多因素简档和安全指纹分析

摘要

公开了一种安全指纹架构。安全指纹包括一个或更多个行为因素，所述行为因素存储与一个或更多个用户关联的事件的历史。安全指纹中的数据通过一个或更多个模式被暴露，每一个模式确定安全指纹中的数据可以被接入的条件。安全指纹支持允许设定操作被执行的若干原语操作。安全指纹可以单独地或者与第三方数据源结合地用于认证、广告、和其它操作。也公开了在蜂窝基础设施上构建的安全指纹的示例性平台。

说明书

相关专利申请的交叉引用

本专利申请要求2012年9月12日提交的序列号为No.13/612755的题 为“Multi-Factor Profile and Security Fingerprint Analysis”的美国发明专利申请 的优先权，该美国发明专利申请通过引用完全并入这里。

专利申请No.13/612755是2011年9月9日提交的美国非临时申请No. 13/229481的部分延续申请，该美国非临时申请要求2011年8月25日提交 的美国临时申请No.61/527469的优先权，并且这两个申请特此通过引用整 体并入。

背景技术

今天的用户日常与过多的信息系统交互。一个例子是，用户与个人信息 系统(诸如他们的个人社交网络账户)交互。另一例子是，用户与商业信息 系统交互，诸如通过作出购买与商店的销售点系统交互，或通过进行移动呼 叫与蜂窝供应商的计费系统交互。又一例子是，用户与政府信息系统交互， 诸如在维持社会安全和交税记录中。

在许多情况中，用户大大地依赖于那些信息系统中的数据。当用户为物 品付款时(通过电子市场在线地或在销售点系统中的实体店中离线地)，交 易应当保证用于付款的信用/借记卡对应于该用户。类似地，当用户在政府网 站注册并且输入个人信息时，该交易也应当保证该人的身份被认证。特别地， 认证是当与信息系统交互时执行测试以在已知的可信度内保证用户对应于 用户身份。

目前，认证通过数种常见方法被执行。认证典型地通过验证用于那个用 户的身份的用户的标记被执行。用户的标记称为证书。用户的证书可以以用 户提供已知的值，诸如密码或个人标识号(“PIN”)的形式出现。用户的证 书可以通过用户提供标记(诸如感应卡，或指纹或视网膜扫描)以该形式出 现。

通常，认证目前依靠以用户拥有已知的值，或者用户物理地保持标记的 形式的证书。然而，当基于记忆的已知的值被窃取或者标记被偷或另外盗用 时，身份盗窃可能发生。此外，许多信息系统仅仅在登陆到系统上时认证用 户，并且随后限制验证身份的系统请求以便不经常打断用户。因此，有机会 通过识别另外的认证装置改善安全且防止身份盗窃。

附图说明

详细描述参考附图被阐述。在图中，不同的图中的相同附图标记的最左 数字表示相似或相同物品。

图1是示出示例多因素身份指纹识别服务的顶层图，该多因素身份指纹 识别服务收集与用户历史活动相关的数据以便通过示例基于简档的认证服 务接入。

图2是用于多因素身份指纹识别的示例硬件平台。

图3是用于多因素身份指纹识别的示例过程的流程图。

图4是示出移动介质垂直中的多因素身份指纹识别的示例应用程序的顶 层图。

图5是用于安全指纹平台的示例性逻辑架构的方块图。

图6是根据应用和服务前景的用于安全指纹平台的逻辑体系结构的示例 性实施的图。

图7是根据指纹的前景的用于安全指纹平台的逻辑体系结构的示例性实 施的图。

图8是示出指纹服务应用程序、原语指纹操作、和来自数据资产的底层 数据(underlying data)之间的关系的图。

图9是基于安全指纹用来辅助记忆损伤病人的示例性应用程序的实施的 图。

图10是基于安全指纹的示例性匹配应用程序的实施的图。

图11是基于合并安全指纹的示例性应用程序的实施的图。

具体实施方式

介绍

本公开描述通过用户行为的多因素身份指纹识别。目前存在与各种各样 的信息系统的高频率的用户交互。因此，每一个用户具有可以被跟踪的关键 的大量交互，其因素可以与用户的身份关联。特别地，与用户行为有关的多 个因素被存储在称为简档的数据结构中并且聚集(aggregate)在该简档中作 为用户的行为的历史。该数据结构可以持续存在于计算机可读存储器中。存 储在简档中的用户的交互的至少一些子集可以用于生成身份指纹，该身份指 纹随后构成用户的证书。

因素可以是与用户交互有关的可观察的值的任何模式。这些因素然后可 以在生成身份指纹中用作输入。示例可观察值可以包括跟踪用户何时接入他 们的社交网页的一个，跟踪该网页的网址，跟踪接入该网页的时间，或跟踪 执行的特别动作，诸如发布新的图片或输入评论。当这些可观察量存储在用 户简档中时，它们被称为历史活动。特别地，每当信息系统接收事件通知， 那个事件通知就可以作为历史活动存储在用户的简档中。通常，这些值存储 在简档中并且用于确定诸如一个或更多个应用程序和/或一个或更多个客户 端设备的使用模式以及关联的用户偏好等的因素。

应用程序和/或客户端设备的使用模式是与跟踪什么数据被接入，并且 什么应用程序或客户端设备特征典型地有益于用户相关的因素。使用模式的 示例是确定www.mysocialnet.com是通过称为CoolBrowser.exe的网页浏览 器最通常接入的网站。然而，在生成多因素身份指纹中，使用模式只是一个 考虑因素。

用户行为可以是另一因素。用户行为涉及使用模式与除了应用程序或客 户端设备自身外的其它输入的相关性。示例可以是确定用户典型地每天大约 11:30AM接入www.mysocialnet.com，表示用户在午休期间更新他们的社交 网络记录。另一示例可以是用户典型地在下雨的星期日接入 www.fredspizza.com，表示当下雨时用户典型地不出去吃饭。

用户偏好可以是又一因素。在使用那些应用程序和客户端设备中，应用 程序和客户端设备典型地分别具有表示用户偏好的用户设置。

使用模式、用户行为、和用户偏好仅仅是可以被应用多因素身份指纹识 别的一些因素。上述因素是示例性的并且不意图是限制性的。本质上，因素 可以基于可以被检测和存储的任何值，并且随后可以是用于多因素身份指纹 识别的潜在因素。因素它们自身可以与简档一起被存储，或者另外动态地获 取。

在多因素身份指纹识别中，至少在线存储的用户的简档的一个子集会绑 定到那个用户。在一些实施方式中，用户的身份可以用作那个用户的证书。 这样，信息系统可以在任何时间认证或验证用户的身份。该信息系统可以具 有认证能力，能够接入用户身份指纹或查询用户简档，在系统中构建自身， 或替代地可以将那些功能委派给分离的系统。

在另一实施方式中，安全攻击可以被分类且聚集。由于信息系统不依靠 密码或物理标记，因此该信息系统在用户的会话期间可以对比任何事件或通 知，将它与用户的身份指纹对比，并且确定用户的行为是否与身份指纹一致 或者替代地与对用户的简档的查询一致。由于身份指纹是可容易接入的，因 此不需要请求密码或其它标记而中断用户的会话。因此，可以监视较大的一 组安全检查。这种信息可以被分析以识别安全攻击/威胁监视的模式或用于身 份管理。

在又一实施方式中，身份指纹可以用于发现用户中的使用的类别。由于 身份指纹提供用户的历史的快照，因此身份指纹很难与用户的实际或类似行 为背离。因此，高可信度可以归因于对比和聚集不同的身份指纹。识别的类 别随后可以用于直接广告或获得商业情报。

图1示出多因素身份指纹识别100的一个可能实施方式。具体地，它示 出用户102如何随着时间的流逝而前进并且形成历史简档和身份指纹，该历 史简档和身份指纹随后可以用于认证。

用户102可以具有客户端设备A 104并且将它用于实现与信息系统的交 互106。交互106可能地可以是用户102使用客户端设备A 104来接入称为 www.awebstore.com的网站。用户102可以在交互106期间进行一些购买。

在交互106和后续交互期间收集的可观察的值可以作为历史活动记录通 过简档收集服务108存储在用户简档中。具体地，用户102的历史活动的记 录组是用户102的简档。交互106和后续交互期间收集的信息被转换为用户 102的历史活动的一个或更多个记录。在转换之后，简档收集服务108用数 据存储110中的用户102的简档存储用户102的历史活动的记录。

在用户102随着时间的流逝而前进时，后续交互的历史活动记录也被收 集在用户的简档中。如通过交互112示出的，用户102可以以后使用用户客 户端设备A 104与不同的信息系统交互。例如，交互112可以是用户102使 用用户客户端设备A 104来更新www.mysocialnet.com处的用户的社交网络 记录。再次，在交互112期间的用户102的历史活动被简档收集服务108捕 获并且被存储在数据存储110中。

因此，用户102的简档不需要特别用于特别的站点或特别类型的交互。 其参数可以被捕获的任何可定义的且可观察的用户事件是用来存储作为用 户102的简档的一个或更多个历史活动记录的候选。收集事件信息并且收集 参数以创建历史活动记录参考图3被更详细地描述。

用户102的简档不需要特别用于特别的客户端设备。如通过交互116(该 交互可以在若干其它交互之后)示出的，用户102可以使用不同的客户端设 备(在这里是客户端设备B 114)来与信息系统交互。交互116潜在地可以 是用户102还更新www.mysocialnet.com处的用户102的社交网站记录，可 能通过客户端设备B 104上传刚刚拍摄的照片。再次，简档收集服务108将 交互116转换为与用户102的活动关联的一个或更多个历史记录并且将那些 记录作为用户102的简档的一部分存储在数据存储110中。

当简档收集服务108已经在数据存储110中存储用户的简档的统计学上 大量的用户历史记录时，用户的简档然后可以用于生成身份指纹。如交互118 中示出的，使用客户端设备C 122的未知的用户120可以试图编辑用户102 的www.mysocialnet.com处的社交网络记录。实际上，未知的用户120可以 拥有用户102的密码并且因此登陆www.mysocialnet.com上的用户102的账 户。

在交互118期间，未知的用户120可以试图在www.mysocialnet.com发 布用户102的社交网站记录。发帖试图可以触发被www.mysocialnet.com捕 获的事件，而该事件可以通过基于简档的认证服务126引起认证请求124。 基于简档的认证服务126然后可以将发帖试图转换为可以与用户102的简档 对比的用户活动标记。在转换之后，基于简档的认证服务126可以通过简档 收集服务108查询数据存储110以便获取用户102的历史活动记录的一些子 集。例如，认证请求124可以将获得的记录仅限制到用户102在过去三年的 www.mysocialnet.com活动。

基于简档的认证服务126可以生成到用户的身份指纹中的获得记录的总 结文件。身份指纹包括用户的历史的总结并且可以呈现许多可能的形式。在 一个实施方式中，身份指纹可以识别数种不同的活动，并且存储用户执行那 些活动的频率。在另一实施方式中，身份指纹可以存储该用户的账户可以发 送信息到的其它用户。身份指纹可以被缓存，使得替代基于简档的认证服务 126动态地生成身份指纹，它可以被直接服务。

基于简档的认证服务126然后可以将未知的用户120的活动与身份指纹 关联。例如，如果未知的用户120的贴填有脏话清单上的词，并且用户102 在www.mysocialnet.com帖子中未曾使用脏话，则基于简档的认证服务126 可以报告相对于身份指纹的低的关联。如果该关联充分低，则基于简档的认 证服务126可以发送指示认证失败的错误消息。替代地，如果该关联充分低， 则基于简档的认证服务126可以发送指示认证失败的错误消息。如果不存在 充分的信息以提供统计学上有意义的结论，则基于简档的认证服务126可以 仅仅发送指示没有结论的消息。这样，基于简档的认证服务126可以在认证 期间降低假肯定。

在前述认证讨论中，注意到未知的用户120不必使用与先前由用户102 使用的相同的客户端设备。不是物理地拥有证书，而是认证未知的用户120 基于用户的简档，特别地如用作证书并且从数据存储110容易地可获得的身 份指纹。此外，注意到使用身份指纹的认证可以连同www.mysocialnet.com 的登陆认证独立地或替代地操作。即使未知的用户120具有用户102的密码 证书，那些证书也通过基于简档的认证服务126相对于用户的身份指纹证书 独立地被验证。此外，这种认证过程对未知的用户120是透明的。此外，未 知的用户120不能从用户102获得信息，这是由于用户102的行为方面不能 通过重新收集和/或强制被获取。因此，由于缺少接入基于简档的认证过程， 未知的用户120可能已经能够非法闯入或哄骗www.mysocialnet.com的登陆， 但未知的用户120不能哄骗基于简档的认证过程，这是由于它使用历史行为 属性。未知的用户120只是不能改变用户102的过去三年未曾发帖脏话的历 史。这样，基于简档的认证提供更安全的认证，并且提供与登陆的认证分离 的连续认证和用户必须明确输入证书的其它手段。

诸如www.mysocialnet.com的信息系统如何处理失败的认证可以由信息 系统自身决定，或者可以基于基于简档的认证服务126如何被配置。例如， 对于金融事务或对于涉及敏感的个人信息的事务，基于简档的认证服务126 可以被配置用来仅仅阻止未知的用户120与信息系统交互。对于不太敏感的 情况，基于简档的认证服务126可以被配置成要求未知的用户120提供替代 证书。对于更加不太敏感的情况，基于简档的认证服务126可以被配置用来 仅仅发送以电子邮件、文本消息或其它消息服务的形式的通知到用户102告 知异常事件发生。

基于简档的认证服务126可以被配置成具有多个关联模型。每一个关联 模型是统计模型，该统计模型规定如何计算用户事件和用户简档和/或用户身 份指纹中的历史事件数据的相似性得分。关联模型可以是非常简单的，其中 某些项的存在足以返回零关联的结果。替代地，关联模型可以是非常复杂的， 并且可以包括具有变化的可信度的学习算法。简档认证服务126可以组合不 同的关联模型以在认证结果中获得另外的可信度。可信度模型参考图3被更 详细地讨论。

这样，基于简档的认证可以被配置用来满足不同信息系统的不同认证需 要。基于简档的认证服务126可以暴露应用程序编程接口(“API”)以便编 程地可接入任意信息系统。例如，基于简档的认证服务126可以结合信用卡 公司用于提供关于任意用户的身份的另外标记。这样，用户不需要拥有客户 端设备。实际上，客户端设备自身可以受认证。例如，如果客户端设备用于 实现到用户从未接入的远处的长距离通话，蜂窝服务可以实现相对于基于简 档的认证服务126的认证请求124并且可以要求用户提供另外的证书。基于 简档的认证服务可以被配置用来仅为该身份提供特定的验证答案，诸如是/ 否/不确定，因此保护用户的隐私。

由于基于简档的认证服务126能够服务预计算的/预制的用户身份指纹， 因此基于简档的认证服务126可以用于非认证应用。例如，基于简档的认证 服务126可以被用于用户身份指纹的其它服务128查询以便分析，并且用户 行为的类别因此可以被识别。这些类别结合用户行为的历史可以用于直接广 告或生成一般商业情报。

如果服务128期望可以接入超越身份指纹的更广泛的数据，则服务128 可以直接接入简档收集服务108，该简档收集服务具有存储在数据存储110 中的关键的大量用户历史活动。诸如商业情报或广告定位服务的服务128可 以通过简档收集服务108接入数据存储110中的用户历史活动记录以执行与 认证不相关的查询。其它服务128可以包括如上所述的商业情报和广告应用。 然而，它们也可以包括服务执法数据传讯、身份管理、和威胁管理请求。

通过可以使用身份指纹和用户行为简档的广泛的信息系统，简档收集服 务108和基于简档的认证服务126可以包含计费系统以货币化认证和数据请 求。计费系统可以是分离的模块，或者替代地并入简档收集服务108和基于 简档的认证服务126。例如，简档收集服务108和基于简档的认证服务126 可以将每一个数据和认证请求的记录存储在数据存储110或其它数据存储 中，这然后可以被查询以生成账单。替代地，简档收集服务108和基于简档 的认证服务126可以通过特别的一方存储请求计数，并且可以根据替代计费 布置生成账单，诸如固定费用或服务订购模型。

用于多因素身份指纹识别的示例性硬件环境

图2示出用于多因素身份指纹识别的硬件环境200的一个可能的实施方 式。特别地，图2示出了客户端设备202被配置用来收集用户历史活动数据， 该用户历史活动数据在客户端设备202自身上或者替代地寄宿(host)在服 务器204上并且通过网络连接206被接入。被收集在客户端设备202自身上 的历史活动数据的例子包括俘获键击，接入诸如照片的本地数据，或监视本 地应用程序使用，诸如将网址输入到因特网浏览器中。

图2还示出了客户端设备202被配置用来通过网络连接210连接到如寄 宿在应用程序服务器208上的基于简档的认证服务126和/或简档收集服务 108。

网络连接206涉及作为用户活动的一部分的客户端设备202接入信息系 统，并且网络连接210涉及接入简档收集系统108和/或基于简档的认证系统 126。尽管这些不同的应用程序，网络连接206和网络连接210都可以是用 来连接到远程计算设备的任何方法或系统。这可以以有线和无线通信的形 式。例如，客户端设备202可以是有线以太网局域网上的个人计算机或存储 中的有线销售点系统。替代地，网络连接206和/或210可以是通过用于分组 数据的Wi-Fi或通过蜂窝电话协议的无线连接，该蜂窝电话协议可以包括 CDMA 2000、WCDMA、HSPA、LTE或后继站(successor)蜂窝协议。因此， 网络连接206和210的前述规范不意图被网络协议的选择限制。

在替代实施方式中，客户端设备202可以在本地存储用户历史活动数据 或认证请求。与信息系统服务器204或与基于简档的认证应用程序服务器 208接口不需要通过网络收集。例如，本地存储的用户历史活动数据或认证 请求可以存储在便携式存储条上并且然后用于手动地接入信息服务器204或 基于简档的认证应用程序服务器208。

客户端设备202是具有处理器212和存储器214的任何计算设备。客户 端设备202可选地包括网络接口216。客户端设备202可以是包括智能电话 的蜂窝电话、笔记本电脑、膝上型计算机、个人计算机、或专用计算终端(诸 如销售点系统终端)。客户端设备202还将包括分布式系统，诸如终端接入 中央服务器，如同使用网站首页计算(web top computing)。

客户端设备202的存储器214是任何计算机可读介质，该任何计算机可 读介质可以存储若干程序218并且替代地不可执行的数据(诸如文档和图 片)。计算机可读介质包括至少两种类型的计算机可读介质，即计算机存储 介质和通信介质。计算机存储介质包括以任何方法或技术实现的用来存储信 息的易失和非易失、可移除和不可移除介质，所述信息诸如为计算机可读指 令、数据结构、程序模块、或其它数据。计算机存储介质包括但不限于RAM、 ROM、EEPROM、闪速存储器、或其它存储器技术、CD-ROM、数字通用 光盘(DVD)或其它光学存储装置、磁带盒、磁带、磁盘存储装置或其它磁 性存储装置，或可以用于存储信息以便计算设备接入的任何其它非传输介 质。相比之下，通信介质可以包含计算机可读指令、数据结构、程序模块、 或调制数据信号中的其它数据(诸如载波)，或其它传输机制。如这里限定 的，计算机存储介质不包括通信介质。

程序218包括计算机可读指令，该计算机可读指令包括操作系统和其它 系统功能以及用户应用程序。该操作系统可以支持俘获应用程序事件的能 力。俘获应用程序事件使得程序能够捕获可观察的数据，该可观察的数据随 后可以存储作为用户历史活动记录。示例包括但不限于日志开首句 (journaling hook)和蹦床功能(trampoline function)。通常，俘获的应用程序 事件可以与编程处理程序关联，而该编程处理程序存储与事件的操作关联的 输入和/或输出参数数据。以这种方式，任意用户事件和与应用程序的交互可 以被监视，关联数据存储，并且随后被处理以便转换为一个或更多个用户历 史活动记录。

用户应用程序可以包括被设计用于本地使用的应用程序，诸如文字处理 器或电子数据表。本地应用程序可以包括实用工具，诸如用来监视本地使用 的程序。这类应用程序可以包括但不限于键击监视器和近场通信监视器。替 代地，用户应用程序可以包括被设计用来与远程系统交互的诸如网页浏览器 或云客户端的应用程序。

应用程序服务器208是能够寄宿简档收集系统108和/或基于简档的认 证服务器126的任何计算设备。应用程序服务器208包括处理器220、存储 器222、和网络接口224。按照关于客户端202的前述讨论，存储器222是 包括计算机存储介质和通信介质的任何计算机可读介质。

特别地，存储器222存储程序226，该程序可以包括用于简档收集系统 108和/或基于简档的认证服务器126的操作系统和计算机可读指令。

存储器222也可以存储程序226，该程序可以包括数据库管理系统(如 果数据存储228被配置为数据库)。数据存储228可以被配置为关系数据库、 面向对象数据库、柱状数据库，或支持用户简档和用户历史活动数据的查询 的任何配置。

多因素身份指纹识别的示例性操作

图3示出多因素身份指纹识别过程300的一个可能的实施方式。存在用 于多因素身份指纹识别过程300的至少三个不同因素，包括：(1)基于简档 的认证系统，(2)用户被基于简档的认证系统跟踪且认证，和(3)设法使 用多因素身份指纹识别系统的供应商或信息系统。不同的因素将感知多因素 身份指纹识别过程300的不同子集。特别地，供应商或信息系统的前景将根 据应用程序而变化。一些系统将仅仅使用多因素身份指纹识别系统以便认 证。其它将使用该系统来聚集用户并且识别该组用户的使用模式。

多因素身份指纹识别过程300总体上可以被细分为以下大概的(broad) 子过程：

1.数据收集/用户身份指纹生成302，

2.认证304，和

3.模式检测306。

在方块308中，用户简档被绑定到特别的用户。用户简档将包含用户的 历史活动记录，并且将用于生成用户的身份指纹。由于用户的身份指纹将被 使用，因此用户的证书并且绑定必须是精确的。用户简档不需要绑定到特别 的客户端设备。然而，用户简档可以包含用户总是使用特别的客户端设备的 记录。

绑定可以是静态的或动态的。通过静态绑定，用户可以通过基于简档的 认证系统肯定地创建用户简档记录。在该记录中，用户可以指示典型地被接 入的客户端设备或应用程序。根据这种信息，多因素身份指纹识别系统可以 更容易地确定到来的用户历史活动记录是否与特别的用户简档相关。然而， 绑定不一定是静态的。由于基于简档的认证系统的客户端设备可以跟踪诸如 用户登陆信息的用户身份的标记，因此多因素身份指纹识别系统可以聚集来 自独立于用户的任何静态输入的类似登陆的记录。

动态绑定用户历史活动记录到特别的用户的一个优点是区别碰巧使用 相同的用户账号的不同的用户。例如，单家庭账户可以由该账户的所有者、 该所有者的配偶和该所有者的孩子使用。在这种情况中，基于简档的认证系 统可以正确地生成三个简档(并且随后对应于三个简档的每一个的用户身份 指纹)而不是仅仅一个。因此，多因素身份指纹识别系统不仅不被约束到客 户端设备，它也不被约束到信息系统的特别的用户登录或账号。

在方块310中，客户端设备或与该客户端设备交互的信息系统，收集用 户信息。在一个实施方式中，客户端设备或信息系统得到(enlist in)关联模 型。关联模型可以指定特别的用户事件，或者对于每一个用户事件可以进一 步指定要捕获的数据。用户事件典型地是可以被操作系统事件或通知系统捕 获的与应用程序的交互。例如，如果用户单击按钮，则操作系统可以捕获按 钮单击，并且作为用户信息可以与用户身份一起捕获活动应用程序，按钮身 份。此外，客户端设备或信息系统可以具有事件处理程序，该事件处理程序 执行不专用于捕获的事件的另外的信息查询。例如，除了捕获按钮单击外， 事件处理程序可以运行程序以捕获其他应用程序打开了什么，或者是否存在 任何活动网络会话。

因此，客户端设备可以捕获很宽范围的用户信息。确切地说，这是因为 可以捕获宽范围的可能用户信息，捕获的用户信息可以限于由关联模型指定 的事件和由用于每一个事件的关联模型使用的特定数据。

在方块312中，用户信息被导入相关的关联模型。与客户端设备或信息 系统捕获原始用户信息的方块310相比，在方块312中，用户信息被转换为 用户历史活动记录。特别地，用户信息被解析，并且然后映射到可以被简档 收集服务108导入数据存储110的格式，以便基于简档的认证服务126或其 它服务128后续获得。例如，称为MyApp的应用程序中的用于按钮单击的 原语数据可以以(“OKButton(即OK按钮)”，UserBob，12:12:00PM，MyApp) 的形式出现。这种原语数据可以通过以下变化转换为以下记录(简档111， MyApp:OKButton)：

(1)账户名称UserBob可以映射到具有简档111的标识符的用户简档。

(2)关联模型可以具有应用程序和用户接口元素一起串联成一个单个 字段的格式。在这个示例中，OKButton和MyApp被转换成 MyApp:OKButton。

(3)与特别的关联模型不相关的一些数据可以被消除。在这个示例中， 只是放弃12:12:00PM时间。

任何数量的变换数据动作可以在转换为用户历史活动记录之前相对于 原语用户信息被执行。第三方数据可以被接入以便包括在用户历史活动记录 中。例如，信用卡识别或电话号码识别信息可以被查询且包括在用户历史活 动记录中。另外，数据校验可以被执行。例如，在通过简档收集服务108将 数据装载到数据存储110中之前，客户端可以执行记录格式验证和值校验检 查。

替代地，俘获的事件用户信息不需要专用于特别的关联模型。为了多个 关联模型接入相同的数据，可以存在指定的通用用户历史活动记录。在这个 实施方式中，客户端设备或信息系统可以得到事件而不是关联模型。

转换为用户历史活动记录的用户信息可以被装载到数据存储110中。数 据存储110可以具有单个数据库或多个数据库。与所用的数据库的数量无关， 来自用于多个事件的多个客户端设备的多个用户的数据可以全部被存储在 数据存储110中。

在方块314中，多因素身份指纹识别系统生成用户身份指纹。用户身份 指纹可以在需要时生成或者替代地在后台过程中主动刷新。至少存储在用户 的简档中的子集用户历史记录被用作原语数据以生成用户身份指纹。该用户 身份指纹是用户的历史的总结。用户身份指纹可以仅仅生成用作简单的数值 得分的单个数，诸如生成信用等级或分类等级。在替代方案中，用户身份指 纹可以提供总结相关用户活动的数据包。例如，如果请求系统对用户的信誉 感兴趣，指纹可以报告空头支票的数量，信用卡拒绝的数量，和在存储处执 行的返回用户的数量。身份指纹中的数据不一定是数值的。通过另一例子， 如果请求系统感兴趣用户是否典型地在网站上参与说脏话，身份指纹可以仅 仅存储布尔(Boolean)值。身份指纹中的数据不一定限于由单个系统收集 的数据，而是可以与外部数据组合。通过又一例子，身份指纹可以将空头支 票的数量与由于信用卡诈骗而逮捕用户的记录次数组合。

用户简档和用户身份指纹可以以任何数量的方式被使用。两个可能的实 施方式是在304中被示出的认证的示例和在306中被示出的模式检测的示 例。

认证情况304是根据服务供应商的信息系统请求以认证用户的多因素身 份指纹识别系统的前景。在方块316中，信息系统将俘获信息系统被编程以 执行基于简档的认证请求的事件。在一个实施方式中，信息系统将俘获该事 件和相关的用户数据，将该数据转换为如参考方块312描述的一个或更多个 用户历史活动记录。这些用户历史活动记录将用作用户活动的标记并且作为 认证请求124的一部分被提交到基于简档的认证服务126。

用户活动的标记可以包括宽范围的可能值。表1列举一些可能的标记值：

表1.示例性用户标记

表1不意图是用户标记的详尽清单。用户标记可以来自第三方，诸如信 用检查。用户标记可以通过接口提供到其它信息系统。

在方块318中，基于简档的认证服务126接收认证请求124，并且继续 分析认证请求124。分析可以包括识别对应于认证请求124的关联模型。识 别的关联模型然后将指定用户历史活动记录以从数据存储110获得。关联模 型然后将确定认证请求124中的用户标记是否类似于获得的用户历史活动记 录。在一些实施方式中，关联模型将识别内容模式，例如，将认证请求124 中的用户标记中的脏话程度与历史模式对比。在其它实施方式中，关联模型 将识别使用模式，例如确定是否与在提交购买前用户在历史上观看相同的网 站至少多次相比在浏览网站之后立即作出信用卡付款。在又一实施方式中， 关联模型可以跟踪用户仅在午饭时间期间更新社交网记录的行为模式。

可以分析存储的用户历史活动记录的任意子集。因此，在作出关联的最 终确定之前，该分析可以对比来自不同关联模型的结果。

与使用的关联模型无关，该关联模型可以识别关联度(例如，以相似性 得分的形式)，并且将确定相似性得分是否超过特定的阈值。替代地，关联 模型可以指示特别的确定中的可信度是不足的并且将不作出确定。例如，分 析可以确定关联模型没有充分的用户历史活动记录以作出确定。

用于是否关联的阈值充分高以保证认证可以基于作出认证请求的信息 系统不同。金融事务和个人信息可能需要高的阈值。替代地，一般网站可能 需要相对低的阈值。阈值可以根据用户的交互的范围而变化。例如，每事务 认证可以具有比每会话认证低的阈值。类似地，每会话认证可以具有比跨越 多个会话的交互低的阈值。不同的垂直应用程序可以具有不同的阈值。例如， 医疗信息系统可以具有比娱乐应用程序高的阈值。

分析结果可以以许多不同方式被共享。常见情况可以是发送指示认证的 消息，或者指示不充分数据或拒绝认证的错误消息。替代地，分析结果可以 通过暴露的应用程序编程接口(“API”)直接接入。通过又一例子，分析结 果可以被聚集到单个相似性得分中并且被导出以便由其它应用程序或情况 使用。例如，竞赛网站可以确定用户是用户所声称的人是70％可信的。基于 70％可信度值，可以将竞赛奖金限制到低于具有100％可信度的情况的值。

在方块320中，如果方块310中的分析确定用户认证请求失败，则这被 称为不良事件(adverse event)。不良事件可以基本上实时地被确定，例如， 如果作出认证请求的信息系统是交互系统。替代地，不良事件可以批量地被 确定，例如在收集要在每月账单中提供给用户的有争议的负债记录中。

一旦识别不良事件，不良事件就在方块322中被处理。正如不良事件可 以被实时地或替代地批量地确定，不良事件也可以实时地或替代地批量地被 处理。

不良事件的实时处理可以包括将用户挡在该系统外，或者提供模态对话 框要求用户提供替代的用户证书。对于不太重要的情况，不良事件可以仅仅 被捕获，并且通过电子邮件、文本消息、或其它形式的非同步通信发送通知 给用户。

在方块324中，基于简档的认证服务126可以接收校正关联模型的请求。 关联模型可以被改良，或者可以被取代。例如，如果基于简档的认证服务126 确定存在高度假肯定，其中认证被拒绝，但未知的用户能够提供正确的替代 证书，则关联模型可以在方块326中被标记为有缺陷或受校正，改良或更换。

参考模式检测情况306，服务128可以对用户简档、用户身份指纹、或 两者上执行数据挖掘。

在方块328中，服务128确定期望的数据并且对用户简档、用户身份指 纹或两者执行数据查询。数据查询可以在一些外部关联模型的情况中。当查 询用户身份指纹时，查询可以获得对应于一时间段的预生成的身份指纹。替 代地，查询可以请求新的用户身份指纹通过最近数据被动态地生成。

在方块330中，服务128应用外部关联模型来确定对应于获得的数据的 用户的模式。该模式可以与用户它们自身相关，诸如在识别购买的流行产品 中。在另一例子中，该模式可以涉及历史用户活动，诸如识别认证请求失败 的最常见情况(例如，在威胁评估中)。通过另一例子，外部关联模型结果 可以被分析以检测多因素身份指纹识别系统中的错误，因此提供一种调试设 施。

示例性基于简档的认证应用程序-可移动介质

图4示出多因素身份指纹识别400的示例性应用程序。特别地，图4示 出在服务交付网关(“SDG”)402和第三方计费网关(“3PG”)404基础设施 中装载已存在用户简档信息并且施加多因素身份指纹识别以便可移动设备 400上的可移动设备多媒介内容请求。

考虑宽带码分多址(“WCDMA”)蜂窝提供方。第三方内容提供方406 希望在WCDMA提供方上使用可移动设备410服务付款的内容408给用户。 用来支持第三方数据服务的WCDMA网络的一种可能配置是使用SDG 402 与数据服务412交互。当内容由SDG 402服务时，计费由3PG 404处理。

由于该内容是付费的，因此可能期望实现多因素身份指纹识别来保证所 服务的内容实际上由用户订购。

首先，关键的大量的简档信息必须被收集用于该简档。蜂窝提供方已经 具有宽范围的用户信息源414。源可以包括预先存在的商业情报源416，诸 如信用得分和违约率，用于蜂窝订购的计费信息418，和用于预付款服务客 户的预付款信息420。来自这些用户信息源414的信息可以被装载到数据服 务层412中，其可选地通过隐私引擎422被过滤。

来自用户信息源414的信息通过提取变换和装载例行程序(“ETL”)424 被装载，该ETL 424由ETL模型426通知，并且然后被转换为简档以便存 储到数据存储428中。ETL模型426可以由数据模型和数个规则和约束组成。

一旦该简档被装载，SDG 402就可以通过简档服务430执行认证。特别 地，未知的用户410作出第三方内容提供方406的内容请求。SDG 402可以 具有本地简档客户端或者可以通过接入简档服务430直接执行认证。简档服 务将通过数据存储428接入记录。根据一个或更多个关联模型432，简档服 务430将返回指示是认证、拒绝、或是否不存在充分的信息以作出确定的消 息。

如果未知的用户410被认证，SDG 402和第三方内容提供方406将提供 请求的内容408到用户410，并且第三方内容提供方406将通过3PG 404向 由SDG 402认证的用户410开账单。

否则，第三方内容提供方406将拒绝该请求。可选地，第三方内容提供 方406可以生成报告或发送通知到账户所有者失败的认证。

示例性安全指纹逻辑架构

可以基于简档或独立于简档为客户用户生成安全指纹。基于认证协议， 它们被提供到指纹请求方。图5示出用来支持安全指纹功能的示例性安全指 纹逻辑架构500。

指纹数据库502是安全指纹识别平台的主要数据库。它包含用于安全指 纹应用程序的配置和元数据，过程的监视数据，从企业客户数据源获取的输 入数据和数据挖掘结果数据。所有历史数据被保持直到可配置时间段结束， 例如10年。指纹数据库502可以是关系数据库，或者可以是非SQL或柱状 数据库。

指纹数据库502通过信息集成层504从企业数据资产接收数据。信息集 成层504执行数据获取、联合和集成任务。它支持用于数据集成的多格式、 多协议、实时、近实时、或批量模式。通常，信息集成层504执行用来管理 提取、变换和装载、和从企业数据资产的指纹相关数据的装载时间的任何任 务。

指纹数据库502的主要客户的一个是指纹分析应用程序506。指纹分析 应用程序506是执行用于指纹和指纹生成算法的处理逻辑和/或规则的主应 用程序。它也包含用于过程管理和调度的控制器模块。参考图6和7将进一 步讨论指纹逻辑和/或规则。

指纹服务应用程序508基于请求执行指纹的服务并且也可以执行基于查 询的从指纹的数据的服务。注意，替代地，可以独立于指纹服务应用程序508 查询指纹。指纹服务应用程序508是用来暴露安全指纹数据的服务层。在存 在基于该数据的一组商业服务时，也存在多个客户用户和/或请求方面向的代 理服务，该代理服务被创建以满足商业目的、政策、合同条款和条件。

如前面提及的，指纹可以基于简档，可以支持不同的指纹模式，并且可 以使用各种安全和/或加密协议。客户简档控制台510是用来管理简档数据和 /或隐私信息使用偏好的面向客户的用户接口。

指纹请求方维持账户以允许它们根据订购和安全约束接收指纹。指纹请 求方控制台512是用于指纹请求方的自助接口以管理账号和/或订阅，并且订 购服务和请求支持。

服务质量(“QoS”)部件514和安全部件516在逻辑平台中提供正交于 其它功能的服务。特别地，服务质量(“QoS”)部件514提供系统管理工具 以管理指纹平台和应用程序以确保安全指纹平台在指定的服务水平协议 (“SLA”)内可靠地执行。

安全部件516实施用于认证、授权和其它安全功能的安全协议。特别地， 安全部件516保证到指纹应用程序、服务和指纹数据库的有效接入。它验证 用户、指纹模式、作用、安全证书、认证标记、数字签名等等以符合信息安 全标准和准则。

示例性安全指纹平台架构

图6示出图5中阐述的安全指纹逻辑架构500的一个可能的实施600。

数据首先从若干企业数据资产602被收集。企业数据资产602包括可以 被企业收集或通过第三方获取的任何数据。例如，用于蜂窝运营商的企业数 据可以包括以下：

-客户账户信息；

-客户订购信息；

-客户使用的产品和/或设备(例如，手机，智能电话应用程序)；

-客户作出的订单；

-客户计费历史；

-客户的人口统计；

-客户的网络使用；

-客户报告的客户满意度度量；

-基本上实时的客户的位置和上下文信息；

-通过可移动设备和可移动设备上的应用程序的客户交互；

-商业支持系统/操作支持系统客户记录；和

-对客户的分析操作的结果。

对企业数据资产602的数据收集可以由指纹数据获取应用程序604执 行。指纹数据获取应用程序604可以由信息集成层504的调用服务实现。指 纹数据获取应用程序604可以以许多方式从企业数据资产602接收数据，包 括从各种企业数据资产602接收周期性消息或实时数据流，对企业数据资产 602执行实时数据查询，或者可能地作为批量过程对一个或更多个企业数据 资产602执行周期性提取/变换/装载(“ETL”)功能。

在从企业数据资产602接收数据时，指纹数据获取应用程序604可以对 接收的数据执行各种分析和/或变换。示例包括执行语义分析，对接收的数据 执行规则引擎，在消息队列中排列消息，执行接收的数据流的流后处理 (stream post-processing)，和联合数据。由于可能存在不同的许多企业数据 资产602，指纹数据获取应用程序604可以维持对应数量的数据适配器以支 持各种格式的并且通过各种协议的数据。这样，指纹数据获取应用程序604 具有可扩展模型以支持任意数据格式和/或数据协议。

指纹数据获取应用程序604装载安全指纹数据库606。指纹数据库606 可以支持各种子数据库，该子数据库包括：输入数据，该输入数据是从指纹 数据获取应用程序604最终装载的数据；配置数据，该配置数据是来自客户 用户的简档和/或偏好数据；和结果数据，该结果数据是对指纹数据库606 中的数据执行的分析的结果。

在客户用户610接入时，配置数据通过客户简档控制台608被输入。客 户用户610通过网页或独立应用程序输入简档和/或偏好数据。简档和偏好数 据参考图7被更详细地讨论。

讨论至此已经集中于包括指纹的数据如何进入安全指纹平台600的实 施。讨论将返回到指纹请求方如何从安全指纹平台600的实施接收指纹。

指纹请求方612可以通过指纹请求方控制台614或通过网页服务网关 616请求指纹。指纹请求方控制台614典型地用于维持指纹请求方账户和/ 或订阅、偏好设置、服务问题管理(例如，咨询台)和网页服务目录。指纹 请求方控制台614也可以包括用来请求、接收、和查询指纹的实用程序。如 果指纹请求方是自动过程，则也可以通过网页服务网关616直接接入指纹， 该网页服务网关提供网关到指纹平台600，特别地指纹服务应用程序618。 网页服务网关616利用指纹逻辑架构500的QoS 514和安全部件516。特别 地，网页服务网关616可以提供包括授权、认证、政策执行和路由和中介的 服务。

指纹服务应用程序618对应于图5中的指纹服务应用程序508，并且提 供键接口，该键接口通常通过一组商业服务用来提供指纹。为了跟踪和提供 到网页服务网关616的接入，指纹服务应用程序618可以支持网页服务注册 和一组代理网页服务。

由指纹服务应用程序618执行的指纹的商业服务是通过指纹分析应用程 序620中体现的原语操作。由指纹分析应用程序620提供的指纹原语操作可 以包括用来变换、分析、版本管理(version)、维持和查询指纹的操作。指 纹原语操作参考图7和8被更详细地讨论。

至此，讨论已经集中在如何提供指纹。为了维持和服务指纹安全平台 600，系统管理器622通过系统管理控制台624接入指纹安全平台600。系统 管理控制台624可以接入图5的指纹逻辑架构500中列举的所有部件。特别 地，它可以接入指纹请求方控制台614、网页服务网关616、指纹服务应用 程序618、和指纹分析应用程序620，以及指纹数据库606。因此，系统管理 控制台624可以跟踪指纹的所有方面(从创建到服务以及所提供的指纹的利 用)以便分析。

简档和安全指纹

至此，讨论已经集中于潜在地基于简档的指纹的接收和提供。图7示出 如何可以填充简档的一个可能的安全指纹平台实施700，以及指纹的内部。

客户用户702通过客户简档控制台704接入指纹平台700。客户简档控 制台704可以包括隐私编辑器和简档编辑器。隐私编辑器可以用于设定简档 706中的各种隐私设置并且可以用于创建、更新和删除用于客户用户的指纹 的模式。简档编辑器可以用于编辑非隐私数据字段，诸如客户用户身份字段 (例如，姓名、地址、和身份证号)。简档编辑器也指定哪些企业数据资产 要被封装在客户用户的指纹中。这样，客户用户不需要仅依靠安全功能来防 止接入数据；而是客户首先可以防止数据被包括在指纹中。客户简档控制台 704也支持审查追踪功能以便跟踪简档的改变历史。这个审查追踪可以用于 例如检测未授权的简档改变。通过客户简档控制台704的简档706的改变持 续到安全指纹数据库708。

从安全指纹数据库708通过指纹服务应用程序710生成指纹。指纹服务 应用程序响应于指纹请求通过其商业服务部件生成指纹。商业服务部件可以 根据被封装在指纹分析应用程序712中的原语指纹操作实现功能。由于指纹 可以在网页上被提供，因此指纹服务应用程序710可以维持网页服务注册和 代理网页服务部件。

指纹714一旦生成就将封装对应于客户用户702的数据的一些子集。封 装的数据可以被加密且/或压缩。指纹714可以支持零个、一个或许多个指纹 模式。指纹模式指定该数据的哪部分，哪个指纹请求方和在什么情况下可以 通过查询接入封装的数据。当指纹714接收查询716时，指纹714的模式选 择器检测指纹请求方的身份和上下文，并且选择对应的指纹模式。也可以调 用默认指纹模式。因此，仅仅封装的数据的子集暴露到查询716。然后在暴 露的数据上执行查询，并且数据返回到指纹请求方控制台718或查询应用程 序，并且从而到指纹请求方720。也注意，指纹请求方可以仅仅获得指纹714 以便独立于指纹实施700查询。

示例性原语指纹操作

关于指纹的应用程序，诸如参考图7中的指纹服务应用程序710描述的 那些，通过原语指纹操作被实现。原语指纹操作是用来变换和/或查询指纹的 对指纹的低水平操作。图8示出示例指纹服务应用、原语指纹操作、和来自 企业数据资产的底层数据的交互800。

原语指纹操作可以对指纹、指纹数据库802中的指纹数据、和/或其它 数据(诸如从企业数据资产804直接接入的数据)操作。企业数据资产804 的直接接入可以通过如参考图5描述的信息集成层504服务被实现。

原语指纹操作可以支持以下种类的操作：

-复制和身份原语操作806：指纹可以被唯一地识别。指纹可以被克隆使 得其封装的数据和模式被复制，除了唯一的指纹标识符之外。拷贝/复制原语 操作可以执行这种复制。对比功能可以确定除了唯一的指纹标识符外两个指 纹是否相同。相似性得分函数可以确定两个指纹相似的程度。因此，所述功 能不暴露数据到指纹请求方，封装的数据维持安全，而允许指纹请求方执行 对比。

-聚集原语操作：指纹可以合并或拆分。例如，一组客户用户可以决定 被当作一个实体，例如，相同家庭的四个蜂窝用户可以仅仅希望具有用于整 个家庭的单个指纹。在这种情况中，对应于四个家庭个人的四个指纹可以合 并为一个单个指纹。注意，家庭成员可以选择合并它们的指纹的复制的副本， 因此保留维持个人指纹的选择。合并的反面是拆分。例如，考虑捕获用于丈 夫和妻子的数据的指纹。丈夫和妻子可以设法具有个人指纹，如果他们为彼 此接收产品推荐。因此，拆分操作将检查底层封装数据，识别数据的相容的 群集，并且通过哪些数据属于哪个配偶的最佳猜测将指纹分成两个指纹。

-改变原语操作810：指纹随着时间的过去而演变。它们接收新的底层数 据。它们可以合并或拆分。如果指纹请求方希望知道指纹具有当前数据，可 以调用版本功能以报告版本号和/或创建日期。过期的指纹可以通过调用更新 功能被刷新。这样，大的指纹不需要从头开始被重新生成。更确切地说，仅 需要添加底层数据的增量。也可以锁定指纹以免更新。例如，如果指纹请求 方仅被授权接收指纹持续一段时间，锁定将帮助保证随着时间的过去，指纹 的数据由于数据陈旧而不太有用。

-查询原语操作812：指纹可以被查询。查询原语操作执行对经受目前设 定的模式和任何另外过滤器的指纹的封装的数据的重新查询。设定模式原语 操作被模式选择器用于设定要用于特别查询的模式。设定过滤器原语操作可 以用于添加独立于模式的另外查询条件。也可以指定另外原语操作到列举模 式和过滤器。

应用程序814、816和818是示例性指纹服务应用程序。老年痴呆症 (Alzheimer)的应用程序814参考图9被描述。匹配应用程序816参考图 10被描述。指纹合并应用程序参考图11被描述。

示例性安全指纹架构使用情况

安全指纹架构支持宽范围的使用情况。下面是一些示例性安全指纹架构 使用情况：

记忆增加

图9示出用来跟踪用户行为的指纹服务的应用程序900。一个示例应用 是对于长期失忆或记忆损伤病人跟踪用户行为以便将来获得。例如，考虑病 人，诸如不能记住很多他们的过去的老年痴呆症病人。这种病人可以在发生 事件时记录他们的生活的事件。许多这种数据是个人的，并且应当通过隐私 设置被限制。但病人可能不能维持这种设置。因此，安全指纹可以提供解决 方案。

安全指纹从指纹数据库生成。特别地，指纹封装来自对指纹数据库的查 询的数据。注意，数据的量可能是大的，并且重新生成该指纹可能非常费时 的。因此，记忆增加应用程序可以调用版本管理原语操作810的版本功能以 找出最后更新的时间并且然后执行版本管理原语操作810的更新功能。这样， 仅需要查询最后更新之间的增量。

当进行查询时，它通过查询原语操作812的查询功能。模式选择器确定 查询指纹请求方的身份并且选择模式。如果查询指纹请求方是病人自己，则 所有封装数据通过查询操作812的设定模式功能可用。如果查询指纹请求方 是配偶，则通过将指纹模式设定到专用于配偶的模式，基于配偶的兴趣的封 装数据的较小子集可用。如果查询指纹请求方是护理者，则也可以通过设定 模式功能设置专用于提供医疗数据的模式。

匹配应用程序

图10示出使用安全指纹的匹配应用程序。匹配是引入相容的 (compatible)两个或更多个人。相容性的情况可以包括确定两个人对于预 定日期、专业会议是否足够互补，其中具有相似专业兴趣的人被匹配，或者 服务提供方其技能根据客户需要被匹配。考虑两个客户用户靠近彼此但彼此 不认识的情况。匹配应用程序可以自动地检测两个客户用户是否彼此相容到 他们可能想要彼此介绍的程度。

指纹A留在客户用户A的手机A上。指纹B留在客户用户B的手机B 上。手机A可以具有自动检查相容的接近的客户用户的应用程序。特别地， 当手机A接近手机B时，它可以查询客户用户B的指纹。在接收客户用户 B的指纹时，手机A可以根据复制/识别原语操作806运行相似性得分函数。 如果相似性得分函数超过预定阈值，则该应用程序可以使用查询原语操作 812通过查询操作查询客户用户B的指纹与客户用户A的共有的数据。该应 用程序然后可以发出填充从查询返回的数据的警示消息。由于相似性得分基 于大于客户用户B已经公开的数据量，因此该对比更可能更加精确。此外， 警示消息可以被定制以指定客户用户A和客户用户B最共有什么特征。

来自相同的安全指纹的组和单个身份

安全指纹可以代表个人或一组个人。图11示出两个配偶设法将它们的 指纹合并在一起的情况。考虑丈夫设法为其自己和其配偶识别度假地点的情 况。然而，他的个人指纹A仅仅反映他的个人偏好。首先，丈夫使用拷贝/ 复制原语操作806拷贝他的个人指纹。然后，用户获得其配偶的指纹B并且 使用聚集原语操作808的合并功能将它与他的指纹A的副本合并。该丈夫然 后使用合并的指纹来从专用于度假地点的广告引擎获得警示消息。这样，广 告服务器能够显露该丈夫更可能购买的一组假期，即使该假期可能与这个个 人简档不太相容。因此，与基于简档的常规显露应用程序不同，指纹服务应 用程序能够说明影响购买决定的其它客户用户的期望。

由第三方源增强的安全指纹认证

认证是用户匹配宣称的身份的验证。在基于简档的认证的情况中，如上 所述，当用户的行为匹配安全指纹到预定的可信度阈值时发生验证。

然而，认证不一定仅通过咨询安全指纹被执行。存在一种第三方数据源，该 第三方数据源可以补充安全指纹，但不需要被存储在安全指纹中。例如，用 户的社交网站，诸如Facebook^TM网站可以包含对于安全指纹来说太庞大或冗 余的关于用户的信息。另一个示例是，其中通过安全网服务用户的驱动记录 可接入，安全指纹不需要存储该信息。然而，第三方数据源可以补充认证过 程。特别地，在系统将用户的行为与安全指纹对比的情况下，可信度得分的 计算可以包括以下步骤：(1)确定可信度得分使用的因素，(2)从安全指纹 查询针对可用因素的安全指纹，(3)识别对应于剩余因素的第三方数据源， (4)针对那些剩余的因素查询第三方数据源，(5)如果不是来自第三方数 据源的所有因素不可用，则报告错误，和(6)如果来自第三方数据源的所 有因素是可用的，则计算和返回可信度得分。

一些可信度得分可以有条件地使用第三方数据源。例如，如果第一可信 度得分根据安全指纹被计算，则仅当第一可信度得分不能满足预定阈值时， 利用第三方数据源的第二可信度得分可以被计算。这样，第三方数据源可以 用于提供替代的认证方法。通过另一例子，第一可信度得分可以指定出自一 组指定因素的一些子集是可用的以便计算可信度得分。这样，在一个或更多 个第三方数据源不可用的情况下，认证可以继续进行。

第三方数据源也可以用作安全指纹的简档的输入。例如，可以确定用户 上下文，例如，来自用户的手机地理定位设施的位置和从手机时钟读取的日 期时间。因此，在特别的数据时间戳的用户的地理定位可以被存储在简档中， 以及使用的当前上下文与安全指纹对比。用户输入可以来自通过Bluetooth^TM(蓝牙)或其他连接方法连接的其他输入设备。例如，起搏器或其它医疗设 备读取可以与计算设备对接并且该数据用于存储在安全指纹的简档中。

第三方数据源如何产生商业专用情况的一个示例是医疗数据的收集。借 助安全指纹，保险公司可以验证索赔者实际上处于声称已经引起伤害的事故 的现场。通过另一例子，保险公司或治疗医生可以验证实际上正在进行治疗 或指定的医疗行动的人，诸如作为糖尿病治疗方案的一部分的不吸烟、服用 胰岛素、和饮食改变。

根据上下文调节聚集

如上所述，安全指纹可以根据目标简档被聚集，目标简档是用于如由简 档跟踪的感兴趣的行为因素的一组范围值。这样，个人可以被分组到一起并 且被定向，例如以便广告。然而，可以根据条件触发聚集。特别地，可以执 行以下步骤：(1)接收目标简档，(2)当要执行聚集时指定条件，(3)在接 收条件已经被满足的通知时，(a)查询安全简档数据存储以寻找满足目标简 档的安全指纹，并且(b)将获得的安全指纹聚集到单个安全指纹中。

条件聚集的一种应用程序可以是在体育馆出席足球比赛的定向用户。该 目标简档可以用于主队足球球迷，但仅仅出现在体育馆的球迷被聚集。这样， 聚集的安全指纹可以被定向用于足球商业的广告，且仅仅对物理地位于体育 馆(例如，在体育馆货摊中)的那些人可用。另一应用程序可以是家庭的安 全指纹的条件聚集。目标简档可以用于丈夫和妻子和他们的孩子。当家庭成 员彼此接近(可能如由来自他们的手机的地理定位信息确定的)时，那些接 近的家庭成员的各自的安全指纹被聚集。当那些家庭成员不再接近时，该安 全指纹被解集(disaggregate)。这样，聚集的安全指纹可以被定向用于彼此 接近的家庭成员的广告或推荐，诸如餐馆推荐仅仅定向在那个时间点在一起 的家庭成员的兴趣。

在聚集和解集期间基于可信度的匹配

安全指纹可以被容易地聚集，这是由于聚集仅仅是存储的因素的组合 (可能去除冗余数据)。安全指纹也可以被容易地解集，如果一些指示符， 诸如标记，与指示所关联的原始安全指纹的因素关联。

然而，有时安全指纹需要被解集而没有其构成安全指纹的任何标记。例 如，考虑都具有单个安全指纹的丈夫和妻子。然而，两个离婚了，并且期望 他们自己的各自安全指纹。如果该单个安全指纹最初被生成用于丈夫和妻 子，则不存在原始的丈夫安全指纹和原始的妻子安全指纹。因此，两个安全 指纹将必须由识别一个或另一个的试探程序(heuristics)生成。

安全指纹的聚集也可以基于试探程序。例如，在进行蜂窝计划时，个人 可以首先付款。以后，个人成为蜂窝订阅方。可以存在作为付款的第一安全 指纹(在消费时)和作为订阅方的第二安全指纹。蜂窝公司可能希望基于两 个原始的指纹提取单个指纹。然而，组合该指纹的决定基于试探程序。

聚集和解集试探程序与精确的可信度水平关联。因此，安全指纹的使用 可以根据试探程序的可信度水平被调节。特别地，(1)安全指纹由试探程序 生成，(2)对应于试探程序的可信度水平与生成的安全指纹关联，(3)对生 成的安全指纹进行查询，该查询与可信度水平关联，并且(4)如果安全指 纹满足查询可信度水平，则获得查询的数据，但如果安全指纹不满足查询可 信度水平，则报告错误。这样，可以防止由试探程序生成的安全指纹中的假 可信度。例如，由低可信度试探程序生成的安全指纹可以用于广告，但不用 于认证。

结论

虽然已经以针对结构特征和/或方法学行为的语言描述了该主题，但应当 理解，所附权利要求中限定的该主题不必限于上面描述的具体特征或行为。 更确切地说，上面描述的具体特征和行为被公开作为实施权利要求的示例形 式。