CN113383333A - 用于自适应确定最优认证方案的系统和方法 - Google Patents
用于自适应确定最优认证方案的系统和方法 Download PDFInfo
- Publication number
- CN113383333A CN113383333A CN201980076269.9A CN201980076269A CN113383333A CN 113383333 A CN113383333 A CN 113383333A CN 201980076269 A CN201980076269 A CN 201980076269A CN 113383333 A CN113383333 A CN 113383333A
- Authority
- CN
- China
- Prior art keywords
- authentication
- user
- cluster
- scheme
- list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 67
- 238000010801 machine learning Methods 0.000 claims description 19
- 230000008569 process Effects 0.000 claims description 18
- 239000011159 matrix material Substances 0.000 claims description 11
- 238000012549 training Methods 0.000 claims description 11
- 238000012795 verification Methods 0.000 claims description 8
- 238000004138 cluster model Methods 0.000 claims description 5
- 230000006870 function Effects 0.000 claims description 4
- 230000015654 memory Effects 0.000 description 23
- 230000011218 segmentation Effects 0.000 description 13
- 230000001186 cumulative effect Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 6
- 239000013598 vector Substances 0.000 description 5
- 230000001815 facial effect Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000004422 calculation algorithm Methods 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 2
- 230000008094 contradictory effect Effects 0.000 description 2
- 238000003064 k means clustering Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003044 adaptive effect Effects 0.000 description 1
- 239000000872 buffer Substances 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000007787 long-term memory Effects 0.000 description 1
- 230000000116 mitigating effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000006403 short-term memory Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- VOCBWIIFXDYGNZ-IXKNJLPQSA-N testosterone enanthate Chemical compound C1CC2=CC(=O)CC[C@]2(C)[C@@H]2[C@@H]1[C@@H]1CC[C@H](OC(=O)CCCCCC)[C@@]1(C)CC2 VOCBWIIFXDYGNZ-IXKNJLPQSA-N 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
- G06F17/10—Complex mathematical operations
- G06F17/16—Matrix or vector computation, e.g. matrix-matrix or matrix-vector multiplication, matrix factorization
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/316—User authentication by observing the pattern of computer usage, e.g. typical user behaviour
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V10/00—Arrangements for image or video recognition or understanding
- G06V10/70—Arrangements for image or video recognition or understanding using pattern recognition or machine learning
- G06V10/762—Arrangements for image or video recognition or understanding using pattern recognition or machine learning using clustering, e.g. of similar faces in social networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V40/00—Recognition of biometric, human-related or animal-related patterns in image or video data
- G06V40/50—Maintenance of biometric data or enrolment thereof
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/308—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
- H04L67/306—User profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/24—Negotiation of communication capabilities
Abstract
用于确定认证系统的最优认证方案的方法和系统。实施例可以包括:从认证系统接收要求访问认证系统的用户的身份和认证系统的策略;从存储设备接收数据,该数据包括与用户进行的先前的认证尝试有关的历史信息;根据历史信息和认证系统策略,产生包括一个或更多个认证方案的最优选择的列表,每个方案包括一个或更多个认证因子;以及向认证系统发送一个或更多个认证方案的选择列表。
Description
发明领域
本发明总体上涉及用户认证系统。更具体地,本发明涉及用于自适应确定最优认证方案的方法和系统。
发明背景
用于认证的可商购的方法和系统通常适于接收用户的标识并认证或验证用户的表明的身份以准许用户访问相应的计算资源和/或数据。例如,用户可以通过名称或标识号(ID)来使在线服务器(例如,在线银行服务器)识别自己,并且服务器可以要求用户执行各种测试或过程(例如,键入密码)以访问所请求的数据。
常见的认证系统通常要求用户以对包括用户和认证系统的属性的各种属性以及先前的认证尝试的历史无关或分离的方式来执行一个或更多个认证过程。
发明概述
因此期望一种系统和方法,其可以根据用户的属性(例如,用户简档和用户偏好)、认证系统的属性(例如,最低认证级别)以及根据先前的认证尝试的历史(例如,成功的首次认证的概率)来选择或推荐可以包括一个或更多个认证因子以处理用户的访问请求的认证方案。
本发明的实施例可以适于通过一组加权分数来产生或选择可以满足多个不同并且可能矛盾的要求的认证方案。例如,在准许用户访问之前,在线银行服务器可能需要执行大量不便的认证过程。以补充的方式,用户可能根本不偏好经历任何认证过程。
在所选择的一个或更多个认证方案可以最优地满足不同且可能矛盾的要求的意义上,实施例可以以最优方式建议或推荐一个或更多个认证方案。与以上示例有关的是,实施例可以(例如,作为预定义策略的一部分)将第一权重应用于安全级别,以及将第二权重应用于便利性级别。最优选择的认证方案可以是可以提供较高加权分数的方案,从而可以在安全性和便利性这两个看似矛盾的考虑因素之间进行缓和。
本发明的实施例可以包括一种确定用于认证系统的最优认证方案的方法。该方法可以包括:
从认证系统接收需要访问认证系统的用户的身份以及认证系统的策略;
从存储设备接收数据,该数据包括与用户进行的先前的认证尝试有关的历史信息;
根据历史信息和认证系统策略,产生包括一个或更多个认证方案的最优选择的列表,每个方案包括一个或更多个认证因子;以及
向认证系统发送一个或更多个认证方案的选择列表。
该方法的实施例可以包括:由认证系统向用户呈现一个或更多个认证方案的列表;提示用户选择至少一个认证方案;以及存储用户的选择作为认证的显式偏好。
认证系统策略可以包括要求的认证级别、至少一个可用认证因子以及相关联的至少一个先验分数。
认证系统策略还可以包括从包括成功概率属性权重、便利性属性权重、风险属性权重和偏好属性权重的列表中选择的至少一个属性权重。
根据一些实施例,历史信息可以包括:对于每个认证因子用户进行成功的先前认证尝试的次数;以及对于每个认证因子用户进行失败的先前认证尝试的次数。产生最优选择的认证方案的列表可包括:针对每个认证因子,根据历史信息来推算(calculating)用户的成功认证的概率。
根据一些实施例,关于用户进行的先前的认证尝试的历史信息可以包括以下项中的至少一项:认证过程的持续时间;成功欺诈性访问的验证案例;失败的未授权访问尝试的验证案例;以及用户的认证因子的显式选择。
根据一些实施例,该方法可以包括:接收与多个用户的个人简档信息有关的数据;以及根据所接收的个人简档信息,在聚类模型中将多个用户分组为多个聚类,其中,每个聚类的特征在于特定的聚类参数值。
根据一些实施例,该方法可以包括:产生多个认证方案S,其中,每个认证方案(Si)是可用认证因子的唯一组合;产生似然矩阵Y,其中,每个条目Yi,j表示聚类j的用户将偏好认证方案Si并且用户将在首次认证尝试中成功的可能性;以及在给定特定聚类j参数的情况下,训练机器学习(ML)模型以预测Yi,j。
可以根据以下中的至少一项来推算聚类j的用户将偏好认证方案Si并且用户将在首次认证尝试中成功的可能性:显式偏好分数;成功的概率;便利性分数;以及风险分数。
该方法的实施例可以包括:接收用户的简档信息;根据用户的简档信息,将聚类模型的一个聚类中的成员资格分配给用户;根据成员资格的聚类参数值并根据ML模型的训练预测似然矩阵Y;为用户确定最优条目Yi,j;根据所确定的最优条目Yi,j选择至少一个最优认证方案;以及产生包括最优的至少一个选择的认证方案的列表。
该方法的实施例可以包括:根据用户在聚类中的成员资格,获得至少一个用户对认证因子的至少一个隐式偏好。
该方法的实施例可以包括:根据用户的聚类成员资格,针对每个认证因子来更新用户成功认证的概率。
该方法的实施例可以包括根据以下中的至少一项来更新具有一个或更多个推荐的认证方案的列表:用户成功认证的更新概率和所获得的至少一个隐式偏好。
本发明的实施例可以包括一种用于为认证系统确定最优认证方案的系统。该系统可以包括:非暂态存储器设备,其中存储了指令代码的模块;以及处理器,其与存储器设备相关联,并且被配置为执行指令代码的模块。处理器可以被配置为在执行指令代码的模块之后:从认证系统接收需要访问认证系统的用户的身份以及认证系统的策略;从存储设备接收数据,该数据包括与由用户进行的先前的认证尝试有关的历史信息;根据历史信息和认证系统策略,产生包括一个或更多个认证方案的最优选择的列表,每个认证方案包括一个或更多个认证因子;以及向认证系统发送一个或更多个认证方案的选择列表。
附图简述
在说明书的结论部分中特别指出并明确要求保护被视为本发明的主题。然而,当结合附图参考阅读以下详细说明时,可以最佳地理解本发明的组织和操作方法以及其目的、特征和优点,在附图中:
图1是根据一些实施例的描绘计算设备的框图,该计算设备可以被包括在用于自适应地确定最优认证方案的系统中;
图2是根据一些实施例的描绘了用于自适应地确定最优认证方案的系统的框图;以及
图3是根据一些实施例的描绘了自适应地确定最优认证方案的方法的流程图。
应当理解,为了图示的简单和清楚起见,图中所示的元件未必按比例绘制。例如,为了清楚起见,一些元件的尺寸可能相对于其它元件被放大。此外,在认为适当的情况下,在附图之间可能重复了附图标记,以指示对应的或相似的元件。
本发明的详细描述
在下面的详细描述中,阐述了许多具体细节以便提供对本发明的透彻理解。然而,本领域技术人员将理解,可以在没有这些具体细节的情况下实践本发明。在其它情况下,未详细描述公知的方法、过程和部件,以免模糊本发明。关于一个实施例描述的一些特征或元件可以与关于其它实施例描述的特征或元件组合。为了清楚起见,可能并未重复对相同或相似特征或元件的讨论。
尽管本发明的实施例不限于此,但是利用诸如例如“处理”、“计算”、“推算(calculating)”、“确定”、“建立”、“分析”、“检查”等的术语的讨论可以指代计算机、计算平台、计算系统或其它电子计算设备的操作和/或过程,所述计算机、计算平台、计算系统或其它电子计算设备将被表示为计算机寄存器和/或存储器内的物理(例如电子)量的数据处理和/或转换成类似地表示为计算机的寄存器和/或存储器或可以存储执行操作和/或过程的指令的其它信息非暂态存储介质内的物理量。尽管本发明的实施例在这方面不受限制,但是如本文所使用的术语“多个(plurality)”和“多个(a plurality)”可包括例如“多个”或“两个或更多个”。在整个说明书中可以使用术语“多个(plurality)”或“多个(aplurality)”来描述两个或更多个部件、设备、元件、单元、参数等。当在本文中使用时,术语集可以包括一个或更多个项目。除非明确说明,否则本文描述的方法实施例不限于特定顺序或序列。另外,一些所描述的方法实施例或其元素可以同时、在同一时间点或并发发生或被执行。
该系统的实施例可以与可能需要来自用户(例如,客户端计算机或其用户)的认证的认证系统(例如,银行、在线商店等)相关联,以便访问(例如,经由在线连接)任何计算资源(例如,存储器模块)或存储在其中的数据。
实施例可以被配置为自适应地确定可能由用户要求的或针对用户要求的以通过、以访问认证系统的一个或更多个最优(例如,在给定情况下,由系统确定为可能最优)或建议的认证方案。
对一个或更多个方案的选择或确定可以被称为自适应的,是对实现认证方法的商用系统的改进,从某种意义上说,在改变以下中的至少一个之后,其可能产生不同的结果:
用户简档的属性或特征(例如,用户的居住地、财务状况、先前的认证尝试的历史记录等);
用户的显式偏好(例如,用户进行的对认证方案或因子的在先选择);
用户的隐式偏好(例如,相似的用户做出的偏好);
认证系统的策略(例如,最低要求的安全级别、认证因子的可用性、每个可用认证因子的先验分数等);
与使用每个认证因子的便利性有关的连续更新分数;
与使用认证因子相关联的风险有关的持续更新分数;以及
与使用特定认证因子的首次成功概率有关的连续更新分数。
可以通过满足一个或更多个预定义的认证标准或它们的组合来将认证方案确定为最优。例如,该至少一个预定义的认证标准可以包括:
认证系统的至少一个安全要求;
用户的偏好;以及
用户成功进行认证的概率。
实施例可以为每个认证标准指定一个权重,并且以最优方式选择或确定认证的一个或更多个方案,以便根据所指定的权重来获得最大的累积加权分数。
例如,实施例可以:
获得针对每个认证标准的分数(例如,成功概率、风险分数和便利性分数);
针对每个认证标准分派或指定相应的权重(例如,成功概率权重、风险权重和便利性权重);
根据上述分数和权重,针对每个认证方案产生累积加权和;以及
如本文所述,(例如,在具有最大累积加权和的意义上)选择至少一个最优认证方案。
现在参考图1,其是根据一些实施例的描绘计算设备的框图,该计算设备可以被包括在用于自适应地确定最优认证方案的列表或集合(例如一个或更多个最优认证方案)的系统的实施例内。
计算设备1可以包括控制器2(该控制器2可以是例如中央处理单元(CPU)处理器、芯片或任何合适的计算或计算设备)、操作系统3、存储器4、可执行代码5、存储系统6、输入设备7和输出设备8。控制器2(或一个或更多个控制器或处理器,可能跨越多个单元或设备)可以被配置为执行本文所述的方法,和/或执行或充当各种模块、单元等。多于一个的计算设备1可以被包括在根据本发明的实施例的系统中,并且一个或更多个计算设备100可以充当该系统的部件。
操作系统3可以是或可以包括被设计和/或配置为执行涉及协调、调度、仲裁、监督、控制或以其它方式管理计算设备1的操作(例如,调度软件程序或任务的执行或使软件程序或其它模块或单元能够通信)的任务的任何代码段(例如,类似于本文所述的可执行代码5的代码段)。操作系统3可以是商业操作系统。将注意,操作系统3可以是可选部件,例如,在一些实施例中,系统可以包括不需要或不包括操作系统3的计算设备。
存储器4可以是或可以包括例如随机存取存储器(RAM)、只读存储器(ROM)、动态RAM(DRAM)、同步DRAM(SD RAM)、双倍数据速率(DDR)存储器芯片、闪存、易失性存储器、非易失性存储器、高速缓冲存储器、缓冲器、短期存储器单元、长期存储器单元或其它合适的存储器单元或存储单元。存储器4可以是或可以包括多个可能不同的存储器单元。存储器4可以是计算机或处理器的非暂态可读介质,或者是计算机的非暂态存储介质,例如RAM。
可执行代码5可以是任何可执行代码,例如,应用、程序、过程、任务或脚本。可执行代码5可以由控制器2可能在操作系统3的控制下执行。例如,如本文进一步所述,可执行代码5可以是可以自适应地确定最优认证方案和/或认证用户的应用。尽管为了清楚起见,在图1中示出了单项可执行代码5,但是根据本发明的一些实施例的系统可以包括类似于可执行代码5的多个可执行代码段,该多个可执行代码段可以被加载到存储器4中,并且使控制器2执行本文所述的方法。
存储系统6可以是或可以包括例如本领域中已知的闪存、如本领域中已知的微控制器或芯片内部或嵌入其中的存储器、硬盘驱动器、CD可记录(CD-R)驱动器、蓝光盘(BD)、通用串行总线(USB)设备或其它合适的可移动和/或固定存储单元。内容可以存储在存储系统6中,并且可以从存储系统6加载到存储器120中,在这里内容可以由控制器2处理。在一些实施例中,可以省略图1中所示的一些部件。例如,存储器4可以是具有存储系统6的存储容量的非易失性存储器。因此,尽管被示为单独的部件,但是存储系统6可以被嵌入或包括在存储器4中。
输入设备7可以是或可以包括任何合适的输入设备、部件或系统,例如,可拆卸的键盘或小键盘、鼠标等。输出设备8可以包括一个或更多个(可能是可拆卸的)显示器或监视器、扬声器和/或任何其它合适的输出设备。如框7和8中所示,任何适用的输入/输出(I/O)设备都可以连接到计算设备1。例如,有线或无线网络接口卡(NIC)、通用串行总线(USB)设备或外部硬盘驱动器可以被包括在输入设备7和/或输出设备8中。要认识到的是,可以将任何合适数量的输入设备7和输出设备8可操作地连接到计算设备1,如框7和8所示。
根据本发明的一些实施例的系统可以包括诸如但不限于多个中央处理单元(CPU)或任何其它合适的多用途或专用处理器或控制器(例如,类似于控制器2的控制器)、多个输入单元、多个输出单元、多个存储器单元和多个存储单元。
下表可以用作本文使用的术语的参考。
表1
现在参考是框图的图2,其描绘了根据一些实施例的用于自适应地确定最优认证方案的系统10。
如本文所阐述,系统10可以是或可以包括至少一个计算设备(例如,图1的元件1),其被配置为实现自适应地确定最优认证方案的至少一种方法。
认证系统40可以是或可以包括至少一个计算设备(例如,图1的元件1),并且用户50可以向认证系统40请求或要求对它的计算资源或其中存储的数据的访问。例如,认证系统40可以是在线银行服务器,并且用户50可以是由人类用户使用的请求访问银行账户的在线客户端计算机。
认证系统40的计算设备1可以被配置为执行一组指令代码,在执行该组指令代码后,认证系统40可以接收到用户50的标识(例如名称、银行帐号等),并可以认证用户50的身份以准许所要求的访问。例如,认证系统40可以执行至少一个认证过程,该至少一个认证过程可以包括:
接收来自用户的认证数据(例如密码、生物度量数据等);
将接收到的数据与先前存储的数据(例如,存储在诸如元件410的数据库上的先前存储的密码)进行比较;以及
如本领域中已知的,根据该比较来验证或认证用户50的身份。
访问可以包括与系统交互的能力,从系统购买物品(items)的能力,向系统转账或从系统转账的能力或其它动作。例如,认证系统40可以是与银行系统相关联的服务器,并且用户50可以要求访问包括银行账户的细节的数据。认证系统40可以包括在线商人、信用卡公司、数据存储系统、向雇员提供数据访问的公司或其它系统。
如本领域中已知的,认证系统40可以接收身份或标识(例如,用户名、用户ID号、银行账号或其它帐号等),或“代表的”或“提供的”身份(用户声称是谁,或用户声称具有访问权限的帐户),并且可能要求对用户50的身份的认证以准许所要求的访问。当在本文中使用时,身份可以包括与用户相关联的帐户或实体的标识。例如,身份可以包括用户有权访问的金融帐号。认证过程可以包括使用一个或更多个认证因子。每个因子可以涉及至少一个身份标准,通常被称为“是”、“具有”或“知道”身份标准。
例如,身份标准可以是用户“是”某个事物(例如,具有特定面部、声音、指纹等的人),并且认证因子可以是具有至少一个生物元素(例如分别为面部、语音和指纹识别)的生物度量认证。
在另一个示例中,身份标准可以是用户“具有”的某个事物(例如,特定的计算设备,诸如具有特定国际移动设备身份(IMEI)标识号的蜂窝电话,或具有特定的媒体访问控制(MAC)地址的客户端计算机)。认证因子可以是用户与先前认证的存储的标识号(例如,先前注册的MAC或IMEI)的关联。
在另一示例中,身份标准可以是用户“知道”的某个事物(例如,密码,对预定义问题的答案等),并且认证因子可以包括相对于此类先前存储的数据对用户的验证。
在一些实施例中,认证系统40可以在数据库410中存储支持或可用认证因子(例如,密码认证、MAC地址认证和面部识别)的评分表412。下面的表2提供了根据一些实施例的评分表412的示例,该评分表412可以被包括在用于自适应地确定最优认证方案的系统中。
| 身份标准 | 认证因子 | 先验分数 |
| “知道” | 密码 | 分数1 |
| “知道” | 预定义问题1 | 分数2 |
| “知道” | 预定义问题2 | 分数3 |
| “具有” | 计算机MAC | 分数4 |
| “具有” | 电子邮件账户 | 分数5 |
| “具有” | 蜂窝IMEI | 分数6 |
| “是” | 第一指纹 | 分数7 |
| “是” | 第二指纹 | 分数8 |
| “是” | 语音识别 | 分数9 |
| “是” | 面部识别 | 分数10 |
表2
如表2中所示,认证系统40可以在评分表412中将先验分数指定给每个支持或可用的认证因子。例如,认证系统40(例如,在线经纪人服务)可以支持上面表2中阐述的所有或一些认证因子。认证系统40可以在表412中将低分数指定给“知道”身份标准(例如,假设前提是密码经常被黑客入侵),中等分数对于“具有”身份标准(例如,假设前提是标识号不容易访问),以及高分数对于“是”身份标准(例如,假设前提是生物度量数据可能难以伪造)。
认证系统40(例如,在线银行服务器)可以包括策略411,该策略411可以是特定认证系统40所特有或唯一的(例如,作为由银行确定的预定义策略的一部分)。策略411可以存储(例如,作为数据库410上的数据对象)并且可以规定(dictate)认证系统40的认证过程的各种特征。
在一些实施例中,策略411可以包括最低要求的认证级别。最低要求的认证级别进而可以规定一种或更多种可能的认证方案。
例如,可以通过可以包括认证因子的组合的认证方案来满足最低要求的认证级别(例如,数字值“N”),认证因子的组合的分数的累积总和等于或超过最低要求的认证级别(例如,>=N)。
在另一个示例中,认证系统40的策略411可能要求身份标准的多元化。因此,可以通过包括不同身份标准的认证因子的组合的认证方案来满足最低要求的认证级别(N),认证因子的组合的分数的累积总和等于或超过最低要求的认证级别(例如,>=N)。
根据一些实施例,系统10可以从认证系统40接收认证系统40的策略411的至少一个元素(例如,要求的认证级别)以及需要访问认证系统的用户的身份。因此,如本文中所解释的,系统10可以根据认证系统策略411并根据历史信息来产生最优选择的认证方案的列表或集合310。可能的认证方案可以由认证系统40在数据库410上存储为表413,和/或作为认证过程的一部分,由认证系统40呈现给用户50。
关于相同示例,策略411可以规定最低要求的认证级别,这进而可以指示三种可能的认证方案:
第一方案可以包括三个“知道”认证因子。例如,可能要求用户50提供密码、宠物的名字和亲戚的名字,以累积三个认证因子的分数并获得要求的认证级别。
第二方案可以包括两个认证因子,诸如“知道”因子和“具有”因子。例如,可能要求用户50从预先注册的设备(例如,具有先前验证的MAC地址)提供密码,以累积两个认证因子的分数并获得要求的认证级别。
第三方案可以包括单个“是”认证因子。例如,可能要求用户50呈现其指纹以获得要求的认证级别。下面的表3描绘了根据该示例的表413的实施例。
表3(可能的方案表413的示例)。
根据一些实施例,策略411可以包括以下中的至少一个:最低要求认证级别和与先验分数相关联的至少一个可用认证因子。术语“可用”在本文中用于指代可由认证系统40(例如,与指纹读取器相关联的认证系统)支持的认证因子(例如,基于指纹的认证)。
系统10可以从认证系统40接收策略411或其至少一个元素,并且可以产生包括具有相应的一个或更多个认证的认证方案的至少一个建议(例如,如表3中所示)的列表或集合,该因子的组合可以满足认证系统40的策略411的要求(例如,最低认证级别要求、多元化、要求等)。
根据一些实施例,系统10可以(例如在数据库60上)存储包括关于用户50进行的先前的认证尝试的历史信息的数据。此类历史数据可以包括例如对于每个认证因子用户50进行的的成功或失败的先前认证尝试的次数。
例如,第一用户50可以尝试通过第一认证因子(例如,基于语音识别的认证)来认证他们的身份,并且可能失败(被认证系统40拒绝),以及第二用户50可以尝试通过包括一个或更多个第二认证因子(例如,密码和MAC地址)的认证方案对自己进行认证,并且可能成功。系统10可以在数据库60上存储历史数据,该历史数据包括与特定用户50的标识(例如,用户名、电子邮件帐户等)有关的每个此类认证尝试的成功或失败。在相同的特定用户50将来的认证尝试期间,历史数据可以供系统10读取。
在一些实施例中,用户50可以相对于认证系统40来尝试认证他们的身份,并且系统10可以基于历史信息针对每个可用认证方案和/或因子来推算用户成功认证的概率(例如,系统10正确地认证用户50的身份的条件)。例如,处理器(例如,图1的元件2)可以读取与用户50的基于先前语音识别的认证尝试有关的数据,并且将该认证因子的首次成功认证尝试的百分比推算为相应的成功概率。
根据一些实施例,系统10可以与违规分析模块90相关联或可以包括违规分析模块90,该违规分析模块90被配置为(例如,通过人类监督人员和/或通过机器学习(ML)模型)来确定用于认证用户身份的成功欺诈性尝试和/或相对于认证系统40的失败的未授权认证尝试。
系统10可以(例如,从违规分析模块90)获得并(例如,在数据库60中)存储包括与历史认证尝试相关联的风险相关信息的数据。此类与风险相关的信息可以包括例如每个用户和每个认证因子的成功的欺诈性认证尝试的已验证案例的数量,以及每个认证因子的失败的未授权认证尝试的已验证案例的数量。
系统10可以根据所存储的数据推算风险分数并将其指定给至少一个认证因子和/或认证方案。例如,系统10可以推算特定认证因子(例如,基于密码的认证)的成功欺诈性尝试相对于使用该认证因子的认证尝试的总数的百分比。风险分数可以是推算出的百分比的函数(例如,通过不包括成功的欺诈性尝试和验证的失败的未授权认证的特定认证因子所进行的认证尝试的百分比),并且可以表示可以安全使用的特定认证因子的概率(例如,不屈从于欺诈性的认证尝试)。
在另一个示例中,可以根据下面的
指数方程来推算风险分数:
其中:
TP是真肯定(True Positive)认证的次数(例如,真实的非欺诈性的用户成功进行认证尝试的次数);
FP是假肯定(False Positive)认证的次数(例如,成功但欺诈性的认证尝试的次数);以及
FN是假否定(False Negative)认证的次数(例如,真实的非欺诈性的用户失败的认证尝试的次数)。
根据一些实施例,系统10可以(例如,在数据库60中)存储与一个或更多个认证因子的便利性相关联的数据。例如,系统10可以存储一个或更多个认证尝试的持续时间(例如,根据特定的认证因子来认证用户50的身份花费多久时间),推算便利性分数(例如,每个认证尝试的持续时间的平均值),以及将便利性分数指定或分派给至少一个认证因子。
根据一些实施例,系统10还可以(例如,在数据库60中)存储与一个或更多个用户50对一种或多种特定认证因子的偏好相关联的数据。可以显式地(例如,通过来自用户50的直接输入)或(如下面进一步阐述的)隐式地获得用户偏好。可以将用户偏好添加为便利性分数中的一个因子。例如,当特定用户50或特定用户50的组尝试相对于认证系统40认证其身份时,与用户偏好相对应的认证因子可以被指定高便利性分数。
根据一些实施例,系统10可以被配置为根据与认证系统40相关联的预定义策略411来最优地选择一个或更多个认证方案,每个认证方案包括一个或更多个认证因子。例如,认证系统40可以是在线银行服务器,并且相应的银行可以规定用于选择最优认证方案的策略。
根据一些实施例,策略411可以包括以下中的至少一个:
最少数量的认证因子;
至少一种要求的认证因子类型(例如,通过密码进行的认证和通过回答预定义问题进行的认证);
至少一个要求的身份标准(例如,通过“知道”、“是”和“具有”标准进行的认证);
对于每个认证因子的最小成功概率分数;以及
认证方案的最小总体成功概率分数。
例如,策略可以规定认证方案必须:
包括至少两个认证因子,每个认证因子与不同类型相关,诸如基于面部识别和基于语音识别的认证因子;
面部识别必须具有至少99.995%的成功概率;
语音识别必须具有至少98%的成功概率;以及
总体成功概率必须至少为1-(10^-4)。
策略411还可以包括与不同认证因子的相应的属性(例如,成功概率、便利性分数、显式和/或隐式用户偏好和风险分数)相关联的一个或更多个属性权重(例如,成功概率属性权重、便利性属性权重、偏好属性权重和风险属性权重)。在一些实施例中,如本文中所解释的,策略411还可以包括偏好属性权重,以在对认证因子的选择中包括用户的偏好。
关于银行的相同示例,银行的策略411可以对安全性规定第一重要性程度(例如,通过给风险分数指定第一属性权重),对成功率规定第二重要性程度(例如,通过给成功概率指定第二属性权重),以及对便利性规定第三重要性程度(例如,通过给便利性分数指定第三属性权重)。
根据历史信息和策略411(例如,要求的认证级别、先验分数和一个或更多个属性权重),系统10可产生包括一个或更多个认证方案的最优选择的集合或列表310,每个方案都包括一个或更多个认证因子。
在系统10可以以相对于所规定的策略的相应的一个或更多个属性权重进行优化(例如,提供以下中的至少一项的最高值:成功概率、风险分数和便利性分数)的方式来选择或推荐认证方案的意义上,对方案的选择在本文中被称为最优。
在一些实施例中,系统10可以根据由属性权重加权的分数的累积总和来选择至少一个最优认证方案。
关于与银行策略411的相同的示例,第一属性权重(例如,被分派给风险分数)可以高于第三属性权重(例如,被分派给便利性分数)。该配置可能需要以牺牲用户50的便利性为代价执行附加的认证过程(例如,包括大量认证因子的认证方案)。然而,随着认证过程的数量增加,便利性分数可能相应地降低,并且可能(根据相应的权重限制系统10)影响累积总和并阻止系统10进一步增加认证因子的数量。因此,策略411可以将系统10配置为在不同的认证要求之间(例如,在用户的偏好和认证系统的安全要求之间)进行平衡或缓和。
认证系统40(例如,在线银行服务器)可以(例如,通过网络浏览器)向用户50显示列表或集合310的内容作为选择列表,并且可以提示用户50根据其偏好选择一种方案。如本文所述,认证系统40可以将用户50的选择作为反馈传播到系统10,以进行进一步分析。
例如,可以向用户50提供包括第一认证因子(例如,密码)的第一方案和包括第二认证因子(例如,语音识别)的第二方案。在第一场景中,用户50可能已经忘记了密码,并且可能拥有智能手机,从而使他们能够记录自己的语音,并且因此可能偏好语音识别方案。在第二场景中,用户50可能不拥有智能手机,并且因此可能偏好密码方案。系统10可以使用该信息,以便:
对每个特定用户50对未来方案的选择进行微调;以及
如本文阐述,对于相似(例如,具有相似的简档)的每个用户对未来方案的选择微调到与用户50的对未来方案的选择相似。
系统10可以根据与历史信息有关的数据和认证系统的策略来选择包括一个或更多个认证因子的至少一个认证方案。例如,此类数据可以包括以下中的至少一项:
相对于相应的属性权重,推算出的认证成功概率;
相对于相应的属性权重,推算出的便利性分数;
相对于相应的属性权重,推算出的风险分数;
相对于相应的偏好属性比率的显式和/或隐式偏好分数(如下所述);以及
鉴于最低要求的认证级别,累积的先验分数。
在一些实施例中,一个或更多个最优认证方案的选择列表310可以包括根据以上阐述的数据的一个认证方案。例如,系统10可以选择可以根据上述数据(例如,偏好分数、风险分数、便利性分数等的最大加权和)提供最大累积分数的最优方案。
另外地或可替代地,列表310可以包括根据其分数(例如,分数的最大加权和、第二加权和等)选择或排序的多个最优认证方案。
在另一个实施例中,列表310可以包括至少一个概率选择(例如,随机选择)方案。此类概率选择可以用于使系统10能够使来自用户50的反馈多元化(例如,用户对列表或集合310的一个认证方案的选择),并且如本领域中已知的那样,避免了其中系统10对最优方案选择的功能可能被引向局部解决方案而不是全局解决方案的情况。
系统10可以将一个或更多个认证方案310的选择列表发送给认证系统40。认证系统40可以进而将一个或更多个认证方案的列表310呈现给用户50,并提示用户50根据其偏好显式地选择列表310的一个或更多个认证方案。
根据一些实施例,系统10可以被配置为(例如在数据库60上)存储用户50的选择作为显式偏好或对认证方案和/或认证因子的选择,以在将来的认证尝试中使用该信息,以及在对最优认证方案的选择中包括用户50和/或相似用户的偏好方面。
例如,认证系统40(例如,在线银行服务器)可以(例如,经由网络浏览器)呈现:第一认证方案,其包括至少一个第一认证因子(例如,两个“知道”认证因子,诸如通过密码进行的认证和通过回答预定义的问题进行的认证);以及第二认证方案,其包括至少一个第二认证因子(例如,单个“是”认证因子,诸如面部识别)。认证系统40可以提示用户50在所呈现的方案之间进行选择(例如,如本领域中已知的在网络浏览器屏幕上的选择对话框),并且记录或存储(例如,在数据库410上)用户50的选择。认证系统40可以将用户50的选择传播到系统10,该系统10可以进而计数和(例如在数据库60上)存储已经被选择的每个认证因子的次数以识别用户50的显式偏好。
根据一些实施例,系统10可以根据每个认证因子的选择的频度来对每个认证因子分派显式偏好分数。系统10随后可以根据历史信息(例如,累积的偏好分数)和策略411(例如,要求的认证级别和偏好属性权重)来产生(认证方案和/或认证因子的最优选择的)列表310。
根据一些实施例,如本文所阐述,系统10可以包括训练子系统20,该训练子系统20被配置为从一个或更多个认证系统40连续获得与用户50相关联的数据和相应的认证尝试,并根据所获得的数据自适应地推荐一个或更多个认证方案。
根据一些实施例,系统10可以从一个或更多个认证系统40获得或接收与多个用户50的个人简档信息的参数有关的数据,并且(例如,在数据库60上)存储简档数据。可以例如在用户50访问认证系统40期间或从与认证系统40相关联的数据库中获得数据。例如,至少一个认证系统40可以是与银行的数据库相关联的在线银行服务器,该银行的数据库可以存储与用户的简档参数有关的个人信息。此类参数可以包括,例如:用户的年龄、性别、收入、居住地址、婚姻状况、拥有的银行账户、与其它银行账户的链接、拥有的计算设备(例如智能手机)、拥有的电子邮件帐户等。
训练子系统20可以包括分割模块210,该分割模块210被配置为连续读取或接收多个用户的个人简档参数的数据,并根据接收到的个人简档信息将多个用户50分割或分组为聚类模型中的多个聚类。可以通过任何合适的有监督的或无监督的聚类模型来实现此类聚类。
例如,分割模块210可以是或可以包括非监督的K均值聚类模型,该非监督的K均值聚类模型被配置为围绕相应数量的K的质心矢量根据最优的K个聚类的数量聚类多个用户。如本领域中已知的,聚类模型的每个质心矢量可以由特定的聚类参数值表征,该特定的聚类参数值可以等同于或可以不等同于个人简档参数。
用户50可能需要认证系统40进行的认证,并且可以为此目的提供个人简档参数。然后,如本文所述,系统10可以给用户指定聚类之一的成员资格,并且可以根据聚类中的各个用户的成员资格来产生列表310(例如,一个或更多个认证方案的最优选择)。
根据一些实施例,分割模块210可以被配置为根据至少一个用户在聚类中的成员资格来获得或确定该用户对认证因子的至少一个隐式偏好。
例如,分割模块210可以接收与用户50有关的个人简档参数(例如,智能手机的所有权),对于该用户50,认证因子的偏好是未知的(例如,在其中这是用户的首次认证尝试的条件下)。分割模块210可以根据用户的个人简档参数(例如,也拥有智能手机的相似用户)将用户50的成员资格关联或分派给该用户的聚类。分割模块210可以确定与成员资格聚类相关联的至少一个隐式偏好(例如,拥有智能手机的用户可能偏好指纹识别进行认证,而不是经由发送密码进行认证),并将隐式偏好指定给新用户。
根据一些实施例,系统10可以根据至少一个认证因子的隐式选择来分派隐式偏好分数。系统10可以根据隐式偏好分数来更新至少一个认证方案的列表或集合310,以便根据相似用户(例如,相同聚类的用户)的显式选择和偏好向用户呈现至少一个认证因子。
根据一些实施例,分割模块210可以根据用户的聚类成员资格,针对每个认证因子来更新用户成功认证的概率。关于相同示例,分割模块210可以根据成员资格聚类中其他用户成功的平均概率,归纳用户经由指纹认证方法的成功认证的概率。以类似的方式,系统10可以根据用户成功认证的更新概率来更新至少一个认证方案的列表或集合310。
训练子系统20可以包括求解器模块220,该求解器模块220被配置为使用特定的认证因子来预测用户偏好并在认证过程的首次尝试成功的可能性。
求解器模块220可以是或可以包括被监督的机器学习(ML)模型221,该机器学习(ML)模型221被配置为接收分割模块210的聚类数据211和存储的与历史认证尝试有关的数据。
例如,当将分割模块210实现为K-均值聚类模型时,求解器模块220可以从分割模块210接收相应K质心矢量作为聚类数据211。
存储的与历史认证尝试有关的数据可以包括以下中的至少一个:
与特定认证因子相关联的风险分数;
与认证因子相关联的成功概率;
与特定认证因子相关联的便利性分数;以及
认证因子和/或方案的显式和/或隐式选择分数。
求解器模块220可以适于产生预测函数221,该预测函数适于根据聚类数据和所收集的历史认证数据来预测最优认证因子和/或认证方案。
换句话说,求解器模块220可以推算将至少一个用户聚类的简档参数与存储的与先前的认证尝试有关的历史数据相关联的函数。
例如,求解器模块220可以产生多个认证方案(例如,认证方案的矢量“S”,每个认证方案包括认证因子的组合或排列),其中,每个认证方案(Si)是可用认证因子的唯一组合。(本文中使用术语唯一来指以下情况:其中对于每个索引m和索引n,其中((m,n)=0,1,2...)和m!=n,存在Sm!=Sn)。
求解器模块220可以产生似然矩阵[Y],其中,每个条目Yi,j表示聚类j的用户将偏好认证方案Si且该用户将在首次认证尝试中成功的可能性。
例如,可以根据以下中的至少一个来推算聚类j的用户偏好认证方案Si以及该用户将在首次认证尝试中成功的可能性:显式偏好分数、隐式偏好分数(如其它地方所述)、成功的概率、便利性分数和风险分数。例如,每个前述分数(例如,风险分数)可以表示为在0到1之间的分数(例如,认证不败于欺诈性访问的概率),并且所述可能性可以以上述分数的乘积进行推算。
如本领域中已知的,可以训练机器学习模型221以在给定特定聚类j参数和认证方案Si的情况下预测似然值Yi,j。
例如,ML 221可以接收以下中的至少一项作为反馈:
来自管理用户(例如,不同于认证系统对其执行认证过程的用户50的用户)经由用户界面(例如,经由图1的输入元件7)的输入,包括例如:认证过程的结果、认证系统40策略的变化、可用认证因子的变化等;
来自认证系统40的关于用户50对至少一个认证因子的选择的输入;
来自认证系统40的关于所选择的认证因子的成功或失败的输入;以及
来自违规分析模块90的关于认证结果的至少一个输入(例如,访问是否是欺诈性的),
以及在给定与聚类模型211的特定聚类相关联的矢量聚类参数的情况下,根据该反馈训练ML模型221,以预测或推算似然矩阵[Y]的条目Yi,j的至少一个值的相关性。
如机器学习领域中已知的,可以基于提供的历史数据来应用多种算法推算或训练ML模型221以预测此类相关性。例如,求解器模块220可以为此目的实现梯度下降算法。
根据一些实施例,系统10可以(例如,在用户50的认证过程期间实时或接近实时地)从认证系统40接收用户的个人简档信息。分割模块210可以根据用户的个人简档信息将聚类模型211的一个聚类中的成员资格指定或分派给用户。求解器模块可以根据成员资格的聚类参数值并根据ML模型221的训练来预测似然矩阵[Y]的至少一个条目Yi,j的值。
根据一些实施例,系统10可以包括决策模块,该决策模块被配置为接收似然矩阵[Y]的至少一个条目Yi,j,并(例如,在给定特定聚类的用户成员资格和存储的历史认证尝试的数据的情况下)根据似然矩阵[Y]的至少一个条目Yi,j确定供用户50使用的至少一个最优认证因子。
现在参考图3,图3是流程图,其描绘了根据一些实施例的由至少一个处理器(例如,图1的元件2)自适应地确定最优认证方案(例如,图2的元素40)的方法。
如步骤S1005中所示,处理器可以被配置为从认证系统接收要求访问认证系统(例如,在线数据库服务器)的用户的身份(例如ID号、姓名、电子邮件帐户等)和认证系统的策略(例如,最低认证级别、至少一个可用认证因子、至少一个属性权重、至少一个先验分数等)。
如步骤S1010中所示,处理器可以从存储设备接收数据,该数据包括与用户进行的先前的认证尝试有关的历史信息,包括例如成功认证尝试的次数、验证的欺诈性认证尝试的次数、先前的认证尝试的持续时间等。
如步骤S1015中所示,处理器可以根据历史信息和认证系统策略,产生包括一个或更多个认证方案的最优选择的列表或集合,每个认证方案包括一个或更多个认证因子。如本文所述,一个或更多个认证方案的选择可以考虑以下中的至少一项:用户对至少一个认证因子的显式和/或隐式选择或偏好、认证系统的策略的至少一个元素以及与先前的认证尝试有关的统计历史数据,包括:与至少一个认证因子相关联的风险,使用至少一个认证方案的便利性(例如,认证的持续时间和认证方案内认证因子的数量)等。
如步骤S1020中所示,处理器可以向认证系统40发送一个或更多个认证方案的选择列表(例如,图2的元素310),该认证系统40可以进而根据其偏好提示用户选择认证方案。处理器可以存储用户的选择以进行进一步分析,以迭代地微调处理器对最优认证方案的预测和/或确定。
如本领域中已知的,用于对用户身份进行认证的可商购系统可以与包括用户和认证系统的属性的多种属性以及先前的认证尝试的历史无关或分离。本发明的实施例可以通过提供一种认证方法来改进此类技术,该认证方法可以是:适于适应可以由一个或更多个认证系统规定的策略,并且可以随着时间推移动态变化;适于适应用户对认证方法的显式和/或隐式偏好;最安全的(例如,在多种认证方法中具有欺诈性访问的最小概率);以及最便利(例如,在可用的认证方法中消耗最短的持续时间)。
尽管已经在本文中示出和描述了本发明的某些特征,但是本领域普通技术人员现在将想到许多修改、替换、改变和等同物。因此,应当理解,所附权利要求书旨在覆盖落入本发明的真实精神内的所有此类修改和改变。
Claims (26)
1.一种通过至少一个处理器确定最优认证方案的方法,所述方法包括:
从认证系统接收要求访问所述认证系统的用户的身份以及所述认证系统的策略;
从存储设备接收数据,所述数据包括与由所述用户进行的先前的认证尝试有关的历史信息;
根据所述历史信息和所述认证系统的策略,产生包括一个或更多个认证方案的最优选择的列表,每个认证方案包括一个或更多个认证因子;以及
向所述认证系统发送一个或更多个认证方案的选择列表。
2.根据权利要求1所述的方法,还包括:
由所述认证系统向所述用户呈现一个或更多个认证方案的所述列表;
提示所述用户选择至少一个认证方案;以及
存储所述用户的选择作为认证的显式偏好。
3.根据权利要求1和2中任一项所述的方法,其中,所述认证系统的策略包括要求的认证级别、至少一个可用的认证因子以及相关联的至少一个先验分数。
4.根据权利要求1-3中任一项所述的方法,其中,所述认证系统的策略还包括从包括成功概率属性权重、便利性属性权重、风险属性权重和偏好属性权重的列表中选择的至少一个属性权重。
5.根据权利要求1-4中任一项所述的方法,其中,所述历史信息包括:对于每个认证因子所述用户进行的成功的先前认证尝试的次数;以及对于每个认证因子所述用户进行的失败的先前认证尝试的次数;以及其中,产生最优选择的认证方案的列表包括:针对每个认证因子,根据所述历史信息来推算所述用户的成功认证的概率。
6.根据权利要求1-5中任一项所述的方法,其中,关于所述用户进行的先前的认证尝试的所述历史信息还包括以下中的至少一项:
认证过程的持续时间;
成功欺诈性访问的验证案例;
失败的未授权访问尝试的验证案例;以及
所述用户对认证因子的显式选择。
7.根据权利要求1-6中任一项所述的方法,还包括:
接收与多个用户的个人简档信息有关的数据;以及
根据所接收的个人简档信息,在聚类模型中将所述多个用户分组为多个聚类,其中,每个聚类的特征在于特定的聚类参数值。
8.根据权利要求1-7中任一项所述的方法,包括:
产生多个认证方案S,其中,每个认证方案(Si)是可用认证因子的唯一组合;
产生似然矩阵Y,其中,每个条目Yi,j表示聚类j的用户将偏好认证方案Si并且所述用户将在首次认证尝试中成功的可能性;以及
在给定特定聚类j参数的情况下,训练机器学习(ML)模型以预测Yi,j。
9.根据权利要求1-8中任一项所述的方法,其中,根据以下中的至少一项来推算聚类j的用户将偏好认证方案Si并且所述用户将在首次认证尝试中成功的可能性:
显式偏好分数;
成功的概率;
便利性分数;以及
风险分数。
10.根据权利要求1-9中任一项所述的方法,还包括:
接收用户的个人简档信息;
根据用户的个人简档信息,给所述用户指定所述聚类模型的一个聚类中的成员资格;
根据所述成员资格的聚类参数值并根据所述ML模型的训练来预测似然矩阵Y;
为所述用户确定最优条目Yi,j;
根据所确定的最优条目Yi,j选择至少一个最优认证方案;以及
产生包括最优的至少一个选择的认证方案的列表。
11.根据权利要求1-10中任一项所述的方法,包括:根据至少一个用户在聚类中的成员资格,获得所述用户对认证因子的至少一个隐式偏好。
12.根据权利要求1-11中任一项所述的方法,包括:根据用户的聚类成员资格,针对每个认证因子来更新所述用户的成功认证的概率。
13.根据权利要求1-12中任一项所述的方法,包括:根据以下中的至少一项来更新一个或更多个推荐的认证方案的列表:用户成功认证的更新概率和所获得的至少一个隐式偏好。
14.一种用于确定认证系统的最优认证方案的系统,所述系统包括:非暂态存储器设备,其中存储了指令代码的模块;以及处理器,所述处理器与所述存储器设备相关联,并且被配置为执行所述指令代码的模块,在执行所述指令代码的模块之后,所述处理器还被配置为:
从所述认证系统接收要求访问所述认证系统的用户的身份以及所述认证系统的策略;
从存储设备接收数据,所述数据包括与由所述用户进行的先前的认证尝试有关的历史信息;
根据所述历史信息和所述认证系统的策略,产生包括一个或更多个认证方案的最优选择的列表,每个认证方案包括一个或更多个认证因子;以及
向所述认证系统发送一个或更多个认证方案的选择列表。
15.根据权利要求14所述的系统,其中,所述处理器被配置为:
由所述认证系统向所述用户呈现一个或更多个认证方案的所述列表;
提示所述用户选择至少一个认证方案;以及
存储所述用户的选择作为认证的显式偏好。
16.根据权利要求14和15中任一项所述的系统,其中,所述认证系统的策略包括要求的认证级别、至少一个可用的认证因子以及相关联的至少一个先验分数。
17.根据权利要求14-16中任一项所述的系统,其中,所述认证系统的策略还包括从包括成功概率属性权重、便利性属性权重、风险属性权重和偏好属性权重的列表中选择的至少一个属性权重。
18.根据权利要求14-17中任一项所述的系统,其中,所述历史信息包括:对于每个认证因子所述用户进行的成功的先前认证尝试的次数;以及对于每个认证因子所述用户进行的失败的先前认证尝试的次数;以及其中,产生最优选择的认证方案的列表包括:针对每个认证因子,根据所述历史信息来推算所述用户的成功认证的概率。
19.根据权利要求14-18中任一项所述的系统,其中,关于所述用户进行的先前的认证尝试的所述历史信息还包括以下中的至少一项:
认证过程的持续时间;
成功欺诈性访问的验证案例;
失败的未授权访问尝试的验证案例;以及
所述用户对认证因子的显式选择。
20.根据权利要求14-19中任一项所述的系统,其中,所述处理器被配置为:
接收与多个用户的个人简档信息有关的数据;以及
根据所接收的个人简档信息,在聚类模型中将所述多个用户分组为多个聚类,其中,每个聚类的特征在于特定的聚类参数值。
21.根据权利要求14-20中任一项所述的系统,其中,所述处理器被配置为:
产生多个认证方案S,其中,每个认证方案(Si)是可用认证因子的唯一组合;
产生似然矩阵Y,其中,每个条目Yi,j表示聚类j的用户将偏好认证方案Si并且所述用户将在首次认证尝试中成功的可能性;以及
在给定特定聚类j参数的情况下,训练ML模型以预测Yi,j。
22.根据权利要求14-21中任一项所述的系统,其中,所述处理器被配置为根据以下中的至少一项来推算聚类j的用户将偏好认证方案Si并且所述用户将在首次认证尝试中成功的可能性:
显式偏好分数;
成功的概率;
便利性分数;以及
风险分数。
23.根据权利要求14-22中任一项所述的系统,其中,所述处理器被配置为:
接收用户的个人简档信息;
根据用户的个人简档信息,给所述用户指定所述聚类模型的一个聚类中的成员资格;
根据所述成员资格的聚类参数值并根据所述ML模型的训练来预测似然矩阵Y;
为所述用户确定最优条目Yi,j;
根据所确定的最优条目Yi,j选择至少一个最优认证方案;以及
产生包括最优的至少一个选择的认证方案的列表。
24.根据权利要求14-23中任一项所述的系统,其中,所述处理器被配置为根据至少一个用户在聚类中的成员资格,获得所述用户对认证因子的至少一个隐式偏好。
25.根据权利要求14-24中任一项所述的系统,其中,所述处理器被配置为根据用户的聚类成员资格,针对每个认证因子来更新所述用户的成功认证的概率。
26.根据权利要求14-25中任一项所述的系统,其中,所述处理器被配置为根据以下中的至少一项来更新一个或更多个推荐的认证方案的列表:用户成功认证的更新概率和所获得的至少一个隐式偏好。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/194,433 US10986138B2 (en) | 2018-11-19 | 2018-11-19 | System and method for adaptively determining an optimal authentication scheme |
| US16/194,433 | 2018-11-19 | ||
| PCT/IL2019/051185 WO2020105026A1 (en) | 2018-11-19 | 2019-10-31 | System and method for adaptively determining an optimal authentication scheme |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113383333A true CN113383333A (zh) | 2021-09-10 |
Family
ID=70726632
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980076269.9A Pending CN113383333A (zh) | 2018-11-19 | 2019-10-31 | 用于自适应确定最优认证方案的系统和方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10986138B2 (zh) |
| EP (1) | EP3884410B1 (zh) |
| CN (1) | CN113383333A (zh) |
| ES (1) | ES2960052T3 (zh) |
| WO (1) | WO2020105026A1 (zh) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9906954B2 (en) | 2014-10-20 | 2018-02-27 | Payfone, Inc. | Identity authentication |
| US11233788B1 (en) * | 2018-11-27 | 2022-01-25 | Amazon Technologies, Inc. | Determining authentication assurance from historical and runtime-provided inputs |
| US11227036B1 (en) * | 2018-11-27 | 2022-01-18 | Amazon Technologies, Inc. | Determination of authentication assurance via algorithmic decay |
| US11880842B2 (en) * | 2018-12-17 | 2024-01-23 | Mastercard International Incorporated | United states system and methods for dynamically determined contextual, user-defined, and adaptive authentication |
| US11321716B2 (en) * | 2019-02-15 | 2022-05-03 | Visa International Service Association | Identity-based transaction processing |
| US11321634B2 (en) * | 2019-05-21 | 2022-05-03 | International Business Machines Corporation | Minimizing risk using machine learning techniques |
| US11218493B2 (en) * | 2019-05-31 | 2022-01-04 | Advanced New Technologies Co., Ltd. | Identity verification |
| US11785098B2 (en) * | 2019-09-30 | 2023-10-10 | Atlassian Pty Ltd. | Systems and methods for personalization of a computer application |
| CN112003818A (zh) * | 2020-07-04 | 2020-11-27 | 中信银行股份有限公司 | 身份认证方法及身份认证系统 |
| US20220329434A1 (en) * | 2021-04-08 | 2022-10-13 | Payfone, Inc. | Communications device and/or authentication server using subscriber biometric attributes |
| CN113360218A (zh) * | 2021-06-16 | 2021-09-07 | 北京字节跳动网络技术有限公司 | 一种业务方案选择方法、装置、设备以及存储介质 |
| US11790406B2 (en) * | 2022-01-31 | 2023-10-17 | Walmart Apollo, Llc | Systems and methods for improved online predictions |
| CN115118496B (zh) * | 2022-06-27 | 2024-02-27 | 珠海格力电器股份有限公司 | 身份认证信息的存储方法、装置以及身份认证设备 |
| CN116975831B (zh) * | 2023-09-25 | 2023-12-05 | 国网山东省电力公司日照供电公司 | 一种基于指纹识别技术的安全认证方法及系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030115142A1 (en) * | 2001-12-12 | 2003-06-19 | Intel Corporation | Identity authentication portfolio system |
| US20140130127A1 (en) * | 2012-11-07 | 2014-05-08 | Fmr Llc | Risk Adjusted, Multifactor Authentication |
| US20150381598A1 (en) * | 2014-06-30 | 2015-12-31 | International Business Machines Corporation | Queue management and load shedding for complex authentication schemes |
| US9497312B1 (en) * | 2015-02-17 | 2016-11-15 | Amazon Technologies, Inc. | Dynamic unlock mechanisms for mobile devices |
| US20160359838A1 (en) * | 2015-06-02 | 2016-12-08 | Dipankar Dasgupta | Adaptive multi-factor authentication system |
| US9667611B1 (en) * | 2014-03-31 | 2017-05-30 | EMC IP Holding Company LLC | Situationally aware authentication |
| CN108460681A (zh) * | 2017-02-20 | 2018-08-28 | 阿里巴巴集团控股有限公司 | 一种风险管控方法及装置 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9699196B1 (en) * | 2015-09-29 | 2017-07-04 | EMC IP Holding Company LLC | Providing security to an enterprise via user clustering |
| US10165005B2 (en) | 2016-09-07 | 2018-12-25 | Oracle International Corporation | System and method providing data-driven user authentication misuse detection |
| US10931758B2 (en) * | 2016-11-17 | 2021-02-23 | BrainofT Inc. | Utilizing context information of environment component regions for event/activity prediction |
| US10135810B2 (en) * | 2016-11-17 | 2018-11-20 | Adp, Llc | Selective authentication system |
| US10158650B1 (en) * | 2017-01-17 | 2018-12-18 | Regis Hadiaris | Token verification from incremental inputs |
| US11080375B2 (en) * | 2018-08-01 | 2021-08-03 | Intuit Inc. | Policy based adaptive identity proofing |
-
2018
- 2018-11-19 US US16/194,433 patent/US10986138B2/en active Active
-
2019
- 2019-10-31 EP EP19886452.2A patent/EP3884410B1/en active Active
- 2019-10-31 ES ES19886452T patent/ES2960052T3/es active Active
- 2019-10-31 CN CN201980076269.9A patent/CN113383333A/zh active Pending
- 2019-10-31 WO PCT/IL2019/051185 patent/WO2020105026A1/en unknown
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030115142A1 (en) * | 2001-12-12 | 2003-06-19 | Intel Corporation | Identity authentication portfolio system |
| US20140130127A1 (en) * | 2012-11-07 | 2014-05-08 | Fmr Llc | Risk Adjusted, Multifactor Authentication |
| US9667611B1 (en) * | 2014-03-31 | 2017-05-30 | EMC IP Holding Company LLC | Situationally aware authentication |
| US20150381598A1 (en) * | 2014-06-30 | 2015-12-31 | International Business Machines Corporation | Queue management and load shedding for complex authentication schemes |
| US9497312B1 (en) * | 2015-02-17 | 2016-11-15 | Amazon Technologies, Inc. | Dynamic unlock mechanisms for mobile devices |
| US20180063715A1 (en) * | 2015-02-17 | 2018-03-01 | Amazon Technologies, Inc. | Dynamic unlock mechanisms for mobile devices |
| US20160359838A1 (en) * | 2015-06-02 | 2016-12-08 | Dipankar Dasgupta | Adaptive multi-factor authentication system |
| CN108460681A (zh) * | 2017-02-20 | 2018-08-28 | 阿里巴巴集团控股有限公司 | 一种风险管控方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3884410A4 (en) | 2022-07-27 |
| WO2020105026A1 (en) | 2020-05-28 |
| US20200162515A1 (en) | 2020-05-21 |
| ES2960052T3 (es) | 2024-02-29 |
| US10986138B2 (en) | 2021-04-20 |
| EP3884410A1 (en) | 2021-09-29 |
| EP3884410B1 (en) | 2023-06-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113383333A (zh) | 用于自适应确定最优认证方案的系统和方法 | |
| US20200288315A1 (en) | Method for automatic possession-factor authentication | |
| US11637824B2 (en) | Multi-factor authentication devices | |
| US11630893B2 (en) | System and method for monitoring touch-screen gestures of users and for user authentication | |
| US11055395B2 (en) | Step-up authentication | |
| US20220180231A1 (en) | Processing Machine Learning Attributes | |
| JP4939121B2 (ja) | 各セキュリティチャレンジを特徴付ける1つ以上の誤り率を使用する遂次認証のための方法、システム、およびプログラム | |
| US11379855B1 (en) | Systems and methods for prioritizing fraud cases using artificial intelligence | |
| US10679211B1 (en) | Intelligent authentication | |
| US10958660B2 (en) | Information processing apparatus and access control method | |
| US9667611B1 (en) | Situationally aware authentication | |
| TWI751422B (zh) | 核身產品推送及核身方法和系統 | |
| EP3120282A1 (en) | User authentication | |
| US10664587B1 (en) | Setting an authorization level at enrollment | |
| US11902275B2 (en) | Context-based authentication of a user | |
| US20070233667A1 (en) | Method and apparatus for sample categorization | |
| KR101082543B1 (ko) | 스마트 카드 인증 시스템, 서명정보를 저장한 스마트 카드, 스마트 카드 인증을 위한 클라이언트 장치, 스마트 카드 인증을 위한 서버 장치 및 스마트 카드 인증 방법 | |
| JP7434291B2 (ja) | 非特定化されたデータに基づいてアイデンティティ認証を実行するためのシステムおよび方法 | |
| US20170262627A1 (en) | Situational awareness based login apparatus and method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |