CN106664208B - 使用安全传输协议建立信任的系统和方法 - Google Patents
使用安全传输协议建立信任的系统和方法 Download PDFInfo
- Publication number
- CN106664208B CN106664208B CN201580040814.0A CN201580040814A CN106664208B CN 106664208 B CN106664208 B CN 106664208B CN 201580040814 A CN201580040814 A CN 201580040814A CN 106664208 B CN106664208 B CN 106664208B
- Authority
- CN
- China
- Prior art keywords
- authentication
- client
- key
- relying party
- verification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/42—User authentication using separate channels for security data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/006—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0433—Key management protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
Abstract
本发明提供了一种通过以下方式使用安全通信协议建立信任的系统、方法和机器可读介质:在验证服务器处生成通信,所述通信被指向具有验证器的客户端装置;使用来自分散式公共密钥基础设施(PKI)的自签名证书的密钥来签名所述第一通信;使用通信基础设施,与所述客户端装置上的应用程序建立第一信道;通过所述第一信道将具有所述签名的所述第一通信传输到所述应用程序;使用可信安全通信基础设施,与所述客户端装置上的验证客户端建立第二信道;通过所述第二信道将来自所述分散式PKI的所述自签名证书的第二密钥传输到所述验证客户端;从所述应用程序向所述验证客户端提供所述第一通信;以及所述验证客户端使用所述第二密钥来验证在所述第一验证相关通信上通过所述第一密钥生成的所述签名。
Description
背景技术
技术领域
本发明整体涉及数据处理系统的领域。更具体地讲,本发明涉及使用安全传输协议建立信任的系统和方法。
相关领域说明
还已经设计了使用生物计量传感器经由网络提供安全用户验证的系统。在此类系统中,可经由网络发送由验证器生成的得分和/或其他验证数据,以向远程服务器验证用户。例如,专利申请No.2011/0082801(“‘801申请”)描述了一种在网络上进行用户注册和验证的框架,这种框架提供强验证(例如,防御身份窃取和网络钓鱼)、安全交易(例如,防御交易中的“浏览器中的恶意软件”和“中间人”攻击)和客户端验证令牌的登记/管理(例如,指纹读取器、面部识别装置、智能卡、可信平台模块等等)。
本申请的受让人已经开发出对‘801申请中所描述的验证框架的多种改进。这些改进中的一些在以下一组美国专利申请(“共同未决的申请”)中描述,这些美国专利申请都被转让给本受让人:序列号13/730,761,名称为“Query System and Method to DetermineAuthentication Capabilities”(用于确定验证功能的查询系统和方法);序列号13/730,776,名称为“System and Method for Efficiently Enrolling,Registering,andAuthenticating With Multiple Authentication Devices”(使用多个验证装置有效地进行登记、注册和验证的系统和方法);序列号13/730,780,名称为“System and Method forProcessing Random Challenges Within an Authentication Framework”(用于在验证框架内处理随机质询的系统和方法);序列号13/730,791,名称为“System and Method forImplementing Privacy Classes Within an Authentication Framework”(用于在验证框架内实施隐私类别的系统和方法);序列号13/730,795,名称为“System and Method forImplementing Transaction Signaling Within an Authentication Framework”(用于在验证框架内实施交易信令的系统和方法);以及序列号14/218,504,名称为“AdvancedAuthentication Techniques and Applications”(高级验证技术和应用)(下文中称为“‘504申请”)。
简而言之,在这些共同未决的申请描述的验证技术中,用户向客户端装置上的验证装置(或验证器)诸如生物计量装置(例如,指纹传感器)登记。当用户向生物计量装置登记时,(例如,通过轻扫手指、拍摄照片、记录语音等)捕捉生物计量参考数据。用户可随后经由网络向一个或多个服务器(例如,配备有安全交易服务的网站或其他依赖方,如共同待决的申请中所述)注册验证装置;并且随后使用在注册过程中交换的数据(例如,预置到验证装置中的密钥)向那些服务器验证。一旦通过验证,用户便获许与网站或其他依赖方执行一个或多个在线交易。在共同未决的申请所描述的框架中,敏感信息(诸如指纹数据和可用于唯一地标识用户的其他数据)可本地保持在用户的验证装置上,以保护用户的隐私。‘504申请描述了多种额外的技术,包括以下技术:设计复合验证器、智能地生成验证保证等级、使用非侵入式用户核验、将验证数据传送到新的验证装置、用客户端风险数据扩充验证数据、自适应地应用验证策略,以及创建信任圈等等。
附图说明
可结合下列附图从以下具体实施方式更好地理解本发明,其中:
图1A至图1B示出了安全验证系统架构的两个不同实施例;
图2是示出了可如何将密钥注册到验证装置中的交易图;
图3示出了显示远程验证的交易图;
图4示出了向依赖方进行的验证可能如何使用依赖方应用程序;
图5示出了用于通过使用安全通信协议建立信任来进行验证的系统的一个实施例;
图6示出了用于通过使用安全通信协议建立信任来进行验证的方法的一个实施例;
图7示出了用于实施本文所述的客户端和/或服务器的示例性数据处理架构;以及
图8示出了用于实施本文所述的客户端和/或服务器的另一个示例性数据处理架构;
具体实施方式
下文描述用于实施高级验证技术及相关联应用的设备、方法和机器可读介质的实施例。在整个描述中,出于解释的目的,本文陈述了许多特定细节以便透彻理解本发明。然而,本领域的技术人员将容易明白,可在没有这些特定细节中的一些的情况下实践本发明。在其他情况下,为免模糊本发明的基本原理,已熟知的结构和装置未示出或以框图形式示出。
下文论述的本发明的实施例涉及具有用户核实功能(诸如生物计量形式或PIN输入)的验证装置。这些装置在本文中有时称为“令牌”、“验证装置”或“验证器”。尽管某些实施例注重于面部识别硬件/软件(例如,用于识别用户面部并且跟踪用户的眼球运动的相机和相关联软件),但有些实施例可利用额外的生物计量装置,包括(例如)指纹传感器、声音识别硬件/软件(例如,用于识别用户声音的麦克风和相关联软件)以及光学识别能力(例如,用于扫描用户视网膜的光学扫描器和相关联软件)。用户验证功能还可包括非生物计量形式,如PIN输入。验证器可使用装置,如可信平台模块(TPM)、智能卡和安全元件,来进行密码操作与密钥存储。
在移动式生物计量的具体实施中,生物计量装置可远程于依赖方。如本文所用,术语“远程”意味着生物计量传感器不是其以通信方式耦接到的计算机的安全边界的一部分(例如,生物计量传感器未嵌入到与依赖方计算机相同的物理外壳中)。举例来说,生物计量装置可经由网络(例如,因特网、无线网络链路等)或经由外围输入(诸如USB端口)耦接到依赖方。在这些条件下,依赖方可能无法知道装置是否为得到依赖方授权的装置(例如,提供可接受等级的验证强度和完整性保护的装置)以及/或者黑客是否已经危及或甚至已经替换了生物计量装置。生物计量装置的置信度取决于装置的特定实施。
本文中使用的术语“本地”指的是用户正亲自在特定位置处(诸如在自动取款机(ATM)或销售点(POS)零售结账处)进行交易的事实。然而,如下文所论述,用于验证用户的验证技术可能涉及非位置组件,诸如经由网络与远程服务器和/或其他数据处理装置的通信。此外,尽管本文中描述了特定实施例(诸如ATM和零售点),但应该指出的是,可在由最终用户在其内本地发起交易的任何系统的环境中实施本发明的基本原理。
本文中有时使用术语“依赖方”来不仅指尝试与之进行用户交易的实体(例如,执行用户交易的网站或在线服务),也指安全交易服务器(有时称为代表那个实体实施的,该实体可执行本文所述的基础验证技术)。安全交易服务器可由依赖方拥有并且/或者在依赖方的控制下,或者可在作为商业安排的一部分向依赖方提供安全交易服务的第三方的控制下。
本文中使用的术语“服务器”指的是在一个硬件平台上(或跨多个硬件平台)执行的软件,其经由网络从客户端接收请求,然后作为响应来执行一个或多个操作,并且将响应传输到客户端,该响应通常包括操作的结果。服务器对客户端请求做出响应,从而向客户端提供或帮助向客户端提供网络“服务”。值得注意的是,服务器不限于单个计算机(例如,用于执行服务器软件的单个硬件装置),而是实际上可散布在多个硬件平台上,有可能位于多个地理位置处。
示例性系统架构和交易
图1A和图1B示出了包括用于注册验证装置和验证用户的客户端侧组件和服务器侧组件的系统架构的两个实施例。图1A所示的实施例使用基于web浏览器插件的架构来与网站通信,而图1B所示的实施例不需要web浏览器。本文所述的各种技术诸如向验证装置登记用户、向安全服务器注册验证装置和核验用户可在这些系统构架中的任一者上实施。因此,虽然图1A所示的架构用于展示下述若干实施例的操作,但相同的基本原理可在图1B所示的系统上容易地实施(例如,通过删除浏览器插件105,该浏览器插件充当用于在服务器130与客户端上的安全交易服务101之间通信的中介)。
首先转到图1A,所示实施例包括配备有一个或多个用于登记和核验最终用户的验证装置110至112(这些验证装置在本领域中有时称为验证“令牌”或“验证器”)的客户端100。如上所述,验证装置110至112可包括生物计量装置,诸如指纹传感器、声音识别硬件/软件(例如,用于识别用户声音的麦克风和相关联软件)、面部识别硬件/软件(例如,用于识别用户面部的相机和相关联软件)和光学识别功能(例如,用于扫描用户视网膜的光学扫描器和相关联软件),并且支持非生物计量形式(诸如PIN核验)。验证装置可使用可信平台模块(TPM)、智能卡或安全元件用于密码操作以及密钥存储。
验证装置110至112通过由安全交易服务101暴露的接口102(例如,应用程序编程接口或API)以通信方式耦接到客户端。安全交易服务101是用于经由网络与一个或多个安全交易服务器132至133通信以及用于与在web浏览器104的环境内执行的安全交易插件105介接的安全应用程序。如图所示,接口102还可提供对客户端100上的安全存储装置120的安全访问,该安全存储装置存储与每个验证装置110至112相关的信息,诸如装置识别代码、用户识别代码、受验证装置保护的用户登记数据(例如,所扫描的指纹或其他生物计量数据),以及用于执行本文所述安全验证技术的由验证装置包封的密钥。例如,如下文详细论述,唯一密钥可被存储到每个验证装置中并且在经由网络(诸如因特网)与服务器130通信时使用。
如下文论述,安全交易插件105支持某些类型的网络交易,诸如与网站131或其他服务器的HTTP或HTTPS交易。在一个实施例中,响应于由安全企业或Web目的地130内的网络服务器131(下文中有时简称为“服务器130”)插入到网页HTML代码中的特定HTML标签来启动安全交易插件。响应于检测到此类标签,安全交易插件105可将交易转发到安全交易服务101以进行处理。另外,对于某些类型的交易(例如,安全密钥交换),安全交易服务101可开启与当地交易服务器132(即,与网站位于同一地点)或异地交易服务器133的直接通信信道。
安全交易服务器132至133耦接到安全交易数据库120,安全交易数据库120用于存储用户数据、验证装置数据、密钥以及支持下文所述的安全验证交易所需要的其他安全信息。然而,应该指出的是,本发明的基本原理不需要分离图1A所示的安全企业或web目的地130内的逻辑组件。例如,网站131和安全交易服务器132至133可在单个物理服务器或分开的多个物理服务器内实施。此外,网站131和交易服务器132至133可在用于执行下文所述的功能的一个或多个服务器上所执行的集成软件模块内实施。
如上所述,本发明的基本原理不限于图1A所示的基于浏览器的架构。图1B示出替代性具体实施,其中独立应用程序154利用由安全交易服务101提供的功能来经由网络验证用户。在一个实施例中,应用程序154被设计为建立与一个或多个网络服务151的通信会话,这些网络服务依赖于安全交易服务器132至133来执行下文详细描述的用户/客户端验证技术。
在图1A和图1B所示的任一个实施例中,安全交易服务器132至133可生成密钥,这些密钥接着被安全地传输到安全交易服务101并存储到安全存储装置120内的验证装置中。另外,安全交易服务器132至133管理服务器端上的安全交易数据库120。
与远程注册验证装置并向依赖方进行验证相关的某些基本原理将结合图2至图5进行描述,然后详细介绍使用安全通信协议建立信任的本发明实施例。
图2示出了用于在客户端(例如,图1A至图1B中的客户端100上的装置110-112)上注册验证装置的一系列交易。为了简单起见,安全交易服务101和接口102被组合在一起作为验证客户端201,包括安全交易服务器132至133的安全企业或Web目的地130被表示为依赖方202。
在注册验证器(例如,指纹验证器、语音验证器等)期间,在验证客户端201和依赖方202之间共享与验证器相关联的密钥。回顾图1A至图1B,密钥存储在客户端100的安全存储装置120和由安全交易服务器132至133使用的安全交易数据库120内。在一个实施例中,密钥是由安全交易服务器132至133中的一个生成的对称密钥。然而,在下文论述的另一个实施例中,使用了不对称密钥。在该实施例中,可以由安全交易服务器132至133生成公共/私有密钥对。公共密钥然后可由安全交易服务器132至133存储,并且相关私有密钥可存储在客户端上的安全存储装置120中。在一个另选的实施例中,密钥可在客户端100上生成(例如,由验证装置或验证装置接口而不是安全交易服务器132至133生成)。本发明的基本原理不限于任何特定类型的密钥或生成密钥的方式。
在一个实施例中采用一种安全密钥预置协议以通过安全通信信道与客户端共享密钥。密钥预置协议的一个示例是动态对称密钥预置协议(DSKPP)(例如,参见请求注释(RFC)6063)。然而,本发明的基本原理不限于任何特定密钥预置协议。在一个特定实施例中,客户端生成公共/私有密钥对并向服务器发送公共密钥,可以利用证实密钥证实它们。
转到图2所示的具体细节,要启动注册流程,依赖方202生成随机生成的质询(例如,密码随机数),验证客户端201必须在装置注册期间呈现此质询。该随机质询可在有限时间段内有效。作为响应,验证客户端201发起与依赖方202的带外安全连接(例如,带外交易),并使用密钥预置协议(例如,上文提到的DSKPP协议)与依赖方202通信。为了发起安全连接,验证客户端201可以向依赖方202返回随机质询(可能带有在随机质询上生成的签名)。此外,验证客户端201可以传输用户的身份(例如,用户ID或其他代码)和待注册的验证装置的身份(例如,使用唯一地识别所注册的验证装置的类型的验证证实ID(AAID))。
该依赖方利用用户名或ID代码(例如,在用户账户数据库中)定位用户,(例如,使用签名或简单地比较随机质询与发送过的质询)证实随机质询,证实验证装置的验证代码(如果发送了验证代码(例如,AAID)),并在安全交易数据库(例如,图1A至图1B中的数据库120)中为用户和验证装置创建新条目。在一个实施例中,依赖方维护其接受验证的验证装置的数据库。它可以通过AAID(或其他验证装置代码)查询此数据库,以确定所注册的验证装置是否是验证可接受的。如果是,那么它将继续进行注册过程。
在一个实施例中,依赖方202为注册的每个验证装置生成验证密钥。它向安全数据库写入密钥,并利用密钥预置协议向验证客户端201发回密钥。一旦完成,验证装置与依赖方202便在使用对称密钥的情况下共享相同密钥,或者在使用不对称密钥的情况下共享不同密钥。例如,如果使用不对称密钥,那么依赖方202可以存储公共密钥并向验证客户端201提供私有密钥。在从依赖方202接收私有密钥时,验证客户端201向验证装置中预置密钥(在与验证装置相关联的安全存储装置之内存储密钥)。然后它可以在验证用户期间使用该密钥(如下所述)。在一个另选的实施例中,密钥由验证客户端201生成并使用密钥预置协议向依赖方202提供密钥。在任一种情况下,一旦完成预置,验证客户端201和依赖方202均具有密钥,且验证客户端201通知依赖方已完成。
图3示出用于向注册的验证装置验证用户的一系列交易。一旦完成装置注册(如图2中所述),依赖方201将接受由客户端上的本地验证装置生成的验证响应(有时称为“令牌”)作为有效的验证响应。
转向图3中所示的具体细节,响应于用户发起与依赖方202的需要验证的交易(例如,发起从依赖方网站进行支付,访问私有用户账户数据等),依赖方202生成包括随机质询(例如,密码随机数)的验证请求。在一个实施例中,随机质询具有与其关联的时间限制(例如,它在指定的一段时间内是有效的)。依赖方还可以标识要由验证客户端201用于验证的验证器。如上文所提及,依赖方可以注册客户端上可用的每个验证装置,并且存储每个注册的验证器的公共密钥。因此,它可以使用验证器的公共密钥或可以使用验证器ID(例如,AAID)来标识要使用的验证器。或者,它可以为客户端提供验证选项的列表,用户可以从该列表进行选择。
响应于接收到验证请求,可以为用户呈现请求验证的图形用户界面(GUI)(例如,形式为验证应用/应用的网页或GUI)。用户然后进行验证(例如,在指纹读取器上轻扫手指等)。作为响应,验证客户端201生成验证响应,该验证响应包含随机质询上的签名,带有与验证器相关联的私有密钥。它还可以包括其他相关数据,例如,验证响应中的用户ID代码。
在接收验证响应时,依赖方可以证实随机质询上的签名(例如,使用与验证器相关联的公共密钥)并确认用户的身份。一旦完成验证,用户便获许进入与依赖方的安全交易,如图所示。
可以使用安全通信协议,例如传输层安全(TLS)或安全套接字层(SSL)在依赖方201和验证客户端202之间建立用于图2至图3所示的任何或所有交易的安全连接。
使用安全传输协议建立信任的系统和方法
如上文所提及,在使用远程验证的某些具体实施中,诸如TLS或SSL的安全通信协议可以用于在依赖方与验证客户端之间安全地交换数据。简而言之,TLS和SSL是在通常不安全的通信信道(例如,因特网)上提供安全通信的密码协议。这些协议使用实施非对称密码的X.509证书来交换对称密钥。然后在通信会话期间使用此对称密钥来加密双方之间的数据信道。尽管此详细描述的其余部分将集中于TLS的使用,但是可以使用诸如SSL的其他密码协议来实施本发明的基本原理。
在一个实施例中,TLS用于保护依赖方与验证客户端之间的通信信道并验证发送者的身份。也就是说,通过使用X.509证书所支持的非对称密码,一方(例如,验证客户端)能够验证对方(例如,依赖方)的身份,或反之亦然。对方的身份可以体现在代码或名称中,该代码或名称例如识别依赖方(例如,“RPNAME”)或识别验证客户端、或该客户端上用于与依赖方建立通信信道的特定应用程序(例如,“AppID”)。当验证客户端与依赖方之间存在直接信道时(如上文提供的示例中),由于通常通过因特网发送数据并且TLS总是可用的,使用TLS可很好地满足此用途。
然而,在诸如iOSTM、AndroidTM和近场通信(NFC)交易的某些计算装置平台上,此TLS假设不成立。如图4大致所示,在这些平台上,预期第三方代码(例如,依赖方应用程序410)管理依赖方402与验证客户端401之间的所有通信。因此,依赖方应用程序410基本上类似于依赖方402与验证客户端401之间的中间人。此外,验证客户端401没有关于依赖方应用程序410所建立的TLS连接的有效性的信息。它必须仅依赖第三方代码来做出此决定,并使用IPC机制来转交验证请求(如图所示)。这些IPC机制可以访问发送应用程序的识别代码(例如,“集束ID”),但是使用集束ID核验发送者/接收者的身份(例如,RPNAME、AppID)的真实性主要依赖于操作系统、以及对分发依赖方应用程序的应用程序商店所实施的审查过程的关注。
在使用NFC时,情况甚至更糟,因为没有诸如伴随传输机制的集束ID的识别代码。NFC由一般的多用途互联网邮件扩展(MIME)处理程序处理。验证客户端401必须假定声称的任何识别代码(例如,RPNAME)是正确的,并且验证请求来自有效源。
更具体地讲,在iOS装置上,使用多重验证客户端的AppDelegate代码中的openURL()调用的sourceApplication参数来确定正在与验证客户端401通信的应用程序410:-(BOOL)application:(UIApplication*)application openURL:(NSURL*)urlsourceApplication:(NSString*)sourceApplication annotation:(id)annotation
在此示例中,sourceApplication包含调用应用程序的集束ID。集束ID是调用应用程序的plist清单中的唯一字符串,其识别AppleTM数据库中的应用程序。建议以相反表示法使用公司的基础URL(例如,com.paypal.app)来部分构建集束ID。这样,假定Apple审查此字符串以确保应用程序不试图欺骗其他应用程序。
对于Android装置,首先从系统Binder调用getCallingUid(),以返回分配给依赖方进程的Linux uid,该依赖方进程将当前交易发送到正在处理的多重验证进程,例如:
int callerUId=Binder.getCallingUid();;
然后,应用程序从系统PackageManager检索与用户ID相关联的包。使用依赖方的基础URL作为组成部分但以相反表示法为包命名(例如,“com.fido.android.sample.app.paypal”)。例如:
String packageNames[]=mPackageManager.getPackagesForUid(callerUId);;
在使用NFC时,不存在可以映射到对方标识符(例如,RPNAME或AppID)的可信任信息片段。在Android上使用NFC时,请求通过多用途互联网邮件扩展(MIME)处理程序到达,并且不可识别调用者。因此,包含在请求中的任何标识符可以是有效的,也可以不是有效的。
本发明的一个实施例通过使用可信证书签名验证请求和源标识符来解决这些限制问题。可针对移动装置的根证书存储进行验证的来自web服务器的SSL X.509证书是在一个实施例中采用的一个选项。然而,依赖方的验证服务器可能没有访问该密钥的权限。专门为验证服务器生成新X.509证书是另一个选项,但这意味着管理又一个X.509证书的附加开销。
为了避免这些问题,图5所示的本发明的一个实施例使用来自分散式公共密钥基础设施(PKI)的自签名证书来签名来自依赖方502的验证服务器520的验证请求和对应的源标识符(例如,“RPNAME”标识符)。具体地讲,在一个实施例中,自签名证书包括私有密钥522、以及存储在验证服务器520上的公共密钥文件525中的一个或多个公共密钥。不同于X.509证书,这些自签名证书不能被它们自身信任,因为没有将它们连接到根可信证书的链。
在一个实施例中,为了建立信任,通过使用可信证书526(例如,用于打开TLS连接的现有X.509可信证书)建立的安全通信信道,将存储在web服务器上的公共密钥文件525中的公共密钥传输到客户端装置500(例如,移动智能电话)上的验证客户端530。使用TLS可确保从正确的所有者获得公共密钥文件525中的易受攻击的自签名公共密钥,因为可以针对根证书存储(如果使用X.509或其他已知标准)核验用于通过因特网从web服务器传输这些密钥的可信证书/密钥526。然后,文件526中的那些自签名公共密钥可以被隐含地信任,并且用于核验包括源标识符(例如,RPNAME)的验证请求523。
验证服务器520可能以与上文参考图3描述的相同方式和相同情况生成验证请求523。例如,验证服务器520可以生成随机质询并且识别待使用的客户端侧验证器(例如,使用针对验证器注册的公共密钥)。随机质询和验证器ID信息可以封装在验证请求523中。
另外,在一个实施例中,使用分散式PKI的私有密钥522来签名验证请求523。如所提及的,在一个实施例中,私有密钥522对应于文件525中的公共密钥。例如,可以使用公共密钥中的一个来证实私有密钥522所生成的任何签名。
再次,为了建立信任,通过使用可信证书521(例如,用于打开TLS连接的现有X.509可信证书)建立的安全通信信道,将使用验证服务器520上的私有密钥522签名的验证请求523传输到客户端装置500上的依赖方应用程序510。在一个实施例中,可信证书521与可信证书526相同,后者用于与验证客户端530建立TLS信道。然后,使用TLS信道将私有密钥签名的验证请求523连同源标识符(例如,用于识别依赖方的RPNAME)一起传输到依赖方应用程序510。
在一个实施例中,依赖方应用程序510提取底层私有密钥签名的验证请求(即,拆解TLS数据),并且将该验证请求提供给客户端装置500上的验证客户端530。依赖方应用程序510可以使用已知的进程间通信(IPC)机制与验证客户端530通信。然而,本发明的基本原理不限于用于在客户端装置500上交换信息的任何特定通信机制。
在接收私有密钥签名的验证请求523时,验证客户端530使用来自公共密钥文件的公共密钥来验证签名。如果签名是有效的,则其接着如上所述生成验证响应。例如,响应于用户的成功验证,其可以使用验证器的私有密钥来生成包括在验证请求523中的随机质询上的签名,并且将所得的验证响应传输到验证服务器520(例如,直接传输或经由依赖方应用程序510传输)。一旦验证服务器520使用对应的公共验证器密钥核验该签名,向依赖方502验证用户并且允许用户完成期望的交易。
使用本文所述的技术,验证请求523和源标识符(例如,RPNAME)由集中式SSLX.509密钥以加密方式核验,同时仍保持分散式PKI提供的灵活性和极小的管理开销。通过利用包含那些证书的文件位于某个确定的web服务器上的事实,隐含地信任自签证书的有效性具有一定风险。任何能够在web服务器上修改此文件的人都可以更改公共密钥。然而,只要像能够管理X.509证书一样谨慎地保护对文件的访问,通过任一解决方案授予的信任都应当是类似的。
图6中示出根据本发明的一个实施例的方法。该方法可使用图5所示的架构来实施,但不限于任何具体架构。
在601处,在代表依赖方的验证服务器处生成第一验证相关通信。在一个实施例中,第一验证相关通信包括上文所提及的验证请求523(例如,包含随机质询、验证器ID等)。
在602处,使用来自分散式公共密钥基础设施(PKI)的自签名证书的第一密钥来签名第一验证相关通信。在一个实施例中,第一密钥包括上文所论述的私有密钥522。
在603处,使用现有可信通信基础设施,与客户端装置上的依赖方应用程序建立第一安全信道。在一个实施例中,使用现有可信通信基础设施包括使用可信X.509证书与依赖方建立安全传输层安全(TLS)信道。
在604处,通过第一安全通信信道将第一验证相关通信传输到依赖方应用程序。如所提及的,在一个实施例中,与通信一同提供的源标识符(例如,RPNAME)。
在605处,使用现有可信通信基础设施,与客户端装置上的验证客户端建立第二安全通信信道。如所提及的,在一个实施例中,使用现有可信通信基础设施包括使用可信X.509证书与依赖方建立安全TLS信道。
在606处,通过第二安全通信信道将来自分散式PKI的自签名证书的第二密钥传输到验证客户端。在一个实施例中,第二密钥包括与来自分散式PKI的自签名证书相关联的公共密钥。还可以经由公共密钥文件526(如上文所论述)提供一个或多个附加密钥。
在607处,从依赖方应用程序向验证客户端提供具有签名的第一验证相关通信。在一个实施例中,这是遵循客户端装置上的现有进程间通信(IPC)机制来执行的。
在608处,验证客户端使用第二密钥验证通过第一密钥生成的签名。如果验证成功,则验证客户端响应于第一验证相关通信而生成第二验证相关通信。例如,如上文所论述,如果第一验证相关通信包含验证请求,则第二验证相关通信可包含验证响应。为了生成响应,验证客户端可以首先要求用户在客户端装置上执行验证(例如,轻扫手指、记录语音、输入代码等)。如果验证成功,则验证客户端可以传输成功验证的指示以及其他可核验的信息(例如,随验证请求一起提供的随机质询)。一旦验证服务器接收到第二验证相关通信,可以向依赖方验证用户,并且允许用户进入与依赖方的交易。
示例性数据处理装置
图7是示出可在本发明的一些实施例中使用的示例性客户端和服务器的框图。应当理解,尽管图7示出计算机系统的各种组件,但其并非意图表示互连组件的任何特定架构或方式,因为此类细节与本发明并不密切相关。应当理解,具有更少组件或更多组件的其他计算机系统也可与本发明一起使用。
如图7所示,计算机系统700,其为一种形式的数据处理系统,包括总线750,该总线与处理系统720、电源725、存储器730和非易失性存储器740(例如,硬盘驱动器、快闪存储器、相变存储器(PCM)等)耦接。总线750可通过如本领域中熟知的各种桥接器、控制器和/或适配器来彼此连接。处理系统720可从存储器730和/或非易失性存储器740检索指令,并执行这些指令以执行如上所述的操作。总线750将以上组件互连在一起,并且还将那些组件互连到可选底座760、显示控制器与显示装置770、输入/输出装置780(例如,NIC(网络接口卡)、光标控件(例如,鼠标、触摸屏、触摸板等)、键盘等)和可选无线收发器790(例如,蓝牙、WiFi、红外等)。
图8是示出可在本发明的一些实施例中使用的示例性数据处理系统的框图。例如,数据处理系统800可为手持式计算机、个人数字助理(PDA)、移动电话、便携式游戏系统、便携式媒体播放器、平板计算机或手持式计算装置(其可包括移动电话、媒体播放器和/或游戏系统)。又如,数据处理系统800可为网络计算机或在另一个装置内的嵌入式处理装置。
根据本发明的一个实施例,数据处理系统800的示例性架构可用于上文所述的移动装置。数据处理系统800包括处理系统820,其可包括一个或多个微处理器和/或集成电路上的系统。处理系统820与存储器810、电源825(其包括一个或多个电池)、音频输入/输出840、显示控制器与显示装置860、可选输入/输出850、输入装置870和无线收发器830耦接。应当理解,在本发明的某些实施例中,图8中未示出的其他组件也可为数据处理系统800的一部分,并且在本发明的某些实施例中,可使用比图8所示更少的组件。另外,应当理解,图8中未示出的一个或多个总线可用于使如本领域中熟知的各种组件互连。
存储器810可存储数据和/或程序以供数据处理系统800执行。音频输入/输出840可包括麦克风和/或扬声器以(例如)播放音乐,以及/或者通过扬声器和麦克风提供电话功能。显示控制器与显示装置860可包括图形用户界面(GUI)。无线(例如,RF)收发器830(例如,WiFi收发器、红外收发器、蓝牙收发器、无线蜂窝电话收发器等)可用于与其他数据处理系统通信。所述一个或多个输入装置870允许用户向系统提供输入。这些输入装置可为小键盘、键盘、触控面板、多点触控面板等。可选的其他输入/输出850可为底座的连接器。
本发明的实施例可包括如上文陈述的各种步骤。这些步骤可体现为致使通用处理器或专用处理器执行某些步骤的机器可执行指令。或者,这些步骤可由包含用于执行这些步骤的硬连线逻辑的特定硬件组件执行,或由编程的计算机组件和定制硬件组件的任何组合执行。
本发明的元件还可被提供为用于存储机器可执行程序代码的机器可读介质。机器可读介质可包括但不限于软盘、光盘、CD-ROM和磁光盘、ROM、RAM、EPROM、EEPROM、磁卡或光卡、或者适合于存储电子程序代码的其他类型的介质/机器可读介质。
在整个前述描述中,出于解释的目的,陈述了许多特定细节以便透彻理解本发明。然而,本领域的技术人员将容易明白,可在没有这些特定细节中的一些的情况下实践本发明。例如,本领域的技术人员将容易明白,本文所述的功能模块和方法可被实施为软件、硬件或其任何组合。此外,虽然本文在移动计算环境的情形内描述本发明的一些实施例,但本发明的基本原理不限于移动计算具体实施。在一些实施例中,可使用几乎任何类型的客户端或对等数据处理装置,包括(例如)台式计算机或工作站计算机。因此,应依据所附权利要求书确定本发明的范围和精神。
本发明的实施例可包括如上文陈述的各种步骤。这些步骤可体现为致使通用处理器或专用处理器执行某些步骤的机器可执行指令。或者,这些步骤可由包含用于执行这些步骤的硬连线逻辑的特定硬件组件执行,或由编程的计算机组件和定制硬件组件的任何组合执行。
Claims (24)
1.一种方法,包括:
在代表依赖方的验证服务器处生成第一验证相关通信,所述第一验证相关通信被指向具有一个或多个验证器的客户端装置;
使用来自分散式公共密钥基础设施(PKI)的自签名证书的第一密钥来签名所述第一验证相关通信;
使用可信安全通信基础设施,与所述客户端装置上的依赖方应用程序建立第一安全通信信道;
通过所述第一安全通信信道将具有所述签名的所述第一验证相关通信传输到所述依赖方应用程序;
使用可信安全通信基础设施,与所述客户端装置上的验证客户端建立第二安全通信信道;
通过所述第二安全通信信道将来自所述分散式PKI的所述自签名证书的第二密钥传输到所述验证客户端;
从所述依赖方应用程序向所述验证客户端提供所述第一验证相关通信;以及
所述验证客户端使用所述第二密钥来验证在所述第一验证相关通信上通过所述第一密钥生成的所述签名。
2.根据权利要求1所述的方法,其中所述第一密钥包括所述分散式PKI的私有密钥,并且所述第二密钥包括对应的公共密钥。
3.根据权利要求1所述的方法,其中所述可信安全通信基础设施包括可信证书,所述可信证书可用于建立针对所述第一和/或所述第二安全通信信道的安全传输层安全(TLS)连接。
4.根据权利要求3所述的方法,其中所述可信证书包括X.509证书。
5.根据权利要求1所述的方法,还包括:
所述验证客户端响应于所述第一验证相关通信而生成第二验证相关通信。
6.根据权利要求5所述的方法,其中所述第一验证相关通信包括在代表所述依赖方操作的验证服务器处生成的验证请求,并且所述第二验证相关通信包括由所述验证客户端生成的验证响应。
7.根据权利要求6所述的方法,其中所述验证请求包括随机质询、以及使用与所述客户端装置上的验证器相关联的公共密钥在所述随机质询上生成的签名。
8.根据权利要求7所述的方法,其中所述验证客户端使用与所述验证器相关联的私有密钥来验证所述签名。
9.根据权利要求8所述的方法,其中所述验证客户端响应于使用所述客户端装置上的所述验证器中的一个或多个实现的成功用户验证而生成所述验证响应。
10.根据权利要求9所述的方法,其中所述客户端装置上的所述验证器包括指纹验证器。
11.根据权利要求1所述的方法,其中从所述依赖方应用程序向所述验证客户端提供所述第一验证相关通信还包括在所述依赖方应用程序与所述验证客户端之间实施进程间通信(IPC)。
12.根据权利要求1所述的方法,其中在公共密钥文件中通过所述第二安全通信信道传输所述自签名证书的所述第二密钥。
13.一种用于执行验证的系统,包括:
客户端装置,所述客户端装置具有一个或多个验证器、验证客户端和依赖方应用程序;
代表依赖方操作的验证服务器,所述验证服务器生成被指向所述客户端装置的第一验证相关通信;
所述验证服务器使用来自分散式公共密钥基础设施(PKI)的自签名证书的第一密钥来签名所述第一验证相关通信;
所述验证服务器使用可信安全通信基础设施,与所述客户端装置上的依赖方应用程序建立第一安全通信信道;
所述验证服务器通过所述第一安全通信信道将具有所述签名的所述第一验证相关通信传输到所述依赖方应用程序;
所述验证服务器使用可信安全通信基础设施,与所述客户端装置上的验证客户端建立第二安全通信信道;
所述验证服务器通过所述第二安全通信信道将来自 所述分散式PKI的所述自签名证书的第二密钥传输到所述验证客户端;
所述依赖方应用程序向所述验证客户端提供所述第一验证相关通信;以及
所述验证客户端使用所述第二密钥来验证在所述第一验证相关通信上通过所述第一密钥生成的所述签名。
14.根据权利要求13所述的系统,其中所述第一密钥包括所述分散式PKI的私有密钥,并且所述第二密钥包括对应的公共密钥。
15.根据权利要求13所述的系统,其中所述可信安全通信基础设施包括可信证书,所述可信证书可用于建立针对所述第一和/或所述第二安全通信信道的安全传输层安全(TLS)连接。
16.根据权利要求15所述的系统,其中所述可信证书包括X.509证书。
17.根据权利要求13所述的系统,还包括:
所述验证客户端响应于所述第一验证相关通信而生成第二验证相关通信。
18.根据权利要求17所述的系统,其中所述第一验证相关通信包括在代表所述依赖方操作的验证服务器处生成的验证请求,并且所述第二验证相关通信包括由所述验证客户端生成的验证响应。
19.根据权利要求18所述的系统,其中所述验证请求包括随机质询、以及使用与所述客户端装置上的验证器相关联的公共密钥在所述随机质询上生成的签名。
20.根据权利要求19所述的系统,其中所述验证客户端使用与所述验证器相关联的私有密钥来验证所述签名。
21.根据权利要求20所述的系统,其中所述验证客户端响应于使用所述客户端装置上的所述验证器中的一个或多个实现的成功用户验证而生成所述验证响应。
22.根据权利要求21所述的系统,其中所述客户端装置上的所述验证器包括指纹验证器。
23.根据权利要求13所述的系统,其中从所述依赖方应用程序向所述验证客户端提供所述第一验证相关通信还包括在所述依赖方应用程序与所述验证客户端之间实施进程间通信(IPC)。
24.根据权利要求13所述的系统,其中在公共密钥文件中通过所述第二安全通信信道传输所述自签名证书的所述第二密钥。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US14/448,697 | 2014-07-31 | ||
US14/448,697 US9455979B2 (en) | 2014-07-31 | 2014-07-31 | System and method for establishing trust using secure transmission protocols |
PCT/US2015/042827 WO2016019106A1 (en) | 2014-07-31 | 2015-07-30 | System and method for establishing trust using secure transmission protocols |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106664208A CN106664208A (zh) | 2017-05-10 |
CN106664208B true CN106664208B (zh) | 2020-06-16 |
Family
ID=55218303
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201580040814.0A Active CN106664208B (zh) | 2014-07-31 | 2015-07-30 | 使用安全传输协议建立信任的系统和方法 |
Country Status (6)
Country | Link |
---|---|
US (1) | US9455979B2 (zh) |
EP (1) | EP3175578B1 (zh) |
JP (1) | JP6865158B2 (zh) |
KR (1) | KR102382474B1 (zh) |
CN (1) | CN106664208B (zh) |
WO (1) | WO2016019106A1 (zh) |
Families Citing this family (47)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10270748B2 (en) | 2013-03-22 | 2019-04-23 | Nok Nok Labs, Inc. | Advanced authentication techniques and applications |
US10032011B2 (en) * | 2014-08-12 | 2018-07-24 | At&T Intellectual Property I, L.P. | Method and device for managing authentication using an identity avatar |
JP2016051240A (ja) * | 2014-08-29 | 2016-04-11 | 日本光電工業株式会社 | 医療機器システム及び医療機器 |
US9942200B1 (en) * | 2014-12-02 | 2018-04-10 | Trend Micro Inc. | End user authentication using a virtual private network |
WO2016114822A1 (en) * | 2015-01-16 | 2016-07-21 | Cyph Inc. | A system and method of cryprographically signing web applications |
CN107534555B (zh) * | 2015-04-21 | 2021-04-06 | 诺基亚技术有限公司 | 一种用于证书验证的方法及装置 |
US9692757B1 (en) * | 2015-05-20 | 2017-06-27 | Amazon Technologies, Inc. | Enhanced authentication for secure communications |
EP3318032B1 (en) * | 2015-07-02 | 2022-05-04 | Telefonaktiebolaget LM Ericsson (publ) | Method for obtaining initial access to a network, and related wireless devices and network nodes |
CN106454528A (zh) * | 2015-08-07 | 2017-02-22 | 阿里巴巴集团控股有限公司 | 基于可信执行环境的业务处理方法和客户端 |
CN106533687B (zh) | 2015-09-14 | 2019-11-08 | 阿里巴巴集团控股有限公司 | 一种身份认证方法和设备 |
DE102015220226A1 (de) * | 2015-10-16 | 2017-04-20 | Volkswagen Aktiengesellschaft | Verfahren zur Zertifizierung durch ein Steuergerät eines Fahrzeugs |
CN107592281B (zh) * | 2016-07-06 | 2022-04-05 | 华为技术有限公司 | 一种传输数据的保护系统、方法及装置 |
WO2018010957A1 (en) * | 2016-07-12 | 2018-01-18 | Deutsche Telekom Ag | Method for providing an enhanced level of authentication related to a secure software client application provided by an application distribution entity in order to be transmitted to a client computing device; system, application distribution entity, software client application, and client computing device for providing an enhanced level of authentication related to a secure software client application, program and computer program product |
JP6918576B2 (ja) * | 2017-05-24 | 2021-08-11 | キヤノン株式会社 | システム、情報処理装置、方法及びプログラム |
US20190012669A1 (en) * | 2017-07-10 | 2019-01-10 | Microsoft Technology Licensing, Llc | Security System Using Communication Channel-Based Authorization |
US11868995B2 (en) | 2017-11-27 | 2024-01-09 | Nok Nok Labs, Inc. | Extending a secure key storage for transaction confirmation and cryptocurrency |
US11831409B2 (en) | 2018-01-12 | 2023-11-28 | Nok Nok Labs, Inc. | System and method for binding verifiable claims |
EP3511852B1 (en) * | 2018-01-12 | 2021-04-28 | Deutsche Telekom AG | Method for providing an enhanced level of authentication related to a secure software client application that is provided, by an application distribution entity, in order to be transmitted to a client computing device; system, software client application instance or client computing device, third party server entity, and program and computer program product |
KR102545407B1 (ko) * | 2018-04-20 | 2023-06-20 | 비샬 굽타 | 분산된 문서 및 엔티티 검증 엔진 |
US10263787B1 (en) * | 2018-11-12 | 2019-04-16 | Cyberark Software Ltd. | Scalable authentication for decentralized applications |
EP3660769A1 (en) * | 2018-11-27 | 2020-06-03 | Mastercard International Incorporated | Trusted communication in transactions |
US10756908B1 (en) | 2019-02-22 | 2020-08-25 | Beyond Identity Inc. | User authentication with self-signed certificate and identity verification |
US11792024B2 (en) | 2019-03-29 | 2023-10-17 | Nok Nok Labs, Inc. | System and method for efficient challenge-response authentication |
CN110650057B (zh) * | 2019-09-29 | 2022-03-11 | 武汉迈威通信股份有限公司 | 一种通过便携移动终端配置设备的方法及系统 |
KR102400402B1 (ko) | 2019-11-18 | 2022-05-23 | 충남대학교 산학협력단 | 공개키 인프라 구조를 이용한 스마트 컨트랙트의 인증된 데이터 피드 방법 |
KR20210072321A (ko) | 2019-12-09 | 2021-06-17 | 삼성전자주식회사 | 블록체인에 기반하는 암호화 통신 시스템 및 암호화 통신 방법 |
US20210203670A1 (en) * | 2019-12-30 | 2021-07-01 | Itron, Inc. | Man-In-The-Middle Extender Defense In Data Communications |
US11411925B2 (en) | 2019-12-31 | 2022-08-09 | Oracle International Corporation | Methods, systems, and computer readable media for implementing indirect general packet radio service (GPRS) tunneling protocol (GTP) firewall filtering using diameter agent and signal transfer point (STP) |
CN111614660B (zh) * | 2020-05-19 | 2022-01-18 | 北京字节跳动网络技术有限公司 | 安全验证缺陷检测的方法、装置以及电子设备 |
US11553342B2 (en) | 2020-07-14 | 2023-01-10 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating 5G roaming security attacks using security edge protection proxy (SEPP) |
US11751056B2 (en) | 2020-08-31 | 2023-09-05 | Oracle International Corporation | Methods, systems, and computer readable media for 5G user equipment (UE) historical mobility tracking and security screening using mobility patterns |
US11825310B2 (en) | 2020-09-25 | 2023-11-21 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating 5G roaming spoofing attacks |
US11832172B2 (en) | 2020-09-25 | 2023-11-28 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating spoofing attacks on security edge protection proxy (SEPP) inter-public land mobile network (inter-PLMN) forwarding interface |
US20220103539A1 (en) * | 2020-09-29 | 2022-03-31 | Nvidia Corporation | Verifying trusted communications using established communication channels |
US11622255B2 (en) | 2020-10-21 | 2023-04-04 | Oracle International Corporation | Methods, systems, and computer readable media for validating a session management function (SMF) registration request |
US11528251B2 (en) * | 2020-11-06 | 2022-12-13 | Oracle International Corporation | Methods, systems, and computer readable media for ingress message rate limiting |
US11770694B2 (en) | 2020-11-16 | 2023-09-26 | Oracle International Corporation | Methods, systems, and computer readable media for validating location update messages |
US11818570B2 (en) | 2020-12-15 | 2023-11-14 | Oracle International Corporation | Methods, systems, and computer readable media for message validation in fifth generation (5G) communications networks |
US11812271B2 (en) | 2020-12-17 | 2023-11-07 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating 5G roaming attacks for internet of things (IoT) devices based on expected user equipment (UE) behavior patterns |
AU2021411402A1 (en) | 2020-12-28 | 2023-07-06 | Keyfactor, Inc. | Remote certificate authority management |
US11700510B2 (en) | 2021-02-12 | 2023-07-11 | Oracle International Corporation | Methods, systems, and computer readable media for short message delivery status report validation |
US11516671B2 (en) | 2021-02-25 | 2022-11-29 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating location tracking and denial of service (DoS) attacks that utilize access and mobility management function (AMF) location service |
US11853100B2 (en) * | 2021-04-12 | 2023-12-26 | EMC IP Holding Company LLC | Automated delivery of cloud native application updates using one or more user-connection gateways |
US11689912B2 (en) | 2021-05-12 | 2023-06-27 | Oracle International Corporation | Methods, systems, and computer readable media for conducting a velocity check for outbound subscribers roaming to neighboring countries |
US11233727B1 (en) | 2021-08-27 | 2022-01-25 | King Abdulaziz University | System and method for securing SDN based source routing |
US20230229752A1 (en) * | 2022-01-19 | 2023-07-20 | Vmware, Inc. | Attestation of application identity for inter-app communications |
WO2024078692A1 (en) * | 2022-10-10 | 2024-04-18 | Assa Abloy Ab | Secure provisioning of fido credential |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102077546A (zh) * | 2008-06-25 | 2011-05-25 | 微软公司 | UPnP设备之间的远程访问 |
CN102246455A (zh) * | 2008-12-11 | 2011-11-16 | 三菱电机株式会社 | 自我认证通信设备以及设备认证系统 |
CN103888252A (zh) * | 2012-12-19 | 2014-06-25 | 深圳市华营数字商业有限公司 | 一种基于uid、pid、appid控制应用访问权限方法 |
CN103945374A (zh) * | 2013-01-18 | 2014-07-23 | 深圳市华营数字商业有限公司 | 一种基于pki技术的移动终端设备及用户认证的方法 |
Family Cites Families (165)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6378072B1 (en) | 1998-02-03 | 2002-04-23 | Compaq Computer Corporation | Cryptographic system |
US6618806B1 (en) | 1998-04-01 | 2003-09-09 | Saflink Corporation | System and method for authenticating users in a computer network |
JP2000092046A (ja) | 1998-09-11 | 2000-03-31 | Mitsubishi Electric Corp | 遠隔認証システム |
US7047416B2 (en) | 1998-11-09 | 2006-05-16 | First Data Corporation | Account-based digital signature (ABDS) system |
US7085931B1 (en) | 1999-09-03 | 2006-08-01 | Secure Computing Corporation | Virtual smart card system and method |
US7260724B1 (en) | 1999-09-20 | 2007-08-21 | Security First Corporation | Context sensitive dynamic authentication in a cryptographic system |
US7698565B1 (en) | 2000-03-30 | 2010-04-13 | Digitalpersona, Inc. | Crypto-proxy server and method of using the same |
US7263506B2 (en) | 2000-04-06 | 2007-08-28 | Fair Isaac Corporation | Identification and management of fraudulent credit/debit card purchases at merchant ecommerce sites |
US7487112B2 (en) | 2000-06-29 | 2009-02-03 | Barnes Jr Melvin L | System, method, and computer program product for providing location based services and mobile e-commerce |
CA2417770C (en) | 2000-08-04 | 2011-10-25 | First Data Corporation | Trusted authentication digital signature (tads) system |
AU2001288679A1 (en) | 2000-09-11 | 2002-03-26 | Sentrycom Ltd. | A biometric-based system and method for enabling authentication of electronic messages sent over a network |
JP2002152189A (ja) * | 2000-11-14 | 2002-05-24 | Nippon Hoso Kyokai <Nhk> | 公開鍵配布方法およびこの方法に用いる公開鍵送信装置ならびに公開鍵受信装置 |
FI115098B (fi) | 2000-12-27 | 2005-02-28 | Nokia Corp | Todentaminen dataviestinnässä |
US7398549B2 (en) | 2001-05-18 | 2008-07-08 | Imprivata, Inc. | Biometric authentication with security against eavesdropping |
SG124290A1 (en) | 2001-07-23 | 2006-08-30 | Ntt Docomo Inc | Electronic payment method, system, and devices |
AU2002343424A1 (en) | 2001-09-28 | 2003-04-14 | Bluesocket, Inc. | Method and system for managing data traffic in wireless networks |
GB0210692D0 (en) | 2002-05-10 | 2002-06-19 | Assendon Ltd | Smart card token for remote authentication |
US20030226036A1 (en) | 2002-05-30 | 2003-12-04 | International Business Machines Corporation | Method and apparatus for single sign-on authentication |
JP2004288156A (ja) | 2002-11-20 | 2004-10-14 | Stmicroelectronics Sa | 眼の虹彩イメージの定義の評価 |
US7353533B2 (en) | 2002-12-18 | 2008-04-01 | Novell, Inc. | Administration of protection of data accessible by a mobile device |
JP2005025337A (ja) | 2003-06-30 | 2005-01-27 | Sony Corp | 機器登録システム、機器登録サーバ、機器登録方法、機器登録プログラム、記憶媒体、及び端末機器 |
US9130921B2 (en) | 2003-09-30 | 2015-09-08 | Ca, Inc. | System and method for bridging identities in a service oriented architectureprofiling |
US7415138B2 (en) | 2003-11-25 | 2008-08-19 | Ultra-Scan Corporation | Biometric authorization method and system |
JP4257250B2 (ja) | 2004-03-30 | 2009-04-22 | 富士通株式会社 | 生体情報照合装置並びに生体特徴情報絞込み装置,生体特徴情報絞込みプログラムおよび同プログラムを記録したコンピュータ読取可能な記録媒体 |
US8762283B2 (en) | 2004-05-03 | 2014-06-24 | Visa International Service Association | Multiple party benefit from an online authentication service |
US20050278253A1 (en) | 2004-06-15 | 2005-12-15 | Microsoft Corporation | Verifying human interaction to a computer entity by way of a trusted component on a computing device or the like |
EP2264956B1 (en) | 2004-07-23 | 2017-06-14 | Citrix Systems, Inc. | Method for securing remote access to private networks |
US7298873B2 (en) | 2004-11-16 | 2007-11-20 | Imageware Systems, Inc. | Multimodal biometric platform |
WO2006063118A2 (en) | 2004-12-07 | 2006-06-15 | Pure Networks, Inc. | Network management |
EP1825413A2 (en) | 2004-12-16 | 2007-08-29 | Mark Dwight Bedworth | User validation using images |
WO2006068998A1 (en) | 2004-12-20 | 2006-06-29 | Rsa Security Inc. | Consumer internet authentication service |
US7844816B2 (en) * | 2005-06-08 | 2010-11-30 | International Business Machines Corporation | Relying party trust anchor based public key technology framework |
US8079079B2 (en) | 2005-06-29 | 2011-12-13 | Microsoft Corporation | Multimodal authentication |
AU2006303992A1 (en) | 2005-10-11 | 2007-04-26 | Citrix Systems, Inc. | Systems and methods for facilitating distributed authentication |
EP1955471A4 (en) * | 2005-12-01 | 2009-03-11 | Firestar Software Inc | SYSTEM AND METHOD FOR EXCHANGING INFORMATION BETWEEN EXCHANGE APPLICATIONS |
US20080005562A1 (en) | 2005-12-13 | 2008-01-03 | Microsoft Corporation | Public key infrastructure certificate entrustment |
WO2007076476A2 (en) | 2005-12-22 | 2007-07-05 | Mastercard International Incorporated | Methods and systems for two-factor authentication using contactless chip cards or devices and mobile devices or dedicated personal readers |
CN1992596A (zh) | 2005-12-27 | 2007-07-04 | 国际商业机器公司 | 用户验证设备和用户验证方法 |
US7941835B2 (en) * | 2006-01-13 | 2011-05-10 | Authenticor Identity Protection Services, Inc. | Multi-mode credential authorization |
WO2007122726A1 (ja) | 2006-04-21 | 2007-11-01 | Mitsubishi Denki Kabushiki Kaisha | 認証サーバ装置及び端末装置及び認証システム及び認証方法 |
US9002018B2 (en) * | 2006-05-09 | 2015-04-07 | Sync Up Technologies Corporation | Encryption key exchange system and method |
US7512567B2 (en) | 2006-06-29 | 2009-03-31 | Yt Acquisition Corporation | Method and system for providing biometric authentication at a point-of-sale via a mobile device |
CN101106452B (zh) | 2006-07-12 | 2010-12-08 | 华为技术有限公司 | 移动ip密钥的产生及分发方法和系统 |
US20080025234A1 (en) | 2006-07-26 | 2008-01-31 | Qi Zhu | System and method of managing a computer network using hierarchical layer information |
US8689287B2 (en) | 2006-08-17 | 2014-04-01 | Northrop Grumman Systems Corporation | Federated credentialing system and method |
US8239677B2 (en) | 2006-10-10 | 2012-08-07 | Equifax Inc. | Verification and authentication systems and methods |
US9135444B2 (en) | 2006-10-19 | 2015-09-15 | Novell, Inc. | Trusted platform module (TPM) assisted data center management |
US7986786B2 (en) | 2006-11-30 | 2011-07-26 | Hewlett-Packard Development Company, L.P. | Methods and systems for utilizing cryptographic functions of a cryptographic co-processor |
US9055107B2 (en) | 2006-12-01 | 2015-06-09 | Microsoft Technology Licensing, Llc | Authentication delegation based on re-verification of cryptographic evidence |
JP2008176407A (ja) | 2007-01-16 | 2008-07-31 | Toshiba Corp | 生体認証システム、装置及びプログラム |
US8302196B2 (en) | 2007-03-20 | 2012-10-30 | Microsoft Corporation | Combining assessment models and client targeting to identify network security vulnerabilities |
US8413221B2 (en) | 2007-03-23 | 2013-04-02 | Emc Corporation | Methods and apparatus for delegated authentication |
US20080271150A1 (en) | 2007-04-30 | 2008-10-30 | Paul Boerger | Security based on network environment |
US8627409B2 (en) | 2007-05-15 | 2014-01-07 | Oracle International Corporation | Framework for automated dissemination of security metadata for distributed trust establishment |
US7627522B2 (en) | 2007-06-04 | 2009-12-01 | Visa U.S.A. Inc. | System, apparatus and methods for comparing fraud parameters for application during prepaid card enrollment and transactions |
US7913086B2 (en) | 2007-06-20 | 2011-03-22 | Nokia Corporation | Method for remote message attestation in a communication system |
US20090089870A1 (en) | 2007-09-28 | 2009-04-02 | Mark Frederick Wahl | System and method for validating interactions in an identity metasystem |
FR2922396B1 (fr) | 2007-10-12 | 2009-12-25 | Compagnie Ind Et Financiere Dingenierie Ingenico | Procede d'authentification biometrique, programme d'ordinateur, serveur d'authentification, terminal et objet portatif correspondants |
US20090204964A1 (en) | 2007-10-12 | 2009-08-13 | Foley Peter F | Distributed trusted virtualization platform |
US20090132813A1 (en) | 2007-11-08 | 2009-05-21 | Suridx, Inc. | Apparatus and Methods for Providing Scalable, Dynamic, Individualized Credential Services Using Mobile Telephones |
US8347374B2 (en) | 2007-11-15 | 2013-01-01 | Red Hat, Inc. | Adding client authentication to networked communications |
US8978117B2 (en) | 2007-11-19 | 2015-03-10 | Avaya Inc. | Authentication frequency and challenge type based on environmental and physiological properties |
TWI350486B (en) | 2007-11-26 | 2011-10-11 | Ind Tech Res Inst | Biometrics method and apparatus and biometric data encryption method thereof |
US8312269B2 (en) | 2007-11-28 | 2012-11-13 | Hitachi Global Storage Technologies Netherlands, B.V. | Challenge and response access control providing data security in data storage devices |
US8650616B2 (en) | 2007-12-18 | 2014-02-11 | Oracle International Corporation | User definable policy for graduated authentication based on the partial orderings of principals |
US8555078B2 (en) | 2008-02-29 | 2013-10-08 | Adobe Systems Incorporated | Relying party specifiable format for assertion provider token |
US8353016B1 (en) | 2008-02-29 | 2013-01-08 | Adobe Systems Incorporated | Secure portable store for security skins and authentication information |
US8302167B2 (en) | 2008-03-11 | 2012-10-30 | Vasco Data Security, Inc. | Strong authentication token generating one-time passwords and signatures upon server credential verification |
US20090307140A1 (en) | 2008-06-06 | 2009-12-10 | Upendra Mardikar | Mobile device over-the-air (ota) registration and point-of-sale (pos) payment |
US20100029300A1 (en) | 2008-07-30 | 2010-02-04 | Arima Communications Corp. | Method for inquiring real-time travel-related information using a mobile communication device |
US20100042848A1 (en) | 2008-08-13 | 2010-02-18 | Plantronics, Inc. | Personalized I/O Device as Trusted Data Source |
US20130125222A1 (en) | 2008-08-19 | 2013-05-16 | James D. Pravetz | System and Method for Vetting Service Providers Within a Secure User Interface |
US8666904B2 (en) | 2008-08-20 | 2014-03-04 | Adobe Systems Incorporated | System and method for trusted embedded user interface for secure payments |
US7933836B2 (en) | 2008-09-30 | 2011-04-26 | Avaya Inc. | Proxy-based, transaction authorization system |
US8494482B2 (en) | 2008-10-24 | 2013-07-23 | Centurylink Intellectual Property Llc | Telecommunications system and method for monitoring the body temperature of a user |
US8943311B2 (en) | 2008-11-04 | 2015-01-27 | Securekey Technologies Inc. | System and methods for online authentication |
US8245030B2 (en) | 2008-12-19 | 2012-08-14 | Nai-Yu Pai | Method for authenticating online transactions using a browser |
US20100169650A1 (en) | 2008-12-31 | 2010-07-01 | Brickell Ernest F | Storage minimization technique for direct anonymous attestation keys |
US8961619B2 (en) | 2009-01-06 | 2015-02-24 | Qualcomm Incorporated | Location-based system permissions and adjustments at an electronic device |
US20100186072A1 (en) | 2009-01-21 | 2010-07-22 | Akshay Kumar | Distributed secure telework |
US8756674B2 (en) | 2009-02-19 | 2014-06-17 | Securekey Technologies Inc. | System and methods for online authentication |
US9015789B2 (en) | 2009-03-17 | 2015-04-21 | Sophos Limited | Computer security lock down methods |
US9105027B2 (en) | 2009-05-15 | 2015-08-11 | Visa International Service Association | Verification of portable consumer device for secure services |
US20100325684A1 (en) | 2009-06-17 | 2010-12-23 | Microsoft Corporation | Role-based security for messaging administration and management |
KR20100137655A (ko) | 2009-06-23 | 2010-12-31 | 삼성전자주식회사 | 전자 프로그램 가이드를 표시하는 방법 및 이를 위한 장치 |
US8452960B2 (en) | 2009-06-23 | 2013-05-28 | Netauthority, Inc. | System and method for content delivery |
WO2011017099A2 (en) | 2009-07-27 | 2011-02-10 | Suridx, Inc. | Secure communication using asymmetric cryptography and light-weight certificates |
US7865937B1 (en) | 2009-08-05 | 2011-01-04 | Daon Holdings Limited | Methods and systems for authenticating users |
US8756661B2 (en) | 2009-08-24 | 2014-06-17 | Ufp Identity, Inc. | Dynamic user authentication for access to online services |
US8429404B2 (en) | 2009-09-30 | 2013-04-23 | Intel Corporation | Method and system for secure communications on a managed network |
IL201351A0 (en) | 2009-10-01 | 2010-05-31 | Michael Feldbau | Device and method for electronic signature via proxy |
US20110083018A1 (en) * | 2009-10-06 | 2011-04-07 | Validity Sensors, Inc. | Secure User Authentication |
US8769784B2 (en) | 2009-11-02 | 2014-07-08 | Authentify, Inc. | Secure and efficient authentication using plug-in hardware compatible with desktops, laptops and/or smart mobile communication devices such as iPhones |
US8713325B2 (en) | 2011-04-19 | 2014-04-29 | Authentify Inc. | Key management using quasi out of band authentication architecture |
US8719905B2 (en) | 2010-04-26 | 2014-05-06 | Authentify Inc. | Secure and efficient login and transaction authentication using IPhones™ and other smart mobile communication devices |
KR20110048974A (ko) | 2009-11-04 | 2011-05-12 | 삼성전자주식회사 | 무선통신 시스템에서 마스터 세션 키를 갱신하기 위한 장치 및 방법 |
US8949978B1 (en) | 2010-01-06 | 2015-02-03 | Trend Micro Inc. | Efficient web threat protection |
CN102763111B (zh) | 2010-01-22 | 2015-08-05 | 交互数字专利控股公司 | 用于可信联合身份管理和数据接入授权的方法和设备 |
US9070146B2 (en) | 2010-02-04 | 2015-06-30 | Playspan Inc. | Method and system for authenticating online transactions |
WO2011094869A1 (en) | 2010-02-05 | 2011-08-11 | Lipso Systèmes Inc. | Secure authentication system and method |
US20110219427A1 (en) | 2010-03-04 | 2011-09-08 | RSSBus, Inc. | Smart Device User Authentication |
CN102196407B (zh) | 2010-03-18 | 2015-09-16 | 中兴通讯股份有限公司 | 锚定鉴权器重定位方法及系统 |
CA2795206C (en) | 2010-03-31 | 2014-12-23 | Rick L. Orsini | Systems and methods for securing data in motion |
US9356916B2 (en) | 2010-04-30 | 2016-05-31 | T-Central, Inc. | System and method to use a cloud-based platform supported by an API to authenticate remote users and to provide PKI- and PMI-based distributed locking of content and distributed unlocking of protected content |
KR20110122452A (ko) * | 2010-05-04 | 2011-11-10 | 주식회사 비티웍스 | 전자서명 검증 서버 및 이를 이용한 전자거래 방법 |
US8926335B2 (en) | 2010-05-12 | 2015-01-06 | Verificient Technologies, Inc. | System and method for remote test administration and monitoring |
US8973125B2 (en) | 2010-05-28 | 2015-03-03 | Alcatel Lucent | Application layer authentication in packet networks |
US20110314549A1 (en) | 2010-06-16 | 2011-12-22 | Fujitsu Limited | Method and apparatus for periodic context-aware authentication |
EP2591424A4 (en) | 2010-07-08 | 2014-12-10 | Hewlett Packard Development Co | SYSTEM AND METHOD FOR IMPLEMENTING DOCUMENTATION POLICIES |
US8412158B2 (en) | 2010-08-17 | 2013-04-02 | Qualcomm Incorporated | Mobile device having increased security that is less obtrusive |
US8590014B1 (en) | 2010-09-13 | 2013-11-19 | Zynga Inc. | Network application security utilizing network-provided identities |
US20120084545A1 (en) | 2010-10-04 | 2012-04-05 | Ralph Rabat Farina | Methods and systems for implementing a secure boot device using cryptographically secure communications across unsecured networks |
US8566915B2 (en) | 2010-10-22 | 2013-10-22 | Microsoft Corporation | Mixed-mode authentication |
CN103283204B (zh) | 2010-11-24 | 2015-12-16 | 西班牙电信公司 | 对受保护内容的访问进行授权的方法 |
US8955035B2 (en) | 2010-12-16 | 2015-02-10 | Microsoft Corporation | Anonymous principals for policy languages |
US20130144785A1 (en) | 2011-03-29 | 2013-06-06 | Igor Karpenko | Social network payment authentication apparatuses, methods and systems |
US9092605B2 (en) | 2011-04-11 | 2015-07-28 | NSS Lab Works LLC | Ongoing authentication and access control with network access device |
US8584224B1 (en) | 2011-04-13 | 2013-11-12 | Symantec Corporation | Ticket based strong authentication with web service |
EP2712454A4 (en) | 2011-05-10 | 2015-04-15 | Bionym Inc | SYSTEM AND METHOD FOR CONTINUOUS OR INSTANT IDENTITY RECOGNITION BASED ON PHYSIOLOGICAL BIOMETRIC SIGNALS |
EP2716094A4 (en) | 2011-06-03 | 2014-12-03 | Blackberry Ltd | SYSTEM AND METHOD FOR ACCESSING PRIVATE NETWORKS |
US8843649B2 (en) | 2011-06-07 | 2014-09-23 | Microsoft Corporation | Establishment of a pairing relationship between two or more communication devices |
US20120313746A1 (en) | 2011-06-10 | 2012-12-13 | Aliphcom | Device control using sensory input |
US8800056B2 (en) | 2011-08-12 | 2014-08-05 | Palo Alto Research Center Incorporated | Guided implicit authentication |
US8838982B2 (en) | 2011-09-21 | 2014-09-16 | Visa International Service Association | Systems and methods to secure user identification |
US9621404B2 (en) | 2011-09-24 | 2017-04-11 | Elwha Llc | Behavioral fingerprinting with social networking |
US20130090939A1 (en) | 2011-10-11 | 2013-04-11 | Robert N. Robinson | Sytem and method for preventing healthcare fraud |
US9021565B2 (en) | 2011-10-13 | 2015-04-28 | At&T Intellectual Property I, L.P. | Authentication techniques utilizing a computing device |
US20140189807A1 (en) | 2011-10-18 | 2014-07-03 | Conor P. Cahill | Methods, systems and apparatus to facilitate client-based authentication |
MX2014005691A (es) | 2011-11-14 | 2014-08-22 | Vasco Data Security Inc | Lector de tarjeta inteligente con una caracteristica de registro seguro. |
US8607319B2 (en) | 2011-11-22 | 2013-12-10 | Daon Holdings Limited | Methods and systems for determining biometric data for use in authentication transactions |
WO2013082190A1 (en) | 2011-11-28 | 2013-06-06 | Visa International Service Association | Transaction security graduated seasoning and risk shifting apparatuses, methods and systems |
US8958599B1 (en) | 2012-01-06 | 2015-02-17 | Google Inc. | Input method and system based on ambient glints |
CA2861660A1 (en) | 2012-01-08 | 2013-07-11 | Imagistar Llc | System and method for item self-assessment as being extant or displaced |
WO2013123548A2 (en) | 2012-02-20 | 2013-08-29 | Lock Box Pty Ltd. | Cryptographic method and system |
US9338656B2 (en) | 2012-03-28 | 2016-05-10 | Intel Corporation | Conditional limited service grant based on device verification |
US9092616B2 (en) | 2012-05-01 | 2015-07-28 | Taasera, Inc. | Systems and methods for threat identification and remediation |
US20140007215A1 (en) | 2012-06-15 | 2014-01-02 | Lockheed Martin Corporation | Mobile applications platform |
US20140013422A1 (en) | 2012-07-03 | 2014-01-09 | Scott Janus | Continuous Multi-factor Authentication |
TW201417598A (zh) | 2012-07-13 | 2014-05-01 | Interdigital Patent Holdings | 安全性關聯特性 |
US10771448B2 (en) | 2012-08-10 | 2020-09-08 | Cryptography Research, Inc. | Secure feature and key management in integrated circuits |
US9867043B2 (en) | 2012-08-28 | 2018-01-09 | Visa International Service Association | Secure device service enrollment |
US8955067B2 (en) | 2012-09-12 | 2015-02-10 | Capital One, Na | System and method for providing controlled application programming interface security |
US9215249B2 (en) | 2012-09-29 | 2015-12-15 | Intel Corporation | Systems and methods for distributed trust computing and key management |
US9172544B2 (en) | 2012-10-05 | 2015-10-27 | General Electric Company | Systems and methods for authentication between networked devices |
US20140250523A1 (en) | 2012-10-11 | 2014-09-04 | Carnegie Mellon University | Continuous Authentication, and Methods, Systems, and Software Therefor |
US8910239B2 (en) | 2012-10-15 | 2014-12-09 | Citrix Systems, Inc. | Providing virtualized private network tunnels |
US9176838B2 (en) | 2012-10-19 | 2015-11-03 | Intel Corporation | Encrypted data inspection in a network environment |
US8584219B1 (en) | 2012-11-07 | 2013-11-12 | Fmr Llc | Risk adjusted, multifactor authentication |
US9166962B2 (en) | 2012-11-14 | 2015-10-20 | Blackberry Limited | Mobile communications device providing heuristic security authentication features and related methods |
US8935808B2 (en) | 2012-12-18 | 2015-01-13 | Bank Of America Corporation | Identity attribute exchange and validation broker |
US9015482B2 (en) | 2012-12-28 | 2015-04-21 | Nok Nok Labs, Inc. | System and method for efficiently enrolling, registering, and authenticating with multiple authentication devices |
US9374369B2 (en) | 2012-12-28 | 2016-06-21 | Lookout, Inc. | Multi-factor authentication and comprehensive login system for client-server networks |
US9083689B2 (en) | 2012-12-28 | 2015-07-14 | Nok Nok Labs, Inc. | System and method for implementing privacy classes within an authentication framework |
US9172687B2 (en) | 2012-12-28 | 2015-10-27 | Nok Nok Labs, Inc. | Query system and method to determine authentication capabilities |
US9306754B2 (en) | 2012-12-28 | 2016-04-05 | Nok Nok Labs, Inc. | System and method for implementing transaction signing within an authentication framework |
US9219732B2 (en) | 2012-12-28 | 2015-12-22 | Nok Nok Labs, Inc. | System and method for processing random challenges within an authentication framework |
US8856541B1 (en) | 2013-01-10 | 2014-10-07 | Google Inc. | Liveness detection |
JP6069039B2 (ja) | 2013-03-11 | 2017-01-25 | 日立オートモティブシステムズ株式会社 | ゲートウェイ装置及びサービス提供システム |
US20140282868A1 (en) | 2013-03-15 | 2014-09-18 | Micah Sheller | Method And Apparatus To Effect Re-Authentication |
US9137247B2 (en) | 2013-03-15 | 2015-09-15 | Intel Corporation | Technologies for secure storage and use of biometric authentication information |
US10270748B2 (en) | 2013-03-22 | 2019-04-23 | Nok Nok Labs, Inc. | Advanced authentication techniques and applications |
US8646060B1 (en) | 2013-07-30 | 2014-02-04 | Mourad Ben Ayed | Method for adaptive authentication using a mobile device |
US20150180869A1 (en) | 2013-12-23 | 2015-06-25 | Samsung Electronics Company, Ltd. | Cloud-based scalable authentication for electronic devices |
US9652354B2 (en) | 2014-03-18 | 2017-05-16 | Microsoft Technology Licensing, Llc. | Unsupervised anomaly detection for arbitrary time series |
US9654463B2 (en) | 2014-05-20 | 2017-05-16 | Airwatch Llc | Application specific certificate management |
-
2014
- 2014-07-31 US US14/448,697 patent/US9455979B2/en active Active
-
2015
- 2015-07-30 JP JP2017505513A patent/JP6865158B2/ja active Active
- 2015-07-30 CN CN201580040814.0A patent/CN106664208B/zh active Active
- 2015-07-30 EP EP15827363.1A patent/EP3175578B1/en active Active
- 2015-07-30 WO PCT/US2015/042827 patent/WO2016019106A1/en active Application Filing
- 2015-07-30 KR KR1020177003447A patent/KR102382474B1/ko active IP Right Grant
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102077546A (zh) * | 2008-06-25 | 2011-05-25 | 微软公司 | UPnP设备之间的远程访问 |
CN102246455A (zh) * | 2008-12-11 | 2011-11-16 | 三菱电机株式会社 | 自我认证通信设备以及设备认证系统 |
CN103888252A (zh) * | 2012-12-19 | 2014-06-25 | 深圳市华营数字商业有限公司 | 一种基于uid、pid、appid控制应用访问权限方法 |
CN103945374A (zh) * | 2013-01-18 | 2014-07-23 | 深圳市华营数字商业有限公司 | 一种基于pki技术的移动终端设备及用户认证的方法 |
Also Published As
Publication number | Publication date |
---|---|
EP3175578B1 (en) | 2019-09-04 |
KR20170041729A (ko) | 2017-04-17 |
JP2017528963A (ja) | 2017-09-28 |
EP3175578A1 (en) | 2017-06-07 |
US9455979B2 (en) | 2016-09-27 |
US20160219043A1 (en) | 2016-07-28 |
EP3175578A4 (en) | 2018-03-28 |
WO2016019106A1 (en) | 2016-02-04 |
JP6865158B2 (ja) | 2021-04-28 |
KR102382474B1 (ko) | 2022-04-01 |
CN106664208A (zh) | 2017-05-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106664208B (zh) | 使用安全传输协议建立信任的系统和方法 | |
CN106575416B (zh) | 用于向装置验证客户端的系统和方法 | |
CN106575326B (zh) | 利用非对称加密实施一次性密码的系统和方法 | |
EP3138265B1 (en) | Enhanced security for registration of authentication devices | |
CN107111478B (zh) | 用于在网络架构内集成验证服务的系统和方法 | |
CN106575281B (zh) | 用于实施托管的验证服务的系统和方法 | |
US20140298412A1 (en) | System and Method for Securing a Credential via User and Server Verification | |
US11792024B2 (en) | System and method for efficient challenge-response authentication |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1237157 Country of ref document: HK |
|
GR01 | Patent grant | ||
GR01 | Patent grant |