CN110537359A - 基于行为的身份验证 - Google Patents

基于行为的身份验证 Download PDF

Info

Publication number
CN110537359A
CN110537359A CN201880026413.3A CN201880026413A CN110537359A CN 110537359 A CN110537359 A CN 110537359A CN 201880026413 A CN201880026413 A CN 201880026413A CN 110537359 A CN110537359 A CN 110537359A
Authority
CN
China
Prior art keywords
client device
video service
constrain
family
time
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201880026413.3A
Other languages
English (en)
Other versions
CN110537359B (zh
Inventor
希勒尔·索洛
维瑞德·阿尼克斯特
大卫·瓦赫特福格尔
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sina Media Co Ltd
Original Assignee
Sina Media Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sina Media Co Ltd filed Critical Sina Media Co Ltd
Publication of CN110537359A publication Critical patent/CN110537359A/zh
Application granted granted Critical
Publication of CN110537359B publication Critical patent/CN110537359B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/535Tracking the activity of the user
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/25Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
    • H04N21/258Client or end-user data management, e.g. managing client capabilities, user preferences or demographics, processing of multiple end-users preferences to derive collaborative data
    • H04N21/25808Management of client data
    • H04N21/25816Management of client data involving client authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/25Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
    • H04N21/258Client or end-user data management, e.g. managing client capabilities, user preferences or demographics, processing of multiple end-users preferences to derive collaborative data
    • H04N21/25808Management of client data
    • H04N21/25841Management of client data involving the geographical location of the client
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/63Location-dependent; Proximity-dependent
    • H04W12/64Location-dependent; Proximity-dependent using geofenced areas
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/61Time-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/67Risk-dependent, e.g. selecting a security level depending on risk profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/68Gesture-dependent or behaviour-dependent

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Databases & Information Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Multimedia (AREA)
  • Computer Graphics (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Technology Law (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)

Abstract

在一个实施例中,一种方法包括:从客户端设备接收对视频服务的访问请求;当客户端设备经由与视频服务的授权帐户相关联的家庭中的家庭因特网接入点而发起与视频服务的连接时,授权客户端设备对视频服务进行访问;当客户端设备经由位于家庭外部的非家庭因特网接入点发起与视频服务的连接时,确定对访问视频服务的至少一部分的时间约束,该时间约束的持续时间取决于客户端设备的使用行为;以及当客户端设备经由非家庭因特网接入点而发起与视频服务的连接时,授权客户端设备受制于时间约束来对视频服务的至少一部分进行访问。

Description

基于行为的身份验证
技术领域
本公开总体涉及基于行为来进行对视频服务的身份验证。
背景技术
在许多系统中,要求用户登录到视频服务以证明他们的身份。一个这样的示例就是使用通过因特网的电视观看服务。经验已经表明,用户特别不善于记住或找到他们的密码,因此,视频服务试图在不损害安全性的情况下限制请求密码的频率。经常称为“基于家庭的身份验证”的一种这样的解决方案建议用户当位于与他们相关联的位置时自动能够观看视频服务。这可以例如通过检查设备的公共IP地址并检查该IP地址是否映射到也被授权用于电视服务的帐户来完成。它还可以利用关于家庭网络的证书或其他凭证。
附图说明
从以下结合附图理解的详细描述中,将更充分地理解和认识本公开,其中:
图1a-图1d是根据本公开的实施例构造和操作的基于行为的身份验证系统的部分图示部分框图的视图;
图2a是图1a-图1d的系统的第一实施例的部分图示部分框图的视图;
图2b-图2c是示出图2a的系统的操作方法中的示例性步骤的流程图;
图3a是图1a-图1d的系统的第二实施例的部分图示部分框图的视图;并且
图3b是示出图3a的系统的操作方法中的示例性步骤的流程图。
发明内容
概览
根据本公开的实施例提供了一种方法,该方法包括:从客户端设备接收对视频服务的访问请求;当客户端设备经由位于与视频服务的授权帐户相关联的家庭中的家庭因特网接入点而发起与视频服务的连接时,授权客户端设备对视频服务进行访问;当客户端设备经由位于家庭外部的非家庭因特网接入点而发起与视频服务的连接时,确定对访问视频服务的至少一部分的时间约束,该时间约束的持续时间取决于客户端设备的使用行为;并且当客户端设备经由非家庭因特网接入点而发起与视频服务的连接时,授权客户端设备受制于时间约束来对服务的至少一部分进行访问。
具体实施方式
如上所述,基于家庭的身份验证在设备在家中时允许电视观看,但在家庭外部不行。这可能是由于两个重要关注。首先,可以将授权凭证从原始设备复制出来并分发给恶意设备。对家庭有暂时访问权限的设备可能无意中被提供它们无权享有的对视频服务的长期访问权限。基于家庭的身份验证还具有不良效果,即一旦用户离开家(此时他们最不可能可以访问这些密码)就会面临登录到视频服务的挑战。
现在参考图1a-图1d,其是根据本公开的实施例构造和操作的基于行为的身份验证系统10的部分图示部分框图的视图。概述而言,在基于行为的身份验证系统10中,家庭中的客户端设备通常将被授予对家庭帐户所订阅的(一个或多个)视频服务的自动访问权限。当然,这可能限于视频服务的某个子集,诸如出于父母评级的原因或由于其他约束。基于行为的身份验证系统10基于家庭中的使用行为来提供家庭外部的访问,而用户没有被提示需要凭证。具体而言,用户表现得越像预期的家庭帐户用户表现,他/她将被提示登录到系统10的可能性就越小。
系统10包括两个实施例,基于规则的实施例(参考图2a-图2c描述)和基于数据科学的实施例(参考图3a-图3b描述)。即使当设备离开家时,只要设备以某种预期的方式表现,基于行为的身份验证系统10也延长该设备的授权。因此,例如,如果用户在家中多次在他的/她的iPad上观看电视,那么即使在乘火车去上班时,用户也将不会被基于行为的身份验证系统10要求登录。在家中和火车上的数周观看之后,即使用户飞行度假一周,用户也不大可能被要求登录,因为用户仍在家庭帐户用户的期望表现约束内表现。
现在将参考图1a-图1d通过示例来描述基于行为的身份验证系统10的操作。图1a示出了具有手持式设备14的用户12,该手持式设备14试图从用户12的家庭20获得对由视频服务提供商16提供的视频服务的访问。仅作为示例,可以从视频服务提供商16或从第三方视频内容提供商提供视频内容。视频服务提供商16验证客户端设备14正在试图经由与有效用户帐户相关联的家庭因特网接入点18来访问视频服务。当客户端设备14经由家庭20中的家庭因特网接入点18连接时,视频服务提供商16提供对视频服务的访问。应当注意的是,家庭20可包括其他接入点,诸如连接到家庭因特网接入点18的无线接入点。即使客户端设备经由家庭20中的其他接入点之一进行连接,视频服务提供商16还是利用家庭因特网接入点18的身份来确定客户端设备14的访问是否来自与有效用户帐户相关联的家庭。视频服务提供商16还提供授权22以允许客户端设备14从任意位置再连接到视频服务6个小时,包括当客户端设备14经由位于家庭20外部的非家庭因特网接入点连接到视频服务时。仅作为示例,非家庭因特网接入点可以位于非授权家庭中,位于授权家庭但不是客户端设备14的用户的授权家庭中,经由蜂窝网络连接(例如,但不限于3G或4G连接)或来自诸如购物中心或机场之类的公共位置的无线因特网连接。术语“家庭因特网接入点”和“非家庭因特网接入点”用于区分分别位于家庭20中和家庭20外部的因特网接入点。术语“家庭因特网接入点”和“非家庭因特网接入点”不一定暗示在这些接入点中使用的硬件和/或软件是相同或不同的。仅作为示例,授权22可被放在令牌、cookie或者证书中,该令牌、cookie或证书被存储在客户端设备14中以供以后使用。
图1b示出了客户端设备14的用户12试图在家庭20外部连接到视频服务。客户端设备14向视频服务提供商16提供先前存储的授权22,授权22被视频服务提供商16验证。因为当前时间仍在授权22的6小时限制到期之前,因此视频服务提供商16向客户端设备14提供对视频服务的访问。只要客户端设备14不离开视频服务,视频服务提供商16就可以允许对视频服务的访问继续进行,即,同一会话即使在6小时限制已到期之后也可以继续。或者,当6小时限制到期时,即使在同一会话中,视频服务提供商16也可以拒绝对视频服务的进一步访问。
图1c示出了客户端设备14的用户12在6小时限制到期之后试图在家庭20外部连接到视频服务。客户端设备14向视频服务提供商16提供先前存储的授权22,授权22被视频服务提供商16验证。因为当前时间是在授权22的6小时限制到期之后,因此视频服务提供商16拒绝客户端设备14访问视频服务。
图1d示出了客户端设备14的用户12在同一天晚些时候试图在家庭20内部连接到视频服务。连接到视频服务的该额外尝试提供了进一步证明——即客户端设备14的用户12表现得像家庭帐户用户。视频服务提供商16为客户端设备14提供授权24,以在增加的7小时时间限制内从任何位置连接到视频服务。
现在参考图2a,其是图1a-图1d的系统10的第一实施例的部分图示部分框图的视图。图2a示出了客户端设备14的用户12试图经由家庭20中的家庭因特网接入点18连接到视频服务提供商16的视频服务。家庭因特网接入点18可以通过任何合适的通信链路(例如但不限于电缆、因特网协议、移动通信网络或其任何合适的组合)连接到视频服务提供商16。视频服务提供商16通常包括网络接口26、处理器28以及一个或多个存储设备30。网络接口26可操作以向各种外部设备(例如,家庭因特网接入点18和因特网服务提供商34的身份提供者32)发送数据和从各种外部设备接收数据。存储设备30可操作以存储在下面参考图2b-图2c更详细地描述的处理器28所使用的数据,包括用户历史和规则。
另外参考图2b-图2c,其是示出了图2a的系统10的操作方法中的示例性步骤的流程图。网络接口26可操作以从客户端设备14接收对视频服务的访问请求(框36)。处理器28可操作以尝试从客户端设备14中取回先前存储的授权凭证(框38)。应当注意的是,如果例如已经从客户端设备14中删除了授权凭证,则无法成功取回授权凭证。作为另一示例,如果因为这是客户端设备14利用家庭20中的用户12的新设备首次请求访问视频服务所以先前尚未向客户端设备14发出授权凭证,则无法成功取回授权凭证。
如果未成功取回授权凭证(决策点42的分支40),则处理器28继续确定客户端设备14是否正在经由与授权帐户相关联的家庭中的接入点发起与视频服务的连接。处理器28可操作以准备查询,以确定家庭因特网接入点18的标识(例如,因特网协议(IP)地址)是否与视频服务的授权帐户相关联(框44)。网络接口26可操作以:将查询发送到因特网服务提供商34的身份提供者32(框46);以及从因特网服务提供商34的身份提供者32接收对查询的响应(框48)。身份提供者通常存储具有视频服务的授权帐户的家庭和这些家庭的家庭因特网接入点的身份的列表。响应指示家庭因特网接入点18是否与视频服务的授权帐户相关联。将会认识到,身份提供者32可以设置在视频服务提供商16中。还将会认识到,网络接口26可以在处理器28的控制下。将会认识到,可以使用其他方法来确定访问请求是否与授权帐户相关联,例如但不限于使用在家庭网络上存储的证书或其他凭证。如果响应表明家庭因特网接入点18不是与视频服务的授权帐户相关联(决策点52的分支50),则可以在由用户12提供的有效密码的提供之后提供对视频服务的访问(框54)。如果响应表明家庭因特网接入点18与视频服务的授权帐户相关联(决策点52的分支56),则处理器28可操作以当客户端设备正在经由位于与视频服务器的授权帐户相关联的家庭20中的家庭因特网接入点18发起与视频服务的连接时授权客户端设备14访问视频服务(框58)。框58的步骤的一部分处理是为客户端设备14的当前请求提供对视频服务的当前访问。框58的步骤的一部分处理是生成供客户端设备14存储的身份验证凭证,用于经由家庭因特网接入点18的未来访问请求。身份验证凭证可以包括标识家庭20的身份,例如但不限于订户ID和/或用户ID。家庭20的身份通常与家庭因特网接入点18的身份相关联/相联系,并且由处理器28存储在视频服务提供商16中。响应于未来的访问请求,包括在视频服务提供商16中。然后可以使用由客户端设备14存储的身份验证凭证中所包括的家庭20的身份来取回在视频服务提供商16中存储的家庭因特网接入点18的身份。然后,将所取回的家庭因特网接入点18的身份与在未来访问请求中标识的接入点的身份进行匹配,以便将访问请求识别为来自与视频服务的授权帐户相关联的接入点,而不必查询身份提供者32或其他这样的方法。身份验证凭证通常还包括附加标识,该附加标识当客户端设备14在某个未来的时间请求对视频服务的访问时标识客户端设备14。客户端设备14的标识和/或家庭20的身份可以用于在下面更详细描述的(一个或多个)存储设备30中读取和写入关于客户端设备14和/或客户端设备14的用户的用户历史和其他数据。
当客户端设备经由位于家庭20外部的非家庭因特网接入点发起与视频服务的连接时,处理器28可操作以确定对视频服务的至少一部分的访问的时间约束(框60)。例如,在家庭20中可以授予对包括高级内容在内的所有内容的访问权限,但是在家庭20外部仅授予对免费内容的访问权限。时间约束的持续时间取决于客户端设备14的使用行为。该使用行为可以是客户端设备14的一般使用行为和/或客户端设备14对所请求的视频服务的使用行为。
现在参考图2c所示的子步骤来更详细地描述框60的步骤。处理器28可操作以利用客户端设备14对视频服务的使用以及客户端设备14的其他使用数据(如果在基于行为的身份验证系统10进行决策时使用该数据)来更新使用历史(框62)。此时,处理器28将新的访问请求记录在由(一个或多个)存储设备30存储的历史数据库中。在稍后的阶段,处理器28还可以记录客户端设备14何时完成会话以及其他信息,例如但不限于观看哪些频道和观看哪些节目。历史数据与客户端设备14的标识符和/或家庭20的身份(利用身份验证凭证创建)一起被记录在历史数据库中。将会认识到,可以另外地或替代地将使用历史存储在稍后讨论的cookie或令牌中,该cookie或令牌由客户端设备14存储。处理器28还可操作以取回包括来自与客户端设备14的ID和/或家庭20的身份相关联的先前会话的使用历史在内的使用历史(框64)。处理器28可操作以从(一个或多个)存储设备30中取回规则(框66)。处理器28可操作以检查客户端设备14的使用行为(来自取回到的包括当前访问尝试的使用历史)与规则的符合性(框68),以确定时间约束的持续时间(框70)。例如,如果使用行为符合第一规则,则时间约束被设置为第一值,并且如果使用行为符合第二规则,则时间约束被设置为与第一值不同的第二值。定义规则,使得使用行为越多表示家庭帐户用户,时间限制被设置为越大(因此更宽松)的值。现在接下来是一些示例规则。作为第一示例,可以定义规则,使得经由家庭因特网接入点18的首次访问将家庭外持续时间(时间约束)设置为6小时,并且经由家庭因特网接入点18对视频服务的每次后续访问将家庭外持续时间(即时间约束)增加1小时,可选地直到达到某一限制为止。如果在经由家庭因特网接入点18的续期访问之前时间约束已经到期,并且用户未用密码登录,则时间约束的持续时间被重置为6小时。作为第二示例,可以基于前一个月内经由家庭因特网接入点18的平均访问来定义规则。如果访问每天平均低于X小时,则时间约束被设置为最少A小时。如果访问每天平均在X到Y小时之间,则时间约束被设置为B小时。如果访问每天平均在Y到Z小时之间,则时间约束被设置为C小时,依此类推。
规则可以取决于各种因素,诸如星期几、一天中的时间(例如,夜间使用作为住所证明可能更有价值)以及在任何合适的时间段组合内经由家庭因特网接入点18使用视频服务的持续时间。规则在一个地理位置可能与在另一个地理位置不同。例如,一个城市的规则可能与另一个城市的规则不同。例如,假设在某一研究之后,已经确定加利福尼亚的用户倾向于在工作日期间在其iPad上在家中看电视,而不是经常在家庭外部(因为他们大多开车去上班),但是在周末他们经常在家庭外部观看体育比赛。只要用户大约这样表现,即使在周末,系统10的规则也不会提示用户输入密码。
对于不同的设备类型,规则可以不同。选择用于特定设备14的规则可以是为同一家庭20中经由家庭因特网接入点18访问视频服务的另一个或多个设备选择的相同规则。
可以基于可能在家庭中的(一个或多个)用户最初订阅视频服务时收集的关于家庭中的订户的已知信息来从精选的规则中选择针对同一家庭20中的设备的规则。关于要与哪个设备14一起使用哪些规则的指派(如有指派)可被保存在(一个或多个)存储设备30中和/或为客户端设备14生成的授权凭证中。
再次参考图2b。当客户端设备14未经由家庭因特网接入点18连接时,处理器28可操作以生成授权凭证,该授权凭证授权客户端设备访问受制于时间约束的视频服务的至少一部分(框72)。处理器28可操作以将(在步骤58和/或72中生成的)授权凭证放在以下各项之一中:令牌;cookie;或者证书,仅作为示例,用于将授权凭证发送到客户端设备(框74)。将会认识到,授权凭证可被放在两个或更多个令牌、cookie或证书或其任何合适组合中。网络接口26可操作以将令牌/cookie/证书中的授权凭证发送到客户端设备14(框76)。可选地,可以使用数字权限管理领域中已知的技术将(一个或多个)cookie、(一个或多个)令牌或(一个或多个)证书绑定到客户端设备14。
在稍后的时间,客户端设备14可以经由位于家庭20外部的非家庭因特网接入点来请求访问视频服务。该访问请求被视频服务提供商16的网络接口26接收(框36)。处理器28可操作以尝试从客户端设备14取回授权凭证。网络接口26接收令牌/cookie/证书中的授权凭证(决策点42的分支78)。授权凭证包括家庭20的身份。处理器28在视频服务提供商16的存储器中查找与家庭20的身份相关联的家庭因特网接入点18的身份,并将家庭因特网接入点18的身份与客户端设备14当前用于访问视频服务的接入点的标识进行比较,以便验证当前正在用于访问的接入点的标识。在这种情况下,客户端设备14不是正在使用家庭因特网接入点18,所以该授权失败(决策点82的分支80)。在决策点84,处理器28判定当前时间是否仍在授权凭证中包括的时间约束内。如果当前时间仍在时间约束内(分支86),则处理器28可操作以授权客户端设备14访问受制于时间约束(并且可选地受时间约束限制,使得在时间约束结束时停止访问)的视频服务的至少一部分(框88)。如果当前时间在时间约束之后(分支90),则处理器28生成密码请求,以使用户12获得对视频服务的访问(框92)。
在另一时间,客户端设备14可以经由家庭20中的家庭因特网接入点18再次请求访问视频服务。访问请求被视频服务提供商16的网络接口26接收(框36)。处理器28可操作以尝试从客户端设备14取回授权凭证。网络接口26接收令牌/cookie/证书中的授权凭证(决策点42的分支78)。处理器28在视频服务提供商16的存储器中查找与家庭20的身份相关联的家庭因特网接入点18的身份,并将家庭因特网接入点18的身份与客户端设备14当前用于访问视频服务的接入点的标识进行比较,以便验证当前正在用于访问视频服务的接入点的标识。在这种情况下,客户端设备14正在经由家庭因特网接入点18进行访问,所以该验证通过(决策点82的分支94)。在框58的步骤中,授权访问视频服务。(图2b和2c的)框60-76的步骤的处理被执行,这可能导致基于更新后的使用行为确定不同的时间约束。将会认识到,可以按照任何合适的顺序来执行上面参考图2b和c描述的许多步骤。
家庭20可包括一个或多个家庭因特网接入点18,例如,家庭20可订阅不同的因特网服务提供商。每个家庭因特网接入点18可以与视频服务的授权用户帐户相关联。在这种情况下,与家庭因特网接入点18中的任何一个的连接都允许客户端设备14访问视频服务,并且还向客户端设备14提供用于在不必提供密码的情况下在家庭20外部连接到视频服务的身份验证凭证。仅作为示例,利用以下改变,图2b和2c的操作方法也可以用于具有多个因特网接入点18的家庭。当查询身份提供者32时,可以生成查询以取回家庭20中所有因特网接入点18的身份,使得当客户端设备14尝试通过任何因特网接入点访问视频服务时,视频服务提供商16可以在图2b的步骤82中判定客户端设备是否正在从授权帐户的家庭20访问。替代地或另外地,每当客户端设备14尝试访问视频服务时,框44-48的步骤将被首先执行,并且如果访问未被识别为来自授权帐户,则框38、42和84的步骤将被执行。将会认识到,当在家庭20中有多于一个家庭因特网接入点18时,可能有:在不同的因特网服务提供商处实现的多于一个身份提供者32;或者在视频服务提供商中和/或在一个或多个因特网服务提供商处实现的身份提供者32。
现在参考图3a,其是图1a-图1d的系统10的第二实施例的部分图示部分框图视图。除了规则被基于机器学习技术从基于行为的身份验证系统10的用户的使用历史数据学习的一个或多个预期使用行为模型替换之外,图3a的基于行为的身份验证系统10的第二实施例与图2a的系统10的第一实施例基本相同。模型由视频服务提供商16的(一个或多个)存储设备30存储。处理器28通常运行机器学习引擎96,其可使用任何适当的机器学习算法,例如但不限于随机森林、逻辑回归或自动编码器,以便基于使用历史数据生成一个或多个预期使用行为模型。机器学习引擎96可以生成单个预期使用行为模型或者针对不同的地理区域和/或不同的种族起源和/或不同的年龄组等的不同模型。如果使用了多于一个模型,则向尝试访问基于行为的身份验证系统10的客户端设备14指派这些模型之一。将客户端设备14的使用行为与所选择的模型进行比较并且计算分数。然后基于该分数来计算时间约束,使得客户端设备14的使用行为与所选择的模型之间的相关性越高,时间约束越高并且因此越多的对视频服务的家庭外访问被批准。现在参考图3b在下面更详细地描述图3a的系统10的第二实施例的操作方法。
现在参考图3b,其是示出图3a的系统的操作方法中的示例性步骤的流程图。还参考图3a。除了使步骤60及其子步骤适应使用行为模型而不是规则之外,参考图2b描述的操作方法也可以用于图3a的系统的第二实施例。图3b示出了图2b的步骤60的示例性子步骤。针对图3a的基于行为的身份验证系统10的第二实施例的行为模型来定制图3b所示的子步骤。现在更详细地描述子步骤。
处理器28可操作以基本以与参考图2c所述相同的方式来更新使用历史(框62)和取回使用历史(框64)。处理器28可操作以运行机器学习引擎96,以基于来自多个客户端设备14(为简单起见,在图1a-图1d、2a、3a中仅示出了一个)的(作为使用历史存储在(一个或多个)存储设备30中的)使用行为反馈来建立和更新预期使用行为模型(框102)。如果客户端设备14先前尚未被指派给预期使用行为模型之一,则处理器28可操作以选择客户端设备的预期使用行为模型中要与使用行为模型进行比较的一个(框98)。仅作为示例,将客户端设备14指派给模型之一可以基于与客户端设备14相关联的地理区域和/或族群和/或年龄组。仅作为示例,可以从当与家庭因特网接入点18相关联的家庭20中的用户订阅视频服务时提供的用户信息获得关于族群和/或年龄组的信息,或者基于客户端设备14或与客户端设备14位于同一家庭20中的其他设备正在消费的内容的类型获得关于族群和/或年龄组的信息。可以周期性地更新对客户端设备14的模型指派,这可以导致将客户端设备14重新指派给模型中的另一个。基于存储在(一个或多个)存储设备30中的历史和模型,可以周期性地批量更新(重新指派)对模型的(一个或多个)设备14的指派(框100)。对模型之一的客户端设备14的指派可被保存在(一个或多个)存储设备30中和/或为客户端设备14生成的授权凭证中。
处理器28可操作以从(一个或多个)存储设备30中取回先前选择的预期使用行为模型(框104)。处理器28可操作以将客户端设备14的使用行为与所选择的预期使用行为模型进行比较以确定时间约束的持续时间。比较步骤通常包括处理器28计算分数,该分数反映客户端设备14的使用行为与所选择的预期使用行为模型的相似性(框106)。分数可以等于客户端设备14的使用行为与所选择的预期使用行为模型之间的距离(例如,但不限于,马氏距离,Kullback-Leibler距离或Hellinger距离)或作为该距离的函数。处理器28可操作以以分数作为输入来计算时间约束(框108)。时间约束通常被计算作为分数的函数,例如F(s),其中F是函数并且s是分数。该函数可以是线性函数或非线性函数,由此时间约束随着分数以增加或减少的速率增加。将会认识到,可以按照任何合适的顺序执行上面参考图3b描述的许多步骤。
将会认识到,上面参考图2a-图3b描述的由视频服务提供商16执行的处理可以至少部分地由云托管的应用程序来执行并且/或者至少部分地使用云托管的存储来执行。实际上,处理器28的一些或全部功能可被组合在单个物理组件中,或者可替代地使用多个物理组件来实现。这些物理组件可包括硬连线或可编程的设备,或者两者的组合。在一些实施例中,可以在合适软件的控制下由可编程处理器执行处理电路的至少一些功能。可以例如通过网络以电子形式将该软件下载到设备。替代地或另外地,软件可被存储在诸如光学、磁性或电子存储器之类的有形的非暂态的计算机可读存储介质中。
认识到,如果需要,可以以ROM(只读存储器)形式实现软件组件。如果需要,通常可以使用常规技术以硬件实现软件组件。还认识到,软件组件可以例如作为计算机程序产品而被实例化或在有形介质上被实例化。在一些情况下,可能可以将软件组件实例化为可由适当计算机解释的信号,尽管在本公开的某些实施例中可以排除这样的实例化。
将会认识到,为清楚起见在单独实施例的上下文中描述的本公开的各种特征也可被在单个实施例中组合提供。反之,为简洁起见在单个实施例的上下文中描述的本公开的各种特征也可被单独地提供或以任何合适的子组合来提供。
本领域技术人员将认识到,本公开不受已经在上文具体示出和描述的内容限制。不如说,本公开的范围由所附权利要求及其等同物限定。

Claims (20)

1.一种方法,包括:
从客户端设备接收对视频服务的访问请求;
当所述客户端设备经由位于与所述视频服务的授权帐户相关联的家庭中的家庭因特网接入点而发起与所述视频服务的连接时,授权所述客户端设备对所述视频服务进行访问;
当所述客户端设备经由位于所述家庭外部的非家庭因特网接入点而发起与所述视频服务的连接时,确定对访问所述视频服务的至少一部分的时间约束,所述时间约束的持续时间取决于所述客户端设备的使用行为;并且
当所述客户端设备经由所述非家庭因特网接入点而发起与所述视频服务的连接时,授权所述客户端设备受制于所述时间约束来对所述视频服务的所述至少一部分进行访问。
2.根据权利要求1所述的方法,其中,所述时间约束的持续时间取决于所述客户端设备对所述视频服务的使用行为。
3.根据权利要求1或权利要求2所述的方法,还包括:
准备查询,以确定所述家庭因特网接入点的标识是否与所述视频服务的授权帐户相关联;
将所述查询发送到身份提供者;
从所述身份提供者接收对所述查询的响应,所述响应指示所述家庭因特网接入点与所述视频服务的授权帐户相关联;并且
基于从所述身份提供者接收的所述响应,授权对所述视频服务以及所述视频服务的所述至少一部分的访问。
4.根据权利要求1-3中的任一项所述的方法,还包括:
生成授权凭证,所述授权凭证授权所述客户端设备受制于所述时间约束来对所述视频服务的所述至少一部分进行访问;并且
将所述授权凭证发送到所述客户端设备。
5.根据权利要求4所述的方法,还包括:将所述授权凭证放在以下各项之一中以将所述授权凭证发送到所述客户端设备:令牌;cookie;或者证书。
6.根据权利要求1-5中的任一项所述的方法,还包括:检查所述客户端设备的使用行为与多个规则的符合性以确定所述时间约束的持续时间,其中:如果所述使用行为符合所述多个规则中的第一规则,则所述时间约束被设置为第一值;并且如果所述使用行为符合所述多个规则中的第二规则,则所述时间约束被设置为与所述第一值不同的第二值。
7.根据权利要求1-6中的任一项所述的方法,还包括:将所述客户端设备的使用行为与第一预期使用行为模型进行比较以确定所述时间约束的持续时间。
8.根据权利要求7所述的方法,还包括:
计算反映所述客户端设备的使用行为与所述第一预期使用行为模型的相似性的分数;并且
以所述分数作为输入来计算所述时间约束。
9.根据权利要求7或权利要求8所述的方法,还包括:基于来自多个客户端设备的使用行为反馈来建立和更新所述第一预期使用行为模型。
10.一种系统,包括:
网络接口,用于从客户端设备接收对视频服务的访问请求;以及
处理器,用于:
当所述客户端设备经由位于与所述视频服务的授权帐户相关联的家庭中的家庭因特网接入点而发起与所述视频服务的连接时,授权所述客户端设备对所述视频服务进行访问;
当所述客户端设备经由位于所述家庭外部的非家庭因特网接入点发起与所述视频服务的连接时,确定对访问所述视频服务的至少一部分的时间约束,所述时间约束的持续时间取决于所述客户端设备的使用行为;并且
当所述客户端设备经由所述非家庭因特网接入点发起与所述视频服务的连接时,授权所述客户端设备受制于所述时间约束来对所述视频服务的所述至少一部分进行访问。
11.根据权利要求10所述的系统,其中,所述时间约束的持续时间取决于所述客户端设备对所述视频服务的使用行为。
12.根据权利要求10或权利要求11所述的系统,其中:
所述处理器能够操作以:准备查询,以确定所述家庭因特网接入点的标识是否与所述视频服务的授权帐户相关联;
所述网络接口能够操作以:将所述查询发送到身份提供者;以及从所述身份提供者接收对所述查询的响应,所述响应指示所述家庭因特网接入点与所述视频服务的授权帐户相关联;并且
所述处理器能够操作以:基于从所述身份提供者接收的所述响应来授权对所述视频服务以及所述视频服务的所述至少一部分的访问。
13.根据权利要求10-12中的任一项所述的系统,其中:
所述处理器能够操作以生成授权凭证,所述授权凭证授权所述客户端设备受制于所述时间约束来对所述视频服务的所述至少一部分进行访问;并且
所述网络接口能够操作以:将所述授权凭证发送到所述客户端设备。
14.根据权利要求13所述的系统,其中,所述处理器能够操作以:将所述授权凭证放在以下各项之一中以将所述授权凭证发送到所述客户端设备:令牌;cookie;或者证书。
15.根据权利要求10-14中的任一项所述的系统,其中,所述处理器能够操作以:检查所述客户端设备的使用行为与多个规则的符合性以确定所述时间约束的持续时间,其中:如果所述使用行为符合所述多个规则中的第一规则,则所述时间约束被设置为第一值;并且如果所述使用行为符合所述多个规则中的第二规则,则所述时间约束被设置为与所述第一值不同的第二值。
16.根据权利要求10-15中的任一项所述的系统,其中,所述处理器能够操作以:将所述客户端设备的使用行为与第一预期使用行为模型进行比较以确定所述时间约束的持续时间。
17.根据权利要求16所述的系统,其中,所述处理器能够操作以:计算反映所述客户端设备的使用行为与所述第一预期使用行为模型的相似性的分数;并且以所述分数作为输入来计算所述时间约束。
18.根据权利要求16或权利要求17所述的系统,其中,所述处理器能够操作以:基于来自多个客户端设备的使用行为反馈来建立和更新所述第一预期使用行为模型。
19.根据权利要求16-18中任一项所述的系统,其中,所述处理器能够操作以:从所述客户端设备的多个预期使用行为模型中选择要与所述使用行为进行比较的所述第一预期使用行为模型。
20.一种软件产品,包括存储有程序指令的非暂态计算机可读介质,所述指令在被中央处理器(CPU)读取时使所述CPU:
从客户端设备接收对视频服务的访问请求;
当所述客户端设备经由位于与所述视频服务的授权帐户相关联的家庭中的家庭因特网接入点而发起与所述视频服务的连接时,授权所述客户端设备对所述视频服务进行访问;
当所述客户端设备经由位于所述家庭外部的非家庭因特网接入点而发起与所述视频服务的连接时,确定对访问所述视频服务的至少一部分的时间约束,所述时间约束的持续时间取决于所述客户端设备的使用行为;并且
当所述客户端设备经由所述非家庭因特网接入点而发起与所述视频服务的连接时,授权所述客户端设备受制于所述时间约束来对所述视频服务的所述至少一部分进行访问。
CN201880026413.3A 2017-02-23 2018-02-11 用于基于行为的身份验证的方法、系统和存储介质 Active CN110537359B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US15/439,965 US10637872B2 (en) 2017-02-23 2017-02-23 Behavior-based authentication
US15/439,965 2017-02-23
PCT/IB2018/050827 WO2018154406A1 (en) 2017-02-23 2018-02-11 Behavior-based authentication

Publications (2)

Publication Number Publication Date
CN110537359A true CN110537359A (zh) 2019-12-03
CN110537359B CN110537359B (zh) 2022-06-14

Family

ID=61526840

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201880026413.3A Active CN110537359B (zh) 2017-02-23 2018-02-11 用于基于行为的身份验证的方法、系统和存储介质

Country Status (4)

Country Link
US (1) US10637872B2 (zh)
EP (1) EP3586487B1 (zh)
CN (1) CN110537359B (zh)
WO (1) WO2018154406A1 (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10327022B2 (en) * 2017-05-05 2019-06-18 DISH Technologies L.L.C. Geolocation of set-top boxes using machine learning
US10708261B2 (en) * 2018-05-07 2020-07-07 Vmware, Inc. Secure gateway onboarding via mobile devices for internet of things device management
US11102542B2 (en) * 2019-06-06 2021-08-24 Rovi Guides, Inc. Systems and methods for controlling access from a first content platform to content items available on a second content platform
US11509642B2 (en) * 2019-08-21 2022-11-22 Truist Bank Location-based mobile device authentication
EP4052231A4 (en) * 2019-11-01 2022-11-02 Visa International Service Association COMPUTER-IMPLEMENTED METHOD AND VIRTUAL REALITY DEVICE FOR PROVIDING BEHAVIOR AUTHENTICATION IN A VIRTUAL ENVIRONMENT
US20220124498A1 (en) * 2020-10-19 2022-04-21 Gogo Business Aviation Llc Network authentication using monitored traffic activity
US11949967B1 (en) * 2022-09-28 2024-04-02 International Business Machines Corporation Automatic connotation for audio and visual content using IOT sensors

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110167440A1 (en) * 2010-01-05 2011-07-07 CSC Holdings, LLC Enhanced Subscriber Authentication Using Location Tracking
CN105827624A (zh) * 2016-04-26 2016-08-03 浙江宇视科技有限公司 一种身份验证系统
US20160364794A1 (en) * 2015-06-09 2016-12-15 International Business Machines Corporation Scoring transactional fraud using features of transaction payment relationship graphs
CN106797371A (zh) * 2014-04-17 2017-05-31 康普特尔公开有限公司 用于用户认证的方法和系统

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130152173A1 (en) * 2004-11-18 2013-06-13 Contentguard Holdings, Inc. Method, apparatus, and computer-readable medium for content access authorization
US8312157B2 (en) 2009-07-16 2012-11-13 Palo Alto Research Center Incorporated Implicit authentication
US8831563B2 (en) 2011-02-04 2014-09-09 CSC Holdings, LLC Providing a service with location-based authorization
US8955078B2 (en) 2011-06-30 2015-02-10 Cable Television Laboratories, Inc. Zero sign-on authentication
US8824372B2 (en) 2012-06-28 2014-09-02 Cable Television Laboratories, Inc. Location based authentication for online services
US9037111B2 (en) 2012-07-30 2015-05-19 Ncr Corporation Location aware authentication techniques
US10412106B2 (en) * 2015-03-02 2019-09-10 Verizon Patent And Licensing Inc. Network threat detection and management system based on user behavior information
US10548006B2 (en) * 2015-09-25 2020-01-28 Charter Communications Operating, Llc System and method for authorizing a subscriber device
US9881140B2 (en) * 2015-11-04 2018-01-30 Screening Room Media, Inc. Presenting sonic signals to prevent digital content misuse

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110167440A1 (en) * 2010-01-05 2011-07-07 CSC Holdings, LLC Enhanced Subscriber Authentication Using Location Tracking
CN106797371A (zh) * 2014-04-17 2017-05-31 康普特尔公开有限公司 用于用户认证的方法和系统
US20160364794A1 (en) * 2015-06-09 2016-12-15 International Business Machines Corporation Scoring transactional fraud using features of transaction payment relationship graphs
CN105827624A (zh) * 2016-04-26 2016-08-03 浙江宇视科技有限公司 一种身份验证系统

Also Published As

Publication number Publication date
EP3586487A1 (en) 2020-01-01
WO2018154406A1 (en) 2018-08-30
US10637872B2 (en) 2020-04-28
CN110537359B (zh) 2022-06-14
US20180241759A1 (en) 2018-08-23
EP3586487B1 (en) 2021-04-21

Similar Documents

Publication Publication Date Title
CN110537359A (zh) 基于行为的身份验证
KR102624700B1 (ko) IoT 장치와 애플리케이션 간의 생체 식별 및 검증
TWI717728B (zh) 身份校驗、登錄方法、裝置及電腦設備
US11496452B2 (en) Non-repeatable challenge-response authentication
CN106797371B (zh) 用于用户认证的方法和系统
CN105659558B (zh) 计算机实现的方法、授权服务器以及计算机可读存储器
US8341698B2 (en) Transforming static password systems to become 2-factor authentication
US8341710B2 (en) Ubiquitous webtoken
CN104038503B (zh) 跨网站登录的方法,装置和系统
US9124571B1 (en) Network authentication method for secure user identity verification
CN105847008B (zh) 一种匿名订购方法
WO2012078212A1 (en) System and method for identity verification on a computer
CN105337974A (zh) 账号授权方法、账号登录方法、账号授权装置及客户端
CN107957889A (zh) 产品配置数据的处理方法、装置、客户端、服务器及系统
CN106034126B (zh) 验证码的校验方法及装置
EP2001196A1 (fr) Gestion d'identité d'usager pour accéder à des services
KR101600455B1 (ko) 서비스 계정에 대한 사용자 인증 방법과 시스템, 및 기록 매체
CN105991610A (zh) 登录应用服务器的方法及装置
CN107197315A (zh) 确定用于认证或者授权的多频道媒体分发者的恢复可用性
CN116488850A (zh) 真实性验证方法和装置
JP6145659B2 (ja) 情報公開システム及び情報公開方法
EP2916509A1 (en) Network authentication method for secure user identity verification
US11743250B2 (en) Time-based token trust depreciation
US11785013B2 (en) Application program access control
CN108471409B (zh) 语音对话平台的应用程序接口鉴权配置方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant