BR112016015458B1 - Sistema e método para padrões de protocolo biométrico - Google Patents
Sistema e método para padrões de protocolo biométrico Download PDFInfo
- Publication number
- BR112016015458B1 BR112016015458B1 BR112016015458-4A BR112016015458A BR112016015458B1 BR 112016015458 B1 BR112016015458 B1 BR 112016015458B1 BR 112016015458 A BR112016015458 A BR 112016015458A BR 112016015458 B1 BR112016015458 B1 BR 112016015458B1
- Authority
- BR
- Brazil
- Prior art keywords
- user
- computing device
- trusted server
- secure communication
- communication session
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3821—Electronic credentials
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/951—Indexing; Web crawling techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
- G06F21/335—User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
- G06F21/35—User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/08—Payment architectures
- G06Q20/10—Payment architectures specially adapted for electronic funds transfer [EFT] systems; specially adapted for home banking systems
- G06Q20/108—Remote banking, e.g. home banking
- G06Q20/1085—Remote banking, e.g. home banking involving automatic teller machines [ATMs]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3829—Payment protocols; Details thereof insuring higher security of transaction involving key management
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
- G06Q20/4014—Identity check for transactions
- G06Q20/40145—Biometric identity checks
-
- G—PHYSICS
- G09—EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
- G09C—CIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
- G09C5/00—Ciphering apparatus or methods not provided for in the preceding groups, e.g. involving the concealment or deformation of graphic data such as designs, written or printed messages
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3231—Biological data, e.g. fingerprint, voice or retina
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2115—Third party
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2117—User registration
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Business, Economics & Management (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Accounting & Taxation (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Finance (AREA)
- Software Systems (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Databases & Information Systems (AREA)
- Life Sciences & Earth Sciences (AREA)
- Biodiversity & Conservation Biology (AREA)
- Economics (AREA)
- Development Economics (AREA)
- Data Mining & Analysis (AREA)
- Computer And Data Communications (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Information Transfer Between Computers (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- User Interface Of Digital Computer (AREA)
- Storage Device Security (AREA)
- Collating Specific Patterns (AREA)
Abstract
SISTEMA E MÉTODO PARA PADRÕES DE PROTOCOLO BIOMÉTRICO. Um certificado de uma só vez é fornecido que permite que uma sessão de comunicação segura de duas vias inicial entre um dispositivo de computação de utilizador e um servidor confiável. Uma sessão de comunicação protegido inicial é estabelecida pelo servidor de confiança com o dispositivo de computação utilizador após a recepção do certificado de uma só vez. O servidor de confiança recebe informações de identificação associado com o utilizador do dispositivo de computação utilizador, em que a informação de identificação inclui uma representação de identidade do utilizador que tenha sido confirmada como uma função da biometria e inclui ainda uma representação do dispositivo de computação utilizador. Além disso, o servidor de confiança gera um certificado de substituição que é único para a combinação do utilizador e o dispositivo de computação do usuário, e transmite o certificado de substituição para o dispositivo de computação utilizador. Em seguida, uma sessão de comunicação seguro bidireccional é estabelecida, pelo servidor de confiança, com o dispositivo de computação do utilizador, cada vez que o certificado de substituição é recebido pelo servidor de confiança.
Description
[0001] A presente invenção refere-se, de modo geral, a sistemas e métodos para adquirir e distinguir características biométricas e, em particular, a sistemas e métodos para adquirir e distinguir características biométricas faciais que usam um dispositivo móvel para os propósitos de identificação ou autenticação de um usuário.
[0002] Informações de todos os tipos continuam a ser armazenadas e acessadas remotamente, tal como em dispositivos de armazenamento que são acessíveis através de redes de comunicação de dados. Por exemplo, muitas pessoas e empresas armazenam e acessam informações financeiras, informações de saúde e médicas, informações de bens e serviços, informações de compra, informações de entretenimento, informações de multimídia através da Internet ou outra rede de comunicação. Adicionalmente ao acesso a informações, usuários podem efetuar transferências monetárias (por exemplo, compras, transferências, vendas ou similares). Em um cenário típico, um usuário se registra para ter acesso a informações, e depois disso envia um nome de usuário e senha para “iniciar sessão” e acessar informações. Tornar seguro o acesso às (e a partir das) informações e dados que são armazenados em uma rede de dados/comunicação permanece uma questão importante.
[0003] Consequentemente, um sistema e um método são revelados para fornecer comunicação segura entre um dispositivo de computação de usuário e um servidor confiável. Em uma ou mais implantações, um certificado de uso único é fornecido, através de um aplicativo de software de cliente distribuído, que permite uma sessão de comunicação segura bidirecional inicial entre o dispositivo de computação de usuário e o servidor confiável. Uma sessão de comunicação segura inicial é estabelecida, pelo servidor confiável, com o dispositivo de computação de usuário depois de receber o certificado de uso único. O servidor confiável recebe, durante a comunicação segura inicial, informações de identificação associadas ao usuário do dispositivo de computação de usuário, em que as informações de identificação incluem uma representação da identidade de usuário que foi confirmada como uma função da biometria e incluem adicionalmente uma representação do dispositivo de computação de usuário. Além disso, o servidor confiável gera um certificado de substituição que é único à combinação do usuário e do dispositivo de computação de usuário, e transmite o certificado de substituição para o dispositivo de computação de usuário. Depois disso, uma sessão de comunicação segura bidirecional é estabelecida, pelo servidor confiável, com o dispositivo de computação de usuário cada vez que o certificado de substituição é recebido pelo servidor confiável.
[0004] Outras características e vantagens da presente invenção ficarão evidentes a partir da seguinte descrição detalhada da invenção que se refere aos desenhos anexos.
[0005] Aspectos adicionais da presente revelação serão mais prontamente observados mediante a revisão da descrição detalhada de suas várias modalidades, descritas abaixo, quando tomada em conjunto com os desenhos anexos, nos quais:
[0006] A Figura 1 é um diagrama de blocos que ilustra uma pluralidade de dispositivos e componentes com certas modalidades do aplicativo;
[0007] A Figura 2 é um diagrama de blocos que ilustra uma pluralidade de dispositivos e componentes com certas modalidades do aplicativo;
[0008] A Figura 3 ilustra um caso de hierarquia de funções de acordo com o presente aplicativo.
[0009] A Figura 4 é uma tela de exibição de dispositivo móvel exemplificativa;
[0010] A Figura 5 é uma interface exemplificativa;
[0011] A Figura 6 ilustra uma tela de exibição exemplificativa;
[0012] A Figura 7 é uma tela de exibição exemplificativa;
[0013] A Figura 8 ilustra uma implantação exemplificativa; e
[0014] A Figura 9 ilustra uma implantação exemplificativa.
[0015] De acordo com uma ou mais implantações, é fornecido um novo conjunto de padrões, denominado no presente documento, em geral, como Padrões de Protocolo Aberto Biométricos (“BOPS”) que, coletivamente ou pelo menos parcialmente, inclui uma infraestrutura para autenticar usuários. De acordo com o BOPS, a autenticação ocorre entre um usuário e serviço particular, que é alocado por um dispositivo de computação denominado no presente documento, de modo geral, como um “servidor de BOPS”. Essa abordagem é mais segura e prática do que entre usuário e um site da web na Internet. Em uma ou mais implantações, o servidor de BOPS aloca detalhes de segurança, e a presença do usuário é verificada em uma operação inicial (denominada no presente documento, de modo geral, como “gênese”), que é descrita em maiores detalhes abaixo. Uma chave de sessão é gerada e usada e um respectivo aplicativo pode proceder para a sessão até o tempo de vida da chave de sessão (que pode ser revogada antes que a mesma expire).
[0016] Em uma ou mais implantações, os Padrões de Protocolo Aberto Biométricos fornecem asserção de identidade, coleta de função, controle de acesso a múltiplos níveis, seguridade e auditoria. Em operação, o BOPS inclui execução de software em um dispositivo cliente (por exemplo, executar o sistema operacional ANDROID, iOS ou outro sistema operacional), em um servidor confiável de BOPS, e em um sistema de detecção de intrusão (“IDS”). O BOPS permite que componentes plugáveis substituam funcionalidade de componentes existentes aceitando-se integração em ambientes operacionais atuais em um curto período de tempo.
[0017] Em operação, o aplicativo de dispositivo/cliente carrega uma chave SSL bidirecional de uso único para comunicações iniciais como servidor. Essa chave SSL bidirecional de uso único é substituída, em função, pela chave SSL bidirecional do indivíduo que é fornecida durante a fase de identidade/Gênese.
[0018] A título de exemplo apenas e para o propósito de visão geral e introdução, as modalidades do presente aplicativo são descritas abaixo, que incluem um sistema e método para gravar características biométricas de usuário e gerar um identificador representativo das características biométricas de usuário, por exemplo, usando um dispositivo móvel tal como um telefone inteligente. O identificador biométrico pode ser gerado para os propósitos de identificação/autenticação (por exemplo, verificando) o usuário de acordo com o identificador biométrico.
[0019] Em uma ou mais implantações, é fornecido um sistema que pode incluir uma plataforma de servidor de sistema com base na nuvem que se comunica com os dispositivos de computação de usuário tais como computadores do tipo laptop, computadores do tipo tablet e dispositivos móveis (por exemplo, telefones inteligentes). Conforme o usuário acessa, por exemplo, um site da web que exige uma entrada de sessão segura, uma solicitação segura é feita para o servidor de sistema para a autenticação de usuário. Então, o servidor de sistema pode consultar o dispositivo móvel de usuário para capturar informações biométricas na forma de pelo menos imagens dos olhos de usuário, região periocular e rosto ou qualquer combinação dos anteriores (coletivamente denominados como a região Vitruviana), e criptar as informações biométricas Vitruvianas capturadas como um identificador biométrico Vitruviano. Depois, o usuário pode ser verificado de acordo com o identificador biométrico Vitruviano. A verificação pode ser realizada, por exemplo, pelo dispositivo móvel, pelo servidor de sistema ou por uma combinação do anteriormente mencionado comparando-se o identificador biométrico Vitruviano a um identificador Vitruviano gerado durante a inscrição inicial de usuário no sistema.
[0020] Deve ser observado que o presente aplicativo fornece conveniência significativa para usuários e um ou mais provedores de informações como uma função do gerenciamento de acesso com base em biometria. É reconhecido pelo inventor que consumidores, de modo geral, aprovam a biometria para o acesso a e o gerenciamento de informações que são fornecidas remotamente, tal como on-line por uma rede de comunicação. As tecnologias biométricas podem fornecer ao consumidor uma conveniência a muito aguardada para entrar de modo seguro no “ciberespaço” no front end.
[0021] Os Padrões de Protocolo Aberto Biométricos fornecidos no presente documento protegem ativos digitais de usuários e identidades digitais no “backend” e podem ser um padrão agnóstico biométrico, e incluem uma interface de programação de aplicativo (“API”) para desenvolvedores fazerem interface com a mesma. Por exemplo, o presente aplicativo suporta diferentes medidas baseadas em segurança e processuais que podem estar previamente disponíveis. Consequentemente, um processo de autenticação de segurança existente que emprega biometria pode ser integrado, impedindo, desse modo, a interrupção de uma prática de negócios existente.
[0022] Além disso, em uma ou mais implantações é fornecida uma arquitetura de comunicação de BOPS que permite uma conexão de Camada de Soquete Segura Bidirecional (SSL) através do mecanismo de encriptação para o servidor de BOPS, que pode empregar um sistema de detecção de intrusão (IDS).
[0023] A seguir há uma listagem alfabética de termos e definições correspondentes de acordo com uma ou mais modalidades do presente aplicativo. Um glossário adicional de termos é estabelecido no presente documento.
[0024] Console Administrador: um portal online que facilita o registro e inscrição com BOPS.
[0025] Aplicativo: um software/sistema único que é criado com uso da chave de Interface de Programação de Aplicativo (API).
[0026] Administrador de BOPS: um administrador de BOPS que configura um ambiente e cria um Administrador de Site Original com base nas informações de inscrição durante o registro.
[0027] Agrupamento de BOPS: um conjunto de computadores conectados de modo solto ou preso, dispositivos que se comunicam com uso de BOPS.
[0028] Servidor de BOPS: um caso de um servidor, tal como no paradigma cliente/servidor, que suporta arquitetura de BOPS.
[0029] IDS dos BOPS: um caso do sistema de detecção de intrusão no agrupamento privado que suporta arquitetura de BOPS.
[0030] IDS de dispositivo cliente: um caso do sistema de detecção de intrusão em execução localmente em um dispositivo de usuário.
[0031] Regras Jena: sintaxe e um sistema de máquina que aprende regras para inferência.
[0032] Agrupamento de IDS: um conjunto de Sistemas de Detecção de Intrusão conectados de modo solto ou preso que suporta BOPS.
[0033] Administrador de Site Original: um administrador criado pelo administrador de BOPS com o privilégio de criar outros administradores dentro da mesma organização. O Administrador de Site Original pode declarar sua identidade única de acordo com as exigências do cliente (consulte abaixo, com referência à seção em relação às observações das exigências de Cliente/API de Gênese).
[0034] Administrador de Site: um aplicativo administrador que é criado pelo Administrador de Site Original.
[0035] Dados Adjudicados Confiáveis: dados armazenados em BOPS com adjudicação Segura de Múltiplos Níveis no servidor de BOPS.
[0036] Usuário: um usuário único, cuja identidade está sendo declarada pelo BOPS que pode ter diversos dispositivos.
[0037] Dispositivo de usuário: um dispositivo único que tem software de cliente acionado por biometria.
[0038] Com referência agora aos desenhos, nos quais números de referência similares se referem a elementos similares, a Figura 1 é um diagrama de blocos simples que ilustra uma pluralidade de dispositivos de cliente 104 e a comunicação com um servidor de BOPS 102 e componentes associados com uma implantação exemplificativa. Em uma ou mais implantações, Padrões de Protocolo Aberto Biométricos incluem regras que governam a comunicação segura entre uma variedade de dispositivos de cliente 104 e um ou mais servidores confiáveis. Conforme será prontamente evidente para o indivíduo versado na técnica, o presente aplicativo fornece valores de incentivo de BOPS e fornece um guia abrangente para a implantação de BOPS. O BOPS se compatibiliza com os Critérios de Avaliação de Sistema de Computador Confiável, denominados frequentemente como Orange Book, seção B1; para o Diretor da Diretiva de Inteligência Central 6/3 de níveis de proteção 3, 4 e 5 (PL3, PL4, PL5); e com os padrões de Níveis de Segurança Independentes Múltiplos (MILS).
[0039] As considerações de segurança incluem as políticas de segurança vigentes e níveis de segurança definidos de modo não ambíguo. Uma das funções principais do BOPS é fornecer autenticação em vez de autorização de um modo que o servidor não retenha as informações de cliente, mas em vez disso diferencie um cliente do outro. Conforme observado no presente documento, considerações sobre componentes-chave de segurança dos BOPS incluem declaração de identidade, coleta de função, controle de acesso, auditoria e seguridade. O presente aplicativo, incluindo através de uma implantação de BOPS, fornece proteção contínua aos recursos e seguridade da colocação e viabilidade da adjudicação e de outras características chaves. A responsabilidade é o mecanismo que prova uma garantia de segurança em nível de serviço.
[0040] A declaração de identidade de BOPS fornece uma garantia de que usuários nomeados são quem reivindicam ser. A declaração de identidade implica a confiança na biometria humana, contudo, o BOPS é um padrão interoperável e pode incorporar qualquer declarador de identidade, ou inúmeros declaradores que fornecem essa garantia. A aplicação do Sistema de Detecção de Intrusão (IDS) fornece monitoramento ativo para impedir a falsificação do conjunto de credenciais e colocar na lista negra um indivíduo ou dispositivo que faz tentativas maliciosas.
[0041] Em uma ou mais implantações, a coleta de função é focada em confidencialidade de dados e acesso privilegiado com base em regras impostas por um sistema conhecido. Para determinar se um modo de acesso específico é permitido, o privilégio de uma função pode ser comparado à classificação do grupo para determinar se o indivíduo está autorizado ao acesso confidencial. A estrutura dos objetos pode ser definida pelo controle de acesso. A coleta de função ocorre no nível do sistema ou através da chamada do cliente/servidor. O servidor de BOPS armazena informações de coleta de função para associar um usuário único a um dispositivo único.
[0042] Em relação ao controle de acesso, o BOPS suporta controle de acesso entre os usuários nomeados e objetos nomeados (por exemplo, arquivos e programas). Um mecanismo de adjudicação com base em função inclui e permite a usuários e administradores especificarem e controlarem o compartilhamento de objetos por indivíduos nomeados, por grupos definidos de indivíduos ou por ambos. Além disso, um mecanismo de controle de acesso discricionário é fornecido para assegurar que objetos estão protegidos do acesso não autorizado. Adicionalmente, o controle de acesso discricionário fornece proteção no nível do grupo ou indivíduo através de um único ou um grupo de objetos. A granularidade varia de indivíduo para grupo.
[0043] Em uma ou mais implantações, o BOPS pode impor uma política de controle de acesso obrigatória a todos os indivíduos e objetos de armazenamento sob seu controle (por exemplo, processos, arquivos, segmentos, dispositivos). Pode ser atribuído a esses indivíduos e objetos rótulos de sensibilidade, que podem ser uma combinação de níveis de classificação hierárquica e categorias não hierárquicas, e os rótulos podem ser usados na adjudicação como uma base para decisões de controle de acesso obrigatórias.
[0044] Em uma ou mais implantações, as seguintes exigências detêm todo o acesso entre indivíduos e objetos controlados pelo BOPS: um indivíduo pode ler um objeto apenas se a classificação hierárquica no nível de segurança do indivíduo for maior do que ou igual à classificação hierárquica no nível de segurança do objeto e as categorias não hierárquicas no nível de segurança do indivíduo incluírem todas as categorias não hierárquicas no nível de segurança do objeto. Um indivíduo pode gravar um objeto apenas se a classificação hierárquica no nível de segurança do indivíduo for menor ou igual à classificação hierárquica no nível de segurança do objeto e todas as categorias não hierárquicas no nível de segurança do indivíduo forem incluídas nas categorias não hierárquicas no nível de segurança do objeto.
[0045] Os dados de identificação e autenticação deveriam ser usados pelo BOPS para autenticar a identidade de usuário e para assegurar que o nível de segurança e autorização dos indivíduos externos ao BOPS que podem ser criados para atuar em nome do usuário individual são dominados pela liberação e autorização daquele usuário.
[0046] O presente pedido fornece auditoria e revisão, denominados de modo geral no presente documento como seguridade. O BOPS pode suportar solicitações de auditoria no nível de Indivíduo/Objeto ou no nível de grupo. O BOPS pode usar Programação Orientada por Aspecto (AOP) para assegurar que todas as chamadas sejam gravadas de modo seguro para um acompanhamento de auditoria. Além disso, serviços de web RESTFul e interface JSON podem fornecer um mecanismo para ler o acompanhamento de auditoria. A auditoria pode ocorrer no indivíduo por ação, no objeto por ação ou no grupo por ação. Por exemplo, um grupo de usuários chamado “Controle” pode auditar todos os gravados de General Ledger; ou um Chefe do Setor Financeiro pode ter auditorias para ler a Declaração de Renda. Ademais, em uma ou mais implantações, testes JUnit são fornecidos para todas as condições de limite dos BOPS. O pacote de testes inclui testar todos os componentes e condições limites do sistema.
[0047] Conforme observado no presente documento, o BOPS permite atender às necessidades de segurança usando-se uma API. O BOPS não precisa saber se o sistema subjacente é um Sistema de Gerenciamento de Banco de Dados Relacionais (RDBMS), um Mecanismo de Busca ou outro sistema. A funcionalidade dos BOPS oferece um mecanismo de “ponto e corte” para adicionar a segurança apropriada aos sistemas de produção assim como os sistemas em desenvolvimento. A arquitetura é uma linguagem neutra que permite que as Camadas de Soquete Seguras, de REST e JSON forneçam a interface de comunicação. Adicionalmente, em uma ou mais implantações, a arquitetura é construída nas especificações do pequeno servidor, camadas de soquete seguras abertas, Java, JSON, REST e Apache Solr. Outro mecanismo de persistência pode ser suportado, tal como Cassandra. As ferramentas podem aderir a padrões abertos que permitem interoperabilidade significativa.
[0048] Em uma ou mais implantações, os BOPS são úteis através do controle de acesso ou adicionados à declaração de identidade de infraestrutura já existente. O BOPS permite processamento confiável realizando-se ações mínimas no ambiente de produção e na maioria dos casos não exige a mudança de qualquer software de aplicativo.
[0049] Além disso, em uma ou mais implantações, Camadas de Soquete Seguras Bidirecionais (SSL) são fornecidas, as quais são construídas acima da SSL unidirecional e fornecem comunicação começando pelo cliente. A comunicação inicial ou “gênese” estabelece a origem da identidade do cliente e passa um certificado bidirecional em conformidade com BOPS que o cliente usa para uma comunicação subsequente em conjunto com a Declaração de identidade orientada por sessão. Em uma ou mais implantações, o aplicativo de cliente tem uma chave de SSL bidirecional que permite Gênese de identidade subsequente.
[0050] Em operação, um servidor em conformidade com BOPS recebe comunicação por SSL unidirecional com identidade de SSL bidirecional. A comunicação é conduzida tanto por SSL unidirecional quanto por SSL bidirecional. O servidor usa um armazenamento de dados para tomar identidade confiável e coletar as funções para o processamento em nome da identidade. A auditoria assegura os artefatos apropriados para a verificação e validação continuada do acesso confiável. A seguridade ocorre através da simplificação e documentação do mecanismo de controle de acesso a múltiplos níveis. O BOPS exige um Console de Administração que está disponível depois do processo de registro (consulte abaixo, com relação ao Registro), que permite modificação dinâmica de Usuários, Grupos e Funções.
[0051] Em uma ou mais implantações, o BOPS é implantado com um sistema de detecção de intrusão ativo que fornece a prevenção de qualquer forma de ataque de força bruta ou negação de serviço (DOS único ou distribuído). O padrão contém uma regra personalizada que identifica e rastreia as tentativas de forjar imitação de certificados de SSL bidirecional, uma reprodução de sessão, pacotes forjados e uma variedade de outras tentativas para contornar o servidor de BOPS.
[0052] A Figura 2 é um diagrama de blocos que ilustra componentes exemplificativos para fornecer os sistemas e métodos mostrados e descritos no presente documento e apontados, de modo geral, como sistema 200. Conforme mostrado na Figura 2, o dispositivo de usuário 104 é posicionado do lado de fora do firewall 202, e se comunica com o servidor de BOPS 102 através do software de cliente do aplicativo de BOPS. Também incluídos na Figura 2 estão os agrupamentos de BOPS 204 e IDS de BOPS 206. Apesar de a implantação mostrada na Figura 2 ilustrar os agrupamentos de BOPS 204 separados do servidor de BOPS 102 e do IDS de BOPS 206, uma pessoa versada na técnica reconhecerá que os agrupamentos 204 podem compreender o servidor de BOPS 102 e/ou o IDS de BOPS 206, dependendo de implantações particulares. Conforme observado no presente documento, Camadas de Soquete Seguras Bidirecionais (SSL) podem ser fornecidas as quais são construídas no topo de SSL unidirecional, e fornecem comunicação começando no cliente.
[0053] A seguir há uma descrição de uma implantação exemplificativa do pedido de patente presente. Um processo de registro inicia a adoção de BOPS dentro de uma organização. Antes de um administrador de BOPS configurar um ambiente, a organização registra para receber uma chave API, por exemplo, a partir de um site da web na Internet. Um desenvolvedor individual pode requerer uma chave de API também. Na conclusão da inscrição, o administrador de site original administrador de BOPS pode criar administradores de site adicionais. No futuro, as informações de inscrição serão associadas com a chave de API da organização. O registro de API pode pertencer a dois domínios: o administrador de site original incluído e a chave de API emitida, que é baseada nas informações de inscrição, na organização e caso de uso. O processo de registro está completo quando o início do aplicativo é acordado. Depois disso, o administrador de BOPS cria o administrador de site original, para uma organização, o administrador de site original pode criar um administrador de site (consulte a Figura 3). As etapas depois do registro são descritas abaixo. A Figura 3 ilustra um caso de hierarquia de funções de acordo com o presente aplicativo.
[0054] Em uma implantação exemplificativa, antes do processo de desenvolvimento que utiliza o serviço de BOPS, um desenvolvedor registra em um “Console de Administrador de BOPS”. Fornecendo-se o nome do aplicativo e usando, por exemplo, Axiom para identificar o desenvolvedor, o BOPS estabelece uma nova conta e cria a chave de API, que pode ser identificada com o nome do aplicativo e associada com o aplicativo. A chave de API estabelecida pode ser incluída em todas as chamadas de API para o servidor de BOPS. O servidor de BOPS valida a chave de API. Se a chave está expirada ou inválida, o servidor de BOPS imediatamente rejeita a solicitação de serviço.
[0055] Conforme observado no presente documento, em uma ou mais implantações, a comunicação entre o aplicativo e o servidor de BOPS é estabelecida em cima de SSL bidirecional. O mecanismo de Gênese fornece estabelecimento da conexão. O Gênese especifica como os usuários se identificam para o servidor de BOPS, de modo que o servidor possa gerar uma chave privada para configurar a comunicação por SSL bidirecional entre o aplicativo do dispositivo de usuário 104 e o servidor de BOPS 102. Axiom é um dos mecanismos que BOPS pode usar para identificar usuários. Além disso, o aplicativo pode ser responsável por fornecer uma ID única que identifica o dispositivo do usuário final. O aplicativo pode usar a API associada ao dispositivo para notificar o servidor de BOPS sobre a ligação entre o usuário e o dispositivo de usuário.
[0056] O exemplo a seguir demonstra comunicação entre um cliente e um servidor. As chamadas para o servidor de BOPS podem ter uma chamada de API com a exceção notável de CreateApplication, que cria, de fato, a chave de API. A solicitação pode se originar a partir de um dispositivo de cliente para um servidor seguro. A chamada inicial recebe certificado de SSL bidirecional e cria um usuário. O usuário é criado em ambiente persistente agrupado. Supõe-se que as somas que impedem a reprodução são encriptadas de modo unidirecional com uso de SHA1. Trocar SHA1 por qualquer algoritmo adequado não muda o algoritmo. No presente documento, supõe-se SHA1.
[0057] Um formato exemplificativo de uma chamada inicial seria:
[0058] https://xyz.domain.com:8443/{BOPS_Instance _Server}/?val1=<n1>&val2=<n2>&siteId=<client>&username=<username>&pa ssword=<password>&newPassword=<newpassword>
[0059] Para val1=<n1>, n1 é uma soma de SHA1 de um número inteiro entre -59 e 59 adicionado ou subtraído do tempo atual no formato ISO-8601. Para val2=<n2>, n2 é uma soma de SHA1 de um número inteiro entre -59 e 59 e é maior do que o valor do texto não encriptado de n1. Os valores para nome de usuário e senha são dependentes do cliente e usados para alcançar o declarador de identidade atual. Mecanismos similares existem para SAML, LDAP, ActiveDirectory em conjunto com uma variedade de mecanismo para Declarar Identidade e Coletar Função.
[0061] O usuário scott tem um e-mail scott@sample.com. O primeiro valor de reprodução em um texto não encriptado é 5 e o segundo é 40. O sessionTimeout existe no sessionld, pareando siteId. Para um administrador do site da web do cliente de negócios, o sessionTimeout existe uma hora.
[0062] Em maiores detalhes o exemplo funciona conforme a seguir, com o tempo atual como 2013-12- 22T17:46:03.647Z. Um cálculo é feito para ir de volta ao intervalo de cinco minutos e obter 2013- 12- 22T17:45:00.007Z com uma soma de SHA1 de fa8el4cf7f80f885084ee0e3cb256182bb6a4e40
[0063] https://xyz.domain.com:8443/{BOPS_Instance _Server}/genesisval1=fa8e14cf7f80f885084ee0e3cb256182bb6a4e40&val2=fa 8e14cf7f80f885084ee0e3cb256182bb6a4e40&newPassword=gasol
[0064] Os valores associados com val1 são fa8el4cf7f80f885084ee0e3cb256182bb6a4e40 é um deslocamento 5 e para val2=fa8el4cf7f80f885084ee0e3cb256182bb6a4e40 que acaba por ser o mesmo para 40. A newPassword é a senha para a chave de SSL bidirecional que é, preferencialmente, não armazenada no servidor de BOPS.
[0065] Para executar essa operação, o servidor de BOPS precisa ter a soma de SHA1 para todos os números inteiros entre -59 e 59 para decifrar a soma.
[0066] A seguir, são representadas chamadas de API subsequentes. Por exemplo, às 14:18, hora em Zulu, o usuário scott usa um dispositivo cliente (telefone Android) para criar uma sessão. A chamada contém deviceld para uma sessão, assim como os seguintes parâmetros:
[0067] Val1=<SHA1sum do tempo atual recuado para o 5 minute interval>&val2=<SHA1sum mais próximo de tempo atual adiantado para o 20 minuteinterval>&command=<SHA1sum mais próximo de um sistema operacional de nível baixo tal fopen>&version=<version of command >&val3=<SHA1sum for the command file>
[0068] Para impedir a reprodução de uma sessão prévia ou uma substituição de arquivos de objeto kernel de chave, o servidor de BOPS contém somas de SHA1 para nomes de comandos e os arquivos em uma base de versão para versão. Usar o protocolo de BOPS em conjunto com o sistema de detecção de intrusão de BOPS impede o ataque de reprodução. O IDS atualiza a lista dos objetos em lista negra, como ameaças e ataques, no nível de reconhecimento de ataque adicional.
[0069] A discussão a seguir se refere a uma visão geral de uma API de acordo com uma ou mais implantações do presente aplicativo. Em uma ou mais implantações, os nomes de API estão em formato de Notação de Objetos JavaScript RESTful (JSON).
[0070] Com relação à API de declaração de identidade, desenvolvedores individuais podem requerer uma API_Key para seus próprios aplicativos que usarão BOPS. Uma vez que os desenvolvedores individuais tenham suas própria API_Keys, as chamadas de API que são feitas por seus próprios aplicativos podem inserir essa API_Key como um dos parâmetros. O LDAP pode verificar a API_Key naquele nível de API. Ademais, a identificação de aplicativo cria um aplicativo para uso por um time de desenvolvimento.
[0071] Uma discussão de um processo de criação de aplicativo exemplificativo de acordo com uma implantação exemplificativa é agora fornecida. Depois do início do aplicativo ser acordado, o administrador geral de BOPS cria um usuário com a função especial de originalSiteAdmin. Uma vez que o administrador de Site Original existe, a primeira ação da pessoa com a função de originalSiteAdmin associa sua biometria com a identidade. Depois disso, as ações têm gênese e API. Adicionalmente, a função originalSiteAdmin pode criar usuários de função siteAdmin. A função siteAdmin é usada para trabalho de administração adicional.
[0072] Com relação a uma API Gênese exemplificativa, o serviço de gênese é uma configuração inicial para um usuário. Pode funcionar com identidades iniciais previamente armazenadas, ou pode usar um serviço de axiom externo para a identidade inicial.
[0073] Em uma ou mais implantações exemplificativas, pode haver diversas regras definidas para dispositivos de cliente para assegurar a identidade. Essas regras podem incluir: 1) o dispositivo de autenticação de cliente não exige dispositivos adicionais; 2) falsos negativos devem estar abaixo de uma porcentagem predefinida (por exemplo, < 1); falsos positivos devem estar abaixo de uma porcentagem predefinida (por exemplo, < 0,5%). Outras regras podem incluir 4) a própria lista negra do software se o usuário falhar mais do que um número predefinido (X) de vezes consecutivas. Adicionalmente, o cliente pode ter um sistema de detecção de intrusão de cliente com capacidade para ver os padrões de tentativa e erro e se colocar na lista negra. Os aplicativos projetados para uso com BOPS podem incluir alguma forma de Detecção de Intrusão, por meio da qual o software pode detectar tentativas de falsificação e restringir o acesso ao sistema backend, definida, por exemplo, como a quantidade X de tentativas, o que depois faz com que o aplicativo cliente pare de funcionar por um período de tempo X ou indefinidamente até que o dispositivo possa estar apropriadamente seguro de que está seguro e válido. Adicionalmente, as regras podem incluir 5) Liveness, em que aplicativos que pretendem estar em conformidade com BOPS incluem alguma forma de detecção Liveness ou capacidade para assegurar que o usuário sendo incluído ou autenticado é uma pessoa real e não uma imagem ou outra representação do usuário. Para os sistemas de reconhecimento de face, isso pode ser algo tão simples quanto a detecção de piscada, a questão é que alguma forma de antifalsificação existe para impedir acesso falso ao sistema. Em uma ou mais implantações, uma organização de empreendimento determina qual caso é o mais adequado para uma implantação particular.
[0074] Em uma ou mais implantações, a coleta de função é recuperada a partir de uma Fonte de Função autoritária, por exemplo, Active Directory, LDAP ou servidor Big Data de banco de dados relacional ou é conduzida através de uma chamada de API adicional em um servidor de BOPS para encontrar a lista de Funções. As funções podem ser coletadas e armazenadas no servidor de BOPS.API DE FUNÇÃO
[0075] A seguir, é descrita a construção de sessão de código de imagem dinâmica, de acordo com uma ou mais implantações do presente aplicativo. Por exemplo, a Página da Web para Imagem Dinâmica retorna sessionid. Uma subchamada de API retorna uma imagem criptada por MIME que tem a sessionid na imagem dinâmica. A outra retorna uma URL da imagem e a sessionid em formato de texto JSON. Na conclusão da construção de sessão todas as funções (rótulos) podem ser associadas ao usuário.
[0076] Continuando com a construção de sessão de código de imagem dinâmica em uma ou mais implantações exemplificativas, um dispositivo de entrada realiza a varredura de uma imagem dinâmica e valida a sessionid submetida à varredura com BOPS, que aciona a associação tripla de usuário, dispositivo e sessão. O software de cliente de BOPS valida a biometria. A situação biométrica é enviada para o servidor de BOPS. Em uma ou mais implantações, os próprios dados biométricos não são enviados para o servidor de BOPS, para satisfazer questões de privacidade. Depois disso, o dispositivo realiza a varredura da biometria e uma sessionID é criada. Em uma ou mais implantações, a sessionid da situação de sessão retorna sessionNotReady, validationlnProgress, userAuthenticated, userRejected, sessionTerminated, sessionExpired. sessionLogoff e userLogoff. O Término de Sessão traz uma notificação de logoff. Uma vez recebida, a sessão pode ser fechada para uma atividade futura conforme definido pelo sessionLogoff na SessionID. Falhas na criação de sessionID podem ser governadas por um IDS que pode, então, tomar ações apropriadas para terminar a criação da sessionID, isso pode ocorrer bloqueando endereços de IP, colocando domínios na lista negra, colocando usuários na lista negra, ou outros meios. A colocação na lista negra tem uma hierarquia de restrição de acesso para o sistema com base nas regras de aprendizagem complexas.
[0077] Voltando agora para uma API de controle de acesso exemplificativa, dada sessionid, o rótulo de dados e o acesso são permitidos. Em uma ou mais implantações, o conjunto de dados em formato JSON (JSONArray de JSONObjects) é um campo de securityLabel. O campo de rótulo de segurança é compatibilizado com as funções associadas com o usuário através da sessão. Se os dados (JSONObject) são um subconjunto das funções, então, os dados são retornados. De outro modo, os dados parciais de JSONObject não são retornados. Conforme a API redireciona a chamada, os dados retornados se tornam restritos. Na chamada de API redirecionada uma chamada geUSON é interceptada.
[0078] A seguir, é descrita uma implantação exemplificativa na qual o algoritmo de controle de acesso é aplicável para cada usuário no momento que a construção de sessão planifica as hierarquias.
[0079] Consequentemente, usuários Gerentes sugerem que o rótulo de Gerente é tanto um Gerente quanto um usuário, então:
[0080] Se Bob é um Gerente, os rótulos para Bob são Gerente, Usuário.
[0081] Se um Dado é Gerente, a hierarquia não é planificada.
[0082] Para a adjudicação, se os dados são um subconjunto das funções de usuários (grupos), a adjudicação permite que o usuário consulte o mesmo:
[0083] Sem leitura, sem gravada de modelo “Bell- LaPadula”.
[0084] Em um determinado momento, o usuário funciona no nível de segurança que é não hierárquico.
[0085] Independentemente do número de rótulos planificados, o usuário funciona em um rótulo por vez, quando começa a gravar. Por exemplo, se Bob está funcionando como um gerente, ele pode apenas gravar dados como um gerente. Se ele está funcionando como um usuário, então ele pode apenas gravar dados como um usuário. Isso impede a política de segurança pela “escrita”.
[0086] Voltando agora para uma ou mais implantações e em relação à auditoria, as etapas associadas com a Declaração de Identidade, Criação de Sessão e Adjudicação têm uma capacidade de auditar. A capacidade pode ser estabelecida por qualquer usuário, grupos de usuários ou funções por qualquer ação (ler/gravar) em qualquer conjunto de dados. A auditoria pode ser armazenada e coletada RESTfully e, depois, armazenada em um servidor de BOPS.API PARA SOLICITAÇÃO DE AUDITORIA
API PARA LER REGISTROS DE AUDITORIA
[0087] Voltando agora para a administração de acordo com uma implantação exemplificativa, o mapeamento de usuários para Grupos e Grupos para Funções e Atributos para Grupos é fornecido por uma chamada de API. Todas as chamadas exigem uma camada de comunicação de SSL bidirecional e devem ser conduzidas pela função de administrador.
[0088] UPDATE_URI=https://xyz.domain.com:8443/{ BOPS_Instance_Name}/JSONUpdate PARA ADICIONAR OU ATUALIZAR UM USUÁRIOPARA ADICIONAR OU ATUALIZAR UM GRUPOPARA ADICIONAR UMA FUNÇÃO
[0089] Além disso, o relato é suportado e o relatório de nível de administração está disponível na API que faz auditoria.
[0090] A seguir, um glossário exemplificativo de termos de acordo com uma ou mais implantações do presente aplicativo.GLOSSÁRIO
[0091] A seguir, uma descrição de uma implantação exemplificativa. Para iniciar o aplicativo, um usuário autentica seu rosto no aplicativo móvel e é verificado imediatamente. A Figura 4 ilustra uma tela de exibição de dispositivo móvel exemplificativa sugerindo que o usuário proceda com a autenticação. Pode ser exigido do usuário também especificar um endereço de e-mail para o qual o aplicativo móvel envia as notificações. Desse modo, o proprietário da identidade receberá o link para transferir por download um aplicativo middleware que sincroniza o dispositivo móvel e uma ou mais máquina de mesa, em que o usuário gostaria de conduzir uma autenticação segura. Esse middleware, que pode ser instalado através do Windows ou instalador OSX padrão em cada uma das máquinas, permite gerenciar as preferências de início de sessão do usuário através de um aplicativo em um computador de mesa.
[0092] A Figura 5 ilustra uma interface exemplificativa para verificar um usuário. A Figura 6 ilustra uma tela de exibição exemplificativa que inclui configurar extensões de terceiros desenvolvedores para personalizar e aprimorar as experiências de web dos usuários.
[0093] Uma vez que o aplicativo de cliente é iniciado, um usuário pode acessar a conta de banco (ou outro site da web) no computador verificando sua identidade. Isso poderia ser feito em algumas etapas simples. Com referência à Figura 7, um usuário é sugerido realizar a varredura de um código QR que aparece na tela com o telefone. O usuário realiza a varredura do código QR (por exemplo, conforme mostrado na Figura 8) e, depois disso, uma vez verificado e autenticado acessa o conteúdo (Figura 9). Se a identidade de usuário não pode ser verificada, o acesso ao site da web será recusado. Uma vez que a identidade é confirmada, a conta do usuário será aberta no navegador.
[0094] Portanto, de acordo com os sistemas e métodos mostrados no presente documento, o presente aplicativo fornece autenticação nova e verificável, controle de acesso, coleta de função, seguridade e auditoria em conexão com ativos digitais fornecidos por uma rede de comunicação. Em seguida ao processo de Gênese e à vinculação da biometria do usuário ao dispositivo do usuário, uma chave de SSL bidirecional que foi atribuída por uma autoridade de certificação pode ser usada para assegurar acesso e atividade subsequente.
[0095] O presente aplicativo fornece implantações flexíveis, incluindo aquelas que são associadas à autenticação biométrica, assim como para provisões de segurança que podem ter sido preparadas antes do processo de Gênese. Isso fornece segurança aumentada sem interferir com uma metodologia de negócios existente na organização que provê acesso a ativos digitais. Em uma ou mais implantações, o presente aplicativo adiciona declaração de identidade sem perturbar um modelo de negócios existente.
[0096] Ademais, o presente aplicativo fornece segurança aumentada impedindo a falsificação, tal como em um caso em que um identificador único de SSL bidirecional é “reproduzido” por um hacker. Um hacker que é sofisticado e “domina” um telefone inteligente, por exemplo, a fim de substituir um comando “abrir arquivo” por um novo, e que rouba um handshake bem-sucedido e tentar retornar o handshake bem-sucedido para enganar o sistema ficaria impossibilitado de ganhar acesso ao servidor confiável 102.
[0097] Consequentemente, o presente aplicativo fornece aprimoramento significativo em relação aos meios de segurança conhecidos fornecendo-se padrões que coletivamente incluem uma infraestrutura para autenticar usuários e permitir acesso a um ou mais ativos digitais pela mesma.
[0098] A matéria descrita acima é fornecida como forma de ilustração e não deve ser interpretada como limitadora da invenção. Várias alterações e modificações podem ser feitas à matéria individual no presente documento sem seguir as modalidades exemplificativas e aplicativos ilustrados e descritos, e sem se afastar do verdadeiro espírito e escopo da presente invenção, conforme estabelecido em cada uma das reivindicações a seguir.
Claims (20)
1. Método para fornecer comunicação segura entre um dispositivo de computação de usuário e um servidor confiável, caracterizado pelo fato de que compreende: fornecer, através de um aplicativo de software de cliente distribuído, um certificado de uso único que permite uma sessão de comunicação segura bidirecional inicial entre o dispositivo de computação de usuário e o servidor confiável; estabelecer, pelo servidor confiável, uma sessão de comunicação segura inicial com o dispositivo de computação de usuário depois de receber o certificado de uso único; receber, pelo servidor confiável durante a sessão de comunicação segura inicial, informações de identificação associadas ao usuário do dispositivo de computação de usuário, em que as informações de identificação incluem uma representação da identidade de usuário que foi confirmada como uma função da biometria e inclui adicionalmente uma representação do dispositivo de computação de usuário; gerar, pelo servidor confiável, um certificado de substituição que é único para a combinação do usuário e do dispositivo de computação de usuário, transmitir, pelo servidor confiável, o certificado de substituição para o dispositivo de computação de usuário; e estabelecer, pelo servidor confiável, uma sessão de comunicação segura bidirecional com o dispositivo de computação de usuário cada vez que o certificado de substituição e informações codificadas que representam que a identidade do usuário foi verificada usando a captura de informações biométricas for recebido do dispositivo de computação do usuário pelo servidor confiável.
2. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que compreende empregar, pelo servidor confiável, um sistema de detecção de intrusão que fornece monitoramento ativo e impede falsificação do certificado de substituição.
3. Método, de acordo com a reivindicação 2, caracterizado pelo fato de que a falsificação que é impedida inclui reproduzir o certificado de substituição.
4. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que a sessão de comunicação segura bidirecional inicial e a sessão de comunicação segura bidirecional com o dispositivo de computação de usuário cada vez que o certificado de substituição é recebido pelo servidor confiável são adicionalmente estabelecidas como uma conexão segura unidirecional.
5. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que a sessão de comunicação segura bidirecional inicial e a sessão de comunicação segura bidirecional são tornadas seguras através de conexões de camada de soquetes seguras bidirecionais e através de conexões de camada de soquetes seguras unidirecionais.
6. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que compreende adicionalmente: receber, pelo servidor confiável a partir de um dispositivo de computação que não o dispositivo de computação de usuário um identificador de usuário que representa o usuário; e incluir o identificador de usuário no certificado de substituição.
7. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que compreende adicionalmente: fornecer, pelo servidor confiável, coleta de função que é definida por uma ou mais regras para acesso a um ativo digital; e fornecer ou recusar, pelo servidor confiável, acesso ao ativo digital pelo dispositivo de computação de usuário como uma função da coleta de função.
8. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que compreende adicionalmente fornecer, pelo servidor confiável, auditoria de acesso a um ou mais ativos digitais pelo dispositivo de computação de usuário.
9. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que a representação do dispositivo de computação de usuário inclui um identificador de dispositivo.
10. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que compreende adicionalmente consultar, pelo servidor confiável, o dispositivo de computação de usuário para capturar a informação biométrica do usuário e criptar informações que representam que a identidade de usuário foi verificada.
11. Sistema para fornecer comunicação segura entre um dispositivo de computação de usuário e um servidor confiável, caracterizado pelo fato de que compreende: pelo menos um processador acoplado de modo operacional a um ou mais meios legíveis por processador não transitórios; em que os um ou mais meios legíveis por processador incluem instruções para permitir ao pelo menos um processador: fornecer, através de um aplicativo de software de cliente distribuído, um certificado de uso único que permite uma sessão de comunicação segura bidirecional inicial entre o dispositivo de computação de usuário e o servidor confiável; estabelecer uma sessão de comunicação segura inicial com o dispositivo de computação de usuário depois de receber o certificado de uso único; receber, durante a sessão de comunicação segura inicial, informações de identificação associadas ao usuário do dispositivo de computação de usuário, em que as informações de identificação incluem uma representação da identidade de usuário que foi confirmada como uma função da biometria e inclui adicionalmente uma representação do dispositivo de computação de usuário; gerar um certificado de substituição que é único para a combinação do usuário e do dispositivo de computação de usuário, transmitir o certificado de substituição para o dispositivo de computação de usuário; e estabelecer uma sessão de comunicação segura bidirecional com o dispositivo de computação de usuário cada vez que o certificado de substituição e informações codificadas que representam que a identidade do usuário foi verificada usando captura de informações biométricas for recebido do dispositivo de computação do usuário pelo servidor confiável.
12. Sistema, de acordo com a reivindicação 11, caracterizado pelo fato de que os um ou mais meios legíveis por processador não transitórios incluem adicionalmente instruções para permitir que o pelo menos um processador empregue um sistema de detecção de intrusão que fornece monitoramento ativo e impede falsificação do certificado de substituição.
13. Sistema, de acordo com a reivindicação 12, caracterizado pelo fato de que a falsificação que é impedida inclui reproduzir o certificado de substituição.
14. Sistema, de acordo com a reivindicação 11, caracterizado pelo fato de que os um ou mais meios legíveis por processador não transitórios incluem adicionalmente instruções para permitir que o pelo menos um processador estabeleça uma conexão segura unidirecional cada vez que o certificado de substituição for recebido.
15. Sistema, de acordo com a reivindicação 11, caracterizado pelo fato de que a sessão de comunicação segura bidirecional inicial e a sessão de comunicação segura bidirecional são tornadas seguras através de conexões de camada de soquetes seguras bidirecionais e através de conexões de camada de soquetes seguras unidirecionais.
16. Sistema, de acordo com a reivindicação 11, caracterizado pelo fato de que os um ou mais meios legíveis por processador incluem adicionalmente instruções para permitir ao pelo menos um processador: receber de um dispositivo de computação que não o dispositivo de computação de usuário um identificador de usuário que representa o usuário; e incluir o identificador de usuário no certificado de substituição.
17. Sistema, de acordo com a reivindicação 11, caracterizado pelo fato de que os um ou mais meios legíveis por processador não transitórios incluem adicionalmente instruções para permitir ao pelo menos um processador: fornecer coleta de função que é definida por uma ou mais regras para acesso a um ativo digital; e fornecer ou recusar acesso ao ativo digital pelo dispositivo de computação de usuário como uma função da coleta de função.
18. Sistema, de acordo com a reivindicação 11, caracterizado pelo fato de que os um ou mais meios legíveis por processador não transitórios incluem adicionalmente instruções para permitir que o pelo menos um processador forneça adicionalmente auditoria de acesso a um ou mais ativos digitais pelo dispositivo de computação de usuário.
19. Sistema, de acordo com a reivindicação 11, caracterizado pelo fato de que a representação do dispositivo de computação de usuário inclui um identificador de dispositivo.
20. Sistema, de acordo com a reivindicação 11, caracterizado pelo fato de que os um ou mais meios legíveis por processador não transitórios incluem adicionalmente instruções para permitir ao pelo menos um processador consultar o dispositivo de computação de usuário para capturar a informação biométrica do usuário e criptar as informações que representam que a identidade de usuário foi verificada.
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201361922438P | 2013-12-31 | 2013-12-31 | |
US61/922,438 | 2013-12-31 | ||
US14/201,438 | 2014-03-07 | ||
US14/201,438 US9208492B2 (en) | 2013-05-13 | 2014-03-07 | Systems and methods for biometric authentication of transactions |
PCT/US2014/072985 WO2015147945A2 (en) | 2013-12-31 | 2014-12-31 | System and method for biometric protocol standards |
Publications (3)
Publication Number | Publication Date |
---|---|
BR112016015458A2 BR112016015458A2 (pt) | 2017-08-08 |
BR112016015458A8 BR112016015458A8 (pt) | 2018-08-14 |
BR112016015458B1 true BR112016015458B1 (pt) | 2023-04-11 |
Family
ID=53483232
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
BR112016015458-4A BR112016015458B1 (pt) | 2013-12-31 | 2014-12-31 | Sistema e método para padrões de protocolo biométrico |
Country Status (12)
Country | Link |
---|---|
US (3) | US9380052B2 (pt) |
EP (1) | EP3090525B1 (pt) |
JP (1) | JP6426189B2 (pt) |
KR (1) | KR102217916B1 (pt) |
CN (1) | CN106063219B (pt) |
AU (2) | AU2014388268B2 (pt) |
BR (1) | BR112016015458B1 (pt) |
CA (1) | CA2935688C (pt) |
ES (1) | ES2881877T3 (pt) |
PL (1) | PL3090525T3 (pt) |
WO (1) | WO2015147945A2 (pt) |
ZA (1) | ZA201605228B (pt) |
Families Citing this family (62)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10867298B1 (en) | 2008-10-31 | 2020-12-15 | Wells Fargo Bank, N.A. | Payment vehicle with on and off function |
US20100114768A1 (en) | 2008-10-31 | 2010-05-06 | Wachovia Corporation | Payment vehicle with on and off function |
US9947004B2 (en) | 2012-06-28 | 2018-04-17 | Green Dot Corporation | Wireless client transaction systems and related methods |
US20140019322A1 (en) | 2012-07-13 | 2014-01-16 | Green Dot Corporation | Mobile banking systems and related methods |
US9838388B2 (en) | 2014-08-26 | 2017-12-05 | Veridium Ip Limited | System and method for biometric protocol standards |
EP2998896A1 (fr) * | 2014-09-17 | 2016-03-23 | Gemalto Sa | Procédé d'authentification d'un utilisateur, terminaux et système d'authentification correspondants |
US11429975B1 (en) | 2015-03-27 | 2022-08-30 | Wells Fargo Bank, N.A. | Token management system |
JP5944551B1 (ja) * | 2015-04-03 | 2016-07-05 | 株式会社三菱東京Ufj銀行 | サーバ |
US11170364B1 (en) | 2015-07-31 | 2021-11-09 | Wells Fargo Bank, N.A. | Connected payment card systems and methods |
US10430788B2 (en) | 2015-08-06 | 2019-10-01 | Green Dot Corporation | Systems and methods for fund transfers |
US11329980B2 (en) | 2015-08-21 | 2022-05-10 | Veridium Ip Limited | System and method for biometric protocol standards |
CN108475309B (zh) * | 2015-08-21 | 2023-02-03 | 维尔蒂姆知识产权有限公司 | 用于生物特征协议标准的系统和方法 |
US10438209B2 (en) | 2016-02-10 | 2019-10-08 | Bank Of America Corporation | System for secure routing of data to various networks from a process data network |
US10200369B1 (en) * | 2016-02-16 | 2019-02-05 | Symantec Corporation | Systems and methods for dynamically validating remote requests within enterprise networks |
US10178105B2 (en) * | 2016-02-22 | 2019-01-08 | Bank Of America Corporation | System for providing levels of security access to a process data network |
WO2017176429A1 (en) | 2016-04-05 | 2017-10-12 | Wellaware Holdings, Inc. | Monitoring and controlling industrial equipment |
WO2017176428A1 (en) | 2016-04-05 | 2017-10-12 | Wellaware Holdings, Inc. | Monitoring and controlling industrial equipment |
CA3020155A1 (en) * | 2016-04-05 | 2017-10-12 | Wellaware Holdings, Inc. | A device for monitoring and controlling industrial equipment |
US11170358B2 (en) * | 2016-04-29 | 2021-11-09 | International Business Machines Corporation | System, method, and recording medium for identity fraud prevention in secure transactions using multi-factor verification |
US11886611B1 (en) | 2016-07-01 | 2024-01-30 | Wells Fargo Bank, N.A. | Control tower for virtual rewards currency |
US11386223B1 (en) | 2016-07-01 | 2022-07-12 | Wells Fargo Bank, N.A. | Access control tower |
US11935020B1 (en) | 2016-07-01 | 2024-03-19 | Wells Fargo Bank, N.A. | Control tower for prospective transactions |
US11615402B1 (en) * | 2016-07-01 | 2023-03-28 | Wells Fargo Bank, N.A. | Access control tower |
US10992679B1 (en) | 2016-07-01 | 2021-04-27 | Wells Fargo Bank, N.A. | Access control tower |
US10289825B2 (en) * | 2016-07-22 | 2019-05-14 | Nec Corporation | Login access control for secure/private data |
US10402796B2 (en) | 2016-08-29 | 2019-09-03 | Bank Of America Corporation | Application life-cycle transition record recreation system |
US20180089688A1 (en) * | 2016-09-27 | 2018-03-29 | Mastercard International Incorporated | System and methods for authenticating a user using biometric data |
US11074325B1 (en) * | 2016-11-09 | 2021-07-27 | Wells Fargo Bank, N.A. | Systems and methods for dynamic bio-behavioral authentication |
US20180145959A1 (en) * | 2016-11-22 | 2018-05-24 | Synergex Group | Method for determining access privilege using username, IP address, App ID, App Key, and biometric signature sample. |
US10911452B2 (en) | 2016-11-22 | 2021-02-02 | Synergex Group (corp.) | Systems, methods, and media for determining access privileges |
US10404691B2 (en) | 2017-03-02 | 2019-09-03 | Bank Of America Corporation | Preventing unauthorized access to secured information systems using authentication tokens |
US10134207B2 (en) * | 2017-04-20 | 2018-11-20 | Saudi Arabian Oil Company | Securing SCADA network access from a remote terminal unit |
US11556936B1 (en) | 2017-04-25 | 2023-01-17 | Wells Fargo Bank, N.A. | System and method for card control |
DE102017111933A1 (de) * | 2017-05-31 | 2018-12-06 | Krohne Messtechnik Gmbh | Verfahren zur sicheren Kommunikation mit einem Feldmessgerät der Prozesstechnik und entsprechendes Feldmessgerät |
US11062388B1 (en) | 2017-07-06 | 2021-07-13 | Wells Fargo Bank, N.A | Data control tower |
WO2019046406A1 (en) * | 2017-08-29 | 2019-03-07 | Westerhoff David Michael | RECORDING SYSTEM IN A SECURE NETWORK |
US11715154B2 (en) | 2017-09-22 | 2023-08-01 | Green Dot Corporation | Systems and methods for managing accounts in a financial services system |
GB2581075A (en) * | 2017-10-31 | 2020-08-05 | Mitsubishi Heavy Ind Mechatronics Systems Ltd | Information relay device, toll collection machine, medium, onboard device, and roadside device |
US11188887B1 (en) | 2017-11-20 | 2021-11-30 | Wells Fargo Bank, N.A. | Systems and methods for payment information access management |
US20190320039A1 (en) * | 2018-04-13 | 2019-10-17 | Mastercard International Incorporated | Systems and methods for use in providing digital identities |
US11057377B2 (en) * | 2018-08-26 | 2021-07-06 | Ncr Corporation | Transaction authentication |
US20200154275A1 (en) * | 2018-11-13 | 2020-05-14 | Apple Inc. | Wireless power transfer device authentication |
US11282066B1 (en) * | 2019-01-18 | 2022-03-22 | Worldpay, Llc | Systems and methods to provide user verification in a shared user environment via a device-specific display |
US10897398B2 (en) | 2019-02-04 | 2021-01-19 | Saudi Arabian Oil Company | Embedded dynamic configuration assignment for unprotected remote terminal unit (RTU) |
US11823198B1 (en) | 2019-02-18 | 2023-11-21 | Wells Fargo Bank, N.A. | Contextually escalated authentication by system directed customization of user supplied image |
US11288378B2 (en) | 2019-02-20 | 2022-03-29 | Saudi Arabian Oil Company | Embedded data protection and forensics for physically unsecure remote terminal unit (RTU) |
US11593467B2 (en) * | 2019-11-19 | 2023-02-28 | Red Hat, Inc. | Systems and methods for biometric authorization using a main screen and a visual indicator |
US11341830B2 (en) | 2020-08-06 | 2022-05-24 | Saudi Arabian Oil Company | Infrastructure construction digital integrated twin (ICDIT) |
US10992606B1 (en) | 2020-09-04 | 2021-04-27 | Wells Fargo Bank, N.A. | Synchronous interfacing with unaffiliated networked systems to alter functionality of sets of electronic assets |
CN114389793B (zh) * | 2020-10-16 | 2024-03-08 | 中移动信息技术有限公司 | 会话密钥验证的方法、装置、设备及计算机存储介质 |
EP4002166B1 (en) * | 2020-11-11 | 2024-06-12 | Qamcom Innovation Labs AB | Method and system for biometric authentication for large numbers of enrolled persons |
US11921832B2 (en) | 2021-01-04 | 2024-03-05 | Capital One Services, Llc | Authentication by a facial biometric |
US11546338B1 (en) | 2021-01-05 | 2023-01-03 | Wells Fargo Bank, N.A. | Digital account controls portal and protocols for federated and non-federated systems and devices |
CN113297552B (zh) * | 2021-02-05 | 2023-11-17 | 中国银联股份有限公司 | 基于生物特征id链的验证方法及其验证系统、用户终端 |
US11687053B2 (en) | 2021-03-08 | 2023-06-27 | Saudi Arabian Oil Company | Intelligent safety motor control center (ISMCC) |
US11935055B2 (en) | 2021-03-22 | 2024-03-19 | Bank Of America Corporation | Wired multi-factor authentication for ATMs using an authentication media |
US20220321347A1 (en) * | 2021-03-30 | 2022-10-06 | Andrew Mark | System, method and apparatus for transaction access and security |
US20230012424A1 (en) * | 2021-07-07 | 2023-01-12 | Bank Of America Corporation | Queue Management for Pre-staged Transactions at Ultra-Wide Enabled ATMs |
US12058249B2 (en) | 2021-07-07 | 2024-08-06 | Bank Of America Corporation | Pre-staged transactions with ultra-wideband networking and haptic feedback |
CN113347620B (zh) * | 2021-08-05 | 2021-11-12 | 深圳市深圳通有限公司 | 兼容多版本应用空发卡方法、装置、设备及存储介质 |
US20230291548A1 (en) * | 2022-03-08 | 2023-09-14 | Western Digital Technologies, Inc. | Authorization requests from a data storage device to multiple manager devices |
US12024985B2 (en) | 2022-03-24 | 2024-07-02 | Saudi Arabian Oil Company | Selective inflow control device, system, and method |
Family Cites Families (56)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5892900A (en) | 1996-08-30 | 1999-04-06 | Intertrust Technologies Corp. | Systems and methods for secure transaction management and electronic rights protection |
US6763459B1 (en) | 2000-01-14 | 2004-07-13 | Hewlett-Packard Company, L.P. | Lightweight public key infrastructure employing disposable certificates |
DE60120369T2 (de) * | 2001-05-23 | 2007-07-12 | Daniel Büttiker | Verfahren und Datenträger zur Eintragung von Benutzern einer Public-Key-Infrastruktur und Eintragungssystem |
WO2003003278A1 (en) | 2001-06-28 | 2003-01-09 | Trek 2000 International Ltd. | A portable device having biometrics-based authentication capabilities |
WO2004006076A2 (en) | 2002-07-03 | 2004-01-15 | Aurora Wireless Technologies, Ltd. | Biometric private key infrastructure |
JP4619119B2 (ja) * | 2002-08-06 | 2011-01-26 | プリヴァリス・インコーポレーテッド | 電子装置への個人身分証明書のセキュアな登録およびバックアップのための方法 |
US7069438B2 (en) * | 2002-08-19 | 2006-06-27 | Sowl Associates, Inc. | Establishing authenticated network connections |
KR100528328B1 (ko) | 2003-01-21 | 2005-11-15 | 삼성전자주식회사 | 사용자 인증 방법 및 장치 |
JP2004297292A (ja) * | 2003-03-26 | 2004-10-21 | Nec Corp | 無線端末、認証サーバ、無線認証情報管理システム、および、無線認証情報管理方法 |
US7437769B2 (en) | 2003-06-24 | 2008-10-14 | Realnetworks, Inc. | Multiple entity control of access restrictions for media playback |
US7802295B2 (en) * | 2003-08-11 | 2010-09-21 | Sony Corporation | Authentication method, authentication system, and authentication server |
WO2005069823A2 (en) * | 2004-01-15 | 2005-08-04 | Jun Song | Centralized transactional security audit for enterprise systems |
US7254383B2 (en) | 2004-07-30 | 2007-08-07 | At&T Knowledge Ventures, L.P. | Voice over IP based biometric authentication |
US7571485B1 (en) * | 2005-03-30 | 2009-08-04 | Symantec Corporation | Use of database schema for fraud prevention and policy compliance |
US7586926B2 (en) | 2005-04-18 | 2009-09-08 | Research In Motion Limited | System and method for generic data mapping between wireless component applications and application data sources |
US8171544B2 (en) | 2005-04-20 | 2012-05-01 | Cisco Technology, Inc. | Method and system for preventing, auditing and trending unauthorized traffic in network systems |
US7536304B2 (en) | 2005-05-27 | 2009-05-19 | Porticus, Inc. | Method and system for bio-metric voice print authentication |
US20060293891A1 (en) | 2005-06-22 | 2006-12-28 | Jan Pathuel | Biometric control systems and associated methods of use |
US20070192601A1 (en) | 2005-08-03 | 2007-08-16 | Spain John D | System and method for user identification and authentication |
US8615663B2 (en) | 2006-04-17 | 2013-12-24 | Broadcom Corporation | System and method for secure remote biometric authentication |
US20130227286A1 (en) * | 2006-04-25 | 2013-08-29 | Andre Jacques Brisson | Dynamic Identity Verification and Authentication, Dynamic Distributed Key Infrastructures, Dynamic Distributed Key Systems and Method for Identity Management, Authentication Servers, Data Security and Preventing Man-in-the-Middle Attacks, Side Channel Attacks, Botnet Attacks, and Credit Card and Financial Transaction Fraud, Mitigating Biometric False Positives and False Negatives, and Controlling Life of Accessible Data in the Cloud |
US8549295B2 (en) | 2006-05-31 | 2013-10-01 | Microsoft Corporation | Establishing secure, mutually authenticated communication credentials |
GB2438928A (en) | 2006-06-08 | 2007-12-12 | Brian Clarke | Biometric Remote Access Device (BRAD) |
US20100242102A1 (en) * | 2006-06-27 | 2010-09-23 | Microsoft Corporation | Biometric credential verification framework |
US8280120B2 (en) | 2006-10-02 | 2012-10-02 | Eyelock Inc. | Fraud resistant biometric financial transaction system and method |
JP4996904B2 (ja) | 2006-10-04 | 2012-08-08 | 株式会社日立製作所 | 生体認証システム、登録端末、認証端末、及び認証サーバ |
JP2008176407A (ja) | 2007-01-16 | 2008-07-31 | Toshiba Corp | 生体認証システム、装置及びプログラム |
JP2010533344A (ja) | 2007-07-12 | 2010-10-21 | イノベーション インベストメンツ、エルエルシー | 識別認証および保護アクセスシステム、構成要素、および方法 |
JP2009140231A (ja) * | 2007-12-06 | 2009-06-25 | Sony Corp | 通信システム及び通信端末装置 |
US8429650B2 (en) | 2008-11-14 | 2013-04-23 | Oracle International Corporation | System and method of security management for a virtual environment |
CN101420694A (zh) * | 2008-12-16 | 2009-04-29 | 天津工业大学 | 一种wapi-xg1接入及快速切换认证方法 |
DE102009009310A1 (de) * | 2009-02-17 | 2009-10-01 | Daimler Ag | Kommunikation und Identifizierung zwischen einem Kraftfahrzeugbenutzergerät mit Head Unit und davon entfernt gelegener Vorrichtung |
US8443202B2 (en) | 2009-08-05 | 2013-05-14 | Daon Holdings Limited | Methods and systems for authenticating users |
US20110047384A1 (en) | 2009-08-21 | 2011-02-24 | Qualcomm Incorporated | Establishing an ad hoc network using face recognition |
JP2011155348A (ja) * | 2010-01-26 | 2011-08-11 | Kddi Corp | 生体認証システム、生体認証方法およびプログラム |
CA2792887C (en) * | 2010-03-11 | 2019-06-18 | Wal-Mart Stores, Inc. | System and method for transaction payments using a mobile device |
US9208482B2 (en) | 2010-04-09 | 2015-12-08 | Paypal, Inc. | Transaction token issuing authorities |
US8380177B2 (en) | 2010-04-09 | 2013-02-19 | Paydiant, Inc. | Mobile phone payment processing methods and systems |
US20120089471A1 (en) * | 2010-10-06 | 2012-04-12 | Rt7 Incorporated | System and method of capturing point-of-sale data and providing real-time advertising content |
RU2013118922A (ru) | 2010-10-29 | 2014-12-10 | Эксодэс Пэймент Системз, Эл-Эл-Си | Способ обработки транзакций с использованием токена и система для его реализации |
US9064257B2 (en) | 2010-11-02 | 2015-06-23 | Homayoon Beigi | Mobile device transaction using multi-factor authentication |
BR112013016171A2 (pt) | 2010-12-23 | 2018-07-17 | Paydiant, Inc. | sistemas e métodos para processamento de atm de telefone móvel |
US20120173311A1 (en) * | 2010-12-31 | 2012-07-05 | Nautilus Hyosung Inc. | Automatic teller machine for providing service using two-dimensional barcode and method for operating automatic teller machine |
WO2012123727A1 (en) | 2011-03-11 | 2012-09-20 | Callsign, Inc | Personal identity control |
US8994499B2 (en) | 2011-03-16 | 2015-03-31 | Apple Inc. | Locking and unlocking a mobile device using facial recognition |
US9198038B2 (en) * | 2011-06-13 | 2015-11-24 | Qualcomm Incorporated | Apparatus and methods of identity management in a multi-network system |
US8752154B2 (en) | 2011-08-11 | 2014-06-10 | Bank Of America Corporation | System and method for authenticating a user |
US8473748B2 (en) | 2011-09-27 | 2013-06-25 | George P. Sampas | Mobile device-based authentication |
US9922370B2 (en) * | 2011-11-15 | 2018-03-20 | Ncr Corporation | Techniques for automated teller machine (ATM) transactions |
US20130222603A1 (en) | 2012-02-28 | 2013-08-29 | Aptina Imaging Corporation | Imaging systems for infrared and visible imaging |
WO2013147763A1 (en) | 2012-03-28 | 2013-10-03 | Texas State University - San Marcos | Person identification using ocular biometrics |
US20130262873A1 (en) * | 2012-03-30 | 2013-10-03 | Cgi Federal Inc. | Method and system for authenticating remote users |
US8457367B1 (en) | 2012-06-26 | 2013-06-04 | Google Inc. | Facial recognition |
US9471764B2 (en) | 2012-07-19 | 2016-10-18 | Apple Inc. | Electronic device switchable to a user-interface unlocked mode based upon spoof detection and related methods |
US20140090039A1 (en) | 2012-09-24 | 2014-03-27 | Plantronics, Inc. | Secure System Access Using Mobile Biometric Devices |
US9948675B2 (en) | 2013-04-04 | 2018-04-17 | The Mitre Corporation | Identity-based internet protocol networking |
-
2014
- 2014-12-31 CN CN201480074859.5A patent/CN106063219B/zh active Active
- 2014-12-31 KR KR1020167021073A patent/KR102217916B1/ko active IP Right Grant
- 2014-12-31 US US14/587,633 patent/US9380052B2/en active Active
- 2014-12-31 BR BR112016015458-4A patent/BR112016015458B1/pt active IP Right Grant
- 2014-12-31 JP JP2016544529A patent/JP6426189B2/ja active Active
- 2014-12-31 CA CA2935688A patent/CA2935688C/en active Active
- 2014-12-31 WO PCT/US2014/072985 patent/WO2015147945A2/en active Application Filing
- 2014-12-31 EP EP14887454.8A patent/EP3090525B1/en active Active
- 2014-12-31 PL PL14887454T patent/PL3090525T3/pl unknown
- 2014-12-31 AU AU2014388268A patent/AU2014388268B2/en active Active
- 2014-12-31 ES ES14887454T patent/ES2881877T3/es active Active
-
2015
- 2015-03-04 US US14/638,787 patent/US9338161B2/en active Active
-
2016
- 2016-07-27 ZA ZA2016/05228A patent/ZA201605228B/en unknown
- 2016-09-07 US US15/258,800 patent/US11170369B2/en active Active
-
2019
- 2019-07-16 AU AU2019206006A patent/AU2019206006B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
AU2019206006A1 (en) | 2019-08-08 |
ES2881877T3 (es) | 2021-11-30 |
EP3090525A4 (en) | 2017-09-20 |
CN106063219B (zh) | 2019-10-08 |
BR112016015458A8 (pt) | 2018-08-14 |
BR112016015458A2 (pt) | 2017-08-08 |
JP2017508194A (ja) | 2017-03-23 |
AU2014388268B2 (en) | 2019-04-18 |
CA2935688A1 (en) | 2015-10-01 |
EP3090525A2 (en) | 2016-11-09 |
WO2015147945A2 (en) | 2015-10-01 |
EP3090525B1 (en) | 2021-06-16 |
CN106063219A (zh) | 2016-10-26 |
AU2019206006B2 (en) | 2021-07-01 |
CA2935688C (en) | 2022-03-29 |
AU2014388268A1 (en) | 2016-07-21 |
US20150188912A1 (en) | 2015-07-02 |
KR102217916B1 (ko) | 2021-02-22 |
US20160379211A1 (en) | 2016-12-29 |
ZA201605228B (en) | 2017-09-27 |
US20150188911A1 (en) | 2015-07-02 |
WO2015147945A3 (en) | 2015-12-03 |
JP6426189B2 (ja) | 2018-11-21 |
US9380052B2 (en) | 2016-06-28 |
US9338161B2 (en) | 2016-05-10 |
PL3090525T3 (pl) | 2021-11-22 |
US11170369B2 (en) | 2021-11-09 |
KR20160111940A (ko) | 2016-09-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
AU2019206006B2 (en) | System and method for biometric protocol standards | |
US11329980B2 (en) | System and method for biometric protocol standards | |
JP6625636B2 (ja) | サービスとしてのアイデンティティインフラストラクチャ | |
US9130920B2 (en) | Monitoring of authorization-exceeding activity in distributed networks | |
RU2691211C2 (ru) | Технологии для обеспечения сетевой безопасности через динамически выделяемые учетные записи | |
US8997196B2 (en) | Flexible end-point compliance and strong authentication for distributed hybrid enterprises | |
Ghazi et al. | DB-SECaaS: a cloud-based protection system for document-oriented NoSQL databases | |
KR20220038115A (ko) | 바이오메트릭 프로토콜 표준을 위한 시스템 및 방법 | |
Lakhe | Practical Hadoop Security | |
Behera et al. | Big data security threats and prevention measures in cloud and Hadoop | |
Del Vecchio et al. | Evaluating Grid portal security | |
Vecchio et al. | Evaluating grid portal security | |
da Silva Torres | Identity management: analysis of secure authentication propositions | |
Chu | Apache hadoop: A review on security issues and solutions for hdfs: A deep dive into the security issues occur in hdfs structure, and the available technologies to protect it | |
Morais | Autenticação Multi-Factor Melhorada para Web | |
Tijms et al. | Jakarta EE Foundations | |
Beqo | Enhancing User Authentication for Cloud Web-Based Application | |
CISSP | Number: CISSP Passing Score: 800 Time Limit: 120 min File Version: 20.5 | |
Skevoulis et al. | ATINER's Conference Paper Series COM2016-1978 | |
Bugnet et al. | Warranty Disclaimer | |
Madushanth et al. | CYBER THREAT DETECTION, SECURING AND STORING CONFIDENTIAL FILES IN BYOD |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
B25F | Entry of change of name and/or headquarter and transfer of application, patent and certif. of addition of invention: change of name on requirement |
Owner name: HOYOS LABS IP LTD. (GB) |
|
B25G | Requested change of headquarter approved |
Owner name: HOYOS LABS IP LTD. (GB) |
|
B25D | Requested change of name of applicant approved |
Owner name: VERIDIUM IP LIMITED (GB) |
|
B06U | Preliminary requirement: requests with searches performed by other patent offices: procedure suspended [chapter 6.21 patent gazette] | ||
B09A | Decision: intention to grant [chapter 9.1 patent gazette] | ||
B16A | Patent or certificate of addition of invention granted [chapter 16.1 patent gazette] |
Free format text: PRAZO DE VALIDADE: 20 (VINTE) ANOS CONTADOS A PARTIR DE 31/12/2014, OBSERVADAS AS CONDICOES LEGAIS |