JP2015501996A - リモートサーバーに対するセキュアなユーザ認証および証明 - Google Patents

リモートサーバーに対するセキュアなユーザ認証および証明 Download PDF

Info

Publication number
JP2015501996A
JP2015501996A JP2014547163A JP2014547163A JP2015501996A JP 2015501996 A JP2015501996 A JP 2015501996A JP 2014547163 A JP2014547163 A JP 2014547163A JP 2014547163 A JP2014547163 A JP 2014547163A JP 2015501996 A JP2015501996 A JP 2015501996A
Authority
JP
Japan
Prior art keywords
execution environment
login
remote application
application
remote
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2014547163A
Other languages
English (en)
Other versions
JP5904616B2 (ja
Inventor
エルダー、アヴィグド−ル、ドリ
ベイリー、アブダル
オーウェン、クレイグ
スグマー、スレシュ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intel Corp
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Publication of JP2015501996A publication Critical patent/JP2015501996A/ja
Application granted granted Critical
Publication of JP5904616B2 publication Critical patent/JP5904616B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/74Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

【解決手段】ネットワークを介したリモートサーバー上で動作するリモートアプリケーションへのセキュアな証明は、リモートアプリケーションに関連するログインを検出する段階と、検出されたログインに応答して、ブラウザアプリケーションからログイン要求メッセージを受信するよう構成された分離された実行環境へ、ログインプロセスをオフロードする段階と、セキュア記憶装置に格納され、リモートアプリケーションに関連する秘密情報を識別する段階と、識別された秘密データでログイン要求メッセージをポピュレートする段階と、ポピュレートされたログイン要求メッセージをリモートアプリケーションへ送信する段階と、ログインの成功に応答して、リモートアプリケーションからログイン応答メッセージを受信する段階と、ブラウザアプリケーションへログイン応答メッセージを送信する段階とを含み、分離された実行環境だけが、セキュア記憶装置の読み取りおよび書き込みを行える。【選択図】図1

Description

本開示は、秘密情報を保護するためのシステムおよび方法に関し、より詳細には、セキュアなユーザ認証および証明のためのシステムおよび方法に関する。
ユーザがアプリケーション(例えば、リモートサーバーに関連するウェブアプリケーション、またはその他)へアクセスするための1つの方法にはユーザ名および一意のコード(例えば、パスワード、PIN、またはその他)を用いることが含まれる。セキュリティを高めるため、各ウェブアプリケーションは一意のユーザ名およびコードを有さなければならない。しかし、異なるアプリケーションの数が増加するにつれ、どのユーザ名/コードが各ウェブアプリケーションに属するかを記憶しておくことはユーザにとって困難になり得る。いくつかのクライアントプラットフォーム(例えば、パーソナルコンピュータおよびその他)は各ウェブアプリケーションに関連するユーザ名/コードを格納し得るが、これらのユーザ名/コードは、マルウェアプログラムおよびその他により危険にさらされ得る(例えば、盗まれ得る)。
特許請求される主題の実施形態の特徴および利点は、以下の詳細な説明が進むにつれ、また図面を参照すれば明らかとなり、図面において、同様の数字は同様の部分を指す。
本開示に係る例示的な一実施形態のシステムブロック図を図示する。 本開示に係る例示的な一実施形態のシステムロジックブロック図を図示する。 本開示に係る例示的な一実施形態の動作のフローチャートを図示する。 本開示に係る他の例示的な実施形態の動作のフローチャートを図示する。 以下の詳細な説明は説明のための実施形態を参照して進めるが、それらの多くの代替、修正、および変更が当業者には明らかとなろう。
一般的に、本開示は、セキュアなユーザ認証および証明のためのシステムおよび方法を提供する。例えば、クライアントプラットフォーム(デスクトップ、ラップトップ、および/または、モバイルコンピューティングデバイスなどであるが、これらに限定されない)は、分離された実行環境(例えばマネージメントエンジンであるが、これに限定されない)と、リモートアプリケーションにセキュアにログインするよう構成されたブラウザアプリケーション(例えば、リモートサーバーで動作するウェブアプリケーション)を含む。ログインを要求するウェブサイトを検出すると、ブラウザアプリケーションは、分離された実行環境で実行されているセキュリティエンジンへログインプロセスをオフロードする。セキュリティエンジンは、ユーザ照合を実行し、ログイン情報を格納および送信するよう構成されている。例えば、セキュリティエンジンは、ログイン情報を格納または送信する前に、情報を入力するようユーザに要求することによりユーザ照合を実行し得る。セキュリティエンジンがユーザを照合すると、セキュリティエンジンは、特定のウェブアプリケーションに関連するログイン情報(例えば、セキュアなメモリに格納され得るユーザ名、パスワードなどの秘密情報)を識別し、識別されたログイン情報を、ログインリクエストを介してウェブアプリケーションへ送信する。セキュリティエンジンは、(例えば、ネットワークを介したリモートサーバーへの送信の前に暗号化することにより)秘密情報を保護し得る。(秘密情報を含む)ログイン情報が有効である場合、ウェブアプリケーションはクライアントプラットフォームへのアクセスを認め、ブラウザアプリケーションは、証明されたユーザとして制御を再開する。
したがって、システムおよび方法は、エンドユーザを証明することによりセキュリティを高めて、当該エンドユーザがクライアントプラットフォームに格納される秘密データへアクセスする適切な権限を有することを確認し得、および/または、クライアントプラットフォームに格納されたエンドユーザの秘密データへの権限を与えられていない(例えば悪意のある)アクセスを防ぎ得、これにより、有用性とセキュリティとを維持し得る。システムおよび方法は、ブラウザアプリケーション内でセキュア環境が確立されることを必須とせず、代わりに、ウェブアプリケーション(例えば、市販のウェブアプリケーション)にシームレスに統合され得、また、リモートサーバーで実行されるウェブアプリケーションが、既存のパスワードベースの証明方法を継続して用いることを可能ともし得る(つまり、システムおよび方法は、ウェブアプリケーションおよびユーザが異なる証明方法を用いることを必須としない)。システムおよび方法は、クライアントプラットフォームのオペレーティングシステム(OS)から秘密情報を保護した状態を維持し得、関連する秘密情報のみを(例えば、セキュアHTTPSセッション、またはその他を用いて)ウェブアプリケーションへリリース/送信し得る。
本明細書で用いられるように、「秘密情報」または「秘密データ」という用語は、個人または団体に関する公にされていない情報またはデータを意味することが意図されており、当該ユーザまたは団体を識別するために用いられ得る。秘密情報の例には、ユーザ名、パスワード、個人識別番号(PIN)またはコード、クレジットカード番号、社会保障番号、誕生日、旧姓、出生地、およびその他が含まれるが、これらに限定されない。追加的に、本明細書で用いられるように、悪意のあるソフトウェア(またはマルウェア)とは、動作を混乱または拒絶させるよう、プライバシーの喪失または利己的な利用に繋がる情報を取得するよう、システムのリソースへ権限を与えられていないアクセスをするよう、およびその他の不正な挙動をするよう設計されたプログラミング(例えば、コード、スクリプト、アクティブコンテンツ、および他のソフトウェア)を意味するよう意図されている。マルウェアの例には、コンピュータウイルス、ワーム、トロイの木馬、スパイウェア、不正なアドウェア、スケアウェア、クライムウェア、および他の悪意のある、および望ましくないソフトウェアまたはプログラムが含まれるが、これらに限定されない。
ここで図1を参照すると、本開示に係るシステム10の一実施形態が一般的に図示されている。システム10は、リモートサーバー22で動作するリモートアプリケーション20(例えばウェブアプリケーションであるが、これに限定されない)とネットワーク24を介した通信リンク18を確立するよう構成された分離された実行環境14とブラウザアプリケーション16とを含むクライアントプラットフォーム12を含む。
プラットフォーム12には、デスクトップコンピュータ、ラップトップコンピュータ、および/またはモバイルコンピューティングデバイス(スマートフォン(Blackberry(商標)スマートフォン、iPhone(登録商標)スマートフォン、Android(商標)スマートフォン、およびその他などであるが、これらに限定されない)、タブレットコンピュータ(iPad(登録商標)タブレットコンピュータ、PCベースのタブレットコンピュータ、および/または、現在または将来のタブレットコンピュータなどであるが、これらに限定されない)、およびウルトラモバイルパーソナルコンピュータなどであるが、これらに限定されない)が含まれ得るが、これらに限定されない。
本明細書においてより詳細に説明されるように、分離された実行環境14は、クライアントプラットフォーム12のオペレーティングシステム(OS)および/またはBIOSが、分離された実行環境14の存在に気付かない(例えば、OSおよび基本入出力システム(BIOS)から隠されている)ようにクライアントプラットフォーム12の残りとは独立してセキュアに分離されてコードを実行するよう構成された実行環境である。分離された実行環境14は、ユーザ照合/認証を実行し、秘密データを格納し、ブラウザアプリケーション16からオフロードされたログインリクエストを処理するよう構成され得る。
ブラウザアプリケーション16は、コンピュータネットワーク24(例えばWorld Wide Webであるが、これに限定されない)を介してクライアントプラットフォーム12とリモートサーバー22との間で(例えば、情報リソースを取得、提示、およびトラバースするために)ナビゲーションを可能とするよう構成された何らかのアプリケーションを含み得る。ブラウザアプリケーション16の例には、Microsoft Corp.(商標)が提供するInternet Explorer(商標)、Mozilla Corp.(商標)が提供するFirefox(商標)、Google Inc.(商標)が提供するGoogle Chrome(商標)、Apple Inc.(商標)が提供するSafari(商標)、およびOpera Software(商標)が提供するOpera(商標)などのブラウザアプリケーションが含まれるが、これらに限定されない。
リモートアプリケーション20は、エンドユーザ証明(例えばログイン)を利用するリモートサーバー22で実行される何らかのアプリケーションを含み得る。リモートアプリケーション20の例には、電子メールアカウント(例えば、Gmail(商標)、Yahoomail(商標)、Hotmail(商標)、AOL(商標)など)、ソーシャルネットワークアプリケーション(例えば、Facebook(商標)、Twitter(商標)など)、商取引アプリケーション(例えば、eBay(商標)、PayPal(商標)、バンキングアプリケーションなど)、およびその他が含まれるが、これらに限定されない。ネットワーク24には、ローカルエリアネットワーク(LAN)、広域エリアネットワーク(WAN)、パーソナルエリアネットワーク(PAN)、仮想プライベートネットワーク(VPN)、インターネット、およびその他などであるが、これらに限定されないコンピュータネットワークが含まれ得る。
ここで図2を参照すると、クライアントプラットフォーム12の一実施形態が一般的に図示されている。クライアントプラットフォーム12は、ハードウェア環境/プラットフォーム26、アプリケーション環境/プラットフォーム28、および分離された実行環境14を含む。分離された実行環境14はクライアントプラットフォーム12の一部として図示されているが、分離された実行環境14は、本明細書で説明されるようにクライアントプラットフォーム12の外部に位置付けられ得る。
ハードウェア環境26は、ネットワーク回路32、グラフィック回路34、入出力回路36、セキュアメモリ38、チップセット40、およびメモリ42を含む。ネットワーク回路32(ネットワークインタフェースコントローラ(NIC)などであるが、これに限定されない)は、リモートサーバー22と、1または複数のネットワーク24を介して通信リンク18を確立するよう構成される。例えば、ネットワーク回路32は、リモートサーバー22と、IEEE standard 802.3、またはその他に準拠して通信リンク18を確立するよう構成され得る。しかし、これは一例も過ぎず、本開示はこのことに限定されないことを理解されよう。
グラフィック回路34(グラフィックインタフェースコントローラなどであるが、これに限定されない)は、表示デバイス44に表示されることになる画像を生成するよう構成される。入出力回路36(I/Oコントローラなどであるが、これに限定されない)は、入出力デバイス46(キーボード、マウス、トラッカー、タッチスクリーン、またはその他などであるが、これらに限定されない)から入力を受信するよう構成される。セキュアメモリ38は、秘密情報および/またはデータを格納するよう構成される。分離された実行環境14だけが、セキュアメモリ38から/へデータを読み取りおよび/または書き込み得る。セキュアメモリ38の例には、ダイナミックランダムアクセスメモリ(DRAM)、フラッシュメモリ、およびその他が含まれるが、これらに限定されない。
チップセット40は、1または複数のプロセッサユニットまたはコア(明確にするため示されていない)を含み得、関連するメモリ42はチップセット40によりアクセス可能な何らかのメモリを含み得る。
アプリケーション環境28は、オペレーティングシステム48、ブラウザアプリケーション16、1または複数のネットワークスタック50、および1または複数のグラフィックスタック52を含む。オペレーティングシステム48は、Windows(登録商標)、Unix(登録商標)、Linux(登録商標)、Macintosh(登録商標)に基づくオペレーティングシステム、およびプロセッサに組み込まれたオペレーティングシステムを含み得るが、これらに限定されない。
本明細書で用いられるように、分離された実行環境14とは、クライアントプラットフォーム12のOSおよび/またはBIOSが、分離された実行環境14の存在に気付かない(例えば、分離された実行環境14がOSおよびBIOSから隠されている)ようにクライアントプラットフォーム12の残りとは独立してセキュアに分離されてコードを実行するよう構成された実行環境を意味することが意図されている。セキュア環境は、ホストプロセッサおよび/またはOSによって書き込み可能ではないメモリにセキュリティエンジンファームウェアを格納することにより確立され得る。そのようなものとして、分離された実行環境14はさらに、クライアントプラットフォーム12の残り(例えば、ホストチップセット40)で実行されるソフトウェアが、コード記憶領域、または分離された実行環境14で実行される実行コードを変更する、修正する、読み取る、または或いは影響を与えることになる動作を実行することを防ぐよう構成される。分離された実行環境14の例には、プラットフォーム12の残りのハードウェアとは独立した専用ハードウェア、または、ブラウザアプリケーション16をホストするOSとは別個の専用仮想マシン(VM)が含まれるが、これらに限定されない。例えば、本開示と共に用いられ得る、本開示に係る分離された実行環境14の一実施形態には、Intel(商標)Management Engine(Intel(登録商標)ME)が含まれるが、これに限定されない。
本明細書においてより詳細に説明されるように、分離された実行環境14は、ユーザを証明する(例えば、特定のユーザが存在し、クライアントプラットフォーム12を動作させていると判断する)よう構成され、権限を与えられていないアクセスから秘密情報を保護し得る(例えば、オペレーティングシステム48からの、および/または、クライアントプラットフォーム12で実行される何らかの悪意のあるソフトウェア(示されず)からの秘密情報へのアクセスを防ぎ得る)。分離された実行環境14は、証明モジュール54、セキュリティモジュール/エンジン56、セキュアネットワークモジュール58、および/または、セキュアグラフィックモジュール60を含む。特に、証明モジュール54は、ユーザと分離された実行環境14(例えば、セキュリティエンジン56)との間で証明されたセッションを確立する(つまり、特定のユーザが存在し、クライアントプラットフォーム12を動作させていることを確認する)よう構成され得る。例えば、証明モジュール54は、ユーザにより入力された証明情報を受信するよう構成され得る。証明情報は、ユーザ名、パスワード/コード、バイオメトリック情報(例えば、網膜スキャン、指紋スキャン、またはその他)、(例えば、スマートカード、チップカード、集積回路カード、またはその他に格納された)デジタル情報などを含み得るが、これらに限定されない。任意選択的に、セキュアグラフィックモジュール60は、表示デバイス44での出力のために、グラフィックスタック52および/またはグラフィック回路34を用いてセキュア画像を生成し得る。セキュア画像は、クライアントプラットフォーム12のエンドユーザのみが表示デバイス44で読み取ることが出来るランダムなパターンを含み得る。その後、ユーザは、パターン(つまり、証明情報)を証明モジュール54へ入力し得る。証明情報が、(例えば、セキュア記憶装置38に格納された)分離された実行環境14に関連するデータに対応する(例えば合致する)場合、証明モジュール54は、ユーザと分離された実行環境14(例えば、セキュリティモジュール/エンジン56)との間で証明されたセッションを確立し得る。
証明モジュール54は、分離された実行環境14に関連する新たなユーザアカウントを作成するようにも構成され得る。特に、証明モジュール54は、新たなユーザアカウントを作成するようアクセスを認めるために、(例えばI/O回路36を用いて)セキュリティデータを入力するようユーザに要求し得る。その後、証明モジュール54は、セキュリティデータと分離された実行環境14(例えばセキュア記憶装置38)内に格納されたデータとを比較し、セキュリティデータが合致した場合、証明モジュール54は新たなユーザアカウントを作成し得る。ユーザは、セキュア記憶装置38に格納され得ユーザアカウントと関連し得る、ユーザについての秘密情報を(例えばI/O回路36を用いて)入力し得る。
実際には、ブラウザアプリケーション16がリモートアプリケーション20に関連するログインフォームを検出または識別した場合、ログインプロセスは、ブラウザアプリケーション16から、分離された実行環境14(例えばセキュリティエンジン56)へオフロードされる。例えば、リモートサーバー22で実行されるリモートアプリケーション20の位置(例えば、ウェブサイトのURL)、部分的に処理されたリクエストメッセージ(例えば、HTTP POSTリクエストメッセージでなどであるが、これに限定されない部分的に処理されたHTTPリクエストメッセージ)、および全ての必要なリモートアプリケーション/リモートサーバー情報(秘密データを例外とする)は、(例えばブラウザアプリケーション16から)セキュリティエンジン56へ送信され得る。インタフェースが、セキュリティエンジン56とブラウザアプリケーション16との間の通信を可能とすべく提供され得る。インタフェースの一例には、ホストに組み込まれたコントローラインタフェース(HECI)バスが含まれ得る。HECIバスは、Host OS48および/またはブラウザアプリケーション16が、分離された実行環境14(例えばセキュリティエンジン56)と直接通信を行うことを可能とする。バスは、Host OS48/ブラウザアプリケーション16および分離された実行環境14がシステム管理情報およびイベントを規格に準拠したやり方で通信出来るよう構成された双方向性の可変データレートバスを含み得る。代替的に、システム管理バス(SMBus)が用いられ得る。
本明細書で説明されるように分離された実行環境14と証明されたセッションが確立された後、セキュリティエンジン56は、リモートアプリケーション20に関連するログインフォームが、分離された実行環境14のユーザアカウントに現在登録されているか否かを識別/判断し得る。例えば、セキュリティエンジン56は、セキュア記憶装置38内で、リモートアプリケーション20および/またはリモートサーバー22に関連するユーザの秘密データを(例えばウェブサイトのURLを用いて)検索し得る。セキュア記憶装置38は、ユーザの秘密データとリモートアプリケーション20とをそれぞれが関連付ける1または複数のユーザプロフィールデータベース、および/または、リモートサーバー22(例えばウェブサイトのURL)を含み得る。
リモートアプリケーション20に関連するログインフォームが、分離された実行環境14内のユーザアカウントに現在登録されていない場合、セキュリティエンジン56は、リモートアプリケーション20に関連するログインフォームを登録するようユーザに提案し得る。ユーザが、リモートアプリケーション20に関連するログインフォームを登録することを決定した場合、ユーザは(例えば、秘密データをブラウザアプリケーション16へ入力することにより)リモートアプリケーション20に関連する秘密データを入力し得、セキュリティエンジン56は、(例えば、ブラウザアプリケーション16がリモートアプリケーション20へのログインの成功を検出した後に)セキュア記憶装置38内のユーザプロフィールデータベースに秘密データを格納し得る。
リモートアプリケーション20に関連するログインフォームが既に、分離された実行環境14内のユーザアカウントに登録されていた場合、セキュリティエンジン56は、例えばリクエストメッセージがネットワークスタック50へ送信される前に、ブラウザアプリケーション16により生成されるリクエストメッセージ(例えばHTTPリクエストメッセージ)を捕捉するよう構成され得る。その後、セキュリティエンジン56はリモートアプリケーション20のログインに関連する(セキュア記憶装置38内のユーザプロフィールに格納された)エンドユーザの秘密データでメッセージリクエストをポピュレートし得、(秘密データを含む)ポピュレートされたメッセージリクエストをリモートアプリケーション20へ送信し得る。
任意選択的に、セキュアネットワークモジュール58は、例えばネットワークスタック50およびネットワーク回路32を用いて、リモートサーバー22上のリモートアプリケーション20と(例えば、インターネット上で通信セキュリティを提供する1または複数の暗号プロトコルを用いて)セキュア通信パイプ/リンクを確立し得る。セキュア通信パイプ/リンクは、セキュアソケット層(SSL)、トランスポート層セキュリティ(TLS)、および/または、ハイパーテキストトランスファープロトコルセキュア(HTTPS)、セキュアハイパーテキストトランスファープロトコル(S−HTTP)、またはその他を含み得るが、これらに限定されない。
ログイン情報(例えば秘密データ)が有効である場合、リモートアプリケーション20/リモートサーバー22はセッションクッキーを生成し、メッセージ応答(例えば、HTTPセットクッキーヘッダーを用いるHTTP応答)内でセッションクッキーを送信する。ログインの成功に応答して、セキュリティエンジン56はリモートサーバー22からセッションクッキーを受信し得、(セッションクッキーを含む)コントロールをブラウザアプリケーション16へ戻し得る。その後、ブラウザアプリケーション16は、提供されたセッションクッキーによりウェブサイトのクッキー情報を更新し得、HTTPリクエストの処理を完了し得(例えば、リダイレクトリクエストを処理し得る、およびHTMLコンテンツをロードし得る)、通常通りに機能し得る。したがってユーザは、通常通りに、証明されたブラウジングセッションにより、かつ何ら秘密データを入力する必要なくリモートアプリケーション20およびリモートサーバー22のブラウジングを継続し得る。
任意選択的に、ログインプロセスを要求する、認識されたウェブサイト(つまり、ユーザアカウントに関連するリモートアプリケーション20)へ入ろうとユーザがブラウジングするときはいつでも、ブラウザアプリケーション16はこの状況を検出し、セキュリティエンジン56がユーザ照合および/または認証を実行するようトリガーする。特に、セキュリティエンジン56は、ユーザ証明するよう、および/または、ユーザが依然として存在することを確認するため情報を入力するようユーザに要求するよう構成され得る。例えば、本明細書で説明されるように、セキュリティエンジン56は証明モジュール54および/またはセキュアグラフィックモジュール60に、ユーザが入力しなければならないランダムなパターンを生成させ得る。またセキュリティエンジン56は証明モジュール54に、ユーザを証明するためのデータ(例えば、バイオメトリックデータ、パスワード、スマートカード/回路、またはその他)を入力するようユーザに要求させ得る。セキュリティエンジン56は定期的および/またはランダムに、ユーザ照合および/または認証を要求するようにも構成され得る。
ここで図3を参照すると、本開示の一実施形態に係る方法300の動作のフローチャートが一般的に図示されている。方法300は、ユーザが、分離された実行環境と証明されたセッションを確立した後に実行され得る。特に、ユーザは、ブラウザアプリケーションを用いて、リモートサーバーに関連するログインページを有するウェブサイトを開き得る(動作310)。その後、ブラウザアプリケーションは、ログインプロセスを検出し得(動作312)、その後、ログインプロセスをセキュリティエンジンへオフロードし得る。例えば、ブラウザアプリケーションは、ログインリクエスト(例えば、URL、例えばHTTP POSTである部分的に処理されたHTTPリクエストメッセージなど)をセキュリティエンジンへ送信し得る(動作314)。セキュリティエンジンは任意選択的に、ユーザ照合を実行し得る。
ログインリクエストを受信すると、セキュリティエンジンはセキュア記憶装置内を検索し、リモートアプリケーション/リモートサーバーが、セキュア記憶装置に格納されたユーザプロフィールに関連するか否かを判断し、判断の結果が肯定的な場合、リモートアプリケーション/リモートサーバーに関連する何らかの秘密情報を識別し得る(動作316)。リモートアプリケーション/リモートサーバーに関連するユーザプロフィールをセキュリティエンジンが識別した場合、セキュリティエンジンは、関連する秘密データでログイン要求メッセージ(例えばHTTPリクエスト)をポピュレートする(動作318)。任意選択的に、セキュアネットワークモジュールは、リモートアプリケーション/リモートサーバーと、セキュアチャネル(例えばSSLセッション)を確立する(動作320)。セキュリティエンジンは、(例えば、SSL(例えばHTTPS)内でHTTPペイロードを送信する間)ポピュレートされた(秘密データを含む)リクエストメッセージをリモートアプリケーション/リモートサーバーへ送信する(動作322)。
ログイン情報(例えば秘密データ)が有効な場合、リモートアプリケーション/リモートサーバーはセッションクッキーを生成し、応答(例えば、HTTPセットクッキーヘッダーを用いるHTTP応答)内でセッションクッキーを送信し、ユーザはログインさせられる(動作324)。セキュリティエンジンはHTTP応答をブラウザアプリケーションへ転送し得る(動作326)。その後、ブラウザアプリケーションは提供されたセッションクッキーによりクッキー情報を更新し得(動作328)、HTTP応答の処理を完了する(例えば、リダイレクトリクエストを処理する、HTMLコンテンツをロードするなど)(動作330)。したがってブラウザアプリケーションは、リモートアプリケーション/リモートサーバーへログインさせられ、ユーザは証明されたユーザとして通常通りブラウジングを継続し得る(動作332)。
図4を参照すると、本開示の一実施形態に係る、リモートアプリケーション/リモートサーバーの参加/登録のための方法400の動作のフローチャートが一般的に図示されている。方法400は、ユーザが、分離された実行環境と証明されたセッションを確立した後に実行され得る。特に、ユーザはブラウザアプリケーションを用いてリモートサーバーに関連するウェブサイトのログインページへナビゲートし得る(動作410)。その後、ブラウザアプリケーションは、ログインプロセスを検出し得(動作412)、その後、ログインプロセスをセキュリティエンジンへオフロードし得る。例えば、ブラウザアプリケーションは、どのウェブページがセキュリティエンジンに以前に既に「登録」されたかを追跡するよう構成され得る。ユーザがログインページにアクセスする場合、ウェブブラウザは、秘密情報が以前に登録されたか否かをチェックし得る。しかし、少なくとも1つの実施形態によると、ブラウザアプリケーションは実際の情報へアクセス出来ないかもしれず、代わりに、ブラウザアプリケーションは、秘密情報がウェブページに関連するか否かを判断するよう構成され得る。秘密情報がウェブページに関連しないとブラウザアプリケーションが判断した場合、ブラウザアプリケーションはユーザにログイン情報を入力するようリクエストするであろう。その後、秘密情報は、セキュリティエンジンにより格納され得る(例えば、以下に説明される動作422を参照)。
代替的に、ログインページの検出に応答して、ブラウザアプリケーションはログインリクエスト(例えば、URL、例えばHTTP POSTである部分的に処理されたHTTPリクエストメッセージなど)をセキュリティエンジンへ送信し得る(動作414)。セキュリティエンジンは任意選択的に、ユーザ照合を実行し得る。ログインリクエストの受信に応答して、セキュリティエンジンはセキュア記憶装置を検索して、リモートアプリケーション/リモートサーバーが、セキュア記憶装置内に格納されたユーザプロフィールに関連するか否かを判断する(動作416)。セキュリティエンジンがリモートアプリケーション/リモートサーバーに関連するユーザプロフィールを識別しない場合、または、ユーザが、リモートアプリケーション/リモートサーバーに関連する秘密データを修正または更新することを決定した場合(動作418)、セキュリティエンジンは、本明細書で説明されるようにユーザ照合を実行し得る(動作420)。ユーザは、リモートアプリケーション/リモートサーバーに関連する秘密データを入力し得る(動作422)。ブラウザアプリケーションは、秘密データをリモートアプリケーション/リモートサーバーへ送信し得、ログインが成功だったか否かを検出し得る(動作424)。
セキュリティエンジンは、リモートアプリケーション/リモートサーバーに関連する秘密データをセキュア記憶装置のユーザプロフィールに格納し得る(動作426)。したがってブラウザアプリケーションは、リモートアプリケーション/リモートサーバーへログインさせられ得、ユーザは証明されたユーザとして通常通りブラウジングを継続し得る(動作428)。
図3および4は様々な実施形態に係る方法動作を図示しているが、何らかの実施形態において、これらの動作の全てが必要ではないことを理解されよう。実際、本明細書においては、本開示の他の実施形態において、図3および4に示される動作が図面のうちいずれにも詳細に示されないやり方で組み合わせられ得、依然として本開示に完全に一致し得ることが完全に予期されている。したがって、正確には1つの図面に示されていない特徴および/または動作に関連する請求項が、本開示の範囲および内容に含まれるものと見なされる。
したがって、本開示の少なくとも1つの実施形態に係るシステムおよび方法は、ユーザおよびリモートアプリケーション/リモートサーバー(例えばウェブサイト)が、既存のユーザ名/パスワードベースの証明方法を継続して用いることを可能とし得る。他の技術と異なり、本開示の少なくとも1つの実施形態に係るシステムおよび方法は、例えばユーザがアクティブにブラウザアプリケーションを用いている間であっても、任意の時点においてマルウェアから秘密データ(例えばパスワードなど)を保護し得る。本開示の少なくとも1つの実施形態に係るシステムおよび方法は、他のアプリケーション(例えば、OSまたは他のアプリケーション)が秘密データにアクセスする(例えば、読み取る、および/または、書き込む)ことを防ぎ得、ユーザが許可する、リモートアプリケーション/リモートサーバーに関連する関連する秘密データのみを(例えば、セキュアHTTPSセッションを用いて)リリースし得る。
本開示の少なくとも1つの実施形態に係るシステムおよび方法は、分離された実行環境が秘密データへのアクセスを認めるためにユーザ証明/認証を提供し得る。ユーザ証明/認証は、パスワード、プライベート識別番号、バイオメトリックデータ、ランダムなパターン、および/またはその他などの入力を含み得る。また本開示の少なくとも1つの実施形態に係るシステムおよび方法は、ブラウザアプリケーション内でセキュア環境を確立する必要性を取り除き得、むしろ代わりに、市販のブラウザアプリケーションおよびOSのネットワーキング機能を利用して、ブラウザベースのログインフローのセキュリティおよび有用性を向上させ得る。
本明細書に説明される方法の実施形態は、1または複数のプロセッサにより実行された場合に方法を実行する命令を個別に、または組み合わせで格納した1または複数の格納媒体(例えば、有形の機械可読媒体)を含むシステムで実装され得る。ここでプロセッサには、例えば、システムCPU(例えばコアプロセッサ)および/またはプログラム可能回路が含まれ得る。したがって、本明細書に説明される方法に係る動作は、いくつかの異なる物理的な位置における処理構造など、複数の物理的デバイスに分散され得ることが意図されている。また、当業者には理解されるように、方法動作は、個別に、またはサブコンビネーションで実行され得ることが意図されている。したがって、フローチャートのうちそれぞれの動作の全てが実行される必要はなく、当業者には理解されるように本開示は、そのような動作の全てのサブコンビネーションが可能とされることを明示的に意図している。
本明細書に説明された特定の実施形態は、コンピュータにより実行された場合に、本明細書に説明される方法および/または動作を当該コンピュータに実行させるコンピュータ実行可能命令を格納した有形の機械可読媒体として提供され得る。有形のコンピュータ可読媒体には、フロッピー(登録商標)ディスク、光ディスク、コンパクトディスク読み取り専用メモリ(CD−ROM)、コンパクトディスク書き換え可能(CD−RW)、および光磁気ディスクを含む何らかのタイプのディスク、読み取り専用メモリ(ROM)などの半導体デバイス、ダイナミックおよびスタティックRAM、消去可能プログラム可能読み取り専用メモリ(EPROM)、電気的消去可能プログラム可能読み取り専用メモリ(EEPROM)、フラッシュメモリなどのランダムアクセスメモリ(RAM)、磁気カードまたは光カード、または、電子命令を格納するのに適した何らかのタイプの有形の媒体が含まれ得るが、これらに限定されない。コンピュータには、何らかの適した処理プラットフォーム、デバイス、またはシステム、コンピューティングプラットフォーム、デバイス、またはシステムが含まれ、ハードウェアおよび/またはソフトウェアの何らかの適した組み合わせを用いて実装され得る。命令には、何らかの適したタイプのコードが含まれ得、何らかの適したプログラミング言語を用いて実装され得る。
本明細書におけるいずれかの実施形態で用いられる「モジュール」という用語は、述べられた動作を実行するよう構成されたソフトウェア、ファームウェア、および/または回路を指す。ソフトウェアは、ソフトウェアパッケージ、コードおよび/または命令セットまたは複数ンの命令として実装され得、本明細書におけるいずれかの実施形態で用いられる「回路」は例えば単体で、または何らかの組み合わせで、ハードウェアにより実現されている回路、プログラム可能回路、状態機械回路、および/または、プログラム可能回路により実行される命令を格納したファームウェアを含みうる。モジュールは総体的または個別に、例えば集積回路(IC)、システムオンチップ(SoC)などのより大きなシステムの一部を形成する回路として実装され得る。
いくつかの請求項の要素には明確とすべく名前が付されているかもしれないが、いくつかの実施例においては請求項の要素の実装順序は変更されうることが理解されよう。
したがって一実施形態において、本開示は装置を提供し、装置は分離された実行環境を含み、分離された実行環境は、リモートサーバーで実行されるリモートアプリケーションにより生成されるログイン要求メッセージをブラウザアプリケーションから受信し、セキュア記憶装置に格納され、リモートアプリケーションに関連する秘密情報を識別し、識別された秘密データでログイン要求メッセージをポピュレートし、ポピュレートされたログイン要求メッセージをリモートアプリケーションへ送信し、ログインの成功に応答して、リモートアプリケーションからログイン応答メッセージを受信し、ログイン応答メッセージをブラウザアプリケーションへ送信するよう構成され、分離された実行環境だけが、セキュア記憶装置の読み取りおよび書き込みを行える。
他の実施形態において、本開示はシステムを提供し、システムは、ブラウザアプリケーション、ハードウェア環境、秘密データを格納するよう構成されたセキュア記憶装置、および分離された実行環境を含む。ブラウザアプリケーションは、ネットワークを介したリモートサーバーで動作するリモートアプリケーションに関連するログインを検出し、ログインをオフロードするよう構成される。ハードウェア環境は、ブラウザアプリケーションを実行するよう構成された少なくとも1つのプロセッサと、リモートサーバー上のリモートアプリケーションと通信リンクを確立するよう構成されたネットワーク回路とを含む。分離された実行環境は、ハードウェア環境とは独立してセキュアに分離されてコードを実行するよう構成される。分離された実行環境はさらに、リモートアプリケーションにより生成されるログイン要求メッセージをブラウザアプリケーションから受信し、セキュア記憶装置に格納され、リモートアプリケーションに関連する秘密情報を識別し、識別された秘密データでログイン要求メッセージをポピュレートし、ポピュレートされたログイン要求メッセージをリモートアプリケーションへ送信し、ログインの成功に応答して、リモートアプリケーションからログイン応答メッセージを受信し、ログイン応答メッセージをブラウザアプリケーションへ送信するよう構成され、分離された実行環境だけが、セキュア記憶装置の読み取りおよび書き込みを行える。
さらに他の実施形態において、本開示は方法を提供し、方法は、ネットワークを介したリモートサーバーで動作するリモートアプリケーションにより生成されるログイン要求メッセージを、分離された実行環境においてブラウザアプリケーションから受信する段階と、分離された実行環境によってのみアクセス可能なセキュア記憶装置に格納され、リモートアプリケーションに関連する秘密情報を識別する段階と、識別された秘密データでログイン要求メッセージをポピュレートする段階と、ポピュレートされたログイン要求メッセージを分離された実行環境からリモートアプリケーションへ送信する段階と、ログインの成功に応答して、リモートアプリケーションからログイン応答メッセージを受信する段階と、ログイン応答メッセージを分離された実行環境からブラウザアプリケーションへ送信する段階とを含む。
またさらに他の実施形態において、本開示は少なくとも1つのコンピュータアクセス可能媒体を提供し、少なくとも1つのコンピュータアクセス可能媒体は、分離された実行環境に関連するプロセッサにより実行されると、ネットワークを介したリモートサーバーで動作するリモートアプリケーションにより生成されるログイン要求メッセージをブラウザアプリケーションから受信する動作と、分離された実行環境によってのみアクセス可能なセキュア記憶装置に格納され、リモートアプリケーションに関連する秘密情報を識別する動作と、識別された秘密データでログイン要求メッセージをポピュレートする段階と、ポピュレートされたログイン要求メッセージをリモートアプリケーションへ送信する動作と、ログインの成功に応答して、リモートアプリケーションからログイン応答メッセージを受信する動作と、ログイン応答メッセージをブラウザアプリケーションへ送信する動作とを含む動作が実行されることになる命令を格納している。
本明細書において採用されてきた用語および表現は、説明の用語として用いられ、制限する用語として用いられていない。そのような用語および表現を用いるにあたり、示され説明された特徴の同等物(またはその一部)を除外することは意図されておらず、様々な修正が請求項の範囲内で可能であるものと認識される。したがって、請求項はそのような同等物の全てを網羅することが意図されている。様々な特徴、態様、および実施形態が本明細書において説明されてきた。当業者には理解されるように、特徴、態様、および実施形態は互いに組み合わせが可能であり、かつ変更および修正が可能である。したがって本開示は、そのような組み合わせ、変更、および修正を包含するものと見なされるべきである。

Claims (19)

  1. 分離された実行環境を備え、
    前記分離された実行環境は、
    リモートサーバーで実行されるリモートアプリケーションにより生成されるログイン要求メッセージをブラウザアプリケーションから受信し、
    セキュア記憶装置に格納され、前記リモートアプリケーションに関連する秘密情報を識別し、
    識別された前記秘密情報で前記ログイン要求メッセージをポピュレートし、
    ポピュレートされた前記ログイン要求メッセージを前記リモートアプリケーションへ送信し、
    ログインの成功に応答して、前記リモートアプリケーションからログイン応答メッセージを受信し、
    前記ログイン応答メッセージを前記ブラウザアプリケーションへ送信し、
    前記分離された実行環境だけが、前記セキュア記憶装置の読み取りおよび書き込みを行える、装置。
  2. 前記分離された実行環境はさらに、ユーザにより入力されたパスコードと前記セキュア記憶装置に格納されたパスコードとを比較することを含むユーザ照合を実行する証明モジュールを有する、請求項1に記載の装置。
  3. 前記分離された実行環境はさらに、表示デバイスに描画されることになるパターンを生成するセキュアグラフィックモジュールを有し、
    前記証明モジュールは、ユーザにより入力されたデータと、前記パターンとを比較することを含むユーザ照合を実行する、請求項2に記載の装置。
  4. 前記分離された実行環境はさらに、セキュアネットワークモジュールを有し、
    前記セキュアネットワークモジュールは、
    前記リモートサーバー上の前記リモートアプリケーションとセキュアセッションを確立し、
    前記セキュアセッション上で、前記ポピュレートされたログイン要求メッセージを前記リモートアプリケーションへ送信し、
    前記ログイン応答メッセージを前記リモートアプリケーションから受信する、
    請求項1から3のいずれか1項に記載の装置。
  5. 前記ログイン応答メッセージはセッションクッキーを含む、請求項1から4のいずれか1項に記載の装置。
  6. 何ら秘密情報が前記セキュア記憶装置に格納されておらず、前記リモートアプリケーションに関連しないと前記分離された実行環境が判断した場合、前記分離された実行環境はさらに、新たな秘密情報を受信し、前記新たな秘密情報を前記セキュア記憶装置に格納する、請求項1から5のいずれか1項に記載の装置。
  7. 請求項1に記載の分離された実行環境と、
    クライアントプラットフォームと
    を備え、
    前記クライアントプラットフォームは、
    ネットワークを介したリモートサーバーで動作するリモートアプリケーションに関連するログインを検出し、前記ログインをオフロードするブラウザアプリケーションと、
    前記ブラウザアプリケーションを実行する少なくとも1つのプロセッサと、前記リモートサーバー上の前記リモートアプリケーションと通信リンクを確立するネットワーク回路とを含むハードウェア環境と、
    秘密情報を格納するセキュア記憶装置と
    を有し、
    前記分離された実行環境は、前記ハードウェア環境とは独立してセキュアに分離されてコードを実行する、システム。
  8. 何ら秘密情報が前記セキュア記憶装置に格納されておらず、前記リモートアプリケーションに関連しないと前記分離された実行環境が判断した場合、前記分離された実行環境はさらに、新たな秘密情報を受信し、前記新たな秘密情報を前記セキュア記憶装置に格納する、請求項7に記載のシステム。
  9. 前記ブラウザアプリケーションはさらに、何らかの秘密情報が前記リモートアプリケーションに関連するか否かを判断し、判断結果が否定的な場合、前記ブラウザアプリケーションはさらに、新たな秘密情報を受信し、
    前記分離された実行環境はさらに、前記新たな秘密情報を前記セキュア記憶装置に格納する、請求項7に記載のシステム。
  10. ネットワークを介したリモートサーバーで動作するリモートアプリケーションにより生成されるログイン要求メッセージを、分離された実行環境においてブラウザアプリケーションから受信する段階と、
    前記分離された実行環境によってのみアクセス可能なセキュア記憶装置に格納され、前記リモートアプリケーションに関連する秘密情報を識別する段階と、
    識別された前記秘密情報で前記ログイン要求メッセージをポピュレートする段階と、
    ポピュレートされた前記ログイン要求メッセージを前記分離された実行環境から前記リモートアプリケーションへ送信する段階と、
    ログインの成功に応答して、前記リモートアプリケーションからログイン応答メッセージを受信する段階と、
    前記ログイン応答メッセージを前記分離された実行環境から前記ブラウザアプリケーションへ送信する段階と
    を備える、方法。
  11. 前記リモートサーバー上の前記リモートアプリケーションとセキュアセッションを確立する段階と、
    前記セキュアセッション上で、前記ポピュレートされたログイン要求メッセージを前記分離された実行環境から前記リモートアプリケーションへ送信する段階と
    をさらに備える、請求項10に記載の方法。
  12. ユーザにより入力されたパスコードと前記セキュア記憶装置に格納されたパスコードとを比較することを含むユーザ照合を、前記分離された実行環境を介して実行する段階をさらに備える、請求項10または11に記載の方法。
  13. 表示デバイスに描画されることになるパターンを、前記分離された実行環境を用いて生成する段階と、
    ユーザにより入力されたデータと、前記パターンとを前記分離された実行環境を用いて比較する段階と
    をさらに備える、請求項10から12のいずれか1項に記載の方法。
  14. 前記分離された実行環境と前記リモートサーバー上の前記リモートアプリケーションとの間でセキュアセッションを確立する段階と、
    前記セキュアセッション上で、前記ポピュレートされたログイン要求メッセージを前記分離された実行環境から前記リモートアプリケーションへ送信する段階と、
    前記分離された実行環境において、前記ログイン応答メッセージを前記リモートアプリケーションから受信する段階と
    をさらに備える、請求項10から13のいずれか1項に記載の方法。
  15. 前記ログイン応答メッセージはセッションクッキーを含む、請求項14に記載の方法。
  16. 何ら秘密情報が前記セキュア記憶装置に格納されておらず、前記リモートアプリケーションに関連しない場合に、新たな秘密情報を受信し、前記新たな秘密情報を前記セキュア記憶装置に格納する段階をさらに備える、請求項10から15のいずれか1項に記載の方法。
  17. 何らかの秘密情報が前記リモートアプリケーションに関連するか否かを前記分離された実行環境を介して判断し、判断結果が否定的な場合に、前記分離された実行環境により、前記新たな秘密情報を受信し、前記新たな秘密情報を前記セキュア記憶装置に格納する段階をさらに備える、請求項16に記載の方法。
  18. 何らかの秘密情報が前記リモートアプリケーションに関連するか否かを前記ブラウザアプリケーションを介して判断し、判断結果が否定的な場合に、新たな秘密情報を前記ブラウザアプリケーションを介して受信する段階と、
    前記分離された実行環境により、前記新たな秘密情報を前記セキュア記憶装置に格納する段階と
    をさらに備える、請求項16に記載の方法。
  19. 請求項10から18のいずれか1項に記載の方法の前記段階を、分離された実行環境に関連するプロセッサを有する機械に実行させるプログラム。
JP2014547163A 2011-12-16 2011-12-16 リモートサーバーに対するセキュアなユーザ認証および証明 Active JP5904616B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/US2011/065428 WO2013089771A1 (en) 2011-12-16 2011-12-16 Secure user attestation and authentication to a remote server

Publications (2)

Publication Number Publication Date
JP2015501996A true JP2015501996A (ja) 2015-01-19
JP5904616B2 JP5904616B2 (ja) 2016-04-13

Family

ID=48613044

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014547163A Active JP5904616B2 (ja) 2011-12-16 2011-12-16 リモートサーバーに対するセキュアなユーザ認証および証明

Country Status (6)

Country Link
US (1) US20140173709A1 (ja)
EP (1) EP2792103A4 (ja)
JP (1) JP5904616B2 (ja)
KR (1) KR101581606B1 (ja)
TW (2) TWI512521B (ja)
WO (1) WO2013089771A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5888828B1 (ja) * 2015-07-10 2016-03-22 株式会社オンサイト 情報処理プログラム、情報処理装置及び情報処理方法
JP2017228264A (ja) * 2016-06-24 2017-12-28 エーオー カスペルスキー ラボAO Kaspersky Lab 安全なオンライン認証のためのシステム及び方法

Families Citing this family (44)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9887997B2 (en) * 2011-12-28 2018-02-06 Intel Corporation Web authentication using client platform root of trust
US9443012B2 (en) * 2012-01-31 2016-09-13 Ncr Corporation Method of determining http process information
US9356841B1 (en) * 2013-01-31 2016-05-31 Intuit Inc. Deferred account reconciliation during service enrollment
CN105531709B (zh) * 2013-09-27 2019-08-20 迈克菲股份有限公司 可执行对象在本地设备上的受信任的执行
CN104935553B (zh) * 2014-03-19 2018-09-18 北京安讯奔科技有限责任公司 统一身份认证平台及认证方法
US9529997B2 (en) * 2014-09-19 2016-12-27 Intel IP Corporation Centralized platform settings management for virtualized and multi OS systems
US20160092877A1 (en) * 2014-09-25 2016-03-31 Yen Hsiang Chew Secure user authentication interface technologies
US9292332B1 (en) 2014-12-11 2016-03-22 Amazon Technologies, Inc. Live updates for virtual machine monitor
US9400674B2 (en) 2014-12-11 2016-07-26 Amazon Technologies, Inc. Managing virtual machine instances utilizing a virtual offload device
US9886297B2 (en) 2014-12-11 2018-02-06 Amazon Technologies, Inc. Systems and methods for loading a virtual machine monitor during a boot process
US9424067B2 (en) 2014-12-11 2016-08-23 Amazon Technologies, Inc. Managing virtual machine instances utilizing an offload device
US9535798B1 (en) 2014-12-19 2017-01-03 Amazon Technologies, Inc. Systems and methods for maintaining virtual component checkpoints on an offload device
KR101594315B1 (ko) 2015-01-12 2016-02-16 동신대학교산학협력단 제3자 인증을 이용한 서비스 제공 방법 및 서버
US10404701B2 (en) * 2015-01-21 2019-09-03 Onion ID Inc. Context-based possession-less access of secure information
US10178087B2 (en) * 2015-02-27 2019-01-08 Samsung Electronics Co., Ltd. Trusted pin management
US9749323B2 (en) 2015-03-27 2017-08-29 Intel Corporation Technologies for secure server access using a trusted license agent
US10243739B1 (en) 2015-03-30 2019-03-26 Amazon Technologies, Inc. Validating using an offload device security component
US10211985B1 (en) * 2015-03-30 2019-02-19 Amazon Technologies, Inc. Validating using an offload device security component
US9667414B1 (en) 2015-03-30 2017-05-30 Amazon Technologies, Inc. Validating using an offload device security component
US10382417B2 (en) * 2015-08-31 2019-08-13 Mentor Graphics Corporation Secure protocol for chip authentication
US9875359B2 (en) * 2015-10-14 2018-01-23 Quanta Computer Inc. Security management for rack server system
US10546131B2 (en) 2015-10-22 2020-01-28 Mcafee, Llc End-point visibility
US10402555B2 (en) 2015-12-17 2019-09-03 Google Llc Browser attestation challenge and response system
EP3261009B1 (en) * 2016-06-24 2020-04-22 AO Kaspersky Lab System and method for secure online authentication
US11165565B2 (en) 2016-12-09 2021-11-02 Microsoft Technology Licensing, Llc Secure distribution private keys for use by untrusted code
CN108418775A (zh) * 2017-02-09 2018-08-17 腾讯科技(深圳)有限公司 一种登录方法、终端及服务器
KR102324361B1 (ko) 2017-05-29 2021-11-11 한국전자통신연구원 집단 지능 기반 악의적 기기 탐지 장치 및 방법
US10795996B2 (en) 2017-07-17 2020-10-06 AO Kaspersky Lab System and method of machine learning of malware detection model
CN109960945B (zh) * 2017-12-26 2023-03-21 中标软件有限公司 浏览器主动安全保护方法及系统
US11936646B2 (en) 2018-02-13 2024-03-19 Axos Bank Online authentication systems and methods
CN111771197B (zh) * 2018-02-22 2024-01-23 连株式会社 信息处理方法、信息处理装置、以及存储介质
US11190512B2 (en) 2019-04-17 2021-11-30 Microsoft Technology Licensing, Llc Integrity attestation of attestation component
US11392467B2 (en) 2019-04-17 2022-07-19 Microsoft Technology Licensing, Llc Failover between decentralized identity stores
US11429743B2 (en) 2019-04-29 2022-08-30 Microsoft Technology Licensing, Llc Localization of DID-related claims and data
US11381567B2 (en) 2019-04-29 2022-07-05 Microsoft Technology Licensing, Llc Execution of an application within a scope of user-granted permission
US11003771B2 (en) 2019-05-03 2021-05-11 Microsoft Technology Licensing, Llc Self-help for DID claims
US11222137B2 (en) 2019-05-03 2022-01-11 Microsoft Technology Licensing, Llc Storing and executing an application in a user's personal storage with user granted permission
US11411959B2 (en) * 2019-05-03 2022-08-09 Microsoft Technology Licensing, Llc Execution of application in a container within a scope of user-granted permission
US11531747B2 (en) * 2019-09-16 2022-12-20 Beijing Didi Infinity Technology And Development Co., Ltd. Method for exchanging data between a web browser and an application
CN113127869B (zh) * 2019-12-31 2024-02-13 奇安信科技集团股份有限公司 鉴定环境追踪方法及系统
CN112230931B (zh) 2020-10-22 2021-11-02 上海壁仞智能科技有限公司 适用于图形处理器的二次卸载的编译方法、装置和介质
CN112214443B (zh) * 2020-10-22 2021-12-03 上海壁仞智能科技有限公司 设置于图形处理器中的二次卸载装置和方法
CN113641934A (zh) * 2021-08-05 2021-11-12 吕波 一种用于网站安全访问的隔离防御系统
CN114827044B (zh) * 2022-04-27 2023-12-26 新华三信息安全技术有限公司 一种报文处理方法、装置及网络设备

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1125051A (ja) * 1997-07-09 1999-01-29 Hitachi Ltd 情報システム
JP2005309688A (ja) * 2004-04-20 2005-11-04 Toshiba Corp クライアント・サーバシステム、自動転送プログラム、自動転送方法
US20090249462A1 (en) * 2008-03-31 2009-10-01 Jasmeet Chhabra Method, apparatus, and system for sending credentials securely
JP2011113467A (ja) * 2009-11-30 2011-06-09 Toppan Printing Co Ltd セキュリティ強化装置およびセキュリティ強化方法
JP2011128726A (ja) * 2009-12-15 2011-06-30 Ricoh Co Ltd 認証装置、認証システム及び認証方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3789462B2 (ja) * 2002-09-12 2006-06-21 三菱電機株式会社 認証システム及び認証装置及び端末装置及び認証方法
US8024815B2 (en) * 2006-09-15 2011-09-20 Microsoft Corporation Isolation environment-based information access
WO2008114256A2 (en) * 2007-03-22 2008-09-25 Neocleus Ltd. Trusted local single sign-on
TWI416922B (zh) * 2008-11-28 2013-11-21 Univ Nat Taiwan Science Tech 運用圖像式認證碼的認證系統及其方法
TW201143342A (en) * 2010-05-28 2011-12-01 Chunghwa Telecom Co Ltd Identity authentication method

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1125051A (ja) * 1997-07-09 1999-01-29 Hitachi Ltd 情報システム
JP2005309688A (ja) * 2004-04-20 2005-11-04 Toshiba Corp クライアント・サーバシステム、自動転送プログラム、自動転送方法
US20090249462A1 (en) * 2008-03-31 2009-10-01 Jasmeet Chhabra Method, apparatus, and system for sending credentials securely
JP2011113467A (ja) * 2009-11-30 2011-06-09 Toppan Printing Co Ltd セキュリティ強化装置およびセキュリティ強化方法
JP2011128726A (ja) * 2009-12-15 2011-06-30 Ricoh Co Ltd 認証装置、認証システム及び認証方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5888828B1 (ja) * 2015-07-10 2016-03-22 株式会社オンサイト 情報処理プログラム、情報処理装置及び情報処理方法
JP2017228264A (ja) * 2016-06-24 2017-12-28 エーオー カスペルスキー ラボAO Kaspersky Lab 安全なオンライン認証のためのシステム及び方法

Also Published As

Publication number Publication date
TWI512521B (zh) 2015-12-11
TWI562006B (en) 2016-12-11
JP5904616B2 (ja) 2016-04-13
TW201339885A (zh) 2013-10-01
EP2792103A1 (en) 2014-10-22
KR20140105500A (ko) 2014-09-01
US20140173709A1 (en) 2014-06-19
TW201616383A (zh) 2016-05-01
KR101581606B1 (ko) 2015-12-30
WO2013089771A1 (en) 2013-06-20
EP2792103A4 (en) 2015-10-28

Similar Documents

Publication Publication Date Title
JP5904616B2 (ja) リモートサーバーに対するセキュアなユーザ認証および証明
US10097350B2 (en) Privacy enhanced key management for a web service provider using a converged security engine
US10574648B2 (en) Methods and systems for user authentication
JP5802337B2 (ja) アウトオブバンドリモート認証
JP6349579B2 (ja) 条件付きログインプロモーション
WO2017000829A1 (zh) 一种基于生物特征的安全校验方法及客户端、服务器
EP3275159B1 (en) Technologies for secure server access using a trusted license agent
US8984597B2 (en) Protecting user credentials using an intermediary component
US20160125180A1 (en) Near Field Communication Authentication Mechanism
US11176276B1 (en) Systems and methods for managing endpoint security states using passive data integrity attestations
US11930116B2 (en) Securely communicating service status in a distributed network environment
US20220417020A1 (en) Information processing device, information processing method, and non-transitory computer readable storage medium
US10425395B2 (en) Single sign on system for secure networks
EP3036674B1 (en) Proof of possession for web browser cookie based security tokens
US20220337584A1 (en) Information processing device, information processing method, and non-transitory computer readable storage medium
US20220400108A1 (en) Tokenizing authentication information
CN117097508A (zh) Nft跨设备安全管理的方法和装置

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150415

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150421

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150708

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150818

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20151117

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160216

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160310

R150 Certificate of patent or registration of utility model

Ref document number: 5904616

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250