CN113794686B - 通过增强认证的交易验证 - Google Patents
通过增强认证的交易验证 Download PDFInfo
- Publication number
- CN113794686B CN113794686B CN202110938816.9A CN202110938816A CN113794686B CN 113794686 B CN113794686 B CN 113794686B CN 202110938816 A CN202110938816 A CN 202110938816A CN 113794686 B CN113794686 B CN 113794686B
- Authority
- CN
- China
- Prior art keywords
- client
- api
- request
- api request
- authentication challenge
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012795 verification Methods 0.000 title description 7
- 230000015654 memory Effects 0.000 claims abstract description 19
- 230000008859 change Effects 0.000 claims abstract description 10
- 238000000034 method Methods 0.000 claims description 29
- 230000006399 behavior Effects 0.000 claims description 17
- 238000012545 processing Methods 0.000 claims description 14
- 230000004044 response Effects 0.000 description 30
- 230000008569 process Effects 0.000 description 13
- 238000004590 computer program Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 238000004422 calculation algorithm Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 230000002085 persistent effect Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000007274 generation of a signal involved in cell-cell signaling Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000013515 script Methods 0.000 description 1
- 239000000344 soap Substances 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
- G06F21/445—Program or device authentication by mutual authentication, e.g. between devices or programs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Collating Specific Patterns (AREA)
- Developing Agents For Electrophotography (AREA)
- Acyclic And Carbocyclic Compounds In Medicinal Compositions (AREA)
Abstract
提供了一种计算机系统,包括:存储指令的非暂时性存储器;以及一个或多个硬件处理器,耦合到所述非暂时性存储器并被配置为从所述非暂时性存储器读取指令以使所述系统执行操作,所述操作包括:从客户端接收应用编程接口API请求;与客户端先前使用的API相比,检测到与API请求相关联的变化;基于检测到变化,生成加密挑战以认证所述API请求;以及向客户端发出加密挑战以认证所述API请求。
Description
本申请是2015年9月21日提交的、申请号为201580052145.9、发明名称为“通过增强认证的交易验证”的专利申请的分案申请。
相关申请交叉引用
本申请是2014年9月25日提交的美国专利申请No.14/496,160的继续申请并且要求其优先权,在此将其整体一并引入作为参考。
技术领域
本发明总体上涉及计算机系统安全,并且更具体地,涉及使用增强认证来验证计算机发起的交易请求。
背景技术
应用编程接口(API)通常指由软件库或计算机系统提供的一个或更多个功能、过程、组件和服务的集合。Web API允许客户端通过互联网使用另一个计算机系统提供的API服务。然而,Web API可能容易受到各种类型的网络攻击。
例如,对客户端计算机系统的接管可以为攻击者提供凭证以及对可从受损客户端访问的web API的无限访问。此外,中间人攻击者可以通过模拟客户端来拦截和使用webAPI认证凭证来访问私人信息、信用卡帐户、银行帐户或其他安全数据。
高限制性的安全措施可以提供增加的Web API安全性。然而,这些措施可能会扰乱合法业务和交易的流动。因此,改进的认证方法可以提供针对接管、中间人和其他类型的网络攻击的更好的保护,同时灵活地接受在计算机系统或网络上发生的例行改变而不破坏合法活动。
附图说明
将从下面给出的详细描述和本公开各种示例的附图中更全面地理解本公开的各种示例。在附图中,相似的附图标记表示相同或功能相似的要素。第一次出现要素的附图一般由对应附图标记中的最左侧数字来表示。
图1是示出了根据本公开各种示例的系统架构的框图。
图2是示出了根据本公开示例的使用增强认证的交易验证的流程图。
图3是示出了根据本公开示例的使用具有加密的增强认证的交易验证的流程图。
图4是可以执行本文描述的一个或更多个操作的示例性计算机系统的框图。
具体实施方式
公开了用于使用增强认证来验证交易的系统、方法和计算机程序产品。
在一个示例中,客户端计算机系统试图使用由服务器计算机系统提供的应用编程接口(API)。服务器从客户端接收密钥,用于对在第一级别认证以外向客户端发出的一个或更多个附加认证挑战进行加密。
在一个示例中,客户端可以在初始账户注册和设置时向服务器提供密钥,并且之后当与客户端相关联的帐户超过交易量阈值时,当与客户端相关联的账户或账户的销售超过金额阈值时,当确定由与客户端相关联的帐户所处理的数据被分类为敏感数据时,基于来自服务器的请求,或在任意其他时间或基于任意其它标准,向服务器提供密钥作为账户或注册更新的一部分。
在一个示例中,客户端发送请求以使用服务器提供的API。客户端还提供一个或更多个认证凭证,以允许服务器基于第一级别认证来认证客户端的API请求。
在一个示例中,服务器认证API请求,分析与客户端相关联的信息(例如,身份、位置、行为等),并检测客户端的一个或更多个属性已经改变。作为响应,服务器产生附加认证挑战,以进一步认证从客户端接收的API请求。在一个示例中,服务器使用从客户端接收的密钥对附加认证挑战进行加密,并将加密的附加认证挑战发送到客户端。
在一个示例中,客户端接收加密的附加认证挑战。在一个示例中,用于对加密的附加认证挑战进行解密的密钥存储在由客户端计算机系统的管理员或其他特权帐户拥有的高安全区域中。客户端将加密的附加认证挑战升级为能够访问高安全区域中的解密密钥的特权帐户。然后,特权帐户返回经解密的附加认证挑战以用于进一步处理。
在一个示例中,服务器从客户端接收对加密的附加认证挑战的响应。然后,服务器分析响应,确定附加认证挑战的结果是成功还是不成功,并且基于该结果处理从客户端接收的API请求。
因此,本公开的各方面提供了应用编程接口(API)的改进的安全性,以防止服务器接管和中间人攻击,同时允许在不产生干扰的情况下进行管理和其他合法改变。
图1示出了可以实现本公开的示例的示例性系统体系架构100。系统架构100包括连接到网络104的服务器机器110、数据存储器180和客户机102A-102N。网络104可以是公共网络(例如,互联网)、专用网络(例如,局域网(LAN)或广域网(WAN))或其组合。在一个示例中,网络104可以包括互联网和/或一个或更多个内联网、有线网络、无线网络和/或其它适当类型的通信网络。在一个示例中,网络104可以包括适于与其他通信网络(例如互联网)通信的无线电信网络(例如,蜂窝电话网络)。
数据存储器180是能够存储各种类型的数据(诸如文本、音频、视频和图像内容)的永久性存储器。在一些示例中,数据存储器180可以是附着于网络的文件服务器,而在其他示例中,数据存储器180可以是诸如面向对象数据库、关系数据库等一些其他类型的永久性存储器。
客户机102A-102N可以是个人计算机(PC)、膝上型计算机、移动电话、平板计算机、服务器计算机、可穿戴计算设备或任何其他计算设备。客户机102A-102N可以运行管理客户机102A-102N的硬件和软件的操作系统(OS)。浏览器(未示出)可以在客户机上(例如,在客户机的OS上)运行。浏览器可以是能够访问由服务器机器110的web服务器120提供的内容和服务的web浏览器。其他类型的计算机程序和计算机脚本也可以在客户机102A-102N上运行。
客户机102A-102N各自可以包括web服务器104A、104N和用于存储密钥108A、108N的安全区域106A、106N。Web服务器104A、104N可以包括web和/或应用服务器,其被配置为利用由服务器机器110提供的一个或更多个应用编程接口(API)。API通常是指被提供用于利用可从计算机系统或软件库获得的软件组件或其他基于软件的服务的功能的接口。
API可以包括任意基于软件的API,例如操作系统API、编程语言API、基于web的API、web服务(SOAP、REST等)、公共API、私有API、专用API、移动API、交易API等。在一些示例中,对由服务器机器110提供的API的使用可以被保护和/或绑定到客户端102A-102N的用户账户。因此,客户端102A可以向服务器机器110提供一个或更多个认证凭证(例如,用户名和/或密码)以使用服务器机器110公开的API。
在一个示例中,客户机102A-102N使用由服务器机器110提供的API来启动和完成各种类型的交易。例如,客户机102A-102N可以使用一个或更多个服务器机器110API来购买商品、销售商品、转移资金、进行支付、执行各种金融交易等。客户机102A-102N可以与相同的组织相关联,或者可以包括由不同组织操作的计算机系统。例如,客户机102A-102N可以由不相关的组织的计算机系统组成,每个组织都已经约定使用从服务器机器110上的API提供的服务。
客户端102A-102N各自可以包括用于存储相应密钥108A-108N和其他安全数据的相应安全区域106A-106N。安全区域106A-106N通常指计算机系统上的任意区域,其对于用于调用服务器机器110API的web服务器、应用服务器、计算机程序或处理是分离且不可访问的。例如,安全区域106A可以是由根账户、管理用户或另一用户拥有的存储区域。在一些示例中,对安全区域106A的数据访问需要来自被授权访问安全区域106A的用户或帐户(例如,根、管理员等)的特权提升或辅助。
密钥108A-108N通常指的是确定密码算法或密码的函数输出的一条或多条信息。例如,密钥108A可以用于对各种类型的数据进行加密和/或解密,并且可以包括对称密钥、不对称密钥、散列函数或可以用于加密或解密数据的任何其他数据。密钥108A可以与客户端102A的一个或更多个计算机系统相关联。在一个示例中,密钥108A可以与单个客户端102A计算机系统相关联或者与多个客户端102A-102N相关联。
服务器机器110可以是机架式服务器、路由器计算机、个人计算机、便携式数字助理、移动电话、膝上型计算机、平板计算机、相机、摄像机、上网本、台式计算机、媒体中心或其任意组合。服务器机器110可以包括web服务器120和交易认证系统130。在一些示例中,web服务器120和交易认证系统130可以在一个或更多个不同的机器上运行。
web服务器120可以从数据存储器180向客户端102A-102N提供文本、音频和视频图像。Web服务器120还可以向客户端102A-102N提供基于web的应用服务和业务逻辑。客户端102A-102N可以使用诸如web浏览器、web服务器、应用服务器、计算机程序等应用来从web服务器120定位、访问和消费各种形式的内容和服务。web服务器120还可以从客户端102A-102N接收保存在数据存储器180中的文本、音频、视频和图像内容,用于对内容进行保存和分发之类的目的。此外,web服务器120可以从各种客户端102A-102N接收API请求。
在一个示例中,web服务器120耦接到向客户端102A-102N提供应用、服务和交易API的一个或更多个应用服务器(未示出)。例如,web服务器120可以向客户端102A-102N提供对一个或更多个应用服务的访问,这些应用服务包括但不限于金融业务、电子商务、电子邮件、社交网络等。这样的功能还可以被提供为例如一个或更多个不同的web应用、独立应用、系统、插件、web浏览器扩展和应用编程接口(API)。在一些示例中,插件和扩展可以单独地或共同地称为附加组件(add-on)。
在一个示例中,某些客户端102A-102N可以包括与由服务器110提供的服务相关联的应用。在一个示例中,一个或更多个设备类型(例如,智能电话、智能电视、平板计算机等)可以使用应用来访问由服务器110提供的内容,向服务器110发出命令和/或在不访问或使用网页的情况下从服务器110接收内容。
在一个示例中,由服务器110和/或web服务器120执行的功能也可以由客户机102A-102N全部或部分地执行。另外,归属于特定组件的功能可以由一起操作的不同或多个组件执行。服务器110还可以作为经由适当的应用编程接口提供给其他系统或设备的服务而被访问,并且因此不限于与网站一起使用。
在示例中,交易认证系统130包括API请求接收器模块140、API安全管理器模块150和API请求处理器模块160。在其他示例中,与API请求接收器模块140、API安全管理器模块150和API请求处理器模块160相关联的功能可以按照各种布置进行组合、划分和组织。
在一个示例中,API请求接收器模块140接收由客户端102A-102N向服务器机器110发送的API请求。例如,API请求接收器模块140可以接收从客户端102A向在服务器机器110上运行的web或应用服务器发送的API请求。API请求接收器模块140还可以从客户端102A接收一个或更多个API凭证,例如以认证客户端对安全API的使用。
在一个示例中,API安全管理器模块150接收用于执行服务器机器110API请求的附加认证的密钥。例如,API安全管理器模块150可以从一个或更多个客户端102A-102N中的每一个接收相应的密钥。在一个示例中,API安全管理器模块150从客户端102A接收密钥,将接收的密钥与客户端102A相关联,并且存储接收到的密钥,以对要向客户端102A发出的一个或更多个附加认证挑战进行加密。
在一个示例中,客户端102A在初始账户注册和设置时向服务器机器110提供加密密钥,并且之后当与客户端102A相关联的帐户超过交易量阈值时,当与客户端102A相关联的账户或账户的销售超过金额阈值时,当确定由与客户端102A相关联的帐户所处理的数据被分类为敏感数据时,基于来自服务器的请求,或在任意其他时间或基于任意其它标准,向服务器提供加密密钥作为账户或注册更新的一部分。
在一个示例中,API安全管理器模块150在注册过程期间将客户端提供的密钥与特定客户端102A或多个客户端102A-102N相关联,其中一个或更多个客户端102A-102N被配置为访问由服务器机器110提供的安全API。在一个示例中,API安全管理器模块150识别和存储关于与客户端提供的密钥相关联的一个或更多个客户端102A-102N的信息。例如,API安全管理器模块150可以收集与一个或更多个客户端102A-102N中的每一个相关的标识信息(例如,机器名、IP地址、MAC地址、域、网络信息、网络路径等)。这样的信息可以包括对于客户端102A唯一的属性和关于客户端已知的其他一般信息(例如,典型的交易周期、频率、量等)。API安全管理器模块150可以在相应的客户端配置文件中针对一个或更多个客户端102A-102N中的每一个存储这样的信息。
在一个示例中,API安全管理器150将关于客户端102A已知的标识信息与在另一时间从客户端102A收集、汇集或接收的新的相应信息进行比较。例如,API安全管理器模块150可以将关于客户端102A已知的标识信息与在从客户端102A接收到API接口请求时收集或与其相关联的信息进行比较。
在一个示例中,API安全管理器模块150基于以下一个或更多个来检测与客户端102A相关联的改变:与客户端102A相关联的标识信息、与客户端102A相关联的网络信息、由客户端102A对服务器110API的使用、从客户端102A接收的API请求的交易属性等。例如,响应于检测到与客户端102A的身份和/或行为相关联的一个或更多个改变,API安全管理器模块150可以产生一个或更多个要向客户端102A发出的附加认证挑战。
附加认证挑战通常指的是由API安全管理器模块150执行的第二或额外级别的认证,从而在第一级别认证以外还进一步认证客户端102A。在一些示例中,考虑到检测到的与客户端102A相关联的改变,当客户端102A展现出与过去观察到的客户端102A行为模式相偏离的可疑行为时,除了第一级别认证以外,API安全管理器模块150可以基于客户端102A请求(例如,在客户端102A注册期间)随机地产生并向客户端102A发出一个或更多个附加认证挑战,以进一步认证从客户端102A接收到的服务器机器110API请求等。在一些示例中,第一级别认证挑战可以请求客户端102A提供一个或更多个凭证,诸如用户名、密码、PIN、密码短语等。
在一个示例中,附加认证挑战可以请求客户端102A求解一个或更多个数学计算,回答一个或更多个问题或者执行一个或更多个任务。
在一个示例中,API安全管理器模块150向客户机102A发出附加认证挑战,并请求客户端102A执行从特定计算机系统或网络位置获得资源(例如,文件)的任务。
在一个示例中,API安全管理器模块150发出涉及一个或更多个数学问题的附加认证挑战。例如,API安全管理器模块150可以请求客户端102A求解数字、方程、谜题或用语言描述的数学问题的数学问题。在一个示例中,API安全管理器模块150要求客户端102A为具有至少两个正确答案(例如,正确的肯定答案和否定答案等)的数学问题提供多个答案。
在一个示例中,API安全管理器模块150使用已经与客户端102A相关联的密钥对为客户端102A产生的附加认证挑战进行加密。在一个示例中,在向客户端102A发出附加认证挑战之前,API安全管理器模块150用与客户端102A相关联的密钥对附加认证挑战进行加密。例如,API安全管理器模块150可以在为了利用服务器机器110API的注册过程期间,使用先前从客户端102A接收的密钥来对附加认证挑战进行加密。
在一个示例中,由API安全管理器模块150接收的客户端102A提供的密钥可以用于在服务器机器110和客户端102A之间执行对称或非对称加密/解密中的一个。在一个示例中,由客户端102A提供给API安全管理器模块150的密钥108A可以用于对附加认证挑战进行加密和解密。在另一示例中,客户端可以向API安全管理器模块150提供密钥,用于对附加认证挑战进行加密,而客户端102A随后使用相应但不同的密钥108A对加密的附加认证挑战进行解密。例如,客户端102A可以向API安全管理器模块150提供用于加密数据的公钥,而客户端102A使用存储在由管理用户帐户拥有的高安全区域106A中的私钥108A对该数据进行解密。
在示例中,API安全管理器模块150向客户端102A发出附加认证挑战,并等待响应。在一个示例中,客户端102A接收从API安全管理器模块150发出的加密的附加认证挑战。例如,客户端102A上运行的web服务器104A、应用服务器或其他计算机程序可以从API安全管理器模块150接收加密的附加认证挑战。客户端102A上运行的web服务器104A、应用服务器或其他计算机程序随后可以将加密的附加认证挑战升级为有权访问安全区域106A的特权用户帐户或进程,所述安全区域106A保存了用于对加密的附加认证挑战进行解密的密钥108A。升级的用户或进程然后可以对附加认证挑战进行解密并将结果返回给客户端102A的调用web服务器104A、应用服务器或其他计算机程序。客户端102A然后可以处理附加认证挑战并且将相应的响应返回给API安全管理器模块150以进行评估。
在一个示例中,API安全管理器模块150在发出附加认证挑战之后等待一段时间,以允许客户端102A接收、处理和响应附加认证挑战。在一个示例中,API安全管理器模块150允许客户端102A在发生基于阈值的超时之前响应于所发出的附加认证挑战。此外,当API安全管理器模块150在超时发生之前没有从客户端102A接收到响应时,可以发出新的附加认证挑战,可以重发所发出的附加认证挑战,或者可以认为发出的认证挑战失败而无需进一步尝试。
在一个示例中,API安全管理器模块150从客户端102A接收对所发出的附加认证挑战的响应,分析从客户端102A接收的对附加认证挑战的响应,并且确定对附加认证挑战的响应是否是正确或可接受的。在一个示例中,API安全管理器模块150然后基于该确定向API请求处理器模块160提供附加认证挑战的结果。例如,API安全管理器模块150可以指示向客户端102A发出的附加认证挑战是成功还是不成功的。
在一个示例中,API请求处理器模块160基于附加认证挑战的结果执行一个或更多个活动。例如,API请求处理器模块160可以基于附加认证挑战的成功结果来执行从客户端102A接收的服务器110API请求。API请求处理器模块160还可以在接收到不正确的响应或者没有对附加认证挑战提供响应时,拒绝来自客户端102A的服务器机器110API请求。
在一个示例中,API请求处理器模块160阻止来自与不成功的附加认证挑战相关联的客户端102A的一个或更多个未决或后续服务器机器110API请求。API请求处理器模块160还可以阻止来自和与不成功的附加认证挑战相关联的另一客户端相关的客户端102A-102N的一个或更多个未决或后续服务器机器110API请求。例如,在这种情况下可以阻止与用户帐户相关联或与约定使用服务器机器110API的一方相关联的多个客户端102A-102N。
在一个示例中,当发生不成功的附加认证挑战和/或响应于不成功的附加认证挑战进行了安全调整时,API请求处理器模块160向与客户端102A帐户、服务器110帐户或合同方相关联的用户发送通知。例如,API请求处理器模块160可以通过发送电子邮件、发起呼叫、发送文本消息等来通知帐户持有者。在一些示例中,API请求处理器模块160基于附加认证挑战的结果来调整与一个或更多个客户端102A-102N或帐户相关联的风险模型。
图2是示出了根据本公开示例的使用增强认证的交易验证的流程图。方法200可以通过可以包括硬件(例如,电路、专用逻辑、可编程逻辑、微代码等)、软件(例如,在通用计算机系统、专用机器或处理设备上运行的指令)、固件或其组合在内的处理逻辑来执行。
方法200在框202处开始,其中交易认证系统130的API请求接收器模块140接收一个或更多个凭证以基于第一级别认证来认证从第二计算机系统接收的应用编程接口(API)请求。在一个示例中,API请求接收器模块140接收一个或更多个凭证以认证来自客户端102A的服务器机器110API请求。例如,客户端可以被提示或使用可用API来提供用户名、密码、PIN、密码短语等中的一个或更多个,以满足与服务器机器API相关联的第一级别认证。在一个示例中,API请求接收器模块140从客户端102A接收随API请求的客户端102A凭证。这样的凭证可以由客户端102A例如在会话开始时提供一次,在整个会话期间提供一次或多次,或一般地提供任意次数。
在框204,交易认证系统130的API安全管理器模块150向第二计算机系统发出附加认证挑战,以进一步认证应用编程接口请求。在一个示例中,API安全管理器模块150产生附加认证挑战,以在标准的第一级别认证以外进一步认证来自客户机102A的服务器机器110API请求。例如,API安全管理器模块150可以产生向请求访问或使用服务器机器110API的客户端102A发出的附加认证挑战。
在一个示例中,响应于检测到与客户端102A相关联的改变,API安全管理器模块150产生并向客户端102A发出附加认证挑战。例如,API安全管理器模块150可以检测身份改变、网络改变、行为改变、可疑交易行为或与客户端102A相关联的其他变化。作为响应,API安全管理器模块150可以产生并向与检测到的改变相关联的相应客户端102A发出一个或更多个附加认证挑战。
在一个示例中,API安全管理器模块150从客户端102A接收对附加认证挑战的响应。API安全管理器模块150然后分析对附加认证挑战的响应以确定该响应是否正确。在一些示例中,客户端102A例如使用SSL提供对附加认证挑战的加密响应,以保护数据隐私并保护数据免于未经授权的拦截。在一个示例中,API安全管理器模块150基于该确定向API请求处理器模块160提供附加认证挑战的结果。例如,由API安全管理器模块150提供的结果可以指示附加认证挑战是否成功。
在框206,交易认证系统130的API请求处理器模块160基于附加认证挑战的结果处理接收到的应用编程接口请求。在一个示例中,服务器机器110API的API请求处理器模块160基于成功的附加认证挑战结果来执行从客户端102A接收的请求。在一个示例中,API请求处理器模块160基于不成功的附加认证挑战结果而拒绝来自客户端102A的服务器机器110API请求。
在一个示例中,API请求处理器模块160基于不成功的附加认证挑战结果阻止来自客户端102A的一个或更多个未决和/或后续服务器机器110API请求。在一个示例中,API请求处理器模块160阻止来自与一个或更多个不成功的附加认证挑战相关联一组客户端102A-102N的一个或更多个未决和/或后续服务器机器110API请求。例如,可以响应于一个客户端102A的不成功的认证挑战结果而阻止与约定使用服务器机器110API的帐户或一方相关联的两个或更多个客户端102A-102N的组。
在一个示例中,API请求处理器模块160响应于一个或更多个不成功的附加认证挑战(例如,单个不成功结果、多个连续不成功结果、采样结果中超过预定义阈值的不成功结果的比例等),通知用户、客户端账户持有者或服务器机器110API所有者中的一个或更多个。例如,API请求处理器模块160可以发送电子邮件、发起呼叫、发送文本消息等。API请求处理器模块160还可以基于附加认证挑战的结果来调整与一个或更多个客户端102A-102N相关联的风险模型。例如,客户端102A信任级别可以响应于成功的结果而提高,并且可以响应于不成功的结果而降低。
图3是示出了根据本公开示例的使用具有加密的增强认证的交易验证的流程图。方法300可以通过可以包括硬件(例如,电路、专用逻辑、可编程逻辑、微代码等)、软件(例如,在通用计算机系统、专用机器或处理设备上运行的指令)、固件或其组合在内的处理逻辑来执行。
方法300在框302处开始,其中交易认证系统130的API安全管理器模块150接收用于对要向第二计算机系统发出的一个或更多个附加认证挑战进行加密的密钥。在一个示例中,API安全管理器模块150接收用于对要向客户端102A发出的附加认证挑战进行加密的密钥。例如,API安全管理器150可以从客户端102A接收密钥作为注册过程的一部分,其中通过所述注册过程客户端102A被配置为访问服务器110API。在一个示例中,API安全管理器150从用于对要向客户端102A发出的附加认证挑战进行加密的PGP密钥对接收公钥。公钥对应于存储在客户端102A的安全区域106A中的私钥108A,并且被有权访问安全区域106A的特权客户端102A帐户用来对附加认证挑战进行解密。
在框304,交易认证系统130的API请求接收器模块140从第二计算机系统接收应用编程接口请求。在一个示例中,API请求接收器模块140从客户端102A接收服务器机器110API请求。例如,客户端102A可以向服务器机器110发送API请求以调用提供金融业务、电子商务、电子邮件、社交网络或其他服务的API。
在框306,API请求接收器模块140接收一个或更多个凭证,以基于第一级别认证来认证应用编程接口请求。在一个示例中,API请求接收器模块140从试图访问服务器机器110API的客户端102A接收一个或更多个第一级别认证凭证。第一级别认证凭证可以包括用户名、密码、PIN、密码短语等的任意组合。在一个示例中,API请求接收器模块140接收随API请求的一个或更多个第一级别认证凭证。在另一示例中,API请求接收器模块140在与API请求分开的客户端102A通信中接收第一级别认证凭证。
在框308,API安全管理器模块150检测与第二计算机系统相关联的改变。在一个示例中,API安全管理器模块150收集和存储关于一个或更多个客户端102A-102N的信息。例如,API安全管理器模块150可以收集与一个或更多个客户端102A-102N中的每一个相关的标识或其他信息(例如,机器名、IP地址、MAC地址、域、网络信息、网络路径等)。这样的信息可以包括对于客户端102A唯一的属性和关于客户端102A已知的其他一般信息(例如,典型的交易周期、频率、量等)。在一个示例中,API安全管理器模块150在相应的客户端配置文件中针对一个或更多个客户端102A-102N中的每一个存储这样的信息。
在一个示例中,API安全管理器150将关于客户端102A已知的信息与在另一时间从客户端102A收集、汇集或接收的新的相应信息进行比较。例如,API安全管理器模块150可以将关于客户端102A已知的标识信息与从客户端102A接收的API接口请求相关联的信息进行比较。在一个示例中,API安全管理器模块150基于客户端102A标识信息、客户端102A网络信息、常规客户端102A行为、API请求的交易属性、客户端102A API请求的频率等中的一个或更多个来检测与客户端102A相关联的改变。
在框310,API安全管理器模块150产生附加认证挑战,以进一步认证应用编程接口请求。在一个示例中,响应于检测到与客户端102A的身份或行为相关联的一个或更多个改变,API安全管理器模块150产生附加认证挑战。
在一个示例中,由API安全管理器模块150产生的附加认证挑战可以包括一个或更多个数学计算、一个或更多个基于事实的、预定或秘密的问题或一个或更多个任务。在一个示例中,API安全管理器模块150产生附加认证,要求客户端102A执行从某一位置获得资源(例如,文件、数据)的任务。
在框312,API安全管理器模块150向第二计算机系统发出附加认证挑战。在一个示例中,API安全管理器模块150向客户端102A发出附加认证挑战,以在第一级别认证以外进一步认证客户端102A的身份。例如,响应于检测到与客户端102A相关联的改变,API安全管理器模块150可以向客户端102A发出附加认证挑战。在一些示例中,API安全管理器模块150识别与客户端102A相关联的身份改变、网络改变、行为改变、可疑交易属性或行为或观察到的与客户端102A相关联的其他不同。
在一个示例中,API安全管理器模块150稍后从客户端102A接收对附加认证挑战的响应,并分析该响应以确定结果。API安全管理器模块150然后可以基于该确定向API请求处理器模块160提供附加认证挑战的结果。例如,API安全管理器模块150提供的结果可以指示客户端102A提供了对附加认证挑战的正确还是不正确的响应。
在框314,API请求处理器模块160基于附加认证挑战的结果处理应用编程接口请求。在交易认证系统130的API请求处理器模块160中,基于附加认证挑战的结果,处理从客户端102A接收的API请求。在一个示例中,服务器机器110API的API请求处理器模块160基于成功的结果来执行服务器机器110API请求。在另一示例中,API请求处理器模块160基于不成功的结果拒绝服务器机器110API请求。
在示例中,当附加认证挑战不成功时,API请求处理器模块160通知一个或更多个用户、帐户持有者或其他方。例如,API请求处理器模块160可以通过发送电子邮件、发起呼叫、发送文本消息等来提供通知。在一个示例中,API请求处理器模块160基于附加认证挑战的结果来调整与一个或更多个客户端102A-102N相关联的风险模型。例如,客户端102A信任级别可以响应于成功的结果而提高,并且可以响应于不成功的结果而降低。
图4示出了具有计算机系统400的示例形式的机器的示图,在计算机系统400中,可以执行一组指令以使所述机器执行本文讨论的方法中的任意一个或更多个。在其他示例中,机器可以连接(例如,联网)到LAN、内联网、外联网或互联网中的其他机器。机器可以在客户端-服务器网络环境中以服务器机器或客户机的能力进行操作,或者作为对等(或分布式)网络环境中的对等机器进行操作。机器可以是个人计算机(PC)、平板PC、机顶盒(STB)、个人数字助理(PDA)、蜂窝电话、网络家电、服务器、网络路由器、交换机或桥接器、或能够(顺序地或以其他方式)执行指定要由机器进行动作的指令集合的任何机器。此外,虽然只示出单个机器,但是术语“机器”还应当指包括单独或共同地执行指令集合(或多个集合)以执行本文描述的任意一个或更多个方法的机器的任意集合。
示例性计算机系统400包括经由总线430彼此通信的处理设备(处理器)402、主存储器404(例如,只读存储器(ROM)、闪存、动态随机存取存储器(例如同步DRAM(SDRAM)、双数据率(DDR SDRAM)或DRAM(RDRAM))等)、静态存储器406(例如,闪存、静态随机存取存储器(SRAM)等)和数据存储设备418。
处理器402表示一个或更多个通用处理设备,例如微处理器、中央处理单元等。更具体地,处理器402可以是复杂指令集计算(CISC)微处理器、精简指令集计算(RISC)微处理器、超长指令字(VLIW)微处理器或实现其他指令集的处理器或实现指令集的组合的处理器。处理器402还可以是一个或更多个专用处理设备,例如专用集成电路(ASIC)、现场可编程门阵列(FPGA)、数字信号处理器(DSP)、网络处理器等。处理器402被配置为执行用于执行本文所讨论的操作和步骤的指令422。
计算机系统400还可以包括网络接口设备408。计算机系统400还可以包括视频显示单元410(例如,液晶显示器(LCD)或阴极射线管(CRT))、字母数字输入设备412(例如键盘)、光标控制设备414(例如,鼠标)和信号产生设备416(例如,扬声器)。
数据存储设备418可以包括计算机可读存储介质428,在该介质上存储了表现本文描述的任意一个或更多个方法或功能的指令422(例如,软件)的一个或更多个集合。指令422还可以在其通过计算机系统400执行期间完全或至少部分驻留在主存储器404和/或处理器402内,主存储器404和处理器402还构建了计算机可读存储介质。还可以经由网络接口设备408通过网络420发送或接收指令422。
在一个示例中,指令422包括用于交易认证系统(例如,图1的交易认证系统130)的一个或更多个模块的指令和/或包含调用交易认证系统130的方法在内的软件库。尽管在示例中将计算机可读存储介质428(机器可读存储介质)示为单个介质,但是术语"计算机可读存储介质"应当被视为包括存储一个或更多个指令集合的单个介质或多个介质(例如,集中式或分布式数据库和/或关联的缓存和服务器)。术语“计算机可读存储介质”还应被视为包括能够存储、编码或承载被机器执行、并且使该机器执行本文公开的方法中的任意一个或更多个的指令集合的任意介质。术语“计算机可读存储介质”因此应当被看做包括但不限于固态存储器、光介质和磁介质。
在前面的描述中,阐述了许多细节。然而,对于了解了本公开的本领域普通技术人员将显而易见的是,本公开可以在没有这些具体细节的情况下实施。在一些实例中,以框图形式而不是具体地示出了公知的结构和设备,以避免对本公开造成混淆。
已经在计算机存储器内的数据位的操作的算法和符号表示方面呈现了详细描述的一些部分。算法在这里通常被设想为导致期望结果的自相一致的步骤顺序。步骤是需要物理量的物理操纵的步骤。通常(尽管并不一定),这些量采用能够被存储、传送、组合、比较和以其它方式操纵的电或磁信号的形式。已证明为了方便,为通常使用的原因,这些信号可以利用比特、值、元素、符号、特征、项、数字等来进行表示。
然而,应当记住,所有这些和类似的术语将与适当的物理量相关联,并且仅仅是应用于这些量的方便的标记。除非如以下讨论中显而易见的另外明确指出的声明,否则应当意识到:在说明书全文中,使用诸如“计算”或“比较”或“应用”、“发送”、“接收”、“处理”等之类的术语的讨论指代计算机系统或类似电子计算设备的动作和进程,该计算机系统或类似电子计算设备将表示为计算机系统的寄存器和存储器中的物理(电子)量的数据操纵和变换为类似表示为计算机系统存储器或寄存器或其他这种信息存储、传输或显示设备中的物理量的其他数据。
本公开的某些示例还涉及用于执行这里的操作的装置。该装置可以被构造用于预期目的,或者其可以包括通过存储在计算机中的计算机程序而选择性地激活或重新配置的通用计算机。这样的计算机程序可以存储在计算机可读存储介质中,诸如但不限于任何类型的盘,包括软盘、光盘、CD-ROM和磁光盘、只读存储器(ROM)、随机存取存储器(RAM)、EPROM、EEPROM、磁卡或光卡或适于存储电子指令的任意类型的介质。
应当理解,上述描述是说明性的,而不是限制性的。本领域技术人员在阅读和理解以上描述时将清楚很多其他示例。因此,本公开的范围应当参考所附权利要求以及这些权利要求所赋予的等同物的全部范围来确定。
Claims (15)
1.一种计算机系统,包括:
存储指令的非暂时性存储器;以及
一个或多个硬件处理器,耦合到所述非暂时性存储器并被配置为从所述非暂时性存储器读取指令以使所述系统执行操作,所述操作包括:
从客户端接收应用编程接口API请求;
使用客户端提供的凭证对所述API请求执行第一级认证;
至少基于所述客户端的已知的标识信息与在从所述客户端接收到所述API请求时收集的信息的比较,确定所述客户端是否偏离预期行为;
当至少部分基于所述比较确定所述客户端偏离预期行为时,生成利用在所述API请求之前从授权使用所述API的客户端接收的密钥进行加密的认证挑战,以便对所述API请求执行第二级认证;并且
向客户端发出所述加密的认证挑战以认证所述API请求。
2.根据权利要求1所述的计算机系统,其中,所述确定至少部分基于确定关于客户端的已知信息不同于与从所述客户端接收的所述AP I请求相关联的信息。
3.根据权利要求1所述的计算机系统,其中所述操作还包括:
基于向客户端发出所述加密的认证挑战的结果来处理所述API请求。
4.根据权利要求1所述的计算机系统,其中,所述偏离是至少部分基于与所述客户端之前对所述API的使用相比时、所述客户端对所述API的使用的变化来确定的。
5.根据权利要求1所述的计算机系统,其中所述偏离是至少部分基于与所述API所关联的典型的交易周期的偏差来确定的。
6.一种计算机实现的方法,包括:
通过一个或多个处理设备接收来自客户端的应用编程接口API请求;
使用客户端提供的凭证对所述API请求执行第一级认证;
通过一个或多个处理设备至少基于所述客户端的已知的标识信息与在从所述客户端接收到所述API请求时收集的信息的比较,确定客户端是否偏离预期行为;
当至少部分基于所述比较确定所述客户端偏离预期行为时,通过一个或多个处理设备生成利用在所述API请求之前从授权使用所述API的客户端接收的密钥进行加密的认证挑战,以便对所述API请求执行第二级认证;并且
通过一个或多个处理设备向客户端发出所述加密的认证挑战以认证所述API请求。
7.根据权利要求6所述的计算机实现的方法,其中,所述确定包括确定关于客户端的已知信息不同于与从所述客户端接收的所述API请求相关联的信息。
8.根据权利要求6所述的计算机实现的方法,还包括:
基于向客户端发出所述加密的认证挑战的结果来处理所述API请求。
9.根据权利要求6所述的计算机实现的方法,其中,所述偏离是至少部分基于当与客户端对API的先前使用相比时、所述客户端的行为变化来确定的。
10.根据权利要求6所述的计算机实现的方法,其中,所述偏离是至少部分基于与所述API所关联的典型的交易周期的偏差来确定的。
11.一种非暂时性机器可读介质,其上存储有机器可读指令,所述指令能够执行以使机器执行操作,所述操作包括:
从客户端接收应用编程接口API请求;
使用客户端提供的凭证对所述API请求执行第一级认证;
至少基于所述客户端的已知的标识信息与在从所述客户端接收到所述API请求时收集的信息的比较,确定客户端是否偏离预期行为;
当至少部分基于所述比较确定所述客户端偏离预期行为时,生成利用在所述API请求之前从授权使用所述API的客户端接收的密钥进行加密的认证挑战,以便对所述API请求执行第二级认证;并且
向客户端发出所述加密的认证挑战以认证所述API请求。
12.根据权利要求11所述的非暂时性机器可读介质,其中,所述确定包括确定关于客户端的已知信息不同于与从所述客户端接收的所述API请求相关联的信息。
13.根据权利要求11所述的非暂时性机器可读介质,其中,所述操作还包括:
基于向客户端发出所述加密的认证挑战的结果来处理所述API请求。
14.根据权利要求11所述的非暂时性机器可读介质,其中,所述偏离是至少部分基于当与客户端对API的先前使用相比时、所述客户端在使用API时的变化来确定的。
15.根据权利要求11所述的非暂时性机器可读介质,其中,所述偏离是至少部分基于与所述API所关联的典型的交易周期的偏差来确定的。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110938816.9A CN113794686B (zh) | 2014-09-25 | 2015-09-21 | 通过增强认证的交易验证 |
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/496,160 US9363267B2 (en) | 2014-09-25 | 2014-09-25 | Transaction verification through enhanced authentication |
| US14/496,160 | 2014-09-25 | ||
| PCT/US2015/051281 WO2016048915A1 (en) | 2014-09-25 | 2015-09-21 | Transaction verification through enhanced authentication |
| CN202110938816.9A CN113794686B (zh) | 2014-09-25 | 2015-09-21 | 通过增强认证的交易验证 |
| CN201580052145.9A CN106716343B (zh) | 2014-09-25 | 2015-09-21 | 通过增强认证的交易验证 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580052145.9A Division CN106716343B (zh) | 2014-09-25 | 2015-09-21 | 通过增强认证的交易验证 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113794686A CN113794686A (zh) | 2021-12-14 |
| CN113794686B true CN113794686B (zh) | 2024-04-26 |
Family
ID=55581869
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580052145.9A Active CN106716343B (zh) | 2014-09-25 | 2015-09-21 | 通过增强认证的交易验证 |
| CN202110938816.9A Active CN113794686B (zh) | 2014-09-25 | 2015-09-21 | 通过增强认证的交易验证 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580052145.9A Active CN106716343B (zh) | 2014-09-25 | 2015-09-21 | 通过增强认证的交易验证 |
Country Status (5)
| Country | Link |
|---|---|
| US (4) | US9363267B2 (zh) |
| EP (1) | EP3198397B1 (zh) |
| KR (3) | KR102601356B1 (zh) |
| CN (2) | CN106716343B (zh) |
| WO (1) | WO2016048915A1 (zh) |
Families Citing this family (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9363267B2 (en) | 2014-09-25 | 2016-06-07 | Ebay, Inc. | Transaction verification through enhanced authentication |
| US9673979B1 (en) * | 2015-06-26 | 2017-06-06 | EMC IP Holding Company LLC | Hierarchical, deterministic, one-time login tokens |
| US11816672B1 (en) * | 2015-09-22 | 2023-11-14 | Wells Fargo Bank, N.A. | Flexible authentication |
| US10470043B1 (en) | 2015-11-19 | 2019-11-05 | Wells Fargo Bank, N.A. | Threat identification, prevention, and remedy |
| US10462138B2 (en) * | 2016-02-19 | 2019-10-29 | Google Llc | Application programming interface access controls |
| US10552442B1 (en) * | 2016-08-29 | 2020-02-04 | Amazon Technologies, Inc. | Stateful database application programming interface |
| EP3306506B1 (en) * | 2016-10-07 | 2018-08-15 | Axis AB | Authentication of a new device by a trusted device |
| US10284556B1 (en) * | 2016-11-11 | 2019-05-07 | Symantec Corporation | Systems and methods for verifying authentication requests using internet protocol addresses |
| US10803190B2 (en) | 2017-02-10 | 2020-10-13 | BlueTalon, Inc. | Authentication based on client access limitation |
| US10672211B2 (en) | 2017-08-31 | 2020-06-02 | BinBox, Inc. | Secure storage systems and methods |
| US10785214B2 (en) | 2018-06-01 | 2020-09-22 | Bank Of America Corporation | Alternate user communication routing for a one-time credential |
| US10785220B2 (en) | 2018-06-01 | 2020-09-22 | Bank Of America Corporation | Alternate user communication routing |
| CN109003078B (zh) | 2018-06-27 | 2021-08-24 | 创新先进技术有限公司 | 基于区块链的智能合约调用方法及装置、电子设备 |
| CN113095822A (zh) * | 2018-06-27 | 2021-07-09 | 创新先进技术有限公司 | 基于区块链的智能合约调用方法及装置、电子设备 |
| US11178169B2 (en) * | 2018-12-27 | 2021-11-16 | Paypal, Inc. | Predicting online electronic attacks based on other attacks |
| US11494505B2 (en) * | 2019-03-21 | 2022-11-08 | Microsoft Technology Licensing, Llc | Hiding secure area of a file storage system based on client indication |
| WO2020257547A1 (en) * | 2019-06-19 | 2020-12-24 | BinBox, Inc. | Secure storage systems and methods |
| US11165787B2 (en) * | 2019-08-26 | 2021-11-02 | Bank Of America Corporation | System for authorization of electronic data access and processing functions within a distributed server network |
| US11411731B2 (en) * | 2019-09-03 | 2022-08-09 | Fujitsu Limited | Secure API flow |
| US11328041B2 (en) * | 2020-01-28 | 2022-05-10 | Dell Products L.P. | Computing system virtualization continuous authentication system |
| US11425129B1 (en) | 2021-02-03 | 2022-08-23 | Yaron Oliker | System and method of secured communication |
| US20220343028A1 (en) * | 2021-04-23 | 2022-10-27 | Citrix Systems, Inc. | Application programming interface (api) call security |
| US11882057B2 (en) | 2022-03-28 | 2024-01-23 | Bank Of America Corporation | Pluggable cloud security system |
| CN114760133B (zh) * | 2022-04-15 | 2023-10-03 | 中国电信股份有限公司 | RESTful接口认证方法、装置、系统、设备及介质 |
| CN115396885A (zh) * | 2022-08-26 | 2022-11-25 | 中国联合网络通信集团有限公司 | 一种密钥安全管理方法、装置、电子设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102449653A (zh) * | 2009-06-04 | 2012-05-09 | 聚积公司 | 基于用户标识的交易功能的选择 |
| US8255971B1 (en) * | 2008-03-03 | 2012-08-28 | Jpmorgan Chase Bank, N.A. | Authentication system and method |
| CN102916968A (zh) * | 2012-10-29 | 2013-02-06 | 北京天诚盛业科技有限公司 | 身份认证方法、身份认证服务器和身份认证装置 |
| CN103020825A (zh) * | 2012-12-05 | 2013-04-03 | 福建省派活园科技信息有限公司 | 一种基于软体客户端的安全支付认证方法 |
Family Cites Families (35)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7257836B1 (en) | 2000-04-24 | 2007-08-14 | Microsoft Corporation | Security link management in dynamic networks |
| JP2004535118A (ja) * | 2001-05-25 | 2004-11-18 | アメリカ オンライン インコーポレーティッド | 主鍵のトラストの認可と副鍵の失効 |
| US7100054B2 (en) * | 2001-08-09 | 2006-08-29 | American Power Conversion | Computer network security system |
| US8332464B2 (en) | 2002-12-13 | 2012-12-11 | Anxebusiness Corp. | System and method for remote network access |
| US8996423B2 (en) * | 2005-04-19 | 2015-03-31 | Microsoft Corporation | Authentication for a commercial transaction using a mobile module |
| US20060235795A1 (en) * | 2005-04-19 | 2006-10-19 | Microsoft Corporation | Secure network commercial transactions |
| US20070150934A1 (en) | 2005-12-22 | 2007-06-28 | Nortel Networks Ltd. | Dynamic Network Identity and Policy management |
| US20070223685A1 (en) | 2006-02-06 | 2007-09-27 | David Boubion | Secure system and method of providing same |
| US8112817B2 (en) | 2006-10-30 | 2012-02-07 | Girish Chiruvolu | User-centric authentication system and method |
| EP2250607A1 (en) * | 2008-03-04 | 2010-11-17 | Apple Inc. | System and method of authorizing execution of software code based on accessible entitlements |
| JP5228943B2 (ja) * | 2009-01-27 | 2013-07-03 | 富士通株式会社 | 最小権限違反検出プログラム |
| US8296568B2 (en) * | 2009-10-27 | 2012-10-23 | Google Inc. | Systems and methods for authenticating an electronic transaction |
| US9213709B2 (en) * | 2012-08-08 | 2015-12-15 | Amazon Technologies, Inc. | Archival data identification |
| US9195822B2 (en) * | 2011-12-20 | 2015-11-24 | Visa International Service Association | Familiar dynamic human challenge response test content |
| US9495227B2 (en) * | 2012-02-10 | 2016-11-15 | Twilio, Inc. | System and method for managing concurrent events |
| US9225675B2 (en) * | 2012-08-08 | 2015-12-29 | Amazon Technologies, Inc. | Data storage application programming interface |
| WO2014094033A1 (en) * | 2012-12-21 | 2014-06-26 | My Verified Id Limited | Computer implemented frameworks and methodologies for enabling identification verification in an online environment |
| US8990917B2 (en) * | 2012-12-27 | 2015-03-24 | Alcatel Lucent | Authentication of applications that access web services |
| US9374369B2 (en) * | 2012-12-28 | 2016-06-21 | Lookout, Inc. | Multi-factor authentication and comprehensive login system for client-server networks |
| US9813307B2 (en) * | 2013-01-28 | 2017-11-07 | Rackspace Us, Inc. | Methods and systems of monitoring failures in a distributed network system |
| KR101934025B1 (ko) * | 2013-02-22 | 2018-12-31 | 삼성전자주식회사 | 보안 정책을 적용하는 단말기, 서버 및 그 제어 방법 |
| CN103312515B (zh) * | 2013-06-21 | 2016-04-20 | 百度在线网络技术(北京)有限公司 | 授权令牌的生成方法、生成装置、认证方法和认证系统 |
| US9794339B2 (en) * | 2013-09-12 | 2017-10-17 | Data Accelerator Ltd. | Accelerated remote operation system API requests |
| US8793359B1 (en) * | 2013-11-25 | 2014-07-29 | Software Ag | Systems and/or methods for intelligently detecting API key domains |
| US9881304B2 (en) * | 2014-01-24 | 2018-01-30 | Ca, Inc. | Risk-based control of application interface transactions |
| US9854001B1 (en) * | 2014-03-25 | 2017-12-26 | Amazon Technologies, Inc. | Transparent policies |
| US9661013B2 (en) * | 2014-05-30 | 2017-05-23 | Ca, Inc. | Manipulating API requests to indicate source computer application trustworthiness |
| US9363267B2 (en) | 2014-09-25 | 2016-06-07 | Ebay, Inc. | Transaction verification through enhanced authentication |
| US10581977B2 (en) * | 2015-06-02 | 2020-03-03 | ALTR Solutions, Inc. | Computer security and usage-analysis system |
| US10574699B1 (en) * | 2015-11-30 | 2020-02-25 | Amazon Technologies, Inc. | Load balancer request processing |
| JP6617617B2 (ja) * | 2016-03-10 | 2019-12-11 | 富士通株式会社 | 管理装置、管理プログラム及び管理方法 |
| US10362141B1 (en) * | 2016-03-29 | 2019-07-23 | Amazon Technologies, Inc. | Service group interaction management |
| US10872136B2 (en) * | 2017-12-28 | 2020-12-22 | Paypal, Inc. | Using an NP-complete problem to deter malicious clients |
| US20210397940A1 (en) * | 2020-06-10 | 2021-12-23 | Nvidia Corporation | Behavior modeling using client-hosted neural networks |
| US20220210151A1 (en) * | 2020-12-30 | 2022-06-30 | Mastercard Technologies Canada ULC | Systems and methods for passive multi-factor authentication of device users |
-
2014
- 2014-09-25 US US14/496,160 patent/US9363267B2/en active Active
-
2015
- 2015-09-21 CN CN201580052145.9A patent/CN106716343B/zh active Active
- 2015-09-21 KR KR1020227017371A patent/KR102601356B1/ko active IP Right Grant
- 2015-09-21 CN CN202110938816.9A patent/CN113794686B/zh active Active
- 2015-09-21 KR KR1020217015323A patent/KR102402924B1/ko active IP Right Grant
- 2015-09-21 KR KR1020177009711A patent/KR102257157B1/ko active IP Right Grant
- 2015-09-21 WO PCT/US2015/051281 patent/WO2016048915A1/en active Application Filing
- 2015-09-21 EP EP15843512.3A patent/EP3198397B1/en active Active
-
2016
- 2016-05-19 US US15/159,398 patent/US11075767B2/en active Active
-
2021
- 2021-07-07 US US17/369,260 patent/US11695576B2/en active Active
-
2023
- 2023-05-17 US US18/198,371 patent/US20230291580A1/en active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8255971B1 (en) * | 2008-03-03 | 2012-08-28 | Jpmorgan Chase Bank, N.A. | Authentication system and method |
| CN102449653A (zh) * | 2009-06-04 | 2012-05-09 | 聚积公司 | 基于用户标识的交易功能的选择 |
| CN102916968A (zh) * | 2012-10-29 | 2013-02-06 | 北京天诚盛业科技有限公司 | 身份认证方法、身份认证服务器和身份认证装置 |
| CN103020825A (zh) * | 2012-12-05 | 2013-04-03 | 福建省派活园科技信息有限公司 | 一种基于软体客户端的安全支付认证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR102402924B1 (ko) | 2022-05-30 |
| WO2016048915A1 (en) | 2016-03-31 |
| US20170214531A1 (en) | 2017-07-27 |
| KR20210062728A (ko) | 2021-05-31 |
| US11695576B2 (en) | 2023-07-04 |
| KR20170062474A (ko) | 2017-06-07 |
| CN106716343A (zh) | 2017-05-24 |
| EP3198397A1 (en) | 2017-08-02 |
| US20210336803A1 (en) | 2021-10-28 |
| KR102257157B1 (ko) | 2021-05-27 |
| KR20220076529A (ko) | 2022-06-08 |
| KR102601356B1 (ko) | 2023-11-13 |
| EP3198397B1 (en) | 2021-10-20 |
| US9363267B2 (en) | 2016-06-07 |
| CN106716343B (zh) | 2021-09-03 |
| US11075767B2 (en) | 2021-07-27 |
| US20160094551A1 (en) | 2016-03-31 |
| CN113794686A (zh) | 2021-12-14 |
| US20230291580A1 (en) | 2023-09-14 |
| EP3198397A4 (en) | 2018-05-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113794686B (zh) | 通过增强认证的交易验证 | |
| US11818272B2 (en) | Methods and systems for device authentication | |
| US11558381B2 (en) | Out-of-band authentication based on secure channel to trusted execution environment on client device | |
| US10904234B2 (en) | Systems and methods of device based customer authentication and authorization | |
| US11102191B2 (en) | Enabling single sign-on authentication for accessing protected network services | |
| US8214890B2 (en) | Login authentication using a trusted device | |
| US11070556B2 (en) | Context-based possession-less access of secure information | |
| US20180262471A1 (en) | Identity verification and authentication method and system | |
| Saini | Comparative analysis of top 5, 2-factor authentication solutions | |
| Binu et al. | A proof of concept implementation of a mobile based authentication scheme without password table for cloud environment | |
| Fietkau et al. | Secure Authentication for Everyone! Enabling 2nd-Factor Authentication Under Real-World Constraints |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |