CN108351924A - 电子安全容器 - Google Patents
电子安全容器 Download PDFInfo
- Publication number
- CN108351924A CN108351924A CN201680050188.8A CN201680050188A CN108351924A CN 108351924 A CN108351924 A CN 108351924A CN 201680050188 A CN201680050188 A CN 201680050188A CN 108351924 A CN108351924 A CN 108351924A
- Authority
- CN
- China
- Prior art keywords
- esc
- user
- security
- requestor
- service ticket
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000013507 mapping Methods 0.000 claims abstract description 20
- 238000000034 method Methods 0.000 claims description 57
- 230000004044 response Effects 0.000 claims description 10
- 238000013500 data storage Methods 0.000 claims description 2
- 238000004891 communication Methods 0.000 description 11
- 238000004590 computer program Methods 0.000 description 11
- 239000002775 capsule Substances 0.000 description 8
- 230000008569 process Effects 0.000 description 8
- 238000012545 processing Methods 0.000 description 8
- 238000013475 authorization Methods 0.000 description 7
- 230000009471 action Effects 0.000 description 4
- 230000032683 aging Effects 0.000 description 3
- 238000004422 calculation algorithm Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 241001269238 Data Species 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 230000005611 electricity Effects 0.000 description 2
- 210000000056 organ Anatomy 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 210000000988 bone and bone Anatomy 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000001815 facial effect Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 210000003205 muscle Anatomy 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 210000001525 retina Anatomy 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 230000001953 sensory effect Effects 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
- 239000000758 substrate Substances 0.000 description 1
- 210000001519 tissue Anatomy 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
- 230000001755 vocal effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本发明的一个方面以ESC为特征。ESC包括用户定义的认证凭证集合,其包括对于用户唯一的至少一个凭证,其中认证凭证集合定义用于授予对存储在ESC中的内容的访问的ESC的安全级别。授权策略,其定义针对至少一个请求者的认证要求。以及安全映射策略,其将来自至少一个请求者的请求者认证凭证转换为安全强度以用于与ESC的安全级别的安全强度进行比较。
Description
相关申请的交叉引用
本申请要求于2015年6月30日提交的美国临时申请号62/186,726的申请日的权益。美国申请号62/186,726的内容通过引用以其整体并入在本文中。
技术领域
本说明书涉及电子数据安全。
背景技术
电子数据安全和隐私在现代通信和计算机系统中越来越重要。私人和私营公司信息越来越多地以电子格式存储,包括例如电子标识形式、电子支付方法、电子医疗记录以及电子法律和商业文件。用于保护电子数据的技术包括对数据存储系统的基于加密凭证的访问。
发明内容
本说明书涉及电子安全容器(ESC)以及用于访问包含在ESC中的用户内容的方法和系统。
本发明的一个方面以一种ESC为特征。ESC包括用户定义的认证凭证集合,其包括对于用户唯一的至少一个凭证,其中该认证凭证集合定义了用于授予对存储在ESC中的内容的访问的ESC的安全级别。授权策略,其定义针对至少一个请求者的认证要求。以及安全映射策略,其将来自至少一个请求者的请求者认证凭证转换为安全强度以用于与ESC的安全级别的安全强度进行比较。
这个和其他实现方式均能够可选地包括以下特征中的一个或多个。安全级别能够是第一安全级别,并且用户定义的认证凭证集合能够是第一组用户定义的认证凭证集合。另外,ESC能够包括第二用户定义的认证凭证集合,其包括对于用户唯一的至少一个凭证,其中第二认证凭证集合定义用于授予对存储在ESC中的内容的访问的ESC的第二安全级别。第二安全级别的安全强度能够大于第一安全级别的安全强度。
本发明的另一方面以一种ESC电子装置为特征。电子装置包括用户定义的认证凭证集合,其包括对于用户唯一的至少一个凭证,其中认证凭证集合定义用于授予对存储在ESC中的内容的访问的ESC的安全级别。授权策略,其定义针对至少一个请求者的认证要求。以及安全映射策略,其将来自至少一个请求者的请求者认证凭证转换为安全强度以用于与ESC的安全级别的安全强度进行比较。
这个和其他实现方式均能够可选地包括以下特征中的一个或多个。电子装置能够是云服务器。电子装置能够是移动计算装置。电子装置能够是芯片卡上的微芯片。
本说明书中描述的主题的其他方面能够在包括如下动作的方法中具体化:从请求者接收对访问包含在ESC中的内容的请求。获得对于请求者访问包含在ESC中的数据的用户同意。响应于获得用户同意,基于请求者的认证凭证确定请求是否是可信的。确定请求者的认证凭证的安全强度是否满足或超过与ESC的安全级别相关联的安全强度,其中ESC的安全级别由包括对于用户唯一的至少一个凭证的用户定义的认证凭证集合来定义。响应于确定请求者的认证凭证的安全强度满足或超过ESC的安全级别的安全强度,向请求者提供对包含在ESC的安全级别中的内容的访问。
这个和其他实现方式均能够可选地包括以下特征中的一个或多个。获得对于请求者访问包含在ESC中的数据的用户同意能够包括基于ESC的授权策略验证用户已经授权请求者访问包含在ESC中的数据。获得对于请求者访问包含在ESC中的数据的用户同意能够包括向用户请求对于请求者访问来自ESC的内容的授权,以及接收指示对于请求者访问来自ESC的内容的授权的用户输入。用户输入可以指示请求者能够从其访问内容的ESC的一个或多个安全级别。
确定请求者的认证凭证的安全强度是否满足或超过与ESC的安全级别相关联的安全强度能够包括基于ESC的安全映射策略来确定请求者的认证凭证的安全强度、确定与定义ESC的安全级别的用户定义的认证凭证集合相关联的安全强度、以及将请求者的认证凭证的安全强度与用户定义的认证凭证集合的安全强度进行比较。
在附图和下面的描述中阐述在本说明书中描述的主题的一个或多个实现方式的细节。主题的其他特征、方面和优点将根据本描述、附图和权利要求而变得明显。
附图说明
图1A和图1B描绘了根据本公开的实现方式的示例电子安全容器的表示。
图2描绘了能够执行本公开的实现方式的示例系统。
图3和图4描绘了根据本公开的实现方式能够执行的示例过程。
相似的参考数字和标记在各种附图中指示相似的元件。
具体实施方式
本公开的实现方式总体上涉及ESC,以及用于访问包含在ESC中的用户内容(例如,用户数据)的方法和系统。更特别地,ESC是安全数据结构,其防止访问其他内容(例如,未加密的用户数据),除非访问实体被正确认证。例如,ESC用作用于存储未加密的数据(例如,ESC内容数据)的电子保险箱,其仅在访问实体(例如,另一(非所有者)用户、企业、政府机构)的正确认证时才可访问。因此,ESC与目前的数据安全技术的不同之处在于,代替对敏感数据本身进行加密,能够将敏感数据以其纯(未加密)格式(例如,作为纯文本文件、jpg图像文件)存储在安全电子容器、ESC“内部”。另外,ESC对于每个所有者/用户均是唯一的,因为访问策略和凭证是完全由用户定义的,并且需要使用对于所有者唯一的至少一个属性。也就是说,所有者/用户定义访问存储在ESC中的数据所需要的凭证的数量和类型两者。ESC是由所有者/用户(例如,拥有ESC的用户)定义的并且基于与所有者/用户相关联的凭证,除非诸如在提及非所有者用户时可能需要进一步澄清。然而,为了简单起见,遍及本描述的其余部分使用术语“用户”以提及所有者/用户,除非可能需要进一步澄清。
ESC能够实现在物理ESC卡上(例如,作为标准身份证件卡上的微芯片)、在计算装置上(例如,作为智能电话上的app)、或者在托管的计算环境上(例如,云托管服务)。能够使用认证凭证的任何用户定义的组合来认证对ESC的访问,认证凭证诸如但不限于认证图像(例如,数字水印、快速识别(QR)码)、近场通信(NFC)码、射频识别(RFID)码、生物识别或其他适当的认证凭证。认证凭证可以但不需要包括任何个人可识别信息(PII)。
例如,代替携带身份证件(例如,驾驶执照或护照),用户可以将电子身份证件存储在ESC中并且仅携带ESC。当访问实体(例如,另一(非所有者)用户、企业、政府机构)请求用户的身份证件时,用户可以仅呈现他们的ESC。例如,在海关检查点,用户可以将他们的智能电话放置得靠近海关计算机。用户的智能电话能够例如经由NFC从海关计算机接收海关机构的用于访问用户的ESC的认证凭证。一认证了海关机构的认证凭证并且根据用户在ESC中设置的策略,用户的智能电话就能够向海关计算机提供对存储在ESC中的用户电子护照的访问。例如,策略能够包括用于授权用户访问ESC或存储在ESC中的数据的规则(例如,一个或多个条件或条件的组合或)或程序的集合。
作为另一示例,ESC能够包含用户的信用卡信息,并且用户能够向企业(例如超市)提供对ESC的访问。例如,当用户在超市结账时,用户能够呈现智能电话(带有数字容器)。智能电话能够从销售点(POS)计算机接收超市的认证凭证,根据用户在ESC中设置的策略来验证超市的认证凭证,并且作为响应,向超市的POS计算机提供对用户的信用卡信息的访问。
在一些示例中,ESC本身可以被存储在服务器上,并且用户的ESC卡或ESC应用能够包括标识用户的ESC的标识数据(例如,编码图像、NFC代码或RFID代码)。访问实体能够访问用户的ESC标识数据,并且将ESC标识数据连同用于访问用户的ESC的内容的访问实体的凭证一起传送给托管用户的ESC的服务器。在认证访问实体之后,服务器能够向访问实体提供对用户的ESC的内容的访问。
ESC能够具有若干访问级别(例如,多个“内部保险箱”),每个访问级别具有更严格的认证要求,例如用于存储更敏感的数据或允许用户将数据隔离为对一些实体可用但是对其他实体不可用。例如,实体A(例如,DMV)可以被允许访问存储在第一访问级别之内的数据(例如,电子驾驶执照),但不被允许访问存储在第二访问级别之内的数据。实体B(例如,企业)可能能够访问存储在第一访问级别和第二访问级别之内的数据,例如,第一级别中的电子驾驶执照和第二级别中的信用卡信息。
ESC具有两种访问方法(例如,“保险箱”的两侧),一种用于用户(例如,ESC的所有者)并且一种用于访问实体。例如,因为用户必须可以访问ESC的所有安全级别,因此用户的访问凭证的任何泄露都将危及存储在ESC的所有级别中的数据的安全。因此,用户访问方法可以限制用户仅执行某些功能,例如,用户可以仅被允许添加内容以及从ESC销毁(例如,在不查看的情况下移除)内容。因此,如果用户的凭证被泄露,则小偷实际上不能够查看ESC的内容,而是最多仅能够添加新数据或销毁现有数据。另一方面,可以允许访问实体访问存储在访问实体的ESC的授权级别之内的数据,但是可能不允许其添加或移除数据。
在一些示例中,如果没有正确授权的某人(例如,试图的黑客)试图访问内容,则存储在ESC中的内容能够被自动销毁。
图1A描绘了根据本公开的实现方式的示例电子安全容器100的表示。ESC 100是防止访问用户内容的并且由用户定义的认证凭证集合定义的安全数据结构。该认证凭证集合定义了必须被满足以便授予对存储在ESC 100中的内容的访问的一个或多个安全级别106。安全级别1-4(106a-106d)中的每个均可以由不同的且越来越严格的认证凭证定义,并且因此用户可以将更敏感的内容存储在ESC 100的更高安全级别中。
用户定义的认证凭证集合能够包括例如凭证,诸如指纹、面部识别、视网膜或虹膜识别、语音识别(例如语音打印或语音密码)、社会安全号码、密码、数字水印、PIN号码、NFC码、QR码、笔迹、基于移动的凭证(例如,移动模式、肌肉/骨骼生物识别)或任何其他适当类型的安全或生物识别凭证。因为所有者(用户)定义了哪些认证凭证将形成他们的特定的ESC 100,并且优选地认证凭证中的至少一个对于所有者是唯一的(例如,生物识别标识符),ESC 100本身对于每个特定用户将是唯一的。在一些示例中,用户定义不同的认证凭证集合来表示用户的ESC 100的每个安全级别(例如,级别106a至106b)。也就是说,为了使用户获得对存储在ESC 100中的内容的访问、向ESC添加内容或者修改ESC的属性(例如,策略、安全级别或认证凭证),用户必须提供针对特定安全级别的用户定义的凭证集合中包括的认证凭证中的每个。因此,仅仅知道给定安全级别需要哪种类型的认证凭证本身就是授权凭证。也就是说,每个用户可能需要不同数量和/或类型的认证凭证来访问他们的ESC 100或者他们的ESC 100的各种安全级别。在一些实现方式中,甚至呈现授权凭证集合中的每个凭证所用的顺序本身也能够形成一种类型的认证凭证(例如,由安全凭证组成的密码)。在一些示例中,ESC 100能够通过使用用户定义的认证凭证集合中的用户的认证凭证作为用以对内容进行加密的加密密钥来对包含在ESC 100中的内容进行加密。
例如,第一用户可以使用他们的指纹、密码和他们的声纹(不按照特定的顺序)来定义ESC 100。而第二用户可以使用他们的社会安全号码、密码、面部识别数据和虹膜识别数据(按照该特定顺序)来定义ESC 100。因此,第一用户和第二用户各自的ESC不仅基于其各自的凭证(生物识别和其他)、而且还基于用于定义每个用户的ESC 100的认证凭证的数量、类型和顺序,而对于每个用户是唯一的。
在一些实现方式中,ESC 100甚至可以与用户一起(例如,随着用户变老)发展。例如,由用户选择以定义ESC 100的生物识别认证凭证可以随着用户变老或改变而周期性地或不断地更新。也就是说,例如,随着用户变老,用户的面部外观将会改变,并且因此相应的认证凭证将随着时间改变,并且扩展开来,ESC 100将随着时间改变。因此,ESC 100在某种意义上能够被认为是用户本身的影子。
另外,ESC 100包括授权策略102的集合和安全映射策略104。授权策略102和安全映射策略104允许请求者(例如另一(非所有者)用户、企业、政府机构)访问来自用户的ESC100的内容。授权策略102允许用户描绘哪些请求者被允许访问来自用户的ESC 100的内容。例如,授权策略102能够包括用于允许用户访问ESC或包含在ESC中的数据的规则或程序的集合。例如,授权策略102能够包括标识被准许访问来自用户的ESC 100的内容的请求者的用户定义的访问控制列表(ACL)。另外,授权策略102可以包括标识每个请求者被允许访问ESC 100的哪些安全级别106的数据。
虽然用户可能能够访问存储在他们的ESC 100中的内容,或者通过呈现用户自己的认证凭证的正确组合来向请求者提供访问,但是在一些实现方式中,用户可以基于请求者自己的(一个或多个)认证凭证来授权请求者访问和ESC 100。在这样的实现方式中,安全映射策略104提供用于与定义ESC 100或ESC 100的特定安全级别106的用户定义的认证凭证集合相比较来评估请求者的认证凭证的措施。例如,安全映射策略104能够包括用于与定义ESC 100或ESC 100的特定安全级别106的用户定义的认证凭证集合相比较来评估请求者的认证凭证的规则或程序的集合。更具体地,安全映射策略104将由请求者提供的认证凭证的客观安全强度与用于定义ESC 100或ESC 100的请求者正在试图访问的特定安全级别106的用户的认证凭证集合的客观安全强度进行比较。在一些示例中,安全映射策略104包括用于评估认证凭证和安全凭证的组合的安全强度的算法。
ESC的所有者不需要是个人。在一些实现方式中,ESC的所有者能够是实体(例如,人的团体,诸如家庭、企业、组织、政府实体等)。在这样的实现方式中,能够使用直接与实体相关联的凭证和/或来自实体的多个成员的认证凭证的组合来定义ESC。例如,企业所拥有的ESC能够通过包括CEO的指纹、CFO的指纹和语音密码的认证凭证集合以及用于企业的电子访问卡来定义。因此,为了向ESC中添加内容或修改包含在ESC中的内容,CEO和CFO两者都必须提供他们各自的凭证。
图1B描绘了根据本公开的实现方式的示例电子安全容器150的另一表示。ESC 150图示了图1A所示出的ESC 100的变型。ESC 150包括两个分开的安全级别4数据容器106d-1和106d-2。例如,在一些实现方式中,用户能够使用不同的认证凭证集合来定义相同(或相似的)安全级别上的多个数据容器。也就是说,例如,使用两个不同的用户凭证集合来定义数据容器106d-1和106d-2两者,每个用户凭证集合具有相似的安全强度。例如,用户可能希望设置用于存储用户的驾驶执照和特定的信用卡信息两者的相似的安全级别,但可能不希望相同的请求者可以访问信用卡提供信息者和驾驶执照两者。因此,用户能够用相同的设置的凭证(例如,PIN和拇指纹,按照该特定顺序)来定义数据容器106d-1和106d-2两者,因此它们将都具有相同的安全强度,但是可以针对安全级别4数据容器106d-1和106d-2中的每个定义授权策略(例如,规则或程序的集合),其将访问限制在仅仅经授权的请求者。例如,用户能够指示:企业A能够访问存储在数据容器106d-1中的数据(例如,信用卡信息),DMV能够访问存储在数据容器106d-2中的数据(例如,驾驶执照),以及另一用户(例如,配偶)能够访问存储在数据容器106d-1和106d-2两者中的数据。
图2描绘了能够执行本公开的实现方式的示例系统200。系统200能够用于生成、维护和访问ESC 100中的内容。系统200包括策略服务器202、用户装置204、请求者装置206以及在一些实现方式中的ESC读取器装置208。策略服务器202、用户装置204、请求者装置206和ESC读取器装置208中的每个通过一个或多个网络210进行通信。
策略服务器202能够是被配置为生成、管理或存储一个或多个ESC 100的一个或多个计算装置(例如,服务器)。策略服务器202可以具有存储程序和数据(诸如操作系统和一个或多个应用程序)的内部或外部存储部件。例如,策略服务器202能够表示各种形式的服务器系统,包括但不限于web服务器、应用服务器、代理服务器、网络服务器或服务器机群。一个或多个应用程序能够被实现为如下指令:该指令被存储在存储部件中,并且在被执行时使一个或多个计算装置根据用户定义的参数生成ESC 100并评估用户或请求者认证凭证以用于提供对存储在ESC 100中的内容的访问。此外,策略服务器202能够是云服务器,并且能够存储ESC 100及其相关联的内容。
用户装置204和请求者装置206能够是计算装置,包括例如移动计算装置(例如,移动电话、智能电话、个人数字助理、平板计算机)、膝上型电脑、上网本计算机以及包括个人计算机、专用计算机、通用计算机和/或专用计算机和通用计算机的组合的台式计算机。计算装置204和206中的每个通常可以具有用于存储数据和程序(诸如操作系统和一个或多个应用程序)的内部或外部存储部件。在一些示例中,请求者装置206能够是POS计算装置。用户装置204和请求者装置206能够包括能够接收认证凭证的各种输入装置,诸如例如小键盘、键盘、指纹扫描仪、相机、麦克风、触摸屏和加速度计。
ESC读取器装置208可以是能够读取包含在ESC卡上的ESC 100的电子装置。例如,ESC读取器装置208能够是与另一计算装置(例如,用户装置204或请求者装置206)进行通信的读卡器。
网络210可以提供策略服务器202、用户装置204、请求者装置206和ESC读取器装置208之间的直接或间接的通信链路。网络210的示例包括因特网、万维网、广域网(WAN)、包括无线LAN(WLAN)的局域网(LAN)、模拟或数字有线和无线电话网络、无线数据网络(例如3G和4G网络)、线缆、卫星和/或用于运载数据的任何其他递送机制。
ESC 100能够实现在物理ESC卡上(例如,作为智能芯片卡上的微芯片)、在用户装置204上(例如,作为智能电话上的app)、或者在策略服务器202上(例如,云托管服务)。在一些实现方式中,ESC及其相关联的内容不存储在策略服务器202处。例如,ESC 100及其相关联的内容能够存储在物理ESC卡上(例如,作为标准身份证件卡上的芯片)或在用户装置204上。在这样的实现方式中,策略服务器202能够用于生成ESC 100并且管理对ESC 100的访问。例如,策略服务器202能够评估用户和请求者授权凭证。在一些示例中,策略服务器202能够维护和实施授权策略102和安全映射策略104。
在一些实现方式中,ESC 100能够被实现为用户装置204上的应用。例如,用户可以在他们的用户装置204(例如,智能电话)上具有ESC应用。用户可以使用PIN号码和他们的指纹来定义他们的ESC(或他们的ESC的一个安全级别)。在一些示例中,PIN号码和指纹可以表示用户的ESC 100的第一安全级别,因为它仅使用两种类型的认证凭证。例如,用户可以将信用卡支付信息存储在他们的ESC 100的这个第一安全级别中,然后使用第一安全级别来向企业提供对日常购买的支付信息的访问。另外,用户能够使用两种方法之一来向请求者(例如企业)提供对存储在其ESC 100中的内容的访问。一种方法是让用户向ESC应用提供他们的认证凭证、自己访问期望的内容(例如,信用卡)、并且将内容提供给请求者(例如,经由到POS系统上的相应应用的无线链路)。第二种方法是让用户授予特定请求者直接访问来自用户的ESC 100的内容的能力。例如,请求者一经使用请求者自己的认证凭证认证,期望的内容就能够被传送给请求者的计算系统(例如POS系统)。
例如,用户可以访问咖啡店并且希望使用存储在他们的ESC 100中的支付信息(例如,信用卡信息)来支付他们的购买。用户可以打开在他们的智能电话上的他们的ESC 100应用并且在用户装置204和请求者装置206(例如,咖啡店处的POS计算机)之间建立通信。例如,用户装置204可以通过NFC建立与请求者装置206的通信。如果咖啡店POS计算机具有相应的ESC应用和适当的输入装置以支持接收用户的认证凭证,则用户能够提供适当的认证凭证(例如,PIN号码和指纹)来访问他们的ESC 100,并且支付信息能够被从用户装置204上的ESC 100传送到请求者装置206。例如,一建立通信,POS计算机就可以提示店员请求用户呈现他们的认证凭证。用户然后可以在附接到请求者装置206的小键盘上输入他们的PIN号码,并且将他们的指纹提供给附接到请求者装置206的指纹读取器。第三种方法是双重认证方法,其中需要用户和请求者的认证凭证两者以授予请求者对存储在ESC中的内容的访问。
在另一示例中,用户可以打开在用户的用户装置204上的ESC应用,并且在用户装置204与请求者装置206之间建立通信。然而,在该示例中,用户可能已经授予咖啡店直接访问他们的ESC 100(或者至少在他们的ESC 100的一个安全级别中的内容)的授权。例如,代替用户提供他们自己的认证凭证以访问来自ESC 100的支付信息,请求者装置206能够向用户装置204发送访问请求。用户装置204接收访问请求并且用授权策略102验证用户已经授权咖啡店访问用户的ESC 100。在一些示例中,访问请求可以被发送到策略服务器202以用于基于授权策略102进行的验证。另外,访问请求可以包括针对请求者(例如,咖啡店)的认证凭证。用户装置204可以将请求者的认证凭证发送给策略服务器202以用于进行认证。
除了验证咖啡店凭证的真实性之外,策略服务器202还可以计算咖啡店的认证凭证的安全强度。策略服务器202能够将咖啡店的认证凭证的安全强度与用户的针对其ESC100(或请求者请求访问的ESC 100的安全级别106)的认证凭证的安全强度进行比较。在该示例中,策略服务器202将把咖啡店的认证凭证的安全强度与用户的组合的指纹和PIN号码的安全强度进行比较。如果咖啡店的认证凭证不具有至少等同于用户的认证凭证的组合的安全强度的安全强度,则策略服务器202将拒绝对用户的ESC 100的访问,由此确保请求者的凭证满足用户的用于访问ESC 100(或ESC 100的特定安全级别106)的最小安全级别。只要咖啡店的认证凭证的安全级别满足或超过用户的认证凭证的安全级别,策略服务器202就将授予请求者装置206对来自ESC 100的用户的支付信息的访问。
图3描绘了根据本公开的实现方式能够执行的示例过程300。在一些示例中,示例过程300能够被提供为使用一个或多个计算装置执行的一个或多个计算机可执行程序。在一些示例中,过程300被执行以提供对存储在ESC中的内容的访问。
从请求者接收访问包含在ESC中的内容的请求(310)。获得对于请求者访问包含在ESC中的数据的用户同意(320)。例如,ESC的授权策略可以指示用户已经授权请求者访问包含在ESC中的数据。能够将请求者的身份与包含在ESC的授权策略中的数据(例如,访问控制列表)进行比较。如果用户还没有授予其授权请求者访问来自ESC的内容的同意,如授权策略所指示的,则可以向ESC的用户发送向请求者授予授权的请求。
基于针对请求者的认证凭证来对该请求进行认证(330)。例如,该请求可以包括针对请求者的认证凭证。请求者的认证凭证可以由例如认证服务器认证。确定请求者被允许访问的授权安全级别(340)。例如,可以确定请求者的认证凭证的安全强度是否满足或超过访问ESC的安全级别所需的安全强度。ESC的安全级别的安全强度可以基于定义ESC的安全级别的用户定义的认证凭证集合的安全强度来确定。响应于确定请求者的认证凭证的安全强度满足或超过访问ESC所需的安全强度,向请求者提供对包含在ESC中的内容的访问(350)。
图4描绘了根据本公开的实现方式能够执行的示例过程400。在一些示例中,示例过程400能够被提供为使用一个或多个计算装置执行的一个或多个计算机可执行程序。在一些示例中,过程400图示了用于提供对存储在ESC 100中的内容的访问的过程300的更详细示例。
从请求者接收访问包含在ESC 100中的内容的请求(402)。根据授权策略102确定访问ESC 100的一个或多个安全级别106a-106d的请求者的授权(404)。授权策略102可以指示用户是否已授予对于请求者访问ESC 100的同意(406)。在一些示例中,授权策略102还可以指示请求者被授权访问的ESC的哪些安全级别106。如果授权策略102指示用户还没有授权请求者访问来自ESC 100的内容,则可以向ESC的用户发送向请求者授予授权的请求。一经接收到授权请求者的请求,就可以要求ESC 100用户提供用户的认证凭证(408)。基于用户的认证凭证对用户进行认证。在被认证之后,用户可以授予用于请求者访问来自ESC 100的内容的授权(409)。另外,用户可以指示请求者将被授权从其访问内容的ESC 100的安全级别106a-106d中的一个或多个(410)。
对请求者的身份进行认证(412)。例如,访问请求可以包括请求者的认证凭证。请求者的认证凭证可以由例如认证服务器进行认证。针对请求者的认证凭证计算安全级别强度(414)。例如,安全凭证强度算法可以被包括在ESC 100的安全映射策略104中。可以基于安全映射策略算法来计算请求者的认证凭证的安全强度。安全映射策略104可以确保请求者的认证凭证满足用以访问ESC 100的各种安全级别的最小安全强度。例如,可以基于用于定义ESC 100的每个相应安全级别的相应的用户定义的认证凭证集合的安全强度来确定访问ESC 100的每个安全级别所需要的安全强度。每个ESC 100安全级别的安全强度可以被存储作为安全映射策略104的一部分,安全映射策略例如通过将请求者的认证凭证的安全强度与请求者正寻求访问的ESC 100安全级别的安全强度进行比较而被实施(416)。
响应于确定请求者的认证凭证的安全强度满足或超过访问ESC 100的适当安全级别所需要的安全强度,向请求者提供对包含在ESC 100的所述安全级别中的内容的访问(418)。
在本说明书中描述的操作和主题的实现方式能够以数字电子电路系统来实现,或者以计算机软件、固件或硬件(包括在本说明书中公开的结构及其结构等同物)来实现,或者以其中的一个或多个的组合来实现。本说明书中描述的主题的实现方式能够使用在计算机存储介质上编码用于由数据处理设备执行或者用以控制数据处理设备的操作的一个或多个计算机程序(即,计算机程序指令的一个或多个模块)来实现。替代地或者附加地,程序指令可以被编码在人工生成的传播信号上,例如,机器生成的电信号、光信号或电磁信号,其被生成以对信息进行编码用于传输到合适的接收器装置以供数据处理设备执行。计算机存储介质能够是如下各项或者被包括在如下各项中:计算机可读存储装置、计算机可读存储基板、随机或串行存取存储器阵列或装置、或者其中的一个或多个的组合。此外,虽然计算机存储介质不是传播信号,但是计算机存储介质能够是在人工生成的传播信号中编码的计算机程序指令的源或目的地。计算机存储介质还能够是如下各项或者被包括在如下各项中:一个或多个单独的物理部件或介质(例如,多个CD、磁盘或其他存储装置)。
本说明书中描述的操作能够被实现为由数据处理设备对存储在一个或多个计算机可读存储装置上的数据或从其他来源接收到的数据执行的操作。
术语“数据处理设备”涵盖用于处理数据的所有种类的设备、装置和机器,作为示例包括可编程处理器、计算机、片上系统或者前述中的多个或组合。设备能够包括专用逻辑电路系统,例如FPGA(现场可编程门阵列)或ASIC(专用集成电路)。除了硬件之外,该设备还能够包括为正在考虑的计算机程序创建执行环境的代码,例如构成处理器固件、协议栈、数据库管理系统、操作系统、跨平台运行时环境、虚拟机器或其中的一个或多个的组合的代码。设备和执行环境能实现各种不同的计算模型基础设施,诸如web服务、分布式计算和网格计算基础设施。
计算机程序(也称为程序、软件、软件应用、脚本或代码)能够以任何形式的编程语言编写,包括编译或解释语言、声明或过程语言,并且它能够以任何形式部署,包括作为独立程序或作为模块、部件、子程序、对象或适合用在计算环境中的其他单元。计算机程序可以但不需要对应于文件系统中的文件。程序能够被存储在保存其他程序或数据的文件的一部分中(例如,存储在标记语言文档中的一个或多个脚本)、在专用于正在考虑的程序的单个文件中,或者在多个协调文件(例如,存储一个或多个模块、子程序或代码的部分的文件)中。计算机程序能够被部署成在一台计算机或者位于一个站点或跨多个站点分布并通过通信网络互连的多台计算机上执行。
本说明书中描述的过程和逻辑流程能够通过如下来执行:一个或多个可编程处理器执行一个或多个计算机程序以通过对输入数据进行操作并且生成输出来执行动作。过程和逻辑流程还能够由专用逻辑电路系统来执行,并且设备也能够被实现为专用逻辑电路系统,所述专用逻辑电路系统例如是FPGA(现场可编程门阵列)或ASIC(专用集成电路)。
作为示例,适合于执行计算机程序的处理器包括通用和专用微处理器两者以及任何种类的数字计算机的任何一个或多个处理器。通常,处理器将从只读存储器或随机存取存储器或两者接收指令和数据。计算机的元件可以包括用于根据指令执行动作的处理器以及用于存储指令和数据的一个或多个存储器装置。通常,计算机还将包括用于存储数据的一个或多个大容量存储装置,或操作耦合以从一个或多个大容量存储装置接收数据或者将数据传递至一个或多个大容量存储装置或者两者,一个或多个大容量存储装置例如是磁盘、磁光盘或光盘。然而,计算机不需要具有这样的装置。此外,能够将计算机嵌入在另一装置中,例如移动电话、个人数字助理(PDA)、移动音频或视频播放器、游戏控制台、全球定位系统(GPS)接收器或便携式存储装置(例如,通用串行总线(USB)闪存驱动器),仅举几个例子。适合于存储计算机程序指令和数据的装置包括所有形式的非易失性存储器、介质和存储装置,作为示例包括:半导体存储器装置,例如EPROM、EEPROM和闪速存储器装置;磁盘,例如内部硬盘或可移动磁盘;磁光盘;以及CD-ROM和DVD-ROM盘。处理器和存储器能够由专用逻辑电路系统补充或者并入专用逻辑电路系统中。
为了提供与用户的交互,本说明书中描述的主题的实现方式能够在具有用于将信息显示给用户的显示装置(例如,CRT(阴极射线管)或LCD(液晶显示器)监视器)以及用户通过其能够向计算机提供输入的键盘和指向装置(例如,鼠标或轨迹球)的计算机上实现。其他种类的装置也能够用于提供与用户的交互;例如,提供给用户的反馈能够是任何形式的感官反馈,例如视觉反馈、听觉反馈或触觉反馈;并且能够以任何形式(包括声音、语音或触觉输入)接收来自用户的输入。另外,计算机能够通过向用户所使用的装置发送文档以及从所述装置接收文档来与用户交互;例如,通过响应于从用户的客户端装置上的web浏览器接收到的请求而将网页发送到该web浏览器。
本说明书中描述的主题的实现方式能够实现在计算机系统中,所述计算机系统包括后端部件(例如,诸如数据服务器),或者包括中间件部件(例如,应用服务器),或者包括前端部件(例如,具有用户通过其能够与本说明书中描述的主题的实现方式交互的图形用户界面或Web浏览器的客户端计算机),或者一个或多个这样的后端部件、中间件部件或前端部件的任何组合。系统的部件能够通过数字数据通信的任何形式或介质(例如通信网络)来互连。通信网络的示例包括局域网(“LAN”)和广域网(“WAN”)、互联网络(例如,因特网)以及对等网络(例如,自组织对等网络)。
计算系统能够包括客户端和服务器。客户端和服务器通常彼此远离,并且典型地通过通信网络进行交互。客户端和服务器的关系借助于运行在相应的计算机上并且彼此具有客户端-服务器关系的计算机程序而产生。在一些实现方式中,服务器将数据(例如,HTML页面)发送到客户端装置(例如,出于向与客户端装置交互的用户显示数据以及从用户接收用户输入的目的)。在服务器处能够从客户端装置接收到在客户端装置处生成的数据(例如,用户交互的结果)。
虽然本说明书包含许多具体的实现方式细节,但是这些不应该被解释为对本公开的任何实现方式或者可以要求保护的内容的范围的限制,而是解释为特定于示例实现方式的特征的描述。在本说明书中,在分开的实现方式的背景下描述的某些特征也能够组合地以单个实现方式实现。相反,在单个实现方式的背景下描述的各种特征也能够分开地或以任何合适的子组合以多个实现方式实现。此外,尽管上面特征可能被描述为以某些组合起作用并且甚至最初照此被要求保护,但是来自所要求保护的组合的一个或多个特征在一些情况下能够从该组合中切除,并且所要求保护的组合可以涉及子组合或子组合的变型。
相似地,虽然在附图中以特定的顺序描绘了操作,但是这不应该被理解为需要以所示出的特定顺序或以连续顺序执行这样的操作、或者执行所有图示的操作来实现期望的结果。在某些情况下,多任务和并行处理可能是有利的。此外,上面描述的实现方式中的各种系统部件的分开不应该被理解为在所有实现方式中都需要这样的分开,并且应该理解,所描述的程序部件和系统通常能够一起集成在单个软件产品中或者封装到多个软件产品中。
因此,已经描述了主题的特定实现方式。其他实现在以下权利要求的范围内。在一些情况下,权利要求中列举的动作能够以不同的顺序执行并且仍然实现期望的结果。另外,附图中描绘的过程不一定需要所示出的特定顺序或连续顺序来实现期望的结果。在某些实现方式中,多任务和并行处理可能是有利的。
Claims (20)
1.一种电子安全容器(ESC),包括:
电子装置,包含:
用户定义的认证凭证集合,包括对于用户唯一的至少一个凭证,所述认证凭证集合定义用于提供对存储在所述ESC中的内容的访问的ESC的安全级别;
授权策略,其定义针对至少一个请求者的认证要求;以及
安全映射策略,其将来自所述至少一个请求者的请求者认证凭证转换为安全强度以用于与所述ESC的安全级别的安全强度进行比较。
2.根据权利要求1所述的ESC,其中,所述安全级别是第一安全级别,并且所述用户定义的认证凭证集合是第一组用户定义的认证凭证集合,并且所述ESC还包括:
第二用户定义的认证凭证集合,其包括对于用户唯一的至少一个凭证,第二认证凭证集合定义用于授予对存储在所述ESC中的内容的访问的ESC的第二安全级别。
3.根据权利要求2所述的ESC,其中,所述第二安全级别的安全强度大于所述第一安全级别的安全强度。
4.根据权利要求1所述的ESC,其中,所述电子装置是云服务器。
5.根据权利要求1所述的ESC,其中,所述电子装置是移动计算装置。
6.根据权利要求1所述的ESC,其中,所述电子装置是芯片卡上的微芯片。
7.根据权利要求1所述的ESC,其中,认证凭证集合包括两个或更多认证凭证的有序集合。
8.根据权利要求1所述的ESC,其中,针对所述至少一个请求者的认证要求包括标识所述请求者被允许访问的所述ESC的一个或多个安全级别的数据。
9.根据权利要求1所述的ESC,其中,所述安全映射策略包括最小安全强度,所述请求者的认证凭证必须满足所述最小安全强度以访问所述请求者被授权访问的一个或多个安全级别中的每个。
10.根据权利要求1所述的ESC,其中,所述授权策略包括标识被允许访问来自所述ESC的内容的请求者的访问控制列表。
11.一种由一个或多个处理器执行的计算机实现的方法,所述方法包括:
从请求者接收对访问包含在电子安全容器(ESC)中的内容的请求;
由所述一个或多个处理器获得对于所述请求者访问包含在所述ESC中的数据的用户同意;
响应于获得所述用户同意,由所述一个或多个处理器基于所述请求者的认证凭证来确定所述请求是否是可信的;
由所述一个或多个处理器确定所述请求者的认证凭证的安全强度是否满足或超过与所述ESC的安全级别相关联的安全强度,所述ESC的安全级别由用户定义的认证凭证集合定义,所述用户定义的认证凭证集合包括对于用户唯一的至少一个凭证;
响应于确定所述请求者的认证凭证的安全强度满足或超过所述ESC的安全级别的安全强度,向所述请求者提供对包含在所述ESC的安全级别中的内容的访问。
12.根据权利要求11所述的方法,其中,获得对于所述请求者访问包含在所述ESC中的数据的用户同意包括:基于所述ESC的授权策略来验证所述用户已经授权所述请求者访问包含在所述ESC中的数据。
13.根据权利要求11所述的方法,其中,获得对于所述请求者访问包含在所述ESC中的数据的用户同意包括:
向所述用户请求对于所述请求者访问来自所述ESC的内容的授权;以及
接收指示对于所述请求者访问来自所述ESC的内容的授权的用户输入。
14.根据权利要求13所述的方法,其中,所述用户输入指示所述请求者能够从其访问内容的所述ESC的一个或多个安全级别。
15.根据权利要求7所述的方法,其中,确定所述请求者的认证凭证的安全强度是否满足或超过与所述ESC的安全级别相关联的安全强度包括:
基于所述ESC的安全映射策略来确定所述请求者的认证凭证的安全强度;
确定与定义所述ESC的安全级别的用户定义的认证凭证集合相关联的安全强度;以及
将所述请求者的认证凭证的安全强度与所述用户定义的认证凭证集合的安全强度进行比较。
16.一种系统,包括:
一个或多个处理器;以及耦合到所述一个或多个处理器的数据存储库,所述数据存储库具有在其上存储的指令,所述指令在由所述一个或多个处理器执行时使所述一个或多个处理器执行包括以下各项的操作:
从请求者接收对访问包含在电子安全容器(ESC)中的内容的请求;
获得对于所述请求者访问包含在所述ESC中的数据的用户同意;
响应于获得所述用户同意,基于所述请求者的认证凭证来确定所述请求是否是可信的;
确定所述请求者的认证凭证的安全强度是否满足或超过与所述ESC的安全级别相关联的安全强度,所述ESC的安全级别由用户定义的认证凭证集合定义,所述用户定义的认证凭证集合包括对于用户唯一的至少一个凭证;
响应于确定所述请求者的认证凭证的安全强度满足或超过所述ESC的安全级别的安全强度,向所述请求者提供对包含在所述ESC的安全级别中的内容的访问。
17.根据权利要求16所述的系统,其中,获得对于所述请求者访问包含在所述ESC中的数据的用户同意包括:基于所述ESC的授权策略来验证所述用户已经授权所述请求者访问包含在所述ESC中的数据。
18.根据权利要求16所述的系统,其中,获得对于所述请求者访问包含在所述ESC中的数据的用户同意包括:
向所述用户请求对于所述请求者访问来自所述ESC的内容的授权;以及
接收指示对于所述请求者访问来自所述ESC的内容的授权的用户输入。
19.根据权利要求18所述的系统,其中,所述用户输入指示所述请求者能够从其访问内容的所述ESC的一个或多个安全级别。
20.根据权利要求16所述的系统,其中,确定所述请求者的认证凭证的安全强度是否满足或超过与所述ESC的安全级别相关联的安全强度包括:
基于所述ESC的安全映射策略来确定所述请求者的认证凭证的安全强度;
确定与定义所述ESC的安全级别的用户定义的认证凭证集合相关联的安全强度;以及
将所述请求者的认证凭证的安全强度与所述用户定义的认证凭证集合的安全强度进行比较。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201562186726P | 2015-06-30 | 2015-06-30 | |
| US62/186726 | 2015-06-30 | ||
| PCT/US2016/040298 WO2017004326A1 (en) | 2015-06-30 | 2016-06-30 | Electronic security container |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108351924A true CN108351924A (zh) | 2018-07-31 |
Family
ID=57609133
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680050188.8A Pending CN108351924A (zh) | 2015-06-30 | 2016-06-30 | 电子安全容器 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20170006066A1 (zh) |
| EP (1) | EP3317801A4 (zh) |
| JP (1) | JP2018524727A (zh) |
| CN (1) | CN108351924A (zh) |
| CA (1) | CA2991154A1 (zh) |
| WO (1) | WO2017004326A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114422246A (zh) * | 2022-01-20 | 2022-04-29 | 国家药品监督管理局信息中心(中国食品药品监管数据中心) | 数据读取方法、系统及电子设备 |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11068567B2 (en) | 2017-06-04 | 2021-07-20 | Harsha Ramalingam | Self-owned authentication and identity framework |
| US11165786B2 (en) * | 2018-12-18 | 2021-11-02 | International Business Machines Corporation | Remote assistance controller that provides control over what a remote assistor can access |
| US11153315B2 (en) * | 2019-05-30 | 2021-10-19 | Bank Of America Corporation | Controlling access to secure information resources using rotational datasets and dynamically configurable data containers |
| US11165777B2 (en) | 2019-05-30 | 2021-11-02 | Bank Of America Corporation | Controlling access to secure information resources using rotational datasets and dynamically configurable data containers |
| US11138328B2 (en) | 2019-05-30 | 2021-10-05 | Bank Of America Corporation | Controlling access to secure information resources using rotational datasets and dynamically configurable data containers |
| US11281794B2 (en) * | 2019-09-26 | 2022-03-22 | Microsoft Technology Licensing, Llc | Fine grained access control on procedural language for databases based on accessed resources |
| LU101757B1 (en) * | 2020-04-28 | 2021-10-28 | Microsoft Technology Licensing Llc | Encrypted verifiable credentials |
| JP7441157B2 (ja) | 2020-11-06 | 2024-02-29 | 株式会社東芝 | データ管理方法、コンピュータプログラム及びデータ管理システム |
| US20220198861A1 (en) * | 2020-12-18 | 2022-06-23 | Sensormatic Electronics, LLC | Access control system screen capture facial detection and recognition |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070186106A1 (en) * | 2006-01-26 | 2007-08-09 | Ting David M | Systems and methods for multi-factor authentication |
| US20130174241A1 (en) * | 2011-06-28 | 2013-07-04 | Interdigital Patent Holdings, Inc. | Automated negotiation and selection of authentication protocols |
| US20140366128A1 (en) * | 2013-05-30 | 2014-12-11 | Vinky P. Venkateswaran | Adaptive authentication systems and methods |
| US20150058931A1 (en) * | 2013-08-23 | 2015-02-26 | Morphotrust Usa, Llc | System and Method for Identity Management |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6263446B1 (en) * | 1997-12-23 | 2001-07-17 | Arcot Systems, Inc. | Method and apparatus for secure distribution of authentication credentials to roaming users |
| JP2003263623A (ja) * | 2002-03-11 | 2003-09-19 | Seiko Epson Corp | 記録媒体、記録媒体の読取書込装置、及び記録媒体の使用方法 |
| JP2004192353A (ja) * | 2002-12-11 | 2004-07-08 | Nippon Telegr & Teleph Corp <Ntt> | 個人情報開示制御システム及び個人情報開示制御方法 |
| US7594112B2 (en) * | 2003-10-10 | 2009-09-22 | Bea Systems, Inc. | Delegated administration for a distributed security system |
| US7966489B2 (en) * | 2006-08-01 | 2011-06-21 | Cisco Technology, Inc. | Method and apparatus for selecting an appropriate authentication method on a client |
| JPWO2009101755A1 (ja) * | 2008-02-13 | 2011-06-09 | 日本電気株式会社 | 個人情報流通制御システムおよび個人情報流通制御方法 |
| US9026918B2 (en) * | 2008-10-16 | 2015-05-05 | Accenture Global Services Limited | Enabling a user device to access enterprise data |
| US10165007B2 (en) * | 2011-09-15 | 2018-12-25 | Microsoft Technology Licensing, Llc | Securing data usage in computing devices |
| US8886925B2 (en) * | 2011-10-11 | 2014-11-11 | Citrix Systems, Inc. | Protecting enterprise data through policy-based encryption of message attachments |
| US8745718B1 (en) * | 2012-08-20 | 2014-06-03 | Jericho Systems Corporation | Delivery of authentication information to a RESTful service using token validation scheme |
| JP2014134986A (ja) * | 2013-01-11 | 2014-07-24 | Hitachi Ltd | 生体認証方法 |
| US9424421B2 (en) * | 2013-05-03 | 2016-08-23 | Visa International Service Association | Security engine for a secure operating environment |
-
2016
- 2016-06-30 CA CA2991154A patent/CA2991154A1/en not_active Abandoned
- 2016-06-30 WO PCT/US2016/040298 patent/WO2017004326A1/en active Application Filing
- 2016-06-30 CN CN201680050188.8A patent/CN108351924A/zh active Pending
- 2016-06-30 EP EP16818758.1A patent/EP3317801A4/en not_active Withdrawn
- 2016-06-30 US US15/197,933 patent/US20170006066A1/en not_active Abandoned
- 2016-06-30 JP JP2017568069A patent/JP2018524727A/ja active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070186106A1 (en) * | 2006-01-26 | 2007-08-09 | Ting David M | Systems and methods for multi-factor authentication |
| US20130174241A1 (en) * | 2011-06-28 | 2013-07-04 | Interdigital Patent Holdings, Inc. | Automated negotiation and selection of authentication protocols |
| US20140366128A1 (en) * | 2013-05-30 | 2014-12-11 | Vinky P. Venkateswaran | Adaptive authentication systems and methods |
| US20150058931A1 (en) * | 2013-08-23 | 2015-02-26 | Morphotrust Usa, Llc | System and Method for Identity Management |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114422246A (zh) * | 2022-01-20 | 2022-04-29 | 国家药品监督管理局信息中心(中国食品药品监管数据中心) | 数据读取方法、系统及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3317801A1 (en) | 2018-05-09 |
| EP3317801A4 (en) | 2018-07-18 |
| WO2017004326A1 (en) | 2017-01-05 |
| US20170006066A1 (en) | 2017-01-05 |
| CA2991154A1 (en) | 2017-01-05 |
| JP2018524727A (ja) | 2018-08-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108351924A (zh) | 电子安全容器 | |
| US10692086B2 (en) | Distributed ledger based identity and origins of supply chain application enabling financial inclusion and sustainability | |
| US10891616B2 (en) | System and method for effort-based user authentication | |
| US11588804B2 (en) | Providing verified claims of user identity | |
| CN108351927A (zh) | 用于访问管理的无密码认证 | |
| US12105841B2 (en) | Controlling access to a secure computing resource | |
| JP2018537022A (ja) | デジタルアイデンティティを管理するためのシステム及び方法 | |
| US20140089189A1 (en) | System, method, and apparatus to evaluate transaction security risk | |
| EP3681126B1 (en) | Systems and methods for securely verifying a subset of personally identifiable information | |
| US11956364B2 (en) | Information processing device and information processing method | |
| Bergquist | Blockchain technology and smart contracts: privacy-preserving tools | |
| CN110383240A (zh) | 用于容器化的安全计算资源的方法和装置 | |
| KR101767535B1 (ko) | 근거리 무선 통신 기반의 카드를 통하여 본인 인증 서비스를 제공하는 방법 및 이를 이용한 카드, 인증용 단말, 인증 지원 서버 및 본인 인증 서버 | |
| US9239936B2 (en) | System, method, and apparatus to mitigaterisk of compromised privacy | |
| US11423403B2 (en) | Systems, methods, and computer program products for authorizing a transaction | |
| KR20220120593A (ko) | 디지털 증명을 위한 방법 및 시스템 | |
| CN110352411A (zh) | 用于控制对安全计算资源的访问的方法和装置 | |
| US20240144275A1 (en) | Real-time fraud detection using machine learning | |
| EP3132366B1 (en) | Controlling actions performed on de-identified patient data of a cloud based clinical decision support system (cdss) | |
| US11860992B1 (en) | Authentication and authorization for access to soft and hard assets | |
| KR102601098B1 (ko) | 바우처 승인 정보를 제공하는 방법 및 디바이스 | |
| Pannifer | Alternative authentication–what does it really provide? |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20180731 |
|
| WD01 | Invention patent application deemed withdrawn after publication |