[发明专利]用于基于风险的验证的系统和方法

说明书

本发明涉及一种用于基于风险的验证的系统和方法。一种系统和方法可以允许基于例如对事务处理和/或事务处理的用户或当事人的风险评估而进行灵活的事务处理操作。例如，事务处理的验证级别可以基于风险级别来设置或修改。

本申请是申请日为2004年9月13日、申请号为200480030394.X、发明名称为“用于基于风险的验证的系统和方法”的发明专利申请的分案申请。

技术领域

本发明涉及验证；更确切地说，本发明例如可以用来验证事务处理(transaction)中的当事人(party)。

背景技术

随着用于访问各种服务以及执行各种事务处理的在线信道的应用的增长，身份盗窃已经到了传染性的地步，并且在线帐户接管和事务处理欺诈正以大的速度不断增加。欺诈者已经在他们的处理中具有了新的技术：例如特洛依木马和密钥记录器被安装在信任的用户计算机中，从而把个人信息发送回欺诈者；并且钓鱼式攻击哄骗用户交出个人和金融信息(非限制性地例如：社会安全号(SSN)、帐户号码、银行业务信息、用于各种服务的用户名和口令、个人识别号(PIN)、信用卡号，这些也可称为例如用户凭据或凭据)。

最近的欺诈行为确实地显示出复杂的、确定的、创新的并且有组织的在线犯罪波动。欺诈者比以往更加具有适应性，他们很快就更改了他们的作案手法和技术以进行新的攻击。虽然欺诈者没有将他们自己限制在特定方面，但是他们主要集中于银行业务和金融账户方面(其它有欺诈倾向的部分是政府业务、ISP、电信公司和保健以及许多其它方面)。

一个问题是验证－服务或事务处理提供商怎样确实地知道在某个站点访问服务并执行动作的某个用户是否确实是他或她所声称的人。显然，在当今的环境中，仅仅使用登录和口令的组合(这仍然是大多数普遍的验证方法)可能是不令人满意的。

已经有许多的解决方案被建议用于验证问题，然而其中的很多方法遇到了适用性与安全性之间的不平衡性－它们要么不够安全，要么当安全性被增强到令人满意的程度时，它们在采用并操作时却又是麻烦并且昂贵的。

各种事务处理向希望访问或使用它们或执行某些动作的用户要求不同类型和不同级别的验证。尽管这类事务处理的提供商对于不同类型的事务处理要求不同类型和级别的验证，然而它们却没有要求用于给定类型的事务处理的不同的验证级别。从而对于给定类型的事务处理来说，用户被要求提供相同的验证信息量和验证信息级别，而与验证的特殊存在的风险级别无关。例如并且非限制性地，即使与每个事务处理相关联的风险级别可能不同，但是，试图访问在线银行业务服务的用户也可能总是为了验证起见而被要求提供相同的信息元素。

由于事务处理之外的因素(这些因素可能与用户/潜在用户配置文件相关：例如用户登陆的IP地址或事务处理时间)，以及与实际事务处理相关的因素(这些因素是主要与事务处理性质相关的因素，例如改变地址和划拔资金与只查看帐户余额相比可能被当作会引起更大的欺诈风险)，因此，风险级别可能在事务处理中变化。

虽然保持高级别的事务处理安全性可以防止或大大减少欺诈，然而它不是没有成本的并且可能不是经济有效的。保持高级别的安全性需要把更大且更复杂的信息量作为事务处理验证的一部分。这由于失败的验证尝试而又必然伴有较高程度的失败的事务处理。这类失败的原因是：需要的信息越多，则越有可能造成用户在他们的验证尝试中的失败，通常是由于丢失或忘记了验证数据，这又是由于所要求的验证数据的复杂度和/或数量引起的。

没有成功验证自己的用户可能会放弃事务处理，或寻找某种形式的客户服务帮助以便完成验证。当然，这类客户服务帮助非常昂贵。

放弃事务处理的用户也可能同时放弃该服务。反之亦然。服务的访问可能非常容易并因此不够安全，二者都是极端，在二元的两端处，线路在安全性方面或在市场份额中是昂贵的。当今所存在的静态验证方法的主要缺点是：这种特定的二元情况强迫组织挑选两个不完善的点中的一个－或者是伴随着更多事务处理数量的低安全性，或者是事务处理较少的增高的安全性。

附图说明