KR102439782B1 - 호스팅된 인증 서비스를 구현하기 위한 시스템 및 방법 - Google Patents

호스팅된 인증 서비스를 구현하기 위한 시스템 및 방법 Download PDF

Info

Publication number
KR102439782B1
KR102439782B1 KR1020177003592A KR20177003592A KR102439782B1 KR 102439782 B1 KR102439782 B1 KR 102439782B1 KR 1020177003592 A KR1020177003592 A KR 1020177003592A KR 20177003592 A KR20177003592 A KR 20177003592A KR 102439782 B1 KR102439782 B1 KR 102439782B1
Authority
KR
South Korea
Prior art keywords
authentication
hosted
authentication service
key
assertions
Prior art date
Application number
KR1020177003592A
Other languages
English (en)
Other versions
KR20170041741A (ko
Inventor
다비트 바크다사리안
Original Assignee
노크 노크 랩스, 인코포레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 노크 노크 랩스, 인코포레이티드 filed Critical 노크 노크 랩스, 인코포레이티드
Publication of KR20170041741A publication Critical patent/KR20170041741A/ko
Application granted granted Critical
Publication of KR102439782B1 publication Critical patent/KR102439782B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/80Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information

Abstract

호스팅된 인증 서비스를 위한 시스템, 장치, 방법, 및 기계 판독 가능 매체가 기재된다. 예를 들어, 시스템의 일 실시예는: 신뢰자들에 대한 인증 서비스를 제공하는 호스팅된 인증 서비스 - 호스팅된 인증 서비스는 신뢰자와 키를 공유함으로써 상기 신뢰자를 등록함 -; 및 상기 신뢰자에 의해 호스팅된 애플리케이션 내에 삽입되는 제1 프로그램 코드 컴포넌트 - 상기 제1 프로그램 코드 컴포넌트는 상기 애플리케이션에 액세스하는 클라이언트 장치로 하여금 인증 관련 기능들을 위하여 상기 호스팅된 인증 서비스로 재지향되도록 함 - 를 포함하고, 상기 호스팅된 인증 서비스는 상기 클라이언트 장치와 상기 호스팅된 인증 서비스 사이에서 일어나는 인증 관련 이벤트들을 명시하는 하나 이상의 표명을 상기 신뢰자에게 전송하고, 상기 신뢰자는 상기 키를 이용하여 상기 표명들을 확인한다.

Description

호스팅된 인증 서비스를 구현하기 위한 시스템 및 방법{SYSTEM AND METHOD FOR IMPLEMENTING A HOSTED AUTHENTICATION SERVICE}
본 발명은 일반적으로 데이터 처리 시스템의 분야에 관한 것이다. 더 구체적으로, 본 발명은 호스팅된 인증 서비스를 구현하기 위한 시스템 및 방법에 관한 것이다.
생체 측정 센서(biometric sensor)들을 이용하여 네트워크를 통해 보안 사용자 인증을 제공하기 위한 시스템들이 또한 설계되어 왔다. 그러한 시스템들에서는, 원격 서버에 대해 사용자를 인증하기 위해, 인증기에 의해 생성된 점수, 및/또는 다른 인증 데이터가 네트워크를 통해 전송될 수 있다. 예로서, 미국 특허 출원 제2011/0082801호("'801 출원")는 강한 인증(예로서, 신분 도용 및 피싱에 대한 보호), 보안 트랜잭션(예로서, 트랜잭션에 대한 "브라우저 내 멀웨어(malware in the browser)" 및 "중간자(man in the middle)" 공격에 대한 보호) 및 클라이언트 인증 토큰의 등재/관리(예로서, 지문 판독기, 얼굴 인식 장치, 스마트카드, 신뢰 플랫폼 모듈 등)를 제공하는 네트워크 상에서의 사용자 등록 및 인증을 위한 프레임워크를 설명한다.
본 출원의 양수인은 '801 출원에서 설명된 인증 프레임워크에 대한 다양한 개량을 개발하였다. 이러한 개량들 중 일부는 본 양수인에게 양도된 다음과 같은 미국 특허 출원들의 세트에서 설명된다: 제13/730,761호, 인증 능력들을 결정하기 위한 조회 시스템 및 방법(Query System and Method to Determine Authentication Capabilities); 제13/730,776호, 다수의 인증 장치들로 효율적으로 등록, 기록, 및 인증하기 위한 시스템 및 방법(System and Method for Efficiently Enrolling, Registering, and Authenticating With Multiple Authentication Devices); 제13/730,780호, 인증 프레임워크 내에서 랜덤 챌린지들을 처리하기 위한 시스템 및 방법(System and Method for Processing Random Challenges Within an Authentication Framework); 제13/730,791호, 인증 프레임워크 내에서 프라이버시 클래스들을 구현하기 위한 시스템 및 방법(System and Method for Implementing Privacy Classes Within an Authentication Framework); 제13/730,795호, 인증 프레임워크 내에서 트랜잭션 시그널링을 구현하기 위한 시스템 및 방법(System and Method for Implementing Transaction Signaling Within an Authentication Framework); 및 제14/218,504호, 진보된 인증 기술들 및 응용들(Advanced Authentication Techniques and Applications)(이하, "'504 출원"). 이러한 출원들은 때때로 본 명세서에서 ("공계류 중인 출원들")로 지칭된다.
간단히, 공계류 중인 출원들은 사용자가 클라이언트 장치 상의 생체 측정 장치들(예를 들어, 지문 센서들)과 같은 인증 장치들(또는 인증기들)에 등록하는 인증 기술들을 설명한다. 사용자가 생체 장치에 등록할 때, (예를 들어, 손가락 스와이핑, 사진 스냅핑, 음성 기록 등에 의해) 생체 참조 데이터가 캡처된다. 이어서, 사용자는 네트워크를 통해 하나 이상의 서버(예를 들어, 공계류 중인 출원들에서 설명된 바와 같은 보안 트랜잭션 서비스들을 갖춘 웹사이트 또는 다른 신뢰자(relying party))에 인증 장치들을 등록/프로비저닝한 후에; 등록 프로세스 동안 교환된 데이터(예를 들어, 인증 장치들 내에 프로비저닝된 암호 키들)를 이용하여 그러한 서버들에서 인증받을 수 있다. 일단 인증되면, 사용자는 웹사이트 또는 다른 신뢰자와 하나 이상의 온라인 트랜잭션을 수행하는 것이 허가된다. 공계류 중인 출원들에서 설명된 프레임워크에서는, 사용자를 고유하게 식별하는 데 사용될 수 있는 지문 데이터 및 다른 데이터와 같은 민감한 정보를 사용자의 인증 장치 상에 국지적으로 유지하여 사용자의 프라이버시를 보호할 수 있다.
'504 출원은, 단지 몇 가지 예로, 복합 인증기들을 설계하고, 인증 보증 레벨들을 지능적으로 생성하고, 비간섭적(non-intrusive) 사용자 검증을 이용하고, 인증 데이터를 새로운 인증 장치들로 전송하고, 인증 데이터를 클라이언트 리스크 데이터로 증대시키고, 인증 정책들을 적응적으로 적용하고, 신뢰 고리들을 생성하기 위한 기술들을 비롯한 다양한 추가 기술들을 설명한다.
아래의 도면들과 관련된 아래의 상세한 설명으로부터 본 발명의 더 양호한 이해가 얻어질 수 있으며, 도면들에서:
도 1a 및 도 1b는 보안 인증 시스템 아키텍처의 2개의 상이한 실시예를 나타낸다.
도 2는 키들이 어떻게 인증 장치들 내에 등록될 수 있는지를 보여주는 트랜잭션 도면이다.
도 3은 원격 인증을 보여주는 트랜잭션 도면을 나타낸다.
도 4는 호스팅된 인증 서비스를 구현하기 위한 시스템의 일 실시예를 나타낸다.
도 5는 신뢰자를 호스팅된 인증 서비스에 등록하기 위한 방법의 일 실시예를 나타낸다.
도 6은 호스팅된 인증 서비스를 이용하기 위한 방법의 일 실시예를 나타낸다.
도 7은 서버들 및/또는 클라이언트들을 위해 사용되는 컴퓨터 아키텍처의 일 실시예를 나타낸다.
도 8은 서버들 및/또는 클라이언트들을 위해 사용되는 컴퓨터 아키텍처의 일 실시예를 나타낸다.
아래에서는 진보된 인증 기술들 및 관련 응용들을 구현하기 위한 기기, 방법 및 기계 판독 가능 매체의 실시예들이 설명된다. 설명 전반에서, 설명의 목적으로, 본 발명의 완전한 이해를 제공하기 위해, 다수의 구체적인 상세 사항들이 설명된다. 그러나, 본 발명은 이러한 구체적인 상세 사항들 중 일부가 없이도 실시될 수 있다는 것이 통상의 기술자에게 명백할 것이다. 다른 경우들에서, 본 발명의 기본 원리들을 불명확하게 하지 않기 위해 주지 구조들 및 장치들은 도시되지 않거나 블록도 형태로 도시된다.
하기에 논의되는 본 발명의 실시예들은 생체 양상 또는 PIN 엔트리와 같은 사용자 검증 능력을 갖는 인증 장치들을 포함한다. 이러한 장치들은 때때로 본 명세서에서 "토큰", "인증 장치" 또는 "인증기"로 지칭된다. 소정 실시예들이 얼굴 인식 하드웨어/소프트웨어(예를 들어, 사용자의 얼굴을 인식하고 사용자의 눈 움직임을 추적하기 위한 카메라 및 관련 소프트웨어)에 집중되지만, 일부 실시예들은 예를 들어 지문 센서, 음성 인식 하드웨어/소프트웨어(예를 들어, 사용자의 음성을 인식하기 위한 마이크 및 관련 소프트웨어) 및 광학 인식 능력(예를 들어, 사용자의 망막을 스캐닝하기 위한 광학 스캐너 및 관련 소프트웨어)을 비롯한 추가 생체 장치들을 이용할 수 있다. 사용자 검증 능력은 PIN 엔트리와 같은 비생체 양상도 포함할 수 있다. 인증기들은 암호 동작 및 키 저장을 위해 신뢰 플랫폼 모듈(TPM), 스마트카드 및 보안 요소와 같은 장치들을 이용할 수 있다.
이동 생체 구현에서, 생체 장치는 신뢰자로부터 원격적일 수 있다. 본 명세서에서 사용되는 바와 같이, 용어 "원격"은 생체 측정 센서가 그것이 통신적으로 결합되는 컴퓨터의 보안 경계의 일부가 아니라는 것을 의미한다(예를 들어, 그것이 신뢰자 컴퓨터와 동일한 물리적 울타리 안에 넣어지지 않는다). 예로서, 생체 장치는 네트워크(예를 들어, 인터넷, 무선 네트워크 링크 등)를 통해 또는 USB 포트와 같은 주변장치 입력을 통해 신뢰자에 결합될 수 있다. 이러한 조건들하에서는, 신뢰자가 장치가 신뢰자에 의해 허가된 장치(예를 들어, 허용 가능한 레벨의 인증 강도 및 무결성 보호를 제공하는 장치)인지 그리고/또는 해커가 생체 장치를 손상시켰거나 심지어는 교체했는지를 알기 위한 방법이 존재하지 않을 수 있다. 생체 장치의 신뢰성은 장치의 특정 구현에 의존한다.
용어 "국지적"은 본 명세서에서 사용자가 ATM(automatic teller machine) 또는 POS(point of sale) 소매 체크아웃 위치와 같은 특정 위치에서 트랜잭션을 몸소 완료하고 있다는 사실을 지칭하는 데 사용된다. 그러나, 하기에 논의되는 바와 같이, 사용자를 인증하는 데 이용되는 인증 기술들은 원격 서버들 및/또는 다른 데이터 처리 장치들과의 네트워크를 통한 통신과 같은 비위치 컴포넌트들을 포함할 수 있다. 더욱이, 본 명세서에서는 (ATM 및 소매 위치와 같은) 특정 실시예들이 설명되지만, 본 발명의 기본 원리들은 트랜잭션이 최종 사용자에 의해 국지적으로 개시되는 임의의 시스템의 상황 안에서 구현될 수 있다는 점에 유의해야 한다.
용어 "신뢰자"는 때때로 본 명세서에서 사용자 트랜잭션이 시도되는 엔티티(예를 들어, 사용자 트랜잭션을 수행하는 웹사이트 또는 온라인 서비스)뿐만 아니라, 본 명세서에서 설명되는 기본 인증 기술들을 수행할 수 있는 그러한 엔티티를 대신하여 구현되는 것으로 때때로 지칭되는 보안 트랜잭션 서버들도 지칭하는 데 사용된다. 보안 트랜잭션 서버들은 신뢰자에 의해 소유되고/되거나 그의 제어하에 있을 수 있거나, 사업 협정의 일부로서 신뢰자에게 보안 트랜잭션 서비스들을 제공하는 제삼자의 제어하에 있을 수 있다.
용어 "서버"는 본 명세서에서 클라이언트로부터 네트워크를 통해 요청들을 수신하고, 그에 응답하여 하나 이상의 동작을 수행하고, 전형적으로 동작들의 결과들을 포함하는 응답을 클라이언트로 전송하는 하드웨어 플랫폼 상에서(또는 다수의 하드웨어 플랫폼에 걸쳐) 실행되는 소프트웨어를 지칭하는 데 사용된다. 서버는 클라이언트 요청들에 응답하여 네트워크 "서비스"를 클라이언트들로 제공하거나, 제공하는 것을 돕는다. 중요하게, 서버는 단일 컴퓨터(예를 들어, 서버 소프트웨어를 실행하기 위한 단일 하드웨어 장치)로 한정되지 않으며, 사실상 다수의 하드웨어 플랫폼에 걸쳐, 잠재적으로는 다수의 지리학적 위치에 분산될 수 있다.
예시적인 시스템 아키텍처 및 트랜잭션
도 1a 및 도 1b는 인증 장치들을 등록하고(또한 때때로 "프로비저닝"으로 지칭됨) 사용자를 인증하기 위한 클라이언트측 및 서버측 컴포넌트들을 포함하는 시스템 아키텍처의 2개의 실시예를 나타낸다. 도 1a에 도시된 실시예는 웹사이트와 통신하기 위해 웹 브라우저 플러그인 기반 아키텍처를 이용하는 반면, 도 1b에 도시된 실시예는 웹 브라우저를 필요로 하지 않는다. 사용자를 인증 장치들에 등록하고, 인증 장치들을 보안 서버에 등록하고, 사용자를 검증하는 것과 같은, 본 명세서에서 설명되는 다양한 기술들은 이러한 시스템 아키텍처들 중 어느 것에서도 구현될 수 있다. 따라서, 도 1a에 도시된 아키텍처는 후술하는 실시예들 중 여러 실시예의 동작을 설명하는 데 사용되지만, 동일한 기본 원리들은(예를 들어, 서버(130)와 클라이언트 상의 보안 트랜잭션 서비스(101) 간의 통신을 위한 매개물로서의 브라우저 플러그인(105)을 제거함으로써) 도 1b에 도시된 시스템 상에서 쉽게 구현될 수 있다.
먼저, 도 1a를 참조하면, 도시된 실시예는 최종 사용자를 등록 및 검증하기 위한 (때때로 당업계에서 인증 "토큰" 또는 "인증기"로 지칭되는) 하나 이상의 인증 장치들(110 내지 112)을 구비한 클라이언트(100)를 포함한다. 전술한 바와 같이, 인증 장치들(110 내지 112)은 지문 센서, 음성 인식 하드웨어/소프트웨어(예를 들어, 사용자의 음성을 인식하기 위한 마이크 및 관련 소프트웨어), 얼굴 인식 하드웨어/소프트웨어(예를 들어, 사용자의 얼굴을 인식하기 위한 카메라 및 관련 소프트웨어) 및 광학 인식 능력(예를 들어, 사용자의 망막을 스캐닝하기 위한 광학 스캐너 및 관련 소프트웨어)과 같은 생체 장치, 및 PIN 검증과 같은 비생체 양상들에 대한 지원을 포함할 수 있다. 인증 장치들은 암호 동작들 및 키 저장을 위해 신뢰 플랫폼 모듈(TPM), 스마트카드 또는 보안 요소를 이용할 수 있다.
인증 장치들(110 내지 112)은 보안 트랜잭션 서비스(101)에 의해 노출되는 인터페이스(102)(예를 들어, 애플리케이션 프로그래밍 인터페이스 또는 API)를 통해 클라이언트에 통신적으로 결합된다. 보안 트랜잭션 서비스(101)는 네트워크를 통해 하나 이상의 보안 트랜잭션 서버(132, 133)와 통신하기 위한 그리고 웹 브라우저(104)의 상황 내에서 실행되는 보안 트랜잭션 플러그인(105)과 인터페이스하기 위한 보안 애플리케이션이다. 도시된 바와 같이, 인터페이스(102)는 장치 식별 코드, 사용자 식별 코드, 인증 장치에 의해 보호되는 사용자 등록 데이터(예를 들어, 스캐닝된 지문 또는 다른 생체 데이터), 및 본 명세서에서 설명되는 보안 인증 기술들을 수행하는 데 사용되는 인증 장치에 의해 봉인된 키들과 같은, 인증 장치들(110 내지 112) 각각과 관련된 정보를 저장하는 클라이언트(100) 상의 보안 저장 장치(120)에 대한 보안 액세스도 제공할 수 있다. 예를 들어, 하기에 상세히 논의되는 바와 같이, 고유 키가 인증 장치들 각각 내에 저장되고, 인터넷과 같은 네트워크를 통해 서버들(130)에 통신할 때 사용될 수 있다.
하기에 논의되는 바와 같이, 웹사이트들(131) 또는 다른 서버들과의 HTTP 또는 HTTPS 트랜잭션들과 같은 소정 타입의 네트워크 트랜잭션들이 보안 트랜잭션 플러그인(105)에 의해 지원된다. 일 실시예에서, 보안 트랜잭션 플러그인은 보안 기업 또는 웹 목적지(130)(아래에서 때때로 간단히 "서버(130)"로 지칭됨) 내의 웹 서버(131)에 의해 웹페이지의 HTML 코드 내에 삽입된 특정 HTML 태그들에 응답하여 개시된다. 그러한 태그의 검출에 응답하여, 보안 트랜잭션 플러그인(105)은 처리를 위해 트랜잭션들을 보안 트랜잭션 서비스(101)로 전송할 수 있다. 게다가, (예를 들어, 보안 키 교환과 같은) 소정 유형의 트랜잭션들을 위해, 보안 트랜잭션 서비스(101)는 구내(즉, 웹사이트와 같은 곳에 배치된) 트랜잭션 서버(132)와의 또는 구외 트랜잭션 서버(133)와의 직접 통신 채널을 개설할 수 있다.
보안 트랜잭션 서버들(132, 133)은 후술하는 보안 인증 트랜잭션들을 지원하는 데 필요한 사용자 데이터, 인증 장치 데이터, 키들 및 다른 보안 정보를 저장하기 위한 보안 트랜잭션 데이터베이스(120)에 결합된다. 그러나, 본 발명의 기본 원리들은 도 1a에 도시된 보안 기업 또는 웹 목적지(130) 내의 논리 컴포넌트들의 분리를 필요로 하지 않는다는 점에 유의해야 한다. 예를 들어, 웹사이트(131) 및 보안 트랜잭션 서버들(132, 133)은 단일 물리 서버 또는 개별 물리 서버들 내에 구현될 수 있다. 더욱이, 웹사이트(131) 및 트랜잭션 서버들(132, 133)은 후술하는 기능들을 수행하기 위해 하나 이상의 서버 상에서 실행되는 통합 소프트웨어 모듈 내에 구현될 수 있다.
전술한 바와 같이, 본 발명의 기본 원리들은 도 1a에 도시된 브라우저 기반 아키텍처로 한정되지 않는다. 도 1b는 독립 애플리케이션(154)이 보안 트랜잭션 서비스(101)에 의해 제공되는 기능을 이용하여 네트워크를 통해 사용자를 인증하는 대안 구현예를 나타낸다. 일 실시예에서, 애플리케이션(154)은 아래에서 상세히 설명되는 사용자/클라이언트 인증 기술들을 수행하기 위해 보안 트랜잭션 서버들(132, 133)에 의존하는 하나 이상의 네트워크 서비스(151)와의 통신 세션들을 설정하도록 설계된다.
도 1a 및 도 1b에 도시된 실시예들 중 어느 하나에서, 보안 트랜잭션 서버들(132, 133)은 키들을 생성할 수 있고, 이어서 이 키들은 보안 트랜잭션 서비스(101)로 안전하게 전송되고, 보안 저장소(120) 내에 인증 장치들 내로 저장된다. 게다가, 보안 트랜잭션 서버들(132, 133)은 서버 측의 보안 트랜잭션 데이터베이스(120)를 관리한다.
원격으로 인증 장치들을 등록하고 신뢰자를 인증하는 것과 연관된 특정 기본 원리들이 도 2 또는 도 3에 대하여 기술되고, 이어서 보안 통신 프로토콜을 이용하여 신뢰를 구축하기 위한 발명의 실시예들의 상세한 설명이 기재될 것이다.
도 2는 클라이언트 상의 인증 장치들(예컨대 도 1a 및 도 1b의 클라이언트(100) 상의 디바이스들(110 내지 112))을 등록하기(때때로 인증 장치들을 "프로비저닝"하는 것으로 지칭됨) 위한 일련의 트랜잭션들을 나타낸다. 단순화를 위해, 보안 트랜잭션 서비스(101) 및 인터페이스(102)는 인증 클라이언트(201)로서 함께 조합되고, 보안 트랜잭션 서버들(132, 133)을 포함하는 보안 기업 또는 웹 목적지(130)는 신뢰자(202)로서 표현된다.
인증기(예를 들어, 지문 인증기, 음성 인증기 등)의 등록 동안, 인증기와 연관된 키는 인증 클라이언트(201)와 신뢰자(202) 사이에서 공유된다. 도 1a 및 도 1b를 다시 참조하면, 키는 클라이언트(100)의 보안 저장소(120) 및 보안 트랜잭션 서버들(132, 133)에 의해 사용되는 보안 트랜잭션 데이터베이스(120) 내에 저장될 수 있다. 일 실시예에서, 키는 보안 트랜잭션 서버들(132, 133) 중 하나에 의해 생성되는 대칭 키이다. 그러나, 하기에 논의되는 다른 실시예에서는, 비대칭 키들이 사용된다. 이 실시예에서, 공개/비공개 키 쌍은 보안 트랜잭션 서버들(132, 133)에 의해 생성될 수 있다. 이어서, 공개 키는 보안 트랜잭션 서버들(132, 133)에 의해 저장될 수 있으며, 관련 비공개 키는 클라이언트 상의 보안 저장소(120) 내에 저장될 수 있다. 대안적인 실시예에서, 키(들)는 클라이언트(100) 상에서 (예를 들어, 보안 트랜잭션 서버들(132, 133)보다는 인증 장치 또는 인증 장치 인터페이스에 의해) 생성될 수 있다. 본 발명의 기본 원리들은 임의의 특정 타입의 키들 또는 키들을 생성하는 방식으로 한정되지 않는다.
보안 키 프로비저닝 프로토콜은 일 실시예에서 보안 통신 채널을 통해 클라이언트와 키를 공유하는 데 채용된다. 키 프로비저닝 프로토콜의 일례는 동적 대칭 키 프로비저닝 프로토콜(DSKPP)(예를 들어, RFC(Request for Comments) 6063 참조)이다. 그러나, 본 발명의 기본 원리들은 임의의 특정 키 프로비저닝 프로토콜로 한정되지 않는다. 하나의 특정 실시예에서, 클라이언트는 공개/비공개 키 쌍을 생성하여 공개 키를 서버로 전송하며, 이는 증명 키로 증명될 수 있다.
도 2에 도시된 구체적인 상세들로 돌아가서, 등록 프로세스를 개시하기 위하여, 신뢰자(202)는 장치 등록 동안 인증 클라이언트(201)에 의해 제시되어야 하는 랜덤 생성 챌린지(예를 들어, 암호 논스)를 생성한다. 랜덤 챌린지는 제한된 기간 동안 유효할 수 있다. 이에 응답하여, 인증 클라이언트(201)는 신뢰자(202)와의 대역외 보안 접속(예를 들어, 대역외 트랜잭션)을 개시하고, 키 프로비저닝 프로토콜(예를 들어, 전술한 DSKPP 프로토콜)을 이용하여 신뢰자(202)와 통신한다. 보안 접속을 개시하기 위하여, 인증 클라이언트(201)는 랜덤 챌린지를 다시 신뢰자(202)에 제공할 수 있다(잠재적으로는 랜덤 챌린지에 대해 생성된 서명과 함께). 게다가, 인증 클라이언트(201)는 (예를 들어, 프로비저닝되는 인증 장치(들)의 타입을 고유하게 식별하는 인증 증명 ID(AAID)를 이용하여) 프로비저닝될 등록될 사용자의 아이덴티티(예를 들어, 사용자 ID 또는 다른 코드) 및 인증 장치(들)의 아이덴티티를 전송할 수 있다.
신뢰자는 사용자 이름 또는 ID 코드(예를 들어, 사용자 계정 데이터베이스)를 이용하여 사용자를 찾고, (예를 들어, 서명을 사용하거나, 단순히 랜덤 챌린지를 전송된 것과 비교함으로써) 랜덤 챌린지를 확인하고, 하나가 전송되었으면(예를 들어, AAID) 인증 장치의 인증 코드를 확인하고, 사용자 및 인증 장치(들)에 대해 보안 트랜잭션 데이터베이스(예를 들어, 도 1a 및 도 1b의 데이터베이스(120)) 내의 새로운 엔트리를 생성한다. 일 실시예에서, 신뢰자는 그것이 인증을 허용하는 인증 장치들의 데이터베이스를 유지한다. 그것은 프로비저닝되는 인증 장치(들)가 인증에 허용 가능한지 여부를 결정하기 위해 AAID(또는 다른 인증 장치(들) 코드)로 이 데이터베이스에 문의할 수 있다. 만약 그러한 경우, 그것은 등록 프로세스를 계속할 것이다.
일 실시예에서, 신뢰자(202)는 프로비저닝되는 각각의 인증 장치에 대한 인증 키를 생성한다. 그것은 키를 보안 데이터베이스에 기록하고, 키 프로비저닝 프로토콜을 사용하여 키를 인증 클라이언트(201)로 다시 전송한다. 일단 완료되면, 인증 장치와 신뢰자(202)는 대칭 키가 사용된 경우에는 동일 키를, 또는 비대칭 키들이 사용된 경우에는 상이한 키들을 공유한다. 예를 들어, 비대칭 키들이 사용된 경우, 신뢰자(202)는 공개 키를 저장하고 비공개 키를 인증 클라이언트(201)에 제공할 수 있다. 신뢰자(202)로부터 비공개 키를 수신하면, 인증 클라이언트(201)는 인증 장치 내로 키를 프로비저닝한다(그것을 인증 장치와 연관된 보안 저장소 내에 저장함). 이어서 그것은 (후술하는 바와 같이) 사용자의 인증 동안 키를 사용할 수 있다. 대안 실시예에서, 키(들)는 인증 클라이언트(201)에 의해 생성되고, 키 프로비저닝 프로토콜은 키(들)를 신뢰자(202)에 제공하는 데 사용된다. 어느 경우이든, 프로비저닝이 완료되면, 인증 클라이언트(201) 및 신뢰자(202)는 각각 키를 갖고, 인증 클라이언트(201)는 신뢰자에게 완료를 통지한다.
도 3은 프로비저닝된 인증 장치들을 이용한 사용자 인증을 위한 일련의 트랜잭션들을 나타낸다. 장치 등록이 완료되면(도 2에 설명된 바와 같이), 신뢰자(202)는 유효한 인증 응답으로서 클라이언트 상의 국지적 인증 장치에 의해 생성된 인증 응답(때때로 "토큰"으로 지칭됨)을 허용할 것이다.
도 3에 도시된 구체적인 상세들로 돌아가서, 사용자가 인증을 필요로 하는 신뢰자(202)와의 트랜잭션을 개시하는 것(예를 들어, 신뢰자의 웹사이트로부터 지불을 개시하는 것, 개인 사용자 계정 데이터에 액세스하는 것 등)에 응답하여, 신뢰자(202)는 랜덤 챌린지(예를 들어, 암호 논스)를 포함하는 인증 요청을 생성한다. 일 실시예에서, 랜덤 챌린지는 그와 연관된 시간 제한을 갖는다(예를 들어, 그것은 특정된 기간 동안 유효하다). 신뢰자는 또한 인증을 위해 인증 클라이언트(201)에 의해 사용될 인증기를 식별할 수 있다. 전술한 바와 같이, 신뢰자는 클라이언트 상에서 이용가능한 각각의 인증 장치를 프로비저닝할 수 있고 각각의 프로비저닝된 인증기에 대한 공개 키를 저장한다. 따라서, 그것은 인증기의 공개 키를 사용할 수 있거나, 또는 인증기 ID(예를 들어, AAID)를 사용하여 사용될 인증기를 식별할 수 있다. 대안적으로, 그것은 사용자가 선택할 수 있는 인증 옵션들의 목록을 클라이언트에 제공할 수 있다.
인증 요청의 수신에 응답하여, 사용자는 (예를 들어, 웹 페이지 또는 인증 애플리케이션/앱의 GUI 의 형태로) 인증을 요청하는 그래픽 사용자 인터페이스(GUI)를 제시받을 수 있다. 이어서 사용자는 인증을 수행한다(예를 들어, 지문 판독기 상에서 손가락을 스와이핑하는 등). 이에 응답하여, 인증 클라이언트(201)는 인증기와 연관된 비공개 키를 이용해 랜덤 챌린지에 대한 서명을 포함하는 인증 응답을 생성한다. 그것은 또한 인증 응답 내에 사용자 ID 코드와 같은 다른 관련 데이터를 포함할 수 있다.
인증 응답을 수신하면, 신뢰자는 (예를 들어, 인증기와 연관된 공개 키를 사용하여) 랜덤 챌린지에 대한 서명을 확인하고 사용자의 신원을 확인할 수 있다. 일단 인증이 완료되면, 도시된 바와 같이, 신뢰자와의 보안 트랜잭션에 들어가도록 허용된다.
전송 계층 보안(Transport Layer Security; TLS) 또는 보안 소켓 계층(Secure Sockets Layer; SSL)과 같은 보안 통신 프로토콜이, 도 2 및 도 3에 도시된 트랜잭션들 중 임의의 것 또는 전부에 대해 신뢰자(201)와 인증 클라이언트(202) 사이의 보안 접속을 설정하는 데 사용될 수 있다.
호스팅된 인증 서비스를 구현하기 위한 시스템 및 방법
본 발명의 일 실시예는 다수의 신뢰자들에 병렬로 완전 인증 서버 기능을 제공하지만, 신뢰자 개발자에 의한 최소한의 통합 노력을 요구하는 호스팅된 인증 서비스를 포함한다.
통상적인 인증 서버 구현예들은 신뢰자의 네트워크 기반구조 내에 활용된다. 이는 중요한 보안 자산이 자신들만의 기반구조 외부로 반출되지 않도록 하는 정책을 갖는 큰 조직을 위한 공통 활용 옵션이다. 그러나 인증 서버를 기존의 기반구조에 통합시키는 것은 쉬운 업무가 아니며 상당한 투자를 필요로 할 수 있다.
일부 신뢰자들은 그러한 투자를 포기하고 대신에 동일한 인증 서버 능력을 제공하면서 통합의 복잡함을 숨기는 호스팅된 인증 서비스와의 통합을 선호할 수 있다. 그러나, 호스팅된 인증 서비스들이 수용되기에 충분한 보안 메커니즘들이 준비되어야 한다.
도 4에 나타난 바와 같이, 본 발명의 일 실시예는 위에서 언급한 인증 능력을 제공하기 위하여 네트워크(예를 들어, 인터넷)를 통해 신뢰자(430)에 통신적으로 결합된 온라인 시스템으로서 구현된 호스팅된 인증 서비스(HAS)(450)를 포함한다. 도시된 바와 같이, HAS 기반 아키텍처는 3개의 컴포넌트를 포함한다: 신뢰자(RP) 웹 애플리케이션(440); 호스팅된 인증 서비스(450); 및 인증기(들)(465), 인증 클라이언트(462), 및 브라우저 또는 애플리케이션(461)으로 구성된 클라이언트 장치(460).
일 실시예에서, RP 웹 애플리케이션(440)은 웹 기반 온라인 서비스, 예컨대, 금융 기관 웹사이트, 소셜 네트워크 웹사이트, 웹 기반 이메일 서비스, 웹 기반 엔터테인먼트 포탈 등이다. 그것은 웹 애플리케이션(440) 및 로그인 시스템에 의해 제공되는 서비스에 가입한 사용자(435)의 데이터베이스를 갖는다. RP 웹 애플리케이션(440)은 통상적으로 프론트 엔드 컴포넌트(441) 및 백 엔드 컴포넌트(442)로 설계된다. 프론트 엔드 컴포넌트(441)는 사용자 요청에 응답하여 동적으로 웹 페이지를 생성하기 위하여 HTML(Hypertext Markup Language) 코드 또는 기타 웹 기반 코드로 구현된 웹 서버일 수 있다. 백 엔드 컴포넌트(442)는 통상적으로 하나 이상의 데이터베이스(435)에 액세스하고, 프론트 엔드 컴포넌트(441)에 의해 생성되는 웹 페이지에 사용되는 기본 데이터를 검색 및/또는 생성하기 위한 비지니스 로직(business logic)을 포함한다. 예를 들어, 신뢰자가 금융 기관인 경우, 백 엔드 코드(442)는 사용자 요청에 응답하여 계정 데이터를 포함하는 데이터베이스(435)에 액세스할 수 있다. 이어서 백 엔드 컴포넌트(442)는 계정 데이터를 이용하여 계산을 수행하고/하거나 단순히 계정 데이터를 프론트 엔드 컴포넌트(441)를 제공할 수 있고, 이는 이후에 계정 데이터 또는 웹 페이지 내의 계정 데이터를 이용하여 수행되는 계산을 포함할 것이다. 기본 데이터가 사용자에게 표시되는 방식은 통상적으로 프론트 엔드 컴포넌트(441)에 의해 정의된다.
일 실시예에서, 호스팅된 인증 서비스(450)는 신뢰자들(430)을 대신하여 활용되는 인증 서버(455)를 갖는 온라인 서비스이다. 이전에 논의된 바와 같이, 인증 클라이언트(462)를 갖춘 클라이언트 장치(460)는 그것의 인증기(465)를 인증 서버(455)에 등록할 수 있다(예를 들어, 도 2 참조). 이어서 인증기들(465)과 연관된 키 및 기타 증명서는 인증 서버(455)에 의해 보안 저장소(456)에 저장될 수 있다(그리고 도 3에 예시된 바와 같이 검색되어 최종 사용자를 인증함). 일 실시예에서, 도 4에 예시된, 호스팅된 인증 서비스(450)는 또한 다수의 RP 웹 애플리케이션들(440)에 대한 등록된 인증 증명서들(인증 등록)을 저장하기 위한 데이터베이스(452)를 유지한다.
언급한 바와 같이, 클라이언트 장치(460)는 인증 클라이언트(462)를 구비하고 인증기(465)에 액세스하는 랩톱, 태블릿, 전화기, 또는 임의의 기타 데이터 처리 장치일 수 있다. 클라이언트 장치는 또한 신뢰자들(430)에 의해 제공되는 서비스들에 액세스하는(예를 들어, 신뢰자 웹사이트 또는 다른 형태의 온라인 서비스에 액세스하는) 브라우저 또는 애플리케이션(461)을 포함한다.
도 4는 RP 웹 애플리케이션(440)은 호스팅된 인증 서비스(아래에 논의됨)와 대역외 연관성을 갖고, RP 웹 애플리케이션의 웹 페이지는 호스팅된 인증 서비스(450)와의 통신을 관리하는 일 실시예를 나타낸다. 도 4에 나타난 호스팅된 인증 아키텍처는 RP 웹 애플리케이션 개발자들에게 많은 이익을 제공한다. 특히, 사용자들은 임의의 기타 인증 기반 웹 애플리케이션을 이용하는 것과 동일한 사용자 경험을 갖는다. 또한, 신뢰자들은 인증 증명서들을 내부적으로 유지할 필요없이, 웹 애플리케이션(440)의 백 엔드(442) 및 프론트 엔드(441) 상에 작은 통합 노력만이 요구된다(아래에 논의되는 바와 같음).
일 실시예에서, 통합 프로세스는 RP 웹 애플리케이션(440)을 호스팅된 인증 서비스(450)에 등록함으로써 개시된다. 웹 애플리케이션 관리자(예를 들어, 신뢰자의 정보 기술 스태프의 구성원)는 호스팅된 인증 서비스 관리 포탈(451)을 통해 액세스할 수 있고, 필요한 상세 사항들(예를 들어, 아래에 논의되는 바와 같이 웹 애플리케이션(440)에 관련된 정보)을 제공함으로써 계정을 생성할 수 있다. 일 실시예에서, 신뢰자 관리자는 관리 포탈(451)에 액세스하기 위하여 미리 인증 증명서들(예를 들어, PIN 또는 패스워드와 같은 비밀 코드)이 제공된다. 그러면 관리자는 증명서들을 이용하여 관리 포탈(451)에 로그인 할 수 있다. 일 실시예에서, 관리 포탈(451)은 관리자의 브라우저를 통해 액세스가능한 웹 기반 포탈이다. 그러나, 본 발명의 기본 원리는 관리 포탈(451)에 액세스하는 임의의 특정 방식에 한정되지 않는다.
웹 애플리케이션 관리자는 관리 포탈(451)에 필요한 로그인 증명서들 및 기타 적절한 정보, 예컨대, 웹 애플리케이션의 프론트 엔드 프로그램 코드 및 백 엔드 프로그램 코드에 액세스하는 데 필요한 네트워크 어드레스(들)를 제공할 수 있다. 일 실시예에서, 웹 애플리케이션 관리자로부터 웹 애플리케이션(440)을 호스팅된 인증 서비스(450)에 등록하기 위한 요청에 응답하여, 관리 포탈(451)은 웹 애플리케이션(440)의 프론트 엔드(441)(예를 들어, 웹 애플리케이션의 웹페이지)에 포함되는 HTML 코드(443)를 생성한다. HTML 코드(443)는 pure Javascript, HTML 아이프레임에서 또는 웹 애플리케이션(440)과 호환되는 임의의 기타 프로그래밍 언어를 이용하여 구현될 수 있다. 일 실시예에서, HTML 코드는 웹 애플리케이션(440) 프로그램 코드(예를 들어, 프론트 엔드 코드(441))와 직접 통신할 것이다.
일 실시예에서, 호스팅된 인증 서비스 포탈(451)은 또한 웹 애플리케이션의 백 엔드(442)에 포함되는 백 엔드 코드(444)를 생성한다. 관리 포탈(451)에 의해 생성되는 HTML 코드(443) 및 백 엔드 코드(444)는 도 4의 웹 애플리케이션(440)의 활성화 경우에 적용되는 것으로 도시된다. 그러나, 일 실시예에서, 새로운 코드(443 및 444)의 설치는 웹 애플리케이션의 실행 이전에 수행될 수 있다(예를 들어, 대용량 저장 장치에 저장된 애플리케이션 바이너리 및 라이브러리에 적용됨).
일 실시예에서, 호스팅된 인증 서비스 포탈(451)은 또한 암호 키(예를 들어, 대칭 키 또는 증명서)를 생성하는데, 이는 본 명세서에서 호스팅된 인증 서비스 "표명 키"로 지칭되며, 이후 웹 애플리케이션의 백엔드 기반구조에서 보안 저장소(436)에 저장된다. 일 실시예에서, 이후에 키(436)는 백 엔드(442)에 의해 호스팅된 인증 서비스(450) 표명들(아래에 논의되는 바와 같음)을 확인하는 데 사용된다. 호스팅된 인증 서비스 코드(443 및 444)를 웹 애플리케이션에 통합하고 키(들)(436)을 제공한 이후에, 통합은 완료된다.
통합 프로세스가 완료되면, 웹 애플리케이션 사용자들은 클라이언트측 인증기들(465)을 이용하여 신뢰자(430)로 인증하기 시작할 수 있다. 일 실시예에서, 호스팅된 인증 서비스(450)에 의해 제공된 HTML 코드(443)는 인증 관련 통신을 포함하는 사용자 인증 경험을 관리할 것이다. 일 실시예에서, 일단 사용자의 브라우저(461)에 다운로드되면, HTML 코드(443)는 직접 인증 클라이언트(462)와 통신하여 인증 클라이언트(462)를 호스팅된 인증 서비스(450) 상의 인증 서버(455)로 인도할 것이다. 일 실시예에서, HTML 코드(443)는 플러그인(예를 들어, 도 1a에 도시된 보안 트랜잭션 플러그인(101))과 통신하는데, 이는 클라이언트 장치의 브라우저(461) 상에 설치되어 호스팅된 인증 서비스(450) 및 인증 클라이언트(462)와의 보안 통신을 가능하게 한다.
일 실시예에서, 이어서 호스팅된 인증 서비스(450) 상의 인증 서버(455)는 인증 요청을 생성하고 다른 인증 관련 메시지들을 인증 클라이언트와 교환할 것이다(예를 들어, 도 2 및 도 3 및 관련 텍스트 참조). 인증 관련 동작들이 완료되면(예를 들어, 등록, 사용자 인증, 등록취소 등) 호스팅된 인증 서비스(450)는 호스팅된 인증 서비스 표명 키(436)를 이용하여 암호 표명을 통해 웹 애플리케이션(440)에 통지할 것이다. 예를 들어, 인증 서버(455)는 웹 애플리케이션(440)에 전송되는 각각의 표명에 대하여 표명 키(436)를 이용하여 서명을 생성할 수 있다. 그러면 웹 애플리케이션(440)에서 실행되고 있는 백 엔드 코드(444)는 자신만의 키(436) 사본을 이용하여 서명을 확인함으로써 표명들을 검증할 수 있다. 유사하게, 백 엔드 코드(444)는 웹 애플리케이션(440)으로부터 호스팅된 인증 서비스(450)로 전송되는 임의의 통신에 대하여 키(436)를 이용하여 서명을 생성할 수 있고, 이는 그것의 키 사본을 이용하여 통신을 확인할 수 있다.
일 실시예에서, 호스팅된 인증 서비스(450)로부터 전송된 표명들은 인증기들(465)의 프로비저닝/등록 및 인증기들(465)을 통해 수행된 인증들에 관련된 임의의 정보를 포함할 수 있다. 예를 들어, 표명들은 인증 장치의 등록과 같은 활동 및 보안 강도(예를 들어, 사용자(X)가 인증기를 보안 강도(Y)로 등록했음); 특정 인증기 또는 인증기 유형을 이용하는 사용자에 의한 성공적인 인증(예를 들어, 사용자(X)가 방금 인증기로 보안 강도(Y)로 인증했음); 및 인증기의 등록취소(예를 들어, 사용자(X)가 인증기(Y)를 등록취소했음)와 같은 인증 장치에 관련된 적절한 정보에 관하여 웹 애플리케이션(440)에 통지할 수 있다.
표명은 SAML(Security Assertion Markup Language), OAuth, OpenID 또는 임의의 기타 유사한 기술을 이용하여 구현될 수 있다. 일부 호스팅된 인증 서비스 아키텍처에서, 표명들은 호스팅된 인증 서비스 서버(455)로부터 직접 웹 애플리케이션(440) 서버로 진행할 수 있다(예를 들어, 클라이언트 장치(460)를 건너뜀). 대안적인 구현예에서, 표명은 (예를 들어, 브라우저(461)에 전송된 Javascript가 이어서 웹 애플리케이션(440) 상으로 표명들을 전달하는 것과 같이) 클라이언트 장치(460)를 통해 전송될 수 있다.
도 5는 본 발명의 일 실시예에 따라 호스팅된 인증 서비스에 신뢰자를 등록하기 위한 방법을 나타내고, 도 6은 호스팅된 인증 서비스를 이용하여 인증 장치의 등록 및 등록취소 및 사용자 인증과 같은 동작들을 수행하기 위한 방법을 나타낸다. 방법들은 도 4에 도시된 아키텍처의 맥락 내에서 구현될 수 있지만, 임의의 특정 시스템 아키텍처로 한정되지 않는다.
501에서, 신뢰자 관리자는 호스팅된 인증 서비스의 관리 포탈에 (예를 들어, 제공된 증명서들을 이용하여) 로그인하고 새로운 신뢰자 계정을 생성하는 데 필요한 데이터를 제공한다. 이는 네트워크를 통해 신뢰자 웹 애플리케이션(들)을 식별하는 데 필요한 네트워킹 데이터 및 잠재적으로 웹 애플리케이션(특히, 웹 애플리케이션의 프론트 엔드 프로그램 코드 및 백 엔드 프로그램 코드)에 액세스 하기 위한 인증 증명서들(예를 들어, 사용자 이름/패스워드)을 포함할 수 있다.
502에서, 웹 애플리케이션 관리자로부터 호스팅된 인증 서비스에 웹 애플리케이션을 등록하기 위한 요청에 응답하여, 관리 포탈은 웹 애플리케이션의 프론트 엔드(예를 들어, 웹 애플리케이션의 웹페이지)에 포함되는 프론트 엔드 코드(예를 들어, HTML 코드) 및 웹 애플리케이션의 백 엔드에 포함되는 백 엔드 코드를 생성한다. 또한, 502에서, 호스팅된 인증 서비스 포탈은 암호 표명 키(예를 들어, 대칭 키 또는 증명서)를 생성한다.
503에서, 프론트 엔드 코드, 백 엔드 코드, 및 표명 키가 신뢰자에게 전송된다. 504에서, 신뢰자는 프론트 엔드 코드 및 백 엔드 코드를 그것의 플랫폼 내에 통합하고 표명 키를 안전하게 저장한다. 언급한 바와 같이, 일 실시예에서, 표명 키는 후속적으로 호스팅된 인증 서비스 표명들을 확인하는 데 사용된다.
이제 도 6을 참조하면, 601에서 하나 이상의 인증 장치를 갖춘 클라이언트 장치는 신뢰자의 웹사이트에 접속하고 프론트 엔드 코드를 포함하는 웹 페이지를 다운로드한다. 일부 경우들에서 웹페이지는 (프론트 엔드 코드 자체가 아닌) 프론트 엔드 코드에 의해 동적으로 생성된 코드를 포함할 수 있다. 본 명세서에 사용되는 바와 같이, "프론트 엔드 코드"는 프론트 엔드 코드 자체 및 클라이언트 장치 상에서의 사용을 위해 프론트 엔드 코드에 의해 동적으로 생성된 코드 둘 모두를 지칭한다.
602에서, 프론트 엔드 코드는 클라이언트 장치 상의 인증 클라이언트 및 호스팅된 인증 서비스(또는, 더 정확하게는, 호스팅된 인증 서비스의 인증 서버)와의 통신을 구축한다. 603에서, 새로운 인증기 등록, 사용자 인증 수행, 및/또는 인증기 등록취소와 같은 하나 이상의 트랜잭션이 수행된다.
604에서, 호스팅된 인증 서비스는 표명 키를 이용하여 트랜잭션들과 관련된 암호 표명들을 생성한다. 예를 들어, 암호 표명은 새로운 등록된 인증기, 등록취소된 인증기, 인증기의 정확성/정밀성(예를 들어, 인증기 강도)과 같은 인증기에 관련된 정보, 및 인증기를 이용한 사용자 인증을 나타낼 수 있다. 언급한 바와 같이, 암호 표명들은 표명 키를 이용하여 서명될 수 있다.
605에서, 암호 표명들은 신뢰자에 전송되고, 606에서, 표명 키를 이용하여 표명을 확인할 수 있다. 예를 들어, 백 엔드 코드는 표명 키를 검색하고, 그것만의 서명을 생성하고, 생성된 서명을 호스팅된 인증 서비스로부터 전송된 서명과 비교할 수 있다. 서명들이 매칭되는 경우, 표명이 확인되고 표명에 기초하여 사용자는 트랜잭션을 수행하도록 허용될 수 있다. 예를 들어, 사용자가 호스팅된 인증 서비스에 성공적으로 인증했음을 표명이 나타내는 경우, 신뢰자는 인증을 수용하고 사용자가 트랜잭션(예를 들어, 금융 트랜잭션, 사적 데이터에 대한 액세스 등)을 완료하도록 허락할 수 있다.
일 실시예에서, 호스팅된 인증 서비스는, 예를 들어, SAML(Security Assertion Markup Language), JSON(JavaScript Objection Notation) 웹 서명, OAuth, 또는 호스팅된 인증 서비스 표명들을 신뢰자에게 전달하기 위한 유사한 기술을 포함하는 다양한 상이한 프로토콜/언어들을 이용하여 구현될 수 있다. 또한, 호스팅된 인증 서비스 시스템은 신뢰자의 웹페이지에 내장된 프론트 엔드 및 백 엔드 코드를 위하여 아이프레임들을 사용할 수 있다(예를 들어, 호스팅된 인증 서비스 표명들에 관한 신뢰자의 웹사이트에 전달함). 그러나, 본 발명의 기본 원리는 임의의 특정 프로토콜 및/또는 프로그래밍 언어에 제한되지 않는다는 것에 유의하여야 한다.
본 명세서에 기재된 발명의 실시예들은 기존의 연합 아이덴티티 서버 및 아이덴티티 제공자들에게 바람직할 수 있는데, 그 이유는 최종 사용자의 프라이버시가 더 보호되기 때문이다. 신뢰자는 스스로 사용자와 관련된 정보를 가질 수 있고, 이 정보는 본 명세서에서 기재된 호스팅된 인증을 구현하기 위하여 인증 호스팅 서비스(또는 임의의 기타 신뢰자들)와 공유될 필요가 없다. 이는 신뢰자들이 상이한 신뢰자들에 걸쳐 사용자들을 추적할 수 있도록 하는 기존의 아이덴티티 제공자들 및 연합 서버와 대조적이다.
예시적인 데이터 처리 장치
도 7은 본 발명의 일부 실시예들에서 사용될 수 있는 예시적인 클라이언트들 및 서버들을 나타내는 블록도이다. 도 7은 컴퓨터 시스템의 다양한 컴포넌트들을 도시하지만, 이것은 컴포넌트들을 상호접속하는 임의의 특정 아키텍처 또는 방식을 나타내는 것을 의도하지 않는다는 것을 이해해야 하는데, 이는 그러한 상세들이 본 발명과 밀접한 관련이 없기 때문이다. 더 적은 컴포넌트들 또는 더 많은 컴포넌트들을 갖는 다른 컴퓨터 시스템들도 본 발명과 관련하여 사용될 수 있다는 것을 알 것이다.
도 7에 도시된 바와 같이, 데이터 처리 시스템의 형태인 컴퓨터 시스템(700)은 처리 시스템(720), 전원(725), 메모리(730) 및 비휘발성 메모리(740)(예를 들어, 하드 드라이브, 플래시 메모리, 상변화 메모리(PCM) 등)와 결합되는 버스(들)(750)를 포함한다. 버스(들)(750)는 당업계에 주지된 바와 같은 다양한 브리지, 제어기 및/또는 어댑터를 통해 서로 접속될 수 있다. 처리 시스템(720)은 메모리(730) 및/또는 비휘발성 메모리(740)로부터 명령어(들)를 회수하고, 명령어들을 실행하여 전술한 바와 같은 동작들을 수행할 수 있다. 버스(750)는 위의 컴포넌트들을 함께 상호접속하고, 또한 그러한 컴포넌트들을 옵션인 독(dock)(760), 디스플레이 제어기 및 디스플레이 장치(770), 입출력 장치들(780)(예를 들어, 네트워크 인터페이스 카드(NIC), 커서 제어(예를 들어, 마우스, 터치스크린, 터치패드 등), 키보드 등) 및 옵션인 무선 송수신기(들)(790)(예를 들어, 블루투스, 와이파이, 적외선 등)에 상호접속한다.
도 8은 본 발명의 일부 실시예들에서 사용될 수 있는 예시적인 데이터 처리 시스템을 나타내는 블록도이다. 예를 들어, 데이터 처리 시스템(800)은 핸드헬드 컴퓨터, 개인 휴대 단말기(PDA), 이동 전화, 휴대용 게이밍 시스템, 휴대용 미디어 플레이어, 이동 전화, 미디어 플레이어 및/또는 게이밍 시스템을 포함할 수 있는 태블릿 또는 핸드헬드 컴퓨팅 장치일 수 있다. 다른 예로서, 데이터 처리 시스템(800)은 네트워크 컴퓨터, 또는 다른 장치 내의 내장된 처리 장치일 수 있다.
본 발명의 일 실시예에 따르면, 데이터 처리 시스템(800)의 예시적인 아키텍처는 전술한 이동 장치들을 위해 사용될 수 있다. 데이터 처리 시스템(800)은 하나 이상의 마이크로프로세서 및/또는 집적 회로 상의 시스템을 포함할 수 있는 처리 시스템(820)을 포함한다. 처리 시스템(820)은 메모리(810), (하나 이상의 배터리를 포함하는) 전원(825), 오디오 입출력(840), 디스플레이 제어기 및 디스플레이 장치(860), 옵션인 입출력(850), 입력 장치(들)(870) 및 무선 송수신기(들)(830)와 결합된다. 도 8에 도시되지 않은 추가 컴포넌트들도 본 발명의 소정 실시예들에서 데이터 처리 시스템(800)의 일부일 수 있으며, 본 발명의 소정 실시예들에서는 도 8에 도시된 것보다 적은 컴포넌트들이 사용될 수 있다는 것을 알 것이다. 게다가, 도 8에 도시되지 않은 하나 이상의 버스가 당업계에 주지된 바와 같은 다양한 컴포넌트들을 상호접속하는 데 사용될 수 있는 것을 알 것이다.
메모리(810)는 데이터 처리 시스템(800)에 의한 실행을 위해 데이터 및/또는 프로그램들을 저장할 수 있다. 오디오 입출력(840)은 마이크 및/또는 스피커를 포함하여, 예를 들어 스피커 및 마이크를 통해 음악을 재생하고/하거나 전화 기능을 제공할 수 있다. 디스플레이 제어기 및 디스플레이 장치(860)는 그래픽 사용자 인터페이스(GUI)를 포함할 수 있다. 무선(예를 들어, RF) 송수신기들(830)(예를 들어, 와이파이 송수신기, 적외선 송수신기, 블루투스 송수신기, 무선 셀룰러 전화 송수신기 등)은 다른 데이터 처리 시스템들과 통신하는 데 사용될 수 있다. 하나 이상의 입력 장치(870)는 사용자가 시스템에 입력을 제공하는 것을 가능하게 한다. 이러한 입력 장치들은 키패드, 키보드, 터치 패널, 멀티 터치 패널 등일 수 있다. 옵션인 다른 입출력(850)은 독에 대한 커넥터일 수 있다.
본 발명의 실시예들은 전술한 바와 같은 다양한 단계들을 포함할 수 있다. 단계들은 범용 또는 특수 목적 프로세서가 소정 단계들을 수행하게 하는 기계 실행 가능 명령어들로 구현될 수 있다. 대안적으로, 이러한 단계들은 단계들을 수행하기 위한 하드와이어드 로직을 포함하는 특정 하드웨어 컴포넌트들에 의해, 또는 프로그래밍된 컴퓨터 컴포넌트들과 맞춤형 하드웨어 컴포넌트들의 임의의 조합에 의해 수행될 수 있다.
본 발명의 요소들은 또한 기계 실행 가능 프로그램 코드를 저장하기 위한 기계 판독 가능 매체로서 제공될 수 있다. 기계 판독 가능 매체는 플로피 디스켓, 광 디스크, CD-ROM 및 광자기 디스크, ROM, RAM, EPROM, EEPROM, 자기 또는 광학 카드, 또는 전자 프로그램 코드를 저장하기에 적합한 다른 유형의 매체/기계 판독 가능 매체를 포함할 수 있지만 이에 한정되지 않는다.
위의 설명 전반에서는, 설명의 목적으로, 본 발명의 완전한 이해를 제공하기 위해 다수의 특정 상세가 설명되었다. 그러나, 본 발명은 이러한 특정 상세들 중 일부 없이도 실시될 수 있다는 것이 당업자에게 명백할 것이다. 예를 들어, 본 명세서에서 설명되는 기능 모듈들 및 방법들은 소프트웨어, 하드웨어 또는 이들의 임의 조합으로서 구현될 수 있다는 것을 당업자가 손쉽게 알 수 있을 것이다. 더욱이, 본 명세서에서는 본 발명의 일부 실시예들이 이동 컴퓨팅 환경의 상황 내에서 설명되지만, 본 발명의 기본 원리들은 이동 컴퓨팅 구현으로 한정되지 않는다. 예를 들어 데스크탑 또는 워크스테이션 컴퓨터들을 비롯한 사실상 임의의 타입의 클라이언트 또는 피어 데이터 처리 장치들이 일부 실시예들에서 사용될 수 있다. 따라서, 본 발명의 범주 및 사상은 아래의 청구범위의 관점에서 판단되어야 한다.
본 발명의 실시예들은 전술한 바와 같은 다양한 단계들을 포함할 수 있다. 단계들은 범용 또는 특수 목적 프로세서가 소정 단계들을 수행하게 하는 기계 실행 가능 명령어들로 구현될 수 있다. 대안적으로, 이러한 단계들은 단계들을 수행하기 위한 하드와이어드 로직을 포함하는 특정 하드웨어 컴포넌트들에 의해, 또는 프로그래밍된 컴퓨터 컴포넌트들과 맞춤형 하드웨어 컴포넌트들의 임의의 조합에 의해 수행될 수 있다.

Claims (24)

  1. 시스템으로서,
    신뢰자들에 대하여 인증 서비스들을 제공하기 위해 호스팅된 인증 서비스를 실행하는 하나 이상의 하드웨어 플랫폼 ― 상기 호스팅된 인증 서비스 및 상기 신뢰자들은 별개의 것이고, 상기 호스팅된 인증 서비스는 신뢰자와 키를 공유함으로써 상기 신뢰자를 등록하며, 상기 호스팅된 인증 서비스는 관리 포탈을 포함하고, 신뢰자 관리자가 상기 신뢰자를 대신하여 인증 서비스들을 제공하도록 상기 관리 포탈을 통해 상기 호스팅된 인증 서비스를 구성함 ―;
    상기 신뢰자에 의해 호스팅된 애플리케이션에 삽입되는, 상기 호스팅된 인증 서비스에 의해 제공된 제1 프로그램 코드 컴포넌트 ― 상기 제1 프로그램 코드 컴포넌트는 상기 애플리케이션에 액세스하는 클라이언트 장치로 하여금 사용자 인증 및 다른 인증 관련 기능들을 위해 상기 호스팅된 인증 서비스로 리다이렉팅되도록 하고, 상기 다른 인증 관련 기능들은 하나 이상의 새로운 인증자를 등록하는 것 및 사용자의 클라이언트 장치의 하나 이상의 인증자의 등록을 취소하는 것을 포함함 ―; 및
    상기 클라이언트 장치와 상기 호스팅된 인증 서비스 사이에서 일어나는 복수의 상이한 인증 관련 이벤트들에 기초하여, 상기 클라이언트 장치를 건너뛰고 상기 신뢰자로 바로 복수의 표명들(assertions)을 전송하는 상기 호스팅된 인증 서비스
    를 포함하고,
    상기 복수의 표명들 각각은 상기 클라이언트 장치와 상기 호스팅된 인증 서비스 사이에서 일어나는 하나의 상이한 인증 관련 이벤트를 명시하며, 상기 복수의 표명들의 각 표명은 적어도 하나의 표시를 포함하고, 제1 표명이 상기 사용자가 새로운 인증자를 등록했음을 표시하며, 제2 표명이 상기 사용자가 인증자의 등록을 취소했음을 표시하며, 제3 표명이 상기 사용자가 인증자를 이용하여 상기 인증 서비스를 인증했음을 표시하고, 상기 신뢰자는 상기 키를 사용하여 상기 복수의 표명들 각각을 확인하는(validating),
    시스템.
  2. 제1항에 있어서, 상기 키는 대칭 표명 키를 포함하는, 시스템.
  3. 제2항에 있어서, 상기 호스팅된 인증 서비스는 상기 대칭 표명 키를 사용하여 상기 복수의 표명들 중 하나의 표명 내의 데이터에 대한 제1 서명을 생성하고,
    상기 신뢰자는 상기 대칭 표명 키의 사본을 사용하여 상기 복수의 표명들 중 상기 하나의 표명 내의 데이터에 대한 제2 서명을 생성하고, 상기 제1 서명을 상기 제2 서명과 비교하여 상기 복수의 표명들 중 상기 하나의 표명을 확인하는,
    시스템.
  4. 제1항에 있어서, 상기 제1 프로그램 코드 컴포넌트는 HTML(hypertext markup language) 코드를 포함하고, 상기 애플리케이션은 웹 애플리케이션을 포함하는, 시스템.
  5. 제1항에 있어서,
    상기 신뢰자에 의해 호스팅된 상기 애플리케이션의 백 엔드 컴포넌트에 삽입된 제2 프로그램 코드 컴포넌트를 추가로 포함하고, 상기 제2 프로그램 코드 컴포넌트는 상기 키를 안전하게 저장하는, 시스템.
  6. 제5항에 있어서, 상기 애플리케이션은 상기 백 엔드 및 HTML 코드를 포함하는 프론트 엔드를 포함하는 웹 애플리케이션을 포함하는, 시스템.
  7. 삭제
  8. 제1항에 있어서, 상기 관리 포탈은 상기 애플리케이션의 프론트 엔드에 적용되는 프론트 엔드 코드 및 상기 애플리케이션의 백 엔드에 적용되는 백 엔드 코드를 생성하고, 상기 프론트 엔드 코드는 클라이언트 장치들을 상기 호스팅된 인증 서비스로 리다이렉팅하는데 이용가능하며, 상기 백 엔드 코드는 상기 키를 안전하게 저장하고 액세스하는데 이용가능한, 시스템.
  9. 삭제
  10. 제1항에 있어서, 상기 복수의 표명들 각각은 인증기 유형, 모델 또는 강도 중 적어도 하나에 대한 표시를 추가로 포함하는, 시스템.
  11. 신뢰자와 키를 공유함으로써 호스팅된 인증 서비스에 신뢰자를 등록하는 단계 ― 상기 호스팅된 인증 서비스 및 상기 신뢰자는 별개의 것이고, 상기 호스팅된 인증 서비스는 관리 포탈을 포함하며, 신뢰자 관리자가 상기 신뢰자를 대신하여 인증 서비스들을 제공하도록 상기 관리 포탈을 통해 상기 호스팅된 인증 서비스를 구성함 ―;
    상기 호스팅된 인증 서비스에 의해 제공된 제1 프로그램 코드 컴포넌트를 상기 신뢰자에 의해 호스팅된 애플리케이션에 삽입하는 단계 ― 상기 제1 프로그램 코드 컴포넌트는 상기 애플리케이션에 액세스하는 클라이언트 장치로 하여금 사용자 인증 및 다른 인증 관련 기능들을 위해 상기 호스팅된 인증 서비스로 리다이렉팅되도록 하고, 상기 다른 인증 관련 기능들은 하나 이상의 새로운 인증자를 등록하는 것 및 사용자 클라이언트 장치의 하나 이상의 인증자의 등록을 취소하는 것을 포함함 ―; 및
    상기 클라이언트 장치와 상기 호스팅된 인증 서비스 사이에서 일어나는 복수의 상이한 인증 관련 이벤트들에 기초하여, 상기 클라이언트 장치를 건너뛰고 상기 호스팅된 인증 서비스로부터 상기 신뢰자로 바로 복수의 표명들을 전송하는 단계
    를 포함하고,
    상기 복수의 표명들 각각은 상기 클라이언트 장치와 상기 호스팅된 인증 서비스 사이에서 일어나는 하나의 상이한 인증 관련 이벤트를 명시하며, 상기 복수의 표명들의 각 표명은 적어도 하나의 표시를 포함하고, 제1 표명이 상기 사용자가 새로운 인증자를 등록했음을 표시하며, 제2 표명이 상기 사용자가 인증자의 등록을 취소했음을 표시하며, 제3 표명이 상기 사용자가 인증자를 이용하여 상기 인증 서비스를 인증했음을 표시하고, 상기 신뢰자는 상기 키를 사용하여 상기 복수의 표명들 각각을 확인하는,
    방법.
  12. 제11항에 있어서, 상기 키는 대칭 표명 키를 포함하는, 방법.
  13. 제12항에 있어서, 상기 호스팅된 인증 서비스는 상기 대칭 표명 키를 사용하여 상기 복수의 표명들 중 하나의 표명 내의 데이터에 대한 제1 서명을 생성하고,
    상기 신뢰자는 상기 대칭 표명 키의 사본을 사용하여 상기 복수의 표명들 중 상기 하나의 표명 내의 데이터에 대한 제2 서명을 생성하고, 상기 제1 서명을 상기 제2 서명과 비교하여 상기 복수의 표명들 중 상기 하나의 표명을 확인하는,
    방법.
  14. 제11항에 있어서, 상기 제1 프로그램 코드 컴포넌트는 HTML 코드를 포함하고, 상기 애플리케이션은 웹 애플리케이션을 포함하는, 방법.
  15. 제11항에 있어서,
    상기 신뢰자에 의해 호스팅된 상기 애플리케이션의 백 엔드 컴포넌트에 삽입되는 제2 프로그램 코드 컴포넌트를 추가로 포함하고, 상기 제2 프로그램 코드 컴포넌트는 상기 키를 안전하게 저장하는, 방법.
  16. 제15항에 있어서, 상기 애플리케이션은 상기 백 엔드 및 HTML 코드를 포함하는 프론트 엔드를 포함하는 웹 애플리케이션을 포함하는, 방법.
  17. 삭제
  18. 제11항에 있어서, 상기 관리 포탈은 상기 애플리케이션의 프론트 엔드에 적용되는 프론트 엔드 코드 및 상기 애플리케이션의 백 엔드에 적용되는 백 엔드 코드를 생성하고, 상기 프론트 엔드 코드는 클라이언트 장치들을 상기 호스팅된 인증 서비스로 리다이렉팅하는데 이용가능하며, 상기 백 엔드 코드는 상기 키를 안전하게 저장하고 액세스하는데 이용가능한, 방법.
  19. 삭제
  20. 제11항에 있어서, 상기 복수의 표명들 각각은 인증기 유형, 모델 또는 강도 중 적어도 하나에 대한 표시를 추가로 포함하는, 방법.
  21. 프로그램 코드가 저장된 비일시적 기계 판독가능 매체로서,
    상기 프로그램 코드는, 기계에 의해 실행될 때, 상기 기계로 하여금,
    신뢰자와 키를 공유함으로써 호스팅된 인증 서비스에 신뢰자를 등록하고 ― 상기 호스팅된 인증 서비스 및 상기 신뢰자는 별개의 것이고, 상기 호스팅된 인증 서비스는 관리 포탈을 포함하며, 신뢰자 관리자가 상기 신뢰자를 대신하여 인증 서비스들을 제공하도록 상기 관리 포탈을 통해 상기 호스팅된 인증 서비스를 구성함 ―;
    상기 호스팅된 인증 서비스에 의해 제공된 제1 프로그램 코드 컴포넌트를 상기 신뢰자에 의해 호스팅된 애플리케이션에 삽입하고 ― 상기 제1 프로그램 코드 컴포넌트는 상기 애플리케이션에 액세스하는 클라이언트 장치로 하여금 사용자 인증 및 다른 인증 관련 기능들을 위해 상기 호스팅된 인증 서비스로 리다이렉팅되도록 하고, 상기 다른 인증 관련 기능들은 하나 이상의 새로운 인증자를 등록하는 것 및 사용자 클라이언트 장치의 하나 이상의 인증자의 등록을 취소하는 것을 포함함 ―; 그리고
    상기 클라이언트 장치와 상기 호스팅된 인증 서비스 사이에서 일어나는 복수의 상이한 인증 관련 이벤트들에 기초하여, 상기 클라이언트 장치를 건너뛰고 상기 호스팅된 인증 서비스로부터 상기 신뢰자로 바로 복수의 표명들을 전송하는
    동작들을 수행하도록 하고,
    상기 복수의 표명들 각각은 상기 클라이언트 장치와 상기 호스팅된 인증 서비스 사이에서 일어나는 하나의 상이한 인증 관련 이벤트를 명시하며, 상기 복수의 표명들의 각 표명은 적어도 하나의 표시를 포함하고, 제1 표명이 상기 사용자가 새로운 인증자를 등록했음을 표시하며, 제2 표명이 상기 사용자가 인증자의 등록을 취소했음을 표시하며, 제3 표명이 상기 사용자가 인증자를 이용하여 상기 인증 서비스를 인증했음을 표시하고, 상기 신뢰자는 상기 키를 사용하여 상기 복수의 표명들 각각을 확인하는,
    비일시적 기계 판독가능 매체.
  22. 제21항에 있어서, 상기 키는 대칭 표명 키를 포함하는, 비일시적 기계 판독가능 매체.
  23. 제22항에 있어서, 상기 호스팅된 인증 서비스는 상기 대칭 표명 키를 사용하여 상기 복수의 표명들 중 하나의 표명 내의 데이터에 대한 제1 서명을 생성하고,
    상기 신뢰자는 상기 대칭 표명 키의 사본을 사용하여 상기 복수의 표명들 중 상기 하나의 표명 내의 데이터에 대한 제2 서명을 생성하고, 상기 제1 서명을 상기 제2 서명과 비교하여 상기 복수의 표명들 중 상기 하나의 표명을 확인하는, 비일시적 기계 판독가능 매체.
  24. 제21항에 있어서, 상기 제1 프로그램 코드 컴포넌트는 HTML 코드를 포함하고, 상기 애플리케이션은 웹 애플리케이션을 포함하는, 비일시적 기계 판독가능 매체.
KR1020177003592A 2014-07-31 2015-07-30 호스팅된 인증 서비스를 구현하기 위한 시스템 및 방법 KR102439782B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US14/448,814 US10148630B2 (en) 2014-07-31 2014-07-31 System and method for implementing a hosted authentication service
US14/448,814 2014-07-31
PCT/US2015/042786 WO2016019089A1 (en) 2014-07-31 2015-07-30 System and method for implementing a hosted authentication service

Publications (2)

Publication Number Publication Date
KR20170041741A KR20170041741A (ko) 2017-04-17
KR102439782B1 true KR102439782B1 (ko) 2022-09-01

Family

ID=55218299

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020177003592A KR102439782B1 (ko) 2014-07-31 2015-07-30 호스팅된 인증 서비스를 구현하기 위한 시스템 및 방법

Country Status (7)

Country Link
US (1) US10148630B2 (ko)
EP (1) EP3175367B1 (ko)
JP (1) JP6530049B2 (ko)
KR (1) KR102439782B1 (ko)
CN (1) CN106575281B (ko)
ES (1) ES2849025T3 (ko)
WO (1) WO2016019089A1 (ko)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11503031B1 (en) 2015-05-29 2022-11-15 Pure Storage, Inc. Storage array access control from cloud-based user authorization and authentication
US9444822B1 (en) * 2015-05-29 2016-09-13 Pure Storage, Inc. Storage array access control from cloud-based user authorization and authentication
CN110166246B (zh) * 2016-03-30 2022-07-08 创新先进技术有限公司 基于生物特征的身份注册、认证的方法和装置
US20180167383A1 (en) * 2016-12-12 2018-06-14 Qualcomm Incorporated Integration of password-less authentication systems with legacy identity federation
JP6759152B2 (ja) * 2017-05-24 2020-09-23 キヤノン株式会社 画像処理装置、方法、プログラム及びシステム
US11496462B2 (en) * 2017-11-29 2022-11-08 Jpmorgan Chase Bank, N.A. Secure multifactor authentication with push authentication
US11368446B2 (en) * 2018-10-02 2022-06-21 International Business Machines Corporation Trusted account revocation in federated identity management
US11188914B2 (en) * 2018-11-20 2021-11-30 Tdk Corporation Method for authenticated biometric transactions
CN109658248B (zh) * 2018-12-20 2023-01-24 姚前 一种托管资产返还后登记信息更新的系统和方法
CN109636392B (zh) * 2018-12-20 2023-01-24 姚前 一种链下资产托管转让的系统和方法
US11570009B1 (en) 2019-11-22 2023-01-31 Amazon Technologies, Inc. Systems and methods for onboarding IoT devices with session certificates
US11271933B1 (en) 2020-01-15 2022-03-08 Worldpay Limited Systems and methods for hosted authentication service
CN111614724A (zh) * 2020-04-23 2020-09-01 上海桂垚信息科技有限公司 一种用于车联网数据加密传输的协议
US11900370B2 (en) * 2021-01-04 2024-02-13 Mastercard International Incorporated Methods and systems of using sub-domains to federate device credentials scoped to a common domain

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050223217A1 (en) * 2004-04-01 2005-10-06 Microsoft Corporation Authentication broker service
US20100299738A1 (en) * 2009-05-19 2010-11-25 Microsoft Corporation Claims-based authorization at an identity provider
US20140189350A1 (en) * 2012-12-28 2014-07-03 Davit Baghdasaryan System and method for efficiently enrolling, registering, and authenticating with multiple authentication devices

Family Cites Families (327)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5280527A (en) 1992-04-14 1994-01-18 Kamahira Safe Co., Inc. Biometric token for authorizing access to a host system
US5764789A (en) 1994-11-28 1998-06-09 Smarttouch, Llc Tokenless biometric ATM access system
US6088450A (en) 1996-04-17 2000-07-11 Intel Corporation Authentication system based on periodic challenge/response protocol
US6377691B1 (en) 1996-12-09 2002-04-23 Microsoft Corporation Challenge-response authentication and key exchange for a connectionless security protocol
US7047415B2 (en) * 1997-09-22 2006-05-16 Dfs Linkages, Inc. System and method for widely witnessed proof of time
US6378072B1 (en) 1998-02-03 2002-04-23 Compaq Computer Corporation Cryptographic system
US6618806B1 (en) 1998-04-01 2003-09-09 Saflink Corporation System and method for authenticating users in a computer network
US6178511B1 (en) 1998-04-30 2001-01-23 International Business Machines Corporation Coordinating user target logons in a single sign-on (SSO) environment
JP2000092046A (ja) 1998-09-11 2000-03-31 Mitsubishi Electric Corp 遠隔認証システム
US7047416B2 (en) 1998-11-09 2006-05-16 First Data Corporation Account-based digital signature (ABDS) system
US7505941B2 (en) 1999-08-31 2009-03-17 American Express Travel Related Services Company, Inc. Methods and apparatus for conducting electronic transactions using biometrics
US6842896B1 (en) 1999-09-03 2005-01-11 Rainbow Technologies, Inc. System and method for selecting a server in a multiple server license management system
US7085931B1 (en) 1999-09-03 2006-08-01 Secure Computing Corporation Virtual smart card system and method
US7260724B1 (en) 1999-09-20 2007-08-21 Security First Corporation Context sensitive dynamic authentication in a cryptographic system
US7444368B1 (en) 2000-02-29 2008-10-28 Microsoft Corporation Methods and systems for selecting methodology for authenticating computer systems on a per computer system or per user basis
US7140036B2 (en) 2000-03-06 2006-11-21 Cardinalcommerce Corporation Centralized identity authentication for electronic communication networks
US7698565B1 (en) 2000-03-30 2010-04-13 Digitalpersona, Inc. Crypto-proxy server and method of using the same
US7263506B2 (en) 2000-04-06 2007-08-28 Fair Isaac Corporation Identification and management of fraudulent credit/debit card purchases at merchant ecommerce sites
MY134895A (en) 2000-06-29 2007-12-31 Multimedia Glory Sdn Bhd Biometric verification for electronic transactions over the web
US7487112B2 (en) 2000-06-29 2009-02-03 Barnes Jr Melvin L System, method, and computer program product for providing location based services and mobile e-commerce
EP1316168A4 (en) 2000-08-04 2006-05-10 First Data Corp METHOD AND DEVICE FOR USE OF ELECTRONIC COMMUNICATION IN AN ELECTRONIC CONTRACT
US7689832B2 (en) 2000-09-11 2010-03-30 Sentrycom Ltd. Biometric-based system and method for enabling authentication of electronic messages sent over a network
US20020040344A1 (en) 2000-10-04 2002-04-04 Preiser Randall F. Check guarantee, verification, processing, credit reports and collection system and method awarding purchase points for usage of checks
US7356704B2 (en) 2000-12-07 2008-04-08 International Business Machines Corporation Aggregated authenticated identity apparatus for and method therefor
FI115098B (fi) 2000-12-27 2005-02-28 Nokia Corp Todentaminen dataviestinnässä
US20020112170A1 (en) 2001-01-03 2002-08-15 Foley James M. Method and apparatus for using one financial instrument to authenticate a user for accessing a second financial instrument
US7941669B2 (en) 2001-01-03 2011-05-10 American Express Travel Related Services Company, Inc. Method and apparatus for enabling a user to select an authentication method
AU2002259229A1 (en) 2001-05-18 2002-12-03 Imprivata, Inc. Authentication with variable biometric templates
US6601762B2 (en) 2001-06-15 2003-08-05 Koninklijke Philips Electronics N.V. Point-of-sale (POS) voice authentication transaction system
SG124290A1 (en) 2001-07-23 2006-08-30 Ntt Docomo Inc Electronic payment method, system, and devices
WO2003012670A1 (en) 2001-07-30 2003-02-13 Alcatel Internetworking, Inc. Distributed network management system using policies
KR20040029414A (ko) 2001-08-10 2004-04-06 마쯔시다덴기산교 가부시키가이샤 전자기기
AU2002343424A1 (en) 2001-09-28 2003-04-14 Bluesocket, Inc. Method and system for managing data traffic in wireless networks
JP2003132160A (ja) 2001-10-23 2003-05-09 Nec Corp 個人情報管理システムと個人情報管理装置、及び個人情報管理プログラム
US20030115142A1 (en) 2001-12-12 2003-06-19 Intel Corporation Identity authentication portfolio system
US7155035B2 (en) 2002-02-05 2006-12-26 Matsushita Electric Industrial Co., Ltd. Personal authentication method, personal authentication apparatus and image capturing device
GB0210692D0 (en) 2002-05-10 2002-06-19 Assendon Ltd Smart card token for remote authentication
US20030226036A1 (en) 2002-05-30 2003-12-04 International Business Machines Corporation Method and apparatus for single sign-on authentication
US7322043B2 (en) 2002-06-20 2008-01-22 Hewlett-Packard Development Company, L.P. Allowing an electronic device accessing a service to be authenticated
KR20050083594A (ko) 2002-07-03 2005-08-26 오로라 와이어리스 테크놀로지즈 리미티드 바이오메트릭 개인키 인프라스트럭처
US20160072787A1 (en) 2002-08-19 2016-03-10 Igor V. Balabine Method for creating secure subnetworks on a general purpose network
US8301884B2 (en) 2002-09-16 2012-10-30 Samsung Electronics Co., Ltd. Method of managing metadata
JP2004288156A (ja) 2002-11-20 2004-10-14 Stmicroelectronics Sa 眼の虹彩イメージの定義の評価
US7353533B2 (en) 2002-12-18 2008-04-01 Novell, Inc. Administration of protection of data accessible by a mobile device
US20040128542A1 (en) * 2002-12-31 2004-07-01 International Business Machines Corporation Method and system for native authentication protocols in a heterogeneous federated environment
JP4374904B2 (ja) 2003-05-21 2009-12-02 株式会社日立製作所 本人認証システム
US8555344B1 (en) * 2003-06-05 2013-10-08 Mcafee, Inc. Methods and systems for fallback modes of operation within wireless computer networks
JP2005025337A (ja) 2003-06-30 2005-01-27 Sony Corp 機器登録システム、機器登録サーバ、機器登録方法、機器登録プログラム、記憶媒体、及び端末機器
US7716469B2 (en) 2003-07-25 2010-05-11 Oracle America, Inc. Method and system for providing a circle of trust on a network
CN104200152B (zh) 2003-09-12 2020-02-14 Emc公司 用于基于风险的验证的系统和方法
US20050080716A1 (en) 2003-09-25 2005-04-14 Boris Belyi Data validation systems and methods for use in financial transactions
US9130921B2 (en) 2003-09-30 2015-09-08 Ca, Inc. System and method for bridging identities in a service oriented architectureprofiling
WO2005052765A2 (en) 2003-11-25 2005-06-09 Ultra-Scan Corporation Biometric authorization method and system
US20050125295A1 (en) 2003-12-09 2005-06-09 Tidwell Lisa C. Systems and methods for obtaining payor information at a point of sale
US7263717B1 (en) 2003-12-17 2007-08-28 Sprint Communications Company L.P. Integrated security framework and privacy database scheme
US9191215B2 (en) 2003-12-30 2015-11-17 Entrust, Inc. Method and apparatus for providing authentication using policy-controlled authentication articles and techniques
JP4257250B2 (ja) 2004-03-30 2009-04-22 富士通株式会社 生体情報照合装置並びに生体特徴情報絞込み装置,生体特徴情報絞込みプログラムおよび同プログラムを記録したコンピュータ読取可能な記録媒体
US8762283B2 (en) 2004-05-03 2014-06-24 Visa International Service Association Multiple party benefit from an online authentication service
US20050278253A1 (en) 2004-06-15 2005-12-15 Microsoft Corporation Verifying human interaction to a computer entity by way of a trusted component on a computing device or the like
KR20070037649A (ko) 2004-07-23 2007-04-05 사이트릭스 시스템스, 인크. 게이트웨이에서 종단으로 패킷을 라우팅하기 위한 방법 및시스템
US7194763B2 (en) 2004-08-02 2007-03-20 Cisco Technology, Inc. Method and apparatus for determining authentication capabilities
US7298873B2 (en) 2004-11-16 2007-11-20 Imageware Systems, Inc. Multimodal biometric platform
US20060161672A1 (en) * 2004-11-22 2006-07-20 Bea Systems, Inc. System and method for improved interportlet communications
TW200642408A (en) 2004-12-07 2006-12-01 Farsheed Atef System and method for identity verification and management
WO2006063118A2 (en) 2004-12-07 2006-06-15 Pure Networks, Inc. Network management
EP1825413A2 (en) 2004-12-16 2007-08-29 Mark Dwight Bedworth User validation using images
JP2008524751A (ja) 2004-12-20 2008-07-10 アールエスエイ セキュリティー インク 消費者インターネット認証サービス
US7844816B2 (en) 2005-06-08 2010-11-30 International Business Machines Corporation Relying party trust anchor based public key technology framework
US8079079B2 (en) 2005-06-29 2011-12-13 Microsoft Corporation Multimodal authentication
US20070077915A1 (en) 2005-09-30 2007-04-05 Black Greg R Method and apparatus for module authentication
EP1955251A2 (en) 2005-10-11 2008-08-13 Citrix Systems, Inc. Systems and methods for facilitating distributed authentication
US8407146B2 (en) 2005-10-28 2013-03-26 Microsoft Corporation Secure storage
US7623659B2 (en) 2005-11-04 2009-11-24 Cisco Technology, Inc. Biometric non-repudiation network security systems and methods
US8458465B1 (en) 2005-11-16 2013-06-04 AT&T Intellectual Property II, L. P. Biometric authentication
EP1955221A4 (en) 2005-12-01 2009-03-11 Firestar Software Inc SYSTEM AND METHOD FOR EXCHANGING INFORMATION BETWEEN EXCHANGE APPLICATIONS
US20080005562A1 (en) 2005-12-13 2008-01-03 Microsoft Corporation Public key infrastructure certificate entrustment
US8511547B2 (en) 2005-12-22 2013-08-20 Mastercard International Incorporated Methods and systems for two-factor authentication using contactless chip cards or devices and mobile devices or dedicated personal readers
CN1992596A (zh) 2005-12-27 2007-07-04 国际商业机器公司 用户验证设备和用户验证方法
US7941835B2 (en) 2006-01-13 2011-05-10 Authenticor Identity Protection Services, Inc. Multi-mode credential authorization
JP2007220075A (ja) 2006-01-19 2007-08-30 Toshiba Corp 個人認証装置、位置情報送信装置、個人認証システム、個人認証方法、及び個人認証プログラム
WO2007092715A2 (en) 2006-02-06 2007-08-16 Solidus Networks, Inc. Method and system for providing online authentication utilizing biometric data
JPWO2007094165A1 (ja) 2006-02-15 2009-07-02 日本電気株式会社 本人確認システムおよびプログラム、並びに、本人確認方法
WO2007103818A2 (en) 2006-03-02 2007-09-13 Vxv Solutions, Inc. Methods and apparatus for implementing secure and adaptive proxies
US20080028453A1 (en) 2006-03-30 2008-01-31 Thinh Nguyen Identity and access management framework
US7818264B2 (en) 2006-06-19 2010-10-19 Visa U.S.A. Inc. Track data encryption
JP4929803B2 (ja) 2006-04-10 2012-05-09 富士通株式会社 認証方法、認証装置、および、認証プログラム
JP4616335B2 (ja) 2006-04-21 2011-01-19 三菱電機株式会社 認証サーバ装置及び端末装置及び認証システム及び認証方法
US9002018B2 (en) 2006-05-09 2015-04-07 Sync Up Technologies Corporation Encryption key exchange system and method
US8738921B2 (en) 2006-05-16 2014-05-27 Transactionsecure Llc System and method for authenticating a person's identity using a trusted entity
US8259647B2 (en) 2006-06-12 2012-09-04 Samsung Electronics Co., Ltd. System and method for wireless communication of uncompressed video having a link control and bandwidth reservation scheme for control/management message exchanges and asynchronous traffic
US7512567B2 (en) 2006-06-29 2009-03-31 Yt Acquisition Corporation Method and system for providing biometric authentication at a point-of-sale via a mobile device
CN101106452B (zh) 2006-07-12 2010-12-08 华为技术有限公司 移动ip密钥的产生及分发方法和系统
US20080025234A1 (en) 2006-07-26 2008-01-31 Qi Zhu System and method of managing a computer network using hierarchical layer information
US7966489B2 (en) 2006-08-01 2011-06-21 Cisco Technology, Inc. Method and apparatus for selecting an appropriate authentication method on a client
US8689287B2 (en) 2006-08-17 2014-04-01 Northrop Grumman Systems Corporation Federated credentialing system and method
WO2008022585A1 (fr) 2006-08-18 2008-02-28 Huawei Technologies Co., Ltd. Procédé, système et dispositif de certification
EP2080142B1 (en) 2006-08-31 2014-09-24 International Business Machines Corporation Attestation of computing platforms
US8239677B2 (en) 2006-10-10 2012-08-07 Equifax Inc. Verification and authentication systems and methods
US9135444B2 (en) 2006-10-19 2015-09-15 Novell, Inc. Trusted platform module (TPM) assisted data center management
US7986786B2 (en) 2006-11-30 2011-07-26 Hewlett-Packard Development Company, L.P. Methods and systems for utilizing cryptographic functions of a cryptographic co-processor
US9055107B2 (en) 2006-12-01 2015-06-09 Microsoft Technology Licensing, Llc Authentication delegation based on re-verification of cryptographic evidence
EP1933522B1 (en) 2006-12-11 2013-10-23 Sap Ag Method and system for authentication
JP2008176407A (ja) 2007-01-16 2008-07-31 Toshiba Corp 生体認証システム、装置及びプログラム
JP2008181295A (ja) 2007-01-24 2008-08-07 Sony Corp 認証システム、情報処理装置および方法、プログラム、並びに記録媒体
GB0703759D0 (en) 2007-02-27 2007-04-04 Skype Ltd A Communication system
US8302196B2 (en) 2007-03-20 2012-10-30 Microsoft Corporation Combining assessment models and client targeting to identify network security vulnerabilities
US8413221B2 (en) 2007-03-23 2013-04-02 Emc Corporation Methods and apparatus for delegated authentication
US20080271150A1 (en) 2007-04-30 2008-10-30 Paul Boerger Security based on network environment
US8627409B2 (en) 2007-05-15 2014-01-07 Oracle International Corporation Framework for automated dissemination of security metadata for distributed trust establishment
US20080289020A1 (en) 2007-05-15 2008-11-20 Microsoft Corporation Identity Tokens Using Biometric Representations
US8359045B1 (en) 2007-05-31 2013-01-22 United Services Automobile Association (Usaa) Method and system for wireless device communication
US7627522B2 (en) 2007-06-04 2009-12-01 Visa U.S.A. Inc. System, apparatus and methods for comparing fraud parameters for application during prepaid card enrollment and transactions
US9003488B2 (en) 2007-06-06 2015-04-07 Datavalet Technologies System and method for remote device recognition at public hotspots
US7913086B2 (en) 2007-06-20 2011-03-22 Nokia Corporation Method for remote message attestation in a communication system
US8782801B2 (en) 2007-08-15 2014-07-15 Samsung Electronics Co., Ltd. Securing stored content for trusted hosts and safe computing environments
US20090089870A1 (en) 2007-09-28 2009-04-02 Mark Frederick Wahl System and method for validating interactions in an identity metasystem
US9172686B2 (en) 2007-09-28 2015-10-27 Alcatel Lucent Facilitating heterogeneous authentication for allowing network access
JP4129586B2 (ja) 2007-10-10 2008-08-06 クオリティ株式会社 情報処理システム
FR2922396B1 (fr) 2007-10-12 2009-12-25 Compagnie Ind Et Financiere Dingenierie Ingenico Procede d'authentification biometrique, programme d'ordinateur, serveur d'authentification, terminal et objet portatif correspondants
US20090204964A1 (en) 2007-10-12 2009-08-13 Foley Peter F Distributed trusted virtualization platform
US20090119221A1 (en) 2007-11-05 2009-05-07 Timothy Martin Weston System and Method for Cryptographically Authenticated Display Prompt Control for Multifunctional Payment Terminals
US20090132813A1 (en) 2007-11-08 2009-05-21 Suridx, Inc. Apparatus and Methods for Providing Scalable, Dynamic, Individualized Credential Services Using Mobile Telephones
US8347374B2 (en) 2007-11-15 2013-01-01 Red Hat, Inc. Adding client authentication to networked communications
US8978117B2 (en) 2007-11-19 2015-03-10 Avaya Inc. Authentication frequency and challenge type based on environmental and physiological properties
TWI350486B (en) 2007-11-26 2011-10-11 Ind Tech Res Inst Biometrics method and apparatus and biometric data encryption method thereof
US8312269B2 (en) 2007-11-28 2012-11-13 Hitachi Global Storage Technologies Netherlands, B.V. Challenge and response access control providing data security in data storage devices
US9575558B2 (en) 2007-12-05 2017-02-21 Hewlett-Packard Development Company, L.P. System and method for electronically assisting a customer at a product retail location
US20090157560A1 (en) 2007-12-14 2009-06-18 Bank Of America Corporation Information banking and monetization of personal information
US8650616B2 (en) 2007-12-18 2014-02-11 Oracle International Corporation User definable policy for graduated authentication based on the partial orderings of principals
US8001582B2 (en) 2008-01-18 2011-08-16 Microsoft Corporation Cross-network reputation for online services
US8220032B2 (en) 2008-01-29 2012-07-10 International Business Machines Corporation Methods, devices, and computer program products for discovering authentication servers and establishing trust relationships therewith
US8635662B2 (en) 2008-01-31 2014-01-21 Intuit Inc. Dynamic trust model for authenticating a user
US8175276B2 (en) 2008-02-04 2012-05-08 Freescale Semiconductor, Inc. Encryption apparatus with diverse key retention schemes
US8639630B2 (en) 2008-02-15 2014-01-28 Ddn Ip Holdings Limited Distribution of digital content
US8353016B1 (en) 2008-02-29 2013-01-08 Adobe Systems Incorporated Secure portable store for security skins and authentication information
US8555078B2 (en) 2008-02-29 2013-10-08 Adobe Systems Incorporated Relying party specifiable format for assertion provider token
US8302167B2 (en) 2008-03-11 2012-10-30 Vasco Data Security, Inc. Strong authentication token generating one-time passwords and signatures upon server credential verification
JP2009223452A (ja) * 2008-03-14 2009-10-01 Hitachi Ltd 認証システム並びに認証サーバ装置および利用者装置,アプリケーションサーバ装置
US20090327131A1 (en) 2008-04-29 2009-12-31 American Express Travel Related Services Company, Inc. Dynamic account authentication using a mobile device
US8799984B2 (en) 2008-05-27 2014-08-05 Open Invention Network, Llc User agent to exercise privacy control management in a user-centric identity management system
US8359632B2 (en) 2008-05-30 2013-01-22 Microsoft Corporation Centralized account reputation
US8630192B2 (en) 2009-01-28 2014-01-14 Headwater Partners I Llc Verifiable and accurate service usage monitoring for intermediate networking devices
US20090307140A1 (en) 2008-06-06 2009-12-10 Upendra Mardikar Mobile device over-the-air (ota) registration and point-of-sale (pos) payment
JP5514200B2 (ja) 2008-06-20 2014-06-04 コーニンクレッカ フィリップス エヌ ヴェ 改良された生体認証及び識別
US8307093B2 (en) 2008-06-25 2012-11-06 Microsoft Corporation Remote access between UPnP devices
US20100010932A1 (en) 2008-07-09 2010-01-14 Simon Law Secure wireless deposit system and method
US8250627B2 (en) 2008-07-28 2012-08-21 International Business Machines Corporation Transaction authorization
US20100029300A1 (en) 2008-07-30 2010-02-04 Arima Communications Corp. Method for inquiring real-time travel-related information using a mobile communication device
US20100042848A1 (en) 2008-08-13 2010-02-18 Plantronics, Inc. Personalized I/O Device as Trusted Data Source
US20130125222A1 (en) 2008-08-19 2013-05-16 James D. Pravetz System and Method for Vetting Service Providers Within a Secure User Interface
US8666904B2 (en) * 2008-08-20 2014-03-04 Adobe Systems Incorporated System and method for trusted embedded user interface for secure payments
US8880036B2 (en) 2008-09-08 2014-11-04 Qualcomm Incorporated Retrieving data wirelessly from a mobile device
US20100083000A1 (en) 2008-09-16 2010-04-01 Validity Sensors, Inc. Fingerprint Sensor Device and System with Verification Token and Methods of Using
US7933836B2 (en) 2008-09-30 2011-04-26 Avaya Inc. Proxy-based, transaction authorization system
US8307412B2 (en) * 2008-10-20 2012-11-06 Microsoft Corporation User authentication management
US8494482B2 (en) 2008-10-24 2013-07-23 Centurylink Intellectual Property Llc Telecommunications system and method for monitoring the body temperature of a user
EP2359526B1 (en) 2008-11-04 2017-08-02 SecureKey Technologies Inc. System and methods for online authentication
CN100581107C (zh) 2008-11-04 2010-01-13 西安西电捷通无线网络通信有限公司 一种基于三元对等鉴别(TePA)的可信平台验证方法
AU2009311303B2 (en) 2008-11-06 2015-09-10 Visa International Service Association Online challenge-response
WO2010067433A1 (ja) 2008-12-11 2010-06-17 三菱電機株式会社 自己認証通信機器、自己認証検証通信機器、機器認証システム、機器認証システムの機器認証方法、自己認証通信プログラムおよび自己認証検証通信プログラム
US8245030B2 (en) 2008-12-19 2012-08-14 Nai-Yu Pai Method for authenticating online transactions using a browser
US20100169650A1 (en) 2008-12-31 2010-07-01 Brickell Ernest F Storage minimization technique for direct anonymous attestation keys
US8961619B2 (en) 2009-01-06 2015-02-24 Qualcomm Incorporated Location-based system permissions and adjustments at an electronic device
US20100186072A1 (en) 2009-01-21 2010-07-22 Akshay Kumar Distributed secure telework
US8284043B2 (en) 2009-01-23 2012-10-09 Honeywell International Inc. Method of formulating response to expired timer for data link message
US8590021B2 (en) 2009-01-23 2013-11-19 Microsoft Corporation Passive security enforcement
US8359475B2 (en) 2009-02-12 2013-01-22 International Business Machines Corporation System, method and program product for generating a cancelable biometric reference template on demand
US8756674B2 (en) 2009-02-19 2014-06-17 Securekey Technologies Inc. System and methods for online authentication
US9015789B2 (en) 2009-03-17 2015-04-21 Sophos Limited Computer security lock down methods
US8539241B2 (en) 2009-03-25 2013-09-17 Pacid Technologies, Llc Method and system for securing communication
US8291468B1 (en) 2009-03-30 2012-10-16 Juniper Networks, Inc. Translating authorization information within computer networks
JP5519773B2 (ja) 2009-04-15 2014-06-11 インターデイジタル パテント ホールディングス インコーポレイテッド ネットワークとの通信のためのデバイスの正当化および/または認証
CN101540676B (zh) 2009-04-28 2012-05-23 西安西电捷通无线网络通信股份有限公司 一种适合三元对等鉴别可信网络连接架构的平台鉴别方法
US9105027B2 (en) 2009-05-15 2015-08-11 Visa International Service Association Verification of portable consumer device for secure services
US20100325684A1 (en) 2009-06-17 2010-12-23 Microsoft Corporation Role-based security for messaging administration and management
US8621203B2 (en) 2009-06-22 2013-12-31 Nokia Corporation Method and apparatus for authenticating a mobile device
US8452960B2 (en) 2009-06-23 2013-05-28 Netauthority, Inc. System and method for content delivery
KR20100137655A (ko) 2009-06-23 2010-12-31 삼성전자주식회사 전자 프로그램 가이드를 표시하는 방법 및 이를 위한 장치
WO2011017099A2 (en) 2009-07-27 2011-02-10 Suridx, Inc. Secure communication using asymmetric cryptography and light-weight certificates
US7865937B1 (en) 2009-08-05 2011-01-04 Daon Holdings Limited Methods and systems for authenticating users
US8756661B2 (en) 2009-08-24 2014-06-17 Ufp Identity, Inc. Dynamic user authentication for access to online services
US8429404B2 (en) 2009-09-30 2013-04-23 Intel Corporation Method and system for secure communications on a managed network
IL201351A0 (en) 2009-10-01 2010-05-31 Michael Feldbau Device and method for electronic signature via proxy
US20110083018A1 (en) 2009-10-06 2011-04-07 Validity Sensors, Inc. Secure User Authentication
US8769784B2 (en) 2009-11-02 2014-07-08 Authentify, Inc. Secure and efficient authentication using plug-in hardware compatible with desktops, laptops and/or smart mobile communication devices such as iPhones
US8713325B2 (en) 2011-04-19 2014-04-29 Authentify Inc. Key management using quasi out of band authentication architecture
US8719905B2 (en) 2010-04-26 2014-05-06 Authentify Inc. Secure and efficient login and transaction authentication using IPhones™ and other smart mobile communication devices
US8621460B2 (en) 2009-11-02 2013-12-31 International Business Machines Corporation Endpoint-hosted hypervisor management
KR20110048974A (ko) 2009-11-04 2011-05-12 삼성전자주식회사 무선통신 시스템에서 마스터 세션 키를 갱신하기 위한 장치 및 방법
WO2011059496A1 (en) 2009-11-11 2011-05-19 Cross Match Technologies, Inc. Apparatus and method for determining sequencing of fingers in images to a two-finger scanner of fingerprint images
US8949978B1 (en) 2010-01-06 2015-02-03 Trend Micro Inc. Efficient web threat protection
CN105072088A (zh) 2010-01-22 2015-11-18 交互数字专利控股公司 一种在具有用户的无线设备处执行的方法
US9070146B2 (en) 2010-02-04 2015-06-30 Playspan Inc. Method and system for authenticating online transactions
US20110197267A1 (en) 2010-02-05 2011-08-11 Vivianne Gravel Secure authentication system and method
US9032473B2 (en) 2010-03-02 2015-05-12 Interdigital Patent Holdings, Inc. Migration of credentials and/or domains between trusted hardware subscription modules
US20110219427A1 (en) 2010-03-04 2011-09-08 RSSBus, Inc. Smart Device User Authentication
US9065823B2 (en) 2010-03-08 2015-06-23 Gemalto Sa System and method for using a portable security device to cryptograhically sign a document in response to signature requests from a relying party to a digital signature service
US8930713B2 (en) 2010-03-10 2015-01-06 Dell Products L.P. System and method for general purpose encryption of data
JP2011199458A (ja) 2010-03-18 2011-10-06 Brother Industries Ltd 無線通信システム
CN102196407B (zh) 2010-03-18 2015-09-16 中兴通讯股份有限公司 锚定鉴权器重定位方法及系统
US8826030B2 (en) 2010-03-22 2014-09-02 Daon Holdings Limited Methods and systems for authenticating users
US9171306B1 (en) 2010-03-29 2015-10-27 Bank Of America Corporation Risk-based transaction authentication
US9443097B2 (en) 2010-03-31 2016-09-13 Security First Corp. Systems and methods for securing data in motion
US9356916B2 (en) 2010-04-30 2016-05-31 T-Central, Inc. System and method to use a cloud-based platform supported by an API to authenticate remote users and to provide PKI- and PMI-based distributed locking of content and distributed unlocking of protected content
US8926335B2 (en) 2010-05-12 2015-01-06 Verificient Technologies, Inc. System and method for remote test administration and monitoring
US8973125B2 (en) 2010-05-28 2015-03-03 Alcatel Lucent Application layer authentication in packet networks
US20110314549A1 (en) 2010-06-16 2011-12-22 Fujitsu Limited Method and apparatus for periodic context-aware authentication
US8832461B2 (en) 2010-06-25 2014-09-09 Microsoft Corporation Trusted sensors
EP2591424A4 (en) 2010-07-08 2014-12-10 Hewlett Packard Development Co SYSTEM AND METHOD FOR IMPLEMENTING DOCUMENTATION POLICIES
US8412158B2 (en) 2010-08-17 2013-04-02 Qualcomm Incorporated Mobile device having increased security that is less obtrusive
EP2424185B1 (en) 2010-08-23 2014-10-22 3M Innovative Properties Co. Method and device for challenge-response authentication
US8590014B1 (en) 2010-09-13 2013-11-19 Zynga Inc. Network application security utilizing network-provided identities
US9183683B2 (en) 2010-09-28 2015-11-10 Sony Computer Entertainment Inc. Method and system for access to secure resources
US20120084562A1 (en) 2010-10-04 2012-04-05 Ralph Rabert Farina Methods and systems for updating a secure boot device using cryptographically secured communications across unsecured networks
US8566915B2 (en) 2010-10-22 2013-10-22 Microsoft Corporation Mixed-mode authentication
US8904472B2 (en) 2010-11-12 2014-12-02 Riaz Ahmed SHAIKH Validation of consistency and completeness of access control policy sets
US10153901B2 (en) 2010-11-23 2018-12-11 Concierge Holdings, Inc. System and method for verifying user identity in a virtual environment
WO2012069263A2 (en) 2010-11-24 2012-05-31 Telefonica, S.A. Method for authorizing access to protected content
US8555355B2 (en) 2010-12-07 2013-10-08 Verizon Patent And Licensing Inc. Mobile pin pad
US8955035B2 (en) 2010-12-16 2015-02-10 Microsoft Corporation Anonymous principals for policy languages
US8549145B2 (en) 2011-02-08 2013-10-01 Aventura Hq, Inc. Pre-access location-based rule initiation in a virtual computing environment
US8595507B2 (en) 2011-02-16 2013-11-26 Novell, Inc. Client-based authentication
US20130144785A1 (en) 2011-03-29 2013-06-06 Igor Karpenko Social network payment authentication apparatuses, methods and systems
US8810368B2 (en) 2011-03-29 2014-08-19 Nokia Corporation Method and apparatus for providing biometric authentication using distributed computations
US9092605B2 (en) 2011-04-11 2015-07-28 NSS Lab Works LLC Ongoing authentication and access control with network access device
US8584224B1 (en) 2011-04-13 2013-11-12 Symantec Corporation Ticket based strong authentication with web service
US9600679B2 (en) 2011-04-29 2017-03-21 Micro Focus Software Inc. Techniques for resource operation based on usage, sharing, and recommendations with modular authentication
US8897500B2 (en) 2011-05-05 2014-11-25 At&T Intellectual Property I, L.P. System and method for dynamic facial features for speaker recognition
US9646261B2 (en) 2011-05-10 2017-05-09 Nymi Inc. Enabling continuous or instantaneous identity recognition of a large group of people based on physiological biometric signals obtained from members of a small group of people
US8839395B2 (en) 2011-05-13 2014-09-16 Cch Incorporated Single sign-on between applications
US8561152B2 (en) 2011-05-17 2013-10-15 Microsoft Corporation Target-based access check independent of access request
WO2012162843A1 (en) 2011-06-03 2012-12-06 Research In Motion Limted System and method for accessing private networks
US8843649B2 (en) 2011-06-07 2014-09-23 Microsoft Corporation Establishment of a pairing relationship between two or more communication devices
US20120313746A1 (en) 2011-06-10 2012-12-13 Aliphcom Device control using sensory input
US9621350B2 (en) 2011-06-30 2017-04-11 Cable Television Laboratories, Inc. Personal authentication
JP2013016070A (ja) 2011-07-05 2013-01-24 Interman Corp ログオン支援システム
US8800056B2 (en) 2011-08-12 2014-08-05 Palo Alto Research Center Incorporated Guided implicit authentication
US8752123B2 (en) 2011-08-15 2014-06-10 Bank Of America Corporation Apparatus and method for performing data tokenization
US8863258B2 (en) 2011-08-24 2014-10-14 International Business Machines Corporation Security for future log-on location
US8713314B2 (en) 2011-08-30 2014-04-29 Comcast Cable Communications, Llc Reoccuring keying system
US8590018B2 (en) 2011-09-08 2013-11-19 International Business Machines Corporation Transaction authentication management system with multiple authentication levels
US8838982B2 (en) * 2011-09-21 2014-09-16 Visa International Service Association Systems and methods to secure user identification
US9621404B2 (en) 2011-09-24 2017-04-11 Elwha Llc Behavioral fingerprinting with social networking
US20130133054A1 (en) 2011-09-24 2013-05-23 Marc E. Davis Relationship Based Trust Verification Schema
US9495533B2 (en) 2011-09-29 2016-11-15 Oracle International Corporation Mobile application, identity relationship management
US20130090939A1 (en) 2011-10-11 2013-04-11 Robert N. Robinson Sytem and method for preventing healthcare fraud
US20140053234A1 (en) 2011-10-11 2014-02-20 Citrix Systems, Inc. Policy-Based Application Management
US9021565B2 (en) 2011-10-13 2015-04-28 At&T Intellectual Property I, L.P. Authentication techniques utilizing a computing device
WO2013058781A1 (en) 2011-10-18 2013-04-25 Intel Corporation Methods, systems and apparatus to facilitate client-based authentication
WO2013059464A1 (en) 2011-10-18 2013-04-25 Google Inc. Context-dependent authentication
EP4333554A3 (en) 2011-10-31 2024-03-13 CosmoKey Solutions GmbH & Co. KG Authentication method
US10013692B2 (en) 2011-11-10 2018-07-03 Cryptocode, Inc. Systems and methods for authorizing transactions via a digital device
ES2633344T3 (es) 2011-11-14 2017-09-20 Vasco Data Security International Gmbh Lector de tarjeta inteligente con una función de registro seguro
US8607319B2 (en) 2011-11-22 2013-12-10 Daon Holdings Limited Methods and systems for determining biometric data for use in authentication transactions
WO2013082190A1 (en) 2011-11-28 2013-06-06 Visa International Service Association Transaction security graduated seasoning and risk shifting apparatuses, methods and systems
US8595808B2 (en) 2011-12-16 2013-11-26 Daon Holdings Limited Methods and systems for increasing the security of network-based transactions
US8863299B2 (en) 2012-01-06 2014-10-14 Mobile Iron, Inc. Secure virtual file management system
US8958599B1 (en) 2012-01-06 2015-02-17 Google Inc. Input method and system based on ambient glints
EP3457723B1 (en) 2012-01-08 2020-04-15 ImagiStar LLC System and method for item self-assessment as being extant or displaced
KR101636028B1 (ko) 2012-01-20 2016-07-04 인터디지탈 패튼 홀딩스, 인크 로컬 기능을 갖는 아이덴티티 관리
KR101618274B1 (ko) 2012-02-14 2016-05-04 애플 인크. 복수의 액세스 제어 클라이언트를 지원하는 모바일 장치, 및 대응 방법들
AU2013200916B2 (en) 2012-02-20 2014-09-11 Kl Data Security Pty Ltd Cryptographic Method and System
US9367678B2 (en) 2012-02-29 2016-06-14 Red Hat, Inc. Password authentication
US20130239173A1 (en) 2012-03-12 2013-09-12 Stephen T. Dispensa Computer program and method for administering secure transactions using secondary authentication
WO2013147757A1 (en) 2012-03-28 2013-10-03 Intel Corporation Conditional limited service grant based on device verification
US20130275282A1 (en) * 2012-04-17 2013-10-17 Microsoft Corporation Anonymous billing
WO2013159110A1 (en) 2012-04-20 2013-10-24 Conductiv Software, Inc. Multi-factor mobile transaction authentication
US8776180B2 (en) 2012-05-01 2014-07-08 Taasera, Inc. Systems and methods for using reputation scores in network services and transactions to calculate security risks to computer systems and platforms
US9521548B2 (en) 2012-05-21 2016-12-13 Nexiden, Inc. Secure registration of a mobile device for use with a session
US9130837B2 (en) 2012-05-22 2015-09-08 Cisco Technology, Inc. System and method for enabling unconfigured devices to join an autonomic network in a secure manner
US9613052B2 (en) 2012-06-05 2017-04-04 International Business Machines Corporation Establishing trust within a cloud computing system
US20140007215A1 (en) 2012-06-15 2014-01-02 Lockheed Martin Corporation Mobile applications platform
US20130346176A1 (en) 2012-06-20 2013-12-26 Zachery Alolabi System and method for payment incentivizing
US9589399B2 (en) 2012-07-02 2017-03-07 Synaptics Incorporated Credential quality assessment engine systems and methods
US20140013422A1 (en) 2012-07-03 2014-01-09 Scott Janus Continuous Multi-factor Authentication
TW201417598A (zh) 2012-07-13 2014-05-01 Interdigital Patent Holdings 安全性關聯特性
US10771448B2 (en) 2012-08-10 2020-09-08 Cryptography Research, Inc. Secure feature and key management in integrated circuits
US9088891B2 (en) 2012-08-13 2015-07-21 Wells Fargo Bank, N.A. Wireless multi-factor authentication with captive portals
WO2014036021A1 (en) 2012-08-28 2014-03-06 Visa International Service Association Secure device service enrollment
US8955067B2 (en) 2012-09-12 2015-02-10 Capital One, Na System and method for providing controlled application programming interface security
US9215249B2 (en) 2012-09-29 2015-12-15 Intel Corporation Systems and methods for distributed trust computing and key management
US9172544B2 (en) 2012-10-05 2015-10-27 General Electric Company Systems and methods for authentication between networked devices
US20140250523A1 (en) 2012-10-11 2014-09-04 Carnegie Mellon University Continuous Authentication, and Methods, Systems, and Software Therefor
US8910239B2 (en) 2012-10-15 2014-12-09 Citrix Systems, Inc. Providing virtualized private network tunnels
US9176838B2 (en) 2012-10-19 2015-11-03 Intel Corporation Encrypted data inspection in a network environment
US8584219B1 (en) 2012-11-07 2013-11-12 Fmr Llc Risk adjusted, multifactor authentication
US9166962B2 (en) 2012-11-14 2015-10-20 Blackberry Limited Mobile communications device providing heuristic security authentication features and related methods
US8935808B2 (en) 2012-12-18 2015-01-13 Bank Of America Corporation Identity attribute exchange and validation broker
US9306754B2 (en) 2012-12-28 2016-04-05 Nok Nok Labs, Inc. System and method for implementing transaction signing within an authentication framework
US20140189835A1 (en) 2012-12-28 2014-07-03 Pitney Bowes Inc. Systems and methods for efficient authentication of users
US9374369B2 (en) 2012-12-28 2016-06-21 Lookout, Inc. Multi-factor authentication and comprehensive login system for client-server networks
JP6391101B2 (ja) 2012-12-28 2018-09-19 ノック ノック ラブズ, インコーポレイテッドNok Nok Labs, Inc. 認証能力を決定するためのクエリシステム及び方法
US9172687B2 (en) 2012-12-28 2015-10-27 Nok Nok Labs, Inc. Query system and method to determine authentication capabilities
US9083689B2 (en) 2012-12-28 2015-07-14 Nok Nok Labs, Inc. System and method for implementing privacy classes within an authentication framework
US9219732B2 (en) 2012-12-28 2015-12-22 Nok Nok Labs, Inc. System and method for processing random challenges within an authentication framework
US8856541B1 (en) 2013-01-10 2014-10-07 Google Inc. Liveness detection
US9143506B2 (en) 2013-02-13 2015-09-22 Daniel Duncan Systems and methods for identifying biometric information as trusted and authenticating persons using trusted biometric information
JP6069039B2 (ja) 2013-03-11 2017-01-25 日立オートモティブシステムズ株式会社 ゲートウェイ装置及びサービス提供システム
US9218813B2 (en) 2013-03-14 2015-12-22 Intel Corporation Voice and/or facial recognition based service provision
US20140279516A1 (en) 2013-03-14 2014-09-18 Nicholas Rellas Authenticating a physical device
EP2973164B1 (en) 2013-03-15 2019-01-30 Intel Corporation Technologies for secure storage and use of biometric authentication information
US20140282868A1 (en) 2013-03-15 2014-09-18 Micah Sheller Method And Apparatus To Effect Re-Authentication
US9141823B2 (en) 2013-03-15 2015-09-22 Veridicom, Sa De Cv Abstraction layer for default encryption with orthogonal encryption logic session object; and automated authentication, with a method for online litigation
US10270748B2 (en) 2013-03-22 2019-04-23 Nok Nok Labs, Inc. Advanced authentication techniques and applications
US9887983B2 (en) 2013-10-29 2018-02-06 Nok Nok Labs, Inc. Apparatus and method for implementing composite authenticators
US9396320B2 (en) 2013-03-22 2016-07-19 Nok Nok Labs, Inc. System and method for non-intrusive, privacy-preserving authentication
WO2014176539A1 (en) 2013-04-26 2014-10-30 Interdigital Patent Holdings, Inc. Multi-factor authentication to achieve required authentication assurance level
US9084115B2 (en) 2013-05-13 2015-07-14 Dennis Thomas Abraham System and method for data verification using a smart phone
US9294475B2 (en) 2013-05-13 2016-03-22 Hoyos Labs Ip, Ltd. System and method for generating a biometric identifier
US8646060B1 (en) 2013-07-30 2014-02-04 Mourad Ben Ayed Method for adaptive authentication using a mobile device
US10366391B2 (en) 2013-08-06 2019-07-30 Visa International Services Association Variable authentication process and system
US9161209B1 (en) 2013-08-21 2015-10-13 Sprint Communications Company L.P. Multi-step mobile device initiation with intermediate partial reset
EP3860083A1 (en) 2013-08-23 2021-08-04 IDEMIA Identity & Security USA LLC System and method for identity management
US9646150B2 (en) 2013-10-01 2017-05-09 Kalman Csaba Toth Electronic identity and credentialing system
US20150142628A1 (en) 2013-11-20 2015-05-21 Bank Of America Corporation Detecting structured transactions
US20150180869A1 (en) 2013-12-23 2015-06-25 Samsung Electronics Company, Ltd. Cloud-based scalable authentication for electronic devices
WO2015130734A1 (en) 2014-02-25 2015-09-03 Uab Research Foundation Two-factor authentication systems and methods
US9344419B2 (en) 2014-02-27 2016-05-17 K.Y. Trix Ltd. Methods of authenticating users to a site
CN103793632B (zh) * 2014-02-28 2017-04-12 汕头大学 数字内容产品访问权限控制服务转移的方法及装置
US9652354B2 (en) 2014-03-18 2017-05-16 Microsoft Technology Licensing, Llc. Unsupervised anomaly detection for arbitrary time series
US20170109751A1 (en) 2014-05-02 2017-04-20 Nok Nok Labs, Inc. System and method for carrying strong authentication events over different channels
US9654463B2 (en) 2014-05-20 2017-05-16 Airwatch Llc Application specific certificate management
US10212176B2 (en) 2014-06-23 2019-02-19 Hewlett Packard Enterprise Development Lp Entity group behavior profiling
US9992207B2 (en) 2014-09-23 2018-06-05 Qualcomm Incorporated Scalable authentication process selection based upon sensor inputs
US9928603B2 (en) 2014-12-31 2018-03-27 Morphotrust Usa, Llc Detecting facial liveliness
US10387882B2 (en) 2015-07-01 2019-08-20 Klarna Ab Method for using supervised model with physical store
US10129035B2 (en) 2015-08-10 2018-11-13 Data I/O Corporation Device birth certificate

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050223217A1 (en) * 2004-04-01 2005-10-06 Microsoft Corporation Authentication broker service
US20100299738A1 (en) * 2009-05-19 2010-11-25 Microsoft Corporation Claims-based authorization at an identity provider
US20140189350A1 (en) * 2012-12-28 2014-07-03 Davit Baghdasaryan System and method for efficiently enrolling, registering, and authenticating with multiple authentication devices

Also Published As

Publication number Publication date
EP3175367B1 (en) 2020-09-09
EP3175367A4 (en) 2018-03-21
EP3175367A1 (en) 2017-06-07
CN106575281A (zh) 2017-04-19
WO2016019089A1 (en) 2016-02-04
CN106575281B (zh) 2021-03-26
US10148630B2 (en) 2018-12-04
JP2017529739A (ja) 2017-10-05
US20160248742A1 (en) 2016-08-25
KR20170041741A (ko) 2017-04-17
ES2849025T3 (es) 2021-08-13
JP6530049B2 (ja) 2019-06-12

Similar Documents

Publication Publication Date Title
KR102439782B1 (ko) 호스팅된 인증 서비스를 구현하기 위한 시스템 및 방법
KR102420969B1 (ko) 네트워크 아키텍처 내에 인증 서비스를 통합하기 위한 시스템 및 방법
KR102382474B1 (ko) 보안 전송 프로토콜을 사용하여 신뢰를 설정하기 위한 시스템 및 방법
KR102383021B1 (ko) 인증 장치의 등록을 위한 향상된 보안
KR102358546B1 (ko) 장치에 대해 클라이언트를 인증하기 위한 시스템 및 방법
US10325259B1 (en) Dynamic authorization with adaptive levels of assurance
US9306754B2 (en) System and method for implementing transaction signing within an authentication framework
US11792024B2 (en) System and method for efficient challenge-response authentication

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant