一种安全认证方法、装置、存储介质及服务器

技术领域

本发明实施例涉及移动互联技术领域，尤其涉及一种安全认证方法、装置、存储介质及服务器。

背景技术

生物识别技术目前日益成熟，但出于安全及客户体验考虑，单一生物识别技术的使用具有一定局限性，比如在安全性方面：各类生物识别手段均存在一定的误识情况，导致安全认证存在一定的安全风险。

目前，有方案提出可结合多模态识别手段来提升认证安全等级及场景兼容性，多模态即多模态生物识别是指整合或融合两种及两种以上生物识别技术，利用其多重生物识别技术的独特优势，并结合数据融合技术，使得认证和识别过程更加精准、安全。

但现有技术中，基本是生硬绑定多模态识别的方式，比如人脸加声纹、人脸加指纹等，导致安全认证的灵活性低，导致安全认证成功率下降。

发明内容

本发明提供一种安全认证方法、装置、存储介质及服务器，以采用数据分析和动态认证的方法，提高安全认证的安全等级和用户体验。

第一方面，本发明实施例提供了一种安全认证方法，包括：接收设备发送的安全认证请求以及所述设备的当前状态信息和属性信息；

基于所述当前状态信息和所述属性信息确定所述安全认证请求的风险系数，并基于所述风险系数确定目标认证策略，其中，所述目标认证策略包括至少一种认证类型；

将所述目标认证策略发送至所述设备，并接收所述设备反馈的认证信息，对各所述认证信息进行安全认证，并将认证结果发送至所述设备。

第二方面，本发明实施例还提供了一种安全认证方法，包括：

设备发送的安全认证请求以及所述设备的当前状态信息和属性信息；

安全认证服务器接收所述安全认证请求以及所述设备的当前状态信息和属性信息，基于所述当前状态信息和所述属性信息确定所述安全认证请求的风险系数，并基于所述风险系数确定目标认证策略，并将所述目标认证策略发送至所述设备，其中，所述目标认证策略包括至少一种认证类型；

所述设备将所述目标认证策略中的各认证类型进行提示，并采集各认证类型对应的认证信息，并将各所述认证信息发送至所述安全认证服务器；

所述安全认证服务器接收所述设备反馈的认证信息，对各所述认证信息进行安全认证，并将认证结果发送至所述设备；

所述设备接收所述认证结果，并在所述认证结果为认证成功时执行业务处理。

第三方面，本发明实施例还提供了一种安全认证装置，包括：

信息接收模块，用于接收设备发送的安全认证请求以及所述设备的当前状态信息和属性信息；

策略确定模块，用于基于所述当前状态信息和所述属性信息确定所述安全认证请求的风险系数，并基于所述风险系数确定目标认证策略，其中，所述目标认证策略包括至少一种认证类型；

信息认证模块，用于将所述目标认证策略发送至所述设备，并接收所述设备反馈的认证信息，对各所述认证信息进行安全认证，并将认证结果发送至所述设备。

第四方面，本发明实施例还提供了一种安全认证服务器，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如本发明实施例所述的安全认证方法。

第五方面，本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该计算机程序被处理器执行时实现如本发明实施例所述的安全认证方法。

本发明实施例的技术方案，通过接收设备发送的安全认证请求以及所述设备的当前状态信息和属性信息；基于所述当前状态信息和所述属性信息确定所述安全认证请求的风险系数，并基于所述风险系数确定包括至少一种认证类型的目标认证策略；将所述目标认证策略发送至所述设备，并接收所述设备反馈的认证信息，对各所述认证信息进行安全认证，并将认证结果发送至所述设备，从而通过风险系数实现动态的策略选择，实现保障交易安全性的同时还提升了用户体验。

附图说明

图1为本发明实施例一提供的一种安全认证方法的流程图。

图2为本发明实施例二提供的一种安全认证方法的流程图。

图3为本发明实施例三提供的一种安全认证方法的流程图。

图4为本发明实施例四提供的一种安全认证装置的结构示意图。

图5为本发明实施例五提供的一种安全认证服务器的结构示意图。

具体实施方式

下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释本发明，而非对本发明的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与本发明相关的部分而非全部结构。

实施例一

图1为本发明实施例一提供的一种安全认证方法的流程图，本实施例可适用于根据设备信息实现多模态的安全认证情况，该方法可以由本发明实施例提供的安全认证装置来执行，该装置可采用软件和/或硬件的方式实现，并一般可集成在计算机设备中。例如，安全认证服务器。具体包括如下步骤：

步骤110、接收设备发送的安全认证请求以及所述设备的当前状态信息和属性信息。

在通过诸如手机、平板等的终端设备或者诸如ATM(Automated Teller Machine，自动取款机)等的智能设备访问服务器以进行业务处理之前，需对操作用户进行安全认证，以保证业务处理的安全性。

本实施例中，安全认证请求是为保障用户交易安全的而发起的认证请求，具体的，当用户通过设备进行业务处理时，设备触发安全认证请求，设备向安全服务器发送安全认证请求，并将设备当前状态信息和属性信息也发送至安全认证服务器，安全服务器接收设备发送的安全认证请求以及所述设备的当前状态信息和属性信息，其中，设备包括但不限于：手机、平板电脑、银行自助服务设备。设备可运行多模态软件开发工具包(SoftwareDevelopment Kit,SDK)，使用SDK可以提高开发效率，更简单的接入某个功能。

可选的，所述当前状态信息包括设备环境信息和业务场景信息；所述属性信息包括用户属性信息和设备属性信息。

具体的，设备环境信息是可采集的当前设备所处的环境状态信息，可以包括当前设备联网状态、地理位置信息、设备进行业务处理所利用的应用程序以及设备是否处于root模式等。其中，当前设备联网状态可以包括但不限于移动数据、无线局域网和宽带网络等；地理位置信息可以是实时获取或者基于定时间隔获取的，例如通过GPS装置获取，可选的，还可以是确定设备相对于上一时间戳是否移动，若否，则将上一时间戳的地理位置信息确定为当前时间戳的地理位置信息。当设备发起安全认证请求时，设备通过预设的获取方式获得地理位置信息；设备的系统运行模式可以通过采集设备系统底层代码，根据底层代码权限来判断设备是否为root模式，若在底层代码中检测到最高权限开启，则设备处于root模式，否则设备未处于root模式。

业务场景信息可以为用户办理的具体业务类型，针对不同的应用程序可以对应不同的业务场景信息，示例性的，业务场景信息可以包括但不限于存款、转账、贷款和理财等，在另一些应用程序的应用中，业务场景信息可以包括但不限于交易、付款和收款等。用户属性信息是可用于鉴定当前用户身份唯一性的信息，可以防止他人冒用。用户属性信息可以包括用户身份证号码、姓名或者唯一标识中的一项或多项等。设备属性信息可以包括但不限于设备发起IP、设备指纹、设备型号等，其中设备指纹是指可以用于唯一标识出该设备的设备特征或者独特的设备标识。当前状态信息和属性信息可以由设备采集装置采集而来，采集装置具体可以为摄像头、GPS装置等，也可通过应用程序后台进行采集相关信息，对于固定信息可以是预存的，直接读取。当前状态信息和属性信息是对多个信息源获取的数据和信息，通过对多种数据和信息进行关联、综合评估，从而获得更精确的身份估计，以及对态势和威胁及其重要程度进行全面评估，保障用户交易的安全。

步骤120、基于所述当前状态信息和所述属性信息确定所述安全认证请求的风险系数，并基于所述风险系数确定目标认证策略，其中，所述目标认证策略包括至少一种认证类型。

本实施例中，风险系数是用来衡量安全认证请求的风险程度并以数值表示出来，风险系数越大表明当前安全认证请求风险程度越大，风险系数越小表明当前安全认证请求风险程度越小，根据安全认证请求的风险系数确定目标认证策略。现有的认证策略通常都与设备、业务场景进行绑定，导致认证策略固定不变。例如，办理转账业务，对应的认证策略预先设置为指纹认证，当用户进行办理转账业务时，认证策略只能是指纹验证，不能通过其它方式进行验证。而本实施例通过风险系数确定目标认证策略，可针对风险系数的大小确定不同的目标认证策略，提高高风险的认证安全性，同时降低风险的认证复杂度。

其中，目标认证策略可以是包括多种认证类型的认证策略，认证策略的认证类型包括但不限于人脸识别、指纹识别、语音识别和虹膜识别等可以鉴别身份的认证技术，目标认证策略可以是多种类型的组合，例如人脸识别和语音识别组合进行身份认证，目标认证策略也可以是单独一种认证类型，例如仅通过指纹识别进行身份认证。在一些可选实施例中，目标认证策略为包括至少两种认证类型的认证策略。至少两种认证类型的认证策略，避免单一认证方式的偶发风险，使得认证和识别过程更加精准、安全，并且可以满足用户对不同认证类型的需求，向用户提供更加丰富的选择，提升用户满意度。

在一些可选实施例中，所述基于所述当前状态信息和所述属性信息确定所述安全认证请求的风险系数，包括：基于所述业务场景信息生成场景因子系数；基于所述设备环境信息、用户属性信息和设备属性信息中的至少一项生成风险因子系数；基于所述场景因子系数和所述风险因子系数生成安全认证请求的风险系数。

其中，场景因子系数是对业务场景信息的风险评定结果，不同的业务场景信息对应不同的交易类型，基于交易类型对应的安全等级要求生成对应的场景因子系数。例如，转账交易对应的安全等级要求为中等级，则生成相对应中等级的场景因子系数，贷款业务对应的安全等级要求为高等级，则生成相对应高等级的场景因子系数。风险因子系数是对设备环境信息、用户属性信息和设备属性信息中的至少一项的风险评定结果。

在一些可选实施例中，所述基于所述设备环境信息、用户属性信息和设备属性信息中的至少一项生成风险因子系数，包括：识别所述设备环境信息中的异常信息，基于识别到的异常信息确定风险因子；和/或，基于预设的风险库对所述设备属性信息进行匹配，根据匹配结果生成风险因子；和/或，基于所述用户属性信息确定所述安全认证请求的请求时间和请求类型是否包括异常信息，根据安全认证请求的异常信息生成风险因子；基于各所述风险因子生成风险因子系数。

设备环境信息的异常信息可以为用户联网状态异常、地理位置异常、系统运行模式异常等，例如，用户联网状态异常可以为在用户在办理业务过程中，设备检测到网络中断，对此项异常信息进行风险等级评定，根据风险等级评定结果确定异常信息对应的风险因子；地理位置异常可以为在用户在办理国内业务时，地理位置信息却为国外地址，对此项异常信息进行风险等级评定，根据风险等级评定结果确定异常信息对应的风险因子；系统运行模式异常可以为当检测到当前设备系统运行模式为root模式时，对此项异常信息进行风险等级评定，根据风险等级评定结果确定异常信息对应的风险因子。

风险库为用户预先建立的可造成风险的事件库，与设备属性信息进行匹配，根据匹配结果可生成风险因子。示例性的，当检测到设备属性信息是设备发起的IP，将IP与风险库中的黑名单IP进行比对，如果设备发起IP与黑名单中的任一IP相同，则生成相对应的风险因子，如果设备发起IP与黑名单中的IP不相同，则不生成相对应的风险因子。

安全认证请求的请求时间和请求类型的异常信息可以为请求时间点异常，例如安全认证请求的请求时间为凌晨2点，若用户之前并未在此时间段进行过安全认证请求，将被标定为异常信息，其中，不同用户的非正常工作时间段可根据不同用户区别确定，以各用户的历史业务执行时间确定。请求类型的异常信息可以为当前设备要发起指纹验证，但当前设备没有指纹采集装置，无法进行安全认证，将标定为异常信息，并根据标定的异常信息生成风险因子。

根据设备环境信息、用户属性信息和设备属性信息中的至少一项生成的风险因子生成风险因子系数。其中，风险因子是促使或引起风险事件发生的条件，不同的风险因子具有不同的风险等级，通过在设备环境信息、用户属性信息和设备属性信息中识别出多个风险因子，并确定多个风险因子的对应的风险因子权重，然后将多个风险因子权重通过权重计算或者相加得到最终的风险因子系数。

在一些可选实施例中，所述基于所述当前状态信息和所述属性信息确定所述安全认证请求的风险系数，包括：将所述设备环境信息、业务场景信息、用户属性信息和设备属性信息输入至预先训练的风险识别模型中，输出所述安全认证请求的风险系数。

具体的，风险识别模型可以为根据机器学习算法预先训练好的模型，将设备环境信息、业务场景信息、用户属性信息和设备属性信息输入至风险识别模型中，风险识别模型通过实时在线计算，即可获得安全认证请求的风险系数。其中，机器学习算法包括但不限于深度神经网络、决策树、支持向量机SVM或随机森林等学习模型，对当前状态信息和属性信息进行离线训练，生成风险识别模型，在线输入相应信息至风险识别模型获取风险系数。

步骤130、将所述目标认证策略发送至所述设备，并接收所述设备反馈的认证信息，对各所述认证信息进行安全认证，并将认证结果发送至所述设备。

本实施例中，安全认证服务器将目标认证策略发送至设备，设备反馈与目标认证策略相对应的认证信息至安全认证服务器，其中，认证信息是由设备端的信息采集装置生成的。例如，摄像头采集的人脸信息、指纹识别器采集的指纹信息或麦克风收集的声音信息等可认证用户身份的信息。安全认证服务器对认证信息进行安全认证，安全认证具体为判断设备反馈的认证信息是否与用户预留信息是否匹配，并将安全认证结果返回至设备。

可选的，安全认证结果返回至设备之后还包括设备根据接收的认证结果执行相应的操作，具体为，若设备接收的认证结果为通过认证时，则设备将则执行业务处理，若设备接收的认证结果为未通过认证时，则设备再次发起安全认证请求，返回步骤110继续进行安全认证。需要说明的是，设备进行业务处理过程中，将认证标识和业务请求发送至业务服务器，以使业务服务器基于认证标识向认证服务器发送验证请求，认证服务器根据认证标识查询认证结果，将认证结果反馈至业务服务器，业务服务器接收认证标识对应的认证结果，在确定认证结果为通过认证时，响应业务请求，确保认证信息不会被篡改。

在一些可选实施例中，所述将所述目标认证策略发送至所述设备，并接收所述设备反馈的认证信息，对各所述认证信息进行安全认证，并将认证结果发送至所述设备，包括：生成所述安全认证请求对应的认证标识，将所述目标认证策略和所述认证标识发送至所述设备；接收所述设备反馈的认证信息以及对应的认证标识，基于所述认证标识对各所述认证信息进行安全认证，并将认证结果和所述认证标识发送至所述设备。

其中，认证标识是由安全服务器根据安全认证请求生成的一串字符串，将字符串返和目标认证策略发送至设备，设备反馈的认证信息带上相对应的认证标识的字符串。

可选的，认证标识采用Token技术生成。Token是一种令牌，进行数据请求时携带Token，就无需在进行验证用户名和密码。

具体的，设备发起安全认证请求，安全服务器接收设备发送的安全认证请求后，利用一个变量来接收同时将其作为Token保存在数据库，并将该Token设置到Session中，其中，Session可存储用户所需的属性及配置信息。设备端每次反馈的时候都要统一拦截，并将设备端传递的Token和安全服务器端Session中的Token进行对比，如果相同则放行，不同则拒绝。通过认证标识对各所述认证信息进行安全认证，能有效保障交易策略及交易结果不被篡改，保障交易的安全性。

在一些可选实施例中，所述安全认证请求以及所述设备的当前状态信息和属性信息经过加密处理；所述在接收设备发送的安全认证请求以及所述设备的当前状态信息和属性信息之后，还包括：对所述经过加密处理的安全认证请求以及所述设备的当前状态信息和属性信息进行解密处理；相应的，将所述目标认证策略发送至所述设备，并接收所述设备反馈的认证信息，对各所述认证信息进行安全认证，并将认证结果发送至所述设备，包括：将所述目标认证策略加密处理后发送至所述设备，并接收所述设备反馈的加密认证信息，对各所述加密认证信息进行解密后进行安全认证，并将认证结果加密后发送至所述设备，以使所述设备对接收的认证结果解密后执行业务处理。

其中，加密处理的目的是为了保障设备发送的安全认证请求以及所述设备的当前状态信息和属性信息不被盗取，防止信息伪造情况的发生。加密处理和解密处理可以为对称式加密，例如DES(Data Encryption Standard)算法；也可以为非对称加密，例如RSA(Rivest Shamir Adleman)算法，对此本实施例并不做限定。

本发明实施例提供了一种安全认证方法，通过接收设备发送的安全认证请求以及所述设备的当前状态信息和属性信息；基于所述当前状态信息和所述属性信息确定所述安全认证请求的风险系数，并基于所述风险系数确定包括至少一种认证类型的目标认证策略；将所述目标认证策略发送至所述设备，并接收所述设备反馈的认证信息，对各所述认证信息进行安全认证，并将认证结果发送至所述设备，从而进行智能的策略选择，实现保障交易安全性的同时还提升了用户体验。

实施例二

图2为本发明实施例二提供的一种安全认证方法的流程图。本发明实施例可以与上述一个或者多个实施例中各个可选方案结合，在本发明实施例中，所述基于所述风险系数确定目标认证策略，包括：获取预先设置的各安全认证类型的组合对应的安全系数，所述各安全认证类型的组合中包括至少一种认证类型；将安全系数大于或等于所述风险系数的安全认证类型的组合确定为候选认证策略，并基于所述候选认证策略确定目标认证策略。

如图2所示，本发明实施例的方法具体包括：

步骤210、接收设备发送的安全认证请求以及所述设备的当前状态信息和属性信息。

步骤220、基于所述当前状态信息和所述属性信息确定所述安全认证请求的风险系数，并基于所述风险系数确定目标认证策略，其中，所述目标认证策略包括至少一种认证类型。

步骤230、获取预先设置的各安全认证类型的组合对应的安全系数，所述各安全认证类型的组合中包括至少一种认证类型。

本实施例中，安全认证类型可以包括但不限于人脸识别、指纹识别、语音识别和虹膜识别等可以实现安全认证的技术。预先设置的各安全认证类型的组合对应的安全系数是评估安全认证类型组合安全程度的系数，例如，人脸识别可能会出现双胞胎相似人脸无法很好区分的情况，安全系数为0.6，人脸识别和指纹识别组合进行验证，被模仿或盗用的情况就会大大降低，安全系数标为0.8，虹膜识别技术采集的虹膜很难被模仿，安全系数为0.9。

步骤240、将安全系数大于或等于所述风险系数的安全认证类型的组合确定为候选认证策略，并基于所述候选认证策略确定目标认证策略。

示例性的，根据设备的当前状态信息和属性信息确定的风险系数为0.7，对不同信息方案进行组合，人脸识别和指纹识别组合安全系数为0.8、虹膜识别安全系数为0.9大于风险系数0.7，则上述两种方案确定成为候选认证策略，而仅人脸识别的方案安全系数为0.6小于风险系数0.7，则组合不能成为候选认证策略。

基于所述候选认证策略确定目标认证策略，可以为对多个候选认证策略进行安全系数排序，将安全系数最大值的候选认证策略确定目标认证策略，从而实现交易安全性能最大化；也可以对多个候选认证策略进行组合中包含认证类型数量进行排序，将认证类型最少的候选认证策略确定目标认证策略，从而在保障交易安全的情况下实现用户操作最简化。

可选的，任一所述安全认证类型的组合对应的安全系数基于所述组合包括的至少一种认证类型的权重确定。

示例性的，人脸识别和指纹识别组合的安全系数是由人脸识别的安全系数和指纹识别的安全系数根据权重计算确定而来。

可选的，将安全系数大于或等于所述风险系数的安全认证类型的组合确定为候选认证策略，包括：根据设备属性信息中的设备型号，确定可执行的安全认证类型的组合，将所述可执行的安全认证类型的组合中，安全系数大于或等于所述风险系数的安全认证类型的组合确定为候选认证策略。

示例性的，设备型号可以是手机型号，当检测到手机型号为三星S9，此手机支持虹膜识别功能，人脸识别功能，将其进行组合，从中确定候选认证策略。

可选的，所述基于所述候选认证策略确定目标认证策略，包括：根据用户的历史认证记录生成所述用户的习惯因子，基于所述习惯因子在多个候选认证策略中确定目标认证策略。

其中，用户的习惯因子是安全服务器根据该用户历史的交易数据形成用户画像，主要是结合用户交易类型、设备类型及各类多模态验证的偏好、成功率综合形成用户习惯因子，习惯因子可以是字符串，该字符串中可以包括历史认证记录中各认证类型的使用次数和成功率，将使用次数较多和成功率较高的候选认证策略确定为目标认证策略。本实施例，通过对用户习惯的分析，提高了目标认证策略选择的灵活度，在保证安全的前提下，使认证手段更加贴近用户习惯，提升了用户体验。

步骤250、将所述目标认证策略发送至所述设备，并接收所述设备反馈的认证信息，对各所述认证信息进行安全认证，并将认证结果发送至所述设备。

本发明实施例提供了一种安全认证方法，通过接收设备发送的安全认证请求以及所述设备的当前状态信息和属性信息；基于所述当前状态信息和所述属性信息确定所述安全认证请求的风险系数，并基于所述风险系数确定包括至少一种认证类型的目标认证策略；将所述目标认证策略发送至所述设备，并接收所述设备反馈的认证信息，对各所述认证信息进行安全认证，并将认证结果发送至所述设备，从而进行智能的策略选择，实现保障交易安全性的同时还提升了用户体验。

实施例三

图3为本发明实施例一提供的一种安全认证方法的流程图，本发明实施例可以与上述一个或者多个实施例中各个可选方案结合，在本发明实施例中，具体包括如下步骤：

步骤310、设备发送的安全认证请求以及所述设备的当前状态信息和属性信息。

步骤320、安全认证服务器接收所述安全认证请求以及所述设备的当前状态信息和属性信息，基于所述当前状态信息和所述属性信息确定所述安全认证请求的风险系数，并基于所述风险系数确定目标认证策略，并将所述目标认证策略发送至所述设备，其中，所述目标认证策略包括至少一种认证类型。

步骤330、所述设备将所述目标认证策略中的各认证类型进行提示，并采集各认证类型对应的认证信息，并将各所述认证信息发送至所述安全认证服务器。

步骤340、所述安全认证服务器接收所述设备反馈的认证信息，对各所述认证信息进行安全认证，并将认证结果发送至所述设备。

步骤350、所述设备接收所述认证结果，并在所述认证结果为认证成功时执行业务处理。

具体的，设备接收安全服务发送的认证结果，若认证结果为认证成功时则执行业务处理，若认证结果失败时则执行步骤310，重新进行安全认证。

本发明实施例提供了一种安全认证方法，通过设备发送的安全认证请求以及所述设备的当前状态信息和属性信息；安全认证服务器接收所述安全认证请求以及所述设备的当前状态信息和属性信息，基于所述当前状态信息和所述属性信息确定所述安全认证请求的风险系数，并基于所述风险系数确定目标认证策略，并将所述目标认证策略发送至所述设备，其中，所述目标认证策略包括至少一种认证类型；所述设备将所述目标认证策略中的各认证类型进行提示，并采集各认证类型对应的认证信息，并将各所述认证信息发送至所述安全认证服务器；所述安全认证服务器接收所述设备反馈的认证信息，对各所述认证信息进行安全认证，并将认证结果发送至所述设备；所述设备接收所述认证结果，并在所述认证结果为认证成功时执行业务处理，从而进行智能的策略选择，实现保障交易安全性的同时还提升了用户体验。

实施例四

图4为本发明实施例四提供的一种安全认证装置的结构示意图，如图4所示，所述装置包括：信息接收模块410、策略确定模块420以及信息认证模块430。

其中，信息接收模块410，用于接收设备发送的安全认证请求以及所述设备的当前状态信息和属性信息；

策略确定模块420，用于基于所述当前状态信息和所述属性信息确定所述安全认证请求的风险系数，并基于所述风险系数确定目标认证策略，其中，所述目标认证策略包括至少一种认证类型；

信息认证模块430，用于将所述目标认证策略发送至所述设备，并接收所述设备反馈的认证信息，对各所述认证信息进行安全认证，并将认证结果发送至所述设备。

本发明实施例提供了一种安全认证装置，通过接收设备发送的安全认证请求以及所述设备的当前状态信息和属性信息；基于所述当前状态信息和所述属性信息确定所述安全认证请求的风险系数，并基于所述风险系数确定包括至少一种认证类型的目标认证策略；将所述目标认证策略发送至所述设备，并接收所述设备反馈的认证信息，对各所述认证信息进行安全认证，并将认证结果发送至所述设备，从而进行智能的策略选择，实现保障交易安全性的同时还提升了用户体验。

在本发明实施例的一个可选实施方式中，可选的，所述当前状态信息包括设备环境信息和业务场景信息；所述属性信息包括用户属性信息和设备属性信息。

在本发明实施例的一个可选实施方式中，可选的，策略确定模块420可以包括：

场景因子系数生成单元，用于基于所述业务场景信息生成场景因子系数；

风险因子系数生成单元，用于基于所述设备环境信息、用户属性信息和设备属性信息中的至少一项生成风险因子系数；

风险系数生成单元，用于基于所述场景因子系数和所述风险因子系数生成安全认证请求的风险系数。

在本发明实施例的一个可选实施方式中，可选的，风险因子系数生成单元用于：

识别所述设备环境信息中的异常信息，基于识别到的异常信息确定风险因子；和/或，

基于预设的风险库对所述设备属性信息进行匹配，根据匹配结果生成风险因子；和/或，

基于所述用户属性信息确定所述安全认证请求的请求时间和请求类型是否包括异常信息，根据安全认证请求的异常信息生成风险因子；

基于各所述风险因子生成风险因子系数。

在本发明实施例的一个可选实施方式中，可选的，策略确定模块420可以用于：

将所述设备环境信息、业务场景信息、用户属性信息和设备属性信息输入至预先训练的风险识别模型中，输出所述安全认证请求的风险系数。

在本发明实施例的一个可选实施方式中，可选的，策略确定模块420可以包括：

安全系数获取单元，用于获取预先设置的各安全认证类型的组合对应的安全系数，所述各安全认证类型的组合中包括至少一种认证类型；

目标认证策略确定单元，用于将安全系数大于或等于所述风险系数的安全认证类型的组合确定为候选认证策略，并基于所述候选认证策略确定目标认证策略。

在本发明实施例的一个可选实施方式中，可选的，安全系数获取单元具体用于：任一所述安全认证类型的组合对应的安全系数基于所述组合包括的至少一种认证类型的权重确定。

在本发明实施例的一个可选实施方式中，可选的，目标认证策略确定单元可以用于：

根据设备属性信息中的设备型号，确定可执行的安全认证类型的组合，将所述可执行的安全认证类型的组合中，安全系数大于或等于所述风险系数的安全认证类型的组合确定为候选认证策略。

在本发明实施例的一个可选实施方式中，可选的，目标认证策略确定单元可以用于：

根据用户的历史认证记录生成所述用户的习惯因子，基于所述习惯因子在多个候选认证策略中确定目标认证策略。

在本发明实施例的一个可选实施方式中，可选的，信息认证模块430可以用于：

所述将所述目标认证策略发送至所述设备，并接收所述设备反馈的认证信息，对各所述认证信息进行安全认证，并将认证结果发送至所述设备，包括：

生成所述安全认证请求对应的认证标识，将所述目标认证策略和所述认证标识发送至所述设备；

接收所述设备反馈的认证信息以及对应的认证标识，基于所述认证标识对各所述认证信息进行安全认证，并将认证结果和所述认证标识发送至所述设备。

关于上述实施例中的装置，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。

上述安全认证装置可执行本发明任意实施例所提供的安全认证方法，具备执行安全认证方法相应的功能模块和有益效果。

实施例五

图5为本发明实施例五提供的一种安全服务器的结构示意图。图5示出了适于用来实现本发明实施方式的安全服务器12的框图。图5显示的安全服务器12仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。

如图5所示，安全服务器12以通用计算设备的形式表现。安全服务器12的组件可以包括但不限于：一个或者多个处理器16，存储装置28，连接不同系统组件(包括存储装置28和处理器16)的总线18。

总线18表示几类总线结构中的一种或多种，包括存储器总线或者存储器控制器，外围总线，图形加速端口，处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说，这些体系结构包括但不限于工业标准体系结构(Industry StandardArchitecture，ISA)总线，微通道体系结构(Micro Channel Architecture，MCA)总线，增强型ISA总线、视频电子标准协会(Video Electronics Standards Association，VESA)局域总线以及外围组件互连(Peripheral Component Interconnect，PCI)总线。

安全服务器12典型地包括多种计算机系统可读介质。这些介质可以是任何能够被安全服务器12访问的可用介质，包括易失性和非易失性介质，可移动的和不可移动的介质。

存储装置28可以包括易失性存储器形式的计算机系统可读介质，例如随机存取存储器(Random Access Memory，RAM)30和/或高速缓存存储器32。安全服务器12可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例，存储系统34可以用于读写不可移动的、非易失性磁介质(图5未显示，通常称为“硬盘驱动器”)。尽管图5中未示出，可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器，以及对可移动非易失性光盘(例如只读光盘(Compact Disc-Read Only Memory，CD-ROM)、数字视盘(Digital Video Disc-Read Only Memory，DVD-ROM)或者其它光介质)读写的光盘驱动器。在这些情况下，每个驱动器可以通过一个或者多个数据介质接口与总线18相连。存储装置28可以包括至少一个程序产品，该程序产品具有一组(例如至少一个)程序模块，这些程序模块被配置以执行本发明各实施例的功能。

具有一组(至少一个)程序模块40的程序42，可以存储在例如存储装置28中，这样的程序模块40包括但不限于操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网关环境的实现。程序模块40通常执行本发明所描述的实施例中的功能和/或方法。

安全服务器12也可以与一个或多个外部设备14(例如键盘、指向设备、摄像头、显示器24等)通信，还可与一个或者多个使得用户能与该安全服务器12交互的设备通信，和/或与使得该安全服务器12能与一个或多个其它计算设备进行通信的任何设备(例如网卡，调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口22进行。并且，安全服务器12还可以通过网关适配器20与一个或者多个网关(例如局域网(Local Area Network，LAN)，广域网Wide Area Network，WAN)和/或公共网关，例如因特网)通信。如图所示，网关适配器20通过总线18与安全服务器12的其它模块通信。应当明白，尽管图中未示出，可以结合安全服务器12使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、磁盘阵列(Redundant Arrays of Independent Disks，RAID)系统、磁带驱动器以及数据备份存储系统等。

处理器16通过运行存储在存储装置28中的程序，从而执行各种功能应用以及数据处理。

实施例六

本发明实施例六提供了一种存储介质，其上存储有计算机程序，该程序被处理器执行时实现如本发明实施例所提供的安全认证方法。

当然，本发明实施例所提供的一种存储介质，其上存储的计算机程序不限于如上所述的方法操作，还可以执行本发明任意实施例所提供的安全认证方法。

本发明实施例的存储介质，可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。

计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的源代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。

计算机可读介质上包含的源代码可以用任何适当的介质传输，包括——但不限于无线、电线、光缆、RF等等，或者上述的任意合适的组合。

可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机源代码，所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++，还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。源代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网关——包括局域网(LAN)或广域网(WAN)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。

注意，上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解，本发明不限于这里所述的特定实施例，对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此，虽然通过以上实施例对本发明进行了较为详细的说明，但是本发明不仅仅限于以上实施例，在不脱离本发明构思的情况下，还可以包括更多其他等效实施例，而本发明的范围由所附的权利要求范围决定。