JP2014225880A - アイフォン(商標)及び他のスマート・モバイル通信装置を用いる安全で効率的なログイン及びトランザクション認証 - Google Patents

アイフォン(商標)及び他のスマート・モバイル通信装置を用いる安全で効率的なログイン及びトランザクション認証 Download PDF

Info

Publication number
JP2014225880A
JP2014225880A JP2014121674A JP2014121674A JP2014225880A JP 2014225880 A JP2014225880 A JP 2014225880A JP 2014121674 A JP2014121674 A JP 2014121674A JP 2014121674 A JP2014121674 A JP 2014121674A JP 2014225880 A JP2014225880 A JP 2014225880A
Authority
JP
Japan
Prior art keywords
user
authentication
pin
mobile communication
security server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2014121674A
Other languages
English (en)
Inventor
ラヴィ ガネサン,
Ganesan Ravi
ラヴィ ガネサン,
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Authentify Inc
Original Assignee
Authentify Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Authentify Inc filed Critical Authentify Inc
Publication of JP2014225880A publication Critical patent/JP2014225880A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/42Confirmation, e.g. check or permission by the legal debtor of payment
    • G06Q20/425Confirmation, e.g. check or permission by the legal debtor of payment using two different networks, one for transaction and one for security confirmation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3215Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a plurality of channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Abstract

【課題】スマート・モバイル通信装置上で容易に実行される、改良されたログイン及びトランザクション認証プロトコルを提供する。【解決手段】モバイル通信装置上の第1のアプリケーションは、セキュリティ・サーバへのユーザの認証を求める要求の伝達を命令する。装置上の第2のアプリケーションは、セキュリティ・サーバから認証を求める要求を受け取り、表示をユーザに対して行うように命令し、要求された認証を進めるべきであることを示すその装置へのユーザ入力を受け取り、セキュリティ・サーバへ指示の伝達を命令するとともに、認証サーバからPINを受け取る。第1のアプリケーションは、ネットワーク・サイトへの第2のアプリケーションによって受け取られたPINの伝達を命令するが、そのネットワーク・サイトは、ユーザ又はトランザクションをネットワーク・サイトに対して認証するために、伝達されたPINを有効化する。【選択図】図7

Description

関連出願
本願は、2010年4月26日に出願された米国の仮出願シリアル番号61/327,723に基づく優先権を主張する。本願は、「プロジェクト・シール」と題され2009年11月2日に出願された米国の仮出願シリアル番号61/257,207に基づく優先権を主張する、「サイト及びユーザ認証を確保するための新規な方法」と題され2010年11月2日に出願された係属中の出願シリアル番号12/938,161に関連する。本願はまた、係属中の出願シリアル番号12/938,161の継続出願である、「サイト及びユーザ認証を確保するための新規な方法」と題され2011年1月14日に出願された、継続中の出願シリアル番号13/006,806にも関連する。本願はまた、「認証−ゲーム・チェンジャー」と題され2010年1月27日に出願された米国の仮出願シリアル番号61/298,551に基づく優先権を主張する、「ユーザ及びトランザクション認証及びリスク・マネジメントを確保するための新規な方法」と題され2011年1月21日に出願された係属中の出願シリアル番号13/011,587にも関連する。本願はまた、係属中の出願シリアル番号13/011,587の一部継続出願である、「ユーザ及びトランザクション認証及びリスク・マネジメントを確保するための新規な方法」と題され2011年1月21日に出願された出願シリアル番号13/011,739にも関連する。
技術分野
本発明は、セキュリティ及びプライバシに関する。特に、アップル社のアイフォン(商標)のようなスマート・モバイル通信装置を用いる、ウェブベースのトランザクション認証に関する。
発明の背景
パスワード、1回限りの(ワン・タイム)パスワード(OTP)、ハードウェア又はソフトウェアのスマートカードなどのような技術を用いるユーザ認証は、すべて、中間者攻撃MITM(man in the middle)又はMITB(man in the browser)に対して、あまりにも弱く、抵抗力がないことが証明されており、或いは、あまりにも扱いにくく、費用がかかることも証明されている。OpenID、FaceBook、Connectなどのようなシングル・サインオン技術の使用は、攻撃者が一旦マスタアカウントを破り情報を漏らせば、その初期ログインに依存する他の全てのアカウントが侵入され得るので、問題をより悪くするだけである。更に、攻撃者の関心は、ログイン・プロセスを打ち破ろうとすることから、ログイン実行後に侵入して、実行されているトランザクションを攻撃するような高度な技術を用いることへと移ってきた。このことは、バックエンド・ウェブサーバで見られるトランザクションがユーザによって意図されたものと同一であるかを確認する行為、トランザクション認証を更により重要なものにしてきた。
トランザクションがユーザに中継される技術、即ち帯域外認証(OOBA(out of band authentication))、及び、例えば、音声通話又は文字メッセージを使用することによる代替のコミュニケーション様式を用いて得られる確認は、有望な代替手段であるが、頻繁に用いるには不便でコストがかかるものでもある。それは、最上位のバリュー・トランザクション(highest value transaction)、又は、パスワード・リセットのような稀な事象に対して有用かもしれないが、大多数のトランザクションに用いるにはコストがかかりすぎるし、扱いにくい。
先行研究(先に特定された関連出願を参照)において、我々は、これらの問題のいくつかに取り組むイノベーションを記述した。具体的には、我々は、ウェブサイトにアクセスするために用いられているユーザのデスクトップ上の独立したポップアップ・ウィンドウと通信するセキュリティ・サーバの確立の概念を導入した。我々は、ユーザがブラウザを介して閲覧しているウェブサイトの正当性に関するポップアップへの通信を介して、このセキュリティ・サーバがどのようにユーザに警告することができるかを記述した。また、我々は、ウェブサイトとセキュリティ・サーバとの間で共有される機密に基づいて、ウェブサイトへのログイン(即ち、ウェブサイトへのユーザの認証)を可能にするために、このポップアップ・ウィンドウが1回限りのパスワードをユーザに如何に提供するかを記述した。本発明において特に有用性があるのは、1回限りのパスワードのセキュリティを提供したが、従来のすべての1回限りのパスワード・システムが必要としていたユーザ単位の共有機密を必要としないということであった。
ユーザがeコマース・ウェブサイトを閲覧するときに、Paypalによって提供されるような支払ボタン(Payment Buttons)を認識することは、共通する。ユーザがその支払機能をクリックするとき、ユーザは典型的に支払プロバイダと直接的に相互作用している。これは、支払プロバイダへの認証のために、ユーザが自分の認証情報をeコマースサイトに開示しないことを意味する。これは、サイトが提供するスマートフォン・アプリを用いて、ユーザがeコマースサイトと相互作用しているときには、もはや利用できないという重要な特徴である。
ここに記述されるイノベーションは、スマート・モバイル通信装置を用いる効率的で安全が確保されたログイン認証及びトランザクション認証を提供するように、我々の先行研究を更に拡張する。
発明の目的
本発明は、アイフォン及びアイパッドのようなスマート・モバイル通信装置上で容易に実行される、改良されたログイン及びトランザクション認証プロトコルを提供することに関する。
本発明の更なる目的、有利なこと、新規な特徴は、本発明の実施によるだけでなく、以下の詳細な記述を含むこの開示から、当業者に明らかとなるであろう。本発明が好適な実施形態に関して以下に記述される一方で、本発明がそれに限定されないことは理解されるべきである。本明細書の教示に接する当業者は、本明細書に開示され特許請求の範囲とされる本発明の範囲内にあり、且つ本発明が注目に値する有用性を持ち得る、さらなる具体例、変形及び実施形態を他の利用分野と同様、認識するだろう。
発明の概要開示
本発明の態様によれば、アイフォンのようなモバイル通信装置のユーザの認証に関する。そうするために、マーチャント又は銀行のeコマースアプリケ−ションなどのモバイル通信装置上で実行する第1のアプリケーションは、(i)マーチャント又は銀行のインターネット・サイトなどのネットワーク・サイトにログインするユーザ、又は、(ii)マーチャント・インターネット・サイトからの製品の購入又は銀行インターネット・サイトからの資金移動などのようなネットワーク・サイトに関するトランザクションに入るユーザ、のいずれかに関連して、ユーザの認証要求の伝送を、モバイル通信装置からセキュリティ・サーバに行うよう命令する。モバイル通信装置上で実行する第2のアプリケーション(一般に、ホーク及びシール・アプリケーション(Hawk and Seal Application)と称されるが、ここにおいてはしばしば認証アプリケーション(AA(Authentify Application))とも称される)は、セキュリティ・サーバから認証要求を受信する。第2のアプリケーションは、受信されたユーザに対する認証要求のモバイル通信装置による(例えばアイフォンタッチスクリーン上の)表示を行うよう命令する。その後、第2のアプリケーションは、要求された認証を進めるべきであることを示すモバイル通信装置へのユーザ入力(例えばアイフォンタッチスクリーンを介した)を受信する。第2のアプリケーションは、受信されたユーザ入力に呼応して、要求された認証を進めるべきであるという表示の伝送を、モバイル通信装置からセキュリティ・サーバに行うよう命令する。これを受けて、第2のアプリケーションは、認証サーバから、個人識別番号(PIN)を受信する。適用できるのであれば、このPINは、ネットワーク・サイト・ログインPIN又はトランザクションPINとして特徴付けられ得る。このPINは、好ましくは、ユーザによって共有されず、セキュリティ・サーバ及びネットワーク・サイトによってのみ、共有される機密に対応する。最も好ましくは、このPINは、また、EDA及び、トランザクション認証の場合には、特定のトランザクションなどに対してユニークであることを含む他の要因に由来する。このPINがどのように由来するかに関係なく、第1のアプリケーションは、第2のアプリケーションによって受信されたPINの伝送を、モバイル通信機器からネットワーク・サイトに行うよう命令し、ネットワーク・サイトに対してユーザ又はトランザクションを認証する。
好ましくは、第2のアプリケーションは、モバイル通信機器内で、受信されたPINをカスタム・ペーストボード(custom pasteboard)などのパブリック・データストアに記憶する。このような場合において、第1のアプリケーションは、記憶されたPINをパブリック・データストアから読み出す。そして、読み出されたPINは、第1のアプリケーションがネットワーク・サイトにその伝送を行う命令したPINである。本発明の特有の1つの利点は、アイフォンのオペレーティングシステム上のパブリック・ペーストボードのようなパブリック共有記憶装置(public shared storage)を用いる能力である。しかしながら、その代わりに、第2のアプリケーションは、単に、受信されたPINを第1のアプリケーションに直接転送することができる。この場合(ある実施において有利かもしれない場合)には、第1のアプリケーションは、PINを読み出す必要はなく、第1のアプリケーションがネットワーク・サイトに伝送を行う命令したPINは、第2のアプリケーションによって直接送信されたPINである。更に別の代替手段は、第2のアプリケーションがユーザに対して携帯電話装置上(例えば、アイフォンのタッチスクリーン上)にPINの表示を行うことである。この後者の場合において、ユーザマニュアルは、例えば、アイフォンのタッチスクリーン上において、第1のアプリケーションにPINを入力する。従って、この後の場合において、第1のアプリケーションはまた、PINを読み出す必要はなく、第1のアプリケーションがネットワーク・サイトに伝送を行うよう命令するPINは、第2のアプリケーションによって入力されたPINである。この最後の場合がある実施において潜在的に有益であり得るところ、ユーザにPINが提示されることなく、又は、ユーザにより第1のアプリケーションに入力されることなく、第1のアプリケーションによるネットワーク・サイトへのPINの伝送が行われるように命令されることが一般に好まれる。
本発明の更に別の好適な態様によれば、パブリック・データストアもまた、他の目的に用いることができる。例えば、第2のアプリケーションは、パブリック・データストアに、アクティブなセッションが第2のアプリケーションとセキュリティ・サーバとの間に存在するのか、それとも存在しないのかのいずれかを示す情報を記憶することができる。そうであれば、第1のアプリケーションが、ネットワーク・サイトにアクセスするか又はネットワーク・サイトとのトランザクションに入るためにユーザの要求を受信した後、第1のアプリケーションは記憶されたアクティブなセッション情報に基づいて、アクティブなセッションが存在するか否かを判定することができる。アクティブなセッションが存在することが判定された場合にのみ、第1のアプリケーションは、ユーザの認証要求の伝送をセキュリティ・サーバに対して行うよう命令するだけであろう。他の場合には、第1のアプリケーションは、トランザクションの認証について更に進める前に、ユーザがセキュリティ・サーバに関しセッションをアクティベートするという要求を行うであろう。
有益的に、アクティブなセッションが存在するか存在しないかのいずれかを示す記憶された情報は、乱数及び有効期限(TTL(time-to-live))を含む。このような場合において、第2のアプリケーションは、要求された認証を進めるべきであるという表示の伝送に呼応して受信するPINと共に、認証サーバから新たな乱数及び新たなTTLを受信する。その後、第2のアプリケーションは、第2のアプリケーションとセキュリティ・サーバとの間にアクティブなセッションが存在するか存在しないかのいずれかを示す最新情報として、新たな乱数及び新たなTTLを、パブリック・データストアに記憶する。
本発明の他の有利な態様によれば、第2のアプリケーションはまた、好ましくは、ユーザがセキュリティ・サーバにログインすることを支援する。そうするために、第2のアプリケーションは、セキュリティ・サーバにログインするためのユーザの要求を受信する。この要求は、例えば、セキュリティ・サーバ・ネットワーク・サイト(例えば、セキュリティ・サーバ・インターネット・ウェブサイト)にアクセスしようと試みることにより、ユーザによって始動することができるかもしれない。第2のアプリケーションは、モバイル通信装置からセキュリティ・サーバに、要求及びユーザ識別名(例えば、アイフォンの携帯電話番号)の伝送を行うよう命令する。文字メッセージング・アプリケーションのような、モバイル通信装置上で実行する第3のアプリケーションは、送信された要求に応じて認証サーバから、セキュリティ・ログインPINと特徴付けられるかもしれないもう1つのPINを含むメッセージを受信する。第3のアプリケーションは、モバイル通信装置による、この他のPINの表示を行うよう命令する。第2のアプリケーションは、表示されたこの別のPINを含む、例えばアイフォンのタッチスクリーン上で入力された、別のユーザ入力を受信する。第2のアプリケーションは、モバイル通信装置からセキュリティ・サーバへと、受信されたこの別のPINの伝送を行うよう命令する。これを受けて、第2のアプリケーションは、認証サーバから、第2のアプリケーションとセキュリティ・サーバとの間のセッションがアクティブなままであろう期間を示すセッションクッキー及びアクティブなセッション情報を受信する。第2のアプリケーションは、(i)第2のアプリケーションにだけアクセス可能なプライベート・データストアにおけるセッションクッキー、及び、(ii)第2のアプリケーションにアクセス可能なパブリック・データストア(例えば、アイフォンのペーストボード)におけるアクティブなセッション情報を記憶する。
本発明の他の実施形態によれば、上述の機能は、いくつかのタイプの記憶媒体に記憶されたプログラムを含む製品の1以上の項目において実現されてよく、それにより、記憶されたプログラムはプロセッサによって読取り可能に構成され、そして、それによりそのプロセッサは実質的に上述されたように機能するようになる。
例えば、第2のアプリケーションは、(i)ネットワーク・サイトにログインするユーザ、又は、(ii)ネットワーク・サイトとトランザクションに入るユーザのいずれかに関するユーザの認証要求を、セキュリティ・サーバから受信する、アイフォン・メモリ上に記憶されたアイフォン・アプリであり得る。そうであれば、そのアプリは、受信された認証要求の表示をモバイル通信装置により行うよう命令する。これを受けて、要求された認証を進めるべきであることを示すモバイル通信装置へのユーザ入力をアプリが受信するならば、アプリは、要求された認証を進めるべきであるという表示の伝送を、モバイル通信装置からセキュリティ・サーバへと行うよう命令する。この伝送に呼応して、アプリは、セキュリティ・サーバからPINを受信し、例えば受信されたPINをモバイル通信装置内のパブリック・データストアに記憶することにより、受信されたPINをモバイル通信装置により実行可能な別のプログラムで利用可能にし、それによって受信されたPINのモバイル通信装置からネットワーク・サイトへの伝送を容易にして、それによってネットワーク・サイトに対するユーザ又はトランザクションを認証する。上述のように、PINは、好ましくは、ユーザによってではなく、セキュリティ・サーバ及びネットワーク・サイトによってのみ共有される機密に対応するであろう。
アプリは、好ましくは、また、プロセッサに、アプリとセキュリティ・サーバとの間にアクティブなセッションが存在するか存在しないかのいずれかを示す情報をパブリック・データストアに記憶させる。その場合に、記憶された情報がアクティブなセッションが存在することを示すならば、認証要求は、セキュリティ・サーバからのみ受信される。記憶されたアクティブなセッション情報が乱数及び有効期限(TTL)を含むならば、アプリは、また、新たな乱数及び新たなTTLをPINとともに認証サーバから受信し、この新たな情報を、アクティブなセッションがアプリとセキュリティ・サーバとの間に存在するか否かを示す最新情報としてパブリック・データストアに記憶するように、プロセッサを動作させる。
アプリはまた、有益的に、プロセッサが、セキュリティ・サーバにログインするためのユーザの要求を受信するように機能させ、モバイル通信装置からセキュリティ・サーバに要求及びユーザ識別名の伝送を行うように命令するであろう。アプリは、別のPINを含む別のユーザ入力もまた受信し、モバイル通信装置からセキュリティ・サーバへの受信されたその別のPINの伝送を行うよう命令するように、プロセッサを機能させる。その後、アプリは、受信されたその別のPINの伝送に呼応して、アプリとセキュリティ・サーバとの間のセッションがアクティブなままであろう期間を示すセッションクッキー及びアクティブなセッション情報を認証サーバから受信し、(i)アプリにだけアクセス可能なプライベート・データストアにセッションクッキーを、及び、(ii)アイフォンによって実行可能な他のプログラムにアクセス可能なパブリック・データストアにおいてアクティブなセッション情報を、記憶するようにプロセッサを機能させる。
本発明の更なる別の実施形態によれば、セキュリティ・サーバは、ネットワーク・サイトとアクティブなセッション状態にあるモバイル通信装置上で実行する第1のアプリケーションから、(i)ネットワーク・サイトにログインするユーザ、又は、(ii)ネットワーク・サイトとトランザクションに入るユーザのいずれかに関するユーザの認証要求を受信することにより、モバイル通信装置のユーザを認証するように機能する。セキュリティ・サーバは、モバイル通信装置上で実行する第2のアプリケーションに受信された認証要求を送信し、それに呼応して、第2のアプリケーションから、要求された認証を進めるべきであるという表示を受信する。これを受けて、セキュリティ・サーバは、その後、ネットワーク・サイトに対してユーザを認証するために、第2のアプリケーションにPIN(好ましくは、ユーザによってではなく、セキュリティ・サーバ及びネットワーク・サイトによってのみ共有される機密に対応する)を送信する。上述のように、このPINを、適用できるならば、ネットワーク・サイト・ログインPIN又はトランザクションPINとして特徴付けられ得る。また、アクティブなセッションが第2のアプリケーションとセキュリティ・サーバとの間に存在する場合にのみ、セキュリティ・サーバは、好ましくは、第1のアプリケーションからユーザの認証要求を受信する。
セキュリティ・サーバの機能の他の好適な態様によれば、セキュリティ・サーバは、第2のアプリケーションから、セキュリティ・サーバにログインするためのユーザの要求を受信する。これを受けて、セキュリティ・サーバは、モバイル通信装置上で実行する第3のアプリケーション(好ましくは、文字メッセージング・アプリケーション)に、別のPINを含むメッセージを送信する。このPINは、上述のように、セキュリティ・ログインPINとして特徴付けられるかもしれない。セキュリティ・サーバは、その後、第2のアプリケーションから送信されたその別のPINを受信し、受信された別のPINに基づいてユーザを認証する。セキュリティ・サーバは、また、ユーザの認証に基づいて、第2のアプリケーションとセキュリティ・サーバとの間のセッションがアクティブなままであろう期間を示すセッションクッキー及びアクティブなセッション情報を、第2のアプリケーションに送信する。
3つのタイプのPINが存在しても良いことを強調することは、価値があるかもしれない。第1のPINは、モバイル通信装置上で実行するセキュリティ・アプリケーション(即ち、セキュリティ・サーバからPINを受信するアプリケーション)の初期アクティベーションに必要とされるPINである。このPINは、時には、上記のセキュリティ・ログインPINとして特徴付けられている。第2は、モバイル通信装置上で実行するネットワーク・サイト・アプリケーションがトランザクションを認証するためにセキュリティ・アプリケーションから得るトランザクション署名PIN(transaction signature PIN)である。このPINは、時には、上記のトランザクションPINとして特徴付けられている。第3のPINは、ネットワーク・サイト・アプリケーションがネットワーク・サイト・サービスそれ自身にログインするためにセキュリティから得るPINである。このPINは、時には、上記のネットワーク・サイト・ログインPINとして特徴付けられている。
図面の簡潔な記述
図1は、我々の最初の先行研究によるシステムの主要構成要素を描く。 図2は、我々の最初の先行研究により帯域外認証を用いて達成された場合に おいて、ユーザ認証に関し強化されたシステムを示す。 図3は、我々の最初の先行研究の初期の拡張による、強化されたリスク情報 解析のために維持され使用され得るネットワーク活動のログを描く。 図4は、我々の最初の先行研究のさらなる初期拡張によるシステムの主要構 成要素を描く。 図5は、我々の最初の先行研究のさらなる初期拡張による、帯域外認証を用 いて達成された場合において、ユーザ認証に関し強化されたシステムを示す。 図6は、本発明によるスマート・モバイル通信装置を描く。 図7は、本発明による簡易化されたネットワーク・アーキテクチャを描く。 図8は、本発明による装置上で実行される認証アプリケーションによってス マート・モバイル通信装置上でユーザに対して提示される初期ログインに関連する表示を描く。 図9は、本発明による装置上で実行される認証アプリケーションによってスマート・モバイル通信装置上でユーザに対して提示される、別のログイン認証又はトランザクション認証に関連する表示を描く。 図10は、本発明による装置上で実行されている認証アプリケーションによってスマート・モバイル通信装置上でユーザに対して提示される他のログイン認証又はトランザクション認証に関連する別の表示を描く。 図11は、本発明による装置上で実行されているマーチャント・アプリケ ーションによってユーザに対してスマート・モバイル通信装置上で提示される、トランザクション認証に関連する表示を描く。 図12は、本発明による装置上で実行されているマーチャント・アプリケーションによってユーザに対してスマート・モバイル通信装置上に提示される、トランザクション認証に関連する別の表示を描く。
発明の好ましい実施例
概要
先行研究において、我々は、ユーザのポップアップに対して独立チャネルを有するネットワークベースのセキュリティ・サーバの導入が、シングルユーザネットワーク装置を介してウェブサイトとユーザ認証との両方を提供するためにユーザが訪れるユーザのブラウザ及びウェブサイトに関連して、どのように用いられることができるかを記述した。
その後、我々は、この概念をトランザクション認証に如何に拡張するかを示した。具体的には、ウェブサイトがユーザのブラウザから確認することを望んでいるトランザクションを受信する場合、セキュリティ・サーバとウェブサーバとの間で共有される機密及びトランザクション情報に基づいて算出される1回限りのトランザクション署名とともにトランザクション情報をユーザのポップアップに転送する、セキュリティ・サーバにトランザクション情報を送信する。ユーザは、この1回限りのトランザクション署名を、ブラウザを介してウェブサーバに転送する。また、ウェブサーバは、1回限りのトランザクション署名を計算し直すことができ、もし一致すれば、ユーザがトランザクションを確認したこ
とを保証することができる。
我々は、また、ブラウザベースのポップアップの概念を如何にして異なるフォームファクタに拡張するかを示した。例えば、ポップアップは、この目的にだけ用いられるスマートフォン・スクリーンの専用部分として、スマートフォン・アプリとして実行されることができるし、又はスマートカードとして実行されることができるかもしれない。
我々は、更に、ポップアップ(又はその代用品)がすべてのユーザ・ログイン及びトランザクションのログを有するという事実を利用する方法を示した。現在、リスク・エンジンは、疑わしい挙動を判定するために所定のウェブサイトでユーザ活動を見る。又は、幾つかの場合において、ウェブサイトのネットワークは、このような情報を共有する。言いかえれば、バックエンド・システムからのデータが解析される。我々のシステムにおいて、ユーザのログイン及びトランザクション履歴のポップアップのログは、この情報を取り込み、かつリスク・エンジンの能力を強化するために、ユーザ中心のフロントエンド手段を提供する。
我々の最初の先行研究
我々は、以下の構成要素から構成されるシステムを示す図1及び図2に関連して、トランザクション認証のための好適な実施形態を以前に記述した。
・セキュリティ・サーバ。
・ユーザのデスクトップ上のポップアップ・ウィンドウ。
・ユーザのデスクトップ上のブラウザ。
・ユーザがトランザクションを実行しているウェブサイト。
以前に記述されたように、ユーザは、まず、1回限りの処理であるセットアップ及びパーソナル化の段階を経て、その後、帯域外認証などの技術を用いて、ポップアップを開始又はアクティベートするであろう。この時点で、セキュリティ・サーバは、例えば、帯域外認証に用いられた電話番号のような、あるユーザ識別名によって、セキュリティ・サーバが識別するユーザに開放されているアクティブな通信チャネルを持つであろう。更に、ユーザがトランザクションを行っているウェブサイトと、セキュリティ・サーバとは、共有機密についてあらかじめ合意していたであろう。
ブラウザを用いるユーザは、トランザクション(例えば、「アリスに100ドルを支払え」)を選択し、そのトランザクションは、ブラウザによってウェブサーバに送信される。ウェブサーバは、このトランザクションをユーザのブラウザを介してセキュリティ・サーバに送信する。セキュリティ・サーバは、(i)トランザクション細目及び(ii)その特定のウェブサイトと共有する機密として機能するものとして1回限りのトランザクション署名を算出する。セキュリティ・サーバは、その後、この1回限りのトランザクション署名をユーザのポップアップ・ウィンドウに送信する。ユーザは、この1回限りのトランザクション署名をウェブブラウザの中にカット&ペーストするか、もしくは別様にコピーする。そして、その署名は、ウェブサイトに返送される。ウェブサイトは、(i)トランザクション細目及び(ii)セキュリティ・サーバと共有する機密を用いて、トランザクション署名を独立に算出し、それをユーザから受信されたものと比較する。2つの署名が一致するならば、ウェブサーバは、セキュリティ・サーバが送信した同一のトランザクション(即ち、セキュリティ・サーバの途中で処理されたものではないトランザクション)を認識したことを保証することができ、セキュリティ・サーバが独立チャネルにおいてユーザにトランザクションを示しているので、トランザクションのユーザ確認が得られる。
我々の最初の先行研究の以前の拡張
先に記述した別の好適な実施形態において、我々は、直上に記述されたことのような、認証に関する初期の研究が、様々な異なるフォームファクタの1つにおいて、ポップアップが実現される場合に、如何に拡張されることができるかを示した。多様性の1つは、モバイル装置上のアプリケーション上にあるポップアップ・ウィンドウを想定する。多様性の別のものは、スマートフォンなどのパーソナル・モバイル・ネットワーク装置の表示エリアの専用部分を用いるウィンドウを想定する。また、多様性の最後のものは、通信能力を有するスマートカードのものと同様の専用ハードウェアにおいて具現化されているポップアップ・ウィンドウを想定する。すべての場合において、認証に用いられた1回限りのパスワードをユーザがもはやカット&ペーストすることができず、異なるネットワーク装置上で機能するウェブブラウザにタイプ入力をその代わりにしなければならないこと以外は、すべての機能はまさに同一の方式で動作するであろう。これらのフォームファクタは、単純にブラウザを実行するユーザのデスクトップ・コンピュータから独立させることにより、セキュリティの付加的な層を提供する。
上記の参照された好適な実施形態のいずれかにおいて、ユーザが複数のログイン及びトランザクションを実行するように、ポップアップ又はその代用品は、これらのイベントの履歴又はログを記憶するための機能を有している。そして、1つ以上のウェブサイトから監視するユーザ活動のパターンにのみ今日アクセスするリスク管理エンジンに、このようなデータは供給され得る。
要約すれば、我々の初期の研究への拡張において、我々は、ユーザと、ウェブサイトでのユーザによる製品の購入などネットワークを通じてなされたトランザクションの場合に接続当事者(Relying Party)であるウェブサイト及び識別プロバイダ(Identity Provider)として行動するセキュリティ・サーバと、の結合を顕著に強化する方法を示した。ここで、我々の初期の研究のように、セキュリティ・サーバ及びウェブサイトが共有機密において演繹的に合意した(システムは公開鍵暗号を用いるように容易に拡張される)と我々は想定した。更に、図2に示されるように、我々は、また、セキュリティ・サーバに対して認証するために、例えば帯域外認証のようなある方法をユーザが用いたと想定した。ウェブサイトで提示された製品の購入又は銀行口座からの資金移動などのような、ウェブサイトでのトランザクションにユーザが入りたいときに、ウェブサイトは、(トランザクションの種類や量などのような)トランザクション細目を伝えたが、トランザクション細目はユーザのブラウザを介してユーザに表示されるウェブページ及びポップアップウィンドウ上に表示された。トランザクションを進める前に、ウェブサイトは、トランザクションの認証及び確認、又は、トランザクション上のユーザの署名として通常称されるものを要求した。従って、ウェブページは、ユーザの署名の入力のための空欄を追加的に表示した。更に、ウェブサイトはまた、特定されたトランザクション上のユーザの署名を求める要求をセキュリティ・サーバに伝えた。セキュリティ・サーバは、(i)ウェブサイトと共有する機密と(ii)ポップアップウィンドウに表示された適用可能なトランザクション細目との機能手段として、1回限りのパスワードを計算し、ポップアップウィンドウにおいてユーザに1回限りのパスワードを表示した。ユーザは、トランザクション上のユーザの署名として作用するウェブページ上のこの1回限りのパスワードを(おそらくカット&ペーストによって)入力した。その後、1回限りのパスワード(即ち署名)は、ウェブサイトに送信された。ウェブサイトは、セキュリティ・サーバと共有する機密及びトランザクション細目から1回限りのパスワードを再計算することにより、署名の認証を確認した。ここで再び、このシステムは、1回限りのパスワードのすべてのセキュリティ特性を有し、更に、各ユーザとの共有機密を必要とせず、そして、トランザクション上で署名として用いられる1回限りのパスワードを生成する目的のために共有される機密を必要とするのはセキュリティ・サーバ及びウェブサイトだけである、という並はずれた利点を備える。実際の1回限りのパスワードはまた、もし望まれるならば、タイムスタンプ又はカウンターに基づくOTPアルゴリズムに基づいて構成され得る(我々がこれらのアルゴリズムを用いる方法において、時間又はカウンター値は、セキュリティ・サーバによってウェブサイトに伝達される必要があり、又は、式において合意したものを確定的に使用して、潜在的に計算される必要がある)。
我々の先行研究の以前の更なる延長
我々は、また、適用可能なウェブサイトにそのブラウザを介してアクセスするために用いられている、ネットワーク装置(例えばデスクトップコンピュータ)上よりもむしろ、ユーザのスマートフォン、スマートカード、又は他の小型のパーソナル・インテリジェント・モバイル・ネットワーク装置上に、ポップアップ・ウィンドウ自身が常駐することを許すアプリケーションを提供するという、さらなる拡張機能を以前に記述した。我々は例えば、電話が既に個別化されており、上述された技術によれば、特別の機密を記憶したり、1回限りのパスワード・ソフトウェアを実行したりする必要がないので、これがスマートフォン上でどのように容易に達成されるのかを示した。むしろ、ウェブサイト及びセキュリティ・サーバのみが必要な機密を共有する必要があり、またセキュリティ・サーバのみが、ユーザ認証及びユーザ署名のために必要とされる1回限りのパスワードを生成する必要がある。
我々は、また、強化されたリスク情報解析を我々が提供することを許す拡張機能を以前に記述した。この点では、従来のリスク解析は、ウェブサイトからのデータに依存する。しかしながら、情報の流れのために、我々は、ポップアップ・ウィンドウがアクティブだった間にユーザの活動を取り込むために、図3に示される種類の1つのようなデータのログが如何に容易に維持され得るかを示した。例えば、セキュリティ・サーバ・ウェブサイトによってログが維持され得るが、ユーザは、このログにアクセスすることができる。もし望まれるならば、ユーザ又はセキュリティ・サーバは、ユーザのリスク・プロファイルを算出することができる。更に、又はその代わりに、リスク・エンジンが強化されたリスク情報解析をユーザに提供することができるように、ユーザによって訪問されたウェブサイトから受信されたデータと、ログされたデータと、を結び付けることができるように、ログされたデータは、第三者のリスク・エンジンに転送され得る。
更に、さらなる拡張機能において、我々は、ウェブサイト及びセキュリティ・サーバの間の認証要求及びトランザクション情報の直接的な通信を可能にする好適な実施形態を記述した。特に、図4及び図5を参照して記述されるように、ユーザは、まず、1回限りの処理であるセットアップ及びパーソナル化の段階を経て、その後、帯域外認証のような技術を用いて、ポップアップを開始又はアクティベートした。この時点で、例えば、帯域外認証に用いられた電話番号のような、あるユーザ識別名によって、セキュリティ・サーバが特定したユーザに開放されているアクティブな通信チャネル又はセッションを、セキュリティ・サーバは備えた。更に、ユーザがトランザクションを行っていたウェブサイト及びセキュリティ・サーバは、以前に合意済みであった共有機密を持っていた。
ユーザは、ブラウザを用いてトランザクション(例えば、「アリスに100ドルを支払え」)を選択し、そのトランザクションは、ユーザのブラウザによってウェブサーバに送信された。ウェブサーバは、(ユーザのブラウザを介したというよりはむしろ)ウェブサイトとセキュリティ・サーバとの間に確立された直接リンクを介して、このトランザクションをセキュリティ・サーバに送信した。セキュリティ・サーバは、(i)トランザクション細目及び(ii)その特定のウェブサイトと共有した機密の機能手段として1回限りのトランザクション署名を算出した。セキュリティ・サーバは、その後、この1回限りのトランザクション署名をユーザのポップアップ・ウィンドウに送信した。ユーザは、この1回限りのトランザクション署名をウェブブラウザの中にカット&ペーストしたか、さもなければ別様にコピーし、署名はウェブサイトに返送された。ウェブサイトは、(i)トランザクション細目及び(ii)セキュリティ・サーバと共有した機密を用いて、トランザクション署名を独立して算出し、それをユーザから受信されたものと比較した。2つの署名が一致すれば、ウェブサーバは、セキュリティ・サーバが送信した同一のトランザクション(即ち、セキュリティ・サーバの途中で処理されたものではないトランザクション)を認識したことを保証することができ、セキュリティ・サーバが独立チャネル又はセッションにおいてユーザにトランザクションを示したので、トランザクションのユーザ確認が得られた。
我々はまた、様々な異なるフォームファクタの1つにおいてどのようにポップアップを実行することができるのかを、以前に記述した。多様性の1つは、モバイル装置上のアプリケーション上にあるポップアップ・ウィンドウを想定した。多様性の別のものは、スマートフォンなどのパーソナル・モバイル・ネットワーク装置の表示エリアの専用部分を用いたウィンドウを想定した。また、多様性の最後のものは、通信能力を有するスマートカードのものと同様の専用ハードウェアで具体化されているポップアップ・ウィンドウを想定した。すべての場合において、認証に用いられた1回限りのパスワードをユーザがもはやカット&ペーストすることができず、異なるネットワーク装置上で機能するウェブブラウザにタイプ入力をその代わりにしなければならないこと以外は、すべての機能はまさに同一の方式で動作するであろう。これらのフォームファクタは、単純にブラウザを実行するユーザのデスクトップ・コンピュータから独立させることにより、セキュリティの付加的な層を提供する。
我々の先行研究の現在の拡張
我々は現在、アイフォン(商標)及び他のより進んだスマート・モバイル通信装置(以下においてスマートフォン(Smart Phones)又はSP(SPs)と称される)へと以前の研究を拡張する。より詳しくは、我々は、我々が以前に記述した疑似帯域外認証(QOOBA(Quasi-Out-Of-Band Authentication))の代わりに、改良型の疑似帯域外認証(MQOOBA(Modified Quasi-Out-Of-Band Authentication))を用いる革新的なプロトコルを記述する。
現在のプロトコルによれば、MQOOBA SP(例えば、アイフォン又はiPad)アプリケーション(一般的に、ホーク及びシール(Hawk and Seal)アプリケーションと称され、以下では「オーセンティファイ(商標)・アプリケーション(Authentify (TM) Application)」又は「AA」と一般に称される)はその必要性を排除し、それ故にQOOBAウィンドウを置換する。AAは、以下のように用いることができる。
1. オンライン銀行業務アプリケーションのような、他のスマートフォン・アプリケーション(SPAs(Smart Phone Applications))と相互作用するように、
2. 認証システムを介したウェブブラウジングのために個人識別番号(PIN)を供給するように、及び/又は
3. 支払システムを介した携帯電話支払のための基礎として、である。
概要記述
我々は、支払システムへのユーザの信用認証情報を学ぶ他のSPAsなしで、及び、他のSPAsと共に確保された支払を提供するために、AAが如何に使用され得るかを記述する。我々はまた、AAがどのように容易にオンライン銀行業務アプリケーションへと統合されるのかを示す。
以下の例において、SPは、AA及びeDuckiesストア(eDuckies store)のためのサンプルアプリケーションを有する。AA及びeDuckiesアプリケーション(EDA(eDuckies Application))は、この例においてマルチタスクするとは想定されない。各々は、他の誰も認識することができないプライベートストレージを有している。AAはまた、他の如何なるSPAも認識できるパブリックストレージを有する。
ユーザは、AAを開き、おそらく1日に一度ログインする。例えば、ユーザは自分の電話番号(例えば、SPのための電話番号)を入力することができ、或いは、AAは、ユーザの好みによって、この情報を自動的に記入することができる。その陰では、AAは、認証サーバ(時には、セキュリティ・サーバとも称される)と通信を行い、その後、認証サーバは、ここで一般に文字メッセージングサービスと称される、ショートメッセージングサービス(SMS(short messaging service))を介してユーザにログインPINを発行する。
ユーザは、ログインPIN(Login PIN)とともに文字メッセージを受信し、受信したログインPINをAAに入力する。いくつかのSPプラットフォームにおいては、AAは、もしそのように望まれるなら、入力されるSMSストリームからPINを読み出し、ログインPINを自動的に記入して、ユーザのために更に容易化するように構成され得る。セッションクッキーの個人用等価物は、AAによって記憶され、利用できるときにトランザクションPINを取得するために、認証サーバへの後続する認証のためにAAによって使用されるであろう。AAはまた、最も適切な方法を用いて、SPAsと通信する。本発明特有の1つの利点は、アイフォンのオペレーティングシステム上のパブリック・ペーストボードのようなパブリック共用ストレージを用いる機能である。
ユーザはここでログインされ、MQOOBAセッションはアクティブである。ユーザは、ここで他のSPAsを用い始めてもよく、必要なときにAAに戻ってもよい。
この例において、ユーザは、ここでeDuckiesアプリケーション又はEDAをブラウズし、最終的に注文を出すことを望む。eDuckiesは、この注文の認証を途切れることなく受け取りたいであろう。しかしながら、ユーザがEDAへ支払信用情報を提供するようにさせることは安全ではないであろう。
従って、EDAは、ここでは支払システムとして機能する認証サーバに対して、トランザクションを通知する。EDAはまた、AAにおいてトランザクションを認証するように、ユーザに依頼する。これは、トランザクションを認証するためのペイパル(PayPal)(商標)のような支払ウェブサイトに再度導かれるユーザと同様である。認証サーバは、ユーザへの表示のために、AAに対してトランザクションを通知する。
AAの後方で、ユーザはトランザクションの順番待ちを認識し、それを得て、それが適法に見えることを認識する。従って、ユーザはトランザクションを認証する。MQOOBAが攻撃者に対して、ユーザの電話上に悪意のあるeDuckiesアプリをどうにかして配置した者にさえも、これを捏造できるようにすることを非常に困難にすることは、理解されるべきである。MQOOBA PINは、認証サーバとeDuckiesのような正当なマーチャント・サイトとの間の共有機密や、もし適用可能であれば、トランザクション情報などに基づいて生成される。
ユーザがAAにてトランザクションを認証した後、EDAの後方で、ユーザは、それらのために自動的に記入されたPINを認識する。その陰では、PINは、(EDAによって提供されるトランザクション情報、及び、認証サーバ及びeDuckiesによって共有される機密を用いて)認証サーバによって生成され、認証サーバからAAに転送された。その後、AAは、共用ストレージを用いてユーザのSP上のEDAへとPINを転送した。もし望まれるならば、PINを自動的に記入させる代わりに、ユーザは、AAからEDAにPINを手動でコピーすることが要求され得ることもまた、理解されるべきである。いずれの場合も、PINがEDA上で記入された後、ユーザが「認証完了」をクリックすると、EDAは、eDuckiesウェブサイトにPINを送信する。eDuckiesウェブサービスは、PINを再算出し、それが有効だったかどうかをAAに知らせる。
詳細な記述
上述のように、AAは、特定のマーチャント・サイト及び特定のトランザクションのために、動的なログイン及びトランザクション認証PINを、ユーザに与える。AAの内部からその中にログインした後、AAは、認証サーバウェブサイトからこれらのPINを得ることができる。
簡潔に言えば、
1. ユーザは、認証サーバのウェブサイトにログオンする。
2. その後、ユーザが参加するマーチャント・サイトにいて、ログイン又はトランザクションを認証する必要があるとき、ユーザは、新たなPINを提供するように依頼される。
3. その後、ユーザはAAに行き、AAは、マーチャントの名前及びトランザクションをユーザに示し、トランザクションのために認証するPINをユーザに提供する。
ここで図6を参照すると、SP600が図示される。SP600は、CPU605と表示スクリーン615とを含む。AA610と、EDA612と、文字メッセージングのためのSMSアプリケーション(SMSA)614とを含み、ロードされた、CPU605によって実行可能な様々なSPAsをもSP600は備える図示されたように、AA610は、パブリックストア610a及びプライベートストア610bの両方を用い、EDA612は、パブリックストア612aを用いる。図7を参照すると、CPU605は、セキュリティ・サーバ625と相互作用するようにAA610を実行することができ、eDuckiesウェブサイト650及びセキュリティ・サーバ625と相互作用するためにEDA612を実行することができる。
初期認証サーバログイン
図8に示されるように、AA610の実行が開始されると、AA610は、表示スクリーン615の領域A1においてロゴの表示を引き起こす。領域A1における表示は、SP600に関連して、電話番号(例えば、携帯電話番号)のようなユーザ識別名を要求する。好ましくは、手動オプション(もし選択されれば、ユーザによって手動で記入される識別名を必要とするであろう)と、自動オプション(もし選択されれば、領域A1内の表示に提供された空間に、適用可能な利用者識別名(例えば、SPの携帯電話番号)を自動入力するように、AA610に対する指令として機能するであろう)との間でユーザは選択が以前に許されてきたであろう。(アイフォンの場合には、http://arstechnica.com/apple/news/2009/01/iphone-dev-user-phone-numbers.arsを参照)。
ユーザが領域A1内の矢印をクリックすると、AAは、認証サーバ625への通知を行なわせる。認証サーバ625は、AA610に確認表示を返し、メッセージが確認されたならば、AA610はまた、図7に描かれた表示スクリーン615の領域A2に示される表示を行うようにさせる。領域A2に示されたように、成功であれば、認証サーバ625のSMS(即ち、文字)は、ユーザのSMSアドレスで、ユーザにPINを送る。CPU605によりSMSA614の実行をアクティベートすることによって、ユーザは、自身のSMSアカウントにアクセスし、認証サーバによって送信されたSMSメッセージからPINを読み出すことができる。その後、ユーザは、例えばSMSメッセージからPINをカット&ペーストすることにより、領域A2に提供される空間にPINを入力する。PINを入力した後に、ユーザは、領域A2内の矢印をクリックし、AA610は、PINを通知するために第2のアプリケーション・プログラミング・インターフェイス(API(application programming interface))メッセージを送信する。
図8に示されたように、成功であれば、セキュリティ・サーバ625からの返送メッセージは、セッションクッキー、我々が「ノンスログイン(nonce-login)」と呼ぶ乱数及び有効期限(TTL)を返し、AA610は、表示スクリーン615の領域A3に示される表示を生じさせる。
なお、単に手動記入と自動記入との間の選択というよりむしろ、領域A1においてユーザ名を入力し領域A2においてパスワードを入力するように、ユーザが付加的又は代替的に選択することを許される又は要求され得ることは、留意されるべきである。上述の手動と自動との間の選択が、ここに記述されるような選択の1つに過ぎないということは、理解されるべきである。従って、手動と自動との間の別の選択は、トランザクション認証の文脈において以下に記述されるであろうし、より特定的には、トランザクション認証に関連付けられる異なるPINであるかに関して、AAによってEDAに自動的に、又はユーザによる手動入力後にのみ伝達される。
図6を再び参照すると、セッションクッキーは、プライベートストア610bに、プライベートに記憶される。ノンスログイン及びTTLは、カスタム・ペーストボードやAAパブリック・ペーストボード(パブリックストア610a内に生成されるもの)上にパブリックに記憶される(アイフォンの場合には、カスタム・ペーストボードを参照:http://developer.apple.com/iphone/library/documentation/iPhone/Conceptual/iPhoneOSProgrammingGuide/EventHandling/EventHandling.html#//apple_ref/doc/uid/TP40007072-CH9
-SW28)。ユーザが、自身の「焦点」をAA610に転じるとき、AA610は、いつでもノンス及びTTLをチェックする。TTLが時間切れであるならば、AAは、再び認証サーバ625に対するログインを開始するために、図8の表示スクリーン615の領域A1に示される表示を生じさせる。
ウェブサイトのログイン及び/又はトランザクション認証
図9に再び転じると、ユーザが、他のあるSPA(例えばEDA)又はウェブサイトにいて、ログイン認証又はトランザクション認証の目的のいずれかのために、PINを入力するように促されているとき、ユーザはAAへとリダイレクトされるが、図11を参照して更に説明されるであろう。以下の記述の目的のために、我々は、ユーザがEDAにいるものと仮定する。このリダイレクトと同時に、EDAは、セキュリティ・サーバ625に情報を通知する。この情報は、ログイン認証又はトランザクション認証が要求されたか否かと、マーチャントの名前(例えば、eDuckies)と、及び、トランザクション認証が要求されたならばトランザクションの文字とを含む。セキュリティ・サーバがAAに対して情報をプッシュ(PUSH)する機能を持つならば、セキュリティ・サーバ625は、AAへこの情報の通知を行うようにさせる。AA610は、図10の領域A4内でセキュリティ・サーバ625によってAAに通知された情報、又は、認証サーバ625に対する再ログインが必要とされるならば、図8の領域A1において示されるもの、のいずれかの表示が行われるようにさせる。この議論の目的のために、我々は、領域A4が表示されるものと仮定する。
交互に、AAがPUSH(プッシュ)する機能を有していないならば、我々はデータをPULL(プル)するユーザに依存する。これは、図に示された流れである。ユーザが図9の領域A3内の矢印をクリックすると、AAは、セキュリティ・サーバ625への通知を行うようにさせる。その通知は、上述されたセッションクッキーを含む。
セキュリティ・サーバ625は、成功メッセージ又は失敗メッセージを返す。返送メッセージは、ログイン認証又はトランザクション認証を示すフラグと、マーチャントの名前(例えばeDuckies)と、新たなノンスログイン、新たなTTL及びPINとを常に返す。それがトランザクション認証であるならば、それはまた、トランザクションの文字を返す。成功であるならば、AAは、その後、図10の表示スクリーンA4上の領域A4に示される表示を生じさせる。
ユーザがストップサインをクリックすれば、ユーザは、図9に示されるスクリーンに再び導かれる。好ましくは、アラームは、セキュリティ・サーバ625に、EDA612に、そして、そこからマーチャント・ウェブサイト650に、及び/又は、他のあるセキュリティ関連ウェブサイトに送信される。
一方、もしユーザが表示スクリーン615の領域A4に示される矢印をクリックすると、ノンスログイン及びTTLが、パブリックストレージ610aにおけるAAパブリック・ペーストボード上に書き込まれる。ログインPIN又はトランザクションPINは、また、マーチャント識別名及びPINの組み合わせを用いて、適用できるならば、ペーストボードに書き込まれる。merchantid.PINは、如何なる以前のmerchantid.PINに上書きされる。ユーザは、ここで、図9に示される表示でもって再び提示される。二者択一的に、手動PIN転送が選択された選択肢であるならば、ユーザは、AAの内部のPINを示され、AAからEDAへとPINをコピーするための責任はユーザ側にある。
より詳しく上述された我々の初期研究によれば、ログインPIN又はトランザクションPINが、ユーザに共有されない又は知られておらず、認証サーバ及びウェブサイトによって共有される機密に基づいて生成されることをここで再度強調することは多分有益である。更に、トランザクション認証が要求されたならば、トランザクションPINは、トランザクション情報をまた用いる認証サーバ625によって生成される。
ユーザのための有効なTTLと共にログイン・ノンスを有するAAパブリック・ペーストボードがあるかどうかをEDAがチェックすることは、留意されるべきである。そうでなければ、それは、ユーザ自身がAAにログインしたように見えないことを、ユーザに通知する。ここで、我々は、ユーザがログインし、AAパブリック・ペーストボードが有効なノンスを有しているとEDAが判定したものと仮定した。
この記述の目的のために、我々は、トランザクション認証が含まれているものと仮定する。ここで図11に転じると、ユーザはEDAにおり、表示スクリーン615の領域M1に示されるトランザクション情報が提示される。ユーザが領域M1に示される矢印をクリックすると、ユーザは、AAにリダイレクトされ、AAは、マーチャント及びトランザクションに関連する情報を認証サーバ625に通知する。その通知は、ログイン・ノンスを含む。セキュリティ・サーバ625は、成功又は失敗を返す。成功であれば、その後、AAは、図12に描かれた表示スクリーン615の領域M2に示される表示をユーザに提示する。ユーザが領域M2に示される矢印をクリックすれば、上述されたトランザクション認証処理が実行され、返送メッセージは文字列を含む。
焦点がEDAに戻ると、EDAは、新たなmerchantid.PINがあるのかどうかを見るためにAAペーストボードをポーリングする。EDAが一旦それを捜し出せば、EDAは、文字列(STRING)及びトランザクション認証PINのeDuckiesウェブサイトに通知をする。PINのそれ自身による検証を行った後、ウェブサイトは、成功メッセージ又は失敗メッセージを返す。手動のPIN転送オプションが選択されると、ユーザがEDAにトランザクション認証PINを入力しなければならないことは、留意されるべきである。

Claims (11)

  1. モバイル通信装置のユーザを認証する方法であって、
    モバイル通信装置上で実行する第1のプログラムによって、(i)ネットワーク・サイトへのユーザ・ログイン、又は、(ii)ネットワーク・サイトに関するトランザクションにユーザが入ることの何れかに関連して、ユーザの認証のための要求を、ネットワークの通信チャネルを介してモバイル通信装置からセキュリティ・サーバへ、伝達するように命令するステップと、
    モバイル通信装置上で実行する第2のプログラムにより、そのネットワークの独立した通信チャネルを介してセキュリティ・サーバから認証のための要求を受け取るステップと、
    第2のプログラムにより、モバイル通信装置によって受け取った認証のための要求をユーザに表示することを命令するステップと、
    第2のプログラムにより、要求された認証を進めるべきであることを示す、モバイル通信装置へのユーザの入力を受け取るステップと、
    受け取ったユーザの入力に応じて第2のプログラムにより、要求された認証を進めるべきとの指示を、モバイル通信装置からセキュリティ・サーバへ、伝達するように命令するステップと、
    要求された認証を進めるべきとの指示の伝達に応じてセキュリティ・サーバから第2のプログラムによって、個人識別番号(PIN)を受け取るステップと、及び
    ネットワーク・サイトに対してユーザ又はトランザクションを認証するために、第2のプログラムによって受け取られたPINの伝達を、モバイル通信装置からネットワーク・サイトへと、第1のプログラムによって命令するステップと、を含む方法。
  2. 更に、モバイル通信装置内のパブリック・データストアにおいて受け取ったPINを、第2のプログラムによって、記憶するステップと、及び、
    パブリック・データストアから記憶されたPINを、第1のプログラムによって読み出すステップと、を更に含み、
    第1のプログラムが読み出されたPINの伝達を命令することを特徴とする請求項1に記載の方法。
  3. モバイル通信装置がスマートフォンであり、
    パブリック・データストアがカスタム・ペーストボードであることを特徴とする請求項
    2に記載の方法。
  4. ユーザにPINが表示されることなく、或いは、ユーザによって第1のプログラムに入力がなく、第1のプログラムがPINの伝達を命令することを特徴とする請求項1に記載の方法。
  5. PINが、ユーザによってではなく、セキュリティ・サーバ及びネットワーク・サイトによってのみ共有される機密に対応することを特徴とする請求項1に記載の方法。
  6. プログラムの記憶されたプロセッサが読み出し可能な記憶媒体であって、前記記憶されたプログラムは、ユーザに使用されるモバイル通信装置に備えられるプロセッサが、
    (i)ネットワーク・サイトにユーザがログインすること、又は、(ii)ネットワーク・サイトに関するトランザクションにユーザが入ること、の何れかに関連して、ユーザの認証を求める要求を、ネットワークの通信チャネルを介してセキュリティ・サーバへ伝達するように命令し、
    (i)ネットワーク・サイトにユーザがログインすること、又は、(ii)ネットワーク・サイトに関するトランザクションにユーザが入ること、の何れかに関連して、ユーザの認証を求める要求を、そのネットワークの独立した通信チャネルを介してセキュリティ・サーバから受け取り、
    受け取られた認証を求める要求の表示を、モバイル通信装置によって行わせるように命令し、
    要求された認証は進めるべきであることを指示するモバイル通信装置へのユーザ入力を受け取り、
    要求された認証は進めるべきであるとの指示の、そのネットワークの独立した通信チャネルを介したモバイル通信装置からセキュリティ・サーバへの伝達を、受け取られたユーザ入力に応じて、命令し、
    要求された認証は進めるべきであるとの指示の伝達に応じて、個人識別番号(PIN)を、そのネットワークの独立した通信チャネルを介してセキュリティ・サーバから受け取り、
    モバイル通信装置によって実行可能な別のプログラムに受け取ったPINを利用できるようにし、それによって、モバイル通信装置からネットワーク・サイトへ受け取ったPINの伝達を容易にし、そして、ネットワーク・サイトに対してユーザ又はトランザクションを認証する、ように機能するように構成されていることを特徴とする記憶媒体。
  7. プロセッサが、
    モバイル通信装置内でパブリック・データストアにおいて受け取ったPINを記憶して
    、別のプログラムに利用可能となるように機能するように、
    記憶されたプログラムは更に構成されていることを特徴とする請求項6に記載の記憶媒
    体。
  8. PINが、ユーザによってではなく、セキュリティ・サーバ及びネットワーク・サイトによってのみ共有される機密に対応することを特徴とする請求項6に記載の記憶媒体。
  9. モバイル通信装置のユーザを認証するセキュリティ・サーバを機能させる方法であって、
    (i)ネットワーク・サイトにユーザがログインすること、又は、(ii)ネットワーク・サイトに関するトランザクションにユーザが入ること、の何れかに関連して、ユーザの認証を求める要求を、ネットワーク・サイトに関するアクティブなセッション状態であるモバイル通信装置上で実行する第1のプログラムから、ネットワークの通信チャネルを介して受け取るステップと、
    受け取られた認証を求める要求を、モバイル通信装置上で実行する第2のプログラムにそのネットワークの独立した通信チャネルを介して送信するステップと、
    要求された認証は進めるべきとの指示を、第2のプログラムから受け取るステップと、及び、
    ネットワーク・サイトに対してユーザを認証するために、要求された認証は進めるべきとする受け取った指示に応じて、個人識別番号(PIN)を、第2のプログラムに送信するステップと、を含むことを特徴とする方法。
  10. 第2のプログラム及びセキュリティ・サーバの間にアクティブなセッションが存在する場合のみ、セキュリティ・サーバが、第1のプログラムからユーザの認証を求める要求を受け取ることを特徴とする請求項9に記載の方法。
  11. PINが、ユーザによってではなく、セキュリティ・サーバ及びネットワーク・サイトによってのみ共有される機密に対応することを特徴とする請求項9に記載の方法。
JP2014121674A 2010-04-26 2014-06-12 アイフォン(商標)及び他のスマート・モバイル通信装置を用いる安全で効率的なログイン及びトランザクション認証 Pending JP2014225880A (ja)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US32772310P 2010-04-26 2010-04-26
US61/327,723 2010-04-26
US13/081,067 US8719905B2 (en) 2010-04-26 2011-04-06 Secure and efficient login and transaction authentication using IPhones™ and other smart mobile communication devices
US13/081,067 2011-04-06

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2013507991A Division JP5595586B2 (ja) 2010-04-26 2011-04-13 アイフォン(商標)及び他のスマート・モバイル通信装置を用いる安全で効率的なログイン及びトランザクション認証

Publications (1)

Publication Number Publication Date
JP2014225880A true JP2014225880A (ja) 2014-12-04

Family

ID=44816912

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2013507991A Expired - Fee Related JP5595586B2 (ja) 2010-04-26 2011-04-13 アイフォン(商標)及び他のスマート・モバイル通信装置を用いる安全で効率的なログイン及びトランザクション認証
JP2014121674A Pending JP2014225880A (ja) 2010-04-26 2014-06-12 アイフォン(商標)及び他のスマート・モバイル通信装置を用いる安全で効率的なログイン及びトランザクション認証

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2013507991A Expired - Fee Related JP5595586B2 (ja) 2010-04-26 2011-04-13 アイフォン(商標)及び他のスマート・モバイル通信装置を用いる安全で効率的なログイン及びトランザクション認証

Country Status (8)

Country Link
US (2) US8719905B2 (ja)
EP (2) EP3840290B1 (ja)
JP (2) JP5595586B2 (ja)
AU (1) AU2011245653B2 (ja)
CA (1) CA2794589C (ja)
ES (1) ES2856195T3 (ja)
SG (1) SG184785A1 (ja)
WO (1) WO2011136928A1 (ja)

Families Citing this family (86)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10581834B2 (en) 2009-11-02 2020-03-03 Early Warning Services, Llc Enhancing transaction authentication with privacy and security enhanced internet geolocation and proximity
US8789153B2 (en) * 2010-01-27 2014-07-22 Authentify, Inc. Method for secure user and transaction authentication and risk management
US8806592B2 (en) 2011-01-21 2014-08-12 Authentify, Inc. Method for secure user and transaction authentication and risk management
US9172693B2 (en) * 2010-11-11 2015-10-27 Paypal, Inc. Quick payment using mobile device binding
FR2968795B1 (fr) * 2010-12-10 2013-01-18 Xiring Dispositif d'appairage dynamique
US8640213B2 (en) * 2011-02-07 2014-01-28 Symantec Corporation Method and system for automatic authentication
US8752208B2 (en) 2011-05-13 2014-06-10 Imperva Inc. Detecting web browser based attacks using browser digest compute tests launched from a remote source
US8346672B1 (en) * 2012-04-10 2013-01-01 Accells Technologies (2009), Ltd. System and method for secure transaction process via mobile device
US9098678B2 (en) * 2011-09-15 2015-08-04 Verizon Patent And Licensing Inc. Streaming video authentication
US8862888B2 (en) * 2012-01-11 2014-10-14 King Saud University Systems and methods for three-factor authentication
US9237215B2 (en) * 2012-02-10 2016-01-12 Time Warner Cable Enterprises Llc Remote activation of mobile applications
US10970688B2 (en) 2012-03-07 2021-04-06 Early Warning Services, Llc System and method for transferring funds
US10395247B2 (en) 2012-03-07 2019-08-27 Early Warning Services, Llc Systems and methods for facilitating a secure transaction at a non-financial institution system
US10078821B2 (en) 2012-03-07 2018-09-18 Early Warning Services, Llc System and method for securely registering a recipient to a computer-implemented funds transfer payment network
US11593800B2 (en) 2012-03-07 2023-02-28 Early Warning Services, Llc System and method for transferring funds
US10395223B2 (en) 2012-03-07 2019-08-27 Early Warning Services, Llc System and method for transferring funds
US10318936B2 (en) 2012-03-07 2019-06-11 Early Warning Services, Llc System and method for transferring funds
US9077714B2 (en) 2012-04-01 2015-07-07 Authentify, Inc. Secure authentication in a multi-party system
CN102710750B (zh) * 2012-05-10 2015-03-04 上海克而瑞信息技术有限公司 一种B/S系统与Ipad实现用户硬件绑定的方法与装置
US10025920B2 (en) * 2012-06-07 2018-07-17 Early Warning Services, Llc Enterprise triggered 2CHK association
FR2993382B1 (fr) * 2012-07-13 2015-07-03 Oberthur Technologies Entite electronique securisee pour l'autorisation d'une transaction
CN103685384A (zh) * 2012-09-12 2014-03-26 中兴通讯股份有限公司 防恶意骚扰的用户身份验证方法及装置
US20140081683A1 (en) * 2012-09-14 2014-03-20 Sap Ag Business process management for mobile portal clients
US9887983B2 (en) 2013-10-29 2018-02-06 Nok Nok Labs, Inc. Apparatus and method for implementing composite authenticators
US10270748B2 (en) 2013-03-22 2019-04-23 Nok Nok Labs, Inc. Advanced authentication techniques and applications
US9305298B2 (en) 2013-03-22 2016-04-05 Nok Nok Labs, Inc. System and method for location-based authentication
US9961077B2 (en) 2013-05-30 2018-05-01 Nok Nok Labs, Inc. System and method for biometric authentication with device attestation
GB2517732A (en) * 2013-08-29 2015-03-04 Sim & Pin Ltd System for accessing data from multiple devices
KR102091606B1 (ko) * 2013-10-30 2020-03-20 엘지전자 주식회사 단말기 및 그 제어 방법
JP6378870B2 (ja) * 2013-11-15 2018-08-22 株式会社野村総合研究所 認証システム、認証方法および認証プログラム
JP5543010B1 (ja) * 2013-12-20 2014-07-09 株式会社 ディー・エヌ・エー 所定のサーバに対してログインを要求するログイン要求装置及び方法、並びにこれらに用いられるプログラム
US9577999B1 (en) * 2014-05-02 2017-02-21 Nok Nok Labs, Inc. Enhanced security for registration of authentication devices
US9654469B1 (en) 2014-05-02 2017-05-16 Nok Nok Labs, Inc. Web-based user authentication techniques and applications
US9455979B2 (en) 2014-07-31 2016-09-27 Nok Nok Labs, Inc. System and method for establishing trust using secure transmission protocols
US9749131B2 (en) 2014-07-31 2017-08-29 Nok Nok Labs, Inc. System and method for implementing a one-time-password using asymmetric cryptography
US10148630B2 (en) 2014-07-31 2018-12-04 Nok Nok Labs, Inc. System and method for implementing a hosted authentication service
US9875347B2 (en) 2014-07-31 2018-01-23 Nok Nok Labs, Inc. System and method for performing authentication using data analytics
KR102206533B1 (ko) 2014-08-05 2021-01-22 삼성전자주식회사 모바일 장치, 모바일 장치의 화면 표시 방법, 웨어러블 장치, 웨어러블 장치의 구동 방법 및 컴퓨터 판독가능 기록매체
US9736154B2 (en) 2014-09-16 2017-08-15 Nok Nok Labs, Inc. System and method for integrating an authentication service within a network architecture
US9202212B1 (en) 2014-09-23 2015-12-01 Sony Corporation Using mobile device to monitor for electronic bank card communication
US9292875B1 (en) 2014-09-23 2016-03-22 Sony Corporation Using CE device record of E-card transactions to reconcile bank record
US9646307B2 (en) 2014-09-23 2017-05-09 Sony Corporation Receiving fingerprints through touch screen of CE device
US9953323B2 (en) 2014-09-23 2018-04-24 Sony Corporation Limiting e-card transactions based on lack of proximity to associated CE device
US9317847B2 (en) 2014-09-23 2016-04-19 Sony Corporation E-card transaction authorization based on geographic location
US9558488B2 (en) 2014-09-23 2017-01-31 Sony Corporation Customer's CE device interrogating customer's e-card for transaction information
US9378502B2 (en) 2014-09-23 2016-06-28 Sony Corporation Using biometrics to recover password in customer mobile device
US9355424B2 (en) 2014-09-23 2016-05-31 Sony Corporation Analyzing hack attempts of E-cards
US10262316B2 (en) 2014-09-23 2019-04-16 Sony Corporation Automatic notification of transaction by bank card to customer device
US9367845B2 (en) 2014-09-23 2016-06-14 Sony Corporation Messaging customer mobile device when electronic bank card used
WO2016051353A1 (en) * 2014-09-30 2016-04-07 Eko India Financial Services Pvt. Ltd. System and ergonomically advantageous method for performing online secure transactions on trusted personal device
EP3013014A1 (en) 2014-10-21 2016-04-27 Gemalto Sa Method for accessing a service, corresponding first device, second device and system
JP2016116088A (ja) * 2014-12-15 2016-06-23 株式会社リコー 情報処理装置、情報処理方法、及びプログラム
DE102015000220A1 (de) * 2015-01-08 2016-07-14 Giesecke & Devrient Gmbh Verfahren zum sicheren Betreiben einer Computereinheit, Softwareapplikation und Computereinheit
US10769606B2 (en) 2015-03-23 2020-09-08 Early Warning Services, Llc Payment real-time funds availability
US10878387B2 (en) 2015-03-23 2020-12-29 Early Warning Services, Llc Real-time determination of funds availability for checks and ACH items
US10748127B2 (en) 2015-03-23 2020-08-18 Early Warning Services, Llc Payment real-time funds availability
US10832246B2 (en) 2015-03-23 2020-11-10 Early Warning Services, Llc Payment real-time funds availability
US10839359B2 (en) 2015-03-23 2020-11-17 Early Warning Services, Llc Payment real-time funds availability
US10956888B2 (en) 2015-07-21 2021-03-23 Early Warning Services, Llc Secure real-time transactions
US11157884B2 (en) 2015-07-21 2021-10-26 Early Warning Services, Llc Secure transactions with offline device
US10970695B2 (en) 2015-07-21 2021-04-06 Early Warning Services, Llc Secure real-time transactions
US11151523B2 (en) 2015-07-21 2021-10-19 Early Warning Services, Llc Secure transactions with offline device
US10438175B2 (en) 2015-07-21 2019-10-08 Early Warning Services, Llc Secure real-time payment transactions
US11386410B2 (en) 2015-07-21 2022-07-12 Early Warning Services, Llc Secure transactions with offline device
US10963856B2 (en) 2015-07-21 2021-03-30 Early Warning Services, Llc Secure real-time transactions
US11037121B2 (en) 2015-07-21 2021-06-15 Early Warning Services, Llc Secure real-time transactions
US11037122B2 (en) 2015-07-21 2021-06-15 Early Warning Services, Llc Secure real-time transactions
US11062290B2 (en) 2015-07-21 2021-07-13 Early Warning Services, Llc Secure real-time transactions
US11151522B2 (en) 2015-07-21 2021-10-19 Early Warning Services, Llc Secure transactions with offline device
WO2017113350A1 (zh) 2015-12-31 2017-07-06 华为技术有限公司 一种验证码获取方法、装置和终端
RU2721991C2 (ru) * 2016-02-09 2020-05-25 Эргомоушн, Инк. Приводная система со сверхкомпактным профилем для регулируемой кровати
US10552823B1 (en) 2016-03-25 2020-02-04 Early Warning Services, Llc System and method for authentication of a mobile device
US10637853B2 (en) 2016-08-05 2020-04-28 Nok Nok Labs, Inc. Authentication techniques including speech and/or lip movement analysis
US10769635B2 (en) 2016-08-05 2020-09-08 Nok Nok Labs, Inc. Authentication techniques including speech and/or lip movement analysis
US11144928B2 (en) 2016-09-19 2021-10-12 Early Warning Services, Llc Authentication and fraud prevention in provisioning a mobile wallet
CN106453352B (zh) * 2016-10-25 2020-04-17 电子科技大学 一种单系统多平台身份验证方法
US10237070B2 (en) 2016-12-31 2019-03-19 Nok Nok Labs, Inc. System and method for sharing keys across authenticators
US10091195B2 (en) 2016-12-31 2018-10-02 Nok Nok Labs, Inc. System and method for bootstrapping a user binding
US10659446B2 (en) 2017-06-13 2020-05-19 Salesforce.Com, Inc. Conversational authentication
US11868995B2 (en) 2017-11-27 2024-01-09 Nok Nok Labs, Inc. Extending a secure key storage for transaction confirmation and cryptocurrency
US10833859B2 (en) 2017-12-07 2020-11-10 International Business Machines Corporation Automating verification using secure encrypted phone verification
US11831409B2 (en) 2018-01-12 2023-11-28 Nok Nok Labs, Inc. System and method for binding verifiable claims
JP6973262B2 (ja) * 2018-04-18 2021-11-24 トヨタ自動車株式会社 車両向けサービス提供システム、車載装置およびコマンド送信方法
US10986079B2 (en) 2018-12-06 2021-04-20 Bank Of America Corporation System and method for hierarchical decisioning within a hybrid blockchain
US10944745B2 (en) 2018-12-06 2021-03-09 Bank Of America Corporation System and method for device and transaction authentication
US11792024B2 (en) 2019-03-29 2023-10-17 Nok Nok Labs, Inc. System and method for efficient challenge-response authentication

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH08235114A (ja) * 1995-02-28 1996-09-13 Hitachi Ltd サーバアクセス方法と課金情報管理方法
JPH11184818A (ja) * 1997-12-25 1999-07-09 Ntt Data Corp 認証システム及び方法、並びに同システムのためのクライアントマシン
JP2009532772A (ja) * 2006-03-31 2009-09-10 アマゾン テクノロジーズ インコーポレイテッド カスタマイズ可能なサインオンサービス

Family Cites Families (70)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11338933A (ja) 1998-05-21 1999-12-10 Micro Cabin:Kk 通信取引における取引申込者の認証システム
IL128720A (en) 1999-02-25 2009-06-15 Cidway Technologies Ltd Method for confirming actions performed over the phone
US6934858B2 (en) * 1999-12-15 2005-08-23 Authentify, Inc. System and method of using the public switched telephone network in providing authentication or authorization for online transactions
IL152937A0 (en) 2000-05-25 2003-06-24 Echarge Corp Secure transaction protocol
JP2002152195A (ja) 2000-11-10 2002-05-24 Ntt Docomo Inc 認証サーバ、認証方法及び記録媒体
US6983381B2 (en) 2001-01-17 2006-01-03 Arcot Systems, Inc. Methods for pre-authentication of users using one-time passwords
JP2002259344A (ja) 2001-02-28 2002-09-13 Mitsubishi Electric Corp ワンタイムパスワード認証システム及び携帯電話及びユーザ認証サーバ
JP2002297939A (ja) 2001-03-30 2002-10-11 Casio Electronics Co Ltd 取引認証方法、取引認証システム及び取引認証プログラム
WO2002082387A1 (en) * 2001-04-04 2002-10-17 Microcell I5 Inc. Method and system for effecting an electronic transaction
WO2003014867A2 (en) 2001-08-03 2003-02-20 John Allen Ananian Personalized interactive digital catalog profiling
US20040030934A1 (en) 2001-10-19 2004-02-12 Fumio Mizoguchi User selectable authentication interface and universal password oracle
US20040093263A1 (en) * 2002-05-29 2004-05-13 Doraisamy Malchiel A. Automated Interview Method
US20040019564A1 (en) * 2002-07-26 2004-01-29 Scott Goldthwaite System and method for payment transaction authentication
US20040210536A1 (en) 2002-12-18 2004-10-21 Tino Gudelj Cross-domain transactions through simulated pop-ups
US8023958B2 (en) * 2003-03-05 2011-09-20 Qualcomm Incorporated User plane-based location services (LCS) system, method and apparatus
US7421732B2 (en) 2003-05-05 2008-09-02 Nokia Corporation System, apparatus, and method for providing generic internet protocol authentication
TW200522598A (en) 2003-12-19 2005-07-01 Iwics Inc Data transport protocol for a multi-station network
JP2005209083A (ja) 2004-01-26 2005-08-04 Japan Telecom Co Ltd サービスシステム、及びそれを用いた通信システム、通信方法
US20050172229A1 (en) 2004-01-29 2005-08-04 Arcot Systems, Inc. Browser user-interface security application
US20050254653A1 (en) 2004-05-14 2005-11-17 Proxim Corporation Pre-authentication of mobile clients by sharing a master key among secured authenticators
US20060002556A1 (en) 2004-06-30 2006-01-05 Microsoft Corporation Secure certificate enrollment of device over a cellular network
US8296562B2 (en) 2004-07-15 2012-10-23 Anakam, Inc. Out of band system and method for authentication
US20060168259A1 (en) 2005-01-27 2006-07-27 Iknowware, Lp System and method for accessing data via Internet, wireless PDA, smartphone, text to voice and voice to text
JP4667908B2 (ja) 2005-02-28 2011-04-13 三菱電機株式会社 クライアント端末及びシングルサインオンシステム
US20060235795A1 (en) 2005-04-19 2006-10-19 Microsoft Corporation Secure network commercial transactions
WO2006130615A2 (en) 2005-05-31 2006-12-07 Tricipher, Inc. Secure login using single factor split key asymmetric cryptography and an augmenting factor
GB0519842D0 (en) * 2005-09-29 2005-11-09 Hewlett Packard Development Co Methods and apparatus for managing and using one-time pads
US7743409B2 (en) * 2005-07-08 2010-06-22 Sandisk Corporation Methods used in a mass storage device with automated credentials loading
EP1922632B1 (en) 2005-08-11 2014-05-07 SanDisk IL Ltd. Extended one-time password method and apparatus
JP2007102778A (ja) 2005-10-04 2007-04-19 Forval Technology Inc ユーザ認証システムおよびその方法
US20070283273A1 (en) 2005-10-24 2007-12-06 Woods Michael E System, Method, and Computer Program Product for Internet Tool
US8838668B2 (en) 2005-12-01 2014-09-16 Firestar Software, Inc. System and method for exchanging information among exchange applications
JP4235676B2 (ja) 2005-12-09 2009-03-11 日立ソフトウエアエンジニアリング株式会社 認証システム及び認証方法
US20070157304A1 (en) * 2006-01-05 2007-07-05 International Business Machines Corporation Method, apparatus and computer program product for automatic cookie synchronization between distinct web browsers
KR20070077569A (ko) 2006-01-24 2007-07-27 삼성전자주식회사 휴대폰을 이용한 일회용 패스워드 서비스 시스템 및 방법
KR101300414B1 (ko) * 2006-02-03 2013-08-26 미드아이 에이비 최종 사용자 인증을 위한 시스템, 장치 및 방법
US9137012B2 (en) 2006-02-03 2015-09-15 Emc Corporation Wireless authentication methods and apparatus
US8234696B2 (en) 2006-02-10 2012-07-31 Emc Corporation Method and system for providing a one time password to work in conjunction with a browser
EP1997293A2 (en) 2006-03-22 2008-12-03 Axalto SA A method of securely login to remote servers
US7552467B2 (en) 2006-04-24 2009-06-23 Jeffrey Dean Lindsay Security systems for protecting an asset
US7562813B2 (en) * 2006-05-10 2009-07-21 First Data Corporation System and method for activating telephone-based payment instrument
US20080034216A1 (en) 2006-08-03 2008-02-07 Eric Chun Wah Law Mutual authentication and secure channel establishment between two parties using consecutive one-time passwords
US7818216B2 (en) 2006-08-28 2010-10-19 Seraphim Lawhorn Transaction system with centralized data storage and authentication
KR100786551B1 (ko) 2006-09-15 2007-12-21 이니텍(주) 복수 개의 방식에 의한 일회용 비밀번호의 사용자 등록,인증 방법 및 그러한 방법을 수행하는 프로그램이 기록된컴퓨터 판독 가능 기록 매체
US7979054B2 (en) 2006-10-19 2011-07-12 Qualcomm Incorporated System and method for authenticating remote server access
US8112817B2 (en) 2006-10-30 2012-02-07 Girish Chiruvolu User-centric authentication system and method
US8060916B2 (en) 2006-11-06 2011-11-15 Symantec Corporation System and method for website authentication using a shared secret
US20080120707A1 (en) 2006-11-22 2008-05-22 Alexander Ramia Systems and methods for authenticating a device by a centralized data server
US8468244B2 (en) 2007-01-05 2013-06-18 Digital Doors, Inc. Digital information infrastructure and method for security designated data and with granular data stores
US8332921B2 (en) 2007-01-12 2012-12-11 Wmware, Inc. Enhanced security for user instructions
IL190839A0 (en) 2007-04-15 2008-12-29 Ari Eliaz Method and system for monetary billing for the use of content services in internet sites, by sending sms messages from cellular phones
US20090031407A1 (en) * 2007-07-24 2009-01-29 Shaobo Kuang Method and system for security check or verification
US20090093300A1 (en) 2007-10-05 2009-04-09 Lutnick Howard W Game of chance processing apparatus
GB0718817D0 (en) 2007-09-26 2007-11-07 British Telecomm Password management
US8032939B2 (en) 2007-11-06 2011-10-04 Airtight Networks, Inc. Method and system for providing wireless vulnerability management for local area computer networks
US20090132813A1 (en) 2007-11-08 2009-05-21 Suridx, Inc. Apparatus and Methods for Providing Scalable, Dynamic, Individualized Credential Services Using Mobile Telephones
US8302167B2 (en) 2008-03-11 2012-10-30 Vasco Data Security, Inc. Strong authentication token generating one-time passwords and signatures upon server credential verification
US8024576B2 (en) 2008-03-31 2011-09-20 International Business Machines Corporation Method and system for authenticating users with a one time password using an image reader
CA2632793A1 (en) 2008-04-01 2009-10-01 Allone Health Group, Inc. Information server and mobile delivery system and method
US8136148B1 (en) 2008-04-09 2012-03-13 Bank Of America Corporation Reusable authentication experience tool
US8272038B2 (en) 2008-05-19 2012-09-18 International Business Machines Corporation Method and apparatus for secure authorization
US8528045B2 (en) 2008-07-22 2013-09-03 Next Access Technologies, Llc Methods and systems for secure key entry via communication networks
US20100041391A1 (en) 2008-08-12 2010-02-18 Anthony Wayne Spivey Embedded mobile analytics in a mobile device
US20120005483A1 (en) 2009-04-09 2012-01-05 Hydrabyte, Inc. Method for Image-Based Authentication
US8230231B2 (en) * 2009-04-14 2012-07-24 Microsoft Corporation One time password key ring for mobile computing device
US20100268831A1 (en) * 2009-04-16 2010-10-21 Microsoft Corporation Thin Client Session Management
US8769784B2 (en) 2009-11-02 2014-07-08 Authentify, Inc. Secure and efficient authentication using plug-in hardware compatible with desktops, laptops and/or smart mobile communication devices such as iPhones
US10049356B2 (en) * 2009-12-18 2018-08-14 First Data Corporation Authentication of card-not-present transactions
US9021507B2 (en) * 2009-12-29 2015-04-28 International Business Machines Corporation Dynamic use of data across multiple programs
US20110208801A1 (en) 2010-02-19 2011-08-25 Nokia Corporation Method and apparatus for suggesting alternate actions to access service content

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH08235114A (ja) * 1995-02-28 1996-09-13 Hitachi Ltd サーバアクセス方法と課金情報管理方法
JPH11184818A (ja) * 1997-12-25 1999-07-09 Ntt Data Corp 認証システム及び方法、並びに同システムのためのクライアントマシン
JP2009532772A (ja) * 2006-03-31 2009-09-10 アマゾン テクノロジーズ インコーポレイテッド カスタマイズ可能なサインオンサービス

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
JPN6016011602; 金子拓郎: '日本でも要注意! RSAが明かす、口座振込を横取りするMITBの恐怖' [online] , 20090930 *
JPN6016011603; 'MITB(マン・イン・ザ・ブラウザー)攻撃とは' [online] , 20091020 *
JPN6016011605; Philipp Guhring: 'Concepts against Man-in-the-Browser Attacks' [online] , 20070124 *

Also Published As

Publication number Publication date
WO2011136928A1 (en) 2011-11-03
SG184785A1 (en) 2012-11-29
US20110265149A1 (en) 2011-10-27
US8719905B2 (en) 2014-05-06
EP2564308A4 (en) 2017-11-15
US8893237B2 (en) 2014-11-18
CA2794589C (en) 2016-01-26
EP2564308A1 (en) 2013-03-06
CA2794589A1 (en) 2011-11-03
EP2564308B1 (en) 2021-01-13
ES2856195T3 (es) 2021-09-27
US20140245401A1 (en) 2014-08-28
AU2011245653B2 (en) 2014-04-17
AU2011245653A1 (en) 2012-08-30
JP2013530440A (ja) 2013-07-25
EP3840290A1 (en) 2021-06-23
JP5595586B2 (ja) 2014-09-24
EP3840290B1 (en) 2023-12-06

Similar Documents

Publication Publication Date Title
JP5595586B2 (ja) アイフォン(商標)及び他のスマート・モバイル通信装置を用いる安全で効率的なログイン及びトランザクション認証
US9832183B2 (en) Key management using quasi out of band authentication architecture
US9444809B2 (en) Secure and efficient authentication using plug-in hardware compatible with desktops, laptops and/or smart mobile communication devices such as iPhones™
EP2859488B1 (en) Enterprise triggered 2chk association
US9716691B2 (en) Enhanced 2CHK authentication security with query transactions
JP5632489B2 (ja) 安全なユーザおよびトランザクション認証並びにリスク管理の新規方法
JP2013527708A (ja) 柔軟な準帯域外認証構造

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150925

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20151219

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20160121

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160219

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20160325