ES2849025T3 - Sistema y método para implementar un servicio de autenticación alojado - Google Patents
Sistema y método para implementar un servicio de autenticación alojado Download PDFInfo
- Publication number
- ES2849025T3 ES2849025T3 ES15828152T ES15828152T ES2849025T3 ES 2849025 T3 ES2849025 T3 ES 2849025T3 ES 15828152 T ES15828152 T ES 15828152T ES 15828152 T ES15828152 T ES 15828152T ES 2849025 T3 ES2849025 T3 ES 2849025T3
- Authority
- ES
- Spain
- Prior art keywords
- authentication
- hosted
- assertion
- authentication service
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/80—Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
- Telephonic Communication Services (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
Un sistema que comprende: una o más plataformas de hardware que implementan un servicio de autenticación alojado (450) para proporcionar servicios de autenticación para partes de confianza (202, 430); el servicio de autenticación alojado (450) y las partes de confianza (202, 430) son partes independientes, el servicio de autenticación alojado (450) registra una parte de confianza (202, 430) al compartir una clave (436) con la parte de confianza (202, 430), y el servicio de autenticación alojado (450) comprende un portal de administración (451) a través del cual un administrador de la parte de confianza configura el servicio de autenticación alojado (450) para proporcionar servicios de autenticación en nombre de la parte de confianza (202, 430); la inserción de un primer componente de código de programa proporcionado por el servicio de autenticación alojado (450) en una aplicación alojada por la parte de confianza (202, 430), y el primer componente de código de programa hace que un dispositivo cliente (460) que accede a la aplicación sea redirigido al servicio de autenticación alojado (450) para una autenticación de usuario y otras funciones relacionadas con la autenticación que incluyen el registro de uno o más autenticadores nuevos (465) y la eliminación del registro de uno o más autenticadores (465) del dispositivo cliente de usuario; y la transmisión por parte del servicio de autenticación alojado (450), basándose en una pluralidad de diferentes eventos relacionados con la autenticación que ocurren entre el dispositivo cliente (460) y el servicio de autenticación alojado (450), de una pluralidad de aserciones directamente a la parte de confianza (202, 430), omitiendo de esta forma el dispositivo cliente (460), y cada aserción de la pluralidad de aserciones especifica un evento diferente relacionado con la autenticación que ocurre entre el dispositivo cliente (460) y el servicio de autenticación alojado (450), y cada aserción de la pluralidad de aserciones incluye al menos una indicación, en donde una primera aserción indica que el usuario ha registrado un nuevo autenticador (465) con una robustez/nivel de seguridad asociado, una segunda aserción indica que el usuario ha eliminado el registro de un autenticador (465) y una tercera aserción indica que el usuario se ha autenticado con el servicio de autenticación usando un autenticador (465), en donde la parte de confianza valida cada aserción de la pluralidad de aserciones por medio de la clave (436).
Description
DESCRIPCIÓN
Sistema y método para implementar un servicio de autenticación alojado
Antecedentes
Campo de la invención
Esta invención se refiere en general al campo de los sistemas de procesamiento de datos. Más en concreto, la invención se refiere a un sistema y método para implementar un servicio de autenticación alojado.
Descripción de la técnica relacionada
También se han diseñado sistemas para proporcionar una autenticación de usuario segura a través de una red utilizando sensores biométricos. En dichos sistemas, puede enviarse una puntuación generada por un autenticador y/u otros datos de autenticación a través de una red para autenticar al usuario con un servidor remoto. Por ejemplo, en la solicitud de patente n.° 2011/0082801 (en lo sucesivo denominada la “solicitud 0082801”) se describe un marco para el registro y la autenticación de usuarios en una red que proporciona una autenticación robusta (por ejemplo, protección contra el robo de identidad y la suplantación de identidad (phishing)), transacciones seguras (por ejemplo, una protección contra ataques de “malware en el navegador” y “ataque de intermediario” para transacciones), e inscripción/administración de tokens de autenticación de clientes (por ejemplo, lectores de huellas dactilares, dispositivos de reconocimiento facial, tarjetas inteligentes, módulos de plataforma segura, etc.).
El cesionario de la presente solicitud ha desarrollado una variedad de mejoras en el marco de la autenticación descrito en la solicitud 0082801. Algunas de estas mejoras se describen en el siguiente conjunto de solicitudes de patentes de Estados Unidos de América, las cuales han sido concedidas al cesionario actual: número de serie 13/730.761, Query System and Method to Determine Authentication Capabilities (“Sistema de consulta y método para determinar las capacidades de autenticación”); número de serie 13/730.776, System and Method for Efficiently Enrolling, Registering, and Authenticating With Multiple Authentication Devices (“Sistema y método para inscribirse, registrarse y autenticarse de manera eficiente con múltiples dispositivos de autenticación”); número de serie 13/730.780, System and Method for Processing Random Challenges Within an Authentication Framework (“Sistema y método para procesar desafíos aleatorios dentro de un marco de autenticación”); número de serie 13/730.791, System and Method for Implementing Privacy Classes Within an Authentication Framework (“Sistema y método para implementar clases de privacidad dentro de un marco de autenticación”); número de serie 13/730.795, System and Method for Implementing Transaction Signaling Within an Authentication Framework (“Sistema y método para implementar la señalización de transacciones dentro de un marco de autenticación”); y número de serie 14/218.504, Advanced Authentication Techniques and Applications (“Técnicas y aplicaciones avanzadas de autenticación”) (en lo sucesivo denominada la “solicitud 218.504”). En ocasiones, estas solicitudes se denominan en el presente las “solicitudes pendientes de tramitación”.
Brevemente, en las solicitudes pendientes de tramitación se describen técnicas de autenticación en las que un usuario se inscribe con dispositivos de autenticación (o autenticadores), como por ejemplo dispositivos biométricos (por ejemplo, sensores de huellas dactilares) en un dispositivo cliente. Cuando un usuario se inscribe con un dispositivo biométrico, se capturan datos de referencia biométrica (por ejemplo, al deslizar rápidamente un dedo, tomar una foto, grabar una voz, etc.). El usuario puede posteriormente registrar/aprovisionar los dispositivos de autenticación con uno o más servidores a través de una red (por ejemplo, sitios web u otras partes de confianza (relying parties) equipadas con servicios de transacciones seguras como se describe en las solicitudes pendientes de tramitación); y posteriormente autenticarse con esos servidores utilizando datos intercambiados durante el proceso de registro (por ejemplo, claves criptográficas aprovisionadas en los dispositivos de autenticación). Una vez autenticado, se permite al usuario realizar una o más transacciones en línea con un sitio web u otra parte de confianza. En el marco descrito en las solicitudes pendientes de tramitación, la información confidencial, como por ejemplo los datos de huellas dactilares y otros datos que se pueden usar para identificar de forma única al usuario, puede retenerse localmente en el dispositivo de autenticación del usuario para proteger la privacidad del usuario.
En la solicitud 218.504 se describe una variedad de técnicas adicionales que incluyen técnicas para diseñar autenticadores compuestos, generar de manera inteligente niveles de garantía de autenticación, usar verificación de usuario no intrusiva, transferir datos de autenticación a nuevos dispositivos de autenticación, aumentar los datos de autenticación con datos de riesgo de clientes y aplicar políticas de autenticación de forma adaptativa, y crear círculos de confianza, por nombrar solo algunas de las técnicas.
Se hace referencia a la patente de Estados Unidos 2010/299738 A1, en la que se describen técnicas para administrar el acceso a servicios (por ejemplo, sitios web, aplicaciones, resultados de operaciones ejecutables, etc.) que son proporcionados por partes de confianza. Una parte de confianza es un sistema de procesamiento que se basa en un proveedor de identidades para autenticar una entidad (por ejemplo, un usuario o una aplicación de software) que intenta acceder a un servicio proporcionado por la parte de confianza. El proveedor de identidades es un sistema de procesamiento que está configurado para realizar operaciones de autenticación y autorización con
respecto a la entidad. El proveedor de identidades genera una notificación que indica los derechos de acceso de la entidad con respecto a la parte de confianza. El proveedor de identidades proporciona la notificación a la parte de confianza mediante un sistema de usuario o mediante un enlace directo o indirecto que omite el sistema de usuario. La parte de confianza determina si permite a la entidad acceder al servicio basándose en los derechos de acceso indicados por la notificación.
También se hace referencia a la patente de Estados Unidos n.° 2005/223217 A1, en la que se describe cómo un usuario se autentica para una entidad informática de confianza (por ejemplo, una empresa) a través de un servicio de agente de autenticación, en donde existe una relación de confianza entre la entidad informática de confianza y el servicio de agente de autenticación. El servicio de agente de autenticación tiene una relación de confianza con la entidad informática de confianza y el servicio de autenticación que emitió la identidad del usuario. La entidad informática de confianza solicita al servicio de agente de autenticación que autentique la identidad del usuario. El servicio de agente de autenticación captura la credencial del usuario (o indica al servicio de autenticación que lo haga) y envía una respuesta de autenticación (por ejemplo, un token) a la entidad informática de confianza a fin de autenticar la identidad del usuario ante la entidad informática de confianza. La entidad informática de confianza verifica la respuesta de autenticación basándose en la relación de confianza entre la entidad informática de confianza y el servicio de agente de autenticación.
Se hace referencia adicional a la patente de Estados Unidos n.° 2007/234417 A1, en la que se describe un método en el que los dominios federados interactúan dentro de un entorno federado. Los dominios dentro de una federación pueden iniciar operaciones de inicio de sesión único federado para un usuario en otros dominios federados. Un servidor de punto de contacto dentro de un dominio se basa en un proxy de confianza dentro del dominio para administrar las relaciones de confianza entre el dominio y la federación. Los proxies de confianza interpretan las aserciones de otros dominios federados según sea necesario. Los proxies de confianza pueden tener una relación de confianza con uno o más agentes de confianza, y un proxy de confianza puede depender de un agente de confianza para obtener ayuda en la interpretación de aserciones.
BREVE DESCRIPCIÓN DE LOS DIBUJOS
Se puede obtener una mejor comprensión de la presente invención al leer la siguiente descripción detallada en conjunción con los siguientes dibujos, en los que:
las Figuras 1A-B ilustran dos realizaciones diferentes de una arquitectura de sistema de autenticación segura; la Figura 2 es un diagrama de transacciones en el que se muestra cómo se pueden registrar claves en los dispositivos de autenticación;
la Figura 3 ilustra un diagrama de transacciones en el que se muestra la autenticación remota;
la Figura 4 ilustra una realización de un sistema para implementar un servicio de autenticación alojado;
la Figura 5 ilustra una realización de un método para registrar a una parte de confianza en un servicio de autenticación alojado;
la Figura 6 ilustra una realización de un método para usar un servicio de autenticación alojado;
la Figura 7 ilustra una realización de una arquitectura informática utilizada para servidores y/o clientes; y la Figura 8 ilustra una realización de una arquitectura informática utilizada para servidores y/o clientes.
Descripción detallada de realizaciones preferidas
A continuación, se describen realizaciones de un aparato, método y medio legible por máquina para implementar técnicas de autenticación avanzadas y aplicaciones asociadas. A lo largo de la descripción, con fines explicativos, se exponen numerosos detalles específicos para proporcionar una comprensión exhaustiva de la presente invención. Sin embargo, será evidente para un experto en la técnica que se puede llevar a la práctica la presente invención sin algunos de estos detalles específicos. En otros casos, no se muestran estructuras y dispositivos bien conocidos, o estos se muestran en un diagrama de bloques, a fin de no oscurecer innecesariamente los principios subyacentes de la presente invención.
Las realizaciones de la invención que se describen a continuación incluyen dispositivos de autenticación con capacidades de verificación de usuario, como por ejemplo modalidades biométricas o entrada de PIN. En ocasiones, estos dispositivos se denominan en el presente “tokens”, “dispositivos de autenticación” o "autenticadores”. Aunque determinadas realizaciones centran su atención en el hardware/software de reconocimiento facial (por ejemplo, una cámara y software asociado para reconocer la cara de un usuario y realizar un seguimiento del movimiento de los ojos de un usuario), algunas realizaciones pueden utilizar dispositivos biométricos adicionales que incluyen, por ejemplo, sensores de huellas dactilares, hardware/software de reconocimiento de voz (por ejemplo, un micrófono y software asociado para reconocer la voz de un usuario) y capacidades de reconocimiento óptico (por ejemplo, un escáner óptico y software asociado para escanear la retina de un usuario). Las capacidades de verificación de usuario también pueden incluir modalidades no biométricas, como por ejemplo la entrada de PIN. Los autenticadores pueden usar dispositivos como módulos de plataforma segura (TPM, por sus siglas en inglés, Trusted Platform Modules), tarjetas inteligentes y elementos seguros para operaciones criptográficas y almacenamiento de claves.
En una implementación biométrica móvil, el dispositivo biométrico puede ser remoto con respecto a la parte de confianza. Como se usa en el presente, el término “remoto” significa que el sensor biométrico no forma parte del límite de seguridad del ordenador al que está conectado comunicativamente (por ejemplo, no está integrado en el mismo recinto físico que el ordenador de la parte de confianza). A modo de ejemplo, el dispositivo biométrico puede acoplarse a la parte de confianza a través de una red (por ejemplo, Internet, un enlace de red inalámbrica, etc.) o mediante una entrada periférica, como por ejemplo un puerto USB. En estas condiciones, es posible que la parte de confianza no tenga forma de saber si el dispositivo está autorizado por la parte de confianza (por ejemplo, uno que proporciona un nivel aceptable de robustez de autenticación y protección de integridad) y/o si un hacker ha puesto en peligro o incluso reemplazado el dispositivo biométrico. La confianza en el dispositivo biométrico depende de la implementación específica del dispositivo.
El término “local” se usa en el presente para referirse al hecho de que el usuario está completando una transacción en persona, en una ubicación particular, como en un cajero automático (ATM, por sus siglas en inglés, Automated Teller Machine) o en una ubicación de caja de punto de venta (POS, por sus siglas en inglés, Point Of Sale) minorista. Sin embargo, como se describirá más adelante, las técnicas de autenticación empleadas para autenticar al usuario pueden implicar componentes que no están en la ubicación, como por ejemplo la comunicación a través de una red con servidores y/u otros dispositivos de procesamiento de datos remotos. Asimismo, aunque en el presente se describen realizaciones específicas (por ejemplo, un cajero automático y una ubicación de punto de venta minorista), cabe destacar que los principios subyacentes de la invención pueden implementarse dentro del contexto de cualquier sistema en el que un usuario final inicie una transacción localmente.
La expresión “parte de confianza” a veces se usa en el presente para referirse no solo a la entidad con la que se intenta una transacción de usuario (por ejemplo, un sitio web o servicio en línea que realiza transacciones de usuario), sino también a los servidores de transacciones seguras (a veces denominados “autenticadores”) implementados en nombre de esa entidad que pueden realizar las técnicas de autenticación subyacentes descritas en el presente. Los servidores de transacciones seguras pueden ser propiedad de la parte de confianza -y/o estar bajo el control de la misma- o pueden estar bajo el control de un tercero que ofrece servicios de transacciones seguras a la parte de confianza como parte de un acuerdo comercial.
El término “servidor” se usa en el presente para referirse al software ejecutado en una plataforma de hardware (o en múltiples plataformas de hardware) que recibe solicitudes a través de una red de un cliente, como respuesta realiza una o más operaciones y transmite una respuesta al cliente, normalmente incluyendo los resultados de las operaciones. El servidor responde a las solicitudes de los clientes para proporcionar, o ayudar a proporcionar, un “servicio” de red a los clientes. Significativamente, un servidor no está limitado a un único ordenador (por ejemplo, un único dispositivo de hardware para ejecutar el software del servidor) y puede, de hecho, estar distribuido en múltiples plataformas de hardware, y potencialmente en múltiples ubicaciones geográficas.
Ejemplos de arquitecturas de sistemas y transacciones
En las Figuras 1A-B se ilustran dos realizaciones de una arquitectura de sistema que comprende los componentes del lado cliente y del lado servidor para el registro de dispositivos de autenticación (también denominado a veces “aprovisionamiento”) y la autenticación de un usuario. La realización mostrada en la Figura 1A usa una arquitectura basada en un complemento de navegador web para comunicarse con un sitio web, mientras que la realización mostrada en la Figura 1B no requiere un navegador web. Las diversas técnicas descritas en el presente, como por ejemplo la inscripción de un usuario con dispositivos de autenticación, el registro de los dispositivos de autenticación con un servidor seguro y la verificación de un usuario, pueden implementarse en cualquiera de estas arquitecturas de sistema. Por consiguiente, aunque se utiliza la arquitectura que se muestra en la Figura 1A para demostrar el funcionamiento de varias de las realizaciones que se describen más adelante, los mismos principios básicos pueden implementarse fácilmente en el sistema que se muestra en la Figura 1B (por ejemplo, eliminando el complemento 105 del navegador como intermediario para la comunicación entre el servidor 130 y el servicio de transacciones seguras 101 en el cliente).
Si examinamos en primer lugar la Figura 1A, la realización ilustrada incluye un cliente 100 equipado con uno o más dispositivos de autenticación 110-112 (a veces denominados en la técnica tokens de autenticación o “autenticadores”) para inscribir y verificar un usuario final. Como se ha mencionado anteriormente, los dispositivos de autenticación 110-112 pueden incluir dispositivos biométricos como sensores de huellas dactilares, hardware/software de reconocimiento de voz (por ejemplo, un micrófono y software asociado para reconocer la voz de un usuario), hardware/software de reconocimiento facial (por ejemplo, una cámara y software asociado para reconocer la cara de un usuario) y capacidades de reconocimiento óptico (por ejemplo, un escáner óptico y software asociado para escanear la retina de un usuario) y soporte para modalidades no biométricas, como la verificación de PIN. Los dispositivos de autenticación pueden usar módulos de plataforma segura (TPM), tarjetas inteligentes o elementos seguros para operaciones criptográficas y almacenamiento de claves.
Los dispositivos de autenticación 110-112 están acoplados comunicativamente al cliente a través de una interfaz 102 (por ejemplo, una interfaz de programación de aplicaciones o API, por sus siglas en inglés, Application Programming Interface) expuesta por un servicio de transacciones seguras 101. El servicio de transacciones seguras 101 es una
aplicación segura para comunicarse con uno o más servidores de transacciones seguras 132-133 a través de una red y para interactuar con un complemento de transacciones seguras 105 ejecutado dentro del contexto de un navegador web 104. Como se ilustra, la interfaz 102 también puede proporcionar acceso seguro a un dispositivo de almacenamiento seguro 120 en el cliente 100 que almacena información relacionada con cada uno de los dispositivos de autenticación 110-112, como por ejemplo un código de identificación de dispositivo, un código de identificación de usuario, datos de inscripción de usuario (por ejemplo, huella dactilar escaneada u otros datos biométricos) protegidos por el dispositivo de autenticación y claves encapsuladas por el dispositivo de autenticación utilizado para realizar las técnicas de autenticación segura que se describen en el presente. Por ejemplo, como se describe en detalle más adelante, una clave única puede almacenarse en cada uno de los dispositivos de autenticación y utilizarse cuando se comunica con los servidores 130 a través de una red como Internet.
Como se describirá más adelante, determinados tipos de transacciones de red son compatibles con el complemento de transacción segura 105, como por ejemplo transacciones HTTP o HTTPS con sitios web 131 u otros servidores. En una realización, el complemento de transacción segura se inicia en respuesta a etiquetas HTML específicas insertadas en el código HTML de una página web por el servidor web 131 dentro del destino seguro de empresa o web 130 (que a veces se denominará más adelante simplemente como el “servidor 130”). En respuesta a la detección de dicha etiqueta, el complemento de transacciones seguras 105 puede reenviar transacciones al servicio de transacciones seguras 101 para su procesamiento. Además, para determinados tipos de transacciones (por ejemplo, el intercambio de claves seguras), el servicio de transacciones seguras 101 puede abrir un canal de comunicaciones directas con el servidor de transacciones en entorno local 132 (es decir, co-localizado en el sitio web) o con un servidor de transacciones remoto 133.
Los servidores de transacciones seguras 132-133 están acoplados a una base de datos de transacciones seguras 120 para almacenar datos de usuario, datos de dispositivos de autenticación, claves y otra información segura necesaria para prestar apoyo a las transacciones de autenticación seguras que se describirán más adelante. Sin embargo, cabe señalar que los principios subyacentes de la invención no requieren la separación de componentes lógicos dentro del destino seguro de empresa o web 130 mostrado en la Figura 1A. Por ejemplo, el sitio web 131 y los servidores de transacciones seguras 132-133 pueden implementarse dentro de un único servidor físico o dentro de servidores físicos independientes. Además, el sitio web 131 y los servidores de transacciones 132-133 pueden implementarse dentro de un módulo de software integrado ejecutado en uno o más servidores para realizar las funciones que se describirán más adelante.
Como se ha mencionado anteriormente, los principios subyacentes de la invención no se limitan a la arquitectura basada en navegador que se muestra en la Figura 1A. En la Figura 1B se ilustra una implementación alternativa en la que una aplicación independiente 154 utiliza la funcionalidad proporcionada por el servicio de transacciones seguras 101 para autenticar un usuario en una red. En una realización, la aplicación 154 está diseñada para establecer sesiones de comunicación con uno o más servicios de red 151 que dependen de los servidores de transacciones seguras 132-133 para realizar las técnicas de autenticación de usuario/cliente que se describen en detalle más adelante.
En cualquiera de las realizaciones mostradas en las Figuras 1A-B, los servidores de transacciones seguras 132-133 pueden generar las claves que posteriormente se transmiten de forma segura al servicio de transacciones seguras 101 y se almacenan en los dispositivos de autenticación dentro del almacenamiento seguro 120. Además, los servidores de transacciones seguras 132-133 administran la base de datos de transacciones seguras 120 en el lado servidor.
Por lo que respecta a las Figuras 2-3, en las mismas se describirán determinados principios básicos asociados con el registro remoto de dispositivos de autenticación y la autenticación con una parte de confianza, seguidos de una descripción detallada de las realizaciones de la invención para establecer la confianza usando protocolos de comunicación seguros.
En la Figura 2 se ilustra una serie de transacciones para registrar dispositivos de autenticación en un cliente (por ejemplo, los dispositivos 110-112 en el cliente 100 en las Figuras 1A-B) (que a veces se denomina el “aprovisionamiento” de dispositivos de autenticación). Para simplificar, el servicio de transacciones seguras 101 y la interfaz 102 se combinan como cliente de autenticación 201 y el destino seguro de empresa o web 130, incluidos los servidores de transacciones seguras 132-133, se representan como una parte de confianza 202.
Durante el registro de un autenticador (por ejemplo, un autenticador de huellas dactilares, un autenticador de voz, etc.), se comparte una clave asociada con el autenticador entre el cliente de autenticación 201 y la parte de confianza 202. Por lo que respecta a las Figuras 1A-B, la clave puede almacenarse dentro del almacenamiento seguro 120 del cliente 100 y la base de datos de transacciones seguras 120 utilizada por los servidores de transacciones seguras 132-133. En una realización, la clave es una clave simétrica generada por uno de los servidores de transacciones seguras 132-133. Sin embargo, en otra realización que se analizará más adelante, se utilizan claves asimétricas. En esta realización, los servidores de transacciones seguras 132-133 pueden generar el par de claves pública/privada. A continuación, la clave pública puede ser almacenada por los servidores de transacciones seguras 132-133 y la clave privada relacionada puede ser almacenada en el almacenamiento seguro
120 en el cliente. En una realización alternativa, la clave o las claves pueden ser generadas en el cliente 100 (por ejemplo, por el dispositivo de autenticación o la interfaz del dispositivo de autenticación en lugar de los servidores de transacciones seguras 132-133). Los principios subyacentes de la invención no se limitan a ningún tipo específico de claves o forma de generar las claves.
En una realización se emplea un protocolo de aprovisionamiento de clave segura para compartir la clave con el cliente a través de un canal de comunicación seguro. Un ejemplo de un protocolo de aprovisionamiento de claves es el Protocolo de Aprovisionamiento de Claves Simétricas Dinámicas (DSKPP, por sus siglas en inglés, Dynamic Symmetric Key Provisioning Protocol) (véase, por ejemplo, Request for Comments (RFC) n.° 6063). Sin embargo, los principios subyacentes de la invención no se limitan a ningún protocolo de aprovisionamiento de claves en particular. En una realización particular, el cliente genera un par de claves pública/privada y envía la clave pública al servidor, que puede ser certificada con una clave de atestación.
Si examinamos ahora los detalles específicos mostrados en la Figura 2, para iniciar el proceso de registro, la parte de confianza 202 genera un desafío generado aleatoriamente (por ejemplo, un nonce criptográfico) que debe ser presentado por el cliente de autenticación 201 durante el registro del dispositivo. El desafío aleatorio puede ser válido por un periodo de tiempo limitado. Como respuesta, el cliente de autenticación 201 inicia una conexión segura fuera de banda con la parte de confianza 202 (por ejemplo, una transacción fuera de banda) y se comunica con la parte de confianza 202 utilizando el protocolo de aprovisionamiento de claves (por ejemplo, el protocolo DSKPP mencionado anteriormente). Para iniciar la conexión segura, el cliente de autenticación 201 puede proporcionar el desafío aleatorio a la parte de confianza 202 (potencialmente con una firma generada sobre el desafío aleatorio). Además, el cliente de autenticación 201 puede transmitir la identidad del usuario (por ejemplo, un ID de usuario u otro código) y la identidad del dispositivo o los dispositivos de autenticación que se aprovisionarán registrados (por ejemplo, utilizando el ID de atestación de autenticación (AAID, por sus siglas en inglés, authentication attestation ID) que identifica de forma única el tipo de dispositivo o dispositivos de autenticación que se están aprovisionando).
La parte de confianza localiza al usuario con el nombre de usuario o código de ID (por ejemplo, en una base de datos de cuentas de usuario), valida el desafío aleatorio (por ejemplo, usando la firma o simplemente comparando el desafío aleatorio con el que se envió), valida el código de autenticación del dispositivo de autenticación si se envió uno (por ejemplo, el AAID), y crea una nueva entrada en una base de datos de transacciones seguras (por ejemplo, la base de datos 120 en las Figuras 1A-B) para el usuario y el dispositivo o los dispositivos de autenticación. En una realización, la parte de confianza mantiene una base de datos de dispositivos de autenticación que acepta para la autenticación. Puede consultar esta base de datos con el AAID (u otro código de dispositivo o dispositivos de autenticación) para determinar si el dispositivo o los dispositivos de autenticación que se están aprovisionando son aceptables para la autenticación. Si es así, procederá con el proceso de registro.
En una realización, la parte de confianza 202 genera una clave de autenticación para cada dispositivo de autenticación que se aprovisiona. La parte de confianza escribe la clave en la base de datos segura y devuelve la clave al cliente de autenticación 201 utilizando el protocolo de aprovisionamiento de claves. Una vez completado, el dispositivo de autenticación y la parte de confianza 202 comparten la misma clave si se utilizó una clave simétrica o claves diferentes si se utilizaron claves asimétricas. Por ejemplo, si se utilizaron claves asimétricas, entonces la parte de confianza 202 puede almacenar la clave pública y proporcionar la clave privada al cliente de autenticación 201. Tras recibir la clave privada de la parte de confianza 202, el cliente de autenticación 201 aprovisiona la clave en el dispositivo de autenticación (almacenándola en un almacenamiento seguro asociado con el dispositivo de autenticación). A continuación, puede utilizar la clave durante la autenticación del usuario (como se describirá más adelante). En una realización alternativa, la clave o las claves son generadas por el cliente de autenticación 201 y se utiliza el protocolo de aprovisionamiento de claves para proporcionar la clave o las claves a la parte de confianza 202. En cualquiera de los dos casos, una vez que se completa el aprovisionamiento, el cliente de autenticación 201 y la parte de confianza 202 tienen cada uno una clave y el cliente de autenticación 201 notifica de la finalización a la parte de confianza.
En la Figura 3 se ilustra una serie de transacciones para la autenticación de usuarios con los dispositivos de autenticación aprovisionados. Una vez que se completa el registro del dispositivo (como se ha descrito en la Figura 2), la parte de confianza 202 aceptará una respuesta de autenticación (a veces denominada token) generada por el dispositivo de autenticación local en el cliente como una respuesta de autenticación válida.
Si examinamos ahora los detalles específicos mostrados en la Figura 3, como respuesta a que el usuario inicie una transacción con la parte de confianza 202 que requiere autenticación (por ejemplo, iniciar el pago desde el sitio web de la parte de confianza, acceder a datos de cuentas de usuario privadas, etc.), la parte de confianza 202 genera una solicitud de autenticación que incluye un desafío aleatorio (por ejemplo, un nonce criptográfico). En una realización, el desafío aleatorio tiene un límite de tiempo asociado con el mismo (por ejemplo, es válido durante un periodo de tiempo específico). La parte de confianza también puede identificar el autenticador que utilizará el cliente de autenticación 201 para la autenticación. Como se ha mencionado anteriormente, la parte de confianza puede aprovisionar cada dispositivo de autenticación disponible en el cliente y almacena una clave pública para cada autenticador aprovisionado. Por lo tanto, puede utilizar la clave pública de un autenticador o puede utilizar un ID de
autenticador (por ejemplo, AAID) para identificar el autenticador que se utilizará. Alternativamente, puede proporcionar al cliente una lista de opciones de autenticación para que el usuario seleccione una de ellas.
En respuesta a la recepción de la solicitud de autenticación, se puede presentar al usuario una interfaz gráfica de usuario (GUI, por sus siglas en inglés, Graphical User Interface) que solicita autenticación (por ejemplo, en forma de una página web o una GUI de una aplicación de autenticación). A continuación, el usuario realiza la autenticación (por ejemplo, deslizando rápidamente un dedo en un lector de huellas dactilares, etc.). En respuesta, el cliente de autenticación 201 genera una respuesta de autenticación que contiene una firma sobre el desafío aleatorio con la clave privada asociada con el autenticador. También puede incluir otros datos pertinentes, como por ejemplo el código de ID de usuario en la respuesta de autenticación.
Tras recibir la respuesta de autenticación, la parte de confianza puede validar la firma sobre el desafío aleatorio (por ejemplo, usando la clave pública asociada con el autenticador) y confirmar la identidad del usuario. Una vez que se completa la autenticación, se permite al usuario realizar transacciones seguras con la parte de confianza, como se ha ilustrado.
Se puede utilizar un protocolo de comunicación seguro como Seguridad de la Capa de Transporte (TLS, por sus siglas en inglés, Transport Layer Security) o Capa de Puertos Seguros (SSL, por sus siglas en inglés, Secure Sockets Layer) para establecer una conexión segura entre la parte de confianza 201 y el cliente de autenticación 202 con respecto a cualquiera o todas las transacciones ilustradas en las Figuras 2-3.
Sistema y método para implementar un servicio de autenticación alojado
Una realización de la invención incluye un servicio de autenticación alojado que proporciona una funcionalidad completa de servidor de autenticación a múltiples partes de confianza en paralelo, pero que requiere esfuerzos de integración mínimos por parte de los desarrolladores de partes de confianza.
Las implementaciones típicas del servidor de autenticación se implementan dentro de la infraestructura de red de la parte de confianza. Esta es una opción de implementación común para las organizaciones de gran tamaño cuyas políticas no permiten a sus activos de seguridad críticos estar fuera de su propia infraestructura. Sin embargo, la integración de servidores de autenticación en una infraestructura existente no es una tarea sencilla y puede requerir una inversión significativa.
Algunas partes de confianza pueden preferir renunciar a tales inversiones y, en su lugar, integrarse con un servicio de autenticación alojado que proporciona las mismas capacidades de servidor de autenticación mientras oculta la complejidad de la integración. Sin embargo, deben existir suficientes mecanismos de seguridad para que los servicios de autenticación alojados sean aceptados.
Como se ilustra en la Figura 4, una realización de la invención incluye un servicio de autenticación alojado (HAS, por sus siglas en inglés, Hosted Authentication Service) 450 implementado como un sistema en línea acoplado comunicativamente a la parte de confianza 430 a través de una red (por ejemplo, Internet) para proporcionar las capacidades de autenticación mencionadas anteriormente. Como se ilustra, la arquitectura basada en HAS incluye tres componentes: una aplicación web de parte de confianza (RP, por sus siglas en inglés, relying party) 440; un servicio de autenticación alojado 450; y un dispositivo cliente 460 configurado con autenticador o autenticadores 465, un cliente de autenticación 462 y un navegador o aplicación 461.
En una realización, la aplicación web de RP 440 es un servicio en línea basado en la web, como por ejemplo un sitio web de una institución financiera, un sitio web de red social, un servicio de correo electrónico basado en la web, un portal de entretenimiento basado en la web, etc. Cuenta con una base de datos de usuarios 435 que se suscriben a los servicios ofrecidos por la aplicación web 440 y un sistema de inicio de sesión. La aplicación web de RP 440 se diseña típicamente con un componente front-end 441 y un componente back-end 442. El componente front-end 441 puede ser un servidor web implementado con código de lenguaje de marcado de hipertexto (HTML) u otro código basado en web para generar páginas web dinámicamente en respuesta a las solicitudes de los usuarios. El componente back-end 442 típicamente tiene acceso a una o más bases de datos 435 e incluye la lógica de negocios para recuperar y/o generar los datos subyacentes que serán utilizados en las páginas web generadas por el componente front-end 441. Por ejemplo, si la parte de confianza es una institución financiera, el código back-end 442 puede acceder a una base de datos 435 que contiene datos de cuenta en respuesta a una solicitud de usuario. El componente back-end 442 puede entonces realizar cálculos usando los datos de cuenta y/o proporcionar simplemente los datos de cuenta al componente front-end 441, que luego incluirá los datos de cuenta o los cálculos realizados usando los datos de cuenta en una página web. El componente front-end 441 normalmente define la forma en que los datos subyacentes se presentan al usuario.
En una realización, el servicio de autenticación alojado 450 es un servicio en línea que tiene servidores de autenticación 455 implementados en nombre de las partes de confianza 430. Como se ha examinado anteriormente, un dispositivo cliente 460 equipado con un cliente de autenticación 462 puede registrar sus autenticadores 465 con el servidor de autenticación 455 (véase, por ejemplo, la Figura 2). A continuación, las claves y otras credenciales
asociadas con los autenticadores 465 pueden ser almacenadas en un almacenamiento seguro 456 por el servidor de autenticación 455 (y recuperadas para autenticar al usuario final, como se ilustra en la Figura 3). En una realización, ilustrada en la Figura 4, el servicio de autenticación alojado 450 también mantiene una base de datos 452 para almacenar credenciales de autenticación registradas (registros de autenticación) para múltiples aplicaciones web de RP 440.
Como se ha mencionado, el dispositivo cliente 460 puede ser un ordenador portátil, una tableta, un teléfono o cualquier otro dispositivo de procesamiento de datos con un cliente de autenticación 462 y acceso a un autenticador 465. El dispositivo cliente también incluye un navegador o aplicación 461 para acceder a los servicios ofrecidos por las partes de confianza 430 (por ejemplo, para acceder al sitio web de las partes de confianza u a otra forma de servicio en línea).
En la Figura 4 se ilustra una realización en la que la aplicación web de RP 440 tiene una asociación fuera de banda con un servicio de autenticación alojado (que se examina más adelante) y la página web de la aplicación web de RP administra la comunicación con el servicio de autenticación alojado 450. La arquitectura de autenticación alojada ilustrada en la Figura 4 proporciona una serie de beneficios para los desarrolladores de aplicaciones web de RP. En particular, los usuarios tienen la misma experiencia de usuario que con cualquier otra aplicación web basada en autenticación. Además, las partes de confianza no necesitan mantener las credenciales de autenticación internamente y solo se requiere un pequeño esfuerzo de integración en el back-end 442 y el front-end 441 de la aplicación web 440 (como se explica más adelante).
En una realización, se inicia el proceso de integración registrando una aplicación web de RP 440 con el servicio de autenticación alojado 450. Se puede proporcionar acceso para un administrador de aplicaciones web (por ejemplo, un miembro del personal de tecnología de la información de la parte de confianza) a través de un portal de administración de servicio de autenticación alojado 451 y se puede crear una cuenta proporcionando los detalles necesarios (por ejemplo, la información relacionada con la aplicación web 440, como se describe más adelante). En una realización, se proporcionan al administrador de la parte de confianza credenciales de autenticación (por ejemplo, un código secreto como un PIN o contraseña) para acceder al portal de administración 451 con antelación. El administrador, a continuación, puede iniciar una sesión en el portal de administración 451 usando las credenciales. En una realización, el portal de administración 451 es un portal basado en web accesible a través del navegador del administrador. Sin embargo, los principios subyacentes de la invención no se limitan a ninguna forma específica de acceder al portal de administración 451.
El administrador de la aplicación web puede proporcionar al portal de administración 451 las credenciales de inicio de sesión necesarias y otra información pertinente, como por ejemplo la dirección o las direcciones de red necesarias para acceder al código de programa del front-end y al código de programa de back-end de la aplicación web. En una realización, en respuesta a una solicitud del administrador de la aplicación web para registrar la aplicación web 440 con el servicio de autenticación alojado 450, el portal de administración 451 genera el código HTML 443 que se incorpora al front-end 441 de la aplicación web 440 (por ejemplo, la página web de la aplicación web). Se puede implementar el código HTML 443 en Javascript puro, iFrames de HTML o mediante el uso de cualquier otro lenguaje de programación compatible con la aplicación web 440. En una realización, el código HTML se comunicará directamente con el código de programa de la aplicación web 440 (por ejemplo, el código de frontend 441).
En una realización, el portal de servicio de autenticación alojado 451 también genera el código de back-end 444 que se incorpora en el back-end 442 de la aplicación web. En la Figura 4 se muestra cómo el código HTML 443 y el código de back-end 444 generados por el portal de administración 451 se aplican a una instancia activa de la aplicación web 440. Sin embargo, en una realización, la instalación del nuevo código 443-444 puede realizarse antes de la ejecución de la aplicación web (por ejemplo, aplicada a los binarios de la aplicación y las bibliotecas almacenadas en un dispositivo de almacenamiento masivo).
En una realización, el portal de servicio de autenticación alojado 451 también genera una clave criptográfica (por ejemplo, una clave simétrica o un certificado), que en el presente se denomina la “clave de aserción” del servicio de autenticación alojado, la cual se almacenará a continuación en el almacenamiento seguro 436 en la infraestructura de back-end de la aplicación web. En una realización, la clave 436 es utilizada después por el back-end 442 para validar las aserciones del servicio de autenticación alojado 450 (como se describirá más adelante). Después de integrar el código de servicio de autenticación alojado 443-444 en la aplicación web y proporcionar la clave o las claves 436, la integración se ha completado.
Una vez que el proceso de integración se ha completado, los usuarios de la aplicación web pueden empezar a utilizar los autenticadores del lado cliente 465 para autenticarse con las partes de confianza 430. En una realización, el código HTML 443 proporcionado por el servicio de autenticación alojado 450 gestionará la experiencia de autenticación de usuarios, incluida la comunicación relacionada con la autenticación. En una realización, el código HTML 443, una vez descargado en el navegador del usuario 461, se comunicará directamente con el cliente de autenticación 462 para dirigir el cliente de autenticación 462 al servidor de autenticación 455 en el servicio de autenticación alojado 450. En una realización, el código HTML 443 se comunica con un complemento (por ejemplo,
el complemento de transacción segura 101 mostrado en la Figura 1A), que está instalado en el navegador del dispositivo cliente 461 para habilitar la comunicación segura con el servicio de autenticación alojado 450 y el cliente de autenticación 462.
En una realización, el servidor de autenticación 455 en el servicio de autenticación alojado 450 generará después solicitudes de autenticación e intercambiará otros mensajes relacionados con la autenticación con el cliente de autenticación (véanse, por ejemplo, las Figuras 2-3 y el texto asociado). Cuando se completen las operaciones relacionadas con la autenticación (por ejemplo, el registro, la autenticación de usuario, la eliminación del registro, etc.), el servicio de autenticación alojado 450 notificará a la aplicación web 440 mediante aserciones criptográficas que usan la clave de aserción del servicio de autenticación alojado 436. Por ejemplo, el servidor de autenticación 455 puede usar la clave de aserción 436 para generar una firma sobre cada aserción enviada a la aplicación web 440. El código de back-end 444 que se ejecuta en la aplicación web 440 puede a continuación verificar las aserciones usando su propia copia de la clave 436 para validar la firma. De forma similar, el código de back-end 444 puede generar una firma usando la clave 436 sobre cualquier comunicación enviada desde la aplicación web 440 al servicio de autenticación alojado 450, que puede validar la comunicación usando su copia de la clave.
En una realización, las aserciones enviadas desde el servicio de autenticación alojado 450 pueden incluir cualquier información relacionada con el aprovisionamiento/registro de autenticadores 465 y las autenticaciones realizadas a través de los autenticadores 465. Por ejemplo, las aserciones pueden notificar a la aplicación web 440 acerca de actividades como, por ejemplo, el registro de dispositivos de autenticación y la información pertinente relacionada con los dispositivos de autenticación, por ejemplo: el nivel de robustez de seguridad (por ejemplo, el Usuario X acaba de registrar un autenticador con un nivel de seguridad Y); las autenticaciones con éxito por parte del usuario que utiliza un autenticador o tipo de autenticador específicos (por ejemplo, el Usuario X acaba de autenticarse con un autenticador con un nivel de seguridad Y); y la eliminación del registro de autenticadores (por ejemplo, el Usuario X acaba de eliminar el registro de un autenticador Y).
Las aserciones pueden implementarse utilizando el Lenguaje de Marcado para Aserciones de Seguridad (SAML, por sus siglas en inglés, Security Assertion Markup Language), OAuth, OpenID o cualquier otra tecnología similar. En algunas arquitecturas de servicios de autenticación alojados, las aserciones pueden pasar desde los servidores de servicios de autenticación alojados 455 directamente a los servidores de la aplicación web 440 (por ejemplo, omitiendo el dispositivo cliente 460). En una implementación alternativa, las aserciones pueden enviarse a través del dispositivo cliente 460 (por ejemplo, como Javascript enviado al navegador 461, que después reenvía las aserciones a la aplicación web 440).
En la Figura 5 se ilustra un método para registrar una parte de confianza con un servicio de autenticación alojado según una realización de la invención y en la Figura 6 se ilustra un método para realizar operaciones como el registro y la eliminación del registro de dispositivos de autenticación y la autenticación de usuario con un servicio de autenticación alojado. Los métodos pueden implementarse dentro del contexto de la arquitectura que se muestra en la Figura 4, pero no se limitan a ninguna arquitectura de sistema en particular.
En 501, el administrador de la parte de confianza inicia una sesión en un portal administrativo del servicio de autenticación alojado (por ejemplo, utilizando las credenciales proporcionadas) y proporciona los datos necesarios para crear una nueva cuenta en la parte de confianza. Esto puede incluir los datos de red necesarios para identificar la aplicación o las aplicaciones web de la parte de confianza en la red y potencialmente credenciales de autenticación (por ejemplo, un nombre de usuario/una contraseña) para acceder a las aplicaciones web (en particular, el código de programa de front-end y el código de programa de back-end de la aplicación web).
En 502, en respuesta a una solicitud del administrador de la aplicación web para registrar una aplicación web con el servicio de autenticación alojado, el portal de administración genera un código de front-end (por ejemplo, código HTML) que se incorpora en el front-end de la aplicación web (por ejemplo, la página web de la aplicación web) y un código de back-end que se incorpora en el back-end de la aplicación web. Además, en 502, el portal del servicio de autenticación alojado genera una clave de aserción criptográfica (por ejemplo, una clave simétrica o un certificado). En 503, se transmiten el código de front-end, el código de back-end y la clave de aserción a la parte de confianza. En 504, la parte de confianza integra el código de front-end y el código de back-end en su plataforma y almacena de forma segura la clave de aserción. Como se ha mencionado, en una realización, la clave de aserción se usa posteriormente para validar las aserciones del servicio de autenticación alojado.
Si examinamos a continuación la Figura 6, en 601 un dispositivo cliente equipado con uno o más dispositivos de autenticación se conecta al sitio web de la parte de confianza y descarga una página web que contiene el código de front-end. En algunos casos, la página web puede contener código que es generado dinámicamente por el código de front-end (en lugar del propio código de front-end). Como se usa en el presente, el “código de front-end” se refiere tanto al propio código de front-end como al código que es generado dinámicamente por el código de front-end para su uso en el dispositivo cliente.
En 602, el código de front-end establece comunicación con el cliente de autenticación en el dispositivo cliente y el servicio de autenticación alojado (o, más precisamente, un servidor de autenticación en el servicio de autenticación alojado). En 603, se realizan una o más transacciones, como por ejemplo el registro de un nuevo autenticador, la realización de la autenticación de usuario y/o la cancelación del registro de un autenticador.
En 604, el servicio de autenticación alojado genera aserciones criptográficas relacionadas con las transacciones usando la clave de aserción. Por ejemplo, una aserción criptográfica puede indicar nuevos autenticadores registrados, autenticadores cuyo registro se ha cancelado, información relacionada con los autenticadores como la exactitud/precisión de los autenticadores (por ejemplo, el nivel de robustez del autenticador) y autenticaciones de usuario con los autenticadores. Como se ha mencionado, se pueden firmar las aserciones criptográficas con la clave de aserción.
En 605, se transmiten las aserciones criptográficas a la parte de confianza y, en 606, esta valida las aserciones usando la clave de aserción. Por ejemplo, el código de back-end puede recuperar la clave de aserción, generar su propia firma y comparar la firma generada con la firma enviada desde el servicio de autenticación alojado. Si las firmas coinciden, entonces se valida la aserción y se puede permitir al usuario realizar una transacción basada en la aserción. Por ejemplo, si la aserción indica que el usuario se ha autenticado con éxito con el servicio de autenticación alojado, la parte de confianza puede aceptar la autenticación y permitir que el usuario complete una transacción (por ejemplo, una transacción financiera, acceso a datos privados, etc.).
En una realización, el servicio de autenticación alojado puede implementarse utilizando una variedad de protocolos/lenguajes diferentes que incluyen, por ejemplo, el Lenguaje de Marcado para Aserciones de Seguridad (SAML), Firmas Web de Notación de Objeto de Java (JSON, por sus siglas en inglés, Java Script Objection Notation), OAuth o tecnologías similares para transmitir las aserciones del servicio de autenticación alojado a la parte de confianza. Además, el sistema de servicio de autenticación alojado puede usar iFrames para el código de front-end y back-end integrado en la página web de la parte de confianza (por ejemplo, que se comunica con el sitio web de la parte de confianza acerca de las aserciones del servicio de autenticación alojado). Sin embargo, cabe destacar que los principios subyacentes de la invención no se limitan a ningún protocolo y/o lenguaje de programación específicos.
Las realizaciones de la invención descritas en el presente son preferibles a los proveedores de identidad y los servidores de identidad federados existentes porque se protege mejor la privacidad de un usuario final. Aunque la parte de confianza puede contener información relacionada con el usuario, esta información no necesita compartirse con el servicio de alojamiento de autenticación (o cualquier otra parte de confianza) para implementar las técnicas de autenticación alojadas descritas en el presente. Esto contrasta con los proveedores de identidad y los servidores federados existentes, los cuales permiten que las partes de confianza realicen un seguimiento de los usuarios en diferentes partes de confianza.
Ejemplos de dispositivos de procesamiento de datos
La Figura 7 es un diagrama de bloques que ilustra ejemplos de clientes y servidores que pueden utilizarse en algunas realizaciones de la invención. Deberá entenderse que, aunque en la Figura 7 se ilustran varios componentes de un sistema informático, esta no pretende representar ninguna arquitectura o forma específicas de interconectar los componentes, ya que estos detalles no son pertinentes para la presente invención. Se apreciará que también se pueden usar con la presente invención otros sistemas informáticos que tengan menos componentes o más componentes.
Como se ilustra en la Figura 7, el sistema informático 700, que constituye una forma de un sistema de procesamiento de datos, incluye el bus o los buses 750 que están acoplados con el sistema de procesamiento 720, la fuente de alimentación 725, la memoria 730 y la memoria no volátil 740 (por ejemplo, un disco duro, una memoria flash, una memoria de cambio de fase (PCM, por sus siglas en inglés, Phase-Change Memory), etc.). El bus o los buses 750 pueden conectarse entre sí a través de varios puentes, controladores y/o adaptadores, como es bien conocido en la técnica. El sistema de procesamiento 720 puede recuperar la instrucción o las instrucciones de la memoria 730 y/o la memoria no volátil 740, y ejecutar las instrucciones para realizar operaciones, como se ha descrito anteriormente. El bus 750 interconecta los componentes mencionados anteriormente y también interconecta esos componentes a la base de acoplamiento opcional (optional dock) 760, el controlador de pantalla y el dispositivo de pantalla 770, los dispositivos de Entrada/Salida 780 (por ejemplo, una tarjeta de interfaz de red (NIC, por sus siglas en inglés, Network Interface Card), un control de cursor (por ejemplo, ratón, pantalla táctil, panel táctil, teclado, etc.) y el transceptor o los transceptores inalámbricos opcionales 790 (por ejemplo, Bluetooth, WiFi, infrarrojos, etc.).
La Figura 8 es un diagrama de bloques en el que se ilustra un ejemplo de sistema de procesamiento de datos que puede usarse en algunas realizaciones de la invención. Por ejemplo, el sistema de procesamiento de datos 800 puede ser un ordenador portátil, un asistente digital personal (PDA, por sus siglas en inglés, Personal Digital Assistant), un teléfono móvil, un sistema de juego portátil, un reproductor multimedia portátil, una tableta o un dispositivo informático de mano que puede incluir un teléfono móvil, un reproductor multimedia y/o un sistema de
juego. Como otro ejemplo, el sistema de procesamiento de datos 800 puede ser un ordenador en red o un dispositivo de procesamiento integrado dentro de otro dispositivo.
Según una realización de la invención, puede usarse el ejemplo de arquitectura del sistema de procesamiento de datos 800 para los dispositivos móviles descritos anteriormente. El sistema de procesamiento de datos 800 incluye el sistema de procesamiento 820, que puede incluir uno o más microprocesadores y/o un sistema en un circuito integrado. El sistema de procesamiento 820 está acoplado con una memoria 810, una fuente de alimentación 825 (que incluye una o más baterías) una entrada/salida de audio 840, un controlador de pantalla y un dispositivo de pantalla 860, una entrada/salida opcional 850, un dispositivo o dispositivos de entrada 870 y un transceptor o transceptores inalámbricos 830. Se apreciará que otros componentes adicionales, no mostrados en la Figura 8, también pueden formar parte del sistema de procesamiento de datos 800 en determinadas realizaciones de la invención, y en determinadas realizaciones de la invención se pueden utilizar menos componentes que los mostrados en la Figura 8. Además, se apreciará que pueden usarse uno o más buses, no mostrados en la Figura 8, para interconectar los diversos componentes, como es bien conocido en la técnica.
La memoria 810 puede almacenar datos y/o programas para su ejecución por el sistema de procesamiento de datos 800. La entrada/salida de audio 840 puede incluir un micrófono y/o un altavoz para, por ejemplo, reproducir música y/o proporcionar una funcionalidad de telefonía a través del altavoz y el micrófono. El controlador de pantalla y el dispositivo de pantalla 860 pueden incluir una interfaz gráfica de usuario (GUI). Pueden utilizarse transceptores (por ejemplo, un transceptor WiFi, un transceptor de infrarrojos, un transceptor Bluetooth, un transceptor de telefonía celular inalámbrico, etc.) inalámbricos (por ejemplo, de radiofrecuencia) 830 para comunicarse con otros sistemas de procesamiento de datos. El dispositivo o los dispositivos de entrada 870 permiten a un usuario proporcionar entradas al sistema. Estos dispositivos de entrada pueden ser un teclado numérico, un teclado, un panel táctil, un panel multitáctil, etc. La otra entrada/salida opcional 850 puede ser un conector para una base de acoplamiento.
Las realizaciones de la invención pueden incluir varios pasos como los indicados anteriormente. Los pasos pueden materializarse en instrucciones ejecutables por máquina que hacen que un procesador de uso general o de uso especial lleve a cabo determinados pasos. Alternativamente, estos pasos pueden ser realizados por componentes de hardware específicos que contienen lógica cableada para realizar los pasos, o por cualquier combinación de componentes informáticos programados y componentes de hardware personalizados.
También pueden proporcionarse elementos de la presente invención como un medio legible por máquina para almacenar el código de programa ejecutable por máquina. El medio legible por máquina puede incluir, entre otros, disquetes, discos ópticos, CD-ROM y discos magneto-ópticos, ROM, RAM, EPROM, EEPROM, tarjetas magnéticas u ópticas u otro tipo de medios/soportes legibles por máquina adecuados para almacenar código de programa electrónico.
A lo largo de la descripción anterior se han expuesto, con fines explicativos, numerosos detalles específicos con el fin de proporcionar una comprensión exhaustiva de la invención. Sin embargo, resultará evidente para un experto en la técnica que es posible poner en práctica la invención sin algunos de estos detalles específicos. Por ejemplo, resultará evidente para los expertos en la técnica que los módulos y métodos funcionales descritos en el presente pueden implementarse como software, hardware o cualquier combinación de los mismos. Además, aunque en el presente se describen algunas realizaciones de la invención dentro del contexto de un entorno informático móvil, los principios subyacentes de la invención no se limitan a una implementación informática móvil. En algunas realizaciones se puede utilizar prácticamente cualquier tipo de dispositivos de procesamiento de datos de clientes o del mismo nivel (peer data), entre los que figuran, por ejemplo, los ordenadores de escritorio o estaciones de trabajo.
Las realizaciones de la invención pueden incluir varios pasos como los indicados anteriormente. Los pasos pueden materializarse en instrucciones ejecutables por máquina que hacen que un procesador de uso general o de uso especial lleve a cabo determinados pasos. Alternativamente, estos pasos pueden ser realizados por componentes de hardware específicos que contienen lógica cableada para realizar los pasos, o por cualquier combinación de componentes informáticos programados y componentes de hardware personalizados.
Claims (14)
1. Un sistema que comprende:
una o más plataformas de hardware que implementan un servicio de autenticación alojado (450) para proporcionar servicios de autenticación para partes de confianza (202, 430); el servicio de autenticación alojado (450) y las partes de confianza (202, 430) son partes independientes, el servicio de autenticación alojado (450) registra una parte de confianza (202, 430) al compartir una clave (436) con la parte de confianza (202, 430), y el servicio de autenticación alojado (450) comprende un portal de administración (451) a través del cual un administrador de la parte de confianza configura el servicio de autenticación alojado (450) para proporcionar servicios de autenticación en nombre de la parte de confianza (202, 430); la inserción de un primer componente de código de programa proporcionado por el servicio de autenticación alojado (450) en una aplicación alojada por la parte de confianza (202, 430), y el primer componente de código de programa hace que un dispositivo cliente (460) que accede a la aplicación sea redirigido al servicio de autenticación alojado (450) para una autenticación de usuario y otras funciones relacionadas con la autenticación que incluyen el registro de uno o más autenticadores nuevos (465) y la eliminación del registro de uno o más autenticadores (465) del dispositivo cliente de usuario; y la transmisión por parte del servicio de autenticación alojado (450), basándose en una pluralidad de diferentes eventos relacionados con la autenticación que ocurren entre el dispositivo cliente (460) y el servicio de autenticación alojado (450), de una pluralidad de aserciones directamente a la parte de confianza (202, 430), omitiendo de esta forma el dispositivo cliente (460), y cada aserción de la pluralidad de aserciones especifica un evento diferente relacionado con la autenticación que ocurre entre el dispositivo cliente (460) y el servicio de autenticación alojado (450), y cada aserción de la pluralidad de aserciones incluye al menos una indicación, en donde una primera aserción indica que el usuario ha registrado un nuevo autenticador (465) con una robustez/nivel de seguridad asociado, una segunda aserción indica que el usuario ha eliminado el registro de un autenticador (465) y una tercera aserción indica que el usuario se ha autenticado con el servicio de autenticación usando un autenticador (465), en donde la parte de confianza valida cada aserción de la pluralidad de aserciones por medio de la clave (436).
2. El sistema descrito en la reivindicación 1, en donde la clave (436) comprende una clave de aserción simétrica.
3. El sistema descrito en la reivindicación 2, en donde el servicio de autenticación alojado (450) genera una primera firma sobre datos en una aserción de la pluralidad de aserciones usando la clave de aserción simétrica, y la parte de confianza (202, 430) usa su copia de la clave de aserción simétrica para generar una segunda firma sobre los datos en una aserción de la pluralidad de aserciones y compara la primera firma con la segunda firma para validar la pluralidad de aserciones.
4. El sistema descrito en la reivindicación 1, en donde el primer componente de código de programa comprende código de lenguaje de marcado de hipertexto (HTML) y en donde la aplicación comprende una aplicación web.
5. El sistema descrito en la reivindicación 1, que además comprende:
un segundo componente de código de programa insertado en un componente back-end de la aplicación alojada por la parte de confianza (202, 430), y el segundo componente de código de programa almacena de forma segura la clave (436).
6. El sistema descrito en la reivindicación 5, en donde la aplicación comprende una aplicación web que incluye el back-end y un front-end que comprende código de lenguaje de marcado de hipertexto (HTML).
7. El sistema descrito en la reivindicación 1, en donde el portal de administración genera código de front-end para aplicarlo a un front-end de la aplicación y código de back-end para aplicarlo a un back-end de la aplicación, el código de front-end puede utilizarse para redirigir los dispositivos cliente (460) al servicio de autenticación alojado (450) y el código de back-end puede utilizarse para almacenar y acceder de forma segura a la clave (436).
8. El sistema descrito en la reivindicación 1, en donde una o más aserciones incluyen además una indicación de un tipo, modelo y/o robustez del autenticador.
9. Un método que comprende:
el registro de una parte de confianza en un servicio de autenticación alojado (450) mediante el uso compartido de una clave con la parte de confianza (202, 430); el servicio de autenticación alojado (450) y la parte de confianza (202, 430) son partes independientes, y el servicio de autenticación alojado (450) comprende un portal de administración a través del cual un administrador de la parte de confianza configura el servicio de autenticación alojado (450) para proporcionar servicios de autenticación (450) en nombre de la parte de confianza (202, 430);
la inserción de un primer componente de código de programa proporcionado por el servicio de autenticación alojado en una aplicación alojada por la parte de confianza (202, 430), y el primer
componente de código de programa hace que un dispositivo cliente que accede a la aplicación sea redirigido al servicio de autenticación alojado (450) para una autenticación de usuario y otras funciones relacionadas con la autenticación que incluyen el registro de uno o más autenticadores nuevos (465) y la eliminación del registro de uno o más autenticadores (465) del dispositivo cliente de un usuario (460); y la transmisión, basándose en una pluralidad de diferentes eventos relacionados con la autenticación que ocurren entre el dispositivo cliente (460) y el servicio de autenticación alojado (450), de una pluralidad de aserciones desde el servicio de autenticación alojado (450) directamente a la parte de confianza, omitiendo así el dispositivo cliente (460), y cada aserción de la pluralidad de aserciones especifica un evento diferente relacionado con la autenticación que ocurre entre el dispositivo cliente y el servicio de autenticación alojado, y cada aserción de la pluralidad de aserciones incluye al menos una indicación, en donde una primera aserción indica que el usuario ha registrado un nuevo autenticador (465) con una robustez/nivel de seguridad asociado, una segunda aserción indica que el usuario ha eliminado el registro de un autenticador (465) y una tercera aserción indica que el usuario se ha autenticado con el servicio de autenticación (450) usando un autenticador (465), en donde la parte de confianza valida cada aserción de la pluralidad de aserciones por medio de la clave.
10. El método descrito en la reivindicación 9, en donde la clave (436) comprende una clave de aserción simétrica.
11. El método descrito en la reivindicación 10, en donde el servicio de autenticación alojado (450) genera una primera firma sobre datos en una aserción de la pluralidad de aserciones usando la clave de aserción simétrica, y la parte de confianza (202, 430) usa su copia de la clave de aserción simétrica para generar una segunda firma sobre los datos en una aserción de la pluralidad de aserciones y compara la primera firma con la segunda firma para validar la pluralidad de aserciones.
12. El método descrito en la reivindicación 9, en donde el primer componente de código de programa comprende un código de lenguaje de marcado de hipertexto (HTML) y en el que la aplicación comprende una aplicación web.
13. El método descrito en la reivindicación 10, que además comprende:
un segundo componente de código de programa insertado en un componente back-end de la aplicación alojada por la parte de confianza (202, 430), y el segundo componente de código de programa almacena de forma segura la clave (436).
14. El método descrito en la reivindicación 13, en donde la aplicación comprende una aplicación web que incluye el back-end y un front-end que comprende código de lenguaje de marcado de hipertexto (HTML).
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US14/448,814 US10148630B2 (en) | 2014-07-31 | 2014-07-31 | System and method for implementing a hosted authentication service |
PCT/US2015/042786 WO2016019089A1 (en) | 2014-07-31 | 2015-07-30 | System and method for implementing a hosted authentication service |
Publications (1)
Publication Number | Publication Date |
---|---|
ES2849025T3 true ES2849025T3 (es) | 2021-08-13 |
Family
ID=55218299
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ES15828152T Active ES2849025T3 (es) | 2014-07-31 | 2015-07-30 | Sistema y método para implementar un servicio de autenticación alojado |
Country Status (7)
Country | Link |
---|---|
US (1) | US10148630B2 (es) |
EP (1) | EP3175367B1 (es) |
JP (1) | JP6530049B2 (es) |
KR (1) | KR102439782B1 (es) |
CN (1) | CN106575281B (es) |
ES (1) | ES2849025T3 (es) |
WO (1) | WO2016019089A1 (es) |
Families Citing this family (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11503031B1 (en) | 2015-05-29 | 2022-11-15 | Pure Storage, Inc. | Storage array access control from cloud-based user authorization and authentication |
US9444822B1 (en) * | 2015-05-29 | 2016-09-13 | Pure Storage, Inc. | Storage array access control from cloud-based user authorization and authentication |
CN110166246B (zh) * | 2016-03-30 | 2022-07-08 | 创新先进技术有限公司 | 基于生物特征的身份注册、认证的方法和装置 |
US20180167383A1 (en) * | 2016-12-12 | 2018-06-14 | Qualcomm Incorporated | Integration of password-less authentication systems with legacy identity federation |
JP6759152B2 (ja) * | 2017-05-24 | 2020-09-23 | キヤノン株式会社 | 画像処理装置、方法、プログラム及びシステム |
US11496462B2 (en) * | 2017-11-29 | 2022-11-08 | Jpmorgan Chase Bank, N.A. | Secure multifactor authentication with push authentication |
US11368446B2 (en) * | 2018-10-02 | 2022-06-21 | International Business Machines Corporation | Trusted account revocation in federated identity management |
US11188914B2 (en) * | 2018-11-20 | 2021-11-30 | Tdk Corporation | Method for authenticated biometric transactions |
CN109658248B (zh) * | 2018-12-20 | 2023-01-24 | 姚前 | 一种托管资产返还后登记信息更新的系统和方法 |
CN109636392B (zh) * | 2018-12-20 | 2023-01-24 | 姚前 | 一种链下资产托管转让的系统和方法 |
US11570009B1 (en) | 2019-11-22 | 2023-01-31 | Amazon Technologies, Inc. | Systems and methods for onboarding IoT devices with session certificates |
US11271933B1 (en) | 2020-01-15 | 2022-03-08 | Worldpay Limited | Systems and methods for hosted authentication service |
CN111614724A (zh) * | 2020-04-23 | 2020-09-01 | 上海桂垚信息科技有限公司 | 一种用于车联网数据加密传输的协议 |
US11900370B2 (en) * | 2021-01-04 | 2024-02-13 | Mastercard International Incorporated | Methods and systems of using sub-domains to federate device credentials scoped to a common domain |
Family Cites Families (330)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5280527A (en) | 1992-04-14 | 1994-01-18 | Kamahira Safe Co., Inc. | Biometric token for authorizing access to a host system |
US5764789A (en) | 1994-11-28 | 1998-06-09 | Smarttouch, Llc | Tokenless biometric ATM access system |
US6088450A (en) | 1996-04-17 | 2000-07-11 | Intel Corporation | Authentication system based on periodic challenge/response protocol |
US6377691B1 (en) | 1996-12-09 | 2002-04-23 | Microsoft Corporation | Challenge-response authentication and key exchange for a connectionless security protocol |
US7047415B2 (en) * | 1997-09-22 | 2006-05-16 | Dfs Linkages, Inc. | System and method for widely witnessed proof of time |
US6378072B1 (en) | 1998-02-03 | 2002-04-23 | Compaq Computer Corporation | Cryptographic system |
US6618806B1 (en) | 1998-04-01 | 2003-09-09 | Saflink Corporation | System and method for authenticating users in a computer network |
US6178511B1 (en) | 1998-04-30 | 2001-01-23 | International Business Machines Corporation | Coordinating user target logons in a single sign-on (SSO) environment |
JP2000092046A (ja) | 1998-09-11 | 2000-03-31 | Mitsubishi Electric Corp | 遠隔認証システム |
US7047416B2 (en) | 1998-11-09 | 2006-05-16 | First Data Corporation | Account-based digital signature (ABDS) system |
US7505941B2 (en) | 1999-08-31 | 2009-03-17 | American Express Travel Related Services Company, Inc. | Methods and apparatus for conducting electronic transactions using biometrics |
US6842896B1 (en) | 1999-09-03 | 2005-01-11 | Rainbow Technologies, Inc. | System and method for selecting a server in a multiple server license management system |
US7085931B1 (en) | 1999-09-03 | 2006-08-01 | Secure Computing Corporation | Virtual smart card system and method |
US7260724B1 (en) | 1999-09-20 | 2007-08-21 | Security First Corporation | Context sensitive dynamic authentication in a cryptographic system |
US7444368B1 (en) | 2000-02-29 | 2008-10-28 | Microsoft Corporation | Methods and systems for selecting methodology for authenticating computer systems on a per computer system or per user basis |
US7140036B2 (en) | 2000-03-06 | 2006-11-21 | Cardinalcommerce Corporation | Centralized identity authentication for electronic communication networks |
US7698565B1 (en) | 2000-03-30 | 2010-04-13 | Digitalpersona, Inc. | Crypto-proxy server and method of using the same |
US7263506B2 (en) | 2000-04-06 | 2007-08-28 | Fair Isaac Corporation | Identification and management of fraudulent credit/debit card purchases at merchant ecommerce sites |
MY134895A (en) | 2000-06-29 | 2007-12-31 | Multimedia Glory Sdn Bhd | Biometric verification for electronic transactions over the web |
US7487112B2 (en) | 2000-06-29 | 2009-02-03 | Barnes Jr Melvin L | System, method, and computer program product for providing location based services and mobile e-commerce |
EP1316168A4 (en) | 2000-08-04 | 2006-05-10 | First Data Corp | METHOD AND DEVICE FOR USE OF ELECTRONIC COMMUNICATION IN AN ELECTRONIC CONTRACT |
US7689832B2 (en) | 2000-09-11 | 2010-03-30 | Sentrycom Ltd. | Biometric-based system and method for enabling authentication of electronic messages sent over a network |
US20020040344A1 (en) | 2000-10-04 | 2002-04-04 | Preiser Randall F. | Check guarantee, verification, processing, credit reports and collection system and method awarding purchase points for usage of checks |
US7356704B2 (en) | 2000-12-07 | 2008-04-08 | International Business Machines Corporation | Aggregated authenticated identity apparatus for and method therefor |
FI115098B (fi) | 2000-12-27 | 2005-02-28 | Nokia Corp | Todentaminen dataviestinnässä |
US20020112170A1 (en) | 2001-01-03 | 2002-08-15 | Foley James M. | Method and apparatus for using one financial instrument to authenticate a user for accessing a second financial instrument |
US7941669B2 (en) | 2001-01-03 | 2011-05-10 | American Express Travel Related Services Company, Inc. | Method and apparatus for enabling a user to select an authentication method |
AU2002259229A1 (en) | 2001-05-18 | 2002-12-03 | Imprivata, Inc. | Authentication with variable biometric templates |
US6601762B2 (en) | 2001-06-15 | 2003-08-05 | Koninklijke Philips Electronics N.V. | Point-of-sale (POS) voice authentication transaction system |
SG124290A1 (en) | 2001-07-23 | 2006-08-30 | Ntt Docomo Inc | Electronic payment method, system, and devices |
WO2003012670A1 (en) | 2001-07-30 | 2003-02-13 | Alcatel Internetworking, Inc. | Distributed network management system using policies |
KR20040029414A (ko) | 2001-08-10 | 2004-04-06 | 마쯔시다덴기산교 가부시키가이샤 | 전자기기 |
AU2002343424A1 (en) | 2001-09-28 | 2003-04-14 | Bluesocket, Inc. | Method and system for managing data traffic in wireless networks |
JP2003132160A (ja) | 2001-10-23 | 2003-05-09 | Nec Corp | 個人情報管理システムと個人情報管理装置、及び個人情報管理プログラム |
US20030115142A1 (en) | 2001-12-12 | 2003-06-19 | Intel Corporation | Identity authentication portfolio system |
US7155035B2 (en) | 2002-02-05 | 2006-12-26 | Matsushita Electric Industrial Co., Ltd. | Personal authentication method, personal authentication apparatus and image capturing device |
GB0210692D0 (en) | 2002-05-10 | 2002-06-19 | Assendon Ltd | Smart card token for remote authentication |
US20030226036A1 (en) | 2002-05-30 | 2003-12-04 | International Business Machines Corporation | Method and apparatus for single sign-on authentication |
US7322043B2 (en) | 2002-06-20 | 2008-01-22 | Hewlett-Packard Development Company, L.P. | Allowing an electronic device accessing a service to be authenticated |
KR20050083594A (ko) | 2002-07-03 | 2005-08-26 | 오로라 와이어리스 테크놀로지즈 리미티드 | 바이오메트릭 개인키 인프라스트럭처 |
US20160072787A1 (en) | 2002-08-19 | 2016-03-10 | Igor V. Balabine | Method for creating secure subnetworks on a general purpose network |
US8301884B2 (en) | 2002-09-16 | 2012-10-30 | Samsung Electronics Co., Ltd. | Method of managing metadata |
JP2004288156A (ja) | 2002-11-20 | 2004-10-14 | Stmicroelectronics Sa | 眼の虹彩イメージの定義の評価 |
US7353533B2 (en) | 2002-12-18 | 2008-04-01 | Novell, Inc. | Administration of protection of data accessible by a mobile device |
US20040128542A1 (en) * | 2002-12-31 | 2004-07-01 | International Business Machines Corporation | Method and system for native authentication protocols in a heterogeneous federated environment |
JP4374904B2 (ja) | 2003-05-21 | 2009-12-02 | 株式会社日立製作所 | 本人認証システム |
US8555344B1 (en) * | 2003-06-05 | 2013-10-08 | Mcafee, Inc. | Methods and systems for fallback modes of operation within wireless computer networks |
JP2005025337A (ja) | 2003-06-30 | 2005-01-27 | Sony Corp | 機器登録システム、機器登録サーバ、機器登録方法、機器登録プログラム、記憶媒体、及び端末機器 |
US7716469B2 (en) | 2003-07-25 | 2010-05-11 | Oracle America, Inc. | Method and system for providing a circle of trust on a network |
CN104200152B (zh) | 2003-09-12 | 2020-02-14 | Emc公司 | 用于基于风险的验证的系统和方法 |
US20050080716A1 (en) | 2003-09-25 | 2005-04-14 | Boris Belyi | Data validation systems and methods for use in financial transactions |
US9130921B2 (en) | 2003-09-30 | 2015-09-08 | Ca, Inc. | System and method for bridging identities in a service oriented architectureprofiling |
WO2005052765A2 (en) | 2003-11-25 | 2005-06-09 | Ultra-Scan Corporation | Biometric authorization method and system |
US20050125295A1 (en) | 2003-12-09 | 2005-06-09 | Tidwell Lisa C. | Systems and methods for obtaining payor information at a point of sale |
US7263717B1 (en) | 2003-12-17 | 2007-08-28 | Sprint Communications Company L.P. | Integrated security framework and privacy database scheme |
US9191215B2 (en) | 2003-12-30 | 2015-11-17 | Entrust, Inc. | Method and apparatus for providing authentication using policy-controlled authentication articles and techniques |
JP4257250B2 (ja) | 2004-03-30 | 2009-04-22 | 富士通株式会社 | 生体情報照合装置並びに生体特徴情報絞込み装置,生体特徴情報絞込みプログラムおよび同プログラムを記録したコンピュータ読取可能な記録媒体 |
US7607008B2 (en) | 2004-04-01 | 2009-10-20 | Microsoft Corporation | Authentication broker service |
US8762283B2 (en) | 2004-05-03 | 2014-06-24 | Visa International Service Association | Multiple party benefit from an online authentication service |
US20050278253A1 (en) | 2004-06-15 | 2005-12-15 | Microsoft Corporation | Verifying human interaction to a computer entity by way of a trusted component on a computing device or the like |
KR20070037649A (ko) | 2004-07-23 | 2007-04-05 | 사이트릭스 시스템스, 인크. | 게이트웨이에서 종단으로 패킷을 라우팅하기 위한 방법 및시스템 |
US7194763B2 (en) | 2004-08-02 | 2007-03-20 | Cisco Technology, Inc. | Method and apparatus for determining authentication capabilities |
US7298873B2 (en) | 2004-11-16 | 2007-11-20 | Imageware Systems, Inc. | Multimodal biometric platform |
US20060161672A1 (en) * | 2004-11-22 | 2006-07-20 | Bea Systems, Inc. | System and method for improved interportlet communications |
TW200642408A (en) | 2004-12-07 | 2006-12-01 | Farsheed Atef | System and method for identity verification and management |
WO2006063118A2 (en) | 2004-12-07 | 2006-06-15 | Pure Networks, Inc. | Network management |
EP1825413A2 (en) | 2004-12-16 | 2007-08-29 | Mark Dwight Bedworth | User validation using images |
JP2008524751A (ja) | 2004-12-20 | 2008-07-10 | アールエスエイ セキュリティー インク | 消費者インターネット認証サービス |
US7844816B2 (en) | 2005-06-08 | 2010-11-30 | International Business Machines Corporation | Relying party trust anchor based public key technology framework |
US8079079B2 (en) | 2005-06-29 | 2011-12-13 | Microsoft Corporation | Multimodal authentication |
US20070077915A1 (en) | 2005-09-30 | 2007-04-05 | Black Greg R | Method and apparatus for module authentication |
EP1955251A2 (en) | 2005-10-11 | 2008-08-13 | Citrix Systems, Inc. | Systems and methods for facilitating distributed authentication |
US8407146B2 (en) | 2005-10-28 | 2013-03-26 | Microsoft Corporation | Secure storage |
US7623659B2 (en) | 2005-11-04 | 2009-11-24 | Cisco Technology, Inc. | Biometric non-repudiation network security systems and methods |
US8458465B1 (en) | 2005-11-16 | 2013-06-04 | AT&T Intellectual Property II, L. P. | Biometric authentication |
EP1955221A4 (en) | 2005-12-01 | 2009-03-11 | Firestar Software Inc | SYSTEM AND METHOD FOR EXCHANGING INFORMATION BETWEEN EXCHANGE APPLICATIONS |
US20080005562A1 (en) | 2005-12-13 | 2008-01-03 | Microsoft Corporation | Public key infrastructure certificate entrustment |
US8511547B2 (en) | 2005-12-22 | 2013-08-20 | Mastercard International Incorporated | Methods and systems for two-factor authentication using contactless chip cards or devices and mobile devices or dedicated personal readers |
CN1992596A (zh) | 2005-12-27 | 2007-07-04 | 国际商业机器公司 | 用户验证设备和用户验证方法 |
US7941835B2 (en) | 2006-01-13 | 2011-05-10 | Authenticor Identity Protection Services, Inc. | Multi-mode credential authorization |
JP2007220075A (ja) | 2006-01-19 | 2007-08-30 | Toshiba Corp | 個人認証装置、位置情報送信装置、個人認証システム、個人認証方法、及び個人認証プログラム |
WO2007092715A2 (en) | 2006-02-06 | 2007-08-16 | Solidus Networks, Inc. | Method and system for providing online authentication utilizing biometric data |
JPWO2007094165A1 (ja) | 2006-02-15 | 2009-07-02 | 日本電気株式会社 | 本人確認システムおよびプログラム、並びに、本人確認方法 |
WO2007103818A2 (en) | 2006-03-02 | 2007-09-13 | Vxv Solutions, Inc. | Methods and apparatus for implementing secure and adaptive proxies |
US20080028453A1 (en) | 2006-03-30 | 2008-01-31 | Thinh Nguyen | Identity and access management framework |
US7818264B2 (en) | 2006-06-19 | 2010-10-19 | Visa U.S.A. Inc. | Track data encryption |
JP4929803B2 (ja) | 2006-04-10 | 2012-05-09 | 富士通株式会社 | 認証方法、認証装置、および、認証プログラム |
JP4616335B2 (ja) | 2006-04-21 | 2011-01-19 | 三菱電機株式会社 | 認証サーバ装置及び端末装置及び認証システム及び認証方法 |
US9002018B2 (en) | 2006-05-09 | 2015-04-07 | Sync Up Technologies Corporation | Encryption key exchange system and method |
US8738921B2 (en) | 2006-05-16 | 2014-05-27 | Transactionsecure Llc | System and method for authenticating a person's identity using a trusted entity |
US8259647B2 (en) | 2006-06-12 | 2012-09-04 | Samsung Electronics Co., Ltd. | System and method for wireless communication of uncompressed video having a link control and bandwidth reservation scheme for control/management message exchanges and asynchronous traffic |
US7512567B2 (en) | 2006-06-29 | 2009-03-31 | Yt Acquisition Corporation | Method and system for providing biometric authentication at a point-of-sale via a mobile device |
CN101106452B (zh) | 2006-07-12 | 2010-12-08 | 华为技术有限公司 | 移动ip密钥的产生及分发方法和系统 |
US20080025234A1 (en) | 2006-07-26 | 2008-01-31 | Qi Zhu | System and method of managing a computer network using hierarchical layer information |
US7966489B2 (en) | 2006-08-01 | 2011-06-21 | Cisco Technology, Inc. | Method and apparatus for selecting an appropriate authentication method on a client |
US8689287B2 (en) | 2006-08-17 | 2014-04-01 | Northrop Grumman Systems Corporation | Federated credentialing system and method |
WO2008022585A1 (fr) | 2006-08-18 | 2008-02-28 | Huawei Technologies Co., Ltd. | Procédé, système et dispositif de certification |
EP2080142B1 (en) | 2006-08-31 | 2014-09-24 | International Business Machines Corporation | Attestation of computing platforms |
US8239677B2 (en) | 2006-10-10 | 2012-08-07 | Equifax Inc. | Verification and authentication systems and methods |
US9135444B2 (en) | 2006-10-19 | 2015-09-15 | Novell, Inc. | Trusted platform module (TPM) assisted data center management |
US7986786B2 (en) | 2006-11-30 | 2011-07-26 | Hewlett-Packard Development Company, L.P. | Methods and systems for utilizing cryptographic functions of a cryptographic co-processor |
US9055107B2 (en) | 2006-12-01 | 2015-06-09 | Microsoft Technology Licensing, Llc | Authentication delegation based on re-verification of cryptographic evidence |
EP1933522B1 (en) | 2006-12-11 | 2013-10-23 | Sap Ag | Method and system for authentication |
JP2008176407A (ja) | 2007-01-16 | 2008-07-31 | Toshiba Corp | 生体認証システム、装置及びプログラム |
JP2008181295A (ja) | 2007-01-24 | 2008-08-07 | Sony Corp | 認証システム、情報処理装置および方法、プログラム、並びに記録媒体 |
GB0703759D0 (en) | 2007-02-27 | 2007-04-04 | Skype Ltd | A Communication system |
US8302196B2 (en) | 2007-03-20 | 2012-10-30 | Microsoft Corporation | Combining assessment models and client targeting to identify network security vulnerabilities |
US8413221B2 (en) | 2007-03-23 | 2013-04-02 | Emc Corporation | Methods and apparatus for delegated authentication |
US20080271150A1 (en) | 2007-04-30 | 2008-10-30 | Paul Boerger | Security based on network environment |
US8627409B2 (en) | 2007-05-15 | 2014-01-07 | Oracle International Corporation | Framework for automated dissemination of security metadata for distributed trust establishment |
US20080289020A1 (en) | 2007-05-15 | 2008-11-20 | Microsoft Corporation | Identity Tokens Using Biometric Representations |
US8359045B1 (en) | 2007-05-31 | 2013-01-22 | United Services Automobile Association (Usaa) | Method and system for wireless device communication |
US7627522B2 (en) | 2007-06-04 | 2009-12-01 | Visa U.S.A. Inc. | System, apparatus and methods for comparing fraud parameters for application during prepaid card enrollment and transactions |
US9003488B2 (en) | 2007-06-06 | 2015-04-07 | Datavalet Technologies | System and method for remote device recognition at public hotspots |
US7913086B2 (en) | 2007-06-20 | 2011-03-22 | Nokia Corporation | Method for remote message attestation in a communication system |
US8782801B2 (en) | 2007-08-15 | 2014-07-15 | Samsung Electronics Co., Ltd. | Securing stored content for trusted hosts and safe computing environments |
US20090089870A1 (en) | 2007-09-28 | 2009-04-02 | Mark Frederick Wahl | System and method for validating interactions in an identity metasystem |
US9172686B2 (en) | 2007-09-28 | 2015-10-27 | Alcatel Lucent | Facilitating heterogeneous authentication for allowing network access |
JP4129586B2 (ja) | 2007-10-10 | 2008-08-06 | クオリティ株式会社 | 情報処理システム |
FR2922396B1 (fr) | 2007-10-12 | 2009-12-25 | Compagnie Ind Et Financiere Dingenierie Ingenico | Procede d'authentification biometrique, programme d'ordinateur, serveur d'authentification, terminal et objet portatif correspondants |
US20090204964A1 (en) | 2007-10-12 | 2009-08-13 | Foley Peter F | Distributed trusted virtualization platform |
US20090119221A1 (en) | 2007-11-05 | 2009-05-07 | Timothy Martin Weston | System and Method for Cryptographically Authenticated Display Prompt Control for Multifunctional Payment Terminals |
US20090132813A1 (en) | 2007-11-08 | 2009-05-21 | Suridx, Inc. | Apparatus and Methods for Providing Scalable, Dynamic, Individualized Credential Services Using Mobile Telephones |
US8347374B2 (en) | 2007-11-15 | 2013-01-01 | Red Hat, Inc. | Adding client authentication to networked communications |
US8978117B2 (en) | 2007-11-19 | 2015-03-10 | Avaya Inc. | Authentication frequency and challenge type based on environmental and physiological properties |
TWI350486B (en) | 2007-11-26 | 2011-10-11 | Ind Tech Res Inst | Biometrics method and apparatus and biometric data encryption method thereof |
US8312269B2 (en) | 2007-11-28 | 2012-11-13 | Hitachi Global Storage Technologies Netherlands, B.V. | Challenge and response access control providing data security in data storage devices |
US9575558B2 (en) | 2007-12-05 | 2017-02-21 | Hewlett-Packard Development Company, L.P. | System and method for electronically assisting a customer at a product retail location |
US20090157560A1 (en) | 2007-12-14 | 2009-06-18 | Bank Of America Corporation | Information banking and monetization of personal information |
US8650616B2 (en) | 2007-12-18 | 2014-02-11 | Oracle International Corporation | User definable policy for graduated authentication based on the partial orderings of principals |
US8001582B2 (en) | 2008-01-18 | 2011-08-16 | Microsoft Corporation | Cross-network reputation for online services |
US8220032B2 (en) | 2008-01-29 | 2012-07-10 | International Business Machines Corporation | Methods, devices, and computer program products for discovering authentication servers and establishing trust relationships therewith |
US8635662B2 (en) | 2008-01-31 | 2014-01-21 | Intuit Inc. | Dynamic trust model for authenticating a user |
US8175276B2 (en) | 2008-02-04 | 2012-05-08 | Freescale Semiconductor, Inc. | Encryption apparatus with diverse key retention schemes |
US8639630B2 (en) | 2008-02-15 | 2014-01-28 | Ddn Ip Holdings Limited | Distribution of digital content |
US8353016B1 (en) | 2008-02-29 | 2013-01-08 | Adobe Systems Incorporated | Secure portable store for security skins and authentication information |
US8555078B2 (en) | 2008-02-29 | 2013-10-08 | Adobe Systems Incorporated | Relying party specifiable format for assertion provider token |
US8302167B2 (en) | 2008-03-11 | 2012-10-30 | Vasco Data Security, Inc. | Strong authentication token generating one-time passwords and signatures upon server credential verification |
JP2009223452A (ja) * | 2008-03-14 | 2009-10-01 | Hitachi Ltd | 認証システム並びに認証サーバ装置および利用者装置,アプリケーションサーバ装置 |
US20090327131A1 (en) | 2008-04-29 | 2009-12-31 | American Express Travel Related Services Company, Inc. | Dynamic account authentication using a mobile device |
US8799984B2 (en) | 2008-05-27 | 2014-08-05 | Open Invention Network, Llc | User agent to exercise privacy control management in a user-centric identity management system |
US8359632B2 (en) | 2008-05-30 | 2013-01-22 | Microsoft Corporation | Centralized account reputation |
US8630192B2 (en) | 2009-01-28 | 2014-01-14 | Headwater Partners I Llc | Verifiable and accurate service usage monitoring for intermediate networking devices |
US20090307140A1 (en) | 2008-06-06 | 2009-12-10 | Upendra Mardikar | Mobile device over-the-air (ota) registration and point-of-sale (pos) payment |
JP5514200B2 (ja) | 2008-06-20 | 2014-06-04 | コーニンクレッカ フィリップス エヌ ヴェ | 改良された生体認証及び識別 |
US8307093B2 (en) | 2008-06-25 | 2012-11-06 | Microsoft Corporation | Remote access between UPnP devices |
US20100010932A1 (en) | 2008-07-09 | 2010-01-14 | Simon Law | Secure wireless deposit system and method |
US8250627B2 (en) | 2008-07-28 | 2012-08-21 | International Business Machines Corporation | Transaction authorization |
US20100029300A1 (en) | 2008-07-30 | 2010-02-04 | Arima Communications Corp. | Method for inquiring real-time travel-related information using a mobile communication device |
US20100042848A1 (en) | 2008-08-13 | 2010-02-18 | Plantronics, Inc. | Personalized I/O Device as Trusted Data Source |
US20130125222A1 (en) | 2008-08-19 | 2013-05-16 | James D. Pravetz | System and Method for Vetting Service Providers Within a Secure User Interface |
US8666904B2 (en) * | 2008-08-20 | 2014-03-04 | Adobe Systems Incorporated | System and method for trusted embedded user interface for secure payments |
US8880036B2 (en) | 2008-09-08 | 2014-11-04 | Qualcomm Incorporated | Retrieving data wirelessly from a mobile device |
US20100083000A1 (en) | 2008-09-16 | 2010-04-01 | Validity Sensors, Inc. | Fingerprint Sensor Device and System with Verification Token and Methods of Using |
US7933836B2 (en) | 2008-09-30 | 2011-04-26 | Avaya Inc. | Proxy-based, transaction authorization system |
US8307412B2 (en) * | 2008-10-20 | 2012-11-06 | Microsoft Corporation | User authentication management |
US8494482B2 (en) | 2008-10-24 | 2013-07-23 | Centurylink Intellectual Property Llc | Telecommunications system and method for monitoring the body temperature of a user |
EP2359526B1 (en) | 2008-11-04 | 2017-08-02 | SecureKey Technologies Inc. | System and methods for online authentication |
CN100581107C (zh) | 2008-11-04 | 2010-01-13 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别(TePA)的可信平台验证方法 |
AU2009311303B2 (en) | 2008-11-06 | 2015-09-10 | Visa International Service Association | Online challenge-response |
WO2010067433A1 (ja) | 2008-12-11 | 2010-06-17 | 三菱電機株式会社 | 自己認証通信機器、自己認証検証通信機器、機器認証システム、機器認証システムの機器認証方法、自己認証通信プログラムおよび自己認証検証通信プログラム |
US8245030B2 (en) | 2008-12-19 | 2012-08-14 | Nai-Yu Pai | Method for authenticating online transactions using a browser |
US20100169650A1 (en) | 2008-12-31 | 2010-07-01 | Brickell Ernest F | Storage minimization technique for direct anonymous attestation keys |
US8961619B2 (en) | 2009-01-06 | 2015-02-24 | Qualcomm Incorporated | Location-based system permissions and adjustments at an electronic device |
US20100186072A1 (en) | 2009-01-21 | 2010-07-22 | Akshay Kumar | Distributed secure telework |
US8284043B2 (en) | 2009-01-23 | 2012-10-09 | Honeywell International Inc. | Method of formulating response to expired timer for data link message |
US8590021B2 (en) | 2009-01-23 | 2013-11-19 | Microsoft Corporation | Passive security enforcement |
US8359475B2 (en) | 2009-02-12 | 2013-01-22 | International Business Machines Corporation | System, method and program product for generating a cancelable biometric reference template on demand |
US8756674B2 (en) | 2009-02-19 | 2014-06-17 | Securekey Technologies Inc. | System and methods for online authentication |
US9015789B2 (en) | 2009-03-17 | 2015-04-21 | Sophos Limited | Computer security lock down methods |
US8539241B2 (en) | 2009-03-25 | 2013-09-17 | Pacid Technologies, Llc | Method and system for securing communication |
US8291468B1 (en) | 2009-03-30 | 2012-10-16 | Juniper Networks, Inc. | Translating authorization information within computer networks |
JP5519773B2 (ja) | 2009-04-15 | 2014-06-11 | インターデイジタル パテント ホールディングス インコーポレイテッド | ネットワークとの通信のためのデバイスの正当化および/または認証 |
CN101540676B (zh) | 2009-04-28 | 2012-05-23 | 西安西电捷通无线网络通信股份有限公司 | 一种适合三元对等鉴别可信网络连接架构的平台鉴别方法 |
US9105027B2 (en) | 2009-05-15 | 2015-08-11 | Visa International Service Association | Verification of portable consumer device for secure services |
US20100299738A1 (en) | 2009-05-19 | 2010-11-25 | Microsoft Corporation | Claims-based authorization at an identity provider |
US20100325684A1 (en) | 2009-06-17 | 2010-12-23 | Microsoft Corporation | Role-based security for messaging administration and management |
US8621203B2 (en) | 2009-06-22 | 2013-12-31 | Nokia Corporation | Method and apparatus for authenticating a mobile device |
US8452960B2 (en) | 2009-06-23 | 2013-05-28 | Netauthority, Inc. | System and method for content delivery |
KR20100137655A (ko) | 2009-06-23 | 2010-12-31 | 삼성전자주식회사 | 전자 프로그램 가이드를 표시하는 방법 및 이를 위한 장치 |
WO2011017099A2 (en) | 2009-07-27 | 2011-02-10 | Suridx, Inc. | Secure communication using asymmetric cryptography and light-weight certificates |
US7865937B1 (en) | 2009-08-05 | 2011-01-04 | Daon Holdings Limited | Methods and systems for authenticating users |
US8756661B2 (en) | 2009-08-24 | 2014-06-17 | Ufp Identity, Inc. | Dynamic user authentication for access to online services |
US8429404B2 (en) | 2009-09-30 | 2013-04-23 | Intel Corporation | Method and system for secure communications on a managed network |
IL201351A0 (en) | 2009-10-01 | 2010-05-31 | Michael Feldbau | Device and method for electronic signature via proxy |
US20110083018A1 (en) | 2009-10-06 | 2011-04-07 | Validity Sensors, Inc. | Secure User Authentication |
US8769784B2 (en) | 2009-11-02 | 2014-07-08 | Authentify, Inc. | Secure and efficient authentication using plug-in hardware compatible with desktops, laptops and/or smart mobile communication devices such as iPhones |
US8713325B2 (en) | 2011-04-19 | 2014-04-29 | Authentify Inc. | Key management using quasi out of band authentication architecture |
US8719905B2 (en) | 2010-04-26 | 2014-05-06 | Authentify Inc. | Secure and efficient login and transaction authentication using IPhones™ and other smart mobile communication devices |
US8621460B2 (en) | 2009-11-02 | 2013-12-31 | International Business Machines Corporation | Endpoint-hosted hypervisor management |
KR20110048974A (ko) | 2009-11-04 | 2011-05-12 | 삼성전자주식회사 | 무선통신 시스템에서 마스터 세션 키를 갱신하기 위한 장치 및 방법 |
WO2011059496A1 (en) | 2009-11-11 | 2011-05-19 | Cross Match Technologies, Inc. | Apparatus and method for determining sequencing of fingers in images to a two-finger scanner of fingerprint images |
US8949978B1 (en) | 2010-01-06 | 2015-02-03 | Trend Micro Inc. | Efficient web threat protection |
CN105072088A (zh) | 2010-01-22 | 2015-11-18 | 交互数字专利控股公司 | 一种在具有用户的无线设备处执行的方法 |
US9070146B2 (en) | 2010-02-04 | 2015-06-30 | Playspan Inc. | Method and system for authenticating online transactions |
US20110197267A1 (en) | 2010-02-05 | 2011-08-11 | Vivianne Gravel | Secure authentication system and method |
US9032473B2 (en) | 2010-03-02 | 2015-05-12 | Interdigital Patent Holdings, Inc. | Migration of credentials and/or domains between trusted hardware subscription modules |
US20110219427A1 (en) | 2010-03-04 | 2011-09-08 | RSSBus, Inc. | Smart Device User Authentication |
US9065823B2 (en) | 2010-03-08 | 2015-06-23 | Gemalto Sa | System and method for using a portable security device to cryptograhically sign a document in response to signature requests from a relying party to a digital signature service |
US8930713B2 (en) | 2010-03-10 | 2015-01-06 | Dell Products L.P. | System and method for general purpose encryption of data |
JP2011199458A (ja) | 2010-03-18 | 2011-10-06 | Brother Industries Ltd | 無線通信システム |
CN102196407B (zh) | 2010-03-18 | 2015-09-16 | 中兴通讯股份有限公司 | 锚定鉴权器重定位方法及系统 |
US8826030B2 (en) | 2010-03-22 | 2014-09-02 | Daon Holdings Limited | Methods and systems for authenticating users |
US9171306B1 (en) | 2010-03-29 | 2015-10-27 | Bank Of America Corporation | Risk-based transaction authentication |
US9443097B2 (en) | 2010-03-31 | 2016-09-13 | Security First Corp. | Systems and methods for securing data in motion |
US9356916B2 (en) | 2010-04-30 | 2016-05-31 | T-Central, Inc. | System and method to use a cloud-based platform supported by an API to authenticate remote users and to provide PKI- and PMI-based distributed locking of content and distributed unlocking of protected content |
US8926335B2 (en) | 2010-05-12 | 2015-01-06 | Verificient Technologies, Inc. | System and method for remote test administration and monitoring |
US8973125B2 (en) | 2010-05-28 | 2015-03-03 | Alcatel Lucent | Application layer authentication in packet networks |
US20110314549A1 (en) | 2010-06-16 | 2011-12-22 | Fujitsu Limited | Method and apparatus for periodic context-aware authentication |
US8832461B2 (en) | 2010-06-25 | 2014-09-09 | Microsoft Corporation | Trusted sensors |
EP2591424A4 (en) | 2010-07-08 | 2014-12-10 | Hewlett Packard Development Co | SYSTEM AND METHOD FOR IMPLEMENTING DOCUMENTATION POLICIES |
US8412158B2 (en) | 2010-08-17 | 2013-04-02 | Qualcomm Incorporated | Mobile device having increased security that is less obtrusive |
EP2424185B1 (en) | 2010-08-23 | 2014-10-22 | 3M Innovative Properties Co. | Method and device for challenge-response authentication |
US8590014B1 (en) | 2010-09-13 | 2013-11-19 | Zynga Inc. | Network application security utilizing network-provided identities |
US9183683B2 (en) | 2010-09-28 | 2015-11-10 | Sony Computer Entertainment Inc. | Method and system for access to secure resources |
US20120084562A1 (en) | 2010-10-04 | 2012-04-05 | Ralph Rabert Farina | Methods and systems for updating a secure boot device using cryptographically secured communications across unsecured networks |
US8566915B2 (en) | 2010-10-22 | 2013-10-22 | Microsoft Corporation | Mixed-mode authentication |
US8904472B2 (en) | 2010-11-12 | 2014-12-02 | Riaz Ahmed SHAIKH | Validation of consistency and completeness of access control policy sets |
US10153901B2 (en) | 2010-11-23 | 2018-12-11 | Concierge Holdings, Inc. | System and method for verifying user identity in a virtual environment |
WO2012069263A2 (en) | 2010-11-24 | 2012-05-31 | Telefonica, S.A. | Method for authorizing access to protected content |
US8555355B2 (en) | 2010-12-07 | 2013-10-08 | Verizon Patent And Licensing Inc. | Mobile pin pad |
US8955035B2 (en) | 2010-12-16 | 2015-02-10 | Microsoft Corporation | Anonymous principals for policy languages |
US8549145B2 (en) | 2011-02-08 | 2013-10-01 | Aventura Hq, Inc. | Pre-access location-based rule initiation in a virtual computing environment |
US8595507B2 (en) | 2011-02-16 | 2013-11-26 | Novell, Inc. | Client-based authentication |
US20130144785A1 (en) | 2011-03-29 | 2013-06-06 | Igor Karpenko | Social network payment authentication apparatuses, methods and systems |
US8810368B2 (en) | 2011-03-29 | 2014-08-19 | Nokia Corporation | Method and apparatus for providing biometric authentication using distributed computations |
US9092605B2 (en) | 2011-04-11 | 2015-07-28 | NSS Lab Works LLC | Ongoing authentication and access control with network access device |
US8584224B1 (en) | 2011-04-13 | 2013-11-12 | Symantec Corporation | Ticket based strong authentication with web service |
US9600679B2 (en) | 2011-04-29 | 2017-03-21 | Micro Focus Software Inc. | Techniques for resource operation based on usage, sharing, and recommendations with modular authentication |
US8897500B2 (en) | 2011-05-05 | 2014-11-25 | At&T Intellectual Property I, L.P. | System and method for dynamic facial features for speaker recognition |
US9646261B2 (en) | 2011-05-10 | 2017-05-09 | Nymi Inc. | Enabling continuous or instantaneous identity recognition of a large group of people based on physiological biometric signals obtained from members of a small group of people |
US8839395B2 (en) | 2011-05-13 | 2014-09-16 | Cch Incorporated | Single sign-on between applications |
US8561152B2 (en) | 2011-05-17 | 2013-10-15 | Microsoft Corporation | Target-based access check independent of access request |
WO2012162843A1 (en) | 2011-06-03 | 2012-12-06 | Research In Motion Limted | System and method for accessing private networks |
US8843649B2 (en) | 2011-06-07 | 2014-09-23 | Microsoft Corporation | Establishment of a pairing relationship between two or more communication devices |
US20120313746A1 (en) | 2011-06-10 | 2012-12-13 | Aliphcom | Device control using sensory input |
US9621350B2 (en) | 2011-06-30 | 2017-04-11 | Cable Television Laboratories, Inc. | Personal authentication |
JP2013016070A (ja) | 2011-07-05 | 2013-01-24 | Interman Corp | ログオン支援システム |
US8800056B2 (en) | 2011-08-12 | 2014-08-05 | Palo Alto Research Center Incorporated | Guided implicit authentication |
US8752123B2 (en) | 2011-08-15 | 2014-06-10 | Bank Of America Corporation | Apparatus and method for performing data tokenization |
US8863258B2 (en) | 2011-08-24 | 2014-10-14 | International Business Machines Corporation | Security for future log-on location |
US8713314B2 (en) | 2011-08-30 | 2014-04-29 | Comcast Cable Communications, Llc | Reoccuring keying system |
US8590018B2 (en) | 2011-09-08 | 2013-11-19 | International Business Machines Corporation | Transaction authentication management system with multiple authentication levels |
US8838982B2 (en) * | 2011-09-21 | 2014-09-16 | Visa International Service Association | Systems and methods to secure user identification |
US9621404B2 (en) | 2011-09-24 | 2017-04-11 | Elwha Llc | Behavioral fingerprinting with social networking |
US20130133054A1 (en) | 2011-09-24 | 2013-05-23 | Marc E. Davis | Relationship Based Trust Verification Schema |
US9495533B2 (en) | 2011-09-29 | 2016-11-15 | Oracle International Corporation | Mobile application, identity relationship management |
US20130090939A1 (en) | 2011-10-11 | 2013-04-11 | Robert N. Robinson | Sytem and method for preventing healthcare fraud |
US20140053234A1 (en) | 2011-10-11 | 2014-02-20 | Citrix Systems, Inc. | Policy-Based Application Management |
US9021565B2 (en) | 2011-10-13 | 2015-04-28 | At&T Intellectual Property I, L.P. | Authentication techniques utilizing a computing device |
WO2013058781A1 (en) | 2011-10-18 | 2013-04-25 | Intel Corporation | Methods, systems and apparatus to facilitate client-based authentication |
WO2013059464A1 (en) | 2011-10-18 | 2013-04-25 | Google Inc. | Context-dependent authentication |
EP4333554A3 (en) | 2011-10-31 | 2024-03-13 | CosmoKey Solutions GmbH & Co. KG | Authentication method |
US10013692B2 (en) | 2011-11-10 | 2018-07-03 | Cryptocode, Inc. | Systems and methods for authorizing transactions via a digital device |
ES2633344T3 (es) | 2011-11-14 | 2017-09-20 | Vasco Data Security International Gmbh | Lector de tarjeta inteligente con una función de registro seguro |
US8607319B2 (en) | 2011-11-22 | 2013-12-10 | Daon Holdings Limited | Methods and systems for determining biometric data for use in authentication transactions |
WO2013082190A1 (en) | 2011-11-28 | 2013-06-06 | Visa International Service Association | Transaction security graduated seasoning and risk shifting apparatuses, methods and systems |
US8595808B2 (en) | 2011-12-16 | 2013-11-26 | Daon Holdings Limited | Methods and systems for increasing the security of network-based transactions |
US8863299B2 (en) | 2012-01-06 | 2014-10-14 | Mobile Iron, Inc. | Secure virtual file management system |
US8958599B1 (en) | 2012-01-06 | 2015-02-17 | Google Inc. | Input method and system based on ambient glints |
EP3457723B1 (en) | 2012-01-08 | 2020-04-15 | ImagiStar LLC | System and method for item self-assessment as being extant or displaced |
KR101636028B1 (ko) | 2012-01-20 | 2016-07-04 | 인터디지탈 패튼 홀딩스, 인크 | 로컬 기능을 갖는 아이덴티티 관리 |
KR101618274B1 (ko) | 2012-02-14 | 2016-05-04 | 애플 인크. | 복수의 액세스 제어 클라이언트를 지원하는 모바일 장치, 및 대응 방법들 |
AU2013200916B2 (en) | 2012-02-20 | 2014-09-11 | Kl Data Security Pty Ltd | Cryptographic Method and System |
US9367678B2 (en) | 2012-02-29 | 2016-06-14 | Red Hat, Inc. | Password authentication |
US20130239173A1 (en) | 2012-03-12 | 2013-09-12 | Stephen T. Dispensa | Computer program and method for administering secure transactions using secondary authentication |
WO2013147757A1 (en) | 2012-03-28 | 2013-10-03 | Intel Corporation | Conditional limited service grant based on device verification |
US20130275282A1 (en) * | 2012-04-17 | 2013-10-17 | Microsoft Corporation | Anonymous billing |
WO2013159110A1 (en) | 2012-04-20 | 2013-10-24 | Conductiv Software, Inc. | Multi-factor mobile transaction authentication |
US8776180B2 (en) | 2012-05-01 | 2014-07-08 | Taasera, Inc. | Systems and methods for using reputation scores in network services and transactions to calculate security risks to computer systems and platforms |
US9521548B2 (en) | 2012-05-21 | 2016-12-13 | Nexiden, Inc. | Secure registration of a mobile device for use with a session |
US9130837B2 (en) | 2012-05-22 | 2015-09-08 | Cisco Technology, Inc. | System and method for enabling unconfigured devices to join an autonomic network in a secure manner |
US9613052B2 (en) | 2012-06-05 | 2017-04-04 | International Business Machines Corporation | Establishing trust within a cloud computing system |
US20140007215A1 (en) | 2012-06-15 | 2014-01-02 | Lockheed Martin Corporation | Mobile applications platform |
US20130346176A1 (en) | 2012-06-20 | 2013-12-26 | Zachery Alolabi | System and method for payment incentivizing |
US9589399B2 (en) | 2012-07-02 | 2017-03-07 | Synaptics Incorporated | Credential quality assessment engine systems and methods |
US20140013422A1 (en) | 2012-07-03 | 2014-01-09 | Scott Janus | Continuous Multi-factor Authentication |
TW201417598A (zh) | 2012-07-13 | 2014-05-01 | Interdigital Patent Holdings | 安全性關聯特性 |
US10771448B2 (en) | 2012-08-10 | 2020-09-08 | Cryptography Research, Inc. | Secure feature and key management in integrated circuits |
US9088891B2 (en) | 2012-08-13 | 2015-07-21 | Wells Fargo Bank, N.A. | Wireless multi-factor authentication with captive portals |
WO2014036021A1 (en) | 2012-08-28 | 2014-03-06 | Visa International Service Association | Secure device service enrollment |
US8955067B2 (en) | 2012-09-12 | 2015-02-10 | Capital One, Na | System and method for providing controlled application programming interface security |
US9215249B2 (en) | 2012-09-29 | 2015-12-15 | Intel Corporation | Systems and methods for distributed trust computing and key management |
US9172544B2 (en) | 2012-10-05 | 2015-10-27 | General Electric Company | Systems and methods for authentication between networked devices |
US20140250523A1 (en) | 2012-10-11 | 2014-09-04 | Carnegie Mellon University | Continuous Authentication, and Methods, Systems, and Software Therefor |
US8910239B2 (en) | 2012-10-15 | 2014-12-09 | Citrix Systems, Inc. | Providing virtualized private network tunnels |
US9176838B2 (en) | 2012-10-19 | 2015-11-03 | Intel Corporation | Encrypted data inspection in a network environment |
US8584219B1 (en) | 2012-11-07 | 2013-11-12 | Fmr Llc | Risk adjusted, multifactor authentication |
US9166962B2 (en) | 2012-11-14 | 2015-10-20 | Blackberry Limited | Mobile communications device providing heuristic security authentication features and related methods |
US8935808B2 (en) | 2012-12-18 | 2015-01-13 | Bank Of America Corporation | Identity attribute exchange and validation broker |
US9306754B2 (en) | 2012-12-28 | 2016-04-05 | Nok Nok Labs, Inc. | System and method for implementing transaction signing within an authentication framework |
US20140189835A1 (en) | 2012-12-28 | 2014-07-03 | Pitney Bowes Inc. | Systems and methods for efficient authentication of users |
US9015482B2 (en) | 2012-12-28 | 2015-04-21 | Nok Nok Labs, Inc. | System and method for efficiently enrolling, registering, and authenticating with multiple authentication devices |
US9374369B2 (en) | 2012-12-28 | 2016-06-21 | Lookout, Inc. | Multi-factor authentication and comprehensive login system for client-server networks |
JP6391101B2 (ja) | 2012-12-28 | 2018-09-19 | ノック ノック ラブズ, インコーポレイテッドNok Nok Labs, Inc. | 認証能力を決定するためのクエリシステム及び方法 |
US9172687B2 (en) | 2012-12-28 | 2015-10-27 | Nok Nok Labs, Inc. | Query system and method to determine authentication capabilities |
US9083689B2 (en) | 2012-12-28 | 2015-07-14 | Nok Nok Labs, Inc. | System and method for implementing privacy classes within an authentication framework |
US9219732B2 (en) | 2012-12-28 | 2015-12-22 | Nok Nok Labs, Inc. | System and method for processing random challenges within an authentication framework |
US8856541B1 (en) | 2013-01-10 | 2014-10-07 | Google Inc. | Liveness detection |
US9143506B2 (en) | 2013-02-13 | 2015-09-22 | Daniel Duncan | Systems and methods for identifying biometric information as trusted and authenticating persons using trusted biometric information |
JP6069039B2 (ja) | 2013-03-11 | 2017-01-25 | 日立オートモティブシステムズ株式会社 | ゲートウェイ装置及びサービス提供システム |
US9218813B2 (en) | 2013-03-14 | 2015-12-22 | Intel Corporation | Voice and/or facial recognition based service provision |
US20140279516A1 (en) | 2013-03-14 | 2014-09-18 | Nicholas Rellas | Authenticating a physical device |
EP2973164B1 (en) | 2013-03-15 | 2019-01-30 | Intel Corporation | Technologies for secure storage and use of biometric authentication information |
US20140282868A1 (en) | 2013-03-15 | 2014-09-18 | Micah Sheller | Method And Apparatus To Effect Re-Authentication |
US9141823B2 (en) | 2013-03-15 | 2015-09-22 | Veridicom, Sa De Cv | Abstraction layer for default encryption with orthogonal encryption logic session object; and automated authentication, with a method for online litigation |
US10270748B2 (en) | 2013-03-22 | 2019-04-23 | Nok Nok Labs, Inc. | Advanced authentication techniques and applications |
US9887983B2 (en) | 2013-10-29 | 2018-02-06 | Nok Nok Labs, Inc. | Apparatus and method for implementing composite authenticators |
US9396320B2 (en) | 2013-03-22 | 2016-07-19 | Nok Nok Labs, Inc. | System and method for non-intrusive, privacy-preserving authentication |
WO2014176539A1 (en) | 2013-04-26 | 2014-10-30 | Interdigital Patent Holdings, Inc. | Multi-factor authentication to achieve required authentication assurance level |
US9084115B2 (en) | 2013-05-13 | 2015-07-14 | Dennis Thomas Abraham | System and method for data verification using a smart phone |
US9294475B2 (en) | 2013-05-13 | 2016-03-22 | Hoyos Labs Ip, Ltd. | System and method for generating a biometric identifier |
US8646060B1 (en) | 2013-07-30 | 2014-02-04 | Mourad Ben Ayed | Method for adaptive authentication using a mobile device |
US10366391B2 (en) | 2013-08-06 | 2019-07-30 | Visa International Services Association | Variable authentication process and system |
US9161209B1 (en) | 2013-08-21 | 2015-10-13 | Sprint Communications Company L.P. | Multi-step mobile device initiation with intermediate partial reset |
EP3860083A1 (en) | 2013-08-23 | 2021-08-04 | IDEMIA Identity & Security USA LLC | System and method for identity management |
US9646150B2 (en) | 2013-10-01 | 2017-05-09 | Kalman Csaba Toth | Electronic identity and credentialing system |
US20150142628A1 (en) | 2013-11-20 | 2015-05-21 | Bank Of America Corporation | Detecting structured transactions |
US20150180869A1 (en) | 2013-12-23 | 2015-06-25 | Samsung Electronics Company, Ltd. | Cloud-based scalable authentication for electronic devices |
WO2015130734A1 (en) | 2014-02-25 | 2015-09-03 | Uab Research Foundation | Two-factor authentication systems and methods |
US9344419B2 (en) | 2014-02-27 | 2016-05-17 | K.Y. Trix Ltd. | Methods of authenticating users to a site |
CN103793632B (zh) * | 2014-02-28 | 2017-04-12 | 汕头大学 | 数字内容产品访问权限控制服务转移的方法及装置 |
US9652354B2 (en) | 2014-03-18 | 2017-05-16 | Microsoft Technology Licensing, Llc. | Unsupervised anomaly detection for arbitrary time series |
US20170109751A1 (en) | 2014-05-02 | 2017-04-20 | Nok Nok Labs, Inc. | System and method for carrying strong authentication events over different channels |
US9654463B2 (en) | 2014-05-20 | 2017-05-16 | Airwatch Llc | Application specific certificate management |
US10212176B2 (en) | 2014-06-23 | 2019-02-19 | Hewlett Packard Enterprise Development Lp | Entity group behavior profiling |
US9992207B2 (en) | 2014-09-23 | 2018-06-05 | Qualcomm Incorporated | Scalable authentication process selection based upon sensor inputs |
US9928603B2 (en) | 2014-12-31 | 2018-03-27 | Morphotrust Usa, Llc | Detecting facial liveliness |
US10387882B2 (en) | 2015-07-01 | 2019-08-20 | Klarna Ab | Method for using supervised model with physical store |
US10129035B2 (en) | 2015-08-10 | 2018-11-13 | Data I/O Corporation | Device birth certificate |
-
2014
- 2014-07-31 US US14/448,814 patent/US10148630B2/en active Active
-
2015
- 2015-07-30 JP JP2017505070A patent/JP6530049B2/ja active Active
- 2015-07-30 CN CN201580040831.4A patent/CN106575281B/zh active Active
- 2015-07-30 WO PCT/US2015/042786 patent/WO2016019089A1/en active Application Filing
- 2015-07-30 ES ES15828152T patent/ES2849025T3/es active Active
- 2015-07-30 EP EP15828152.7A patent/EP3175367B1/en active Active
- 2015-07-30 KR KR1020177003592A patent/KR102439782B1/ko active IP Right Grant
Also Published As
Publication number | Publication date |
---|---|
EP3175367B1 (en) | 2020-09-09 |
EP3175367A4 (en) | 2018-03-21 |
EP3175367A1 (en) | 2017-06-07 |
KR102439782B1 (ko) | 2022-09-01 |
CN106575281A (zh) | 2017-04-19 |
WO2016019089A1 (en) | 2016-02-04 |
CN106575281B (zh) | 2021-03-26 |
US10148630B2 (en) | 2018-12-04 |
JP2017529739A (ja) | 2017-10-05 |
US20160248742A1 (en) | 2016-08-25 |
KR20170041741A (ko) | 2017-04-17 |
JP6530049B2 (ja) | 2019-06-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
ES2849025T3 (es) | Sistema y método para implementar un servicio de autenticación alojado | |
CN107111478B (zh) | 用于在网络架构内集成验证服务的系统和方法 | |
JP6865158B2 (ja) | セキュア送信プロトコルを使用して信頼を確立するためのシステム及び方法 | |
US9577999B1 (en) | Enhanced security for registration of authentication devices | |
EP3175380B1 (en) | System and method for implementing a one-time-password using asymmetric cryptography | |
US9450760B2 (en) | System and method for authenticating a client to a device | |
US9787689B2 (en) | Network authentication of multiple profile accesses from a single remote device | |
Kreshan | THREE-FACTOR AUTHENTICATION USING SMART PHONE |