[发明专利]一种量化风险和收益自适应的动态多因子认证方法

权利要求书

1.一种量化风险和收益自适应的动态多因子认证方法，其特征在于包括对信息系统的访问进行量化风险和收益的评估，以及自适应地选取认证因子实现用户身份认证过程；所述的方法实现框架包括评估引擎、策略决策引擎、认证因子库、选取的认证因子组合、认证因子选取策略库和历史数据库；具体步骤如下：

（1）系统管理员通过分析设定该信息系统中需要衡量的风险和收益因素，确定量化风险和收益的评估方法，并定义在评估引擎中；

（2）系统管理员结合用户群体接受程度，确定该信息系统所采用的多种认证方法作为认证因子，并放置在认证因子库中；

（3）系统管理员设定策略，规定在特定量化风险和收益评估结果之上采用何种强度的认证过程，并对应到认证因子组合实现用户身份认证过程，将上述策略定义在认证因子选取策略库中；

（4）当用户对信息系统发起访问请求时，评估引擎首先结合请求的类型和由系统历史数据库中调取的历史数据，计算出该访问请求的量化风险和收益；

（5）根据步骤(4)中计算结果，信息系统将请求发往策略决策引擎，由策略决策引擎在认证因子选取策略库中寻找匹配的策略；然后策略决策引擎将依据所选策略对该访问请求进行模糊推断，确定所采用的认证因子组合；

（6）信息系统从认证因子库中选取步骤(5)中所得认证因子组合实现用户身份认证过程；

（7）信息系统将访问历史记录在历史数据库中，为之后的量化风险和收益评估和策略制定提供数据来源；

（8）信息系统历史数据发生变化时，将影响步骤(4)、步骤(5)所述评估和决策结果，实现动态自适应地调整认证因子组合。

2.根据权利要求1所述的方法，其特征在于认证因子是单一手段的用户身份认证方法，包括基于口令的认证方法、基于时间的一次性口令认证方法、基于事务的一次性口令认证方法、手机短信令牌、USB令牌、口令卡令牌、智能卡令牌、磁条卡令牌和射频识别令牌。

3.根据权利要求1所述的方法，其特征在于所述评估引擎对用户的访问请求进行分类，对不同类别的访问请求进行不同形式的量化风险和收益评估。

4.根据权利要求1所述的方法，其特征在于量化风险分为允许访问风险和拒绝访问风险；量化收益同样分为允许访问收益和拒绝访问收益；允许访问风险是指允许用户请求指定访问带来的量化风险；拒绝访问风险是指拒绝用户请求指定访问带来的量化风险；允许访问收益是指允许用户请求指定访问带来的量化收益；拒绝访问收益是指拒绝用户请求指定访问带来的量化收益。

5.根据权利要求1所述的方法，其特征在于认证因子选取策略库中的策略包括对允许访问风险、拒绝访问风险、允许访问收益和拒绝访问收益中的一种或者多种因素的考虑。

6.根据权利要求1所述的方法，其特征在于策略决策引擎采用包括模糊集和模糊逻辑进行模糊推断方法，以根据当前访问请求的量化风险和收益评估结果动态确定所采用的认证方法。

7.根据权利要求1所述的方法，其特征在于信息系统对于访问请求拥有多种认证因子存储在方法库中，在决定所采用和实施的认证方法时，或单独采用，或者对多个认证因子进行绑定使用实现用户身份认证。

8.根据权利要求1所述的方法，其特征在于信息系统将访问请求及相应的决策结果和异常系统事件，包括一次性口令令牌被钓鱼的事件，存储在历史数据库中；量化风险和收益评估引擎及时根据历史数据库中的记录调整自身参数，并结合访问上下文数据动态调整量化风险和收益的评估，以动态决定所采用的认证因子组合。