KR20150135393A - 제3자를 통한 임의의 애플리케이션으로의 안전한 자동 인증 액세스 - Google Patents

제3자를 통한 임의의 애플리케이션으로의 안전한 자동 인증 액세스 Download PDF

Info

Publication number
KR20150135393A
KR20150135393A KR1020157030245A KR20157030245A KR20150135393A KR 20150135393 A KR20150135393 A KR 20150135393A KR 1020157030245 A KR1020157030245 A KR 1020157030245A KR 20157030245 A KR20157030245 A KR 20157030245A KR 20150135393 A KR20150135393 A KR 20150135393A
Authority
KR
South Korea
Prior art keywords
certificates
input
party application
user
information
Prior art date
Application number
KR1020157030245A
Other languages
English (en)
Other versions
KR101742900B1 (ko
Inventor
에티엔느 카론
콰쿠 지그아
매튜 르네
리차드 브루노
Original Assignee
맥아피 인코퍼레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 맥아피 인코퍼레이티드 filed Critical 맥아피 인코퍼레이티드
Publication of KR20150135393A publication Critical patent/KR20150135393A/ko
Application granted granted Critical
Publication of KR101742900B1 publication Critical patent/KR101742900B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/316User authentication by observing the pattern of computer usage, e.g. typical user behaviour

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • User Interface Of Digital Computer (AREA)
  • Information Transfer Between Computers (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

다수의 모바일, 임베디드 또는 웹 기반의 애플리케이션들에 사용자들이 안전하게 액세스하는 방법 및 프로세스가 제공되며, 이에 의하면 각각은 상이한 인증을 요구하고, 이러한 애플리케이션들에 대한 액세스는 단일 인증 및 인가 소프트웨어의 사용을 통해 자동화되며; 이러한 소프트웨어는 이에 의해 개별 인가들을 안전하게 관리하고, 그렇게 해서, 디바이스와는 독립적으로 임의의 애플리케이션에 의해 요구되는 인증이 사용된다. 적절히 인증된 정당한 사용자(들)만이 그들의 애플리케이션들에 액세스하는 것을 보장하면서 임의의 침해 및 조작에 대해 보호하기 위해, 본 방법은, 이러한 애플리케이션들을 액세스하는데 요구되는 비밀 정보를 안전하게 하고, 임의의 민감한 정보에 대해 노출을 최소화한다. 더욱이, 정보를 보호하는 임의의 비밀들은 자체로 안전하고 강력하게 되며, 액세스의 수단은 안정성 및 기밀을 보호하는 동안 가능한 간략화되고 자동화된다.

Description

제3자를 통한 임의의 애플리케이션으로의 안전한 자동 인증 액세스{SECURE AUTOMATIC AUTHORIZED ACCESS TO ANY APPLICATION THROUGH A THIRD PARTY}
본 발명은 일반적으로, 모바일, 임베디드 또는 웹 기반의 애플리케이션들을 안전하게 액세스할 뿐만 아니라 이에 관련된 데이터를 안전하게 통신하는 시스템들, 방법들 및 프로세스들의 사용에 관한 것이다. 보다 구체적으로, 본 발명은, 각각 상이한 인증을 요구하는 다수의 모바일, 임베디드 또는 웹 기반의 애플리케이션들에 사용자들이 안전하게 액세스하는 방법 및 프로세스에 관한 것으로, 이에 의하면 이러한 액세스는 단일 인증 및 인가 소프트웨어의 사용을 통해 자동화된다. 이러한 인증 및 인가 소프트웨어는, 임의의 개별 인가를 안전하게 관리하고, 그렇게 해서, 임의의 애플리케이션에 의해 및 이에 대해 요구되는 인증을 안전하게 관리한다.
다수의 모바일, 임베디드 또는 클라우드 기반의 애플리케이션들은, 적어도, 하나 이상의 디바이스들 상에서 사용자 이름 및 비밀번호가 액세스될 것을 요구한다. 사용자들은 애플리케이션 당 하나보다 많은 계정을 가질 수 있다. 정당한 사용자가 이러한 애플리케이션들에 액세스하기 위해서, 그 또는 그녀는, 예를 들어, 통상적으로, 모든 애플리케이션들 및 계정들에 대해 동일한 사용자 이름 및 비밀번호를 채택하거나, 또는 각 경우에 대해 선택된 다양한 사용자 이름들 및 관련된 비밀번호들을 리스트 상에 저장한다. 대개, 이러한 정보를 입력하는 편의성을 위해, 대부분의 정당한 사용자들은 강력한 사용자 이름들, 또는 더 중요하게는, 강력한 비밀번호들 또는 기타 식별 정보를 선택하지 않는다. 이러한 접근방식들 양자 모두는, 인가받지 못한, 부당한 당사자들이 사이트들 및 정보에 액세스하는 것 뿐만 아니라 잠재적으로는 정당한 사용자들에게 속하는 데이터를 조작하는 것에 취약하다.
적절히 인증된 정당한 사용자(들)만이 그들의 애플리케이션들에 액세스하는 것을 보장하면서 이러한 침해 및 조작에 대해 보호하는 것은, 이러한 애플리케이션들을 액세스하는데 요구되는 임의의 비밀 정보를 안전하게 하는 것 뿐만 아니라 임의의 노출된 민감한 정보의 노출을 최소화하는 것을 요구한다. 더욱이, 정보를 보호하는 임의의 비밀들은 자체로 강력해야 하며, 액세스는 기밀을 보호하고 보장하는 과정에서 가능한 간단하고 자동화될 필요가 있다.
"Cloud-based data backup and sync with secure local storage of access keys"라는 제목의 US 20130145447 A1은 안전한 온라인 데이터 액세스를 위해 제공되는 방법들 및 시스템들을 개시한다. 일 실시예에서는, 사용자 마스터 비밀번호들이 서버에서 요구되지 않는 경우에 보안의 3개 레벨들이 제공된다. 사용자 디바이스는, 스토리지 서비스에 등록할 수 있고, 해당 디바이스 상에 및 해당 서비스에 저장되는 사용자 디바이스 키를 수신할 수 있다. 사용자 디바이스 키는 스토리지 서비스에 의해 사용자 디바이스를 인증하는데 사용될 수 있다. 스토리지 서비스에서의 데이터가 마스터 비밀번호로 암호화되므로, 데이터는 공개로부터 보호될 수 있다. 사용자 마스터 키 또는 그 파생물이 인증에 사용되지 않으므로, 데이터는 공개 또는 인증 인증서들의 파기로부터 보호될 수 있다. 암호화 및 복호화는 따라서 사용자 디바이스로부터 외부에 공개되지 않을 수 있는 사용자 마스터 키에 의해 사용자 디바이스 상에서 수행될 수 있다.
"Method and system for extraction and accumulation of shopping data"라는 제목의 US 20120253985 A1은 쇼핑 카트 확인 자동화에 대한 방법을 개시하며, 웹 페이지가 쇼핑 카트 구조를 포함하는지 및 사용자가 체크아웃 절차를 착수하려는 소망을 표현했는지를 판정하도록 웹페이지를 분석하는 단계, 체크아웃 터널의 페이지들로부터 쇼핑 카트 및 기타 가격 엘리먼트들을 추출하는 단계, 쇼핑 거래에 대한 이러한 정보를 축적하는 단계, 축적된 정보를 사용하여 쇼핑 거래를 확인하는 단계, 및 사용자가 확인시 거래를 확정 또는 취소하게 하는 단계를 포함한다. 대안적으로, 본 방법은, 쇼핑 카트가 확인될 수 없는 경우 거래가 조정될 수 없다는 점을 사용자에게 메시지로 보낼 수 있다. 또한, 시스템은, 체크아웃 터널의 페이지들의 스크린 샷들을 포함하는, 거래 상세사항들을 저장하는 이력 데이터베이스를 유리하게 구축할 수 있다.
"Method and computer system for purchase on the web"이라는 제목의 US 20120116921 A1은 온라인 구매 자동화에 대한 방법을 개시하며, 사용자가 구매 행위에 관련된 웹 페이지를 찾아보거나 또는 수신할 것을 선택한 때를 식별하는 단계, 웹 페이지의 콘텐츠가 수신될 때를 식별하는 단계; 사전에 웹 페이지에 관한 상세한 구조적 정보를 요구하지 않고, 구매 행위와 동시에 웹 페이지를 분석하는 단계, 및 웹 페이지 또는 관련된 데이터 엘리먼트들을 분석하는 것에 의해, 웹 페이지가 구매 행위에 관련되는지를 판정하는 단계를 포함한다. 웹 페이지가 구매 행위에 관련되면, 다음 단계들은, 웹 페이지 또는 관련된 데이터 엘리먼트들의 사용자 인터페이스 엘리먼트들을 결정하는 단계, 사용자 인터페이스 엘리먼트들의 분석에 기초하여 구매에 대한 사이트 독립형(site-independent) 고객 데이터를 검색하는 단계, 웹 페이지의 적어도 일부를 채우는데 사이트 독립형 고객 데이터를 사용하여 사용자 입력을 시뮬레이트하는 단계, 및 사용자 행위에 대해 채워진 구매 페이지를 사용자에게 디스플레이하는 단계를 포함한다.
"Task automation for unformatted tasks determined by user interface presentation formats"이라는 제목의 US 20120117569 A1은 웹 페이지 태스크 자동화에 대해 제공되는 방법들 및 시스템들을 개시한다. 일 실시예에서, 본 방법은: i) 하이 레벨 태스크를 일련의 앤쓰로포미메틱(anthropomimetic) 서브루틴들로 분해하는 단계, ii) 각 루틴을, 예를 들어 작업의 단위 지분들로서 저장되는, 일련의 앤쓰로포미메틱 행위들 또는 단계들로 분해하는 단계, iii) 작업의 각 단위 지분에 대해, 웹 페이지의 콘텐츠와 상호작용하는 컴퓨터 코드를 생성하는 단계, iv) 생성된 컴퓨터 코드를 웹 인터페이스 모듈에 의해 실행하고, 컴퓨터 코드의 실행의 결과들을 송신하는 단계를 포함하고, iii) 및 iv)의 단계들은, 논리 태스크에 대한 서브루틴들의 시퀀스가 달성될 때까지, 서브루틴의 모든 단계들이 실행될 때까지 반복된다.
"Anthropomimetic analysis engine for analyzing online forms to determine user view-based web page semantics"라는 제목의 US 20120117455 A1은, 선택들을 제공함, 정보를 제공함 및 다른 방식으로 웹사이트와 상호작용함에 있어서 클라이언트의 사용자를 돕기 위해, 클라이언트 제어 하에서, 웹 페이지들을 실시간으로 검토하고, 웹사이트의 웹 페이지들과의 상호작용을 제어하도록 실행되는 분석 엔진을 개시한다. 웹 페이지들을 분석함에 있어서, 이러한 엔진은, 룰 기반의 로직을 사용하고, 웹 페이지들을, HTML 포맷된 파일들과 같은 그 본래 형태로 단순하게 고려하는 것에 의해서와는 대조적으로, 앤쓰로포미메틱 관점으로부터 웹 페이지들을 고려한다, 즉, 인간 사용자에 의해 인식되고 다루어질 콘텐츠, 형태들 및 상호작용 엘리먼트를 고려한다.
따라서, 안전이 보장되지 않은 공개 네트워크들에 의한 다수의 디바이스들 상의 멀티-애플리케이션 및 멀티-계정 액세스를 항상 진화시키기 위한 안전한 미래형(future-proof) 방법이 필요하다.
이러한 배경 정보는 출원인이 본 발명에 관련성이 있을 수 있다고 신뢰하는 정보를 드러내기 위해 제공된다. 앞선 정보 중 어느 것도 본 발명에 대해 종래 기술을 구성하는 것으로 의도되지 않으며 그렇게 해석되어서도 안 된다.
본 발명은, 적어도 하나의 실시예에서, 사용자들이 다수의 모바일, 임베디드 또는 웹 기반의 애플리케이션들에 안전하게 액세스하는 방법 및 프로세스를 제공하며, 이에 의하면 각각은 상이한 인증을 요구하고, 이러한 애플리케이션들에 대한 액세스는 단일 인증 및 인가 소프트웨어의 사용을 통해 자동화되고; 이러한 소프트웨어는 이에 의해 개별 인가들을 안전하게 관리하고, 그렇게 해서, 임의의 디바이스 상에서 임의의 개별 애플리케이션에 의해 요구되는 인증을 안전하게 관리한다. 적어도 하나의 실시예에서, 본 발명은 적절히 인증된 정당한 사용자(들)만이 그들의 애플리케이션들에 액세스하는 것을 보장하면서 임의의 침해 및 조작에 대해 보호한다. 본 방법은, 이러한 애플리케이션들을 액세스하는데 요구되는 비밀 정보를 안전하게 하고, 임의의 사용자의 민감한 정보의 노출을 최소화한다. 더욱이, 자체로 정보를 보호하는 임의의 비밀들은 강력하게 되며, 액세스의 수단은 모든 데이터의 안전성 및 기밀을 보호하는 동안 내내 가능한 간략화되고 자동화된다.
적어도 하나의 실시예에서, 본 발명은, 임의의 제3자 애플리케이션에 대한 안전안 인가된 액세스를 제공하는 방법을 제공하며, 액세스가능성 기능을 인에이블하는 단계; 액세스가능성 기능을 갖는 액세스가능성 기능 이벤트를 검출하는 단계, 입력 메소드를 활성화하는 단계, 입력 메소드와 제3자 애플리케이션 사이의 통신을 수립하는 단계, 입력 메소드에 의해 제3자 애플리케이션의 입력 필드 특징들을 검색하는 단계, 입력 필드 특징들을 안전하게 저장하는 단계, 제3자 애플리케이션에 대응하는 고유 풋프린트를 생성하도록 입력 필드 특징들을 취합하는 단계, 이렇게 취득된 고유 풋프린트를 안전하게 저장하는 단계, 및 안전하게된 암호키들을 제외하고, 안전하게 저장되지 않은 모든 데이터를 삭제하는 단계를 포함한다.
본 발명의 특징들 및 이점들은 첨부 도면들에 대한 참조가 이루어지는 이하 설명으로부터 더 용이하게 명백하게 될 것이다.
도 1은 입력 메소드가 디바이스 상에 설치되고 구성되는 프로세스를 도시하는 흐름도이다.
도 2는 제3자 애플리케이션으로부터 정보가 수집되어 후속 프로세스들을 통지하는데 이용되는 프로세스를 도시하는 흐름도이다.
도 3은 입력에 필요하고 충분한 정보가 사용가능할 때 사용자들이 제3자 애플리케이션 상에 자동으로 로그되는 프로세스를 도시하는 흐름도이다.
도 4는 제3자 애플리케이션 상에 로그하는데 하나보다 많은 계정이 사용될 수 있을 때 다수 계정들 사이에서 선택하도록 사용자가 프롬프팅되는 프로세스를 도시하는 흐름도이다.
도 5는 제3자 애플리케이션 상에 사용자들을 로그하기에 불충분한 정보가 사용가능할 때 입력 메소드의 미래 사용에 필요한 정보가 취득되는 프로세스를 도시하는 흐름도이다.
적어도 하나의 실시예에서는, 로그온을 완료하는데 필요한 비밀 정보의 노출을 최소화하면서 다수 애플리케이션들 상에 안전하게 로그하는 방법이 제공된다.
이하의 정의들은 이하의 명세서 전반적으로 사용될 것이다:
(1) 정의들
액세스가능성 기능 이벤트: 액세스가능성 기능 이벤트는, 자신의 상태에 대한 데이터로 이벤트를 채우고, 자신의 부모로부터 명령어들에게 이벤트를 이해 당사자들에게 보내라고 요청하는 개별 보기에 의해 촉발되는 이벤트이다. 액세스가능성 기능 이벤트들의 예들은, 숙련된 자에게 용이하게 이해될 것인 기타 액세스가능성 기능 이벤트들 중에서, 발표들(announcements), 제스처 검출 종료, 제스처 검출 시작, 변경된 통지 상태, 터치 탐사 제스처 종료, 터치 탐사 제스처 시작, 터치 상호작용 종료, 터치 상호작용 시작, 집중된 보기 액세스가능성, 클리어된 보기 액세스가능성 초점, 클릭된 보기, 집중된 보기, 돌아보기 진입(view hover enter), 돌아보기 나감, 길게 클릭된 보기, 스크롤된 보기, 선택된 보기, 변경된 보기 텍스트, 변경된 보기 텍스트 선택, 이동 입도로 횡단된 보기 텍스트, 변경된 윈도우 콘텐츠 및 변경된 윈도우 상태를 포함하지만, 이에 제한되는 것은 아니다.
액세스가능성 기능: 액세스가능성 기능은, 백그라운드에서 작동하며, 액세스가능성 기능 이벤트들이 촉발될 때 시스템에 의한 회신들을 수신한다. 이러한 액세스가능성 기능 이벤트들은, 예를 들어, 초점이 변경되었다, 버튼이 클릭되었다 등, 사용자 인터페이스에서의 일부 상태 천이를 나타낸다. 이러한 액세스가능성 기능은 액티브 윈도우의 콘텐츠를 쿼리하는 능력을 옵션으로 요청할 수 있다. 일 예로서, AndroidTM 디바이스들에서 액세스가능성 기능은 액세스가능성 서비스라 불리우지만, 기타 운영 체제들에서의 기타 방식들 또한 고려된다.
API: 애플리케이션 프로그래머의 인터페이스(Application programmer's interface)
인증서들: 제3자 애플리케이션의 기능들 및 특징들에 대한 액세스를 인가하는데 요구되는 정보. 숙련된 자에 의해 용이하게 이해될 것인 다양한 기타 인증서들 중에서, 이에 제한되는 것은 아니지만, 다른 것들 중에서, 상이한 세트들의 인증서들 사이에서 사용자들 구별을 돕는, 사용자이름들, 비밀번호들, 이메일 어드레스(들), 수신된 이메일 데이터, 생체인식, 태그들, 메모들, 신용 카드들, 식별 문서들, 다양한 서명들과 같은, 정보.
데이터스토어 : 데이터스토어는, 디바이스의 보드 상의 또는 원격으로 액세스가능한 위치에 있는, 저장소를 갖는 서비스로, 여기서 입력 메소드는, 인증서들, 사용 통계 또는 사용자 입력 세션들을 성공적으로 완료하는데 필요한 임의의 기타 정보와 같은, 안전하게된 암호화된 데이터 및 단명하는 또는 보호를 요구하지 않는 암호화되지 않은 데이터를 저장할 수 있다. 적어도 하나의 실시예에서 데이터 스토어는 원격으로 배치되는 보안 서버이다.
암호화 키: 비밀을 암호화하는 키로서 사용되는 문자열.
암호화 대칭 키: 대칭 암호화 알고리즘과 함께 데이터를 암호화하는데 사용되는 랜덤 문자열.
{....}: 엘리먼트들 ......을 포함하는 세트.
풋프린트 : 풋프린트는 주어진 사용자 상호작용 세션에 대해 알려진 모든 정보의 세트; 액티브 인스턴스. 이는 액세스가능성 기능을 통해 형성될 수 있다. 이는, 숙련된 자에 의해 용이하게 이해될 것인 기타 방식들 중에서, 현재 입력 세션에 대한 모든 사용자 상호작용들의 이력, 알려진 모든 입력 필드들의 리스트, 이들의 모든 입력 필트 특징들 및 임의의 관련된 데이터를 포함하지만, 이에 제한되는 것은 아니다. 생성되는 풋프린트는 입력 메소드로 하여금 사용자들이 어떠한 정황에서 현재 데이터를 입력하고 있는지를 정확히 판정하게 해준다; 이와 같이, 각각의 풋프린트는 고유하며, 고유한 ID를 갖는다.
입력 필드: 입력 필드는, 행해진 선택들 뿐만 아니라 제3자 애플리케이션에 정보를 입력하는 것을 나타내기 위해 사용자들이 상호작용하는 제3자 애플리케이션에서의 사용자 인터페이스 엘리먼트이다. 이러한 입력 필드들은 정보의 실제 캡처를 입력 메소드에 전달한다. 입력 필드들의 예들은, 숙련된 자에 의해 용이하게 이해될 것인 입력 필드들의 기타 타입들 중에서, 텍스트 필드들, 숫자 또는 임의의 영숫자 필드들, 버튼들, 체크 박스들, 라디오 버튼들, 스위치들, 토글 버튼들, 생체인식/음성/제스처 또는 카드 활성화형 센서/트랜스듀서 엔트리 필드들을 포함하지만, 이에 제한되는 것은 아니다.
입력 필드 특징들: 입력 필드 특징들은 입력 필드들과 관련된 추가적 정보이다. 이러한 정보는 제3자 애플리케이션에 의해 입력 메소드에 사용가능하게 될 수 있다. 이는, 또한, 숙련된 자에 의해 용이하게 이해될 것인 입력 필드 특징들의 다양한 기타 타입들 중에서, 입력 정보 스트링 또는 텍스트를 포맷하는 방법을 입력 메소드에 나타낼 수 있거나, 또는 임의의 사용자 정보에 기초하여 거동하는 방법에 관해 구체적인 요청들을 행하거나, 입력의 본질에 관해 힌트를 줄 수 있다.
입력 메소드 : 사용자로부터 정보를 요청하고, 상기 정보를 안전하게 저장하며, 이러한 정보를 제3자 애플리케이션에 넘겨주는 것을 담당할 수 있는 소프트웨어 프로그램. 이러한 소프트웨어 프로그램은 제3자 애플리케이션을 호출하여 제3자 애플리케이션 입력 필드 및 그들의 요구되는 입력 포맷들을 기록할 수 있다는 점도 고려된다. 이는, 숙련된 자에 의해 용이하게 이해될 것인 입력 메소들의 기타 타입들 중에서, 소프트웨어 터치 인에블형 키보드들, 스피치를 텍스트로 변환하는(speech to text) 해석, 제스처 기반의 영숫자 키보드들, 숫자 키보드들, 기입된 텍스트 해석, 임의의 생체인식을 정보 스트링으로 변환하는 해석, 및 카드 또는 기타 매체 입력을 정보 스트링으로 변환하는 해석, 리스트에서 값들의 선택을 포함하지만, 이에 제한되는 것은 아니다.
패키지 서명: 임의의 제3자 애플리케이션을 식별하는데 사용되는 JavaTM 특유의, AndroidTM 특유의, iOSTM 특유의 또는 임의의 기타 디바이스 특유의 고유 서명.
세션: 2개 이상의 상호작용 디바이스들 사이의 또는 디바이스와 사용자 사이의 반-영구적 상호작용 정보 교환.
제3자 애플리케이션: 사용자의 디바이스 상에 설치되거나 또는 웹을 통해 디바이스에 의해 액세스될 수 있으며, 사용자에 의해 착수될 것, 또는, 사용자와 액티브하게 상호작용할 것을 입력 메소드에 요구할 수 있는, 임의의 애플리케이션 또는 소프트웨어.
보기: 보기는 사용자 인터페이스 컴포넌트들에 대한 기본 구축 블럭을 나타낸다. 보기는, 스크린 상에 있으면, 그 스크린 상의 어느 곳에든 배치되는 직사각형 영역을 차지할 수 있고, 숙련된 자에 의해 용이하게 이해될 것인 기타 표현들 및 양상들 중에서, 드로잉 및 이벤트 핸들링을 담당할 수 있다.
(2) 예:
적어도 하나의 실시예에서, 본 발명은, 이하 상세히 설명되는 바와 같이, 안전이 보장되지 않은 공개 네트워크들에 의한 모바일 또는 기타 디바이스들 상에 신규한 멀티-애플리케이션 및 멀티-계정 액세스를 제공한다. 본 발명이 특정 예시적인 실시예(들)에 의해 설명되지만, 본 명세서에 설명되는 실시예(들)은 단지 예일 뿐, 본 발명의 범위가 이에 의해 제한되도록 의도되는 것은 아니라는 점이 이해되어야 한다.
도 1을 참조하면, 사용자[1]가 그들의 디바이스[2] 상에 커스텀 입력 메소드[3]를 설치하고 때때로 필요에 따라 업데이트하는 프로세스의 적어도 하나의 실시예를 도시하는 흐름도이다. 이러한 입력 메소드는, 숙련된 자에 의해 용이하게 고려되는 기타 방식들 중에서, 표준 애플리케이션 패키지에 통상적으로 포함되지만, 별개의 애플리케이션 패키지일 수도 있다. 커스텀 입력 메소드는 디바이스 또는 디바이스의 운영 체제 창작자로부터 때때로 본 명세서에서의 청구항들과의 일관성을 위해 수정되는 것으로서 취득된다. 설치하면, 입력 메소드 및 액세스가능성 기능 소프트웨어 양자 모두가 인에이블되고[4], 디바이스 및/또는 사용자 계정은, 적용가능한 경우 이러한 사용자에 대해 이미 존재하는 인증서들을 참고하거나, 또는 프로세스에서 나중에 새로운 인증서들을 생성하는데 사용될 데이터 스토어[6]와, 수동으로 또는 자동으로, 링크된다[5]. 디바이스 상의 또는 이를 통한 제3자 애플리케이션들과의 미래의 사용자 상호작용들은 그리고 나서 이러한 입력 메소드를 런치(launch)할 것이다[7].
도 2를 참조하면, 입력 메소드[8]의 호출이, 이에 제한되는 것은 아니지만 입력 필드 상의 탭핑함 또는 다른 시스템으로부터 입력 메소드를 선택함과 같은, 다양한 사용자 상호작용들[1]에 의해 트리거될 수 있는 프로세스의 적어도 하나의 실시예를 도시하는 흐름도이다. 여기서 애플리케이션은 디바이스[2]의 OS로부터 입력 메소드를 요청한다. 일단, 디바이스 상의 OS가 입력 메소드를 찾으면, 입력 메소드는 제3자 애플리케이션[9, 10]에 정보를 전달할 수 있다.
이는 디바이스가 현재 실행중인 제3자 애플리케이션의 서명을 기록할 때, 즉, 디바이스가 액세스가능성 기능을 통해 제3자 애플리케이션의 입력 필드들 모두를 찾아 저장하고, 인증서(들)를 필요로하는 디바이스 상에 로드되는 또는 이를 통해 사용가능한 각 제3자 애플리케이션에 대해 그들의 포맷 및 기타 특징들을 저장할 때이다[11]. 특정 시간 간격, Δt, 내에 입력 메소드에 의해 응답이 취득되지 않으면, 기록 프로세스는 종료될 수 있다[12]. 이러한 시간 간격 Δt는 민감한 정보의 침해자 캡처를 최소화하도록 선택된다. 시간 간격이 경과되지 않으면, 입력 메소드는, 호스팅 시스템에 의해 이에 사용될 수 있게 되는 모든 내성 방법들(introspection methods)을 사용하여, 제3자 애플리케이션들 입력 필드 특징들을 점검할 수 있다. 입력 필드 특징들은 [11]에서 취득되는 애플리케이션의 서명과 함께 취합되거나 또는 조합되어, 액세스가능성 기능을 통해, 이에 제한되는 것은 아니지만 사용자가 제3자 애플리케이션에서 현재 사용하고 있는 경로 뿐만 아니라 애플리케이션의 현재 상태를 출력하는 제3자 애플리케이션의 현재 정황의 고유한 풋프린트를 생성한다[13]. 각각의 제3자 애플리케이션의 액티브 인스턴스 당 적어도 하나의 풋프린트가 존재해야 한다는 점에 주의해야 한다[13]. 풋프린트 또는 인증서(들)과 같은 모든 비밀 정보는 암호화된 정보로서 항상 보유되고 송신/수신되며, 소스 정보는 바람직하게는 모든 메모리 및 스토리지로부터 삭제된다[15]. 모든 암호화된 정보는, 소스 데이터로서 필요할 때, 상황에 따라 복호화되고, 필요에 따라 사용되고 나서, 상기와 같이 삭제된다.
생성된 풋프린트는 입력 메소드가 호출되었을 때의 제3자 애플리케이션의 상태를 고유하게 식별할 것이다. 인증서들 데이터 스토어[6]에서 식별자로서 풋프린트를 사용하는 것은, 주어진 시간 주기 Δt 내에서[17] 및 필요할 때, 제3자 애플리케이션에서 주어진 정황에 특수한 인증서들을 저장 및 검색하는데 사용될 수 있다[16]. 다시 풋프린트 또는 인증서(들)과 같은 모든 비밀 정보는 암호화된 정보로서 항상 보유되고 송신/수신되며, 소스 정보는 모든 메모리 및 스토리지로부터 삭제된다. 모든 암호화된 정보는, 소스 데이터로서 필요할 때, 사용되는 상황에 따라 복호화되고 나서 상기와 같이 삭제된다. 여기서는, 인증서(들)가 시간 기간 내에 발견되거나(이 경우 더 이상의 프로세스들에 대해서는 도 3 및 4를 참조하자)[18] 또는 인증서(들)가 발견되지 않는(이 경우 더 이상의 프로세스들에 대해서는 도 5를 참조하자)[19] 2가지 경우들이 존재한다.
도 3을 참조하면, 인증서들의 단일 세트가 특정 풋프린트에 관련되는 것으로 발견되었을 때, 입력 메소드[8]가 제3자 애플리케이션의 입력 필드를 자동으로 기입하는[20], 프로세스의 적어도 하나의 실시예를 도시하는 흐름도이다. 풋프린트는 입력 메소드 소프트웨어로 하여금 적절한 필드(예를 들어, 이에 제한되는 것은 아니지만, 기타 용이하게 이해되는 인증서들 중, 개인 확인들(personal identifies), 신용 카드 정보, 사용자이름 또는 비밀번호)를 타겟으로 하고 인증서들이 적절히 입력되는 것을 보장하는 것으로 진행하는 것을 구별하게 하는 모든 입력 필드 엔트리들에 관한 정보를 유지한다.
일단 적절하게 입력되면 입력 필드 제출이 제3자 애플리케이션 상에 트리거된다[21]. 이러한 제출이 제출의 확인없이 타임 아웃되면(즉, Δt > Δtmax), Nmax회까지 새로운 제출 요청이 이루어진다[22]. 확인이 수신되면, 도 5로 진행한다[23].
도 4를 참조하면, 인증서들의 다수의 적절한 세트들이 데이터스토어[6]에 발견될 때의 프로세스를 도시하는 프로세스의 적어도 하나의 실시예를 도시하는 흐름도이다. 사용자들은 다양한 인증서들 사이에서 선택하도록 프롬프팅되고, 선택시 자동 로그인이 이하와 같이 트리거된다: 첫째로, 입력 메소드에 관련되는 입력 필드에 대해 다수의 계정들을 용이하게 '볼 수 있게(viewable)' 함으로써 (다수의 잠재적 계정들에 기초하여) 제3자 애플리케이션 상의 제출 입력 필드를 트리거한다. 또한, 사용자에 의한 빠른 입력 결정을 위한 이러한 '가시성(visibility)'은 입력 상의 사용자 에러를 최소화하는 것과 일치하는지를 확인한다.(예를 들어, 입력이 진행되는 동안 색상들, 프롬프트들 및 피드백을 실시간으로 사용함)[24]. 둘째로, 사용자 입력의 완료시, 인증서(들)를 사용하여 각각의 제3자 애플리케이션 상의 적절한 입력 필드(들)에 데이터를 자동으로 기입하고([20] 참조)[25], 셋째로, 제3자 애플리케이션 상에 제출 입력 필드를 트리거한다([21]-[23] 참조)[26].
도 5를 참조하면, 이미 발생되었던 정확한 풋푸린트와 관련되어(예를 들어, 도 2 참조), 미리 알려지지 않은 인증서들의 새로운 세트들을 데이터스토어[6]에 저장하는 방법을 도시하는 프로세스의 적어도 하나의 실시예를 도시하는 흐름도이다. 여기서, 사용자[1]는 새로운 인증서들의 세트를 입력하고[27], 이에 의해 시스템은, (1) 예를 들어, 그들의 포맷 및 기타 미리 정해진 기준에 관해 새로운 인증서들의 유효성을 확인하고 나서, (2) 새로운 인증서들을 현재 풋프린트와 관련시키고(즉, 적어도, 하나의 제3자 애플리케이션이 액티브이면, 현재 풋프린트는 이미 선택되었음), 이는 시간 기간 Δt=Δtmax 내에서이다[28]. 그리고 나서 사용자는 새로운 인증서들(다시 Δt=Δtmax 내에서임)을 제출하고, 이에 의하면 입력 메소드를 통해 유효 인증서들을 입력 필드에 사용자가 입력시 선택 '핫 영역(hot area)'이 호출된다[29]. 이러한 인증서들 및, 경우에 따라, 업데이트된 풋프린트는 암호화되어 데이터스토어에 저장된다[30]. 이들의 확인시 디바이스 상에 액티브인 시스템은 디바이스[2]의 메모리 또는 스토리지에 있는 모든 소스 비밀들을 삭제하고[31], 그 후 인증서들을 제3자 애플리케이션에 제출한다.

Claims (14)

  1. 제3자 애플리케이션에 대한 안전한 인증 액세스(secure authorized access)들을 제공하는 방법으로서,
    액세스가능성 기능을 인에이블하는 단계;
    상기 액세스가능성 기능과의 사용자 상호작용을 검출하는 단계;
    입력 메소드(input method)를 활성화하는 단계;
    상기 입력 메소드와 상기 제3자 애플리케이션 사이의 통신을 수립하는 단계;
    상기 입력 메소드에 의해 상기 제3자 애플리케이션의 입력 필드 특징들을 검색하는 단계;
    상기 입력 필드 특징들을 안전하게 저장하는 단계;
    상기 입력 필드 특징들을 취합하여(aggregating), 상기 제3자 애플리케이션에 대응하는 고유 풋프린트를 생성하는 단계; 및
    상기 고유 풋프린트를 안전하게 저장하는 단계
    를 포함하는 방법.
  2. 제1항에 있어서,
    안전하지 않은 데이터를 삭제하는 단계를 더 포함하는 방법.
  3. 제1항 또는 제2항에 있어서,
    상기 제3자 애플리케이션은 적어도 하나의 입력 필드를 갖는 방법.
  4. 제1항 내지 제3항 중 어느 한 항에 있어서,
    상기 입력 메소드와 상기 제3자 애플리케이션 사이의 상기 통신은 암호화되는 방법.
  5. 제1항 내지 제4항 중 어느 한 항에 있어서,
    상기 입력 메소드가 미리 정해진 시간 간격 내에 상기 입력 필드 특징들을 검색하지 않으면, 프로세스가 종료되는 방법.
  6. 제1항 내지 제5항 중 어느 한 항에 있어서,
    상기 고유 풋프린트에 대응하는 적어도 한 세트의 인증서들을 식별하는 단계;
    상기 적어도 한 세트의 인증서들을 검색하는 단계; 및
    상기 적어도 한 세트의 인증서들 중 한 세트를 상기 입력 메소드에 의해 상기 제3자 애플리케이션에 통신하는 단계
    를 더 포함하는 방법.
  7. 제6항에 있어서,
    상기 입력 메소드가 상기 적어도 한 세트의 인증서들 중 한 세트를 미리 정해진 시간 간격 내에 상기 제3자 애플리케이션에 통신하지 않으면, 새로운 제출 요청이 생성되는 방법.
  8. 제6항 또는 제7항에 있어서,
    상기 입력 필드 특징들은 상기 적어도 한 세트의 인증서들 중 상기 한 세트와 취합되는 방법.
  9. 제6항 내지 제8항 중 어느 한 항에 있어서,
    상기 제3자 애플리케이션 상의 적어도 하나의 입력 필드를 상기 적어도 한 세트의 인증서들 중 상기 한 세트로 자동으로 채우는(autofilling) 단계를 더 포함하는 방법.
  10. 제6항 내지 제9항 중 어느 한 항에 있어서,
    상기 적어도 한 세트의 인증서들은 다수 세트들의 인증서들이며,
    상기 다수 세트들의 인증서들로부터 상기 적어도 한 세트의 인증서들을 선택하라고 사용자를 프롬프팅하는(prompting) 단계를 더 포함하는 방법.
  11. 제1항 내지 제5항 중 어느 한 항에 있어서,
    상기 고유 풋프린트에 대응하는 입력 인증서들로 사용자를 프롬프팅하는 단계;
    상기 인증서들을 상기 고유 풋프린트와 취합하는 단계;
    상기 인증서들을 안전하게 저장하는 단계; 및
    상기 인증서들을 상기 입력 메소드에 의해 상기 제3자 애플리케이션에 통신하는 단계
    를 더 포함하는 방법.
  12. 제11항에 있어서,
    상기 인증서들을 검증하는 단계를 더 포함하는 방법.
  13. 제11항 또는 제12항에 있어서,
    상기 입력 메소드가 상기 인증서들을 미리 정해진 시간 간격 내에 상기 제3자 애플리케이션에 통신하지 않으면, 새로운 제출 요청이 생성되는 방법.
  14. 제11항 내지 제13항 중 어느 한 항에 있어서,
    상기 제3자 애플리케이션 상의 적어도 하나의 입력 필드를 상기 인증서들로 자동으로 채우는(autofilling) 단계를 더 포함하는 방법.
KR1020157030245A 2013-05-24 2014-04-04 제3자를 통한 임의의 애플리케이션으로의 안전한 자동 인증 액세스 KR101742900B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201361827331P 2013-05-24 2013-05-24
US61/827,331 2013-05-24
PCT/CA2014/050343 WO2014186882A1 (en) 2013-05-24 2014-04-04 Secure automatic authorized access to any application through a third party

Publications (2)

Publication Number Publication Date
KR20150135393A true KR20150135393A (ko) 2015-12-02
KR101742900B1 KR101742900B1 (ko) 2017-06-01

Family

ID=51932665

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020157030245A KR101742900B1 (ko) 2013-05-24 2014-04-04 제3자를 통한 임의의 애플리케이션으로의 안전한 자동 인증 액세스

Country Status (5)

Country Link
US (1) US9858407B2 (ko)
EP (1) EP3005210B1 (ko)
KR (1) KR101742900B1 (ko)
CN (1) CN105308605B (ko)
WO (1) WO2014186882A1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020197097A1 (ko) * 2019-03-28 2020-10-01 (주)한국아이티평가원 단일 인증 서비스 시스템 및 방법

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8528059B1 (en) * 2008-10-06 2013-09-03 Goldman, Sachs & Co. Apparatuses, methods and systems for a secure resource access and placement platform
US10523663B2 (en) 2016-01-10 2019-12-31 Apple Inc. Shared password protection within applications
US10897353B2 (en) * 2016-04-19 2021-01-19 Telefonica Digital España, S.L.U. Computer-implemented method for generating passwords and computer program products of same
EP3270313B1 (en) * 2016-07-12 2020-04-01 Vestel Elektronik Sanayi ve Ticaret A.S. Optical authorization method for programs and files
US10289839B1 (en) * 2016-09-27 2019-05-14 Symantec Corporation Systems and methods for preventing unauthorized access to computing devices implementing computer accessibility services
WO2018117970A1 (en) * 2016-12-21 2018-06-28 Aon Global Operations Ltd (Singapore Branch) Methods and systems for securely embedding dashboards into a content management system
US11068567B2 (en) 2017-06-04 2021-07-20 Harsha Ramalingam Self-owned authentication and identity framework
US11368444B2 (en) 2019-09-05 2022-06-21 The Toronto-Dominion Bank Managing third-party access to confidential data using dynamically generated application-specific credentials

Family Cites Families (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6714220B2 (en) * 2000-01-19 2004-03-30 Siemens Aktiengesellschaft Interactive input with limit-value monitoring and on-line help for a palmtop device
US7150038B1 (en) * 2000-04-06 2006-12-12 Oracle International Corp. Facilitating single sign-on by using authenticated code to access a password store
US20030182551A1 (en) * 2002-03-25 2003-09-25 Frantz Christopher J. Method for a single sign-on
US8024781B2 (en) * 2002-12-04 2011-09-20 Microsoft Corporation Signing-in to software applications having secured features
US20040158746A1 (en) * 2003-02-07 2004-08-12 Limin Hu Automatic log-in processing and password management system for multiple target web sites
US7660880B2 (en) * 2003-03-21 2010-02-09 Imprivata, Inc. System and method for automated login
CA2574883C (en) * 2004-06-25 2013-12-17 Accenture Global Services Gmbh Single sign-on with common access card
WO2006034476A1 (en) * 2004-09-24 2006-03-30 Siemens Medical Solutions Usa, Inc. A system for activating multiple applications for concurrent operation
EP2055077B1 (en) * 2006-08-22 2017-04-05 InterDigital Technology Corporation Method and apparatus for providing trusted single sign-on access to applications and internet-based services
US8327427B2 (en) * 2006-09-25 2012-12-04 Rockstar Consortium Us Lp System and method for transparent single sign-on
US20090007256A1 (en) * 2007-06-28 2009-01-01 Microsoft Corporation Using a trusted entity to drive security decisions
US8296834B2 (en) * 2007-08-02 2012-10-23 Deluxe Corporation Secure single-sign-on portal system
US8561162B2 (en) * 2008-02-28 2013-10-15 Red Hat, Inc. Systems and methods for unified login to multiple networked services
US8353016B1 (en) * 2008-02-29 2013-01-08 Adobe Systems Incorporated Secure portable store for security skins and authentication information
US8738934B2 (en) * 2009-08-25 2014-05-27 Keeper Security, Inc. Method and apparatus for protecting account numbers and passwords
US9146669B2 (en) * 2009-12-29 2015-09-29 Bizmodeline Co., Ltd. Password processing method and apparatus
US20120117455A1 (en) 2010-11-08 2012-05-10 Kwift SAS (a French corporation) Anthropomimetic analysis engine for analyzing online forms to determine user view-based web page semantics
US8484186B1 (en) * 2010-11-12 2013-07-09 Consumerinfo.Com, Inc. Personalized people finder
US20120266220A1 (en) * 2010-11-17 2012-10-18 Sequent Software Inc. System and Method for Controlling Access to a Third-Party Application with Passwords Stored in a Secure Element
US20120159612A1 (en) * 2010-11-17 2012-06-21 Sequent Software Inc. System for Storing One or More Passwords in a Secure Element
AU2012201745B2 (en) * 2011-03-24 2014-11-13 Visa International Service Association Authentication using application authentication element
US20130125226A1 (en) * 2011-04-28 2013-05-16 Interdigital Patent Holdings, Inc. Sso framework for multiple sso technologies
US20130067451A1 (en) * 2011-09-12 2013-03-14 Microsoft Corporation Application deployment and registration in a multi-user system
US9965614B2 (en) * 2011-09-29 2018-05-08 Oracle International Corporation Mobile application, resource management advice
US8819444B2 (en) * 2011-12-27 2014-08-26 Majid Shahbazi Methods for single signon (SSO) using decentralized password and credential management
US8663004B1 (en) * 2012-09-05 2014-03-04 Kabam, Inc. System and method for determining and acting on a user's value across different platforms
US10055598B2 (en) * 2013-03-13 2018-08-21 Synacor Inc. Content and service aggregation, management and presentation system
US9380034B2 (en) * 2014-09-12 2016-06-28 Sze Yuen Wong Systems and methods for data gathering without internet

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020197097A1 (ko) * 2019-03-28 2020-10-01 (주)한국아이티평가원 단일 인증 서비스 시스템 및 방법

Also Published As

Publication number Publication date
EP3005210B1 (en) 2018-02-14
CN105308605B (zh) 2018-09-25
US9858407B2 (en) 2018-01-02
EP3005210A4 (en) 2017-01-11
US20160103988A1 (en) 2016-04-14
CN105308605A (zh) 2016-02-03
WO2014186882A1 (en) 2014-11-27
KR101742900B1 (ko) 2017-06-01
EP3005210A1 (en) 2016-04-13

Similar Documents

Publication Publication Date Title
KR101742900B1 (ko) 제3자를 통한 임의의 애플리케이션으로의 안전한 자동 인증 액세스
JP6978014B2 (ja) サービスとして復号するシステム及び方法
US10992660B2 (en) Authentication and authorization of a privilege-constrained application
US7571473B1 (en) Identity management system and method
JP6239788B2 (ja) 指紋認証方法、装置、インテリジェント端末及びコンピュータ記憶媒体
TWI526037B (zh) 用於交易鑑認之抽象化及隨機化單次使用密碼之方法及系統
US8239274B2 (en) Purchasing of individual features of a software product
US8972719B2 (en) Passcode restoration
US7743409B2 (en) Methods used in a mass storage device with automated credentials loading
US8200966B2 (en) Secure network access
US9373122B2 (en) Methods, apparatus and computer program products for securely accessing account data
US9251332B2 (en) Security system and method for controlling access to computing resources
TR201810238T4 (tr) Bir mobil kimlik doğrulama uygulaması kullanarak kullanıcıya uygun kimlik doğrulama yöntemi ve aparatı.
US20140149294A1 (en) Method and system for providing secure end-to-end authentication and authorization of electronic transactions
US20070234421A1 (en) Authentication System, Authentication Server, Authenticating Method, Authenticating . . .
JP2007527059A (ja) ユーザ、およびコンピュータシステムから受信された通信の認証のための方法および装置
TW201640409A (zh) 用以傳送憑證之系統及方法
CA3122376A1 (en) Systems and methods for securing login access
US9756031B1 (en) Portable access to auditing information
US20090178127A1 (en) Authentication system, authentication server, authenticating method, authenticating program, terminal, authentication requesting method, authentication requesting program, and storage medium
JP2017519278A (ja) データ通信
JP2021505049A (ja) ペイメント・カードの認証
JP2008199618A (ja) パーソナル通信機器を用い追加情報を得る方法、システム、及びコンピューター・プログラム
US20130174227A1 (en) Computer-readable medium, information processing device, information processing method and information processing system
KR101555802B1 (ko) 이미지를 이용한 사용자 인증 방법 및 시스템

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant