JP2022528366A - Htmlブラウザ承認アプローチを含むコンピュータシステムおよび方法 - Google Patents

Htmlブラウザ承認アプローチを含むコンピュータシステムおよび方法 Download PDF

Info

Publication number
JP2022528366A
JP2022528366A JP2021557415A JP2021557415A JP2022528366A JP 2022528366 A JP2022528366 A JP 2022528366A JP 2021557415 A JP2021557415 A JP 2021557415A JP 2021557415 A JP2021557415 A JP 2021557415A JP 2022528366 A JP2022528366 A JP 2022528366A
Authority
JP
Japan
Prior art keywords
user
access
access provider
input information
input
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2021557415A
Other languages
English (en)
Inventor
スピーク,グレイム
リチャードソン,ニール
Original Assignee
バンクヴォルト ピーティーワイ リミテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from AU2019901053A external-priority patent/AU2019901053A0/en
Application filed by バンクヴォルト ピーティーワイ リミテッド filed Critical バンクヴォルト ピーティーワイ リミテッド
Publication of JP2022528366A publication Critical patent/JP2022528366A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/77Graphical identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)

Abstract

本発明の一形態では、1つ以上のアクセスプロバイダシステム12が第1電子機器14上のコンテンツへのアクセスを保護することを可能にするコンピュータ実装方法10が提供される。コンピュータ実装方法10は、第2電子機器20上のユーザ18によって入力される暗号化入力情報16を受信することと、第1電子機器14上のコンテンツへのアクセスを承認するかどうかを1つ以上のアクセスプロバイダシステム12に決定させるために、入力情報16を1つ以上のアクセスプロバイダシステム12に送信することとを含む。

Description

参照による組み込み
2018年4月18日に出願された「仮想マシン-コンピュータ実装セキュリティ方法およびシステム」という名称の先に出願されたPCT出願PCT/AU2018/050349のすべての部分および要素が、参照により本明細書に完全に組み込まれる。
本発明は、コンピュータシステムおよび方法に関する。1つの特に好ましい形態では、HTMLブラウザベースの認証アプローチが提供される。
アクセスプロバイダシステムからユーザへのコンテンツの安全な提供、またはユーザから安全なシステムへのコンテンツの安全な提供に関連する様々な問題がある。
アクセスプロバイダシステムにセキュリティを提供することを主張する様々なシステムが知られている。これらのセキュリティシステムは、一般に、キーロガー、スクリーンスクレイピング、中間者、マンインザブラウザ攻撃、およびコンテンツの安全な提供を回避することができるその他のアプローチに関連する問題を被る。
攻撃面の問題に加えて、セキュリティシステムは、速度、リソースおよびソフトウェアアーキテクチャの統合に関連するハードウェアおよびソフトウェアの問題にも遭遇することが知られている。
2つの要素認証を提供するシステムに関連する問題も知られている。これらのシステムは、通常、匿名性とアクセスコードの侵入の問題に遭遇する。SMSシステムサービスは、しばしば使用される伝送プロトコルの性質のために、セキュリティ面で特に弱いと考えられる。FOBのようなワンタイムパスコードシステムは、ブラウザに入力されたデータがマンインザブラウザによって傍受または改ざんされることによって、侵害される可能性がある。
改善された、または有用な代替のセキュリティシステムおよび方法が、セキュリティ産業で一般に使用されるものに提供され得れば、有利である。
本発明者が本発明を開発したのは、この背景およびそれに関連する問題および困難に対するためである。
本明細書で説明する第1態様によれば、アクセスプロバイダシステムが第1電子機器上のコンテンツへのアクセスを安全にすることを可能にするコンピュータ実装方法であって、ユーザが第2電子機器に入力した暗号化入力情報を受信することと、前記アクセスプロバイダシステムが前記第1電子機器へのアクセスを承認するかどうかを決定できるようにするために、前記入力情報をアクセスプロバイダシステムに送信することとを含む、コンピュータ実装方法が提供される。
第1態様では、複数の機器へのアクセスを承認するために適用することができ、したがって、本明細書で説明する第2態様では、1つ以上のアクセスプロバイダシステムが第1電子機器上のコンテンツへのアクセスを安全にすることを可能にするコンピュータ実装方法であって、ユーザが第2電子機器上に入力した暗号化入力情報を受信することと、前記第1電子機器へのアクセスを承認するかどうかを前記1つ以上のアクセスプロバイダシステムが決定できるようにするために、入力情報を前記1つ以上のアクセスプロバイダシステムに送信することとを含む、コンピュータ実装方法が提供される。
好ましくは、前記方法は、アプリケーションインタフェースを有するシステムサービスを提供することを含み、前記アプリケーションインタフェースは、前記暗号化入力情報を受信し、受信された前記暗号化入力情報を前記システムサービスから前記1つ以上のアクセスプロバイダシステムに送信する。一実施形態では、(i)各アクセスプロバイダシステムは送信された入力情報を復号化するための復号鍵へのアクセスを有し、(ii)システムサービスは復号鍵へのアクセスを有さず、受信された暗号化入力情報を復号化することができない。
好ましくは、前記方法は、対応するアクセスプロバイダシステムおよび対応する第2電子機器に関連するユーザ入力セッションを識別するための各セッション識別子を生成することを含む。
好ましくは、前記方法は、アクセスプロバイダシステムに関連する各セッション識別子の秘密鍵を生成する各アクセスプロバイダシステムを含む。
好ましくは、前記方法は、前記第2電子機器によるスキャンのために、各セッション識別子および対応する秘密鍵を、前記第1電子機器上に視覚的表現として提示することを含む。
好ましくは、前記方法は、対応する第1機器上のコンテンツへのアクセスを取得するために、前記ユーザが入力した情報の暗号化において各秘密鍵を使用することを含む。
好ましくは、前記方法は、前記ユーザが前記第2電子機器を用いて入力した暗号化入力情報を、対応するセッション識別子に基づいて照合することと、対応する前記セッション識別子に基づいて、各セッション識別子に関連する照合入力情報を前記1つ以上のアクセスプロバイダシステムに提供することとを含む。
好ましくは、前記セッションまたは各セッション識別子は、各前記アクセスプロバイダシステムの識別子を含み、前記方法は、各前記アクセスプロバイダシステム識別子を各前記第2機器に記憶することをさらに含む。
好ましくは、前記方法はまた、各前記アクセスプロバイダシステム識別子と、機器識別子または予測不可能な数の一方または両方とを、記憶された識別子として各前記第2機器に記憶することをさらに含む。
好ましくは、前記方法は、記憶された前記識別子を前記アクセスプロバイダシステムに送信することを含む。
好ましくは、各前記アクセスプロバイダシステムは、受信されて記憶された前記識別子を、同じ第2機器識別子を有する以前に受信されて記憶された識別子と比較する。
好ましくは、前記方法は、入力セッション識別子を提供するために、前記1つ以上のアクセスプロバイダシステムからのリクエストを受信することを含み、各入力セッション識別子は、関連するアクセスプロバイダシステムからユーザにコンテンツへのセキュアアクセスを提供する際に使用するために提供される。
一実施形態では、前記方法は、各前記第2電子機器のソフトウェアアプリケーションを提供することを含み、前記ソフトウェアアプリケーションは、ユーザが第1電子機器上のコンテンツにアクセスすることを承認する際に使用するための入力システムを提供する。他の実施形態では、各第2電子機器は、仮想入力機器を備える。好ましくは、仮想入力機器は、入力を受け取るために表示される。
好ましくは、前記方法は、前記第2電子機器から入力情報を受信した後、対応する第1電子機器にコンテンツ非依存かつ長さ認識の入力情報を送信することを含む。
あるいは、前記方法は、前記第2電子機器から入力情報を受信した後に、対応する第1電子機器にコンテンツ非依存かつ長さ非認識の入力情報を送信することを含む。
好ましくは、前記方法は、前記第1機器上で直接行われる前記ユーザからのさらなる入力情報として、前記第1機器から表示要素選択情報を受信することを含む。
好ましくは、前記方法は、対応する前記ユーザによって直接行われた各第1ユーザ機器上の表示要素の変更をモニタすることを含む。
任意に、前記方法は、前記第1電子機器上の表示要素選択を、対応する第2電子機器に通知することを含む。
本明細書に記載する態様によれば、アクセスプロバイダシステムと電子機器との間の第1通信チャネルを介して、前記アクセスプロバイダシステムが電子機器上のコンテンツへのアクセスを安全にすることを可能にするコンピュータ実装方法であって、第2機器と前記アクセスプロバイダシステムとの間の第2通信チャネルを介して、ユーザが入力した暗号化入力情報を受信することと、前記第1電子機器へのアクセスを承認するかどうかを前記アクセスプロバイダシステムが決定できるようにするために、入力情報を前記アクセスプロバイダシステムに送信することとを含む、コンピュータ実装方法が提供される。
好ましくは、前記情報は、前記第2機器上で前記ユーザによって入力される。
好ましくは、前記方法は、対応する前記第1機器または各第1機器における入力機器の形態で、前記第2機器または各第2機器を実装することを含む。
好ましくは、入力された前記情報は、前記第1通信チャネルを介して前記アクセスプロバイダシステムに提供されることができない。
本明細書に記載の態様によれば、対応するセッション識別子に関連付けられたアクセスプロバイダシステムが第1電子機器上のコンテンツへのアクセスを保護することを可能にするコンピュータ実装方法であって、システムサービスによって提供されるアプリケーションインタフェースを介して、入力セッションを識別するセッション識別子と共に第2電子機器上でユーザによって入力される暗号化入力情報を受信することと、前記第1電子機器とは独立した暗号化された通信チャネルを提供する前記第2電子機器と、ユーザが前記第2電子機器を用いて入力した情報を、前記アプリケーションインタフェースを介して前記アクセスプロバイダシステムに送信することとを含み、前記システムサービスは、暗号化入力情報を復号化するために必要な復号鍵に依存しない、コンピュータ実装方法が提供される。
本明細書に記載の態様によれば、複数のアクセスプロバイダシステムが第1電子機器上のコンテンツへのアクセスを安全にすることを可能にするコンピュータ実装方法であって、システムサービスによって提供されるアプリケーションインタフェースを介して、ユーザによって入力される暗号化入力情報を、それぞれが入力セッションを識別するセッション識別子と共に第2電子機器上で受信することと、前記第1電子機器から独立した暗号化通信チャネルを提供する前記第2ユーザ機器と、前記アプリケーションインタフェースを介して、前記ユーザが入力した入力情報を、対応するセッション識別子に関連付けられた前記アクセスプロバイダシステムに送信することとを含み、前記システムサービスは、前記暗号化入力情報を復号化するために必要な前記復号鍵に依存しない、コンピュータ実装方法。
好ましくは、前記方法は、各第1機器から各第2機器にセッション識別子および秘密鍵を提供することを含む。好ましくは、前記方法は、各前記第2電子機器を用いてスキャンされる、各前記第1電子機器上の視覚的表現における秘密鍵と共にセッション識別子を提供することと、ユーザが対応する前記第2電子機器に入力した情報の暗号化において各前記秘密鍵を使用することと、前記暗号化情報を、セッション識別子と共に、各前記第2電子機器からアプリケーションインタフェースに送信することとを含む。
好ましくは、前記方法は、前記アプリケーションインタフェースを介して受信された暗号化入力情報を照合することと、照合された前記暗号化入力情報を、対応するセッション識別子に基づいて1つ以上の前記アクセスプロバイダシステムに提供することと含む。あるいは、照合がアクセスプロバイダシステムによって実行されてもよい。
好ましくは、前記方法は、第1セッション中にそれぞれの第2機器にアクセスプロバイディングシステム識別子を記憶することと、記憶された前記アクセスプロバイダシステム識別子を、前記アプリケーションインタフェースを介して後続のセッションでそれぞれの前記アクセスプロバイダシステムに送信することを含む。
本明細書に開示する態様によれば、対応するセッション識別子に関連付けられたアクセスプロバイダシステムが、第1通信チャネルを介して第1電子機器上のコンテンツへのアクセスを安全にすることを可能にするコンピュータ実装方法であって、システムサービスによって提供されるアプリケーションインタフェースを持つ第2通信チャネルを介して、入力セッションを識別するセッション識別子と共にユーザが入力した暗号化入力情報を受信することと、暗号化されておりかつ第1通信チャネルとは独立している前記第2通信チャネルと、ユーザが入力した前記暗号化入力情報を、前記アプリケーションインタフェースを介して前記アクセスプロバイダシステムに送信することとを含み、前記システムサービスは、前記暗号化入力情報を復号化するために必要な復号鍵に依存しない、コンピュータ実装方法が提供される。
本明細書で説明される態様によれば、アクセスプロバイダシステムが第1電子機器上のコンテンツへのアクセスを安全にすることを可能にするためのコンピュータ実装システムであって、ユーザが第2電子機器に入力した暗号化入力情報を受信するための受信器と、前記アクセスプロバイダシステムが第1電子機器上のコンテンツへのアクセスを承認するかどうかを決定することを可能にするために、前記アクセスプロバイダシステムに入力情報を提供するための送信器とを備える、コンピュータ実装システムが提供される。
本明細書で説明される態様によれば、1つ以上のアクセスプロバイダシステムが第1電子機器上のコンテンツへのアクセスを安全にすることを可能にするためのコンピュータ実装システムであって、ユーザが第2電子機器に入力した暗号化入力情報を受信するための受信器と、前記第1電子機器上のコンテンツへのアクセスを承認するかどうかを前記1つ以上のアクセスプロバイダシステムが決定することを可能にするために、前記1つ以上のアクセスプロバイダシステムに入力情報を提供するための送信器とを備える、コンピュータ実装システムが提供される。
好ましくは、前記システムは、アプリケーションインタフェースを提供するサービスを含み、前記アプリケーションインタフェースは、前記暗号化入力情報を受信し、受信した暗号化入力情報を前記システムサービスから前記1つ以上のアクセスプロバイダシステムに送信し、さらに、(i)各アクセスプロバイダシステムは、送信された前記入力情報を復号化するための復号鍵にアクセスし、(ii)前記システムサービスは、前記復号鍵にアクセスせず、受信した前記暗号化入力情報を復号化できない。
好ましくは、対応するアクセスプロバイダシステムおよび対応する第2電子機器に関連してユーザ入力セッションを識別するための各セッション識別子を生成するための生成器を備える。
好ましくは、各アクセスプロバイダシステムは、前記アクセスプロバイダシステムに関連する各セッション識別子のための秘密鍵を生成するための秘密鍵生成器を含む。
好ましくは、各アクセスプロバイダシステムは、前記第2電子機器によるスキャンのために、前記第1電子機器上の視覚的表現としてセッション識別子および対応する秘密鍵を生成するための生成器を含む。
好ましくは、前記システムは、対応する前記第1機器上のコンテンツへのアクセスを取得するために、ユーザが入力した情報の暗号化において各秘密鍵を使用する暗号化器を含む。
好ましくは、前記システムは、対応する前記セッション識別子に基づいて、前記ユーザが前記第2電子機器に入力した暗号化入力情報を照合する照合器を含み、前記送信器は、対応する前記セッション識別子に基づいて、前記セッション識別子に関連する照合入力情報を前記1つ以上のアクセスプロバイダシステムに提供する。
好ましくは、前記システムは、入力セッション識別子を作成するために、前記1つ以上のアクセスプロバイダシステムからリクエストを受信するためのセッション識別子リクエスト受信器を備え、各入力セッション識別子は、関連するアクセスプロバイダシステムからユーザに対するコンテンツへの安全なアクセスを提供するために使用される。
好ましくは、前記システムは、各前記第2電子機器上の入力受信器を含み、前記入力受信器は、ユーザが第1電子機器上のコンテンツにアクセスすることを承認する際に使用するためのアプリケーションを備える。
好ましくは、前記システムは、前記受信器が前記第2電子機器から入力情報を受信した後に、対応する第1電子機器に、コンテンツ非依存かつ長さ認識の入力情報を送信するための助言器を含む。
代替的に、前記システムは、前記受信器が前記第2電子機器から入力情報を受信した後に、対応する第1電子機器にコンテンツ非依存の入力情報および長さ非依存の入力情報を送信するための助言器を含む。
好ましくは、前記システムは、各第1ユーザ機器上の表示要素をモニタすることに関連して、前記ユーザからのさらなる入力情報として第1機器から表示要素選択情報を受信するための表示選択受信器を含む。
好ましくは、前記システムは、各第1ユーザ機器上の表示要素をモニタするためのモニタを含む。
好ましくは、前記システムは、前記第1電子機器上の表示要素の選択を対応する第2電子機器に通知するための通知器を含む。
本明細書に記載の態様によれば、アクセスプロバイダシステムからユーザに対するコンテンツへの安全なアクセスを提供するコンピュータ実装方法であって、第1ユーザ機器にインストールされたHTMLブラウザを介して前記ユーザに前記コンテンツへのアクセスを提供するためのウェブアプリケーションを維持することと、アクセスプロバイダシステムからコンテンツにアクセスするための第1ユーザ機器と、前記ユーザが第2ユーザ機器に入力した入力情報を復号化することと、復号化された前記入力情報に基づいて、安全なコンテンツへのアクセスを承認することとを含む、コンピュータ実装方法が提供される。
本明細書に記載される態様によれば、1つ以上のアクセスプロバイダシステムからユーザに対するコンテンツへの安全なアクセスを提供するコンピュータ実装方法であって、様々なアクセスプロバイダシステムからコンテンツにアクセスするための第1ユーザ機器にインストールされたHTMLブラウザを介して前記ユーザに前記コンテンツへのアクセスを提供するためのウェブアプリケーションを維持することと、前記ユーザが第2ユーザ機器に入力した入力情報を復号化することと、復号化された前記入力情報に基づいて、安全なコンテンツへのアクセスを承認することとを含む、コンピュータ実装方法が提供される。
好ましくは、前記コンテンツは、ハイパーテキストマークアップコンテンツを含む。
好ましくは、前記方法は、セッション識別子と、各セッション識別子に関連する秘密鍵とを維持することと、1つ以上の表示要素を提供することと、対応する前記セッション識別子の1つに関連する第2電子機器上にそれぞれ入力情報が入力された結果、コンテンツ非依存の入力情報で1つ以上の表示要素を更新することとを含む。
好ましくは、前記方法は、前記表示要素をモニタすることと、前記第2電子機器を更新する際に使用するための表示要素選択情報を送信することとを含む。
好ましくは、前記方法は、前記第2ユーザ機器と前記アクセスプロバイダシステムとの間の仲介システムから、暗号化された前記入力情報を受信することを含む。
好ましくは、前記方法は、アクセスプロバイダシステム識別子を維持することと、前記アクセスプロバイダシステム識別子をその記憶のための前記第1機器に提供することとを含む、前記方法は、さらに、1つのセッションにおいて前記第2ユーザ機器から第1識別子を受信することと、後続のセッションにおいて前記第2ユーザ機器から受信した第2識別子と、受信した前記第1識別子を前記第2識別子と比較する各第1機器と同じアクセスプロバイダシステムペアとの間のセッションについて比較することとを含む。
本明細書に記載の態様によれば、アクセスプロバイダシステムからユーザにコンテンツへの安全なアクセスを提供するコンピュータ実装方法であって、第1通信チャネルを介してアクセスプロバイダシステムからコンテンツにアクセスするためのHTMLブラウザを介して前記ユーザにコンテンツへのアクセスを提供するためのウェブアプリケーションを維持することと、前記ユーザによって入力され、前記第1通信チャネルから独立した第2通信チャネルを介して受信される入力情報を復号化することと、復号化された前記入力情報に基づいて、安全なコンテンツへのアクセスを認証することとを含む、コンピュータ実装方法が提供される。
本明細書に記載する態様によれば、アクセスプロバイダシステムからユーザに対するコンテンツへの安全なアクセスを提供するコンピュータ実装システムであって、前記アクセスプロバイダシステムからコンテンツにアクセスするための第1ユーザ機器にインストールされたHTMLブラウザを介してコンテンツへのアクセスをユーザに提供するためのウェブアプリケーションと、前記ユーザが前記第2ユーザ機器に入力した入力情報を復号化するための復号化器を有し、かつ復号化された前記入力情報を用いて前記コンテンツへのアクセスを認証するか否かを決定するための認証器とを備えるコンピュータ実装システムが提供される。
本明細書に記載する態様によれば、1つ以上のアクセスプロバイダシステムからユーザにコンテンツへの安全なアクセスを提供するコンピュータ実装システムであって、様々なアクセスプロバイダシステムからコンテンツにアクセスするための第1ユーザ機器にインストールされたHTMLブラウザを介してユーザにコンテンツへのアクセスを提供するためのウェブアプリケーションと、ユーザが第2ユーザ機器に入力した入力情報を復号化するための復号化器を有し、復号化された前記入力情報を用いてコンテンツへのアクセスを承認するか否かを決定する承認器とを備えるコンピュータ実装システムが提供される。
好ましくは、前記コンテンツは、ハイパーテキストマークアップコンテンツを含む。
好ましくは、前記システムは、セッション識別子と、各セッション識別子に関連付けられた秘密鍵とを維持するための維持器と、前記1つ以上の表示要素を提供するプロバイダと、前記セッション識別子の対応する1つとそれぞれ関連付けられた第2電子機器に入力情報が入力される結果として、コンテンツ非依存の入力情報を用いて前記1つ以上の表示要素を更新する更新器と備える。
好ましくは、前記システムは、前記表示要素をモニタし、前記第2電子機器を更新する際に使用するための表示要素選択情報を送信するためのモニタを備える。
本明細書に記載の態様によれば、アクセスプロバイダシステムによって記憶されたコンテンツへのアクセスを安全にするコンピュータ実装方法であって、ユーザに関連付けられた第1電子機器上のコンテンツへの安全なユーザアクセスを承認できるようにする前記アクセスプロバイダシステムのためのウェブシステムサービスを提供することと、前記ユーザに関連する第2電子機器を用いて前記ウェブシステムと通信するためのアプリケーションを前記ユーザに提供することと、前記ユーザが前記第2ユーザ機器に入力した暗号化入力情報を受信することと、受信した前記暗号化入力情報を前記アクセスプロバイダシステムに転送することと、を含み、前記アクセスプロバイダシステムは、前記第1ユーザ機器上のコンテンツに対する前記ユーザのアクセスを承認するか否かを決定するために、前記暗号化入力情報を復号化する能力を有する、コンピュータ実装方法が提供される。
本明細書に記載の態様によれば、1つ以上のアクセスプロバイダシステムによって記憶されたコンテンツへのアクセスを保護するコンピュータ実装方法であって、ユーザに関連付けられている各第1電子機器上のコンテンツへの安全なユーザアクセスを承認することを可能にする前記1つ以上のアクセスプロバイダシステムのためのウェブシステムサービスを提供することと、ユーザに関連付けられる第2電子機器を用いてウェブシステムサービスと通信するためのアプリケーションを各ユーザに提供することと、前記ユーザが第2ユーザ機器に入力した暗号化入力情報を受信することと、受信した前記暗号化入力情報を、前記第1ユーザ機器上のコンテンツへのユーザのアクセスを承認するかどうかを決定するために、前記暗号化入力情報を復号化する能力を有する前記1つ以上のアクセスプロバイダシステムと共に、前記1つ以上のアクセスプロバイダシステムに転送することとを含む、コンピュータ実装方法が提供される。
ここに記載される態様によれば、アクセスプロバイダシステムによって記憶されたコンテンツへのアクセスを安全にするコンピュータ実装システムであって、ユーザに関連付けられる各第1電子機器上のコンテンツへの安全なユーザアクセスを前記アクセスプロバイダシステムが承認できるようにする、前記アクセスプロバイダシステムのためのウェブシステムサービスと、ユーザに関連付けられる第2電子機器を用いてウェブシステムサービスと通信するための入力システムと、前記ユーザが入力した暗号化入力情報を前記第2ユーザ機器上で受信するための受信器と、受信された前記暗号化入力情報を前記アクセスプロバイダシステムに転送するための転送器とを備え、前記アクセスプロバイダシステムは、前記ユーザに前記第1ユーザ機器上のコンテンツへのアクセスを承認するか否かを決定するために、前記暗号化入力情報を復号化する能力を有する、コンピュータ実装システムが提供される。
本明細書に記載する態様によれば、1つ以上のアクセスプロバイダシステムによって記憶されたコンテンツへのアクセスを保護するコンピュータ実装システムであって、ユーザに関連付けられる各第1電子機器上のコンテンツへの安全なユーザアクセスを前記アクセスプロバイダシステムが承認できるようにする、前記1つ以上のアクセスプロバイダシステムのためのウェブシステムサービスと、ユーザに関連付けられる各第2電子機器を用いて前記ウェブシステムサービスと通信するための入力システムと、前記ユーザが前記第2ユーザ機器に入力した暗号化入力情報を受信する受信器と、前記第1ユーザ機器上のコンテンツへのアクセスを前記ユーザに承認するかどうかを決定するために、受信した前記暗号化入力情報を、前記暗号化入力情報を復号化する能力を有する1つ以上のアクセスプロバイダシステムと共に、前記1つ以上のアクセスプロバイダシステムに転送するための転送器とを備える、コンピュータ実装システムが提供される。
ここに記載される態様によれば、サービスにアクセスするための第1機器からのリクエストであって、第1通信チャネルを介してアクセスプロバイダシステムで受信されるリクエストを受信することと、セッション識別子と、暗号鍵と、第2機器に実装される仮想入力機器または前記第1機器に実装される仮想入力機器を介してユーザからの入力を受信する仮想入力機器を提供する応答および読み出しを提供するアクセスプロバイダシステムの識別子とを含むウェブページを有する前記第1通信チャネルを介して前記第1機器に応答することと、前記仮想入力機器を用いて入力される入力情報であって、前記暗号鍵を用いて暗号化され、かつ、前記第1通信チャネルと異なりかつ前記暗号化情報を復号化するための復号鍵が前記アクセスプロバイダシステムにのみ知られている第2通信チャネルを介して前記アクセスプロバイダシステムに送信される入力情報を受信することと、受信した前記暗号化入力情報を、前記アクセスプロバイダシステム識別子を有する前記アクセスプロバイダシステムの前記セッション識別子にリンクされるセッションに関連付けることと、前記復号鍵を用いて前記アクセスプロバイダシステムにおいて前記暗号化入力情報を復号化することと、前記復号化入力情報が期待されるものであることと前記サービスへのアクセスを提供する場合がいつであるのかとを検証することとを含む方法が提供される。
ここに記載される態様によれば、セッション識別子、暗号鍵、およびアクセスプロバイダシステムの識別子を仮想入力機器に提供するための機器からのリクエストを受信することと、提供された前記暗号鍵を用いて前記機器のユーザによる入力を前記仮想入力機器が暗号化し、かつ、前記ユーザによる入力が、前記アクセスプロバイダシステムの識別子で識別されるアクセスプロバイダシステム以外の仮想入力機器の外部から非暗号化形式でアクセスされない態様で、前記仮想入力機器を実装することと、前記アクセスプロバイダシステムの識別子で識別されるように、前記セッション識別子で暗号化された入力を前記アクセスプロバイダシステムに送信することとを含む方法が提供される。
前記態様の一実施形態では、入力情報の一部は、第2機器を介して提供され、一部は第3の機器を介して提供される。好ましくは、各第2および第3の機器は、入力が組み合わされる仮想入力機器を実装する。好ましくは、この組み合わせは、各ユーザによる入力のタイミングに応じたものである。あるいは、組み合わせは、各第2および第3の機器のそれぞれのユーザのアイデンティティに従う。
本明細書で説明される態様によれば、プロセッサによって実行されると、コンピュータシステムに、本明細書で説明される方法のうちの任意の1つ以上を実行させるか、または本明細書で説明されるように構成されるようにコンピュータシステムまたは機器を構成させる、有形の形態で格納された命令を備えるコンピュータプログラムプロダクトが提供される。
アクセスプロバイダシステムの観点から、1つの利点は、いくつかの好ましい実施形態が、第1電子機器に対するマンインザブラウザ攻撃および/またはキーロガー攻撃の問題に対処することである。
態様の別の利点は、アクセスプロバイダシステムに必要な統合作業が制限されることである。各アクセスプロバイダシステムは、システムサービスAPIと容易に統合することができる。システムサービス自体は、第2電子機器を用いて入力されたユーザ情報をコンテンツに依存しない。さらに、いくつかの好ましい実施形態では、アクセスプロバイダシステムの現在のウェブシステムサービスアーキテクチャを実質的に修正したり、パスワード認証システムを修正したりする必要はない。
アクセスプロバイダシステムの場合、プロバイダに、それらのウェブアーキテクチャから隔離された第2通信経路が(いくつかの実施形態において)提供される。第2通信経路は、好ましくはプロバイダが第2通信経路を用いてユーザを認証することを可能にし、そして、ユーザのローカルマシン上のユーザのローカルブラウザを通してアカウントアクセスが提供される。
アクセスプロバイダシステムには、APIと通信し、第2機器でユーザが入力した照合入力を復号化する機能が用意されている。アクセスプロバイダは、入力セッションのデータ暗号化のために独自の秘密を提供するユーザと直接通信することができる。APIを提供するシステムサービスは、ユーザが入力した入力情報を復号化できないという意味で、コンテンツに依存しない。
ユーザの文脈からは、各ユーザは、認証のためにローカルマシンをバイパスする第2認証経路を用いてログインすることができ、一方で、認証後も独自のウェブラウザを使用することができる。このため、ユーザは、インストールされたブラウザ拡張などの形式で、独自のカスタマイズをすぐに使用できる。
ユーザは、第2電子機器上の単一の入力手段を使用することができる。ユーザは、入力アプリケーションを用いて、いくつかの実施形態のセキュリティを使用する異なるアクセスプロバイダシステムにアクセスすることができる。システムサービスは、入力コンテンツに依存せず、ブラウザは、アクセス入力エントリから隔離される。クライアントレスインフラストラクチャは、ユーザのローカルマシンによって提供される。さらに、ユーザには、コンテンツに依存しない方法で更新されるブラウザ表示要素との好ましい形態同期アプローチにより、シームレスな経験が提供される。ユーザは、仮想マシンソフトウェアが提供されなくても、ブラウザでキー押下イベントを確認できる。
様々な実施形態を採用するシステムサービスプロバイダの文脈から、照合器は、ユーザからの入力情報を容易に照合し、入力情報をコンテンツに依存しない方法でアクセスプロバイダシステムに転送することができる。システムサービスプロバイダは、第2機器を用いて行われた入力のコンテンツを認識せず、ユーザを認証してコンテンツへのブラウザアクセスを提供する前に、必ずしも仮想マシンを割り当てる必要はない。システムサービスプロバイダは、情報がアクセスプロバイダシステムのみに既知の復号化を伴う鍵を用いて暗号化されるという理由で、様々な実施形態において、いかなる関連するユーザ情報もまったく記憶しない。
好ましい実施形態の他の形態および利点は、好ましい実施形態の図面および説明、ならびに以下に提供される特許請求の範囲から明らかになることを理解されたい。
さらなる利点および好ましい特徴は、図面および全体としての明細書を読むことから明らかになるのであろう。
本発明の理解を容易にするために、いくつかの好ましい実施形態を、添付の図面に関連して説明する。
実施形態の詳細な説明
実施形態の各々は具体的に説明されており、本発明は、実施形態のいずれか1つの任意の特定の機能または要素に限定されるものと解釈されるべきではないことを理解されたい。また、実施形態に関連して説明した多くの実施形態または変形のいずれの特徴にも限定されるものと解釈する本発明はない。
図1を参照すると、1つ以上のアクセスプロバイダシステム12が第1電子機器14上のコンテンツへのアクセスを安全にすることを可能にするコンピュータ実装方法10が、示されている。有利には、アクセスプロバイダシステム12は、顧客に、顧客の金融口座情報への安全なアクセスを提供するため、または他の方法で顧客の金融口座を安全に取り扱う(例えば、資金の振替など)ための金融機関システムを含むことができる。好ましいシステムは、銀行および他の金融サービスプロバイダに特に適していると考えられる。
ステップ16において、方法10は、多数のユーザ24によって多数の第2電子機器26に入力される入力情報18を含む。第2機器26は、入力された入力情報18を受信し、暗号化する。入力情報18は、暗号化された形式で各第2電子機器26から送信される。
ステップ20において、方法10は、ユーザ24によって第2電子機器26の入力情報18として入力された暗号化された入力情報22を受信することを含む。実施形態では、それぞれの第2電子機器26は、暗号化およびカメラ視覚的コードスキャン機能を提供するインストールされたアプリケーションを有する、対応するユーザの携帯電話機26を備える。クイックレスポンス(QR)コードスキャニングのような二次元バーコードスキャニングを含む様々な実施形態において、様々なビジュアルコードスキャン機能を使用することができる。本実施形態では、QRコードスキャンを採用している。
ステップ28において、方法10は、1つ以上のアクセスプロバイダシステム12が第1電子機器14上のコンテンツへのアクセスを承認するかどうかを決定することを可能にするために、暗号化された入力情報22を1つ以上のアクセスプロバイダシステム12に送信することを含む。本実施形態では、入力情報22は、暗号化されたキー押下情報22を含む。暗号化されたキー押下情報22は、アプリケーションプロバイダ12に送信される。
ステップ30において、方法10は、有利には、アプリケーションインタフェース34を有するシステムサービス32を提供することを含む。アプリケーションインタフェース34は、暗号化入力情報22を受信し、受信した暗号化入力情報22をシステムサービス32からアクセスプロバイダシステム12に送信するために設けられる。
本実施形態では、アプリケーションインタフェース34がRESTベースのアプリケーションプログラミングインターフェースを備える。様々な形式のインタフェース(Simple Object Access Protocol(SOAP)、GraphQL、またはRemote Procedure Calls(RPC)を使用するなど)を、他の実施形態で利用することができる。
図2を参照すると、ステップ36において、方法10は、アクセスプロバイダシステム12にセッション識別子38を提供することを含む。アクセスプロバイダシステム12は、セッション識別子38に対してリクエスト40を発行する。対応するセッション識別子38は、各リクエスト40に応答してシステムサービス32によって生成される。
方法10では、アクセスプロバイダシステム12は、セッション識別子38を用いて、対応する第2機器26に情報を入力するユーザ24にそれぞれ関連付けられた入力セッション42を識別し、対応する第1電子機器14に提供されるコンテンツへのアクセスを取得する。以下にさらに詳細に説明するように、暗号化されたキー押下(暗号化された入力情報22の一部を形成する)は、システムサービス32によって照合される。
方法10では、各アクセスプロバイダシステム12は、送信された入力情報22を復号化するための復号鍵44へのアクセス権を有する。本実施形態では、ハッシュテーブルを利用する復号化と共に、ハッシュベースの暗号化および復号化アプローチが採用される。本実施形態では、各セッション識別子38のために、各アクセスシステムプロバイダによって秘密鍵44が生成される。各秘密鍵44は、セッション識別子38に関連付けられた暗号鍵と復号鍵の両方(ハッシュテーブルを使用する)を提供する。
システムサービス32は、復号鍵44へのアクセスを持たないことにより、復号化に依存しない。システムサービス32は、有利には、この理由により、受信された暗号化入力情報22を復号化することができない。
ステップ46において、方法10は、セッション識別子38を生成することを含む。各セッション識別子38は、対応するアクセスプロバイダシステム12および対応する第2電子機器26に関連して、対応するユーザ入力セッション42を識別するために提供される。本実施形態では、各セッション識別子38が対応する第1機器14に関連して、単一のユーザ入力セッションに関連付けられる。好ましくは、セッション識別子38が入力セッション42の終了時に再使用されない。当然に、様々なアプローチが、異なる実施形態において可能である。
図3を参照すると、ブロック48において、方法10は、アクセスプロバイダシステム12に関連する各セッション識別子38に対して秘密鍵44を生成する各アクセスプロバイダシステム12を含む。
ステップ50において、方法10は、各セッション識別子38および対応する秘密鍵44を、第2電子機器26によるスキャンのために第1電子機器14上に視覚的表現52として提示することを含む。本実施形態では、セッション識別子38は、システムサービス32に固有の識別子である。視覚表現52は、好ましくは一意のセッション識別子38と、対応する秘密(暗号化)鍵44とを含むQRコード54を含む。QRコード54はまた、第2機器26上の入力アプリケーションを自動的に開くための情報を含む。QRコードを用いてユーザ機器上のアプリケーションを自動的に開くする方法が知られている。
ステップ56において、方法10の実施形態は、対応する第2機器26を用いて各視覚的表現52をスキャンすることを含む。方法10はさらに、入力セッション42でユーザによって入力される情報22の暗号化において、対応する第2機器26によってスキャンされた各秘密鍵44を使用することを含む。各入力セッション42は、ユーザが対応する第1機器14から離れた第2チャネルを介してユーザ承認のための名前とパスワード(または別の形式の識別子)を入力するための承認設備を提供する。入力セッション42は、対応する第1機器14上のコンテンツへのアクセスを得る機会をユーザ24に許可する。
各第2機器26は、視覚的表現52をスキャンすることなどによってそれぞれのセッション識別子38を提供することによって、視覚的表現52を表示する対応する第1機器14に関連付けられるようになる。本実施形態では、ユーザは、スキャン関連入力アプリケーションにログインする必要はない。スキャンセッション識別子38は、対応する第1機器14、対応する第2機器26、および関連するアカウントプロバイダシステム12を、ユーザ24に関連付ける。
図1に戻ると、ステップ58において、方法10は、セッション識別子38と共に各第2電子機器26からアプリケーションインタフェース34に暗号化情報22を送信することを含む。これは、セッション識別子38および秘密鍵44が第1機器14に与えられ、第2機器26がセッション識別子38および秘密鍵44をスキャンした後に、発生する。アクセスプロバイダシステム12および第2機器26のみが、セッション識別子38に対応する秘密鍵44を知っている。この理由により、アクセスプロバイダシステム12のみが、対応する第2機器26を用いて入力された入力情報を復号化できることが、有利である。したがって、システムサービス32はコンテンツに依存しない。
図4を参照すると、ステップ60において、方法10は、ユーザ24が第2電子機器26を用いて入力した暗号化された入力情報22を照合することを含む。照合順序は、対応するセッション識別子38に基づいている。照合された入力情報62を1つ以上のアクセスプロバイダシステム12に提供することは、対応するセッション識別子38に基づいている。本実施形態では、任意の一度に使用される各セッション識別子38がセッション識別子38の間で固有である。
図2に戻ると、本実施形態では、ステップ64において、方法10は、1つ以上のアクセスプロバイダシステム12からのリクエスト40を受信して、入力セッション識別子38を生成し、各入力セッション識別子38は対応する第1機器14を介して、関連するアクセスプロバイダシステム12からユーザ24にコンテンツへの安全なアクセスを提供する際に使用される。
前記で説明したが、同じ結果を達成するために、コンピューティングシステムにおいて様々なアプローチが可能であることを理解されたい。本実施形態では、システムサービス32は、一意のセッション識別子38を生成する。他の実施形態では、アプリケーションプロバイダ12は、固有のセッション識別子を生成するために固有のアクセスプロバイダシステム識別子(システムサービス32に固有)と組み合わせることが可能な、アプリケーションプロバイダに固有のセッション識別子を生成することができる。このような生成アプローチは、システムサービス32ではなく、アクセスプロバイダシステム12によって実行することができる。他の変形も可能である。
図5を参照すると、方法10は、第2電子機器26の各々にソフトウェアアプリケーション66を提供することを含む。本実施形態では、ソフトウェアアプリケーション66は、標準入力キーa~z、0~9、特殊文字(!’”○$%^&を含む)およびシフトキーを有する仮想キーボード68を提供する。当然に、異なるアルファベット/文字のような他の入力システムを提供することもできる。ソフトウェアアプリケーション66は、ユーザが第1電子機器14上のコンテンツにアクセスすることを認証する際に使用するためのキーボードを提供する。本実施形態では、各ソフトウェアアプリケーション66は、外部マシンに接続される仮想マシン接続を介して、仮想キーボードを提供する。一実施形態では、仮想キーボード68は、各キータッチを登録し、入力情報22としてタッチされたキー(文字)を送信する。好ましい実施形態では、仮想キーボード68は、入力情報22内の表示されたキーの下のマイクロセル(面積)のタッチの各位置を登録し、システムサービス32はタッチされたマイクロセルの位置を、入力されたキーに変換する。さらなる代替例では、アクセスシステム12が、タッチされたキーへの変換を行う。後者の2つのケースでは、それぞれの仮想キーのそれぞれのマイクロセルの位置を変更することによって(実施例の場合、アルファベット順キーボード、QWERTY、AZERTY、DVORAKキーボード間をシャッフルすることによって)、インスタンス間で仮想キーボードを変更することができ、これにより、同じキーが毎回同じ位置にあることを防ぐことができる。
ステップ70において、方法10は、有利には、第2電子機器26から入力情報22を受信した後に、入力コンテンツ非依存かつ長さ認識の情報72を、対応する第1電子機器14に送信することを含む。本実施形態では、第2電子機器26がユーザによってアクセス情報22を入力するために使用されるとき、システムサービス32は、セッション識別子38に関連付けられた第1電子機器14に、コンテンツ非依存かつ長さ認識の情報72を送信する。情報72は、選択された表示要素75において第1機器14によって示されるために、関連する第2機器26に入力された全文字長のインジケータ72を含む。入力された情報は、フィールド74において第2機器26上に示される。情報を表示するためにHTML表示要素を使用する実施形態では、コンテンツとの関連を持たない多数のアスタリスクのようなシンボルが、文字の長さを示すために表示される。バックスペースが入力されている場合、これは負の文字長の変更になる。フィールド選択に最初の文字が存在する必要がある。本実施形態では、第1機器14に対する両方の表示要素76の更新が、アスタリスクを用いて示されている。位置は、垂直ライン(パイプ)を用いて表示される。したがって、ユーザは、第1機器14に認識されているシンボル(コンテンツに依存しない情報)のみを用いて、第2機器26に自分のパスワードを入力することができる。他の実施形態では、フィールド情報が表示要素75において第1機器14上に示されない。これは、キー押下および表示フィールドの変更の確認が、有利なアプローチを提供するので、現在のところ好ましくない。
図6に示すさらに別の実施形態では、送信された入力情報は、フィールドに対する入力情報の完了のインジケータのみがシステムサービス32から関連する第1機器14に送信されるという点で、長さに依存しないものとすることができる。例えば、ユーザは、自分の電子メールアドレスneil_g@bv.net.auを入力することができ、表示要素は、「入力済み」または他の同様の/標準の表現を示すことができる。このようにして、第1電子機器40は、コンテンツ非依存の情報56で更新される。
図5に戻ると、ステップ78における方法10は、対応するユーザ24によって直接(第1機器14のキーボードまたはマウスを用いて)行われた選択変更について、各第1ユーザ機器14上の表示要素76をモニタすることを含む。方法10は、ステップ80において、それぞれのユーザ24からのさらなる入力情報として、各第1機器14から表示要素選択情報82を受信することをさらに含む。入力セッションでは、ユーザは、それぞれの第1入力機器14上の表示フィールド76を直接選択することができ、その選択を対応する第2電子機器26に反映させることができる。
方法10は、対応する第2電子機器26の各々に、ユーザ24による表示要素76の選択を、それぞれの第1電子機器14上で直接通知することを含む。表示要素選択情報82は、対応するセッション識別子38に関連して、入力としてシステムサービス32によって記録される。対応する第2機器26には、システムサービス32を介して入力が通知される。第2機器26に助言する他の方法も可能である。
方法10は、複数のアクセスプロバイダシステム12を含む状況に適用することができる。そのような状況では、複数のアクセスプロバイダシステム12が第1電子機器14上のコンテンツへのアクセスを安全にすることを可能にする方法10が提供される。
一観点から、方法10は、入力セッション42をそれぞれ識別するセッション識別子38と共に、第1電子機器14から独立した暗号化通信チャネルを提供する第2電子機器26上のユーザ24によって入力された暗号化入力情報22をアプリケーションインタフェース34を介して受信することと、アプリケーションインタフェース34を介して、ユーザ24が第2電子機器26を用いて入力した入力情報22を、対応するセッション識別子38に関連付けられたアクセスプロバイダシステム12に送信することと、システムサービス32が暗号化入力情報22を復号化するために必要な復号鍵に依存しないことを保証することとを含む。
方法10は、第1電子機器14の各々の視覚的表現52に秘密鍵44と共にセッション識別子38を提供することを含む。視覚的表現は、第2電子機器26を用いてスキャンされるために提供される。各秘密鍵44は、対応する第2電子機器26を用いてユーザによって入力される情報22の暗号化に使用される。方法10は、セッション識別子38と共に、暗号化された情報22を各第2電子機器26からアプリケーションインタフェース34に送信することを含む。方法10は、アプリケーションインタフェース34を介して受信された暗号化入力情報22を照合することと、照合された暗号化入力情報22を、対応するセッション識別子38に基づいて1つ以上のアクセスプロバイダシステム12に提供することとを含む。
図7~図9に示す別の実施形態では、1つ以上のアクセスプロバイダシステム86が第1電子機器88上のコンテンツへのアクセスを保護することを可能にするためのコンピュータ実装システム84が提供される。コンピュータ実装システム84は、ユーザ94によって第2電子機器96に入力される暗号化された入力情報92を受信するための受信器90を備える。図9を参照すると、システム84は、1つ以上のアクセスプロバイダシステム86が第1電子機器88上のコンテンツへのアクセスを承認するかどうかを決定することを可能にするために、入力情報92を1つ以上のアクセスプロバイダシステム86に提供するための送信器98をさらに含む。
システム10は、暗号化入力情報92を受信し、受信した暗号化入力情報92をシステムサービス100から各アクセスプロバイダシステム86に送信するためのアプリケーションインタフェース102を提供するサービス100を含む。さらに、(i)各アクセスプロバイダシステム86は、送信された入力情報92を復号化するための復号鍵104へのアクセス権を有する。有利には、システムサービス100は、復号鍵104へのアクセスを持たず、受信された暗号化入力情報92を復号化することができない。
コンピュータシステム84は、セッション識別子110を生成するための生成器106を含む。各セッション識別子110は、対応するアクセスプロバイダシステム86および対応する第2電子機器96に関連して、ユーザ入力セッション112を識別するために提供される。
コンピュータシステム10は、対応するセッション識別子110に基づいて、ユーザ94が第2電子機器96を用いて入力した暗号化入力情報22を照合するための照合器114を含む。送信器98(図9)は、対応するセッション識別子110に基づいて、セッション識別子110に関連する照合された入力情報92を1つ以上のアクセスプロバイダシステム86に送信するために提供される。
コンピュータシステム84は、入力セッション識別子110を提供するために、1つ以上のアクセスプロバイダシステム86からのリクエストを受信するためのセッション識別子リクエスト受信器116を含む。各セッション識別子110は、関連するアクセスプロバイダシステムからユーザ94へのコンテンツへの安全なアクセスを提供する際に使用するために提供される。
コンピュータシステム10は、第2電子機器96の各々に入力受信器118を含む。入力受信器は、ユーザ94が対応する第1電子機器88上のコンテンツにアクセスすることを承認する際に使用するためのアプリケーション118を備える。
コンピュータシステム84は、受信器90が第2電子機器96から入力情報92を受信した後に、対応する第1電子機器88に入力コンテンツ非依存の情報122を送信するための助言器120(図8)を含む。
コンピュータシステム10は、入力セッションに関連したユーザ94からのさらなる入力情報128として、第1機器88から表示要素選択情報126を受信するための表示選択受信器124を含む。
コンピュータシステム10は、各第1ユーザ機器88上の表示要素130をモニタするためのモニタ132を含む。
コンピュータシステム10は、対応する第2電子機器96に、第1電子機器96上での直接ユーザ表示要素130の選択を通知するための通知器134を含む。
上述したシステムおよび方法は、本発明の実施形態を提供する。各要素は、それ自体の方法の文脈で動作するシステムと考えることができる。実施形態に説明されているように、アクセスプロバイダシステムは、第1電子ユーザ機器上のHTMLブラウザ上で処理されて表示されるコンテンツを提供する。アクセスプロバイダシステムのシステムおよび方法は、本発明のさらなる実施形態と考えることができる。
アクセスプロバイダシステムは、コンテンツへの安全なアクセスをユーザに提供する。一実施形態によるアクセスプロバイダ方法では、第1ユーザ機器にインストールされたHTMLブラウザを介してコンテンツへのアクセスをユーザに提供するためのウェブアプリケーションを維持することが、第1ステップにおいて提供される。第1ユーザ機器は、様々なアクセスプロバイダシステムからコンテンツにアクセスできる。
第2ステップでは、方法は、ユーザが第2ユーザ機器上で入力した入力情報を復号化することと、復号化された入力情報に基づいて、安全なコンテンツへのアクセスを承認することとを含む。
実施形態において、コンテンツは、アクセスプロバイダシステムのウェブアプリケーションによって提供されるハイパーテキストマークアップコンテンツを備える。
第3のステップでは、方法は、セッション識別子と、各セッション識別子に関連付けられた秘密鍵とを維持することを含む。1つ以上の表示要素が提供され、方法は、セッション識別子の対応する1つに関連付けられた各第2電子機器に入力情報が入力された結果として、コンテンツに依存しない入力情報で1つ以上の表示要素を更新することを含む。
アクセスプロバイダシステムの実施形態は、第1ユーザ機器にインストールされたHTMLブラウザを介してユーザにコンテンツへのアクセスを提供するためのウェブアプリケーションとして提供される。ウェブアプリケーションは、ユーザが第2ユーザ機器上で入力した入力情報の復号化するための解読器を有する認証器を含み、認証器は、解読された入力情報を用いて、コンテンツへのアクセスを認証するかどうかを判定する。管理者は、セッション識別子と、各セッション識別子に関連付けられた秘密鍵とを維持するために提供される。システムは、1つ以上の表示要素を提供するためのプロバイダを含む。更新器は、それぞれ対応するセッション識別子に関連する第2電子機器に入力情報が入力された結果として、コンテンツに依存しない入力情報を有する1つ以上の表示要素を更新するために提供される。
さらなる実施形態では、1つ以上のアクセスプロバイダシステムによって記憶されたコンテンツへのアクセスを保護するコンピュータ実装方法が提供される。第1ステップでは、方法は、アクセスプロバイダシステムが、ユーザに関連付けられる各第1電子機器上のコンテンツへの安全なユーザアクセスを認証することを可能にする1つ以上のアクセスプロバイダシステムのためのウェブシステムサービスを提供することを含む。第2ステップでは、方法は、ユーザに関連付けられる各第2電子機器を用いてウェブシステムサービスと通信するためのアプリケーションを各ユーザに提供することを含む。第3のステップでは、方法は、ユーザが第2ユーザ機器上で入力した暗号化された入力情報を受信することを含む。第4のステップでは、方法は、受信された暗号化入力情報を、第1ユーザ機器上のコンテンツへのユーザのアクセスを認証するかどうかを決定するために、暗号化入力情報を復号化する能力を有する1つ以上のアクセスプロバイダシステムと共に、1つ以上のアクセスプロバイダシステムに転送することを含む。
関連する実施形態では、ユーザに関連付けられた各第1電子機器上のコンテンツへの安全なユーザアクセスをアクセスプロバイダシステムが承認することを可能にする1つ以上のアクセスプロバイダシステムのためのウェブシステムサービスが、提供される。ユーザに関連付けられた各第2電子機器を用いてウェブシステムサービスと通信するための入力システムが、提供される。受信器は、第2ユーザ機器上でユーザが入力した暗号化入力情報を受信するために提供される。転送器は、受信された暗号化入力情報を、ユーザに第1ユーザ機器上のコンテンツへのアクセスを承認するかどうかを決定するために、暗号化入力情報を復号化する能力を有する1つ以上のアクセスプロバイダシステムと共に、1つ以上のアクセスプロバイダシステムに転送するために提供される。
図10を参照すると、本発明のさらなる実施形態による方法136において、ユーザは、アカウントプロバイダ137によって提供されるアカウントにアクセスすることを望む。ユーザは、ユーザのローカルマシン140上にインストールされた拡張機能を有する自身のウェブブラウザ138を使用する。ユーザは、自分のアカウントプロバイダのウェブサイトを訪れ、アカウントプロバイダのウェブサイト上のログインボタンをアクティブにする。ログインボタンを起動した後、名前フィールド表示要素144、パスワードフィールド表示要素146、送信要素148と共に、QRコード142がユーザに提示される。
アカウントプロバイダ137はQRコード142を生成し、ローカルマシン140に送信されるメッセージ139に、第2機器150上の入力セッションのための一意のセッション識別子および秘密鍵を組み込む。QRコード142は、第2ユーザ機器150を用いて、セッション識別子と共に第1機器から捕捉される秘密鍵と共にスキャンされる。アカウントプロバイダ137および第2機器150の両方は、秘密鍵を知っている。第1機器140はQRコードで符号化されているが、秘密鍵を使用する意味では秘密鍵を知らない。
第2機器150では、従来のQRコードスキャナが、QRコード142を読み取り、セッションIDおよび秘密鍵を抽出し、第2機器150にインストールされたシステムアプリケーション152に送信することができる。他の実施形態では、システムアプリケーション152は、QRコードスキャナを含む。
システムアプリケーション152は、ユーザ入力を受信するための入力受信器154を提供する。本実施形態では、数、数字、および特殊文字を入力するためのキーボード154(タッチスクリーン上に表示されるデジタルキーボードなど)が提供される。有利には、ユーザは、第1機器上のユーザ名に対して表示要素144を選択することができる。モニタ155(本実施形態では、JavaScriptまたは別の言語で書かれている)は、第1機器140のウェブブラウザからシステムサービスに接続され、表示要素選択およびセッション識別子をシステムサービスに送信する。第1機器140上の表示要素選択は、ユーザ入力と見なされる。ユーザはまた、セレクタ147を用いて第2機器上の表示要素を選択することができる。第2機器150上の選択は、ユーザ入力と見なされ、セッション識別子と共にシステムサービスに送信される。このようにして、入力要素の有利な選択が提供される。有利には、ウェブブラウザは、コンテンツに対する承認の目的のために、完全にコンテンツ非依存である。
一実施形態では、モニタ155は、どのフォーム要素146がアクティブであり、モバイルアプリ152上でキーが押されたときにシステムサービスによって通知されるかを、知っている。有利には、モニタ155はまた、システムサービスと通信するためのセッションIDを知っている。
モニタ155は、アプリケーションプロバイダのシステムとの容易な統合およびシステムサービスとの通信のために、JavaScriptとして提供される。モニタ155は、ウェブソケットを介してシステムサービスと通信する。他のTCP/IP通信アプローチも、当然に可能である。既知のように、「ウェブソケット」プロトコルは、コンピュータ通信プロトコルであり、単一のTCP接続を介して全二重通信チャネルを提供する。ウェブソケットプロトコルは、IETFによって2011年にRFC6455として標準化された。使用可能な他の通信プロトコルには、RestfulAPIまたは非RestfulAPIを備えたハイパーテキスト転送プロトコルが含まれる。当然に、TCP/IPプロトコルが好ましいが、他のプロトコルも使用することができる。
本実施形態では、モニタ155は、表示フィールド変更をシステムサービスに通信するためのウェブソケットを提供する。より具体的には、本実施形態では、ウェブソケットを用いて、(i)第1機器およびシステムサービスとの間、(ii)第2機器およびシステムサービスとの間の通信を提供する。第1機器では、Chromeなどのブラウザがウェブソケットをサポートする。第2機器では、ウェブソケットライブラリをモバイルアプリケーション152に使用することができる。システムサービスでは、ウェブソケットサーバライブラリをウェブサーバで使用できる。通信チャネルは、当然に、他のプロトコルによって提供される可能性がある。
本実施形態では、標準的なリクエストハンドラを使用する標準的なウェブ転送プロトコルを用いて、フォールバック設備が提供される。フォームでアクティブ要素が変更されると、フォールバックメカニズムで、ウェブブラウザは新しいアクティブ要素の名前を用いてPOSTリクエストをAPIサーバに送信する。
本実施形態では、システムサービスは、第2機器上で行われた入力と共にシステムサービスに送信されるセッション識別子と共に、第2機器上でユーザによって行われた入力の記憶を維持する。システムサービスは、コンテンツに非依存かつ長さ認識の方法で、ウェブブラウザに入力を通知する。
ユーザは、提出要素148を押すことによって、第1機器上で提出リクエストを開始することができる。提出リクエストは、第2機器150上の提出要素156を押すことによって、システムサービスに送信することもできる。送信リクエストの後、暗号化された入力が照合され、セッション識別子に関連付けられてアカウントプロバイダからプッシュまたはプルされる。システムサービスは、セッション識別子に関連する秘密鍵を知らない方が有利である。アカウントプロバイダおよび第2機器150は、第2機器に関連するセッション識別子および秘密鍵を知っている。アカウントプロバイダは、セッションに関連付けられた入力情報を取得すると、入力された情報を秘密鍵を用いて復号化し、アクセスを提供するかどうかを判断することができる。
図11を参照して、技術的説明として、別の実施形態では、いくつかのアクセスプロバイダシステム160と通信するシステムサービス158が提供される。システムサービス158は、TCP/IPによってアクセス可能なアプリケーションプログラミングインタフェース162を提供する。API162は、キー押下入力情報166の形式で入力情報164を受け取り、処理する。当然に、他の実施形態では、マウス、ストーリーボード、および他の入力情報を提供することも可能である。
システムサービス158の顧客は、アクセスプロバイダシステム160を含む。アクセスプロバイダシステム160は、それぞれ、多数のユーザ170へのアクセスを提供する対応するアプリケーション168を提供する。アプリケーション168は、それぞれ、HTMLブラウザを用いて解釈および表示することができるハイパーテキストマークアップ言語を提供するウェブアプリケーション168を含む。
システムサービス158の観点からは、各アクセスプロバイダ160がシステムサービス158の顧客160を含み、ユーザ170によるアクセスのためのウェブアプリケーション168を提供する。
各アクセスプロバイダシステム160のユーザ170の観点から、ウェブアプリケーション168は、対応するアクセスプロバイダによってユーザが承認されている場合、各ユーザ170によって閲覧可能なウェブページ174として安全なコンテンツを提供する。ユーザ170は、ウェブブラウザ176を用いて、ユーザのウェブブラウザ176上にウェブページを生成するウェブアプリケーション168を問い合わせる。金融プロバイダの場合、コンテンツは、アクセスが提供されるCSV、PDF、または別のファイルフォーマットを含むこともできる。
ウェブページ174は、第1機器525上のエンドユーザのローカルウェブブラウザ176上に表示されるウェブアプリケーション168によって生成される。ローカルウェブブラウザ176は、各ユーザの要件に従って、オートメーションおよびカスタム拡張を含む拡張を用いてカスタマイズすることができる。
ウェブアプリケーション168によって、多数の秘密178が生成される。各秘密178は、ウェブアプリケーション168によって作成され、かつ、ランダムに生成された既知の文字列を含む。サービス158は、各アクセスプロバイダシステム160によって生成された秘密を認識しないという意味で、秘密に依存しない。
各秘密178は、アクセスプロバイダシステム160のWEBアプリケーション168の対応するセッションID180に関連付けられる。各セッションID180は、システムサービス158と同様に、関連するウェブアプリケーション168によって知られるランダムに生成されたセッション識別子を含む。本実施形態では、各セッションID180がシステムサービス158によって作成され、API162によって、対応するアクセスプロバイダシステム160のウェブアプリケーション168に提供される。様々なアプローチを利用することができる。
各秘密178は、ユーザによって入力された情報を受信し暗号化するために、第2機器182を介して各ユーザ170に提供される。本実施形態では、暗号化は、対応するユーザ170によって行われた入力に適用される一方向ハッシュ関数を含む。
ウェブアプリケーション168によって第2機器182に入力されたユーザ入力情報の復号化は、ハッシュテーブルと入力セッションの秘密の知識とを用いて可能である。本実施形態では、ハッシュ関数は、MD5またはSHA1のようなメッセージダイジェスト(「一方向ハッシュ」)関数を含む。
GET段階の一部として、セッションID180および秘密178は、ウェブページ184において符号化される。セッションID180および秘密178は、ウェブブラウザ176を介してユーザ170によってなされたリクエストに応答して、ユーザの第1機器525のウェブブラウザ176内に視覚的に表現されてユーザ170に提示される。セッションID180および秘密178は、第1機器525上にQRコードの形で提示される。当然に、他の視覚的表現も可能である。
各ユーザ170の第2機器182は、セッションID180および秘密178を提供する視覚的表現528をスキャンする際に使用するための内蔵カメラを有するモバイル機器を備える。内蔵カメラは、各第2機器182上にインストールされたモバイルアプリケーション186によって使用され、関連するセッションID180と共にユーザ入力をシステムサービス158に通信する。
QRコードの形式である各視覚表現は、ウェブブラウザリクエストに応答してユーザ170に提示される。関連するウェブアプリケーション168によって生成されるQRコードは、ユーザ170モバイルアプリケーション186によってスキャンされる。
操作方法には、セッション識別子の作成が含まれる。セッション識別子の作成は、システムサービス158によるウェブアプリケーション168への対応するセッション識別子180の提供を含む。セッション識別子の作成に対する様々なアプローチは、ウェブアプリケーションがセッション識別子180を用いて、対応するセッションID180に関連する各第2機器182によって通信されるシステムサービス158からキー押下情報を得ることができるという条件で可能である。各ウェブアプリケーション168による作成およびプロバイダ識別子に関連するシステムサービス158への送信を含む、セッションID作成のための様々なアプローチが明らかであろう。
本実施形態では、セッション作成は、ユーザがウェブアプリケーション168に申請することを含む。次に、ウェブアプリケーション168は、固有のセッションID180を生成して返すAPI162を介して申請を行う。
ウェブアプリケーション168は、セッションID180に関連する秘密178としてランダムな文字列を生成する。セッションID180および秘密178の生成は、セッションID180および秘密178を特定のユーザ170の第1機器525に提供する目的で実行される。この点へのアプローチは、手続の「GET段階」と考えることができる。
ブラウザ状態統合に関して、エンドユーザの170ウェブブラウザ176は、ウェブアプリケーション168によって生成されたウェブページ174を表示する。ウェブページ174は、モバイルアプリケーション186によってスキャンされるQRコードを含む。
QRコードの生成は、ウェブアプリケーションがセッションID180のコンテンツと関連する秘密178を埋め込んでQRコード528を作成することによって、行われる。モバイルアプリケーション186は、QRコード528をスキャンして、セッションID180および関連する秘密178を受信する。
モバイルアプリケーション186は、システムサービス158と独自のセッション認証を行う。様々な認証アプローチが可能である。
本実施形態では、第2機器セッション認証が、システムサービス158によってランダムに生成され、モバイルアプリケーション186に送信されるSC(システムサービス生成チャレンジ)で発生する。CC(クライアント生成チャレンジ)は、モバイルアプリケーション186によってランダムに生成される。CR(クライアント応答)は、モバイルアプリケーション186によってHASH(CC+SC+SESSION-ID)として計算される。モバイルアプリケーションは、CC、CR、およびSESSON IDをAPIに送信する。当然に、様々なアプローチが可能である。
システムサービス158は、CRの期待値を計算し、モバイルアプリケーション130が正しく応答したことを検証する。これは、CCおよびCRと共にセッションIDを送信するためにQRコードをスキャンした後の好ましいアプローチである。
SR(サーバ応答)は、システムサービス158によってHASH(SC+CC+SESSION-ID)として計算され、モバイルアプリケーション186に送信される。モバイルアプリケーション186は、SRの期待値を計算し、システムサービス158が正しく応答したことを検証する。SCおよびCCの値は、システムサービス158によって記憶される。
プロシージャのGET段階の後に、Input段階が続く。Input段階は、第2機器上にインストールされたモバイルアプリケーション上のキー押下を符号化することを含む。モバイルアプリケーション186(クライアント)とシステムサービス158との間の認証が成功すると、クライアントサーバセッションは、その接続に固有のSCおよびCC値を共有する。
様々な符号化方法を利用することができる。本実施形態では、キーコード値がモバイルアプリケーション186によって提供される仮想キーボード上で押されたキーの一意のインデックスとして提供され得る。Unicode値は、キーコード値からマップされたUnicode値として提供できる。
キー押下符号化の一部として、モバイルアプリケーション186上で、ループは、以下のように実行することができる:
UnicodeKey:=GetLastKeyPressed()
EncryptedKey:=HASH(HASH(SC+CC+UnicodeKey)+SECRET)
SecureChannelSend(EncryptedKey,API)。
上述したように、システムサービス158は秘密178を知らない。これは、システムサービス158がユーザデータの匿名性の状態で動作するので有利であると考えられる。ウェブアプリケーションは、復号化の発電所である。キー押下を復号化するために、符号化されたすべてのキー押下値を持つハッシュテーブルが生成される。生成されたハッシュテーブルは、元の値を取得するための参照テーブルとして使用される。このようにして、ハッシュ化されたキー値の復号化が行われる。
重要なことに、セッションIDは、暗号化されたHASH(HASH(SC+CC+UnicodeKey)+SECRET)で送信される。システムサービスは、HASH(HASH(SC+CC+UnicodeKey)+SECRET)を、関連するチャネルにスプールし、関連するチャネルはセッションIDに関連する。
キー押下符号化の一部として、システムサービス158は、セッションIDに関連するキューに符号化されたキーリストを記録する。有利には、ユーザは、ウェブアプリケーション168またはモバイルアプリケーション186のいずれかを用いて、提出リクエストを行うことができる。セッションID180に関連する送信リクエストを受信すると、システムサービス158は、以下の機能を実行し、結果をウェブアプリケーション168に返す:
PartialEncodedKeyTable:=EMPTYTABLE
For UnicodeKey in UnicodeKeySet:
PartialEncodedKey:=HASH(SC+CC+UnicodeKey)
PartialEncodedKeyTable[PartialEncodedKey]:=UnicodeKey
return PartialEncodedKeyTable,EncodedKeyList。
ウェブアプリケーション168はシステムサービス158から、セッションIDに対するPartialEncodedKeyTableおよびEncodedKeyListの転送を開始する。モバイルアプリケーション186が提出リクエストを行うと、システムサービス158はデータのリクエストを開始することができる。当然に、アクセスプロバイダシステムへの個々のキー押下のストリーミングを含む、同様の効果を達成する様々なアプローチが可能である。
より詳細には、以下の実施例ではウェブアプリケーション168がシステムサービス158から「部分的に符号化されたキーテーブルとセッションのための符号化されたリスト」のリクエストを行う。次に、ウェブアプリケーション168はシークレットを用いてハッシュを実行し、ウェブアプリケーション168内のセッションのルックアップテーブルを生成する。このアプローチを以下にさらに詳述する:
PartialEncodedKeyTable,EncodedKeyList:=getPartialEncodedKeyListForSession(SESSION-ID)
EncodedKeyTable:=EMPTYTABLE
For PartialEncodedKey in PartialEncodedKeyTable:
EncodedKey:=HASH(PartialEncodedKey+SECRET)
EncodedKeyTable[EncodedKey]:=PartialEncodedKeyTable[PartialEncodedKey]
DecodedString:=EMTPYSTRING
For EncodedKey is EncodePressList:
DecodedString:=DecodedString+EncodedKey Table[EncodedKey]
return DecodedString。
前記のアプローチは、匿名性の理由から特に好ましいアプローチである。別のアプローチは、モバイルアプリケーション186がシステムサービス158と秘密を共有することである。これが行われる場合には、システムサービス158によって、以下のあまり好ましくないアプローチを提供することができる:
EncodedKeyTable:=EMPTYTABLE
For UnicodeKey in UnicodeKeySet:
EncodedKey:=HASH(HASH(SC+CC+UnicodeKey)+SECRET)
EncodedKeyTable[EncodedKey]:=UnicodeKey
EncodedKeyList:=getEncodedKeyListForSession(SESSION-ID)
DecodedString:=EMTPYSTRING
For EncodedKey is EncodePressList:
DecodedString:=DecodedString+EncodedKeyTable[EncodedKey]
return DecodedString。
図13を参照すると、本実施形態では、アクセス承認のためにウェブアプリケーション168によって提供される各ウェブページ174がモバイルアプリケーション186を用いて行われた入力イベントに関連する情報を示すための表示要素188をさらに含む。より詳細には、実施形態に、選択可能な名前要素190および選択可能なパスワード要素192が提供される。さらに、ウェブページ174は、表示要素188の選択変更をシステムサービス158に送信することができる双方向ウェブソケット194を有利に提供する。さらに、ウェブソケット194は、システムサービス158から入力イベント情報196を受信することができる。別のアプローチは、関連する第2機器とウェブページが直接通信することであり得る。これは、APIインタフェースが物理的分離を提供するという理由から、現在のところ好ましくない。
より詳細には、ユーザがモバイルアプリケーション186にデータを入力すると、入力イベント情報は、コンテンツ非依存のインジケータとして、システムサービス158からウェブページ174に送信される。コンテンツ非依存のインジケータは、コンテンツ非認知である。エンドユーザが異なるHTML表示要素188間でクリックまたはタブキーを押下すると、ウェブページは、「変更アクティブ要素イベント」をシステムサービス158に送信する。システムサービス158は、入力変化としてアクティブ要素変化を見ることによって、付加的情報を説明する関連する第2ユーザ機器182に通知する。システムサービス158は、照合順序の入力変化として「変化アクティブ要素」を記録する。
図14は、システムサービスとの通信を提供するために、ウェブブラウザにJavaScriptを含めることを示している。本実施形態では、JavaScriptはシステムサービスからホストされる。当然に、他のアプローチも可能である。
図15を参照すると、第1機器がシステムサービスと直接的に通信しない例が示されている。そのような実施形態では、第1機器は、ウェブソケット195を介してアプリケーションプロバイダに通信し、アプリケーションプロバイダは、第1および第2機器上の表示要素の変更に関する情報を中継する。使用プロキシを含む様々なアプローチを採用することができ、それらが本出願の範囲内に入ることを理解されたい。
図16は、一実施形態による承認手順の例示的なフローチャットを提供する。多数の処理ステップが示されている。これらは、図7~図9の円内の番号付けされたステップ1、3、4、6、7、8、および16に対応する。
アプリケーションプロバイダがユーザを承認すると、ウェブブラウザに埋め込まれた仮想コンピュータのようなリソースへのアクセスがユーザに提供され得ることが、理解されるべきである。承認されると、仮想マシンは、2014年5月23日に出願された関連出願PCT/AU2014/050050に記載されているようにプロビジョンすることができる。
図18は、2人のユーザ(neilおよびfred)がそれぞれ独自の第2機器186および189を有し、1つの第1機器14にエントリを提供している他の実施形態を示す。ここで、それぞれは、表示されたQRコードをスキャンし、機器186と189の両方が対応するアクティブ190表示要素188に入力することができる。バックエンドプロセスは上述したものと同じであるが、機器186および198のどちらのユーザも、アスタリスクのみが表示要素に表示されるので、他方が何を入力するかを見ることはできない。各文字は入力された文字を判別できるが、その文字が何であるかは判別できない。この使用は「2つのシグネチャを必要とする」シナリオのように、2つ(またはそれ以上)の当事者が独立して承認に寄与する必要があり、いずれも完全に信頼されるべきではない場合に有利であり得る。
図19は、一実施形態による承認手順の別の例示的なフローチャートを提供する。
図20を参照すると、実施形態では、ユーザが、自分のスマートフォンを用いてアクセスプロバイダサイトにナビゲートし、したがって電話を使用するときに自分の電話でQRコードをスキャンすることができないなど、第1機器および第2機器が同じ物理機器である。一実施形態では、ユーザがアクセスプロバイダシステム12のウェブサーバ122によって提供されるウェブページにナビゲートするとき、ウェブサーバ122は、ユーザがワークステーションまたはモバイル機器のどちらを用いているかを決定する。実施例では、これはユーザエージェントHTTPヘッダーを用いて実行される。モバイル機器が使用される場合、以下の変形が使用される。
特に、システム500では、第1機器および第2機器の機能が、同じ機器によって、この場合はスマートフォン26によって、実行される。スマートフォン26が、第1機器14として動作するウィンドウ内で、ウェブサーバ122によって提供されるウェブサイト506をナビゲートするとき。ウェブサーバ122はまた、仮想キーボード68を提供する第2機器26’として機能するインラインフレーム(iFrame)のような別のウィンドウを提供する。iFrame内のキーボード68は、インタフェース(API)34を介して入力情報18を機器32に送信する。そして、API34は、それをアクセスプロバイダシステム12に送信し、ウェブサーバ122は、表示要素144/148に入力がなされたことを示す。
一変形例では、表示要素144および146は、情報が秘密であるかどうかに応じて異なるように扱われる。例えば、表示要素144は、ユーザ名を受信するためのものであってもよく、この場合、例えば電子メールアドレスであってもよく、したがって、秘密ではない。表示要素146は、秘密であるパスワードを受信するためのものであってもよい。
表示要素144がアクティブ142になるように選択されると、電話機の通常のキーボード502を用いて入力される。入力されたもの(fred@email.com)は、表示要素144に表示される。表示要素146がアクティブであることが選択されると(例えば、パスワード、ピン、社会保障番号、CVV#のような秘密を受信するためのもの)、iFrameは、それがあたかもそれが第2機器26(の仮想インスタンス)であるかのように呼び出され、キーボード68がその中に表示される。ウェブサーバ122は、上述したように、使用のためにセッション識別子180をリクエストすることもできる。図では、キーボード68がキーボード502から分離されているように示されている。しかしながら、キーボード502を閉じ、iFrame(機器26の)内のキーボード68をその位置に置くか、または重ねることが好ましい。両方のキーボードを同時に表示することはあまり望ましくないと考えられている。このiFrameは、親ウェブページからサンドボックス化されており、通信は、既知のwindow.postMessage()ブラウザ機構経由でのみ行うことができる。
キーボード68に入力されたデータは、(セッション識別子180を有する実施形態における)入力情報18を暗号化された形式で形成し、この情報は、API34を介してシステム32に送信され、次いで、入力情報22としてシステム12に送信される。次に、入力された情報は、システム12によって解読され、検証される。また、ウェブサーバ122は機器14が表示要素146に対応する数のアスタリスクを表示するために、(前記でより詳細に説明したように)コンテンツ非依存の情報72を送信する。
携帯電話のオペレーティングシステムでは、通常、一度に1つのアプリケーションだけが画面を保持できるため、ブラウザがこれを行っているとき、iFrame内の画像を他の何も傍受できないはずである。したがって、ウェブサーバ122によってのみ解釈可能な入力機器が存在し、したがって、ユーザデータ入力が機器上のいかなるマルウェアによっても傍受されるべきではないことを保証する。さらに、非秘密(通常のワークステーションキーボードを介して入力されたユーザ名など)と秘密(携帯電話上のWebクライアントキーボード(キーボード68)を介して入力されたパスワードやその他の機密/機密情報など)とを結び付けるために(セッション識別子180の使用によって)その文脈が存在する唯一の場所は、アクセスプロバイダシステム12の内部にある。完了すると、ユーザはウェブサーバ122に対して、ユーザが情報の入力を終了したことを示す「提出」要素148を選択することができ、ユーザの身元の検証は、キーボード26を介して入力された入力情報18に基づいて実行することができる。検証が存在する場合には肯定応答が存在し、存在しない場合には否定応答が存在し得る。
図21を参照すると、一実施形態では、各アクセスシステム12は識別子(プロバイダID 602)を有する。さらに、プロバイダID602は、セッション情報180においてシステム34を介して、アクセスシステム12から第2機器26に提供することができる。一実施形態では、プロバイダID602、第2機器26(モバイル機器タイプ606など)を識別し、それに固有の情報、および容易に予測不可能な数(乱数608など)は発信元アクセスプロバイダシステム12(クッキーとして、またはクッキーと同様に)のための機器26の記憶された識別子604として第2機器26内のローカルストレージに格納され、情報18に含まれる。
別のセッションでは、記憶された識別子604が第2機器26内にまだ存在する場合、それは再び情報18内に送信することができ、さもなくば別のものが(同じ方法で)生成され、第2機器26内に記憶され、情報18内に送信される(そしてその後、情報22がシステム12に送信される)。
一実施形態では、アクセスシステム12は、機器32から送信された情報22を介して、記憶された識別子604を受信する。記憶された識別子604は、第2機器26が予期しない機器/ユーザではなく、予期したユーザに関連する第2機器であるという認証の形態としてアクセスシステム12によって使用されることが可能であり、ここで、記憶された識別子604が(新たに作成されるのではなく)関連するユーザによって使用されることが予期されるものではない場合、これは疑わしい(潜在的にセキュリティ侵害または詐欺を示す)ものとして扱われることがある。システム32を介して提供される記憶された識別子604で識別されるように、それぞれのユーザが期待される機器を用いているかのように、これは、追加の認証形態として、または監査目的のために機能することができる。
一実施形態では、プロバイダID602は、どのアクセスプロバイダ12がユーザとのセッションを開始したかを識別する一意のIDである。したがって、接続するアクセスプロバイダ12ごとに異なるプロバイダID602(したがって異なるクッキー)が存在することになる。
これは、複数のパーティ認証を提供する同一のアクセスプロバイダ12に複数の機器が並列に接続されている場合に有益である。なぜなら、各パーティ機器はそれぞれのユーザからの情報が提供される機器の固有の識別606(および乱数608)のために、認証セッションへの各ユーザ個別接続に固有性を追加するからである。
図17を参照すると、本明細書で説明するシステムおよび方法の好ましい構成を提供するように構成されたコンピュータシステム464の概略図が示されている。コンピュータシステム464は、好ましい構成を提供するために協働する多数の個々のコンピュータシステム466(コンピュータ/コンピューティング機器)を含む分散コンピュータ環境として提供される。他の実施形態では、コンピュータシステム464が単一のコンピューティング機器として提供される。
図示のように、コンピューティング機器466のうちの第1コンピューティング機器は、メモリ設備468を含む。メモリ設備468は、「一般メモリ」と、仮想メモリのような他の形態のメモリとの両方を含む。メモリ設備468は、少なくとも1つのプロセッサを含むプロセス設備470に動作可能に接続される。メモリ設備468は、実行可能命令および/またはコンピュータデータの形態のコンピュータ情報を含む。メモリ設備468は、好ましい構成を実装する際にプロセス設備470によってアクセス可能である。
図示のように、コンピューティング機器466の各々は、システムバス設備472、データ記憶機器設備474、入力インタフェース設備476、および出力インタフェース設備478を含む。データ記憶機器設備474は、実行可能命令および/またはコンピュータデータの形態のコンピュータ情報を含む。データ記憶機器設備474は、処理設備470に動作可能に接続される。データ記憶機器設備474は、メモリ設備468に動作可能に接続される。データ記憶機器設備474は、好ましい構成を実装する際に処理設備470によってアクセス可能である。
コンピュータ情報は、多くの機器にまたがって配置され、多くの形態で提供される。実施例のために、データ記憶機器設備474は、実行可能命令および/またはコンピュータデータの形態のコンピュータ情報を含んでもよい。コンピュータデータ情報は、処理設備470によってアクセス可能な、符号化されたデータ命令、データ信号、データ構造、サーバ側動作のためのプログラムロジック、クライアント側動作のためのプログラムロジック、格納されたウェブページなどの形態で提供されてもよい。
1つのレベルでは、入力インタフェースは、コンピュータデータがコンピュータ機器466によって受信されることを可能にする。別のレベルでは、入力インタフェースは、コンピュータデータを、1つ以上のコンピュータ機器を操作する個人から受信することを可能にする。出力インタフェースは、1つのレベルでは、命令をコンピュータ機器に送信することを可能にする。別のレベルでは、出力インタフェースは、コンピュータデータを個々に送信することを可能にする。入出力インタフェース設備476、478は、処理設備470に動作可能に関連付けられた入出力インタフェースを提供する。入力および出力設備476、478は、コンピューティング機器466と個人との間の通信を可能にする。
コンピュータ機器466は、いくつかの機器がネットワークおよび他のインタフェースを介して通信中であり、好ましい配置を集合的に提供する分散システムを提供する。好ましくは、コンピューティング機器466のシステム内に少なくとも1つのクライアント機器が提供され、システムはデータネットワークによって相互接続される。
クライアント機器は、クライアント機器および他のコンピュータ機器466が公衆データネットワークを介して通信するシステムおよび方法を提供する、システムで使用するためのクライアントサイドソフトウェア製品と共に提供される。好ましくは、ソフトウェア製品が好適な構成を提供するための実行可能命令および/またはコンピュータデータの形成でコンピュータ情報を含む。
キーボード、マウス、トラックボール、タッチパッド、スキャナ、ビデオカード、オーディオカード、ネットワークカードなどに関連する入力インタフェースが知られている。モニタ、プリンタ、スピーカ、ファクシミリ、プロジェクタ等に関連する出力インタフェースが知られている。様々な形態のローカルエリアネットワーク、ワイドエリアネットワーク等のための有線または無線インタフェースの形態のネットワークインタフェースが知られている。フロッピーディスク、ハードディスク、ディスクカートリッジ、CD-ROM、スマートカード、RAIDシステムの形態の記憶設備が知られている。RAM、ROM、EEPROMおよび他のデータ記憶タイプを含む揮発性および不揮発性メモリタイプが知られている。回路基板材料、同軸ケーブル、光ファイバ、無線設備などの種々の伝送設備が知られている。
システム、構成要素、設備、インタフェースなどは、いくつかの形態で提供され得ることを理解されたい。システム、構成要素、設備、インタフェースなどは、ハードウェア、ソフトウェア、またはそれらの組み合わせとして提供され得る。本発明は、電子機器、コンピュータ可読記憶機器、パーソナルコンピュータ、および分散計算環境として具現化されてもよい。
さらに、本発明はいくつかのコンピュータ実行可能オペレーション、いくつかのコンピュータ実行可能構成要素、1組の処理オペレーション、1組のシステム、施設、または構成要素、コンピュータ実装方法を実行し、および/またはコンピュータ実装システムを提供するためのコンピュータ実行可能命令を格納したコンピュータ読み取り可能な媒体として実現することができる。コンピュータ実行可能命令の場合、それらは、好ましくは本明細書に記載されるシステム、構成要素、および機能を符号化する。例えば、コンピュータ読み取り可能な媒体は、本構成の少なくとも一部を形成するいくつかの動作を実行するように構成されたアプリケーションを実行するように構成された1つ以上の機能を用いて符号化され得る。コンピュータ可読媒体は、好ましくは1つ以上のコンピューティング機器の1つ以上のプロセッサへのコンピュータ実行可能命令の提供に関与する。
コンピュータ実行可能命令は、好ましくは1つ以上のコンピューティング機器が所望のように動作するように、1つ以上のコンピューティング機器によって実行される。好ましいデータ構造は、好ましくはコンピュータ読み取り可能な媒体に記憶される。コンピュータ実行可能命令は、好ましい構成の少なくとも一部を実行するためのコンピュータ機器のオペレーティングシステムの一部を形成することができる。1つ以上のコンピューティング機器は、好ましくは好ましい構成を実装することができる。
コンピュータという用語は、サーバ、パーソナルコンピュータ、スマートフォン、情報端末、エレクトロニクス機器、および分散コンピューティングシステムを含むあらゆる形態のコンピューティング機器を含むものとして理解されるべきである。
想定されるタイプのコンピュータ可読媒体などは、好ましくは内部にある。このようなコンピュータ読み取り可能な媒体はコンピュータデータの転送のために、コンピュータベースの伝送設備と動作的に関連付けられてもよい。コンピュータ可読媒体は、データ信号を提供することができる。コンピュータ可読媒体には、好ましくは磁気ディスク、光ディスク、および業界で用途があるか、または用途が見出される他の電気/磁気および物理記憶媒体が含まれる。
構成要素、システム、およびタスクは、プロセスを実行するための実行可能命令の提供またはプロセッサ内での実行可能命令の実行を含むプロセスを含むことができる。アプリケーションまたは他の実行可能命令は同様の結果を達成するために、異なる順序で方法動作を実行することができる。説明されたシステムおよび方法のブロックは、任意の適切な配置および任意の適切な動作順序で具現化され得ることが理解されるべきである。計算機能、モジュール、インタフェース等は、別個の、別個の、結合された、入れ子にされた、または他の形態および配置で提供されてもよい。方法は本明細書に記載されるシステムから明らかであり、システムは、本明細書に記載される方法から明らかである。
明らかなように、本明細書で説明される方法ブロックは、グループ化されたブロックまたは細分化されたブロックで見ることができる。様々なフローチャートが、説明されたブロックに基づくことができる。
様々な実施形態が有利であると考えられる。多くの利点は、第2発明の概要に記載されている。他の利点は、全体として明細書を読むために明らかであろう。
明らかなように、本本発明の趣旨および範囲から逸脱することなく、様々な変更および同等の形態を提供することができる。これは、添付の特許請求のスコープのスコープ内の修正を、すべての修正、代替構成、および均等物と共に含む。
図面に示された具体的な実施形態に本発明を限定することは意図されていない。本発はその全範囲が与えられれば、出願人および発明にとって有益であると解釈されるべきである。
本明細書において、特定の特徴の存在は、さらなる特徴の存在を排除しない。「有する」、「含む」、「または」および「有する」という単語は、排他的な意味ではなく包括的な意味で解釈されるべきである。
本明細書における任意の議論は、本発明の文脈を説明することを意図していることを理解されたい。議論された材料が、任意の特定の国または地域において、先行技術の基礎または関連する一般知識の一部を形成したことを容認するものとして解釈されるべきではない。

Claims (64)

  1. アクセスプロバイダシステムが第1電子機器上のコンテンツへのアクセスを安全にすることを可能にするコンピュータ実装方法であって、
    ユーザが第2電子機器に入力した暗号化入力情報を受信することと、
    前記第1電子機器へのアクセスを承認するかどうかを前記アクセスプロバイダシステムが決定できるようにするために、入力情報をアクセスプロバイダシステムに送信することとを含む、コンピュータ実装方法。
  2. 1つ以上のアクセスプロバイダシステムが第1電子機器上のコンテンツへのアクセスを安全にすることを可能にするコンピュータ実装方法であって
    ユーザが第2電子機器上に入力した暗号化入力情報を受信することと、
    前記第1電子機器へのアクセスを承認するかどうかを前記1つ以上のアクセスプロバイダシステムが決定できるようにするために、入力情報を前記1つ以上のアクセスプロバイダシステムに送信することとを含む、コンピュータ実装方法。
  3. 前記方法は、アプリケーションインタフェースを有するシステムサービスを提供することを含み、前記アプリケーションインタフェースは、前記暗号化入力情報を受信し、受信された前記暗号化入力情報を前記システムサービスから前記1つ以上のアクセスプロバイダシステムに送信する、請求項1または2に記載のコンピュータ実装方法。
  4. (i)各アクセスプロバイダシステムは、送信された前記入力情報を復号化するための復号鍵へのアクセスを有し、(ii)システムサービスは、前記復号鍵へのアクセスを有さず、受信された前記暗号化入力情報を復号化できない、請求項3に記載のコンピュータ実装方法。
  5. 対応するアクセスプロバイダシステムおよび対応する第2電子機器に関連するユーザ入力セッションを識別するための各セッション識別子を生成することを含む、請求項1~4のいずれか1項に記載のコンピュータ実装方法。
  6. アクセスプロバイダシステムに関連する各セッション識別子の秘密鍵を生成する各アクセスプロバイダシステムを含む、請求項5に記載のコンピュータ実装方法。
  7. 前記第2電子機器によるスキャンのために、各セッション識別子および対応する秘密鍵を、前記第1電子機器上に視覚的表現として提示することを含む、請求項6に記載のコンピュータ実装方法。
  8. 対応する第1機器上のコンテンツへのアクセスを取得するために、前記ユーザによって入力される情報の暗号化において各秘密鍵を使用することを含む、請求項5または6に記載のコンピュータ実装方法。
  9. 前記ユーザが前記第2電子機器を用いて入力した暗号化入力情報を、対応するセッション識別子に基づいて照合することと、対応する前記セッション識別子に基づいて、各セッション識別子に関連する照合入力情報を前記1つ以上のアクセスプロバイダシステムに提供することとを含む、請求項5~7のいずれか1項に記載の方法。
  10. 前記セッションまたは各セッション識別子は、各前記アクセスプロバイダシステムの識別子を含み、前記方法は、各前記アクセスプロバイダシステム識別子を各前記第2機器に記憶することをさらに含む、請求項1~9のいずれか1項に記載の方法で実施されるコンピュータ実装方法。
  11. 各前記アクセスプロバイダシステム識別子と、機器識別子または予測不可能な数の一方または両方とを、記憶された識別子として各前記第2機器に記憶することをさらに含む、請求項10に記載のコンピュータ実装方法。
  12. 記憶された前記識別子を前記アクセスプロバイダシステムに送信することを含む、請求項11に記載のコンピュータ実装方法。
  13. 各前記アクセスプロバイダシステムは、受信されて記憶された前記識別子を、同じ第2機器識別子を有する以前に受信されて記憶された識別子と比較する、請求項12に記載のコンピュータ実装方法。
  14. 前記方法は、入力セッション識別子を提供するために、前記1つ以上のアクセスプロバイダシステムからのリクエストを受信することを含み、各入力セッション識別子は、関連するアクセスプロバイダシステムからユーザにコンテンツへの安全なアクセスを提供する際に使用するために提供される、請求項1~13のいずれか1項に記載の方法で実施されるコンピュータ実装方法。
  15. 前記方法は、各前記第2電子機器のソフトウェアアプリケーションを提供することを含み、前記ソフトウェアアプリケーションは、ユーザが第1電子機器上のコンテンツにアクセスすることを承認する際に使用するための入力システムを提供する、請求項14に記載のコンピュータ実装方法。
  16. 前記第2電子機器から入力情報を受信した後、対応する第1電子機器にコンテンツ非依存かつ長さ認識の入力情報を送信することを含む、請求項1~15のいずれか1項に記載のコンピュータ実装方法。
  17. 前記第2電子機器から入力情報を受信した後に、対応する第1電子機器にコンテンツ非依存かつ長さ非認識の入力情報を送信することを含む、請求項1~15のいずれか1項に記載のコンピュータ実装方法。
  18. 前記第1機器上で直接行われる前記ユーザからのさらなる入力情報として、前記第1機器から表示要素選択情報を受信することを含む、請求項1~17のいずれか1項に記載のコンピュータ実装方法。
  19. 対応する前記ユーザによって直接行われた各第1ユーザ機器上の表示要素の変更をモニタすることを含む、請求項18に記載のコンピュータ実装方法。
  20. 前記第1電子機器上の表示要素選択を、対応する第2電子機器に通知することを含む、請求項18または19に記載のコンピュータ実装方法。
  21. アクセスプロバイダシステムと電子機器との間の第1通信チャネルを介して、前記アクセスプロバイダシステムが電子機器上のコンテンツへのアクセスを安全にすることを可能にするコンピュータ実装方法であって、
    第2機器と前記アクセスプロバイダシステムとの間の第2通信チャネルを介して、ユーザが入力した暗号化入力情報を受信することと、
    前記第1電子機器へのアクセスを承認するかどうかを前記アクセスプロバイダシステムが決定できるようにするために、入力情報を前記アクセスプロバイダシステムに送信することとを含む、コンピュータ実装方法。
  22. 前記情報は、前記第2機器上で前記ユーザによって入力される、請求項20に記載のコンピュータ実装方法。
  23. 対応する前記第1機器または各第1機器における入力機器の形態で、前記第2機器または各第2機器を実装することを含む、請求項1~22のいずれか1項に記載のコンピュータ実装方法。
  24. 入力された前記情報は、前記第1通信チャネルを介して前記アクセスプロバイダシステムに提供されることができない、請求項20~23のいずれか1項に記載のコンピュータ実装方法。
  25. 対応するセッション識別子に関連付けられたアクセスプロバイダシステムが第1電子機器上のコンテンツへのアクセスを保護することを可能にするコンピュータ実装方法であって、
    システムサービスによって提供されるアプリケーションインタフェースを介して、入力セッションを識別するセッション識別子と共にユーザが第2電子機器上で入力した暗号化入力情報を受信することと、
    前記第1電子機器とは独立した暗号化通信チャネルを提供する前記第2電子機器と、
    ユーザが前記第2電子機器を用いて入力した入力情報を、前記アプリケーションインタフェースを介して前記アクセスプロバイダシステムに送信することとを含み、
    前記システムサービスは、前記暗号化入力情報を復号化するために必要な復号鍵に依存しない、コンピュータ実装方法。
  26. 複数のアクセスプロバイダシステムが第1電子機器上のコンテンツへのアクセスを安全にすることを可能にするコンピュータ実装方法であって、
    システムサービスによって提供されるアプリケーションインタフェースを介して、ユーザが入力した暗号化入力情報を、それぞれが入力セッションを識別するセッション識別子と共に第2電子機器上で受信することと、
    前記第1電子機器から独立した暗号化通信チャネルを提供する前記第2ユーザ機器と、
    前記アプリケーションインタフェースを介して、前記ユーザが入力した入力情報を、対応するセッション識別子に関連付けられた前記アクセスプロバイダシステムに送信することとを含み、
    前記システムサービスは、前記暗号化入力情報を復号化するために必要な前記復号鍵に依存しない、コンピュータ実装方法。
  27. 各第1機器から各第2機器にセッション識別子および秘密鍵を提供することを含む、請求項25または26に記載のコンピュータ実装方法。
  28. 各前記第2電子機器を用いてスキャンされる、各前記第1電子機器上の視覚的表現における秘密鍵と共にセッション識別子を提供することと、
    ユーザが対応する前記第2電子機器に入力した情報の暗号化において各前記秘密鍵を使用することと、
    前記暗号化情報を、セッション識別子と共に、各前記第2電子機器からアプリケーションインタフェースに送信することとを含む、請求項27に記載のコンピュータ実装方法。
  29. 前記アプリケーションインタフェースを介して受信された暗号化入力情報を照合することと、
    照合された前記暗号化入力情報を、対応するセッション識別子に基づいて前記1つ以上のアクセスプロバイダシステムに提供することと含む、請求項28に記載のコンピュータ実装方法。
  30. 第1セッション中にそれぞれの第2機器にアクセスプロバイディングシステム識別子を記憶することと、記憶された前記アクセスプロバイダシステム識別子を、前記アプリケーションインタフェースを介して後続のセッションでそれぞれの前記アクセスプロバイダシステムに送信することを含む、請求項27に記載のコンピュータ実装方法。
  31. 対応するセッション識別子に関連付けられたアクセスプロバイダシステムが、第1通信チャネルを介して第1電子機器上のコンテンツへのアクセスを安全にすることを可能にするコンピュータ実装方法であって、
    システムサービスによって提供されるアプリケーションインタフェースを持つ第2通信チャネルを介して、入力セッションを識別するセッション識別子と共にユーザが入力した暗号化入力情報を受信することと、
    暗号化されておりかつ第1通信チャネルとは独立している前記第2通信チャネルと、
    ユーザが入力した前記暗号化入力情報を、前記アプリケーションインタフェースを介して前記アクセスプロバイダシステムに送信することとを含み、
    前記システムサービスは、前記暗号化入力情報を復号化するために必要な復号鍵に依存しない、コンピュータ実装方法。
  32. アクセスプロバイダシステムが第1電子機器上のコンテンツへのアクセスを安全にすることを可能にするためのコンピュータ実装システムであって、
    ユーザが第2電子機器に入力した暗号化入力情報を受信するための受信器と、
    前記アクセスプロバイダシステムが第1電子機器上のコンテンツへのアクセスを承認するかどうかを決定することを可能にするために、前記アクセスプロバイダシステムに入力情報を提供するための送信器とを備える、コンピュータ実装システム。
  33. 1つ以上のアクセスプロバイダシステムが第1電子機器上のコンテンツへのアクセスを安全にすることを可能にするためのコンピュータ実装システムであって、
    ユーザが第2電子機器上で入力した暗号化入力情報を受信するための受信器と、
    前記第1電子機器上のコンテンツへのアクセスを承認するかどうかを前記1つ以上のアクセスプロバイダシステムが決定することを可能にするために、前記1つ以上のアクセスプロバイダシステムに入力情報を提供するための送信器とを備える、コンピュータ実装システム。
  34. 前記システムは、アプリケーションインタフェースを提供するサービスを含み、前記アプリケーションインタフェースは、前記暗号化入力情報を受信し、受信した前記暗号化入力情報を前記システムサービスから前記1つ以上のアクセスプロバイダシステムに送信し、さらに、(i)各アクセスプロバイダシステムは、送信された前記入力情報を復号化するための復号鍵にアクセスし、(ii)前記システムサービスは、前記復号鍵にアクセスせず、受信した前記暗号化入力情報を復号化できない、請求項32または33に記載のコンピュータ実装システム。
  35. 対応するアクセスプロバイダシステムおよび対応する第2電子機器に関連してユーザ入力セッションを識別するための各セッション識別子を生成するための生成器を備える、請求項32~34のいずれか1項に記載のコンピュータ実装システム。
  36. 各アクセスプロバイダシステムは、前記アクセスプロバイダシステムに関連する各セッション識別子のための秘密鍵を生成するための秘密鍵生成器を含む、請求項35に記載のコンピュータ実装方法。
  37. 各アクセスプロバイダシステムは、前記第2電子機器によるスキャンのために、前記第1電子機器上の視覚的表現としてセッション識別子および対応する秘密鍵を生成するための生成器を含む、請求項36に記載のコンピュータ実装方法。
  38. 対応する前記第1機器上のコンテンツへのアクセスを取得するために、ユーザが入力した情報の暗号化において各秘密鍵を使用することを含む、請求項36または37に記載のコンピュータ実装方法。
  39. 対応する前記セッション識別子に基づいて、前記ユーザが前記第2電子機器を用いて入力した暗号化入力情報を照合する照合器を含み、前記送信器は、対応する前記セッション識別子に基づいて、前記セッション識別子に関連する照合入力情報を前記1つ以上のアクセスプロバイダシステムに提供する、請求項35~38のいずれか1項に記載のコンピュータ実装システム。
  40. 入力セッション識別子を作成するために、前記1つ以上のアクセスプロバイダシステムからリクエストを受信するためのセッション識別子リクエスト受信器を備え、各入力セッション識別子は、関連するアクセスプロバイダシステムからユーザに対するコンテンツへの安全なアクセスを提供するために使用される、請求項35~39のいずれか1項に記載のコンピュータ実装システム。
  41. 各前記第2電子機器上の入力受信器を含み、前記入力受信器は、ユーザが第1電子機器上のコンテンツにアクセスすることを承認する際に使用するためのアプリケーションを備える、請求項40に記載のコンピュータ実装システム。
  42. 前記受信器が前記第2電子機器から入力情報を受信した後に、対応する第1電子機器に、コンテンツ非依存かつ長さ認識の入力情報を送信するための助言器を含む、請求項35~41のいずれか1項に記載のコンピュータ実装システム。
  43. 前記受信器が前記第2電子機器から入力情報を受信した後に、対応する第1電子機器にコンテンツ非依存の入力情報および長さ非依存の入力情報を送信するための助言器を含む、請求項35~41のいずれか1項に記載のコンピュータ実装システム。
  44. 各第1ユーザ機器上の表示要素をモニタすることに関連して、前記ユーザからのさらなる入力情報として第1機器から表示要素選択情報を受信するための表示選択受信器を含む、請求項35~43のいずれか1項に記載のコンピュータ実装システム。
  45. 各第1ユーザ機器上の表示要素をモニタするためのモニタを含む、請求項44に記載のコンピュータ実装システム。
  46. 前記第1電子機器上の表示要素の選択を対応する第2電子機器に通知するための通知器を含む、請求項44または45に記載のコンピュータ実装システム。
  47. 本明細書に記載される態様によれば、アクセスプロバイダシステムからユーザに対するコンテンツへの安全なアクセスを提供するコンピュータ実装方法であって、
    前記アクセスプロバイダシステムからコンテンツにアクセスするための第1ユーザ機器にインストールされたHTMLブラウザを介して前記ユーザに前記コンテンツへのアクセスを提供するためのウェブアプリケーションを維持することと、
    前記ユーザが第2ユーザ機器に入力した入力情報を復号化することと、
    復号化された前記入力情報に基づいて、安全なコンテンツへのアクセスを承認することとを含む、コンピュータ実装方法が提供される。
  48. 1つ以上のアクセスプロバイダシステムからユーザに対するコンテンツへの安全なアクセスを提供するコンピュータ実装方法であって、
    様々なアクセスプロバイダシステムからコンテンツにアクセスするための第1ユーザ機器にインストールされたHTMLブラウザを介して前記ユーザに前記コンテンツへのアクセスを提供するためのウェブアプリケーションを維持することと、
    前記ユーザが第2ユーザ機器に入力した入力情報を復号化することと、
    復号化された前記入力情報に基づいて、安全なコンテンツへのアクセスを承認することとを含む、コンピュータ実装方法。
  49. 前記コンテンツは、ハイパーテキストマークアップコンテンツを含む、請求項47または48に記載のコンピュータ実装方法。
  50. セッション識別子と、各セッション識別子に関連する秘密鍵とを維持することと、1つ以上の表示要素を提供することと、対応する前記セッション識別子の1つに関連する第2電子機器上にそれぞれ入力情報が入力された結果、コンテンツ非依存の入力情報で1つ以上の表示要素を更新することとを含む、請求項47~49のいずれか1項の記載のコンピュータ実装方法。
  51. 前記表示要素をモニタすることと、前記第2電子機器を更新する際に使用するための表示要素選択情報を送信することとを含む、請求項50に記載のコンピュータ実装方法。
  52. アクセスプロバイダシステム識別子を維持することと、前記アクセスプロバイダシステム識別子をその記憶のための前記第1機器に提供することとを含む、請求項47~51のいずれか1項に記載のコンピュータ実装方法。前記方法は、さらに、1つのセッションにおいて前記第2ユーザ機器から第1識別子を受信することと、後続のセッションにおいて前記第2ユーザ機器から受信した第2識別子と、受信した前記第1識別子を前記第2識別子と比較する各第1機器と同じアクセスプロバイダシステムペアとの間のセッションについて比較することとを含む。
  53. アクセスプロバイダシステムからユーザにコンテンツへの安全なアクセスを提供するコンピュータ実装方法であって、第1通信チャネルを介してアクセスプロバイダシステムからコンテンツにアクセスするためのHTMLブラウザを介して前記ユーザにコンテンツへのアクセスを提供するためのウェブアプリケーションを維持することと、前記ユーザによって入力され、前記第1通信チャネルから独立した第2通信チャネルを介して受信される入力情報を復号化することと、復号化された前記入力情報に基づいて、安全なコンテンツへのアクセスを認証することとを含む、コンピュータ実装方法。
  54. アクセスプロバイダシステムからユーザに対するコンテンツへの安全なアクセスを提供するコンピュータ実装システムであって、
    前記アクセスプロバイダシステムからコンテンツにアクセスするための第1ユーザ機器にインストールされたHTMLブラウザを介してコンテンツへのアクセスをユーザに提供するためのウェブアプリケーションと、
    前記ユーザが前記第2ユーザ機器に入力した入力情報を復号化するための復号化器を有し、かつ復号化された前記入力情報を用いて前記コンテンツへのアクセスを承認するか否かを決定するための認証器とを備えるコンピュータ実装システム。
  55. 1つ以上のアクセスプロバイダシステムからユーザに対するコンテンツへの安全なアクセスを提供するコンピュータ実装システムであって、
    様々なアクセスプロバイダシステムからコンテンツにアクセスするための第1ユーザ機器にインストールされたHTMLブラウザを介して前記ユーザに前記コンテンツへのアクセスを提供するためのウェブアプリケーションと、
    前記ユーザが第2ユーザ機器に入力した入力情報を復号化するための復号化器を有し、かつ復号化された前記入力情報を用いてコンテンツへのアクセスを承認するか否かを決定する承認器とを備えるコンピュータ実装システム。
  56. 前記コンテンツは、ハイパーテキストマークアップコンテンツを含む、請求項54または55に記載のコンピュータ実装システム。
  57. セッション識別子と、各セッション識別子に関連付けられた秘密鍵とを維持するための維持器と、前記1つ以上の表示要素を提供するプロバイダと、前記セッション識別子の対応する1つとそれぞれ関連付けられた第2電子機器に入力情報が入力される結果として、コンテンツ非依存の入力情報を用いて前記1つ以上の表示要素を更新する更新器と備える、請求項54~56のいずれか1項に記載の方法。
  58. 前記表示要素をモニタし、前記第2電子機器を更新する際に使用するための表示要素選択情報を送信するためのモニタを備える、請求項57に記載のコンピュータ実装システム。
  59. アクセスプロバイダシステムによって記憶されたコンテンツへのアクセスを安全にするコンピュータ実装方法であって
    ユーザに関連付けられた第1電子機器上のコンテンツへの安全なユーザアクセスを承認できるようにする前記アクセスプロバイダシステムのためのウェブシステムサービスを提供することと、
    前記ユーザに関連する第2電子機器を用いて前記ウェブシステムと通信するためのアプリケーションを前記ユーザに提供することと、
    前記ユーザが前記第2ユーザ機器に入力した暗号化入力情報を受信することと、
    受信した前記暗号化入力情報を前記アクセスプロバイダシステムに転送することとを含み、
    前記アクセスプロバイダシステムは、前記第1ユーザ機器上のコンテンツに対する前記ユーザのアクセスを承認するか否かを決定するために、前記暗号化入力情報を復号化する能力を有する、コンピュータ実装方法。
  60. 1つ以上のアクセスプロバイダシステムによって記憶されたコンテンツへのアクセスを保護するコンピュータ実装方法であって、
    ユーザに関連付けられる各第1電子機器上のコンテンツへの安全なユーザアクセスを前記アクセスプロバイダシステムが承認することを可能にする、前記1つ以上のアクセスプロバイダシステムのためのウェブシステムサービスを提供することと、
    ユーザに関連付けられる第2電子機器を用いてウェブシステムサービスと通信するためのアプリケーションを各ユーザに提供することと、
    前記ユーザが第2ユーザ機器に入力した暗号化入力情報を受信することと、
    受信した前記暗号化入力情報を、前記第1ユーザ機器上のコンテンツへのユーザのアクセスを承認するかどうかを決定するために、前記暗号化入力情報を復号化する能力を有する前記1つ以上のアクセスプロバイダシステムと共に、前記1つ以上のアクセスプロバイダシステムに転送することとを含む、コンピュータ実装方法。
  61. アクセスプロバイダシステムによって記憶されたコンテンツへのアクセスを安全にするコンピュータ実装システムであって、
    前記ユーザに関連付けられる第1電子機器上のコンテンツへの安全なユーザアクセスを前記アクセスプロバイダシステムが承認できるようにする、前記アクセスプロバイダシステムのためのウェブシステムサービスと、
    ユーザに関連付けられる第2電子機器を用いて前記ウェブシステムサービスと通信するための入力システムと、
    前記ユーザが前記第2ユーザ機器に入力した暗号化入力情報を受信するための受信器と、
    受信した前記暗号化入力情報を前記アクセスプロバイダシステムに転送するための転送器とを備え、
    前記アクセスプロバイダシステムは、前記ユーザに前記第1ユーザ機器上のコンテンツへのアクセスを承認するか否かを決定するために、前記暗号化入力情報を復号化する能力を有する、コンピュータ実装システム。
  62. 1つ以上のアクセスプロバイダシステムによって記憶されたコンテンツへのアクセスを保護するコンピュータ実装システムであって、
    ユーザに関連付けられる各第1電子機器上のコンテンツへの安全なユーザアクセスを前記アクセスプロバイダシステムが承認できるようにする、前記1つ以上のアクセスプロバイダシステムのためのウェブシステムサービスと、
    ユーザに関連付けられる各第2電子機器を用いて前記ウェブシステムサービスと通信するための入力システムと、
    前記ユーザが前記第2ユーザ機器に入力した暗号化入力情報を受信する受信器と、
    前記第1ユーザ機器上のコンテンツへのアクセスを前記ユーザに承認するかどうかを決定するために、受信した前記暗号化入力情報を、前記暗号化入力情報を復号化する能力を有する前記1つ以上のアクセスプロバイダシステムと共に、前記1つ以上のアクセスプロバイダシステムに転送するための転送器とを備える、コンピュータ実装システム。
  63. サービスにアクセスするための第1機器からのリクエストであって、第1通信チャネルを介してアクセスプロバイダシステムで受信されるリクエストを受信することと、セッション識別子と、暗号鍵と、第2機器に実装される仮想入力機器または前記第1機器に実装される仮想入力機器を介してユーザからの入力を受信する仮想入力機器を提供する応答および読み出しを提供するアクセスプロバイダシステムの識別子とを含むウェブページを有する前記第1通信チャネルを介して前記第1機器に応答することと、前記仮想入力機器を用いて入力される入力情報であって、前記暗号鍵を用いて暗号化され、かつ、前記第1通信チャネルと異なりかつ前記暗号化情報を復号化するための復号鍵が前記アクセスプロバイダシステムにのみ知られている第2通信チャネルを介して前記アクセスプロバイダシステムに送信される入力情報を受信することと、受信した前記暗号化入力情報を、前記アクセスプロバイダシステム識別子を有する前記アクセスプロバイダシステムの前記セッション識別子にリンクされるセッションに関連付けることと、前記復号鍵を用いて前記アクセスプロバイダシステムにおいて前記暗号化入力情報を復号化することと、前記復号化入力情報が期待されるものであることと前記サービスへのアクセスを提供する場合がいつであるのかとを検証することとを含む方法。
  64. セッション識別子、暗号鍵、およびアクセスプロバイダシステムの識別子を仮想入力機器に提供するための機器からのリクエストを受信することと、提供された前記暗号鍵を用いて前記機器のユーザによる入力を前記仮想入力機器が暗号化し、かつ、前記ユーザによる入力が、前記アクセスプロバイダシステムの識別子で識別されるアクセスプロバイダシステム以外の仮想入力機器の外部から非暗号化形式でアクセスされない態様で、前記仮想入力機器を実装することと、前記アクセスプロバイダシステムの識別子で識別されるように、前記セッション識別子で暗号化された入力を前記アクセスプロバイダシステムに送信することとを含む方法。

JP2021557415A 2019-03-28 2020-03-30 Htmlブラウザ承認アプローチを含むコンピュータシステムおよび方法 Pending JP2022528366A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
AU2019901053A AU2019901053A0 (en) 2019-03-28 Computer systems and methods including html browser authorisation approaches
AU2019901053 2019-03-28
PCT/AU2020/050314 WO2020191464A1 (en) 2019-03-28 2020-03-30 Computer systems and methods including html browser authorisation approaches

Publications (1)

Publication Number Publication Date
JP2022528366A true JP2022528366A (ja) 2022-06-10

Family

ID=72608356

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021557415A Pending JP2022528366A (ja) 2019-03-28 2020-03-30 Htmlブラウザ承認アプローチを含むコンピュータシステムおよび方法

Country Status (6)

Country Link
US (1) US20220150228A1 (ja)
EP (1) EP3948631A4 (ja)
JP (1) JP2022528366A (ja)
CN (1) CN113892105A (ja)
AU (1) AU2020247835A1 (ja)
WO (1) WO2020191464A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11356477B2 (en) * 2019-08-05 2022-06-07 Twilio Inc. Verifying incoming communications
WO2022195301A1 (en) * 2021-03-19 2022-09-22 Citrix Systems, Inc. Passwordless login

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7581097B2 (en) * 2003-12-23 2009-08-25 Lenovo Pte Ltd Apparatus, system, and method for secure communications from a human interface device
US7578436B1 (en) * 2004-11-08 2009-08-25 Pisafe, Inc. Method and apparatus for providing secure document distribution
US8689287B2 (en) * 2006-08-17 2014-04-01 Northrop Grumman Systems Corporation Federated credentialing system and method
IL187492A0 (en) * 2007-09-06 2008-02-09 Human Interface Security Ltd Information protection device
US20120284506A1 (en) * 2010-04-30 2012-11-08 T-Central, Inc. Methods and apparatus for preventing crimeware attacks
GB2502492B (en) * 2011-03-03 2019-04-17 Securekey Tech Inc Methods and systems for selecting a secondary logical communications device
US8763097B2 (en) * 2011-03-11 2014-06-24 Piyush Bhatnagar System, design and process for strong authentication using bidirectional OTP and out-of-band multichannel authentication
US8935777B2 (en) * 2012-02-17 2015-01-13 Ebay Inc. Login using QR code
US20130301830A1 (en) * 2012-05-08 2013-11-14 Hagai Bar-El Device, system, and method of secure entry and handling of passwords
GB201213277D0 (en) * 2012-07-26 2012-09-05 Highgate Labs Ltd Two device authentication mechanism
US9590978B2 (en) * 2012-12-21 2017-03-07 Biobex, Llc Verification of password using a keyboard with a secure password entry mode
US9741265B2 (en) * 2012-12-31 2017-08-22 Piyush Bhatnagar System, design and process for secure documents credentials management using out-of-band authentication
TWM458598U (zh) * 2013-01-30 2013-08-01 Othe Technology Inc 防止電腦系統的使用者輸入資料被側錄之裝置
WO2014124014A1 (en) * 2013-02-05 2014-08-14 Vynca, L.L.C. Method and apparatus for collecting an electronic signature on a first device and incorporating the signature into a document on a second device
SG10201802428QA (en) * 2013-09-23 2018-04-27 Gopc Pty Ltd Virtual computing systems and methods
US9805182B1 (en) * 2014-09-26 2017-10-31 EMC IP Holding Company LLC Authentication using a client device and a mobile device
US10587609B2 (en) * 2016-03-04 2020-03-10 ShoCard, Inc. Method and system for authenticated login using static or dynamic codes
US10657242B1 (en) * 2017-04-17 2020-05-19 Microstrategy Incorporated Proximity-based access
JP2020518085A (ja) * 2017-04-18 2020-06-18 ジーオーピーシー ピーティーワイ リミテッド 仮想マシン‐コンピュータにより実施されるセキュリティ方法およびシステム

Also Published As

Publication number Publication date
EP3948631A1 (en) 2022-02-09
EP3948631A4 (en) 2022-12-21
AU2020247835A1 (en) 2021-11-25
CN113892105A (zh) 2022-01-04
US20220150228A1 (en) 2022-05-12
WO2020191464A1 (en) 2020-10-01

Similar Documents

Publication Publication Date Title
US10313112B2 (en) Browser security module
US10110579B2 (en) Stateless and secure authentication
US20190334884A1 (en) Systems and methods of device based customer authentication and authorization
US8621221B1 (en) Method and system for event notification for wireless PDA devices
US9191394B2 (en) Protecting user credentials from a computing device
US9087218B1 (en) Trusted path
US20180062863A1 (en) Method and system for facilitating authentication
KR20130131682A (ko) 웹 서비스 사용자 인증 방법
US9332011B2 (en) Secure authentication system with automatic cancellation of fraudulent operations
KR20220123695A (ko) 암호화 방식으로 보안 요청 검증
US20230362018A1 (en) System and Method for Secure Internet Communications
US20240089249A1 (en) Method and system for verification of identify of a user
JP2022528366A (ja) Htmlブラウザ承認アプローチを含むコンピュータシステムおよび方法
US9053297B1 (en) Filtering communications
US11343080B1 (en) System and method for data privacy and authentication
JP7276737B2 (ja) 本人認証システム及び本人認証方法
Divya et al. An impervious QR-based visual authentication protocols to prevent black-bag cryptanalysis
US11893145B2 (en) Virtual machines—computer implemented security methods and systems
JP2007065789A (ja) 認証システム及び方法
Robertson Trusted Mobile Overlays

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230327

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20240423

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240722