专利名称:用户浏览器交互分析认证系统的制作方法
技术领域:
本发明涉及数据处理系统领域,并且特别涉及用于基于对用户浏览器
交互的分析来i人证用户的系统、方法和介质,例如用于为因特网或电子商 务交易提供认证。
背景技术:
个人计算机系统在本领域是众所周知的。它们已经获得了广泛使用, 从而向当今现代社会的很多方面提供计算机动力。个人计算机(PC)可以 被定义为台式、落地式或便携式微型计算机,其包括具有中央处理单元 (CPU)以及关联的易失性和非易失性存储器(包括随机访问存储器 (RAM)和基^%/^/输出系统只读存储器(BIOS ROM))的系统单元、 系统监控器、键盘、 一个或多个灵活磁盘驱动(CD-ROM或DVD-ROM 驱动)、固定磁盘存储驱动(也被称为"硬盘驱动")、诸如鼠标的指点 设备,以及任选的网络接口适配器。这些系统的区别特征之一是使用母板 或系统平板来将这些组件电连接在一起。诸如笔记本PC、个人数字助理 (PDA)、精密无线电话等移动计算设备的使用也已经得到普及。在调换 更小的尺寸、便携式电源以及移动性方面,相比于常规PC来说,移动计 算设备通常调换某些功能或性能。
PC和移动计算设备在社会各个方面的广泛使用已经导致了办公和家 庭对计算机系统的依赖,例如远程办公、新闻、证券市场信息和贸易、银 行业务、购物、运输、电子邮件和以超文本传送协议(http)形式的通信, 以及其它服务。这些功能中的很多都利用由因特网或其它网络(例如局域 网)提供的通信能力。日益重要的一个功能是基于因特网的商务(也被称为电子商务或在线商务),其中消费者通过因特网连接从商业机构购买物
品或服务。通常,消费者可以利用其PC或其它设备上的浏览器或其它接 口来从商业机构操作的Web站点(即,电子商务站点)选择购买产品或服 务。虽然因特网商务的重要性对商业机构和消费者都在持续大幅度增加, 但是欺诈行为减慢了对因特网商务的采用,并且使商业机构和消费者都付 出了时间、金钱和其它资源。黑客通过盗用帐户(即,盗取账户信息)并 利用所盗取的账户信息实现任务来实施因特网欺诈,非法获取物品、服务 或金钱。黑客可以通过4艮多方法盗用账户,包括"网络钓鱼"(通过假装 是值得信任的来源而欺诈地获取账户信息)、间谍软件、内幕信息、处于 商务位置的危害数据源,或者其它方法。
商业机构、浏览器开发者以及其它人员已经开发了用于因特网商务欺 诈的很多解决方案,以防止因特网商务欺诈,但是都不能提供有效果且高 效率的解决方案。认证的一种类型是需要用户ID和口令来完成交易,但 是这样的自身认证易于通过前述方式盗用。 一种已知的解决方案是除了 口令认证之外,在每次在线购买时还要求安全码(信用卡上的三个或四个 数字非印刻号码),但是该解决方案对网络钓鱼不提供保护,因为通常在 网络钓鱼过程期间将输入代码以及其它账户信息。另 一种解决方案是还需 要操作方"回呼"以便认证购买者,但是在基于因特网协议的语音(VoIP) 账户的情况下,无需审核跟踪便可很快设置和记下电话号码,尤其是当 VoIP账户被^^V的时候。此外,该解决方案明显增加了商业机构的花费, 因为其需要真人打电话。利用该解决方案还降低了顾客的满意度,因为顾 客必须在电话附近来接收回呼,并且对于所购买的物品来说,顾客得不到 对其购买的即时满足。因此,需要一种高效率且有效果的系统,以便在因 特网商务交易期间提供对用户的附加认证。
发明内容
上述问题在很大程度上是通过基于用户浏览器交互来认证用户的系 统、方法和介质来解决的。实施例可以包括,在与用户的电子商^^活期
6间,从所述用户接收对动作的请求,并且确定所请求的动作是否需要附加 的认证。实施例还可以包括,响应于确定所请求的动作需要附加的认证, 请求分析对于所述会话的用户浏览器交互,并且接收对于所述会活的才莫式 匹配分数。所述模式匹配分数可以提供对于在所述会话期间用户与浏览器 的交互和用于所述用户的用户浏览器交互简档之间的比较的指示。实施例
还可以包括基于所述模式匹配分数以及所请求的动作来实现动作。所实 现的动作可以包括,例如,完成电子商务交易、访问受限信息、修改用户 信息、改变用户的口令、请求附加信息,或者拒绝所请求的动作。进一步 的实施例可以提供用于在第一级认证的情况下认证所述用户,或者建立与 所述用户的电子商务会活。进一步的实施例可以提供用于基于所述模式匹 配分数以及所请求的动作,在实现所述动作之前分析所述模式匹配分数。 在另一进一步的实施例中,接收所述模式匹配分数可以包括确定所述M 的模式匹配分数。在另一进一步的实施例中,确定所述模式匹配分数可以 包括确定与所述会活关联的用户浏览器交互翁:据,以及将所述数据与在先 前的交互数据中所确定的模式进行比较。在又一实施例中,实现所述动作 可以包括以下中的一个或多个完成电子商务交易、访问受限信息、修改 用户信息、改变用户的口令、请求附加信息,或者拒绝所请求的动作。
另 一实施例提供了 一种机器可访问介质,其含有当在数据处理系统中 执行的时候,有效使得该系统基于用户浏览器交互来实现用于认证用户的 一系列操作的指令。所述操作系列通常包括,在与用户的电子商^活期 间,从所述用户接收对动作的请求,并且确定所请求的动作是否需要附加 的认证。所述操作系列还可以包括,响应于确定所请求的动作需要附加的 认证,请求分析所述会活的用户浏览器交互,以及接收所述会话的模式匹 配分数。所述操作系列还可以包括基于所述模式匹配分数以及所请求的动 作来实现动作。
进一步的实施例提供了 一种电子商务认证系统,其具有与输入交互服 务器和模式匹配服务器进行通信的应用服务器。所述应用服务器可以包括 电子商务应用,以^更与客户计算机系统的用户建立会活。所述电子商务应用可以响应于所述用户对动作的请求,确定需要附加的认证。所述应用服 务器还可以包括模式匹配请求器,以便请求分析所建立的会话的用户浏览 器交互,以及接收所建立的会话的模式匹配分数。所述电子商务应用可以基于所建立的会话的模式匹配分数以及所请求的动作来实现动作。所述系 统还可以包括输入交互服务器、交互数据管理器,以及交互数据库接口, 所述输入交互服务器具有^"数据监听器,以便从一个或多个客户计算机系统接收用户浏览器交互数据;所述交互数据管理器用于将所接收的用户 浏览器交互数据与用户登录相关联;所述交互数据库接口用于将所述用户 浏览器交互以及关联的信息存储在用户浏览器交互数据库中。所述系统还 可以包括模式匹配服务器、交互数据库接口,以及交互数据分析器,所述 模式匹配服务器具有应用服务器接口 ,以便接收对模式匹配分数的请求以 及将所确定的模式匹配分数传输至所述应用服务器;所述交互数据库接口 用于访问所存储的用户浏览器交互数据;所述交互数据分析器用于针对模 式来分析与所述会话关联的所存储的用户浏览器交互数据,以及将所确定 的模式与关联于所述会话的用户浏览器交互数据进行比较,以便确定所述 会话的模式匹配分数。优选地,所述系统进一步包括客户计算机系统,其 具有从用户接收输入的浏览器。另 一实施例提供了 一种用于为电子商^活处理用户浏览器交互数据 的方法。实施例可以包括,在与用户的电子商^^活期间,^:户计算机 系统接收用户浏览器交互数据,以及将所接收的用户浏览器交互数据与所 述会话的用户登^目关联。实施例还可以包括,将所述用户浏览器交互数 据以及关联信息存储在用户浏览器交互数据库中,其中所述关联信息包括 对所述会话的用户登录的指示。在进一步的实施例中,将所接收的用户浏 览器交互数据与用户登录相关联还可以包括将所接收的数据与关联于所 述用户的用户浏览器交互简档相关联。另一实施例提供了一种用于为电子商务会话确定模式匹配分数的方 法。实施例可以包括确定与当前会话关联的用户浏览器交互数据,以及 对于与所述当前会话关联的用户,访问与先前的会活关联的用户浏览器交互数据,以及分析所述先前的会话用户浏览器交互数据,以便确定在所述先前的务活用户浏览器交互数据中的模式。实施例还可以包括确定所述 当前M的模式匹配分数,例如通过将所述当前^"的用户浏览器交互数 据与所确定的模式进行比较。优选地,所述交互数据管理器进一步包括简档匹配器,以便将所接收 的用户浏览器交互数据和用户登录与关联于所述用户的用户浏览器交互筒 档相匹配。更优选地,所述方法进一步包括步骤传输所确定的模式匹配 分数。更优选地,确定与所述当前会话关联的用户浏览器交互数据包括 确定与关联于所述当前会活的用户浏览器交互简档相关联的用户浏览器交 互数据。
当阅读以下详细描述并且参照附图时,本发明的优点将变得显而易见, 在附图中,相同的参考标记可以指示类似的元件图l根据一个实施例描绘了具有应用服务器、输入交互服务器和模式 匹配服务器的电子商务^人证系统的环境;图2描绘了适于作为电子商务认证系统的组件来使用的计算机系统的 一个实施例的框图;图3才艮据一个实施例描绘了电子商务认证系统的输入交互服务器的软 件组件的概念说明;图4根据一个实施例描绘了电子商务认证系统的模式匹配服务器的软 件组件的概念说明;图5根据一个实施例描绘了用于检测用户浏览器交互和处理用户浏览 器交互翁:据的流程图的例子;图6根据一个实施例描绘了用于接收请求以便分析用户浏览器交互会 话以及确定模式匹配分数的流程图的例子;以及图7根据一个实施例描绘了用于与用户进行交互以及利用模式匹配分 数来认证该用户的流程图的例子。
具体实施方式
下面是附图中所描绘的本发明的示例实施例的详细说明。这些示例实 施例足够详细以^更清楚地表达本发明。然而,所提供的细节量并不旨在限制这些实施例的预期的变化;相反,本发明覆盖落入由所附权利要求所限 定的本发明的精神和范围内的所有修改、等效以及替换。下面的描述^皮i殳 计为使得这些实施例对本领域的普通技术人员显而易见。一般而言,7>开了用于基于用户浏览器交互来《人证用户的系统、方法 和介质。 一种方法的实施例可以包括,在与用户的电子商务会活期间,从 该用户接收对动作的请求,以及确定所请求的动作是否需要附加的认证。 实施例还可以包括,响应于确定所请求的动作需要附加的认证,请求分析 该会话的用户浏览器交互,以及接收该会话的模式匹配分数。模式匹配分 数可以提供对于在会活期间用户与浏览器的交互和用于该用户的用户浏览 器交互简档之间的比较的指示。实施例还可以包括基于模式匹配分数以 及所请求的动作来实现动作。所实现的动作可以包括,例如,完成电子商 务交易、访问受限信息、修改用户信息、改变用户的口令、请求附加信息, 或者拒绝所请求的动作。进一步的实施例可以提供用于利用第一级认证来 ^人证用户。所公开的实施例的系统和方法允许在电子商务(因特网)交易期间, 通过将用户与其浏览器的交互和用户与其浏览器的先前交互的现有简档进 行比较,借由生成模式匹配分数,进行对用户的低调(unobtrusive)认证。 用户的交互可以包括这样的属性,例如选择M的速度,用户利用其以^f更 在字段之间移动的方法(例如,鼠标、Tab键等),或者用户的浏览器交 互的任何其它的方面。基于模式匹配分数,电子商务应用然后可以允许交 易、拒绝交易或实现其它动作。所公开的方法作为双因素认证系统中的辅 助认证机制可能特别有用,其向诸如用户名和口令这样的主要认证机制提 供了附加的认证强度。通过拒绝这样的电子商务交易,即其中模式匹配分 数指示用户并没有在请求交易(这在用户信用卡或其它信息被盗取或以别的方式被泄漏的时候可能发生),可以有利地减少因特网商务欺诈。所公进行操作,其提供了有效果且高效率的认证机制。通常,被执行以便实现本发明的实施例的例程可以是操作系统或特定 应用、组件、程序、模块、对象或指令序列的一部分。本发明的计算积4呈 序通常包括将由本地计算机转换成机器可读格式并因此转换成可执行指令 的大量指令。此外,程序包括局部驻留于该程序或出现在存储器中或存储 设备上的变量和数据结构。另外,可以基于应用(在本发明的特定实施例 中为其实现了程序)来标识文中所描述的各种程序。然而,应当理解4吏用 文中的任何特定的程序术语仅仅是为了方便,并且因而本发明并不应当限 于仅在由这样的术语标识和/或暗示的任何特定的应用中使用。虽然下面将参照硬件和/或软件的特定配置来描述具体的实施例,但是 本领域的技术人员将意识到可以利用其它基本等效的硬件和/或软件系统 来有利地实现本发明的这些实施例。文中所描述的本发明的这些方面可以 存储或分布在计算机可读介质上(包括磁和光可读以及可装卸计算机盘), 以及电分布在因特网或其它网络上(包括无线网络)。特别用于本发明的 这些方面的数据结构和数据的传输(包括无线传输)也被包括在本发明的 范围之内。文中所描述的每个软件程序都可以IMt在任何类型的计算机上,例如 个人计算机、服务器等。任何程序都可以含于各种信号承载介质。说明性的信号承载介质包括但不限于(i)永久存储在不可写存储介质(例如, 计算机内的只读存^^殳备,诸如可由CD-ROM驱动读取的CD-ROM盘) 上的信息;(ii)存储在可写存储介质(例如,磁盘驱动或石更盘驱动内的软 盘)上的可更改信息;以及(iii)由通信介质传送至计算机的信息,例如 通过计算机或电话网络(包括无线通信)。后面的实施例特别包括从因特 网、内联网或其它网络下载的信息。当携带指示本发明的功能的计算机可 读指令时,这样的信号承载介质代表本发明的实施例。现在转向附图,图l根据一个实施例描绘了用于具有应用服务器、输入交互服务器以及模式匹配服务器的电子商务认证系统的环境。在所描绘的实施例中,电子商务i人证系统100包括与网络104通信的多个客户计算 机系统102。所乂>开的电子商务《人证系统100还包括均与网络104进行通 信的应用服务器106、输入交互服务器108以及模式匹配服务器110。用户 可以利用在客户计算机系统102上执行的浏览器112来通过与电子商务应 用118建立会话而经由网络104与应用服务器106的电子商务应用118进 行交互。输入交互服务器108可以在用户操作浏览器112期间接收对于用 户与浏览器112之间的交互的指示,用于存储在用户浏览器交互数据库130 中。如果电子商务应用118确定需要对用户进行附加认证来实现所请求的 动作,则应用服务器106可以从模式匹配服务器110请求模式匹配分数。 模式匹配服务器110然后可以基于在当前会话期间用户的浏览器112交互 以及存储在用户浏览器交互数据库130中的从先前的会话所检测到的模 式,确定模式匹配分数。基于该模式匹配分数以及用户所请求的动作,电 子商务应用118可以认证该用户并允许所请求的动作、请求附加信息或拒 绝交易。因而,电子商务应用118可以利用模式匹配分数来认证用户,或 者向认证的另外的主要形式(例如用户名和口令)提供附加的认证强度。 客户计算机系统102可以各自包括一个或多个个人计算机、工作站、 服务器、大型计算机、笔记本或膝上型计算机、台式计算机、PDA、机顶 盒、移动电话、无线设备,等等。在一些实施例中,客户计算机系统102 可以是关于图2所描述的计算机系统,并且可以与网络104有线或无线通 信。浏览器112可以是允许用户查阅因特网或内联网内容的图形浏览器应 用,例如孩吏^/>司的Internet ExplorerTM、网景通信7〉司的NavigatorTM、 MoziHa基金会的Mozilla、苹果公司的Safari ,等等。浏览器在其最基 本的操作级别允许用户连接到给定的网络站点、从该站点下载信息内容, 以及向用户显示该信息。为了查阅附加信息,用户指定新的网络地址(例 如通过选择链接),然后该网络地址的内容替代了用户的计算机显示器上 先前所显示的信息。使用浏览器112,用户可以与电子商务应用118进行 交互以便实现任务,例如购买物品或服务、请求或查阅信息、提供信息,或者其它任务。用户可以通it^户计算机系统102的用户输入设备(例如 鼠标、键盘、语音输入设备等)与浏览器112进行交互,如随后较为详细 描述的。如将在随后较为详细描述的,客户计算机系统102可以经由网络104 向输入交互服务器108传输对于用户与浏览器的交互的指示,以便于确定 用户浏览器交互简档以及模式匹配分数。由客户计算机系统102传输的用 户浏览器交互数据可以包括对于用户浏览器交互的指示以及标识信息这二 者。在一些实施例中,可以利用(Sun微系统公司的)JavaScriptTM或使 得交互细节能够从客户机传输至服务器的其它代码来启用浏览器112。 JavaScript 是可以被嵌入到超文本置标语言(HTML)或页面的其它语 言中以便提供附加功能性的编程代码的系统,并且其通常由现代浏览器 112所支持。在这些实施例中,作为由应用服务器106发送的每个页面上 的JavaScript,可以包括客户软件。JavaScript 代码可以跟踪用户与浏 览器112的交互的细节,并且向输入交互服务器108传输对于这样的交互 的指示(作为用户浏览器交互数据的一部分)。使用异步JavaScript和XML (AJAX)(也被称为XMLHTTP),即一种基于JavaScript 创建交互 式Web应用的Web开发技术,用户浏览器交互细节可以近乎实时地被传 输至指定的服务器(即,输入交互服务器108)。客户计算机系统102的 浏览器112将要求与电子商务应用118所使用的脚本语言的兼容性。虽然 关于JavaScript 和AJAX描述了文中的实施例,但是本领域的普通技术 人员将认识到还可以随所公开的系统一起利用其它脚本语言或方法。如先前所讨论的,用户浏览器交互数据可以包括对于用户与浏览器 112之间的交互的指示以及关于用户和/或客户计算机系统102的标识信 息。用户与浏览器112的交互可以被分成一般的类别,例如键盘交互、移 动i殳备交互,以及导 选#^势。^Jt交互可以包括用户与键盘的交互, 其包括落键时间(特定键被按压多久)、打字速率、击键之间的时间、数 字键板的使用、大写击键顺序、常见打字餘溪,等等。举例来说,特定的 用户通常可以按压"o"键比其按压"k"键少几毫秒,该模式可以在连续的数据输入中持续出现。该特定的差别可以反映硬件的差别(例如,特定 键盘上每个键的键盘弹性)以及用户先天的或所学到的打字模式。不同用 户在两个字母之间可以具有较大的差距、较小的差距、没有差距,或者较 长按压时间的反转,从而提供了可能区分两个用户的特征。尽管一种这样 的特征通常对于认证目的来说可能并不足够,但是不同行为的集合提供了 增加的认证强度,因为收集了更多的数据并且考虑了更多的因素。用户浏览器交互的其它类型也是可能的。移动设备(例如,鼠标、轨迹球等)交互可以包括在点击之前的"鼠标在其上(mouse-over),,时间、 使用设备的哪些按钮、是否使用滚轮、用户是否稳定地掌握光标或是在玩 弄光标、用户是否在阅读期间利用光标跟随文本,等等。导航和选择趋势 可以包括与用户如何导航Web站点或在Web站点上选择动作有关的因素, 其包括滚动方法(例如,鼠标轮、箭头键、左击向上或向下滚动掩組、上 一页/下一页,等等)、用户是否使用"热键"或从下拉菜单选择动作、纠 错方法(例如,利用鼠标或键盘突出显示将要替换的文本、使用删除鍵、 接受拼写检查器的建议,等等)、用户在屏幕加载期间将光标定位在何处, 用户如何在字段之间导航(例如,tab键、鼠标等)、文本框提交偏好(例 如,选择"回车"或使用鼠标来选择提交),等等。虽然文中描述了多个 一般分类以及具体例子,但是本领域的技术人员将认识到可以使用对于用 户与浏览器112以及浏览器112上显示的站点的交互的任何类型的指示。 用户在使用Web站点时的交互细节(尤其是在組合时)可以通过其行为在 某种程度上标识用户。利用足够的用户浏览器交互细节,标识可以变得高包括在用户浏览器交互数据内的标识信息可以包括用于帮助标识用 户、浏览器112和/或客户计算机系统102的任何信息,例如浏览器代码名、 浏览器主要版本、浏览器次要版本、CPU种类、平台、用户代理、系统语 言以及网络多PU宗器(cookies)。网络104可以是任何类型的数据通信通道或通道组合,例如因特网、 内联网、LAN、 WAN、以太网、无线网、专用网或宽带线缆网。当从应用服务器106广泛分布客户计算机系统102的时候,因特网或其它公共网络 作为网络104可能特别有用,因为这些系统之间的通信将得到促进。类似 地,7>司内联网可以用作网络104,从而与内部公司计算环境进行通信。合来实现文中所描述的本发明。应用服务器106可以是专用于运行特定软件应用(例如电子商务应用 118、商业应用或数据库)的服务器计算机。应用服务器106通常具有内置 冗余的高性能并且支持复杂数据库访问。应用服务器106可以满足诸如Sun 微系统公司的Java平台企业版(Java EETM,原来被称为J2EETM)的标 准。示例性的应用服务器是国际商业机器公司(IBM )的WebSphere 应用服务器(WAS),其可以充当中间件,以便使用Web技术在多个计 算平台上安装、操作和集成电子商务应用。应用服务器106可以包括一个或多个电子商务应用118和模式匹配请 求器120。电子商务应用118 (其可以包括一个或多个后端应用,例如用于 盘点、计费、结算等)可以是可用来向位于远程客户计算机系统102的用 户提供服务、内容或信息的任何应用,包括促进用户购买物品或服务或者 促进用户访问信息的应用。模式匹配请求器120可以经由网络104向模式 匹配服务器110传输对模式匹配分数110的请求,并且可以从模式匹配服 务器110接收模式匹配分数。模式匹配请求器120还可以结合电子商务应 用118分析模式匹配分数,以便确定适当的动作方针来处理用户对动作的 请求。电子商务应用118可以例如允许动作、拒绝动作、标记交易用于稍 后的后续措施、将交易标为直到进一步检验才能完成的交易、请求附加的 认证信息,等等。对动作的用户请求可以包拾清求完成诸如电子商务交易 的任务、访问受P艮信息、修改用户信息或改变用户的口令。模式匹配请求 器120可以是与电子商务应用118分离的模块,或者可以集成到电子商务 应用118中。分离的模式匹配请求器120可以潜在地服务多个电子商务应 用118。如先前所描述的,输入交互服务器108可以接收在用户操作浏览器112期间对于用户与浏览器112之间的交互的指示,用于存储到用户浏览器交 互数据库130中,从而提供对用户浏览器交互数据的处理。应用服务器106 可以包括JavaScript 或其它脚本,其控制在客户计算机系统102处收集 的用户浏览器交互信息,皮导向特定的输入交互服务器108。输入交互服务 器108然后可以将所接收的用户浏览器交互数据存储在用户浏览器交互数 据库130中。在存储用户浏览器交互数据之前,输入交互服务器108的交互数据管 理器114可以将该数据与特定用户登录相关联以便稍后访问和分析。另夕卜, 交互数据管理器114可以将所接收的数据与用户的特定筒档相关联。用户 的用户浏览器交互简档可以指示针对交互硬件的特定部分的交互趋势。用 户可以使多个用户浏览器交互简档分别表示例如他们可以用于访问电子商 务应用118的不同客户计算机系统102。在一个例子中,用户可以通过家 用计算机而不是工作计算机有差异地与浏览器进行交互(如果这些计算机 中的一个并不具有带滚轮的鼠标)。用户的风格可以随交互硬件而改变, 例如因为不同的选项可用,不同的组件具有不同的性能,或者出于心理原 因。硬件的不同可能足以产生完全不同的用户交互体验。由于每个用户将 很可能在电子商务应用118 Web站点仅具有一个账户,因此用于特定登录 的多个用户浏览器交互简档提供了适应不同用户浏览器交互场景的灵活 性。输入交互服务器108可以有效地将用户的交互"映射"到适当的设备。 为了标识用户当前正在使用的硬件,输入交互服务器108可以利用诸如 cookies、 IP地址子网、浏览器代码名、浏览器全名、浏览器主要版本、浏 览器次要版本、CPU种类、平台、用户代理和系统语言这样的信息。这些 项目不一定被同等权衡或都被考虑,并且某一些可能仅具有与其关联的正 权重(例如IP子网)。基于在当前会活期间用户的浏览器112交互以及在用户浏览器交互数 据中所检测到的该用户的模式(其存储在用户浏览器交互数据库130中), 模式匹配服务器IIO可以确定模式匹配分数。在从电子商务应用118接收 到对特定用户的模式匹配分数的请求时,模式匹配服务器110可以为该用户访问所存储的用户浏览器交互数据,分析所存储的模式数据,并且将这 些模式与当前^"的用户浏览器交互数据进行比较。在一些实施例中,当
前会话的用户浏览器交互数据可以被存储在用户浏览器交互数据库130 中。分析和比较的结果可以是基于先前的用户浏览器交互的会活的4莫式匹 配分数。模式匹配分数可以是对于充当当前会话的用户的人(或实体)实 际上是真实的人的可能性的任何指示。模式匹配服务器110可以将所确定 的模式分数传输至进行请求的电子商务应用118,而其又可以至少部分地 基于模式匹配分数来确定其动作方针。指示高可靠性强度的模式匹配分数 例如可以建议电子商务应用118用户已经被认证,而指示低可靠性的模式 匹配分数可以导致拒绝用户交易或对附加信息的请求。
应用服务器106、输入交互服务器108和模式匹配服务器110可以各 自包括一个或多个个人计算机、工作站、服务器、大型计算机、笔记本或 膝上型计算机、台式计算机或其它计算机系统。在一些实施例中,应用服 务器106、输入交互服务器108和模式匹配服务器110中的任何一个均可 以是如关于图2所描述的计算机系统,并且各自均可以与网络104进行有 线或无线通信。示例性应用服务器106、输入交互服务器108和模式匹配 服务器110可以是国际商业机器公司(IBM) eServer⑧服务器。在电子商 务认证系统100中,应用服务器106、输入交互服务器108和模式匹配服 务器110可以位于相同的位置,例如在同一建筑物或计算机实验室中,或 者可以是远程的。虽然术语"远程"参照电子商务认证系统100的组件的 距离而被使用,但是该术语是在指示某种程度的分离的意义上使用,而不 是在指示系统之间大的物理距离的意义上使用。例如,电子商务认证系统 100的任何组件均可以在物理上邻近或作为一些网络布置中相同的计算机 系统的一部分被安置。
用户浏览器交互邀:据库130可以是任何类型的易失性或非易失性存储 器,并且可以存储由输入交互服务器108所接收到的用户浏览器交互数据, 以及关联或标识信息。用户浏览器交互数据库130可以是独立单元或被集 成到电子商务认证系统100的另外的组件中,例如输入交互月良务器108或模式匹配服务器iio。所公开的实施例的系统和方法提供了一种高效率且有效果的机制,以 便提供对电子商务交易的用户的认证。在一些实施例中,所公开的系统可 以在不通知用户的情况下操作,以便提供无缝和高效的认证方法。通过跟 踪用户在多个会活上与浏览器的交互,可以将新会活中用户的动作与在较 早会话中出现的模式进行比较,以便提供一种类型的认证。用户浏览器交 互认证可以用作对双因素认证系统中诸如用户名和口令这样的另一类型的 认证的补充(辅助形式的认证)。在一些实施例中,利用足够鲁棒性和复 杂的交互数据,用户浏览器认证可以用作单一形式的认证,但通常可以用 作辅助认证。通过使用用户浏览器交互简档,可以有利地适应不同机器上 用户的不同交互风格。所公开的用户浏览器交互认证对于其中高度重视用 户方便性并且欺诈是重大风险的电子商务应用来说可能特别有用。图2描绘了适于用作电子商务认证系统100的组件的计算机系统200 的一个实施例的框图,例如客户计算机系统102、应用服务器106、输入交 互服务器108或模式匹配服务器110。计算机系统200的其它可能性也是 可能的,包括具有除了归结于本文之外的能力的计算机,并且可以超越那 些能力,并且在其它实施例中,它们可以是诸如工作站、服务器、大型计 算机、笔记本或膝上型计算机、台式计算机、PDA、移动电话、无线设备、 机顶盒等的处理设备的任何组合。计算机系统200的至少某些组件可以被_ 安装在多层平板或母板上(其自己可以被安装在底盘上),以便提供用于 电互连计算机系统200的组件的方法。在所描绘的实施例中,计算机系统200包括处理器202、存储装置204、 存储器206、用户接口适配器208以及显示适配器210连接至总线212。总 线212促进处理器202与计算机系统200的其它组件之间的通信,以及組 件之间的通信。处理器202可以包括一个或多个系统中央处理单元(CPU) 或处理器以^更执行指令,例如IBM PowerPCTM处理器、英特尔Pentium 处理器、超孩i半导体^^司的处理器或任何其它适当的处理器。处理器202 可以利用存储装置204,其可以是非易失性存储器,例如一个或多个硬盘驱动、磁带驱动、磁盘驱动、CD-ROM驱动,等等。处理器202还可以经 由总线212连接至存储器206,例如经由存储器控制器集线器(MCH)。 系统存储器206可以包括易失性存储器,例如随机访问存储器(RAM)或 双倍数据速率(DDR)同步动态随机访问存储器(SDRAM)。
用户接口适配器208可以将处理器202与诸如鼠标220或键盘222这 样的用户接口设备连接。用户接口适配器208还可以与诸如触摸板、触敏 屏、电子笔、扩音器等的其它类型的用户输入设备连接。对于客户计算机 系统102来说,用户可以利用键盘222和鼠标220来与浏览器112交互, 并且正是这些交互可以被用于创建用户浏览器交互数据。总线212还可以 经由显示适配器210将处理器202连接至诸如LCD显示器或CRT监控器 的显示器。
图3根据一个实施例描绘了电子商务认证系统100的输入交互服务器 108的软件组件的概念说明。如先前所描述的(以及关于图5较为详细描 述的),输入交互服务器108可以从一个或多个客户计算机系统102接收 用户浏览器交互数据,并且处理和存储所接收的数据。所描绘的实施例的 输入交互服务器108包括交互数据管理器114、 ^t数据监听器302以及 交互数据库接口 304。 ^"数据监听器302可以经由网络104^:户计算 机系统102以用户浏览器交互数据的形式接收对于用户浏览器交互的指 示。M数据监听器302然后可以将所接收的数据传输给交互数据管理器 114处理。交互数据库接口 304可以将用户浏览器交互数据或其它信息存 储在用于输入交互服务器108的用户浏览器交互数据库130中,并且可以 充当两个组件之间的接口 。
交互数据管理器114可以处理所接收到的用户浏览器交互数据并将该 数据与用户和/或简档相关联,并且可以使用诸如^"数据关联器312、简 档匹配器314以及交互简档储存库316这样的子模块来帮助其实现任务。 ^数据关联器312可以将(从特定会话)所接收到的用户浏览器交互数 据与特定用户登录相关联。在一些实施例中,用户名、登录或其它信息可 以被包含作为用户浏览器交互数据的一部分,以便M数据关联器312可以从所接收的数据提取用户登录信息。简档匹配器314可以通过进一步将 所接收的用户浏览器交互数据与特定的用户浏览器交互筒档相关联或匹配 而提供附加的保真度(fidelity)。用户浏览器交互简档可以存储在交互简 档储存库316中。每个用户浏览器交互简档均可以对应于特定的硬件部分 (即,客户计算机系统102),用户可以利用该硬件部分经由浏览器112 与电子商务应用118进^f亍交互。如先前所讨论的,用户的用户浏览器交互 简档可以指示针对交互硬件的特定部分的交互趋势,并且用户可以具有多 个用户浏览器交互简档,其各自表示他们可以用于访问电子商务应用118 的不同客户计算机系统102。图4根据一个实施例描绘了电子商务认证系统100的模式匹配服务器 110的软件组件的概念说明。如先前所描述的(以及关于图6的更多细节), 基于在当前会活期间用户的浏览器112交互以及在存储于用户浏览器交互 数据库130中用于用户的用户浏览器交互数据中所检测到的模式,模式匹 配服务器110可以确定模式匹配分数。所描绘的实施例的模式匹配服务器 110包括交互数据分析器116、应用服务器接口 402以及交互数据库接口 404。应用服务器接口 402可以从电子商务应用118接收对于会话的模式匹 配分数的请求,并且可以将那些请求传递至交互数据分析器116。应用服 务器接口 402还可以从交互数据分析器116接收所确定的模式匹配分数, 并且可以将这些分数传输至进行请求的电子商务应用118。当交互数据分 析器116请求时,交互数据库接口 404可以访问用户浏览器交互数据库130 中的用户浏览器交互数据或其它信息,并且可以充当两个组件之间的接口 。基于在当前会活期间用户的浏览器112交互以及在存储于用户浏览器 交互数据库130中用于用户的用户浏览器交互数据中所检测的模式,交互 数据分析器116可以确定模式匹配分数。交互数据分析器116可以包括诸 如模式分析器406和模式匹配分数确定器408这样的子模块来帮助其实现 任务。模式分析器406可以分析所存储的用于特定用户的用户浏览器交互 数据(以;s^视情况针对筒档),例如对于交互才莫式(例如,用户趋向、习 惯等)。基于来自模式分析器406的分析结果以及来自用户当前会话的交互,模式匹配分数确定器408可以确定该会话的模式匹配分数。为此,模 式匹配分数确定器408可以将当前会话动作与所确定的模式进行比较,以 便确认它们之间的相似之处和不同之处。如先前所讨论的,模式匹配分数 可以是对于充当当前M的用户的人(或实体)在实际上是真实的人的可 能性的任何指示。
图5才艮据一个实施例描绘了用于检测用户浏览器交互和处理用户浏览 器交互数据的流程图500的例子。在一个实施例中,可以通it^l户计算机 系统102和输入交互月良务器108来实现流程图500的方法。流程图500开 始于步骤502,其中客户计算机系统102的浏览器112 (例如运行在所显示 的Web页面上的脚本)检测用户浏览器交互的标记(indicia)。根据所公 开的实施例,当用户访问被配置用于基于用户浏览器交互的认证的电子商 务应用118的Web页面的时候,元素502 (以及元素504和506 )可以在 浏览器112中执^f亍。当收集了用户浏览器交互的标记时,浏览器112可以 在元素504处基于标记生成用户浏览器交互数据,并且在元素506处将所 生成的用户浏览器交互数据传输到指定的输入交互服务器108。在执行于 浏览器112上的JavaScript (或其它脚本)中可以指定输入交互服务器108 的网络位置。指定特定的输入交互服务器108的能力有助于在单个电子商 务认证系统100中使用多个输入交互服务器108。
在元素508处,输入交互服务器108可以从一个或多个客户计算机系 统102接收用户浏览器交互数据。在元素510处,通过交互数据管理器114, 输入交互服务器108可以将所接收的用户浏览器交互数据与特定的用户登 录相关联。对用户登录的指示可以存储在用户浏览器交互数据中或被分开 接收。如前所述,在一些实施例中,用户可以具有与他们可以用于访问电 子商务应用118的不同客户计算机系统102相关联的用户登录的多个简档。 在判定块512处,如果输入交互服务器108确定存在用于用户的多个筒档, 则流程图500的方法可以继续到元素514,其中交互翁:据管理器114的简 档匹配器314可以将所接收的数据与用户浏览器交互简档进^f亍匹配。筒档 匹配器314可以使用例如IP地址或其它标识来区分不同的用户浏览器交互简档。在元素514处,输入交互服务器108的交互数据库接口 304可以将 用户浏览器交互数据以及任何关联信息存储在用户浏览器交互数据库130 中,此后该方法终止。关联信息可以包括例如对用户登录的指示、用户浏 览器交互简档或其它标识信息。图6根据一个实施例描绘了用于接收请求以便分析用户浏览器交互会 话以及确定模式匹配分数的流程图600的例子。在一个实施例中,可以通 过模式匹配服务器110的组件来实现流程图600的方法。流程图600开始 于元素602,其中模式匹配服务器110可以从电子商务应用118接收请求, 以便分析特定的用户浏览器交互会话。在元素604处,模式匹配服务器110 可以确定与对其进行请求的当前会活相关联的用户浏览器交互数据。在一 些实施例中,当前会话的用户浏览器交互数据可以被存储在用户浏览器交 互数据库130中,而在其它可选的实施例中,可以从电子商务应用118接 收该请求以及当前会话的用户浏览器交互数据。在元素606处,模式匹配服务器110可以访问来自于用户的其它^" 的用户浏览器交互数据(以及视情况针对用户的特定简档)。来自先前的 会话的用户浏览器交互数据还可以被存储在用户浏览器交互数据库130 中。在访问数据之后,在元素608处,模式匹配服务器110可以分析先前 的交互数据,以^更确定用户浏览器交互中的任何模式。然后在元素610处, 模式匹配服务器110可以将当前会话的用户浏览器交互数据与所确定的模 式进行比较,以便确认两者之间的相似之处和/或不同之处。基于所述比较, 模式匹配服务器110在元素612处可以为当前会话确定模式匹配分数,以 及在元素614处将该模式匹配分数传输给进行请求的电子商务应用118, 此后该方法终止。通过利用图6的方法,对于当前从其特定客户计算机系 统102访问那些电子商务应用118的用户,才莫式匹配月艮务器110因而可以 向进行请求的电子商务应用118提供模式匹配分数。图7根据一个实施例描绘了用于与用户进行交互以及利用模式匹配分 数来i人证该用户的流程图700的例子。在一个实施例中,可以通过例如在 应用服务器106上执行的电子商务应用118来实现流程图700的方法。流22程图700开始于元素702,其中电子商务应用118建立与用户的电子商务 会活。建立^#"通常可以包括在元素704处利用第一级认证来认证用户。 第一级认证可以是诸如用户名和口令的认证,或者是任何其它类型的认证。 可选地,并不进行第一级认证(不需要元素704),并且建立用户会话可 以仅需要用户名或其它标识。
一旦建立了会话,在元素706处,电子商务应用118就可以接收来自 于用户的输入作为电子商务站点的正常操作的一部分。用户输入可以包括 对动作的请求(例如,付款或购买、请求信息等)。在判定块708处,电 子商务应用118可以确定是否需要对用户所请求的任何动作进行附加的认 证。如果不需要附加的认证(例如,如果任何第一级认证对所请求的动作 U够的),则流程图700的方法返回元素706以便接收更多的用户输入。 如果电子商务应用118确定需要附加的认证,那么在元素710处,模式匹 配请求器120可以请求来自于模式匹配服务器110的对所建立的用户浏览 器交互会活的分析。响应于电子商务应用118自身的请求,模式匹配请求 器120可以进行这样的请求。对于分析的请求可以包括对用户的指示(例 如用户登录),并且视情况可以包括对于在当前会活期间用户与浏览器112 的交互的指示。
在请求分析对于该会话的用户浏览器交互之后,在元素712处,电子 商务应用118可以接收对于所建立的会话的模式匹配分数。然后在元素714 处,电子商务应用118可以分析该模式匹配分数以便确定关于该用户的适 当的动作方针,并且在元素716处,可以基于对模式匹配分数的分析来实 现这样的动作,此后该方法终止。基于用户请求的动作以及对模式匹配分 数的分析,电子商务应用118可以确定动作方针。例如,如果用户已经请 求使用信用卡购买物品或服务,则电子商务应用118可以在授权购买之前 请求附加的认证。在接收到有利的模式匹配分数(即,指示高认证级别的 分数)时,电子商务应用118可以选择允许该交易进行。在接收到指示低 认证强度的不太有利的模式匹配分数时,电子商务应用118可以拒绝该交 易,标记该交易用于稍后的后续措施,请求附加信息(另一种形式的认证),请求随访电话或其它动作。对于获益于^&开的本领域的技术人员显而易见的会是本发明构想 了基于对因特网商务会话期间的用户浏览器交互的分析来认证用户的方 法、系统和介质。应当理解,在详细的说明书和附图中示出并描述的本发 明的形式应当仅仅被看作是示例。设想下面的权利要求被广泛解释为包括 所公开的示例实施例的所有变化。
权利要求
1.一种用于分析用户与浏览器之间的交互的方法,所述方法包括以下步骤对于当前会话,确定与所述用户和浏览器之间的交互相关联的第一数据;访问与所述用户和浏览器之间的交互相关联的第二数据;分析所述第二数据以便确定与所述第一数据相关联的模式;以及为所述当前会话确定模式匹配分数。
2. 根据权利要求1所述的方法,其进一步包括步骤在确定第一数据 的步骤之前,接收分析所述第一数据的请求。
3. 根据权利要求1所述的方法,其中所述第一数据包括与所述用户的 简档相关联的简档数据,并且所述第二数据包括与先前的会话相关联的会 话数据。
4. 根据权利要求1所述的方法,其中所述第二数据包括与所述用户的 简档相关联的简档数据。
5. 根据权利要求l所述的方法,其中确定模式匹配分数的步骤进一步 包括步骤将所述第一数据与所确定的模式进行比较。
6. 根据权利要求1所述的方法,其进一步包括以下步骤从所述用户 接收对第一动作的请求;确定所请求的第一动作是否需要附加的认证;以 及响应于确定所请求的第一动作需要附加的认证,生成分析所述第一数据 的请求。
7. 根据权利要求6所述的方法,其进一步包括以下步骤依照所述模 式匹配分数以及所请求的第 一动作来实现第二动作。
8. 根据权利要求7所述的方法,其中所述第二动作包括以下中的一个 或多个完成电子商务交易、访问受限信息、修改用户信息、改变用户的 口令、请求附加信息或拒绝所请求的动作。
9. 根据权利要求1所述的方法,其进一步包括以下步骤^:户计算机系统接收所述第 一数据;将所接收的第一数据与所述当前会话的用户登录过程相关联;以及 将所述第 一数据以及关联数据存储在存储组件中,所述关联数据包括 对所述用户登录过程的指示。
10. 根据权利要求9所述的方法,其中关联步骤进一步包括步骤 将所接收的第 一数据与关联于所述用户的简档相匹配。
11. 一种用于分析用户与浏览器之间的交互的设备,所述设备包括 用于为当前会活确定与所述用户和浏览器之间的交互相关联的第一数据的装置;用于访问与所述用户和浏览器之间的交互相关联的第二数据的装置; 用于分析所述第二数据以便确定与所述第 一数据相关联的模式的分析 器;以及用于为所述当前会话确定模式匹配分数的装置。
12. 根据权利要求11所述的设备,其进一步包括用于接收分析所 述第一数据的请求的装置。
13. 根据权利要求11所述的设备,其中所述第一数据包括与所述用 户的简档相关联的简档数据,并且所述第二数据包括与先前的会话相关联 的^f数据。
14. 根据权利要求11所述的设备,其中所述第二数据包括与所述用 户的简档相关联的简档数据。
15. 根据权利要求11所述的设备,其中用于确定模式匹配分数的装 置进一步包括用于将所述第一数据与所确定的模式进行比较的装置。
16. 根据权利要求11所述的设备,其进一步包括用于从所述用户 接收对第 一动作的请求的装置;用于确定所请求的第 一动作是否需要附加 的认证的装置;以及响应于确定所请求的第一动作需要附加的认证,用于 生成分析所述第一数据的请求的装置。
17. 根据权利要求16所述的设备,其进一步包括用于依照所述模 式匹配分数以及所请求的第一动作来实现第二动作的装置。
18. 根据权利要求17所述的设备,其中所述第二动作包括以下中的 一个或多个完成电子商务交易、访问受限信息、^"改用户信息、改变用 户的口令、请求附加信息或拒绝所请求的动作。
19. 根据权利要求11所述的设备,其进一步包括用于从客户计算 机系统接收所述第一数据的装置;用于将所接收的第一数据与所述当前会 话的用户登录过程相关联的装置;以及用于将所述第一数据以及关联数据 存储在存储组件中的装置,所述关联数据包括对所述用户登录过程的指示。
20. 根据权利要求19所述的设备,其中进行关联的装置进一步包括 用于将所接收的笫一数据与关联于所述用户的简档相匹配的装置。
21. —种计算机程序,其包括当所述程序运行于计算机上时,适于实 现权利要求1至10中任何一项的所有步骤的程序代码装置。
全文摘要
公开了用于基于用户浏览器交互来认证用户的系统、方法和介质。一种方法的实施例可以包括,在与用户的电子商务会话期间,从所述用户接收对动作的请求,以及确定所请求的动作是否需要附加的认证。实施例还可以包括请求为所述会话分析用户浏览器交互、接收所述会话的模式匹配分数,以及基于所述模式匹配分数和所请求的动作来实现动作。所述模式匹配分数可以提供对于在所述会话期间用户与浏览器的交互和用于所述用户的用户浏览器交互简档之间的比较的指示。所实现的动作可以包括完成电子商务交易、访问或修改信息、改变口令、请求附加信息、拒绝所请求的动作,或者其它的动作。进一步的实施例可以提供以便利用第一级认证对所述用户进行认证。
文档编号G06F21/20GK101405743SQ200780009234
公开日2009年4月8日 申请日期2007年3月1日 优先权日2006年4月10日
发明者B·M·奥康奈尔, K·R·沃克 申请人:国际商业机器公司