JP2008524751A - 消費者インターネット認証サービス - Google Patents

消費者インターネット認証サービス Download PDF

Info

Publication number
JP2008524751A
JP2008524751A JP2007548359A JP2007548359A JP2008524751A JP 2008524751 A JP2008524751 A JP 2008524751A JP 2007548359 A JP2007548359 A JP 2007548359A JP 2007548359 A JP2007548359 A JP 2007548359A JP 2008524751 A JP2008524751 A JP 2008524751A
Authority
JP
Japan
Prior art keywords
authentication
user
site
subscription
subscription site
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007548359A
Other languages
English (en)
Inventor
クリットン,マーク,エー.
タウンセンド,ジェームズ,ジェー.
Original Assignee
アールエスエイ セキュリティー インク
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by アールエスエイ セキュリティー インク filed Critical アールエスエイ セキュリティー インク
Publication of JP2008524751A publication Critical patent/JP2008524751A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos

Abstract

ユーザが、ユーザに関する情報を認証サービスから隔離する一方で、認証サービスに対して認証できるようにする方法であり、認証コードソース、加入サイト、及び認証サービスに関連するサービスユーザ識別子(SUID)を生成することを含む。この方法は、ユーザに関する情報とSUIDの関連を作成することと、加入サイトの中で関連を隔離することを含む。また、ユーザから加入サイトに認証コード生成装置によって生成される認証コードを提供することと、認証サービスにSUID及び加入サイトを特定する情報とともに認証コードを提供することとを含む。さらに、SUID及び加入サイトを特定する情報を使用してコード生成装置を特定することと、コード生成装置に関して認証コードのための認証決定を生成することと、加入サイトに前記決定を提供することとを含む。

Description

本願は、以下の特許出願、2004年12月20日付けの米国仮特許出願、出願番号第60/637,616号の優先権を主張する。
本発明は認証システムに関する。
多くの組織が、その顧客との対話に関連する機能のために強力な認証技術に頼っている。例えば、強力な認証技術は、「ゲートキーパー」機能、つまりカスタマを有効なユーザとして認証できる場合にだけ組織のリソースに対するアクセスを与えるために使用される。多くのケースでは、このような組織は、認証インフラストラクチャをセットアップし、維持することが望ましくない。したがって、第三者機関はこのような組織に認証サービスを提供するシステムを開発してきた。従来、これらのサービスは、リモートアクセスサーバ、VPN、及び従業員ポータル等の内部リソースにアクセスするときにユーザ認証証明の外部委託された照合を提供するため、認証サービスを利用する企業顧客をターゲットにしている。
今日存在する認証サービスは、個々の加入組織に、彼らが及び彼らだけが利用できる個々の認証ソリューションを提供することを中心としている。この手法は、複数の加入組織のユーザが、各加入組織のために別々の認証装置を持っていることを必要とし、このようにしてユーザが、自分が管理し、携行し、使用する装置の数において負担を受ける状況を生じさせている。
現在の認証サービスと存在する制限
今日、組織が利用できる単に限られた数の強力な認証サービスがある。しかしながら、これらのサービスは、通常、ユーザと結び付いた個人データと、サービスに公知である加入サイトの間の直接的なリンクを含む。
このような直接的なリンクを個人データの中に入れると、ユーザのアイデンティティのセキュリティは、強化される代わりに弱められる。認証サービスプロバイダは、通常、この個人データに入れる直接的なリンクに対するニーズにより、装置が組織の間で共有されているために存在する可能性がある管理とトークンの同期問題が削減されることが必要とされると思われる。
組織に強力な認証を提供する既存のサービスは、現在、複数の加入サイト全体で単一のユーザ装置を利用しようとはしていない。このようにすることは、ユーザの経験を複雑且つ分かりにくくする可能性があり、強力な認証技術のさらに幅広い使用の奨励に勤めるサービスにとって明らかに逆効果である。
既存の認証サービスは、認証を取り巻くサービスの充分な補完を提供しない。認証の集中化は、サービスが直接的なエンドユーザの装置配分、直接的なエンドユーザのサポート、及び一時的なアクセスプロセスも提供できる場合にだけ成功する。配分は現在個々の組織に対する装置のバルク出荷に限定されており、その結果個々の組織が装置を自身で配分することを要求している。
認証装置のための従来の配分モデルは、通常、配分の前に個人に割り当てられている認証装置に基づいている。この種類の認証装置配分モデルは重大な制限を被っている。
第1に、従来の配分モデルは、管理者が、実際の配分の前に認証装置とエンドユーザの関係性を決定することを必要とする。この制限の例はクレジットカードの発行である。クレジットカードは発行プロセスの中で個々のユーザに対して割り当てられ、次にそのユーザに配分される。
さらに、認証装置をユーザに事前に割り当てるプロセスにより、消費者環境で悪化している不便をユーザに生じさせることのある配分プロセスの遅延の原因となる。さらに、装置が妨害され、すでにユーザに結び付けられている場合にセキュリティ装置を事前に割り当てると、セキュリティ違反が引き起こされことがある。
消費者が直面しているアプリケーションにおける強力な認証サービスに対する現在の需要及び従来の手法の限界を考慮すると、従来の認証配分モデルに関連する制限に苦しまない、エンドユーザに対する認証配分のための手法が強く求められる。特に、配分をその認証装置のユーザへの割り当てから分離することを可能にする、認証装置の消費者への配分のための手法が必要とされている。
従来の配分モデルで使用される管理上の負担を回避するスケラブル(scalable)でタイムリーな方法で「オンデマンド」でエンドユーザに直接的に認証装置を配分する手法に対してさらなるニーズがある。
明細書に説明される認証サービスの実施形態は、認証サービスが特定のユーザデータを保持する、あるいは確証しなくても、グローバルに妥当性のある認証証明を提供する。説明される実施形態は、複数レベルの間接的方法を活用することにより加入サイトで実行される認証から認証符号(authenticator)を「抽出する」モデルも提供する。間接的方法のレベルは、単一の認証符号が複数の加入サイト及び消費者と関連するようになるのを容易にする。交換及び一次アクセス信用証明物も、アクセスイベントの損失または一時的なアクセスイベントが発生すると加入サイトを通してグローバルに活用できる。説明される実施形態は、認証プロセスにおいて、及び認証符号の交換と配分においても、配分の負担を和らげる。
以下の項では、認証サービスについて説明される実施形態に独特のコンセプトを述べる。
装置関連
説明される実施形態は、ユーザ(つまり、加入サイトのリソースの活用を所望し、パスワードのような認証情報を提供するエンティティ)と、加入サイト(つまり、所望されるリソースを主催し、制御するエンティティ)と、認証サービスとの間の関係性を指す「間接(indirection)」という概念を紹介する。説明される実施形態では、ユーザの識別(identity)は認証サービスから隠され、加入サイトに対して隔離されている。
加入サイトが認証サービスに関してユーザの認証装置を活性化すると、マスキングが発生する。活性化プロセスは、ここではサービスユーザ識別子(SUID:Service User Identifier)として知られている擬似識別子を作成する。SUIDは加入サイト及び認証サービスによってのみ知られている。いったん認証装置が活性化されると、加入サイトはユーザの識別を記憶し、SUIDにマッピングするが、ユーザに関する個人識別情報のどれもサービスに対して漏らさない。認証サービスと認証装置(及びユーザ)間の唯一のリンクはSUIDを通してであり、加入サイトだけがユーザと関連する個人識別情報とSUIDを関連付けることができる。すべての認証動作について、認証サービスは、ユーザの個人識別情報がなくてもSUIDによって認証装置(ユーザ)を照合する。
一実施形態では、ユーザが認証サービスに関して認証装置を活性化すると、認証サービスは、SUDIを計算するために(i)加入サイト識別子、(ii)認証装置と関連付けられた独特の識別子、及び(iii)(時刻等の)動的値の暗号ハッシュ(cryptographic hash)を実行する。SUIDはここでは、認証システムの多様な構成要素に関する情報の関数(例えば、暗号ハッシュ)として説明されるが、一般的には、SUIDは、実行されている認証から認証サービスを抽出するためにある範囲の代替識別子(擬似識別子)である場合がある。例えば、認証装置のシリアル番号を使用するだけでこのような抽出には十分である。
認証交換
ユーザが自分の認証装置を失ったとき、あるいは認証装置が機能を停止したとき、ユーザは認証装置を交換しなければならない。複数の加入サイト全体で動作する認証装置の場合、交換手順は、装置が結び付けられている加入サイトのそれぞれに関して活性化すること、つまり面倒な作業を含む場合がある。エンドユーザの手間を簡略化するため、説明される実施形態の少なくとも1つが単一の加入サイトから認証装置交換要求を採取し、ユーザが登録されているすべての加入サイト全体で反映される単一のイベントとして交換を扱う。
説明される実施形態は、SUID、及び加入サイトとのその関係性を利用することにより認証装置交換を処理し、その結果ユーザは、自分が登録されている各加入サイトで自分の交換認証装置を登録する必要はない。
損失装置−一時アクセスコード
前述された認証装置交換プロセスの一部として、あるいはユーザが一時的に認証装置がない場合の別個の一時アクセスプロセスとして、1つまたは複数の実施形態は、ユーザが、自分の発行された認証装置を使用せずに認証サービスに対して認証できるようにする「一時アクセスコード」(TAC)モードを実現できる。
加入サイトがTACモードにSUIDを入力するという要求を提出すると、認証サーバは、そのトランザクションまたは装置に関連するランダムデータ及び情報のハッシュに基づいて、但しこれに限定されずに一連のTACを作成する。このTACを作成することに加えて、認証システムは、加入サイトに送り返され、認証システムの中に保持されるこのコードを用いて「作成タイムスタンプ」値も提供する。作成タイムスタンプは、異なる有効期限ポリシーを決定し、そのサイトに対して使用されるときにTACが作成された時間の長さを評価できるようにするために使用される。
認証システムは、SUID、及びSUIDが加入サイトと有する関連性を利用することによってTACの認証を処理し、それによってユーザが、自分達が加入している各サイトでTACを要求する必要性をなくす。
損失装置―回復
いったんSUIDにTACが割り当てられると、TACは、(前述された有効期間値によって定められている)期限切れに達するまで、ユーザに対して認証するために使用される。
TACは、SUIDが発行された認証装置を使用できないときに、認証の方法として発行される。これは、ユーザが、認証装置を失ったため、あるいは単にユーザが移動し、装置を持っていくのを忘れたことによる。
後者が発生した場合には、一実施形態では、加入サイトの任意のサイトでのTACの代わりに、ただ認証装置から有効な認証情報(つまり、有効パスコード)を入力するだけで、SUIDに関連付けられている元の認証装置を再度使用可能にすることができる。
認証サービスは有効な認証情報を認識し、SUIDに関して認証装置を再度使用可能にし、以前設定されていたTACを削除し、それによってその先の再利用と情報漏洩を妨げる。
認証サービスは、SUID、及びそれが登録された加入サイトとの関連性を利用することにより元の認証装置の回復を処理し、その結果ユーザは、それらが加入している各サイトでその元の認証装置を再使用可能にする必要はない。
認証符号の配分
説明される実施形態では、認証サービスが、管理上の介入を必要としないオンデマンド配分モデルを提供する。ユーザが加入サイトに登録要求を提出すると、加入サイトは認証サービスに要求を中継し、認証サービスは、加入サイトによって提供される物理アドレスに直接的に認証装置を配分する。
一実施形態では、認証サービスは、認証符号が提供されている物理アドレスに配分される前に、シリアル番号または装置の特有の識別等の認証装置の物理的な特徴を記録しない。認証サービスは、加入サイトまたは認証サービスのどちらかによる管理上の介入を行わずに要求側ユーザに認証装置を配分する。他の実施形態では、認証サービスは二重シリアル番号を回避する等の管理動作を容易にするために、認証装置に関連する何らかの情報を維持する。
エンドユーザが認証装置を受け取るとき、エンドユーザは、前述したように認証サービスにおけるSUIDに受取された認証装置を結び付ける活性化プロセスを実行するために登録要求がなされた加入サイトにアクセスする。
一態様では、本発明は、ユーザと関連する情報を認証システムにおいて認証サービスプロバイダから隔離する方法である。本方法は、認証コードソースを特定する情報とともにユーザと関連する情報を提供することと、加入サイトを特定する情報とともに認証コードソースを特定する情報を、認証サービスプロバイダに提供することとを含む。方法は、サービスユーザ識別子を生成することと、サービスユーザ識別子と、ユーザに関する情報との関連を作成することと、加入サイトの中で前記関連を隔離することを含む。
別の態様では、認証システムにおいて認証サービスプロバイダからユーザに関する情報を隔離する方法が、ユーザから加入サイトに、認証コードソースを特定する情報とともにユーザと関連する情報を提供することを含む。この方法は、加入サイトから認証サービスプロバイダに、加入サイトを特定する情報とともに認証コードソースを特定する情報を提供することをさらに含む。認証サービスプロバイダは、少なくとも認証コードソースを特定する情報と、加入サイトを特定する情報との所定の関数であるサービスユーザ識別子を生成する。認証サービスプロバイダは加入サイトにサービスユーザ識別子を提供する。この方法は、サービスユーザ識別子と、ユーザに関する情報との関連を作成することと、加入サイト内で関連を隔離することをさらに含む。
前記方法の一実施形態は、認証コードソースを識別する情報と、加入サイトを識別する情報とともに認証サービスプロバイダでサービスユーザ識別子のレコードを記憶することをさらに含む。
一実施形態は、ユーザに認証コードソースを配信することを含む。
別の実施形態では、ユーザは認証コードソースを特定する情報とともに、ユーザに関する情報を、少なくとも第2の加入サイトに提供する。第2の加入サイトは認証サービスプロバイダに、第2の加入サイトを特定する情報とともに、認証コードソースを特定する情報を提供する。認証サービスプロバイダは、少なくとも認証コードソースを特定する情報と、第2の加入サイトを特定する情報の所定の関数である第2のサービスユーザ識別子を生成する。認証サービスプロバイダは、加入サイトに第2のサービスユーザ識別子を提供する。この方法は、第2のサービスユーザ識別子と、ユーザに関する情報との関連を作成することと、第2の加入サイトの中で関連を隔離することとをさらに含む。
別の実施形態では、第2のユーザは加入サイトに、認証コードソースを特定する情報とともに第2のユーザに関する情報を提供する。加入サイトは認証サービスプロバイダに、加入サイトを特定する情報とともに認証コードを特定する情報を提供する。認証サービスプロバイダは、少なくとも認証コードソースを特定する情報と、加入サイトを特定する情報の所定の関数である第2のサービスユーザ識別子を生成する。認証サービスプロバイダは、加入サイトに第2のサービスユーザ識別子を提供する。この方法は、第2のサービスユーザ識別子と、第2のユーザに関する情報との関連を作成することと、加入サイトの中で前記関連を隔離することとをさらに含む。
別の実施形態では、加入サイトは認証サービスプロバイダに、認証コードソースを特定する情報及び加入サイトを特定する情報に加えて、ユーザと加入サイトの間の第1の関係に関する情報を提供する。この方法は、サービスユーザ識別子の生成においてユーザと加入サイトの間の第1の関連に関する情報をさらに含む。
一実施形態では、ユーザは加入サイトに、認証コードソースを特定する情報とともに、ユーザに関する情報を提供する。加入サイトは認証サービスプロバイダに、加入サイトを特定する情報及びユーザと加入サイトの間の第2の関連に関する情報とともに、認証コードソースを特定する情報を提供する。認証サービスプロバイダは、少なくとも認証コードソースを特定する情報と、加入サイトを特定する情報との所定の関数であるサービスユーザ識別子を生成する。認証サービスプロバイダは、加入サイトにサービスユーザ識別子を提供する。方法は、サービスユーザ識別子と、ユーザと関連する情報との関連を作成することと、加入サイトの中で前記関連を隔離することとをさらに含む。
一実施形態は、代替サービスユーザ識別子を、最初に生成されたサービスユーザ識別子の代わりに使用することをさらに含む。代替サービスユーザ識別子は、加入サイトを特定する情報とともに別の認証コードソースを特定する情報を使用して生成される。一実施形態は、ユーザに別の認証コードソースを配信することを含む。別の実施形態は、加入サイトに代替サービスユーザ識別子を提供することを含む。
一実施形態は、認証コードソースに対応する一時認証コードを提供することを含む。認証サービスプロバイダは一時認証コードを生成し、一時認証コードを認証サービスプロバイダに記憶されている1つまたは複数のサービスユーザ識別子と関連付ける。サービスユーザ識別子に関して試みられる以後の認証は、認証コードソースからの認証コードではなく、一時認証コードを使用して評価される。一実施形態では、仮パスワードの有効期間に限定される。また、一実施形態では、仮パスワードの有効期間は、各サービスユーザ識別子に対して特殊であり、この場合有効期間の1つまたは複数が異なる。
一実施形態は、ユーザに交換認証コードソースを提供することと、交換認証コードソースを特定する情報と関連付けられる、認証サービスプロバイダでのサービスユーザ識別子を更新することとをさらに含む。
別の態様は、ユーザが、ユーザに関する情報を認証サービスプロバイダから隔離する一方で、認証サービスプロバイダに認証できるようにする方法である。この方法は、認証コードソース、加入サイト、及び認証サービスプロバイダと関連付けられたサービスユーザ識別子を生成することを含む。この方法は、ユーザに関する情報とのサービスユーザ識別子との関連を作成することと、加入サイトの中でこの関連を隔離することとをさらに含む。また、ユーザから加入サイトに、認証コードソースによって生成される認証コードを提供することと、認証サービスプロバイダにサービスユーザ識別子と、加入サイトを特定する情報とともに認証コードを提供することとを含む。さらに、サービスユーザ識別子及び加入サイトを特定する情報を使用して認証コードソースを特定することと、認証コードソースと関連して認証コードについて認証決定を生成することを含む。この方法はまた、加入サイトに認証決定を提供することを含む。
一実施形態は、認証決定が有効な認証を示す場合に、ユーザが加入サイトにログオンできるようにすることを含む。別の実施形態は、認証決定が有効な認証を示す場合に、ユーザが加入サイト上で関数を活用できるようにすることを含む。
別の実施形態はユーザが、加入サイトにユーザ有効性に関連する追加情報を提供することと、認証決定を生成するための追加情報を使用することを含む。一実施形態では、ユーザ有効性に関連する追加情報は、(i)個人識別番号、(ii)パスワード、及び(iii)ユーザに関する生体情報の少なくとも1つを含む。
一実施形態は、認証決定が無効認証を示す場合に、加入サイトからユーザに、認証コードソースによって生成される認証コードの再提出を要求することを含む。さらに別の実施形態は、加入サイトが認証サービスプロバイダに、ユーザと加入サイトの関連に関する追加情報を提供することを含む。また別の実施形態では、認証決定に関する情報を、認証サービスプロバイダで記憶することと、加入サイトからの要求に応えて加入サイトに記憶されている情報を提供することを含む。一実施形態では、加入サイトは、ユーザによって実行されるトランザクションを検証するために認証サービスプロバイダによって提供される記憶されている情報を使用する。
別の実施形態では、サービスユーザ識別子及び認証決定に関する情報は、認証決定のために使用される認証コードを含む。
別の態様は、認証コードソース、加入サイト、及び認証サービスプロバイダに関連するサービスユーザ識別子を生成することを含み、加入サイトでのユーザの活動を調整する方法である。さらにこの方法は、サービスユーザ識別子と、ユーザに関する情報との関連を作成することと、加入サイトの中でこの関連を隔離することを含む。また、加入サイトが、活動を実行するための許可に対する要求をユーザから受け取ることを含む。前記要求は、認証コードソースによって生成される認証コードを含む。そしてまた、認証サービスプロバイダに、サービスユーザ識別子と、加入サイトを特定する情報とともに認証コードを提供することと、サービスユーザ識別子と、加入サイトを特定する情報を使用して認証コードソースを特定することと、認証コードソースに関して認証コードについて認証決定を生成することを含む。この方法はさらに、加入サイトに認証決定を提供することと、認証決定が認証成功を示す場合に、ユーザが活動を実行する許可を付与することと、認証決定が認証不成功を示す場合に、ユーザが活動を実行する許可を拒否することを含む。
別の態様は、認証システムにおいて認証サービスプロバイダからユーザに関する情報を隔離するためのシステムを含む。システムは、認証コードソースを有するユーザを含む。ユーザは加入サイトに、認証コードソースを特定する情報とともにユーザに関する情報を提供する。システムは、加入サイトを特定する情報とともに、認証コードソースを特定する情報を、加入サイトから受け取るための認証サービスプロバイダを含む。認証サービスプロバイダは(i)少なくとも認証コードソースを特定する情報と、加入サイトを特定する情報との所定の関数であるサービスユーザ識別子を生成し、(ii)加入サイトにサービスユーザ識別子を提供し、(iii)サービスユーザ識別子と、ユーザに関する情報の関連を作成し、加入サイトの中で関連を隔離する。
別の態様は、認証サービスからユーザに関する情報を隔離する一方で、ユーザが認証サービスプロバイダに認証できるようにするためのシステムを含む。システムは、認証コードソースを有するユーザと、ユーザにサービスを提供するための加入サイトと、認証コードソース、加入サイト、及び認証サービスと関連するサービスユーザ識別子を生成するための認証サービスプロバイダとを含む。また、ユーザ、加入サイト、及び認証サービスプロバイダが通信するネットワークを含む。加入サイトはサービスユーザ識別子と、ユーザに関する情報との関連を作成し、加入サイトの中で関連を隔離する。ユーザは加入サイトに、認証コードソースによって生成される認証コードを提供する。加入サイトは認証サービスプロバイダに、サービスユーザ識別子と、加入サイトを特定する情報とともに認証コードを提供する。認証サービスプロバイダは(i)サービスユーザ識別子と、加入サイトを特定する情報とを使用して認証コードソースを特定し、(ii)認証コードソースに関して認証コードのための認証決定を生成し、(iii)加入サイトに認証決定を提供する。
別の態様は、加入サイト上でのユーザの活動を調整するシステムを含む。システムは認証コードソースを有するユーザと、ユーザにサービスを提供するための加入サイトと、認証コードソース、加入サイト、及び認証サービスに関連するサービスユーザ識別子を生成するための認証サービスプロバイダと、ユーザ、加入サイト、及び認証サービスプロバイダが通信するネットワークとを含む。加入サイトはサービスユーザ識別子の、ユーザに関する情報との関連を作成し、加入サイトの中で関連を隔離する。ユーザは加入サイトにサービス活動を実行するための許可に対する要求を提出し、要求は、認証コードソースによって生成される認証コードを含む。加入サイトは認証サービスプロバイダに、サービスユーザ識別子及び加入サイトを特定する情報とともに認証コードを提供する。 認証サービスプロバイダは(i)サービスユーザ識別子及び加入サイトを特定する情報を使用して認証コードソースを特定し、(ii)認証コードソースに関して認証コードのための認証決定を生成し、(iii)加入サイトに認証決定を提供する。認証決定が認証の成功を示す場合には、加入サイトはユーザがサービス活動を実行するための許可を付与し、認証決定が認証の不成功を示す場合には、ユーザがサービス活動を実行するための許可を拒否する。
本発明自体だけではなく本発明の前記の目的及び他の目的、その多様な特長は添付図面とともに読むことで、以下の説明からさらに完全に理解される。
以下の項は、消費者認証サービスを提供するためのシステムの実施形態の詳細な説明を提供する。この詳細な説明に続く項では、説明される実施形態のいくつかの変形例を説明する。
図1は、本発明による消費者認証サービスを提供するためのシステム100の実施形態を描いている。システム100は認証サービスプロバイダ102と、加入サイト104と、認証コードソース(トークン)110を備えたユーザ106とを含み、そのすべてが認証ネットワーク108を通してシステム100の他の構成要素と通信する。
認証サービスプロバイダ102は、システム100の他の構成要素に関連する多様な管理機能を提供する構成要素だけではなく、ネットワーク108上で通信し、ネットワーク108を通してそれに提供される認証コード(例えば、一時パスコード)を確証するために必要な構成要素も含む。
加入サイト104は概して個人、組織または消費者にサービスを提供する企業である。加入サイト104の一例は、カスタマがオンライン銀行業務にアクセスできるようにする銀行等の金融機関である。
ユーザ106は、加入サイト104が提供するサービスを活用する組織または企業である場合があるが、ユーザ106は、典型的には、加入サイト104の個々のカスタマである。ユーザ106は、認証コードを生成する、ここではトークンとも呼ばれている関連する認証装置110を有する。
いくつかの実施形態では、トークン110は、認証コードを生成し、出力ポートを通して認証コードを提供する電子装置である。出力ポートは、そこから認証コードが読み取られ、ユーザによって手動で加入サイト104に提出される埋め込みディスプレイを含んでもよい。あるいは、出力ポートはインタフェースポートを含んでもよい。インタフェースポートはUSBまたはFireWire等の直接結合ハードウェアインタフェースであってもよく、あるいはBlueTooth、WiFiまたは赤外光トランシーバ等の無線インタフェースであってもよい。また、認証コードを伝搬するための技術で公知の他のインタフェース技法を使用してもよい。
他の実施形態では、トークン110は、ユーザ106にとってはローカルである(パーソナルコンピュータまたはパーソナルデータアシスタント装置等の)コンピュータデバイス上で実行しているソフトウェア機能である。いくつかの実施形態では、トークン110は前記ハードウェア構成要素とソフトウェア構成要素のなんらかの組み合わせである。
他の実施形態では、トークン110は「スクラッチカード」、「ビンゴカード」、コードリストまたはPDAまたは「iPod」、あるいは類似した装置上に電気的に記憶されている認証コード等の認証コードの印刷された、または電気的に記憶されているソースである。
システム100の多様な構成要素を接続できる任意の広帯域ネットワークが使用されてもよく、認証ネットワーク108は、通常インターネットを含む。
トークン獲得
ユーザ106は、多くのさまざまな配分チェーンの内の任意の1つを通してトークン110を獲得する。通常、ユーザは図1に示されているように加入サイト104にトークン要求120を提出することによりトークンを獲得する。加入サイトは、ユーザ106の代りに認証サービスプロバイダ102にユーザ106の物理アドレスを含むトークン要求122を送信することにより応える。認証サービスプロバイダ102は、次に、配信サービスを介してユーザ106の物理アドレスにトークン110をディスパッチ124する。配信サービスは、米国郵政公社、UPS、フェデラルエクスプレス(Federal Express)、民間の国際宅配便、または認証サービスプロバイダ102により管理されている配達サービス等であるが、これらに限定されない認証サービスプロバイダ102が使用できる任意のサービスであってよい。認証サービスプロバイダ102は、トークン110がディスパッチされたことを確認する受取応答メッセージ126を、このような受取応答が必要ではないとしても加入サイトに送信してもよい。
一実施形態では、現在インターネットサービスプロバイダが、サービスアカウントを確立するために必要な情報及びソフトウェアを含む広告CDをどのように配布しているのかに類似して、トークンはユーザ106に未承諾で配布される。別の実施形態では、ユーザ106は、電器店またはモールキオスクで携帯電話を獲得することと同様に、小売販売店を通してトークン110を獲得する。いくつかの実施形態では、印刷された認証コードが雑誌または他の大量市場チャネルを介して配布できる、あるいはATM等のユーザアクセスポータルを介して、または加入サイトからの伝達(例えば銀行取引明細書)を介して配布できる。
トークン活性化手順
一実施形態では、いったんユーザ106が前述されたようにトークン110を獲得すると、ユーザは、加入サイト104に関して、認証サービスプロバイダ102と対照してトークン110を活性化する。活性化プロセスは図2に描かれている。ユーザ106は、トークンに関連する識別情報(例えばトークンシリアル番号)とともに、加入サイト104に活性化要求202を送信することによって活性化プロセスを開始する。サービスプロバイダが過去の登録トランザクションからこのような情報をすでに記憶している可能性があるが、加入サイトは、ユーザ106が活性化のための何らかのユーザ識別情報を提出することを要求してもよい。
一実施形態では、ユーザ106は、例えば、トークン110が受け取られたことを示すためにアプリケーションサービスプロバイダ102でトークンを活性化する。ユーザ/トークン、加入サイト104及び認証サービスプロバイダ102の以後の結合は、加入サイトで発生する。
ユーザからの活性化要求202に応えて、加入サイト104は次に活性化要求204を認証サービスプロバイダ102に送信する。活性化要求204は、加入サイト104を特定する情報だけではなく、前記トークン識別情報も含む。
認証サービスプロバイダ102は、(i)トークン識別情報、及び(ii)加入サイト識別情報の関数としてサービスユーザ識別子(SUID)を生成する。いくつかの実施形態では、SUIDは(時刻またはカウンタ値のような)動的な値または他のデータの関数でもある。認証サービスプロバイダ102は、生成されたSUIDを要求側加入サイト104にリンクするレコードを作成、記憶し、加入サイト104にSUIDを含む応答メッセージ206を送信する。
一実施形態では、加入サイト104はSUIDをユーザ識別情報にリンクするレコードを作成する。このようにして、加入サイト104、ユーザ106、トークン110、及び認証サービスプロバイダはSUIDを通して互いに結合される。認証サービスプロバイダ102は以後認証動作のためにSUIDによってトークン110を参照する。SUIDは、ユーザ識別情報を開示することなく、トークン110及び加入サイト104を認証サービスプロバイダに特定する。
1つまたは複数の実施形態は、いったんある特定のタイプの別の加入サイトがすでに結合されていると、トークンに加入サイトを結合する能力を制限する機能が組み込まれていてもよい。例えば、銀行または株式仲買業務等の加入サイトは、いったん金融機関がトークンに結合されると、トークンに対する(ギャンブルサイトまたはポルノサイト等の)非隣接バーティカル加入サイトの結合を排除することを希望することがある。この機能は反対方向でも作用できるであろう。つまり、金融機関は、いったんトークンがあまり評判のよくないサイトに結合されると、金融機関を結合することを排除することを希望することがある。
認証手順
動作中、認証手順は、ユーザ106が加入サイト104によって制御されているリソースにアクセスを希望するとき、あるいはユーザが加入サイト104で機能を実行する(または機能を自分のために実行してもらう)ことを希望するときに実施される。例は、金融機関のオンラインバンキングシステムまたは内部企業ネットワークにログオンすること、株式の購入または取引を実行すること、ある口座から別の口座に資金を送金すること、健康サービスプロバイダのオンラインアクセスサービスを介して予約すること、あるいはオンライン処方サービスプロバイダで処方箋を更新することを含むが、これらに限定されるものではない。各ケースでは、加入サイト104がユーザを認証すること、ユーザが所望されるリソースにアクセスする、及び/または所望される機能の実行が許可されていることを確認することが重要である。
一実施形態では、ここに説明される認証手順は「ネスト化された」方法で使用されてよい。例えば、加入サイト104は、カスタマが加入サイト104にログオンするのを許すかどうかを判断するために第1の認証手順を使用してもよく、ログオンしたカスタマがある特定の機能を実行することを許すべきかどうかを判断するために以後の認証手順を使用してもよい。この第2の認証手順の場合、カスタマがすでにログオンするのを許されていたという事実がある特定のレベルの信頼を示すため、加入サイトは、さらに低い認証基準が利用されるべきであると判断することがある。この低い認証基準の一例は、通常認証コードの「再生」が禁止されているが、このような「再生」を許可することである。
ユーザ106は、図3に示されているように、加入サイト104に要求302を送信することによって認証手順を開始する。要求302は(ユーザ名等の)ユーザ識別情報、及びトークン110によって生成される、あるいはトークン110と関連する認証コードを含む。ユーザ106が個人識別番号(PIN)、生体情報、または他のこのような情報等の、認証のための追加情報を提供するように要求されることもある。しかしながら、簡単にするために、前記説明した実施形態は認証コードだけを中継する。
いったんそれが要求302を受け取ると、加入サイト104はその記憶されているレコードを、それらが、ユーザ106とトークン110と関連付けられているSUIDを含むかどうかを判断するために評価する。含む場合には、加入サイト104は認証サービスプロバイダ102に、SUID、及びトークン110によって生成される認証コードを含む認証要求304を提出する。いくつかの実施形態では、認証要求は認証の性質を示す追加データも含んでもよい。例えば、前述されたように、以後の認証手順はさらに低い認証基準の適用でもよい。あるいは、認証手順はより詳しく後述するように、「時間刻印(タイムスタンプ(time stamping))」動作と関連付けられてもよい。
認証サービスプロバイダ102は、その記憶されているレコードから対応するトークン110を決定するためにSUIDを使用する。認証サービスプロバイダ102は次に、そのトークン110のための有効な/有効ではない決定を計算するために認証コードを評価し、有効な/有効ではない決定306を加入サイト104に送信する。
認証サービスプロバイダ102から有効な/有効ではない決定306を受け取ると、加入サイト104は、認証を要求する最初の目的に応じて、適合していると思われる決定を使用する。例えば、ユーザ106が加入サイト104にログオンすることを要求しており、認証が失敗に終わると、一実施形態の加入サイト104はログオン拒絶メッセージでユーザに応答する。代りに、加入サイトは最初の要求302の再提出を要求するメッセージで応えてもよい。他方、ユーザ106が機能を実行することを要求していた場合、加入サイト104は機能拒絶メッセージまたは元の要求302の再提出を指示するメッセージで応える。
いくつかの実施形態では、加入サイト104は、認証サービスプロバイダ102に依存するよりむしろ、ユーザ情報に基づいてSUIDを生成し、その結果前述された加入サイト104での記録検索は必要ないと思われる。あるいは加入サイト104は、認証サービスプロバイダ102または消費者認証サービスシステムの何らかの他の構成要素からの支援を受けてSUIDを生成してもよい。
トランザクションを追跡調査するための認証サービスの使用
前記説明は、認証の結果がある特定のアクションを許可する、または許可しないことである認証プロセスの「ゲートキーパー」の使用に焦点を当てている。認証プロセスの二次使用は、動作またはトランザクションを何らかの方法で区別することである。例えば、カスタマが株式売買を許可するためにオンラインサービスを提供する金融機関を考える。カスタマは、株式売買を実行するためにこのオンラインサービスを使用する。カスタマが株式取引を許可したことを証明するために、あるいはカスタマのトランザクションを後日監査するために、各トランザクションに、それが発生した時刻で時間刻印させ、及び/またはカスタマにとって特有の情報で「署名させる」ことが有用である。
このようにして、一実施形態では、認証サービスプロバイダ102は、それが生成する認証有効/無効決定のレコードを維持する。このレコードでの各記入項目は、トランザクションと関連するSUID及びユーザ106によって提供される認証コードとともに、いつ認証トランザクションが発生したのか(日付と時刻)を示すタイムスタンプを含む。ユーザはその特定のSUIDと関連する認証コードを提供したと仮定されるため、記入項目は、ユーザ106がトランザクションを許可したという保証を提供する。加入サイトがSUIDを生成し、維持する前記実施形態では、加入サイトは認証有効/無効決定のレコードを維持する。
いくつかの実施形態は何らかの方法で認証トランザクションのレコードに索引を付ける―例えば、認証サービスプロバイダ102は、加入サイト104に渡されるトランザクション番号で各トランザクションに索引を付けてもよい。このケースでは、加入サイトはトランザクション番号を参照する認証サービスに要求を送信することによって認証サービスプロバイダ102に記憶されている監査情報を取り出す。他の実施形態では、認証サービスプロバイダは、SUID及びユーザ106によって提供される認証コードだけではなく、トランザクションに、それらが発生した時間と日付で単に索引を付ける。このケースでは、加入サイト104は、SUIDとともにトランザクションの時間及び日付を参照する認証サービスに監視要求を送信することによって監査情報を取り出す。
いくつかのケースでは、認証サービス(つまりゲートキーピング以外)のこの二次使用は、前記の、ユーザ106が加入サイトにすでにログオンしており、認証手順がネスト化された方法で使用されていると仮定している。したがって、加入サイト104は、さらに低い認証が許容できると判断してよい。
SUIDの使用の利点
前記SUIDは、ユーザ/トークン、加入サイト、及び認証サービスプロバイダを相互に結合する。この事実は、多くの有用な方法で使用される。例えば、SUID概念は、図4に描かれているように、2つまたは3つ以上の加入サイトと対照して単一のトークンを活性化するために使用される。各活性化は前記のように進行し、それによって加入サイトごとに特有のSUIDを生成する。
ユーザ106は、トークンに関連する識別情報とともに第1の加入サイト104aに活性化要求402を送信する。ユーザからの活性化要求402に応えて、加入サイト104aは、次に認証サービスプロバイダ102に活性化要求404を送信する。認証サービスプロバイダ102は、一実施形態では、第1のサービスユーザ識別子(SUIDa)を(i)トークン識別情報、(ii)第1の加入サイト104aに関連する識別情報、或いは動的値または他のデータとして生成する。認証サービスプロバイダ102は、第1の生成されたSUIDaを要求側加入サイト104aとリンクするレコードを作成、記憶し、第1のSUIDaを含む応答メッセージ406を加入サイト104aに送信する。
ユーザ106は、トークンと関連する識別情報とともに第2の加入サイト104bに第2の活性化要求412も送信する。ユーザからの活性化要求412に応えて、第2の加入サイト104bは、次に認証サービスプロバイダ102に活性化要求414を送信する。認証サービスプロバイダ102は(i)トークン識別情報、(ii)第2の加入サイト104bに関連する識別情報、あるいは動的値及び/または他のデータの関数として第2のサービスユーザ識別子(SUIDb)を生成する。認証サービスプロバイダ102は、第2の生成されたSUIDbを要求側加入サイト104bにリンクするレコードを作成し、記憶し、第2のSUIDbを含む応答メッセージ406を第2の加入サイト104bに送信する。
この実施形態は、このようにして2つのSUID、つまりSUIDaとSUIDbを作成し、それぞれはユーザ106及び認証サービスプロバイダ102を別の加入サイト、つまり104aまたは104bのどちらかに結合する。認証サービスプロバイダ102は記憶されているレコード、及びさまざまな加入サイトから同トークン110へのリンク要求を区別するためにこれらの別々のSUIDを使用する。
SUID概念の別の使用は、二人の異なるユーザが、単一の加入サイトに対して認証するために同じトークンを使用することを許すということである。例えば、夫と妻(または企業内のパートナー)がオンライン銀行業務を介して個々の口座にアクセスするために共通のトークンを使用することを希望する場合がある。共通のトークン活性化は図5に示されている通りに進行する。
第1のユーザ106a(User_a)は、トークンに関連する識別情報とともに、加入サイト104に活性化要求502を送信する。第1のユーザからの活性化要求502に応えて、加入サイト104は活性化要求504を認証サービスプロバイダ102に送信する。認証サービスプロバイダ102は、第1のサービスユーザ識別子(SUIDa)を(i)トークン識別情報、(ii)第1の加入サイト104aに関連する識別情報、あるいは動的値及び/または他のデータの関数として生成する。認証サービスプロバイダ102は、第1の生成されたSUIDaを要求側加入サイト104にリンクするレコードを作成、記憶し、第1のSUIDaを含む応答メッセージ506を加入サイト104に送信する。
第2のユーザ106b(User_b)も、トークンに関連する識別情報とともに加入サイト104に活性化要求412を送信する。ユーザからの活性化要求512に応えて、加入サイト104は、次に認証サービスプロバイダ102に活性化要求514を送信する。認証サービスプロバイダ102は、第2のサービスユーザ識別子(SUIDb)を(i)トークン識別情報、(ii)加入サイト104に関連する識別情報、あるいは動的値及び/または他のデータの関数として生成する。認証サービスプロバイダ102は、第2の生成されたSUIDbを要求側加入サイト104にリンクするレコードを作成、記憶し、第2のSUIDを含む応答メッセージ406を加入サイト104に送信する。
この実施形態は、このようにして2つのSUID、SUIDaとSUIDbを作成し、それぞれは認証サービスプロバイダ102と加入サイト104を別のユーザ、つまり106aまたは106bのどちらかに結合する。認証サービスプロバイダ102は、認証動作のためにユーザを区別し、彼らを同トークン110とリンクさせるためにこれらの異なるSUIDを使用する。
他の実施形態は、ユーザ/トークン、加入サイト、及び認証サービスプロバイダの多様な順列を結合するために前記基本的な技術を使用してもよく、この場合各結合が特有のSUIDを作成する。例えば、3人または複数のユーザは、加入サイト及び認証サービスプロバイダに単一のトークンを通してそれぞれ結合できる。あるいは複数のユーザは、単一のトークンを通して、2つまたは3つ以上の加入サイト、及び認証サービスプロバイダに結合できる。さらに、これらのシナリオが2つまたは3つ以上の認証サービスプロバイダを含むことができる。
いくつかのケースでは、ユーザは単一加入サイトで複数の口座を有している。例えば、ユーザが、個人的な金融トランザクションのために第1の口座を銀行に有し、ビジネスベンチャに関連する第2の口座も有すると仮定する。別の例としては、銀行で企業の購買口座を管理し、同じ銀行に個人の従業員口座を有する企業のバイヤーである。口座のそれぞれに別個のトークンを使用するよりむしろ、ユーザが両方の口座に単一のトークンを使用できることがより便利であろう。前記概念を使用して、単一のトークンは加入サイトで第1の口座及び認証サービスプロバイダに結合することができ、それによって第1のSUIDを作成する。同じトークンは、加入サイトで第2の口座及び認証サービスプロバイダに結合することもでき、第2のSUIDを作成する。
この実施形態のためのトークン活性化プロセスの間に、加入サイトはトークン識別情報及び加入サイトを特定する情報とともに認証サービスプロバイダに活性化要求を送信する。加入サイトを特定する情報は、ユーザ及び/または加入サイトのなんらかの態様をさらに識別する(特定の口座番号等の)追加のフィールドを含み、その結果結果として生じるSUIDはトークン、加入サイト及び認証サービスプロバイダだけではなく、加入サイトの特定の態様、つまり加入サイトに常駐するユーザアカウントも結合する。
SUIDの非活性化
前記実施形態は、特有のSUIDを作成することによって、1つまたは複数の加入サイトの中の複数のユーザ、複数の加入サイト、または複数の機能のどれかに単一のトークンを結合するための技術について説明した。しかしながら、いくつかのケースでは、これらのエンティティの1つまたは複数とトークンとの関連を削除することが望ましい場合がある。例えば、ユーザが2つの異なる銀行に関して自分のトークンを活性化したが、その後銀行の内の1つとの業務をやめることを希望すると仮定する。図6はSUIDを活性化するための手順を描いている。
図6では、ユーザ106は第1の加入サイト104aと関連するSUIDを非活性化する。ユーザは、トークン110から認証コードとともに、第1の加入サイト104aに非活性化要求602を送信することによって開始する。第1の加入サイト104aは、(例えば、ユーザがトークンを持っていないと仮定して)ユーザ106がログオンするのを許すために前記のようにトークンを認証する。いったんユーザ106がログオンしたら、第1の加入サイト104aは認証サービスプロバイダ102に、関連SUID及び加入サイト104aを識別する情報とともに非活性化要求604を送信する。認証サービスプロバイダ102はそのレコードからこのSUIDに対応する記入項目を削除し、SUIDが削除された旨の受取応答606を加入サイト104aに送信する。加入サイト104aは同様にこのSUIDに対応する記入項目をそのレコードから削除する。
いったんSUIDが非活性化されると、ユーザ106はこの特定のサイト104aに関して認証するためにもはやトークン110を使用することはできない。しかしながら、このトークン110と関連する他のSUIDは依然として有効であり、認証のために使用される。したがって、図6に示されている例としては、ユーザ106は、トークン110を使用してそのサイトと関連するSUIDbを使用する第2の加入サイト104bに対して依然として認証できる。
仮パスワードの発行
いくつかの状況においては、ユーザが仮パスワードを必要とすることがある。例えば、ユーザが自分のトークンを失った、または損傷した場合、ユーザは自分のトークンが交換されるまで仮パスワードを必要とする。あるいは、ユーザが自分のトークンを自宅に置き忘れた場合、ユーザは自分のトークンを取り戻すまで仮パスワード必要とする。
図7に示されている一実施形態では、ユーザ106は、加入者サイト、この例では加入サイト104aにログオン要求702を送信することによって仮パスワードを要求する。ユーザはトークンに基づいた認証コードを提供できないため、仮パスワードを要求するために、加入サイトは(PIN及び/またはパスワード等の)より低い認証基準、あるいは(例えば、あなたの母親の旧姓は何か等、範囲外の生活の質問等の)代替認証基準を必要とする特定のログオン手順を提供する。いったん加入サイト104aにログオンすると、ユーザ106は仮パスワードを要求する。加入サイト104aは認証サービスプロバイダ102に仮パスワード要求704を送信する。
認証サービスプロバイダ102は、ユーザ106向けの仮パスワードを生成することにより応答する。認証サービスプロバイダは、次に、ユーザの一時的に使用できないトークンと関連するその記憶機構内のSUIDのいくつかまたはすべての位置を特定し、仮パスワードと関連付けるためにそれらのSUIDを更新する。
この実施形態の利点は、SUID概念によって提供される間接的行動のために、ユーザが認証ネットワークの任意の加入サイトから仮パスワードを要求することができ、仮パスワードが使用できないトークンに(SUIDを通して)関連するすべての加入サイトに反映されるという点である。いくつかの実施形態では、加入サイトは、仮パスワードが使用中であることを通知され、その結果各加入サイトは仮パスワードの使用に固有のセキュリティの削減されたレベルを考慮するために動作を制限することがある。
いくつかの実施形態は、加入サイトごとに仮パスワードに対して方針決定を適用する。例えば、発行された仮パスワードは、さまざまな加入サイトに対して異なる有効期間(期限切れの時間)を有することがある。これにより加入サイトは、どのくらい長く仮パスワードが有効でなければならないのかに関して独自の基準を設定できる。
さらに、実施形態としては、発信サイトが、他の特定のサイトより大きいか、または等しいログオンセキュリティを試行している場合にだけ他の特定の加入サイト全体で仮パスワードの送信を可能にするという処理を組み込んでいることがある。例えば、加入サイト104aがログオンするためにパスワード、PIN及び認証コードを必要とするが、加入サイト104bがログオンするために有効なe−メールアドレスだけを必要とする場合、処理規則は、ユーザが加入サイト104bで仮パスワードを生成するのを許可するが、仮パスワードが加入サイト104aで使用されるのを許可しないことがある。
トークンの交換
ユーザが自分のトークンを失った、あるいは図らずもトークンに損傷を与えたとき等特定の状況では、ユーザは交換トークンを獲得しなければならない。前記SUIDによって提供される間接的行動のために、交換タスクは図7に描かれているように相対的に簡単である。
本実施形態では、ユーザ106は、加入サイト、この例では加入サイト104aにログイン要求702を送信することによってトークン交換プロセスを開始する。ユーザはトークンに基づいた認証コードを提供できないので、トークンを交換するために、加入サイトは(PIN、生活の質問及び/またはパスワード等の)より低い認証基準あるいは代替の認証を必要とする特定のログオン手順を提供する。加入サイト104aにいったんログオンしたら、ユーザ106はトークン交換を要求する。加入サイト104aは認証サービスプロバイダ102にトークン交換要求704を送信する。
認証サービスプロバイダ102は、次に、前記配分技術のどれかを使用してユーザ106に新しいトークンを配分する(注―トークン更新がトークン交換を行うケースでユーザがすでに新しいトークンを有している可能性がある)。ユーザはいったん交換装置を受け取ると、彼らは次に、加入サイトにログオンし、その既存のユーザレコードと対比して活性化を要求することによって、その装置の活性化を要求する。認証サービスプロバイダは、次に、ユーザの失われたトークンに関連するその記憶機構の中のSUIDのいくつかまたはすべての位置を特定し、新しいトークンと関連付けられるそれらのSUIDを更新する。
ユーザに新しいトークンを送信することに加えて、一実施形態では、認証サービスプロバイダ102は前述されたようにTACを生成し、ユーザに配分し、その結果ユーザ106は、新しいトークンがトランジット中に認証できる。代りにユーザは仮認証コードの短期リストを受け取ることがある。別の実施形態では、認証サービスプロバイダ102は仮パスワードを自動的に提供せず、むしろユーザが前記のように仮パスワードを要求することを必要とする。
複数のサポートレベル
ここに説明される実施形態は、認証手順を達成するために加入サイト104と認証サービスプロバイダ102の両方とも活用するので、これらの実施形態のいくつかはユーザ106に複数の保守レベル及び管理サポートを与える。一実施形態では、ユーザサポートは、ユーザが必要とするサポートのタイプに応じて、加入サイト104と認証サービスプロバイダ102の間で配分される。この実施形態は、例えば、3つのレベルのサポートを活用することがある。レベル1サポートは、トークンから認証コードを読み取る方法、加入サイトに認証コードを入力する方法、メッセージプロンプト及び応答を理解する方法等の認証の基本に関する基本的な「ヘルプデスク」機能を含む。レベル2サポートは、認証コードが受け入れられていない理由等のさらに複雑な認証問題を含む。レベル3サポートは認証プロセスの誤作動に関する問題を含む。
一般的には、認証サービスプロバイダ102はレベル3サポートを提供するが、加入サイト104はレベル1とレベル2サポート(両方ともユーザ106との直接的な対話を含む)を提供する。このサポートモデルは認証サービスプロバイダ102から日常のユーザサポートの多くを取り除き、それを個々の加入サイトに設置する。発生するレベル1と2の問題の多くが特定の加入サイトに特有なので、加入サイト104はこのようなサポートを提供するためのはるかに良好な位置にある。
レベル2サポートの場合、認証サービスプロバイダ102は、加入サイト104に監査機能を提供する。監査機能は認証手順においてユーザ106にとって問題を引き起こしたイベントの連鎖に関する情報を加入サイト104に提供する。監査機能はこのようにして加入サイトに認証手順の中に加入サイトの可視性を与える。監査機能が提供する情報を分析することによって、加入サイト104は、認証手順の中のどのステップが認証失敗につながるのかを決定する。その結果、加入サイト104は問題を補正し、適切に認証する方法をユーザに指示する。
本発明は、その精神または本質的な特徴から逸脱することなく他の特定の形式で実現されてもよい。したがって、本実施形態は制限的ではなく、例示的とみなされなければならず、本発明の範囲は前記説明によってよりも、むしろ添付請求項によって示されているため、請求項の意味及び同等性の範囲内に入るすべての変形例はその中に含まれることが理解されるべきである。
本発明による消費者認証サービスを提供するためのシステムの実施形態を示す図である。 図1のシステムのためのトークン活性化プロセスを示す図である。 図1のシステムのための認証手順を示す図である。 2つの異なる加入サイトに対比して単一のトークンの活性化を示す図である。 二人のユーザのための単一のトークンの活性化を示す図である。 SUIDに対してトークンを非活性化するための手順を示す図である。 失われたトークンまたは損傷を受けたトークンを交換するための手順を示す図である。

Claims (29)

  1. 認証システム内の認証サービスプロバイダからユーザに関する情報を隔離する方法であって、
    認証コードソースを特定する情報とともに、ユーザに関する情報を提供することと、
    認証サービスプロバイダに、加入サイトを特定する情報とともに認証コードソースを特定する情報を提供することと、
    サービスユーザ識別子を生成することと、
    サービスユーザ識別子とユーザに関する情報との関連を作成し、加入サイトの中で該関連を隔離することと、
    を備える方法。
  2. 認証システム内の認証サービスプロバイダからユーザに関連する情報を隔離する方法であって、
    ユーザから加入サイトに、認証コードソースを特定する情報とともに、ユーザに関する情報を提供することと、
    加入サイトから認証サービスプロバイダに、加入サイトを特定する情報とともに、認証コードソースを特定する情報を提供することと、
    認証サービスプロバイダによって、少なくとも認証コードソースを特定する情報と、加入サイトを特定する情報の所定の関数であるサービスユーザ識別子を生成することと、
    認証サービスプロバイダから加入サイトに、サービスユーザ識別子を提供することと、
    サービスユーザ識別子と、ユーザに関する情報との関連を作成し、加入サイトの中で該関連を隔離することと、
    を備える方法。
  3. 認証サービスプロバイダで、認証コードソースを特定する情報と、加入サイトを特定する情報とともにサービスユーザ識別子のレコードを記憶することとをさらに含む請求項2に記載の方法。
  4. ユーザに認証コードソースを配信することをさらに含む請求項2に記載の方法。
  5. ユーザから少なくとも第2の加入サイトに、認証コードソースを特定する情報とともにユーザに関する情報を提供することと、
    第2の加入サイトから認証サービスプロバイダに、第2の加入サイトを特定する情報とともに認証コードソースを特定する情報を提供することと、
    認証サービスプロバイダによって、少なくとも認証コードソースを特定する情報と第2の加入サイトを特定する情報との所定の関数である第2のサービスユーザ識別子を生成することと、
    認証サービスプロバイダから第2の加入サイトに第2のサービスユーザ識別子を提供することと、
    第2のサービスユーザ識別子とユーザに関する情報の関連を作成し、第2の加入サイトの中で該関連を隔離することと、
    をさらに含む請求項2に記載の方法。
  6. 少なくとも第2のユーザから加入サイトに、認証コードソースを特定する情報とともに、第2のユーザに関する情報を提供することと、
    加入サイトから認証サービスプロバイダに、加入サイトを特定する情報とともに、認証コードソースを特定する情報を提供することと、
    認証サービスプロバイダによって、少なくとも認証コードソースを特定する情報と加入サイトを特定する情報との所定の関数である第2のサービスユーザ識別子を生成することと、
    認証サービスプロバイダから加入サイトに、第2のサービスユーザ識別子を提供することと、
    第2のサービスユーザ識別子と第2のユーザに関連する情報の関連を作成することと、加入サイトの中で関連を隔離することと、
    をさらに含む請求項2に記載の方法。
  7. (i)加入サイトから認証サービスプロバイダに、認証コードソースを特定する情報及び加入サイトを特定する情報に加えて、ユーザと加入サイト間の第1の関係性に関する情報を提供することと、
    (ii)ユーザと加入サイトの第1の関係性に関する情報を、サービスユーザ識別子の生成の中に含むことと、
    をさらに含む請求項2に記載の方法。
  8. ユーザから加入サイトに、認証コードソースを特定する情報とともに、ユーザに関する情報を提供することと、 加入サイトから認証サービスプロバイダに、加入サイトを特定する情報、及びユーザと加入サイト間の第2の関係性に関する情報とともに、認証コードソースを特定する情報を提供することと、
    認証サービスプロバイダによって、少なくとも認証コードソースを特定する情報と加入サイトを特定する情報との所定の関数であるサービスユーザ識別子を生成することと、
    認証サービスプロバイダから加入サイトに、サービスユーザ識別子を提供することと、
    サービスユーザ識別子と、ユーザに関連する情報との関連を作成し、加入サイトの中で関連を隔離することと、をさらに含む請求項7に記載の方法。
  9. 代替サービスユーザ識別子を最初に作成されたサービスユーザ識別子の代わりにすることをさらに含み、代替サービスユーザ識別子が、加入サイトを特定する情報とともに別の認証コードソースを特定する情報を使用して生成される請求項2に記載の方法。
  10. 異なる認証コードソースをユーザに配信することをさらに含む請求項9に記載の方法。
  11. 代替サービスユーザ識別子を加入サイトに提供することをさらに含む請求項9に記載の方法。
  12. 認証サービスプロバイダによって、仮認証コードを生成することと、
    仮認証コードを、認証サービスプロバイダで記憶されている1つまたは複数のサービスユーザ識別子と関連付け、その結果、サービスユーザ識別子に関して試行される以後の認証が、認証コードソースからの認証コードではなく、仮認証コードを使用して評価されることと、
    によって、認証コードソースに対応する仮認証コードを提供することをさらに含む請求項2に記載の方法。
  13. 仮パスワードの有効性を所定の持続期間に制限することをさらに含む請求項12に記載の方法。
  14. 仮パスワードの有効性の所定の持続時間が各サービスユーザ識別子に特殊であり、持続時間の1つまたは複数が異なる請求項13に記載の方法。
  15. 交換認証コードソースをユーザに提供することと、
    交換認証コードソースを特定する情報と関連付けられる認証サービスプロバイダでサービスユーザ識別子を更新することと、
    をさらに含む請求項2に記載の方法。
  16. ユーザが、ユーザに関する情報を認証サービスプロバイダから隔離する一方で、認証サービスプロバイダに認証できるようにする方法であって、
    認証コードソース、加入サイト、及び認証サービスプロバイダに関連するサービスユーザ識別子を生成することと、
    ユーザと関連する情報とのサービスユーザ識別子の関連を作成し、加入サイトの中で関連を隔離することと、
    認証コードソースによって生成される認証コードを、ユーザから加入サイトに提供することと、
    認証サービスプロバイダに、サービスユーザ識別子及び加入サイトを特定する情報とともに認証コードを提供することと、
    サービスユーザ識別子と、加入サイトを特定する情報を使用して認証コードソースを特定することと、認証コードソースに関連して認証コードについて認証決定を生成することと、
    加入サイトに認証決定を提供することと、
    を備える方法。
  17. 認証決定が有効な認証を示す場合に、ユーザが加入サイトにログオンできるようにすることをさらに含む請求項16に記載の方法。
  18. 認証決定が有効な認証を示す場合に、ユーザが加入サイト上で機能を活用できるようにすることをさらに含む請求項16に記載の方法。
  19. ユーザから加入サイトに、ユーザ有効性に関連する追加情報を提供することと、認証決定を生成するために追加情報を使用することとをさらに含む請求項16に記載の方法。
  20. ユーザ有効性に関連する追加情報が(i)個人識別番号、(ii)パスワード、及び(iii)ユーザに関する生体データの少なくとも1つを含む請求項19に記載の方法。
  21. 認証決定が無効認証を示す場合に、加入サイトからユーザに、認証コードソースによって生成される認証コードの再提出を要求することをさらに含む請求項16に記載の方法。
  22. 加入サイトから認証サービスプロバイダに、ユーザと加入サイトの間の関係性に関する追加情報を提供することをさらに含む請求項16に記載の方法。
  23. 認証サービスプロバイダで、認証決定に関する情報を記憶することと、加入サイトからの要求に応えて記憶された情報を加入サイトに提供することとをさらに含む請求項16に記載の方法。
  24. 加入サイトが、ユーザによって実行されるトランザクション(transaction)を検証するために認証サービスプロバイダによって提供される記憶されている情報を使用する請求項23に記載の方法。
  25. サービスユーザ識別子及び認証決定に関する情報が、認証決定のために使用される認証コードを含む請求項16に記載の方法。
  26. 加入サイト上でのユーザの活動を調整する方法であって、
    認証コードソース、加入サイト、及び認証サービスプロバイダに関連するサービスユーザ識別子を生成することと、
    ユーザに関する情報とのサービスユーザ識別子の関連を作成し、加入サイトの中で関連を隔離することと、
    加入サイトで、活動を実行するための許可に対するユーザからの要求を受け取り、要求が認証コードソースによって生成される認証コードを含むことと、
    認証サービスプロバイダに、サービスユーザ識別子及び加入サイトを特定する情報とともに認証コードを提供することと、
    サービスユーザ識別子及び加入サイトを特定する情報を使用して認証コードソースを特定することと、認証コードソースに関して認証コードのための認証決定を生成することと、
    加入サイトに認証決定を提供することと、
    認証決定が認証の成功を示す場合にユーザが活動を実行する許可を付与することと、認証決定が認証の不成功を示す場合にユーザが活動を実行する許可を否定することと、
    を備える方法。
  27. 認証システム内の認証サービスプロバイダからユーザと関連する情報を隔離するためのシステムであって、
    ユーザが加入サイトに、認証コードソースを特定する情報とともにユーザに関する情報を提供する、認証コードソースを有するユーザと、
    加入サイトから、加入サイトを特定する情報とともに、認証コードソースを特定する情報を受け取るための認証サービスプロバイダと、
    を備え、
    認証サービスプロバイダが(i)少なくとも認証コードソースを特定する情報と、加入サイトを特定する情報との所定の関数であるサービスユーザ識別子を生成し、(ii)加入サイトにサービスユーザ識別子を提供し、(iii)サービスユーザ識別子と、ユーザに関する情報との関連を作成し、加入サイトの中で関連を隔離する、
    システム。
  28. ユーザが、ユーザに関する情報を認証サービスから隔離する一方で、認証サービスプロバイダに対して認証できるようにするためのシステムであって、
    認証コードソースを有するユーザと、
    ユーザにサービスを提供するための加入サイトと、
    認証コードソース、加入サイト、及び認証サービスに関連するサービスユーザ識別子を生成するための認証サービスプロバイダと、
    ユーザ、加入サイト、及び認証サービスプロバイダが通信するネットワークと、
    を備え、
    加入サイトが、サービスユーザ識別子のユーザに関する情報との関連を作成し、加入サイトの中で関連を隔離し、
    ユーザが、加入サイトに対して、認証コードソースによって生成される認証コードを提供し、
    加入サイトが、認証サービスプロバイダに、サービスユーザ識別子及び加入サイトを特定する情報とともに認証コードを提供し、
    認証サービスプロバイダが(i)サービスユーザ識別子、及び加入サイトを特定する情報を使用して認証コードソースを特定し、(ii)認証コードソースに関して認証コードのために認証決定を生成し、(iii)加入サイトに認証決定を提供する、
    システム。
  29. 加入サイト上でのユーザの活動を調整するためのシステムであって、
    認証コードソースを有するユーザと、
    ユーザにサービスを提供するための加入サイトと、
    認証コードソース、加入サイト、及び認証サービスに関連するサービスユーザ識別子を生成するための認証サービスプロバイダと、
    ユーザ、加入サイト、及び認証サービスプロバイダが通信するネットワークと、
    を備え、
    加入サイトが、ユーザに関する情報とのサービスユーザ識別子の関連を作成し、加入サイトの中で加入を隔離し、
    ユーザが加入者サイトに、サービス活動を実行するための許可に対する要求を提出し、要求が認証コードソースによって生成される認証コードを含み、
    加入サイトが認証サービスプロバイダに、サービスユーザ識別子及び加入サイトを特定する情報を提供し、
    認証サービスプロバイダが(i)サービスユーザ識別子及び加入サイトを特定する情報を使用して認証コードソースを特定し、(ii)認証コードソースに関して認証コードのために認証決定を生成し、(iii)加入サイトに認証決定を提供し、
    加入サイトが、認証決定が認証の成功を示す場合にユーザがサービス活動を実行するための許可を付与し、認証決定が認証の不成功を示す場合にユーザにサービス活動を実行するための許可を拒絶する、
    システム。
JP2007548359A 2004-12-20 2005-12-16 消費者インターネット認証サービス Pending JP2008524751A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US63761604P 2004-12-20 2004-12-20
PCT/US2005/045921 WO2006068998A1 (en) 2004-12-20 2005-12-16 Consumer internet authentication service

Publications (1)

Publication Number Publication Date
JP2008524751A true JP2008524751A (ja) 2008-07-10

Family

ID=36218646

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007548359A Pending JP2008524751A (ja) 2004-12-20 2005-12-16 消費者インターネット認証サービス

Country Status (4)

Country Link
US (1) US8060922B2 (ja)
EP (1) EP1828920B1 (ja)
JP (1) JP2008524751A (ja)
WO (1) WO2006068998A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010503912A (ja) * 2006-09-15 2010-02-04 イニテック カンパニー リミテッド 複数の方式による使い捨てパスワードのユーザー登録、認証方法及び該方法を行うプログラムが記録されたコンピュータにて読取り可能な記録媒体
JP2012502522A (ja) * 2008-09-10 2012-01-26 エヌイーシー ヨーロッパ リミテッド サービスアクセスの制限を可能にする方法

Families Citing this family (218)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9412123B2 (en) 2003-07-01 2016-08-09 The 41St Parameter, Inc. Keystroke analysis
US10999298B2 (en) 2004-03-02 2021-05-04 The 41St Parameter, Inc. Method and system for identifying users and detecting fraud by use of the internet
JP5186359B2 (ja) 2005-03-26 2013-04-17 プリバシーズ,インコーポレイテッド 電子ファイナンシャルトランザクションカードおよび方法
US8226001B1 (en) 2010-06-23 2012-07-24 Fiteq, Inc. Method for broadcasting a magnetic stripe data packet from an electronic smart card
US8684267B2 (en) 2005-03-26 2014-04-01 Privasys Method for broadcasting a magnetic stripe data packet from an electronic smart card
EP1882229B1 (en) 2005-04-27 2014-07-23 Privasys, Inc. Electronic cards and methods for making same
US7793851B2 (en) 2005-05-09 2010-09-14 Dynamics Inc. Dynamic credit card with magnetic stripe and embedded encoder and methods for using the same to provide a copy-proof credit card
US7849323B2 (en) * 2005-11-09 2010-12-07 Emc Corporation Password presentation for multimedia devices
US7810147B2 (en) * 2005-12-01 2010-10-05 Emc Corporation Detecting and preventing replay in authentication systems
US11301585B2 (en) 2005-12-16 2022-04-12 The 41St Parameter, Inc. Methods and apparatus for securely displaying digital images
US8938671B2 (en) 2005-12-16 2015-01-20 The 41St Parameter, Inc. Methods and apparatus for securely displaying digital images
US8099508B2 (en) * 2005-12-16 2012-01-17 Comcast Cable Holdings, Llc Method of using tokens and policy descriptors for dynamic on demand session management
US20080256617A1 (en) * 2005-12-23 2008-10-16 Brian Ross Cartwell Centralized Identity Verification and/or Password Validation
US20070150942A1 (en) * 2005-12-23 2007-06-28 Cartmell Brian R Centralized identity verification and/or password validation
WO2007095265A2 (en) * 2006-02-10 2007-08-23 Rsa Security Inc. Method and system for providing a one time password to work in conjunction with a browser
US8151327B2 (en) 2006-03-31 2012-04-03 The 41St Parameter, Inc. Systems and methods for detection of session tampering and fraud prevention
US7992203B2 (en) 2006-05-24 2011-08-02 Red Hat, Inc. Methods and systems for secure shared smartcard access
US8180741B2 (en) 2006-06-06 2012-05-15 Red Hat, Inc. Methods and systems for providing data objects on a token
US8098829B2 (en) * 2006-06-06 2012-01-17 Red Hat, Inc. Methods and systems for secure key delivery
US8495380B2 (en) 2006-06-06 2013-07-23 Red Hat, Inc. Methods and systems for server-side key generation
US8364952B2 (en) * 2006-06-06 2013-01-29 Red Hat, Inc. Methods and system for a key recovery plan
US8332637B2 (en) * 2006-06-06 2012-12-11 Red Hat, Inc. Methods and systems for nonce generation in a token
US8099765B2 (en) 2006-06-07 2012-01-17 Red Hat, Inc. Methods and systems for remote password reset using an authentication credential managed by a third party
US8589695B2 (en) 2006-06-07 2013-11-19 Red Hat, Inc. Methods and systems for entropy collection for server-side key generation
US9769158B2 (en) 2006-06-07 2017-09-19 Red Hat, Inc. Guided enrollment and login for token users
US8412927B2 (en) 2006-06-07 2013-04-02 Red Hat, Inc. Profile framework for token processing system
US8707024B2 (en) 2006-06-07 2014-04-22 Red Hat, Inc. Methods and systems for managing identity management security domains
US8787566B2 (en) 2006-08-23 2014-07-22 Red Hat, Inc. Strong encryption
US8806219B2 (en) * 2006-08-23 2014-08-12 Red Hat, Inc. Time-based function back-off
US8356342B2 (en) 2006-08-31 2013-01-15 Red Hat, Inc. Method and system for issuing a kill sequence for a token
US9038154B2 (en) 2006-08-31 2015-05-19 Red Hat, Inc. Token Registration
US8977844B2 (en) 2006-08-31 2015-03-10 Red Hat, Inc. Smartcard formation with authentication keys
US8074265B2 (en) 2006-08-31 2011-12-06 Red Hat, Inc. Methods and systems for verifying a location factor associated with a token
US20080127331A1 (en) * 2006-09-26 2008-05-29 Glenn Robert Seidman Method, system, and apparatus for linked personas authenticator
US8693690B2 (en) 2006-12-04 2014-04-08 Red Hat, Inc. Organizing an extensible table for storing cryptographic objects
US8813243B2 (en) 2007-02-02 2014-08-19 Red Hat, Inc. Reducing a size of a security-related data object stored on a token
US8639940B2 (en) 2007-02-28 2014-01-28 Red Hat, Inc. Methods and systems for assigning roles on a token
US8832453B2 (en) 2007-02-28 2014-09-09 Red Hat, Inc. Token recycling
US9081948B2 (en) 2007-03-13 2015-07-14 Red Hat, Inc. Configurable smartcard
US9071439B2 (en) * 2007-04-26 2015-06-30 Emc Corporation Method and apparatus for remote administration of cryptographic devices
US8621573B2 (en) * 2007-08-28 2013-12-31 Cisco Technology, Inc. Highly scalable application network appliances with virtualized services
US7890761B1 (en) * 2007-09-25 2011-02-15 United Services Automobile Association (Usaa) Systems and methods for strong authentication of electronic transactions
US8156338B1 (en) * 2007-09-25 2012-04-10 United Services Automobile Association Systems and methods for strong authentication of electronic transactions
US8438617B2 (en) * 2007-10-29 2013-05-07 Emc Corporation User authentication based on voucher codes
US8438621B2 (en) * 2007-12-21 2013-05-07 General Instrument Corporation Method and apparatus for secure management of debugging processes within communication devices
US20090159703A1 (en) 2007-12-24 2009-06-25 Dynamics Inc. Credit, security, debit cards and the like with buttons
US20090265270A1 (en) * 2008-04-18 2009-10-22 Ncr Corporation Token activation
US8667556B2 (en) * 2008-05-19 2014-03-04 Cisco Technology, Inc. Method and apparatus for building and managing policies
US20090288104A1 (en) * 2008-05-19 2009-11-19 Rohati Systems, Inc. Extensibility framework of a network element
US8677453B2 (en) * 2008-05-19 2014-03-18 Cisco Technology, Inc. Highly parallel evaluation of XACML policies
US8094560B2 (en) * 2008-05-19 2012-01-10 Cisco Technology, Inc. Multi-stage multi-core processing of network packets
US9363262B1 (en) * 2008-09-15 2016-06-07 Galileo Processing, Inc. Authentication tokens managed for use with multiple sites
US20100070471A1 (en) * 2008-09-17 2010-03-18 Rohati Systems, Inc. Transactional application events
US8579203B1 (en) 2008-12-19 2013-11-12 Dynamics Inc. Electronic magnetic recorded media emulators in magnetic card devices
US8812402B2 (en) * 2009-01-05 2014-08-19 Mastercard International Incorporated Methods, apparatus and articles for use in association with token
WO2010090664A1 (en) * 2009-02-05 2010-08-12 Wwpass Corporation Centralized authentication system with safe private data storage and method
US8751829B2 (en) 2009-02-05 2014-06-10 Wwpass Corporation Dispersed secure data storage and retrieval
US8839391B2 (en) * 2009-02-05 2014-09-16 Wwpass Corporation Single token authentication
US8713661B2 (en) * 2009-02-05 2014-04-29 Wwpass Corporation Authentication service
US8752153B2 (en) 2009-02-05 2014-06-10 Wwpass Corporation Accessing data based on authenticated user, provider and system
US8931703B1 (en) 2009-03-16 2015-01-13 Dynamics Inc. Payment cards and devices for displaying barcodes
US9112850B1 (en) 2009-03-25 2015-08-18 The 41St Parameter, Inc. Systems and methods of sharing information through a tag-based consortium
US9329619B1 (en) 2009-04-06 2016-05-03 Dynamics Inc. Cards with power management
US8172148B1 (en) 2009-04-06 2012-05-08 Dynamics Inc. Cards and assemblies with user interfaces
US8622309B1 (en) 2009-04-06 2014-01-07 Dynamics Inc. Payment cards and devices with budgets, parental controls, and virtual accounts
US8393545B1 (en) 2009-06-23 2013-03-12 Dynamics Inc. Cards deployed with inactivated products for activation
US8511574B1 (en) 2009-08-17 2013-08-20 Dynamics Inc. Advanced loyalty applications for powered cards and devices
US8086633B2 (en) * 2009-08-27 2011-12-27 International Business Machines Corporation Unified user identification with automatic mapping and database absence handling
US9306666B1 (en) 2009-10-08 2016-04-05 Dynamics Inc. Programming protocols for powered cards and devices
US8727219B1 (en) 2009-10-12 2014-05-20 Dynamics Inc. Magnetic stripe track signal having multiple communications channels
US8523059B1 (en) 2009-10-20 2013-09-03 Dynamics Inc. Advanced payment options for powered cards and devices
US8393546B1 (en) 2009-10-25 2013-03-12 Dynamics Inc. Games, prizes, and entertainment for powered cards and devices
WO2011103160A1 (en) 2010-02-16 2011-08-25 Dynamics Inc. Systems and methods for drive circuits for dynamic magnetic stripe communications devices
US8348172B1 (en) 2010-03-02 2013-01-08 Dynamics Inc. Systems and methods for detection mechanisms for magnetic cards and devices
US10693263B1 (en) 2010-03-16 2020-06-23 Dynamics Inc. Systems and methods for audio connectors for powered cards and devices
WO2011146651A1 (en) 2010-05-18 2011-11-24 Dynamics Inc Systems and methods for cards and devices operable to communicate via light pulses and touch sensitive displays
US8317103B1 (en) 2010-06-23 2012-11-27 FiTeq Method for broadcasting a magnetic stripe data packet from an electronic smart card
USD670759S1 (en) 2010-07-02 2012-11-13 Dynamics Inc. Multiple button interactive electronic card with light sources
USD652075S1 (en) 2010-07-02 2012-01-10 Dynamics Inc. Multiple button interactive electronic card
USD674013S1 (en) 2010-07-02 2013-01-08 Dynamics Inc. Multiple button interactive electronic card with light sources
USD672389S1 (en) 2010-07-02 2012-12-11 Dynamics Inc. Multiple button interactive electronic card with light sources
USD652448S1 (en) 2010-07-02 2012-01-17 Dynamics Inc. Multiple button interactive electronic card
USD652449S1 (en) 2010-07-02 2012-01-17 Dynamics Inc. Multiple button interactive electronic card
USD687094S1 (en) 2010-07-02 2013-07-30 Dynamics Inc. Multiple button interactive electronic card with light sources
USD652867S1 (en) 2010-07-02 2012-01-24 Dynamics Inc. Multiple button interactive electronic card
USD651237S1 (en) 2010-07-09 2011-12-27 Dynamics Inc. Interactive electronic card with display
USD652076S1 (en) 2010-07-09 2012-01-10 Dynamics Inc. Multiple button interactive electronic card with display
USD792511S1 (en) 2010-07-09 2017-07-18 Dynamics Inc. Display with font
USD665022S1 (en) 2010-07-09 2012-08-07 Dynamics Inc. Multiple button interactive electronic card with light source
USD652450S1 (en) 2010-07-09 2012-01-17 Dynamics Inc. Multiple button interactive electronic card
USD666241S1 (en) 2010-07-09 2012-08-28 Dynamics Inc. Multiple button interactive electronic card with light source
USD792512S1 (en) 2010-07-09 2017-07-18 Dynamics Inc. Display with font
USD651644S1 (en) 2010-07-09 2012-01-03 Dynamics Inc. Interactive electronic card with display
USD665447S1 (en) 2010-07-09 2012-08-14 Dynamics Inc. Multiple button interactive electronic card with light source and display
USD792513S1 (en) 2010-07-09 2017-07-18 Dynamics Inc. Display with font
USD653288S1 (en) 2010-07-09 2012-01-31 Dynamics Inc. Multiple button interactive electronic card
USD643063S1 (en) 2010-07-09 2011-08-09 Dynamics Inc. Interactive electronic card with display
USD651238S1 (en) 2010-07-09 2011-12-27 Dynamics Inc. Interactive electronic card with display
US8322623B1 (en) 2010-07-26 2012-12-04 Dynamics Inc. Systems and methods for advanced card printing
US9818125B2 (en) 2011-02-16 2017-11-14 Dynamics Inc. Systems and methods for information exchange mechanisms for powered cards and devices
US10055614B1 (en) 2010-08-12 2018-08-21 Dynamics Inc. Systems and methods for advanced detection mechanisms for magnetic cards and devices
US9053398B1 (en) 2010-08-12 2015-06-09 Dynamics Inc. Passive detection mechanisms for magnetic cards and devices
US20120072323A1 (en) * 2010-09-17 2012-03-22 Bank Of America Corporation Maintaining online functionality during an outage
US10022884B1 (en) 2010-10-15 2018-07-17 Dynamics Inc. Systems and methods for alignment techniques for magnetic cards and devices
US8561894B1 (en) 2010-10-20 2013-10-22 Dynamics Inc. Powered cards and devices designed, programmed, and deployed from a kiosk
US9646240B1 (en) 2010-11-05 2017-05-09 Dynamics Inc. Locking features for powered cards and devices
US8567679B1 (en) 2011-01-23 2013-10-29 Dynamics Inc. Cards and devices with embedded holograms
US10095970B1 (en) 2011-01-31 2018-10-09 Dynamics Inc. Cards including anti-skimming devices
US9836680B1 (en) 2011-03-03 2017-12-05 Dynamics Inc. Systems and methods for advanced communication mechanisms for magnetic cards and devices
US8485446B1 (en) 2011-03-28 2013-07-16 Dynamics Inc. Shielded magnetic stripe for magnetic cards and devices
CA2835508A1 (en) 2011-05-10 2012-11-15 Dynamics Inc. Systems, devices, and methods for mobile payment acceptance, mobile authorizations, mobile wallets, and contactless communication mechanisms
USD670331S1 (en) 2011-05-12 2012-11-06 Dynamics Inc. Interactive display card
USD670332S1 (en) 2011-05-12 2012-11-06 Dynamics Inc. Interactive card
USD676904S1 (en) 2011-05-12 2013-02-26 Dynamics Inc. Interactive display card
USD670330S1 (en) 2011-05-12 2012-11-06 Dynamics Inc. Interactive card
USD670329S1 (en) 2011-05-12 2012-11-06 Dynamics Inc. Interactive display card
US8628022B1 (en) 2011-05-23 2014-01-14 Dynamics Inc. Systems and methods for sensor mechanisms for magnetic cards and devices
NO333223B1 (no) * 2011-07-13 2013-04-15 Trond Lemberg Alternativ overforing av PIN
US8827153B1 (en) 2011-07-18 2014-09-09 Dynamics Inc. Systems and methods for waveform generation for dynamic magnetic stripe communications devices
US11551046B1 (en) 2011-10-19 2023-01-10 Dynamics Inc. Stacked dynamic magnetic stripe commmunications device for magnetic cards and devices
US11409971B1 (en) 2011-10-23 2022-08-09 Dynamics Inc. Programming and test modes for powered cards and devices
US10754913B2 (en) 2011-11-15 2020-08-25 Tapad, Inc. System and method for analyzing user device information
US9619741B1 (en) 2011-11-21 2017-04-11 Dynamics Inc. Systems and methods for synchronization mechanisms for magnetic cards and devices
US8960545B1 (en) 2011-11-21 2015-02-24 Dynamics Inc. Data modification for magnetic cards and devices
US9454648B1 (en) * 2011-12-23 2016-09-27 Emc Corporation Distributing token records in a market environment
US9064194B1 (en) 2012-02-03 2015-06-23 Dynamics Inc. Systems and methods for spike suppression for dynamic magnetic stripe communications devices
US9710745B1 (en) 2012-02-09 2017-07-18 Dynamics Inc. Systems and methods for automated assembly of dynamic magnetic stripe communications devices
US8888009B1 (en) 2012-02-14 2014-11-18 Dynamics Inc. Systems and methods for extended stripe mechanisms for magnetic cards and devices
US9916992B2 (en) 2012-02-20 2018-03-13 Dynamics Inc. Systems and methods for flexible components for powered cards and devices
US9367678B2 (en) * 2012-02-29 2016-06-14 Red Hat, Inc. Password authentication
US9633201B1 (en) 2012-03-01 2017-04-25 The 41St Parameter, Inc. Methods and systems for fraud containment
US9521551B2 (en) 2012-03-22 2016-12-13 The 41St Parameter, Inc. Methods and systems for persistent cross-application mobile device identification
US8752146B1 (en) 2012-03-29 2014-06-10 Emc Corporation Providing authentication codes which include token codes and biometric factors
ES2553713T1 (es) * 2012-04-01 2015-12-11 Authentify, Inc. Autentificación segura en un sistema con múltiples partes
US9734669B1 (en) 2012-04-02 2017-08-15 Dynamics Inc. Cards, devices, systems, and methods for advanced payment game of skill and game of chance functionality
US11961147B1 (en) 2012-04-15 2024-04-16 K. Shane Cupp Cards, devices, systems, and methods for financial management services
US11418483B1 (en) 2012-04-19 2022-08-16 Dynamics Inc. Cards, devices, systems, and methods for zone-based network management
GB2487503B (en) * 2012-04-19 2013-01-02 Martin Tomlinson Digital file authentication using biometrics
US10122710B2 (en) 2012-04-19 2018-11-06 Pq Solutions Limited Binding a data transaction to a person's identity using biometrics
US9438589B2 (en) 2012-04-19 2016-09-06 Martin Tomlinson Binding a digital file to a person's identity using biometrics
US9033218B1 (en) 2012-05-15 2015-05-19 Dynamics Inc. Cards, devices, systems, methods and dynamic security codes
US9064195B2 (en) 2012-06-29 2015-06-23 Dynamics Inc. Multiple layer card circuit boards
WO2014022813A1 (en) 2012-08-02 2014-02-06 The 41St Parameter, Inc. Systems and methods for accessing records via derivative locators
USD687488S1 (en) 2012-08-27 2013-08-06 Dynamics Inc. Interactive electronic card with buttons
USD694322S1 (en) 2012-08-27 2013-11-26 Dynamics Inc. Interactive electronic card with display buttons
USD687887S1 (en) 2012-08-27 2013-08-13 Dynamics Inc. Interactive electronic card with buttons
USD673606S1 (en) 2012-08-27 2013-01-01 Dynamics Inc. Interactive electronic card with display and buttons
USD729871S1 (en) 2012-08-27 2015-05-19 Dynamics Inc. Interactive electronic card with display and buttons
USD730438S1 (en) 2012-08-27 2015-05-26 Dynamics Inc. Interactive electronic card with display and button
USD675256S1 (en) 2012-08-27 2013-01-29 Dynamics Inc. Interactive electronic card with display and button
USD687487S1 (en) 2012-08-27 2013-08-06 Dynamics Inc. Interactive electronic card with display and button
USD695636S1 (en) 2012-08-27 2013-12-17 Dynamics Inc. Interactive electronic card with display and buttons
USD729869S1 (en) 2012-08-27 2015-05-19 Dynamics Inc. Interactive electronic card with display and button
USD688744S1 (en) 2012-08-27 2013-08-27 Dynamics Inc. Interactive electronic card with display and button
USD676487S1 (en) 2012-08-27 2013-02-19 Dynamics Inc. Interactive electronic card with display and buttons
USD687490S1 (en) 2012-08-27 2013-08-06 Dynamics Inc. Interactive electronic card with display and button
USD687095S1 (en) 2012-08-27 2013-07-30 Dynamics Inc. Interactive electronic card with buttons
USD687489S1 (en) 2012-08-27 2013-08-06 Dynamics Inc. Interactive electronic card with buttons
USD828870S1 (en) 2012-08-27 2018-09-18 Dynamics Inc. Display card
USD692053S1 (en) 2012-08-27 2013-10-22 Dynamics Inc. Interactive electronic card with display and button
USD730439S1 (en) 2012-08-27 2015-05-26 Dynamics Inc. Interactive electronic card with buttons
USD729870S1 (en) 2012-08-27 2015-05-19 Dynamics Inc. Interactive electronic card with display and button
US11126997B1 (en) 2012-10-02 2021-09-21 Dynamics Inc. Cards, devices, systems, and methods for a fulfillment system
US9010647B2 (en) 2012-10-29 2015-04-21 Dynamics Inc. Multiple sensor detector systems and detection methods of magnetic cards and devices
US9659246B1 (en) 2012-11-05 2017-05-23 Dynamics Inc. Dynamic magnetic stripe communications device with beveled magnetic material for magnetic cards and devices
WO2014078569A1 (en) 2012-11-14 2014-05-22 The 41St Parameter, Inc. Systems and methods of global identification
US9010644B1 (en) 2012-11-30 2015-04-21 Dynamics Inc. Dynamic magnetic stripe communications device with stepped magnetic material for magnetic cards and devices
US10949627B2 (en) 2012-12-20 2021-03-16 Dynamics Inc. Systems and methods for non-time smearing detection mechanisms for magnetic cards and devices
USD750166S1 (en) 2013-03-04 2016-02-23 Dynamics Inc. Interactive electronic card with display and buttons
USD777252S1 (en) 2013-03-04 2017-01-24 Dynamics Inc. Interactive electronic card with buttons
USD751639S1 (en) 2013-03-04 2016-03-15 Dynamics Inc. Interactive electronic card with display and button
USD765173S1 (en) 2013-03-04 2016-08-30 Dynamics Inc. Interactive electronic card with display and button
USD751640S1 (en) 2013-03-04 2016-03-15 Dynamics Inc. Interactive electronic card with display and button
USD750167S1 (en) 2013-03-04 2016-02-23 Dynamics Inc. Interactive electronic card with buttons
USD764584S1 (en) 2013-03-04 2016-08-23 Dynamics Inc. Interactive electronic card with buttons
USD750168S1 (en) 2013-03-04 2016-02-23 Dynamics Inc. Interactive electronic card with display and button
USD765174S1 (en) 2013-03-04 2016-08-30 Dynamics Inc. Interactive electronic card with button
US9130753B1 (en) * 2013-03-14 2015-09-08 Emc Corporation Authentication using security device with electronic interface
US9887983B2 (en) 2013-10-29 2018-02-06 Nok Nok Labs, Inc. Apparatus and method for implementing composite authenticators
US10270748B2 (en) 2013-03-22 2019-04-23 Nok Nok Labs, Inc. Advanced authentication techniques and applications
US9367676B2 (en) 2013-03-22 2016-06-14 Nok Nok Labs, Inc. System and method for confirming location using supplemental sensor and/or location data
US9306943B1 (en) 2013-03-29 2016-04-05 Emc Corporation Access point—authentication server combination
GB2513126A (en) * 2013-04-15 2014-10-22 Visa Europe Ltd Method and system for creating a unique identifier
US9961077B2 (en) 2013-05-30 2018-05-01 Nok Nok Labs, Inc. System and method for biometric authentication with device attestation
US10902327B1 (en) 2013-08-30 2021-01-26 The 41St Parameter, Inc. System and method for device identification and uniqueness
USD737373S1 (en) 2013-09-10 2015-08-25 Dynamics Inc. Interactive electronic card with contact connector
USD767024S1 (en) 2013-09-10 2016-09-20 Dynamics Inc. Interactive electronic card with contact connector
JP6287401B2 (ja) * 2014-03-18 2018-03-07 富士ゼロックス株式会社 中継装置、システム及びプログラム
US9838424B2 (en) 2014-03-20 2017-12-05 Microsoft Technology Licensing, Llc Techniques to provide network security through just-in-time provisioned accounts
US10108891B1 (en) 2014-03-21 2018-10-23 Dynamics Inc. Exchange coupled amorphous ribbons for electronic stripes
US9477508B1 (en) * 2014-03-27 2016-10-25 Veritas Technologies Llc Storage device sharing among virtual machines
US9577999B1 (en) * 2014-05-02 2017-02-21 Nok Nok Labs, Inc. Enhanced security for registration of authentication devices
US9413533B1 (en) 2014-05-02 2016-08-09 Nok Nok Labs, Inc. System and method for authorizing a new authenticator
US9654469B1 (en) 2014-05-02 2017-05-16 Nok Nok Labs, Inc. Web-based user authentication techniques and applications
US9875347B2 (en) 2014-07-31 2018-01-23 Nok Nok Labs, Inc. System and method for performing authentication using data analytics
US9749131B2 (en) 2014-07-31 2017-08-29 Nok Nok Labs, Inc. System and method for implementing a one-time-password using asymmetric cryptography
US10148630B2 (en) 2014-07-31 2018-12-04 Nok Nok Labs, Inc. System and method for implementing a hosted authentication service
US9455979B2 (en) 2014-07-31 2016-09-27 Nok Nok Labs, Inc. System and method for establishing trust using secure transmission protocols
US9736154B2 (en) 2014-09-16 2017-08-15 Nok Nok Labs, Inc. System and method for integrating an authentication service within a network architecture
US10091312B1 (en) 2014-10-14 2018-10-02 The 41St Parameter, Inc. Data structures for intelligently resolving deterministic and probabilistic device identifiers to device profiles and/or groups
JP6380009B2 (ja) * 2014-10-31 2018-08-29 株式会社リコー 情報処理システム、認証方法、および情報処理装置
US10904234B2 (en) 2014-11-07 2021-01-26 Privakey, Inc. Systems and methods of device based customer authentication and authorization
US9813400B2 (en) * 2014-11-07 2017-11-07 Probaris Technologies, Inc. Computer-implemented systems and methods of device based, internet-centric, authentication
CN104519066B (zh) * 2014-12-23 2017-11-28 飞天诚信科技股份有限公司 一种激活移动终端令牌的方法
US9641509B2 (en) * 2015-07-30 2017-05-02 Ca, Inc. Enterprise authentication server
US11106818B2 (en) * 2015-12-11 2021-08-31 Lifemed Id, Incorporated Patient identification systems and methods
US10032049B2 (en) 2016-02-23 2018-07-24 Dynamics Inc. Magnetic cards and devices for motorized readers
US10637853B2 (en) 2016-08-05 2020-04-28 Nok Nok Labs, Inc. Authentication techniques including speech and/or lip movement analysis
US10769635B2 (en) 2016-08-05 2020-09-08 Nok Nok Labs, Inc. Authentication techniques including speech and/or lip movement analysis
US10615973B2 (en) * 2016-12-27 2020-04-07 Fotonation Limited Systems and methods for detecting data insertions in biometric authentication systems using encryption
US10091195B2 (en) 2016-12-31 2018-10-02 Nok Nok Labs, Inc. System and method for bootstrapping a user binding
US10237070B2 (en) 2016-12-31 2019-03-19 Nok Nok Labs, Inc. System and method for sharing keys across authenticators
US11868995B2 (en) 2017-11-27 2024-01-09 Nok Nok Labs, Inc. Extending a secure key storage for transaction confirmation and cryptocurrency
US11496462B2 (en) * 2017-11-29 2022-11-08 Jpmorgan Chase Bank, N.A. Secure multifactor authentication with push authentication
US11831409B2 (en) 2018-01-12 2023-11-28 Nok Nok Labs, Inc. System and method for binding verifiable claims
EP3542231A4 (en) * 2018-01-19 2020-10-07 Schneider Electric Buildings, LLC INTELLIGENT COMMISSIONING OF BUILDING AUTOMATION CONTROL DEVICES
US11223617B2 (en) * 2018-11-19 2022-01-11 Go Daddy Operating Company, LLC Domain name registrar database associating a temporary access code and an internet related activity of a user
US11792024B2 (en) 2019-03-29 2023-10-17 Nok Nok Labs, Inc. System and method for efficient challenge-response authentication

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7043760B2 (en) * 2000-10-11 2006-05-09 David H. Holtzman System and method for establishing and managing relationships between pseudonymous identifications and memberships in organizations
WO2002049311A2 (en) * 2000-11-14 2002-06-20 Tritrust.Com, Inc. Pseudonym credentialing system
TWI257058B (en) * 2000-11-21 2006-06-21 Ibm Anonymous access to a service
JP2004524605A (ja) * 2000-12-14 2004-08-12 クィジッド テクノロジーズ リミテッド 認証システム
US7243369B2 (en) * 2001-08-06 2007-07-10 Sun Microsystems, Inc. Uniform resource locator access management and control system and method
US7363494B2 (en) * 2001-12-04 2008-04-22 Rsa Security Inc. Method and apparatus for performing enhanced time-based authentication
US7221935B2 (en) * 2002-02-28 2007-05-22 Telefonaktiebolaget Lm Ericsson (Publ) System, method and apparatus for federated single sign-on services

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010503912A (ja) * 2006-09-15 2010-02-04 イニテック カンパニー リミテッド 複数の方式による使い捨てパスワードのユーザー登録、認証方法及び該方法を行うプログラムが記録されたコンピュータにて読取り可能な記録媒体
JP2012502522A (ja) * 2008-09-10 2012-01-26 エヌイーシー ヨーロッパ リミテッド サービスアクセスの制限を可能にする方法

Also Published As

Publication number Publication date
US20060174104A1 (en) 2006-08-03
EP1828920B1 (en) 2012-06-13
WO2006068998A1 (en) 2006-06-29
EP1828920A1 (en) 2007-09-05
US8060922B2 (en) 2011-11-15

Similar Documents

Publication Publication Date Title
JP2008524751A (ja) 消費者インターネット認証サービス
US11038868B2 (en) System and method for identity management
US11055391B2 (en) System and method for identity management
US20230245019A1 (en) Use of identity and access management for service provisioning
US6775782B1 (en) System and method for suspending and resuming digital certificates in a certificate-based user authentication application system
US8726358B2 (en) Identity ownership migration
US20010027527A1 (en) Secure transaction system
US20100299738A1 (en) Claims-based authorization at an identity provider
US20090260064A1 (en) Method and process for registering a device to verify transactions
CA2975843A1 (en) Apparatus, system, and methods for a blockchain identity translator
US20040117615A1 (en) Granting access rights to unattended software
WO2007137368A1 (en) Method and system for verification of personal information
CN102959559A (zh) 用于产生证书的方法
JP2016181242A (ja) 秘密情報にアクセスするための、多重パーティ及び多重レベルの承認を可能にするシステム及び方法
KR20030019466A (ko) 정보의 안전한 수집, 기억, 전송 방법 및 장치
WO2006062998A2 (en) System and method for identity verification and management
KR102191501B1 (ko) 생체 정보를 이용한 카드 결제의 중개 방법
JP2018533131A (ja) 認証サービス顧客データの管理方法及びシステム
US10867326B2 (en) Reputation system and method
JP4591143B2 (ja) 債権管理システム、債権管理方法及びプログラム
KR101505667B1 (ko) 주민번호의 수집 없는 회원가입, 인증 및 결제 방법
KR101547730B1 (ko) 하나의 계좌에 대하여 둘 이상의 비밀번호를 운용하는 금융 계좌 관리 장치 및 방법
Palfrey et al. Digital identity interoperability and einnovation
US20240020355A1 (en) Non-fungible token authentication
US20230009823A1 (en) Method and device for managing access authorization to a payment service provided to a user