TWI233288B

TWI233288B - Methods and apparatus for dynamic user authentication using customizable context-dependent interaction accross multiple verification objects

Info

Publication number: TWI233288B
Application number: TW092120785A
Authority: TW
Inventors: Ganesh N Ramaswamy; Ran Zilca; Oleg Alecksandrovich
Original assignee: Ibm
Priority date: 2002-10-30
Filing date: 2003-07-30
Publication date: 2005-05-21
Also published as: CN100380271C; EP1563363A2; US8171298B2; KR20050075344A; AU2003261199A1; US20040088587A1; WO2004042540A3; CA2498603C; US8656469B2; WO2004042540A2; CA2498603A1; KR100901238B1; CN1688953A; US20120131658A1; US20080005788A1; TW200412775A; JP2006505051A

Description

1233288 五、發明說明（1) 一、【發明所屬之技術領域】本，明有關確真技術，尤其是有關提供使 J確認物件的定做内X依存十生互動之動態使用者確；之：二、【先前技術】確真使用者主張之身分在保護系統、網路、施的安全、共於物質的和邏輯的存取中是一項重要現存的使用者確^通常在單一確認物件的使用者知識基礎上執仃，例如，密碼或個人識別號（PIN)。現用者也可能在單一確認物件擁有的基使用者霍真 ”。其他現存確真技術包括使用單一物件，例,:，指紋、聲紋、虹膜或面部掃描W田作確確5忍係典型地藉著比較在使用者嘗試使確認物件和先前儲存的物件來斤纹付的子，假如在從使用者嘗：：卜。如此，在指紋的例存的指紋（可能在某較早°時 Y斤獲得的指紋符合預先儲予。假如不符a Λ田早^'間取自使用者）’於是使用被准丁攸戈+付口使用就被拒絕。無論如何，這此王目六人人士笋匙戋穷碼可At # 見存的確真技術有許多缺點。例如，鑰延或在碼可此破偷或生物特徵可 (c⑽promised)，如，使用假指紋。月豕此近來的技術嘗試使用 _ 部和聲紋辨別。無綸 2 個生物辨別技術，例如面得及分析每一生‘ :7可、，f些技術典型地依序並獨立獲物特被，亚僅以預先決定的靜態方式結合

第7頁 1233288

因而沒有利用任何 ’現存的確真技術者限定、交易限定一個使用者特定的使用者可能不能夠制可能是百萬元的確真。一個應用方根本的安全問題不法對處理這些限制在安全和確真的重能夠提供高度彈性框架有明確的需求五、發明說明（2) 隶後輸出，進一步不同的使用求。例如，上有傷口的易限定的限要求較高的業務應用為存的確真方因此，缺陷下，對改善的確真三、【發明本發明彈性、準確用共享内文適應多樣化者確認而實確、便利及本發明含下面的步入的至少一作跨行於該的互動。的彈性以滿足定的限制或需生物测量學間缺乏提供足夠或應用方式限限制可能是一個在他的手指使用指紋辨別系統。一個交交易相對於十元的交易應該式限定的限制可能是以銀行可能適合一個旅行應用。現或需求是非常不夠彈性的。要性成長及現存確真系統的、準確、便利及/或強健性之内容】提^刹個與現存的確真框架相比，提供較大的社人j及強健性改善的確真框架。這是藉著使 HI二重確真物件及允許可定做的互動設計來現。、言者偏好和交易/應用程式需求之動態使用 # μ ^樣一個框架有利於提供高度的彈性、準強健性。 τ ，—個用於使用者確真自動化的技術包邻八妹人。首先，獲得使用者輸入。該使用者輸 "刀…合兩個或多個確認物件。然後，依照運 “ 或夕個確認物件共用的内文之至少一個確

第8頁 1233288 五、發明說明（4) ，服器之間的溝通介面可以支援確認期間、登記以/ 管理期間。 4 本發明的進一步方面，該使用者確真技術包含使用至少一個確認方針和依照該至少一個確認方針可運作確認使 =者的確認手段，其中該至少一個確認方針依照該確^手祅可實作成為一個狀態機械。需要知道的是，以多種實作予以實現，例如，、、且可以被以硬體、軟體、及/或其結合實作。 ^發明的另一方面，該使用者確真技一個確認物件和依昭該至少一個 ^ ^ ^ ^ ^ 者的確蜱手❾Γ ;：個確逐物件可運作確認使用社人確二引Ϊ，少一個確認物件是一個：（i)不用物“ = = 相關於該至少一個確認内含的；（νΓ能Λ者另的資Λ先登記；（1U)動態的；㈤多重輸入的特月;^另物件繼承至少一個特性；（Vi)具有的。内含的加權的；以及（Vi⑴能夠被操控基於物件的固有;二2 =而要使用者輸人，例如，一個一個物件繼承特性刀/、，，承性，是表示一個物件可以從另稱為汽車顏色的新創：：可假如-個物件稱為顏色，-個色）的特性。可以被產生繼承來自親物件（顏本發明的另一方面士一個使用者模型和依昭> °亥使用者確真技術包含使用至少運作以確認使用者，亥至少一個使用者模型將確認手段 (i)代表一個或多個’使用中^亥至少一個使用者模型是一個：吏用者偏好；及（i i)能夠修改供後續 1233288

用者確認使用。攸以下圖示實施例的詳細說明，特徵以及本發明的優點是顯而易見的這些及其他的物件、四、【實施方式】而，ΙΪΞ:一示範的主從式系統架構來闡明本發明。然可卢、、乏丄靡用不限疋使用於任何特定的系統架才冓。本發明廣泛地應用於任何希望能夠提供高度彈性 y或強健等特性之確真框架的系便利接在_钯^ z t貫在早一電腦糸統或是以適當的網路連接在起的硬合電腦系统’其實例將在下面說明。入= ΐ在此詳細解說的實例，本發明提供一個允許完 ii交之：：程式設計模式，以滿足各種使用者東，包：定的限制，及其他相關的需水’ a括多重確認物件。盥李使得動態使用者確真程序可以在使用者 =統互動中即時反應改變。高度彈性的架構容許在任何打候增加新的確認物件和確認策略；且包含一個共同的上 :文和關聯資料結構，如此，整個確真互動可以在這一共享上下文上運作。 >在-具體實施例中’互動設計是以XML(可擴充標記語 ° eXtenSible Markup Language)實作成統計式狀態機 (state machine)的確真方針為基礎。此外，有一個檔案指定相關確真物件（例如，要問的問題、要執行的動作，… !233288 五、、發明說明（6) _ _^ ί)件及Λ個，含使用者特性資料(例如，使用者選擇的念古 =件和正確的回答、使用者偏好使用者4擇的確真可以XML實作。荨）的槽案’這兩者也以有效的確真方針（基於 :所選擇)為基礎，使用共用上下：J:，和交土或應用需的確真物件和有重用性的使文運作，進一步利用有效被動態決定。特f生貧料，整個確真互動廷樣的方法與現存的確真系、^ ^ ^ ^ ^ ^ ^ ^ 確真能力，且保證非常高的精確度供重大改善的性。隹度弹性、便利及強健技術=下::::要下:詳(:)τ:物實^ 確認d =確認方針總管；及（3)使==擎；⑴ 萑3心物件疋可以用來確認使用者用者的生物特徵（如，聲紋、指紋·、面部刀的物件，例如使手寫簽名、鍵盤動力（dynamics)等）。以^二斑工膜掃描、確認引擎用來比對確認物件和儲存:J 2 2 =物件。代表。4認引擎的例子包括比對使用者指杈型中的統、評估口語回答問題的交談式系統、如舞立曰紋辨識系擷取及辨識使用者口語語調的交談式耳9回應系統、統可能也包括語音合成系統用來產生合成此曰的父談式系一個語音或聲紋辨識系統（可能包含自然、σ題和提示）如及比對使用者電話號碼的發話人身分支術）、擷取辨硪糸統、掃描使用 1233288 五、發明說明（7) 者識別證或卡的識別證閱讀機、確認使用者個人識別號碼 (P I N )的個人識別號碼確認系統、擷取及比對使用者面部掃描的面部辨識系統、擷取及比對使用者虹膜掃描的虹膜辨識系統、辨識使用者筆跡的筆跡辨識系統、比對使用者鍵盤動力（dynamics)的鍵盤動力（dynamic)辨識機，以及其他在此討論的特殊形式引擎，及/或除此以外可知的。既&這些類型的引擎是眾所周知，進一步詳細描述這些引擎是、'不需要的’就不在此提供。再一次，以上列舉引擎並非所有的例子，進一步地，本發明沒有限制任何特別的確認引擎0 雖然確認引擎典用者輸入與使用者登限定確認引擎需要使監督之確認引擎，也擎時，可以採用單一的使用者特性。例如辨識、語言識別、和偵測）。在這情況下：而且使用唯一的使用言、眼睛的顏色、及因此，本發明領執行以預先定義之靜多重確認物件來執行精確度和彈性 5L i執行使用者確認，是藉著比較使記時產生的使用者模型，本發明並不用者登記。不需要使用者登記的未經可被使用。當使用未經監督之確認引使用者模型，包含由確認弓丨擎所估量，可以使用下列確認引擎面部特徵偵測（如，眼睛的顏色，眼^ '二二一二確：引擎需要使用者登記、兄者杈型私疋使用者的語音腔調、語他/她是否配戴眼鏡。 σ 悟到，雖然可以使用伽態方式運作的簡單確認步驟u 達到= 叙化的㈣是必需的。本發個

第13頁 1233288 五、發明說明⑻ 一 ' 供這樣一個改良的確真框架。為了貫現廷個及其他的目標，本發明採用確認策概心，決定使用者和包括確真系統之整體系統，及不^的認引擎之間的互動。可以書寫任意個數的確認策略以^ f 各種廣泛的使用者限定、交易限定或應用程式限定的^ : 需求，包括即時改變的需求。 ” 如同即將看到的，這樣的確認策略由確策理，在跨所有確認物件的共用上下文上運作，=達;;= 系統最大的可程式化能力。一 ^在本發明的一個實施例中，確認策略實作一有限狀態機（finite state machine)，在一個或多個確認物件上^ 作從一個初始狀悲開始，隨著不同的確認物件被運用， 2換到其他狀態，包括使用者被接受或是拒絕的終止狀態。在某些例子，可能有多個狀態允許接 ^ ^^ ^ Λ . t Λ „， =2，等），以滿足正在處理中之交易的變更安全性需求。確認物件的登記記錄中引入新物件的規格，確認策略總管容許新的確認物件在任意時間加入，其後，就可以利用引用新確認物件的確認策略。㈣i ϊ1者在註冊系統時典型地產生使用者模型，利用輸入(例如’聲音的樣本、指紋樣本、對個人 ^斗、聂近，或經由其他手段取得（過去交易的詳細資 ^ ^早的結餘狀况、核發的金鑰或識別證的序號、 ι含在曰°慧卡或客戶軟體的加密金鑰等）。

1233288 五、發明說明（9) 若有需要時，使用者模型 ^ ^ ^ 新的帳單及結餘狀況改變，新’例如當核發個別的使用者模型包含使用i二有更多有效的聲音樣本。句括相椚认士 M L 用者關於所有確認物件的資訊，

包括相關於確認物件的任何# otL

偏好關於顏色的問題勝過數字=偏好(例：，使用者可能 ==運”確認物件，例如，詢問使用者他的社J 到的例子並不意謂著對本發明的限制。棱太々ί T:土本發明的原理及特性之-般敘述，現在將於本文圖不中介紹這些原理及特性的實施例。、直系照第1圖’一個方塊圖圖解主從式架構的確 /、糸、洗，根據本务明的一個實施例，使用多重確認物件每作可定做確認。如所示，確真系統100包含一個確認客户具 (client)裝置1〇2和一個確認伺服器（sever)1〇4，經由一網路轉接為（adapter) 1 06連接。確認客戶端丨〇2有内文 (C〇nteXt)108和應用程式11〇與之結合。確認伺服器1〇4包含一個確認策略總管112和複數個確認引擎丨14 —i至丨14-N， NJ以是2，3，4，……，的任意整數，也表示本發明的特定貫作可以支援的確認物件家族或種類之個數。確真系統丨〇〇進一步包含一個資料總管1丨6，一個確認物件儲存體丨丨8，一個確涊策略儲存體1 2 0以及一個使用者模型儲存體1 2 2。雖然資料總管11 6和資料儲存體11 8， 1 2 0和丨2 2是被表示在確認伺服裔盒外’它們可以被實作在確認伺服器上。石崔a忍客戶裝置1 〇 2負責與使用者的介面和從使用者收集

第15頁 1233288 五、發明說明（10) Ϊ二Hr#路轉接器106與確認饲服器104溝通，以及盘通。在本發明的一個實施例中，確認客戶穿置1 0 2也負貝獲取和維護内文1 〇 8。衣在另-個實施例巾，内文108可以儲存在—個中庫（未顯示），可被系統100的其他心科在確認客戶裝置1〇2和確認飼服器104=n貝作，於任何狀態的動作，以致在確切 4 一個不屬以被做為不同的目的使用：n中，不同的伺服器可疋故障的伺服器提供保護對個特平衡。隻也仵以加強伺服器資源的負載用者：ΐ10?穴ί確認程序的所有相關變數，例如：⑴使者名％，（ 2 )貫行中的確認策略之目被引起的確認物件之歷史，，（3)附屬於果；（4)交易限Λ H 與引發結合的分數和結質等);⑸使用者限1V的需；(要求的，確層級、交易的性 (如，網路連接的種類-遠端或的可變因素等）。挪Λ ^域的、聲音頻道的品質内文1 0 8也可記錄來自外部確切分數的其他變數。例如，進^ ^示）所代表確認他的銀行卡片之後，就已經確切、二=，在入口處刷了内文m成為一項外部分數，且㈣那:員-貝訊可以被包括在為後續的確真程序。在櫃至或自動櫃員機被用來在内文m中包括的起始變數是相關於確認物件的系統 1233288 五、發明說明（11) 默認變數和其他在起始建系統100加入額外的確認物件^^知與需求。無論如何，當 108可能加入使用者定義的變^ : s見新的需求時，内文網路轉接器106使客戶裝通。網路轉接器丨06實作網於σ石s忍伺服器1 04得以溝制協定（TCP)/網際網路通傳^協定’例如標準的傳輸控協定。需要了解到在確戈是安全插座層剛施例中，網路轉接器是；需：1 的〇°，作在單-電腦系統的實如所示，確認祠服哭彳η /1丄 , 套確認引擎個確認策略總、管112和一定的確認物件上運作或是j家^^確認引擎在一個給 r ^ ^ 個豕私（種類）的確認物件。例二：確認引擎可以在-個特別的指紋或不同型態 :Ϊ Ξ /Λ指指/、食指指紋等)運作。同樣地，-個知减確，引擎可以在不同種類的口令_應答問題運作。彈性的架構使付可以容易增加新的確認引擎和確認物件。增加的確認引擎可以具有新的型態或是現有的型離。 =如’面部辨識引擎彳以被加入先前由聲紋和指紋辨^ =組成的確認祠服器中’或是可以增加第二個聲紋辨識引擎（例如，可以來自不同的廠商）。同樣地，新的確認物件可以加入到新的確認引擎或現存的確認引擎（例如，增加一個新的問題到一個已存在的知識確認引擎）。確認策略總管1 1 2對一個給定的使用者模型解譯確認策略，以及驅動整個確真程序。策略總管丨丨2從確認客戶裝置 102接收目前的内文108，運作内文，合併目前確認物件的

第17頁 1233288 五、發明說明（12) 更新狀態，且傳回給確認客戶裝置1〇2 —個更新過的内文和在確認程序期間將採取的下一步驟之規格。在本發明的一個實施例中，確認策略總管ιι2負責在有限狀態機中喚起狀態、解譯狀態機的條件和分支到下個狀，。確認策略總管112是對確真程序決定最終接受或拒絕的貫體，在某些例子，假如實行中的確認策略准許，也可能做中間決定，如果目前的交易需要這個決定。資料總管1.16構成要素控制外部的儲存體資源，包括確 =物件儲存體118、確認策略儲存體12〇和使用者模型儲存 -1 2 2。延些育源可能直接被確認伺服器丨〇 4 (確認策略姊管 112或是個別的確認引擎丨以^至丨^N)使用。在另一實‘施 Π ’ ί些資源可能被確認客戶裝置102使用，而且經由網路轉接器1 0 6運送到確認伺服器丨〇 4。 f用程式110在允許使用它之前，使用者確真是必需 ^例的應用程式包括銀行業務應用程式、旅行應用程 it!子郵件應用程式。應用程式11G負責提供得到内文變 ^目則的數值；及得到所有内文變數和他們目前的數值列本發明沒有限制在這些特以上所列並非所有的運作別的實例運作。成要’在另一實施例甲’與確認伺服器結合的構此ΪΓ 路轉接器106自己與另一個要素溝通。因】nR k σ，〃個或多個確認引擎114可能通過網路轉接 1 0 6與確認策略掏、誉彳彳9、、蕃、g ^ ^ 妾裔 ^ & 1 2 /冓通。有關確認滚略總管11 g和資料

1233288 五、發明說明（13) 總管116，以及資料總管U6和資料儲存 19ΠΜ199^ 相似分散式安排可能存在。因此，圖 ’ 1 20及1 22的互連接是作例證的，也因此，其他：1 人所二的構成要素的相實作來提供本發明的確真功能適5的相互連接可以被 1明現ίΪΤΪ2/，根據本發明的—個實施例，以方塊圖多重確認物件的可定做確認之示範，驷系、，先％浼。舉例來說，電腦系統200可以式電腦系統的一部分，1中傕用去莊丄干刃也 a”交v ^ i I、，、者猎由電腦系統2〇2(被歸 ^客戶或客戶t置）通過網路206與另一電腦系統2〇4(被溝通。這個網路可能是電腦系統穿過它可以網路’例如，網際網路或全球資訊網、 u ϊί:無r:何’本發明沒有限制任何特別類型的路。事貝電恥系統也可能是直接連接沒有經過網糸#進姻ί! -Τ為了簡化，雖然在第2圖中只有顯示兩個電腦二士 ’ ：以連接多數個客戶裝置和多數個伺服器。無 :徒i!!的技術也可以實作在-個單-電腦系統，朱ί匕客與戶執，確真運作的電腦系統互動^ 確認伺服=(及客它戶的裝^ 自分別的物件、策略素）、資料總管116，以及各 ^ ^ 4 VV '12Μσ122) 2〇6實作。 ζϋ4貫作。網路轉接器106因而依照網路口此第2圖廣泛地說明各電腦系統通過網路溝通的示 1233288 五、發明說明（14) 範架構。如所示，電腦系統2〇2包含一個處理器2〇8_八、記憶體210-A及輸入/輸出裝置212_A，全部經由電腦匯流排 214-A連接在一起。同樣地，電腦系統2〇4包含一個處理哭 208-B、記憶體21〇-B及輸入/輪出裝置212_B，全部經由^ 腦匯流排2 1 4 - B連接在' 起。在此所使用的詞彙"處理器”用來包括一個或多個處理二置，包含中央處理單以CPU)或其他處理電路。同樣地， f此所使用的詞彙"I己憶體"用來包括與處理器或中央處理 =兀（CPU)結合的記憶體，例如隨機存取記憶 J記憶體(應）、固定的持久記憶裝置（如，硬式磁唯 :二移動的持久記憶裝置(如，磁盤或光學唯讀記憶體 )^外’在此所使用的1司彙"輸入/輸出裝置"用來包 t個或夕個作為輸人資料到處理單S的輸人裝置（例如， J盤、’滑鼠），和-個或多個作為提供與處理單元姓处果的輸出裝置（如，陰極射線管（CRT)顯示器）。進二:: 電腦系統202結合的輸入/輸出裝置包括直^ 物件結合之特別資料所必要心置被=糸》料作為聲紋辨識及/或回答提出的問題之麥克風 p吏用者輸出問題之揚聲器、面部掃描器、指紋掃描器等。虹膜拎描裔、在第2圖所示的客戶電腦系統可以構作本發明技術之電腦系統，例如，個人電皮私式設計以實理、移動電話等，地，在第2圖所示\月二個人數位助可以構成被程式設計以實作本發明技術之的二服系，电細糸統’如個

1233288 五、發明說明（15) :::特ΞΓ:、微型電腦等。無論如何，本發明沒有限 WU特別的電腦架構。被儲：ί ΐ個t f發明所述方法的軟體指令或程式可以體（ROM、 —5夕固結合的纪憶體裝置，例如，唯讀記憶入隨彳l、；r\固定或可移動的記憶體，且在準備使用時，被載規/奋§己憶體（RAM)及由十央處理單元（CPU)執行。這個特別二，ΐ 3圖，是一個確認物件登記記錄的例子。在 XML声一 \貫施例中，登記記錄3〇〇使用可擴充標記語言又不且儲存在確認物件儲存體1 1 8 (第1圖）。該f格包含全部已登記物件的敘述，當增加新的確認 Datl f匕ι7以被更新。在這個例子中的第一個物件（30 2 )是倉^日 Γ 主 rth(D〇B)物件，它具有 Questi〇n-AnswerCQA)型二土運作這個物件的確認引擎是知識確認引擎。一個 # =也被包括來提示使用者所需要的回答當這個物件抑拖。„寸 '但如果需要的話，提示可能被確認客戶修改或聯的困tf^UPei：PleXity)"是一個數量表示與確認物件關 —、、又’可以有選擇地被確認策略總管用來做確認決疋0 濟狄t ^例子中的第二個物件（3〇4)是〇&1 ler—ID，就電話二^，它S甙比對電話發話號碼與相關的使用者模型石结读二Ϊ碼。沒有指定提示，因為這項資訊可以從電話基楚建a又中自動獲得不須使用者任何輸入。子f第三個物件(3〇6)是聲紋物件，在這個例子 ^ 9疋型悲，因為聲紋確認引擎運作唯一型態的確認

第21頁 1233288 五、發明說明（17) 名稱。最後兩個物件（CUR_BALANCE 412和 LAST — TRANSACTION一DATE 414)沒有任何正確的回答被包括因為他們是動態確認物件，目前的正確回答必須從應用程式獲得。如上面所提，依照本發明，任一物件可以即時更新或刪除，且新的物件可以即時增加。現在參照第5圖，是一個確認策略的例子。在這個特別的實施例中，確認策略5 0 0被實作成一個有限狀態機且使用擴充標記語言XML表示。對應的有限狀態機表示在第6圖。

確認策略5 0 0最好被儲存在確認策略儲存體1 2 〇 (第1圖）。確認策略5 0 0描述與銀行業務應用程式結合的一個簡單的策略。較特別地，策略決定一個使用者（可能是銀行客戶）正試著存取到使用他/她的銀行帳戶，及確真系統正在經由多重確認物件，如銀行客戶的電話號碼、銀行客戶的生日、銀行客戶的汽車顏色、銀行客戶的聲紋等確認使用者身分的情況。無論如何，如先前所提到的，本發明沒有限制任何特別的策略或應用程式。下面的說明將參照位在確認策略5 0 0左手邊的行號（如，行卜53)。

首先’在第5圖中，内文變數如ncurBalancen(行4) 和n lastTransact ionDaten (行6)被初始化為預設值來處理動態確認物件例如"CUR —BALACE” 及"LAST一TRANSACTI01DATE”。這些變數將以來自應用程式的輸入隨後被更新。變 ' 數"111111¥〇。6?]：丨1^3〇0『6’’（行5)被用來指定可接受的聲紋符

第23頁 1233288 五、發明說明（18) 合最低分數。這個變备策略可能有不同的預於佶預设值被確認策略指定。不同的有一個較高的最低分例如，一個比較嚴謹的策略可態被自使用者模型（視為传田f另一個實施例中，預設值可能易限定或應用程式限定•限定需求）或應用程式（視為交然後，有關於策：二未的數值蓋寫。用來決定狀態轉換或是I::條f被指定，這些將隨後被二文變數、數值常數和字串字母。表示式可此G 3運^，例如邏輯錢!^^、不等於（！=)、小於（<)、小於笙私"、丄/ y 小於4於（< = )、大於（>)、大於箄於（>-)、乘（*)、除（/)、加（+ )以及減（―）。、例如，條件”〇NE 一 0K"(行1〇) ’是一個稍後被用來決定狀態轉換的條件，假如到目前被引起的確認物件總數是工 (_CUr〇bjeCtNUm=l)而被滿足，且它是—個符合或者是沒有不符合（_CUrWr〇ngNum = 0)。另一個不同種類的例子是條又件"CUR — BALANCE — TEST"(行15)。這個條件被用來評估目前的結存（"C U R — B A L A N C Επ )確認物件。在這個例子令，例如，允許百分之五的誤差’因為一個大約的回答是符合要长的。在條件之後，一組狀態被定義。在這個例子中，有四個狀態：ACCEPT(行 22)、REJECT(行 24)、START(行 27)和 ACCOUNT(行40)。ACCEPT和REJECT是終止狀態，在那裡^出最後的確認決定。START是初始狀態且包含確認物件”CALLER—ID，，、"DOB” 及” CAR —COLOR”。根據預設，確認

第24頁 1233288 五、發明說明（19) 物件被隨機選擇，但是相對權重可以被有選擇性的指定來修改一個物件可能被選中的機率。轉換到ACCOUNT狀態發生在如果滿足前兩個條件之一（〇NE_OK或是 TWO —〇K_ONE —BAD)，轉換到REJECT狀態發生在如果滿足第三個條件（TWO —BAD)。

在ACCOUNT狀態，沒有權重被指定，所以全部三個物件有相同隨機被選中的機率。進一步，評估這些物件需要使用不同的測試，且這些被從事先定義的表中選出。基於滿足的條件，轉換到ACCEPT狀態或REJECT狀態之一發生同時相對的最終決定被送至確認客戶裝置1 0 2 (第1圖）。在另一個實施例中，可能在中間的狀態做出中間的決定。例如，假如在START狀態滿足某些條件可以做接受使用者對於低安全性交易的決定，可以在ACCEPT狀態做出接受使用者對於交易的最後決定。

現在參照第6圖，一個狀態轉換圖說明第5圖確認策略例子的狀態轉換。因此，第6圖的狀態圖6 0 0圖示相確認策略5 0 0結合的四個狀態，即，START(狀態60 2 ) 'ACCOUNT(狀態604 ) 'ACCEPT(狀態60 6 )和REJECT(狀態6 08 )。介於狀態之間的箭號表示介於狀態之間的轉換條件，如在上面所述第5圖的確認策略5〇〇的内文裡。《I 最後參照第7圖，一個流程圖說明第5圖的確認策略例子介於確認客戶裝置和確認伺服器之間的確認期間 (session)。例如，這樣的一個確認期間可能發生在介於第 · 1圖的確認客戶裝置1 〇 2和禮認词服器1 〇 4之間。

第25頁 1233288

回欠t ^面所提到’在利用不只一個伺服器的實施例中，統^的S送到最初的词服器’而是可以被送到在確真系的通訊之：Ϊ:服器。Ϊ是由於可能存在這樣一個實施例 α之不屬於任何狀態的主從式特性。步驟708，飼服器（最初的或其五、發明說明（21) ::、更新内文、決定策略的下一個=匕及二 4表中遥擇下一個確認物件（在這個例子中，、 CUR—BALANCE)且與更新過的内文一起送出到客戶。 =驟710，因為CUR—BALANCE物件是一個經常改變的動悲物件，客戶以從應用程式獲得的目前值更新相二内文變數（〇1^&1&11以=1 0 0 0 0 )。在步驟712，伺服器、認給步驟710。丨矛ϋ確在步驟71 4，客戶取得弓丨起的確認物件的回答 (CUR_BALANCE=l〇〇〇〇)，且送回答與目前的内文到伺服器在步驟716，伺服器接著記分確認物件、決定策略^一被滿足，及輸出"ACCEPT"決定。客戶接著結束確認期間广需要了解到的是，介於客戶和伺服器間登記和管理間有各自的要求-應答’是特別對在那些期間執行的運作需要進-步了解到的是’在—個實施例裡，石崔真系統實在一個單一的電腦系統，使用者直接與單—電腦系統互執行與特定的期間結合的運作。雖然本發明的具體實施例已經參照所伴隨的圖式在此敘述，本發明不受限在那些明確的實施例，且熟悉此技術者可以在不脫離本發明的範圍和精神下做出其他各種各樣

第27頁 1233288

第28頁 1233288 圖式簡單說明五、【圖式簡單說明】第1圖是一個方塊圖，例示一例，使用多重確認物件實作 ^據本發明的一個實施系統； λ忭1 2疋做確涊之主從式架構確真例，Γ:Λ一:::Λ，例示 : 二竟使用夕重確5忍物作實作可定做確認之示範的電腦系統第3圖例示依照本發明的一每一個示範規格；個μ知例之多重確認物件的第4圖例示依照本發明的一每件的使用者模型的—個V·二们…j之包括多重確認物第5圖例示依照本發明的一個實施件作為動態使用者確直的可定彳湓】用夕重確涊物格；峥具的了疋做確涊方針的一個示範規第6圖是一個狀態轉換圖，例的狀態轉換；口的確心、方針例子第7圖是一個流程圖，例示第5圖介於確認客戶確認伺服器之間的確認期間的確認方針實例。、置和圖式元件符號說曰月 1 0 0確真系統 I 0 4確認伺服器 108本文 II 2確認策略總管

1 0 2確認客戶裝置 I ◦ 6網路轉接器 2 0應用程式 114-1至114-n確認引擎 1233288 圖式簡單說明 11 6資料總管 11 8確認物件儲存體 1 2 0確認策略儲存體 1 2 2使用者模型儲存體 2 0 0電腦系統 2 0 2電腦系統 2 0 4電腦系統 2 0 6網路 2 0 8 - A處理器 2 1 0 - A記憶體 212-A輸入/輸出裝置 214-A電腦匯流排 2 0 8 - B處理器 21 0-B記憶體 212-B輸入/輸出裝置 2 1 4 - B電腦匯流排 3 0 0登記記錄 302， 304， 306， 308, 310, 3 1 2，3 1 4確認物件 4 0 0使用者模型 402, 404， 406， 408, 410, 4 1 2， 4 1 4使用者模型物件 5 0 0確認策略 6 0 0狀態圖 6 0 2START 狀態 604ACCOUNT 狀態 606ACCEPT 狀態 70 0運作流程 608REJECT 狀態

第30頁

Claims

I2332S82 6 ~^—— ^ m9〇i^ 六、申請專利範圍 1 · 一種作為執行使用者至少-個處理器運：f使用的裝置’包含：用者輸入的至少一部分U)獲得使用者輸入’其中該使照運作跨該雨個赤個或多個確認物件；（U)依 η ^ μ 3夕個確适物件共用的内文之至少一個確 Γ, ’基於該兩個或多個確認物件確認該使用者；及圮憶體，與該至少一個處理器結合，作為儲存至少一個 -。、该使用者確認運作結合的該使用者輸入和結果。 :、如申請專利範圍第丨項的裝置，其中該至少一個處理器可進一步依照分別回應該兩個或多個確認物件的兩個或多個確認程序，運作執行該使用者確認操作。 3·如申請專利範圍第2項的裝置，其中該兩個或多個確認程序分別對至少一個使用者模型比較該兩個或多個確認物件。 4，如申請專利範圍第3項的裝置，其中該至少一個該使用者模型預先儲存在該記憶體中且可以被該至少一個處理器存取。 5 ·如申請專利範圍第4項的裝置，其中該至少一個使用者模型共用於該兩個或多個確認物件間。 6 ·如申請專利範圍第3頊的裝置，其中該至少一個使用者模型以可擴充標記語言實作。 7 ·如申請專利範圍第1項的裝置’其中該至少一個確認策略預先儲存在該記憶體中，且可以被該至少一個處理器存取。 8 ·如申請專利範圍第1項的裝置，其中該至少一個確認策

,— ---4 1Ϊ233288 ；« 92120785 年嗖11邻修正六、申請專利範圍略以可擴充標記語言實作。 9.如申請專利範圍第1項的裝置，其中該内文包含一個或多個與該使用者確認運作結合的變數。 1 0.如申請專利範圍第9項的裝置，其中該一個或多個内文變數表示一個或多個：（i )使用者名稱；（i i )該至少一個確認策略的目前狀態；（i i i )附屬於該兩個或多個確認物件的歷史；（i v )應用程式限定的需求；（v)使用者限定的需求；（vi)物質的和邏輯的可變因素。 11.如申請專利範圍第1項的裝置，其中該兩個或多個確認物件表示至少一個可能用來確認該使用者身分、該使用者知識、和該使用者所有物之物件種類。 1 2.如申請專利範圍第1項的裝置，其中該至少一個處理器可進一步運作來接受對確認策略、確認物件種類、使用者模型、和與該内文相關的變數中至少一個，進行增加、修改、及刪除中的至少一個，供該使用者確認運作後績使用。 1 3. —個使用者確真系統，其中該使用者確真系統依照至少一個客戶裝置運作，該系統包含：至少一個與該至少一個客戶裝置結合的伺服器，其中該至少一個伺服器從該至少一個客戶裝置獲得一使用者輸入，其中該使用者輸入的至少一部分結合兩個或多個確認物件，以及其中該至少一個伺服器依照運作跨該兩個或多個確認物件共用的内文之至少一個確認策略，基於該兩個或多個確認物件確認該使用者。

41BM0371頂-替換頁 112604. p t c 第32頁

SE_92120785 年详修正六、申請專利範圍 1 4 ·如申請專利範圍第丨3項的系統，其中該使用者事先登記一資料，該資料的至少一部分被用來產生一使用者模型’如此該至少一個伺服器在該使用者確認運作中利用該至少一個使用者模型。 1 5 ·如申請專利範圍第丨3項的系統，其中該至少一個伺服器進一步包含兩個或多個確認引擎以執行該使用者確認運作’該兩個或多個確認引擎分別回應該兩個或多個確認物件。 1 6 ·如申請專利範圍第1 3項的系統，其中該内文包含一個或多個與該使用者確認運作結合的變數而且被維持在該至夕一個客戶裝置以及該至少一個伺服器裡。 1 7·如申請專利範圍第丨6項的系統，其中該一個或多個内文變數表示一個或多個：（i)使用者名稱；（i i)該至少一個確認策略的目前狀態；（i i i )附屬於該兩個或多個確認物$的歷史；（i v )應用程式限定的需求；（v )使用者限定的需求；（vi)物質的和邏輯的可變因素。 ^8·如申請專利範圍第丨3項的系統，其中該兩個或多個確 w物件表示至少一個可能用來確認該使用者身分、該使用者知識、和該使用者所有物之物件種類。 ·如申請專利範圍第丨3項的系統，其中該至少一個飼服器可運作接受對確認策略、確認物件種類、使用者模型、和與該内文相關的變數中至少一個，進行增加、修改、及刪除中的至少一個，供該使用者確認運作後續使用。 2 0 · 一個使用者確真的自動化方法，該方法包含步驟：

4IBM037m-替換頁„編挑第33頁卜一H3288•調號 9212犯翌-壬——-—§—-Mz------- 六、申請專利範圍獲得使用者輸入，其中該使用者輸入的至少一部分結合兩個或多個確認物件；以及依照運作跨該兩個或多個確認物件共用的内文之至少一個確認策略，基於該兩個或多個確認物件確認該使用者。 2 1 ·如申請專利範圍第2 0項的方法’其中該使用者碟逐步驟被依照分別回應該兩個或多個確認物件的兩個或多個確認引擎執行。 2 2 ·如申請專利範圍第2 1項的方法，其中該兩個或多個確認引擎分別對至少一個使用者模型比較該兩個或多個確認物件。 2 3 ·如申請專利範圍第2 2項的方法，其中該至少一個使用者模型共用於該兩個或多個確認物件間。 2 4 ·如申請專利範圍第2 2項的方法，其中該至少一個使用者模型是基於依照一使用者登記時獲得的資料事先產生。 25.如申請專利範圍第2 0項的方法，其中該内文包含一個或多個與該使用者確認步驟結合的變數。 2 6.如申請專利範圍第2 5項的方法’其中該一個或多個内文變數表示一個或多個：（i )使用者名稱；（i i )該至少一個確認策略的目前狀態；（i i i )附屬於該兩個或多個確認物件的歷史；（i v )應用程式限定的需求；（v )使用者限定的需求；（vi)物質的和邏輯的可變因素。 2 7 ·如申請專利範圍第2 0項的方法’其中該兩個或多個確認物件表示至少一個可能用來確認該使用者身分、該使用

4IBM0371TW-替換頁112604.ptc 第 34 頁 MM 屢號 92120785 年月骀过加修正六、申請專利範圍者知識、和該使用者所有物之物件種類。 2 8 .如申請專利範圍第2 0項的方法，進一步包含對確認策略、確認物件種類、使用者模型、和與該内文相關的變數中至少一個，進行增加、修改、及刪除中的至少一個的步驟，供該使用者確認運作後續使用。 2 9. —種供使用者確真使用的製造品，包含一個容納一個或多個程式機器可讀媒體，當該一個或多個程式被執行時，實施步驟：獲得使用者輸入，其中該使用者輸入的至少一部分結合兩個或多個確認物件；以及依照運作跨該兩個或多個確認物件共用的内文之至少一個確認策略，基於該兩個或多個確認物件確認該使用者。 3 (K如申請專利範圍第2 9項的製造品，其中該使用者確認步驟被依照分別回應該兩個或多個確認物件的兩個或多個確認引擎所執行。 3 1.如申請專利範圍第3 0項的製造品，其中該兩個或多個確認引擎分別對至少一個使用者模型比較該兩個或多個確認物件。 3 2 .如申請專利範圍第2 9項的製造品，其中該至少一個使用者模型共用於該兩個或多個確認物件間。 3 3 .如申請專利範圍第3 2項的製造品，其中該至少一個使用者模型是基於依照一使用者登記時獲得的資料事先產生。

4IBM0371TW-替換頁112604.ptc 第35頁

92120785 9a 11 26 ^ 年月曰__ 六、申請專利範圍 34.如申請專利範圍第29項的製造品，其中該内文包含一個或多個與該使用者確認步驟結合的變數。 3 5 ·如申請專利範圍第3 4項的製造品，其中該一個或多個内文變數表示一個或多個·· （ i)使用者名稱；（i i)該至少一個確認策略的目前狀態；（i i i )附屬於該兩個或多個確認物件的歷史；（i v )應用程式限定的需求；（v )使用者限定的需求；（vi)物質的和邏輯的可變因素。 3 6 ·如申請專利範圍第2 9項的製造品，其中該兩個或多個確認物件表示至少一個可能用來確認該使用者身分、該使用者知識、和該使用者所有物之物件種類。 3 7 ·如申請專利範圍第2 9項的製造品，進一步包含對確認策略、確認物件種類、使用者模型、和與該内文相關的變數中至少一個，進行增加、修改、及刪除中的至少一個的步驟，供該使用者確認運作後續使用。 38· —個蜂真系統，包含：一個確認總管；及與該確認總管結合的一個確認手段；其中該確認總管可運作控制認一使用者；和（i i )定做該者確認。 3 9 .如申請專利範圍第3㈣段定做運作包含至少一個増認策略、一個確認物件種^ 確認内文結合的變數。步驟：（i )依照該確認手段確使用者確認手段以供後續使用的系統，其中該使用者確認手加、修改、及刪除至少一個確、一個使用者模型、和一個與

4IBM0371TW·替換頁 1126〇4.ptc

第36頁 mil 92120785 六、申請專利範圍 4〇·如申請專利範圍第38項的系統，其中該使用者確認手 |段定做運作進一步包含定做該使用者確認手段使能夠處理至少一個使用者特定的限制、應用程式特定的限制、和交易特定的限制。 4 1 · 一個確真系統，包含：一個確認總管；及與該確認總管結合的兩個或多個確認引擎；其中該確認總管可運作控制步驟：（丨）獲得使用者輸入，其中該使用者輸入的至少一部分結合兩個或多個確認物丨件；以及（i i )使用該兩個或多個確認引擎，依照運作跨該兩個或多個確認物件共用的内文之至少一個確認策略，基 |於該兩個或多個確認物件確認該使用者。 4 2 ·如申請專利範圍第4丨項的系統，其中該確認策略總管可進一步運作控制至少一個增加、修改、及刪除至少一個 |新的確認引擎。 43:如申請專利範圍第42項的系統，其中該至少一個新的 |碟…引擎回應個現存的確認物件和一個新的碟認物件。 44.如申請專利範圍第41項的系統，其中該確認總管以及至少一個該兩個或多個確認引擎是經由網路結合。

第37頁 45·如申請專利範圍第41項的系統，其中該確認總管及該兩個或多個確認弓丨擎與一個確認伺服器結合，以及其中該 |確真系統包含一個與該確認伺服器溝通的客戶裝置。μ 46·如申請專利範圍第45項的系統，其中該内^儲存在一 1個可被至少該客戶裝置及該確認伺服器存取的中央位置，

4ΙΒΜ037ΓΠ/-替換頁 112604 .ptc 月 '案號 92120785 ^ ^93l lla2B__ 六、申請專利範圍 > 如此該客戶裝置及該確認祠服器可以分旱無狀態的溝通。 4 7 ·如申請專利範圍第4 1項的系統，其中該確真系統進一步包含作為儲存至少一個該確認策略、該兩個或多個確認策略規格、及用來執行使用者確認的一使用者模型之一資料儲存工具。 48·如申請專利範圍第47項的系統，其中該資料儲存工具可為該碟認總管、該兩個或多個確認引擎、以及與該確認總管結合的一客戶裝置中之一者所存取。 4 9 · 一個使用者碟真系統，其中該使用者確真系統依照至少一個客戶裝置運作，該系統包含：至少一個與該至少一個客戶結合的伺服器，其中該至少一個伺服器從該至少一個客戶裝置獲得使用者輸入及基於至少該使用者輸入的一部分確認該使用者，以及進一步其中介於該至少一個客戶裝置和該至少一個伺服器之間的溝通介面依照可擴充標記語言實作。 5〇·如申請專利範圍第49項的系統，其中該介於該至少一個客戶裝置和該至少一個伺服器之間的溝通介面支援至少一個確認期間（s e s s i on)、一個登記期間、一個及管理期間。 51 · —個確真系統，包含：至少一個確認策略；及依照該至少一個確認策略可運作確認使用者的一個確認手段，其中該至少一個確認策略依照該確認手段可實作成為一個狀態機。

41BM0371T1V -替換頁 112604 · p t c 第38頁 —Xd ~1號 92120785__年臀 1L 卻倏正六、申請專利範圍 ' 52·如申請專利範圍第51項的系統，其中該狀態機包含矣少一個在該狀態輸出決定的終止狀態和中間狀態。 53·如申請專利範圍第51項的系統，其中該至少一個確認朿略是動態的。 =4·如申請專利範圍第51項的系統，其中該至少一個確認策略疋以一個或多個能夠分支出一個或多個不同狀態的條件為基礎。、 5 5· —個確真系統，包含：至少一個確認物件；及依照该至少一個確認物件可運作確認使用者的一個確認手段，其甲該至少一個確認物件是至少一個：（丨）不用結合確認引擎而可用來確認；（i i )不必須以相關於該至少一個確認物件的使用者資料事先登記；（丨丨丨）動態的； (iv)内含的；（v)能夠從另一物件繼承至少一個特性；（vi) 具有多重輸入的特徵·’ （ v i i)加權的；以及（v丨丨丨）能夠修改的。 5 6 ·如申請專利範圍第5 5項的系統，其中該確認物件具有一個與之結合的複雜值。 5 7 ·如申請專利範圍第5 6項的系統，其中與該確認手段結合的一確認策略使用該複雜值。 5 8. —個確真系統，包含：至少一個使用者模型；及依照該至少一個使用者模型可運作確認使用者的一確認手段，其中該至少一個使用者模型是至少一個：（i )代

表一個或多個使用者偏好；及（i 〇能夠修改供後續使用者確認使用。 5 9 · —個確真系統，包含：一個確認總管；及一個或多個與該確認總管結合的確認引擎；其中該確認總管可運作控制步驟：（i)獲得使用者輸入，其中該使用者輸入的至少一部分結合一個或多個確認物件；（i i )獲得結合一個外部根源的資料；以及（i i i )使用基於該一個或多個確認物件之該一個或多個確認引擎以及使用該外部根源資料，依照運作跨該一個或多個確認物件共用的内文之至少一個確認策略及該外部根源資料，確認該使用者。 6 0 · —個嫁真系統，包含：至少一個確認策略；及依照該至少一個確認策略可運作確認使用者的一確認手段，其中該至少一個確認策略是以至少一個確認物件、一個或多個内文變數和外部根源資料為基礎。 6 1 · —個確真使用者的自動化方法，該方法包含步驟：依照該確認手段綠認該使用者；及為後續使用者確認定做該使用者確認手段。 6 2 · —個確真使用者的自動化方法，該方法包含步驟：獲得使用者輸入；及依照至少一個確認策略並基於至少該使用者輸入的一部分以確認該使用者，其中該至少一個確認策略可實作成

4IBM0371TW·替換頁112604.ptc 第40頁 92120785 JL 六、申請專利範為一個狀態機。 6 3 ·如申請專利範圍第6 2項的方法，其中該確忍步驟進一步包含輸入至少一個中間決定和終止決定。 64· —個確真使用者的自動化方法，該方法包含步驟：獲得使用者輸入，其中該使用者輸入的至少一部分結合至少一個確認物件；及依照該至少一個確認物件確認該使用者’其中該至少一個確認物件是至少一個：（i )不用結合確認引擎而可用來確認；（i i )不須事先登記與該至少一個確認物件有關的使用者資料；（i i i )動態的；（i v )内含的；（v )能夠從另一物件繼承至少一個特性；（v i )具有多重輸入的特徵；（v i i ) 加權的；以及（v i i i )能夠修改的。 65· —個確真使用者的自動化方法，該方法包含步驟：獲得至少一個使用者模型；及依照該至少一個使用者模型確認一使用者，其中該至少一個使用者模型是至少一個：（i )代表一個或多個使用者偏好；及（i i )能夠修改供後績使用者確認使用。 66 個確真使用者的自動化方法，該方法包含步驟：獲得至少一個確認策略；及依照該至少一個確認策略確認一使用者，其中該至少一個確$忍萊略是以至少一個確認物件、一個或多個内文變數和外部根源資料為基礎。

4IBM0371TW·替換頁112604 .ptc 第41頁