JP2017507552A - クライアント側のスコアベース認証を与える方法及び装置 - Google Patents

クライアント側のスコアベース認証を与える方法及び装置 Download PDF

Info

Publication number
JP2017507552A
JP2017507552A JP2016544622A JP2016544622A JP2017507552A JP 2017507552 A JP2017507552 A JP 2017507552A JP 2016544622 A JP2016544622 A JP 2016544622A JP 2016544622 A JP2016544622 A JP 2016544622A JP 2017507552 A JP2017507552 A JP 2017507552A
Authority
JP
Japan
Prior art keywords
risk
otp
cryptographic
user
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016544622A
Other languages
English (en)
Other versions
JP6702874B2 (ja
Inventor
ギヨーム テイクセロン
ギヨーム テイクセロン
セバスチャン ラヴィーン
セバスチャン ラヴィーン
Original Assignee
ヴァスコ データ セキュリティ インターナショナル ゲゼルシャフト ミット ベシュレンクテル ハフツング
ヴァスコ データ セキュリティ インターナショナル ゲゼルシャフト ミット ベシュレンクテル ハフツング
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ヴァスコ データ セキュリティ インターナショナル ゲゼルシャフト ミット ベシュレンクテル ハフツング, ヴァスコ データ セキュリティ インターナショナル ゲゼルシャフト ミット ベシュレンクテル ハフツング filed Critical ヴァスコ データ セキュリティ インターナショナル ゲゼルシャフト ミット ベシュレンクテル ハフツング
Publication of JP2017507552A publication Critical patent/JP2017507552A/ja
Application granted granted Critical
Publication of JP6702874B2 publication Critical patent/JP6702874B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/067Network architectures or network communication protocols for network security for supporting key management in a packet data network using one-time keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/67Risk-dependent, e.g. selecting a security level depending on risk profiles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Storage Device Security (AREA)

Abstract

リスク評価に関連して一回限りのパスワードを生成しそして検証するための方法、装置及びシステムが開示される。リスク評価は、クライアント側リスク評価である。又、リスク評価は、サーバー側リスク評価も含む。【選択図】図1

Description

関連出願の相互参照:本願は、2013年12月31日に出願された“A method and apparatus for providing client-side score-based authentication”と題する米国プロビジョナル特許出願第61/922,516号の優先権を主張するもので、その内容は、参考としてここに全体的に援用される。
本発明は、コンピュータネットワークを経てコンピュータ及びアプリケーション並びにリモートトランザクションへのリモートアクセスをセキュアなものにすることに関する。より詳細には、本発明は、ユーザを認証するための方法及び装置に関する。
コンピュータシステム及びアプリケーションのリモートアクセスの人気が高まるにつれて、インターネットのようなパブリックネットワークを経てリモートアクセスされるトランザクションの数及び多様性が急激に増加した。この人気は、特に、アプリケーションにリモートアクセスする人々は誰が誰に請求をするのかをどのように保証するか、リモート実行されているトランザクションが正当な個人により開始されたことをどのように保証するか、及びトランザクションデータがアプリケーションサーバーに受け取られる前に変更されていないことをどのように保証するか、といったセキュリティの必要性を強調している。
過去において、アプリケーションプロバイダーは、リモートアプリケーションのセキュリティを与えるためにスタティックパスワードに依存している。近年では、スタティックパスワードは充分なものでなく、より進歩したセキュリティ技術が要求されることが分かっている。
1つの解決策では、ユーザがスタティックパスワードに代って(又はそれに加えて)アプリケーションへ通すダイナミックパスワードが生成される。このダイナミックパスワードは、一方のクライアント側装置と他方のサーバー側検証エンティティとの間で共有される暗号シークレットとダイナミック変数を暗号論的に合成することによりクライアント側で生成される。ダイナミック変数とは、時間ベースの値、カウンタベースの値、チャレンジ(例えば、アプリケーションサーバーにより与えられる)、又はユーザがアプリケーションサーバーへ提出することを希望するトランザクションを表わすトランザクションデータ、或いはそれらの組み合わせである。ダイナミック変数は、例えば、対称的な暗号アルゴリズムを、共有暗号シークレットでパラメータ化されたダイナミック変数に適用することにより、共融暗号シークレットと暗号論的に合成することができる。例えば、ダイナミック変数は、AES(進歩型暗号規格)のような対称的暗号アルゴリズム又はダイナミック変数の連結を使用して暗号化することができ、そして共有シークレットは、SHA−1(セキュアハッシュアルゴリズム1)のようなハッシュアルゴリズムによりハッシュすることができる。多くの場合、それにより得られる暗号が切頭され、次いで、キャラクタのストリングへと変換される。このキャラクタのストリングは、一回限りのパスワード又はOTPと称されるが、ユーザが手動でコピーしそしてアプリケーションへ転送するためにユーザに表示される。ダイナミック変数がチャレンジに基づく場合、キャラクタのストリングは応答と称される。又、ダイナミック変数がチャレンジに基づく場合、キャラクタのストリングは、トランザクションデータにわたるシグネチャと考えられる。以下、OTPという語は、そのような応答又はシグネチャを指すものとする。OTPは、ユーザによりしばしば手動でコピーされるので、それらは、典型的に、短く保持され、通常、それらが作られた暗号より短い。アプリケーションサーバー側では、受け取られたOTPを検証することができる。これは、典型的に、OTPに対する予想基準値を生成し、そして受け取られたOTPをその生成された基準値と比較することで行われる。OTPを生成するためのクライアント装置は、専用のハードウェア認証トークンを、それら自身の表示と共に、及び時には、PIN(パーソナル識別番号)を入力するためのキーパッドと共に含むか、或いは例えば、専用のハードウェア認証トークンをエミュレートするために認証ソフトウェアを実行するスマートホンのような汎用コンピューティング装置を含む。
本発明は、一回限りのパスワードに基づく解決策の全セキュリティレベルが、一回限りのパスワードが生成された環境、プラットホーム及び状況に依存し、且つOTPの有効性を検証するサーバーが、全セキュリティレベルに影響する環境及び状況を考慮せずにその照合されたOTPが暗号論的に正しいか否かを指示するバイナリ結果だけを示す、という本発明者の見識に基づく。例えば、スマートホンのソフトウェア認証アプリケーションがハッキングされるリスクは、専用のハードウェア認証トークンよりも著しく高い。OTPを生成するクライアント装置が、OTP生成時に、ユーザの母国とは完全に異なる国に位置する場合には、これは、何かが間違っているという指示でもある。
更に、本発明は、サーバーが、OTPの生成を取り巻く状況及び環境に関する情報を考慮できる場合でも、実際には、サーバーがこの情報を得ることが困難であるか又は不可能でもある、という本発明者の別の見識にも基づく。特に、サーバーが、クライアント装置それ自体にリンクされた位置情報を得ることは、非常に困難である。というのは、多くの場合、クライアント装置とサーバーとの間の唯一の通信チャンネルは、クライアント装置とサーバーとの間でユーザがデータを手動でコピーすることだからである。便宜上の理由で、ユーザがサーバーからトークンへ及びトークンからサーバーへ手動で転送しなければならない情報の量は、厳密に最小に限定されねばならない。
本発明の1つの観点は、改善された一回限りのパスワード(OTP)を生成する方法を提供することである。ある実施形態において、この方法は、第1のリスク分析を遂行し;この第1のリスク分析の結果を表わすリスク情報データを生成し;ダイナミック変数の第1の値を決定し;前記ダイナミック変数の前記第1の値を暗号シークレットと暗号論的に合成することにより暗号OTPデータを生成し;及び前記暗号OTPデータを前記リスク情報データと合成することにより前記改善されたOTPを得る;という段階を含む。
ある実施形態において、この方法は、前記第1のリスク分析の遂行が、1つ以上のリスクファクタの各々に対してリスク評価を行うことを含む以前の実施形態のいずれかの方法である。ある実施形態において、前記リスク情報データの生成は、前記1つ以上のリスクファクタの全ての前記リスク評価の結果を合成することを含む。ある実施形態において、前記第1のリスク分析は、前記1つ以上のリスクファクタを1つ以上のリスクファクタカテゴリにグループ化し、そして前記1つ以上のリスクファクタカテゴリの各々に対して、その対応するリスクファクタカテゴリの全てのリスクファクタの前記リスク評価の結果を使用してリスク評価カテゴリスコアを決定することを含み、そしてリスク情報データの前記生成は、前記1つ以上のリスクファクタカテゴリのリスク評価カテゴリスコアを合成することを含む。ある実施形態において、各リスク評価カテゴリスコアは、ビットストリングとして表わされ、そしてリスク情報データの前記生成は、前記1つ以上のリスクファクタカテゴリに対応する種々のビットストリングのビットをリスク情報ビットストリングへと連結することを含み、そして前記リスク情報データは、前記リスク情報ビットストリングの表示を含む。ある実施形態では、前記第1のリスク分析は、ユーザにより動作されるクライアント装置において実行され、前記1つ以上のリスクファクタカテゴリは、クライアント装置それ自体の特性に関連した全てのリスクファクタをグループ化するプラットホームリスクファクタカテゴリ;ユーザの特性及びユーザの振舞いの特性に関連した全てのリスクファクタをグループ化するユーザリスクファクタカテゴリ;又はクライアント装置が動作している状況又は環境の特性に関連した全てのリスクファクタをグループ化する状況リスクファクタカテゴリ;の少なくとも1つを含む。ある実施形態において、1つ以上のリスクファクタカテゴリは、プラットホームリスクカテゴリ、ユーザリスクファクタカテゴリ及び状況リスクファクタカテゴリの3つ全部を含む。
ある実施形態において、前記暗号OTPデータの生成は、リスク情報データ及びダイナミック変数の第1の値を暗号シークレットと暗号論的に合成することを含む。ある実施形態において、前記ダイナミック変数の前記第1の値と前記暗号シークレットとの暗号論的合成は、前記ダイナミック変数の前記値を使用し且つ前記暗号シークレットでパラメータ化される暗号アルゴリズムを遂行することを含む。ある実施形態において、暗号アルゴリズムは、対称的暗号アルゴリズムであり、そして暗号シークレットは、改善されたOTPを検証又は確認するように適応されるエンティティと共有される。対称的暗号アルゴリズムは、例えば、AES(進歩型暗号規格)のような対称的暗号化又は解読アルゴリズム、或いはHMAC(ハッシュベースのメッセージ認証コード)のようなキー付きハッシュアルゴリズムを含む。ある実施形態では、対称的暗号アルゴリズムは、リスク情報データも使用する。
ある実施形態において、ダイナミック変数は、時間ベースである。例えば、ダイナミック変数は、改善されたOTPを生成するクライアント装置に含まれたクロックの値を含む。ある実施形態において、ダイナミック変数は、例えば、クライアント装置に記憶されそして維持されるカウンタをベースとする。ある実施形態において、ダイナミック変数は、例えば、ユーザが対話するアプリケーションによって与えられるチャレンジをベースとする。ある実施形態において、ダイナミック変数は、ユーザがアプリケーションへ提出し且つ改善されたOTPに関連したトランザクション要求を表わすデータをベースとする。
ある実施形態において、暗号OTPデータをリスク情報データと合成することによって前記改善されたOTPを得ることは、リスク情報データ及び暗号OTPデータの一部分を使用してリスク情報データのマスクされた表示を生成し、そしてその暗号OTPデータをリスク情報データのマスクされた表示と合成することを含む。
ある実施形態において、上述した実施形態の幾つかの又は全てのステップは、クライアント装置において遂行される。ある実施形態において、クライアント装置は、スマートホン又はタブレットのようなパーソナルテレコミュニケーション装置を含む。ある実施形態において、クライアント装置は、改善されたOTPを生成する前記方法の幾つかの又は全てのステップを遂行する認証クライアントアプリケーション又は認証クライアントappを実行する。
本発明の別の観点は、改善されたOTPを確認する方法を提供することである。ある実施形態において、改善されたOTPを生成する方法の前記いずれかの実施形態の方法を使用して改善されたOTPが生成される。ある実施形態において、第1のリスク分析を遂行し、この第1のリスク分析の結果を表わすリスク情報データを生成し、ダイナミック変数の第1の値を決定し、前記ダイナミック変数の前記第1の値を暗号シークレットと暗号論的に合成することにより暗号OTPデータを生成し、及び前記暗号OTPデータを前記リスク情報データと合成することにより前記改善されたOTPを得る、ことにより、改善されたOTPが生成される。ある実施形態において、この方法は、前記暗号データを前記改善されたOTPから検索し;前記リスク情報データを前記改善されたOTPから検索し;前記検索された暗号データを暗号論的に検証し;前記検索されたリスク情報データを使用して第2のリスク分析を遂行し;及び前記検索された暗号データの前記暗号論的検証及び前記第2のリスク分析の結果を使用して前記改善されたOTPに対する全リスクレベルを決定する;という段階を含む。
ある実施形態において、前記改善されたOTPは、前記リスク情報データのマスクされた表示を含み、前記リスク情報データの検索は、前記検索された暗号データの部分を使用して、前記リスク情報データの前記マスクされた表示をアンマスクすることを含む。
ある実施形態において、前記検索された暗号データの暗号論的な検証は、ダイナミック変数の第1の値と同じ値を有すると仮定するダイナミック変数の第2の値を決定し、及びその第2の値を使用し且つ前記暗号シークレットのコピーでパラメータ化される対称的な暗号アルゴリズムを使用してその第2の値を前記暗号シークレットのコピーと暗号論的に合成する、ことを含む。ある実施形態において、前記対称的な暗号アルゴリズムは、検索されたリスク情報データも使用する。ある実施形態において、前記検索された暗号データの前記暗号論的な検証は、前記検索された暗号データを、前記第2の値と前記暗号シークレットのコピーとの前記暗号論的な合成の結果と比較することを含む。
本発明の更に別の観点は、ユーザとアプリケーションとの対話をセキュアなものにする方法であって、ユーザがアクセス装置と対話してアプリケーションにアクセスし、そして更に、ユーザに関連したクライアント装置と対話する方法を提供することである。ある実施形態において、この方法は、例えば、クライアント装置で改善されたOTPを生成し、そして例えば、確認又は検証サーバーでその改善されたOTPを確認することを含む。ある実施形態において、改善されたOTPは、上述した改善されたOTPを生成する方法のいずれかを使用して生成される。ある実施形態において、改善されたOTPは、上述した改善されたOTPを確認する方法のいずれかを使用して確認される。ある実施形態において、この方法は、例えば、クライアント装置で、第1のリスク分析を遂行し;例えば、クライアント装置で、前記第1のリスク分析の結果を表わすリスク情報データを生成し;例えば、クライアント装置で、ダイナミック変数の第1の値を決定し;例えば、クライアント装置で、前記ダイナミック変数の前記第1の値を暗号シークレットと暗号論的に合成することにより暗号OTPデータを生成し;例えば、クライアント装置で、前記暗号OTPデータを前記リスク情報データと合成することにより改善されたOTPを生成し;例えば、クライアント装置で、前記改善されたOTPを前記ユーザに提示し;例えば、アクセス装置で、ユーザに提示された前記改善されたOTPを受け取り;例えば、確認又は検証又はアプリケーションサーバーで、前記改善されたOTPから前記暗号データを検索し;例えば、確認又は検証又はアプリケーションサーバーで、前記改善されたOTPから前記リスク情報データを検索し;例えば、確認又は検証又はアプリケーションサーバーで、前記検索された暗号データを暗号論的に検証し;例えば、確認又は検証又はアプリケーションサーバーで、前記検索されたリスク情報データを使用して第2のリスク分析を遂行し;例えば、確認又は検証又はアプリケーションサーバーで、前記検索された暗号データの前記暗号検証及び前記第2のリスク分析の結果を使用して前記改善されたOTPの全リスクレベルを決定し;及び例えば、確認又は検証又はアプリケーションサーバーで、前記全リスクレベルの値に基づきあるアクションを遂行すべきか否か決定する;という段階を含む。
ある実施形態において、第2のリスク分析は、前記ユーザと前記アプリケーションとの他の対話に関連した情報を使用することも含む。ある実施形態において、第2のリスク分析は、前記ユーザ以外の他のユーザと前記アプリケーションとの他の対話に関連した情報を使用することも含む。
ある実施形態において、前記アクションは、例えば、あるリソースへのアクセスを前記ユーザにグラントすることを含む。ある実施形態において、前記アクションは、ユーザをログインすることを含む。ある実施形態において、前記アクションは、例えば、あるアクション又はトランザクションを遂行するためのある許可をユーザにグラントすることを含む。ある実施形態において、前記アクションは、前記ユーザにより要求されるトランザクションを遂行することを含む。ある実施形態において、改善されたOTPは、ユーザにより要求されたトランザクションに関連付けられる。ある実施形態において、改善されたOTPは、トランザクション要求と共に、アプリケーションに与えられる。
本発明の更に別の観点は、ユーザとアプリケーションとの間の対話をセキュアなものにするシステムを提供することである。ある実施形態において、このシステムは、上述した改善されたOTPを生成するいずれかの方法に使用するように適応される。ある実施形態において、このシステムは、上述した改善されたOTPを確認するいずれかの方法に使用するように適応される。ある実施形態において、このシステムは、上述したユーザとアプリケーションとの対話をセキュアなものにするいずれかの方法に使用するように適応される。
ある実施形態において、このシステムは、ユーザにより動作されそしてユーザ出力インターフェイス(ディスプレイのような)を含むクライアント装置;ユーザ入力インターフェイス(キーボードのような)を含みそしてユーザと対話し且つユーザがアプリケーションと対話するのを許すアクセス装置;及びアプリケーションをホストするアプリケーションサーバー;を備えている。ある実施形態において、アクセス装置及びアプリケーションサーバーは、物理的に異なるコンピュータで構成され、そしてアクセス装置及びアプリケーションサーバーは、コンピュータネットワークを経て通信するように適応される。コンピュータネットワークは、ローカルエリアネットワーク、ワイドエリアネットワークを備え、そしてインターネットを含む。
ある実施形態において、クライアント装置は、第1のリスク分析を遂行し;前記第1のリスク分析の結果を表わすリスク情報データを生成し;ダイナミック変数の第1の値を決定し;前記ダイナミック変数の前記第1の値を前記クライアント装置に記憶された暗号シークレットと暗号論的に合成することにより暗号OTPデータを生成し;前記暗号OTPデータを前記リスク情報データと合成することにより前記改善されたOTPを生成し;及び前記ユーザ出力インターフェイスを使用して前記改善されたOTPを前記ユーザに提示する;ように適応される。ある実施形態において、クライアント装置は、スマートホンのようなパーソナルテレコミュニケーション装置を含む。ある実施形態において、クライアント装置は、(例えば、この説明のどこかで述べる改善されたOTPを生成するいずれかの方法により)改善されたOTPを生成するクライアント認証アプリケーション又はクライアント認証appを実行するように適応される。
ある実施形態において、アクセス装置は、前記ユーザ入力インターフェイスを使用して、クライアント装置によりユーザに提示された改善されたOTPを受け取るように適応される。ある実施形態において、アクセス装置は、更に、改善されたOTPをアプリケーションサーバーへ転送するように適応される。ある実施形態において、アクセス装置は、例えば、インターネットに接続できるラップトップ又はパーソナルコンピュータ(PC)を含む。ある実施形態において、アクセス装置は、ユーザをウェブサーバーに接続し、そしてウェブサーバーによりホストされるアプリケーションに含まれるウェブアプリケーションと対話するのを許すためにウェブブラウザを実行する。
ある実施形態において、アプリケーションサーバーは、前記暗号データを前記改善されたOTPから検索し;前記リスク情報データを前記改善されたOTPから検索し;前記検索された暗号データを暗号論的に検証し;前記検索されたリスク情報データを使用して第2のリスク分析を遂行し;前記検索された暗号データの前記暗号論的検証及び前記第2のリスク分析の結果を使用して前記改善されたOTPに対する全リスクレベルを決定し;及び前記全リスクレベルに基づいてあるアクションを遂行すべきかどうか判断する;ように適応される。ある実施形態において、アプリケーションサーバーは、1つ以上のサーバーコンピュータを含む。ある実施形態において、アプリケーションサーバーに含まれるコンピュータは、コンピュータネットワーク(例えば、ローカルエリアネットワーク、ワイドエリアネットワーク又はインターネット)により接続される。ある実施形態において、アプリケーションサーバーは、アプリケーションのサーバー部分をホストする。ある実施形態において、アプリケーションサーバーは、インターネットに接続される。ある実施形態において、アプリケーションサーバー及びアクセス装置は、インターネットにより接続される。ある実施形態において、アプリケーションは、アプリケーションサーバーによってホストされたウェブベースアプリケーションを含む。
クライアント側リスク分析
本発明のある実施形態において、クライアント装置は、ローカルリスクファクタに関する情報、例えば、クライアント装置が実施されるプラットホームに関する情報、クライアント装置が動作する状況に関する情報、及びクライアント装置を動作するユーザに関する情報を収集するように構成される。ある実施形態において、クライアント装置は、このリスクファクタ関連情報を少数のビットへと凝縮する。
ある実施形態において、クライアント装置は、ローカルリスクファクタに関する情報を収集しそして第1のクライアント側リスク分析を遂行するように構成される。ある実施形態において、凝縮されたリスクファクタ関連情報(以下、短縮してリスク情報ビットと称される)を表わすビットは、この第1のクライアント側リスク分析の結果を含む。
ある実施形態において、クライアント装置は、リスクファクタの各セットに対してスコアを決定する。ある実施形態において、クライアント装置は、個別リスクファクタの種々のスコアを単一の全体的リスク分析スコアへと合成する。ある実施形態において、種々のスコアは、ブール値及び/又は数値で表わされる。ある実施形態において、クライアント装置は、論理的ルール、ブール関数及び/又は数学的関数を、合成されるスコアに適用することにより、スコアを合成する。
ある実施形態において、種々のリスクファクタは、多数の個別のリスクファクタカテゴリにグループ化される。ある実施形態において、クライアント装置は、そのカテゴリの全てのリスクファクタのスコアを合成することにより各カテゴリのスコアを決定する。ある実施形態において、クライアント装置は、異なるカテゴリのスコアを単一の全体的スコアへと合成する。ある実施形態において、クライアント装置は、1つのリスクファクタカテゴリしか使用しない。ある実施形態において、リスク情報ビットは、この全体的スコアのバイナリ表示を含む。ある実施形態において、リスク情報ビットは、種々のリスクファクタカテゴリのスコアのバイナリ表示の連結を含む。
例えば、ある実施形態において、クライアント装置は、プラットホーム関連のリスクファクタカテゴリ(プラットホームカテゴリ)、ユーザ関連のリスクファクタカテゴリ(ユーザカテゴリ)、及び/又は状況関連のリスクファクタカテゴリ(状況カテゴリ)を含む多数のリスクファクタカテゴリにおいてリスクファクタをグループ化する。
プラットホームカテゴリは、クライアント装置が実施されたプラットホームに関連した全てのリスクファクタを含む。例えば、このカテゴリにおける1つのリスクファクタは、クライアント装置が、例えば、スマートホンにおける専用のハードウェアトークンであるか又はソフトウェアアプリケーションであるかを指示する。このカテゴリにおける別のリスクファクタは、ウィルス検出器及び/又はファイアウオールの有無(及びタイプ)によって決定される。更に別のリスクファクタは、そのようなウィルスチェッカーの検出ログを考慮することにより決定される。プラットホームカテゴリの更に別のリスクファクタは、オペレーティングシステム及び/又はブラウザソフトウェアのタイプを考慮する。
ユーザカテゴリは、クライアント装置を動作するユーザに関連した全てのリスクファクタを含む。例えば、ある実施形態において、クライアント装置は、ユーザのある生物測定学的特徴(指紋、虹彩スキャン、音声特性又は顔特性のような)の測定値を捕獲しそしてその測定値を基準テンプレートと比較する生物測定学的コンポーネントを有する。生物測定学的リスクファクタのスコアは、例えば、測定値が基準テンプレートに一致する程度を指示する。別の生物測定学的リスクファクタは、生物測定学的測定値が偽造又は回避されるリスクを指示する。例えば、クライアント装置は、最近の生物測定学的測定値を記憶しそしてリプレイアタックを検出する(例えば、音声記録又は顔の絵を使用することにより)ように適応され、そして1つの生物測定学的リスクファクタが、生物測定学的測定値が実際にリプレイアタックに対応する確率を指示する。ある実施形態において、クライアント装置は、ユーザからPIN又はパスワードを受け取るように適応され、そして受け取ったPIN又はパスワードを記憶された基準値と比較するように適応される。クライアント装置は、ユーザが間違ったPIN又はパスワードを入力した場合には、ある回数の再試みを許すように適応される。そのような場合に、ユーザカテゴリのリスクファクタは、ユーザが正しいPIN又はパスワードを入力するに必要な実際の試み数を考慮する(従って、正しいPIN又はパスワードが最初の試みで入力されなかった事実は、誰かがPIN又はパスワードを推定したことを示す)。ユーザカテゴリの別のリスクファクタは、ユーザの振舞いに関連し(例えば、どのアプリケーションにユーザがどんな順序で且つどんな頻度でアクセスするか、ユーザが入力インターフェイスをどのように使用するか、等)、そしてこのリスクファクタのスコアは、この振舞いの分析により決定される。例えば、ある実施形態において、クライアント装置は、ユーザからPIN又はパスワードを受け取るように適応される。クライアント装置は、ユーザがPIN又はパスワードの個別の数字又はキャラクタを入力するパターンを分析するように適応される。例えば、クライアント装置は、ユーザがPIN又はパスワードの連続する数字又はキャラクタを入力することに関連した一連の時間差を測定する。特定ユーザについて、この一連の時間差が平均的にもつパターンは、特定ユーザごとに多少の特徴がある。別のユーザが同じPIN又はパスワードを入力した場合には、それにより生じる一連の時間差が最初のユーザの平均的パターンから著しく外れる結果となる。クライアント装置は、特定のPIN又はパスワード入力に対する所与の一連の時間差がPIN又はパスワード入力に対する時間差のユーザ平均パターンから外れる程度の関数として、リスクファクタスコアを決定する。例えば、外れる程度が大きいほど、クライアント装置がこのリスクファクタに指定するスコアが大きくなる。
状況カテゴリは、クライアント装置が動作されるローカルな状況に関連した全てのリスクファクタを含む。例えば、ある実施形態において、クライアント装置は、クライアント装置の任意の時間における地理的位置の指示を与えることのできるジオロケーションコンポーネント(グローバルポジショニングシステム(GPS)コンポーネントのような)を備え、そしてクライアント装置は、多数の地理的ゾーン(例えば、ホームゾーン、隣接ゾーン及びリモートゾーン;又は、例えば、地方ゾーン、地域ゾーン、国内ゾーン及び外国ゾーン)を画成し、そして各ゾーンに異なるスコアを関連付け、ジオロケーションコンポーネントのジオロケーション情報に基づいて、どのゾーンにクライアント装置が位置するか決定し、及びクライアント装置がそのとき位置しているゾーンに関連したスコアを取り上げることでジオロケーションリスクファクタのスコアを決定する。ある実施形態において、クライアント装置は、ローカル時間ゾーンを決定するように適応され、そしてローカル時間ゾーンを地理的位置の代理として使用する。
ある実施形態において、クライアント装置は、ユーザがOTPを生成するためにクライアント装置を使用する地理的位置を追跡するように適応される。一般的に、ユーザがOTPを生成するためにクライアント装置を使用する位置の履歴的な範囲は、ある位置が他の位置より頻繁に生じるパターンを示す傾向がある。クライアント装置は、リスクファクタを、クライアント装置がOTPを生成する所与の地理的位置がユーザの履歴的パターンから外れる程度と関連付ける。クライアント装置が新たなOTPを生成しようとしているときに、クライアント装置は、クライアント装置の実際の位置を位置の履歴と比較し、そしてこの比較に基づいてこのリスクファクタのスコアを決定する。例えば、ユーザが以前にOTPを既に生成している過去の位置に鑑み、実際の位置がユーザにとって通常でないほど、クライアント装置がこのリスクファクタに指定するスコアが大きい。
ある実施形態において、クライアント装置は、各リスクファクタカテゴリに、そのリスクファクタカテゴリのスコアを表わすための固定数のビットを割り当てる。ある実施形態において、各リスクファクタカテゴリに割り当てられるビットの数は、全てのリスクファクタカテゴリに対して同じである。他の実施形態では、各リスクファクタカテゴリに割り当てられるビットの数は、あるリスクファクタカテゴリから別のリスクファクタカテゴリへと変化する。ある実施形態において、クライアント装置は、種々のリスクファクタカテゴリに対するスコアを表わすビットを連結することによりリスク情報ビットを決定する。例えば、ある実施形態において、各リスクファクタカテゴリに単一のビットが割り当てられ、そしてリスク情報ビットは、全てのそれら単一ビットの連結より成る。
例えば、ある実施形態において、クライアント装置は、数値のリスクファクタにより各リスクファクタのスコアを表わす。クライアント装置は、同じカテゴリの種々のリスクファクタの数値スコアを、そのカテゴリのリスクファクタのスコアを加算することによって合成し、従って、各リスクファクタのスコアは、最初に、そのリスクファクタ特有の重み付けファクタで乗算される。そのカテゴリについて得られる和は、次いで、各異なるカテゴリ特有のスレッシュホールドファクタと比較され、その比較の結果は、そのカテゴリの全ブールスコアで且つ単一ビットで表されるブール値を決定する。クライアント装置は、種々のカテゴリのブールスコア値を表わすビットを連結することで、リスク情報ビットを決定する。換言すれば、リスク情報ビットは、ビットストリングより成り、そのストリングの各ビットは、その特定ビットに対応する特定のリスクファクタカテゴリに対して、その特定のリスクファクタカテゴリに属する種々のリスクファクタの数値スコアの重み付けされた和が、その特定のリスクファクタカテゴリに関連した特定のスレッシュホールド値を越えるか否か指示する。
ある実施形態において、リスク情報ビットの数は、12ビット以下に限定される。ある実施形態において、リスク情報ビットの数は、8ビット以下である。ある実施形態において、リスク情報ビットの数は、4ビット以下である。ある実施形態において、リスク情報ビットの数は、3ビットである。
サーバーへのリスク情報ビットの通過
ある実施形態において、クライアント装置は、リスク情報ビットを、生成されたOTPと一緒に、又はOTPの一部分として、更なる分析のためにサーバーへ通すように適応される。以下、リスク情報ビットを含むOTPは、改善されたOTPと称される。それ故、改善されたOTPは、一方では、ダイナミック変数と、サーバーとで共有される暗号シークレットとの暗号論的合成の結果である暗号データを含み、そして他方では、リスク情報ビットを搬送するリスク情報データを含むものと考えられる。状況に基づいて、OTPという語は、リスク情報データを含まないOTP、リスク情報データを含まない改善されたOTPの一部分、又は改善されたOTPの単なる短縮形を指す。
ある実施形態において、凝縮されたリスクファクタ関連情報を表わすビットにより搬送される情報は、隠されたままであるか、又はマスクされる。例えば、これらのリスク情報ビットは、凝縮されたリスクファクタ関連情報を表わすビットの値をマスクするためにOTPの暗号データのビットを使用してスクランブルされる。即ち、改善されたOTPのリスク情報データは、オリジナルOTPの暗号データの全部又は一部分を使用してマスクされる。
ある実施形態において、リスク情報ビットは暗号OTPビットに添付される。ある実施形態において、リスク情報ビットは、ある暗号OPTビットと共にブールロジック(例えば、排他的“OR”演算又は他の演算)を使用して処理される。ある実施形態において、改善されたOTPは、10進数(即ち、底10の数字)のストリングを含み、そして改善されたOTPは、一方では、暗号OTPデータ(即ち、ダイナミック変数と、サーバーとで共有される暗号シークレットとの暗号論的合成により得られるデータ)を表わす一連の10進数を含み、そして他方では、リスク情報ビットをエンコードする10進数を、ダイナミック変数と、サーバーとで共有される暗号シークレットとの暗号論的合成により得られる10進数と加算し又は減算することにより得られる10進数を含み、前記加算又は減算は、モジュロ10で行われる。より一般的には、ある実施形態において、改善されたOTPは、底Nの数字のストリングを含み(Nは、1より大きな整数)、そして改善されたOTPは、一方では、暗号OTPデータ(即ち、ダイナミック変数と、サーバーとで共有される暗号シークレットとの暗号論的合成により得られるデータ)を表わす一連の底Nの数字を含み、そして他方では、リスク情報ビットをエンコードする底Nの数字を、ダイナミック変数と、サーバーとで共有される暗号シークレットとの暗号論的合成により得られる幾つかの底10の数字と加算し又は減算することにより得られる底10の数字を含む。
ある実施形態において、クライアント装置により決定される凝縮されたリスクファクタ関連情報を表わすビットの完全性が保護される。ある実施形態において、クライアント装置により決定される凝縮されたリスクファクタ関連情報を表わすビットの完全性が暗号論的に保護される。ある実施形態において、凝縮されたリスクファクタ関連情報を表わすビットは、OTPを生成するための暗号プロセスに含まれる。ある実施形態において、リスク情報ビットは、ダイナミック変数に含まれる。例えば、ある実施形態において、クライアント装置は、リスク情報ビットを、ダイナミック変数に沿った特別変数として使用し、そしてクライアント装置は、ダイナミック変数及びリスク情報ビットの両方を、共有暗号シークレットと合成する。ある実施形態において、クライアント装置は、第1に、リスク情報ビットを、あるダイナミック値(時間値、カウンタ値、チャレンジ、トランザクションデータ、等)と合成して、ダイナミック変数の値を得、クライアント装置は、次いで、それを共有暗号シークレットと合成して、暗号OTPデータを生成する。例えば、ある実施形態において、リスク情報ビットは、ダイナミック値に添付され、それにより得られる値が、次いで、共有暗号シークレットと暗号論的に合成される。例えば、ある実施形態において、得られた値は、共有暗号シークレットでパラメータ化される対称的暗号アルゴリズム(AESのような)で暗号化されるか、又は得られた値は、共有暗号シークレットでパラメータ化されるキー付きハッシュアルゴリズム(HMACのような)へ提出される。ある実施形態において、クライアント装置は、次いで、リスク情報データ(リスク情報ビットを表わす)を、例えば、上述した暗号OTPデータに追加して、改善されたOTPを得る。
ある実施形態において、クライアント装置は、クライアント装置のユーザ出力インターフェイスを使用して、生成された改善されたOTPをユーザに与え、ユーザは、その改善されたOTPをアプリケーションへ転送する。例えば、クライアント装置は、改善されたOTPを表わす数字のストリングを、クライアント装置のディスプレイにおいてユーザに表示する。ラップトップ又はPC(パーソナルコンピュータ)のようなアクセス装置を使用してアプリケーションにアクセスするユーザは、クライアント装置のディスプレイから表示された改善されたOTPを読み取り、そして例えば、改善されたOTPをアクセス装置のユーザ入力インターフェイスに与えることにより(例えば、改善されたOTPの数字をアクセス装置のキーボードに入力することにより)、改善されたOTPをアプリケーションに与え、その際に、アクセス装置は、ユーザにより与えられた改善されたOTPをアプリケーションへ転送する。
ある実施形態において、アプリケーションは、ユーザから受け取った改善されたOTPを使用して、ユーザにどの許可を与えるか判断する、等の更なるアクションを実行するときに、ユーザにアクセスをグラントすべきかどうか、ユーザにより提出されたトランザクションを受け容れるべきかどうか、等々、を判断する。ある実施形態において、アプリケーションは、検証サーバーを使用して、受け取った改善されたOTPを確認する。ある実施形態において、検証サーバーは、アプリケーションの個別のエンティティである。ある実施形態において、検証サーバーは、アプリケーションに含まれる。
サーバー側リスク分析
ある実施形態において、検証サーバーは、改善されたOTPを受け取ると、その受け取られた改善されたOTPからリスク情報ビットを抽出し、改善されたOTPの(残りの)暗号有効性を検証し、そしてその受け取られた改善されたOTPから抽出されるリスク情報ビットを使用して第2のサーバー側リスク分析を遂行する。
ある実施形態において、受け取られた改善されたOTPからリスク情報ビットを抽出することは、リスク情報ビットがクライアント装置において暗号データと合成されて改善されたOTPを得るときに改善されたOTPをマスクするためにクライアント装置において適用された動作を逆に実行することを含む。例えば、ある実施形態において、改善されたOTPは、一方では、改善されたOTPの暗号データを表わす底Nの数字のストリングの連結(これは、クライアント装置により、リスク情報ビット、ダイナミック変数及び共有暗号シークレットを暗号論的に合成することにより得られる)を含み、そして他方では、リスク情報ビットをエンコードするマスクされた底Nの数字のストリングを含み、これにより、クライアント装置は、リスク情報ビットをエンコードする各底N数字と、暗号データを表わす底N数字の1つとの数字ごとのモジュロN加算(又は減算)を行うことにより、リスク情報ビットをエンコードする底N数字のストリングをマスクする。改善されたOTPからリスク情報ビットを検索することは、リスク情報ビットをエンコードするマスクされた数字及び暗号データを表わす数字を前記連結から分離することを含む。改善されたOTPからリスク情報ビットを検索することは、更に、各マスクされた数字と、マスキング動作においてクライアント装置により使用された暗号データの対応数字との数字ごとのモジュロN減算(又は加算)を行うことにより、リスク情報ビットをエンコードするマスクされた数字をアンマスクすることを含む。改善されたOTPからリスク情報ビットを検索することは、更に、リスク情報ビットをエンコードするためにクライアント装置が使用したアンマスクされた底N数字のストリングをデコードすることを含む。
ある実施形態において、改善されたOTPの暗号有効性を検証することは、改善されたOTPから暗号データを検索することを含むと共に、前記で詳細に述べたように、改善されたOTPからリスク情報ビットを検索することも含む。ある実施形態において、改善されたOTPの暗号有効性を検証することは、検索された暗号データの暗号有効性を検証することを含む。ある実施形態において、改善されたOTPの暗号有効性を検証することは、共有暗号シークレットのサーバーコピーを使用して暗号演算を遂行することを含む。ある実施形態において、改善されたOTPの暗号有効性を検証することは、改善されたOTPの暗号データの生成のためにクライアント装置により使用されたと仮定されるダイナミック変数のサーバーコピーを決定することを含む。ある実施形態において、改善されたOTPの暗号有効性を検証することは、ダイナミック変数のサーバーコピーを共有暗号シークレットのサーバーコピーと暗号論的に合成することを含む。ある実施形態において、ダイナミック変数のサーバーコピーを共有暗号シークレットのサーバーコピーと暗号論的に合成することは、暗号データを発生するためにクライアント装置により使用された実質的に同じ対称的暗号アルゴリズムで行われる。ある実施形態において、改善されたOTPの暗号有効性を検証することは、受け取られた改善されたOTPを、ダイナミック変数のサーバーコピーと共有暗号シークレットのサーバーコピーとの暗号論的合成の結果と比較することを含む。ある実施形態において、改善されたOTPの暗号有効性を検証することは、検索されたリスク情報ビット及びダイナミック変数のサーバーコピーを共有暗号シークレットのサーバーコピーと暗号論的に合成することを含む。ある実施形態において、検索されたリスク情報ビット及びダイナミック変数のサーバーコピーを共有暗号シークレットのサーバーコピーと暗号論的に合成することは、暗号データを発生するためにクライアント装置により使用された実質的に同じ対称的暗号アルゴリズムで行われる。ある実施形態において、改善されたOTPの暗号有効性を検証することは、受け取られた改善されたOTPを、検索されたリスク情報ビット及びダイナミック変数のサーバーコピーを共有暗号シークレットのサーバーコピーと暗号論的に合成した結果と比較することを含む。
ある実施形態において、サーバーは、受け取られた改善されたOTPを、OTPの暗号有効性の検証が失敗の場合に、拒絶する。ある実施形態において、OTPの暗号有効性の検証が成功の場合には、サーバーは、OTPを暗号論的に正しいとして受け容れ、そして第2のリスク分析の結果に基づいて改善されたOTPにクオリティレベルを指定する。或いは又、サーバーは、暗号検証及び第2のリスク分析の結果に基づいて改善されたOTPにリスクレベルを指定してもよい。
ある実施形態において、第2のリスク分析は、改善されたOTPから検索されたリスク情報ビットに基づいて行われる。ある実施形態において、第2のリスク分析は、改善されたOTPから検索されたリスク情報ビットにおいてクライアント装置がエンコードした異なるリスクファクタカテゴリに対する異なるスコアに基づいて行われる。ある実施形態において、リスク情報ビットは、多数のリスクファクタカテゴリに対してクライアント装置により決定されたスコアをエンコードし、そして第2のリスク分析は、リスク情報ビットにおいてエンコードされたそれらスコアをスコア基準値と比較することを含む。例えば、ある実施形態において、スコア基準値は、スレッシュホールド値を含み、リスク情報ビットにおいてエンコードされた対応スコアは、そのスレッシュホールド値と比較され、そしてそのリスクファクタカテゴリに対してエンコードされたスコアがその対応スレッシュホールド値を越える場合には、リスクファクタカテゴリに対してブールのフラグがセットされる。ある実施形態において、スコア基準値は、スケーリング値を含み、リスク情報ビットにおいてエンコードされた対応スコアは、そのスケーリング値と比較され、そしてそのリスクファクタカテゴリに対してエンコードされたスコアをその対応スケーリング値で乗算(又は除算)することによりリスクファクタカテゴリに対してリスク推定数値が計算される。ある実施形態において、第2のリスク分析は、多数のリスクファクタカテゴリに対するブールのフラグを決定し、そしてそれらブールのフラグを、1つ以上のブール関数を使用して合成することを含む。ある実施形態において、第2のリスク分析は、多数のリスクファクタカテゴリに対して数値を決定し、そして演算計算を使用してそれら数値を合成することを含む。ある実施形態において、第2のリスク分析は、例えば、アプリケーションにより与えられるパラメータ値に基づいて、あるリスクファクタカテゴリには他のものとは別の重みが分析に与えられるように、アプリケーションによりパラメータ化される。
ある実施形態において、第2のリスク分析は、受け取られた改善されたOTPから検索された情報以外の情報も含む。ある実施形態において、サーバーは、ユーザに関連した情報、又は改善されたOTPが生成されたトランザクションに関連した情報を使用する。ある実施形態において、サーバーは、他のユーザ又は他のトランザクションに関連した情報を使用する。例えば、ある実施形態において、サーバーは、詐欺的と分かったトランザクションに対して生成された改善されたOTPに関する情報を使用する。例えば、ある実施形態において、サーバーは、最近の詐欺的トランザクションのセットにおいてそのリスクファクタカテゴリのスコアが異常な値を有する場合にはリスクファクタカテゴリの重みを増加する。
ある実施形態において、第2リスク分析の結果は、サーバーが改善されたOTPに対して指定するか又は改善されたOTPに関連したトランザクション要求に対して指定するリスクレベル又はクオリティレベルである。ある実施形態において、受け取られた改善されたOTPに対してサーバーが指定するクオリティレベル又はリスクレベルは、一次元である。ある実施形態において、OTPに指定されるリスク又はクオリティレベルは、数字で表わされる。ある実施形態において、この数字は、数値の連続範囲における任意の値である。ある実施形態において、この数字は、個々の値の限定セットのうちの1つだけを有する。ある実施形態において、OTPに指定されるクオリティ又はリスクレベルは、多次元である。ある実施形態において、OTPに指定されるリスク又はクオリティレベルは、ベクトルで表わされる。ある実施形態において、ベクトル成分の少なくとも幾つかは、数字である。ある実施形態において、これら数字の幾つかは、個々の値の限定セットのうちの1つを有する。ある実施形態において、これら数字の幾つかは、数値の連続範囲における任意の値である。
ある実施形態において、アプリケーションは、第2のリスク分析の後にOTPに又はそのOTPに関連したトランザクションに指定されたクオリティレベル又はリスクレベルに基づいてOTPを受け容れるべきかどうかの判断を行う。OTPに又はそのOTPに関連したトランザクションに指定されたクオリティレベル又はリスクレベルに基づいて、アプリケーションは、例えば、ユーザにアクセスをグラントすべきかどうか、或いはユーザにより提出され且つそのOTPに関連したトランザクションを受け容れるべきかどうか判断する。
ここに述べる実施形態の前記及び他の特徴並びに効果は、添付図面に示された本発明の観点の実施形態の以下の特定の説明から明らかとなろう。
本発明の観点による規範的な方法を概略的に示す。 本発明の観点による規範的なシステムを概略的に示す。
ここに述べる実施形態の幾つかの具現化について以下に説明する。特定の具現化について説明するが、これは、例示に過ぎないことを理解されたい。当業者であれば、本発明の精神及び範囲から逸脱せずに他のコンポーネント及び構成を使用できることが明らかであろう。
図1は、本発明の観点による規範的な方法(100)を概略的に示す。この方法は、認証クライアント装置で、リスクファクタのセットに対するスコアをローカルに決定し(110)、認証クライアント装置で、それらリスクファクタスコアを使用して第1のクライアント側リスク分析を遂行し(120)、認証クライアント装置で、この第1のクライアント側リスク分析の結果を短いリスク情報ビットストリングにおいて要約し(130)、認証クライアント装置で、ダイナミック変数と、検証サーバーとで共有されるシークレットキーとを暗号論的に合成し、そしてリスク情報ビットストリングを暗号論的合成の結果と合併させることにより一回限りのパスワードを発生し(140)、その一回限りのパスワードを検証サーバーへ送り(150)、検証サーバーで、その受け取られた一回限りのパスワードからリスク情報ビットストリングを抽出し(160)、検証サーバーで、共有シークレットキーを使用してその一回限りのパスワードを暗号論的に検証し(170)、検証サーバーで、抽出されたリスク情報ビットストリングを使用して第2のリスク分析を遂行し(180)、第2のリスク分析の結果及び一回限りのパスワードの暗号検証に基づいて適当なアクションを取る(190)、という段階を含む。
上述した技術は、装置の形態(例えば、リスク分析を遂行するクライアント側装置及び/又はリスク分析を遂行するホスト側装置)、システムの形態(クライアント側、ホスト側、クライアント/ホストの組み合わせ)、及び/又はリスク分析を遂行する方法において具現化される。
図2は、本発明の観点による規範的なシステム(200)を概略的に示す。ある実施形態において、アプリケーションとユーザとの間の対話をセキュアなものにするシステム、例えば、図2に示すシステム(200)は、アプリケーションのサーバー部分をホストするアプリケーションサーバー(210);ユーザ(290)がアプリケーションに(リモート)アクセスするのを許すアクセス装置(230);改善されたOTPを生成するための認証クライアント装置(240);及び改善されたOTPを確認しそして改善されたOTPについて第2のリスク分析を遂行する検証サーバー(220);を備え、これにより、アプリケーションサーバー及びアクセス装置は、コンピュータネットワーク(250)(ローカルエリアネットワーク、ワイドエリアネットワーク、インターネット、及びその組み合わせを含む)を経て互いに接続され且つ通信し、アクセス装置は、アプリケーションのクライアント部分を実行するように適応され、認証クライアント装置は、生成された改善されたOTPをユーザに与えるように適応され、アクセス装置は、更に、生成されたダイナミッククレデンシャルをアプリケーションサーバー又は検証サーバーに確認のために転送するように適応され、検証サーバーは、改善されたOTPが有効であると検証されたかどうかアプリケーションサーバーに信号し、及び/又は改善されたOTPに指定されたリスクレベル又はクオリティレベルをアプリケーションサーバーに通信するように適応される。
ある実施形態において、システムは、改善されたOTPを生成しそして確認するための前記いずれかの方法を遂行するように適応される。
ある実施形態において、検証サーバーは、改善されたOTPを確認するための前記いずれかの方法を遂行するように適応される。ある実施形態において、アプリケーションサーバー及び検証サーバーは、同じサーバーである。ある実施形態において、アプリケーションサーバー及び検証サーバーは、1つ以上のサーバーコンピュータを含む。ある実施形態において、コンピュータネットワークは、インターネット及び/又はワイヤレステレコミュニケーションズネットワークを含む。同様に、コンピュータネットワークは、ローカルエリアネットワーク、ワイドエリアネットワーク、及び/又は各々の組み合わせであり、テレコミュニケーションズネットワーク及び/又はインターネットを含む。
ある実施形態において、アクセス装置は、ユーザとローカルに対話するためのユーザインターフェイスを有する。例えば、ある実施形態において、アクセス装置は、ユーザ入力を受け取るためのキーボード、マウス、又はタッチスクリーンのようなユーザ入力インターフェイスを有する。ある実施形態において、アクセス装置は、視覚又は聴覚信号を含む出力をユーザに提示するためのディスプレイ又はスピーカのようなユーザ出力インターフェイスを有する。ある実施形態において、アクセス装置は、PC(パーソナルコンピュータ)、タブレットコンピュータ又はスマートホンを含む。
ある実施形態において、アプリケーション(インターネットバンキングアプリケーションのような)は、リモートアプリケーションサーバーにおいて実行されるサーバー部分、及びユーザのアクセス装置において実行され、且つ例えば、インターネットを経てアプリケーションのサーバー部分にアクセスするためにユーザが対話するクライアント部分を含む。ある実施形態において、アプリケーションは、ウェブベースアプリケーションを含み、そしてアプリケーションサーバーは、ウェブサーバーを含む。ある実施形態において、アプリケーションサーバーは、ユーザのアクセス装置にウェブブラウザを使用してユーザによりアクセスされる。ある実施形態において、アプリケーションのクライアント部分は、アプレット(例えば、Java(登録商標)アプレット)、又はユーザのホストコンピュータにおいてウェブブラウザで実行されるスクリプトを含む。ある実施形態において、ユーザは、アプリケーションのサーバー部分にスマートホンでアクセスする。スマートホンは、アクセス装置(230)として機能し、そしてスマートホンで実行されるクライアントアプリケーションは、スマートホンのapp(インターネットバンキングappのような)を含み、従って、appは、スマートホンのユーザインターフェイスを通してユーザと対話すると共に、例えば、インターネットを経てアプリケーションサーバーと対話する。
ある実施形態において、認証クライアント装置は、ユーザとローカルで対話をするためのユーザインターフェイスを有する。例えば、ある実施形態において、認証クライアント装置は、ユーザ入力を受け取るためのキーボード、マウス、又はタッチスクリーンのようなユーザ入力インターフェイスを有する。ある実施形態において、認証クライアント装置は、視覚又は聴覚信号を含む出力をユーザに提示するためのディスプレイ又はスピーカのようなユーザ出力インターフェイスを有する。ある実施形態において、認証クライアント装置は、タブレットコンピュータ又はスマートホンを含む。ある実施形態において、認証クライアント装置は、アンドロイド又はウインドウズモバイル又はウインドウズホンのバージョンのようなオペレーティングシステムを有する。ある実施形態において、認証クライアント装置は、改善されたOTPを生成するための認証アプリケーションを実行する。ある実施形態において、認証装置は、改善されたOTPを生成するための前記いずれかの方法を遂行するように適応された。
多数の具現化について説明した。それでも、種々の変更がなされ得ることを理解されたい。例えば、1つ以上の具現化の要素を合成、削除、変更又は補足して、更に別の具現化を形成してもよい。従って、他の実施形態も特許請求の範囲内に入る。更に、多数の具現化の1つのみに対して特定の特徴を開示したが、そのような特徴は、必要に応じて、他の具現化の1つ以上の他の特徴、並びに所与の又は特定のアプリケーションに対する効果と合成されてもよい。以上、種々の実施形態を説明したが、それらは、単なる例示に過ぎず、それに限定されるものではない。特に、当然、請求項の要旨を説明する目的でコンポーネント又は方法の考えられる全ての組み合わせを説明することはできないが、当業者であれば、多数の更に別の組み合わせ及び順列が可能であることが認識されよう。従って、ここに述べる教示の寛容さ及び範囲は、上述した規範的実施形態のいずれによっても限定されてはならず、特許請求の範囲及びその等効物のみによって定められるものとする。
200:規範的なシステム
210:アプリケーションサーバー
220:検証サーバー
230:アクセス装置
240:認証クライアント装置
250:コンピュータネットワーク
290:ユーザ

Claims (28)

  1. 改善されたOTPを生成する方法において、
    第1のリスク分析を遂行し、
    前記第1のリスク分析の結果を表わすリスク情報データを生成し、
    ダイナミック変数の第1の値を決定し、
    前記ダイナミック変数の前記第1の値を暗号シークレットと暗号論的に合成することにより暗号OTPデータを生成し、及び
    前記暗号OTPデータを前記リスク情報データと合成することにより前記改善されたOTPを得る、
    という段階を含む、方法。
  2. 前記第1のリスク分析の遂行は、1つ以上のリスクファクタの各々に対してリスク評価を行うことを含む、請求項1に記載の方法。
  3. 前記リスク情報データの生成は、前記1つ以上のリスクファクタの全ての前記リスク評価の結果を合成することを含む、請求項2に記載の方法。
  4. 前記第1のリスク分析は、前記1つ以上のリスクファクタを1つ以上のリスクファクタカテゴリにグループ化し、そして前記1つ以上のリスクファクタカテゴリの各々に対して、その対応するリスクファクタカテゴリの全てのリスクファクタの前記リスク評価の結果を使用してリスク評価カテゴリスコアを決定することを含み、そしてリスク情報データの前記生成は、前記1つ以上のリスクファクタカテゴリのリスク評価カテゴリスコアを合成することを含む、請求項2に記載の方法。
  5. 各リスク評価カテゴリスコアは、ビットストリングとして表わされ、そしてリスク情報データの前記生成は、前記1つ以上のリスクファクタカテゴリに対応する種々のビットストリングのビットをリスク情報ビットストリングへと連結することを含み、そして前記リスク情報データは、前記リスク情報ビットストリングの表示を含む、請求項4に記載の方法。
  6. 前記第1のリスク分析は、ユーザにより動作されるクライアント装置において実行され、そして前記1つ以上のリスクファクタカテゴリは、
    クライアント装置それ自体の特性に関連した全てのリスクファクタをグループ化するプラットホームリスクファクタカテゴリ、
    ユーザの特性及びユーザの振舞いの特性に関連した全てのリスクファクタをグループ化するユーザリスクファクタカテゴリ、又は
    クライアント装置が動作している状況又は環境の特性に関連した全てのリスクファクタをグループ化する状況リスクファクタカテゴリ、
    の少なくとも1つを含む、請求項4に記載の方法。
  7. 前記1つ以上のリスクファクタカテゴリは、前記プラットホームリスクカテゴリ、前記ユーザリスクファクタカテゴリ及び前記状況リスクファクタカテゴリの3つを含む、請求項6に記載の方法。
  8. 前記暗号OTPデータの前記生成は、前記リスク情報データ及び前記ダイナミック変数の前記第1の値を暗号シークレットと暗号論的に合成することを含む、請求項1に記載の方法。
  9. 前記ダイナミック変数の前記第1の値と前記暗号シークレットとの前記暗号論的合成は、前記ダイナミック変数の前記値を使用し且つ前記暗号シークレットでパラメータ化される対称的暗号アルゴリズムを遂行することを含む、請求項1に記載の方法。
  10. 前記対称的暗号アルゴリズムは、前記リスク情報データも使用する、請求項9に記載の方法。
  11. 前記ダイナミック変数は、時間ベースである、請求項1に記載の方法。
  12. 前記ダイナミック変数は、カウンタベースである、請求項1に記載の方法。
  13. 前記ダイナミック変数は、チャレンジベースである、請求項1に記載の方法。
  14. 前記ダイナミック変数は、前記改善されたOTPに関連したトランザクション要求を表わすデータをベースとする、請求項1に記載の方法。
  15. 前記暗号OTPデータを前記リスク情報データと合成することによって前記改善されたOTPを得ることは、前記リスク情報データ及び前記暗号OTPデータの一部分を使用して前記リスク情報データのマスクされた表示を生成し、及び前記暗号OTPデータをリスク情報データの前記マスクされた表示と合成することを含む、請求項1に記載の方法。
  16. 改善されたOTPを確認する方法であって、前記改善されたOTPは、
    第1のリスク分析を遂行し、
    前記第1のリスク分析の結果を表わすリスク情報データを生成し、
    ダイナミック変数の第1の値を決定し、
    前記ダイナミック変数の前記第1の値を暗号シークレットと暗号論的に合成することにより暗号OTPデータを生成し、及び
    前記暗号OTPデータを前記リスク情報データと合成することにより前記改善されたOTPを得る、
    ことにより生成される方法において、
    前記暗号データを前記改善されたOTPから検索し、
    前記リスク情報データを前記改善されたOTPから検索し、
    前記検索された暗号データを暗号論的に検証し、
    前記検索されたリスク情報データを使用して第2のリスク分析を遂行し、及び
    前記検索された暗号データの前記暗号論的検証及び前記第2のリスク分析の結果を使用して前記改善されたOTPに対する全リスクレベルを決定する、
    という段階を含む方法。
  17. 前記改善されたOTPは、前記リスク情報データのマスクされた表示を含み、前記リスク情報データの検索は、前記検索された暗号データの部分を使用して、前記リスク情報データの前記マスクされた表示をアンマスクすることを含む、請求項16に記載の方法。
  18. 前記検索された暗号データの前記暗号論的な検証は、
    前記ダイナミック変数の第2の値を決定し、及び
    前記第2の値を使用し且つ前記暗号シークレットのコピーでパラメータ化される対称的な暗号アルゴリズムを使用して前記第2の値を前記暗号シークレットのコピーと暗号論的に合成する、
    ことを含む、請求項16に記載の方法。
  19. 前記対称的な暗号アルゴリズムは、前記検索されたリスク情報データも使用する、請求項18に記載の方法。
  20. 前記検索された暗号データの前記暗号論的な検証は、前記検索された暗号データを、前記第2の値と前記暗号シークレットの前記コピーとの前記暗号論的な合成の結果と比較することを含む、請求項18に記載の方法。
  21. ユーザとアプリケーションとの対話をセキュアなものにする方法であって、ユーザがアクセス装置と対話してアプリケーションにアクセスし、そして更に、ユーザに関連したクライアント装置と対話する方法において、
    クライアント装置で第1のリスク分析を遂行し、
    クライアント装置で前記第1のリスク分析の結果を表わすリスク情報データを生成し、
    クライアント装置でダイナミック変数の第1の値を決定し、
    クライアント装置で前記ダイナミック変数の前記第1の値を暗号シークレットと暗号論的に合成することにより暗号OTPデータを生成し、
    クライアント装置で前記暗号OTPデータを前記リスク情報データと合成することにより改善されたOTPを生成し、
    クライアント装置で前記改善されたOTPを前記ユーザに提示し、
    アクセス装置でユーザに提示された前記改善されたOTPを受け取り、
    前記改善されたOTPから前記暗号データを検索し、
    前記改善されたOTPから前記リスク情報データを検索し、
    前記検索された暗号データを暗号論的に検証し、
    前記検索されたリスク情報データを使用して第2のリスク分析を遂行し、
    前記検索された暗号データの前記暗号検証及び前記第2のリスク分析の結果を使用して前記改善されたOTPの全リスクレベルを決定し、及び
    前記全リスクレベルの値に基づきあるアクションを遂行すべきか否か判断する、
    という段階を含む方法。
  22. 前記第2のリスク分析は、前記ユーザと前記アプリケーションとの他の対話に関連した情報を使用することも含む、請求項21に記載の方法。
  23. 前記第2のリスク分析は、前記ユーザ以外の他のユーザと前記アプリケーションとの他の対話に関連した情報を使用することも含む、請求項21に記載の方法。
  24. 前記アクションは、前記ユーザにアクセスをグラントすることを含む、請求項21に記載の方法。
  25. 前記アクションは、ある許可を前記ユーザにグラントすることを含む、請求項21に記載の方法。
  26. 前記アクションは、前記ユーザにより要求されるトランザクションを遂行することを含む、請求項21に記載の方法。
  27. ユーザとアプリケーションとの間の対話をセキュアなものにするシステムにおいて、
    前記ユーザにより動作され且つユーザ出力インターフェイスを含むクライアント装置、
    ユーザ入力インターフェイスを含みそして前記ユーザと対話し且つ前記ユーザが前記アプリケーションと対話するのを許すアクセス装置、及び
    前記アプリケーションをホストするアプリケーションサーバーであって、該アプリケーションサーバー及び前記アクセス装置が物理的に異なるコンピュータである場合にはコンピュータネットワークを経て前記アクセス装置と通信するアプリケーションサーバー、
    を備え、前記クライアント装置は、
    第1のリスク分析を遂行し、
    前記第1のリスク分析の結果を表わすリスク情報データを生成し、
    ダイナミック変数の第1の値を決定し、
    前記ダイナミック変数の前記第1の値を前記クライアント装置に記憶された暗号シークレットと暗号論的に合成することにより暗号OTPデータを生成し、
    前記暗号OTPデータを前記リスク情報データと合成することにより改善されたOTPを生成し、及び
    前記ユーザ出力インターフェイスを使用して前記改善されたOTPを前記ユーザに提示する、
    ように適応され、前記アクセス装置は、
    前記ユーザ入力インターフェイスを使用して、クライアント装置によりユーザに提示された前記改善されたOTPを受け取る、
    ように適応され、及び前記アプリケーションサーバーは、
    前記暗号データを前記改善されたOTPから検索し、
    前記リスク情報データを前記改善されたOTPから検索し、
    前記検索された暗号データを暗号論的に検証し、
    前記検索されたリスク情報データを使用して第2のリスク分析を遂行し、
    前記検索された暗号データの前記暗号論的検証及び前記第2のリスク分析の結果を使用して前記改善されたOTPに対する全リスクレベルを決定し、及び
    前記全リスクレベルに基づいてあるアクションを遂行すべきかどうか判断する、
    ように適応される、システム。
  28. 前記クライアント装置は、パーソナルテレコミュニケーション装置を含む、請求項27に記載のシステム。
JP2016544622A 2013-12-31 2014-12-30 クライアント側のスコアベース認証を与える方法及び装置 Expired - Fee Related JP6702874B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201361922516P 2013-12-31 2013-12-31
US61/922,516 2013-12-31
PCT/US2014/072818 WO2015103302A1 (en) 2013-12-31 2014-12-30 A method and apparatus for providing client-side score-based authentication

Publications (2)

Publication Number Publication Date
JP2017507552A true JP2017507552A (ja) 2017-03-16
JP6702874B2 JP6702874B2 (ja) 2020-06-03

Family

ID=52432926

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016544622A Expired - Fee Related JP6702874B2 (ja) 2013-12-31 2014-12-30 クライアント側のスコアベース認証を与える方法及び装置

Country Status (5)

Country Link
US (2) US9800574B2 (ja)
EP (1) EP3090377B1 (ja)
JP (1) JP6702874B2 (ja)
CN (1) CN106462706A (ja)
WO (1) WO2015103302A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180129194A (ko) * 2017-05-25 2018-12-05 삼성에스디에스 주식회사 리스크 기반 인증을 위한 리스크 분석 장치 및 방법

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9525753B2 (en) 2012-12-12 2016-12-20 Netspective Communications Llc Integration of devices through a social networking platform
US11093988B2 (en) * 2015-02-03 2021-08-17 Fair Isaac Corporation Biometric measures profiling analytics
US11074325B1 (en) * 2016-11-09 2021-07-27 Wells Fargo Bank, N.A. Systems and methods for dynamic bio-behavioral authentication
US10218697B2 (en) * 2017-06-09 2019-02-26 Lookout, Inc. Use of device risk evaluation to manage access to services
US11455641B1 (en) * 2018-03-11 2022-09-27 Secureauth Corporation System and method to identify user and device behavior abnormalities to continuously measure transaction risk
US11017100B2 (en) * 2018-08-03 2021-05-25 Verizon Patent And Licensing Inc. Identity fraud risk engine platform
US11032271B2 (en) * 2019-02-01 2021-06-08 Rsa Security Llc Authentication based on shared secret seed updates for one-time passcode generation
US11223473B2 (en) 2019-02-01 2022-01-11 EMC IP Holding Company LLC Client-driven shared secret updates for client authentication
FR3104760B1 (fr) * 2019-12-13 2023-05-26 Ingenico Group Procede, serveur et systeme d’authentification de transaction utilisant deux canaux de communication
US11115407B2 (en) 2020-01-09 2021-09-07 Bank Of America Corporation Client side OTP generation method
US11178138B2 (en) 2020-01-09 2021-11-16 Bank Of America Corporation Client side OTP generation method
US11750643B1 (en) * 2022-10-11 2023-09-05 Second Sight Data Discovery, Inc. Apparatus and method for determining a recommended cyber-attack risk remediation action
US11741217B1 (en) * 2022-11-09 2023-08-29 Ten Root Cyber Security Ltd. Systems and methods for managing multiple valid one time password (OTP) for a single identity

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006508471A (ja) * 2002-11-27 2006-03-09 アールエスエイ セキュリティー インク 識別認証システムおよび方法
JP2010097467A (ja) * 2008-10-17 2010-04-30 Nomura Research Institute Ltd リスクベース認証システムおよびリスクベース認証方法
JP2013117926A (ja) * 2011-12-05 2013-06-13 Internatl Business Mach Corp <Ibm> イベント系列のリスク評価値を算出する方法、装置及びコンピュータプログラム

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8302167B2 (en) * 2008-03-11 2012-10-30 Vasco Data Security, Inc. Strong authentication token generating one-time passwords and signatures upon server credential verification
US10282702B2 (en) * 2010-01-04 2019-05-07 Bank Of America Corporation Dynamic employee security risk scoring
US8881289B2 (en) * 2011-10-18 2014-11-04 Mcafee, Inc. User behavioral risk assessment
US8819769B1 (en) * 2012-03-30 2014-08-26 Emc Corporation Managing user access with mobile device posture
CN102739659B (zh) * 2012-06-16 2015-07-08 华南师范大学 一种防重放攻击的认证方法
US9240986B1 (en) * 2012-09-27 2016-01-19 Emc Corporation Managing security and wireless signal detection

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006508471A (ja) * 2002-11-27 2006-03-09 アールエスエイ セキュリティー インク 識別認証システムおよび方法
JP2010097467A (ja) * 2008-10-17 2010-04-30 Nomura Research Institute Ltd リスクベース認証システムおよびリスクベース認証方法
JP2013117926A (ja) * 2011-12-05 2013-06-13 Internatl Business Mach Corp <Ibm> イベント系列のリスク評価値を算出する方法、装置及びコンピュータプログラム

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180129194A (ko) * 2017-05-25 2018-12-05 삼성에스디에스 주식회사 리스크 기반 인증을 위한 리스크 분석 장치 및 방법
US11003749B2 (en) 2017-05-25 2021-05-11 Samsung Sds Co., Ltd. Risk analysis apparatus and method for risk based authentication
KR102369228B1 (ko) * 2017-05-25 2022-02-28 삼성에스디에스 주식회사 리스크 기반 인증을 위한 리스크 분석 장치 및 방법

Also Published As

Publication number Publication date
US20150188913A1 (en) 2015-07-02
US20180316661A1 (en) 2018-11-01
EP3090377B1 (en) 2020-01-22
CN106462706A (zh) 2017-02-22
JP6702874B2 (ja) 2020-06-03
EP3090377A1 (en) 2016-11-09
WO2015103302A1 (en) 2015-07-09
US9800574B2 (en) 2017-10-24

Similar Documents

Publication Publication Date Title
JP6702874B2 (ja) クライアント側のスコアベース認証を与える方法及び装置
US7908645B2 (en) System and method for fraud monitoring, detection, and tiered user authentication
CN112425114B (zh) 受公钥-私钥对保护的密码管理器
US20140082707A1 (en) Systems and methods for network connected authentication
JP2019512961A (ja) 改善されたセキュリティーを伴うユーザ認証のための方法およびシステム
US20140164762A1 (en) Apparatus and method of online authentication
WO2015188424A1 (zh) 一种密钥存储设备及其使用方法
KR20180003113A (ko) 서버, 디바이스 및 이에 의한 사용자 인증 방법
US20230006844A1 (en) Dynamic value appended to cookie data for fraud detection and step-up authentication
US11936651B2 (en) Automated account recovery using trusted devices
KR101856530B1 (ko) 사용자 인지 기반 암호화 프로토콜을 제공하는 암호화 시스템 및 이를 이용하는 온라인 결제 처리 방법, 보안 장치 및 거래 승인 서버
TWI640928B (zh) 二維條碼產生及解譯系統及方法
TWI640887B (zh) 配合一行動裝置實現的使用者身分驗證系統及方法
JP2007065789A (ja) 認証システム及び方法
CN114466358B (zh) 一种基于零信任的用户身份持续认证方法及装置
US11218472B2 (en) Methods and systems to facilitate establishing a connection between an access-seeking device and an access granting device
US11444953B2 (en) Methods, systems, apparatuses and devices for facilitating security of a resource using a plurality of credentials
TWI644227B (zh) 配合一行動裝置實現的交互驗證系統及方法
Rull Jariod Authorization and authentication strategy for mobile highly constrained edge devices
Ojo Development of a Three Factor Authentication System for Online Banking
Fietkau et al. Secure Authentication for Everyone! Enabling 2nd-Factor Authentication Under Real-World Constraints
KR20150089960A (ko) 본인인증방법 및 이를 위한 디지털 시스템, 인증 시스템
KR101584219B1 (ko) 본인인증방법 및 이를 위한 디지털 시스템, 인증 시스템
IT202100017279A1 (it) Immagine animata codificata e metodo per generare, visualizzare e leggere tale immagine animata codificata, in particolare per l’autorizzazione di operazioni su sevizi online
CN109284615A (zh) 移动设备数字资源安全管理方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171222

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180829

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180925

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20181225

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20190222

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190325

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190912

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20191212

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20200212

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200310

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200402

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200507

R150 Certificate of patent or registration of utility model

Ref document number: 6702874

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees