基於身份足跡的用戶認證的製作方法

2023-04-24 01:29:21

基於身份足跡的用戶認證的製作方法
【專利摘要】本發明公開了基於身份足跡的用戶認證。本發明公開了產生與用戶相關的用戶籤名並且認證用戶的各種實施方式。識別與計算設備中至少一個傳感器相關的至少一個行為。產生時間戳並且將時間戳與行為相關聯。至少部分基於行為和時間戳產生與用戶對應的用戶籤名並且存儲該用戶籤名。
【專利說明】基於身份足跡的用戶認證
[0001]相關申請交叉引用
[0002]本申請要求於2012年6月5日提交的美國臨時申請第61/655，653號以及2012年6月29日提交的美國申請第13/537，672號的優先權，其全部內容結合於此作為參考。
【技術領域】
[0003]本發明總體上涉及系統安全，具體地，涉及基於身份足跡的用戶認證。
【背景技術】
[0004]基於利用密碼驗證的用戶認證的系統安全性是安全性可能受到威脅的安全性框架。例如，攻擊者可獲得或者產生用戶名/密碼組合，該組合可能被攻擊者使用，攻擊者僅僅通過出示用戶的用戶名/密碼對利用用戶憑證就獲得對系統的訪問。另外，近場通信(NFC)、射頻識別(RFID)和其它類型射頻通信可允許僅僅通過出示用戶設備而無需用戶名/密碼對的用戶認證。另外，在這種情況下，僅僅通過出示包含適當的NFC和/或RFID憑證的用戶設備而無需出示密碼和/或口令，攻擊者就可訪問與用戶相關的系統，這在用戶的行動裝置丟失和/或被盜的情況下風險可能極大。

【發明內容】

[0005](I) 一種系統，包括:
[0006]至少一個傳感器，被配置為確定所述系統的位置或運動中的至少一個；以及
[0007]與所述至少一個傳感器通信的電路，所述電路被配置為:
[0008]識別與所述至少一個傳感器相關的至少一個行為；
[0009]產生與所述至少一個行為相關的至少一個時間戳，所述至少一個時間戳與一天中的時間相關；
[0010]至少部分基於所述至少一個行為和所述至少一個時間戳,產生與用戶對應的用戶籤名；和
[0011]將所述用戶籤名存儲在所述系統可存取的存儲器中。
[0012](2)根據(I)所述的系統，其中，所述至少一個傳感器包括加速度計，並且所述電路進一步被配置為:
[0013]根據從所述加速度計檢索的周期性數據識別所述系統的加速度；以及
[0014]將所述加速度與所述時間戳相關聯。
[0015](3)根據(I)所述的系統，其中，所述至少一個傳感器還包括全球導航衛星系統晶片組，並且所述電路進一步被配置為:
[0016]從所述全球導航衛星系統晶片組識別所述系統的位置；以及
[0017]將所述位置與所述時間戳相關聯。
[0018](4)根據(I)所述的系統，其中，所述至少一個傳感器還包括加速度計和全球導航衛星系統晶片組，並且所述電路進一步被配置為:[0019]識別與從所述加速度計和所述全球導航衛星系統晶片組中至少一個獲得的傳感器數據相關的速度；以及
[0020]將所述速度與所述時間戳相關聯。
[0021](5)根據(I)所述的系統，其中，所述至少一個傳感器還包括無線網絡接口，並且識別所述至少一個行為的所述電路進一步被配置為:
[0022]識別至少一個網絡，其中所述無線網絡接口在所述至少一個網絡的通信範圍內；以及
[0023]將所述至少一個網絡與所述時間戳相關聯。
[0024](6)根據(I)所述的系統，其中，所述至少一個傳感器還包括網絡接口，並且進一步識別所述至少一個行為的所述電路進一步被配置為:
[0025]識別所述無線網絡接口連接到的至少一個網絡；以及
[0026]將所述至少一個網絡與所述時間戳相關聯。
[0027](7)根據(I)所述的系統，其中，所述電路進一步被配置為:
[0028]跟蹤與所述至少一個傳感器和時間段相關的多個行為；
[0029]獲得對於所述用戶進行認證的請求；
[0030]判定在所述時間段內所述多個行為是否對應於所述用戶籤名；以及
[0031]當在所述時間段期間的所述多個行為對應於所述用戶籤名時，認證所述用戶。
[0032](8)根據(7)所述的系統，其中，判定在所述時間段內所述多個行為是否對應於所述用戶籤名的所述電路進一步被配置為:判定在所述時間段內的時刻所述系統的第一速度是否對應於與時間戳相關聯的第二速度，其中，所述時間戳與對應於所述第一速度的時刻對應。
[0033](9)根據(7)所述的系統，其中，判定在所述時間段內所述多個行為是否對應於所述用戶籤名的所述電路進一步被配置為:判定在所述時間段內的時刻所述系統的第一位置是否對應於與時間戳相關聯的第二位置，其中，所述時間戳與對應於所述第一位置的時刻對應。
[0034](10)根據(7)所述的系統，其中，判定在所述時間段內所述多個行為是否對應於所述用戶籤名的所述電路進一步被配置為:判定在所述時間段內的時刻在所述系統的通信範圍中的第一網絡是否對應於與時間戳相關聯的在所述系統的通信範圍中的第二網絡，其中，所述時間戳與對應於所述第一網絡的時刻對應。
[0035](11) 一種方法，包括:
[0036]在至少一個電路中，識別與計算設備中的至少一個傳感器相關的至少一個行為，其中，所述計算設備與所述至少一個電路通信；
[0037]在所述至少一個電路中，產生與所述至少一個行為相關的至少一個時間戳，所述至少一個時間戳與一天中的時間相關；
[0038]在所述至少一個電路中，至少部分基於所述至少一個行為和所述至少一個時間戳產生與用戶對應的用戶籤名；以及
[0039]將所述用戶籤名存儲在與所述至少一個電路通信的存儲器中。
[0040]( 12)根據(11)所述的方法，其中，所述至少一個傳感器包括加速度計，並且識別所述至少一個行為還包括:[0041]在所述至少一個電路中，識別與從所述加速度計檢索的周期性數據相關的加速度；以及
[0042]在所述至少一個電路中，將所述加速度與所述時間戳相關聯。
[0043]( 13)根據(11)所述的方法，其中，所述至少一個傳感器還包括全球導航衛星系統晶片組，並且識別所述至少一個行為還包括:
[0044]在所述至少一個電路中，從所述全球導航衛星系統晶片組識別所述系統的位置；以及
[0045]在所述至少一個電路中，將所述位置與所述時間戳相關聯。
[0046](14)根據(11)所述的方法，其中，所述至少一個傳感器還包括加速度計和全球導航衛星系統晶片組，並且識別所述至少一個行為還包括:
[0047]在所述至少一個電路中，識別與從所述加速度計和所述全球導航衛星系統晶片組中的至少一個獲得的傳感器數據相關的速度；以及
[0048]在所述至少一個電路中，將所述速度與所述時間戳相關聯。
[0049]( 15)根據(11)所述的方法，其中，所述至少一個傳感器還包括網絡接口，並且識別所述至少一個行為還包括:
[0050]在所述至少一個電路中，識別至少一個網絡，其中所述無線網絡接口在所述至少一個網絡的通信範圍內；以及
[0051]在所述至少一個電路中，將所述至少一個網絡與所述時間戳相關聯。
[0052]( 16)根據(11)所述的方法，其中，所述至少一個傳感器還包括網絡接口，並且所述方法還包括:
[0053]在所述至少一個電路中，識別所述無線網絡接口連接到的至少一個網絡；以及
[0054]在所述至少一個電路中，將所述至少一個網絡與所述時間戳相關聯。
[0055]( 17)根據(11)所述的方法，還包括:
[0056]在所述至少一個電路中，跟蹤與所述至少一個傳感器和時間段相關的多個行為；
[0057]在所述至少一個電路中，獲得對於所述用戶進行認證的請求；
[0058]在所述至少一個電路中，判定在所述時間段內所述多個行為是否對應於所述用戶籤名；以及
[0059]在所述至少一個電路中，當在所述時間段期間的所述多個行為對應於所述用戶籤名時，認證所述用戶。
[0060](18)根據(17)所述的方法，其中，判定在所述時間段內所述多個行為是否對應於所述用戶籤名進一步包括:判定在所述時間段內的時刻的第一速度是否對應於與時間戳相關聯的第二速度，其中，所述時間戳與對應於所述第一速度的時刻對應。
[0061](19)根據(17)所述的方法，其中，判定在所述時間段內所述多個行為是否對應於所述用戶籤名進一步包括:判定在所述時間段內的時刻的第一位置是否對應於與時間戳相關聯的第二位置，其中，所述時間戳與對應於所述第一位置的時刻對應。
[0062](20) —種非臨時性計算機可讀介質，包括可在計算設備中執行的軟體程序，所述軟體程序被配置為:
[0063]識別與計算設備中至少一個傳感器相關聯的行為，所述行為是速度、位置、加速度或者正在與所述計算設備通信的網絡中的至少一個；[0064]產生與所述行為相關聯的時間戳，所述時間戳與從與所述計算設備相關聯的時鐘提取的一天的時間相關聯；
[0065]至少部分基於所述行為和所述時間戳，產生與用戶對應的用戶籤名；以及
[0066]將所述用戶籤名存儲於所述計算設備可存取的存儲器中。
【專利附圖】

【附圖說明】
[0067]可參考以下附圖更好地理解本發明的多個方面。圖中組件並不一定按照比例繪製，而是將重點放在清楚地說明本發明的原理。此外，附圖中，相同參考標號指代通篇示圖中的相應部分。
[0068]圖1為示出根據本發明各種實施方式的計算設備的網絡環境的示圖。
[0069]圖2為示出了根據本發明各種實施方式作為圖1的網絡環境中的計算設備中執行的用戶識別邏輯部分而被實現的功能的一個示例的流程圖。
[0070]圖3為示出了根據本發明各種實施方式作為圖1的網絡環境中的計算設備中執行的用戶識別邏輯部分而被實現的功能的另一個示例的流程圖。
[0071]圖4為示出了根據本發明各種實施方式作為圖1的網絡環境中的計算設備中執行的用戶識別邏輯部分而被實現的功能的又一示例的流程圖。
【具體實施方式】
[0072]本發明實施方式涉及經由行動裝置或者其它類型的計算系統(由於其涉及用戶與外界的交互)產生基於用戶行為的用戶籤名或者用戶足跡。通過經由集成於用戶設備內的各種類型傳感器觀察和跟蹤用戶行為，可產生基於行為趨勢的用戶籤名並且用於在稍後時間點(例如，在請求用戶身份認證的情況下)對用戶進行認證。在本發明上下文中，傳感器可以是任何能夠集成於行動裝置和/或計算系統內的各種環境傳感器。例如，傳感器可包括被配置為檢測設備的加速度或者運動的加速度計。傳感器也可包括被配置為檢測設備定向的陀螺儀。傳感器可包括與例如全球定位系統(GPS)、格洛納斯(GL0NASS)、印度區域導航衛星系統(IRNSS)、伽利略等GNSS系統通信的全球導航衛星系統(GNSS)晶片組。
[0073]傳感器可以是被配置為檢測速度或者任何其它運動類型的傳感器。另外，本發明上下文中傳感器可包括被配置為與網絡(例如，有線和/或無線網絡)通信的網絡接口。在這種情況下，傳感器可為網絡接口，其可提供關於該接口連接到的或者該接口在其範圍內的網絡的信息(例如，服務集標識符、網絡名稱、基站標識符或者關於網絡的其它識別信息)。
[0074]因此，本發明實施方式可經由與用戶的行動裝置(例如，智慧型手機、平板計算系統、膝上型計算系統、媒體播放器等)相關的傳感器來檢測用戶行為。這些行為可與時間戳相關聯，以及與至少部分基於一個或多個行為/時間戳對產生的用戶籤名相關聯。以此方式，用戶籤名可包括可用於對用戶進行認證的用戶每天和/或每周例程的表示。這種形式的認證可與用戶名/密碼對、個人識別號碼、口令結合和/或與NFC和/或RFID認證結合使用。如果攻擊者擁有用戶的設備，那麼攻擊者可能未表現出與如設備中傳感器檢測到的用戶行為對應的行為。因此，即使攻擊者擁有用戶的設備和/或用戶的憑證，攻擊者也可能無法避開這種形式的認證。
[0075]參考圖1，示出根據各種實施方式的網絡環境100。網絡環境100包括與一個或多個網絡108a、108b等通信的計算設備101。例如，網絡108可包括網際網路、內聯網、外聯網、廣域網(WAN)、區域網(LAN)、有線網絡、無線網絡或者其它合適網絡等或者兩個以上這種網絡的任何組合。例如，網絡108a可包括與計算設備101耦接的無線運營商網絡。網絡108b可包括與計算設備101耦接的無線區域網路。計算設備101可在不同時間點與任何數目網絡108通信或者在任何數目網絡的通信範圍內。
[0076]例如，計算設備101可包括基於處理器的系統，諸如計算機系統。這種計算機系統可以桌上型計算機、膝上型計算機、個人數字助理、智慧型手機、蜂窩電話、機頂盒、音樂播放器、網盤(web pad)、平板計算機系統、遊戲機或者具有類似功能的其它設備形式體現。計算設備101可包括一個或多個中央處理單元(CPU) 103，該中央處理單元執行軟體應用程式並且有利於與計算設備101的各種硬體功能交互。計算設備101還配置有至少一個輸入裝置105，利用該輸入裝置105用戶可與呈現在與計算設備101相關的顯示器上的用戶界面交互。在一個實施方式中，輸入裝置105可包括與計算設備101的顯示器集成的電容式觸屏輸入裝置。在另一個實施方式中，輸入裝置105可包括與計算設備101通信的鍵盤和/或滑鼠。
[0077]計算設備101也可包括至少一個陀螺儀107，根據該陀螺儀可確定計算設備101的定向。陀螺儀107可包括MEMS陀螺儀，其可將角動量數據和/或定向數據提供給CPU103或計算設備101中的其它系統。計算設備101也可包括至少一個加速度計109，該加速度計109可確定加速度或者速度變化率並且將加速度數據提供給CPU103或者計算設備101內的其它系統。在一些實施方式中，計算設備101也包括有利於與衛星導航系統通信的GNSS晶片組111。當對CPU103或者計算設備101內的其它系統進行請求時，GNSS晶片組111提供位置數據。
[0078]計算設備101也可包括有利於與一個或多個網絡108通信的一個或多個網絡接口113。計算設備101可包括第一網絡接口 113，該第一網絡接口 113可與諸如802.llb/g/n網絡的無線區域網通信。計算設備101也可包括第二網絡接口 113，該第二網絡接口 113可與諸如一個或多個蜂窩語音和/或數據網絡的無線廣域網通信。計算設備101可包括以有利於網絡通信功能的不同組合的附加網絡接口 113。另外，網絡接口 113可提供關於計算設備101在其範圍內或者計算設備101與其通信的網絡108的信息。應當理解，任意的這些傳感器和/或接口可集成到與CPU103通信的單個模塊、晶片組和/或主板中。
[0079]計算設備101也包括一個或多個存儲裝置115，該存儲裝置115可存儲由CPU103執行和/或由CPU103可存取的軟體應用程式和/或其它數據。在本發明實施方式中，存儲器115可存儲由計算設備101執行的用戶識別邏輯116以及與計算設備101相關聯的用戶的行為對應的用戶籤名117。在一些實施方式中，用戶識別邏輯116可在集成到計算設備101中的處理電路中實現。
[0080]換言之，存儲器115包括根據各種實施方式在計算設備101中執行的各種應用程式和/或其它功能。例如，在計算設備101上執行的組件包括用戶識別邏輯116和本文中未詳細討論的其它應用程式、服務、處理、系統、引擎或者功能。用戶識別邏輯116被配置為產生與計算設備101相關聯的用戶對應的用戶籤名117。在一些實施方式中，計算設備101可包括數字邏輯或者如本文中描述被配置為執行用戶識別邏輯116的步驟以及存儲用戶籤名117及其各種維數(dimension)的任何其它電路。應當理解，圖1所示實施方式僅為一個例子。
[0081]用戶識別邏輯116通過從計算設備101中各種傳感器(諸如GNSS晶片組111、陀螺儀107、加速度計109、網絡接口 113或者其它傳感器)中的一個或多個周期性地獲得數據並且將來自各種傳感器的數據與時間戳相關聯從而產生用戶籤名117。傳感器的附加例子可包括鍵盤、電容式觸屏輸入裝置以及電源和/或充電連接、環境光等級傳感器和/或麥克風。另外，各種傳感器可在一個或多個集成和/或專有單元中實現以降低攻擊者從傳感器中一個或多個替換或者欺騙數據的可能性。從與CPU103相關聯的時鐘、從GNSS晶片組111檢索的時間數據、或者與計算設備101相關聯的其它時鐘可獲得時間戳。以此方式，用戶籤名117可代表與用戶相關聯的每日、每周或者任何其它周期性例程的表達。在一些實施方式中，用戶識別邏輯116可包括基於事件的架構，當事件發生時，該架構從計算設備101中的各種傳感器獲得信息。即，當代表與計算設備101相關的位置、加速度、速度和/或網絡變化的事件發生時，用戶識別邏輯116可獲得與該事件相關聯的相關數據並且將該數據與時間戳以及用戶籤名117相關聯。
[0082]例如，用戶識別邏輯116可從GNSS晶片組111獲得與計算設備101相關聯的周期性和/或基於事件的位置數據。位置數據可與作為用戶籤名117—部分的時間戳相關聯。以此方式，用戶籤名117可獲得用戶日常例程，因為它與計算設備101的位置有關。例如，如果計算設備101以及用戶始終位於少數地理位置(例如，家庭、辦公室和經常往來於兩地之間的點)，那麼用戶識別邏輯116可從GNSS晶片組111獲得這些位置並且將它們與相應時間戳相關聯，從而學習用戶的日常例程。另外，用戶識別邏輯116也獲得與用戶相關聯的、可能不代表家庭和/或辦公室位置(例如，在周末期間)的位置數據並且將位置數據與時間戳相關聯，從而學習當用戶可能在其它位置時的用戶例程。位置數據以及對應時間戳可存儲為用戶籤名117—部分，使得用戶籤名117包含在地理位置方面關於用戶習慣例程或者模式的信息。
[0083]因此，如果計算設備101的位置反映與用戶籤名117中體現的用戶例程的偏差，那麼用戶識別邏輯116可檢測此時攻擊者可能擁有計算設備101。在一些情況下，用戶籤名117可能幾乎不或者不反映模式或習慣例程。在這種情況下，模式不存在可能為用戶籤名117的顯著特徵，進而如果攻擊者在計算設備101的位置方面突然呈現固定的運動模式，那麼用戶識別邏輯116可檢測攻擊者擁有該設備。
[0084]作為另一個例子，用戶識別邏輯116可從陀螺儀107獲得與計算設備101相關聯的周期性和/或基於事件的角定向數據。角定向可與作為用戶籤名117—部分的時間戳相關聯。以此方式，用戶籤名117可獲得用戶日常例程，因為它與計算設備101的定向有關。例如，如果計算設備101以及用戶始終採用特定角定向，那麼用戶識別邏輯116可將這些角定向與時間戳相關聯並且將該定向數據存儲為用戶籤名117 —部分。以此方式，雖然與定向數據相關聯的特定時間戳在這種情況下可能用處不大，但是用戶識別邏輯116可學習用戶偏愛，因為它涉及當使用設備時用戶持有計算設備101的定向。定向數據以及對應時間戳可存儲為用戶籤名117—部分，使得用戶籤名117包含在計算設備101的角定向方面關於用戶習慣例程的信息。
[0085]作為另一個例子，用戶識別邏輯116可從加速度計109獲得與計算設備101相關聯的周期性和/或基於事件的加速度數據。加速度數據可與作為用戶籤名117—部分的時間戳相關聯。以此方式，用戶籤名117可獲得用戶日常例程，因為它涉及計算設備101的加速度和/或速度。例如，如果計算設備101以及用戶始終每天往返通過特定交通模式行進(例如，火車、自行車、汽車、步行)，那麼來自加速度計109的加速度數據可呈現用戶籤名117中體現的模式。加速度數據和對應時間戳可存儲為用戶籤名117—部分，使得用戶籤名117包含在運動方面關於用戶習慣例程或者模式的信息。
[0086]因此，當來自加速度計109的加速度數據偏離用戶籤名117中反映的模式時，用戶識別邏輯116可檢測此時攻擊者可能擁有該設備。例如，如果加速度數據反應的加速度水平相對於用戶籤名117中反映的那些不同，那麼用戶識別邏輯116可檢測攻擊者可能擁有所述設備。作為另一個例子，如果用戶識別邏輯116多次檢測到加速度數據相對於用戶籤名117中所反映的不同，那麼類似地用戶識別邏輯116可檢測攻擊者可能擁有計算設備101。在一些情況下，用戶籤名117可能幾乎不或者不反映模式或者習慣例程。在這種情況下，模式不存在可能為用戶籤名117的顯著特徵，並且如果攻擊者在計算設備101的加速度和/或速度方面突然呈現固定的運動模式，那麼用戶識別邏輯116可檢測攻擊者擁有該設備。
[0087]作為另一個例子，用戶識別邏輯116可從一個或多個網絡接口 113獲得與計算設備101相關聯的周期性和/或基於事件的網絡數據。網絡數據可代表計算設備101與其通信的和/或在其範圍內的網絡有關的數據。這些網絡可與作為用戶籤名117—部分的時間戳相關聯。例如，網絡接口 113可將有關網絡流量、帶寬消耗、呼叫數據、訪問網站的數據和其它網絡相關數據提供給用戶識別邏輯116。用戶識別邏輯116可將該網絡數據中一些或者全部與作為用戶籤名117—部分的時間戳相關聯。以此方式，當用戶通常發起或者接收呼叫、用戶喜愛網站或者其它信息時，用戶識別邏輯116可學習與網絡使用有關的用戶習慣。因此，如果網絡使用數據偏離用戶籤名117中體現的數據，那麼用戶識別邏輯116可檢測攻擊者可能擁有計算設備101。
[0088]作為另一個例子，在蜂窩式網絡接口 113的情況下，網絡接口 113可提供關於計算設備101正在與其通信的或者在其範圍內的蜂窩式基站的信息，該信息也可與時間戳相關聯。以此方式，用戶識別邏輯116可學習與在基站方面用戶通常如何與蜂窩式網絡通信以訪問蜂窩式網絡以及計算設備101在一天中與這些基站通信的時間有關的用戶例程。因此，如果蜂窩式網絡數據偏離用戶籤名117中體現的數據，那麼用戶識別邏輯116可檢測攻擊者可能擁有計算設備101。
[0089]作為另一個例子，在無線區域網接口 113的情況下，網絡接口 113可提供計算設備101正在與其通信或者在其範圍內的無線網絡有關的數據，並且將這些網絡與時間戳相關聯。以此方式，用戶籤名117可獲得用戶日常例程，因為它與計算設備101通信和/或所處通信範圍內的網絡有關。例如，如果計算設備101以及用戶始終在具有特定SSID的無線網絡和/或具有特定網際網路協議地址和/或介質接入控制地址的網絡設備的通信範圍內，那麼從網絡接口 113接收的數據可呈現用戶籤名117中體現的模式。該網絡數據和對應時間戳可存儲為用戶籤名117—部分，使得用戶籤名117包含在網絡接口 113在其範圍內或者與其通信的網絡方面關於用戶習慣例程或者模式的信息。
[0090]因此，當網絡接口 113所處的範圍或者與其通信的網絡偏離用戶籤名117中反映的模式時，用戶識別邏輯116可檢測此時攻擊者可能擁有該設備。例如，如果網絡接口 113突然始終在新網絡或者不同網絡的範圍內，那麼用戶識別邏輯116可檢測攻擊者可能擁有該設備。作為另一個例子，如果用戶識別邏輯116多次檢測到網絡數據與用戶籤名117中所反映的不同，那麼用戶識別邏輯116可同樣檢測攻擊者可能擁有計算設備101。在一些情況下，用戶籤名117可能幾乎不或者不反映模式或者習慣例程。在這種情況下，模式不存在可能為用戶籤名117的顯著特徵，並且如果攻擊者在計算設備101所處範圍內或者與其通信的網絡方面突然呈現固定模式，那麼用戶識別邏輯116可檢測攻擊者擁有該設備。
[0091]作為另一個例子，用戶識別邏輯116可從輸入裝置105獲得與計算設備101相關聯的周期性和/或基於事件的用戶輸入數據。用戶輸入數據可與作為用戶籤名117—部分的時間戳相關聯。以此方式，用戶籤名117可獲得用戶如何與計算設備101的輸入裝置105交互的特徵。例如，如果計算設備101以及用戶始終以某個速度打字，以某個弧角移動滑鼠，以某個方式使用觸摸輸入裝置執行手勢或者呈現任何其它用戶輸入模式，那麼這些模式可在用戶籤名117中體現。
[0092]因此，當來自輸入裝置105的用戶輸入數據偏離用戶籤名117中反映的模式時，用戶識別邏輯116可檢測此時攻擊者可能擁有所述設備。例如，如果用戶輸入數據反映與觸摸輸入裝置相關的不同打字速度、滑鼠弧角和/或滑動速度，那麼用戶識別邏輯116可檢測攻擊者可能擁有該設備。在一些情況下，用戶籤名117可能幾乎不或者不反映模式或者習慣例程。在這種情況下，模式不存在可能為用戶籤名117的顯著特徵，並且如果攻擊者突然呈現與計算設備101的輸入裝置105交互的固定模式，那麼用戶識別邏輯116可檢測攻擊者擁有該設備。
[0093]用戶識別邏輯116可將來自計算設備101的傳感器的上述類型數據中一個或多個合併為用戶籤名117 —部分。在一些實施方式中，用戶籤名117可包括表，該表包括從計算設備101的傳感器獲得的各種行為數據以及對應時間戳。在一些實施方式中，用戶籤名117可被加密並且存儲於存儲器和/或與計算設備101相關聯的大容量存儲裝置中。
[0094]因此，用戶識別邏輯116可基於從計算設備101的傳感器獲得的數據來對用戶進行認證。在一個實施方式中，用戶籤名117產生並且存儲於計算設備101內。在一個情況下，如果用戶進行交易，例如，由正在與用戶交互(例如，銀行交易、銷售點交易等)的一方請求用戶認證，那麼用戶識別邏輯116可從計算設備101中各種傳感器獲得的、與之前時間段(例如，一天、一周等)相關聯的數據來檢查行為。在這種情況下，用戶識別邏輯116可從請求認證的系統獲得認證請求。用戶識別邏輯116然後可判定該行為是否偏離存儲於計算設備101中的用戶籤名117中體現的行為。如果來自之前時間段的行為偏離用戶籤名117中指定的行為，那麼用戶識別邏輯116可導致用戶認證失敗。如果認證失敗，那麼用戶識別邏輯116可將認證失敗發送給請求系統。
[0095]在這種情況下，用戶識別邏輯116可檢查針對之前時間段的、來自傳感器的數據以判定與用戶籤名117的偏離程度。在一些實施方式中，認證請求可包括指定尋求認證的交易重要性級別的欄位。當更大程度的重要性與交易相關聯時，用戶識別邏輯116可能需要來自之前時間段的行為與用戶籤名117更接近一致以產生成功認證。
[0096]為了判定認證請求是成功還是失敗，用戶識別邏輯116可檢查用戶籤名117的每個分量並且判定來自最近之前時間段的行為是否符合用戶籤名117。例如，用戶識別邏輯116可檢查用戶籤名117中基於位置的分量(位置和相關聯時間戳)是否符合針對前一天、前一周、前一月等從GNSS晶片組111獲得的位置數據。如果針對之前時間段的位置數據與用戶籤名117位置數據變化很大，那麼用戶識別邏輯116可導致用戶認證失敗並且發出認證失敗。另外，用戶識別邏輯116可對從其它傳感器(例如，輸入裝置105、陀螺儀107、加速度計109、網絡接口 113)獲得的、針對之前時間段的數據進行相同分析，並且判定與之前時間段相關聯的行為是否與用戶籤名117不同。
[0097]例如，用戶識別邏輯116可檢查在之前時間段內計算設備101與其通信的或者處於其範圍內的網絡是否與用戶籤名117中指定的網絡相同或者相似。另外，即使與之前時間段相關聯的網絡與用戶籤名117中的網絡相似，用戶識別邏輯116也可判定與網絡相關聯的時間戳是否在用戶籤名117中時間戳的預定閾值時間段內。換言之，用戶識別邏輯116判定網絡接口 113在相對用戶籤名117的一天中的類似時間處是否與相同或者相似網絡通?目。
[0098]相似地，用戶識別邏輯116可檢查加速度計109數據與用戶籤名117中體現的數據是否相似，這可指示計算設備101的運動是否與用戶籤名117有關的相似速度和/或加速度相關聯。以此方式，如果計算設備101與用戶籤名117中體現的加速度數據變化很大的加速度數據相關聯，那麼用戶識別邏輯116可導致認證失敗並且發出認證失敗。如上所述，用戶識別邏輯116可對從計算設備101中其它傳感器獲得的數據進行類似分析。
[0099]在一些實施方式中，基於用戶籤名117的用戶認證還可在除了與用戶籤名117相關聯的計算設備101以外的設備中執行。例如，用戶識別邏輯116可被配置為將用戶籤名117以加密形式發送給遠程伺服器，使得用戶籤名117存儲於遠程伺服器上。因此，當認證時，通過判定與相對於認證請求之前時間段(例如，先前二十四個小時)對應的傳感器數據是否對應於由用戶籤名117定義的行為，然後可對用戶籤名執行用戶籤名117的認證。在這種情況下，用戶識別邏輯116可將與之前時間段對應的傳感器數據提供給遠程系統以執行認證。
[0100]接著參考圖2，示 出根據各種實施方式提供用於產生用戶籤名117的用戶識別邏輯116 —部分的一個操作例子的流程圖。應當理解，圖2流程圖僅提供可用於實現如本文所述的用戶識別邏輯116 —部分的操作的許多不同類型功能配置的例子。可替換地，圖2的流程圖可視為描繪根據一個或多個實施方式在計算設備101 (圖1)中實現的方法步驟的示例。
[0101]首先，用戶識別邏輯116從與計算設備101相關的各種傳感器(諸如輸入裝置105、陀螺儀107、加速度計109、GNSS晶片組111、網絡接口 113、以及與計算設備101相關聯的任何其它傳感器)中的一個或多個傳感器獲得傳感器數據(201)。如上所述，傳感器數據可周期性或者間歇性獲得，並且基於相對於傳感器發生的事件由相應傳感器提供。例如，如果GNSS晶片組111檢測到計算設備101的位置和/或速度已經改變，那麼GNSS晶片組111產生與位置和/或速度變化對應的位置事件，該位置事件可由用戶識別邏輯116獲得。作為另一個例子，當網絡接口 113正在與其通信的或者網絡接口 113在其範圍內的網絡發生變化時，網絡接口 113可產生對應事件，該事件可由用戶識別邏輯116獲得。作為另一個例子，當加速度計109檢測到超過預定義閾值的加速度時，由用戶識別邏輯116將加速度數據與時間戳相關聯並且更新用戶籤名117。此外，當陀螺儀107指示計算設備101的定向發生變化時，可由用戶識別邏輯116獲得對應事件並且合併到用戶籤名117中。[0102]接著，用戶識別邏輯116可獲得與傳感器數據相關聯的時間戳(203)。用戶識別邏輯116然後可將獲得的傳感器數據與時間戳相關聯(205)。然後利用與時間戳相關聯的傳感器數據更新用戶籤名(207)。接著，用戶識別邏輯116可保存用戶籤名117 (209)。如上所述，用戶籤名117可被加密並且存儲於存儲器和/或與計算設備101相關聯的大容量存儲裝置中，該大容量存儲裝置可包括快閃記憶體存儲器、硬磁碟或者其它存儲介質。
[0103]接著參考圖3，示出根據各種實施方式提供了用於產生用戶籤名117的用戶識別邏輯116 —部分的一個操作實例的流程圖。應當理解，圖3流程圖僅提供可用於實現如本文中描述用戶識別邏輯116 —部分的操作的許多不同類型功能配置的例子。可替換地，圖3流程圖可視為描繪根據一個或多個實施方式在計算設備101 (圖1)中實現的方法步驟的示例。
[0104]首先，用戶識別邏輯116從與計算設備101相關的各種傳感器獲得傳感器數據(301)。接著，用戶識別邏輯116可判定從GNSS晶片組111或者計算設備101中一個或多個其它傳感器是否可獲得位置事件(303)。當獲得位置事件時，位置事件與時間戳相關聯(305)。位置事件可包括如由GNSS晶片組111或者計算設備101中其它傳感器確定的計算設備的位置變化。例如，如果計算設備101的位置改變了預定義閾值量或者距離，那麼GNSS晶片組111可產生位置事件，該位置事件可觸發用戶識別邏輯116從而更新與計算設備101相關的用戶籤名。
[0105]用戶識別邏輯116判定從與計算設備101的通信範圍內的網絡有關的網絡接口 113是否可獲得網絡事件(307)。如果可獲得網絡事件，那麼網絡事件與時間戳相關聯(309)。網絡事件可包括耦接到計算設備101的無線或者其它類型網絡的識別。網絡事件可包括計算設備101在其範圍內的無線或者其它類型網絡的識別。例如，當計算設備101連接到特定網絡時，與計算設備101相關的網絡接口 113可產生事件。用戶識別邏輯116可將與網絡相關的識別信息(例如，SSID、對等設備MAC地址等)與用戶籤名相關聯。
[0106]同樣，用戶識別邏輯116可判定從陀螺儀107、加速度計109和/或GNSS晶片組111是否可獲得運動和/或加速度事件(311)，進而將運動與時間戳相關聯(313)。例如，用戶識別邏輯116可從GNSS晶片組111獲得速度數據，從加速度計109獲得加速度數據，從陀螺儀107獲得定向數據，進而將任意的這些類型運動數據與用戶籤名相關聯。
[0107]從這個意義上講，檢測位置事件、網絡事件和/或運動事件是檢測與可能擁有行動裝置的用戶相關聯的行為的多種形式。以此方式，用戶識別邏輯116檢測與行動裝置相關的一個或多個行為，並且基於檢測到的行為產生用戶籤名。用戶識別邏輯116然後可利用關於檢測到的事件以及由用戶識別邏輯116產生的對應時間戳的數據來更新與計算設備101相關聯的用戶籤名117(315)。以此方式，用戶識別邏輯116可開發和更新至少部分基於在一天中不同時間內的用戶行為的用戶籤名。用戶識別邏輯116然後可更新存儲於計算設備中的用戶籤名117 (317)。
[0108]接著參考圖4，示出提供用於根據各種實施方式基於用戶籤名117認證用戶的用戶識別邏輯116 —部分的一個操作例子的流程圖。應當理解，圖4流程圖僅提供可用於實現如本文中描述用戶識別邏輯116 —部分的操作的許多不同類型功能結構的例子。可替換地，圖4流程圖可視為描繪根據一個或多個實施方式在計算設備101 (圖1)中實施的方法步驟的例子。[0109]首先，用戶識別邏輯116可獲得認證請求(401)。如上所述，這種認證請求可從請求對於與計算設備101相關的用戶進行認證的系統接收。因此，用戶識別邏輯116然後可針對接收請求之前的預定義時間段從計算設備101中各種傳感器檢索傳感器數據和/或事件(403)。例如，用戶識別邏輯116可獲得針對之前二十四小時或者其它時間段內的傳感器數據，並且將反映在傳感器數據中的行為與用戶籤名比較。以此方式，用戶識別邏輯116可判定與用戶籤名117相關的用戶是否擁有計算設備101並且一直以用戶日常例程來使用該設備。
[0110]因此，用戶識別邏輯116然後可檢索與計算設備101對應的用戶籤名117 (405)。如上所述，用戶籤名117可以加密形式存儲於存儲器、快閃記憶體存儲器、磁性存儲器或者任何其它存儲介質中。接著，用戶識別邏輯116可判定針對之前時間段的傳感器數據反映的行為是否偏離用戶籤名117中體現的行為(409)。如果是這樣，那麼用戶識別邏輯116可產生認證失敗(411)。如果不是這樣，那麼用戶識別邏輯116可產生認證成功並且基於與針對該之前時間段的傳感器數據相關聯的行為以及用戶籤名117來認證用戶(413)。為了判定傳感器數據是指示偏離還是指示遵循用戶籤名117的行為，用戶識別邏輯116可從該之前時間段檢查由計算設備101中各種傳感器產生的各種事件。
[0111]例如，用戶識別邏輯116可檢查由識別在該之前時間段期間計算設備101連接到的或者計算設備101在其範圍內的區域網和/或廣域網網絡的接口 113產生的網絡事件。如果自該之前時間段網絡和/或與網絡相關聯的時間戳無法對應於用戶籤名117中指定的網絡和/或時間戳，那麼用戶識別邏輯116可產生認證失敗。
[0112]同樣，用戶識別邏輯116可檢查在之前時間段期間位置和/或運動數據以及與位置和/或運動數據相關聯的時間戳。例如，如果在該之前時間段期間位置和/或運動數據指定的位置和/或運動並非由用戶籤名117指定的位置和/或運動，那麼用戶識別邏輯116可產生認證失敗。例如，位置數據可指定計算設備101正在呈現偏離用戶籤名117的位置和/或運動數據。在這種情況下，可產生認證失敗。相反，如果位置和/或運動數據與由用戶籤名117指定的數據一致或者在由用戶籤名117指定的數據的預定義閾值範圍內，那麼用戶識別邏輯116可產生認證成功。
[0113]在一些實施方式中，用戶識別邏輯116可識別與認證請求相關聯的認證級別。例如，請求認證的實體可基於尋求認證的交易重要性來請求不同級別的認證。因此，在基於用戶籤名認證用戶中，根據認證請求中指示的認證級別，用戶識別邏輯116可允許自之前時間段的行為與由用戶籤名指定的行為的不同偏差級別。例如，在尋求嚴格或者高級別認證的認證請求的情況下，用戶識別邏輯116可允許自之前時間段的行為與由用戶籤名指定的行為較小偏離。在尋求較低級別認證的認證請求的情況下，用戶識別邏輯116可允許自之前時間段的行為與由用戶籤名指定的行為較大偏離。
[0114]圖2至圖4流程圖示出根據本發明各種實施方式由計算設備101執行的用戶識別邏輯116的功能和操作。如果以軟體體現，那麼每個區塊可表示包括實現(多個)指定邏輯功能的程序指令的代碼模塊、段或者部分。程序指令可以包括利用程式語言寫下的人類可讀語句的原始碼或者包括可由適當執行系統(諸如處理器)識別的數值指令的機器代碼的形式體現。機器代碼可從原始碼等轉換。如果以硬體體現，那麼每個區塊可表示實現(多個)指定邏輯電路功能的電路或者多個互連電路。[0115]雖然圖2至圖4流程圖示出特定執行順序，但是應當理解，執行順序可與所示順序不同。例如，兩個以上區塊的執行順序相對於所示順序可能為混亂。此外，圖2至圖4流程圖中連續示出的兩個以上區塊可同時或者部分同時執行。此外，在一些實施方式中，可跳過或者省略圖2至圖4流程圖中示出的一個或多個區塊。另外，為了增強效用、清算、性能測量或者提供故障測定幫助等，任何數目的計數器、狀態變量、警告信號燈或者消息可添加到本文描述的邏輯電路流程。應當理解，所有變動均在本發明範圍內。
[0116]此外，本文中描述的任何邏輯或者包括軟體或者代碼的應用程式(包括計算設備101中執行的任何一個)可體現在由指令執行系統(諸如，處理器、數字邏輯電路和/或計算系統或者其它系統中任何其它電路)使用或者與所述指令執行系統連接的任何非臨時性計算機可讀介質中。從這個意義上講，代碼可包括例如包括指令和聲明的語句，該語句可從計算機可讀介質取出並且由指令執行系統執行。在本發明上下文中，「計算機可讀介質」可為可包含、存儲或者保存本文中所述的由指令執行系統使用或者與指令執行系統連接的代碼或者應用程式的任何介質。計算機可讀介質可包括許多物理介質(諸如，磁性、光學或者半導體介質)中任何一個。合適的計算機可讀介質的更具體示例包括但不限於磁帶、磁性軟盤、硬磁碟、存儲卡、固態驅動器、USB快閃記憶體驅動器或者光碟。此外，計算機可讀介質可為隨機存取存儲器(RAM)，包括例如靜態隨機存取存儲器(SRAM)和動態隨機存取存儲器(DRAM)或者磁性隨機存取存儲器(MRAM)。另外，計算機可讀介質可為只讀存儲器(ROM)、可編程只讀存儲器(PR0M)、可擦除可編程只讀存儲器(EPR0M)、電可擦除可編程只讀存儲器(EEPROM)或者其它類型存儲器設備。
[0117]應當強調，本發明的上述實施方式僅為為了清楚理解本發明原理所闡述的可能的實現方式的實例。在基本上不偏離本發明精神和原理的情況下，可對上述實施方式做出多種變動和修改。所有這種修改和變動旨在包含於本發明範圍內並且受隨附權利要求保護。
【權利要求】
1.一種系統，包括: 至少一個傳感器，被配置為確定所述系統的位置或運動中的至少一個；以及 與所述至少一個傳感器通信的電路，所述電路被配置為: 識別與所述至少一個傳感器相關的至少一個行為； 產生與所述至少一個行為相關的至少一個時間戳，所述至少一個時間戳與一天中的時間相關； 至少部分基於所述至少一個行為和所述至少一個時間戳，產生與用戶對應的用戶籤名；和 將所述用戶籤名存儲在所述系統可存取的存儲器中。
2.根據權利要求1所述的系統，其中，所述至少一個傳感器包括加速度計，並且所述電路進一步被配置為: 根據從所述加速度計檢索的周期性數據識別所述系統的加速度；以及 將所述加速度與所述時間戳相關聯。
3.根據權利要求1所述的系統，其中，所述至少一個傳感器還包括全球導航衛星系統晶片組，並且所述電路進一步被配置為: 從所述全球導航衛星系統晶片組識別所述系統的位置；以及 將所述位置與所述時間戳相關聯。
4.根據權利要求1所述的系統，其中，所述至少一個傳感器還包括加速度計和全球導航衛星系統晶片組，並且所述電路進一步被配置為: 識別與從所述加速度計和所述全球導航衛星系統晶片組中至少一個獲得的傳感器數據相關的速度；以及 將所述速度與所述時間戳相關聯。
5.根據權利要求1所述的系統，其中，所述至少一個傳感器還包括無線網絡接口，並且識別所述至少一個行為的所述電路進一步被配置為: 識別至少一個網絡，其中所述無線網絡接口在所述至少一個網絡的通信範圍內；以及 將所述至少一個網絡與所述時間戳相關聯。
6.根據權利要求1所述的系統，其中，所述至少一個傳感器還包括網絡接口，並且進一步識別所述至少一個行為的所述電路進一步被配置為: 識別所述無線網絡接口連接到的至少一個網絡；以及 將所述至少一個網絡與所述時間戳相關聯。
7.根據權利要求1所述的系統，其中，所述電路進一步被配置為: 跟蹤與所述至少一個傳感器和時間段相關的多個行為； 獲得對於所述用戶進行認證的請求； 判定在所述時間段內所述多個行為是否對應於所述用戶籤名；以及 當在所述時間段期間的所述多個行為對應於所述用戶籤名時，認證所述用戶。
8.根據權利要求7所述的系統，其中，判定在所述時間段內所述多個行為是否對應於所述用戶籤名的所述電路進一步被配置為:判定在所述時間段內的時刻所述系統的第一速度是否對應於與時間戳相關聯的第二速度，其中，所述時間戳與對應於所述第一速度的時刻對應。
9.根據權利要求7所述的系統，其中，判定在所述時間段內所述多個行為是否對應於所述用戶籤名的所述電路進一步被配置為:判定在所述時間段內的時刻所述系統的第一位置是否對應於與時間戳相關聯的第二位置，其中，所述時間戳與對應於所述第一位置的時刻對應。
10.一種方法，包括: 在至少一個電路中，識別與計算設備中的至少一個傳感器相關的至少一個行為，其中，所述計算設備與所述至少一個電路通信； 在所述至少一個電路中，產生與所述至少一個行為相關的至少一個時間戳，所述至少一個時間戳與一天中的時間相關； 在所述至少一個電路中，至少部分基於所述至少一個行為和所述至少一個時間戳產生與用戶對應的用戶籤名；以及 將所述用戶籤名存儲在與所述至少一個電路通信的存儲器中。
【文檔編號】G06F21/31GK103475470SQ201310219813
【公開日】2013年12月25日 申請日期:2013年6月4日 優先權日:2012年6月5日
【發明者】諾姆·索裡克 申請人:美國博通公司