JP2017519412A - 認証装置の登録のための強化されたセキュリティ - Google Patents

認証装置の登録のための強化されたセキュリティ Download PDF

Info

Publication number
JP2017519412A
JP2017519412A JP2016566924A JP2016566924A JP2017519412A JP 2017519412 A JP2017519412 A JP 2017519412A JP 2016566924 A JP2016566924 A JP 2016566924A JP 2016566924 A JP2016566924 A JP 2016566924A JP 2017519412 A JP2017519412 A JP 2017519412A
Authority
JP
Japan
Prior art keywords
user
relying party
code
authentication
authenticator
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2016566924A
Other languages
English (en)
Other versions
JP2017519412A5 (ja
Inventor
ロルフ リンデマン
ロルフ リンデマン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nok Nok Labs Inc
Original Assignee
Nok Nok Labs Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nok Nok Labs Inc filed Critical Nok Nok Labs Inc
Publication of JP2017519412A publication Critical patent/JP2017519412A/ja
Publication of JP2017519412A5 publication Critical patent/JP2017519412A5/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/12Payment architectures specially adapted for electronic shopping systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3823Payment protocols; Details thereof insuring higher security of transaction combining multiple encryption tools for a transaction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4014Identity check for transactions
    • G06Q20/40145Biometric identity checks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/14Multichannel or multilink protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Accounting & Taxation (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Finance (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Software Systems (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

登録時の強化されたセキュリティのためのシステム、装置、方法、及び機械可読媒体が説明される。例えば、方法の一実施形態は、依拠当事者側で認証部を登録するための要求を受信することと、ユーザから認証されたアウトオブバンド通信チャネルを介して依拠当事者にコードを送信することと、コードを使用してユーザのアイデンティティを検証し、肯定的な検証に応答して認証部を応答性良く登録することと、を含む。

Description

本発明は、概して、データ処理システムの分野に関する。より具体的には、本発明は、認証装置のセキュアな登録のための装置及び方法に関する。
システムはまた、バイオメトリックセンサを使用してネットワーク上でセキュアなユーザ認証を提供するために設計されている。そのようなシステムにおいて、認証部によって生成されたスコア、及び/又は他の認証データは、遠隔サーバでユーザを認証するためにネットワークを介して送信され得る。例えば、特許出願第2011/0082801号(「第‘801号出願」)は、強力な認証(例えば、アイデンティティ盗難やフィッシングに対する保護)、セキュアトランザクション(例えば、「ブラウザにおけるマルウェア」及びトランザクションについての「中間者」攻撃に対する保護)、並びに、クライアント認証トークンの登録/管理(例えば、指紋リーダ、顔認識装置、スマートカード、トラステッドプラットフォームモジュールなど)を提供するネットワーク上のユーザ登録及び認証のためのフレームワークについて記載している。
本出願の譲受人は、第‘801号出願に記載された認証フレームワークに対する様々な改善を開発している。これらの改善のうちいくつかは、本件の譲受人に譲渡された以下の一群の米国特許出願(「同時係属出願」)に記載されている:第13/730,761号、Query System and Method to Determine Authentication Capabilities;第13/730,776号、System and Method for Efficiently Enrolling,Registering,and Authenticating With Multiple Authentication Devices;第13/730,780号、System and Method for Processing Random Challenges Within an Authentication Framework;第13/730,791号、System and Method for Implementing Privacy Classes Within an Authentication Framework;第13/730,795号、System and Method for Implementing Transaction Signaling Within an Authentication Framework;第14/218,504、Advanced Authentication Techniques and Applications(以下「第’504号出願」)。
簡潔に述べると、同時係属出願は、ユーザがクライアント装置上のバイオメトリック装置(例えば、指紋センサ)などの認証装置(又は認証部)に登録する認証技術を記載している。ユーザがバイオメトリック装置に登録すると、バイオメトリック基準データが認証装置のバイオメトリックセンサによって捕捉される(例えば、指をスワイプし、写真を撮影し、音声を録音することなどによって)。ユーザは、その後、認証装置をネットワークを介して1つ以上のサーバ(例えば、同時係属出願に記載されているようなセキュアトランザクションサービスを備えたウェブサイト又は他の依拠当事者)に登録し、その後、登録プロセスの間に交換したデータ(例えば、認証装置内にプロビジョンされた暗号鍵)を使用してそれらのサーバに登録することができる。認証されると、ユーザは、ウェブサイト又は他の依拠当事者と1つ以上のオンライントランザクションを実行することが許可される。同時係属出願に記載されたフレームワークにおいて、ユーザを固有に識別するために使用可能な指紋データ及び他のデータなどの機密情報は、ユーザのプライバシーを保護するためにユーザの認証装置上でローカルに保持されてもよい。第’504号出願は、ほんの2〜3の例を挙げると、複合的な認証部を設計し、認証の保証レベルをインテリジェントに生成し、非侵襲型ユーザ検証を使用し、認証データを新しい認証装置に転送し、認証データをクライアントリスクデータによって増強し、認証ポリシーを適応的に適用し、かつ信頼の輪を築くための技術を含む様々な追加の技術を記載している。
本発明のより良好な理解は、以下の図面と共に以下の詳細な説明から得ることができる。
セキュアな認証システムアーキテクチャの2つの異なる実施形態を図示している。 セキュアな認証システムアーキテクチャの2つの異なる実施形態を図示している。 鍵を認証装置に登録することができる方法を示すトランザクション図である。 セキュアディスプレイを使用するセキュアトランザクション確認の実施形態を図示している。 セキュアディスプレイを使用するセキュアトランザクション確認の実施形態を図示している。 依拠当事者に登録するための本発明の一実施形態を図示している。 本発明の一実施形態におけるクエリポリシーの登録操作が実装される方法を示すトランザクション図を図示している。 強化されたセキュリティを有する登録のアーキテクチャの一実施形態を図示している。 セキュアな登録方法の一実施形態を図示している。 セキュアな登録方法の異なる実施形態を図示している。 セキュアな登録方法の異なる実施形態を図示している。 秘密がユーザから依拠当事者に送信される方法の別の実施形態を図示している。 ユーザの既存の資格証明書が登録のために使用される方法の別の実施形態を図示している。 本発明の実施形態を実行するためのコンピュータシステムの例示的な実施形態を図示している。 本発明の実施形態を実行するためのコンピュータシステムの例示的な実施形態を図示している。
以下に説明するものは、高度な認証技術及び関連するアプリケーションを実行するための装置、方法及び機械可読媒体の実施形態である。説明を通して、説明の目的のために、多数の具体的な詳細が本発明の完全な理解を提供するために記載されている。しかしながら、本発明が、これらの具体的な詳細の一部がなくても実施され得ることは当業者にとって明らかであろう。他の例において、周知の構造及び装置は示されていないか、又は、本発明の基本原理を曖昧にすることを避けるためにブロック図の形態で示されている。
以下に説明する本発明の実施形態には、バイオメトリック装置又はPIN入力などのユーザ検証機能を備えた認証装置が含まれる。これらの装置は、「トークン」、「認証装置」、又は「認証部」と称される場合もある。特定の実施形態は、顔認識ハードウェア/ソフトウェア(例えば、ユーザの顔を認識してユーザの眼の動きを追跡するためのカメラ及び関連するソフトウェア)に焦点を当てているが、いくつかの実施形態は、例えば、指紋センサ、音声認識ハードウェア/ソフトウェア(例えば、マイクロフォン及びユーザの音声を認識するための関連するソフトウェア)、及び光学的認識機能(例えば、ユーザの網膜をスキャンするための光学スキャナ及び関連するソフトウェア)を含む、追加のバイオメトリック装置を利用することができる。ユーザ検証機能は、PIN入力のような、非バイオメトリック様相を含んでもよい。認証部は、トラステッドプラットフォームモジュール(TPM)、スマートカード、及びセキュアな要素などの装置を暗号操作のために使用し得る。
モバイルバイオメトリックの実装において、生体認証装置は、依拠当事者から遠隔にあってもよい。本明細書では、「遠隔」という用語は、バイオメトリックセンサが通信可能に結合されているコンピュータのセキュリティ区域の一部ではない(例えば、依拠当事者のコンピュータと同じ物理的筐体内に埋め込まれていない)ことを意味する。一例として、バイオメトリック装置は、ネットワーク(例えば、インターネット、無線ネットワークリンクなど)を介して又はUSBポートなどの周辺入力を介して依拠当事者に結合することができる。これらの条件下では、その装置が依拠当事者(例えば、認証強度及び完全性保護の許容可能なレベルを提供するもの)によって認証されるものであるかどうか及び/又はハッカーがバイオメトリック装置を侵害したかどうか若しくは更には交換したかどうかを依拠当事者が知る方法はない可能性がある。バイオメトリック装置における信頼は、装置の特定の実装に依存する。
「ローカル」という用語は、ユーザが現金自動預け払い機(ATM)又は店舗販売時点情報管理(POS)小売チェックアウトの位置などの特定の位置において個人がトランザクションを完了していることを意味するために本明細書において使用される。しかしながら、以下に説明するように、ユーザを認証するために用いられる認証技術は、遠隔サーバ及び/又は他のデータ処理装置とのネットワークを介した通信などの非位置要素を含むことができる。更に、具体的な実施形態が(ATMや小売店など)本明細書において記載されるが、本発明の基礎原理は、トランザクションがエンドユーザによってローカルに開始される任意のシステムのコンテキスト内で実装されてもよいことに留意すべきである。
「依拠当事者」という用語は、単にユーザのトランザクションを実行しようとしているエンティティ(例えば、ユーザトランザクションを実行するウェブサイト又はオンラインサービス)のみならず、本明細書に記載された基礎となる認証技術を実行することができるそのエンティティの代わりに実装されるセキュアトランザクションサーバを指すために本明細書において使用される場合もある。セキュアトランザクションサーバは、所有される及び/又は依拠当事者の制御下にあってもよく、又は、事業構成の一部として依拠当事者に対してセキュアトランザクションサービスを提供する第三者の制御下にあってもよい。
「サーバ」という用語は、クライアントからネットワークを介してリクエストを受信し、応答として1つ以上の操作を実行し、クライアントに通常は操作の結果を含む応答を伝送するハードウェアプラットフォーム上で(又は複数のハードウェアプラットフォームにわたって)実行されるソフトウェアを指すために本明細書において使用される。サーバは、クライアントに対してネットワーク「サービス」を提供する又は提供するのに役立つように、クライアントのリクエストに応答する。重要なことは、サーバが単一のコンピュータ(例えば、サーバソフトウェアを実行する単一のハードウェア装置)に限定されるものではなく、実際には、潜在的に複数の地理的位置における複数のハードウェアプラットフォームにまたがってもよいということである。
例示的なシステムアーキテクチャ
図1A及び図1Bは、ユーザ認証に関して、クライアント側及びサーバ側の構成要素を含むシステムアーキテクチャの2つの実施形態を例示する。図1Aに示される実施形態は、ウェブサイトと通信するためのウェブブラウザプラグインベースのアーキテクチャを用いる一方で、図1Bで示される実施形態は、ブラウザを必要としない。ユーザを認証装置に登録すること、認証装置をセキュアなサーバに登録すること、及びユーザを検証することなどの、本明細書に記載の様々な技術は、これらのシステムアーキテクチャのうちのどちらにも実装され得る。このため、図1Aに示されるアーキテクチャは、以下に説明される実施形態のうちのいくつかの動作を実証するために使用されているものの、同じ基本原則は、図1Bに示されるシステムに容易に実装され得る(例えば、サーバ130とクライアント上のセキュアトランザクションサービス101との間の通信手段としてのブラウザプラグイン105を削除することによって)。
先ず図1Aを参照すると、図示されている実施形態は、エンドユーザを登録及び検証するための1つ以上の認証装置110〜112(当該技術分野では、「トークン」又は「認証部」と称される場合もある)を備えたクライアント100を含む。上述したように、認証装置110〜112は、指紋センサ、音声認識ハードウェア/ソフトウェア(例えば、ユーザの音声を認識するためのマイクロフォン及び関連するソフトウェア)、顔認識ハードウェア/ソフトウェア(例えば、ユーザの顔を認識するためのカメラ及び関連するソフトウェア)、及び光学認識機能(ユーザの網膜をスキャンするための光スキャナ及び関連するソフトウェア)などのバイオメトリック装置、並びにPIN検証などの非バイオメトリック様相のサポートを含むことができる。認証装置は、トラステッドプラットフォームモジュール(TPM)、スマートカード、又はセキュアな要素を暗号操作及び鍵記憶のために使用してもよい。
認証装置110〜112は、セキュアトランザクションサービス101によって露出されたインターフェース102(例えば、アプリケーションプログラミングインターフェース又はAPI)を介してクライアントに通信可能に接続されている。セキュアトランザクションサービス101は、ネットワークを介して1つ以上のセキュアトランザクションサーバ132〜133と通信を行い、かつウェブブラウザ104のコンテキスト内で実行されるセキュアトランザクションプラグイン105とインターフェースするためのセキュアアプリケーションである。図示されたように、インターフェース102はまた、装置識別コード、ユーザ識別コード、認証装置によって保護されるユーザ登録データ(例えば、スキャンされた指紋又は他のバイオメトリックデータ)などの認証装置110〜112のそれぞれに関連する情報と、認証装置によって覆い包まれている本明細書に記載されたセキュア認証技術を実行するために使用される鍵とを記憶するクライアント100におけるセキュア記憶装置120に対するセキュアアクセスを提供することができる。例えば、以下に詳細に説明するように、固有の鍵は、認証装置のそれぞれに記憶され、インターネットなどのネットワークを介してサーバ130と通信するときに使用することができる。
後述するように、特定の種類のネットワークトランザクションは、ウェブサイト131又は他のサーバとのHTTP又はHTTPSトランザクションなどのセキュアトランザクションプラグイン105によって、サポートされる。一実施形態において、セキュアトランザクションプラグインは、セキュアエンタープライズ又はウェブデスティネーション130内のウェブサーバ131(以下では単に「サーバ130」と称される場合もある)によってウェブページのHTMLコード内に挿入された特定のHTMLタグに応答して開始される。そのようなタグを検出することに応答して、セキュアトランザクションプラグイン105は、処理のために、セキュアトランザクションサービス101に、トランザクションを転送することができる。更に、特定の種類のトランザクション(例えば、セキュア鍵交換などの)について、セキュアトランザクションサービス101は、オンプレミストランザクションサーバ132(すなわち、ウェブサイトと同じ位置に配置された)又はオフプレミストランザクションサーバ133との直接の通信チャンネルを開くことができる。
セキュアトランザクションサーバ132〜133は、ユーザデータ、認証装置データ、鍵、及び、後述するセキュア認証トランザクションをサポートするために必要な他のセキュア情報を記憶するためにセキュアトランザクションデータベース120に結合される。しかしながら、本発明の基本原理は、図1Aに示されるセキュアエンタープライズ又はウェブデスティネーション130内の論理的な構成要素の分離を必要としないことに留意すべきである。例えば、ウェブサイト131及びセキュアトランザクションサーバ132〜133は、単一の物理サーバ又は他の物理サーバ内に実装されてもよい。更に、ウェブサイト131及びトランザクションサーバ132〜133は、以下に説明する機能を実行するための1つ以上のサーバ上で実行される統合されたソフトウェアモジュール内に実装されてもよい。
上述したように、本発明の基本原理は、図1Aに示されるブラウザベースアーキテクチャに限定されるものではない。図1Bは、スタンドアロンアプリケーション154がネットワークを介してユーザを認証するためにセキュアトランザクションサービス101によって提供される機能を利用する代替の実施形態を示している。一実施形態において、アプリケーション154は、以下に詳細に説明したユーザ/クライアント認証技術を実行するためのセキュアトランザクションサーバ132〜133に依存する1つ以上のネットワークサービス151との通信セッションを確立するように設計されている。
図1A及び図1Bに示された実施形態のどちらにおいても、セキュアトランザクションサーバ132〜133は、次いでセキュアトランザクションサービス101に対してセキュアに伝送され、かつセキュア記憶装置120内の認証装置に記憶される鍵を生成することができる。更に、セキュアトランザクションサーバ132〜133は、サーバ側のセキュアトランザクションデータベース120を管理する。
装置の登録及びトランザクションの確認
本発明の一実施形態は、登録中にセキュアトランザクション確認技術を用いる。したがって、様々な登録及びセキュアトランザクションの操作が図2〜5を参照して最初に説明され、認証装置のセキュアな登録のための本発明の実施形態の詳細な説明がそれに続く。
図2は、認証装置を登録するための一連のトランザクションを図示している。登録時に、鍵は認証装置とセキュアトランザクションサーバ132〜133のうちの1つとの間で共有される。鍵は、クライアント100のセキュア記憶装置120及びセキュアトランザクションサーバ132〜133によって使用されるセキュアトランザクションデータベース120内に記憶される。一実施形態において、鍵は、セキュアトランザクションサーバ132〜133のいずれかによって生成された対称鍵である。しかしながら、以下に説明する他の実施形態において、非対称鍵を使用することができる。本実施形態において、公開鍵は、セキュアトランザクションサーバ132〜133によって記憶され得、第2の関連する秘密鍵は、クライアントのセキュア記憶装置120に記憶され得る。更に、別の実施形態において、鍵(複数可)は、(例えば、セキュアトランザクションサーバ132〜133よりもむしろ認証装置又は認証装置インターフェースによって)クライアント100上に生成され得る。本発明の基本原理は、任意の特定の種類の鍵又は鍵の生成方法に限定されるものではない。
動的対称鍵プロビジョニングプロトコル(DSKPP)などのセキュア鍵プロビジョニングプロトコルはセキュア通信チャンネルを介してクライアントと鍵を共有するために使用することができる(例えば、コメントについての要求(RFC)6063を参照)。しかしながら、本発明の基本原理は、いかなる特定の鍵プロビジョニングプロトコルにも限定されるものではない。
図2に示される具体的な詳細を参照すると、ひとたびユーザ登録又はユーザ検証が完了すると、サーバ130は、装置登録の間にクライアントによって提出されなければならないランダム生成チャレンジ(例えば、暗号化ナンス)を生成する。ランダムチャレンジは、限られた期間について有効であり得る。セキュアトランザクションプラグインは、ランダムチャレンジを検出し、それをセキュアトランザクションサービス101に転送する。それに応答して、セキュアトランザクションサービスは、サーバ130(例えば、アウトオブバンドトランザクション)とのアウトオブバンドのセッションを開始し、鍵プロビジョニングプロトコルを使用してサーバ130と通信する。サーバ130は、ユーザ名によってユーザを捜し出し、ランダムチャレンジを有効化し、装置の認証コードが送信された場合にその認証コードを有効化し、セキュアトランザクションデータベース120にユーザのための新たなエントリを作成する。それはまた、鍵を生成し、データベース120に鍵を書き込み、鍵プロビジョニングプロトコルを使用してセキュアトランザクションサービス101に鍵を返送することができる。完了すると、認証装置及びサーバ130は、対称鍵が使用された場合には同じ鍵を共有し、非対称鍵が使用された場合には異なる鍵を共有する。
図3Aは、ブラウザベースの実装のためのセキュアトランザクションの確認を図示している。ブラウザベースの実装が図示されているものの、同じ基本原則は、スタンドアロンアプリケーション又はモバイル装置のアプリケーションを使用して実装され得る。
セキュアトランザクション確認は、特定の種類のトランザクション(例えば、金融トランザクション)についてより強力なセキュリティを提供するように設計されている。図示された実施形態において、ユーザは、トランザクションを委任する前に各トランザクションを確認する。図示された技術を使用して、ユーザは、彼/彼女が委任したいものを正確に確認し、彼/彼女がグラフィカルユーザインターフェース(GUI)のウィンドウ301に表示されているのを見るものを正確に委任する。換言すれば、本実施形態は、ユーザが確認しなかったトランザクションを委任するためにトランザクションテキストが「中間者」(MITM)又は「マンインザブラウザ攻撃」(MITB)によって変更されることがないことを保証する。
一実施形態において、セキュアトランザクションプラグイン105は、トランザクションの詳細を示すためにブラウザコンテキスト内にウィンドウ301を表示する。セキュアトランザクションサーバ101は、ウィンドウに表示されるテキストが誰かによって改竄されていないことを定期的に(例えば、ランダムな間隔で)検証する。異なる実施形態において、認証装置は、トラステッドユーザインターフェース(例えば、GlobalPlatformのTrustedUIに適合するAPIを提供する)を有する。
以下の例は、この実施形態の動作を強調するために役立つ。ユーザは、商人のサイトから購入する項目を選択し、「チェックアウト」を選択する。商人のサイトは、本明細書に記載された発明の1つ以上の実施形態を実装するセキュアトランザクションサーバ132〜133を有するサービスプロバイダ(例えば、PayPal)にトランザクションを送信する。商人のサイトは、ユーザを認証し、トランザクションを完了する。
セキュアトランザクションサーバ132〜133は、トランザクション詳細(TD)を受信し、HTMLページにおいて「セキュアトランザクション」要求を作成し、クライアント100に送信する。セキュアトランザクション要求は、トランザクション詳細及びランダムチャレンジを含む。セキュアトランザクションプラグイン105は、トランザクションの確認メッセージの要求を検出し、セキュアトランザクションサービス101に全てのデータを転送する。ブラウザやプラグインを使用していない実施形態において、情報は、セキュアトランザクションサーバからクライアント100上のセキュアトランザクションサービスに対して直接送信することができる。
ブラウザベースの実装については、セキュアトランザクションプラグイン105は、(例えば、ブラウザコンテキスト内で)ユーザにトランザクション詳細を有するウィンドウ301を表示し、トランザクションを確認するために認証を提供するようにユーザに要求する。ブラウザやプラグインを使用していない実施形態において、セキュアトランザクションサービス101、アプリケーション154(図1B)、又は認証装置110は、ウィンドウ301を表示することができる。セキュアトランザクションサービス101は、タイマを起動し、ユーザに表示されているウィンドウ301の内容を検証する。検証期間は、ランダムに選択することができる。セキュアトランザクションサービス101は、ユーザがウィンドウ301内に有効なトランザクション詳細を見ること(例えば、詳細に関するハッシュを生成し、正確な内容のハッシュと比較することによって内容が正確であることを検証すること)を保証する。それは、内容が改竄されていることを検出した場合、確認トークン/署名が生成されるのを防止する。
ユーザが有効な検証データ(例えば、指紋センサ上で指をスワイプすることによって)を提供した後、認証装置は、ユーザを検証し、トランザクション詳細やランダムチャレンジによって暗号化署名(「トークン」と称される場合もある)を生成する(すなわち、署名は、トランザクション詳細及びナンスにわたって計算される)。これは、トランザクションの詳細がサーバとクライアントの間で変更されていないことをセキュアトランザクションサーバ132〜133が確認するのを可能にする。セキュアトランザクションサービス101は、セキュアトランザクションサーバ132〜133に署名を転送するセキュアトランザクションプラグイン105に対して生成された署名及びユーザ名を送信する。セキュアトランザクションサーバ132〜133は、ユーザ名によってユーザを識別し、署名を検証する。検証が成功すると、確認メッセージがクライアントに送信され、トランザクションが処理される。
本発明の一実施形態は、セキュアトランザクションサーバが、サーバによって許容される認証機能を示すサーバポリシーをクライアントに伝送するクエリポリシーを実装する。次いで、クライアントは、サーバポリシーを分析して、サーバポリシーがサポートし、かつ/又はユーザが使用する願望を示した認証機能のサブセットを識別する。次いで、クライアントは、提供されたポリシーに一致する認証トークンのサブセットを使用してユーザを登録及び/又は認証する。したがって、クライアントは、その認証機能についての網羅的な情報(例えば、その認証装置の全て)又はクライアントを一意的に識別するために使用され得る他の情報を伝送する必要がないことから、クライアントのプライバシーに対する影響度はより低くなる。
限定としてではなく例示として、クライアントは、例を挙げると、指紋センサ、音声認識機能、顔認識機能、眼/光学的認識機能、PIN検証などの多くユーザ検証機能を含むことができる。しかしながら、プライバシー上の理由から、ユーザは、要求サーバに対してその機能の全ての詳細を明かすことを望まないかもしれない。このため、本明細書に記載された技術を使用して、セキュアトランザクションサーバは、例えば、指紋、光学的又はスマートカード認証をサポートすることを示すサーバポリシーをクライアントに対して伝送することができる。次いで、クライアントは、独自の認証機能に対してサーバポリシーを比較し、利用可能な認証オプションを1つ以上選択することができる。
本発明の一実施形態は、クライアントとのセッションを維持するためにいかなるトランザクション状態もサーバにおいて維持される必要がないように、セキュアトランザクションサーバにおいてトランザクション署名を用いる。特に、ウィンドウ301内に表示されるトランザクションのテキストなどのトランザクション詳細は、サーバによって署名されたクライアントに送信され得る。次いで、サーバは、クライアントによって受信された署名されたトランザクション応答が署名を検証することで有効であることを検証することができる。サーバは、持続的にトランザクションの内容を記憶する必要がなく、多くのクライアントのための記憶スペースのかなりの量を消費し、サーバにおけるサービス種類攻撃の拒否の可能性を開く。
クライアント100とのトランザクションを開始するウェブサイト又は他のネットワークサービス311を示す本発明の一実施形態が図3Bに示されている。例えば、ユーザは、ウェブサイト上で購入するための物品を選択している可能性があり、チェックアウトして支払う準備ができている。図示された例において、ウェブサイト又はサービス311は、(本明細書に記載される)署名を生成して検証するための署名処理ロジック313と、(例えば、上述した認証技術を使用して)クライアント認証314を実行するための認証ロジックとを含むセキュアトランザクションサーバ312にトランザクションをハンドオフする。
一実施形態において、クライアント100に対してセキュアトランザクションサーバ312から送信された認証要求は、(上述したように)暗号化ナンスなどのランダムチャレンジと、トランザクション詳細(例えば、トランザクションを完了するために提示される特定のテキスト)と、(セキュアトランザクションサーバによってのみ知られている)秘密鍵を使用してランダムチャレンジ及びトランザクション詳細を介して署名処理ロジック313によって生成された署名とを含む。
上記情報がクライアントによって受信されると、ユーザは、トランザクションを完了するためにユーザ検証が必要とされるという指示を受信することができる。これに応答して、ユーザは、例えば、指紋スキャナにわたって指をスワイプする、画像をスナップする、マイクに発話する又は所定のトランザクションについて許可された他の種類の認証を行うことができる。一実施形態において、ひとたびユーザが認証装置110によって成功裡に検証されると、クライアントは、以下のものをサーバに伝送する:(1)ランダムチャレンジ及びトランザクションテキスト(両方とも、サーバによってクライアントに以前提供されたもの)、(2)ユーザが成功裡に認証を完了したことを証明するデータ、並び(3)署名、である。
次いで、セキュアトランザクションサーバ312における認証モジュール314は、ユーザが正しく認証されたことを確認することができ、署名処理ロジック313は、秘密鍵を使用してランダムチャレンジ及びトランザクションのテキストにわたって署名を再生成する。署名がクライアントから送信されたものと一致した場合、サーバは、トランザクションのテキストがウェブサイト又はサービス311から当初受信したときのものと同じであることを検証することができる。セキュアトランザクションサーバ312は、セキュアトランザクションデータベース120内にトランザクションのテキスト(又は他のトランザクションデータ)を持続的に記憶する必要がないため、記憶及び処理リソースは保存される。
図4は、これらの技術を実装するためのクライアント−サーバアーキテクチャの一実施形態を図示している。図示されたように、クライアント100に実装されたセキュアトランザクションサービス101は、サーバ130によって提供されたポリシーを分析し、登録及び/又は認証に使用される認証機能のサブセットを識別するためのポリシーフィルタ401を含む。一実施形態において、ポリシーフィルタ401は、セキュアトランザクションサービス101のコンテキスト内で実行されるソフトウェアモジュールとして実装される。しかしながら、更に本発明の基本原理を順守しながら、ポリシーフィルタ401は、任意の方法で実装されてもよく、ソフトウェア、ハードウェア、ファームウェア又はそれらの任意の組み合わせを含むことができることに留意すべきである。
図4に示される特定の実装は、上述した技術を使用してセキュア企業又はウェブデスティネーション130(単に「サーバ130」又は「依拠当事者」130と称される場合もある)との通信を確立するためのセキュアトランザクションプラグイン105を含む。例えば、セキュアトランザクションプラグインは、ウェブサーバ131によってHTMLコードに挿入された特定のHTMLタグを識別することができる。このため、本実施形態において、サーバポリシーは、ポリシーフィルタ401を実装するセキュアトランザクションサービス101にそれを転送するセキュアトランザクションプラグイン105に提供される。
ポリシーフィルタ401は、クライアントのセキュア記憶領域420から機能を読み出すことによって、クライアント認証機能を決定することができる。上述したように、セキュア記憶装置420は、全てのクライアントの認証機能(例えば、認証装置の全ての識別コード)のレポジトリを含むことができる。ユーザが既にその認証装置にユーザを登録している場合、ユーザの登録データは、セキュア記憶装置420内に記憶される。クライアントが既にサーバ130に認証装置を登録している場合、セキュア記憶装置はまた、各認証装置に関連する暗号化された秘密鍵を記憶することができる。
セキュア記憶装置420から抽出される認証データ及びサーバによって提供されるポリシーを使用して、ポリシーフィルタ401は、その後、使用される認証機能のサブセットを識別することができる。構成に応じて、ポリシーフィルタ401は、クライアント及びサーバの双方によってサポートされている認証機能の完全なリストを識別することができるか又は完全なリストのサブセットを識別することができる。例えば、サーバが認証機能A、B、C、D、及びEをサポートし、クライアントが認証機能A、B、C、F、及びGを有する場合、ポリシーフィルタ401は、共通の認証機能の全サブセット(A、B、及びC)をサーバに識別することができる。代替的に、図4におけるユーザ選好430によって示されるように、より高水準のプライバシーが所望される場合、認証機能のより限定的なサブセットがサーバに識別され得る。例えば、ユーザは、単一の共通の認証機能がサーバ(例えば、A、B又はCのいずれか)に対して識別されるべきであるにすぎないことを示すことができる。一実施形態において、ユーザは、クライアント100の認証機能の全てについて優先順位付け方式を確立することができ、ポリシーフィルタは、サーバ及びクライアントの双方に共通の優先順位の最も高い認証機能(又はN個の認証機能の優先順位のセット)を選択することができる。
何の動作がサーバ130(登録又は認証)によって開始されかに応じて、図4に示されるように、セキュアトランザクションサービス130は、認証装置のフィルタリングされたサブセット(110〜112)においてその動作を実行し、セキュアトランザクションプラグイン105を介してサーバ130に動作応答を返送する。代替的に、ウェブブラウザのプラグイン105構成要素に依存しない実施形態において、情報は、セキュアトランザクションサービス101からサーバ130に対して直接送られてもよい。
図5は、クエリポリシートランザクションを有する例示的な一連の登録についての追加の詳細を示すトランザクション図を示している。図示された実施形態において、ユーザは、サーバ130に装置を以前に登録していない。したがって、501において、ユーザは、502においてクライアントブラウザ104を介してサーバ130に転送される最初のワンタイム認証工程としてユーザ名とパスワードを入力することができる。しかしながら、ユーザ名及びパスワードは、本発明の基本原理を順守するために必要とされないことに留意すべきである。
ユーザは、503において判定されたように強化されたセキュリティに以前に登録していないことから、サーバ130は、504においてクライアントに対してそのサーバポリシーを伝送する。上述したように、サーバポリシーは、サーバ130によってサポートされている認証機能の指示を含むことができる。図示された例において、サーバポリシーは、トランザクション506を介してセキュアトランザクションサービス101に渡される。
トランザクション507において、セキュアトランザクションサービス101は、認証機能のフィルタリングされたリストに到達するために、クライアントの機能(及び上述したような装置の優先順位方式及び/又はユーザ選好などの潜在的に他の情報)とサーバポリシーを比較する。次に、装置(102)のフィルタリングされたリストは、トランザクション508及び509で鍵のペアを生成し、これらの鍵のペアの公開部分をセキュアトランザクションサービス101に対して提供し、セキュアトランザクションサービス101は、510において、これらを登録応答としてサーバ130に返送する。サーバは、認証装置を証明し、セキュアトランザクションデータベース内に公開鍵を記憶する。ここで用いられるトークン証明は、登録中に、認証装置アイデンティティを有効化する処理である。それは、クライアントによって報告された装置が実際に主張されたとおりのものであることをサーバ130が暗号的に確認することを可能にする。
代替的に又は追加的に、507において、ユーザは、リストを確認し及び/又はこの特定のサーバ130で使用される特定の認証機能を選択する機会を提供することができる。例えば、フィルタリングされたリストは、指紋スキャン、顔認識及び/又は音声認識による認証を使用するための選択肢を示すことができる。次いで、ユーザは、サーバ130による認証時にこれらの選択肢の1つ以上を使用するために選択することができる。
クライアントにおいてサーバポリシーをフィルタリングするための上述した技術は、上述した一連のトランザクションの様々な異なる段階(例えば、装置検出、装置登録、装置プロビジョニング、ユーザ認証などの際)で実施することができる。すなわち、本発明の基本原理は、図5に記載された特定のセットのトランザクション及び特定のトランザクションの順序に限定されるものではない。
更に、上述したように、ブラウザプラグインアーキテクチャは、本発明の基本原理を遵守するために必要とされない。ブラウザ又はブラウザプラグイン(例えば、スタンドアロンアプリケーション又はモバイル装置のアプリケーションなど)を伴うアーキテクチャについて、図5に示されるトランザクション図(及び本明細書に開示された残りのトランザクション図)は、ブラウザ104が削除され、セキュアトランザクションサービス101がサーバ130と直接通信するように簡略化することができる。
強化されたセキュリティを有する装置登録
欧州中央銀行(ECB)及び連邦金融検査協議会(FFIEC)を含む様々な組織は、金融取引のために強力な認証を使用することを推奨している。更に、欧州ネットワーク・情報セキュリティ機関(ENISA)は、金融機関は全ての顧客装置を侵害されたものとして取り扱うべきであると最近提案した。上記のセキュアトランザクション確認方法は、侵害された顧客の場合でさえ(認証装置が侵害されていない限り)、十分な保護を提供するものの、認証装置をネットワークを介して登録するための上記の登録技術は、一般にセキュアであるものの、顧客装置が侵害されているという想定の下に動作しておらず、したがって装置上のマルウェアに対して無防備であり得る。
装置登録時のセキュリティを強化するため、本発明の一実施形態は、アウトオブバンド通信チャネルを含み、使用して、秘密コードを依拠当事者からユーザへ、又はユーザから依拠当事者へ、送信する。このアウトオブバンド通信チャネルは、認証部を登録するために1回のみ使用される。次いで、認証部は、このチャネルの使用を義務付けることなく、後続の認証又はトランザクション確認のために使用され得る。更に、セキュアディスプレイの使用を含むセキュアトランザクション確認技術は、ユーザがアウトオブバンド伝送を介して送信された秘密コードを確認することを可能にするために、使用され得る(例えば、図3A及び図3Bに関して上記されたように)。
図6は、本明細書に記載の強化されたセキュリティ技術を実装するための強化されたセキュリティ登録モジュール640を含む認証部600を含むか、又は認証部600に接続される、例示的なクライアント装置690を図示している。図示されている実施形態は、正当なユーザがクライアント装置600を所有している保証レベルを生成するための保証レベル計算モジュール606を有する認証エンジン610も含む。例えば、明示的かつ非侵襲的な結果605は、明示的なユーザ認証装置620〜621、1つ以上のセンサ643(例えば、位置センサ、加速度計など)、及びクライアント装置600の現在の認証状況に関する他のデータ(例えば、前回の明示的な認証からの時間など)を使用して収集される。
明示的な認証は、例えば、バイオメトリック技術を使用して(例えば、指紋認証装置上で指をスワイプすることによって)、及び/又はユーザが秘密コードを入力することによって、遂行され得る。非侵襲的な認証技術は、クライアント装置600の現在の検出された位置(例えば、GPSセンサを介して)、他の感知されたユーザ挙動(例えば、ユーザの足取りを加速度計によって測定すること)、及び/又は前回の明示的な認証以来の時間などの変数などのデータに基づいて遂行され得る。どのように認証結果605が生成されるかということにかかわらず、保証計算モジュール606は、その結果を使用して、正当なユーザ650がクライアント装置600を所有している可能性を表す保証レベルを決定する。セキュア通信モジュール613は、(例えば、本明細書で上述したようにセキュアな暗号化鍵を使用して)依拠当事者613とのセキュアな通信を確立する。公開鍵/秘密鍵のペア又は対称鍵は、暗号的にセキュアなハードウェア装置(例えば、セキュリティチップ)として実装され得るセキュア記憶装置625内に、又はセキュアなハードウェア及びソフトウェアの任意の組み合わせを使用して、記憶することができる。
図6に図示されるように、クライアント装置690は、ウェブブラウザ691、様々なモバイルアプリケーション692、及び他のハードウェア/ソフトウェアコンポーネントなどの様々な追加の構成要素を含み得る。本明細書に記載の実施形態のうちのいくつかにおいて、認証部600は侵害されていると仮定され、それによって本明細書に記載のセキュアな登録技術を必要とする。しかしながら、この仮定は、通常本発明の基本原理に影響を与えることなく動作し得るクライアント装置690の残余のハードウェア/ソフトウェア構成要素には、いかなる影響も与えない可能性がある。
強化されたセキュリティによって登録を遂行するための方法の一実施形態が図7に示されている。701において、ユーザは、認証装置をオンラインサービス(本明細書に記載のようなセキュアトランザクションサービスを有する依拠当事者など)に登録することを試みる。例えば、ユーザは、新しい指紋認証部などの新しい認証装置/機能を有する新しい装置を購入した可能性がある。代替的に、ユーザは、既存のクライアント装置上に新しい認証部をインストールした可能性があり、かつ/又は既存の認証部を使用して初めてオンラインサービスにアクセスしている可能性がある。
702において、認証の試みに応答して、秘密コードがサービスからユーザへ、又はユーザからサービスへアウトオブバンド通信チャネルを介して、送信される。例えば、一実施形態において、登録プロセスの間に生成された公開鍵のハッシュ(例えば、図5のトランザクション510を参照されたい)を使用して秘密コードを生成し、これは、次いで、アウトオブバンドチャネルを介して送信される。1つの特定の実施形態において、SHA−256、SHA−1、又はSHA−3ハッシュ操作などのハッシュ操作が公開鍵に適用され、ハッシュ値を含む秘密コードを生成する。
一実施形態において、秘密コードは、依拠当事者によって生成され、アウトオブバンドチャネルを介してユーザに送信される(例えば、標準的な郵便又は電子メールなどを介して)。別の実施形態において、秘密は、セキュアトランザクション確認操作を使用してクライアント装置上にセキュアに表示される。次いで、ユーザは、セキュアに表示された秘密コード(例えば、公開鍵のハッシュ)をコピーし、それをアウトオブバンド通信チャネルを介して依拠当事者に送信する。
様々な異なる種類のアウトオブバンドチャネルが用いられ得る。本明細書で使用される場合、「アウトオブバンド」チャネルは、標準的な登録及び認証に使用されるものとは異なる種類の通信チャネルである。一実施形態において、アウトオブバンドチャネルは、非電子メールを含む。例えば、依拠当事者は、郵便サービスを使用してユーザの既知の住所にハッシュ値を郵送してもよい。別の実施形態において、アウトオブバンドチャネルは、電子メール、テキストメッセージング(例えば、ショートメッセージサービス(SMS))、インスタントメッセージなどの電子的チャネル、又は依拠当事者側で知られているユーザと関連付けられた宛先住所を使用する任意の他の種類の通信チャネルを含み得る。
どのアウトオブバンドチャネルが使用されるかにかかわらず、703において、秘密コード(例えば、アウトオブバンドチャネルを通じて受信された公開鍵ハッシュ)を使用して、登録を検証する。例えば、公開鍵ハッシュがクライアント上にセキュアに表示される実施形態において、ユーザは、セキュアディスプレイ上に表示される公開鍵ハッシュをアウトオブバンドチャネルを介して提出する。コードが依拠当事者からクライアントにアウトオブバンドチャネルを介して送信される実施形態において、ユーザは、クライアント上で秘密コードを確認してもよい(例えば、セキュアトランザクション確認操作を介して)。一実施形態において、本明細書に記載のセキュアトランザクション確認技術(例えば、図3A及び図3B並びに関連するテキストを参照されたい)を使用して、ユーザの検証のために公開鍵ハッシュをディスプレイ上にセキュアに表示すること、及び/又はユーザが公開鍵ハッシュをコピーし、それをアウトオブバンドチャネルを介して依拠当事者に返送することを可能にすることができる。
704において検証が成功したと判定された場合(例えば、登録701の一環として受信された公開鍵が、アウトオブバンドチャネルを介して送信された公開鍵に一致する場合)、登録は705で確認される。しかしながら、公開鍵が位置しない場合、又は公開鍵ハッシュがアウトオブバンドチャネルを介して受信される前にしきい値の時間が経過した場合、登録は、706で拒絶される。
一実施形態において、ユーザが登録プロセスの間に検証するように、様々な他のデータが表示され得る。例えば、一実施形態において、依拠当事者におけるユーザのアカウントに関連付けられた一意的なコードもまた、トランザクション確認及びセキュア表示技術を使用して表示され(かつユーザによって検証され)る。ユーザを依拠当事者と関連付けるこの一意的なコードは、本明細書において「AppID」と称される場合もある。依拠当事者が複数のオンラインサービスを提供する幾つかの実施形態において、ユーザは、単一の依拠当事者との間で複数のAppIDを有し得る(依拠当事者によって提供されるサービスごとに1つずつ)。
ユーザが依拠当事者に前もって知られている登録後の実施形態、依拠当事者がユーザを識別する(例えば、それぞれの「自分の顧客を知る」(KYC)規則に従って)より前にユーザが依拠当事者に登録する事前登録の実施形態、及び準同時的な登録を伴うハイブリッド型実施形態(例えば、ユーザと依拠当事者との両方によって知られている既存のコードを使用する)を含め、様々な異なる実装が用いられ得る。
1.事後登録
図8Aは、ユーザが依拠当事者に知られている登録後プロセスの一実施形態を図示している。例えば、ユーザは、ユーザが登録を遂行する前に、「自分の顧客を知る」(KYC)規則に従って、依拠当事者によって以前識別されたことがあり得る。801において、ユーザは、依拠当事者によって識別され(例えば、KYCを使用して)、依拠当事者は、このユーザのための電子記録をそのデータベース内に作成する。
802において、ユーザは、依拠当事者のウェブサイトを訪問し、依拠当事者のウェブアプリケーションは、ユーザの装置が強化された認証機能(例えば、ネットワークを介した遠隔認証のための本明細書に記載されているものなど)を備えていることを検出する。
803において、ユーザは、依拠当事者への登録を開始する。例えば、認証部のための公開鍵/秘密鍵のペアを生成するために、図5に示されているような一連のトランザクションが遂行され得る。804において、依拠当事者は、アウトオブバンド方法(例えば、郵便、電子メール、SMSなど)を使用して秘密(例えば、登録された公開鍵のハッシュ)をユーザに送付する。
805において、依拠当事者は、セキュアトランザクション確認操作をトリガする。例えば、一実施形態において、秘密及び一意的なアカウントIDコードを潜在的に含むメッセージがユーザに表示され得、情報(例えば、「アウトオブバンド方法を通じて受領した暗号鍵ハッシュは、今回私のセキュアディスプレイ上に表示されたものと同一であること、及びそれがそこに示されているAppIDに登録されたことを私は確認します」)を確認することをユーザに求める。次いで、806において、ユーザは、秘密及びIDコードがセキュアディスプレイ内に表示されたものに一致する場合、トランザクションを許容することができ、それによって807において登録を確認する。ユーザが806においてトランザクションを拒絶する場合(例えば、表示された情報が秘密及び/又はIDコードに一致しないため)、登録は、808において拒絶される。
図8Bは、ユーザが依拠当事者に知られている登録後プロセスの別の実施形態を図示している。この場合も、ユーザは、ユーザが登録を遂行する前に、「自分の顧客(KYC)を知る」規則に従って依拠当事者によって以前識別されたことがあり得る。811において、ユーザは、依拠当事者によって識別され(例えば、KYCを使用して)、依拠当事者は、このユーザのための電子記録をそのデータベース内に作成する。
812において、ユーザは、依拠当事者のウェブサイトを訪問し、依拠当事者のウェブアプリケーションは、ユーザの装置が強化された認証機能(例えば、ネットワークを介した遠隔認証のための本明細書に記載されているものなど)を備えていることを検出する。
813において、ユーザは、依拠当事者への登録を許容する。例えば、認証部のための公開鍵/秘密鍵のペアを生成するために、図5に示されているような一連のトランザクションが遂行され得る。804において、依拠当事者は、セキュアトランザクション確認操作をトリガする。例えば、一実施形態において、一意的なアカウントIDコードを潜在的に含むメッセージがユーザに表示され得、情報(例えば、「私は、登録内容を確認し、以下に示される公開鍵ハッシュに署名したものを認証されたアウトオブバンドチャネルを介して送付します」)を確認することをユーザに求める。
815において、ユーザは、セキュアディスプレイ上に示された公開鍵ハッシュを、認証されたアウトオブバンドチャネル(例えば、署名されたレター)を介して送信する。816において、依拠当事者は、815において送信された公開鍵ハッシュを工程813で受信した公開鍵ハッシュによって検証し、817において登録を許容し得る。値が一致しない場合、依拠当事者は、818において登録を拒絶する。
2.事前登録
図9は、依拠当事者が(例えば、それぞれのKYC規則に従って)ユーザを識別する前にユーザが依拠当事者への登録を遂行するプロセスの一実施形態を図示している。901において、ユーザは、依拠当事者のウェブサイトを訪問し、依拠当事者のウェブアプリケーションは、ユーザの装置が強化された認証機能(例えば、ネットワークを介した遠隔認証のための本明細書に記載されているものなど)を備えていることを検出する。
902において、ユーザは、依拠当事者への登録を開始する。例えば、認証部のための公開鍵/秘密鍵のペアを生成するために、図5に示されているような一連のトランザクションが遂行され得る。903において、依拠当事者は、登録要求に関してトランザクション確認操作をトリガする。例えば、ユーザが依拠当事者に登録することを希望する旨の確認を要求するメッセージがセキュアディスプレイ内に表示され得る(例えば、「私は、<依拠当事者>に登録することを希望し、後ほどKYCを受けます」)。更に、セキュアディスプレイは、コード(例えば、公開鍵のハッシュ)及びAppIDを表示し得る。このコードは「秘密」コードであってもよく、そうでなくてもよいことに留意されたい。
904において、ユーザは、認証されたアウトオブバンド機構を使用して、依拠当事者にコードを送信する。例えば、一実施形態において、ユーザは、ハッシュのプリントアウトを依拠当事者の支社に物理的に持参し、それをKYC確認の一環として提示してもよい。代替的に、ユーザは、識別手順の一部をなす様式にコードを記入してもよい。代替的に、ユーザは、秘密を電子メール、郵便、SMS、又は任意の他の種類の認証されたアウトオブバンドチャネルを介して送付してもよい。
905において、依拠当事者は、コードの検証を遂行する(例えば、公開鍵ハッシュを、登録中にユーザから受領した公開鍵に基づいて計算された値と比較する)。906において一致が確認された場合、907において登録が確認される。一致が確認されなかった場合、908において登録が拒絶される。
3.準同時登録
一部のユーザは、アイデンティティ証明書を含む電子IDカードなどの資格証明書を既に有している。このアイデンティティ証明書を使用すれば、アウトオブバンド方法を、図10に図示されているような電子IDカードを使用する電子的方法によって置き換えることができる。
1001において、ユーザは、依拠当事者のウェブサイトを訪問し、依拠当事者のウェブアプリケーションは、ユーザの装置が強化された認証機能(例えば、ネットワークを介した遠隔認証のための本明細書に記載されているものなど)を備えていることを検出する。
1002において、ユーザは、依拠当事者への登録を許容する。例えば、認証部のための公開鍵/秘密鍵のペアを生成するために、図5に示されているような一連のトランザクションが遂行され得る。1003において、依拠当事者は、登録要求に関してトランザクション確認操作をトリガする。例えば、トランザクション確認のセキュアディスプレイは、ユーザが既存の資格証明書を使用して依拠当事者に登録することを希望する旨の確認を要求するメッセージを表示し得る(例えば、「私は、<依拠当事者>に登録することを希望し、私のeIDカードに基づく身分証明を使用します」)。更に、セキュアディスプレイは、秘密(例えば、公開鍵のハッシュ)及びAppIDをユーザに対して表示し得る。
1004において、ユーザは、AppID及び公開鍵のハッシュを含む認証オブジェクト(例えば、文書又はバイナリファイル)を作成し、既存の資格証明書(例えば、ユーザの電子IDカード上のアイデンティティ証明書)に関係する秘密鍵を使用してこのオブジェクトに署名する。1005において、依拠当事者は、署名されたオブジェクトを検証し、資格証明書(例えば、アイデンティティ証明書)からアイデンティティデータを抽出する。更に、依拠当事者は、署名されたオブジェクトから抽出されたこの公開鍵ハッシュを、登録時にそのユーザから受領した公開鍵に基づいて計算されたハッシュ値と比較する。1006で判定されたときにそれらが一致する場合、1007において登録が確認される。そうでない場合、登録は、1008において拒絶される。
例示的なデータ処理装置
図11は、本発明のいくつかの実施形態において使用することができる例示的なクライアント及びサーバを図示するブロック図である。図11は、コンピュータシステムの様々な構成要素を図示しているが、そのような詳細は本発明に適切でないため、構成要素を相互接続する任意の特定のアーキテクチャ又は方法を表すことを意図するものではないことを理解すべきである。より少ない構成要素又は複数の構成要素を有する他のコンピュータシステムもまた、本発明によって使用可能であることが理解されるであろう。
図11に示されるように、データ処理システムの形態であるコンピュータシステム1100は、処理システム1120に結合されているバス1150と、電源1125と、メモリ1130と、不揮発性メモリ1140(例えば、ハードドライブ、フラッシュメモリ、相変化メモリ(PCM)など)とを含む。バス1150は、当該技術分野において周知であるように、様々なブリッジ、コントローラ及び/又はアダプタを介して互いに接続され得る。処理システム1120は、メモリ1130及び/又は不揮発性メモリ1140から命令を取得することができ、上述したように動作を実行するための命令を実行することができる。バス1150は、上記構成要素を一体に相互接続し、また、任意のドック1160、ディスプレイコントローラ及びディスプレイ装置1170、入力/出力装置1180(例えば、NIC(ネットワークインターフェースカード)、カーソル制御(例えば、マウス、タッチスクリーン、タッチパッドなど)、キーボードなど)及び任意の無線送受信機1190(例えば、ブルートゥース(登録商標)、WiFi、赤外線など)にそれらの構成要素を相互接続する。
図12は、本発明のいくつかの実施形態において使用され得る例示的なデータ処理システムを図示するブロック図である。例えば、データ処理システム1200は、ハンドヘルドコンピュータ、パーソナルディジタルアシスタント(PDA)、携帯電話、ポータブルゲームシステム、ポータブルメディアプレーヤ、タブレット、又は、携帯電話、メディアプレーヤ及び/又はゲームシステムを含むことができるハンドヘルドコンピューティング装置とすることができる。他の例として、データ処理システム1200は、ネットワークコンピュータ又は他の装置内の埋め込み処理装置とすることができる。
本発明の一実施形態によれば、データ処理システム1200の例示的なアーキテクチャは、上述した携帯機器のために使用することができる。データ処理システム1200は、集積回路上の1つ以上のマイクロプロセッサ及び/又はシステムを含むことができる処理システム1220を含む。処理システム1220は、メモリ1210、(1つ以上のバッテリを含む)電源1225、オーディオ入力/出力1240、ディスプレイコントローラ及びディスプレイ装置1260、任意の入力/出力1250、入力装置1270及び無線送受信機1230に連結されている。図12には示されていない追加の構成要素はまた、本発明の特定の実施形態においてデータ処理システム1200の一部であってもよく、本発明の特定の実施形態において図12に示されるよりも少ない構成要素が使用可能であることが理解されるであろう。更に、図12には示されていない1つ以上のバスは、当該技術分野において周知であるように様々な構成要素を相互接続するために使用することができることが理解されるであろう。
メモリ1210は、データ処理システム1200による実行のためのデータ及び/又はプログラムを記憶する。オーディオ入力/出力1240は、例えば、音楽を再生するためにマイクロフォン及び/又はスピーカを含むことができ、並びに/又はスピーカ及びマイクロフォンを介して電話機能を提供することができる。ディスプレイコントローラ及びディスプレイ装置1260は、グラフィカルユーザインターフェース(GUI)を含むことができる。無線(例えば、RF)送受信機1230(例えば、WiFi送受信機、赤外線送受信機、ブルートゥース(登録商標)送受信機、無線携帯電話送受信機など)は、他のデータ処理システムと通信するために使用することができる。1つ以上の入力装置1270は、ユーザがシステムに入力を提供するのを可能にする。これらの入力装置は、キーパッド、キーボード、タッチパネル、マルチタッチパネルなどであってもよい。任意の他の入力/出力1250は、ドック用コネクタであってもよい。
上述したように、本発明の実施形態は、様々な工程を含んでもよい。工程は、汎用又は特殊目的のプロセッサに特定の工程を実行させる機械実行可能な命令で具現化され得る。代替的に、これらの工程は、工程を実行するためのハードワイヤードロジックを含む特定のハードウェア構成要素によって又はプログラミングされたコンピュータ構成要素及びカスタムハードウェア構成要素の任意の組み合わせによって実行することができる。
本発明の要素はまた、機械実行可能なプログラムコードを記憶する機械可読媒体として提供することができる。機械可読媒体としては、フロッピーディスク、光ディスク、CD−ROM及び光磁気ディスク、ROM、RAM、EPROM、EEPROM、磁気若しくは光カード、又は、電子プログラムコードを記憶するのに適した他の種類の媒体/機械可読媒体を挙げることができるが、これらに限定されるものではない。
上記の説明全体を通じて、説明の目的のために、多数の具体的な詳細が本発明の完全な理解を提供するために記載された。しかしながら、本発明は、これらの具体的な詳細の一部がなくても実施され得ることは、当業者にとって明らかであろう。例えば、本明細書に記載された機能モジュール及び方法は、ソフトウェア、ハードウェア又はそれらの任意の組み合わせとして実装されてもよいことは、当業者にとって容易に明らかであろう。更に、本発明のいくつかの実施形態は、モバイルコンピューティング環境のコンテキストで本明細書において記載されているが、本発明の基本原理は、モバイルコンピューティングの実装に限定されるものではない。実質的に任意の種類のクライアント又はピアデータ処理装置は、例えば、デスクトップ又はワークステーションコンピュータを含むいくつかの実施形態で使用することができる。したがって、本発明の範囲及び趣旨は、以下の特許請求の範囲の観点から判断されるべきである。
上述したように、本発明の実施形態は、様々な工程を含んでもよい。工程は、汎用又は特殊目的のプロセッサに特定の工程を実行させる機械実行可能な命令で具現化され得る。代替的に、これらの工程は、工程を実行するためのハードワイヤードロジックを含む特定のハードウェア構成要素によって又はプログラミングされたコンピュータ構成要素及びカスタムハードウェア構成要素の任意の組み合わせによって実行することができる。

Claims (23)

  1. 依拠当事者側で、ユーザから認証部を登録するための要求を受信することと、
    認証されたアウトオブバンド通信チャネルを介して前記ユーザから前記依拠当事者へ、又は前記依拠当事者から前記ユーザへ、コードを送信することと、
    前記コードを使用して前記ユーザのアイデンティティを検証し、肯定的な検証に応答して前記認証部を応答性良く登録することと、を含む、方法。
  2. 前記コードを前記検証することが、
    前記ユーザの認証部のセキュアディスプレイ内に前記コードを表示することと、前記セキュアディスプレイ上に表示された前記コードを前記認証されたアウトオブバンド通信チャネルを介して送信するよう前記ユーザに求めることと、を含む、セキュアトランザクション確認操作を遂行することを更に含む、請求項1に記載の方法。
  3. 前記コードが、前記ユーザの認証部によって生成された秘密コードである、請求項1に記載の方法。
  4. 前記認証部を登録するための前記要求に応答して、前記認証部に関連付けられた公開鍵を生成することと、前記公開鍵を前記依拠当事者に伝送することと、を更に含む、請求項1に記載の方法。
  5. 前記公開鍵に対してハッシュ操作を遂行することによって前記コードを生成することを更に含む、請求項4に記載の方法。
  6. 前記ハッシュ操作が、SHA−256、SHA−1、又はSHA−3ハッシュ操作を含む、請求項5に記載の方法。
  7. 前記アウトオブバンド通信チャネルが、郵便、電子メール、又はショートメッセージサービス(SMS)メッセージを含む、請求項1に記載の方法。
  8. セキュアトランザクション確認操作を遂行することが、
    前記依拠当事者に関連付けられた前記ユーザのアカウントに関する識別コードを表示することを更に含む、請求項2に記載の方法。
  9. 前記コードが、前記ユーザの電子識別証を使用して認証/署名された電子メッセージから抽出される、請求項1に記載の方法。
  10. 前記セキュアディスプレイ内に表示される内容が、前記内容にわたってハッシュを生成すること、及び得られたハッシュ値を前記依拠当事者に提供することによって保護され、前記依拠当事者が、前記ハッシュ値を有効化することによって前記内容を有効性を確認する、請求項2に記載の方法。
  11. 依拠当事者側で、ユーザから認証部を登録するための要求を受信することと、
    前記認証部内でコードを生成することと、
    前記コードを前記ユーザにセキュアに表示することと、
    認証されたアウトオブバンド通信チャネルを介して前記ユーザから前記依拠当事者へ前記コードを送信することと、
    前記コードを使用して前記ユーザのアイデンティティを検証し、肯定的な検証に応答して前記認証部を応答性良く登録することと、を含む、方法。
  12. 前記依拠当事者に前記コードをセキュアに提供することが、
    前記ユーザの認証部のセキュアディスプレイ内に前記コードを表示することを含むセキュアトランザクション確認操作を遂行することを含む、請求項11に記載の方法。
  13. 前記認証部を登録するための前記要求に応答して、前記認証部に関連付けられた公開鍵を生成することと、前記公開鍵を前記依拠当事者に伝送することと、を更に含む、請求項11に記載の方法。
  14. 前記公開鍵に対してハッシュ操作を遂行することによって前記コードを生成することを更に含む、請求項13に記載の方法。
  15. 前記ハッシュ操作が、SHA−256、SHA−1、又はSHA−3ハッシュ操作を含む、請求項14に記載の方法。
  16. 前記アウトオブバンド通信チャネルが、郵便、電子メール、又はショートメッセージサービス(SMS)メッセージを含む、請求項11に記載の方法。
  17. セキュアトランザクション確認操作を遂行することが、
    前記依拠当事者に関連付けられた前記ユーザのアカウントに関する識別コードを表示することを更に含む、請求項12に記載の方法。
  18. 前記コードが、前記ユーザの電子識別証を使用して認証/署名された電子メッセージから抽出される、請求項11に記載の方法。
  19. 前記セキュアディスプレイ内に表示される内容が、前記内容にわたってハッシュを生成すること、及び得られたハッシュ値を前記依拠当事者に提供することによって保護され、前記依拠当事者が、前記ハッシュ値を有効化することによって前記内容を有効性を確認する、請求項12に記載の方法。
  20. 依拠当事者側で、ユーザから認証部を登録するための要求を受信することであって、前記要求が、前記ユーザの既存の資格証明書を識別する識別情報を含む、受信することと、
    前記ユーザのクライアント側で認証オブジェクトを作成することであって、前記認証オブジェクトは、前記ユーザの前記既存の資格証明書と関連付けられた公開鍵を使用して生成された署名を含む、作成することと、
    前記依拠当事者側で前記署名を検証し、肯定的な検証に応答して前記認証部を応答性良く登録することと、を含む、方法。
  21. 前記認証部に関連付けられた公開鍵/秘密鍵のペアを生成することと、前記公開鍵を前記依拠当事者に送信することと、を更に含む、請求項20に記載の方法。
  22. 前記認証オブジェクトが、前記依拠当事者における前記ユーザのアカウントに関連付けられた識別コードと、前記秘密鍵によって生成された前記公開鍵のハッシュと、前記秘密鍵によって生成された前記署名と、を含む、請求項21に記載の方法。
  23. 前記署名を検証することが、前記オブジェクトから抽出された前記公開鍵ハッシュを、登録時に前記ユーザから受信した前記公開鍵に関して計算された前記ハッシュ値と比較することを含む、請求項22に記載の方法。
JP2016566924A 2014-05-02 2015-05-01 認証装置の登録のための強化されたセキュリティ Pending JP2017519412A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US14/268,619 2014-05-02
US14/268,619 US9577999B1 (en) 2014-05-02 2014-05-02 Enhanced security for registration of authentication devices
PCT/US2015/028927 WO2015168644A1 (en) 2014-05-02 2015-05-01 Enhanced security for registration of authentication devices

Publications (2)

Publication Number Publication Date
JP2017519412A true JP2017519412A (ja) 2017-07-13
JP2017519412A5 JP2017519412A5 (ja) 2018-06-21

Family

ID=54359407

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016566924A Pending JP2017519412A (ja) 2014-05-02 2015-05-01 認証装置の登録のための強化されたセキュリティ

Country Status (6)

Country Link
US (1) US9577999B1 (ja)
EP (1) EP3138265B1 (ja)
JP (1) JP2017519412A (ja)
KR (1) KR102383021B1 (ja)
CN (1) CN106464673B (ja)
WO (1) WO2015168644A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021068967A (ja) * 2019-10-21 2021-04-30 Necプラットフォームズ株式会社 サーバ、スレーブ装置、マスター装置、システム、システムの方法、及びプログラム

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016051240A (ja) * 2014-08-29 2016-04-11 日本光電工業株式会社 医療機器システム及び医療機器
US10115089B2 (en) * 2014-09-03 2018-10-30 Paypal, Inc. Payment authorization system
US9888070B2 (en) * 2015-06-29 2018-02-06 Microsoft Technology Licensing, Llc Brokered advanced pairing
US10817593B1 (en) * 2015-12-29 2020-10-27 Wells Fargo Bank, N.A. User information gathering and distribution system
US11170094B2 (en) * 2016-01-27 2021-11-09 Secret Double Octopus Ltd. System and method for securing a communication channel
US10115104B2 (en) * 2016-09-13 2018-10-30 Capital One Services, Llc Systems and methods for generating and managing dynamic customized electronic tokens for electronic device interaction
US10140440B1 (en) * 2016-12-13 2018-11-27 Symantec Corporation Systems and methods for securing computing devices that are not in users' physical possessions
CN106878298B (zh) * 2017-02-08 2019-11-29 飞天诚信科技股份有限公司 一种认证设备与网站的集成方法、***及装置
US10540488B2 (en) 2017-02-10 2020-01-21 Microsoft Technology Licensing, Llc Dynamic face and voice signature authentication for enhanced security
CN107404478B (zh) * 2017-07-21 2020-09-25 金联汇通信息技术有限公司 eID编码查询方法、***及其对应服务器
US11050781B2 (en) 2017-10-11 2021-06-29 Microsoft Technology Licensing, Llc Secure application monitoring
ES2829263T3 (es) * 2017-11-30 2021-05-31 Telefonica Digital Espana Slu Método de auto-aprovisionamiento, sistema y productos de programa informático para accesos de FTTH basado en SDN
US11102180B2 (en) * 2018-01-31 2021-08-24 The Toronto-Dominion Bank Real-time authentication and authorization based on dynamically generated cryptographic data
EP3782058B1 (en) * 2018-04-20 2024-03-20 Vishal Gupta Decentralized document and entity verification engine
US11368446B2 (en) * 2018-10-02 2022-06-21 International Business Machines Corporation Trusted account revocation in federated identity management
US11716617B2 (en) * 2019-05-02 2023-08-01 Ares Technologies, Inc. Systems and methods for cryptographic authorization of wireless communications
FR3096480B1 (fr) * 2019-05-24 2021-04-23 Idemia Identity & Security France Procédé d’authentification forte d’un individu
US20210194919A1 (en) * 2019-12-18 2021-06-24 Nok Nok Labs, Inc. System and method for protection against malicious program code injection
JP7415646B2 (ja) * 2020-02-21 2024-01-17 富士フイルムビジネスイノベーション株式会社 情報処理システム、情報処理装置及びプログラム
US20220191211A1 (en) * 2020-12-15 2022-06-16 ClearVector, Inc. Computer-implemented methods, systems comprising computer-readable media, and electronic devices for resource preservation and intervention within a network computing environment
CN114173344A (zh) * 2021-12-08 2022-03-11 百度在线网络技术(北京)有限公司 处理通信数据的方法、装置、电子设备及存储介质
CN114973391B (zh) * 2022-06-30 2023-03-21 北京万里红科技有限公司 应用于元宇宙的眼球跟踪方法、装置、设备

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH06195307A (ja) * 1992-12-22 1994-07-15 Fujitsu Ltd 不特定多数ユーザ自動登録装置
JPH09231172A (ja) * 1996-02-26 1997-09-05 Nippon Denki Ido Tsushin Kk パスワード登録方法
JP2001325469A (ja) * 2000-02-29 2001-11-22 Internatl Business Mach Corp <Ibm> 電子商取引をセキュアにするためにデバイスを関連づけるシステム及び方法
JP2003274007A (ja) * 2002-03-19 2003-09-26 Nec Corp 携帯電話機
JP2005316936A (ja) * 2004-03-31 2005-11-10 Dowango:Kk 商品サーバ、購入代金決済方法、商品購入方法並びにコンピュータプログラム
JP2012503243A (ja) * 2008-09-19 2012-02-02 ロゴモーション エス.アール.オー. 電子決済アプリケーションシステムと決済認証方法
US20130124422A1 (en) * 2011-11-10 2013-05-16 Intryca Inc. Systems and methods for authorizing transactions via a digital device
JP2013122736A (ja) * 2011-12-12 2013-06-20 Tohsho Corp ポイント管理システム

Family Cites Families (243)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5280527A (en) 1992-04-14 1994-01-18 Kamahira Safe Co., Inc. Biometric token for authorizing access to a host system
US5764789A (en) 1994-11-28 1998-06-09 Smarttouch, Llc Tokenless biometric ATM access system
US6088450A (en) 1996-04-17 2000-07-11 Intel Corporation Authentication system based on periodic challenge/response protocol
US6377691B1 (en) 1996-12-09 2002-04-23 Microsoft Corporation Challenge-response authentication and key exchange for a connectionless security protocol
US6378072B1 (en) 1998-02-03 2002-04-23 Compaq Computer Corporation Cryptographic system
US6618806B1 (en) 1998-04-01 2003-09-09 Saflink Corporation System and method for authenticating users in a computer network
US6178511B1 (en) 1998-04-30 2001-01-23 International Business Machines Corporation Coordinating user target logons in a single sign-on (SSO) environment
JP2000092046A (ja) 1998-09-11 2000-03-31 Mitsubishi Electric Corp 遠隔認証システム
US7047416B2 (en) 1998-11-09 2006-05-16 First Data Corporation Account-based digital signature (ABDS) system
US7085931B1 (en) 1999-09-03 2006-08-01 Secure Computing Corporation Virtual smart card system and method
US7260724B1 (en) 1999-09-20 2007-08-21 Security First Corporation Context sensitive dynamic authentication in a cryptographic system
US7444368B1 (en) 2000-02-29 2008-10-28 Microsoft Corporation Methods and systems for selecting methodology for authenticating computer systems on a per computer system or per user basis
US7698565B1 (en) 2000-03-30 2010-04-13 Digitalpersona, Inc. Crypto-proxy server and method of using the same
US7263506B2 (en) 2000-04-06 2007-08-28 Fair Isaac Corporation Identification and management of fraudulent credit/debit card purchases at merchant ecommerce sites
US7487112B2 (en) 2000-06-29 2009-02-03 Barnes Jr Melvin L System, method, and computer program product for providing location based services and mobile e-commerce
WO2002013435A1 (en) 2000-08-04 2002-02-14 First Data Corporation Method and system for using electronic communications for an electronic contact
AU2001288679A1 (en) 2000-09-11 2002-03-26 Sentrycom Ltd. A biometric-based system and method for enabling authentication of electronic messages sent over a network
US7356704B2 (en) 2000-12-07 2008-04-08 International Business Machines Corporation Aggregated authenticated identity apparatus for and method therefor
FI115098B (fi) 2000-12-27 2005-02-28 Nokia Corp Todentaminen dataviestinnässä
US20020112170A1 (en) 2001-01-03 2002-08-15 Foley James M. Method and apparatus for using one financial instrument to authenticate a user for accessing a second financial instrument
US7941669B2 (en) 2001-01-03 2011-05-10 American Express Travel Related Services Company, Inc. Method and apparatus for enabling a user to select an authentication method
WO2002095554A2 (en) 2001-05-18 2002-11-28 Imprivata Inc. System and method for authentication using biometrics
SG124290A1 (en) 2001-07-23 2006-08-30 Ntt Docomo Inc Electronic payment method, system, and devices
WO2003029916A2 (en) 2001-09-28 2003-04-10 Bluesocket, Inc. Method and system for managing data traffic in wireless networks
JP2003132160A (ja) 2001-10-23 2003-05-09 Nec Corp 個人情報管理システムと個人情報管理装置、及び個人情報管理プログラム
US20030115142A1 (en) 2001-12-12 2003-06-19 Intel Corporation Identity authentication portfolio system
EP1600898B1 (en) 2002-02-05 2018-10-17 Panasonic Intellectual Property Management Co., Ltd. Personal authentication method, personal authentication apparatus and image capturing device
GB0210692D0 (en) 2002-05-10 2002-06-19 Assendon Ltd Smart card token for remote authentication
US20030226036A1 (en) 2002-05-30 2003-12-04 International Business Machines Corporation Method and apparatus for single sign-on authentication
US7322043B2 (en) 2002-06-20 2008-01-22 Hewlett-Packard Development Company, L.P. Allowing an electronic device accessing a service to be authenticated
DE60307583T2 (de) 2002-11-20 2007-10-04 Stmicroelectronics S.A. Auswertung der Schärfe eines Bildes der Iris eines Auges
US7353533B2 (en) 2002-12-18 2008-04-01 Novell, Inc. Administration of protection of data accessible by a mobile device
JP4374904B2 (ja) 2003-05-21 2009-12-02 株式会社日立製作所 本人認証システム
JP2005025337A (ja) 2003-06-30 2005-01-27 Sony Corp 機器登録システム、機器登録サーバ、機器登録方法、機器登録プログラム、記憶媒体、及び端末機器
US7716469B2 (en) 2003-07-25 2010-05-11 Oracle America, Inc. Method and system for providing a circle of trust on a network
CN101073219A (zh) 2003-09-12 2007-11-14 Rsa安全公司 用于基于风险的验证的***和方法
US9130921B2 (en) 2003-09-30 2015-09-08 Ca, Inc. System and method for bridging identities in a service oriented architectureprofiling
WO2005052765A2 (en) * 2003-11-25 2005-06-09 Ultra-Scan Corporation Biometric authorization method and system
US7263717B1 (en) 2003-12-17 2007-08-28 Sprint Communications Company L.P. Integrated security framework and privacy database scheme
US9191215B2 (en) 2003-12-30 2015-11-17 Entrust, Inc. Method and apparatus for providing authentication using policy-controlled authentication articles and techniques
JP4257250B2 (ja) 2004-03-30 2009-04-22 富士通株式会社 生体情報照合装置並びに生体特徴情報絞込み装置,生体特徴情報絞込みプログラムおよび同プログラムを記録したコンピュータ読取可能な記録媒体
US8762283B2 (en) 2004-05-03 2014-06-24 Visa International Service Association Multiple party benefit from an online authentication service
US20050278253A1 (en) 2004-06-15 2005-12-15 Microsoft Corporation Verifying human interaction to a computer entity by way of a trusted component on a computing device or the like
KR20070037650A (ko) 2004-07-23 2007-04-05 사이트릭스 시스템스, 인크. 종단에서 게이트웨이로 패킷을 라우팅하기 위한 방법 및시스템
US7194763B2 (en) 2004-08-02 2007-03-20 Cisco Technology, Inc. Method and apparatus for determining authentication capabilities
US7298873B2 (en) 2004-11-16 2007-11-20 Imageware Systems, Inc. Multimodal biometric platform
WO2006063118A2 (en) 2004-12-07 2006-06-15 Pure Networks, Inc. Network management
WO2006064241A2 (en) * 2004-12-16 2006-06-22 Mark Dwight Bedworth User validation using images
US8060922B2 (en) 2004-12-20 2011-11-15 Emc Corporation Consumer internet authentication device
US7844816B2 (en) 2005-06-08 2010-11-30 International Business Machines Corporation Relying party trust anchor based public key technology framework
US8079079B2 (en) 2005-06-29 2011-12-13 Microsoft Corporation Multimodal authentication
US20070077915A1 (en) 2005-09-30 2007-04-05 Black Greg R Method and apparatus for module authentication
EP1955251A2 (en) 2005-10-11 2008-08-13 Citrix Systems, Inc. Systems and methods for facilitating distributed authentication
US8407146B2 (en) 2005-10-28 2013-03-26 Microsoft Corporation Secure storage
US7623659B2 (en) 2005-11-04 2009-11-24 Cisco Technology, Inc. Biometric non-repudiation network security systems and methods
US8458465B1 (en) 2005-11-16 2013-06-04 AT&T Intellectual Property II, L. P. Biometric authentication
WO2008048304A2 (en) 2005-12-01 2008-04-24 Firestar Software, Inc. System and method for exchanging information among exchange applications
US20080005562A1 (en) * 2005-12-13 2008-01-03 Microsoft Corporation Public key infrastructure certificate entrustment
US8511547B2 (en) 2005-12-22 2013-08-20 Mastercard International Incorporated Methods and systems for two-factor authentication using contactless chip cards or devices and mobile devices or dedicated personal readers
CN1992596A (zh) 2005-12-27 2007-07-04 国际商业机器公司 用户验证设备和用户验证方法
US7941835B2 (en) 2006-01-13 2011-05-10 Authenticor Identity Protection Services, Inc. Multi-mode credential authorization
US7502761B2 (en) 2006-02-06 2009-03-10 Yt Acquisition Corporation Method and system for providing online authentication utilizing biometric data
US20100107222A1 (en) 2006-03-02 2010-04-29 Avery Glasser Method and apparatus for implementing secure and adaptive proxies
US7818264B2 (en) 2006-06-19 2010-10-19 Visa U.S.A. Inc. Track data encryption
JP4929803B2 (ja) 2006-04-10 2012-05-09 富士通株式会社 認証方法、認証装置、および、認証プログラム
EP2012249A1 (en) 2006-04-21 2009-01-07 Mitsubishi Denki Kabushiki Kaisha Authenticating server device, terminal device, authenticating system and authenticating method
US9002018B2 (en) 2006-05-09 2015-04-07 Sync Up Technologies Corporation Encryption key exchange system and method
US8259647B2 (en) 2006-06-12 2012-09-04 Samsung Electronics Co., Ltd. System and method for wireless communication of uncompressed video having a link control and bandwidth reservation scheme for control/management message exchanges and asynchronous traffic
US7512567B2 (en) 2006-06-29 2009-03-31 Yt Acquisition Corporation Method and system for providing biometric authentication at a point-of-sale via a mobile device
CN101106452B (zh) 2006-07-12 2010-12-08 华为技术有限公司 移动ip密钥的产生及分发方法和***
US20080025234A1 (en) 2006-07-26 2008-01-31 Qi Zhu System and method of managing a computer network using hierarchical layer information
US7966489B2 (en) 2006-08-01 2011-06-21 Cisco Technology, Inc. Method and apparatus for selecting an appropriate authentication method on a client
US8689287B2 (en) 2006-08-17 2014-04-01 Northrop Grumman Systems Corporation Federated credentialing system and method
US8239677B2 (en) 2006-10-10 2012-08-07 Equifax Inc. Verification and authentication systems and methods
US9135444B2 (en) 2006-10-19 2015-09-15 Novell, Inc. Trusted platform module (TPM) assisted data center management
US7986786B2 (en) 2006-11-30 2011-07-26 Hewlett-Packard Development Company, L.P. Methods and systems for utilizing cryptographic functions of a cryptographic co-processor
US9055107B2 (en) 2006-12-01 2015-06-09 Microsoft Technology Licensing, Llc Authentication delegation based on re-verification of cryptographic evidence
EP1933522B1 (en) 2006-12-11 2013-10-23 Sap Ag Method and system for authentication
JP2008176407A (ja) 2007-01-16 2008-07-31 Toshiba Corp 生体認証システム、装置及びプログラム
KR100876003B1 (ko) * 2007-02-14 2008-12-26 에스케이씨앤씨 주식회사 생체정보를 이용하는 사용자 인증방법
US8302196B2 (en) 2007-03-20 2012-10-30 Microsoft Corporation Combining assessment models and client targeting to identify network security vulnerabilities
US8413221B2 (en) 2007-03-23 2013-04-02 Emc Corporation Methods and apparatus for delegated authentication
US20080271150A1 (en) 2007-04-30 2008-10-30 Paul Boerger Security based on network environment
US8627409B2 (en) 2007-05-15 2014-01-07 Oracle International Corporation Framework for automated dissemination of security metadata for distributed trust establishment
US8359045B1 (en) 2007-05-31 2013-01-22 United Services Automobile Association (Usaa) Method and system for wireless device communication
US7627522B2 (en) 2007-06-04 2009-12-01 Visa U.S.A. Inc. System, apparatus and methods for comparing fraud parameters for application during prepaid card enrollment and transactions
US9003488B2 (en) 2007-06-06 2015-04-07 Datavalet Technologies System and method for remote device recognition at public hotspots
US7913086B2 (en) 2007-06-20 2011-03-22 Nokia Corporation Method for remote message attestation in a communication system
US8782801B2 (en) 2007-08-15 2014-07-15 Samsung Electronics Co., Ltd. Securing stored content for trusted hosts and safe computing environments
US20090089870A1 (en) 2007-09-28 2009-04-02 Mark Frederick Wahl System and method for validating interactions in an identity metasystem
FR2922396B1 (fr) 2007-10-12 2009-12-25 Compagnie Ind Et Financiere Dingenierie Ingenico Procede d'authentification biometrique, programme d'ordinateur, serveur d'authentification, terminal et objet portatif correspondants
US20090204964A1 (en) 2007-10-12 2009-08-13 Foley Peter F Distributed trusted virtualization platform
WO2009070430A2 (en) 2007-11-08 2009-06-04 Suridx, Inc. Apparatus and methods for providing scalable, dynamic, individualized credential services using mobile telephones
US8347374B2 (en) 2007-11-15 2013-01-01 Red Hat, Inc. Adding client authentication to networked communications
US8978117B2 (en) 2007-11-19 2015-03-10 Avaya Inc. Authentication frequency and challenge type based on environmental and physiological properties
TWI350486B (en) 2007-11-26 2011-10-11 Ind Tech Res Inst Biometrics method and apparatus and biometric data encryption method thereof
US8312269B2 (en) 2007-11-28 2012-11-13 Hitachi Global Storage Technologies Netherlands, B.V. Challenge and response access control providing data security in data storage devices
US8650616B2 (en) 2007-12-18 2014-02-11 Oracle International Corporation User definable policy for graduated authentication based on the partial orderings of principals
US8220032B2 (en) 2008-01-29 2012-07-10 International Business Machines Corporation Methods, devices, and computer program products for discovering authentication servers and establishing trust relationships therewith
US8635662B2 (en) 2008-01-31 2014-01-21 Intuit Inc. Dynamic trust model for authenticating a user
US8639630B2 (en) 2008-02-15 2014-01-28 Ddn Ip Holdings Limited Distribution of digital content
US8555078B2 (en) 2008-02-29 2013-10-08 Adobe Systems Incorporated Relying party specifiable format for assertion provider token
US8353016B1 (en) 2008-02-29 2013-01-08 Adobe Systems Incorporated Secure portable store for security skins and authentication information
US8302167B2 (en) 2008-03-11 2012-10-30 Vasco Data Security, Inc. Strong authentication token generating one-time passwords and signatures upon server credential verification
US20090327131A1 (en) 2008-04-29 2009-12-31 American Express Travel Related Services Company, Inc. Dynamic account authentication using a mobile device
US8793757B2 (en) 2008-05-27 2014-07-29 Open Invention Network, Llc User-directed privacy control in a user-centric identity management system
US9137739B2 (en) 2009-01-28 2015-09-15 Headwater Partners I Llc Network based service policy implementation with network neutrality and user privacy
US20090307140A1 (en) 2008-06-06 2009-12-10 Upendra Mardikar Mobile device over-the-air (ota) registration and point-of-sale (pos) payment
US20100010932A1 (en) 2008-07-09 2010-01-14 Simon Law Secure wireless deposit system and method
US8250627B2 (en) 2008-07-28 2012-08-21 International Business Machines Corporation Transaction authorization
US20100029300A1 (en) 2008-07-30 2010-02-04 Arima Communications Corp. Method for inquiring real-time travel-related information using a mobile communication device
US20100042848A1 (en) 2008-08-13 2010-02-18 Plantronics, Inc. Personalized I/O Device as Trusted Data Source
US20130125222A1 (en) 2008-08-19 2013-05-16 James D. Pravetz System and Method for Vetting Service Providers Within a Secure User Interface
US8666904B2 (en) 2008-08-20 2014-03-04 Adobe Systems Incorporated System and method for trusted embedded user interface for secure payments
US8880036B2 (en) 2008-09-08 2014-11-04 Qualcomm Incorporated Retrieving data wirelessly from a mobile device
US20100083000A1 (en) 2008-09-16 2010-04-01 Validity Sensors, Inc. Fingerprint Sensor Device and System with Verification Token and Methods of Using
US7933836B2 (en) 2008-09-30 2011-04-26 Avaya Inc. Proxy-based, transaction authorization system
US8494482B2 (en) 2008-10-24 2013-07-23 Centurylink Intellectual Property Llc Telecommunications system and method for monitoring the body temperature of a user
WO2010063091A2 (en) 2008-11-04 2010-06-10 Securekey Technologies Inc. System and methods for online authentication
US8245030B2 (en) 2008-12-19 2012-08-14 Nai-Yu Pai Method for authenticating online transactions using a browser
US20100169650A1 (en) 2008-12-31 2010-07-01 Brickell Ernest F Storage minimization technique for direct anonymous attestation keys
US8961619B2 (en) 2009-01-06 2015-02-24 Qualcomm Incorporated Location-based system permissions and adjustments at an electronic device
US20100186072A1 (en) 2009-01-21 2010-07-22 Akshay Kumar Distributed secure telework
US8590021B2 (en) 2009-01-23 2013-11-19 Microsoft Corporation Passive security enforcement
US8284043B2 (en) 2009-01-23 2012-10-09 Honeywell International Inc. Method of formulating response to expired timer for data link message
US8756674B2 (en) 2009-02-19 2014-06-17 Securekey Technologies Inc. System and methods for online authentication
US9015789B2 (en) 2009-03-17 2015-04-21 Sophos Limited Computer security lock down methods
US8291468B1 (en) 2009-03-30 2012-10-16 Juniper Networks, Inc. Translating authorization information within computer networks
US9105027B2 (en) 2009-05-15 2015-08-11 Visa International Service Association Verification of portable consumer device for secure services
US20100325684A1 (en) 2009-06-17 2010-12-23 Microsoft Corporation Role-based security for messaging administration and management
US8452960B2 (en) 2009-06-23 2013-05-28 Netauthority, Inc. System and method for content delivery
KR20100137655A (ko) 2009-06-23 2010-12-31 삼성전자주식회사 전자 프로그램 가이드를 표시하는 방법 및 이를 위한 장치
WO2011017099A2 (en) 2009-07-27 2011-02-10 Suridx, Inc. Secure communication using asymmetric cryptography and light-weight certificates
US7865937B1 (en) 2009-08-05 2011-01-04 Daon Holdings Limited Methods and systems for authenticating users
US8756661B2 (en) 2009-08-24 2014-06-17 Ufp Identity, Inc. Dynamic user authentication for access to online services
US8429404B2 (en) 2009-09-30 2013-04-23 Intel Corporation Method and system for secure communications on a managed network
IL201351A0 (en) 2009-10-01 2010-05-31 Michael Feldbau Device and method for electronic signature via proxy
US8799666B2 (en) 2009-10-06 2014-08-05 Synaptics Incorporated Secure user authentication using biometric information
US8713325B2 (en) * 2011-04-19 2014-04-29 Authentify Inc. Key management using quasi out of band authentication architecture
US8769784B2 (en) 2009-11-02 2014-07-08 Authentify, Inc. Secure and efficient authentication using plug-in hardware compatible with desktops, laptops and/or smart mobile communication devices such as iPhones
US8719905B2 (en) 2010-04-26 2014-05-06 Authentify Inc. Secure and efficient login and transaction authentication using IPhones™ and other smart mobile communication devices
US8621460B2 (en) 2009-11-02 2013-12-31 International Business Machines Corporation Endpoint-hosted hypervisor management
KR20110048974A (ko) 2009-11-04 2011-05-12 삼성전자주식회사 무선통신 시스템에서 마스터 세션 키를 갱신하기 위한 장치 및 방법
US8949978B1 (en) 2010-01-06 2015-02-03 Trend Micro Inc. Efficient web threat protection
CN105072088A (zh) 2010-01-22 2015-11-18 交互数字专利控股公司 一种在具有用户的无线设备处执行的方法
US9070146B2 (en) 2010-02-04 2015-06-30 Playspan Inc. Method and system for authenticating online transactions
WO2011094869A1 (en) 2010-02-05 2011-08-11 Lipso Systèmes Inc. Secure authentication system and method
US20110219427A1 (en) 2010-03-04 2011-09-08 RSSBus, Inc. Smart Device User Authentication
US9065823B2 (en) 2010-03-08 2015-06-23 Gemalto Sa System and method for using a portable security device to cryptograhically sign a document in response to signature requests from a relying party to a digital signature service
US8930713B2 (en) 2010-03-10 2015-01-06 Dell Products L.P. System and method for general purpose encryption of data
JP2011199458A (ja) 2010-03-18 2011-10-06 Brother Industries Ltd 無線通信システム
CN102196407B (zh) 2010-03-18 2015-09-16 中兴通讯股份有限公司 锚定鉴权器重定位方法及***
US8826030B2 (en) 2010-03-22 2014-09-02 Daon Holdings Limited Methods and systems for authenticating users
EP2553904A2 (en) 2010-03-31 2013-02-06 Rick L. Orsini Systems and methods for securing data in motion
US9356916B2 (en) 2010-04-30 2016-05-31 T-Central, Inc. System and method to use a cloud-based platform supported by an API to authenticate remote users and to provide PKI- and PMI-based distributed locking of content and distributed unlocking of protected content
US8926335B2 (en) 2010-05-12 2015-01-06 Verificient Technologies, Inc. System and method for remote test administration and monitoring
US8973125B2 (en) 2010-05-28 2015-03-03 Alcatel Lucent Application layer authentication in packet networks
US20110314549A1 (en) 2010-06-16 2011-12-22 Fujitsu Limited Method and apparatus for periodic context-aware authentication
CN102959558B (zh) 2010-07-08 2018-12-14 惠普发展公司,有限责任合伙企业 用于文档策略实施的***和方法
US8412158B2 (en) 2010-08-17 2013-04-02 Qualcomm Incorporated Mobile device having increased security that is less obtrusive
EP2424185B1 (en) 2010-08-23 2014-10-22 3M Innovative Properties Co. Method and device for challenge-response authentication
US8590014B1 (en) 2010-09-13 2013-11-19 Zynga Inc. Network application security utilizing network-provided identities
US9183683B2 (en) 2010-09-28 2015-11-10 Sony Computer Entertainment Inc. Method and system for access to secure resources
US20120084562A1 (en) 2010-10-04 2012-04-05 Ralph Rabert Farina Methods and systems for updating a secure boot device using cryptographically secured communications across unsecured networks
US8566915B2 (en) 2010-10-22 2013-10-22 Microsoft Corporation Mixed-mode authentication
US8904472B2 (en) 2010-11-12 2014-12-02 Riaz Ahmed SHAIKH Validation of consistency and completeness of access control policy sets
US9118648B2 (en) 2010-11-24 2015-08-25 Telefónica, S.A. Method for authorizing access to protected content
US8555355B2 (en) 2010-12-07 2013-10-08 Verizon Patent And Licensing Inc. Mobile pin pad
US8955035B2 (en) 2010-12-16 2015-02-10 Microsoft Corporation Anonymous principals for policy languages
US8595507B2 (en) 2011-02-16 2013-11-26 Novell, Inc. Client-based authentication
US8810368B2 (en) 2011-03-29 2014-08-19 Nokia Corporation Method and apparatus for providing biometric authentication using distributed computations
US20130144785A1 (en) 2011-03-29 2013-06-06 Igor Karpenko Social network payment authentication apparatuses, methods and systems
US9092605B2 (en) 2011-04-11 2015-07-28 NSS Lab Works LLC Ongoing authentication and access control with network access device
US8584224B1 (en) 2011-04-13 2013-11-12 Symantec Corporation Ticket based strong authentication with web service
US9600679B2 (en) 2011-04-29 2017-03-21 Micro Focus Software Inc. Techniques for resource operation based on usage, sharing, and recommendations with modular authentication
CA2835460C (en) 2011-05-10 2018-05-29 Foteini AGRAFIOTI System and method for enabling continuous or instantaneous identity recognition based on physiological biometric signals
US8839395B2 (en) 2011-05-13 2014-09-16 Cch Incorporated Single sign-on between applications
US8561152B2 (en) 2011-05-17 2013-10-15 Microsoft Corporation Target-based access check independent of access request
EP2716094A4 (en) 2011-06-03 2014-12-03 Blackberry Ltd SYSTEM AND METHOD FOR ACCESSING PRIVATE NETWORKS
US8843649B2 (en) 2011-06-07 2014-09-23 Microsoft Corporation Establishment of a pairing relationship between two or more communication devices
KR101826941B1 (ko) * 2011-06-08 2018-02-07 주식회사 비즈모델라인 동적 계좌번호 기반 계좌거래 방법
US20120313746A1 (en) 2011-06-10 2012-12-13 Aliphcom Device control using sensory input
US8800056B2 (en) 2011-08-12 2014-08-05 Palo Alto Research Center Incorporated Guided implicit authentication
US8713314B2 (en) 2011-08-30 2014-04-29 Comcast Cable Communications, Llc Reoccuring keying system
US8590018B2 (en) 2011-09-08 2013-11-19 International Business Machines Corporation Transaction authentication management system with multiple authentication levels
US8838982B2 (en) 2011-09-21 2014-09-16 Visa International Service Association Systems and methods to secure user identification
US9621404B2 (en) 2011-09-24 2017-04-11 Elwha Llc Behavioral fingerprinting with social networking
US20130133054A1 (en) 2011-09-24 2013-05-23 Marc E. Davis Relationship Based Trust Verification Schema
US9495533B2 (en) 2011-09-29 2016-11-15 Oracle International Corporation Mobile application, identity relationship management
US9043480B2 (en) 2011-10-11 2015-05-26 Citrix Systems, Inc. Policy-based application management
US20130090939A1 (en) 2011-10-11 2013-04-11 Robert N. Robinson Sytem and method for preventing healthcare fraud
US9021565B2 (en) 2011-10-13 2015-04-28 At&T Intellectual Property I, L.P. Authentication techniques utilizing a computing device
US20130104187A1 (en) 2011-10-18 2013-04-25 Klaus Helmut Weidner Context-dependent authentication
US20140189807A1 (en) 2011-10-18 2014-07-03 Conor P. Cahill Methods, systems and apparatus to facilitate client-based authentication
CA2851691C (en) 2011-10-31 2016-11-29 Money And Data Protection Lizenz Gmbh & Co. Kg Authentication method
EP2780854B1 (en) 2011-11-14 2017-04-12 Vasco Data Security International GmbH A smart card reader with a secure logging feature
US8607319B2 (en) 2011-11-22 2013-12-10 Daon Holdings Limited Methods and systems for determining biometric data for use in authentication transactions
WO2013082190A1 (en) 2011-11-28 2013-06-06 Visa International Service Association Transaction security graduated seasoning and risk shifting apparatuses, methods and systems
US8958599B1 (en) 2012-01-06 2015-02-17 Google Inc. Input method and system based on ambient glints
US8863299B2 (en) 2012-01-06 2014-10-14 Mobile Iron, Inc. Secure virtual file management system
CA2861660A1 (en) 2012-01-08 2013-07-11 Imagistar Llc System and method for item self-assessment as being extant or displaced
MX342702B (es) 2012-02-14 2016-10-10 Apple Inc Metodos y aparato para distribucion a gran escala de clientes de acceso electronico.
EP2817917B1 (en) 2012-02-20 2018-04-11 KL Data Security Pty Ltd Cryptographic method and system
US20130239173A1 (en) 2012-03-12 2013-09-12 Stephen T. Dispensa Computer program and method for administering secure transactions using secondary authentication
CN104205722B (zh) 2012-03-28 2018-05-01 英特尔公司 基于设备验证的有条件的有限服务授权
US8990948B2 (en) 2012-05-01 2015-03-24 Taasera, Inc. Systems and methods for orchestrating runtime operational integrity
US9521548B2 (en) * 2012-05-21 2016-12-13 Nexiden, Inc. Secure registration of a mobile device for use with a session
US9130837B2 (en) 2012-05-22 2015-09-08 Cisco Technology, Inc. System and method for enabling unconfigured devices to join an autonomic network in a secure manner
US20140007215A1 (en) 2012-06-15 2014-01-02 Lockheed Martin Corporation Mobile applications platform
US20140013422A1 (en) 2012-07-03 2014-01-09 Scott Janus Continuous Multi-factor Authentication
TW201417598A (zh) 2012-07-13 2014-05-01 Interdigital Patent Holdings 安全性關聯特性
US10771448B2 (en) 2012-08-10 2020-09-08 Cryptography Research, Inc. Secure feature and key management in integrated circuits
US9088891B2 (en) 2012-08-13 2015-07-21 Wells Fargo Bank, N.A. Wireless multi-factor authentication with captive portals
US9867043B2 (en) 2012-08-28 2018-01-09 Visa International Service Association Secure device service enrollment
US8955067B2 (en) 2012-09-12 2015-02-10 Capital One, Na System and method for providing controlled application programming interface security
US9215249B2 (en) 2012-09-29 2015-12-15 Intel Corporation Systems and methods for distributed trust computing and key management
US9172544B2 (en) 2012-10-05 2015-10-27 General Electric Company Systems and methods for authentication between networked devices
US20140250523A1 (en) 2012-10-11 2014-09-04 Carnegie Mellon University Continuous Authentication, and Methods, Systems, and Software Therefor
US8910239B2 (en) 2012-10-15 2014-12-09 Citrix Systems, Inc. Providing virtualized private network tunnels
US9176838B2 (en) 2012-10-19 2015-11-03 Intel Corporation Encrypted data inspection in a network environment
US8584219B1 (en) 2012-11-07 2013-11-12 Fmr Llc Risk adjusted, multifactor authentication
US9166962B2 (en) 2012-11-14 2015-10-20 Blackberry Limited Mobile communications device providing heuristic security authentication features and related methods
US8935808B2 (en) 2012-12-18 2015-01-13 Bank Of America Corporation Identity attribute exchange and validation broker
US9015482B2 (en) 2012-12-28 2015-04-21 Nok Nok Labs, Inc. System and method for efficiently enrolling, registering, and authenticating with multiple authentication devices
US9083689B2 (en) 2012-12-28 2015-07-14 Nok Nok Labs, Inc. System and method for implementing privacy classes within an authentication framework
US20140189835A1 (en) 2012-12-28 2014-07-03 Pitney Bowes Inc. Systems and methods for efficient authentication of users
US9172687B2 (en) 2012-12-28 2015-10-27 Nok Nok Labs, Inc. Query system and method to determine authentication capabilities
US9219732B2 (en) 2012-12-28 2015-12-22 Nok Nok Labs, Inc. System and method for processing random challenges within an authentication framework
US9306754B2 (en) 2012-12-28 2016-04-05 Nok Nok Labs, Inc. System and method for implementing transaction signing within an authentication framework
US9374369B2 (en) 2012-12-28 2016-06-21 Lookout, Inc. Multi-factor authentication and comprehensive login system for client-server networks
US8856541B1 (en) 2013-01-10 2014-10-07 Google Inc. Liveness detection
US9143506B2 (en) 2013-02-13 2015-09-22 Daniel Duncan Systems and methods for identifying biometric information as trusted and authenticating persons using trusted biometric information
JP6069039B2 (ja) 2013-03-11 2017-01-25 日立オートモティブシステムズ株式会社 ゲートウェイ装置及びサービス提供システム
US20140282868A1 (en) 2013-03-15 2014-09-18 Micah Sheller Method And Apparatus To Effect Re-Authentication
EP3975014A1 (en) 2013-03-15 2022-03-30 INTEL Corporation Technologies for secure storage and use of biometric authentication information
US10270748B2 (en) 2013-03-22 2019-04-23 Nok Nok Labs, Inc. Advanced authentication techniques and applications
US9305298B2 (en) 2013-03-22 2016-04-05 Nok Nok Labs, Inc. System and method for location-based authentication
US8646060B1 (en) * 2013-07-30 2014-02-04 Mourad Ben Ayed Method for adaptive authentication using a mobile device
US10366391B2 (en) 2013-08-06 2019-07-30 Visa International Services Association Variable authentication process and system
US20150180869A1 (en) 2013-12-23 2015-06-25 Samsung Electronics Company, Ltd. Cloud-based scalable authentication for electronic devices
US9652354B2 (en) 2014-03-18 2017-05-16 Microsoft Technology Licensing, Llc. Unsupervised anomaly detection for arbitrary time series
US9654463B2 (en) 2014-05-20 2017-05-16 Airwatch Llc Application specific certificate management
US9992207B2 (en) 2014-09-23 2018-06-05 Qualcomm Incorporated Scalable authentication process selection based upon sensor inputs

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH06195307A (ja) * 1992-12-22 1994-07-15 Fujitsu Ltd 不特定多数ユーザ自動登録装置
JPH09231172A (ja) * 1996-02-26 1997-09-05 Nippon Denki Ido Tsushin Kk パスワード登録方法
JP2001325469A (ja) * 2000-02-29 2001-11-22 Internatl Business Mach Corp <Ibm> 電子商取引をセキュアにするためにデバイスを関連づけるシステム及び方法
JP2003274007A (ja) * 2002-03-19 2003-09-26 Nec Corp 携帯電話機
JP2005316936A (ja) * 2004-03-31 2005-11-10 Dowango:Kk 商品サーバ、購入代金決済方法、商品購入方法並びにコンピュータプログラム
JP2012503243A (ja) * 2008-09-19 2012-02-02 ロゴモーション エス.アール.オー. 電子決済アプリケーションシステムと決済認証方法
US20130124422A1 (en) * 2011-11-10 2013-05-16 Intryca Inc. Systems and methods for authorizing transactions via a digital device
JP2013122736A (ja) * 2011-12-12 2013-06-20 Tohsho Corp ポイント管理システム

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
齋藤孝道, マスタリングTCP/IP 情報セキュリティ編, JPN6019007133, 1 September 2013 (2013-09-01), pages 77 - 80, ISSN: 0004219318 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021068967A (ja) * 2019-10-21 2021-04-30 Necプラットフォームズ株式会社 サーバ、スレーブ装置、マスター装置、システム、システムの方法、及びプログラム
JP7036445B2 (ja) 2019-10-21 2022-03-15 Necプラットフォームズ株式会社 サーバ、スレーブ装置、マスター装置、システム、システムの方法、及びプログラム

Also Published As

Publication number Publication date
CN106464673B (zh) 2020-12-04
US20170048218A1 (en) 2017-02-16
KR20170040122A (ko) 2017-04-12
EP3138265A1 (en) 2017-03-08
WO2015168644A1 (en) 2015-11-05
CN106464673A (zh) 2017-02-22
US9577999B1 (en) 2017-02-21
EP3138265A4 (en) 2017-11-29
EP3138265B1 (en) 2020-11-11
KR102383021B1 (ko) 2022-04-04

Similar Documents

Publication Publication Date Title
KR102383021B1 (ko) 인증 장치의 등록을 위한 향상된 보안
CN106575416B (zh) 用于向装置验证客户端的***和方法
CN106664208B (zh) 使用安全传输协议建立信任的***和方法
EP3195108B1 (en) System and method for integrating an authentication service within a network architecture
JP6653268B2 (ja) 異なるチャネル上で強力な認証イベントを伝えるシステム及び方法
US10762181B2 (en) System and method for user confirmation of online transactions
JP6530049B2 (ja) ホスト型認証サービスを実装するためのシステム及び方法
CN113474774A (zh) 用于认可新验证器的***和方法
TW201903637A (zh) 判定認證能力之查詢系統、方法及非暫態機器可讀媒體
KR20210142180A (ko) 효율적인 챌린지-응답 인증을 위한 시스템 및 방법
CN114830092A (zh) 用于防御恶意程序代码注入的***和方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180501

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180510

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190131

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190307

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20190607

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20190610

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190909

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20200227

C60 Trial request (containing other claim documents, opposition documents)

Free format text: JAPANESE INTERMEDIATE CODE: C60

Effective date: 20200629

C116 Written invitation by the chief administrative judge to file amendments

Free format text: JAPANESE INTERMEDIATE CODE: C116

Effective date: 20200713

C22 Notice of designation (change) of administrative judge

Free format text: JAPANESE INTERMEDIATE CODE: C22

Effective date: 20200713

C22 Notice of designation (change) of administrative judge

Free format text: JAPANESE INTERMEDIATE CODE: C22

Effective date: 20201012

C23 Notice of termination of proceedings

Free format text: JAPANESE INTERMEDIATE CODE: C23

Effective date: 20210208

C03 Trial/appeal decision taken

Free format text: JAPANESE INTERMEDIATE CODE: C03

Effective date: 20210304

C30A Notification sent

Free format text: JAPANESE INTERMEDIATE CODE: C3012

Effective date: 20210304