JP2015519777A - マルチパーティシステムにおける安全な認証 - Google Patents

マルチパーティシステムにおける安全な認証 Download PDF

Info

Publication number
JP2015519777A
JP2015519777A JP2015503560A JP2015503560A JP2015519777A JP 2015519777 A JP2015519777 A JP 2015519777A JP 2015503560 A JP2015503560 A JP 2015503560A JP 2015503560 A JP2015503560 A JP 2015503560A JP 2015519777 A JP2015519777 A JP 2015519777A
Authority
JP
Japan
Prior art keywords
user
authentication
network
server
authentication server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015503560A
Other languages
English (en)
Other versions
JP5844001B2 (ja
Inventor
マイケル・ニューマン
ダイアナ・ニューマン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Authentify Inc
Original Assignee
Authentify Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Authentify Inc filed Critical Authentify Inc
Publication of JP2015519777A publication Critical patent/JP2015519777A/ja
Application granted granted Critical
Publication of JP5844001B2 publication Critical patent/JP5844001B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/951Indexing; Web crawling techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • G06F21/35User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/322Aspects of commerce using mobile devices [M-devices]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/045Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/77Graphical identity

Abstract

ユーザデバイスは、ログイン要求を送信する。プロバイダサーバは、認証サーバからランダム数を受信し、かつ認証サーバへ他の情報を送信する。プロバイダサーバは、ランダム数をデバイスへ送信する。ランダム数は、第2のユーザデバイスへ転送され、第2のユーザデバイスは、これを認証サーバへ送信する。認証サーバは、第2のデバイスへプロバイダ認証ポリシ要件を送信し、かつさらに、他の情報を送信する。第2のデバイスは、ユーザ検証情報を認証サーバへ送信する。認証サーバは、送信された検証情報がサービスプロバイダの認証ポリシ要件に一致することを決定し、ユーザを認証するためにこの検証情報を、格納されたユーザの検証情報と比較する。第2のデバイスは、ユーザ認証情報で署名された、ランダム数および他の情報を含むメッセージを認証サーバへ送信する。認証サーバは、認証の通知および署名入りメッセージをプロバイダサーバへ送信する。【選択図】図3

Description

本発明は、認証に関する。より具体的には、本発明は、マルチパーティシステムにおけるマルチレベル認証を安全にしかつ単純化することに関する。
現時点で、インターネット認証は、パスワードに基づく認証を行っているが、パスワードおよびパスワードシステムは、不確かで、解明、想像が容易であり、かつ覆されやすい。パスワードの安全は、1)ユーザが自らのパスワードを記憶していること、および2)攻撃者がパスワードへアクセスしないこと、に依存している。インターネット上では、より安全なパスワードは記憶しにくいという理由で、「12345」のようなありふれたパスワードがかなりの比率のユーザによって使用されている。他に、システムの安全性を高めるために試行されている解決手段には、ワンタイムパスワード(OTP)が含まれるが、これは、帯域外方法(典型的には、トークン発生器が発送される前に、ユーザがコードを打ち込む、またはセットアッププロセスが実行される)を用いて、時間ベースである一回限りのトークンを生成する。最近まで、OTPは、ハードウェアトークンによって生成されていて、ユーザへ供給するには高価であった。最近の改善によって、OTPは、モバイルデバイス上で、ユーザが幾つかのシード数を記入することにより初期化されるソフトウェアアプリケーションとして配信されることが可能になっている。OTPは、推測可能なパスワードおよびブルート・フォース・アタックに対する防護を提供しているが、それでもなお、ウィンドウ内での再使用および盗用といった幾つかの攻撃を受けやすい(シードマテリアルが盗まれれば、誰でもOTPを生成することができる)。他の、より強力な安全オプションは、「秘密」データ(即ち、秘密鍵)がユーザ制御を絶対に外れないことから恩恵が多大である公開/秘密鍵に依存する公開鍵インフラ(PKI)であるが、PKIシステムは、典型的には、極めて複雑であって実施が困難であり、よって、巨大組織でしか使用されず、かつ鍵の無効化、各ユーザの設定、および期限切れ他になった場合の鍵の管理、といった多くのオーバーヘッド問題を引き起こす。
認証の安全性を高めることに加えて、より優れた認証システムは、ユーザにとって容易なものであるべきである。追加の安全質問の使用、より長いパスワードの作成、他による、OTP、PKIのようなありふれた安全強化は、ユーザ側をより複雑にする。ユーザは、詐欺行為を防止するための自身の認証データの管理も任されながらもシステムを単純に使用することができ、かつユーザ自身の選好に基づいて異なる認証強度を選択することができることが理想的である。スマートフォンおよび他のユーザデバイスの性能は拡大し、今では、セッション/認証データをチャネル間で、例えばブラウザとスマートフォンとの間で転送することが可能である。これにより、安全な認証をより強化することができるようになる。
本発明の所定の態様によれば、複数の異なるユーザは何れも、複数の異なるネットワーク・サービス・プロバイダの何れに対しても、例えばインターネットであるネットワークを介して認証されることが可能である。
システムは、Qサーバと称されることもある認証サーバを含み、かつサーバクラスタの形式である可能性もある。認証サーバは、例えば銀行、ブローカー、商業者、他である複数の異なるサービスプロバイダの各々のプロバイダ識別子を、該当するサービスプロバイダのプロバイダ認証ポリシ要件に関連づけて格納するために、例えばソフトウェアでプログラムされる論理によって構成される。プロバイダ認証ポリシ要件は、ユーザを認証するために1つまたは複数のファクタが使用され、この場合の第1のファクタは認証情報であり、かつ他のファクタは検証情報であることを要求してもよい。任意のファクタには、例えば、パスワード、誕生日等の他の知識ベースデータ、トークンおよび/または生体データが含まれてもよい。認証サーバは、アプリケーションユーザの検証情報に関連づけて、複数の異なるユーザの各々の1つまたは複数のユーザ識別子も格納する。
パーソナル、ラップトップまたはタブレットコンピュータ、またはスマートフォン等のスマートモバイル通信デバイス等の第1のデバイスは、複数の異なるユーザのうちの第1のユーザにより操作可能であって、ネットワークを介して複数の異なるサービスプロバイダのうちの第1のサービスプロバイダへログイン要求を送信するための論理で構成される。第1のサービスプロバイダに関連づけられるネットワークサーバは、ログイン要求を受信し、かつネットワークを介して認証サーバへランダム数要求を送信しかつ場合により、他のランダム数である可能性もありかつ活性idとして特徴づけられることもある他の情報を送信するための論理で構成される。認証サーバは、さらに、送信されたランダム数要求に応答して、ランダム数を、ネットワークを介してネットワークサーバへ送信するように構成される。ネットワークサーバは、さらに、送信されたログイン要求に応答して、認証サーバから受信されたランダム数を、ネットワークを介して第1のデバイスへさらに送信するように構成される。効果的には、ランダム数は、セッション識別子として機能することが可能である。
第1のデバイスと同じデバイスであってもよく、異なるデバイスであってもよい第2のデバイスは、第1のユーザによって操作され、かつ第1のデバイスにより受信されたランダム数であって、前記さらに送信されたランダム数(即ち、ネットワークサーバにより第1のデバイスへ送信されたランダム数)を第2のデバイスへ転送する入力を受信するように構成される。実施態様によっては、第1のデバイスは、効果的には、前記さらに送信されたランダム数、即ちネットワークサーバにより第1のデバイスへ送信されたランダム数、を視覚的に表示するようにさらに構成されてもよい。このような場合、前記さらに送信されたランダム数は、光学コードの形式であることが特に効果的であり得る。そうであれば、第2のデバイスは、効果的にはカメラを含み、かつ受信される入力であって、前記さらに送信されたランダム数を転送する入力は、カメラを介して、提示された光学コードのデジタル画像として受信されることが可能である。あるいは、実施態様によっては、第1のデバイスは、さらに、ネットワークサーバから受信されるランダム数であって、前記さらに送信されたランダム数を印刷するように構成されることが特に効果的である場合がある。そうであれば、第2のデバイスは、効果的にはカメラを含み、かつ受信される入力であって、前記さらに送信されたランダム数の入力は、カメラを介して、印刷されたランダム数のデジタル画像として受信されることが可能である。さらに他の実施態様において、ランダム数は、他の方法を介して、例えばオーディオコードまたは近距離無線通信によって、さらに転送されてもよい。ある代替的な実施態様において、ランダム数は、認証サーバによって生成され、かつ例えばログインまたは登録を開始するために、認証サーバから第2のユーザデバイスへ直に送信されることが可能である。このような場合、第1のデバイスから第2のデバイスへランダム数を転送する必要はない。
また、第2のデバイスは、ネットワークを介して認証サーバへ、入力されたランダム数および第1のユーザからの認証要求を送信するようにも構成される。即ち、ランダム数は、認証サーバからネットワークサーバ、第1のユーザデバイスへ送信され、次いで第2のユーザデバイスへ入力されて認証サーバへ送信し返される。第2のユーザデバイスは、好ましくは、Qappと称されることもあるアプリケーションを用いる必要な論理によって構成される。
第2のデバイスによるランダム数および認証要求のこの送信および受信の後、認証サーバは、さらに、ネットワークを介して第2のデバイスへ、格納された第1のプロバイダの識別子、場合によりもともとネットワークサーバにより認証サーバへ送信された他の情報、および格納されかつ関連づけられた第1のプロバイダの認証ポリシ要件を送信するように構成される。第2のデバイスは、さらに、送信された第1のプロバイダの認証ポリシ要件に応答して、第1のユーザの識別子およびユーザが入力した検証情報を送信するように構成される。送信された検証情報が、送信された第1のプロバイダの認証ポリシ要件の受信前、または受信後に、ユーザによって第2のデバイスへ入力され得ることは認識されるであろう。受信前であれば、第2のデバイスは、典型的には、入力された検証情報を格納し、次にこれを、必要に応じて、認証サーバから受信される該当プロバイダ認証要件に基づいて検索する。
認証サーバは、さらに、送信された第1のユーザの識別子を格納された第1のユーザの識別子と照合し、かつ送信された検証情報が格納された第1のサービスプロバイダの認証ポリシ要件に一致することを決定するように構成される。例えば、ポリシ要件が声紋を要求しているにも関わらず指紋が提供される場合、一致は存在せず、よって、送信された検証情報は格納されたポリシ要件に一致しない、という決定が下される。同様に、ポリシ要件はパスワードおよびトークンを要求しているが、パスワードしか提供されなければ、一致は存在しない。認証サーバは、第1のユーザを認証するために、送信された検証情報を、先に、例えば第1のユーザの登録中に認証サーバへ提供されて第1のユーザの識別子に関連づけて格納されている検証情報と比較する。例えば、認証サーバは、第1のユーザを認証するために、送信されたパスワードおよびデジタル写真を、第1のユーザの識別子に関連づけて格納されているパスワードおよびデジタル写真と比較する場合もある。
第2のデバイスは、さらに、ネットワークを介して認証サーバへ、ネットワークサーバと共有される第1のユーザの認証情報で署名され、(第1のユーザデバイスにより受信されて第2のユーザデバイスへ入力された)ランダム数および(認証サーバから受信された)前記さらに送信された他の情報を含むメッセージを送信するように構成される。認証サーバは、さらに、ネットワークを介してネットワークサーバへ、第1のユーザの認証の通知を送信し、かつさらに第2のデバイスによって先に送信された署名入りメッセージを送信するように構成される。認証情報が認証サーバとも共有されれば、認証サーバは、次に、第2のデバイスによって送信された署名入りメッセージへ認証情報を適用してランダム数および他の情報を検査し、かつこれにより、さらに第1のユーザを認証することができる。
第1のユーザの認証情報は、最も典型的には、複数の異なるサービスプロバイダのうちの第1のプロバイダのみに関連づけられて他のサービスプロバイダには関連づけられない第1のユーザの認証情報であることは理解されるべきであるが、これは、必ずしも必須ではない。実施態様によっては、第2のデバイスは、さらに、ネットワークを介して認証サーバへ第1のユーザの認証情報を送信するように構成されることが有利となる。このような場合、認証サーバは、さらに、送信された第1のユーザの認証情報を第1のユーザの識別子に関連づけて格納するように、かつ第1のユーザをさらに認証するために、第2のデバイスから受信した、送信された署名入りメッセージにおけるランダム数および他の情報を、格納されている第1のユーザの認証情報を受信された署名入りメッセージへ適用することによって、検査するように構成される。さらに、ユーザ認証情報が公開/秘密鍵ベースであって認証サーバと共有される場合、認証サーバは、各ネットワークエンティティが署名および証書を、暗号化された通信がネットワークサーバまで流れる前に検証することを手助けすることもできる。これにより、認証サーバは、正規のユーザおよびプロバイダのみが通信できかつ保証する通信が端から端まで暗号化されることを保証する中間PKI管理ポータルとして行動することができる。
効果的には、署名入りメッセージの内容を検証するために使用される格納された第1のユーザの認証情報は、第1のユーザの秘密/公開鍵ペアのうちの公開鍵である。そうであれば、第1のユーザの秘密/公開鍵ペアのうちの秘密鍵は、好ましくは第1のユーザにのみ知られ、かつ送信される署名入りメッセージは、秘密鍵で署名される。このような場合、認証サーバは、ネットワークを介してネットワークサーバへ、認証の通知および受信された署名入りメッセージと共に証書を送信する。証書は、第1のユーザの公開鍵を含み、かつ認証サーバの秘密/公開鍵ペアのうちの秘密鍵で署名される。好ましくは、第1のユーザの秘密/公開鍵ペアは、複数のサービスプロバイダのうちの第1のプロバイダのみに関連づけられかつ他のプロバイダには関連づけられない秘密/公開鍵ペアである。
少なくとも幾つかの実施態様においては、認証サーバに、第2のユーザデバイス上に格納された認証情報の安全性において1つの役割を果たさせることが望ましい場合がある。このような実施態様において、第2のデバイスは、さらに、第1のユーザの秘密データを生成し、秘密データを複数の部分に分割し、第1のユーザの認証情報を秘密データで暗号化し、暗号化された認証情報を格納し、かつ複数の秘密データ部分のうちの第1の部分を、ネットワークを介して認証サーバへ送信するように構成される。認証サーバは、さらに、送信された第1の秘密データ部分を格納し、かつ検証情報に基づいて第1のユーザを認証した後に、格納された第1の秘密データ部分を、ネットワークを介して第2のデバイスへ送信するように構成される。第2のデバイスは、さらに、認証サーバによって送信された第1の秘密データ部分を他の秘密データ部分と結合して秘密データ全体を取得し、かつ取得された秘密データで、格納されている暗号化された認証情報を復号するように構成される。このような場合、署名入りメッセージは、復号された認証情報で署名される。
第1のユーザの認証情報が認証サーバによって格納されるか否かに関わらず、大部分ではなくとも多くの実施態様において、認証サーバは、さらに、第1のユーザの認証情報が危険に曝されているという通知を受信して受け付け、かつこの通知の受信に応答して、第1のユーザの認証情報を無効にするように構成されることが好ましい。例えば、第1のユーザの認証情報は、盗まれた、またはハッキングされたという理由で、または第2のユーザデバイスが紛失または盗まれたという理由で危険に曝される可能性もある。認証サーバは、格納されている認証情報を削除する、またはフラグ付けすること、またはユーザ識別子を、その識別子に関連づけられる格納されていない認証情報は無効であるという表記とともにフラグ付けすることによって、認証情報を無効にしてもよい。
認証情報が危険に曝されているとして報告されかつ無効にされた後、第1のデバイスは、ネットワークを介して第1のサービスプロバイダへ他のログイン要求を送信し続けてもよい。このような場合、ネットワークサーバは、ネットワークを介して認証サーバへ、他のランダム数(以下、本セクションにおいて第2のランダム数と称する)を求める他の要求を送信し、かつさらに他の情報(以下、本セクションにおいて第2の他の情報と称する)も送信する。認証サーバは、送信された要求に応答して第2のランダム数を、ネットワークを介してネットワークサーバへ送信し、かつネットワークサーバは、さらに、送信された他のログイン要求に応答して、認証サーバによって先に送信された第2のランダム数を、ネットワークを介して第1のユーザデバイスへ送信する。
第2のデバイス、または第2のデバイスが盗まれていれば代替品である第2のデバイスは、ネットワークサーバにより第1のユーザデバイスへ先にさらに送信されていた第2のランダム数を、今回は第2のデバイスへ転送する入力を、再度受信し、かつ入力された第2のランダム数および第1のユーザの他の認証要求を、ネットワークを介して認証サーバへ送信する。この送信の後、認証サーバは、再度、格納されている第1のプロバイダ識別子、場合によりネットワークサーバにより自身に送信された第2の他の情報、および格納されかつ関連づけられている第1のプロバイダの認証ポリシ要件を、ネットワークを介して第2の、または代替デバイスへ送信する。再度送信された第1のプロバイダの認証ポリシ要件に応答して、第2の、または代替デバイスは、再度、第1のユーザの識別子およびユーザが入力した検証情報を送信する。認証サーバは、再度送信された第1のユーザの識別子を格納された第1のユーザの識別子と照合し、再度送信された検証情報が、格納された第1のサービスプロバイダの認証ポリシ要件に一致することを決定し、かつ第1のユーザを認証するために、再度送信された検証情報を第1のユーザの識別子に関連づけて格納されている検証情報と比較する。しかしながら、認証サーバが危険に曝されたユーザ認証情報を無効にするように構成される実施態様では、認証サーバは、ここで、格納されている第1のユーザの認証情報が無効であると決定するようにも構成される。認証サーバは、さらに、格納されている第1のユーザの認証情報が無効であると決定した後、ネットワークを介して第1のサービスプロバイダへ、検証情報に基づく第1のユーザの認証の通知、および第1のユーザの認証情報の無効性の通知を送信するようにも構成される。
認証サーバは、効果的にはさらに、格納されている第1のユーザの認証情報が無効であると決定した後、ネットワークを介して第2の、または代替ユーザデバイスへ、代替認証情報要求を送信するように構成されてもよい。このような場合、第2の、または代替デバイスは、さらに、送信された要求に応答して代替認証情報を、ネットワークを介して認証サーバへ送信するように構成される。認証情報が公開/秘密鍵であれば、認証サーバは、さらに、受信された代替認証情報の証書を生成し、かつネットワークを介して第2のデバイスへ、生成された証書を第1のサービスプロバイダによる第1のユーザの登録に使用するために送信するように構成される。先に述べたように、認証サーバは、認証情報を格納するようにも構成されてもよく、この場合、認証サーバは、送信された代替認証情報を第1のユーザの識別子に関連づけて格納する。
第2の、または代替デバイスは、ネットワークを介して認証サーバへ、第1のユーザの代替認証情報で署名された、第2のランダム数および第2の他の情報を含む他のメッセージを送信することによって、ログインプロセスを継続する。認証サーバは、先に論じたような実施態様に依存して、格納されている第1のユーザの代替認証情報を、受信された他の署名入りメッセージへ適用することにより、第2のランダム数および第2の他の情報を検査して第1のユーザをさらに認証する場合もあれば、このような検査およびさらなる認証を実行しない場合もある。しかしながら、認証サーバがメッセージの内容を検査するか否かに関わらず、認証サーバは、典型的には、第1のユーザの認証通知および他の署名入りメッセージの双方を、ネットワークを介してネットワークサーバへ送信する。
また、ユーザは、複数の他のネットワークエンティティに対する認証に使用される単一の認証情報を有する場合もあれば、複数の他のネットワークエンティティのうちの各々に対する認証のための異なる認証情報を有する場合があることも理解されるべきである。異なる認証情報が使用されれば、第2のデバイスは、さらに、複数の認証情報、潜在的には各プロバイダにおけるアカウント毎に1つの認証情報を格納するように、かつ特有のアカウントまたはプロバイダサービスへアクセスする際に適正な認証情報を用いるように実行される。
このような場合、第1のデバイスは、他のログイン要求を、ネットワークを介して第2のサービスプロバイダへ送信する。複数の異なるサービスプロバイダのうちの第2のサービスプロバイダに関連づけられる他のネットワークサーバは、ネットワークを介して認証サーバへ、他のランダム数(以下、本セクションにおいて第3のランダム数と称する)の要求を送信し、かつさらに他の情報(以下、本セクションにおいて第3の他の情報と称する)も送信するように構成される。認証サーバは、送信されたランダム数要求に応答して第3のランダム数を、ネットワークを介して他のネットワークサーバへ送信する。他のネットワークサーバは、さらに、送信された他のログイン要求に応答して、送信された第3のランダム数を、ネットワークを介して第1のデバイスへ送信する。
第2のデバイスは、さらに送信された第3のランダム数、即ち他のネットワークデバイスによって第1のユーザデバイスへ送信された第3のランダム数、を第2のデバイスへ転送する入力を受信し、かつ入力された第3のランダム数、場合により他のネットワークサーバによって送信された第3の他の情報、および第1のユーザの他の認証要求を、ネットワークを介して認証サーバへ送信する。この後、認証サーバは、格納されている第2のプロバイダ識別子、および格納されてかつ関連づけられた第2のプロバイダの認証ポリシ要件を、ネットワークを介して第2のデバイスへ送信する。
第2のデバイスは、送信された第2のプロバイダの認証ポリシ要件に応答して、第1のユーザの他の識別子、およびユーザが入力した他の検証情報を、ネットワークを介して認証サーバへ送信する。先に述べたように、プロバイダ認証ポリシ要件は、認証のために、パスワード、他の知識ベースデータ、トークンおよび/または生体データ等の1つまたは複数のファクタを要求する。認証サーバは、送信された第1のユーザの他の識別子を格納されている第1のユーザの他の識別子と照合し、もしあれば送信された他の検証情報が、格納されている第2のサービスプロバイダの認証ポリシ要件に一致することを決定する。認証サーバは、第1のユーザを認証するために、もしあれば送信された他の検証情報と、もしあれば第1のユーザの他の識別子に関連づけて格納されている検証情報との比較も行う。
第2のデバイスは、第1のユーザの他の認証情報で署名された他のメッセージであって、送信された第3のランダム数およびさらに送信された第3の他の情報、即ち認証サーバによって第2のデバイスへ送信された第3の他の情報、を含む他のメッセージを、ネットワークを介して認証サーバへ送信する。認証サーバは、次に、ネットワークを介して他のネットワークサーバへ、第1のユーザの認証の他の通知を送信し、かつさらに、受信された他の署名入りメッセージを送信する。
全てではないとしても幾つかの実施態様においては、ユーザがユーザ独自の認証ポリシ要件を確立できることも、それが該当プロバイダのそれに劣らず厳しいものである限り、また、好ましい場合がある。このような実施態様においては、かつ、先に述べた第1のユーザによる第1のサービスプロバイダへのログインから再度判断すると、第2のデバイスは、さらに、第1のユーザの認証ポリシ要件を、ネットワークを介して認証サーバへ送信するように構成される。
認証サーバは、さらに、送信された第1のユーザの認証ポリシ要件を格納し、格納されている第1のプロバイダの認証ポリシ要件を、格納された第1のユーザの認証ポリシ要件と比較し、かつこの比較に基づいて、任意の追加的な認証ポリシ要件を決定するように構成される。また認証サーバは、さらに、決定された任意の追加的な認証ポリシ要件を、ネットワークを介して第2のデバイスへ、第1のプロバイダの認証ポリシ要件と共に送信するようにも構成される。また認証サーバは、さらに、第2のデバイスにより送信された検証情報が、決定された任意の追加的な認証ポリシ要件に一致することを決定するようにも構成される。したがって、第1のユーザの第1のプロバイダへのログインにおいて、認証サーバがこのように構成されていれば、受信された検証情報は、任意の追加的な認証ポリシ要件に一致する検証情報を含むことになり、これもまた、第1のユーザを第1のプロバイダに対して認証するために、格納されている検証情報と比較される。
所定の実施態様においては、トランザクション承認を準備することが有益である場合がある。このような実施態様では、ネットワークサーバは、さらに、ネットワークを介して認証サーバへ、第1のサービスプロバイダの識別子、トランザクション識別子、認証要件およびトランザクションに関するメッセージを送信するように構成される。メッセージは、認証情報を用いて、例えば第1のユーザの秘密/公開鍵ペアのうちの公開鍵を用いて暗号化される。先に述べたように、第1のユーザの秘密/公開鍵ペアのうちの秘密鍵は、第1のユーザにのみ知られる。メッセージは、第1のサービスプロバイダの秘密/公開鍵ペアのうちの秘密鍵で署名もされる。第1のサービスプロバイダの秘密/公開鍵ペアのうちの公開鍵は、第1のユーザに知られている。
認証サーバは、さらに、ネットワークを介して第2のデバイスへ、送信されたトランザクション識別子、トランザクション承認、および認証情報および検証情報要件等の認証要件、および暗号化された署名入りメッセージをさらに送信するように構成される。これに応答して、第2のデバイスは、さらに、トランザクション承認、および送信された認証要件を満たすことが要求される場合には検証情報、を、ネットワークを介して認証サーバへ送信するように構成される。
認証サーバは、さらに、受信されたトランザクション承認および任意の受信された認証情報に基づいて、識別されたトランザクションが第1のユーザによって承認されること、かつ要求されれば、例えば検証情報に基づいて第1のユーザが真正であることを決定するように構成される。また認証サーバは、さらに、この決定の通知を、ネットワークを介してネットワークサーバ、または第1のデバイスへ、もしくは双方へ送信するようにも構成される。
実施態様によっては、認証サーバは、プロバイダによるユーザの登録に関与することが望ましい場合がある。このような実施態様においては、認証サーバは、さらに、複数の異なるサービスプロバイダの各々のプロバイダ識別子を、該当するサービスプロバイダのプロバイダ・登録データ要件に関連づけて格納するように構成される。
第2のデバイスは、さらに、ユーザが入力したユーザ識別セット、ユーザが入力した登録データ、および受信された識別セットにおける個々の識別に関連づけられるべき入力された登録データのうちでユーザが選択した特定のデータ、を受信するように構成される。また第2のデバイスは、さらに、個々の識別を、その識別に関連づけられるべく選択された特定の登録データに関連づけて格納するようにも構成される。
第1のデバイスは、さらに、ネットワークを介して登録要求をネットワークサーバへ送信するように構成される。ネットワークサーバは、さらに、ネットワークを介して認証サーバへ、他のランダム数(以下、本セクションにおいて第4のランダム数と称する)の要求を送信するように構成される。認証サーバは、さらに、送信された他のランダム数の要求に応答して、第4のランダム数を、ネットワークを介してネットワークサーバへ送信するように構成される。
ネットワークサーバは、さらに、送信されたログイン要求に応答して、送信された第4のランダム数を、ネットワークを介して第1のデバイスへさらに送信するように構成される。第2のデバイスは、さらに送信された第4のランダム数、即ちネットワークサーバによって第1のユーザデバイスへ送信された第4のランダム数、を第2のデバイスへ転送する入力を受信するようにさらに構成される。また第2のデバイスは、さらに、入力された第4のランダム数、および第1のサービスプロバイダによって登録されるべき第1のユーザの要求を、ネットワークを介して認証サーバへ送信するようにも構成される。これに応答して、認証サーバは、さらに、格納されている第1のプロバイダ識別子、および格納されてかつ関連づけられた第1のプロバイダの登録データ要件を、ネットワークを介して第2のデバイスへ送信するように構成される。
第2のデバイスは、場合により、さらに、格納されているユーザ識別のうちの1つを選択するユーザ入力を受信し、かつ選択されて入力された識別の受信に応答して、選択されたユーザ識別に関連づけて格納されている特定の登録データを自動的に検索するように構成される。その他、第2のデバイスは、第1のプロバイダが用いるべきユーザ識別のユーザ入力、および必要な登録データを受信するように構成される。また第2のデバイスは、さらに、検索された、または入力された登録データを、ネットワークを介して認証サーバへ送信するようにも構成される。認証サーバは、さらに、送信された登録データが、格納されている第1のサービスプロバイダの登録データ要件に一致することを決定するように、かつ第1のサービスプロバイダによって第1のユーザを登録するために、送信された登録データを、ネットワークを介してネットワークサーバへさらに送信するように構成される。
第2のデバイスは、さらに、第1のプロバイダによって使用されるべき新しい認証情報を、認証サーバを介してネットワークサーバへ送信するように構成される。送信される認証情報がユーザの秘密/公開鍵ペアのうちの公開鍵であるような事例では、第2のデバイスは、認証サーバへ証書要求も送信する。これに応答して、認証サーバは、認証サーバの秘密/公開鍵ペアのうちの秘密鍵でユーザの公開鍵に署名することにより、証書を生成する。認証サーバは、次に、証書を第2のデバイスへ送信する。ユーザの秘密/公開鍵ペアのうちの秘密鍵は、ユーザにのみ知られること、および認証サーバの秘密/公開鍵ペアのうちの公開鍵は、ユーザおよび第1のプロバイダの双方に知られることは、認識されるであろう。
所定の実施態様において、認証サーバは、プロバイダ認証情報の証書権限保有機関として行動することが望ましい場合がある。このような実施態様において、ネットワークサーバは、さらに、登録要求および第1のサービスプロバイダの秘密/公開鍵ペアのうちの公開鍵を、ネットワークを介して認証サーバへ送信するように構成される。第1のサービスプロバイダの秘密/公開鍵ペアのうちの秘密鍵は、ネットワークサーバにのみ知られる。認証サーバは、さらに、送信された第1のプロバイダの公開鍵を格納し、かつ認証サーバの秘密/公開鍵ペアのうちの秘密鍵で署名された、第1のプロバイダの公開鍵を含む証書を、ネットワークを介してネットワークサーバへ送信するように構成される。認証サーバの秘密/公開鍵ペアのうちの公開鍵は、ネットワークサーバに知られている。
認証サーバが証書権限保有機関として行動する実施態様において、または他の所定の実施態様において、認証サーバは、ユーザ認証情報の証書権限保有機関として行動することが望ましい場合がある。これらの実施態様において、第2のデバイスは、さらに、登録要求および第1のユーザの秘密/公開鍵ペアのうちの公開鍵を、ネットワークを介して認証サーバへ送信するように構成される。第1のユーザの秘密/公開鍵ペアのうちの秘密鍵は、第2のデバイスにのみ知られる。認証サーバは、さらに、送信された第1のユーザの公開鍵を格納し、かつ認証サーバの秘密鍵で署名された、第1のユーザの公開鍵を含む証書を、ネットワークを介して第2のデバイスへ送信するように構成される。認証サーバの秘密/公開鍵ペアのうちの公開鍵は、第2のデバイスに知られている。
本発明の上述の態様が、ハードディスク、コンパクトディスクまたは他のタイプのディスク、またはメモリ等の非一時的記憶媒体上に格納される、プログラムされたアプリケーションまたはapp等の例えばソフトウェア形式である論理であって、プロセッサによって読取り可能であるように構成され、故に上述の機能および/または動作を実行するようにプロセッサを動作させる論理を用いて実施され得ることは理解されるべきである。また、本発明の上述の態様は、上述の機能および/または動作を実行するための論理を伴って構成されるプロセッサと、プロセッサの指令通りにデータを格納するように構成される、例えばディスクまたはメモリであるデータストアとを有する、クラスタ内に複数のサーバを含むネットワークサーバ上、または適宜スマート通信デバイス上で実施され得ることも理解されるべきである。
当業者には、以後の詳細な説明を含む本開示から、ならびに本発明の実施によって、本発明のさらなる目的、優利な点および新規特徴が明らかとなるであろう。以下、本発明の説明を、特定の実施形態を参照して行うが、本発明がこれらの実施形態に限定されないことは理解されるべきである。本明細書に記載される教示内容へアクセスする一般的な当業者には、追加的な実施、変更および具現化、ならびに他の利用分野が認識されるであろうが、これらは、本明細書において開示されかつ請求の範囲に記載された本発明の範囲に含まれ、かつ本発明は、これらに関して重要な効用を有する。
これらの図面は各々、描写しているシステムの実施形態例を表している。
図1は、主要なアーキテクチャ構成部品を例示する。 図2は、ログイン画面の一例を例示する。 図3は、ユーザ(ブラウザおよび携帯電話の双方)と、認証サーバと、ネットワークプロバイダとの間の通信を例示する。 図4は、モバイル・ユーザ・デバイス上の主要サブシステムを例示する。 図5は、認証サーバ上の主要サブシステムを例示する。 図6は、分割鍵システムおよびハイレベル・データ・フローを例示する。 図7は、ユーザと、認証サーバと、プロバイダとの間の相互作用の例を例示する。 図8は、システム内の様々なデータのためのデータ制御エリアを例示する。 図9は、ユーザ(ブラウザおよび携帯電話の双方)と、認証サーバと、ネットワークプロバイダとの間の通信を例示する。 図10は、紙ベースの登録プロセスの例を例示する。 図11は、通知システムの通信フローの例を例示する。
概観
第1の認証フレームワーク
本発明の態様によれば、ネットワーク接続を有するユーザのモバイルデバイス、例えばスマートフォン400またはタブレットと、様々な暗号および認証オペレーション101を実行することができるソフトウェアアプリケーションとを含む認証フレームワーク、図1参照、が提供される。また、ウェブサイトまたは端末サーバのようなネットワークサービス103も含まれる。アクセスソフトウェアは、ウェブブラウザ102のようなネットワークサービスに繋がるために使用され、よってモバイルデバイス上に、またはデスクトップまたはラップトップのような二次デバイス上に存在してもよい。アクセスソフトウェアは、ユーザにより提供される認証情報が、現在のネットワークサービスに関するものであることを検証するための情報を含む安全データを、ユーザのモバイルデバイスへ確実に送信できる信用のある構成部品を有してもよい。アクセスソフトウェアの信用のある構成部品は、ブラウザプラグインであってもよい。信用のある構成部品により提供される安全情報には、ネットワークサーバのアドレスまたはURL(ウェブサービスの場合)がさらに含まれてもよい。認証サーバ100は、ネットワークへ取り付けられ、よってネットワークサービス、アクセスソフトウェアおよびモバイルデバイスによる到達が可能である。
アクセスソフトウェアとモバイルデバイスのソフトウェアとの間の、走査されるQRコードまたは近距離無線通信システムのような第1の転送接続部106は、認証セッション識別子(ID)を転送するために使用され、かつセッションを起動するための追加情報を含んでもよい。第1の転送接続部は、同じネットワークサービスへ接続しているアクセスソフトウェアとモバイル・ソフトウェア・アプリケーションとの間の検証を可能にするより完全な通信チャネル(例えば、ブルートゥース、近距離無線、USB接続、他)によって増強されてもよい。第1の転送接続部上で受信されるセッションIDは、QRコードの光学ディスプレイを介して転送されてもよい。その場合、セッションIDの評価は、QRコードをカメラで読み取ることと、QRコードを復号することを含んでもよい。
モバイル・デバイス・ソフトウェアと認証サーバとの間の第2の転送接続部107は、セッションの活性に関する安全チェックの転送を実行し、かつユーザの認証情報およびネットワークサービスをチェックする。認証サーバは、詐欺行為および異常検出システム504を含んでもよい。ユーザの認証情報は、公開/秘密鍵システムを用いる非対称公開鍵暗号化に基づくものであってもよく、ユーザの認証情報は、アクセスされるネットワークサービスに固有のものであってもよい。
認証の間に公開/秘密鍵システムが使用される場合、これは、認証サーバとネットワークサービスとの間の認証、および認証サーバとユーザ・モバイル・ソフトウェアとの間の認証を可能にする通信鍵/証書セットを含んでもよい。また、これは、ユーザとネットワークサービスとの間の認証を可能にするユーザ検証鍵/証書セットも含んでもよい。また、ユーザ検証鍵セットは、ユーザ間の検証鍵、および複数のサービスを通じて用いるための単一の鍵/証書、またはユーザ−サービスペア毎の固有の鍵、も含んでもよい。
さらに、認証サーバは、認証データを検証しかつ期限切れ、紛失その他無効の証書に対処するプロセスを決定するために使用されることも可能である。また、認証サーバは、詐欺行為検出および監査を実行してもよい。最後に、認証サーバにより、1つまたは複数の証書署名権限保有機関が包含され、かつ証書を承認するために使用されることも可能である。好ましくは、証書署名権限保有機関は3つ、即ち、ネットワークサービスの認証情報のためと、ネットワークサービスに対するユーザの認証情報のためと、認証サーバに対するユーザの認証情報のため、の3つが使用される。紛失した認証情報に対処するプロセスには、紛失した認証情報を無効化することが含まれてもよい。
安全チェックは、さらに、生体データ、トークンベースの認証データまたは知識ベースの追加的ファクタ等の追加の認証ファクタを含んでもよい。生体データがこれらのファクタのうちの1つであれば、これは、デバイス上のカメラを用いる手認識、ユーザ・モバイル・デバイスへ取り付けられたデバイスから収集される生体データ、USB指紋スキャナを用いる指紋認識を含むことも可能である。使用される追加的な認証ファクタは、パスワードおよび/または個人識別番号(PIN)等の知識ベースの質問、または事前登録の電話番号のような検査可能な特性を含むことも可能である。使用される追加的な認証ファクタは、取り付けられたカードリーダで読み取られるスマートカード、近距離無線を介してアクセスされる安全なデータトークン、および/またはモバイルデバイスのSIMカードから読み取られるデータ等の、モバイルデバイス上のトークン、またはモバイルデバイスへ取り付けられたトークンの何れかを含むことも可能である。
アクセスソフトウェアへの第3の転送接続部は、ユーザ認証が完了した時点をアクセスソフトウェアが認識できるようにし、よってアクセスソフトウェアと、認証サービス105またはネットワークサービス108の何れかとの間に存在してもよい。アクセスソフトウェアは、認証が完了すると、ログイン状態へ自動的に移動してもよい。
第2の認証フレームワーク
この認証フレームワークは、ネットワークを通じた様々なサービスと、これらのサービスのユーザとを含み、これらは、ユーザによる通信を可能にする様々な認証情報を有する。ユーザは、人ではなく、自動化されたプロセスである可能性もある。また、どのユーザサービス認証情報が有効であるか、紛失しているか、または期限切れであるかを示す、かつログインが許可されるかどうかの決定に使用可能な認証データも含まれる。関係者間の通信用に提供されるシステムは、伝統的なネットワークプロトコル、プロキシまたはリバースプロキシを含んでもよい。
また、1つまたは複数の階層的認証サーバも提供され、この階層的認証サーバの最上層は、個々の認証要求を、認証されるサービスに基づいて下位のレベルまたは層へリダイレクトすることができる。各認証サーバは、認証データを用いて、ユーザ認証情報がまだ有効かどうかに関する決定を下すことができる。階層的認証サーバは、認証要求を1つのサーバまたはサーバクラスタが処理する単一レベルのサーバであってもよい。下位層のサーバは、所望されれば、ファイアウォールまたは周辺ネットワークゲートウェイの背後に存在し、かつローカルまたは組織内ネットワーク上のサービスを扱うことも可能である。ログインは、例えば、認証情報が紛失としてマーキングされていて、もはや有効でない、という理由で拒絶されてもよい。
第3の認証フレームワーク
この認証フレームワークは、ウェブサイトまたは端末サーバのように、ネットワークへ接続される認証サーバと、到達可能なネットワークサービスとを含む。また、認証サーバ上にはユーザ認証情報セットも含まれ、その幾つかは、例えばユーザ認証情報が存在するデバイスは紛失している、という理由で無効とマーキングされてもよい。
アクセスソフトウェアは、ネットワークサービスへ到達するために使用される。ネットワークサーバと認証サーバとの間の通信システムは、ネットワークサービスに、ユーザは有効であるが、個々の認証情報は無効であるか、存在しないことを告げる。通信システムは、認証サーバから返されるAPIオブジェクト内のメソッドクエリであっても、認証情報の有効性を返すカスタムプロトコルであってもよい。
追加的検証のためにアクセスソフトウェアを登録またはアラートページへリダイレクトする際には、簡易方法が実施される。簡易リダイレクト方法は、登録ページへのウェブ・リダイレクト・メッセージであっても、登録を目的としてカスタムアプリケーションを開始するためのアンドロイドのようなアプリケーション間通信であってもよい。ユーザは、サイト上で登録する、またはサイト上で登録し直す必要があるという理由でリダイレクトされてもよく、この場合、ユーザの登録情報は、ユーザにより承認された予め設定されている識別情報で記載されることも可能である。図8を参照されたい。ユーザ識別情報は、ユーザ・モバイル・デバイス806上、または認証サーバ上に格納されてもよい。識別情報は、ユーザが複数の識別(業務用、個人用、他)を有してこれらから選択できるようにする識別セットに予めグルーピングされてもよい。
データ機密保護システム
また、暗号化および復号化のための対称鍵を用いる暗号データ格納ロケーション(キーストアまたはデータストア)を含む、モバイルデバイス上のデータを保護するためのシステムも提供される。図6を参照されたい。ユーザが入力した秘密データは、601で複数の部分に分割され、ユーザが入力した秘密データの一部は、605で対称復号鍵の第1の部分を入手するために局所的に使用される。ユーザが入力する秘密データは、パスワードまたはパスフレーズ、生体テンプレートまたはマッチ、またはユーザが描く画像であってもよい。ネットワーク到達可能サーバは、604において、ユーザが入力した秘密データの第2の部分を用いて、復号のための対称鍵の第2の部分を検索する。例えば、パスワードの半分を用いて復号鍵の半分を含むデータのローカルブロックを復号すること等によって、パスワードのこの半分をシステム・レベル・データと結合して復号鍵の半分を入手してもよい。例えばログイン試行の失敗数を限定し得るネットワークサーバ上の詐欺行為検出ポリシ603は、復号鍵の第2の部分に対する不審な要求に警告を出し、またはこれに応答する。
認証サーバ
図7を参照すると、各ユーザについて、どのサービスに対して認証情報を有するか、アクセスするにはどのタイプの認証が必要か、および認証情報が有効かどうか、を明記するデータセットを含む認証サーバ713も提供される。サービス毎に、認証サーバ711を用いて最低限の安全ポリシが指定される。ポリシ管理ソフトウェア700は、ユーザが、(i)サービスの最低限の仕様に適合する限り、特定のサービスまたはサービスセットへのアクセスに必要な認証のタイプを修正し、(ii)その認証情報を削除し、または(iv)その他、そのユーザデータと相互作用すること、を目的として、その固有のレコードを更新できるようにする。ポリシ管理ソフトウェアは、ユーザのモバイルデバイス上またはユーザがアクセスするウェブサイト上に存在してもよい。修正は、新しい認証ファクタの追加(例えば、ログインにはPINだけでなく顔も必要であることを明示する)、またはファクタのより正確または限定的なものへの変更(例えば、手認識ではなく顔認識を用いる)を含む可能性もある。
第4の認証フレームワーク
本発明の態様によれば、認証フレームワークは、ネットワーク接続と様々な暗号および認証オペレーションを実行することができるソフトウェアアプリケーションとを含む、ユーザのモバイルデバイスを含む。また、ウェブサイトまたは端末サーバのようなネットワークサービスも含まれる。アクセスソフトウェアは、ウェブブラウザのようなネットワークサービスに繋がるために使用され、よってモバイルデバイス上に、またはデスクトップまたはラップトップのような二次デバイス上に存在してもよい。認証サーバは、ネットワークへ接続され、よってネットワークサービス、アクセスソフトウェアおよびモバイルデバイスによって到達可能である。所望されれば、認証サーバは、詐欺行為および異常検出システムを含むことが可能である。図9を参照されたい。識別子902は、ブラウザへ供給されて、モバイルデバイスのソフトウェアアプリケーションを一意に識別する。識別子は、電話番号またはユーザ名のようなユーザ毎の固有値であることも可能である。
モバイルデバイスのソフトウェアアプリケーションと認証サーバとの間の第1の接続部は、セッションの活性の安全チェックと、ユーザおよびネットワークサービスの認証情報の転送とを実行する。ユーザの認証情報は、公開/秘密鍵システムを用いる非対称公開鍵暗号化に基づいてもよく、認証情報は、アクセスされているネットワークサービスに固有のものである可能性もある。安全チェックは、さらに、生体データ、トークンベースの認証データまたは追加的な知識ベースのファクタを含む、追加的な認証ファクタを含んでもよい。生体データは、ユーザのモバイルデバイスへ取り付けられるデバイスから収集されることも可能である。
アクセスソフトウェアへの第2の接続部は、認証が完了した時点をアクセスソフトウェアが認識できるようにする。第2の通信チャネルは、アクセスソフトウェアと認証サービスとの間であっても、アクセスソフトウェアとネットワークサービスとの間であってもよい。
第5の認証フレームワーク
この認証フレームワークは、ネットワーク接続と、様々な暗号および認証オペレーションを実行できるソフトウェアアプリケーションとを有する、ユーザのモバイルデバイスを含む。また、ウェブサイトまたは端末サーバのように、ネットワークサービスも含まれる。アクセスソフトウェアは、ウェブブラウザのようなネットワークサービスへ繋がるために使用され、よってモバイルデバイス上に、またはデスクトップまたはラップトップのような二次デバイス上に存在してもよい。認証サーバは、ネットワークへ接続され、よってネットワークサービス、アクセスソフトウェアおよびモバイルデバイスによって到達可能である。ブラウザセッションをモバイルデバイスのソフトウェアアプリケーションへ一意に結ぶための手段が提供される。これらの手段は、ブラウザから、QRコードの光学ディスプレイを介する等、光学コードを介してソフトウェアアプリケーションへ伝達されてもよい。この伝達の処理は、QRコードをカメラで読み取ること、およびQRコードを復号することを含むことも可能である。
モバイルデバイスのソフトウェアアプリケーションと認証サーバとの間の第1の接続部は、安全チェック、ユーザの認証情報およびネットワークサービスの転送を実行し、かつ安全なメッセージングチャネルを提供する。安全なメッセージングチャネルは、(i)ネットワークサービスからモバイルデバイスのソフトウェアアプリケーションへの一方向通信手段、または(ii)ネットワークサービスがモバイルデバイスのソフトウェアアプリケーションからの追加情報を問い合わせるための双方向通信手段であってもよい。安全なメッセージングチャネルは、暗号化されたメッセージデータ、承認要求またはポリシ情報のうちの1つまたはそれ以上を送信する能力を含む規定されたメッセージングプロトコルを有してもよい。
アクセスソフトウェアへの第2の接続部は、認証が完了した時点をアクセスソフトウェアが認識できるようにする。
認証登録システム
認証登録システムは、ネットワーク接続部と様々な暗号および認証オペレーションを実行できるソフトウェアアプリケーションとを有する、ユーザのモバイルデバイスを含む。図10を参照されたい。また、登録セッションを一意に識別するためのコード1008を含む、ネットワークサービス関連の個々のアカウントに関する印刷文書1000も含まれる。認証サーバは、ネットワークへ接続され、よってモバイルデバイスのソフトウェアアプリケーションおよびネットワークサービスによって到達可能である。モバイルデバイスのソフトウェアアプリケーションに対して、登録セッションを一意に識別するための手段が含まれる。これらの手段は、印刷文書からソフトウェアアプリケーションへ、QRコードを含む光学コードを介して伝達されてもよく、伝達の処理は、QRコードをカメラで読み取ることと、QRコードを復号することを含んでもよい。
モバイルデバイスのソフトウェアアプリケーションと認証サーバとの間の第1の接続部は、安全チェックおよびユーザの認証の転送を実行する。ネットワークサービスへの第2の接続部は、登録が完了した時点をネットワークサービスが認識できるようにする。
(実施の形態)
マルチパーティ認証システム
マルチパーティ認証システムは、ネットワーク・サービス・プロバイダ103に対してユーザを検証するために、本質的に信用できない認証プロバイダ100を用いる。システムは、様々なユーザ認証情報(例えば、公開/秘密鍵および証書)を保護しかつ保持する、モバイルタブレットまたはスマートフォン400のような信用のあるユーザデバイスを包含し、かつ、生体ベース、知識ベース(即ち、パスワード)およびトークンベースを含む、可変数および可変タイプの認証情報を収集することができる。認証サービス100は、WANに渡るリアルタイムのスケーラブル認証を可能にするユーザ駆動の設定および制御を提供し、かつ紛失鍵の回復および簡易登録または再登録を可能にする。
次に、図に例示されている実施形態の説明を詳細に参照する。実施形態の説明は、図面および関連の説明を参照して行うが、発明の範囲を本明細書に開示される実施形態に限定する意図はない。逆に、参照の意図は、全ての代替案、変更および等価物を包含することにある。一般的な当業者には、本明細書に開示される実施形態に範囲を限定することなく、追加のデバイスを含む他の実施形態、または例示されたデバイスのコンビネーションが追加または組み合わせられ得ることが認識されるであろう。
本発明は、マルチパーティシステム(ユーザ、認証サービスプロバイダ100およびネットワーク・サービス・プロバイダ103)を基礎とし、かつ下記の主要なアーキテクチャ構成部品を含む(図1から図5までのアーキテクチャ構成部品参照):
・ネットワーク接続部402と、データ入力システム401と、様々な認証機能を実行できるようにするソフトウェア認証アプリケーションまたはapp(Qapp)101とを含むユーザ・モバイル・デバイス400。Qapp101は、認証通信409を管理し、付加的な認証データ403および404を収集し、かつユーザ認証情報およびデータ405〜408を格納する。ユーザ・モバイル・デバイスは、スマートフォン、タブレットコンピュータ、ラップトップ、他を含む、任意のパーソナルデバイスであることが可能である。一実施形態は、セルラベースのネットワーキングおよびWiFiネットワーキングの双方を含むスマートフォンの使用である。モバイル・ユーザ・デバイスの第2の実施形態は、特殊化された認証デバイスである場合もある。理想的には、ユーザ・モバイル・デバイスには、生体データ404または追加的なトークンデータ403を収集するために使用されることが可能な(カメラ、マイク、他のような)追加センサ404も含まれる。
・ユーザがアクセスするためのログインを要求されているという情報を有する、ネットワーク・サービス・プロバイダ103(プロバイダ)。認証中のプロバイダの主たる役割は、ユーザを正しいプロバイダアカウントへマップすることである。場合により、プロバイダは、認証情報を再検査しかつ他の安全チェックを実行することができる。ある実施形態は、ユーザがそのアカウントに関する情報を得るためにログインできるようにする、eバンキング・ウェブサイトのようなウェブサイト103である。第2の実施形態は、(Windowsログイン画面のような)ネットワーク対応デスクトップログインである場合もある。
・ユーザのネットワークサービス・アクセス・ソフトウェア。これは、ユーザが通信チャネル108を介してログインするために相互作用するソフトウェアである。ウェブサイトの場合、アクセスソフトウェアは、ウェブブラウザ102であり、他のタイプのネットワークサービスは、特殊化されたアクセスポータルを有する場合もある。理想的には、これは、アクセスソフトウェアとモバイルデバイス上の認証アプリケーションとの間でデータセットを転送する能力を有するものと思われる。図2を参照されたい。ある実施形態は、2次元的バーコードシステムである視覚的QRコード200を示すことであり、他のオプションには、オーディオコード、近距離無線通信、他が含まれる。以後の説明では、第1のチャネル106(即ち、アクセスソフトウェア(即ち、ブラウザ)と認証アプリケーションとの間)における情報転送にQRコードの使用を想定している。少なくとも幾つかの実施において、ネットワークサービスは、一意のユーザIDを収集する能力を有するべきである。図9を参照されたい。実施の例は、i)902において、ユーザがウェブサイト上のフィールドへデータを直接入力すること、ii)IDがクッキーまたは他のブラウザ記憶ロケーションに格納されること、またはiii)ユーザのモバイルデバイス(接続されたUSB、近距離場、他)との通信手段、を含む場合もあり、この場合、ユーザのモバイルデバイスは一意のユーザIDを提供する。
・様々なサービスを提供する認証サーバ100(Qサーバ)。Qサーバは、501および505を含めて、ユーザおよびプロバイダの様々な認証情報が正しく設定されかつ使用されることを保証する中間PKI管理ポータルとして行動し、生体ベースおよびトークンベースのオプションを含む追加的な認証形式502を処理し、紛失した電話の報告、またはポリシ調停システム503を介する認証のアップグレードを含めて、ユーザが自身の認証を管理することを可能にし、場合により、ユーザ識別を管理し、かつ認証要求および使用される認証データに関する詐欺行為検出504を行う。ある実施形態では、認証サーバは、ネットワーク接続デバイスが通信チャネル104、105および107を介して接続することを可能にしかつ506により管理される、様々な情報を要求または送信する単一のインターネット到達可能ホスト500またはサーバクラスタである。第2の実施形態において、認証サーバは、認証に関する決定がサーバ間に流れることを可能にするサーバの階層より成ってもよい。この実施形態では、下位レベルのサーバは、認証サービスを、ファイアウォールまたは他のネットワークおよび安全境界背後の組織または企業ネットワークへ提供してもよい。ある実施形態では、Qサーバは、認証データを紛失する安全リスクを制限するために、プロバイダから分離したサーバ上に収容される。
各関係者の役割は、システム全体に信用を広げることから、一関係者が危険に曝されても、システム全体に対する危険は限定されることが可能である。図7を参照されたい。例えば、本発明の1つの強みは、ユーザがそのモバイルデバイスを失っても、705において認証情報を容易に取り消すことができることにあり、認証情報は、アクセスに際してユーザに(パスワードのような)監査可能な秘密データを入力するように要求する場合もあって、安全なサイトは、アクセスに際して生体データを要求する。さらに、これらの制御は何れも、プロバイダの介入または変更を必要としない。安全上の他の利点は、フィッシング攻撃の間、ユーザ認証データが絶対にプロバイダ(またはプロバイダを装った者)へ転送されず、よって認証情報の盗難は不可能であることにある。最後に、Qサーバが危険に曝されても、Qサーバはユーザの個人的な認証情報へのアクセスを持たないことから、Qサーバからの全データを有する攻撃者であっても、ユーザになることはできず、またはプロバイダへの追加アクセスを得ることはできない。さらに、認証サーバは認証ゲートウェイとして行動することから、システム内部の多くのイベントは、完全に透明的に、またはユーザシーンの背後で発生することが可能である。例えば、モバイルデバイス紛失後のプロバイダへの再登録は、ユーザ側で何ら相互作用を追加することなく発生することが可能である。また、認証サーバシステムの一実施形態が事実上認証サーバセットより成ることも可能であり、そのうちの幾つかは、ファイアウォールまたは他の周辺デバイス背後の組織ネットワーク上に存在し、かつ認証要求は、特定のどの認証サーバが責任を負うべきかをアクセスされているネットワーク・サービス・プロバイダに基づいて決定すべくサーバ間で調整される。
図7は、可能なユーザ制御エリアおよび管理エリア714および715のうちの幾つかを描いている。第1のセクション716は、710上でサーバへ伝達される特定のプロバイダへアクセスするためにどの程度の認証が所望されるかに関するユーザポリシ700が、ユーザがプロバイダのサイトへアクセスするための究極の要件702を作成すべく、711上で伝達されるプロバイダ自身のポリシ701を用いて分析される、認証サーバ713で行われるポリシ調停を例示している。次の3つのセクション717、718および719は各々、ユーザが703でそのパスワードの変更を希望し、705でその認証情報を失い、または707で認証情報が期限切れになっても、709に示すように、プロバイダを関係させる必要のあるアクティビティではないことを示している。通信は、認証サーバ713とユーザ制御エリア714との間で、703から708までを介して発生する。
図8は、1つまたは複数のプロバイダ801および識別806の複数のセットに渡って複数のアカウントを維持するユーザapp800の能力を示す。アカウント情報は、ユーザ認証要件も含む。ユーザ識別806は、複数のデータレコードを含んでもよい。認証サーバ713は、次に、ポリシ管理の項目において論じたように、813において、ユーザが設定したアカウント毎に、ユーザとプロバイダとの間の認証要件を調停する。認証サーバ713は、また、複数のユーザエリアと複数のプロバイダエリア811および812との間の通信を促進する。例えば、第1のユーザ/プロバイダペアの場合、情報は、ユーザエリア714からチャネル807を介してチャネル809上を第1のプロバイダエリア811へ流れる。第2のユーザ/プロバイダペアは、類似するチャネル808および810のセット上へ異なるデータを送信する。プロバイダは各々、認証設定オプション803および805を含む固有のアカウントデータ802および804のセットを保持する。
アーキテクチャに加えて、異なる関係者間で発生する通信セットが存在する。システムとの一般的な相互作用の1つは、ユーザがウェブサイトにログインする時点である。下記は、ログインの一実施形態の高レベルビューである。
1.ユーザは、本発明のログインシステムを実装するウェブサイトへ進む。図2は、ログインがどのようなものに見えるかを示すスクリーンショットである。通常のアカウントログインの選択に加えて、Qコードを有するQRコード200が表示されている。Qコードは、ヘッダブロック(後述する)と、コードが有効である限り全ユーザに渡って一意であることが保証されかつ認証セッションの簡易識別子として作用するセッションId(Qsid)とを含む。
2.次に、図3を参照すると、ユーザは、そのスマートフォン側でQappを起動してQコード302をスキャンする。これにより、認証サーバ(Qサーバ)100との通信303が開始され、304で提供されるユーザおよびプロバイダのポリシに依存して、ユーザは、pin、トークンデータおよび/または生体データを含み得る追加的な認証情報305を入力する。より高位の安全サイト、例えばPCバンキングを目的とする場合、ユーザは、下記を経る場合もある。図3は、ログイン例を示す。
i.「プロバイダXへのログインを希望しますか」というメッセージが現れる。これにより、ユーザは、ユーザが試行しているログイン先と、102における接続先のロケーションとが同じである点を検証することができる。
ii.ユーザは、ログインを承認し、次にその秘密データを入力するが、サイト103が3ファクタ認証を要求すれば、ユーザは、何らかの形式の生体データ(顔写真、手の画像または音声サンプル等)を提出しなければならない場合もある。
iii.次に306において、セッション情報、セッション検証、承認および生体データがQサーバ100へ提出されて検証される。シーン背後の307で認証を承認すれば、Qサーバは、プロバイダへ通知し(よってサイトは、ユーザのチャレンジ/応答の独立した検証を実行することができる)、かつユーザブラウザは、自動的にリフレッシュされかつログインされる。
3.これで、ユーザはログインされ、302におけるQRコードのスキャンを除けば、情報を入力する必要はなく、あるいは、ウェブサイト上のリンクをクリックする必要もない。これにより、事実上透明で、完全に自動化された、しかも安全な認証システムとなる。
下記は、ログインの他の実施形態を示す高レベルビューである。図9を参照されたい。
1.901において、ユーザは、本発明のログインシステムを実装するウェブサイトへ進む。従来のユーザ名およびパスワードフィールドの代わりに、ウェブサイトは、902においてユーザがその一意のユーザIDを入力するための単一フィールドを有する。一意のIDは、ユーザ名のように割り当てられることも可能であり、または電話番号のようなものであることも可能である。ユーザは次に、提出をクリックし、かつウェブサイトは、Qサーバからの連携で一意のセッションid(Qsid)900を割り当てて認証を開始する。第2の実施形態では、一意のIDは、クッキーに保存される、またはアクセス中にモバイルデバイスから検索される場合もある。また、ブラウザからQsidまたはセッション固有の他の識別子を送信することにより、ブラウザとモバイルデバイスとを結びつけることも可能である。送信は、ユーザに表示されかつモバイルデバイスを介してスキャンされるQRコードの形式であることも可能である。
2.プロバイダは、903において、認証サーバへ一意のユーザIDおよびQsidを伝達する。
3.認証サーバは、904において、一意のユーザIDに基づいてユーザのモバイルデバイスに接触する。認証サーバ(Qサーバ)によるこの伝達は、認証要件905を含む。ユーザおよびプロバイダのポリシに依存して、ユーザは、pin、トークンデータおよび/または生体データ906を含み得る追加的な認証情報を入力する。上述の図3の場合と同様に、ログイン例を示す図9も、ログインを終わらせる完成ステップ907および908を示している。
4.これで、ユーザはログインされ、その一意のユーザIDを提供することを除けば、情報を入力する必要はなく、あるいは、ウェブサイト上のリンクをクリックする必要もない。これにより、事実上透明で、完全に自動化された、しかも安全な認証システムとなる。
固有の安全およびアーキテクチャ問題
Qコードは、下記の情報、即ちそれが本発明の認証トークンであることを明示するヘッダタグ、および推測を事実上不可能にし、環境内での一意性を保証するに足る長さの、かつQsidの再使用の発生を低頻度にするに足る長さのQsid、を含む。ある実施形態では、Qsidは、少なくとも128ビット長さのランダム数である。場合により、Qコードは、要求されるログイン/登録のタイプまたは代替認証サーバのようなセッション固有情報を含んでもよい。
Qsidに加えて、プロバイダからQサーバを介してQappへ送られる他の情報である活性ID(Q活性)も存在する。ある実施形態では、Q活性は、プロバイダにより発生されるランダム数である。Q活性は、1)攻撃者はQsidおよびQ活性数字の双方を知る必要があることから、Qsidの再使用をより困難にする、および2)プロバイダがQ活性を選べることから、Qサーバによる攻撃のリプレイを不可能にする、という2つの主要な安全機能を提供する。ある実施形態において、プロバイダがQ活性ランダム数の生成を希望するか、Qサーバを信頼するかは、設定上のオプションである。
第2の実施形態では、ユーザのアクセスソフトウェア(即ち、ウェブサービスのためのブラウザ)も、プラグイン技術、またはユーザがQsidを登録したプロバイダ(即ち、ウェブサイト)に属することを検証するための他の技術を有する。このプラグインは、Qappとユーザのブラウザとの間で情報を安全に交換するために使用されることも可能である。これには、URL、セッション鍵または通信に署名しかつ/または通信を保護するための他の情報の検証が含まれる場合もある。ユーザが(スパムリンク、URLのミスタイプ、他から)間違ったサイトへ行ってしまい、しかもプロバイダのウェブサイトにいるものと確信しているが、実は攻撃者が実行するサイトにいるという中間者攻撃の場合、ユーザにその間違いを警告する唯一の確実な方法は、ブラウザにおいて、Qサーバに関わるユーザの意向を検証することである。これは、ブラウザのプラグイン、またはデスクトップ上のスタンドアロンプログラムとして実行されることが可能である。
異なる実施形態では、スマートフォンに格納されるユーザ認証情報のうちの幾つか、または全てが、プロバイダまたは潜在的に他のユーザとの通信に使用される秘密鍵および証書を含む暗号鍵ストアに格納される。ユーザ認証情報は、公開/秘密鍵ペア、パスワード、生体テンプレート、ワンタイムパスワード・シード、他を含む、ユーザを検証するための任意の情報またはトークンを含むことも可能である。
鍵ストアの復号に当たって、ある実施形態は、601および606において、鍵ストアが失われてもブルートフォースが復号鍵を推測することを防止するために、かつQサーバが鍵ストアへのアクセスを有することを防止するために、一意の分割鍵システムを用いる。図6を参照されたい。本発明は、下記の分割鍵システム、即ち、ユーザが入力する秘密データが複数の部分に分割され、2つの部分、AおよびBを用いることが一実施形態である、分割鍵システムを含む。秘密データは、パスワード、pin、生体テンプレート、ユーザが描く画像、他を含む任意タイプのユーザデータであることが可能である。パスワードの部分Aは、605において、復号鍵の部分Aを生成するために局所的に使用される。様々な実施形態において、部分Aは、ローカルシステム上で他のブロックを復号するために使用される場合もあれば、スマートカードの一意の製造番号のようなシステム情報と組み合わされる場合もあり、あるいは部分Aをより長くするために、または復号するにはより分かりにくいものにするためにハッシュされる、または別段で修正される場合もある。部分Aは絶対に電話から離れないことから、ユーザは、復号鍵に対する制御を保全する。秘密データの部分Bは、602において、暗号化されかつ認証されたチャネル上で(ユーザの通信鍵を用いて)Qサーバへ送信され、Qサーバは、604において、復号鍵の部分Bを送り返す。異なる実施形態において、鍵の部分Bは、データベースから検索され、秘密データの部分Bからハッシュとして生成され、または他のユーザ/ハードウェア固有情報と結合される場合もある。Qサーバは、部分Bの使用を監視できることから、603において、設定回数の試行失敗後にアカウントをロックし、ユーザに警告し、または不審な挙動に別段の応答をすることが可能である。
ある実施形態では、ユーザ認証情報は、公開/秘密鍵および証書システム(PKI)に基づく。このシステムの利点は、ユーザの認証情報である秘密鍵が絶対にスマートフォンを離れず、よって登録において証書の署名かつシステムへの検証を行えることにある。これらの証書は、個々に配りかつ制御することができ、ユーザは、プロバイダ毎に別々の認証情報で認証を行うことができる。さらに、他の認証情報ペア、例えばユーザ対ユーザの認証情報も、別々に生成されかつ保持されることが可能である。ある実施形態は、異なる3タイプの証書を使用するが、これらは、異なる3つの署名権限保有機関、即ち1)プロバイダの証書権限保有機関(CA)−プロバイダとQサーバとの間の通信に用いるためのプロバイダ証書に署名する、2)ユーザのCA−プロバイダに関連するその認証情報の検証に用いるためにユーザにより生成されるユーザ通信証書およびユーザ対プロバイダ証書に署名する、および3)QサーバのCA−ユーザおよびプロバイダに対し、ユーザおよびプロバイダが正規のQサーバと対話していることを検証するために、Qサーバ上で使用される証書に署名する、によって署名される。第2の実施形態では、ユーザは、単一のユーザ対全プロバイダ証書を有する場合もあり、かつ署名権限保有機関は、単一のCAまたは階層的CA構成に統合される可能性もある。
本発明において、ユーザは、生体データを含む複数形式の認証データを用いることが可能である。認証システムにおける現行の最新技術は、何らかの形式の知識、生体およびトークンファクタを組み合わせるが、これらのファクタのうちの1つのみを設定することは、本発明なしでは複雑になる。スマートフォンおよび他のタイプのモバイルデバイスは、複数のセンサおよび他のデータ入力方法を有することから、下記のような全ての従来的認証タイプからデータを収集することが可能である。
・人を示すもの:正面のカメラで撮った顔認識、後向きカメラで撮った手認識、マイクで撮った話者認識、他のような生体的オプションを含む。電話によっては、指紋リーダのような特殊化された入力を内蔵したものがあり、かつスマートフォンには、追加のケイパビリティを許容するデバイスを取り付け可能であることが多い。
・知っているもの:パスワード、安全質問、話者認識の間に話される語句、画面に描かれる画像、電話の震動パターン、他を含む。
・所有するもの:最も自明なものは、電話またはモバイルデバイス自体である。しかしながら、このカテゴリには、例えば電話に関連づけられるトークン、取り付けられるusbデバイス、近距離無線オプションを介して発見されるトークン、カードリーダで読み取られるカードデータ、デバイスのSIMカードからのデータ、安全なコプロセッサまたはデータロックボックス内のデバイス自体に格納される安全なデータ、他も包含されることが可能である。
本発明は、プロバイダおよびユーザが、必要とされる場合に個別ベースで柔軟性および追加的安全性を与える1つまたは複数タイプの認証を用いることができるようにする。Qサーバは、様々な生体的またはトークンオプションの登録、生体テンプレート等の安全なデータの格納、異なる形式の認証を標的とする詐欺行為検出、およびログイン認証と登録されたデータとの比較を含む、追加的ファクタの安全管理を実行する。Qappは、認証データの収集を管理し、かつQサーバへの提出前に、データに関して一連の前処理ステップを実行してもよい。前処理の目的は、主として、画像がぼけている、受信されない、他である場合にユーザへ迅速にフィードバックを与える提出の質を保証することにあるが、前処理は、送信されるデータサイズを制限しかつ提出データを潜在的に整理する(ヘッドを画像中心に合わせる、他)ためにも使用される。また、Qappは、Qサーバ上で実行される主たる詐欺行為検出に加えて実行される一連の詐欺行為検出機能も有する場合がある。Qサーバは、追加的な認証ファクタを保持するものの、鍵ストア406へのアクセスを持たないことから、ユーザであると偽ることはできない。この信用分離は、ユーザによる自身の認証に対する制御を危うくすることなく、集中化された制御および管理を可能にする。このアーキテクチャの他の利点は、プロバイダが一切変更を行う必要なしに、新たな形式の認証をユーザへ展開できることにある。
本発明のアーキテクチャは、プロバイダが新規ユーザの追加を希望する際の簡易的な設定も可能にする。プロバイダは、認証データを事前に設定する必要がなく、例えば、一時的なパスワードを割り当てる必要がない。これにより、プロバイダに、サポートを希望する認証ポリシのタイプにおいてより大きい柔軟性を持たせることができる。例えば、プロバイダは、2ファクタを要求すべく認証のアップグレードを希望すれば、単にサーバ側のグローバルなポリシを変更し、かつユーザは、2ファクタによる認証の要求され始める。プロバイダは、全て認証サーバにより処理される新規ファクタの登録データを収集しようとして各ユーザへと戻る必要がない。単純化された識別および登録と組み合わされた場合、プロバイダは、そのシステム上に如何なるアカウントも事前設定する必要がない。
ある実施形態では、従来のユーザを、ネットワークに渡る様々なサービスに対して認証される必要があるバッチシステムのような自動プロセスで置換することが可能であると思われる。システムは動作するものの、生体認証または知識ベースの認証ファクタと同等の所定のオプション構成部品が可能とはならない。
また、本発明は、プロバイダとユーザとの間の、認証サーバおよびユーザ・モバイル・デバイス上のQappを通じた安全なチャネルを介する安全な形式の通信も可能にする。この安全な通信チャネルは、プロバイダが極めて重要な通知を、「購入が完了しました」または「送金が完了しました」といった情報を偽装または修正され得ない方式で送信できるようにする、信頼された方式で送信することを可能にする。データの暗号鍵は、関係者間で先に交換している公開証書または先に共有しているセッション鍵を含む任意の規格に基づくことも可能である。このタイプの通信は、ネットワーク上の任意の2ユーザ間の事前に確立されたユーザ対ユーザ認証情報を用いる安全な通信も可能にすると思われる。
「購入が完了しました」のような一方向要求は、ユーザからの応答を要求しないが、「Xの購入希望を確定しますか」のような双方向要求は、プロバイダがユーザからの応答を待てるようにする。したがって、ユーザは、取引を、その最終承認より前に安全な通信チャネルを介して検証することができる。検査プロセスは、ユーザがその時点でプロバイダにログインしていない場合でも発生する可能性があり、かつユーザが取引の「承認」を、追加的な認証データの提供と同時的に行うようにすることも可能である。
ログインプロセスの詳細な実施の例−図3参照
・ユーザは、301において、デスクトップまたはモバイルブラウザを介してウェブサイトへ進む。
・ウェブサイト103(プロバイダ)は、チャネル104上で認証サーバ100からセッションID(Qsid)300を入手し、かつ局所的にセッション固有ランダム数(Q活性)300を生成する。プロバイダは、パフォーマンスを理由として、QサーバからQsidセットを事前キャッシュすることも可能性である。Q活性は、認証サーバ上で生成されることも可能である(安全リスクは幾分か高まる)。Q活性コードがプロバイダにより生成されれば、プロバイダは、Qsidの付与に伴ってQ活性コードを認証サーバへ送信する。
・プロバイダは、表示されるQコードに組み込まれたQsidをユーザに示す。Qコードは、サーバにより生成されかつブラウザに画像として示されるか送信され、かつブラウザ側のジャバスクリプトにより生成される画像として表示される。Qsidは、第三者がQsidを盗用していれば、競合状態を防止するために、SSLまたは他のトランスポート暗号化を用いて暗号化されるべきである。少なくとも幾つかの実施態様では、ユーザは、その一意のユーザIDをプロバイダへブラウザを介して入力あるいは提供し、ログインプロセスを開始する。プロバイダは、次に、一意のユーザID、QsidおよびQ活性を暗号化チャネル上で認証サーバへ送信する。
・バックグラウンドにおいて、ユーザのブラウザは、暗号化チャネル105上で認証サーバをQsidで絶えずポーリングし、認証が完了した時点を識別する。
・ユーザは、302において、Qコードをその認証アプリケーション(Qapp)を用いてスキャンする。ユーザは(Qappポリシに基づいて)、認証アプリケーションの開始前にその秘密データを入力する必要がある場合もあれば、ない場合もある。Qappは、Qコードを復号し、それが適正なコードであることを確信し、次にQsidを抽出する。
・Qappは、クライアント−認証SSL上で認証サーバへ接続し(よってQサーバは、Qappユーザを検査することができる)、認証サーバの証書を検査し、次に、ステップ303においてQsidを送信する。
・認証サーバは、Qappへセッションデータ304を送り返す(あるいは、直前に記載した2ステップが実行されなければ、認証サーバは、一意のユーザIDに基づいてユーザのモバイルデバイスへ接続し、Qappは、双方向の認証SSL接続部上でセッションデータによりログイン要求を送信する)。セッションデータには、下記が含まれる。
・Q活性数字、およびセッションのタイプ(ログインまたは登録)。
・ユーザが接続しようとしているプロバイダの識別名、ロゴおよび読取り可能な名前。任意選択の実施形態は、プロバイダの鍵で署名されたプロバイダの証書およびQ活性を送信し、プロバイダの検証を可能にするが、より高いCPUオーバーヘッドを要する。
・要求されるプロバイダの認証ポリシ(なし、パスワード、生体データ、他)。
・Qappは、プロバイダの認証ポリシと組み合わせてユーザの許可408および405をチェックし(常時的通知を希望するか、常時そのパスワードをタイピングするか、他)、次に、ユーザに適切な情報305について尋ねる。例えば、ユーザは、3ファクタ認証用にパスワードおよび生体データを入力する必要があるものとする。
・ユーザは、その秘密データをQappへ入力する。
・Qappは、秘密データのネットワーク成分を認証サーバへ、暗号化されかつ検証されたチャネル上で送信する。
・認証サーバは、秘密データのネットワーク成分を検証し、ブルートフォースによる推測および他のタイプの攻撃を防止するために詐欺行為検出を実行し、次に、復号鍵の半分Bを送り返してユーザ電話側の鍵ストアをアンロックする。
・Qappは、分割鍵の半分Bを受信し、これを秘密データの半分Aおよび安全に関連のない電話からの潜在的に他の情報(例えば、デバイスの一意のID、他)と組み合わせ、かつ組み合わされた鍵を用いてアプリケーション内の安全な鍵ストアをアンロックする。鍵ストアは、ユーザが通信するプロバイダ毎の秘密鍵を収容する。
・Qappは、次に、要求される任意の追加的な生体データ(例えば、手の画像)についてユーザにプロンプトする。
・Qappは、次に、306において、下記を含む認証のフルパケットをQサーバへ送り返す。
・Qsid−セッションID。
・ユーザid、Qidは、通信証書に内蔵されていて、Qサーバによりクライアント認証SSL接続に基づいて入手可能である。異なる実施形態では、Qidは、ユーザ/プロバイダペア毎に一意であることが可能性であり、Qappのインストール毎に一意であることも可能である。
・特有のプロバイダに関する、ユーザ証書により署名されたQsidおよびQ活性。
・生の生体データ(例えば、顔または手のjpg画像)。
・認証サーバは、次に、下記のチェックを含むユーザパッケージの検証を行う。
・ユーザの通信証書は、有効である。証書が取り消されておらず(ユーザが電話を紛失した場合に発生し得る)、通用し(証書は期限切れとなり、リフレッシュする必要がある)かつ実際に存在する(新規ユーザまたは攻撃者が有効な証書を有することはない)点を確認する。
・Qsidは、有効である。これには、攻撃(攻撃者によるQsid再使用の試行等)またはブルートフォース・スキャン(攻撃者によるランダムQsidの送信等)のチェックが含まれてもよく、かつこれが期限切れになっていない、サイトへのマッピングは有効である、他を確認するチェックも含まれる。
・ユーザは、プロバイダがQsidでマッピングされたアカウントを有する。マッピングは、QidからQsidに登録されたプロバイダまで存在する。ユーザがアカウントを保有していなければ、認証サーバは、「このサイトには登録されていません」というメッセージをユーザへ送り返す。このタイプのチェックは、フィッシング攻撃を無効にするために使用される方法の1つである。
・生体データは、先にユーザによって登録されたデータに照らして検査される。生体データでは、様々な詐欺行為検出ステップが実行される場合もあれば、実行されない場合もある。
・署名入りのQsidおよびQ活性は、有効であり、かつ正しい証書により署名されている。
・認証サーバ(ユーザのオリジナルブラウザによってポーリングされている)は、ユーザのブラウザへ有効なログイン信号を送り返す。
・ブラウザは、プロバイダの受信された認証承認ロケーションへ接続する。
・プロバイダは、次に、認証サーバへ(暗号化されかつ検証されたチャネル上で)接続し、承認307の確定について尋ねる。認証サーバは、プロバイダへ下記のデータ、即ちQid、署名入りのQsidおよびQ活性を含むユーザ証書、Qサーバへ送られた認証の有効性(例えば、ユーザはpinおよび顔で首尾良く認証されている)、を含むメッセージ「有効なログインを受信しました」を送り返す(この好適な方法は、具体的には、生体データまたは他の認証データをプロバイダへ送信しないことに留意されたい)。
・場合により、プロバイダは、次に、ローカルポリシに基づいて署名を承認または再検査することができ、かつ証書に関して、ログイン証書を登録証書に照らし合わせることを含む追加的な安全チェックを実行することができる。承認されると、ユーザは、ウェブサイトへログインされる。
登録プロセスの詳細な実施の例
1)Qサーバに対するユーザ登録
ユーザは、Qappをそのスマートフォンにダウンロードする。Qappが最初に開始される際に、ユーザは、新しいアカウントを生成することができ、または下記のようにシステムに登録することができる。
1.ユーザは、名前、電話番号、eメール、他を含み得る様々な登録情報を入力する。
2.場合により、ユーザは、顔画像、音声プリント、パスワード、他のような生体登録データを入力する。
3.ユーザは、「提出」をクリックし、Qappは、QサーバへユーザID(Qid)要求を送信する。要求は、ユーザがまだ登録されていないことを検査し、かつ場合により帯域外検証を実行する(ユーザへeメールを送信する等)ために、例えばeメールアドレスである登録データの様々な部分を含んでもよい。
4.Qappは、Qサーバから一意のユーザid(Qid)およびQサーバの公開証書の返送を受信する。Qappは、一意の公開/秘密鍵ペア、ユーザの通信証書(Qidを含む)および証書署名要求を生成する。
5.Qappは、次に、Qサーバへ、証書署名要求、登録データおよび任意の生体データを含む登録データを送信する。
6.認証サービスが提出を承認するものと想定して、認証サービスは、ユーザの通信鍵の署名入り証書を送り返し、かつユーザデータをシステムに登録する。この情報は、次に、Qapp内に保存される。
2a)プロバイダへのユーザ登録
ユーザが、プロバイダサービスへ接続し、かつ登録することを選択すると、ユーザに、ユーザが供給する必要のある任意の情報を含むプロバイダの既存の登録ページ、およびQコードが提示される。
・登録プロセスの第1の部分は、ログインプロセスと同じである。これは、Qappがセッションデータの返送を受信し、かつそのセッションデータが登録セッションであるという識別子を含むと分岐する。
・Qappは、ユーザに、「プロバイダXが登録を要求しています」という登録を承認するためのメッセージを示す。ユーザが承認すれば、Qappは、ユーザに、必要な任意の追加的認証(例えば、顔認識、他)を入力するように要求する。
・Qappは、ユーザとプロバイダとの間で用いるための公開/秘密鍵ペアを生成する。
・Qappは、証書署名要求を送る。
・認証サーバは、適宜、パラメータおよび生体データを検証し、かつ証書署名要求に署名する。
・認証サーバは、次に、Qappへ、プロバイダに関する公開証書(オプション)およびユーザに関する署名入り証書を送り返す。認証サーバは、次に、証書を(ユーザ、プロバイダ)ペアに関連づける。
・オリジナルのブラウザページ上のQコード画像または他の視覚的表示は、奏効した登録を示して更新される。これでユーザは、その登録をプロバイダへ提出することができる。
・プロバイダは、セッションIDに基づいてセッションを検証し、首尾良く検証されれば、ユーザの公開証書およびユーザID(Qid)を保存する。セッションIDが有効でなければ、これは単に認証サーバを用いることなくプロバイダサイト上で登録されたユーザである可能性もあり、よってこのセッションIDが使用されたことはない。
2b)第2の登録実施の形態−識別の追加
プロバイダサイトにおけるユーザ登録をユーザ側でより容易にするための一方法は、ユーザが再入力しなければならない情報量を簡約することである。図8を参照されたい。本発明は、806において、ユーザが1つまたは複数の「識別」、例えば業務上および個人的な識別、を生成できるようにする。各識別は、識別に関連づけられるデータセット、例えば名前、eメールアドレス、郵便宛先、他を有する。よって、ユーザは、登録の間、ある識別からの情報を用いてプロバイダの登録情報に記入するオプションを有する。この単純化された登録オプションは、ユーザがログインQコードをスキャンし、またはその一意のユーザIDをプロバイダの書式に入力し、かつユーザにアカウントがないことをQサーバが認識した場合に、もたらされてもよい。ある実施形態では、識別情報は、Qサーバ上に格納されることが可能であり、かつ第2の実施形態では、識別が専らモバイル・ユーザ・デバイス上に格納されることが可能である。さらに、識別情報の管理は、情報の記憶装置に対して局所的に実行されることが可能であり、または、サーバ、認証サーバ、ユーザのデスクトップコンピュータ、他を含む他のサーバまたはデバイス上でリモート合意によって実行されることも可能である。
・登録プロセスの第1の部分は、ログインプロセスと同じである。これは、Qappがセッションデータの返送を受信し、かつそのセッションデータが登録セッションであるという識別子を含むと分岐する。
・Qappは、ユーザに、「プロバイダXへのログインを保有していません。登録を希望しますか?」という登録を承認するためのメッセージを示す。プロバイダにより要求される登録情報のタイプ(名前、誕生日、他)は、特性セットとしてQサーバによりQappへ送信される。Qappは、次に、「プロバイダXを登録するために、次の情報、即ち名前、eメール、他を希望します」といったメッセージをユーザに示す。ユーザは、次に、その識別セットから、プロバイダに使用したいものを選択することができ、必要なフィールドが、予め設定された識別データを用いて記入される。場合により、ユーザには、データを提出前に編集する選択肢が与えられてもよい。ユーザは、提出されるデータに対する完全な制御を保全し、しかも、クリックしてプロセスを登録することができる−潜在的に、如何なる新規データもタイピングする必要はない。
・次に、登録プロセスは、正常に進行する。
3)Qサーバへのプロバイダ登録
これは、ユーザ登録より遙かに低頻度での発生が予期され、よって、署名鍵およびプロセスは、よりマニュアルであることが可能性である。これは、本質的に上述のステップと同じステップを辿るが、プロバイダが(提供されるスクリプトを用いて)その鍵を生成し、かつ返されるデータをそのプロバイダ設定の一部として保存する点が異なる。プロバイダは、認証CAおよびユーザCA証書の返送を受信する。
紛失電話プロセスの詳細な実施の例
図7を参照されたい。ユーザ証書は、提案するシステムを用いてログイン前に検証されていることから、705においてユーザが電話の紛失を報告すると、全ての証書は、即座に無効化されることが可能である。これは、詐欺行為が検出された場合、またはユーザが、自分の電話が危険に曝されているかもしれないと考える場合にも使用されることが可能である。ユーザ支援を促進するためには、鍵が無効にされるだけでなく、Qサーバのサービスを用いてその旧プロバイダにより再登録を単純化しかつ管理することが可能である(実際に、Qサーバを信頼していれば、ユーザを再検証するためにプロバイダが何かする必要はない)。異なる実施形態では、認証情報を無効にする方法は、鍵の取消し、削除またはデータの無効化を含む。
ユーザは、その電話の紛失を、Qサーバのウェブサイトを呼び出す、またはこれにログインすることによって報告する。ユーザは、秘密データの半分Bを用いることができ、または、新しい電話を有していれば、生体オプションを用いてログインすることができる。
・認証サービスが無効になる(または、全てのユーザ鍵を無効とマーキングする)。
・ユーザが無効化された鍵を用いてログインしようとすれば、ログインは拒絶される。
再検証
・ユーザは、そのアカウントの再セットアップへ進むと、Qapp上で「既存のアカウントへログイン」を選択し、かつeメールアドレス、生体データおよび秘密データのネットワーク部分を含む、ログインのための詳細を記入する。適切な情報が、認証サーバ上へ送信され、生体情報および他のログイン情報が正しいことを確かめるために検証される。
・認証が有効であれば、認証サーバは、ユーザの旧ユーザID(Qid)を送り返す。正常な登録は、Qappによる鍵ペア、証書、他の生成を続ける。
・次に、ユーザが、以前その認証情報を有していたサイトへログインしようとする場合、ユーザは、通常のログインプロセスに従うが、認証サーバは、そのユーザに関する現行の認証情報が発見されず、ユーザが既に認証情報を取り消していることを確認し、かつ新しい認証情報を生成するようにQappに接触する点が異なる。認証情報が生成されると、ユーザのオリジナルブラウザが接触され、ユーザが再登録を行っていることが告げられる。ブラウザの戻りコードを用いてブラウザへ通知することにより、ユーザに対するリダイレクトを自動的に発生させることができる。ユーザに完全に透明な再登録オプションを与える能力は、認証フレームワーク、およびブラウザとプロバイダとの間の専用通信によって有効化される。これは、プロバイダにユーザを再登録ページへリダイレクトする機会を与え、再登録ページにおいて、プロバイダはユーザを再検査するために追加質問(例えば、好きなペットの名前、他)をすることができる。プロバイダは、このステップをスキップして、単に新しい認証情報を受け入れることもできる。認証情報が受け入れられると、ユーザは、ログインする。認証サーバも、この新しい認証情報を「受け入れる」ように、プロバイダにより接触される。
ポリシ設定の詳細な実施の例
プロバイダおよびユーザが選択できるポリシのオプションおよび設定は、幾つか存在する。その各々が、ログインまたはログインプロセスを検証するために行われるステップに僅かに影響する。例えば、プロバイダは、ユーザの鍵は暗号鍵ストアに格納されるべきであり、または、ユーザのログインに際して2ファクタを用いる必要がある点を明示することができる。ユーザは、鍵が暗号化されて格納されるべきかどうかを指定することもできる。Qappは、ユーザおよびプロバイダ仕様の双方を満たす最小限の設定を選択する。これは、ユーザ関連オプションの各々が、安全性に対する「アップグレード」として作用することを意味する。ポリシ管理は、QappまたはQサーバを用いてユーザポリシを変更できる例について配分することができる。一方で、Qサーバまたはプロバイダは、プロバイダポリシを変更するためにアクセスを有する場合もある。ある実施形態では、プロバイダのみが、プロバイダポリシを更新することができる。ある実施形態では、Qappのみが、ユーザポリシを変更することができる。他の実施形態では、ユーザは、Qサーバ上でウェブサイトのようなインタフェースからそのポリシを変更することも可能性である。本発明では、ユーザは、多数の個別レコードの保全を担当する管理者またはスーパーユーザを有するのではなく、その個々のポリシ情報およびレコードに対する制御を与えられる。
ユーザポリシ
・全ての鍵を暗号化する。この場合、システム上でQappが開始される度に、ユーザはその秘密データを入力する必要がある。
・設定された期間に亘って、認証が有効のままである(即ち、メモリに格納されている)ことを可能にする。これにより、ユーザは、その秘密データを入力する、またはその画像を撮る回数を、限定することができるようになる。可能な設定として、画面を保存する度、またはおそらくは1時間おき、が含まれる。固有の生体データまたは特殊トークンは、有効であり続ける固有の最大時間枠を有してもよい。
・ユーザは、特定鍵801のポリシを(Qappアプリケーション上、またはQサーバウェブサイト上の何れかで)直接管理することができる。これには、特定のサイトを、認証を要求するように「アップグレード」することが含まれることになろう。例えば、プロバイダがその時点で2ファクタ(電話および秘密データ)を要求していれば、ユーザは、生体ファクタを追加するように要件をアップグレードすることができ、そうなれば、このユーザに関しては、3ファクタ認証の提供なしに特定のプロバイダにおけるそのアカウントがアクセスされることはない。
・他の実施形態では、ユーザは、プロバイダ証書およびQ活性署名ブロックを受信し、かつQappにおいてこの署名を検証することを選択することも可能性である。
プロバイダポリシ
本発明は、プロバイダがQサーバを信用してプロバイダチェックの大部分をスキップすることを可能にする設定オプションを含み、またはプロバイダがユーザからのあらゆるもの(追加の認証ファクタを除く)を再検証することを可能にする。下記は、プロバイダ上で使用可能な主要設定のうちの幾つかである。
・ユーザ認証情報を再検証する。これには、ユーザ認証情報が登録の間に承認されたものと同じであること、証書が期限切れでないこと、認証の間に返された署名入りデータが、先に同意された証書を用いて署名されていること、の検証が含まれる。
・Qsidの取得時点で、Qサーバに作成させるのではなく、プロバイダ固有のQ活性を生成する。(これにより、Qサーバによるリプレイ攻撃の実行が防止される。)
・再登録をオンまたはオフにする。これによりプロバイダは、ユーザに、再検査について、鍵を紛失して再登録される必要があるのか、と質問することができる。オフにされれば、プロバイダは、Qサーバが認証検査を実行しているものと信用する。
・ユーザのブラウザに、ユーザのブラウザがプロバイダに最初に接続する際に与えられるクッキーを用いて、Qコードを見たブラウザがログインしたブラウザと同じであることを検証する。
4)プロバイダに対する書類による既存ユーザ登録
QRコードを介してユーザのモバイルデバイスへ送信されるQsidを用いることの1つの優位点は、既存のプロバイダアカウントの最初の登録が、メーラまたは書類による開始によって実行され得ることにある。これの優位点は、登録プロセスがプロバイダの通知(口座明細書または公共料金勘定書等)を介して、または初期セットアップの間(銀行口座開設または住宅融資を受けるために出かけるとき等)に開始される可能性もあることにある。図10を参照されたい。この登録プロセスの下では、下記のステップが発生する:
・プロバイダが、アカウントをセットアップしている場合、または既存ユーザの登録を希望する場合、プロバイダは、用紙1000上に、ユーザとプロバイダアカウントとが認証サーバを介して相互に関連づけられることを可能にする一意のQコード1008をプリントする。Qコードは、ヘッダブロック(後述する)と、1001においてサーバにより同意された登録Id(QEid)とを含み、QEidは、登録コードが有効である限り全ユーザに渡って一意であることが保証され、かつ登録セッションの簡易識別子として作用する。
・1002において、ユーザは、認証アプリケーション(Qapp)101を用いてQコードをスキャンする。ユーザは、(Qappポリシに基づいて)認証アプリケーションを開始する前にその秘密データを入力する必要がある場合もあれば、ない場合もある。Qappは、Qコードを復号し、これが適正なコードであることを確認し、次に、Qsidを抽出する。
・1003において、Qappは、(QサーバがQappユーザを検査できるように)クライアント−認証SSL上で認証サーバへ接続し、認証サーバの証書を検査し、次に、Qeidを送信する。
・認証サーバは、Qappへ、下記を含むセッションデータ1004を送り返す。
・Q活性数字およびセッションのタイプ(ログインまたは登録)。
・ユーザが接続しようとしているプロバイダの識別名、ロゴおよび読取り可能な名前。任意選択の実施形態は、プロバイダの鍵で署名されたプロバイダの証書およびQ活性を送信し、プロバイダの検証を可能にするが、より高いCPUオーバーヘッドを要する。
・要求されるプロバイダの認証ポリシ(なし、パスワード、生体データ、他)。
・Qappは、ユーザに、「プロバイダXが登録を要求しています」という登録を承認するためのメッセージを示す。ユーザが承認すれば、Qappは、ユーザに、必要な任意の追加的認証1005(例えば、顔認識、他)を入力するように要求する。
・Qappは、ユーザとプロバイダとの間で用いるための公開/秘密鍵ペアを生成する。
・Qappは、証書署名要求および他の任意選択の認証情報1006を送る。
・認証サーバは、適宜、パラメータおよび生体データを検証し、かつ証書署名要求に署名する。
・認証サーバは、次に、Qappへ、プロバイダに関する公開証書(オプション)およびユーザに関する署名入り証書を送り返す。認証サーバは、次に、証書を(ユーザ、プロバイダ)ペアに関連づける。
・次に、認証サーバは、1007において、新たに生成されたユーザ−プロバイダ証書を含む登録情報をプロバイダへ送る。プロバイダは、プロバイダが絶えずQサーバをポーリングすること、両者が絶えず接続されていること、またはQサーバがプロバイダへ直に接続する能力を有することを含み、任意数のアーキテクチャを介して接触されてもよい。プロバイダは、登録IDに基づいてセッションを検証し、首尾良く検証されれば、ユーザの公開証書およびユーザアカウントID(Qid)を保存する。
ユーザは、次に、追加の検証情報をタイピングすることなく認証システムへ登録され、これで、簡易なマルチファクタ認証でログインすることができる。第2の実施形態では、プロバイダは、再登録プロセスと同様に、ここで他の検証層を提供することによって、ユーザが初回使用で追加情報を入力するように要求してもよい。
通知プロセスの詳細な実施の例
1)プロバイダは、ユーザへメッセージを送る。
ユーザ−プロバイダの関係性が(登録プロセスを介して)設定されると、プロバイダは、固有のユーザアカウントに関連づけられる一意のユーザアカウントIDを有する。図11を参照されたい。プロバイダにおいて、検証されるべき、またはユーザへメッセージ送信されるべきイベントが発生すれば、下記のプロセスが発生する:
・プロバイダは、1100において、Qサーバへ、プロバイダに既に格納されかつプロバイダ証書、メッセージで署名されたユーザの証書で暗号化されることが可能なユーザのアカウントID(Qid)、トランザクションIDおよびメッセージを送信する。要求は、ユーザがトランザクションを承認する必要があるかどうか、および承認のために何らかの認証が要求されるかどうかを明示するヘッダも含む。トランザクションIDは、配信または承認を検査すべく、後に特定のトランザクションを識別するために使用される。第2の実施形態では、メッセージに関してユーザを正しく識別するために、Qidの代わりに、既にログインしているユーザのQsidが使用されることが可能性である。
・1101において、Qサーバは、ユーザ・モバイル・デバイスのQappへの接続を開始する。接続開始は、プッシュ機構、オープン・ネットワーク・ポート上で発生することも可能性であり、またはQappは、モバイルデバイスのアーキテクチャおよび利用可能なサービスに依存して、定期的にQサーバをポーリングする、またはQサーバへ接続されたままになることも可能である。
・Qサーバは、Qappへ、トランザクションID、メッセージブロックおよびポリシ要件を含むメッセージ要求を送る。Qappは、次に、1102において、メッセージを復号し、メッセージをユーザに示し、要求されれば、検証のために承認および追加的な認証情報を入手する。
・Qappは、次に、1103において、応答を生成してこれをQサーバへ送り返し、Qサーバは、1104において、これをプロバイダへ転送して返す。応答には、ユーザの承認回答、追加的な認証情報およびメッセージが示されたことの検査が含まれてもよい。ある実施形態では、プロバイダは、1つまたは複数のメッセージに応答して、Qサーバを絶えずポーリングしてもよい。第2の実施形態では、ユーザのブラウザは、ユーザが検査を要求したトランザクションを開始した後にQサーバをポーリングし、完了すると、ブラウザは、プロバイダに通知のステータスをチェックするように告げる。第3の実施形態では、Qサーバは、プロバイダへ直に接続する。
これと同じプロセスは、Qサーバ上にアカウントを有していて既に証書を交換している2ユーザ間でメッセージを共有するために使用されることも可能である。

Claims (19)

  1. 複数の異なるユーザを複数の異なるサービスプロバイダに対して認証することができるネットワークシステムであって、
    (i)前記複数の異なるサービスプロバイダの各々のプロバイダ識別子を、該当するサービスプロバイダのプロバイダ認証ポリシ要件に関連づけて格納し、かつ(ii)前記複数の異なるユーザの各々のユーザ識別子を、該当するユーザの検証情報に関連づけて格納するように構成される認証サーバと、
    前記複数の異なるユーザのうちの第1のユーザによって操作可能であり、かつネットワークを介して前記複数の異なるサービスプロバイダのうちの第1のサービスプロバイダへログイン要求を送信するように構成される第1のデバイスと、
    前記第1のサービスプロバイダに関連づけられ、かつ前記ネットワークを介して前記認証サーバへ、(i)ランダム数要求と、(ii)他の情報と、を送信するように構成されるネットワークサーバであって、前記認証サーバは、前記送信されたランダム数要求に応答して、ランダム数を、前記ネットワークを介して前記ネットワークサーバへ送信するように構成され、前記ネットワークサーバは、前記送信されたログイン要求に応答して、前記送信されたランダム数を、前記ネットワークを介して前記第1のデバイスへさらに送信するようにさらに構成される、ネットワークサーバと、
    前記第1のユーザによって操作可能であり、かつ(i)前記さらに送信されたランダム数を前記第1のデバイスから自身へ転送する入力を受信するように、かつ(ii)前記入力されたランダム数および前記第1のユーザの認証要求を、前記ネットワークを介して前記認証サーバへさらに送信するように、構成される第2のデバイスと、を備え、
    前記認証サーバは、前記第2のデバイスによる前記ランダム数および認証要求の送信の後、前記ネットワークを介して前記第2のデバイスへ、前記格納された第1のプロバイダの識別子、および前記格納されかつ関連づけられた第1のプロバイダの認証ポリシ要件を送信し、かつ前記送信された他の情報をさらに送信するように、さらに構成され、
    前記第2のデバイスは、前記送信された第1のプロバイダの認証ポリシ要件に応答して、第1のユーザの識別子およびユーザが入力した検証情報を、前記ネットワークを介して前記認証サーバへ送信するように、さらに構成され、
    前記認証サーバは、前記送信された第1のユーザの識別子を前記格納された第1のユーザの識別子と照合し、前記送信された検証情報が前記格納された第1のサービスプロバイダの認証ポリシ要件に一致することを決定し、かつ前記第1のユーザを認証するために、前記送信された検証情報を前記第1のユーザの識別子に関連づけて格納されている前記検証情報と比較するように、さらに構成され、
    前記第2のデバイスは、前記ネットワークを介して前記認証サーバへ、前記転送されたランダム数および前記さらに送信された他の情報を含み、前記第1のユーザの認証情報で署名されたメッセージを送信するように、さらに構成され、かつ、
    前記認証サーバは、前記ネットワークを介して前記ネットワークサーバへ、前記第1のユーザの認証の通知を送信し、かつ受信された、前記署名入りメッセージをさらに送信するように、さらに構成される、ネットワークシステム。
  2. 前記第1のユーザの認証情報は、前記複数の異なるサービスプロバイダのうちの前記第1のプロバイダのみに関連づけられて他のサービスプロバイダには関連づけられない前記第1のユーザの認証情報であり、
    前記ランダム数は、セッション識別子であり、かつ、
    前記他の情報は、他のランダム数である、請求項1に記載のネットワークシステム。
  3. 前記第2のデバイスは、前記第1のユーザの認証情報を、前記ネットワークを介して前記認証サーバへ送信するように、さらに構成され、かつ、
    前記認証サーバは、前記第1のユーザの認証情報を前記第1のユーザの識別子に関連づけて格納するように、かつ前記第1のユーザをさらに認証するために、前記送信された署名入りメッセージにおける前記ランダム数および前記他の情報を、前記格納された第1のユーザの認証情報を前記受信された署名入りメッセージへ適用することによって検査するように、さらに構成される、請求項1に記載のネットワークシステム。
  4. 前記格納された第1のユーザの認証情報は、前記第1のユーザの秘密/公開鍵ペアのうちの公開鍵であり、前記第1のユーザの秘密/公開鍵ペアのうちの秘密鍵は、前記第1のユーザにのみ知られ、かつ前記送信される署名入りメッセージは、前記秘密鍵で署名され、かつ、
    前記認証サーバは、さらに、前記ネットワークを介して前記第1のサービスプロバイダへ、前記第1のユーザの公開鍵を含みかつ前記認証サーバの秘密/公開鍵ペアのうちの秘密鍵で署名された証書を、認証の前記通知および前記受信された署名入りメッセージと共に送信する、請求項3に記載のネットワークシステム。
  5. 前記第1のユーザの秘密/公開鍵ペアは、前記複数のサービスプロバイダのうちの前記第1のプロバイダのみに関連づけられかつ他のプロバイダには関連づけられない第1のユーザの第1の秘密/公開鍵ペアである、請求項4に記載のネットワークシステム。
  6. 前記認証サーバは、前記第1のユーザの認証情報が危険に曝されているという通知を受信し、かつ前記受信された通知に応答して、前記格納された第1のユーザの認証情報を無効にするように、さらに構成される、請求項3に記載のネットワークシステム。
  7. 前記第1のデバイスは、前記ネットワークを介して前記第1のサービスプロバイダへ他のログイン要求を送信するように、さらに構成され、
    前記ネットワークサーバは、前記ネットワークを介して前記認証サーバへ、(i)他のランダム数を求める他の要求、および(ii)さらに他の情報、を送信するように、さらに構成され、前記認証サーバは、前記送信された他のランダム数要求に応答して他のランダム数を、前記ネットワークを介して前記ネットワークサーバへ送信するように、さらに構成され、前記ネットワークサーバは、前記送信された他のログイン要求に応答して、前記送信された他のランダム数を、前記ネットワークを介して前記第1のデバイスへさらに送信するように、さらに構成され、
    前記第2のデバイスは、前記さらに送信された他のランダム数を前記第1のデバイスから自身へ転送する入力を受信し、前記転送された他のランダム数および前記第1のユーザの他の認証要求を、前記ネットワークを介して前記認証サーバへさらに送信するように、さらに構成され、
    前記認証サーバは、前記第2のデバイスによる前記他のランダム数および他の認証要求の送信の後に、前記格納された第1のプロバイダの識別子および前記格納されかつ関連づけられた第1のプロバイダの認証ポリシ要件を、前記ネットワークを介して前記第2のデバイスへ再度送信し、かつ前記送信されたさらに他の情報をさらに送信するように、さらに構成され、
    前記第2のデバイスは、前記再度送信された第1のプロバイダの認証ポリシ要件に応答して、前記第1のユーザの識別子およびユーザが入力した検証情報を、前記ネットワークを介して前記認証サーバへ再度送信するように、さらに構成され、かつ、
    前記認証サーバは、前記再度送信された第1のユーザの識別子を前記格納された第1のユーザの識別子と照合し、前記再度送信された検証情報が前記格納された第1のサービスプロバイダの認証ポリシ要件に一致することを決定し、前記第1のユーザを認証するために、前記再度送信された検証情報を前記第1のユーザの識別子に関連づけて格納されている前記検証情報と比較し、かつ、前記認証サーバが前記格納された第1のユーザの認証情報を無効にした後、前記格納された第1のユーザの認証情報が無効であると決定するように、さらに構成される、請求項6に記載のネットワークシステム。
  8. 前記認証サーバは、前記格納された第1のユーザの認証情報が無効であると決定した後、前記ネットワークを介して前記第1のサービスプロバイダへ、前記検証情報に基づく前記第1のユーザの認証の通知、および前記第1のユーザの認証情報の無効性の通知を送信するように、さらに構成される、請求項に7記載のネットワークシステム。
  9. 前記認証サーバは、前記格納された第1のユーザの認証情報が無効であると決定した後、前記ネットワークを介して前記第2のデバイスへ代替認証情報要求を送信するように、さらに構成され、
    前記第2のデバイスは、前記送信された代替認証情報要求に応答して代替認証情報を、前記ネットワークを介して前記認証サーバへ送信するように、さらに構成され、かつ、
    前記認証サーバは、前記送信された代替認証情報を前記第1のユーザの識別子に関連づけて格納し、前記送信された代替認証情報の証書を生成し、かつ前記ネットワークを介して前記第2のデバイスへ、前記生成された証書を前記第1のサービスプロバイダによる前記第1のユーザの再登録に使用するために送信するように、さらに構成される、請求項7に記載のネットワークシステム。
  10. 前記第2のデバイスは、前記ネットワークを介して前記認証サーバへ、前記他のランダム数および前記さらに他の情報を含み、前記第1のユーザの前記代替認証情報で署名された他のメッセージを送信するように、さらに構成され、かつ、
    前記認証サーバは、(i)前記格納された第1のユーザの代替認証情報を前記受信された他の署名入りメッセージに適用することにより、前記他のランダム数および前記さらに他の情報を検査して前記第1のユーザをさらに認証し、かつ(ii)前記第1のユーザの認証通知および前記他の署名入りメッセージを、前記ネットワークを介して前記ネットワークサーバへ送信するように、さらに構成される、請求項9に記載のネットワークシステム。
  11. 前記第2のデバイスは、前記ネットワークを介して前記認証サーバへ前記第1のユーザの他の認証情報を送信するように、さらに構成され、かつ前記認証サーバは、前記受信された第1のユーザの他の認証情報を前記第1のユーザの他の識別子に関連づけて格納するように、さらに構成され、かつ、
    前記複数の異なるサービスプロバイダのうちの第2のサービスプロバイダに関連づけられ、かつ前記ネットワークを介して前記認証サーバへ、(i)他のランダム数を求める要求と、(ii)さらに他の情報と、を送信するように構成される他のネットワークサーバをさらに備え、
    前記認証サーバは、前記送信された他のランダム数の要求に応答して、他のランダム数を、前記ネットワークを介して前記他のネットワークサーバへ送信するように、さらに構成され、
    前記第1のデバイスは、前記ネットワークを介して前記第2のサービスプロバイダへ他のログイン要求を送信するように、さらに構成され、
    前記他のネットワークサーバは、前記送信された他のログイン要求に応答して、前記送信された他のランダム数を、前記ネットワークを介して前記第1のデバイスへさらに送信するように、さらに構成され、
    前記第2のデバイスは、前記さらに送信された他のランダム数を前記第1のデバイスから自身へ転送する入力を受信するように、かつ前記入力された他のランダム数および前記第1のユーザの他の認証要求を、前記ネットワークを介して前記認証サーバへさらに送信するように、さらに構成され、
    前記認証サーバは、前記第2のデバイスによる前記他のランダム数および他の認証要求の送信の後、前記ネットワークを介して前記第2のデバイスへ、前記格納された第2のプロバイダの識別子および前記格納されかつ関連づけられた第2のプロバイダの認証ポリシ要件を送信するように、かつ前記送信されたさらに他の情報をさらに送信するように、さらに構成され、
    前記第2のデバイスは、前記送信された第2のプロバイダの認証ポリシ要件に応答して、前記第1のユーザの他の識別子およびユーザが入力した他の検証情報を、前記ネットワークを介して前記認証サーバへ送信するように、さらに構成され、
    前記認証サーバは、前記送信された第1のユーザの他の識別子を前記格納された第1のユーザの他の識別子と照合し、前記送信された他の検証情報が前記格納された第2のサービスプロバイダの認証ポリシ要件に一致することを決定し、かつ前記第1のユーザを認証するために、前記送信された他の検証情報を前記第1のユーザの他の識別子に関連づけて格納されている前記検証情報と比較するように、さらに構成され、
    前記第2のデバイスは、前記送信された他のランダム数および前記さらに送信されたさらに他の情報を含み、前記第1のユーザの他の認証情報で署名された他のメッセージを、前記ネットワークを介して前記認証サーバへ送信するように、さらに構成され、かつ、
    前記認証サーバは、前記ネットワークを介して前記他のネットワークサーバへ、前記第1のユーザの他の認証通知を送信し、かつ前記受信された他の署名入りメッセージをさらに送信するように、さらに構成される、請求項3に記載のネットワークシステム。
  12. 前記第2のデバイスは、前記ネットワークを介して前記認証サーバへ、第1のユーザの認証ポリシ要件を送信するように、さらに構成され、かつ、
    前記認証サーバは、前記送信された第1のユーザの認証ポリシ要件を格納し、前記格納された第1のプロバイダの認証ポリシ要件を前記格納された第1のユーザの認証ポリシ要件と比較し、前記比較に基づいて、任意の追加的な認証ポリシ要件を決定し、決定された任意の追加的な認証ポリシ要件を、前記ネットワークを介して前記第2のデバイスへ送信し、かつ、さらに、前記第2のデバイスにより送信された前記検証情報が決定された任意の追加的な認証ポリシ要件に一致することを決定するように、さらに構成される、請求項1に記載のネットワークシステム。
  13. 前記第2のデバイスは、前記第1のユーザの秘密データを生成し、前記秘密データを複数の部分に分割し、前記第1のユーザの認証情報を前記秘密データで暗号化し、前記暗号化された認証情報を格納し、かつ前記複数の秘密データ部分のうちの第1の部分を、前記ネットワークを介して前記認証サーバへ送信するように、さらに構成され、
    前記認証サーバは、前記送信された第1の秘密データ部分を格納し、かつ前記格納された第1の秘密データ部分を、前記第1のユーザの認証後に、前記ネットワークを介して前記第2のデバイスへ送信するように、さらに構成され、
    前記第2のデバイスは、前記認証サーバにより送信された前記第1の秘密データ部分を前記他の秘密データ部分に結合して秘密データ全体を取得し、かつ前記格納されている暗号化された認証情報を前記取得された秘密データで復号するように、さらに構成され、かつ、
    前記署名入りメッセージは、前記復号された認証情報で署名される、請求項1に記載のネットワークシステム。
  14. 前記ネットワークサーバは、前記ネットワークを介して前記認証サーバへ、前記第1のサービスプロバイダの識別子、トランザクション識別子、トランザクション認証要件および前記トランザクションに関するメッセージを送信するように、さらに構成され、前記メッセージは、前記第1のユーザの秘密/公開鍵ペアのうちの公開鍵を用いて暗号化され、前記第1のユーザの秘密/公開鍵ペアのうちの秘密鍵は、前記第1のユーザにのみ知られ、かつ前記メッセージは、前記第1のサービスプロバイダの秘密/公開鍵ペアのうちの秘密鍵で署名もされ、前記第1のサービスプロバイダの秘密/公開鍵ペアのうちの公開鍵は、前記第1のユーザに知られ、
    前記認証サーバは、前記ネットワークを介して前記第2のデバイスへ、前記送信されたトランザクション識別子、トランザクション認証要件、および暗号化された署名入りメッセージをさらに送信するように、さらに構成され、
    前記第2のデバイスは、前記トランザクション識別子、トランザクション認証要件および暗号化された署名入りメッセージの送信後、トランザクション承認及び認証情報のうちの少なくとも一方を、前記ネットワークを介して前記認証サーバへ送信するように、さらに構成され、かつ、
    前記認証サーバは、(a)前記トランザクション承認および前記認証情報のうちの前記受信された少なくとも一方に基づいて、(i)前記識別されたトランザクションが前記第1のユーザによって承認されること、および(ii)前記第1のユーザが真正であること、のうちの少なくとも1つを決定するように、かつ(b)前記決定の通知を、前記ネットワークを介して前記ネットワークサーバおよび前記第1のデバイスのうちの少なくとも一方へ送信するように、さらに構成される、請求項1に記載のネットワークシステム。
  15. 前記第1のユーザデバイスおよび前記第2のユーザデバイスは、同じデバイスであり、
    前記ランダム数は、セッション識別子として機能し、かつ、
    前記他の情報は、他のランダム数である、請求項1に記載のネットワークシステム。
  16. 前記第1のデバイスは、前記ネットワークサーバからの前記さらに送信されたランダム数を視覚的に表示するようにさらに構成され、
    前記さらに送信されたランダム数は、光学コードの形式であり、かつ、
    前記第2のデバイスは、カメラを含み、かつ前記さらに送信されたランダム数に一致する前記受信される入力は、前記カメラを介して、前記提示された光学コードのデジタル画像として受信される、請求項1に記載のネットワークシステム。
  17. 前記認証サーバは、前記複数の異なるサービスプロバイダの各々の前記プロバイダ識別子を、前記該当するサービスプロバイダのプロバイダ・登録データ要件に関連づけて格納するように、さらに構成され、
    前記第2のデバイスは、(i)ユーザが入力したユーザ識別セット、ユーザが入力した登録データ、および前記受信された識別セットにおける個々の識別に関連づけられるべき前記入力された登録データのうちでユーザが選択した特定のデータ、を受信し、かつ(ii)個々の識別を、その識別に関連づけられるべく選択された前記特定の登録データに関連づけて格納するように、さらに構成され、
    前記第1のデバイスは、前記ネットワークを介して登録要求を前記ネットワークサーバへ送信するように、さらに構成され、
    前記ネットワークサーバは、前記ネットワークを介して前記認証サーバへ、他のランダム数の要求を送信するように、さらに構成され、
    前記認証サーバは、前記送信された他のランダム数の要求に応答して、他のランダム数を、前記ネットワークを介して前記ネットワークサーバへ送信するように、さらに構成され、
    前記ネットワークサーバは、前記送信された登録要求に応答して、前記送信された他のランダム数を、前記ネットワークを介して前記第1のデバイスへさらに送信するように、さらに構成され、
    前記第2のデバイスは、前記さらに送信された他のランダム数を前記第1のデバイスから自身へ転送する入力を受信し、かつ、前記入力された他のランダム数、および前記第1のサービスプロバイダによって登録されるべき前記第1のユーザの要求を、前記ネットワークを介して前記認証サーバへさらに送信するように、さらに構成され、
    前記認証サーバは、前記第2のデバイスによる前記他のランダム数および登録要求の送信の後、前記格納された第1のプロバイダの識別子、および前記格納されかつ関連づけられた第1のプロバイダの登録データ要件を、前記ネットワークを介して前記第2のデバイスへ送信するように、さらに構成され、
    前記第2のデバイスは、前記格納されたユーザ識別のうちの1つを選択するユーザ入力を受信し、前記選択されて入力された識別に応答して、前記選択されたユーザ識別に関連づけて格納された前記特定の登録データを自動的に検索し、かつ前記検索された登録データを、前記ネットワークを介して前記認証サーバへ送信するように、さらに構成され、
    前記認証サーバは、前記送信された登録データが、前記格納された第1のサービスプロバイダの登録データ要件に一致することを決定し、かつ前記第1のサービスプロバイダによって前記第1のユーザを登録するために、前記送信された登録データを、前記ネットワークを介して前記ネットワークサーバへさらに送信するように、さらに構成される、請求項1に記載のネットワークシステム。
  18. 前記ネットワークサーバは、登録要求および前記第1のサービスプロバイダの秘密/公開鍵ペアのうちの公開鍵を、前記ネットワークを介して前記認証サーバへ送信するように、さらに構成され、前記第1のサービスプロバイダの秘密/公開鍵ペアのうちの秘密鍵は、前記ネットワークサーバにのみ知られ、かつ、
    前記認証サーバは、(i)前記送信された第1のプロバイダの公開鍵を格納し、かつ(ii)前記認証サーバの秘密/公開鍵ペアのうちの秘密鍵で署名された、前記第1のプロバイダの公開鍵を含む証書を、前記ネットワークを介して前記ネットワークサーバへ送信するように、さらに構成され、前記認証サーバの秘密/公開鍵ペアのうちの公開鍵は、前記ネットワークサーバに知られる、請求項1に記載のネットワークシステム。
  19. 前記第2のデバイスは、登録要求および前記第1のユーザの秘密/公開鍵ペアのうちの公開鍵を、前記ネットワークを介して前記認証サーバへ送信するように、さらに構成され、前記第1のユーザの秘密/公開鍵ペアのうちの前記秘密鍵は、前記第2のデバイスにのみ知られ、かつ、
    前記認証サーバは、(i)前記送信された第1のユーザの公開鍵を格納し、かつ(ii)前記認証サーバの秘密鍵で署名された、前記第1のユーザの公開鍵を含む証書を、前記ネットワークを介して前記第2のデバイスへ送信するように、さらに構成され、前記認証サーバの秘密/公開鍵ペアのうちの前記公開鍵は、前記第2のデバイスに知られる、請求項18に記載のネットワークシステム。
JP2015503560A 2012-04-01 2013-03-28 マルチパーティシステムにおける安全な認証 Expired - Fee Related JP5844001B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201261618813P 2012-04-01 2012-04-01
US61/618,813 2012-04-01
US201261645252P 2012-05-10 2012-05-10
US61/645,252 2012-05-10
PCT/US2013/034240 WO2013151854A1 (en) 2012-04-01 2013-03-28 Secure authentication in a multi-party system

Publications (2)

Publication Number Publication Date
JP2015519777A true JP2015519777A (ja) 2015-07-09
JP5844001B2 JP5844001B2 (ja) 2016-01-13

Family

ID=49236696

Family Applications (3)

Application Number Title Priority Date Filing Date
JP2015503559A Active JP5903190B2 (ja) 2012-04-01 2013-03-28 マルチパーティシステムにおける安全な認証
JP2015503557A Active JP5926441B2 (ja) 2012-04-01 2013-03-28 マルチパーティシステムにおける安全な認証
JP2015503560A Expired - Fee Related JP5844001B2 (ja) 2012-04-01 2013-03-28 マルチパーティシステムにおける安全な認証

Family Applications Before (2)

Application Number Title Priority Date Filing Date
JP2015503559A Active JP5903190B2 (ja) 2012-04-01 2013-03-28 マルチパーティシステムにおける安全な認証
JP2015503557A Active JP5926441B2 (ja) 2012-04-01 2013-03-28 マルチパーティシステムにおける安全な認証

Country Status (10)

Country Link
US (6) US9641520B2 (ja)
EP (3) EP2834959B1 (ja)
JP (3) JP5903190B2 (ja)
AU (3) AU2013243768B2 (ja)
CA (3) CA2866500C (ja)
DE (3) DE13771788T1 (ja)
ES (3) ES2553220T1 (ja)
HK (3) HK1203002A1 (ja)
SG (3) SG11201405282RA (ja)
WO (3) WO2013151851A2 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018082244A (ja) * 2016-11-14 2018-05-24 ソラミツ株式会社 ログイン認証システム、ログイン認証システムにおけるサービスプロバイダ及び認証サーバ、ログイン認証システムにおけるサービスプロバイダ、認証サーバ、コンピュータ及び携帯端末のためのログイン認証方法及びプログラム
KR20190008333A (ko) * 2016-05-13 2019-01-23 알리바바 그룹 홀딩 리미티드 복제 공격을 방지하기 위한 처리 방법, 및 서버 및 클라이언트
JP7404415B2 (ja) 2022-02-18 2023-12-25 Lineヤフー株式会社 認証装置、及び認証方法
JP7438984B2 (ja) 2019-02-01 2024-02-27 オラクル・インターナショナル・コーポレイション ユーザフットプリントなしのマルチファクタ認証

Families Citing this family (460)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20230116073A (ko) 2007-09-24 2023-08-03 애플 인크. 전자 장치 내의 내장형 인증 시스템들
US8600120B2 (en) 2008-01-03 2013-12-03 Apple Inc. Personal computing device control using face detection and recognition
US8869243B2 (en) 2008-12-26 2014-10-21 Facebook, Inc. Authenticating user sessions based on reputation of user locations
US9544143B2 (en) 2010-03-03 2017-01-10 Duo Security, Inc. System and method of notifying mobile devices to complete transactions
US9532222B2 (en) 2010-03-03 2016-12-27 Duo Security, Inc. System and method of notifying mobile devices to complete transactions after additional agent verification
US9270663B2 (en) 2010-04-30 2016-02-23 T-Central, Inc. System and method to enable PKI- and PMI-based distributed locking of content and distributed unlocking of protected content and/or scoring of users and/or scoring of end-entity access means—added
US9356916B2 (en) 2010-04-30 2016-05-31 T-Central, Inc. System and method to use a cloud-based platform supported by an API to authenticate remote users and to provide PKI- and PMI-based distributed locking of content and distributed unlocking of protected content
US20160225226A1 (en) * 2010-09-30 2016-08-04 Jesus Pereo-OcHoa Method and System of Playing Game through Communication Tool
CN102868665B (zh) * 2011-07-05 2016-07-27 华为软件技术有限公司 数据传输的方法及装置
US9467463B2 (en) 2011-09-02 2016-10-11 Duo Security, Inc. System and method for assessing vulnerability of a mobile device
US9497293B2 (en) * 2011-09-16 2016-11-15 Google Inc. Mechanism for pairing user's secondary client device with a data center interacting with the users primary client device using QR codes
US9002322B2 (en) 2011-09-29 2015-04-07 Apple Inc. Authentication with secondary approver
US8769624B2 (en) 2011-09-29 2014-07-01 Apple Inc. Access control utilizing indirect authentication
US10484355B1 (en) * 2017-03-08 2019-11-19 Amazon Technologies, Inc. Detecting digital certificate expiration through request processing
US9269358B1 (en) * 2012-07-11 2016-02-23 Microstrategy Incorporated User credentials
US9887992B1 (en) 2012-07-11 2018-02-06 Microstrategy Incorporated Sight codes for website authentication
US20140095406A1 (en) * 2012-07-25 2014-04-03 Devicescape Software, Inc. Systems and Methods for Enhanced Engagement
US8850542B2 (en) * 2012-08-09 2014-09-30 Desire2Learn Incorporated Code-based authorization of mobile device
US9578499B2 (en) * 2012-08-21 2017-02-21 Facebook, Inc. Authenticating user sessions based on information obtained from mobile devices
US8775807B1 (en) 2012-10-26 2014-07-08 Microstrategy Incorporated Credential tracking
US9280645B1 (en) 2012-11-15 2016-03-08 Emc Corporation Local and remote verification
US9294474B1 (en) * 2012-11-15 2016-03-22 Emc Corporation Verification based on input comprising captured images, captured audio and tracked eye movement
US9640001B1 (en) 2012-11-30 2017-05-02 Microstrategy Incorporated Time-varying representations of user credentials
US9113347B2 (en) 2012-12-05 2015-08-18 At&T Intellectual Property I, Lp Backhaul link for distributed antenna system
US10009065B2 (en) 2012-12-05 2018-06-26 At&T Intellectual Property I, L.P. Backhaul link for distributed antenna system
US9462467B2 (en) * 2012-12-05 2016-10-04 Nowww.Us Pty Ltd. Secure processing system for use with a portable communication device
US9942750B2 (en) * 2013-01-23 2018-04-10 Qualcomm Incorporated Providing an encrypted account credential from a first device to a second device
US9027097B2 (en) * 2013-02-06 2015-05-05 Dropbox, Inc. Client application assisted automatic user log in
US9338156B2 (en) 2013-02-22 2016-05-10 Duo Security, Inc. System and method for integrating two-factor authentication in a device
US8893230B2 (en) 2013-02-22 2014-11-18 Duo Security, Inc. System and method for proxying federated authentication protocols
US9607156B2 (en) 2013-02-22 2017-03-28 Duo Security, Inc. System and method for patching a device through exploitation
US9154303B1 (en) 2013-03-14 2015-10-06 Microstrategy Incorporated Third-party authorization of user credentials
WO2014143776A2 (en) 2013-03-15 2014-09-18 Bodhi Technology Ventures Llc Providing remote interactions with host device using a wireless device
US9306943B1 (en) * 2013-03-29 2016-04-05 Emc Corporation Access point—authentication server combination
KR101440274B1 (ko) * 2013-04-25 2014-09-17 주식회사 슈프리마 얼굴 인식 서비스 제공 장치 및 방법
NL2010733C2 (nl) * 2013-04-29 2014-10-30 Baseline Automatisering B V Werkwijzen voor authenticatie, server, inrichting en datadrager.
US9509676B1 (en) * 2013-04-30 2016-11-29 United Services Automobile Association (Usaa) Efficient startup and logon
US9430624B1 (en) * 2013-04-30 2016-08-30 United Services Automobile Association (Usaa) Efficient logon
US20140337957A1 (en) * 2013-05-07 2014-11-13 Dannie Gerrit Feekes Out-of-band authentication
CN104092644B (zh) * 2013-05-30 2018-09-07 腾讯科技(深圳)有限公司 一种交互方法、装置、客户端及服务器
US9525524B2 (en) 2013-05-31 2016-12-20 At&T Intellectual Property I, L.P. Remote distributed antenna system
US9999038B2 (en) 2013-05-31 2018-06-12 At&T Intellectual Property I, L.P. Remote distributed antenna system
US9659424B2 (en) * 2013-06-20 2017-05-23 Parakeet Technologies, Inc. Technologies and methods for security access
US9425962B2 (en) * 2013-06-21 2016-08-23 Intel IP Corporation Low energy Bluetooth system with authentication during connectionless advertising and broadcasting
BR112015032258B1 (pt) * 2013-06-24 2023-01-31 Telefonica Digital Espana, S.L.U. Método implementado por computador para segurança de operações em sistemas de autenticação e autorização utilizando informações biométricas e sistema de comunicação para segurança de operações em sistemas de autenticação e autorização utilizando informações biométricas
US20150033306A1 (en) * 2013-07-25 2015-01-29 International Business Machines Corporation Apparatus and method for system user authentication
US10366391B2 (en) 2013-08-06 2019-07-30 Visa International Services Association Variable authentication process and system
US20180082050A1 (en) * 2013-09-08 2018-03-22 Yona Flink Method and a system for secure login to a computer, computer network, and computer website using biometrics and a mobile computing wireless electronic communication device
US9898642B2 (en) 2013-09-09 2018-02-20 Apple Inc. Device, method, and graphical user interface for manipulating user interfaces based on fingerprint sensor inputs
US9608814B2 (en) 2013-09-10 2017-03-28 Duo Security, Inc. System and method for centralized key distribution
US9092302B2 (en) 2013-09-10 2015-07-28 Duo Security, Inc. System and method for determining component version compatibility across a device ecosystem
EP2849448A1 (fr) * 2013-09-13 2015-03-18 Nagravision S.A. Méthode pour contrôler l'accès à du contenu diffusé
US9553872B2 (en) * 2013-09-20 2017-01-24 Verizon Patent And Licensing Inc. Method and system for providing zero sign on user authentication
US10083436B1 (en) 2013-09-30 2018-09-25 Asignio Inc. Electronic payment systems and methods
US10154026B2 (en) * 2013-10-15 2018-12-11 Microsoft Technology Licensing, Llc Secure remote modification of device credentials using device-generated credentials
US10069811B2 (en) * 2013-10-17 2018-09-04 Arm Ip Limited Registry apparatus, agent device, application providing apparatus and corresponding methods
US9860235B2 (en) 2013-10-17 2018-01-02 Arm Ip Limited Method of establishing a trusted identity for an agent device
US9307405B2 (en) 2013-10-17 2016-04-05 Arm Ip Limited Method for assigning an agent device from a first device registry to a second device registry
US9438597B1 (en) * 2013-10-22 2016-09-06 Microstrategy Incorporated Regulating credential information dissemination
US11935633B1 (en) * 2013-10-25 2024-03-19 Epic Systems Corporation Secure mobile device provisioning system
US10491587B2 (en) * 2013-10-28 2019-11-26 Singou Technology Ltd. Method and device for information system access authentication
US11055721B2 (en) * 2013-10-30 2021-07-06 Tencent Technology (Shenzhen) Company Limited Method, device and system for information verification
US9774448B2 (en) 2013-10-30 2017-09-26 Duo Security, Inc. System and methods for opportunistic cryptographic key management on an electronic device
US8897697B1 (en) 2013-11-06 2014-11-25 At&T Intellectual Property I, Lp Millimeter-wave surface-wave communications
US20150134524A1 (en) * 2013-11-12 2015-05-14 State Farm Mutual Automobile Insurance Company Real-Time External Financial Account Verification
US9209902B2 (en) 2013-12-10 2015-12-08 At&T Intellectual Property I, L.P. Quasi-optical coupler
US9473491B1 (en) 2014-12-16 2016-10-18 Amazon Technologies, Inc. Computing device with integrated authentication token
US10362026B2 (en) 2013-12-16 2019-07-23 Amazon Technologies, Inc. Providing multi-factor authentication credentials via device notifications
US10866711B1 (en) 2013-12-16 2020-12-15 Amazon Technologies, Inc. Providing account information to applications
US10841297B2 (en) 2013-12-16 2020-11-17 Amazon Technologies, Inc. Providing multi-factor authentication credentials via device notifications
WO2015096906A1 (en) * 2013-12-23 2015-07-02 Nec Europe Ltd. Method and system for assessing a message in a decentralized communication network
US10686781B1 (en) 2013-12-24 2020-06-16 Affirm Inc. System and method for passwordless logins
WO2015102880A1 (en) * 2013-12-30 2015-07-09 Vasco Data Security, Inc. An authentication apparatus with a bluetooth interface
US9407705B2 (en) * 2014-01-02 2016-08-02 Paypal, Inc. Proxied push notifications based on user interaction
KR101762376B1 (ko) * 2014-01-10 2017-07-27 한국전자통신연구원 모바일 인증 시스템 및 방법
EP2899942A1 (en) * 2014-01-27 2015-07-29 Thomson Licensing Provision of a network parameter to a client device
US20150237143A1 (en) 2014-02-14 2015-08-20 Adobe Systems Incorporated Image Session Identifier Techniques
CN105981326B (zh) * 2014-02-26 2019-05-14 三菱电机株式会社 证书管理装置和证书管理方法
KR102144509B1 (ko) * 2014-03-06 2020-08-14 삼성전자주식회사 근접 통신 방법 및 장치
US9265079B2 (en) * 2014-03-13 2016-02-16 Microsoft Technology Licensing, Llc Authentication and pairing of devices using a machine readable code
CA2942765C (en) 2014-03-16 2022-05-17 Ric B. Richardson Persistent authentication system incorporating one time pass codes
US10079826B2 (en) * 2014-03-19 2018-09-18 BluInk Ltd. Methods and systems for data entry
US10176542B2 (en) * 2014-03-24 2019-01-08 Mastercard International Incorporated Systems and methods for identity validation and verification
KR101683251B1 (ko) * 2014-03-27 2016-12-06 한국전자통신연구원 센서 네트워크에서 센서 노드 설정 방법, 보안 설정 방법 및 이를 포함하는 센서 네트워크 시스템
JP2015194947A (ja) * 2014-03-31 2015-11-05 ソニー株式会社 情報処理装置及びコンピュータプログラム
DE102014206325A1 (de) * 2014-04-02 2015-10-08 Bundesdruckerei Gmbh Verteiltes Authentifizierungssystem
CA2945703C (en) * 2014-04-14 2019-09-10 Mastercard International Incorporated Systems, apparatus and methods for improved authentication
US9762590B2 (en) * 2014-04-17 2017-09-12 Duo Security, Inc. System and method for an integrity focused authentication service
US9537854B2 (en) * 2014-04-18 2017-01-03 Symantec Corporation Transmitting encoded digital certificate data to certificate authority using mobile device
US9401895B2 (en) * 2014-04-30 2016-07-26 Fujitsu Limited Device configuration for secure communication
US11665145B1 (en) * 2014-05-02 2023-05-30 Navroop Mitter Method of providing end to end encryption with auditability
CN104378344B (zh) 2014-05-26 2016-03-09 腾讯科技(深圳)有限公司 登录信息传输方法、扫码方法及装置、后台服务器
US10043185B2 (en) 2014-05-29 2018-08-07 Apple Inc. User interface for payments
US20170192730A1 (en) 2014-05-30 2017-07-06 Apple Inc. Continuity
US9967401B2 (en) 2014-05-30 2018-05-08 Apple Inc. User interface for phone call routing among devices
CN104065652B (zh) * 2014-06-09 2015-10-14 北京石盾科技有限公司 一种身份验证方法、装置、系统及相关设备
US9819743B2 (en) * 2014-06-10 2017-11-14 Cisco Technology, Inc. Transfer of session from interactive digital sign to mobile device
US9882892B1 (en) * 2014-06-18 2018-01-30 Intuit Inc. User authorization using intent tokens
US9264419B1 (en) * 2014-06-26 2016-02-16 Amazon Technologies, Inc. Two factor authentication with authentication objects
GB2527603B (en) 2014-06-27 2016-08-10 Ibm Backup and invalidation of authentication credentials
US10154409B2 (en) 2014-07-17 2018-12-11 Cirrent, Inc. Binding an authenticated user with a wireless device
US10834592B2 (en) 2014-07-17 2020-11-10 Cirrent, Inc. Securing credential distribution
US10356651B2 (en) 2014-07-17 2019-07-16 Cirrent, Inc. Controlled connection of a wireless device to a network
US9942756B2 (en) 2014-07-17 2018-04-10 Cirrent, Inc. Securing credential distribution
US9509705B2 (en) * 2014-08-07 2016-11-29 Wells Fargo Bank, N.A. Automated secondary linking for fraud detection systems
US20160048842A1 (en) * 2014-08-15 2016-02-18 Capital One Financial Corporation System and method for financial transfers from a financial account using social media
US10339293B2 (en) 2014-08-15 2019-07-02 Apple Inc. Authenticated device used to unlock another device
US9654972B2 (en) * 2014-08-18 2017-05-16 Qualcomm Incorporated Secure provisioning of an authentication credential
US9692101B2 (en) 2014-08-26 2017-06-27 At&T Intellectual Property I, L.P. Guided wave couplers for coupling electromagnetic waves between a waveguide surface and a surface of a wire
US10115089B2 (en) * 2014-09-03 2018-10-30 Paypal, Inc. Payment authorization system
GB2529838B (en) 2014-09-03 2021-06-30 Advanced Risc Mach Ltd Bootstrap Mechanism For Endpoint Devices
GB2530028B8 (en) 2014-09-08 2021-08-04 Advanced Risc Mach Ltd Registry apparatus, agent device, application providing apparatus and corresponding methods
US9768833B2 (en) 2014-09-15 2017-09-19 At&T Intellectual Property I, L.P. Method and apparatus for sensing a condition in a transmission medium of electromagnetic waves
US9838205B2 (en) * 2014-09-16 2017-12-05 Keypasco Ab Network authentication method for secure electronic transactions
US9686245B2 (en) * 2014-09-16 2017-06-20 Entersekt International Limited System and method for secure authentication
US10063280B2 (en) 2014-09-17 2018-08-28 At&T Intellectual Property I, L.P. Monitoring and mitigating conditions in a communication network
US9628854B2 (en) 2014-09-29 2017-04-18 At&T Intellectual Property I, L.P. Method and apparatus for distributing content in a communication network
US9615269B2 (en) 2014-10-02 2017-04-04 At&T Intellectual Property I, L.P. Method and apparatus that provides fault tolerance in a communication network
US9685992B2 (en) 2014-10-03 2017-06-20 At&T Intellectual Property I, L.P. Circuit panel network and methods thereof
US9503189B2 (en) 2014-10-10 2016-11-22 At&T Intellectual Property I, L.P. Method and apparatus for arranging communication sessions in a communication system
EP3207684A4 (en) * 2014-10-13 2018-06-06 Vivial Mobile LLC Secure two-way authentication using encoded mobile image
US9762289B2 (en) 2014-10-14 2017-09-12 At&T Intellectual Property I, L.P. Method and apparatus for transmitting or receiving signals in a transportation system
US9973299B2 (en) 2014-10-14 2018-05-15 At&T Intellectual Property I, L.P. Method and apparatus for adjusting a mode of communication in a communication network
US9653770B2 (en) 2014-10-21 2017-05-16 At&T Intellectual Property I, L.P. Guided wave coupler, coupling module and methods for use therewith
US9577306B2 (en) 2014-10-21 2017-02-21 At&T Intellectual Property I, L.P. Guided-wave transmission device and methods for use therewith
US9780834B2 (en) 2014-10-21 2017-10-03 At&T Intellectual Property I, L.P. Method and apparatus for transmitting electromagnetic waves
US9627768B2 (en) 2014-10-21 2017-04-18 At&T Intellectual Property I, L.P. Guided-wave transmission device with non-fundamental mode propagation and methods for use therewith
US9312919B1 (en) 2014-10-21 2016-04-12 At&T Intellectual Property I, Lp Transmission device with impairment compensation and methods for use therewith
US9769020B2 (en) 2014-10-21 2017-09-19 At&T Intellectual Property I, L.P. Method and apparatus for responding to events affecting communications in a communication network
US9520945B2 (en) 2014-10-21 2016-12-13 At&T Intellectual Property I, L.P. Apparatus for providing communication services and methods thereof
US9564947B2 (en) 2014-10-21 2017-02-07 At&T Intellectual Property I, L.P. Guided-wave transmission device with diversity and methods for use therewith
US10904234B2 (en) * 2014-11-07 2021-01-26 Privakey, Inc. Systems and methods of device based customer authentication and authorization
US9461706B1 (en) 2015-07-31 2016-10-04 At&T Intellectual Property I, Lp Method and apparatus for exchanging communication signals
US9742462B2 (en) 2014-12-04 2017-08-22 At&T Intellectual Property I, L.P. Transmission medium and communication interfaces and methods for use therewith
US10243784B2 (en) 2014-11-20 2019-03-26 At&T Intellectual Property I, L.P. System for generating topology information and methods thereof
US9954287B2 (en) 2014-11-20 2018-04-24 At&T Intellectual Property I, L.P. Apparatus for converting wireless signals and electromagnetic waves and methods thereof
US9544006B2 (en) 2014-11-20 2017-01-10 At&T Intellectual Property I, L.P. Transmission device with mode division multiplexing and methods for use therewith
US9997819B2 (en) 2015-06-09 2018-06-12 At&T Intellectual Property I, L.P. Transmission medium and method for facilitating propagation of electromagnetic waves via a core
US9680670B2 (en) 2014-11-20 2017-06-13 At&T Intellectual Property I, L.P. Transmission device with channel equalization and control and methods for use therewith
CN111651797B (zh) * 2014-11-20 2023-05-16 创新先进技术有限公司 一种信息展示方法及装置
US9654173B2 (en) 2014-11-20 2017-05-16 At&T Intellectual Property I, L.P. Apparatus for powering a communication device and methods thereof
US10009067B2 (en) 2014-12-04 2018-06-26 At&T Intellectual Property I, L.P. Method and apparatus for configuring a communication interface
US9800327B2 (en) 2014-11-20 2017-10-24 At&T Intellectual Property I, L.P. Apparatus for controlling operations of a communication device and methods thereof
US10340573B2 (en) 2016-10-26 2019-07-02 At&T Intellectual Property I, L.P. Launcher with cylindrical coupling device and methods for use therewith
CN105592031B (zh) * 2014-11-25 2019-07-19 中国银联股份有限公司 基于身份认证的用户登陆方法及系统
US9706401B2 (en) 2014-11-25 2017-07-11 Microsoft Technology Licensing, Llc User-authentication-based approval of a first device via communication with a second device
US9979719B2 (en) 2015-01-06 2018-05-22 Duo Security, Inc. System and method for converting one-time passcodes to app-based authentication
WO2016118523A1 (en) * 2015-01-19 2016-07-28 InAuth, Inc. Systems and methods for trusted path secure communication
US10144036B2 (en) 2015-01-30 2018-12-04 At&T Intellectual Property I, L.P. Method and apparatus for mitigating interference affecting a propagation of electromagnetic waves guided by a transmission medium
KR101652625B1 (ko) * 2015-02-11 2016-08-30 주식회사 이베이코리아 온라인 웹사이트의 회원 로그인을 위한 보안인증 시스템 및 그 방법
US9876570B2 (en) 2015-02-20 2018-01-23 At&T Intellectual Property I, Lp Guided-wave transmission device with non-fundamental mode propagation and methods for use therewith
US9686272B2 (en) * 2015-02-24 2017-06-20 Go Daddy Operating Company, LLC Multi factor user authentication on multiple devices
US20220383315A1 (en) * 2015-03-04 2022-12-01 Trusona, Inc. Systems and methods for user identification using graphical barcode and payment card authentication read data
CN104734856B (zh) * 2015-03-05 2017-12-26 中国科学院信息工程研究所 一种抗服务器端信息泄露的口令认证方法
US10187388B2 (en) 2015-03-12 2019-01-22 At&T Intellectual Property I, L.P. System and method for managing electronic interactions based on defined relationships
US20160269403A1 (en) * 2015-03-12 2016-09-15 Wiacts Inc. Multi-factor user authentication
US9749013B2 (en) 2015-03-17 2017-08-29 At&T Intellectual Property I, L.P. Method and apparatus for reducing attenuation of electromagnetic waves guided by a transmission medium
US9641341B2 (en) 2015-03-31 2017-05-02 Duo Security, Inc. Method for distributed trust authentication
US10516527B1 (en) * 2015-04-17 2019-12-24 EMC IP Holding Company LLC Split-key based cryptography system for data protection and synchronization across multiple computing devices
US9705561B2 (en) 2015-04-24 2017-07-11 At&T Intellectual Property I, L.P. Directional coupling device and methods for use therewith
US10224981B2 (en) 2015-04-24 2019-03-05 At&T Intellectual Property I, Lp Passive electrical coupling device and methods for use therewith
US9948354B2 (en) 2015-04-28 2018-04-17 At&T Intellectual Property I, L.P. Magnetic coupling device with reflective plate and methods for use therewith
US9793954B2 (en) 2015-04-28 2017-10-17 At&T Intellectual Property I, L.P. Magnetic coupling device and methods for use therewith
CN107851111A (zh) 2015-05-05 2018-03-27 识卡公司 使用区块链的身份管理服务
US9961076B2 (en) * 2015-05-11 2018-05-01 Genesys Telecommunications Laboratoreis, Inc. System and method for identity authentication
US9748626B2 (en) 2015-05-14 2017-08-29 At&T Intellectual Property I, L.P. Plurality of cables having different cross-sectional shapes which are bundled together to form a transmission medium
US9490869B1 (en) 2015-05-14 2016-11-08 At&T Intellectual Property I, L.P. Transmission medium having multiple cores and methods for use therewith
US9871282B2 (en) 2015-05-14 2018-01-16 At&T Intellectual Property I, L.P. At least one transmission medium having a dielectric surface that is covered at least in part by a second dielectric
US10679767B2 (en) 2015-05-15 2020-06-09 At&T Intellectual Property I, L.P. Transmission medium having a conductive material and methods for use therewith
US10650940B2 (en) 2015-05-15 2020-05-12 At&T Intellectual Property I, L.P. Transmission medium having a conductive material and methods for use therewith
US9692603B2 (en) * 2015-05-15 2017-06-27 Verizon Patent And Licensing Inc. Biometric PKI authentication
US9917341B2 (en) 2015-05-27 2018-03-13 At&T Intellectual Property I, L.P. Apparatus and method for launching electromagnetic waves and for modifying radial dimensions of the propagating electromagnetic waves
ES2758755T3 (es) 2015-06-01 2020-05-06 Duo Security Inc Método para aplicar normas de salud de punto final
US9866309B2 (en) 2015-06-03 2018-01-09 At&T Intellectual Property I, Lp Host node device and methods for use therewith
US10103801B2 (en) 2015-06-03 2018-10-16 At&T Intellectual Property I, L.P. Host node device and methods for use therewith
US10348391B2 (en) 2015-06-03 2019-07-09 At&T Intellectual Property I, L.P. Client node device with frequency conversion and methods for use therewith
US9912381B2 (en) 2015-06-03 2018-03-06 At&T Intellectual Property I, Lp Network termination and methods for use therewith
US10812174B2 (en) 2015-06-03 2020-10-20 At&T Intellectual Property I, L.P. Client node device and methods for use therewith
US10154493B2 (en) 2015-06-03 2018-12-11 At&T Intellectual Property I, L.P. Network termination and methods for use therewith
US10063557B2 (en) 2015-06-07 2018-08-28 Apple Inc. Account access recovery system, method and apparatus
US9913139B2 (en) 2015-06-09 2018-03-06 At&T Intellectual Property I, L.P. Signal fingerprinting for authentication of communicating devices
US10142086B2 (en) 2015-06-11 2018-11-27 At&T Intellectual Property I, L.P. Repeater and methods for use therewith
US9608692B2 (en) 2015-06-11 2017-03-28 At&T Intellectual Property I, L.P. Repeater and methods for use therewith
US9820146B2 (en) 2015-06-12 2017-11-14 At&T Intellectual Property I, L.P. Method and apparatus for authentication and identity management of communicating devices
US9667317B2 (en) 2015-06-15 2017-05-30 At&T Intellectual Property I, L.P. Method and apparatus for providing security using network traffic adjustments
US9865911B2 (en) 2015-06-25 2018-01-09 At&T Intellectual Property I, L.P. Waveguide system for slot radiating first electromagnetic waves that are combined into a non-fundamental wave mode second electromagnetic wave on a transmission medium
US9509415B1 (en) 2015-06-25 2016-11-29 At&T Intellectual Property I, L.P. Methods and apparatus for inducing a fundamental wave mode on a transmission medium
US9640850B2 (en) 2015-06-25 2017-05-02 At&T Intellectual Property I, L.P. Methods and apparatus for inducing a non-fundamental wave mode on a transmission medium
US9843572B2 (en) * 2015-06-29 2017-12-12 Airwatch Llc Distributing an authentication key to an application installation
WO2017001342A1 (de) * 2015-06-30 2017-01-05 Fujitsu Technology Solutions Intellectual Property Gmbh Verfahren zum freischalten externer computersysteme in einer computernetz-infrastruktur, verteiltes rechnernetz mit einer solchen computernetz-infrastruktur sowie computerprogramm-produkt
CZ2015471A3 (cs) * 2015-07-07 2016-09-29 Aducid S.R.O. Způsob přiřazení alespoň dvou autentizačních zařízení k účtu jednoho uživatele pomocí autentizačního serveru
US9722318B2 (en) 2015-07-14 2017-08-01 At&T Intellectual Property I, L.P. Method and apparatus for coupling an antenna to a device
US10044409B2 (en) 2015-07-14 2018-08-07 At&T Intellectual Property I, L.P. Transmission medium and methods for use therewith
US10033108B2 (en) 2015-07-14 2018-07-24 At&T Intellectual Property I, L.P. Apparatus and methods for generating an electromagnetic wave having a wave mode that mitigates interference
US10341142B2 (en) 2015-07-14 2019-07-02 At&T Intellectual Property I, L.P. Apparatus and methods for generating non-interfering electromagnetic waves on an uninsulated conductor
US9853342B2 (en) 2015-07-14 2017-12-26 At&T Intellectual Property I, L.P. Dielectric transmission medium connector and methods for use therewith
US10033107B2 (en) 2015-07-14 2018-07-24 At&T Intellectual Property I, L.P. Method and apparatus for coupling an antenna to a device
US10148016B2 (en) 2015-07-14 2018-12-04 At&T Intellectual Property I, L.P. Apparatus and methods for communicating utilizing an antenna array
US9847566B2 (en) 2015-07-14 2017-12-19 At&T Intellectual Property I, L.P. Method and apparatus for adjusting a field of a signal to mitigate interference
US9882257B2 (en) 2015-07-14 2018-01-30 At&T Intellectual Property I, L.P. Method and apparatus for launching a wave mode that mitigates interference
US9628116B2 (en) 2015-07-14 2017-04-18 At&T Intellectual Property I, L.P. Apparatus and methods for transmitting wireless signals
KR102441758B1 (ko) * 2015-07-14 2022-09-13 삼성전자주식회사 전자 장치, 인증 대행 서버 및 결제 시스템
US10205655B2 (en) 2015-07-14 2019-02-12 At&T Intellectual Property I, L.P. Apparatus and methods for communicating utilizing an antenna array and multiple communication paths
US10320586B2 (en) 2015-07-14 2019-06-11 At&T Intellectual Property I, L.P. Apparatus and methods for generating non-interfering electromagnetic waves on an insulated transmission medium
US10170840B2 (en) 2015-07-14 2019-01-01 At&T Intellectual Property I, L.P. Apparatus and methods for sending or receiving electromagnetic signals
US9836957B2 (en) 2015-07-14 2017-12-05 At&T Intellectual Property I, L.P. Method and apparatus for communicating with premises equipment
US9793951B2 (en) 2015-07-15 2017-10-17 At&T Intellectual Property I, L.P. Method and apparatus for launching a wave mode that mitigates interference
US10090606B2 (en) 2015-07-15 2018-10-02 At&T Intellectual Property I, L.P. Antenna system with dielectric array and methods for use therewith
US9608740B2 (en) 2015-07-15 2017-03-28 At&T Intellectual Property I, L.P. Method and apparatus for launching a wave mode that mitigates interference
US10097546B2 (en) * 2015-07-22 2018-10-09 Verizon Patent And Licensing Inc. Authentication of a user device using traffic flow information
US9948333B2 (en) 2015-07-23 2018-04-17 At&T Intellectual Property I, L.P. Method and apparatus for wireless communications to mitigate interference
US9912027B2 (en) 2015-07-23 2018-03-06 At&T Intellectual Property I, L.P. Method and apparatus for exchanging communication signals
US9749053B2 (en) 2015-07-23 2017-08-29 At&T Intellectual Property I, L.P. Node device, repeater and methods for use therewith
US9871283B2 (en) 2015-07-23 2018-01-16 At&T Intellectual Property I, Lp Transmission medium having a dielectric core comprised of plural members connected by a ball and socket configuration
US10784670B2 (en) 2015-07-23 2020-09-22 At&T Intellectual Property I, L.P. Antenna support for aligning an antenna
US9864852B2 (en) * 2015-07-27 2018-01-09 Amazon Technologies, Inc. Approaches for providing multi-factor authentication credentials
US9774579B2 (en) 2015-07-27 2017-09-26 Duo Security, Inc. Method for key rotation
US10020587B2 (en) 2015-07-31 2018-07-10 At&T Intellectual Property I, L.P. Radial antenna and methods for use therewith
US9735833B2 (en) 2015-07-31 2017-08-15 At&T Intellectual Property I, L.P. Method and apparatus for communications management in a neighborhood network
US9967173B2 (en) 2015-07-31 2018-05-08 At&T Intellectual Property I, L.P. Method and apparatus for authentication and identity management of communicating devices
GB2540987B (en) 2015-08-03 2020-05-13 Advanced Risc Mach Ltd Bootstrapping without transferring private key
GB2540989B (en) 2015-08-03 2018-05-30 Advanced Risc Mach Ltd Server initiated remote device registration
US9852599B1 (en) 2015-08-17 2017-12-26 Alarm.Com Incorporated Safety monitoring platform
US9853965B2 (en) * 2015-08-24 2017-12-26 Verizon Patent And Licensing Inc. Authentication service for third party applications
CN106487767B (zh) * 2015-08-31 2020-01-21 阿里巴巴集团控股有限公司 验证信息的更新方法及装置
JP5951094B1 (ja) 2015-09-07 2016-07-13 ヤフー株式会社 生成装置、端末装置、生成方法、生成プログラム及び認証処理システム
JP6122924B2 (ja) * 2015-09-11 2017-04-26 ヤフー株式会社 提供装置、端末装置、提供方法、提供プログラム及び認証処理システム
US9904535B2 (en) 2015-09-14 2018-02-27 At&T Intellectual Property I, L.P. Method and apparatus for distributing software
US10079661B2 (en) 2015-09-16 2018-09-18 At&T Intellectual Property I, L.P. Method and apparatus for use with a radio distributed antenna system having a clock reference
US10009901B2 (en) 2015-09-16 2018-06-26 At&T Intellectual Property I, L.P. Method, apparatus, and computer-readable storage medium for managing utilization of wireless resources between base stations
US10009063B2 (en) 2015-09-16 2018-06-26 At&T Intellectual Property I, L.P. Method and apparatus for use with a radio distributed antenna system having an out-of-band reference signal
US9705571B2 (en) 2015-09-16 2017-07-11 At&T Intellectual Property I, L.P. Method and apparatus for use with a radio distributed antenna system
US10051629B2 (en) 2015-09-16 2018-08-14 At&T Intellectual Property I, L.P. Method and apparatus for use with a radio distributed antenna system having an in-band reference signal
US10136434B2 (en) 2015-09-16 2018-11-20 At&T Intellectual Property I, L.P. Method and apparatus for use with a radio distributed antenna system having an ultra-wideband control channel
US11816672B1 (en) 2015-09-22 2023-11-14 Wells Fargo Bank, N.A. Flexible authentication
US9769128B2 (en) 2015-09-28 2017-09-19 At&T Intellectual Property I, L.P. Method and apparatus for encryption of communications over a network
CN105323245A (zh) * 2015-09-29 2016-02-10 北京元心科技有限公司 智能终端及其授权方法和系统
AU2016333154B2 (en) * 2015-09-30 2020-03-19 Bluechain Pty Ltd Method for authenticating and authorising a transaction using a portable device
US9729197B2 (en) 2015-10-01 2017-08-08 At&T Intellectual Property I, L.P. Method and apparatus for communicating network management traffic over a network
US9882277B2 (en) 2015-10-02 2018-01-30 At&T Intellectual Property I, Lp Communication device and antenna assembly with actuated gimbal mount
US10074890B2 (en) 2015-10-02 2018-09-11 At&T Intellectual Property I, L.P. Communication device and antenna with integrated light assembly
US9876264B2 (en) 2015-10-02 2018-01-23 At&T Intellectual Property I, Lp Communication system, guided wave switch and methods for use therewith
US10355367B2 (en) 2015-10-16 2019-07-16 At&T Intellectual Property I, L.P. Antenna structure for exchanging wireless signals
US10051483B2 (en) 2015-10-16 2018-08-14 At&T Intellectual Property I, L.P. Method and apparatus for directing wireless signals
US10665942B2 (en) 2015-10-16 2020-05-26 At&T Intellectual Property I, L.P. Method and apparatus for adjusting wireless communications
JP2017084251A (ja) * 2015-10-30 2017-05-18 株式会社ダイテック ライセンス認証方法、ライセンス認証システムおよびライセンス認証プログラム
US10791104B2 (en) * 2015-11-20 2020-09-29 Asignio Inc. Systems and methods for authenticating users of a computer system
EP3185465A1 (en) * 2015-12-23 2017-06-28 Osmerus Investments Ltd A method for encrypting data and a method for decrypting data
US10778435B1 (en) * 2015-12-30 2020-09-15 Jpmorgan Chase Bank, N.A. Systems and methods for enhanced mobile device authentication
US9633659B1 (en) * 2016-01-20 2017-04-25 Motorola Mobility Llc Method and apparatus for voice enrolling an electronic computing device
GB2546740A (en) 2016-01-26 2017-08-02 Worldpay Ltd Electronic payment system and method
GB2547472A (en) * 2016-02-19 2017-08-23 Intercede Ltd Method and system for authentication
US10587609B2 (en) * 2016-03-04 2020-03-10 ShoCard, Inc. Method and system for authenticated login using static or dynamic codes
US10007826B2 (en) 2016-03-07 2018-06-26 ShoCard, Inc. Transferring data files using a series of visual codes
US10509932B2 (en) 2016-03-07 2019-12-17 ShoCard, Inc. Large data transfer using visual codes with feedback confirmation
US9942042B1 (en) * 2016-03-18 2018-04-10 EMC IP Holding Company LLC Key containers for securely asserting user authentication
US10050963B2 (en) 2016-03-29 2018-08-14 Microsoft Technology Licensing, Llc Securing remote authentication
CN110166246B (zh) * 2016-03-30 2022-07-08 创新先进技术有限公司 基于生物特征的身份注册、认证的方法和装置
WO2017171188A1 (ko) * 2016-04-01 2017-10-05 주식회사 엘리바이저 웹 애플리케이션 서버 또는 웹 서버로부터 수집된 트랜잭션 정보를 이용한 보안장치
KR101650475B1 (ko) * 2016-04-01 2016-09-05 주식회사 엘리바이저 웹 서버로부터 수집된 트랜잭션 정보를 이용한 보안장치
US20170289120A1 (en) * 2016-04-04 2017-10-05 Mastercard International Incorporated Systems and methods for authenticating user for secure data access using multi-party authentication system
US11170358B2 (en) * 2016-04-29 2021-11-09 International Business Machines Corporation System, method, and recording medium for identity fraud prevention in secure transactions using multi-factor verification
US10592907B2 (en) * 2016-05-16 2020-03-17 Mastercard International Incorporated System and method for authenticating a transaction
DK179186B1 (en) 2016-05-19 2018-01-15 Apple Inc REMOTE AUTHORIZATION TO CONTINUE WITH AN ACTION
US10621581B2 (en) 2016-06-11 2020-04-14 Apple Inc. User interface for transactions
DK201670622A1 (en) 2016-06-12 2018-02-12 Apple Inc User interfaces for transactions
US10445593B1 (en) 2016-06-27 2019-10-15 Amazon Technologies, Inc. User interface for acquisition of group data
US10380814B1 (en) * 2016-06-27 2019-08-13 Amazon Technologies, Inc. System for determining entry of user to an automated facility
GB2551820A (en) 2016-06-30 2018-01-03 Just Eat Holding Ltd Data communication apparatus and method for verification and service provision
US11343673B2 (en) * 2016-07-14 2022-05-24 Telefonaktiebolaget Lm Ericsson (Publ) Enhanced aggregated re-authentication for wireless devices
US10397778B2 (en) * 2016-07-29 2019-08-27 Citrix Systems, Inc. Computer network providing secure mobile device enrollment features and related methods
US10558797B2 (en) * 2016-08-12 2020-02-11 Duo Security, Inc. Methods for identifying compromised credentials and controlling account access
US9912419B1 (en) 2016-08-24 2018-03-06 At&T Intellectual Property I, L.P. Method and apparatus for managing a fault in a distributed antenna system
DE102016216115A1 (de) 2016-08-26 2018-03-01 Siemens Aktiengesellschaft Computervorrichtung zum Übertragen eines Zertifikats auf ein Gerät in einer Anlage
US9860075B1 (en) 2016-08-26 2018-01-02 At&T Intellectual Property I, L.P. Method and communication node for broadband distribution
US9842330B1 (en) 2016-09-06 2017-12-12 Apple Inc. User interfaces for stored-value accounts
US10334434B2 (en) * 2016-09-08 2019-06-25 Vmware, Inc. Phone factor authentication
US11165591B2 (en) * 2016-09-08 2021-11-02 Cable Television Laboratories, Inc. System and method for a dynamic-PKI for a social certificate authority
US10291311B2 (en) 2016-09-09 2019-05-14 At&T Intellectual Property I, L.P. Method and apparatus for mitigating a fault in a distributed antenna system
US11032819B2 (en) 2016-09-15 2021-06-08 At&T Intellectual Property I, L.P. Method and apparatus for use with a radio distributed antenna system having a control channel reference signal
CN113950047A (zh) * 2016-09-23 2022-01-18 苹果公司 管理电子设备上的多个用户的凭据
US10327139B2 (en) * 2016-10-06 2019-06-18 Bank Of America Corporation Multi-level authentication using phone application level data
GB201617620D0 (en) * 2016-10-18 2016-11-30 Cybernetica As Composite digital signatures
US10135146B2 (en) 2016-10-18 2018-11-20 At&T Intellectual Property I, L.P. Apparatus and methods for launching guided waves via circuits
US10340600B2 (en) 2016-10-18 2019-07-02 At&T Intellectual Property I, L.P. Apparatus and methods for launching guided waves via plural waveguide systems
US10135147B2 (en) 2016-10-18 2018-11-20 At&T Intellectual Property I, L.P. Apparatus and methods for launching guided waves via an antenna
US10811767B2 (en) 2016-10-21 2020-10-20 At&T Intellectual Property I, L.P. System and dielectric antenna with convex dielectric radome
US10374316B2 (en) 2016-10-21 2019-08-06 At&T Intellectual Property I, L.P. System and dielectric antenna with non-uniform dielectric
US9991580B2 (en) 2016-10-21 2018-06-05 At&T Intellectual Property I, L.P. Launcher and coupling system for guided wave mode cancellation
US9876605B1 (en) 2016-10-21 2018-01-23 At&T Intellectual Property I, L.P. Launcher and coupling system to support desired guided wave mode
US10496808B2 (en) 2016-10-25 2019-12-03 Apple Inc. User interface for managing access to credentials for use in an operation
US10312567B2 (en) 2016-10-26 2019-06-04 At&T Intellectual Property I, L.P. Launcher with planar strip antenna and methods for use therewith
KR20180047522A (ko) * 2016-10-31 2018-05-10 주식회사 티노스 운전자 인식이 가능한 차량용 전장 시스템
US10498044B2 (en) 2016-11-03 2019-12-03 At&T Intellectual Property I, L.P. Apparatus for configuring a surface of an antenna
US10225025B2 (en) 2016-11-03 2019-03-05 At&T Intellectual Property I, L.P. Method and apparatus for detecting a fault in a communication system
US10291334B2 (en) 2016-11-03 2019-05-14 At&T Intellectual Property I, L.P. System for detecting a fault in a communication system
US10224634B2 (en) 2016-11-03 2019-03-05 At&T Intellectual Property I, L.P. Methods and apparatus for adjusting an operational characteristic of an antenna
US11410160B2 (en) * 2016-11-04 2022-08-09 Walmart Apollo, Llc Authenticating online transactions using separate computing device
US10340603B2 (en) 2016-11-23 2019-07-02 At&T Intellectual Property I, L.P. Antenna system having shielded structural configurations for assembly
US10535928B2 (en) 2016-11-23 2020-01-14 At&T Intellectual Property I, L.P. Antenna system and methods for use therewith
US10785263B2 (en) * 2016-11-23 2020-09-22 Intertrust Technologies Corporation Mobile device service systems and methods using device orientation information
US10178445B2 (en) 2016-11-23 2019-01-08 At&T Intellectual Property I, L.P. Methods, devices, and systems for load balancing between a plurality of waveguides
US10340601B2 (en) 2016-11-23 2019-07-02 At&T Intellectual Property I, L.P. Multi-antenna system and methods for use therewith
US10090594B2 (en) 2016-11-23 2018-10-02 At&T Intellectual Property I, L.P. Antenna system having structural configurations for assembly
US10320771B2 (en) * 2016-11-30 2019-06-11 Airwatch Llc Single sign-on framework for browser-based applications and native applications
US10361489B2 (en) 2016-12-01 2019-07-23 At&T Intellectual Property I, L.P. Dielectric dish antenna system and methods for use therewith
US10305190B2 (en) 2016-12-01 2019-05-28 At&T Intellectual Property I, L.P. Reflecting dielectric antenna system and methods for use therewith
US10694379B2 (en) 2016-12-06 2020-06-23 At&T Intellectual Property I, L.P. Waveguide system with device-based authentication and methods for use therewith
US10382976B2 (en) 2016-12-06 2019-08-13 At&T Intellectual Property I, L.P. Method and apparatus for managing wireless communications based on communication paths and network device positions
US10020844B2 (en) 2016-12-06 2018-07-10 T&T Intellectual Property I, L.P. Method and apparatus for broadcast communication via guided waves
US10755542B2 (en) 2016-12-06 2020-08-25 At&T Intellectual Property I, L.P. Method and apparatus for surveillance via guided wave communication
US9927517B1 (en) 2016-12-06 2018-03-27 At&T Intellectual Property I, L.P. Apparatus and methods for sensing rainfall
US10819035B2 (en) 2016-12-06 2020-10-27 At&T Intellectual Property I, L.P. Launcher with helical antenna and methods for use therewith
US10135145B2 (en) 2016-12-06 2018-11-20 At&T Intellectual Property I, L.P. Apparatus and methods for generating an electromagnetic wave along a transmission medium
US10637149B2 (en) 2016-12-06 2020-04-28 At&T Intellectual Property I, L.P. Injection molded dielectric antenna and methods for use therewith
US10326494B2 (en) 2016-12-06 2019-06-18 At&T Intellectual Property I, L.P. Apparatus for measurement de-embedding and methods for use therewith
US10439675B2 (en) 2016-12-06 2019-10-08 At&T Intellectual Property I, L.P. Method and apparatus for repeating guided wave communication signals
US10727599B2 (en) 2016-12-06 2020-07-28 At&T Intellectual Property I, L.P. Launcher with slot antenna and methods for use therewith
US10389029B2 (en) 2016-12-07 2019-08-20 At&T Intellectual Property I, L.P. Multi-feed dielectric antenna system with core selection and methods for use therewith
US10027397B2 (en) 2016-12-07 2018-07-17 At&T Intellectual Property I, L.P. Distributed antenna system and methods for use therewith
US10547348B2 (en) 2016-12-07 2020-01-28 At&T Intellectual Property I, L.P. Method and apparatus for switching transmission mediums in a communication system
US10168695B2 (en) 2016-12-07 2019-01-01 At&T Intellectual Property I, L.P. Method and apparatus for controlling an unmanned aircraft
US9893795B1 (en) 2016-12-07 2018-02-13 At&T Intellectual Property I, Lp Method and repeater for broadband distribution
US10139820B2 (en) 2016-12-07 2018-11-27 At&T Intellectual Property I, L.P. Method and apparatus for deploying equipment of a communication system
US10446936B2 (en) 2016-12-07 2019-10-15 At&T Intellectual Property I, L.P. Multi-feed dielectric antenna system and methods for use therewith
US10243270B2 (en) 2016-12-07 2019-03-26 At&T Intellectual Property I, L.P. Beam adaptive multi-feed dielectric antenna system and methods for use therewith
US10359749B2 (en) 2016-12-07 2019-07-23 At&T Intellectual Property I, L.P. Method and apparatus for utilities management via guided wave communication
US10916969B2 (en) 2016-12-08 2021-02-09 At&T Intellectual Property I, L.P. Method and apparatus for providing power using an inductive coupling
US10411356B2 (en) 2016-12-08 2019-09-10 At&T Intellectual Property I, L.P. Apparatus and methods for selectively targeting communication devices with an antenna array
US9911020B1 (en) 2016-12-08 2018-03-06 At&T Intellectual Property I, L.P. Method and apparatus for tracking via a radio frequency identification device
US10389037B2 (en) 2016-12-08 2019-08-20 At&T Intellectual Property I, L.P. Apparatus and methods for selecting sections of an antenna array and use therewith
US10601494B2 (en) 2016-12-08 2020-03-24 At&T Intellectual Property I, L.P. Dual-band communication device and method for use therewith
US10326689B2 (en) 2016-12-08 2019-06-18 At&T Intellectual Property I, L.P. Method and system for providing alternative communication paths
US10530505B2 (en) 2016-12-08 2020-01-07 At&T Intellectual Property I, L.P. Apparatus and methods for launching electromagnetic waves along a transmission medium
US9998870B1 (en) 2016-12-08 2018-06-12 At&T Intellectual Property I, L.P. Method and apparatus for proximity sensing
US10103422B2 (en) 2016-12-08 2018-10-16 At&T Intellectual Property I, L.P. Method and apparatus for mounting network devices
US10069535B2 (en) 2016-12-08 2018-09-04 At&T Intellectual Property I, L.P. Apparatus and methods for launching electromagnetic waves having a certain electric field structure
US10938108B2 (en) 2016-12-08 2021-03-02 At&T Intellectual Property I, L.P. Frequency selective multi-feed dielectric antenna system and methods for use therewith
US10777873B2 (en) 2016-12-08 2020-09-15 At&T Intellectual Property I, L.P. Method and apparatus for mounting network devices
US10264586B2 (en) 2016-12-09 2019-04-16 At&T Mobility Ii Llc Cloud-based packet controller and methods for use therewith
US10340983B2 (en) 2016-12-09 2019-07-02 At&T Intellectual Property I, L.P. Method and apparatus for surveying remote sites via guided wave communications
US9838896B1 (en) 2016-12-09 2017-12-05 At&T Intellectual Property I, L.P. Method and apparatus for assessing network coverage
WO2018111858A1 (en) * 2016-12-12 2018-06-21 Trusona, Inc. Methods and systems for network-enabled account creation using optical detection
US10374809B1 (en) * 2016-12-13 2019-08-06 Amazon Technologies, Inc. Digital signature verification for asynchronous responses
IT201600132156A1 (it) * 2016-12-29 2018-06-29 Infocert S P A Firma elettronica di transazioni tra utenti e fornitori remoti tramite l'uso di codici bidimensionali
EP3566417B1 (en) 2017-01-06 2022-06-01 Equifax, Inc. Confirming authenticity of a user to a third-party system
WO2018132844A1 (en) 2017-01-13 2018-07-19 Payeazy, Inc. Authentication systems and methods for online services
US10498541B2 (en) 2017-02-06 2019-12-03 ShocCard, Inc. Electronic identification verification methods and systems
US10498722B2 (en) 2017-02-27 2019-12-03 Trustwave Holdings Inc. Methods and apparatus to issue digital certificates
US9973940B1 (en) 2017-02-27 2018-05-15 At&T Intellectual Property I, L.P. Apparatus and methods for dynamic impedance matching of a guided wave launcher
KR102001516B1 (ko) * 2017-03-03 2019-07-18 주식회사 와임 분할 기능을 이용한 자동 인증 처리 방법 및 시스템
US11038870B2 (en) 2017-03-09 2021-06-15 Microsoft Technology Licensing, Llc Quick response (QR) code for secure provisioning
US10298293B2 (en) 2017-03-13 2019-05-21 At&T Intellectual Property I, L.P. Apparatus of communication utilizing wireless network devices
US10795658B2 (en) * 2017-03-20 2020-10-06 Fujitsu Limited Updatable random functions
US10484373B2 (en) * 2017-04-11 2019-11-19 Mastercard International Incorporated Systems and methods for biometric authentication of certificate signing request processing
US11431836B2 (en) 2017-05-02 2022-08-30 Apple Inc. Methods and interfaces for initiating media playback
US10992795B2 (en) 2017-05-16 2021-04-27 Apple Inc. Methods and interfaces for home media control
CN111343060B (zh) 2017-05-16 2022-02-11 苹果公司 用于家庭媒体控制的方法和界面
US20220279063A1 (en) 2017-05-16 2022-09-01 Apple Inc. Methods and interfaces for home media control
KR20180129476A (ko) * 2017-05-26 2018-12-05 삼성에스디에스 주식회사 인증 시스템 및 방법
CN107395341A (zh) * 2017-06-23 2017-11-24 陈景辉 一种物联网安全认证芯片及基于该芯片的访问控制方法
US10462831B2 (en) * 2017-06-26 2019-10-29 John J. Melman System and method for establishing a temporary electronic communication channel to allow an introduction of operators of electronic communication capable devices
US10348722B2 (en) 2017-06-30 2019-07-09 Paypal, Inc. System and method for implementing hacker traffic barriers
JP6949585B2 (ja) * 2017-06-30 2021-10-13 キヤノン株式会社 管理サーバ、サービス提供サーバ、システム、制御方法、および、プログラム
CN109257317B (zh) * 2017-07-12 2021-07-20 武汉安天信息技术有限责任公司 一种移动互联网钓鱼网站检测方法及装置
US11636478B2 (en) * 2017-07-27 2023-04-25 Nanyang Technological University Method of performing authentication for a transaction and a system thereof
US10356128B1 (en) * 2017-07-27 2019-07-16 Vmware, Inc. Tag-based policy architecture
KR102185854B1 (ko) 2017-09-09 2020-12-02 애플 인크. 생체측정 인증의 구현
KR102301599B1 (ko) 2017-09-09 2021-09-10 애플 인크. 생체측정 인증의 구현
WO2019079815A1 (en) 2017-10-20 2019-04-25 Asignio Inc. SYSTEMS AND METHODS OF ELECTRONIC VERIFICATION
JP7050466B2 (ja) * 2017-11-14 2022-04-08 株式会社サイバーリンクス 認証システムおよび認証方法
US11025419B2 (en) * 2017-11-15 2021-06-01 Alexander J. M. Van Der Velden System for digital identity authentication and methods of use
US20190173876A1 (en) * 2017-12-01 2019-06-06 The Miscellaneous Technical Limited Company Llc Streamlined authentication
US11206133B2 (en) 2017-12-08 2021-12-21 Ping Identity Corporation Methods and systems for recovering data using dynamic passwords
US10530798B2 (en) * 2017-12-08 2020-01-07 Mastercard International Incorporated Systems and methods related to configurations for mobile communication device security
US10412113B2 (en) 2017-12-08 2019-09-10 Duo Security, Inc. Systems and methods for intelligently configuring computer security
WO2019116398A1 (en) * 2017-12-16 2019-06-20 Seshaasai Business Forms Pvt. Ltd Configuration of hardware security modules for generation and reading of any code
CN108777672A (zh) * 2018-01-18 2018-11-09 上海求敏信息科技有限公司 一种多重认证的认证方法及系统
CN111630827A (zh) * 2018-01-22 2020-09-04 苹果公司 基于数据的视觉表示的具有认证的安全登录
SG10201801032UA (en) * 2018-02-06 2019-09-27 Singapore Management Univ Systems and methods for two-factor authentication
WO2019157333A1 (en) * 2018-02-08 2019-08-15 Nussbaum Jared Peeirs:passive evaluation of endpoint identity and risk as a surrogate authentication factor
US11818218B2 (en) 2018-02-12 2023-11-14 The Vanguard Group, Inc. System, method, and computer-readable storage medium that establish a communication path between a mobile device and a non-mobile device
JP6841781B2 (ja) * 2018-03-12 2021-03-10 株式会社日立製作所 認証サーバ装置、認証システム及び認証方法
US11003777B2 (en) * 2018-04-16 2021-05-11 International Business Machines Corporation Determining a frequency at which to execute trap code in an execution path of a process executing a program to generate a trap address range to detect potential malicious code
WO2019211110A1 (en) * 2018-04-30 2019-11-07 Telecom Italia S.P.A. Method and system for secure automatic login through a mobile device
CN108600240B (zh) * 2018-05-02 2020-11-10 浪潮集团有限公司 一种通信系统及其通信方法
US10917790B2 (en) * 2018-06-01 2021-02-09 Apple Inc. Server trust evaluation based authentication
US11170085B2 (en) 2018-06-03 2021-11-09 Apple Inc. Implementation of biometric authentication
CN110661610B (zh) 2018-06-29 2020-11-03 创新先进技术有限公司 安全多方计算协议的输入获取方法和装置
US11683168B2 (en) * 2018-08-03 2023-06-20 Istanbul Teknik Universites! Systems and methods for generating shared keys, identity authentication and data transmission based on simultaneous transmission on wireless multiple-access channels
CN109067881B (zh) * 2018-08-09 2020-08-21 顾宏超 远程授权方法及其装置、设备和存储介质
CN109117617B (zh) * 2018-08-09 2021-10-29 顾宏超 自助服务终端的远程鉴权方法及其装置、设备和存储介质
CN109145561B (zh) * 2018-08-09 2021-10-29 顾宏超 计算机的鉴权方法及其设备和存储介质
US11184173B2 (en) * 2018-08-24 2021-11-23 Powch, LLC Secure distributed information system
US11510054B2 (en) * 2018-08-24 2022-11-22 Averon Us, Inc. Methods, apparatuses, and computer program products for performing identification and authentication by linking mobile device biometric confirmation with third-party mobile device account association
EP3627363A1 (en) * 2018-09-19 2020-03-25 Vocalink Limited Information processing system, devices and methods
US10860096B2 (en) 2018-09-28 2020-12-08 Apple Inc. Device control using gaze information
US11100349B2 (en) 2018-09-28 2021-08-24 Apple Inc. Audio assisted enrollment
CN109302284B (zh) * 2018-09-28 2021-10-22 北京金山安全软件有限公司 一种硬件钱包
US10567375B1 (en) * 2018-10-02 2020-02-18 Capital One Services, Llc Systems and methods for data access control and account management
CN109302397B (zh) * 2018-10-12 2022-06-21 深信服科技股份有限公司 一种网络安全管理方法、平台和计算机可读存储介质
US10979227B2 (en) 2018-10-17 2021-04-13 Ping Identity Corporation Blockchain ID connect
US11082221B2 (en) 2018-10-17 2021-08-03 Ping Identity Corporation Methods and systems for creating and recovering accounts using dynamic passwords
KR102137194B1 (ko) * 2018-10-31 2020-07-24 엘지전자 주식회사 이동 단말기
US11258756B2 (en) * 2018-11-14 2022-02-22 Citrix Systems, Inc. Authenticating to a hybrid cloud using intranet connectivity as silent authentication factor
CN109636411B (zh) * 2018-11-16 2020-06-09 阿里巴巴集团控股有限公司 提供和获取安全身份信息的方法及装置
US11658962B2 (en) 2018-12-07 2023-05-23 Cisco Technology, Inc. Systems and methods of push-based verification of a transaction
US11240030B2 (en) 2018-12-27 2022-02-01 Paypal, Inc. Token management layer for automating authentication during communication channel interactions
US11641363B2 (en) * 2019-01-14 2023-05-02 Qatar Foundation For Education, Science And Community Development Methods and systems for verifying the authenticity of a remote service
US11290278B2 (en) * 2019-01-15 2022-03-29 Thales Avionics, Inc. Inflight entertainment system that securely pairs and communicates with a user device based on multiple security controls
CN109639728A (zh) * 2019-01-16 2019-04-16 深圳市识指生物网络技术有限公司 用户通过生物识别方式登录不同网络平台的方法及其系统
GB2580635A (en) * 2019-01-18 2020-07-29 Stratec Se System for authentification
CN112215608A (zh) * 2019-01-18 2021-01-12 创新先进技术有限公司 数据处理方法和装置
WO2020197779A1 (en) * 2019-03-22 2020-10-01 Zev Industries System and method for the measurement of impact kinetics
US11316849B1 (en) 2019-04-04 2022-04-26 United Services Automobile Association (Usaa) Mutual authentication system
US11475134B2 (en) 2019-04-10 2022-10-18 Arm Limited Bootstrapping a device
CN110061988B (zh) * 2019-04-19 2022-06-10 深圳市网心科技有限公司 嵌入式设备的鉴权方法、嵌入式设备、业务服务器及存储介质
US11323480B2 (en) 2019-05-07 2022-05-03 Cisco Technology, Inc. Policy enforcement and introspection on an authentication system
US10846701B1 (en) 2019-05-10 2020-11-24 Bank Of America Corporation Multi-vector authentication unit (MVAU)
CN117170620A (zh) 2019-05-31 2023-12-05 苹果公司 用于音频媒体控件的用户界面
US11010121B2 (en) 2019-05-31 2021-05-18 Apple Inc. User interfaces for audio media control
US11652638B2 (en) * 2019-07-10 2023-05-16 Mastercard International Incorporated Systems and methods for managing user identities in networks
ZA201904570B (en) * 2019-07-12 2020-03-25 Entersekt Pty Ltd System and method for validation of possession-based authentication response
CN110457892B (zh) * 2019-07-24 2021-09-21 武汉虹信科技发展有限责任公司 一种嵌入式系统权限管理方法及系统
US11271947B2 (en) * 2019-07-24 2022-03-08 The Toronto-Dominion Bank Systems and methods for authenticating data access requests
KR102208418B1 (ko) * 2019-08-12 2021-01-27 엘지전자 주식회사 공유차량의 생체인식 장치 및 방법
US11102197B2 (en) * 2019-09-04 2021-08-24 Bank Of America Corporation Security tool
US11184351B2 (en) * 2019-09-04 2021-11-23 Bank Of America Corporation Security tool
US20210218741A1 (en) * 2019-09-26 2021-07-15 FlexIt Inc. Access management to service facilities and presence tracking
GB2587438A (en) * 2019-09-30 2021-03-31 Governing Council Univ Toronto Key generation for use in secured communication
US11477641B2 (en) 2019-09-30 2022-10-18 Microsoft Technology Licensing, Llc System and method for authentication session transfer using application download links
WO2021141891A1 (en) * 2020-01-06 2021-07-15 Zumigo, Inc. Method and system for generating a secure one-time passcode using strong authentication
US11251951B2 (en) * 2020-01-28 2022-02-15 Microsoft Technology Licensing, Llc Remote authentication for accessing on-premises network devices
EP3889863A1 (en) * 2020-03-30 2021-10-06 Mastercard International Incorporated Merchant identification and secure data transfer
CN111556024B (zh) * 2020-03-31 2022-07-05 中国航天系统科学与工程研究院 一种反向接入控制系统及方法
CN111488570B (zh) 2020-04-14 2023-10-31 威盛电子股份有限公司 认证方法及认证系统
US11816194B2 (en) 2020-06-21 2023-11-14 Apple Inc. User interfaces for managing secure operations
EP3944581A1 (en) * 2020-07-21 2022-01-26 Mastercard International Incorporated Authentication method and system
US11350285B2 (en) 2020-09-15 2022-05-31 T-Mobile Usa, Inc. Visual voicemail as service for authentication or account recovery of wireless devices in a wireless network
US11546773B2 (en) 2020-09-15 2023-01-03 T-Mobile Usa, Inc. Visual voicemail centralized authentication system for wireless networks
US20220086169A1 (en) * 2020-09-17 2022-03-17 Ivanti, Inc. Automatic mobile device management (mdm) enrollment
US11392291B2 (en) 2020-09-25 2022-07-19 Apple Inc. Methods and interfaces for media control with dynamic feedback
CN114362981A (zh) * 2020-09-30 2022-04-15 京东方科技集团股份有限公司 物联网终端设备的升级方法及相关设备
CN112565213B (zh) * 2020-11-25 2022-10-14 青岛海尔科技有限公司 认证方法及装置、存储介质、电子装置
US11563815B2 (en) * 2021-01-20 2023-01-24 Vmware, Inc. Session passing between smart devices
US11075901B1 (en) * 2021-01-22 2021-07-27 King Abdulaziz University Systems and methods for authenticating a user accessing a user account
US11870801B2 (en) * 2021-01-27 2024-01-09 Paypal, Inc. Protecting computer system end-points using activators
US11250112B1 (en) * 2021-02-24 2022-02-15 Shawn Joseph Graphical user interface and console management, modeling, and analysis system
US11800355B2 (en) * 2021-02-25 2023-10-24 Ncr Corporation Secure wireless discovery and pairing
CN112929388B (zh) * 2021-03-10 2022-11-01 广东工业大学 网络身份跨设备应用快速认证方法和系统、用户代理设备
US11170130B1 (en) 2021-04-08 2021-11-09 Aster Key, LLC Apparatus, systems and methods for storing user profile data on a distributed database for anonymous verification
US20220358494A1 (en) * 2021-05-06 2022-11-10 International Business Machines Corporation Offline bidirectional transaction and secure system
US11847378B2 (en) 2021-06-06 2023-12-19 Apple Inc. User interfaces for audio routing
US20230006996A1 (en) * 2021-06-30 2023-01-05 Sony Group Corporation Code-based Two Factor Authentication
US11784956B2 (en) 2021-09-20 2023-10-10 Apple Inc. Requests to add assets to an asset account
CN114500082A (zh) * 2022-02-17 2022-05-13 成都商汤科技有限公司 接入认证方法及装置、设备、服务器、存储介质和系统
CN114866255B (zh) * 2022-04-28 2023-09-08 西安电子科技大学 以用户为中心面向多idp聚合的多因素认证方法
US20230370275A1 (en) * 2022-05-10 2023-11-16 Paypal, Inc. Verification system for proving authenticity and ownership of digital assets
CN114710299B (zh) * 2022-06-07 2022-08-30 杭州雅观科技有限公司 适用于云端led照明节能系统的轻量认证方法
WO2024077060A1 (en) * 2022-10-05 2024-04-11 Visa International Service Association User verification system and method

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003308298A (ja) * 2002-04-16 2003-10-31 Nippon Telegr & Teleph Corp <Ntt> オンラインapi実行時の権限認証方法
JP2005339247A (ja) * 2004-05-27 2005-12-08 Secured Communications:Kk 双方向ワンタイムid認証システム及び認証方法
JP2006174320A (ja) * 2004-12-20 2006-06-29 Nippon Telegr & Teleph Corp <Ntt> 認証装置および認証方法
JP2007110703A (ja) * 2005-10-12 2007-04-26 Toshiba Corp 電子ドキュメント伝達システム、方法およびプログラム
JP2007172431A (ja) * 2005-12-26 2007-07-05 Hitachi Ltd 認証システムおよび認証方法
JP2007193762A (ja) * 2005-12-23 2007-08-02 Toshiba Corp ユーザー認証システムと、このユーザー認証システムで使用される提供用サーバ装置、携帯通信装置、利用者用携帯通信装置、承認者用携帯通信装置および認証用サーバ装置と、これらの装置のためのプログラム
JP2009049464A (ja) * 2007-08-13 2009-03-05 Toshiba Corp クライアント装置、サーバ装置及びプログラム
JP2010015263A (ja) * 2008-07-01 2010-01-21 Kddi Corp 相互認証システム、相互認証方法およびプログラム
WO2012005653A1 (en) * 2010-07-09 2012-01-12 Nordic Wallet Ab Secure user identification

Family Cites Families (91)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4218582A (en) 1977-10-06 1980-08-19 The Board Of Trustees Of The Leland Stanford Junior University Public key cryptographic apparatus and method
US5371794A (en) 1993-11-02 1994-12-06 Sun Microsystems, Inc. Method and apparatus for privacy and authentication in wireless networks
US6026163A (en) 1995-12-13 2000-02-15 Micali; Silvio Distributed split-key cryptosystem and applications
US5930804A (en) 1997-06-09 1999-07-27 Philips Electronics North America Corporation Web-based biometric authentication system and method
US6490624B1 (en) * 1998-07-10 2002-12-03 Entrust, Inc. Session management in a stateless network system
JP2001256318A (ja) * 2000-03-14 2001-09-21 Sony Corp コンテンツ取り引きシステムおよびコンテンツ取り引き方法、並びにプログラム提供媒体
US7409543B1 (en) 2000-03-30 2008-08-05 Digitalpersona, Inc. Method and apparatus for using a third party authentication server
US6957199B1 (en) * 2000-08-30 2005-10-18 Douglas Fisher Method, system and service for conducting authenticated business transactions
US7457950B1 (en) 2000-09-29 2008-11-25 Intel Corporation Managed authentication service
US6959394B1 (en) 2000-09-29 2005-10-25 Intel Corporation Splitting knowledge of a password
US7590684B2 (en) * 2001-07-06 2009-09-15 Check Point Software Technologies, Inc. System providing methodology for access control with cooperative enforcement
US7900242B2 (en) 2001-07-12 2011-03-01 Nokia Corporation Modular authentication and authorization scheme for internet protocol
JP2003085321A (ja) * 2001-09-11 2003-03-20 Sony Corp コンテンツ利用権限管理システム、コンテンツ利用権限管理方法、および情報処理装置、並びにコンピュータ・プログラム
US7496751B2 (en) * 2001-10-29 2009-02-24 Sun Microsystems, Inc. Privacy and identification in a data communications network
US7243366B2 (en) * 2001-11-15 2007-07-10 General Instrument Corporation Key management protocol and authentication system for secure internet protocol rights management architecture
US7617317B2 (en) * 2001-12-03 2009-11-10 Sprint Spectrum L.P. Method and system for allowing multiple service providers to serve users via a common access network
US20030115142A1 (en) 2001-12-12 2003-06-19 Intel Corporation Identity authentication portfolio system
US7231657B2 (en) 2002-02-14 2007-06-12 American Management Systems, Inc. User authentication system and methods thereof
US7136490B2 (en) 2002-02-21 2006-11-14 International Business Machines Corporation Electronic password wallet
US7221935B2 (en) * 2002-02-28 2007-05-22 Telefonaktiebolaget Lm Ericsson (Publ) System, method and apparatus for federated single sign-on services
US20040019564A1 (en) * 2002-07-26 2004-01-29 Scott Goldthwaite System and method for payment transaction authentication
US7853983B2 (en) 2002-07-29 2010-12-14 Bea Systems, Inc. Communicating data from a data producer to a data receiver
US7606560B2 (en) * 2002-08-08 2009-10-20 Fujitsu Limited Authentication services using mobile device
US20040225898A1 (en) * 2003-01-28 2004-11-11 Frost D. Gabriel System and method for ubiquitous network access
US20080109679A1 (en) 2003-02-28 2008-05-08 Michael Wright Administration of protection of data accessible by a mobile device
ITRM20030100A1 (it) * 2003-03-06 2004-09-07 Telecom Italia Mobile Spa Tecnica di accesso multiplo alla rete, da parte di terminale di utente interconnesso ad una lan e relativa architettura di riferimento.
JP4374904B2 (ja) * 2003-05-21 2009-12-02 株式会社日立製作所 本人認証システム
US7546630B2 (en) * 2003-07-17 2009-06-09 International Business Machines Corporation Methods, systems, and media to authenticate a user
FR2858732B1 (fr) * 2003-08-05 2005-09-16 France Telecom Systeme de selection automatique d'authentification
JPWO2005015422A1 (ja) * 2003-08-11 2006-10-05 ソニー株式会社 認証方法、認証システム及び認証サーバ
WO2005043802A1 (en) 2003-10-20 2005-05-12 Drm Technologies, Llc Securing digital content system and method
US9191215B2 (en) 2003-12-30 2015-11-17 Entrust, Inc. Method and apparatus for providing authentication using policy-controlled authentication articles and techniques
US7539862B2 (en) * 2004-04-08 2009-05-26 Ipass Inc. Method and system for verifying and updating the configuration of an access device during authentication
US20060048216A1 (en) * 2004-07-21 2006-03-02 International Business Machines Corporation Method and system for enabling federated user lifecycle management
US20080010678A1 (en) 2004-09-17 2008-01-10 Jeff Burdette Authentication Proxy
US9143502B2 (en) * 2004-12-10 2015-09-22 International Business Machines Corporation Method and system for secure binding register name identifier profile
US7953979B2 (en) * 2004-12-15 2011-05-31 Exostar Corporation Systems and methods for enabling trust in a federated collaboration
WO2006068998A1 (en) * 2004-12-20 2006-06-29 Rsa Security Inc. Consumer internet authentication service
JP2006244081A (ja) 2005-03-02 2006-09-14 Fuji Xerox Co Ltd 認証機能付きサーバ及び方法
US7920549B2 (en) * 2005-07-20 2011-04-05 Verizon Business Global Llc Method and system for providing secure media gateways to support interdomain traversal
CA2641995C (en) 2006-02-10 2016-09-20 Verisign, Inc. System and method for network-based fraud and authentication services
US20070226783A1 (en) 2006-03-16 2007-09-27 Rabbit's Foot Security, Inc. (A California Corporation) User-administered single sign-on with automatic password management for web server authentication
US8739278B2 (en) * 2006-04-28 2014-05-27 Oracle International Corporation Techniques for fraud monitoring and detection using application fingerprinting
EP2016542A1 (en) * 2006-05-10 2009-01-21 Worldwide Gpms Ltd. Process and system for confirming transactions by means of mobile units
EP1865656A1 (en) * 2006-06-08 2007-12-12 BRITISH TELECOMMUNICATIONS public limited company Provision of secure communications connection using third party authentication
US8151317B2 (en) * 2006-07-07 2012-04-03 International Business Machines Corporation Method and system for policy-based initiation of federation management
US8776166B1 (en) * 2006-07-17 2014-07-08 Juniper Networks, Inc. Plug-in based policy evaluation
JP2008176429A (ja) * 2007-01-16 2008-07-31 Nec Corp 機密情報漏洩防止システム、機密情報漏洩防止方法、機密情報漏洩防止プログラム
US9418501B2 (en) * 2007-02-05 2016-08-16 First Data Corporation Method for digital signature authentication of pin-less debit card account transactions
EP2110774A4 (en) * 2007-02-07 2010-08-11 Nippon Telegraph & Telephone CLIENT DEVICE, KEY DEVICE, DEVICE FOR PROVIDING A SERVICE, USER AUTHENTICATION SYSTEM, USER AUTHENTICATION PROCESS, PROGRAM AND RECORDING MEDIUM
US20080222706A1 (en) 2007-03-06 2008-09-11 Martin Renaud Globally aware authentication system
US8438383B2 (en) 2010-04-05 2013-05-07 White Sky, Inc. User authentication system
US8918643B2 (en) 2007-11-16 2014-12-23 Fujitsu Ten Limited Authentication method, authentication system, in-vehicle device, and authentication apparatus
KR100958110B1 (ko) * 2007-12-17 2010-05-17 한국전자통신연구원 유비쿼터스 서비스 인증 게이트웨이 장치 및 그 방법
US10007767B1 (en) * 2007-12-21 2018-06-26 EMC IP Holding Company LLC System and method for securing tenant data on a local appliance prior to delivery to a SaaS data center hosted application service
ITBS20080031A1 (it) * 2008-02-11 2009-08-12 Alberto Gasparini Metodo e telefono mobile per registrare e autenticare un utente presso un service provider
US20090241175A1 (en) 2008-03-20 2009-09-24 David Trandal Methods and systems for user authentication
US8006291B2 (en) 2008-05-13 2011-08-23 Veritrix, Inc. Multi-channel multi-factor authentication
ES2373489T3 (es) 2008-09-17 2012-02-06 Gmv Soluciones Globales Internet S.A. Procedimiento y sistema para autenticar a un usuario mediante un dispositivo móvil.
US9443084B2 (en) * 2008-11-03 2016-09-13 Microsoft Technology Licensing, Llc Authentication in a network using client health enforcement framework
JP5153591B2 (ja) * 2008-11-26 2013-02-27 株式会社日立製作所 認証仲介サーバ、プログラム、認証システム及び選択方法
US20120066501A1 (en) * 2009-03-17 2012-03-15 Chuyu Xiong Multi-factor and multi-channel id authentication and transaction control
US8959353B2 (en) 2009-03-31 2015-02-17 Topaz Systems, Inc. Distributed system for multi-function secure verifiable signer authentication
US8719905B2 (en) 2010-04-26 2014-05-06 Authentify Inc. Secure and efficient login and transaction authentication using IPhones™ and other smart mobile communication devices
US8458774B2 (en) 2009-11-02 2013-06-04 Authentify Inc. Method for secure site and user authentication
US8713325B2 (en) 2011-04-19 2014-04-29 Authentify Inc. Key management using quasi out of band authentication architecture
US8789153B2 (en) 2010-01-27 2014-07-22 Authentify, Inc. Method for secure user and transaction authentication and risk management
US8769784B2 (en) 2009-11-02 2014-07-08 Authentify, Inc. Secure and efficient authentication using plug-in hardware compatible with desktops, laptops and/or smart mobile communication devices such as iPhones
US8549601B2 (en) 2009-11-02 2013-10-01 Authentify Inc. Method for secure user and site authentication
US8806592B2 (en) 2011-01-21 2014-08-12 Authentify, Inc. Method for secure user and transaction authentication and risk management
US8745699B2 (en) 2010-05-14 2014-06-03 Authentify Inc. Flexible quasi out of band authentication architecture
WO2011063014A1 (en) 2009-11-17 2011-05-26 Secureauth Corporation Single sign on with multiple authentication factors
US20110145899A1 (en) 2009-12-10 2011-06-16 Verisign, Inc. Single Action Authentication via Mobile Devices
US20110142234A1 (en) * 2009-12-15 2011-06-16 Michael Leonard Rogers Multi-Factor Authentication Using a Mobile Phone
JP2011164821A (ja) * 2010-02-08 2011-08-25 Toppan Printing Co Ltd 認証サービス方法及びシステム
US8627088B2 (en) * 2010-02-10 2014-01-07 Authernative, Inc. System and method for in- and out-of-band multi-factor server-to-user authentication
WO2011106529A2 (en) * 2010-02-24 2011-09-01 Wherepro, Llc Data packet generator and implementations of same
US20110219427A1 (en) 2010-03-04 2011-09-08 RSSBus, Inc. Smart Device User Authentication
US8826030B2 (en) * 2010-03-22 2014-09-02 Daon Holdings Limited Methods and systems for authenticating users
KR100992573B1 (ko) * 2010-03-26 2010-11-05 주식회사 아이그로브 휴대단말기를 이용한 인증 방법 및 시스템
US9665868B2 (en) * 2010-05-10 2017-05-30 Ca, Inc. One-time use password systems and methods
US20110289316A1 (en) 2010-05-19 2011-11-24 Mtld Top Level Domain Limited User authentication
WO2011160683A1 (en) * 2010-06-22 2011-12-29 Telefonaktiebolaget Lm Ericsson (Publ) Privacy preserving authorisation in pervasive environments
US8869248B2 (en) 2010-08-16 2014-10-21 Blackberry Limited Communication system providing wireless authentication for private data access and related methods
US10032163B2 (en) * 2010-12-02 2018-07-24 B & H Worldwide, Llc Processing a financial transaction using single-use financial account card number via portable communication device
US9003506B2 (en) * 2010-12-16 2015-04-07 Sap Se Mobile out-of-band authentication service
US8572684B1 (en) * 2011-01-07 2013-10-29 Ca, Inc. Authentication using one-time passwords and associated indicia for plural sequences
US8640214B2 (en) * 2011-03-07 2014-01-28 Gemalto Sa Key distribution for unconnected one-time password tokens
US8763097B2 (en) * 2011-03-11 2014-06-24 Piyush Bhatnagar System, design and process for strong authentication using bidirectional OTP and out-of-band multichannel authentication
EP3706363B1 (en) * 2011-09-30 2022-03-16 INTEL Corporation Out-of-band remote authentication
WO2013147810A1 (en) * 2012-03-29 2013-10-03 Intel Corporation Secure remediation of devices requesting cloud services

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003308298A (ja) * 2002-04-16 2003-10-31 Nippon Telegr & Teleph Corp <Ntt> オンラインapi実行時の権限認証方法
JP2005339247A (ja) * 2004-05-27 2005-12-08 Secured Communications:Kk 双方向ワンタイムid認証システム及び認証方法
JP2006174320A (ja) * 2004-12-20 2006-06-29 Nippon Telegr & Teleph Corp <Ntt> 認証装置および認証方法
JP2007110703A (ja) * 2005-10-12 2007-04-26 Toshiba Corp 電子ドキュメント伝達システム、方法およびプログラム
JP2007193762A (ja) * 2005-12-23 2007-08-02 Toshiba Corp ユーザー認証システムと、このユーザー認証システムで使用される提供用サーバ装置、携帯通信装置、利用者用携帯通信装置、承認者用携帯通信装置および認証用サーバ装置と、これらの装置のためのプログラム
JP2007172431A (ja) * 2005-12-26 2007-07-05 Hitachi Ltd 認証システムおよび認証方法
JP2009049464A (ja) * 2007-08-13 2009-03-05 Toshiba Corp クライアント装置、サーバ装置及びプログラム
JP2010015263A (ja) * 2008-07-01 2010-01-21 Kddi Corp 相互認証システム、相互認証方法およびプログラム
WO2012005653A1 (en) * 2010-07-09 2012-01-12 Nordic Wallet Ab Secure user identification

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190008333A (ko) * 2016-05-13 2019-01-23 알리바바 그룹 홀딩 리미티드 복제 공격을 방지하기 위한 처리 방법, 및 서버 및 클라이언트
KR102218572B1 (ko) * 2016-05-13 2021-02-23 어드밴스드 뉴 테크놀로지스 씨오., 엘티디. 복제 공격을 방지하기 위한 처리 방법, 및 서버 및 클라이언트
US10999321B2 (en) 2016-05-13 2021-05-04 Advanced New Technologies Co., Ltd. Processing method for preventing copy attack, and server and client
JP2018082244A (ja) * 2016-11-14 2018-05-24 ソラミツ株式会社 ログイン認証システム、ログイン認証システムにおけるサービスプロバイダ及び認証サーバ、ログイン認証システムにおけるサービスプロバイダ、認証サーバ、コンピュータ及び携帯端末のためのログイン認証方法及びプログラム
JP7438984B2 (ja) 2019-02-01 2024-02-27 オラクル・インターナショナル・コーポレイション ユーザフットプリントなしのマルチファクタ認証
JP7404415B2 (ja) 2022-02-18 2023-12-25 Lineヤフー株式会社 認証装置、及び認証方法

Also Published As

Publication number Publication date
AU2013243771A1 (en) 2014-09-11
EP2834959B1 (en) 2018-06-06
SG11201405282RA (en) 2014-09-26
EP2834959A1 (en) 2015-02-11
US9742763B2 (en) 2017-08-22
EP2834730B1 (en) 2018-05-02
US9398012B2 (en) 2016-07-19
ES2549104T1 (es) 2015-10-23
AU2013243771B2 (en) 2017-01-12
US20150237031A1 (en) 2015-08-20
US20150264050A1 (en) 2015-09-17
SG11201405287YA (en) 2014-09-26
DE13771788T1 (de) 2015-12-17
WO2013151852A1 (en) 2013-10-10
EP2834729B1 (en) 2018-05-02
EP2834730A2 (en) 2015-02-11
CA2866500C (en) 2016-08-30
US9641505B2 (en) 2017-05-02
HK1203002A1 (en) 2015-10-09
WO2013151851A3 (en) 2014-12-04
DE13772872T1 (de) 2015-12-03
ES2553713T1 (es) 2015-12-11
US20130263211A1 (en) 2013-10-03
US9077714B2 (en) 2015-07-07
JP5926441B2 (ja) 2016-05-25
US20130262857A1 (en) 2013-10-03
AU2013243768B2 (en) 2017-12-21
WO2013151854A1 (en) 2013-10-10
CA2872747C (en) 2017-08-01
US9203841B2 (en) 2015-12-01
US20160294821A1 (en) 2016-10-06
JP2015519776A (ja) 2015-07-09
JP2015517261A (ja) 2015-06-18
US20130262858A1 (en) 2013-10-03
EP2834730A4 (en) 2016-05-25
HK1202947A1 (en) 2015-10-09
EP2834729A1 (en) 2015-02-11
CA2873695A1 (en) 2013-10-10
JP5844001B2 (ja) 2016-01-13
AU2013243768A1 (en) 2014-09-11
US9641520B2 (en) 2017-05-02
CA2873695C (en) 2019-10-01
SG11201405285TA (en) 2014-09-26
DE13771854T1 (de) 2015-12-03
CA2866500A1 (en) 2013-10-10
WO2013151851A2 (en) 2013-10-10
AU2013243769B2 (en) 2018-03-15
AU2013243769A1 (en) 2014-09-11
EP2834959A4 (en) 2015-11-11
CA2872747A1 (en) 2013-10-10
EP2834729A4 (en) 2016-02-17
HK1202946A1 (en) 2015-10-09
ES2553220T1 (es) 2015-12-07
JP5903190B2 (ja) 2016-04-13

Similar Documents

Publication Publication Date Title
JP5844001B2 (ja) マルチパーティシステムにおける安全な認証
US11770261B2 (en) Digital credentials for user device authentication
US8532620B2 (en) Trusted mobile device based security
US7257836B1 (en) Security link management in dynamic networks
US20220255931A1 (en) Domain unrestricted mobile initiated login
US9122865B2 (en) System and method to establish and use credentials for a common lightweight identity through digital certificates
WO2019226115A1 (en) Method and apparatus for user authentication
WO2022140469A1 (en) Domain unrestricted mobile initiated login

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20151030

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20151111

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20151117

R150 Certificate of patent or registration of utility model

Ref document number: 5844001

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees