JP2018201235A - 認証能力を決定するためのクエリシステム及び方法 - Google Patents
認証能力を決定するためのクエリシステム及び方法 Download PDFInfo
- Publication number
- JP2018201235A JP2018201235A JP2018153218A JP2018153218A JP2018201235A JP 2018201235 A JP2018201235 A JP 2018201235A JP 2018153218 A JP2018153218 A JP 2018153218A JP 2018153218 A JP2018153218 A JP 2018153218A JP 2018201235 A JP2018201235 A JP 2018201235A
- Authority
- JP
- Japan
- Prior art keywords
- client
- server
- authentication
- user
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Mobile Radio Communication Systems (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Collating Specific Patterns (AREA)
- Computer And Data Communications (AREA)
- Telephonic Communication Services (AREA)
Abstract
Description
本発明のより良い理解は、以下の図面と併せて以下の詳細な説明から得ることができる。
図1A〜Bは、ユーザを認証するためのクライアント側及びサーバ側の構成要素を備えるシステムアーキテクチャの2つの実施形態を図解する。図1Aに示される実施形態は、ウェブサイトと通信するためにブラウザプラグインベースのアーキテクチャを使用するが、図1Bに示される実施形態は、ブラウザを必要としない。認証デバイスでユーザをエンロールすること、安全なサーバで認証デバイスを登録すること、及びユーザを認証することなど、本明細書に記載される様々な技術は、これらのシステムアーキテクチャのいずれかに実装され得る。したがって、図1Aに示されるアーキテクチャは、以下に記載される実施形態のうちのいくつかの動作を実証するために使用されるが、同一の基本原理は、図1Bに示されるシステム上で(例えば、サーバ130とクライアント上の安全なトランザクションサービス101との間の通信のための仲介としてブラウザプラグイン105を削除することによって)容易に実装され得る。
認証デバイス発見、エンロールメント、登録、及び認証を実施するための例示的な一連のトランザクションが図2〜6に示される。これらのトランザクションのいくつかの態様は、上述されるOSTPプロトコルで利用されている(更なる詳細は、OSTP Framework(2011年3月23日)を参照され、これは、参照により本明細書に組み込まれる)。これらのトランザクションの基本動作の理解は、本発明の実施形態が実装され得る状況を提供する。
一実施形態では、エンロールメントは、本明細書に記載される本発明の実施形態によって提供される強化されたセキュリティを使用するための必要条件である。エンロールメントは、後続のトランザクションの間、同一の認証デバイスがユーザを認証するために使用され得るように、ユーザの生体読み取り(例えば、指紋、音声サンプルなど)を記録することを含む。エンロールメント動作は、サーバ130との対話を用いることなく、単にクライアント上で行われ得る。エンロールメントのために提供されたユーザインターフェース(複数可)は、ブラウザ拡張で表示されてもよく、又は別個のアプリケーション若しくはモバイルデバイスのアプリに表示されてもよい。
述べられるように、本発明の一実施形態は、安全なトランザクションサーバがサーバによって許容される認証能力を示すサーバポリシーをクライアントに送信するクエリポリシーを実装する。クライアントは次に、サーバポリシーを分析して、それが支持し、及び/又はユーザが使用する要求を示した認証能力のサブセットを識別する。クライアントは次に、提供されたポリシーと一致する認証トークンのサブセットを用いてユーザを登録及び/又は認証する。その結果として、クライアントがその認証能力(例えば、その認証デバイスの全て)に関する包括的な情報、又はクライアントを一意的に識別するために使用され得る他の情報を送信することを必要とされないため、クライアントのプライバシーへのインパクトの低下がある。
本発明の一実施形態は、同時に複数のデバイスをエンロール、登録、及び認証し、それにより効率及びユーザ経験を改善することができる。例えば、一度に単一デバイスに対する登録及び認証を要求する代わりに、デバイスのリストがクライアントに送信され得る。対称鍵又は非対称鍵は次に、1つの動作、又はクライアント上でローカルに実行された一連の連続的動作で複数のデバイスに登録され得る。認証のために、いくつかのトークン/デバイスが所定のトランザクションに同時に選択され得る。
本発明の一実施形態は、ランダムチャレンジがサーバによって生成され、かつ処理される有人型を改善する。一実施形態では、ランダムチャレンジは、暗号ノンス等のランダムに生成されたコードを含む。現在のシステムでは、サーバがクライアントにランダムチャレンジを送信した後、クライアントが特定のタイムアウト期間内に応答しない場合、ランダムチャレンジは、もはや有効ではなく、クライアントは、後続の認証の試みに応答してエラーを受信する(例えば、ユーザは、指紋読み取り器上で指をスワイプし、拒否される)。
一実施形態では、複数のプライバシー保護のクラスは、エンドユーザによって事前に定義され、選択され、及び/又は修正され得る。プライバシークラスは、クライアントが公表された情報を用いて識別され得る確率に基づいて定義され得る。比較的より高いプライバシーレベルを有するプライバシークラスでは、クライアントデバイスに関する比較的より少ない情報は、本明細書に記載される認証技術を実施するために公表される。一実施形態では、ユーザは、異なるサーバと通信するとき、最小限の情報を開示するために選択することができる(即ち、各ウェブサイト又はネットワークサービスに対して最低の許容可能なプライバシーインパクトを有するトランザクションを選択することができる)。
図15は、本発明のいくつかの実施形態に使用され得る例示的なクライアント及びサーバを図解するブロック図である。図15は、コンピュータシステムの様々な構成要素を図解するが、このような詳細が本発明に密接な関係がないように構成要素を相互接続する任意の特定のアーキテクチャ又は様式を表すことを意図しないことが理解されるべきである。より少ない構成要素又はより多くの構成要素を有する他のコンピュータシステムもまた、本発明と共に使用され得ることが理解されるであろう。
なお、上記開示事項に加えて、原出願の特許請求の範囲に記載された事項を更に開示する。
〔事項1〕
方法であって、
許容できる認証能力のセットを識別するポリシーを受信する工程と、
クライアント認証能力のセットを決定する工程と、
前記決定されたクライアント認証能力のセットに基づいて前記許容できる認証能力のセットをフィルタリングして、前記クライアントのユーザを認証するためのフィルタリングされた1つ以上の認証能力のセットを導出する工程と、
前記フィルタリングされた1つ以上の認証能力のセットを使用して、ネットワーク上で前記ユーザを認証する工程と、を含む、方法。
〔事項2〕
前記クライアント上の安全なストレージから読み取ることによって前記クライアント認証能力のセットを決定する工程を更に含む、事項1に記載の方法。
〔事項3〕
前記ポリシーが、ネットワークサーバによって許容できると見なされる認証デバイスタイプ及び/又はクラスのセットを含む、事項1に記載の方法。
〔事項4〕
前記フィルタリングされた認証能力のセットのうちの1つ以上をグラフィカルユーザインターフェース(GUI)に表示する工程と、
前記リストから認証能力のうちの1つ以上を選択又は優先順位付けすることをユーザに問い合わせる工程と、
前記クエリへのユーザ入力に基づいて、認証能力のフィルタリングされたユーザ指定のリストを生成する工程と、を更に含む、事項1に記載の方法。
〔事項5〕
前記認証能力が、指紋センサを含む、事項1に記載の方法。
〔事項6〕
前記認証能力が、音声認証能力を含む、事項1に記載の方法。
〔事項7〕
前記認証能力が、スマートカードを含む、事項1に記載の方法。
〔事項8〕
前記認証能力が、トラステッドプラットフォームモジュール(TPM)を含む、事項1に記載の方法。
〔事項9〕
方法であって、
N>1である、クライアント上のN個の認証デバイスを検出する工程と、
前記N個の認証デバイスの各々に1つずつ、N個の暗号エンティティを生成する工程と、
前記N個の暗号エンティティの各々を前記N個の認証デバイスの各々に登録するコマンドを前記クライアントに送信する工程と、
前記クライアント上で前記コマンドを実行し、それに応答して前記N個の暗号エンティティの各々を前記それぞれのN個の認証デバイスの各々に登録する工程と、
その後、前記認証デバイスのうちの少なくとも1つ及びその関連付けられた暗号エンティティを使用して、ネットワーク上で前記クライアントのユーザを認証する工程と、を含む、方法。
〔事項10〕
暗号エンティティが、鍵を含む、事項9に記載の方法。
〔事項11〕
前記鍵が、対称鍵を含み、所定の鍵の同一のコピーが、前記クライアント上の安全なストレージ、及びサーバと関連付けられた安全なストレージ内に記憶される、事項10に記載の方法。
〔事項12〕
前記鍵が、非対称鍵対を含み、前記鍵対の第1の鍵が、前記クライアント上の安全なストレージ内に記憶され、前記鍵対の第2の鍵が、サーバと関連付けられた安全なストレージ内に記憶される、事項10に記載の方法。
〔事項13〕
ユーザを認証するために前記認証デバイスのうちの少なくとも1つ及びその関連付けられた暗号エンティティを使用する工程が、
前記認証デバイスから生体ユーザ入力を受信する工程と、
前記生体ユーザ入力が前記ユーザの認証に成功したことを決定する工程と、
前記認証デバイスと関連付けられた前記暗号エンティティを使用して、サーバに送信される情報を暗号化する工程と、を含む、事項9に記載の方法。
〔事項14〕
前記N個の認証デバイスの全てが登録されたという通知を前記サーバに送信する工程を更に含む、事項9に記載の方法。
〔事項15〕
前記サーバから前記クライアントにランダムチャレンジを最初に送信する工程と、
前記N個の認証デバイスの全てが登録されたという通知と共に、前記ランダムチャレンジを前記サーバに送り返す工程と、を更に含み、
前記サーバが、受信された前記ランダムチャレンジが送信された前記ランダムチャレンジと同一であるかを検証する、事項14に記載の方法。
〔事項16〕
前記サーバが、特定の認証デバイスと関連付けられた暗号エンティティを使用して、前記クライアント及び/又は前記認証デバイスの身元を検証する、事項9に記載の方法。
〔事項17〕
前記鍵が、鍵プロビジョニングプロトコルを用いて送信される、事項9に記載の方法。
〔事項18〕
前記プロビジョニングプロトコルが、動的対称鍵プロビジョニングプロトコル(SDKPP)を含む、事項17に記載の方法。
〔事項19〕
方法であって、
前記クライアントに通信可能に連結された認証デバイスを用いてネットワーク登録又は認証プロセスの文脈において、ランダムチャレンジ及び前記ランダムチャレンジと関連付けられたタイムアウト期間の表示をサーバからクライアントに送信する工程と、
前記タイムアウト期間に基づいて、前記ランダムチャレンジがもはや有効ではないことを自動的に検出する工程と、
それに応答して、前記クライアントからサーバに新しいランダムチャレンジに対する要求を送信する工程と、を含み、送信する工程が、前記クライアントのユーザに透過的に実施される、方法。
〔事項20〕
前記ランダムチャレンジが、前記サーバから生成された乱数又はランダムIDコードを含む、事項19に記載の方法。
〔事項21〕
前記ランダムチャレンジが、暗号ノンスを含む、事項20に記載の方法。
〔事項22〕
前記クライアントから前記サーバに前記ランダムチャレンジを送信して、前記クライアントと前記サーバとの間に安全な接続を確立する工程を更に含む、事項19に記載の方法。
〔事項23〕
前記サーバから前記新を受信する工程と、
前記クライアントから前記サーバに前記ランダムチャレンジを送信して、前記クライアントと前記サーバとの間に安全な接続を確立する工程と、を更に含む、事項19に記載の方法。
〔事項24〕
ユーザから生体認証データを収集する工程と、
前記新しいランダムチャレンジが前記期間の期限切れにより無効になる前に、前記生体認証データを用いて前記ユーザの身元を確認する工程と、
前記新しいランダムチャレンジと共に前記新しい認証データを前記サーバに送信する工程と、を更に含む、事項19に記載の方法。
〔事項25〕
前記サーバが、前記ユーザの身元を検証し、前記ランダムチャレンジを復号する、事項24に記載の方法。
〔事項26〕
前記タイムアウト期間の前記表示が、前記ランダムチャレンジが無効になった後の時間量を含む、事項19に記載の方法。
〔事項27〕
前記タイムアウト期間の前記表示が、前記サーバから前記クライアントへの前記ランダムチャレンジの前記送信と関連付けられたタイムスタンプを含む、事項26に記載の方法。
〔事項28〕
前記タイムアウト期間の前記表示が、特定の時間を含む、事項19に記載の方法。
〔事項29〕
方法であって、
クライアント情報に関するクエリをサーバからクライアントに送信する工程であって、前記クライアント情報が、前記クライアントに連結された認証デバイスに関連する情報を含む、工程と、
前記クエリを分析して、前記サーバにクライアント情報を提供するために使用される適切なプライバシークラスを決定する工程と、
前記決定されたプライバシークラスに基づいて選択されるクライアント情報のサブセットを提供する工程であって、前記クライアント情報のサブセットが、前記クライアントに連結された前記認証デバイスに関連する前記情報を含む、工程と、
認証フレームワーク内の前記クライアント情報のサブセットを使用して、ネットワーク上でユーザ認証サービスを提供する工程と、を含む、方法。
〔事項30〕
前記プライバシークラスが、第1のプライバシーレベルを提供する第1のプライバシークラス、第2のプライバシーレベルを提供する第2のプライバシークラス、及び第3のプライバシーレベルを提供する第3のプライバシークラスからなる群から選択される、事項29に記載の方法。
〔事項31〕
各プライバシークラスが、前記クライアントを識別するのに使用可能なクライアント情報及び/又は認証デバイス情報の異なるセットを指定する、事項29に記載の方法。
〔事項32〕
各プライバシークラスが、クライアントがそのプライバシークラスによって明らかにされた前記クライアント情報及び/又は認証デバイス情報を用いて識別され得る確率に基づいて定義される、事項31に記載の方法。
〔事項33〕
前記サーバから送信されたクライアント情報に関する前記クエリが、取り出される必要がある情報の前記プライバシークラスを指定する属性を含む、事項29に記載の方法。
〔事項34〕
別個のプライバシークラスが、各信頼パーティに対して選択される、事項29に記載の方法。
〔事項35〕
安全なストレージ内の各信頼パーティに対して最も承認されたプライバシークラスのための情報を関連付ける工程を更に含む、事項34に記載の方法。
〔事項36〕
前記信頼パーティが前記信頼パーティと既に関連付けられたプライバシークラスより高いプライバシークラスに属する情報を要求するたびに、前記ユーザが、この信頼パーティに対してこの新しいプライバシークラスを永久に承認又は拒否するように指示される、事項35に記載の方法。
〔事項37〕
前記プライバシークラスに基づいて選択される前記情報のサブセットが、機械モデル識別子(MMID)、クライアントソフトウェア情報、クライアント能力、及び前記クライアントデバイス上で構成された各認証デバイスに関連する情報のうちの1つ以上を含む、事項29に記載の方法。
〔事項38〕
各認証デバイスに関連する前記情報が、デバイスIDコード、ベンダIDコード、及びデバイスクラスIDのうちの1つ以上を含む、事項37に記載の方法。
〔事項39〕
前記サーバが、前記クライアントとの1つ以上の後続のトランザクションに対して前記クライアント情報のサブセットを使用する、事項29に記載の方法。
〔事項40〕
前記1つ以上の後続のトランザクションが、ネットワーク上でユーザを認証する工程を含む、事項39に記載の方法。
〔事項41〕
方法であって、
第1のサーバとクライアントとの間のオンライントランザクションを実行する工程と、 前記オンライントランザクションのトランザクション詳細を第2のサーバに提供する工程と、
前記第2のサーバで鍵を使用して前記トランザクション詳細上にシグネチャを生成する工程と、
前記シグネチャ及び前記トランザクション詳細と共に前記クライアントに認証要求を送信する工程と、
前記クライアント上のユーザを認証して、認証データを生成する工程であって、前記認証データが、前記ユーザが前記クライアント上で認証に成功したかを指定する、工程と、 前記認証データ、前記トランザクション詳細、及び前記シグネチャを前記第2のサーバに送信する工程と、
前記トランザクション詳細及び前記鍵を使用して、前記シグネチャの有効性を確認する工程と、前記認証詳細を使用して、前記第2のサーバで前記クライアントを認証する工程と、を含み、前記シグネチャの有効性を確認し、かつ前記クライアントを認証した時点で、前記第2のサーバが、前記トランザクションについての確認を前記第1のサーバに送信する、方法。
〔事項42〕
前記確認を受信した時点で、前記第1のサーバが、前記トランザクションを完了する、事項41に記載の方法。
〔事項43〕
前記トランザクション詳細が、トランザクションテキストを含む、事項41に記載の方法。
〔事項44〕
前記第2のサーバでランダムチャレンジを生成する工程と、
前記第2のサーバで前記鍵を使用して前記トランザクション詳細及び前記ランダムチャレンジの両方の上で前記シグネチャを生成する工程と、を更に含む、事項41に記載の方法。
〔事項45〕
前記認証データ、前記トランザクション詳細、及び前記シグネチャと共に前記ランダムチャレンジを前記第2のサーバに送信する工程と、
前記トランザクション詳細、前記ランダムチャレンジ、及び前記鍵を使用して、前記シグネチャの有効性を確認する工程と、前記認証詳細を使用して、前記第2のサーバで前記クライアントを認証する工程と、を更に含む、事項44に記載の方法。
〔事項46〕
前記トランザクション詳細、前記ランダムチャレンジ、及び前記鍵を使用して、前記シグネチャの有効性を確認する工程が、前記トランザクション詳細及び前記ランダムチャレンジ上で暗号アルゴリズムを実行する工程を含み、前記鍵が、前記シグネチャを生成するために前記暗号アルゴリズムのシードとして使用される、事項45に記載の方法。
〔事項47〕
前記クライアント上で前記ユーザを認証する工程が、生体ハードウェア及び/又はソフトウェアを使用して前記ユーザを認証する工程を含む、事項40に記載の方法。
〔事項48〕
前記生体ハードウェアが、指紋センサを備え、前記認証データが、前記ユーザの指がエンロールされた指紋と一致するかを示す、事項47に記載の方法。
〔事項49〕
前記生体ハードウェア及び/又はソフトウェアが、音声認識ハードウェア及び/又はソフトウェアを備え、前記認証データが、前記ユーザの声がエンロールされた声と一致するかを示す、事項47に記載の方法。
〔事項50〕
前記第1のサーバが、前記クライアントにインストールされたウェブブラウザを介してアクセス可能なウェブサーバを備える、事項41に記載の方法。
Claims (18)
- 方法であって、
N>1である、クライアント上のN個の認証デバイスを検出する工程と、
前記N個の認証デバイスの各々に1つずつ、N個の暗号エンティティを生成する工程と、
前記N個の暗号エンティティの各々を前記N個の認証デバイスの各々に登録するコマンドをサーバから前記クライアントに送信し、且つ第1のランダムチャレンジを前記サーバから前記クライアントに送信する工程と、
前記N個の認証デバイスの各々にそれぞれが対応するN個のプライバシークラスを決定する工程であって、前記プライバシークラスが、対応する認証デバイスに関連するクライアント情報がユーザ又はクライアントデバイスを一意的に識別しているリストに基づいて、決定される、前記工程と、
前記クライアント上で前記コマンドを実行し、それに応答して前記N個の暗号エンティティの各々を前記それぞれのN個の認証デバイスの各々に登録する工程と、
前記第1のランダムチャレンジに関連するタイムアウト期間に基づいて、前記第1のランダムチャレンジがもはや有効でないことを、前記クライアントにおいて自動的に検出する工程と、
これに応答して、前記クライアントから前記サーバへの新しいランダムチャレンジの要求を、ユーザの介在無しに、送信する工程と、
前記サーバで新しいランダムチャレンジを生成し、この新しいランダムチャレンジを前記クライアントに送信する工程と、
前記N個の認証デバイスの全てが登録されたという通知と共に前記新しいランダムチャレンジを前記サーバに戻し送信する工程であって、前記サーバが、受信された前記新しいランダムチャレンジが送信された前記新しいランダムチャレンジと同じであることを検証する工程と、
その後、前記認証デバイスの少なくとも一つ及びその関連付けられた暗号エンティティを使用して、ネットワーク上で前記クライアントのユーザを、前記サーバ又は異なるサーバで認証する工程と、を含み、前記クライアントのユーザを認証するために使用される前記認証デバイスの少なくとも一つがそれに対応するプライバシークラスに基づいている、方法。 - 前記暗号エンティティが、鍵を含む、請求項1に記載の方法。
- 前記鍵が、対称鍵を含み、所定の鍵の同一のコピーが、前記クライアント上の安全なストレージ、及びサーバと関連付けられた安全なストレージ内に記憶される、請求項2に記載の方法。
- 前記鍵が、非対称鍵対を含み、前記鍵対の第1の鍵が、前記クライアント上の安全なストレージ内に記憶され、前記鍵対の第2の鍵が、サーバと関連付けられた安全なストレージ内に記憶される、請求項2に記載の方法。
- 前記鍵が、鍵プロビジョニングプロトコルを使用して送信される、請求項2に記載の方法。
- 前記鍵プロビジョニングプロトコルが、動的対称鍵プロビジョニングプロトコル(DSKPP)を含む、請求項5記載の方法。
- ユーザを認証するために前記認証デバイスのうちの少なくとも1つ及びその関連付けられた暗号エンティティを使用する工程が、
前記認証デバイスから生体ユーザ入力を受信する工程と、
前記生体ユーザ入力が前記ユーザの認証に成功したことを決定する工程と、
前記認証デバイスと関連付けられた前記暗号エンティティを使用して、サーバに送信される情報を暗号化する工程と、を含む、請求項1に記載の方法。 - 前記N個の認証デバイスが、生体認証デバイスを含み、
前記N個の暗号エンティティを前記N個の認証デバイス毎に一つずつ発生する前に、前記クライアント上の前記N個の認証デバイスで前記ユーザをエンロールすることを含む請求項1に記載の方法。 - 前記サーバが、特定の認証デバイスと関連付けられた暗号エンティティを使用して、前記クライアント及び/又は前記認証デバイスの身元を検証する、請求項1に記載の方法。
- プログラムコードを記憶するための少なくとも一つのメモリと、プログラムコードを処理するための少なくとも一つのプロセッサと、を含むシステムであり、前記プログラムコードの処理によって、
N>1である、クライアント上のN個の認証デバイスを検出する手順と、
前記N個の認証デバイスの各々に1つずつ、N個の暗号エンティティを生成する手順と、
前記N個の暗号エンティティの各々を前記N個の認証デバイスの各々に登録するコマンドをサーバから前記クライアントに送信し、且つ第1のランダムチャレンジを前記サーバから前記クライアントに送信する手順と、
前記N個の認証デバイスの各々にそれぞれが対応するN個のプライバシークラスを決定する手順であって、前記プライバシークラスが、対応する認証デバイスに関連するクライアント情報がユーザ又はクライアントデバイスを一意的に識別しているリストに基づいて、決定される、前記手順と、
前記クライアント上で前記コマンドを実行し、それに応答して前記N個の暗号エンティティの各々を前記それぞれのN個の認証デバイスの各々に登録する手順と、
前記第1のランダムチャレンジに関連するタイムアウト期間に基づいて、前記第1のランダムチャレンジがもはや有効でないことを、前記クライアントにおいて自動的に検出する手順と、
これに応答して、前記クライアントから前記サーバへの新しいランダムチャレンジの要求を、ユーザの介在無しに、送信する手順と、
前記サーバで新しいランダムチャレンジを生成し、この新しいランダムチャレンジを前記クライアントに送信する手順と、
前記N個の認証デバイスの全てが登録されたという通知と共に前記新しいランダムチャレンジを前記サーバに戻し送信する手順であって、前記サーバが、受信された前記新しいランダムチャレンジが送信された前記新しいランダムチャレンジと同じであることを検証する手順と、
その後、前記認証デバイスの少なくとも一つ及びその関連付けられた暗号エンティティを使用して、ネットワーク上で前記クライアントのユーザを、前記サーバ又は異なるサーバで認証する手順と、が実行され、前記クライアントのユーザを認証するために使用される前記認証デバイスの少なくとも一つがそれに対応するプライバシークラスに基づいている、前記システム。 - 前記暗号エンティティが、鍵を含む、請求項1に記載のシステム。
- 前記鍵が、対称鍵を含み、所定の鍵の同一のコピーが、前記クライアント上の安全なストレージ、及びサーバと関連付けられた安全なストレージ内に記憶される、請求項11に記載のシステム。
- 前記鍵が、非対称鍵対を含み、前記鍵対の第1の鍵が、前記クライアント上の安全なストレージ内に記憶され、前記鍵対の第2の鍵が、サーバと関連付けられた安全なストレージ内に記憶される、請求項11に記載のシステム。
- 前記鍵が、鍵プロビジョニングプロトコルを使用して送信される、請求項11に記載のシステム。
- 前記鍵プロビジョニングプロトコルが、動的対称鍵プロビジョニングプロトコル(DSKPP)を含む、請求項14記載のシステム。
- ユーザを認証するために前記認証デバイスのうちの少なくとも1つ及びその関連付けられた暗号エンティティを使用する手順が、
前記認証デバイスから生体ユーザ入力を受信する手順と、
前記生体ユーザ入力が前記ユーザの認証に成功したことを決定する手順と、
前記認証デバイスと関連付けられた前記暗号エンティティを使用して、サーバに送信される情報を暗号化する手順と、を含む、請求項10に記載のシステム。 - 前記N個の認証デバイスが、生体認証デバイスを含み、
前記処理によって、前記N個の暗号エンティティを前記N個の認証デバイス毎に一つずつ発生する前に、前記クライアント上の前記N個の認証デバイスで前記ユーザをエンロールする手順が実行されることをさらに含む請求項10に記載のシステム。 - 前記サーバが、特定の認証デバイスと関連付けられた暗号エンティティを使用して、前記クライアント及び/又は前記認証デバイスの身元を検証する、請求項10に記載のシステム。
Applications Claiming Priority (10)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US13/730,795 | 2012-12-28 | ||
US13/730,761 US9172687B2 (en) | 2012-12-28 | 2012-12-28 | Query system and method to determine authentication capabilities |
US13/730,780 US9219732B2 (en) | 2012-12-28 | 2012-12-28 | System and method for processing random challenges within an authentication framework |
US13/730,791 US9083689B2 (en) | 2012-12-28 | 2012-12-28 | System and method for implementing privacy classes within an authentication framework |
US13/730,780 | 2012-12-28 | ||
US13/730,791 | 2012-12-28 | ||
US13/730,795 US9306754B2 (en) | 2012-12-28 | 2012-12-28 | System and method for implementing transaction signing within an authentication framework |
US13/730,776 US9015482B2 (en) | 2012-12-28 | 2012-12-28 | System and method for efficiently enrolling, registering, and authenticating with multiple authentication devices |
US13/730,776 | 2012-12-28 | ||
US13/730,761 | 2012-12-28 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015550778A Division JP6391101B2 (ja) | 2012-12-28 | 2013-12-26 | 認証能力を決定するためのクエリシステム及び方法 |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020031250A Division JP6992105B2 (ja) | 2012-12-28 | 2020-02-27 | 認証能力を決定するためのクエリシステム及び方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018201235A true JP2018201235A (ja) | 2018-12-20 |
JP6734330B2 JP6734330B2 (ja) | 2020-08-05 |
Family
ID=51022200
Family Applications (3)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015550778A Active JP6391101B2 (ja) | 2012-12-28 | 2013-12-26 | 認証能力を決定するためのクエリシステム及び方法 |
JP2018153218A Active JP6734330B2 (ja) | 2012-12-28 | 2018-08-16 | 認証能力を決定するためのクエリシステム及び方法 |
JP2020031250A Active JP6992105B2 (ja) | 2012-12-28 | 2020-02-27 | 認証能力を決定するためのクエリシステム及び方法 |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015550778A Active JP6391101B2 (ja) | 2012-12-28 | 2013-12-26 | 認証能力を決定するためのクエリシステム及び方法 |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020031250A Active JP6992105B2 (ja) | 2012-12-28 | 2020-02-27 | 認証能力を決定するためのクエリシステム及び方法 |
Country Status (6)
Country | Link |
---|---|
EP (3) | EP3916593B1 (ja) |
JP (3) | JP6391101B2 (ja) |
CN (2) | CN108810021B (ja) |
HK (1) | HK1215630A1 (ja) |
TW (4) | TWI598761B (ja) |
WO (1) | WO2014105994A2 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020084903A1 (ja) | 2018-10-25 | 2020-04-30 | 住友電気工業株式会社 | 複合部材 |
Families Citing this family (27)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9887983B2 (en) | 2013-10-29 | 2018-02-06 | Nok Nok Labs, Inc. | Apparatus and method for implementing composite authenticators |
US10270748B2 (en) | 2013-03-22 | 2019-04-23 | Nok Nok Labs, Inc. | Advanced authentication techniques and applications |
US10706132B2 (en) | 2013-03-22 | 2020-07-07 | Nok Nok Labs, Inc. | System and method for adaptive user authentication |
US9961077B2 (en) | 2013-05-30 | 2018-05-01 | Nok Nok Labs, Inc. | System and method for biometric authentication with device attestation |
US9654469B1 (en) | 2014-05-02 | 2017-05-16 | Nok Nok Labs, Inc. | Web-based user authentication techniques and applications |
US10148630B2 (en) | 2014-07-31 | 2018-12-04 | Nok Nok Labs, Inc. | System and method for implementing a hosted authentication service |
US9450760B2 (en) * | 2014-07-31 | 2016-09-20 | Nok Nok Labs, Inc. | System and method for authenticating a client to a device |
US9875347B2 (en) | 2014-07-31 | 2018-01-23 | Nok Nok Labs, Inc. | System and method for performing authentication using data analytics |
US9749131B2 (en) * | 2014-07-31 | 2017-08-29 | Nok Nok Labs, Inc. | System and method for implementing a one-time-password using asymmetric cryptography |
US11107071B2 (en) * | 2016-02-01 | 2021-08-31 | Apple Inc. | Validating online access to secure device functionality |
JP6570480B2 (ja) * | 2016-06-07 | 2019-09-04 | ヤフー株式会社 | 生成装置、端末装置、生成方法、生成プログラム及び認証処理システム |
US10637853B2 (en) | 2016-08-05 | 2020-04-28 | Nok Nok Labs, Inc. | Authentication techniques including speech and/or lip movement analysis |
US10769635B2 (en) | 2016-08-05 | 2020-09-08 | Nok Nok Labs, Inc. | Authentication techniques including speech and/or lip movement analysis |
US10091195B2 (en) | 2016-12-31 | 2018-10-02 | Nok Nok Labs, Inc. | System and method for bootstrapping a user binding |
US10237070B2 (en) | 2016-12-31 | 2019-03-19 | Nok Nok Labs, Inc. | System and method for sharing keys across authenticators |
US11213773B2 (en) | 2017-03-06 | 2022-01-04 | Cummins Filtration Ip, Inc. | Genuine filter recognition with filter monitoring system |
CN107241187B (zh) * | 2017-04-25 | 2019-11-08 | 广东网金控股股份有限公司 | 一种针对移动端向导式验证的服务端数据处理方法 |
JP6759152B2 (ja) | 2017-05-24 | 2020-09-23 | キヤノン株式会社 | 画像処理装置、方法、プログラム及びシステム |
CN107634834A (zh) * | 2017-09-05 | 2018-01-26 | 四川中电启明星信息技术有限公司 | 一种基于多终端多场景的可信身份认证方法 |
US11868995B2 (en) | 2017-11-27 | 2024-01-09 | Nok Nok Labs, Inc. | Extending a secure key storage for transaction confirmation and cryptocurrency |
US11831409B2 (en) | 2018-01-12 | 2023-11-28 | Nok Nok Labs, Inc. | System and method for binding verifiable claims |
US11792024B2 (en) * | 2019-03-29 | 2023-10-17 | Nok Nok Labs, Inc. | System and method for efficient challenge-response authentication |
CN112688782B (zh) | 2019-10-17 | 2023-09-08 | 华为技术有限公司 | 一种组合式设备的远程证明方法及设备 |
TWI720738B (zh) * | 2019-12-16 | 2021-03-01 | 臺灣網路認證股份有限公司 | 結合線上快速認證及公鑰基礎架構以識別身分之裝置及方法 |
TWI749683B (zh) * | 2020-08-04 | 2021-12-11 | 香港商女媧創造股份有限公司 | 互動式陪伴系統及其方法 |
CN113518061B (zh) * | 2020-10-16 | 2024-01-05 | 腾讯科技(深圳)有限公司 | 人脸识别中的数据传输方法、设备、装置、系统及介质 |
CN113434901A (zh) * | 2021-06-30 | 2021-09-24 | 平安普惠企业管理有限公司 | 数据智能查询方法、装置、电子设备及存储介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6377691B1 (en) * | 1996-12-09 | 2002-04-23 | Microsoft Corporation | Challenge-response authentication and key exchange for a connectionless security protocol |
JP2003143136A (ja) * | 2001-10-30 | 2003-05-16 | Toshiba Corp | 本人確認システム及び装置 |
US20030115142A1 (en) * | 2001-12-12 | 2003-06-19 | Intel Corporation | Identity authentication portfolio system |
JP2004348308A (ja) * | 2003-05-21 | 2004-12-09 | Hitachi Ltd | 本人認証システム |
US20060026671A1 (en) * | 2004-08-02 | 2006-02-02 | Darran Potter | Method and apparatus for determining authentication capabilities |
US20110082801A1 (en) * | 2009-10-06 | 2011-04-07 | Validity Sensors, Inc. | Secure Transaction Systems and Methods |
Family Cites Families (27)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5604803A (en) * | 1994-06-03 | 1997-02-18 | Sun Microsystems, Inc. | Method and apparatus for secure remote authentication in a public network |
US7047416B2 (en) * | 1998-11-09 | 2006-05-16 | First Data Corporation | Account-based digital signature (ABDS) system |
US7444368B1 (en) * | 2000-02-29 | 2008-10-28 | Microsoft Corporation | Methods and systems for selecting methodology for authenticating computer systems on a per computer system or per user basis |
US7941669B2 (en) * | 2001-01-03 | 2011-05-10 | American Express Travel Related Services Company, Inc. | Method and apparatus for enabling a user to select an authentication method |
CN100342294C (zh) * | 2002-07-03 | 2007-10-10 | 富利科技有限公司 | 生物计量私用密钥基础结构 |
US20050160264A1 (en) * | 2004-01-21 | 2005-07-21 | Reid Kuhn | Trusted authentication credential exchange methods and apparatuses |
TWI287206B (en) * | 2005-06-24 | 2007-09-21 | Alfa Power Co Ltd | Safe trading system of automatic teller machine (ATM) with integration of multimedia information |
JP4861417B2 (ja) * | 2005-08-11 | 2012-01-25 | サンディスク アイエル リミテッド | 拡張ワンタイム・パスワード方法および装置 |
US20070077915A1 (en) * | 2005-09-30 | 2007-04-05 | Black Greg R | Method and apparatus for module authentication |
US7725927B2 (en) * | 2005-10-28 | 2010-05-25 | Yahoo! Inc. | Low code-footprint security solution |
US8245052B2 (en) * | 2006-02-22 | 2012-08-14 | Digitalpersona, Inc. | Method and apparatus for a token |
US8259647B2 (en) * | 2006-06-12 | 2012-09-04 | Samsung Electronics Co., Ltd. | System and method for wireless communication of uncompressed video having a link control and bandwidth reservation scheme for control/management message exchanges and asynchronous traffic |
US7966489B2 (en) * | 2006-08-01 | 2011-06-21 | Cisco Technology, Inc. | Method and apparatus for selecting an appropriate authentication method on a client |
US8650616B2 (en) * | 2007-12-18 | 2014-02-11 | Oracle International Corporation | User definable policy for graduated authentication based on the partial orderings of principals |
US8793757B2 (en) * | 2008-05-27 | 2014-07-29 | Open Invention Network, Llc | User-directed privacy control in a user-centric identity management system |
US8284043B2 (en) * | 2009-01-23 | 2012-10-09 | Honeywell International Inc. | Method of formulating response to expired timer for data link message |
US20100325684A1 (en) * | 2009-06-17 | 2010-12-23 | Microsoft Corporation | Role-based security for messaging administration and management |
TW201121280A (en) * | 2009-12-10 | 2011-06-16 | Mao-Cong Lin | Network security verification method and device and handheld electronic device verification method. |
EP2348472A1 (en) * | 2010-01-06 | 2011-07-27 | Validity Sensors, Inc. | Secure transaction systems and methods |
AU2011205391B2 (en) * | 2010-01-12 | 2014-11-20 | Visa International Service Association | Anytime validation for verification tokens |
CN102208978A (zh) * | 2010-03-30 | 2011-10-05 | 腾讯科技(深圳)有限公司 | 验证输入的系统及方法 |
CN102347929A (zh) * | 2010-07-28 | 2012-02-08 | 阿里巴巴集团控股有限公司 | 一种用户身份的验证方法及装置 |
US9183683B2 (en) * | 2010-09-28 | 2015-11-10 | Sony Computer Entertainment Inc. | Method and system for access to secure resources |
US8810368B2 (en) * | 2011-03-29 | 2014-08-19 | Nokia Corporation | Method and apparatus for providing biometric authentication using distributed computations |
US9600679B2 (en) * | 2011-04-29 | 2017-03-21 | Micro Focus Software Inc. | Techniques for resource operation based on usage, sharing, and recommendations with modular authentication |
US8839395B2 (en) * | 2011-05-13 | 2014-09-16 | Cch Incorporated | Single sign-on between applications |
CN102685106B (zh) * | 2012-03-27 | 2015-09-30 | 北京百纳威尔科技有限公司 | 一种安全验证方法及设备 |
-
2013
- 2013-12-26 WO PCT/US2013/077888 patent/WO2014105994A2/en active Application Filing
- 2013-12-26 JP JP2015550778A patent/JP6391101B2/ja active Active
- 2013-12-26 EP EP20203943.4A patent/EP3916593B1/en active Active
- 2013-12-26 CN CN201810782797.3A patent/CN108810021B/zh active Active
- 2013-12-26 EP EP23192796.3A patent/EP4274165A3/en active Pending
- 2013-12-26 CN CN201380068869.3A patent/CN104969528B/zh active Active
- 2013-12-26 EP EP13867269.6A patent/EP2939166B1/en active Active
- 2013-12-27 TW TW102148853A patent/TWI598761B/zh active
- 2013-12-27 TW TW106125986A patent/TWI635409B/zh active
- 2013-12-27 TW TW110118491A patent/TWI792320B/zh active
- 2013-12-27 TW TW107127837A patent/TWI728261B/zh active
-
2016
- 2016-03-24 HK HK16103491.0A patent/HK1215630A1/zh unknown
-
2018
- 2018-08-16 JP JP2018153218A patent/JP6734330B2/ja active Active
-
2020
- 2020-02-27 JP JP2020031250A patent/JP6992105B2/ja active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6377691B1 (en) * | 1996-12-09 | 2002-04-23 | Microsoft Corporation | Challenge-response authentication and key exchange for a connectionless security protocol |
JP2003143136A (ja) * | 2001-10-30 | 2003-05-16 | Toshiba Corp | 本人確認システム及び装置 |
US20030115142A1 (en) * | 2001-12-12 | 2003-06-19 | Intel Corporation | Identity authentication portfolio system |
JP2004348308A (ja) * | 2003-05-21 | 2004-12-09 | Hitachi Ltd | 本人認証システム |
US20060026671A1 (en) * | 2004-08-02 | 2006-02-02 | Darran Potter | Method and apparatus for determining authentication capabilities |
US20110082801A1 (en) * | 2009-10-06 | 2011-04-07 | Validity Sensors, Inc. | Secure Transaction Systems and Methods |
Non-Patent Citations (2)
Title |
---|
渡邉 英伸 ほか: "広域移動を考慮した仮想ウェアラブルコンピューティングシステム", マルチメディア,分散,協調とモバイル(DICOMO2009)シンポジウム論文集 [CD−ROM], vol. 2009, no. 1, JPN6018003351, 1 July 2009 (2009-07-01), JP, pages 1406 - 1414, ISSN: 0004286596 * |
門田 啓 ほか: "遠隔本人認証プロトコル", マルチメディア,分散,協調とモバイル(DICOMO2007)シンポジウム論文集, JPN6016021736, 29 June 2007 (2007-06-29), JP, pages 1322 - 1331, ISSN: 0004286595 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020084903A1 (ja) | 2018-10-25 | 2020-04-30 | 住友電気工業株式会社 | 複合部材 |
Also Published As
Publication number | Publication date |
---|---|
CN108810021A (zh) | 2018-11-13 |
TWI635409B (zh) | 2018-09-11 |
CN108810021B (zh) | 2022-10-04 |
TW201430607A (zh) | 2014-08-01 |
EP2939166A4 (en) | 2016-12-07 |
JP2016502373A (ja) | 2016-01-21 |
HK1215630A1 (zh) | 2016-09-02 |
JP6734330B2 (ja) | 2020-08-05 |
WO2014105994A2 (en) | 2014-07-03 |
TWI792320B (zh) | 2023-02-11 |
TWI598761B (zh) | 2017-09-11 |
JP6391101B2 (ja) | 2018-09-19 |
TWI728261B (zh) | 2021-05-21 |
EP3916593B1 (en) | 2023-09-13 |
JP2020108159A (ja) | 2020-07-09 |
JP6992105B2 (ja) | 2022-01-13 |
EP3916593A1 (en) | 2021-12-01 |
TW202134913A (zh) | 2021-09-16 |
CN104969528B (zh) | 2018-08-14 |
CN104969528A (zh) | 2015-10-07 |
EP4274165A3 (en) | 2023-12-20 |
TW201903637A (zh) | 2019-01-16 |
TW201737140A (zh) | 2017-10-16 |
EP2939166B1 (en) | 2020-11-11 |
EP2939166A2 (en) | 2015-11-04 |
WO2014105994A3 (en) | 2014-09-25 |
EP4274165A2 (en) | 2023-11-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6734330B2 (ja) | 認証能力を決定するためのクエリシステム及び方法 | |
US10404754B2 (en) | Query system and method to determine authentication capabilities | |
US9219732B2 (en) | System and method for processing random challenges within an authentication framework | |
US9015482B2 (en) | System and method for efficiently enrolling, registering, and authenticating with multiple authentication devices | |
US9306754B2 (en) | System and method for implementing transaction signing within an authentication framework | |
US9083689B2 (en) | System and method for implementing privacy classes within an authentication framework | |
US10326761B2 (en) | Web-based user authentication techniques and applications | |
KR102431834B1 (ko) | 상이한 채널들을 통해 강한 인증 이벤트를 운반하기 위한 시스템 및 방법 | |
KR102383021B1 (ko) | 인증 장치의 등록을 위한 향상된 보안 | |
KR102439782B1 (ko) | 호스팅된 인증 서비스를 구현하기 위한 시스템 및 방법 | |
JP2022527798A (ja) | 効率的なチャレンジ応答認証のためのシステム及び方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180816 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190605 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190531 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190724 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20191218 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200227 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20200416 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200622 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200709 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6734330 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |