本发明专利技术公开了一种用于基于风险的认证的风险分析装置及方法。根据本发明专利技术的一实施例的风险分析装置包括:风险因素收集部,收集与在认证系统中为了针对客户端装置的用户的认证而执行的一个以上的认证程序相关的风险因素(risk factor);风险分析部,在所述一个以上的认证程序成功的情况下,基于收集的所述风险因素计算针对所述用户的当前风险评分(risk score),并基于针对所述用户的风险评分履历及所述当前风险评分计算综合风险评分;以及附加认证请求部,基于所述当前风险评分及所述综合风险评分判断是否执行针对所述用户的附加认证,在需要执行所述附加认证的情况下,向所述客户端装置请求针对所述用户的附加认证。
【技术实现步骤摘要】
用于基于风险的认证的风险分析装置及方法
本专利技术涉及一种基于风险的认证技术。
技术介绍
由于逐渐更加巧妙的黑客入侵技术,最近的互联网环境难以通过单一因素认证技术有效地应对各种各样智能的黑客入侵的威胁。通常,使用密码、短信服务(SMS)认证、一次性密码、数字证书等多种认证技术以进行用户认证。但是,攻击者正试图通过多种方法进行认证信息的入侵以获取金钱收益,因此,在仅应用单一因素认证技术的情况下,可能会造成相关信息泄漏的巨大危险。最近,作为用于完善单一因素认证技术的方法,结合了两种以上的单一因素认证技术的多因素认证(multi-factorauthentication)技术、基于风险的认证(riskbasedauthentication)正受到瞩目。以往的基于风险的认证技术基于在认证的时间点的收集信息与用户模式来计算风险评分(riskscore),因此生成的风险评分仅能够说明相关时间点的状况。然而,即使在相关时间点生成相同的风险评分,危险度也可能根据过去的风险履历而有所不同。例如,即使用户A与B根据相同的机器及位置信息等被判定为相同的风险评分,如果最近用户A相比于用户B正在进行危险行为,则即使在当前时间点出现相同的风险评分,由于A为危险的认证(黑客入侵等)的可能性高于B,因此应该请求更强的认证。但是,现有的技术难以处理考虑同上所述的以往的状况。即使在使用过去用户的模式作为变量生成风险评分的模型中,也会反映出一部分过去的模式,但在一次布置周期期间的最新趋势为反映较迟或者最近检测到风险模式以后未处理的情况下,具有相关模式被学习成用户的模式而在以后不会反映等的限制。【现有技术文献】【专利文献】韩国授权专利公报第10-1635278号(2016.07.01公布)
技术实现思路
本专利技术的实施例的目的在于提供一种用于基于风险的认证的风险分析装置及方法。根据本专利技术的一实施例的风险分析装置包括:风险因素收集部,收集与在认证系统中为了针对客户端装置的用户的认证而执行的一个以上的认证程序相关的风险因素(riskfactor);风险分析部,在所述一个以上的认证程序成功的情况下,基于收集的所述风险因素计算针对所述用户的当前风险评分(riskscore),并基于针对所述用户的风险评分履历及所述当前风险评分计算综合风险评分;以及附加认证请求部,基于所述当前风险评分及所述综合风险评分判断是否执行针对所述用户的附加认证,在需要执行所述附加认证的情况下,向所述客户端装置请求针对所述用户的附加认证。所述风险因素可以包括与所述用户的认证活动相关的数据、与所述客户端装置相关的数据以及与在所述一个以上的认证程序中利用的认证因素相关的数据中的至少一个。所述风险分析部可以利用针对所述当前风险评分与所述风险评分履历中所包含的过去风险评分的加权和来计算所述综合风险评分。所述风险分析部可以对所述风险评分履历中所包含的过去风险评分的变动模式与所述当前风险评分进行比较来计算所述综合风险评分。所述风险分析部可以基于在预定期间内风险评分超过临界值的次数来计算所述综合风险评分。附加认证请求部可以在所述当前风险评分超过第一临界值或者所述综合风险评分超过第二临界值的情况下,向所述客户端装置请求针对所述用户的附加认证。所述风险分析部可以利用与针对所述用户过去执行的认证程序相关的风险因素及与针对多名用户过去执行的认证程序相关的风险因素中的至少一个与当前执行的所述认证程序相关的风险因素来计算所述当前风险评分。所述风险分析装置还可以包括:认证间隔决定部,基于所述综合风险评分或所述用户的认证履历决定针对所述用户的再认证时间点。所述认证间隔决定部可以基于所述综合风险评分计算针对所述用户的信赖值,并且基于计算的所述信赖值决定所述再认证时间点。所述认证间隔决定部可以基于所述用户的认证履历计算针对所述用户的认证失败概率,并且基于计算的所述认证失败概率决定所述再认证时间点。根据本专利技术的一实施例的风险分析方法包括如下步骤:收集与在认证系统中为了针对客户端装置的用户的认证而执行的一个以上的认证程序相关的风险因素(riskfactor);在所述一个以上的认证程序成功的情况下,基于收集的所述风险因素计算针对所述用户的当前风险评分(riskscore);基于针对所述用户的风险评分履历及所述当前风险评分计算综合风险评分;以及基于所述当前风险评分及所述综合风险评分判断是否执行针对所述用户的附加认证,在需要执行所述附加认证的情况下,向所述客户端装置请求针对所述用户的附加认证。所述风险因素可以包括与所述用户的认证活动相关的数据、与所述客户端装置相关的数据以及与在所述一个以上的认证程序中利用的认证因素相关的数据中的至少一个。在计算所述综合风险评分的步骤中,可以利用针对所述当前风险评分与所述风险评分履历中所包含的过去风险评分的加权和来计算所述综合风险评分。在计算所述综合风险评分的步骤中,可以对所述风险评分履历中所包含的过去风险评分的变动模式与所述当前风险评分进行比较来计算所述综合风险评分。在计算所述综合风险评分的步骤中,可以基于在预定期间内风险评分超过临界值的次数来计算所述综合风险评分。在请求所述附加认证的步骤中,可以在所述当前风险评分超过第一临界值或者所述综合风险评分超过第二临界值的情况下,向所述客户端装置请求针对所述用户的附加认证。在计算所述当前风险评分的步骤中,可以利用与针对所述用户过去执行的认证程序相关的风险因素及与针对多名用户过去执行的认证程序相关的风险因素中的至少一个与当前执行的所述认证程序相关的风险因素来计算所述当前风险评分。所述风险分析方法还可以包括如下步骤:基于所述综合风险评分或所述用户的认证履历决定针对所述用户的再认证时间点。在决定所述再认证时间点的步骤中,可以基于所述综合风险评分计算针对所述用户的信赖值,并且基于计算的所述信赖值决定所述再认证时间点。在决定所述再认证时间点的步骤中,可以基于所述用户的认证履历计算针对所述用户的认证失败概率,并且基于计算的所述认证失败概率决定所述再认证时间点。根据本专利技术的实施例,使用的认证因素与认证方式不同的认证过程通过一个系统集成中继,从而能够提高用于多种因素认证的系统的灵活性。并且,根据本专利技术的实施例,在执行利用不同认证因素的多个认证过程时,基于在之前步骤的认证程序中使用的认证因素发行访问令牌,并根据在之前认证程序中发行的访问令牌的有效性执行后续认证程序,从而能够防止由第三者进行的重放攻击(replayattack),并且通过风险分析执行强化的认证,从而能够提高认证程序的安全性及保密性。并且,根据本专利技术的实施例,能够考虑用户的风险履历而计算风险评分,并且能够实现考虑个别用户的特性与认证环境的适宜的风险分析。并且,根据本专利技术的实施例,在为了利用服务而需要持续认证的情况下,通过考虑用户的风险履历而灵活地调整再认证间隔,从而能够提高用户的便利性。附图说明图1是根据本专利技术的一实施例的认证系统的构成图。图2是根据本专利技术的一实施例的客户端装置的构成图。图3是示出在根据本专利技术的一实施例的认证系统执行的用户认证过程的一示例的流程图。图4是示出在根据本专利技术的一实施例的认证系统执行的用户认证过程的另一示例的流程图。图5是根据本专利技术的一实施例的风险分析装置的构成图。图6是本文档来自技高网...
【技术保护点】
1.一种风险分析装置,其中,包括:风险因素收集部,收集与在认证系统中为了针对客户端装置的用户的认证而执行的一个以上的认证程序相关的风险因素;风险分析部,在所述一个以上的认证程序成功的情况下,基于收集的所述风险因素计算针对所述用户的当前风险评分,并基于针对所述用户的风险评分履历及所述当前风险评分计算综合风险评分;以及附加认证请求部,基于所述当前风险评分及所述综合风险评分判断是否执行针对所述用户的附加认证,在需要执行所述附加认证的情况下,向所述客户端装置请求针对所述用户的附加认证。
【技术特征摘要】
2017.05.25 KR 10-2017-00648481.一种风险分析装置,其中,包括:风险因素收集部,收集与在认证系统中为了针对客户端装置的用户的认证而执行的一个以上的认证程序相关的风险因素;风险分析部,在所述一个以上的认证程序成功的情况下,基于收集的所述风险因素计算针对所述用户的当前风险评分,并基于针对所述用户的风险评分履历及所述当前风险评分计算综合风险评分;以及附加认证请求部,基于所述当前风险评分及所述综合风险评分判断是否执行针对所述用户的附加认证,在需要执行所述附加认证的情况下,向所述客户端装置请求针对所述用户的附加认证。2.如权利要求1所述的风险分析装置,其中,所述风险因素包括与所述用户的认证活动相关的数据、与所述客户端装置相关的数据以及与在所述一个以上的认证程序中利用的认证因素相关的数据中的至少一个。3.如权利要求1所述的风险分析装置,其中,所述风险分析部利用针对所述当前风险评分与所述风险评分履历中所包含的过去风险评分的加权和来计算所述综合风险评分。4.如权利要求1所述的风险分析装置,其中,所述风险分析部对所述风险评分履历中所包含的过去风险评分的变动模式与所述当前风险评分进行比较来计算所述综合风险评分。5.如权利要求1所述的风险分析装置,其中,所述风险分析部基于在预定期间内风险评分超过临界值的次数来计算所述综合风险评分。6.如权利要求1所述的风险分析装置,其中,附加认证请求部在所述当前风险评分超过第一临界值或者所述综合风险评分超过第二临界值的情况下,向所述客户端装置请求针对所述用户的附加认证。7.如权利要求1所述的风险分析装置,其中,所述风险分析部利用与针对所述用户过去执行的认证程序相关的风险因素及与针对多名用户过去执行的认证程序相关的风险因素中的至少一个与当前执行的所述认证程序相关的风险因素来计算所述当前风险评分。8.如权利要求1所述的风险分析装置,其中,还包括:认证间隔决定部,基于所述综合风险评分或所述用户的认证履历决定针对所述用户的再认证时间点。9.如权利要求8所述的风险分析装置,其中,所述认证间隔决定部基于所述综合风险评分计算针对所述用户的信赖值,并且基于计算的所述信赖值决定所述再认证时间点。10.如权利要求8所述的风险分析装置,其中,所述认证间隔决定部基于所述用户的认证履历计算针对所述用户的认证失败概率,并且基于计算的所述认证失败概率决定所述再认证时...
【专利技术属性】
技术研发人员:朴贤京,徐范准,吴贤珉,李知泫,
申请(专利权)人:三星SDS株式会社,
类型:发明
国别省市:韩国,KR
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。