KR102402924B1 - 강화된 인증을 통한 거래 검증 - Google Patents
강화된 인증을 통한 거래 검증 Download PDFInfo
- Publication number
- KR102402924B1 KR102402924B1 KR1020217015323A KR20217015323A KR102402924B1 KR 102402924 B1 KR102402924 B1 KR 102402924B1 KR 1020217015323 A KR1020217015323 A KR 1020217015323A KR 20217015323 A KR20217015323 A KR 20217015323A KR 102402924 B1 KR102402924 B1 KR 102402924B1
- Authority
- KR
- South Korea
- Prior art keywords
- client
- api
- computer system
- request
- api request
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
- G06F21/445—Program or device authentication by mutual authentication, e.g. between devices or programs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Acyclic And Carbocyclic Compounds In Medicinal Compositions (AREA)
- Collating Specific Patterns (AREA)
- Developing Agents For Electrophotography (AREA)
Abstract
강화된 인증을 통한 거래 검증을 제공하는 방법, 시스템 및 컴퓨터 프로그램 제품이 제공된다. 컴퓨터 시스템에 의해 수행되는 방법은 제2 컴퓨터 시스템으로부터 수신된 응용프로그램 인터페이스 요청을 제1 인증 레벨에 기초하여 인증하기 위한 하나 이상의 크리덴셜을 수신하는 단계, 제2 컴퓨터 시스템에 연관된 변화를 감지하는 것에 응답하여 응용프로그램 인터페이스 요청을 추가로 인증하기 위한 추가 인증 시도를 생성하는 단계, 추가 인증 시도를 제2 컴퓨터 시스템에 발급하는 단계, 및 추가 인증 시도의 결과에 기초하여 응용프로그래밍 인터페이스 요청을 처리하는 단계를 포함할 수도 있다. 추가 인증 시도는 추가 인증 시도 발급(issuance) 이전에 제2 컴퓨터 시스템에 연관된 키를 사용하여 암호화될 수도 있다. 상기 키는 제2 컴퓨터 시스템 상의 매우 안전한 지역에 저장된 공개 키일 수도 있다.
Description
본 출원은 전체로서 본 출원에 참조로 포함되는, 2014년 9월 25일자로 출원된 미국 특허 출원 제 14/496,160호의 후속 출원에 대한 우선권을 주장한다.
본 발명은 일반적으로 컴퓨터 시스템 보안에 관한 것으로서, 보다 구체적으로는 강화된 인증을 사용하여 컴퓨터 개시 거래 요청을 검증하기 위한 컴퓨터 시스템 보안에 관한 것이다.
응용프로그래밍 인터페이스(application programming interface, API)는 소프트웨어 라이브러리 또는 컴퓨터 시스템에 의해 제공되는 하나 이상의 기능(functions), 프로시저, 구성요소, 및 서비스의 세트를 일반적으로 지칭한다. 웹 API는 클라이언트로 하여금 인터넷을 통해 다른 컴퓨터 시스템에 의해 제공되는 API 서비스를 소비할 수 있게 한다. 그러나, 웹 API는 다양한 유형의 사이버-공격에 취약할 수 있다.
예를 들어, 클라이언트 머신 시스템의 탈취는 감염된 클라이언트로부터 액세스가능한 웹 API들에 대한 크리덴셜(credentials) 및 무제한 액세스를 공격자에게 제공할 수 있다. 게다가, 중간자 공격자(man-in-the-middle attacker)는 개인 정보, 신용카드 계정, 은행 계정, 또는 다른 보안 데이터를 액세스 하기 위해 클라이언트를 가장하여 웹 API 인증 크리덴셜을 인터셉팅하고 사용할 수도 있다.
매우 제한적인 보안 조치는 증가된 웹 API 보안을 제공할 수도 있다. 그러나, 이러한 조치는 합법적인 트래픽 흐름 및 거래 흐름을 방해할 수 있다.
따라서, 강화된 인증 방법은 합법적인 행동을 방해하지 않으면서 컴퓨터 시스템 또는 네트워크에서 발생하는 일상적인 변경 사항을 유연하게 수용하는 동시에, 탈취, 중간자(man-in-the-middle), 및 다른 유형의 사이버-공격에 대해서 더 좋은 보호를 제공할 수 있다.
강화된 인증을 사용하여 거래를 검증하는 시스템, 방법, 및 컴퓨터 프로그램 제품이 서술된다.
일 예에서, 클라이언트 머신 시스템은 서버 머신 시스템에 의해 제공되는 응용프로그래밍 인터페이스(application programming interface, API)를 사용하고자 한다. 서버는 클라이언트에게 제1 인증 레벨 이상으로 발급될 하나 이상의 추가 인증 시도를 암호화하는 키를 클라이언트로부터 수신한다.
일 예에서, 최초 계정 등록 및 설정 시간에, 계정 또는 등록 업데이트의 일부로서 이후 시간에, 클라이언트에 연관된 계정이 임계 거래량을 초과하는 경우, 클라이언트에 연관된 계정 또는 계정의 판매가 임계 금전 가치(monetary value)를 초과하는 경우, 클라이언트에 연관된 계정에 의해 처리되는 데이터가 민감한 것으로 분류된다고 결정되는 경우, 서버로부터의 요청에 기초하여, 또는 임의의 다른 시간에 또는 임의의 다른 기준에 기초하여, 클라이언트는 키를 서버에 제공할 수도 있다.
일 예에서, 클라이언트는 서버 제공 API를 사용하기 위한 요청을 송신한다. 또한 클라이언트는 하나 이상의 인증 크리덴셜을 제공하여 서버로 하여금 제1 인증 레벨에 기초한 클라이언트의 API 요청을 인증할 수 있게 한다.
일 예에서, 서버는 API 요청을 인증하고, 클라이언트에 연관된 정보(예를 들어, 신원(identity), 위치, 행동 등)를 분석하며, 클라이언트의 하나 이상의 속성이 변화한 것을 감지한다. 이에 응답하여, 서버는 클라이언트로부터 수신된 API 요청을 추가로 인증하기 위한 추가 인증 시도를 생성한다. 일 예에서, 서버는 클라이언트로부터 수신된 키를 사용하여 추가 인증 시도를 암호화하고 암호화된 추가 인증 시도를 클라이언트에게 송신한다.
일 예에서, 클라이언트는 암호화된 추가 인증 시도를 수신한다. 일 예에서, 암호화된 추가 인증 시도를 해독하는 키는 클라이언트 머신 시스템의 관리자 또는 다른 권한 있는 계정이 소유한 매우 안전한 영역에 저장된다. 클라이언트는 암호화된 추가 인증 시도를 매우 안전한 영역의 해독 키에 대한 액세스를 갖는 권한 있는 계정으로 에스컬레이트한다(escalates). 권한 있는 계정은 해독된 추가 인증 시도를 추가로 처리하기 위해 리턴한다.
일 예에서, 서버는 암호화된 추가 인증 시도에 대한 응답을 클라이언트로부터 수신한다. 서버는 상기 응답을 분석하고, 추가 인증 시도의 결과가 성공적이었는지 또는 성공적이지 않았었는지 여부를 결정하며, 상기 결과에 기초하여 클라이언트로부터 수신된 API 요청을 처리한다.
따라서, 본 발명의 측면들은 서버 탈취 및 중간자 공격으로부터 보호함과 동시에 관리 및 기타 합법적인 변경을 사고 없이 수행할 수 있게 하는 향상된 응용프로그래밍 인터페이스의 보안을 제공한다.
본 발명의 다양한 예들은 아래에서 주어진 상세한 설명 및 본 발명의 다양한 예들에 첨부된 도면으로부터 더욱 완전하게 이해될 것이다. 도면에서, 동일한 참조 번호는 동일하거나 기능적으로 유사한 구성요소를 나타낼 수도 있다. 구성요소가 처음 나타나는 도면은 일반적으로 해당 참조 번호의 맨 왼쪽 숫자에 의해 나타난다.
도 1은, 본 발명의 다양한 예들에 따른, 시스템 구조를 나타내는 블록도이다.
도 2는, 본 발명의 일 예에 따른, 강화된 인증을 사용한 거래 검증을 나타내는 흐름도이다.
도 3은, 본 발명의 일 예에 따른, 암호화로 강화된 인증을 사용한 거래 검증을 나타내는 흐름도이다.
도 4는 본 명세서에 설명된 동작 중 하나 이상을 수행할 수도 있는 예시적인 컴퓨터 시스템의 블록도이다.
도 1은, 본 발명의 다양한 예들에 따른, 시스템 구조를 나타내는 블록도이다.
도 2는, 본 발명의 일 예에 따른, 강화된 인증을 사용한 거래 검증을 나타내는 흐름도이다.
도 3은, 본 발명의 일 예에 따른, 암호화로 강화된 인증을 사용한 거래 검증을 나타내는 흐름도이다.
도 4는 본 명세서에 설명된 동작 중 하나 이상을 수행할 수도 있는 예시적인 컴퓨터 시스템의 블록도이다.
도 1은 본 발명의 예들이 구현될 수도 있는 예시적인 시스템 구조(100)를 나타낸다. 시스템 구조(100)는 서버 설비(110), 데이터 저장소(180) 및 네트워크(104)에 연결된 클라이언트 머신(102A-102N)을 포함한다. 네트워크(104)는 공중 네트워크(예를 들어, 인터넷), 개인 네트워크(예를 들어, 근거리 통신망(LAN) 또는 광역 통신망(WAN)), 또는 이들의 조합일 수도 있다. 일 예에서, 네트워크(104)는 인터넷 및/또는 하나 이상의 인트라넷, 유선 네트워크, 무선 네트워크, 및/또는 다른 적절한 유형의 통신 네트워크를 포함할 수도 있다. 일 예에서, 네트워크(104)는 인터넷과 같은, 다른 통신 네트워크와 통신하기 위해 개조된 무선 전기통신 네트워크(예를 들어, 셀룰러 폰 네트워크)를 포함할 수도 있다.
데이터 저장소(180)는 문자, 오디오, 비디오 및 이미지 콘텐츠와 같은, 다양한 유형의 데이터를 저장할 수 있는 지속적인 저장소(persistent storage)이다. 일부 예들에서, 데이터 저장소(180)는 네트워크 결합 파일 서버일 수도 있는 반면, 다른 예들에서 데이터 저장소(180)는, 객체 지향 데이터베이스, 관계 데이터베이스(relational database) 등 다른 유형의 지속적인 저장소일 수도 있다.
클라이언트 머신(102A-102N)은 개인용 컴퓨터(PC), 랩탑, 모바일 폰, 태블릿 컴퓨터, 서버 머신, 착용가능한 컴퓨팅 장치, 또는 임의의 다른 컴퓨팅 장치일 수도 있다. 클라이언트 머신(102A-102N)은 클라이언트 머신(102A-102N)의 하드웨어 및 소프트웨어를 관리하는 운영 체제(OS)를 실행할 수도 있다. 브라우저(도시되지 않음)는 클라이언트 머신(예를 들어, 클라이언트 머신의 운영체제)에서 실행될 수도 있다. 브라우저는 서버 머신(110)의 웹 서버(120)에 의해 제공되는 콘텐츠 및 서비스를 액세스할 수 있는 웹 브라우저일 수도 있다. 다른 유형의 컴퓨터 프로그램 및 컴퓨터 스크립트가 또한 클라이언트 머신(102A-102N)에서 실행될 수도 있다.
클라이언트 머신(102A-102N) 각각은 웹 서버(104A, 104N) 및 키(108A, 108N)를 저장하기 위해 사용되는 보안 영역(106A, 106N)을 포함할 수도 있다. 웹 서버(104A, 104N)는 웹 및/또는 서버 머신(110)에 의해 제공되는 하나 이상의 응용프로그래밍 인터페이스(APIs)를 이용하도록 구성된 애플리케이션 서버를 포함할 수도 있다. 일반적으로 API는 소프트웨어 구성요소의 기능 또는, 컴퓨터 시스템 또는 소프트웨어 라이브러리로부터 이용가능한 다른 소프트웨어 기반 서비스를 이용하기 위해 제공되는 인터페이스를 지칭한다.
API는, 운영체제 API, 프로그래밍 언어 API, 웹-기반 API, 웹 서비스(SOAP, REST 등), 공개 API(public APIs), 사설 API(private APIs), 독점 API, 모바일 API, 거래 API 등과 같은, 임의의 소프트웨어 기반 API를 포함할 수도 있다. 일부 예들에서, 서버 머신(110)에 의해 제공되는 API의 사용은 클라이언트(102A-102N)의 사용자 계정에 고정 및/또는 묶일 수도 있다. 따라서, 클라이언트(102A)는 하나 이상의 인증 크리덴셜(예를 들어, 사용자 이름 및/또는 비밀번호)를 서버 머신(110)에 제공하여 서버 머신(110)에 의해 노출된 API를 사용할 수도 있다.
일 예에서, 클라이언트 머신(102A-102N)은 다양한 유형의 거래를 개시하고 완료하기 위해 서버 머신(110)에 의해 제공되는 API를 사용한다. 예를 들어, 클라이언트 머신(102A-102N)은 상품 구매, 상품 판매, 금전 송금, 지불, 다양한 금융 거래 수행 등을 위해 하나 이상의 서버 머신(110) API를 사용할 수도 있다. 클라이언트 머신(102A-102N)은 동일한 구조에 연관될 수도 있고 또는 다양한 구조에 의해 동작되는 컴퓨터 시스템을 포함할 수도 있다. 예를 들어, 클라이언트 머신(102A-102N)은, 서버 머신(110) 상의 API로부터 제공된 서비스를 이용하도록 계약한, 관련 없는 구성 각각의 컴퓨터 시스템으로 구성될 수도 있다.
클라이언트(102A-102N) 각각은 각각의 키(108A-108N) 및 다른 보안 데이터를 저장하기 위해 사용되는 해당 보안 영역(106A-106N)을 포함할 수도 있다. 보안 영역(106A-106N)은 일반적으로 웹 서버, 애플리케이션 서버, 서버 머신(110) API를 호출하기 위해 사용되는 컴퓨터 프로그램 또는 프로세스에 대해 액세스할 수 없고 독립적인, 컴퓨터 시스템 상의 임의의 영역을 지칭한다. 예를 들어, 보안 영역(106A)은 루트 계정, 관리 사용자, 또는 다른 사용자가 소유하는 저장 영역일 수도 있다. 일부 예들에서, 보안 영역(106A)에 대한 데이터 액세스는 권한 증가 또는 지원을 보안 영역(106A)를 액세스하도록 승인된 사용자 또는 계정(예를 들어, 루트, 관리 등)으로부터 요구한다.
키(108A-108N)는 일반적으로 암호화 알고리즘 또는 암호의 기능적 출력을 결정하는 하나 이상의 정보 조각을 지칭한다. 예를 들어, 키(108A)는 다양한 유형의 데이터를 암호화 및/또는 해독하는데 사용될 수도 있고, 대칭키(symmetric keys), 비대칭키(asymmetric keys), 해시 함수(hash functions), 또는 데이터를 암호화 또는 해독하는데 사용될 수도 있는 임의의 다른 데이터를 포함할 수도 있다. 키(108A)는 하나 이상의 클라이언트(102A)의 컴퓨터 시스템에 연관될 수도 있다. 일 예에서, 키(108A)는 단일 클라이언트(102A) 컴퓨터 시스템 또는 다수의 클라이언트(102A-102N) 컴퓨터 시스템에 연관될 수도 있다.
서버 머신(110)는 랙마운트 서버(rackmount server), 라우터 컴퓨터, 개인용 컴퓨터, 휴대용 정보 단말기(portable digital assistant), 모바일 폰, 랩탑 컴퓨터, 태블렛 컴퓨터, 카메라, 비디오 카메라, 노트북, 데스크탑 컴퓨터, 미디어 센터, 또는 이들의 임의의 조합일 수도 있다. 서버 머신(110)는 웹 서버(120)과 거래 인증 시스템(130)을 포함할 수도 있다. 일부 예들에서, 웹 서버(120) 및 거래 인증 시스템(130)은 하나 이상의 상이한 컴퓨터에서 실행될 수도 있다.
웹 서버(120)는 텍스트, 오디오 및 비디오 이미지를 데이터 저장소(180)로부터 클라이언트(102A-102N)에 제공할 수도 있다. 또한 웹 서버(120)는 웹기반 애플리케이션 서비스 및 비즈니스 로직을 클라이언트(102A-102)에 제공할 수도 있다. 클라이언트(102A-102N)는 웹 브라우저, 웹 서버, 애플리케이션 서버, 컴퓨터 프로그램 등과 같은 애플리케이션을 사용하여 다양한 형태의 콘텐츠 및 서비스를 웹 서버(120)로부터 설치(locate), 액세스 및 소비할 수도 있다. 또한 웹 서버(120)는 콘텐츠의 비축 및 배포를 포함할 수도 있는 프로세스를 위해, 데이터 저장소(180)에 저장된 텍스트, 오디오, 비디오 및 이미지 콘텐츠를 클라이언트(102A-102N)로부터 수신할 수도 있다. 더욱이, 웹 서버(120)는 API 요청을 다양한 클라이언트(102A-102N)로부터 수신할 수도 있다.
일 예에서, 웹 서버(120)는 애플리케이션, 서비스 및 거래 API를 클라이언트(102A-102N)에 제공하는 하나 이상의 애플리케이션 서버(도시되지 않음)에 연결된다. 예를 들어, 웹 서버(120)는 클라이언트(102A-102N)에게 하나 이상의 애플리케이션 서비스에 대한 액세스를 제공할 수도 있으며, 이는 은행업무(banking), 전자 상거래, 이메일, 소셜 네트워킹 등을 포함하나 이에 한정되진 않는다. 또한 이러한 기능은, 예를 들어 하나 이상의 상이한 웹 애플리케이션, 독립형 애플리케이션, 시스템, 플러그인(plugins), 웹 브라우저 확장, 및 응용프로그래밍 인터페이스(APIs)로, 제공될 수도 있다. 일부 예들에서, 플러그인 및 확장은, 개별적으로 또는 종합적으로, 애드온(add-ons)으로 지칭될 수도 있다.
일 예에서, 일부 클라이언트(102A-102N)는 서버(110)에 의해 제공되는 서비스에 연관된 애플리케이션을 포함할 수도 있다. 일 예에서, 하나 이상의 장치 유형(예를 들어, 스마트 폰, 스마트 텔레비전, 태블릿 컴퓨터 등)은 서버(110)에 의해 제공된 콘텐츠를 액세스 하기 위해, 명령을 서버(110)에 발급하기 위해, 및/또는 방문 없이 또는 웹 페이지를 사용하여 콘텐츠를 서버(110)로부터 수신하기 위해 애플리케이션을 사용할 수도 있다.
일 예에서, 서버(110) 및/또는 웹 서버(120)에 의해 수행되는 기능은 클라이언트 머신(102A-102N)에 의해 전부 또는 일부 수행될 수도 있다. 게다가, 특정 구성요소에 기인한 기능은 함께 동작하는 상이한 또는 다수의 구성요소에 의해 수행될 수도 있다. 서버(110)는 또한 다른 시스템 및 장치에 적절한 응용프로그래밍 인터페이스를 통해 제공되는 서비스로서 액세스될 수도 있으며, 따라서 웹 사이트와 함께 사용되는 것으로 한정되진 않는다.
일 예에서, 거래 인증 시스템(130)은 API 요청 수신자 모듈(140), API 보안 관리자 모듈(150), 및 API 요청 프로세서 모듈(160)을 포함한다. 다른 예들에서, API 요청 수신자 모듈(140), API 보안 관리자 모듈(150), 및 API 요청 프로세서 모듈(160)에 연관된 기능은 다양한 구조로 결합, 분리 및 구성될 수도 있다.
일 예에서, API 요청 수신자 모듈(140)은 클라이언트(102A-102N)에 의해 서버 머신(110)에 송신된 API요청을 수신한다. 예를 들어, API 요청 수신자 모듈(140)은 클라이언트(102A)로부터 웹 또는 애플리케이션 서버에 송신된, 서버 머신(110)에서 실행되는 API 요청을 수신할 수도 있다. 또한 API 요청 수신자 모듈(140)은, 예를 들어 클라이언트에 의한 보안 API 사용을 인증하기 위한, 하나 이상의 API 크리덴셜을 클라이언트(102A)로부터 수신할 수도 있다.
일 예에서, API 보안 관리자 모듈(150)은 서버 머신(110) API 요청의 추가 인증을 수행하는 키를 수신한다. 예를 들어, API 보안 관리자 모듈(150)은 각각의 키를 하나 이상의 클라이언트(102A-102N) 각각으로부터 수신할 수도 있다. 일 예에서, API 보안 관리자 모듈(150)은 키를 클라이언트(102A)로부터 수신하고, 수신된 키를 클라이언트(102A)에 연관시키며, 클라이언트(102A)에 발급되기 위한 하나 이상의 추가 인증 시도를 암호화하는 수신된 키를 저장한다.
일 예에서, 최초 계정 등록 및 설정 시간에, 계정 또는 등록 업데이트의 일부로서 이후 시간에, 클라이언트(102A)에 연관된 계정이 임계 거래량을 초과하는 경우, 클라이언트(102A)에 연관된 계정 또는 계정의 판매가 임계 금전 가치(momentary value)를 초과하는 경우, 클라이언트(102A)에 연관된 계정에 의해 처리되는 데이터가 민감한 것으로 분류된다고 결정되는 경우, 서버로부터의 요청에 기초하여, 또는 임의의 다른 시간에 또는 임의의 다른 기준에 기초하여, 클라이언트(102A)는 암호화 키를 제공한다.
일 예에서, API 보안 관리자 모듈(150)은 하나 이상의 클라이언트(102A-102N)가 서버 머신(110)에 의해 제공되는 보안 API를 액세스하도록 구성되는 등록 프로세스 도중 클라이언트 제공 키(client-provided key)를 특정 클라이언트(102A) 또는 다수의 클라이언트(102A-102N)에 연관시킨다. 일 예에서, API 보안 관리자 모듈(150)은 클라이언트 제공 키에 연관된 하나 이상의 클라이언트(102A-102N)에 관한 정보를 식별하고 저장한다. 예를 들어, API 보안 관리자 모듈(150)은 하나 이상의 클라이언트(102A-102N) 각각에 관한 식별 정보(예를 들어, 머신 이름, IP 주소, 맥 주소(MAC address), 도메인, 네트워크 정보, 네트워크 경로 등)를 수집할 수도 있다. 이러한 정보는 고유한 속성 및 클라이언트에 대해 알려진 다른 일반 정보(예를 들어, 전형적인 거래 기간, 주기, 량 등)를 포함할 수도 있다. API 보안 관리자 모듈(150)은 하나 이상의 클라이언트(102A-102N) 각각에 대한 이러한 정보를 해당 클라이언트 프로필에 저장할 수도 있다.
일 예에서, API 보안 관리자(150)는 클라이언트(102A)에 관해 알려진 식별 정보를 다른 시간에 클라이언트(102A)로부터 모아지거나, 수집되거나 수신된 새로운 해당 정보와 비교한다. 예를 들어, API 보안 관리자 모듈(150)은 클라이언트(102A)에 관해 알려진 식별 정보를 API 인터페이스 요청이 클라이언트(102A)로부터 수신된 시간에 연관되거나 모집된 정보와 비교할 수도 있다.
일 예에서, API 보안 관리자 모듈(150)은 클라이언트(102A)에 연관된 하나 이상의 식별 정보(identification information), 클라이언트(102A)에 연관된 네트워크 정보, 클라이언트(102A)에 의한 서버 머신(110) 사용, 클라이언트(102A)로부터 수신된 API 요청의 거래 속성 등에 기초하여, 클라이언트(102A)에 연관된 변화를 감지한다. 예를 들어, API 보안 관리자 모듈(150)은 클라이언트(102A)의 신원 및/또는 행동에 연관된 하나 이상의 변화를 감지하는 것에 응답하여 클라이언트(102A)에 발급하기 위한 하나 이상의 추가 인증 시도를 생성할 수도 있다.
일반적으로 추가 인증 시도는 클라이언트(102A)를 제1 레벨 인증을 넘어 추가로 인증하기 위해 API 보안 관리자 모듈에 의해 수행되는, 제2 또는 추가 레벨 인증을 지칭한다. 일부 예들에서, 클라이언트(102A)가 과거의 클라이언트(102A) 행동 중 관측된 행동으로부터 벗어나는 의심스러운 행동을 드러내는 경우, API 보안 관리자 모듈(150)은 클라이언트(102A)와 관련된 감지된 변화를 고려하여, 제1 레벨 인증과 더불어 클라이언트(102A)로부터 수신된 서버 머신(110) API 요청 등을 추가로 인증하기 위해, (예를 들어 클라이언트(102A) 등록 또는 테스트 도중) 클라이언트(102A)의 요청에 기초하여, 하나 이상의 추가 인증 시도를 생성하고 클라이언트(102A)에 랜덤하게 발급할 수도 있다. 일부 예들에서, 제1 레벨 인증 시도는 클라이언트(102A)에게 사용자 이름, 비밀번호, PIN, 암호(passphrase)와 같은 하나 이상의 크리덴셜을 제공하도록 요청할 수도 있다.
일 예에서, 추가 인증 시도는 클라이언트(102A)가 하나 이상의 수학적 계산을 해결하거나, 하나 이상의 질문에 답변하거나, 또는 하나 이상의 작업을 수행하는 것을 요청할 수도 있다. 일 예에서, API 보안 관리자 모듈(150)은 추가 인증 시도를 클라이언트(102A)가 리소스(예를 들어, 파일)를 특정 컴퓨터 시스템 또는 네트워크 위치로부터 획득하는 작업을 수행하는 것을 요청하는 클라이언트(102A)에 발급한다.
일 예에서, API 관리자 모듈(150)은 하나 이상의 수학적 문제를 수반하는 추가 인증 시도를 발급한다. 예를 들어, API 보안 관리자 모듈(150)은 클라이언트(102A)에게 수치적이거나(numeric), 방정식, 수수께끼(puzzle)인 수학적 문제, 또는 단어로 서술된 수학적 문제를 해결하도록 요청할 수도 있다. 일 예에서, API 보안 관리자 모듈(150)은 클라이언트(102A)에게 적어도 2개의 답변 모음(예를 들어, 긍정 및 부정적인 답변 모음 등)을 갖는 수학적 문제에 대한 복수의 답변을 제공하도록 요청한다.
일 예에서, API 보안 관리자 모듈(150)은 클라이언트(102A)를 위해 생성된 추가 인증 시도를 클라이언트(102A)에 연관되었던 키로 암호화한다. 일 예에서, API 보안 관리자 모듈(150)은 추가 인증 시도를 클라이언트(102A)에 발급하기 이전에 추가 인증 시도를 클라이언트(102A)에 연관된 키로 암호화한다. 예를 들어, API 보안 관리자 모듈(150)은 서버 머신(110) API를 이용하기 위해 등록 프로세스 도중 클라이언트(102A)로부터 이전에 수신된 키를 사용하여 추가 인증 시도를 암호화할 수도 있다.
일 예에서, API 보안 관리자 모듈(150)에 의해 수신된 클라이언트(102A) 제공 키는 서버 머신(110) 및 클라이언트(102A) 사이의 대칭 또는 비대칭 암호화/해독 중 하나를 수행하는데 사용될 수도 있다. 일 예에서, 클라이언트(102A)에 의해 API 보안 관리자 모듈(150)로 제공된 키(108A)는 추가 인증 시도를 암호화하고 해독하는데 사용될 수도 있다. 다른 예에서, 클라이언트는 클라이언트(102A)가 이후에 해당 키를 사용하여 해독하지만, 상이한 키(108A)를 사용하여 해독할 수도 있는, 추가 인증 시도를 암호화하는 키를 API 보안 관리자 모듈(150)에 제공할 수도 있다. 예를 들어, 클라이언트(102A)는 관리 사용자 계정이 소유한 고도의 보안 영역(106A)에 저장된 개인 키(108A)를 사용하여 클라이언트(102A)가 해독하는 데이터를 암호화하기 위한 공개 키(public key)를 API 보안 관리자 모듈(150)에 제공할 수도 있다.
일 예에서, API 보안 관리자 모듈(150)은 추가 인증 시도를 클라이언트(102A)에 발급하고 응답을 기다린다. 일 예에서, 클라이언트(102A)는 API 보안 관리자 모듈(150)로부터 발급된 암호화된 추가 인증 시도를 수신한다. 예를 들어, 웹 서버(104A), 애플리케이션 서버, 또는 클라이언트(102A)에서 실행되는 다른 컴퓨터 프로그램은 암호화된 추가 인증 시도를 API 보안 관리자 모듈(150)로부터 수신할 수도 있다. 그러면 웹 서버(104A), 애플리케이션, 또는 클라이언트(102A)에서 실행되는 다른 컴퓨터 프로그램은 암호화된 추가 인증 시도를 해독하는 키(108A)를 보유한 보안 영역(106A)에 대해 액세스를 갖는 권한 있는 사용자 계정 또는 프로세스에 대한 암호화된 추가 인증 시도를 에스컬레이트할 수도 있다. 그러면 승격된 사용자(elevated user) 또는 프로세스가 추가 인증 시도를 해독하고 웹 서버(104A), 애플리케이션, 또는 클라이언트(102A)의 다른 컴퓨터 프로그램을 호출하는 것에 대한 결과를 리턴할 수도 있다. 클라이언트(102A)는 추가 인증 시도를 처리하고 평가를 위해 해당 응답을 API 보안 관리자 모듈(150)로 리턴한다.
일 예에서, API 보안 관리자 모듈(150)은 클라이언트(102A)로 하여금 추가 인증 시도를 수신하고, 처리하며, 응답할 수 있게 하기 위해 추가 인증 시도를 발급한 이후에 일정 기간 대기한다. 일 예에서, API 보안 관리자 모듈(150)은 임계 값에 기초하여 타임 아웃이 발생하기 전에 클라이언트(102A)로 하여금 발급된 추가 인증 시도에 대해 응답할 수 있게 한다. 더욱이 API 보안 관리자 모듈(150)이 타임아웃이 발생하기 이전에 응답을 클라이언트(102A)로부터 수신하지 못한 경우, 그러면 새로운 추가 인증 시도가 발급되거나, 발급된 추가 인증 시도가 다시 발급되거나, 또는 발급된 추가 인증 시도가 추가 시도 없이 성공적이지 않은 것으로 간주될 수도 있다.
일 예에서, API 보안 관리자 모듈(150)은 발급된 추가 인증 시도에 대한 응답을 클라이언트(102A)로부터 수신하고, 클라이언트(102A)로부터 수신된 추가 인증 시도에 대한 응답을 분석하며, 추가 인증 시도에 대한 응답이 정확한지 또는 적합한지 여부를 결정한다. 일 예에서, API 보안 관리자 모듈(150)은 상기 결정에 기초하여 추가 인증 시도의 결과를 API 요청 프로세서 모듈(160)에 제공한다. 예를 들어, API 보안 관리자 모듈(150)은 클라이언트(102A)로 발급된 추가 인증 시도가 성공적이었는지 또는 성공적이지 않았는지 여부를 나타낼 수도 있다.
일 예에서, API 요청 프로세서 모듈(160)은 추가 인증 시도 결과에 기초하여 하나 이상의 활동을 수행한다. 예를 들어, API 요청 프로세서 모듈(160)은 추가 인증 시도의 성공적인 결과에 기초하여 클라이언트(102A)로부터 수신된 서버 머신(110) API 요청을 실행할 수도 있다. 또한 API 요청 프로세서 모듈(160)은 추가 인증 시도에 대한 부정확한 응답이 수신되거나 응답이 없는 경우, 클라이언트(102A)로부터의 서버 머신(110) API 요청을 거부할 수도 있다.
일 예에서, API 요청 프로세서 모듈(160)은 성공적이지 않은 추가 인증 시도에 연관된 클라이언트(102A)로부터 하나 이상의 계류중인 서버 머신(110) API 요청 또는 후속 서버 머신(110) API 요청을 차단한다. 또한 API 요청 프로세서 모듈(160)은 성공적이지 않은 추가 인증 시도에 연관된 다른 클라이언트에 관련된 클라이언트(102A-102N)로부터 하나 이상의 계류중인 서버 머신(110) API 요청 또는 후속 서버 머신(110) API 요청을 차단할 수도 있다. 예를 들어, 사용자 계정에 연관되거나 서버 머신(110) API를 사용하기로 계약된 당사자에 연관된 다수의 클라이언트(102A-102N)은 이러한 상황 하에서 차단될 수도 있다.
일 예에서, API 요청 프로세서 모듈(160)은 성공적이지 않은 추가 인증 시도가 발생한 경우 및/또는 보안 조정이 성공적이지 않은 추가 인증 시도에 대한 응답으로 이루어진 경우, 클라이언트(102A) 계정, 서버(110) 계정, 또는 계약된 당사자에 연관된 사용자에게 알림을 송신한다. 예를 들어, API 요청 프로세서 모듈(160)은 이메일 송신, 전화 개시, 문자 메시지 송신 등을 함으로써 계정 소유자에게 통지할 수도 있다. 일부 예들에서, API 요청 프로세서 모듈(160)은 추가 인증 시도 결과에 기초하여 하나 이상의 클라이언트(102A-102N) 또는 계정에 연관된 위험 모델(risk model)을 조정한다.
도 2는, 본 발명의 일 예에 따른, 강화된 인증을 사용한 거래 검증을 나타내는 흐름도이다. 방법(200)은 하드웨어(회로, 전용 로직, 프로그래밍 가능한 로직, 마이크로코드 등), (범용 컴퓨터 시스템, 전용 컴퓨터, 또는 처리 장치에서 실행되는 명령어와 같은) 소프트웨어, 펌웨어, 또는 이들의 조합을 포함할 수도 있는 논리를 처리함으로써 수행될 수도 있다.
방법(200)은 거래 인증 시스템(130)의 API 요청 수신자 모듈(140)이 제2 컴퓨터 시스템으로부터 수신된 응용프로그래밍 인터페이스(API)를 제1 인증 레벨에 기초하여 인증하기 위한 하나 이상의 크리덴셜을 수신하는 경우 블록(202)에서 시작한다. 일 예에서, API 요청 수신자 모듈(140)은 클라이언트(102A)로부터의 서버 머신(110) API 요청을 인증하기 위한 하나 이상의 크리덴셜을 수신한다. 예를 들어, 클라이언트는 하나 이상의 사용자 이름, 비밀번호, PIN, 암호(passphrase) 등을 제공하기 위해 프롬프팅되거나(prompted) 이용가능한 API를 사용하여 서버 머신 API에 연관된 제1 레벨의 인증을 만족시킬 수도 있다. 일 예에서, API 요청 수신자 모듈(140)은 API 요청에 대한 클라이언트(102A) 크리덴셜을 클라이언트(102A)로부터 수신한다. 이러한 크리덴셜은, 예를 들어 세션 시작 시 일 회, 세션 전체에 걸쳐 일 회 이상의 횟수, 또는 일반적으로 임의의 횟수로 클라이언트(102A)에 의해 제공될 수도 있다.
블록(204)에서, 거래 인증 시스템(130)의 API 보안 관리자 모듈(150)은 응용프로그래밍 인터페이스 요청을 추가로 인증하기 위한 추가 인증 시도를 제2 컴퓨터 시스템에 발급한다. 일 예에서, API 보안 관리자 모듈(150)은 기준인 제1 레벨의 인증 이상으로 클라이언트(102A)로부터의 서버 머신(110) API 요청을 추가로 인증하기 위한 추가 인증 시도를 생성한다. 예를 들어, API 보안 관리자 모듈(150)은 서버 머신(110) API에 대한 액세스 또는 사용을 요청하는 클라이언트(102A)에 발급된 추가 인증 시도를 생성할 수도 있다.
일 예에서, API 보안 관리자 모듈(150)은 클라이언트(102A)에 관련된 변화를 감지하는 것에 응답하여 추가 인증 시도를 생성하고 클라이언트(102A)에 발급한다. 예를 들어, API 보안 관리자 모듈(150)은 신원 변화, 네트워크 변화, 행동 변화, 의심스러운 거래 행동, 또는 클라이언트(102A)에 연관된 다른 변화를 감지할 수도 있다. 이에 응답하여, API 보안 관리자 모듈(150)은 하나 이상의 추가 인증 시도를 생성하고 감지된 변화에 연관된 클라이언트(102A) 각각에 발급한다.
일 예에서, API 관리자 모듈(150)은 추가 인증 시도에 대한 응답을 클라이언트(102A)로부터 수신한다. 그러면 API 보안 관리자 모듈(150)은 상기 응답이 정확한지 또는 부정확한지 결정하기 위해 추가 인증 시도에 대한 응답을 분석한다. 일부 예들에서, 클라이언트(102A)는, 예를 들어 SSL을 사용하여 추가 인증 시도에 대한 암호화된 응답을 제공하여 데이터 비밀(data privacy)을 보호하고 인증되지 않은 인터셉션(interception)으로부터 데이터를 방어한다 일 예에서, API 보안 관리자 모듈(150)은 상기 결정에 기초하여 추가 인증 시도 결과를 API 요청 프로세서 모듈(160)에 제공한다. 예를 들어, API 보안 관리자 모듈(150)에 의해 제공된 결과는 추가 인증 시도가 성공적이었는지 또는 성공적이지 않았는지 여부를 나타낼 수도 있다. .
블록(206)에서, 거래 인증 시스템(130)의 API 요청 프로세서 모듈(160)은 추가 인증 시도 결과에 기초하여 수신된 응용프로그래밍 인터페이스 요청을 처리한다. 일 예에서, 서버 머신(110) API의 API 요청 프로세서 모듈(160)은 성공적인 추가 인증 시도 결과에 기초하여 클라이언트(102A)로부터 수신된 요청을 실행한다. 일 예에서, API 요청 프로세서 모듈(160)은 성공적이지 않은 추가 인증 시도 결과에 기초하여 클라이언트(102A)로부터의 서버 머신(110) API 요청을 거부한다.
일 예에서, API 요청 프로세서 모듈(160)은 성공적이지 않은 추가 인증 시도 결과에 기초하여 하나 이상의 계류중인 서버 머신(110) API 요청 및/또는 후속 서버 머신(110) API 요청을 클라이언트(102A)로부터 차단한다. 일 예에서, API 요청 프로세서 모듈(160)은 하나 이상의 계류중 및/또는 후속 서버 머신(110) API 요청을 하나 이상의 성공적이지 않은 추가 인증 시도에 연관된 클라이언트(102A-102N) 그룹으로부터 차단한다. 예를 들어, 계정 또는 서버 머신(110)를 사용하도록 계약된 당사자에 연관된 둘 이상의 클라이언트(102A-102N) 그룹이 하나의 클라이언트(102A)에 대한 성공적이지 않은 인증 시도 결과에 응답하여 차단될 수도 있다.
일 예에서, API 요청 프로세서 모듈(160)은 하나 이상의 성공적이지 않은 추가 인증 시도(예를 들어, 하나의 성공적이지 않은 결과, 많은 수의 성공적이지 않은 연이은 결과, 미리 정의된 임계 값을 초과하는 결과를 추출하는 것에서 성공적이지 않은 결과 비율 등)에 응답하여 사용자, 클라이언트 계정 보유자, 또는 서버 머신(110) API 소유주 중 하나 이상에게 통지한다. 예를 들어, API 요청 프로세서 모듈(160)은 이메일 송신, 전화 시작, 문자 메시지 송신 등을 할 수도 있다. 또한 API 요청 프로세서 모듈(160)은 하나 이상의 클라이언트(102A-102N)에 연관된 위험 모델을 추가 인증 시도 결과에 기초하여 조정할 수도 있다. 예를 들어, 클라이언트(102A) 신뢰 레벨은 성공적인 결과에 응답하여 증가할 수도 있으며 성공적이지 않은 결과에 응답하여 감소할 수도 있다.
도 3은, 본 발명의 일 예에 따른, 암호화로 강화된 검증을 사용한 거래 검증을 나타내는 흐름도이다. 방법(300)은 하드웨어(회로, 전용 로직, 프로그래밍 가능한 로직, 마이크로코드 등), (범용 컴퓨터 시스템, 전용 컴퓨터, 또는 처리 장치에서 실행되는 명령어와 같은) 소프트웨어, 펌웨어, 또는 이들의 조합을 포함하는 로직을 처리함으로써 수행될 수도 있다.
방법(300)은 거래 인증 시스템(130)의 API 보안 관리자 모듈(150)이 제2 컴퓨터 시스템에 발급되기 위한 하나 이상의 추가 인증 시도를 암호화하는 키를 수신하는 경우 블록(302)에서 시작한다. 일 예에서, API 보안 관리자 모듈(150)은 클라이언트(102A)에 발급되기 위한 추가 인증 시도를 암호화하는 키를 수신한다. 예를 들어, API 보안 관리자(150)는 클라이언트(102A)가 서버 머신(110) API를 액세스하도록 구성되는 등록 프로세스의 일부로서 상기 키를 클라이언트(102A)로부터 수신한다. 일 예에서, API 보안 관리자(150)는 클라이언트(102A)로 발급될 추가 인증 시도를 암호화하는 공개 키를 PGP 키 쌍으로부터 수신한다. 공개 키는 보안 영역(106A)에 저장된 개인 키(108A)에 대응하고, 추가 인증 시도를 해독하기 위해 보안 영역(106A)에 대한 액세스를 갖는 권한 있는 클라이언트(102A) 계정에 의해 사용된다.
블록(304)에서, 거래 인증 시스템(130)의 API 요청 수신자 모듈(140)은 응용프로그래밍 인터페이스 요청을 제2 컴퓨터 시스템으로부터 수신한다. 일 예에서, API 요청 수신자 모듈(140)은 서버 머신(110) API 요청을 클라이언트(102A)로부터 수신한다. 예를 들어, 클라이언트(102A)는 은행업무, 전자 상거래, 이메일, 소셜 네트워킹, 또는 다른 서비스를 제공하는 API를 호출하기 위한 API 요청을 서버 머신(110)으로 송신할 수도 있다.
블록(306)에서, API 요청 수신자 모듈(140)은 응용프로그래밍 인터페이스를 제1 인증 레벨에 기초하여 인증하기 위한 하나 이상의 크리덴셜을 수신한다. 일 예에서, API 요청 수신자 모듈(140)은 서버 머신(110) API를 액세스하는 것을 추구하는 클라이언트(102A)로부터 하나 이상의 제1 레벨 인증 크리덴셜을 수신한다. 제1 레벨 인증 크리덴셜은 사용자 이름, 비밀번호, PIN, 암호(passphrase) 등 중 임의의 조합을 포함할 수도 있다. 일 예에서, API 요청 수신자 모듈(140)은 API 요청과 함께 하나 이상의 제1 레벨 인증 크리덴셜을 수신한다. 다른 예에서, API 요청 수신자 모듈(140)은 AP 요청과 별도로, 클라이언트(102A) 통신에서 제1 레벨 인증 크리덴셜을 수신한다.
블록(308)에서, API 보안 관리자 모듈(150)은 제2 컴퓨터 시스템에 연관된 변화를 감지한다. 일 예에서, API 보안 관리자 모듈(150)은 하나 이상의 클라이언트(102A-102N)에 관한 정보를 수집하고 저장한다. 예를 들어, API 보안 관리자 모듈(150)은 하나 이상의 클라이언트(102A-102N) 각각에 관한 식별 정보 또는 다른 정보(예를 들어, 머신 이름, IP 주소, 맥 주소(MAC address), 도메인, 네트워크 정보, 네트워크 경로 등)를 모을 수도 있다. 이러한 정보는 클라이언트(102A)에 대한 고유한 속성 및 클라이언트(102A)에 관해 알려진 다른 일반 정보(예를 들어, 전형적인 거래 기간, 주기, 량 등)를 포함할 수도 있다. 일 예에서, API 보안 관리자 모듈(150)은 하나 이상의 클라이언트(102A-102N) 각각에 대한 이러한 정보를 각각의 클라이언트 프로필에 저장한다.
일 예에서, API 보안 관리자(150)는 클라이언트(102A)에 관해 알려진 정보를 다른 시간에 클라이언트(102A)로부터 모아지거나, 수집되거나, 또는 수신된 새로운 해당 정보와 비교한다. 예를 들어, API 보안 관리자 모듈(150)은 클라이언트(102A)에 관해 알려진 식별 정보를 클라이언트(102A)로부터 수신된 API 인터페이스 요청에 연관된 정보와 비교할 수도 있다. 일 예에서, API 보안 관리자 모듈(150)은 클라이언트(102A) 식별 정보, 클라이언트(102A) 네트워크 정보, 평상시 클라이언트(102A) 행동, API 요청의 거래 속성, 클라이언트(102A) API 요청의 빈도 등 중 하나 이상에 기초하여 클라이언트(102A)에 연관된 변화를 감지한다.
블록(310)에서, API 보안 관리자 모듈(150)은 응용프로그래밍 인터페이스 요청을 추가로 인증하기 위한 추가 인증 시도를 생성한다. 일 예에서, API 보안 관리자 모듈(150)은 클라이언트(102A) 식별 또는 행동에 연관된 하나 이상의 변화를 감지하는 것에 응답하여 추가 인증 시도를 생성한다.
일 예에서, API 보안 관리자 모듈(150)에 의해 생성된 추가 인증 시도는 하나 이상의 수학적 계산(mathematical calculations), 하나 이상의 사실 기반(fact- based) 질문, 미리 정해진 질문 또는 비밀 질문, 또는 하나 이상의 작업을 포함할 수도 있다. 일 예에서, API 보안 관리자 모듈(150)은 클라이언트(102A)에게 소스(예를 들어, 파일, 데이터)를 하나의 위치로부터 획득하는 임무를 수행하도록 요청하는 추가 인증을 생성한다.
블록(312)에서, API 보안 관리자 모듈(150)은 추가 인증 시도를 제2 컴퓨터 시스템에 발급한다. 일 예에서, API 보안 관리자 모듈(150)은 클라이언트(102A)의 신원을 제1 레벨 인증 이상으로 추가로 인증하기 위한 추가 인증 시도를 클라이언트(102A)에 발급한다. 예를 들어, API 보안 관리자 모듈(150)은 클라이언트(102A)에 연관된 변화를 감지하는 것에 응답하여 추가 인증 시도를 클라이언트(102A)에 발급한다. 일부 예들에서, API 보안 관리자 모듈(150)은 신원 변화, 네트워크 변화, 행동 변화, 의심스러운 거래 속성 또는 행동, 또는 클라이언트(102A)에 연관된 다른 관측된 차이점을 식별한다.
일 예에서, API 보안 관리자 모듈(150)은 추가 인증 시도에 대한 응답을 나중에 클라이언트(102A)로부터 수신하고 결과를 결정하기 위해 상기 응답을 분석한다. 그러면 API 보안 관리자 모듈(150)은 상기 결정에 기초하여 추가 인증 시도의 결과를 API 요청 프로세서 모듈(160)에 제공할 수도 있다. 예를 들어, API 보안 관리자 모듈(150)에 의해 제공된 결과는 클라이언트(102A)가 추가 인증 시도에 대한 정확한 응답 또는 부정확한 응답을 제공했었는지 여부를 나타낼 수도 있다.
블록(314)에서, API 요청 프로세서 모듈(160)은 추가 인증 시도 결과에 기초하여 응용프로그래밍 인터페이스 요청을 처리한다. 거래 인증 시스템(130)의 API 요청 프로세서 모듈(160)은 클라이언트(102A)로부터 수신된 API 요청을 추가 인증 시도 결과에 기초하여 처리한다. 일 예에서, 서버 머신(110) API의 API 요청 프로세서 모듈(160)은 성공적인 결과에 기초하여 서버 머신(110) API 요청을 실행한다. 다른 예에서, API 요청 프로세서 모듈(160)은 성공적이지 않은 결과에 기초하여 서버 머신(110) API 요청을 거부한다.
일 예에서, API 요청 프로세서 모듈(160)은 추가 인증 시도가 성공적이지 않은 경우 하나 이상의 사용자, 계정 보유자, 또는 다른 당사자에게 통지한다. 예를 들어, API 요청 프로세서 모듈(160)은 이메일 송신, 전화 시작, 문자 메시지 송신 등을 함으로써 알림을 제공할 수도 있다. 일 예에서, API 요청 프로세서 모듈(160)은 추가 인증 시도 결과에 기초하여 하나 이상의 클라이언트(102A-102N)에 연관된 위험 모델(risk model)을 조정한다. 예를 들어, 클라이언트(102A) 신뢰 레벨은 성공적인 결과에 응답하여 증가할 수도 있으며 성공적이지 않은 결과에 응답하여 감소할 수도 있다.
도 4는, 상기 컴퓨터가 본 명세서에 서술된 임의의 방법(methodologies) 중 하나 이상을 수행하게 하는 명령어 세트가 실행될 수도 있는 컴퓨터 시스템(400) 내부의 예시적인 형태의 컴퓨터 도면을 나타낸다. 다른 예에서, 상기 컴퓨터는 랜, 인트라넷, 익스트라넷, 또는 인터넷에서 다른 컴퓨터와 연결될(예를 들어, 네트워크될) 수도 있다. 컴퓨터는 클라이언트-서버 네트워크 환경의 서버 또는 클라이언트 머신 용량 내에서, 또는 피어-투-피어(또는 분포된) 네트워크 환경의 피어 머신으로서 동작할 수도 있다. 상기 머신은 개인용 컴퓨터(PC), 태블릿 PC, 셋톱 박스(STB), 휴대 정보 단말기(PDA), 셀룰러 폰, 웹 가전제품(web appliance), 서버, 네트워크 라우터, 스위치 또는 브릿지, 또는 컴퓨터에 의해 이뤄지는 작업을 지정하는 (순차적인 또는 다른 방식의) 명령어 세트를 실행할 수 있는 임의의 머신일 수도 있다. 또한, 단지 단일 머신이 도시되어 있지만, “머신”이라는 용어는 본 명세서에 서술된 임의의 방법 중 하나 이상을 수행하는 하나의 세트(또는 다수의 세트)를 독립적으로 또는 공동으로 실행하는 임의의 머신 집합을 포함하도록 받아들어야 할 것이다.
예시적인 컴퓨터 시스템(400)은 처리 장치(프로세서)(402), 메인 메모리(404)(예를 들어, 읽기 전용 메모리(ROM), 플래시 메모리, 동기 동적 임의 접근 메모리(synchronous DRAM, SDRAM), 2배속(DDR) SDRAM, 또는 램버스 DRAM(RDRAM) 등과 같은 동적 임의 접근 메모리(DRAM)), 정적 메모리(406)(예를 들어, 플래시 메모리, 정적 임의 접근 메모리(SRAM) 등)를 포함하고, 이는 버스(430)를 통해 서로 통신한다.
프로세서(402)는 마이크로프로세서, 중앙 처리 장치 등등과 같은 하나 이상의 범용 처리 장치를 표현한다. 보다 상세하게, 프로세서(402)는 CISC(complex instruction set computing) 마이크로프로세서, RISC(reduced instruction set computing) 마이크로프로세서, VLIW(very long instruction word) 마이크로프로세서, 또는 다른 명령어 세트를 구현하는 프로세서 또는 명령어 세트의 조합을 구현하는 프로세서일 수도 있다. 또한 프로세서(402)는 ASIC(application specific integrated circuit), FPGA(field programmable gate array), DSP(digital signal processor), 네트워크 프로세서 등과 같은, 하나 이상의 특수 목적 처리 장치일 수도 있다. 프로세서(402)는 본 명세서에 서술된 동작 및 단계를 수행하기 위한 명령어(422)를 실행하도록 구성된다.
컴퓨터 시스템(400)은 네트워크 인터페이스 장치(408)를 더 포함할 수도 있다. 또한 컴퓨터 시스템(400)은 영상 출력 장치(video display unit)(410)(예를 들어, 액정디스플레이(LCD), 음극선관(CRT), 문자/숫자 겸용 입력 장치(alphanumeric input device)(412)(예를 들어, 키보드), 커서 제어장치(414)(예를 들어, 마우스), 및 신호 생성 장치(416)(예를 들어, 스피커)를 포함할 수도 있다.
데이터 저장 장치(418)는 본 명세서에 서술된 임의의 방법 또는 기능 중 하나 이상을 구현하는 하나 이상의 명령어 세트(422)(예를 들어, 소프트웨어)가 저장되는 컴퓨터 판독가능 저장 매체(428)를 포함할 수도 있다. 또한 명령어(422)는 컴퓨터 판독가능 매체를 또한 구성하는 컴퓨터 시스템(400), 메인 메모리(404) 및 프로세서(402)에 의해 실행 중인 메인 메모리(404) 내에 및/또는 프로세서(402) 내에 완전히 또는 적어도 부분적으로 존재할 수도 있다. 명령어(422)는 네트워크 인터페이스 장치(408)를 거쳐 네트워크(420)를 통해 추가로 전송되거나 수신될 수도 있다.
일 예에서, 명령어(422)는 거래 인증 시스템(예를 들어, 도 1의 거래 인증 시스템(130))의 하나 이상의 모듈에 대한 명령어 및/또는 거래 인증 시스템(130)을 호출하는 방법을 포함하는 소프트웨어 라이브러리를 포함한다. 컴퓨터 판독가능 저장 매체(428)(머신 판독가능 저장 매체)는 단일 매체인 예로 도시되어 있지만, 용어 “컴퓨터 판독가능 저장 매체”는 하나 이상의 명령어 세트를 저장하는 단일 매체 또는 다수의 매체(예를 들어, 중앙 집중형 또는 분산형 데이터베이스, 및/또는 연관된 캐시(caches) 및 서버)를 포함하는 것으로 받아들어져야 할 것이다. 용어 “컴퓨터 판독가능 저장 매체”는 또한 머신에 의해 실행되는 명령어 세트를 저장, 인코딩 또는 전달할 수 있는 임의의 매체 및 머신이 본 발명의 임의의 방법 중 하나 이상을 수행하게 하는 임의의 매체를 포함하는 것으로 받아들어져야 할 것이다. 따라서, 용어” 컴퓨터 판독가능 저장 매체”는 고체형 기억장치, 광학 매체 및 자기 매체를 포함하도록 받아들어져야 하나, 이에 한정되지는 않는다.
전술한 설명에서, 많은 세부 사항이 설명된다. 그러나, 본 발명의 이점을 갖는 당업자 중 한 명에게는 본 발명이 이러한 특정 세부사항들 없이도 실시될 수도 있음이 명백할 것이다. 일부 실시예들에서, 잘 알려진 구조 및 장치는 본 발명을 모호하게 하는 것을 피하기 위해, 상세하지 않은 블록도 형태로 도시된다.
발명의 상세한 설명의 일부분은 컴퓨터 메모리 내의 데이터 비트에 대한 연산 알고리즘 및 기호 표현과 관련하여 표현된다. 알고리즘은 본 명세서에서 일반적으로 원하는 결과를 유도하는 단계의 일관성 있는(self-consistent) 시퀸스로 여겨진다. 상기 단계는 물리적인 양을 물리적으로 조작하는 것을 요구한다. 일반적으로, 반드시 그런 것은 아니지만, 이러한 양은 저장, 전송, 결합, 비교 및 다른 방식의 조작이 가능한 전기 또는 자기 신호의 형태를 취한다. 일반적인 사용 이유로 가끔은 이런 신호를 비트, 값, 요소, 기호, 문자, 용어, 숫자 등으로 지칭하는 것이 편리하다고 판명되어 왔다.
그러나, 이러한 모든 용어 및 유사한 용어는 적절한 물리량에 연관되고 이러한 양에 적용되는 단지 편리한 표어(labels)로 여겨진다. 이어지는 설명에서 명백하게 달리 명시하지 않는 한, 본 명세서 전반에 걸쳐 “컴퓨팅”, “비교”, “적용”, “수신”, “처리” 등과 같은 용어를 사용하는 설명은 컴퓨터의 동작 및 프로세스 시스템 또는 유사한 전자 컴퓨팅 장치로 지칭하는 것으로 여겨지며, 이는 컴퓨터 시스템 레지스터 및 메모리 내의 물리적(예를 들어, 전자적)인 양으로 표현된 데이터를 컴퓨터 시스템 기억장치 또는 레지스터 또는 정보 저장소, 전송 또는 표시 장치와 같은 기타 내의 물리적인 양으로 유사하게 표현되는 다른 데이터로 조작하고 변환한다.
본 발명의 특정 예들은 또한 본 명세서 내의 동작을 수행하기 위한 장치를 지칭한다. 이 장치는 의도된 목적으로 구성될 수도 있거나, 또는 컴퓨터에 저장된 컴퓨터 프로그램에 의해 선택적으로 활성화되거나 재구성되는 범용 컴퓨터를 포함할 수도 있다. 이러한 컴퓨터 프로그램은 플로피 디스크, 광학 디스크, 씨디-롬 및 광자기 디스크를 포함하는 임의의 유형의 디스크, 읽기 전용 메모리(ROMs), 임의 접근 메모리(RAMs), 이피롬(EPROMs), 이이피롬(EEPROMs), 자기 또는 광 카드, 또는 전자 명령어를 저장하기에 적합한 임의의 유형의 매체와 같은 컴퓨터 판독가능 매체에 저장되나, 이에 한정되지는 않는다.
위의 설명은 예시적인 것으로 의도되며, 이에 제한되진 않는 것으로 이해되어야 한다. 많은 다른 예들이 위의 설명을 읽고 이해할 당업자에게 명백할 것이다. 그러므로, 본 명세서의 범위는 청구 범위로 주어지는 것의 균등물의 전체 범위와 함께, 첨부된 청구 범위를 참조하여 결정되어야 한다.
Claims (20)
- 컴퓨터 시스템으로서,
명령어를 저장하는 비일시적 메모리; 및
상기 비일시적 메모리에 연결되고 상기 시스템이 동작을 수행하도록 상기 비일시적 메모리로부터 상기 명령어를 판독하도록 구성된 하나 이상의 하드웨어 프로세서를 포함하되,
상기 동작은,
클라이언트로부터 응용프로그래밍 인터페이스(API) 요청을 수신하는 것;
상기 클라이언트에 의해 제공된 크리덴셜을 이용하여 제1 레벨의 인증을 수행하는 것;
상기 API 요청을 상기 API와 연관된 활동의 베이스라인 패턴(baseline pattern)과 비교하는 것에 적어도 부분적으로 기초하여 상기 클라이언트가 예상되는 행동으로부터 벗어나는지를 판정하는 것;
상기 비교하는 것에 적어도 부분적으로 기초하여 상기 클라이언트가 상기 예상되는 행동으로부터 벗어난다고 판정되는 경우, 상기 API 요청을 추가로 인증하기 위해 암호화된 인증 시도(encrypted authentication challenge)를 생성하는 것; 및
상기 API 요청을 인증하기 위해 상기 암호화된 인증 시도를 상기 클라이언트에 발행하는 것을 포함하는
컴퓨터 시스템.
- 제1항에 있어서,
상기 암호화된 인증 시도는, 상기 API를 사용하도록 인증된 당사자로부터 상기 API 요청 이전에 수신된 키를 사용하여 암호화되는
컴퓨터 시스템.
- 제1항에 있어서,
상기 판정하는 것은, 상기 API 요청과 연관된 인증된 사용자에 대해 알려진 정보가 상기 클라이언트와 연관된 정보와 상이하다는 판정에 적어도 부분적으로 기초하는
컴퓨터 시스템.
- 제1항에 있어서,
상기 동작은,
상기 암호화된 인증 시도를 상기 클라이언트에 발행하는 것의 결과에 기초하여 상기 API 요청을 처리하는 것을 더 포함하는
컴퓨터 시스템.
- 제1항에 있어서,
상기 벗어나는 것은, API 요청들의 이전 빈도에 비교할 때 API 요청들의 빈도의 변화에 적어도 부분적으로 기초하여 판정되는
컴퓨터 시스템.
- 제1항에 있어서,
상기 벗어나는 것은, 상기 API와 연관된 전형적인 거래 기간으로부터의 편차에 적어도 부분적으로 기초하여 판정되는
컴퓨터 시스템.
- 제1항에 있어서,
상기 클라이언트가 예상되는 행동으로부터 벗어나는지를 판정하는 것은, 상기 클라이언트에 의한 서버 머신 API의 사용이 상기 클라이언트에 의한 상기 서버 머신 API의 과거 사용으로부터 벗어나는지를 판정하는 것을 포함하는
컴퓨터 시스템.
- 제1항에 있어서,
상기 클라이언트가 예상되는 행동으로부터 벗어나는지를 판정하는 것은, 상기 클라이언트로부터의 상기 API 요청의 거래 속성이 상기 클라이언트로부터 이전에 수신된 거래 속성과 상이한지를 판정하는 것을 포함하는
컴퓨터 시스템.
- 제1항에 있어서,
상기 클라이언트가 예상되는 행동으로부터 벗어나는지를 판정하는 것은, 상기 클라이언트와 연관된 식별 정보의 변화를 감지하는 것을 포함하는
컴퓨터 시스템.
- 컴퓨터 구현 방법으로서,
하나 이상의 처리 장치에 의해, 클라이언트로부터 응용프로그래밍 인터페이스(API) 요청을 수신하는 단계;
상기 클라이언트에 의해 제공된 크리덴셜을 이용하여 제1 레벨의 인증을 수행하는 단계;
상기 처리 장치의 하나 이상에 의해, 상기 API 요청을 상기 API와 연관된 활동의 베이스라인 패턴과 비교하는 것에 적어도 부분적으로 기초하여 상기 클라이언트가 예상되는 행동으로부터 벗어나는지를 판정하는 단계;
상기 비교하는 것에 적어도 부분적으로 기초하여 상기 클라이언트가 상기 예상되는 행동으로부터 벗어난다고 판정되는 경우, 상기 처리 장치의 하나 이상에 의해, 상기 API 요청을 추가로 인증하기 위해 암호화된 인증 시도를 생성하는 단계; 및
상기 처리 장치의 하나 이상에 의해, 상기 API 요청을 인증하기 위해 상기 암호화된 인증 시도를 상기 클라이언트에 발행하는 단계를 포함하는
컴퓨터 구현 방법.
- 제10항에 있어서,
상기 암호화된 인증 시도는, 상기 API를 사용하도록 인증된 당사자로부터 상기 API 요청 이전에 수신된 키를 사용하여 암호화되는
컴퓨터 구현 방법.
- 제10항에 있어서,
상기 판정하는 단계는, 상기 API 요청과 연관된 인증된 사용자에 대해 알려진 정보가 상기 클라이언트와 연관된 정보와 상이하다고 판정하는 단계를 포함하는
컴퓨터 구현 방법.
- 제10항에 있어서,
상기 암호화된 인증 시도를 상기 클라이언트에 발행하는 것의 결과에 기초하여 상기 API 요청을 처리하는 단계를 더 포함하는
컴퓨터 구현 방법.
- 제10항에 있어서,
상기 벗어나는 것은, API 요청들의 이전 빈도에 비교할 때 API 요청들의 빈도의 변화에 적어도 부분적으로 기초하여 판정되는
컴퓨터 구현 방법.
- 제10항에 있어서,
상기 벗어나는 것은, 상기 API와 연관된 전형적인 거래 기간으로부터의 편차에 적어도 부분적으로 기초하여 판정되는
컴퓨터 구현 방법.
- 머신이 동작을 수행하도록 실행가능한 머신 판독가능 명령어를 저장한 비일시적 머신 판독가능 매체에 있어서,
상기 동작은,
클라이언트로부터 응용프로그래밍 인터페이스(API) 요청을 수신하는 것;
상기 클라이언트에 의해 제공된 크리덴셜을 이용하여 제1 레벨의 인증을 수행하는 것;
상기 API 요청을 상기 API와 연관된 활동의 베이스라인 패턴(baseline pattern)과 비교하는 것에 적어도 부분적으로 기초하여 상기 클라이언트가 예상되는 행동으로부터 벗어나는지를 판정하는 것;
상기 비교하는 것에 적어도 부분적으로 기초하여 상기 클라이언트가 상기 예상되는 행동으로부터 벗어난다고 판정되는 경우, 상기 API 요청을 추가로 인증하기 위해 암호화된 인증 시도(encrypted authentication challenge)를 생성하는 것; 및
상기 API 요청을 인증하기 위해 상기 암호화된 인증 시도를 상기 클라이언트에 발행하는 것을 포함하는
비일시적 머신 판독가능 매체.
- 제16항에 있어서,
상기 암호화된 인증 시도는, 상기 API를 사용하도록 인증된 당사자로부터 상기 API 요청 이전에 수신된 키를 사용하여 암호화되는
비일시적 머신 판독가능 매체.
- 제16항에 있어서,
상기 판정하는 것은, 상기 API 요청과 연관된 인증된 사용자에 대해 알려진 정보가 상기 클라이언트와 연관된 정보와 상이하다고 판정하는 것을 포함하는
비일시적 머신 판독가능 매체.
- 제16항에 있어서,
상기 동작은,
상기 암호화된 인증 시도를 상기 클라이언트에 발행하는 것의 결과에 기초하여 상기 API 요청을 처리하는 것을 더 포함하는
비일시적 머신 판독가능 매체.
- 제16항에 있어서,
상기 벗어나는 것은, API 요청들의 이전 빈도에 비교할 때 API 요청들의 빈도의 변화에 적어도 부분적으로 기초하여 판정되는
비일시적 머신 판독가능 매체.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020227017371A KR102601356B1 (ko) | 2014-09-25 | 2015-09-21 | 강화된 인증을 통한 거래 검증 |
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US14/496,160 | 2014-09-25 | ||
US14/496,160 US9363267B2 (en) | 2014-09-25 | 2014-09-25 | Transaction verification through enhanced authentication |
KR1020177009711A KR102257157B1 (ko) | 2014-09-25 | 2015-09-21 | 강화된 인증을 통한 거래 검증 |
PCT/US2015/051281 WO2016048915A1 (en) | 2014-09-25 | 2015-09-21 | Transaction verification through enhanced authentication |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020177009711A Division KR102257157B1 (ko) | 2014-09-25 | 2015-09-21 | 강화된 인증을 통한 거래 검증 |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020227017371A Division KR102601356B1 (ko) | 2014-09-25 | 2015-09-21 | 강화된 인증을 통한 거래 검증 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20210062728A KR20210062728A (ko) | 2021-05-31 |
KR102402924B1 true KR102402924B1 (ko) | 2022-05-30 |
Family
ID=55581869
Family Applications (3)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020177009711A KR102257157B1 (ko) | 2014-09-25 | 2015-09-21 | 강화된 인증을 통한 거래 검증 |
KR1020227017371A KR102601356B1 (ko) | 2014-09-25 | 2015-09-21 | 강화된 인증을 통한 거래 검증 |
KR1020217015323A KR102402924B1 (ko) | 2014-09-25 | 2015-09-21 | 강화된 인증을 통한 거래 검증 |
Family Applications Before (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020177009711A KR102257157B1 (ko) | 2014-09-25 | 2015-09-21 | 강화된 인증을 통한 거래 검증 |
KR1020227017371A KR102601356B1 (ko) | 2014-09-25 | 2015-09-21 | 강화된 인증을 통한 거래 검증 |
Country Status (5)
Country | Link |
---|---|
US (4) | US9363267B2 (ko) |
EP (1) | EP3198397B1 (ko) |
KR (3) | KR102257157B1 (ko) |
CN (2) | CN113794686B (ko) |
WO (1) | WO2016048915A1 (ko) |
Families Citing this family (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9363267B2 (en) | 2014-09-25 | 2016-06-07 | Ebay, Inc. | Transaction verification through enhanced authentication |
US9673979B1 (en) * | 2015-06-26 | 2017-06-06 | EMC IP Holding Company LLC | Hierarchical, deterministic, one-time login tokens |
US11816672B1 (en) * | 2015-09-22 | 2023-11-14 | Wells Fargo Bank, N.A. | Flexible authentication |
US10470043B1 (en) | 2015-11-19 | 2019-11-05 | Wells Fargo Bank, N.A. | Threat identification, prevention, and remedy |
US10462138B2 (en) * | 2016-02-19 | 2019-10-29 | Google Llc | Application programming interface access controls |
US10552442B1 (en) * | 2016-08-29 | 2020-02-04 | Amazon Technologies, Inc. | Stateful database application programming interface |
EP3306506B1 (en) | 2016-10-07 | 2018-08-15 | Axis AB | Authentication of a new device by a trusted device |
US10284556B1 (en) * | 2016-11-11 | 2019-05-07 | Symantec Corporation | Systems and methods for verifying authentication requests using internet protocol addresses |
US10803190B2 (en) | 2017-02-10 | 2020-10-13 | BlueTalon, Inc. | Authentication based on client access limitation |
US10672211B2 (en) * | 2017-08-31 | 2020-06-02 | BinBox, Inc. | Secure storage systems and methods |
US10785220B2 (en) | 2018-06-01 | 2020-09-22 | Bank Of America Corporation | Alternate user communication routing |
US10785214B2 (en) | 2018-06-01 | 2020-09-22 | Bank Of America Corporation | Alternate user communication routing for a one-time credential |
CN109003078B (zh) | 2018-06-27 | 2021-08-24 | 创新先进技术有限公司 | 基于区块链的智能合约调用方法及装置、电子设备 |
CN108898390B (zh) * | 2018-06-27 | 2021-01-12 | 创新先进技术有限公司 | 基于区块链的智能合约调用方法及装置、电子设备 |
US11178169B2 (en) * | 2018-12-27 | 2021-11-16 | Paypal, Inc. | Predicting online electronic attacks based on other attacks |
US11443052B2 (en) | 2019-03-21 | 2022-09-13 | Microsoft Technology Licensing, Llc | Secure area in a file storage system |
WO2020257547A1 (en) * | 2019-06-19 | 2020-12-24 | BinBox, Inc. | Secure storage systems and methods |
US11165787B2 (en) * | 2019-08-26 | 2021-11-02 | Bank Of America Corporation | System for authorization of electronic data access and processing functions within a distributed server network |
US11411731B2 (en) * | 2019-09-03 | 2022-08-09 | Fujitsu Limited | Secure API flow |
US11328041B2 (en) * | 2020-01-28 | 2022-05-10 | Dell Products L.P. | Computing system virtualization continuous authentication system |
WO2022168077A1 (en) * | 2021-02-03 | 2022-08-11 | Yaron Oliker | System and method of secured communication |
US20220343028A1 (en) * | 2021-04-23 | 2022-10-27 | Citrix Systems, Inc. | Application programming interface (api) call security |
US11882057B2 (en) | 2022-03-28 | 2024-01-23 | Bank Of America Corporation | Pluggable cloud security system |
CN114760133B (zh) * | 2022-04-15 | 2023-10-03 | 中国电信股份有限公司 | RESTful接口认证方法、装置、系统、设备及介质 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070150934A1 (en) | 2005-12-22 | 2007-06-28 | Nortel Networks Ltd. | Dynamic Network Identity and Policy management |
Family Cites Families (41)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7257836B1 (en) | 2000-04-24 | 2007-08-14 | Microsoft Corporation | Security link management in dynamic networks |
JP2004535118A (ja) * | 2001-05-25 | 2004-11-18 | アメリカ オンライン インコーポレーティッド | 主鍵のトラストの認可と副鍵の失効 |
US7100054B2 (en) * | 2001-08-09 | 2006-08-29 | American Power Conversion | Computer network security system |
US8332464B2 (en) | 2002-12-13 | 2012-12-11 | Anxebusiness Corp. | System and method for remote network access |
US20060235795A1 (en) * | 2005-04-19 | 2006-10-19 | Microsoft Corporation | Secure network commercial transactions |
US8996423B2 (en) * | 2005-04-19 | 2015-03-31 | Microsoft Corporation | Authentication for a commercial transaction using a mobile module |
US20070223685A1 (en) | 2006-02-06 | 2007-09-27 | David Boubion | Secure system and method of providing same |
US8112817B2 (en) | 2006-10-30 | 2012-02-07 | Girish Chiruvolu | User-centric authentication system and method |
US8255971B1 (en) * | 2008-03-03 | 2012-08-28 | Jpmorgan Chase Bank, N.A. | Authentication system and method |
AU2009222007A1 (en) * | 2008-03-04 | 2009-09-11 | Apple Inc. | System and method of authorizing execution of software code based on accessible entitlements |
JP5492218B2 (ja) | 2008-10-29 | 2014-05-14 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 隣接基地局間でのセルタイプ情報共有 |
JP5228943B2 (ja) * | 2009-01-27 | 2013-07-03 | 富士通株式会社 | 最小権限違反検出プログラム |
US8392982B2 (en) * | 2009-03-20 | 2013-03-05 | Citrix Systems, Inc. | Systems and methods for selective authentication, authorization, and auditing in connection with traffic management |
SE0950406A1 (sv) * | 2009-06-04 | 2010-10-05 | Accumulate Ab | Val av transaktionsfunktioner baserat på användaridentitet |
US8296568B2 (en) * | 2009-10-27 | 2012-10-23 | Google Inc. | Systems and methods for authenticating an electronic transaction |
EP2586241A4 (en) | 2010-06-23 | 2016-07-13 | Ericsson Telefon Ab L M | TRANSFER MANAGEMENT METHOD IN A COMMUNICATIONS NETWORK |
US9213709B2 (en) * | 2012-08-08 | 2015-12-15 | Amazon Technologies, Inc. | Archival data identification |
WO2013096601A1 (en) * | 2011-12-20 | 2013-06-27 | Visa International Service Association | Familiar dynamic human challenge response test content |
US9495227B2 (en) * | 2012-02-10 | 2016-11-15 | Twilio, Inc. | System and method for managing concurrent events |
US9225675B2 (en) * | 2012-08-08 | 2015-12-29 | Amazon Technologies, Inc. | Data storage application programming interface |
CN102916968B (zh) * | 2012-10-29 | 2016-01-27 | 北京天诚盛业科技有限公司 | 身份认证方法、身份认证服务器和身份认证装置 |
CN103020825B (zh) * | 2012-12-05 | 2016-05-11 | 福建派活园科技信息股份公司 | 一种基于软体客户端的安全支付认证方法 |
WO2014094033A1 (en) * | 2012-12-21 | 2014-06-26 | My Verified Id Limited | Computer implemented frameworks and methodologies for enabling identification verification in an online environment |
US8990917B2 (en) * | 2012-12-27 | 2015-03-24 | Alcatel Lucent | Authentication of applications that access web services |
US9374369B2 (en) * | 2012-12-28 | 2016-06-21 | Lookout, Inc. | Multi-factor authentication and comprehensive login system for client-server networks |
US9813307B2 (en) * | 2013-01-28 | 2017-11-07 | Rackspace Us, Inc. | Methods and systems of monitoring failures in a distributed network system |
KR101934025B1 (ko) * | 2013-02-22 | 2018-12-31 | 삼성전자주식회사 | 보안 정책을 적용하는 단말기, 서버 및 그 제어 방법 |
CN103312515B (zh) * | 2013-06-21 | 2016-04-20 | 百度在线网络技术(北京)有限公司 | 授权令牌的生成方法、生成装置、认证方法和认证系统 |
US9794339B2 (en) * | 2013-09-12 | 2017-10-17 | Data Accelerator Ltd. | Accelerated remote operation system API requests |
US8793359B1 (en) * | 2013-11-25 | 2014-07-29 | Software Ag | Systems and/or methods for intelligently detecting API key domains |
US9881304B2 (en) * | 2014-01-24 | 2018-01-30 | Ca, Inc. | Risk-based control of application interface transactions |
US9854001B1 (en) * | 2014-03-25 | 2017-12-26 | Amazon Technologies, Inc. | Transparent policies |
US9661013B2 (en) * | 2014-05-30 | 2017-05-23 | Ca, Inc. | Manipulating API requests to indicate source computer application trustworthiness |
US9363267B2 (en) | 2014-09-25 | 2016-06-07 | Ebay, Inc. | Transaction verification through enhanced authentication |
US10581977B2 (en) * | 2015-06-02 | 2020-03-03 | ALTR Solutions, Inc. | Computer security and usage-analysis system |
US10574699B1 (en) * | 2015-11-30 | 2020-02-25 | Amazon Technologies, Inc. | Load balancer request processing |
JP6617617B2 (ja) * | 2016-03-10 | 2019-12-11 | 富士通株式会社 | 管理装置、管理プログラム及び管理方法 |
US10362141B1 (en) * | 2016-03-29 | 2019-07-23 | Amazon Technologies, Inc. | Service group interaction management |
US10872136B2 (en) * | 2017-12-28 | 2020-12-22 | Paypal, Inc. | Using an NP-complete problem to deter malicious clients |
US11522867B2 (en) * | 2020-03-31 | 2022-12-06 | LendingClub Bank, National Association | Secure content management through authentication |
US20210397940A1 (en) * | 2020-06-10 | 2021-12-23 | Nvidia Corporation | Behavior modeling using client-hosted neural networks |
-
2014
- 2014-09-25 US US14/496,160 patent/US9363267B2/en active Active
-
2015
- 2015-09-21 KR KR1020177009711A patent/KR102257157B1/ko active IP Right Grant
- 2015-09-21 CN CN202110938816.9A patent/CN113794686B/zh active Active
- 2015-09-21 KR KR1020227017371A patent/KR102601356B1/ko active IP Right Grant
- 2015-09-21 CN CN201580052145.9A patent/CN106716343B/zh active Active
- 2015-09-21 KR KR1020217015323A patent/KR102402924B1/ko active IP Right Grant
- 2015-09-21 WO PCT/US2015/051281 patent/WO2016048915A1/en active Application Filing
- 2015-09-21 EP EP15843512.3A patent/EP3198397B1/en active Active
-
2016
- 2016-05-19 US US15/159,398 patent/US11075767B2/en active Active
-
2021
- 2021-07-07 US US17/369,260 patent/US11695576B2/en active Active
-
2023
- 2023-05-17 US US18/198,371 patent/US12041187B2/en active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070150934A1 (en) | 2005-12-22 | 2007-06-28 | Nortel Networks Ltd. | Dynamic Network Identity and Policy management |
Also Published As
Publication number | Publication date |
---|---|
EP3198397A4 (en) | 2018-05-30 |
KR20210062728A (ko) | 2021-05-31 |
CN106716343B (zh) | 2021-09-03 |
US20210336803A1 (en) | 2021-10-28 |
US11695576B2 (en) | 2023-07-04 |
WO2016048915A1 (en) | 2016-03-31 |
US9363267B2 (en) | 2016-06-07 |
EP3198397A1 (en) | 2017-08-02 |
KR102601356B1 (ko) | 2023-11-13 |
EP3198397B1 (en) | 2021-10-20 |
KR20220076529A (ko) | 2022-06-08 |
US20170214531A1 (en) | 2017-07-27 |
CN113794686A (zh) | 2021-12-14 |
KR102257157B1 (ko) | 2021-05-27 |
CN106716343A (zh) | 2017-05-24 |
US12041187B2 (en) | 2024-07-16 |
US11075767B2 (en) | 2021-07-27 |
US20230291580A1 (en) | 2023-09-14 |
KR20170062474A (ko) | 2017-06-07 |
US20160094551A1 (en) | 2016-03-31 |
CN113794686B (zh) | 2024-04-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR102402924B1 (ko) | 강화된 인증을 통한 거래 검증 | |
US10904234B2 (en) | Systems and methods of device based customer authentication and authorization | |
US11055385B2 (en) | Multi-factor user authentication framework using asymmetric key | |
US20240022431A1 (en) | Methods and systems for device authentication | |
US8214890B2 (en) | Login authentication using a trusted device | |
US11070556B2 (en) | Context-based possession-less access of secure information | |
US20150310427A1 (en) | Method, apparatus, and system for generating transaction-signing one-time password | |
US20180262471A1 (en) | Identity verification and authentication method and system | |
Saini | Comparative analysis of top 5, 2-factor authentication solutions | |
Fietkau et al. | Secure Authentication for Everyone! Enabling 2nd-Factor Authentication Under Real-World Constraints | |
Fitria | Banking Malware Attacks and Security Solutions Review | |
Salminen | Strong authentication based on mobile application |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A107 | Divisional application of patent | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |