ES2849025T3 - Sistema y método para implementar un servicio de autenticación alojado - Google Patents

Sistema y método para implementar un servicio de autenticación alojado Download PDF

Info

Publication number
ES2849025T3
ES2849025T3 ES15828152T ES15828152T ES2849025T3 ES 2849025 T3 ES2849025 T3 ES 2849025T3 ES 15828152 T ES15828152 T ES 15828152T ES 15828152 T ES15828152 T ES 15828152T ES 2849025 T3 ES2849025 T3 ES 2849025T3
Authority
ES
Spain
Prior art keywords
authentication
hosted
assertion
authentication service
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES15828152T
Other languages
English (en)
Inventor
Davit Baghdasaryan
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nok Nok Labs Inc
Original Assignee
Nok Nok Labs Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nok Nok Labs Inc filed Critical Nok Nok Labs Inc
Application granted granted Critical
Publication of ES2849025T3 publication Critical patent/ES2849025T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/80Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)
  • Telephonic Communication Services (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Un sistema que comprende: una o más plataformas de hardware que implementan un servicio de autenticación alojado (450) para proporcionar servicios de autenticación para partes de confianza (202, 430); el servicio de autenticación alojado (450) y las partes de confianza (202, 430) son partes independientes, el servicio de autenticación alojado (450) registra una parte de confianza (202, 430) al compartir una clave (436) con la parte de confianza (202, 430), y el servicio de autenticación alojado (450) comprende un portal de administración (451) a través del cual un administrador de la parte de confianza configura el servicio de autenticación alojado (450) para proporcionar servicios de autenticación en nombre de la parte de confianza (202, 430); la inserción de un primer componente de código de programa proporcionado por el servicio de autenticación alojado (450) en una aplicación alojada por la parte de confianza (202, 430), y el primer componente de código de programa hace que un dispositivo cliente (460) que accede a la aplicación sea redirigido al servicio de autenticación alojado (450) para una autenticación de usuario y otras funciones relacionadas con la autenticación que incluyen el registro de uno o más autenticadores nuevos (465) y la eliminación del registro de uno o más autenticadores (465) del dispositivo cliente de usuario; y la transmisión por parte del servicio de autenticación alojado (450), basándose en una pluralidad de diferentes eventos relacionados con la autenticación que ocurren entre el dispositivo cliente (460) y el servicio de autenticación alojado (450), de una pluralidad de aserciones directamente a la parte de confianza (202, 430), omitiendo de esta forma el dispositivo cliente (460), y cada aserción de la pluralidad de aserciones especifica un evento diferente relacionado con la autenticación que ocurre entre el dispositivo cliente (460) y el servicio de autenticación alojado (450), y cada aserción de la pluralidad de aserciones incluye al menos una indicación, en donde una primera aserción indica que el usuario ha registrado un nuevo autenticador (465) con una robustez/nivel de seguridad asociado, una segunda aserción indica que el usuario ha eliminado el registro de un autenticador (465) y una tercera aserción indica que el usuario se ha autenticado con el servicio de autenticación usando un autenticador (465), en donde la parte de confianza valida cada aserción de la pluralidad de aserciones por medio de la clave (436).

Description

DESCRIPCIÓN
Sistema y método para implementar un servicio de autenticación alojado
Antecedentes
Campo de la invención
Esta invención se refiere en general al campo de los sistemas de procesamiento de datos. Más en concreto, la invención se refiere a un sistema y método para implementar un servicio de autenticación alojado.
Descripción de la técnica relacionada
También se han diseñado sistemas para proporcionar una autenticación de usuario segura a través de una red utilizando sensores biométricos. En dichos sistemas, puede enviarse una puntuación generada por un autenticador y/u otros datos de autenticación a través de una red para autenticar al usuario con un servidor remoto. Por ejemplo, en la solicitud de patente n.° 2011/0082801 (en lo sucesivo denominada la “solicitud 0082801”) se describe un marco para el registro y la autenticación de usuarios en una red que proporciona una autenticación robusta (por ejemplo, protección contra el robo de identidad y la suplantación de identidad (phishing)), transacciones seguras (por ejemplo, una protección contra ataques de “malware en el navegador” y “ataque de intermediario” para transacciones), e inscripción/administración de tokens de autenticación de clientes (por ejemplo, lectores de huellas dactilares, dispositivos de reconocimiento facial, tarjetas inteligentes, módulos de plataforma segura, etc.).
El cesionario de la presente solicitud ha desarrollado una variedad de mejoras en el marco de la autenticación descrito en la solicitud 0082801. Algunas de estas mejoras se describen en el siguiente conjunto de solicitudes de patentes de Estados Unidos de América, las cuales han sido concedidas al cesionario actual: número de serie 13/730.761, Query System and Method to Determine Authentication Capabilities (“Sistema de consulta y método para determinar las capacidades de autenticación”); número de serie 13/730.776, System and Method for Efficiently Enrolling, Registering, and Authenticating With Multiple Authentication Devices (“Sistema y método para inscribirse, registrarse y autenticarse de manera eficiente con múltiples dispositivos de autenticación”); número de serie 13/730.780, System and Method for Processing Random Challenges Within an Authentication Framework (“Sistema y método para procesar desafíos aleatorios dentro de un marco de autenticación”); número de serie 13/730.791, System and Method for Implementing Privacy Classes Within an Authentication Framework (“Sistema y método para implementar clases de privacidad dentro de un marco de autenticación”); número de serie 13/730.795, System and Method for Implementing Transaction Signaling Within an Authentication Framework (“Sistema y método para implementar la señalización de transacciones dentro de un marco de autenticación”); y número de serie 14/218.504, Advanced Authentication Techniques and Applications (“Técnicas y aplicaciones avanzadas de autenticación”) (en lo sucesivo denominada la “solicitud 218.504”). En ocasiones, estas solicitudes se denominan en el presente las “solicitudes pendientes de tramitación”.
Brevemente, en las solicitudes pendientes de tramitación se describen técnicas de autenticación en las que un usuario se inscribe con dispositivos de autenticación (o autenticadores), como por ejemplo dispositivos biométricos (por ejemplo, sensores de huellas dactilares) en un dispositivo cliente. Cuando un usuario se inscribe con un dispositivo biométrico, se capturan datos de referencia biométrica (por ejemplo, al deslizar rápidamente un dedo, tomar una foto, grabar una voz, etc.). El usuario puede posteriormente registrar/aprovisionar los dispositivos de autenticación con uno o más servidores a través de una red (por ejemplo, sitios web u otras partes de confianza (relying parties) equipadas con servicios de transacciones seguras como se describe en las solicitudes pendientes de tramitación); y posteriormente autenticarse con esos servidores utilizando datos intercambiados durante el proceso de registro (por ejemplo, claves criptográficas aprovisionadas en los dispositivos de autenticación). Una vez autenticado, se permite al usuario realizar una o más transacciones en línea con un sitio web u otra parte de confianza. En el marco descrito en las solicitudes pendientes de tramitación, la información confidencial, como por ejemplo los datos de huellas dactilares y otros datos que se pueden usar para identificar de forma única al usuario, puede retenerse localmente en el dispositivo de autenticación del usuario para proteger la privacidad del usuario.
En la solicitud 218.504 se describe una variedad de técnicas adicionales que incluyen técnicas para diseñar autenticadores compuestos, generar de manera inteligente niveles de garantía de autenticación, usar verificación de usuario no intrusiva, transferir datos de autenticación a nuevos dispositivos de autenticación, aumentar los datos de autenticación con datos de riesgo de clientes y aplicar políticas de autenticación de forma adaptativa, y crear círculos de confianza, por nombrar solo algunas de las técnicas.
Se hace referencia a la patente de Estados Unidos 2010/299738 A1, en la que se describen técnicas para administrar el acceso a servicios (por ejemplo, sitios web, aplicaciones, resultados de operaciones ejecutables, etc.) que son proporcionados por partes de confianza. Una parte de confianza es un sistema de procesamiento que se basa en un proveedor de identidades para autenticar una entidad (por ejemplo, un usuario o una aplicación de software) que intenta acceder a un servicio proporcionado por la parte de confianza. El proveedor de identidades es un sistema de procesamiento que está configurado para realizar operaciones de autenticación y autorización con respecto a la entidad. El proveedor de identidades genera una notificación que indica los derechos de acceso de la entidad con respecto a la parte de confianza. El proveedor de identidades proporciona la notificación a la parte de confianza mediante un sistema de usuario o mediante un enlace directo o indirecto que omite el sistema de usuario. La parte de confianza determina si permite a la entidad acceder al servicio basándose en los derechos de acceso indicados por la notificación.
También se hace referencia a la patente de Estados Unidos n.° 2005/223217 A1, en la que se describe cómo un usuario se autentica para una entidad informática de confianza (por ejemplo, una empresa) a través de un servicio de agente de autenticación, en donde existe una relación de confianza entre la entidad informática de confianza y el servicio de agente de autenticación. El servicio de agente de autenticación tiene una relación de confianza con la entidad informática de confianza y el servicio de autenticación que emitió la identidad del usuario. La entidad informática de confianza solicita al servicio de agente de autenticación que autentique la identidad del usuario. El servicio de agente de autenticación captura la credencial del usuario (o indica al servicio de autenticación que lo haga) y envía una respuesta de autenticación (por ejemplo, un token) a la entidad informática de confianza a fin de autenticar la identidad del usuario ante la entidad informática de confianza. La entidad informática de confianza verifica la respuesta de autenticación basándose en la relación de confianza entre la entidad informática de confianza y el servicio de agente de autenticación.
Se hace referencia adicional a la patente de Estados Unidos n.° 2007/234417 A1, en la que se describe un método en el que los dominios federados interactúan dentro de un entorno federado. Los dominios dentro de una federación pueden iniciar operaciones de inicio de sesión único federado para un usuario en otros dominios federados. Un servidor de punto de contacto dentro de un dominio se basa en un proxy de confianza dentro del dominio para administrar las relaciones de confianza entre el dominio y la federación. Los proxies de confianza interpretan las aserciones de otros dominios federados según sea necesario. Los proxies de confianza pueden tener una relación de confianza con uno o más agentes de confianza, y un proxy de confianza puede depender de un agente de confianza para obtener ayuda en la interpretación de aserciones.
BREVE DESCRIPCIÓN DE LOS DIBUJOS
Se puede obtener una mejor comprensión de la presente invención al leer la siguiente descripción detallada en conjunción con los siguientes dibujos, en los que:
las Figuras 1A-B ilustran dos realizaciones diferentes de una arquitectura de sistema de autenticación segura; la Figura 2 es un diagrama de transacciones en el que se muestra cómo se pueden registrar claves en los dispositivos de autenticación;
la Figura 3 ilustra un diagrama de transacciones en el que se muestra la autenticación remota;
la Figura 4 ilustra una realización de un sistema para implementar un servicio de autenticación alojado;
la Figura 5 ilustra una realización de un método para registrar a una parte de confianza en un servicio de autenticación alojado;
la Figura 6 ilustra una realización de un método para usar un servicio de autenticación alojado;
la Figura 7 ilustra una realización de una arquitectura informática utilizada para servidores y/o clientes; y la Figura 8 ilustra una realización de una arquitectura informática utilizada para servidores y/o clientes.
Descripción detallada de realizaciones preferidas
A continuación, se describen realizaciones de un aparato, método y medio legible por máquina para implementar técnicas de autenticación avanzadas y aplicaciones asociadas. A lo largo de la descripción, con fines explicativos, se exponen numerosos detalles específicos para proporcionar una comprensión exhaustiva de la presente invención. Sin embargo, será evidente para un experto en la técnica que se puede llevar a la práctica la presente invención sin algunos de estos detalles específicos. En otros casos, no se muestran estructuras y dispositivos bien conocidos, o estos se muestran en un diagrama de bloques, a fin de no oscurecer innecesariamente los principios subyacentes de la presente invención.
Las realizaciones de la invención que se describen a continuación incluyen dispositivos de autenticación con capacidades de verificación de usuario, como por ejemplo modalidades biométricas o entrada de PIN. En ocasiones, estos dispositivos se denominan en el presente “tokens”, “dispositivos de autenticación” o "autenticadores”. Aunque determinadas realizaciones centran su atención en el hardware/software de reconocimiento facial (por ejemplo, una cámara y software asociado para reconocer la cara de un usuario y realizar un seguimiento del movimiento de los ojos de un usuario), algunas realizaciones pueden utilizar dispositivos biométricos adicionales que incluyen, por ejemplo, sensores de huellas dactilares, hardware/software de reconocimiento de voz (por ejemplo, un micrófono y software asociado para reconocer la voz de un usuario) y capacidades de reconocimiento óptico (por ejemplo, un escáner óptico y software asociado para escanear la retina de un usuario). Las capacidades de verificación de usuario también pueden incluir modalidades no biométricas, como por ejemplo la entrada de PIN. Los autenticadores pueden usar dispositivos como módulos de plataforma segura (TPM, por sus siglas en inglés, Trusted Platform Modules), tarjetas inteligentes y elementos seguros para operaciones criptográficas y almacenamiento de claves.
En una implementación biométrica móvil, el dispositivo biométrico puede ser remoto con respecto a la parte de confianza. Como se usa en el presente, el término “remoto” significa que el sensor biométrico no forma parte del límite de seguridad del ordenador al que está conectado comunicativamente (por ejemplo, no está integrado en el mismo recinto físico que el ordenador de la parte de confianza). A modo de ejemplo, el dispositivo biométrico puede acoplarse a la parte de confianza a través de una red (por ejemplo, Internet, un enlace de red inalámbrica, etc.) o mediante una entrada periférica, como por ejemplo un puerto USB. En estas condiciones, es posible que la parte de confianza no tenga forma de saber si el dispositivo está autorizado por la parte de confianza (por ejemplo, uno que proporciona un nivel aceptable de robustez de autenticación y protección de integridad) y/o si un hacker ha puesto en peligro o incluso reemplazado el dispositivo biométrico. La confianza en el dispositivo biométrico depende de la implementación específica del dispositivo.
El término “local” se usa en el presente para referirse al hecho de que el usuario está completando una transacción en persona, en una ubicación particular, como en un cajero automático (ATM, por sus siglas en inglés, Automated Teller Machine) o en una ubicación de caja de punto de venta (POS, por sus siglas en inglés, Point Of Sale) minorista. Sin embargo, como se describirá más adelante, las técnicas de autenticación empleadas para autenticar al usuario pueden implicar componentes que no están en la ubicación, como por ejemplo la comunicación a través de una red con servidores y/u otros dispositivos de procesamiento de datos remotos. Asimismo, aunque en el presente se describen realizaciones específicas (por ejemplo, un cajero automático y una ubicación de punto de venta minorista), cabe destacar que los principios subyacentes de la invención pueden implementarse dentro del contexto de cualquier sistema en el que un usuario final inicie una transacción localmente.
La expresión “parte de confianza” a veces se usa en el presente para referirse no solo a la entidad con la que se intenta una transacción de usuario (por ejemplo, un sitio web o servicio en línea que realiza transacciones de usuario), sino también a los servidores de transacciones seguras (a veces denominados “autenticadores”) implementados en nombre de esa entidad que pueden realizar las técnicas de autenticación subyacentes descritas en el presente. Los servidores de transacciones seguras pueden ser propiedad de la parte de confianza -y/o estar bajo el control de la misma- o pueden estar bajo el control de un tercero que ofrece servicios de transacciones seguras a la parte de confianza como parte de un acuerdo comercial.
El término “servidor” se usa en el presente para referirse al software ejecutado en una plataforma de hardware (o en múltiples plataformas de hardware) que recibe solicitudes a través de una red de un cliente, como respuesta realiza una o más operaciones y transmite una respuesta al cliente, normalmente incluyendo los resultados de las operaciones. El servidor responde a las solicitudes de los clientes para proporcionar, o ayudar a proporcionar, un “servicio” de red a los clientes. Significativamente, un servidor no está limitado a un único ordenador (por ejemplo, un único dispositivo de hardware para ejecutar el software del servidor) y puede, de hecho, estar distribuido en múltiples plataformas de hardware, y potencialmente en múltiples ubicaciones geográficas.
Ejemplos de arquitecturas de sistemas y transacciones
En las Figuras 1A-B se ilustran dos realizaciones de una arquitectura de sistema que comprende los componentes del lado cliente y del lado servidor para el registro de dispositivos de autenticación (también denominado a veces “aprovisionamiento”) y la autenticación de un usuario. La realización mostrada en la Figura 1A usa una arquitectura basada en un complemento de navegador web para comunicarse con un sitio web, mientras que la realización mostrada en la Figura 1B no requiere un navegador web. Las diversas técnicas descritas en el presente, como por ejemplo la inscripción de un usuario con dispositivos de autenticación, el registro de los dispositivos de autenticación con un servidor seguro y la verificación de un usuario, pueden implementarse en cualquiera de estas arquitecturas de sistema. Por consiguiente, aunque se utiliza la arquitectura que se muestra en la Figura 1A para demostrar el funcionamiento de varias de las realizaciones que se describen más adelante, los mismos principios básicos pueden implementarse fácilmente en el sistema que se muestra en la Figura 1B (por ejemplo, eliminando el complemento 105 del navegador como intermediario para la comunicación entre el servidor 130 y el servicio de transacciones seguras 101 en el cliente).
Si examinamos en primer lugar la Figura 1A, la realización ilustrada incluye un cliente 100 equipado con uno o más dispositivos de autenticación 110-112 (a veces denominados en la técnica tokens de autenticación o “autenticadores”) para inscribir y verificar un usuario final. Como se ha mencionado anteriormente, los dispositivos de autenticación 110-112 pueden incluir dispositivos biométricos como sensores de huellas dactilares, hardware/software de reconocimiento de voz (por ejemplo, un micrófono y software asociado para reconocer la voz de un usuario), hardware/software de reconocimiento facial (por ejemplo, una cámara y software asociado para reconocer la cara de un usuario) y capacidades de reconocimiento óptico (por ejemplo, un escáner óptico y software asociado para escanear la retina de un usuario) y soporte para modalidades no biométricas, como la verificación de PIN. Los dispositivos de autenticación pueden usar módulos de plataforma segura (TPM), tarjetas inteligentes o elementos seguros para operaciones criptográficas y almacenamiento de claves.
Los dispositivos de autenticación 110-112 están acoplados comunicativamente al cliente a través de una interfaz 102 (por ejemplo, una interfaz de programación de aplicaciones o API, por sus siglas en inglés, Application Programming Interface) expuesta por un servicio de transacciones seguras 101. El servicio de transacciones seguras 101 es una aplicación segura para comunicarse con uno o más servidores de transacciones seguras 132-133 a través de una red y para interactuar con un complemento de transacciones seguras 105 ejecutado dentro del contexto de un navegador web 104. Como se ilustra, la interfaz 102 también puede proporcionar acceso seguro a un dispositivo de almacenamiento seguro 120 en el cliente 100 que almacena información relacionada con cada uno de los dispositivos de autenticación 110-112, como por ejemplo un código de identificación de dispositivo, un código de identificación de usuario, datos de inscripción de usuario (por ejemplo, huella dactilar escaneada u otros datos biométricos) protegidos por el dispositivo de autenticación y claves encapsuladas por el dispositivo de autenticación utilizado para realizar las técnicas de autenticación segura que se describen en el presente. Por ejemplo, como se describe en detalle más adelante, una clave única puede almacenarse en cada uno de los dispositivos de autenticación y utilizarse cuando se comunica con los servidores 130 a través de una red como Internet.
Como se describirá más adelante, determinados tipos de transacciones de red son compatibles con el complemento de transacción segura 105, como por ejemplo transacciones HTTP o HTTPS con sitios web 131 u otros servidores. En una realización, el complemento de transacción segura se inicia en respuesta a etiquetas HTML específicas insertadas en el código HTML de una página web por el servidor web 131 dentro del destino seguro de empresa o web 130 (que a veces se denominará más adelante simplemente como el “servidor 130”). En respuesta a la detección de dicha etiqueta, el complemento de transacciones seguras 105 puede reenviar transacciones al servicio de transacciones seguras 101 para su procesamiento. Además, para determinados tipos de transacciones (por ejemplo, el intercambio de claves seguras), el servicio de transacciones seguras 101 puede abrir un canal de comunicaciones directas con el servidor de transacciones en entorno local 132 (es decir, co-localizado en el sitio web) o con un servidor de transacciones remoto 133.
Los servidores de transacciones seguras 132-133 están acoplados a una base de datos de transacciones seguras 120 para almacenar datos de usuario, datos de dispositivos de autenticación, claves y otra información segura necesaria para prestar apoyo a las transacciones de autenticación seguras que se describirán más adelante. Sin embargo, cabe señalar que los principios subyacentes de la invención no requieren la separación de componentes lógicos dentro del destino seguro de empresa o web 130 mostrado en la Figura 1A. Por ejemplo, el sitio web 131 y los servidores de transacciones seguras 132-133 pueden implementarse dentro de un único servidor físico o dentro de servidores físicos independientes. Además, el sitio web 131 y los servidores de transacciones 132-133 pueden implementarse dentro de un módulo de software integrado ejecutado en uno o más servidores para realizar las funciones que se describirán más adelante.
Como se ha mencionado anteriormente, los principios subyacentes de la invención no se limitan a la arquitectura basada en navegador que se muestra en la Figura 1A. En la Figura 1B se ilustra una implementación alternativa en la que una aplicación independiente 154 utiliza la funcionalidad proporcionada por el servicio de transacciones seguras 101 para autenticar un usuario en una red. En una realización, la aplicación 154 está diseñada para establecer sesiones de comunicación con uno o más servicios de red 151 que dependen de los servidores de transacciones seguras 132-133 para realizar las técnicas de autenticación de usuario/cliente que se describen en detalle más adelante.
En cualquiera de las realizaciones mostradas en las Figuras 1A-B, los servidores de transacciones seguras 132-133 pueden generar las claves que posteriormente se transmiten de forma segura al servicio de transacciones seguras 101 y se almacenan en los dispositivos de autenticación dentro del almacenamiento seguro 120. Además, los servidores de transacciones seguras 132-133 administran la base de datos de transacciones seguras 120 en el lado servidor.
Por lo que respecta a las Figuras 2-3, en las mismas se describirán determinados principios básicos asociados con el registro remoto de dispositivos de autenticación y la autenticación con una parte de confianza, seguidos de una descripción detallada de las realizaciones de la invención para establecer la confianza usando protocolos de comunicación seguros.
En la Figura 2 se ilustra una serie de transacciones para registrar dispositivos de autenticación en un cliente (por ejemplo, los dispositivos 110-112 en el cliente 100 en las Figuras 1A-B) (que a veces se denomina el “aprovisionamiento” de dispositivos de autenticación). Para simplificar, el servicio de transacciones seguras 101 y la interfaz 102 se combinan como cliente de autenticación 201 y el destino seguro de empresa o web 130, incluidos los servidores de transacciones seguras 132-133, se representan como una parte de confianza 202.
Durante el registro de un autenticador (por ejemplo, un autenticador de huellas dactilares, un autenticador de voz, etc.), se comparte una clave asociada con el autenticador entre el cliente de autenticación 201 y la parte de confianza 202. Por lo que respecta a las Figuras 1A-B, la clave puede almacenarse dentro del almacenamiento seguro 120 del cliente 100 y la base de datos de transacciones seguras 120 utilizada por los servidores de transacciones seguras 132-133. En una realización, la clave es una clave simétrica generada por uno de los servidores de transacciones seguras 132-133. Sin embargo, en otra realización que se analizará más adelante, se utilizan claves asimétricas. En esta realización, los servidores de transacciones seguras 132-133 pueden generar el par de claves pública/privada. A continuación, la clave pública puede ser almacenada por los servidores de transacciones seguras 132-133 y la clave privada relacionada puede ser almacenada en el almacenamiento seguro 120 en el cliente. En una realización alternativa, la clave o las claves pueden ser generadas en el cliente 100 (por ejemplo, por el dispositivo de autenticación o la interfaz del dispositivo de autenticación en lugar de los servidores de transacciones seguras 132-133). Los principios subyacentes de la invención no se limitan a ningún tipo específico de claves o forma de generar las claves.
En una realización se emplea un protocolo de aprovisionamiento de clave segura para compartir la clave con el cliente a través de un canal de comunicación seguro. Un ejemplo de un protocolo de aprovisionamiento de claves es el Protocolo de Aprovisionamiento de Claves Simétricas Dinámicas (DSKPP, por sus siglas en inglés, Dynamic Symmetric Key Provisioning Protocol) (véase, por ejemplo, Request for Comments (RFC) n.° 6063). Sin embargo, los principios subyacentes de la invención no se limitan a ningún protocolo de aprovisionamiento de claves en particular. En una realización particular, el cliente genera un par de claves pública/privada y envía la clave pública al servidor, que puede ser certificada con una clave de atestación.
Si examinamos ahora los detalles específicos mostrados en la Figura 2, para iniciar el proceso de registro, la parte de confianza 202 genera un desafío generado aleatoriamente (por ejemplo, un nonce criptográfico) que debe ser presentado por el cliente de autenticación 201 durante el registro del dispositivo. El desafío aleatorio puede ser válido por un periodo de tiempo limitado. Como respuesta, el cliente de autenticación 201 inicia una conexión segura fuera de banda con la parte de confianza 202 (por ejemplo, una transacción fuera de banda) y se comunica con la parte de confianza 202 utilizando el protocolo de aprovisionamiento de claves (por ejemplo, el protocolo DSKPP mencionado anteriormente). Para iniciar la conexión segura, el cliente de autenticación 201 puede proporcionar el desafío aleatorio a la parte de confianza 202 (potencialmente con una firma generada sobre el desafío aleatorio). Además, el cliente de autenticación 201 puede transmitir la identidad del usuario (por ejemplo, un ID de usuario u otro código) y la identidad del dispositivo o los dispositivos de autenticación que se aprovisionarán registrados (por ejemplo, utilizando el ID de atestación de autenticación (AAID, por sus siglas en inglés, authentication attestation ID) que identifica de forma única el tipo de dispositivo o dispositivos de autenticación que se están aprovisionando).
La parte de confianza localiza al usuario con el nombre de usuario o código de ID (por ejemplo, en una base de datos de cuentas de usuario), valida el desafío aleatorio (por ejemplo, usando la firma o simplemente comparando el desafío aleatorio con el que se envió), valida el código de autenticación del dispositivo de autenticación si se envió uno (por ejemplo, el AAID), y crea una nueva entrada en una base de datos de transacciones seguras (por ejemplo, la base de datos 120 en las Figuras 1A-B) para el usuario y el dispositivo o los dispositivos de autenticación. En una realización, la parte de confianza mantiene una base de datos de dispositivos de autenticación que acepta para la autenticación. Puede consultar esta base de datos con el AAID (u otro código de dispositivo o dispositivos de autenticación) para determinar si el dispositivo o los dispositivos de autenticación que se están aprovisionando son aceptables para la autenticación. Si es así, procederá con el proceso de registro.
En una realización, la parte de confianza 202 genera una clave de autenticación para cada dispositivo de autenticación que se aprovisiona. La parte de confianza escribe la clave en la base de datos segura y devuelve la clave al cliente de autenticación 201 utilizando el protocolo de aprovisionamiento de claves. Una vez completado, el dispositivo de autenticación y la parte de confianza 202 comparten la misma clave si se utilizó una clave simétrica o claves diferentes si se utilizaron claves asimétricas. Por ejemplo, si se utilizaron claves asimétricas, entonces la parte de confianza 202 puede almacenar la clave pública y proporcionar la clave privada al cliente de autenticación 201. Tras recibir la clave privada de la parte de confianza 202, el cliente de autenticación 201 aprovisiona la clave en el dispositivo de autenticación (almacenándola en un almacenamiento seguro asociado con el dispositivo de autenticación). A continuación, puede utilizar la clave durante la autenticación del usuario (como se describirá más adelante). En una realización alternativa, la clave o las claves son generadas por el cliente de autenticación 201 y se utiliza el protocolo de aprovisionamiento de claves para proporcionar la clave o las claves a la parte de confianza 202. En cualquiera de los dos casos, una vez que se completa el aprovisionamiento, el cliente de autenticación 201 y la parte de confianza 202 tienen cada uno una clave y el cliente de autenticación 201 notifica de la finalización a la parte de confianza.
En la Figura 3 se ilustra una serie de transacciones para la autenticación de usuarios con los dispositivos de autenticación aprovisionados. Una vez que se completa el registro del dispositivo (como se ha descrito en la Figura 2), la parte de confianza 202 aceptará una respuesta de autenticación (a veces denominada token) generada por el dispositivo de autenticación local en el cliente como una respuesta de autenticación válida.
Si examinamos ahora los detalles específicos mostrados en la Figura 3, como respuesta a que el usuario inicie una transacción con la parte de confianza 202 que requiere autenticación (por ejemplo, iniciar el pago desde el sitio web de la parte de confianza, acceder a datos de cuentas de usuario privadas, etc.), la parte de confianza 202 genera una solicitud de autenticación que incluye un desafío aleatorio (por ejemplo, un nonce criptográfico). En una realización, el desafío aleatorio tiene un límite de tiempo asociado con el mismo (por ejemplo, es válido durante un periodo de tiempo específico). La parte de confianza también puede identificar el autenticador que utilizará el cliente de autenticación 201 para la autenticación. Como se ha mencionado anteriormente, la parte de confianza puede aprovisionar cada dispositivo de autenticación disponible en el cliente y almacena una clave pública para cada autenticador aprovisionado. Por lo tanto, puede utilizar la clave pública de un autenticador o puede utilizar un ID de autenticador (por ejemplo, AAID) para identificar el autenticador que se utilizará. Alternativamente, puede proporcionar al cliente una lista de opciones de autenticación para que el usuario seleccione una de ellas.
En respuesta a la recepción de la solicitud de autenticación, se puede presentar al usuario una interfaz gráfica de usuario (GUI, por sus siglas en inglés, Graphical User Interface) que solicita autenticación (por ejemplo, en forma de una página web o una GUI de una aplicación de autenticación). A continuación, el usuario realiza la autenticación (por ejemplo, deslizando rápidamente un dedo en un lector de huellas dactilares, etc.). En respuesta, el cliente de autenticación 201 genera una respuesta de autenticación que contiene una firma sobre el desafío aleatorio con la clave privada asociada con el autenticador. También puede incluir otros datos pertinentes, como por ejemplo el código de ID de usuario en la respuesta de autenticación.
Tras recibir la respuesta de autenticación, la parte de confianza puede validar la firma sobre el desafío aleatorio (por ejemplo, usando la clave pública asociada con el autenticador) y confirmar la identidad del usuario. Una vez que se completa la autenticación, se permite al usuario realizar transacciones seguras con la parte de confianza, como se ha ilustrado.
Se puede utilizar un protocolo de comunicación seguro como Seguridad de la Capa de Transporte (TLS, por sus siglas en inglés, Transport Layer Security) o Capa de Puertos Seguros (SSL, por sus siglas en inglés, Secure Sockets Layer) para establecer una conexión segura entre la parte de confianza 201 y el cliente de autenticación 202 con respecto a cualquiera o todas las transacciones ilustradas en las Figuras 2-3.
Sistema y método para implementar un servicio de autenticación alojado
Una realización de la invención incluye un servicio de autenticación alojado que proporciona una funcionalidad completa de servidor de autenticación a múltiples partes de confianza en paralelo, pero que requiere esfuerzos de integración mínimos por parte de los desarrolladores de partes de confianza.
Las implementaciones típicas del servidor de autenticación se implementan dentro de la infraestructura de red de la parte de confianza. Esta es una opción de implementación común para las organizaciones de gran tamaño cuyas políticas no permiten a sus activos de seguridad críticos estar fuera de su propia infraestructura. Sin embargo, la integración de servidores de autenticación en una infraestructura existente no es una tarea sencilla y puede requerir una inversión significativa.
Algunas partes de confianza pueden preferir renunciar a tales inversiones y, en su lugar, integrarse con un servicio de autenticación alojado que proporciona las mismas capacidades de servidor de autenticación mientras oculta la complejidad de la integración. Sin embargo, deben existir suficientes mecanismos de seguridad para que los servicios de autenticación alojados sean aceptados.
Como se ilustra en la Figura 4, una realización de la invención incluye un servicio de autenticación alojado (HAS, por sus siglas en inglés, Hosted Authentication Service) 450 implementado como un sistema en línea acoplado comunicativamente a la parte de confianza 430 a través de una red (por ejemplo, Internet) para proporcionar las capacidades de autenticación mencionadas anteriormente. Como se ilustra, la arquitectura basada en HAS incluye tres componentes: una aplicación web de parte de confianza (RP, por sus siglas en inglés, relying party) 440; un servicio de autenticación alojado 450; y un dispositivo cliente 460 configurado con autenticador o autenticadores 465, un cliente de autenticación 462 y un navegador o aplicación 461.
En una realización, la aplicación web de RP 440 es un servicio en línea basado en la web, como por ejemplo un sitio web de una institución financiera, un sitio web de red social, un servicio de correo electrónico basado en la web, un portal de entretenimiento basado en la web, etc. Cuenta con una base de datos de usuarios 435 que se suscriben a los servicios ofrecidos por la aplicación web 440 y un sistema de inicio de sesión. La aplicación web de RP 440 se diseña típicamente con un componente front-end 441 y un componente back-end 442. El componente front-end 441 puede ser un servidor web implementado con código de lenguaje de marcado de hipertexto (HTML) u otro código basado en web para generar páginas web dinámicamente en respuesta a las solicitudes de los usuarios. El componente back-end 442 típicamente tiene acceso a una o más bases de datos 435 e incluye la lógica de negocios para recuperar y/o generar los datos subyacentes que serán utilizados en las páginas web generadas por el componente front-end 441. Por ejemplo, si la parte de confianza es una institución financiera, el código back-end 442 puede acceder a una base de datos 435 que contiene datos de cuenta en respuesta a una solicitud de usuario. El componente back-end 442 puede entonces realizar cálculos usando los datos de cuenta y/o proporcionar simplemente los datos de cuenta al componente front-end 441, que luego incluirá los datos de cuenta o los cálculos realizados usando los datos de cuenta en una página web. El componente front-end 441 normalmente define la forma en que los datos subyacentes se presentan al usuario.
En una realización, el servicio de autenticación alojado 450 es un servicio en línea que tiene servidores de autenticación 455 implementados en nombre de las partes de confianza 430. Como se ha examinado anteriormente, un dispositivo cliente 460 equipado con un cliente de autenticación 462 puede registrar sus autenticadores 465 con el servidor de autenticación 455 (véase, por ejemplo, la Figura 2). A continuación, las claves y otras credenciales asociadas con los autenticadores 465 pueden ser almacenadas en un almacenamiento seguro 456 por el servidor de autenticación 455 (y recuperadas para autenticar al usuario final, como se ilustra en la Figura 3). En una realización, ilustrada en la Figura 4, el servicio de autenticación alojado 450 también mantiene una base de datos 452 para almacenar credenciales de autenticación registradas (registros de autenticación) para múltiples aplicaciones web de RP 440.
Como se ha mencionado, el dispositivo cliente 460 puede ser un ordenador portátil, una tableta, un teléfono o cualquier otro dispositivo de procesamiento de datos con un cliente de autenticación 462 y acceso a un autenticador 465. El dispositivo cliente también incluye un navegador o aplicación 461 para acceder a los servicios ofrecidos por las partes de confianza 430 (por ejemplo, para acceder al sitio web de las partes de confianza u a otra forma de servicio en línea).
En la Figura 4 se ilustra una realización en la que la aplicación web de RP 440 tiene una asociación fuera de banda con un servicio de autenticación alojado (que se examina más adelante) y la página web de la aplicación web de RP administra la comunicación con el servicio de autenticación alojado 450. La arquitectura de autenticación alojada ilustrada en la Figura 4 proporciona una serie de beneficios para los desarrolladores de aplicaciones web de RP. En particular, los usuarios tienen la misma experiencia de usuario que con cualquier otra aplicación web basada en autenticación. Además, las partes de confianza no necesitan mantener las credenciales de autenticación internamente y solo se requiere un pequeño esfuerzo de integración en el back-end 442 y el front-end 441 de la aplicación web 440 (como se explica más adelante).
En una realización, se inicia el proceso de integración registrando una aplicación web de RP 440 con el servicio de autenticación alojado 450. Se puede proporcionar acceso para un administrador de aplicaciones web (por ejemplo, un miembro del personal de tecnología de la información de la parte de confianza) a través de un portal de administración de servicio de autenticación alojado 451 y se puede crear una cuenta proporcionando los detalles necesarios (por ejemplo, la información relacionada con la aplicación web 440, como se describe más adelante). En una realización, se proporcionan al administrador de la parte de confianza credenciales de autenticación (por ejemplo, un código secreto como un PIN o contraseña) para acceder al portal de administración 451 con antelación. El administrador, a continuación, puede iniciar una sesión en el portal de administración 451 usando las credenciales. En una realización, el portal de administración 451 es un portal basado en web accesible a través del navegador del administrador. Sin embargo, los principios subyacentes de la invención no se limitan a ninguna forma específica de acceder al portal de administración 451.
El administrador de la aplicación web puede proporcionar al portal de administración 451 las credenciales de inicio de sesión necesarias y otra información pertinente, como por ejemplo la dirección o las direcciones de red necesarias para acceder al código de programa del front-end y al código de programa de back-end de la aplicación web. En una realización, en respuesta a una solicitud del administrador de la aplicación web para registrar la aplicación web 440 con el servicio de autenticación alojado 450, el portal de administración 451 genera el código HTML 443 que se incorpora al front-end 441 de la aplicación web 440 (por ejemplo, la página web de la aplicación web). Se puede implementar el código HTML 443 en Javascript puro, iFrames de HTML o mediante el uso de cualquier otro lenguaje de programación compatible con la aplicación web 440. En una realización, el código HTML se comunicará directamente con el código de programa de la aplicación web 440 (por ejemplo, el código de frontend 441).
En una realización, el portal de servicio de autenticación alojado 451 también genera el código de back-end 444 que se incorpora en el back-end 442 de la aplicación web. En la Figura 4 se muestra cómo el código HTML 443 y el código de back-end 444 generados por el portal de administración 451 se aplican a una instancia activa de la aplicación web 440. Sin embargo, en una realización, la instalación del nuevo código 443-444 puede realizarse antes de la ejecución de la aplicación web (por ejemplo, aplicada a los binarios de la aplicación y las bibliotecas almacenadas en un dispositivo de almacenamiento masivo).
En una realización, el portal de servicio de autenticación alojado 451 también genera una clave criptográfica (por ejemplo, una clave simétrica o un certificado), que en el presente se denomina la “clave de aserción” del servicio de autenticación alojado, la cual se almacenará a continuación en el almacenamiento seguro 436 en la infraestructura de back-end de la aplicación web. En una realización, la clave 436 es utilizada después por el back-end 442 para validar las aserciones del servicio de autenticación alojado 450 (como se describirá más adelante). Después de integrar el código de servicio de autenticación alojado 443-444 en la aplicación web y proporcionar la clave o las claves 436, la integración se ha completado.
Una vez que el proceso de integración se ha completado, los usuarios de la aplicación web pueden empezar a utilizar los autenticadores del lado cliente 465 para autenticarse con las partes de confianza 430. En una realización, el código HTML 443 proporcionado por el servicio de autenticación alojado 450 gestionará la experiencia de autenticación de usuarios, incluida la comunicación relacionada con la autenticación. En una realización, el código HTML 443, una vez descargado en el navegador del usuario 461, se comunicará directamente con el cliente de autenticación 462 para dirigir el cliente de autenticación 462 al servidor de autenticación 455 en el servicio de autenticación alojado 450. En una realización, el código HTML 443 se comunica con un complemento (por ejemplo, el complemento de transacción segura 101 mostrado en la Figura 1A), que está instalado en el navegador del dispositivo cliente 461 para habilitar la comunicación segura con el servicio de autenticación alojado 450 y el cliente de autenticación 462.
En una realización, el servidor de autenticación 455 en el servicio de autenticación alojado 450 generará después solicitudes de autenticación e intercambiará otros mensajes relacionados con la autenticación con el cliente de autenticación (véanse, por ejemplo, las Figuras 2-3 y el texto asociado). Cuando se completen las operaciones relacionadas con la autenticación (por ejemplo, el registro, la autenticación de usuario, la eliminación del registro, etc.), el servicio de autenticación alojado 450 notificará a la aplicación web 440 mediante aserciones criptográficas que usan la clave de aserción del servicio de autenticación alojado 436. Por ejemplo, el servidor de autenticación 455 puede usar la clave de aserción 436 para generar una firma sobre cada aserción enviada a la aplicación web 440. El código de back-end 444 que se ejecuta en la aplicación web 440 puede a continuación verificar las aserciones usando su propia copia de la clave 436 para validar la firma. De forma similar, el código de back-end 444 puede generar una firma usando la clave 436 sobre cualquier comunicación enviada desde la aplicación web 440 al servicio de autenticación alojado 450, que puede validar la comunicación usando su copia de la clave.
En una realización, las aserciones enviadas desde el servicio de autenticación alojado 450 pueden incluir cualquier información relacionada con el aprovisionamiento/registro de autenticadores 465 y las autenticaciones realizadas a través de los autenticadores 465. Por ejemplo, las aserciones pueden notificar a la aplicación web 440 acerca de actividades como, por ejemplo, el registro de dispositivos de autenticación y la información pertinente relacionada con los dispositivos de autenticación, por ejemplo: el nivel de robustez de seguridad (por ejemplo, el Usuario X acaba de registrar un autenticador con un nivel de seguridad Y); las autenticaciones con éxito por parte del usuario que utiliza un autenticador o tipo de autenticador específicos (por ejemplo, el Usuario X acaba de autenticarse con un autenticador con un nivel de seguridad Y); y la eliminación del registro de autenticadores (por ejemplo, el Usuario X acaba de eliminar el registro de un autenticador Y).
Las aserciones pueden implementarse utilizando el Lenguaje de Marcado para Aserciones de Seguridad (SAML, por sus siglas en inglés, Security Assertion Markup Language), OAuth, OpenID o cualquier otra tecnología similar. En algunas arquitecturas de servicios de autenticación alojados, las aserciones pueden pasar desde los servidores de servicios de autenticación alojados 455 directamente a los servidores de la aplicación web 440 (por ejemplo, omitiendo el dispositivo cliente 460). En una implementación alternativa, las aserciones pueden enviarse a través del dispositivo cliente 460 (por ejemplo, como Javascript enviado al navegador 461, que después reenvía las aserciones a la aplicación web 440).
En la Figura 5 se ilustra un método para registrar una parte de confianza con un servicio de autenticación alojado según una realización de la invención y en la Figura 6 se ilustra un método para realizar operaciones como el registro y la eliminación del registro de dispositivos de autenticación y la autenticación de usuario con un servicio de autenticación alojado. Los métodos pueden implementarse dentro del contexto de la arquitectura que se muestra en la Figura 4, pero no se limitan a ninguna arquitectura de sistema en particular.
En 501, el administrador de la parte de confianza inicia una sesión en un portal administrativo del servicio de autenticación alojado (por ejemplo, utilizando las credenciales proporcionadas) y proporciona los datos necesarios para crear una nueva cuenta en la parte de confianza. Esto puede incluir los datos de red necesarios para identificar la aplicación o las aplicaciones web de la parte de confianza en la red y potencialmente credenciales de autenticación (por ejemplo, un nombre de usuario/una contraseña) para acceder a las aplicaciones web (en particular, el código de programa de front-end y el código de programa de back-end de la aplicación web).
En 502, en respuesta a una solicitud del administrador de la aplicación web para registrar una aplicación web con el servicio de autenticación alojado, el portal de administración genera un código de front-end (por ejemplo, código HTML) que se incorpora en el front-end de la aplicación web (por ejemplo, la página web de la aplicación web) y un código de back-end que se incorpora en el back-end de la aplicación web. Además, en 502, el portal del servicio de autenticación alojado genera una clave de aserción criptográfica (por ejemplo, una clave simétrica o un certificado). En 503, se transmiten el código de front-end, el código de back-end y la clave de aserción a la parte de confianza. En 504, la parte de confianza integra el código de front-end y el código de back-end en su plataforma y almacena de forma segura la clave de aserción. Como se ha mencionado, en una realización, la clave de aserción se usa posteriormente para validar las aserciones del servicio de autenticación alojado.
Si examinamos a continuación la Figura 6, en 601 un dispositivo cliente equipado con uno o más dispositivos de autenticación se conecta al sitio web de la parte de confianza y descarga una página web que contiene el código de front-end. En algunos casos, la página web puede contener código que es generado dinámicamente por el código de front-end (en lugar del propio código de front-end). Como se usa en el presente, el “código de front-end” se refiere tanto al propio código de front-end como al código que es generado dinámicamente por el código de front-end para su uso en el dispositivo cliente.
En 602, el código de front-end establece comunicación con el cliente de autenticación en el dispositivo cliente y el servicio de autenticación alojado (o, más precisamente, un servidor de autenticación en el servicio de autenticación alojado). En 603, se realizan una o más transacciones, como por ejemplo el registro de un nuevo autenticador, la realización de la autenticación de usuario y/o la cancelación del registro de un autenticador.
En 604, el servicio de autenticación alojado genera aserciones criptográficas relacionadas con las transacciones usando la clave de aserción. Por ejemplo, una aserción criptográfica puede indicar nuevos autenticadores registrados, autenticadores cuyo registro se ha cancelado, información relacionada con los autenticadores como la exactitud/precisión de los autenticadores (por ejemplo, el nivel de robustez del autenticador) y autenticaciones de usuario con los autenticadores. Como se ha mencionado, se pueden firmar las aserciones criptográficas con la clave de aserción.
En 605, se transmiten las aserciones criptográficas a la parte de confianza y, en 606, esta valida las aserciones usando la clave de aserción. Por ejemplo, el código de back-end puede recuperar la clave de aserción, generar su propia firma y comparar la firma generada con la firma enviada desde el servicio de autenticación alojado. Si las firmas coinciden, entonces se valida la aserción y se puede permitir al usuario realizar una transacción basada en la aserción. Por ejemplo, si la aserción indica que el usuario se ha autenticado con éxito con el servicio de autenticación alojado, la parte de confianza puede aceptar la autenticación y permitir que el usuario complete una transacción (por ejemplo, una transacción financiera, acceso a datos privados, etc.).
En una realización, el servicio de autenticación alojado puede implementarse utilizando una variedad de protocolos/lenguajes diferentes que incluyen, por ejemplo, el Lenguaje de Marcado para Aserciones de Seguridad (SAML), Firmas Web de Notación de Objeto de Java (JSON, por sus siglas en inglés, Java Script Objection Notation), OAuth o tecnologías similares para transmitir las aserciones del servicio de autenticación alojado a la parte de confianza. Además, el sistema de servicio de autenticación alojado puede usar iFrames para el código de front-end y back-end integrado en la página web de la parte de confianza (por ejemplo, que se comunica con el sitio web de la parte de confianza acerca de las aserciones del servicio de autenticación alojado). Sin embargo, cabe destacar que los principios subyacentes de la invención no se limitan a ningún protocolo y/o lenguaje de programación específicos.
Las realizaciones de la invención descritas en el presente son preferibles a los proveedores de identidad y los servidores de identidad federados existentes porque se protege mejor la privacidad de un usuario final. Aunque la parte de confianza puede contener información relacionada con el usuario, esta información no necesita compartirse con el servicio de alojamiento de autenticación (o cualquier otra parte de confianza) para implementar las técnicas de autenticación alojadas descritas en el presente. Esto contrasta con los proveedores de identidad y los servidores federados existentes, los cuales permiten que las partes de confianza realicen un seguimiento de los usuarios en diferentes partes de confianza.
Ejemplos de dispositivos de procesamiento de datos
La Figura 7 es un diagrama de bloques que ilustra ejemplos de clientes y servidores que pueden utilizarse en algunas realizaciones de la invención. Deberá entenderse que, aunque en la Figura 7 se ilustran varios componentes de un sistema informático, esta no pretende representar ninguna arquitectura o forma específicas de interconectar los componentes, ya que estos detalles no son pertinentes para la presente invención. Se apreciará que también se pueden usar con la presente invención otros sistemas informáticos que tengan menos componentes o más componentes.
Como se ilustra en la Figura 7, el sistema informático 700, que constituye una forma de un sistema de procesamiento de datos, incluye el bus o los buses 750 que están acoplados con el sistema de procesamiento 720, la fuente de alimentación 725, la memoria 730 y la memoria no volátil 740 (por ejemplo, un disco duro, una memoria flash, una memoria de cambio de fase (PCM, por sus siglas en inglés, Phase-Change Memory), etc.). El bus o los buses 750 pueden conectarse entre sí a través de varios puentes, controladores y/o adaptadores, como es bien conocido en la técnica. El sistema de procesamiento 720 puede recuperar la instrucción o las instrucciones de la memoria 730 y/o la memoria no volátil 740, y ejecutar las instrucciones para realizar operaciones, como se ha descrito anteriormente. El bus 750 interconecta los componentes mencionados anteriormente y también interconecta esos componentes a la base de acoplamiento opcional (optional dock) 760, el controlador de pantalla y el dispositivo de pantalla 770, los dispositivos de Entrada/Salida 780 (por ejemplo, una tarjeta de interfaz de red (NIC, por sus siglas en inglés, Network Interface Card), un control de cursor (por ejemplo, ratón, pantalla táctil, panel táctil, teclado, etc.) y el transceptor o los transceptores inalámbricos opcionales 790 (por ejemplo, Bluetooth, WiFi, infrarrojos, etc.).
La Figura 8 es un diagrama de bloques en el que se ilustra un ejemplo de sistema de procesamiento de datos que puede usarse en algunas realizaciones de la invención. Por ejemplo, el sistema de procesamiento de datos 800 puede ser un ordenador portátil, un asistente digital personal (PDA, por sus siglas en inglés, Personal Digital Assistant), un teléfono móvil, un sistema de juego portátil, un reproductor multimedia portátil, una tableta o un dispositivo informático de mano que puede incluir un teléfono móvil, un reproductor multimedia y/o un sistema de juego. Como otro ejemplo, el sistema de procesamiento de datos 800 puede ser un ordenador en red o un dispositivo de procesamiento integrado dentro de otro dispositivo.
Según una realización de la invención, puede usarse el ejemplo de arquitectura del sistema de procesamiento de datos 800 para los dispositivos móviles descritos anteriormente. El sistema de procesamiento de datos 800 incluye el sistema de procesamiento 820, que puede incluir uno o más microprocesadores y/o un sistema en un circuito integrado. El sistema de procesamiento 820 está acoplado con una memoria 810, una fuente de alimentación 825 (que incluye una o más baterías) una entrada/salida de audio 840, un controlador de pantalla y un dispositivo de pantalla 860, una entrada/salida opcional 850, un dispositivo o dispositivos de entrada 870 y un transceptor o transceptores inalámbricos 830. Se apreciará que otros componentes adicionales, no mostrados en la Figura 8, también pueden formar parte del sistema de procesamiento de datos 800 en determinadas realizaciones de la invención, y en determinadas realizaciones de la invención se pueden utilizar menos componentes que los mostrados en la Figura 8. Además, se apreciará que pueden usarse uno o más buses, no mostrados en la Figura 8, para interconectar los diversos componentes, como es bien conocido en la técnica.
La memoria 810 puede almacenar datos y/o programas para su ejecución por el sistema de procesamiento de datos 800. La entrada/salida de audio 840 puede incluir un micrófono y/o un altavoz para, por ejemplo, reproducir música y/o proporcionar una funcionalidad de telefonía a través del altavoz y el micrófono. El controlador de pantalla y el dispositivo de pantalla 860 pueden incluir una interfaz gráfica de usuario (GUI). Pueden utilizarse transceptores (por ejemplo, un transceptor WiFi, un transceptor de infrarrojos, un transceptor Bluetooth, un transceptor de telefonía celular inalámbrico, etc.) inalámbricos (por ejemplo, de radiofrecuencia) 830 para comunicarse con otros sistemas de procesamiento de datos. El dispositivo o los dispositivos de entrada 870 permiten a un usuario proporcionar entradas al sistema. Estos dispositivos de entrada pueden ser un teclado numérico, un teclado, un panel táctil, un panel multitáctil, etc. La otra entrada/salida opcional 850 puede ser un conector para una base de acoplamiento.
Las realizaciones de la invención pueden incluir varios pasos como los indicados anteriormente. Los pasos pueden materializarse en instrucciones ejecutables por máquina que hacen que un procesador de uso general o de uso especial lleve a cabo determinados pasos. Alternativamente, estos pasos pueden ser realizados por componentes de hardware específicos que contienen lógica cableada para realizar los pasos, o por cualquier combinación de componentes informáticos programados y componentes de hardware personalizados.
También pueden proporcionarse elementos de la presente invención como un medio legible por máquina para almacenar el código de programa ejecutable por máquina. El medio legible por máquina puede incluir, entre otros, disquetes, discos ópticos, CD-ROM y discos magneto-ópticos, ROM, RAM, EPROM, EEPROM, tarjetas magnéticas u ópticas u otro tipo de medios/soportes legibles por máquina adecuados para almacenar código de programa electrónico.
A lo largo de la descripción anterior se han expuesto, con fines explicativos, numerosos detalles específicos con el fin de proporcionar una comprensión exhaustiva de la invención. Sin embargo, resultará evidente para un experto en la técnica que es posible poner en práctica la invención sin algunos de estos detalles específicos. Por ejemplo, resultará evidente para los expertos en la técnica que los módulos y métodos funcionales descritos en el presente pueden implementarse como software, hardware o cualquier combinación de los mismos. Además, aunque en el presente se describen algunas realizaciones de la invención dentro del contexto de un entorno informático móvil, los principios subyacentes de la invención no se limitan a una implementación informática móvil. En algunas realizaciones se puede utilizar prácticamente cualquier tipo de dispositivos de procesamiento de datos de clientes o del mismo nivel (peer data), entre los que figuran, por ejemplo, los ordenadores de escritorio o estaciones de trabajo.
Las realizaciones de la invención pueden incluir varios pasos como los indicados anteriormente. Los pasos pueden materializarse en instrucciones ejecutables por máquina que hacen que un procesador de uso general o de uso especial lleve a cabo determinados pasos. Alternativamente, estos pasos pueden ser realizados por componentes de hardware específicos que contienen lógica cableada para realizar los pasos, o por cualquier combinación de componentes informáticos programados y componentes de hardware personalizados.

Claims (14)

REIVINDICACIONES
1. Un sistema que comprende:
una o más plataformas de hardware que implementan un servicio de autenticación alojado (450) para proporcionar servicios de autenticación para partes de confianza (202, 430); el servicio de autenticación alojado (450) y las partes de confianza (202, 430) son partes independientes, el servicio de autenticación alojado (450) registra una parte de confianza (202, 430) al compartir una clave (436) con la parte de confianza (202, 430), y el servicio de autenticación alojado (450) comprende un portal de administración (451) a través del cual un administrador de la parte de confianza configura el servicio de autenticación alojado (450) para proporcionar servicios de autenticación en nombre de la parte de confianza (202, 430); la inserción de un primer componente de código de programa proporcionado por el servicio de autenticación alojado (450) en una aplicación alojada por la parte de confianza (202, 430), y el primer componente de código de programa hace que un dispositivo cliente (460) que accede a la aplicación sea redirigido al servicio de autenticación alojado (450) para una autenticación de usuario y otras funciones relacionadas con la autenticación que incluyen el registro de uno o más autenticadores nuevos (465) y la eliminación del registro de uno o más autenticadores (465) del dispositivo cliente de usuario; y la transmisión por parte del servicio de autenticación alojado (450), basándose en una pluralidad de diferentes eventos relacionados con la autenticación que ocurren entre el dispositivo cliente (460) y el servicio de autenticación alojado (450), de una pluralidad de aserciones directamente a la parte de confianza (202, 430), omitiendo de esta forma el dispositivo cliente (460), y cada aserción de la pluralidad de aserciones especifica un evento diferente relacionado con la autenticación que ocurre entre el dispositivo cliente (460) y el servicio de autenticación alojado (450), y cada aserción de la pluralidad de aserciones incluye al menos una indicación, en donde una primera aserción indica que el usuario ha registrado un nuevo autenticador (465) con una robustez/nivel de seguridad asociado, una segunda aserción indica que el usuario ha eliminado el registro de un autenticador (465) y una tercera aserción indica que el usuario se ha autenticado con el servicio de autenticación usando un autenticador (465), en donde la parte de confianza valida cada aserción de la pluralidad de aserciones por medio de la clave (436).
2. El sistema descrito en la reivindicación 1, en donde la clave (436) comprende una clave de aserción simétrica.
3. El sistema descrito en la reivindicación 2, en donde el servicio de autenticación alojado (450) genera una primera firma sobre datos en una aserción de la pluralidad de aserciones usando la clave de aserción simétrica, y la parte de confianza (202, 430) usa su copia de la clave de aserción simétrica para generar una segunda firma sobre los datos en una aserción de la pluralidad de aserciones y compara la primera firma con la segunda firma para validar la pluralidad de aserciones.
4. El sistema descrito en la reivindicación 1, en donde el primer componente de código de programa comprende código de lenguaje de marcado de hipertexto (HTML) y en donde la aplicación comprende una aplicación web.
5. El sistema descrito en la reivindicación 1, que además comprende:
un segundo componente de código de programa insertado en un componente back-end de la aplicación alojada por la parte de confianza (202, 430), y el segundo componente de código de programa almacena de forma segura la clave (436).
6. El sistema descrito en la reivindicación 5, en donde la aplicación comprende una aplicación web que incluye el back-end y un front-end que comprende código de lenguaje de marcado de hipertexto (HTML).
7. El sistema descrito en la reivindicación 1, en donde el portal de administración genera código de front-end para aplicarlo a un front-end de la aplicación y código de back-end para aplicarlo a un back-end de la aplicación, el código de front-end puede utilizarse para redirigir los dispositivos cliente (460) al servicio de autenticación alojado (450) y el código de back-end puede utilizarse para almacenar y acceder de forma segura a la clave (436).
8. El sistema descrito en la reivindicación 1, en donde una o más aserciones incluyen además una indicación de un tipo, modelo y/o robustez del autenticador.
9. Un método que comprende:
el registro de una parte de confianza en un servicio de autenticación alojado (450) mediante el uso compartido de una clave con la parte de confianza (202, 430); el servicio de autenticación alojado (450) y la parte de confianza (202, 430) son partes independientes, y el servicio de autenticación alojado (450) comprende un portal de administración a través del cual un administrador de la parte de confianza configura el servicio de autenticación alojado (450) para proporcionar servicios de autenticación (450) en nombre de la parte de confianza (202, 430);
la inserción de un primer componente de código de programa proporcionado por el servicio de autenticación alojado en una aplicación alojada por la parte de confianza (202, 430), y el primer componente de código de programa hace que un dispositivo cliente que accede a la aplicación sea redirigido al servicio de autenticación alojado (450) para una autenticación de usuario y otras funciones relacionadas con la autenticación que incluyen el registro de uno o más autenticadores nuevos (465) y la eliminación del registro de uno o más autenticadores (465) del dispositivo cliente de un usuario (460); y la transmisión, basándose en una pluralidad de diferentes eventos relacionados con la autenticación que ocurren entre el dispositivo cliente (460) y el servicio de autenticación alojado (450), de una pluralidad de aserciones desde el servicio de autenticación alojado (450) directamente a la parte de confianza, omitiendo así el dispositivo cliente (460), y cada aserción de la pluralidad de aserciones especifica un evento diferente relacionado con la autenticación que ocurre entre el dispositivo cliente y el servicio de autenticación alojado, y cada aserción de la pluralidad de aserciones incluye al menos una indicación, en donde una primera aserción indica que el usuario ha registrado un nuevo autenticador (465) con una robustez/nivel de seguridad asociado, una segunda aserción indica que el usuario ha eliminado el registro de un autenticador (465) y una tercera aserción indica que el usuario se ha autenticado con el servicio de autenticación (450) usando un autenticador (465), en donde la parte de confianza valida cada aserción de la pluralidad de aserciones por medio de la clave.
10. El método descrito en la reivindicación 9, en donde la clave (436) comprende una clave de aserción simétrica.
11. El método descrito en la reivindicación 10, en donde el servicio de autenticación alojado (450) genera una primera firma sobre datos en una aserción de la pluralidad de aserciones usando la clave de aserción simétrica, y la parte de confianza (202, 430) usa su copia de la clave de aserción simétrica para generar una segunda firma sobre los datos en una aserción de la pluralidad de aserciones y compara la primera firma con la segunda firma para validar la pluralidad de aserciones.
12. El método descrito en la reivindicación 9, en donde el primer componente de código de programa comprende un código de lenguaje de marcado de hipertexto (HTML) y en el que la aplicación comprende una aplicación web.
13. El método descrito en la reivindicación 10, que además comprende:
un segundo componente de código de programa insertado en un componente back-end de la aplicación alojada por la parte de confianza (202, 430), y el segundo componente de código de programa almacena de forma segura la clave (436).
14. El método descrito en la reivindicación 13, en donde la aplicación comprende una aplicación web que incluye el back-end y un front-end que comprende código de lenguaje de marcado de hipertexto (HTML).
ES15828152T 2014-07-31 2015-07-30 Sistema y método para implementar un servicio de autenticación alojado Active ES2849025T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US14/448,814 US10148630B2 (en) 2014-07-31 2014-07-31 System and method for implementing a hosted authentication service
PCT/US2015/042786 WO2016019089A1 (en) 2014-07-31 2015-07-30 System and method for implementing a hosted authentication service

Publications (1)

Publication Number Publication Date
ES2849025T3 true ES2849025T3 (es) 2021-08-13

Family

ID=55218299

Family Applications (1)

Application Number Title Priority Date Filing Date
ES15828152T Active ES2849025T3 (es) 2014-07-31 2015-07-30 Sistema y método para implementar un servicio de autenticación alojado

Country Status (7)

Country Link
US (1) US10148630B2 (es)
EP (1) EP3175367B1 (es)
JP (1) JP6530049B2 (es)
KR (1) KR102439782B1 (es)
CN (1) CN106575281B (es)
ES (1) ES2849025T3 (es)
WO (1) WO2016019089A1 (es)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11503031B1 (en) 2015-05-29 2022-11-15 Pure Storage, Inc. Storage array access control from cloud-based user authorization and authentication
US9444822B1 (en) * 2015-05-29 2016-09-13 Pure Storage, Inc. Storage array access control from cloud-based user authorization and authentication
CN110166246B (zh) * 2016-03-30 2022-07-08 创新先进技术有限公司 基于生物特征的身份注册、认证的方法和装置
US20180167383A1 (en) * 2016-12-12 2018-06-14 Qualcomm Incorporated Integration of password-less authentication systems with legacy identity federation
JP6759152B2 (ja) * 2017-05-24 2020-09-23 キヤノン株式会社 画像処理装置、方法、プログラム及びシステム
US11496462B2 (en) * 2017-11-29 2022-11-08 Jpmorgan Chase Bank, N.A. Secure multifactor authentication with push authentication
US11368446B2 (en) * 2018-10-02 2022-06-21 International Business Machines Corporation Trusted account revocation in federated identity management
US11188914B2 (en) * 2018-11-20 2021-11-30 Tdk Corporation Method for authenticated biometric transactions
CN109658248B (zh) * 2018-12-20 2023-01-24 姚前 一种托管资产返还后登记信息更新的系统和方法
CN109636392B (zh) * 2018-12-20 2023-01-24 姚前 一种链下资产托管转让的系统和方法
US11570009B1 (en) 2019-11-22 2023-01-31 Amazon Technologies, Inc. Systems and methods for onboarding IoT devices with session certificates
US11271933B1 (en) 2020-01-15 2022-03-08 Worldpay Limited Systems and methods for hosted authentication service
CN111614724A (zh) * 2020-04-23 2020-09-01 上海桂垚信息科技有限公司 一种用于车联网数据加密传输的协议
US11900370B2 (en) * 2021-01-04 2024-02-13 Mastercard International Incorporated Methods and systems of using sub-domains to federate device credentials scoped to a common domain

Family Cites Families (330)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5280527A (en) 1992-04-14 1994-01-18 Kamahira Safe Co., Inc. Biometric token for authorizing access to a host system
US5764789A (en) 1994-11-28 1998-06-09 Smarttouch, Llc Tokenless biometric ATM access system
US6088450A (en) 1996-04-17 2000-07-11 Intel Corporation Authentication system based on periodic challenge/response protocol
US6377691B1 (en) 1996-12-09 2002-04-23 Microsoft Corporation Challenge-response authentication and key exchange for a connectionless security protocol
US7047415B2 (en) * 1997-09-22 2006-05-16 Dfs Linkages, Inc. System and method for widely witnessed proof of time
US6378072B1 (en) 1998-02-03 2002-04-23 Compaq Computer Corporation Cryptographic system
US6618806B1 (en) 1998-04-01 2003-09-09 Saflink Corporation System and method for authenticating users in a computer network
US6178511B1 (en) 1998-04-30 2001-01-23 International Business Machines Corporation Coordinating user target logons in a single sign-on (SSO) environment
JP2000092046A (ja) 1998-09-11 2000-03-31 Mitsubishi Electric Corp 遠隔認証システム
US7047416B2 (en) 1998-11-09 2006-05-16 First Data Corporation Account-based digital signature (ABDS) system
US7505941B2 (en) 1999-08-31 2009-03-17 American Express Travel Related Services Company, Inc. Methods and apparatus for conducting electronic transactions using biometrics
US6842896B1 (en) 1999-09-03 2005-01-11 Rainbow Technologies, Inc. System and method for selecting a server in a multiple server license management system
US7085931B1 (en) 1999-09-03 2006-08-01 Secure Computing Corporation Virtual smart card system and method
US7260724B1 (en) 1999-09-20 2007-08-21 Security First Corporation Context sensitive dynamic authentication in a cryptographic system
US7444368B1 (en) 2000-02-29 2008-10-28 Microsoft Corporation Methods and systems for selecting methodology for authenticating computer systems on a per computer system or per user basis
US7140036B2 (en) 2000-03-06 2006-11-21 Cardinalcommerce Corporation Centralized identity authentication for electronic communication networks
US7698565B1 (en) 2000-03-30 2010-04-13 Digitalpersona, Inc. Crypto-proxy server and method of using the same
US7263506B2 (en) 2000-04-06 2007-08-28 Fair Isaac Corporation Identification and management of fraudulent credit/debit card purchases at merchant ecommerce sites
MY134895A (en) 2000-06-29 2007-12-31 Multimedia Glory Sdn Bhd Biometric verification for electronic transactions over the web
US7487112B2 (en) 2000-06-29 2009-02-03 Barnes Jr Melvin L System, method, and computer program product for providing location based services and mobile e-commerce
EP1316168A4 (en) 2000-08-04 2006-05-10 First Data Corp METHOD AND DEVICE FOR USE OF ELECTRONIC COMMUNICATION IN AN ELECTRONIC CONTRACT
US7689832B2 (en) 2000-09-11 2010-03-30 Sentrycom Ltd. Biometric-based system and method for enabling authentication of electronic messages sent over a network
US20020040344A1 (en) 2000-10-04 2002-04-04 Preiser Randall F. Check guarantee, verification, processing, credit reports and collection system and method awarding purchase points for usage of checks
US7356704B2 (en) 2000-12-07 2008-04-08 International Business Machines Corporation Aggregated authenticated identity apparatus for and method therefor
FI115098B (fi) 2000-12-27 2005-02-28 Nokia Corp Todentaminen dataviestinnässä
US20020112170A1 (en) 2001-01-03 2002-08-15 Foley James M. Method and apparatus for using one financial instrument to authenticate a user for accessing a second financial instrument
US7941669B2 (en) 2001-01-03 2011-05-10 American Express Travel Related Services Company, Inc. Method and apparatus for enabling a user to select an authentication method
AU2002259229A1 (en) 2001-05-18 2002-12-03 Imprivata, Inc. Authentication with variable biometric templates
US6601762B2 (en) 2001-06-15 2003-08-05 Koninklijke Philips Electronics N.V. Point-of-sale (POS) voice authentication transaction system
SG124290A1 (en) 2001-07-23 2006-08-30 Ntt Docomo Inc Electronic payment method, system, and devices
WO2003012670A1 (en) 2001-07-30 2003-02-13 Alcatel Internetworking, Inc. Distributed network management system using policies
KR20040029414A (ko) 2001-08-10 2004-04-06 마쯔시다덴기산교 가부시키가이샤 전자기기
AU2002343424A1 (en) 2001-09-28 2003-04-14 Bluesocket, Inc. Method and system for managing data traffic in wireless networks
JP2003132160A (ja) 2001-10-23 2003-05-09 Nec Corp 個人情報管理システムと個人情報管理装置、及び個人情報管理プログラム
US20030115142A1 (en) 2001-12-12 2003-06-19 Intel Corporation Identity authentication portfolio system
US7155035B2 (en) 2002-02-05 2006-12-26 Matsushita Electric Industrial Co., Ltd. Personal authentication method, personal authentication apparatus and image capturing device
GB0210692D0 (en) 2002-05-10 2002-06-19 Assendon Ltd Smart card token for remote authentication
US20030226036A1 (en) 2002-05-30 2003-12-04 International Business Machines Corporation Method and apparatus for single sign-on authentication
US7322043B2 (en) 2002-06-20 2008-01-22 Hewlett-Packard Development Company, L.P. Allowing an electronic device accessing a service to be authenticated
KR20050083594A (ko) 2002-07-03 2005-08-26 오로라 와이어리스 테크놀로지즈 리미티드 바이오메트릭 개인키 인프라스트럭처
US20160072787A1 (en) 2002-08-19 2016-03-10 Igor V. Balabine Method for creating secure subnetworks on a general purpose network
US8301884B2 (en) 2002-09-16 2012-10-30 Samsung Electronics Co., Ltd. Method of managing metadata
JP2004288156A (ja) 2002-11-20 2004-10-14 Stmicroelectronics Sa 眼の虹彩イメージの定義の評価
US7353533B2 (en) 2002-12-18 2008-04-01 Novell, Inc. Administration of protection of data accessible by a mobile device
US20040128542A1 (en) * 2002-12-31 2004-07-01 International Business Machines Corporation Method and system for native authentication protocols in a heterogeneous federated environment
JP4374904B2 (ja) 2003-05-21 2009-12-02 株式会社日立製作所 本人認証システム
US8555344B1 (en) * 2003-06-05 2013-10-08 Mcafee, Inc. Methods and systems for fallback modes of operation within wireless computer networks
JP2005025337A (ja) 2003-06-30 2005-01-27 Sony Corp 機器登録システム、機器登録サーバ、機器登録方法、機器登録プログラム、記憶媒体、及び端末機器
US7716469B2 (en) 2003-07-25 2010-05-11 Oracle America, Inc. Method and system for providing a circle of trust on a network
CN104200152B (zh) 2003-09-12 2020-02-14 Emc公司 用于基于风险的验证的系统和方法
US20050080716A1 (en) 2003-09-25 2005-04-14 Boris Belyi Data validation systems and methods for use in financial transactions
US9130921B2 (en) 2003-09-30 2015-09-08 Ca, Inc. System and method for bridging identities in a service oriented architectureprofiling
WO2005052765A2 (en) 2003-11-25 2005-06-09 Ultra-Scan Corporation Biometric authorization method and system
US20050125295A1 (en) 2003-12-09 2005-06-09 Tidwell Lisa C. Systems and methods for obtaining payor information at a point of sale
US7263717B1 (en) 2003-12-17 2007-08-28 Sprint Communications Company L.P. Integrated security framework and privacy database scheme
US9191215B2 (en) 2003-12-30 2015-11-17 Entrust, Inc. Method and apparatus for providing authentication using policy-controlled authentication articles and techniques
JP4257250B2 (ja) 2004-03-30 2009-04-22 富士通株式会社 生体情報照合装置並びに生体特徴情報絞込み装置,生体特徴情報絞込みプログラムおよび同プログラムを記録したコンピュータ読取可能な記録媒体
US7607008B2 (en) 2004-04-01 2009-10-20 Microsoft Corporation Authentication broker service
US8762283B2 (en) 2004-05-03 2014-06-24 Visa International Service Association Multiple party benefit from an online authentication service
US20050278253A1 (en) 2004-06-15 2005-12-15 Microsoft Corporation Verifying human interaction to a computer entity by way of a trusted component on a computing device or the like
KR20070037649A (ko) 2004-07-23 2007-04-05 사이트릭스 시스템스, 인크. 게이트웨이에서 종단으로 패킷을 라우팅하기 위한 방법 및시스템
US7194763B2 (en) 2004-08-02 2007-03-20 Cisco Technology, Inc. Method and apparatus for determining authentication capabilities
US7298873B2 (en) 2004-11-16 2007-11-20 Imageware Systems, Inc. Multimodal biometric platform
US20060161672A1 (en) * 2004-11-22 2006-07-20 Bea Systems, Inc. System and method for improved interportlet communications
TW200642408A (en) 2004-12-07 2006-12-01 Farsheed Atef System and method for identity verification and management
WO2006063118A2 (en) 2004-12-07 2006-06-15 Pure Networks, Inc. Network management
EP1825413A2 (en) 2004-12-16 2007-08-29 Mark Dwight Bedworth User validation using images
JP2008524751A (ja) 2004-12-20 2008-07-10 アールエスエイ セキュリティー インク 消費者インターネット認証サービス
US7844816B2 (en) 2005-06-08 2010-11-30 International Business Machines Corporation Relying party trust anchor based public key technology framework
US8079079B2 (en) 2005-06-29 2011-12-13 Microsoft Corporation Multimodal authentication
US20070077915A1 (en) 2005-09-30 2007-04-05 Black Greg R Method and apparatus for module authentication
EP1955251A2 (en) 2005-10-11 2008-08-13 Citrix Systems, Inc. Systems and methods for facilitating distributed authentication
US8407146B2 (en) 2005-10-28 2013-03-26 Microsoft Corporation Secure storage
US7623659B2 (en) 2005-11-04 2009-11-24 Cisco Technology, Inc. Biometric non-repudiation network security systems and methods
US8458465B1 (en) 2005-11-16 2013-06-04 AT&T Intellectual Property II, L. P. Biometric authentication
EP1955221A4 (en) 2005-12-01 2009-03-11 Firestar Software Inc SYSTEM AND METHOD FOR EXCHANGING INFORMATION BETWEEN EXCHANGE APPLICATIONS
US20080005562A1 (en) 2005-12-13 2008-01-03 Microsoft Corporation Public key infrastructure certificate entrustment
US8511547B2 (en) 2005-12-22 2013-08-20 Mastercard International Incorporated Methods and systems for two-factor authentication using contactless chip cards or devices and mobile devices or dedicated personal readers
CN1992596A (zh) 2005-12-27 2007-07-04 国际商业机器公司 用户验证设备和用户验证方法
US7941835B2 (en) 2006-01-13 2011-05-10 Authenticor Identity Protection Services, Inc. Multi-mode credential authorization
JP2007220075A (ja) 2006-01-19 2007-08-30 Toshiba Corp 個人認証装置、位置情報送信装置、個人認証システム、個人認証方法、及び個人認証プログラム
WO2007092715A2 (en) 2006-02-06 2007-08-16 Solidus Networks, Inc. Method and system for providing online authentication utilizing biometric data
JPWO2007094165A1 (ja) 2006-02-15 2009-07-02 日本電気株式会社 本人確認システムおよびプログラム、並びに、本人確認方法
WO2007103818A2 (en) 2006-03-02 2007-09-13 Vxv Solutions, Inc. Methods and apparatus for implementing secure and adaptive proxies
US20080028453A1 (en) 2006-03-30 2008-01-31 Thinh Nguyen Identity and access management framework
US7818264B2 (en) 2006-06-19 2010-10-19 Visa U.S.A. Inc. Track data encryption
JP4929803B2 (ja) 2006-04-10 2012-05-09 富士通株式会社 認証方法、認証装置、および、認証プログラム
JP4616335B2 (ja) 2006-04-21 2011-01-19 三菱電機株式会社 認証サーバ装置及び端末装置及び認証システム及び認証方法
US9002018B2 (en) 2006-05-09 2015-04-07 Sync Up Technologies Corporation Encryption key exchange system and method
US8738921B2 (en) 2006-05-16 2014-05-27 Transactionsecure Llc System and method for authenticating a person's identity using a trusted entity
US8259647B2 (en) 2006-06-12 2012-09-04 Samsung Electronics Co., Ltd. System and method for wireless communication of uncompressed video having a link control and bandwidth reservation scheme for control/management message exchanges and asynchronous traffic
US7512567B2 (en) 2006-06-29 2009-03-31 Yt Acquisition Corporation Method and system for providing biometric authentication at a point-of-sale via a mobile device
CN101106452B (zh) 2006-07-12 2010-12-08 华为技术有限公司 移动ip密钥的产生及分发方法和系统
US20080025234A1 (en) 2006-07-26 2008-01-31 Qi Zhu System and method of managing a computer network using hierarchical layer information
US7966489B2 (en) 2006-08-01 2011-06-21 Cisco Technology, Inc. Method and apparatus for selecting an appropriate authentication method on a client
US8689287B2 (en) 2006-08-17 2014-04-01 Northrop Grumman Systems Corporation Federated credentialing system and method
WO2008022585A1 (fr) 2006-08-18 2008-02-28 Huawei Technologies Co., Ltd. Procédé, système et dispositif de certification
EP2080142B1 (en) 2006-08-31 2014-09-24 International Business Machines Corporation Attestation of computing platforms
US8239677B2 (en) 2006-10-10 2012-08-07 Equifax Inc. Verification and authentication systems and methods
US9135444B2 (en) 2006-10-19 2015-09-15 Novell, Inc. Trusted platform module (TPM) assisted data center management
US7986786B2 (en) 2006-11-30 2011-07-26 Hewlett-Packard Development Company, L.P. Methods and systems for utilizing cryptographic functions of a cryptographic co-processor
US9055107B2 (en) 2006-12-01 2015-06-09 Microsoft Technology Licensing, Llc Authentication delegation based on re-verification of cryptographic evidence
EP1933522B1 (en) 2006-12-11 2013-10-23 Sap Ag Method and system for authentication
JP2008176407A (ja) 2007-01-16 2008-07-31 Toshiba Corp 生体認証システム、装置及びプログラム
JP2008181295A (ja) 2007-01-24 2008-08-07 Sony Corp 認証システム、情報処理装置および方法、プログラム、並びに記録媒体
GB0703759D0 (en) 2007-02-27 2007-04-04 Skype Ltd A Communication system
US8302196B2 (en) 2007-03-20 2012-10-30 Microsoft Corporation Combining assessment models and client targeting to identify network security vulnerabilities
US8413221B2 (en) 2007-03-23 2013-04-02 Emc Corporation Methods and apparatus for delegated authentication
US20080271150A1 (en) 2007-04-30 2008-10-30 Paul Boerger Security based on network environment
US8627409B2 (en) 2007-05-15 2014-01-07 Oracle International Corporation Framework for automated dissemination of security metadata for distributed trust establishment
US20080289020A1 (en) 2007-05-15 2008-11-20 Microsoft Corporation Identity Tokens Using Biometric Representations
US8359045B1 (en) 2007-05-31 2013-01-22 United Services Automobile Association (Usaa) Method and system for wireless device communication
US7627522B2 (en) 2007-06-04 2009-12-01 Visa U.S.A. Inc. System, apparatus and methods for comparing fraud parameters for application during prepaid card enrollment and transactions
US9003488B2 (en) 2007-06-06 2015-04-07 Datavalet Technologies System and method for remote device recognition at public hotspots
US7913086B2 (en) 2007-06-20 2011-03-22 Nokia Corporation Method for remote message attestation in a communication system
US8782801B2 (en) 2007-08-15 2014-07-15 Samsung Electronics Co., Ltd. Securing stored content for trusted hosts and safe computing environments
US20090089870A1 (en) 2007-09-28 2009-04-02 Mark Frederick Wahl System and method for validating interactions in an identity metasystem
US9172686B2 (en) 2007-09-28 2015-10-27 Alcatel Lucent Facilitating heterogeneous authentication for allowing network access
JP4129586B2 (ja) 2007-10-10 2008-08-06 クオリティ株式会社 情報処理システム
FR2922396B1 (fr) 2007-10-12 2009-12-25 Compagnie Ind Et Financiere Dingenierie Ingenico Procede d'authentification biometrique, programme d'ordinateur, serveur d'authentification, terminal et objet portatif correspondants
US20090204964A1 (en) 2007-10-12 2009-08-13 Foley Peter F Distributed trusted virtualization platform
US20090119221A1 (en) 2007-11-05 2009-05-07 Timothy Martin Weston System and Method for Cryptographically Authenticated Display Prompt Control for Multifunctional Payment Terminals
US20090132813A1 (en) 2007-11-08 2009-05-21 Suridx, Inc. Apparatus and Methods for Providing Scalable, Dynamic, Individualized Credential Services Using Mobile Telephones
US8347374B2 (en) 2007-11-15 2013-01-01 Red Hat, Inc. Adding client authentication to networked communications
US8978117B2 (en) 2007-11-19 2015-03-10 Avaya Inc. Authentication frequency and challenge type based on environmental and physiological properties
TWI350486B (en) 2007-11-26 2011-10-11 Ind Tech Res Inst Biometrics method and apparatus and biometric data encryption method thereof
US8312269B2 (en) 2007-11-28 2012-11-13 Hitachi Global Storage Technologies Netherlands, B.V. Challenge and response access control providing data security in data storage devices
US9575558B2 (en) 2007-12-05 2017-02-21 Hewlett-Packard Development Company, L.P. System and method for electronically assisting a customer at a product retail location
US20090157560A1 (en) 2007-12-14 2009-06-18 Bank Of America Corporation Information banking and monetization of personal information
US8650616B2 (en) 2007-12-18 2014-02-11 Oracle International Corporation User definable policy for graduated authentication based on the partial orderings of principals
US8001582B2 (en) 2008-01-18 2011-08-16 Microsoft Corporation Cross-network reputation for online services
US8220032B2 (en) 2008-01-29 2012-07-10 International Business Machines Corporation Methods, devices, and computer program products for discovering authentication servers and establishing trust relationships therewith
US8635662B2 (en) 2008-01-31 2014-01-21 Intuit Inc. Dynamic trust model for authenticating a user
US8175276B2 (en) 2008-02-04 2012-05-08 Freescale Semiconductor, Inc. Encryption apparatus with diverse key retention schemes
US8639630B2 (en) 2008-02-15 2014-01-28 Ddn Ip Holdings Limited Distribution of digital content
US8353016B1 (en) 2008-02-29 2013-01-08 Adobe Systems Incorporated Secure portable store for security skins and authentication information
US8555078B2 (en) 2008-02-29 2013-10-08 Adobe Systems Incorporated Relying party specifiable format for assertion provider token
US8302167B2 (en) 2008-03-11 2012-10-30 Vasco Data Security, Inc. Strong authentication token generating one-time passwords and signatures upon server credential verification
JP2009223452A (ja) * 2008-03-14 2009-10-01 Hitachi Ltd 認証システム並びに認証サーバ装置および利用者装置,アプリケーションサーバ装置
US20090327131A1 (en) 2008-04-29 2009-12-31 American Express Travel Related Services Company, Inc. Dynamic account authentication using a mobile device
US8799984B2 (en) 2008-05-27 2014-08-05 Open Invention Network, Llc User agent to exercise privacy control management in a user-centric identity management system
US8359632B2 (en) 2008-05-30 2013-01-22 Microsoft Corporation Centralized account reputation
US8630192B2 (en) 2009-01-28 2014-01-14 Headwater Partners I Llc Verifiable and accurate service usage monitoring for intermediate networking devices
US20090307140A1 (en) 2008-06-06 2009-12-10 Upendra Mardikar Mobile device over-the-air (ota) registration and point-of-sale (pos) payment
JP5514200B2 (ja) 2008-06-20 2014-06-04 コーニンクレッカ フィリップス エヌ ヴェ 改良された生体認証及び識別
US8307093B2 (en) 2008-06-25 2012-11-06 Microsoft Corporation Remote access between UPnP devices
US20100010932A1 (en) 2008-07-09 2010-01-14 Simon Law Secure wireless deposit system and method
US8250627B2 (en) 2008-07-28 2012-08-21 International Business Machines Corporation Transaction authorization
US20100029300A1 (en) 2008-07-30 2010-02-04 Arima Communications Corp. Method for inquiring real-time travel-related information using a mobile communication device
US20100042848A1 (en) 2008-08-13 2010-02-18 Plantronics, Inc. Personalized I/O Device as Trusted Data Source
US20130125222A1 (en) 2008-08-19 2013-05-16 James D. Pravetz System and Method for Vetting Service Providers Within a Secure User Interface
US8666904B2 (en) * 2008-08-20 2014-03-04 Adobe Systems Incorporated System and method for trusted embedded user interface for secure payments
US8880036B2 (en) 2008-09-08 2014-11-04 Qualcomm Incorporated Retrieving data wirelessly from a mobile device
US20100083000A1 (en) 2008-09-16 2010-04-01 Validity Sensors, Inc. Fingerprint Sensor Device and System with Verification Token and Methods of Using
US7933836B2 (en) 2008-09-30 2011-04-26 Avaya Inc. Proxy-based, transaction authorization system
US8307412B2 (en) * 2008-10-20 2012-11-06 Microsoft Corporation User authentication management
US8494482B2 (en) 2008-10-24 2013-07-23 Centurylink Intellectual Property Llc Telecommunications system and method for monitoring the body temperature of a user
EP2359526B1 (en) 2008-11-04 2017-08-02 SecureKey Technologies Inc. System and methods for online authentication
CN100581107C (zh) 2008-11-04 2010-01-13 西安西电捷通无线网络通信有限公司 一种基于三元对等鉴别(TePA)的可信平台验证方法
AU2009311303B2 (en) 2008-11-06 2015-09-10 Visa International Service Association Online challenge-response
WO2010067433A1 (ja) 2008-12-11 2010-06-17 三菱電機株式会社 自己認証通信機器、自己認証検証通信機器、機器認証システム、機器認証システムの機器認証方法、自己認証通信プログラムおよび自己認証検証通信プログラム
US8245030B2 (en) 2008-12-19 2012-08-14 Nai-Yu Pai Method for authenticating online transactions using a browser
US20100169650A1 (en) 2008-12-31 2010-07-01 Brickell Ernest F Storage minimization technique for direct anonymous attestation keys
US8961619B2 (en) 2009-01-06 2015-02-24 Qualcomm Incorporated Location-based system permissions and adjustments at an electronic device
US20100186072A1 (en) 2009-01-21 2010-07-22 Akshay Kumar Distributed secure telework
US8284043B2 (en) 2009-01-23 2012-10-09 Honeywell International Inc. Method of formulating response to expired timer for data link message
US8590021B2 (en) 2009-01-23 2013-11-19 Microsoft Corporation Passive security enforcement
US8359475B2 (en) 2009-02-12 2013-01-22 International Business Machines Corporation System, method and program product for generating a cancelable biometric reference template on demand
US8756674B2 (en) 2009-02-19 2014-06-17 Securekey Technologies Inc. System and methods for online authentication
US9015789B2 (en) 2009-03-17 2015-04-21 Sophos Limited Computer security lock down methods
US8539241B2 (en) 2009-03-25 2013-09-17 Pacid Technologies, Llc Method and system for securing communication
US8291468B1 (en) 2009-03-30 2012-10-16 Juniper Networks, Inc. Translating authorization information within computer networks
JP5519773B2 (ja) 2009-04-15 2014-06-11 インターデイジタル パテント ホールディングス インコーポレイテッド ネットワークとの通信のためのデバイスの正当化および/または認証
CN101540676B (zh) 2009-04-28 2012-05-23 西安西电捷通无线网络通信股份有限公司 一种适合三元对等鉴别可信网络连接架构的平台鉴别方法
US9105027B2 (en) 2009-05-15 2015-08-11 Visa International Service Association Verification of portable consumer device for secure services
US20100299738A1 (en) 2009-05-19 2010-11-25 Microsoft Corporation Claims-based authorization at an identity provider
US20100325684A1 (en) 2009-06-17 2010-12-23 Microsoft Corporation Role-based security for messaging administration and management
US8621203B2 (en) 2009-06-22 2013-12-31 Nokia Corporation Method and apparatus for authenticating a mobile device
US8452960B2 (en) 2009-06-23 2013-05-28 Netauthority, Inc. System and method for content delivery
KR20100137655A (ko) 2009-06-23 2010-12-31 삼성전자주식회사 전자 프로그램 가이드를 표시하는 방법 및 이를 위한 장치
WO2011017099A2 (en) 2009-07-27 2011-02-10 Suridx, Inc. Secure communication using asymmetric cryptography and light-weight certificates
US7865937B1 (en) 2009-08-05 2011-01-04 Daon Holdings Limited Methods and systems for authenticating users
US8756661B2 (en) 2009-08-24 2014-06-17 Ufp Identity, Inc. Dynamic user authentication for access to online services
US8429404B2 (en) 2009-09-30 2013-04-23 Intel Corporation Method and system for secure communications on a managed network
IL201351A0 (en) 2009-10-01 2010-05-31 Michael Feldbau Device and method for electronic signature via proxy
US20110083018A1 (en) 2009-10-06 2011-04-07 Validity Sensors, Inc. Secure User Authentication
US8769784B2 (en) 2009-11-02 2014-07-08 Authentify, Inc. Secure and efficient authentication using plug-in hardware compatible with desktops, laptops and/or smart mobile communication devices such as iPhones
US8713325B2 (en) 2011-04-19 2014-04-29 Authentify Inc. Key management using quasi out of band authentication architecture
US8719905B2 (en) 2010-04-26 2014-05-06 Authentify Inc. Secure and efficient login and transaction authentication using IPhones™ and other smart mobile communication devices
US8621460B2 (en) 2009-11-02 2013-12-31 International Business Machines Corporation Endpoint-hosted hypervisor management
KR20110048974A (ko) 2009-11-04 2011-05-12 삼성전자주식회사 무선통신 시스템에서 마스터 세션 키를 갱신하기 위한 장치 및 방법
WO2011059496A1 (en) 2009-11-11 2011-05-19 Cross Match Technologies, Inc. Apparatus and method for determining sequencing of fingers in images to a two-finger scanner of fingerprint images
US8949978B1 (en) 2010-01-06 2015-02-03 Trend Micro Inc. Efficient web threat protection
CN105072088A (zh) 2010-01-22 2015-11-18 交互数字专利控股公司 一种在具有用户的无线设备处执行的方法
US9070146B2 (en) 2010-02-04 2015-06-30 Playspan Inc. Method and system for authenticating online transactions
US20110197267A1 (en) 2010-02-05 2011-08-11 Vivianne Gravel Secure authentication system and method
US9032473B2 (en) 2010-03-02 2015-05-12 Interdigital Patent Holdings, Inc. Migration of credentials and/or domains between trusted hardware subscription modules
US20110219427A1 (en) 2010-03-04 2011-09-08 RSSBus, Inc. Smart Device User Authentication
US9065823B2 (en) 2010-03-08 2015-06-23 Gemalto Sa System and method for using a portable security device to cryptograhically sign a document in response to signature requests from a relying party to a digital signature service
US8930713B2 (en) 2010-03-10 2015-01-06 Dell Products L.P. System and method for general purpose encryption of data
JP2011199458A (ja) 2010-03-18 2011-10-06 Brother Industries Ltd 無線通信システム
CN102196407B (zh) 2010-03-18 2015-09-16 中兴通讯股份有限公司 锚定鉴权器重定位方法及系统
US8826030B2 (en) 2010-03-22 2014-09-02 Daon Holdings Limited Methods and systems for authenticating users
US9171306B1 (en) 2010-03-29 2015-10-27 Bank Of America Corporation Risk-based transaction authentication
US9443097B2 (en) 2010-03-31 2016-09-13 Security First Corp. Systems and methods for securing data in motion
US9356916B2 (en) 2010-04-30 2016-05-31 T-Central, Inc. System and method to use a cloud-based platform supported by an API to authenticate remote users and to provide PKI- and PMI-based distributed locking of content and distributed unlocking of protected content
US8926335B2 (en) 2010-05-12 2015-01-06 Verificient Technologies, Inc. System and method for remote test administration and monitoring
US8973125B2 (en) 2010-05-28 2015-03-03 Alcatel Lucent Application layer authentication in packet networks
US20110314549A1 (en) 2010-06-16 2011-12-22 Fujitsu Limited Method and apparatus for periodic context-aware authentication
US8832461B2 (en) 2010-06-25 2014-09-09 Microsoft Corporation Trusted sensors
EP2591424A4 (en) 2010-07-08 2014-12-10 Hewlett Packard Development Co SYSTEM AND METHOD FOR IMPLEMENTING DOCUMENTATION POLICIES
US8412158B2 (en) 2010-08-17 2013-04-02 Qualcomm Incorporated Mobile device having increased security that is less obtrusive
EP2424185B1 (en) 2010-08-23 2014-10-22 3M Innovative Properties Co. Method and device for challenge-response authentication
US8590014B1 (en) 2010-09-13 2013-11-19 Zynga Inc. Network application security utilizing network-provided identities
US9183683B2 (en) 2010-09-28 2015-11-10 Sony Computer Entertainment Inc. Method and system for access to secure resources
US20120084562A1 (en) 2010-10-04 2012-04-05 Ralph Rabert Farina Methods and systems for updating a secure boot device using cryptographically secured communications across unsecured networks
US8566915B2 (en) 2010-10-22 2013-10-22 Microsoft Corporation Mixed-mode authentication
US8904472B2 (en) 2010-11-12 2014-12-02 Riaz Ahmed SHAIKH Validation of consistency and completeness of access control policy sets
US10153901B2 (en) 2010-11-23 2018-12-11 Concierge Holdings, Inc. System and method for verifying user identity in a virtual environment
WO2012069263A2 (en) 2010-11-24 2012-05-31 Telefonica, S.A. Method for authorizing access to protected content
US8555355B2 (en) 2010-12-07 2013-10-08 Verizon Patent And Licensing Inc. Mobile pin pad
US8955035B2 (en) 2010-12-16 2015-02-10 Microsoft Corporation Anonymous principals for policy languages
US8549145B2 (en) 2011-02-08 2013-10-01 Aventura Hq, Inc. Pre-access location-based rule initiation in a virtual computing environment
US8595507B2 (en) 2011-02-16 2013-11-26 Novell, Inc. Client-based authentication
US20130144785A1 (en) 2011-03-29 2013-06-06 Igor Karpenko Social network payment authentication apparatuses, methods and systems
US8810368B2 (en) 2011-03-29 2014-08-19 Nokia Corporation Method and apparatus for providing biometric authentication using distributed computations
US9092605B2 (en) 2011-04-11 2015-07-28 NSS Lab Works LLC Ongoing authentication and access control with network access device
US8584224B1 (en) 2011-04-13 2013-11-12 Symantec Corporation Ticket based strong authentication with web service
US9600679B2 (en) 2011-04-29 2017-03-21 Micro Focus Software Inc. Techniques for resource operation based on usage, sharing, and recommendations with modular authentication
US8897500B2 (en) 2011-05-05 2014-11-25 At&T Intellectual Property I, L.P. System and method for dynamic facial features for speaker recognition
US9646261B2 (en) 2011-05-10 2017-05-09 Nymi Inc. Enabling continuous or instantaneous identity recognition of a large group of people based on physiological biometric signals obtained from members of a small group of people
US8839395B2 (en) 2011-05-13 2014-09-16 Cch Incorporated Single sign-on between applications
US8561152B2 (en) 2011-05-17 2013-10-15 Microsoft Corporation Target-based access check independent of access request
WO2012162843A1 (en) 2011-06-03 2012-12-06 Research In Motion Limted System and method for accessing private networks
US8843649B2 (en) 2011-06-07 2014-09-23 Microsoft Corporation Establishment of a pairing relationship between two or more communication devices
US20120313746A1 (en) 2011-06-10 2012-12-13 Aliphcom Device control using sensory input
US9621350B2 (en) 2011-06-30 2017-04-11 Cable Television Laboratories, Inc. Personal authentication
JP2013016070A (ja) 2011-07-05 2013-01-24 Interman Corp ログオン支援システム
US8800056B2 (en) 2011-08-12 2014-08-05 Palo Alto Research Center Incorporated Guided implicit authentication
US8752123B2 (en) 2011-08-15 2014-06-10 Bank Of America Corporation Apparatus and method for performing data tokenization
US8863258B2 (en) 2011-08-24 2014-10-14 International Business Machines Corporation Security for future log-on location
US8713314B2 (en) 2011-08-30 2014-04-29 Comcast Cable Communications, Llc Reoccuring keying system
US8590018B2 (en) 2011-09-08 2013-11-19 International Business Machines Corporation Transaction authentication management system with multiple authentication levels
US8838982B2 (en) * 2011-09-21 2014-09-16 Visa International Service Association Systems and methods to secure user identification
US9621404B2 (en) 2011-09-24 2017-04-11 Elwha Llc Behavioral fingerprinting with social networking
US20130133054A1 (en) 2011-09-24 2013-05-23 Marc E. Davis Relationship Based Trust Verification Schema
US9495533B2 (en) 2011-09-29 2016-11-15 Oracle International Corporation Mobile application, identity relationship management
US20130090939A1 (en) 2011-10-11 2013-04-11 Robert N. Robinson Sytem and method for preventing healthcare fraud
US20140053234A1 (en) 2011-10-11 2014-02-20 Citrix Systems, Inc. Policy-Based Application Management
US9021565B2 (en) 2011-10-13 2015-04-28 At&T Intellectual Property I, L.P. Authentication techniques utilizing a computing device
WO2013058781A1 (en) 2011-10-18 2013-04-25 Intel Corporation Methods, systems and apparatus to facilitate client-based authentication
WO2013059464A1 (en) 2011-10-18 2013-04-25 Google Inc. Context-dependent authentication
EP4333554A3 (en) 2011-10-31 2024-03-13 CosmoKey Solutions GmbH & Co. KG Authentication method
US10013692B2 (en) 2011-11-10 2018-07-03 Cryptocode, Inc. Systems and methods for authorizing transactions via a digital device
ES2633344T3 (es) 2011-11-14 2017-09-20 Vasco Data Security International Gmbh Lector de tarjeta inteligente con una función de registro seguro
US8607319B2 (en) 2011-11-22 2013-12-10 Daon Holdings Limited Methods and systems for determining biometric data for use in authentication transactions
WO2013082190A1 (en) 2011-11-28 2013-06-06 Visa International Service Association Transaction security graduated seasoning and risk shifting apparatuses, methods and systems
US8595808B2 (en) 2011-12-16 2013-11-26 Daon Holdings Limited Methods and systems for increasing the security of network-based transactions
US8863299B2 (en) 2012-01-06 2014-10-14 Mobile Iron, Inc. Secure virtual file management system
US8958599B1 (en) 2012-01-06 2015-02-17 Google Inc. Input method and system based on ambient glints
EP3457723B1 (en) 2012-01-08 2020-04-15 ImagiStar LLC System and method for item self-assessment as being extant or displaced
KR101636028B1 (ko) 2012-01-20 2016-07-04 인터디지탈 패튼 홀딩스, 인크 로컬 기능을 갖는 아이덴티티 관리
KR101618274B1 (ko) 2012-02-14 2016-05-04 애플 인크. 복수의 액세스 제어 클라이언트를 지원하는 모바일 장치, 및 대응 방법들
AU2013200916B2 (en) 2012-02-20 2014-09-11 Kl Data Security Pty Ltd Cryptographic Method and System
US9367678B2 (en) 2012-02-29 2016-06-14 Red Hat, Inc. Password authentication
US20130239173A1 (en) 2012-03-12 2013-09-12 Stephen T. Dispensa Computer program and method for administering secure transactions using secondary authentication
WO2013147757A1 (en) 2012-03-28 2013-10-03 Intel Corporation Conditional limited service grant based on device verification
US20130275282A1 (en) * 2012-04-17 2013-10-17 Microsoft Corporation Anonymous billing
WO2013159110A1 (en) 2012-04-20 2013-10-24 Conductiv Software, Inc. Multi-factor mobile transaction authentication
US8776180B2 (en) 2012-05-01 2014-07-08 Taasera, Inc. Systems and methods for using reputation scores in network services and transactions to calculate security risks to computer systems and platforms
US9521548B2 (en) 2012-05-21 2016-12-13 Nexiden, Inc. Secure registration of a mobile device for use with a session
US9130837B2 (en) 2012-05-22 2015-09-08 Cisco Technology, Inc. System and method for enabling unconfigured devices to join an autonomic network in a secure manner
US9613052B2 (en) 2012-06-05 2017-04-04 International Business Machines Corporation Establishing trust within a cloud computing system
US20140007215A1 (en) 2012-06-15 2014-01-02 Lockheed Martin Corporation Mobile applications platform
US20130346176A1 (en) 2012-06-20 2013-12-26 Zachery Alolabi System and method for payment incentivizing
US9589399B2 (en) 2012-07-02 2017-03-07 Synaptics Incorporated Credential quality assessment engine systems and methods
US20140013422A1 (en) 2012-07-03 2014-01-09 Scott Janus Continuous Multi-factor Authentication
TW201417598A (zh) 2012-07-13 2014-05-01 Interdigital Patent Holdings 安全性關聯特性
US10771448B2 (en) 2012-08-10 2020-09-08 Cryptography Research, Inc. Secure feature and key management in integrated circuits
US9088891B2 (en) 2012-08-13 2015-07-21 Wells Fargo Bank, N.A. Wireless multi-factor authentication with captive portals
WO2014036021A1 (en) 2012-08-28 2014-03-06 Visa International Service Association Secure device service enrollment
US8955067B2 (en) 2012-09-12 2015-02-10 Capital One, Na System and method for providing controlled application programming interface security
US9215249B2 (en) 2012-09-29 2015-12-15 Intel Corporation Systems and methods for distributed trust computing and key management
US9172544B2 (en) 2012-10-05 2015-10-27 General Electric Company Systems and methods for authentication between networked devices
US20140250523A1 (en) 2012-10-11 2014-09-04 Carnegie Mellon University Continuous Authentication, and Methods, Systems, and Software Therefor
US8910239B2 (en) 2012-10-15 2014-12-09 Citrix Systems, Inc. Providing virtualized private network tunnels
US9176838B2 (en) 2012-10-19 2015-11-03 Intel Corporation Encrypted data inspection in a network environment
US8584219B1 (en) 2012-11-07 2013-11-12 Fmr Llc Risk adjusted, multifactor authentication
US9166962B2 (en) 2012-11-14 2015-10-20 Blackberry Limited Mobile communications device providing heuristic security authentication features and related methods
US8935808B2 (en) 2012-12-18 2015-01-13 Bank Of America Corporation Identity attribute exchange and validation broker
US9306754B2 (en) 2012-12-28 2016-04-05 Nok Nok Labs, Inc. System and method for implementing transaction signing within an authentication framework
US20140189835A1 (en) 2012-12-28 2014-07-03 Pitney Bowes Inc. Systems and methods for efficient authentication of users
US9015482B2 (en) 2012-12-28 2015-04-21 Nok Nok Labs, Inc. System and method for efficiently enrolling, registering, and authenticating with multiple authentication devices
US9374369B2 (en) 2012-12-28 2016-06-21 Lookout, Inc. Multi-factor authentication and comprehensive login system for client-server networks
JP6391101B2 (ja) 2012-12-28 2018-09-19 ノック ノック ラブズ, インコーポレイテッドNok Nok Labs, Inc. 認証能力を決定するためのクエリシステム及び方法
US9172687B2 (en) 2012-12-28 2015-10-27 Nok Nok Labs, Inc. Query system and method to determine authentication capabilities
US9083689B2 (en) 2012-12-28 2015-07-14 Nok Nok Labs, Inc. System and method for implementing privacy classes within an authentication framework
US9219732B2 (en) 2012-12-28 2015-12-22 Nok Nok Labs, Inc. System and method for processing random challenges within an authentication framework
US8856541B1 (en) 2013-01-10 2014-10-07 Google Inc. Liveness detection
US9143506B2 (en) 2013-02-13 2015-09-22 Daniel Duncan Systems and methods for identifying biometric information as trusted and authenticating persons using trusted biometric information
JP6069039B2 (ja) 2013-03-11 2017-01-25 日立オートモティブシステムズ株式会社 ゲートウェイ装置及びサービス提供システム
US9218813B2 (en) 2013-03-14 2015-12-22 Intel Corporation Voice and/or facial recognition based service provision
US20140279516A1 (en) 2013-03-14 2014-09-18 Nicholas Rellas Authenticating a physical device
EP2973164B1 (en) 2013-03-15 2019-01-30 Intel Corporation Technologies for secure storage and use of biometric authentication information
US20140282868A1 (en) 2013-03-15 2014-09-18 Micah Sheller Method And Apparatus To Effect Re-Authentication
US9141823B2 (en) 2013-03-15 2015-09-22 Veridicom, Sa De Cv Abstraction layer for default encryption with orthogonal encryption logic session object; and automated authentication, with a method for online litigation
US10270748B2 (en) 2013-03-22 2019-04-23 Nok Nok Labs, Inc. Advanced authentication techniques and applications
US9887983B2 (en) 2013-10-29 2018-02-06 Nok Nok Labs, Inc. Apparatus and method for implementing composite authenticators
US9396320B2 (en) 2013-03-22 2016-07-19 Nok Nok Labs, Inc. System and method for non-intrusive, privacy-preserving authentication
WO2014176539A1 (en) 2013-04-26 2014-10-30 Interdigital Patent Holdings, Inc. Multi-factor authentication to achieve required authentication assurance level
US9084115B2 (en) 2013-05-13 2015-07-14 Dennis Thomas Abraham System and method for data verification using a smart phone
US9294475B2 (en) 2013-05-13 2016-03-22 Hoyos Labs Ip, Ltd. System and method for generating a biometric identifier
US8646060B1 (en) 2013-07-30 2014-02-04 Mourad Ben Ayed Method for adaptive authentication using a mobile device
US10366391B2 (en) 2013-08-06 2019-07-30 Visa International Services Association Variable authentication process and system
US9161209B1 (en) 2013-08-21 2015-10-13 Sprint Communications Company L.P. Multi-step mobile device initiation with intermediate partial reset
EP3860083A1 (en) 2013-08-23 2021-08-04 IDEMIA Identity & Security USA LLC System and method for identity management
US9646150B2 (en) 2013-10-01 2017-05-09 Kalman Csaba Toth Electronic identity and credentialing system
US20150142628A1 (en) 2013-11-20 2015-05-21 Bank Of America Corporation Detecting structured transactions
US20150180869A1 (en) 2013-12-23 2015-06-25 Samsung Electronics Company, Ltd. Cloud-based scalable authentication for electronic devices
WO2015130734A1 (en) 2014-02-25 2015-09-03 Uab Research Foundation Two-factor authentication systems and methods
US9344419B2 (en) 2014-02-27 2016-05-17 K.Y. Trix Ltd. Methods of authenticating users to a site
CN103793632B (zh) * 2014-02-28 2017-04-12 汕头大学 数字内容产品访问权限控制服务转移的方法及装置
US9652354B2 (en) 2014-03-18 2017-05-16 Microsoft Technology Licensing, Llc. Unsupervised anomaly detection for arbitrary time series
US20170109751A1 (en) 2014-05-02 2017-04-20 Nok Nok Labs, Inc. System and method for carrying strong authentication events over different channels
US9654463B2 (en) 2014-05-20 2017-05-16 Airwatch Llc Application specific certificate management
US10212176B2 (en) 2014-06-23 2019-02-19 Hewlett Packard Enterprise Development Lp Entity group behavior profiling
US9992207B2 (en) 2014-09-23 2018-06-05 Qualcomm Incorporated Scalable authentication process selection based upon sensor inputs
US9928603B2 (en) 2014-12-31 2018-03-27 Morphotrust Usa, Llc Detecting facial liveliness
US10387882B2 (en) 2015-07-01 2019-08-20 Klarna Ab Method for using supervised model with physical store
US10129035B2 (en) 2015-08-10 2018-11-13 Data I/O Corporation Device birth certificate

Also Published As

Publication number Publication date
EP3175367B1 (en) 2020-09-09
EP3175367A4 (en) 2018-03-21
EP3175367A1 (en) 2017-06-07
KR102439782B1 (ko) 2022-09-01
CN106575281A (zh) 2017-04-19
WO2016019089A1 (en) 2016-02-04
CN106575281B (zh) 2021-03-26
US10148630B2 (en) 2018-12-04
JP2017529739A (ja) 2017-10-05
US20160248742A1 (en) 2016-08-25
KR20170041741A (ko) 2017-04-17
JP6530049B2 (ja) 2019-06-12

Similar Documents

Publication Publication Date Title
ES2849025T3 (es) Sistema y método para implementar un servicio de autenticación alojado
CN107111478B (zh) 用于在网络架构内集成验证服务的系统和方法
JP6865158B2 (ja) セキュア送信プロトコルを使用して信頼を確立するためのシステム及び方法
US9577999B1 (en) Enhanced security for registration of authentication devices
EP3175380B1 (en) System and method for implementing a one-time-password using asymmetric cryptography
US9450760B2 (en) System and method for authenticating a client to a device
US9787689B2 (en) Network authentication of multiple profile accesses from a single remote device
Kreshan THREE-FACTOR AUTHENTICATION USING SMART PHONE