JP6349579B2 - 条件付きログインプロモーション - Google Patents

条件付きログインプロモーション Download PDF

Info

Publication number
JP6349579B2
JP6349579B2 JP2017525952A JP2017525952A JP6349579B2 JP 6349579 B2 JP6349579 B2 JP 6349579B2 JP 2017525952 A JP2017525952 A JP 2017525952A JP 2017525952 A JP2017525952 A JP 2017525952A JP 6349579 B2 JP6349579 B2 JP 6349579B2
Authority
JP
Japan
Prior art keywords
authentication
user
relying party
client device
party entity
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017525952A
Other languages
English (en)
Other versions
JP2017535877A (ja
Inventor
カウル、ニーラジ
クマー ブイ. バラサプディ、パヴァン
クマー ブイ. バラサプディ、パヴァン
ビー. レヴァシッティ、シッダラヤ
ビー. レヴァシッティ、シッダラヤ
エス. ナージャラ、ランジット
エス. ナージャラ、ランジット
ラム チャリ ヴェンカタチャリ、ラムクマー
ラム チャリ ヴェンカタチャリ、ラムクマー
ムスタファ、サハー
ヤラパッリ、ヴァニ
スレート、チャールズ
アール. マクドウェル、ジョン
アール. マクドウェル、ジョン
Original Assignee
マカフィー, エルエルシー
マカフィー, エルエルシー
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by マカフィー, エルエルシー, マカフィー, エルエルシー filed Critical マカフィー, エルエルシー
Publication of JP2017535877A publication Critical patent/JP2017535877A/ja
Application granted granted Critical
Publication of JP6349579B2 publication Critical patent/JP6349579B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biodiversity & Conservation Biology (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Information Transfer Between Computers (AREA)
  • Storage Device Security (AREA)

Description

本明細書に記載されている実施形態は、概して、コンピューティングの分野に関し、より具体的には、条件付きログインプロモーションに関する。
ストリーミングビデオサービスなどのネットワークベースサービスは、ますます人気になっている。これらのネットワークベースサービスのプロバイダは、多くの場合、それらのサービスへのアクセスを許可する前に、ユーザが、ユーザによって識別及び認証されることを必要とする。ユーザは通常、アクセスを許可される前に、ユーザ名及びパスワードなどの1又は複数の認証資格情報を特定のプロバイダへ提供する必要がある。多くの場合、ユーザは、面倒で冗長な独立したログインを要求する各サービスのための別個の認証資格情報を保持する必要があり、それらは、ユーザによって各サービスへ提供される。
添付の図面の図において、限定のためではなく例として、実施形態が示されている。同様の参照符号は、同様の要素を示す。
一実施形態に係る、クライアント側及びサーバ側コンポーネントを含む、条件付きログインプロモーションのための高レベルアーキテクチャを示す。
一実施形態に係る条件付きログインプロモーションのための通信システムを示す。
一実施形態に係る、ローカルオペレーティングシステム(OS)ログインプロモーションのためのプロセスフローの例を示す。 一実施形態に係る、ローカルオペレーティングシステム(OS)ログインプロモーションのためのプロセスフローの例を示す。
一実施形態に係る、ローカルOSログインプロモーションに関連する動作の例を示す、簡略化されたフロー図である。
図2のクライアントデバイスの実施形態の簡略ブロック図である。
図2の認証サーバの実施形態の簡略ブロック図である。
一実施形態に係る、バイオメトリック及びダイナミックデバイス識別子認証を使用して、リライングパーティエンティティに対して認証するための通信システムを示す。
一実施形態に係る、認証サーバへのクライアントデバイスの登録のためのプロセスフローの例を示す。
一実施形態に係る、認証サーバに対するクライアントデバイスの認証のためのプロセスフローの例を示す。
一実施形態に係る、クライアントデバイスの登録及び認証に関連する動作の例を示す、簡略化されたフロー図。 一実施形態に係る、クライアントデバイスの登録及び認証に関連する動作の例を示す、簡略化されたフロー図。
一実施形態に係る、ネットワークセキュリティプラットフォーム(NSP)におけるネットワークセキュリティリソースのポリシー管理のための通信システムを示す。
従来のネットワークセキュリティプラットフォームのGUIにおける保護プロファイルインタフェース管理ページを示す。 従来のネットワークセキュリティプラットフォームのGUIにおける保護プロファイルインタフェース管理ページを示す。
一実施形態に係る、ネットワークセキュリティプラットフォームのためのポリシー管理GUIページを示す。
一実施形態に係る、フィルタリング動作を実行するためのネットワークセキュリティプラットフォームのポリシー管理GUIページを示す。
一実施形態に係る、一括編集動作を実行するためのネットワークセキュリティプラットフォームのポリシー管理GUIページを示す。 一実施形態に係る、一括編集動作を実行するためのネットワークセキュリティプラットフォームのポリシー管理GUIページを示す。
一実施形態に係るポリシー定義を実行、表示、編集、生成するためのネットワークセキュリティプラットフォームのポリシー管理GUIページを示す。 一実施形態に係るポリシー定義を実行、表示、編集、生成するためのネットワークセキュリティプラットフォームのポリシー管理GUIページを示す。
1又は複数の例示的な実施形態は、リライングパーティ(RP)エンティティに関連する1又は複数のサーバによって行われる、クラウドネットワークなどのネットワーク内のリソースを提供する1又は複数のRPエンティティに対する、クライアントデバイスに関連するユーザによるローカルオペレーティングシステム(OS)ログインの条件付きプロモーションに関する。1又は複数の実施形態において、RPエンティティに関連する、1又は複数のサーバによって提供されるリソースは、サービス及び/又はアプリケーションを含み得る。いくつかの実施形態において、リライングパーティエンティティについてユーザを認証するべく、クラウド内のリライングパーティエンティティに対してローカルOSのWindows(登録商標)ログインをプロモーションするのに、クラウドベースのポリシーエンジンが使用され、これにより、ローカルOSレベル、及び、RPエンティティの両方での冗長なログインの必要性を無くす。1又は複数の実施形態において、RPエンティティは、それらのリソースへユーザがアクセスする前にユーザの識別及び認証を必要とする、ウェブサイト、ベンダー、並びに、データ及びサービスの他のプロバイダなどのエンティティである。RPエンティティの例には、Netflix(登録商標)、Facebook(登録商標)、LinkedIn(登録商標)、Fedex(登録商標)、DropBox(登録商標)などのネットワークベースサービスが含まれる。
様々な実施形態において提供される認証フレームワークでは、ローカルOSログインを利用することに加えて、個別サービスへ繰り返しログインする必要を無くしつつ、バイオメトリックを含む複数の認証因子を使用して、ユーザのクラウドサービスへのアクセスを提供するための、ユーザから取得される追加的な認証因子を利用する。本明細書に記載されている1又は複数の実施形態は、ローカルOSログインによって、リライングパーティエンティティについてユーザを認証することを可能にするべく、ユーザにクラウドサービスを提供するリライングパーティエンティティに対してローカルOSログインをプロモーションすることに関する。
図1は、一実施形態に係る、クライアント側及びサーバ側のコンポーネントを含む、条件付きログインプロモーションのための高レベルアーキテクチャ100を示す。図1に示されている特定の実施形態において、アーキテクチャ100は、認証コンポーネント102、及び、登録/管理コンポーネント104を含む。認証コンポーネント102は、本明細書で後述されているように、クライアントデバイスからの認証要求を処理するよう構成されている1又は複数の認証モジュールを含む。示されている実施形態において、認証コンポーネント102の認証モジュールは、フロー・アンド・アクションハンドラモジュール、管理構成用アプリケーションプログラミングインタフェース(API)、構成保存部、Representational State Transfer(REST)サーバ、セッション保存部、及び、REST APIを含む。特定の実施形態において、認証モジュールは、OAuthオープン規格に従って構成される。登録/管理コンポーネント104は、コンテキストデータモジュール、リライングパーティ管理ツール、ユーザ/アプリケーションポリシー管理モジュール、及び、プライベートREST APIを含む。
認証コンポーネント102及び登録/管理コンポーネント104は各々、クラウドサービス106、サーバ108、及び、身元認証サービス110と更に通信する。クラウドサービス106は更に、データ抽象化層(DAL)、コンテキストモジュール、ユーザプロファイルモジュール、リスク分析エンジン、及び、REST APIを含む。サーバ108は、ハードウェア登録/検証モジュール、証明モジュール、及び、REST APIを含む。身元認証サービス110は、アーキテクチャ100内の他のコンポーネントとの通信を容易にするよう構成されているREST APIを含む。クラウドサービス106は、1又は複数のデータベース112と更に通信する。示されている特定の実施形態において、データベース112は、セッションデータベース、バイオメトリックデータベース、認証データベースを含む。
アーキテクチャ100は更に、1又は複数のリライングパーティエンティティに関連する1又は複数のサーバ上に存在する、リライングパーティウェブサイト114、及び、リライングパーティアプリケーション116を含む。リライングパーティウェブサイト114、及び、リライングパーティアプリケーション116の各々は、認証コンポーネント102と通信する。リライングパーティウェブサイトは、ウェブソフトウェア開発キット(SDK)を含み、認証ウェブインタフェース118と更に通信する。認証ウェブインタフェース118は、登録/管理コンポーネント104と更に通信する。リライングパーティアプリケーション116は、認証クライアントアプリケーション120と更に通信する。認証クライアントアプリケーション120は、登録/管理コンポーネント104と更に通信する。アーキテクチャ100は更に、登録/管理コンポーネント104と通信する認証OSログインコンポーネント122を含む。認証クライアントアプリケーション120、及び、認証OSログインコンポーネント122の各々は、ユーザからバイオメトリックデータを取得することを容易にするローカルバイオメトリックライブラリを含む。
認証コンポーネント102は、認証機能のための認証要求を処理するように構成され、認証要求を処理するべく、ユーザプロファイル、ポリシー、バイオメトリックコンポーネントなどのコンポーネントとインタラクトする、認証固有のフロー・アンド・アクションハンドラを生成するように構成されている。登録手順中、登録/管理コンポーネント104は、プライベートREST APIを介して、様々なコンポーネントとインタフェース接続され、特定のユーザのためのユーザプロファイルを生成し、特定のリライングパーティ(RP)クライアントを識別するRPクライアント識別子(ID)にユーザプロファイルを関連付ける。1又は複数の実施形態において、ユーザプロファイル及びRPクライアントポリシーが生成され、1又は複数データベース(DB)112内に保存される。特定の実施形態において、ユーザプロファイル、RPアプリケーションポリシー、及び、コンテキストデータのためのDB構造は、認証要求のために、認証モジュール102と共有される。
例示的な一実施形態において、1又は複数の認証サーバにおけるポリシーエンジンは、1又は複数のRPエンティティへのログインプロモーションについてのポリシーを管理する。特定の実施形態において、ユーザに関連するポリシーは、加入しているRPエンティティと、RPエンティティによって提供されるリソースに対するユーザによるアクセスを制御するためのユーザ自身のセキュリティ設定との両方によって構成できる。特定の実施形態において、認証因子の使用について最低限のセキュリティレベルが設定され、ユーザ及び/又はRPエンティティは、認証のための因子のレベル及び数を増加させ得るが、減らすことはない。ポリシーエンジンは、ユーザがローカルログインに対して認証するのに使用する認証因子に基づいて、ローカルOSログインのプロモーションをクラウドベースアプリケーションに適用できるかどうか判定するように構成され得る。考慮される認証因子には、(顔及び/又はまばたきを提示するなどの行動を取るようユーザに要求する)能動認証因子及び(ユーザが接続している信頼済みのクライアントデバイスのアイデンティティなど、ユーザに対して透過的な)受動認証因子の両方が含まれ得る。結果として生じるプロモーションは、ユーザの認証を容易にするだけでなく、RPエンティティ、ユーザ、又はその両方の、いずれかによって義務付けられる、必要なセキュリティ設定、及び、追加的な認証因子を有効にする。
1又は複数の実施形態は、全てのログイン及び認証要件を一か所に集中できるという点、並びに、様々なアプリケーションのための別個の認証資格情報を保持する必要性を無くし、これら複数のサービスに対する冗長で独立したログインの必要性を無くすという点で、既存のソリューションより優れた認証ソリューションを提供し得る。1又は複数の実施形態では、認証処理及び認証因子をローカルセキュア設定内に集中化及び保持し、これにより、クラウド内にこれらの認証因子を送信及び複製することを回避して、認証データのセキュリティを向上させる。本明細書に記載されている1又は複数の実施形態では、複数の能動認証因子及び受動認証因子の使用を提供し、加えて、ユーザによって提供される認証因子が、信頼を他のアプリケーションへプロモーションするのに必要なセキュリティレベルを満たしたかどうかの判定を提供する。
1又は複数の実施形態において、認証アーキテクチャは、ユーザ認証及び識別メカニズムを簡素化し、複数のサービスのための認証要件を1つのツール内に統合する。特定の実施形態において、認証アーキテクチャは、2種類のクラウドベースサービス、すなわち、(1)リライングパーティ(認証の必要性のための認証機能に加入して利用するサービス)、及び、(2)まだ認証が有効化されていないサービスに役立つ。特定の実施形態において、認証アーキテクチャは、ユーザがローカルでWindows(登録商標) OSにログインすることを可能にして、ローカルログインが成功した場合、及び、ユーザが認証のためのクラウドアカウントを構成した場合、認証アーキテクチャは、新しいセッションを生成し、クラウドプロモーションが可能かどうか判定するべくチェックする。クラウドプロモーションが可能であることを示し得る条件の例には、インターネット接続がある場合、他のいかなるアクティブセッションも存在しないこと、及び、他の境界チェックが含まれる。成功した場合、認証アーキテクチャは、(パスワードボックスGUIなどの)クラウドのダッシュボード型グラフィカルユーザインタフェース(GUI)を提示し得て、ユーザのRPエンティティへの接続を可能にする。そして、ユーザが要件を満たしている場合、OSログインセッション情報をクラウド内のRPへプロモーションする。特定の実施形態において、認証アーキテクチャは、ユーザのためのクラウドセッションを生成し、2つのセッション内のデータがマッチすることを確認し、成功した場合、他の認証対応サービスにユーザをログインさせる。
より具体的な実施形態において、認証アーキテクチャは、パスワード及び/又は他のいずれかの認証因子(様々なバイオメトリックなどの、及び、他の能動認証因子、それと共に、特に信頼済みデバイス、信頼済みネットワーク、又は、信頼済み地理位置情報の使用など、追加的な受動認証因子)で、ユーザのローカルマシンにユーザをログインさせる。1又は複数の実施形態において、認証アーキテクチャは、クラウドログインを使用してユーザをクラウド内に直接ログインさせるのではなく、ローカルログインの効果をプロモーションして、クラウドベースアプリケーションへの透過的アクセスを可能にする。本明細書に記載されている1又は複数の方式の様々な実施形態は、能動認証因子を使用する、ユーザのローカル検証を活用し、特に、信頼済みデバイス、ネットワーク、位置情報、近接性、及び、安全ゾーン(信頼済みWi−Fi位置情報)に基づいて計算されたデバイスIDなどの受動認証因子を利用し、次に、信頼をクラウドへプロモーションすることで、それを強化する。能動認証因子/受動認証因子の使用の結果の一例において、ユーザがバイオメトリックで信頼済みデバイスからローカルOSへログインしている場合でも、ユーザが安全ゾーンからログインしていない(例えば、未知のWi−Fiネットワークなどからログインしている)とポリシーエンジンが判定する場合、クラウドのログインプロモーションは発生しない。
1又は複数の実施形態において、結果として生じるクラウドプロファイルは、ユーザの最近のアプリケーション使用を追跡し、自動的にユーザを自身のアプリケーションへログインさせる。特定の実施形態において、ユーザは自身のダッシュボードを構成することで、ユーザがWindows(登録商標)にログインするときに自動的にユーザをアプリケーションへログインさせるようにできる。特定の実施形態において、認証アーキテクチャは、マスターパスワードの代わりに、又は、マスターパスワードに加えて、認証因子として顔認識を利用し得る。1又は複数の特定の実施形態において、ポリシーエンジンは、JavaScript(登録商標)を使用して、ログインを透過的に処理する。特定の実施形態において、ユーザは、異なるレベルのセキュリティ設定を自分で構成でき、認証対応アプリケーションに関連するRPは、これらの設定を増加させることができる。認証に使用される複数の因子を構成できることに加えて、1又は複数の実施形態において、ユーザは、自身のデバイスを、アウトオブバンド(OOB)認証因子として使用される信頼済みリストへ追加する選択肢を有する。例えば、ユーザが認証アーキテクチャに最初に登録するときに使用するデバイスは、信頼済みデバイス、及び、ユーザがリストに追加し得るモバイルデバイスと見なされ得る。追加機能は、信頼済みネットワーク及び信頼済み位置情報が追加されること、及び、追加的な認証/識別因子として利用されることを可能にし得る。
特定の実施形態において、ユーザが受動認証因子の一部としてローカルログインを実行するとき、一意の信頼済みデバイスIDが計算され、ユーザに関連付けられる。デバイスID及び構成可能な認証因子のこの組み合わせによって、ポリシーエンジンは、クラウド内のRPへのローカルログインのプロモーションを有効化すべきかどうかについて判定することが可能となる。
様々な実施形態において、アクセスレベルはクラウド内のポリシーエンジンによって定義される。1又は複数の実施形態において、ポリシーによって決定されるとおりに、複数のレベルの認証強度が許容され得る。いくつかのアプリケーションは、アプリケーションの要件に基づいて、追加の因子を必要とし得る。特定の実施形態において、リライングパーティは、アプリケーションの特定の要件を設定し得て、レベルもユーザ設定によって上昇され得る。1又は複数の実施形態において、リライングパーティは、何の認証因子(例えば、顔認識、信頼済みデバイス、信頼済みネットワーク、及び、その他)がRPサイト及び/又はアプリケーションへのアクセスに必要であるかなど、リライングパーティに関連する特定のアプリケーションに必要なセキュリティのレベルを選択する。この情報は、リライングパーティのためのプロファイル内に保存され得る。特定の実施形態において、ユーザは、アウトオブバンド因子などの追加因子(例えば、ユーザの信頼済みデバイスの1つ)を追加し得る。特定の実施形態において、ユーザはセキュリティを強化できるが、リライングパーティの要件より下へ低減させることはできない。リライングパーティのウェブサイト及び/又はアプリケーションへのアクセスを得るのに、ユーザは認証として何の認証因子を提示する必要があるかは、セキュリティレベルによって決定する。1又は複数の実施形態において、認証に使用するべく、プロファイルはユーザに関連付けられる。特定の例において、ユーザプロファイルは、所定のテンプレートに従って生成される。更に、リライングパーティのサイトの1又は複数の部分について、セキュリティアクセスの追加的な要件があり得る。1又は複数の実施形態において、ユーザプロファイルとリライングパーティとの間で関係が確立される。ユーザプロファイルとリライングパーティとの間の関係を設定する前に、ポリシーエンジンは、関係の性質を決定するべく、ユーザ設定がリライングパーティ要件とどのようにインタラクトするか決定する。このメカニズムにより、ユーザ及びデータのプロバイダの両方は、必要な認証のレベルの指定を共有することが可能となる。
図2は、一実施形態に係る条件付きログインプロモーションのための通信システム200を示す。通信システム200には、1又は複数のアクセスネットワーク204を介して認証サーバ206と通信する第1クライアントデバイス202a及び第2クライアントデバイス202bを含む。認証サーバ206は、インターネット208を介して、第1リライングパーティサーバ210a、第2リライングパーティサーバ210b、及び、第3リライングパーティサーバ210cと更に通信する。第1クライアントデバイス202a及び第2デバイス202bの各々は、ローカルログインがリライングパーティサーバ210a−210cのうち1又は複数にプロモーションされるべきかどうか判定するべく、デバイスのユーザがローカルログイン及び認証情報を認証サーバ206に提供することを可能にするユーザインタフェースを含む。アクセスネットワーク204は、クライアントデバイス202a−202bが認証サーバ206と通信することを可能にする、モバイルアクセスネットワーク、インターネット、又は、他のいずれかの好適なアクセスネットワークのうち、1又は複数を含み得る。認証サーバ206は、図1に関連して上述した認証コンポーネント102及び登録コンポーネント104を含む。特定の実施形態において、認証サーバ206は、サービスプロバイダの基幹ネットワーク内に配置され得る。図2に示されていないが、特定の実施形態において、認証サーバは、クラウドサービス106、サーバ108、身元認証サービス110、及び、データベース112のうち、1又は複数を含み得る、又は、それと通信し得ることを理解すべきである。
第1クライアントデバイス202a及び第2クライアントデバイス202bの各々は、それぞれ、本明細書で後述されるように、リライングパーティ(RP)サーバ210a−210cのうち1又は複数に関連するユーザのログイン及び認証を容易にするように構成された第1ユーザインタフェース(UI)212a及び第2ユーザインタフェース(UI)212bを含む。クライアントデバイス202a−202bは、リライングパーティサーバ210a−210cのうち1又は複数によって提供されるサービス又はアプリケーションへのアクセスが可能な、いずれかの電子デバイス又はコンピューティングデバイスを含み得る。これらのクライアントデバイスは、例えば、携帯電話、デスクトップPC、ラップトップコンピュータ、タブレットコンピュータ、携帯情報端末(PDA)、スマートフォン、ポータブルメディアファイルプレーヤ、電子書籍リーダー、ポータブルコンピュータ、ヘッドマウントディスプレイ、インタラクティブキオスク、携帯電話、ネットブック、シングルボードコンピュータ(SBC)、組み込みコンピュータシステム、ウェアラブルコンピュータ(例えば、スマートウォッチ又はスマートグラス)、ゲームコンソール、ホームシアターPC(HTPC)、テレビ、DVDプレイヤー、デジタルケーブルボックス、デジタルビデオレコーダー(DVR)、ウェブブラウザを実行可能なコンピュータシステム、又は、これらのうち2つ若しくはより多くの組み合わせを含み得る。コンピューティングデバイスは、これらに限定されないが、Android(登録商標)、Berkeley Software Distribution(BSD)(登録商標)、iPhone(登録商標) OS(iOS)、Linux(登録商標)、OS−X、Unix(登録商標)系リアルタイムオペレーティングシステム(例えば、QNX)、Microsoft Windows(登録商標)、Window Phone(登録商標)、及び、IBM z/OS(登録商標)を含むオペレーティングシステムを使用し得る。
リライングパーティ(RP)サーバ210a−210cは、ウェブサイト、ベンダー、並びに、その他、データ、サービス、及び、アプリケーションのプロバイダなどのエンティティに関連するサーバであり、これらのエンティティは、自身のリソースにアクセスする前に識別及び認証を受けるようユーザに要求するものである。
例示的な実装において、第1クライアントデバイス202a、第2クライアントデバイス202b、認証サーバ206、第1RPサーバ210a、第2RPサーバ201b、及び、第3RPサーバ210cは、ネットワーク要素であり、ネットワーク機器、サーバ、ルータ、スイッチ、ゲートウェイ、ブリッジ、ロードバランサ、プロセッサ、モジュール、又は、ネットワーク環境内で情報を交換するように動作できる他のいずれかの好適なデバイス、コンポーネント、要素、又は、オブジェクトを包含することが意図されている。ネットワーク要素は、それらの動作を容易にする、いずれかの好適なハードウェア、ソフトウェア、コンポーネント、モジュール、又は、オブジェクト、並びに、ネットワーク環境内でデータ又は情報を受信、送信、及び/又は、その他の手段で伝達するための好適なインタフェースを含み得る。これは、データ又は情報の効果的な交換を可能にする適切なアルゴリズム及び通信プロトコルを含み得る。
通信システム200に関連する内部構造に関して、第1クライアントデバイス202a、第2クライアントデバイス202b、認証サーバ206、第1RPサーバ210a、第2RPサーバ201b、及び、第3RPサーバ210cの各々は、本明細書に記載されている動作において使用される情報を保存するためのメモリ要素を含み得る。第1クライアントデバイス202a、第2クライアントデバイス202b、認証サーバ206、第1RPサーバ210a、第2RPサーバ201b、及び、第3RPサーバ210cの各々は、適切である場合に、特定の必要性に基づいて、いずれかの好適なメモリ要素(例えば、ランダムアクセスメモリ(RAM)、リードオンリーメモリ(ROM)、消去可能プログラマブルROM(EPROM)、電気的消去可能プログラマブルROM(EEPROM)、特定用途向け集積回路(ASIC)など)、ソフトウェア、ハードウェア、ファームウェア、又は、いずれかの他の好適なコンポーネント、デバイス、要素、又は、オブジェクト内に情報を保持し得る。本明細書に記載されているいずれかのメモリアイテムは、「メモリ要素」という広義の用語に包含されると解釈されるべきである。更に、通信システム200において使用、追跡、送信、又は、受信される情報は、いずれかのデータベース、レジスタ、キュー、テーブル、キャッシュ、制御リスト、又は、他のストレージ構造内に提供できるであろう。それらは全て、いずれかの好適な間隔で参照できる。そのようなストレージの選択肢のいずれも、本明細書に使用される「メモリ要素」という広義の用語内に含まれ得る。
特定の例示的な実装において、本明細書に記載されている機能は、不揮発性コンピュータ可読媒体を含み得る1又は複数の有形媒体内に符号化されている論理(例えば、ASIC内に提供される組み込み論理、デジタル信号プロセッサ(DSP)命令、プロセッサによって実行される(場合によっては、オブジェクトコード及びソースコードを含む)ソフトウェア、又は、他の同様のマシンなど)によって実装され得る。これらの例のいくつかにおいて、メモリ要素は、本明細書に記載されている動作に使用されるデータを保存できる。これは、本明細書に記載されているアクティビティを遂行するべく実行されるソフトウェア、論理、コンピュータコード、又は、プロセッサ命令を保存できるメモリ要素を含む。
例示的な実装において、第1クライアントデバイス202a、第2クライアントデバイス202b、認証サーバ206、第1RPサーバ210a、第2RPサーバ201b、第3RPサーバ210cなどの通信システム200のネットワーク要素は、本明細書に記載されている動作を実現又は助長するためのソフトウェアモジュールを含み得る。これらのモジュールは、特定の構成及び/又はプロビジョニングの必要性に基づき得る、いずれかの適切な手法で好適に組み合わせられ得る。特定の実施形態において、そのような動作は、ハードウェアによって遂行されるか、これらの要素の外部で実装されるか、又は、意図された機能を実現する他の何らかのネットワークデバイス内に含まれ得る。更に、モジュールは、ソフトウェア、ハードウェア、ファームウェア、又は、それらのいずれかの好適な組み合わせとして実装できる。これらの要素は、本明細書に記載されているような動作を実現するべく他のネットワーク要素と連携できるソフトウェア(又はレシプロケーティングソフトウェア)も含み得る。
加えて、第1クライアントデバイス202a、第2クライアントデバイス202b、認証サーバ206、第1RPサーバ210a、第2RPサーバ201b、及び第3RPサーバ210cの各々は、本明細書に記載されているアクティビティを実行するためのソフトウェア又はアルゴリズムを実行できるプロセッサを含み得る。プロセッサは、本明細書に詳しく記載されている動作を実現するためのデータに関連する任意の種類の命令を実行できる。一例において、プロセッサは、1つの状態又は物から、別の状態又は物へと、要素又は品目(例えば、データ)を変換できるであろう。別の例において、本明細書に記載されているアクティビティは、固定論理又はプログラマブル論理(例えば、プロセッサによって実行されるソフトウェア/コンピュータ命令)によって実装され得る。本明細書において特定されている要素は、デジタル論理、ソフトウェア、コンピュータコード、電子命令、又は、それらのいずれかの好適な組み合わせを含む、何らかの種類のプログラマブルプロセッサ、プログラマブルデジタル論理(例えば、フィールドプログラマブルゲートアレイ(FPGA)、EPROM、EEPROM)、又は、ASICであり得る。本明細書に記載されている、潜在的な処理要素、モジュール、マシンのいずれも、「プロセッサ」という広義の用語に包含されると解釈されるべきである。
図3A−図3Bは、一実施形態に係るローカルOSログインプロモーションのプロセスフロー300の例を示す。302において、クライアントデバイス202aのユーザは、ローカルオペレーティングシステム(OS)ログイン手順を開始して、クライアントデバイス202aのグラフィカルユーザインタフェース(GUI)などのユーザインタフェース(UI)を介して、ユーザから、クライアントデバイス202aのローカルOSに関連するローカルログイン情報を受信する。特定の実施形態において、ローカルログイン情報は、ユーザ識別子、パスワード、個人識別番号(PIN)、又は、クライアントデバイス202aのローカルOSへログインするのに必要な他のいずれかの好適な情報のうち1又は複数を含み得る。304において、クライアントデバイス202aは、ユーザから1又は複数の認証因子を受信する。1又は複数の実施形態において、認証因子は、指紋又は顔認識など、ユーザから取得された1又は複数のバイオメトリック認証因子を含み得る。特定の実施形態において、ユーザから受信された認証因子は、能動認証因子、及び/又は、受動認証因子を含み得る。特定の実施形態において、能動認証因子は、クライアントデバイス202aに関連するカメラに向かってユーザの顔及び/又はユーザの眼のまばたきを提示するなどの行動をとるようにユーザに要求することを含み得る。更に他の特定の実施形態において、受動認証因子は、認証サーバ206によって信頼済みのクライアントデバイス202aを示す、クライアントデバイス202aのアイデンティティなど、ユーザに対して透過的である認証因子を含み得る。
306において、クライアントデバイス202aは、ユーザによって提供されたローカルログイン情報が、ユーザに関連する保存済みローカルログイン情報とマッチするかどうか判定するべく、ローカルログインマッチ手順を実行する。特定の実施形態において、保存済みローカルログイン情報は、クライアントデバイス202a内に保存され得る。更に他の特定の実施形態において、保存済みローカルログイン情報は、クライアントデバイス202aに関連するサーバ内に保存され得る。マッチが成功した場合、308において、クライアントデバイス202aは、ローカルオペレーティングシステムログイン成功の通知、及び、1又は複数の認証因子を認証サーバ206へ送信する。310において、認証サーバ206は、ローカルログイン及び認証情報の受信に応じて、クライアントデバイス202aのための新規セッションを生成する。
312において、認証サーバ206は、ローカルOSログインが、RPサーバ210に関連するRPサービス及び/又はアプリケーションへローカルOSログインをプロモーションするための1又は複数のOSプロモーション条件を満たすかどうか検証する。1又は複数の実施形態において、OSプロモーション条件は、セッションフラグがクライアントデバイス202aとのアクティブセッションを示していないかどうか判定すること、ネットワーク接続があるかどうか判定すること、リモートユーザテーブルにおける現在のユーザ数が、所定の閾値である[OS LOGIN NUMBER OF USERS TO PROMOTE]より小さいかどうか判定すること、リモートユーザテーブル及びローカルユーザテーブル内の情報が同一であるかどうか判定すること、ユーザのための最後のプロモーションが所定期間を超えたかどうか判定すること、人間であることを示すものなどの1又は複数の認証因子が、ユーザを認証するのに必要なセキュリティレベルを満たしているかどうか判定することのうち、1又は複数を含み得る。特定の実施形態において、アクティブセッションフラグが偽に設定され、インターネットへのネットワーク接続が存在し、リモートユーザテーブル内の現在のユーザ数が所定の閾値より小さく、リモートユーザテーブル内のユーザデータ及びローカルユーザテーブルが同一であり、このユーザの最後のプロモーションが少なくとも24時間前であり、ユーザのまばたきの検出など、ユーザが人間であることのチェックが成功した場合、ローカルOSログインは、RPサーバ210aにプロモーションされる。
プロモーションを実行すべき場合、認証サーバ206コンポーネントは、クライアントデバイス202aを介した、ユーザのローカルOSログインをRPサーバ210aへプロモーションすべきことを示す認証メッセージを認証コンポーネント102へ送信する。1又は複数の実施形態において、認証メッセージは、リライングパーティに関連する識別子、ユーザに関連する識別子、及び、クライアントデバイス202aについてのアクティブセッションが確立されているという通知を含む。特定の実施形態において、認証メッセージは、Authenticate(RPid,email,Processed Frame,Active=true)という形式である。ここで、RPidはRP識別子であり、emailはユーザを識別する電子メールアドレスであり、Processed Frameは現在処理されているフレームであり、Active=trueは、アクティブセッションが確立されたことを示すものである。
316において、認証コンポーネント102に関連するキャッシュ内に保存される、要求されたリライングパーティ情報を認証コンポーネント102がまだ有していない場合、認証コンポーネント102は、要求されたRPサービス及び/又はRPアプリケーションに関連するRPサーバ210aからのリライングパーティ情報を要求する。特定の実施形態において、リライングパーティ情報は、リライングパーティ、リライングパーティサーバ210a、リライングパーティサービス、及び/又は、リライングパーティアプリケーションに関連するアイデンティティを含み得る。318において、認証コンポーネント102は、要求されたリライングパーティ情報をRPサーバ210aから受信する。320において、認証コンポーネント102は、リライングパーティのサービス及び/又はアプリケーションが有効であるかどうか判定するべく、ホワイトリストを使用してRP情報を検証する。RPが有効である場合、322において、認証コンポーネント102は、クライアントデバイス102aを識別するトランザクションデバイスIDと、RPサーバ210aによって提供される特定のRPサービス及び/又はアプリケーションを識別するRPアプリケーションIDとを生成する。
324において、認証コンポーネント102は、RPサーバ210aによって提供されるサービス及び/又はアプリケーションにアクセスするべく、クライアントデバイス102aに関連するユーザを認証する認証メッセージをRPサーバ210aへ送信する。特定の実施形態において、認証メッセージは、「authorize user」という形式(Userdata(OAuthTransid,email,Frames),RpData)であり、Userdataフィールドは、OAuthトランザクションID、ユーザの電子メールアドレス、処理されるフレームを含み、RpDataフィールドは、RPサーバ210へ送信されるデータを含む。326において、RPサーバ210aは、要求されたRPサービス及び/又はアプリケーションへのアクセスをユーザに許可するかどうか判定するためのリスク分析を実行する。328において、RPサーバ210aは、リスク分析結果を示す第1動作結果メッセージを認証コンポーネント102へ送信する。第1動作結果メッセージは、RPサーバ210aによって提供されるRPサービス及び/又はアプリケーションへのアクセスをユーザに許可することをリスク分析の結果が示しているかどうか示す。第1動作結果において、アクセスが許可されるべきことが示されている場合、330において、認証コンポーネント102は、ユーザセッションを生成する。332において、認証コンポーネント102は、ユーザセッションの生成が成功したかどうかを示す第2動作結果メッセージを認証サーバ206へ送信する。成功した場合、認証サーバ206は、334において、セッション情報を更新し、336において、アクティブセッションを真に設定する。上述の手順が完了すると、RPサーバ210aによって提供される1又は複数のサービス及び/又はアプリケーションにクライアントデバイス202aがアクセスすることを可能にするべく、クライアントデバイス202aとRPサーバ210aとの間でアクティブセッションが確立される。
図4は、一実施形態に係るローカルOSログインプロモーションに関連する動作の例を示す、簡略化されたフロー図400である。402において、認証サーバ206は、ユーザに関連するクライアントデバイス202aから、ユーザによるローカルオペレーティングシステムログインの通知を受信する。404において、認証サーバ206は、クライアントデバイス202aから、ユーザに関連する1又は複数の認証因子を受信する。406において、認証サーバ206は、ユーザに関連する1又は複数の認証因子に基づいて、ローカルオペレーティングシステムログインをRPサーバ210aなどのリライングパーティエンティティへプロモーションすべきかどうか判定する。1又は複数の実施形態において、ローカルオペレーティングシステムログインをリライングパーティエンティティへプロモーションすべきかどうか判定することは、1又は複数の認証因子が必要なセキュリティレベルを満たしているかどうか判定することを含む。1又は複数の実施形態において、1又は複数の認証因子は、少なくとも1つの能動認証因子及び少なくとも1つの受動認証因子のうち、1又は複数を含む。特定の実施形態において、少なくとも1つの能動認証因子は、バイオメトリック認証因子を含む。更に他の特定の実施形態において、バイオメトリック認証因子は、ユーザの顔認識を含む。更に他の特定の実施形態において、少なくとも1つの能動認証因子は、ユーザが人間であることを示すものを含む。他の特定の実施形態において、少なくとも1つの受動認証因子は、クライアントデバイスに関連するデバイス識別子を含む。
認証因子が所定のセキュリティレベルを満たしていないと判定された場合、動作は終了する。認証因子が所定のセキュリティレベルを満たしていると判定された場合、408において、認証サーバ206は、認証因子が必要なセキュリティレベルを満たしているという判定に応じて、ローカルオペレーティングシステムログインをリライングパーティエンティティへプロモーションする。特定の実施形態において、ローカルオペレーティングシステムログインをリライングパーティエンティティへプロモーションすることは、リライングパーティエンティティに関連する1又は複数のリソースに対するクライアントデバイス202aのアクセスの認証を含む。特定の実施形態において、1又は複数のリソースは、リライングパーティエンティティによって提供されるサービス、又は、リライングパーティエンティティによって提供されるアプリケーションのうち、少なくとも1つを含む。410において、認証サーバ206は、ローカルオペレーティングシステムログインをリライングパーティエンティティへプロモーションすることに応じて、クライアントデバイス202aとリライングパーティエンティティとの間にアクティブセッションを確立する。
ここで、図5を参照する。図5は、図2のクライアントデバイス202aの実施形態の簡略ブロック図である。クライアントデバイス202aは、プロセッサ502、メモリ要素504、グラフィカルユーザインタフェース506、認証モジュール508、及び、1又は複数のバイオメトリックセンサーを含む。プロセッサ502は、本明細書に記載されているように、クライアントデバイス202aの様々な動作を実行するべく、ソフトウェア命令を実行するよう構成されている。メモリ要素504は、クライアントデバイス202aに関連するソフトウェア命令及びデータを保存するように構成され得る。プロセッサ502は、マイクロプロセッサ、組み込みプロセッサ、デジタル信号プロセッサ(DSP)、ネットワークプロセッサ、又は、コードを実行する他のデバイスなど、任意の種類のプロセッサであり得る。図5には1つのプロセッサ502のみが示されているが、いくつかの実施形態において、クライアントデバイス202aは、1つより多くのプロセッサを含み得ることを理解すべきである。
グラフィカルユーザインタフェース506は、本明細書に記載されているようなローカルOSログイン手順を容易にするべく、クライアントデバイス202aのユーザにグラフィカルユーザインタフェースを提供するように構成されている。認証モジュール508は、本明細書に記載されているような、クライアントデバイス202aに関連する認証機能を実行するように構成されている。バイオメトリックセンサー510は、本明細書に記載されているように、ユーザからバイオメトリック認証因子を収集するように構成されている。特定の実施形態において、バイオメトリックセンサー510は、カメラ、指紋、センサ、又は、マイクのうち、1又は複数を含み得る。
ここで、図6を参照する。図6は、図2の認証サーバ206の実施形態の簡略ブロック図である。認証サーバ206は、プロセッサ602、メモリ要素604、認証コンポーネント102、及び、登録コンポーネント104を含む。プロセッサ602は、本明細書に記載されているような、認証サーバ206の様々な動作を実行するためのソフトウェア命令を実行するように構成されている。メモリ要素604は、認証サーバ206に関連するソフトウェア命令及びデータを保存するように構成され得る。プロセッサ602は、マイクロプロセッサ、組み込みプロセッサ、デジタル信号プロセッサ(DSP)、ネットワークプロセッサ、又は、コードを実行する他のデバイスなど、任意の種類のプロセッサであり得る。図6には1つのプロセッサ602のみが示されているが、いくつかの実施形態において、認証サーバ206は、1つより多くのプロセッサを含み得ることを理解すべきである。
認証コンポーネント102は、本明細書に記載されているような認証サーバ206の認証及びローカルOSログインプロモーション機能を容易にするよう構成され、登録コンポーネント104は、本明細書に記載されているような、認証サーバ206の登録、管理、ポリシー管理機能を容易にするように構成されている。
1又は複数の実施形態では、様々なリモートアプリケーションの各々について認証処理を繰り返す必要なく、複数の受動因子(例えば、信頼済みデバイスID)で強化され、ローカルで処理及びセキュアに保持され、異なるリソースへのアクセスを透過的に許可するべくリモートでプロモーションされる、複数の能動認証因子(例えば、バイオメトリック)の使用を提供することと、単一メカニズムを使用するのではなく、認証因子を掛け合わせることと、スプーフィングの試行から防護するべく異なる性質(能動/受動)の因子を組み合わせることと、実際の資格情報を、それを必要とするクラウド又はクラウドサービスにアップロードせず、クラウドサービスへの直接ログイン及び必要な資格情報の要求された送信の自動化も試行しないことと、ユーザ及びサービスプロバイダの両方に対し、サービスへのアクセスが許可される前に満たすべきセキュリティ基準を設定及び強化する機会を与えることと、セキュア環境内で保持され得る、ユーザの、及び、ローカルレベル内の信頼の基礎を保持することと、確立された信頼に基づいて、複数のリモートサービスに対してユーザを透過的に認証するのに使用されるユーザプロファイルを生成することのうち、1又は複数の有益な効果を提供し得る。
既存のシングルサインオンのソリューションは通常、バイオメトリックを伴わず、単一因子認証メカニズムであることが多い。シングルサインオンのソリューションにおいて、信頼の基礎は、複数ウェブサイト間で保持される。本明細書に記載されている様々な実施形態において、信頼の基礎は、ユーザに関連し、ローカルのセキュア設定内で保持され、決して多くのエンティティ間で配付されない。
他の実施形態は、クラウドベースエンティティなど、1又は複数のリライングパーティエンティティへの認証を強化するべく、バイオメトリック認証をダイナミックデバイス識別子と組み合わせることに関する。ユーザにアクセスを許可する前にユーザを認証するのにウェブサイトが利用する、複数の既存のメカニズムが存在する。これらのメカニズムのいくつかは、ユーザ名/パスワード、ワンタイムパスワード(OTP)などの第2因子を含み、おそらくバイオメトリックも含む。しかしながら、これらの因子の各々は現在、互いに独立しているので、悪意のあるエンティティは、様々な既知のメカニズムを通して、これらの因子を独立的に取得すること、及び、それらの認証のスプーフィングを試行することが可能である。
本明細書に記載されている様々な実施形態は、リライングパーティエンティティへ送信される認証及びコンテキスト因子が互いに関連していること、及び、ユーザのアカウントに関連付けられたデバイスから生成されていることを一意に確認するバイオメトリック、デバイス識別情報、及び、デバイスベース証明を組み合わせるメカニズムを提供する。1又は複数の特定の実施形態において、ワンタイムパスワード(OTP)がデバイス識別子として使用されるので、追跡又は再使用できない、常に変化する短寿命の識別子が可能になる。したがって、悪意のあるエンティティは、認証上でスプーフィングするには、「あなたは何を持っているか」、「あなたは何を知っているか」、「あなたは何か」という種類の因子を含む、複数の種類の因子を取得する必要がある。しかしながら、1又は複数の実施形態において、実際には、ユーザに負担をかけないように、これらの項目の全てを証明する必要はない。1又は複数の実施形態において、これらの項目のいくつかを暗黙に提供することを容易にして、それにより、良好な使用性と、高いセキュリティとの間のバランスを実現するシステムが提供されている。
1又は複数の実施形態において、ウェブサイト、又は、他のクラウドホスト型リライングパーティエンティティなどのリライングパーティエンティティに対する従来のユーザ名/パスワードベース認証メカニズムに代わる手段が提供されている。少なくとも一実施形態による例示的な処理において、ユーザは最初に、リライングパーティエンティティに関連するクライアントデバイスに登録する。特定の実施形態において、クライアントデバイスに登録する処理は、デバイス識別子の生成をクライアントデバイス内のセキュア要素内に転送することで強化され得る。ユーザは次に、リライングパーティエンティティに、顔などのバイオメトリック認証因子を登録する。特定の実施形態において、リライングパーティは、ユーザのためのパスワード、又は、単純なPINなどの追加的な認証因子をセットアップすることも選択し得る。
認証中、ユーザは、関連するバイオメトリック認証因子を提供し、システムは、ユーザがリライングパーティエンティティに登録した特定のクライアントデバイスのアイデンティティがクライアントデバイスのアイデンティティと同一であるという証明を透過的に提供する。また、リライングパーティエンティティは、ユーザに対し、追加的な認証因子(例えば、PIN)を入力するように要求し、更に、システムに対し、認証のためにバイオメトリックデータが送信される前にバイオメトリックデータに一意に署名するように要求し得る。クライアントデバイスによる、リライングパーティエンティティのリソースへのアクセスを許可するべく、これらの認証因子の全ては、互いに紐付けられ、リライングパーティエンティティによって、まとめて検証される。
図7は、一実施形態に係る、バイオメトリック及びダイナミックデバイス識別子認証を使用して、リライングパーティエンティティに対して認証するための通信システム700を示す。通信システム700は、1又は複数のアクセスネットワーク204を介して認証サーバ710と通信するクライアントデバイス702を含む。認証サーバ710は、インターネット208を介して、リライングパーティ(RP)サーバ716と更に通信する。特定の実施形態において、認証サーバ710は、認証サービスプロバイダに関連付けられている。クライアントデバイス702は、セキュア要素704、認証クライアント706、及び、ユーザインタフェース(UI)708を含む。セキュア要素704は、クライアントデバイス702に関連付けられたダイナミックデバイス識別子をセキュアに生成及び保存するよう構成されている。ユーザインタフェース(UI)708は、本明細書で後述されているように、リライングパーティ(RP)サーバ716に対する、クライアントデバイス702に関連するユーザの登録及び認証を容易にするよう構成されている。認証クライアント706は、登録及び認証情報を認証サーバ710へ伝達することを容易にするよう構成されている。
アクセスネットワーク204は、モバイルアクセスネットワーク、インターネット、又は、他のいずれかの好適なアクセスネットワークのうち1又は複数を含み得て、これにより、クライアントデバイス202a−202bが認証サーバ206と通信することを可能にする。認証サーバ710は本明細書に記載されている認証機能を提供するよう構成されている認証コンポーネント712、及び、本明細書に記載されている登録機能を提供するよう構成されている登録コンポーネント714を含む。特定の実施形態において、認証サーバ710は、サービスプロバイダの基幹ネットワーク内に配置され得る。
クライアントデバイス702は、リライングパーティサーバ716によって提供されるサービス又はアプリケーションにアクセス可能な任意の電子デバイス、又は、コンピューティングデバイスを含み得る。これらのクライアントデバイスは、例えば、携帯電話、デスクトップPC、ラップトップコンピュータ、タブレットコンピュータ、携帯情報端末(PDA)、スマートフォン、ポータブルメディアファイルプレーヤ、電子書籍リーダー、ポータブルコンピュータ、ヘッドマウントディスプレイ、インタラクティブキオスク、携帯電話、ネットブック、シングルボードコンピュータ(SBC)、組み込みコンピュータシステム、ウェアラブルコンピュータ(例えば、スマートウォッチ又はスマートグラス)、ゲームコンソール、ホームシアターPC(HTPC)、テレビ、DVDプレイヤー、デジタルケーブルボックス、デジタルビデオレコーダー(DVR)、ウェブブラウザを実行可能なコンピュータシステム、又は、これらのうち2つ若しくはより多くの組み合わせを含み得る。コンピューティングデバイスは、これらに限定されないが、Android(登録商標)、Berkeley Software Distribution(BSD)(登録商標)、iPhone(登録商標) OS(iOS)、Linux(登録商標)、OS−X(登録商標)、Unix(登録商標)系リアルタイムオペレーティングシステム(例えば、QNX)、Microsoft Windows(登録商標)、Window Phone(登録商標)、及び、IBM z/OS(登録商標)を含むオペレーティングシステムを使用し得る。
リライングパーティ(RP)サーバ716は、それらのリソースにアクセスする前に識別及び認証を受けるようクライアントデバイス702のユーザに要求する、ウェブサイト、ベンダー、並びに、その他、データ、サービス、及び、アプリケーションのプロバイダなど、リソースを提供するリライングパーティエンティティに関連するサーバである。
例示的な実装において、クライアントデバイス702、認証サーバ710、RPサーバ716はネットワーク要素であり、ネットワーク機器、サーバ、ルータ、スイッチ、ゲートウェイ、ブリッジ、ロードバランサ、プロセッサ、モジュール、又は、ネットワーク環境内で情報を交換するよう動作できる、他の好適なデバイス、コンポーネント、要素、若しくは、オブジェクトを包含することが意図されている。ネットワーク要素は、それらの動作を容易にする、いずれかの好適なハードウェア、ソフトウェア、コンポーネント、モジュール、又は、オブジェクト、並びに、ネットワーク環境内でデータ又は情報を受信、送信、及び/又は、その他の手段で伝達するための好適なインタフェースを含み得る。これは、データ又は情報の効果的な交換を可能にする適切なアルゴリズム及び通信プロトコルを含み得る。
通信システム700に関連する内部構造に関して、クライアントデバイス702、認証サーバ710、及び、RPサーバ716の各々は、本明細書に記載されている動作において使用される情報を保存するためのメモリ要素を含み得る。クライアントデバイス702、認証サーバ710、及び、RPサーバ716の各々は、適切である場合に、特定の必要性に基づいて、いずれかの好適なメモリ要素(例えば、ランダムアクセスメモリ(RAM)、リードオンリーメモリ(ROM)、消去可能プログラマブルROM(EPROM)、電気的消去可能プログラマブルROM(EEPROM)、特定用途向け集積回路(ASIC)など)、ソフトウェア、ハードウェア、ファームウェア、又は、いずれかの他の好適なコンポーネント、デバイス、要素、又は、オブジェクト内に情報を保持し得る。本明細書に記載されているいずれかのメモリアイテムは、「メモリ要素」という広義の用語に包含されると解釈されるべきである。更に、通信システム700において使用、追跡、送信、又は、受信される情報は、いずれかのデータベース、レジスタ、キュー、テーブル、キャッシュ、制御リスト、又は、他のストレージ構造内に提供できるであろう。それらは全て、いずれかの好適な間隔で参照できる。そのようなストレージの選択肢のいずれも、本明細書に使用される「メモリ要素」という広義の用語内に含まれ得る。
特定の例示的な実装において、本明細書に記載されている機能は、不揮発性コンピュータ可読媒体を含み得る1又は複数の有形媒体内に符号化されている論理(例えば、ASIC内に提供される組み込み論理、デジタル信号プロセッサ(DSP)命令、プロセッサによって実行される(場合によっては、オブジェクトコード及びソースコードを含む)ソフトウェア、又は、他の同様のマシンなど)によって実装され得る。これらの例のいくつかにおいて、メモリ要素は、本明細書に記載されている動作に使用されるデータを保存できる。これは、本明細書に記載されているアクティビティを遂行するべく実行されるソフトウェア、論理、コード、又は、プロセッサ命令を保存できるメモリ要素を含む。
例示的な実装において、クライアントデバイス702、認証サーバ710、RPサーバ716などの通信システム200のネットワーク要素は、本明細書に記載されている動作を実現又は助長するためのソフトウェアモジュールを含み得る。これらのモジュールは、特定の構成及び/又はプロビジョニングの必要性に基づき得る、いずれかの適切な手法で好適に組み合わせられ得る。特定の実施形態において、そのような動作は、ハードウェアによって遂行されるか、これらの要素の外部で実装されるか、又は、意図された機能を実現する他の何らかのネットワークデバイス内に含まれ得る。更に、モジュールは、ソフトウェア、ハードウェア、ファームウェア、又は、それらのいずれかの好適な組み合わせとして実装できる。これらの要素は、本明細書に記載されているような動作を実現するべく他のネットワーク要素と連携できるソフトウェア(又はレシプロケーティングソフトウェア)も含み得る。
加えて、クライアントデバイス702、認証サーバ710、及び、RPサーバ716の各々は、本明細書に記載されているアクティビティを実行するためのソフトウェア又はアルゴリズムを実行できるプロセッサを含み得る。プロセッサは、本明細書に詳しく記載されている動作を実現するためのデータに関連する任意の種類の命令を実行できる。一例において、プロセッサは、1つの状態又は物から、別の状態又は物へと、要素又は品目(例えば、データ)を変換できるであろう。別の例において、本明細書に記載されているアクティビティは、固定論理又はプログラマブル論理(例えば、プロセッサによって実行されるソフトウェア/コンピュータ命令)によって実装され得る。本明細書において特定されている要素は、デジタル論理、ソフトウェア、コード、電子命令、又は、それらのいずれかの好適な組み合わせを含む、何らかの種類のプログラマブルプロセッサ、プログラマブルデジタル論理(例えば、フィールドプログラマブルゲートアレイ(FPGA)、EPROM、EEPROM)、又は、ASICであり得る。本明細書に記載されている、潜在的な処理要素、モジュール、マシンのいずれも、「プロセッサ」という広義の用語に包含されると解釈されるべきである。
図8は、一実施形態に係る、クライアントデバイス702を認証サーバ710に登録するためのプロセスフロー800の例を示す。クライアントデバイス702の登録によって、後の認証の試行元が検証されることが可能になる。デバイス登録は、デバイス識別子の登録、及び、デバイス識別子の後における生成が、クライアントデバイス702のセキュア要素704内で実行される場合に、大幅に強化される。登録は更に、ユーザ認証の一部として、ユーザからのバイオメトリック認証因子の登録を含む。
802において、認証クライアント706は、認証サーバ710へのデバイス登録を開始する。804において、クライアントデバイス702は、セキュア要素704内でトークンを生成する。特定の実施形態において、トークンは、公開鍵暗号化アルゴリズムに基づいて生成される。806において、クライアントデバイス702は、デバイス登録の一部として、セキュア要素704から認証サーバ710へトークンを送信する。808において、クライアントデバイス702の認証クライアント706は、クライアントデバイス702に関連するユーザから、1又は複数の第1バイオメトリック認証因子を受信する。810において、クライアントデバイス702の認証クライアント706は、第1バイオメトリック認証因子を登録し、第1バイオメトリック認証因子をクライアントデバイス702に関連付ける。812において、クライアントデバイス702の認証クライアント706は、トークン、及び、関連付けられた第1バイオメトリック認証因子を認証サーバ710へ送信する。814において、認証サーバ710は、トークンをユーザバイオメトリックに関連付ける。したがって、クライアントデバイス702は認証サーバ710に登録され、認証サーバ710によるクライアントデバイス702の後の認証が可能となる。
図9は、一実施形態に係る、認証サーバ710によってクライアントデバイス702を認証するためのプロセスフロー900の例を示す。902において、クライアントデバイス702の認証クライアント706は、クライアントデバイス702に関連するユーザから第2バイオメトリック認証因子を取得する。904において、認証クライアント706は、セキュア要素704からデバイス識別子を読み出すための要求を送信する。906において、クライアントデバイス702は、セキュア要素704内のトークンからデバイス識別子を生成する。908において、クライアントデバイス702は、生成されたデバイス識別子を認証クライアント706へ送信する。910において、認証クライアント706は、デバイス識別子で第2バイオメトリック認証因子をデジタル署名する。特定の実施形態において、第2バイオメトリック認証因子は、デバイス識別子から導出された鍵を使用して署名される。更に別の実施形態において、ユーザバイオメトリックは、デバイス登録処理中に構築された別の鍵を使用して署名される。
912において、認証クライアント706は、署名済みの第2バイオメトリック認証因子及びデバイス識別子を認証サーバ710へ送信する。914において、認証サーバ710は、以前受信したトークンを使用して、デバイス識別子を検証する。916において、認証サーバ710は、デバイス識別子に基づいて、署名済みの第1バイオメトリック認証因子を検証する。特定の実施形態において、第2バイオメトリック認証因子が第1バイオメトリック認証因子とマッチする場合、認証サーバ710は、第2バイオメトリック認証因子を検証する。特定の実施形態において、署名済みユーザバイオメトリックは、デバイス識別子から導出された鍵を使用して検証される。918において、検証後、認証サーバ710は、RPサーバ716へのアクセスを許可するべく、クライアントデバイス702に関連するユーザが認証されたという通知をクライアントデバイス702の認証クライアント706へ送信する。920において、クライアントデバイス702とRPサーバ716との間でセッションが確立され、クライアントデバイス702は、RPサーバ716に関連するリライングパーティエンティティによって提供される1又は複数のリソースへアクセスすることが可能となる。
1又は複数の実施形態において、ユーザバイオメトリック及びデバイス識別子を組み合わせることによって、認証要求が登録済みデバイスから来ていること、及び、認証要求と登録済みデバイスとの間がバインドされていることの信頼性を提供する。この組み合わせを使用することで、認証サーバ710は、認証要求が真正であるという高い信頼性を獲得し得る。1又は複数の実施形態において、生成されたデバイス識別子は、ワンタイムパスワードとして機能する。特に、使用中に追跡され得る静的識別子がある場合、どの形式の(ユーザ又はデバイスの)識別も、多くのプライバシー上の問題をもたらし得る。ワンタイムパスワードとして生成されたデバイス識別子の使用には、次の特性のうち1又は複数があり得る。(1)一旦生成されると、短期間のみ有効である。(2)認証サーバによって一旦検証されると、無用になる。
様々な実施形態において、デバイス識別子は本質的にワンタイムパスワードであるので、これにより、デバイス識別子は、全ての認証セッションで一意となることが可能である。デバイス識別子が窃取された場合、後の認証セッションに再使用できないので、無用になる。更に、デバイス識別子は一旦生成されると、非常に短期間中に使用される必要がある。さもないと、デバイス識別子はやはり無用になる。
図10A−図10Bは、一実施形態に係る、クライアントデバイスの登録及び認証に関連する例示的な動作を示す、簡略化されたフロー図1000である。1002において、クライアントデバイス702など、ユーザに関連するクライアントデバイスは、認証サーバ710などのサーバによるデバイス登録を開始する。1004において、クライアントデバイスは、ユーザに関連するクライアントデバイスのセキュア要素(セキュア要素704など)内にトークンを生成する。1006において、クライアントデバイスは、トークンをサーバへ送信する。1008において、クライアントデバイスは、ユーザに関連する1又は複数の第1バイオメトリック認証因子を受信する。1010において、クライアントデバイスは、1又は複数の第1バイオメトリック認証因子をサーバへ送信し、サーバは、1又は複数のバイオメトリック認証因子にトークンを関連付けるよう構成されている。
1012において、クライアントデバイスは、1又は複数の第2バイオメトリック認証因子をユーザから取得する。1014において、クライアントデバイスは、クライアントデバイスに関連するデバイス識別子をトークンから生成する。1016において、クライアントデバイスは、1又は複数の第2バイオメトリック認証因子をデバイス識別子でデジタル署名する。特定の実施形態において、デバイス識別子は、セキュア要素内で生成される。他の特定の実施形態において、1又は複数の第2バイオメトリック認証因子は、デバイス識別子から導出された鍵を使用して署名される。
1018において、クライアントデバイスは、署名済みバイオメトリック認証因子及びデバイス識別子をサーバへ送信する。1又は複数の実施形態において、サーバは、デバイス識別子及び署名済みバイオメトリック認証因子を検証するよう構成されている。サーバがデバイス識別子及び署名済みバイオメトリック認証因子を検証したことに応じて、1020において、クライアントデバイスは、クライアントデバイスに関連するユーザが認証されたという通知をサーバから受信する。1022において、クライアントデバイスは、リライングパーティエンティティに関連する1又は複数のリソースへアクセスするべく、クライアントデバイスとリライングパーティエンティティとの間のセッションを確立する。動作はこれで終了する。
別の実施形態は、複数のオブジェクトが複数のリソースに割り当てられる、ネットワークセキュリティプラットフォーム(NSP)内のネットワークセキュリティリソースのポリシー管理のためのグラフィカルユーザインタフェースに関する。1又は複数の実施形態は、全ての侵入防止システムセンサの全てのネットワークインタフェースをシングル・ペイン・オブ・グラス上で公開することで、ポリシー管理を提供し、ユーザがユーザインタフェースとの最低限のインタラクションで一度に1又は複数のインタフェース上でポリシーを表示、生成、編集、及び、割り当てることを可能にする。様々な実施形態において、「シングル・ペイン・オブ・グラス」とは、多くのポリシー管理機能を実行するのに単一の制御パネルを使用することを指す。
現代における多くのネットワークセキュリティ製品の文脈におけるポリシーは、実際には、複数のポリシータイプの集合であることを理解することが重要である。例えば、特定のネットワークインタフェースに割り当てられた「ポリシー」は、(1)侵入防止、(2)高度なマルウェア分析、(3)トラフィック検査、(4)ファイアウォール/アクセス制御、(5)帯域制限/タグ付けルール、(6)接続制限/サービス妨害(DoS)防止というポリシータイプの各々の定義/分類を含み得る。この本質的な複雑性により、従来のシステムの管理が困難になる。なぜなら、ポリシーを単一インタフェースに割り当てるような、単純に見えるものには、実際には6組の定義の割り当てが含まれているからである。各々が10のインタフェースを含んでいる10のデバイスを管理者が有する、一般的な使用事例において、600の割り当てを管理する必要がある。更に、複雑性のレベルがインタフェースごとに異なるので、ネットワークセキュリティプラットフォームは従来、インタフェースごとの管理を公開してきた。つまり、管理者は、一度に単一インタフェースのための割り当てを管理せざるを得ない。それら600の割り当てを管理するべく、100の異なるUIページを移動する必要があり得、各ページ上で、割り当てが更新され、変更が保存される必要がある。1又は複数の実施形態において、インタフェースを「シングル・ペイン・オブ・グラス」上で公開することにより、12回より少ないクリックで、例えば、100のインタフェース全体でのポリシー割り当ての潜在的な更新を可能にし、その過程において高い確率でヒューマンエラーが発生することを回避する。
ネットワークセキュリティの文脈における集中型ポリシー管理のための主要な使用事例には、以下が含まれる。
1.現在のポリシータイプ割り当てを複数のインタフェース全体で比較及び対比する。
2.既存の割り当て及び/又はインタフェースのメタデータに基づいて、インタフェースを入力又は出力についてフィルタリングする。
3.1又は複数のインタフェースのための割り当てを更新する。
4.特定のポリシー定義のための詳細を表示する。
5.特定のポリシー定義のための詳細を編集する。
6.新しいポリシー定義を生成する。
図11は、一実施形態に係る、ネットワークセキュリティプラットフォーム(NSP)内のネットワークセキュリティリソースのポリシー管理のための通信システム1100を示す。通信システム1100は、ポリシー管理モジュール1104、第1侵入防止センサ(IPS)1106a、第2IPS1106b、第3IPS1106cを含むネットワークセキュリティプラットフォーム1102を備える。通信システム1100は更に、ネットワークセキュリティプラットフォーム1102と各々通信する、クライアントモジュール1108、及び、管理デバイス1110を含む。ネットワークセキュリティプラットフォーム1102は更に、インターネット208と通信する。1又は複数の実施形態において、第1IPS1106a、第2IPS1106b、第3IPS1106cの各々は、ネットワークトラフィック、及び/又は、通信ネットワーク1100内のクライアントデバイス1108などのネットワーク要素に対する侵入及びその他の攻撃を検出及び防止するよう構成されている、ネットワーク要素、ハードウェアデバイス、及び/又は、ソフトウェアモジュールである。
ポリシー管理モジュール1104は、第1IPS1106a、第2IPS1106b、第3IPS1106cの各々で構成されている1又は複数のポリシーを管理するよう構成されている。ポリシーは、ユーザが構成できるセキュリティルールであり、侵入の検出をどのように実行するか、クライアントデバイス1108とインターネット208との間のトラフィックは、通信ネットワーク1100内の第1IPS1106a、第2IPS1106b、第3IPS1106cの各々によってどのように処理されるか判定する。第1IPS1106a、第2IPS1106b、第3IPS1106cのうち1又は複数によって実行され得る機能の例には、ステートフルトラフィック検査、署名検出、異常検出、サービス妨害(DoS)検出、侵入防止、及び、暗号化攻撃防護などが含まれるが、これらに限定されない。
管理デバイス1110は、ポリシー管理グラフィカルユーザインタフェース(GUI)を管理デバイス1110の管理者又は他のユーザへ提供するよう構成されている、管理デバイス1110に接続されているディスプレイ1112を有する。ポリシー管理GUIは、管理者がネットワークセキュリティプラットフォーム1102のポリシー管理モジュール1104にインタフェース接続することを可能にするよう構成され、これにより、本明細書で後述されるように、第1IPS1106a、第2IPS1106b、第3IPS1106cの構成が可能となる。クライアントデバイス1108及び/又は管理デバイス1110は、ネットワークセキュリティプラットフォーム1102と通信可能な任意の電子デバイス又はコンピューティングデバイスを有し得て、例えば、携帯電話、デスクトップPC、ラップトップコンピュータ、タブレットコンピュータ、携帯情報端末(PDA)、スマートフォン、ポータブルメディアファイルプレーヤ、電子書籍リーダー、ポータブルコンピュータ、ヘッドマウントディスプレイ、インタラクティブキオスク、携帯電話、ネットブック、シングルボードコンピュータ(SBC)、組み込みコンピュータシステム、ウェアラブルコンピュータ(例えば、スマートウォッチ又はスマートグラス)、ゲームコンソール、ホームシアターPC(HTPC)、テレビ、DVDプレイヤー、デジタルケーブルボックス、デジタルビデオレコーダー(DVR)、ウェブブラウザを実行可能なコンピュータシステム、又は、これらのうち2つ若しくはより多くの組み合わせを含み得る。コンピューティングデバイスは、これらに限定されないが、Android(登録商標)、Berkeley Software Distribution(BSD)(登録商標)、iPhone(登録商標) OS(iOS)、Linux(登録商標)、OS−X(登録商標)、Unix(登録商標)系リアルタイムオペレーティングシステム(例えば、QNX)、Microsoft Windows(登録商標)、Window Phone(登録商標)、及び、IBM z/OS(登録商標)を含むオペレーティングシステムを使用し得る。
図12A及び図12Bは、従来のネットワークセキュリティプラットフォームGUI内の保護プロファイルインタフェース管理ページ1200を示す。単一インタフェースのための割り当てのユーザ管理を可能にする、ネットワークセキュリティプラットフォームGUI内の保護プロファイルページ1200が示されている。保護プロファイルページの欠点のいくつかには、以下が含まれる。
1.単一インタフェースの割り当てのみが一度に公開されるので、複数のインタフェースにわたって割り当てを比較/対比することができない。
2.1つより多くのインタフェースに対する割り当てを一度に変更することができない。
3.ネットワークセキュリティプラットフォームは従来、ポリシー定義をポリシー割り当てから分離させてきたので、ポリシー定義を表示、編集、又は、生成するための整合的な選択肢が無い。
本明細書に記載されている様々な実施形態は、これらの欠点のうち1又は複数に対処し得る。
図13は、一実施形態に係る、ネットワークセキュリティプラットフォームのためのポリシー管理GUIページ1300を示す。1又は複数の実施形態において、ポリシーの追加、編集、及び、割り当てなど、主要なポリシー管理タスクを実行するのに、図13のページ1300が使用され得る。ポリシー管理GUIページ1300は、インタフェースタブ1302及びデバイスタブ1304を含む。ここでは、インタフェースタブ1302が選択状態として示されている。インタフェースタブ1302は、デバイス名フィールド、インタフェース名フィールド、ポリシーグループフィールド、個別ポリシー割り当てフィールドを含むグリッド表示を有する。個別ポリシー割り当てフィールドは、IPSフィールド、高度マルウェアフィールド、検査オプションフィールド、接続制限フィールド、ファイアウォールフィールド、サービス品質(QoS)フィールドを含む。図13の例において、3つのインタフェースを含む1つのデバイスが示されている。図13に示されているように、全てのインタフェース及び割り当ては、グリッド上に表示されるので、割り当ての比較及び対比を容易に実行できることが分かる。
図14は、一実施形態による、フィルタリング動作を実行するネットワークセキュリティプラットフォームのポリシー管理GUIページ1400を示す。ポリシー管理GUIページ1400は、現在のフィルタリングの設定を容易にする「Quick Search」フィールド1402と、現在のフィルタを消去する「Clear All Filters」フィールド1404を含む。グリッド表示では、検索、フィルタリングは容易である。例えば、ユーザは、インタフェース名又は割り当てポリシーに基づいて、容易にフィルタリングできる。
図15A及び図15Bは、一実施形態による一括編集動作を実行するネットワークセキュリティプラットフォームのポリシー管理GUIページ1500を示す。一括編集動作は、複数のインタフェースにわたって同時にポリシー割り当てを編集する機能を提供する。GUI内で複数のインタフェースが選択されているとき、ページ1500は、選択されたインタフェースのためのポリシーグループが割り当てられ得る「Multiple Interfaces Selected」パネル1502を提供することによって、ポリシータイプに至るまでの粒度を提供する一括編集モードに入る。また、モードでは、各インタフェースについて、個別ポリシー割り当て(例えば、IPS、高度マルウェア、検査オプション、接続制限、ファイアウォール、及び、サービス品質(QoS))全ての同時設定が提供される。例えば、ユーザは、各インタフェースへ現在割り当てられているIPSポリシーに影響を与えることなく、同一の接続制限ポリシーを、選択された全てのインタフェースへ割り当てることを選択できる。
図16A及び図16Bは、一実施形態に係る、ポリシー定義の表示、編集、及び、生成を実行するためのネットワークセキュリティプラットフォームのポリシー管理GUIページ1600を示す。1又は複数のインタフェース1602を選択すると、ポリシー編集パネル1604が開くように構成されている。ポリシー編集パネル1604では、個別ポリシー割り当てのうち1又は複数に対する(新しいポリシーの生成、既存ポリシーの表示、既存ポリシーの編集を含む)操作が行われ得る。例えば、通常のIPSポリシーは、数千の攻撃の定義を含み、ファイアウォールポリシーは、数十から数千のルールを含み得る。したがって、割り当てとは別にポリシー定義の管理を維持することは有益であるが、GUIページ1600は、2つのワークフロー間での容易な移行を可能にする。具体的には、選択されたポリシーの詳細の表示/編集には、クリックでアクセス可能である。必要なときに新しいポリシーを生成する機能についても同様である。

Claims (15)

  1. 少なくとも1つのプロセッサと、少なくとも1つのメモリ要素とを備える、認証用のシステムであって、
    ユーザによるローカルオペレーティングシステムログインの通知を前記ユーザに関連するクライアントデバイスから受信する段階と、
    前記ユーザに関連する1又は複数の認証因子を前記クライアントデバイスから受信する段階と、
    前記ローカルオペレーティングシステムログインをリライングパーティエンティティへプロモーションすべきかどうか、前記ユーザに関連する前記1又は複数の認証因子に基づいて判定する段階と
    を実行
    前記ローカルオペレーティングシステムログインを前記リライングパーティエンティティへプロモーションすべきかどうか判定する段階は、前記1又は複数の認証因子が必要なセキュリティレベルを満たしているかどうか判定する段階を含み、
    前記システムは更に、前記1又は複数の認証因子が前記必要なセキュリティレベルを満たしているという判定に応じて、前記ローカルオペレーティングシステムログインを前記リライングパーティエンティティへプロモーションする、
    システム。
  2. 前記ローカルオペレーティングシステムログインを前記リライングパーティエンティティへプロモーションする段階は、前記リライングパーティエンティティに関連する1又は複数のリソースへアクセスするべく前記クライアントデバイスを認証する段階を含む、請求項に記載のシステム。
  3. 前記1又は複数のリソースは、前記リライングパーティエンティティによって提供されるサービス、又は、前記リライングパーティエンティティによって提供されるアプリケーションのうち、少なくとも1つを含む、請求項に記載のシステム。
  4. 前記システムは更に、前記ローカルオペレーティングシステムログインの前記リライングパーティエンティティへのプロモーションに応じて、前記クライアントデバイスと前記リライングパーティエンティティとの間のアクティブセッションを確立する、請求項3に記載のシステム。
  5. 前記1又は複数の認証因子は、少なくとも1つの能動認証因子及び少なくとも1つの受動認証因子のうち1又は複数を含む、請求項に記載のシステム。
  6. 前記少なくとも1つの能動認証因子は、バイオメトリック認証因子を含む、請求項に記載のシステム。
  7. 前記バイオメトリック認証因子は、前記ユーザの顔認識を含む、請求項に記載のシステム。
  8. ユーザによるローカルオペレーティングシステムログインの通知を前記ユーザに関連するクライアントデバイスから受信するコンピュータコードと、
    前記クライアントデバイスから、前記ユーザに関連する1又は複数の認証因子を受信するコンピュータコードと、
    前記ユーザに関連する前記1又は複数の認証因子に基づいて、前記ローカルオペレーティングシステムログインをリライングパーティエンティティへプロモーションすべきかどうか判定するコンピュータコードと、
    を含むコンピュータコードであって
    更に、前記ローカルオペレーティングシステムログインを前記リライングパーティエンティティへプロモーションすべきかどうか判定する段階は、前記1又は複数の認証因子が必要なセキュリティレベルを満たしているかどうか判定する段階を含む、コンピュータコード。
  9. に、前記1又は複数の認証因子が前記必要なセキュリティレベルを満たしているという判定に応じて、前記ローカルオペレーティングシステムログインを前記リライングパーティエンティティへプロモーションする、請求項に記載のコンピュータコード
  10. 前記ローカルオペレーティングシステムログインを前記リライングパーティエンティティへプロモーションする段階は、前記リライングパーティエンティティに関連する1又は複数のリソースにアクセスするべく、前記クライアントデバイスを認証する段階を含む、請求項に記載のコンピュータコード
  11. 前記1又は複数のリソースは、前記リライングパーティエンティティによって提供されるサービス、又は、前記リライングパーティエンティティによって提供されるアプリケーションのうち、少なくとも1つを含む、請求項10に記載のコンピュータコード
  12. に、前記ローカルオペレーティングシステムログインの前記リライングパーティエンティティへのプロモーションに応じて、前記クライアントデバイスと前記リライングパーティエンティティとの間のアクティブセッションを確立する請求項8から11のいずれか一項に記載のコンピュータコード
  13. 前記1又は複数の認証因子は、少なくとも1つの能動認証因子及び少なくとも1つの受動認証因子のうち1又は複数を含む、請求項8から12のいずれか一項に記載のコンピュータコード
  14. 前記少なくとも1つの能動認証因子はバイオメトリック認証因子を含む、請求項13に記載のコンピュータコード
  15. 前記バイオメトリック認証因子は、前記ユーザの顔認識を含む、請求項14に記載のコンピュータコード
JP2017525952A 2014-11-13 2015-03-27 条件付きログインプロモーション Active JP6349579B2 (ja)

Applications Claiming Priority (7)

Application Number Priority Date Filing Date Title
US201462079055P 2014-11-13 2014-11-13
US201462079243P 2014-11-13 2014-11-13
US62/079,055 2014-11-13
US62/079,243 2014-11-13
US201462079658P 2014-11-14 2014-11-14
US62/079,658 2014-11-14
PCT/US2015/022931 WO2016076913A1 (en) 2014-11-13 2015-03-27 Conditional login promotion

Publications (2)

Publication Number Publication Date
JP2017535877A JP2017535877A (ja) 2017-11-30
JP6349579B2 true JP6349579B2 (ja) 2018-07-04

Family

ID=55954815

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017525952A Active JP6349579B2 (ja) 2014-11-13 2015-03-27 条件付きログインプロモーション

Country Status (5)

Country Link
US (1) US10237254B2 (ja)
EP (1) EP3231128A4 (ja)
JP (1) JP6349579B2 (ja)
CN (1) CN107210916B (ja)
WO (1) WO2016076913A1 (ja)

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016076913A1 (en) 2014-11-13 2016-05-19 Mcafee, Inc. Conditional login promotion
WO2016176686A1 (en) 2015-04-30 2016-11-03 Drawbridge Networks, Inc. Computer network security system
US10148506B1 (en) 2016-06-28 2018-12-04 Juniper Networks, Inc. Network configuration service discovery
US20180019986A1 (en) * 2016-07-12 2018-01-18 Qualcomm Incorporated User privacy protected location-based authentication on mobile devices
US20180145959A1 (en) * 2016-11-22 2018-05-24 Synergex Group Method for determining access privilege using username, IP address, App ID, App Key, and biometric signature sample.
CN107959670B (zh) * 2017-11-06 2020-12-18 北京明华联盟科技有限公司 一种动态口令的生成方法、装置、终端设备和存储介质
US20180343251A1 (en) * 2017-11-16 2018-11-29 Qingdao Hisense Electronics Co., Ltd. Processing method and apparatus for remote assistance
US20220232024A1 (en) 2017-11-27 2022-07-21 Lacework, Inc. Detecting deviations from typical user behavior
US10425437B1 (en) 2017-11-27 2019-09-24 Lacework Inc. Extended user session tracking
US11979422B1 (en) 2017-11-27 2024-05-07 Lacework, Inc. Elastic privileges in a secure access service edge
US11792284B1 (en) 2017-11-27 2023-10-17 Lacework, Inc. Using data transformations for monitoring a cloud compute environment
CN108564688A (zh) * 2018-03-21 2018-09-21 阿里巴巴集团控股有限公司 身份验证的方法及装置和电子设备
US10826941B2 (en) 2018-05-10 2020-11-03 Fortinet, Inc. Systems and methods for centrally managed host and network firewall services
CN108809992B (zh) * 2018-06-15 2021-07-13 黄玉新 一种人脸识别验证系统及其与目标系统的关联方法
US20200204544A1 (en) * 2018-12-20 2020-06-25 Konica Minolta Laboratory U.S.A., Inc. Biometric security for cloud services
US10873592B1 (en) 2019-12-23 2020-12-22 Lacework Inc. Kubernetes launch graph
US11201955B1 (en) 2019-12-23 2021-12-14 Lacework Inc. Agent networking in a containerized environment
US11188571B1 (en) 2019-12-23 2021-11-30 Lacework Inc. Pod communication graph
CN111651747B (zh) * 2020-05-11 2024-05-24 腾讯科技(深圳)有限公司 登录票据同步系统及方法、相关设备
US11595214B2 (en) * 2020-11-10 2023-02-28 Okta, Inc. Efficient transfer of authentication credentials between client devices

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6073142A (en) 1997-06-23 2000-06-06 Park City Group Automated post office based rule analysis of e-mail messages and other data objects for controlled distribution in network environments
US5987610A (en) 1998-02-12 1999-11-16 Ameritech Corporation Computer virus screening methods and systems
US6460050B1 (en) 1999-12-22 2002-10-01 Mark Raymond Pace Distributed content identification system
US6901519B1 (en) 2000-06-22 2005-05-31 Infobahn, Inc. E-mail virus protection system and method
US20110072502A1 (en) * 2009-09-18 2011-03-24 Zhexuan Song Method and Apparatus for Identity Verification
JP5345585B2 (ja) * 2010-04-23 2013-11-20 日本電信電話株式会社 認証システム、認証方法およびプログラム
US8732795B2 (en) * 2010-05-21 2014-05-20 Epic Systems Corporation System and method for user authentication
US8505083B2 (en) * 2010-09-30 2013-08-06 Microsoft Corporation Remote resources single sign on
US9237017B2 (en) * 2011-03-21 2016-01-12 Microsoft Technology Licensing, Llc Lightweight authentication for on-premise rich clients
CN107070843A (zh) * 2011-04-28 2017-08-18 交互数字专利控股公司 一种用户设备以及在用户设备中的方法
US9258344B2 (en) * 2011-08-01 2016-02-09 Intel Corporation Multi-hop single sign-on (SSO) for identity provider (IdP) roaming/proxy
US8844013B2 (en) * 2011-10-04 2014-09-23 Salesforce.Com, Inc. Providing third party authentication in an on-demand service environment
CN104025539B (zh) 2011-12-28 2017-06-13 英特尔公司 促进单点登录服务的方法和装置
CN103188237A (zh) * 2011-12-30 2013-07-03 盛大计算机(上海)有限公司 单点登录系统及方法
US9589399B2 (en) 2012-07-02 2017-03-07 Synaptics Incorporated Credential quality assessment engine systems and methods
TW201417598A (zh) * 2012-07-13 2014-05-01 Interdigital Patent Holdings 安全性關聯特性
US9276869B2 (en) * 2013-01-02 2016-03-01 International Business Machines Corporation Dynamically selecting an identity provider for a single sign-on request
US9053310B2 (en) * 2013-08-08 2015-06-09 Duo Security, Inc. System and method for verifying status of an authentication device through a biometric profile
US9300671B1 (en) * 2013-12-30 2016-03-29 Ca, Inc. Shared access with account restriction and promotion utilizing virtual accounts
WO2016076913A1 (en) 2014-11-13 2016-05-19 Mcafee, Inc. Conditional login promotion

Also Published As

Publication number Publication date
EP3231128A4 (en) 2018-06-20
CN107210916A (zh) 2017-09-26
CN107210916B (zh) 2021-08-24
JP2017535877A (ja) 2017-11-30
EP3231128A1 (en) 2017-10-18
US10237254B2 (en) 2019-03-19
US20160330183A1 (en) 2016-11-10
WO2016076913A1 (en) 2016-05-19

Similar Documents

Publication Publication Date Title
JP6349579B2 (ja) 条件付きログインプロモーション
JP7079798B2 (ja) クラウドサービスにおける動的な柔軟な認証のためのシステム及び方法
US11881937B2 (en) System, method and computer program product for credential provisioning in a mobile device platform
US9787659B2 (en) Techniques for secure access management in virtual environments
US9729514B2 (en) Method and system of a secure access gateway
US10541991B2 (en) Method for OAuth service through blockchain network, and terminal and server using the same
US10616196B1 (en) User authentication with multiple authentication sources and non-binary authentication decisions
CN110061842B (zh) 带外远程认证
US8898759B2 (en) Application registration, authorization, and verification
US8978100B2 (en) Policy-based authentication
US8893244B2 (en) Application-based credential management for multifactor authentication
US10419431B2 (en) Preventing cross-site request forgery using environment fingerprints of a client device
EP3685287B1 (en) Extensible framework for authentication
US11792179B2 (en) Computer readable storage media for legacy integration and methods and systems for utilizing same
US11128638B2 (en) Location assurance using location indicators modified by shared secrets
US9594911B1 (en) Methods and apparatus for multi-factor authentication risk detection using beacon images
US20190020642A1 (en) Method and device for connecting to a remote server
Peles et al. SpoofedMe-Intruding Accounts using Social Login Providers A Social Login Impersonation Attack

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170621

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170621

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180424

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180508

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180515

R150 Certificate of patent or registration of utility model

Ref document number: 6349579

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250