BR112016015458B1 - Sistema e método para padrões de protocolo biométrico - Google Patents

Sistema e método para padrões de protocolo biométrico Download PDF

Info

Publication number
BR112016015458B1
BR112016015458B1 BR112016015458-4A BR112016015458A BR112016015458B1 BR 112016015458 B1 BR112016015458 B1 BR 112016015458B1 BR 112016015458 A BR112016015458 A BR 112016015458A BR 112016015458 B1 BR112016015458 B1 BR 112016015458B1
Authority
BR
Brazil
Prior art keywords
user
computing device
trusted server
secure communication
communication session
Prior art date
Application number
BR112016015458-4A
Other languages
English (en)
Other versions
BR112016015458A8 (pt
BR112016015458A2 (pt
Inventor
Hector Hoyos
Scott Streit
Jason Braverman
Original Assignee
Veridium Ip Limited
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US14/201,438 external-priority patent/US9208492B2/en
Application filed by Veridium Ip Limited filed Critical Veridium Ip Limited
Publication of BR112016015458A2 publication Critical patent/BR112016015458A2/pt
Publication of BR112016015458A8 publication Critical patent/BR112016015458A8/pt
Publication of BR112016015458B1 publication Critical patent/BR112016015458B1/pt

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3821Electronic credentials
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/951Indexing; Web crawling techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • G06F21/335User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • G06F21/35User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/10Payment architectures specially adapted for electronic funds transfer [EFT] systems; specially adapted for home banking systems
    • G06Q20/108Remote banking, e.g. home banking
    • G06Q20/1085Remote banking, e.g. home banking involving automatic teller machines [ATMs]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3829Payment protocols; Details thereof insuring higher security of transaction involving key management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4014Identity check for transactions
    • G06Q20/40145Biometric identity checks
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09CCIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
    • G09C5/00Ciphering apparatus or methods not provided for in the preceding groups, e.g. involving the concealment or deformation of graphic data such as designs, written or printed messages
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2115Third party
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2117User registration

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Accounting & Taxation (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Finance (AREA)
  • Software Systems (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Databases & Information Systems (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biodiversity & Conservation Biology (AREA)
  • Economics (AREA)
  • Development Economics (AREA)
  • Data Mining & Analysis (AREA)
  • Computer And Data Communications (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Information Transfer Between Computers (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • User Interface Of Digital Computer (AREA)
  • Storage Device Security (AREA)
  • Collating Specific Patterns (AREA)

Abstract

SISTEMA E MÉTODO PARA PADRÕES DE PROTOCOLO BIOMÉTRICO. Um certificado de uma só vez é fornecido que permite que uma sessão de comunicação segura de duas vias inicial entre um dispositivo de computação de utilizador e um servidor confiável. Uma sessão de comunicação protegido inicial é estabelecida pelo servidor de confiança com o dispositivo de computação utilizador após a recepção do certificado de uma só vez. O servidor de confiança recebe informações de identificação associado com o utilizador do dispositivo de computação utilizador, em que a informação de identificação inclui uma representação de identidade do utilizador que tenha sido confirmada como uma função da biometria e inclui ainda uma representação do dispositivo de computação utilizador. Além disso, o servidor de confiança gera um certificado de substituição que é único para a combinação do utilizador e o dispositivo de computação do usuário, e transmite o certificado de substituição para o dispositivo de computação utilizador. Em seguida, uma sessão de comunicação seguro bidireccional é estabelecida, pelo servidor de confiança, com o dispositivo de computação do utilizador, cada vez que o certificado de substituição é recebido pelo servidor de confiança.

Description

CAMPO DA INVENÇÃO:
[0001] A presente invenção refere-se, de modo geral, a sistemas e métodos para adquirir e distinguir características biométricas e, em particular, a sistemas e métodos para adquirir e distinguir características biométricas faciais que usam um dispositivo móvel para os propósitos de identificação ou autenticação de um usuário.
ANTECEDENTES DA INVENÇÃO:
[0002] Informações de todos os tipos continuam a ser armazenadas e acessadas remotamente, tal como em dispositivos de armazenamento que são acessíveis através de redes de comunicação de dados. Por exemplo, muitas pessoas e empresas armazenam e acessam informações financeiras, informações de saúde e médicas, informações de bens e serviços, informações de compra, informações de entretenimento, informações de multimídia através da Internet ou outra rede de comunicação. Adicionalmente ao acesso a informações, usuários podem efetuar transferências monetárias (por exemplo, compras, transferências, vendas ou similares). Em um cenário típico, um usuário se registra para ter acesso a informações, e depois disso envia um nome de usuário e senha para “iniciar sessão” e acessar informações. Tornar seguro o acesso às (e a partir das) informações e dados que são armazenados em uma rede de dados/comunicação permanece uma questão importante.
SUMÁRIO
[0003] Consequentemente, um sistema e um método são revelados para fornecer comunicação segura entre um dispositivo de computação de usuário e um servidor confiável. Em uma ou mais implantações, um certificado de uso único é fornecido, através de um aplicativo de software de cliente distribuído, que permite uma sessão de comunicação segura bidirecional inicial entre o dispositivo de computação de usuário e o servidor confiável. Uma sessão de comunicação segura inicial é estabelecida, pelo servidor confiável, com o dispositivo de computação de usuário depois de receber o certificado de uso único. O servidor confiável recebe, durante a comunicação segura inicial, informações de identificação associadas ao usuário do dispositivo de computação de usuário, em que as informações de identificação incluem uma representação da identidade de usuário que foi confirmada como uma função da biometria e incluem adicionalmente uma representação do dispositivo de computação de usuário. Além disso, o servidor confiável gera um certificado de substituição que é único à combinação do usuário e do dispositivo de computação de usuário, e transmite o certificado de substituição para o dispositivo de computação de usuário. Depois disso, uma sessão de comunicação segura bidirecional é estabelecida, pelo servidor confiável, com o dispositivo de computação de usuário cada vez que o certificado de substituição é recebido pelo servidor confiável.
[0004] Outras características e vantagens da presente invenção ficarão evidentes a partir da seguinte descrição detalhada da invenção que se refere aos desenhos anexos.
BREVE DESCRIÇÃO DOS DESENHOS/FIGURAS
[0005] Aspectos adicionais da presente revelação serão mais prontamente observados mediante a revisão da descrição detalhada de suas várias modalidades, descritas abaixo, quando tomada em conjunto com os desenhos anexos, nos quais:
[0006] A Figura 1 é um diagrama de blocos que ilustra uma pluralidade de dispositivos e componentes com certas modalidades do aplicativo;
[0007] A Figura 2 é um diagrama de blocos que ilustra uma pluralidade de dispositivos e componentes com certas modalidades do aplicativo;
[0008] A Figura 3 ilustra um caso de hierarquia de funções de acordo com o presente aplicativo.
[0009] A Figura 4 é uma tela de exibição de dispositivo móvel exemplificativa;
[0010] A Figura 5 é uma interface exemplificativa;
[0011] A Figura 6 ilustra uma tela de exibição exemplificativa;
[0012] A Figura 7 é uma tela de exibição exemplificativa;
[0013] A Figura 8 ilustra uma implantação exemplificativa; e
[0014] A Figura 9 ilustra uma implantação exemplificativa.
DESCRIÇÃO DETALHADA
[0015] De acordo com uma ou mais implantações, é fornecido um novo conjunto de padrões, denominado no presente documento, em geral, como Padrões de Protocolo Aberto Biométricos (“BOPS”) que, coletivamente ou pelo menos parcialmente, inclui uma infraestrutura para autenticar usuários. De acordo com o BOPS, a autenticação ocorre entre um usuário e serviço particular, que é alocado por um dispositivo de computação denominado no presente documento, de modo geral, como um “servidor de BOPS”. Essa abordagem é mais segura e prática do que entre usuário e um site da web na Internet. Em uma ou mais implantações, o servidor de BOPS aloca detalhes de segurança, e a presença do usuário é verificada em uma operação inicial (denominada no presente documento, de modo geral, como “gênese”), que é descrita em maiores detalhes abaixo. Uma chave de sessão é gerada e usada e um respectivo aplicativo pode proceder para a sessão até o tempo de vida da chave de sessão (que pode ser revogada antes que a mesma expire).
[0016] Em uma ou mais implantações, os Padrões de Protocolo Aberto Biométricos fornecem asserção de identidade, coleta de função, controle de acesso a múltiplos níveis, seguridade e auditoria. Em operação, o BOPS inclui execução de software em um dispositivo cliente (por exemplo, executar o sistema operacional ANDROID, iOS ou outro sistema operacional), em um servidor confiável de BOPS, e em um sistema de detecção de intrusão (“IDS”). O BOPS permite que componentes plugáveis substituam funcionalidade de componentes existentes aceitando-se integração em ambientes operacionais atuais em um curto período de tempo.
[0017] Em operação, o aplicativo de dispositivo/cliente carrega uma chave SSL bidirecional de uso único para comunicações iniciais como servidor. Essa chave SSL bidirecional de uso único é substituída, em função, pela chave SSL bidirecional do indivíduo que é fornecida durante a fase de identidade/Gênese.
[0018] A título de exemplo apenas e para o propósito de visão geral e introdução, as modalidades do presente aplicativo são descritas abaixo, que incluem um sistema e método para gravar características biométricas de usuário e gerar um identificador representativo das características biométricas de usuário, por exemplo, usando um dispositivo móvel tal como um telefone inteligente. O identificador biométrico pode ser gerado para os propósitos de identificação/autenticação (por exemplo, verificando) o usuário de acordo com o identificador biométrico.
[0019] Em uma ou mais implantações, é fornecido um sistema que pode incluir uma plataforma de servidor de sistema com base na nuvem que se comunica com os dispositivos de computação de usuário tais como computadores do tipo laptop, computadores do tipo tablet e dispositivos móveis (por exemplo, telefones inteligentes). Conforme o usuário acessa, por exemplo, um site da web que exige uma entrada de sessão segura, uma solicitação segura é feita para o servidor de sistema para a autenticação de usuário. Então, o servidor de sistema pode consultar o dispositivo móvel de usuário para capturar informações biométricas na forma de pelo menos imagens dos olhos de usuário, região periocular e rosto ou qualquer combinação dos anteriores (coletivamente denominados como a região Vitruviana), e criptar as informações biométricas Vitruvianas capturadas como um identificador biométrico Vitruviano. Depois, o usuário pode ser verificado de acordo com o identificador biométrico Vitruviano. A verificação pode ser realizada, por exemplo, pelo dispositivo móvel, pelo servidor de sistema ou por uma combinação do anteriormente mencionado comparando-se o identificador biométrico Vitruviano a um identificador Vitruviano gerado durante a inscrição inicial de usuário no sistema.
[0020] Deve ser observado que o presente aplicativo fornece conveniência significativa para usuários e um ou mais provedores de informações como uma função do gerenciamento de acesso com base em biometria. É reconhecido pelo inventor que consumidores, de modo geral, aprovam a biometria para o acesso a e o gerenciamento de informações que são fornecidas remotamente, tal como on-line por uma rede de comunicação. As tecnologias biométricas podem fornecer ao consumidor uma conveniência a muito aguardada para entrar de modo seguro no “ciberespaço” no front end.
[0021] Os Padrões de Protocolo Aberto Biométricos fornecidos no presente documento protegem ativos digitais de usuários e identidades digitais no “backend” e podem ser um padrão agnóstico biométrico, e incluem uma interface de programação de aplicativo (“API”) para desenvolvedores fazerem interface com a mesma. Por exemplo, o presente aplicativo suporta diferentes medidas baseadas em segurança e processuais que podem estar previamente disponíveis. Consequentemente, um processo de autenticação de segurança existente que emprega biometria pode ser integrado, impedindo, desse modo, a interrupção de uma prática de negócios existente.
[0022] Além disso, em uma ou mais implantações é fornecida uma arquitetura de comunicação de BOPS que permite uma conexão de Camada de Soquete Segura Bidirecional (SSL) através do mecanismo de encriptação para o servidor de BOPS, que pode empregar um sistema de detecção de intrusão (IDS).
[0023] A seguir há uma listagem alfabética de termos e definições correspondentes de acordo com uma ou mais modalidades do presente aplicativo. Um glossário adicional de termos é estabelecido no presente documento.
[0024] Console Administrador: um portal online que facilita o registro e inscrição com BOPS.
[0025] Aplicativo: um software/sistema único que é criado com uso da chave de Interface de Programação de Aplicativo (API).
[0026] Administrador de BOPS: um administrador de BOPS que configura um ambiente e cria um Administrador de Site Original com base nas informações de inscrição durante o registro.
[0027] Agrupamento de BOPS: um conjunto de computadores conectados de modo solto ou preso, dispositivos que se comunicam com uso de BOPS.
[0028] Servidor de BOPS: um caso de um servidor, tal como no paradigma cliente/servidor, que suporta arquitetura de BOPS.
[0029] IDS dos BOPS: um caso do sistema de detecção de intrusão no agrupamento privado que suporta arquitetura de BOPS.
[0030] IDS de dispositivo cliente: um caso do sistema de detecção de intrusão em execução localmente em um dispositivo de usuário.
[0031] Regras Jena: sintaxe e um sistema de máquina que aprende regras para inferência.
[0032] Agrupamento de IDS: um conjunto de Sistemas de Detecção de Intrusão conectados de modo solto ou preso que suporta BOPS.
[0033] Administrador de Site Original: um administrador criado pelo administrador de BOPS com o privilégio de criar outros administradores dentro da mesma organização. O Administrador de Site Original pode declarar sua identidade única de acordo com as exigências do cliente (consulte abaixo, com referência à seção em relação às observações das exigências de Cliente/API de Gênese).
[0034] Administrador de Site: um aplicativo administrador que é criado pelo Administrador de Site Original.
[0035] Dados Adjudicados Confiáveis: dados armazenados em BOPS com adjudicação Segura de Múltiplos Níveis no servidor de BOPS.
[0036] Usuário: um usuário único, cuja identidade está sendo declarada pelo BOPS que pode ter diversos dispositivos.
[0037] Dispositivo de usuário: um dispositivo único que tem software de cliente acionado por biometria.
[0038] Com referência agora aos desenhos, nos quais números de referência similares se referem a elementos similares, a Figura 1 é um diagrama de blocos simples que ilustra uma pluralidade de dispositivos de cliente 104 e a comunicação com um servidor de BOPS 102 e componentes associados com uma implantação exemplificativa. Em uma ou mais implantações, Padrões de Protocolo Aberto Biométricos incluem regras que governam a comunicação segura entre uma variedade de dispositivos de cliente 104 e um ou mais servidores confiáveis. Conforme será prontamente evidente para o indivíduo versado na técnica, o presente aplicativo fornece valores de incentivo de BOPS e fornece um guia abrangente para a implantação de BOPS. O BOPS se compatibiliza com os Critérios de Avaliação de Sistema de Computador Confiável, denominados frequentemente como Orange Book, seção B1; para o Diretor da Diretiva de Inteligência Central 6/3 de níveis de proteção 3, 4 e 5 (PL3, PL4, PL5); e com os padrões de Níveis de Segurança Independentes Múltiplos (MILS).
[0039] As considerações de segurança incluem as políticas de segurança vigentes e níveis de segurança definidos de modo não ambíguo. Uma das funções principais do BOPS é fornecer autenticação em vez de autorização de um modo que o servidor não retenha as informações de cliente, mas em vez disso diferencie um cliente do outro. Conforme observado no presente documento, considerações sobre componentes-chave de segurança dos BOPS incluem declaração de identidade, coleta de função, controle de acesso, auditoria e seguridade. O presente aplicativo, incluindo através de uma implantação de BOPS, fornece proteção contínua aos recursos e seguridade da colocação e viabilidade da adjudicação e de outras características chaves. A responsabilidade é o mecanismo que prova uma garantia de segurança em nível de serviço.
[0040] A declaração de identidade de BOPS fornece uma garantia de que usuários nomeados são quem reivindicam ser. A declaração de identidade implica a confiança na biometria humana, contudo, o BOPS é um padrão interoperável e pode incorporar qualquer declarador de identidade, ou inúmeros declaradores que fornecem essa garantia. A aplicação do Sistema de Detecção de Intrusão (IDS) fornece monitoramento ativo para impedir a falsificação do conjunto de credenciais e colocar na lista negra um indivíduo ou dispositivo que faz tentativas maliciosas.
[0041] Em uma ou mais implantações, a coleta de função é focada em confidencialidade de dados e acesso privilegiado com base em regras impostas por um sistema conhecido. Para determinar se um modo de acesso específico é permitido, o privilégio de uma função pode ser comparado à classificação do grupo para determinar se o indivíduo está autorizado ao acesso confidencial. A estrutura dos objetos pode ser definida pelo controle de acesso. A coleta de função ocorre no nível do sistema ou através da chamada do cliente/servidor. O servidor de BOPS armazena informações de coleta de função para associar um usuário único a um dispositivo único.
[0042] Em relação ao controle de acesso, o BOPS suporta controle de acesso entre os usuários nomeados e objetos nomeados (por exemplo, arquivos e programas). Um mecanismo de adjudicação com base em função inclui e permite a usuários e administradores especificarem e controlarem o compartilhamento de objetos por indivíduos nomeados, por grupos definidos de indivíduos ou por ambos. Além disso, um mecanismo de controle de acesso discricionário é fornecido para assegurar que objetos estão protegidos do acesso não autorizado. Adicionalmente, o controle de acesso discricionário fornece proteção no nível do grupo ou indivíduo através de um único ou um grupo de objetos. A granularidade varia de indivíduo para grupo.
[0043] Em uma ou mais implantações, o BOPS pode impor uma política de controle de acesso obrigatória a todos os indivíduos e objetos de armazenamento sob seu controle (por exemplo, processos, arquivos, segmentos, dispositivos). Pode ser atribuído a esses indivíduos e objetos rótulos de sensibilidade, que podem ser uma combinação de níveis de classificação hierárquica e categorias não hierárquicas, e os rótulos podem ser usados na adjudicação como uma base para decisões de controle de acesso obrigatórias.
[0044] Em uma ou mais implantações, as seguintes exigências detêm todo o acesso entre indivíduos e objetos controlados pelo BOPS: um indivíduo pode ler um objeto apenas se a classificação hierárquica no nível de segurança do indivíduo for maior do que ou igual à classificação hierárquica no nível de segurança do objeto e as categorias não hierárquicas no nível de segurança do indivíduo incluírem todas as categorias não hierárquicas no nível de segurança do objeto. Um indivíduo pode gravar um objeto apenas se a classificação hierárquica no nível de segurança do indivíduo for menor ou igual à classificação hierárquica no nível de segurança do objeto e todas as categorias não hierárquicas no nível de segurança do indivíduo forem incluídas nas categorias não hierárquicas no nível de segurança do objeto.
[0045] Os dados de identificação e autenticação deveriam ser usados pelo BOPS para autenticar a identidade de usuário e para assegurar que o nível de segurança e autorização dos indivíduos externos ao BOPS que podem ser criados para atuar em nome do usuário individual são dominados pela liberação e autorização daquele usuário.
[0046] O presente pedido fornece auditoria e revisão, denominados de modo geral no presente documento como seguridade. O BOPS pode suportar solicitações de auditoria no nível de Indivíduo/Objeto ou no nível de grupo. O BOPS pode usar Programação Orientada por Aspecto (AOP) para assegurar que todas as chamadas sejam gravadas de modo seguro para um acompanhamento de auditoria. Além disso, serviços de web RESTFul e interface JSON podem fornecer um mecanismo para ler o acompanhamento de auditoria. A auditoria pode ocorrer no indivíduo por ação, no objeto por ação ou no grupo por ação. Por exemplo, um grupo de usuários chamado “Controle” pode auditar todos os gravados de General Ledger; ou um Chefe do Setor Financeiro pode ter auditorias para ler a Declaração de Renda. Ademais, em uma ou mais implantações, testes JUnit são fornecidos para todas as condições de limite dos BOPS. O pacote de testes inclui testar todos os componentes e condições limites do sistema.
[0047] Conforme observado no presente documento, o BOPS permite atender às necessidades de segurança usando-se uma API. O BOPS não precisa saber se o sistema subjacente é um Sistema de Gerenciamento de Banco de Dados Relacionais (RDBMS), um Mecanismo de Busca ou outro sistema. A funcionalidade dos BOPS oferece um mecanismo de “ponto e corte” para adicionar a segurança apropriada aos sistemas de produção assim como os sistemas em desenvolvimento. A arquitetura é uma linguagem neutra que permite que as Camadas de Soquete Seguras, de REST e JSON forneçam a interface de comunicação. Adicionalmente, em uma ou mais implantações, a arquitetura é construída nas especificações do pequeno servidor, camadas de soquete seguras abertas, Java, JSON, REST e Apache Solr. Outro mecanismo de persistência pode ser suportado, tal como Cassandra. As ferramentas podem aderir a padrões abertos que permitem interoperabilidade significativa.
[0048] Em uma ou mais implantações, os BOPS são úteis através do controle de acesso ou adicionados à declaração de identidade de infraestrutura já existente. O BOPS permite processamento confiável realizando-se ações mínimas no ambiente de produção e na maioria dos casos não exige a mudança de qualquer software de aplicativo.
[0049] Além disso, em uma ou mais implantações, Camadas de Soquete Seguras Bidirecionais (SSL) são fornecidas, as quais são construídas acima da SSL unidirecional e fornecem comunicação começando pelo cliente. A comunicação inicial ou “gênese” estabelece a origem da identidade do cliente e passa um certificado bidirecional em conformidade com BOPS que o cliente usa para uma comunicação subsequente em conjunto com a Declaração de identidade orientada por sessão. Em uma ou mais implantações, o aplicativo de cliente tem uma chave de SSL bidirecional que permite Gênese de identidade subsequente.
[0050] Em operação, um servidor em conformidade com BOPS recebe comunicação por SSL unidirecional com identidade de SSL bidirecional. A comunicação é conduzida tanto por SSL unidirecional quanto por SSL bidirecional. O servidor usa um armazenamento de dados para tomar identidade confiável e coletar as funções para o processamento em nome da identidade. A auditoria assegura os artefatos apropriados para a verificação e validação continuada do acesso confiável. A seguridade ocorre através da simplificação e documentação do mecanismo de controle de acesso a múltiplos níveis. O BOPS exige um Console de Administração que está disponível depois do processo de registro (consulte abaixo, com relação ao Registro), que permite modificação dinâmica de Usuários, Grupos e Funções.
[0051] Em uma ou mais implantações, o BOPS é implantado com um sistema de detecção de intrusão ativo que fornece a prevenção de qualquer forma de ataque de força bruta ou negação de serviço (DOS único ou distribuído). O padrão contém uma regra personalizada que identifica e rastreia as tentativas de forjar imitação de certificados de SSL bidirecional, uma reprodução de sessão, pacotes forjados e uma variedade de outras tentativas para contornar o servidor de BOPS.
[0052] A Figura 2 é um diagrama de blocos que ilustra componentes exemplificativos para fornecer os sistemas e métodos mostrados e descritos no presente documento e apontados, de modo geral, como sistema 200. Conforme mostrado na Figura 2, o dispositivo de usuário 104 é posicionado do lado de fora do firewall 202, e se comunica com o servidor de BOPS 102 através do software de cliente do aplicativo de BOPS. Também incluídos na Figura 2 estão os agrupamentos de BOPS 204 e IDS de BOPS 206. Apesar de a implantação mostrada na Figura 2 ilustrar os agrupamentos de BOPS 204 separados do servidor de BOPS 102 e do IDS de BOPS 206, uma pessoa versada na técnica reconhecerá que os agrupamentos 204 podem compreender o servidor de BOPS 102 e/ou o IDS de BOPS 206, dependendo de implantações particulares. Conforme observado no presente documento, Camadas de Soquete Seguras Bidirecionais (SSL) podem ser fornecidas as quais são construídas no topo de SSL unidirecional, e fornecem comunicação começando no cliente.
[0053] A seguir há uma descrição de uma implantação exemplificativa do pedido de patente presente. Um processo de registro inicia a adoção de BOPS dentro de uma organização. Antes de um administrador de BOPS configurar um ambiente, a organização registra para receber uma chave API, por exemplo, a partir de um site da web na Internet. Um desenvolvedor individual pode requerer uma chave de API também. Na conclusão da inscrição, o administrador de site original administrador de BOPS pode criar administradores de site adicionais. No futuro, as informações de inscrição serão associadas com a chave de API da organização. O registro de API pode pertencer a dois domínios: o administrador de site original incluído e a chave de API emitida, que é baseada nas informações de inscrição, na organização e caso de uso. O processo de registro está completo quando o início do aplicativo é acordado. Depois disso, o administrador de BOPS cria o administrador de site original, para uma organização, o administrador de site original pode criar um administrador de site (consulte a Figura 3). As etapas depois do registro são descritas abaixo. A Figura 3 ilustra um caso de hierarquia de funções de acordo com o presente aplicativo.
[0054] Em uma implantação exemplificativa, antes do processo de desenvolvimento que utiliza o serviço de BOPS, um desenvolvedor registra em um “Console de Administrador de BOPS”. Fornecendo-se o nome do aplicativo e usando, por exemplo, Axiom para identificar o desenvolvedor, o BOPS estabelece uma nova conta e cria a chave de API, que pode ser identificada com o nome do aplicativo e associada com o aplicativo. A chave de API estabelecida pode ser incluída em todas as chamadas de API para o servidor de BOPS. O servidor de BOPS valida a chave de API. Se a chave está expirada ou inválida, o servidor de BOPS imediatamente rejeita a solicitação de serviço.
[0055] Conforme observado no presente documento, em uma ou mais implantações, a comunicação entre o aplicativo e o servidor de BOPS é estabelecida em cima de SSL bidirecional. O mecanismo de Gênese fornece estabelecimento da conexão. O Gênese especifica como os usuários se identificam para o servidor de BOPS, de modo que o servidor possa gerar uma chave privada para configurar a comunicação por SSL bidirecional entre o aplicativo do dispositivo de usuário 104 e o servidor de BOPS 102. Axiom é um dos mecanismos que BOPS pode usar para identificar usuários. Além disso, o aplicativo pode ser responsável por fornecer uma ID única que identifica o dispositivo do usuário final. O aplicativo pode usar a API associada ao dispositivo para notificar o servidor de BOPS sobre a ligação entre o usuário e o dispositivo de usuário.
[0056] O exemplo a seguir demonstra comunicação entre um cliente e um servidor. As chamadas para o servidor de BOPS podem ter uma chamada de API com a exceção notável de CreateApplication, que cria, de fato, a chave de API. A solicitação pode se originar a partir de um dispositivo de cliente para um servidor seguro. A chamada inicial recebe certificado de SSL bidirecional e cria um usuário. O usuário é criado em ambiente persistente agrupado. Supõe-se que as somas que impedem a reprodução são encriptadas de modo unidirecional com uso de SHA1. Trocar SHA1 por qualquer algoritmo adequado não muda o algoritmo. No presente documento, supõe-se SHA1.
[0057] Um formato exemplificativo de uma chamada inicial seria:
[0058] https://xyz.domain.com:8443/{BOPS_Instance _Server}/?val1=<n1>&val2=<n2>&siteId=<client>&username=<username>&pa ssword=<password>&newPassword=<newpassword>
[0059] Para val1=<n1>, n1 é uma soma de SHA1 de um número inteiro entre -59 e 59 adicionado ou subtraído do tempo atual no formato ISO-8601. Para val2=<n2>, n2 é uma soma de SHA1 de um número inteiro entre -59 e 59 e é maior do que o valor do texto não encriptado de n1. Os valores para nome de usuário e senha são dependentes do cliente e usados para alcançar o declarador de identidade atual. Mecanismos similares existem para SAML, LDAP, ActiveDirectory em conjunto com uma variedade de mecanismo para Declarar Identidade e Coletar Função.
[0060] A seguir, é representada a consequência de uma Solicitação de Gênese:
Figure img0001
[0061] O usuário scott tem um e-mail scott@sample.com. O primeiro valor de reprodução em um texto não encriptado é 5 e o segundo é 40. O sessionTimeout existe no sessionld, pareando siteId. Para um administrador do site da web do cliente de negócios, o sessionTimeout existe uma hora.
[0062] Em maiores detalhes o exemplo funciona conforme a seguir, com o tempo atual como 2013-12- 22T17:46:03.647Z. Um cálculo é feito para ir de volta ao intervalo de cinco minutos e obter 2013- 12- 22T17:45:00.007Z com uma soma de SHA1 de fa8el4cf7f80f885084ee0e3cb256182bb6a4e40
Exemplo:
[0063] https://xyz.domain.com:8443/{BOPS_Instance _Server}/genesisval1=fa8e14cf7f80f885084ee0e3cb256182bb6a4e40&val2=fa 8e14cf7f80f885084ee0e3cb256182bb6a4e40&newPassword=gasol
[0064] Os valores associados com val1 são fa8el4cf7f80f885084ee0e3cb256182bb6a4e40 é um deslocamento 5 e para val2=fa8el4cf7f80f885084ee0e3cb256182bb6a4e40 que acaba por ser o mesmo para 40. A newPassword é a senha para a chave de SSL bidirecional que é, preferencialmente, não armazenada no servidor de BOPS.
[0065] Para executar essa operação, o servidor de BOPS precisa ter a soma de SHA1 para todos os números inteiros entre -59 e 59 para decifrar a soma.
[0066] A seguir, são representadas chamadas de API subsequentes. Por exemplo, às 14:18, hora em Zulu, o usuário scott usa um dispositivo cliente (telefone Android) para criar uma sessão. A chamada contém deviceld para uma sessão, assim como os seguintes parâmetros:
[0067] Val1=<SHA1sum do tempo atual recuado para o 5 minute interval>&val2=<SHA1sum mais próximo de tempo atual adiantado para o 20 minuteinterval>&command=<SHA1sum mais próximo de um sistema operacional de nível baixo tal fopen>&version=<version of command >&val3=<SHA1sum for the command file>
[0068] Para impedir a reprodução de uma sessão prévia ou uma substituição de arquivos de objeto kernel de chave, o servidor de BOPS contém somas de SHA1 para nomes de comandos e os arquivos em uma base de versão para versão. Usar o protocolo de BOPS em conjunto com o sistema de detecção de intrusão de BOPS impede o ataque de reprodução. O IDS atualiza a lista dos objetos em lista negra, como ameaças e ataques, no nível de reconhecimento de ataque adicional.
[0069] A discussão a seguir se refere a uma visão geral de uma API de acordo com uma ou mais implantações do presente aplicativo. Em uma ou mais implantações, os nomes de API estão em formato de Notação de Objetos JavaScript RESTful (JSON).
[0070] Com relação à API de declaração de identidade, desenvolvedores individuais podem requerer uma API_Key para seus próprios aplicativos que usarão BOPS. Uma vez que os desenvolvedores individuais tenham suas própria API_Keys, as chamadas de API que são feitas por seus próprios aplicativos podem inserir essa API_Key como um dos parâmetros. O LDAP pode verificar a API_Key naquele nível de API. Ademais, a identificação de aplicativo cria um aplicativo para uso por um time de desenvolvimento.
[0071] Uma discussão de um processo de criação de aplicativo exemplificativo de acordo com uma implantação exemplificativa é agora fornecida. Depois do início do aplicativo ser acordado, o administrador geral de BOPS cria um usuário com a função especial de originalSiteAdmin. Uma vez que o administrador de Site Original existe, a primeira ação da pessoa com a função de originalSiteAdmin associa sua biometria com a identidade. Depois disso, as ações têm gênese e API. Adicionalmente, a função originalSiteAdmin pode criar usuários de função siteAdmin. A função siteAdmin é usada para trabalho de administração adicional.
Figure img0002
Figure img0003
[0072] Com relação a uma API Gênese exemplificativa, o serviço de gênese é uma configuração inicial para um usuário. Pode funcionar com identidades iniciais previamente armazenadas, ou pode usar um serviço de axiom externo para a identidade inicial.
Figure img0004
Figure img0005
[0073] Em uma ou mais implantações exemplificativas, pode haver diversas regras definidas para dispositivos de cliente para assegurar a identidade. Essas regras podem incluir: 1) o dispositivo de autenticação de cliente não exige dispositivos adicionais; 2) falsos negativos devem estar abaixo de uma porcentagem predefinida (por exemplo, < 1); falsos positivos devem estar abaixo de uma porcentagem predefinida (por exemplo, < 0,5%). Outras regras podem incluir 4) a própria lista negra do software se o usuário falhar mais do que um número predefinido (X) de vezes consecutivas. Adicionalmente, o cliente pode ter um sistema de detecção de intrusão de cliente com capacidade para ver os padrões de tentativa e erro e se colocar na lista negra. Os aplicativos projetados para uso com BOPS podem incluir alguma forma de Detecção de Intrusão, por meio da qual o software pode detectar tentativas de falsificação e restringir o acesso ao sistema backend, definida, por exemplo, como a quantidade X de tentativas, o que depois faz com que o aplicativo cliente pare de funcionar por um período de tempo X ou indefinidamente até que o dispositivo possa estar apropriadamente seguro de que está seguro e válido. Adicionalmente, as regras podem incluir 5) Liveness, em que aplicativos que pretendem estar em conformidade com BOPS incluem alguma forma de detecção Liveness ou capacidade para assegurar que o usuário sendo incluído ou autenticado é uma pessoa real e não uma imagem ou outra representação do usuário. Para os sistemas de reconhecimento de face, isso pode ser algo tão simples quanto a detecção de piscada, a questão é que alguma forma de antifalsificação existe para impedir acesso falso ao sistema. Em uma ou mais implantações, uma organização de empreendimento determina qual caso é o mais adequado para uma implantação particular.
[0074] Em uma ou mais implantações, a coleta de função é recuperada a partir de uma Fonte de Função autoritária, por exemplo, Active Directory, LDAP ou servidor Big Data de banco de dados relacional ou é conduzida através de uma chamada de API adicional em um servidor de BOPS para encontrar a lista de Funções. As funções podem ser coletadas e armazenadas no servidor de BOPS.API DE FUNÇÃO
Figure img0006
[0075] A seguir, é descrita a construção de sessão de código de imagem dinâmica, de acordo com uma ou mais implantações do presente aplicativo. Por exemplo, a Página da Web para Imagem Dinâmica retorna sessionid. Uma subchamada de API retorna uma imagem criptada por MIME que tem a sessionid na imagem dinâmica. A outra retorna uma URL da imagem e a sessionid em formato de texto JSON. Na conclusão da construção de sessão todas as funções (rótulos) podem ser associadas ao usuário.
Figure img0007
[0076] Continuando com a construção de sessão de código de imagem dinâmica em uma ou mais implantações exemplificativas, um dispositivo de entrada realiza a varredura de uma imagem dinâmica e valida a sessionid submetida à varredura com BOPS, que aciona a associação tripla de usuário, dispositivo e sessão. O software de cliente de BOPS valida a biometria. A situação biométrica é enviada para o servidor de BOPS. Em uma ou mais implantações, os próprios dados biométricos não são enviados para o servidor de BOPS, para satisfazer questões de privacidade. Depois disso, o dispositivo realiza a varredura da biometria e uma sessionID é criada. Em uma ou mais implantações, a sessionid da situação de sessão retorna sessionNotReady, validationlnProgress, userAuthenticated, userRejected, sessionTerminated, sessionExpired. sessionLogoff e userLogoff. O Término de Sessão traz uma notificação de logoff. Uma vez recebida, a sessão pode ser fechada para uma atividade futura conforme definido pelo sessionLogoff na SessionID. Falhas na criação de sessionID podem ser governadas por um IDS que pode, então, tomar ações apropriadas para terminar a criação da sessionID, isso pode ocorrer bloqueando endereços de IP, colocando domínios na lista negra, colocando usuários na lista negra, ou outros meios. A colocação na lista negra tem uma hierarquia de restrição de acesso para o sistema com base nas regras de aprendizagem complexas.
[0077] Voltando agora para uma API de controle de acesso exemplificativa, dada sessionid, o rótulo de dados e o acesso são permitidos. Em uma ou mais implantações, o conjunto de dados em formato JSON (JSONArray de JSONObjects) é um campo de securityLabel. O campo de rótulo de segurança é compatibilizado com as funções associadas com o usuário através da sessão. Se os dados (JSONObject) são um subconjunto das funções, então, os dados são retornados. De outro modo, os dados parciais de JSONObject não são retornados. Conforme a API redireciona a chamada, os dados retornados se tornam restritos. Na chamada de API redirecionada uma chamada geUSON é interceptada.
[0078] A seguir, é descrita uma implantação exemplificativa na qual o algoritmo de controle de acesso é aplicável para cada usuário no momento que a construção de sessão planifica as hierarquias.
[0079] Consequentemente, usuários Gerentes sugerem que o rótulo de Gerente é tanto um Gerente quanto um usuário, então:
[0080] Se Bob é um Gerente, os rótulos para Bob são Gerente, Usuário.
[0081] Se um Dado é Gerente, a hierarquia não é planificada.
[0082] Para a adjudicação, se os dados são um subconjunto das funções de usuários (grupos), a adjudicação permite que o usuário consulte o mesmo:
[0083] Sem leitura, sem gravada de modelo “Bell- LaPadula”.
[0084] Em um determinado momento, o usuário funciona no nível de segurança que é não hierárquico.
[0085] Independentemente do número de rótulos planificados, o usuário funciona em um rótulo por vez, quando começa a gravar. Por exemplo, se Bob está funcionando como um gerente, ele pode apenas gravar dados como um gerente. Se ele está funcionando como um usuário, então ele pode apenas gravar dados como um usuário. Isso impede a política de segurança pela “escrita”.
Figure img0008
Figure img0009
[0086] Voltando agora para uma ou mais implantações e em relação à auditoria, as etapas associadas com a Declaração de Identidade, Criação de Sessão e Adjudicação têm uma capacidade de auditar. A capacidade pode ser estabelecida por qualquer usuário, grupos de usuários ou funções por qualquer ação (ler/gravar) em qualquer conjunto de dados. A auditoria pode ser armazenada e coletada RESTfully e, depois, armazenada em um servidor de BOPS.API PARA SOLICITAÇÃO DE AUDITORIA
Figure img0010
Figure img0011
API PARA LER REGISTROS DE AUDITORIA
Figure img0012
[0087] Voltando agora para a administração de acordo com uma implantação exemplificativa, o mapeamento de usuários para Grupos e Grupos para Funções e Atributos para Grupos é fornecido por uma chamada de API. Todas as chamadas exigem uma camada de comunicação de SSL bidirecional e devem ser conduzidas pela função de administrador.
EXEMPLO:
[0088] UPDATE_URI=https://xyz.domain.com:8443/{ BOPS_Instance_Name}/JSONUpdate PARA ADICIONAR OU ATUALIZAR UM USUÁRIO
Figure img0013
PARA ADICIONAR OU ATUALIZAR UM GRUPOPARA ADICIONAR UMA FUNÇÃO
Figure img0014
Figure img0015
[0089] Além disso, o relato é suportado e o relatório de nível de administração está disponível na API que faz auditoria.
[0090] A seguir, um glossário exemplificativo de termos de acordo com uma ou mais implantações do presente aplicativo.GLOSSÁRIO
Figure img0016
Figure img0017
[0091] A seguir, uma descrição de uma implantação exemplificativa. Para iniciar o aplicativo, um usuário autentica seu rosto no aplicativo móvel e é verificado imediatamente. A Figura 4 ilustra uma tela de exibição de dispositivo móvel exemplificativa sugerindo que o usuário proceda com a autenticação. Pode ser exigido do usuário também especificar um endereço de e-mail para o qual o aplicativo móvel envia as notificações. Desse modo, o proprietário da identidade receberá o link para transferir por download um aplicativo middleware que sincroniza o dispositivo móvel e uma ou mais máquina de mesa, em que o usuário gostaria de conduzir uma autenticação segura. Esse middleware, que pode ser instalado através do Windows ou instalador OSX padrão em cada uma das máquinas, permite gerenciar as preferências de início de sessão do usuário através de um aplicativo em um computador de mesa.
[0092] A Figura 5 ilustra uma interface exemplificativa para verificar um usuário. A Figura 6 ilustra uma tela de exibição exemplificativa que inclui configurar extensões de terceiros desenvolvedores para personalizar e aprimorar as experiências de web dos usuários.
[0093] Uma vez que o aplicativo de cliente é iniciado, um usuário pode acessar a conta de banco (ou outro site da web) no computador verificando sua identidade. Isso poderia ser feito em algumas etapas simples. Com referência à Figura 7, um usuário é sugerido realizar a varredura de um código QR que aparece na tela com o telefone. O usuário realiza a varredura do código QR (por exemplo, conforme mostrado na Figura 8) e, depois disso, uma vez verificado e autenticado acessa o conteúdo (Figura 9). Se a identidade de usuário não pode ser verificada, o acesso ao site da web será recusado. Uma vez que a identidade é confirmada, a conta do usuário será aberta no navegador.
[0094] Portanto, de acordo com os sistemas e métodos mostrados no presente documento, o presente aplicativo fornece autenticação nova e verificável, controle de acesso, coleta de função, seguridade e auditoria em conexão com ativos digitais fornecidos por uma rede de comunicação. Em seguida ao processo de Gênese e à vinculação da biometria do usuário ao dispositivo do usuário, uma chave de SSL bidirecional que foi atribuída por uma autoridade de certificação pode ser usada para assegurar acesso e atividade subsequente.
[0095] O presente aplicativo fornece implantações flexíveis, incluindo aquelas que são associadas à autenticação biométrica, assim como para provisões de segurança que podem ter sido preparadas antes do processo de Gênese. Isso fornece segurança aumentada sem interferir com uma metodologia de negócios existente na organização que provê acesso a ativos digitais. Em uma ou mais implantações, o presente aplicativo adiciona declaração de identidade sem perturbar um modelo de negócios existente.
[0096] Ademais, o presente aplicativo fornece segurança aumentada impedindo a falsificação, tal como em um caso em que um identificador único de SSL bidirecional é “reproduzido” por um hacker. Um hacker que é sofisticado e “domina” um telefone inteligente, por exemplo, a fim de substituir um comando “abrir arquivo” por um novo, e que rouba um handshake bem-sucedido e tentar retornar o handshake bem-sucedido para enganar o sistema ficaria impossibilitado de ganhar acesso ao servidor confiável 102.
[0097] Consequentemente, o presente aplicativo fornece aprimoramento significativo em relação aos meios de segurança conhecidos fornecendo-se padrões que coletivamente incluem uma infraestrutura para autenticar usuários e permitir acesso a um ou mais ativos digitais pela mesma.
[0098] A matéria descrita acima é fornecida como forma de ilustração e não deve ser interpretada como limitadora da invenção. Várias alterações e modificações podem ser feitas à matéria individual no presente documento sem seguir as modalidades exemplificativas e aplicativos ilustrados e descritos, e sem se afastar do verdadeiro espírito e escopo da presente invenção, conforme estabelecido em cada uma das reivindicações a seguir.

Claims (20)

1. Método para fornecer comunicação segura entre um dispositivo de computação de usuário e um servidor confiável, caracterizado pelo fato de que compreende: fornecer, através de um aplicativo de software de cliente distribuído, um certificado de uso único que permite uma sessão de comunicação segura bidirecional inicial entre o dispositivo de computação de usuário e o servidor confiável; estabelecer, pelo servidor confiável, uma sessão de comunicação segura inicial com o dispositivo de computação de usuário depois de receber o certificado de uso único; receber, pelo servidor confiável durante a sessão de comunicação segura inicial, informações de identificação associadas ao usuário do dispositivo de computação de usuário, em que as informações de identificação incluem uma representação da identidade de usuário que foi confirmada como uma função da biometria e inclui adicionalmente uma representação do dispositivo de computação de usuário; gerar, pelo servidor confiável, um certificado de substituição que é único para a combinação do usuário e do dispositivo de computação de usuário, transmitir, pelo servidor confiável, o certificado de substituição para o dispositivo de computação de usuário; e estabelecer, pelo servidor confiável, uma sessão de comunicação segura bidirecional com o dispositivo de computação de usuário cada vez que o certificado de substituição e informações codificadas que representam que a identidade do usuário foi verificada usando a captura de informações biométricas for recebido do dispositivo de computação do usuário pelo servidor confiável.
2. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que compreende empregar, pelo servidor confiável, um sistema de detecção de intrusão que fornece monitoramento ativo e impede falsificação do certificado de substituição.
3. Método, de acordo com a reivindicação 2, caracterizado pelo fato de que a falsificação que é impedida inclui reproduzir o certificado de substituição.
4. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que a sessão de comunicação segura bidirecional inicial e a sessão de comunicação segura bidirecional com o dispositivo de computação de usuário cada vez que o certificado de substituição é recebido pelo servidor confiável são adicionalmente estabelecidas como uma conexão segura unidirecional.
5. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que a sessão de comunicação segura bidirecional inicial e a sessão de comunicação segura bidirecional são tornadas seguras através de conexões de camada de soquetes seguras bidirecionais e através de conexões de camada de soquetes seguras unidirecionais.
6. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que compreende adicionalmente: receber, pelo servidor confiável a partir de um dispositivo de computação que não o dispositivo de computação de usuário um identificador de usuário que representa o usuário; e incluir o identificador de usuário no certificado de substituição.
7. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que compreende adicionalmente: fornecer, pelo servidor confiável, coleta de função que é definida por uma ou mais regras para acesso a um ativo digital; e fornecer ou recusar, pelo servidor confiável, acesso ao ativo digital pelo dispositivo de computação de usuário como uma função da coleta de função.
8. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que compreende adicionalmente fornecer, pelo servidor confiável, auditoria de acesso a um ou mais ativos digitais pelo dispositivo de computação de usuário.
9. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que a representação do dispositivo de computação de usuário inclui um identificador de dispositivo.
10. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que compreende adicionalmente consultar, pelo servidor confiável, o dispositivo de computação de usuário para capturar a informação biométrica do usuário e criptar informações que representam que a identidade de usuário foi verificada.
11. Sistema para fornecer comunicação segura entre um dispositivo de computação de usuário e um servidor confiável, caracterizado pelo fato de que compreende: pelo menos um processador acoplado de modo operacional a um ou mais meios legíveis por processador não transitórios; em que os um ou mais meios legíveis por processador incluem instruções para permitir ao pelo menos um processador: fornecer, através de um aplicativo de software de cliente distribuído, um certificado de uso único que permite uma sessão de comunicação segura bidirecional inicial entre o dispositivo de computação de usuário e o servidor confiável; estabelecer uma sessão de comunicação segura inicial com o dispositivo de computação de usuário depois de receber o certificado de uso único; receber, durante a sessão de comunicação segura inicial, informações de identificação associadas ao usuário do dispositivo de computação de usuário, em que as informações de identificação incluem uma representação da identidade de usuário que foi confirmada como uma função da biometria e inclui adicionalmente uma representação do dispositivo de computação de usuário; gerar um certificado de substituição que é único para a combinação do usuário e do dispositivo de computação de usuário, transmitir o certificado de substituição para o dispositivo de computação de usuário; e estabelecer uma sessão de comunicação segura bidirecional com o dispositivo de computação de usuário cada vez que o certificado de substituição e informações codificadas que representam que a identidade do usuário foi verificada usando captura de informações biométricas for recebido do dispositivo de computação do usuário pelo servidor confiável.
12. Sistema, de acordo com a reivindicação 11, caracterizado pelo fato de que os um ou mais meios legíveis por processador não transitórios incluem adicionalmente instruções para permitir que o pelo menos um processador empregue um sistema de detecção de intrusão que fornece monitoramento ativo e impede falsificação do certificado de substituição.
13. Sistema, de acordo com a reivindicação 12, caracterizado pelo fato de que a falsificação que é impedida inclui reproduzir o certificado de substituição.
14. Sistema, de acordo com a reivindicação 11, caracterizado pelo fato de que os um ou mais meios legíveis por processador não transitórios incluem adicionalmente instruções para permitir que o pelo menos um processador estabeleça uma conexão segura unidirecional cada vez que o certificado de substituição for recebido.
15. Sistema, de acordo com a reivindicação 11, caracterizado pelo fato de que a sessão de comunicação segura bidirecional inicial e a sessão de comunicação segura bidirecional são tornadas seguras através de conexões de camada de soquetes seguras bidirecionais e através de conexões de camada de soquetes seguras unidirecionais.
16. Sistema, de acordo com a reivindicação 11, caracterizado pelo fato de que os um ou mais meios legíveis por processador incluem adicionalmente instruções para permitir ao pelo menos um processador: receber de um dispositivo de computação que não o dispositivo de computação de usuário um identificador de usuário que representa o usuário; e incluir o identificador de usuário no certificado de substituição.
17. Sistema, de acordo com a reivindicação 11, caracterizado pelo fato de que os um ou mais meios legíveis por processador não transitórios incluem adicionalmente instruções para permitir ao pelo menos um processador: fornecer coleta de função que é definida por uma ou mais regras para acesso a um ativo digital; e fornecer ou recusar acesso ao ativo digital pelo dispositivo de computação de usuário como uma função da coleta de função.
18. Sistema, de acordo com a reivindicação 11, caracterizado pelo fato de que os um ou mais meios legíveis por processador não transitórios incluem adicionalmente instruções para permitir que o pelo menos um processador forneça adicionalmente auditoria de acesso a um ou mais ativos digitais pelo dispositivo de computação de usuário.
19. Sistema, de acordo com a reivindicação 11, caracterizado pelo fato de que a representação do dispositivo de computação de usuário inclui um identificador de dispositivo.
20. Sistema, de acordo com a reivindicação 11, caracterizado pelo fato de que os um ou mais meios legíveis por processador não transitórios incluem adicionalmente instruções para permitir ao pelo menos um processador consultar o dispositivo de computação de usuário para capturar a informação biométrica do usuário e criptar as informações que representam que a identidade de usuário foi verificada.
BR112016015458-4A 2013-12-31 2014-12-31 Sistema e método para padrões de protocolo biométrico BR112016015458B1 (pt)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201361922438P 2013-12-31 2013-12-31
US61/922,438 2013-12-31
US14/201,438 2014-03-07
US14/201,438 US9208492B2 (en) 2013-05-13 2014-03-07 Systems and methods for biometric authentication of transactions
PCT/US2014/072985 WO2015147945A2 (en) 2013-12-31 2014-12-31 System and method for biometric protocol standards

Publications (3)

Publication Number Publication Date
BR112016015458A2 BR112016015458A2 (pt) 2017-08-08
BR112016015458A8 BR112016015458A8 (pt) 2018-08-14
BR112016015458B1 true BR112016015458B1 (pt) 2023-04-11

Family

ID=53483232

Family Applications (1)

Application Number Title Priority Date Filing Date
BR112016015458-4A BR112016015458B1 (pt) 2013-12-31 2014-12-31 Sistema e método para padrões de protocolo biométrico

Country Status (12)

Country Link
US (3) US9380052B2 (pt)
EP (1) EP3090525B1 (pt)
JP (1) JP6426189B2 (pt)
KR (1) KR102217916B1 (pt)
CN (1) CN106063219B (pt)
AU (2) AU2014388268B2 (pt)
BR (1) BR112016015458B1 (pt)
CA (1) CA2935688C (pt)
ES (1) ES2881877T3 (pt)
PL (1) PL3090525T3 (pt)
WO (1) WO2015147945A2 (pt)
ZA (1) ZA201605228B (pt)

Families Citing this family (62)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10867298B1 (en) 2008-10-31 2020-12-15 Wells Fargo Bank, N.A. Payment vehicle with on and off function
US20100114768A1 (en) 2008-10-31 2010-05-06 Wachovia Corporation Payment vehicle with on and off function
US9947004B2 (en) 2012-06-28 2018-04-17 Green Dot Corporation Wireless client transaction systems and related methods
US20140019322A1 (en) 2012-07-13 2014-01-16 Green Dot Corporation Mobile banking systems and related methods
US9838388B2 (en) 2014-08-26 2017-12-05 Veridium Ip Limited System and method for biometric protocol standards
EP2998896A1 (fr) * 2014-09-17 2016-03-23 Gemalto Sa Procédé d'authentification d'un utilisateur, terminaux et système d'authentification correspondants
US11429975B1 (en) 2015-03-27 2022-08-30 Wells Fargo Bank, N.A. Token management system
JP5944551B1 (ja) * 2015-04-03 2016-07-05 株式会社三菱東京Ufj銀行 サーバ
US11170364B1 (en) 2015-07-31 2021-11-09 Wells Fargo Bank, N.A. Connected payment card systems and methods
US10430788B2 (en) 2015-08-06 2019-10-01 Green Dot Corporation Systems and methods for fund transfers
US11329980B2 (en) 2015-08-21 2022-05-10 Veridium Ip Limited System and method for biometric protocol standards
CN108475309B (zh) * 2015-08-21 2023-02-03 维尔蒂姆知识产权有限公司 用于生物特征协议标准的系统和方法
US10438209B2 (en) 2016-02-10 2019-10-08 Bank Of America Corporation System for secure routing of data to various networks from a process data network
US10200369B1 (en) * 2016-02-16 2019-02-05 Symantec Corporation Systems and methods for dynamically validating remote requests within enterprise networks
US10178105B2 (en) * 2016-02-22 2019-01-08 Bank Of America Corporation System for providing levels of security access to a process data network
WO2017176429A1 (en) 2016-04-05 2017-10-12 Wellaware Holdings, Inc. Monitoring and controlling industrial equipment
WO2017176428A1 (en) 2016-04-05 2017-10-12 Wellaware Holdings, Inc. Monitoring and controlling industrial equipment
CA3020155A1 (en) * 2016-04-05 2017-10-12 Wellaware Holdings, Inc. A device for monitoring and controlling industrial equipment
US11170358B2 (en) * 2016-04-29 2021-11-09 International Business Machines Corporation System, method, and recording medium for identity fraud prevention in secure transactions using multi-factor verification
US11886611B1 (en) 2016-07-01 2024-01-30 Wells Fargo Bank, N.A. Control tower for virtual rewards currency
US11386223B1 (en) 2016-07-01 2022-07-12 Wells Fargo Bank, N.A. Access control tower
US11935020B1 (en) 2016-07-01 2024-03-19 Wells Fargo Bank, N.A. Control tower for prospective transactions
US11615402B1 (en) * 2016-07-01 2023-03-28 Wells Fargo Bank, N.A. Access control tower
US10992679B1 (en) 2016-07-01 2021-04-27 Wells Fargo Bank, N.A. Access control tower
US10289825B2 (en) * 2016-07-22 2019-05-14 Nec Corporation Login access control for secure/private data
US10402796B2 (en) 2016-08-29 2019-09-03 Bank Of America Corporation Application life-cycle transition record recreation system
US20180089688A1 (en) * 2016-09-27 2018-03-29 Mastercard International Incorporated System and methods for authenticating a user using biometric data
US11074325B1 (en) * 2016-11-09 2021-07-27 Wells Fargo Bank, N.A. Systems and methods for dynamic bio-behavioral authentication
US20180145959A1 (en) * 2016-11-22 2018-05-24 Synergex Group Method for determining access privilege using username, IP address, App ID, App Key, and biometric signature sample.
US10911452B2 (en) 2016-11-22 2021-02-02 Synergex Group (corp.) Systems, methods, and media for determining access privileges
US10404691B2 (en) 2017-03-02 2019-09-03 Bank Of America Corporation Preventing unauthorized access to secured information systems using authentication tokens
US10134207B2 (en) * 2017-04-20 2018-11-20 Saudi Arabian Oil Company Securing SCADA network access from a remote terminal unit
US11556936B1 (en) 2017-04-25 2023-01-17 Wells Fargo Bank, N.A. System and method for card control
DE102017111933A1 (de) * 2017-05-31 2018-12-06 Krohne Messtechnik Gmbh Verfahren zur sicheren Kommunikation mit einem Feldmessgerät der Prozesstechnik und entsprechendes Feldmessgerät
US11062388B1 (en) 2017-07-06 2021-07-13 Wells Fargo Bank, N.A Data control tower
WO2019046406A1 (en) * 2017-08-29 2019-03-07 Westerhoff David Michael RECORDING SYSTEM IN A SECURE NETWORK
US11715154B2 (en) 2017-09-22 2023-08-01 Green Dot Corporation Systems and methods for managing accounts in a financial services system
GB2581075A (en) * 2017-10-31 2020-08-05 Mitsubishi Heavy Ind Mechatronics Systems Ltd Information relay device, toll collection machine, medium, onboard device, and roadside device
US11188887B1 (en) 2017-11-20 2021-11-30 Wells Fargo Bank, N.A. Systems and methods for payment information access management
US20190320039A1 (en) * 2018-04-13 2019-10-17 Mastercard International Incorporated Systems and methods for use in providing digital identities
US11057377B2 (en) * 2018-08-26 2021-07-06 Ncr Corporation Transaction authentication
US20200154275A1 (en) * 2018-11-13 2020-05-14 Apple Inc. Wireless power transfer device authentication
US11282066B1 (en) * 2019-01-18 2022-03-22 Worldpay, Llc Systems and methods to provide user verification in a shared user environment via a device-specific display
US10897398B2 (en) 2019-02-04 2021-01-19 Saudi Arabian Oil Company Embedded dynamic configuration assignment for unprotected remote terminal unit (RTU)
US11823198B1 (en) 2019-02-18 2023-11-21 Wells Fargo Bank, N.A. Contextually escalated authentication by system directed customization of user supplied image
US11288378B2 (en) 2019-02-20 2022-03-29 Saudi Arabian Oil Company Embedded data protection and forensics for physically unsecure remote terminal unit (RTU)
US11593467B2 (en) * 2019-11-19 2023-02-28 Red Hat, Inc. Systems and methods for biometric authorization using a main screen and a visual indicator
US11341830B2 (en) 2020-08-06 2022-05-24 Saudi Arabian Oil Company Infrastructure construction digital integrated twin (ICDIT)
US10992606B1 (en) 2020-09-04 2021-04-27 Wells Fargo Bank, N.A. Synchronous interfacing with unaffiliated networked systems to alter functionality of sets of electronic assets
CN114389793B (zh) * 2020-10-16 2024-03-08 中移动信息技术有限公司 会话密钥验证的方法、装置、设备及计算机存储介质
EP4002166B1 (en) * 2020-11-11 2024-06-12 Qamcom Innovation Labs AB Method and system for biometric authentication for large numbers of enrolled persons
US11921832B2 (en) 2021-01-04 2024-03-05 Capital One Services, Llc Authentication by a facial biometric
US11546338B1 (en) 2021-01-05 2023-01-03 Wells Fargo Bank, N.A. Digital account controls portal and protocols for federated and non-federated systems and devices
CN113297552B (zh) * 2021-02-05 2023-11-17 中国银联股份有限公司 基于生物特征id链的验证方法及其验证系统、用户终端
US11687053B2 (en) 2021-03-08 2023-06-27 Saudi Arabian Oil Company Intelligent safety motor control center (ISMCC)
US11935055B2 (en) 2021-03-22 2024-03-19 Bank Of America Corporation Wired multi-factor authentication for ATMs using an authentication media
US20220321347A1 (en) * 2021-03-30 2022-10-06 Andrew Mark System, method and apparatus for transaction access and security
US20230012424A1 (en) * 2021-07-07 2023-01-12 Bank Of America Corporation Queue Management for Pre-staged Transactions at Ultra-Wide Enabled ATMs
US12058249B2 (en) 2021-07-07 2024-08-06 Bank Of America Corporation Pre-staged transactions with ultra-wideband networking and haptic feedback
CN113347620B (zh) * 2021-08-05 2021-11-12 深圳市深圳通有限公司 兼容多版本应用空发卡方法、装置、设备及存储介质
US20230291548A1 (en) * 2022-03-08 2023-09-14 Western Digital Technologies, Inc. Authorization requests from a data storage device to multiple manager devices
US12024985B2 (en) 2022-03-24 2024-07-02 Saudi Arabian Oil Company Selective inflow control device, system, and method

Family Cites Families (56)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5892900A (en) 1996-08-30 1999-04-06 Intertrust Technologies Corp. Systems and methods for secure transaction management and electronic rights protection
US6763459B1 (en) 2000-01-14 2004-07-13 Hewlett-Packard Company, L.P. Lightweight public key infrastructure employing disposable certificates
DE60120369T2 (de) * 2001-05-23 2007-07-12 Daniel Büttiker Verfahren und Datenträger zur Eintragung von Benutzern einer Public-Key-Infrastruktur und Eintragungssystem
WO2003003278A1 (en) 2001-06-28 2003-01-09 Trek 2000 International Ltd. A portable device having biometrics-based authentication capabilities
WO2004006076A2 (en) 2002-07-03 2004-01-15 Aurora Wireless Technologies, Ltd. Biometric private key infrastructure
JP4619119B2 (ja) * 2002-08-06 2011-01-26 プリヴァリス・インコーポレーテッド 電子装置への個人身分証明書のセキュアな登録およびバックアップのための方法
US7069438B2 (en) * 2002-08-19 2006-06-27 Sowl Associates, Inc. Establishing authenticated network connections
KR100528328B1 (ko) 2003-01-21 2005-11-15 삼성전자주식회사 사용자 인증 방법 및 장치
JP2004297292A (ja) * 2003-03-26 2004-10-21 Nec Corp 無線端末、認証サーバ、無線認証情報管理システム、および、無線認証情報管理方法
US7437769B2 (en) 2003-06-24 2008-10-14 Realnetworks, Inc. Multiple entity control of access restrictions for media playback
US7802295B2 (en) * 2003-08-11 2010-09-21 Sony Corporation Authentication method, authentication system, and authentication server
WO2005069823A2 (en) * 2004-01-15 2005-08-04 Jun Song Centralized transactional security audit for enterprise systems
US7254383B2 (en) 2004-07-30 2007-08-07 At&T Knowledge Ventures, L.P. Voice over IP based biometric authentication
US7571485B1 (en) * 2005-03-30 2009-08-04 Symantec Corporation Use of database schema for fraud prevention and policy compliance
US7586926B2 (en) 2005-04-18 2009-09-08 Research In Motion Limited System and method for generic data mapping between wireless component applications and application data sources
US8171544B2 (en) 2005-04-20 2012-05-01 Cisco Technology, Inc. Method and system for preventing, auditing and trending unauthorized traffic in network systems
US7536304B2 (en) 2005-05-27 2009-05-19 Porticus, Inc. Method and system for bio-metric voice print authentication
US20060293891A1 (en) 2005-06-22 2006-12-28 Jan Pathuel Biometric control systems and associated methods of use
US20070192601A1 (en) 2005-08-03 2007-08-16 Spain John D System and method for user identification and authentication
US8615663B2 (en) 2006-04-17 2013-12-24 Broadcom Corporation System and method for secure remote biometric authentication
US20130227286A1 (en) * 2006-04-25 2013-08-29 Andre Jacques Brisson Dynamic Identity Verification and Authentication, Dynamic Distributed Key Infrastructures, Dynamic Distributed Key Systems and Method for Identity Management, Authentication Servers, Data Security and Preventing Man-in-the-Middle Attacks, Side Channel Attacks, Botnet Attacks, and Credit Card and Financial Transaction Fraud, Mitigating Biometric False Positives and False Negatives, and Controlling Life of Accessible Data in the Cloud
US8549295B2 (en) 2006-05-31 2013-10-01 Microsoft Corporation Establishing secure, mutually authenticated communication credentials
GB2438928A (en) 2006-06-08 2007-12-12 Brian Clarke Biometric Remote Access Device (BRAD)
US20100242102A1 (en) * 2006-06-27 2010-09-23 Microsoft Corporation Biometric credential verification framework
US8280120B2 (en) 2006-10-02 2012-10-02 Eyelock Inc. Fraud resistant biometric financial transaction system and method
JP4996904B2 (ja) 2006-10-04 2012-08-08 株式会社日立製作所 生体認証システム、登録端末、認証端末、及び認証サーバ
JP2008176407A (ja) 2007-01-16 2008-07-31 Toshiba Corp 生体認証システム、装置及びプログラム
JP2010533344A (ja) 2007-07-12 2010-10-21 イノベーション インベストメンツ、エルエルシー 識別認証および保護アクセスシステム、構成要素、および方法
JP2009140231A (ja) * 2007-12-06 2009-06-25 Sony Corp 通信システム及び通信端末装置
US8429650B2 (en) 2008-11-14 2013-04-23 Oracle International Corporation System and method of security management for a virtual environment
CN101420694A (zh) * 2008-12-16 2009-04-29 天津工业大学 一种wapi-xg1接入及快速切换认证方法
DE102009009310A1 (de) * 2009-02-17 2009-10-01 Daimler Ag Kommunikation und Identifizierung zwischen einem Kraftfahrzeugbenutzergerät mit Head Unit und davon entfernt gelegener Vorrichtung
US8443202B2 (en) 2009-08-05 2013-05-14 Daon Holdings Limited Methods and systems for authenticating users
US20110047384A1 (en) 2009-08-21 2011-02-24 Qualcomm Incorporated Establishing an ad hoc network using face recognition
JP2011155348A (ja) * 2010-01-26 2011-08-11 Kddi Corp 生体認証システム、生体認証方法およびプログラム
CA2792887C (en) * 2010-03-11 2019-06-18 Wal-Mart Stores, Inc. System and method for transaction payments using a mobile device
US9208482B2 (en) 2010-04-09 2015-12-08 Paypal, Inc. Transaction token issuing authorities
US8380177B2 (en) 2010-04-09 2013-02-19 Paydiant, Inc. Mobile phone payment processing methods and systems
US20120089471A1 (en) * 2010-10-06 2012-04-12 Rt7 Incorporated System and method of capturing point-of-sale data and providing real-time advertising content
RU2013118922A (ru) 2010-10-29 2014-12-10 Эксодэс Пэймент Системз, Эл-Эл-Си Способ обработки транзакций с использованием токена и система для его реализации
US9064257B2 (en) 2010-11-02 2015-06-23 Homayoon Beigi Mobile device transaction using multi-factor authentication
BR112013016171A2 (pt) 2010-12-23 2018-07-17 Paydiant, Inc. sistemas e métodos para processamento de atm de telefone móvel
US20120173311A1 (en) * 2010-12-31 2012-07-05 Nautilus Hyosung Inc. Automatic teller machine for providing service using two-dimensional barcode and method for operating automatic teller machine
WO2012123727A1 (en) 2011-03-11 2012-09-20 Callsign, Inc Personal identity control
US8994499B2 (en) 2011-03-16 2015-03-31 Apple Inc. Locking and unlocking a mobile device using facial recognition
US9198038B2 (en) * 2011-06-13 2015-11-24 Qualcomm Incorporated Apparatus and methods of identity management in a multi-network system
US8752154B2 (en) 2011-08-11 2014-06-10 Bank Of America Corporation System and method for authenticating a user
US8473748B2 (en) 2011-09-27 2013-06-25 George P. Sampas Mobile device-based authentication
US9922370B2 (en) * 2011-11-15 2018-03-20 Ncr Corporation Techniques for automated teller machine (ATM) transactions
US20130222603A1 (en) 2012-02-28 2013-08-29 Aptina Imaging Corporation Imaging systems for infrared and visible imaging
WO2013147763A1 (en) 2012-03-28 2013-10-03 Texas State University - San Marcos Person identification using ocular biometrics
US20130262873A1 (en) * 2012-03-30 2013-10-03 Cgi Federal Inc. Method and system for authenticating remote users
US8457367B1 (en) 2012-06-26 2013-06-04 Google Inc. Facial recognition
US9471764B2 (en) 2012-07-19 2016-10-18 Apple Inc. Electronic device switchable to a user-interface unlocked mode based upon spoof detection and related methods
US20140090039A1 (en) 2012-09-24 2014-03-27 Plantronics, Inc. Secure System Access Using Mobile Biometric Devices
US9948675B2 (en) 2013-04-04 2018-04-17 The Mitre Corporation Identity-based internet protocol networking

Also Published As

Publication number Publication date
AU2019206006A1 (en) 2019-08-08
ES2881877T3 (es) 2021-11-30
EP3090525A4 (en) 2017-09-20
CN106063219B (zh) 2019-10-08
BR112016015458A8 (pt) 2018-08-14
BR112016015458A2 (pt) 2017-08-08
JP2017508194A (ja) 2017-03-23
AU2014388268B2 (en) 2019-04-18
CA2935688A1 (en) 2015-10-01
EP3090525A2 (en) 2016-11-09
WO2015147945A2 (en) 2015-10-01
EP3090525B1 (en) 2021-06-16
CN106063219A (zh) 2016-10-26
AU2019206006B2 (en) 2021-07-01
CA2935688C (en) 2022-03-29
AU2014388268A1 (en) 2016-07-21
US20150188912A1 (en) 2015-07-02
KR102217916B1 (ko) 2021-02-22
US20160379211A1 (en) 2016-12-29
ZA201605228B (en) 2017-09-27
US20150188911A1 (en) 2015-07-02
WO2015147945A3 (en) 2015-12-03
JP6426189B2 (ja) 2018-11-21
US9380052B2 (en) 2016-06-28
US9338161B2 (en) 2016-05-10
PL3090525T3 (pl) 2021-11-22
US11170369B2 (en) 2021-11-09
KR20160111940A (ko) 2016-09-27

Similar Documents

Publication Publication Date Title
AU2019206006B2 (en) System and method for biometric protocol standards
US11329980B2 (en) System and method for biometric protocol standards
JP6625636B2 (ja) サービスとしてのアイデンティティインフラストラクチャ
US9130920B2 (en) Monitoring of authorization-exceeding activity in distributed networks
RU2691211C2 (ru) Технологии для обеспечения сетевой безопасности через динамически выделяемые учетные записи
US8997196B2 (en) Flexible end-point compliance and strong authentication for distributed hybrid enterprises
Ghazi et al. DB-SECaaS: a cloud-based protection system for document-oriented NoSQL databases
KR20220038115A (ko) 바이오메트릭 프로토콜 표준을 위한 시스템 및 방법
Lakhe Practical Hadoop Security
Behera et al. Big data security threats and prevention measures in cloud and Hadoop
Del Vecchio et al. Evaluating Grid portal security
Vecchio et al. Evaluating grid portal security
da Silva Torres Identity management: analysis of secure authentication propositions
Chu Apache hadoop: A review on security issues and solutions for hdfs: A deep dive into the security issues occur in hdfs structure, and the available technologies to protect it
Morais Autenticação Multi-Factor Melhorada para Web
Tijms et al. Jakarta EE Foundations
Beqo Enhancing User Authentication for Cloud Web-Based Application
CISSP Number: CISSP Passing Score: 800 Time Limit: 120 min File Version: 20.5
Skevoulis et al. ATINER's Conference Paper Series COM2016-1978
Bugnet et al. Warranty Disclaimer
Madushanth et al. CYBER THREAT DETECTION, SECURING AND STORING CONFIDENTIAL FILES IN BYOD

Legal Events

Date Code Title Description
B25F Entry of change of name and/or headquarter and transfer of application, patent and certif. of addition of invention: change of name on requirement

Owner name: HOYOS LABS IP LTD. (GB)

B25G Requested change of headquarter approved

Owner name: HOYOS LABS IP LTD. (GB)

B25D Requested change of name of applicant approved

Owner name: VERIDIUM IP LIMITED (GB)

B06U Preliminary requirement: requests with searches performed by other patent offices: procedure suspended [chapter 6.21 patent gazette]
B09A Decision: intention to grant [chapter 9.1 patent gazette]
B16A Patent or certificate of addition of invention granted [chapter 16.1 patent gazette]

Free format text: PRAZO DE VALIDADE: 20 (VINTE) ANOS CONTADOS A PARTIR DE 31/12/2014, OBSERVADAS AS CONDICOES LEGAIS