用于用户认证的方法和系统技术方案

用于电信网络中的用户认证的本发明专利技术的方法包括具有认证服务的认证服务器，并且包括有用户请求时的初始身份检查。本方法主要特征在于如由认证服务器执行的以下步骤，在所述步骤中，认证服务器接收用于用户的进一步认证的具有用户行为数据的请求，存储用户行为数据，通过使用算法来将初始身份与用户的先前信息匹配，如果用户的初始身份和用户的先前信息并未以预定方式匹配则执行用户的身份的进一步检查，以及报告该进一步认证的结果作为对请求的答复。本发明专利技术的系统具有用于执行本发明专利技术的方法的步骤的部件。本发明专利技术还涉及一种当在计算机可读介质中运行时执行本发明专利技术的方法的步骤的计算机程序产品。

Method and system for user authentication

A method for authenticating a user in a telecommunications network includes an authentication server having an authentication service and an initial identity check including a user request. The main feature of this method is executed by the authentication server such as the following steps in the further step, authentication server receives for users with the user behavior data storage request, user behavior data, the initial information previously matched with the user's identity by using the algorithm, if further examination of previous information for the user's initial status and the user did not match in a predetermined way is the implementation of the identity of the user, and report the results of further authentication as request reply. A system of the present invention has a member for performing a step of the method of the present invention. The invention also relates to a computer program product that performs the method of the present invention when running in a computer-readable medium.

【技术实现步骤摘要】
【国外来华专利技术】用于用户认证的方法和系统
本专利技术涉及一种用于在包括具有认证服务的认证服务器的电信网络中的用户认证的方法和系统。本方法涉及到在用户请求用户服务时的用户的初始身份检查。
技术介绍
由于互联网很容易被任何人访问，所以其使用涉及到不同种类的风险。在没有任何安全动作的情况下，所应对的人是未知的，并且个人信息可能被散播并利用。互联网风险的示例是身份窃贼，他们使用其在线找到的信息来消耗银行账户或毁坏信用评级。一般地，关于例如受欢迎社交联网站点中的人们的信息可能被滥用或以对于用户而言不期望的方式被使用，甚至导致人们的金钱损失。用于数据隐私的认证和动作因此被用作用以增加安全的方法。在互联网上控制一个人揭露出的关于其自己的信息和谁能够访问该信息的能力已经变成增长的忧虑。另一忧虑是收集、存储以及可能地共享关于用户的个人可识别信息的网站。信息隐私或数据隐私（或数据保护）是数据的收集和传播、技术、隐私的公共期望以及围绕它们的法律和政治问题之间的关系。关于保护人们的隐私的立法在全世界变得越来越严格，并且连同例如关于使用互联网的风险一起，人们对其自己的隐私的保护变得越来越感兴趣。隐私忧虑在个人可识别信息被收集和存储——以数字形式或其它方式——的任何地方都存在。不适当或不存在的公开控制可能是数据及其它隐私问题的根本原因。并且授权（其是指定对资源的访问权限的功能）一般而言与信息安全和计算机安全并且特别是与访问控制有关。更正式地，“授权”是定义访问策略。在操作期间，系统使用访问控制规则来判定来自（已认证）消费者的访问请求应被批准（许可）还是不批准（拒绝）。认证被用作针对对由服务提供商或者向通信网络提供的服务的未授权访问的防御。交换信息以验证用户的身份。该信息可以在两端处被加密。通过网络的认证是用于当远程客户端被允许访问网络服务器时启用安全的尤其重要的部分。通过数据网络、尤其是比如互联网的公共数据网络的认证是困难的，因为客户端与服务器之间的通信易受到许多不同类型的攻击。基本认证方案是用于使服务器从客户端请求口令。口令是用于用户认证的秘密的字或字符串。客户键入口令并将其发送到服务器。这种技术针对可以通过拦截客户端与服务器之间的通信来获悉秘密信息的窃听者而言是脆弱的。所捕捉的信息还可以被黑客在所谓的“重放攻击”中用来非法登录到系统上。另一种攻击是欺骗攻击，其中，敌方假冒服务器，使得客户端相信其正在与合法服务器通信，然而其实际上正在与敌方通信。此外，在任何基于口令的认证协议中，存在口令将很弱且甚至很容易被猜到、使得其易受到字典攻击的可能性。字典攻击是通过测试大量的可能口令来执行的对口令的暴力攻击。避免通过重放所捕捉的可再使用口令进行的攻击的一个解决方案是使用一次性口令（OTP）。一次性口令可以是例如一组口令中的一个口令，这样被构造使得极其难以计算该组中的下一口令或许可访客在有限时间（例如，一天）内访问的一次性口令系统。一般地，可以通过验证口令或PIN（用户知道的某些东西，即知识因素）、生物计量信息（用户存在的某些东西，诸如指纹、声纹或虹膜，即固有因素）以及某识别令牌（诸如智能卡或移动电话）（用户具有的某些东西，即拥有因素）中的一个或多个来实现认证。多因素认证或双因素认证是要求呈现上述三个认证因素中的两个或更多的认证方法。在呈现之后，必须由对方确认每个因素以使认证发生。如上文提出的，知识因素是作为基本认证方案的最常见的认证形式。当涉及到大量用户时，生物计量认证通常不可接受地慢且相当昂贵。另外，其对重放攻击而言是脆弱的。然而，语音生物计量明显降低了成功重放攻击的风险，但是存在对生物计量认证的很大用户抵抗性。用户抵抗使其个人物理特性出于认证目的被捕捉并记录。针对许多生物计量识别符，实际生物计量信息被再现成串或数学信息。因此在两个数据串之间进行比较，并且如果存在充分的共同性，则实现通过。由于数据有多匹配和准确度达到什么程度是选择的问题，因此所有生物计量设备都不提供明确的身份保证，而是相反地提供概率，并且全部可能提供假阳性和阴性输出。生物识别符也可能被伪造。例如，可以在胶带上捕捉指纹并制作假的明胶拷贝，或者可以呈现眼睛视网膜的简单照片。双因素认证一般地在电子计算机认证中找到并设法降低请求者呈现其身份的假证据的概率。然而，在现实中，当在身份声明中确立真实性的相对保证时存在比简单地使用多少“因素”更多的变量要考虑。在讨论中的其它因素是时间和位置。例如，两个用户（甚至具有克隆知识和令牌的完美双胞胎）可能不同时地在同一地点。现有认证方法涉及到已解释的三个类型的基本“因素”。取决于超过一个因素的认证方法比单因素方法更加难以妥协。新种类的双因素认证TFA工具使用SMS消息发送、交互式电话呼叫或经由可下载到智能电话的应用程序将PC用户的移动电话变换成令牌设备。由于用户现在通过两个通道进行通信，所以移动电话变成双因素、双通道认证机制。根据支持者，多因素认证MFA可以大大降低在线身份盗窃及其它在线欺诈的发生率，因为受害者的口令将不再足以为窃贼给予对他们的信息的永久访问。然而，许多MFA方法对于浏览器中间人和中间人攻击而言仍是脆弱的。阻止许多方法变得普遍的双因素认证的另一缺点是某些消费者难以跟踪硬件令牌或USB插头。此外，许多消费者并不具有安装客户端侧软件证书所需的技术技能。结果，向认证过程添加第二因素通常导致用于实现和维护的成本的显著增加。大多数基于硬件令牌的系统是专有的且对每个用户收取年费。硬件令牌的部署在物流上是有挑战性的，因为硬件令牌可能被损坏或丢失，并且需要管理诸如银行业之类的大型行业或者甚至大型企业内的令牌发布。除资本支出（CAPEX）之外，双因素认证常常意味着显著的附加运营支出（OPEX）。软件证书和软件工具栏方法已被报告具有最高的支持成本。由于成本综合和用户接受方面的挑战，实际的双因素认证还不普遍，虽然可能在要求附加安全的某些行业类别（例如，银行业、军队）中找到它。此外，双因素认证未被标准化。存在其各种不兼容的实施方式。因此，互操作性是另一个问题。存在在选择、开发、测试、实现和维护端到端安全身份管理系统时要考虑的许多过程和方面，包括所有相关认证机制及其技术。预认证方法在回答呼叫之前使用呼叫信息来分别地验证呼叫号码和所拨号码。发生为了增加的安全性而使用回叫，使得在认证完成之后，呼叫被挂断并进行回叫，从而确保仅与可信号码进行连接。新的黑客技术被开发并且每天都发现网络中的新的安全漏洞。基于计算机的攻击很可能继续。对于政府、企业和普通个人而言，黑客行为的威胁已经产生对安全信息系统和网络的前所未有的很大需求。上述问题表明一直需要开发用于确保秘密性以便比高级的黑客早一步的新方法和方面。上述双因素和多因素认证方法在许多情况下是有效的，但是在某些情况下期望附加的安全层，尤其是允许同时地避免额外成本和复杂信令的此类方法。以下参考文献被作为现有技术而提及。美国专利申请2007/0056022公开了一种双因素认证方法，其采用与服务和/或认证请求相关联的用户的互联网协议（IP）地址和向互联网服务提供商（ISP）帐户的请求的用户细节。如果存在由ISP向与用户细节匹配的用户发布IP地址的指示，则用户被认证。美国专利申请2013/0055368公开了一种多因素认证方法，本文档来自技高网...

【技术保护点】
包括具有认证服务的认证服务器的电信网络中的用户认证的方法，所述方法包括在有用户请求时的初始身份检查的步骤，其特征在于如由认证服务器执行的以下步骤：a）接收用于用户的进一步认证的具有用户行为数据的请求，b）存储用户行为数据，c）通过使用算法来将初始身份与用户的先前信息匹配，d）如果用户的初始身份和用户的先前信息并未以预定方式匹配则执行用户的身份的进一步检查，以及e）报告该进一步认证的结果作为对请求的答复。

【技术特征摘要】
【国外来华专利技术】2014.04.17 EP 14165160.41.包括具有认证服务的认证服务器的电信网络中的用户认证的方法，所述方法包括在有用户请求时的初始身份检查的步骤，其特征在于如由认证服务器执行的以下步骤：a）接收用于用户的进一步认证的具有用户行为数据的请求，b）存储用户行为数据，c）通过使用算法来将初始身份与用户的先前信息匹配，d）如果用户的初始身份和用户的先前信息并未以预定方式匹配则执行用户的身份的进一步检查，以及e）报告该进一步认证的结果作为对请求的答复。2.权利要求1的方法，其特征在于，定义不同的分数值以表示不同的认证水平并选择用于用户的阈值分数值以表示在步骤c）的匹配中要通过的认证水平，由此通过计算用于身份匹配的分数值来执行匹配。3.权利要求1或2的方法，其特征在于，所述电信网络还包括一个或多个服务提供商，由此，用于进一步认证的请求被服务提供商接收到，并且匹配的结果被发送到同一服务提供商。4.权利要求1-3的任何组合的方法，其特征在于，所述先前信息是基于结合用户对由一个或多个服务提供商提供的服务的使用而从这一个或多个服务提供商接收和收集的用户的先前行为模式。5.权利要求1-4的任何组合的方法，其特征在于，用于进一步认证的请求是连续馈送，其包括在整个进一步认证会话期间用户请求发送服务的行为的信息。6.权利要求5的方法，其特征在于，用户请求是用于基于来自连续馈送的已更新用户行为信息来更新分数值的请求。7.权利要求5或6的方法，其特征在于，基于来自连续馈送的已更新用户行为信息在进一步认证的一个会话期间更新用于用户的分数值。8.权利要求1-7的任何组合的方法，其特征在于，所述先前信息由选自所使用的用户设备、用户设备位置、在线时间、被访问站点的类型、购物习惯、所购买产品的类型和特性、所使用的金额的一个或多个参数组成。9.权利要求8的方法，其特征在于，基于可用性而动态地选择参数以用于匹配。10.权利要求8或9的方法，其特征在于，基于与先前行为匹配的参数的数目相对于与先前行为匹配或失配的参数的数目来计算分数值。11.权利要求8-10的任何组合的方法，其特征在于，在分数值的计算中将一个或多个单独参数的偏差考虑在内。12.权利要求2-11的任何组合的方法，其特征在于，基于如何使用被连接到的服务来选择表示认证水平的阈值分数值。13.权利要求3-12的任何组合的方法，其特征在于，表示认证水平的阈值分数值由服务提供商、为用户提供网络连接的网络运营商或用户自己设定。14.权利要求1-13的任何组合的方法，其特征在于，通过以由不同阈值分数值定义的要通过的不同认证水平的形式针对不同...

【专利技术属性】
技术研发人员：J恩奎斯特，J伯格，
申请(专利权)人：康普特尔公开有限公司，
类型：发明
国别省市：芬兰,FI