JP6426189B2 - 生体認証プロトコル標準のためのシステムおよび方法 - Google Patents

生体認証プロトコル標準のためのシステムおよび方法 Download PDF

Info

Publication number
JP6426189B2
JP6426189B2 JP2016544529A JP2016544529A JP6426189B2 JP 6426189 B2 JP6426189 B2 JP 6426189B2 JP 2016544529 A JP2016544529 A JP 2016544529A JP 2016544529 A JP2016544529 A JP 2016544529A JP 6426189 B2 JP6426189 B2 JP 6426189B2
Authority
JP
Japan
Prior art keywords
user
computing device
user computing
trusted server
secure communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016544529A
Other languages
English (en)
Other versions
JP2017508194A (ja
Inventor
ホヨス,ヘクター
ストレイト,スコット
ブラバーマン,ジェイソン
Original Assignee
ヴェリディウム アイピー リミテッド
ヴェリディウム アイピー リミテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US14/201,438 external-priority patent/US9208492B2/en
Application filed by ヴェリディウム アイピー リミテッド, ヴェリディウム アイピー リミテッド filed Critical ヴェリディウム アイピー リミテッド
Publication of JP2017508194A publication Critical patent/JP2017508194A/ja
Application granted granted Critical
Publication of JP6426189B2 publication Critical patent/JP6426189B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3821Electronic credentials
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/951Indexing; Web crawling techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • G06F21/335User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • G06F21/35User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/10Payment architectures specially adapted for electronic funds transfer [EFT] systems; specially adapted for home banking systems
    • G06Q20/108Remote banking, e.g. home banking
    • G06Q20/1085Remote banking, e.g. home banking involving automatic teller machines [ATMs]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3829Payment protocols; Details thereof insuring higher security of transaction involving key management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4014Identity check for transactions
    • G06Q20/40145Biometric identity checks
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09CCIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
    • G09C5/00Ciphering apparatus or methods not provided for in the preceding groups, e.g. involving the concealment or deformation of graphic data such as designs, written or printed messages
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2115Third party
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2117User registration

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Accounting & Taxation (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Finance (AREA)
  • Software Systems (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Databases & Information Systems (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biodiversity & Conservation Biology (AREA)
  • Development Economics (AREA)
  • Economics (AREA)
  • Data Mining & Analysis (AREA)
  • Computer And Data Communications (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Information Transfer Between Computers (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • User Interface Of Digital Computer (AREA)
  • Storage Device Security (AREA)
  • Collating Specific Patterns (AREA)

Description

本発明は、通常、バイオメトリック特徴を取得および特徴付けるためのシステムおよび方法に関し、より詳しくは、利用者の特定または識別を目的として携帯デバイスを用いて顔のバイオメトリック特徴を取得および特徴付けるシステムおよび方法に関する。
あらゆる種類の情報は、データ通信ネットワークを介してアクセス可能な記憶装置上などで、リモートでの格納およびアクセスが継続される。例えば、多くの人々および企業は、インターネットまたは他の通信ネットワークを介して財務情報、健康および医療情報、商品およびサービス情報、購買情報、娯楽情報、マルチメディア情報を格納およびアクセスする。情報へのアクセスに加えて、利用者は金銭的なやりとり(例えば、購買、送金、販売等)を行うことが可能である。よくある場面では、利用者は情報へアクセスするために登録して、その後利用者名およびパスワードを提示して「ログイン」し、情報にアクセスする。データ/通信ネットワーク上に格納されるそうした情報およびデータへ(から)の安全なアクセスは、主要な関心事として残っている。
従って、利用者コンピューティングデバイスおよびトラステッドサーバ(trusted server)間のセキュア(secure)通信を提供するシステムおよび方法を開示する。1つまたは複数の実施においては、分散クライアントソフトウェアアプリケーションを介してワンタイム証明書を提供し、利用者コンピューティングデバイスおよびトラステッドサーバ間における初期双方向セキュア通信セッション(initial two-way secured communication session)を可能とする。トラステッドサーバによって、ワンタイム証明書の受信後、利用者コンピューティングデバイスとの初期セキュア通信セッションが確立される。初期セキュア通信中、トラステッドサーバは、利用者コンピューティングデバイスの利用者と関連した識別情報を受信するものであって、上記識別情報はバイオメトリクスの機能として確認されている利用者の身元の表現を含み、かつ、利用者コンピューティングデバイスの表現をさらに含む。さらに、トラステッドサーバは、利用者と利用者コンピューティングデバイスとの組合せに対して固有である置換え証明書を生成し、利用者コンピューティングデバイスに置換え証明書を伝送する。その後は、トラステッドサーバで置換え証明書を受信するごとに、トラステッドサーバによって、利用者コンピューティングデバイスとの双方向セキュア通信セッションが確立される。
本発明の他の特徴および効果は、添付の図面を参照する以下の発明の記載で明らかとなる。
本開示のさらなる態様は、以下に示す添付の図面のそれぞれと組み合わせて、以下に記載されるその各種実施形態の詳細な記載を検討すれば、難なく認められるであろう。
図1は、本願のある実施形態における複数の装置および構成要素を示すブロック図である。 図2は、本願のある実施形態における複数の装置および構成要素を示すブロック図である。 図3は、本出願によるロール階層のインスタンスを示す。 図4は、携帯デバイスの表示画面の例である。 図5は、インタフェースの例である。 図6は、表示画面の例を示す。 図7は、表示画面の例である。 図8は、実施例を示す。 図9は、実施例を示す。
1つまたは複数の実施によれば、本明細書においては通常Biometric Open Protocol Standard(生体認証オープンプロトコル標準)(“BOPS”)と称される標準の新しい集合を提供し、ひとまとまりで、または少なくとも部分的に、利用者を認証するためのフレームワークを含む。BOPSによれば、認証は、利用者と本明細書においては通常「BOPSサーバ」と称されるコンピューティングデバイスによって割り当てられる特定の装置との間で生じる。このアプローチは、利用者およびインターネットウェブサイト間よりもより安全かつ実用的である。1つまたは複数の実施では、BOPSサーバはセキュリティ内容を割り当てて、初期(本明細書においては通常「開始(genesis)」と称する)動作において利用者の存在が検証されるものであり、以下により詳細に記載する。セッションキーを生成および使用して、各アプリケーションが、セッションキーの寿命(切れる前に撤回することが可能)までセッションを進めることが可能である。
1つまたは複数の実施では、Biometric Open Protocol Standardは身元表明、ロールの収集、マルチレベルのアクセス制御、保証および監査を提供する。動作において、BOPSはクライアントデバイス(例えば、ANDROID(登録商標)オペレーティングシステム、iOSまたは他のオペレーティングシステムが動いている)上で、トラステッドBOPSサーバ上で、または侵入検知システム(“IDS”)上で動くソフトウェアを含む。BOPSは、短期間で、現在の動作環境への組み込みを受け入れることによって、機能的にプラグ着脱可能な構成要素を現在の構成要素のものと置き換えることを可能とする。
動作としては、クライアント/デバイスアプリケーションは、初期通信のためのワンタイム双方向SSLキーをサーバにロードする。機能としては、このワンタイム双方向SSLキーは、本人確認/開始フェーズ中に提供されるサブジェクト(subject)の双方向SSLキーによって置き換えられる。
単に例示として、かつ、概略および導入のために、例えばスマートフォンなどの携帯デバイスを用いて、利用者のバイオメトリック特徴の記録および利用者のバイオメトリック特徴を表現する識別子を生成するシステムおよび方法を含む本出願の実施形態を以下に記載する。バイオメトリック識別子は、バイオメトリック識別子に従って利用者を特定する/認証する(例えば、検証する)ことを目的として生成可能である。
1つまたは複数の実施では、ラップトップ、タブレットおよび携帯デバイス(例えば、スマートフォン)などの利用者コンピューティングデバイスと通信するクラウドベースのシステムサーバプラットフォームを包含可能なシステムを提供する。利用者が、例えばセキュアなログインを要求するウェブサイトにアクセスすると、利用者の認証に関して、セキュアな要求がシステムサーバに対してなされる。システムサーバはその後利用者の携帯デバイスに問い合わせ、利用者の目、眼球周囲部および顔またはこれらの任意の組合せ(まとめてウィトルウィウス領域と称される)のうち少なくともいずれかの画像の形のバイオメトリック情報を取り込み、取り込まれたウィトルウィウスバイオメトリック情報をウィトルウィウス識別子としてエンコードする。それにより、利用者をウィトルウィウスバイオメトリック識別子に従って検証可能である。例えば携帯デバイス、システムサーバまたはそれらの組合せによって、ウィトルウィウス生体識別子を、利用者の初回の登録の際にシステムで生成されたウィトルウィウス識別子と照合することによって検証することが可能である。
本出願は、利用者および1つまたは複数の情報プロバイダにとっての有意な便益を、生体認証に基づくアクセス管理の機能として提供することがわかるであろう。消費者は、一般に、通信ネットワークを介したオンラインなどで遠隔に提供される情報へのアクセスおよび管理のために、生体認証を容認しているということを発明者は認識している。生体認証技術により、安全にフロントエンドの「サイバー空間」に入るという待望の便益を消費者へ提供可能である。
本明細書において提供されるBiometric Open Protocol Standardは、「バックエンド」における利用者のデジタル資産およびデジタルな身元を保護し、形にとらわれないバイオメトリクス標準とすることが可能であり、かつ、それとともにインタフェースの開発者のためのアプリケーションプログラミングインタフェース(「API」)を含む。例えば、本出願は、先立って存在しうる異なる手続きおよび安全性に基づく測定を支援する。従って、バイオメトリクスを用いる既存のセキュリティ認証処理を統合可能であり、それによって現在の商習慣の妨げとなることはない。
さらに、1つまたは複数の実施では、暗号化メカニズムを介した双方向のセキュアソケットレイヤ(Secure Socket Layer)(SSL)をBOPSサーバへ接続させるBOPS通信アーキテクチャを提供するものであり、侵入検知システム(IDS)を用いることが可能である。
以下は、本出願の1つまたは複数の実施形態による用語および対応する定義をアルファベット順に列挙したものである。他の用語の解説については本明細書中において説明する。
管理コンソール(Admin Console):BOPSでの登録および入会を促すポータルサイト。
アプリケーション:BOPSアプリケーションプログラミングインタフェース(API)キーを用いて作成される特有のソフトウェア/システム。
BOPS管理者(BOPS Admin):登録の際に入会情報に基づいて、環境を設定し、オリジナルサイト管理者を作成するBOPS管理者。
BOPSクラスタ(BOPS Cluster):BOPSを用いて通信する、緩くまたは固く結合したコンピュータ、デバイスの集合である。
BOPSサーバ(BOPS Server):例えばクライアント/サーバパラダイム内におけるサーバのインスタンスであり、BOPSアーキテクチャを支援する。
BOPS IDS:BOPSアーキテクチャを支援するプライベートクラスタ上の侵入検知システムのインスタンス。
クライアントデバイスIDS(Client device IDS):利用者デバイス上でローカルに動く侵入検知システムのインスタンス。
Jenaルール:推論のための機械学習ルールの体系およびシステム。
IDSクラスタ:BOPSを支援する、緩くまたは固く結合した侵入検知システムの集合。
オリジナルサイト管理者(Original Site Admin):同一組織範囲内で他の管理者を作成する特権を有するBOPS管理者によって作成される管理者。オリジナルサイト管理者は、クライアント要求に応じて彼ら固有の身元を主張可能である(以下の、開始API/クライアント要求の記載に関する項を参照のこと。)。
サイト管理者(Site Admin):オリジナルサイト管理者によって作成されるアプリケーション管理者。
トラステッド判定データ(Trusted Adjudicated Data):BOPSサーバ内のマルチレベルセキュア判定とともにBOPSに格納されるデータ。
利用者(User):唯一の利用者で、その身元が複数のデバイスを有しうるBOPSによって主張される。
利用者デバイス(User Device):生体認証主導のクライアントソフトウェアを備えた1つのデバイス。
ここで同様の構成要素は同様の参照符号で示す図面を参照すると、図1は、複数のクライアントデバイス104およびBOPSサーバ102と実施例に関連した構成要素との通信を示す簡略化したブロック図である。1つまたは複数の実施では、Biometric Open Protocol Standardは、複数のクライアントデバイス104および1つまたは複数のトラステッドサーバ間のセキュア通信を支配するルールを含む。当業者には容易に明らかであるように、本出願は、BOPSに関して動機となる価値を提供し、BOPS実施への総合的な案内を提供する。BOPSは、しばしばオレンジブック(Orange Book)と称されるトラステッドコンピュータシステム評価基準(Trusted Computer System Evaluation Criteria)のセクションB1と、中央情報長官指令(the Director of the Central Intelligence Directive)6/3の保護レベル3、4および5(PL3、PL4、PL5)とMultiple Independent Levels of Security(MILS)標準とに従う。
セキュリティ上の配慮には、適所に、かつ、セキュリティレベルを明確に規定したセキュリティポリシーを含む。BOPSの主要な機能の一つは、サーバがクライアント情報を保持するような方法ではなく、代わりに他者の中から一人のクライアントを見分ける方法によって、認可(authorization)の代わりに認証を提供することである。本明細書に示すように、BOPSに関するセキュリティ上の考慮で重要となる要素には、身元表明、ロールの収集、アクセス制御、保証および監査を含む。実施を介してBOPSを含む本出願は、継続的なリソースの保護、プレイスメントの保証、判定の健全性および他の重要な特徴を提供する。責任追跡性(accountability)が、セキュリティ保障のサービスレベルを証明する仕組みとなる。
BOPSの身元表明は、名前をもつ利用者が、彼らが何者であると主張しているかということへの保障を提供する。身元表明は、人体のバイオメトリクスに依存していることを暗に示しているが、BOPSは相互利用可能な標準で、かつ、任意の身元表明者、またはこの保障を提供する複数の表明者を統合可能である。侵入検知システム(IDS)のアプリケーションは、設定された証明書のなりすまし(spoofing)を防止するアクティブな監視および悪意のある企てをするサブジェクトまたはデバイスのブラックリスト化を提供する。
1つまたは複数の実施において、ロールの収集はデータ機密性に重点が置かれ、公知のシステムによって実施されるルールに基づくアクセスの特権がある。特定のアクセスモードを許可するかどうかを決定するために、ロールの特権はグループの分類と照合されて、サブジェクトが機密なアクセスに対して権限があるかどうかを決定することが可能である。オブジェクト構造はアクセス制御によって規定可能である。ロールの収集はシステムのレベル上で、またはクライアント/サーバ呼出しを通して発生する。BOPSサーバは、固有の利用者を固有のデバイスと結びつけるようにロールの収集情報を格納する。
アクセス制御に関して、BOPSは、名前をもつ利用者および名前をもつオブジェクト(例えば、ファイルおよびプログラム)間のアクセス制御を支援する。ロールに基づく判定メカニズムには、利用者および管理者が含まれ、利用者および管理者に対して、名前をもつ個人による、規定された個人グループによる、またはその両方によるオブジェクトの共有を指定および制御することを許可する。また、任意のアクセス制御メカニズムを提供し、オブジェクトを無許可のアクセスから保護することを確実にする。さらに、任意のアクセス制御が、1つのオブジェクトまたはグループのオブジェクトに渡って、グループまたは個人レベルでの保護を提供する。個人からグループの範囲に及ぶ粒度である。
1つまたは複数の実施において、BOPSは、その制御の下で、すべてのサブジェクトおよび記憶オブジェクト(例えば、処理、ファイル、セグメント、デバイス)に対する強制的アクセス制御ポリシーを実行可能である。これらのサブジェクトおよびオブジェクトは、階層分類ラベルと非階層カテゴリとを組合せ可能な機密ラベルを割り当て可能であり、強制的アクセス制御の決定の根拠として、上記ラベルを判定において使用可能である。
1つまたは複数の実施においては、BOPSによって制御されるサブジェクトおよびオブジェクト間のすべてのアクセスに関して、以下の要求が保持された。サブジェクトは、サブジェクトのセキュリティレベルにおける階層分類がオブジェクトのセキュリティレベルの階層分類以上で、かつ、サブジェクトのセキュリティレベルにおける非階層カテゴリは、オブジェクトのセキュリティレベルのすべての非階層カテゴリを包含する場合にのみオブジェクトを読み取り可能である。サブジェクトは、サブジェクトのセキュリティレベルにおける階層分類がオブジェクトのセキュリティレベルの階層分類以下で、かつ、サブジェクトのセキュリティレベルにおけるすべての非階層カテゴリがオブジェクトのセキュリティレベルにおける非階層カテゴリに包含される場合にのみオブジェクトに書き込み可能である。
ID(identification)および認証データはBOPSによって用いられて、利用者の身元を認証し、個人利用者に代わって動くように作成されうるBOPSの外部にあるサブジェクトのセキュリティレベルおよび認可がその利用者のクリアランス(clearance)および認可によって左右されるものであることを確実にするようにする。
本出願は、通常本明細書において保証と称される、監査および検閲を提供する。BOPSは、サブジェクト/オブジェクトレベルで、またはグループレベルでの監査要求を支援することが可能である。BOPSは、アスペクト指向プログラミング(AOP)を用いてすべての呼出しを監査証跡に安全に書き込むことを確実にする。また、RESTFulウェブサービスおよびJSONインタフェースは、監査証跡を読み取る仕組みを提供することが可能である。監査は、アクションごとのサブジェクト、アクションごとのオブジェクトまたはアクションごとのグループで生じうる。例えば、「会計」と呼ばれる利用者グループは、総勘定元帳へのすべての書き込みを監査しうるものであり、または最高財務責任者は損益計算書の読み取りに関して監査しうる。さらにまた、1つまたは複数の実施では、BOPSのすべての境界条件に対してJUnitテストが提供される。一連のテストは、システムのすべての境界成分および条件をテストすることを含む。
本明細書に記載するように、BOPSはAPIを用いることによって、システムに対して必要なセキュリティに適合することを許可する。BOPSは、基礎のシステムが関係データベース管理システム(Relational Database Management System)(RDBMS)か、サーチエンジンか、他のシステムかどうかを理解する必要がない。BOPSは“point and cut”メカニズムを機能的に提供し、適切なセキュリティを開発中のシステムに対して、ならびに製作システムに対して追加する。アーキテクチャは、REST、JSONおよびセキュアソケットレイヤに対して通信インタフェースを提供することを許可するニュートラル言語である。さらに、1つまたは複数の実施では、アーキテクチャは、サーブレット仕様、オープンセキュアソケットレイヤ、Java(登録商標)、JSON、RESTおよびApache Solrで構築される。Cassandraなどの他の持続的エンジン(persistence engine)を支援可能である。有意な相互運用性を許可するオープン標準に対して、ツールを追加することが可能である。
1つまたは複数の実施では、BOPSは、アクセス制御を通した使用に適しており、または、既存のフレームワークの身元表明に追加される。BOPSは、製作環境およびほとんどのケースにおいて最小限のアクションを実行することによるトラステッド処理を可能にし、いかなるアプリケーションソフトウェアの変更も必要としない。
また、1つまたは複数の実施において、一方向セキュアソケットレイヤ(SSL)のトップに構築される双方向SSLを提供し、クライアントにおいて通信の開始をもたらす。初期または「開始」の通信は、クライアントの身元の出所を確立し、セッション志向の身元表明と関連して、続く通信にクライアントが用いるBOPS対応双方向証明書を渡す。1つまたは複数の実施において、クライアントアプリケーションは、予めロードした、続く本人確認開始を許可する双方向SSLキーを有する。
動作においては、BOPS対応サーバは、双方向SSLの身元とともに一方向SSL通信を受信する。通信は、一方向SSLおよび双方向SSLの両方で行われる。サーバは、データ格納部を用いて信用ある身元を得て、身元の代わりに処理に関するロールを収集する。監査では、トラステッドなアクセスの継続的な検証および確認のための適切なアーティファクト(artifact)を請け負う。保証は、マルチレベルのアクセス制御メカニズムの簡略化および文書化を通して生じる。登録処理(登録に関しては、以下を参照のこと)後、BOPSは、利用者、グループおよびロールの動的修正を許可するものである利用可能な管理コンソールを必要とする。
1つまたは複数の実施では、BOPSは、任意の形による力ずくの攻撃またはサービス妨害(分散DOSまたは単一のDOS)攻撃を防止するアクティブな侵入検知システムで実施される。該標準は、BOPSサーバを出し抜こうとする双方向SSL証明書の偽装、セッションの再生、偽のパケットおよび種々の他の試みを作り上げようとすることを特定および追跡するカスタムルールを含む。
図2は、本明細書に示し、記載され、通常システム200として称される、システムおよび方法を提供する構成要素の例を示すブロック図である。図2に示すように、利用者デバイス104は、ファイアウォール202の外側に位置し、BOPSアプリケーションクライアントソフトウェアを介してBOPSサーバ102と通信する。また図2において、BOPSクラスタ204およびBOPS IDS206が含まれる。図2に示す実施はBOPSサーバ102およびBOPS IDS206から分離されるBOPSクラスタ204を示すが、当業者は、特定の実施に応じて、クラスタ204がBOPSサーバ102および/またはBOPS IDS206を含むことが可能であることを認識するであろう。本明細書に記載するように、一方向SSLのトップに構築される双方向セキュアソケットレイヤ(SSL)が提供され、クライアントにおける通信の開始を提供可能である。
以下に、本特許出願の実施例を記載する。登録処理は、組織内でのBOPSの採択を開始する。BOPS管理者が環境を設定する前に、例えばインターネットウェブサイトからAPIキーを受信するように組織を登録する。個人の開発者は、同様にAPIキーを適用しうる。登録完了の際に、BOPS管理者オリジナルサイトの管理者は、追加のサイト管理者を作成しうる。将来的に、登録情報は、組織のAPIキーと関連することとなる。API登録は2つのドメインである、登録されたオリジナルサイト管理者および登録情報、組織およびユースケースに基づく発行されたAPIキーに関連することが可能である。登録処理は、アプリケーションの開始が同意されたときに完了する。その後、BOPS管理者は、組織に関してオリジナルサイト管理者を作成し、オリジナルサイト管理者はサイト管理者を作成しうる(図3を参照のこと)。登録後のステップを以下に記載する。図3は、本出願によるロール階層のインスタンスを示す。
実施例では、BOPSサービスを利用する開発処理の前に、開発者は、「BOPS管理コンソール」に登録する。アプリケーション名を提供し、かつ、例えば開発者の特定にAxiomを用いることによって、BOPSは新しいアカウントを確立し、かつ、アプリケーション名で特定されてアプリケーションと関連可能であるAPIキーを作成する。確立されたAPIキーは、BOPSサーバに対するすべてのAPI呼出しに含まれることが可能である。BOPSサーバはAPIキーを確認する。キーが期限切れもしくは無効であれば、BOPSサーバは直ちにサービス要求を拒否する。
本明細書に記載するように、1つまたは複数の実施において、アプリケーションおよびBOPSサーバ間の通信は、双方向SSLのトップで確立される。開始のメカニズムが、接続の確立を提供する。サーバが、プライベートキーを生成して利用者デバイス104のアプリケーションおよびBOPSサーバ102間の双方向SSL通信をセットアップ可能であるように、開始において、BOPSサーバに対して利用者自身を特定する方法を指定する。Axiomは、BOPSが利用者を特定するために使用可能な仕組みのひとつである。また、アプリケーションに、エンドユーザのデバイスを特定するための固有のIDを提供する責任をもたせることが可能である。アプリケーションは、API関連デバイスを用いて、利用者および利用者のデバイス間のつながりについてBOPSサーバに通知可能である。
以下の例は、クライアントおよびサーバ間の通信を明らかにしている。BOPSサーバへの呼出しは、APIの呼出しを有することが可能であるが、実際にAPIキーを作成するCreateApplication(アプリケーション作成)は明らかな例外で除外される。クライアントデバイスからセキュアサーバへ、要求を開始することができる。初期呼出しで、双方向SSL証明書を受信し、利用者を作成する。利用者はクラスタ化された持続的環境において作成される。プレイバックを防ぐ合計は、SHA1を用いて一方向に暗号化されているとして仮定する。SHA1を任意の好適なアルゴリズムと切り換えても、アルゴリズムを変更することはない。この文書での寿命(duration)は、SHA1を仮定している。
初期呼出しのフォーマット例は、
https://xyz.domain.com:8443/{BOPS_Instance_Server}/?val1=<n1>&val2=<n2>&siteId=<client>&username=<username>&password=<password>&newPassword=<newpassword>
となりうる。
val1=<n1>に関して、n1は、ISO−8601フォーマットでの現時刻に加算された、または現時刻から減算された−59および59の間の整数のSHA1合計である。val2=<n2>に関して、n2は、−59および59の間の整数のSHA1合計で、かつ、n1の平文値よりも大きいものである。利用者名およびパスワードに関する値は、クライアントに依存し、現在の身元表明者へ到達するために用いられる。同様の仕組みが、身元表明およびロールの収集の様々な仕組みと協働するSAML、LDAP、ActiveDirectory(アクティブディレクトリ)のために存在する。
以下に、開始要求(Genesis Request)の結果を示す。
利用者scottはEメールscott@sample.comを有する。平文での第1の再生値は5であり、第2の再生値は40である。sessionTimeout(セッションタイムアウト)は、sessionId(セッションID)、siteId(サイトID)の組合せにて存在する。business customerのウェブサイト管理者に関しては、1時間のセッションタイムアウトが存在する。
より詳細には、現時刻を2013−12−22T17:46:03.647Zとして、以下に例を示している。計算は5分のインターバル(interval)で遡ってなされ、2013−12−22T17:45:00.007Zでは、SHA1合計であるfa8e14cf7f80f885084ee0e3cb256182bb6a4e40を得る。
例:
https://xyz.domain.com:8443/{BOPS_Instance_Server}/genesisval1=fa8e14cf7f80f885084ee0e3cb256182bb6a4e40&val2=fa8e14cf7f80f885084ee0e3cb256182bb6a4e40&newPassword=gasol
val1と関連した値は、fa8e14cf7f80f885084ee0e3cb256182bb6a4e40がオフセット5となり、val2に関してはfa8e14cf7f80f885084ee0e3cb256182bb6a4e40がオフセット40で生じる。newPassword(新しいパスワード)が、双方向SSLキーに対するパスワードとなり、BOPSサーバに格納されないことが好ましいものである。
この動作を実行するために、BOPSサーバは−59および59の間のすべての整数についてのSHA1合計を有し、該合計を解読しなければならない。
以下に、続くAPI呼出しを表す。例えば、グリニッジ平均時午後2:18に、利用者scottがクライアントデバイス(ANDROID(登録商標)フォン)を用いてセッションを作成する。呼出しは、以下のパラメータ:

val1=<現時刻の直近5分のインターバルで遡ったSHA1合計>&val2=<現時刻の直近20分のインターバルで遡ったSHA1合計>&command=<fopenなどの低レベル動作システムのSHA1合計>&version=<コマンドのバージョン>&val3=<コマンドファイルのSHA1合計>

ならびに、セッションに関するdeviceID(デバイスID)を含む。
以前のセッションの再生またはキーカーネル(key kernel)オブジェクトファイルの置換えを防ぐために、BOPSサーバは、バージョンごとに基づいてコマンド(command)名およびファイルに関するSHA1合計を含む。BOPS侵入検知システムとともにBOPSプロトコルを用いることにより、再生攻撃を防止する。IDSは脅威および攻撃としてブラックリスト化したオブジェクトのリストを、さらなる攻撃認識レベルで更新する。
以下の議論は、本出願の1つまたは複数の実施に関連するAPIの概要に関する。1つまたは複数の実施において、API名は、RESTful JavaScript Object Notation(JSON)フォーマットであるとする。
身元表明のAPIに関して、個人開発者は、BOPSを用いることとなる彼らのアプリケーションに関するAPI_Key(APIキー)を申請可能である。個人開発者が一旦自身のAPI_Keyを持つと、彼らのアプリケーションによってなされるAPI呼出しは、パラメータのひとつとしてこのAPI_Keyを挿入可能である。LDAPは、そのAPIレベルでAPI_Keyを検証可能である。さらにまた、アプリケーションIDで、開発チームによる使用のためのアプリケーションを作成する。
ここで、実施例に基づいて、アプリケーション作成処理の例についての議論を提供する。同意されてアプリケーションが開始されると、BOPS総管理者が、orirginalSiteAdmin(オリジナルサイト管理者)という特別なロール(role)を持つ利用者を作成する。オリジナルサイト管理者が一旦成立すると、オリジナルサイト管理者ロールである人員の最初のアクションは、彼/彼女のバイオメトリクスと身元とを関連付けることである。その後、アクションは開始し、APIを具備する。さらに、オリジナルサイト管理者ロールは、siteAdmin(サイト管理者)ロールとなる利用者を作成可能である。サイト管理者ロールは、追加の管理業務のために用いられる。
開始API(Genesis API)の例に関して、開始サービスは、ある利用者のための初期セットアップとなる。あらかじめ格納されている初期の身元で動作可能、または初期の身元に関する外部の公理(axiom)サービスを使用可能である。
1つまたは複数の実施例において、クライアントデバイスに対していくつかのルールが規定されて、身元を保証する。これらのルールは、1)クライアント認証デバイスは追加の装置を必要としない、2)検出漏れは、予め決められたパーセンテージ以下(例えば、<1%)でなければならず、誤検出は、予め決められたパーセンテージ以下(例えば、<0.5%)でなければならないというものを含むことが可能である。他のルールは、4)利用者が、予め決められた連続数(X)以上の失敗をすると、クライアントソフトウェアはそれ自体をブラックリストに載せる、ということを含むことが可能である。さらに、クライアントは、トライアルアンドエラーのパターンを観察し、それ自体をブラックリストに載せることが可能であるクライアントの侵入検知システムを有することが可能である。BOPSで使用するために設計されたアプリケーションは、何らかの形で侵入検出を含むことが可能で、それによってソフトウェアはなりすましの試行を検出し、例えばX回の試行として決めて、その後クライアントアプリケーションを、X時間またはデバイスが安全で有効であることが適切に保証されるまでは無期限で動作を停止させて、バックエンドシステムへのアクセスを制限することが可能である。さらに、ルールには、5)活性(liveness)を含むことが可能である、それはBOPSに従うことを目的とするアプリケーションが、登録または認証された利用者が画像または利用者の他の表現ではなく実物の人間であることを確実にする活性の検出または能力を何らかの形で有しているということである。顔認証システムは、まばたきを検出するほどシンプルなものとすることが可能であり、ポイントは、システムに対する偽のアクセスを防ぐためになりすまし対策が何らかの形で存在していることである。1つまたは複数の実施では、企業組織が特定の実施のための最も好適なユースケースを決定する。
1つまたは複数の実施では、ロールの収集は、例えば、アクティブディレクトリ、LDAPまたは関係データベースビッグデータサーバなどの権威あるロールソースから検索されるか、またはBOPSサーバ上での追加のAPI呼出しを介して行ってロールリストを発見する。ロールは、BOPSサーバ内で収集および格納可能である。
ロールAPI
本出願の1つまたは複数の実施形態に関連する、動画像コードセッションの構築について以下に記載する。例えば、動画像のウェブページにセッションIDを返す。サブAPI呼出しは、動画像のセッションIDを有するMIMEエンコード化画像を返す。その他のものは、JSONテキストフォーマットで画像のURLおよびセッションIDを返す。すべてのロール(ラベル)のセッション構築は、最終的に、利用者と関連させることが可能である。
1つまたは複数の実施例では動画像コードセッション構築を継続し、入力デバイスは動画像をスキャンしてスキャンされたセッションIDをBOPSで確認し、それが利用者、デバイスおよびセッションの3者の連携のきっかけとなる。BOPSクライアントソフトウェアは、生体認証を確認する。生体認証のステータスは、BOPSサーバに送信される。1つまたは複数の実施では、バイオメトリックデータ自体は、プライバシー保護を満たすため、BOPSサーバに送信されない。その後、デバイスでバイオメトリックをスキャンし、セッションIDが作成される。1つまたは複数の実施では、セッションステータスのセッションIDが、sessionNotReady(セッション動作不能)、validationInProgress(進捗確認)、userAuthenticated(認証された利用者)、userRejected(拒否された利用者)、sessionTerminated(終了したセッション)、sessionExpired(セッション延長)、sessionLogoff(セッションログオフ)およびuserLogoff(利用者ログオフ)を返す。セッション終了では、ログオフ通知をもたらす。一旦受信されると、SessionID(セッションID)内のsessionLogoff(セッションログオフ)によって規定されるように、セッションは今後のアクティビティを閉じることが可能である。セッションID作成の失敗は、その後適切なアクションを取りセッションID作成を終了することが可能であるIDSによって支配されることが可能であり、このことは、IPアドレスをブロックすること、ドメインをブラックリストに載せること、利用者をブラックリストに載せること、または他の手段でありうる。ブラックリストに載せることは、複合機械学習ルールに基づくシステムへのアクセス制限の階層を有する。
次にアクセス制御APIの例としては、セッションIDが与えられると、データラベルおよびアクセスが許可される。1つまたは複数の実施においては、JSONフォーマット(JSONObject(JSONオブジェクト)のJSONArray(JSONアレイ))におけるデータの集合は、securityLabel(セキュリティラベル)フィールドである。セキュリティラベルフィールドは、セッションを通して利用者と関連したロールに対して一致する。データ(JSONオブジェクト)が、ロールのサブセットであれば、その後データが返される。そうでなければ、JSONオブジェクトの一部のデータは返されない。APIは呼出しを拒否するので、返されたデータは制限されたものとなる。API呼出しの再指示においては、getJSON(JSON取得)呼出しが阻止される。
以下に、セッション構築時間において、階層をフラット化した各利用者にアクセス制御アルゴリズムを適用可能である場合の実施例について記載する。従って、マネージャである利用者は、マネージャのラベルがマネージャおよび利用者の両方であることを含意する。すなわち、

Bobがマネージャであれば、Bobのラベルはマネージャ(Manager)および利用者(User)である。
データの一部がマネージャであれば、階層はフラット化されていない。
判定については、データが利用者ロール(グループ)のサブセットであれば、判定は利用者にそれを閲覧することを許可する。すなわち、

データを読み取ってはならず(no read up)、“Bell−LaPadula”モデルに書き込んではならない(no write)。
任意の時点で、利用者は非階層であるセキュリティレベルで作業をする。フラット化したラベルの数に関わらず、書き込みに関する場合には、利用者は1回に1つのラベルで作業をする。例えば、Bobがマネージャとして作業していれば、彼はマネージャとしてのデータの書き込みだけをしてよい。彼が利用者として作業していれば、その場合彼は利用者としてのデータの書き込みだけをしてよい。このことで、セキュリティポリシーの「書き込み」による違反を防ぐ。
次に監査に関する1つまたは複数の実施としては、身元表明、セッション作成および判定と関連したステップは監査能力を有する。上記能力は、任意のデータ集合上での任意のアクション(読み取り/書き込み)に際して利用者、利用者グループまたはロールのいずれかに対して設定されうる。監査は、RESTfulで格納および収集されて、その後BOPSサーバ内に格納することが可能である。
監査要求のためのAPI
監査ログ読み取りのためのAPI
次に実施例における管理者としては、利用者とグループおよびグループとロールおよび属性とグループのマッピングが、API呼出しによって提供される。すべての呼出しは双方向SSL通信層を必要とし、管理者ロールによって行われるべきである。
例:
UPDATE_URI=https://xyz.domain.com:8443/{BOPS_Instance_Name}/JSONUpdate
利用者の追加または更新
グループの追加または更新
ロールの追加
また、リポーティングがサポートされており、管理者レベルのリポートが監査APIにおいて利用可能である。
以下は、本出願の1つまたは複数の実施における用語の用語集の例である。
用語集
以下は、一実施例の説明である。アプリケーションを開始するために、利用者はモバイルアプリケーション上で彼自身/彼女自身の顔を証明し、即座に検証される。図4は、利用者を認証に進むように促す携帯デバイスの表示画面の例を示している。利用者はまた、モバイルアプリケーションが通知を送付するメールアドレスを指定することを要求されることが可能である。この方法で、身元の所有者は、利用者がセキュアな認証を行うことを希望している携帯デバイスと1つまたは複数のデスクトップマシンとを同期するミドルウェアアプリケーションをダウンロードするためのリンクを受信することとなる。標準WindowsまたはOSXインストーラを介してインストール可能であるこのミドルウェアは、デスクトップ上のアプリケーションを介して利用者ログインの設定嗜好(preference)を管理することを許可する。
図5は、利用者を検証するためのインタフェースの例を示している。図6は、ユーザのウェブ体験(ウェブエクスペリエンス)をカスタマイズし、向上する第三者の開発者による拡張の設定を含む表示画面の例を示している。
クライアントアプリケーションが一旦開始されると、利用者は彼/彼女の身元を検証することによってコンピュータ上で銀行口座(または他のウェブサイト)にアクセス可能である。いくつかの簡単なステップで行うことが可能である。図7を参照すると、利用者は画面上に現れるQRコード(登録商標)を携帯電話でスキャンするように促される。利用者がQRコード(登録商標)をスキャンすると(例えば、図8に示すように)、その後一度、コンテンツへのアクセスが検証されて認められる(図9)。利用者の身元を検証することができなければ、ウェブサイトへのアクセスは拒否されることとなる。身元が一旦確認されると、利用者のアカウントはブラウザ上で開かれることとなる。
このように、本明細書に示して記載したシステムおよび方法によれば、本出願は、通信ネットワークを介して、新しく、かつ、提供されたデジタル資産と関連付けられた検証可能な認証、アクセス制御、ロールの収集、保証および監査を提供する。以下の開始の処理および利用者のデバイスと利用者のバイオメトリクスとの結びつけは、セキュアなアクセスおよび続くアクティビティのために認証局によって署名された双方向SSLキーを使用することが可能である。
本出願は、開始の処理の前に行われておくものでありうるセキュリティの提供のためであるとともに、生体認証と関連することを含むフレキシブルな実施を提供する。このことは、デジタル資産へのアクセスに関連する組織の既存のビジネス方法論を妨げることなくより高い安全性をもたらす。1つまたは複数の実施では、本出願は、既存のビジネスモデルを妨げることなく身元表明を付加する。
さらに、本出願は、双方向SSLの固有の識別子をハッカーに「再生される」場合などに、なりすましを防ぐことによって、より多くの安全性をもたらす。高度に洗練されており、例えば「fopen」コマンドを新しいものと置き換えるためにスマートフォンを探索し、突破可能なハンドシェイクを盗聴し、突破可能なハンドシェイクを返してシステムを欺くことを試みるハッカーが、トラステッドサーバ102へのアクセスを得ることは不可能であるだろう。
従って、本出願は、利用者を認証し、それによって1つまたは複数のデジタル資産へのアクセスを可能とするフレームワークをまとめて含む標準を提供することによって、公知のセキュリティ方法に対して有意な向上を提供する。
上記した主題は、例示としてのみ提供しており、限定するものと解釈されるべきではない。本明細書に記載した主題に対して、例示および記載した実施例および応用例に従うことなく、かつ、本発明の真意および以下の特許請求の範囲のそれぞれおよびいずれかにおいて記載する本発明の範囲から逸脱することなく、様々な変形および変更をなすことが可能である。

Claims (20)

  1. 利用者コンピューティングデバイスおよびトラステッドサーバ間のセキュア通信を提供する方法であって、前記方法は、
    分散クライアントソフトウェアアプリケーションを介して、前記利用者コンピューティングデバイスおよび前記トラステッドサーバ間における初期双方向セキュア通信セッションを可能にするワンタイム証明書を提供することと、
    前記トラステッドサーバによって、前記ワンタイム証明書の受信後、前記利用者コンピューティングデバイスとの初期セキュア通信セッションを確立することと、
    該初期セキュア通信中に、前記トラステッドサーバによって、前記利用者コンピューティングデバイスの前記利用者と関連した識別情報であって、バイオメトリクスの機能として確認されている前記利用者の身元の表現を含み、かつ、前記利用者コンピューティングデバイスの表現をさらに含む前記識別情報を受信することと、
    前記トラステッドサーバによって、前記利用者と前記利用者コンピューティングデバイスとの組合せに対して固有である置換え証明書を生成することと、
    前記トラステッドサーバによって、前記利用者コンピューティングデバイスに前記置換え証明書を伝送することと、
    前記トラステッドサーバで前記置換え証明書を受信するごとに、前記トラステッドサーバによって、前記利用者コンピューティングデバイスとの双方向セキュア通信セッションを確立することとを含む、方法。
  2. 前記トラステッドサーバによって、アクティブな監視を提供して、前記置換え証明書のなりすましを防止する侵入検知システムを用いることをさらに含む、請求項1記載の方法。
  3. 防止されている前記なりすましは、前記置換え証明書を再生することを含む、請求項2記載の方法。
  4. 前記トラステッドサーバによって前記置換え証明書を受信するごとに、前記利用者コンピューティングデバイスとの前記初期双方向セキュア通信セッションおよび前記双方向セキュア通信セッションは、一方向のセキュアな接続としてさらに確立される、請求項1記載の方法。
  5. 前記初期双方向セキュア通信セッションおよび前記双方向セキュア通信セッションは、双方向のセキュアソケットレイヤ接続を介して、かつ、一方向のセキュアソケットレイヤ接続を介して確保されている、請求項1記載の方法。
  6. 前記トラステッドサーバによって、前記利用者コンピューティングデバイス以外のコンピューティングデバイスから、前記利用者を表現する利用者識別子を受信することと、
    前記置換え証明書の中に前記利用者識別子を有することとをさらに含む、請求項1記載の方法。
  7. 前記トラステッドサーバによって、デジタル資産へのアクセスのための1つまたは複数のルールによって規定されるロールの収集を提供することと、
    前記トラステッドサーバによって、前記ロールの収集の機能として前記利用者コンピューティングデバイスによるデジタル資産へのアクセスを提供することまたは拒否することとをさらに含む、請求項1記載の方法。
  8. 前記トラステッドサーバによって、前記利用者コンピューティングデバイスによって1つまたは複数のデジタル資産へのアクセスを監査することを提供することをさらに含む、請求項1記載の方法。
  9. 前記利用者コンピューティングデバイスの前記表現にデバイスの識別子を含む、請求項1記載の方法。
  10. 前記トラステッドサーバによって、前記利用者コンピューティングデバイスに問い合わせて、前記利用者のバイオメトリック情報を取り込み、前記置換え証明書とともに検証されている前記利用者の身元を表現する情報をエンコードすることをさらに含む、請求項1記載の方法。
  11. 利用者コンピューティングデバイスおよびトラステッドサーバ間のセキュア通信を提供するシステムであって、前記システムは、
    1つまたは複数の非一時的なプロセッサ読み取り可能な媒体に動作可能に結合された少なくとも1つのプロセッサを含み、
    該1つまたは複数のプロセッサ読み取り可能な媒体は前記少なくとも1つのプロセッサに対して、
    分散クライアントソフトウェアアプリケーションを介して、前記利用者コンピューティングデバイスおよび前記トラステッドサーバ間の初期双方向セキュア通信セッションを可能にするワンタイム証明書を提供し、
    前記ワンタイム証明書を受信後、前記利用者コンピューティングデバイスと初期セキュア通信セッションを確立し、
    該初期セキュア通信中に、前記利用者コンピューティングデバイスの前記利用者と関連した識別情報であって、バイオメトリクスの機能として確認されている前記利用者の身元の表現を含み、かつ、前記利用者コンピューティングデバイスの表現をさらに含む前記識別情報を受信し、
    前記利用者と前記利用者コンピューティングデバイスとの組合せに対して固有の置換え証明書を生成し、
    前記利用者コンピューティングデバイスに前記置換え証明書を伝送し、
    前記トラステッドサーバによって前記置換え証明書を受信するごとに、前記利用者コンピューティングデバイスとの双方向セキュア通信セッションを確立することを可能にする指示を含む、システム。
  12. 前記1つまたは複数の非一時的なプロセッサ読み取り可能な媒体は、前記少なくとも1つのプロセッサに、アクティブな監視を提供し、前記置換え証明書のなりすましを防ぐ侵入検知システムを用いることを可能にする指示をさらに含む、請求項11記載のシステム。
  13. 防止されている前記なりすましは、前記置換え証明書を再生することを含む、請求項12記載のシステム。
  14. 前記1つまたは複数の非一時的なプロセッサ読み取り可能な媒体は、前記少なくとも1つのプロセッサに、前記置換え証明書を受信するごとに一方向のセキュアな接続を確立することを可能にする指示をさらに含む、請求項11記載のシステム。
  15. 前記初期双方向セキュア通信セッションおよび前記双方向セキュア通信セッションは、双方向のセキュアソケットレイヤ接続を介して、かつ、一方向のセキュアソケットレイヤ接続を介して、確保されている、請求項11記載のシステム。
  16. 該1つまたは複数のプロセッサ読み取り可能な媒体は前記少なくとも1つのプロセッサに対して、
    前記利用者コンピューティングデバイス以外のコンピューティングデバイスから、前記利用者を表現する利用者識別子を受信し、
    前記置換え証明書の中に前記利用者識別子を含むことを可能にする指示をさらに含む、請求項11記載のシステム。
  17. 該1つまたは複数の非一時的なプロセッサ読み取り可能な媒体は前記少なくとも1つのプロセッサに対して、
    デジタル資産へのアクセスのための1つまたは複数のルールによって規定されるロールの収集を提供し、
    前記ロールの収集の機能として前記利用者コンピューティングデバイスによる前記デジタル資産へのアクセスを提供または拒否することを可能にする指示をさらに含む、請求項11記載のシステム。
  18. 前記1つまたは複数の非一時的なプロセッサ読み取り可能な媒体は、前記少なくとも1つのプロセッサに、前記利用者コンピューティングデバイスによる1つまたは複数のデジタル資産へのアクセスの監査をさらに提供することを可能にする指示をさらに含む、請求項11記載のシステム。
  19. 前記利用者コンピューティングデバイスの前記表現にデバイスの識別子を含む、請求項11記載のシステム。
  20. 前記1つまたは複数の非一時的なプロセッサ読み取り可能な媒体は、前記少なくとも1つのプロセッサに、前記利用者コンピューティングデバイスに問い合わせて、前記利用者のバイオメトリック情報の取り込み、前記置換え証明書とともに検証されている前記利用者の身元を表現する情報をエンコードすることを可能にする指示をさらに含む、請求項11記載のシステム。
JP2016544529A 2013-12-31 2014-12-31 生体認証プロトコル標準のためのシステムおよび方法 Active JP6426189B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201361922438P 2013-12-31 2013-12-31
US61/922,438 2013-12-31
US14/201,438 2014-03-07
US14/201,438 US9208492B2 (en) 2013-05-13 2014-03-07 Systems and methods for biometric authentication of transactions
PCT/US2014/072985 WO2015147945A2 (en) 2013-12-31 2014-12-31 System and method for biometric protocol standards

Publications (2)

Publication Number Publication Date
JP2017508194A JP2017508194A (ja) 2017-03-23
JP6426189B2 true JP6426189B2 (ja) 2018-11-21

Family

ID=53483232

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016544529A Active JP6426189B2 (ja) 2013-12-31 2014-12-31 生体認証プロトコル標準のためのシステムおよび方法

Country Status (12)

Country Link
US (3) US9380052B2 (ja)
EP (1) EP3090525B1 (ja)
JP (1) JP6426189B2 (ja)
KR (1) KR102217916B1 (ja)
CN (1) CN106063219B (ja)
AU (2) AU2014388268B2 (ja)
BR (1) BR112016015458B1 (ja)
CA (1) CA2935688C (ja)
ES (1) ES2881877T3 (ja)
PL (1) PL3090525T3 (ja)
WO (1) WO2015147945A2 (ja)
ZA (1) ZA201605228B (ja)

Families Citing this family (62)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100114768A1 (en) 2008-10-31 2010-05-06 Wachovia Corporation Payment vehicle with on and off function
US10867298B1 (en) 2008-10-31 2020-12-15 Wells Fargo Bank, N.A. Payment vehicle with on and off function
US9947004B2 (en) 2012-06-28 2018-04-17 Green Dot Corporation Wireless client transaction systems and related methods
US20140019322A1 (en) 2012-07-13 2014-01-16 Green Dot Corporation Mobile banking systems and related methods
US9838388B2 (en) 2014-08-26 2017-12-05 Veridium Ip Limited System and method for biometric protocol standards
EP2998896A1 (fr) * 2014-09-17 2016-03-23 Gemalto Sa Procédé d'authentification d'un utilisateur, terminaux et système d'authentification correspondants
US11429975B1 (en) 2015-03-27 2022-08-30 Wells Fargo Bank, N.A. Token management system
JP5944551B1 (ja) * 2015-04-03 2016-07-05 株式会社三菱東京Ufj銀行 サーバ
US11170364B1 (en) 2015-07-31 2021-11-09 Wells Fargo Bank, N.A. Connected payment card systems and methods
US10430788B2 (en) 2015-08-06 2019-10-01 Green Dot Corporation Systems and methods for fund transfers
ES2881824T3 (es) * 2015-08-21 2021-11-30 Veridium Ip Ltd Sistema y método para estándares de protocolos biométricos
US11329980B2 (en) 2015-08-21 2022-05-10 Veridium Ip Limited System and method for biometric protocol standards
US10438209B2 (en) 2016-02-10 2019-10-08 Bank Of America Corporation System for secure routing of data to various networks from a process data network
US10200369B1 (en) * 2016-02-16 2019-02-05 Symantec Corporation Systems and methods for dynamically validating remote requests within enterprise networks
US10178105B2 (en) * 2016-02-22 2019-01-08 Bank Of America Corporation System for providing levels of security access to a process data network
WO2017176429A1 (en) 2016-04-05 2017-10-12 Wellaware Holdings, Inc. Monitoring and controlling industrial equipment
MX2018012186A (es) 2016-04-05 2019-02-07 Wellaware Holdings Inc Dispositivo para monitorear y controlar equipo industrial.
WO2017176428A1 (en) 2016-04-05 2017-10-12 Wellaware Holdings, Inc. Monitoring and controlling industrial equipment
US11170358B2 (en) * 2016-04-29 2021-11-09 International Business Machines Corporation System, method, and recording medium for identity fraud prevention in secure transactions using multi-factor verification
US11886611B1 (en) 2016-07-01 2024-01-30 Wells Fargo Bank, N.A. Control tower for virtual rewards currency
US10992679B1 (en) * 2016-07-01 2021-04-27 Wells Fargo Bank, N.A. Access control tower
US11935020B1 (en) 2016-07-01 2024-03-19 Wells Fargo Bank, N.A. Control tower for prospective transactions
US11386223B1 (en) 2016-07-01 2022-07-12 Wells Fargo Bank, N.A. Access control tower
US11615402B1 (en) * 2016-07-01 2023-03-28 Wells Fargo Bank, N.A. Access control tower
US10289822B2 (en) * 2016-07-22 2019-05-14 Nec Corporation Liveness detection for antispoof face recognition
US10402796B2 (en) 2016-08-29 2019-09-03 Bank Of America Corporation Application life-cycle transition record recreation system
US20180089688A1 (en) * 2016-09-27 2018-03-29 Mastercard International Incorporated System and methods for authenticating a user using biometric data
US11074325B1 (en) * 2016-11-09 2021-07-27 Wells Fargo Bank, N.A. Systems and methods for dynamic bio-behavioral authentication
US20180145959A1 (en) * 2016-11-22 2018-05-24 Synergex Group Method for determining access privilege using username, IP address, App ID, App Key, and biometric signature sample.
US10911452B2 (en) 2016-11-22 2021-02-02 Synergex Group (corp.) Systems, methods, and media for determining access privileges
US10404691B2 (en) 2017-03-02 2019-09-03 Bank Of America Corporation Preventing unauthorized access to secured information systems using authentication tokens
US10134207B2 (en) * 2017-04-20 2018-11-20 Saudi Arabian Oil Company Securing SCADA network access from a remote terminal unit
US11556936B1 (en) 2017-04-25 2023-01-17 Wells Fargo Bank, N.A. System and method for card control
DE102017111933A1 (de) * 2017-05-31 2018-12-06 Krohne Messtechnik Gmbh Verfahren zur sicheren Kommunikation mit einem Feldmessgerät der Prozesstechnik und entsprechendes Feldmessgerät
US11062388B1 (en) 2017-07-06 2021-07-13 Wells Fargo Bank, N.A Data control tower
WO2019046406A1 (en) * 2017-08-29 2019-03-07 Westerhoff David Michael RECORDING SYSTEM IN A SECURE NETWORK
US11715154B2 (en) 2017-09-22 2023-08-01 Green Dot Corporation Systems and methods for managing accounts in a financial services system
JP6884876B2 (ja) * 2017-10-31 2021-06-09 三菱重工機械システム株式会社 情報中継装置、料金収受機、メディア、車載器、及び路側機
US11188887B1 (en) 2017-11-20 2021-11-30 Wells Fargo Bank, N.A. Systems and methods for payment information access management
US20190320039A1 (en) * 2018-04-13 2019-10-17 Mastercard International Incorporated Systems and methods for use in providing digital identities
US11057377B2 (en) * 2018-08-26 2021-07-06 Ncr Corporation Transaction authentication
WO2020101506A1 (en) * 2018-11-13 2020-05-22 Apple Inc. Wireless power transfer device authentication
US11282066B1 (en) * 2019-01-18 2022-03-22 Worldpay, Llc Systems and methods to provide user verification in a shared user environment via a device-specific display
US10897398B2 (en) 2019-02-04 2021-01-19 Saudi Arabian Oil Company Embedded dynamic configuration assignment for unprotected remote terminal unit (RTU)
US11823198B1 (en) * 2019-02-18 2023-11-21 Wells Fargo Bank, N.A. Contextually escalated authentication by system directed customization of user supplied image
US11288378B2 (en) 2019-02-20 2022-03-29 Saudi Arabian Oil Company Embedded data protection and forensics for physically unsecure remote terminal unit (RTU)
US11593467B2 (en) * 2019-11-19 2023-02-28 Red Hat, Inc. Systems and methods for biometric authorization using a main screen and a visual indicator
US11341830B2 (en) 2020-08-06 2022-05-24 Saudi Arabian Oil Company Infrastructure construction digital integrated twin (ICDIT)
US10992606B1 (en) 2020-09-04 2021-04-27 Wells Fargo Bank, N.A. Synchronous interfacing with unaffiliated networked systems to alter functionality of sets of electronic assets
CN114389793B (zh) * 2020-10-16 2024-03-08 中移动信息技术有限公司 会话密钥验证的方法、装置、设备及计算机存储介质
EP4002166B1 (en) * 2020-11-11 2024-06-12 Qamcom Innovation Labs AB Method and system for biometric authentication for large numbers of enrolled persons
US11921832B2 (en) 2021-01-04 2024-03-05 Capital One Services, Llc Authentication by a facial biometric
US11546338B1 (en) 2021-01-05 2023-01-03 Wells Fargo Bank, N.A. Digital account controls portal and protocols for federated and non-federated systems and devices
CN113297552B (zh) * 2021-02-05 2023-11-17 中国银联股份有限公司 基于生物特征id链的验证方法及其验证系统、用户终端
US11687053B2 (en) 2021-03-08 2023-06-27 Saudi Arabian Oil Company Intelligent safety motor control center (ISMCC)
US11935055B2 (en) 2021-03-22 2024-03-19 Bank Of America Corporation Wired multi-factor authentication for ATMs using an authentication media
US20220321347A1 (en) * 2021-03-30 2022-10-06 Andrew Mark System, method and apparatus for transaction access and security
US20230012424A1 (en) * 2021-07-07 2023-01-12 Bank Of America Corporation Queue Management for Pre-staged Transactions at Ultra-Wide Enabled ATMs
US12058249B2 (en) 2021-07-07 2024-08-06 Bank Of America Corporation Pre-staged transactions with ultra-wideband networking and haptic feedback
CN113347620B (zh) * 2021-08-05 2021-11-12 深圳市深圳通有限公司 兼容多版本应用空发卡方法、装置、设备及存储介质
US20230291548A1 (en) * 2022-03-08 2023-09-14 Western Digital Technologies, Inc. Authorization requests from a data storage device to multiple manager devices
US12024985B2 (en) 2022-03-24 2024-07-02 Saudi Arabian Oil Company Selective inflow control device, system, and method

Family Cites Families (56)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5892900A (en) 1996-08-30 1999-04-06 Intertrust Technologies Corp. Systems and methods for secure transaction management and electronic rights protection
US6763459B1 (en) * 2000-01-14 2004-07-13 Hewlett-Packard Company, L.P. Lightweight public key infrastructure employing disposable certificates
ATE329426T1 (de) * 2001-05-23 2006-06-15 Daniel Buettiker Verfahren und datenträger zur eintragung von benutzern einer public-key-infrastruktur und eintragungssystem
TWI246028B (en) 2001-06-28 2005-12-21 Trek 2000 Int Ltd A portable device having biometrics-based authentication capabilities
CN100342294C (zh) 2002-07-03 2007-10-10 富利科技有限公司 生物计量私用密钥基础结构
CA2820986C (en) * 2002-08-06 2016-09-06 Privaris, Inc. Methods for secure enrollment and backup of personal identity credentials into electronic devices
US7069438B2 (en) * 2002-08-19 2006-06-27 Sowl Associates, Inc. Establishing authenticated network connections
KR100528328B1 (ko) 2003-01-21 2005-11-15 삼성전자주식회사 사용자 인증 방법 및 장치
JP2004297292A (ja) * 2003-03-26 2004-10-21 Nec Corp 無線端末、認証サーバ、無線認証情報管理システム、および、無線認証情報管理方法
US7437769B2 (en) 2003-06-24 2008-10-14 Realnetworks, Inc. Multiple entity control of access restrictions for media playback
KR101079238B1 (ko) * 2003-08-11 2011-11-03 소니 주식회사 인증 방법, 인증 시스템 및 인증 서버
WO2005069823A2 (en) 2004-01-15 2005-08-04 Jun Song Centralized transactional security audit for enterprise systems
US7254383B2 (en) 2004-07-30 2007-08-07 At&T Knowledge Ventures, L.P. Voice over IP based biometric authentication
US7571485B1 (en) 2005-03-30 2009-08-04 Symantec Corporation Use of database schema for fraud prevention and policy compliance
US7586926B2 (en) 2005-04-18 2009-09-08 Research In Motion Limited System and method for generic data mapping between wireless component applications and application data sources
US8171544B2 (en) 2005-04-20 2012-05-01 Cisco Technology, Inc. Method and system for preventing, auditing and trending unauthorized traffic in network systems
US7536304B2 (en) 2005-05-27 2009-05-19 Porticus, Inc. Method and system for bio-metric voice print authentication
US20060293891A1 (en) 2005-06-22 2006-12-28 Jan Pathuel Biometric control systems and associated methods of use
CA2617938A1 (en) 2005-08-03 2007-02-15 Intercomputer Corporation System and method for user identification and authentication
US8615663B2 (en) 2006-04-17 2013-12-24 Broadcom Corporation System and method for secure remote biometric authentication
US20130227286A1 (en) * 2006-04-25 2013-08-29 Andre Jacques Brisson Dynamic Identity Verification and Authentication, Dynamic Distributed Key Infrastructures, Dynamic Distributed Key Systems and Method for Identity Management, Authentication Servers, Data Security and Preventing Man-in-the-Middle Attacks, Side Channel Attacks, Botnet Attacks, and Credit Card and Financial Transaction Fraud, Mitigating Biometric False Positives and False Negatives, and Controlling Life of Accessible Data in the Cloud
US8549295B2 (en) 2006-05-31 2013-10-01 Microsoft Corporation Establishing secure, mutually authenticated communication credentials
GB2438928A (en) 2006-06-08 2007-12-12 Brian Clarke Biometric Remote Access Device (BRAD)
US20100242102A1 (en) * 2006-06-27 2010-09-23 Microsoft Corporation Biometric credential verification framework
US8280120B2 (en) 2006-10-02 2012-10-02 Eyelock Inc. Fraud resistant biometric financial transaction system and method
JP4996904B2 (ja) 2006-10-04 2012-08-08 株式会社日立製作所 生体認証システム、登録端末、認証端末、及び認証サーバ
JP2008176407A (ja) 2007-01-16 2008-07-31 Toshiba Corp 生体認証システム、装置及びプログラム
WO2009009788A1 (en) 2007-07-12 2009-01-15 Jobmann Brian C Identity authentication and secured access systems, components, and methods
JP2009140231A (ja) * 2007-12-06 2009-06-25 Sony Corp 通信システム及び通信端末装置
US8429650B2 (en) 2008-11-14 2013-04-23 Oracle International Corporation System and method of security management for a virtual environment
CN101420694A (zh) * 2008-12-16 2009-04-29 天津工业大学 一种wapi-xg1接入及快速切换认证方法
DE102009009310A1 (de) * 2009-02-17 2009-10-01 Daimler Ag Kommunikation und Identifizierung zwischen einem Kraftfahrzeugbenutzergerät mit Head Unit und davon entfernt gelegener Vorrichtung
US8443202B2 (en) 2009-08-05 2013-05-14 Daon Holdings Limited Methods and systems for authenticating users
US20110047384A1 (en) 2009-08-21 2011-02-24 Qualcomm Incorporated Establishing an ad hoc network using face recognition
JP2011155348A (ja) * 2010-01-26 2011-08-11 Kddi Corp 生体認証システム、生体認証方法およびプログラム
WO2011112990A1 (en) * 2010-03-11 2011-09-15 Wal-Mart Stores, Inc. System and method for transaction payments using a mobile device
US8380177B2 (en) 2010-04-09 2013-02-19 Paydiant, Inc. Mobile phone payment processing methods and systems
US9208482B2 (en) 2010-04-09 2015-12-08 Paypal, Inc. Transaction token issuing authorities
US20120089471A1 (en) * 2010-10-06 2012-04-12 Rt7 Incorporated System and method of capturing point-of-sale data and providing real-time advertising content
CN103314386A (zh) 2010-10-29 2013-09-18 爱克斯欧德斯支付系统有限公司 使用代币处理交易的方法和系统
US9064257B2 (en) 2010-11-02 2015-06-23 Homayoon Beigi Mobile device transaction using multi-factor authentication
BR112013016171A2 (pt) 2010-12-23 2018-07-17 Paydiant, Inc. sistemas e métodos para processamento de atm de telefone móvel
US20120173311A1 (en) * 2010-12-31 2012-07-05 Nautilus Hyosung Inc. Automatic teller machine for providing service using two-dimensional barcode and method for operating automatic teller machine
WO2012123727A1 (en) 2011-03-11 2012-09-20 Callsign, Inc Personal identity control
US8994499B2 (en) 2011-03-16 2015-03-31 Apple Inc. Locking and unlocking a mobile device using facial recognition
US9198038B2 (en) * 2011-06-13 2015-11-24 Qualcomm Incorporated Apparatus and methods of identity management in a multi-network system
US8752154B2 (en) 2011-08-11 2014-06-10 Bank Of America Corporation System and method for authenticating a user
US8473748B2 (en) 2011-09-27 2013-06-25 George P. Sampas Mobile device-based authentication
US9922370B2 (en) * 2011-11-15 2018-03-20 Ncr Corporation Techniques for automated teller machine (ATM) transactions
US20130222603A1 (en) 2012-02-28 2013-08-29 Aptina Imaging Corporation Imaging systems for infrared and visible imaging
EP2831810A4 (en) 2012-03-28 2016-04-27 Texas State University San Marcos IDENTIFICATION OF PERSON USING EYE BIOMETRY
US20130262873A1 (en) * 2012-03-30 2013-10-03 Cgi Federal Inc. Method and system for authenticating remote users
US8457367B1 (en) 2012-06-26 2013-06-04 Google Inc. Facial recognition
US9471764B2 (en) 2012-07-19 2016-10-18 Apple Inc. Electronic device switchable to a user-interface unlocked mode based upon spoof detection and related methods
US20140090039A1 (en) 2012-09-24 2014-03-27 Plantronics, Inc. Secure System Access Using Mobile Biometric Devices
US9948675B2 (en) 2013-04-04 2018-04-17 The Mitre Corporation Identity-based internet protocol networking

Also Published As

Publication number Publication date
US11170369B2 (en) 2021-11-09
CA2935688C (en) 2022-03-29
WO2015147945A3 (en) 2015-12-03
BR112016015458B1 (pt) 2023-04-11
BR112016015458A8 (pt) 2018-08-14
CA2935688A1 (en) 2015-10-01
US20150188911A1 (en) 2015-07-02
US9380052B2 (en) 2016-06-28
EP3090525B1 (en) 2021-06-16
US9338161B2 (en) 2016-05-10
EP3090525A4 (en) 2017-09-20
ZA201605228B (en) 2017-09-27
US20160379211A1 (en) 2016-12-29
AU2019206006A1 (en) 2019-08-08
KR20160111940A (ko) 2016-09-27
AU2019206006B2 (en) 2021-07-01
BR112016015458A2 (ja) 2017-08-08
AU2014388268A1 (en) 2016-07-21
CN106063219B (zh) 2019-10-08
EP3090525A2 (en) 2016-11-09
KR102217916B1 (ko) 2021-02-22
PL3090525T3 (pl) 2021-11-22
US20150188912A1 (en) 2015-07-02
JP2017508194A (ja) 2017-03-23
WO2015147945A2 (en) 2015-10-01
AU2014388268B2 (en) 2019-04-18
CN106063219A (zh) 2016-10-26
ES2881877T3 (es) 2021-11-30

Similar Documents

Publication Publication Date Title
JP6426189B2 (ja) 生体認証プロトコル標準のためのシステムおよび方法
US8141138B2 (en) Auditing correlated events using a secure web single sign-on login
US8800003B2 (en) Trusted device-specific authentication
US8209394B2 (en) Device-specific identity
Andress Foundations of information security: a straightforward introduction
JP2017539017A (ja) サービスとしてのアイデンティティインフラストラクチャ
JP2017510013A (ja) ジャスト・イン・タイムでプロビジョニングされるアカウントによってネットワーク・セキュリティを設ける技法
US20220224535A1 (en) Dynamic authorization and access management
Sharma et al. Identity and access management-a comprehensive study
CN116319024B (zh) 零信任系统的访问控制方法、装置及零信任系统
Gordon et al. The Official (ISC) 2 guide to the SSCP CBK
CN116415217A (zh) 基于零信任架构的即时授权系统
US12101327B2 (en) Global approach for multifactor authentication incorporating user and enterprise preferences
Schaffer Ontology for authentication
Shanmugam Improving Customer Experience and Reducing Customer Churn by Implementing Frictionless, Adaptive, and Risk-Based Authentication Controls for Digital Assets
US20220060479A1 (en) Global Approach for Multifactor Authentication Incorporating User and Enterprise Preferences
Saini Comparative analysis of top 5, 2-factor authentication solutions
Riti et al. Identity and Access Management with Google Cloud Platform
Anand Role of IAM in an Organization
Tijms et al. Jakarta EE Foundations
Keil Social Security
Manoj et al. An Authentication System of web services based on Web Server Log Analysis
Skevoulis et al. ATINER's Conference Paper Series COM2016-1978
NATH PANDEY Secure IDMS for Cloud Computing Environment
Phadke Enhanced security for SAP NetWeaver Systems

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171219

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180928

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20181016

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20181024

R150 Certificate of patent or registration of utility model

Ref document number: 6426189

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250