JP2019521455A - サービス操作リスクを管理するための方法及びデバイス - Google Patents

サービス操作リスクを管理するための方法及びデバイス Download PDF

Info

Publication number
JP2019521455A
JP2019521455A JP2019503331A JP2019503331A JP2019521455A JP 2019521455 A JP2019521455 A JP 2019521455A JP 2019503331 A JP2019503331 A JP 2019503331A JP 2019503331 A JP2019503331 A JP 2019503331A JP 2019521455 A JP2019521455 A JP 2019521455A
Authority
JP
Japan
Prior art keywords
risk
service
user
identifying
identity verification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2019503331A
Other languages
English (en)
Other versions
JP6783923B2 (ja
Inventor
シャ,ジュポン
リー,ツァイウェイ
グー,シー
ジィァン,バオ
Original Assignee
アリババ グループ ホウルディング リミテッド
アリババ グループ ホウルディング リミテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by アリババ グループ ホウルディング リミテッド, アリババ グループ ホウルディング リミテッド filed Critical アリババ グループ ホウルディング リミテッド
Publication of JP2019521455A publication Critical patent/JP2019521455A/ja
Application granted granted Critical
Publication of JP6783923B2 publication Critical patent/JP6783923B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/316User authentication by observing the pattern of computer usage, e.g. typical user behaviour
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4016Transaction verification involving fraud or risk level assessment in transaction processing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4014Identity check for transactions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Accounting & Taxation (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Finance (AREA)
  • General Business, Economics & Management (AREA)
  • Strategic Management (AREA)
  • Health & Medical Sciences (AREA)
  • Social Psychology (AREA)
  • General Health & Medical Sciences (AREA)
  • Power Engineering (AREA)
  • Computing Systems (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Debugging And Monitoring (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Stored Programmes (AREA)

Abstract

本願は、サービス操作リスクを管理するための方法及びデバイスを開示する。エンドユーザデバイス上のアプリケーションプログラムは、オフラインサービス情報を呼び出すためにユーザによって開始されるサービス操作を監視し、サービス操作が監視された後、記録された操作履歴データ、及び、所定のリスク評価規則とリスク評価モデルとのうちの少なくとも一方、に基づいて、サービス操作がリスクを伴う操作であるかどうかを特定し、肯定である場合、オフラインサービス情報を呼び出すことを許可せず、そうでなければ、オフラインサービス情報を呼び出す。従来技術と比較して、本願の実施における前記の方法を用いることにより、ユーザがオフラインサービスを実行する場合に、エンドユーザデバイスの本人確認に加えて、ユーザのサービス操作に関してリスク管理処理を実行する工程が追加されて二重保証メカニズムを形成し、それによって、オフラインサービス環境におけるセキュリティが効果的に向上する。

Description

本願はコンピュータ技術の分野に関し、特に、サービス操作リスクを管理するための方法及びデバイスに関する。
情報技術の発達により、ユーザは、対応するサービスを、サービスプロバイダによって提供されるネットワークプラットフォームから得るだけでなく、他のユーザからも得ることができる。
現在、サービス需要側ユーザ(第1のユーザと称する)及びサービス供給側ユーザ(第2のユーザと称する)は、従来のオンライン方式及びオフライン方式の両方を用いてサービスインタラクション(対話、相互作用)を実行できる。オフライン方式については、第1のユーザが使用するエンドユーザデバイスを、ネットワークから切り離すことができる。エンドユーザデバイスは、二次元コード、音波、又は近距離無線通信を用いて、第2のユーザに対し、第1のユーザに対応するアカウント識別子及び確認(認証、照合)識別子等のオフラインサービス情報を提供する。第2のユーザは、第1のユーザのオフラインサービス情報を、対応するサーバへ送信することができる。よって、第2のユーザは、第1のユーザのアカウントにおけるサービスリソースを取得し、第1のユーザのために、対応するサービスを提供できる。
従来技術において、前述のオフラインサービス方式では、第1のユーザが使用するエンドユーザデバイスにおける本人確認(身元認証)メカニズムは、第1のユーザのアカウントのセキュリティを保証できる。第1のユーザは、エンドユーザデバイスに対する本人確認に合格するよう、指紋、解除パスワード、又はPINコードを用いることによりエンドユーザデバイスを解除できる。言い換えれば、エンドユーザデバイスは、エンドユーザデバイスによる本人確認の合格後に限り、前述のオフラインサービス操作を実行できるのである。例えば、オフライン決済シナリオにおいて、業者が決済指示を生成した後、ユーザは、指紋又はパスワードを用いて携帯電話に対する本人確認を行うことができる。その確認に成功した後、決済コードが携帯電話上に呼び出され、表示される。次いで、業者は携帯電話に表示された決済コードをスキャンし、オフライン決済を行うことができる。
しかし、従来技術において、エンドユーザデバイスにおける本人確認メカニズムは、第1のユーザのアカウントのセキュリティを保証するだけのものである。無許可のユーザがエンドユーザデバイスを手に入れた場合、無許可のユーザが、何度も試したり、他の方法を用いたりして、エンドユーザデバイスを一旦解除してしまうと、エンドユーザデバイスは、ユーザが本人確認に合格したと見なす。その結果、無許可のユーザはエンドユーザデバイスを使ってオフラインサービス操作を実行でき、これが、第1のユーザのアカウントのセキュリティにとって重大な脅威を引き起こすことになる。明らかに、エンドユーザデバイスにおける本人確認メカニズムには、特にオフラインサービスシナリオにおいて特定の限界があり、セキュリティレベルは比較的低い。
本願の実施は、オフラインサービスシナリオにおいて、エンドユーザデバイスにおける本人確認メカニズムのセキュリティを確保するよう、サービス操作リスクを管理するための方法を提供する。
本願の実施は、オフラインサービスシナリオにおいて、エンドユーザデバイスにおける本人確認メカニズムのセキュリティを確保するよう、サービス操作リスクを管理するためのデバイスを提供する。
以下の技術的解決策が本願の実施において用いられる。
本願の実施は、サービス操作リスクを管理するための方法を提供し、この方法は:オフラインサービス情報を呼び出すためにユーザによって開始されるサービス操作を、エンドユーザデバイス上のアプリケーションプログラムによって監視するステップと;前記サービス操作が監視された後、記録された操作履歴データ、及び、所定のリスク評価規則とリスク評価モデルとのうちの少なくとも一方、に基づいて、前記サービス操作がリスクを伴う操作であるかどうかを特定するステップと;肯定である場合に、前記オフラインサービス情報を呼び出すことを許可しないステップと;そうでなければ、前記オフラインサービス情報を呼び出すステップと;を含む。
本願の実施は、さらに、サービス操作リスクを管理するための方法を提供し、この方法は:ユーザによって開始されるオフライン決済操作を、クライアントソフトウェアによって監視するステップと;前記オフライン決済操作が監視された後、記録された操作履歴データ、及び、前記所定のリスク評価規則とリスク評価モデルとのうちの少なくとも一方に基づいて、前記オフライン決済操作がリスクを伴う操作であるかどうかを特定するステップと;肯定である場合、前記オフライン決済操作を許可しないステップと;
そうでなければ、前記オフライン決済操作を実行するステップと;を含む。
本願の実施は、サービス操作リスクを管理するためのデバイスを提供し、このデバイスは:オフラインサービス情報を呼び出すためにユーザが開始するサービス操作を監視するよう構成された監視モジュールと;前記監視モジュールが前記サービス操作を監視した後、記録された操作履歴データ、及び、前記所定のリスク評価規則とリスク評価モデルとのうちの少なくとも一方、に基づいて、前記サービス操作がリスクを伴う操作であるかどうかを特定し、肯定である場合、前記オフラインサービス情報を呼び出すことを許可せず、そうでなければ、前記オフラインサービス情報を呼び出すよう構成されたリスク管理処理モジュールと;を含む。
本願の実施は、さらに、サービス操作リスクを管理するためのデバイスを提供し、このデバイスは:ユーザが開始するオフライン決済操作を監視するよう構成された監視モジュールと;前記監視モジュールが前記オフライン決済操作を監視した後、記録された操作履歴データ、及び、前記所定のリスク評価規則とリスク評価モデルとのうちの少なくとも一方、に基づいて、前記オフライン決済操作がリスクを伴う操作であるかどうかを特定し、肯定である場合に、前記オフライン決済操作を許可せず、そうでなければ、前記オフライン決済操作を実行するよう構成されたリスク管理処理モジュールと;を含む。
本願の実施において採用される、先に説明した技術的解決策のうちの少なくとも1つは、以下の有益な効果を奏する。
本願における方法によれば、ユーザがオフラインサービスを得るためにアプリケーションを用いるシナリオにおいて、エンドユーザデバイスを手にしているユーザがアプリケーションの本人確認に合格し、サービス操作を開始する場合、アプリケーションは、サービス操作を直ちには実行せずに、それより以前にユーザが行った全操作の操作履歴データを取得する。アプリケーションを使う無許可ユーザによって開始された操作と、エンドユーザデバイスを使う実際の所有者によって開始された操作との間には、ある特定の違いが存在すると見なすことができる。したがって、操作履歴データ、及び、対応するリスク評価規則とリスク評価モデルとのうちの少なくとも一方、に基づいて、アプリケーションは、ユーザによって開始されたサービス操作がリスクを伴うかどうかを特定できる。サービス操作がリスクを伴う場合、それは、サービス操作を開始するユーザが無許可ユーザであるかもしれないことを示している。その結果、アプリケーションは、オフラインサービスで必要とされるオフラインサービス情報の呼び出しを許可せず、アプリケーションの現ユーザはオフラインサービスを実行できない。サービス操作がリスクを伴わない場合、サービス操作を開始するユーザがエンドユーザデバイスの実際の所有者である可能性を示し、アプリケーションはオフラインサービス情報を呼び出すことができ、その結果、現ユーザはオフラインサービスを完結することができる。
従来技術と比較して、本願の実施における前述の方法を用いることにより、ユーザがオフラインサービスを実行する場合、アプリケーションの本人確認に加えて、ユーザのサービス操作に対してリスク管理処理を実行する工程が追加されて二重保証メカニズムを形成し、それによって、オフラインサービス環境におけるセキュリティを効果的に向上させる。
本明細書中で説明する添付図面は、本願の更なる理解を提供し、本願の一部を構成する。本願の例示である実施及びそれらの説明の目的は、本願を説明することであり、本願に対する限定を構成するものではない。
図1aは、本願の実施に係る、オフラインサービスを示すアーキテクチャ概略図である。
図1bは、本願の実施に係る、サービス操作リスクを管理するための工程である。
図2aは、本願の実施に係る、サービス操作リスクを管理するための工程における確認方法を示す概略図である。 図2bは、本願の実施に係る、サービス操作リスクを管理するための工程における確認方法を示す概略図である。
図3は、本願の実施に係る、サービス操作リスクを管理するための別の工程である。
図4は、本願の実施に係る、サービス操作リスクを管理するためのデバイスを示す概略構造図である。
図5は、本願の実施に係る、サービス操作リスクを管理するためのデバイスを示す概略構造図である。
本願の目的、技術的解決策、及び利点を明確にするため、本願の実施及び対応する添付図面を参照して、本願の技術的解決策を明確に且つ完全に以下説明する。明らかに、説明する実施は、本願の実施の全てではなく、その一部に過ぎない。創造的な努力なく本願の実施に基づいて当業者によって得られる他の全ての実施は、本願の保護範囲に含まれることになる。
上で説明したように、オフラインサービス操作シナリオにおいて、ユーザが用いるアプリケーションはそれに対応する本人確認メカニズムを有するが、アプリケーションの本人確認メカニズムは、ユーザアカウントのセキュリティの保証に限られる。一旦、別のユーザがアプリケーションの本人確認に合格してしまうと、この別のユーザはアプリケーションを用いて任意のオフラインサービス操作を実行でき、よってユーザアカウントにとって重大な脅威が生ずる。
これに基づいて、オフラインサービス環境におけるアプリケーションセキュリティを向上させるための方法が必要とされている。したがって、本願の実施において、サービス操作リスクを管理するための方法が提供される。オフラインサービスシナリオにおいて、エンドユーザデバイスの現ユーザがアプリケーションの本人確認に合格したとしても、ユーザが開始するサービス操作に基づいてリスクの特定が実行され、無許可ユーザがアプリケーションの本人確認に合格した後にユーザアカウントに与えるセキュリティリスクを最小限にとどめることができる。
本願の実施において、エンドユーザデバイスとして、スマートフォン、スマートウォッチ、タブレットコンピュータ、ノートブックコンピュータ、及びデスクトップコンピュータが挙げられるが、これらに限定されない。図1aは、本願の実施に係る、実際のアプリケーション(適用)におけるオフラインサービスの関係性アーキテクチャを示す概略図である。図1aに示すように、ユーザはエンドユーザデバイスを使用し、業者はユーザのオフラインサービス情報を取得し、サーバはユーザのアカウントから業者のアカウントへリソース(金額、クーポン、及び仮想通貨等の決済機能を有するリソース)を転送する。
図1bは、本願の実施に係るサービス操作リスクを管理するための工程を示し、以下のステップを含む。
S101.オフラインサービス情報を呼び出すためにユーザが開始するサービス操作を、エンドユーザデバイス上のアプリケーションプログラムが監視する。
オフラインサービス情報は、オフラインサービスの実行に必要な情報であり、通常、ユーザアカウント情報、サービス確認識別子等の情報を含む。実際のアプリケーションシナリオにおいて、オフラインサービス情報は、通常、近距離無線通信(Near Field Communication、NFC)信号、一意のデジタルオブジェクト識別子(Digital Object Unique Identifier、DOI)及び音波信号等の形態であってよい。本願では制限されない。
サービス操作により、オフラインサービスがトリガされる。例えば、ユーザは、アプリケーションの「オフライン決済」機能管理要素をクリックすることができ、このクリック操作により、オフライン決済サービスをトリガすることができる。この場合、このクリック操作がサービス操作である。
先に述べたアプリケーションプログラム(以下、アプリケーションと称する)は、オフラインサービス機能を有する。すなわち、ユーザは、エンドユーザデバイス上でアプリケーションを起動し、アプリケーション内で、対応するサービス操作を開始できる。
このステップにおいて、ユーザは、エンドユーザデバイスを現に用いているユーザであると見なされ得る。ユーザはサービス操作を開始する(このことは、ユーザがアプリケーションの本人確認に合格したことを示す)が、このユーザは、エンドユーザデバイスの所有者(すなわち、認定ユーザ)である可能性もあれば、無許可の保持者(すなわち、無許可ユーザ)である可能性もある。したがって、ユーザによって開始されるサービス操作に対してリスク管理処理を実行する、すなわち、後続のステップを実行する必要がある。
S102.サービス操作が監視された後、記録された操作履歴データ、及び、所定のリスク評価規則とリスク評価モデルとのうちの少なくとも一方、に基づいて、サービス操作がリスクを伴う操作であるかどうかを特定する。肯定(Yes)である場合にはステップS103を実行する、さもなければステップS104を実行する。
実際のアプリケーションにおいて、仮に無許可ユーザがエンドユーザデバイスを手にしている場合、無許可ユーザは本人確認操作を複数回にわたり実行してアプリケーションの本人確認に合格しようと試みることができる。たとえ無許可ユーザが最終的に本人確認に合格したとしても、無許可ユーザによって実行された複数回の本人確認操作は、ある程度、本人確認工程の例外を反映している(エンドユーザデバイスの保有者が認定ユーザであれば、認定ユーザは、操作ミスを除き、1回で、アプリケーションの本人確認に合格するはずであると考えることができる)。
明らかに、エンドユーザデバイス上でユーザによって実行される様々な操作の操作データは、リスク管理処理のための重要な根拠として用いることができる。実際のアプリケーションシナリオにおいて、エンドユーザデバイス上でユーザによって実行される様々な操作は、オフライン決済機能を有するアプリケーション上で直接ユーザによって実行される様々な操作とすることができ、このシナリオにおいては、アプリケーションは、操作データを記録し、これを取得できる。
したがって、本願のこの実施において、アプリケーションは、本人確認操作及びサービス操作等、ユーザによって実行された様々な操作履歴に対応する操作履歴データを記録する。操作履歴データを記録する工程は、以下を含むことができる:アプリケーションが、アプリケーション上でユーザによって実行される操作を監視し、その操作が監視された後に、その操作に対応する操作データを特定し、特定された操作データを操作履歴データとして記録する。操作履歴データは、履歴時間内の本人確認の成功又は失敗の合計回数、所定期間内の本人確認の成功又は失敗の回数、オンラインサービスを用いるユーザの挙動データ、オフラインサービスを用いるユーザの挙動データ、及びサービス環境データのうちの少なくとも1つを含む。
この方法はオフライン環境に対して適用できるため、アプリケーション内に記録される操作履歴データをエンドユーザデバイス内にローカルに格納されることは特に留意すべき事項である。格納にはログファイルを使用できる。それに応じて、アプリケーションは、以前のログファイルを取得して操作履歴データを取得できる。これは本願に対する制限を構成しない。
アプリケーションによって記録された操作履歴データが取得された後、ユーザが開始するサービス操作上でリスク特定を実行できる。本願のこの実施において、所定のリスク評価規則及び/又はリスク評価モデルを、アプリケーション内にローカルに予め格納できる。可能な方法において、アプリケーションはローカルにリスク評価機能部を有し、リスク評価規則及び/又はリスク評価モデルをこのリスク評価機能部内に格納できる。
リスク評価規則は、異なる操作履歴データのための評価規則を含むことができる。例えば、ユーザが本人確認に合格する前、ユーザが本人確認の合格に失敗した回数が3である場合、ユーザによって開始されたサービス操作はリスクを伴うと特定される。加えて、リスク評価規則は動的規則であってもよく、認定ユーザの使用習慣に基づいて、動的に調整及び最適化されてもよい。
リスク評価モデルは、認定ユーザの使用習慣並びに多数の特定された無許可操作及び認定操作の操作データに基づくトレーニング(学習、訓練)を通じて取得できる。ここでは詳細に説明しない。加えて、リスク評価モデルは動的モデルであってもよい、すなわち、ユーザの操作データを継続的に収集することができ、リスク評価モデルは、ユーザの使用習慣に基づいて動的に調整され、最適化される。
リスク評価規則及びリスク評価モデルを用いることによって、対応するリスク特性値を取得するためにサービス操作のリスク度合いを量子化することができる。明らかに、現在のサービス操作がユーザの使用習慣に合致しない場合、リスク評価モデルを用いて取得されたリスク特性値はリスク閾値を超え、ユーザによって開始されたサービス操作はリスクを伴うと特定される。
当然ながら、実際のアプリケーションにおいて、リスク評価は、リスク評価規則及びリスク評価モデルを参照してサービス操作に対して実行できる。
加えて、リスク評価規則及びリスク評価モデルは、アプリケーションの使用環境に基づいて動的に調整できる。使用環境は、アプリケーションの使用時間、アプリケーションの起動及び停止回数等を含むことができる。これは本願において制限されない。
前述の内容に基づいて、サービス操作がリスクを伴う操作であると特定された場合、それはサービス操作の開始者が無許可ユーザであるかもしれないことを示している。この場合、認定ユーザのアカウントのセキュリティを保護するため、アプリケーションは、サービス操作の実行を許可しない、すなわちステップS103を実行する。
サービス操作がリスクを伴わない操作であると特定された場合、サービス操作の開始者は認定ユーザである、と見なせる。この場合、アプリケーションはサービス操作を実行できる、すなわちステップS104を実行できる。
S103.オフラインサービス情報を呼び出すことを許可しない。
一旦アプリケーションがオフラインサービス情報を呼び出すことを許可しなければ、ユーザはオフラインサービスを実行できない。本願のこの実施において、オフラインサービス情報がDOI(二次元コード、バーコード等を含む)方式で表示される場合、アプリケーションはDOIを生成しない。当然ながら、実際のアプリケーションシナリオでは、ユーザに対して更に再確認操作を開始でき、その方法は後述する。
S104.オフラインサービス情報を呼び出す。
ステップS103とは対照的に、アプリケーションは、対応するオフラインサービス情報を生成して、対応するオフラインサービスを完結(コンプリート)させる。
前述の各ステップによれば、ユーザがオフラインサービスを受けるためにアプリケーションを用いるシナリオにおいて、エンドユーザデバイスを手にしているユーザがアプリケーションの本人確認に合格し、サービス操作を開始する場合、アプリケーションは、サービス操作を直ちには実行せずに、ユーザによって実行された以前の全ての操作の操作履歴データを取得する。アプリケーションを使う無許可ユーザによって開始される操作と、エンドユーザデバイスを使う実際の所有者によって開始される操作との間にはある特定の違いが存在すると見なせる。したがって、操作履歴データ、及び、対応するリスク評価規則とリスク評価モデルとのうちの少なくとも一方、に基づいて、アプリケーションは、ユーザによって開始されたサービス操作がリスクを伴うかどうかを特定できる。サービス操作がリスクを伴う場合、それはサービス操作を開始するユーザが無許可ユーザであるかもしれないことを示している。その結果、アプリケーションは、オフラインサービスによって必要とされるオフラインサービス情報を呼び出すことを許可せず、ユーザはオフラインサービスを実行できない。サービス操作がリスクを伴うものではない場合、サービス操作を開始するユーザは認定ユーザである可能性が高いことを示し、アプリケーションはオフラインサービス情報を呼び出すことができ、その結果、ユーザはオフラインサービスを完結することができる。
従来技術と比較して、本願のこの実施における前述の方法を用いることによって、ユーザがオフラインサービスを実行する際には、アプリケーションの本人確認に加えてユーザのサービス操作に関してリスク管理処理を実行する工程が追加されて、二重保証メカニズムを形成し、それによって、オフラインサービス環境におけるセキュリティが効果的に向上する。
前述の内容について、本願のこの実施のオプションとしての方法において、前述の方法を、エンドユーザデバイスのオペレーティングシステムによって実行できることは特に留意すべき事項である。オペレーティングシステムは、アプリケーションに対して対応するアプリケーションプログラミングインターフェース(Application Programming Interface、API)を開くことができ、そのため、異なるアプリケーションは、APIを用いることによってオフラインサービスを完結する。すなわち、エンドユーザデバイスのオペレーティングシステムは、リスク評価規則とリスク評価モデルとに基づいてサービス操作に関するリスク評価を実行し、APIをエンドユーザデバイス上で実行されるアプリケーションに対して開き、そのため、各アプリケーションはAPIからリスク評価結果を取得する。これは本願において限定されない。
前述の内容において、ユーザによって開始されるサービス操作がリスクを伴う操作であるかどうかを特定するステップは、アプリケーションがその後サービス操作を実行するかどうかに決定的な影響を及ぼす。したがって、本願のこの実施における特定する工程について詳細に以下説明する。
本願のこの実施において、サービス操作がリスクを伴う操作であるかどうかを特定する工程は、主に、2つの方法で実施される。
方法1
実際のアプリケーションにおいて、ユーザがサービス操作を開始した場合、それはユーザがアプリケーションの本人確認に合格したことを示すが、ユーザはそれでもなお無許可ユーザである可能性がある。これは、ユーザが、本人確認を何度も実行した後で本人確認に合格した可能性があるからであり、この場合、ユーザは無許可ユーザである可能性が高い。それに応じて、ユーザによって開始されたサービス操作も、リスクを伴う操作である可能性がある。すなわち、エンドユーザデバイスを現に使っているユーザによって行われた本人確認操作が、ある特定のリスク度合いを有する場合は、ユーザが本人確認に合格した後にユーザによって開始されたサービス操作も、対応するリスクを有する。
例えば、ユーザがアプリケーションのための確認操作を行って、最初の5回の確認は失敗したが、6回目に成功する。この例では、ユーザは確認(認証、照合)に成功したものの、ユーザが確認に合格するために何回も試行したため、ユーザは無許可ユーザである可能性があると見なせる。このユーザがアプリケーションを用いてオフラインサービス操作を実行した場合、このサービス操作はリスクを伴う可能性がある。
したがって、本人確認操作のリスク度合いを、本人確認に合格する前にユーザによって実行される本人確認操作に基づいて特定し、ユーザによって開始されたサービス操作がリスクを伴う操作であるかどうかを更に特定することができる。
本願のこの実施において、サービス操作がリスクを伴う操作であるかどうかを特定する工程は、サービス操作に関連する第1の本人確認操作を特定するステップと、第1の本人確認操作に対応する第1の確認方法、操作履歴データ、及び、所定のリスク評価規則とリスク評価モデルとのうちの少なくとも一方、に基づいて第1の本人確認操作のリスク特性値を特定するステップと、リスク特性値と所定のリスク閾値とに基づいて、リスク特性値が所定のリスク閾値を超えるかどうかを特定するステップであって、肯定である場合には、サービス操作を、リスクを伴う操作として特定し、そうでなければ、サービス操作を、リスクを伴わない操作として特定する、ステップと、を含む。
サービス操作に関連する第1の本人確認操作とは、最後にユーザがアプリケーションの本人確認に合格した後で、且つユーザが現在のサービス操作を実行する前に、ユーザによって実行された本人確認操作のことである。例えば、ユーザの6つの確認操作は全て第1の本人確認操作である。加えて、第1の本人確認操作において用いられる単語「第1」は、単に、後続の内容における他の本人確認操作と区別するために用いられているに過ぎず、以下における同様の説明は同様の役割を果たすためのものである。詳細については繰り返し説明しない。
第1の本人確認操作に対応する第1の確認方法は、パスワード確認及び生体特徴情報確認を含むが、これらに限定されない。リスク評価規則及び/又はリスク評価モデルは、ユーザが異なる確認方法を用いる場合には異なっていてよい。例えば、パスワードによる確認方法では、リスク評価工程におけるパスワード試行回数により多くの注意が払われる。より多くの試行はより高いリスクを示す。指紋による確認方法では、リスク評価工程においてユーザによって入力される指紋画像の詳細な特徴により多くの注意が払われる。指紋画像の特徴が少なければ少ないほど、指紋画像が盗まれた可能性が高く、指紋確認操作のリスクがより高い。
これに基づいて、第1の本人確認操作のリスク度合いを、第1の確認方法、操作履歴データ、及び、所定のリスク評価規則とリスク評価モデルとのうちの少なくとも一方、に基づいて量子化することができる、すなわち、第1の本人確認操作のリスク特性値が特定される。リスク特性値は、第1の本人確認操作のリスク度合いを反映しており、より高いリスク度はより大きなリスク特性値を示すと理解できる。
第1の本人確認操作のリスク度合いが量子化された後、所定のリスク閾値と比較できる。リスク閾値は、既知の無許可操作データを収集することによって特定できる。それは本願に対する制限を構成しない。
更に、第1の本人確認操作のリスク特性値がリスク閾値を超えた場合、第1の本人確認操作は、認定ユーザではなく無許可ユーザによって開始された可能性が高いと見なせる。したがって、アプリケーションは、現在のサービス操作が無許可ユーザによって開始されていると特定し、サービス操作を、リスクを伴う操作と特定する。
第1の本人確認操作のリスク特性値がリスク閾値を超えない場合、第1の本人確認操作は、認定ユーザではなく無許可ユーザによって開始された可能性が低いと見なせる。したがって、アプリケーションは、現在のサービス操作が認定ユーザによって開始されていると特定し、サービス操作を、リスクを伴わない操作として特定する。
方法2:
この方法において、実際のアプリケーションシナリオでは、認定ユーザがエンドユーザデバイスを用いる場合、操作ミスが生じる可能性がある、又は、パスワードを忘れる可能性がある。これらが生じると、認定ユーザもエンドユーザデバイス上で本人確認操作を何回か行う可能性がある。明らかに、方法1のみが用いられてリスク管理処理を実行した場合、認定ユーザが開始するサービス操作は許可されず、エンドユーザデバイスの使用において認定ユーザに対し不便をもたらす可能性がある。
したがって、方法2では、サービス操作がリスクを伴う操作であるかどうかを特定する工程は、サービス操作に関連する第1の本人確認操作を特定するステップと;第1の本人確認操作に対応する第1の確認方法、記録された操作履歴データ、及び、所定のリスク評価規則とリスク評価モデルとのうちの少なくとも一方、に基づいて、第1の本人確認操作のリスク特性値を特定するステップと;リスク特性値が所定のリスク閾値を超える場合、ユーザに対してバックアップ本人確認を開始するステップと;バックアップ本人確認に基づいてユーザによって実行される第2の本人確認操作を受信し、第2の本人確認操作に対応する第2の確認方法、記録された操作履歴データ、及び、所定のリスク評価規則とリスク評価モデルとのうちの少なくとも一方、に基づいて第2の本人確認操作のリスク特性値を特定し、第2の本人確認操作のリスク特性値が所定のリスク閾値を超えるかどうかを特定し、肯定である場合、サービス操作を、リスクを伴う操作として特定し、そうでなければ、サービス操作を、リスクを伴わない操作として特定するステップと;リスク特性値が所定のリスク閾値を超えない場合、サービス操作を、リスクを伴わない操作として特定するステップと;を含む。
第1の本人確認操作のリスク特性値を特定するための前述の方法は、方法1と一致する。詳細は簡略化のためここでは省略する。
リスク特性値が所定のリスク閾値を超えたことをアプリケーションが特定した後、その特定は、ユーザが開始した第1の本人確認操作がリスクを伴うことを示すが、ユーザの操作ミス又はパスワードを忘れたことが原因である可能性がある。したがって、この方法においては、バックアップ本人確認がユーザに対して開始される。バックアップ本人確認はオフライン確認方法であり、すなわち、確認工程は、エンドユーザデバイスが外部ネットワークにアクセスする必要はない。バックアップ本人確認は、パスワード確認、生体特徴情報確認、サービス確認、及び操作履歴確認を含むが、これらに限定されない。
操作履歴確認又はサービス確認は、エンドユーザデバイス上でユーザによって実行された操作履歴又はサービス操作履歴に基づくことは特に留意すべき事項である。
例えば、認定ユーザが過去の使用工程においてアプリケーションの確認パスワードを変更した場合、バックアップ本人確認は、図2aに示すように、エンドユーザデバイスの現在のインターフェース内にパスワード入力インターフェースを提供し、ユーザに以前の確認パスワードの入力を促す(プロンプトする)ことであってもよい。
別の例として、認定ユーザがアプリケーションによって実行された以前のオフラインサービスを用いて、100元の商品を購入した場合、バックアップ本人確認は、図2bに示すようなエンドユーザデバイスの現在のインターフェース内に確認インターフェースを提供し、ユーザに以前のオフラインサービスのために支払った金額を入力することを促すことであってもよい。
当然ながら、先に説明した2つの方法は本願に対し制限を構成しない。前述の例に基づいて、アプリケーションはユーザに対してバックアップ本人確認を開始し、本質的に、アプリケーションは所定の対応する本人確認方法をいくつか有している。アプリケーションは、いくつかの所定の本人確認方法から第1の確認方法とは異なる確認方法を選択してバックアップ本人確認を実行できる。したがって、ユーザに対してバックアップ本人確認を開始する工程は、第1の確認方法、及び、所定のリスク評価規則とリスク評価モデルとのうちの少なくとも一方、に基づいて、所定の本人確認方法から第2の本人確認方法を選択して、ユーザに対してバックアップ本人確認を開始するステップを含む。
ユーザに対してバックアップ本人確認を送信した後、アプリケーションは、バックアップ本人確認に基づいてユーザによって実行される第2の本人確認操作を受信する。第2の本人確認操作は、ここでは、第1の本人確認操作と同様である。ユーザが第2の本人確認操作を何回か実行した場合、ユーザがバックアップ本人確認に合格したとしても、第2の本人確認操作のリスク度合いは比較的高いと見なせる。したがって、アプリケーションは、第2の本人確認操作に対応する第2の確認方法、操作履歴データ、及び、所定のリスク評価規則とリスク評価モデルとのうちの少なくとも一方、に基づいて第2の本人確認操作のリスク特性値を特定する。
明らかに、第2の本人確認操作のリスク特性値がそれでもなお所定のリスク閾値よりも高い場合、それはエンドユーザデバイスを手にするユーザが無許可ユーザである可能性が高いことを示し、アプリケーションは、ユーザが開始するサービス操作を、リスクを伴う操作として特定する。第2の本人確認操作のリスク特性値が所定のリスク閾値を超えない場合、それはエンドユーザデバイスを手にするユーザが認定ユーザである可能性があることを示し、アプリケーションはユーザによって開始されるサービス操作を、リスクを伴わない操作として特定する。
ユーザの第1の本人確認操作のリスク特性値が所定のリスク閾値を超えない場合、ユーザは認定ユーザである、と見なすことができ、この場合、エンドユーザデバイスはユーザに対してバックアップ本人確認を開始することはない。
方法2では、リスク管理を追加した後、バックアップ本人確認方法を用いてユーザに対して再確認を行うことができるため、ユーザ本人確認の精度は更に向上し、セキュリティが更に強化される。
前述した2つの特定方法を参照して、実際のアプリケーションでは、任意の特定方法を、オフラインサービス工程において本人確認を実施するために必要に応じて用いることにより、認定ユーザのアカウントの安全性を確保してもよい。加えて、前述の方法はオフライン決済シナリオに適用可能である。したがって、このシナリオにおいて、本願の実施は、更に、図3に示すようなサービス操作リスクを管理するための方法を提供する。この方法は以下のステップを含む。
S301.クライアントソフトウェアが、ユーザによって開始されるオフライン決済操作を監視する。
S302.オフライン決済操作が監視された後、記録された操作履歴データ、及び、所定のリスク評価規則とリスク評価モデルとのうちの少なくとも一方、に基づいて、オフライン決済操作がリスクを伴う操作であるかどうかを特定する。
S303.オフライン決済操作を許可しない。
S304.オフライン決済操作を実行する。
この方法において、実行主体はクライアントソフトウェアであり、クライアントソフトウェアはエンドユーザデバイスのオペレーティングシステムにおいて実行されるアプリケーションクライアントソフトウェアであってもよい。ユーザはクライアントソフトウェアを用いてオフライン決済サービスを受けることができる。クライアントソフトウェアは対応するサービスプロバイダ(ウェブサイト、銀行、電気通信事業者等が挙げられるがこれに限定されない)によって提供されてもよい。それは、本願において制限を構成しない。クライアントソフトウェアはそれ自体に本人確認方法を有する。例えば、クライアントソフトウェア自体に対応する確認パスワード入力インターフェースを有し、ユーザは、確認に成功した後にのみ、クライアントソフトウェアを用いることができる。
前述の各ステップにおいて、操作履歴データを記録するステップは、以下を含む:クライアントソフトウェアは、クライアントソフトウェア上でユーザによって実行される操作を監視し、操作が監視された後で、操作に対応する操作データを特定し、操作データを操作履歴データとして記録する。
この方法において、操作履歴データは、履歴時間内の本人確認の成功又は失敗の合計回数、所定期間内の本人確認成功又は失敗の回数、オンラインサービスを用いるユーザの挙動データ、オフラインサービスを用いるユーザの挙動データ、及びサービス環境データのうちの少なくとも1つを含むことができる。
加えて、この方法においてクライアントソフトウェアによって開始されるオフライン決済操作に関するリスク管理処理は、前述の方法と同様である。オフライン決済操作がリスクを伴う操作であるかどうかを特定するステップもまた、主に、2つの方法を含む。
方法1
オフライン決済操作がリスクを伴う操作であるかどうかを特定するステップは、オフライン決済操作に関連する確認操作を特定するステップと;確認操作に対応する確認方法、操作履歴データ、及び、所定のリスク評価規則とリスク評価モデルとのうちの少なくとも一方、に基づいて確認操作のリスク特性値を特定するステップと;リスク特性値と所定のリスク閾値とに基づいて、リスク特性値が所定のリスク閾値を超えるかどうかを特定するステップであって、肯定である場合には、オフライン決済操作を、リスクを伴う操作として特定し、そうでなければ、オフライン決済操作を、リスクを伴わない操作として特定する、ステップと;を含む。
方法2:オフライン決済操作がリスクを伴う操作であるかどうかを特定する前記ステップは:オフライン決済操作に関連する確認操作を特定するステップと;確認操作に対応する確認方法、操作履歴データ、及び、所定のリスク評価規則とリスク評価モデルとのうちの少なくとも一方、に基づいて確認操作のリスク特性値を特定するステップと;リスク特性値が所定のリスク閾値を超える場合、バックアップ本人確認に基づいてユーザによって実行される本人確認操作を受信し、本人確認操作に対応する確認方法、操作履歴データ、及び、所定のリスク評価規則とリスク評価モデルとのうちの少なくとも一方、に基づいて本人確認操作のリスク特性値を特定し、本人確認操作のリスク特性値が所定のリスク閾値を超えるかどうかを特定し、肯定である場合には、オフライン決済操作を、リスクを伴う操作として特定し、そうでなければ、オフライン決済操作を、リスクを伴わない操作として特定するステップ;又は、リスク特性値が所定のリスク閾値を超えない場合、オフライン決済操作を、リスクを伴わない操作として特定するステップ;とを含む。
方法2において、バックアップ本人確認の具体的な形態に関して、図2a及び図2bに示す内容を参照できる、すなわち、バックアップ本人確認は、パスワード又は生体特徴情報確認に限定されない、又は、質問及び回答確認であってもよい。ユーザに対してバックアップ本人確認を開始するステップは、確認方法、及び、所定のリスク評価規則とリスク評価モデルとのうちの少なくとも一方、に基づいて、所定の本人確認方法から、前記確認方法とは異なる本人確認方法を選択してユーザに対してバックアップ本人確認を開始するステップを含む。
他の内容は前述の方法と同様である。前述の内容を参照することができる。詳細は簡略化のためここでは省略する。
上の記載は、本願の実施に係るサービス操作リスクを管理する方法に関するものである。同じ概念に基づいて、本願の実施は、更に、図4に示すようなサービス操作リスクを管理するためのデバイスを提供する。このデバイスは:オフラインサービス情報を呼び出すためにユーザによって開始されるサービス操作を監視するよう構成される監視モジュール401と;監視モジュールがサービス操作を監視した後、記録された操作履歴データ、及び、所定のリスク評価規則とリスク評価モデルとのうちの少なくとも一方、に基づいて、サービス操作がリスクを伴う操作であるかどうかを特定し、肯定である場合に、オフラインサービス情報を呼び出すことを許可せず、そうでなければ、オフラインサービス情報を呼び出すよう構成されるリスク管理処理モジュール402と;を含む。
リスク管理処理モジュール402は、アプリケーション上でユーザによって実行される操作を監視し、操作が監視された後で、操作に対応する操作データを特定し、操作データを操作履歴データとして記録する。
先に述べた操作履歴データは、履歴時間内の本人確認の成功又は失敗の合計回数、所定期間内の本人確認の成功又は失敗の回数、オンラインサービスを用いるユーザの挙動データ、オフラインサービスを用いるユーザの挙動データ、及びサービス環境データのうちの少なくとも1つを含む。
リスク管理処理段階において、本願の実施の方法では、リスク管理処理モジュール402は、サービス操作に関連する第1の本人確認操作を特定し;第1の本人確認操作に対応する第1の確認方法、操作履歴データ、及び、所定のリスク評価規則とリスク評価モデルとのうちの少なくとも一方、に基づいて第1の本人確認操作のリスク特性値を特定し;リスク特性値及び所定のリスク閾値に基づいて、リスク特性値が所定のリスク閾値を超えるかどうかを特定し、肯定である場合に、サービス操作を、リスクを伴う操作として特定し、そうでなければ、サービス操作を、リスクを伴わない操作として特定する。
本願の実施の別の方法において、リスク管理処理モジュール402は、サービス操作に関連する第1の本人確認操作を特定し、第1の本人確認操作に対応する第1の確認方法、記録された操作履歴データ、及び、所定のリスク評価規則とリスク評価モデルとのうちの少なくとも一方、に基づいて第1の本人確認操作のリスク特性値を特定し;リスク特性値が所定のリスク閾値を超える場合に、ユーザに対してバックアップ本人確認を開始し、バックアップ本人確認に基づいてユーザによって実行される第2の本人確認操作を受信し、第2の本人確認操作に対応する第2の確認方法、記録された操作履歴データ、及び、所定のリスク評価規則とリスク評価モデルとのうちの少なくとも一方、に基づいて第2の本人確認操作のリスク特性値を特定し、第2の本人確認操作のリスク特性値が所定のリスク閾値を超えるかどうかを特定し、肯定である場合に、サービス操作を、リスクを伴う操作として特定し、そうでなければ、サービス操作を、リスクを伴わない操作として特定する;又は、リスク特性値が所定のリスク閾値を超えない場合に、サービス操作を、リスクを伴わない操作として特定する。
更に、リスク管理処理モジュール402は、第1の確認方法、及び、所定のリスク評価規則とリスク評価モデルとのうちの少なくとも一方、に基づいて所定の本人確認方法から第2の本人確認方法を選択してユーザに対してバックアップ本人確認を開始する。
本願の実施は、更に、サービス操作リスクを管理するためのデバイスを提供し、図5に示すように、オフライン決済機能を有するクライアントソフトウェアに対して適用可能である。このデバイスは:ユーザによって開始されるオフライン決済操作を監視するよう構成される監視モジュール501と;監視モジュールがオフライン決済操作を監視した後、記録された操作履歴データ、及び、所定のリスク評価規則とリスク評価モデルとのうちの少なくとも一方、に基づいて、オフライン決済操作がリスクを伴う操作であるかどうかを特定し、肯定である場合に、オフライン決済操作を許可せず、そうでなければ、オフライン決済操作を実行するよう構成されるリスク管理処理モジュール502と;を含む。
リスク管理処理モジュール502は、クライアントソフトウェア上でユーザによって実行される操作を監視し、操作が監視された後で、操作に対応する操作データを特定し、操作データを操作履歴データとして記録する。
操作履歴データは、履歴時間内の本人確認の成功又は失敗の合計回数、所定期間内の本人確認の成功又は失敗の回数、オンラインサービスを用いるユーザの挙動データ、オフラインサービスを用いるユーザの挙動データ、及びサービス環境データのうちの少なくとも1つを含む。
リスク管理処理段階において、本願の実施の方法では、リスク管理処理モジュール502は、オフライン決済操作に関連する確認操作を特定し、確認操作に対応する確認方法、操作履歴データ、及び、所定のリスク評価規則とリスク評価モデルとのうちの少なくとも一方、に基づいて確認操作のリスク特性値を特定し、リスク特性値と所定のリスク閾値とに基づいて、リスク特性値が所定のリスク閾値を超えるかどうかを特定し、肯定である場合に、オフライン決済操作を、リスクを伴う操作として特定し、そうでなければ、オフライン決済操作を、リスクを伴わない操作として特定する。
本願の実施の別の方法において、リスク管理処理モジュール502は、オフライン決済操作に関連する確認操作を特定し;確認操作に対応する確認方法、操作履歴データ、及び、所定のリスク評価規則とリスク評価モデルとのうちの少なくとも一方、に基づいて確認操作のリスク特性値を特定し;リスク特性値が所定のリスク閾値を超える場合、ユーザに対してバックアップ本人確認を開始し、バックアップ本人確認に基づいてユーザによって実行される本人確認操作を受信し、本人確認操作に対応する確認方法、操作履歴データ、及び、所定のリスク評価規則とリスク評価モデルとのうちの少なくとも一方、に基づいて本人確認操作のリスク特性値を特定し、本人確認操作のリスク特性値が所定のリスク閾値を超えるかどうかを特定し、肯定である場合に、オフライン決済操作を、リスクを伴う操作として特定し、そうでなければ、オフライン決済操作を、リスクを伴わない操作として特定する;又は、リスク特性値が所定のリスク閾値を超えない場合に、オフライン決済操作を、リスクを伴わない操作として特定する。
更に、リスク管理処理モジュール502は、確認方法、及び、所定のリスク評価規則とリスク評価モデルとのうちの少なくとも一方、に基づいて所定の本人確認方法から上記確認方法とは異なる本人確認方法を選択してユーザに対してバックアップ本人確認を開始する。
本願は、本願の実施に係る方法、デバイス(システム)、コンピュータプログラム製品のフローチャート及び/又はブロック図を参照して説明されている。フローチャート及び/又はブロック図内の各プロセス及び/又は各ブロック、並びにフローチャート及び/又はブロック図内のプロセス及び/又はブロックの組み合わせを実施するために、コンピュータプログラム命令を使用することができることを理解されたい。これらのコンピュータプログラム命令は、汎用コンピュータ、専用コンピュータ、内臓プロセッサ、又はあらゆるその他のプログラマブルデータ処理デバイスに、マシンを生成するために提供されることができ、これにより、コンピュータ、又は、あらゆるその他のプログラマブルデータ処理デバイスのプロセッサが、フローチャートの1つ以上のフローにおける、及び/又は、ブロック図の1つ以上のブロックにおける、特定の機能を実施するデバイスを生成できるようになる。
これらのコンピュータプログラム命令を、コンピュータ又はあらゆるその他のプログラマブルデータ処理デバイスに特定の方法で機能するように命令することができるコンピュータ読取可能なメモリに記憶して、これらのコンピュータ読取可能なメモリに記憶された命令が、命令装置を含む製品を作り出すようにすることができる。この命令装置は、フローチャート内の1つ以上のフローにおける、及び/又はブロック図内の1つ以上のブロックにおける特定の機能を実施する。
これらのコンピュータプログラム命令をコンピュータ又はその他のプログラマブルデータ処理デバイスにロードして、コンピュータ又はその他のプログラマブルデバイス上で一連の操作及びステップが実行されるようにし、コンピュータで実施される処理を生成することができる。これにより、コンピュータ又はその他のプログラマブルデバイス上で実行される命令が、フローチャート内の1つ以上のフロー及び/又はブロック図内の1つ以上のブロックにおける特定の機能を実施するデバイスを提供することを可能とする。
典型的な構成では、コンピューティングデバイスは1つ以上のプロセッサ(CPU)、入出力インターフェース、ネットワークインターフェース、及びメモリを含む。
メモリは、揮発性メモリ、ランダムアクセスメモリ(RAM)、不揮発性メモリ及び/又はリードオンリーメモリ(ROM)やフラッシュメモリ(フラッシュRAM)のような他の形式のコンピュータ読み取り可能な媒体を含んでよい。メモリはコンピュータ読取可能な媒体の一例である。
コンピュータ読取可能な媒体には、任意の方法又は技術を用いて情報を記憶できる、永続的、非永続的、移動可能な、移動不能な媒体が含まれる。この情報はコンピュータ読取可能な命令、データ構造、プログラムモジュール、又はその他のデータであってよい。コンピュータの記憶媒体の例として、コンピューティングデバイスによってアクセスできる情報を記憶するために用いることが可能な、相変化ランダムアクセスメモリ(PRAM)、スタティックランダムアクセスメモリ(SRAM)、ダイナミックランダムアクセスメモリ(DRAM)、別タイプのランダムアクセスメモリ、リードオンリーメモリ(ROM)、電気的に消去可能でプログラム可能なROM(EEPROM)、フラッシュメモリ、又は別のメモリ技術、コンパクトディスクROM(CD−ROM)、デジタル多用途ディスク(DVD)、又は別の光学記憶装置、カセット、磁気テープ、テープ、ディスク媒体、他の磁気的記憶装置又はコンピュータ装置によってアクセスすることができる情報を格納するように構成することができる他の任意の非伝送媒体を含むが、これに限定されない。本願の定義に基づき、コンピュータ読取可能な媒体は、変調されたデータ信号及び搬送波のような一時的な媒体(transitory media)を含まない。
さらに、用語「含む」、「含有する」、又はこれらのその他任意の応用形は、非限定的な包含を網羅するものであるため、一連の要素を含んだ工程、方法、商品、デバイスはこれらの要素を含むだけでなく、ここで明確に挙げていないその他の要素をも含む、あるいは、このような工程、方法、物品、デバイスに固有の要素をさらに含むことができる点に留意することが重要である。「(1つの)〜を含む」との用語を付けて示された要素は、それ以上の制約がなければ、その要素を含んだ工程、方法、商品、デバイス内に別の同一の要素をさらに含むことを排除しない。
当業者は、本願の実施が方法、システム、コンピュータプログラム製品として提供され得ることを理解するはずである。そのため、本願は、ハードウェアのみの実施の形式、ソフトウェアのみの実施の形式、又は、ソフトウェアとハードウェアの組み合わせによる実施の形式を用いることができる。さらに、本願は、コンピュータで用いることができるプログラムコードを含んだ、1つ以上のコンピュータで使用可能な記憶媒体(磁気ディスクメモリ、CD−ROM、光学ディスク等を非限定的に含む)上で実施されるコンピュータプログラム製品の形態を用いることが可能である。
上述のものは本願の一実施の形態に過ぎず、本願を限定するものではない。当業者にとって、本願は様々な修正及び変更を加えることができる。本願の主旨及び原理から逸脱せずに為されるあらゆる修正、均等物による代替、改善は、本願の特許請求の範囲に含まれるものである。
401、501 監視モジュール
402、502 リスク管理処理モジュール
上述のものは本願の一実施の形態に過ぎず、本願を限定するものではない。当業者にとって、本願は様々な修正及び変更を加えることができる。本願の主旨及び原理から逸脱せずに為されるあらゆる修正、均等物による代替、改善は、本願の特許請求の範囲に含まれるものである。
以下、本発明の実施の態様の例を列挙する。
[第1の局面]
サービス操作リスクを管理するための方法であって:
オフラインサービス情報を呼び出すためにユーザによって開始されるサービス操作を、エンドユーザデバイス上のアプリケーションプログラムによって監視するステップと;
前記サービス操作が監視された後、記録された操作履歴データ、及び、所定のリスク評価規則とリスク評価モデルとのうちの少なくとも一方、に基づいて、前記サービス操作がリスクを伴う操作であるかどうかを特定するステップと;
肯定である場合に、前記オフラインサービス情報を呼び出すことを許可しないステップと;
そうでなければ、前記オフラインサービス情報を呼び出すステップと;を備える、
サービス操作リスクを管理するための方法。
[第2の局面]
前記サービス操作がリスクを伴う操作であるかどうかを特定する前記ステップは:
前記サービス操作に関連する第1の本人確認操作を特定するステップと;
前記第1の本人確認操作に対応する第1の確認方法、前記操作履歴データ、及び、所定のリスク評価規則とリスク評価モデルとのうちの少なくとも一方、に基づいて前記第1の本人確認操作のリスク特性値を特定するステップと;
前記リスク特性値と所定のリスク閾値とに基づいて、前記リスク特性値が前記所定のリスク閾値を超えるかどうかを特定するステップと;
肯定である場合、前記サービス操作を、リスクを伴う操作として特定するステップと;
そうでなければ、前記サービス操作を、リスクを伴わない操作として特定するステップと;を備える、
第1の局面に記載の方法。
[第3の局面]
前記サービス操作がリスクを伴う操作であるかどうかを特定する前記ステップは:
前記サービス操作に関連する第1の本人確認操作を特定するステップと;
前記第1の本人確認操作に対応する第1の確認方法、前記操作履歴データ、及び、所定のリスク評価規則とリスク評価モデルとのうちの少なくとも一方、に基づいて前記第1の本人確認操作のリスク特性値を特定するステップと;
前記リスク特性値が所定のリスク閾値を超える場合に、前記ユーザに対してバックアップ本人確認を開始し、前記バックアップ本人確認に基づいて前記ユーザによって実行される第2の本人確認操作を受信し、前記第2の本人確認操作に対応する第2の確認方法、前記操作履歴データ、及び、所定のリスク評価規則とリスク評価モデルとのうちの少なくとも一方に基づいて前記第2の本人確認操作のリスク特性値を特定し、前記第2の本人確認操作の前記リスク特性値が前記所定のリスク閾値を超えるかどうかを特定し、肯定である場合に、前記サービス操作を、リスクを伴う操作として特定し、そうでなければ、前記サービス操作を、リスクを伴わない操作として特定するステップ;又は、
前記リスク特性値が所定のリスク閾値を超えない場合に、前記サービス操作を、リスクを伴わない操作として特定するステップ;とを備える、
第1の局面に記載の方法。
[第4の局面]
前記ユーザに対してバックアップ本人確認を開始する前記ステップは:
前記第1の確認方法、及び、前記所定のリスク評価規則とリスク評価モデルとのうちの少なくとも一方、に基づいて所定の本人確認方法から第2の本人確認方法を選択するステップと;
前記選択された第2の本人確認方法を用いて、前記ユーザに対してバックアップ本人確認を開始するステップと;を備える、
第3の局面に記載の方法。
[第5の局面]
操作履歴データを記録する前記ステップは:
前記アプリケーションプログラム上で前記ユーザによって実行される操作を監視するステップと;
前記操作が監視された後で、前記操作に対応する操作データを特定し、前記操作データを、前記操作履歴データとして記録するステップと;を備え、
前記操作履歴データは、履歴時間内の本人確認の成功又は失敗の合計回数、所定期間内の本人確認の成功又は失敗の回数、オンラインサービスを用いる前記ユーザの挙動データ、オフラインサービスを用いる前記ユーザによる挙動データ、及びサービス環境データのうちの少なくとも1つを備える、
第1乃至4の局面のいずれかに記載の方法。
[第6の局面]
サービス操作リスクを管理するための方法であって:
ユーザによって開始されるオフライン決済操作を、クライアントソフトウェアによって監視するステップと;
前記オフライン決済操作が監視された後、記録された操作履歴データ、及び、前記所定のリスク評価規則とリスク評価モデルとのうちの少なくとも一方に基づいて、前記オフライン決済操作がリスクを伴う操作であるかどうかを特定するステップと;
肯定である場合、前記オフライン決済操作を許可しないステップと;
そうでなければ、前記オフライン決済操作を実行するステップと;を備える、
サービス操作リスクを管理するための方法。
[第7の局面]
前記オフライン決済操作がリスクを伴う操作であるかどうかを特定する前記ステップは:
前記オフライン決済操作に関連する確認操作を特定するステップと;
前記確認操作に対応する確認方法、前記操作履歴データ、及び、前記所定のリスク評価規則とリスク評価モデルとのうちの少なくとも一方に基づいて前記確認操作のリスク特性値を特定するステップと;
前記リスク特性値と所定のリスク閾値とに基づいて、前記リスク特性値が前記所定のリスク閾値を超えるかどうかを特定するステップと;
肯定である場合に、前記オフライン決済操作を、リスクを伴う操作として特定するステップと;
そうでなければ、前記オフライン決済操作を、リスクを伴わない操作として特定するステップと;を備える、
第6の局面に記載の方法。
[第8の局面]
前記オフライン決済操作がリスクを伴う操作であるかどうかを特定する前記ステップは:
前記オフライン決済操作に関連する確認操作を特定するステップと;
前記確認操作に対応する確認方法、前記操作履歴データ、及び、前記所定のリスク評価規則とリスク評価モデルとのうちの少なくとも一方に基づいて前記確認操作のリスク特性値を特定するステップと;
前記リスク特性値が所定のリスク閾値を超える場合に、前記ユーザに対してバックアップ本人確認を開始し、前記バックアップ本人確認に基づいて前記ユーザによって実行される本人確認操作を受信し、前記本人確認操作に対応する確認方法、前記操作履歴データ、及び、前記所定のリスク評価規則とリスク評価モデルとのうちの少なくとも一方に基づいて前記本人確認操作のリスク特性値を特定し、前記本人確認操作の前記リスク特性値が前記所定のリスク閾値を超えるかどうかを特定し、肯定である場合に、前記オフライン決済操作を、リスクを伴う操作として特定し、そうでなければ、前記オフライン決済操作を、リスクを伴わない操作として特定するステップ;又は、
前記リスク特性値が所定のリスク閾値を超えない場合に、前記オフライン決済操作を、リスクを伴わない操作として特定するステップ;を備える、
第6の局面に記載の方法。
[第9の局面]
前記ユーザに対してバックアップ本人確認を開始する前記ステップは:
前記確認方法、及び、前記所定のリスク評価規則とリスク評価モデルとのうちの少なくとも一方に基づいて所定の本人確認方法から前記確認方法とは異なる本人確認方法を選択するステップと;
前記選択された本人確認方法を用いて、前記ユーザに対してバックアップ本人確認を開始するステップと;を備える、
第8の局面に記載の方法。
[第10の局面]
操作履歴データを記録する前記ステップは:
前記クライアントソフトウェア上で前記ユーザによって実行される操作を、前記クライアントソフトウェアによって監視するステップと;
前記操作が監視された後で、前記操作に対応する操作データを特定し、前記操作データを前記操作履歴データとして記録するステップと;を備え、
前記操作履歴データは、履歴時間内の本人確認の成功又は失敗の合計回数、所定期間内の本人確認の成功又は失敗の回数、オンラインサービスを用いる前記ユーザの挙動データ、オフラインサービスを用いる前記ユーザの挙動データ、及び、サービス環境データのうちの少なくとも1つを備える、
第6乃至9の局面のいずれかに記載の方法。
[第11の局面]
サービス操作リスクを管理するためのデバイスであって:
オフラインサービス情報を呼び出すためにユーザが開始するサービス操作を監視するよう構成された監視モジュールと;
前記監視モジュールが前記サービス操作を監視した後、記録された操作履歴データ、及び、前記所定のリスク評価規則とリスク評価モデルとのうちの少なくとも一方、に基づいて、前記サービス操作がリスクを伴う操作であるかどうかを特定し、肯定である場合、前記オフラインサービス情報を呼び出すことを許可せず、そうでなければ、前記オフラインサービス情報を呼び出すよう構成されたリスク管理処理モジュールと;を備える、
サービス操作リスクを管理するためのデバイス。
[第12の局面]
サービス操作リスクを管理するためのデバイスであって:
ユーザが開始するオフライン決済操作を監視するよう構成された監視モジュールと;
前記監視モジュールが前記オフライン決済操作を監視した後、記録された操作履歴データ、及び、前記所定のリスク評価規則とリスク評価モデルとのうちの少なくとも一方、に基づいて、前記オフライン決済操作がリスクを伴う操作であるかどうかを特定し、肯定である場合に、前記オフライン決済操作を許可せず、そうでなければ、前記オフライン決済操作を実行するよう構成されたリスク管理処理モジュールと;を備える、
サービス操作リスクを管理するためのデバイス。

Claims (12)

  1. サービス操作リスクを管理するための方法であって:
    オフラインサービス情報を呼び出すためにユーザによって開始されるサービス操作を、エンドユーザデバイス上のアプリケーションプログラムによって監視するステップと;
    前記サービス操作が監視された後、記録された操作履歴データ、及び、所定のリスク評価規則とリスク評価モデルとのうちの少なくとも一方、に基づいて、前記サービス操作がリスクを伴う操作であるかどうかを特定するステップと;
    肯定である場合に、前記オフラインサービス情報を呼び出すことを許可しないステップと;
    そうでなければ、前記オフラインサービス情報を呼び出すステップと;を備える、
    サービス操作リスクを管理するための方法。
  2. 前記サービス操作がリスクを伴う操作であるかどうかを特定する前記ステップは:
    前記サービス操作に関連する第1の本人確認操作を特定するステップと;
    前記第1の本人確認操作に対応する第1の確認方法、前記操作履歴データ、及び、所定のリスク評価規則とリスク評価モデルとのうちの少なくとも一方、に基づいて前記第1の本人確認操作のリスク特性値を特定するステップと;
    前記リスク特性値と所定のリスク閾値とに基づいて、前記リスク特性値が前記所定のリスク閾値を超えるかどうかを特定するステップと;
    肯定である場合、前記サービス操作を、リスクを伴う操作として特定するステップと;
    そうでなければ、前記サービス操作を、リスクを伴わない操作として特定するステップと;を備える、
    請求項1に記載の方法。
  3. 前記サービス操作がリスクを伴う操作であるかどうかを特定する前記ステップは:
    前記サービス操作に関連する第1の本人確認操作を特定するステップと;
    前記第1の本人確認操作に対応する第1の確認方法、前記操作履歴データ、及び、所定のリスク評価規則とリスク評価モデルとのうちの少なくとも一方、に基づいて前記第1の本人確認操作のリスク特性値を特定するステップと;
    前記リスク特性値が所定のリスク閾値を超える場合に、前記ユーザに対してバックアップ本人確認を開始し、前記バックアップ本人確認に基づいて前記ユーザによって実行される第2の本人確認操作を受信し、前記第2の本人確認操作に対応する第2の確認方法、前記操作履歴データ、及び、所定のリスク評価規則とリスク評価モデルとのうちの少なくとも一方に基づいて前記第2の本人確認操作のリスク特性値を特定し、前記第2の本人確認操作の前記リスク特性値が前記所定のリスク閾値を超えるかどうかを特定し、肯定である場合に、前記サービス操作を、リスクを伴う操作として特定し、そうでなければ、前記サービス操作を、リスクを伴わない操作として特定するステップ;又は、
    前記リスク特性値が所定のリスク閾値を超えない場合に、前記サービス操作を、リスクを伴わない操作として特定するステップ;とを備える、
    請求項1に記載の方法。
  4. 前記ユーザに対してバックアップ本人確認を開始する前記ステップは:
    前記第1の確認方法、及び、前記所定のリスク評価規則とリスク評価モデルとのうちの少なくとも一方、に基づいて所定の本人確認方法から第2の本人確認方法を選択するステップと;
    前記選択された第2の本人確認方法を用いて、前記ユーザに対してバックアップ本人確認を開始するステップと;を備える、
    請求項3に記載の方法。
  5. 操作履歴データを記録する前記ステップは:
    前記アプリケーションプログラム上で前記ユーザによって実行される操作を監視するステップと;
    前記操作が監視された後で、前記操作に対応する操作データを特定し、前記操作データを、前記操作履歴データとして記録するステップと;を備え、
    前記操作履歴データは、履歴時間内の本人確認の成功又は失敗の合計回数、所定期間内の本人確認の成功又は失敗の回数、オンラインサービスを用いる前記ユーザの挙動データ、オフラインサービスを用いる前記ユーザによる挙動データ、及びサービス環境データのうちの少なくとも1つを備える、
    請求項1乃至請求項4のいずれか1項に記載の方法。
  6. サービス操作リスクを管理するための方法であって:
    ユーザによって開始されるオフライン決済操作を、クライアントソフトウェアによって監視するステップと;
    前記オフライン決済操作が監視された後、記録された操作履歴データ、及び、前記所定のリスク評価規則とリスク評価モデルとのうちの少なくとも一方に基づいて、前記オフライン決済操作がリスクを伴う操作であるかどうかを特定するステップと;
    肯定である場合、前記オフライン決済操作を許可しないステップと;
    そうでなければ、前記オフライン決済操作を実行するステップと;を備える、
    サービス操作リスクを管理するための方法。
  7. 前記オフライン決済操作がリスクを伴う操作であるかどうかを特定する前記ステップは:
    前記オフライン決済操作に関連する確認操作を特定するステップと;
    前記確認操作に対応する確認方法、前記操作履歴データ、及び、前記所定のリスク評価規則とリスク評価モデルとのうちの少なくとも一方に基づいて前記確認操作のリスク特性値を特定するステップと;
    前記リスク特性値と所定のリスク閾値とに基づいて、前記リスク特性値が前記所定のリスク閾値を超えるかどうかを特定するステップと;
    肯定である場合に、前記オフライン決済操作を、リスクを伴う操作として特定するステップと;
    そうでなければ、前記オフライン決済操作を、リスクを伴わない操作として特定するステップと;を備える、
    請求項6に記載の方法。
  8. 前記オフライン決済操作がリスクを伴う操作であるかどうかを特定する前記ステップは:
    前記オフライン決済操作に関連する確認操作を特定するステップと;
    前記確認操作に対応する確認方法、前記操作履歴データ、及び、前記所定のリスク評価規則とリスク評価モデルとのうちの少なくとも一方に基づいて前記確認操作のリスク特性値を特定するステップと;
    前記リスク特性値が所定のリスク閾値を超える場合に、前記ユーザに対してバックアップ本人確認を開始し、前記バックアップ本人確認に基づいて前記ユーザによって実行される本人確認操作を受信し、前記本人確認操作に対応する確認方法、前記操作履歴データ、及び、前記所定のリスク評価規則とリスク評価モデルとのうちの少なくとも一方に基づいて前記本人確認操作のリスク特性値を特定し、前記本人確認操作の前記リスク特性値が前記所定のリスク閾値を超えるかどうかを特定し、肯定である場合に、前記オフライン決済操作を、リスクを伴う操作として特定し、そうでなければ、前記オフライン決済操作を、リスクを伴わない操作として特定するステップ;又は、
    前記リスク特性値が所定のリスク閾値を超えない場合に、前記オフライン決済操作を、リスクを伴わない操作として特定するステップ;を備える、
    請求項6に記載の方法。
  9. 前記ユーザに対してバックアップ本人確認を開始する前記ステップは:
    前記確認方法、及び、前記所定のリスク評価規則とリスク評価モデルとのうちの少なくとも一方に基づいて所定の本人確認方法から前記確認方法とは異なる本人確認方法を選択するステップと;
    前記選択された本人確認方法を用いて、前記ユーザに対してバックアップ本人確認を開始するステップと;を備える、
    請求項8に記載の方法。
  10. 操作履歴データを記録する前記ステップは:
    前記クライアントソフトウェア上で前記ユーザによって実行される操作を、前記クライアントソフトウェアによって監視するステップと;
    前記操作が監視された後で、前記操作に対応する操作データを特定し、前記操作データを前記操作履歴データとして記録するステップと;を備え、
    前記操作履歴データは、履歴時間内の本人確認の成功又は失敗の合計回数、所定期間内の本人確認の成功又は失敗の回数、オンラインサービスを用いる前記ユーザの挙動データ、オフラインサービスを用いる前記ユーザの挙動データ、及び、サービス環境データのうちの少なくとも1つを備える、
    請求項6乃至請求項9のいずれか1項に記載の方法。
  11. サービス操作リスクを管理するためのデバイスであって:
    オフラインサービス情報を呼び出すためにユーザが開始するサービス操作を監視するよう構成された監視モジュールと;
    前記監視モジュールが前記サービス操作を監視した後、記録された操作履歴データ、及び、前記所定のリスク評価規則とリスク評価モデルとのうちの少なくとも一方、に基づいて、前記サービス操作がリスクを伴う操作であるかどうかを特定し、肯定である場合、前記オフラインサービス情報を呼び出すことを許可せず、そうでなければ、前記オフラインサービス情報を呼び出すよう構成されたリスク管理処理モジュールと;を備える、
    サービス操作リスクを管理するためのデバイス。
  12. サービス操作リスクを管理するためのデバイスであって:
    ユーザが開始するオフライン決済操作を監視するよう構成された監視モジュールと;
    前記監視モジュールが前記オフライン決済操作を監視した後、記録された操作履歴データ、及び、前記所定のリスク評価規則とリスク評価モデルとのうちの少なくとも一方、に基づいて、前記オフライン決済操作がリスクを伴う操作であるかどうかを特定し、肯定である場合に、前記オフライン決済操作を許可せず、そうでなければ、前記オフライン決済操作を実行するよう構成されたリスク管理処理モジュールと;を備える、
    サービス操作リスクを管理するためのデバイス。
JP2019503331A 2016-07-22 2017-07-14 サービス操作リスクを管理するための方法及びデバイス Active JP6783923B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201610587509.XA CN107645482B (zh) 2016-07-22 2016-07-22 一种针对业务操作的风险控制方法及装置
CN201610587509.X 2016-07-22
PCT/CN2017/092942 WO2018014789A1 (zh) 2016-07-22 2017-07-14 一种针对业务操作的风险控制方法及装置

Publications (2)

Publication Number Publication Date
JP2019521455A true JP2019521455A (ja) 2019-07-25
JP6783923B2 JP6783923B2 (ja) 2020-11-11

Family

ID=60991960

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019503331A Active JP6783923B2 (ja) 2016-07-22 2017-07-14 サービス操作リスクを管理するための方法及びデバイス

Country Status (8)

Country Link
US (3) US20190156342A1 (ja)
EP (1) EP3490215B1 (ja)
JP (1) JP6783923B2 (ja)
KR (1) KR102220083B1 (ja)
CN (1) CN107645482B (ja)
SG (1) SG11201900533RA (ja)
TW (1) TWI699720B (ja)
WO (1) WO2018014789A1 (ja)

Families Citing this family (41)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110120964B (zh) * 2018-02-07 2022-07-08 北京三快在线科技有限公司 用户行为监控方法和装置以及计算设备
CN108446821A (zh) * 2018-02-07 2018-08-24 中国平安人寿保险股份有限公司 风险监控的方法、装置、存储介质及终端
CN108615158B (zh) * 2018-03-22 2022-09-30 平安科技(深圳)有限公司 风险检测方法、装置、移动终端和存储介质
CN110300062B (zh) * 2018-03-23 2023-05-30 阿里巴巴集团控股有限公司 风控实现方法和系统
CN110533269B (zh) * 2018-05-23 2023-05-16 阿里巴巴集团控股有限公司 业务风险防控方法及装置
CN108875388A (zh) * 2018-05-31 2018-11-23 康键信息技术(深圳)有限公司 实时风险控制方法、装置及计算机可读存储介质
CN109002958A (zh) * 2018-06-06 2018-12-14 阿里巴巴集团控股有限公司 一种风险识别的方法、系统、装置及设备
CN109165940B (zh) * 2018-06-28 2022-08-09 创新先进技术有限公司 一种防盗方法、装置及电子设备
CN108985072A (zh) 2018-07-16 2018-12-11 北京百度网讯科技有限公司 操作防御方法、装置、设备及计算机可读介质
CN110798432A (zh) * 2018-08-03 2020-02-14 京东数字科技控股有限公司 安全认证方法、装置和系统,移动终端
CN109359972B (zh) * 2018-08-15 2020-10-30 创新先进技术有限公司 核身产品推送及核身方法和系统
CN108876600B (zh) * 2018-08-20 2023-09-05 平安科技(深圳)有限公司 预警信息推送方法、装置、计算机设备和介质
CN109344583B (zh) * 2018-08-22 2020-10-23 创新先进技术有限公司 阈值确定及核身方法、装置、电子设备及存储介质
CN109377390A (zh) * 2018-09-20 2019-02-22 阿里巴巴集团控股有限公司 养老风险评估方法及装置
CN109471782A (zh) * 2018-11-20 2019-03-15 北京芯盾时代科技有限公司 一种风险检测系统以及风险检测方法
CN109327473B (zh) * 2018-12-03 2021-10-01 北京工业大学 一种基于区块链技术的身份认证系统
CN109859030A (zh) * 2019-01-16 2019-06-07 深圳壹账通智能科技有限公司 基于用户行为的风险评估方法、装置、存储介质和服务器
CN111490964B (zh) * 2019-01-28 2023-09-05 北京京东尚科信息技术有限公司 安全认证方法、装置及终端
JP7234699B2 (ja) * 2019-03-05 2023-03-08 ブラザー工業株式会社 アプリケーションプログラムおよび情報処理装置
JP7215234B2 (ja) 2019-03-05 2023-01-31 ブラザー工業株式会社 アプリケーションプログラムおよび情報処理装置
CN110263530B (zh) * 2019-05-30 2023-12-08 创新先进技术有限公司 密码重置请求的鉴别方法与装置
CN110427971A (zh) * 2019-07-05 2019-11-08 五八有限公司 用户及ip的识别方法、装置、服务器和存储介质
CN112418259B (zh) * 2019-08-22 2023-05-26 上海哔哩哔哩科技有限公司 一种基于直播过程中用户行为的实时规则的配置方法、计算机设备及可读存储介质
CN110633915A (zh) * 2019-09-24 2019-12-31 北京明略软件系统有限公司 一种高危场所识别方法及装置
CN110647738B (zh) * 2019-09-29 2021-09-03 武汉极意网络科技有限公司 业务风控适配方法、装置、设备及存储介质
CN111047423A (zh) * 2019-11-01 2020-04-21 支付宝(杭州)信息技术有限公司 一种风险确定方法、装置及电子设备
CN111786936A (zh) * 2019-11-27 2020-10-16 北京沃东天骏信息技术有限公司 用于鉴权的方法和装置
CN111400168B (zh) * 2020-02-21 2023-10-20 中国平安财产保险股份有限公司 智能软件风控方法、电子装置及计算机可读存储介质
US11914719B1 (en) 2020-04-15 2024-02-27 Wells Fargo Bank, N.A. Systems and methods for cyberthreat-risk education and awareness
CN111581061A (zh) * 2020-05-15 2020-08-25 海信集团有限公司 服务下线方法、装置及设备
CN111639318A (zh) * 2020-05-26 2020-09-08 深圳壹账通智能科技有限公司 移动终端上基于手势监测的风控方法及相关装置
CN112232811B (zh) * 2020-10-12 2023-10-24 中钞信用卡产业发展有限公司 一种降低离线支付风险的方法和系统
CN113162912A (zh) * 2021-03-12 2021-07-23 中航智能建设(深圳)有限公司 基于大数据的网络安全保护方法、系统及存储设备
CN112966243B (zh) * 2021-03-30 2022-09-09 支付宝(杭州)信息技术有限公司 保护隐私的核身校验处理方法及装置
CN112948824B (zh) * 2021-03-31 2022-04-26 支付宝(杭州)信息技术有限公司 一种基于隐私保护的程序通信方法、装置及设备
CN113409051B (zh) * 2021-05-20 2022-05-24 支付宝(杭州)信息技术有限公司 针对目标业务的风险识别方法及装置
CN114971116B (zh) * 2021-05-24 2023-08-18 中移互联网有限公司 一种追踪风险终端的方法和装置
CN113627208B (zh) * 2021-08-17 2024-04-05 上海源慧信息科技股份有限公司 一种扫码登陆预警方法、装置、计算机设备和存储介质
CN114615034B (zh) * 2022-03-01 2023-09-29 中铁第四勘察设计院集团有限公司 业务传输的控制方法、装置、处理设备及存储介质
CN116232720B (zh) * 2023-03-02 2024-01-16 国网河南省电力公司信息通信分公司 一种api接口加密认证方法及存储装置
CN116881956B (zh) * 2023-09-08 2024-01-09 国网信息通信产业集团有限公司 一种面向多云资源管理的权限管理方法及装置

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004030176A (ja) * 2002-06-25 2004-01-29 Nec Infrontia Corp 指紋決済システム、方法及びプログラム
JP2004240645A (ja) * 2003-02-05 2004-08-26 Ufj Bank Ltd 本人認証システム及び本人認証の方法
JPWO2004066159A1 (ja) * 2003-01-20 2006-05-18 富士通株式会社 認証情報処理方法
JP2007018436A (ja) * 2005-07-11 2007-01-25 Mizuho Bank Ltd 本人認証方法、本人認証システム及び記録媒体
US20090164373A1 (en) * 2007-12-21 2009-06-25 Mastercard International, Inc. System and Method of Preventing Password Theft
JP2010152506A (ja) * 2008-12-24 2010-07-08 Hitachi Omron Terminal Solutions Corp 利用者認証端末、認証システム、利用者認証方法、および利用者認証プログラム
CN105592014A (zh) * 2014-10-24 2016-05-18 阿里巴巴集团控股有限公司 一种可信终端验证方法、装置

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020086695A (ko) * 2000-03-24 2002-11-18 알티코 인크. 부정 트랜잭션을 검출하기 위한 시스템 및 방법
US7908645B2 (en) * 2005-04-29 2011-03-15 Oracle International Corporation System and method for fraud monitoring, detection, and tiered user authentication
US20120204257A1 (en) * 2006-04-10 2012-08-09 International Business Machines Corporation Detecting fraud using touchscreen interaction behavior
US8739278B2 (en) * 2006-04-28 2014-05-27 Oracle International Corporation Techniques for fraud monitoring and detection using application fingerprinting
US8595834B2 (en) * 2008-02-04 2013-11-26 Samsung Electronics Co., Ltd Detecting unauthorized use of computing devices based on behavioral patterns
US8590021B2 (en) * 2009-01-23 2013-11-19 Microsoft Corporation Passive security enforcement
US9824199B2 (en) * 2011-08-25 2017-11-21 T-Mobile Usa, Inc. Multi-factor profile and security fingerprint analysis
WO2013082190A1 (en) * 2011-11-28 2013-06-06 Visa International Service Association Transaction security graduated seasoning and risk shifting apparatuses, methods and systems
US20130304677A1 (en) * 2012-05-14 2013-11-14 Qualcomm Incorporated Architecture for Client-Cloud Behavior Analyzer
CN103279883B (zh) * 2013-05-02 2016-06-08 上海携程商务有限公司 电子支付交易风险控制方法及系统
CN103745397A (zh) * 2014-01-27 2014-04-23 上海坤士合生信息科技有限公司 基于位置场景识别实现电子交易风险控制的系统及方法
US9684787B2 (en) * 2014-04-08 2017-06-20 Qualcomm Incorporated Method and system for inferring application states by performing behavioral analysis operations in a mobile device
WO2015179637A1 (en) * 2014-05-21 2015-11-26 Visa International Service Association Offline authentication
CN104318138B (zh) * 2014-09-30 2018-05-08 杭州同盾科技有限公司 一种验证用户身份的方法和装置
CN104794616A (zh) * 2015-05-11 2015-07-22 易联支付有限公司 一种手机支付安全验证方法
CN105279405B (zh) * 2015-10-28 2018-06-26 同济大学 触屏用户按键行为模式构建与分析系统及其身份识别方法
CN106878236A (zh) * 2015-12-11 2017-06-20 阿里巴巴集团控股有限公司 一种用户请求处理方法和设备
CN105512938A (zh) * 2016-02-03 2016-04-20 宜人恒业科技发展(北京)有限公司 一种基于用户长期使用行为的在线信用风险评估方法
EP3208759B1 (en) * 2016-02-18 2020-01-29 AO Kaspersky Lab System and method of detecting fraudulent user transactions

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004030176A (ja) * 2002-06-25 2004-01-29 Nec Infrontia Corp 指紋決済システム、方法及びプログラム
JPWO2004066159A1 (ja) * 2003-01-20 2006-05-18 富士通株式会社 認証情報処理方法
JP2004240645A (ja) * 2003-02-05 2004-08-26 Ufj Bank Ltd 本人認証システム及び本人認証の方法
JP2007018436A (ja) * 2005-07-11 2007-01-25 Mizuho Bank Ltd 本人認証方法、本人認証システム及び記録媒体
US20090164373A1 (en) * 2007-12-21 2009-06-25 Mastercard International, Inc. System and Method of Preventing Password Theft
JP2010152506A (ja) * 2008-12-24 2010-07-08 Hitachi Omron Terminal Solutions Corp 利用者認証端末、認証システム、利用者認証方法、および利用者認証プログラム
CN105592014A (zh) * 2014-10-24 2016-05-18 阿里巴巴集团控股有限公司 一种可信终端验证方法、装置

Also Published As

Publication number Publication date
EP3490215A4 (en) 2019-07-31
US20190156342A1 (en) 2019-05-23
KR102220083B1 (ko) 2021-03-02
EP3490215A1 (en) 2019-05-29
CN107645482A (zh) 2018-01-30
JP6783923B2 (ja) 2020-11-11
TW201804397A (zh) 2018-02-01
US20200134630A1 (en) 2020-04-30
SG11201900533RA (en) 2019-02-27
TWI699720B (zh) 2020-07-21
EP3490215B1 (en) 2021-09-22
WO2018014789A1 (zh) 2018-01-25
CN107645482B (zh) 2020-08-07
US20200242614A1 (en) 2020-07-30
KR20190031545A (ko) 2019-03-26

Similar Documents

Publication Publication Date Title
JP6783923B2 (ja) サービス操作リスクを管理するための方法及びデバイス
US10007914B2 (en) Fraud detection employing personalized fraud detection rules
EP3468134B1 (en) Method and device for identity authentication
EP2199940A2 (en) Methods and systems for detecting man-in-the-browser attacks
US10474843B2 (en) Identifying stolen databases
US9235840B2 (en) Electronic transaction notification system and method
US20230237490A1 (en) Authentication transaction
TW202009834A (zh) 核身產品推送及核身方法和系統
US11276069B2 (en) Risk payment processing method and apparatus, and device
CN110738473A (zh) 风控方法、系统、装置及设备
CN112651040A (zh) 权限申请方法、组件、装置及计算机可读存储介质
CN110032846B (zh) 身份数据的防误用方法及装置、电子设备
KR20230007346A (ko) 모바일 운영 체제 내의 응용프로그램 기반 판매시점관리 시스템
KR20230013019A (ko) 모바일 운영 체제에서 응용프로그램 간 통신의 활성화
US20230004971A1 (en) Dynamic online banking honeypot account system
US11328050B2 (en) Measured execution of trusted agents in a resource constrained environment with proof of work
CN116451280A (zh) 基于区块链的资产管理方法和装置
JP6542672B2 (ja) オンライン取引プラットフォームのアカウントを制御すること
CN111741115B (zh) 一种业务处理方法、装置、系统及电子设备
CN113254108A (zh) 基于小程序的门店操作方法及装置、电子设备、存储介质
US20230401583A1 (en) Method to detect and obstruct fraudulent transactions
CN111683092B (zh) 一种工作流提交方法、装置、设备和存储介质
CN115208581A (zh) 一种应用信息处理方法及装置、电子设备、存储介质
WO2023203543A1 (en) Method and system for determining at least one right associated with at least one given computing node
CN113988832A (zh) 认证方式的安全评估方法、装置、计算机设备和存储介质

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190320

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190320

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20191114

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200107

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200403

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20200605

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200923

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20201022

R150 Certificate of patent or registration of utility model

Ref document number: 6783923

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250