JP6654985B2 - 安全なオンライン認証のためのシステム及び方法 - Google Patents
安全なオンライン認証のためのシステム及び方法 Download PDFInfo
- Publication number
- JP6654985B2 JP6654985B2 JP2016173869A JP2016173869A JP6654985B2 JP 6654985 B2 JP6654985 B2 JP 6654985B2 JP 2016173869 A JP2016173869 A JP 2016173869A JP 2016173869 A JP2016173869 A JP 2016173869A JP 6654985 B2 JP6654985 B2 JP 6654985B2
- Authority
- JP
- Japan
- Prior art keywords
- protected website
- protected
- website
- browser application
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 35
- 230000004044 response Effects 0.000 claims description 15
- 230000005540 biological transmission Effects 0.000 claims description 12
- 238000013515 script Methods 0.000 claims description 11
- 230000002155 anti-virotic effect Effects 0.000 description 21
- 230000003287 optical effect Effects 0.000 description 7
- 230000006870 function Effects 0.000 description 6
- 230000008901 benefit Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 241000699666 Mus <mouse, genus> Species 0.000 description 2
- 241000700605 Viruses Species 0.000 description 2
- 238000013479 data entry Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 241000699670 Mus sp. Species 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 238000007630 basic procedure Methods 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000002354 daily effect Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 230000008595 infiltration Effects 0.000 description 1
- 238000001764 infiltration Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000000153 supplemental effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/305—Authentication, i.e. establishing the identity or authorisation of security principals by remotely controlling device operation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
Description
この出願は、35U.S.C.(a)〜(d)における優先権の利益を主張するものであり、2016年6月24日に出願されたロシア出願第2016125283号に記載されている。
本開示は、一般にデータセキュリティの分野、より具体的には、安全なオンライン認証のシステム及び方法に関連するものである。
現在、様々なオンライン取引を実行するための大量のソフトウェアが存在する。多くのオンライン取引には、バンキングサービスと電子マネーの交換が含まれる。これらの取引は通常、標準的なインターネットブラウザ及び別個のバンキングクライアント(アプリケーション)を介して行われ、これらはモバイルプラットフォームにおいて特に人気がある。オンライン取引に関連する他のアプリケーションの中でも、電子通貨システムは、例えばWebMoney、PayPal、或いは、ユーザがゲーム内オブジェクト又はゲーム内通貨を現実の通貨で(例えば、クレジットカードを使用して)購入するといったような独自の取引システムを使用するオンラインゲームにおいて、サーバとして利用されうる。
オンライン決済システムの浸透に伴い、ハッカーはこのサービス分野に非常に関心を持ち、不正な(詐欺的な)資金調達の目的で取引データを傍受する方法を積極的に試みている。一例では、そのようなデータの盗難は、ユーザのコンピュータに侵入する(感染する)悪意あるプログラム(又はフィッシング)を使用して行うことができる。ほとんどの場合、このようなプログラムは、一般的なインターネットブラウザを感染させることでコンピュータに侵入し、データ入力デバイス(キーボードやマウス等)から入力されたデータを傍受し、ネットワーク上で送信されているデータを傍受する。例えば、ブラウザに感染した悪意あるプログラムは、ブラウザファイルへのアクセス権を無断で獲得し、Webページにアクセスしたときに保存された閲覧履歴とパスワードをサーチする。データ入力インターセプタ(キーロガー)は、例えば、キーボードやマウスからのデータの入力を傍受し、スクリーンショットを撮影し、更にさまざまなルートキット技術を使用してシステム内にその存在を隠すことができる。同様の技術を使用して、ネットワークパケット(トラフィックスニッファ)のインターセプタを作成することもできる。インターセプタは、ネットワークパケットが送信されるときに傍受し、パスワードやその他の個人データ等の重要な情報を抽出する。感染は、ソフトウェアの脆弱性によって最も頻繁に発生するため、コンピュータ・システムに侵入して悪意あるソフトウェアを勝手にインストールする等のさまざまな悪用が可能といえる。
事前の防御方法や信頼できるアプリケーションのリスト(ホワイトリスト)の使用等、既存のアンチウィルス技術は、ユーザのコンピュータ上においていくつかの悪意あるプログラムを検出する可能性があるが、一方でそのような悪意あるプログラムが新たに修正された差分を特定することは常に可能というわけではなく、またその出現の頻度は毎日のように増加しているかもしれない。したがって、ユーザが容易にオンライン支払いを行うことを可能にするプログラムを保護するための頑強な解決策が存在することが望ましい。
既存のソフトウェア及びハードウェアソリューションの中には、ユーザの携帯電話にワンタイムパスワード(OTP)を送信する方法や、ユーザ認証のためにハードウェアを使用する方法等、認証のための要素を追加導入するものがある。しかし、これらの解決策は脆弱である可能性もある。OTPを傍受できる有害なプログラムの例の1つとして、悪意あるプログラムZeusが挙げられる。したがって、オンラインでの取引中にユーザのデータが傍受されるのを防ぐために、改善された解決策の提供が必要不可欠である。
本発明によれば、コンピュータによって実行される安全なオンライン認証のための方法であって、決定ステップと、取得ステップと、確立ステップと、実行ステップと、送信ステップと、を備え前記決定ステップでは、計算機器のプロセッサを介して、コンピュータ・システムにインストールされたブラウザアプリケーションと保護されたウェブサイトとの間に確立された接続を決定し、前記取得ステップでは、前記保護されたウェブサイトからの認証要求を取得することに応答して、前記保護されたウェブサイトに関する情報を取得し、前記確立ステップでは、前記保護されたウェブサイトの少なくとも1つの証明書を受信することで、前記保護されたウェブサイトに対し保護されたデータを送信するためのチャネルを確立し、前記実行ステップでは、認証を実行し且つ認証データを前記保護されたウェブサイトへ送信し、前記送信ステップでは、前記保護されたウェブサイトから得られた認証結果に基づいて、前記保護されたウェブサイトへのアクセスを可能にするために、前記ブラウザアプリケーションに認証情報を送信する、方法が提供される。
好ましくは、前記決定ステップは、前記ブラウザアプリケーションによって提供されるAPIを介して前記保護されたウェブサイトのURLアドレスを取得するステップを含み、前記決定ステップは、ドライバを介して前記ブラウザアプリケーションと前記保護されたウェブサイトとの間のネットワークトラフィックを傍受して、前記保護されたウェブサイトのURLアドレスを取得するステップを含む。
好ましくは、前記コンピュータ・システムによってアクセスされる前記保護されたウェブサイトのアドレスのリストに対して前記保護されたウェブサイトを確認するステップを更に含み、前記コンピュータ・システムによってアクセスされる前記保護されたウェブサイトのアドレスのリストと、前記保護されたウェブサイトに関連する暗号化されたデータとを、前記計算機器上に格納するステップを更に含む。
好ましくは、前記保護されたウェブサイトに関する情報は、URLアドレスと、前記保護されたウェブサイトの前記少なくとも1つの証明書に関する情報と、前記保護されたウェブサイトのドメインに関するWHOIS情報と、前記URLアドレスでの要求に対する応答により取得されたヘッダのリストと、畳み込み又はハッシュサムの形でダウンロードされたスクリプトに関する情報とを含む。
好ましくは、前記確立ステップは、前記コンピュータ・システムにインストールされたドライバを介して前記保護されたデータ送信チャネルを確立するステップと、 前記少なくとも1つの証明書の有効性をチェックすることで、前記保護されたウェブサイトの証明書の完全な階層構造を前記ドライバから取得するステップとを含み、前記計算機器のルート証明書のリストを使用して、保護されたウェブサイトの証明書の完全な階層構造の有効性を判定するステップを更に含む。
好ましくは、前記保護されたウェブサイトに関する取得された情報に基づいて、前記保護されたウェブサイトの有効性をチェックするステップを更に含み、前記情報は、接続を確立する際にダウンロードされたスクリプトについての取得されたヘッダ又はリストを含み、前記認証を実行するための第2認証ファクタを取得し、前記認証データを保護されたウェブサイトに送信するステップを更に含む。
好ましくは、前記保護されたウェブサイトへのアクセスを可能にするために識別された情報をブラウザアプリケーションに送信した後に、前記ブラウザアプリケーションを使用して前記保護されたウェブサイトへのアクセスを継続することを更に含む。
本発明の別の態様によれば、安全なオンライン認証のためのシステムであって、計算機器のプロセッサを少なくとも1つ備え、前記プロセッサは、決定ステップと、取得ステップと、確立ステップと、実行ステップと、送信ステップとを実行するように構成され、前記決定ステップでは、計算機器のプロセッサを介して、コンピュータ・システムにインストールされたブラウザアプリケーションと保護されたウェブサイトとの間に確立された接続を決定し、前記取得ステップでは、前記保護されたウェブサイトからの認証要求を取得することに応答して、前記保護されたウェブサイトに関する情報を取得し、前記確立ステップでは、前記保護されたウェブサイトの少なくとも1つの証明書を受信することで、前記保護されたウェブサイトに対し保護されたデータを送信するためのチャネルを確立し、前記実行ステップでは、認証を実行し且つ認証データを前記保護されたウェブサイトへ送信し、前記送信ステップでは、前記保護されたウェブサイトから得られた認証結果に基づいて、前記保護されたウェブサイトへのアクセスを可能にするために、前記ブラウザアプリケーションに認証情報を送信する、システムが提供される。
本発明の別の態様によれば、安全なオンライン認証のためのコンピュータ実行可能命令を格納するコンピュータ上で読み取り可能な不揮発性媒体であって、前記命令は、決定ステップと、取得ステップと、確立ステップと、実行ステップと、送信ステップを備え、前記決定ステップでは、計算機器のプロセッサを介して、コンピュータ・システムにインストールされたブラウザアプリケーションと保護されたウェブサイトとの間に確立された接続を決定し、前記取得ステップでは、前記保護されたウェブサイトからの認証要求を取得することに応答して、前記保護されたウェブサイトに関する情報を取得し、前記確立ステップでは、前記保護されたウェブサイトの少なくとも1つの証明書を受信することで、前記保護されたウェブサイトに対し保護されたデータを送信するためのチャネルを確立し、前記実行ステップでは、認証を実行し且つ認証データを前記保護されたウェブサイトへ送信し、前記送信ステップでは、前記保護されたウェブサイトから得られた認証結果に基づいて、前記保護されたウェブサイトへのアクセスを可能にするために、前記ブラウザアプリケーションに認証情報を送信する、媒体が提供される。
本発明の例示的な態様に係る上述の簡略化した概要は、本発明の基本的な理解を提供するように機能するものである。この概要は、全ての企図された態様の広範な概要ではなく、全ての態様の重要な又は重要な要素を特定することも本発明の任意の又は全ての態様の範囲を描写することも意図されていない。唯一の目的は、以下の本発明のより詳細な説明の前置きとして、1つ又は複数の態様を簡略化した形で提示することである。前述の目的を達成するために、本発明の1つ又は複数の態様が記載され、これは特に特許請求の範囲において主張される特徴を含むものである。
添付の図面は、本明細書に組み込まれ、本明細書の一部を構成し、本開示の1つ又は複数の例示的な態様を示し、詳細な説明と共に、それらの原理及び実施を説明する役割を果たす。
ここでは、安全なオンライン認証のシステム、方法、及びコンピュータプログラム製品と関連した例示的な態様が記載される。当業者であれば、以下の説明は例示的なものに過ぎず、決して限定して述べられたものではないことを理解するであろう。他の態様は、本開示を見ることで利益を有する当業者によって容易に列挙されうるであろう。以下、添付の図面に示されている例示的な態様の実施を詳細に示す。同じリファレンスの指示子は、図面全体にわたって可能な限り使用され、以下、既出の指示子は同じ又は同様のアイテムを示す。
図1は、信頼されていない環境の条件でウェブサイトへのユーザアクセスの手順を示す。信頼されていない環境は、コンピュータ・システム100を含む可能性があり、そこでは、たとえアンチウィルスアプリケーション110がインストールされていても、悪意あるアプリケーション120が存在するリスクが依然として存在し、(アプリケーション120は)ブラウザ130を介して保護されたサイト140(すなわち、それと相互作用するときに受信及び送信されるデータを保護する必要があるサイト)においてユーザ150の作業を損なう可能性がある。アンチウィルスアプリケーション110は、システムの脆弱性及び悪意あるアプリケーションの存在を捜査するために、コンピュータ・システム100にインストールされたオペレーティングシステムをスキャンするように設計されてもよい。アンチウィルススキャンの結果は、以下のような事項を含んでいてもよい:検出された悪意あるプログラムと脆弱性の数及びその特定結果(どのプログラムに悪意があり、システムの脆弱性はどこにあるか)。上記のように、悪意あるアプリケーションを検索し特定するアンチウィルス技術は、全ての悪意あるアプリケーションの検出とその駆除を保証しない可能性がある。これは、悪意あるアプリケーションの作成者がアンチウィルススキャンを回避する方法を常に模索しているためである。例えば、署名及び経験的分析をより困難にするために実行されるコードの難読化方法、及びアンチエミュレーションの方法が知られており、その方法によって、アンチウィルスアプリケーションで実行されるエミュレーションにおいて悪意あるアプリケーションの検出を回避することが可能になる。したがって、サイト140から受け取り、送信されるデータを保護するための解決策が必要とされる。
図2は、信頼されていない環境下における安全なオンライン認証のための例示的なシステムを示している。図1と比較すると、図2では安全なデータ送信のためのデバイス115及びブラウザ内のプラグイン135を追加することができる。より具体的には、プラグイン135は、ユーザ150がブラウザ130を介して保護されたサイト140への接続を確立したことを決定し、保護されたサイト140との接続が発生したという情報を安全なデータ送信のためのデバイス115に送信するように設計されてもよい。ある態様においては、プラグイン135は、アンチウィルスアプリケーション110の一部として提供されてもよい。
接続の確立は、APIを介して、ブラウザ130によって提供されるプラグイン135によって決定され、サイト140のURIアドレスはGET又はPOSTリクエストの分析によって決定されてもよい。
或いは、プラグイン135は、ブラウザ130とサイト140との間のネットワークトラフィックを傍受するための別個のドライバ136(プラグイン135の一部であってもよいし、別個のアプリケーションであってもよい)をインストールすることを要求してもよい。少なくとも傍受されたデータに基づいて、サイト140のURIアドレスが決定されてもよい。そのようなドライバは、デバイス115とサイト140との間の別個の接続を確立するために使用されてもよい。このドライバは、サイト140の証明書等、サイト140に関する情報も取得することができる。
保護されたアドレスのリストは、認証に必要な暗号化されたデータと共に、安全なデータ送信のためにデバイス115上に格納することができる。デバイス115のアクティブ化(コンピュータ100への接続)の際に、保護されたアドレスのリストは、プラグイン135のメモリにダウンロードされてもよい。プラグイン135は、アドレスのリストをそれ自体のメモリ又はコンピュータ・システム100のハードディスク上に保存することができる。
したがって、保護されたサイトのアドレスのリストは、プラグイン135又は安全なデータ送信のためのデバイス115の何れかに保存することができる。一般に、そのようなリストは、ユーザ150自身、又は安全なデータ送信のためのデバイス115の開発者又はプラグイン135(一般的には、その一方又は両方の開発者)の何れかによって作成されてもよい。本発明においては、ユーザに対しサイトへの安全なアクセスを保証する多くの方法がありうる。サイトへの安全なアクセスを保証する技術の1つの例として、Kaspersky Laboratoryが開発した「安全な支払い」("Secure Payments")技術がある。
保護されたサイト140からの認証要求の取得に応じて、プラグイン135は、サイトに関する情報(認証形式等)を含むこのアドレス及び要求自体をデバイス115に送信することができる。プラグイン135は、URIアドレス、サイトの証明書(複数個あってもよい)に関する情報、ドメインに関するWHOIS情報、URIアドレスでの要求に対する応答から得られたヘッダのリスト、畳み込み(ハッシュサム)形式でダウンロードされたスクリプトに関する情報等、デバイス115上のスキャンのために必要な補足情報を送ることもできる。
1つの例示的な態様においては、デバイス115は、実際のソフトウェア及びハードウェア又はそのどちらか一方であるようなデバイス、システム、コンポーネント、及び集積マイクロ回路(特定用途向け集積回路、ASIC)又はプログラマブルゲート(プログラマブル集積回路)のようなハードウェアの使用によって、又はマイクロプロセッサシステム及びプログラム命令セットのようなソフトウェアとハードウェアとを組み合わせる形で、又はニューロシナプスチップに基づき実現されるいくつかの構成要素を、その中に含んでいてもよい。
1つの例示的な態様においては、安全なデータ送信のためのデバイス115は、プロセッサ、一時的なデータの格納及び使用のためのメモリモジュール、パーティションを作成及び暗号化する機能を有するデータ媒体、コンピュータ・システム100に接続するための少なくとも1つのアダプタ(一般に、USB)、ユーザ認証要素を入力/取得するための手段を含んでいてもよい。上述したように、デバイス115は、これらのサイトに関連する暗号化されたデータ(一般に、これはログイン/パスワードの関連付け及び認証フォームのための他のデータ等であるが、 支払データ等ユーザに関する機密データを含んでいてもよい)と共に保護されたサイトのアドレスのリストを保存することができる。このリストは、後続する各要求との比較のために、デバイス115からプラグインのメモリにダウンロードすることができる。
プラグイン135によって送信された認証要求を受信した直後に、デバイス115は、証明書を取得することができるサイト140への新たな保護された接続の作成を開始することができる。新しい保護された接続は、ドライバ136によって作成されてもよい。受信した証明書のチェック(検証)のために、デバイス115は、ルート証明書を除いて、サイト140の証明書の完全な階層構造についてコンピュータ100にインストールされたドライバ136に問い合わせることができる。自身のルート証明書のリストを使用して、デバイス115は、サイト140に対する一連の証明書全体の有効性(信頼性)をチェックすることができる。もしチェックが成功しなかった場合、保護された接続が切断されることがある。デバイス115は、接続を確立するときに、例えば取得されたヘッダ又はダウンロードされたスクリプトのリスト等、サイト140のチェックのためにプラグイン135からの他の情報を使用することもできる。例えば、デバイス115は、プラグイン135から得られ、サイト140からダウンロードされたスクリプトの畳み込み(ハッシュサム)を、自身のハッシュサムと比較することができ、得られたスクリプトはデバイス115上に保存することができる。そしてその畳み込みが自身のハッシュサムと適合しなければ、サイト140への接続が切断される可能性がある。
1つの例示的な態様においては、情報(例えば、ユーザの個人データ等)は、デバイス115内のデータ媒体上に格納され、実行されうるコードは、プラグイン135からデータを受信すると実行される。また、1つの態様においては、デバイス115を用いた作業は、プラグイン135を用いてのみ行うことができる。例えば、データの認証及び交換のために、PKI(公開鍵インフラストラクチャ)アーキテクチャを使用することができる。デバイス115の秘密鍵は、所与のデバイスの開発者によって提供されてもよい。
別の例示的な態様においては、プラグイン135は、プラグイン135のメモリに格納されているデータへのアクセスを、別個のAPIの使用によって要求することができ、これにより、外部デバイスの開発者は、 デバイス115の開発者と同様に、与えられたプラグインを使用することができる。
デバイス115の別の機能は、第2ユーザ認証ファクタの実行を含みうる。第2認証ファクタは、OTPを使用して、或いは、ユーザのデジタル署名又はユーザの生体情報を確認することで実現することができる。これにより、盗難の際にユーザの認証データをデバイス115のメモリダンプから保護することが可能になる。第2認証ファクタを受信した後にのみ、デバイス115は、ユーザの認証データを解読し、このデータがブラウザ130を使用して作成され更に送信されたかのようにサイト140に送信することができる。
デバイス115は、認証を実行し、サイト140に関連する必要な認証データを送信することができる。認証データに加えて、デバイス115は、ユーザのアカウント/取引に関する支払いデータ等の他の情報も格納することができる。そのような情報は暗号化形式で格納することができ、その復元は第2認証ファクタの性能に関する情報を取得した後にのみ実行することができる。サイト140からの認証に成功した場合のアウトプットに応答して、デバイス115は、新しいセッションの識別子及び許可されたユーザの識別に必要な他の情報をプラグイン135に送信することができ、また、デバイス115は、サイト140への元の要求を発信しているブラウザに応答して、それらの情報をブラウザ130へと発信することができる。このようにして、ブラウザ130はすぐにユーザの新しいセッションのデータを取得することができ、それによって通常のウェブサーフィンを続けるが、今やサイトに対する許可されたユーザとしてウェブサーフィンを継続することができる。
別の例示的な態様においては、ユーザの情報は、サイト140も所有するバンクによって既に組み込まれているユーザデータを有するデバイス115の販売を介して、デバイス115に格納されてもよい。或いは、プラグイン135は、ユーザの情報をサイト140に記録し(このとき、例えばプラグイン135は、パスワードマネージャのような役割を果たすことができる)、これをデバイス115に送信することができる。
別の例示的な態様においては、ユーザ150の認証データをサイト140に送信することができる。デバイス115からの情報は、以下の方法のうちの少なくとも1つの方法によってサイト140に応答する形で送信することができる:
・サイト140のウェブページにデータを挿入する。特定のデータ(ログインやパスワード等)は、WebページのURLアドレスに関連付けられ、特定のフィールド(通常、ログインとパスワードを挿入するためのフィールドは、タグ「入力」の属性「パスワード」等、それに基づいて実行されるような多くの属性を持っている)に挿入される場合がある。
・データは、GET/POST要求の形であらかじめ準備され、特定の瞬間又は特定のイベントの発生時にサーバに送信されてもよい。このことの最も単純な例として、前記ログイン及びパスワードを挿入する必要があるウェブページに対するGET要求サイトからの応答を受信した後の形式で挿入された、ログイン及びパスワードデータを含むPOST要求の送信が挙げられる。
・サイト140のウェブページにデータを挿入する。特定のデータ(ログインやパスワード等)は、WebページのURLアドレスに関連付けられ、特定のフィールド(通常、ログインとパスワードを挿入するためのフィールドは、タグ「入力」の属性「パスワード」等、それに基づいて実行されるような多くの属性を持っている)に挿入される場合がある。
・データは、GET/POST要求の形であらかじめ準備され、特定の瞬間又は特定のイベントの発生時にサーバに送信されてもよい。このことの最も単純な例として、前記ログイン及びパスワードを挿入する必要があるウェブページに対するGET要求サイトからの応答を受信した後の形式で挿入された、ログイン及びパスワードデータを含むPOST要求の送信が挙げられる。
図3は、本発明による安全なオンライン認証の例示的な方法を示す。ステップ301において、ブラウザ130を使用してサイトにアクセスしたユーザ(ユーザが接続したこと)が決定された後、ステップ302において、そのサイトが保護されたサイト140であると決定することができる。サイト140のアドレスの決定に関する詳細は、プラグイン135の動作の説明という文脈において、図2の説明で与えられている。ステップ303において、デバイス115は、ユーザがサイト140にアクセスしている(すなわち、ユーザが接続している可能性がある)という事実に関して、プラグイン135から情報を受信してもよく、その後、デバイス115は、 ステップ304においてセットアップを行い安全なデータ送信のためのチャネルを利用することができる。一態様では、保護されたデータチャネルは、https接続を含んでいてもよい。ステップ305において、デバイス115は、サイト140に関するすべての情報を抽出し、保護されたデータ送信チャネルを介してそれを送信することができる。ステップ306において、ユーザは通常の方法でブラウザ130で作業を続けることができる。
図4に示すように、ブラウザ130を介したユーザの通常のウェブサーフィン中(ステップ1)に、プラグイン135によって傍受され、デバイス115に送信される認証フォームがサイト140から到着する(ステップ2)。デバイス115は、プラグイン135を使用して、サイト140との追加的且つ直接的にhttps接続を確立し(ステップ4)、このサイトの証明書を受信することができる(ステップ5)。証明書の有効性をチェックするために、デバイス115は、ユーザのコンピュータに対して、プラグイン135からの証明書の完全な階層構造を要求することができる(ステップ6)。自身のルート証明書のリスト(デバイス115に格納されている)を使用して、サイト140に対応し、受信した(ステップ7)証明書の有効性をデバイス115上でチェックし(ステップ8)、与えられたコンピュータに対してデバイス115上で認証データを検索することができる (ステップ9)。次いで、第2認証ファクタ(例えば、デバイス115に直接インプットされた指紋又はパスワード)を得るための要求をユーザに送信し(ステップ10)、デバイス115のメモリ内の認証データを解読することができる(ステップ11)。前のステップの実行が成功した後、デバイス115は(TCP接続のみを確立し、データをデバイス115に送信するプラグイン135の助けを借りて)サイト140とのhttps接続の確立を完了することができ(ステップ12)、記入済み認証フォームをサイト140へと送信できる(ステップ13)。サーバ(サイト140)にとっては、このステップは、ブラウザ130から記入済みフォームを取得するように見える。サーバから取得された応答(ステップ14)は、デバイス115によってプラグイン135に中継され、これをブラウザ130に直接送信することで(ステップ15)、認証機構を完全に通過した後に、ブラウザ130はすぐに新しいセッションを取得することができる(ステップ16)。
別の例示的な態様では、デバイス115とサイト140との間でデータを送信するための安全なチャネルを確立することができる。上述したように、コンピュータ・システム100は、アンチウィルスアプリケーション110によって検出されなかった悪意あるアプリケーション120に感染する可能性がある。デバイス115がコンピュータ・システム100のリソースにアクセスすることができず、そのシステムの補足スキャンを実行しない場合、デバイス115は、アンチウィルスアプリケーション110に定期的に、又はアンチウィルスアプリケーション110からデータをサイト140に送信するというリクエストを受けた際に以下のデータを要求することもできる:
・最後のアンチウィルススキャンの時刻と状態。
・アンチウィルスデータベースの更新ステータス。
・インターネットへの接続のタイプ。
・アンチウィルスソフトウェア(AV)のすべてのサプライヤが提供する最新の既知のコンピュータ脅威に関する情報。これについては、例えばKaspersky Laboratory等がKSN(Kaspersky Security Network)へと加入するというコンテキストにおいてこれを提供する。
・最後のアンチウィルススキャンの時刻と状態。
・アンチウィルスデータベースの更新ステータス。
・インターネットへの接続のタイプ。
・アンチウィルスソフトウェア(AV)のすべてのサプライヤが提供する最新の既知のコンピュータ脅威に関する情報。これについては、例えばKaspersky Laboratory等がKSN(Kaspersky Security Network)へと加入するというコンテキストにおいてこれを提供する。
所与の情報を得た後、この情報の検証は、デバイス115とサイト140との間の安全なデータ送信のためのチャネルの設定の選択を決定する一連の規則に基づき、デバイス115上で行うことができる。
<例1>:
・最後のアンチウィルススキャンを行った時刻とその状態:1分前にウィルススキャンを行いましたが、有害なソフトウェアは見つかりませんでした。
・アンチウィルスデータベースの更新ステータス:最新バージョンのアンチウィルスデータベースがダウンロードされています。
・インターネットへの接続のタイプ:VPN(仮想プライベートネットワーク)。
・最後に見つかったコンピュータの脅威に関する情報:脅威に関する情報は見つかりませんでした。
・決定:データは、解読された形式でプラグイン135を介して提供することができます。
・最後のアンチウィルススキャンを行った時刻とその状態:1分前にウィルススキャンを行いましたが、有害なソフトウェアは見つかりませんでした。
・アンチウィルスデータベースの更新ステータス:最新バージョンのアンチウィルスデータベースがダウンロードされています。
・インターネットへの接続のタイプ:VPN(仮想プライベートネットワーク)。
・最後に見つかったコンピュータの脅威に関する情報:脅威に関する情報は見つかりませんでした。
・決定:データは、解読された形式でプラグイン135を介して提供することができます。
<例2>:
・最後のアンチウィルススキャンを行った時刻とその状態:1分前にウィルススキャンを行いましたが、有害なソフトウェアは見つかりませんでした。
・アンチウィルスデータベースの更新ステータス:最新バージョンのアンチウィルスデータベースがダウンロードされています。
・インターネットへの接続の種類:オープンアクセス。
・最後に見つかったコンピュータの脅威に関する情報:Zeusタイプの新たな悪意あるソフトウェアが検出されました。
・決定:プラグイン135を介して暗号化された形式でデータを提供することができます。
・最後のアンチウィルススキャンを行った時刻とその状態:1分前にウィルススキャンを行いましたが、有害なソフトウェアは見つかりませんでした。
・アンチウィルスデータベースの更新ステータス:最新バージョンのアンチウィルスデータベースがダウンロードされています。
・インターネットへの接続の種類:オープンアクセス。
・最後に見つかったコンピュータの脅威に関する情報:Zeusタイプの新たな悪意あるソフトウェアが検出されました。
・決定:プラグイン135を介して暗号化された形式でデータを提供することができます。
<例3>:
・最後のアンチウィルススキャンを行った時刻とその状態:1週間前に有害なソフトウェアが検出されました。
・アンチウィルスデータベースの更新状況:1週間以上前に更新されたアンチウィルスデータベース。
・インターネットへの接続の種類:オープンアクセス。
・最後に見つかったコンピュータの脅威に関する情報:データが見つかりません。
・決定:暗号化された形式で別個の保護された接続を介してデータを提供する必要があります。
・最後のアンチウィルススキャンを行った時刻とその状態:1週間前に有害なソフトウェアが検出されました。
・アンチウィルスデータベースの更新状況:1週間以上前に更新されたアンチウィルスデータベース。
・インターネットへの接続の種類:オープンアクセス。
・最後に見つかったコンピュータの脅威に関する情報:データが見つかりません。
・決定:暗号化された形式で別個の保護された接続を介してデータを提供する必要があります。
アンチウィルスアプリケーション110は、そのような(上記の例のような)決定をコンピュータ・システム100に適用することができる。一態様では、VPN接続の作成及び使用を提供することができる。更に、ブラウザ130及びプラグイン135の手順のアドレス空間に対して、悪意あるアプリケーション120を含む可能性のあるスキャンに対して、及びクリップボード及び手順間通信(IPC)チャネルの保護に対して補足的保護を提供することができる 。
図5は、実施形態に係り本発明のシステムと方法が実行できる汎用コンピュータ・システム(パーソナル・コンピュータやサーバ等)の例を示している。図示の通り、コンピュータ・システム20は、CPU21と、システムメモリ22と、CPU21と関連付けられたメモリを含む様々なシステムコンポーネントを接続するシステムバス23とを含みうる。システムバス23は、バスメモリ又は、バスメモリコントローラ、周辺バス、及びローカルバスを次々含む従来から公知のあらゆるバス構造としても実現され得、これらはどのような他のバスアーキテクチャとも通信可能である。システムメモリは、リードオンリーメモリ(ROM)24及びランダムアクセスメモリ(RAM)25を含む。基本的な入出力システム(BIOS)26は、ROM24の使用によってオペレーティング・システムをロードする際等、コンピュータ・システム20の要素間の情報の伝達を担う基本的な手順を含む。
コンピュータ・システム20は、データの読み書きのためのハードディスク27、取り外し可能な磁気ディスク29の読み書きのための磁気ディスクドライブ28、及びCD−ROM、DVD−ROM、その他の光学メディア等の光学ディスク31の読み書きのための光学式ドライブ30を含む。ハードディスク27、磁気ディスクドライブ28、及び光学式ドライブ30は、ハードディスクインターフェース32、磁気ディスクインターフェース33、及び光学式ドライブインターフェース34それぞれを横切るシステムバス23と接続される。ドライブ及び対応するコンピュータ情報メディアは、コンピュータ命令、データ構造体、プログラムモジュール、及びコンピュータ・システム20の他のデータのストレージのための電源依存のモジュールである。
本開示は、ハードディスク27、取外し可能な磁気ディスク29や光学ディスク31を使用するシステムの実行を提供するが、他のタイプのコンピュータ情報媒体56を使用することも可能であることを理解されたい。コントローラ55を介してシステムバス23に接続されたコンピュータ(ソリッドステートドライブ、フラッシュメモリカード、デジタルディスク、ランダムアクセスメモリ(RAM)など)によって読み取り可能な形式でデータを格納する。
コンピュータ・システム20は、ファイルシステム36を有し、記録されたオペレーティング・システム35を保持する。また追加のプログラムアプリケーション37、他のプログラムモジュール38、及びプログラムデータ39を有する。ユーザは、入力機器(キーボード40、マウス42)を用いてコマンドと情報をコンピュータ・システム20に入力することができる。他の入力機器(不図示):マイクロフォン、ジョイスティック、ゲームコントローラ、スキャナ等を用いることもできる。そのような入力機器は、通常、システムバスに次々接続しているシリアルポート46を通じてコンピュータ・システム20に差し込まれるが、それらは、他の方法例えばパラレル・ポート、ゲームポート、又は一般的なシリアルバス(USB)に接続される。ディスプレイ機器のモニタ47又は他のタイプは、また、ビデオアダプタ48等のインターフェースと交差するシステムバス23に接続している。モニタ47に加えて、パーソナル・コンピュータは、スピーカー、プリンタ等の他の周辺の出力機器(不図示)を接続できる。
コンピュータ・システム20は、1つ又は複数のリモートコンピュータ49とのネットワーク接続を用いて、ネットワーク環境で操作することができる。リモートコンピュータ(又はコンピュータ)49は、図4に示すように、コンピュータ・システム20の性質として説明した上述の要素全ての大多数を有するパーソナル・コンピュータ又はサーバでもある。ルータ、ネットワークステーション、ピア接続の機器、又は他のネットワークノード等の他の機器もまた、かかるコンピュータ・ネットワークで存在しうるものである。
ネットワーク接続は、ローカルエリアコンピュータ・ネットワーク(LAN)50及びワイドエリアコンピュータ・ネットワーク(WAN)を形成することができる。そのようなネットワークは、企業のコンピュータ・ネットワーク及び社内ネットワークで利用され、それらはたいていインターネットにアクセスすることができる。LAN又はWANネットワークにおいて、パソコン20は、ネットワークアダプタ又はネットワークインターフェース51に交差するローカルエリアネットワーク50に接続されている。ネットワークが用いられる時には、パソコン20は、通信にインターネット等のワイドエリアコンピュータ・ネットワークを実現するために、モデム54又は他のモジュールを使用することができる。内部又は外部の機器であるモデム54は、シリアルポート46によりシステムバス23と接続される。かかるネットワーク接続は、単なる一例であり、ネットワークの正確な構成を示すものではない。すなわち、技術の通信モジュールによって、あるコンピュータから他のコンピュータへの接続を確立する他の方法(ブルートゥース接続等)もあることに留意されたい。
様々な実施形態において、ハードウェア、ソフトウェア、ファームウェア、又はこれらのあらゆる組み合わせにおいて、ここで説明されたシステム及び方法を実施しうる。ソフトウェアにおいて実施される場合は、方法は不揮発性コンピュータ可読メディアの1つ又は複数の指示又はコードとして保存されうる。コンピュータ可読メディアは、データストレージを含む。あくまでも例であり限定するものではないが、そのようなコンピュータ可読メディアは、RAM、ROM、EEPROM、CD−ROM、フラッシュメモリ、若しくは他のタイプの電気、磁気、光学式の記憶媒体、又はその他のメディアであってもよい。すなわち、これらによって指示又はデータ構造体という形で、要求されたプログラムコードを運ぶか又は保存することができ、汎用コンピュータのプロセッサによってアクセスすることができる。
様々な実施形態で、本発明のシステム及び方法が、モジュールとして実施されうる。ここで用語「モジュール」は、実世界の機器、コンポーネント、又はハードウェアを用いて実施されたコンポーネント配置であり、例えばASIC(Application Specific Integrated Circuit)、FPGA(Field−Programmable Gate Array)等の、又は例えばモジュールの機能を実行するマイクロプロセッサシステムや指示セットによる等、ハードウェアとソフトウェアの組み合わせとして実施されうる。これらは、実行中にマイクロプロセッサシステムを特定の機器に変換する。モジュールは、ハードウェア単体により促進される一定の機能とハードウェア及びソフトウェアの組み合わせによって促進される他の機能という2つの組み合わせとして実施されてもよい。モジュールの少なくとも一部又は全部は、汎用コンピュータのプロセッサにおいて実行できる(図3において詳述したもの等)。したがって、各モジュールは様々な適当な構成で実現することができて、ここに例示した特定の実施に限られるものではない。
なお、実施形態の通常の機能のうちの全てをここで開示しているわけではない。本発明の何れの実施形態を開発する場合においてでも、開発者の具体的な目標を達成するためには多くの実施に係る特別な決定が必要であり、これらの具体的な目標は実施形態及び開発者ごとに異なることに留意されたし。そのような開発努力は、複雑で時間を要するものであるが、本発明の利益を享受しうる当業者にとってはエンジニアリングの日常であると理解されたい。
更に、本明細書で使用される用語又は表現は、あくまでも説明のためであり、限定するものではない。つまり、関連技術の熟練の知識と組み合わせて、本明細書の用語又は表現は、ここに示される教示及び指針に照らして当業者によって解釈されるべきであると留意されたし。明示的な記載がない限り、明細書又は特許請求の範囲内における任意の用語に対して、珍しい又は特別な意味を帰することは意図されていない。
本明細書で開示された様々な態様は、例示のために本明細書に言及した既知のモジュールの、現在及び将来の既知の均等物を包含する。更に、態様及び用途を示し、説明してきたが、本明細書に開示された発明の概念から逸脱することなく、上述したよりも多くの改変が可能であることが、この開示の利益を有する当業者には明らかであろう。
Claims (16)
- コンピュータによって実行される安全なオンライン認証のための方法であって、
決定ステップと、取得ステップと、確立ステップと、受信ステップと、要求ステップと、有効性チェックステップと、実行ステップと、送信ステップと、を備え
前記決定ステップでは、安全な接続のための機器のプロセッサを介して、コンピュータ・システムにインストールされたブラウザアプリケーションと保護されたウェブサイトとの間に確立された接続を決定し、
前記コンピュータ・システムは、前記安全な接続のための機器とは別個のものであり、
前記取得ステップでは、前記安全な接続のための機器において、前記保護されたウェブサイトからの認証要求を取得するブラウザアプリケーションのプラグインに応答して、前記保護されたウェブサイトに関する情報を取得し、
前記確立ステップでは、前記保護されたウェブサイトの少なくとも1つの証明書を受信するために、前記保護されたウェブサイトと前記安全な接続のための機器との間に、保護されたデータを送信するためのチャネルを確立し、
前記受信ステップでは、前記証明書を前記ブラウザアプリケーションのプラグインから受信し、
前記要求ステップでは、ルート証明書を除いた証明書の完全な階層構造を、前記コンピュータ・システムに要求し、
前記有効性チェックステップでは、前記安全な接続のための機器に格納されているルート証明書に基づいて、前記受信ステップで受信した証明書の有効性をチェックし、有効性がチェックできない場合には、前記保護されたデータを送信するためのチャネルを切断し、
前記実行ステップでは、前記有効性がチェックできた場合に、前記安全な接続のための機器に記憶された認証データを前記保護されたウェブサイトへ送信し、
前記送信ステップでは、前記保護されたウェブサイトから得られた認証結果に基づいて、前記保護されたウェブサイトへのアクセスを可能にするために、前記ブラウザアプリケーションに前記安全な接続のための機器から前記ブラウザアプリケーションのプラグインへ新しいセッションの識別子を送信する、
方法。 - 前記決定ステップは、前記ブラウザアプリケーションによって提供されるAPIを介して前記保護されたウェブサイトのURIアドレスを取得するステップを含む、
請求項1に記載の方法。 - 前記決定ステップは、ドライバを介して前記ブラウザアプリケーションと前記保護されたウェブサイトとの間のネットワークトラフィックを傍受して、前記保護されたウェブサイトのURIアドレスを取得するステップを含む、
請求項1に記載の方法。 - 前記コンピュータ・システムによってアクセスされる前記保護されたウェブサイトのアドレスのリストに対して前記保護されたウェブサイトを確認するステップを更に含む、
請求項1に記載の方法。 - 前記コンピュータ・システムによってアクセスされる前記保護されたウェブサイトのアドレスのリストと、前記保護されたウェブサイトに関連する暗号化されたデータとを、前記安全な接続のための機器上に格納するステップを更に含む、
請求項4に記載の方法。 - 前記保護されたウェブサイトに関する情報は、URLアドレスと、前記保護されたウェブサイトの前記少なくとも1つの証明書に関する情報と、前記保護されたウェブサイトのドメインに関するWHOIS情報と、前記URLアドレスでの要求に対する応答により取得されたヘッダのリストと、畳み込み又はハッシュサムの形でダウンロードされたスクリプトに関する情報とを含む、
請求項1に記載の方法。 - 前記保護されたウェブサイトに関する取得された情報に基づいて、前記保護されたウェブサイトの有効性をチェックするステップを更に含み、前記情報は、接続を確立する際にダウンロードされたスクリプトについての取得されたヘッダ又はリストを含む、
請求項1に記載の方法。 - 前記認証データを保護されたウェブサイトに送信するための第2認証ファクタを取得するステップを更に含む、
請求項1に記載の方法 - 前記保護されたウェブサイトへのアクセスを可能にするために識別された情報をブラウザアプリケーションに送信した後に、前記ブラウザアプリケーションを使用して前記保護されたウェブサイトへのアクセスを継続することを更に含む、
請求項1に記載の方法。 - 安全なオンライン認証のためのシステムであって、
安全な接続のための機器のプロセッサを少なくとも1つ備え、
前記プロセッサは、決定ステップと、取得ステップと、確立ステップと、実行ステップと、受信ステップと、要求ステップと、有効性チェックステップと、送信ステップとを実行するように構成され、
前記決定ステップでは、安全な接続のための機器のプロセッサを介して、コンピュータ・システムにインストールされたブラウザアプリケーションと保護されたウェブサイトとの間に確立された接続を決定し、
前記取得ステップでは、前記保護されたウェブサイトからの認証要求を取得するブラウザアプリケーションのプラグインに応答して、前記保護されたウェブサイトに関する情報を取得し、
前記確立ステップでは、前記保護されたウェブサイトの少なくとも1つの証明書を受信するために、前記保護されたウェブサイトと前記安全な接続のための機器との間に、保護されたデータを送信するためのチャネルを確立し、
前記受信ステップでは、前記証明書を前記ブラウザアプリケーションのプラグインから受信し、
前記要求ステップでは、ルート証明書を除いた証明書の完全な階層構造を、前記コンピュータ・システムに要求し、
前記有効性チェックステップでは、前記安全な接続のための機器に格納されているルート証明書に基づいて、前記受信ステップで受信した証明書の有効性をチェックし、有効性がチェックできない場合には、前記保護されたデータを送信するためのチャネルを切断し、
前記実行ステップでは、前記有効性がチェックできた場合に、前記安全な接続のための機器に記憶された認証データを前記保護されたウェブサイトへ送信し、
前記送信ステップでは、前記保護されたウェブサイトから得られた認証結果に基づいて、前記保護されたウェブサイトへのアクセスを可能にするために、前記ブラウザアプリケーションに前記安全な接続のための機器から前記ブラウザアプリケーションのプラグインへ新しいセッションの識別子を記憶された認証情報を送信する、
システム。 - 前記決定ステップは、
前記ブラウザアプリケーションによって提供されるAPIを介して前記保護されたウェブサイトのURIアドレスを取得するステップ、又は
ドライバを介して前記ブラウザアプリケーションと前記保護されたウェブサイトとの間のネットワークトラフィックを傍受して、前記保護されたウェブサイトのURIアドレスを取得するステップを含む、
請求項10に記載のシステム。 - 前記プロセッサが、
前記コンピュータ・システムによってアクセスされる前記保護されたウェブサイトのアドレスのリストと、前記保護されたウェブサイトに関する暗号化されたデータとを格納し、
前記コンピュータ・システムによってアクセスされる前記保護されたウェブサイトのアドレスのリストに対して前記保護されたウェブサイトを確認するように更に構成される、
請求項10に記載のシステム - 前記保護されたウェブサイトに関する情報が、URLアドレスと、前記保護されたウェブサイトの前記少なくとも1つの証明書に関する情報と、前記保護されたウェブサイトのドメインに関するWHOIS情報と、前記URLアドレスでの要求に対する応答により取得されたヘッダのリストと、畳み込み又はハッシュサムの形でダウンロードされたスクリプトに関連する情報とを含む、
請求項10に記載のシステム。 - 前記プロセッサが、前記保護されたウェブサイトに関する取得された情報に基づいて、前記保護されたウェブサイトの有効性をチェックするように構成され、前記情報は、接続を確立する際にダウンロードされたスクリプトについての取得されたヘッダ又はリストを含む、
請求項10に記載のシステム。 - 前記プロセッサが、前記保護されたウェブサイトへのアクセスを可能にするために識別情報をブラウザアプリケーションに送信した後、前記ブラウザアプリケーションを使用して前記保護されたウェブサイトへのアクセスを継続するように更に構成される、
請求項10に記載のシステム - 安全なオンライン認証のためのコンピュータが実行可能な命令を格納するコンピュータ上で読み取り可能な不揮発性媒体であって、
前記命令は、決定ステップと、取得ステップと、確立ステップと、受信ステップと、要求ステップと、有効性チェックステップと、実行ステップと、送信ステップを備え、
前記決定ステップでは、安全な接続のための機器のプロセッサを介して、コンピュータ・システムにインストールされたブラウザアプリケーションと保護されたウェブサイトとの間に確立された接続を決定し、
前記取得ステップでは、前記保護されたウェブサイトからの認証要求を取得するブラウザアプリケーションのプラグインに応答して、前記保護されたウェブサイトに関する情報を取得し、
前記確立ステップでは、前記保護されたウェブサイトの少なくとも1つの証明書を受信するために、前記保護されたウェブサイトと前記安全な接続のための機器との間に、保護されたデータを送信するためのチャネルを確立し、
前記受信ステップでは、前記証明書を前記ブラウザアプリケーションのプラグインから受信し、
前記要求ステップでは、ルート証明書を除いた証明書の完全な階層構造を、前記コンピュータ・システムに要求し、
前記有効性チェックステップでは、前記安全な接続のための機器に格納されているルート証明書に基づいて、前記受信ステップで受信した証明書の有効性をチェックし、有効性がチェックできない場合には、前記保護されたデータを送信するためのチャネルを切断し、
前記実行ステップでは、前記有効性がチェックできた場合に、前記安全な接続のための機器に記憶された認証データを前記保護されたウェブサイトへ送信し、
前記送信ステップでは、前記保護されたウェブサイトから得られた認証結果に基づいて、前記保護されたウェブサイトへのアクセスを可能にするために、前記ブラウザアプリケーションに前記安全な接続のための機器から前記ブラウザアプリケーションのプラグインへ新しいセッションの識別子を送信する、
媒体。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2016125283A RU2635276C1 (ru) | 2016-06-24 | 2016-06-24 | Безопасная аутентификация по логину и паролю в сети Интернет с использованием дополнительной двухфакторной аутентификации |
| RU2016125283 | 2016-06-24 | ||
| US15/237,738 US10284543B2 (en) | 2016-06-24 | 2016-08-16 | System and method for secure online authentication |
| US15/237,738 | 2016-08-16 |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2017228264A JP2017228264A (ja) | 2017-12-28 |
| JP2017228264A5 JP2017228264A5 (ja) | 2019-06-27 |
| JP6654985B2 true JP6654985B2 (ja) | 2020-02-26 |
Family
ID=60263850
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016173869A Active JP6654985B2 (ja) | 2016-06-24 | 2016-09-06 | 安全なオンライン認証のためのシステム及び方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US10284543B2 (ja) |
| JP (1) | JP6654985B2 (ja) |
| CN (1) | CN107547494B (ja) |
| RU (1) | RU2635276C1 (ja) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10430894B2 (en) | 2013-03-21 | 2019-10-01 | Khoros, Llc | Gamification for online social communities |
| JP2017228118A (ja) * | 2016-06-23 | 2017-12-28 | 富士通株式会社 | 情報処理装置、情報処理システム、情報処理プログラムおよび情報処理方法 |
| RU2635276C1 (ru) * | 2016-06-24 | 2017-11-09 | Акционерное общество "Лаборатория Касперского" | Безопасная аутентификация по логину и паролю в сети Интернет с использованием дополнительной двухфакторной аутентификации |
| US10999278B2 (en) | 2018-10-11 | 2021-05-04 | Spredfast, Inc. | Proxied multi-factor authentication using credential and authentication management in scalable data networks |
| US10346449B2 (en) | 2017-10-12 | 2019-07-09 | Spredfast, Inc. | Predicting performance of content and electronic messages among a system of networked computing devices |
| RU2697958C1 (ru) * | 2018-06-29 | 2019-08-21 | Акционерное общество "Лаборатория Касперского" | Система и способ обнаружения вредоносной активности на компьютерной системе |
| RU2728506C2 (ru) * | 2018-06-29 | 2020-07-29 | Акционерное общество "Лаборатория Касперского" | Способ блокировки сетевых соединений |
| US10855657B2 (en) * | 2018-10-11 | 2020-12-01 | Spredfast, Inc. | Multiplexed data exchange portal interface in scalable data networks |
| CN110719274B (zh) * | 2019-09-29 | 2022-10-04 | 武汉极意网络科技有限公司 | 网络安全控制方法、装置、设备及存储介质 |
| WO2021222490A1 (en) * | 2020-04-30 | 2021-11-04 | Laboratory Corporation Of America Holdings | Transparent secure link for point-of-care devices |
| US12120078B2 (en) | 2020-09-18 | 2024-10-15 | Khoros, Llc | Automated disposition of a community of electronic messages under moderation using a gesture-based computerized tool |
| US11997093B2 (en) * | 2020-09-30 | 2024-05-28 | Goodwell Technologies, Inc. | Secure private network navigation |
| US11714629B2 (en) | 2020-11-19 | 2023-08-01 | Khoros, Llc | Software dependency management |
| CN118573478A (zh) * | 2024-07-31 | 2024-08-30 | 恒生电子股份有限公司 | 访问验证系统、方法及装置 |
Family Cites Families (35)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030232092A1 (en) | 2002-06-14 | 2003-12-18 | Hasenmayer Donald L. | Liquid antacid compositions |
| JP2004151863A (ja) | 2002-10-29 | 2004-05-27 | Sony Corp | 自動ログインシステム、自動ログイン方法、自動ログインプログラム、及び記憶媒体 |
| GB0305959D0 (en) * | 2003-03-15 | 2003-04-23 | Ibm | Client web service access |
| JP2004318582A (ja) | 2003-04-17 | 2004-11-11 | Nippon Telegraph & Telephone East Corp | ネットワークアクセスシステム及び方法、認証装置、エッジルータ、アクセス制御装置、ならびに、コンピュータプログラム |
| JP4313091B2 (ja) | 2003-05-30 | 2009-08-12 | 株式会社ルネサステクノロジ | 情報処理システム |
| US7457823B2 (en) | 2004-05-02 | 2008-11-25 | Markmonitor Inc. | Methods and systems for analyzing data related to possible online fraud |
| RU2386220C2 (ru) * | 2005-07-07 | 2010-04-10 | Телефонактиеболагет Лм Эрикссон (Пабл) | Способ и устройство для аутентификации и конфиденциальности |
| JP4277835B2 (ja) * | 2005-07-29 | 2009-06-10 | 日本ビクター株式会社 | デジタル放送受信装置 |
| US7613445B1 (en) * | 2005-12-22 | 2009-11-03 | Symantec Corporation | Cost control system for access to mobile services |
| EP1811421A1 (en) * | 2005-12-29 | 2007-07-25 | AXSionics AG | Security token and method for authentication of a user with the security token |
| JP2007334753A (ja) | 2006-06-16 | 2007-12-27 | Nippon Telegr & Teleph Corp <Ntt> | アクセス管理システムおよび方法 |
| US8429734B2 (en) * | 2007-07-31 | 2013-04-23 | Symantec Corporation | Method for detecting DNS redirects or fraudulent local certificates for SSL sites in pharming/phishing schemes by remote validation and using a credential manager and recorded certificate attributes |
| US8245030B2 (en) * | 2008-12-19 | 2012-08-14 | Nai-Yu Pai | Method for authenticating online transactions using a browser |
| US8850526B2 (en) * | 2010-06-23 | 2014-09-30 | K7 Computing Private Limited | Online protection of information and resources |
| US9225510B1 (en) * | 2010-08-17 | 2015-12-29 | Go Daddy Operating Company, LLC | Website secure certificate status determination via partner browser plugin |
| US9117075B1 (en) * | 2010-11-22 | 2015-08-25 | Trend Micro Inc. | Early malware detection by cross-referencing host data |
| CA2724297C (en) * | 2010-12-14 | 2013-11-12 | Xtreme Mobility Inc. | System and method for authenticating transactions through a mobile device |
| US8533834B1 (en) * | 2011-04-22 | 2013-09-10 | Juniper Networks, Inc. | Antivirus intelligent flow framework |
| US20120329388A1 (en) * | 2011-06-27 | 2012-12-27 | Broadcom Corporation | NFC-Enabled Devices to Store and Retrieve Portable Application-Specific Personal Information for Use with Computational Platforms |
| US9520918B2 (en) * | 2011-12-16 | 2016-12-13 | Intel Corporation | Login via near field communication with automatically generated login information |
| US20140173709A1 (en) * | 2011-12-16 | 2014-06-19 | Avigdor Eldar | Secure user attestation and authentication to a remote server |
| US9356804B1 (en) * | 2012-06-12 | 2016-05-31 | Amazon Technologies, Inc. | Policy-based network connection resource selection |
| US20140180931A1 (en) * | 2012-12-07 | 2014-06-26 | David Lie | System and Method for Secure Wi-Fi- Based Payments Using Mobile Communication Devices |
| US9032206B2 (en) * | 2013-02-25 | 2015-05-12 | Surfeasy, Inc. | Rule sets for client-applied encryption in communications networks |
| RU2583710C2 (ru) * | 2013-07-23 | 2016-05-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ обеспечения конфиденциальности информации, используемой во время операций аутентификации и авторизации, при использовании доверенного устройства |
| US20150281227A1 (en) * | 2014-03-31 | 2015-10-01 | Symple ID Inc. | System and method for two factor user authentication using a smartphone and nfc token and for the automatic generation as well as storing and inputting of logins for websites and web applications |
| US9282094B1 (en) * | 2014-06-27 | 2016-03-08 | Emc Corporation | Transparent adaptive authentication and transaction monitoring |
| US9202249B1 (en) * | 2014-07-03 | 2015-12-01 | Palantir Technologies Inc. | Data item clustering and analysis |
| WO2016014593A1 (en) * | 2014-07-22 | 2016-01-28 | Viasat, Inc. | Mobile device security monitoring and notification |
| CN105429934B (zh) * | 2014-09-19 | 2019-07-19 | 腾讯科技(深圳)有限公司 | Https连接验证的方法和装置、可读存储介质、终端 |
| US9473516B1 (en) * | 2014-09-29 | 2016-10-18 | Amazon Technologies, Inc. | Detecting network attacks based on a hash |
| GB2537154B (en) * | 2015-04-09 | 2021-09-08 | Wandera Ltd | Detecting "man-in-the-middle" attacks |
| CN105516169A (zh) * | 2015-12-23 | 2016-04-20 | 北京奇虎科技有限公司 | 检测网站安全的方法及装置 |
| US11785052B2 (en) * | 2016-06-21 | 2023-10-10 | International Business Machines Corporation | Incident response plan based on indicators of compromise |
| RU2635276C1 (ru) * | 2016-06-24 | 2017-11-09 | Акционерное общество "Лаборатория Касперского" | Безопасная аутентификация по логину и паролю в сети Интернет с использованием дополнительной двухфакторной аутентификации |
-
2016
- 2016-06-24 RU RU2016125283A patent/RU2635276C1/ru active
- 2016-08-16 US US15/237,738 patent/US10284543B2/en active Active
- 2016-09-06 JP JP2016173869A patent/JP6654985B2/ja active Active
- 2016-09-29 CN CN201610867335.2A patent/CN107547494B/zh active Active
-
2019
- 2019-02-27 US US16/287,170 patent/US11140150B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN107547494A (zh) | 2018-01-05 |
| US20190199711A1 (en) | 2019-06-27 |
| CN107547494B (zh) | 2020-12-18 |
| JP2017228264A (ja) | 2017-12-28 |
| US10284543B2 (en) | 2019-05-07 |
| US20170374057A1 (en) | 2017-12-28 |
| US11140150B2 (en) | 2021-10-05 |
| RU2635276C1 (ru) | 2017-11-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6654985B2 (ja) | 安全なオンライン認証のためのシステム及び方法 | |
| RU2587423C2 (ru) | Система и способ обеспечения безопасности онлайн-транзакций | |
| US10469251B2 (en) | System and method for preemptive self-healing security | |
| US9071600B2 (en) | Phishing and online fraud prevention | |
| RU2571721C2 (ru) | Система и способ обнаружения мошеннических онлайн-транзакций | |
| US8949978B1 (en) | Efficient web threat protection | |
| D’Orazio et al. | A technique to circumvent SSL/TLS validations on iOS devices | |
| Mannan et al. | Leveraging personal devices for stronger password authentication from untrusted computers | |
| RU2584506C1 (ru) | Система и способ защиты операций с электронными деньгами | |
| D'Orazio et al. | A Markov adversary model to detect vulnerable iOS devices and vulnerabilities in iOS apps | |
| Panos et al. | A security evaluation of FIDO’s UAF protocol in mobile and embedded devices | |
| Mladenov et al. | On the security of modern single sign-on protocols: Second-order vulnerabilities in openid connect | |
| Luvanda et al. | Identifying threats associated with man-in-the middle attacks during communications between a mobile device and the back end server in mobile banking applications | |
| Kaushik et al. | A novel approach to generate a reverse shell: Exploitation and Prevention | |
| Kuchhal et al. | Evaluating the Security Posture of Real-World FIDO2 Deployments | |
| Utakrit | Review of browser extensions, a man-in-the-browser phishing techniques targeting bank customers | |
| Deshpande et al. | Major web application threats for data privacy & security–detection, analysis and mitigation strategies | |
| Luvanda | Proposed framework for securing mobile banking applications from man in the middle attacks | |
| EP3261009B1 (en) | System and method for secure online authentication | |
| Ur Rahman et al. | Practical security for rural internet kiosks | |
| KR102534012B1 (ko) | 컨텐츠 제공자의 보안등급을 인증하는 시스템 및 그 방법 | |
| US12034765B1 (en) | Securing network access with legacy computers | |
| RU2757535C2 (ru) | Способ выявления потенциально опасных устройств, с помощью которых пользователь взаимодействует с банковскими сервисами, по открытым портам | |
| US20240314118A1 (en) | Secure multi-factor authentication | |
| de Andrade | Case study to identify vulnerabilities in applications developed for the Android |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170817 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180626 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180703 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180927 |
|
| A524 | Written submission of copy of amendment under article 19 pct |
Free format text: JAPANESE INTERMEDIATE CODE: A524 Effective date: 20180927 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190226 |
|
| A524 | Written submission of copy of amendment under article 19 pct |
Free format text: JAPANESE INTERMEDIATE CODE: A524 Effective date: 20190521 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190910 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20191209 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191223 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200128 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200131 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6654985 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |