CN108989278A - 认证服务系统及方法 - Google Patents

认证服务系统及方法 Download PDF

Info

Publication number
CN108989278A
CN108989278A CN201810537759.1A CN201810537759A CN108989278A CN 108989278 A CN108989278 A CN 108989278A CN 201810537759 A CN201810537759 A CN 201810537759A CN 108989278 A CN108989278 A CN 108989278A
Authority
CN
China
Prior art keywords
authentication
factor
access token
terminal device
authentication procedure
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201810537759.1A
Other languages
English (en)
Inventor
曹宰赫
梁熙星
申铉培
朴贤哲
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Samsung SDS Co Ltd
Original Assignee
Samsung SDS Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Samsung SDS Co Ltd filed Critical Samsung SDS Co Ltd
Publication of CN108989278A publication Critical patent/CN108989278A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开一种认证服务系统及方法。本发明的方法包括如下步骤:从客户端装置接收针对第一认证因素的识别信息及基于第一认证因素生成的第一认证信息,并基于该识别信息向多个认证服务器中的一个传递第一认证信息,进而中继第一认证程序;在第一认证程序成功的情况下,生成第一访问令牌,并向客户端装置传送第一访问令牌;从客户端装置接收第一访问令牌,验证第一访问令牌的有效性;有效的情况下,从客户端装置接收针对第二认证因素的识别信息及第二认证信息,并基于该识别信息向多个认证服务器中的一个传递第二认证信息,进而中继第二认证程序;以及在第二认证程序成功的情况下,生成第二访问令牌,并向客户端装置传递第二访问令牌。

Description

认证服务系统及方法
技术领域
本发明涉及一种利用多个认证因素的用户认证技术。
背景技术
由于逐渐更加巧妙的黑客入侵技术,最近的互联网环境难以通过单一因素认证技术有效地应对各种各样智能的黑客入侵的威胁。通常,使用密码、短信服务(SMS)认证、一次性密码、数字证书等多种认证技术以进行用户认证。但是,攻击者正试图通过多种方法进行认证信息的入侵以获取金钱收益,因此,在仅应用单一因素认证技术的情况下,可能会造成相关信息泄漏的巨大危险。
最近,作为用于完善单一因素认证技术的方法,结合了两种以上的单一因素认证技术的多因素认证(multi-factor authentication)技术、基于风险的认证(risk basedauthentication)正受到瞩目。
【现有技术文献】
【专利文献】
韩国授权专利公报第10-1635278号(2016.07.01公布)
发明内容
本发明的实施例的目的在于提供一种认证服务系统及方法。
根据本发明的一实施例的认证服务方法,包括如下步骤:(a)从客户端装置接收针对第一认证因素的识别信息及基于所述第一认证因素生成的第一认证信息,并基于针对所述第一认证因素的识别信息向多个认证服务器中的一个传递所述第一认证信息,进而中继所述客户端装置的针对用户的第一认证程序;(b)在所述第一认证程序成功的情况下,生成包含针对所述第一认证因素的识别信息的第一访问令牌(access token),并向所述客户端装置传送所述第一访问令牌;(c)从所述客户端装置接收第一访问令牌,进而验证接收的所述第一访问令牌的有效性;(d)在接收的所述第一访问令牌有效的情况下,从所述客户端装置接收针对第二认证因素的识别信息及基于所述第二认证因素生成的第二认证信息,并基于针对所述第二认证因素的识别信息向所述多个认证服务器中的一个传递所述第二认证信息,进而中继针对所述用户的第二认证程序;以及(e)在所述第二认证程序成功的情况下,生成包含分别针对所述第一认证因素及所述第二认证因素的识别信息的第二访问令牌,并向所述客户端装置传递所述第二访问令牌。
所述第一认证因素及所述第二认证因素可以分别是基于知识的认证因素、基于持有的认证因素及基于特征的认证因素中的一种。
所述多个认证服务器包括基于线上快速身份(FIDO:Fast Identity Online)认证技术的认证服务器、基于一次性密码(OTP)的认证服务器、基于短信服务(SMS:ShortMessage Service)的认证服务器、基于电子邮件(e-mail)的认证服务器、基于证书的认证服务器中的至少一种。
所述认证服务方法还可以包括如下步骤:(f)在所述第一认证程序成功的情况下,基于与所述第一认证程序相关的风险因素(risk factor)计算针对所述第一认证程序的风险评分;以及(g)基于所述风险评分判断是否执行所述第二认证程序,其中,在所述(b)步骤中,在需要执行所述第二认证程序的情况下,向所述客户端装置传递所述第一访问令牌及执行所述第二认证程序的请求,所述(c)步骤至所述(e)步骤在所述(b)步骤中传递了执行所述第二认证程序的请求的情况下执行。
所述认证服务方法还可以包括如下步骤:(h)在所述第二认证程序成功的情况下,基于与所述第一认证程序及所述第二认证程序相关的风险因素计算风险评分。
所述认证服务方法还可以包括如下步骤:(i)基于所述风险评分判断是否执行第三认证程序,其中,在所述(e)步骤中,在需要执行所述第三认证程序的情况下,向所述客户端装置传递所述第二访问令牌及执行所述第三认证程序的请求。
所述认证服务方法还可以包括如下步骤:(j)从所述客户端装置接收第二访问令牌,进而验证接收的所述第二访问令牌的有效性;(k)在接收的所述第二访问令牌有效的情况下,从所述客户端装置接收针对第三认证因素的识别信息及基于所述第三认证因素生成的第三认证信息,并基于针对所述第三认证因素的识别信息向所述多个认证服务器中的一个传递所述第三认证信息,进而中继针对所述用户的第三认证程序;以及(l)在所述第三认证程序成功的情况下,生成包含分别针对所述第一认证因素、所述第二认证因素、所述第三认证因素的识别信息的第三访问令牌,并向所述客户端装置传递所述第三访问令牌。
所述第一认证因素、所述第二认证因素及所述第三认证因素可以分别是基于知识的认证因素、基于持有的认证因素及基于特征的认证因素中的一种。
所述认证服务方法还可以包括如下步骤:(m)在所述第三认证程序成功的情况下,基于与所述第一认证程序、所述第二认证程序及所述第三认证程序相关的风险因素计算风险评分。
根据本发明的一实施例的认证服务系统可以包括:一个以上的处理器;存储器;以及一个以上的程序,构成为用于通过所述一个以上的处理器运行且存储于所述存储器中,其中,所述程序包括用于执行以下步骤的指令:(a)从客户端装置接收针对第一认证因素的识别信息及基于所述第一认证因素生成的第一认证信息,并基于针对所述第一认证因素的识别信息向多个认证服务器中的一个传递所述第一认证信息,进而中继所述客户端装置的针对用户的第一认证程序;(b)在所述第一认证程序成功的情况下,生成包含针对所述第一认证因素的识别信息的第一访问令牌(access token),并向所述客户端装置传送所述第一访问令牌;(c)从所述客户端装置接收第一访问令牌,进而验证接收的所述第一访问令牌的有效性;(d)在接收的所述第一访问令牌有效的情况下,从所述客户端装置接收针对第二认证因素的识别信息及基于所述第二认证因素生成的第二认证信息,并基于针对所述第二认证因素的识别信息向所述多个认证服务器中的一个传递所述第二认证信息,进而中继针对所述用户的第二认证程序;以及(e)在所述第二认证程序成功的情况下,生成包含分别针对所述第一认证因素及所述第二认证因素的识别信息的第二访问令牌,并向所述客户端装置传递所述第二访问令牌。
所述第一认证因素及所述第二认证因素分别是基于知识的认证因素、基于持有的认证因素及基于特征的认证因素中的一种。
所述多个认证服务器包括基于线上快速身份(FIDO:Fast Identity Online)认证技术的认证服务器、基于一次性密码(OTP)的认证服务器、基于短信服务(SMS:ShortMessage Service)的认证服务器、基于电子邮件(e-mail)的认证服务器、基于证书的认证服务器中的至少一种。
所述程序还可以包括用于执行如下步骤的指令:(f)在所述第一认证程序成功的情况下,基于与所述第一认证程序相关的风险因素计算针对所述第一认证程序的风险评分;以及(g)基于所述风险评分判断是否执行所述第二认证程序,其中,在所述(b)步骤中,在需要执行所述第二认证程序的情况下,向所述客户端装置传递所述第一访问令牌及执行所述第二认证程序的请求,所述(c)步骤至所述(e)步骤在所述(b)步骤中传递了执行所述第二认证程序的请求的情况下执行。
程序还可以包括用于执行如下步骤的指令:(h)在所述第二认证程序成功的情况下,基于与所述第一认证程序及所述第二认证程序相关的风险因素计算风险评分。
所述程序还可以包括用于执行如下步骤的指令:(i)基于所述风险评分判断是否执行第三认证程序,其中,在所述(e)步骤中,在需要执行所述第三认证程序的情况下,向所述客户端装置传递所述第二访问令牌及执行所述第三认证程序的请求。
所述程序还可以包括用于执行如下步骤的指令:(j)从所述客户端装置接收第二访问令牌,进而验证接收的所述第二访问令牌的有效性;(k)在接收的所述第二访问令牌有效的情况下,从所述客户端装置接收针对第三认证因素的识别信息及基于所述第三认证因素生成的第三认证信息,并基于针对所述第三认证因素的识别信息向所述多个认证服务器中的一个传递所述第三认证信息,进而中继针对所述用户的第三认证程序;以及(l)在所述第三认证程序成功的情况下,生成包含分别针对所述第一认证因素、所述第二认证因素、所述第三认证因素的识别信息的第三访问令牌,并向所述客户端装置传递所述第三访问令牌。
所述第一认证因素、所述第二认证因素及所述第三认证因素可以分别是基于知识的认证因素、基于持有的认证因素及基于特征的认证因素中的一种。
所述程序还可以包括用于执行如下步骤的指令:(m)在所述第三认证程序成功的情况下,基于与所述第一认证程序、所述第二认证程序及所述第三认证程序相关的风险因素计算风险评分。
根据本发明的实施例,使用的认证因素与认证方式不同的认证过程通过一个系统集成中继,从而能够提高用于多种因素认证的系统的灵活性。
并且,根据本发明的实施例,在执行利用不同认证因素的多个认证过程时,基于在之前步骤的认证程序中使用的认证因素发行访问令牌,并根据在之前认证程序中发行的访问令牌的有效性执行后续认证程序,从而能够防止由第三者进行的重放攻击(replayattack),并且通过风险分析执行强化的认证,从而能够提高认证程序的安全性及保密性。
并且,根据本发明的实施例,能够考虑用户的风险履历而计算风险评分,并且能够实现考虑个别用户的特性与认证环境的适宜的风险分析。
并且,根据本发明的实施例,在为了利用服务而需要持续认证的情况下,通过考虑用户的风险履历而灵活地调整再认证间隔,从而能够提高用户的便利性。
附图说明
图1是根据本发明的一实施例的认证系统的构成图。
图2是根据本发明的一实施例的客户端装置的构成图。
图3是示出在根据本发明的一实施例的认证系统执行的用户认证过程的一示例的流程图。
图4是示出在根据本发明的一实施例的认证系统执行的用户认证过程的另一示例的流程图。
图5是根据本发明的一实施例的风险分析装置的构成图。
图6是示出风险评分履历的示例图。
图7是示出综合风险评分的一示例的图。
图8是根据本发明的一实施例的风险分析方法的流程图。
图9是示出根据本发明的一实施例的用于持续认证的再认证时间点决定过程的流程图。
图10是用于举例说明包括在示例性实施例中适合使用的计算装置的计算环境的框图。
符号说明
10:计算环境 12:计算装置
14:处理器 16:计算机可读存储介质
18:通信总线 20:程序
22:输入输出接口 24:输入输出装置
26:网络通信接口 100:认证系统
110:客户端装置 111:服务代理
112:认证客户端 113:认证装置
120:认证服务系统 130:认证服务器
130-1:FIDO认证服务器 130-2:OTP认证服务器
130-3:密码认证服务器 200:服务提供商
500:风险分析装置 510:风险因素收集部
520:风险分析部 530:附加认证请求部
540:认证间隔决定部
具体实施方式
以下,参照附图对本发明的具体实施形态进行说明。以下的详细说明是为了有助于全面理解本说明书中记载的方法、装置和/或系统而提供的。然而这些仅为示例,本发明并不限于此。
在对本发明的实施例进行说明的过程中,如果判断为对有关本发明的公知技术的具体说明有可能对本发明的主旨造成不必要的混乱,则省略其详细说明。另外,后述的术语均为考虑到本发明中的功能而定义的术语,其可能根据使用者、运用者的意图或惯例等而不同。因此,需要以贯穿本说明书整体的内容为基础而对其下定义。在详细说明中使用的术语只用于记载本发明的实施例,而绝不用于限定本发明。除非明确不同地使用,否则单数形态的表述包括复数形态的含义。在本说明书中,如“包括”或“具有”等术语用于指代某种特性、数字、步骤、操作、要素及其一部分或组合,不可被解释为排除所记载项之外的一个或一个以上的其他特性、数字、步骤、操作、要素及其一部分或组合的存在或可存在性。
图1是根据本发明的一实施例的认证系统的构成图。
参照图1,根据本发明的一实施例的认证系统100是用于执行用于利用例如支付服务、银行服务、证券交易服务等由服务提供商200在线上提供的应用服务的用户认证的系统,包括客户端装置110、认证服务系统120、多个认证服务器130。
具体而言,根据本发明的一实施例,认证系统100可以执行一个以上的认证程序而执行用户认证。此时,各认证程序可以利用不同的认证因素来执行,并且认证方式可以根据在各认证程序中所利用的认证因素而不同。
具体而言,在用于用户认证的各认证程序中能够使用的认证因素可以包括例如,基于知识的认证因素(例如,ID/密码、个人识别码(PIN:Personal IdentificationNumber)等)、基于持有的认证因素(例如,一次性密码(OTP:One-Time Password)、智能卡、安全令牌等)、基于特征的认证因素(例如,指纹、虹膜、语音等)等。
并且,各认证程序可以通过例如,基于线上快速身份(FIDO:Fast IDentityOnline)认证技术(例如,通用认证框架(UAF:Universal Authentication Framework)协议)的认证方式、基于短信服务(SMS)的认证方式、基于电子邮件(e-mail)的认证方式、基于证书的认证方式、基于OTP的认证方式、基于ID/密码的认证方式等多种认证方式执行。
客户端装置110是用户持有的用于利用由服务提供商200提供的应用服务的装置,例如可以包括诸如台式电脑、笔记本、平板电脑、智能手机、个人数字助理(PDA)、智能手表等配备有信息处理功能、显示功能、数据存储功能、有线/无线网络功能及输入/输出接口装置(例如,显示器、触摸屏、键盘、鼠标、小键盘、照相机、麦克风、扬声器等)的多种形态的装置。
客户端装置110可以为了用户认证而基于由用户选择的认证因素来生成或接收认证信息,并通过认证服务系统120将生成或接收的认证信息发送至多个认证服务器130中的一个,从而执行认证程序。此时,为了用户认证而可以执行基于不同认证因素的一个以上的认证程序,并且在各认证程序中传送的认证信息可以根据由用户选择的认证因素及认证方式而不同。
具体而言,图2是根据本发明的一实施例的客户端装置110的构成图。
参照图2,客户端装置110可以包括服务代理111、认证客户端112及一个以上的认证装置113。
服务代理111是用于提供服务提供商200的服务的媒介。例如,服务代理111可以是在客户端装置110中操作的网页浏览器或者由服务提供商200提供的专用应用程序。
服务代理111在有由用户发起的认证请求的情况下,可以提供用于接收诸如用户的识别信息的输入、认证因素的输入、认证信息(例如,OTP、密码等)的输入等为执行认证程序所需的信息的用户接口,并且可以向认证客户端112请求基于由用户选择的认证因素的用户认证。
认证客户端112在有来自服务代理111的用户认证请求时,与多个认证服务器130中的一个执行基于由用户选择的认证因素的认证程序,此时,认证程序通过认证服务系统120中继。
例如,认证客户端112在通过认证服务系统120从多个认证服务器130中的一个接收到请求基于由用户选择的认证因素的为了用户认证而使用的认证信息的认证信息请求的情况下,可以向多个认证装置113中的能够生成与所选择的认证因素相对应的认证信息的认证装置请求生成认证信息。并且,认证客户端112可以将由认证装置生成的认证信息通过认证服务系统120向传送了认证信息请求的认证服务器传送。
多个认证装置113是用于根据各个认证客户端的请求生成认证信息的装置。例如,多个认证装置113可以包括生物认证装置、生成为了执行基于OTP的认证而使用的OTP的OTP生成装置等,所述生物认证装置识别用户的生物信息(Biometrics),并将识别的生物信息与由用户已注册的生物信息进行比较,从而对用户进行认证后,根据认证结果生成认证信息。
另外,多个认证服务器130分别是用于利用通过认证服务系统120从客户端装置110接收的认证信息执行用户认证的构成,例如可以包括根据基于FIDO认证技术的认证程序执行用户认证的FIDO认证服务器130-1、根据基于OTP的认证程序执行用户认证的OTP认证服务器130-2、根据基于ID/密码的认证程序执行用户认证的密码认证服务器130-3等。然而,认证服务器130并不一定限定于图示的示例,可以包括能够执行诸如基于SMS的的认证程序、基于e-mail的认证程序、基于证书的认证程序等多种认证程序的多种种类的认证服务器。
认证服务系统120中继在客户端装置110与多个认证服务器130中的一个以上的认证服务器之间执行的一个以上的认证程序以进行用户认证。
具体而言,认证服务系统120在用于用户认证的各认证程序中从客户端装置110接收针对由用户选择的认证因素的认证因素识别信息以及基于相关认证因素而生成的认证信息。此时,认证因素识别信息例如可以是所选择的认证因素的名称,或者可以是除了认证因素的名称以外的能够在认证服务系统120识别认证因素的多种形态的信息。
另外,认证服务系统120可以基于从客户端装置110接收的认证因素识别信息,识别由用户选择的认证因素,并向多个认证服务器130中能够执行基于所识别的认证因素进行用户认证的认证服务器传递认证信息。之后,认证服务系统120可以从接收认证信息的认证服务器接收认证结果进而向客户端装置110传递。
另外,根据在各认证程序中所利用的认证方式,通过认证服务系统120中继的信息除了认证信息以及认证结果之外还可以包括附加信息。例如,对于根据以生物信息为认证因素的UAF协议在客户端装置110与FIDO认证服务器130-1之间执行的认证程序而言,认证服务系统120可以从客户端装置110接收包括认证因素识别信息的认证开始请求,进而向FIDO认证服务器130-1传递,并从FIDO认证服务器130-1接收包括质询值(challengevalue)的认证信息请求,进而向客户端装置110传递。
另外,根据本发明的一实施例,认证服务系统120在用于用户认证的各认证程序中认证成功的情况下,可以生成包括针对在截止到当前执行的认证程序中所利用的认证因素各自的识别信息的访问令牌(access token),进而向客户端装置110传送。
例如,若假设为了用户认证而进行基于两种认证因素的两次认证程序,则认证服务系统120可以在用于用户认证的第一次认证程序成功的情况下,生成包括针对在相关认证程序中所利用的认证因素的识别信息的访问令牌,进而向客户端装置110发送。
之后,认证服务系统120可以从客户端装置110接收访问令牌并验证有效性,在有效的情况下,中继第二次认证程序。此时,在第二次认证程序成功的情况下,认证服务系统120生成包括针对在第一次认证程序中所利用的认证因素及在第二次认证程序中所利用的认证因素各自的识别信息的访问令牌,进而向客户端装置110传送。
另外,访问令牌例如可以基于JS对象标记(JSON:JavaScript Object Notation)格式生成,并且除了针对上述的认证因素的识别信息之外还可以包括用于验证访问令牌的签名值、令牌有效期等多种信息。再进一步具体而言,认证服务系统120例如可以根据利用JASON Web令牌(JWT:JASON Web Token)形态的访问令牌的OAuth 2.0认证方式来执行访问令牌的生成及有效性的验证。
另外,根据本发明的一实施例,认证服务系统120在用于用户认证的认证程序全部成功的情况下,基于与各认证程序相关的风险因素(risk factor)计算风险评分(riskscore),并基于计算的风险评分判断是否执行基于附加认证因素的附加认证程序。
例如,若假设为了用户认证而执行利用一个认证因素的一次的认证程序,则认证服务系统120可以在认证程序成功的情况下,基于与相关认证程序相关的风险因素(riskfactor)计算风险评分。之后,认证服务系统120可以在计算的风险评分超过预设的临界值的情况下,向客户端装置110请求针对用户的附加认证。
作为另一例,若假设为了用户认证而执行利用两个认证因素的两次的认证程序,则认证服务系统120可以在各个认证程序全部成功的情况下,基于与各个认证程序相关的风险因素(risk factor)计算风险评分。之后,认证服务系统120可以在计算的风险评分超过预设的临界值的情况下,向客户端装置110请求针对用户的附加认证。
另外,在向客户端装置110传递附加认证程序执行请求的情况下,认证服务系统120可以从客户端装置110接收访问令牌并验证有效性,在有效的情况下,中继附加认证程序。
图3是示出在根据本发明的一实施例的认证系统100执行的用户认证过程的一示例的流程图。
具体而言,在图3所示的示例中,假设为了用户认证执行利用用户的指纹的认证程序之后,执行基于时间同步OTP认证方式的附加认证程序。
参照图3,客户端装置110向认证服务系统120传送包括表示由用户选择的认证因素为用户的指纹的认证因素识别信息的认证开始请求(301)。
之后,认证服务系统120基于接收的认证开始请求中所包含的认证因素识别信息向FIDO认证服务器130-1传递认证开始请求(302)。
之后,FIDO认证服务器130-1响应于认证开始请求而向认证服务系统120发送认证信息请求(303)。此时,认证信息请求例如可以包括FIDO认证服务器130-1的策略信息及质询值。
之后,认证服务系统120将接收的认证信息请求传递至客户端装置110(304)。
之后,客户端装置110认证用户的指纹,并在认证成功的情况下,利用用户的私钥生成针对质询值的签名值(305)。
之后,客户端装置110向认证服务系统120传送将生成的签名值作为认证信息包含的认证请求(306)。
之后,认证服务系统120将接收的认证请求传递至FIDO认证服务器130-1(307)。
之后,FIDO认证服务器130-1通过利用预先注册的用户的公钥验证签名值来认证用户,并将认证结果传送至认证服务系统120(308)。
之后,认证服务系统120在认证成功的情况下,生成访问令牌,并计算风险评分(309)。此时,访问令牌可以包括表示指纹已被用作认证信息的认证因素识别信息。
另外,在计算的风险评分超过临界值的情况下,认证服务系统120将附加认证请求与生成的访问令牌一同传送至客户端装置110(310)。
之后,客户端装置110例如利用视觉信息生成OTP(311),并向认证服务系统120传送将生成的OTP作为认证信息包含的认证请求及访问令牌(312)。此时,认证请求可以包含能够识别已选择OTP作为认证因素的认证因素识别信息。
之后,认证服务系统120验证所接收的访问令牌的有效性(313),在有效的情况下,向OTP认证服务器130-2发送包含从客户端装置110接收的认证信息的认证请求(314)。
之后,OTP认证服务器130-2通过验证所接收的认证信息来认证用户,并将认证结果传送至认证服务系统120(315)。
之后,认证服务系统120在认证成功的情况下,生成访问令牌,并计算风险评分(316)。此时,访问令牌可以包括表示指纹及OPT已被用作认证信息的认证因素识别信息。
之后,认证服务系统120将生成的访问令牌传送至客户端装置110。
图4是示出在根据本发明的一实施例的认证系统100执行的用户认证过程的另一示例的流程图。
具体而言,在图4所示的示例中,假设为了用户认证而依次执行利用用户的指纹的认证程序及基于质询-响应(challenge-response)OTP认证方式的认证程序之后,执行利用PIN的附加认证程序。
参照图4,客户端装置110向认证服务系统120发送包括表示由用户选择的认证因素为用户的指纹的认证因素识别信息的认证开始请求(401)。
之后,认证服务系统120基于接收的认证开始请求中所包含的认证因素识别信息向FIDO认证服务器130-1传递认证开始请求(402)。
之后,FIDO认证服务器130-1响应于认证开始请求而向认证服务系统传送认证信息请求(403)。此时,认证信息请求例如可以包括FIDO认证服务器130-1的策略信息及质询值。
之后,认证服务系统120将接收的认证信息请求传递至客户端装置110(404)。
之后,客户端装置110认证用户的指纹,并在认证成功的情况下,利用用户的私钥生成针对质询值的签名值(405)。
之后,客户端装置110向认证服务系统120传送将生成的签名值作为认证信息包含的认证请求(406)。
之后,认证服务系统120将接收的认证请求传递至FIDO认证服务器130-1(407)。
之后,FIDO认证服务器130-1通过利用预先注册的用户的公钥验证签名值来认证用户,并将认证结果传送至认证服务系统120(408)。
之后,认证服务系统120在认证成功的情况下,生成访问令牌(409),并将生成的访问令牌传送至客户端装置110(410)。此时,访问令牌可以包括表示指纹已被用作认证信息的认证因素识别信息。
之后,客户端装置110将包含表示由用户选择的认证因素为OTP的认证因素识别信息的认证开始请求与在步骤410中接收的访问令牌一同传送至认证服务系统120(411)。
之后,认证服务系统120验证访问令牌的有效性(412),在有效的情况下,基于认证开始请求中所包含的认证因素识别信息向OTP认证服务器130-2传递认证开始请求(413)。
之后,OTP认证服务器130-2响应于认证开始请求将认证信息请求传送至认证服务系统120(414)。此时,认证信息请求例如可以包括任意的随机数值。
之后,认证服务系统120将接收的认证信息请求发送至客户端装置110(415)。
之后,客户端装置110向用户提供接收到的随机数值,从用户接收OTP(416)。此时,OTP例如可以是将随机数值输入至用户另外持有的OTP生成器而获得的值。
之后,客户端装置110在对输入的OTP进行加密后,向认证服务系统120传送将加密后的值作为认证信息包含的认证请求(417)。
之后,认证服务系统120将接收到的认证请求发送至OTP认证服务器130-2(418)。
之后,OTP认证服务器130-2利用接收到的认证信息对用户进行认证,并将认证结果发送至认证服务系统120(419)。
之后,认证服务系统120在认证成功的情况下,生成访问令牌,并计算风险评分(420)。此时,访问令牌可以包括表示指纹及OPT已被用作认证信息的认证因素识别信息。
另外,在计算的风险评分超过临界值的情况下,认证服务系统120将附加认证请求与生成的访问令牌一同发送至客户端装置110(421)。
之后,客户端装置110将包含表示由用户选择的附加认证因素为PIN的认证因素识别信息的认证开始请求与在步骤421中接收的访问令牌一同传送至认证服务系统120(422)。
之后,认证服务系统120验证访问令牌的有效性(423),在有效的情况下,基于接收的认证开始请求中所包含的认证因素识别信息向FIDO认证服务器130-1发送认证开始请求(424)。
之后,FIDO认证服务器130-1响应于认证开始请求将认证信息请求发送至认证服务系统(425)。此时,认证信息请求可以包括例如FIDO认证服务器130-1的策略信息及质询值。
之后,认证服务系统120将接收的认证信息请求传递至客户端装置110(426)。
之后,客户端装置110从用户接收PIN值对用户进行验证,并在认证成功的情况下,利用用户的私钥生成针对质询值的签名值(427)。
之后,客户端装置110向认证服务系统120传送将生成的签名值作为认证信息包含的认证请求(428)。
之后,认证服务系统120将接收的认证请求传递至FIDO认证服务器130-1(429)。
之后,FIDO认证服务器130-1通过利用预先注册的用户的公钥验证签名值来认证用户,并将认证结果传送至认证服务系统120(430)。
之后,认证服务系统120在认证成功的情况下,生成访问令牌,并计算风险评分(431)。此时,访问令牌可以包括表示指纹、OTP及PIN已被用作认证信息的认证因素识别信息。
之后,认证服务系统120将生成的访问令牌发送至客户端装置110(432)。
另外,图3所示的示例,在用于用户认证的各认证程序中使用指纹及OTP作为认证因素,图4所示的示例,在用于用户认证的各认证程序中使用指纹、OTP及PIN作为认证因素,然而,在各认证程序中使用的认证因素及认证方式并不一定限定于图3及图4图示的示例。即,在本发明的实施例中,在用于用户认证的各认证程序中能够使用的认证因素除了图3及图4图示的指纹、OTP、PIN还可以包括虹膜、语音、ID/密码等多种认证因素,并且在各认证程序中执行的认证方式也可以根据认证因素而变化。
图5是根据本发明的一实施例的风险分析装置的构成图。
图5所示的风险分析装置500例如可以由如图1所示的认证服务系统120中所包含的一个构成来实现。
参照图5,根据本发明的一实施例的风险分析装置500包括风险因素收集部510、风险分析部520、附加认证请求部530及认证间隔决定部540。
风险因素收集部510收集与为了用户认证而在认证系统100中执行的一个以上认证程序相关的风险因素(risk factor)。此时,风险因素例如可以在各认证程序中通过客户端装置110收集而传递至认证服务系统120,或者从认证服务器130收集。
另外,风险因素可以在用户认证程序中获取,并且为了分析用户的认证模式可以包括可活用的多种数据。例如,风险因素可以包括诸如认证时间点、认证次数、认证手段、认证所需时间、认证位置、认证结果、认证频率及间隔等与用户的认证活动相关的数据。
作为另一例,风险因素可以包括诸如客户端装置110的识别信息、位置信息、杀毒软件信息、系统资源、网络状态等与为了用户认证而利用的客户端装置110相关的数据。
作为又一例,风险因素可以包括诸如在用于用户认证的认证程序中利用的认证因素、生物测量分数等与认证因素相关的数据。
风险分析部520计算针对用户的当前风险评分及综合风险评分。
具体而言,风险分析部520利用在风险因素收集部510收集的风险因素计算针对用户的当前风险评分。
此时,根据本发明的一实施例,风险分析部520可以为了计算当前风险评分,利用针对用户过去执行过的各认证程序中收集的风险因素(以下,“过去风险因素”)通过机器学习学习的用户的认证模式与当前收集的风险因素进行比较,从而计算当前风险评分。
例如,风险分析部520可以将利用用户的过去风险因素学习的认证模式与当前收集的风险因素进行比较,从而相似度越低,使当前风险评分越高。
作为更具体的一例,风险分析部520可以随着利用过去风险因素学习的用户的主要认证时间与被收集为当前风险因素的认证时间点的差异越大,使当前风险评分越高。
作为另一例,风险分析部520可以随着利用过去风险因素学习的用户的主要认证位置与被收集为当前风险因素的认证位置的距离差异越大,使当前风险评分越高。
另外,根据本发明的另一实施例,风险分析部520可以将通过利用与针对多名用户过去执行的认证程序相关的风险因素的学习而生成的规则与当前风险因素进行比较,从而计算当前风险评分。
例如,风险分析部520可以在被收集为当前风险因素的客户端装置110的识别信息与收录为黑名单的装置的识别信息相同的情况下,使当前风险评分升高。
作为另一例,风险分析部520可以将基于生成的规则被收集为当前风险因素的认证位置及认证时间点与在刚刚之前执行的用户认证程序中被收集为风险因素的认证位置及认证时间点进行比较,在两个认证时间点之间的认证位置变化过大的情况下(例如,在首尔认证后十分钟,在釜山执行认证的情况),使当前风险评分升高。
另外,风险分析部520基于当前风险评分与包含针对用户过去计算的风险评分的风险评分履历而计算综合风险评分。
图6是示出风险评分履历的示例图。
在图6中,三名用户第一用户、第二用户、第三用户各自在当前时间点计算的当前风险评分相同,但是针对各用户过去计算的风险评分具有不同的模式。
针对第一用户而言,可以得知过去风险评分之间的变动量大,并且当前风险评分相比于刚刚之前计算的风险评分急剧增加。
针对第二用户而言,可以得知过去计算的风险评分无大变动地持续地维持于较低的值,但是当前风险评分相比于刚刚之前计算的风险评分急剧增加。
针对第三用户而言,可以得知当前风险评分相比于刚刚之前计算的风险评分具有较低的值,但是最近计算的风险评分持续地具有较高的值。
因此,即使如图6所示的示例,各用户的当前风险评分相同,每名用户的风险评分履历也可能不同,且针对各用户计算的综合风险评分也可能被计算为不同的值。
例如,风险分析部520可以利用当前风险评分与用户的风险评分履历中最近预定期间计算的过去风险评分的加权和来计算综合风险评分。此时,风险分析部520例如可以通过越是最近计算的风险评分,则使加权值越高,从而最近计算的风险评分值越高,使综合风险评分越高。
作为另一例,风险分析部520可以将最近预定期间计算的过去风险评分的变动模式与当前风险评分进行比较而计算综合风险评分。作为具体的一示例,风险分析部520在最近预定期间计算的过去风险评分无较大变化地维持于预定水平的情况下,即使过去风险评分的平均值与当前风险评分的差异较小,也可能计算出较高的综合风险评分。相反地,风险分析部520在最近预定期间计算的过去风险评分无规律地变化的情况下,过去风险评分的平均值与当前风险评分的差异大才可能计算出较高的综合风险评分。
具体而言,风险分析部520例如可以利用下面的数学式1来计算综合风险评分。
【数学式1】
St=α(Sc-Smean)
在数学式1中,St表示综合风险评分,Sc表示当前风险评分,Smean表示最近预定期间计算的过去风险评分的平均值,α表示加权值。在最近预定期间计算的过去风险评分无较大变化地维持于预定水平的情况下,风险分析部520可以将α设定为较高的值,在最近预定期间计算的过去风险评分无规律地变化的情况下,风险分析部520可以将α设定为较低的值。
作为又一例,风险分析部520可以随着最近预定期间计算的风险评分的临界值超过次数越多,使综合风险评分越高。
另外,综合风险评分除了上述的示例以外,可以利用根据当前风险评分与风险评分履历能够对个别用户的风险进行评价的多种方式来计算。
附加认证请求部530基于由风险分析部520计算的当前风险评分及综合风险评分判断是否执行针对用户的附加认证程序。
具体而言,附加认证请求部530在当前风险评分超过第一临界值,或者即使当前风险评分未超过第一临界值,但综合风险评分超过第二临界值的情况下,可以向客户端装置110请求针对用户的附加认证程序。
具体而言,图7是示出综合风险评分的一示例的图。
参照图6及图7,由于在图6所示的示例中针对各用户的当前风险评分全部未超过第一临界值threshold 1,在图7所示的示例中针对第二用户及第三用户的综合风险评分超过了第二临界值threshold 2,因此,附加认证请求部530可以向第二用户及第三用户的客户端装置请求附加认证。
认证间隔决定部540在由服务提供商200提供的应用服务需要持续认证的服务的情况下,决定用于持续认证的再认证时间点。
具体而言,根据本发明的一实施例,认证间隔决定部540可以基于由风险分析部520计算的综合风险评分或用户的过去认证履历计算针对用户的信赖值,并根据计算的信赖值决定用于持续认证的再认证时间点。
具体而言,认证间隔决定部540可以随着针对用户的综合风险评分越低赋予越高的信赖值,并且可以根据信赖值而增加或减少针对用户的再认证时间点。
例如,在综合风险评分计算为1~0之间的值的情况下,可以根据综合风险评分的范围,信赖值如下表1可以被计算为1~5之间的值。
【表1】
信赖值 综合风险评分St范围 再认证时间点
1 1≥St>0.8 t0+5α
2 0.8≥St>0.6 t0+4α
3 0.6≥St>0.4 t0+3α
4 0.4≥St>0.2 t0+2α
5 0.2≥St>0 t0
另外,在表1中,t0表示当前认证成功时间点,α表示预设的认证间隔。即,a例如被设定为5分钟的情况下,信赖值为5的用户从当前认证成功时间点t0开始达到5分钟前应该执行再认证,在信赖值为4的用户的情况下,从当前认证成功时间点t0开始达到10分钟前应该执行再认证。
作为另一例,认证间隔决定部540可以基于用户的过去认证履历计算认证失败概率,并且可以根据计算的认证失败概率决定再认证时间点。此时,认证失败概率例如可以利用用户的过去认证成功/失败模式分析来计算。
具体而言,认证间隔决定部540可以随着认证失败概率越低,赋予越高的信赖值,并且可以根据信赖值增加或减少针对再认证时间点。
例如,在认证失败概率计算为1~0之间的值的情况下,可以根据认证失败概率的范围,信赖值如下表2可以被计算为1~5之间的值。
【表2】
信赖值 认证失败概率p范围 再认证时间点
1 1≥p>0.8 t0+5α
2 0.8≥p>0.6 t0+4α
3 0.6≥p>0.4 t0+3α
4 0.4≥p>0.2 t0+2α
5 0.2≥p>0 t0
另外,由于上述的信赖值的范围及计算方式为示意性的,因此信赖值的范围及计算方式可以与上述的示例不同地根据实施例进行多种变形。
另外,在一实施例中,图5所示的风险因素收集部510、风险分析部520、附加认证请求部530及认证间隔决定部540可以在一个以上的处理器以及包括与该处理器连接的计算机可读记录介质的一个以上的计算装置上实现。计算机可读记录介质可以存在于处理器的内部或外部,可以通过所公知的多种手段与处理器连接。计算装置内的处理器能够使各计算装置根据本说明书中记载的示例性实施例操作。例如,处理器能够执行存储于计算机可读记录介质的指令,而且当通过处理器执行存储于计算机可读记录介质的指令时,能够使计算装置构成为执行根据本说明书中记载的示例性实施例的操作。
图8是根据本发明的一实施例的风险分析方法的流程图。
图8所示的方法例如可以通过图5所示的风险分析装置500执行。
参照图8,风险分析装置500首先收集与为了针对客户端装置110的用户的认证而执行的一个以上的认证程序相关的风险因素(810)。
之后,风险分析装置500在用户认证通过所述一个以上的认证程序而获得成功的情况下(820),利用收集的风险因素计算针对用户的当前风险评分(830)。
之后,风险分析装置500基于当前风险评分与包括过去计算的风险评分的风险评分履历计算针对用户的综合风险评分(840)。
之后,风险分析装置500判断当前风险评分是否超过了第一临界值(850)。
此时,在当前风险评分超过第一临界值的情况下,风险分析装置500向客户端装置110请求针对用户的附加认证(870)。
相反,在当前风险评分未超过第一临界值的情况下,风险分析装置500判断综合风险评分是否超过了第二临界值(860)。
此时,在综合风险评分超过第二临界值的情况下,风险分析装置500向客户端装置110请求再认证(870)。
另外,在820步骤中,若用户认证失败,则风险分析装置500向客户端装置110请求再认证(880)。
图9是示出根据本发明的一实施例的用于持续认证的再认证时间点决定过程的流程图。
图9所示的方法例如可以通过图5所示的风险分析装置500执行。
参照图9,风险分析装置500在用户认证成功的情况下,基于综合风险评分或用户的认证履历计算信赖值(910)。
之后,风险分析装置500基于计算的信赖值而决定用于持续认证的再认证时间点(920)。
之后,风险分析装置500在用户在决定的再认证时间点内再认证成功的情况下(930),反复执行步骤910至步骤930直至再认证失败。
另外,在图8至图9所示的顺序图中虽然将所述方法分为多个步骤进行了描述,然而至少一部分步骤可以改变顺序执行,或与其他步骤结合而一同执行,或者省略,或者分为子步骤执行,或者附加未图示的一个以上步骤而执行。
图10是用于举例说明包括在示例性实施例中适合使用的计算装置的计算环境的框图。在图示的实施例中,各组件可以具有除了以下描述的之外的不同的功能及能力,并且除了以下描述的组件之外也可以包括追加的组件。
图示的计算环境10包括计算装置12。在一实施例中,计算装置12可以是认证服务系统120,或者认证服务系统120中所包含的一个以上的组件。
计算装置12包括至少一个的处理器14,计算机可读存储介质16及通信总线18。处理器14可以使计算装置12根据上述的示例性实施例进行操作。例如,处理器14可以运行存储于计算机可读存储介质16的一个以上的程序。所述一个以上的程序可以包括一个以上的计算机可执行指令,所述一个以上的计算机可执行指令被构成为在通过处理器14运行情况下,使计算装置12执行根据示例性实施例的操作。
计算机可读存储介质16构成为存储计算机可执行指令乃至程序代码、程序数据和/或其他合适形态的信息。存储于计算机可读存储介质16的程序20包括可通过处理器14执行的指令的集合。在一实施例中,计算机可读存储介质16可以是诸如存储器(诸如随机存取存储器的易失性存储器、非易失性存储器,或其适当的组合)、一个以上的磁盘存储设备、光盘存储设备、闪存设备,或者此外的计算装置12可访问并可存储所期望的信息的其他形态的存储介质、或其适当的组合。
通信总线18包括处理器14、计算机可读存储介质16在内使计算装置12的其他多种组件相互连接。
并且,计算装置12还可以包括为一个以上的输入输出装置24提供接口的一个以上的输入输出接口22及一个以上的网络通信接口26。输入输出接口22及网络通信接口26连接于通信总线18。输入输出装置24可以通过输入输出接口22连接于计算装置12的其他组件。示例性的输入输出装置24可以包括诸如指示装置(鼠标或触控板等)、键盘、触摸输入装置(触摸板或触摸屏等)、语音或声音输入装置、多种传感器装置和/或诸如拍摄装置的输入装置、和/或显示设备、打印机、扬声器和/或诸如网卡等的输出装置。示例性的输入输出装置24作为构成计算装置12的一组件,可以被包含于计算装置12的内部,并且也可以作为与计算装置12区别的单独的装置而与计算装置12连接。
以上,对具有代表性的实施例进行了详细的说明,然而在本发明所属的技术领域中具有基本知识的人员可以理解上述的实施例可在不脱离本发明的范围的限度内实现多种变形。因此,本发明的权利范围不应局限于上述的实施例,本发明的权利范围需要根据权利要求书的范围以及与该权利要求书等同的范围来确定。

Claims (18)

1.一种认证服务方法,其中,包括如下步骤:
(a)从客户端装置接收针对第一认证因素的识别信息及基于所述第一认证因素生成的第一认证信息,并基于针对所述第一认证因素的识别信息向多个认证服务器中的一个传递所述第一认证信息,进而中继所述客户端装置的针对用户的第一认证程序;
(b)在所述第一认证程序成功的情况下,生成包含针对所述第一认证因素的识别信息的第一访问令牌,并向所述客户端装置传送所述第一访问令牌;
(c)从所述客户端装置接收第一访问令牌,进而验证接收的所述第一访问令牌的有效性;
(d)在接收的所述第一访问令牌有效的情况下,从所述客户端装置接收针对第二认证因素的识别信息及基于所述第二认证因素生成的第二认证信息,并基于针对所述第二认证因素的识别信息向所述多个认证服务器中的一个传递所述第二认证信息,进而中继针对所述用户的第二认证程序;以及
(e)在所述第二认证程序成功的情况下,生成包含分别针对所述第一认证因素及所述第二认证因素的识别信息的第二访问令牌,并向所述客户端装置传递所述第二访问令牌。
2.如权利要求1所述的认证服务方法,其中,
所述第一认证因素及所述第二认证因素分别是基于知识的认证因素、基于持有的认证因素及基于特征的认证因素中的一种。
3.如权利要求1所述的认证服务方法,其中,
所述多个认证服务器包括基于线上快速身份认证技术的认证服务器、基于一次性密码的认证服务器、基于短信服务的认证服务器、基于电子邮件的认证服务器、基于证书的认证服务器及基于ID/密码的认证服务器中的至少一种。
4.如权利要求1所述的认证服务方法,其中,还包括如下步骤:
(f)在所述第一认证程序成功的情况下,基于与所述第一认证程序相关的风险因素计算针对所述第一认证程序的风险评分;以及
(g)基于所述风险评分判断是否执行所述第二认证程序,
其中,在所述(b)步骤中,在需要执行所述第二认证程序的情况下,向所述客户端装置传递所述第一访问令牌及执行所述第二认证程序的请求,
所述(c)步骤至所述(e)步骤在所述(b)步骤中传递了执行所述第二认证程序的请求的情况下执行。
5.如权利要求1所述的认证服务方法,其中,还包括如下步骤:
(h)在所述第二认证程序成功的情况下,基于与所述第一认证程序及所述第二认证程序相关的风险因素计算风险评分。
6.如权利要求5所述的认证服务方法,其中,还包括如下步骤:
(i)基于所述风险评分判断是否执行第三认证程序,
其中,在所述(e)步骤中,在需要执行所述第三认证程序的情况下,向所述客户端装置传递所述第二访问令牌及执行所述第三认证程序的请求。
7.如权利要求6所述的认证服务方法,其中,还包括如下步骤:
(j)从所述客户端装置接收第二访问令牌,进而验证接收的所述第二访问令牌的有效性;
(k)在接收的所述第二访问令牌有效的情况下,从所述客户端装置接收针对第三认证因素的识别信息及基于所述第三认证因素生成的第三认证信息,并基于针对所述第三认证因素的识别信息向所述多个认证服务器中的一个传递所述第三认证信息,进而中继针对所述用户的第三认证程序;以及
(l)在所述第三认证程序成功的情况下,生成包含分别针对所述第一认证因素、所述第二认证因素、所述第三认证因素的识别信息的第三访问令牌,并向所述客户端装置传递所述第三访问令牌。
8.如权利要求7所述的认证服务方法,其中,
所述第一认证因素、所述第二认证因素及所述第三认证因素分别是基于知识的认证因素、基于持有的认证因素及基于特征的认证因素中的一种。
9.如权利要求7所述的认证服务方法,其中,还包括如下步骤:
(m)在所述第三认证程序成功的情况下,基于与所述第一认证程序、所述第二认证程序及所述第三认证程序相关的风险因素计算风险评分。
10.一种认证服务系统,其中,包括:
一个以上的处理器;
存储器;以及
一个以上的程序,构成为用于通过所述一个以上的处理器运行,且存储于所述存储器中,
其中,所述程序包括用于执行以下步骤的指令:
(a)从客户端装置接收针对第一认证因素的识别信息及基于所述第一认证因素生成的第一认证信息,并基于针对所述第一认证因素的识别信息向多个认证服务器中的一个传递所述第一认证信息,进而中继所述客户端装置的针对用户的第一认证程序;
(b)在所述第一认证程序成功的情况下,生成包含针对所述第一认证因素的识别信息的第一访问令牌,并向所述客户端装置传送所述第一访问令牌;
(c)从所述客户端装置接收第一访问令牌,进而验证接收的所述第一访问令牌的有效性;
(d)在接收的所述第一访问令牌有效的情况下,从所述客户端装置接收针对第二认证因素的识别信息及基于所述第二认证因素生成的第二认证信息,并基于针对所述第二认证因素的识别信息向所述多个认证服务器中的一个传递所述第二认证信息,进而中继针对所述用户的第二认证程序;以及
(e)在所述第二认证程序成功的情况下,生成包含分别针对所述第一认证因素及所述第二认证因素的识别信息的第二访问令牌,并向所述客户端装置传递所述第二访问令牌。
11.如权利要求10所述的认证服务系统,其中,
所述第一认证因素及所述第二认证因素分别是基于知识的认证因素、基于持有的认证因素及基于特征的认证因素中的一种。
12.如权利要求10所述的认证服务系统,其中,
所述多个认证服务器包括基于线上快速身份认证技术的认证服务器、基于一次性密码的认证服务器、基于短信服务的认证服务器、基于电子邮件的认证服务器、基于证书的认证服务器及基于ID/密码的认证服务器中的至少一种。
13.如权利要求10所述的认证服务系统,其中,所述程序还包括用于执行如下步骤的指令:
(f)在所述第一认证程序成功的情况下,基于与所述第一认证程序相关的风险因素计算针对所述第一认证程序的风险评分;以及
(g)基于所述风险评分判断是否执行所述第二认证程序,
其中,在所述(b)步骤中,在需要执行所述第二认证程序的情况下,向所述客户端装置传递所述第一访问令牌及执行所述第二认证程序的请求,
所述(c)步骤至所述(e)步骤在所述(b)步骤中传递了执行所述第二认证程序的请求的情况下执行。
14.如权利要求10所述的认证服务系统,其中,所述程序还包括用于执行如下步骤的指令:
(h)在所述第二认证程序成功的情况下,基于与所述第一认证程序及所述第二认证程序相关的风险因素计算风险评分。
15.如权利要求14所述的认证服务系统,其中,所述程序还包括用于执行如下步骤的指令:
(i)基于所述风险评分判断是否执行第三认证程序,
其中,在所述(e)步骤中,在需要执行所述第三认证程序的情况下,向所述客户端装置传递所述第二访问令牌及执行所述第三认证程序的请求。
16.如权利要求15所述的认证服务系统,其中,所述程序还包括用于执行如下步骤的指令:
(j)从所述客户端装置接收第二访问令牌,进而验证接收的所述第二访问令牌的有效性;
(k)在接收的所述第二访问令牌有效的情况下,从所述客户端装置接收针对第三认证因素的识别信息及基于所述第三认证因素生成的第三认证信息,并基于针对所述第三认证因素的识别信息向所述多个认证服务器中的一个传递所述第三认证信息,进而中继针对所述用户的第三认证程序;以及
(l)在所述第三认证程序成功的情况下,生成包含分别针对所述第一认证因素、所述第二认证因素、所述第三认证因素的识别信息的第三访问令牌,并向所述客户端装置传递所述第三访问令牌。
17.如权利要求16所述的认证服务系统,其中,
所述第一认证因素、所述第二认证因素及所述第三认证因素分别是基于知识的认证因素、基于持有的认证因素及基于特征的认证因素中的一种。
18.如权利要求16所述的认证服务系统,其中,所述程序还包括用于执行如下步骤的指令:
(m)在所述第三认证程序成功的情况下,基于与所述第一认证程序、所述第二认证程序及所述第三认证程序相关的风险因素计算风险评分。
CN201810537759.1A 2017-05-30 2018-05-30 认证服务系统及方法 Pending CN108989278A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020170066688A KR102413638B1 (ko) 2017-05-30 2017-05-30 인증 서비스 시스템 및 방법
KR10-2017-0066688 2017-05-30

Publications (1)

Publication Number Publication Date
CN108989278A true CN108989278A (zh) 2018-12-11

Family

ID=64460674

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810537759.1A Pending CN108989278A (zh) 2017-05-30 2018-05-30 认证服务系统及方法

Country Status (3)

Country Link
US (1) US10673843B2 (zh)
KR (1) KR102413638B1 (zh)
CN (1) CN108989278A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110784395A (zh) * 2019-11-04 2020-02-11 航天信息股份有限公司 一种基于fido认证的邮件安全登录方法及系统
CN113014576A (zh) * 2021-02-23 2021-06-22 中国联合网络通信集团有限公司 一种服务权限控制方法、装置、服务器及存储介质

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10218697B2 (en) * 2017-06-09 2019-02-26 Lookout, Inc. Use of device risk evaluation to manage access to services
EP3585028A1 (de) * 2018-06-20 2019-12-25 Siemens Aktiengesellschaft Verfahren zur anbindung eines endgerätes in eine vernetzbare rechner-infrastruktur
US11017100B2 (en) * 2018-08-03 2021-05-25 Verizon Patent And Licensing Inc. Identity fraud risk engine platform
US11165581B2 (en) * 2018-10-05 2021-11-02 Mimecast Services Ltd. System for improved identification and authentication
US11032275B2 (en) * 2018-10-05 2021-06-08 Mimecast Services Ltd. System for improved identification and authentication
US10492071B1 (en) * 2018-10-31 2019-11-26 Hewlett Packard Enterprise Development Lp Determining client device authenticity
KR102210840B1 (ko) * 2019-06-26 2021-02-02 넷마블 주식회사 글로벌 인증 계정 시스템
CN110535851A (zh) * 2019-08-27 2019-12-03 浪潮云信息技术有限公司 一种基于oauth2协议的用户认证系统
US11722481B2 (en) * 2019-10-31 2023-08-08 Citrix Systems, Inc. Multiple identity provider authentication system
US11140148B1 (en) * 2020-03-30 2021-10-05 Konica Minolta Business Solution U.S.A., Inc. Method and system for instant single sign-on workflows
CN111711610B (zh) * 2020-05-21 2022-05-10 深圳竹云科技有限公司 基于微服务架构的认证方法、系统、计算设备及计算机可读存储介质
US11971980B2 (en) 2020-05-28 2024-04-30 Red Hat, Inc. Using trusted execution environments to perform a communal operation for mutually-untrusted devices
US11947659B2 (en) 2020-05-28 2024-04-02 Red Hat, Inc. Data distribution across multiple devices using a trusted execution environment in a mobile device
US10848309B2 (en) * 2020-07-02 2020-11-24 BehavioSec Inc Fido authentication with behavior report to maintain secure data connection
US11848924B2 (en) * 2020-10-12 2023-12-19 Red Hat, Inc. Multi-factor system-to-system authentication using secure execution environments
CN112822007B (zh) * 2020-12-29 2023-11-03 中国农业银行股份有限公司 一种用户认证方法、装置及设备
US11805112B2 (en) * 2021-02-08 2023-10-31 Cisco Technology, Inc. Enhanced multi-factor authentication based on physical and logical proximity to trusted devices and users
US11863549B2 (en) 2021-02-08 2024-01-02 Cisco Technology, Inc. Adjusting security policies based on endpoint locations
US11831688B2 (en) * 2021-06-18 2023-11-28 Capital One Services, Llc Systems and methods for network security
KR102434889B1 (ko) * 2021-12-17 2022-08-22 한국전자인증 주식회사 클라우드 기반 비정상적 생체정보 인증 행위 검출방법, 서버 및 컴퓨터프로그램
US11695772B1 (en) * 2022-05-03 2023-07-04 Capital One Services, Llc System and method for enabling multiple auxiliary use of an access token of a user by another entity to facilitate an action of the user

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010090602A1 (en) * 2009-02-04 2010-08-12 Data Security Systems Solutions Pte Ltd Transforming static password systems to become 2-factor authentication
CN101999239A (zh) * 2008-04-18 2011-03-30 日本电气株式会社 无线电通信系统和认证处理器选择方法
CN102804201A (zh) * 2010-10-05 2012-11-28 株式会社希爱思异 离线双因素用户认证系统、其方法及其程序
CN102804200A (zh) * 2010-10-05 2012-11-28 株式会社希爱思异 双因素用户认证系统及其方法
CN103516718A (zh) * 2012-06-29 2014-01-15 微软公司 身份风险分数生成和实现
US20140250518A1 (en) * 2013-03-04 2014-09-04 Mfa Informatik Ag Computer implemented multi-factor authentication
CN104200152A (zh) * 2003-09-12 2014-12-10 Emc公司 用于基于风险的验证的系统和方法
CN104519073A (zh) * 2015-01-22 2015-04-15 北京成众志科技有限公司 一种aaa多因子安全增强认证方法
CN104574176A (zh) * 2015-01-14 2015-04-29 浪潮软件集团有限公司 一种基于usbkey的安全网上报税方法
CN106230845A (zh) * 2016-08-04 2016-12-14 杭州帕拉迪网络科技有限公司 一种可灵活配置的多因素用户认证方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6307593B2 (ja) * 2013-04-26 2018-04-04 インターデイジタル パテント ホールディングス インコーポレイテッド 必要とされる認証保証レベルを達成するための多要素認証
US9875347B2 (en) * 2014-07-31 2018-01-23 Nok Nok Labs, Inc. System and method for performing authentication using data analytics
KR101635278B1 (ko) 2014-09-22 2016-07-01 한국과학기술원 동적 상호작용 큐알 코드를 기반으로 한 다중요소 인증 방법 및 시스템
KR20160107778A (ko) * 2015-03-05 2016-09-19 (주)이삭랜드코리아 소상공인을 위한 휴대 단말 앱 기반 간편 결제 방법 및 시스템
US20160306955A1 (en) * 2015-04-14 2016-10-20 Intel Corporation Performing user seamless authentications

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104200152A (zh) * 2003-09-12 2014-12-10 Emc公司 用于基于风险的验证的系统和方法
CN101999239A (zh) * 2008-04-18 2011-03-30 日本电气株式会社 无线电通信系统和认证处理器选择方法
WO2010090602A1 (en) * 2009-02-04 2010-08-12 Data Security Systems Solutions Pte Ltd Transforming static password systems to become 2-factor authentication
CN102804201A (zh) * 2010-10-05 2012-11-28 株式会社希爱思异 离线双因素用户认证系统、其方法及其程序
CN102804200A (zh) * 2010-10-05 2012-11-28 株式会社希爱思异 双因素用户认证系统及其方法
CN103516718A (zh) * 2012-06-29 2014-01-15 微软公司 身份风险分数生成和实现
US20140250518A1 (en) * 2013-03-04 2014-09-04 Mfa Informatik Ag Computer implemented multi-factor authentication
CN104574176A (zh) * 2015-01-14 2015-04-29 浪潮软件集团有限公司 一种基于usbkey的安全网上报税方法
CN104519073A (zh) * 2015-01-22 2015-04-15 北京成众志科技有限公司 一种aaa多因子安全增强认证方法
CN106230845A (zh) * 2016-08-04 2016-12-14 杭州帕拉迪网络科技有限公司 一种可灵活配置的多因素用户认证方法

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110784395A (zh) * 2019-11-04 2020-02-11 航天信息股份有限公司 一种基于fido认证的邮件安全登录方法及系统
CN110784395B (zh) * 2019-11-04 2023-02-21 航天信息股份有限公司 一种基于fido认证的邮件安全登录方法及系统
CN113014576A (zh) * 2021-02-23 2021-06-22 中国联合网络通信集团有限公司 一种服务权限控制方法、装置、服务器及存储介质

Also Published As

Publication number Publication date
US10673843B2 (en) 2020-06-02
KR102413638B1 (ko) 2022-06-27
KR20180130735A (ko) 2018-12-10
US20180351944A1 (en) 2018-12-06

Similar Documents

Publication Publication Date Title
CN108989278A (zh) 认证服务系统及方法
CN108959933A (zh) 用于基于风险的认证的风险分析装置及方法
US10075437B1 (en) Secure authentication of a user of a device during a session with a connected server
KR102358546B1 (ko) 장치에 대해 클라이언트를 인증하기 위한 시스템 및 방법
CN106100848B (zh) 基于智能手机和用户口令的双因子身份认证系统及方法
CN106233663B (zh) 用于在不同信道上携载强验证事件的系统和方法
CN107070667A (zh) 身份认证方法、用户设备和服务器
KR102439782B1 (ko) 호스팅된 인증 서비스를 구현하기 위한 시스템 및 방법
US11140155B2 (en) Methods, computer readable media, and systems for authentication using a text file and a one-time password
CN106330850A (zh) 一种基于生物特征的安全校验方法及客户端、服务器
CN109150548A (zh) 一种数字证书签名、验签方法及系统、数字证书系统
Alomar et al. Social authentication applications, attacks, defense strategies and future research directions: a systematic review
CN109150535A (zh) 一种身份认证方法、设备、计算机可读存储介质及装置
CN106790260A (zh) 一种多因子身份认证方法
US20080072295A1 (en) Method and System for Authentication
CN103024706A (zh) 基于手机短信的多因子双向动态身份认证装置和方法
US11777942B2 (en) Transfer of trust between authentication devices
CN108964920A (zh) 认证方法、用户终端及非面对面认证服务服务器
CN109564600A (zh) 基于电话号码循环的认证
Mondal et al. Transaction authorization from Know Your Customer (KYC) information in online banking
Al Rousan et al. A comparative analysis of biometrics types: literature review
JP2016062457A (ja) 認証方法及び認証装置
TW201328280A (zh) 即時通訊身分認證系統與方法
Iyanda et al. Development of two-factor authentication login system using dynamic password with SMS verification
KR100648986B1 (ko) 전자명함 서비스 시스템 및 방법과 전자명함 인증 장치 및방법과 이를 위한 컴퓨터로 읽을 수 있는 기록 매체

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20181211