KR20080012946A - 토큰 공유 시스템 및 방법 - Google Patents
토큰 공유 시스템 및 방법 Download PDFInfo
- Publication number
- KR20080012946A KR20080012946A KR1020077028558A KR20077028558A KR20080012946A KR 20080012946 A KR20080012946 A KR 20080012946A KR 1020077028558 A KR1020077028558 A KR 1020077028558A KR 20077028558 A KR20077028558 A KR 20077028558A KR 20080012946 A KR20080012946 A KR 20080012946A
- Authority
- KR
- South Korea
- Prior art keywords
- token
- time password
- authentication
- user
- validation
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0838—Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/40—User authentication by quorum, i.e. whereby two or more security principals are required
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/341—Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
- G06Q20/4014—Identity check for transactions
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/20—Individual registration on entry or exit involving the use of a pass
- G07C9/27—Individual registration on entry or exit involving the use of a pass with central registration
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1008—Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0877—Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2115—Third party
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2117—User registration
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2129—Authenticate client device independently of the user
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2153—Using hardware token as a secondary aspect
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/56—Financial cryptography, e.g. electronic payment or e-cash
Abstract
소매상인, 뱅크, 벤더, 기타 소비자 등과 같은, 다양한 세트의 인증 요건을 구비한 실체들에게 소비자와 같은 실체들을 인증시키기 위한 스케일가능한 시스템 및 방법이 제공된다. 크리덴셜 소유자를 인증하기 위한 방편으로서 토큰과 같은 인증 크리덴셜이 다양한 리소스들 사이에서 공유된다.
인증, 크리덴셜, 토큰 공유, 1회성 패스워드
Description
본 발명은 컴퓨터 보안에 관한 것으로, 특히 인증(authentication)에 관한 것이다.
기업들은 그들의 데이터 및 정보 기술의 기밀유지, 완전성, 및 보장된 서비스를 보호하기 위해 강력한 인증 기술을 채용하는 것으로 알려져 있다. 이것은 그들의 직원들에게 디지털 인증서를 발급하거나 직원들에게 토큰을 제공하는 등의 행위를 포함하여 다양한 방법을 사용하여 이루어지고 있다. 대체적으로, 제어된 그룹의 사용자들이 그들 자신을 인증해야만하는 대상은 하나의 실체, 즉 기업 자신이므로, 기업을 위한 강력한 인증 방법은 구현하기에 비교적 수월할 수 있다.
그러나, 소비자 애플리케이션에 대해 강력한 인증 기술을 적용하는 것은 어려울 수 있다. 디지털 인증서 및 토큰은, 소매 상인과 같은 다른 실체들과 상호작용하는 소비자에게 불편을 끼칠 수 있으며, 소비자든 그 다른 실체든간에 그러한 불편을 기꺼이 참아낼 수 없을 만큼의 희생이 따른다. 그러나, 신분증 절도, 피싱, MITM(man in the middle attack), 및 신용카드 절도등과 같은 날로 증가하는 해커들에 의한 정교하고도 유해한 위협들에 비추어, 어떤 강력한 인증 기술을 채용하고자하는 소비자들의 의지가 증가하고 있다. 이것은 매년 온라인 상에서 발생하 는 상거래등의 행위가 나날이 증가함으로써 더욱 강조되고 있다.
사실상, 타협에 대한 무응답의 위협 및 그 결과의 부정적 사건들의 누적 그 자체가, 소비자 활동의 온라인 환경으로의 지속적 이동에 대한 현대의 방해물로서 인식될 수 있다. 비록 소비자를 위해 강력한 인증이 필요하지만, 소정의 공지된 해결책들은 구현하기 어려울 수 있다. 예를 들어, 대부분의 기업 고객들과는 달리, 소비자는 광범위한 다양한 실체들에게 자신을 인증해야만 한다. 소비자는 전형적으로, 상이한 실체들과 연관된 상이한 인증 크리덴셜을 보유하기를 원하지 않을 수도 있다. 예를 들어, 많은 소비자들은 복수의 뱅크, 신용카드, 서비스 제공자, 헬스케어 및 정부 계좌를 갖고 있을 수 있다. 이들 각각은 소비자에 의한 강력한 인증으로부터 혜택을 볼 수 있다. 이 경우, 만일 소비자가 계좌당 하나의 인증 장치를 발급받았다면, 그 소비자는 포켓이나 열쇠 고리가 그러한 장치들로 가득찰 것이다. 이것은 소비자에게 별로 바람직하지 못하다.
다양한 기업들에 대해 자신을 인증하기 위해 소비자에 의해 사용될 수 있는 공유된 토큰을 사용하여 동작할 수 있는 인증 시스템 및 방법이 필요하다. 만일 하나의 토큰이 많은 싸이트들에서 공유될 수 있다면, 소비자는, 휴대폰이나 자동차 열쇠 또는 신용카드처럼, 필요한 개인 툴로서 그것을 휴대하기 시작할 것이다.
본 명세서에서 사용될 때, "신원 공유(identity sharing)"는, 토큰 보유자의개인 신원을 인증하는 능력을 공유한다는 것을 의미한다. "제2 인자 공유"는, 토큰과 연관된 알리아스(alias)를 인증하는 능력을 공유한다는 것을 의미한다. 예를 들어, 2개-인자 인증 시스템은, PIN(Personal Identification Number, 제1 인자) 및 OTP(One Time Password, 제2 인자)를 포함할 수 있다. PIN은 토큰의 개개 보유자들과 인증 시스템 사이에서 공유된 비밀정보(secret)이다. 특정 OTP는 주어진 토큰에 의해서만 고유하게 발생될 수 있고 인증 시스템에 의해 검사될 수 있는 일련의 번호로 되어 있을 수도 있다. 인증 시스템이 사용자로부터 PIN을 수신하여 검증할 때, 시스템은 그 사용자를 그 특정 PIN과 상관된 사용자로서 인증할 수 있다. 마찬가지로, 시스템이 토큰으로부터의 OTP를 수신하여 검증할 때, 시스템은 그 토큰을 그 특정 OTP와 상관된 토큰으로서 인증할 수 있다. 신원 공유 시스템에서, 수개의 실체들 중 임의의 실체는, 예를 들어, PIN 또는 PIN 및 OTP에 기초하여 사용자의 신원을 인증할 수 있다. 제2 인자 공유 시스템에서, 수개의 실체들 중 임의의 실체가 OTP를 사용하여 토큰 그 자체를 인증할 수 있다. 비록 신원과 제2 인자 공유가 2개-인자 인증 장치를 사용하여 예로서 논의되었지만, 본 발명에 따라 임의의 인증 방법이 사용될 수 있다. 예를 들어, 제2 인자 공유에 대해 디지털 인증서 및/또는 시도-응답 방법이 사용될 수 있다.
도 1은 본 발명의 실시예에 따른 중앙집중형 유효성확인 서비스를 도시한다.
도 2는 본 발명의 실시예에 따른 분산형 유효성확인 서비스를 도시한다.
도 3은 본 발명의 실시예에 따른 크리덴셜 지갑(credential wallet) 아키텍쳐를 도시한다.
도 4는 본 발명의 실시예에 따른 복수의 토큰을 발생할 수 있는 하나의 장치 의 휴대폰 구현예를 도시하고 있다.
토큰 서비스 모델
본 발명의 실시예에 따라, 예를 들어 하드웨어 토큰에 의해 저장 및/또는 구현된 인증서나 OTP와 같은, 제2 인자 크리덴셜을 준비하고 유효성을 확인하기 위해, 중앙집중형 토큰 서비스 인프라구조가 채택된다. 제2 인자를 구현한 토큰은 다양한 애플리케이션들 및/또는 웹싸이트에서 활성화될 수 있다. 애플리케이션은 사용자 이름 및 패스워드와 같은 제1 인자를 그 애플리케이션 자신의 사용자 데이터베이스에서 관리할 수 있다. 토큰 활성화의 일부로서, 애플리케이션은 로컬 사용자 이름과, 토큰 시리얼 넘버와 같은 공유된 제2 인자 토큰 식별자 사이의 맵핑을 저장할 수 있다.
유효성 확인을 위해, 사용자는, 사용자 이름 및 패스워드와 같은 제1 인자와, 토큰으로부터의 OTP 또는 토큰에 저장된 인증서와 같은 제2 인자를 입력할 수 있다. 애플리케이션은 제1 인자를 국부적으로 유효성확인할 수 있다. 성공적인 유효성확인 후, 제1 인자와 연관될 수 있는 토큰 시리얼 넘버를 검색하고, 그 다음, 인터넷이나 가상 사설망(VPN) 등과 같은 네트워크를 통해 유효성확인 요청을 중앙집중형 유효성확인 서비스에 전송함으로써 제2 인자의 유효성을 확인할 수 있다. 이를 달성하기 위해, 그 애플리케이션을 호스팅하고 있는 기업은 중앙집중형 유효성확인 서비스에 유효성확인 프록시("인증 에이전트")를 배치할 수 있다.
도 1은 본 발명의 실시예에 따른 중앙집중형 유효성확인 서비스를 도시한다. 인터넷 서비스 프로바이더(ISP, 101) 및 뱅크(102)는 네트워크(104)를 통해 중앙집중형 유효성확인 서비스(103)에 결합된다. ISP(101)는 ISP 애플리케이션(105), ISP 인증 에이전트(106) 및 ISP 사용자 저장소(107)를 포함한다. ISP 사용자 저장소는, 하나 이상의 제1 인자들 및 사용자 신원들에 대해, 제1 인자와 (예를 들어, ISP 고객, 관리자, 고용인의 신원 등과 같은 ) 사용자 신원을 상관시킨 데이터베이스일 수 있다. 뱅크(102)는 뱅킹 애플리케이션(108), 뱅크 인증 에이전트(109) 및 뱅크 사용자 저장소(110)를 포함할 수 있다. 뱅크 사용자 저장소(110)는, 제1 인자와 (뱅크 계좌 보유자, 뱅크 오피서, 뱅크 IT 관리자, 뱅크 고용인 등과 같은) 사용자 신원을 상관시킨 데이터베이스일 수 있다. 엔드 유저(111)는 공유된 토큰을 활성화할 수 있다. 여기서, 토큰은 이 예에서 ISP(101)와 뱅크(102) 사이에서 공유된다. 그 자신을 ISP(101)에게 인증시키기 위해, 엔드 유저(111)는 그 자신의 ISP 사용자 이름을 입력할 수 있다. 이 예에서는 그 ISP 사용자 이름은 예를 들어 joe@isp.com과 같은 그 자신의 전자메일 어드레스이다. 또한, 엔드 유저(111)는 그 연관된 패스워드(예를 들어, "rolf362")와 토큰으로부터의 OTP를 입력할 수 있다. ISP는 ISP 사용자 저장소(107)를 조회함으로써 엔드 유저(111)에 의해 제공된 사용자 이름과 패스워드의 유효성을 확인한다. 사용자 저장소(107) 내의 레코드의 한 예는, 예를 들어, (joe@isp.com, "rolf362", 27582343)과 같이, 사용자 이름, 사용자 패스워드, 및 장치 식별자를 포함한다. ISP(101)는, 엔드 유저(111)로부터 수신된 OTP와 사용자 저장소로부터 검색된 토큰 식별자를 포함하는 요청을 중앙집중형 유효성확인 서비스(103)에 전송할 수 있다. 중앙집중형 유효성확인 서비 스(103)는, 토큰 유효성확인 애플리케이션(112) 및 토큰 저장소(113)를 포함할 수 있다. 토큰 저장소(113)는, 미리계산된 OTP들 및/또는 토큰 식별자와 연관된 토큰 내에 저장된 하나 이상의 비밀정보들 및/또는 토큰으로부터의 OTP를 검증하는데 필요한 기타의 정보와, 토큰 식별자들을 상관시키는 데이터베이스일 수 있다. 유효성확인 애플리케이션(112)은, 수신된 OTP와 토큰 저장소(113)로부터 얻어진 하나 이상의 OTP들을 비교하고, 및/또는, 토큰 저장소(113)로부터 얻어진 데이터에 기초하여 수신된 OTP와의 비교를 위해 OTP를 계산할 수 있다. 중앙집중형 유효성확인 서비스(103)는 OTP가 성공적으로 유효성확인되었는지의 여부를 가리키는 응답 메시지를 ISP(101)에 전송할 수 있다. ISP(101)는, 엔드 유저(111)로부터의 사용자 이름/패스워드와 OTP 양자 모두가 성공적으로 유효성이 있는 것으로 확인되었다면, 엔드 유저(111)에게 인터넷 서비스를 제공할 수 있다.
유사하게, 엔드 유저(111)는 사용자 이름(예를 들어, jsmith@bank.com)과 패스워드를 뱅크(102)에 제공할 수 있다. 뱅크(102)는 뱅크 사용자 저장소(110)를 이용하여 이에 대한 유효성을 확인할 수 있다. 뱅크(102)는 엔드 유저(111)로부터 수신된 토큰 식별자와 OTP를 중앙집중형 유효성확인 서비스(103)에 전송할 수 있다. 중앙집중형 유효성확인 서비스(103)는 사용자 이름과 패스워드에 대한 유효성을 확인하고, 응답 메시지를 뱅크(102)에 전송할 수 있다. 만일 사용자 이름 및 패스워드와 OTP 양자 모두가 성공적으로 유효성확인되면, 뱅크(102)는 엔드 유저(111)에게 엔드 유저(111) 계좌 정보 및 뱅크 서비스에 대한 액세스를 제공할 수 있다.
이 예에서, 엔드 유저(111)는 ISP(101), 뱅크(102) 또는 중앙집중형 유효성확인 저장소(103) 중 어느 하나로부터 토큰을 초기에 취득할 수 있다. 각각의 애플리케이션은, 거래 당사자들에게 인증 서비스 및 제품을 제공한데 대해 중앙집중형 유효성확인 서비스 및 토큰 발행자들에게 지불할 수 있다.
분산형 유효성확인 시스템
본 발명의 또 다른 실시예에 따르면, 제2 인자의 유효성확인을 위해 분산형 아키텍쳐가 채택된다. 도 2는 분산형 유효성확인 아키텍쳐의 실시예를 도시한다. ISP(204) 및 뱅크(102)는 인터넷과 같은 네트워크(104)를 통해 토큰 룩업 서비스(201)에 결합된다. ISP(204)는 토큰 저장소(203)를 포함할 수 있다. 이 토큰 저장소(203)는, 미리계산된 OTP들 및/또는 토큰 식별자와 연관된 토큰 내에 저장된 하나 이상의 비밀정보들 및/또는 토큰으로부터의 OTP를 검증하는데 필요한 기타의 정보와, 토큰 식별자들을 상관시키는 데이터베이스일 수 있다. 이것은 ISP(204)의 1회성 패스워드 유효성확인 서버(205)에서 구현될 수 있다.
토큰 룩업 서비스(201)는 토큰 맵핑 저장소(202)를 포함할 수 있다. 토큰 맵핑 저장소(202)는, 토큰으로부터의 제2 인자 크리덴셜을 유효성확인할 수 있는 유효성확인 서버(205)의 네트워크 어드레스(예를 들어, IP 어드레스)와 토큰 시리얼 넘버를 상관시킨 레코드들을 포함하는 데이터베이스일 수 있다. 이와 같은 유효성확인 서버는 그 토큰 시리얼 넘버에 대한 AVN(Authoritative Validation Node)이다. 몇개의 AVN들은 분산형 유효성확인 서버들의 네트워크를 포함할 수 있다. 토큰 맵핑 저장소에 저장된 레코드의 한 예는, (123.21.3.156, 1453422207)와 같은 (IP-어드레스, 토큰_식별자)일 수 있다. 이 예에서, 123.21.3.156은 1회성 패스워드 유효성확인 서버(205)의 네트워크 어드레스이고, 1453422207은 그 1회성 패스워드가 서버(205)에 의해 유효성검증되는 토큰의 식별자일 수 있다.
도 1에 도시된 예에서, ISP(101)는 토큰 시리얼 넘버들의 범위 또는 리스트를 토큰 룩업 서비스(201)에 등록함으로써 토큰 발행자처럼 행동할 수 있다. 토큰 시리얼 넘버들의 범위 또는 리스트는 토큰 맵핑 저장소(202)에 저장될 수 있고, 이 토큰 맵핑 저장소(202)는 그 시리얼 넘버들을 ISP(101)의 IP 어드레스에 상관시킨다. 뱅크(102)는 신뢰 당사자(relying part)처럼 작용한다. 엔드 유저(111)가 뱅크(102)(뱅크는 토큰의 사용자가 액세스하기를 원하는 "리소스"일 수 있음)에 의해 제공되는 정보 및 서비스에 대한 액세스를 요청할 때, 엔드 유저(111)는 제1 및 제2 인증 인자와 엔드 유저(111) 토큰에 대한 시리얼 넘버를 뱅크(102)에게 제공한다. 뱅크(102)는 뱅크 사용자 저장소(110)를 이용하여 (사용자 이름 및 패스워드와 같은) 제1 인자를 유효성확인할 수 있다. 이것은, 예를 들어, 인증 에이전트(109)를 구현하는 서버와 같은, 뱅크(102)에 있는 리소스 유효성확인 서버를 이용하여 구현될 수 있다. 이것은 Joe의 사용자 이름과 토큰 시리얼 넘버 사이의 맵핑을 로컬 사용자 저장소에 저장할 수 있다. 또한, 토큰에 대한 AVN 정보를 국부적으로 캐싱할 수도 있다. 그 캐싱은, DNS 캐싱을 위한 구현에서와 같이 구현될 수 있다.
뱅크(102)는 또한 엔드 유저(111)에 의해 제공되는 토큰 시리얼 넘버를 포함 하는 요청을 토큰 룩업 서비스(201)에 전송할 수 있다. 토큰 맵핑 저장소(202)는 그 토큰 시리얼 넘버를 AVN IP 어드레스에 상관시킨다. 이 예에서, 그 AVN IP 어드레스는 ISP(101)의 IP 어드레스이다. 토큰 룩업 서비스(201)는 AVN(ISP 101)의 IP 어드레스를 뱅크(102)에 반환할 수 있다. ISP(101)는 토큰 저장소(203)와 토큰 유효성확인 애플리케이션(205)을 포함할 수 있다. 그 다음, 뱅크(102)는 유효성확인 요청을 ISP(101)에 전송할 수 있고, ISP(101)는 토큰 유효성확인 애플리케이션(205) 및 토큰 저장소(203)를 이용하여 제2 인자의 유효성을 확인할 수 있다.
도 2에 도시된 예에서, 엔드 유저(111)는 그의 사용자 이름(joe@isp.com), 그 연관된 패스워드("rolf362"), 및 그 토큰으로부터의 OTP를 이용하여 ISP에게 인증받을 수 있다. ISP 및 뱅크 양자 모두는 분산형 유효성확인 서비스를 구현하고 있기 때문에, 엔드 유저(111)는, 그의 사용자 이름(jsmith@bank.com), 그 연관된 패스워드("Rolf362"), 및 ISP-발행 토큰으로부터의 OTP를 이용하여, 뱅크(102)에 있는 온라인 뱅크 애플리케이션에 로그인할 수 있다.
토큰 발행자, 신뢰 당사자들(relying parties), 및 토큰 룩업 서비스(201)는, 필요한 경우 서로에 대해 서로를 인증할 수 있다. 이것은 당사자들이 제2 인자 유효성확인에 대해 허가 및 빌링 기능을 도입하는 것을 허용하여, 보다 풍부한 비지니스 모델을 가능케한다.
크리덴셜 지갑(credential Wallet)
본 발명의 또 다른 실시예에 따라, 크리덴셜 지갑 모델은, 저장 및 애플리케이션 능력과 크리덴셜들을 관리하기 위한 소정 형태의 그래픽 인터페이스를 구비한 자바 휴대폰 및 PDA와 같은 차세대 이동 장치들을 레버리지(leverage)한다. 이 실시예에서, 이동 장치는 제2 인자 크리덴셜의 복수의 인스턴스들을 포함할 수 있는 '지갑'일 수 있다. 강력한 인증을 필요로하는 각각의 싸이트에 대해, 적절한 크리덴셜 또는 크리덴셜들이 액세스될 수 있다.
각각의 싸이트 또는 애플리케이션은, 동일한 물리적 장치상의 OTP들과 같은, 제2 인자 크리덴셜에 대한 그 자신의 인스턴스를 준비하고, 관리하고, 유효성을 확인할 수 있어서, 사용자가 복수의 토큰을 소지할 필요가 없도록 해준다. 예를 들어, ISP(301)는 토큰 유효성확인 애플리케이션(303)과 토큰 저장소(203)를 포함할 수 있다. 마찬가지로, 뱅크(302)는 토큰 저장소(305)와 유효성확인 애플리케이션(304)을 포함할 수 있다.
도 3에 도시된 예에서, 엔드 유저(111) 이동 전화(미도시)는 상이한 애플리케이션들 및/또는 싸이트들에 대해 준비된 상이한 OTP 크리덴셜을 가질 수 있다. 엔드 유저(111)는, 그의 ISP 사용자 이름(joe@isp.com), 연관된 패스워드("rolf362"), 및 ISP(301)에 대한 적절한 OTP를 이용함으로써, ISP(301)에 로그인할 수 있다. ISP(301)에 대한 제2 인자는, ISP 유효성확인 애플리케이션(303)과 토큰 저장소(203)를 이용하여 유효성확인될 수 있다. 엔드 유저(111)는, 도 4에 도시된 바와 같이, ISP(301)에 대한 적절한 OTP 값을 획득할 수 있다. 엔드 유저(111)는 휴대폰(403)의 디스플레이 스크린(402) 상에 나타난 적절한 아이콘을 향해 커서(401)를 스크롤할 수 있다. 엔드 유저(111)는 PIN(404)을 입력하도록 요청받는다. PIN은 휴대폰(403)에 의해 유효성확인될 수 있다. PIN의 성공적인 유효 성확인시에, OTP 값은 스크린(402) 상에 디스플레이될 수 있다(405).
엔드 유저(111)는, 자신의 사용자 이름(jsmith@bank.com), 연관된 패스워드("rolf32"), 및 자신의 휴대폰에 의해 발생되는 자신의 뱅크 OTP 토큰으로부터의 OTP값을 이용하여, 자신의 온라인 뱅크 계좌에 로그인할 수 있다. 뱅크(302)에 대한 제2 인자는, 유효성확인 애플리케이션(304) 및 토큰 저장소(305)를 이용하여 유효성확인될 수 있다.
이 크리덴셜 지갑 실시예에서, 각각의 실체는 그 자신의 제1 및 제2 인자 인증 인프라구조를 배치할 수 있다. 토큰 자체가 공유되지 않기 때문에 외부 인증/유효성확인측에 의존하지 않는다. 오히려, 다양한 토큰들이, 적절한 소프트웨어를 구비한 휴대폰과 같은 공통의 토큰-발생 장치들을 공유한다.
상기 논의된 실시예들 각각은 공존할 수 있으며, 동일한 인증 네트워크에 참여하도록 통합될 수 있다. 각각의 실시예는, 소비자 애플리케이션을 위한 인증 시스템을 사용하는데 있어서 신뢰성있고, 융통성 있으며, 경제적이고, 쉬운, 공통의 최종 상태를 향한 진화적 과정의 일부로서 독립적으로 전개될 수 있다.
본 발명의 실시예들은, 크리덴셜 식별자를 이용하여 복수의 시스템들에 걸친 다양한 장치들의 사용자 및/또는 크리덴셜을 연관시키고 인증할 수 있다. 크리덴셜 식별자는 (이름이나 전자메일 주소와 같은) 사용자에 대한 식별자이거나, (숫자와 같은) 익명 식별자일 수 있다. 익명 식별자는, (사용자 이름 및/또는 토큰 식별자, 크리덴셜 레퍼런스 등의 해싱과 같은) 한 세트의 사용자 식별자들의 일방향 변환의 결과와 같은 불투명 식별자(opaque identifier)일 수 있다.
본 발명의 실시예들은 실제의 식별자로부터 불투명 식별자를 발생하기 위해 익명화 서비스(anonymizer service)를 지원할 수 있다. 또한, 동일한 사용자에 대해 상이한 크리덴셜 식별자들이, 동일한 장치에 대한 상이한 신뢰 당사자들에 의해 사용될 수 있다. 크리덴셜은, 예를 들어, 랜덤화(순수 랜덤화, 랜덤 암호화 등)를 이용하거나, 사용자를 추적하지 않는 임의의 적절한 프로세스를 이용하여, 프라이버시를 유지하는 방식으로 전송될 수 있다.
본 발명의 실시예들에 따른 방법은, 토큰 ID에 기초하여 올바른 유효성확인 노드를 발견하기 위한 서비스, 즉, 토큰 룩업 서비스를 기술할 수 있다. 토큰 룩업 서비스는, 토큰 식별자들을 토큰 유효성확인 노드들에 맵핑하는 리스트를 유지할 수 있다. 각각의 토큰에 대해 하나 이상의 토큰 식별자가 있을 것이다. 권한있는 당사자는, 각각의 서비스에 대해 올바른 유효성확인 노드를 결정하기 위해 토큰 룩업 서비스에게 질의할 수 있다. 본 발명은 복수의 장치들 및 복수의 인증 알고리즘과 함께 동작할 수 있다. 본 발명은 데스크탑 PC 상의 소프트웨어, 이동 장치 상의 소프트웨어, 전용 하드웨어 또는 기타 임의의 적절한 플랫폼으로 구현될 수 있다.
본 발명은 1회성 패스워드, 시도/응답, 및 PKI(디지털 인증서) 기반의 크리덴셜 및 인증 알고리즘을 사용할 수 있다. 익명 장치 및 크리덴셜과, 개인 식별자를 포함하는 장치 및 크리덴셜이 채택될 수 있다.
본 발명의 실시예들은 복수의 신뢰 당사자들이 동일한 인증 장치 또는 크리덴셜에 대한 유효성확인 요청을 전송하는 것을 가능케하는 중앙집중형 서비스를 포 함한다.
본 발명의 실시예들은 "토큰 지갑"을 위해 사용될 수 있다. 이들 지갑들은 상이한 서비스들에 대해 복수의 크리덴셜들을 포함할 수 있다. 지갑 내의 각각의 크리덴셜은 복수의 서비스들에 의해 사용될 수 있다. 지갑은, OTP 크리덴셜, 디지털 인증서, 시도/응답 크리덴셜 등과 같은, 공유된 크리덴셜, 비공유 크리덴셜 및 복수 타입의 크리덴셜 중 하나 이상을 포함할 수 있다. 지갑은, 각 타입의 크리덴셜의 하나 이상을 포함하거나, 임의의 타입의 크리덴셜을 전혀 포함하지 않을 수 있다.
본 발명의 실시예들은 중앙집중형 유지보수 기능을 포함할 수 있다. 만일 크리덴셜이 분실되거나, 파손되거나, 도난된다면, 하나의 동작으로 모든 애플리케이션들에 걸쳐 토큰이 디스에이블될 수 있다. 만일 크리덴셜이 무효하거나 악용된다면, 관리자는 지정된 세트 또는 모든 세트의 애플리케이션들에 걸쳐 그 크리덴셜을 디스에이블할 수 있다. 이것은 하나의 동작으로 이루어질 수 있다.
전술된 설명들은 본 발명을 설명하기 위함이지 본 발명의 범위를 제한하기 위함이 아니다. 명시적으로 전술되지 않은 기타의 실시예들도, 당업자라면 이해하는 바와 같이 특허청구범위에 의해 포함된다.
Claims (6)
- 인증 시스템에 있어서,식별자를 구비하며 1회성 패스워드를 발생하도록 구성된 토큰;토큰에 의해 발생된 상기 1회성 패스워드를 유효성확인하도록 구성되며 네트워크 어드레스를 갖는 1회성 패스워드 유효성확인 서버;토큰 식별자를 상기 유효성확인 서버의 네트워크 위치와 상관시키도록 구성된 토큰 룩업 서버;토큰의 사용자에 의해 제공된 적어도 제1 인증 인자를 유효성확인하고, 만일 제1 인자가 성공적으로 유효성확인되면 상기 1회성 패스워드 유효성확인 서버의 위치에 대한 요청을 상기 토큰 룩업 서버에게 전송하고, 1회성 패스워드 유효성확인 요청을 상기 1회성 패스워드 유효성확인 서버에 전송하도록 구성된 리소스 유효성확인 서버를 포함하는 인증 시스템.
- 제1항에 있어서, 상기 토큰의 사용자에 의해 제공된 상기 제1 인증 인자는 사용자 이름을 포함하는 것인, 인증 시스템.
- 제1항에 있어서, 상기 토큰의 사용자에 의해 제공된 상기 제1 인증 인자는, 상기 토큰의 사용자와 상기 리소스 유효성확인 서버 사이에서 공유되는 비밀정 보(secret)를 포함하는 것인, 인증 시스템.
- 토큰 룩업 서버에 있어서,프로세서;상기 프로세서에 결합된 메모리를 포함하고,상기 프로세서와 상기 메모리는 1회성 패스워드 유효성확인 서버의 네트워크 어드레스 및 토큰 식별자를 저장하도록 구성되며, 상기 1회성 패스워드 유효성확인 서버는 상기 토큰 식별자에 대응하는 토큰에 의해 발생된 1회성 패스워드를 유효성확인하도록 구성된 것인, 토큰 룩업 서버.
- 제4항에 있어서, 상기 프로세서와 상기 메모리는 토큰에 대한 1회성 패스워드 유효성확인 서버에 대하여 네트워크 어드레스 요청을 수신하고, 수신된 상기 요청에 응답하여 상기 수신된 토큰 어드레스 식별자에 대응하는 네트워크 어드레스를 결정하여 상기 결정된 네트워크 어드레스를 전송하도록 더 구성되고, 상기 요청은 상기 토큰에 대응하는 토큰을 포함하는 것인, 토큰 룩업 서버.
- 인증하기 위한 방법에 있어서,1회성 패스워드 유효성확인 서버의 네트워크 어드레스에 대한 요청을 토큰 룩업 서비스에서 수신하는 단계로서, 상기 요청은 토큰 식별자를 포함하는 것인, 상기 수신하는 단계와;상기 수신된 토큰 식별자와 1회성 패스워드 유효성확인 서버에 대응하는 네트워크 어드레스를 결정하는 단계와;상기 요청에 응답하여 상기 네트워크 어드레스를 전송하는 단계를 포함하는 인증 방법.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US67821405P | 2005-05-06 | 2005-05-06 | |
US60/678,214 | 2005-05-06 | ||
PCT/US2006/017404 WO2006121854A2 (en) | 2005-05-06 | 2006-05-05 | Token sharing system and method |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20080012946A true KR20080012946A (ko) | 2008-02-12 |
KR101281217B1 KR101281217B1 (ko) | 2013-07-02 |
Family
ID=37397124
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020077028558A KR101281217B1 (ko) | 2005-05-06 | 2006-05-05 | 토큰 공유 시스템 및 방법 |
Country Status (8)
Country | Link |
---|---|
US (1) | US9185108B2 (ko) |
EP (1) | EP1883782B1 (ko) |
JP (1) | JP5207965B2 (ko) |
KR (1) | KR101281217B1 (ko) |
CN (1) | CN101218559A (ko) |
AU (1) | AU2006244447B2 (ko) |
CA (1) | CA2607562C (ko) |
WO (1) | WO2006121854A2 (ko) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013062393A1 (ko) * | 2011-10-28 | 2013-05-02 | 삼성전자 주식회사 | 이동 통신 시스템 에서 단일 사용자 승인을 지원하는 관리 방법 및 장치 |
Families Citing this family (78)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101048898B (zh) * | 2004-10-29 | 2012-02-01 | 麦德托尼克公司 | 锂离子电池及医疗装置 |
JP5207965B2 (ja) | 2005-05-06 | 2013-06-12 | ベリサイン・インコーポレイテッド | トークン共有システムおよび方法 |
ES2517865T3 (es) * | 2006-03-08 | 2014-11-04 | Monitise Limited | Métodos, aparatos y software para usar un testigo para calcular contraseña limitada en tiempo en teléfono celular |
WO2007119667A1 (en) * | 2006-03-29 | 2007-10-25 | Casio Computer Co., Ltd. | Identification information output device |
US9769158B2 (en) * | 2006-06-07 | 2017-09-19 | Red Hat, Inc. | Guided enrollment and login for token users |
EP2120392B8 (en) | 2007-02-07 | 2016-03-30 | Nippon Telegraph and Telephone Corporation | Certificate authenticating method, certificate issuing device, and authentication device |
US8074257B2 (en) * | 2007-03-16 | 2011-12-06 | Felsted Patrick R | Framework and technology to enable the portability of information cards |
US20090204622A1 (en) * | 2008-02-11 | 2009-08-13 | Novell, Inc. | Visual and non-visual cues for conveying state of information cards, electronic wallets, and keyrings |
US20090249430A1 (en) * | 2008-03-25 | 2009-10-01 | Novell, Inc. | Claim category handling |
US8151324B2 (en) | 2007-03-16 | 2012-04-03 | Lloyd Leon Burch | Remotable information cards |
US20090228885A1 (en) * | 2008-03-07 | 2009-09-10 | Novell, Inc. | System and method for using workflows with information cards |
US20090077627A1 (en) * | 2007-03-16 | 2009-03-19 | Novell, Inc. | Information card federation point tracking and management |
US20090077655A1 (en) * | 2007-09-19 | 2009-03-19 | Novell, Inc. | Processing html extensions to enable support of information cards by a relying party |
US20090077118A1 (en) * | 2007-03-16 | 2009-03-19 | Novell, Inc. | Information card federation point tracking and management |
US20090178112A1 (en) * | 2007-03-16 | 2009-07-09 | Novell, Inc. | Level of service descriptors |
US8954745B2 (en) * | 2007-04-03 | 2015-02-10 | Alcatel Lucent | Method and apparatus for generating one-time passwords |
JP4663676B2 (ja) * | 2007-04-20 | 2011-04-06 | さくら情報システム株式会社 | ワンタイムパスワード装置およびシステム |
US20090031407A1 (en) * | 2007-07-24 | 2009-01-29 | Shaobo Kuang | Method and system for security check or verification |
US8839383B2 (en) * | 2007-08-20 | 2014-09-16 | Goldman, Sachs & Co. | Authentification broker for the securities industry |
US20090183246A1 (en) * | 2008-01-15 | 2009-07-16 | Authlogic Inc. | Universal multi-factor authentication |
US20090199284A1 (en) * | 2008-02-06 | 2009-08-06 | Novell, Inc. | Methods for setting and changing the user credential in information cards |
US8117648B2 (en) | 2008-02-08 | 2012-02-14 | Intersections, Inc. | Secure information storage and delivery system and method |
US20090205035A1 (en) * | 2008-02-11 | 2009-08-13 | Novell, Inc. | Info card selector reception of identity provider based data pertaining to info cards |
US20090217368A1 (en) * | 2008-02-27 | 2009-08-27 | Novell, Inc. | System and method for secure account reset utilizing information cards |
US8079069B2 (en) * | 2008-03-24 | 2011-12-13 | Oracle International Corporation | Cardspace history validator |
US20090272797A1 (en) * | 2008-04-30 | 2009-11-05 | Novell, Inc. A Delaware Corporation | Dynamic information card rendering |
US20100011409A1 (en) * | 2008-07-09 | 2010-01-14 | Novell, Inc. | Non-interactive information card token generation |
US8438622B2 (en) * | 2008-07-10 | 2013-05-07 | Honesty Online, Llc | Methods and apparatus for authorizing access to data |
US20100031328A1 (en) * | 2008-07-31 | 2010-02-04 | Novell, Inc. | Site-specific credential generation using information cards |
US8032932B2 (en) | 2008-08-22 | 2011-10-04 | Citibank, N.A. | Systems and methods for providing security token authentication |
US8561172B2 (en) * | 2008-08-29 | 2013-10-15 | Novell Intellectual Property Holdings, Inc. | System and method for virtual information cards |
US20100083000A1 (en) * | 2008-09-16 | 2010-04-01 | Validity Sensors, Inc. | Fingerprint Sensor Device and System with Verification Token and Methods of Using |
US20100095372A1 (en) * | 2008-10-09 | 2010-04-15 | Novell, Inc. | Trusted relying party proxy for information card tokens |
US8083135B2 (en) * | 2009-01-12 | 2011-12-27 | Novell, Inc. | Information card overlay |
US8632003B2 (en) * | 2009-01-27 | 2014-01-21 | Novell, Inc. | Multiple persona information cards |
US20100251353A1 (en) * | 2009-03-25 | 2010-09-30 | Novell, Inc. | User-authorized information card delegation |
WO2010117329A1 (en) * | 2009-04-09 | 2010-10-14 | Nordic Edge Ab | Method and system for generating one-time passwords |
US9088414B2 (en) * | 2009-06-01 | 2015-07-21 | Microsoft Technology Licensing, Llc | Asynchronous identity establishment through a web-based application |
US8904519B2 (en) * | 2009-06-18 | 2014-12-02 | Verisign, Inc. | Shared registration system multi-factor authentication |
US20110083018A1 (en) * | 2009-10-06 | 2011-04-07 | Validity Sensors, Inc. | Secure User Authentication |
US9021601B2 (en) | 2009-10-23 | 2015-04-28 | Vasco Data Security, Inc. | Strong authentication token usable with a plurality of independent application providers |
US8850196B2 (en) | 2010-03-29 | 2014-09-30 | Motorola Solutions, Inc. | Methods for authentication using near-field |
GB201016084D0 (en) * | 2010-09-24 | 2010-11-10 | Pixelmags Inc | Authorization method |
JP5618883B2 (ja) * | 2011-03-28 | 2014-11-05 | 西日本電信電話株式会社 | 認証システム、認証連携装置、認証方法 |
US8590030B1 (en) * | 2011-04-14 | 2013-11-19 | Symantec Corporation | Credential seed provisioning system |
US8688589B2 (en) | 2011-04-15 | 2014-04-01 | Shift4 Corporation | Method and system for utilizing authorization factor pools |
US9818111B2 (en) | 2011-04-15 | 2017-11-14 | Shift4 Corporation | Merchant-based token sharing |
US9256874B2 (en) | 2011-04-15 | 2016-02-09 | Shift4 Corporation | Method and system for enabling merchants to share tokens |
WO2013100918A1 (en) | 2011-12-27 | 2013-07-04 | Intel Corporation | Authenticating to a network via a device-specific one time password |
JP5968077B2 (ja) * | 2012-05-22 | 2016-08-10 | キヤノン株式会社 | 情報処理装置、その制御方法、プログラム、及び画像処理装置 |
US8806599B2 (en) * | 2012-06-11 | 2014-08-12 | Symantec Corporation | Systems and methods for implementing multi-factor authentication |
US20130347075A1 (en) * | 2012-06-22 | 2013-12-26 | Tyfone, Inc. | Method and apparatus for secure consolidation of cloud services |
US9589399B2 (en) | 2012-07-02 | 2017-03-07 | Synaptics Incorporated | Credential quality assessment engine systems and methods |
JP2014026476A (ja) * | 2012-07-27 | 2014-02-06 | Dainippon Printing Co Ltd | 回収収容体およびそれを用いた認証システム |
US10540515B2 (en) | 2012-11-09 | 2020-01-21 | autoGraph, Inc. | Consumer and brand owner data management tools and consumer privacy tools |
US8782766B1 (en) * | 2012-12-27 | 2014-07-15 | Motorola Solutions, Inc. | Method and apparatus for single sign-on collaboration among mobile devices |
US8806205B2 (en) | 2012-12-27 | 2014-08-12 | Motorola Solutions, Inc. | Apparatus for and method of multi-factor authentication among collaborating communication devices |
US8955081B2 (en) * | 2012-12-27 | 2015-02-10 | Motorola Solutions, Inc. | Method and apparatus for single sign-on collaboraton among mobile devices |
CN103647645B (zh) * | 2013-11-05 | 2017-04-05 | 北京宏基恒信科技有限责任公司 | 多认证服务器的动态口令认证方法、系统和装置 |
US20160184710A1 (en) * | 2014-12-31 | 2016-06-30 | Wrafl, Inc. | Secure Computing for Virtual Environment and Interactive Experiences |
CN105847220A (zh) * | 2015-01-14 | 2016-08-10 | 北京神州泰岳软件股份有限公司 | 一种认证方法、系统和服务平台 |
US11456876B2 (en) * | 2015-03-26 | 2022-09-27 | Assa Abloy Ab | Virtual credentials and licenses |
US10305891B2 (en) * | 2016-05-12 | 2019-05-28 | Bank Of America Corporation | Preventing unauthorized access to secured information systems using multi-device authentication techniques |
US10091194B2 (en) | 2016-05-12 | 2018-10-02 | Bank Of America Corporation | Preventing unauthorized access to secured information systems using multi-device authentication techniques |
US10212152B2 (en) * | 2016-05-19 | 2019-02-19 | Sugarcrm Inc. | Advanced application security utilizing an application key |
WO2017210420A1 (en) * | 2016-06-01 | 2017-12-07 | Mastercard International Incorporated | Systems and methods for use in facilitating network transactions |
EP3465525A4 (en) * | 2016-06-02 | 2020-04-01 | AutoGraph, Inc. | INSTRUMENTS FOR MANAGING CONSUMER AND BRAND OWNERS 'DATA AND PRIVACY INSTRUMENTS FOR CONSUMERS |
US10607001B2 (en) * | 2016-06-29 | 2020-03-31 | Hancom Inc. | Web-based electronic document service apparatus capable of authenticating document editing and operating method thereof |
US20180047018A1 (en) * | 2016-08-15 | 2018-02-15 | Capital One Services, Llc | Browser extension for field detection and automatic population and submission |
US10498724B2 (en) * | 2016-12-22 | 2019-12-03 | Fujitsu Limited | Digital community system |
US10554641B2 (en) | 2017-02-27 | 2020-02-04 | International Business Machines Corporation | Second factor authorization via a hardware token device |
US10003464B1 (en) * | 2017-06-07 | 2018-06-19 | Cerebral, Incorporated | Biometric identification system and associated methods |
JP6647258B2 (ja) | 2017-09-11 | 2020-02-14 | Capy株式会社 | ユーザ認証方法、評価装置、プログラム、及びユーザ認証システム |
US11405375B2 (en) * | 2018-09-27 | 2022-08-02 | Lenovo (Singapore) Pte. Ltd. | Device and method for receiving a temporary credit token |
EP3881517A4 (en) * | 2018-11-15 | 2022-01-12 | Visa International Service Association | RISK-SENSITIVE COLLABORATIVE AUTHENTICATION |
US11469894B2 (en) * | 2019-05-20 | 2022-10-11 | Citrix Systems, Inc. | Computing system and methods providing session access based upon authentication token with different authentication credentials |
JP7395938B2 (ja) * | 2019-10-09 | 2023-12-12 | 富士フイルムビジネスイノベーション株式会社 | 情報処理装置、情報処理システム及びプログラム |
US20230137767A1 (en) * | 2021-10-28 | 2023-05-04 | Google Llc | Using co-located secondary devices to protect against cookie theft |
Family Cites Families (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5544322A (en) * | 1994-05-09 | 1996-08-06 | International Business Machines Corporation | System and method for policy-based inter-realm authentication within a distributed processing system |
US5943423A (en) | 1995-12-15 | 1999-08-24 | Entegrity Solutions Corporation | Smart token system for secure electronic transactions and identification |
US5930804A (en) * | 1997-06-09 | 1999-07-27 | Philips Electronics North America Corporation | Web-based biometric authentication system and method |
US6263446B1 (en) | 1997-12-23 | 2001-07-17 | Arcot Systems, Inc. | Method and apparatus for secure distribution of authentication credentials to roaming users |
US6510236B1 (en) * | 1998-12-11 | 2003-01-21 | International Business Machines Corporation | Authentication framework for managing authentication requests from multiple authentication devices |
JP3872616B2 (ja) * | 1999-08-27 | 2007-01-24 | 財団法人九州システム情報技術研究所 | 共有鍵暗号型のicカードによるインターネット上のユーザー認証方式 |
FI19992343A (fi) | 1999-10-29 | 2001-04-30 | Nokia Mobile Phones Ltd | Menetelmä ja järjestely käyttäjän luotettavaksi tunnistamiseksi tietokonejärjestelmässä |
DE60024319T2 (de) | 2000-02-08 | 2006-08-03 | Swisscom Mobile Ag | Vereinter einloggungsprozess |
WO2002048846A2 (en) * | 2000-12-14 | 2002-06-20 | Quizid Technologies Limited | An authentication system |
US20020198848A1 (en) * | 2001-06-26 | 2002-12-26 | Michener John R. | Transaction verification system and method |
US7590859B2 (en) * | 2001-08-24 | 2009-09-15 | Secure Computing Corporation | System and method for accomplishing two-factor user authentication using the internet |
US7085840B2 (en) * | 2001-10-29 | 2006-08-01 | Sun Microsystems, Inc. | Enhanced quality of identification in a data communications network |
US6781920B2 (en) * | 2001-12-05 | 2004-08-24 | International Business Machines Corporation | Method for resolving meeting conflicts within an electronic calendar application |
US7996888B2 (en) | 2002-01-11 | 2011-08-09 | Nokia Corporation | Virtual identity apparatus and method for using same |
US20050044385A1 (en) * | 2002-09-09 | 2005-02-24 | John Holdsworth | Systems and methods for secure authentication of electronic transactions |
US7359982B1 (en) * | 2002-12-26 | 2008-04-15 | International Business Machines Corporation | System and method for facilitating access to content information |
US7349949B1 (en) * | 2002-12-26 | 2008-03-25 | International Business Machines Corporation | System and method for facilitating development of a customizable portlet |
JP2004342088A (ja) * | 2003-04-21 | 2004-12-02 | Sony Corp | 端末機器認証システム、端末機器、第1の振り分けサーバ、振り分けシステム、サービスサーバ、第2の振り分けサーバ、端末機器方法、第1の振り分け方法、振り分け方法、サービス提供方法、サービスサーバ方法、第1の振り分け方法、第2の振り分け方法、端末機器プログラム、第1の振り分けプログラム、振り分けプログラム、サービスサーバプログラム、第2の振り分けプログラム、及び記憶媒体 |
US7370195B2 (en) * | 2003-09-22 | 2008-05-06 | Microsoft Corporation | Moving principals across security boundaries without service interruption |
US7762470B2 (en) | 2003-11-17 | 2010-07-27 | Dpd Patent Trust Ltd. | RFID token with multiple interface controller |
JP5207965B2 (ja) | 2005-05-06 | 2013-06-12 | ベリサイン・インコーポレイテッド | トークン共有システムおよび方法 |
-
2006
- 2006-05-05 JP JP2008510256A patent/JP5207965B2/ja active Active
- 2006-05-05 WO PCT/US2006/017404 patent/WO2006121854A2/en active Application Filing
- 2006-05-05 EP EP06759151.1A patent/EP1883782B1/en active Active
- 2006-05-05 AU AU2006244447A patent/AU2006244447B2/en not_active Ceased
- 2006-05-05 US US11/418,227 patent/US9185108B2/en not_active Expired - Fee Related
- 2006-05-05 CN CNA2006800246984A patent/CN101218559A/zh active Pending
- 2006-05-05 KR KR1020077028558A patent/KR101281217B1/ko active IP Right Grant
- 2006-05-05 CA CA2607562A patent/CA2607562C/en not_active Expired - Fee Related
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013062393A1 (ko) * | 2011-10-28 | 2013-05-02 | 삼성전자 주식회사 | 이동 통신 시스템 에서 단일 사용자 승인을 지원하는 관리 방법 및 장치 |
US9485654B2 (en) | 2011-10-28 | 2016-11-01 | Samsung Electronics Co., Ltd. | Method and apparatus for supporting single sign-on in a mobile communication system |
Also Published As
Publication number | Publication date |
---|---|
WO2006121854A2 (en) | 2006-11-16 |
JP5207965B2 (ja) | 2013-06-12 |
US20070016943A1 (en) | 2007-01-18 |
EP1883782A4 (en) | 2013-01-23 |
CN101218559A (zh) | 2008-07-09 |
CA2607562C (en) | 2016-07-12 |
JP2008541242A (ja) | 2008-11-20 |
EP1883782B1 (en) | 2014-10-15 |
WO2006121854A3 (en) | 2008-01-17 |
CA2607562A1 (en) | 2006-11-16 |
EP1883782A2 (en) | 2008-02-06 |
AU2006244447B2 (en) | 2011-08-18 |
AU2006244447A1 (en) | 2006-11-16 |
US9185108B2 (en) | 2015-11-10 |
KR101281217B1 (ko) | 2013-07-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101281217B1 (ko) | 토큰 공유 시스템 및 방법 | |
Lux et al. | Distributed-ledger-based authentication with decentralized identifiers and verifiable credentials | |
US7591008B2 (en) | Client authentication using multiple user certificates | |
US7512782B2 (en) | Method and system for using a web service license | |
US7320073B2 (en) | Secure method for roaming keys and certificates | |
US20030217148A1 (en) | Method and apparatus for LAN authentication on switch | |
US20040003287A1 (en) | Method for authenticating kerberos users from common web browsers | |
US20070150942A1 (en) | Centralized identity verification and/or password validation | |
US10250589B2 (en) | System and method for protecting access to authentication systems | |
Gupta et al. | An identity based access control and mutual authentication framework for distributed cloud computing services in IoT environment using smart cards | |
US20070255815A1 (en) | Software, Systems, and Methods for Secure, Authenticated Data Exchange | |
US7428637B1 (en) | Dynamic authentication and initialization method | |
Murukutla et al. | Single sign on for cloud | |
US9894057B2 (en) | Method and system for managing secure custom domains | |
Yurcik et al. | Credential Wallets: A Classification of Credential Repositories Highlighting MyProxy | |
Alnahari et al. | Authentication of IoT device and IoT server using security key | |
US20150143129A1 (en) | Secure mobile identity | |
Binu et al. | A mobile based remote user authentication scheme without verifier table for cloud based services | |
Halpin et al. | Federated identity as capabilities | |
Paul et al. | 5G-enabled decentralised services | |
US20240007454A1 (en) | Systems and methods for using enterprise idp functionality to authorize user access across servers | |
Olmsted | Secure autonomous process communication | |
Singh | A secure and reliable authentication mechanism for users of microsoft cardspace framework | |
Anantula et al. | Preserving privacy in Cloud based applications using two-factor authentication (TOTP/WTP) | |
Bisbal | Public Key Distribution and Authentication Using LDAP |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20180601 Year of fee payment: 6 |