臨限值確定及身份驗證方法、裝置、電子設備及儲存媒體
本案涉及電腦技術領域,具體涉及一種臨限值確定及身份驗證方法、裝置、電子設備及儲存媒體。
現代風險管控體系對系統的安全性和用戶的體驗都提出了更高的要求。身份驗證作為風險管控決策的重要手段和依據已成為風險管控的重要組成部分。常用的身份驗證裝置通常有多種產品支持,包括簡訊驗證、身份證號、銀行卡綁卡、KBA問答、生物身份驗證等。從身份驗證的管控強度上來說,各種校驗方式有強弱之分,另外,在金融領域為保證用戶安全通常還會使用疊加方式進行多重多次身份驗證。
身份驗證就像是一把雙刃劍,強度較高的校驗方式將行為異常的用戶拒之門外的同時也給正常的用戶造成了一定的打擾,低強度的校驗會造成風險的蔓延,並使得部分用戶覺得缺乏安全感。目前的多數修改密碼身份驗證都採用單一的身份驗證強度進行校驗,未考慮到用戶的個人差異造成的對身份驗證需求的多元化。比如,有的用戶不喜歡被強校驗,對於總是被強校驗體驗不好最終可能導致用戶流失;有的用戶不喜歡被弱校驗,因為用戶會覺得這種弱校驗方式容易導致駭客侵入個人帳戶,沒有安全感。以修改密碼的場景為例,當用戶忘記了帳戶密碼時,系統通常透過身份驗證驗證目前是本人在操作時才可以讓用戶重置密碼或獲取原密碼。
本案實施例提供一種臨限值確定及身份驗證方法、裝置、電子設備及電腦可讀儲存媒體。
第一方面,本案實施例中提供了一種臨限值確定方法,包括:
獲取多個身份驗證識別模型分別對應的預設目標值;其中,所述預設目標值用於表示所述身份驗證識別模型被期望達到的目標識別能力;
根據所述預設目標值確定用戶業務變量值以及多個所述身份驗證識別模型分別對應的身份驗證臨限值;其中,所述用戶業務變量值用於劃分活躍用戶和不活躍用戶,所述身份驗證臨限值被所述身份驗證識別模型用於從所述不活躍用戶中剔除需要強校驗的用戶。
進一步地,根據所述預設目標值確定用戶業務變量值以及多個所述身份驗證識別模型分別對應的身份驗證臨限值,包括:
將所述身份驗證識別模型對應的所述身份驗證臨限值與所述身份驗證識別模型對應的所述預設目標值的差距最小、以及根據所述用戶業務變量值所劃分的不活躍用戶範圍最大化作為目標,透過最佳化演算法確定所述用戶業務變量值以及所述身份驗證識別模型對應的所述身份驗證臨限值。
進一步地,將所述身份驗證識別模型對應的所述身份驗證臨限值與所述身份驗證識別模型對應的所述預設目標值的差距最小、以及根據所述用戶業務變量值所劃分的不活躍用戶範圍最大化作為目標,透過最佳化演算法確定所述用戶業務變量值以及所述身份驗證識別模型對應的所述身份驗證臨限值,包括:
利用所述用戶業務變量值、多個所述身份驗證識別模型分別對應的所述身份驗證臨限值構建解向量;
以所述用戶業務變量值所劃分的不活躍用戶的範圍最大化作為所述最佳化演算法的約束條件,分別以多個所述身份驗證識別模型對應的所述身份驗證臨限值小於其對應的所述預設目標值作為所述最佳化演算法的目標函數,對所述解向量進行求解。
進一步地,所述身份驗證識別模型包括:盜用風險識別模型、安全感識別模型和/或修改密碼動機異常識別模型;其中,所述盜用風險識別模型用於識別帳戶被盜用的可能性;所述安全感識別模型用於識別用戶對於帳戶安全性的高低訴求程度;所述修改密碼動機異常識別模型用於識別所述用戶修改密碼的行為異常的可能性。
第二方面,本案實施例中提供了一種身份驗證方法,包括:
響應於身份驗證請求,根據用戶業務變量值確定待身份驗證用戶是否為不活躍用戶;
在所述待身份驗證用戶為不活躍用戶時,確定多個身份驗證識別模型中的至少一個對所述待身份驗證用戶的識別結果;
根據所述身份驗證識別模型的所述識別結果以及所述身份驗證識別模型對應的身份驗證臨限值確定所述待身份驗證用戶的身份驗證方式;其中,所述身份驗證方式包括弱校驗身份驗證方式和強校驗身份驗證方式;所述用戶業務變量值以及所述身份驗證臨限值採用上述臨限值確定方法得到;
採用所述身份驗證方式對所述待身份驗證用戶進行身份驗證。
進一步地,所述身份驗證識別模型包括:盜用風險識別模型、安全感識別模型和/或修改密碼動機異常識別模型;其中,所述盜用風險識別模型用於識別帳戶被盜用的可能性;所述安全感識別模型用於識別用戶對於帳戶安全性的高低訴求程度;所述修改密碼動機異常識別模型用於識別所述用戶修改密碼的行為異常的可能性。
進一步地,根據所述身份驗證識別模型的所述識別結果以及所述身份驗證識別模型對應的身份驗證臨限值確定所述待身份驗證用戶的身份驗證方式,包括:
根據第一識別結果以及所述盜用風險識別模型對應的所述身份驗證臨限值確定所述待身份驗證用戶的第一身份驗證方式,根據第二識別結果以及所述安全感識別模型對應的所述身份驗證臨限值確定所述待身份驗證用戶的第二身份驗證方式,並根據第三識別模型以及所述修改密碼動機異常識別模型對應的所述身份驗證臨限值確定所述待身份驗證用戶的第三身份驗證方式;其中,所述第一識別結果、第二識別結果和第三識別結果分別為所述盜用風險識別模型、安全感識別模型和修改密碼動機異常識別模型對所述待身份驗證用戶的識別結果;
在所述第一身份驗證方式、第二身份驗證方式以及第三身份驗證方式均為弱校驗身份驗證方式時,確定所述待身份驗證用戶的身份驗證方式為弱校驗身份驗證方式。
進一步地,根據所述識別結果以及對應的所述身份驗證臨限值確定所述待身份驗證用戶的身份驗證方式,還包括:
在所述第一身份驗證方式、第二身份驗證方式以及第三身份驗證方式中的至少一個為強校驗身份驗證方式時,確定所述待身份驗證用戶的身份驗證方式為強校驗身份驗證方式。
第三方面,本案實施例提供了一種臨限值確定裝置,包括:
獲取模組,被配置為獲取多個身份驗證識別模型分別對應的預設目標值;其中,所述預設目標值用於表示所述身份驗證識別模型被期望達到的目標識別能力;
第一確定模組,被配置為根據所述預設目標值確定用戶業務變量值以及多個所述身份驗證識別模型分別對應的身份驗證臨限值;其中,所述用戶業務變量值用於劃分活躍用戶和不活躍用戶,所述身份驗證臨限值被所述身份驗證識別模型用於從所述不活躍用戶中剔除需要強校驗的用戶。
進一步地,所述第一確定模組,包括:
最佳化子模組,被配置為將所述身份驗證識別模型對應的所述身份驗證臨限值與所述身份驗證識別模型對應的所述預設目標值的差距最小、以及根據所述用戶業務變量值所劃分的不活躍用戶範圍最大化作為目標,透過最佳化演算法確定所述用戶業務變量值以及所述身份驗證識別模型對應的所述身份驗證臨限值。
進一步地,所述最佳化子模組,包括:
構建子模組,被配置為利用所述用戶業務變量值、多個所述身份驗證識別模型分別對應的所述身份驗證臨限值構建解向量;
求解子模組,被配置為以所述用戶業務變量值所劃分的不活躍用戶的範圍最大化作為所述最佳化演算法的約束條件,分別以多個所述身份驗證識別模型對應的所述身份驗證臨限值小於其對應的所述預設目標值作為所述最佳化演算法的目標函數,對所述解向量進行求解。
進一步地,所述身份驗證識別模型包括:盜用風險識別模型、安全感識別模型和/或修改密碼動機異常識別模型;其中,所述盜用風險識別模型用於識別帳戶被盜用的可能性;所述安全感識別模型用於識別用戶對於帳戶安全性的高低訴求程度;所述修改密碼動機異常識別模型用於識別所述用戶修改密碼的行為異常的可能性。
所述功能可以透過硬體實現,也可以透過硬體執行相應的軟體實現。所述硬體或軟體包括一個或多個與上述功能相對應的模組。
在一個可能的設計中,臨限值確定裝置的結構中包括記憶體和處理器,所述記憶體用於儲存一條或多條支持臨限值確定裝置執行上述第一方面中臨限值確定方法的電腦指令,所述處理器被配置為用於執行所述記憶體中儲存的電腦指令。所述臨限值確定裝置還可以包括通信介面,用於臨限值確定裝置與其他設備或通信網路通信。
第四方面,本案實施例中提供了一種身份驗證裝置,包括:
第二確定模組,被配置為響應於身份驗證請求,根據用戶業務變量值確定待身份驗證用戶是否為不活躍用戶;
第三確定模組,被配置為在所述待身份驗證用戶為不活躍用戶時,確定多個身份驗證識別模型中的至少一個對所述待身份驗證用戶的識別結果;
第四確定模組,被配置為根據所述身份驗證識別模型的所述識別結果以及所述身份驗證識別模型對應的身份驗證臨限值確定所述待身份驗證用戶的身份驗證方式;其中,所述身份驗證方式包括弱校驗身份驗證方式和強校驗身份驗證方式;所述用戶業務變量值以及所述身份驗證臨限值採用上述臨限值確定裝置得到;
身份驗證模組,被配置為採用所述身份驗證方式對所述待身份驗證用戶進行身份驗證。
進一步地,所述身份驗證識別模型包括:盜用風險識別模型、安全感識別模型和/或修改密碼動機異常識別模型;其中,所述盜用風險識別模型用於識別帳戶被盜用的可能性;所述安全感識別模型用於識別用戶對於帳戶安全性的高低訴求程度;所述修改密碼動機異常識別模型用於識別所述用戶修改密碼的行為異常的可能性。
進一步地,所述第四確定模組,包括:
第一確定子模組,被配置為根據第一識別結果以及所述盜用風險識別模型對應的所述身份驗證臨限值確定所述待身份驗證用戶的第一身份驗證方式,根據第二識別結果以及所述安全感識別模型對應的所述身份驗證臨限值確定所述待身份驗證用戶的第二身份驗證方式,並根據第三識別模型以及所述修改密碼動機異常識別模型對應的所述身份驗證臨限值確定所述待身份驗證用戶的第三身份驗證方式;其中,所述第一識別結果、第二識別結果和第三識別結果分別為所述盜用風險識別模型、安全感識別模型和修改密碼動機異常識別模型對所述待身份驗證用戶的識別結果;
第二確定子模組,被配置為在所述第一身份驗證方式、第二身份驗證方式以及第三身份驗證方式均為弱校驗身份驗證方式時,確定所述待身份驗證用戶的身份驗證方式為弱校驗身份驗證方式。
進一步地,所述第四確定模組,還包括:
第三確定子模組,被配置為在所述第一身份驗證方式、第二身份驗證方式以及第三身份驗證方式中的至少一個為強校驗身份驗證方式時,確定所述待身份驗證用戶的身份驗證方式為強校驗身份驗證方式。
所述功能可以透過硬體實現,也可以透過硬體執行相應的軟體實現。所述硬體或軟體包括一個或多個與上述功能相對應的模組。
在一個可能的設計中,身份驗證裝置的結構中包括記憶體和處理器,所述記憶體用於儲存一條或多條支持身份驗證裝置執行上述第二方面中身份驗證方法的電腦指令,所述處理器被配置為用於執行所述記憶體中儲存的電腦指令。所述身份驗證裝置還可以包括通信介面,用於身份驗證裝置與其他設備或通信網路通信。
第五方面,本案實施例提供了一種電子設備,包括記憶體和處理器;其中,所述記憶體用於儲存一條或多條電腦指令,其中,所述一條或多條電腦指令被所述處理器執行以實現第一方面或第二方面所述的方法步驟。
第六方面,本案實施例提供了一種電腦可讀儲存媒體,用於儲存臨限值確定裝置或身份驗證裝置所用的電腦指令,其包含用於執行上述第一方面中臨限值確定方法或第二方面中身份驗證方法所涉及的電腦指令。
本案實施例提供的技術方案可以包括以下有益效果:
本案實施例在身份驗證過程中,為了平衡多種不同身份驗證識別模型對用戶身份驗證方式的識別結果,透過獲取多個不同身份驗證識別模型所要達到的目標識別能力,並根據該目標識別能力確定用於劃分活躍用戶和不活躍用戶的用戶業務變量值以及身份驗證識別模型的身份驗證臨限值,以便將不活躍用戶的範圍最大化的同時,能夠從不活躍用戶中識別出具有風險的用戶,也即這樣既能滿足不活躍用戶的弱校驗身份驗證需求,又能從中識別出需採用強校驗身份驗證的用戶,能夠實現用戶體驗和風險控制的平衡。
應當理解的是,以上的一般描述和後文的細節描述僅是示例性和解釋性的,並不能限制本案。
下文中,將參考圖式詳細描述本案的示例性實施方式,以使本領域技術人員可容易地實現它們。此外,為了清楚起見,在圖式中省略了與描述示例性實施方式無關的部分。
在本案中,應理解,諸如“包括”或“具有”等的術語旨在指示本說明書中所揭示的特徵、數字、步驟、行為、部件、部分或其組合的存在,並且不欲排除一個或多個其他特徵、數字、步驟、行為、部件、部分或其組合存在或被添加的可能性。
另外還需要說明的是,在不衝突的情況下,本案中的實施例及實施例中的特徵可以相互組合。下面將參考圖式並結合實施例來詳細說明本案。
對於身份驗證強弱的把握,主要有三個問題需要解決。第一,希望給什麼樣的用戶體驗優先;比如為了拉動新用戶使用產品,希望對新用戶或者不太活躍的用戶進行高體驗身份驗證,因此這部分用戶將被給予單因子身份驗證;第二,目前採取簡單身份驗證的這部分用戶是否具有風險;比如希望只對目前帳戶識別為安全的進行單因子弱校驗,比如要求修改密碼用戶提供身份證號或者手機簡訊驗證碼即可方便地透過驗證,對於不確定安全的進行多因子強校驗,比如在用戶提供簡訊驗證碼之外,額外需透過人臉校驗;第三,在給定的風險範圍內,如何最大化體驗優先用戶的比例,換言之,如何透過提高用戶體驗更好地為用戶服務這個目標。本案實施例提出了一種臨限值確定方法,可以透過一定條件的約束,可以自動調整單因子身份驗證等弱校驗用戶的比例,實現用戶體驗和風險控制的平衡。例如,在同樣的案件濃度約束條件下,已有的方案可能只能讓5%的用戶享受簡單便捷的單因子身份驗證等弱校驗體驗,但是經過本案實施例提出的區域確定方法得到的用戶業務變量和身份驗證臨限值,能夠使得10%的用戶單因子身份驗證。
圖1示出根據本案一實施方式的臨限值確定方法的流程圖。如圖1所示,所述臨限值確定方法包括以下步驟S101-S102:
在步驟S101中,獲取多個身份驗證識別模型分別對應的預設目標值;其中,所述預設目標值用於表示所述身份驗證識別模型被期望達到的目標識別能力;
在步驟S102中,根據所述預設目標值確定用戶業務變量值以及多個所述身份驗證識別模型分別對應的身份驗證臨限值;其中,所述用戶業務變量值用於劃分活躍用戶和不活躍用戶,所述身份驗證臨限值被所述身份驗證識別模型用於從所述不活躍用戶中剔除需要強校驗的用戶。
本實施例中,身份驗證識別模型可以基於用戶的特徵和/或帳戶的特徵識別該用戶的帳戶是否存在身份驗證風險,如果存在則採用強校驗身份驗證,否則採用弱校驗身份驗證;也即身份驗證識別模型用於識別該用戶的帳戶採用強校驗還是弱校驗進行身份驗證。強校驗身份驗證是指在核實用戶身份時,採用多重因子進行校驗的方式,而弱校驗身份驗證是指採用單個或者少數幾個因子對用戶身份進行核實校驗的方式,弱校驗身份驗證採用的因子數量少於強校驗身份驗證採用的因子數量,且弱校驗身份驗證採用的校驗強度小於強校驗身份驗證。例如,弱校驗身份驗證採用身份證號或者手機簡訊驗證碼等因子進行校驗;而強校驗身份驗證採用的因子除了身份證號和/或手機簡訊驗證碼等之外,還採用人臉等強因子。
多個身份驗證識別模型可以從多個不同方面對用戶帳戶進行識別,也即不同的身份驗證識別模型可以基於用戶和/或帳戶的不同特徵識別帳戶的不同身份驗證風險。例如,識別帳戶是否被盜的模型、識別用戶安全感強弱的模型(如果用戶安全感特強,則存在身份驗證風險)、識別用戶修改密碼動機異常的模型等。身份驗證識別模型可以基於用戶和/或帳戶的特徵對用戶帳戶進行評分,並根據評分的高低來判斷帳戶所存在的風險。
預設目標值可以是預先設定好的、與所述身份驗證識別模型所要達到的目標識別能力相關的值,也即預設目標值可以認為是對於身份驗證識別模型識別準確率或識別錯誤率的一個期望值。在一實施例中,預設目標值可以是期望身份驗證識別模型能夠從眾多用戶中識別出風險用戶的準確率。在另一實施例中,預設目標值可以是期望身份驗證識別模型無法從眾多用戶中識別出風險用戶的錯誤率。無論是目標識別準確率還是目標識別錯誤率,預設目標值都是用於表示身份驗證識別模型的識別能力所要達到的目標期望值。預設目標值可以基於業務經驗以及業務需求等預先設置,例如,目前業務涉及金融等安全級別較高的帳戶時,可以設置一預設目標值,使得身份驗證識別模型的識別能力較高,而如果目前業務僅涉及論壇等安全級別較低的帳戶時,可以設置另一預設目標值使得身份驗證識別模型的識別能力較低。
本實施例中,用戶業務變量值可以用於衡量用戶的活躍程度,透過用戶業務變量值可以將目前業務系統中的用戶劃分為活躍用戶和不活躍用戶。活躍用戶可以為經常在目前業務系統中執行一些操作的用戶,例如瀏覽、發文章、購物、支付等操作行為,而不活躍用戶可以為從來未在目前業務系統執行過任何操作或者最近一段時間內執行操作的次數較低的用戶。例如,對於第三方支付系統,用戶業務變量值可以設置為用戶的支付次數,在所述用戶業務變量值較大時,被劃分成不活躍用戶的占比較高,在所述用戶業務變量值較小時,被劃分為不活躍用戶的占比較低。
本實施例中,身份驗證臨限值是身份驗證識別模型所輸出的模型分值的臨限值,例如,在身份驗證臨限值確定了的情況下,利用核實識別模型對一用戶進行識別時,如果輸出的模型分值小於(或大於)該身份驗證臨限值,則認為該用戶不是風險用戶,可以採用弱校驗身份驗證方式;而如果輸出的模型分值大於或等於(或小於或等於)身份驗證臨限值,則認為該用戶是風險用戶,可以採用強校驗身份驗證方式。身份驗證臨限值的大小與被身份驗證識別模型識別為風險用戶的比例相關,也與身份驗證模型識別模型的識別錯誤率或識別準確率相關,在身份驗證臨限值較大時,被識別為風險用戶比例會較低(或較高),但是識別錯誤率較高(或者識別錯誤率較低);而在身份驗證臨限值較小時,被識別為風險用戶的比例會較高(或較低),但是識別錯誤率較低(或者識別錯誤率較高)。身份驗證臨限值與被身份驗證識別模型識別為風險用戶的比例呈正比還是呈反比,或者說身份驗證臨限值與身份驗證識別模型的識別錯誤率(或者識別準確率)呈正比還是呈反比,可以根據實際情況設置,對此不做限制。
用戶業務變量值用於劃分活躍用戶和不活躍用戶。身份驗證方式可以包括強校驗身份驗證和弱校驗身份驗證,而為了給用戶更好地體驗,通常較為簡單的做法就是對於不活躍用戶採用弱校驗,對於活躍用戶採用強校驗。但是這樣一刀切的做法可能會存在一些隱患,以修改密碼為例,不活躍用戶的帳號可能存在盜號風險,如果不活躍用戶全部採用弱校驗身份驗證方式,很有可能出現盜號風險。因此,本案實施例中透過用戶業務變量值篩選出不活躍用戶(例如設置用戶業務變量值為用戶在一段時間內的支付次數,如果支付次數少於設定值,則可以被認為是不活躍用戶),之後再利用身份驗證識別模型及其對應的身份驗證臨限值從不活躍用戶中剔除風險用戶(也即識別不活躍用戶是否存在風險,如果存在風險則採用強校驗方式),最終對剩下的不活躍用戶進行弱校驗。
在已有技術中,透過經驗或者測試等方式單獨確定不同身份驗證識別模型的身份驗證臨限值以及用戶業務變量值,且各個不同的身份驗證識別模型對於用戶的識別是各自獨立的,相互不受影響。而本案實施例為了給更多地用戶提供弱校驗這種高體驗服務,同時又能夠將風險降到最低,而採取了預先設置各個身份驗證識別模型所要達到的預設目標值,並採用這些預設目標值確定用戶業務變量值以及各個身份驗證識別模型的身份驗證臨限值,使得各個身份驗證識別模型的識別能力能夠滿足預設目標值的同時,將採用弱校驗身份驗證方式的不活躍用戶範圍最大化。本案實施例透過預設目標值確定用戶業務變量以及身份驗證臨限值,不但綜合考慮了多種身份驗證識別模型以及用戶業務變量對風險用戶的劃分,並且還在各個身份驗證識別模型間達到了一定的平衡,能夠提高用戶體驗。
本案實施例在身份驗證過程中,為了平衡多種不同身份驗證識別模型對用戶身份驗證方式的識別結果,透過獲取多個不同身份驗證識別模型所要達到的目標識別能力,並根據該目標識別能力確定身份驗證識別模型的身份驗證臨限值以及用於劃分活躍用戶和不活躍用戶的用戶業務變量值,以便將不活躍用戶的範圍最大化的同時,能夠從不活躍用戶中識別出具有風險的用戶,這樣既能滿足不活躍用戶的弱校驗身份驗證需求,又能從中識別出需採用強校驗身份驗證的用戶,能夠實現用戶體驗和風險控制的平衡。
在本實施例的一個可選實現方式中,所述步驟S102,即根據所述預設目標值確定用戶業務變量值以及多個所述身份驗證識別模型分別對應的身份驗證臨限值的步驟,進一步包括以下步驟:
將所述身份驗證識別模型對應的所述身份驗證臨限值與所述身份驗證識別模型對應的所述預設目標值的差距最小、以及根據所述用戶業務變量值所劃分的不活躍用戶範圍最大化作為目標,透過最佳化演算法確定所述用戶業務變量值以及所述身份驗證識別模型對應的所述身份驗證臨限值。
該可選的實現方式中,基於讓更多的用戶享受弱校驗身份驗證的高體驗服務,同時又能夠儘量保證享受弱校驗身份驗證服務的用戶為無風險用戶(無風險用戶可以理解為應該採用強校驗的用戶,比如盜用他人帳戶的用戶、缺乏安全感需要強校驗的用戶等)。為了達到用戶的高體驗和低風險兩者之間的平衡,本案實施例預先設定各個身份驗證識別模型的預設目標值,預設目標值用於表示期望身份驗證識別模型能夠達到的識別能力,而訓練好的身份驗證識別模型的識別能力可以透過身份驗證臨限值調整,身份驗證識別模型透過對用戶的特徵和/或用戶帳戶的特徵進行識別,會得出一個模型分數,而模型分數的高低與該用戶的風險高低相關,身份驗證臨限值可以設置為介於模型分數最大值和最小值中間,模型分數越高代表用戶風險越高的情況下,身份驗證臨限值設置越大,則身份驗證識別模型的識別能力越弱(模型分數越高代表用戶風險越低的情況下,身份驗證臨限值設置越小,則身份驗證識別模型的識別能力越弱);相反地,身份驗證臨限值設置越小,則身份驗證識別模型的識別能力越強。因此可以為身份驗證識別模型找到一個最佳的身份驗證臨限值,能夠使得身份驗證識別模型的識別能力儘量靠近預設目標識別值。由於本案使用多個身份驗證識別模型對不活躍用戶進行識別,同時還希望能夠給更多的不活躍用戶弱校驗身份驗證的服務體驗,因此並非簡單地將身份驗證識別模型的身份驗證臨限值設置為預設目標值,也沒有透過經驗或者統計等方式直接設置用戶業務變量值,而是採用最佳化演算法同時最佳化用戶業務變量值以及多個身份驗證識別模型分別對應的多個身份驗證臨限值,並且最佳化得到的用戶業務變量值以及多個身份驗證臨限值能夠兼顧用戶體驗以及用戶低風險兩個問題,達到兩者之間的平衡。
本案實施例在最佳化用戶業務變量以及多個身份驗證識別模型分別對應的多個身份驗證臨限值的過程中,將身份驗證臨限值與對應的預設目標值之間的差距最小、根據用戶業務變量值所劃分的不活躍用戶的範圍最大化作為最佳化演算法的目標,透過最佳化演算法最佳化得到用戶業務變量值以及身份驗證臨限值。在一實施例中,最佳化演算法可以採用PSO(粒子群最佳化演算法,Particle Swarm Optimization)。PSO最佳化演算法是一種基於種群的隨機最佳化技術,其透過模仿昆蟲、獸群、鳥群和魚群等的群集行為,這些群體按照一種合作的方式尋找食物,群體中的每個成員透過學習它自身的經驗和其他成員的經驗來不斷改變其搜索模式,也即本案採用PSO演算法,將用戶業務變量值以及各個身份驗證臨限值構成的目標函數的不同取值作為一個種群中的粒子,透過不斷迭代最佳化各個粒子在目標空間中的最佳取值,每次迭代的過程中粒子都從群體和個體角度出發找到自身的最佳值,最終找到粒子在目標空間中從群體和個體角度出發都最佳的一個取值。透過這種演算法最佳化得到的用戶業務變量值、各個身份驗證臨限值能夠使得採用弱校驗身份驗證的不活躍用戶的範圍最大化,同時還能夠從中識別出具有風險的用戶,在用戶體驗和帳戶風險之間達到了一定的平衡。
在其他實施例中,還可以採用其他解決類似問題的最佳化演算法,例如ACO(蟻群演算法)、Defferential
Evolution(差分進化演算法)等,具體可根據實際情況選擇使用,在此不做限制。
在本實施例的一個可選實現方式中,如圖2所示,所述將所述身份驗證識別模型對應的所述身份驗證臨限值與所述身份驗證識別模型對應的所述預設目標值的差距最小、以及根據所述用戶業務變量值所劃分的不活躍用戶範圍最大化作為目標,透過最佳化演算法確定所述用戶業務變量值以及所述身份驗證識別模型對應的所述身份驗證臨限值的步驟,進一步包括以下步驟S201-S202:
在步驟S201中,利用所述用戶業務變量值、多個所述身份驗證識別模型分別對應的所述身份驗證臨限值構建解向量;
在步驟S202中,以所述用戶業務變量值所劃分的不活躍用戶的範圍最大化作為所述最佳化演算法的約束條件,分別以多個所述身份驗證識別模型對應的所述身份驗證臨限值小於其對應的所述預設目標值作為所述最佳化演算法的目標函數,對所述解向量進行求解。
該可選的實現方式中,可以將用戶業務變量值、各個身份驗證識別模型對應的身份驗證臨限值作為變量構建一解向量。例如,用戶業務變量值用戶C表示,身份驗證識別模型i的身份驗證臨限值用Yi(i>=1)表示,解向量可表示為S=[C, Y1, Y2,……,Yi,……]。在選定最佳化演算法以後,可以將用戶業務變量值所劃分的不活躍用戶的範圍最大化作為最佳化演算法的約束條件,並分別以多個身份驗證臨限值小於對應的預設目標值為目標函數,執行最佳化演算法確定用戶業務變量值和身份驗證臨限值。最佳化演算法在執行過程中,會在保證用戶業務變量值最大化(用戶業務變量值越大不活躍用戶的劃分範圍越大的情況,相反,如果用戶變量值越小,不活躍用戶的劃分範圍越小的情況下要以用戶業務變量值最小化為約束條件)的前提下,使得各個身份驗證臨限值小於預設目標值,且無限接近於預設目標值。例如,採用PSO最佳化演算法最佳化時,假如構建的向量為S=[C, Y1, Y2,……,Yi,……],則適應性值函數可以構建為p=C-(Y1-y1)-(Y2-y2)-……-(Yi-yi)-……(僅用於舉例,實際應用中可以根據實際情況構建),y1、y2、……、yi、……分別為身份驗證識別模型1、2、……、i、……的預設目標值;PSO最佳化演算法透過尋找一p的取值,使得該取值在群體和個體中都是最佳,並採用更新函數對p進行更新後,迭代執行上述步驟,直到達到迭代終止條件(例如迭代次數達到預設臨限值)為止。最終得到的p對應的C和Yi就是用戶業務變量值和身份驗證臨限值的最佳解。
在本實施例的一個可選實現方式中,所述身份驗證識別模型包括:盜用風險識別模型、安全感識別模型和/或修改密碼動機異常識別模型;其中,所述盜用風險識別模型用於識別帳戶被盜用的可能性;所述安全感識別模型用於識別用戶對於帳戶安全性的高低訴求程度;所述修改密碼動機異常識別模型用於識別所述用戶修改密碼的行為異常的可能性。
本實施例中,盜用風險識別模型可以是即時識別模型,主要用於對用戶目前的修改密碼行為進行風險識別。若識別有風險,則對修改密碼用戶進行強校驗身份驗證。安全感識別模型可以是離線識別模型,透過T+1的方式(例如採用目前識別時間之前的一些用戶特徵對該用戶進行識別)對用戶進行識別。用戶若被識別為高危險,則表明該用戶有安全感的訴求,需要用強校驗身份驗證來提高用戶的安全感。修改密碼動機異常識別模型可以即時識別目前修改密碼行為是否合理修改密碼,比如當用戶其實是在當天有過透過密碼支付的情況下再進行修改密碼,則動機不合理,應該給予強校驗身份驗證。盜用風險識別模型和安全感識別模型均可以透過有監督學習構建,如GBDT、RandomForest、Logistic Regression等模型;而修改密碼動機異常識別模型可以為無監督學習模型,透過刻畫行為的異常來識別風險,如One Class SVM等。透過上述三個身份驗證識別模型中的一個或多個的組合,能夠從不活躍用戶中剔除具有風險的用戶,在兼顧了讓更多的不活躍用戶享受弱校驗服務的同時,降低了弱校驗身份驗證帶來的風險問題。
盜用風險識別模型透過用戶的盜用風險特徵對用戶進行識別,盜用風險特徵用於刻畫帳戶盜用風險的模型變量,比如設備維度、環境維度、用戶操作維度等多方面刻畫異常。
安全感識別模型透過安全感風險特徵對用戶進行識別,安全感風險特徵用於刻畫用戶對安全感的訴求,可以包括兩類,一類是文本類特徵,例如用戶歷史上的來電反饋或文本反饋;另一類是行為類特徵,例如用戶歷史上是否有過週期性修改密碼的習慣,是否綁卡後會解綁等。
修改密碼動機異常識別模型透過修改密碼動機特徵對用戶進行識別,修改密碼動機特徵針對用戶目前修改密碼是否真的是忘記密碼這一點進行特徵刻畫,例如可以包括是否目前修改密碼之前短時間內有過密碼支付、同設備上有過多個帳號進行修改密碼等行為的特徵。
用戶業務變量、上述各個身份驗證識別模型對用戶進行身份驗證識別所需要的特徵都可以從以下資料中提取得到:
用戶資訊資料:包括用戶資訊,如用戶ID,用戶註冊時間、用戶身份證所等。
歷史交易資料:包括用戶歷史上的交易,包含用戶ID對於的交易號、交易時間以及金額,同時也可以透過底層的關聯獲取交易時刻的交易設備、IP、WIFI等詳細資訊。
歷史案件資訊:包含用戶對盜用案件以及安全感問卷等資訊。帳戶盜用是指帳戶由非本人進行操作並進行支付,本人發現後進行投訴或報案。該部分資料通常在建模過程中當做樣本標籤進行有監督學習。安全問卷是為了獲取用戶安全感訴求而進行的某種抽樣或定向資料調查。目的同盜用報案資訊一樣通常在建模過程中當做為樣本的標籤進行有監督學習。
輿情資訊:包含歷史上出現輿情的主要用戶以及用戶的輿情的特徵,比如用戶的來電反饋,或者在該段期間用戶的行為資料,比如嘗試修改密碼碼,解綁銀行卡、刪除好友等特徵。
圖3示出根據本案一實施方式的身份驗證方法的流程圖。如圖3所示,所述身份驗證方法包括以下步驟S301-S304:
在步驟S301中,響應於身份驗證請求,根據用戶業務變量值確定待身份驗證用戶是否為不活躍用戶;
在步驟S302中,在所述待身份驗證用戶為不活躍用戶時,確定多個身份驗證識別模型中的至少一個對所述待身份驗證用戶的識別結果;
在步驟S303中,根據所述身份驗證識別模型的所述識別結果以及所述身份驗證識別模型對應的身份驗證臨限值確定所述待身份驗證用戶的身份驗證方式;其中,所述身份驗證方式包括弱校驗身份驗證方式和強校驗身份驗證方式;所述用戶業務變量值以及所述身份驗證臨限值採用上述臨限值確定方法得到;
在步驟S304中,採用所述身份驗證方式對所述待身份驗證用戶進行身份驗證。
本實施例中,在利用上述臨限值確定方法得到了用戶業務變量值、身份驗證識別模型的身份驗證臨限值後,如果接收到需要對用戶帳戶進行身份驗證的請求,首先可以利用用戶業務變量值確定待身份驗證用戶是否為不活躍用戶;如果是不活躍用戶,那麼再利用身份驗證識別模型對用戶進行識別,確定該用戶是否為不活躍用戶當中具有風險的用戶,例如以修改密碼行為為例,確定目前請求修改密碼的用戶是否正在盜取該帳戶;再例如,目前待身份驗證用戶是否為安全感訴求較高,不希望進行弱校驗的用戶等。身份驗證識別模型會針對待身份驗證用戶對應的相應特徵對用戶進行評分,透過比較分值和該身份驗證識別模型對應的身份驗證臨限值後,確定該待身份驗證用戶是否具有風險,如果有風險則採強校驗身份驗證方式;如果所要使用的一個或多個身份驗證識別模型對該待身份驗證用戶的識別結果均為無風險用戶時,採用弱校驗身份驗證方式。
本實施例的一些技術細節可參考上述臨限值確定方法中的描述,在此不再贅述。
本案實施例利用臨限值確定方法最佳化得到的用戶業務變量值、身份驗證臨限值以及身份驗證識別模型對用戶進行識別,以確定對用戶採用強校驗身份驗證方式還是採用弱校驗身份驗證方式。透過這種方法,可以將不活躍用戶的範圍最大化的同時,能夠從不活躍用戶中識別出具有風險的用戶,也即這樣既能滿足不活躍用戶的弱校驗身份驗證需求,又能從中識別出需採用強校驗身份驗證的用戶,能夠實現用戶體驗和風險控制的平衡。
在本實施例的一個可選實現方式中,所述身份驗證識別模型包括:盜用風險識別模型、安全感識別模型和/或修改密碼動機異常識別模型;其中,所述盜用風險識別模型用於識別帳戶被盜用的可能性;所述安全感識別模型用於識別用戶對於帳戶安全性的高低訴求程度;所述修改密碼動機異常識別模型用於識別所述用戶修改密碼的行為異常的可能性。
該可選的實現方式中,盜用風險識別模型可以是即時識別模型,主要用於對用戶目前的修改密碼行為進行風險識別。若識別有風險,則對修改密碼用戶進行強校驗身份驗證。安全感識別模型可以是離線識別模型,透過T+1的方式(例如採用目前識別時間之前的一些用戶特徵對該用戶進行識別)對用戶進行識別。用戶若被識別為高危險,則表明該用戶有安全感的訴求,需要用強校驗身份驗證來提高用戶的安全感。修改密碼動機異常識別模型可以即時識別目前修改密碼行為是否合理修改密碼,比如當用戶其實是在當天有過透過密碼支付的情況下再進行修改密碼,則動機不合理,應該給予強校驗身份驗證。
該可選的實現方式中的其他細節可參考上述臨限值確定方法中的描述,在此不再贅述。
在本實施例的一個可選實現方式中,如圖4所示,所述步驟S303即根據所述身份驗證識別模型的所述識別結果以及所述身份驗證識別模型對應的身份驗證臨限值確定所述待身份驗證用戶的身份驗證方式的步驟,進一步包括以下步驟S401-S402:
在步驟S401中,根據第一識別結果以及所述盜用風險識別模型對應的所述身份驗證臨限值確定所述待身份驗證用戶的第一身份驗證方式,根據第二識別結果以及所述安全感識別模型對應的所述身份驗證臨限值確定所述待身份驗證用戶的第二身份驗證方式,並根據第三識別模型以及所述修改密碼動機異常識別模型對應的所述身份驗證臨限值確定所述待身份驗證用戶的第三身份驗證方式;其中,所述第一識別結果、第二識別結果和第三識別結果分別為所述盜用風險識別模型、安全感識別模型和修改密碼動機異常識別模型對所述待身份驗證用戶的識別結果;
在步驟S402中,在所述第一身份驗證方式、第二身份驗證方式以及第三身份驗證方式均為弱校驗身份驗證方式時,確定所述待身份驗證用戶的身份驗證方式為弱校驗身份驗證方式。
該可選的實現方式中,採用盜用風險識別模型、安全感識別模型和修改密碼動機異常識別模型對不活躍用戶進行識別,並在上述三個識別模型的識別結果均為待身份驗證用戶無風險,可以採用弱校驗身份驗證方式時,才對該待身份驗證用戶採用弱校驗。弱校驗身份驗證方式可以是單因子身份驗證方式,也即採用手機驗證碼、身份證號等單個因素進行校驗的方式,而強校驗身份驗證方式可以是多因子身份驗證方式,例如採用身份證號和/或手機驗證碼對用戶識別後,還採用人臉識別等方式,強校驗身份驗證方式的校驗強度高於弱校驗身份驗證方式,採用的校驗因子較為可靠,步驟較為繁瑣。透過本實施例這種方式,既可以將不活躍用戶的範圍最大化,同時還能夠從不活躍用戶中剔除有盜用帳戶風險的用戶、安全感訴求較高的用戶以及修改密碼動機有異常的用戶,而剩下的不活躍用戶都可以採用弱校驗的方式。
如上述所述,安全感訴求識別模型為離線識別模式,可以定期對用戶的安全感訴求進行識別,並保存其識別結果。因此,在響應於針對該用戶的身份驗證請求時,可以利用盜用風險識別模型以及修改密碼動機識別模型對該用戶進行在線識別,而安全感識別模型的識別結果可以直接獲取,也即從相應儲存位置處獲取之前利用安全感識別模型對該用戶的識別結果。
可以理解的是,盜用風險識別模型和安全感識別模型不一定在用戶請求修改密碼時對用戶進行身份驗證識別,在其他需要的場景下也可以對用戶進行身份驗證識別,具體可以根據實際情況進行選擇,對此不做限制。
在本實施例的一個可選實現方式中,所述步驟S303即根據所述身份驗證識別模型的所述識別結果以及所述身份驗證識別模型對應的身份驗證臨限值確定所述待身份驗證用戶的身份驗證方式的步驟,進一步還包括以下步驟:
在所述第一身份驗證方式、第二身份驗證方式以及第三身份驗證方式中的至少一個為強校驗身份驗證方式時,確定所述待身份驗證用戶的身份驗證方式為強校驗身份驗證方式。
該可選的實現方式中,如果盜用風險識別模型、安全感識別模型和修改密碼動機異常識別模型中的任一一個的識別結果表明,目前待身份驗證用戶為具有風險的用戶,需要採用強校驗身份驗證方式,那麼最終採用強校驗身份驗證方式對該用戶進行身份驗證。也就是說,待身份驗證用戶只要存在其中之一的任意一種風險或異常,則對該用戶採用強校驗身份驗證方式。透過這種方式,可以盡可能地降低用戶帳戶風險。
下述為本案裝置實施例,可以用於執行本案方法實施例。
圖5示出根據本案一實施方式的臨限值確定裝置的結構方塊圖,該裝置可以透過軟體、硬體或者兩者的結合實現成為電子設備的部分或者全部。如圖5所示,所述臨限值確定裝置包括獲取模組501和第一確定模組502:
獲取模組501,被配置為獲取多個身份驗證識別模型分別對應的預設目標值;其中,所述預設目標值用於表示所述身份驗證識別模型被期望達到的目標識別能力;
第一確定模組502,被配置為根據所述預設目標值確定用戶業務變量值以及多個所述身份驗證識別模型分別對應的身份驗證臨限值;其中,所述用戶業務變量值用於劃分活躍用戶和不活躍用戶,所述身份驗證臨限值被所述身份驗證識別模型用於從所述不活躍用戶中剔除需要強校驗的用戶。
本實施例中,身份驗證識別模型可以基於用戶的特徵和/或帳戶的特徵識別該用戶的帳戶是否存在身份驗證風險,如果存在則採用強校驗身份驗證,否則採用弱校驗身份驗證;也即身份驗證識別模型用於識別該用戶的帳戶採用強校驗還是弱校驗進行身份驗證。強校驗身份驗證是指在核實用戶身份時,採用多重因子進行校驗的方式,而弱校驗身份驗證是指採用單個或者少數幾個因子對用戶身份進行核實校驗的方式,弱校驗身份驗證採用的因子數量少於強校驗身份驗證採用的因子數量,且弱校驗身份驗證採用的校驗強度小於強校驗身份驗證。例如,弱校驗身份驗證採用身份證號或者手機簡訊驗證碼等因子進行校驗;而強校驗身份驗證採用的因子除了身份證號和/或手機簡訊驗證碼等之外,還採用人臉等強因子。
多個身份驗證識別模型可以從多個不同方面對用戶帳戶進行識別,也即不同的身份驗證識別模型可以基於用戶和/或帳戶的不同特徵識別帳戶的不同身份驗證風險。例如,識別帳戶是否被盜的模型、識別用戶安全感強弱的模型(如果用戶安全感特強,則存在身份驗證風險)、識別用戶修改密碼動機異常的模型等。身份驗證識別模型可以基於用戶和/或帳戶的特徵對用戶帳戶進行評分,並根據評分的高低來判斷帳戶所存在的風險。
預設目標值可以是預先設定好的、與所述身份驗證識別模型所要達到的目標識別能力相關的值,也即預設目標值可以認為是對於身份驗證識別模型識別準確率或識別錯誤率的一個期望值。在一實施例中,預設目標值可以是期望身份驗證識別模型能夠從眾多用戶中識別出風險用戶的準確率。在另一實施例中,預設目標值可以是期望身份驗證識別模型無法從眾多用戶中識別出風險用戶的錯誤率。無論是目標識別準確率還是目標識別錯誤率,預設目標值都是用於表示身份驗證識別模型的識別能力所要達到的目標期望值。預設目標值可以基於業務經驗以及業務需求等預先設置,例如,目前業務涉及金融等安全級別較高的帳戶時,可以設置一預設目標值,使得身份驗證識別模型的識別能力較高,而如果目前業務僅涉及論壇等安全級別較低的帳戶時,可以設置另一預設目標值使得身份驗證識別模型的識別能力較低。
本實施例中,用戶業務變量值可以用於衡量用戶的活躍程度,透過用戶業務變量值可以將目前業務系統中的用戶劃分為活躍用戶和不活躍用戶。活躍用戶可以為經常在目前業務系統中執行一些操作的用戶,例如瀏覽、發文章、購物、支付等操作行為,而不活躍用戶可以為從來未在目前業務系統執行過任何操作或者最近一段時間內執行操作的次數較低的用戶。例如,對於第三方支付系統,用戶業務變量值可以設置為用戶的支付次數,在所述用戶業務變量值較大時,被劃分成不活躍用戶的占比較高,在所述用戶業務變量值較小時,被劃分為不活躍用戶的占比較低。
本實施例中,身份驗證臨限值是身份驗證識別模型所輸出的模型分值的臨限值,例如,在身份驗證臨限值確定了的情況下,利用核實識別模型對一用戶進行識別時,如果輸出的模型分值小於(或大於)該身份驗證臨限值,則認為該用戶不是風險用戶,可以採用弱校驗身份驗證方式;而如果輸出的模型分值大於或等於(或小於或等於)身份驗證臨限值,則認為該用戶是風險用戶,可以採用強校驗身份驗證方式。身份驗證臨限值的大小與被身份驗證識別模型識別為風險用戶的比例相關,也與身份驗證模型識別模型的識別錯誤率或識別準確率相關,在身份驗證臨限值較大時,被識別為風險用戶比例會較低(或較高),但是識別錯誤率較高(或者識別錯誤率較低);而在身份驗證臨限值較小時,被識別為風險用戶的比例會較高(或較低),但是識別錯誤率較低(或者識別錯誤率較高)。身份驗證臨限值與被身份驗證識別模型識別為風險用戶的比例呈正比還是呈反比,或者說身份驗證臨限值與身份驗證識別模型的識別錯誤率(或者識別準確率)呈正比還是呈反比,可以根據實際情況設置,對此不做限制。
用戶業務變量值用於劃分活躍用戶和不活躍用戶。身份驗證方式可以包括強校驗身份驗證和弱校驗身份驗證,而為了給用戶更好地體驗,通常較為簡單的做法就是對於不活躍用戶採用弱校驗,對於活躍用戶採用強校驗。但是這樣一刀切的做法可能會存在一些隱患,以修改密碼為例,不活躍用戶的帳號可能存在盜號風險,如果不活躍用戶全部採用弱校驗身份驗證方式,很有可能出現盜號風險。因此,本案實施例中透過用戶業務變量值篩選出不活躍用戶(例如設置用戶業務變量值為用戶在一段時間內的支付次數,如果支付次數少於設定值,則可以被認為是不活躍用戶),之後再利用身份驗證識別模型及其對應的身份驗證臨限值從不活躍用戶中剔除風險用戶(也即識別不活躍用戶是否存在風險,如果存在風險則採用強校驗方式),最終對剩下的不活躍用戶進行弱校驗。
在已有技術中,透過經驗或者測試等方式單獨確定不同身份驗證識別模型的身份驗證臨限值以及用戶業務變量值,且各個不同的身份驗證識別模型對於用戶的識別是各自獨立的,相互不受影響。而本案實施例為了給更多地用戶提供弱校驗這種高體驗服務,同時又能夠將風險降到最低,而採取了預先設置各個身份驗證識別模型所要達到的預設目標值,並採用這些預設目標值確定用戶業務變量值以及各個身份驗證識別模型的身份驗證臨限值,使得各個身份驗證識別模型的識別能力能夠滿足預設目標值的同時,將採用弱校驗身份驗證方式的不活躍用戶範圍最大化。本案實施例透過預設目標值確定用戶業務變量以及身份驗證臨限值,不但綜合考慮了多種身份驗證識別模型以及用戶業務變量對風險用戶的劃分,並且還在各個身份驗證識別模型間達到了一定的平衡,能夠提高用戶體驗。
本案實施例在身份驗證過程中,為了平衡多種不同身份驗證識別模型對用戶身份驗證方式的識別結果,透過獲取多個不同身份驗證識別模型所要達到的目標識別能力,並根據該目標識別能力確定身份驗證識別模型的身份驗證臨限值以及用於劃分活躍用戶和不活躍用戶的用戶業務變量值,以便將不活躍用戶的範圍最大化的同時,能夠從不活躍用戶中識別出具有風險的用戶,這樣既能滿足不活躍用戶的弱校驗身份驗證需求,又能從中識別出需採用強校驗身份驗證的用戶,能夠實現用戶體驗和風險控制的平衡。
在本實施例的一個可選實現方式中,所述第一確定模組502,包括:
最佳化子模組,被配置為將所述身份驗證識別模型對應的所述身份驗證臨限值與所述身份驗證識別模型對應的所述預設目標值的差距最小、以及根據所述用戶業務變量值所劃分的不活躍用戶範圍最大化作為目標,透過最佳化演算法確定所述用戶業務變量值以及所述身份驗證識別模型對應的所述身份驗證臨限值。
該可選的實現方式中,基於讓更多的用戶享受弱校驗身份驗證的高體驗服務,同時又能夠儘量保證享受弱校驗身份驗證服務的用戶為無風險用戶(無風險用戶可以理解為應該採用強校驗的用戶,比如盜用他人帳戶的用戶、缺乏安全感需要強校驗的用戶等)。為了達到用戶的高體驗和低風險兩者之間的平衡,本案實施例預先設定各個身份驗證識別模型的預設目標值,預設目標值用於表示期望身份驗證識別模型能夠達到的識別能力,而訓練好的身份驗證識別模型的識別能力可以透過身份驗證臨限值調整,身份驗證識別模型透過對用戶的特徵和/或用戶帳戶的特徵進行識別,會得出一個模型分數,而模型分數的高低與該用戶的風險高低相關,身份驗證臨限值可以設置為介於模型分數最大值和最小值中間,模型分數越高代表用戶風險越高的情況下,身份驗證臨限值設置越大,則身份驗證識別模型的識別能力越弱(模型分數越高代表用戶風險越低的情況下,身份驗證臨限值設置越小,則身份驗證識別模型的識別能力越弱);相反地,身份驗證臨限值設置越小,則身份驗證識別模型的識別能力越強。因此可以為身份驗證識別模型找到一個最佳的身份驗證臨限值,能夠使得身份驗證識別模型的識別能力儘量靠近預設目標識別值。由於本案使用多個身份驗證識別模型對不活躍用戶進行識別,同時還希望能夠給更多的不活躍用戶弱校驗身份驗證的服務體驗,因此並非簡單地將身份驗證識別模型的身份驗證臨限值設置為預設目標值,也沒有透過經驗或者統計等方式直接設置用戶業務變量值,而是採用最佳化演算法同時最佳化用戶業務變量值以及多個身份驗證識別模型分別對應的多個身份驗證臨限值,並且最佳化得到的用戶業務變量值以及多個身份驗證臨限值能夠兼顧用戶體驗以及用戶低風險兩個問題,達到兩者之間的平衡。
本案實施例在最佳化用戶業務變量以及多個身份驗證識別模型分別對應的多個身份驗證臨限值的過程中,將身份驗證臨限值與對應的預設目標值之間的差距最小、根據用戶業務變量值所劃分的不活躍用戶的範圍最大化作為最佳化演算法的目標,透過最佳化演算法最佳化得到用戶業務變量值以及身份驗證臨限值。在一實施例中,最佳化演算法可以採用PSO(粒子群最佳化演算法,Particle Swarm Optimization)。PSO最佳化演算法是一種基於種群的隨機最佳化技術,其透過模仿昆蟲、獸群、鳥群和魚群等的群集行為,這些群體按照一種合作的方式尋找食物,群體中的每個成員透過學習它自身的經驗和其他成員的經驗來不斷改變其搜索模式,也即本案採用PSO演算法,將用戶業務變量值以及各個身份驗證臨限值構成的目標函數的不同取值作為一個種群中的粒子,透過不斷迭代最佳化各個粒子在目標空間中的最佳取值,每次迭代的過程中粒子都從群體和個體角度出發找到自身的最佳值,最終找到粒子在目標空間中從群體和個體角度出發都最佳的一個取值。透過這種演算法最佳化得到的用戶業務變量值、各個身份驗證臨限值能夠使得採用弱校驗身份驗證的不活躍用戶的範圍最大化,同時還能夠從中識別出具有風險的用戶,在用戶體驗和帳戶風險之間達到了一定的平衡。
在其他實施例中,還可以採用其他解決類似問題的最佳化演算法,例如ACO(蟻群演算法)、Defferential
Evolution(差分進化演算法)等,具體可根據實際情況選擇使用,在此不做限制。
在本實施例的一個可選實現方式中,如圖6所示,所述最佳化子模組,包括:
構建子模組601,被配置為利用所述用戶業務變量值、多個所述身份驗證識別模型分別對應的所述身份驗證臨限值構建解向量;
求解子模組602,被配置為以所述用戶業務變量值所劃分的不活躍用戶的範圍最大化作為所述最佳化演算法的約束條件,分別以多個所述身份驗證識別模型對應的所述身份驗證臨限值小於其對應的所述預設目標值作為所述最佳化演算法的目標函數,對所述解向量進行求解。
該可選的實現方式中,可以將用戶業務變量值、各個身份驗證識別模型對應的身份驗證臨限值作為變量構建一解向量。例如,用戶業務變量值用戶C表示,身份驗證識別模型i的身份驗證臨限值用Yi(i>=1)表示,解向量可表示為S=[C, Y1, Y2,……,Yi,……]。在選定最佳化演算法以後,可以將用戶業務變量值所劃分的不活躍用戶的範圍最大化作為最佳化演算法的約束條件,並分別以多個身份驗證臨限值小於對應的預設目標值為目標函數,執行最佳化演算法確定用戶業務變量值和身份驗證臨限值。最佳化演算法在執行過程中,會在保證用戶業務變量值最大化(用戶業務變量值越大不活躍用戶的劃分範圍越大的情況,相反,如果用戶變量值越小,不活躍用戶的劃分範圍越小的情況下要以用戶業務變量值最小化為約束條件)的前提下,使得各個身份驗證臨限值小於預設目標值,且無限接近於預設目標值。例如,採用PSO最佳化演算法最佳化時,假如構建的向量為S=[C, Y1, Y2,……,Yi,……],則適應性值函數可以構建為p=C-(Y1-y1)-(Y2-y2)-……-(Yi-yi)-……(僅用於舉例,實際應用中可以根據實際情況構建),y1、y2、……、yi、……分別為身份驗證識別模型1、2、……、i、……的預設目標值;PSO最佳化演算法透過尋找一p的取值,使得該取值在群體和個體中都是最佳,並採用更新函數對p進行更新後,迭代執行上述步驟,直到達到迭代終止條件(例如迭代次數達到預設臨限值)為止。最終得到的p對應的C和Yi就是用戶業務變量值和身份驗證臨限值的最佳解。
在本實施例的一個可選實現方式中,所述身份驗證識別模型包括:盜用風險識別模型、安全感識別模型和/或修改密碼動機異常識別模型;其中,所述盜用風險識別模型用於識別帳戶被盜用的可能性;所述安全感識別模型用於識別用戶對於帳戶安全性的高低訴求程度;所述修改密碼動機異常識別模型用於識別所述用戶修改密碼的行為異常的可能性。
本實施例中,盜用風險識別模型可以是即時識別模型,主要用於對用戶目前的修改密碼行為進行風險識別。若識別有風險,則對修改密碼用戶進行強校驗身份驗證。安全感識別模型可以是離線識別模型,透過T+1的方式(例如採用目前識別時間之前的一些用戶特徵對該用戶進行識別)對用戶進行識別。用戶若被識別為高危險,則表明該用戶有安全感的訴求,需要用強校驗身份驗證來提高用戶的安全感。修改密碼動機異常識別模型可以即時識別目前修改密碼行為是否合理修改密碼,比如當用戶其實是在當天有過透過密碼支付的情況下再進行修改密碼,則動機不合理,應該給予強校驗身份驗證。盜用風險識別模型和安全感識別模型均可以透過有監督學習構建,如GBDT、RandomForest、Logistic Regression等模型;而修改密碼動機異常識別模型可以為無監督學習模型,透過刻畫行為的異常來識別風險,如One Class SVM等。透過上述三個身份驗證識別模型中的一個或多個的組合,能夠從不活躍用戶中剔除具有風險的用戶,在兼顧了讓更多的不活躍用戶享受弱校驗服務的同時,降低了弱校驗身份驗證帶來的風險問題。
盜用風險識別模型透過用戶的盜用風險特徵對用戶進行識別,盜用風險特徵用於刻畫帳戶盜用風險的模型變量,比如設備維度、環境維度、用戶操作維度等多方面刻畫異常。
安全感識別模型透過安全感風險特徵對用戶進行識別,安全感風險特徵用於刻畫用戶對安全感的訴求,可以包括兩類,一類是文本類特徵,例如用戶歷史上的來電反饋或文本反饋;另一類是行為類特徵,例如用戶歷史上是否有過週期性修改密碼的習慣,是否綁卡後會解綁等。
修改密碼動機異常識別模型透過修改密碼動機特徵對用戶進行識別,修改密碼動機特徵針對用戶目前修改密碼是否真的是忘記密碼這一點進行特徵刻畫,例如可以包括是否目前修改密碼之前短時間內有過密碼支付、同設備上有過多個帳號進行修改密碼等行為的特徵。
用戶業務變量、上述各個身份驗證識別模型對用戶進行身份驗證識別所需要的特徵都可以從以下資料中提取得到:
用戶資訊資料:包括用戶資訊,如用戶ID,用戶註冊時間、用戶身份證所等。
歷史交易資料:包括用戶歷史上的交易,包含用戶ID對於的交易號、交易時間以及金額,同時也可以透過底層的關聯獲取交易時刻的交易設備、IP、WIFI等詳細資訊。
歷史案件資訊:包含用戶對盜用案件以及安全感問卷等資訊。帳戶盜用是指帳戶由非本人進行操作並進行支付,本人發現後進行投訴或報案。該部分資料通常在建模過程中當做樣本標籤進行有監督學習。安全問卷是為了獲取用戶安全感訴求而進行的某種抽樣或定向資料調查。目的同盜用報案資訊一樣通常在建模過程中當做為樣本的標籤進行有監督學習。
輿情資訊:包含歷史上出現輿情的主要用戶以及用戶的輿情的特徵,比如用戶的來電反饋,或者在該段期間用戶的行為資料,比如嘗試修改密碼碼,解綁銀行卡、刪除好友等特徵。
圖7示出根據本案一實施方式的身份驗證裝置的結構方塊圖,該裝置可以透過軟體、硬體或者兩者的結合實現成為電子設備的部分或者全部。如圖7所示,所述身份驗證裝置包括第二確定模組701、第三確定模組702、第四確定模組703和身份驗證模組704:
第二確定模組701,被配置為響應於身份驗證請求,根據用戶業務變量值確定待身份驗證用戶是否為不活躍用戶;
第三確定模組702,被配置為在所述待身份驗證用戶為不活躍用戶時,確定多個身份驗證識別模型中的至少一個對所述待身份驗證用戶的識別結果;
第四確定模組703,被配置為根據所述身份驗證識別模型的所述識別結果以及所述身份驗證識別模型對應的身份驗證臨限值確定所述待身份驗證用戶的身份驗證方式;其中,所述身份驗證方式包括弱校驗身份驗證方式和強校驗身份驗證方式;所述用戶業務變量值以及所述身份驗證臨限值採用上述臨限值確定裝置得到;
身份驗證模組704,被配置為採用所述身份驗證方式對所述待身份驗證用戶進行身份驗證。
本實施例中,在利用上述臨限值確定裝置得到了用戶業務變量值、身份驗證識別模型的身份驗證臨限值後,如果接收到需要對用戶帳戶進行身份驗證的請求,首先可以利用用戶業務變量值確定待身份驗證用戶是否為不活躍用戶;如果是不活躍用戶,那麼再利用身份驗證識別模型對用戶進行識別,確定該用戶是否為不活躍用戶當中具有風險的用戶,例如以修改密碼行為為例,確定目前請求修改密碼的用戶是否正在盜取該帳戶;再例如,目前待身份驗證用戶是否為安全感訴求較高,不希望進行弱校驗的用戶等。身份驗證識別模型會針對待身份驗證用戶對應的相應特徵對用戶進行評分,透過比較分值和該身份驗證識別模型對應的身份驗證臨限值後,確定該待身份驗證用戶是否具有風險,如果有風險則採強校驗身份驗證方式;如果所要使用的一個或多個身份驗證識別模型對該待身份驗證用戶的識別結果均為無風險用戶時,採用弱校驗身份驗證方式。
本實施例的一些技術細節可參考上述臨限值確定裝置中的描述,在此不再贅述。
本案實施例利用臨限值確定裝置最佳化得到的用戶業務變量值、身份驗證臨限值以及身份驗證識別模型對用戶進行識別,以確定對用戶採用強校驗身份驗證方式還是採用弱校驗身份驗證方式。透過這種方式,可以將不活躍用戶的範圍最大化的同時,能夠從不活躍用戶中識別出具有風險的用戶,也即這樣既能滿足不活躍用戶的弱校驗身份驗證需求,又能從中識別出需採用強校驗身份驗證的用戶,能夠實現用戶體驗和風險控制的平衡。
在本實施例的一個可選實現方式中,所述身份驗證識別模型包括:盜用風險識別模型、安全感識別模型和/或修改密碼動機異常識別模型;其中,所述盜用風險識別模型用於識別帳戶被盜用的可能性;所述安全感識別模型用於識別用戶對於帳戶安全性的高低訴求程度;所述修改密碼動機異常識別模型用於識別所述用戶修改密碼的行為異常的可能性。
該可選的實現方式中,盜用風險識別模型可以是即時識別模型,主要用於對用戶目前的修改密碼行為進行風險識別。若識別有風險,則對修改密碼用戶進行強校驗身份驗證。安全感識別模型可以是離線識別模型,透過T+1的方式(例如採用目前識別時間之前的一些用戶特徵對該用戶進行識別)對用戶進行識別。用戶若被識別為高危險,則表明該用戶有安全感的訴求,需要用強校驗身份驗證來提高用戶的安全感。修改密碼動機異常識別模型可以即時識別目前修改密碼行為是否合理修改密碼,比如當用戶其實是在當天有過透過密碼支付的情況下再進行修改密碼,則動機不合理,應該給予強校驗身份驗證。
該可選的實現方式中的其他細節可參考上述臨限值確定裝置中的描述,在此不再贅述。
在本實施例的一個可選實現方式中,如圖8所示,所述第四確定模組703,包括:
第一確定子模組801,被配置為根據第一識別結果以及所述盜用風險識別模型對應的所述身份驗證臨限值確定所述待身份驗證用戶的第一身份驗證方式,根據第二識別結果以及所述安全感識別模型對應的所述身份驗證臨限值確定所述待身份驗證用戶的第二身份驗證方式,並根據第三識別模型以及所述修改密碼動機異常識別模型對應的所述身份驗證臨限值確定所述待身份驗證用戶的第三身份驗證方式;其中,所述第一識別結果、第二識別結果和第三識別結果分別為所述盜用風險識別模型、安全感識別模型和修改密碼動機異常識別模型對所述待身份驗證用戶的識別結果;
第二確定子模組802,被配置為在所述第一身份驗證方式、第二身份驗證方式以及第三身份驗證方式均為弱校驗身份驗證方式時,確定所述待身份驗證用戶的身份驗證方式為弱校驗身份驗證方式。
該可選的實現方式中,採用盜用風險識別模型、安全感識別模型和修改密碼動機異常識別模型對不活躍用戶進行識別,並在上述三個識別模型的識別結果均為待身份驗證用戶無風險,可以採用弱校驗身份驗證方式時,才對該待身份驗證用戶採用弱校驗。弱校驗身份驗證方式可以是單因子身份驗證方式,也即採用手機驗證碼、身份證號等單個因素進行校驗的方式,而強校驗身份驗證方式可以是多因子身份驗證方式,例如採用身份證號和/或手機驗證碼對用戶識別後,還採用人臉識別等方式,強校驗身份驗證方式的校驗強度高於弱校驗身份驗證方式,採用的校驗因子較為可靠,步驟較為繁瑣。透過本實施例這種方式,既可以將不活躍用戶的範圍最大化,同時還能夠從不活躍用戶中剔除有盜用帳戶風險的用戶、安全感訴求較高的用戶以及修改密碼動機有異常的用戶,而剩下的不活躍用戶都可以採用弱校驗的方式。
如上述所述,安全感訴求識別模型為離線識別模式,可以定期對用戶的安全感訴求進行識別,並保存其識別結果。因此,在響應於針對該用戶的身份驗證請求時,可以利用盜用風險識別模型以及修改密碼動機識別模型對該用戶進行在線識別,而安全感識別模型的識別結果可以直接獲取,也即從相應儲存位置處獲取之前利用安全感識別模型對該用戶的識別結果。
可以理解的是,盜用風險識別模型和安全感識別模型不一定在用戶請求修改密碼時對用戶進行身份驗證識別,在其他需要的場景下也可以對用戶進行身份驗證識別,具體可以根據實際情況進行選擇,對此不做限制。
在本實施例的一個可選實現方式中,所述第四確定模組703,還包括:
第三確定子模組,被配置為在所述第一身份驗證方式、第二身份驗證方式以及第三身份驗證方式中的至少一個為強校驗身份驗證方式時,確定所述待身份驗證用戶的身份驗證方式為強校驗身份驗證方式。
該可選的實現方式中,如果盜用風險識別模型、安全感識別模型和修改密碼動機異常識別模型中的任一一個的識別結果表明,目前待身份驗證用戶為具有風險的用戶,需要採用強校驗身份驗證方式,那麼最終採用強校驗身份驗證方式對該用戶進行身份驗證。也就是說,待身份驗證用戶只要存在其中之一的任意一種風險或異常,則對該用戶採用強校驗身份驗證方式。透過這種方式,可以盡可能地降低用戶帳戶風險。
圖9是適於用來實現根據本案實施方式的臨限值確定方法的電子設備的結構示意圖。
如圖9所示,電子設備900包括中央處理單元(CPU)901,其可以根據儲存在唯讀記憶體(ROM)902中的程式或者從儲存部分908加載到隨機存取記憶體(RAM)903中的程式而執行上述圖1所示的實施方式中的各種處理。在RAM 903中,還儲存有電子設備900操作所需的各種程式和資料。CPU 901、ROM 902以及RAM 903透過匯流排904彼此相連。輸入/輸出(I/O)介面905也連接至匯流排904。
以下部件連接至I/O介面905:包括鍵盤、滑鼠等的輸入部分906;包括諸如陰極射線管(CRT)、液晶顯示器(LCD)等以及揚聲器等的輸出部分907;包括硬碟等的儲存部分908;以及包括諸如LAN卡、調變解調器等的網路介面卡的通信部分909。通信部分909經由諸如網際網路的網路執行通信處理。驅動器910也根據需要連接至I/O介面905。可拆卸媒體911,諸如磁碟、光碟、磁光碟、半導體記憶體等等,根據需要安裝在驅動器910上,以便於從其上讀出的電腦程式根據需要被安裝入儲存部分908。
特別地,根據本案的實施方式,上文參考圖1描述的方法可以被實現為電腦軟體程式。例如,本案的實施方式包括一種電腦程式產品,其包括有形地包含在及其可讀媒體上的電腦程式,所述電腦程式包含用於執行圖1的方法的程式碼。在這樣的實施方式中,該電腦程式可以透過通信部分909從網路上被下載和安裝,和/或從可拆卸媒體911被安裝。
圖9所示的電子設備同樣適於用來實現本案實施方式的身份驗證方法。
圖式中的流程圖和方塊圖,圖示了按照本案各種實施方式的系統、方法和電腦程式產品的可能實現的體系架構、功能和操作。在這點上,路程圖或方塊圖中的每個方塊可以代表一個模組、程式段或程式碼的一部分,所述模組、程式段或程式碼的一部分包含一個或多個用於實現規定的邏輯功能的可執行指令。也應當注意,在有些作為替換的實現中,方塊中所標注的功能也可以以不同於圖式中所標注的順序發生。例如,兩個接連地表示的方塊實際上可以基本並行地執行,它們有時也可以按相反的順序執行,這依所涉及的功能而定。也要注意的是,方塊圖和/或流程圖中的每個方塊、以及方塊圖和/或流程圖中的方塊的組合,可以用執行規定的功能或操作的專用的基於硬體的系統來實現,或者可以用專用硬體與電腦指令的組合來實現。
描述於本案實施方式中所涉及到的單元或模組可以透過軟體的方式實現,也可以透過硬體的方式來實現。所描述的單元或模組也可以設置在處理器中,這些單元或模組的名稱在某種情況下並不構成對該單元或模組本身的限定。
作為另一方面,本案還提供了一種電腦可讀儲存媒體,該電腦可讀儲存媒體可以是上述實施方式中所述裝置中所包含的電腦可讀儲存媒體;也可以是單獨存在,未裝配入設備中的電腦可讀儲存媒體。電腦可讀儲存媒體儲存有一個或者一個以上程式,所述程式被一個或者一個以上的處理器用來執行描述於本案的方法。
以上描述僅為本案的較佳實施例以及對所運用技術原理的說明。本領域技術人員應當理解,本案中所涉及的發明範圍,並不限於上述技術特徵的特定組合而成的技術方案,同時也應涵蓋在不脫離所述發明構思的情況下,由上述技術特徵或其等同特徵進行任意組合而形成的其它技術方案。例如上述特徵與本案中揭示的(但不限於)具有類似功能的技術特徵進行互相替換而形成的技術方案。
S101, S102:步驟
S201, S202:步驟
S301, S302, S303, S304:步驟
S401, S402:步驟
501:獲取模組
502:第一確定模組
601:構建子模組
602:求解子模組
701:第二確定模組
702:第三確定模組
703:第四確定模組
704:身份驗證模組
801:第一確定子模組
802:第二確定子模組
900:電子設備
901:中央處理單元(CPU)
902:唯讀記憶體(ROM)
903:隨機存取記憶體(RAM)
904:匯流排
905:輸入/輸出(I/O)介面
906:輸入部分
907:輸出部分
908:儲存部分
909:通信部分
910:驅動器
911:可拆卸媒體
結合圖式,透過以下非限制性實施方式的詳細描述,本案的其它特徵、目的和優點將變得更加明顯。在圖式中:
圖1示出根據本案一實施方式的臨限值確定方法的流程圖;
圖2示出根據本案一實施方式的臨限值確定方法中最佳化演算法的流程圖;
圖3示出根據本案一實施方式的身份驗證方法的流程圖;
圖4示出根據圖3所示實施方式的步驟303的流程圖;
圖5示出根據本案一實施方式的臨限值確定裝置的結構方塊圖;
圖6示出根據本案一實施方式的臨限值確定裝置中最佳化演算法的結構方塊圖;
圖7示出根據本案一實施方式的身份驗證裝置的結構方塊圖;
圖8示出根據圖7所示實施方式的第四確定模組703的結構方塊圖;
圖9是適於用來實現根據本案一實施方式的臨限值確定方法的電子設備的結構示意圖。