RU2723679C1

RU2723679C1 - Method and system for dynamic authentication and user risk assessment

Info

Publication number: RU2723679C1
Application number: RU2019140446A
Authority: RU
Inventors: Павел Сергеевич Большаков
Original assignee: Павел Сергеевич Большаков
Priority date: 2019-12-09
Filing date: 2019-12-09
Publication date: 2020-06-17
Also published as: WO2021118399A1

Abstract

FIELD: computer equipment.SUBSTANCE: present technical solution relates to computer engineering. Method for dynamic authentication and user risk assessment on a web resource and/or in a mobile application, in which a threshold value of trust rating is established for user authentication, user devices are registered, during which non-personal data of user devices are collected, at the moment of connection, collecting non-personal data on the user device, processing the collected information by means of its comparison with data stored in the authentication system, forming a reference set of trust parameters for authentication, value of confidence rating is determined and decision is made to grant user access to said web resource and/or mobile application.EFFECT: high security of user data when performing an authentication process by calculating a rating of user confidence solely by descriptors of their non-personal data and data of user devices, which are used to request access.9 cl, 4 dwg

Description

ОБЛАСТЬ ТЕХНИКИFIELD OF TECHNOLOGY

Настоящее техническое решение относится к области компьютерной техники, в частности к способу и системе для осуществления динамической аутентификации и оценки риска пользователя для обеспечения его доступа к веб-ресурсам и/или мобильным приложениям. This technical solution relates to the field of computer technology, in particular to a method and system for performing dynamic authentication and risk assessment of a user to ensure his access to web resources and / or mobile applications.

УРОВЕНЬ ТЕХНИКИBACKGROUND

Бурное развитие компьютерных технологий в последнее десятилетие, а также широкое распространение разнообразных вычислительных устройств (персональных компьютеров, ноутбуков, смартфонов и т.д.) стали мощным стимулом для использования упомянутых устройств в разнообразных сферах деятельности и для огромного количества задач (от интернет-сёрфинга до электронного документооборота и банковской деятельности). Параллельно с увеличением деятельности пользователей с использованием упомянутых вычислительных устройств через компьютерные сети росли и требования к такого рода деятельности – увеличению количества предоставляемых сервисов, увеличению скорости их работы, повышению уровня безопасности. Например, работа пользователя со своими финансами через банковский личный кабинет требует обеспечения безопасности и конфиденциальности данных, доступных из личного кабинета, быстрой авторизации пользователя в личном кабинете, а также быстрой реакции на действия, осуществляемые пользователем.The rapid development of computer technology in the last decade, as well as the widespread dissemination of a variety of computing devices (personal computers, laptops, smartphones, etc.) have become a powerful incentive for using these devices in various fields of activity and for a huge number of tasks (from Internet surfing to electronic document management and banking). In parallel with the increase in user activity using the aforementioned computing devices through computer networks, the requirements for this type of activity also increased - an increase in the number of services provided, an increase in the speed of their work, and an increase in the level of security. For example, a user’s work with his finances through a bank account requires the security and confidentiality of data available from his account, quick user authorization in his account, as well as a quick reaction to user actions.

В современном мире использование недостаточно безопасных средств обмена данными между клиентами и удалёнными сервисами способно привести к огромным материальным и финансовым потерям. В финансовом секторе само использование персональных данных создаёт большие сложности по их защите − например, подмена персональных данных пользователей может обернуться потерей денег клиентов банков; в финансовом секторе неверная информация может привести к многомиллиардным убыткам и парализации работы фондовых бирж; в страховом секторе поддельная информация может стать причиной незаконных выплат и, как следствие, убытков страховых компаний. Поэтому в настоящее время на первое место выходит оценка уровня риска от действий, осуществляемых пользователем, или данных, предоставляемых пользователем. Например, для разрешения некоторых финансовых операций пользователей (к примеру, выдачу кредитов) предварительно производится оценка вероятности того, что предоставленные данные пользователя соответствуют именно этому пользователю и что упомянутый кредит будет выплачен пользователем.In the modern world, the use of insufficiently secure means of exchanging data between clients and remote services can lead to huge material and financial losses. In the financial sector, the very use of personal data creates great difficulties in protecting them - for example, replacing users' personal data can result in a loss of money from bank customers; in the financial sector, incorrect information can lead to multibillion-dollar losses and paralysis of stock exchanges; in the insurance sector, fake information can cause illegal payments and, as a result, losses of insurance companies. Therefore, at present, the assessment of the level of risk from the actions performed by the user or the data provided by the user comes first. For example, to resolve some financial transactions of users (for example, issuing loans), a preliminary assessment is made of the probability that the provided user data corresponds to this particular user and that the said loan will be paid by the user.

Для решения описанных задач используются разнообразные скоринговые модели (англ. credit score), каждая из которых обладает своими плюсами и минусами – одни способны вычислить очень точные оценки, но работают очень долго или требуют большого количества ресурсов, другим для работы требуются персональные данные пользователей, которые могут быть скомпрометированы или к которым может быть осуществлён несанкционированный доступ (зачастую такие данные просто запрещено передавать и хранить в рамках законодательства стран, в которых работают пользователи). При этом часто встречаемая проблема заключается в недоступности данных для эффективной работы упомянутых скоринговых моделей, например, наличие информативной кредитной истории по пользователям, запрашивающим кредит онлайн, составляет в среднем 70-85%, а наличие информативных данных в социальных сетях – 60-80%.To solve the described problems, various scoring models are used (English credit score), each of which has its own pros and cons - some are able to calculate very accurate estimates, but they work for a very long time or require a large amount of resources, others require personal user data, which can be compromised or to which unauthorized access can be made (often such data is simply forbidden to transmit and store under the laws of the countries in which users work). Moreover, a frequently encountered problem is the inaccessibility of data for the effective operation of the mentioned scoring models, for example, the availability of informative credit history for users requesting a loan online is on average 70-85%, and the availability of informative data on social networks is 60-80%.

В патенте США US 8560436 описана технология компьютеризированной оценки кредитного риска заёмщика в условиях онлайн-кредитования. С этой целью упомянутый сервис собирает данные о заёмщике в социальных сетях и формирует на основании собранных данных оценку профиля заёмщика на основании заранее заданных правил и установленных перекрёстных связей, определённых по собранным данным.US Pat. No. 8,560,436 describes a computerized technology for assessing a borrower's credit risk in online lending. To this end, the said service collects data about the borrower in social networks and generates, based on the collected data, an assessment of the profile of the borrower based on predefined rules and established cross-links determined by the collected data.

В другом патенте США US 9684905 описана технология верификации пользовательских данных. С этой целью, по запросу, выполняют проверку актива потребителя, для чего выполняют анализ конфиденциальных данных потребителя и связанных с ними косвенных данных. На основании параметров актива (тип, стоимость и т. д.) и проанализированных данных потребителя выносят решение о том, что пользовательские данные успешно прошли верификацию.Another US patent US 9684905 describes a technology for verifying user data. To this end, upon request, they verify the consumer’s asset, for which they analyze the consumer’s confidential data and related indirect data. Based on the parameters of the asset (type, value, etc.) and the analyzed consumer data, it is decided that the user data has successfully passed verification.

Описанные выше технологии хорошо справляются с задачами проверки пользователей, данных, предоставляемых пользователями и т. д., но при этом для своей работы требуют конфиденциальных или персональных данных пользователей, а также могут занимать значительное время.The technologies described above cope well with the tasks of verifying users, data provided by users, etc., but at the same time require confidential or personal user data for their work, and can also take considerable time.

Важным аспектом развития компьютерных технологий является возможность использования не только данных, предоставляемых непосредственно пользователем, но также информации, которая является неперсональной (деперсонифицированной) и позволяет осуществить оценку возможности доступа на основании расчета параметров доверия устройств без возможности утери или перехвата персональных данных пользователя. An important aspect of the development of computer technology is the ability to use not only data provided directly by the user, but also information that is non-personal (depersonalized) and allows you to assess access based on the calculation of device trust parameters without the possibility of losing or intercepting user personal data.

Быстрый рост интернет-бизнеса определяется конкурентными преимуществами интернет-подобия – способностью общаться с огромным количеством клиентов без значительных капитальных затрат и способностью вести бизнес с более низкими эксплуатационными расходами. В то же время предприниматели, которые запускают онлайн-бизнес или переносят свою офлайн-деятельность в Интернет, допускают значительные риски, связанные с развитием бизнеса в информационно-коммуникационной сети, такие как, мошеннические заявления и платежи, кражи личных данных и репутационные риски. По мере того, как в интернете растет популярность, возможности предотвращения мошенничества и правильной идентификации клиентов становятся важными аспектами бизнес сферы в таких областях, как онлайн-банкинг, страхование, электронная коммерция, электронная торговля, онлайн-игры, социальные сети. В настоящее время существует несколько ключевых способов предотвращения мошенничества и аутентификации пользователей:The rapid growth of Internet business is determined by the competitive advantages of Internet similarity - the ability to communicate with a huge number of customers without significant capital costs and the ability to conduct business with lower operating costs. At the same time, entrepreneurs who start an online business or transfer their offline activities to the Internet face significant risks associated with the development of a business in the information and communication network, such as fraudulent applications and payments, identity theft and reputation risks. As the Internet grows in popularity, fraud prevention and customer identification capabilities are becoming important aspects of the business sphere in areas such as online banking, insurance, e-commerce, e-commerce, online games, social networks. There are currently several key ways to prevent fraud and authenticate users:

1) Пароли. Логины и пароли являются основой текущей системы аутентификации.1) Passwords. Logins and passwords are the basis of the current authentication system.

К сожалению, значительная часть наших логинов и паролей состоит из персональных данных, в частности, имен, фамилий и дат рождения. Таким образом, данный подход является наиболее уязвимым в целях его обхода. Кроме того, широкое распространение технологий фишинга и мошенничества позволяет осуществить обход или кражу даже сложных и необычных логинов и паролей.Unfortunately, a significant part of our logins and passwords consists of personal data, in particular, names, surnames and dates of birth. Thus, this approach is the most vulnerable in order to circumvent it. In addition, the widespread use of phishing and fraud technologies allows you to bypass or steal even complex and unusual logins and passwords.

2) Двухэтапная проверка или двухфакторная аутентификация (2FA). Вторичная аутентификация пользователя снимает требования к одному типу аутентификационной информации в виде логина и пароля. В настоящее время 2FA широко используется компаниями для онлайн-платежей (например, Visa 3D Secure) и аутентификации (например, Google Mail 2-ступенчатая проверка). Несмотря на повышение безопасности платежей и аутентификации, этот подход уменьшает количество конверсий в конечных покупках для массовых интернет-магазинов и сетей. В случае кражи личных данных этот метод не выявил существенных результатов в защите от мошенничества. Одна из самых больших проблем с 2FA – это механизм восстановления аккаунта, который регулярно используется для захвата аккаунта. 2) Two-step verification or two-factor authentication (2FA). Secondary user authentication removes the requirements for one type of authentication information in the form of login and password. Currently, 2FA is widely used by companies for online payments (e.g. Visa 3D Secure) and authentication (e.g. Google Mail 2-step verification). Despite improving payment security and authentication, this approach reduces the number of conversions in final purchases for mass online stores and chains. In the case of identity theft, this method did not reveal significant results in protecting against fraud. One of the biggest problems with 2FA is the account recovery mechanism, which is regularly used to hijack an account.

3) Аппаратный ключ или защита «ключа». Аппаратный ключ, который обычно подключается к компьютеру через порт USB, может использоваться для идентификации конечных пользователей. По сравнению с обычными (софтверными) подходами, данный принцип обеспечивает существенное улучшение безопасности, однако, этот метод имеет ряд недостатков – он создает существенные барьеры для крупных публичных сетей и онлайн-магазинов и может быть скопирован или смоделирован.3) Hardware key or “key” protection. The hardware key, which is usually connected to the computer via the USB port, can be used to identify end users. Compared to conventional (software) approaches, this principle provides a significant improvement in security, however, this method has several drawbacks - it creates significant barriers for large public networks and online stores and can be copied or modeled.

4) Цифровой сертификат. Использование сертификатов помогает значительно улучшить безопасность веб-соединения. К сожалению, сертификаты могут быть скопированы и даже украдены удаленно. Кроме того, цифровые сертификаты создают барьеры использования для массовых онлайн-сайтов и сетей.4) Digital certificate. Using certificates can significantly improve the security of your web connection. Unfortunately, certificates can be copied and even stolen remotely. In addition, digital certificates create usage barriers for mass online sites and networks.

5) Стоп-листы. Списки скомпрометированных кредитных карт, похищенных учетных записей электронной почты и социальных профилей доказали свою эффективность. И в то же время, у этого подхода есть ряд недостатков. В первую очередь, у этого подхода есть временные ограничения, и его эффективность ограничена недавними кражами учетных записей, из чего следует, что общий эффект от стоп-листов со временем значительно ухудшается. Таким образом, этот подход зависит от регулярных обновлений / покупок стоп-листов, которые могут быть неэффективными по стоимости.5) Stop lists. Lists of compromised credit cards, stolen email accounts, and social profiles have proven effective. And at the same time, this approach has a number of disadvantages. First of all, this approach has time limitations, and its effectiveness is limited by recent account thefts, which implies that the overall effect of stop lists deteriorates significantly over time. Thus, this approach depends on regular updates / purchases of stop lists, which may be cost-inefficient.

6) Отпечаток устройства (англ. Device fingerprint - DFP). Это относительно новый подход, ставший популярным за последние 10 лет. Этот подход позволяет идентифицировать мошеннические или подозрительные логины / заявки на кредит на основе уникальных идентификаторов устройств, которые могут быть связаны с соответствующим пользователем или группой пользователей. Более того, этот подход помогает в аутентификации устройства, таким образом избегая дополнительных барьеров для использования сети / сайта пользователем. Однако у этого подхода есть ряд недостатков. Во-первых, все крупные разработчики браузеров стремятся стандартизировать свои браузеры и минимизировать количество уникальных идентификаторов, поскольку этот подход можно использовать для скрытого отслеживания пользователей; во-вторых, этот подход следует усилить с регулярно обновляемыми списками анонимизирующих IP-адресов (например, Proxy, VPN, TOR), чтобы обеспечить ценную защиту от кражи личных данных и мошеннических соединений.6) Device fingerprint (DFP). This is a relatively new approach that has become popular over the past 10 years. This approach allows you to identify fraudulent or suspicious logins / loan applications based on unique device identifiers that may be associated with the corresponding user or group of users. Moreover, this approach helps in authenticating the device, thus avoiding additional barriers to the use of the network / site by the user. However, this approach has several disadvantages. First, all major browser developers strive to standardize their browsers and minimize the number of unique identifiers, since this approach can be used to covertly track users; secondly, this approach should be strengthened with regularly updated lists of anonymizing IP addresses (for example, Proxy, VPN, TOR) in order to provide valuable protection against identity theft and fraudulent connections.

7) Биометрия. Этот набор подходов включает в себя: отпечатки пальцев, распознавание голоса, сканирование сетчатки глаза, распознавание лица, ДНК и другие методы биометрической идентификации. Биометрия становится все более популярна в наши дни. Основной причиной их популярности является снижение стоимости использования и высокая эффективность идентификации и защиты от мошенничества. Однако массовое использование этого подхода приводит к значительному снижению конверсии платежей или подписки в общественных / коммерческих сетях или сайтах.7) Biometrics. This set of approaches includes: fingerprints, voice recognition, retina scanning, face recognition, DNA and other methods of biometric identification. Biometrics is becoming increasingly popular these days. The main reason for their popularity is the reduced cost of use and the high efficiency of identification and protection against fraud. However, the massive use of this approach leads to a significant reduction in the conversion of payments or subscriptions on public / commercial networks or sites.

Таким образом, на текущий момент не существует единого высокоэффективного инструмента, который можно было бы использовать для аутентификации клиентов и предотвращения мошенничества – у всех методов аутентификации есть свои плюсы и минусы. И все вышеперечисленные подходы могут быть использованы, будучи эффективными для бизнеса. Thus, at the moment there is no single highly effective tool that could be used to authenticate clients and prevent fraud - all authentication methods have their pros and cons. And all of the above approaches can be used, being effective for business.

Использование совокупности подходов для аутентификации вкупе с технологиями применения для оценки доступа неперсонифицированной (неперсональной) информации пользователей позволит создать новый высокоэффективный метод для современных бизнес-систем. Using a set of approaches for authentication, coupled with application technologies for assessing the access of non-personalized (non-personal) user information, will create a new highly effective method for modern business systems.

СУЩНОСТЬESSENCE

Настоящее техническое решение направлено на создание нового высокоэффективного способа обеспечения аутентификации пользователей с расчетом рейтинга доверия на основании их неперсональной информации. This technical solution is aimed at creating a new highly effective way to ensure user authentication with the calculation of the confidence rating based on their non-personal information.

Техническим результатом является обеспечение аутентификации пользователей на основании их неперсональных данных. The technical result is to provide authentication of users based on their non-personal data.

Дополнительным результатом является повышение защищенности данных пользователей при осуществлении процесса аутентификации за счет вычисления рейтинга доверия пользователей исключительно по дескрипторам их неперсональных данных и данных устройств пользователей, с помощью которых осуществляется запрос на получение доступа. An additional result is an increase in the security of user data during the authentication process by calculating a user confidence rating solely on descriptors of their non-personal data and user device data, by which an access request is made.

В одном из предпочтительных вариантов реализации заявлен выполняемый с помощью процессора компьютерного устройства способ динамической аутентификации и оценки риска пользователя на веб-ресурсе и/или в мобильном приложении, содержащий этапы, на которых: In one of the preferred embodiments, a method for dynamically authenticating and assessing a user's risk on a web resource and / or in a mobile application, performed using a processor of a computer device, is claimed, comprising the steps of:

- устанавливают для по меньшей мере одного веб-ресурса и/или мобильного приложения пороговое значение рейтинга доверия для аутентификации пользователя с помощью системы аутентификации; - set for at least one web resource and / or mobile application the threshold value of the trust rating for user authentication using the authentication system;

- осуществляют регистрацию устройств пользователей с помощью системы аутентификации, в ходе которой выполняют сбор неперсональных данных пользовательских устройств;- carry out registration of user devices using the authentication system, during which collect non-personal data of user devices;

- фиксируют подключение к упомянутому веб-ресурсу и/или мобильному приложению по меньшей мере одного пользовательского устройства; - fix the connection to the said web resource and / or mobile application of at least one user device;

- в момент упомянутого подключения осуществляют сбор неперсональных данных о пользовательском устройстве, причем сбор данных осуществляется в бесшовном режиме и/или при уведомлении пользователя в момент доступа к веб-ресурсу и/или мобильному приложению в зависимости от выбранных настроек системы аутентификации и оценки риска;- at the time of the mentioned connection, non-personal data is collected about the user device, and data is collected in a seamless mode and / or when the user is notified at the time of access to the web resource and / or mobile application, depending on the selected settings of the authentication system and risk assessment;

- обрабатывают собранную информацию о пользовательском устройстве с помощью ее сравнения с данными, хранящимися в системе аутентификации, формирующими эталонный набор параметров доверия для осуществления аутентификации; - process the collected information about the user device by comparing it with data stored in the authentication system, forming a reference set of trust parameters for authentication;

- определяют значение рейтинга доверия упомянутому устройству, инициирующему подключение, на основании обработанной неперсональной информации;- determine the value of the confidence rating of said device initiating the connection based on the processed non-personal information;

- принимают решение о предоставлении доступа пользователю к упомянутому веб-ресурсу и/или мобильному приложению на основании сравнения значения рейтинга доверия пользователя с пороговым значением, установленным для веб-ресурса и/или мобильного приложения, на основании обработки неперсональных данных устройства пользователя, причем решение на предоставление доступа может включать в себя следующее: предоставление доступа, запрос дополнительной информации или отказ в предоставлении доступа. - decide on providing the user with access to said web resource and / or mobile application based on comparing the user confidence rating value with the threshold value set for the web resource and / or mobile application based on processing non-personal data of the user's device, the decision being granting access may include the following: granting access, requesting additional information, or refusing to grant access.

В одном из частных вариантов осуществления способа, собираемые неперсональные данные об устройстве пользователя включают в себя по меньшей мере одно из: дескрипторы устройства, характеристики интернет-соединения, параметры точки подключения, данные о физических характеристиках устройства, данные онлайн поведения или программном обеспечении устройства.In one of the private embodiments of the method, the collected non-personal data about the user's device includes at least one of: device descriptors, Internet connection characteristics, connection point parameters, device physical characteristics data, online behavior data or device software.

В другом частном варианте осуществления способа при необходимости запроса дополнительной информации осуществляют сбор неперсональной информации о пользователе, которая включает в себя дескрипторы биометрической информации пользователя, представляющие неперсональную часть биометрических данных пользователя.In another particular embodiment of the method, if additional information is requested, non-personal user information is collected, which includes user biometric information descriptors representing the non-personal part of the user's biometric data.

В другом частном варианте осуществления способа биометрическая информация пользователя выбирается из группы: изображение лица, изображение радужной оболочки глаза, рисунок вен ладони, отпечаток пальца. In another particular embodiment of the method, the user’s biometric information is selected from the group: face image, iris image, palm vein pattern, fingerprint.

В другом частном варианте осуществления способа пороговое значение рейтинга доверия для аутентификации пользователя формируется на основании предикторов доверия.In another particular embodiment of the method, the threshold value of the trust rating for user authentication is generated based on the predictors of trust.

В другом частном варианте осуществления способа при запросе дополнительной информации выделение неперсональной части биометрической информации происходит непосредственно на устройстве пользователя, причем упомянутая биометрическая информация не покидает устройство пользователя.In another particular embodiment of the method, when requesting additional information, the non-personal part of the biometric information is extracted directly on the user's device, and said biometric information does not leave the user device.

В другом частном варианте осуществления способа на основании дополнительной информации осуществляется повторный расчет рейтинга доверия пользователя. In another particular embodiment of the method, based on additional information, the user confidence rating is recalculated.

Также в предпочтительном варианте реализации, заявленное решение реализуется с помощью системы для динамической аутентификации пользователя на веб-ресурсе или в мобильном приложении, которая содержитAlso in a preferred embodiment, the claimed solution is implemented using a system for dynamic authentication of a user on a web resource or in a mobile application that contains

по меньшей мере один процессор,at least one processor

по меньшей мере одно устройство памяти, которое содержит исполняемые процессором инструкции, которые при их исполнении реализуют этапы, на которых: at least one memory device that contains instructions executed by the processor, which, when executed, implement the steps in which:

- принимают решение о предоставлении доступа пользователю к упомянутому веб-ресурсу и/или мобильному приложению на основании сравнения значения рейтинга доверия пользователя с пороговым значением, установленным для веб-ресурса и/или мобильного приложения на основании обработки неперсональных данных устройства пользователя, причем решение на предоставление доступа может включать в себя следующее: предоставление доступа, запрос дополнительной информации или отказ в предоставлении доступа. - decide on providing the user with access to said web resource and / or mobile application based on comparing the user confidence rating value with the threshold value set for the web resource and / or mobile application based on processing non-personal data of the user’s device, and the decision to provide Access may include the following: granting access, requesting additional information, or refusing access.

В одном из примеров реализации заявленной системы, устройство пользователя представляет собой: смартфон, планшет, персональный компьютер, ноутбук, умное носимое устройство, игровую приставку, смарт-телевизор или автомобильное мультимедийное устройство. In one example of the implementation of the claimed system, the user's device is: a smartphone, tablet, personal computer, laptop, smart wearable device, game console, smart TV or car multimedia device.

Другие частные примеры и варианты осуществления заявленного изобретения будут раскрыты далее в настоящих материалах заявки. Other particular examples and embodiments of the claimed invention will be disclosed further in the present application materials.

ОПИСАНИЕ ЧЕРТЕЖЕЙDESCRIPTION OF DRAWINGS

Фиг. 1 иллюстрирует общую реализацию системы для осуществления процесса динамической аутентификации. FIG. 1 illustrates a general implementation of a system for implementing a dynamic authentication process.

Фиг. 2 иллюстрирует блок-схему этапов выполнения способа динамической аутентификации.FIG. 2 illustrates a flowchart of steps for performing a dynamic authentication method.

Фиг. 3 иллюстрирует блок-схему способа при необходимости запроса дополнительной биометрической информации для динамической аутентификации. FIG. 3 illustrates a flow chart of a method for requesting additional biometric information for dynamic authentication if necessary.

Фиг. 4 иллюстрирует схему вычислительного компьютерного устройства.FIG. 4 illustrates a diagram of a computing computer device.

ПОДРОБНОЕ ОПИСАНИЕDETAILED DESCRIPTION

Фрод (англ. Fraud [1] «мошенничество») — вид мошенничества в области информационных технологий, в частности, несанкционированные действия и неправомерное пользование ресурсами и услугамиFraud (eng. Fraud [1] "fraud") - a type of fraud in the field of information technology, in particular, unauthorized actions and misuse of resources and services

Градиентный спуск — метод нахождения локального экстремума (минимума или максимума) функции с помощью движения вдоль градиента. Для минимизации функции в направлении градиента используются методы одномерной оптимизации, например, метод золотого сечения. Также можно искать не наилучшую точку в направлении градиента, а какую-либо лучше текущей.Gradient descent is a method of finding a local extremum (minimum or maximum) of a function by moving along the gradient. To minimize the function in the direction of the gradient, one-dimensional optimization methods are used, for example, the golden ratio method. You can also search not the best point in the direction of the gradient, but some better than the current one.

Здесь и далее по тексту под персональными данными подразумеваются прямые идентификаторы индивидуума или набор данных, позволяющих однозначно определить индивидуума, или набор данных позволяющих провести прямую коммуникацию с индивидуумом. Под неперсональными данными подразумеваются данные, не подпадающие в категорию персональных данных и не позволяющие провести однозначную идентификацию индивидуума.Hereinafter, under personal data we mean direct identifiers of an individual or a set of data that uniquely identifies an individual, or a set of data that allows direct communication with an individual. Non-personal data means data that does not fall into the category of personal data and does not allow an unambiguous identification of the individual.

Например, под персональными данными могут выступать:For example, personal data may include:

- Фамилия, имя, отчество;- Full Name;

- Год, месяц, дата и место рождения- Year, month, date and place of birth

- Паспортные данные или данные любого другого удостоверяющего документа;- Passport data or data of any other certifying document;

- E-mail, наименование аккаунта в соц. сети, в т. ч. Skype, WhatsApp, Telegram;- E-mail, account name in social. Networks, including Skype, WhatsApp, Telegram;

- Номер мобильного телефона;- Telephone number;

- ИНН, пенсионное свидетельство, СНИЛС, свидетельство о рождении;- TIN, pension certificate, SNILS, birth certificate;

- Адрес постоянной, временной регистрации и проживания;- Address of permanent, temporary registration and residence;

- Семейное, социальное, имущественное положение;- Marital, social, property status;

- Сведения об образовании, профессии, доходах, данные о трудоустройстве;- Information about education, profession, income, employment data;

- Полные данные банковской банковской карты полный номер банковской карты, детали расчетного счета в банке;- Full bank card details; full bank card number, bank account details;

- Детализированные квитанции платежей включая маршрутные квитанции, списки заказов, заметки, покупки, комментарии- Detailed payment receipts including itinerary receipts, order lists, notes, purchases, comments

- Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные). Например, медицинская карта, данные медицинских анализов. - Information that characterizes the physiological and biological characteristics of a person, on the basis of which it is possible to establish his personality (biometric personal data). For example, a medical record, data from medical tests.

- Фотография человека- Photo of man

- И любые другие прямые идентификаторы человека или линейные/ обратимые хэш функции от этих идентификаторов.- And any other direct human identifiers or linear / reversible hash functions from these identifiers.

Как представлено на Фиг. 1, общий вид системы (100) для реализации настоящего решения включает в себя устройство пользователя (110), веб-ресурс или мобильное приложение (120) (далее – ресурс доступа), к которому осуществляет запрос на доступ устройство пользователя (110), систему аутентификации (130), в которую входят: программный интерфейс приложения (API, 131), аккаунт пользователя (132) и база данных (133). As shown in FIG. 1, a general view of the system (100) for implementing the present solution includes a user device (110), a web resource or a mobile application (120) (hereinafter referred to as an access resource), to which a user device (110) makes a request for access, the system authentication (130), which includes: application program interface (API, 131), user account (132) and database (133).

Для каждого ресурса доступа (120) с помощью системы аутентификации (130) устанавливается заданное значение рейтинга доверия для каждого устройства пользователя (110). Данный процесс обеспечивается с помощью регистрации в системе аутентификации (130) пользователей и сохранением информации о них и их аккаунтах (132) в базе данных (133). С помощью API (131) системы аутентификации (130) обеспечивается взаимодействие и обработка запросов между ресурсами доступа (120) и устройствами пользователей (110). For each access resource (120), an authentication system (130) sets a predetermined trust rating for each user device (110). This process is ensured by registering users in an authentication system (130) and storing information about them and their accounts (132) in a database (133). Using the API (131) of the authentication system (130), interaction and processing of requests between access resources (120) and user devices (110) is provided.

Под ресурсом доступа (120) может пониматься веб-сайт и/или мобильной приложение, например, сайт предоставления банковских услуг, приложение для осуществления финансовых транзакций, приложение контроля доступа, активации внешних устройств и т.п. An access resource (120) can be understood as a website and / or a mobile application, for example, a banking services site, an application for financial transactions, an access control application, activation of external devices, etc.

Информация о пользователях (110) хранится в системе аутентификации (130) в виде дескрипторов, которые высчитываются при первичной регистрации пользователей (110) в системе аутентификации (130). Каждый ресурс доступа (120) также регистрируется в системе аутентификации (130), и для него сохраняется заданное значение рейтинга доверия для осуществления доступа пользователей (110) к упомянутому ресурсу (120). Information about users (110) is stored in the authentication system (130) in the form of descriptors that are calculated during the initial registration of users (110) in the authentication system (130). Each access resource (120) is also registered in the authentication system (130), and the set value of the trust rating for accessing the users (110) to the said resource (120) is stored for it.

В качестве устройства пользователя (110) может выступать различный формат вычислительных устройств, например, смартфон, планшет, персональный компьютер, ноутбук, игровая приставка, смарт ТВ, носимое умное устройство (часы, браслет) и т.п.The user device (110) may be a different format of computing devices, for example, a smartphone, tablet, personal computer, laptop, game console, smart TV, wearable smart device (watch, bracelet), etc.

Первичная регистрация для сбора дескрипторов пользователя (110) осуществляется с помощью установки связи между устройством (110) и системой аутентификации (130), например, с помощью установки специализированного программного приложения для обеспечения связи через API (131). Дескрипторы пользователя сохраняются для аккаунта пользователя (132) и передаются в базу данных (133) для их последующего использования для целей получения доступа к ресурсам (120). Initial registration for the collection of user descriptors (110) is carried out by establishing a connection between the device (110) and the authentication system (130), for example, by installing a specialized software application for communication via API (131). User descriptors are stored for the user account (132) and transferred to the database (133) for their subsequent use for the purpose of gaining access to resources (120).

Система аутентификации (130) может быть реализована с помощью сервера и соответствующих программных приложений, устанавливаемых на устройства пользователей (110) и ресурсы доступа (120), для обеспечения расчета рейтинга доверия для устройств (110), осуществляющих запрос на предоставление доступа. The authentication system (130) can be implemented using a server and corresponding software applications installed on user devices (110) and access resources (120) to provide a confidence rating for devices (110) that make an access request.

Упомянутое программное приложение системы аутентификации (130) предназначено также для осуществления сбора неперсональных данных с устройств пользователей (110) для вычисления рейтинга доверия такому устройству (110) для соответствующего ресурса доступа (120) при запросе доступа к нему. The mentioned application of the authentication system (130) is also intended for collecting non-personal data from user devices (110) to calculate a confidence rating for such a device (110) for the corresponding access resource (120) when requesting access to it.

Такими данными могут выступать, например:Such data may be, for example:

· данные онлайн сессии пользователя (110) на ресурсе доступа (120); · Data of the online user session (110) on the access resource (120);

· данные о пользовательском устройстве (110), с которого осуществляется запрос на доступ к ресурсу (120); · Data about the user device (110), from which the request for access to the resource (120) is carried out;

· данные об активности пользователя на упомянутом устройстве пользователя (110).· Data on user activity on said user device (110).

В качестве данных онлайн сессии пользователя могут использоваться:The following can be used as user online session data:

· маркер (идентификатор) онлайн сессии,· Marker (identifier) of the online session,

· характеристики онлайн соединения, включающие, например:· Characteristics of online connections, including, for example:

· источник и приёмник соединения (адреса) (включая IPV4 и IPV6),· Source and receiver of the connection (address) (including IPV4 and IPV6),

· маска браузера и заголовок онлайн запроса, а также другие параметры, без которых не может состояться стандартное онлайн соединение;· Browser mask and title of the online request, as well as other parameters without which a standard online connection cannot take place;

· скорость соединения, определяемая по IP адресу;· Connection speed determined by IP address;

· геолокационное местоположение точки доступа, из которой осуществляется онлайн сессия.· The geolocation location of the access point from which the online session is carried out.

В некоторых вариантах реализации в качестве данных об устройстве пользователя (110) могут выступать:In some implementations, user device (110) data may include:

· дескрипторы устройства (110), например, шрифты, геометрические характеристики экрана, плагины и т.д.;Device descriptors (110), for example, fonts, screen geometry, plugins, etc .;

· изменяемые маркеры устройства, например, MAC и др.; · Changeable device tokens, for example, MAC, etc.

· параметры физических элементов устройства (110) (процессор, разрешение экрана, плотность матрицы экрана и т. д.),· The parameters of the physical elements of the device (110) (processor, screen resolution, screen matrix density, etc.),

· параметры операционной системы устройства (110);· Parameters of the operating system of the device (110);

· установленные и запущенные на устройстве (110) приложения, доступные в выбранном режиме безопасности (названия, версии, режимы работы и т. д.);· Applications installed and running on the device (110) that are available in the selected security mode (names, versions, operating modes, etc.);

· геолокационные данные устройства пользователя, не позволяющие определить индивидуума, например, с точностью до 1 квартала (110).· Geolocation data of the user's device that does not allow to determine the individual, for example, with an accuracy of 1 quarter (110).

В некоторых вариантах реализации в качестве параметров операционной системы используются по меньшей мере: In some embodiments, at least:

· название операционной системы,· Name of the operating system,

· версия и ревизия операционной системы,· Version and revision of the operating system,

· битность операционной системы,· Bit rate of the operating system,

Например, Microsoft Windows 7, 64bit; Android OS 7.0 и т. п.For example, Microsoft Windows 7, 64bit; Android OS 7.0, etc.

В некоторых вариантах реализации в качестве данных об активности пользователя могут использоваться:In some embodiments, the following may be used as user activity data:

· графические элементы операционной системы или приложений, с которыми взаимодействует пользователь (например, характеристики используемой цветовой палитры на устройстве, геометрия экрана, отрисовка графического интерфейса, тип видеокарты, способ отображения шрифтов, цветов, специальных символов и т.д.), · Graphic elements of the operating system or applications with which the user interacts (for example, the characteristics of the color palette used on the device, screen geometry, rendering of the graphical interface, type of video card, method of displaying fonts, colors, special characters, etc.),

· характеристики ввода данных, например:· Data entry characteristics, for example:

· специальные клавиши и специальные символы, вводимые пользователем (например, с помощью сбора статистики прерываний нажатия клавиш) ,· Special keys and special characters entered by the user (for example, by collecting statistics on interruptions of keystrokes),

· временные интервалы между вводом данных (более широко – частотная характеристика ввода данных)· Time intervals between data entry (more broadly, the frequency response of data entry)

· приложение, из которого пользователь вводит данные (включая параметры, описанные выше для работы приложений),· The application from which the user enters data (including the parameters described above for applications),

· скорость печати и т. д. · Print speed, etc.

· характеристики активности пользователя в приложениях, например:· Characteristics of user activity in applications, for example:

· набор установленных специфичных приложений (например, редко/часто используемые приложения, тип таких приложений),· A set of specific applications installed (for example, rarely / frequently used applications, the type of such applications),

· время работы пользователя (начало и завершение работы в том или ином приложении, время выполнения заранее заданных действий),· The user’s time (the beginning and completion of work in a particular application, the execution time of predefined actions),

· статистические данные о работе пользователя с приложениями (например, частота выполнения заранее заданных действий в приложениях и т. д.). Под данными характеристиками используются количество открытий того или иного приложения, среднее время сессии работы в приложении и т.п. · Statistics on the user's work with applications (for example, the frequency of performing predetermined actions in applications, etc.). Under these characteristics, the number of openings of this or that application, the average session time of the work in the application, etc. are used.

Компоненты системы (100) соединяются между собой посредством сети передачи данных, например, Интернета. Принцип организации сети между элементами системы (100) может выбираться из различных примеров такой организации, исходя из достижений текущего технического уровня, например, LAN, Wi-Fi, WAN, PAN, WLAN и т. п. The components of the system (100) are interconnected via a data network, for example, the Internet. The principle of networking between elements of the system (100) can be selected from various examples of such organization, based on the achievements of the current technical level, for example, LAN, Wi-Fi, WAN, PAN, WLAN, etc.

Система аутентификации (130) также может представлять собой виджет или плагин, который может устанавливаться на устройства пользователей (110) и функционировать в бесшовном режиме, осуществляя сбор требуемой информации при запросе доступа к ресурсу (120). Под бесшовным режимом понимается принцип работы со стороны системы аутентификации (130) без необходимости запроса дополнительных разрешений на осуществление действий с устройством пользователя (110). The authentication system (130) can also be a widget or plug-in that can be installed on user devices (110) and function in a seamless mode, collecting the required information when requesting access to the resource (120). Seamless mode is understood as the principle of operation by the authentication system (130) without the need to request additional permissions to perform actions with the user's device (110).

На Фиг. 2 представлен процесс осуществления способа (200) аутентификации пользователей (110). Как указывалось выше, первичный этап осуществления способа (201) включает в себя установку требуемых параметров безопасности на ресурсе доступа (120). Данный процесс выполняется с помощью системы аутентификации (130) для каждого регистрируемого в ней ресурса (120). Для каждого ресурса (120) устанавливается набор метрик, на основании которых выполняется последующий расчет рейтинга доверия для запрашивающих доступ пользователей (110). In FIG. 2 shows a process for implementing a method (200) for authenticating users (110). As indicated above, the primary step in implementing method (201) includes setting the required security parameters on the access resource (120). This process is performed using the authentication system (130) for each resource registered in it (120). For each resource (120), a set of metrics is established, based on which a subsequent calculation of the trust rating for users requesting access is performed (110).

При получении запроса от устройства пользователя (110) на доступ к ресурсу (120) выполняется его обработка с помощью системы аутентификации (130) на этапе (202). Обработка осуществляется с помощью сбора данных пользовательского устройства (110) в момент запроса доступа к ресурсу доступа (120), например, при загрузке мобильного приложения. Программная логика и/или специальные библиотеки (как неотъемлемая программная часть ресурса (120)), установленная на устройстве пользователя (110), осуществляет сбор неперсональной информации об устройстве (110) и передает ее в базу данных (133) для последующего расчета рейтинга доверия. Упомянутая программная логика передается в устройство (110) и сохраняется в его памяти, передача осуществляется вместе с контентом ресурса доступа (120) в момент его загрузки на устройстве (110). Upon receipt of a request from the user device (110) for access to the resource (120), it is processed using the authentication system (130) in step (202). Processing is carried out by collecting user device data (110) at the time of requesting access to the access resource (120), for example, when downloading a mobile application. The program logic and / or special libraries (as an integral software part of the resource (120)) installed on the user's device (110) collects non-personal information about the device (110) and transfers it to the database (133) for subsequent calculation of the trust rating. The mentioned program logic is transmitted to the device (110) and stored in its memory, the transmission is carried out together with the content of the access resource (120) at the time of its loading on the device (110).

Рассмотрим пример:Consider an example:

На устройстве (110) собираются дескрипторы устройства, описанные выше, после чего они передаются в систему аутентификации (130), где на основе свертки данных дескрипторов например методом MD5 или градиентным спуском (один из вероятностных методов определения устройства на основе дескрипторов устройства) сравнивается полученный результат с хранимым образом устройства в системе (130). The device descriptors described above are collected on the device (110), after which they are transferred to the authentication system (130), where, based on the convolution of the descriptors, for example, using the MD5 method or gradient descent (one of the probabilistic methods for determining the device based on the device descriptors), the result is compared with the stored image of the device in the system (130).

При этом, если при анализе полученных данных устанавливается, что помимо совпавших образов устройства в системе аутентификации (130) имеются рисковые факторы, например, интернет запрос был инициирован из другой страны или интернет запрос был сформирован с аномалиями в хедере (header)/заголовке запроса (например, http request), то в системе расчета доверия (133) выставляется высокий риск и низкий рейтинг доверия для данного интернет соединения несмотря на совпавшие или несовпавшие наборы дескрипторов устройства в системе (130). Moreover, if, when analyzing the received data, it is established that in addition to the matching device images, there are risk factors in the authentication system (130), for example, an Internet request was initiated from another country or an Internet request was generated with anomalies in the header (header) / request header ( for example, http request), then in the system of calculating trust (133), a high risk and a low confidence rating for a given Internet connection are set in spite of matching or not matching sets of device descriptors in the system (130).

В таком случае, из-за низкого рейтинга доверия или отклоняется доступ или предлагается провести дополнительную аутентификацию устройства или виртуального пользователя для увеличения рейтинга доверия. Факторы, влияющие на рейтинг доверия, и их вклад в рейтинг доверия берутся из собираемого массива неперсональных сопутствующих данных и проверяются на практической выборке заблаговременно (например, на этапе найстройки системы с использованием исторических данных накопленных ранее). При этом проверяются и оцениваются как уровень риска при условии прохождения на первом шаге системы аутентификации (130), так и уровень возможной ошибки для определения порога (рейтинга) доверия и следующих шагов для данных сопутствующих факторов. Рассмотрим далее упрощенный пример формирования рейтинга/ скоринга доверия/ риска. In this case, due to the low trust rating, access is either denied or additional authentication of the device or virtual user is proposed to increase the trust rating. Factors affecting the confidence rating and their contribution to the confidence rating are taken from the collected array of non-personal related data and checked in advance on a practical sample (for example, at the stage of setting up the system using historical data accumulated earlier). At the same time, both the level of risk, provided that the authentication system is passed at the first step (130), and the level of a possible error to determine the threshold (rating) of trust and the next steps for these related factors are checked and evaluated. Let us consider a simplified example of rating / scoring of confidence / risk.

В качестве системы оценки рейтинга доверия может выступать обычная линейная регрессия. Представим функцию рейтинга доверия Y=A1*X1 + A2*X2 + A3*X3. Где значение рейтинга доверия варьируются от 0 и до до некоторой максимальной положительной величины. Значения рейтинга отражают наличие риска - чем больше значение, тем больше риск. В качестве переменных Х1, Х2, X3 могут выступать отдельные маркеры риска на основе неперсональных данных. An ordinary linear regression can be used as a system for assessing a rating of confidence. Imagine the confidence rating function Y = A1 * X1 + A2 * X2 + A3 * X3. Where the confidence rating value ranges from 0 to up to some maximum positive value. Rating values reflect the presence of risk - the higher the value, the greater the risk. The variables X1, X2, X3 can be individual risk markers based on non-personal data.

Например:For example:

- Х1 — это маркер, соответствующий следующему событию: = 0 если дескрипторы устройства совпали с образцом; 1 - если дескрипторы не совпали. Тем самым маркер отражает рисковое событие, когда дескрипторы устройства не совпали с эталонным образом или значением;- X1 is the marker corresponding to the following event: = 0 if the device descriptors match the pattern; 1 - if the descriptors did not match. Thus, the marker reflects the risk event when the device descriptors did not match the reference image or value;

- Х2 - отражает наличие предыдущих фродилентных (фрод) действий по устройству. Например, Х2=0 означает, что по данному устройству не наблюдалось фродилентных действий за последние 12 месяцев, а значение Х2=7 - означает, что по данному устройству наблюдалось 7 фродилентных значений за определённый период времени;- X2 - reflects the presence of previous fraudulent (fraud) actions on the device. For example, X2 = 0 means that for this device there were no fraudy actions for the last 12 months, and the value X2 = 7 means that for this device 7 fraudile values were observed for a certain period of time;

- Х3 - отражает число выявленных аномалий в интернет-соединении. Например, Х3=0 означает, что не было выявлено аномалий в рамках интернет-соединения, а значение Х3=5 означает, что было выявлено 5 аномалий в рамках интернет-соединения;- X3 - reflects the number of detected anomalies in the Internet connection. For example, X3 = 0 means that no anomalies were detected within the Internet connection, and a value of X3 = 5 means that 5 anomalies were detected within the Internet connection;

- Константы или веса А1, А2, А3 можно определять исходя из исторических наблюдений или экспертного мнения. Например, можно взять выборку заявок на кредиты и разметить ее виде 0 и 1 (0 будет означать отсутствие фродилентного поведения, 1 - наоборот, наличие фродилентного поведения). Далее обладая данными значениями и используя методы математической статистики (и, например, методы машинного обучения, анализа больших данных), можно найти оптимальные значения данных весов/ коэффициентов исходя из различных оптимизационных условий.- The constants or weights A1, A2, A3 can be determined based on historical observations or expert opinion. For example, you can take a sample of loan applications and mark it as 0 and 1 (0 will mean the absence of fraudy behavior, 1 - on the contrary, the presence of fraudy behavior). Further, having these values and using methods of mathematical statistics (and, for example, methods of machine learning, big data analysis), you can find the optimal values of these weights / coefficients based on various optimization conditions.

В приведенном примере Y может принимать положительные значения. При этом значение 0 отражает отсутствие аномалий (уровень максимального доверия), значения >0 - отражают наличие рисков, чем больше значение, тем больше риск. В качестве порога доверия по функции Y можно выставить значение 0 или небольшое положительное значение исходя из исторически проверенных наблюдений (которые могут определяться для кажой системы самостоятельно).In the above example, Y can take positive values. Moreover, a value of 0 reflects the absence of anomalies (the level of maximum confidence), values> 0 - reflect the presence of risks, the greater the value, the greater the risk. As a confidence threshold for the Y function, you can set the value to 0 or a small positive value based on historically verified observations (which can be determined independently for each system).

Как правило, на практике, число используемых переменных может значительно быть больше 100 (данное количество не влияет на суть технического решения), в качестве функций могут использоваться логистическая регрессия, GLM регрессия, деревья решений, нейронные сети и/или их комбинации. При этом уделяется большое значения использованию редких событий (large deviations) и их использованию в системе оценки уровня доверия. Редкие события позволяют выявлять пользователей с определёнными намерениями или шаблоном/ патерном поведения. Примером такого редкого события может быть что пользователь использует ТОР соединение, использование рандомизаторов или пользователь имеет иностранную нестандартную раскладку клавиатуры для конкретного рынка/страны. Редкие события влияют на скоринг и рейтинг доверия к пользователю в рамках функции рейтинга (вычисления рейтинга). Редкие события, используемые в рамках описываемого решения, могут настраиваться, добавляться на этапе настройки системы/решения, так и в процессе работы, после накопления исторических данных.As a rule, in practice, the number of variables used can be significantly greater than 100 (this number does not affect the essence of the technical solution), logistic regression, GLM regression, decision trees, neural networks and / or combinations thereof can be used as functions. At the same time, great importance is attached to the use of rare events (large deviations) and their use in the system of assessing the level of confidence. Rare events allow you to identify users with specific intentions or patterns / patterns of behavior. An example of such a rare event may be that the user uses a TOP connection, the use of randomizers, or the user has a foreign non-standard keyboard layout for a specific market / country. Rare events affect the scoring and user confidence rating as part of the rating function (rating calculation). Rare events used within the framework of the described solution can be configured, added at the stage of setting up the system / solution, and in the process, after the accumulation of historical data.

Далее на этапе (203) осуществляется сбор неперсональной информации пользовательского устройства (110) с помощью установленной программной логики от ресурса доступа (120). Сбор неперсональной информации осуществляется исключительно на устройстве (110). При этом вся чувствительная информация не покидает пределы устройства, что исключает вероятность утечки или перехвата персональной информации пользователя. Next, at step (203), non-personal information of the user device (110) is collected using the installed program logic from the access resource (120). Non-personal information is collected exclusively on device (110). Moreover, all sensitive information does not leave the device, which eliminates the possibility of leakage or interception of personal information of the user.

С помощью программной логики на устройстве (110) выполняется сбор неперсональных данных, которые представляют собой обезличенную неперсональную информацию, исключающую возможность обратного восстановления по ней какой-либо персональной информации пользователя. Упомянутая информация передается в систему аутентификации (130), где происходит ее последующая обработка на этапе (204). Список собираемых параметров и неперсональных дескрипторов предоставляется заранее владельцу ресурса (120). Обезличенная персональная информация может получаться путем преобразования персональных данных (информации) такими способами обработки, которые делают невозможным обратное их восстановление. Так, например, вместо хэширования всего телефонного номера (например, 10 цифр, зависит от страны) может использоваться только некоторая часть, например, 6 цифр, что не позволит по данному хэшу восстановить использованный номер телефона.Using program logic on the device (110), non-personal data is collected, which is anonymized non-personal information that excludes the possibility of back recovery of any personal user information from it. The mentioned information is transmitted to the authentication system (130), where it is subsequently processed at step (204). A list of collected parameters and non-personal descriptors is provided in advance to the resource owner (120). Anonymized personal information can be obtained by converting personal data (information) by such processing methods that make it impossible to reverse restore them. So, for example, instead of hashing the entire phone number (for example, 10 digits, it depends on the country), only some part, for example, 6 digits can be used, which will not allow us to restore the used phone number from this hash.

Как было указано выше, такой информацией могут выступать: дескрипторы устройства, характеристики интернет-соединения, данные геолокации (не превышающие точность геолокации более (точнее) чем 1 жилой квартал), параметры точки подключения, данные о физических характеристиках устройства, данные онлайн поведения или программном обеспечении устройства и др. As mentioned above, such information can be: device descriptors, Internet connection characteristics, geolocation data (not exceeding geolocation accuracy more (more precisely) than 1 residential quarter), connection point parameters, device physical characteristics data, online behavior or software data providing the device, etc.

На этапе (204) на основании полученной неперсональной информации от устройства пользователя (110) в системе аутентификации (130) выполняется ее сравнение с данными, хранящимися в базе данных (133) для соответствующего аккаунта ресурса (132), причем такие данные формируют эталонный набор параметров доверия для осуществления аутентификации на указанном ресурсе доступа (120). Способ сравнения может выполняться, например, с помощью сравнения хэш-сумм от массива собранной информации от устройства (110) с хэш-суммой в базе (133) эталонного набора параметров. В другом примере для реализации процедуры сравнения может применяться градиентный спуск, который позволяет гибко работать с различным набором данных и различными метриками близости этих данных.At step (204), based on the received non-personal information from the user device (110) in the authentication system (130), it is compared with the data stored in the database (133) for the corresponding resource account (132), and such data form a reference set of parameters trust for authentication on the specified access resource (120). The comparison method can be performed, for example, by comparing the hash sums from the array of collected information from the device (110) with the hash sum in the base (133) of the reference set of parameters. In another example, gradient descent can be used to implement the comparison procedure, which allows you to flexibly work with a different set of data and various metrics of proximity of this data.

По итогам обработки неперсональных данных устройства (110) система аутентификации (130) осуществляет на этапе (205) расчет рейтинга доверия для указанного устройства (110), запрашивающего доступ к ресурсу (120). Расчет рейтинга доверия может выполняться с помощью одного или нескольких алгоритмов машинного обучения, например, деревья решений, комбинация GLM и деревьев решений, K-ближайших соседей, SVM (Support Vector Machine), нейронные сети (глубокие нейронные сети) и др. (см., например, https://docs.opencv.org/3.4.6/dc/dd6/ml_intro.html). В качестве исходных данных для расчета рейтинга доверия могут выступать такие переменные, как: число запросов на доступ с данного устройства, как давно пользователь последний раз делал запрос, совпадение дескрипторов текущего устройства с эталонным, наличие аномалий на устройстве, наличие аномалий в интернет соединении, наличие высокорискованного поведения пользователя в прошлом и т.д.Based on the processing of non-personal data of the device (110), the authentication system (130) calculates, at step (205), a confidence rating for the specified device (110) requesting access to the resource (120). A confidence rating can be calculated using one or more machine learning algorithms, for example, decision trees, a combination of GLM and decision trees, K-nearest neighbors, Support Vector Machine (SVM), neural networks (deep neural networks), etc. (see. e.g. https://docs.opencv.org/3.4.6/dc/dd6/ml_intro.html). Variables such as: the number of access requests from this device, the last time a user made a request, the coincidence of descriptors of the current device with the reference one, the presence of anomalies on the device, the presence of anomalies in the Internet connection, the presence of high-risk user behavior in the past, etc.

По итогам расчета рейтинга доверия (205) для устройства пользователя (110) на этапе (206) выполняется его сравнение с установленным для ресурса доступа (120) пороговым значением рейтинга для выполнения дальнейших процедур процесса аутентификации. Если расчетный рейтинг соответствует диапазону доверия, то пользователю (110) на этапе (207) предоставляется доступ к ресурсу (120), в противном случае – отказ в предоставлении доступа (208). Based on the results of calculating the trust rating (205) for the user device (110) at step (206), it is compared with the threshold rating value set for the access resource (120) to perform further authentication process procedures. If the calculated rating corresponds to the confidence range, then the user (110) at step (207) is granted access to the resource (120), otherwise, denied access (208).

Для доступа к ресурсу (120) значение рейтинга доверия устанавливается также для «пограничной зоны», в которой, первоначально рассчитанный рейтинг доверия, менее чем требуемое значение для предоставления доступа, но недостаточно мало для формирования отказа в предоставлении доступа. For access to the resource (120), the trust rating value is also set for the “border zone”, in which, the initially calculated trust rating is less than the required value for providing access, but not small enough to form a denial of access.

На Фиг. 3 представлена блок-схема процесса запроса дополнительной информации на этапе (300). Такой информацией является биометрическая информация пользователя устройства (110). In FIG. 3 is a flowchart of a process for requesting additional information in step (300). Such information is the biometric information of the user of the device (110).

Сбор и обработка биометрической информации (301) осуществляется с помощью программной логики, устанавливаемой на устройстве (110) в момент осуществления запроса доступа к ресурсу (120) на этапе (202). Собираемая биометрическая информация обрабатывается (302) на предмет получения дескрипторов биометрической информации пользователя, которые представляют неперсональную часть биометрических данных пользователя, исключающую вероятность ее последующей обработки для возможности восстановления информации, однозначно идентифицирующей пользователя. В качестве исходной биометрической информации может выступать, например, изображение лица пользователя, изображение радужной оболочки глаза, рисунок вен ладони, отпечаток пальца. The collection and processing of biometric information (301) is carried out using program logic installed on the device (110) at the time of the request for access to the resource (120) at step (202). The collected biometric information is processed (302) to obtain descriptors of the user's biometric information, which represent a non-personal part of the user's biometric data, eliminating the likelihood of its subsequent processing to recover information that uniquely identifies the user. Initial biometric information can be, for example, the image of the user's face, the image of the iris of the eye, the pattern of the veins of the palm, a fingerprint.

Сбор биометрической информации на этапе (301) осуществляется с помощью программно-аппаратных средств устройства (110), например, камеры, сканера радужной оболочки, сканера отпечатков пальца и т. п. Сбор и обработка дескрипторов осуществляется исключительно на устройстве пользователя (110) и сама полученная биометрическая информация не покидает пределы устройства (110). В систему аутентификации (130) передаются только обезличенные неперсонализированные дескрипторы (303), например, расчет расположения реперных точек, вычисляемых по полученному изображению пользователя. В качестве известных примеров такого рода способ и технологических подходов могут применяться методы вычисления дескрипторов - SIFT, ORB, SURF, HOG и т.д., при которых выполняется выделение ключевых точек, которые затем наносятся на слепок. Далее по полученной дополнительной биометрической неперсональной информации в системе аутентификации (130).The collection of biometric information at step (301) is carried out using the hardware and software of the device (110), for example, a camera, an iris scanner, a fingerprint scanner, etc. The collection and processing of descriptors is carried out exclusively on the user's device (110) and the obtained biometric information does not leave the limits of the device (110). Only anonymous, non-personalized descriptors (303) are transmitted to the authentication system (130), for example, calculating the location of the reference points calculated from the received user's image. As well-known examples of this kind of method and technological approaches, methods for calculating descriptors — SIFT, ORB, SURF, HOG, etc., can be applied, at which key points are selected, which are then applied to the impression. Further, according to the obtained additional biometric non-personal information in the authentication system (130).

Например, от устройства пользователя (110) собирается информация об онлайн-сессии (маркер онлайн-сессии, параметры соединения устройства (110) и т. д.). После вычисления рейтинга доверия такому устройству на этапе (205), его значение попадает в диапазон значений, который не может однозначно характеризовать уровень риска такого устройства (110). К примеру, вычисленный уровень риска равен 0.75, когда для формирования однозначных прав доступа к ресурсу доступа (120) необходим уровень риска в диапазоне [0.0, 0.2] (доступ разрешён) или диапазоне [0.8, 1.0] (доступ к ресурсам запрещён). В результате выполняется запрос дополнительной биометрической информации (300), и после осуществления новых вычислений рейтинга доверия такому пользователю, выполняющему доступ с помощью упомянутого устройства (110), для которого ранее был посчитан рейтинг доверия, уровень риска становится равным 0.2 и выносится суммарное окончательное решение о предоставлении доступа к ресурсу (120).For example, information about an online session is collected from a user’s device (110) (online session marker, device connection parameters (110), etc.). After calculating the confidence rating of such a device at step (205), its value falls into a range of values that cannot uniquely characterize the risk level of such a device (110). For example, the calculated risk level is 0.75, when the formation of unique access rights to the access resource (120) requires a risk level in the range [0.0, 0.2] (access is allowed) or the range [0.8, 1.0] (access to resources is prohibited). As a result, a request for additional biometric information is performed (300), and after performing new calculations of the confidence rating for such a user accessing using the aforementioned device (110), for which a confidence rating was previously calculated, the risk level becomes 0.2 and the final final decision is made on providing access to the resource (120).

Расчёт рейтинга доверия с помощью системы аутентификации (130) выполняется на основании запросов, поступающих от ресурса доступа (120) через API (131). Такими запросами могут служить стандартизованные средства обращения в виде curl/ wget. В ответ на обработку запроса система аутентификации передает на ресурс доступа (120) рассчитанный рейтинг доверия, информацию по динамической авторизации и рассчитанные значения дескрипторов. The trust rating is calculated using the authentication system (130) based on requests received from the access resource (120) through the API (131). These requests can be standardized curl / wget. In response to the processing of the request, the authentication system transmits to the access resource (120) a calculated trust rating, information on dynamic authorization, and calculated descriptor values.

На Фиг. 4 представлен общий пример вычислительного компьютерного устройства (400), которое может применяться для реализации заявленного способа и/или системы. В общем случае устройство (400) содержит такие компоненты, как один или более процессоров (401), по меньшей мере одну оперативную память (402), средство постоянного хранения данных (403), интерфейсы ввода/вывода (404), средство В/В (405), средства сетевого взаимодействия (406). Компоненты устройства (400), как правило, сопряжены посредством общей шины передачи данных.In FIG. 4 shows a general example of a computing computer device (400) that can be used to implement the inventive method and / or system. In the General case, the device (400) contains components such as one or more processors (401), at least one random access memory (402), a means of permanent data storage (403), input / output interfaces (404), I / O (405), networking tools (406). The components of the device (400) are typically interfaced via a common data bus.

Процессор (401) устройства выполняет основные вычислительные операции, необходимые для функционирования устройства (400) или функционала одного или более его компонентов. Процессор (401) исполняет необходимые машиночитаемые команды, содержащиеся в оперативной памяти (402). Под процессором (401) также следует понимать графический процессор, пригодный для выполнения специализированной обработки в рамках заявленного решения, который может являться дополнительным средством вычисления. The processor (401) of the device performs the basic computing operations necessary for the operation of the device (400) or the functionality of one or more of its components. The processor (401) executes the necessary computer-readable instructions contained in the random access memory (402). Under the processor (401) should also be understood as a graphics processor suitable for performing specialized processing within the framework of the claimed solution, which may be an additional means of calculation.

Память (402), как правило, выполнена в виде ОЗУ и содержит необходимую программную логику, обеспечивающую требуемый функционал. Средство хранения данных (403) может выполняться в виде HDD, SSD дисков, рейд массива, сетевого хранилища, флэш-памяти, оптических накопителей информации (CD, DVD, MD, Blue-Ray дисков) и т.п. Средство (403) позволяет выполнять долгосрочное хранение различного вида информации, например, истории обработки запросов (логов), идентификаторов пользователей, данные камер, изображения и т.п.Memory (402), as a rule, is made in the form of RAM and contains the necessary software logic that provides the required functionality. The data storage means (403) can be implemented as HDD, SSD disks, RAID raid, network storage, flash memory, optical information storage devices (CD, DVD, MD, Blue-Ray disks), etc. The tool (403) allows long-term storage of various types of information, for example, the history of processing requests (logs), user IDs, camera data, images, etc.

Интерфейсы (404) представляют собой стандартные средства для подключения и работы с камерами (110, 120, 130) или иными вычислительными устройствами, например, USB, RS232, RJ45, LPT, COM, HDMI, PS/2, Lightning, FireWire и т.п. Выбор интерфейсов (404) зависит от конкретного исполнения устройства (400), которое может представлять собой персональный компьютер, мейнфрейм, серверный кластер, тонкий клиент, смартфон, ноутбук и т.п.Interfaces (404) are standard tools for connecting and working with cameras (110, 120, 130) or other computing devices, for example, USB, RS232, RJ45, LPT, COM, HDMI, PS / 2, Lightning, FireWire, etc. P. The choice of interfaces (404) depends on the specific design of the device (400), which can be a personal computer, mainframe, server cluster, thin client, smartphone, laptop, etc.

В качестве средств Ввода/Вывода данных (405) может использоваться клавиатура, джойстик, дисплей (сенсорный дисплей), проектор, тачпад, манипулятор мышь, трекбол, световое перо, динамики, микрофон и т.п. As input / output data (405), a keyboard, joystick, display (touch screen), projector, touchpad, mouse, trackball, light pen, speakers, microphone, etc. can be used.

Средства сетевого взаимодействия (406) выбираются из устройств, обеспечивающих сетевой прием и передачу данных, например, Ethernet карты, WLAN/Wi-Fi модуля, Bluetooth модуля, BLE модуля, NFC модуля, IrDa, RFID модуля, GSM модема и т. п. С помощью средства (406) обеспечивается организация обмена данными по проводному или беспроводному каналу передачи данных, например, WAN, PAN, ЛВС (LAN), Интранет, Интернет, WLAN, WMAN или GSM.Network communication tools (406) are selected from devices that provide network reception and data transfer, for example, Ethernet cards, WLAN / Wi-Fi module, Bluetooth module, BLE module, NFC module, IrDa, RFID module, GSM modem, etc. Using means (406), the organization of data exchange via a wired or wireless data channel is provided, for example, WAN, PAN, LAN (LAN), Intranet, Internet, WLAN, WMAN or GSM.

В настоящих материалах заявки было представлено предпочтительное раскрытие осуществления заявленного технического решения, которое не должно использоваться как ограничивающее иные, частные воплощения его реализации, которые не выходят за рамки испрашиваемого объема правовой охраны и являются очевидными для специалистов в соответствующей области техники. In the present application materials, a preferred disclosure of the implementation of the claimed technical solution was presented, which should not be used as limiting other, private embodiments of its implementation, which do not go beyond the requested scope of legal protection and are obvious to specialists in the relevant field of technology.

Claims

1. Performed using a processor of a computer device, a method of dynamic authentication and risk assessment of a user on a web resource and / or in a mobile application, comprising stages in which:

- set for at least one web resource and / or mobile application the threshold value of the trust rating for user authentication using the authentication system;

- carry out registration of user devices using the authentication system, during which collect non-personal data of user devices;

- fix the connection to the said web resource and / or mobile application of at least one user device;

- at the time of the mentioned connection, non-personal data is collected about the user device, and data is collected in a seamless mode and / or when the user is notified at the time of access to the web resource and / or mobile application, depending on the selected settings of the authentication system and risk assessment;

- process the collected information about the user device by comparing it with data stored in the authentication system, forming a reference set of trust parameters for authentication;

- determine the value of the confidence rating of said device initiating the connection based on the processed non-personal information;

- decide on providing the user with access to said web resource and / or mobile application based on comparing the user confidence rating value with the threshold value set for the web resource and / or mobile application based on processing non-personal data of the user's device, the decision being granting access may include the following: granting access, requesting additional information, or refusing to grant access.

2. The method according to claim 1, characterized in that the collected non-personal data about the user's device includes at least one of: device descriptors, Internet connection characteristics, geolocation data, connection point parameters, device physical characteristics data, online data behavior or device software.

3. The method according to claim 2, characterized in that, if necessary, request additional information, collect non-personal information about the user, which includes descriptors of biometric information of the user, representing the non-personal part of the biometric data of the user.

4. The method according to claim 3, characterized in that the biometric information of the user is selected from the group: face image, image of the iris of the eye, drawing veins of the palm, fingerprint.

5. The method according to claim 1, characterized in that the threshold value of the trust rating for user authentication is generated based on the predictors of trust.

6. The method according to claim 4, characterized in that when requesting additional information, the non-personal part of the biometric information is allocated directly to the user's device, and said biometric information does not leave the user device.

7. The method according to claim 6, characterized in that, based on additional information, the user confidence rating is re-calculated.

8. A system for dynamic user authentication on a web resource or in a mobile application, containing

at least one processor

at least one memory device that contains instructions executed by the processor, which, when executed, implement the steps in which:

9. The system of claim 8, characterized in that the user's device is: a smartphone, tablet, personal computer, laptop, smart wearable device, game console, smart TV or car multimedia device.