况下，对客户端对应的数据访问权限值进行调整，得到调整后的数据访
问权限值；基于调整后的数据访问权限值，确定针对客户端的认证方式，基于认证方式对客户端进行登录认证。该方法通过确定综合信任度值，在综合信任度值大于阈值的情况下，对客户端对应的数据访问权限值进行调整，从而可以基于动态变化的数据访问权限值，进行登录方式的动态确定，从而可提高登录认证的安全性和可靠性。
附图说明
58.图1为一个实施例中登录认证方法的应用环境图；
59.图2为一个实施例中登录认证方法的流程示意图；
60.图3为一个实施例中登录认证方法的架构示意图；
61.图4为另一个实施例中登录认证方法的流程示意图；
62.图5为一个实施例中客户端、认证网关与运营商认证网关之间的交互过程示意图；
63.图6为一个实施例中登录认证装置的结构框图；
64.图7为一个实施例中计算机设备的内部结构图。
具体实施方式
65.为了使本技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本技术进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本技术，并不用于限定本技术。
66.需要说明的是，本技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本技术的实施例能够以除了在这里图示或描述的那些以外的顺序实施。
67.本技术实施例提供的登录认证方法，可以应用于如图1所示的应用环境中。其中，客户端102通过网络与服务器104进行通信。数据存储系统可以存储服务器104需要处理的数据。数据存储系统可以集成在服务器104上，也可以放在云上或其他网络服务器上。在本技术的应用场景中，客户端102基于用户的操作，发送认证请求至服务器104，服务器104基于该认证请求，获取客户端102的认证信息和历史交互信息；历史交互信息表示客户端102与认证网关之间的历史交互信息；根据历史交互信息，确定针对客户端102的直接信任度值，以及根据认证信息，确定针对客户端102的间接信任度值；对直接信任度值和间接信任度值进行融合处理，得到针对客户端102的综合信任度值；在综合信任度值大于阈值的情况下，对客户端102对应的数据访问权限值进行调整，得到调整后的数据访问权限值；基于调整后的数据访问权限值，确定针对客户端102的认证方式，基于认证方式对客户端102进行登录认证。其中，客户端102可以安装于各种个人计算机、笔记本电脑、智能手机、平板电脑、物联网设备和便携式可穿戴设备中，物联网设备可为智能音箱、智能电视、智能空调、智能车载设备等。便携式可穿戴设备可为智能手表、智能手环、头戴设备等。服务器104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
68.在一个实施例中，如图2所示，提供了一种登录认证方法，以该方法应用于图1中的104为例进行说明，包括以下步骤：
69.步骤s210，响应于客户端发送的认证请求，获取客户端的认证信息和历史交互信
息；历史交互信息表示客户端与认证网关之间的历史交互信息。
70.其中，认证信息可包括登录客户端的设备信息、网络环境、认证协议和网络接入方式等认证因素的信息。其中，设备信息进一步包括登录账号信息(如手机号码)或口令、端口和设备硬件标识等。其中，网络接入方式可包括拨号上网、isdn(integrated service digital network，综合业务数字网)上网、宽带上网、光纤宽带上网和无线上网等。
71.其中，历史交互信息表示客户端历史进行资源访问时的登录情况，具体可包括历史登录的成功次数和失败次数等。
72.具体实现中，当接收到用户通过客户端发送的认证请求时，可获取该客户端的认证信息和历史交互信息，以便于根据认证信息和历史交互信息，确定该客户端的可信程度，从而确定针对该客户端的认证方式。
73.步骤s220，根据历史交互信息，确定针对客户端的直接信任度值，以及根据认证信息，确定针对客户端的间接信任度值。
74.其中，直接信任度值可以理解为客户端直接关联的认证网关对访问主体(即客户端)与访问资源之间的历史交互信息的成功数据的满意度评估值。
75.其中，间接信任度值可以理解为客户端关联的其他认证网关(如运营商认证网关)对访问主体设备(登录客户端的设备)信息、网络环境、认证协议和网络接入方式的满意度评估值。
76.具体实现中，对客户端的直接信任度值的计算，可以先构建直接信任度计算模型，通过直接信任度计算模型对历史交互信息进行处理，得到直接信任度值。更具体地，历史交互信息包括客户端历史登录时的成功次数和失败次数，可将成功次数和失败次数输入直接信任度计算模型，得到针对客户端的直接信任度值。
77.对客户端的间接信任度值的计算，可通过先获取认证信息包括的设备信息、网络环境、认证协议和网络接入方式等因素的间接信任值，对各因素对应的间接信任值进行融合处理后得到。
78.步骤s230，对直接信任度值和间接信任度值进行融合处理，得到针对客户端的综合信任度值。
79.具体实现中，由于直接信任度值和间接信任度值对客户端的信任度的影响程度不同，因此，可以为直接信任度值和间接信任度值赋予不同的权重，进一步结合权重对直接信任度值和间接信任度值进行加权融合，得到针对客户端的综合信任度值。
80.步骤s240，在综合信任度值大于阈值的情况下，对客户端对应的数据访问权限值进行调整，得到调整后的数据访问权限值。
81.其中，数据访问权限值表征访问数据资源的难易程度，具体而言，数据访问权限值越低，访问数据资源越简单；数据访问权限值越高，访问数据资源越困难。
82.具体实现中，为保证数据资源的安全和方便管理，现有网络系统中一般会设置不同用户可访问的资源的范围或等级不同，例如，管理人员和普通用户可访问的资源是不同的，即不同的用户具有不同的权限等级，因此，客户端对应的登录用户本身会具有权限信息，根据该权限信息，可以确定客户端对应的固定的数据访问权限值。
83.可以理解的是，若采用该固定的数据访问权限值进行登录方式的确定，则每次确定出的登录方式必然是完全一样的，难以保证登录的安全性。因此，本技术结合综合信任度
值对该固定的数据访问权限值进行动态调整，使得可以根据调整后的数据访问权限值动态进行认证方式的决策，以提高认证的安全性和可靠性。
84.具体实现中，基于综合信任度值对固定的数据访问权限值进行动态调整前，还需要判断综合信任度值与预设阈值之间的大小关系，若综合信任度值小于或等于阈值，表明客户端的可信度或安全度较低，则不能对该数据访问权限值进行调整，而是直接使用该固定的数据访问权限值，确定针对客户端的认证方式。若综合信任度值大于阈值，表明客户端的可信度较高，则可以对该数据访问权限值进行调整，通过调整后的数据访问权限值，确定针对客户端的认证方式。
85.步骤s250，基于调整后的数据访问权限值，确定针对客户端的认证方式，基于认证方式对客户端进行登录认证。
86.其中，认证方式可包括密码口令认证、令牌认证和生物认证(如人脸认证、指纹认证等)。
87.具体实现中，可先确定调整后的数据访问权限值与认证方式之间的关系，基于该关系进行认证方式的确定，更具体地，调整后的数据访问权限值与认证方式的复杂程度成正相关，基于该正相关关系，可预先设定多个数据访问权限值区间，每个数据访问权限值区间具有对应的认证方式，在得到调整后的数据访问权限值后，确定调整后的数据访问权限值在预设的多个数据访问权限值区间中对应的目标数据访问权限值区间，将该目标数据访问权限值区间对应的认证方式作为针对客户端的认证方式。
88.举例说明，设调整后的数据访问权限值为6，对应6-10的数据访问权限值区间，而6-10的数据访问权限值区间对应的为双因子认证方式，即包括两种认证方式的认证方式，则基于调整后的数据访问权限值6，可以确定客户端对应的认证方式为双因子认证方式。
89.又如，设调整后的数据访问权限值3，对应1-5的数据访问权限值区间，而1-5的数据访问权限值区间对应的为单因子认证方式，则基于调整后的数据访问权限值3，可以确定客户端对应的认证方式为单因子认证方式。
90.上述登录认证方法中，响应于客户端发送的认证请求，获取客户端的认证信息和历史交互信息；根据历史交互信息，确定针对客户端的直接信任度值，以及根据认证信息，确定针对客户端的间接信任度值；进一步对直接信任度值和间接信任度值进行融合处理，得到针对客户端的综合信任度值；在综合信任度值大于阈值的情况下，对客户端对应的数据访问权限值进行调整，得到调整后的数据访问权限值；基于调整后的数据访问权限值，确定针对客户端的认证方式，基于认证方式对客户端进行登录认证。该方法通过确定综合信任度值，在综合信任度值大于阈值的情况下，对客户端对应的数据访问权限值进行调整，从而可以基于动态变化的数据访问权限值，进行登录方式的动态确定，从而可提高登录认证的安全性和可靠性。
91.在一示例性实施例中，历史交互信息包括客户端历史登录的成功次数和失败次数；上述步骤s220中，根据历史交互信息，确定针对客户端的直接信任度值，包括：
92.步骤s221，获取客户端登录成功的期望模型、奖励模型、衰减模型和时间衰减因子。
93.本步骤中，奖励模型和衰减模型均可以采用tanh函数，设x为客户端历史访问资源/登录的成功次数，y为客户端历史访问资源/登录的失败次数，x+y表示总访问次数，其
中，x，y均为整数，则奖励模型和衰减模型可分别表示如下：
94.奖励模型：
95.衰减模型：
96.期望模型可以采用beta分布函数，因其更好拟合信誉分布，获得期望值如下公式(3)：
[0097][0098]
时间衰减因子可表示为公式(4)：
[0099]
t0为最近一次认证成功的时间。
[0100]
步骤s222，根据期望模型、奖励模型、衰减模型和时间衰减因子，构建直接信任度计算模型。
[0101]
其中，时间衰减因子用于调整奖励模型的奖励力度。
[0102]
本步骤中，考虑到奖励模型随时间动态变化，因此引入了时间衰减因子，对其进行作用。而衰减模型考虑了交互时间间隙因素，所以无需再重复考虑衰减模型的时间衰减因子，而明显地，奖励模型的奖励程度没有衰减力度大，其会随交互间隙的长短实现不同程度的下降，所以根据期望模型、奖励模型、衰减模型和时间衰减因子，构建的直接信任度计算模型可表示为下述公式(5)：
[0103][0104]
其中，c
direct
表示直接信任度值，x，y分别为客户端历史访问资源/登录的成功次数和失败次数，k为奖励模型的时间衰减因子。
[0105]
步骤s223，通过直接信任度计算模型，对成功次数和失败次数进行处理，得到直接信任度值。
[0106]
具体地，在得到直接信任度计算模型后，可将成功次数x和失败次数y输入直接信任度计算模型进行计算处理，得到直接信任度值。
[0107]
本实施例提供的直接信任度值计算方法，基于历史交互信息中成功次数及失败次数，建立激励反馈机制，同步根据成功次数构建奖励模型、根据失败次数构建衰减模型，同时引入时间衰减因子动态随时间变化更改奖励模型的激励力度，可以随时间动态调整所得到的信任度值，提高所确定的直接信任度值的准确性。
[0108]
在一示例性实施例中，认证信息包括多个认证因素的信息；上述步骤s220中，根据认证信息，确定针对客户端的间接信任度值，包括：
[0109]
步骤s224，获取各个认证因素的间接信任值，基于间接信任值确定各个认证因素的第一权重；间接信任值与第一权重成正相关关系；
[0110]
步骤s225，根据各个认证因素的第一权重对各个认证因素的间接信任值进行加权求和处理，得到间接信任度值。
[0111]
其中，第一权重可表示各个认证因素对间接信任度值的影响程度。
[0112]
其中，各个认证因素的第一权重的和为1。
[0113]
具体实现中，认证因素可包括网络环境、设备信息、认证协议和网络接入方式等，在获取各个认证因素的间接信任值后，可按照间接信任值与第一权重成正相关的关系，确定各个认证因素的第一权重。即某种认证因素的间接信任值越大，则该认证因素对间接信任度值的影响程度越大，则针对该认证因素的第一权重越高；反之，间接信任值越小，则该认证因素对间接信任度值的影响程度越小，则针对该认证因素的第一权重就越低。在确定各个认证因素的第一权重后，可通过各个认证因素的第一权重对各个认证因素的间接信任值进行加权求和处理，得到间接信任度值，具体的加权求和过程可表示为下式：
[0114][0115]
其中，c
indirect
表示间接信任度值，i,j,k,l分别表示网络环境、设备信息、认证协议和网络接入方式，wi、wj、wk、w
l
分别表示网络环境、设备信息、认证协议和网络接入方式四种认证因素的第一权重，wi、wj、wk、w
l
分别表示网络环境、设备信息、认证协议和网络接入方式四种认证因素的间接信任值。
[0116]
本实施例提供的间接信任度值计算方法，采用多种认证因素参与间接信任度值的计算评估，克服传统方法中参与信任度评估的因素只有行为交互因素，没有环境设备等因素的考量的缺陷，并且基于各个认证因素的间接信任值确定各个认证因素的第一权重，不再基于主观意识来设置权重比例，可以提高所确定的第一权重的准确性，从而可以提高所确定的间接信任度值的准确性。
[0117]
进一步地，在一示例性实施例中，步骤s224中，获取各个认证因素的间接信任值，包括：获取客户端历史登录成功时，各个认证因素的基准信息；获取各个认证因素的信息与对应的基准信息之间的相似度，基于相似度，确定各个认证因素的间接信任值。
[0118]
具体实现中，确定各个认证因素的间接信任值可以通过将各个认证因素的信息与可以登录成功的各个认证因素的基准信息进行比对，得到各个认证因素的信息与对应的基准信息之间的相似度，基于该相似度确定各个认证因素的间接信任值。
[0119]
更具体地，各个认证因素的基准信息可以从客户端历史登录成功时的历史交互信息中获取，将历史登录成功时各个认证因素的信息作为基准信息。基于各个认证因素对应的相似度确定各个认证因素的间接信任值，可以为将各个认证因素对应的相似度，直接作为各个认证因素的间接信任值，也可以通过预设相似度与间接信任值之间的转换关系，将各个认证因素对应的相似度，转换为各个认证因素的间接信任值。
[0120]
本实施例中，通过将各个认证因素的信息与客户端历史登录成功时各个认证因素的基准信息之间的相似度，确定各个认证因素的间接信任值，可以保证所确定的间接信任值的可信度，从而提高基于各个认证因素的间接信任值确定的间接信任度值的准确性。
[0121]
在一示例性实施例中，客户端对应的数据访问权限值可通过下述方式确定：获取客户端的权限信息；根据权限信息，查询预设的权限信息与数据访问权限值的映射表，得到客户端对应的数据访问权限值。
[0122]
具体实现中，由于不同的用户具有不同的权限等级，因此，客户端对应的登录用户本身会具有权限信息，可获取客户端对应的该权限信息，根据该权限信息，查询预设的权限
信息与数据访问权限值的映射表，得到确定客户端对应的固定的数据访问权限值。
[0123]
更具体地，客户端对应的权限信息可以为权限等级，例如，一级、二级，在映射表中记录不同权限等级对应的数据访问权限值，权限等级越高，进行数据资源的访问越简单，则数据访问权限值越低。
[0124]
本实施例中，通过预先设定权限信息与数据访问权限值的映射表，从而在获取客户端的权限信息后，可直接查询该映射表，从而可提高确定客户端对应的数据访问权限值的效率。
[0125]
在一示例性实施例中，历史交互信息包括客户端历史登录的成功次数和失败次数；上述步骤s240中在综合信任度值大于阈值的情况下，对客户端对应的数据访问权限值进行调整，得到调整后的数据访问权限值，具体可以通过以下步骤实现：
[0126]
步骤s241，在综合信任度值大于阈值的情况下，获取成功次数与失败次数的平均值；
[0127]
步骤s242，若成功次数大于平均值，则获取权限衰减因子；
[0128]
步骤s243，通过权限衰减因子，对数据访问权限值进行减小处理，得到调整后的数据访问权限值。
[0129]
具体实现中，本技术通过结合综合信任度值对数据访问权限值的目的在于在客户端的可信度较高时，可以简化针对客户端的认证方式，减少时间的浪费，提高认证效率，因此，对数据访问权限值的调整具体为减小数据访问权限值。
[0130]
进一步地，对客户端的可信度的评价除了依据综合信任度值外，还可结合客户端的历史交互的成功情况，具体而言，在确定综合信任度值大于阈值的情况下，可获取客户端历史登录的成功次数与失败次数的平均值，将成功次数与该平均值进行对比，若成功次数小于或等于平均值，则表明客户端的可信度较低，则不能对该数据访问权限值进行调整，而是直接使用该固定的数据访问权限值，确定针对客户端的认证方式。若成功次数大于该平均值，则表明客户端的可信度较高，可以对数据访问权限值进行减小处理，具体的减小方法为通过权限衰减因子，对数据访问权限值进行减小处理，得到调整后的数据访问权限值，通过调整后的数据访问权限值，确定针对客户端的认证方式。
[0131]
更具体地，通过权限衰减因子对数据访问权限值的减小的方法为：将权限衰减因子与数据访问权限值相乘，该乘积等价于根据权限衰减因子、综合信任度值和预设的多种认证方式的度量值构建的权限计算模型。例如，权限衰减因子可表示为x》阈值，设客户端对应的数据访问权限值为acl，则调整后的数据访问权限值的计算公式可表示为：
[0132][0133]
其中，表示调整后的数据访问权限值，x客户端历史登录的成功次数，c表示针对客户端的综合信任度值，mfa表示预设的多种认证方式的度量值，例如，设预设的多种认证方式包括密码口令认证、令牌认证、生物认证，认证方式根据难易程度有一定等级评定，如密码口令为低，令牌认证为中，生物认证为高，设：密码口令认证为x＝0.4，令牌认证为y＝0.7，生物认证为z＝1，则mfa＝x+y+z＝2.1。
[0134]
本实施例中，在综合信任度值的基础上，结合客户端历史登录的成功次数，与成功
次数和失败次数之间的平均值的大小关系，共同确定是否对客户端对应的数据访问权限值进行调整，进一步保证了调整结果的准确性，并且在综合信任度值和成功次数符合预设条件时，对数据访问权限值进行减小，实现动态收敛数据访问权限值的目的，可以降低认证方式的等级，简化针对客户端的认证方式，减少时间的浪费，提高认证效率。
[0135]
在一示例性实施例中，上述步骤s250中，基于调整后的数据访问权限值，确定针对客户端的认证方式，包括：按照调整后的数据访问权限值与认证方式的复杂程度成正相关的关系，基于调整后的数据访问权限值，确定针对客户端的认证方式。
[0136]
具体实现中，认证方式的复杂程度可通过认证方式的种类或数量表征，调整后的数据访问权限值与认证方式的复杂程度成正相关的关系可以理解为：调整后的数据访问权限值越大，则认证方式越复杂，即认证方式的种类越多；反之，调整后的数据访问权限值越小，则认证方式越简单，即认证方式的种类越少。例如，调整后的数据访问权限值为3，认证方式为单因子认证方式；而当调整后的数据访问权限值增大为7时，认证方式为双因子认证方式；当调整后的数据访问权限值进一步增大为14时，认证方式可以为三因子认证方式。确定调整后的数据访问权限值与认证方式的复杂程度之间的正相关关系后，可在该关系的基础上，基于调整后的数据访问权限值，确定针对客户端的认证方式。
[0137]
本实施例中，按照调整后的数据访问权限值与认证方式的复杂程度成正相关的关系，基于调整后的数据访问权限值，确定针对客户端的认证方式，使得认证方式可以基于实际情况动态调整，克服每次采用相同的认证方式的单一性。
[0138]
在一示例性实施例中，上述步骤s230中，对直接信任度值和间接信任度值进行融合处理，得到针对客户端的综合信任度值，包括：
[0139]
步骤s231，获取针对直接信任度值和间接信任度值预设的第二权重；
[0140]
步骤s232，根据第二权重，对直接信任度值和间接信任度值进行加权求和处理，得到针对客户端的综合信任度值。
[0141]
具体实现中，由于直接信任度值和间接信任度值对客户端的信任度的影响程度不同，因此，可以为直接信任度值和间接信任度值赋予不同的权重。一般来说，直接信任度值对客户端的信任度的影响程度大于间接信任度值对客户端的信任度的影响程度。因此，针对直接信任度值预设的第二权重大于针对间接信任度值预设的第二权重。进一步可根据直接信任度值的第二权重对直接信任度值进行加权处理，得到加权后的直接信任度值；以及，根据间接信任度值的第二权重对间接信任度值进行加权处理，得到加权后的间接信任度值，将加权后的直接信任度值与加权后的间接信任度值相加，得到针对客户端的综合信任度值。
[0142]
例如，设针对直接信任度值c
direct
预设的第二权重为w1，针对间接信任度值c
indirect
预设的第二权重为w2，则针对客户端的综合信任度值c可表示为：
[0143]
c＝w1c
direct
+w2c
indirect
[0144]
本实施例中，考虑到直接信任度值和间接信任度值对客户端的信任度的影响程度不同，为直接信任度值和间接信任度值分别设置不同的第二权重，以通过第二权重对直接信任度值和间接信任度值进行加权融合，使得所得到的综合信任度值可以更为准确地表征对客户端的信任度。
[0145]
在另一个实施例中，为了便于本领域技术人员理解本技术实施例，以下将结合附
图的具体示例进行说明。参考图3，为一实施例示出的登录认证方法的架构示意图，在获取客户端的网络环境、设备信息等认证信息和包括失败次数和成功次数的历史交互信息后，通过直接信任度计算模型计算直接信任度值，通过间接信任度计算模型计算间接信任度值，其中，直接信任度计算模型基于根据成功次数构建的奖励模型、根据失败次数构建衰减模型、期望模型以及时间衰减因子构建得到。根据直接信任度计算模型输出的直接信任度值和间接信任度计算模型输出的间接信任度值，确定综合信任度值。将综合信任度值、数据访问权限值和权限衰减因子输入多因子认证模型，由多因子认证模型进行认证方式的决策。
[0146]
更具体地，如图4所示，为一实施例示出的登录认证方法的完整流程示意图，本实施例中，该方法包括以下步骤：
[0147]
步骤s401，响应于客户端发送的认证请求，获取客户端的认证信息和历史交互信息；认证信息包括多个认证因素的信息，历史交互信息包括客户端历史登录的成功次数和失败次数；
[0148]
步骤s402a，获取客户端登录成功的期望模型、奖励模型、衰减模型和时间衰减因子；
[0149]
步骤s402b，根据期望模型、奖励模型、衰减模型和时间衰减因子，构建直接信任度计算模型；
[0150]
步骤s402c，通过直接信任度计算模型，对历史交互信息中的成功次数和失败次数进行处理，得到直接信任度值；
[0151]
步骤s403a，获取客户端历史登录成功时，各个认证因素的基准信息；
[0152]
步骤s403b，获取各个认证因素的信息与对应的基准信息之间的相似度，基于相似度，确定各个认证因素的间接信任值；
[0153]
步骤s403c，基于间接信任值确定各个认证因素的第一权重；间接信任值与第一权重成正相关关系；
[0154]
步骤s403d，根据各个认证因素的第一权重对各个认证因素的间接信任值进行加权求和处理，得到间接信任度值；
[0155]
步骤s404，获取针对直接信任度值和间接信任度值预设的第二权重；根据第二权重，对直接信任度值和间接信任度值进行加权求和处理，得到针对客户端的综合信任度值；
[0156]
步骤s405，在综合信任度值大于阈值的情况下，获取成功次数与失败次数的平均值；
[0157]
步骤s406，若成功次数大于平均值，则获取权限衰减因子；通过权限衰减因子，对数据访问权限值进行减小处理，得到调整后的数据访问权限值；
[0158]
步骤s407，按照调整后的数据访问权限值与认证方式的复杂程度成正相关的关系，基于调整后的数据访问权限值，确定针对客户端的认证方式。
[0159]
本实施例中，通过确定综合信任度值，在综合信任度值大于阈值的情况下，对客户端对应的数据访问权限值进行调整，从而可以基于动态变化的数据访问权限值，进行登录方式的动态确定，从而可提高登录认证的安全性和可靠性。
[0160]
在一个实施例中，为了便于本领域技术人员理解本技术实施例，以下将结合附图的具体示例进行说明。参考图5，示出了客户端、认证网关与运营商认证网关之间的交互过
程示意图，其中，认证网关和运营商认证网关可以部署于图1所示的服务器上，客户端、认证网关与运营商认证网关之间的交互过程如下：
[0161]
在客户端上：
[0162]
客户端发送认证请求至认证网关。
[0163]
在认证网关上：
[0164]
(1)认证网关响应于客户端发送的认证请求，获取客户端的认证信息和历史交互信息；其中，认证信息包括多个认证因素的信息，历史交互信息包括客户端历史登录的成功次数和失败次数。
[0165]
(2)构建直接信任度计算模型，通过直接信任度计算模型，对历史交互信息中的成功次数和失败次数进行处理，得到直接信任度值。
[0166]
(3)发送认证信息至运营商认证网关，并接收运营商认证网关返回的间接信任度值。
[0167]
(4)根据针对直接信任度值和间接信任度值预设的第二权重，对直接信任度值和间接信任度值进行加权求和处理，得到针对客户端的综合信任度值。
[0168]
(5)在综合信任度值大于阈值，且成功次数》成功次数与失败次数的平均值的情况下，通过权限衰减因子，对数据访问权限值进行减小处理，得到调整后的数据访问权限值。
[0169]
(6)基于调整后的数据访问权限值，确定针对客户端的认证方式。
[0170]
在运营商认证网关上：
[0171]
(1)接收认证网关发送的认证信息，获取客户端历史登录成功时，各个认证因素的基准信息；
[0172]
(2)根据各个认证因素的信息与对应的基准信息之间的相似度，基于相似度，确定各个认证因素的间接信任值；
[0173]
(3)基于间接信任值确定各个认证因素的第一权重，根据第一权重对各个认证因素的间接信任值进行加权求和处理，得到间接信任度值。
[0174]
(4)返回间接信任度值至认证网关。
[0175]
应该理解的是，虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段，这些步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
[0176]
基于同样的发明构思，本技术实施例还提供了一种用于实现上述所涉及的登录认证方法的登录认证装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似，故下面所提供的一个或多个登录认证装置实施例中的具体限定可以参见上文中对于登录认证方法的限定，在此不再赘述。
[0177]
在一个实施例中，如图6所示，提供了一种登录认证装置，包括：信息获取模块610、信任度确定模块620、信任度融合模块630、权限值调整模块640和方式确定模块650，其中：
[0178]
信息获取模块610，用于响应于客户端发送的认证请求，获取所述客户端的认证信
息和历史交互信息；所述历史交互信息表示所述客户端与认证网关之间的历史交互信息；
[0179]
信任度确定模块620，用于根据所述历史交互信息，确定针对所述客户端的直接信任度值，以及根据所述认证信息，确定针对所述客户端的间接信任度值；
[0180]
信任度融合模块630，用于对所述直接信任度值和所述间接信任度值进行融合处理，得到针对所述客户端的综合信任度值；
[0181]
权限值调整模块640，用于在所述综合信任度值大于阈值的情况下，对所述客户端对应的数据访问权限值进行调整，得到调整后的数据访问权限值；
[0182]
方式确定模块650，用于基于所述调整后的数据访问权限值，确定针对所述客户端的认证方式，基于所述认证方式对所述客户端进行登录认证。
[0183]
在其中一个实施例中，所述历史交互信息包括所述客户端历史登录的成功次数和失败次数；信任度确定模块620，还用于获取所述客户端登录成功的期望模型、奖励模型、衰减模型和时间衰减因子；根据所述期望模型、所述奖励模型、所述衰减模型和所述时间衰减因子，构建直接信任度计算模型；通过所述直接信任度计算模型，对所述历史交互信息中的成功次数和所述失败次数进行处理，得到所述直接信任度值。
[0184]
在其中一个实施例中，所述认证信息包括多个认证因素的信息；信任度确定模块620，还用于获取各个认证因素的间接信任值，基于所述间接信任值确定所述各个认证因素的第一权重；所述间接信任值与所述第一权重成正相关关系；根据所述各个认证因素的第一权重对所述各个认证因素的间接信任值进行加权求和处理，得到所述间接信任度值。
[0185]
在其中一个实施例中，信任度确定模块620，还用于获取所述客户端历史登录成功时，所述各个认证因素的基准信息；获取所述各个认证因素的信息与对应的基准信息之间的相似度，基于所述相似度，确定所述各个认证因素的间接信任值。
[0186]
在其中一个实施例中，上述装置还包括权限值确定模块，用于获取所述客户端的权限信息；根据所述权限信息，查询预设的权限信息与数据访问权限值的映射表，得到所述客户端对应的数据访问权限值。
[0187]
在其中一个实施例中，所述历史交互信息包括所述客户端历史登录的成功次数和失败次数；权限值调整模块640，还用于在所述综合信任度值大于阈值的情况下，获取所述成功次数与所述失败次数的平均值；若所述成功次数大于所述平均值，则获取权限衰减因子；通过所述权限衰减因子，对所述数据访问权限值进行减小处理，得到调整后的数据访问权限值。
[0188]
在其中一个实施例中，方式确定模块650，还用于按照调整后的数据访问权限值与认证方式的复杂程度成正相关的关系，基于所述调整后的数据访问权限值，确定针对所述客户端的认证方式。
[0189]
在其中一个实施例中，信任度融合模块630，还用于获取针对所述直接信任度值和所述间接信任度值预设的第二权重；根据所述第二权重，对所述直接信任度值和所述间接信任度值进行加权求和处理，得到针对所述客户端的综合信任度值。
[0190]
上述登录认证装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。
[0191]
在一个实施例中，提供了一种计算机设备，该计算机设备可以是服务器，其内部结
构图可以如图7所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储登录认证过程中的数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种登录认证方法。
[0192]
本领域技术人员可以理解，图7中示出的结构，仅仅是与本技术方案相关的部分结构的框图，并不构成对本技术方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。
[0193]
在一个实施例中，还提供了一种计算机设备，包括存储器和处理器，存储器中存储有计算机程序，该处理器执行计算机程序时实现上述各方法实施例中的步骤。
[0194]
在一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
[0195]
在一个实施例中，提供了一种计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
[0196]
需要说明的是，本技术所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等)，均为经用户授权或者经过各方充分授权的信息和数据，且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准。
[0197]
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用，均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(read-only memory，rom)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(reram)、磁变存储器(magnetoresistive random access memory，mram)、铁电存储器(ferroelectric random access memory，fram)、相变存储器(phase change memory，pcm)、石墨烯存储器等。易失性存储器可包括随机存取存储器(random access memory，ram)或外部高速缓冲存储器等。作为说明而非局限，ram可以是多种形式，比如静态随机存取存储器(static random access memory，sram)或动态随机存取存储器(dynamic random access memory，dram)等。本技术所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等，不限于此。本技术所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等，不限于此。
[0198]
以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
[0199]
以上所述实施例仅表达了本技术的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本技术专利范围的限制。应当指出的是，对于本领域的普通技术人员
来说，在不脱离本技术构思的前提下，还可以做出若干变形和改进，这些都属于本技术的保护范围。因此，本技术的保护范围应以所附权利要求为准。

技术特征：
1.一种登录认证方法，其特征在于，所述方法包括：响应于客户端发送的认证请求，获取所述客户端的认证信息和历史交互信息；所述历史交互信息表示所述客户端与认证网关之间的历史交互信息；根据所述历史交互信息，确定针对所述客户端的直接信任度值，以及根据所述认证信息，确定针对所述客户端的间接信任度值；对所述直接信任度值和所述间接信任度值进行融合处理，得到针对所述客户端的综合信任度值；在所述综合信任度值大于阈值的情况下，对所述客户端对应的数据访问权限值进行调整，得到调整后的数据访问权限值；基于所述调整后的数据访问权限值，确定针对所述客户端的认证方式，基于所述认证方式对所述客户端进行登录认证。2.根据权利要求1所述的方法，其特征在于，所述历史交互信息包括所述客户端历史登录的成功次数和失败次数；所述根据所述历史交互信息，确定针对所述客户端的直接信任度值，包括：获取所述客户端登录成功的期望模型、奖励模型、衰减模型和时间衰减因子；根据所述期望模型、所述奖励模型、所述衰减模型和所述时间衰减因子，构建直接信任度计算模型；通过所述直接信任度计算模型，对所述历史交互信息中的成功次数和所述失败次数进行处理，得到所述直接信任度值。3.根据权利要求1所述的方法，其特征在于，所述认证信息包括多个认证因素的信息；所述根据所述认证信息，确定针对所述客户端的间接信任度值，包括：获取各个认证因素的间接信任值，基于所述间接信任值确定所述各个认证因素的第一权重；所述间接信任值与所述第一权重成正相关关系；根据所述各个认证因素的第一权重，对所述各个认证因素的间接信任值进行加权求和处理，得到所述间接信任度值。4.根据权利要求3所述的方法，其特征在于，所述获取各个认证因素的间接信任值，包括：获取所述客户端历史登录成功时，所述各个认证因素的基准信息；获取所述各个认证因素的信息与对应的基准信息之间的相似度，基于所述相似度，确定所述各个认证因素的间接信任值。5.根据权利要求1所述的方法，其特征在于，所述客户端对应的数据访问权限值通过下述方式确定：获取所述客户端的权限信息；根据所述权限信息，查询预设的权限信息与数据访问权限值的映射表，得到所述客户端对应的数据访问权限值。6.根据权利要求1所述的方法，其特征在于，所述历史交互信息包括所述客户端历史登录的成功次数和失败次数；所述在所述综合信任度值大于阈值的情况下，对所述客户端对应的数据访问权限值进行调整，得到调整后的数据访问权限值，包括：在所述综合信任度值大于阈值的情况下，获取所述成功次数与所述失败次数的平均
值；若所述成功次数大于所述平均值，则获取权限衰减因子；通过所述权限衰减因子，对所述数据访问权限值进行减小处理，得到调整后的数据访问权限值。7.根据权利要求1所述的方法，其特征在于，所述基于所述调整后的数据访问权限值，确定针对所述客户端的认证方式，包括：按照调整后的数据访问权限值与认证方式的复杂程度成正相关的关系，基于所述调整后的数据访问权限值，确定针对所述客户端的认证方式。8.根据权利要求1所述的方法，其特征在于，所述对所述直接信任度值和所述间接信任度值进行融合处理，得到针对所述客户端的综合信任度值，包括：获取针对所述直接信任度值和所述间接信任度值预设的第二权重；根据所述第二权重，对所述直接信任度值和所述间接信任度值进行加权求和处理，得到针对所述客户端的综合信任度值。9.一种登录认证装置，其特征在于，所述装置包括：信息获取模块，用于响应于客户端发送的认证请求，获取所述客户端的认证信息和历史交互信息；所述历史交互信息表示所述客户端与认证网关之间的历史交互信息；信任度确定模块，用于根据所述历史交互信息，确定针对所述客户端的直接信任度值，以及根据所述认证信息，确定针对所述客户端的间接信任度值；信任度融合模块，用于对所述直接信任度值和所述间接信任度值进行融合处理，得到针对所述客户端的综合信任度值；权限值调整模块，用于在所述综合信任度值大于阈值的情况下，对所述客户端对应的数据访问权限值进行调整，得到调整后的数据访问权限值；方式确定模块，用于基于所述调整后的数据访问权限值，确定针对所述客户端的认证方式，基于所述认证方式对所述客户端进行登录认证。10.一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1至8中任一项所述的登录认证方法的步骤。11.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1至8中任一项所述的登录认证方法的步骤。12.一种计算机程序产品，包括计算机程序，其特征在于，该计算机程序被处理器执行时实现权利要求1至8中任一项所述的登录认证方法的步骤。

技术总结
本申请涉及一种登录认证方法、装置、计算机设备和存储介质，所述方法包括：响应于客户端发送的认证请求，获取所述客户端的认证信息和历史交互信息；根据所述历史交互信息，确定针对所述客户端的直接信任度值，以及根据所述认证信息，确定针对所述客户端的间接信任度值；对所述直接信任度值和所述间接信任度值进行融合处理，得到针对所述客户端的综合信任度值；在所述综合信任度值大于阈值的情况下，对所述客户端对应的数据访问权限值进行调整，得到调整后的数据访问权限值；基于所述调整后的数据访问权限值，确定针对所述客户端的认证方式，基于所述认证方式对所述客户端进行登录认证。采用本方法能够提高登录认证的安全性和可靠性。靠性。靠性。


技术研发人员：范紫君 袁淑美
受保护的技术使用者：中国电信股份有限公司
技术研发日：2023.07.07
技术公布日：2023/10/15