JP2015039214A - Id盗難又は複製を用いた不正使用に対する保護の方法とシステム - Google Patents
Id盗難又は複製を用いた不正使用に対する保護の方法とシステム Download PDFInfo
- Publication number
- JP2015039214A JP2015039214A JP2014206183A JP2014206183A JP2015039214A JP 2015039214 A JP2015039214 A JP 2015039214A JP 2014206183 A JP2014206183 A JP 2014206183A JP 2014206183 A JP2014206183 A JP 2014206183A JP 2015039214 A JP2015039214 A JP 2015039214A
- Authority
- JP
- Japan
- Prior art keywords
- user
- computer
- session
- context information
- passcode
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/42—User authentication using separate channels for security data
- G06F21/43—User authentication using separate channels for security data wireless channels
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
- G06F21/35—User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Information Transfer Between Computers (AREA)
- Telephonic Communication Services (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
Abstract
【課題】ID盗難、複製を防ぐ、又はその危険性を軽減する。【解決手段】ネットワーク、コンピュータ・システム又はプログラムにアクセスする場合、ネットワーク、コンピュータ・システム又はプログラムは、ユーザIDとパスワードを有効化し、且つユーザ、装置、使用しているネットワークなどに関するコンテキスト情報を収集する。ユーザIDとパスワードが有効化されると、リアルタイム・セッション固有ワンタイム・パスコードを有するメッセージが、携帯電話のSMSネットワーク、又はインスタント・メッセージのような第二手段によって送信される。セッション固有のコード及び収集された情報は、公開された情報と不正アクセスから保護をするユーザ及びパスワードを表わす情報との間の不整合を介し、信用出来なくなったIDをユーザが検出できるようにする情報を提供する。【選択図】図1
Description
本願発明は、コンピュータ・システム中の対象コンポーネントに対するユーザアクセスを認証するためのコンピュータ実行アクセス認証の方法とシステムに関する。具体的には、本願発明は、ID盗難、及び/又は複製を介したID盗難を防ぐ、又は少なくともその危険性を軽減する方法とシステムに関する。
マルチユーザ・コンピュータの状況として、認証手続は、ユーザにアクセスすることを許可しているプログラムやシステム・リソースに対するユーザアクセス権を与えるために広く使用されている。本願明細書の記載として、コンピュータ・システム中の対象コンポーネントという用語は、認証スキームに基づきユーザアクセスが許可されているコンピュータ・システム中の如何なるエンティティ(entity)をも参照することを目的としている。上記の対象コンポーネントの例としては、コンピュータ、又はコンピュータのグループ、コンピュータ・ネットワーク、通信ネットワーク、データ処理システム上で実行される一又は二以上のコンピュータ・プログラム、一又は二以上のコンピュータ・プログラムの機能、コンピュータ・リソース(ドライバ、メモリ、コンピュータ周辺機器、メモリに格納されたデータ、コンピュータによって提供されたサービスなど)がある。アクセスを許可するための従来の手段は、ユーザIDとパスワードを使用する。広域ネットワーク及びインターネットの到来と同時に、数多くのコンピュータ・プログラムとシステムは、現状はセキュリティの点では専らユーザIDとパスワードとを用いた個別アクセスの許可に基づくものとなっている。ネットワーク介した通信を行う場合、第1コンピュータ装置と第2コンピュータ装置との間の通信の経過を追う方法は、セッションIDを用いてなされる。近年、ユーザIDとパスワードの形式でユーザの同一性を確保する方法とプログラムは、ユーザが日常的に騙し取られてしまう使用方法として爆発的に増加している。
ユーザのIDとパスワードを盗む巧妙な方法は、第三者が犯罪的手法によってユーザのIDとパスワードにアクセスすることができるいわゆるフィッシング詐欺である。これらの方法は、介入者攻撃のようなさらに巧妙な攻撃方法という可能性さえある。介入者攻撃とは、ユーザがネットワーク、コンピュータ・システム、又はプログラムにログインする際、ユーザと前記ネットワーク、コンピュータ・システム又はプログラムとの間の通信を不正な第三者が傍受するものである。ひとたび傍受されてしまうと、不正な第三者は、同じようなプロセスを立ち上げ、同じネットワーク、コンピュータ・システム又はプログラムに対してユーザとしてログインするだけでなく、介入者として容易に活動し、ID盗難を目的として前記ネットワーク、コンピュータ・システム又はプログラム上のユーザ活動に感染するようになる。
上記の攻撃に対してユーザの安全を確保する一方法は、認証に第二の手段を展開することができるようにすることである。上記の第二の手段は、認証の第二の要素としてもみなされる。初期に出てきた上記の解決策は、ユーザが肌身離さずどこにでも持ち運べるトークンと呼ばれるハードウェア装置を用いていた。ソフト・トークン、又はSMS配信トークンコードとしてもみられた上記方法は、一定期間、又は使用されるまでは有効である事前発行されたパスコードを用いる方法である。上記のコンセプトは、フィッシング詐欺、及び特に介入者攻撃の双方を防ぐには効果がないことが分かっている。それは、不正な第三者がいるかどうか、及びセッションが傍受されているかどうかということをユーザが決して気づくことができないからである。
最近出てきた解決策は、メッセージベースの取り組みに基づいている。一般的にユーザの携帯電話にパスコードを送信するため、広範囲で使用されているショート・メッセージ・システム(SMS、又はテキスト・メッセージ)といった携帯電話ネットワーク上のシステムを用いる方法が最も広く見受けられている。もしくは、代替の実施態様として、ユーザのIDとパスワードによるログイン・プロセスにて認証を行うシステムを公開している中央サーバに、ユーザがアクセスする。ユーザIDとパスワードと同時にSMSコードが入力され、それ故にフィッシング詐欺、及び証明書(credential)を危険にさらす類似手法を有効なものとしてしまう分離型ログイン・プロセスを用いていることがいくつかの現在の取り組みにおける問題となっている。これらの解決策における現在の実施態様も、一定期間、又は使用されるまでは有効であり、さらにそれ故、介入者攻撃にパスコードを危険にさらしてしまう事前発行されたパスコードを使用している。
米国特許出願公開第2007/0136573号には、少なくとも一つからなる多重多要素認証を用いる認証のシステムと方法とが公開されている。上記の先行技術の方法は、信用があるコンピュータの存在と使用に関する。上記の先行技術文献は、信用があるコンピュータの構築のためのプロセスを介入者攻撃から保護するため、信用があるコンピュータの構築に関する如何なる方法も公開していない。それ故、信用があるコンピュータを必要とせず、介入者攻撃に対して高めたセキュリティを提供するという問題が残っている。
本願発明は、フィッシング詐欺、及びファーミングによるID盗難、又はID複製を阻止するために先行技術の解決策のいくつかの課題を克服するものである。
本願明細書に開示する本願方法と本願システムとの実施態様は、リアルタイム且つセッション固有の二要素認証方法を組み合わせている。二要素認証方法は、ユーザに送信したメッセージの中にログイン・プロセスの間に収集されたコンテキスト情報を含めることによって、ユーザの個人的な情報を組み合わせた方法である。
ユーザが第一ユーザ・システムからコンピュータ・システム中の対象コンポーネントにアクセスする場合、ユーザは、ユーザ名と、パスワード、PIN、又は別の機密情報の形式のパスワードとを提供することがまず求められる。本願明細書に開示する方法の実施態様は、証明書を有効とするとともに、セッション固有のコンテキスト情報を収集し、且つ例えばセッション・クッキーID(これに限定されるものではない)などの個別のログイン・セッションIDに関連するものだけが有効となるパスコードを生成する。リアルタイム・パスコードとコンテキスト情報は、通信ネットワーク経由で第二ユーザ・システムに送信される。上記コンテキスト情報は、介入者攻撃が進行中であるかどうかをユーザが判断できるようにし、もしそうであるならば、セッション固有のパスワードを入力しないことによってフィッシング詐欺及びファーミング攻撃を防ぐ。上記コンテキスト情報が正しいと思われる場合、ユーザはパスコード入力を継続し、セッションIDに対して有効であるならば、ユーザはアクセス権が与えられる。
一実施態様において、第一ユーザ・システムからコンピュータ・システム中の対象コンポーネントにアクセスしようとしているユーザを認証するために、コンピュータ実行システムによって実行される方法が公開される。第一ユーザ・システムの実施態様は、第一通信ネットワークに接続可能となっている。上記方法の実施態様は、以下の段階を具備している。
−第一ユーザ・システム中の第一ユーザ・インターフェースを通してユーザによって入力されたユーザ認証情報を受信する段階
−第一ユーザ・システムのプロパティを示す情報、又は第一通信ネットワーク及びセッションIDのプロパティを示す情報から選択されたコンテキスト情報の少なくとも一つの項目を前記第一通信ネットワーク経由で取得する段階
−ユーザ認証情報を検証する段階と、ユーザ認証情報の検証の成功に応答して、コンピュータ実行認証システムから第二通信ネットワークを経由し第二ユーザ・システムへメッセージを送信する段階と、第二ユーザ・システムが、ユーザがコンテキスト情報の少なくとも一つの項目、及びセッション固有のワンタイム・パスコードを検証できるように、第二ユーザ・インターフェースを経由しユーザに対してコンテキスト情報の少なくとも一つの項目を表示することを許可する段階
前記メッセージはコンテキスト情報の少なくとも一つの項目、又はIPアドレスに基づくおおよその位置情報もしくはGPS(全地球測位システム)座標に基づく地名などの収集されたコンテキスト情報の派生情報を含む。
前記メッセージはコンテキスト情報の少なくとも一つの項目、又はIPアドレスに基づくおおよその位置情報もしくはGPS(全地球測位システム)座標に基づく地名などの収集されたコンテキスト情報の派生情報を含む。
−第一ユーザ・システム、及び第一通信ネットワークを経由し、第一ユーザ・システムに対してユーザによって入力されたセッション固有のパスコードを受信する段階
−パスコードを検証する段階と、パスコードの検証が成功した場合、第一ユーザ・システムに対し対象コンポーネントに対するアクセス権を与える段階
いくつかの実施態様において、第二ユーザ・インターフェースと第一ユーザ・インターフェースは、同一のユーザ・インターフェースであってもよい。第二ユーザ・インターフェースが第一インターフェースと異なる場合、例えば、ユーザに対し表示される異なるウィンドウ(例えば、同一であっても異なったソフトウェア・プログラム)、異なったディスプレイなどの異なる物理的インターフェース、インスタント・メッセージ・システムなどの異なるメッセージ・ゲートウェイなどの場合、システムのセキュリティはさらに改善される。
前記第一ユーザ・システムは、デスクトップ・コンピュータ、ポータブル、又はハンドヘルド・コンピュータなどのコンピュータであってもよいし、又は通信ネットワークに接続可能な如何なる別の制御演算装置(例えば、電子手帳、発信機、電話、ネットワーク端末など)であってもよい。第二ユーザ・システムは、通信ネットワーク経由でメッセージを受信するように構成された如何なる適切な装置であってもよい。
前記第二要素装置として言及される第二ユーザ・システムは、第一ユーザ・システムとは異なった通信装置であってもよい。例えば、携帯電話、ページャ(pager)、ユーザによって持ち運ばれる別の通信機器であってもよい。或いは、第一ユーザ・システムと第二ユーザ・システムを、二つの別々のユーザ・インターフェースが実装されるように構成された同一の装置で具現してもよい。例えば、第一インターフェースがユーザ認証情報を入力するユーザ・インターフェースを提供するログイン・プログラム形式インターフェースであるとともに、第二ユーザ・インターフェースがインスタント・メッセージ・プログラムのユーザ・インターフェース、又はメッセージを受信し表示するための別のプログラムのユーザ・インターフェースであってもよい。
従って、前記第一通信ネットワークと前記第二通信ネットワークは、異なったネットワーク、同一のネットワークでもよい。もしくは、部分的に同一のネットワークを使用し、部分的には異なるネットワークを利用してもよい。一般的に、第二通信ネットワークは、リアルタイム・メッセージを通信することに適しているネットワークであってもよい。例えば、ショートテキスト・メッセージ・システム、インスタント・メッセージ・システム、又はそれに類するものである。それ故、第二通信ネットワークは、メッセージ・ネットワークとしても言及される。第一通信ネットワークは、如何なる適切な通信ネットワークの一種であってもよい。例えば、ローカル・エリア・ネットワーク(LAN)、無線ローカル・エリア・ネットワーク(WLAN)、ワイド・エリア・ネットワーク(WAN)、インターネットなどのコンピュータ・ネットワーク、GSM(登録商標)、GPRS、EDGE、UTMS、HSDPA、WIMAX規格に基づく移動体通信ネットワークなどの電気通信ネットワーク、又は他の如何なる適切なネットワークであってもよい。
“リアルタイム・セッション固有のワンタイム・パスコード”という用語は、パスコードに関連した、すなわちパスコードがセッション固有であるセッションのログイン・セッション中にリアルタイムで生成されるパスコードを示すことを意図としている。それ故、上記パスコードは、事前に作成されるものではなく、むしろ対応ログイン・セッションが開始する直前に存在しているものである。上記パスコードは、セッション固有である。すなわち、ある固有のログイン・セッションに関連している。パスコードは、セッションに対して一意的であることが望ましい。さらに、上記パスコードは、ワンタイムコードである。つまり、たった一回のログインのみで有効である。
本願明細書に開示する本願方法と本願システムの実施態様は、ユーザがコンピュータ・システム、コンピュータ・プログラム、又はネットワークにアクセスする場合、前記ユーザの認証を行うため、コンピュータ・システム、コンピュータ・プログラム、及びメッセージ・ゲートウェイによって実装してもよい。本願明細書に開示する本願方法と本願システムの実施態様は、少なくとも二つの異なる認証の要素/手段を用いたセッション固有のメッセージベース認証プロセスを使用してもよい。第一要素は、例えばユーザIDとパスワード形式でユーザに対して既知のものとなっている。第二要素は、例えば従来の携帯電話、ページャなどのネットワーク接続されたメッセージ受信装置の形式で、又はインスタント・メッセージ・プログラムなどのコンピュータ上で実行されるプログラムの形式で、ユーザの管理下にあるか、又はアクセス可能となっている。
本願明細書に開示する本願方法と本願システムの実施態様は、ネットワーク接続されたメッセージ受信装置にパスコード・メッセージを送信する。例えば、生成されたリアルタイム・セッション固有のワンタイム・パスコードと、ログイン・プロセスの間に例えば第一通信ネットワーク及び/又は第一ユーザ・システムで用いられているコンピュータ又は別の装置から収集されたコンテキスト情報とを含むリアルタイム・メッセージベースの手段によって、前記メッセージを送信する。コンテキスト情報は、ログイン試行がユーザ自身ではなく別のエンティティから実施されていることを、ユーザが見破ることができる如何なる適切な情報であってもよい。その試行で、ID盗難、又はID複製イベントが可能性として発生していることを示してもよい。適切なコンテキスト情報の例としては、ログイン・プロセスを実行するために第一ユーザ・システムとして使用されているコンピュータのコンピュータID、ログイン試行が開始された第一ユーザ・システムの位置に関する少なくともおおよその地域情報がある。それ故、ユーザは、ログイン・プロセスを実行しているコンピュータがユーザ自身のコンピュータかどうか、又はいわゆる介入者攻撃を実行している不正な第三者のコンピュータが存在している可能性があるかどうかを判断できるようになる。例として、ログイン・プロセスの間に例えばログイン中に使用されていたコンピュータ、又は装置、又はネットワークから収集されたコンテキスト識別情報は、例えばインターネット・プロトコル・アドレス又は携帯電話からの全地球測位座標に基づくおおよその地域位置情報、又は前記二つを組み合わせから決定される一意的なデータ項目、又はインターネット・ブラウザのバージョン、オペレーティング・システムの言語設定などである。
前記第一ユーザ・インターフェースは、第一ユーザ・システム上で、又は第一ユーザ・システム上の第一ユーザ・インターフェースを公開するように構成されている認証システムのサーバ・コンピュータ上で実行されるウィンドウベース、又はログイン・プログラムの如何なる他の適切なインターフェースであってもよい。第二ユーザ・インターフェースは、第二ユーザ・システム上で、又はサーバ・コンピュータ上で実行されるウィンドウベース、又は別の適切なプログラム・インターフェース、又はネットワーク接続されたメッセージ受信装置の表示であってもよい。本願明細書に開示する本願方法と本願システムの実施態様を用いたシステムにユーザがログインをする場合、ユーザは、まずユーザ名及びパスワードなど自身のユーザ証明書を第一ユーザ・インターフェースに入力する。例えば、第一ユーザ・システム上で提供されているログイン・ウィンドウのようなインターフェースである。ひとたび証明書が有効となれば、認証システムは、コンテキスト情報、及びリアルタイム・セッション固有のワンタイム・パスコードを含むメッセージを第二ユーザ・システムに送信してもよい。例えば、ユーザに割り当てられた第二要素装置に送信をしてもよい。同時に、第一ユーザ・インターフェースのログイン・ウィンドウが、第二要素装置に送信されたリアルタイム・セッション固有のワンタイム・パスコードを入力することができる新しい第二ウィンドウへと移行する。ひとたび上記の内容が入力され有効化されると、ログイン・エンティティにアクセスの許可が与えられる。
別の実施態様において、ログイン・システム、すなわち第一ユーザ・システムは、ログイン・プロセスの間に収集されたコンテキスト情報を表示してもよいし、又は不正にIDを盗難しようとしているエンティティではなくIDとパスワード証明書の所有者のみが知りうる別の情報を表示してもよい。例として、コンテキスト情報を、別のメッセージベース・ネットワークから送信されたリアルタイム・セッション固有のワンタイム・パスコードを入力するために使用される第二ログイン画面に表示してもよい。コンテキスト情報は、システムに実際にログインしようとしているのが異なるコンピュータであるかどうかをユーザが確認可能であることを保証する。異なるコンピュータによるログインは、第三者がログイン・プロセスを傍受して、ユーザが証明書を入力しようとした際に、ユーザ個人情報を一般的にログインID及びパスワードの形式で複製しようとする介入者攻撃によって引き起こされる。
前記第二要素装置がメッセージ・ネットワークに接続されていない場合において、本願明細書に開示する本願方法と本願システムの実施態様は、事前発行されたパスコードのセットをユーザに前もって送信してもよい。ユーザが自身の証明書を用いてログイン・システムにその後アクセスする場合、第二ログイン・ウィンドウは、収集されたコンテキスト情報、及びユーザに対して一又は二以上の事前発行されたパスコードの組み合わせの入力要求を表示する。事前発行されたパスコードにより、セッション固有のコードを生成する適切な組み合わせを入力した場合、有効化された時点で、ユーザアクセスが許可される。
本願発明は、上記方法及び下記方法、及びそれに相当するシステム、装置、及び/又は生産手段を含む様々な態様に関する。各々は最初に記載した態様に関連して記載された一又は二以上の利点と長所をもたらし、各々は最初に記載した態様及び/又は添付の特許請求の範囲に公開された態様に関連して記載された一又は二以上の実施態様を有する。
本願発明の典型的な実施態様は、図面を参照してここに記載される。
図1は、本願明細書に開示された方法とシステムの実施形態を図示したブロック図である。具体的には、図1は、コンピュータ実行ユーザ認証システム(4)を用いる構造図を図示している。コンピュータ実行ユーザ認証システム(4)は、認証されていないユーザによるアクセスを阻止する一方でコンピュータ・システム中の対象コンポーネント(14)に対するアクセス権を認証対象ユーザ(1)に与えることを目的としている。対象コンポーネント(14)は、コンピュータ・プログラム、コンピュータ又は別のデータ処理システム、コンピュータ・ネットワーク又は認証を必要とする如何なる別のコンピュータアクセス可能なエンティティであってもよい。コンピュータ実行ユーザ認証システム(6)は、サーバ・ログイン画面プログラム、ネットワークアクセス・ログイン・プログラム、又はそれに類するものなどのように適切にプログラムされたデータ処理システムであってもよい。前記システムは、第一私的又は公的通信ネットワーク(11)に対する適切なインターフェース、一又は二以上の認証システム(6)に対する適切なインターフェースを具備している。例えば、Outlook Web Accessなどのウェブサイト・ログイン・システム、又は追加された二要素認証を除いたWindows(登録商標) Ginaインターフェース・システムなどのWindows(登録商標)ログイン・システムなどのようなインターフェースである。また、前記システムは、コンピュータ・シリアル・インターフェース経由かホスト・ゲートウェイに対するネットワーク経由かのいずれかで接続されているSMSメッセージベース・ゲートウェイなどのメッセージベース・システムに接続されているリアルタイム・セッション固有のSMSワンタイム・パスコード・システム(4)に基づいている。前記ゲートウェイは、携帯電話ネットワーク又はそれに類するネットワークに接続されており、前記携帯電話ネットワークのSMSサービス、又はそれに類するユーザ装置(10)に対するメッセージ・ネットワーク、又はゲートウェイに基づくインスタント・メッセージ・システムを経由してメッセージを送信することができる。前記メッセージ・システムは、公的又は私的ネットワークを経由し中央コンピュータ又は分散したコンピュータ集合を経由して、ログインに使用されたコンピュータではなく同一又は異なるコンピュータ上に存在する別のプログラムに対してメッセージを送信できる。前記ログインにおいて、ユーザは前記インスタント・メッセージ・ゲートウェイ・ユーザ・プログラムに対しログインする異なる方法を用いている。前記インスタント・メッセージ・プログラムは(2)でログインするために使用されたコンピュータとは別のウィンドウに送信した情報を表示する。ユーザ認証システム(4)は、SMSに基づいた従来の二要素認証システムの機能を提供する。SMSに基づいたシステムは、RSAに見られるコード生成器とハードウェア・ディスプレイを収容しユーザにより管理が行われるハードウェア・トークン、又は携帯端末ディスプレイにてワンタイム・パスコード・トークンを表示する携帯端末上で実行されるソフト・トークン生成器、又は事前発行され、且つ一定期間有効な標準のメッセージベースコードとは異なったものである。既知の代替システムとは異なって、リアルタイム・セッション固有のワンタイム・パスコード・システム(4)は、対応するセッションに関するコンテキスト情報を有する特定のログイン・セッションのみに有効な各々固有のログイン・セッション用の一意的なワンタイム・パスコードを生成する。通常はユーザ名及びパスワードである第一要素は、認証システム(6)によって有効化される。認証システム(6)を、下記に詳細に記載する。二要素認証システム(4)の第二要素を生成することに加えて、前記システムは、認証されていないユーザ、例えば一般的に介入者と呼ばれる攻撃者から不正行為を受けていないかどうかを認証対象ユーザが検証できるようにするコンテキスト情報も収集する。上記は、ログインを試みようとしているシステム(2)に接続されたネットワーク(11)経由で一般的に実施される。前記コンテキスト情報は、第一要素が有効化された後、同一のシステム(2)経由か、第二ネットワーク経由の第二システム経由、例えばネットワーク(12)経由のシステム(13)経由かのいずれかでユーザに対して表示される。或いは、ユーザ認証システム(4)を、コンテキスト情報の収集及び認証対象ユーザ(1)への表示に関する機能を提供するために既存の二要素認証システム内部に統合してもよい。
認証システム(6)は、ユーザ認証システム(4)から通常は分離されているとともに、ユーザ名とパスワードの有効性を提供する。認証システム(6)の例としては、Microsoft(登録商標) Active Directory server、又はホームバンキングのようなアプリケーションにてユーザ名及びパスワードに関する情報を保持するシステムがある。システム(4)及び(6)が、別々のシステムとして図示されていたとしても、システム(4)及び(6)が同一のコンピュータ上に実装されたり、更には同一のソフトウェア・アプリケーションによって実装されたりする可能性も別に存在する。そのため、認証システム(6)及びリアルタイム・セッション固有のワンタイム・パスコード・システムは、ある形式に統合されたユニバーサルアクセス・アプリケーションに見られるように、一つで且つ同一のアプリケーションに組み込まれている。そのため、上記の二つのプログラムの実行は、メッセージベース認証システム(4)が全ログイン・プロセスを処理するがユーザID及びパスワードロジックをリアルタイムで渡すように統合され、又はメッセージベース認証システム(4)によって管理されている単一ユーザのログイン経験の提供を除いてバックエンド認証システム(6)にキャッシュされる。
システム(4)及びシステム(6)の間にあるインターフェース(5及び7)は、イーサネット(登録商標)、インターネットなどのような従来のコンピュータ・ネットワークに一般的になっている。
第一私的又は公的通信ネットワーク(11)は、如何なる適切な通信ネットワークの形式であってもよい。例えば、ローカル・エリア・ネットワーク(LAN)、無線ローカル・エリア・ネットワーク(WLAN)、ワイド・エリア・ネットワーク(WAN)、インターネットなどのコンピュータ・ネットワーク、GSM(登録商標)、GPRS、EDGE、UTMS、HSDPA、WIMAX規格に基づく移動体通信ネットワークなどの電気通信ネットワーク、又は他の如何なる適切なネットワークであってもよい。
上記プロセスは、ユーザ(1)が、ユーザ・システム(2)経由で対象コンピュータへのアクセスを要求(15)することによって開始される。ユーザ・システム(2)の例としては、第一通信ネットワーク(11)に接続可能なPC又は他のあらゆるデータ処理システムなどのコンピュータである。
上記目的を達成するため、ユーザ・システム(2)は、例えば、ユーザ・システム(2)上で適切なログイン・プログラムを実行することによって、又はコンピュータ実行認証システム(4)もしくはコンピュータ実行認証システム(6)上で実行されるログイン・プログラムのログイン・ウィンドウを表示することによって、最初にログイン・プロセスを実行する。一般的に、上記ログイン・プロセスは、ユーザにユーザ名及びパスワード、又は他の認証情報を問い合わせる。上記ログイン・プロセスは、少なくとも一つのユーザ・システム(2)及びアクセスが要求された場所から/経由の第一通信ネットワーク(11)に関する追加的なコンテキスト情報、又は対象コンポーネント(14)又は認証システム(6)内に収集された情報をさらに収集する。収集された上記コンテキスト情報は、ログイン操作のコンテキストに関するユーザ検証可能な情報を伝達するログイン・プロセスによって収集可能な如何なる情報であってもよい。例として、コンテキスト情報は、ユーザ・システムのプロパティ、及び/又は第一通信ネットワークのプロパティ、及び/又はそれに類するものに関する情報であってもよい。ユーザ・システムに関する適切な情報は、例えば、ユーザ・システムの製造会社、プロセッサの型式、利用可能なメモリ量といった一又は二以上のハードウェアのプロパティ、及び/又はオペレーティング・システムの型式及び/又はバージョンといった一又は二以上のソフトウェアのプロパティに関する情報であってもよい。ユーザ・システムのプロパティに関する別の適切な情報は、例えばオペレーティング・システムの言語設定、インターネット・ブラウザの言語設定、ブラウザの型式、ユーザ・システム(2)のIPアドレス、ネットワーク・トラフィックの経路、収集されたGPS座標、又はそれに類するものといったユーザ・システムの地理的な位置を決定するのに適した情報、又は例えばGPS座標に基づいて算出した位置、IPアドレスに基づくおおよその位置といった該収集された情報からの派生情報を含んでいる。第一通信ネットワークに関する適切な情報は、ネットワーク、ネットワーク・アドレス、MACアドレス、ネットワーク経路などを提供しているネットワーク・オペレータの名称を含んでいてもよい。上記情報が追加的なユーザ入力を必要としないログイン・プロセスによって自動的に収集される場合、該プロセスはより効率的になり、且つ悪用のリスクはさらに軽減される。なぜならば、収集されたデータを改ざんしようとする未認証ユーザによるリスクが軽減されるからである。コンテキスト情報がユーザによって容易に及び直接的に検証できる情報を含む場合、上記コンテキスト情報は、ログイン・プロセスの完全性を検証するために用いることができる。上記コンテキスト情報が一意にユーザ・システムを識別するのに適するものだとしても、このことは本願明細書に記載の方法にとって必要条件とならないことは高く評価される。例として、上記コンテキスト情報は、国、地域、都市、又はユーザ・システムの地理的な位置に関する別の情報などのユーザ・システムに関する情報、又はユーザ・システムの製造会社、及び/又はそれに類するものを単に含むものであってもよい。それ故、上記の情報に基づいて、ユーザは、例えば介入者攻撃によってログイン・プロセスの完全性が信用に足るものではなくなったかどうかを判断することができる可能性がある。
ユーザ・システム(2)を経た上記ユーザが、第一公的又は私的通信ネットワーク(11)経由で対象コンポーネント(14)へのアクセスを要求する場合、要求(3)は、ユーザの証明書の企業ユーザID台帳検証を目的としてコンピュータ実行ユーザ認証システム(4)を経由し認証システム(6)へと送られる。ユーザの証明書は、例えばユーザ名とパスワードである。上記要求(3)は、ユーザの証明書、ログイン・セッションを識別するセッションID(例えば、セッション・クッキー)、及びログイン・プロセスによって収集されたコンテキスト情報を検証するために必要となる情報を含む。上記セッションIDは、前記セッションIDを有する全入力データパケットが正常なログイン・セッションに関連付けられていることを保証する認証システムによって生成してもよい。ひとたび認証が適合することをシステム(6)によって識別したのであれば、コンピュータ実行ユーザ認証システム(4)は、一意的なメッセージ警告を生成する。メッセージ警告は、以下を具備している。
・ログイン・プロセスの間に、例えばコンピュータ(2)、装置(2)、対象システム(14)、又はネットワーク(3,11)から収集されたコンテキスト情報。
・認証システムによってリアルタイムに生成される、例えば、パスワード、又は別の適したコード型式、又は別の適したリアルタイム・セッション固有のワンタイム第二認証手段などのワンタイム・パスコード(OTP)(8)。
上記ワンタイムパスワードは、セッション固有である。すなわち、特定のセッションIDと関連しており、特定のセッションIDのみで有効となる。
・ログイン・プロセスの間に、例えばコンピュータ(2)、装置(2)、対象システム(14)、又はネットワーク(3,11)から収集されたコンテキスト情報。
・認証システムによってリアルタイムに生成される、例えば、パスワード、又は別の適したコード型式、又は別の適したリアルタイム・セッション固有のワンタイム第二認証手段などのワンタイム・パスコード(OTP)(8)。
上記ワンタイムパスワードは、セッション固有である。すなわち、特定のセッションIDと関連しており、特定のセッションIDのみで有効となる。
上記コンピュータ実行ユーザ認証システム(4)は、第二通信チャネル(9,10,12)を経由しユーザが所持している通信装置(13)へ、又は直接第一コンピュータ・システム(2)へ上記生成メッセージを送信する。図1の例では、コンピュータ実行ユーザ認証システム(4)は、第二ネットワーク(9)、例えば、電気通信ネットワーク(12)を介して携帯電話(13)にメッセージを送信するSMSゲートウェイ(10)に対するLANアクセス、又はセキュアWANアクセスを経由し生成メッセージを送信する。上記生成メッセージは、シリアル・インターフェース経由、SMSインターフェースに対するSMTP、インスタント・メッセージ・インターフェースに対するコンピュータ、又は他の如何なる適切なインターフェースを経由して送信される。ユーザは、携帯電話のメッセージ・フレームワークにて上記メッセージを受信する。
上記メッセージの受信をもって、ユーザは、上記メッセージに含まれるコンテキスト情報の識別と検証を行う。ユーザが上記コンテキスト情報を有効だと検証できた場合、少なくとも受信したリアルタイム・セッション固有のワンタイム・パスコード(15)をユーザ・システム(2)に入力する。
リアルタイム・セッション固有のワンタイム・パスコードが展開された場合、ユーザ・システム(2)は、入力されたOTP(8)を含む、もしくは第一私的又は公的通信ネットワーク(11)上の別の第二認証手段を含むメッセージ(16)をコンピュータ実行ユーザ認証システム(4)に送信する。コンピュータ実行ユーザ認証システム(4)は、受信したOTPを元々送信したリアルタイム・セッション固有のワンタイム・パスコードと、及び/又はセッションIDと一致するかどうかを確認する。一致するのであれば、ユーザ・システム(2)は、初期アクセスが要求された対象コンポーネント(14)に対するアクセス権が与えられる。
ユーザ・システム(2)は、第一ネットワーク及びコンピュータ・インターフェースを経由しユーザにコンテキスト情報を送信する代替手段として、第二ウィンドウにコンテキスト情報を表示することも可能である。
要約すれば、本願明細書に開示されたものは、コンピュータ・ユーザのIDとパスワードを不正使用することで行われるID盗難の検出と保護とを行う、及び/又は第二チャネル、ワンタイム・パスコード、及びユーザコンテキストローカル情報を使用する第二認証レベルによって同等なユーザ・セッションを介したID複製からユーザを保護する方法とシステムの実施形態である。ネットワーク、コンピュータ・システム又はプログラムにアクセスする場合、前記ネットワーク、コンピュータ・システム又はプログラムは、ユーザIDとパスワードを有効化し、且つユーザ、装置、使用しているネットワークなどに関するコンテキスト情報を収集しようとする。ひとたび有効化されれば、リアルタイム・セッション固有ワンタイム・パスコードを有するメッセージが、携帯電話のSMSネットワーク、又はインスタント・メッセージのような第二手段によって送信される。セッション固有のコード及び収集された情報は、公開された情報と、不正アクセスから保護をするユーザ及びパスワードを表わす情報との間の不整合を介し、信用するに足りなくなったIDをユーザが検出できるようにする情報を提供する。
1 ユーザ
2 コンピュータ・プログラム
4 SMSパスコード有効化システム
8 ワンタイム・パスコード(OTP)
10 メッセージベース・ゲートウェイ
11 第一ネットワーク
12 第二ネットワーク
13 携帯電話
2 コンピュータ・プログラム
4 SMSパスコード有効化システム
8 ワンタイム・パスコード(OTP)
10 メッセージベース・ゲートウェイ
11 第一ネットワーク
12 第二ネットワーク
13 携帯電話
Claims (13)
- コンピュータ実行認証システムによって実装され、第一ユーザ・システムは第一通信ネットワークに接続可能であり、前記第一ユーザ・システムからコンピュータ・システムの対象コンポーネントへのアクセスを試みようとするユーザを認証するための方法であって、
少なくとも一つのコンピューティングデバイスによって、前記第一ユーザ・システムの第一ユーザ・インターフェースを介して、前記ユーザによって入力されたユーザ認証情報を受信するステップと、
前記少なくとも一つのコンピューティングデバイスによって、セッションIDと、第一ユーザ・システム又は第一通信ネットワークのプロパティを識別するコンテキスト情報の少なくとも一つの項目とを、前記第一通信ネットワーク経由で、取得するステップと、
前記少なくとも一つのコンピューティングデバイスによって、前記ユーザ認証情報を検証するとともに、前記ユーザ認証情報の検証の成功に応じて、前記コンピュータ実行認証システムから第二通信ネットワークを経由し第二ユーザ・システムへメッセージを送信するステップであって、前記メッセージは、
a)前記ユーザが前記コンテキスト情報の少なくとも一つの項目を検証できるように、前記第二ユーザ・システムが第二ユーザ・インターフェースを介して前記ユーザに対して前記コンテキスト情報の少なくとも一つの項目を少なくとも表示できる、前記取得したコンテキスト情報又は前記取得したコンテキスト情報の派生情報の少なくとも一つの項目と、
b)前記取得したコンテキスト情報の少なくとも一つとは異なり、且つ前記セッションIDに関連付けられた、リアルタイム・セッション固有のワンタイム・パスコードと
を具備する、ステップと、
前記少なくとも一つのコンピューティングデバイスによって、前記第一ユーザ・システム及び前記第一通信ネットワークを経由し、前記ユーザによって前記第一ユーザ・システムに入力されたパスコードを受信するステップと、
前記少なくとも一つのコンピューティングデバイスによって、前記リアルタイム・セッション固有のワンタイム・パスコード及び/又は前記セッションIDと比較して、前記入力されたパスコードを検証するとともに、前記入力されたパスコードの検証の成功に応じて、前記第一ユーザ・システムに対し前記対象コンポーネントに対するアクセス権を与えるステップと
を具備することを特徴とする方法。 - 前記対象コンポーネントは、コンピュータ、コンピュータ・プログラム、コンピュータ・プログラム機能、コンピュータ・リソース、コンピュータ・ネットワークから選択されることを特徴とする請求項1に記載の方法。
- 前記第一及び前記第二ユーザ・システムは、異なる装置であることを特徴とする請求項1又は請求項2に記載の方法。
- 前記第二ユーザ・システムは、前記メッセージを受信し、且つ表示するように設定されたポータブル通信装置であることを特徴とする請求項3に記載の方法。
- 前記第一及び前記第二ユーザ・システムは、前記第一及び前記第二ユーザ・インターフェースを提供するように構成された単一ユーザ・システムとして具現され、
前記方法は、前記第一ユーザ・インターフェースとは異なる前記単一ユーザ・システムの第二ユーザ・インターフェースを介して、前記単一ユーザ・システムによってコンテキスト情報の少なくとも一つの項目を少なくとも表示するステップを具備することを特徴とする請求項1に記載の方法。 - 前記第一及び前記第二通信ネットワークは、異なる通信ネットワークであることを特徴とする請求項1に記載の方法。
- 前記コンピュータ実行認証システムから前記ユーザへ前記パスコードを伝達するステップをさらに具備すること特徴とする請求項1に記載の方法。
- 前記第一ユーザ・システムによって表示される第二パスコード・ウィンドウを介して、前記コンピュータ実行認証システムから前記ユーザへ収集されたコンテキスト情報を伝達するステップをさらに具備することを特徴とする請求項1に記載の方法。
- 前記認証システムは、パスコードの生成と送信とを要求する前記ログイン試行によって生成された前記セッションIDのみで有効なパスコードをリアルタイムに生成することを特徴とする請求項1に記載の方法。
- 前記コンテキスト情報の少なくとも一つの項目は、前記第一ユーザ・システムとして使用されるコンピュータのコンピュータID、又は前記第一ユーザ・システムの位置に関するおおよその地域情報を具備することを特徴とする請求項1に記載の方法。
- 第一ユーザ・システムからコンピュータ・システムの対象コンポーネントへのアクセスを試みようとするユーザを認証するための命令が符号化されている非一時的コンピュータ可読媒体であって、プロセッサによって実行可能な前記命令が、
前記第一ユーザ・システムの第一ユーザ・インターフェースを介して、前記ユーザによって入力されたユーザ認証情報を受信することと、
セッションIDと、第一ユーザ・システム又は第一通信ネットワークのプロパティを識別するコンテキスト情報の少なくとも一つの項目とを、前記第一通信ネットワーク経由で、取得することと、
前記ユーザ認証情報を検証するとともに、前記ユーザ認証情報の検証の成功に応じて、コンピュータ実行認証システムから第二通信ネットワークを経由し第二ユーザ・システムへメッセージを送信することと、
前記第一ユーザ・システム及び前記第一通信ネットワークを経由し、前記ユーザによって前記第一ユーザ・システムに入力されたパスコードを受信することと、
リアルタイム・セッション固有のワンタイム・パスコード及び/又は前記セッションIDと比較して、前記入力されたパスコードを検証するとともに、前記入力されたパスコードの検証の成功に応じて、前記第一ユーザ・システムに対し前記対象コンポーネントに対するアクセス権を与えることと
を具備し、
前記メッセージは、
a)前記ユーザが前記コンテキスト情報の少なくとも一つの項目を検証できるように、前記第二ユーザ・システムが第二ユーザ・インターフェースを介して前記ユーザに対して前記コンテキスト情報の少なくとも一つの項目を少なくとも表示できる、前記取得したコンテキスト情報又は前記取得したコンテキスト情報の派生情報の少なくとも一つの項目と、
b)前記取得したコンテキスト情報の少なくとも一つとは異なり、且つ前記セッションIDに関連付けられた、前記リアルタイム・セッション固有のワンタイム・パスコードと
を具備することを特徴とする非一時的コンピュータ可読媒体。 - 第一ユーザ・システムは第一通信ネットワークに接続可能であり、前記第一ユーザ・システムからコンピュータ・システムの対象コンポーネントへのアクセスを試みようとするユーザを認証するためのシステムであって、
前記第一ユーザ・システムの第一ユーザ・インターフェースを介して、前記ユーザによって入力されたユーザ認証情報を受信する、第一ユーザ・システムと、
セッションIDと、第一ユーザ・システム又は第一通信ネットワークのプロパティを識別するコンテキスト情報の少なくとも一つの項目とを取得する、通信ネットワークと、
少なくとも一つのプロセッサを具備する、認証システムであって、前記少なくとも一つのプロセッサが、
前記ユーザ認証情報を検証するとともに、前記ユーザ認証情報の検証の成功に応じて、コンピュータ実行認証システムから第二通信ネットワークを経由し第二ユーザ・システムへメッセージを送信し、
前記第一ユーザ・システム及び前記第一通信ネットワークを経由し、前記ユーザによって前記第一ユーザ・システムに入力されたパスコードを受信し、
リアルタイム・セッション固有のワンタイム・パスコード及び/又は前記セッションIDと比較して、前記入力されたパスコードを検証するとともに、前記入力されたパスコードの検証の成功に応じて、前記第一ユーザ・システムに対し前記対象コンポーネントに対するアクセス権を与え、
前記メッセージが、
a)前記ユーザが前記コンテキスト情報の少なくとも一つの項目を検証できるように、前記第二ユーザ・システムが第二ユーザ・インターフェースを介して前記ユーザに対して前記コンテキスト情報の少なくとも一つの項目を少なくとも表示できる、前記取得したコンテキスト情報又は前記取得したコンテキスト情報の派生情報の少なくとも一つの項目と、
b)前記取得したコンテキスト情報の少なくとも一つとは異なり、且つ前記セッションIDに関連付けられた、前記リアルタイム・セッション固有のワンタイム・パスコードとを具備する、
認証システムと
を具備することを特徴とするシステム。 - 認証サーバをさらに具備し、前記少なくとも一つのプロセッサは前記第一ユーザ・システムに前記第一ユーザ・インターフェースをさらに提供することを特徴とする請求項12に記載のシステム。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DKPA200801547 | 2008-11-10 | ||
DKPA200801547 | 2008-11-10 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011535132A Division JP2012508410A (ja) | 2008-11-10 | 2009-11-10 | Id盗難又は複製を用いた不正使用に対する保護の方法とシステム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2015039214A true JP2015039214A (ja) | 2015-02-26 |
Family
ID=41572489
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011535132A Pending JP2012508410A (ja) | 2008-11-10 | 2009-11-10 | Id盗難又は複製を用いた不正使用に対する保護の方法とシステム |
JP2014206183A Pending JP2015039214A (ja) | 2008-11-10 | 2014-10-07 | Id盗難又は複製を用いた不正使用に対する保護の方法とシステム |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011535132A Pending JP2012508410A (ja) | 2008-11-10 | 2009-11-10 | Id盗難又は複製を用いた不正使用に対する保護の方法とシステム |
Country Status (8)
Country | Link |
---|---|
US (1) | US8893243B2 (ja) |
EP (1) | EP2359290B8 (ja) |
JP (2) | JP2012508410A (ja) |
CA (1) | CA2742705C (ja) |
DK (1) | DK2359290T3 (ja) |
MY (1) | MY178936A (ja) |
PL (1) | PL2359290T3 (ja) |
WO (1) | WO2010052332A1 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2018533141A (ja) * | 2015-10-22 | 2018-11-08 | オラクル・インターナショナル・コーポレイション | エンドユーザによって起動されるアクセスサーバ真正性チェック |
Families Citing this family (34)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8359278B2 (en) | 2006-10-25 | 2013-01-22 | IndentityTruth, Inc. | Identity protection |
US9357384B2 (en) * | 2009-02-09 | 2016-05-31 | International Business Machines Corporation | System and method to support identity theft protection as part of a distributed service oriented ecosystem |
US9652802B1 (en) | 2010-03-24 | 2017-05-16 | Consumerinfo.Com, Inc. | Indirect monitoring and reporting of a user's credit data |
US20110314549A1 (en) * | 2010-06-16 | 2011-12-22 | Fujitsu Limited | Method and apparatus for periodic context-aware authentication |
US9408066B2 (en) | 2010-12-06 | 2016-08-02 | Gemalto Inc. | Method for transferring securely the subscription information and user data from a first terminal to a second terminal |
EP2461613A1 (en) * | 2010-12-06 | 2012-06-06 | Gemalto SA | Methods and system for handling UICC data |
AU2012217565B2 (en) | 2011-02-18 | 2017-05-25 | Csidentity Corporation | System and methods for identifying compromised personally identifiable information on the internet |
WO2013009280A2 (en) * | 2011-07-11 | 2013-01-17 | Maxwell Ryan Lee | Method of cryptology to authenticate, deny, and disinform |
WO2013014482A1 (en) * | 2011-07-27 | 2013-01-31 | Chleon Automotive Ltd. | Secure data authentication system and method |
US8819793B2 (en) | 2011-09-20 | 2014-08-26 | Csidentity Corporation | Systems and methods for secure and efficient enrollment into a federation which utilizes a biometric repository |
US11030562B1 (en) | 2011-10-31 | 2021-06-08 | Consumerinfo.Com, Inc. | Pre-data breach monitoring |
JP2014002435A (ja) * | 2012-06-15 | 2014-01-09 | Digital Forest Inc | 認証コード発行システム、および認証システム |
JP5763592B2 (ja) * | 2012-06-27 | 2015-08-12 | 株式会社野村総合研究所 | 認証システムおよび認証装置 |
CN103581120B (zh) | 2012-07-24 | 2018-04-20 | 阿里巴巴集团控股有限公司 | 一种识别用户风险的方法和装置 |
US10367642B1 (en) * | 2012-12-12 | 2019-07-30 | EMC IP Holding Company LLC | Cryptographic device configured to transmit messages over an auxiliary channel embedded in passcodes |
US8812387B1 (en) | 2013-03-14 | 2014-08-19 | Csidentity Corporation | System and method for identifying related credit inquiries |
US9516018B1 (en) * | 2013-03-15 | 2016-12-06 | Microstrategy Incorporated | Credential technology |
CA2915570C (en) | 2013-06-20 | 2021-11-09 | Sms Passcode A/S | Method and system protecting against identity theft or replication abuse |
CN106489248A (zh) * | 2014-05-13 | 2017-03-08 | 埃利蒙特公司 | 用于与移动设备相关的电子钥匙供应和访问管理的***和方法 |
US9306930B2 (en) | 2014-05-19 | 2016-04-05 | Bank Of America Corporation | Service channel authentication processing hub |
US9836594B2 (en) | 2014-05-19 | 2017-12-05 | Bank Of America Corporation | Service channel authentication token |
US10339527B1 (en) | 2014-10-31 | 2019-07-02 | Experian Information Solutions, Inc. | System and architecture for electronic fraud detection |
US10652739B1 (en) | 2014-11-14 | 2020-05-12 | United Services Automobile Association (Usaa) | Methods and systems for transferring call context |
US9648164B1 (en) | 2014-11-14 | 2017-05-09 | United Services Automobile Association (“USAA”) | System and method for processing high frequency callers |
US20160275301A1 (en) * | 2015-03-17 | 2016-09-22 | Dots Communication, Inc. | Information sharing control |
WO2017004593A1 (en) * | 2015-07-02 | 2017-01-05 | Dots Communication, Inc. | Information sharing control |
US11151468B1 (en) | 2015-07-02 | 2021-10-19 | Experian Information Solutions, Inc. | Behavior analysis using distributed representations of event data |
AU2016343268A1 (en) * | 2015-10-23 | 2018-04-19 | Alcolizer Pty Ltd | A mind-altering substance testing system |
US10122719B1 (en) * | 2015-12-31 | 2018-11-06 | Wells Fargo Bank, N.A. | Wearable device-based user authentication |
KR102458805B1 (ko) | 2017-04-20 | 2022-10-25 | 구글 엘엘씨 | 장치에 대한 다중 사용자 인증 |
US10699028B1 (en) | 2017-09-28 | 2020-06-30 | Csidentity Corporation | Identity security architecture systems and methods |
US10896472B1 (en) | 2017-11-14 | 2021-01-19 | Csidentity Corporation | Security and identity verification system and architecture |
US10965659B2 (en) * | 2018-11-09 | 2021-03-30 | International Business Machines Corporation | Real-time cookie format validation and notification |
CN110430043B (zh) * | 2019-07-05 | 2022-11-08 | 视联动力信息技术股份有限公司 | 一种认证方法、***及装置和存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002032692A (ja) * | 2000-07-17 | 2002-01-31 | Pioneer Electronic Corp | 情報サービス提供方法 |
JP2007026039A (ja) * | 2005-07-15 | 2007-02-01 | Hitachi Information Technology Co Ltd | 認証システム、認証方法、及び、認証プログラム |
US20070077916A1 (en) * | 2005-10-04 | 2007-04-05 | Forval Technology, Inc. | User authentication system and user authentication method |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5881226A (en) * | 1996-10-28 | 1999-03-09 | Veneklase; Brian J. | Computer security system |
GB9929291D0 (en) | 1999-12-11 | 2000-02-02 | Connectotel Limited | Strong authentication method using a telecommunications device |
US20030172272A1 (en) | 2000-05-24 | 2003-09-11 | Ehlers Gavin Walter | Authentication system and method |
GB2377523B (en) | 2001-04-12 | 2003-11-26 | Netdesigns Ltd | User identity verification system |
GB2379040A (en) | 2001-08-22 | 2003-02-26 | Int Computers Ltd | Controlling user access to a remote service by sending a one-time password to a portable device after normal login |
JP2003281448A (ja) | 2002-03-25 | 2003-10-03 | Nippon Telegr & Teleph Corp <Ntt> | インターネットアクセス機能を持つ携帯装置を用いたユーザ認証により商品を購入する匿名商品購入システム |
JP3678417B2 (ja) * | 2002-04-26 | 2005-08-03 | 正幸 糸井 | 個人認証方法及びシステム |
JP3820477B2 (ja) | 2002-12-10 | 2006-09-13 | 日本電信電話株式会社 | ブラウザフォンのメールによるユーザ認証方法、ユーザ認証サーバ、認証サーバのユーザ認証方法、及び認証サーバのユーザ認証プログラム並びにそのプログラムを記録した記録媒体 |
GB2397731B (en) | 2003-01-22 | 2006-02-22 | Ebizz Consulting Ltd | Authentication system |
JP2005078452A (ja) | 2003-09-01 | 2005-03-24 | Sony Corp | アクセス制御方法及びサーバ |
JP2005209083A (ja) * | 2004-01-26 | 2005-08-04 | Japan Telecom Co Ltd | サービスシステム、及びそれを用いた通信システム、通信方法 |
US20070136573A1 (en) | 2005-12-05 | 2007-06-14 | Joseph Steinberg | System and method of using two or more multi-factor authentication mechanisms to authenticate online parties |
JP2007328381A (ja) | 2006-05-09 | 2007-12-20 | Ids:Kk | ネットバンキングにおける認証システム及び方法 |
-
2009
- 2009-11-10 CA CA2742705A patent/CA2742705C/en active Active
- 2009-11-10 WO PCT/EP2009/064897 patent/WO2010052332A1/en active Application Filing
- 2009-11-10 EP EP09760503.4A patent/EP2359290B8/en active Active
- 2009-11-10 MY MYPI2011001850A patent/MY178936A/en unknown
- 2009-11-10 JP JP2011535132A patent/JP2012508410A/ja active Pending
- 2009-11-10 PL PL09760503T patent/PL2359290T3/pl unknown
- 2009-11-10 US US13/128,303 patent/US8893243B2/en active Active
- 2009-11-10 DK DK09760503.4T patent/DK2359290T3/en active
-
2014
- 2014-10-07 JP JP2014206183A patent/JP2015039214A/ja active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002032692A (ja) * | 2000-07-17 | 2002-01-31 | Pioneer Electronic Corp | 情報サービス提供方法 |
JP2007026039A (ja) * | 2005-07-15 | 2007-02-01 | Hitachi Information Technology Co Ltd | 認証システム、認証方法、及び、認証プログラム |
US20070077916A1 (en) * | 2005-10-04 | 2007-04-05 | Forval Technology, Inc. | User authentication system and user authentication method |
JP2007102777A (ja) * | 2005-10-04 | 2007-04-19 | Forval Technology Inc | ユーザ認証システムおよびその方法 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2018533141A (ja) * | 2015-10-22 | 2018-11-08 | オラクル・インターナショナル・コーポレイション | エンドユーザによって起動されるアクセスサーバ真正性チェック |
US10666643B2 (en) | 2015-10-22 | 2020-05-26 | Oracle International Corporation | End user initiated access server authenticity check |
Also Published As
Publication number | Publication date |
---|---|
US8893243B2 (en) | 2014-11-18 |
PL2359290T3 (pl) | 2017-09-29 |
WO2010052332A1 (en) | 2010-05-14 |
CA2742705A1 (en) | 2010-05-14 |
EP2359290B1 (en) | 2017-05-10 |
CA2742705C (en) | 2017-09-12 |
JP2012508410A (ja) | 2012-04-05 |
US20110302641A1 (en) | 2011-12-08 |
MY178936A (en) | 2020-10-23 |
EP2359290A1 (en) | 2011-08-24 |
EP2359290B8 (en) | 2017-08-09 |
DK2359290T3 (en) | 2017-07-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8893243B2 (en) | Method and system protecting against identity theft or replication abuse | |
US8510811B2 (en) | Network transaction verification and authentication | |
US8990356B2 (en) | Adaptive name resolution | |
CN101227468B (zh) | 用于认证用户到网络的方法、设备和*** | |
US8677466B1 (en) | Verification of digital certificates used for encrypted computer communications | |
US9059985B1 (en) | Methods for fraud detection | |
CN108880822B (zh) | 一种身份认证方法、装置、***及一种智能无线设备 | |
US20050021975A1 (en) | Proxy based adaptive two factor authentication having automated enrollment | |
US8474014B2 (en) | Methods for the secure use of one-time passwords | |
WO2019047513A1 (zh) | 一种互联网防攻击方法及认证服务器 | |
US8869238B2 (en) | Authentication using a turing test to block automated attacks | |
JP5844471B2 (ja) | インターネットベースのアプリケーションへのアクセスを制御する方法 | |
US20130254857A1 (en) | Preventing Unauthorized Account Access Using Compromised Login Credentials | |
EP2579539A1 (en) | Authenicated name resolution | |
Bicakci et al. | Mobile authentication secure against man-in-the-middle attacks | |
CN105357186B (zh) | 一种基于带外验证和增强otp机制的二次认证方法 | |
JP2016524248A (ja) | 身元情報の窃盗又は複製行為から保護する方法及びシステム | |
JP2008181310A (ja) | 認証サーバおよび認証プログラム | |
WO2016188335A1 (zh) | 用户数据的访问控制方法、装置及*** | |
JP4698751B2 (ja) | アクセス制御システム、認証サーバシステムおよびアクセス制御プログラム | |
US10834074B2 (en) | Phishing attack prevention for OAuth applications | |
KR20080083418A (ko) | 챕 챌린지 메시지를 이용한 네트워크 액세스 인증 방법 및시스템. | |
KR20140023085A (ko) | 사용자 인증 방법, 인증 서버 및 사용자 인증 시스템 | |
JP2023073844A (ja) | 認証システム、認証端末及び認証プログラム | |
CN116192460A (zh) | 流量转发方法、装置、存储介质及电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150728 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150803 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20160314 |