KR102217916B1 - 생체측정 프로토콜 표준들을 위한 시스템 및 방법 - Google Patents

생체측정 프로토콜 표준들을 위한 시스템 및 방법 Download PDF

Info

Publication number
KR102217916B1
KR102217916B1 KR1020167021073A KR20167021073A KR102217916B1 KR 102217916 B1 KR102217916 B1 KR 102217916B1 KR 1020167021073 A KR1020167021073 A KR 1020167021073A KR 20167021073 A KR20167021073 A KR 20167021073A KR 102217916 B1 KR102217916 B1 KR 102217916B1
Authority
KR
South Korea
Prior art keywords
computing device
user
user computing
trusted server
certificate
Prior art date
Application number
KR1020167021073A
Other languages
English (en)
Other versions
KR20160111940A (ko
Inventor
헥터 호요스
스캇 스트레이트
제이슨 브레이버만
Original Assignee
베리디움 아이피 리미티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US14/201,438 external-priority patent/US9208492B2/en
Application filed by 베리디움 아이피 리미티드 filed Critical 베리디움 아이피 리미티드
Publication of KR20160111940A publication Critical patent/KR20160111940A/ko
Application granted granted Critical
Publication of KR102217916B1 publication Critical patent/KR102217916B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3821Electronic credentials
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/951Indexing; Web crawling techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • G06F21/335User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • G06F21/35User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/10Payment architectures specially adapted for electronic funds transfer [EFT] systems; specially adapted for home banking systems
    • G06Q20/108Remote banking, e.g. home banking
    • G06Q20/1085Remote banking, e.g. home banking involving automatic teller machines [ATMs]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3829Payment protocols; Details thereof insuring higher security of transaction involving key management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4014Identity check for transactions
    • G06Q20/40145Biometric identity checks
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09CCIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
    • G09C5/00Ciphering apparatus or methods not provided for in the preceding groups, e.g. involving the concealment or deformation of graphic data such as designs, written or printed messages
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2115Third party
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2117User registration

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Accounting & Taxation (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Finance (AREA)
  • Software Systems (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Databases & Information Systems (AREA)
  • Biodiversity & Conservation Biology (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Development Economics (AREA)
  • Economics (AREA)
  • Data Mining & Analysis (AREA)
  • Computer And Data Communications (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Information Transfer Between Computers (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • User Interface Of Digital Computer (AREA)
  • Collating Specific Patterns (AREA)
  • Storage Device Security (AREA)

Abstract

사용자 컴퓨팅 디바이스와 신뢰되는 서버 사이의 초기 양-방향 보안 통신 세션을 가능하게 하는 1회용 인증서가 제공된다. 초기 보안 통신 세션은 1회용 인증서를 수신한 후, 신뢰되는 서버에 의해 사용자 컴퓨팅 디바이스와 수립된다. 신뢰되는 서버는 사용자 컴퓨팅 디바이스의 사용자와 연관된 식별 정보를 수신하며, 여기에서 식별 정보는, 생체측정들의 함수로서 확인된 사용자의 아이덴터티의 표현을 포함하고, 사용자 컴퓨팅 디바이스의 표현을 더 포함한다. 또한, 신뢰되는 서버는 사용자 및 사용자 컴퓨팅 디바이스의 조합에 고유한 대체 인증서를 생성하고, 대체 인증서를 사용자 컴퓨팅 디바이스로 송신한다. 그 이후, 대체 인증서가 신뢰되는 서버에 의해 수신될 때마다, 사용자 컴퓨팅 디바이스와의 양-방향 보안 통신 세션이 신뢰되는 서버에 의해 수립된다.

Description

생체측정 프로토콜 표준들을 위한 시스템 및 방법{SYSTEM AND METHOD FOR BIOMETRIC PROTOCOL STANDARDS}
본 발명은 전반적으로, 생체측정 특징들을 획득하고 특징짓기 위한 시스템들 및 방법들에 관한 것으로서, 더 구체적으로, 사용자를 식별하거나 또는 인증하기 위하여 모바일 디바이스를 사용하여 안면 생체측정 특징들을 획득하고 특징짓기 위한 시스템들 및 방법들에 관한 것이다.
모든 종류들의 정보가, 예컨대 데이터 통신 네트워크들을 통해 액세스가능한 저장 디바이스들 상에 원격으로 계속해서 저장되고 액세스된다. 예를 들어, 다수의 사람들 및 회사들이 금융 정보, 건강 및 의료 정보, 상품 및 서비스 정보, 구매 정보, 엔터테인먼트 정보, 멀티-미디어 정보를 인터넷 또는 다른 통신 네트워크를 통해 저장하고 액세스한다. 정보를 액세스하는 것에 더하여, 사용자들은 화폐 이전들(예를 들어, 구매들, 이전들, 판매들 또는 유사한 것)을 발생시킬 수 있다. 전형적인 시나리오에 있어서, 사용자는 정보에 대한 액세스를 위해 등록하고, 그 이후 "로그 인"하며 정보를 액세스하기 위하여 사용자 명(user name) 및 패스워드를 제출한다. 데이터/통신 네트워크 상에 저장되는 이러한 정보 및 데이터에 대한 ( 및 이로부터의) 보안 액세스가 최고의 관심사로 남아 있다.
따라서, 사용자 컴퓨팅 디바이스와 신뢰되는(trusted) 서버 사이의 보안 통신을 제공하기 위한 시스템 및 방법이 개시된다. 하나 이상의 구현예들에 있어서, 사용자 컴퓨팅 디바이스와 신뢰되는 서버 사이의 초기 양-방향 보안 통신 세션을 가능하게 하는, 1회용 인증서가 분산 클라이언트 소프트웨어 애플리케이션을 통해 제공된다. 초기 보안 통신 세션은, 신뢰되는 서버에 의해, 1회용 인증서를 수신한 후 사용자 컴퓨팅 디바이스와 수립된다. 신뢰되는 서버는, 초기 보안 통신 동안, 사용자 컴퓨팅 디바이스의 사용자와 연관된 식별 정보를 수신하며, 여기에서, 식별 정보는, 생체측정들의 함수(function)로서 확인된 사용자의 아이덴터티(identity)의 표현을 포함하며, 사용자 컴퓨팅 디바이스의 표현을 더 포함한다. 또한, 신뢰되는 서버는 사용자 및 사용자 컴퓨팅 디바이스의 조합에 고유한 대체 인증서(replacement certificate)를 생성하고, 대체 인증서를 사용자 컴퓨팅 디바이스로 송신한다. 그 이후, 대체 인증서가 신뢰되는 서버에 의해 수신될 때마다, 사용자 컴퓨팅 디바이스와의 양-방향 보안 통신 세션이 신뢰되는 서버에 의해 수립된다.
본 발명의 다른 특징들 및 이점들이 첨부된 도면들을 참조하는 다음의 본 발명의 설명으로부터 자명해질 것이다.
본 개시의 추가적인 측면들이, 첨부된 도면들과 함께 이하에서 설명되는 본 개시의 다양한 실시예들의 상세한 설명을 살펴볼 때 더 용이하게 이해될 것이다.
도 1은 본 출원의 특정 실시예들에 따른 복수의 디바이스들 및 컴포넌트들을 예시하는 블록도이다.
도 2는 본 출원의 특정 실시예들에 따른 복수의 디바이스들 및 컴포넌트들을 예시하는 블록도이다.
도 3은 본 출원에 따른 롤(role) 계층의 일 예를 예시한다.
도 4는 예시적인 모바일 디바이스 디스플레이 스크린이다.
도 5는 예시적인 인터페이스이다.
도 6은 예시적인 디스플레이 스크린을 예시한다.
도 7은 예시적인 디스플레이 스크린이다.
도 8은 예시적인 일 구현예를 예시한다.
도 9는 예시적인 일 구현예를 예시한다.
하나 이상의 구현예들에 따르면, 집합적으로 또는 적어도 부분적으로, 사용자들을 인증하기 위한 프레임워크를 포함하는, 본원에서 전반적으로 생체측정 개방 프로토콜 표준들(Biometric Open Protocol Standards; "BOPS")로서 지칭되는 표준들의 새로운 세트가 제공된다. BOPS에 따르면, 본원에서 전반적으로 "BOPS 서버"로서 지칭되는 컴퓨팅 디바이스에 의해 할당된 특정 서비스와 사용자 사이에 인증이 발생한다. 이러한 접근방식은 사용자와 인터넷 웹사이트 사이에서보다 더 안전하고 실용적이다. 하나 이상의 구현예들에 있어, BOPS 서버는 보안 세부사항들을 할당하며, 사용자의 존재는 이하에서 더 상세하게 설명되는 (본원에서 전반적으로 "제네시스(genesis)"로서 지칭되는) 초기 동작에서 검증된다. 세션 키가 생성되고 사용되며, 개별적인 애플리케이션이 (세션 키가 만료하기 전에 무효화될 수 있는) 세션 키의 수명까지 세션 업(session up)에 대해 진행할 수 있다.
하나 이상의 구현예들에 있어서, 생체측정 개방 프로토콜 표준들은, 아이덴터티 어써션(identity assertion), 롤 개더링(role gathering), 멀티-레벨 액세스 제어, 보증 및 감사를 제공한다. 동작 시, BOPS는 (예를 들어, ANDROID 운영 시스템, iOS, 또는 다른 운영 시스템을 구동하는) 클라이언트 디바이스 상에서, 신뢰되는 BOPS 서버 상에서, 및 침입 탐지 시스템(intrusion detection system; "IDS") 상에서 구동되는 소프트웨어를 포함한다. BOPS는, 현재 운영 환경들 내로의 통합을 수락함으로써 플러그가능(pluggable) 컴포넌트들이 기존의 컴포넌트들의 기능성을 시간의 짧은 기간에서 대체하는 것을 허용한다.
동작 시, 클라이언트/디바이스 애플리케이션은 서버로의 초기 통신들을 위한 1회용 양-방향 SSL 키를 로딩한다. 이러한 1회용 양-방향 SSL 키는, 기능적으로, 아이덴터티/제네시스 페이즈 동안 제공되는 서브젝트(subject)의 양 방향 SSL 키에 의해 대체된다.
오로지 예로서 그리고 개괄 및 소개의 목적을 위하여, 본 출원의 실시예들이 이하에서 설명되며, 이들은, 예를 들어, 스마트폰과 같은 모바일 디바이스를 사용하여 사용자의 생체측정 특징들을 기록하고, 사용자의 생체측정 특징들을 나타내는 식별자를 생성하기 위한 시스템 및 방법을 포함한다. 생체측정 식별자는, 생체측정 식별자에 따라 사용자를 식별/인증(예를 들어, 검증)하기 위해 생성될 수 있다.
하나 이상의 구현예들에 있어서, 랩탑들, 태블릿들 및 모바일 디바이스들(예를 들어, 스마트폰들)과 같은 사용자 컴퓨팅 디바이스들과 통신하는 클라우드-기반 시스템 서버 플랫폼을 포함할 수 있는 시스템이 제공된다. 예를 들어, 사용자가 보안 로그인이 요구되는 웹사이트에 액세스할 때, 보안 요청이 사용자의 인증을 위해 시스템 서버에 대해 이루어 진다. 그러면, 시스템 서버는, 적어도 사용자의 눈들, 눈 주위 영역 및 안면 또는 이들의 임의의 조합(집합적으로 비트루비안(Vitruvian) 영역으로서 지칭됨)의 이미지들의 형태로 생체측정 정보를 캡처하고, 캡처된 비트루비안 생체측정 정보를 비트루비안 생체측정 식별자로서 인코딩하도록 사용자의 모바일 디바이스로 질의(query)할 수 있다. 그런 다음, 사용자가 비트루비안 생체측정 식별자에 따라 검증될 수 있다. 검증은 예를 들어, 시스템에 대한 사용자의 초기 가입(enrollment) 동안 생성된 비트루비안 식별자와 비트루비안 생체측정 식별자를 비교함으로써, 모바일 디바이스, 시스템 서버, 또는 전술한 것들의 조합에 의해 수행될 수 있다.
본 출원이, 생체측정-기반 액세스 관리의 기능으로서 사용자들 및 하나 이상의 정보 제공자들에게 상당한 편의를 제공한다는 것이 이해될 것이다. 소비자들이 일반적으로, 통신 네트워크를 통한 온-라인과 같이 원격으로 제공되는 정보에 대한 액세스 및 정보의 관리를 위해 생체측정들을 승인한다는 것이 본 발명자에 의해 인식되었다. 생체측정 기술들은 소비자에게 프론트엔드(frontend) 상에서 "사이버스페이스" 내로 안전하게 진입하기 위해 고대했던 편의를 제공할 수 있다.
본원에서 제공되는 생체측정 개방 프로토콜 표준들은, "백엔드(backend)" 상에서 사용자의 디지털 자산 및 디지털 아이덴터티들을 보호하며, 이는 생체인식 불가지론 표준(biometrics agnostic standard)일 수 있고, 이들 사이의 인터페이싱을 위한 개발자들에 대한 애플리케이션 프로그래밍 인터페이스(application programming interface; "API")를 포함한다. 예를 들어, 본 출원은, 이전에 준비되었을 수 있는 상이한 절차적 및 보안-기반 측정들을 지원한다. 따라서, 생체측정들을 이용하는 현존하는 보안 인증 프로세스가 통합될 수 있고, 그럼으로써 현존하는 비지니스 관행의 혼란을 방지한다.
또한, 하나 이상의 구현예들에 있어, 침입 탐지 시스템(IDS)을 사용할 수 있는 BOPS 서버에 대한 암호화 메커니즘을 통한 양-방향 보안 소켓 계층(Secure Socket Layer; SSL) 연결을 가능하게 하는, BOPS 통신 아키텍처가 제공된다.
다음은, 본 출원의 하나 이상의 실시예들에 따른 용어들 및 대응하는 정의들의 알파벳순 목록이다. 용어들의 추가적인 용어집이 본원에 기술된다.
어드민 콘솔(Admin Console): BOPS에 등록 및 가입을 가능하게 하는 온라인 포털.
애플리케이션: BOPS 애플리케이션 프로그래밍 인터페이스(API) 키를 사용하여 생성된 고유 소프트웨어/시스템.
BOPS 어드민: 환경을 설정하고, 등록 동안 가입 정보에 기초하여 오리지널 사이트 어드민(Original Site Admin)을 생성하는 BOPS 관리자.
BOPS 클러스터(Cluster): BOPS를 사용하여 통신하는 느슨하게 또는 타이트하게 연결된 컴퓨터들, 디바이스들의 세트.
BOPS 서버: BOPS 아키텍처를 지원하는, 클라언트/서버 패러다임에서와 같은, 서버의 일 예.
BOPS IDS: BOPS 아키텍처를 지원하는 비밀(private) 클러스터 상의 침입 탐지 시스템의 일 예.
클라이언트 디바이스 IDS: 사용자 디바이스 상에서 로컬적으로 구동되는 침입 탐지 시스템의 일 예.
예나 규칙(Jena Rule)들: 인터페이싱을 위한 기계 학습 규칙들의 신택스(syntax) 및 시스템.
IDS 클러스터: BOPS를 지원하는 느슨하게 또는 타이트하게 연결된 침입 탐지 시스템들의 세트.
오리지널 사이트 어드민(Original Site Admin): 동일한 조직 내에 다른 관리자들을 생성하기 위한 특권을 가진 BOPS 관리자에 의해 생성된 관리자. 오리지널 사이트 관리자는 클라이언트 요건들에 따라 그의/그녀의 고유 아이덴터티를 어써트(assert)할 수 있다(제네시스 API/클라이언트 요건들 노트에 대한 섹션을 참조하여, 이하를 확인할 것).
사이트 어드민: 오리지널 사이트 관리자에 의해 생성된 애플리케이션 관리자.
신뢰되는 판정된 데이터(Trusted Adjudicated Data): BOPS 서버 내에서 멀티레벨 보안 판정을 가지고 BOPS 내에 저장된 데이터.
사용자: 몇몇 디바이스들을 가질 수 있는, 그의 아이덴터티가 BOPS에 의해 어써트되는 고유 사용자.
사용자 디바이스: 생체측정-구동형 클라이언트 소프트웨어를 갖는 단일 디바이스.
이제 유사한 참조 번호들이 유사한 엘러먼트들을 나타낼 수 있는 도면들을 참조하면, 도 1은, 예시적인 구현예와 연관된 복수의 클라이언트 디바이스들(104) 및 BOPS 서버(102)와의 통신 및 컴포넌트들을 예시하는 단순한 블록도이다. 하나 이상의 구현예들에 있어서, 생체측정 개방 프로토콜 표준들은, 다양한 클라이언트 디바이스들(104)과 하나 이상의 신뢰되는 서버들 사이의 보안 통신을 지배하는 규칙들을 포함한다. 당업자에게 용이하게 자명해질 바와 같이, 본 출원은 BOPS의 인센티브 값들을 제공하며, BOPS 구현예로의 포괄적인 안내를 제공한다. BOPS는, 흔히 오렌지 북(Orange Book)으로 지칭되는, 신뢰되는 컴퓨터 시스템 평가 기준(Trusted Computer System Evaluation Criteria) 섹션 B1; 중앙 정보 지침의 디렉터(Director of the Central Intelligence Directive) 6/3 보호 레벨들 3, 4 및 5(PL3, PL4, PL5); 및 다중 독립 보안 레벨(Multiple Independent Levels of Security; MILS)의 표준들에 따른다.
보안 고려사항들은, 준비된 보안 정책들 및 명확하게 정의된 보안의 레벨들을 포함한다. BOPS 주요 기능들 중 하나는, 서버가 클라이언트 정보를 보유하지 않고, 그 대신에 다른 클라이언트들로부터 하나의 클라이언트를 인식할 수 있는 방식으로, 인가(authorization) 대신에 인증(authentication)을 제공하는 것이다. 본원에서 주목되는 바와 같이, BOPS의 보안 고려사항들의 주요 컴포넌트들은, 아이덴터티 어써션, 롤 개더링, 액세스 제어, 감사, 및 보증을 포함한다. BOPS의 구현예를 통하는 것을 포함하여, 본 출원은, 다른 주요 특징들 및 판정의 실행 가능성 및 배치의 보장 및 자원들에 대한 연속적인 보호를 제공한다. 책임(accountability)은, 보안의 서비스 레벨 보장(guarantee)을 제공하는 메커니즘이다.
BOPS 아이덴터티 어써션은, 지명된(named) 사용자들이 자신들이 누구라고 주장하는 것에 대한 보장을 제공한다. 아이덴터티 어써션은 인간 생체측정들에 의존을 암시하지만, 그러나, BOPS는 상호 운용가능한 표준이며, 이러한 보장을 제공하는 임의의 아이덴터티 어써터(asserter), 또는 복수의 어써터들을 통합할 수 있다. 침입 탐지 시스템(IDS)의 애플리케이션은, 악의적인 시도들을 하는 주체 또는 디바이스의 블랙리스팅 및 증명서들의 스푸핑(spoofing)을 방지하기 위한 능동적인 모니터링을 제공한다.
하나 이상의 구현예들에 있어서, 롤 개더링은 공지된 시스템에 의해 집행되는 규칙들에 기반하는 특권화된 액세스 및 데이터 기밀성에 초점이 맞추어 진다. 특정 액세스 모드가 허용되는지 여부를 결정하기 위하여, 롤의 특권이 주체가 기밀 액세스에 대해 허가되었는지 여부를 결정하기 위해 그룹의 분류와 비교될 수 있다. 객체 구조(objects structure)가 액세스 제어에 의해 정의될 수 있다. 롤 개더링은 시스템의 레벨 상에서 또는 클라이언트/서버 호출을 통해 일어난다. BOPS 서버는 고유 사용자를 고유 디바이스와 연관시키기 위하여 롤 개더링 정보를 저장한다.
액세스 제어와 관련하여, BOPS는 지명된 사용자들과 지명된 객체들(예를 들어, 파일들 및 프로그램들) 사이의 액세스 제어를 지원한다. 롤-기반 판정 메커니즘은, 사용자들 및 관리자들이 지명된 개체(individual)들에 의한, 개체들의 정의된 그룹들에 의한, 또는 이들 둘 모두에 의한 객체들의 공유를 제어하고 지정하는 것을 허용하며 이를 포함한다. 또한, 객체들이 인가되지 않은 액세스로부터 보호된다는 보장하기 위하여 임의적 액세스 제어 메커니즘이 제공된다. 추가적으로, 임의적 액세스 제어는 단일 객체 또는 객체들의 그룹에 걸친 그룹 또는 개체 레벨의 보호를 제공한다. 세분성(granularity)은 개체로부터 그룹까지의 범위이다.
하나 이상의 구현예들에 있어서, BOPS는 그것의 제어 하에 있는 모든 주체들 및 저장 객체들(예를 들어, 프로세스들, 파일들, 세그먼트들, 디바이스들)에 대한 의무(mandatory) 액세스 제어 정책을 집행할 수 있다. 이러한 주체들 및 객체들에는 보안 레이블(sensitivity label)들이 할당될 수 있고, 이는 계층적 분류 레벨들 및 비-계층적 카테고리들의 조합일 수 있으며, 레이블들은 의무 액세스 제어 결정들에 대한 기준으로서 판정에서 사용될 수 있다.
하나 이상의 구현예들에 있어서, 다음의 요건들이 BOPS에 의해 제어되는 주체들과 객체들 사이의 모든 액세스에 대해 유지된다: 주체는, 주체의 보안 레벨 내의 계층적 분류가 객체의 보안 레벨 내의 계층적 분류와 동일하거나 또는 더 크고, 주체의 보안 레벨 내의 비-계층적 카테고리들이 객체의 보안 레벨 내의 비-계층적 카테고리들 전부를 포함하는 경우에만, 객체를 판독(read)할 수 있다. 주체는, 주체의 보안 레벨 내의 계층적 분류가 객체의 보안 레벨 내의 계층적 분류와 동일하거나 또는 이보다 더 작고, 주체의 보안 레벨 내의 모든 비-계층적 카테고리들이 객체의 보안 레벨 내의 비-계층적 카테고리들 내에 포함되는 경우에만, 객체를 기입(write)할 수 있다.
사용자의 아이덴터티를 인증하고, 개별 사용자를 대신하여 행동하도록 생성될 수 있는 BOPS 외부의 주체들의 인가 및 보안 레벨이 그 사용자의 허락 및 인가에 의해 지배된다는 것을 보장하기 위하여, 식별 및 인증 데이터가 BOPS에 의해 사용되어야만 한다.
본 출원은, 본원에서 전반적으로 보증(assurance)으로 지칭되는 감사(auditing) 및 리뷰(review)를 가능하게 한다. BOPS는 주체/객체 레벨에서 또는 그룹 레벨에서 감사 요청들을 지원한다. BOPS는, 모든 호출들이 안전하게 감사 추적(audit trail)에 기입되었다는 것을 보장하기 위하여 관점 지향 프로그래밍(Aspect Oriented Programming; AOP)을 사용할 수 있다. 또한, 레스트풀 웹 서비스(RESTFul web service)들 및 제이슨 인터페이스(JSON interface)는 감사 추적을 판독하기 위한 메커니즘을 제공할 수 있다. 감사는, 액션(action)마다 주체에서, 액션마다 객체에서 또는 액션마다 그룹에서 일어날 수 있다. 예를 들어, "회계"로 지칭되는 사용자들의 그룹이 총 계정원장에 대한 모든 기입들을 감사할 수 있거나; 또는 최고 재무 책임자가 손익 계산서의 판독들에 대해 감사할 수 있다. 또한, 하나 이상의 구현예들에 있어서, BOPS의 모든 경계 조건들에 대하여 제이유닛(JUnit) 테스트들이 제공된다. 테스트들의 스위트(suite)는 시스템의 모든 경계 컴포넌트들 및 조건들을 테스트하는 것을 포함한다.
본원에서 주목되는 바와 같이, BOPS는 API를 사용함으로써 시스템들이 보안 요구들을 충족시키는 것을 가능하게 한다. BOPS는 기초 시스템이 관계형 데이터베이스 관리 시스템(Relational Database Management System; RDBMS), 검색 엔진 또는 다른 시스템인지 여부를 알 필요가 없다. BOPS 기능성은, 생성 시스템(production system)들뿐만 아니라 개발 중인 시스템들에 적절한 보안성을 부가하기 위한 "포인트 앤 컷(point and cut)" 메커니즘을 제공한다. 아키텍처는 통신 인터페이스를 제공하기 위한 REST, JSON 및 보안 소켓 계층들을 허용하는 언어 중립적이다. 또한, 하나 이상의 구현예들에 있어서, 아키텍처는 서블릿(servlet) 명세, 개방 보안 소켓 계층들, 자바(Java), JSON, REST 및 아파치 솔라(Apache Solr)를 기반으로 한다. 카산드라(Cassandra)와 같은 다른 지속성 엔진(persistence engine)이 지원될 수 있다. 툴(tool)들이 상당한 상호 운용성을 허용하는 개방 표준들을 고수할 수 있다.
하나 이상의 구현예들에 있어, BOPS는 이미 존재하는 프레임워크의 아이덴터티 어써션에 부가되거나 또는 액세스 제어를 통해 사용가능하다. BOPS는 생성 환경에서 최소한의 액션들을 수행함으로써 신뢰되는 프로세싱을 가능하게 하면, 대부분의 경우들에 있어 임의의 애플리케이션 소프트웨어의 변경을 요구하지 않는다.
또한, 하나 이상의 구현예들에 있어, 1-방향 SSL의 탑(top)에 기반하는 양-방향 보안 소켓 계층(SSL)이 제공되며, 이는 클라이언트에서 시작하는 통신을 제공한다. 초기 또는 "제네시스" 통신은 클라이언트의 아이덴터티의 기원(origin)을 수립하고, 클라이언트가 세션 지향 아이덴터티 어써션과 함께 후속 통신을 위해 사용하는 BOPS 준수 양-방향 인증서를 전달한다. 하나 이상의 구현예들에 있어서, 클라이언트 애플리케이션은 후속 아이덴터티 제네시스를 허용하는 사전-로딩된 양-방향 SSL 키를 갖는다.
동작 시, BOPS 준수 서버는 양-방향 SSL 아이덴터티를 가지고 1-방향 SSL 통신을 수신한다. 통신은 1-방향 SSL 및 양-방향 SSL 둘 모두에서 수행된다. 서버는 신뢰되는 아이덴터티를 취하고 아이덴터티를 대신하는 프로세싱에 대한 롤들을 개더링하기 위하여 데이터 저장소를 사용한다. 감사는 신뢰되는 액세스의 계속되는 검증 및 유효성 확인을 위한 적절한 아티팩트(artifact)들을 보장한다. 보증은 멀티-레벨 액세스 제어 메커니즘의 간략화 및 문서화(documentation)를 통해 일어난다. BOPS는, 사용자들, 그룹들, 및 롤들의 동적 수정을 허용하는 등록 프로세스(이하에서 등록에 대하여 살펴볼 것) 이후 이용가능한 관리 콘솔(Administration Console)을 필요로 한다.
하나 이상의 구현예들에 있어서, BOPS는, 임의의 형태의 브루트-포싱(brute-forcing) 또는 서비스-거부(분산 또는 단일 DOS(denial-of-service)) 공격들의 방지를 제공하는 능동 침입 탐지 시스템을 가지고 구현된다. 표준은, 양-방향 SSL 인증서 사칭(certificates impersonation)을 위조하기 위한 시도들, 세션 리플레이(replay), 위조된 패킷, 및 BOPS 서버를 회피하기 위한 다른 다양한 시도들을 식별하고 추적하는 커스텀(custom) 규칙을 포함한다.
도 2는 일반적으로 시스템(200)으로 지칭되며 본원에서 설명되고 도시되는 시스템들 및 방법들을 제공하기 위한 예시적인 컴포넌트들을 예시하는 블록도이다. 도 2에 도시된 바와 같이, 사용자 디바이스(104)는 방화벽(202) 외부에 위치되며, BOPS 애플리케이션 클라이언트 소프트웨어를 통해 BOPS 서버(102)와 통신한다. BOPS 클러스터(204) 및 BOPS IDS(206)가 또한 도 2에 포함된다. 도 2에 도시된 구현예가 BOPS 서버(102) 및 BOPS IDS(206)와 별개의 BOPS 클러스터(204)를 예시하지만, 당업자는, 클러스터(204)가 특정 구현예들에 따라 BOPS 서버(102) 및/또는 BOPS IDS(206)를 포함할 수 있다는 것을 인식할 것이다. 본원에서 주목되는 바와 같이, 1-방향 SSL의 탑에 기반하는 양-방향 보안 소켓 계층(SSL)이 제공될 수 있으며, 이는 클라이언트에서 시작하는 통신을 제공한다.
다음은 본 특허 출원의 예시적인 구현예의 설명이다. 등록 프로세스가 조직 내에서 BOPS 채택을 개시한다. BOPS 관리자가 환경을 설정하기 이전에, 조직이, 예를 들어, 인터넷 웹 사이트로부터 API 키를 수신하기 위해 등록한다. 개별 개발자가 마찬가지로 API 키를 신청할 수 있다. 가입 완료 시에, BOPS 관리자 오리지널 사이트 관리자가 추가적인 사이트 관리자들을 생성할 수 있다. 향후, 가입 정보가 조직의 API 키와 연관될 것이다. API 등록은 2개의 도메인들과 관련될 수 있다: 가입된 오리지널 사이트 어드민 및 가입 정보, 조직, 및 사용 케이스에 기초하는 발행된 API 키. 애플리케이션 개시가 동의될 때 등록 프로세스가 완료된다. 그 이후, BOPS 어드민은 조직에 대해 오리지널 사이트 어드민을 생성하며, 오리지널 사이트 어드민이 사이트 어드민을 생성할 수 있다(도 3 참조). 등록 이후의 단계들이 이하에서 설명된다. 도 3은 본원에 따른 롤 계층의 일 예를 예시한다.
예시적인 구현예에 있어서, BOPS 서비스를 사용하는 개발 프로세스 이전에, 개발자가 "BOPS 어드민 콘솔"에 등록한다. 애플리케이션 명칭을 제공하고, 예를 들어, 개발자를 식별하기 위한 공리(Axiom)를 사용함으로써, BOPS는 신규 계정을 수립하고 AIP 키를 생성하며, 이는 애플리케이션 명칭으로 식별될 수 있고 애플리케이션과 연관될 수 있다. 수립된 API 키가 BOPS 서버에 대한 모든 API 호출들 내에 포함될 수 있다. BOPS 서버가 API 키의 유효성을 확인한다. 키가 만료되었거나 또는 유효하지 않은 경우, BOPS 서버는 즉시 서비스 요청을 거절한다.
본원에서 주목되는 바와 같이, 하나 이상의 구현예들에 있어서, 애플리케이션과 BOPS 서버 사이의 통신은 양-방향 SSL의 탑 상에 수립된다. 제네시스 메커니즘이 연결의 수립을 가능하게 한다. 제네시스는 사용자들이 그들 자신들을 BOPS 서버에 식별시키는 방법을 지정하며, 그 결과 서버가 사용자 디바이스(104) 애플리케이션과 BOPS 서버(102) 사이의 양-방향 SSL 통신을 설정하기 위한 비밀 키(private key)를 생성할 수 있다. 공리는 BOPS가 사용자들을 식별하기 위해 사용할 수 있는 메커니즘들 중 하나이다. 또한, 애플리케이션은 최종 사용자의 디바이스를 식별하는 고유 ID를 제공하는 것을 담당할 수 있다. 애플리케이션은 BOPS 서버로 사용자와 사용자의 디바이스 사이의 링크에 관하여 통지하기 위해 디바이스 연관 API를 사용할 수 있다.
다음의 예는 클라이언트와 서버 사이의 통신을 예증한다. BOPS 서버에 대한 호출들이, 실제로 API 키를 생성하는 CreateApplication의 주목할만한 제외를 갖는 API 호출을 가질 수 있다. 요청은 클라이언트 디바이스로부터 보안 서버로 발원할 수 있다. 초기 호출은 양-방향 SSL 인증서를 수신하고, 사용자를 생성한다. 사용자는 클러스터링된 지속성 환경에서 생성된다. 플레이백(playback)을 방지하는 합계(sum)들이 SHA1을 사용하여 암호화된 1-방향으로서 가정된다. SHA1을 임의의 적절한 알고리즘으로 스위칭하는 것이 알고리즘을 변경하지 않는다. 이러한 문서의 지속기간 동안, 우리는 SHA1을 가정한다.
초기 호출의 예시적인 포맷은 다음과 같을 것이다:
https://xyz.domain.com:8443/{BOPS_Instance_Server}/?val1=<n1>&val2=<n2>&siteId=<client>&username=<username>&password=<password>&newPassword=<newpassword>
val1=<n1>에 대하여, n1은 ISO-8601 포맷의 현재 시간에 부가되거나 또는 이로부터 차감된 -59 내지 59 사이의 정수의 SHA1 합계이다. val2=<n2>에 대하여, n2는 -59 내지 59 사이의 정수의 SHA1 합계이며, 이는 n1의 평문 값(plaintext value)보다 더 크다. 사용자명(username) 및 패스워드(password)에 대한 값들은 클라이언트 의존적이며, 이들은 현재 아이덴터티 어써터에 도달하기 위해 사용된다. 유사한 메커니즘들이 어써팅 아이덴터티(Asserting Identity) 및 롤 개더링을 위한 다양한 메커니즘과 함께 SAML, LDAP, ActiveDirectory에 대해 존재한다.
다음은 제네시스 요청의 결과를 나타낸다:
사용자명 이메일 val1 val2 세션 타임아웃 롤들 siteID
scott scott@sample.com 5 40 3600 Admin businessCustomer
사용자 scott은 scott@sample.com이라는 이메일을 갖는다. 평문 내의 제 1 리플레이 값은 5이며, 제 2 값은 40이다. 세션타임아웃(sessionTimeout)이 세션아이디(sessionId), 사이트아이디(siteId) 페어링(pairing)에 존재한다. 비지니스 소비자 웹사이트의 관리자에 대하여, 세션타임아웃은 1 시간 동안 존재한다.
더 상세한 설명에서, 예는 2013-12- 22T17:46:03.647Z와 같은 현재 시간을 가지고 다음과 같이 동작한다. 5분 간격으로 다시 되돌아가고, fa8e14cf7f80f885084ee0e3cb256182bb6a4e40의 SHA1 합계와 함께 2013- 12-22T17:45:00.007Z를 취하기 위해 계산이 이루어진다.
예:
https://xyz.domain.com:8443/{BOPS_Instance_Server}/genesisval1=fa8e14cf7f80f885084ee0e3cb256182bb6a4e40&val2=fa8e14cf7f80f885084ee0e3cb256182bb6a4e40&newPassword=gasol
val1인 fa8e14cf7f80f885084ee0e3cb256182bb6a4e40과 연관된 값들은 5 오프셋(offset)이고, val2=fa8e14cf7f80f885084ee0e3cb256182bb6a4e40이며, 이는 40에 대하여 달라지지 않을 것이다. 신규패스워드(newPassword)는 양-방향 SSL 키에 대한 패스워드이며, 이는 바람직하게는 BOPS 서버 상에 저장되지 않는다.
이러한 동작을 실행하기 위하여, BOPS 서버는 합계들을 해독하기 위하여 -59 내지 59 사이의 모든 정수들에 대한 SHA1 합계를 가져야만 한다.
다음은 후속 API 호출들을 나타낸다. 예를 들어, 그리니치 표준시로 2:18pm에 사용자 scott이 세션을 생성하기 위하여 클라이언트 디바이스(안드로이드 폰)를 사용한다. 호출은 세션에 대한 디바이스아이디(deviceId)뿐만 아니라, 다음의 파라미터들을 포함한다:
최근접 5분으로 롤 백(roll back)된 현재 시간의 val1=<SHA1sum
최근접 20으로 롤 포워드(roll forward)된 현재 시간의 interval>&val2=<SHA1sum
fopen>&version=<version of command>&val3=<SHA1sum for the command file>과 같은 저 레벨 운영 시스템의 minuteinterval>&command=<SHA1sum
대체 키 커널 객체 파일들 또는 이전 세션의 리플레이를 방지하기 위하여, BOPS 서버는 버전 단위로 명령들, 명칭들 및 파일들에 대한 SHA1 합계들을 포함한다. BOP 침입 탐지 시스템과 함께 BOPS 프로토콜을 사용하는 것이 리플레이 공격을 방지한다. IDS는 추가적인 공격 인식 레벨에 대해 위협들 및 공격들로서 블랙리스팅된 객체들의 리스트를 갱신한다.
다음의 논의는 본 출원의 하나 이상의 구현예들에 따른 API의 개괄과 관련된다. 하나 이상의 구현예들에 있어, API 명칭들은 JSON(RESTful JavaScript Object Notation) 포맷이다.
아이덴터티 어써션 API와 관련하여, 개별 개발자들이 BOPS를 사용할 그들의 애플리케이션들에 대한 API_Key를 신청할 수 있다. 개별 개발자들이 그들 자신들의 API_Key를 가지면, 그들의 애플리케이션들에 의해 이루어지는 API 호출들이 이러한 API_Key를 파라메터들 중 하나로서 삽입할 수 있다. LDAP는 API 레벨에서 API_Key를 검증할 수 있다. 또한, 애플리케이션 식별은 개발 팀에 의한 사용을 위한 애플리케이션을 생성한다.
이제 예시적인 구현예에 따른 예시적인 애플리케이션 생성 프로세스의 논의가 제공된다. 애플리케이션 개시가 합의된 후, 전체 BOPS 어드민이 오리지널사이트 어드민(orirginalSiteAdmin)의 특별한 롤을 갖는 사용자를 생성한다. 일단 오리지널 사이트 어드민이 존재하게 되면, 오리지널사이트어드민 롤을 갖는 사람의 첫번째 액션은 그의/그녀의 생체측정들을 아이덴터티와 연관시키는 것이다. 그 이후, 액션들이 제네시스 및 API를 갖는다.
추가적으로, 오리지널사이트어드민 롤은 사이트어드민 롤의 사용자들을 생성할 수 있다. 사이트어드민 롤은 추가적인 관리 작업을 위해 사용된다.
명칭 정의 입력 파라미터들 출력 파라미터들 노트
applicationGenesis 애플리케이션 생성 originalSiteAdmin을 생성하기 위해 BOPS 어드민에 의해 취해지는 액션 API_Key
applicationMetadata 주어진 API 키 및 롤들의 세트가 애플리케이션에 대한 최대 롤들을 정의한다. API_Key 및 모든 애플리케이션 롤들의 수퍼세트 상태: 성공 또는 실패 이는 이전의 CreateApplication 호출을 검증하고, 이것이 발견되는 경우, 애플리케이션 도메인에 대해 정의된 최대 롤들을 삽입하거나 또는 갱신한다.
예시적인 제네시스 API와 관련하여, 제네시스 서비스는 사용자에 대한 초기 셋업(setup)이다. 이는 이전에 저장된 초기 아이덴터티들을 가지고 동작할 수 있거나, 또는 초기 아이덴터티에 대한 외부 공리 서비스들을 사용할 수 있다.
명칭 정의 입력 파라미터들 출력 파라미터들 노트
identityGenesis(클라이언트 요건들을 확인) 제네시스 서비스, 옵션들이 비지니스를 위한 내부 또는 공리를 포함하며, 다음 단계는, 사용자가 양-방향 SSL 키에 대한 패스워드를 제공하고, 사용자 디바이스(디바이스들 상에서 구동되는 내장된/소프트웨어)가 고유 deviceID를 제공하는 것이다. userId, 이메일, 인증서에 대한 패스워드, deviceId, 및 선택적으로 사용자와 연관된 계층적 롤들 양-방향 SSL 키 이는 아이덴터티를 양-방향 SSL 키의 사용자를 갖는 디바이스 내에 위치시킨다.
하나 이상의 구현예들에 있어서, 아이덴터티를 보장하기 위한 클라이언트 디바이스들에 대해 정의된 몇몇 규칙들이 존재할 수 있다. 이러한 규칙들은 다음을 포함할 수 있다: 1) 클라이언트 인증 디바이스는 추가적인 디바이스들을 요구하지 않는다; 2) 부정 오류(false negative)들은 미리 정의된 퍼센트 아래이어야만 한다(예를 들어, <1%); 긍정 오류(false positive)들은 미리 정의된 퍼센트 아래이어야만 한다(예를 들어, <0.5%). 다른 규칙들은, 4) 사용자가 연속적인 시간의 미리 정의된 횟수(X)보다 더 많이 실패하는 경우 그 자신을 블랙리스팅한다는 것을 포함할 수 있다. 또한, 클라이언트는 시행착오의 패턴들을 살피고 그 자체를 블랙리스팅할 수 있는 클라이언트 침입 탐지 시스템을 가질 수 있다. BOPS와 함께 사용하기 위해 설계된 애플리케이션들은 어떤 형태의 침입 탐지를 포함할 수 있으며, 이에 의해 소프트웨어가 스푸핑 시도들을 탐지할 수 있고, 예를 들어, X 양의 시도들로서 정의된, 백엔드(backend) 시스템에 대한 액세스를 제한할 수 있으며, 이는 그 후 클라이언트 애플리케이션이 시간의 X 기간 동안 또는 디바이스가 그것이 안전하고 유효하다는 것을 적절하게 보장받을 때까지 무한히 작업을 중단하게끔 한다. 이에 더하여, 규칙들은, 5) BOPS를 준수하도록 의도된 애플리케이션들이 어떤 형태의 활성(Liveness) 탐지 또는 , 가입된 또는 인증된 사용자가 실제 사람이며 사용자의 다른 표현이거나 또는 이미지가 아니라는 것을 보장하기 위한 능력을 포함한다는 점에 있어서의, 활성을 포함할 수 있다. 안면 인식 시스템들에 대하여, 이는 블링크(blink) 탐지와 같이 단순한 어떤 것일 수 있으며, 요점은 어떤 형태의 스푸핑-방지가 시스템에 대한 부정 액세스를 방지하기 위해 존재한다는 것이다. 하나 이상의 구현예들에 있어서, 기업 조직은 어떤 사용 케이스가 특정 구현예에 대해 가장 적절한지를 결정한다.
하나 이상의 구현예들에 있어서, 롤 개더링이 권한이 있는 롤 소스(Role Source), 예를 들어, Active Directory, LDAP 또는 관계형 데이터베이스 빅 데이터 서버로부터 검색되거나, 또는 롤들의 목록을 찾기 위해 BOPS 서버 상에서의 추가적인 API 호출을 통해 수행된다. 롤들이 개더링되고 BOPS 서버에 저장될 수 있다.
롤 API
명칭 정의 입력 파라미터들 출력 파라미터들
loadRoleGenesis userId; deviceId가 주어지면, 시스템들이 잘-정의된 롤 개더링 소스이 이어지며, BOPS 내의 롤들을 대체한다. 이는 또한 모든 열려 있는 세션들을 취소한다. 이러한 API 호출 후 모든 세션들이 재구성되어야만 한다. 인자들, 각각의 세션의 지속기간이 보안 정책 결정이다. 따라서, 각각의 세션이 얼마나 오래 지속될지 및 새로운 세션의 생성 이전의 비활성이 얼마나 길지가 결정된다(수명). 디바이스 스캐닝 결과가 세션 검증을 계속하기 위하여 BOPS 서버로 전송될 수 있다. 입력 userId, deviceId 출력 없이 롤들이 서버 메모리 내로 로딩된다.
다음은 본 출원의 하나 이상의 구현예들에 따른 동적 이미지 코드 세션 구성을 설명한다. 예를 들어, 동적 이미지에 대한 웹 페이지는 세션아이디를 반환한다. 서브-API 호출이 동적 이미지 내에 세션아이디를 갖는 MIME-인코딩된 이미지를 반환한다. 다른 것들이 JSON 텍스트 포맷으로 세션아이디 및 이미지의 URL을 반환한다. 세션 구성의 종결에서, 모든 롤들(레이블들)이 사용자와 연관될 수 있다.
명칭 정의 입력 파라미터들 출력 파라미터들
sessionConstruction 이러한 API는, 이러한 세션을 식별하기 위해 sessionId를 생성할 세션을 시작하기 위해 사용된다. sessionId 외에, API는 내장된 코드 정보를 갖는 동적 이미지를 또한 반환할 것이다. siteID sessionId를 반환
sessionStatus 이는, 주어진 sessionId와 연관된 현재 세션 상태를 체크하기 위한 API이다. sessionId 다음의 결과 코드들이 반환된다: sessionNotReady, validationInProgress, userAuthenticated, userRejected, sessionTerminated, sessionExpired, sessionLogoff, userLogoff
sessionTermination 로그오프 userLogoff logoff 통지가 사용자에게 전송된다.
동적 이미지 코드 세션 구성을 계속하면, 하나 이상의 예시적인 구현예들에 있어서, 입력 디바이스는 동적 이미지를 스캐닝하며, 스캐닝된 세션아이디를 BOPS로 유효성을 확인하고, 이는 사용자, 디바이스 및 세션의 삼자 연관을 트리거(trigger)한다. BOPS 클라이언트 소프트웨어가 생체측정의 유효성을 확인한다. 생체측정 상태가 BOPS 서버로 전송된다. 하나 이상의 구현예들에 있어서, 생체측정 데이터 그 자체는 사생활 염려들을 충족시키기 위하여 BOPS 서버로 전송되지 않는다. 그 후, 디바이스가 생체측정을 스캐닝하며, sessionID가 생성된다. 하나 이상의 구현예들에 있어서, 세션 상태 세션아이디는 sessionNotReady, validationInProgress, userAuthenticated, userRejected, sessionTerminated, sessionExpired, sessionLogoff, 및 userLogoff를 반환한다. 세션 종료는 로그오프(logoff) 통지를 초래한다. 일단 수신되면, 세션이 SessionID 내의 sessionLogoff에 의해 정의된 바와 같이 장래의 활동을 위해 닫힐 수 있다. sessionID 생성 실패는, 그 뒤 sessionID 생성을 종료하기 위해 적절한 액션들을 취할 수 있는 IDS에 의해 지배될 수 있으며, 이는 IP 어드레스들의 차단, 도메인들의 블랙리스팅, 사용자들의 블랙리스팅, 또는 다른 수단일 수 있다. 블랙리스팅은 복합 기계 학습 규칙들에 기초하여 시스템들에 대한 액세스를 제한하는 계층을 갖는다.
이제 예시적인 액세스 제어 API를 참조하면, 세션아이디가 주어지면, 데이터 레이블 및 액세스가 허용된다. 하나 이상의 구현예들에 있어서, JSON 포맷의 데이터의 세트(JSONObjects의 JSONArray)는 securityLabel 필드이다. 보안 레이블 필드는 세션을 통해 사용자와 연관된 롤들과 경쟁하게 된다. 데이터(JSONObject)가 롤들의 서브세트인 경우, 데이터가 반환된다. 그렇지 않으면, JSONObject의 부분적인 데이터가 반환되지 않는다. API가 호출을 리다이렉트(redirect)함에 따라, 반환된 데이터가 제한되게 된다. 리다이렉트 API 호출에서, getJSON 호출이 인터셉트된다.
다음은, 액세스 제어 알고리즘이 계층들이 평평해진(flattened) 세션 구성 시간에서 각각의 사용자에 대해 적용가능한 예시적인 구현예를 설명한다.
따라서, 매니저(manager) 사용자가, 매니저 레이블이 매니저 및 사용자 둘 모두라는 것을 암시하면:
Bob이 매니저인 경우, Bob에 대한 레이블들은 매니저, 유저이며,
데이터의 부분이 매니저인 경우, 계층이 평평해지지 않는다.
판정을 위하여, 데이터가 사용자들 롤들(그룹들)의 서브세트인 경우, 판정은 사용자가 이를 보는 것을 허용한다:
높은 등급을 판독할 수 없고, 낮은 등급을 기입할 수 없는(No read up, no write) "벨-라파듈라(Bell-LaPadula)" 모델.
소정의 시점에, 사용자는 비-계층적인 보안 레벨에서 작업한다.
평평해진 레이블들의 수와 무관하게, 사용자는 기입들에 관한 한 그 시점에 하나의 레이블을 작업한다. 예를 들어, Bob이 매니저로서 작업하는 경우, 그는 매니저로서 데이터를 기입할 수만 있다. 그가 사용자로서 작업하는 경우, 그는 사용자로서 데이터를 기입할 수만 있다. 이는 "낮은 등급의 기입(write down)"에 의한 보안 정책의 위반을 방지한다.
명칭 정의 입력 출력 노트
adjudicateAction 액션을 판정 양-방향 ssl 인증서로부터의 아이덴터티, 레이블들의 콤마 분리형 세트 허용된 액션: 판독, 기입, 갱신, 삭제 이는 데이터를 저장하지 않는 BOPS의 일 예이다.
addData 데이터를 BOPS 저장소에 부가한다. 데이터가 이미 존재하는 경우, 이러한 데이터가 더 새로운 버전이 된다. 양-방향 ssl 인증서로부터의 아이덴터티, 태그에 저장된 데이터, 값 쌍들, 데이터의 각각의 조각에 대한 레이블들의 콤마 분리형 세트, 사용자가 현재 구동하고 있는 레이블들 성공 또는 실패 이는 멀티-레벨 보안 데이터를 저장하는 BOPS의 일 예이다.
deleteData BOPS 저장소로부터 데이터를 삭제한다. 양-방향 ssl 인증서로부터의 아이덴터티, 제거할 태그들 데이터가 제거되는 경우 성공이며, 실패는 불충분한 보안 예외일 것이다. 이는 멀티-레벨 보안 데이터를 저장하는 BOPS의 일 예이다.
readData BOPS 저장소로부터 데이터를 판독한다. 양-방향 ssl 인증서로부터의 아이덴터티, 명칭, 판독될 값 쌍들 사용자가 보안 레이블들에 기초하여 볼 수 있는 JSON 포맷의 데이터. 이는 멀티-레벨 보안 데이터를 저장하는 BOPS의 일 예이다.
이제 하나 이상의 구현예들을 참조하고, 감사와 관련하여, 아이덴터티 어써션, 세션 생성 및 판정과 연관된 단계들이 감사 성능을 갖는다. 성능은 데이터의 임의의 세트 상에 임의의 액션(판독/기입)에 걸쳐 임의의 사용자, 사용자들의 그룹들 또는 롤들에 대해 설정될 수 있다. 감사는 레스트풀하게(RESTfully) 개더링되고 저장될 수 있으며, 그런 다음 BOPS 서버 내에 저장될 수 있다.
감사 요청을 위한 API
명칭 정의 입력 출력
startAudit 아이덴터티에 대한 양-방향 SSL, 선택적으로 그룹, 판독, 기입, 갱신, 삭제와 같은 액션, 선택적으로 데이터 객체. 데이터 객체가 지정되지 않는 경우, 사용자에 대한 모든 데이터를 감사한다. 그룹 또는 사용자, 감사할 액션(판독, 기입, 갱신, 삭제) 또는 선택적으로 감사를 적용할 데이터의 부분 없음
stopAudit 아이덴터티에 대한 양-방향 SSL, 선택적으로 그룹, 판독, 기입, 갱신, 삭제와 같은 액션, 선택적으로 데이터 객체. 데이터 객체가 지정되지 않는 경우, 사용자에 대한 모든 데이터의 감사를 중단한다. 아이덴터티에 대한 양-방향 SSL 인증서, 그룹 또는 사용자, 감사할 액션(판독, 기입, 갱신, 삭제) 또는 선택적으로 감사를 적용할 데이터의 부분
auditRecord 아이덴터티에 대한 양-방향 SSL, 액션(판독, 기입, 갱신, 삭제), 데이터의 소스. 이는 감사 레코드를 기록한다. 아이덴터티에 대한 양-방향 SSL 인증서, 감사할 데이터의 부분(태그, JSON 포맷의 값) 및 감사되고 있는 액션.
감사 로그들의 판독을 위한 API
명칭 정의 입력 출력 노트
readAudit 아이덴터티에 대한 양-방향 SSL, ISO8601 포맷의 시작 데이터, ISO8601 포맷의 종료 데이터, 및 우리가 관리자 롤을 갖는 경우, 감사 레코드가 JSON 포맷으로 반환된다. 아이덴터티에 대한 양-방향 SSL, 감사 레코드를 보여줄 사용자, 시작 날짜/시간, 종료 날짜/시간, 리포트할 데이터 레코드들(와일드 카드들을 허용함) JSON 포맷의 감사 레코드들 감사를 수행하기 위한 특권 또는 관리자
이제 예시적인 구현예에 따른 관리로 넘어가면, 사용자들 대 그룹들 및 그룹들 대 롤들 및 속성들 대 그룹들의 매핑이 API 호출에 의해 제공된다. 모든 호출들이 양-방향 SSL 통신 계층을 요구하며, 관리자 롤에 의해 구성되어야만 한다.
예:
UPDATE_URI=https://xyz.domain.com:8443/{BOPS_Instance_Name}/JSONUpdate
사용자를 부가하거나 또는 갱신하기 위한
정의
명칭 사용자의 명칭
아이디 사용자에 대한 고유 식별자
로그인 사용자 로그인
패스워드 롤 개더링 소스에 대해 사용되는 패스워드
카테고리 "사용자" 지속성 엔진
이메일 사용자의 주된 이메일
그룹들 사용자에 대한 그룹 아이디들의 콤마 분리형 리스트
사이트아이디 사용자의 사이트아이디(조직)
그룹을 부가하거나 또는 갱신하기 위한
입력 파라미터들 정의
명칭 그룹 명칭
아이디 그룹의 고유 아이디
설명 허용된 간격을 갖는 텍스트 포맷의 그룹의 설명
카테고리 "그룹"
속성들 그룹 내에서 사용자들과 연관된 속성들의 콤마 분리형 리스트
롤들 비-계층적 포맷의 롤들의 콤마 분리형 리스트
사용자들 이러한 그룹의 멤버들인 사용자들 아이디들의 콤마 분리형 리스트
사이트아이디 그룹의 사이트아이디(조직)
롤을 부가하기 위한
명칭 롤 명칭
아이디 롤의 고유 아이디
설명 허용된 간격을 갖는 텍스트 포맷의 롤의 설명
카테고리 "롤"
사이트아이디 롤의 사이트아이디(조직)
또한, 리포팅이 지원되며, 관리 레벨 리포트는 이용가능한 감사 API이다.
다음은 본 출원의 하나 이상의 구현예들에 따른 용어들의 예시적인 용어집이다.
용어집
AOP 관점 지향 프로그래밍
API 애플리케이션 프로그래밍 인터페이스
APP 모바일 클라이언트 애플리케이션
Bell-Lapadula 정부 및 군사 애플리케이션들에서 액세스 제어를 집행하기 위한 멀티레벨 모델. 주체는 그의 보안에 의해 결정된 특정 레벨들에서의 객체들만을 액세스할 수 있다.
BOPS 생체측정 개방 프로토콜 표준들
CPU 중앙 프로세싱 유닛
DAC 임의적 액세스 제어
DOS 서비스-거부(공격)
GPU 그래픽 프로세싱 유닛
IDS 침입 탐지 시스템
IDAP 아이덴터티 어써션 플랫폼
IMEI 국제 모바일 장비 식별번호
JSON 자바스크립트 객체 표기법
JUnit 자바 프로그래밍 언어에 대한 테스팅 프레임워크
LDAP 경량 디렉토리 액세스 프로토콜(lightweight directory access protocol)
Liveness 컴퓨터 비전에서, 동화상으로 된 객체를 정의하는 알고리즘의 측면
MAC 의무 액세스 제어
PC 개인용 컴퓨터
RDBMS 관계형 데이터베이스 관리 시스템
RESTful 아키텍처적 스타일인, REST(representational state transfer)를 지칭한다
SAML 보안 어써션 마크업 언어(Security Assertion Markup Language)
SHA1 US에 의해 설계된, 보안 해시 알고리즘(secure hash algorithm) 1
SSL 보안 소켓 계층
TCSEC 신뢰되는 컴퓨터 시스템 평가 기준
UI 사용자 인터페이스
다음은 예시적인 구현예의 설명이다. 애플리케이션을 개시하기 위하여, 사용자는 모바일 애플리케이션 상에서 그의/그녀의 안면을 인증하며, 이는 즉시 검증된다. 도 4는 인증을 진행하기 위해 사용자에게 프롬프팅(prompt)되는 예시적인 모바일 디바이스 디스플레이 스크린을 예시한다. 사용자는 또한, 모바일 애플리케이션이 통지를 전송할 이메일 어드레스를 기입하도록 요청받을 수 있다. 이렇게 하여, 아이덴터티 소유자가, 모바일 디바이스와 하나 이상의 데스크탑 머신들을 동기화하는 미들웨어 애플리케이션을 다운로드하기 위한 링크를 수신할 것이며, 여기에서 사용자는 보안 인증을 수행하고 싶어 할 것이다. 각각의 머신별로 표준 윈도우즈 또는 OSX 인스톨러(installer)를 통해 설치될 수 있는 이러한 미들웨어는, 데스크탑 상의 애플리케이션을 통해 사용자의 로그인 선호사항들을 관리하는 것을 허용한다.
도 5는 사용자를 검증하기 위한 예시적인 인터페이스를 예시한다. 도 6은, 사용자의 웹 경험들을 맞춤화하고 향상시키기 위해 제 3 자 개발자들로부터의 구성 확장들을 포함하는 예시적인 디스플레이 스크린을 예시한다.
일단 클라이언트 애플리케이션이 개시되면, 사용자는 그의/그녀의 아이덴터티를 검증함으로써 컴퓨터 상에서 은행 계정(또는 다른 웹 사이트)에 액세스할 수 있다. 이는 몇몇 단순한 단계들로 수행될 수 있다. 도 7을 참조하면, 사용자에게 스크린 상에 나타나는 QR 코드를 폰으로 스캐닝할 것이 프람프팅된다. 사용자는 (예를 들어, 도 8에 도시된 바와 같이) QR 코드를 스캐닝하고, 그 뒤, 검증되고 인증되면 컨텐츠를 액세스한다(도 9). 사용자의 아이덴터티가 검증될 수 없는 경우, 웹 사이트에 대한 액세스가 거부될 것이다. 일단 아이덴터티가 확인되면, 사용자의 계정이 브라우저 내에서 열릴 것이다.
따라서, 본원에서 도시되고 설명된 방법들 및 시스템들에 따르면, 본 출원은, 통신 네트워크를 통해 제공되는 디지털 자산들과 관련하여 신규하고 검증가능한 인증, 액세스 제어, 롤 개더링, 보증 및 감사를 가능하게 한다. 제네시스 프로세스 및 사용자의 생체측정들을 사용자의 디바이스에 결부한 다음에, 인증 기관에 의해 서명된 양-방향 SSL 키가 보안 액세스 및 후속 활동을 위해 사용될 수 있다.
본 출원은, 생체측정 인증과 연관된 것들을 포함하는 유연한 구현예들을 가능하게 할 뿐만 아니라, 제네시스 프로세스 이전에 미리 존재했을 수 있는 보안 규정들을 가능하게 한다. 이는, 디지털 자산들에 관한 조직들의 현존하는 비지니스 방법론을 방해하지 않고 증가된 보안성을 가능하게 한다. 하나 이상의 구현예들에 있어서, 본 출원은 현존하는 비지니스 모델에 지장을 주지 않고 아이덴터티 어써션을 부가한다.
또한, 본 출원은, 예컨대, 양-방향 SSL 고유 식별자가 해커에 의해 "리플레이"되는 경우에 있어, 스푸핑을 방지함으로써 증가된 보안성을 가능하게 한다. 지적이고, 예를 들어, "fopen"명령을 새로운 명령으로 대체하기 위하여 스마트폰을 "루팅(root)"하며, 성공적인 핸드쉐이크(handshake)를 훔치고 멍청한 시스템으로 성공적인 핸드쉐이크를 반환하는 것을 시도하는 해커가 신뢰되는 서버(102)에 대한 액세스를 획득할 수 없을 것이다.
따라서, 본 출원은, 사용자들을 인증하고 그렇게 함으로써 하나 이상의 디지털 자산들에 대한 액세스를 가능하게 하기 위한 프레임워크를 집합적으로 포함하는 표준들을 제공함으로써, 공지된 보안 조치를 뛰어 넘는 상당한 개선을 제공한다.
이상에서 설명된 내용은 오로지 예시로서 제공되며, 제한적으로 해석되지 않아야 한다. 예시되고 설명된 예시적인 실시예들 및 애플리케이션들을 따르지 않고, 그리고 다음의 청구항들 중 임의의 그리고 각각에 기술되는 바와 같은 본 발명의 진짜 사상 및 범위로부터 벗어나지 않고, 본원에서 설명된 내용에 대한 다양한 수정들 및 변경들이 이루어질 수 있다.

Claims (20)

  1. 사용자 컴퓨팅 디바이스와 신뢰되는(trusted) 서버 사이에 보안 통신을 제공하기 위한 방법으로서,
    분산형 클라이언트 소프트웨어 애플리케이션을 통해, 상기 사용자 컴퓨팅 디바이스와 상기 신뢰되는 서버 사이에 초기 양-방향 보안 통신 세션을 가능하게 하는 1회용 인증서를 제공하는 단계로서, 상기 1회용 인증서는 상기 신뢰되는 서버에 의해 상기 사용자 컴퓨팅 디바이스로 제공되는, 단계;
    상기 신뢰되는 서버에 의해, 상기 1회용 인증서를 수신한 후 상기 사용자 컴퓨팅 디바이스와의 초기 보안 통신 세션을 수립하는 단계;
    상기 초기 보안 통신 동안 상기 신뢰되는 서버에 의해, 상기 사용자 컴퓨팅 디바이스의 상기 사용자와 연관된 식별 정보를 수신하는 단계로서, 상기 식별 정보는, 생체측정들의 함수(function)로서 확인된 상기 사용자의 아이덴터티(identity)의 표현을 포함하며, 상기 사용자 컴퓨팅 디바이스의 표현을 더 포함하는, 단계;
    상기 신뢰되는 서버에 의해, 상기 사용자 및 상기 사용자 컴퓨팅 디바이스의 조합에 대해 고유한 대체 인증서를 생성하는 단계;
    상기 신뢰되는 서버에 의해, 상기 대체 인증서를 상기 사용자 컴퓨팅 디바이스로 송신하는 단계; 및
    상기 신뢰되는 서버에 의해, 상기 대체 인증서가 상기 신뢰되는 서버에 의해 수신될 때마다, 상기 사용자 컴퓨팅 디바이스와의 양-방향 보안 통신 세션을 수립하는 단계를 포함하는, 방법.
  2. 청구항 1에 있어서,
    상기 방법은, 상기 신뢰되는 서버에 의해, 상기 대체 인증서의 스푸핑(spoofing)을 방지하고 능동 모니터링을 제공하는 침입 탐지 시스템을 이용하는 단계를 더 포함하는, 방법.
  3. 청구항 2에 있어서,
    방지되는 상기 스푸핑은 상기 대체 인증서를 리플레이(replay)하는 것을 포함하는, 방법.
  4. 청구항 1에 있어서,
    상기 대체 인증서가 상기 신뢰되는 서버에 의해 수신될 때마다 상기 초기 양-방향 보안 통신 세션 및 상기 사용자 컴퓨팅 디바이스와의 상기 양-방향 보안 통신 세션은 1-방향 보안 연결로서 추가적으로 수립되는, 방법.
  5. 청구항 1에 있어서,
    상기 초기 양-방향 보안 통신 세션 및 상기 양-방향 보안 통신 세션은 양-방향 보안 소켓 계층 연결들을 통해 그리고 1-방향 보안 소켓 계층 연결들을 통해 보안화되는(secured), 방법.
  6. 청구항 1에 있어서,
    상기 방법은,
    상기 신뢰되는 서버에 의해, 상기 사용자 컴퓨팅 디바이스가 아닌 컴퓨팅 디바이스로부터 상기 사용자를 나타내는 사용자 식별자를 수신하는 단계; 및
    상기 사용자 식별자를 상기 대체 인증서 내에 포함시키는 단계를 더 포함하는, 방법.
  7. 청구항 1에 있어서,
    상기 방법은,
    상기 신뢰되는 서버에 의해, 디지털 자산에 대한 액세스를 위한 하나 이상의 규칙들에 의해 정의된 롤 개더링(role gathering)을 제공하는 단계; 및
    상기 신뢰되는 서버에 의해, 상기 롤 개더링의 함수로서 상기 사용자 컴퓨팅 디바이스에 의한 상기 디지털 자산에 대한 액세스를 제공하거나 또는 거부하는 단계를 더 포함하는, 방법.
  8. 청구항 1에 있어서,
    상기 방법은, 상기 신뢰되는 서버에 의해, 상기 사용자 컴퓨팅 디바이스에 의한 하나 이상의 디지털 자산들에 대한 액세스의 감사를 제공하는 단계를 더 포함하는, 방법.
  9. 청구항 1에 있어서,
    상기 사용자 컴퓨팅 디바이스의 상기 표현은 디바이스 식별자를 포함하는, 방법.
  10. 청구항 1에 있어서,
    상기 방법은, 상기 신뢰되는 서버에 의해, 상기 사용자의 생체측정 정보를 캡처하고 상기 사용자의 아이덴터티가 상기 대체 인증서로 검증되었다는 것을 나타내는 정보를 인코딩하도록 상기 사용자 컴퓨팅 디바이스로 질의(query)하는 단계를 더 포함하는, 방법.
  11. 사용자 컴퓨팅 디바이스와 신뢰되는 서버 사이에 보안 통신을 제공하기 위한 시스템으로서,
    하나 이상의 비-일시적인 프로세서 판독가능 매체에 동작 가능하게 결합된 적어도 하나의 프로세서를 포함하며,
    상기 하나 이상의 프로세서 판독가능 매체는, 상기 하나 이상의 프로세서가 하기의 동작들을 하는 것을 가능하게 하기 위한 명령어들을 포함하고, 상기 동작들은,
    분산형 클라이언트 소프트웨어 애플리케이션을 통해, 상기 사용자 컴퓨팅 디바이스와 상기 신뢰되는 서버 사이에 초기 양-방향 보안 통신 세션을 가능하게 하는 1회용 인증서를 제공하는 것으로서, 상기 1회용 인증서는 상기 신뢰되는 서버에 의해 상기 사용자 컴퓨팅 디바이스로 제공되는, 상기 1회용 인증서를 제공하는 것;
    상기 1회용 인증서를 수신한 후 상기 사용자 컴퓨팅 디바이스와의 초기 보안 통신 세션을 수립하는 것;
    상기 초기 보안 통신 동안, 상기 사용자 컴퓨팅 디바이스의 상기 사용자와 연관된 식별 정보를 수신하는 것으로서, 상기 식별 정보는, 생체측정들의 함수로서 확인된 상기 사용자의 아이덴터티의 표현을 포함하며, 상기 사용자 컴퓨팅 디바이스의 표현을 더 포함하는, 식별 정보를 수신하는 것;
    상기 사용자 및 상기 사용자 컴퓨팅 디바이스의 조합에 대해 고유한 대체 인증서를 생성하는 것;
    상기 대체 인증서를 상기 사용자 컴퓨팅 디바이스로 송신하는 것; 및
    상기 대체 인증서가 상기 신뢰되는 서버에 의해 수신될 때마다, 상기 사용자 컴퓨팅 디바이스와의 양-방향 보안 통신 세션을 수립하는 것을 포함하는, 시스템.
  12. 청구항 11에 있어서,
    상기 하나 이상의 비-일시적인 프로세서 판독가능 매체는, 상기 적어도 하나의 프로세서가, 상기 대체 인증서의 스푸핑을 방지하고 능동 모니터링을 제공하는 침입 탐지 시스템을 이용하는 것을 가능하게 하기 위한 명령어들을 더 포함하는, 시스템.
  13. 청구항 12에 있어서,
    방지되는 상기 스푸핑은 상기 대체 인증서를 리플레이하는 것을 포함하는, 시스템.
  14. 청구항 11에 있어서,
    상기 하나 이상의 비-일시적인 프로세서 판독가능 매체는, 상기 적어도 하나의 프로세서가 상기 대체 인증서가 수신될 때마다 1방향 보안 연결을 수립하는 것을 가능하게 하기 위한 명령어들을 더 포함하는, 시스템.
  15. 청구항 11에 있어서,
    상기 초기 양-방향 보안 통신 세션 및 상기 양-방향 보안 통신 세션은 양-방향 보안 소켓 계층 연결들을 통해 그리고 1-방향 보안 소켓 계층 연결들을 통해 보안화되는, 시스템.
  16. 청구항 11에 있어서,
    상기 하나 이상의 프로세서 판독가능 매체는, 상기 하나 이상의 프로세서가 하기의 동작들을 하는 것을 가능하게 하기 위한 명령어들을 더 포함하고, 상기 동작들은,
    상기 사용자 컴퓨팅 디바이스가 아닌 컴퓨팅 디바이스로부터 상기 사용자를 나타내는 사용자 식별자를 수신하는 것; 및
    상기 사용자 식별자를 상기 대체 인증서 내에 포함시키는 것을 포함하는, 시스템.
  17. 청구항 11에 있어서,
    상기 하나 이상의 프로세서 판독가능 매체는, 상기 하나 이상의 프로세서가 하기의 동작들을 하는 것을 가능하게 하기 위한 명령어들을 더 포함하고, 상기 동작들은,
    디지털 자산에 대한 액세스를 위한 하나 이상의 규칙들에 의해 정의된 롤 개더링을 제공하는 것; 및
    상기 롤 개더링의 함수로서 상기 사용자 컴퓨팅 디바이스에 의한 상기 디지털 자산에 대한 액세스를 제공하거나 또는 거부하는 것을 포함하는, 시스템.
  18. 청구항 11에 있어서,
    상기 하나 이상의 비-일시적인 프로세서 판독가능 매체는, 상기 적어도 하나의 프로세서가 상기 사용자 컴퓨팅 디바이스에 의한 하나 이상의 디지털 자산들에 대한 액세스의 감사를 더 제공하는 것을 가능하게 하기 위한 명령어들을 더 포함하는, 시스템.
  19. 청구항 11에 있어서,
    상기 사용자 컴퓨팅 디바이스의 상기 표현은 디바이스 식별자를 포함하는, 시스템.
  20. 청구항 11에 있어서,
    상기 하나 이상의 비-일시적인 프로세서 판독가능 매체는, 상기 하나 이상의 프로세서가 상기 사용자의 생체측정 정보를 캡처하고 상기 사용자의 아이덴터티가 상기 대체 인증서로 검증되었다는 것을 나타내는 정보를 인코딩하도록 상기 사용자 컴퓨팅 디바이스로 질의하는 것을 가능하게 하기 위한 명령어들을 더 포함하는, 시스템.
KR1020167021073A 2013-12-31 2014-12-31 생체측정 프로토콜 표준들을 위한 시스템 및 방법 KR102217916B1 (ko)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201361922438P 2013-12-31 2013-12-31
US61/922,438 2013-12-31
US14/201,438 2014-03-07
US14/201,438 US9208492B2 (en) 2013-05-13 2014-03-07 Systems and methods for biometric authentication of transactions
PCT/US2014/072985 WO2015147945A2 (en) 2013-12-31 2014-12-31 System and method for biometric protocol standards

Publications (2)

Publication Number Publication Date
KR20160111940A KR20160111940A (ko) 2016-09-27
KR102217916B1 true KR102217916B1 (ko) 2021-02-22

Family

ID=53483232

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020167021073A KR102217916B1 (ko) 2013-12-31 2014-12-31 생체측정 프로토콜 표준들을 위한 시스템 및 방법

Country Status (12)

Country Link
US (3) US9380052B2 (ko)
EP (1) EP3090525B1 (ko)
JP (1) JP6426189B2 (ko)
KR (1) KR102217916B1 (ko)
CN (1) CN106063219B (ko)
AU (2) AU2014388268B2 (ko)
BR (1) BR112016015458B1 (ko)
CA (1) CA2935688C (ko)
ES (1) ES2881877T3 (ko)
PL (1) PL3090525T3 (ko)
WO (1) WO2015147945A2 (ko)
ZA (1) ZA201605228B (ko)

Families Citing this family (56)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10867298B1 (en) 2008-10-31 2020-12-15 Wells Fargo Bank, N.A. Payment vehicle with on and off function
US20100114768A1 (en) 2008-10-31 2010-05-06 Wachovia Corporation Payment vehicle with on and off function
US9947004B2 (en) 2012-06-28 2018-04-17 Green Dot Corporation Wireless client transaction systems and related methods
US20140019322A1 (en) 2012-07-13 2014-01-16 Green Dot Corporation Mobile banking systems and related methods
US9838388B2 (en) 2014-08-26 2017-12-05 Veridium Ip Limited System and method for biometric protocol standards
EP2998896A1 (fr) * 2014-09-17 2016-03-23 Gemalto Sa Procédé d'authentification d'un utilisateur, terminaux et système d'authentification correspondants
US11429975B1 (en) 2015-03-27 2022-08-30 Wells Fargo Bank, N.A. Token management system
JP5944551B1 (ja) * 2015-04-03 2016-07-05 株式会社三菱東京Ufj銀行 サーバ
US11170364B1 (en) 2015-07-31 2021-11-09 Wells Fargo Bank, N.A. Connected payment card systems and methods
US10430788B2 (en) 2015-08-06 2019-10-01 Green Dot Corporation Systems and methods for fund transfers
CN108475309B (zh) * 2015-08-21 2023-02-03 维尔蒂姆知识产权有限公司 用于生物特征协议标准的系统和方法
US11329980B2 (en) 2015-08-21 2022-05-10 Veridium Ip Limited System and method for biometric protocol standards
US10438209B2 (en) 2016-02-10 2019-10-08 Bank Of America Corporation System for secure routing of data to various networks from a process data network
US10200369B1 (en) * 2016-02-16 2019-02-05 Symantec Corporation Systems and methods for dynamically validating remote requests within enterprise networks
US10178105B2 (en) * 2016-02-22 2019-01-08 Bank Of America Corporation System for providing levels of security access to a process data network
MX2018012186A (es) * 2016-04-05 2019-02-07 Wellaware Holdings Inc Dispositivo para monitorear y controlar equipo industrial.
WO2017176429A1 (en) 2016-04-05 2017-10-12 Wellaware Holdings, Inc. Monitoring and controlling industrial equipment
WO2017176428A1 (en) 2016-04-05 2017-10-12 Wellaware Holdings, Inc. Monitoring and controlling industrial equipment
US11170358B2 (en) * 2016-04-29 2021-11-09 International Business Machines Corporation System, method, and recording medium for identity fraud prevention in secure transactions using multi-factor verification
US11935020B1 (en) 2016-07-01 2024-03-19 Wells Fargo Bank, N.A. Control tower for prospective transactions
US11615402B1 (en) * 2016-07-01 2023-03-28 Wells Fargo Bank, N.A. Access control tower
US11386223B1 (en) 2016-07-01 2022-07-12 Wells Fargo Bank, N.A. Access control tower
US10992679B1 (en) 2016-07-01 2021-04-27 Wells Fargo Bank, N.A. Access control tower
US11886611B1 (en) 2016-07-01 2024-01-30 Wells Fargo Bank, N.A. Control tower for virtual rewards currency
US10289822B2 (en) * 2016-07-22 2019-05-14 Nec Corporation Liveness detection for antispoof face recognition
US10402796B2 (en) 2016-08-29 2019-09-03 Bank Of America Corporation Application life-cycle transition record recreation system
US20180089688A1 (en) * 2016-09-27 2018-03-29 Mastercard International Incorporated System and methods for authenticating a user using biometric data
US20180145959A1 (en) * 2016-11-22 2018-05-24 Synergex Group Method for determining access privilege using username, IP address, App ID, App Key, and biometric signature sample.
US10911452B2 (en) 2016-11-22 2021-02-02 Synergex Group (corp.) Systems, methods, and media for determining access privileges
US10404691B2 (en) 2017-03-02 2019-09-03 Bank Of America Corporation Preventing unauthorized access to secured information systems using authentication tokens
US10134207B2 (en) * 2017-04-20 2018-11-20 Saudi Arabian Oil Company Securing SCADA network access from a remote terminal unit
US11556936B1 (en) 2017-04-25 2023-01-17 Wells Fargo Bank, N.A. System and method for card control
DE102017111933A1 (de) * 2017-05-31 2018-12-06 Krohne Messtechnik Gmbh Verfahren zur sicheren Kommunikation mit einem Feldmessgerät der Prozesstechnik und entsprechendes Feldmessgerät
US11062388B1 (en) 2017-07-06 2021-07-13 Wells Fargo Bank, N.A Data control tower
WO2019046406A1 (en) * 2017-08-29 2019-03-07 Westerhoff David Michael RECORDING SYSTEM IN A SECURE NETWORK
US11715154B2 (en) 2017-09-22 2023-08-01 Green Dot Corporation Systems and methods for managing accounts in a financial services system
WO2019087314A1 (ja) * 2017-10-31 2019-05-09 三菱重工機械システム株式会社 情報中継装置、料金収受機、メディア、車載器、及び路側機
US11188887B1 (en) 2017-11-20 2021-11-30 Wells Fargo Bank, N.A. Systems and methods for payment information access management
US20190320039A1 (en) * 2018-04-13 2019-10-17 Mastercard International Incorporated Systems and methods for use in providing digital identities
US11057377B2 (en) * 2018-08-26 2021-07-06 Ncr Corporation Transaction authentication
WO2020101506A1 (en) * 2018-11-13 2020-05-22 Apple Inc. Wireless power transfer device authentication
US10897398B2 (en) 2019-02-04 2021-01-19 Saudi Arabian Oil Company Embedded dynamic configuration assignment for unprotected remote terminal unit (RTU)
US11823198B1 (en) * 2019-02-18 2023-11-21 Wells Fargo Bank, N.A. Contextually escalated authentication by system directed customization of user supplied image
US11288378B2 (en) 2019-02-20 2022-03-29 Saudi Arabian Oil Company Embedded data protection and forensics for physically unsecure remote terminal unit (RTU)
US11593467B2 (en) * 2019-11-19 2023-02-28 Red Hat, Inc. Systems and methods for biometric authorization using a main screen and a visual indicator
US11341830B2 (en) 2020-08-06 2022-05-24 Saudi Arabian Oil Company Infrastructure construction digital integrated twin (ICDIT)
US10992606B1 (en) 2020-09-04 2021-04-27 Wells Fargo Bank, N.A. Synchronous interfacing with unaffiliated networked systems to alter functionality of sets of electronic assets
CN114389793B (zh) * 2020-10-16 2024-03-08 中移动信息技术有限公司 会话密钥验证的方法、装置、设备及计算机存储介质
EP4002166B1 (en) * 2020-11-11 2024-06-12 Qamcom Innovation Labs AB Method and system for biometric authentication for large numbers of enrolled persons
US11921832B2 (en) 2021-01-04 2024-03-05 Capital One Services, Llc Authentication by a facial biometric
US11546338B1 (en) 2021-01-05 2023-01-03 Wells Fargo Bank, N.A. Digital account controls portal and protocols for federated and non-federated systems and devices
US11687053B2 (en) 2021-03-08 2023-06-27 Saudi Arabian Oil Company Intelligent safety motor control center (ISMCC)
US11935055B2 (en) 2021-03-22 2024-03-19 Bank Of America Corporation Wired multi-factor authentication for ATMs using an authentication media
US20220321347A1 (en) * 2021-03-30 2022-10-06 Andrew Mark System, method and apparatus for transaction access and security
US20230012424A1 (en) * 2021-07-07 2023-01-12 Bank Of America Corporation Queue Management for Pre-staged Transactions at Ultra-Wide Enabled ATMs
CN113347620B (zh) * 2021-08-05 2021-11-12 深圳市深圳通有限公司 兼容多版本应用空发卡方法、装置、设备及存储介质

Family Cites Families (56)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5892900A (en) * 1996-08-30 1999-04-06 Intertrust Technologies Corp. Systems and methods for secure transaction management and electronic rights protection
US6763459B1 (en) * 2000-01-14 2004-07-13 Hewlett-Packard Company, L.P. Lightweight public key infrastructure employing disposable certificates
DE60120369T2 (de) * 2001-05-23 2007-07-12 Daniel Büttiker Verfahren und Datenträger zur Eintragung von Benutzern einer Public-Key-Infrastruktur und Eintragungssystem
TWI246028B (en) 2001-06-28 2005-12-21 Trek 2000 Int Ltd A portable device having biometrics-based authentication capabilities
US20040059924A1 (en) 2002-07-03 2004-03-25 Aurora Wireless Technologies, Ltd. Biometric private key infrastructure
EP3547599A1 (en) * 2002-08-06 2019-10-02 Apple Inc. Methods for secure enrollment and backup of personal identity credentials into electronic devices
US7069438B2 (en) 2002-08-19 2006-06-27 Sowl Associates, Inc. Establishing authenticated network connections
KR100528328B1 (ko) 2003-01-21 2005-11-15 삼성전자주식회사 사용자 인증 방법 및 장치
JP2004297292A (ja) * 2003-03-26 2004-10-21 Nec Corp 無線端末、認証サーバ、無線認証情報管理システム、および、無線認証情報管理方法
US7437769B2 (en) 2003-06-24 2008-10-14 Realnetworks, Inc. Multiple entity control of access restrictions for media playback
WO2005015422A1 (ja) * 2003-08-11 2005-02-17 Sony Corporation 認証方法、認証システム及び認証サーバ
WO2005069823A2 (en) 2004-01-15 2005-08-04 Jun Song Centralized transactional security audit for enterprise systems
US7254383B2 (en) 2004-07-30 2007-08-07 At&T Knowledge Ventures, L.P. Voice over IP based biometric authentication
US7571485B1 (en) * 2005-03-30 2009-08-04 Symantec Corporation Use of database schema for fraud prevention and policy compliance
US7586926B2 (en) 2005-04-18 2009-09-08 Research In Motion Limited System and method for generic data mapping between wireless component applications and application data sources
US8171544B2 (en) 2005-04-20 2012-05-01 Cisco Technology, Inc. Method and system for preventing, auditing and trending unauthorized traffic in network systems
US7536304B2 (en) 2005-05-27 2009-05-19 Porticus, Inc. Method and system for bio-metric voice print authentication
US20060293891A1 (en) 2005-06-22 2006-12-28 Jan Pathuel Biometric control systems and associated methods of use
CA2617938A1 (en) 2005-08-03 2007-02-15 Intercomputer Corporation System and method for user identification and authentication
US8615663B2 (en) 2006-04-17 2013-12-24 Broadcom Corporation System and method for secure remote biometric authentication
US20130227286A1 (en) * 2006-04-25 2013-08-29 Andre Jacques Brisson Dynamic Identity Verification and Authentication, Dynamic Distributed Key Infrastructures, Dynamic Distributed Key Systems and Method for Identity Management, Authentication Servers, Data Security and Preventing Man-in-the-Middle Attacks, Side Channel Attacks, Botnet Attacks, and Credit Card and Financial Transaction Fraud, Mitigating Biometric False Positives and False Negatives, and Controlling Life of Accessible Data in the Cloud
US8549295B2 (en) 2006-05-31 2013-10-01 Microsoft Corporation Establishing secure, mutually authenticated communication credentials
GB2438928A (en) 2006-06-08 2007-12-12 Brian Clarke Biometric Remote Access Device (BRAD)
US20100242102A1 (en) * 2006-06-27 2010-09-23 Microsoft Corporation Biometric credential verification framework
WO2008042879A1 (en) 2006-10-02 2008-04-10 Global Rainmakers, Inc. Fraud resistant biometric financial transaction system and method
JP4996904B2 (ja) 2006-10-04 2012-08-08 株式会社日立製作所 生体認証システム、登録端末、認証端末、及び認証サーバ
JP2008176407A (ja) 2007-01-16 2008-07-31 Toshiba Corp 生体認証システム、装置及びプログラム
WO2009009788A1 (en) 2007-07-12 2009-01-15 Jobmann Brian C Identity authentication and secured access systems, components, and methods
JP2009140231A (ja) * 2007-12-06 2009-06-25 Sony Corp 通信システム及び通信端末装置
US8429650B2 (en) 2008-11-14 2013-04-23 Oracle International Corporation System and method of security management for a virtual environment
CN101420694A (zh) * 2008-12-16 2009-04-29 天津工业大学 一种wapi-xg1接入及快速切换认证方法
DE102009009310A1 (de) * 2009-02-17 2009-10-01 Daimler Ag Kommunikation und Identifizierung zwischen einem Kraftfahrzeugbenutzergerät mit Head Unit und davon entfernt gelegener Vorrichtung
US8443202B2 (en) 2009-08-05 2013-05-14 Daon Holdings Limited Methods and systems for authenticating users
US20110047384A1 (en) 2009-08-21 2011-02-24 Qualcomm Incorporated Establishing an ad hoc network using face recognition
JP2011155348A (ja) * 2010-01-26 2011-08-11 Kddi Corp 生体認証システム、生体認証方法およびプログラム
GB2491076A (en) * 2010-03-11 2012-11-21 Walmart Stores Inc System and method for transaction payments using a mobile device
US8380177B2 (en) 2010-04-09 2013-02-19 Paydiant, Inc. Mobile phone payment processing methods and systems
US9208482B2 (en) 2010-04-09 2015-12-08 Paypal, Inc. Transaction token issuing authorities
US20120089471A1 (en) * 2010-10-06 2012-04-12 Rt7 Incorporated System and method of capturing point-of-sale data and providing real-time advertising content
CN103314386A (zh) 2010-10-29 2013-09-18 爱克斯欧德斯支付系统有限公司 使用代币处理交易的方法和系统
US9064257B2 (en) 2010-11-02 2015-06-23 Homayoon Beigi Mobile device transaction using multi-factor authentication
AU2011348061B2 (en) 2010-12-23 2015-12-10 Paypal, Inc. Mobile phone atm processing methods and systems
US20120173311A1 (en) * 2010-12-31 2012-07-05 Nautilus Hyosung Inc. Automatic teller machine for providing service using two-dimensional barcode and method for operating automatic teller machine
WO2012123727A1 (en) 2011-03-11 2012-09-20 Callsign, Inc Personal identity control
US8994499B2 (en) 2011-03-16 2015-03-31 Apple Inc. Locking and unlocking a mobile device using facial recognition
US9198038B2 (en) * 2011-06-13 2015-11-24 Qualcomm Incorporated Apparatus and methods of identity management in a multi-network system
US8752154B2 (en) 2011-08-11 2014-06-10 Bank Of America Corporation System and method for authenticating a user
US8473748B2 (en) 2011-09-27 2013-06-25 George P. Sampas Mobile device-based authentication
US9922370B2 (en) * 2011-11-15 2018-03-20 Ncr Corporation Techniques for automated teller machine (ATM) transactions
US20130222603A1 (en) 2012-02-28 2013-08-29 Aptina Imaging Corporation Imaging systems for infrared and visible imaging
EP2831810A4 (en) 2012-03-28 2016-04-27 Texas State University San Marcos IDENTIFICATION OF PERSON USING EYE BIOMETRY
US20130262873A1 (en) * 2012-03-30 2013-10-03 Cgi Federal Inc. Method and system for authenticating remote users
US8457367B1 (en) 2012-06-26 2013-06-04 Google Inc. Facial recognition
US9471764B2 (en) 2012-07-19 2016-10-18 Apple Inc. Electronic device switchable to a user-interface unlocked mode based upon spoof detection and related methods
US20140090039A1 (en) 2012-09-24 2014-03-27 Plantronics, Inc. Secure System Access Using Mobile Biometric Devices
US9948675B2 (en) 2013-04-04 2018-04-17 The Mitre Corporation Identity-based internet protocol networking

Also Published As

Publication number Publication date
EP3090525A2 (en) 2016-11-09
KR20160111940A (ko) 2016-09-27
US11170369B2 (en) 2021-11-09
JP6426189B2 (ja) 2018-11-21
WO2015147945A2 (en) 2015-10-01
CN106063219B (zh) 2019-10-08
EP3090525B1 (en) 2021-06-16
AU2019206006B2 (en) 2021-07-01
ES2881877T3 (es) 2021-11-30
US9338161B2 (en) 2016-05-10
CA2935688A1 (en) 2015-10-01
ZA201605228B (en) 2017-09-27
AU2014388268B2 (en) 2019-04-18
AU2019206006A1 (en) 2019-08-08
CA2935688C (en) 2022-03-29
US9380052B2 (en) 2016-06-28
JP2017508194A (ja) 2017-03-23
PL3090525T3 (pl) 2021-11-22
US20150188911A1 (en) 2015-07-02
WO2015147945A3 (en) 2015-12-03
BR112016015458A2 (ko) 2017-08-08
BR112016015458A8 (pt) 2018-08-14
AU2014388268A1 (en) 2016-07-21
BR112016015458B1 (pt) 2023-04-11
US20160379211A1 (en) 2016-12-29
EP3090525A4 (en) 2017-09-20
US20150188912A1 (en) 2015-07-02
CN106063219A (zh) 2016-10-26

Similar Documents

Publication Publication Date Title
AU2019206006B2 (en) System and method for biometric protocol standards
US10769288B2 (en) Methods and systems for providing access control to secured data
US9461982B2 (en) Disposable browsers and authentication techniques for a secure online user environment
JP2017510013A (ja) ジャスト・イン・タイムでプロビジョニングされるアカウントによってネットワーク・セキュリティを設ける技法
KR20170107967A (ko) 서비스로서의 아이덴티티 인프라 스트럭처
Sharma et al. Identity and access management-a comprehensive study
KR20180080183A (ko) 생체인식 프로토콜 표준을 위한 시스템 및 방법
US11336667B2 (en) Single point secured mechanism to disable and enable the access to all user associated entities
Odirichukwu et al. Security concept in Web database development and administration—A review perspective
US20220060479A1 (en) Global Approach for Multifactor Authentication Incorporating User and Enterprise Preferences
Colomb et al. Applying Zero Trust Architecture and Probability-Based Authentication to Preserve Security and Privacy of Data in the Cloud
Sagar et al. Information security: safeguarding resources and building trust
Kuzminykh et al. Mechanisms of ensuring security in Keystone service
Basu et al. Strengthening Authentication within OpenStack Cloud Computing System through Federation with ADDS System
Johnson Robust identity and access management for cloud systems
Saini Comparative analysis of top 5, 2-factor authentication solutions
Aiemworawutikul et al. Vulnerability Assessment in National Identity Services
Szabó Penetration testing of AWS-based environments
Bays et al. FIC Vulnerability Profile
Warkhede et al. An Overview of Security and Privacy Aspects for Cloud Computing, IOT and Cloud Based IOT
Leach Securing web portals
Jneid et al. Cloud Application Model
Protocol P2410™/D11
Skevoulis et al. ATINER's Conference Paper Series COM2016-1978
CISSP Number: CISSP Passing Score: 800 Time Limit: 120 min File Version: 20.5

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant