專利名稱:用于基于風(fēng)險的驗(yàn)證的系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明涉及驗(yàn)證;更確切地說,本發(fā)明例如可以用來驗(yàn)證事務(wù)處理(transaction)中的當(dāng)事人(party)。
背景技術(shù):
隨著用于訪問各種服務(wù)以及執(zhí)行各種事務(wù)處理的在線信道的應(yīng)用的增長,身份盜竊已經(jīng)到了傳染性的地步,并且在線帳戶接管和事務(wù)處理欺詐正以大的速度不斷增加。欺詐者已經(jīng)在他們的處理中具有了新的技術(shù)例如″特洛依木馬″和密鑰記錄器被安裝在信任的用戶計(jì)算機(jī)中,從而把個人信息發(fā)送回欺詐者;并且釣魚式攻擊哄騙用戶交出個人和金融信息(非限制性地例如社會安全號(″SSN″)、帳戶號碼、銀行業(yè)務(wù)信息、用于各種服務(wù)的用戶名和口令、個人識別號(″PIN″)、信用卡號,這些也可稱為例如″用戶憑據(jù)″或″憑據(jù)″)。
最近的欺詐行為確實(shí)地顯示出復(fù)雜的、確定的、創(chuàng)新的并且有組織的在線犯罪波動。欺詐者比以往更加具有適應(yīng)性,他們很快就更改了他們的作案手法和技術(shù)以進(jìn)行新的攻擊。雖然欺詐者沒有將他們自己限制在特定方面,但是他們主要集中于銀行業(yè)務(wù)和金融賬戶方面(其它有欺詐傾向的部分是政府業(yè)務(wù)、ISP、電信公司和保健以及許多其它方面)。
一個問題是驗(yàn)證-服務(wù)或事務(wù)處理提供商怎樣確實(shí)地知道在某個站點(diǎn)訪問服務(wù)并執(zhí)行動作的某個用戶是否確實(shí)是他或她所聲稱的人。顯然,在當(dāng)今的環(huán)境中,僅僅使用登錄和口令的組合(這仍然是大多數(shù)普遍的驗(yàn)證方法)可能是不令人滿意的。
已經(jīng)有許多的解決方案被建議用于驗(yàn)證問題,然而其中的很多方法遇到了適用性與安全性之間的不平衡性-它們要么不夠安全,要么當(dāng)安全性被增強(qiáng)到令人滿意的程度時,它們在采用并操作時卻又是麻煩并且昂貴的。
各種事務(wù)處理向希望訪問或使用它們或執(zhí)行某些動作的用戶要求不同類型和不同級別的驗(yàn)證。盡管這類事務(wù)處理的提供商對于不同類型的事務(wù)處理要求不同類型和級別的驗(yàn)證,然而它們卻沒有要求用于給定類型的事務(wù)處理的不同的驗(yàn)證級別。從而對于給定類型的事務(wù)處理來說,用戶被要求提供相同的驗(yàn)證信息量和驗(yàn)證信息級別,而與驗(yàn)證的特殊存在的風(fēng)險級別無關(guān)。例如并且非限制性地,即使與每個事務(wù)處理相關(guān)聯(lián)的風(fēng)險級別可能不同,但是,試圖訪問在線銀行業(yè)務(wù)服務(wù)的用戶也可能總是為了驗(yàn)證起見而被要求提供相同的信息元素。
由于事務(wù)處理之外的因素(這些因素可能與用戶/潛在用戶配置文件相關(guān)例如用戶登陸的IP地址或事務(wù)處理時間),以及與實(shí)際事務(wù)處理相關(guān)的因素(這些因素是主要與事務(wù)處理性質(zhì)相關(guān)的因素,例如改變地址和劃拔資金與只查看帳戶余額相比可能被當(dāng)作會引起更大的欺詐風(fēng)險),因此,風(fēng)險級別可能在事務(wù)處理中變化。
雖然保持高級別的事務(wù)處理安全性可以防止或大大減少欺詐,然而它不是沒有成本的并且可能不是經(jīng)濟(jì)有效的。保持高級別的安全性需要把更大且更復(fù)雜的信息量作為事務(wù)處理驗(yàn)證的一部分。這由于失敗的驗(yàn)證嘗試而又必然伴有較高程度的失敗的事務(wù)處理。這類失敗的原因是需要的信息越多,則越有可能造成用戶在他們的驗(yàn)證嘗試中的失敗,通常是由于丟失或忘記了驗(yàn)證數(shù)據(jù),這又是由于所要求的驗(yàn)證數(shù)據(jù)的復(fù)雜度和/或數(shù)量引起的。
沒有成功驗(yàn)證自己的用戶可能會放棄事務(wù)處理,或?qū)ふ夷撤N形式的客戶服務(wù)幫助以便完成驗(yàn)證。當(dāng)然,這類客戶服務(wù)幫助非常昂貴。
放棄事務(wù)處理的用戶也可能同時放棄該服務(wù)。反之亦然。服務(wù)的訪問可能非常容易并因此不夠安全,二者都是極端,在二元的兩端處,線路在安全性方面或在市場份額中是昂貴的。當(dāng)今所存在的靜態(tài)驗(yàn)證方法的主要缺點(diǎn)是這種特定的二元情況強(qiáng)迫組織挑選兩個不完善的點(diǎn)中的一個-或者是伴隨著更多事務(wù)處理數(shù)量的低安全性,或者是事務(wù)處理較少的增高的安全性。
本發(fā)明所考慮的主題在說明書的結(jié)束部分中被特別指出并且清楚地被要求了權(quán)利。然而,本發(fā)明的組織和操作方法連同其目的、特征和優(yōu)點(diǎn)可以結(jié)合閱讀附圖,通過參考以下的詳細(xì)說明而得到最好的理解,其中圖1描述了根據(jù)本發(fā)明的一個實(shí)施例的驗(yàn)證系統(tǒng);圖2敘述了根據(jù)本發(fā)明的一個實(shí)施例的高級別數(shù)據(jù)流;圖3描述了根據(jù)本發(fā)明的一個實(shí)施例的基于風(fēng)險的驗(yàn)證系統(tǒng);圖4是描述根據(jù)本發(fā)明實(shí)施例的處理的流程圖;和圖5是描述根據(jù)該本發(fā)明實(shí)施例的處理的流程圖。
附圖標(biāo)記可能在附圖中被重復(fù)以指出對應(yīng)的或類似的元件。
具體實(shí)施例方式
在以下的詳細(xì)說明中,所闡明的大量特定細(xì)節(jié)是為了徹底理解本發(fā)明。然而,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)了解,本發(fā)明可以不通過這些特定細(xì)節(jié)來實(shí)踐。在其它的例子中,眾所周知的方法、過程、部件和電路沒有被詳細(xì)描述以免模糊本發(fā)明。對所述實(shí)施例的各種修改對于本領(lǐng)域技術(shù)人員來說是顯而易見的,而這里所定義的一般原理可以被應(yīng)用于其它的實(shí)施例。本發(fā)明不是意在受限于所示出和所描述的特定實(shí)施例的。
除非具體說明,否則通過以下論述可以明顯地了解,在整個說明書中,利用諸如″處理″、″計(jì)算″、″演算″、″確定″之類的術(shù)語做出的論述可能全部或部分指的是處理器、計(jì)算機(jī)或計(jì)算系統(tǒng)或類似的電子計(jì)算裝置的動作和/或處理,其把被表示為系統(tǒng)寄存器和/或存儲器內(nèi)的諸如電子之類的物理量的數(shù)據(jù)操作和/或轉(zhuǎn)換成其它數(shù)據(jù),該其它數(shù)據(jù)類似地也表示為系統(tǒng)存儲器、寄存器或其它這類信息存儲、傳輸或顯示裝置內(nèi)的物理量。
在此給出的處理不是固有地與任何特定的計(jì)算機(jī)、處理裝置、產(chǎn)品或其它設(shè)備相關(guān)。各種這些系統(tǒng)的一個結(jié)構(gòu)示例將從下文的描述中變得明顯。另外,本發(fā)明的實(shí)施例沒有參考任何特定的處理器、程序語言、機(jī)器代碼等來描述。應(yīng)當(dāng)理解,各種編程語言、機(jī)器代碼等等可以被用來實(shí)現(xiàn)此處所述的本發(fā)明的教導(dǎo)。
本發(fā)明的一些實(shí)施例可以包括這樣的系統(tǒng)和/或方法,其可以例如基于事務(wù)處理和/或事務(wù)處理的用戶或當(dāng)事人的風(fēng)險評估或風(fēng)險級別來提供靈活的事務(wù)處理操作。例如,基于風(fēng)險級別,驗(yàn)證級別或事務(wù)處理的其它方面可以被設(shè)置或修改。
圖1描述了根據(jù)該本發(fā)明的一個實(shí)施例的驗(yàn)證系統(tǒng)。參考圖1,使用諸如個人電腦、自動取款機(jī)、電話、蜂窩裝置或其它計(jì)算裝置之類的終端的用戶10可能希望通過機(jī)構(gòu)100來進(jìn)行事務(wù)處理(例如登錄到服務(wù)、做出購買、開金融賬戶等等)。用戶10和機(jī)構(gòu)100可以例如經(jīng)由一個或多個諸如互聯(lián)網(wǎng)、蜂窩系統(tǒng)、內(nèi)聯(lián)網(wǎng)、數(shù)據(jù)線、網(wǎng)絡(luò)的組合等的通信網(wǎng)絡(luò)50來通信。在一個實(shí)施例中,機(jī)構(gòu)100提供了被顯示在用戶的計(jì)算機(jī)系統(tǒng)上的網(wǎng)頁;在這樣的情況下,執(zhí)行根據(jù)本發(fā)明實(shí)施例的方法的一部分的處理器或控制器可能位于用戶10。在某些實(shí)施例中,用戶用來聯(lián)絡(luò)機(jī)構(gòu)的終端或接口可能位于機(jī)構(gòu)自身,因此不需要或可能只需要較少的通信網(wǎng)絡(luò)。機(jī)構(gòu)100可以包括一個或多個計(jì)算系統(tǒng)110,其接著可能包括處理器或控制器112以及基于風(fēng)險的驗(yàn)證本地模塊120。基于風(fēng)險的驗(yàn)證本地模塊120的功能基本上被包含在基于風(fēng)險的驗(yàn)證本地模塊120(例如獨(dú)立的軟件模塊)內(nèi),或者可以被部分或整個地包含在別處。例如,基于風(fēng)險的驗(yàn)證本地模塊120可以是插件(plug-in)或外殼(shell),它可以(例如經(jīng)由通信網(wǎng)絡(luò)50或者經(jīng)由其它方法)與外部的基于風(fēng)險的驗(yàn)證服務(wù)器150通信,該服務(wù)器例如可以包括處理器或者控制器132?;陲L(fēng)險的驗(yàn)證服務(wù)器150可以包括全部或一部分的基于風(fēng)險的驗(yàn)證功能,并且可以經(jīng)由基于風(fēng)險的驗(yàn)證本地模塊120與機(jī)構(gòu)100通信?;陲L(fēng)險的驗(yàn)證本地模塊120可以是另一個允許機(jī)構(gòu)100(或機(jī)構(gòu)100所提供的網(wǎng)站)和驗(yàn)證服務(wù)器150相互通信的適當(dāng)?shù)哪K。
在一個實(shí)施例中,諸如驗(yàn)證服務(wù)器150之類的系統(tǒng)或其它適當(dāng)?shù)南到y(tǒng)可以接收用戶開始事務(wù)處理的請求、或事務(wù)處理信息和/或希望參與事務(wù)處理的用戶的信息(例如金融事務(wù)處理、開立帳戶等等),評估事務(wù)處理的風(fēng)險級別;并且基于該風(fēng)險級別,設(shè)置該事務(wù)處理的驗(yàn)證級別。用戶驗(yàn)證可以在該事務(wù)處理驗(yàn)證級別被設(shè)置之后被執(zhí)行。在一些實(shí)施例或一些模式中,用戶驗(yàn)證細(xì)節(jié)可以在接受請求之前從用戶被接受。例如,評估事務(wù)處理風(fēng)險級別可以是或包括評價事務(wù)處理、評估事務(wù)處理規(guī)模、評估事務(wù)處理的相關(guān)數(shù)據(jù)、評價用戶、評價用戶或用戶稱他或她為之人的身份、針對某些準(zhǔn)則評價當(dāng)事人、評估用戶的風(fēng)險級別、評估總的或臨時的風(fēng)險級別等等。例如,驗(yàn)證可以包括讓用戶做某些事或提供信息的任何活動,或從用戶提取信息的任何活動,意在以某種方式或其它方式證明該用戶身份。用戶請求或用戶數(shù)據(jù)可以從該驗(yàn)證服務(wù)器150被發(fā)送到機(jī)構(gòu)100,而驗(yàn)證服務(wù)器150和機(jī)構(gòu)100可以例如經(jīng)由基于風(fēng)險的驗(yàn)證本地模塊120通信,在一個實(shí)施例中,基于風(fēng)險的驗(yàn)證本地模塊120可以與機(jī)構(gòu)100提供給用戶的網(wǎng)頁通信,但是也可能采用不同的形式。例如,希望通過金融機(jī)構(gòu)開立帳戶的用戶可能具有關(guān)于所評價的用戶或事務(wù)處理的信息(例如事務(wù)處理規(guī)模或事務(wù)處理量,或其它信息),事務(wù)處理中所要求的安全性或驗(yàn)證細(xì)節(jié)可以基于這個評價來修改。希望完成事務(wù)處理的用戶還可能被評價風(fēng)險,在這種情況下,例如該用戶過去的事務(wù)處理歷史可能被評價。結(jié)果的驗(yàn)證級別可能會影響事務(wù)處理。例如,驗(yàn)證級別可以被用來確定用戶被要求的一組驗(yàn)證細(xì)節(jié)-例如,口令、諸如社會安全號之類的附加信息或?qū)Π踩珕栴}的回答、等等。驗(yàn)證級別可以用來基于風(fēng)險級別從一組事務(wù)處理登錄安全級別中做出選擇。驗(yàn)證級別的這種設(shè)置可能發(fā)生在事務(wù)處理已經(jīng)開始之后。此外,用戶可能之前或已經(jīng)被驗(yàn)證過。
在某些實(shí)施例中,用戶被要求的驗(yàn)證類型可以基于風(fēng)險評估來選擇,例如基于不同組當(dāng)中的一組驗(yàn)證或安全細(xì)節(jié),或者可以選擇某個驗(yàn)證或安全模式。當(dāng)前的風(fēng)險評估方法一般只決定是否拒絕事務(wù)處理。
附加的或進(jìn)一步的驗(yàn)證可以例如基于某個正被確定的風(fēng)險級別而被要求。例如,一個實(shí)施例可以首先根據(jù)第一驗(yàn)證步驟來驗(yàn)證用戶,然后要求附加的驗(yàn)證步驟(例如最近的事務(wù)處理號,回答私密問題)。響應(yīng)于某個風(fēng)險級別的確定,一個實(shí)施例可以使得某個驗(yàn)證步驟(例如,輸入口令、事務(wù)處理號)成為強(qiáng)制的或必需的,所述步驟一般沒有被使用或者是可選擇的。
在本發(fā)明的實(shí)施例中,風(fēng)險評估、或安全級別或驗(yàn)證級別可以由于與特定的事務(wù)處理或用戶無關(guān)的因素而產(chǎn)生,所述因素例如是諸如當(dāng)前的計(jì)算機(jī)攻擊波、政府或貿(mào)易集團(tuán)警告等等之類的″環(huán)境風(fēng)險″。
為了能夠執(zhí)行更保險的驗(yàn)證,例如″在空中(on the fly)″或在事務(wù)處理期間收集之后可用于風(fēng)險評估和/或驗(yàn)證用戶的高質(zhì)量的用戶數(shù)據(jù)或事務(wù)處理數(shù)據(jù)是可取的。如果確定風(fēng)險級別十分低或低于某個閾值,則可以收集用戶和/或事務(wù)處理數(shù)據(jù)例如以備后用。例如,這能夠通過向用戶提出個人問題、通過收集與到這類用戶的潛在通信信道有關(guān)的信息等來完成。例如,在基于收集到的數(shù)據(jù)用額外問題來盤問用戶的情況下,之后可以基于所收集數(shù)據(jù)使用的更保險的驗(yàn)證可能涉及將由用戶所提供的細(xì)節(jié)經(jīng)由通信信道與用戶通信(例如經(jīng)由SMS向移動電話發(fā)送新口令,其中,電話細(xì)節(jié)在事務(wù)處理期間被收集)。
在某些實(shí)施例中,如果用戶是特定用戶,或在特定的用戶列表(例如VIP列表)上、或在優(yōu)選或預(yù)定義的用戶組中,和/或如果事務(wù)處理滿足某個準(zhǔn)則,則可以修改風(fēng)險級別,可以不考慮(override)風(fēng)險級別決定,或者可以不考慮提供輔助或任何安全或驗(yàn)證細(xì)節(jié)的要求或不考慮驗(yàn)證級別的設(shè)置。例如,特定用戶(例如VIP用戶、優(yōu)選或預(yù)定義用戶等等)可以被允許不用驗(yàn)證或通過減少的驗(yàn)證來執(zhí)行事務(wù)處理和功能。在某些實(shí)施例中,例如,如果確定風(fēng)險級別很低,那么可以這樣做。如果用戶執(zhí)行風(fēng)險性質(zhì)較大的操作,則可能會要求驗(yàn)證或增加的驗(yàn)證。例如,如果風(fēng)險很低(例如,如果確定用戶是從他或她的日常的計(jì)算機(jī)登入的,并且是在他們通常訪問服務(wù)的日常時間登入的,等等),則某個銀行用戶組可以被允許進(jìn)入在線銀行業(yè)務(wù)站點(diǎn)并執(zhí)行基本功能而不用驗(yàn)證,從而把驗(yàn)證推遲到它們執(zhí)行風(fēng)險較大的操作(比如向不同的帳戶轉(zhuǎn)入大額金錢)的時間點(diǎn)。如果初始風(fēng)險級別很高,則可以命令驗(yàn)證到前面。例如,如果確定登錄來自于被劫持的計(jì)算機(jī),或來自于國外,或來自于VIP用戶之前從未用過的計(jì)算機(jī),則可能不允許給予該用戶例外。這類數(shù)據(jù)收集可以經(jīng)由不同的模塊來執(zhí)行,例如通過″前端″代理服務(wù)器或經(jīng)由其它模塊。
本發(fā)明的實(shí)施例可以提供對個人身份的較高的保證度,并且可以減少以下應(yīng)用使用盜竊身份、盜竊識別信息或虛構(gòu)識別信息以便欺騙性地開立金融賬戶、獲準(zhǔn)訪問它們并從其中取出資金、或是利用它們。
在一個實(shí)施例中,如果確定風(fēng)險級別超出閾值,則用戶可能被要求提供安全或驗(yàn)證細(xì)節(jié),例如除了發(fā)起事務(wù)處理所要提供的內(nèi)容之外的信息或其它信息。在初始的安全或驗(yàn)證細(xì)節(jié)組(例如,用戶標(biāo)識、口令、帳戶信息或其它信息)被輸入之后,用戶或事務(wù)處理的風(fēng)險級別可以被評價。
圖2敘述了根據(jù)本發(fā)明的一個實(shí)施例的高級別數(shù)據(jù)流。這類數(shù)據(jù)流例如可以通過與圖1或3所述的系統(tǒng)或其它適當(dāng)?shù)南到y(tǒng)類似的系統(tǒng)來使用。用戶10可以導(dǎo)航到在線事務(wù)處理登錄頁面(操作201)。在操作202中,用戶10可以就像不使用基于風(fēng)險的系統(tǒng)時用戶會做的那樣來進(jìn)行驗(yàn)證(例如,登錄、輸入標(biāo)識和口令信息等等)。機(jī)構(gòu)100(例如在線服務(wù)提供商)可以用它的標(biāo)準(zhǔn)方法來執(zhí)行初始驗(yàn)證。在一個實(shí)施例中,基于風(fēng)險的驗(yàn)證本地模塊120和/或基于風(fēng)險的驗(yàn)證服務(wù)器150不必知道用戶的憑據(jù)、登錄信息或其它信息,或者不必親自處理初始驗(yàn)證-它可以簡單地從機(jī)構(gòu)100接收登錄結(jié)果。在操作203中,機(jī)構(gòu)可以(例如經(jīng)由在線服務(wù)應(yīng)用)向基于風(fēng)險的驗(yàn)證本地模塊120發(fā)送請求,基于風(fēng)險的驗(yàn)證本地模塊120可以例如經(jīng)由用戶網(wǎng)頁瀏覽器或用另外的方法把該信息轉(zhuǎn)發(fā)給基于風(fēng)險的驗(yàn)證服務(wù)器150。
在操作204中,活動(例如,登錄)可以被評價來查看其是否需要進(jìn)一步的驗(yàn)證?;陲L(fēng)險的驗(yàn)證服務(wù)器150還可以決定收集附加信息。在操作205中,如果不再要求別的驗(yàn)證,則基于風(fēng)險的驗(yàn)證服務(wù)器150可以例如經(jīng)由瀏覽器重定向與基于風(fēng)險的驗(yàn)證本地模塊120(其可能例如是插件程序)通信,然后標(biāo)準(zhǔn)的導(dǎo)航繼續(xù)進(jìn)行。在操作206中,如果需要額外的驗(yàn)證,則基于風(fēng)險的驗(yàn)證服務(wù)器150可以用根據(jù)風(fēng)險級別所選擇的方法讓用戶10執(zhí)行驗(yàn)證。在操作207中,數(shù)據(jù)可以被校驗(yàn)。在操作208中,如果數(shù)據(jù)匹配,則基于風(fēng)險的驗(yàn)證服務(wù)器150可以(例如經(jīng)由瀏覽器重定向)與基于風(fēng)險的驗(yàn)證本地模塊120通信,然后用戶10可以被允許繼續(xù)下去。
在某些實(shí)施例中,當(dāng)前正被評價的事務(wù)處理可能會影響存儲的數(shù)據(jù)(例如,事務(wù)處理數(shù)據(jù)、用戶數(shù)據(jù)、規(guī)則),而對當(dāng)前評價的事務(wù)處理的風(fēng)險評估正是基于這些數(shù)據(jù)的。存儲這類數(shù)據(jù)的數(shù)據(jù)庫可以基于當(dāng)前的用戶或事務(wù)處理來更改,從而系統(tǒng)可以包括驗(yàn)證-風(fēng)險引擎反饋。風(fēng)險引擎或風(fēng)險確定處理可以基于在給出驗(yàn)證盤問之后的驗(yàn)證結(jié)果而被實(shí)時地修改。例如可以在懷疑存在欺詐的時候提高安全性要求,然后用戶可以被要求進(jìn)行附加驗(yàn)證?;诟郊域?yàn)證要求的結(jié)果,風(fēng)險引擎或適當(dāng)?shù)臄?shù)據(jù)庫可以被更新并細(xì)調(diào)。
圖3描述了根據(jù)本發(fā)明的一個實(shí)施例的基于風(fēng)險的驗(yàn)證系統(tǒng)。雖然所示的是具有特定模塊的特定結(jié)構(gòu),但是具有不同功能的其它適當(dāng)?shù)慕Y(jié)構(gòu)也可以被使用。例如,不必使用從要求基于風(fēng)險的分析的機(jī)構(gòu)中分離出來的基于風(fēng)險的系統(tǒng);這類功能可以在機(jī)構(gòu)中執(zhí)行,或可能由工作人員執(zhí)行。
參考圖3,總的基于風(fēng)險的驗(yàn)證系統(tǒng)140可以包括基于風(fēng)險的驗(yàn)證本地模塊120(其例如是插件)和基于風(fēng)險的驗(yàn)證服務(wù)器150。例如,基于風(fēng)險的驗(yàn)證本地模塊120可以包括加密的確認(rèn)能力,以及把會話信息映射到代理會話信息的能力?;陲L(fēng)險的驗(yàn)證本地模塊120可以與機(jī)構(gòu)的事務(wù)處理系統(tǒng)進(jìn)行連接,并且可以允許事務(wù)處理系統(tǒng)與分離的或遠(yuǎn)程的驗(yàn)證系統(tǒng)通信。用戶信息數(shù)據(jù)庫160例如可以包括用戶信息(例如,姓名、電話號碼等等)。事務(wù)處理提供商或機(jī)構(gòu)可以把這類信息提供給用戶信息數(shù)據(jù)庫160,和/或數(shù)據(jù)可以經(jīng)由其它來源獲得。
決定引擎157例如可以接收風(fēng)險分?jǐn)?shù),檢查哪個驗(yàn)證選項(xiàng)可用,并決定采取什么行動。機(jī)構(gòu)或服務(wù)提供商可能能夠配置決定引擎157并修改它的決定閾值。決定引擎157可以參與的其它控制方面例如可以包括使得可選擇的驗(yàn)證步驟成為強(qiáng)制性的,或反之亦然,向已經(jīng)執(zhí)行的步驟添加附加的驗(yàn)證步驟,例如基于諸如VIP或其它列表中的用戶之類的一些不考慮因素而可能不管風(fēng)險級別地根本不驗(yàn)證,把驗(yàn)證推遲到更晚的時間,不允許顧客自助配置文件的諸如口令恢復(fù)、地址改變等等之類的改變活動。例如,如果用戶從″有風(fēng)險的″位置進(jìn)行瀏覽,則可能不允許顧客自助口令恢復(fù)。只有例如當(dāng)執(zhí)行有風(fēng)險的操作或者在業(yè)余時間中或者不在一天中間執(zhí)行驗(yàn)證時,才可能要求VIP或特定用戶進(jìn)行驗(yàn)證。
決定引擎157或其它模塊的功能可以用不同的適當(dāng)?shù)姆绞絹韴?zhí)行,例如通過使用在諸如處理器或控制器112或132之類的處理器上執(zhí)行的軟件來執(zhí)行。
基于風(fēng)險的驗(yàn)證服務(wù)器150和基于風(fēng)險的驗(yàn)證本地模塊120例如可以經(jīng)由可能與加密的簽名模塊相關(guān)聯(lián)的訪問控制服務(wù)器152來通信。例如,風(fēng)險計(jì)分模塊154可以基于諸如用戶計(jì)算機(jī)映射、欺騙采指紋、速度檢查、特定用戶的活動配置文件和歷史、IP地理位置和IP劫持檢測、或者附加的或其它的來源之類的不同的信息源來計(jì)分活動風(fēng)險。風(fēng)險計(jì)分模塊154例如可以跟蹤并更新一般的互聯(lián)網(wǎng)訪問和對活動特定的應(yīng)用的用戶配置文件以用于未來的風(fēng)險計(jì)分。
風(fēng)險計(jì)分模塊154可以包括一個或多個E-風(fēng)險模型170、包括一組規(guī)則的(例如,專門的(ad hoc)、靜態(tài)的、等等)數(shù)據(jù)庫172、一組外部的數(shù)據(jù)庫與檢測引擎174、剖析器(profiler)176、包括一組用戶活動配置文件的數(shù)據(jù)庫178、包括一組欺詐配置文件的數(shù)據(jù)庫179以及欺詐發(fā)掘器180,或者是與它們相關(guān)聯(lián)的。其它的部件或部件組也可以被使用。用戶活動數(shù)據(jù)庫178例如可以包括關(guān)于系統(tǒng)中每個用戶的累積信息。例如,剖析器176可以更新用戶活動數(shù)據(jù)庫178。用戶活動數(shù)據(jù)庫178中的配置文件例如可以包括一般的和/或?qū)幼魈囟ǖ臄?shù)據(jù)。各個數(shù)據(jù)庫可以用已知方式來實(shí)現(xiàn),并且可以在一個或多個數(shù)據(jù)庫中擴(kuò)展。其它的數(shù)據(jù)庫也可以被使用,而其它的信息也可以被存儲。
E-風(fēng)險模型170例如可以包括一般或?qū)幼魈囟ǖ哪J?,它們可?例如經(jīng)由驗(yàn)證本地模塊120)接收來自于在線事務(wù)處理的信息作為輸入,并且可以例如向決定引擎157提供輸出。規(guī)則組172例如可以在揭露或懷疑特定的欺詐事件的情況下被使用。活動日志182可以包含整個系統(tǒng)所有活動的詳細(xì)日志,并且可以起用于統(tǒng)計(jì)分析的數(shù)據(jù)庫的作用。外部數(shù)據(jù)庫與檢測引擎174可以是諸如IP地理位置數(shù)據(jù)庫之類的附加數(shù)據(jù)庫或模塊,并且具有被劫持IP地址的檢測能力。
欺詐發(fā)掘器180或另外的適當(dāng)單元可以收集關(guān)于具體的欺詐者的信息,并且可以用這類信息來更新欺詐配置文件數(shù)據(jù)庫179。欺詐發(fā)掘器180可以使用來自于活動日志182的信息,并且可以例如基于過去的活動和決定、以及關(guān)于實(shí)際欺詐的來自于諸如銀行之類的機(jī)構(gòu)的輸入來檢測欺詐配置文件。在某些實(shí)施例中,機(jī)構(gòu)或事務(wù)處理提供商可以直接向諸如用戶活動數(shù)據(jù)庫178之類的數(shù)據(jù)庫發(fā)送信息,例如過去活動信息(例如,在基于風(fēng)險的驗(yàn)證服務(wù)器150的實(shí)施之前發(fā)展的信息)、關(guān)于報告欺詐的用戶的信息、等等。用這樣的方式,偽造的用戶配置文件可以被刪除,并且欺詐的活動被標(biāo)記用來例如創(chuàng)建新的規(guī)則。
一個或多個驗(yàn)證模塊、服務(wù)器或引擎156例如可以包括用基礎(chǔ)設(shè)施與用戶通信的能力,或與用戶的瀏覽器或其它終端軟件、即時消息軟件、蜂窩裝置或電話等等通信的能力,以便支持根據(jù)風(fēng)險計(jì)分來確定的不同的驗(yàn)證級別。自適應(yīng)的驗(yàn)證模塊156可以主動要求用戶提供未來驗(yàn)證所需要的附加信息。決定引擎157例如可以接收風(fēng)險分?jǐn)?shù),檢查哪個驗(yàn)證選項(xiàng)可用,并決定采取什么行動。機(jī)構(gòu)或服務(wù)提供商可能能夠配置決定引擎157并修改它的決定閾值。管理實(shí)用程序158例如可以是后備辦公室應(yīng)用,其可以例如啟用管理、配置、報告與狀況調(diào)查。管理實(shí)用程序158例如可能與一個或多個運(yùn)營者159通信。數(shù)據(jù)庫160例如可能包括用戶信息、規(guī)則等等。
諸如基于風(fēng)險的驗(yàn)證系統(tǒng)140、基于風(fēng)險的驗(yàn)證服務(wù)器150、訪問控制服務(wù)器152、風(fēng)險計(jì)分模塊154、自適應(yīng)驗(yàn)證模塊156、決定引擎157、和/或管理實(shí)用程序158之類的不同部件的功能可以通過諸如處理器或控制器132之類的適當(dāng)?shù)挠?jì)算裝置來執(zhí)行,或者如果計(jì)算被進(jìn)一步分散,則通過處理器或控制器112和/或處理器或控制器132的組合或其它模塊來執(zhí)行。根據(jù)本發(fā)明實(shí)施例的方法的不同步驟也可以由工作人員在所述的其中一個機(jī)構(gòu)或設(shè)備中來執(zhí)行。
在其它的實(shí)施例中,基于風(fēng)險的驗(yàn)證系統(tǒng)的功能可以在其它的部件中被劃分。例如,基于風(fēng)險的驗(yàn)證本地模塊120不必被要求,并且基于風(fēng)險的驗(yàn)證系統(tǒng)的大量或全部功能可以位于用戶或機(jī)構(gòu)處。
在本發(fā)明描述中所涉及的術(shù)語″事務(wù)處理″或″若干事務(wù)處理″可以指以下非限制性的例子中的任何一個在線或其它事務(wù)處理、交互作用、注冊到服務(wù)、利用驗(yàn)證/盤問或使用不同的服務(wù)來再注冊和口令恢復(fù)。應(yīng)當(dāng)注意,術(shù)語事務(wù)處理不僅適用于″金融″事務(wù)處理,而且還適用于任何涉及驗(yàn)證的事務(wù)處理。例如非限制性地,它不僅涉及諸如在線銀行業(yè)務(wù)登錄之類的事務(wù)處理,而且還涉及公司外聯(lián)網(wǎng)的登錄。它應(yīng)該適用于正以某些方式驗(yàn)證用戶的任何事務(wù)處理,而與驗(yàn)證目的無關(guān)。沒有限制前文,下面的列表說明了它可應(yīng)用的某些類型的事務(wù)處理(1)在線注冊,比如金融賬戶開立;銀行業(yè)務(wù)、經(jīng)紀(jì)業(yè)務(wù)和保險業(yè)務(wù);例如ISP的定購、數(shù)據(jù)和信息內(nèi)容分發(fā);客戶服務(wù)注冊;注冊到程序(合伙關(guān)系、MLM、beta等等)以及任何其它類似的事務(wù)處理類型;(2)在線事務(wù)處理,比如在線購買、B2B、B2c和C2C事務(wù)處理;電子票據(jù)付款;互聯(lián)網(wǎng)ACH提供商;帳戶之間的金錢轉(zhuǎn)帳;在線經(jīng)紀(jì)交易;在線保險費(fèi)支付;某些在線銀行業(yè)務(wù)事務(wù)處理;繳稅或任何其它類似的事務(wù)處理類型;(3)在線應(yīng)用,比如用于信用卡;貸款;會員資格;專利申請或信息;政府應(yīng)用或其它類似的事務(wù)處理類型;(4)在線口令重新設(shè)置,以及通過再驗(yàn)證/再注冊;通過結(jié)合涉及私密問題的機(jī)制;或通過上述方法的組合,從而在線改變或更新個人數(shù)據(jù);(5)到受限業(yè)務(wù)的任何登錄,或其它涉及風(fēng)險成分的操作。其它適當(dāng)?shù)氖聞?wù)處理也可能被包括在內(nèi)。
例如通過評估具體事務(wù)處理的風(fēng)險級別并將所要求的驗(yàn)證級別適配到事務(wù)處理風(fēng)險級別,本發(fā)明的實(shí)施例可以使服務(wù)或事務(wù)處理提供商(其在此可以例如被稱為機(jī)構(gòu)或事務(wù)處理提供商)能更加安全地驗(yàn)證試圖訪問這類服務(wù)或執(zhí)行這類事務(wù)處理的個人或公司(其在此可以被稱為申請者或事務(wù)處理執(zhí)行者或用戶)的身份。這類驗(yàn)證的這類評價、或引導(dǎo)或控制例如可以由基于風(fēng)險的驗(yàn)證服務(wù)器150和/或基于風(fēng)險的驗(yàn)證本地模塊120來執(zhí)行。
盡管評估之后有可能評估某個事務(wù)處理所呈現(xiàn)的風(fēng)險級別,然而提供商當(dāng)前仍然執(zhí)意停留在固定的安全級別上?;诒景l(fā)明的實(shí)施例,事務(wù)處理提供商例如可以基于所評價的給定事務(wù)處理的風(fēng)險級別來調(diào)整驗(yàn)證的級別和質(zhì)量。對于評價風(fēng)險低的事務(wù)處理來說,驗(yàn)證安全級別可以被降低,而對于評價風(fēng)險高的事務(wù)處理來說,驗(yàn)證安全級別可能被提高。驗(yàn)證的安全級別可能″在空中″被調(diào)整(例如在事務(wù)處理進(jìn)行的時候)。在本發(fā)明的一個實(shí)施例中,事務(wù)處理提供商可能實(shí)現(xiàn)某個被應(yīng)用到全部事務(wù)處理的驗(yàn)證級別,并且然后僅對于風(fēng)險已經(jīng)被確定不同于某個閾值或風(fēng)險級別的事務(wù)處理,要求不同的驗(yàn)證級別。不限制前文,這類實(shí)施例的例子將是在線銀行業(yè)務(wù)服務(wù),其要求所有用戶提交用戶名和口令以便訪問或使用該服務(wù),然而當(dāng)確定服務(wù)的訪問或使用涉及較大的風(fēng)險時,執(zhí)行這類事務(wù)處理的用戶就將被要求執(zhí)行附加的驗(yàn)證步驟。
因此,根據(jù)某些實(shí)施例的處理可能評估每個所給出的事務(wù)處理的風(fēng)險,并因此要求適當(dāng)?shù)尿?yàn)證級別。
在本發(fā)明的某些實(shí)施例中,事務(wù)處理風(fēng)險評估是基于以下的任何準(zhǔn)則或類似的準(zhǔn)則的;其它適當(dāng)?shù)臏?zhǔn)則也可以被使用。本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解,這個列表能夠根據(jù)事務(wù)處理類型、性質(zhì)以及與事務(wù)處理相關(guān)的信息可用性而定制被并擴(kuò)展。(1)使用″負(fù)″和″正列表。這些列表能夠基于任何與某個類型的事務(wù)處理相關(guān)的信息來定義。這類信息可以非限制性地包括IP地址及其被導(dǎo)出的信息(位置、組織等等)、來源、地址、用戶、帳戶信息、產(chǎn)品類型、事務(wù)處理量、一天中時間、星期幾、帳戶類型、出生日期、事務(wù)處理速度、帳戶號碼、裝置ID/指紋;被劫持的計(jì)算機(jī)/感染木馬的計(jì)算機(jī)指示符,或其它適當(dāng)?shù)男畔?,以及這類準(zhǔn)則的任何組合。″負(fù)列表″可以是″有風(fēng)險的″成分的列表-所給出的數(shù)據(jù)元與負(fù)列表的匹配指出事務(wù)處理多半風(fēng)險較大。″正列表″可以是″較安全″元素的列表-給出的數(shù)據(jù)元與正列表的匹配指出事務(wù)處理多半比較安全?!遑?fù)″和″正″列表能夠手動地構(gòu)造,或由識別信息組的準(zhǔn)則、范圍以及總體的其它處理用對于高/低安全性的統(tǒng)計(jì)相關(guān)性來自動地填充。事務(wù)處理提供商例如可以保存專有的列表,也可以共享這樣的列表。(2)為了比較具體事務(wù)處理與基于用戶的或基于帳戶的事務(wù)處理配置文件而創(chuàng)建基于用戶的或基于帳戶的事務(wù)處理配置文件(其中,這類配置文件可以例如非限制性地包括以下相關(guān)的信息IP地址、來源、地址、用戶、事務(wù)處理的典型時間(鐘點(diǎn)和/或日期))。具體事務(wù)處理的配置文件與所述配置文件的偏差能夠指出較高的風(fēng)險級別。(3)創(chuàng)建批發(fā)商或服務(wù)提供商的事務(wù)處理配置文件,以及比較具體的事務(wù)處理與所述配置文件。″批發(fā)商或服務(wù)提供商的配置文件″可以例如是具體的批發(fā)商或服務(wù)提供商的所有用戶的集合配置文件(服務(wù)提供商例如可以意指發(fā)行商)。例如,即使通常不認(rèn)為法國具有較高的風(fēng)險,但是如果具體批發(fā)商的99.9%的用戶位于美國,則來自于法國的事務(wù)處理可能被認(rèn)為風(fēng)險較高;(4)測量由具體帳戶執(zhí)行的、或者來源于某個IP地址、用戶或來源的、或者在某個批發(fā)商或服務(wù)提供商處做出的事務(wù)處理的速度。如果速度超出某個閾值,則它可以指出較高的風(fēng)險級別;(5)測量執(zhí)行來源于某個IP地址、來源、地址、用戶、批發(fā)商或服務(wù)提供商的事務(wù)處理的速度和/或賬號。如果速度超出某個閾值,則它將指出較高的風(fēng)險級別;(6)使用不同的風(fēng)險計(jì)分服務(wù)提供商開發(fā)的算法,或?qū)嶋H地從這類服務(wù)獲取風(fēng)險分?jǐn)?shù)。(7)統(tǒng)計(jì)文件配置,比如建立可用來確定具體事務(wù)處理的風(fēng)險的統(tǒng)計(jì)配置文件(例如與諸如郵政編碼之類的地理數(shù)據(jù)相匹配的IP地理位置,以便證明統(tǒng)計(jì)文件配置如果郵政編碼在A區(qū)的用戶從位于B區(qū)的IP訪問在線銀行業(yè)務(wù)站點(diǎn),則這不符合A區(qū)用戶的統(tǒng)計(jì)配置文件)。用于評估事務(wù)處理和/或用戶的風(fēng)險級別的其它適當(dāng)?shù)姆椒ㄒ部梢员皇褂谩?br>
根據(jù)該本發(fā)明的一個實(shí)施例,以下非限制性的原則組可以被使用以便評估給定事務(wù)處理的風(fēng)險(1)基于例如文件配置技術(shù)獲知服務(wù)的客戶/用戶,考慮通信數(shù)據(jù)分析(IP級數(shù)據(jù)、地理位置以及ISP標(biāo)識-數(shù)據(jù)源),進(jìn)行主動裝置映射(加密的cookies、計(jì)算機(jī)標(biāo)記),以及配置客戶/用戶的驗(yàn)證行為的文件;(2)通過采用諸如對被劫持計(jì)算機(jī)采指紋、建立IP元數(shù)據(jù)黑名單、在驗(yàn)證級跟蹤典型的欺詐者行為及其它具有可比性的技術(shù)的機(jī)制,從而獲知欺詐者并且基于他們的特點(diǎn)來查明他們;(3)統(tǒng)計(jì)分析,意在檢測可疑的活動模式以及與日常的行為配置文件不符的疑點(diǎn)。其它的適用技術(shù)也可以被使用。
根據(jù)本發(fā)明的某些實(shí)施例,一般的互聯(lián)網(wǎng)訪問和活動特定的文件配置可被用來評估事務(wù)處理風(fēng)險。一般模型包括對任何給定服務(wù)的全部在線動作都成立的模式,并且主要涉及跟蹤訪問和通信級數(shù)據(jù)?;顒犹囟ǖ哪J街挥挟?dāng)用來保護(hù)給定在線服務(wù)內(nèi)的特定區(qū)時才被采用。在這種情況下,具體到每個在線活動類型的模式可以被作為目標(biāo)。例如,在使用本發(fā)明的實(shí)施例來改進(jìn)在線銀行業(yè)務(wù)服務(wù)的驗(yàn)證的情況下,一般的文件配置應(yīng)用于對該服務(wù)的全部登錄,然而活動特定的模式將適用于諸如轉(zhuǎn)帳、配置文件改變、計(jì)帳交付等等之類的具體活動。
如下所述,事務(wù)處理風(fēng)險評估可能如下面那樣在執(zhí)行初始驗(yàn)證之前、在事務(wù)處理執(zhí)行期間、或者在事務(wù)處理完成之后被執(zhí)行(應(yīng)當(dāng)注意,風(fēng)險評估可能在事務(wù)處理的不同階段被執(zhí)行。它可能在一個這樣的階段執(zhí)行,或者在超過一個的階段中執(zhí)行,甚至在所有的事務(wù)處理階段中執(zhí)行)(1)在事務(wù)處理開始之前進(jìn)行風(fēng)險評估。當(dāng)風(fēng)險評估在這個階段被執(zhí)行時,向用戶發(fā)出的初始驗(yàn)證信息請求可以是基于風(fēng)險評估結(jié)果的,并且可以取決于風(fēng)險級別而變化。在這個階段進(jìn)行風(fēng)險評估將是不太敏感的,因?yàn)榇藭r的可用于做出評估的數(shù)據(jù)較少,然而它可能與其它方法相比較對可用性具有更好的影響,因?yàn)樗赡苡绊懙秸麄€驗(yàn)證流程;(2)在事務(wù)處理驗(yàn)證正在進(jìn)行的時候進(jìn)行風(fēng)險評估。當(dāng)使用這個方法時可能要求驗(yàn)證的初始級別。在提交初始驗(yàn)證信息之后,事務(wù)處理的風(fēng)險級別可以被再評估。如果認(rèn)為該事務(wù)處理有風(fēng)險,則可以要求附加的驗(yàn)證信息。這個方法可以允許在風(fēng)險評估中使用更多的數(shù)據(jù),因?yàn)楦嗟男畔⒖梢栽诔跏嫉氖聞?wù)處理驗(yàn)證嘗試期間被收集;(3)在事務(wù)處理驗(yàn)證完成之后進(jìn)行風(fēng)險評估。當(dāng)使用這個方法的時候,事務(wù)處理將被驗(yàn)證。在驗(yàn)證之后并基于所執(zhí)行或試圖執(zhí)行的實(shí)際操作,用戶可能被要求提供附加的驗(yàn)證信息。非限制性地例如,如果通常只對特定帳戶執(zhí)行余額轉(zhuǎn)帳的在線銀行業(yè)務(wù)用戶試圖向不同的帳戶進(jìn)行余額轉(zhuǎn)帳,則系統(tǒng)可以向他要求附加的驗(yàn)證數(shù)據(jù)。這是事務(wù)處理似乎是有風(fēng)險的情形,因?yàn)轵?yàn)證之后執(zhí)行的操作不匹配于通常的用戶配置文件。
根據(jù)本發(fā)明的一個實(shí)施例,在評估事務(wù)處理的風(fēng)險級別之后可以做出是否要求附加的安全措施的決定,而且例如事務(wù)處理驗(yàn)證級別、用戶被要求的驗(yàn)證級別可以被設(shè)置或修改。如果這類措施被要求,則驗(yàn)證級別可能需要被修改以適應(yīng)于事務(wù)處理風(fēng)險。應(yīng)當(dāng)注意,例如根據(jù)以下考慮而可以使用大范圍的驗(yàn)證方法。不同的可用的驗(yàn)證方法可以由事務(wù)處理提供商來區(qū)分優(yōu)先級。當(dāng)設(shè)置優(yōu)先級時,根據(jù)某些實(shí)施例的方法可能考慮每個驗(yàn)證方法的利弊兩個方面(非限制性地例如,某些方法具有第三方成本而其它方法卻沒有,某些具有真正用戶的較高失敗率,某些容易受到釣魚式攻擊而其它的卻不太容易受到影響,等等)。另外,使用每個驗(yàn)證方法要求某些用戶能力或某些信息被存儲以用于特定用戶(非限制性地例如,使用共享私密要求用戶的共享私密在事務(wù)處理提供商的數(shù)據(jù)文件上,經(jīng)由SMS/電話使用動態(tài)PIN則要求用戶電話號碼已存檔,而使用EMV兩因素驗(yàn)證則只有當(dāng)用戶曾經(jīng)接收過芯片卡和讀出器的情況下才有可能)。另外,一些驗(yàn)證方法具有防止在特定環(huán)境中使用它們的約束條件(非限制性地例如,經(jīng)由SMS的動態(tài)PIN的方法只能在用戶當(dāng)前使用的IP來自蜂窩基礎(chǔ)設(shè)施和SMS傳送時間非常良好的國家(事務(wù)處理提供商也可以修改這類國家的列表)的情況下使用)。在可用的驗(yàn)證方法的評估和區(qū)分優(yōu)級之后,事務(wù)處理提供商有必要檢查它有什么約束條件來采用每種方法、以及選擇滿足該約束條件的優(yōu)選方法。
根據(jù)本發(fā)明的一個實(shí)施例,事務(wù)處理可以選擇使用任何以下的動作模式(1)具有后退的驗(yàn)證,意指在(由提供商定義的)連續(xù)多次沒能完成最優(yōu)選的可用驗(yàn)證方法之后,可以給用戶一個替換的驗(yàn)證方法(優(yōu)先級列表中用戶可用的下一個方法);(2)無后退的驗(yàn)證,意指在(由提供商定義的)連續(xù)多次沒能完成第一驗(yàn)證方法之后,可能不會給用戶替換的驗(yàn)證方法;(3)根本沒有額外的驗(yàn)證。
根據(jù)本發(fā)明的一個實(shí)施例,事務(wù)處理提供商可能對于大多數(shù)事務(wù)處理降低所要求的驗(yàn)證閾值,并且只有當(dāng)風(fēng)險不低的時候才請求附加的數(shù)據(jù)元。這意味著通過使用本發(fā)明的實(shí)施例,事務(wù)處理提供商可以讓大多數(shù)人容易地使用其服務(wù),并且可以在操作有風(fēng)險或懷疑欺詐的情況下讓使用其服務(wù)變得更加困難。這可以導(dǎo)致減小損耗并且減小客戶服務(wù)成本。
不是為了限制此處所描述的本發(fā)明實(shí)施例,本發(fā)明的實(shí)施例能夠例如與任何以下的附加驗(yàn)證方法一起使用,以便在事務(wù)處理風(fēng)險評估之后適應(yīng)于安全級別或修改驗(yàn)證級別要求(1)共享私密-使用對事務(wù)處理提供商已知的用戶共享私密(例如出生日期或郵政編碼);(2)時敏私密-要求用戶提供隨時間變化的私密(例如上一次的存款或取款金額);(3)隨機(jī)安全問題-要求用戶提供之前從他們收集的答案;(4)帶外驗(yàn)證方法-經(jīng)由諸如SMS之類的帶外信道向移動電話傳遞動態(tài)PIN、向地線或移動電話傳遞話音呼叫、或即時消息;(5)2-因素驗(yàn)證-基于EMV芯片卡的驗(yàn)證/與其它令牌的集成。
在一個實(shí)施例中,驗(yàn)證的安全級別可以在事務(wù)處理的風(fēng)險級別評估之后用例如任何以下的方法或其它適當(dāng)?shù)姆椒ǘ恍薷暮驼{(diào)整(i)為了驗(yàn)證特定的事務(wù)處理起見,而根據(jù)其被評價的風(fēng)險級別要求或多或少的信息。這個調(diào)整可能主要涉及所要求的數(shù)據(jù)元數(shù)量;(ii)基于事務(wù)處理的風(fēng)險級別,堅(jiān)決要求或不堅(jiān)決要求某些信息元。在這種調(diào)整的情況下,可以使得某些信息要求成為強(qiáng)制性的;(iii)使某個安全措施成為強(qiáng)制性的或可選擇的。
在本發(fā)明的一個實(shí)施例中,事務(wù)處理提供商可以基于事務(wù)處理的風(fēng)險級別來決定放棄任何驗(yàn)證,或者可選擇地向所有用戶發(fā)出驗(yàn)證請求,但是許可某些用戶選擇不參加驗(yàn)證(例如,使得對這類用戶來說是可選的),或者選擇性地使得驗(yàn)證對所有用戶是可選的,而使得驗(yàn)證只對于某些用戶是強(qiáng)制性的。
在本發(fā)明的一個實(shí)施例中,每個活動的風(fēng)險都可以用交互技術(shù)來評價,并且適當(dāng)?shù)慕换ヲ?yàn)證級別被匹配于具體的事務(wù)處理風(fēng)險,在這之后驗(yàn)證結(jié)果可以被反饋到風(fēng)險評估模塊。例如,高速度的事務(wù)處理被檢測到來自于之前未記錄的IP代理。這可能表明使用特定服務(wù)器來在多個帳戶上進(jìn)行欺詐的欺詐者,或者有可能是一個真正的新的代理服務(wù)器。這類信息可以被實(shí)時地反饋到相關(guān)的數(shù)據(jù)庫和規(guī)則組。因?yàn)轱L(fēng)險高于普通的情況,所以系統(tǒng)可以發(fā)起額外的驗(yàn)證步驟,或者可以提高事務(wù)處理的驗(yàn)證級別。驗(yàn)證結(jié)果可以被反饋到風(fēng)險計(jì)分模塊。如果幾乎所有的驗(yàn)證都失敗了,則這可能表明欺詐者,以及特定的IP可以進(jìn)入了黑名單;更高的驗(yàn)證級別(乃至自動拒絕)可以被使用。然而,如果大多數(shù)驗(yàn)證都通過了,則這表明使用單個代理服務(wù)器的多個真正的用戶,并且可以因此更新風(fēng)險引擎。以后,風(fēng)險引擎可以指明這個IP的普通風(fēng)險級別,因此系統(tǒng)可以停止要求這些事務(wù)處理進(jìn)行額外驗(yàn)證-從而甚至更進(jìn)一步地減少了″無禮的行為″。
本發(fā)明實(shí)施例的應(yīng)用的以下例子只是示例性的,其意在說明所述方法的特定實(shí)施。它們決不是意在把這個方法適用范圍限制到某個領(lǐng)域或某種事務(wù)處理,乃至限制到某種風(fēng)險評估方法,或者限制到某種對驗(yàn)證級別的調(diào)整。
根據(jù)一個例子,本發(fā)明的實(shí)施例可以根據(jù)所評估的事務(wù)處理風(fēng)險于在線銀行業(yè)務(wù)登錄期間幫助調(diào)整驗(yàn)證級別。
許多銀行堅(jiān)持在登錄到在線帳戶期間要求非常高的安全級別,并且然后可能要求在線用戶每當(dāng)他們希望登錄到在線銀行業(yè)務(wù)服務(wù)的時候提供許多細(xì)節(jié)(例如數(shù)據(jù)元)。這類細(xì)節(jié)可能例如包括用戶名、和/或銀行選擇的口令/id號、和/或用戶選擇的口令、和/或用戶id號(例如SSN、國家ID號、或任何其它對用戶特定的細(xì)節(jié)(例如只有該用戶知道的姓名、出生日期))。
盡管堅(jiān)持要求非常高的安全級別可以減少欺詐,然而它不是沒有成本的。與保持這么高的安全級別相關(guān)聯(lián)的主要成本在于事務(wù)處理放棄、在線銀行業(yè)務(wù)的低使用、以及對顧客呼叫中心的大量呼叫。
本發(fā)明的實(shí)施例使得能有效率地把安全級別調(diào)整到所評價的風(fēng)險級別,例如如下面那樣(其它的操作或操作序列也可以被使用)1.定義幾個登錄安全級別,例如其范圍從用戶名和口令(或者甚至只有口令,而自動填寫用戶名)到另外要求的全部細(xì)節(jié)列表。
2.執(zhí)行風(fēng)險評估(例如使用風(fēng)險評估引擎)來評估具體的登錄或事務(wù)處理的風(fēng)險。處理可以根據(jù)這個級別來選擇適當(dāng)?shù)牡卿洶踩墑e。
3.用于風(fēng)險評估的細(xì)節(jié)可以包括以下內(nèi)容,或者可以包括其它適當(dāng)?shù)募?xì)節(jié)組i.當(dāng)前的登錄細(xì)節(jié)例如,用戶標(biāo)識(其例如可能涉及IP信息)、用戶位置、IP地址、IP地址地理位置、登錄的時間和日期(GMT以及被調(diào)整到本地時區(qū))、瀏覽器、本地計(jì)算機(jī)上存儲cookies、在線登錄帳戶、登錄頁面下載所花費(fèi)的時間、用戶進(jìn)行響應(yīng)所花費(fèi)的時間(例如提交登錄細(xì)節(jié))、用戶輸入不同字段乃至不同字母所花費(fèi)的時間、用戶在輸入細(xì)節(jié)的時候是否必須校正細(xì)節(jié)。
ii.登錄細(xì)節(jié)(例如,來自于用戶登錄到服務(wù)的時間的細(xì)節(jié))與上面(a)中的相同。
iii.歷史登錄細(xì)節(jié)與上面(a)中的相同。
iv.登錄用戶的在線活動的配置文件(例如,用戶通常做什么活動并何時做這些活動)v.屬于相同的年齡群、社會經(jīng)濟(jì)群、或其它的用戶文件配置群的其它用戶的登錄活動的配置文件。
風(fēng)險評估能夠在在線事務(wù)處理操作的不同階段執(zhí)行。它們能夠被獨(dú)立地使用,或者它們可以結(jié)合在一起使用。如果在登錄或事務(wù)處理開始之前執(zhí)行風(fēng)險評估,則可能在這個階段的細(xì)節(jié)較少。當(dāng)使用這種替換方案時,向用戶示出的登陸屏幕可能不同并且可以基于風(fēng)險級別來選擇。如果風(fēng)險評估在登錄或事務(wù)處理期間被執(zhí)行,則用戶最初可能被給出簡單的用戶名和口令或類似的登錄屏幕。在用戶輸入其細(xì)節(jié)之后,登錄的風(fēng)險級別可以被再評價。如果當(dāng)前的登錄安全級別被認(rèn)為有風(fēng)險,則附加信息可以經(jīng)由其它屏幕的呈現(xiàn)而被示出。這種方法可以允許在風(fēng)險評估中使用更多的數(shù)據(jù),因?yàn)?,更多的信息可以在第一屏幕上的登錄處理本身期間被收集。如果風(fēng)險評估在登錄之后被執(zhí)行,則用戶可以從簡單的登錄過程開始,并且如果用戶正確地輸入簡單的細(xì)節(jié),則用戶可以被允許進(jìn)入。然后,基于他嘗試執(zhí)行的實(shí)際操作以及會話的總的風(fēng)險級別,用戶可以被重定向到需要其它細(xì)節(jié)的其它登陸屏幕。雖然討論了用屏幕來獲取信息,但是也可以使用其它的方法,例如紙張、電話、面對面的交互、等等。風(fēng)險評估能夠用各種各樣的方法來進(jìn)行,例如包括vi.負(fù)和正的細(xì)節(jié)列表,比如IP、地理位置、在線帳戶、日期、周/月中的日子、一日中的小時。
vii.比較登錄數(shù)據(jù)與特定的用戶登錄(或在線活動)配置文件(基于過去的登錄與或其它在線活動)和/或與一般的用戶登錄配置文件。
4.各種適當(dāng)?shù)膶?shí)施可以被使用。一個適合于在登錄之前或登錄期間執(zhí)行風(fēng)險評估的情況的例子如下所述″前端″代理服務(wù)器可以被添加,因此它可以緩存用戶的全部的登錄細(xì)節(jié)。這個代理服務(wù)器可以進(jìn)行風(fēng)險評估(自身地或使用外部風(fēng)險評估引擎),可以決定顯示什么樣的屏幕,并且可以把實(shí)際的屏幕呈現(xiàn)給用戶。然后,它可以填入缺少的登錄細(xì)節(jié)(用戶沒有填入的細(xì)節(jié))并把請求提交給″后端″站點(diǎn)。代理可以基于它從″后端″站點(diǎn)取得的批準(zhǔn)而″在空中″收集并存儲來自于用戶的數(shù)據(jù)。代理服務(wù)器還可以在它已經(jīng)具有全部所需的數(shù)據(jù)的情況下內(nèi)部地確認(rèn)數(shù)據(jù)。后端站點(diǎn)可以是在″自適應(yīng)登錄″特征被添加之前的站點(diǎn),或者可以是以前用于驗(yàn)證的″老″站點(diǎn)所使用的內(nèi)部部件。
在另一個例子中,一個實(shí)施例可以在例如強(qiáng)制性的和可選擇的用于諸如3D SecureTM的系統(tǒng)的″在空中的確認(rèn)″(aka,″AOF″,″按需登錄″=″ROD″,ADS)之間做出決定。3D SecureTM(aka″由Visa標(biāo)準(zhǔn)校驗(yàn)″)是一種驗(yàn)證標(biāo)準(zhǔn),其可以允許卡發(fā)行商在在線事務(wù)處理期間驗(yàn)證卡成員的身份(一般是在線卡購買事務(wù)處理,盡管它也可能為了驗(yàn)證其它事務(wù)處理而被使用);其它適當(dāng)?shù)南到y(tǒng)也可以被使用??òl(fā)行商可能需要用戶預(yù)先登錄到這類服務(wù),但是也可能在在線事務(wù)處理期間向服務(wù)提供登錄(例如,在空中的″AOF″的3D SecureTM服務(wù)的激活)。例如,卡發(fā)行商可能讓這個服務(wù)和對該服務(wù)的登錄對其卡成員來說可選或強(qiáng)制性的,并且因此可以使得經(jīng)由AOF的登錄成為強(qiáng)制性的或可選的。使登錄成為可選的與強(qiáng)制性的可以意指基于服務(wù)的驗(yàn)證也是可選的或強(qiáng)制性的。可選的AOF可以允許卡成員能夠選擇不登錄到服務(wù),并且仍然可以被允許不經(jīng)過3D SecureTM驗(yàn)證就完成在線購買(或其它事務(wù)處理)。讓AOF是強(qiáng)制性的意指用戶可能不得不登錄到3D SecureTM服務(wù)并驗(yàn)證他自己或她自己,以便被允許達(dá)成事務(wù)處理??蛇x的AOF可能沒有充分地保護(hù)卡發(fā)行商免遭欺詐,而強(qiáng)制性的AOF可能使許多卡成員放棄它們的在線事務(wù)處理,如果他們不希望注冊到驗(yàn)證服務(wù)的話。本發(fā)明的實(shí)施例可以使得組織或處理基于事務(wù)處理的個體風(fēng)險決定AOF應(yīng)該是可選的還是強(qiáng)制性的。
風(fēng)險評估或事務(wù)處理的細(xì)節(jié)可能包括以下內(nèi)容viii.當(dāng)前的登錄細(xì)節(jié)IP地址、IP地址地理位置、登錄的時間和日期(GMT以及被調(diào)整到當(dāng)?shù)貢r區(qū))、瀏覽器、本地計(jì)算機(jī)上存儲的cookies、在線登錄帳戶、登錄頁面下載所花費(fèi)的時間、用戶進(jìn)行應(yīng)答所花費(fèi)的時間(提交登錄細(xì)節(jié))、用戶輸入各字段乃至各字母所花費(fèi)的時間、用戶在輸入它們的時候是否必須校正細(xì)節(jié),ix.登錄細(xì)節(jié)(來自于用戶登陸服務(wù)的時間的細(xì)節(jié))與上面(a)中的相同。
x.歷史登錄細(xì)節(jié)與上面(a)中的相同。
xi.登錄用戶的在線活動的文件配置(例如,用戶通常做什么活動并何時做這些活動)xii.屬于相同的年齡群、社會經(jīng)濟(jì)群、或其它的用戶文件配置群的其它用戶的登錄活動的配置文件。
xiii.批發(fā)商姓名、批發(fā)商URL、批發(fā)商獲取者BIN和批發(fā)商ID、批發(fā)商國家、批發(fā)商GMT偏移(全部來自于PAReq)。
xiv.購買貨幣和購買數(shù)量(來自于PAReq)。
xv.批發(fā)商TermURL和HTTP Referer(兩個字段,其能夠示出哪個站點(diǎn)向我們提交了3D Secure PAReq和哪個站點(diǎn)將從我們?nèi)〉肞ARes)。
xvi.批發(fā)商的配置文件和從批發(fā)商買進(jìn)的用戶的文件配置。
在另一個實(shí)施例中,在例如用戶或申請者需要口令(例如因?yàn)榭诹畋煌浕蚍佩e地方)或者口令被用戶重新設(shè)置或改變的情況下,部分或所有的事務(wù)處理可能是口令或其它數(shù)據(jù)的恢復(fù)。例如,在線帳戶的口令可能在用戶回答私密問題之后經(jīng)由電子郵件來發(fā)送。風(fēng)險級別可能不會影響初步驗(yàn)證(例如登陸到帳戶中,等等),而是會影響口令恢復(fù),或是影響與初步驗(yàn)證相關(guān)的私密的任何其它恢復(fù)。風(fēng)險可能例如通過采用附加要求作為重新設(shè)置、修改或顯示口令或其它數(shù)據(jù)的條件而影響恢復(fù)。如果風(fēng)險被確定很低,則用戶可以被允許進(jìn)一步訪問口令信息,或者例如執(zhí)行顧客自助的口令恢復(fù)。如果風(fēng)險被確定較高,則用戶例如可能被要求進(jìn)行不同的活動,或者口令事務(wù)處理可能被修改因此用戶例如必須聯(lián)絡(luò)客戶服務(wù)代表。
例如,如果事務(wù)處理中的或用于用戶的風(fēng)險評估很低或低于某個閾值,則用戶可能被允許使用固定的公共數(shù)據(jù)元(例如SSN、出生日期電話號碼、駕駛執(zhí)照號碼、CW2碼、PIN碼等等)組以用于口令恢復(fù),但是如果風(fēng)險級別很高,則用戶可能被要求使用不同的更可靠的驗(yàn)證形式以用于口令恢復(fù)。如果風(fēng)險確定很低,則用戶可能被允許使用固定的公共數(shù)據(jù)元組來進(jìn)行口令恢復(fù),但是如果風(fēng)險級別很高或超出某個閾值,則新的口令或其它數(shù)據(jù)項(xiàng)可能經(jīng)由之前建立的信道被發(fā)送給原始用戶(例如被發(fā)送到用戶存檔的電子郵件、帳單地址等等)。
圖4是描述根據(jù)該本發(fā)明實(shí)施例的處理的流程圖。圖4例如可能通過圖1和3中所示的實(shí)施例來實(shí)現(xiàn),但是也可能通過其它適當(dāng)?shù)南到y(tǒng)來實(shí)現(xiàn)。參考圖4,用戶在操作200中開始事務(wù)處理;例如,用戶請求在機(jī)構(gòu)開立帳戶在從機(jī)構(gòu)購買貨物。在操作210中,事務(wù)處理和/或用戶的風(fēng)險級別可以被評價或另外確定;例如,通過機(jī)構(gòu),或通過諸如基于風(fēng)險的驗(yàn)證服務(wù)器150之類的分離的服務(wù)器。在操作220中,事務(wù)處理的驗(yàn)證級別可以基于風(fēng)險級別被設(shè)置。在操作230中,驗(yàn)證級別例如可用來確定事務(wù)處理當(dāng)事人被要求的一組驗(yàn)證細(xì)節(jié),或者可能地在一組安全級別(例如登錄安全)當(dāng)中做出選擇以用于事務(wù)處理。例如,或多或少的信息或細(xì)節(jié)可能基于驗(yàn)證級別對用戶提出要求。在用于事務(wù)處理的驗(yàn)證級別或風(fēng)險級別被設(shè)置之后,用戶驗(yàn)證可以被執(zhí)行。其它的操作或操作序列也可以被使用。
圖5是描述根據(jù)該本發(fā)明實(shí)施例的處理的流程圖。圖5例如可能通過圖1和3中所示的實(shí)施例來實(shí)現(xiàn),但是也可能通過其它適當(dāng)?shù)南到y(tǒng)來實(shí)現(xiàn)。參考圖5,決定引擎或另一個實(shí)體可以在操作300中例如從訪問控制服務(wù)器接收事件細(xì)節(jié)。決定引擎可以例如與風(fēng)險模塊通信并可以請求該事件的風(fēng)險計(jì)分。在操作305中,風(fēng)險模塊可以例如使用(例如一般的和特定的)風(fēng)險模型,對事件進(jìn)行分析,并且可以返回風(fēng)險計(jì)分。
在操作310中,決定引擎可以取得風(fēng)險計(jì)分,并可以查閱用戶信息數(shù)據(jù)庫和具體的約束條件以確定什么是可用的驗(yàn)證方法。在操作315中,決定引擎可以對照配置表來檢查可用的驗(yàn)證方法和風(fēng)險計(jì)分并且決定采取什么行動。在操作320中,如沒有發(fā)生行動,則決定引擎可以跳至操作360。在操作325中,如果將發(fā)生用戶信息收集,則驗(yàn)證與收集服務(wù)器可以查詢用戶信息數(shù)據(jù)庫以確定數(shù)據(jù)缺失,并且可以查閱適當(dāng)?shù)呐渲帽硪詻Q定要收集的元素(若干元素)。在完成數(shù)據(jù)收集之后,用戶信息數(shù)據(jù)庫(例如數(shù)據(jù)庫160)可以被更新。在操作330中,如果將要發(fā)生驗(yàn)證,則驗(yàn)證與收集服務(wù)器例如可以顯示請求客戶或用戶執(zhí)行另一個驗(yàn)證級別的頁面;例如輸入更多的信息。驗(yàn)證與收集服務(wù)器可以校驗(yàn)被輸入的數(shù)據(jù)。
在操作340中,在具有后退的驗(yàn)證的情況下,后退可以在用戶驗(yàn)證失敗一定次數(shù)之后被提供。在操作350中,在無后退的驗(yàn)證的情況下,在用戶驗(yàn)證失敗一定次數(shù)之后不提供后退。在操作360中,諸如剖析器176之類的模塊可以更新相關(guān)的數(shù)據(jù)庫,例如用戶活動數(shù)據(jù)庫178。在操作370中,訪問控制服務(wù)器發(fā)送響應(yīng)。其它的操作或操作序列也可以被使用。
圖4與5中所示的例子僅僅是舉例;其它的操作或操作序列也可以被使用,并且用于評價用戶或申請人并且與用戶或申請人交互的其它方法也可能被使用。在其它的實(shí)施例中不需要用到互聯(lián)網(wǎng)或網(wǎng)頁-交互例如可能是電話、面對面、經(jīng)由自動取款機(jī)或經(jīng)由其它的方法的。
本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解,本發(fā)明的實(shí)施例并不受上文中具體示出并描述的內(nèi)容的限制。而是本發(fā)明的至少一個實(shí)施例的范圍是由下面的權(quán)利要求來定義的。
權(quán)利要求
1.一種方法,包括評估事務(wù)處理的風(fēng)險級別;以及基于該風(fēng)險級別,設(shè)置該事務(wù)處理的驗(yàn)證級別。
2.權(quán)利要求1的方法,包括使用驗(yàn)證級別來確定事務(wù)處理當(dāng)事人被要求的驗(yàn)證細(xì)節(jié)組。
3.權(quán)利要求2的方法,其中,用戶之前已被驗(yàn)證。
4.權(quán)利要求2的方法,其中,所述驗(yàn)證細(xì)節(jié)組至少包括口令。
5.權(quán)利要求1的方法,包括基于風(fēng)險級別在所述事務(wù)處理的登錄安全級別組中做出選擇。
6.權(quán)利要求1的方法,包括在事務(wù)處理已經(jīng)開始之后設(shè)置驗(yàn)證級別。
7.權(quán)利要求1的方法,其中,事務(wù)處理是金融事務(wù)處理。
8.權(quán)利要求1的方法,其中,評估事務(wù)處理的風(fēng)險級別的步驟包括至少評價希望參與該事務(wù)處理的當(dāng)事人。
9.權(quán)利要求8的方法,其中,評價當(dāng)事人的步驟包括評價該當(dāng)事人是否是當(dāng)事人所聲稱的那個人。
10.權(quán)利要求8的方法,其中,評價當(dāng)事人的步驟包括評價該當(dāng)事人是否滿足某個準(zhǔn)則。
11.權(quán)利要求1的方法,其中,評估事務(wù)處理的風(fēng)險級別的步驟包括至少評價該事務(wù)處理。
12.權(quán)利要求1的方法,其中,評估事務(wù)處理的風(fēng)險級別的步驟包括至少評價該事務(wù)處理的規(guī)模。
13.權(quán)利要求1的方法,包括將風(fēng)險級別評估基于被存儲的數(shù)據(jù)組之上,并且基于事務(wù)處理來修改該被存儲的數(shù)據(jù)組。
14.權(quán)利要求1的方法,包括使用驗(yàn)證級別來確定事務(wù)處理當(dāng)事人被要求的驗(yàn)證類型。
15.權(quán)利要求1的方法,包括在初始驗(yàn)證步驟之后響應(yīng)于某個風(fēng)險級別而要求進(jìn)一步的驗(yàn)證步驟。
16.權(quán)利要求1的方法,包括響應(yīng)于某個風(fēng)險級別而使得某個驗(yàn)證步驟是強(qiáng)制性的而非可選擇的。
17.權(quán)利要求1的方法,其中,事務(wù)處理是口令恢復(fù)。
18.權(quán)利要求1的方法,包括不考慮設(shè)置該事務(wù)處理的驗(yàn)證級別。
19.權(quán)利要求1的方法,包括如果用戶在預(yù)定義的用戶組中,或者事務(wù)處理滿足某個準(zhǔn)則,則不考慮設(shè)置事務(wù)處理的驗(yàn)證級別。
20.權(quán)利要求1的方法,包括收集用戶或事務(wù)處理數(shù)據(jù)并且存儲該數(shù)據(jù)以用于未來的風(fēng)險評估。
21.權(quán)利要求1的方法,包括收集用戶數(shù)據(jù)并且存儲該數(shù)據(jù)以用于未來的驗(yàn)證。
22.權(quán)利要求1的方法,包括收集事務(wù)處理數(shù)據(jù)并且存儲該事務(wù)處理數(shù)據(jù)以用于未來的風(fēng)險評估。
23.權(quán)利要求1的方法,包括驗(yàn)證事務(wù)處理當(dāng)事人。
24.一種方法,包括從用戶接受開始事務(wù)處理的請求;針對風(fēng)險級別來評價用戶和事務(wù)處理中的一個或多個;以及如果風(fēng)險級別超出閾值,則要求該用戶提供安全細(xì)節(jié)。
25.權(quán)利要求24的方法,其中,接受該請求的步驟包括至少接受初始的驗(yàn)證細(xì)節(jié)組。
26.權(quán)利要求24的方法,包括在接受該請求之前從用戶接受驗(yàn)證細(xì)節(jié)。
27.權(quán)利要求24的方法,其中,針對風(fēng)險來評價用戶和事務(wù)處理中的一個或多個的步驟包括至少評價該用戶的過去的事務(wù)處理歷史。
28.權(quán)利要求24的方法,包括如果用戶在預(yù)定義的用戶組中,則不考慮要求用戶提供安全細(xì)節(jié)。
29.一種包括處理器的系統(tǒng),用于評估事務(wù)處理的風(fēng)險級別;以及基于該風(fēng)險級別,設(shè)置該事務(wù)處理的驗(yàn)證級別。
30.權(quán)利要求29的系統(tǒng),其中,所述處理器將會驗(yàn)證事務(wù)處理當(dāng)事人。
31.權(quán)利要求29的系統(tǒng),其中,所述處理器將會使用驗(yàn)證級別來確定事務(wù)處理當(dāng)事人被要求的驗(yàn)證細(xì)節(jié)組。
32.權(quán)利要求29的系統(tǒng),其中,該驗(yàn)證細(xì)節(jié)組至少包括口令。
33.權(quán)利要求29的系統(tǒng),其中,所述處理器將會基于風(fēng)險級別從該事務(wù)處理的登錄安全級別組中做出選擇。
34.權(quán)利要求29的系統(tǒng),其中,評估事務(wù)處理風(fēng)險級別包括至少評價希望參與該事務(wù)處理的當(dāng)事人。
35.權(quán)利要求29的系統(tǒng),其中,所述處理器將在初始驗(yàn)證步驟之后響應(yīng)于某個風(fēng)險級別而要求進(jìn)一步的驗(yàn)證步驟。
36.權(quán)利要求29的系統(tǒng),其中,所述事務(wù)處理是口令恢復(fù)。
37.一種包括處理器的系統(tǒng),用于從用戶接受開始事務(wù)處理的請求;針對風(fēng)險級別來評價用戶和事務(wù)處理中的一個或多個;以及如果風(fēng)險級別超出閾值,則要求該用戶提供安全細(xì)節(jié)。
38.權(quán)利要求37的系統(tǒng),其中,接受該請求包括至少接受初始的安全細(xì)節(jié)組。
39.權(quán)利要求37的系統(tǒng),其中,針對風(fēng)險來評價用戶和事務(wù)處理中的一個或多個包括至少評價該用戶的過去的事務(wù)處理歷史。
40.權(quán)利要求37的系統(tǒng),其中,所述處理器將會如果用戶在優(yōu)選用戶組中,則不考慮要求該用戶提供安全細(xì)節(jié)。
全文摘要
一種系統(tǒng)和方法可以允許基于例如對事務(wù)處理和/或事務(wù)處理的用戶或當(dāng)事人的風(fēng)險評估而進(jìn)行靈活的事務(wù)處理操作。例如,事務(wù)處理的驗(yàn)證級別可以基于風(fēng)險級別來設(shè)置或修改。
文檔編號H04L9/00GK101073219SQ200480030394
公開日2007年11月14日 申請日期2004年9月13日 優(yōu)先權(quán)日2003年9月12日
發(fā)明者利奧·高蘭, 埃米爾·奧瑞德, 納夫塔利·貝內(nèi)特 申請人:Rsa安全公司