JP6715242B2 - 信頼される端末を検証するための方法及び装置 - Google Patents

信頼される端末を検証するための方法及び装置 Download PDF

Info

Publication number
JP6715242B2
JP6715242B2 JP2017521133A JP2017521133A JP6715242B2 JP 6715242 B2 JP6715242 B2 JP 6715242B2 JP 2017521133 A JP2017521133 A JP 2017521133A JP 2017521133 A JP2017521133 A JP 2017521133A JP 6715242 B2 JP6715242 B2 JP 6715242B2
Authority
JP
Japan
Prior art keywords
terminal
login
user
trusted
login account
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017521133A
Other languages
English (en)
Other versions
JP2017533511A (ja
Inventor
リャン,ジャングオ
ジャン,ペイリン
Original Assignee
アリババ グループ ホウルディング リミテッド
アリババ グループ ホウルディング リミテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by アリババ グループ ホウルディング リミテッド, アリババ グループ ホウルディング リミテッド filed Critical アリババ グループ ホウルディング リミテッド
Publication of JP2017533511A publication Critical patent/JP2017533511A/ja
Application granted granted Critical
Publication of JP6715242B2 publication Critical patent/JP6715242B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/316User authentication by observing the pattern of computer usage, e.g. typical user behaviour
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M1/00Substation equipment, e.g. for use by subscribers
    • H04M1/72Mobile telephones; Cordless telephones, i.e. devices for establishing wireless links to base stations without route selection
    • H04M1/724User interfaces specially adapted for cordless or mobile telephones
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2129Authenticate client device independently of the user
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2135Metering

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Power Engineering (AREA)
  • Health & Medical Sciences (AREA)
  • Social Psychology (AREA)
  • General Health & Medical Sciences (AREA)
  • Human Computer Interaction (AREA)
  • Information Transfer Between Computers (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Description

技術分野
本開示は、端末技術の分野に関し、特に、信頼される端末を検証するための方法及び装置に関する。
背景
Alipayなどの、セキュリティに対する要件が高い支払いアプリケーションでは、ユーザが機密性の高い操作、例えばパスワードをリセットする、ユーザにより保有される連絡先電話番号を変更する、又はログイン名を変更する、などを実施する必要がある場合、この機密性の高い操作に含まれる変更情報は、主としてユーザの個人情報である。従って、ユーザが機密性の高い操作を実施する場合のユーザの身元を検証するためのプロセスは、非常に厳密である。
例えば、ユーザが機密性の高い操作を実施する場合、ユーザは認証情報をアップロードし、ウェブページ上に生成された指定の質問に答えることがある。次いで、顧客サービススタッフがユーザによりアップロードされた認証情報を手作業で確認し、フォローアップの電話連絡を入れる。上記の検証の全てがクリアされた後でのみ、ユーザが上記の機密性の高い操作を実施することが可能になることがある。
しかしながら、上記の解決策では、全てのユーザが、機密性の高い操作を実施する間に身元を識別するための上記の厳密なプロセスを実施する必要がある場合、ユーザによりアップロードされた認証情報を確認すること及びフォローアップの電話連絡を入れることは両方とも、多大な人件費を必要とする。更に、比較的に厳密な身元検証をユーザが機密性の高い操作を行う度に改めて実施しなくてはならない場合、ユーザ体験に影響を及ぼすことがある。
上記の問題点に対処するために、ユーザにより使用されるログイン端末を検証することができ、検証されたログイン端末はそのユーザのための信頼される端末になる。ユーザが信頼される端末を使用してログインし機密性の高い操作を実施する場合、そのユーザに対しては検証の繰り返しが必ずしも実施されないか、又は比較的に単純な検証のみが実施されてもよい。
一般的に、ユーザのログイン端末は、トランザクション情報、IPアドレス、及びユーザのログイン時間帯により検証される。しかし、幾つかの特別なアプリケーションシナリオでは、例えば、ログイン端末がユーザ間で交換される場合には、上記の方法はユーザ要求を満たすことができない。
概要
上記の問題点に対処するために、本開示は、信頼される端末を検証するための方法及び装置を提供する。
本開示の実施形態の第1の態様によれば、信頼される端末を検証するための方法が提供され、この方法は以下を含む、即ち、ユーザのログイン端末が、ローカルに記録されたそのユーザの信頼される端末と一致するかどうかを判断することと、ログイン端末が、ローカルに記録されたそのユーザの信頼される端末と一致しないと判断された場合に、ユーザのログインアカウントがログイン端末の頻繁に使用されるログインアカウントと関連付けられているかどうかを判断することと、ユーザのログインアカウントがログイン端末の頻繁に使用されるログインアカウントと関連付けられている場合には、そのログイン端末はそのユーザの信頼される端末であると判断することと、を含む。
任意選択的に、ユーザのログイン端末が、ローカルに記録されたそのユーザの信頼される端末と一致するかどうかを判断する前に、この方法は更に以下を含む、即ち、信頼される端末のハードウェア情報により信頼される端末の端末種類を識別することと、信頼される端末がハンドヘルド端末として識別された場合には、信頼される端末をハンドヘルドの信頼される端末としてローカルに分類することと、信頼される端末がPC端末として識別された場合には、信頼される端末の頻繁に使用される時間帯がオフィス時間帯か又は在宅時間帯かを判断することと、信頼される端末の頻繁に使用される時間帯がオフィス時間帯である場合には、信頼される端末をオフィスの信頼される端末としてローカルに分類することと、信頼される端末の頻繁に使用される時間帯が在宅時間帯である場合には、信頼される端末を家庭の信頼される端末としてローカルに分類することと、を含む。
任意選択的に、ユーザのログインアカウントがログイン端末の頻繁に使用されるログインアカウントと関連付けられているかどうかを判断する前に、この方法は更に以下を含む、即ち、そのログイン端末上でのユーザのそのログインアカウントのログイン回数が閾値に達しているかどうかを判断することと、前記判断が肯定の場合には、ユーザのログインアカウントがログイン端末の頻繁に使用されるログインアカウントと関連付けられているかどうかを更に判断することと、前記判断が否定の場合には、ログイン端末はそのユーザの信頼されない端末であると判断することと、を含む。
任意選択的に、ユーザのログインアカウントがログイン端末の頻繁に使用されるログインアカウントに関連付けられているかどうかを判断することは、以下を含む、即ち、ログイン端末の頻繁に使用されるログインアカウントを問い合わせることであって、頻繁に使用されるログインアカウントは、ログイン端末のログインアカウント履歴の中で、そのログイン回数が閾値に達しているログインアカウントである、問い合わせることと、ユーザのログインアカウント及び頻繁に使用されるログインアカウントが同じ信頼される端末上でログインされたかどうか、また、これら2つのアカウント両方のログイン回数が閾値に達しているかどうかを判断することと、前記判断が肯定の場合、ユーザのログインアカウントが頻繁に使用されるログインアカウントと関連付けられていると判断することと、かつ、ユーザのログインアカウントとログインアカウント履歴との対応関係をローカルに記憶することと、を含む。
任意選択的に、同じ信頼される端末とは、同一の家庭の信頼される端末である。
本開示の実施形態の第2の態様によれば、信頼される端末を検証するための装置が提供され、この装置は以下を含む、即ち、ユーザのログイン端末が、ローカルに記録された信頼される端末と一致するかどうかを判断するために使用される第1の判断モジュールと、ログイン端末が、ローカルに記録された信頼される端末と一致しないと判断された場合に、ユーザのログインアカウントがログイン端末の頻繁に使用されるログインアカウントと関連付けられているかどうかを判断し、前記判断が肯定の場合には、そのログイン端末はそのユーザの信頼される端末であると判断するために使用される第2の判断モジュールと、を含む。
任意選択的に、この装置は更に以下を含む、即ち、第1の判断モジュールが、ユーザのログイン端末がローカルに記録されたそのユーザの信頼される端末と一致しているかどうか、を判断する前に、信頼される端末のハードウェア情報によって信頼される端末の端末種類を識別し、信頼される端末がハンドヘルド端末として識別された場合には、信頼される端末をハンドヘルドの信頼される端末としてローカルに分類し、信頼される端末がPC端末として識別された場合には、信頼される端末の一般的な時間帯(common time period)がオフィス時間帯か又は在宅時間帯かを判断し、信頼される端末の一般的な時間帯がオフィス時間帯である場合には、信頼される端末をオフィスの信頼される端末としてローカルに分類し、信頼される端末の一般的な時間帯が在宅時間帯である場合には、信頼される端末を家庭の信頼される端末としてローカルに分類する、ために使用される分類モジュールを含む。
任意選択的に、第2の判断モジュールは、更に以下のために使用される、即ち、ユーザのログインアカウントがログイン端末の頻繁に使用されるログインアカウントと関連付けられているかどうかを判断する前に、ログイン端末上でのユーザのそのログインアカウントのログイン回数が閾値に達しているかどうかを判断することと、前記判断が肯定の場合には、ユーザのログインアカウントがログイン端末の頻繁に使用されるログインアカウントと関連付けられているかどうかを更に判断することと、前記判断が否定の場合には、ログイン端末はそのユーザの信頼されない端末であると判断することと、のために使用される。
任意選択的に、第2の判断モジュールは、更に以下のために使用される、即ち、ログイン端末の頻繁に使用されるログインアカウントを問い合わせることであって、頻繁に使用されるログインアカウントは、ログイン端末のログインアカウント履歴の中で、そのログイン回数が閾値に達しているログインアカウントである、問い合わせることと、ユーザのログインアカウント及び頻繁に使用されるログインアカウントが同じ信頼される端末上でログインされたかどうか、また、これら2つのアカウント両方のログイン回数が閾値に達しているかどうかを判断することと、前記判断が肯定の場合、ユーザのログインアカウントが頻繁に使用されるログインアカウントと関連付けられていると判断することと、かつ、ユーザのログインアカウントとログインアカウント履歴との対応関係をローカルに記憶することと、のために使用される。
任意選択的に、同じ信頼される端末とは、同一の家庭の信頼される端末である。
本開示の実施形態の第3の態様によれば、信頼される端末を検証するための装置が提供され、この装置は、プロセッサと、プロセッサにより実行可能な命令を記憶するためのメモリとを含み、このプロセッサは、以下のために使用される、即ち、ユーザのログイン端末が、ローカルに記録されたそのユーザの信頼される端末と一致するかどうかを判断することと、ログイン端末が、ローカルに記録されたそのユーザの信頼される端末と一致しないと判断された場合に、ユーザのログインアカウントがログイン端末の頻繁に使用されるログインアカウントと関連付けられているかどうかを判断することと、前記判断が肯定の場合には、そのログイン端末はそのユーザの信頼される端末であると判断することと、のために使用される。
これを考慮して、本開示は、ログイン端末の検証に係る従来の技術的解決策に基づいて、ログイン端末の検証プロセスにおいてログインアカウントとログイン端末の頻繁に使用されるログインアカウントとの対応関係を判断する。ユーザのログインアカウントがログイン端末の頻繁に使用されるログインアカウントと関連付けられていると判断された場合、そのログイン端末はそのユーザの信頼される端末として判断される。上記の解決策によって、ログイン端末がユーザ間で交換されるアプリケーションシナリオにおいて、ログイン端末上で複雑な検証を繰り返し実施することを避けることができる。
本開示の実施形態による、信頼される端末を検証するための方法の流れ図である。 本開示の実施形態による、信頼される端末を検証するための別の方法の流れ図である。 本開示の実施形態による、サーバによってユーザのログイン端末を検証する概略図である。 本開示の実施形態による、端末分析システムの処理の流れ図である。 本開示の実施形態による、ユーザ検証システムの処理の流れ図である。 本開示の実施形態による、信頼される端末を検証する装置の論理構造の概略図である。
詳細な説明
例示的な実施形態が、本明細書で詳細に説明され、その例が添付の図面に示されている。添付の図面と関連した以下の説明では、異なる添付の図面における同じ参照符号は、特に断りのない限り、同一の又は類似の要素を指す。以下の例示的な実施形態で説明される実装は、本開示と整合の取れた全ての実装を表すものではない。対照的に、それらは、添付の特許請求の範囲で詳細に記載される本開示の幾つかの態様と整合性のある装置及び方法の単なる例に過ぎない。
本開示の用語は、本開示を限定するよりはむしろ、特定の実施形態を説明するために単に使用される。本開示及び添付の特許請求の範囲で使用される単数形「1つの(a(an))」、「前記(said)」、及び「その(the)」は、他の意味を表すことが文脈で明示されない限り、複数形も含む。本明細書で使用される用語「及び/又は(and/or)」は、列挙される1つ又は複数の関連項目の任意の又は全ての可能な組み合わせを指す又は含むことを、更に理解されたい。
「第1の(first)」「第2の(second)」及び「第3の(third)」などの用語は、本開示で様々な種類の情報を説明するために使用されることがあるが、これらの種類の情報はこれらの用語によって限定されるべきではないことを、理解されたい。これらの用語は、単に、同じ種類の情報を互いに区別するために使用される。例えば、本開示の範囲から逸脱することなく、第1の情報を第2の情報と呼んでもよく、同様に、第2の情報を第1の情報と呼んでもよい。文脈に応じて、本明細書で使用される「〜の場合(if)」という語は、「〜の場合(when)」、「〜のとき(as)」、又は「判断に応答して(in response to the determination)」として説明されてもよい。
支払いアカウントにログインするためにログイン端末がユーザ間で交換されるアプリケーションシナリオでは、一般的に、全てのユーザのログイン端末が、ログイン端末のハードウェア情報と組み合わせてサーバによって個別に検証され、検証が成功した後で、サーバは、そのユーザの信頼される端末としてログイン端末をローカルに記録し、ユーザが信頼される端末を使用して機密性の高い操作を実施する場合には、ユーザのログイン端末上では繰り返しの検証は実施されないか、又は単純な検証のみが実施される。
しかしながら、上記の解決策には、以下で説明するような問題点があることがある。
例えば、支払いアカウントにログインするために共通のログイン端末が家族の間で使用されるアプリケーションシナリオでは、ログイン端末が上記の方法によって検証される場合、検証は一般的に、ユーザのトランザクション情報、IPアドレス、ログイン時間帯等のユーザのログイン情報に基づく。従って、異なる家族の構成員が同じログイン端末を使用して自身の支払いアカウントにログインする場合には、異なる家族の構成員に対して一人ずつ、サーバがログイン端末を検証する。
しかしながら、一般的に、家族の構成員の間では信頼の度合いは高いので、複数の家族の構成員が同じログイン端末を使用して自身の支払いアカウントにログインする場合には、サーバが異なる家族の構成員の一人ずつに対してログイン端末を検証することは、全く不要である。
これを考慮して、本開示は、ログイン端末の検証に係る技術的解決策に基づいて、ログイン端末の検証プロセスにおいてログインアカウントとログイン端末の頻繁に使用されるログインアカウントとの対応関係を判断する。ユーザのログインアカウントがログイン端末の頻繁に使用されるログインアカウントと関連付けられていると判断された場合、そのログイン端末はそのユーザの信頼される端末として判断される。
この解決策により、ログイン端末がユーザ間で交換されるアプリケーションシナリオにおいて、ログイン端末がユーザの信頼される端末であるかどうかを、そのユーザのログインアカウントとログイン端末の頻繁に使用されるログインアカウントとの対応関係によって判断することができ、それによって、ログイン端末上で複雑な検証を繰り返し実施するのを回避することを達成する。
本開示を、特定の実施形態を通じて、異なる例と組み合わせて、以下に説明する。
図1を参照すると、図1は、本開示の実施形態による、信頼される端末を検証するための方法である。この方法は、サーバにより実施されることができ、この方法は、以下のステップ101〜103を含む。
ステップ101では、ユーザのログイン端末が、ローカルに記録されたユーザの信頼される端末と一致するかどうかが判断されてもよい。
このステップでは、ユーザのログイン端末がそのユーザの信頼される端末であるかどうかを判断する間に、サーバは、ログイン端末のハードウェア情報を取得し、次いで、端末のそのハードウェア情報を、データベースに記録されたユーザの信頼される端末のハードウェア情報と順次照合することができる。それらが一致した場合、そのログイン端末は現時点でそのユーザの信頼される端末であることを示す。一方、それらが一致しなかった場合は、そのログイン端末はそのユーザに対する信頼されない端末であることを示し、サーバは、信頼されない端末については、その端末のハードウェア情報、及びユーザがその端末を使用してログインした回数を記録することのみができる。
サーバがユーザに対するログイン端末を検証する場合、ユーザのトランザクション情報、IPアドレス、ログイン時間帯等のログイン情報に従って、検証を行うことができる。検証がクリアされた後で、ログイン端末をそのユーザの信頼される端末としてローカルに記録することができる。更に、サーバは、端末種類によって、ローカルに記録された信頼される端末を分類することもできる。
例えば、サーバは、信頼される端末の端末種類及び頻繁に使用される時間帯に従って、ローカルに記録された信頼される端末を、ハンドヘルドの信頼される端末、家庭の信頼される端末、及びオフィスの信頼される端末に分類することができる。信頼される端末がハンドヘルドの端末である場合、サーバはその信頼される端末をハンドヘルドの信頼される端末としてローカルに分類することができる。信頼される端末がPC端末として識別された場合には、サーバは更に、信頼される端末の頻繁に使用される時間帯がオフィス時間帯であるか又は在宅時間帯であるかを判断することができる。在宅時間帯である場合には、サーバは信頼される端末を家庭の信頼される端末として直接的にローカルに分類することができ、オフィス時間帯である場合には、サーバは信頼される端末をオフィスの信頼される端末としてローカルに分類することができる。
ログイン端末のハードウェア情報は、ログイン端末の異なる端末種類に従って異なる情報を含むことがある。例えば、ログイン端末がPC端末である場合、ハードウェア情報は、メインボードのMAC、ネットワークカードのMAC、オペレーティングシステム、及びPC端末の他の情報を含むことがある。ログイン端末が携帯電話端末である場合には、ハードウェア情報は、ハードウェア情報、携帯電話システム、及び携帯電話付属品の他の情報を含むことがある。
ステップ102では、ログイン端末が、ローカルに記録されたユーザの信頼される端末と一致しないと判断された場合に、ユーザのログインアカウントがログイン端末の頻繁に使用されるログインアカウントに関連付けられているかどうかを判断する。
ステップ103では、ユーザのログインアカウントがログイン端末の頻繁に使用されるログインアカウントと関連付けられている場合、そのログイン端末はそのユーザの信頼される端末として判断される。
上記のステップでは、ユーザのログイン端末が、サーバによってローカルに記録されたユーザの信頼される端末である場合、ログイン端末上で複雑な検証が繰り返して実施されなくてもよく、又は、単純な検証のみが実施される。一方、ユーザのログイン端末が、サーバによってローカルに記録されたユーザの信頼される端末ではない場合、サーバは、ユーザのログインアカウント及びログイン端末のログインアカウント履歴を更に取得してもよく、ユーザのログインアカウントが、ログイン端末のログインアカウント履歴と関連付けられているかどうかを判断し、次いで、ログイン端末がユーザの信頼される端末であるかどうかを判断してもよい。
例えば、サーバは、取得したログインアカウント履歴から、頻繁に使用されるログインアカウントを識別することができる。例えば、ログインアカウント履歴において、ログイン回数が閾値に達しているログインアカウントは、頻繁に使用されるログインアカウントとして用いられ得る。頻繁に使用されるログインアカウントが識別されると、サーバは、ローカルのデータベースに問い合わせることにより、頻繁に使用されるログインアカウントとユーザの現在のログインで使用されるログインアカウントとが同じ信頼される端末でログインされたかどうか、また、ログインの回数が閾値に達しているかどうかを判断することができる。前記判断が肯定である場合、ユーザの現在のログインで使用されるログインアカウントは、ログイン端末の頻繁に使用されるログインアカウントに大いに関連付けられていることを示し、サーバは、ログイン端末をユーザの信頼される端末として判断することができる。
実施形態によっては、頻繁に使用されるログインアカウントとユーザの現在のログインで使用されるログインアカウントとが同じ信頼される端末でログインされたかどうかを判断する過程で、この同じ信頼される端末は、同じ家庭の信頼される端末であることがある。頻繁に使用されるログインアカウントとユーザの現在のログインで使用されるログインアカウントとが、同じ信頼される端末でログインされたものであり、かつログイン回数が閾値に達している場合、ユーザと、頻繁に使用されるログインアカウントに対応したユーザとは、家族関係にある可能性がある。従って、ログイン端末をユーザの信頼される端末として判断してもよい。
実施形態によっては、サーバは、ローカルに記録された、家庭の信頼される端末の頻繁に使用されるログインアカウントを個々に取得し、次いで、取得した頻繁に使用されるログインアカウントに従って、家族関係データを構築することがある。ログインユーザが検証されているとき、現在のログインユーザとログイン端末を頻繁に使用するユーザとが家族関係にあるかどうかを、構築された家族関係データを照会することにより識別することができる。
一般的に、頻繁に使用されるログインアカウントとユーザの現在のログインで使用されるログインアカウントとが同じ信頼される端末でログインされたと判断された場合、この同じ信頼される端末は、同じハンドヘルドの信頼される端末又はオフィスの信頼される端末であることもある。
更に、サーバが上記のログインアカウント間の対応関係を判断する前に、サーバは更にユーザをスクリーニングして、ログイン端末の頻繁ユーザを判断することがあり、上記のログインアカウント間の対応関係は、この頻繁ユーザに対してのみ判断される。
例えば、サーバは、そのログイン端末上でのユーザのログインアカウントのログイン回数が閾値に達しているかどうかも判断することがある。前記判断が肯定スである場合、ユーザが頻繁ユーザであることを示し、ユーザのログインアカウントがログイン端末の頻繁に使用されるログインアカウントと関連付けられているかどうかを更に判断することがある。前記判断が否定の場合、ユーザは頻繁ユーザではないことを示し、ログイン端末をそのユーザの信頼されない端末として判断することがある。同じ信頼される端末が同じ家庭の信頼される端末である例では、ユーザによって使用される、家庭の信頼されるログイン端末上でのログイン回数が閾値未満(例えば、1度のみ)である場合、ユーザは単に訪問者である可能性がある。そのようなユーザに対しては、上記のログインアカウント間の対応関係についてサーバが判断することは意味がなく、従って、直接、ログイン端末をユーザの信頼されない端末として判断してもよい。
この実施形態では、ログイン端末を検証する過程で、サーバは、ログインアカウントとログイン端末の頻繁に使用されるログインアカウントとの対応関係を判断し、ユーザのログインアカウントがログイン端末の頻繁に使用されるログインアカウントと関連付けられていると判断された場合には、サーバはログイン端末をユーザの信頼される端末であると判断する。
上記の解決策によって、ログイン端末がユーザ間で交換されるアプリケーションシナリオにおいて、ログイン端末がユーザの信頼される端末であるかどうかを、そのユーザのログインアカウントとログイン端末の頻繁に使用されるログインアカウントとの対応関係を通じて判断することができ、それによって、ログイン端末上で複雑な検証を繰り返し実施するのを回避する。
図2を参照すると、図2は、本開示の実施形態による、信頼される端末を検証するための方法である。この方法は、サーバにより実施されることができ、この方法は、以下のステップ201〜204を含む。
ステップ201では、ユーザのログイン端末が、ローカルに記録されたユーザの信頼される端末と一致するかどうかの判断が行われてもよい。
ステップ202では、ログイン端末が、ローカルに記録されたユーザの信頼される端末と一致しないと判断された場合、ログイン端末の頻繁に使用されるログインアカウントを問い合わせる。ここで、頻繁に使用されるログインアカウントとは、ログイン端末のログインアカウント履歴の中で、ログイン回数が閾値に達しているログインアカウントである。
ステップ203では、ユーザのログインアカウントと頻繁に使用されるログインアカウントとが同じ信頼される端末でログインされたかどうか、また、これら2つのアカウントの両方のログイン回数が閾値に達しているかどうかを、判断してもよい。前記判断が肯定の場合、ユーザのログインアカウントは頻繁に使用されるログインアカウントと関連付けられていると判断され、ユーザのログインアカウントとログインアカウント履歴との対応関係がローカルに記録される。
ステップ204では、ユーザのログインアカウントが頻繁に使用されるログインアカウントと関連付けられていると判断された場合、そのログイン端末はそのユーザの信頼される端末として判断される。
この実施形態では、ユーザのログイン端末がそのユーザの信頼される端末であるかどうかを判断する間に、サーバは、ログイン端末のハードウェア情報を取得し、次いで、端末のそのハードウェア情報を、データベースに記録されたユーザの信頼される端末のハードウェア情報と順次照合することができる。それらが一致した場合、そのログイン端末は現時点でそのユーザの信頼される端末であることを示す。一方、それらが一致しなかった場合、そのログイン端末はそのユーザの信頼されない端末であることを示す。サーバは、信頼されない端末については、端末のハードウェア情報及びユーザがその端末を使用してログインした回数を単に記録してもよい。
サーバがそのユーザについてログイン端末を検証するとき、検証は、ユーザのログイン端末を検証するための現在の解決策に従って、実施することができる。例えば、サーバは、ユーザのトランザクション情報、IPアドレス、ログイン時間帯等のユーザのログイン情報に従って、ユーザのログイン端末を検証することができる。検証がクリアされた後で、ログイン端末をそのユーザの信頼される端末としてローカルに記録することができる。
実装において、サーバはローカルの認証システムを異なる複数のサブシステムに分割してもよい。この異なるサブシステムは、互いに協働して、ユーザのログイン端末を検証する上記のプロセスを達成する。
例えば、図3を参照すると、サーバの検証システムが分割された後のサブシステムには、ユーザ操作システム、ユーザ検証システム、及び端末分析システムが含まれることがある。なお、上記のサーバの検証システムのサブシステムへの分割は単なる例に過ぎず、本開示を限定するものとして使用されるものではない。
1)ユーザ操作システム
ユーザ操作システムは、Alipayシステムへのユーザのログイン、ログアウト、転送、ユーザ情報の変更などのユーザ操作、ログイン回数、及び他の操作を記録するため、かつ、記録されたユーザ操作をデータベースに記憶するために使用される。ユーザ操作システムは更に、ユーザのログイン端末のハードウェア情報などの、ユーザの操作環境を取得し、取得したユーザのログイン端末のハードウェア情報を分析のために端末分析システムに送信するために使用される。
例えば、ユーザ操作システムは、ユーザの操作中にユーザの操作環境を分析し、ユーザのログイン端末のハードウェア情報を取得し、取得したハードウェア情報に従ってモデリングを実施し、モデリングによって生成されたハードウェア情報モデルを分析のために端末分析システムに送信することができる。ログイン端末のハードウェア情報は、ログイン端末の異なる端末種類に従って異なる情報を含むことがある。例えば、ログイン端末がPC端末である場合、ハードウェア情報は、メインボードのMAC、ネットワークカードのMAC、オペレーティングシステム、及びPC端末の他の情報を含むことがある。ログイン端末が携帯電話端末である場合には、ハードウェア情報は、ハードウェア情報、携帯電話システム、及び携帯電話付属品の他の情報を含むことがある。
2)端末分析システム
端末分析システムは、ユーザ操作システムから送信されたハードウェア情報モデルに従って、ユーザのログイン端末を分析し、分析結果に従ってユーザのログイン端末を検証し、検証されたユーザの信頼される端末をデータベースに記憶するために使用される。一方、端末分析システムは、端末種類に従って、データベースに記録された信頼される端末を分類することもできる。
例えば、図3及び図4を参照すると、端末分析システムは、ユーザのトランザクション情報、IPアドレス、ログイン時間帯等のユーザのログイン情報に従ってログイン端末を分析し、分析結果に従ってユーザのログイン端末を検証することができる。検証がクリアされた後で、ログイン端末をそのユーザの信頼される端末としてローカルデータベースにローカルに記録することができる。データベースに記録された信頼される端末は、端末種類に従って、端末分析システムによって、ハンドヘルドの信頼される端末、家庭の信頼される端末、及びオフィスの信頼される端末に更に分類されてもよい。
例えば、ハードウェア情報に従って信頼される端末がハンドヘルド端末として識別された場合、端末分析システムはその信頼される端末をハンドヘルドの信頼される端末としてローカルに分類してもよい。ハードウェア情報に従って、信頼される端末がPC端末として識別された場合には、端末分析システムは更に、信頼される端末の頻繁に使用される時間帯がオフィス時間帯であるか又は在宅時間帯であるかを判断することができる。在宅時間帯である場合には、端末分析システムは信頼される端末を家庭の信頼される端末としてローカルに分類することができ、オフィス時間帯である場合には、端末分析システムは信頼される端末をオフィスの信頼される端末としてローカルに分類することができる。
家庭の信頼される端末、オフィスの信頼される端末、及びハンドヘルドの信頼される端末のうちのいずれにも属さないログイン端末については、そのログイン端末をその他の端末としてローカルに分類することができる。このその他の端末は、まだ信頼される端末ではなく、従ってデータベースには記憶されなくてもよい。
3)ユーザ検証システム
ユーザ検証システムは、データベースを呼び出し、ユーザのログイン端末を検証するために使用される。
例えば、ユーザ検証システムは、データベースを呼び出し、ユーザのログイン端末のハードウェア情報を、データベースに記録されたユーザの信頼される端末のハードウェア情報と照合することができる。対応する情報が一致した場合、ログイン端末はユーザの信頼される端末であると判断することができ、ユーザがログインするとき、ログイン端末上で繰り返しの検証は行われなくてもよく、又は、単純な検証のみが行われてもよい。
図5を参照すると、情報が一致しない場合には、ログイン端末が、端末分析システムによって記録された別の端末と一致するかどうかを、更に判断することができる。ログイン端末が、端末分析システム中に記録された別の端末として識別された場合には、ユーザ検証システムはデータベースを更に呼び出し、ユーザのログインアカウント及びログイン端末のログインアカウント履歴を取得し、ユーザのログインアカウントがログイン端末のログインアカウント履歴と関連付けられているかどうかを判断することにより、ログイン端末がユーザの信頼される端末であるかどうかを判断することができる。
例えば、ユーザ検証システムは、ログインアカウント履歴の中でログイン回数が閾値に達しているログインアカウントを頻繁に使用されるログインアカウントとして使用し、データベースに問い合わせて、この頻繁に使用されるログインアカウントとユーザの現在のログインで使用されるログインアカウントとが同じ信頼される端末でログインされたかどうか、また、ログイン回数が閾値に達しているかどうかを判断することができる。前記判断が肯定である場合、ユーザの現在のログインで使用されるログインアカウントは、ログイン端末の頻繁に使用されるログインアカウントに大いに関連付けられていることを示し、次いでサーバは、ログイン端末がユーザの信頼される端末であると判断することができる。ユーザが端末にログインした後で機密性の高い操作を実施する場合、ユーザに対して繰り返しの検証は行われなくてもよく、又は単純な検証のみが実施される。
実施形態によっては、頻繁に使用されるログインアカウントとユーザの現在のログインで使用されるログインアカウントとが同じ信頼される端末でログインされたかどうかを判断する過程で、この同じ信頼される端末は、同じ家庭の信頼される端末であることがある。
頻繁に使用されるログインアカウントとユーザの現在のログインで使用されるログインアカウントとが、同じ信頼される端末でログインされたものであり、かつログイン回数が閾値に達している場合、ユーザと、頻繁に使用されるログインアカウントに対応したユーザとは、家族関係にある可能性がある。従って、ユーザ検証システムにより、ログイン端末がユーザの信頼される端末であることを判断することができる。
実施形態によっては、ユーザと頻繁に使用されるログインアカウントに対応したユーザとが家族関係にあるかどうかを判断する場合、ユーザ検証システムは、家庭の信頼される端末の頻繁に使用されるログインアカウントについて、データベースに個別に問い合わせ、次いで、取得した頻繁に使用されるログインアカウントに従って家族関係データを構築することができる。ログインユーザが検証されているとき、現在のログインユーザとログイン端末を頻繁に使用するユーザとが家族関係にあるかどうかを、構築された家族関係データを照会することにより判断することができる。
更に、頻繁に使用されるログインアカウントとユーザのログインアカウントとが同じ信頼される端末でログインされたかどうかを判断する場合、この同じ信頼される端末は、同じハンドヘルドの信頼される端末又はオフィスの信頼される端末であることもある。頻繁に使用されるログインアカウントとユーザのログインアカウントとが同じハンドヘルドの信頼される端末又はオフィスの信頼される端末上でログインされたと判断された場合、ユーザ検証システムは端末分析システムに通知し、ログイン端末をユーザの信頼される端末としてデータベースに記録し、その端末をハンドヘルドの信頼される端末か又はオフィスの信頼される端末として、その記載は本明細書では省略するが、データベース中で分類することができる。
上記の実施形態から分かるように、ログイン端末を検証するプロセスで、サーバは、ログインアカウントとログイン端末の頻繁に使用されるログインアカウントとの対応関係を判断する。ユーザのログインアカウントがログイン端末の頻繁に使用されるログインアカウントと関連付けられていると判断された場合、そのログイン端末はそのユーザの信頼される端末として判断される。
上記の解決策によって、ログイン端末がユーザ間で交換されるアプリケーションシナリオにおいて、ログイン端末がユーザの信頼される端末であるかどうかを、そのユーザのログインアカウントとログイン端末の頻繁に使用されるログインアカウントとの対応関係を通じて判断することができ、それによって、ログイン端末上で複雑な検証を繰り返し実施するのを回避する。
別の任意選択的な実施形態では、上記の実施形態に基づいて、サーバが上述したようにログインアカウント間の対応関係を判断する前に、サーバは更にユーザをスクリーニングして、ログイン端末の頻繁ユーザを判断することがあり、上記のログインアカウント間の関連性は、この頻繁ユーザに対してのみ判断される。
例えば、ユーザ検証システムは、そのログイン端末上でのユーザのログインアカウントのログイン回数が閾値に達しているかどうかも判断することがある。そのログイン端末でのユーザのログインアカウントのログイン回数が閾値に達している場合、ユーザが頻繁ユーザであることを示し、ユーザのログインアカウントがログイン端末の頻繁に使用されるログインアカウントと関連付けられているかどうかを更に判断することがある。ユーザのログインアカウントがログイン端末の頻繁に使用されるログインアカウントと関連付けられていない場合、ユーザは頻繁ユーザではないことを示し、ログイン端末をユーザの信頼されない端末として判断することができる。
同じ信頼される端末が、同じ家庭の信頼される端末である例では、ユーザによって使用される、家庭の信頼されるログイン端末上でのログイン回数が閾値未満(例えば、1度のみ)である場合、ユーザは単に訪問者である可能性がある。そのようなユーザに対しては、上記のログインアカウント間の対応関係についてサーバが判断することは意味がなく、従って、直接、ログイン端末をユーザの信頼されない端末として判断してもよい。
同じ信頼される端末が、同じ家庭の信頼される端末である例では、あるユーザによって使用される、家庭の信頼されるログイン端末上でのログイン回数が閾値未満(例えば、1度のみ)である場合、ユーザは単に訪問者である可能性がある。そのようなユーザに対しては、上記のログインアカウント間の対応関係についてユーザ検証システムが判断することは意味がなく、従って、ユーザ検証システムは直接、ログイン端末をユーザの信頼されない端末として判断してもよい。
上記の方法の実施形態に対応して、本開示は、信頼される端末を検証する装置の実施形態を更に提供する。ソフトウェアによって実施形態を実装する例では、この装置はサーバ上で動作することができ、本開示の装置の実行エンティティとして、サーバは一般的に、CPU、メモリ、不揮発性メモリを少なくとも含み、更にI/Oインターフェース等を含むことがある。図6を参照すると、図6は本開示の例示的な実施形態による信頼される端末の検証装置60の論理構造の概略図であり、装置60は、第1の判断モジュール601及び第2の判断モジュール602を含むことがある。
第1の判断モジュール601は、ユーザのログイン端末が、ローカルに記録された信頼される端末と一致するかどうかを判断するために使用されてもよい。
第2の判断モジュール602は、ログイン端末が、ローカルに記録された信頼される端末と一致しないと判断された場合に、ユーザのログインアカウントがログイン端末の頻繁に使用されるログインアカウントと関連付けられているかどうかを判断し、かつ、ユーザのログインアカウントがログイン端末の頻繁に使用されるログインアカウントと関連付けられている場合に、ログイン端末がユーザの信頼される端末であると判断するために、使用されてもよい。
この実施形態では、装置60は更に以下を含む、即ち、ユーザのログイン端末が、ローカルに記録されたそのユーザの信頼される端末と一致するかどうかを第1の判断モジュール601が判断する前に、信頼される端末のハードウェア情報により信頼される端末の端末種類を識別することと、信頼される端末がハンドヘルド端末として識別された場合には信頼される端末をハンドヘルドの信頼される端末としてローカルに分類することと、信頼される端末がPC端末として識別された場合には信頼される端末の頻繁に使用される時間帯がオフィス時間帯か又は在宅時間帯かを判断することと、信頼される端末の頻繁に使用される時間帯がオフィス時間帯である場合には信頼される端末をオフィスの信頼される端末としてローカルに分類することと、信頼される端末の頻繁に使用される時間帯が在宅時間帯である場合には信頼される端末を家庭の信頼される端末としてローカルに分類することと、のために使用される分類モジュール603を更に含む。
この実施形態では、第2の判断モジュール602は、更に以下のために使用されてもよい、即ち、ユーザのログインアカウントがログイン端末の頻繁に使用されるログインアカウントと関連付けられているかどうかを判断する前に、そのログイン端末上でのユーザのそのログインアカウントのログイン回数が閾値に達しているかどうかを判断することと、そのログイン端末でのユーザのそのログインアカウントのログイン回数が閾値に達している場合には、ユーザのログインアカウントがログイン端末の頻繁に使用されるログインアカウントと関連付けられているかどうかを更に判断することと、そのログイン端末でのユーザのそのログインアカウントのログイン回数が閾値に達していない場合には、ログイン端末はそのユーザの信頼されない端末であると判断することと、のために使用されてもよい。
この実施形態では、第2の判断モジュール602は、更に以下のために使用されてもよい、即ち、ログイン端末の頻繁に使用されるログインアカウントを問い合わせることであって、頻繁に使用されるログインアカウントは、ログイン端末のログインアカウント履歴の中で、そのログイン回数が閾値に達しているログインアカウントである、問い合わせることと、ユーザのログインアカウント及び頻繁に使用されるログインアカウントが同じ信頼される端末上でログインされたかどうか、また、これら2つのアカウント両方のログイン回数が閾値に達しているかどうかを判断することと、前記判断が肯定の場合、ユーザのログインアカウントは頻繁に使用されるログインアカウントと関連付けられていると判断することと、かつ、ユーザのログインアカウントとログインアカウント履歴との対応関係をローカルに記憶することと、のために使用されてもよい。
この実施形態では、同じ信頼される端末とは、同一の家庭の信頼される端末である。
装置の実施形態については、基本的に方法の実施形態に対応しているので、方法の実施形態の説明を参照することができる。上述した装置の実施形態は単なる例示に過ぎず、別個の構成要素として説明されたモジュールは物理的に別々であってもなくてもよく、モジュールとして表示された構成要素は物理的なモジュールであってもなくてもよい(例えば、それらは同じ場所に配置されていてもよく、又は、複数のネットワークモジュールに分散されていてもよい)。本開示の解決策の目的を達成するための実際の必要性に従って、それらのモジュールの一部又は全部を選択することができる。当業者であれば、進歩性のある努力をすることなく、それを理解し実装することができる。
上記の説明は、本開示の単なる実施形態に過ぎず、本開示を限定するものではない。本開示の趣旨及び原理の範囲内でなされる任意の変更、等価な置換、改善等は、本開示の範囲内に含まれるべきである。
本開示は、サーバの実施形態を更に提供する。
サーバは、プロセッサと、プロセッサにより実行可能な命令を記憶するために使用されるメモリとを含む。
更に、サーバは、入力/出力インターフェース、ネットワークインターフェース、様々なハードウェア等を更に含むことがある。
サーバは、ユーザのログイン端末が、ローカルに記録されたそのユーザの信頼される端末と一致するかどうかを判断し、ログイン端末が、ローカルに記録されたユーザの信頼される端末と一致しないと判断された場合に、ユーザのログインアカウントがログイン端末の頻繁に使用されるログインアカウントと関連付けられているかどうかを判断し、前記判断が肯定の場合に、ログイン端末がユーザの信頼される端末であると判断するために、使用されてもよい。
当業者であれば、上記の開示を考慮し実施した後で、本出願の他の実施形態を容易に導き出すことができる。本開示は、本開示の任意の変形、使用、又は適応変化、並びに本開示の一般的原理と適合した変形、使用、又は適応変化を包含することを目的としており、本開示では開示されていない技術分野における一般的な知識又は一般的な技術的手段を含む。本明細書及び実施形態は単なる例示としてみなされ、本開示の範囲及び趣旨は、添付の特許請求の範囲によって規定される。
本開示は、上記で説明され図面に図示された正確な構造に限定はされず、様々な修正及び変更が、本開示の範囲から逸脱することなく、なされ得ることを理解されたい。本開示の範囲は、添付の特許請求の範囲によってのみ限定される。

Claims (11)

  1. サーバによって実施される、信頼される端末を検証するための方法であって、
    ユーザのログイン端末が、前記サーバに記録された前記ユーザの前記信頼される端末と一致するかどうかを、前記サーバが判断することと、
    前記ログイン端末が、前記サーバに記録された前記ユーザの前記信頼される端末と一致しないと判断された後、前記ユーザのログインアカウントが前記ログイン端末の頻繁に使用されるログインアカウントと関連付けられているかどうかを、前記サーバが判断することと、
    前記サーバが、前記ユーザの前記ログインアカウントが前記ログイン端末の前記頻繁に使用されるログインアカウントと関連付けられている場合に、前記ログイン端末が前記ユーザの前記信頼される端末であると判断することと、を含む方法。
  2. ユーザのログイン端末が、前記サーバに記録された前記ユーザの信頼される端末と一致するかどうかを判断する前に、前記方法が、更に、
    前記サーバが、前記信頼される端末のハードウェア情報に従って、前記信頼される端末の端末種類を識別することと、
    前記サーバが、前記信頼される端末がハンドヘルド端末として識別された場合、前記信頼される端末をハンドヘルドの信頼される端末として判断することと、
    前記サーバが、前記信頼される端末がPC端末として識別された場合には、前記信頼される端末の頻繁に使用される時間帯がオフィス時間帯であるか又は在宅時間帯であるかを判断することと、
    前記サーバが、前記信頼される端末の前記頻繁に使用される時間帯が前記オフィス時間帯である場合、前記信頼される端末をオフィスの信頼される端末として更に判断することと、
    前記サーバが、前記信頼される端末の前記頻繁に使用される時間帯が前記在宅時間帯である場合、前記信頼される端末を家庭の信頼される端末として更に判断することと、を含む、請求項1に記載の方法。
  3. 前記ユーザのログインアカウントが、前記ログイン端末の頻繁に使用されるログインアカウントと関連付けられているかどうかを判断する前に、前記方法が、更に、
    前記サーバが、前記ログイン端末での前記ユーザの前記ログインアカウントのログイン回数が閾値に達しているかどうかを判断することと、
    前記サーバが、前記ログイン端末での前記ユーザの前記ログインアカウントのログイン回数が前記閾値に達している場合、前記ユーザの前記ログインアカウントが前記ログイン端末の前記頻繁に使用されるログインアカウントと関連付けられているかどうかを更に判断することと、
    前記サーバが、前記ユーザの前記ログインアカウントが前記ログイン端末の前記頻繁に使用されるログインアカウントと関連付けられていない場合、前記ログイン端末は前記ユーザの信頼されない端末であると判断することと、を含む、請求項1に記載の方法。
  4. 前記ユーザのログインアカウントが、前記ログイン端末の頻繁に使用されるログインアカウントと関連付けられているかどうかを、前記サーバが判断することが、
    前記サーバが、前記ログイン端末の前記頻繁に使用されるログインアカウントを問い合わせることであって、前記頻繁に使用されるログインアカウントとは、前記ログイン端末のログインアカウント履歴の中で、ログイン回数が閾値に達しているログインアカウントであることと、
    前記サーバが、前記ユーザの前記ログインアカウントと前記頻繁に使用されるログインアカウントとが同じ信頼される端末でログインされたかどうか、また、これら2つのアカウントの両方のログイン回数が前記閾値に達しているかどうかを、判断することと、
    前記ユーザの前記ログインアカウントと前記頻繁に使用されるログインアカウントとが前記同じ信頼される端末でログインされ、かつ、前記2つのアカウントの両方のログイン回数が前記閾値に達している場合、前記ユーザの前記ログインアカウントは前記頻繁に使用されるログインアカウントと関連付けられていると、前記サーバが判断することと、かつ、前記ユーザの前記ログインアカウントと前記ログインアカウント履歴との対応関係を前記サーバが記憶することと、を含む、請求項1に記載の方法。
  5. 前記同じ信頼される端末とは、同一の家庭の信頼される端末を含む、請求項4に記載の方法。
  6. サーバにおいて端末を検証するための装置であって、
    ユーザのログイン端末が前記サーバに記録された信頼される端末と一致するかどうか、を判断するために使用される、第1の判断モジュールと、
    前記ログイン端末が前記サーバに記録された前記信頼される端末と一致しない、と判断された場合に、前記ユーザのログインアカウントが前記ログイン端末の頻繁に使用されるログインアカウントと関連付けられているかどうか、を判断し、かつ、前記ユーザの前記ログインアカウントが前記ログイン端末の前記頻繁に使用されるログインアカウントと関連付けられている場合に、前記ログイン端末が前記ユーザの前記信頼される端末である、と判断するために使用される、第2の判断モジュールと、を含む装置。
  7. 前記第1の判断モジュールが、ユーザのログイン端末が前記サーバに記録された前記ユーザの信頼される端末と一致するかどうか、を判断する前に、前記信頼される端末のハードウェア情報に従って、前記信頼される端末の端末種類を識別することと、
    前記信頼される端末がハンドヘルド端末として識別された場合、前記信頼される端末をハンドヘルドの信頼される端末として判断することと、
    前記信頼される端末がPC端末として識別された場合、前記信頼される端末の一般的な時間帯がオフィス時間帯であるか又は在宅時間帯であるかを判断することと、
    前記信頼される端末の前記一般的な時間帯が前記オフィス時間帯である場合、前記信頼される端末をオフィスの信頼される端末として更に判断することと、
    前記信頼される端末の前記一般的な時間帯が前記在宅時間帯である場合、前記信頼される端末を家庭の信頼される端末として更に判断することと、
    のために使用される分類モジュールを更に含む、請求項6に記載の装置。
  8. 前記第2の判断モジュールが、
    前記ユーザのログインアカウントが前記ログイン端末の頻繁に使用されるログインアカウントと関連付けられているかどうかを判断する前に、前記ログイン端末での前記ユーザの前記ログインアカウントのログイン回数が閾値に達しているかどうかを判断することと、
    前記ログイン端末での前記ユーザの前記ログインアカウントのログイン回数が前記閾値に達している場合、前記ユーザの前記ログインアカウントが前記ログイン端末の前記頻繁に使用されるログインアカウントと関連付けられているかどうかを更に判断することと、
    前記ユーザの前記ログインアカウントが前記ログイン端末の前記頻繁に使用されるログインアカウントと関連付けられていない場合、前記ログイン端末は前記ユーザの信頼されない端末であると判断することと、
    のために更に使用される、請求項6に記載の装置。
  9. 前記第2の判断モジュールが、
    前記ログイン端末の前記頻繁に使用されるログインアカウントを問い合わせることであって、前記頻繁に使用されるログインアカウントは、前記ログイン端末のログインアカウント履歴の中で、ログイン回数が閾値に達しているログインアカウントである、問い合わせることと、
    前記ユーザの前記ログインアカウントと前記頻繁に使用されるログインアカウントとが同じ信頼される端末でログインされたかどうか、また、これら2つのアカウントの両方のログイン回数が前記閾値に達しているかどうかを、判断することと、
    前記ユーザの前記ログインアカウントと前記頻繁に使用されるログインアカウントとが前記同じ信頼される端末でログインされ、かつ、前記2つのアカウントの両方のログイン回数が前記閾値に達している場合、前記ユーザの前記ログインアカウントは前記頻繁に使用されるログインアカウントと関連付けられていると判断することと、かつ、前記ユーザの前記ログインアカウントと前記ログインアカウント履歴との対応関係を記憶することと、
    のために更に使用される、請求項6に記載の装置。
  10. 前記同じ信頼される端末とは、同一の家庭の信頼される端末を含む、請求項9に記載の装置。
  11. 信頼される端末を検証するための装置であって、
    命令を記憶するためのメモリと、
    前記命令を実行すると、前記装置に、
    ユーザのログイン端末が、サーバに記録された前記ユーザの信頼される端末と一致するかどうかを判断することと、
    前記ログイン端末が、前記サーバに記録された前記ユーザの前記信頼される端末と一致しないと判断された場合、前記ユーザのログインアカウントが前記ログイン端末の頻繁に使用されるログインアカウントと関連付けられているかどうかを判断することと、
    前記ユーザの前記ログインアカウントが前記ログイン端末の前記頻繁に使用されるログインアカウントと関連付けられている場合、前記ログイン端末が前記ユーザの前記信頼される端末であると判断することと、
    を実行させるプロセッサと、を含む装置。
JP2017521133A 2014-10-24 2015-10-10 信頼される端末を検証するための方法及び装置 Active JP6715242B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201410579074.5 2014-10-24
CN201410579074.5A CN105592014B (zh) 2014-10-24 2014-10-24 一种可信终端验证方法、装置
PCT/CN2015/091694 WO2016062204A1 (zh) 2014-10-24 2015-10-10 一种可信终端验证方法、装置

Publications (2)

Publication Number Publication Date
JP2017533511A JP2017533511A (ja) 2017-11-09
JP6715242B2 true JP6715242B2 (ja) 2020-07-01

Family

ID=55760284

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017521133A Active JP6715242B2 (ja) 2014-10-24 2015-10-10 信頼される端末を検証するための方法及び装置

Country Status (7)

Country Link
US (1) US10673851B2 (ja)
EP (1) EP3211825B1 (ja)
JP (1) JP6715242B2 (ja)
KR (1) KR102167602B1 (ja)
CN (2) CN105592014B (ja)
SG (2) SG11201703304TA (ja)
WO (1) WO2016062204A1 (ja)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105592014B (zh) * 2014-10-24 2019-02-15 阿里巴巴集团控股有限公司 一种可信终端验证方法、装置
CN107645482B (zh) * 2016-07-22 2020-08-07 创新先进技术有限公司 一种针对业务操作的风险控制方法及装置
CN107689936B (zh) * 2016-08-03 2021-07-06 阿里巴巴集团控股有限公司 登录账户的安全性验证***、方法及装置
CN108243145B (zh) * 2016-12-23 2019-04-26 中科星图股份有限公司 一种多源身份认证方法
CN106790129A (zh) * 2016-12-27 2017-05-31 ***股份有限公司 一种身份认证的方法及装置
CN109801092B (zh) * 2017-11-16 2023-09-08 腾讯科技(武汉)有限公司 资源安全管理方法、装置、计算机设备和存储介质
US10652342B2 (en) * 2018-05-08 2020-05-12 Daon Holdings Limited Methods and systems for identifying a client computer system
CN110011992B (zh) * 2019-03-25 2022-07-26 联想(北京)有限公司 ***登录方法及电子设备
CN110264210B (zh) * 2019-05-06 2023-08-08 创新先进技术有限公司 账号正确性的检测方法和装置
CN110365657A (zh) * 2019-06-21 2019-10-22 北京奇艺世纪科技有限公司 远程协助方法、装置及可读存储介质
US11030299B1 (en) 2020-01-27 2021-06-08 Capital One Services, Llc Systems and methods for password managers
CN111311285A (zh) * 2020-02-21 2020-06-19 深圳壹账通智能科技有限公司 一种防止用户非法登录的方法、装置、设备和存储介质

Family Cites Families (38)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7174454B2 (en) * 2002-11-19 2007-02-06 America Online, Inc. System and method for establishing historical usage-based hardware trust
US7376838B2 (en) * 2003-07-17 2008-05-20 Jp Morgan Chase Bank Method for controlled and audited access to privileged accounts on computer systems
AU2004272083B2 (en) * 2003-09-12 2009-11-26 Emc Corporation System and method for risk based authentication
US7784089B2 (en) * 2004-10-29 2010-08-24 Qualcomm Incorporated System and method for providing a multi-credential authentication protocol
JP3878975B1 (ja) * 2006-07-18 2007-02-07 クオリティ株式会社 管理サーバおよび管理プログラム
JP2008059222A (ja) 2006-08-30 2008-03-13 Matsushita Electric Ind Co Ltd サービス提供システム
JP4708379B2 (ja) 2007-03-28 2011-06-22 パナソニック株式会社 コンテンツ利用システム
US8495716B1 (en) * 2007-12-31 2013-07-23 Symantec Corporation Systems and methods for facilitating online authentication from untrusted computing devices
US7979899B2 (en) * 2008-06-02 2011-07-12 Microsoft Corporation Trusted device-specific authentication
US8793758B2 (en) * 2009-01-28 2014-07-29 Headwater Partners I Llc Security, fraud detection, and fraud mitigation in device-assisted services systems
US8707407B2 (en) * 2009-02-04 2014-04-22 Microsoft Corporation Account hijacking counter-measures
CN101674183B (zh) * 2009-03-19 2013-05-08 庞己人 一种通过通讯电话传送帐户密码登录帐户的***及方法
US20100268557A1 (en) * 2009-04-17 2010-10-21 Patrick Faith Enrollment server
US8352218B2 (en) * 2009-07-08 2013-01-08 Graphisoft Active building information modeling apparatus and method
US9619664B2 (en) * 2009-11-17 2017-04-11 International Business Machines Corporation Systems and methods for handling electronic messages
CN102158465B (zh) * 2010-02-11 2013-10-16 上海博泰悦臻网络技术服务有限公司 车载设备、车载***及车载登录方法
WO2012054779A1 (en) * 2010-10-20 2012-04-26 Playspan Inc. Federated third-party authentication apparatuses, methods and systems
US8955078B2 (en) * 2011-06-30 2015-02-10 Cable Television Laboratories, Inc. Zero sign-on authentication
CN102325026A (zh) * 2011-07-14 2012-01-18 易讯天空计算机技术(深圳)有限公司 账号密码安全加密***
US8627438B1 (en) * 2011-09-08 2014-01-07 Amazon Technologies, Inc. Passwordless strong authentication using trusted devices
US9183415B2 (en) * 2011-12-01 2015-11-10 Microsoft Technology Licensing, Llc Regulating access using information regarding a host machine of a portable storage drive
CN102413146B (zh) * 2011-12-23 2014-02-19 杭州数盾信息技术有限公司 基于动态码的客户端授权登录方法
JP6455780B2 (ja) * 2012-01-17 2019-01-23 イパライヴ アクティエボラグ グローバルなリアルタイム電気通信装置、ソフトウェア・モジュール、および、システム
CN102595213B (zh) * 2012-02-22 2014-10-29 深圳创维-Rgb电子有限公司 可信电视终端安全认证方法和***
US9529993B2 (en) * 2012-03-02 2016-12-27 International Business Machines Corporation Policy-driven approach to managing privileged/shared identity in an enterprise
US8863243B1 (en) * 2012-04-11 2014-10-14 Google Inc. Location-based access control for portable electronic device
US9497623B2 (en) * 2012-05-25 2016-11-15 Nokia Technologies Oy Method and apparatus for guest access sharing
CN103581108B (zh) * 2012-07-19 2017-05-03 阿里巴巴集团控股有限公司 一种登录验证方法、客户端、服务器及***
CN103577978A (zh) * 2012-07-20 2014-02-12 苏州工业园区讯贝智能***有限公司 一种应用二维码提供电子交易的方法
US8856894B1 (en) * 2012-11-28 2014-10-07 Consumerinfo.Com, Inc. Always on authentication
CN103001826B (zh) * 2012-11-29 2015-09-30 北京奇虎科技有限公司 用于监测用户登录的设备和方法
US8959583B2 (en) * 2013-02-05 2015-02-17 Ca, Inc. Access to vaulted credentials using login computer and mobile computing device
EP2824888B1 (en) * 2013-07-08 2020-04-01 SSH Communications Security Oyj Trust relationships in a computerized system
US9319419B2 (en) * 2013-09-26 2016-04-19 Wave Systems Corp. Device identification scoring
CN103532797B (zh) * 2013-11-06 2017-07-04 网之易信息技术(北京)有限公司 一种用户登录异常监测方法和装置
US9992207B2 (en) * 2014-09-23 2018-06-05 Qualcomm Incorporated Scalable authentication process selection based upon sensor inputs
EP3188406B1 (en) * 2014-09-30 2019-05-29 Huawei Technologies Co., Ltd. Method and apparatus for identity authentication and user equipment
CN105592014B (zh) * 2014-10-24 2019-02-15 阿里巴巴集团控股有限公司 一种可信终端验证方法、装置

Also Published As

Publication number Publication date
US10673851B2 (en) 2020-06-02
US20170230366A1 (en) 2017-08-10
EP3211825A1 (en) 2017-08-30
EP3211825B1 (en) 2019-11-20
JP2017533511A (ja) 2017-11-09
EP3211825A4 (en) 2017-08-30
KR102167602B1 (ko) 2020-10-20
CN109951436A (zh) 2019-06-28
SG10201903580QA (en) 2019-05-30
CN105592014B (zh) 2019-02-15
CN109951436B (zh) 2021-04-27
SG11201703304TA (en) 2017-06-29
KR20170074959A (ko) 2017-06-30
CN105592014A (zh) 2016-05-18
WO2016062204A1 (zh) 2016-04-28

Similar Documents

Publication Publication Date Title
JP6715242B2 (ja) 信頼される端末を検証するための方法及び装置
US11190527B2 (en) Identity verification and login methods, apparatuses, and computer devices
US10223524B1 (en) Compromised authentication information clearing house
CN104902028B (zh) 一种一键登录认证方法、装置及***
US10454975B1 (en) Conditional comptuing resource policies
US10176318B1 (en) Authentication information update based on fraud detection
US11924247B1 (en) Access control policy simulation and testing
US9225744B1 (en) Constrained credentialed impersonation
US11336682B2 (en) System and method for generating and implementing a real-time multi-factor authentication policy across multiple channels
US20220014509A1 (en) Systems and methods for securing login access
CN110162994A (zh) 权限控制方法、***、电子设备及计算机可读存储介质
AU2013237709A2 (en) Utilizing A Social Graph For Network Access and Admission Control
CN105187412B (zh) 一种基于手势识别的登录认证方法、装置及***
CN105337739B (zh) 安全登录方法、装置、服务器及终端
CN105101205A (zh) 一种一键登录认证方法、装置及***
US9128514B2 (en) Automatic account detection and association
US10798120B2 (en) Dynamic detection of firewall misconfigurations
US20230094066A1 (en) Computer-implemented systems and methods for application identification and authentication
EP4160454A1 (en) Computer-implemented systems and methods for application identification and authentication

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170620

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20181009

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190529

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190612

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190910

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20200213

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200403

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20200414

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200528

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200608

R150 Certificate of patent or registration of utility model

Ref document number: 6715242

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250