CN106716343B - 通过增强认证的交易验证 - Google Patents
通过增强认证的交易验证 Download PDFInfo
- Publication number
- CN106716343B CN106716343B CN201580052145.9A CN201580052145A CN106716343B CN 106716343 B CN106716343 B CN 106716343B CN 201580052145 A CN201580052145 A CN 201580052145A CN 106716343 B CN106716343 B CN 106716343B
- Authority
- CN
- China
- Prior art keywords
- computer system
- additional authentication
- authentication challenge
- client
- application programming
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
- G06F21/445—Program or device authentication by mutual authentication, e.g. between devices or programs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Developing Agents For Electrophotography (AREA)
- Acyclic And Carbocyclic Compounds In Medicinal Compositions (AREA)
- Collating Specific Patterns (AREA)
Abstract
提供了用于通过增强认证提供交易验证的方法、***和计算机程序产品。由计算机***执行的方法可以包括:接收一个或更多个凭证,以基于第一级别认证来认证从第二计算机***接收的应用编程接口请求;响应于检测到与第二计算机***相关联的改变,产生附加认证挑战,以进一步认证所述应用编程接口请求;向第二计算机***发出所述附加认证挑战;以及基于所述附加认证挑战的结果来处理所述应用编程接口请求。在发出所述附加认证挑战之前,可以使用与第二计算机***相关联的密钥来对所述附加认证挑战进行加密。密钥可以是与存储在第二计算机***上的高安全区域中的私钥相对应的公钥。
Description
相关申请交叉引用
本申请是2014年9月25日提交的美国专利申请No.14/496,160的继续申请并且要求其优先权,在此将其整体一并引入作为参考。
技术领域
本发明总体上涉及计算机***安全,并且更具体地,涉及使用增强认证来验证计算机发起的交易请求。
背景技术
应用编程接口(API)通常指由软件库或计算机***提供的一个或更多个功能、过程、组件和服务的集合。Web API允许客户端通过互联网使用另一个计算机***提供的API服务。然而,Web API可能容易受到各种类型的网络攻击。
例如,对客户端计算机***的接管可以为攻击者提供凭证以及对可从受损客户端访问的web API的无限访问。此外,中间人攻击者可以通过模拟客户端来拦截和使用webAPI认证凭证来访问私人信息、***帐户、银行帐户或其他安全数据。
高限制性的安全措施可以提供增加的Web API安全性。然而,这些措施可能会扰乱合法业务和交易的流动。因此,改进的认证方法可以提供针对接管、中间人和其他类型的网络攻击的更好的保护,同时灵活地接受在计算机***或网络上发生的例行改变而不破坏合法活动。
附图说明
将从下面给出的详细描述和本公开各种示例的附图中更全面地理解本公开的各种示例。在附图中,相似的附图标记表示相同或功能相似的要素。第一次出现要素的附图一般由对应附图标记中的最左侧数字来表示。
图1是示出了根据本公开各种示例的***架构的框图。
图2是示出了根据本公开示例的使用增强认证的交易验证的流程图。
图3是示出了根据本公开示例的使用具有加密的增强认证的交易验证的流程图。
图4是可以执行本文描述的一个或更多个操作的示例性计算机***的框图。
具体实施方式
公开了用于使用增强认证来验证交易的***、方法和计算机程序产品。
在一个示例中,客户端计算机***试图使用由服务器计算机***提供的应用编程接口(API)。服务器从客户端接收密钥,用于对在第一级别认证以外向客户端发出的一个或更多个附加认证挑战进行加密。
在一个示例中,客户端可以在初始账户注册和没置时向服务器提供密钥,并且之后当与客户端相关联的帐户超过交易量阈值时,当与客户端相关联的账户或账户的销售超过金额阈值时,当确定由与客户端相关联的帐户所处理的数据被分类为敏感数据时,基于来自服务器的请求,或在任意其他时间或基于任意其它标准,向服务器提供密钥作为账户或注册更新的一部分。
在一个示例中,客户端发送请求以使用服务器提供的API。客户端还提供一个或更多个认证凭证,以允许服务器基于第一级别认证来认证客户端的API请求。
在一个示例中,服务器认证API请求,分析与客户端相关联的信息(例如,身份、位置、行为等),并检测客户端的一个或更多个属性已经改变。作为响应,服务器产生附加认证挑战,以进一步认证从客户端接收的API请求。在一个示例中,服务器使用从客户端接收的密钥对附加认证挑战进行加密,并将加密的附加认证挑战发送到客户端。
在一个示例中,客户端接收加密的附加认证挑战。在一个示例中,用于对加密的附加认证挑战进行解密的密钥存储在由客户端计算机***的管理员或其他特权帐户拥有的高安全区域中。客户端将加密的附加认证挑战升级为能够访问高安全区域中的解密密钥的特权帐户。然后,特权帐户返回经解密的附加认证挑战以用于进一步处理。
在一个示例中,服务器从客户端接收对加密的附加认证挑战的响应。然后,服务器分析响应,确定附加认证挑战的结果是成功还是不成功,并且基于该结果处理从客户端接收的API请求。
因此,本公开的各方面提供了应用编程接口(API)的改进的安全性,以防止服务器接管和中间人攻击,同时允许在不产生干扰的情况下进行管理和其他合法改变。
图1示出了可以实现本公开的示例的示例性***体系架构100。***架构100包括连接到网络104的服务器机器110、数据存储器180和客户机102A-102N。网络104可以是公共网络(例如,互联网)、专用网络(例如,局域网(LAN)或广域网(WAN))或其组合。在一个示例中,网络104可以包括互联网和/或一个或更多个内联网、有线网络、无线网络和/或其它适当类型的通信网络。在一个示例中,网络104可以包括适于与其他通信网络(例如互联网)通信的无线电信网络(例如,蜂窝电话网络)。
数据存储器180是能够存储各种类型的数据(诸如文本、音频、视频和图像内容)的永久性存储器。在一些示例中,数据存储器180可以是附着于网络的文件服务器,而在其他示例中,数据存储器180可以是诸如面向对象数据库、关系数据库等一些其他类型的永久性存储器。
客户机102A-102N可以是个人计算机(PC)、膝上型计算机、移动电话、平板计算机、服务器计算机、可穿戴计算设备或任何其他计算设备。客户机102A-102N可以运行管理客户机102A-102N的硬件和软件的操作***(OS)。浏览器(未示出)可以在客户机上(例如,在客户机的OS上)运行。浏览器可以是能够访问由服务器机器110的web服务器120提供的内容和服务的web浏览器。其他类型的计算机程序和计算机脚本也可以在客户机102A-102N上运行。
客户机102A一102N各自可以包括web服务器104A、104N和用于存储密钥108A、108N的安全区域106A、106N。Web服务器104A、104N可以包括web和/或应用服务器,其被配置为利用由服务器机器110提供的一个或更多个应用编程接口(API)。API通常是指被提供用于利用可从计算机***或软件库获得的软件组件或其他基于软件的服务的功能的接口。
API可以包括任意基于软件的API,例如操作***API、编程语言API、基于web的API、web服务(SOAP、REST等)、公共API、私有API、专用API、移动API、交易API等。在一些示例中,对由服务器机器110提供的API的使用可以被保护和/或绑定到客户端102A-102N的用户账户。因此,客户端102A可以向服务器机器110提供一个或更多个认证凭证(例如,用户名和/或密码)以使用服务器机器110公开的API。
在一个示例中,客户机102A-102N使用由服务器机器110提供的API来启动和完成各种类型的交易。例如,客户机102A-102N可以使用一个或更多个服务器机器110 API来购买商品、销售商品、转移资金、进行支付、执行各种金融交易等。客户机102A-102N可以与相同的组织相关联,或者可以包括由不同组织操作的计算机***。例如,客户机102A-102N可以由不相关的组织的计算机***组成,每个组织都已经约定使用从服务器机器110上的API提供的服务。
客户端102A-102N各自可以包括用于存储相应密钥108A-108N和其他安全数据的相应安全区域106A-106N。安全区域106A-106N通常指计算机***上的任意区域,其对于用于调用服务器机器110 API的web服务器、应用服务器、计算机程序或处理是分离且不可访问的。例如,安全区域106A可以是由根账户、管理用户或另一用户拥有的存储区域。在一些示例中,对安全区域106A的数据访问需要来自被授权访问安全区域106A的用户或帐户(例如,根、管理员等)的特权提升或辅助。
密钥108A-108N通常指的是确定密码算法或密码的函数输出的一条或多条信息。例如,密钥108A可以用于对各种类型的数据进行加密和/或解密,并且可以包括对称密钥、不对称密钥、散列函数或可以用于加密或解密数据的任何其他数据。密钥108A可以与客户端102A的一个或更多个计算机***相关联。在一个示例中,密钥108A可以与单个客户端102A计算机***相关联或者与多个客户端102A-102N相关联。
服务器机器110可以是机架式服务器、路由器计算机、个人计算机、便携式数字助理、移动电话、膝上型计算机、平板计算机、相机、摄像机、上网本、台式计算机、媒体中心或其任意组合。服务器机器110可以包括web服务器120和交易认证***130。在一些示例中,web服务器120和交易认证***130可以在一个或更多个不同的机器上运行。
web服务器120可以从数据存储器180向客户端102A-102N提供文本、音频和视频图像。Web服务器120还可以向客户端102A-102N提供基于web的应用服务和业务逻辑。客户端102A-102N可以使用诸如web浏览器、web服务器、应用服务器、计算机程序等应用来从web服务器120定位、访问和消费各种形式的内容和服务。web服务器120还可以从客户端102A-102N接收保存在数据存储器180中的文本、音频、视频和图像内容,用于对内容进行保存和分发之类的目的。此外,web服务器120可以从各种客户端102A-102N接收API请求。
在一个示例中,web服务器120耦接到向客户端102A-102N提供应用、服务和交易API的一个或更多个应用服务器(未示出)。例如,web服务器120可以向客户端102A-102N提供对一个或更多个应用服务的访问,这些应用服务包括但不限于金融业务、电子商务、电子邮件、社交网络等。这样的功能还可以被提供为例如一个或更多个不同的web应用、独立应用、***、插件、web浏览器扩展和应用编程接口(API)。在一些示例中,插件和扩展可以单独地或共同地称为附加组件(add-on)。
在一个示例中,某些客户端102A-102N可以包括与由服务器110提供的服务相关联的应用。在一个示例中,一个或更多个设备类型(例如,智能电话、智能电视、平板计算机等)可以使用应用来访问由服务器110提供的内容,向服务器110发出命令和/或在不访问或使用网页的情况下从服务器110接收内容。
在一个示例中,由服务器110和/或web服务器120执行的功能也可以由客户机102A-102N全部或部分地执行。另外,归属于特定组件的功能可以由一起操作的不同或多个组件执行。服务器110还可以作为经由适当的应用编程接口提供给其他***或设备的服务而被访问,并且因此不限于与网站一起使用。
在示例中,交易认证***130包括API请求接收器模块140、API安全管理器模块150和API请求处理器模块160。在其他示例中,与API请求接收器模块140、API安全管理器模块150和API请求处理器模块160相关联的功能可以按照各种布置进行组合、划分和组织。
在一个示例中,API请求接收器模块140接收由客户端102A-102N向服务器机器110发送的API请求。例如,API请求接收器模块140可以接收从客户端102A向在服务器机器110上运行的web或应用服务器发送的API请求。API请求接收器模块140还可以从客户端102A接收一个或更多个API凭证,例如以认证客户端对安全API的使用。
在一个示例中,API安全管理器模块150接收用于执行服务器机器110 API请求的附加认证的密钥。例如,API安全管理器模块150可以从一个或更多个客户端102A-102N中的每一个接收相应的密钥。在一个示例中,API安全管理器模块150从客户端102A接收密钥,将接收的密钥与客户端102A相关联,并且存储接收到的密钥,以对要向客户端102A发出的一个或更多个附加认证挑战进行加密。
在一个示例中,客户端102A在初始账户注册和设置时向服务器机器110提供加密密钥,并且之后当与客户端102A相关联的帐户超过交易量阈值时,当与客户端102A相关联的账户或账户的销售超过金额阈值时,当确定由与客户端102A相关联的帐户所处理的数据被分类为敏感数据时,基于来自服务器的请求,或在任意其他时间或基于任意其它标准,向服务器提供加密密钥作为账户或注册更新的一部分。
在一个示例中,API安全管理器模块150在注册过程期间将客户端提供的密钥与特定客户端102A或多个客户端102A-102N相关联,其中一个或更多个客户端102A-102N被配置为访问由服务器机器110提供的安全API。在一个示例中,API安全管理器模块150识别和存储关于与客户端提供的密钥相关联的一个或更多个客户端102A-102N的信息。例如,API安全管理器模块150可以收集与一个或更多个客户端102A-102N中的每一个相关的标识信息(例如,机器名、IP地址、MAC地址、域、网络信息、网络路径等)。这样的信息可以包括对于客户端102A唯一的属性和关于客户端已知的其他一般信息(例如,典型的交易周期、频率、量等)。API安全管理器模块150可以在相应的客户端配置文件中针对一个或更多个客户端102A-102N中的每一个存储这样的信息。
在一个示例中,API安全管理器150将关于客户端102A已知的标识信息与在另一时间从客户端102A收集、汇集或接收的新的相应信息进行比较。例如,API安全管理器模块150可以将关于客户端102A已知的标识信息与在从客户端102A接收到API接口请求时收集或与其相关联的信息进行比较。
在一个示例中,API安全管理器模块150基于以下一个或更多个来检测与客户端102A相关联的改变:与客户端102A相关联的标识信息、与客户端102A相关联的网络信息、由客户端102A对服务器110 API的使用、从客户端102A接收的API请求的交易属性等。例如,响应于检测到与客户端102A的身份和/或行为相关联的一个或更多个改变,API安全管理器模块150可以产生一个或更多个要向客户端102A发出的附加认证挑战。
附加认证挑战通常指的是由API安全管理器模块150执行的第二或额外级别的认证,从而在第一级别认证以外还进一步认证客户端102A。在一些示例中,考虑到检测到的与客户端102A相关联的改变,当客户端102A展现出与过去观察到的客户端102A行为模式相偏离的可疑行为时,除了第一级别认证以外,API安全管理器模块150可以基于客户端102A请求(例如,在客户端102A注册期间)随机地产生并向客户端102A发出一个或更多个附加认证挑战,以进一步认证从客户端102A接收到的服务器机器110 API请求等。在一些示例中,第一级别认证挑战可以请求客户端102A提供一个或更多个凭证,诸如用户名、密码、PIN、密码短语等。
在一个示例中,附加认证挑战可以请求客户端102A求解一个或更多个数学计算,回答一个或更多个问题或者执行一个或更多个任务。在一个示例中,API安全管理器模块150向客户机102A发出附加认证挑战,并请求客户端102A执行从特定计算机***或网络位置获得资源(例如,文件)的任务。
在一个示例中,API安全管理器模块150发出涉及一个或更多个数学问题的附加认证挑战。例如,API安全管理器模块150可以请求客户端102A求解数字、方程、谜题或用语言描述的数学问题的数学问题。在一个示例中,API安全管理器模块150要求客户端102A为具有至少两个正确答案(例如,正确的肯定答案和否定答案等)的数学问题提供多个答案。
在一个示例中,API安全管理器模块150使用已经与客户端102A相关联的密钥对为客户端102A产生的附加认证挑战进行加密。在一个示例中,在向客户端102A发出附加认证挑战之前,API安全管理器模块150用与客户端102A相关联的密钥对附加认证挑战进行加密。例如,API安全管理器模块150可以在为了利用服务器机器110 API的注册过程期间,使用先前从客户端102A接收的密钥来对附加认证挑战进行加密。
在一个示例中,由API安全管理器模块150接收的客户端102A提供的密钥可以用于在服务器机器110和客户端102A之间执行对称或非对称加密/解密中的一个。在一个示例中,由客户端102A提供给API安全管理器模块150的密钥108A可以用于对附加认证挑战进行加密和解密。在另一示例中,客户端可以向API安全管理器模块150提供密钥,用于对附加认证挑战进行加密,而客户端102A随后使用相应但不同的密钥108A对加密的附加认证挑战进行解密。例如,客户端102A可以向API安全管理器模块150提供用于加密数据的公钥,而客户端102A使用存储在由管理用户帐户拥有的高安全区域106A中的私钥108A对该数据进行解密。
在示例中,API安全管理器模块150向客户端102A发出附加认证挑战,并等待响应。在一个示例中,客户端102A接收从API安全管理器模块150发出的加密的附加认证挑战。例如,客户端102A上运行的web服务器104A、应用服务器或其他计算机程序可以从API安全管理器模块150接收加密的附加认证挑战。客户端102A上运行的web服务器104A、应用服务器或其他计算机程序随后可以将加密的附加认证挑战升级为有权访问安全区域106A的特权用户帐户或进程,所述安全区域106A保存了用于对加密的附加认证挑战进行解密的密钥108A。升级的用户或进程然后可以对附加认证挑战进行解密并将结果返回给客户端102A的调用web服务器104A、应用服务器或其他计算机程序。客户端102A然后可以处理附加认证挑战并且将相应的响应返回给API安全管理器模块150以进行评估。
在一个示例中,API安全管理器模块150在发出附加认证挑战之后等待一段时间,以允许客户端102A接收、处理和响应附加认证挑战。在一个示例中,API安全管理器模块150允许客户端102A在发生基于阈值的超时之前响应于所发出的附加认证挑战。此外,当API安全管理器模块150在超时发生之前没有从客户端102A接收到响应时,可以发出新的附加认证挑战,可以重发所发出的附加认证挑战,或者可以认为发出的认证挑战失败而无需进一步尝试。
在一个示例中,API安全管理器模块150从客户端102A接收对所发出的附加认证挑战的响应,分析从客户端102A接收的对附加认证挑战的响应,并且确定对附加认证挑战的响应是否是正确或可接受的。在一个示例中,API安全管理器模块150然后基于该确定向API请求处理器模块160提供附加认证挑战的结果。例如,API安全管理器模块150可以指示向客户端102A发出的附加认证挑战是成功还是不成功的。
在一个示例中,API请求处理器模块160基于附加认证挑战的结果执行一个或更多个活动。例如,API请求处理器模块160可以基于附加认证挑战的成功结果来执行从客户端102A接收的服务器110 API请求。API请求处理器模块160还可以在接收到不正确的响应或者没有对附加认证挑战提供响应时,拒绝来自客户端102A的服务器机器110 API请求。
在一个示例中,API请求处理器模块160阻止来自与不成功的附加认证挑战相关联的客户端102A的一个或更多个未决或后续服务器机器110 API请求。API请求处理器模块160还可以阻止来自和与不成功的附加认证挑战相关联的另一客户端相关的客户端102A-102N的一个或更多个未决或后续服务器机器110 API请求。例如,在这种情况下可以阻止与用户帐户相关联或与约定使用服务器机器110 API的一方相关联的多个客户端102A-102N。
在一个示例中,当发生不成功的附加认证挑战和/或响应于不成功的附加认证挑战进行了安全调整时,API请求处理器模块160向与客户端102A帐户、服务器110帐户或合同方相关联的用户发送通知。例如,API请求处理器模块160可以通过发送电子邮件、发起呼叫、发送文本消息等来通知帐户持有者。在一些示例中,API请求处理器模块160基于附加认证挑战的结果来调整与一个或更多个客户端102A-102N或帐户相关联的风险模型。
图2是示出了根据本公开示例的使用增强认证的交易验证的流程图。方法200可以通过可以包括硬件(例如,电路、专用逻辑、可编程逻辑、微代码等)、软件(例如,在通用计算机***、专用机器或处理设备上运行的指令)、固件或其组合在内的处理逻辑来执行。
方法200在框202处开始,其中交易认证***130的API请求接收器模块140接收一个或更多个凭证以基于第一级别认证来认证从第二计算机***接收的应用编程接口(API)请求。在一个示例中,API请求接收器模块140接收一个或更多个凭证以认证来自客户端102A的服务器机器110 API请求。例如,客户端可以被提示或使用可用API来提供用户名、密码、PIN、密码短语等中的一个或更多个,以满足与服务器机器API相关联的第一级别认证。在一个示例中,API请求接收器模块140从客户端102A接收随API请求的客户端102A凭证。这样的凭证可以由客户端102A例如在会话开始时提供一次,在整个会话期间提供一次或多次,或一般地提供任意次数。
在框204,交易认证***130的API安全管理器模块150向第二计算机***发出附加认证挑战,以进一步认证应用编程接口请求。在一个示例中,API安全管理器模块150产生附加认证挑战,以在标准的第一级别认证以外进一步认证来自客户机102A的服务器机器110API请求。例如,API安全管理器模块150可以产生向请求访问或使用服务器机器110 API的客户端102A发出的附加认证挑战。
在一个示例中,响应于检测到与客户端102A相关联的改变,API安全管理器模块150产生并向客户端102A发出附加认证挑战。例如,API安全管理器模块150可以检测身份改变、网络改变、行为改变、可疑交易行为或与客户端102A相关联的其他变化。作为响应,API安全管理器模块150可以产生并向与检测到的改变相关联的相应客户端102A发出一个或更多个附加认证挑战。
在一个示例中,API安全管理器模块150从客户端102A接收对附加认证挑战的响应。API安全管理器模块150然后分析对附加认证挑战的响应以确定该响应是否正确。在一些示例中,客户端102A例如使用SSL提供对附加认证挑战的加密响应,以保护数据隐私并保护数据免于未经授权的拦截。在一个示例中,API安全管理器模块150基于该确定向API请求处理器模块160提供附加认证挑战的结果。例如,由API安全管理器模块150提供的结果可以指示附加认证挑战是否成功。
在框206,交易认证***130的API请求处理器模块160基于附加认证挑战的结果处理接收到的应用编程接口请求。在一个示例中,服务器机器110 API的API请求处理器模块160基于成功的附加认证挑战结果来执行从客户端102A接收的请求。在一个示例中,API请求处理器模块160基于不成功的附加认证挑战结果而拒绝来自客户端102A的服务器机器110 APT请求。
在一个示例中,API请求处理器模块160基于不成功的附加认证挑战结果阻止来自客户端102A的一个或更多个未决和/或后续服务器机器110 API请求。在一个示例中,API请求处理器模块160阻止来自与一个或更多个不成功的附加认证挑战相关联一组客户端102A-102N的一个或更多个未决和/或后续服务器机器110 API请求。例如,可以响应于一个客户端102A的不成功的认证挑战结果而阻止与约定使用服务器机器110 API的帐户或一方相关联的两个或更多个客户端102A-102N的组。
在一个示例中,API请求处理器模块160响应于一个或更多个不成功的附加认证挑战(例如,单个不成功结果、多个连续不成功结果、采样结果中超过预定义阈值的不成功结果的比例等),通知用户、客户端账户持有者或服务器机器110 API所有者中的一个或更多个。例如,API请求处理器模块160可以发送电子邮件、发起呼叫、发送文本消息等。API请求处理器模块160还可以基于附加认证挑战的结果来调整与一个或更多个客户端102A-102N相关联的风险模型。例如,客户端102A信任级别可以响应于成功的结果而提高,并且可以响应于不成功的结果而降低。
图3是示出了根据本公开示例的使用具有加密的增强认证的交易验证的流程图。方法300可以通过可以包括硬件(例如,电路、专用逻辑、可编程逻辑、微代码等)、软件(例如,在通用计算机***、专用机器或处理设备上运行的指令)、固件或其组合在内的处理逻辑来执行。
方法300在框302处开始,其中交易认证***130的API安全管理器模块150接收用于对要向第二计算机***发出的一个或更多个附加认证挑战进行加密的密钥。在一个示例中,API安全管理器模块150接收用于对要向客户端102A发出的附加认证挑战进行加密的密钥。例如,API安全管理器150可以从客户端102A接收密钥作为注册过程的一部分,其中通过所述注册过程客户端102A被配置为访问服务器110 API。在一个示例中,API安全管理器150从用于对要向客户端102A发出的附加认证挑战进行加密的PGP密钥对接收公钥。公钥对应于存储在客户端102A的安全区域106A中的私钥108A,并且被有权访问安全区域106A的特权客户端102A帐户用来对附加认证挑战进行解密。
在框304,交易认证***130的API请求接收器模块140从第二计算机***接收应用编程接口请求。在一个示例中,API请求接收器模块140从客户端102A接收服务器机器110API请求。例如,客户端102A可以向服务器机器110发送API请求以调用提供金融业务、电子商务、电子邮件、社交网络或其他服务的API。
在框306,API请求接收器模块140接收一个或更多个凭证,以基于第一级别认证来认证应用编程接口请求。在一个示例中,API请求接收器模块140从试图访问服务器机器110API的客户端102A接收一个或更多个第一级别认证凭证。第一级别认证凭证可以包括用户名、密码、PIN、密码短语等的任意组合。在一个示例中,API请求接收器模块140接收随API请求的一个或更多个第一级别认证凭证。在另一示例中,API请求接收器模块140在与API请求分开的客户端102A通信中接收第一级别认证凭证。
在框308,API安全管理器模块150检测与第二计算机***相关联的改变。在一个示例中,API安全管理器模块150收集和存储关于一个或更多个客户端102A-102N的信息。例如,API安全管理器模块150可以收集与一个或更多个客户端102A-102N中的每一个相关的标识或其他信息(例如,机器名、IP地址、MAC地址、域、网络信息、网络路径等)。这样的信息可以包括对于客户端102A唯一的属性和关于客户端102A已知的其他一般信息(例如,典型的交易周期、频率、量等)。在一个示例中,API安全管理器模块150在相应的客户端配置文件中针对一个或更多个客户端102A-102N中的每一个存储这样的信息。
在一个示例中,API安全管理器150将关于客户端102A已知的信息与在另一时间从客户端102A收集、汇集或接收的新的相应信息进行比较。例如,API安全管理器模块150可以将关于客户端102A已知的标识信息与从客户端102A接收的API接口请求相关联的信息进行比较。在一个示例中,API安全管理器模块150基于客户端102A标识信息、客户端102A网络信息、常规客户端102A行为、API请求的交易属性、客户端102A API请求的频率等中的一个或更多个来检测与客户端102A相关联的改变。
在框310,API安全管理器模块150产生附加认证挑战,以进一步认证应用编程接口请求。在一个示例中,响应于检测到与客户端102A的身份或行为相关联的一个或更多个改变,API安全管理器模块150产生附加认证挑战。
在一个示例中,由API安全管理器模块150产生的附加认证挑战可以包括一个或更多个数学计算、一个或更多个基于事实的、预定或秘密的问题或一个或更多个任务。在一个示例中,API安全管理器模块150产生附加认证,要求客户端102A执行从某一位置获得资源(例如,文件、数据)的任务。
在框312,API安全管理器模块150向第二计算机***发出附加认证挑战。在一个示例中,API安全管理器模块150向客户端102A发出附加认证挑战,以在第一级别认证以外进一步认证客户端102A的身份。例如,响应于检测到与客户端102A相关联的改变,API安全管理器模块150可以向客户端102A发出附加认证挑战。在一些示例中,API安全管理器模块150识别与客户端102A相关联的身份改变、网络改变、行为改变、可疑交易属性或行为或观察到的与客户端102A相关联的其他不同。
在一个示例中,API安全管理器模块150稍后从客户端102A接收对附加认证挑战的响应,并分析该响应以确定结果。API安全管理器模块150然后可以基于该确定向API请求处理器模块160提供附加认证挑战的结果。例如,API安全管理器模块150提供的结果可以指示客户端102A提供了对附加认证挑战的正确还是不正确的响应。
在框314,API请求处理器模块160基于附加认证挑战的结果处理应用编程接口请求。在交易认证***130的API请求处理器模块160中,基于附加认证挑战的结果,处理从客户端102A接收的API请求。在一个示例中,服务器机器110 API的API请求处理器模块160基于成功的结果来执行服务器机器110 API请求。在另一示例中,API请求处理器模块160基于不成功的结果拒绝服务器机器110 API请求。
在示例中,当附加认证挑战不成功时,API请求处理器模块160通知一个或更多个用户、帐户持有者或其他方。例如,API请求处理器模块160可以通过发送电子邮件、发起呼叫、发送文本消息等来提供通知。在一个示例中,API请求处理器模块160基于附加认证挑战的结果来调整与一个或更多个客户端102A-102N相关联的风险模型。例如,客户端102A信任级别可以响应于成功的结果而提高,并且可以响应于不成功的结果而降低。
图4示出了具有计算机***400的示例形式的机器的示图,在计算机***400中,可以执行一组指令以使所述机器执行本文讨论的方法中的任意一个或更多个。在其他示例中,机器可以连接(例如,联网)到LAN、内联网、外联网或互联网中的其他机器。机器可以在客户端-服务器网络环境中以服务器机器或客户机的能力进行操作,或者作为对等(或分布式)网络环境中的对等机器进行操作。机器可以是个人计算机(PC)、平板PC、机顶盒(STB)、个人数字助理(PDA)、蜂窝电话、网络家电、服务器、网络路由器、交换机或桥接器、或能够(顺序地或以其他方式)执行指定要由机器进行动作的指令集合的任何机器。此外,虽然只示出单个机器,但是术语“机器”还应当指包括单独或共同地执行指令集合(或多个集合)以执行本文描述的任意一个或更多个方法的机器的任意集合。
示例性计算机***400包括经由总线430彼此通信的处理设备(处理器)402、主存储器404(例如,只读存储器(ROM)、闪存、动态随机存取存储器(例如同步DRAM(SDRAM)、双数据率(DDR SDRAM)或DRAM(RDRAM))等)、静态存储器406(例如,闪存、静态随机存取存储器(SRAM)等)和数据存储设备418。
处理器402表示一个或更多个通用处理设备,例如微处理器、中央处理单元等。更具体地,处理器402可以是复杂指令集计算(CISC)微处理器、精简指令集计算(RISC)微处理器、超长指令字(VLIW)微处理器或实现其他指令集的处理器或实现指令集的组合的处理器。处理器402还可以是一个或更多个专用处理设备,例如专用集成电路(ASIC)、现场可编程门阵列(FPGA)、数字信号处理器(DSP)、网络处理器等。处理器402被配置为执行用于执行本文所讨论的操作和步骤的指令422。
计算机***400还可以包括网络接口设备408。计算机***400还可以包括视频显示单元410(例如,液晶显示器(LCD)或阴极射线管(CRT))、字母数字输入设备412(例如键盘)、光标控制设备414(例如,鼠标)和信号产生设备416(例如,扬声器)。
数据存储设备418可以包括计算机可读存储介质428,在该介质上存储了表现本文描述的任意一个或更多个方法或功能的指令422(例如,软件)的一个或更多个集合。指令422还可以在其通过计算机***400执行期间完全或至少部分驻留在主存储器404和/或处理器402内,主存储器404和处理器402还构建了计算机可读存储介质。还可以经由网络接口设备408通过网络420发送或接收指令422。
在一个示例中,指令422包括用于交易认证***(例如,图1的交易认证***130)的一个或更多个模块的指令和/或包含调用交易认证***130的方法在内的软件库。尽管在示例中将计算机可读存储介质428(机器可读存储介质)示为单个介质,但是术语″计算机可读存储介质″应当被视为包括存储一个或更多个指令集合的单个介质或多个介质(例如,集中式或分布式数据库和/或关联的缓存和服务器)。术语“计算机可读存储介质”还应被视为包括能够存储、编码或承载被机器执行、并且使该机器执行本文公开的方法中的任意一个或更多个的指令集合的任意介质。术语“计算机可读存储介质”因此应当被看做包括但不限于固态存储器、光介质和磁介质。
在前面的描述中,阐述了许多细节。然而,对于了解了本公开的本领域普通技术人员将显而易见的是,本公开可以在没有这些具体细节的情况下实施。在一些实例中,以框图形式而不是具体地示出了公知的结构和设备,以避免对本公开造成混淆。
已经在计算机存储器内的数据位的操作的算法和符号表示方面呈现了详细描述的一些部分。算法在这里通常被设想为导致期望结果的自相一致的步骤顺序。步骤是需要物理量的物理操纵的步骤。通常(尽管并不一定),这些量采用能够被存储、传送、组合、比较和以其它方式操纵的电或磁信号的形式。已证明为了方便,为通常使用的原因,这些信号可以利用比特、值、元素、符号、特征、项、数字等来进行表示。
然而,应当记住,所有这些和类似的术语将与适当的物理量相关联,并且仅仅是应用于这些量的方便的标记。除非如以下讨论中显而易见的另外明确指出的声明,否则应当意识到:在说明书全文中,使用诸如“计算”或“比较”或“应用”、“发送”、“接收”、“处理”等之类的术语的讨论指代计算机***或类似电子计算设备的动作和进程,该计算机***或类似电子计算设备将表示为计算机***的寄存器和存储器中的物理(电子)量的数据操纵和变换为类似表示为计算机***存储器或寄存器或其他这种信息存储、传输或显示设备中的物理量的其他数据。
本公开的某些示例还涉及用于执行这里的操作的装置。该装置可以被构造用于预期目的,或者其可以包括通过存储在计算机中的计算机程序而选择性地激活或重新配置的通用计算机。这样的计算机程序可以存储在计算机可读存储介质中,诸如但不限于任何类型的盘,包括软盘、光盘、CD-ROM和磁光盘、只读存储器(ROM)、随机存取存储器(RAM)、EPROM、EEPROM、磁卡或光卡或适于存储电子指令的任意类型的介质。
应当理解,上述描述是说明性的,而不是限制性的。本领域技术人员在阅读和理解以上描述时将清楚很多其他示例。因此,本公开的范围应当参考所附权利要求以及这些权利要求所赋予的等同物的全部范围来确定。
Claims (18)
1.一种计算机***,包括:
由所述计算机***实现的请求接收器,用于接收一个或更多个凭证,以基于第一级别认证来认证从第二计算机***接收的应用编程接口请求;
由所述计算机***实现的安全管理器,用于从所述第二计算机***接收用于加密附加认证挑战的密钥,响应于检测到与所述第二计算机***相关联的改变,产生所述附加认证挑战以进一步认证所述应用编程接口请求,使用所述密钥对所述附加认证挑战进行加密,以及向第二计算机***发出加密的附加认证挑战,以进一步认证所述应用编程接口请求;以及
由所述计算机***实现的请求处理器,用于基于加密的附加认证挑战的结果来处理所述应用编程接口请求。
2.根据权利要求1所述的计算机***,其中由所述计算机***实现的请求接收器还:
从第二计算机***接收所述应用编程接口请求。
3.根据权利要求1所述的计算机***,其中由所述计算机***实现的安全管理器还:
检测与第二计算机***相关联的改变。
4.根据权利要求1所述的计算机***,其中由所述计算机***实现的安全管理器还:
检测与第二计算机***相关联的身份改变。
5.根据权利要求1所述的计算机***,其中由所述计算机***实现的安全管理器还:
检测与第二计算机***相关联的网络信息的改变。
6.根据权利要求1所述的计算机***,其中由所述计算机***实现的安全管理器还:
检测第二计算机***对所述应用编程接口的异常使用。
7.根据权利要求6所述的计算机***,其中基于一个或更多个阈值来检测所述异常使用。
8.根据权利要求6所述的计算机***,其中基于与和第二计算机***相关联的活动的基准模式的偏差来检测所述异常使用。
9.根据权利要求1所述的计算机***,其中所述密钥是从约定使用由所述计算机***提供的应用编程接口的外部方接收的。
10.根据权利要求1所述的计算机***,其中由所述计算机***实现的安全管理器还:
将用于对所述附加认证挑战进行加密的密钥与第二计算机***相关联。
11.根据权利要求1所述的计算机***,其中由所述计算机***实现的安全管理器还:
在向第二计算机***发出所述附加认证挑战之前,使用所述密钥对所述附加认证挑战进行加密。
12.根据权利要求1所述的计算机***,其中所述密钥是与存储在第二计算机***上的安全区域中的私钥相对应的公钥。
13.根据权利要求1所述的计算机***,其中由所述计算机***实现的请求处理器还:
当接收到对所述附加认证挑战的正确响应时,执行所述应用编程接口请求。
14.根据权利要求1所述的计算机***,其中由所述计算机***实现的请求处理器还:
当接收到对所述附加认证挑战的不正确响应时,拒绝所述应用编程接口请求。
15.根据权利要求1所述的计算机***,其中由所述计算机***实现的请求处理器还:
当在接收到对所述附加认证挑战的响应之前经过一定时间段时,拒绝所述应用编程接口请求。
16.根据权利要求1所述的计算机***,其中由所述计算机***实现的请求处理器还:
阻止来自第二计算机***的一个或更多个后续应用编程接口请求。
17.一种计算机实现的方法,包括:
由计算机***接收一个或更多个凭证,以基于第一级别认证来认证来自第二计算机***的基于web的应用编程接口请求;
从所述第二计算机***接收用于加密附加认证挑战的密钥;
响应于检测到与所述第二计算机***相关联的改变,产生所述附加认证挑战以进一步认证所述应用编程接口请求;
由所述计算机***使用由第二计算机***提供的所述密钥对所述附加认证挑战进行加密,以进一步认证所述基于web的应用编程接口请求;
由所述计算机***向第二计算机***发出加密后的附加认证挑战;以及
由所述计算机***基于所述附加认证挑战的结果来处理所述基于web的应用编程接口请求。
18.一种包括计算机可读指令的非暂时性计算机可读介质,所述计算机可读指令在由计算机***的一个或更多个处理器执行时使所述一个或更多个处理器执行操作,所述操作包括:
所述计算机***接收凭证以认证来自第二计算机***的应用编程接口请求;
从所述第二计算机***接收用于加密附加认证挑战的密钥;
所述计算机***响应于检测到与第二计算机***相关联的改变,产生所述附加认证挑战以进一步认证所述应用编程接口请求;
使用所述密钥对所述附加认证挑战进行加密,
所述计算机***向所述第二计算机***发出加密的附加认证挑战;以及
所述计算机***基于所述加密的附加认证挑战的结果来处理所述应用编程接口请求。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110938816.9A CN113794686B (zh) | 2014-09-25 | 2015-09-21 | 通过增强认证的交易验证 |
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US14/496,160 US9363267B2 (en) | 2014-09-25 | 2014-09-25 | Transaction verification through enhanced authentication |
US14/496,160 | 2014-09-25 | ||
PCT/US2015/051281 WO2016048915A1 (en) | 2014-09-25 | 2015-09-21 | Transaction verification through enhanced authentication |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110938816.9A Division CN113794686B (zh) | 2014-09-25 | 2015-09-21 | 通过增强认证的交易验证 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106716343A CN106716343A (zh) | 2017-05-24 |
CN106716343B true CN106716343B (zh) | 2021-09-03 |
Family
ID=55581869
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201580052145.9A Active CN106716343B (zh) | 2014-09-25 | 2015-09-21 | 通过增强认证的交易验证 |
CN202110938816.9A Active CN113794686B (zh) | 2014-09-25 | 2015-09-21 | 通过增强认证的交易验证 |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110938816.9A Active CN113794686B (zh) | 2014-09-25 | 2015-09-21 | 通过增强认证的交易验证 |
Country Status (5)
Country | Link |
---|---|
US (4) | US9363267B2 (zh) |
EP (1) | EP3198397B1 (zh) |
KR (3) | KR102402924B1 (zh) |
CN (2) | CN106716343B (zh) |
WO (1) | WO2016048915A1 (zh) |
Families Citing this family (25)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9363267B2 (en) | 2014-09-25 | 2016-06-07 | Ebay, Inc. | Transaction verification through enhanced authentication |
US9673979B1 (en) * | 2015-06-26 | 2017-06-06 | EMC IP Holding Company LLC | Hierarchical, deterministic, one-time login tokens |
US11816672B1 (en) * | 2015-09-22 | 2023-11-14 | Wells Fargo Bank, N.A. | Flexible authentication |
US10470043B1 (en) | 2015-11-19 | 2019-11-05 | Wells Fargo Bank, N.A. | Threat identification, prevention, and remedy |
US10462138B2 (en) * | 2016-02-19 | 2019-10-29 | Google Llc | Application programming interface access controls |
US10552442B1 (en) * | 2016-08-29 | 2020-02-04 | Amazon Technologies, Inc. | Stateful database application programming interface |
EP3306506B1 (en) * | 2016-10-07 | 2018-08-15 | Axis AB | Authentication of a new device by a trusted device |
US10284556B1 (en) * | 2016-11-11 | 2019-05-07 | Symantec Corporation | Systems and methods for verifying authentication requests using internet protocol addresses |
US10803190B2 (en) * | 2017-02-10 | 2020-10-13 | BlueTalon, Inc. | Authentication based on client access limitation |
US10672211B2 (en) | 2017-08-31 | 2020-06-02 | BinBox, Inc. | Secure storage systems and methods |
US10785214B2 (en) | 2018-06-01 | 2020-09-22 | Bank Of America Corporation | Alternate user communication routing for a one-time credential |
US10785220B2 (en) | 2018-06-01 | 2020-09-22 | Bank Of America Corporation | Alternate user communication routing |
CN109003078B (zh) | 2018-06-27 | 2021-08-24 | 创新先进技术有限公司 | 基于区块链的智能合约调用方法及装置、电子设备 |
CN113095822A (zh) * | 2018-06-27 | 2021-07-09 | 创新先进技术有限公司 | 基于区块链的智能合约调用方法及装置、电子设备 |
US11178169B2 (en) * | 2018-12-27 | 2021-11-16 | Paypal, Inc. | Predicting online electronic attacks based on other attacks |
US11392711B2 (en) | 2019-03-21 | 2022-07-19 | Microsoft Technology Licensing, Llc | Authentication state-based permission model for a file storage system |
WO2020257547A1 (en) * | 2019-06-19 | 2020-12-24 | BinBox, Inc. | Secure storage systems and methods |
US11165787B2 (en) * | 2019-08-26 | 2021-11-02 | Bank Of America Corporation | System for authorization of electronic data access and processing functions within a distributed server network |
US11411731B2 (en) * | 2019-09-03 | 2022-08-09 | Fujitsu Limited | Secure API flow |
US11328041B2 (en) * | 2020-01-28 | 2022-05-10 | Dell Products L.P. | Computing system virtualization continuous authentication system |
WO2022168077A1 (en) * | 2021-02-03 | 2022-08-11 | Yaron Oliker | System and method of secured communication |
US20220343028A1 (en) * | 2021-04-23 | 2022-10-27 | Citrix Systems, Inc. | Application programming interface (api) call security |
US11882057B2 (en) | 2022-03-28 | 2024-01-23 | Bank Of America Corporation | Pluggable cloud security system |
CN114760133B (zh) * | 2022-04-15 | 2023-10-03 | 中国电信股份有限公司 | RESTful接口认证方法、装置、***、设备及介质 |
CN115396885A (zh) * | 2022-08-26 | 2022-11-25 | 中国联合网络通信集团有限公司 | 一种密钥安全管理方法、装置、电子设备及存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7257836B1 (en) * | 2000-04-24 | 2007-08-14 | Microsoft Corporation | Security link management in dynamic networks |
CN101421754A (zh) * | 2006-04-18 | 2009-04-29 | 微软公司 | 安全网络商业交易 |
CN101427268A (zh) * | 2006-04-18 | 2009-05-06 | 微软公司 | 使用移动模块对商业交易的认证 |
CN102792630A (zh) * | 2009-10-27 | 2012-11-21 | 谷歌公司 | 用于认证电子交易的***和方法 |
US8793359B1 (en) * | 2013-11-25 | 2014-07-29 | Software Ag | Systems and/or methods for intelligently detecting API key domains |
Family Cites Families (38)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1390828A1 (en) * | 2001-05-25 | 2004-02-25 | America Online, Inc. | Trust grant and revocation from a master key to secondary keys |
US7100054B2 (en) * | 2001-08-09 | 2006-08-29 | American Power Conversion | Computer network security system |
US8332464B2 (en) | 2002-12-13 | 2012-12-11 | Anxebusiness Corp. | System and method for remote network access |
US20070150934A1 (en) | 2005-12-22 | 2007-06-28 | Nortel Networks Ltd. | Dynamic Network Identity and Policy management |
US20070223685A1 (en) | 2006-02-06 | 2007-09-27 | David Boubion | Secure system and method of providing same |
US8112817B2 (en) | 2006-10-30 | 2012-02-07 | Girish Chiruvolu | User-centric authentication system and method |
US8255971B1 (en) * | 2008-03-03 | 2012-08-28 | Jpmorgan Chase Bank, N.A. | Authentication system and method |
CN102016865A (zh) * | 2008-03-04 | 2011-04-13 | 苹果公司 | 基于可用权利来授权执行软件代码的***和方法 |
EP2340671B1 (en) | 2008-10-29 | 2021-04-28 | Lenovo Group Limited | Cell type information sharing between neighbour base stations |
JP5228943B2 (ja) * | 2009-01-27 | 2013-07-03 | 富士通株式会社 | 最小権限違反検出プログラム |
US8844040B2 (en) * | 2009-03-20 | 2014-09-23 | Citrix Systems, Inc. | Systems and methods for using end point auditing in connection with traffic management |
SE0950406A1 (sv) * | 2009-06-04 | 2010-10-05 | Accumulate Ab | Val av transaktionsfunktioner baserat på användaridentitet |
WO2011162654A1 (en) | 2010-06-23 | 2011-12-29 | Telefonaktiebolaget L M Ericsson (Publ) | Method for handling handover in a communication network |
US9213709B2 (en) * | 2012-08-08 | 2015-12-15 | Amazon Technologies, Inc. | Archival data identification |
WO2013096601A1 (en) * | 2011-12-20 | 2013-06-27 | Visa International Service Association | Familiar dynamic human challenge response test content |
US9495227B2 (en) * | 2012-02-10 | 2016-11-15 | Twilio, Inc. | System and method for managing concurrent events |
US9225675B2 (en) * | 2012-08-08 | 2015-12-29 | Amazon Technologies, Inc. | Data storage application programming interface |
CN102916968B (zh) * | 2012-10-29 | 2016-01-27 | 北京天诚盛业科技有限公司 | 身份认证方法、身份认证服务器和身份认证装置 |
CN103020825B (zh) * | 2012-12-05 | 2016-05-11 | 福建派活园科技信息股份公司 | 一种基于软体客户端的安全支付认证方法 |
AU2013362870A1 (en) * | 2012-12-21 | 2016-04-14 | Invigor Group Ltd | Computer implemented frameworks and methodologies for enabling identification verification in an online environment |
US8990917B2 (en) * | 2012-12-27 | 2015-03-24 | Alcatel Lucent | Authentication of applications that access web services |
US9374369B2 (en) * | 2012-12-28 | 2016-06-21 | Lookout, Inc. | Multi-factor authentication and comprehensive login system for client-server networks |
US9813307B2 (en) * | 2013-01-28 | 2017-11-07 | Rackspace Us, Inc. | Methods and systems of monitoring failures in a distributed network system |
KR101934025B1 (ko) * | 2013-02-22 | 2018-12-31 | 삼성전자주식회사 | 보안 정책을 적용하는 단말기, 서버 및 그 제어 방법 |
CN103312515B (zh) * | 2013-06-21 | 2016-04-20 | 百度在线网络技术(北京)有限公司 | 授权令牌的生成方法、生成装置、认证方法和认证*** |
US9794339B2 (en) * | 2013-09-12 | 2017-10-17 | Data Accelerator Ltd. | Accelerated remote operation system API requests |
US9881304B2 (en) * | 2014-01-24 | 2018-01-30 | Ca, Inc. | Risk-based control of application interface transactions |
US9854001B1 (en) * | 2014-03-25 | 2017-12-26 | Amazon Technologies, Inc. | Transparent policies |
US9661013B2 (en) * | 2014-05-30 | 2017-05-23 | Ca, Inc. | Manipulating API requests to indicate source computer application trustworthiness |
US9363267B2 (en) | 2014-09-25 | 2016-06-07 | Ebay, Inc. | Transaction verification through enhanced authentication |
US10581977B2 (en) * | 2015-06-02 | 2020-03-03 | ALTR Solutions, Inc. | Computer security and usage-analysis system |
US10574699B1 (en) * | 2015-11-30 | 2020-02-25 | Amazon Technologies, Inc. | Load balancer request processing |
JP6617617B2 (ja) * | 2016-03-10 | 2019-12-11 | 富士通株式会社 | 管理装置、管理プログラム及び管理方法 |
US10362141B1 (en) * | 2016-03-29 | 2019-07-23 | Amazon Technologies, Inc. | Service group interaction management |
US10872136B2 (en) * | 2017-12-28 | 2020-12-22 | Paypal, Inc. | Using an NP-complete problem to deter malicious clients |
US11522867B2 (en) * | 2020-03-31 | 2022-12-06 | LendingClub Bank, National Association | Secure content management through authentication |
US20210397940A1 (en) * | 2020-06-10 | 2021-12-23 | Nvidia Corporation | Behavior modeling using client-hosted neural networks |
US20220210151A1 (en) * | 2020-12-30 | 2022-06-30 | Mastercard Technologies Canada ULC | Systems and methods for passive multi-factor authentication of device users |
-
2014
- 2014-09-25 US US14/496,160 patent/US9363267B2/en active Active
-
2015
- 2015-09-21 CN CN201580052145.9A patent/CN106716343B/zh active Active
- 2015-09-21 WO PCT/US2015/051281 patent/WO2016048915A1/en active Application Filing
- 2015-09-21 KR KR1020217015323A patent/KR102402924B1/ko active IP Right Grant
- 2015-09-21 CN CN202110938816.9A patent/CN113794686B/zh active Active
- 2015-09-21 KR KR1020227017371A patent/KR102601356B1/ko active IP Right Grant
- 2015-09-21 KR KR1020177009711A patent/KR102257157B1/ko active IP Right Grant
- 2015-09-21 EP EP15843512.3A patent/EP3198397B1/en active Active
-
2016
- 2016-05-19 US US15/159,398 patent/US11075767B2/en active Active
-
2021
- 2021-07-07 US US17/369,260 patent/US11695576B2/en active Active
-
2023
- 2023-05-17 US US18/198,371 patent/US12041187B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7257836B1 (en) * | 2000-04-24 | 2007-08-14 | Microsoft Corporation | Security link management in dynamic networks |
CN101421754A (zh) * | 2006-04-18 | 2009-04-29 | 微软公司 | 安全网络商业交易 |
CN101427268A (zh) * | 2006-04-18 | 2009-05-06 | 微软公司 | 使用移动模块对商业交易的认证 |
CN102792630A (zh) * | 2009-10-27 | 2012-11-21 | 谷歌公司 | 用于认证电子交易的***和方法 |
US8793359B1 (en) * | 2013-11-25 | 2014-07-29 | Software Ag | Systems and/or methods for intelligently detecting API key domains |
Also Published As
Publication number | Publication date |
---|---|
KR20220076529A (ko) | 2022-06-08 |
US20230291580A1 (en) | 2023-09-14 |
US20170214531A1 (en) | 2017-07-27 |
KR20210062728A (ko) | 2021-05-31 |
US11075767B2 (en) | 2021-07-27 |
WO2016048915A1 (en) | 2016-03-31 |
US20160094551A1 (en) | 2016-03-31 |
EP3198397A4 (en) | 2018-05-30 |
CN113794686B (zh) | 2024-04-26 |
US20210336803A1 (en) | 2021-10-28 |
EP3198397A1 (en) | 2017-08-02 |
KR102257157B1 (ko) | 2021-05-27 |
KR20170062474A (ko) | 2017-06-07 |
US12041187B2 (en) | 2024-07-16 |
US9363267B2 (en) | 2016-06-07 |
US11695576B2 (en) | 2023-07-04 |
CN106716343A (zh) | 2017-05-24 |
CN113794686A (zh) | 2021-12-14 |
EP3198397B1 (en) | 2021-10-20 |
KR102402924B1 (ko) | 2022-05-30 |
KR102601356B1 (ko) | 2023-11-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US12041187B2 (en) | Transaction verification through enhanced authentication | |
US11558381B2 (en) | Out-of-band authentication based on secure channel to trusted execution environment on client device | |
US10904234B2 (en) | Systems and methods of device based customer authentication and authorization | |
US20240022431A1 (en) | Methods and systems for device authentication | |
US20220255931A1 (en) | Domain unrestricted mobile initiated login | |
US11102191B2 (en) | Enabling single sign-on authentication for accessing protected network services | |
US20150310427A1 (en) | Method, apparatus, and system for generating transaction-signing one-time password | |
US20180262471A1 (en) | Identity verification and authentication method and system | |
WO2022140469A1 (en) | Domain unrestricted mobile initiated login | |
US9288060B1 (en) | System and method for decentralized authentication of supplicant devices | |
Saini | Comparative analysis of top 5, 2-factor authentication solutions | |
Fietkau et al. | Secure Authentication for Everyone! Enabling 2nd-Factor Authentication Under Real-World Constraints | |
US20170012973A1 (en) | Trust framework for secured digital interactions between entities |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |