JP5231254B2 - ネットワークベースの不正および認証サービスのシステムと方法 - Google Patents

ネットワークベースの不正および認証サービスのシステムと方法 Download PDF

Info

Publication number
JP5231254B2
JP5231254B2 JP2008554432A JP2008554432A JP5231254B2 JP 5231254 B2 JP5231254 B2 JP 5231254B2 JP 2008554432 A JP2008554432 A JP 2008554432A JP 2008554432 A JP2008554432 A JP 2008554432A JP 5231254 B2 JP5231254 B2 JP 5231254B2
Authority
JP
Japan
Prior art keywords
fraud detection
transaction
user
network
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2008554432A
Other languages
English (en)
Other versions
JP2009526328A5 (ja
JP2009526328A (ja
Inventor
ムライヒ、デイビッド
アドラー、ジョセフ
シッドハース、バジャジュ
ポップ、ニコラス
ロフトゥス、ケリー・イー.
オン、ブルース
ムトゥ、アリン・エム.
バーステイン、ジェフリー
リン、イェチン
Original Assignee
ベリサイン・インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ベリサイン・インコーポレイテッド filed Critical ベリサイン・インコーポレイテッド
Publication of JP2009526328A publication Critical patent/JP2009526328A/ja
Publication of JP2009526328A5 publication Critical patent/JP2009526328A5/ja
Application granted granted Critical
Publication of JP5231254B2 publication Critical patent/JP5231254B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/316User authentication by observing the pattern of computer usage, e.g. typical user behaviour
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2103Challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Social Psychology (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Description

関連出願の相互参照
本出願は、2006年2月10日に出願された米国仮特許出願第60/771,861号の35U.S.C.119条のもとでの利益を主張している。この出願は、その全体が参照によりここに組み込まれている。
本発明の背景
アイデンティティの盗用は増加し続け、この問題の広がりは重大である。各年、USの何百万人もの成人が自身のアイデンティティを盗まれ、何千万ものアカウントが脅かされ、何十億ものアイデンティティの盗用から損害に至っている。不正損害自体が重大である一方で、一段と厄介なことは、消費者がこれらの侵入工作の犠牲者となる企業に対するマイナスの影響である。トランザクション量をより少なくし、さらに株の価格も低下させるアカウントチャーンは、大多数の企業に負担させて、損害の広がりをよりひどいものにした。
オンラインビジネス上でのアイデンティティの盗用の影響、および認証を強化することについての規制ガイダンスを想定して、より一層、企業は、企業のオンライン消費者ベースの認証オプションを評価している。弱い認証は、インターネットアイデンティティ盗用や、フィッシングや、オンライン金融詐欺を導く。より多くの消費者が、買い物をしたり、自身の財政を管理をしたり、健康管理情報にアクセスしたりするために、コンピューターおよび移動体デバイスを使用するにつれて、不正およびアイデンティティ盗用のリスクは増大する。
時間の経過とともに、企業は、法人ネットワークおよびアプリケーションに対する従業員や取引先のアクセスをセキュリティ保護するために強力な認証を使用している。法人資産に対する非認証アクセスを可能にするリスクは、強力な認証を導入するのに必要な行動様式の変化および投資を正当化して、企業に対する公正な直接的なリスク/報酬の評価に役立つ。しかしながら、これらの企業の解決策は、より少数の配備用に設計されてきたので、消費者アプリケーションをセキュリティ保護するために、これらのものを利用することは全面的に実現可能ではない。これらの企業の認証解決策をコスト効率がよい方法で何百万ものユーザに合わせて調整することは、ほとんど不可能である。
したがって、消費者に対してアイデンティティ保護を向上させるシステムおよび方法が技術的に必要である。
詳細な説明
本発明では、第3者のサービスプロバイダによってホスト接続された認証および不正検出サービスの双方を企業のネットワークに提供することによって、現在の解決策の欠点を解決する。これらのサービスは、ホスト接続されたサービスを利用する企業のネットワーク間で知能およびリソースを共有することによって、コストを最小限にし、安全性を最大限にする。サービスプロバイダは、ホスト接続された認証サービスを利用している参加企業間で認証信用証明書を共有することができたり、ホスト接続された不正検出サービスを利用している参加企業間で不正知能(例えば、不正データおよび署名)を共有したりすることができる。このアプローチは、消費者およびオンラインサービスの双方の代わりに、日常のウェブライフスタイルの便利さを犠牲にすることなく、デジタルアイデンティティの盗用を抑制する。
図1は、本発明の実施形態にしたがったネットワークベース認証および不正検出サービスのシステムを図示している。第3者のサービスプロバイダ(100)は、ネットワーク(130)上の多数のサイト(160、162、164、166)に対して、認証サービス(110)と不正検出サービス(120)とを提供する。これらの多数のサイトは、サービス(110、120)に対するサービスプロバイダ(100)を信頼している。信頼性のある当事者のうちの一人(164)と取引を行うように望んでいるエンドユーザ(170)のアイデンティティを保護するために、これらの信頼性のある当事者(160、162、164、166)は、これらのサービス(110、120)に従事している。
認証サービス(110)によって使用されるデータベース(115)中に記憶されている情報は、不正検出サービス(120)によって使用されてもよい。同様に、不正検出サービス(120)によって使用されるデータベース(125)中に記憶されている情報は、認証サービス(110)によって使用されてもよい。
ホスト接続された認証サービス(110)を利用している信頼性のある当事者(160、162、164)は、共有された認証ネットワーク(140)の一部としてみなされ、ホスト接続された不正検出サービス(120)を利用している信頼性のある当事者(162、164、166)は、不正知能ネットワーク(150)の一部としてみなされる。
ホスト接続された認証サービス(110)に関して、共有された認証ネットワーク(140)中の各当事者は、ネットワークの他の参加メンバーと同一の認証信用証明書を受け入れる。これによって、形態(例えば、OATH準拠)に関係なく、参加ネットワークメンバのあらゆるサイトにわたって、エンドユーザが単一の認証証明書を利用することができる。このことは、エンドユーザが、異なる信頼性のある当事者と取引するために、別の信用証明書を必要とするときに生じる「ネックレス」問題を解決する助けとなる。
信用証明書とは、認証目的に使用される任意の電子デバイスまたはドキュメントのことを言う。妥当性確認のために信用証明書によって提供される値は、信用証明書応答(例えば、OTP(「ワンタイムパスワード」)値、デジタル署名、またはチャレンジ応答クエリに対する応答)と呼ばれる。例えば、(時には、トークンとだけ呼ばれる)OTPトークンは、要求に応じて一意的なコードを発生させるハードウェアデバイス信用証明書である。通常、この一意的なコードは、認証のために、例えば、第2の要素として使用される。
第2の要素認証とは、ユーザが把握している何か(第1の要素)と異なった、またはこれに加えて、ユーザが有する何か、あるいはユーザである何か(第2の要素)を認証することを言う。第1および第2要素認証を用いるシステムにおいて、攻撃者が第1の要素のみを盗用した場合、攻撃者は第2の要素を偽造することができず、認証することは不可能である。攻撃者が第2の要素を盗用した場合、攻撃者は第1の要素を把握しておらず、認証することは不可能である。
ハードウェアトークン、デジタル証明書、およびバイオメトリックデバイスのような多くの異なるタイプの第2の要素があってもよい。さらに、認証サービスでは、2つより多い要素が必要であるかもしれない。例えば、システムでは、パスフレーズや、デジタル証明書や、親指の指紋センサや、ユーザが把握している何かや、ユーザが所有している何かや、ユーザである何かを組み合わせることが必要であるかもしれない。
第2の要素ネットワークは、使用しやすい単一のデバイスを使用することを容易にするすばらしい方法である。エンドユーザは、ネットワーク中のすべての場所で同一の方法を動作させる単一のデバイスを受け取る。ユーザが、第2の要素ネットワークをサポートするサービスにデバイスを単に登録すると、認証する準備ができる。ユーザがデバイスを紛失または破壊させた場合に、ユーザがデバイスの発行者にコンタクトをとると、各信頼性のある当時者が、ステータスの変化を知る。サービスプロバイダは、エンドユーザ信用証明書およびデバイスを管理することについて心配しなくてもよく、単に、ネットワークとコンタクトをとる。
ホスト接続された不正検出サービス(120)に関して、不正知能ネットワーク(150)における各当事者は、不正知能(例えば、ウェブブラウザヘッダ、IPアドレス等)を共有して、アイデンティティ保護をさらに最大限にする。ネットワーク(150)全体からのトランザクション情報を共有することによって、不正検出サービス(120)は、リアルタイムで、参加しているサイト全体にわたっての行動のパターンを比較し、検出を助け、単一のサイトからのデータによって検出できなかった攻撃を阻止する。サービス(120)は、不正を検出するための個人的な識別可能な情報を必要とせずに、一意的な偽名を使用して、異なるサイト全体にわたってエンドユーザを識別することができる。
サービスプロバイダ100は、不正知能ネットワーク情報から離れて取り出されたネットワークレベル知能を獲得するために、外的ソースに問い合わせしてもよい。このような知能は、IP地理的位置データ、接続タイプ、ネットワークプロバイダ、GPSデータ、ホームロケーションレジスタデータ、(地上ベースおよび/またはセルラ)発呼および被呼電話機データ等のような、インターネットのDNSインフラストラクチャに関係する情報を含んでいてもよい。
したがって、不正検出サービス(120)は、個人情報を入手するために、ウェブサイトフィッシング、キー自動記録装置、擬似店頭、およびデータベースの盗用のような、多くの異なるメカニズムを使用して個人情報を入手するインターネット上の犯罪者をより抑制することができる。犯罪者は、複数のウェブサイト上で同一の情報を使用して、試行錯誤してログイン情報をテストしたり、複数の不正なアカウントまたは他の悪質なアクティビティを確立したりしようと試みることが多い。
図2は、本発明の実施形態にしたがったネットワークベース認証および不正検出のためのプロセスを図示している。信頼性のある当事者(164)がエンドユーザ(170)を認証するために信用証明書を要求した(ステップ200)ときに、ユーザ(170)は、認証サービス(110)によって信用証明書応答が妥当性確認される(ステップ220)ように、ユーザ(170)によって所有されている信用証明書に関係する信用証明書応答を提供する(ステップ210)。
本発明の1つの実施形態では、ユーザ(170)が、信頼性のある当事者(164)に信用証明書応答を提供してもよく、信頼性のある当事者(164)が、バックエンドインテグレーションによって認証サービス(110)による情報をチェックする。別の実施形態では、信用証明書応答を入れるために、信頼性のある当事者(164)がユーザ(170)を認証サービス(110)にリダイレクトしてもよい。この実施形態では、認証サービス(110)が、デジタル的にサインされた表明、すなわち、試行が有効または無効であったか否かの表明を生成して、この表明をショートASCIIストリングにエンコードする。ショートASCIIストリングは、httpリダイレクトを使用して、信頼性のある当事者(164)に返信するようにURLに添付することができる。さらに別の実施形態では、ユーザのウェブブラウザを異なるウェブページにリダイレクトする代わりに、信頼性のある当事者(164)のページ上のJava(登録商標)スクリプトを使用して、(例えば、XMLHttpRequest通話を通して)認証サービス(110)に信用証明書応答を転送して、結果的に生じた表明を受け取るように、信頼性のある当事者(164)はAJAX(非同期型JavaスクリプトおよびXML)を利用してもよい。
信頼性のある当事者(164)は、ユーザ(170)に関係するトランザクションを監視(ステップ230)して、不審なアクティビティに対して評価する(240)ために、不正検出サービス(120)に対してトランザクションに関係する情報を提供する。このトランザクションは、ログイン、購入、クリックスルー、あるいは信頼性のある当事者(164)のサイト上のユーザ(170)による何らかの他のアクティビティを含んでいてもよい。安全性を高めるために、不正検出サービス(120)は、不正知能ネットワーク(150)サイトによって不正検出サービス(120)に提供された他のトランザクション情報に少なくとも部分的に基づいて、不審なアクティビティに対するトランザクション情報を評価する。
図3は、本発明の実施形態にしたがった2段階の不正検出プロセスを図示しているフローチャートである。最初に、ユーザ(170)が、妥当性確認(ステップ310)のために、信頼性のある当事者(164)にログイン信用証明書を提供する(ステップ300)。信用証明書が無効であった場合、ログインは拒絶され(ステップ320)、信用証明書が有効であった場合、信頼性のある当事者(164)がユーザのログインに関係する情報を不正検出サービス(120)に転送する(ステップ330)。
不正検出サービス(120)は不審なアクティビティをチェックし(ステップ340)、不審なアクティビティが発見されなかった場合、トランザクションが合格(ステップ350)し、信頼性のある当事者(164)が決定を通知し、ユーザ(170)がログインすることを許可される(ステップ360)。
一方、1次チェックによって不審なアクティビティが判明した場合、不正検出サービス(120)は、より高性能化した、複雑な侵略的な技術を使用して、その信用証明書が正当であることを妥当性確認するために進む(ステップ370)。この2次チェックの後に、不正検出サービス(120)は、トランザクションが不正または正当かどうかを決定する。
1次不正チェックは、トランザクションのプロパティ、ユーザアカウントのプロパティ、およびトランザクション履歴に基づいたものであってもよい。これらのチェックは、完全に自動化されているので、人の介入は必要でない。さらに、重要なことに、余分なステップはプロセスに加えられない。
2次不正チェックは、付加的なステップをプロセスに加える。不正検出サービス(120)は、電話機、eメール、またはユーザのアイデンティティのSMS確認を必要としてもよい。代わりに、システムは、ユーザ(170)の付加的なチャレンジ/応答質問を尋ねてもよい。これらのチェックの目的は、付加的な情報を提供して、ユーザのアイデンティティの妥当性確認をすることである。2次チェックが成功した場合、不正チェックが成功し(ステップ350)、ユーザはログインを許可される(ステップ360)。
2次チェックが失敗であった場合、不正チェックは、不合格であり(ステップ380)、不正検出サービス(120)が、信頼性のある当事者(164)に失敗を報告する。信頼性のある当事者(164)は、ログイン要求を拒絶(ステップ320)してもよく、解決のためにカスタマサービスに顧客を照会することを選択してもよい。
本発明の実施形態では、ステップ310に基づいて拒絶されたログインに関係する情報はまた、信頼性のある当事者(164)によって不正検出サービス(120)に送信されてもよい。
不審なアクティビティをチェックするために、不正検出サービス(120)には、各トランザクションについての情報が供給されてもよい。スコア付けするモデルまたはルールを使用して、サービス(120)が決定を出力する。各決定およびすべてのトランザクションの詳細が、トランザクションログにセーブされてもよい。周期的に、抽出変換ローディング(ETL)プロセスは、トランザクション履歴データベース(125)に対するいくつかの情報を計算するために使用されてもよい。最近のトランザクションについての詳細の中には、トランザクション履歴データベース(125)に直接セーブされるものもあってもよい(例えば、単純で、計算しやすい情報)。スコア付けエンジンはまた、決定を強化するために使用できる(IP地理的データ、GPSデータ、ホームロケーションレジスタデータ、(地上ベースおよび/またはセルラ)発呼および被呼電話機データ等のような)外的ソースからの情報を含んでいるデータベースに問い合わせしてもよい。
スコア付けエンジンは、認証試行の有効と無効とを区別するように設計されている。
ログイントランザクションには2つのタイプがある。それは、正当な認証試行と、不正な認証試行である。2つを区別するために、ログインが他の正当な試行のパターンに適合しているか否か、およびログインが他の不正試行のパターンに適合しているか否かを、エンジンは学習しようとする。
時間とともに、各アカウントに対する正当なログイン試行がどのようなものであるかの良好の状況は、エンジンによって明らかにすることができる。例えば、ある期間にわたって、ミネソタにいるユーザがトークンを使用して、自分の取引アカウントにアクセスすると仮定したとする。時間が経過するにつれて、ユーザが、いつも取引時間にしかログインしないことや、1週間あたりに3回から4回しかログインしないことや、中西部におけるIPアドレスからしかログインしないことが明らかになるかもしれない。
このパターンからの何らかの逸脱は、不審なアクティビティのサインである。例えば、エンジンは、ロシアからESTに向けて深夜に20回試行された認証を示すものは不審なトランザクション情報であると考えるであろう。エンジンは、通常の使用パターンを特徴付けて、そのパターンからの逸脱を探す。
ベースラインの動作の他の例は、ユーザの知られている地理的位置に基づくものであり得る。このユーザの知られている地理的位置は、(例えば、ユーザのセル電話に埋め込まれており、ログインするためのインターフェースは、例えば、セル電話による)GPSシステムから得られるユーザに関係する実際の位置データ、番号情報と呼ばれるホームロケションレジスタ情報等と比較することができる。ユーザの既知の位置とこれらの位置との間の何らかの通常とは異なる差異が、不正を示すことができる。さらに、これらのデータ間の何らかの差異が、不正を示すことができる。例えば、GPSデータがミネソタを示して、ホームロケーションデータがニューヨークを示した場合、不正が疑われ、対不正測定が実現されてもよい。
不正ログイン試行の状況もまた、エンジンによって時間とともに明らかにすることができる。例えば、多くの不正なログイン試行が無名のIPプロキシによるものであること、または東ヨーロッパ諸国からのものであることが明らかになるかもしれない。不正な試行が不適切なウェブサイトにおいてトークンを使用しようとすることや、辞書攻撃がトークンに対してなされる(例えば、トークンによって、異なるPINコードを体系的にテストする)こと等が明らかになるかもしれない。あらゆる種類の不正の動作を実質的に検出して反撃するために、ルールをコード化することができる。
不正を検出するために、不正検出サービス(120)は、各トランザクションについての十分な情報を収集して、適正な推測を行うことが必要である。広範な十分な情報を入手するために、以下のフィールドを使用することができる。
・トークンシリアル番号(または、トークングループID)
・トークンタイプ(OTP、PKI等)
・トランザクションの時間
・トークンユーザのIPアドレス
・ユーザがアクセスしようとするウェブサイト/システム
・ユーザが試行しているトランザクション(すなわち、ログイン、購入、株取引等)
・近似トランザクション値
・認証試行(有効または無効なOTP、有効または無効なPIN、不適切なサイト等)の結果
不正検出サービス(120)はまた、ディープな十分な情報を入手することが必要である。これは、トランザクションの履歴レコードを生成し、例えば、1年分が好ましいが、少なくとも90日まで遡ることを意味している。時間が経過するにつれて、不審なアクティビティを探すために使用することができる(1ヶ月あたりのログインの平均数のような)サマリ情報を構築することができる。
不正検出サービス(120)は、ポリシーエンジンによってトランザクションを分析する。そして、トランザクションは、ポリシーに基づいて、異常エンジンに送られ、異常エンジンは、ステータス(異常か、または異常でないか)と、確信度(どの程度エンジンが自身の決定に確信があるか)とによって回答し、これは戻されてポリシーエンジンによって処理される。データフロープロセスの実施形態を以下に提供する。
・データがデータアダプタを通してシステムに到着
・ポリシーエンジンが、イベントに関連するルールを実行
・要求された場合、ポリシーエンジンが、異常検出するために異常エンジンにイベントを送る
・ポリシーンエンジンが、ステータス(異常であるか?)および確信度として構成されている戻された結果を受け取る
・確信度とステータスとにしたがって、ポリシーエンジンが、ユーザ定義されたアクションと内的分析とを含む付加的なイベントを発行
各ルールには、アクションの条件およびリストがあってもよい。例えば、条件は、イベントが生じたこと、グラフ中のデータが変化したこと、実際値が変化したこと等であってもよい。アクションは、グラフ中のデータが変化することや、実際値を設定することや、eメールを送信することや、スクリプトを実行すること等のことであってもよい。ルールは、ポリシーにグループ化されてもよい。各ポリシーには、名前と、属性(イネーブル/ディセーブル)および耐久性(ポリシーがアクティブであるときのスケジュール)とがある。ポリシーは、ディレクトリ中に論理的に記憶されていてもよい。
どの程度異常で、どの程度確信があるかについてエンジンが決定したことに基づいてフィルターを設定する機能を提供することに加えて、不正検出サービス(120)は、さらに正確性を高めるために、エンジンの決定を使用してもよい。例えば、高い異常スコアおよび確信度によって、トランザクションが異常であるとタグ付けされた場合でも、知られている不正トランザクションまたは知られている不正「でない」トランザクションのクラスターと、トランザクションを比較することによって、システムは、その正確性を高めることができる。
この教師なし学習を実現するために、不正検出サービス(120)は、その異常エンジンにおけるクラスタリングアルゴリズムを利用して、ユーザのアクションのうちのどのアクションが自然行動に対応しているか、そして、どれが例外的であるかを、何の支援もなしに決定してもよい。
クラスタリングアルゴリズムは、以下のような隣接の概念およびリンクに基づいた凝集型階層的クラスタリングアルゴリズムであるROCK階層的クラスタリングアルゴリズム(リンクを使用しているロバストクラスタリング)に基づいたものであってもよい。
ドメインエキスパートまたは類似度マトリックス上の2つの要素の類似度が、あるしきい値を超えた場合に、2つのデータ要素は隣接であるとみなされる。最初に、すべてのn個のデータ要素が、n個のクラスターにそれぞれマッピングされる。それぞれの反復によって、双方のクラスターが任意の対のクラスターCi、Cjに対してリンク(Ci、Cj)の最大値を実現するように、エンジンは、2つの最も接近したクラスター間で併合する。メトリックリンク(Ci,Cj)は、第2のクラスター中のすべての要素と第1のクラスター中のすべての要素との間の共通の隣接の数を表わす。
この基準は、双方のクラスターにおける潜在的な隣接の数によって標準化されるので、大きいクラスターは、他のすべてのクラスターをのみ込まず、すべての要素で終わることはないだろう。リンクを使用してデータ要素をグループ分けすることによって、全体に及ぶ知識をクラスタリングプロセスに導入し、要素間の最適な区分を形成する。したがって、形成されたクラスターは大きすぎずもしなければ、小さすぎもせず、また、クラスターは互いに比較的に類似した要素を含んでいる。
エンジンは、ROCKアルゴリズムに対する強化を利用し、この強化はROCKアルゴリズムを全体的な異常検出プロセスに適合させる。すなわち、強化は、クラスタリング段階の実行時間を十分に利用して、クラスターを見つけるROCKの能力を、異常を見つける能力に変換する。これらの強化に加えて、エンジンは、以下のような認証レベルに関する強化を利用する。
他のクラスタリングアルゴリズムと同様に、ROCKはまた、発生させるクラスターの数を決定する引き数を予測する。一方で、強化されたアルゴリズムは、クラスターの実際量を生成させ、これは、実際にデータ内で明らかになるように、ユーザの行動パターンのそれぞれを表している。
さらに、アルゴリズムは、クラスタリング実行レベルの概念を導入し、さまざまなシチュエーションに対して規定され得る異なるクラスタリング構成を可能にする。例えば、異常検出プロセスが相対希薄データ集合を持って開始された場合、一組のデータ要素間の共通の隣接の数は少ないことになっているので、エンジンは、低下した類似度しきい値によって、クラスタリング段階をアクティブ化することを望んでもよい。
これによって、間違った正数または負数を発生させないで、データ収集の早い段階でエンジンが不正検出を行うことができる。各実行レベルでは、トランザクションの最小数や、類似度しきい値や、確実度や、関係属性を規定することができる。
図4では、本発明の実施形態にしたがって、強化されたクラスタリングアルゴリズムが適用されてもよいグラフを図示している。
第1ステップ
Sを類似度関数とする。すべての要素に対してS(x、y)を計算する。
この例では、類似度を、互いに「接近している」、または接続されているものと定義する。
第2ステップ
隣接マトリックスを構築する。
M(x,y)=1 if S(x,y)>Tあるしきい値
この例では、例えば、eおよびdは接近しており、かつ、dおよびfは接続されているので、M(e,d)=1で、M(d,f)=1である。しかしながら、a,bは、遠く離れており、接続されていないので、M(a,b)=0である。
完全なマトリックスを表1に表わす。
Figure 0005231254
第3ステップ
リンクマトリックスを作成する。
共通の隣接の数が、要素のそれぞれの対(x,y)に対して計算される。
そこで、例えば、表2ではaおよびcを採用する。
Figure 0005231254
共通隣接の数は2である。この例に対するリンクマトリックスを表3に示す。
Figure 0005231254
最終ステップ
基準関数
・同一のクラスターに属しているxおよびyのLink(x,y)の合計を最大化
・異なるクラスターに属しているxおよびyのLink(x,y)の合計を最小化
直観的に、概念は、クラスター内では、要素は、可能な限り多くの共通の隣接を持っている一方で、同時に、これらの要素は、他のクラスターにおける要素と可能な限り「異種」であることを確認する。
これらのメトリックに基づいて、クラスターを併合すべきか否かに関して決定するために良好性の尺度もまた計算される。すなわち、ポイントからクラスターへの一般化は論理的である。
kを、「可能性があるもの」に到達するためのクラスターの数をシステムに対して指定するために使用されるパラメータであるとする。kは絶対制限値でなく、また、システムは、より多くのクラスターを併合しようとすることができるが、kに一度到達すると、併合を「強要」しないであろうことに留意すべきである。
k=3であると仮定すると、(a、c、d、f)はクラスタリングされることになる一方で、bおよびeは別個のままであるだろう。
k=2である場合、大きいクラスター(a、c、d、e、f)が形成される可能性があるが、bは、別個のままである。その理由は、cに対して1つしか接続を有しておらず、dに対するeと同じ程度に「接近」しておらず(ここでは類似度としての視覚の距離)、dはaおよびfに接続されているからである。
この簡略化した例は、異常エンジンによって実現される強化されたクラスタリングアルゴリズムの主な原理を説明する役割をする。
本発明の実施形態にしたがった図5に示したように、サービスプロバイダ(100)のような信用証明書発行者(500)は、要求されたときに(520)、シードのバルクエンド発生およびシードのバルクエンドの安全な移送(530)をトークン製造業者(510)に提供してもよい。バルクプロビジョニングプロトコルを利用することによって、予めプロビジョニングされたトークン、すなわち、アクティブ化されて使用される準備ができているデバイスをユーザに対して送ることが可能になる。
OTPを発生させるために使用されるトークンまたはデバイスによってのみ既知のシークレットと、OTPの妥当性確認をするために使用されるバックエンドサービスとを発生させる複雑性は、発行者(500)と、例えば、特定のトークンまたはOATH互換デバイスを製造する信頼されたパートナー(510)とによって取り扱われる。発行者により、供給されるアプリケーション、トークン製造ユーティリティ(TMU)は、製造設備中にイントールおよび統合され、OTP発生デバイス中に後に統合されるバッチシードの要求を可能にする。この方法で、デバイス製造業者(510)は、OTP自体を消費のために発生させて提供するために必要な機能以外に、デバイス自体の複雑性を増大させないで、現行のプロセスを活用することができる。
本発明の実施形態では、バルクプロビジョニングプロトコルについて以下に説明する。
・TMUは、対のキーとトークンIDとを各トークンに対して発生させる。
・TMUは、公開キーを含む対のランダムキーを各トークンIDに対して発生させる。
・この公開キーは、プロビジョンコマンドによって登録要求が行われるごとに、第2のパラメータとしてトランスペアレントに使用される。
・TMUは、パラメータとして要求されたトークンIDによって、各トークンに対する証明書を登録することができる。
・OTP共有シークレットは、各トークンIDに対していつも要求される。
・オプション的に、管理共有シークレットが、各トークンIDに対して同様に要求されてもよい。
TMUは、登録局キーを使用して、認証されたSSLチャネルの確立を取り決めてもよい。このチャネルは、各トークンに対する登録プロセスが完了するまで持続する。
本発明の実施形態におけるバルクプロビジョニングプロトコルフローについて、以下に説明する。
・TMUは、発行者のプロビジョニングサービスに接続し、提示された各トークンIDに対して、OTP証明書を登録し、オプション的には、管理証明書も登録する。
・発行者(500)が、各トークンに対して要求された証明書および共有シークレットを暗号化された形態で返す。
・発行者(500)は、そのサイトにおいて、共有シークレットのコピーを記憶させる。OTP共有シークレットは、ユーザを認証するために使用されるOTP値を計算するために使用される。また、管理共有シークレットは、紛失パスワードをリセットするときに使用される。
・発行者(500)が、証明書を返す。
・TMUは、ローカルキー記憶装置に証明書と共有シークレットとを暗号化された形態で記憶させる。
共有シークレットが発行者(500)から受け取られた後に、トークン製造業者(510)が、受け取った共有シークレットを正しいトークンに埋め込む。本発明の実施形態にしたがって、以下のプロセスを利用してもよい。
・リストコマンドを使用して、各トークンに対するローカルキー記憶装置からトークンIDと共有シークレットとを抽出して解読。
・安全な方法を用いて、リストコマンドによって出力された各トークンIDに対する共有シークレットを解読。
・製造プロセスを使用して、共有シークレットを正しいトークン中に埋め込む。
図6は、本発明の実施形態にしたがった、ベーシックコンピューティングデバイスの構成要素を図示している。ベーシックコンピューティングデバイスは、例えば、認証サービス(110)または不正検出サービス(120)を実行するサーバを備えていてもよい。コンピューティングデバイスは、パーソナルコンピュータ、ワークステーション、サーバ、あるいは他の何らかのタイプのマイクロプロセッサベースデバイスであってもよい。コンピューティングデバイスは、プロセッサ(610)、入力デバイス(620)、出力デバイス(630)、記憶装置(640)、通信デバイス(660)のうちの1つ以上のものを備えていてもよい。
入力デバイス(620)は、キーボードや、マウスや、ペン操作型タッチスクリーンまたはモニタや、音声認識デバイスや、あるいは入力を提供する他の何らかのデバイスを含んでいてもよい。出力デバイス(630)は、モニタや、プリンタや、ディスクドライブや、スピーカーや、あるいは出力を提供する他の何らかのデバイスを含んでいてもよい。
記憶装置(640)は、RAM、キャッシュ、ハードドライブ、CD-ROMドライブ、テープドライブ、またはリムーバル記憶ディスクのような1つ以上の電気、磁気または光学メモリを含む揮発および不揮発性データ記憶装置を含んでいてもよい。通信デバイス(660)は、モデム、ネットワークインターフェースカード、あるいはネットワークを通して信号を送信および受信することができるな他の何らかのデバイスを含んでいてもよい。コンピューティングデバイスの構成要素は、例えば、ワイヤレスに、または電気バスを通してといった任意の方法で接続されていてもよい。
記憶装置(640)中に記憶され、プロセッサ(610)によって実行されるソフトウェア(650)は、例えば、本発明の機能を埋め込んでいる(例えば、認証サービス(110)および不正検出サービス(120)に埋め込まれているような)アプリケーションプログラミングを含んでいてもよい。ソフトウェア(650)は、アプリケーションサーバおよびデータベースサーバのような、クライアントアプリケーションと企業サーバとを組み合わせたものを含んでいてもよい。
通信は、何らかの通信プロトコルを実現したり、何らかのセキュリティプロトコルによってセキュリティ保護される任意のタイプのネットワークを通して行なわれてもよい。ネットワークリンクは、電話線、DSL、ケーブルネットワーク、T1またはT3ライン、ワイヤレスネットワーク接続、あるいはネットワーク信号の送信および受信を実現する他の何らかの配置を含んでいてもよい。
コンピューティングデバイスは、ウィンドウズ(登録商標)、Linux(登録商標)またはUNIX(登録商標)のような何らかの動作システムを実現してもよい。ソフトウェア(650)は、Cや、C++や、Java(登録商標)や、ビジュアルベーシックおよび/またはSQLのような任意のプログラミング言語で書かれていてもよい。さまざまな実施形態において、本発明の機能を埋め込んでいるアプリケーションソフトウェアは、クライアント/サーバ配置で、あるいは、例えば、ウェブベースアプリケーションまたウェブサービスのようなウェブブラウザを通して、スタンドアローン型機械上で配備されていてもよい。
本発明のいくつかの実施形態をここで詳細に図示および/または説明した。しかしながら、本発明の精神および意図された範囲から逸脱することなく、本発明の修正または変形が上記の教示および添付した特許請求の範囲によって網羅されることを正しく認識するであろう。
例えば、認証サービス(110)および不正検出サービス(120)のような本発明を実現するソフトウェア機能は、同じ機能を一緒にさらに提供するいくつかの別々のモジュールを備えていてもよく、図示したデータベース中に明記されたデータは、いくつかのデータベース区画、データベースおよび/またはシステムに及んでもよく、図2ないし3、および図5のデータおよびフロー図は、または、ここで説明した、より高いレベルの機能性を損わない、組み合わせたステップまたはいくつかの中間ステップを含んでいてもよい。
図1は、本発明の実施形態にしたがったネットワークベースの認証および不正検出サービスのシステムを図示しているブロック図である。 図2は、本発明の実施形態にしたがった認証および不正検出サービスを提供するためのプロセスを図示しているフローチャートである。 図3は、本発明の実施形態にしたがった2段階の不正検出プロセスを図示しているフローチャートである。 図4は、本発明の実施形態にしたがって、クラスタリングアルゴリズムが適用されたグラフである。 図5は、本発明の実施形態にしたがったバルクブロビジョニングプロセスを図示しているブロック図である。 図6は、本発明の実施形態にしたがったコンピューティングデバイスを図示しているブロック図である。

Claims (14)

  1. アイデンティティ保護サービスを提供する方法において、
    ネットワークを通して、ユーザに関係する信用証明書からの応答をバリデーションサーバにおいて受け取ることと、
    1つのネットワークサイトの代わりに、前記バリデーションサーバによって前記信用証明書応答を確認することと、
    前記ネットワークを通して、前記1つのネットワークサイトにおける前記ユーザに関係するトランザクションに関連する情報を不正検出サーバにおいて受け取ることと、
    前記1つのネットワークサイト以外の、前記ネットワーク上の1つ以上のサイトにおける1つ以上のトランザクションに関連し、前記不正検出サーバに提供された情報に少なくとも部分的に基づいて、不審なアクティビティについて前記トランザクション情報を前記不正検出サーバによって評価することとを含み、
    前記信用証明書応答は、認証のための要素として前記信用証明書を受け入れる前記ネットワーク上の複数のサイトのうちの1つに対して前記ユーザを認証するために、前記ユーザによって提供され
    前記バリデーションサーバは、前記ユーザによって提供された前記信用証明書応答を確認することに関連し、前記不正検出サーバによって提供されたトランザクション情報を利用する方法。
  2. 前記不正検出サーバは、前記不審なアクティビティについて前記ユーザのトランザクション情報を評価することに関連し、前記バリデーションサーバによって提供された確認情報を利用する請求項1記載の方法。
  3. 前記1つのネットワークサイト以外の、前記ネットワーク上の前記1つ以上のサイトにおける前記1つ以上のトランザクションに関連し、前記不正検出サーバに提供されなかった他の情報に少なくとも部分的に基づいて、前記不正検出サーバが、不審なアクティビティについて前記トランザクション情報を評価する請求項1記載の方法。
  4. 前記他の情報は、インターネットのDNSインフラストラクチャに関係するデータベースから問い合わせされる請求項記載の方法。
  5. 前記他の情報は、IP地理的位置データを含む請求項記載の方法。
  6. 前記不正検出サーバによって評価することは、
    1次不正チェックを実行することと、
    前記1次不正チェックにおいてトランザクションは不審なものではないことを決定した際、前記トランザクションは不審なものではないという表示を前記ネットワークサイトに提供することと、
    前記1次不正チェックにおいて前記トランザクションは不審なものであることを決定した際、2次不正チェックを実行することとをさらに含む請求項1記載の方法。
  7. 前記2次不正チェックは、電話機、eメール、またはSMS確認のうちの少なくとも1つ以上を使用して、ユーザのアイデンティティの確認を要求することを含む請求項記載の方法。
  8. 前記トランザクションが不正なものであることを、前記不正検出サーバにおいて決定することと、
    前記トランザクションが不正なものであるという表示を前記ネットワークサイトに提供することと、
    前記不正検出サーバにおいて、前記ネットワークサイトから、前記不正トランザクションに対する識別情報を受け取ることとをさらに含む請求項1記載の方法。
  9. 特定のユーザに関係する複数のトランザクションに関係する情報をコンパイルすることと、
    前記複数のトランザクションに基づいて、前記特定のユーザに対するトランザクションの傾向を決定することと、
    前記複数のトランザクションに後続して、前記特定のユーザに関係する新しいトランザクションを受け取ることと、
    前記トランザクションの傾向と前記新しいトランザクションとの間の比較に少なくとも部分的に基づいて、前記新しいトランザクションが不正なものであることを決定することとをさらに含む請求項記載の方法。
  10. アイデンティティ保護サービスを提供するシステムにおいて、
    認証サービスを提供するように構成されているバリデーションサーバと、
    不正検出サービスを提供するように構成されている不正検出サーバと、
    前記バリデーションサーバに通信可能にリンクされている認証データベースと、
    前記不正検出サーバに通信可能にリンクされている不正検出データベースとを具備し、
    前記バリデーションサーバは、ネットワークを通して、ユーザに関係する信用証明書からの応答を受け取り、前記信用証明書応答は、認証のための要素として前記信用証明書を受け入れる前記ネットワーク上の複数のサイトのうちの1つに対して前記ユーザを認証するために、前記ユーザによって提供され、
    前記バリデーションサーバは、1つのネットワークサイトの代わりに前記信用証明書応答を確認し、
    前記バリデーションサーバは、前記ユーザによって提供された前記信用証明書応答を確認することに関連し、前記不正検出サーバによって提供されたトランザクション情報を利用し、
    前記不正検出サーバは、前記ネットワークを通して、前記1つのネットワークサイトにおける前記ユーザに関係するトランザクションに関連する情報を受け取り、
    前記不正検出サーバは、前記1つのネットワークサイト以外の、前記ネットワーク上の1つ以上のサイトにおける1つ以上のトランザクションに関連し、前記不正検出サーバに提供された情報に少なくとも部分的に基づいて、不審なアクティビティについて前記トランザクション情報を評価するシステム。
  11. 前記不正検出サーバは、前記不審なアクティビティについて前記ユーザのトランザクション情報を評価することに関連し、前記バリデーションーバによって提供された確認情報を利用する請求項10記載のシステム。
  12. 前記1つのネットワークサイト以外の、前記ネットワーク上の前記1つ以上のサイトにおける前記1つ以上のトランザクションに関連し、前記不正検出サーバに提供されなかった他の情報に少なくとも部分的に基づいて、前記不正検出サーバが、不審なアクティビティについて前記トランザクション情報を評価する請求項10記載のシステム。
  13. 前記他の情報は、インターネットのDNSインフラストラクチャに関係するデータベースから問い合わせされる請求項12記載のシステム。
  14. 前記他の情報は、IP地理的位置データを含む請求項13記載のシステム。
JP2008554432A 2006-02-10 2007-02-12 ネットワークベースの不正および認証サービスのシステムと方法 Active JP5231254B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US77186106P 2006-02-10 2006-02-10
US60/771,861 2006-02-10
PCT/US2007/003822 WO2007095242A2 (en) 2006-02-10 2007-02-12 System and method for network-based fraud and authentication services

Publications (3)

Publication Number Publication Date
JP2009526328A JP2009526328A (ja) 2009-07-16
JP2009526328A5 JP2009526328A5 (ja) 2010-04-02
JP5231254B2 true JP5231254B2 (ja) 2013-07-10

Family

ID=38372092

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008554432A Active JP5231254B2 (ja) 2006-02-10 2007-02-12 ネットワークベースの不正および認証サービスのシステムと方法

Country Status (6)

Country Link
US (1) US7861286B2 (ja)
EP (1) EP1987447A4 (ja)
JP (1) JP5231254B2 (ja)
AU (1) AU2007215180B2 (ja)
CA (1) CA2641995C (ja)
WO (1) WO2007095242A2 (ja)

Families Citing this family (72)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080010678A1 (en) * 2004-09-17 2008-01-10 Jeff Burdette Authentication Proxy
US8112357B2 (en) * 2006-11-07 2012-02-07 Federal Reserve Bank Of Atlanta Systems and methods for preventing duplicative electronic check processing
US8272033B2 (en) * 2006-12-21 2012-09-18 International Business Machines Corporation User authentication for detecting and controlling fraudulent login behavior
KR100925176B1 (ko) * 2007-09-21 2009-11-05 한국전자통신연구원 지리 정보를 이용한 네트워크 상태 표시장치 및 방법
US8412932B2 (en) * 2008-02-28 2013-04-02 Red Hat, Inc. Collecting account access statistics from information provided by presence of client certificates
US20090287510A1 (en) * 2008-04-28 2009-11-19 Guggenheim Partners, Llc Methods and products for providing incentive compatible mortgage loans
US8321934B1 (en) * 2008-05-05 2012-11-27 Symantec Corporation Anti-phishing early warning system based on end user data submission statistics
US8689341B1 (en) 2008-05-21 2014-04-01 Symantec Corporation Anti-phishing system based on end user data submission quarantine periods for new websites
US8613064B1 (en) * 2008-09-30 2013-12-17 Symantec Corporation Method and apparatus for providing a secure authentication process
US9209994B2 (en) * 2008-12-31 2015-12-08 Sybase, Inc. System and method for enhanced application server
US8380989B2 (en) 2009-03-05 2013-02-19 Sybase, Inc. System and method for second factor authentication
US9100222B2 (en) * 2008-12-31 2015-08-04 Sybase, Inc. System and method for mobile user authentication
US8903434B2 (en) * 2008-12-31 2014-12-02 Sybase, Inc. System and method for message-based conversations
DE102009021312A1 (de) * 2009-05-14 2010-11-18 Siemens Aktiengesellschaft Verfahren zum Verhindern einer Kompromittierung eines Webdienstes
US10346845B2 (en) 2009-05-15 2019-07-09 Idm Global, Inc. Enhanced automated acceptance of payment transactions that have been flagged for human review by an anti-fraud system
US9471920B2 (en) * 2009-05-15 2016-10-18 Idm Global, Inc. Transaction assessment and/or authentication
US20100306821A1 (en) * 2009-05-29 2010-12-02 Google, Inc. Account-recovery technique
DE102009060553A1 (de) * 2009-08-24 2011-03-03 Vitaphone Gmbh Verfahren und System zur Speicherung und Auswertung von Daten, insbesondere Vitaldaten
US8365264B2 (en) * 2009-10-12 2013-01-29 Microsoft Corporation Protecting password from attack
US8321360B2 (en) 2009-10-22 2012-11-27 Symantec Corporation Method and system for weighting transactions in a fraud detection system
US8195664B2 (en) 2009-10-22 2012-06-05 Symantec Corporation Method and system for clustering transactions in a fraud detection system
US10467687B2 (en) * 2009-11-25 2019-11-05 Symantec Corporation Method and system for performing fraud detection for users with infrequent activity
US8924733B2 (en) * 2010-06-14 2014-12-30 International Business Machines Corporation Enabling access to removable hard disk drives
US9473530B2 (en) 2010-12-30 2016-10-18 Verisign, Inc. Client-side active validation for mitigating DDOS attacks
US20120174196A1 (en) 2010-12-30 2012-07-05 Suresh Bhogavilli Active validation for ddos and ssl ddos attacks
US20120246483A1 (en) * 2011-03-25 2012-09-27 Netanel Raisch Authentication System With Time Attributes
US9363327B2 (en) 2011-06-15 2016-06-07 Juniper Networks, Inc. Network integrated dynamic resource routing
US9571566B2 (en) 2011-06-15 2017-02-14 Juniper Networks, Inc. Terminating connections and selecting target source devices for resource requests
US8504723B2 (en) 2011-06-15 2013-08-06 Juniper Networks, Inc. Routing proxy for resource requests and resources
US10565666B2 (en) 2011-09-26 2020-02-18 Verisign, Inc. Protect intellectual property (IP) rights across namespaces
US10237231B2 (en) 2011-09-26 2019-03-19 Verisign, Inc. Multiple provisioning object operation
US9525551B1 (en) * 2011-09-29 2016-12-20 EMC IP Holding Company LLC Randomly skewing secret values as a countermeasure to compromise
GB2496107C (en) * 2011-10-26 2022-07-27 Cliquecloud Ltd A method and apparatus for preventing unwanted code execution
US8850575B1 (en) * 2011-12-30 2014-09-30 Emc Corporation Geolocation error tracking in transaction processing
US9203841B2 (en) 2012-04-01 2015-12-01 Authentify, Inc. Secure authentication in a multi-party system
US8612348B1 (en) * 2012-05-23 2013-12-17 Mp Platforms, Llc Systems and methods for interfacing merchants with third-party service providers
EP2750347A1 (en) * 2012-12-27 2014-07-02 Koninklijke KPN N.V. Location dependent recovery system
GB2511054B (en) 2013-02-20 2017-02-01 F Secure Corp Protecting multi-factor authentication
CN104104652B (zh) * 2013-04-03 2017-08-18 阿里巴巴集团控股有限公司 一种人机识别方法、网络服务接入方法及相应的设备
EP2871819A1 (en) 2013-11-12 2015-05-13 Verisign, Inc. Multiple provisioning object operation
US20150161611A1 (en) * 2013-12-10 2015-06-11 Sas Institute Inc. Systems and Methods for Self-Similarity Measure
CN104244516B (zh) * 2014-08-20 2017-01-18 深圳市芯飞凌半导体有限公司 高功率因数无频闪装置、led灯及方法
US10671980B2 (en) 2014-10-20 2020-06-02 Mastercard International Incorporated Systems and methods for detecting potentially compromised payment cards
US11068895B2 (en) * 2015-02-17 2021-07-20 Visa International Service Association Token and cryptogram using transaction specific information
WO2016178088A2 (en) * 2015-05-07 2016-11-10 Cyber-Ark Software Ltd. Systems and methods for detecting and reacting to malicious activity in computer networks
WO2017048534A1 (en) * 2015-09-14 2017-03-23 BIS Global, Inc. Enhanced fraud screening process for filtering of network statistics in order to detect, block, and deter fraudulent on-line activity
US9852427B2 (en) 2015-11-11 2017-12-26 Idm Global, Inc. Systems and methods for sanction screening
US9818116B2 (en) 2015-11-11 2017-11-14 Idm Global, Inc. Systems and methods for detecting relations between unknown merchants and merchants with a known connection to fraud
KR101765200B1 (ko) * 2015-11-25 2017-08-04 서일대학교산학협력단 시스템 보안관리장치 및 그 방법
US10861019B2 (en) 2016-03-18 2020-12-08 Visa International Service Association Location verification during dynamic data transactions
US9888007B2 (en) 2016-05-13 2018-02-06 Idm Global, Inc. Systems and methods to authenticate users and/or control access made by users on a computer network using identity services
US10187369B2 (en) 2016-09-30 2019-01-22 Idm Global, Inc. Systems and methods to authenticate users and/or control access made by users on a computer network based on scanning elements for inspection according to changes made in a relation graph
US10250583B2 (en) 2016-10-17 2019-04-02 Idm Global, Inc. Systems and methods to authenticate users and/or control access made by users on a computer network using a graph score
US10965668B2 (en) 2017-04-27 2021-03-30 Acuant, Inc. Systems and methods to authenticate users and/or control access made by users based on enhanced digital identity verification
US10878067B2 (en) * 2017-07-13 2020-12-29 Nec Corporation Of America Physical activity and IT alert correlation
US10721070B2 (en) 2018-03-07 2020-07-21 Private Identity Llc Systems and methods for privacy-enabled biometric processing
US11502841B2 (en) 2018-03-07 2022-11-15 Private Identity Llc Systems and methods for privacy-enabled biometric processing
US11394552B2 (en) 2018-03-07 2022-07-19 Private Identity Llc Systems and methods for privacy-enabled biometric processing
US10938852B1 (en) * 2020-08-14 2021-03-02 Private Identity Llc Systems and methods for private authentication with helper networks
US11392802B2 (en) 2018-03-07 2022-07-19 Private Identity Llc Systems and methods for privacy-enabled biometric processing
US11210375B2 (en) 2018-03-07 2021-12-28 Private Identity Llc Systems and methods for biometric processing with liveness
US11170084B2 (en) 2018-06-28 2021-11-09 Private Identity Llc Biometric authentication
US11789699B2 (en) 2018-03-07 2023-10-17 Private Identity Llc Systems and methods for private authentication with helper networks
US11138333B2 (en) 2018-03-07 2021-10-05 Private Identity Llc Systems and methods for privacy-enabled biometric processing
US11489866B2 (en) * 2018-03-07 2022-11-01 Private Identity Llc Systems and methods for private authentication with helper networks
US11265168B2 (en) 2018-03-07 2022-03-01 Private Identity Llc Systems and methods for privacy-enabled biometric processing
CN110932858B (zh) * 2018-09-19 2023-05-02 阿里巴巴集团控股有限公司 认证方法和系统
US20200242506A1 (en) * 2019-01-25 2020-07-30 Optum Services (Ireland) Limited Systems and methods for time-based abnormality identification within uniform dataset
US11218494B2 (en) * 2019-07-26 2022-01-04 Raise Marketplace, Llc Predictive fraud analysis system for data transactions
US11271933B1 (en) 2020-01-15 2022-03-08 Worldpay Limited Systems and methods for hosted authentication service
US20210397903A1 (en) * 2020-06-18 2021-12-23 Zoho Corporation Private Limited Machine learning powered user and entity behavior analysis
US20220300903A1 (en) * 2021-03-19 2022-09-22 The Toronto-Dominion Bank System and method for dynamically predicting fraud using machine learning

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5748742A (en) * 1995-11-30 1998-05-05 Amsc Subsidiary Corporation Fraud detection and user validation system for mobile earth terminal communication device
JP2001016198A (ja) * 1999-06-28 2001-01-19 Matsushita Electric Ind Co Ltd ネットワーク装置、アクセスサーバおよび認証サーバ
JP2003323407A (ja) * 2002-04-30 2003-11-14 Bank Of Tokyo-Mitsubishi Ltd サーバ間で認証情報を共有するための認証システムと、この認証システムに用いる記憶装置及び認証要求装置
EP1450321A1 (de) * 2003-02-21 2004-08-25 Swisscom Mobile AG Verfahren und System zur Aufdeckung von möglichen Betrügen in Zahlungstransaktionen
JP2004334330A (ja) * 2003-04-30 2004-11-25 Sony Corp 端末機器、提供サーバ、電子情報利用方法、電子情報提供方法、端末機器プログラム、提供サーバプログラム、仲介プログラム、及び記憶媒体
JP2005044277A (ja) * 2003-07-25 2005-02-17 Fuji Xerox Co Ltd 不正通信検出装置
US20060020812A1 (en) * 2004-04-27 2006-01-26 Shira Steinberg System and method of using human friendly representations of mathematical function results and transaction analysis to prevent fraud
US8781975B2 (en) * 2004-05-21 2014-07-15 Emc Corporation System and method of fraud reduction
US7272728B2 (en) * 2004-06-14 2007-09-18 Iovation, Inc. Network security and fraud detection system and method
US20060157553A1 (en) * 2005-01-18 2006-07-20 International Business Machines Corporation Accommodating multiple users of a secure credit card
US7849501B2 (en) * 2005-09-30 2010-12-07 At&T Intellectual Property I, L.P. Methods and systems for using data processing systems in order to authenticate parties

Also Published As

Publication number Publication date
CA2641995C (en) 2016-09-20
WO2007095242A3 (en) 2008-02-28
US20070220595A1 (en) 2007-09-20
WO2007095242A2 (en) 2007-08-23
AU2007215180A1 (en) 2007-08-23
AU2007215180B2 (en) 2011-03-17
CA2641995A1 (en) 2007-08-23
EP1987447A4 (en) 2013-01-09
JP2009526328A (ja) 2009-07-16
EP1987447A2 (en) 2008-11-05
US7861286B2 (en) 2010-12-28

Similar Documents

Publication Publication Date Title
JP5231254B2 (ja) ネットワークベースの不正および認証サービスのシステムと方法
US20240242225A1 (en) Systems and methods of global identification
US11290464B2 (en) Systems and methods for adaptive step-up authentication
US10554639B2 (en) Systems and methods for managing resetting of user online identities or accounts
Council Authentication in an internet banking environment
Jøsang et al. Trust requirements in identity management
JP5207736B2 (ja) ネットワークセキュリティ及び不正検出システム及び方法
US8781975B2 (en) System and method of fraud reduction
US20080222706A1 (en) Globally aware authentication system
Parmar et al. A comprehensive study on passwordless authentication
CN110753944A (zh) 用于基于区块链的数据管理的系统和方法
Sarjiyus et al. Improved online security framework for e-banking services in Nigeria: A real world perspective
US12101327B2 (en) Global approach for multifactor authentication incorporating user and enterprise preferences
Ibitola et al. Internet banking authentication methods in Nigeria Commercial Banks
Sheik et al. Considerations for secure mosip deployment
TWI296769B (ja)
Schaffer Ontology for authentication
Saini Comparative analysis of top 5, 2-factor authentication solutions
Dinne et al. Two Way Mobile Authentication System
Ashraf Securing cloud applications with two-factor authentication
Nadiia Evaluation of Online Banking technologies.
Malathi et al. An Efficient Framewo
Mandava et al. Two Way Mobile Authentication System
Malathi et al. An Efficien
van Oorschot et al. On identity theft and a countermeasure based on digital uniqueness and location cross-checking

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100212

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100212

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120502

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120522

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20120822

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20120829

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20121122

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130108

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130123

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130219

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130321

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20160329

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 5231254

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250