JP2017535837A - 認証サービスをネットワークアーキテクチャ内に統合するためのシステム及び方法 - Google Patents
認証サービスをネットワークアーキテクチャ内に統合するためのシステム及び方法 Download PDFInfo
- Publication number
- JP2017535837A JP2017535837A JP2017514840A JP2017514840A JP2017535837A JP 2017535837 A JP2017535837 A JP 2017535837A JP 2017514840 A JP2017514840 A JP 2017514840A JP 2017514840 A JP2017514840 A JP 2017514840A JP 2017535837 A JP2017535837 A JP 2017535837A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- gateway
- authentication server
- client
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 53
- 230000004044 response Effects 0.000 claims abstract description 30
- 238000004891 communication Methods 0.000 claims abstract description 19
- 230000001960 triggered effect Effects 0.000 claims description 3
- 230000008878 coupling Effects 0.000 claims 2
- 238000010168 coupling process Methods 0.000 claims 2
- 238000005859 coupling reaction Methods 0.000 claims 2
- 238000012545 processing Methods 0.000 description 20
- 238000013459 approach Methods 0.000 description 11
- 230000010354 integration Effects 0.000 description 11
- 238000012795 verification Methods 0.000 description 11
- 230000008569 process Effects 0.000 description 7
- 230000003287 optical effect Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 230000008901 benefit Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 3
- 230000006872 improvement Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 210000001525 retina Anatomy 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000010200 validation analysis Methods 0.000 description 2
- 230000003190 augmentative effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 230000004424 eye movement Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000003032 molecular docking Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 230000002207 retinal effect Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0838—Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Storage Device Security (AREA)
- Telephonic Communication Services (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
認証サービスを既存のネットワークインフラストラクチャ内に統合するためのシステム、装置、方法、及び機械可読媒体が説明される。1つの実施形態は、内部ネットワークへのアクセスを制限するように構成されるゲートウェイと、ゲートウェイに通信可能に結合される認証サーバと、ユーザを認証するための、複数の認証デバイスが結合された認証クライアントを有するクライアントデバイスであって、認証クライアントが、認証サーバとの通信チャネルを確立し、認証デバイスのうちの1つ以上を認証サーバに登録するように構成され、認証デバイスが、登録に続いて、認証サーバによるオンライン認証を実行するために使用可能である、クライアントデバイスと、を備え、認証クライアントが、ゲートウェイを介して内部ネットワークへのアクセスの獲得を試みることに応答して、登録された認証デバイスのうちの1つ以上を使用して、認証サーバによってユーザを認証する。
Description
本発明は、概して、データ処理システムの分野に関する。より具体的には、本発明は、認証サービスをネットワークアーキテクチャ内に統合するためのシステム及び方法に関する。
システムはまた、バイオメトリックセンサを使用してネットワーク上でセキュアなユーザ認証を提供するために設計されている。そのようなシステムにおいて、認証部、及び/又は他の認証データにより生成されたスコアは、リモートサーバでユーザを認証するためにネットワークで送ることができる。例えば、米国特許出願公開第2011/0082801号(「‘801出願」)は、強力な認証(例えば、個人情報の盗難及びフィッシングに対する保護)を提供する、ネットワーク上でのユーザ登録及び認証のためのフレームワーク、セキュアトランザクション(例えば、「マルウェア・イン・ザ・ブラウザ」及びトランザクションについての「マン・イン・ザ・ミドル」攻撃に対する保護)、及び、クライアント認証トークン(例えば、指紋リーダー、顔認識デバイス、スマートカード、トラステッドプラットフォームモジュールなど)の登録/管理について記載している。
本特許出願の譲受人は、‘801出願に記載された認証フレームワークに対する様々な改善を開発している。これらの改善のうちのいくつかは、本願と同じ譲受人に譲渡されている以下の組の米国特許出願に記載されており、その出願とは、第13/730,761号、Query System and Method to Determine Authentication、第13/730,776号、System and Method for Efficiently Enrolling,Registering,and Authenticating With Multiple Authentication Devices;第13/730,780号、System and Method for Processing Random Challenges Within an Authentication Framework;第13/730,791号、System and Method for Implementing Privacy Classes Within an Authentication Framework;第13/730,795号、System and Method for Implementing Transaction Signaling Within an Authentication Framework;及び第14/218,504,Advanced Authentication Techniques and Applications(以下において「‘504出願」)である。これらの出願は、本明細書において(「同時係属出願」)と呼ばれることがある。
手短に言えば、これらの同時係属出願は、ユーザが、クライアントデバイスにおいてバイオメトリックデバイス(例えば、指紋センサ)のような認証デバイス(又は認証部)によって登録する認証技術を記載している。ユーザがバイオメトリックデバイスによって登録されるとき、バイオメトリック参考データが(例えば、指をスワイプすること、写真をスナップすること、音声を録音することなどにより)捕捉される。ユーザは、その後、ネットワークを通じて1つ以上のサーバ(例えば、同時係属出願に記載されているようなセキュアなトランザクション/認証サービスを備えるウェブサイト又は他の依拠当事者)によって認証デバイスを登録/プロビジョニングし、その後、登録プロセス中に交換されるデータ(例えば、認証デバイスにプロビジョニングされる暗号鍵)を使用してそれらのサーバで認証することができる。認証されると、ユーザは、ウェブサイト又は他の依拠当事者と1つ以上のオンライントランザクションを実行することが許可される。同時係属出願に記載されたフレームワークでは、機密情報、例えば、ユーザを一意的に識別するために使用することができる指紋データ及び他のデータは、ユーザのプライバシーを保護するためにユーザの認証デバイスにローカルに保持されてもよい。
‘504出願は、複合認証部を設計するための技術と、認証保証レベルをインテリジェントに生成する技術と、非侵入型ユーザ検証を使用する技術と、認証データを新規の認証デバイスに移動する技術と、クライアントリスクデータによって認証データを増加させる技術と、認証方針を最適に適用する技術と、トラストサークルを作成してほんの少数を指名する技術と、を含む様々な付加的技術を記載している。
同時係属出願に記載されているリモート認証技術を活用するために依拠当事者のウェブベースの又は他のネットワーク対応のアプリケーションを増強するには、通常は、アプリケーションを認証サーバと直接統合することを必要とする。これは、依拠当事者が、同時係属出願に記載される技術によって提供される認証の柔軟性を得るために、アプリケーションを更新して認証サーバと統合するための労力を費やすことが必要になるので、このような認証の採用に対する障害をもたらす。
いくつかの事例において、依拠当事者は、フェデレーションソリューションと既に統合している場合があり、したがって、単純な統合の経路は、単に、オンライン認証サポートをフェデレーションソリューションに統合することである。残念なことに、この手法は、他のレガシーシステム(VPN、Windows Kerberosの展開など)に対処しておらず、該レガシーシステムは、フェデレーションプロトコルの認識が不足している(したがって、オンライン認証機能によって増大されたフェデレーションサーバによってフロントエンドになり得る)か、又は、オンライン認証機能の直接的な統合を可能にするための十分な拡張性が不足している。したがって、特定の依拠当事者アプリケーションについて解決しなければならない重要な問題は、アプリケーション自体のコードを修正することを必要とせずに、それらをオンライン認証システムに統合すること可能にする方法を見出すことである。
本発明のより良好な理解は、以下の図面とともに以下の詳細な説明から得ることができる。
以下に説明するものは、高度な認証技術及び関連するアプリケーションを実行するための装置、方法及び機械可読媒体の実施形態である。説明を通して、説明の目的のために、多数の具体的な詳細が本発明の完全な理解を提供するために記載されている。しかしながら、本発明が、これらの具体的な詳細の一部がなくても実施され得ることは当業者にとって明らかであろう。他の例において、周知の構造及びデバイスは示されていないか、又は、本発明の基本原理を曖昧にすることを避けるためにブロック図の形態で示されている。
以下に説明する本発明の実施形態には、バイオメトリックモダリティ又はPIN入力などのユーザ検証機能を備えた認証デバイスが含まれる。これらのデバイスは、本明細書において、「トークン」、「認証デバイス」、又は「認証部」と呼ばれることがある。特定の実施形態は、顔認識ハードウェア/ソフトウェア(例えば、ユーザの顔を認識してユーザの眼の動きを追跡するためのカメラ及び関連するソフトウェア)にフォーカスしており、いくつかの実施形態は、例えば、指紋センサ、音声認識ハードウェア/ソフトウェア(例えば、マイクロフォン及びユーザの音声を認識するための関連するソフトウェア)、及び、光学的認識機能(例えば、ユーザの網膜をスキャンするための光学スキャナ及び関連するソフトウェア)を含む追加のバイオメトリックデバイスを利用することができる。ユーザ検証機能は、PIN入力のような、非バイオメトリックモダリティを含んでもよい。認証部は、暗号操作及び鍵記憶のためにトラスデッドプラットフォームモジュール(TPM)、スマートカード及びセキュア要素のようなデバイスを使用することがあり得る。
モバイルバイオメトリックの実装において、バイオメトリックデバイスは、依拠当事者からリモートにあってもよい。本明細書で用いるとき、「リモート」という用語は、バイオメトリックセンサが通信可能に結合されているコンピュータのセキュリティ境界の一部ではない(例えば、依拠当事者コンピュータと同じ物理的筐体内に埋め込まれていない)ことを意味する。一例として、バイオメトリックデバイスは、ネットワーク(例えば、インターネット、無線ネットワークリンクなど)を介して又はUSBポートなどの周辺入力を介して依拠当事者に結合することができる。これらの条件下では、そのデバイスが依拠当事者(例えば、認証強度及び完全性保護の許容可能なレベルを提供するもの)によって認証されるものであるかどうか及び/又はハッカーがバイオメトリックデバイスを侵害したかどうか若しくは更には交換したかどうかを依拠当事者が知る方法はない可能性がある。バイオメトリックデバイスにおける信頼度は、デバイスの特定の実装形態に依存する。
「ローカル」という用語は、ユーザが現金自動預け払い機(ATM)又は店舗販売時点情報管理(POS)小売チェックアウトの位置などの特定の位置において個人がトランザクションを完了していることを意味するために本明細書において使用される。しかしながら、以下に説明するように、ユーザを認証するために用いられる認証技術は、リモートサーバ及び/又は他のデータ処理デバイスとのネットワークを介した通信などの非位置的構成要素(non-location component)を含むことができる。更に、具体的な実施形態が(ATMや小売店など)本明細書において記載されるが、本発明の基礎原理は、トランザクションがエンドユーザによってローカルに開始される任意のシステムのコンテキスト内で実装されてもよいことに留意すべきである。
用語「依拠当事者」とは、本明細書において、ユーザトランザクションがそれによって試みられるエンティティ(例えば、ユーザトランザクションを実行するウェブサイト又はオンラインサービス)だけでなく、セキュアトランザクションサーバ(本明細書で説明される基礎となる認証技術を実行し得るそのエンティティの代わりに実装される」と呼ばれることがある)も指すために使用されることがある。セキュアトランザクションサーバは、所有される及び/又は依拠当事者の制御下にあってもよく、又は、事業構成の一部として依拠当事者に対してセキュアトランザクションサービスを提供する第三者の制御下にあってもよい。
「サーバ」という用語は、クライアントからネットワークを介してリクエストを受信し、応答として1つ以上の操作を実行し、クライアントに通常は操作の結果を含む応答を送信するハードウェアプラットフォーム上で(又は複数のハードウェアプラットフォームにわたって)実行されるソフトウェアを指すために本明細書において使用される。サーバは、クライアントに対してネットワーク「サービス」を提供する又は提供するのに役立つように、クライアントのリクエストに応答する。重要なことは、サーバが単一のコンピュータ(例えば、サーバソフトウェアを実行する単一のハードウェアデバイス)に限定されるものではなく、実際には、潜在的に複数の地理的位置にある複数のハードウェアプラットフォームにまたがってもよいということである。
例示的なオンライン認証アーキテクチャ及びトランザクション
例示的なオンライン認証アーキテクチャ及びトランザクション
図1A〜Bは、システムアーキテクチャについての2つの実施形態を示し、このシステムアーキテクチャは、認証デバイスを登録(「プロビジョニング」とも呼ばれることがある)してユーザを認証するために、クライアント側及びサーバ側の構成要素を備える。図1Aに示す実施形態は、ウェブサイトと通信するためにウェブブラウザプラグインベースのアーキテクチャを使用し、一方、図1Bに示す実施形態は、ウェブブラウザを必要としない。ユーザを認証デバイスに登録すること、認証デバイスをセキュアなサーバに登録すること、及びユーザを検証することなどの、本明細書に記載の様々な技術は、これらのシステムアーキテクチャのうちの任意のものに実装されてもよい。このように、図1Aに示すアーキテクチャは、以下で説明する実施形態のうちのいくつかの操作を説明するために使用され、一方、同じ基本原理が図1Bに示すシステムにおいて容易に(例えば、サーバ130とセキュアトランザクションサービス101との間の通信のための媒介としてのブラウザプラグイン105を取り除くことによって)実装され得る。
図1Aを最初に参照すると、示している実施形態は、エンドユーザを登録して検証するために、1つ以上の認証デバイス110〜112(時として、認証「トークン」又は「認証部」と当該技術分野において呼ばれることがある)を備えるクライアント100を含む。上記のように、認証デバイス110〜112は、指紋センサ、音声認識ハードウェア/ソフトウェア(例えば、ユーザの声を認識するためのマイクロフォン及び付随するソフトウェア)、顔認識ハードウェア/ソフトウェア(例えば、ユーザの顔を認識するためのカメラ及び付随するソフトウェア)、及び、光学的認識機能(例えば、ユーザの網膜をスキャンするための光学式スキャナ及び付随するソフトウェア)のようなバイオメトリックデバイス、並びに、PIN検証のような非バイオメトリックモダリティのための支持を含んでもよい。認証デバイスは、トラステッドプラットフォームモジュール(TPM)、スマートカード、又はセキュア要素を暗号操作及び鍵記憶のために使用してもよい。
認証デバイス110〜112は、セキュアトランザクションサービス101によって露出されたインターフェース102(例えば、アプリケーションプログラミングインターフェース又はAPI)を介してクライアントに通信可能に結合されている。セキュアトランザクションサービス101は、ネットワークを介して1つ以上のセキュアトランザクションサーバ132〜133と通信を行い、かつウェブブラウザ104のコンテキスト内で実行されるセキュアトランザクションプラグイン105とインターフェースするためのセキュアアプリケーションである。例示されたように、インターフェース102はまた、デバイス識別コードなどの認証デバイス110〜112のそれぞれに関連する情報、ユーザ識別コード、認証デバイスにより保護されたユーザ登録データ(例えば、スキャンされた指紋又は他のバイオメトリックデータ)、及び本明細書に記載されたセキュア認証技術を実行するために使用される認証デバイスによりラップされた鍵を記憶するクライアント100のセキュア記憶装置デバイス120に対するセキュアなアクセス権を提供することができる。例えば、以下に詳細に説明するように、固有の鍵は、認証デバイスのそれぞれに記憶され、インターネットなどのネットワークを介してサーバ130と通信するときに使用することができる。
後述するように、特定の種類のネットワークトランザクションは、ウェブサイト131又は他のサーバとのHTTP又はHTTPSトランザクションなどのセキュアトランザクションプラグイン105によって、サポートされる。1つの実施形態では、セキュアトランザクションプラグインは、セキュアエンタープライズ又はウェブデスティネーション130の内部のウェブサーバ131(時として、単に「サーバ130」と呼ばれることがある)によってウェブページのHTMLコードの中に挿入された特定のHTMLタグに応答して開始される。そのようなタグを検出することに応答して、セキュアトランザクションプラグイン105は、処理のために、セキュアトランザクションサービス101に、トランザクションを転送することができる。更に、特定の種類のトランザクション(例えば、セキュア鍵交換などの)について、セキュアトランザクションサービス101は、内部設置トランザクションサーバ132(すなわち、ウェブサイトと同じ位置に配置された)又は外部設置トランザクションサーバ133との直接の通信チャンネルを開くことができる。
セキュアトランザクションサーバ132〜133は、ユーザデータ、認証デバイスデータ、鍵、及び、後述するセキュア認証トランザクションをサポートするために必要な他のセキュア情報を記憶するためにセキュアトランザクションデータベース120に結合される。しかし、本発明の基礎となる原理は、図1Aに示すセキュアエンタープライズ又はウェブデスティネーション130内の論理的構成要素の分離を必要としないことに留意するべきである。例えば、ウェブサイト131とセキュアトランザクションサーバ132〜133とは、単一の物理サーバ又は別個の物理サーバ内に実装されてもよい。更に、ウェブサイト131及びトランザクションサーバ132〜133は、以下に説明する機能を実行するための1つ以上のサーバ上で実行される統合されたソフトウェアモジュール内に実装されてもよい。
上記のように、発明の基礎となる原理は、図1Aに示すブラウザベースのアーキテクチャに限定されない。図1Bは、スタンドアロンアプリケーション154が、ネットワークを介してユーザを認証するセキュアトランザクションサービス101によって提供される機能を利用する代替の実装を示す。1つの実施形態において、アプリケーション154は、以下で詳細に説明するユーザ/クライアント認証技術を実行するためのセキュアトランザクションサーバ132〜133に依存する1つ以上のネットワークサービス151との通信セッションを確立するように設計されている。
図1A及び図1Bに示された実施形態のどちらにおいても、セキュアトランザクションサーバ132〜133は、次いでセキュアトランザクションサービス101に対してセキュアに伝送され、かつセキュア記憶装置120内の認証デバイスに記憶される鍵を生成することができる。更に、セキュアトランザクションサーバ132〜133は、サーバ側のセキュアトランザクションデータベース120を管理する。
認証デバイスをリモートで登録すること、及び依拠当事者によって認証することと関連する特定の基本原理を図2〜3について説明し、それに続いて、セキュア通信プロトコルを使用して信用を確立するための本発明の実施形態について詳細に説明する。
図2は、クライアントにおける認証デバイス(例えば、図1A〜Bのクライアント100におけるデバイス110〜112)を登録する(時として、認証デバイスを「プロビジョ二ングする」と呼ぶことがある)ための一連のトランザクションを示す。簡潔性のために、セキュアトランザクションサービス101とインターフェース102とは、認証クライアント201として一緒に組み合わされ、セキュアトランザクションサーバ132〜133を含むセキュアエンタープライズ又はウェブデスティネーション130は、依拠当事者202として表されている。
認証部(例えば、指紋認証部、音声認証部など)の登録の間、認証部と関連する鍵は、認証クライアント201と依拠当事者202との間で共有される。図1A〜Bに戻って参照すると、鍵は、クライアント100のセキュア記憶装置120、及びセキュアトランザクションサーバ132〜133によって使用されるセキュアトランザクションデータベース120内に記憶されてもよい。1つの実施形態において、鍵は、セキュアトランザクションサーバ132〜133のいずれかによって生成された対称鍵である。しかし、下記の別の実施形態では、非対称鍵が使用される。本実施形態では、公開鍵/秘密鍵のペアが、セキュアトランザクションサーバ132〜133によって生成されてもよい。公開鍵は、次いで、セキュアトランザクションサーバ132〜133によって記憶されてもよく、そして、関連する秘密鍵は、クライアントにおけるセキュア記憶装置120に記憶されてもよい。代替の実施形態では、鍵(複数可)が、クライアント100において(例えば、セキュアトランザクションサーバ132〜133ではなく、認証デバイス又は認証デバイスインターフェースによって)生成されてもよい。本発明の基本原理は、任意の特定の種類の鍵又は鍵の生成方法に限定されるものではない。
セキュア鍵プロビジョニングプロトコルが、1つの実施形態において使用されて、セキュア通信チャネルを介してクライアントと鍵を共有する。鍵プロビジョニングプロトコルの1つの例は、Dynamic Symmetric Key Provisioning Protocol(DSKPP)(例えば、Request for Comments(RFC)6063を参照)である。しかしながら、本発明の基本原理は、いかなる特定の鍵プロビジョニングプロトコルにも限定されるものではない。1つの特定の実施形態では、クライアントは、公開/秘密鍵ペアを生成して、証明鍵によって証明されてもよい公開鍵をサーバに送る。
図2に示す特定詳細を参照すると、登録プロセスを開始するために、依拠当事者202は、デバイス登録の間に認証クライアント201によって提示されなければならない、ランダムに生成されたチャレンジ(例えば、暗号ノンス)を生成する。ランダムチャレンジは、限られた期間について有効であり得る。それに応答して、認証クライアント201は、依拠当事者202(例えば、アウトオブバンドトランザクション)とのアウトオブバンドセキュア接続を開始し、そして、鍵プロビジョニングプロトコル(例えば、上記のDSKPPプロトコル)を使用して依拠当事者202と通信する。セキュア接続を開始するために、認証クライアント201が、ランダムチャレンジを(場合によっては、ランダムチャレンジを介して生成された署名とともに)依拠当事者202に提供し戻してもよい。加えて、認証クライアント201は、ユーザの識別(例えば、ユーザID又は他のコード)、及び(例えば、プロビジョニングされている認証デバイス(複数可)の種類を一意的に識別する認証証明ID(AAID)を使用して)登録されるプロビジョニングされるべき認証デバイス(複数可)の識別を伝送してもよい。
依拠当事者は、ユーザ名又はIDコード(例えば、ユーザアカウントデータベースの中の)によってユーザを探索し、ランダムチャレンジを検証し(例えば、署名を使用して、又は、単にランダムチャレンジを送られたものと比較して)、送られたものならば(例えば、AAID)認証デバイスの認証コードを検証し、そして、ユーザ及び認証デバイス(複数可)について新規エントリをセキュアトランザクションデータベース(例えば、図1A〜Bにおけるデータベース120)に作成する。1つの実施形態では、依拠当事者は、それが認証のために受け取る認証デバイスのデータベースを維持する。それは、AAID(又は、他の認証デバイス(複数可)のコード)によってこのデータベースに問合せることにより、プロビジョニングされている認証デバイス(複数可)が認証に対して許容可能か否かを判定してもよい。肯定の場合、次いて、それは、登録プロセスを続行することになる。
1つの実施形態では、依拠当事者202は、プロビジョニングされているそれぞれの認証デバイスに対して認証鍵を生成する。それは、セキュアデータベースに鍵を書込み、鍵プロビジョニングプロトコルを使用して鍵を認証クライアント201に送り返す。一旦完了すると、認証デバイスと依拠当事者202とは、対称鍵が使用された場合には同じ鍵を共有し、非対称鍵が使用された場合には異なる鍵を共有する。例えば、非対称鍵が使用された場合、依拠当事者202は、公開鍵を記憶して、認証クライアント201に秘密鍵を提供してもよい。依拠当事者202から秘密鍵を受け取ると、認証クライアント201は、鍵を認証デバイスにプロビジョニングする(それを認証デバイスと関連するセキュア記憶装置内に記憶する)。それは、次いで、(下記のように)ユーザの認証の間、鍵を使用してもよい。代替の実施形態では、鍵(複数可)が、認証クライアント201によって生成され、そして、鍵プロビジョニングプロトコルが、依拠当事者202に鍵(複数可)を提供するために使用される。いずれにせよ、一旦プロビジョニングが完了すると、認証クライアント201及び依拠当事者202はそれぞれ鍵を有し、そして、認証クライアント201は、依拠当事者に完了を通知する。
図3は、プロビジョニングされた認証デバイスによるユーザ認証のための一連のトランザクションを示す。一旦デバイス登録が(図2に記載されているように)完了すると、依拠当事者202は、有効な認証応答としてクライアントにおけるローカル認証デバイスによって生成された認証応答(時として「トークン」と呼ばれることがある)を受け取ることになる。
図3に示す特定詳細を参照すると、ユーザが認証を必要とする依拠当事者202によってトランザクションを開始すること(例えば、依拠当事者のウェブサイトからの支払い、秘密ユーザアカウントデータにアクセスすることなどを開始すること)に応答して、依拠当事者202は、ランダムチャレンジ(例えば、暗号ノンス)を含む認証リクエストを生成する。1つの実施形態では、ランダムチャレンジは、それと関連する時間制限(例えば、それが指定期間の間、有効である)を有する。依拠当事者は、また、認証のために、認証クライアント201によって使用されるべき認証部を識別してもよい。上記のように、依拠当事者は、クライアントにおいて利用可能なそれぞれの認証デバイスをプロビジョニングして、それぞれのプロビジョニングされた認証部のための公開鍵を記憶してもよい。このように、それは、認証部の公開鍵を使用するか、又は、認証部ID(例えば、AAID)を使用することにより、使用されるべき認証部を識別してもよい。代替として、それは、ユーザが選択してもよい認証選択肢のリストをクライアントに提供してもよい。
認証リクエストの受取りに応答して、ユーザは、認証をリクエストするグラフィカルユーザインターフェース(GUI)を(例えば、ウェブページ又は認証アプリケーション/アプリのGUIの形式で)提示されてもよい。ユーザは、次いで、認証(例えば、指紋リーダー上で指をスワイプすることなど)を実行する。それに応答して、認証クライアント201は、認証部と関連する秘密鍵を有するランダムチャレンジを介して署名を含む認証応答を生成する。それは、また、ユーザIDコードのような他の関連するデータを認証応答の中に含んでもよい。
認証応答を受け取ると、依拠当事者は、ランダムチャレンジを介して(例えば、認証部と関連する公開鍵を使用して)署名を検証して、ユーザの識別を確認してもよい。一旦認証が完了すると、示すように、ユーザは、依拠当事者によってセキュアトランザクションに入ることが許可される。
Transport Layer Security(TLS)又はSecure Sockets Layer(SSL)のようなセキュア通信プロトコルが、図2〜3に示すトランザクションのうちの一部又は全てについて、依拠当事者201と認証クライアント202との間のセキュア接続を確立するために使用されてもよい。
認証サービスをネットワークアーキテクチャと統合するためのシステム及び方法
認証サービスをネットワークアーキテクチャと統合するためのシステム及び方法
多くのレガシーシステムは、ユーザ名及びパスワード以外の認証方法に対するサポートを特徴とし得る。例えば、セキュアソケットレイヤー(SSL)仮想プライベートネットワーク(VPN)システムは、ワンタイムパスワード(OTP)の使用をサポートする。Kerberosなどのシステムは、ユーザが、デジタル証明書を使用してネットワーク又はサービスに対して認証することを可能にする。
本明細書に記載される本発明の実施形態は、これらの特徴を活用して、(構成変更以外の)レガシーシステム自体に対するいかなる変更も必要とすることなく、オンライン認証サービスをこのようなレガシーシステムと統合する。
セキュアソケットレイヤー(SSL)仮想プライベートネットワーク(VPN)のセキュリティを増大させるために、企業は、OTP手法に基づく二要素認証ソリューションを展開する。RSA SecurID又はOATHなどのソリューションは、ユーザが、OTP生成器を運搬し、VPNに対する認証のために、ユーザ名及びパスワードと組み合わせて、この生成器によって生成されるOTPを入力することを必要とする。
図4は、SSL VPNゲートウェイ415と組み合わせて動作するように構成されるOTP検証サーバ425を示す。動作に際し、ユーザは、ウェブブラウザ410を開き、SSL VPNゲートウェイ415に移動し、ユーザIDフィールド412及びパスワードフィールド413を含むHTMLベースのログインフォーム411をレンダリングする。ユーザは、ユーザIDをUIDフィールド412に、また、OTPを(それ自体を、又はユーザの静的パスワードに添付して)パスワードフィールド413に入力することができる。HTMLフォーム411を介してユーザ名及びパスワードに入力した後に、ユーザは、結果をSSL VPNゲートウェイ415に提出する。
SSL VPNゲートウェイ415は、ユーザストア420に対してユーザ名及びパスワードを検証し(例えば、ユーザ名が存在すること、及び正しいパスワードが入力されたことを検証し)、ユーザによって入力されたOTPをOTP検証サーバ425に提供することによってOTPを検証する。OTP検証サーバ425がOTPを検証して肯定応答を提供した場合、SSL VPNゲートウェイ415は、保護された内部ネットワーク430へのユーザアクセスを付与する。
上記のように、上の実施例において、SSL VPNゲートウェイ415は、別個のフォーム要素をレンダリングして、OTPの入力を可能にし、一方で他の事例において、SSL VPNゲートウェイ415は、単に、ユーザが、それらのOTPをフォームのパスワードフィールドの中のパスワードに添付することに依存することができる。更に、SSL VPNゲートウェイ415は、一次ユーザ名及びパスワードがユーザストア420の検証によって受け取られなかった場合に、アクセスを直ちに拒絶することができる。SSL VPNゲートウェイ415とOTP検証サーバ425との間の通信は、SSL VPNゲートウェイベンダ又はOTP検証サーバベンダのいずれかによって提供されるプラグインによって容易にすることができる。しかし、大部分のSSL VPNゲートウェイは、リモート認証ダイヤルインユーザサービスを(RADIUS;RFC 2865を参照されたい)の統合をサポートする。したがって、OTPソリューションによるRADIUSのサポートは、OTPサーバプロバイダがSSL VPNゲートウェイ固有のコネクタを開発することに対する必要性を取り除く。
図5に示されるように、本発明の1つの実施形態は、ネットワークインフラストラクチャを変化させることなく、オンライン認証技術(例えば、図1A〜B、及び図3に関して上で説明したものなど)を統合するために、SSL VPNゲートウェイ515の既存の特徴に依存する。示されるように、この実施形態は、上で説明したOTP検証サーバ425と潜在的に同じ(又は類似する)様式で、SSL VPNゲートウェイ515に通信可能に結合される認証サーバ202を含む。認証サーバ202はまた、1つ以上の認証デバイス110〜112(例えば、指紋認証部、音声認証部、網膜スキャン認証部など)を使用するユーザを認証するための認証クライアント201を有するクライアントデバイス510にも通信可能に結合される。認証サーバ202は、図5のブラウザを介して(例えば、図1Aに示される実施形態と類似する様式で)認証クライアント201に結合されるが、本発明の基本原理は、ブラウザベースの実装に限定されない。
1つの実施形態において、SSL VPNゲートウェイ515と、ブラウザ510と、認証サーバ202との間の相互作用は、以下の通りである。ユーザは、ウェブブラウザ510を開き、JavaScript(登録商標)などのブラウザ実行可能コード512を含むウェブページ511をレンダリングするSSL VPNゲートウェイ515に移動する。1つの実施形態において、ブラウザ実行可能コード512は、認証サーバ202との通信チャネルを確立し、認証クライアント201をトリガーしてユーザを認証することによって、認証をトリガーする。1つの実施形態において、認証サーバ202及びクライアント201は、図3に関して上で説明したものなどの、一連の認証トランザクションに入る。例えば、認証サーバ202は、ランダムチャレンジ(例えば、暗号ノンス)を含む認証リクエストを生成することができ、また、認証のために認証クライアント201によって使用される認証部110〜112を識別することができる(又はそうしない場合がある)。認証リクエストの受取りに応答して、ユーザは、認証をリクエストするグラフィカルユーザインターフェース(GUI)を(例えば、ウェブページ又は認証アプリケーション/アプリのGUIの形式で)提示されてもよい。ユーザは、次いで、認証(例えば、指紋リーダー上で指をスワイプすることなど)を実行する。それに応答して、認証クライアント201は、認証部と関連する秘密鍵を有するランダムチャレンジを介して署名を含む認証応答を生成する。それは、また、ユーザIDコードのような他の関連するデータを認証応答の中に含んでもよい。認証応答を受け取ると、認証サーバ202は、ランダムチャレンジを通じて(例えば、認証部と関連する公開鍵を使用して)署名を検証し、ユーザの識別を確認する。1つの実施形態において、JavaScript又は他のブラウザ実行可能コード512は、認証サーバ202と認証クライアント201との間で上記の認証メッセージを渡す。
1つの実施形態において、認証成功に応答して、認証サーバ202は、本明細書で「チケット」と称される暗号データ構造を生成し、ブラウザ510に渡す。1つの実施形態において、チケットは、HTMLフォーム511のフィールドを介してSSL VPNゲートウェイ515に提出することができるランダムな数字列又は他の形式のワンタイムパスワード(OTP)を備える。例えば、上記のように、別個のフィールドを、チケットについてHTMLフォーム511で定義することができ、又はチケットを、ユーザの静的パスワードの最後に添付することができる。どのようにチケットが入力されたかにかかわらず、1つの実施形態において、JavaScript又は他のブラウザ実行可能コード512は、チケットをSSL VPNゲートウェイ515に提出する。受信すると、SSL VPNゲートウェイ515は、認証サーバ202との通信を介してチケットを検証する(例えば、チケットを認証サーバに提供し、チケットが有効であることを示す通信を受信する)。例えば、SSL VPNゲートウェイ515からチケット及び他のユーザデータ(例えば、ユーザID又は他の形式の識別子)を受け取ると、認証サーバ202は、該チケットと、ブラウザ510に提供されるチケットとを比較することができる。チケットがマッチした場合、認証サーバ202は、「認証成功」メッセージをSSL VPNゲートウェイ515に送信する。チケットがマッチをしなかった場合、認証サーバは「認証失敗」メッセージをSSL VPNゲートウェイ515に送信する。1つの実施形態において、SSL VPNゲートウェイ515は、(本発明の基本原理は、いかなる特定のプロトコルにも限定されないが)RADIUSを使用して認証サーバ202に対してチケットを検証する。検証されると、SSL VPNゲートウェイ515は、保護された内部ネットワーク530へのユーザアクセスを付与する。
意味深いことに、SSL VPNゲートウェイ515と認証サーバ202との間のトランザクションは、OTP検証サーバ425によって提供される成功/失敗メッセージと同じ様式で(同じプロトコル及びデータフィールドを使用して)実装することができることである。その結果、SSL VPNゲートウェイ515は、本明細書に記載される本発明の実施形態を実装するために再構成する必要はなく、それによって、実装を単純化し、それと関連する時間及び費用を低減させる。
上記の手法において、SSL VPNログインページ511は、認証をトリガーするために、カスタムJavaScript又は他のブラウザ実行可能コード512を含むようにカスタマイズすることができる。当然、ユーザがインストールされた認証クライアント201を有しない場合に、代替の実施形態を実装することができる。
更に、JavaScript又は他のブラウザ実行可能コード512によるSSL VPNゲートウェイ515との通信は、ユーザがSSL VPNゲートウェイ515に対して認証するために通常使用する、同じHTMLフォーム511を通して容易にすることができる。この目的は、デフォルトのSSL VPNのHTMLフォーム511において既存のパスワード又はOTPフィールドを使用してJavaScript又は他の実行可能コードによって得られるチケットを渡すことである(ここでも、単純化し、上記の技術を実装することと関連する時間及び費用を低減させる)。
これらの技術は、VPN固有の統合を開発することなく、多数のVPNソリューションに関する良定義問題に対処するので、この統合を達成することは、比較的少ない労力しか必要とせず、また、認証サービスプロバイダ(すなわち、認証サーバ202及びクライアント201を管理するエンティティ)が、セキュアリモートアクセスを送達するためのパッケージ化されたソリューションを提供することを可能にする。
本発明の1つの実施形態による方法が図6に示されている。本方法は、図5に示されるアーキテクチャのコンテキスト内に実装することができるが、任意の特定のシステムアーキテクチャに限定されない。
601で、ユーザは、ブラウザを開き、SSL VPNゲートウェイに移動する。602で、SSL VPNゲートウェイは、ブラウザ実行可能コードを含むページをレンダリングして、クライアントに対する認証をトリガーする。603で、ブラウザ実行可能コードは、認証サーバとの接続を確立して、ユーザの認証をトリガーする。604で、ブラウザ実行可能コードは、認証クライアントと認証サーバとの間でメッセージを交換して、ユーザを認証する(図1A〜B、図3、及び図5に関する上の説明を参照されたい)。認証されると、認証サーバは、チケットを返す。
605で、ブラウザ実行可能コードは、チケットをSSL VPNゲートウェイに提出し、606で、SSL VPNゲートウェイは、認証サーバに対してチケットを検証する。上記のように、これは、認証サーバが、(例えば、RADIUSを介して)チケットの有効性を確認するために、チケットを、動作604において返されるチケットと比較することを含むことができる。607で、チケットが検証されると、SSL VPNゲートウェイは、保護された内部ネットワークへのユーザアクセスを付与する。
レガシーシステムが認証のためにデジタル証明書の使用を受け入れる場合に、レガシーシステムと統合するための代替的な手法が可能である。Kerberosを使用するVPN又はWindows Active Directoryなどのこれらのソリューションは、通常、証明書認証を行うために、クライアント側構成要素を含む。
クライアント側での統合が主にブラウザベースであった(例えば、JavaScriptを使用する)、上で概説した統合手法とは異なり、この実施形態において、認証クライアント201の要素は、統合を達成するために、レガシーソリューションのクライアント側に統合されるが、上述のように、いかなるサーバ側の統合も必要でない。
図7に示される具体的な実施形態において、認証クライアント201は、書名付き証明書を管理するための資格情報プロバイダ構成要素711を備え、それを使用して、Kerberosインフラストラクチャ730を介してネットワークリソースへのアクセスを獲得する。例えば、1つの実施形態において、認証クライアント201は、資格情報プロバイダ構成要素730を使用して、資格情報プロバイダフレームワークを介してWindows(登録商標)オペレーティングシステムに統合することができる。しかしながら、本発明の基本原理は、Kerberosの実装又は任意の特定のタイプのオペレーティングシステムに限定されないことに留意するべきである。
この実施形態はまた、(例えば、図1B及び図3に関して上述したように)エンドユーザを認証するために一連の認証トランザクションに入る、認証サーバ725と認証クライアント201との間の通信にも依存する。1つの実施形態において、アクティブディレクトリ735及びKerberosインフラストラクチャ730は、認証サーバ725によって保持されるルート証明書を信用するように構成される。ユーザが認証されると、認証サーバ725は、認証サーバ725によって保持されるルート証明書を使用して署名する暗号公開鍵/秘密鍵ペアを備える短期証明書を発行する(例えば、ルート証明書の秘密鍵によって短期証明書に署名する)。具体的には、1つの実施形態において、短期証明書の公開鍵は、ルート証明書の秘密鍵によって署名される。鍵ペアに加えて、短期証明書はまた、短期証明書が有効である時間の長さ(例えば、5分、1時間など)を示すタイムスタンプ/タイムアウトデータも含むことができる。
1つの実施形態では、資格情報プロバイダ711が認証サーバから署名付き短期証明書を受信すると、短期証明書を含むKerberosインフラストラクチャ730によってチャレンジ応答トランザクションに入る。具体的には、Kerberosインフラストラクチャは、チャレンジ(例えば、ノンスなどのランダムデータ)を資格情報プロバイダ711に送信し、次いで、短期証明書の秘密鍵を使用してチャレンジに署名する。次いで、短期証明書をKerberosインフラストラクチャに送信し、(1)(信用するように構成された)認証サーバ725によって提供されるルート証明書の公開鍵を使用して、短期証明書の署名を検証し、(2)短期証明書からの公開鍵を使用して、チャレンジを通じて署名を検証する。どちらの署名も有効であった場合、Kerberosインフラストラクチャは、Kerberosチケットを資格情報プロバイダ711に発行し、次いで、それを使用して、Kerberosインフラストラクチャによって管理されるファイルサーバ、電子メールアカウント、その他などのネットワークリソースへのアクセスを獲得することができる。
これらの技術を使用して、認証サーバ725及びクライアント201は、既存のアクティブディレクトリ735及びKerberosインフラストラクチャ730に対する大幅な修正を伴わずに統合することができる。むしろ、必要とされるのは、アクティブディレクトリ735/Kerberosインフラストラクチャが、認証サーバ725によって保持されるルート証明書を信用するように構成することだけである。
図8は、オンライン認証インフラストラクチャをレガシーシステムと統合するための方法の1つの実施形態を示す。本方法は、図7に示されるアーキテクチャのコンテキスト内に実装することができるが、任意の特定のシステムアーキテクチャに限定されない。
801で、ユーザは、Windowsデバイスなどのデバイスを開き、ログインを試みる。802で、認証クライアントがトリガーされて、ユーザを認証する。それに応答して、認証クライアントは、認証サーバによってオンライン認証を行う。例えば、上で論じたように、認証クライアントは、1つ以上の認証デバイス(例えば、指紋認証デバイス、音声認証デバイス、その他)をサーバに事前に登録しておくことができる。次いで、図1A〜B及び図3に関して上述したような一連のトランザクションを使用して、サーバによって認証することができる。例えば、認証サーバは、ランダムチャレンジによって認証リクエストを認証クライアントに送信することができ、認証クライアントは、使用される認証デバイスと関連する秘密鍵を使用して署名する。認証サーバは、次いで、公開鍵を使用して署名を検証することができる。
認証に使用される特定のプロトコルにかかわらず、認証が成功した場合、803で、認証サーバは、認証サーバによって維持されるルート証明書の秘密鍵を使用して署名される短期デジタル証明書を認証クライアントに返す。上記のように、ルート証明書は、アクティブディレクトリ/Kerberosインフラストラクチャによって信用される。
804で、認証クライアントは、次いで、短期デジタル証明書を使用して、Kerberosインフラストラクチャに対して認証する。例えば、Kerberosインフラストラクチャは、チャレンジ(例えば、ノンスなどのランダムデータ)を認証クライアントに送信することができ、次いで、短期証明書の秘密鍵を使用してチャレンジに署名する。次いで、短期証明書をKerberosインフラストラクチャに送信し、805で、(信用するように構成された)認証サーバによって提供されるルート証明書の公開鍵を使用して、短期証明書の署名を検証し、短期証明書からの公開鍵を使用して、チャレンジを通じて署名を検証する。どちらの署名も有効であった場合、806で、Kerberosインフラストラクチャは、Kerberosチケットを認証クライアントに発行し、次いで、それを使用して、Kerberosインフラストラクチャによって管理されるファイルサーバ、電子メールアカウント、その他などのネットワークリソースへのアクセスを獲得することができる。
最終的には、認証サーバ及び認証クライアントを使用したオンライン認証を使用して、レガシーシステムのためのフロントエンドの認証を行うことができ、バックエンドのレガシーアプリケーションインフラストラクチャに対する変更を必要とすることなく、効率的なオンライン認証のあらゆる柔軟性を獲得することになる。
本明細書に記載される実施形態を通して実現される数多くの利点としては、以下が挙げられるが、それらに限定されない。
初期の統合労力の低減:依拠当事者が、オンライン認証機能を組み込むためにアプリケーションを書き換えることなくオンライン認証を展開すること、又はサードパーティのフェデレーションサーバとの統合を有効にすることを可能にする。
ポリシー管理の簡略化:コードの他に認証ポリシーを表すことによって、この手法は、組織が、コードの変更を必要とすることなく、容易にそれらの認証ポリシーを更新することを可能にする。規制委任の新しい解釈を反映するための、又は既存の認証機構に対する攻撃に応答するための変更が、ポリシーの単純な変更になり、かつ素早く遂行することができる。
将来の詳細化の有効化:新しい認証デバイス及び機構が利用可能になるので、組織は、新しい又は新生のリスクに対処するときに、デバイス/機構の適切さを評価することができる。新しく利用できる認証デバイスを統合するには、デバイスをポリシーに加えることだけしか必要としない。直ちに新しい能力を展開するために、更にはレガシーアプリケーションにさえ、新しいコードを書き込む必要はない。
直接的なトークンコストの低減:レガシーOTP手法は、(安くなりつつあるが)ユーザ単位ではどちらも比較的高価である物理的なハードウェアトークンに依存し、喪失/破損、取り替えコストといった問題をもたらす。本明細書に記載されているオンライン認証手法は、エンドユーザのデバイス上で既に利用可能である能力を活用し、エンドユーザ毎に専用の認証ハードウェアを入手するコストを排除することによって、展開コストを激減させることができる。
間接的な展開コスト:OTP手法は、通常、IT管理者が、エンドユーザのトークンをOTP検証サーバにプロビジョニングすることを必要とし、ソフトウェアベースのデスクトップOTP発生器は、依然として、初期の展開中にヘルプデスクの介入を必要とする。本オンライン認証手法は、エンドユーザのデバイス上で既に利用可能である能力を活用し、展開のためのセルフサービスの登録モデルを送達することによって、展開コストを激減させることができる。
改善されたエンドユーザエクスペリエンス:OTP手法は、ユーザが、それらのOTP発生器を持ち歩くこと(多くの人が忘れるので、一時的なアクセスを可能にするための追加的なヘルプデスクコストが生じる)だけでなく、OTPをアプリケーションに手動で入力することを必要とする。FIDO手法は、ユーザ名/パスワード及びOTP入力を、指紋センサの上で指をスワイプすることのような、より簡単な何かと置き換えることによって、エンドユーザに対する認証の影響を激減させることができる。
例示的なデータ処理デバイス
例示的なデータ処理デバイス
図9は、本発明のいくつかの実施形態において使用することができる例示的なクライアント及びサーバを図示するブロック図である。図9は、コンピュータシステムの様々な構成要素を図示しているが、そのような詳細は本発明に適切でないため、構成要素を相互接続する任意の特定のアーキテクチャ又は方法を表すことを意図するものではないことを理解すべきである。より少ない構成要素又は複数の構成要素を有する他のコンピュータシステムもまた、本発明によって使用可能であることが理解されるであろう。
図9に示されるように、データ処理システムの形態であるコンピュータシステム900は、処理システム920に結合されているバス(複数可)950と、電源925と、メモリ930と、不揮発性メモリ940(例えば、ハードドライブ、フラッシュメモリ、相変化メモリ(PCM)など)とを含む。バス(複数可)950は、当該技術分野において周知であるように、様々なブリッジ、コントローラ及び/又はアダプタを介して互いに接続され得る。処理システム920は、メモリ930及び/又は不揮発性メモリ940から命令(複数可)を取得することができ、上述したように動作を実行するための命令を実行することができる。バス950は、上記構成要素を一体に相互接続し、また、任意のドック960、ディスプレイコントローラ及びディスプレイデバイス990、入力/出力デバイス980(例えば、NIC(ネットワークインターフェースカード)、カーソル制御(例えば、マウス、タッチスクリーン、タッチパッドなど)、キーボードなど)及び任意の無線送受信機(複数可)990(例えば、ブルートゥース(登録商標)、WiFi、赤外線など)にそれらの構成要素を相互接続する。
図10は、本発明のいくつかの実施形態において使用され得る例示的なデータ処理システムを図示するブロック図である。例えば、データ処理システム1000は、ハンドヘルドコンピュータ、パーソナルディジタルアシスタント(PDA)、携帯電話、ポータブルゲームシステム、ポータブルメディアプレーヤ、タブレット、又は、携帯電話、メディアプレーヤ及び/又はゲームシステムを含むことができるハンドヘルドコンピューティングデバイスとすることができる。別の例として、データ処理システム1000は、ネットワークコンピュータ又は別のデバイス内の埋め込み処理デバイスとすることができる。
本発明の1つの実施形態によれば、データ処理システム1000の例示的なアーキテクチャは、上述した携帯デバイスのために使用することができる。データ処理システム1000は、集積回路上の1つ以上のマイクロプロセッサ及び/又はシステムを含むことができる処理システム1020を含む。処理システム1020は、メモリ1010、(1つ以上のバッテリを含む)電源1025、オーディオ入力/出力1040、ディスプレイコントローラ及びディスプレイデバイス1060、任意の入力/出力1050、入力デバイス(複数可)1070及び無線送受信機(複数可)1030に結合されている。図10には示されていない追加の構成要素はまた、本発明の特定の実施形態においてデータ処理システム1000の一部であってもよく、本発明の特定の実施形態において図10に示されるよりも少ない構成要素が使用可能であることが理解されるであろう。更に、図10には示されていない1つ以上のバスは、当該技術分野において周知であるように様々な構成要素を相互接続するために使用することができることが理解されるであろう。
メモリ1010は、データ処理システム1000による実行のためのデータ及び/又はプログラムを記憶する。オーディオ入力/出力1040は、例えば、音楽を再生するためにマイクロフォン及び/又はスピーカを含むことができ、並びに/又はスピーカ及びマイクロフォンを介して電話機能を提供することができる。ディスプレイコントローラ及びディスプレイデバイス1060は、グラフィカルユーザインターフェース(GUI)を含むことができる。無線(例えば、RF)送受信機1030(例えば、WiFi送受信機、赤外線送受信機、ブルートゥース送受信機、無線携帯電話送受信機など)は、他のデータ処理システムと通信するために使用することができる。1つ以上の入力デバイス1070は、ユーザがシステムに入力を提供するのを可能にする。これらの入力デバイスは、キーパッド、キーボード、タッチパネル、マルチタッチパネルなどであってもよい。任意の他の入力/出力1050は、ドック用コネクタであってもよい。
上述したように、本発明の実施形態は、様々な工程を含んでもよい。工程は、汎用又は特殊目的のプロセッサに特定の工程を実行させる機械実行可能な命令で具現化され得る。代替的に、これらの工程は、工程を実行するためのハードワイヤードロジックを含む特定のハードウェア構成要素によって又はプログラミングされたコンピュータ構成要素及びカスタムハードウェア構成要素の任意の組み合わせによって実行することができる。
本発明の要素はまた、機械実行可能なプログラムコードを記憶する機械可読媒体として提供することができる。機械可読媒体としては、フロッピーディスク、光ディスク、CD−ROM及び光磁気ディスク、ROM、RAM、EPROM、EEPROM、磁気若しくは光カード、又は、電子プログラムコードを記憶するのに適した他の種類の媒体/機械可読媒体を挙げることができるが、これらに限定されるものではない。
上記の説明全体を通じて、説明の目的のために、多数の具体的な詳細が本発明の完全な理解を提供するために記載された。しかしながら、本発明は、これらの具体的な詳細の一部がなくても実施され得ることは、当業者にとって明らかであろう。例えば、本明細書に記載された機能モジュール及び方法は、ソフトウェア、ハードウェア又はそれらの任意の組み合わせとして実装されてもよいことは、当業者にとって容易に明らかであろう。更に、本発明のいくつかの実施形態は、モバイルコンピューティング環境のコンテキストで本明細書において記載されているが、本発明の基本原理は、モバイルコンピューティングの実装に限定されるものではない。実質的に任意の種類のクライアント又はピアデータ処理デバイスは、例えば、デスクトップ又はワークステーションコンピュータを含むいくつかの実施形態で使用することができる。したがって、本発明の範囲及び趣旨は、以下の特許請求の範囲の観点から判断されるべきである。
上述したように、本発明の実施形態は、様々な工程を含んでもよい。工程は、汎用又は特殊目的のプロセッサに特定の工程を実行させる機械実行可能な命令で具現化され得る。代替的に、これらの工程は、工程を実行するためのハードワイヤードロジックを含む特定のハードウェア構成要素によって又はプログラミングされたコンピュータ構成要素及びカスタムハードウェア構成要素の任意の組み合わせによって実行することができる。
Claims (24)
- システムであって、
内部ネットワークへのアクセスを制限するように構成されるゲートウェイと、
前記ゲートウェイに通信可能に結合される認証サーバと、
ユーザを認証するための、複数の認証デバイスが結合された認証クライアントを有するクライアントデバイスであって、前記認証クライアントが、前記認証サーバとの通信チャネルを確立し、前記認証デバイスのうちの1つ以上を前記認証サーバに登録するように構成され、前記認証デバイスが、登録に続いて、前記認証サーバによるオンライン認証を実行するために使用可能である、クライアントデバイスと、を備え、
前記認証クライアントが、前記ゲートウェイを介して前記内部ネットワークへのアクセスの獲得を試みることに応答して、前記登録された認証デバイスのうちの1つ以上を使用して、前記認証サーバによって前記ユーザを認証し、
前記認証サーバが、認証成功に応答して、暗号データ構造を前記クライアントデバイスに提供し、
前記クライアントデバイスが、前記認証成功の証拠として、前記暗号データ構造を前記ゲートウェイに提供し、
前記ゲートウェイが、前記認証サーバによって前記暗号データ構造を検証し、前記ゲートウェイから前記暗号データ構造が有効である旨の指示を受信すると、前記ゲートウェイが、前記クライアントデバイスによる前記内部ネットワークへのアクセスを提供する、システム。 - 前記クライアントデバイス上に構成されるブラウザを更に備え、
前記ユーザが、前記ブラウザを介して前記内部ネットワークへのアクセスを試みることに応答して、前記ゲートウェイが、ブラウザ実行可能なコードを提供し、該コードが、前記ブラウザによって実行されたときに、前記認証サーバと前記認証クライアントとの間に通信チャネルを確立することによって、前記認証をトリガーする、請求項1に記載のシステム。 - 前記暗号データ構造が、チケットを備える、請求項2に記載のシステム。
- 前記ゲートウェイが、前記ブラウザ実行可能コードを含むハイパーテキストマークアップ言語(HTML)フォームを前記ブラウザに提供するように構成され、前記HTMLフォームが、ユーザ名及び1つ以上のパスワードの入力のための1つ以上のフィールドを有する、請求項3に記載のシステム。
- 前記チケットが、前記HTMLフォームのフィールドを介して前記ゲートウェイに提出することができるランダムな数字列又は他の形式のワンタイムパスワード(OTP)を備える、請求項4に記載のシステム。
- 前記認証サーバが、認証に使用される前記認証デバイスと関連する鍵を使用して、前記ゲートウェイによって提供される前記暗号データ構造を検証する、請求項1に記載のシステム。
- 前記ゲートウェイが、リモート認証ダイヤルインユーザサービス(RADIUS)プロトコルを使用して、前記認証サーバによって前記暗号データ構造を検証する、請求項6に記載のシステム。
- 前記ゲートウェイが、セキュアソケットレイヤー(SSL)仮想プライベートネットワーク(VPN)ゲートウェイを備える、請求項1に記載のシステム。
- システムであって、
内部ネットワークのためのネットワークセキュリティサービスを提供するためのネットワークセキュリティインフラストラクチャと、
前記既存のネットワークセキュリティインフラストラクチャに通信可能に結合される認証サーバと、
ユーザを認証するための、複数の認証デバイスが結合された認証クライアントを有するクライアントデバイスであって、前記認証クライアントが、前記認証サーバとの通信チャネルを確立し、前記認証デバイスのうちの1つ以上を前記認証サーバに登録するように構成され、前記認証デバイスが、登録に続いて、前記認証サーバによるオンライン認証を実行するために使用可能である、クライアントデバイスと、を備え、
前記認証クライアントが、前記内部ネットワークへのアクセスの獲得を試みることに応答して、前記登録された認証デバイスのうちの1つ以上を使用して、前記認証サーバによって前記ユーザを認証し、
前記認証サーバが、認証成功に応答して、暗号データ構造を前記クライアントデバイスに提供し、
前記クライアントデバイスが、前記暗号データ構造を使用して、前記ネットワークセキュリティインフラストラクチャによって認証し、
前記ネットワークセキュリティインフラストラクチャが、前記認証サーバによって確立された信用関係に基づいて、前記暗号データ構造を検証し、前記暗号データ構造を検証すると、前記ネットワークセキュリティインフラストラクチャが、前記クライアントデバイスによる前記内部ネットワークへのアクセスを提供する、システム。 - 前記暗号データ構造が、前記認証サーバによって保持されるルート証明書によって署名されたデジタル証明書を備え、前記信用関係が、前記ルート証明書を使用して生成された署名を信用する、前記ネットワークセキュリティインフラストラクチャを備える、請求項9に記載のシステム。
- 前記デジタル証明書が、前記認証サーバによって生成された公開鍵/秘密鍵ペアを備える、請求項10に記載のシステム。
- 前記デジタル証明書が、前記デジタル証明書が有効である時間の長さを示すタイムスタンプ又は他のデータを含む、請求項11に記載のシステム。
- 前記デジタル証明書を使用して、前記ネットワークセキュリティインフラストラクチャによって認証するために、前記認証クライアントが、前記ネットワークセキュリティインフラストラクチャによって提供されるチャレンジに署名する、請求項12に記載のシステム。
- 前記ネットワークセキュリティインフラストラクチャが、前記信用関係を有する前記認証サーバによって提供される前記ルート証明書の公開鍵を使用して、前記デジタル証明書の前記署名を検証するように構成され、また、前記デジタル証明書からの公開鍵を使用して前記チャレンジを通じて前記署名を検証するように更に構成される、請求項13に記載のシステム。
- 前記ネットワークセキュリティインフラストラクチャが、Microsoft Active Directory及びKerberosインフラストラクチャを備える、請求項9に記載のシステム。
- 前記認証クライアントを前記認証サーバに結合するゲートウェイを更に備える、
請求項9に記載のシステム。 - 方法であって、
内部ネットワークへのアクセスを制限するようにゲートウェイを構成することと、
認証サーバを前記ゲートウェイに通信可能に結合することと、
前記認証サーバとの通信チャネルを確立し、1つ以上の認証デバイスを前記認証サーバに登録するように、クライアントデバイスの認証クライアントを構成することであって、前記認証デバイスが、登録に続いて、前記認証サーバによるオンライン認証を実行するために使用可能である、構成することと、を含み、
前記認証クライアントが、前記ゲートウェイを介して前記内部ネットワークへのアクセスの獲得を試みることに応答して、前記登録された認証デバイスのうちの1つ以上を使用して、前記認証サーバによってユーザを認証し、
前記認証サーバが、認証成功に応答して、暗号データ構造を前記クライアントデバイスに提供し、
前記クライアントデバイスが、前記認証成功の証拠として、前記暗号データ構造を前記ゲートウェイに提供し、
前記ゲートウェイが、前記認証サーバによって前記暗号データ構造を検証し、前記ゲートウェイから前記暗号データ構造が有効である旨の指示を受信すると、前記ゲートウェイが、前記クライアントデバイスによる前記内部ネットワークへのアクセスを提供する、方法。 - ブラウザが、前記クライアントデバイス上に構成され、前記ユーザが、前記ブラウザを介して前記内部ネットワークへのアクセスを試みることに応答して、前記ゲートウェイが、ブラウザ実行可能なコードを提供し、該コードが、前記ブラウザによって実行されたときに、前記認証サーバと前記認証クライアントとの間に通信チャネルを確立することによって、前記認証をトリガーする、請求項17に記載の方法。
- 前記暗号データ構造が、チケットを備える、請求項18に記載の方法。
- 前記ゲートウェイが、前記ブラウザ実行可能コードを含むハイパーテキストマークアップ言語(HTML)フォームを前記ブラウザに提供するように構成され、前記HTMLフォームが、ユーザ名及び1つ以上のパスワードの入力のための1つ以上のフィールドを有する、請求項19に記載の方法。
- 前記チケットが、前記HTMLフォームのフィールドを介して前記ゲートウェイに提出することができるランダムな数字列又は他の形式のワンタイムパスワード(OTP)を備える、請求項20に記載の方法。
- 前記認証サーバが、認証に使用される前記認証デバイスと関連する鍵を使用して、前記ゲートウェイによって提供される前記暗号データ構造を検証する、請求項17に記載の方法。
- 前記ゲートウェイが、リモート認証ダイヤルインユーザサービス(RADIUS)プロトコルを使用して、前記認証サーバによって前記暗号データ構造を検証する、請求項22に記載の方法。
- 前記ゲートウェイが、セキュアソケットレイヤー(SSL)仮想プライベートネットワーク(VPN)ゲートウェイを備える、請求項17に記載の方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/487,992 | 2014-09-16 | ||
| US14/487,992 US9736154B2 (en) | 2014-09-16 | 2014-09-16 | System and method for integrating an authentication service within a network architecture |
| PCT/US2015/050348 WO2016044373A1 (en) | 2014-09-16 | 2015-09-16 | System and method for integrating an authentication service within a network architecture |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2017535837A true JP2017535837A (ja) | 2017-11-30 |
| JP2017535837A5 JP2017535837A5 (ja) | 2018-11-01 |
| JP6689828B2 JP6689828B2 (ja) | 2020-04-28 |
Family
ID=55533778
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017514840A Active JP6689828B2 (ja) | 2014-09-16 | 2015-09-16 | 認証サービスをネットワークアーキテクチャ内に統合するためのシステム及び方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US9736154B2 (ja) |
| EP (1) | EP3195108B1 (ja) |
| JP (1) | JP6689828B2 (ja) |
| KR (1) | KR102420969B1 (ja) |
| CN (1) | CN107111478B (ja) |
| WO (1) | WO2016044373A1 (ja) |
Families Citing this family (37)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10032011B2 (en) | 2014-08-12 | 2018-07-24 | At&T Intellectual Property I, L.P. | Method and device for managing authentication using an identity avatar |
| FR3030817B1 (fr) * | 2014-12-22 | 2017-01-13 | Oberthur Technologies | Procede d'authentification d'un utilisateur, module securise, appareil electronique et systeme associes |
| US20160253664A1 (en) * | 2015-02-27 | 2016-09-01 | Samsung Electronics Co., Ltd | Attestation by proxy |
| US9692757B1 (en) * | 2015-05-20 | 2017-06-27 | Amazon Technologies, Inc. | Enhanced authentication for secure communications |
| US10944738B2 (en) * | 2015-06-15 | 2021-03-09 | Airwatch, Llc. | Single sign-on for managed mobile devices using kerberos |
| US11057364B2 (en) | 2015-06-15 | 2021-07-06 | Airwatch Llc | Single sign-on for managed mobile devices |
| US10812464B2 (en) | 2015-06-15 | 2020-10-20 | Airwatch Llc | Single sign-on for managed mobile devices |
| US10171447B2 (en) | 2015-06-15 | 2019-01-01 | Airwatch Llc | Single sign-on for unmanaged mobile devices |
| US10171439B2 (en) * | 2015-09-24 | 2019-01-01 | International Business Machines Corporation | Owner based device authentication and authorization for network access |
| US10454917B2 (en) * | 2015-11-05 | 2019-10-22 | Red Hat, Inc. | Enabling single sign-on authentication for accessing protected network services |
| US9906531B2 (en) * | 2015-11-23 | 2018-02-27 | International Business Machines Corporation | Cross-site request forgery (CSRF) prevention |
| US10171457B2 (en) * | 2015-12-29 | 2019-01-01 | International Business Machines Corporation | Service provider initiated additional authentication in a federated system |
| US11025618B2 (en) * | 2016-06-09 | 2021-06-01 | Logmein, Inc. | Mobile device access to a protected account associated with a website |
| JP6487392B2 (ja) * | 2016-08-15 | 2019-03-20 | 日本電信電話株式会社 | クライアント端末認証システム及びクライアント端末認証方法 |
| US10771451B2 (en) * | 2016-09-13 | 2020-09-08 | Queralt, Inc. | Mobile authentication and registration for digital certificates |
| US11431509B2 (en) | 2016-09-13 | 2022-08-30 | Queralt, Inc. | Bridging digital identity validation and verification with the FIDO authentication framework |
| US10887113B2 (en) | 2016-09-13 | 2021-01-05 | Queralt, Inc. | Mobile authentication interoperability for digital certificates |
| US10397215B2 (en) | 2016-09-27 | 2019-08-27 | Visa International Service Assocation | Secure element installation and provisioning |
| US20180167383A1 (en) * | 2016-12-12 | 2018-06-14 | Qualcomm Incorporated | Integration of password-less authentication systems with legacy identity federation |
| DE102017000768A1 (de) * | 2017-01-27 | 2018-08-02 | Giesecke+Devrient Mobile Security Gmbh | Verfahren zum Durchführen einer Zweifaktorauthentifizierung |
| US9992029B1 (en) * | 2017-04-05 | 2018-06-05 | Stripe, Inc. | Systems and methods for providing authentication to a plurality of devices |
| CN107547205A (zh) * | 2017-07-01 | 2018-01-05 | 郑州云海信息技术有限公司 | 一种在Linux系统下自动建立CA server的方法 |
| TWI647942B (zh) * | 2017-12-28 | 2019-01-11 | 中華電信股份有限公司 | 電子證件認證授權存取系統及方法 |
| US10999081B2 (en) * | 2018-04-12 | 2021-05-04 | Microsoft Technology Licensing, Llc | Dynamic certificate management for a distributed authentication system |
| US10999080B2 (en) | 2018-06-22 | 2021-05-04 | Okta, Inc. | Dynamically analyzing third-party application website certificates across users to detect malicious activity |
| US10846701B1 (en) | 2019-05-10 | 2020-11-24 | Bank Of America Corporation | Multi-vector authentication unit (MVAU) |
| US11876798B2 (en) * | 2019-05-20 | 2024-01-16 | Citrix Systems, Inc. | Virtual delivery appliance and system with remote authentication and related methods |
| US11296862B2 (en) | 2019-08-29 | 2022-04-05 | Visa International Service Association | Provisioning method and system with message conversion |
| JP7338386B2 (ja) * | 2019-10-04 | 2023-09-05 | 富士フイルムビジネスイノベーション株式会社 | 情報処理装置、情報処理システム及びプログラム |
| US11310059B2 (en) * | 2020-06-02 | 2022-04-19 | Microsoft Technology Licensing, Llc | Ephemeral cryptography keys for authenticating computing services |
| CN112202710B (zh) * | 2020-08-25 | 2023-08-04 | 奇安信科技集团股份有限公司 | 一种防止数据泄露的方法、装置、电子设备和存储介质 |
| SE544580C2 (en) * | 2020-09-04 | 2022-07-26 | Mideye Ab | Methods and authentication server for authentication of users requesting access to a restricted data resource |
| US11258617B1 (en) * | 2020-12-04 | 2022-02-22 | Salesforce.Com, Inc. | Device identity using key agreement |
| CN112954675B (zh) * | 2021-03-02 | 2023-03-24 | 西安电子科技大学 | 多网关认证方法、系统、存储介质、计算机设备、终端 |
| US11736445B2 (en) | 2021-03-12 | 2023-08-22 | Journey.ai | Personalized secure communication session management |
| KR102444356B1 (ko) * | 2021-11-19 | 2022-09-16 | 주식회사 제론소프트엔 | 보안 강화 인트라넷 접속 방법 및 시스템 |
| CN114221759B (zh) * | 2021-11-29 | 2024-04-12 | 成都卫士通信息产业股份有限公司 | 一种远程监控部署方法、装置、电子设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005092614A (ja) * | 2003-09-18 | 2005-04-07 | Toda Constr Co Ltd | 生体認証システム、プログラムおよび情報記憶媒体 |
| JP2010505286A (ja) * | 2006-06-27 | 2010-02-18 | マイクロソフト コーポレーション | バイオメトリック証明書確認フレームワーク |
| US8584224B1 (en) * | 2011-04-13 | 2013-11-12 | Symantec Corporation | Ticket based strong authentication with web service |
| US20140189828A1 (en) * | 2012-12-28 | 2014-07-03 | Davit Baghdasaryan | System and method for processing random challenges within an authentication framework |
Family Cites Families (260)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5280527A (en) | 1992-04-14 | 1994-01-18 | Kamahira Safe Co., Inc. | Biometric token for authorizing access to a host system |
| US5764789A (en) | 1994-11-28 | 1998-06-09 | Smarttouch, Llc | Tokenless biometric ATM access system |
| US6088450A (en) | 1996-04-17 | 2000-07-11 | Intel Corporation | Authentication system based on periodic challenge/response protocol |
| US6377691B1 (en) | 1996-12-09 | 2002-04-23 | Microsoft Corporation | Challenge-response authentication and key exchange for a connectionless security protocol |
| US6378072B1 (en) | 1998-02-03 | 2002-04-23 | Compaq Computer Corporation | Cryptographic system |
| US6618806B1 (en) | 1998-04-01 | 2003-09-09 | Saflink Corporation | System and method for authenticating users in a computer network |
| US6178511B1 (en) | 1998-04-30 | 2001-01-23 | International Business Machines Corporation | Coordinating user target logons in a single sign-on (SSO) environment |
| JP2000092046A (ja) | 1998-09-11 | 2000-03-31 | Mitsubishi Electric Corp | 遠隔認証システム |
| US7047416B2 (en) | 1998-11-09 | 2006-05-16 | First Data Corporation | Account-based digital signature (ABDS) system |
| US7505941B2 (en) | 1999-08-31 | 2009-03-17 | American Express Travel Related Services Company, Inc. | Methods and apparatus for conducting electronic transactions using biometrics |
| US7085931B1 (en) | 1999-09-03 | 2006-08-01 | Secure Computing Corporation | Virtual smart card system and method |
| US6842896B1 (en) | 1999-09-03 | 2005-01-11 | Rainbow Technologies, Inc. | System and method for selecting a server in a multiple server license management system |
| US7260724B1 (en) | 1999-09-20 | 2007-08-21 | Security First Corporation | Context sensitive dynamic authentication in a cryptographic system |
| US7444368B1 (en) | 2000-02-29 | 2008-10-28 | Microsoft Corporation | Methods and systems for selecting methodology for authenticating computer systems on a per computer system or per user basis |
| US7698565B1 (en) | 2000-03-30 | 2010-04-13 | Digitalpersona, Inc. | Crypto-proxy server and method of using the same |
| US7263506B2 (en) | 2000-04-06 | 2007-08-28 | Fair Isaac Corporation | Identification and management of fraudulent credit/debit card purchases at merchant ecommerce sites |
| US7487112B2 (en) | 2000-06-29 | 2009-02-03 | Barnes Jr Melvin L | System, method, and computer program product for providing location based services and mobile e-commerce |
| AU2001284721A1 (en) | 2000-08-04 | 2002-02-18 | First Data Corporation | Method and apparatus for access authentication entity |
| AU2001288679A1 (en) | 2000-09-11 | 2002-03-26 | Sentrycom Ltd. | A biometric-based system and method for enabling authentication of electronic messages sent over a network |
| US20020040344A1 (en) | 2000-10-04 | 2002-04-04 | Preiser Randall F. | Check guarantee, verification, processing, credit reports and collection system and method awarding purchase points for usage of checks |
| US7356704B2 (en) | 2000-12-07 | 2008-04-08 | International Business Machines Corporation | Aggregated authenticated identity apparatus for and method therefor |
| FI115098B (fi) | 2000-12-27 | 2005-02-28 | Nokia Corp | Todentaminen dataviestinnässä |
| US7941669B2 (en) | 2001-01-03 | 2011-05-10 | American Express Travel Related Services Company, Inc. | Method and apparatus for enabling a user to select an authentication method |
| US20020112170A1 (en) | 2001-01-03 | 2002-08-15 | Foley James M. | Method and apparatus for using one financial instrument to authenticate a user for accessing a second financial instrument |
| AU2002259229A1 (en) | 2001-05-18 | 2002-12-03 | Imprivata, Inc. | Authentication with variable biometric templates |
| SG124290A1 (en) | 2001-07-23 | 2006-08-30 | Ntt Docomo Inc | Electronic payment method, system, and devices |
| WO2003029916A2 (en) * | 2001-09-28 | 2003-04-10 | Bluesocket, Inc. | Method and system for managing data traffic in wireless networks |
| JP2003132160A (ja) | 2001-10-23 | 2003-05-09 | Nec Corp | 個人情報管理システムと個人情報管理装置、及び個人情報管理プログラム |
| US20030115142A1 (en) | 2001-12-12 | 2003-06-19 | Intel Corporation | Identity authentication portfolio system |
| US7155035B2 (en) | 2002-02-05 | 2006-12-26 | Matsushita Electric Industrial Co., Ltd. | Personal authentication method, personal authentication apparatus and image capturing device |
| GB0210692D0 (en) | 2002-05-10 | 2002-06-19 | Assendon Ltd | Smart card token for remote authentication |
| US20030226036A1 (en) | 2002-05-30 | 2003-12-04 | International Business Machines Corporation | Method and apparatus for single sign-on authentication |
| US7322043B2 (en) | 2002-06-20 | 2008-01-22 | Hewlett-Packard Development Company, L.P. | Allowing an electronic device accessing a service to be authenticated |
| US20160072787A1 (en) | 2002-08-19 | 2016-03-10 | Igor V. Balabine | Method for creating secure subnetworks on a general purpose network |
| DE60307583T2 (de) | 2002-11-20 | 2007-10-04 | Stmicroelectronics S.A. | Auswertung der Schärfe eines Bildes der Iris eines Auges |
| US7353533B2 (en) | 2002-12-18 | 2008-04-01 | Novell, Inc. | Administration of protection of data accessible by a mobile device |
| JP4374904B2 (ja) | 2003-05-21 | 2009-12-02 | 株式会社日立製作所 | 本人認証システム |
| JP2005025337A (ja) * | 2003-06-30 | 2005-01-27 | Sony Corp | 機器登録システム、機器登録サーバ、機器登録方法、機器登録プログラム、記憶媒体、及び端末機器 |
| US7716469B2 (en) | 2003-07-25 | 2010-05-11 | Oracle America, Inc. | Method and system for providing a circle of trust on a network |
| EP1664687A4 (en) | 2003-09-12 | 2009-01-14 | Rsa Security Inc | SYSTEM AND METHOD FOR AUTHENTICATION TO RISK BASIS |
| US20050080716A1 (en) | 2003-09-25 | 2005-04-14 | Boris Belyi | Data validation systems and methods for use in financial transactions |
| US9130921B2 (en) * | 2003-09-30 | 2015-09-08 | Ca, Inc. | System and method for bridging identities in a service oriented architectureprofiling |
| US7415138B2 (en) | 2003-11-25 | 2008-08-19 | Ultra-Scan Corporation | Biometric authorization method and system |
| US20050125295A1 (en) | 2003-12-09 | 2005-06-09 | Tidwell Lisa C. | Systems and methods for obtaining payor information at a point of sale |
| US7263717B1 (en) | 2003-12-17 | 2007-08-28 | Sprint Communications Company L.P. | Integrated security framework and privacy database scheme |
| US9191215B2 (en) | 2003-12-30 | 2015-11-17 | Entrust, Inc. | Method and apparatus for providing authentication using policy-controlled authentication articles and techniques |
| JP4257250B2 (ja) | 2004-03-30 | 2009-04-22 | 富士通株式会社 | 生体情報照合装置並びに生体特徴情報絞込み装置,生体特徴情報絞込みプログラムおよび同プログラムを記録したコンピュータ読取可能な記録媒体 |
| US8762283B2 (en) | 2004-05-03 | 2014-06-24 | Visa International Service Association | Multiple party benefit from an online authentication service |
| US20050278253A1 (en) | 2004-06-15 | 2005-12-15 | Microsoft Corporation | Verifying human interaction to a computer entity by way of a trusted component on a computing device or the like |
| ATE535078T1 (de) * | 2004-07-23 | 2011-12-15 | Citrix Systems Inc | Verfahren und system zur sicherung von zugriff aus der ferne auf private netze |
| US7194763B2 (en) | 2004-08-02 | 2007-03-20 | Cisco Technology, Inc. | Method and apparatus for determining authentication capabilities |
| US7925729B2 (en) | 2004-12-07 | 2011-04-12 | Cisco Technology, Inc. | Network management |
| US7298873B2 (en) | 2004-11-16 | 2007-11-20 | Imageware Systems, Inc. | Multimodal biometric platform |
| EP1825413A2 (en) | 2004-12-16 | 2007-08-29 | Mark Dwight Bedworth | User validation using images |
| EP1828920B1 (en) | 2004-12-20 | 2012-06-13 | EMC Corporation | Consumer internet authentication service |
| US9525666B2 (en) | 2005-01-31 | 2016-12-20 | Unisys Corporation | Methods and systems for managing concurrent unsecured and cryptographically secure communications across unsecured networks |
| US7844816B2 (en) | 2005-06-08 | 2010-11-30 | International Business Machines Corporation | Relying party trust anchor based public key technology framework |
| US8079079B2 (en) | 2005-06-29 | 2011-12-13 | Microsoft Corporation | Multimodal authentication |
| US20070077915A1 (en) | 2005-09-30 | 2007-04-05 | Black Greg R | Method and apparatus for module authentication |
| EP1955251A2 (en) | 2005-10-11 | 2008-08-13 | Citrix Systems, Inc. | Systems and methods for facilitating distributed authentication |
| US8407146B2 (en) | 2005-10-28 | 2013-03-26 | Microsoft Corporation | Secure storage |
| US7623659B2 (en) | 2005-11-04 | 2009-11-24 | Cisco Technology, Inc. | Biometric non-repudiation network security systems and methods |
| US8458465B1 (en) | 2005-11-16 | 2013-06-04 | AT&T Intellectual Property II, L. P. | Biometric authentication |
| US8838668B2 (en) | 2005-12-01 | 2014-09-16 | Firestar Software, Inc. | System and method for exchanging information among exchange applications |
| US20080005562A1 (en) | 2005-12-13 | 2008-01-03 | Microsoft Corporation | Public key infrastructure certificate entrustment |
| WO2007076476A2 (en) | 2005-12-22 | 2007-07-05 | Mastercard International Incorporated | Methods and systems for two-factor authentication using contactless chip cards or devices and mobile devices or dedicated personal readers |
| CN1992596A (zh) | 2005-12-27 | 2007-07-04 | 国际商业机器公司 | 用户验证设备和用户验证方法 |
| US7941835B2 (en) | 2006-01-13 | 2011-05-10 | Authenticor Identity Protection Services, Inc. | Multi-mode credential authorization |
| WO2007092715A2 (en) | 2006-02-06 | 2007-08-16 | Solidus Networks, Inc. | Method and system for providing online authentication utilizing biometric data |
| WO2007094165A1 (ja) | 2006-02-15 | 2007-08-23 | Nec Corporation | 本人確認システムおよびプログラム、並びに、本人確認方法 |
| US20100107222A1 (en) | 2006-03-02 | 2010-04-29 | Avery Glasser | Method and apparatus for implementing secure and adaptive proxies |
| US7818264B2 (en) | 2006-06-19 | 2010-10-19 | Visa U.S.A. Inc. | Track data encryption |
| JP4929803B2 (ja) | 2006-04-10 | 2012-05-09 | 富士通株式会社 | 認証方法、認証装置、および、認証プログラム |
| JP4616335B2 (ja) | 2006-04-21 | 2011-01-19 | 三菱電機株式会社 | 認証サーバ装置及び端末装置及び認証システム及び認証方法 |
| US9002018B2 (en) | 2006-05-09 | 2015-04-07 | Sync Up Technologies Corporation | Encryption key exchange system and method |
| US8259647B2 (en) | 2006-06-12 | 2012-09-04 | Samsung Electronics Co., Ltd. | System and method for wireless communication of uncompressed video having a link control and bandwidth reservation scheme for control/management message exchanges and asynchronous traffic |
| US7512567B2 (en) | 2006-06-29 | 2009-03-31 | Yt Acquisition Corporation | Method and system for providing biometric authentication at a point-of-sale via a mobile device |
| CN101106452B (zh) | 2006-07-12 | 2010-12-08 | 华为技术有限公司 | 移动ip密钥的产生及分发方法和系统 |
| US20080025234A1 (en) | 2006-07-26 | 2008-01-31 | Qi Zhu | System and method of managing a computer network using hierarchical layer information |
| US7966489B2 (en) | 2006-08-01 | 2011-06-21 | Cisco Technology, Inc. | Method and apparatus for selecting an appropriate authentication method on a client |
| US8689287B2 (en) | 2006-08-17 | 2014-04-01 | Northrop Grumman Systems Corporation | Federated credentialing system and method |
| US8555072B2 (en) | 2006-08-31 | 2013-10-08 | International Business Machines Corporation | Attestation of computing platforms |
| US8239677B2 (en) | 2006-10-10 | 2012-08-07 | Equifax Inc. | Verification and authentication systems and methods |
| US9135444B2 (en) | 2006-10-19 | 2015-09-15 | Novell, Inc. | Trusted platform module (TPM) assisted data center management |
| US7986786B2 (en) | 2006-11-30 | 2011-07-26 | Hewlett-Packard Development Company, L.P. | Methods and systems for utilizing cryptographic functions of a cryptographic co-processor |
| US9055107B2 (en) * | 2006-12-01 | 2015-06-09 | Microsoft Technology Licensing, Llc | Authentication delegation based on re-verification of cryptographic evidence |
| EP1933522B1 (en) | 2006-12-11 | 2013-10-23 | Sap Ag | Method and system for authentication |
| JP2008176407A (ja) | 2007-01-16 | 2008-07-31 | Toshiba Corp | 生体認証システム、装置及びプログラム |
| JP2008181295A (ja) | 2007-01-24 | 2008-08-07 | Sony Corp | 認証システム、情報処理装置および方法、プログラム、並びに記録媒体 |
| GB0703759D0 (en) | 2007-02-27 | 2007-04-04 | Skype Ltd | A Communication system |
| US8302196B2 (en) | 2007-03-20 | 2012-10-30 | Microsoft Corporation | Combining assessment models and client targeting to identify network security vulnerabilities |
| US8413221B2 (en) | 2007-03-23 | 2013-04-02 | Emc Corporation | Methods and apparatus for delegated authentication |
| US20080271150A1 (en) | 2007-04-30 | 2008-10-30 | Paul Boerger | Security based on network environment |
| US8627409B2 (en) | 2007-05-15 | 2014-01-07 | Oracle International Corporation | Framework for automated dissemination of security metadata for distributed trust establishment |
| US8359045B1 (en) | 2007-05-31 | 2013-01-22 | United Services Automobile Association (Usaa) | Method and system for wireless device communication |
| US7627522B2 (en) | 2007-06-04 | 2009-12-01 | Visa U.S.A. Inc. | System, apparatus and methods for comparing fraud parameters for application during prepaid card enrollment and transactions |
| US9003488B2 (en) | 2007-06-06 | 2015-04-07 | Datavalet Technologies | System and method for remote device recognition at public hotspots |
| US7913086B2 (en) | 2007-06-20 | 2011-03-22 | Nokia Corporation | Method for remote message attestation in a communication system |
| US8782801B2 (en) | 2007-08-15 | 2014-07-15 | Samsung Electronics Co., Ltd. | Securing stored content for trusted hosts and safe computing environments |
| US20090089870A1 (en) | 2007-09-28 | 2009-04-02 | Mark Frederick Wahl | System and method for validating interactions in an identity metasystem |
| FR2922396B1 (fr) | 2007-10-12 | 2009-12-25 | Compagnie Ind Et Financiere Dingenierie Ingenico | Procede d'authentification biometrique, programme d'ordinateur, serveur d'authentification, terminal et objet portatif correspondants |
| US20090204964A1 (en) | 2007-10-12 | 2009-08-13 | Foley Peter F | Distributed trusted virtualization platform |
| US20090132813A1 (en) | 2007-11-08 | 2009-05-21 | Suridx, Inc. | Apparatus and Methods for Providing Scalable, Dynamic, Individualized Credential Services Using Mobile Telephones |
| US8347374B2 (en) | 2007-11-15 | 2013-01-01 | Red Hat, Inc. | Adding client authentication to networked communications |
| US8978117B2 (en) | 2007-11-19 | 2015-03-10 | Avaya Inc. | Authentication frequency and challenge type based on environmental and physiological properties |
| TWI350486B (en) | 2007-11-26 | 2011-10-11 | Ind Tech Res Inst | Biometrics method and apparatus and biometric data encryption method thereof |
| US8312269B2 (en) | 2007-11-28 | 2012-11-13 | Hitachi Global Storage Technologies Netherlands, B.V. | Challenge and response access control providing data security in data storage devices |
| US9575558B2 (en) | 2007-12-05 | 2017-02-21 | Hewlett-Packard Development Company, L.P. | System and method for electronically assisting a customer at a product retail location |
| US8650616B2 (en) | 2007-12-18 | 2014-02-11 | Oracle International Corporation | User definable policy for graduated authentication based on the partial orderings of principals |
| US8220032B2 (en) * | 2008-01-29 | 2012-07-10 | International Business Machines Corporation | Methods, devices, and computer program products for discovering authentication servers and establishing trust relationships therewith |
| US8635662B2 (en) | 2008-01-31 | 2014-01-21 | Intuit Inc. | Dynamic trust model for authenticating a user |
| US8175276B2 (en) | 2008-02-04 | 2012-05-08 | Freescale Semiconductor, Inc. | Encryption apparatus with diverse key retention schemes |
| US8639630B2 (en) | 2008-02-15 | 2014-01-28 | Ddn Ip Holdings Limited | Distribution of digital content |
| US8555078B2 (en) | 2008-02-29 | 2013-10-08 | Adobe Systems Incorporated | Relying party specifiable format for assertion provider token |
| US8353016B1 (en) | 2008-02-29 | 2013-01-08 | Adobe Systems Incorporated | Secure portable store for security skins and authentication information |
| US8302167B2 (en) | 2008-03-11 | 2012-10-30 | Vasco Data Security, Inc. | Strong authentication token generating one-time passwords and signatures upon server credential verification |
| US20090327131A1 (en) | 2008-04-29 | 2009-12-31 | American Express Travel Related Services Company, Inc. | Dynamic account authentication using a mobile device |
| US20090300714A1 (en) | 2008-05-27 | 2009-12-03 | Open Invention Network Llc | Privacy engine and method of use in a user-centric identity management system |
| US8023425B2 (en) | 2009-01-28 | 2011-09-20 | Headwater Partners I | Verifiable service billing for intermediate networking devices |
| US20090307140A1 (en) | 2008-06-06 | 2009-12-10 | Upendra Mardikar | Mobile device over-the-air (ota) registration and point-of-sale (pos) payment |
| CA2730175A1 (en) | 2008-07-09 | 2010-01-14 | Xtreme Mobility Inc. | Secure wireless deposit system and method |
| US8250627B2 (en) | 2008-07-28 | 2012-08-21 | International Business Machines Corporation | Transaction authorization |
| US20100029300A1 (en) | 2008-07-30 | 2010-02-04 | Arima Communications Corp. | Method for inquiring real-time travel-related information using a mobile communication device |
| US20100042848A1 (en) | 2008-08-13 | 2010-02-18 | Plantronics, Inc. | Personalized I/O Device as Trusted Data Source |
| US20130125222A1 (en) | 2008-08-19 | 2013-05-16 | James D. Pravetz | System and Method for Vetting Service Providers Within a Secure User Interface |
| US8666904B2 (en) | 2008-08-20 | 2014-03-04 | Adobe Systems Incorporated | System and method for trusted embedded user interface for secure payments |
| US8880036B2 (en) | 2008-09-08 | 2014-11-04 | Qualcomm Incorporated | Retrieving data wirelessly from a mobile device |
| US20100083000A1 (en) | 2008-09-16 | 2010-04-01 | Validity Sensors, Inc. | Fingerprint Sensor Device and System with Verification Token and Methods of Using |
| US7933836B2 (en) | 2008-09-30 | 2011-04-26 | Avaya Inc. | Proxy-based, transaction authorization system |
| US8494482B2 (en) | 2008-10-24 | 2013-07-23 | Centurylink Intellectual Property Llc | Telecommunications system and method for monitoring the body temperature of a user |
| AU2009322102B2 (en) * | 2008-11-04 | 2015-02-19 | Securekey Technologies Inc. | System and methods for online authentication |
| BRPI0921124A2 (pt) | 2008-11-06 | 2016-09-13 | Visa Int Service Ass | sistema para autenticar um consumidor, método implementado por computador, meio legível por computador, e, computador servidor. |
| US8245030B2 (en) | 2008-12-19 | 2012-08-14 | Nai-Yu Pai | Method for authenticating online transactions using a browser |
| US20100169650A1 (en) | 2008-12-31 | 2010-07-01 | Brickell Ernest F | Storage minimization technique for direct anonymous attestation keys |
| US8961619B2 (en) | 2009-01-06 | 2015-02-24 | Qualcomm Incorporated | Location-based system permissions and adjustments at an electronic device |
| US20100186072A1 (en) | 2009-01-21 | 2010-07-22 | Akshay Kumar | Distributed secure telework |
| US8284043B2 (en) | 2009-01-23 | 2012-10-09 | Honeywell International Inc. | Method of formulating response to expired timer for data link message |
| US8590021B2 (en) | 2009-01-23 | 2013-11-19 | Microsoft Corporation | Passive security enforcement |
| WO2010094125A1 (en) | 2009-02-19 | 2010-08-26 | Securekey Technologies Inc. | System and methods for online authentication |
| US9015789B2 (en) | 2009-03-17 | 2015-04-21 | Sophos Limited | Computer security lock down methods |
| US20110307707A1 (en) | 2009-03-25 | 2011-12-15 | Pacid Technologies, Llc | Method and system for securing a file |
| US8291468B1 (en) | 2009-03-30 | 2012-10-16 | Juniper Networks, Inc. | Translating authorization information within computer networks |
| US9105027B2 (en) | 2009-05-15 | 2015-08-11 | Visa International Service Association | Verification of portable consumer device for secure services |
| US20100325684A1 (en) | 2009-06-17 | 2010-12-23 | Microsoft Corporation | Role-based security for messaging administration and management |
| US8452960B2 (en) | 2009-06-23 | 2013-05-28 | Netauthority, Inc. | System and method for content delivery |
| KR20100137655A (ko) | 2009-06-23 | 2010-12-31 | 삼성전자주식회사 | 전자 프로그램 가이드를 표시하는 방법 및 이를 위한 장치 |
| WO2011017099A2 (en) | 2009-07-27 | 2011-02-10 | Suridx, Inc. | Secure communication using asymmetric cryptography and light-weight certificates |
| US7865937B1 (en) | 2009-08-05 | 2011-01-04 | Daon Holdings Limited | Methods and systems for authenticating users |
| US8756661B2 (en) | 2009-08-24 | 2014-06-17 | Ufp Identity, Inc. | Dynamic user authentication for access to online services |
| US8429404B2 (en) | 2009-09-30 | 2013-04-23 | Intel Corporation | Method and system for secure communications on a managed network |
| IL201351A0 (en) | 2009-10-01 | 2010-05-31 | Michael Feldbau | Device and method for electronic signature via proxy |
| US20110083170A1 (en) | 2009-10-06 | 2011-04-07 | Validity Sensors, Inc. | User Enrollment via Biometric Device |
| US8713325B2 (en) | 2011-04-19 | 2014-04-29 | Authentify Inc. | Key management using quasi out of band authentication architecture |
| US8621460B2 (en) | 2009-11-02 | 2013-12-31 | International Business Machines Corporation | Endpoint-hosted hypervisor management |
| US8769784B2 (en) | 2009-11-02 | 2014-07-08 | Authentify, Inc. | Secure and efficient authentication using plug-in hardware compatible with desktops, laptops and/or smart mobile communication devices such as iPhones |
| US8719905B2 (en) | 2010-04-26 | 2014-05-06 | Authentify Inc. | Secure and efficient login and transaction authentication using IPhones™ and other smart mobile communication devices |
| KR20110048974A (ko) | 2009-11-04 | 2011-05-12 | 삼성전자주식회사 | 무선통신 시스템에서 마스터 세션 키를 갱신하기 위한 장치 및 방법 |
| US8949978B1 (en) * | 2010-01-06 | 2015-02-03 | Trend Micro Inc. | Efficient web threat protection |
| KR101434769B1 (ko) | 2010-01-22 | 2014-08-27 | 인터디지탈 패튼 홀딩스, 인크 | 신뢰적인 연합 아이덴티티 관리 및 데이터 액세스 인가를 위한 방법 및 장치 |
| US9070146B2 (en) | 2010-02-04 | 2015-06-30 | Playspan Inc. | Method and system for authenticating online transactions |
| WO2011094869A1 (en) | 2010-02-05 | 2011-08-11 | Lipso Systèmes Inc. | Secure authentication system and method |
| US20110219427A1 (en) | 2010-03-04 | 2011-09-08 | RSSBus, Inc. | Smart Device User Authentication |
| US9065823B2 (en) | 2010-03-08 | 2015-06-23 | Gemalto Sa | System and method for using a portable security device to cryptograhically sign a document in response to signature requests from a relying party to a digital signature service |
| US8930713B2 (en) | 2010-03-10 | 2015-01-06 | Dell Products L.P. | System and method for general purpose encryption of data |
| JP2011199458A (ja) | 2010-03-18 | 2011-10-06 | Brother Industries Ltd | 無線通信システム |
| CN102196407B (zh) | 2010-03-18 | 2015-09-16 | 中兴通讯股份有限公司 | 锚定鉴权器重定位方法及系统 |
| US8826030B2 (en) | 2010-03-22 | 2014-09-02 | Daon Holdings Limited | Methods and systems for authenticating users |
| US9171306B1 (en) | 2010-03-29 | 2015-10-27 | Bank Of America Corporation | Risk-based transaction authentication |
| JP2013524352A (ja) | 2010-03-31 | 2013-06-17 | セキュリティー ファースト コーポレイション | 移動中のデータをセキュア化するためのシステムおよび方法 |
| US9356916B2 (en) | 2010-04-30 | 2016-05-31 | T-Central, Inc. | System and method to use a cloud-based platform supported by an API to authenticate remote users and to provide PKI- and PMI-based distributed locking of content and distributed unlocking of protected content |
| US8926335B2 (en) | 2010-05-12 | 2015-01-06 | Verificient Technologies, Inc. | System and method for remote test administration and monitoring |
| US8973125B2 (en) | 2010-05-28 | 2015-03-03 | Alcatel Lucent | Application layer authentication in packet networks |
| US20110314549A1 (en) | 2010-06-16 | 2011-12-22 | Fujitsu Limited | Method and apparatus for periodic context-aware authentication |
| US8832461B2 (en) | 2010-06-25 | 2014-09-09 | Microsoft Corporation | Trusted sensors |
| US8943603B2 (en) | 2010-07-08 | 2015-01-27 | Hewlett-Packard Development Company, L.P. | System and method for document policy enforcement |
| US8412158B2 (en) | 2010-08-17 | 2013-04-02 | Qualcomm Incorporated | Mobile device having increased security that is less obtrusive |
| EP2424185B1 (en) | 2010-08-23 | 2014-10-22 | 3M Innovative Properties Co. | Method and device for challenge-response authentication |
| US8590014B1 (en) | 2010-09-13 | 2013-11-19 | Zynga Inc. | Network application security utilizing network-provided identities |
| US9183683B2 (en) | 2010-09-28 | 2015-11-10 | Sony Computer Entertainment Inc. | Method and system for access to secure resources |
| US8819437B2 (en) * | 2010-09-30 | 2014-08-26 | Microsoft Corporation | Cryptographic device that binds an additional authentication factor to multiple identities |
| US8566915B2 (en) | 2010-10-22 | 2013-10-22 | Microsoft Corporation | Mixed-mode authentication |
| US8904472B2 (en) | 2010-11-12 | 2014-12-02 | Riaz Ahmed SHAIKH | Validation of consistency and completeness of access control policy sets |
| BR112013012964A2 (pt) | 2010-11-24 | 2016-08-23 | Telefonica Sa | método para autorizar o acesso a conteúdo protegido |
| US8555355B2 (en) | 2010-12-07 | 2013-10-08 | Verizon Patent And Licensing Inc. | Mobile pin pad |
| US8955035B2 (en) | 2010-12-16 | 2015-02-10 | Microsoft Corporation | Anonymous principals for policy languages |
| US8549145B2 (en) | 2011-02-08 | 2013-10-01 | Aventura Hq, Inc. | Pre-access location-based rule initiation in a virtual computing environment |
| US8595507B2 (en) | 2011-02-16 | 2013-11-26 | Novell, Inc. | Client-based authentication |
| US20130144785A1 (en) | 2011-03-29 | 2013-06-06 | Igor Karpenko | Social network payment authentication apparatuses, methods and systems |
| US8810368B2 (en) | 2011-03-29 | 2014-08-19 | Nokia Corporation | Method and apparatus for providing biometric authentication using distributed computations |
| US9092605B2 (en) | 2011-04-11 | 2015-07-28 | NSS Lab Works LLC | Ongoing authentication and access control with network access device |
| US9600679B2 (en) | 2011-04-29 | 2017-03-21 | Micro Focus Software Inc. | Techniques for resource operation based on usage, sharing, and recommendations with modular authentication |
| US9646261B2 (en) | 2011-05-10 | 2017-05-09 | Nymi Inc. | Enabling continuous or instantaneous identity recognition of a large group of people based on physiological biometric signals obtained from members of a small group of people |
| US8839395B2 (en) | 2011-05-13 | 2014-09-16 | Cch Incorporated | Single sign-on between applications |
| US8561152B2 (en) | 2011-05-17 | 2013-10-15 | Microsoft Corporation | Target-based access check independent of access request |
| US9118667B2 (en) | 2011-06-03 | 2015-08-25 | Blackberry Limited | System and method for accessing private networks |
| US8843649B2 (en) | 2011-06-07 | 2014-09-23 | Microsoft Corporation | Establishment of a pairing relationship between two or more communication devices |
| US20120313746A1 (en) | 2011-06-10 | 2012-12-13 | Aliphcom | Device control using sensory input |
| US8800056B2 (en) | 2011-08-12 | 2014-08-05 | Palo Alto Research Center Incorporated | Guided implicit authentication |
| US8713314B2 (en) | 2011-08-30 | 2014-04-29 | Comcast Cable Communications, Llc | Reoccuring keying system |
| US8590018B2 (en) | 2011-09-08 | 2013-11-19 | International Business Machines Corporation | Transaction authentication management system with multiple authentication levels |
| US8838982B2 (en) | 2011-09-21 | 2014-09-16 | Visa International Service Association | Systems and methods to secure user identification |
| US9621404B2 (en) | 2011-09-24 | 2017-04-11 | Elwha Llc | Behavioral fingerprinting with social networking |
| US20130133054A1 (en) | 2011-09-24 | 2013-05-23 | Marc E. Davis | Relationship Based Trust Verification Schema |
| US9081951B2 (en) | 2011-09-29 | 2015-07-14 | Oracle International Corporation | Mobile application, identity interface |
| US20130090939A1 (en) | 2011-10-11 | 2013-04-11 | Robert N. Robinson | Sytem and method for preventing healthcare fraud |
| US20140053234A1 (en) | 2011-10-11 | 2014-02-20 | Citrix Systems, Inc. | Policy-Based Application Management |
| US9021565B2 (en) * | 2011-10-13 | 2015-04-28 | At&T Intellectual Property I, L.P. | Authentication techniques utilizing a computing device |
| EP2769502A4 (en) | 2011-10-18 | 2015-07-08 | Intel Corp | METHOD, SYSTEMS AND DEVICES FOR FACILITATING A CLIENT-BASED AUTHENTICATION |
| US20130104187A1 (en) | 2011-10-18 | 2013-04-25 | Klaus Helmut Weidner | Context-dependent authentication |
| CN103988218B (zh) | 2011-10-31 | 2018-10-26 | 金钱及数字保护许可两合有限公司 | 认证方法 |
| EP2780854B1 (en) | 2011-11-14 | 2017-04-12 | Vasco Data Security International GmbH | A smart card reader with a secure logging feature |
| US8607319B2 (en) | 2011-11-22 | 2013-12-10 | Daon Holdings Limited | Methods and systems for determining biometric data for use in authentication transactions |
| WO2013082190A1 (en) | 2011-11-28 | 2013-06-06 | Visa International Service Association | Transaction security graduated seasoning and risk shifting apparatuses, methods and systems |
| US8958599B1 (en) | 2012-01-06 | 2015-02-17 | Google Inc. | Input method and system based on ambient glints |
| US8863297B2 (en) | 2012-01-06 | 2014-10-14 | Mobile Iron, Inc. | Secure virtual file management system |
| EP3457723B1 (en) | 2012-01-08 | 2020-04-15 | ImagiStar LLC | System and method for item self-assessment as being extant or displaced |
| US9247424B2 (en) | 2012-02-14 | 2016-01-26 | Apple Inc. | Methods and apparatus for large scale distribution of electronic access clients |
| EP2817917B1 (en) | 2012-02-20 | 2018-04-11 | KL Data Security Pty Ltd | Cryptographic method and system |
| US20130239173A1 (en) | 2012-03-12 | 2013-09-12 | Stephen T. Dispensa | Computer program and method for administering secure transactions using secondary authentication |
| EP2847926B1 (en) | 2012-03-28 | 2019-08-21 | Intel Corporation | Conditional limited service grant based on device verification |
| US8850588B2 (en) | 2012-05-01 | 2014-09-30 | Taasera, Inc. | Systems and methods for providing mobile security based on dynamic attestation |
| US9130837B2 (en) | 2012-05-22 | 2015-09-08 | Cisco Technology, Inc. | System and method for enabling unconfigured devices to join an autonomic network in a secure manner |
| US20140007215A1 (en) * | 2012-06-15 | 2014-01-02 | Lockheed Martin Corporation | Mobile applications platform |
| US20130346176A1 (en) | 2012-06-20 | 2013-12-26 | Zachery Alolabi | System and method for payment incentivizing |
| US20140013422A1 (en) | 2012-07-03 | 2014-01-09 | Scott Janus | Continuous Multi-factor Authentication |
| TW201417598A (zh) | 2012-07-13 | 2014-05-01 | Interdigital Patent Holdings | 安全性關聯特性 |
| US10771448B2 (en) | 2012-08-10 | 2020-09-08 | Cryptography Research, Inc. | Secure feature and key management in integrated circuits |
| US9088891B2 (en) | 2012-08-13 | 2015-07-21 | Wells Fargo Bank, N.A. | Wireless multi-factor authentication with captive portals |
| WO2014036021A1 (en) | 2012-08-28 | 2014-03-06 | Visa International Service Association | Secure device service enrollment |
| US8955067B2 (en) | 2012-09-12 | 2015-02-10 | Capital One, Na | System and method for providing controlled application programming interface security |
| US9215249B2 (en) | 2012-09-29 | 2015-12-15 | Intel Corporation | Systems and methods for distributed trust computing and key management |
| US9172544B2 (en) | 2012-10-05 | 2015-10-27 | General Electric Company | Systems and methods for authentication between networked devices |
| US20140250523A1 (en) | 2012-10-11 | 2014-09-04 | Carnegie Mellon University | Continuous Authentication, and Methods, Systems, and Software Therefor |
| US8910239B2 (en) * | 2012-10-15 | 2014-12-09 | Citrix Systems, Inc. | Providing virtualized private network tunnels |
| US9176838B2 (en) | 2012-10-19 | 2015-11-03 | Intel Corporation | Encrypted data inspection in a network environment |
| US8584219B1 (en) | 2012-11-07 | 2013-11-12 | Fmr Llc | Risk adjusted, multifactor authentication |
| US9166962B2 (en) | 2012-11-14 | 2015-10-20 | Blackberry Limited | Mobile communications device providing heuristic security authentication features and related methods |
| US8935808B2 (en) | 2012-12-18 | 2015-01-13 | Bank Of America Corporation | Identity attribute exchange and validation broker |
| US9172687B2 (en) | 2012-12-28 | 2015-10-27 | Nok Nok Labs, Inc. | Query system and method to determine authentication capabilities |
| US9015482B2 (en) | 2012-12-28 | 2015-04-21 | Nok Nok Labs, Inc. | System and method for efficiently enrolling, registering, and authenticating with multiple authentication devices |
| US20140189835A1 (en) | 2012-12-28 | 2014-07-03 | Pitney Bowes Inc. | Systems and methods for efficient authentication of users |
| US9306754B2 (en) | 2012-12-28 | 2016-04-05 | Nok Nok Labs, Inc. | System and method for implementing transaction signing within an authentication framework |
| US9083689B2 (en) | 2012-12-28 | 2015-07-14 | Nok Nok Labs, Inc. | System and method for implementing privacy classes within an authentication framework |
| US9374369B2 (en) * | 2012-12-28 | 2016-06-21 | Lookout, Inc. | Multi-factor authentication and comprehensive login system for client-server networks |
| US8856541B1 (en) | 2013-01-10 | 2014-10-07 | Google Inc. | Liveness detection |
| US9143506B2 (en) | 2013-02-13 | 2015-09-22 | Daniel Duncan | Systems and methods for identifying biometric information as trusted and authenticating persons using trusted biometric information |
| JP6069039B2 (ja) * | 2013-03-11 | 2017-01-25 | 日立オートモティブシステムズ株式会社 | ゲートウェイ装置及びサービス提供システム |
| WO2014142941A1 (en) | 2013-03-15 | 2014-09-18 | Intel Corporation | Technologies for secure storage and use of biometric authentication information |
| US20140282868A1 (en) | 2013-03-15 | 2014-09-18 | Micah Sheller | Method And Apparatus To Effect Re-Authentication |
| US9305298B2 (en) | 2013-03-22 | 2016-04-05 | Nok Nok Labs, Inc. | System and method for location-based authentication |
| US10270748B2 (en) | 2013-03-22 | 2019-04-23 | Nok Nok Labs, Inc. | Advanced authentication techniques and applications |
| EP2989770A1 (en) | 2013-04-26 | 2016-03-02 | Interdigital Patent Holdings, Inc. | Multi-factor authentication to achieve required authentication assurance level |
| US8646060B1 (en) | 2013-07-30 | 2014-02-04 | Mourad Ben Ayed | Method for adaptive authentication using a mobile device |
| US10366391B2 (en) | 2013-08-06 | 2019-07-30 | Visa International Services Association | Variable authentication process and system |
| US20150142628A1 (en) | 2013-11-20 | 2015-05-21 | Bank Of America Corporation | Detecting structured transactions |
| US20150180869A1 (en) | 2013-12-23 | 2015-06-25 | Samsung Electronics Company, Ltd. | Cloud-based scalable authentication for electronic devices |
| US9652354B2 (en) | 2014-03-18 | 2017-05-16 | Microsoft Technology Licensing, Llc. | Unsupervised anomaly detection for arbitrary time series |
| US9654463B2 (en) | 2014-05-20 | 2017-05-16 | Airwatch Llc | Application specific certificate management |
| US9992207B2 (en) | 2014-09-23 | 2018-06-05 | Qualcomm Incorporated | Scalable authentication process selection based upon sensor inputs |
| US10387882B2 (en) | 2015-07-01 | 2019-08-20 | Klarna Ab | Method for using supervised model with physical store |
-
2014
- 2014-09-16 US US14/487,992 patent/US9736154B2/en active Active
-
2015
- 2015-09-16 EP EP15841530.7A patent/EP3195108B1/en active Active
- 2015-09-16 KR KR1020177007634A patent/KR102420969B1/ko active IP Right Grant
- 2015-09-16 WO PCT/US2015/050348 patent/WO2016044373A1/en active Application Filing
- 2015-09-16 JP JP2017514840A patent/JP6689828B2/ja active Active
- 2015-09-16 CN CN201580049696.XA patent/CN107111478B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005092614A (ja) * | 2003-09-18 | 2005-04-07 | Toda Constr Co Ltd | 生体認証システム、プログラムおよび情報記憶媒体 |
| JP2010505286A (ja) * | 2006-06-27 | 2010-02-18 | マイクロソフト コーポレーション | バイオメトリック証明書確認フレームワーク |
| US8584224B1 (en) * | 2011-04-13 | 2013-11-12 | Symantec Corporation | Ticket based strong authentication with web service |
| US20140189828A1 (en) * | 2012-12-28 | 2014-07-03 | Davit Baghdasaryan | System and method for processing random challenges within an authentication framework |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3195108A1 (en) | 2017-07-26 |
| WO2016044373A1 (en) | 2016-03-24 |
| CN107111478A (zh) | 2017-08-29 |
| KR102420969B1 (ko) | 2022-07-13 |
| US20170034168A1 (en) | 2017-02-02 |
| CN107111478B (zh) | 2020-12-01 |
| EP3195108B1 (en) | 2020-01-01 |
| KR20170056566A (ko) | 2017-05-23 |
| EP3195108A4 (en) | 2018-04-25 |
| US9736154B2 (en) | 2017-08-15 |
| JP6689828B2 (ja) | 2020-04-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6689828B2 (ja) | 認証サービスをネットワークアーキテクチャ内に統合するためのシステム及び方法 | |
| JP6530049B2 (ja) | ホスト型認証サービスを実装するためのシステム及び方法 | |
| JP6865158B2 (ja) | セキュア送信プロトコルを使用して信頼を確立するためのシステム及び方法 | |
| CN106575416B (zh) | 用于向装置验证客户端的系统和方法 | |
| KR102383021B1 (ko) | 인증 장치의 등록을 위한 향상된 보안 | |
| US20170109751A1 (en) | System and method for carrying strong authentication events over different channels | |
| US20200313910A1 (en) | System and method for efficient challenge-response authentication |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180914 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180914 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190401 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190328 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20190701 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20190902 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191001 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200309 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200408 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6689828 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |