(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111358727.3 (22)申请日 2021.11.16 (71)申请人 神思电子技 术股份有限公司 地址 250000 山东省济南市 市辖区高新区 舜华西路69 9号神思科技园 (72)发明人 张汉同　张琨　张传锋　张子良　 (74)专利代理 机构 济南泉城专利商标事务所 37218 代理人 赵玉凤 (51)Int.Cl. H04L 9/40(2022.01) G06F 21/31(2013.01) G06F 21/44(2013.01) G01S 19/39(2010.01) H04L 101/69(2022.01) (54)发明名称 一种基于定位信息的持续用户认证方法 (57)摘要 本发明是一种基于GPS定位信息的持续用户 认证方法， 包括注册阶段建立高精度的位置模 型， 登陆认证阶段通过位置模型做身份的初步判 断以及持续认证阶段实时比较经过卡尔曼滤波 算法预测值与GPS的真实值进行残差比较， 从而 确定当前IP地址下的所使用设备终端的用户是 基于地理位置的身份可信认证， 从而解决了其他 依托于任何第三方的idP的安全可信问题， 以及 当前的信令是基于随机时间点方式传输的， 基于 隐晦的， 用户不直接参与的数据信令， 增强了认 证环节信令的安全可靠， 加大的黑客破解的难 度， 在专网和自建网络中在用户和设备安全认证 上具备较高的借鉴 意义。 权利要求书2页 说明书4页 附图2页 CN 114095233 A 2022.02.25 CN 114095233 A 1.一种基于定位信 息的持续用户认证方法， 其特征在于： 包括注册阶段、 登陆认证阶段 和持续认证阶段； 注册阶段获取并保存用户注册信息， 用户注册信息包括用户IP地址和用户基于差分的 GPS数据信息， 根据用户注 册信息训练出安全椭圆模型， 作为后续认证阶段的数据依据； 登陆认证阶段通过安全椭圆模型做身份的初步判断， 即发送登陆认证请求的客户端是 否是服务器端录入的可信用户； 持续认证阶段实时将经过卡尔曼滤波算法的预测值与GPS的真实值进行残差比较， 从 而确定当前IP地址下的所使用设备终端的用户是基于地理位置的身份可信认证。 2.根据权利要求1所述的基于定位信 息的持续用户认证方法， 其特征在于： 注册阶段将 获取到的用户IP地址经过DNS转换获取到的具体网络位置坐标和GPS获取到的真实数据坐 标经过扩展的卡尔曼滤波处理， 然后由前一刻的状态Xt‑1通过状态方程估计当前时刻状态 如下： Xt|t‑1＝f(Xt‑1,0)＝Xt‑1+Xt‑1dt， 其中dt表示经过两次卡尔曼滤波处理之后的Xt、 Xt‑1之 间的差值， 计算f(Xt‑1)的雅可比矩阵F(Xt‑1)， 然后计算雅可比矩阵F(Xt‑1)的运算和误差协 方差矩阵Pt|t‑1， 根据注册阶段的预测点确定观测雅可比矩阵H(Xt|t‑1)， 并计算卡尔曼滤波 增益Kt， 然后进行状态空间的估计补偿， 将收集到的的数据训练出安全椭圆模型， 作为后续 认证阶段的数据依据。 3.根据权利要求1所述的基于定位信 息的持续用户认证方法， 其特征在于： 登陆认证阶 段， 服务端实时验证发送登陆认证请求的客户端是否与本次登陆认证的可信用户一致， 并 判定是否继续与客户端保持实时通讯连接 完成持续认证。 4.根据权利要求1所述的基于定位信 息的持续用户认证方法， 其特征在于： 持续认证阶 段的具体过程 为： S31)、 客户端在进行可信身份认证阶段的数据通信阶段发送持续的令牌保护请求， 所 述令牌保护请求是指请求保护加密后的客户端具有 唯一标识作用的地理信息和相关选择 的IP以及MAC地址信息； S32)、 服务端接收令牌请求后， 查询用户之前的注册认证信息， 确认登陆状态， 生成随 机的UUID， 并把加密后的U UID发送给客户端； S33)、 客户端解密UUID， 在设定的时间间隔时间时启动一次性的令牌计算并把生成的 令牌加密后重新传送给服 务端； S34)、 服务端接收令牌后解密， 将IP地址获取到的网络位置信息和GPS获取到的真实数 据再次经过扩展的卡尔曼滤波处理， 由前一刻的状态Xt‑1通过状态方程估计当前时刻状态 如下： Xt|t‑1＝f(Xt‑1,0)＝Xt‑1+Xt‑1dt， 计算出雅可比矩阵F(Xt‑1)、 运算和误差协方差矩 阵 Pt|t‑1， 确定观测雅可比矩阵H(Xt|t‑1)， 并计算卡尔曼滤波增益Kt， 然后进行状态空间 的估计 补偿并训练出当前椭圆模 型， 根据T时刻的GPS数据值与注册阶段安全椭圆模型进 行同步匹 配验证和鉴权处理， 并反馈用户身份识别结果； 若用户身份认证结果合格， 则客户端和服务 端继续相互通信， 若用户身份认证结果失败， 则相关通讯中 断， 服务端统计并保存用户身份 认证的结果。 5.根据权利要求4所述的基于定位信 息的持续用户认证方法， 其特征在于： 在客户端身 份认证结果 失败时， 用户需要在客户端重新进行登陆身份认证阶段的操作做位置模型判断 身份后才能与服 务器再次连接 。权　利　要　求　书 1/2 页 2 CN 114095233 A 26.根据权利要求4所述的基于定位信 息的持续用户认证方法， 其特征在于： 持续认证阶 段， 实时比较网络位置和GPS真实数据， 将每次的通信 数据进行卡尔曼滤波处理， 在K时刻， 根据卡尔曼滤波计算的数据Dt和收集到的实际的GPS真实数据Gt进行计算， 得出残差Xt， 残 差值形成一个有限集合 根据log det A‑1和||Axi+b||2≤1方程组求 出最小的安全椭圆其中|| ·||2为标准欧几里德范数,i＝1,....N。 最终计算出残差安全椭 圆模型ε＝{v|||Av+b||≤1}， 其中V就是计算出的残差值， A∈Rn×n,b∈Rn。 根据残差预设的 阈值D1<V和次数N1共同决定用户身份认证结果， 只有双方同时在定义的阈值内才是有效的 鉴权， 否则所述 客户端和服 务端相互信息通讯中断。 7.根据权利要求4所述的基于定位信 息的持续用户认证方法， 其特征在于： 实时比较网 络位置预测数据和GP S的真实数据采用的时间 间隔为1‑20秒内的随机值。 8.根据权利要求1所述的基于定位信 息的持续用户认证方法， 其特征在于： 注册阶段获 取2分钟内的用户注 册信息。 9.根据权利要求1所述的基于定位信 息的持续用户认证方法， 其特征在于： 持续认证阶 段自动完成， 不需要用户干预。权　利　要　求　书 2/2 页 3 CN 114095233 A 3