JP6865158B2 - セキュア送信プロトコルを使用して信頼を確立するためのシステム及び方法 - Google Patents

セキュア送信プロトコルを使用して信頼を確立するためのシステム及び方法 Download PDF

Info

Publication number
JP6865158B2
JP6865158B2 JP2017505513A JP2017505513A JP6865158B2 JP 6865158 B2 JP6865158 B2 JP 6865158B2 JP 2017505513 A JP2017505513 A JP 2017505513A JP 2017505513 A JP2017505513 A JP 2017505513A JP 6865158 B2 JP6865158 B2 JP 6865158B2
Authority
JP
Japan
Prior art keywords
authentication
client
key
secure
certificate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017505513A
Other languages
English (en)
Other versions
JP2017528963A (ja
Inventor
ウィリアム ジェイ ブランケ
ウィリアム ジェイ ブランケ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nok Nok Labs Inc
Original Assignee
Nok Nok Labs Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nok Nok Labs Inc filed Critical Nok Nok Labs Inc
Publication of JP2017528963A publication Critical patent/JP2017528963A/ja
Application granted granted Critical
Publication of JP6865158B2 publication Critical patent/JP6865158B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/42User authentication using separate channels for security data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/006Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Storage Device Security (AREA)

Description

本発明は、概して、データ処理システムの分野に関する。より具体的には、本発明は、セキュア送信プロトコルを使用して信頼を確立するためのシステム及び方法に関する。
システムはまた、バイオメトリックセンサを使用してネットワーク上でセキュアなユーザ認証を提供するために設計されている。そのようなシステムにおいて、認証部、及び/又は他の認証データにより生成されたスコアは、遠隔サーバでユーザを認証するためにネットワークで送ることができる。例えば、特許出願第2011/0082801号(「‘801出願」)は、強力な認証(例えば、アイデンティティ盗難やフィッシングに対する保護)、セキュアトランザクション(例えば、「ブラウザにおけるマルウェア」及びトランザクションについての「中間者」攻撃に対する保護)、並びにクライアント認証トークンの登録/管理(例えば、指紋リーダ、顔認識装置、スマートカード、トラステッドプラットフォームモジュールなど)を提供するネットワーク上のユーザ登録及び認証のためのフレームワークについて記載している。
本特許出願の譲受人は、‘801出願に記載された認証フレームワークに対する様々な改善を開発している。これらの改善のうちいくつかは、本件の譲受人に譲渡された以下の一群の米国特許出願(「同時係属出願」)に記載されている:第13/730,761号、Query System and Method to Determine Authentication Capabilities;第13/730,776号、System and Method for Efficiently Enrolling,Registering,and Authenticating With Multiple Authentication Devices;第13/730,780号、System and Method for Processing Random Challenges Within an Authentication Framework;第13/730,791号、System and Method for Implementing Privacy Classes Within an Authentication Framework;第13/730,795号、System and Method for Implementing Transaction Signaling Within an Authentication Framework;及び第14/218,504号Advanced Authentication Techniques and Applications(本明細書では以降「‘504出願」)。
簡潔に述べると、同時係属出願は、ユーザがクライアント装置上のバイオメトリック装置(例えば、指紋センサ)などの認証装置(又は認証部)に登録する認証技術を記載している。ユーザがバイオメトリック装置に登録されるとき、バイオメトリック参照データが、(例えば、指をスワイプする、写真をスナップする、声を録音することなどにより)捕捉される。ユーザは、その後、ネットワーク上で1つ以上のサーバ(例えば、同時係属中の出願で説明されているようにセキュアなトランザクションサービスが装備されたウェブサイト又は他の依拠当事者)に認証装置を登録して、その後、登録プロセス中に交換されるデータ(例えば、認証装置にプロビジョニングされる暗号鍵)を使用してそれらのサーバで認証することができる。認証されると、ユーザは、ウェブサイト又は他の依拠当事者と1つ以上のオンライントランザクションを実行することが許可される。同時係属出願に記載されているフレームワークでは、ユーザを固有に識別するために使用することができる指紋データ及び他のデータなどの機密情報は、ユーザのプライバシーを保護するためにユーザの認証装置上でローカルに保持され得る。‘504出願は、ほんの2〜3の例を挙げると、複合的な認証部を設計し、認証の保証レベルをインテリジェントに生成し、非侵襲型ユーザ検証を使用し、認証データを新しい認証装置に転送し、認証データをクライアントリスクデータによって増強し、認証ポリシーを適応的に適用し、かつトラストサークルを築くための技術を含む様々な追加の技術を記載している。
本発明のより良好な理解は、以下の図面と共に以下の詳細な説明から得ることができる。
セキュアな認証システムアーキテクチャの2つの異なる実施形態を図示している。 セキュアな認証システムアーキテクチャの2つの異なる実施形態を図示している。 鍵を認証装置に登録することができる方法を示すトランザクション図である。 遠隔認証を示すトランザクション図を図示している。 依拠当事者による認証がどのように依拠当事者アプリの使用を必要とし得るかを図示している。 セキュア通信プロトコルを使用して信頼を確立することによって認証を行うためのシステムの一実施形態を図示している。 セキュア通信プロトコルを使用して信頼を確立することによって認証を行うための方法の一実施形態を図示している。 本明細書に記載されるクライアント及び/又はサーバを実装するための例示的なデータ処理アーキテクチャを図示している。 本明細書に記載されるクライアント及び/又はサーバを実装するための別の例示的なデータ処理アーキテクチャを図示している。
以下に説明するものは、高度な認証技術及び関連するアプリケーションを実行するための装置、方法及び機械可読媒体の実施形態である。説明を通して、説明の目的のために、多数の具体的な詳細が本発明の完全な理解を提供するために記載されている。しかしながら、本発明が、これらの具体的な詳細の一部がなくても実施され得ることは当業者にとって明らかであろう。他の例において、周知の構造及び装置は示されていないか、又は、本発明の基本原理を曖昧にすることを避けるためにブロック図の形態で示されている。
以下に説明する本発明の実施形態には、バイオメトリックモダリティ又はPIN入力などのユーザ検証機能を備えた認証装置が含まれる。これらの装置は、本明細書において「トークン」、「認証装置」、又は「認証部」と称される場合がある。特定の実施形態は、顔認識ハードウェア/ソフトウェア(例えば、ユーザの顔を認識してユーザの眼の動きを追跡するためのカメラ及び関連するソフトウェア)にフォーカスしており、いくつかの実施形態は、例えば、指紋センサ、音声認識ハードウェア/ソフトウェア(例えば、マイクロフォン及びユーザの音声を認識するための関連するソフトウェア)、及び、光学的認識機能(例えば、ユーザの網膜をスキャンするための光学スキャナ及び関連するソフトウェア)を含む追加のバイオメトリック装置を利用することができる。ユーザ検証機能は、PIN入力のような、非バイオメトリックモダリティを含んでもよい。認証部は、暗号動作及び鍵記憶のためにトラスデッドプラットフォームモジュール(TPM)、スマートカード及びセキュアエレメントのような装置を使用することがあり得る。
モバイルバイオメトリックの実装において、バイオメトリック装置は、依拠当事者から遠隔にあってもよい。本明細書では、「遠隔」という用語は、バイオメトリックセンサが通信可能に結合されているコンピュータのセキュリティ境界の一部ではない(例えば、依拠当事者コンピュータと同じ物理的筐体内に埋め込まれていない)ことを意味する。一例として、バイオメトリック装置は、ネットワーク(例えば、インターネット、無線ネットワークリンクなど)を介して又はUSBポートなどの周辺入力を介して依拠当事者に結合することができる。これらの条件下では、その装置が依拠当事者(例えば、認証強度及び完全性保護の許容可能なレベルを提供するもの)によって認証されるものであるかどうか及び/又はハッカーがバイオメトリック装置を侵害したかどうか若しくは更には交換したかどうかを依拠当事者が知る方法はない可能性がある。バイオメトリック装置における信頼は、装置の特定の実装に依存する。
「ローカル」という用語は、ユーザが現金自動預け払い機(ATM)又は店舗販売時点情報管理(POS)小売チェックアウトの位置などの特定の位置において個人がトランザクションを完了していることを意味するために本明細書において使用される。しかしながら、以下に説明するように、ユーザを認証するために用いられる認証技術は、遠隔サーバ及び/又は他のデータ処理装置とのネットワークを介した通信などの非位置要素を含むことができる。更に、具体的な実施形態が(ATMや小売店など)本明細書において記載されるが、本発明の基礎原理は、トランザクションがエンドユーザによってローカルに開始される任意のシステムのコンテキスト内で実装されてもよいことに留意すべきである。
「依拠当事者」という用語は、単にユーザのトランザクションを実行しようとしているエンティティ(例えば、ユーザトランザクションを実行するウェブサイト又はオンラインサービス)のみならず、本明細書に記載された基礎となる認証技術を実行することができるそのエンティティの代わりに実装されるセキュアトランザクションサーバ(「au」と称されることがある)を指すために本明細書において使用される場合もある。セキュアトランザクションサーバは、所有される及び/又は依拠当事者の制御下にあってもよく、又は、事業構成の一部として依拠当事者に対してセキュアトランザクションサービスを提供する第三者の制御下にあってもよい。
「サーバ」という用語は、クライアントからネットワークを介してリクエストを受信し、応答として1つ以上の操作を実行し、クライアントに通常は操作の結果を含む応答を送信するハードウェアプラットフォーム上で(又は複数のハードウェアプラットフォームにわたって)実行されるソフトウェアを指すために本明細書において使用される。サーバは、クライアントに対してネットワーク「サービス」を提供する又は提供するのに役立つように、クライアントのリクエストに応答する。重要なことは、サーバが単一のコンピュータ(例えば、サーバソフトウェアを実行する単一のハードウェア装置)に限定されるものではなく、実際には、潜在的に複数の地理的位置における複数のハードウェアプラットフォームにまたがってもよいということである。
例示的なシステムアーキテクチャ及びトランザクション
図1A及び図1Bは、認証装置の登録及びユーザ認証に関して、クライアント側及びサーバ側の構成要素を含むシステムアーキテクチャの2つの実施形態を例示する。図1Aに示される実施形態は、ウェブサイトと通信するためのウェブブラウザプラグインベースのアーキテクチャを使用する一方で、図1Bで示される実施形態は、ブラウザを必要としない。ユーザを認証装置に登録すること、認証装置をセキュアなサーバに登録すること、及びユーザを検証することなどの、本明細書に記載の様々な技術は、これらのシステムアーキテクチャのうちのどちらにも実装され得る。このため、図1Aに示されるアーキテクチャは、以下に説明される実施形態のうちのいくつかの動作を例証するために使用されているものの、同じ基本原理は、図1Bに示されるシステムに容易に実装され得る(例えば、サーバ130とクライアント上のセキュアトランザクションサービス101との間の通信手段としてのブラウザプラグイン105を削除することによって)。
まず図1Aを参照すると、図示されている実施形態は、エンドユーザを登録及び検証するための1つ以上の認証装置110〜112(当該技術分野では、「トークン」又は「認証部」と称される場合もある)を備えたクライアント100を含む。上述したように、認証装置110〜112は、指紋センサ、音声認識ハードウェア/ソフトウェア(例えば、ユーザの音声を認識するためのマイクロフォン及び関連するソフトウェア)、顔認識ハードウェア/ソフトウェア(例えば、ユーザの顔を認識するためのカメラ及び関連するソフトウェア)、及び光学認識機能(ユーザの網膜をスキャンするための光スキャナ及び関連するソフトウェア)などのバイオメトリック装置、並びにPIN検証などの非バイオメトリック様相のサポートを含むことができる。認証装置は、トラステッドプラットフォームモジュール(TPM)、スマートカード、又はセキュアな要素を暗号操作及び鍵記憶のために使用してもよい。
認証装置110〜112は、セキュアトランザクションサービス101によって露出されたインターフェース102(例えば、アプリケーションプログラミングインターフェース又はAPI)を介してクライアントに通信可能に接続されている。セキュアトランザクションサービス101は、ネットワークを介して1つ以上のセキュアトランザクションサーバ132〜133と通信を行い、かつウェブブラウザ104のコンテキスト内で実行されるセキュアトランザクションプラグイン105とインターフェースするためのセキュアアプリケーションである。図示されたように、インターフェース102はまた、装置識別コードなどの認証装置110〜112のそれぞれに関連する情報、ユーザ識別コード、認証装置により保護されたユーザ登録データ(例えば、スキャンされた指紋又は他のバイオメトリックデータ)、及び本明細書に記載されたセキュア認証技術を実行するために使用される認証装置によりラップされた鍵を記憶するクライアント100のセキュア記憶装置120に対するセキュアアクセス権を提供することができる。例えば、以下に詳細に説明するように、固有の鍵は、認証装置のそれぞれに記憶され、インターネットなどのネットワークを介してサーバ130と通信するときに使用することができる。
後述するように、特定の種類のネットワークトランザクションは、ウェブサイト131又は他のサーバとのHTTP又はHTTPSトランザクションなどのセキュアトランザクションプラグイン105によって、サポートされる。一実施形態において、セキュアトランザクションプラグインは、セキュアエンタープライズ又はウェブデスティネーション130内のウェブサーバ131(以下では単に「サーバ130」と称されることもある)によってウェブページのHTMLコード内に挿入された特定のHTMLタグに応答して開始される。そのようなタグを検出することに応答して、セキュアトランザクションプラグイン105は、処理のために、セキュアトランザクションサービス101に、トランザクションを転送することができる。更に、特定の種類のトランザクション(例えば、セキュア鍵交換などの)について、セキュアトランザクションサービス101は、オンプレミストランザクションサーバ132(すなわち、ウェブサイトと同じ位置に配置された)又はオフプレミストランザクションサーバ133との直接の通信チャンネルを開くことができる。
セキュアトランザクションサーバ132〜133は、ユーザデータ、認証装置データ、鍵、及び、後述するセキュア認証トランザクションをサポートするために必要な他のセキュア情報を記憶するためにセキュアトランザクションデータベース120に結合される。しかしながら、本発明の基本原理は、図1Aに示されるセキュアエンタープライズ又はウェブデスティネーション130内の論理的な構成要素の分離を必要としないことに留意すべきである。例えば、ウェブサイト131及びセキュアトランザクションサーバ132〜133は、単一の物理サーバ又は他の物理サーバ内に実装されてもよい。更に、ウェブサイト131及びトランザクションサーバ132〜133は、以下に説明する機能を実行するための1つ以上のサーバ上で実行される統合されたソフトウェアモジュール内に実装されてもよい。
上述したように、本発明の基本原理は、図1Aに示されるブラウザベースアーキテクチャに限定されるものではない。図1Bは、スタンドアロンアプリケーション154がネットワークを介してユーザを認証するためにセキュアトランザクションサービス101によって提供される機能を利用する代替の実施形態を示している。一実施形態において、アプリケーション154は、以下に詳細に説明したユーザ/クライアント認証技術を実行するためのセキュアトランザクションサーバ132〜133に依存する1つ以上のネットワークサービス151との通信セッションを確立するように設計されている。
図1A及び図1Bに示された実施形態のどちらにおいても、セキュアトランザクションサーバ132〜133は、次いでセキュアトランザクションサービス101に対してセキュアに伝送され、かつセキュア記憶装置120内の認証装置に記憶される鍵を生成することができる。更に、セキュアトランザクションサーバ132〜133は、サーバ側のセキュアトランザクションデータベース120を管理する。
認証装置を遠隔で登録し、依拠当事者により認証を行うことと関連するある特定の基本原理は、図2〜5に関連して記載されており、セキュアな通信プロトコルを使用して信頼を確立するための本発明の実施形態の詳細な説明がそれに続いている。
図2は、クライアントの認証装置(図1A〜Bのクライアント100の装置110〜112など)を登録するための一連のトランザクションを図示している。簡略化するために、セキュアトランザクションサービス101及びインターフェース102は、認証クライアント201として一緒に組み合わされ、セキュアトランザクションサーバ132〜133を含むセキュアエンタープライズ又はウェブデスティネーション130は、依拠当事者202として表されている。
認証部(例えば、指紋認証部、音声認証部など)の登録の際、認証部と関連付けられた鍵が、認証クライアント201と依拠当事者202との間で共有される。図1A〜Bを再度参照すると、この鍵は、クライアント100のセキュア記憶装置120及びセキュアトランザクションサーバ132〜133によって使用されるセキュアトランザクションデータベース120内に記憶され得る。一実施形態において、鍵は、セキュアトランザクションサーバ132〜133のいずれかによって生成された対称鍵である。しかしながら、以下に説明される他の実施形態では、非対称鍵が使用される。本実施形態では、公開鍵/秘密鍵の対は、セキュアトランザクションサーバ132〜133によって生成され得る。次いで、公開鍵はセキュアトランザクションサーバ132〜133によって記憶され得、関連する秘密鍵は、クライアントのセキュア記憶装置120に記憶され得る。代替的な実施形態では、鍵(複数可)は、(例えば、セキュアトランザクションサーバ132〜133ではなく認証装置又は認証装置インターフェースによって)クライアント100で生成されてもよい。本発明の基本原理は、任意の特定の種類の鍵又は鍵の生成方法に限定されるものではない。
一実施形態では、セキュアな鍵プロビジョニングプロトコルが、セキュア通信チャネルを介して鍵をクライアントと共有するのに用いられる。鍵プロビジョニングプロトコルの一例は、動的対称鍵プロビジョニングプロトコル(DSKPP)である(例えば、コメントリクエスト(RFC)6063を参照されたい)。しかしながら、本発明の基本原理は、いかなる特定の鍵プロビジョニングプロトコルにも限定されるものではない。1つの特定の実施形態では、クライアントは、公開鍵/秘密鍵の対を生成し、公開鍵をサーバに送信し、これが、証明鍵によって証明され得る。
図2に示される具体的な詳細を参照すると、登録プロセスを開始するために、依拠当事者202は、装置登録時に認証クライアント201によって提示する必要のあるランダム生成チャレンジ(例えば、暗号化ナンス)を生成する。ランダムチャレンジは、限られた期間について有効であり得る。それに応答して、認証クライアント201は、依拠当事者202との帯域外セキュア接続(例えば、帯域外トランザクション)を開始し、鍵プロビジョニングプロトコル(例えば、上述のDSKPPプロトコル)を使用して、依拠当事者202と通信する。セキュア接続を開始するために、認証クライアント201は、ランダムチャレンジを依拠当事者202に戻すことができる(ランダムチャレンジに対して生成された署名を伴い得る)。加えて、認証クライアント201は、登録されるべきユーザのアイデンティティ(例えば、ユーザID又は他のコード)及び認証装置(複数可)のアイデンティティ(例えば、登録されている認証装置(複数可)の種類を固有に識別する認証証明ID(AAID)を使用して)を送信し得る。
依拠当事者は、ユーザ名又はIDコード(例えば、ユーザアカウントデータベース内の)によりユーザの位置を特定し、ランダムチャレンジを検証し(例えば、署名を使用して、又はランダムチャレンジと送信されたものとを単純に比較することで)、認証装置の認証コード(例えば、AAID)が送信された場合にはそれを検証し、セキュアトランザクションデータベース(例えば、図1A〜Bのデータベース120)にユーザ及び認証装置(複数可)に関する新たなエントリを作成する。一実施形態において、依拠当事者は、依拠当事者が認証を許容する認証装置のデータベースを維持する。依拠当事者は、AAID(又は他の認証装置(複数可)のコード)をこのデータベースに照会し、登録されている認証装置(複数可)の認証が許容できるかどうかを判定することができる。許容できる場合、登録プロセスへと進むことになる。
一実施形態において、依拠当事者202は、登録されているそれぞれの認証装置に対して、認証鍵を生成する。依拠当事者は、鍵をセキュアデータベースに書き込み、鍵プロビジョニングプロトコルを使用して鍵を認証クライアント201へと送り返す。完了すると、認証装置及び依拠当事者202は、対称鍵が使用された場合には同じ鍵を共有し、非対称鍵が使用された場合には異なる鍵を共有する。例えば、非対称鍵が使用された場合には、依拠当事者202は、公開鍵を記憶し、秘密鍵を認証クライアント201に提供してもよい。依拠当事者202から秘密鍵を受け取ると、認証クライアント201は、この鍵を認証装置にプロビジョニングする(認証装置と関連付けられたセキュア記憶装置内にそれを記憶する)。次いで、(以下に記載されるように)ユーザの認証時にこの鍵を使用することができる。代替的な実施形態では、鍵(複数可)は、認証クライアント201によって生成され、鍵プロビジョニングプロトコルを使用して、鍵(複数可)が依拠当事者202に提供される。いずれの場合でも、プロビジョニングが完了すると、認証クライアント201及び依拠当事者202はそれぞれが鍵を有し、認証クライアント201が、依拠当事者に完了を通知する。
図3は、登録された認証装置によるユーザ認証のための一連のトランザクションを図示している。装置の登録が完了すると(図2に記載されるように)、依拠当事者201は、クライアント上のローカル認証装置によって生成された認証応答(「トークン」と称されることもある)を、有効な認証応答として受け入れる。
図3に示される具体的な詳細を参照すると、認証を要求する依拠当事者202とのトランザクションをユーザが開始すること(例えば、依拠当事者のウェブサイトから支払いを開始する、プライベートのユーザアカウントデータにアクセスするなど)に応じて、依拠当事者202は、ランダムチャレンジ(例えば、暗号化ナンス)を含む認証リクエストを生成する。一実施形態において、ランダムチャレンジは、それと関連付けられた制限時間を有する(例えば、指定された期間について有効である)。依拠当事者はまた、認証クライアント201が認証に使用することになる認証部を識別することができる。上述のように、依拠当事者は、クライアント上で利用可能なそれぞれの認証装置を登録することができ、登録されたそれぞれの認証部に対する公開鍵を記憶する。このため、使用されることになる認証部を識別するために、認証部の公開鍵を使用してもよく、又は認証部ID(例えば、AAID)を使用してもよい。あるいは、クライアントに認証オプションの一覧を提供することもでき、ユーザがそこから選択してもよい。
認証リクエストの受信に応答して、ユーザには、認証をリクエストするグラフィカルユーザインターフェース(GUI)が(例えば、ウェブページ又は認証アプリケーション/アプリのGUIの形態で)提示され得る。次いで、ユーザが認証を行う(例えば、指紋リーダ上で指をスワイプするなど)。これに応じて、認証クライアント201は、認証部と関連付けられた秘密鍵を用いてランダムチャレンジに対する署名を含む認証応答を生成する。これは、認証応答にユーザIDコードなどの他の関連デーも含む場合がある。
認証応答を受信すると、依拠当事者は、ランダムチャレンジに対する署名を検証し(例えば、認証部と関連付けられた公開鍵を使用して)、ユーザのアイデンティティを確認する。図示されるように、認証が完了すると、ユーザは、依拠当事者とのセキュアトランザクションに入ることが許される。
図2〜3に図示されるトランザクションのいずれか又は全てに関して、トランスポート層セキュリティ(TLS)又はセキュアソケット層(SSL)などのセキュア通信プロトコルを使用して、依拠当事者201と認証クライアント202との間のセキュア接続を確立してもよい。
セキュア送信プロトコルを使用して信頼を確立するためのシステム及び方法
上述のように、遠隔認証を使用するある特定の実装形態では、依拠当事者と認証クライアントとの間でデータをセキュアに交換するためにTLS又はSSLなどのセキュア通信プロトコルが使用され得る。簡単に述べると、TLS及びSSLは、通常はセキュアでない通信チャネル(例えば、インターネット)上でセキュアな通信を提供する暗号化プロトコルである。これらは、対称鍵を交換するための非対称暗号を実装するX.509証明書を使用している。次いで、この対称鍵は、当事者間でデータチャネルを暗号化するための通信セッション中に使用される。本詳細な説明の残りの部分ではTLSの使用に焦点を当てることになるが、本発明の基本原理は、SSLなどの他の暗号化プロトコルを使用して実装されてもよい。
一実施形態において、TLSは、依拠当事者と認証クライアントとの間の通信チャネルをセキュアにし、送信者のアイデンティティを検証するために使用される。すなわち、X.509証明書によりサポートされる非対称暗号を使用することで、一方の当事者(例えば、認証クライアント)は、相手側(例えば、依拠当事者)のアイデンティティを検証する能力を有し、逆もまた同様である。相手側のアイデンティティは、コード又は名称に埋め込まれていてもよく、このコード又は名称は、依拠当事者を識別するか(例えば、「RPNAME」)、又は認証クライアント若しくは依拠当事者との通信チャネルを確立するのに使用されるクライアント側の特定のアプリケーションを識別する(例えば、「AppID」)。認証クライアントと依拠当事者との間に直接的なチャネルが存在する場合(上述の例のように)、データは典型的にインターネットを介して送信され、かつTLSが常に利用可能であるため、TLSの使用はこの目的を十分に果たす。
しかしながら、iOS(商標)、Android(商標)、及び近距離無線通信(NFC)トランザクションなどのある特定のコンピューティング装置プラットフォームでは、このTLSの前提は適用されない。図4に概して示されるように、これらのプラットフォームでは、依拠当事者アプリ410などの第三者コードが、依拠当事者402と認証クライアント401との間の全ての通信を管理することが予測される。したがって、依拠当事者アプリ410は、本質的に、依拠当事者402と認証クライアント401との間の中間者のように機能する。更に、認証クライアント401は、依拠当事者アプリ410によって確立されたTLS接続の有効性に関する情報を有さない。(示されるように)IPC機構を使用してこの判定を行い、認証リクエストを受け渡すことに関して、単純に第三者コードに依拠しなければならない。これらのIPC機構は、送信するアプリの識別コード(例えば、「バンドルID」)へのアクセスを有するが、バンドルIDを使用して送信者/受信者のアイデンティティ(例えば、RPNAME、AppID)を検証することに関しては、オペレーティングシステムと、依拠当事者アプリを配布しているアプリストアによって実装されている点検プロセスの管理に依拠するところが大きい。
NFCでは、この状況は更に悪いが、これは、送信機構に付随するバンドルIDなどの識別コードがないためである。NFCは、一般的な多目的インターネットメール拡張(MIME)ハンドラによって扱われる。認証クライアント401は、主張されている識別コード(例えば、RPNAME)がどのようなものであっても正しく、認証リクエストが有効なソースから来ていると見なさざるを得ない。
より具体的には、iOS装置では、認証クライアント401と通信しているアプリ410は、多要素認証クライアントのAppDelegateコードでopenURL()呼び出しのsourceApplicationパラメータを用いて判定される:−(BOOL)application:(UIApplication *)application openURL:(NSURL *)url sourceApplication:(NSString *)sourceApplication annotation:(id)annotation
この例では、sourceApplicationは、呼び出しアプリのバンドルIDを含んでいる。バンドルIDは、Apple(商標)データベースにおいてアプリを特定する、呼び出しアプリのplist manifest内の固有のストリングである。バンドルIDは、その会社の基本URLを逆の表記で(例えば、com.paypal.app)使用して部分的に構築されることが推奨されている。そのため、Appleは、そのアプリが他のアプリケーションになりすまそうとしないように、このストリングを点検するものと考えられる。
Android装置については、現在のトランザクションを処理されている多要素認証プロセスに送信した依拠当事者プロセスに割り当てたれたLinux uidを返す、例えば以下のgetCallingUid()が、まずシステムBinderから呼び出される:
int callerUId=Binder.getCallingUid();;
アプリは、次いで、システムPackageManagerからそのユーザのIDと関連付けられているパッケージを取り出す。パッケージは、依拠当事者の基本URLを構成要素として用いるが、逆の表記で命名されている(例えば、「com.fido.android.sample.app.paypal」)。例えば、
String packageNames[]=mPackageManager.getPackagesForUid(callerUId);;
NFCでは、相手側の識別子(例えば、RPNAME又はAppID)にマッピングすることができる、信頼性のある情報の断片は存在しない。AndroidにおけるNFCでは、リクエストは、多目的インターネットメール拡張(MIME)ハンドラを介して入来し、呼び出し側を特定することはできない。したがって、リクエストに含まれているいずれの識別子も、有効である場合もそうでない場合もある。
本発明の一実施形態は、信頼済み証明書を用いて認証リクエスト及び発行元識別子に署名することによって、これらの制限に対処する。携帯型装置のルート証明書ストアに対して検証され得るウェブサーバからのSSL X.509証明書は、一実施形態において採用される1つのオプションである。しかしながら、依拠当事者の認証サーバは、鍵へのアクセスを有さない場合がある。特に認証サーバ用に新たなX.509証明書を生成することは、もう1つのオプションであるが、これは、更に別のX.509証明書を管理するための追加オーバーヘッドを意味する。
この問題を回避するために、図5に示される本発明の一実施形態は、分散型公開鍵基盤(decentralized public key infrastructure(PKI))からの自己署名証明書を使用して、依拠当事者502の認証サーバ520からの認証リクエスト及び対応する発行元識別子(例えば、「RPNAME」識別子)に署名する。具体的には、一実施形態において、自己署名証明書は、秘密鍵522と、認証サーバ520の公開鍵ファイル525に記憶されている1つ以上の公開鍵とから構成される。
X.509証明書とは異なり、これらの自己署名証明書は、それらと信頼済みルート証明書とをつなぐ鎖が存在しないため、それら自体によって信頼済みとはならない。
一実施形態において、信頼を確立するために、ウェブサーバの公開鍵ファイル525に記憶されている公開鍵は、信頼済み証明書526(例えば、TLS接続を確立するために使用される既存のX.509信頼済み証明書など)を用いて確立されたセキュア通信チャネルを介してクライアント装置500(例えば、携帯電話)の認証クライアント530へと送信される。TLSの使用は、公開鍵ファイル525内の脆弱な自己署名公開鍵が、正しい所有者から得られることを確実にするが、これは、ウェブサーバからインターネットを介してそれらを送信するのに使用された信頼済み証明書/鍵526を、ルート証明書ストア(X.509又は他の既知の標準規格が使用される場合)に対して検証することができるためである。ファイル内のこれらの自己署名公開鍵526は、次いで、暗黙のうちに信頼され、発行元識別子(例えば、RPNAME)を含む認証リクエスト523を検証するために使用することができる。
認証リクエスト523は、図3に関して上述されたものと同じ様式かつ同じ条件下で、認証サーバ520によって生成され得る。例えば、認証サーバ520は、ランダムチャレンジを生成し、使用されるべきクライアント側の認証部を(例えば、認証部に登録されている公開鍵で)識別することができる。ランダムチャレンジ及び認証部ID情報は、認証リクエスト523にパッケージングされてもよい。
追加として、一実施形態では、認証リクエスト523は、分散型PKIの秘密鍵522を用いて署名される。上述のように、一実施形態では、秘密鍵522は、ファイル525内の公開鍵に対応する。例えば、秘密鍵522によって生成された任意の署名を、公開鍵のうちの1つを用いて検証することができる。
ここでも、信頼を確立するために、認証サーバ520において秘密鍵522を用いて署名された認証リクエスト523は、信頼済み証明書521(例えば、TLS接続を確立するために使用される既存のX.509の信頼済み証明書など)を用いて確立されたセキュア通信チャネルを介してクライアント装置500の依拠当事者アプリ510へと送信される。一実施形態において、信頼済み証明書521は、認証クライアント530とのTLSチャネルを確立するために使用した信頼済み証明書526と同じである。秘密鍵により署名された認証リクエスト523は、次いで、発行元識別子(例えば、依拠当事者を識別するためのRPNAME)と共に、TLSチャネルを使用して、依拠当事者アプリ510へと送信される。
一実施形態において、依拠当事者アプリ510は、基本的な秘密鍵により署名された認証リクエストを抽出し(すなわち、TLSデータをストリップし)、クライアント装置500の認証クライアント530にそれを提供する。依拠当事者アプリ510は、既知のプロセス間通信(IPC)機構を用いて認証クライアント530と通信してもよい。しかしながら、本発明の基本原理は、クライアント装置500において情報を交換するためのいずれの特定の通信機構にも限定されない。
秘密鍵により署名された認証リクエスト523を受信すると、認証クライアント530は、公開鍵ファイルからの公開鍵を使用して署名を検証する。署名が有効である場合、クライアントは、上述のように認証応答を生成する。例えば、クライアントは、ユーザによる認証の成功に応答して、認証部の秘密鍵を使用して、認証リクエスト523に含まれているランダムチャレンジに対する署名を生成し、結果として生じる認証応答を認証サーバ520に送信し得る(例えば、直接又は依拠当事者アプリ510を介してのいずれかで)。認証サーバ520が対応する公開認証部鍵を用いて署名を検証すると、ユーザは、依拠当事者502に認証され、所望されるトランザクションを完了させることが認められる。
本明細書に記載される技法を用いることで、認証リクエスト523及び発行元識別子(例えば、RPNAME)は、集中型SSL X.509鍵によって暗号化された状態で検証され、同時に、分散型PKIにより得られる柔軟性と最小限の管理オーバーヘッドが保持される。証明書を含むファイルがある特定のウェブサーバに位置するという事実を用いることにより、暗黙のうちに自己署名証明書の有効性を信頼することは、いくつかの危険性を有する。ウェブサーバ上のこのファイルを改変する能力がある者であれば、公開鍵を変更することができる。しかしながら、このファイルへのアクセスがX.509証明書を管理する能力と同程度に注意深く保護されている限りは、両方の解決法によって与えられる信頼も、同程度となるはずである。
本発明の一実施形態による方法が図6に示されている。本方法は、図5に示されているアーキテクチャを用いて実装することができるが、任意の特定のアーキテクチャに限定されるものではない。
601において、第1の認証関連通信が、依拠当事者の代わりに認証サーバで生成される。一実施形態において、第1の認証関連通信は、(例えば、ランダムチャレンジ、認証部IDなどを含む)上述の認証リクエスト523を含む。
602において、第1の認証関連通信は、分散型公開鍵基盤(PKI)からの自己署名証明書の第1の鍵を使用して署名される。一実施形態において、第1の鍵は、上述の秘密鍵522を含む。
603において、既存の信頼済み通信基盤を用いてクライアント装置の依拠当事者アプリとの第1のセキュアチャネルが確立される。一実施形態では、既存の信頼済み通信基盤を用いることは、依拠当事者とのセキュアなトランスポート層セキュリティ(TLS)チャネルを確立するために信頼済みX.509証明書を用いることを含む。
604において、第1の認証関連通信が、第1のセキュア通信チャネルを介して依拠当事者アプリに送信される。上述のように、一実施形態では、発行元識別子(例えば、RPNAME)がこの通信と共に提供される。
605において、既存の信頼済み通信基盤を使用して、クライアント装置上の認証クライアントとの第2のセキュア通信チャネルが確立される。上述のように、一実施形態では、既存の信頼済み通信基盤を用いることは、依拠当事者とのセキュアなTLSチャネルを確立するために信頼済みX.509証明書を用いることを含む。
606において、分散型PKIからの自己署名証明書の第2の鍵が、第2のセキュア通信チャネルを介して認証クライアントに送信される。一実施形態では、第2の鍵は、分散型PKIからの自己署名証明書と関連付けられた公開鍵を含む。1つ以上の追加の鍵が、(上述のように)公開鍵ファイル526により提供されてもよい。
607において、署名を伴う第1の認証関連通信が、依拠当事者アプリから認証クライアントに提供される。一実施形態では、これは、クライアント装置上の既存のプロセス間通信(IPC)に従って行われる。
608において、認証クライアントは、第2の鍵を用いて、第1の鍵により生成された署名を検証する。検証が成功すると、認証クライアントは、第1の認証関連通信に応答して第2の認証関連通信を生成する。例えば、上述のように、第1の認証関連通信が認証リクエストを含む場合、第2の認証関連通信は、認証応答を含み得る。応答を生成するために、認証クライアントは、クライアント装置で認証を行うように(例えば、指をスワイプする、音声を記録する、コードを入力するなど)ユーザにリクエストし得る。認証が成功すると、認証クライアントは、認証リクエストと共に提供されるランダムチャレンジなどの他の検証可能情報と併せて、認証が成功したことの指示を送信し得る。認証サーバが第2の認証関連通信を受信すると、ユーザは、依拠当事者により認証され、依拠当事者とのトランザクションに入ることが認められ得る。
例示的なデータ処理装置
は、本発明のいくつかの実施形態において使用することができる例示的なクライアント及びサーバを図示するブロック図である。図は、コンピュータシステムの様々な構成要素を図示しているが、そのような詳細は本発明に適切でないため、構成要素を相互接続する任意の特定のアーキテクチャ又は方法を表すことを意図するものではないことを理解すべきである。より少ない構成要素又は複数の構成要素を有する他のコンピュータシステムもまた、本発明によって使用可能であることが理解されるであろう。
図7に示されるように、データ処理システムの形態であるコンピュータシステム700は、処理システム720に結合されているバス750と、電源725と、メモリ730と、不揮発性メモリ740(例えば、ハードドライブ、フラッシュメモリ、相変化メモリ(PCM)など)とを含む。バス750は、当該技術分野において周知であるように、様々なブリッジ、コントローラ及び/又はアダプタを介して互いに接続され得る。処理システム720は、メモリ730及び/又は不揮発性メモリ740から命令を取得することができ、上述したように動作を実行するための命令を実行することができる。バス750は、上記構成要素を一体に相互接続し、また、任意のドック760、ディスプレイコントローラ及びディスプレイ装置770、入力/出力装置780(例えば、NIC(ネットワークインターフェースカード)、カーソル制御(例えば、マウス、タッチスクリーン、タッチパッドなど)、キーボードなど)及び任意の無線送受信機790(例えば、ブルートゥース(登録商標)、WiFi、赤外線など)にそれらの構成要素を相互接続する。
図8は、本発明のいくつかの実施形態において使用され得る例示的なデータ処理システムを図示するブロック図である。例えば、データ処理システム800は、ハンドヘルドコンピュータ、パーソナルディジタルアシスタント(PDA)、携帯電話、ポータブルゲームシステム、ポータブルメディアプレーヤ、タブレット、又は、携帯電話、メディアプレーヤ及び/又はゲームシステムを含むことができるハンドヘルドコンピューティング装置とすることができる。他の例として、データ処理システム800は、ネットワークコンピュータ又は他の装置内の埋め込み処理装置とすることができる。
本発明の一実施形態によれば、データ処理システム800の例示的なアーキテクチャは、上述した携帯機器のために使用することができる。データ処理システム800は、集積回路上の1つ以上のマイクロプロセッサ及び/又はシステムを含むことができる処理システム820を含む。処理システム820は、メモリ810、(1つ以上のバッテリを含む)電源825、オーディオ入力/出力840、ディスプレイコントローラ及びディスプレイ装置860、任意の入力/出力850、入力装置870及び無線送受信機830に連結されている。図8には示されていない追加の構成要素はまた、本発明の特定の実施形態においてデータ処理システム800の一部であってもよく、本発明の特定の実施形態において図8に示されるよりも少ない構成要素が使用可能であることが理解されるであろう。更に、図8には示されていない1つ以上のバスは、当該技術分野において周知であるように様々な構成要素を相互接続するために使用することができることが理解されるであろう。
メモリ810は、データ処理システム800による実行のためのデータ及び/又はプログラムを記憶する。オーディオ入力/出力840は、例えば、音楽を再生するためにマイクロフォン及び/又はスピーカを含むことができ、並びに/又はスピーカ及びマイクロフォンを介して電話機能を提供することができる。ディスプレイコントローラ及びディスプレイ装置860は、グラフィカルユーザインターフェース(GUI)を含むことができる。無線(例えば、RF)送受信機830(例えば、WiFi送受信機、赤外線送受信機、ブルートゥース送受信機、無線携帯電話送受信機など)は、他のデータ処理システムと通信するために使用することができる。1つ以上の入力装置870は、ユーザがシステムに入力を提供するのを可能にする。これらの入力装置は、キーパッド、キーボード、タッチパネル、マルチタッチパネルなどであってもよい。任意の他の入力/出力850は、ドック用コネクタであってもよい。
上述したように、本発明の実施形態は、様々な工程を含んでもよい。工程は、汎用又は特殊目的のプロセッサに特定の工程を実行させる機械実行可能な命令で具現化され得る。代替的に、これらの工程は、工程を実行するためのハードワイヤードロジックを含む特定のハードウェア構成要素によって又はプログラミングされたコンピュータ構成要素及びカスタムハードウェア構成要素の任意の組み合わせによって実行することができる。
本発明の要素はまた、機械実行可能なプログラムコードを記憶する機械可読媒体として提供することができる。機械可読媒体としては、フロッピーディスク、光ディスク、CD−ROM及び光磁気ディスク、ROM、RAM、EPROM、EEPROM、磁気若しくは光カード、又は、電子プログラムコードを記憶するのに適した他の種類の媒体/機械可読媒体を挙げることができるが、これらに限定されるものではない。
上記の説明全体を通じて、説明の目的のために、多数の具体的な詳細が本発明の完全な理解を提供するために記載された。しかしながら、本発明は、これらの具体的な詳細の一部がなくても実施され得ることは、当業者にとって明らかであろう。例えば、本明細書に記載された機能モジュール及び方法は、ソフトウェア、ハードウェア又はそれらの任意の組み合わせとして実装されてもよいことは、当業者にとって容易に明らかであろう。更に、本発明のいくつかの実施形態は、モバイルコンピューティング環境のコンテキストで本明細書において記載されているが、本発明の基本原理は、モバイルコンピューティングの実装に限定されるものではない。実質的に任意の種類のクライアント又はピアデータ処理装置は、例えば、デスクトップ又はワークステーションコンピュータを含むいくつかの実施形態で使用することができる。したがって、本発明の範囲及び趣旨は、以下の特許請求の範囲の観点から判断されるべきである。
上述したように、本発明の実施形態は、様々な工程を含んでもよい。工程は、汎用又は特殊目的のプロセッサに特定の工程を実行させる機械実行可能な命令で具現化され得る。代替的に、これらの工程は、工程を実行するためのハードワイヤードロジックを含む特定のハードウェア構成要素によって又はプログラミングされたコンピュータ構成要素及びカスタムハードウェア構成要素の任意の組み合わせによって実行することができる。

Claims (22)

  1. 方法であって、
    サービス・プロバイダの代わりに認証サーバにおいて第1の認証関連通信を生成することであって、前記第1の認証関連通信は、1つ以上の認証部を有するクライアント装置に向けられたものであり、前記サービス・プロバイダはユーザトランザクションを実行するオンラインサービスまたはウェブサイトを提供する、生成することと、
    前記認証サーバにおいて、信頼済みルート証明書とつなぐ鎖が存在しない証明書である自己署名証明書の第1の鍵を使用して、前記第1の認証関連通信に署名することと、
    前記認証サーバによって、信頼済みセキュア通信基盤を使用して前記クライアント装置上で動作するサービス・プロバイダ・アプリとの第1のセキュア通信チャネルを確立することと、
    前記認証サーバによって、前記署名を伴う前記第1の認証関連通信を、前記第1のセキュア通信チャネルを介して前記サービス・プロバイダ・アプリに送信することと、
    前記認証サーバによって、信頼済みセキュア通信基盤を使用して前記クライアント装置上で動作する認証クライアントとの第2のセキュア通信チャネルを確立することと、
    前記認証サーバによって、前記自己署名証明書の第2の鍵を前記第2のセキュア通信チャネルを介して前記認証クライアントに送信することと、
    前記サービス・プロバイダ・アプリによって、前記第1の認証関連通信を前記サービス・プロバイダ・アプリから前記認証クライアントにプロセス間通信(IPC)を用いて提供することと、
    前記認証クライアントが、前記第2の鍵を使用して、前記第1の鍵により前記第1の認証関連通信に対して生成された前記署名を検証することと、を含む、方法。
  2. 前記第1の鍵は、秘密鍵を含み、前記第2の鍵は、対応する公開鍵を含む、請求項1に記載の方法。
  3. 前記信頼済みセキュア通信基盤は、前記第1及び/又は第2のセキュア通信チャネルのためのセキュアなトランスポート層セキュリティ(TLS)接続を確立するのに使用することができる信頼済み証明書を含む、請求項1に記載の方法。
  4. 前記信頼済み証明書は、X.509証明書を含む、請求項3に記載の方法。
  5. 前記認証クライアントが前記第1の認証関連通信に応答して第2の認証関連通信を生成することを更に含む、請求項1に記載の方法。
  6. 前記第1の認証関連通信は、前記サービス・プロバイダの代わりとして操作される認証サーバにおいて生成される認証リクエストを含み、前記第2の認証関連通信は、前記認証クライアントによって生成される認証応答を含前記第2の認証関連通信は、前記認証クライアントから前記第2のセキュア通信チャネルを介して、前記認証サーバへ送信される、請求項5に記載の方法。
  7. 前記認証リクエストは、ランダムチャレンジと、前記クライアント装置の認証部と関連付けられた秘密鍵を使用して前記ランダムチャレンジに対して生成される署名とを含む、請求項6に記載の方法。
  8. 前記認証クライアントは、前記認証部と関連付けられた公開鍵を使用して前記署名を検証する、請求項7に記載の方法。
  9. 前記認証クライアントは、前記クライアント装置の前記認証部のうちの1つ以上を使用したユーザ認証の成功に応答して前記認証応答を生成する、請求項8に記載の方法。
  10. 前記クライアント装置の前記認証部は、指紋認証部を含む、請求項9に記載の方法。
  11. 前記第2のセキュア通信チャネルを介して送信される前記自己署名証明書の前記第2の鍵は、公開鍵ファイルにより提供される、請求項1に記載の方法。
  12. 認証を行うためのシステムであって、
    1つ以上の認証部、認証クライアント、及びサービス・プロバイダ・アプリを有する、クライアント装置と、
    前記クライアント装置に向けられた第1の認証関連通信を生成する、サービス・プロバイダの代わりに操作される認証サーバと、を備え、前記サービス・プロバイダはユーザトランザクションを実行するオンラインサービスまたはウェブサイトを提供し、
    前記認証サーバは、信頼済みルート証明書とつなぐ鎖が存在しない証明書である自己署名証明書の第1の鍵を使用して、前記第1の認証関連通信に署名し、
    前記認証サーバは、信頼済みセキュア通信基盤を使用して前記クライアント装置上で動作するサービス・プロバイダ・アプリとの第1のセキュア通信チャネルを確立し、
    前記認証サーバは、前記署名を伴う前記第1の認証関連通信を、前記第1のセキュア通信チャネルを介して前記サービス・プロバイダ・アプリに送信し、
    前記認証サーバは、信頼済みセキュア通信基盤を使用して前記クライアント装置上で動作する認証クライアントとの第2のセキュア通信チャネルを確立し、
    前記認証サーバは、前記自己署名証明書の第2の鍵を前記第2のセキュア通信チャネルを介して、前記認証クライアントに送信し、
    前記サービス・プロバイダ・アプリは、前記第1の認証関連通信を前記認証クライアントにプロセス間通信(IPC)を用いて提供し、
    前記認証クライアントが、前記第2の鍵を使用して、前記第1の鍵により前記第1の認証関連通信に対して生成された前記署名を検証する、システム。
  13. 前記第1の鍵は、秘密鍵を含み、前記第2の鍵は、対応する公開鍵を含む、請求項12に記載のシステム。
  14. 前記信頼済みセキュア通信基盤は、前記第1及び/又は第2のセキュア通信チャネルのためのセキュアなトランスポート層セキュリティ(TLS)接続を確立するのに使用することができる信頼済み証明書を含む、請求項12に記載のシステム。
  15. 前記信頼済み証明書は、X.509証明書を含む、請求項14に記載のシステム。
  16. 前記認証クライアントが前記第1の認証関連通信に応答して第2の認証関連通信を生成することを更に含む、請求項12に記載のシステム。
  17. 前記第1の認証関連通信は、前記サービス・プロバイダの代わりとして操作される認証サーバにおいて生成される認証リクエストを含み、前記第2の認証関連通信は、前記認証クライアントによって生成される認証応答を含前記第2の認証関連通信は、前記認証クライアントから前記第2のセキュア通信チャネルを介して、前記認証サーバへ送信される、請求項16に記載のシステム。
  18. 前記認証リクエストは、ランダムチャレンジと、前記クライアント装置の認証部と関連付けられた秘密鍵を使用して前記ランダムチャレンジに対して生成される署名とを含む、請求項17に記載のシステム。
  19. 前記認証クライアントは、前記認証部と関連付けられた公開鍵を使用して前記署名を検証する、請求項18に記載のシステム。
  20. 前記認証クライアントは、前記クライアント装置の前記認証部のうちの1つ以上を使用したユーザ認証の成功に応答して前記認証応答を生成する、請求項19に記載のシステム。
  21. 前記クライアント装置の前記認証部は、指紋認証部を含む、請求項20に記載のシステム。
  22. 前記第2のセキュア通信チャネルを介して送信される前記自己署名証明書の前記第2の鍵は、公開鍵ファイルにより提供される、請求項12に記載のシステム。
JP2017505513A 2014-07-31 2015-07-30 セキュア送信プロトコルを使用して信頼を確立するためのシステム及び方法 Active JP6865158B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US14/448,697 2014-07-31
US14/448,697 US9455979B2 (en) 2014-07-31 2014-07-31 System and method for establishing trust using secure transmission protocols
PCT/US2015/042827 WO2016019106A1 (en) 2014-07-31 2015-07-30 System and method for establishing trust using secure transmission protocols

Publications (2)

Publication Number Publication Date
JP2017528963A JP2017528963A (ja) 2017-09-28
JP6865158B2 true JP6865158B2 (ja) 2021-04-28

Family

ID=55218303

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017505513A Active JP6865158B2 (ja) 2014-07-31 2015-07-30 セキュア送信プロトコルを使用して信頼を確立するためのシステム及び方法

Country Status (6)

Country Link
US (1) US9455979B2 (ja)
EP (1) EP3175578B1 (ja)
JP (1) JP6865158B2 (ja)
KR (1) KR102382474B1 (ja)
CN (1) CN106664208B (ja)
WO (1) WO2016019106A1 (ja)

Families Citing this family (48)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10270748B2 (en) 2013-03-22 2019-04-23 Nok Nok Labs, Inc. Advanced authentication techniques and applications
US10032011B2 (en) * 2014-08-12 2018-07-24 At&T Intellectual Property I, L.P. Method and device for managing authentication using an identity avatar
JP2016051240A (ja) * 2014-08-29 2016-04-11 日本光電工業株式会社 医療機器システム及び医療機器
US9942200B1 (en) * 2014-12-02 2018-04-10 Trend Micro Inc. End user authentication using a virtual private network
WO2016114822A1 (en) * 2015-01-16 2016-07-21 Cyph Inc. A system and method of cryprographically signing web applications
EP3286874B1 (en) * 2015-04-21 2022-08-03 Nokia Technologies Oy Certificate verification
US9692757B1 (en) * 2015-05-20 2017-06-27 Amazon Technologies, Inc. Enhanced authentication for secure communications
WO2017001022A1 (en) * 2015-07-02 2017-01-05 Telefonaktiebolaget Lm Ericsson (Publ) Method for obtaining initial access to a network, and related wireless devices and network nodes
CN106454528A (zh) * 2015-08-07 2017-02-22 阿里巴巴集团控股有限公司 基于可信执行环境的业务处理方法和客户端
CN111079103B (zh) * 2015-09-14 2024-02-09 创新先进技术有限公司 一种身份认证方法和设备
DE102015220226A1 (de) * 2015-10-16 2017-04-20 Volkswagen Aktiengesellschaft Verfahren zur Zertifizierung durch ein Steuergerät eines Fahrzeugs
CN107592281B (zh) * 2016-07-06 2022-04-05 华为技术有限公司 一种传输数据的保护系统、方法及装置
WO2018010957A1 (en) * 2016-07-12 2018-01-18 Deutsche Telekom Ag Method for providing an enhanced level of authentication related to a secure software client application provided by an application distribution entity in order to be transmitted to a client computing device; system, application distribution entity, software client application, and client computing device for providing an enhanced level of authentication related to a secure software client application, program and computer program product
JP6918576B2 (ja) * 2017-05-24 2021-08-11 キヤノン株式会社 システム、情報処理装置、方法及びプログラム
US20190012669A1 (en) * 2017-07-10 2019-01-10 Microsoft Technology Licensing, Llc Security System Using Communication Channel-Based Authorization
US11868995B2 (en) 2017-11-27 2024-01-09 Nok Nok Labs, Inc. Extending a secure key storage for transaction confirmation and cryptocurrency
US11831409B2 (en) 2018-01-12 2023-11-28 Nok Nok Labs, Inc. System and method for binding verifiable claims
EP3511852B1 (en) * 2018-01-12 2021-04-28 Deutsche Telekom AG Method for providing an enhanced level of authentication related to a secure software client application that is provided, by an application distribution entity, in order to be transmitted to a client computing device; system, software client application instance or client computing device, third party server entity, and program and computer program product
CA3097092C (en) * 2018-04-20 2024-02-13 Vishal Gupta Decentralized document and entity verification engine
US10263787B1 (en) * 2018-11-12 2019-04-16 Cyberark Software Ltd. Scalable authentication for decentralized applications
EP3660769A1 (en) * 2018-11-27 2020-06-03 Mastercard International Incorporated Trusted communication in transactions
US10873468B2 (en) 2019-02-22 2020-12-22 Beyond Identity Inc. Legacy authentication for user authentication with self-signed certificate and identity verification
US11792024B2 (en) 2019-03-29 2023-10-17 Nok Nok Labs, Inc. System and method for efficient challenge-response authentication
CN110650057B (zh) * 2019-09-29 2022-03-11 武汉迈威通信股份有限公司 一种通过便携移动终端配置设备的方法及系统
KR102400402B1 (ko) 2019-11-18 2022-05-23 충남대학교 산학협력단 공개키 인프라 구조를 이용한 스마트 컨트랙트의 인증된 데이터 피드 방법
KR20210072321A (ko) 2019-12-09 2021-06-17 삼성전자주식회사 블록체인에 기반하는 암호화 통신 시스템 및 암호화 통신 방법
US20210203670A1 (en) * 2019-12-30 2021-07-01 Itron, Inc. Man-In-The-Middle Extender Defense In Data Communications
US11411925B2 (en) 2019-12-31 2022-08-09 Oracle International Corporation Methods, systems, and computer readable media for implementing indirect general packet radio service (GPRS) tunneling protocol (GTP) firewall filtering using diameter agent and signal transfer point (STP)
CN111614660B (zh) * 2020-05-19 2022-01-18 北京字节跳动网络技术有限公司 安全验证缺陷检测的方法、装置以及电子设备
US11553342B2 (en) 2020-07-14 2023-01-10 Oracle International Corporation Methods, systems, and computer readable media for mitigating 5G roaming security attacks using security edge protection proxy (SEPP)
US11751056B2 (en) 2020-08-31 2023-09-05 Oracle International Corporation Methods, systems, and computer readable media for 5G user equipment (UE) historical mobility tracking and security screening using mobility patterns
US11832172B2 (en) 2020-09-25 2023-11-28 Oracle International Corporation Methods, systems, and computer readable media for mitigating spoofing attacks on security edge protection proxy (SEPP) inter-public land mobile network (inter-PLMN) forwarding interface
US11825310B2 (en) 2020-09-25 2023-11-21 Oracle International Corporation Methods, systems, and computer readable media for mitigating 5G roaming spoofing attacks
US20220103539A1 (en) * 2020-09-29 2022-03-31 Nvidia Corporation Verifying trusted communications using established communication channels
US11622255B2 (en) 2020-10-21 2023-04-04 Oracle International Corporation Methods, systems, and computer readable media for validating a session management function (SMF) registration request
US11528251B2 (en) * 2020-11-06 2022-12-13 Oracle International Corporation Methods, systems, and computer readable media for ingress message rate limiting
US11770694B2 (en) 2020-11-16 2023-09-26 Oracle International Corporation Methods, systems, and computer readable media for validating location update messages
US11818570B2 (en) 2020-12-15 2023-11-14 Oracle International Corporation Methods, systems, and computer readable media for message validation in fifth generation (5G) communications networks
US11812271B2 (en) 2020-12-17 2023-11-07 Oracle International Corporation Methods, systems, and computer readable media for mitigating 5G roaming attacks for internet of things (IoT) devices based on expected user equipment (UE) behavior patterns
WO2022146571A1 (en) 2020-12-28 2022-07-07 Keyfactor, Inc. Remote certificate authority management
US11700510B2 (en) 2021-02-12 2023-07-11 Oracle International Corporation Methods, systems, and computer readable media for short message delivery status report validation
US11516671B2 (en) 2021-02-25 2022-11-29 Oracle International Corporation Methods, systems, and computer readable media for mitigating location tracking and denial of service (DoS) attacks that utilize access and mobility management function (AMF) location service
US11853100B2 (en) * 2021-04-12 2023-12-26 EMC IP Holding Company LLC Automated delivery of cloud native application updates using one or more user-connection gateways
US11689912B2 (en) 2021-05-12 2023-06-27 Oracle International Corporation Methods, systems, and computer readable media for conducting a velocity check for outbound subscribers roaming to neighboring countries
US11233727B1 (en) 2021-08-27 2022-01-25 King Abdulaziz University System and method for securing SDN based source routing
US12015923B2 (en) 2021-12-21 2024-06-18 Oracle International Corporation Methods, systems, and computer readable media for mitigating effects of access token misuse
US11977620B2 (en) * 2022-01-19 2024-05-07 VMware LLC Attestation of application identity for inter-app communications
WO2024078692A1 (en) * 2022-10-10 2024-04-18 Assa Abloy Ab Secure provisioning of fido credential

Family Cites Families (169)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6378072B1 (en) 1998-02-03 2002-04-23 Compaq Computer Corporation Cryptographic system
US6618806B1 (en) 1998-04-01 2003-09-09 Saflink Corporation System and method for authenticating users in a computer network
JP2000092046A (ja) 1998-09-11 2000-03-31 Mitsubishi Electric Corp 遠隔認証システム
US7047416B2 (en) 1998-11-09 2006-05-16 First Data Corporation Account-based digital signature (ABDS) system
US7085931B1 (en) 1999-09-03 2006-08-01 Secure Computing Corporation Virtual smart card system and method
US7260724B1 (en) 1999-09-20 2007-08-21 Security First Corporation Context sensitive dynamic authentication in a cryptographic system
US7698565B1 (en) 2000-03-30 2010-04-13 Digitalpersona, Inc. Crypto-proxy server and method of using the same
US7263506B2 (en) 2000-04-06 2007-08-28 Fair Isaac Corporation Identification and management of fraudulent credit/debit card purchases at merchant ecommerce sites
US7487112B2 (en) 2000-06-29 2009-02-03 Barnes Jr Melvin L System, method, and computer program product for providing location based services and mobile e-commerce
EP1323089A4 (en) 2000-08-04 2006-04-19 First Data Corp ENTITY AUTHENTICATION IN ELECTRONIC COMMUNICATION BY PROVIDING THE VERIFICATION STATUS OF A DEVICE
AU2001288679A1 (en) 2000-09-11 2002-03-26 Sentrycom Ltd. A biometric-based system and method for enabling authentication of electronic messages sent over a network
JP2002152189A (ja) * 2000-11-14 2002-05-24 Nippon Hoso Kyokai <Nhk> 公開鍵配布方法およびこの方法に用いる公開鍵送信装置ならびに公開鍵受信装置
FI115098B (fi) 2000-12-27 2005-02-28 Nokia Corp Todentaminen dataviestinnässä
US20020174344A1 (en) 2001-05-18 2002-11-21 Imprivata, Inc. System and method for authentication using biometrics
SG124290A1 (en) 2001-07-23 2006-08-30 Ntt Docomo Inc Electronic payment method, system, and devices
WO2003029916A2 (en) 2001-09-28 2003-04-10 Bluesocket, Inc. Method and system for managing data traffic in wireless networks
GB0210692D0 (en) 2002-05-10 2002-06-19 Assendon Ltd Smart card token for remote authentication
US20030226036A1 (en) 2002-05-30 2003-12-04 International Business Machines Corporation Method and apparatus for single sign-on authentication
DE60307583T2 (de) 2002-11-20 2007-10-04 Stmicroelectronics S.A. Auswertung der Schärfe eines Bildes der Iris eines Auges
US7353533B2 (en) 2002-12-18 2008-04-01 Novell, Inc. Administration of protection of data accessible by a mobile device
JP2005025337A (ja) 2003-06-30 2005-01-27 Sony Corp 機器登録システム、機器登録サーバ、機器登録方法、機器登録プログラム、記憶媒体、及び端末機器
US9130921B2 (en) 2003-09-30 2015-09-08 Ca, Inc. System and method for bridging identities in a service oriented architectureprofiling
WO2005052765A2 (en) 2003-11-25 2005-06-09 Ultra-Scan Corporation Biometric authorization method and system
JP4257250B2 (ja) 2004-03-30 2009-04-22 富士通株式会社 生体情報照合装置並びに生体特徴情報絞込み装置,生体特徴情報絞込みプログラムおよび同プログラムを記録したコンピュータ読取可能な記録媒体
US8762283B2 (en) 2004-05-03 2014-06-24 Visa International Service Association Multiple party benefit from an online authentication service
US20050278253A1 (en) 2004-06-15 2005-12-15 Microsoft Corporation Verifying human interaction to a computer entity by way of a trusted component on a computing device or the like
CA2572401A1 (en) 2004-07-23 2006-02-02 Citrix Systems, Inc. A method and systems for securing remote access to private networks
US7925729B2 (en) 2004-12-07 2011-04-12 Cisco Technology, Inc. Network management
US7298873B2 (en) 2004-11-16 2007-11-20 Imageware Systems, Inc. Multimodal biometric platform
US8239937B2 (en) 2004-12-16 2012-08-07 Pinoptic Limited User validation using images
EP1828920B1 (en) 2004-12-20 2012-06-13 EMC Corporation Consumer internet authentication service
US7844816B2 (en) * 2005-06-08 2010-11-30 International Business Machines Corporation Relying party trust anchor based public key technology framework
US8079079B2 (en) 2005-06-29 2011-12-13 Microsoft Corporation Multimodal authentication
CA2624623A1 (en) 2005-10-11 2007-04-26 Citrix Systems, Inc. Systems and methods for facilitating distributed authentication
CA2631763A1 (en) * 2005-12-01 2007-06-07 Firestar Software, Inc. System and method for exchanging information among exchange applications
US20080005562A1 (en) 2005-12-13 2008-01-03 Microsoft Corporation Public key infrastructure certificate entrustment
US8511547B2 (en) 2005-12-22 2013-08-20 Mastercard International Incorporated Methods and systems for two-factor authentication using contactless chip cards or devices and mobile devices or dedicated personal readers
CN1992596A (zh) 2005-12-27 2007-07-04 国际商业机器公司 用户验证设备和用户验证方法
US7941835B2 (en) * 2006-01-13 2011-05-10 Authenticor Identity Protection Services, Inc. Multi-mode credential authorization
EP2012249A1 (en) 2006-04-21 2009-01-07 Mitsubishi Denki Kabushiki Kaisha Authenticating server device, terminal device, authenticating system and authenticating method
US9002018B2 (en) * 2006-05-09 2015-04-07 Sync Up Technologies Corporation Encryption key exchange system and method
US7512567B2 (en) 2006-06-29 2009-03-31 Yt Acquisition Corporation Method and system for providing biometric authentication at a point-of-sale via a mobile device
CN101106452B (zh) 2006-07-12 2010-12-08 华为技术有限公司 移动ip密钥的产生及分发方法和系统
US20080025234A1 (en) 2006-07-26 2008-01-31 Qi Zhu System and method of managing a computer network using hierarchical layer information
US8689287B2 (en) 2006-08-17 2014-04-01 Northrop Grumman Systems Corporation Federated credentialing system and method
US8239677B2 (en) 2006-10-10 2012-08-07 Equifax Inc. Verification and authentication systems and methods
US9135444B2 (en) 2006-10-19 2015-09-15 Novell, Inc. Trusted platform module (TPM) assisted data center management
US7986786B2 (en) 2006-11-30 2011-07-26 Hewlett-Packard Development Company, L.P. Methods and systems for utilizing cryptographic functions of a cryptographic co-processor
US9055107B2 (en) 2006-12-01 2015-06-09 Microsoft Technology Licensing, Llc Authentication delegation based on re-verification of cryptographic evidence
JP2008176407A (ja) 2007-01-16 2008-07-31 Toshiba Corp 生体認証システム、装置及びプログラム
US8302196B2 (en) 2007-03-20 2012-10-30 Microsoft Corporation Combining assessment models and client targeting to identify network security vulnerabilities
US8413221B2 (en) 2007-03-23 2013-04-02 Emc Corporation Methods and apparatus for delegated authentication
US20080271150A1 (en) 2007-04-30 2008-10-30 Paul Boerger Security based on network environment
US8627409B2 (en) 2007-05-15 2014-01-07 Oracle International Corporation Framework for automated dissemination of security metadata for distributed trust establishment
US7627522B2 (en) 2007-06-04 2009-12-01 Visa U.S.A. Inc. System, apparatus and methods for comparing fraud parameters for application during prepaid card enrollment and transactions
US7913086B2 (en) 2007-06-20 2011-03-22 Nokia Corporation Method for remote message attestation in a communication system
US20090089870A1 (en) 2007-09-28 2009-04-02 Mark Frederick Wahl System and method for validating interactions in an identity metasystem
FR2922396B1 (fr) 2007-10-12 2009-12-25 Compagnie Ind Et Financiere Dingenierie Ingenico Procede d'authentification biometrique, programme d'ordinateur, serveur d'authentification, terminal et objet portatif correspondants
US20090204964A1 (en) 2007-10-12 2009-08-13 Foley Peter F Distributed trusted virtualization platform
WO2009070430A2 (en) 2007-11-08 2009-06-04 Suridx, Inc. Apparatus and methods for providing scalable, dynamic, individualized credential services using mobile telephones
US8347374B2 (en) 2007-11-15 2013-01-01 Red Hat, Inc. Adding client authentication to networked communications
US8978117B2 (en) 2007-11-19 2015-03-10 Avaya Inc. Authentication frequency and challenge type based on environmental and physiological properties
TWI350486B (en) 2007-11-26 2011-10-11 Ind Tech Res Inst Biometrics method and apparatus and biometric data encryption method thereof
US8312269B2 (en) 2007-11-28 2012-11-13 Hitachi Global Storage Technologies Netherlands, B.V. Challenge and response access control providing data security in data storage devices
US8650616B2 (en) 2007-12-18 2014-02-11 Oracle International Corporation User definable policy for graduated authentication based on the partial orderings of principals
US8353016B1 (en) 2008-02-29 2013-01-08 Adobe Systems Incorporated Secure portable store for security skins and authentication information
US8555078B2 (en) 2008-02-29 2013-10-08 Adobe Systems Incorporated Relying party specifiable format for assertion provider token
US8302167B2 (en) 2008-03-11 2012-10-30 Vasco Data Security, Inc. Strong authentication token generating one-time passwords and signatures upon server credential verification
US20090307140A1 (en) 2008-06-06 2009-12-10 Upendra Mardikar Mobile device over-the-air (ota) registration and point-of-sale (pos) payment
US8307093B2 (en) * 2008-06-25 2012-11-06 Microsoft Corporation Remote access between UPnP devices
US20100029300A1 (en) 2008-07-30 2010-02-04 Arima Communications Corp. Method for inquiring real-time travel-related information using a mobile communication device
US20100042848A1 (en) 2008-08-13 2010-02-18 Plantronics, Inc. Personalized I/O Device as Trusted Data Source
US20130125222A1 (en) 2008-08-19 2013-05-16 James D. Pravetz System and Method for Vetting Service Providers Within a Secure User Interface
US8666904B2 (en) 2008-08-20 2014-03-04 Adobe Systems Incorporated System and method for trusted embedded user interface for secure payments
US7933836B2 (en) 2008-09-30 2011-04-26 Avaya Inc. Proxy-based, transaction authorization system
US8494482B2 (en) 2008-10-24 2013-07-23 Centurylink Intellectual Property Llc Telecommunications system and method for monitoring the body temperature of a user
EP2359526B1 (en) 2008-11-04 2017-08-02 SecureKey Technologies Inc. System and methods for online authentication
WO2010067433A1 (ja) * 2008-12-11 2010-06-17 三菱電機株式会社 自己認証通信機器、自己認証検証通信機器、機器認証システム、機器認証システムの機器認証方法、自己認証通信プログラムおよび自己認証検証通信プログラム
US8245030B2 (en) 2008-12-19 2012-08-14 Nai-Yu Pai Method for authenticating online transactions using a browser
US20100169650A1 (en) 2008-12-31 2010-07-01 Brickell Ernest F Storage minimization technique for direct anonymous attestation keys
US8961619B2 (en) 2009-01-06 2015-02-24 Qualcomm Incorporated Location-based system permissions and adjustments at an electronic device
US20100186072A1 (en) 2009-01-21 2010-07-22 Akshay Kumar Distributed secure telework
US8756674B2 (en) 2009-02-19 2014-06-17 Securekey Technologies Inc. System and methods for online authentication
US9015789B2 (en) 2009-03-17 2015-04-21 Sophos Limited Computer security lock down methods
US9105027B2 (en) 2009-05-15 2015-08-11 Visa International Service Association Verification of portable consumer device for secure services
US20100325684A1 (en) 2009-06-17 2010-12-23 Microsoft Corporation Role-based security for messaging administration and management
KR20100137655A (ko) 2009-06-23 2010-12-31 삼성전자주식회사 전자 프로그램 가이드를 표시하는 방법 및 이를 위한 장치
US8452960B2 (en) 2009-06-23 2013-05-28 Netauthority, Inc. System and method for content delivery
WO2011017099A2 (en) 2009-07-27 2011-02-10 Suridx, Inc. Secure communication using asymmetric cryptography and light-weight certificates
US7865937B1 (en) 2009-08-05 2011-01-04 Daon Holdings Limited Methods and systems for authenticating users
US8756661B2 (en) 2009-08-24 2014-06-17 Ufp Identity, Inc. Dynamic user authentication for access to online services
US8429404B2 (en) 2009-09-30 2013-04-23 Intel Corporation Method and system for secure communications on a managed network
IL201351A0 (en) 2009-10-01 2010-05-31 Michael Feldbau Device and method for electronic signature via proxy
US20110083018A1 (en) * 2009-10-06 2011-04-07 Validity Sensors, Inc. Secure User Authentication
US8713325B2 (en) 2011-04-19 2014-04-29 Authentify Inc. Key management using quasi out of band authentication architecture
US8719905B2 (en) 2010-04-26 2014-05-06 Authentify Inc. Secure and efficient login and transaction authentication using IPhones™ and other smart mobile communication devices
US8769784B2 (en) 2009-11-02 2014-07-08 Authentify, Inc. Secure and efficient authentication using plug-in hardware compatible with desktops, laptops and/or smart mobile communication devices such as iPhones
KR20110048974A (ko) 2009-11-04 2011-05-12 삼성전자주식회사 무선통신 시스템에서 마스터 세션 키를 갱신하기 위한 장치 및 방법
US8949978B1 (en) 2010-01-06 2015-02-03 Trend Micro Inc. Efficient web threat protection
KR101434769B1 (ko) 2010-01-22 2014-08-27 인터디지탈 패튼 홀딩스, 인크 신뢰적인 연합 아이덴티티 관리 및 데이터 액세스 인가를 위한 방법 및 장치
US9070146B2 (en) 2010-02-04 2015-06-30 Playspan Inc. Method and system for authenticating online transactions
US20110197267A1 (en) 2010-02-05 2011-08-11 Vivianne Gravel Secure authentication system and method
US20110219427A1 (en) 2010-03-04 2011-09-08 RSSBus, Inc. Smart Device User Authentication
CN102196407B (zh) 2010-03-18 2015-09-16 中兴通讯股份有限公司 锚定鉴权器重定位方法及系统
WO2011123699A2 (en) 2010-03-31 2011-10-06 Orsini Rick L Systems and methods for securing data in motion
US9356916B2 (en) 2010-04-30 2016-05-31 T-Central, Inc. System and method to use a cloud-based platform supported by an API to authenticate remote users and to provide PKI- and PMI-based distributed locking of content and distributed unlocking of protected content
KR20110122452A (ko) * 2010-05-04 2011-11-10 주식회사 비티웍스 전자서명 검증 서버 및 이를 이용한 전자거래 방법
US8926335B2 (en) 2010-05-12 2015-01-06 Verificient Technologies, Inc. System and method for remote test administration and monitoring
US8973125B2 (en) 2010-05-28 2015-03-03 Alcatel Lucent Application layer authentication in packet networks
US20110314549A1 (en) 2010-06-16 2011-12-22 Fujitsu Limited Method and apparatus for periodic context-aware authentication
WO2012005730A1 (en) 2010-07-08 2012-01-12 Hewlett-Packard Development Company L. P. System and method for document policy enforcement
US8412158B2 (en) 2010-08-17 2013-04-02 Qualcomm Incorporated Mobile device having increased security that is less obtrusive
US8590014B1 (en) 2010-09-13 2013-11-19 Zynga Inc. Network application security utilizing network-provided identities
US20120084562A1 (en) 2010-10-04 2012-04-05 Ralph Rabert Farina Methods and systems for updating a secure boot device using cryptographically secured communications across unsecured networks
US8566915B2 (en) 2010-10-22 2013-10-22 Microsoft Corporation Mixed-mode authentication
ES2601009T3 (es) 2010-11-24 2017-02-13 Telefónica, S.A. Procedimientos para autorizar el acceso a contenido protegido
US8955035B2 (en) 2010-12-16 2015-02-10 Microsoft Corporation Anonymous principals for policy languages
US20130144785A1 (en) 2011-03-29 2013-06-06 Igor Karpenko Social network payment authentication apparatuses, methods and systems
US9092605B2 (en) 2011-04-11 2015-07-28 NSS Lab Works LLC Ongoing authentication and access control with network access device
US8584224B1 (en) 2011-04-13 2013-11-12 Symantec Corporation Ticket based strong authentication with web service
CA2835460C (en) 2011-05-10 2018-05-29 Foteini AGRAFIOTI System and method for enabling continuous or instantaneous identity recognition based on physiological biometric signals
US9118667B2 (en) 2011-06-03 2015-08-25 Blackberry Limited System and method for accessing private networks
US8843649B2 (en) 2011-06-07 2014-09-23 Microsoft Corporation Establishment of a pairing relationship between two or more communication devices
US20120313746A1 (en) 2011-06-10 2012-12-13 Aliphcom Device control using sensory input
US8800056B2 (en) 2011-08-12 2014-08-05 Palo Alto Research Center Incorporated Guided implicit authentication
US8838982B2 (en) 2011-09-21 2014-09-16 Visa International Service Association Systems and methods to secure user identification
US9621404B2 (en) 2011-09-24 2017-04-11 Elwha Llc Behavioral fingerprinting with social networking
US20130090939A1 (en) 2011-10-11 2013-04-11 Robert N. Robinson Sytem and method for preventing healthcare fraud
US9021565B2 (en) 2011-10-13 2015-04-28 At&T Intellectual Property I, L.P. Authentication techniques utilizing a computing device
US20140189807A1 (en) 2011-10-18 2014-07-03 Conor P. Cahill Methods, systems and apparatus to facilitate client-based authentication
CN104040555B (zh) 2011-11-14 2017-02-22 威斯科数据安全国际有限公司 具有安全记录特征的智能卡读取器
US8607319B2 (en) 2011-11-22 2013-12-10 Daon Holdings Limited Methods and systems for determining biometric data for use in authentication transactions
WO2013082190A1 (en) 2011-11-28 2013-06-06 Visa International Service Association Transaction security graduated seasoning and risk shifting apparatuses, methods and systems
US8958599B1 (en) 2012-01-06 2015-02-17 Google Inc. Input method and system based on ambient glints
EP3697110A1 (en) 2012-01-08 2020-08-19 ImagiStar LLC Portable item containers which identify missing and/or extra container contents
EP2817917B1 (en) 2012-02-20 2018-04-11 KL Data Security Pty Ltd Cryptographic method and system
CN104205722B (zh) 2012-03-28 2018-05-01 英特尔公司 基于设备验证的有条件的有限服务授权
US8850588B2 (en) 2012-05-01 2014-09-30 Taasera, Inc. Systems and methods for providing mobile security based on dynamic attestation
US20140007215A1 (en) 2012-06-15 2014-01-02 Lockheed Martin Corporation Mobile applications platform
US20140013422A1 (en) 2012-07-03 2014-01-09 Scott Janus Continuous Multi-factor Authentication
TW201417598A (zh) 2012-07-13 2014-05-01 Interdigital Patent Holdings 安全性關聯特性
US10771448B2 (en) 2012-08-10 2020-09-08 Cryptography Research, Inc. Secure feature and key management in integrated circuits
WO2014036021A1 (en) 2012-08-28 2014-03-06 Visa International Service Association Secure device service enrollment
US8955067B2 (en) 2012-09-12 2015-02-10 Capital One, Na System and method for providing controlled application programming interface security
US9215249B2 (en) 2012-09-29 2015-12-15 Intel Corporation Systems and methods for distributed trust computing and key management
US9172544B2 (en) 2012-10-05 2015-10-27 General Electric Company Systems and methods for authentication between networked devices
US20140250523A1 (en) 2012-10-11 2014-09-04 Carnegie Mellon University Continuous Authentication, and Methods, Systems, and Software Therefor
US8910239B2 (en) 2012-10-15 2014-12-09 Citrix Systems, Inc. Providing virtualized private network tunnels
US9176838B2 (en) 2012-10-19 2015-11-03 Intel Corporation Encrypted data inspection in a network environment
US8584219B1 (en) 2012-11-07 2013-11-12 Fmr Llc Risk adjusted, multifactor authentication
US9166962B2 (en) 2012-11-14 2015-10-20 Blackberry Limited Mobile communications device providing heuristic security authentication features and related methods
US8935808B2 (en) 2012-12-18 2015-01-13 Bank Of America Corporation Identity attribute exchange and validation broker
CN103888252A (zh) * 2012-12-19 2014-06-25 深圳市华营数字商业有限公司 一种基于uid、pid、appid控制应用访问权限方法
US9374369B2 (en) 2012-12-28 2016-06-21 Lookout, Inc. Multi-factor authentication and comprehensive login system for client-server networks
US9172687B2 (en) 2012-12-28 2015-10-27 Nok Nok Labs, Inc. Query system and method to determine authentication capabilities
US9083689B2 (en) 2012-12-28 2015-07-14 Nok Nok Labs, Inc. System and method for implementing privacy classes within an authentication framework
US9306754B2 (en) 2012-12-28 2016-04-05 Nok Nok Labs, Inc. System and method for implementing transaction signing within an authentication framework
US9219732B2 (en) 2012-12-28 2015-12-22 Nok Nok Labs, Inc. System and method for processing random challenges within an authentication framework
US9015482B2 (en) 2012-12-28 2015-04-21 Nok Nok Labs, Inc. System and method for efficiently enrolling, registering, and authenticating with multiple authentication devices
US8856541B1 (en) 2013-01-10 2014-10-07 Google Inc. Liveness detection
CN103945374A (zh) * 2013-01-18 2014-07-23 深圳市华营数字商业有限公司 一种基于pki技术的移动终端设备及用户认证的方法
JP6069039B2 (ja) 2013-03-11 2017-01-25 日立オートモティブシステムズ株式会社 ゲートウェイ装置及びサービス提供システム
US9137247B2 (en) 2013-03-15 2015-09-15 Intel Corporation Technologies for secure storage and use of biometric authentication information
US20140282868A1 (en) 2013-03-15 2014-09-18 Micah Sheller Method And Apparatus To Effect Re-Authentication
US10270748B2 (en) 2013-03-22 2019-04-23 Nok Nok Labs, Inc. Advanced authentication techniques and applications
US8646060B1 (en) 2013-07-30 2014-02-04 Mourad Ben Ayed Method for adaptive authentication using a mobile device
US20150180869A1 (en) 2013-12-23 2015-06-25 Samsung Electronics Company, Ltd. Cloud-based scalable authentication for electronic devices
US9652354B2 (en) 2014-03-18 2017-05-16 Microsoft Technology Licensing, Llc. Unsupervised anomaly detection for arbitrary time series
US9654463B2 (en) 2014-05-20 2017-05-16 Airwatch Llc Application specific certificate management

Also Published As

Publication number Publication date
EP3175578A4 (en) 2018-03-28
US9455979B2 (en) 2016-09-27
KR20170041729A (ko) 2017-04-17
CN106664208B (zh) 2020-06-16
EP3175578B1 (en) 2019-09-04
KR102382474B1 (ko) 2022-04-01
JP2017528963A (ja) 2017-09-28
WO2016019106A1 (en) 2016-02-04
US20160219043A1 (en) 2016-07-28
CN106664208A (zh) 2017-05-10
EP3175578A1 (en) 2017-06-07

Similar Documents

Publication Publication Date Title
JP6865158B2 (ja) セキュア送信プロトコルを使用して信頼を確立するためのシステム及び方法
JP6803326B2 (ja) 非対称暗号方式を使用してワンタイムパスワードを実装するためのシステム及び方法
JP6689828B2 (ja) 認証サービスをネットワークアーキテクチャ内に統合するためのシステム及び方法
JP6648110B2 (ja) クライアントをデバイスに対して認証するシステム及び方法
EP3138265B1 (en) Enhanced security for registration of authentication devices
JP6530049B2 (ja) ホスト型認証サービスを実装するためのシステム及び方法
US20140298412A1 (en) System and Method for Securing a Credential via User and Server Verification
JP2022527798A (ja) 効率的なチャレンジ応答認証のためのシステム及び方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180727

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20180731

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20181012

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20181022

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20190122

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190322

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20190617

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191017

C60 Trial request (containing other claim documents, opposition documents)

Free format text: JAPANESE INTERMEDIATE CODE: C60

Effective date: 20191017

C11 Written invitation by the commissioner to file amendments

Free format text: JAPANESE INTERMEDIATE CODE: C11

Effective date: 20191105

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20191206

C21 Notice of transfer of a case for reconsideration by examiners before appeal proceedings

Free format text: JAPANESE INTERMEDIATE CODE: C21

Effective date: 20191209

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20200110

C211 Notice of termination of reconsideration by examiners before appeal proceedings

Free format text: JAPANESE INTERMEDIATE CODE: C211

Effective date: 20200120

C22 Notice of designation (change) of administrative judge

Free format text: JAPANESE INTERMEDIATE CODE: C22

Effective date: 20200622

C13 Notice of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: C13

Effective date: 20200803

C22 Notice of designation (change) of administrative judge

Free format text: JAPANESE INTERMEDIATE CODE: C22

Effective date: 20201005

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20201104

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20201228

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210129

C23 Notice of termination of proceedings

Free format text: JAPANESE INTERMEDIATE CODE: C23

Effective date: 20210208

C03 Trial/appeal decision taken

Free format text: JAPANESE INTERMEDIATE CODE: C03

Effective date: 20210304

C30A Notification sent

Free format text: JAPANESE INTERMEDIATE CODE: C3012

Effective date: 20210304

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210405

R150 Certificate of patent or registration of utility model

Ref document number: 6865158

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250