JP2011522327A5 - - Google Patents

Claims (19)

1. アカウントネットワーク(account network)（１００）内でユーザーの多要素認証（multiple-factor authentication）を行なう方法であって、
   前記アカウントネットワーク（１００）にアクセスするために前記ユーザーによって用いられる機器(device)（１０２）で生成(generated)された前記ユーザーのユーザー資格情報(user credentials)（２０４）および機器資格情報(device credentials)（２０４）を受け取るステップと、
   前記ユーザー資格情報（２０４）のユーザー識別子(identifier)を前記機器資格情報（２０４）の機器識別子(identifier)に関連付け(associating)（２０６）て、前記ユーザーと前記機器との間の信頼関係(trust relationship)を表す(represent)ステップと、
   前記ユーザー資格情報（２０４）および前記機器資格情報（２０４）を評価(evaluating)して、検証結果(verification results)を生成する（３１４）ステップと、
   前記ユーザー資格情報（２０４）および前記機器資格情報（２０４）両方の前記検証結果に基づいて、前記ユーザーの識別(identity)の証拠(evidence)を提供する（３２０）ステップと、
   前記ユーザー資格情報の検証は合格したが前記機器資格情報の検証が合格しない場合は、前記ユーザーによる前記ユーザー資格情報および前記機器資格情報を変更する試み(attempt)を阻止(blocking)するステップと、
   前記ユーザ資格情報と前記機器資格情報との双方の識別の証拠が、検証の合格を示す場合に、より高位の特権を許可し、前記ユーザ資格情報と前記機器資格情報とのいずれの識別の証拠も、検証の失敗を示す場合に、より低位の特権を許可するステップと、
   を含む方法。
2. 前記ユーザーの識別の前記証拠は、前記ユーザー識別子および前記機器識別子の両方を含む、請求項１に記載の方法。
3. 前記関連付けの動作は、
   前記アカウントネットワーク内の前記ユーザーのアカウントに前記ユーザー識別子と前記機器識別子を組み合わせて記録するステップを含む、請求項１に記載の方法。
4. 前記関連付ける動作は、
   前記ユーザー識別子および前記機器識別子と少なくとも１つの他の機器識別子を記録するステップであって、前記記録動作は、前記機器識別子および前記少なくとも１つの他の機器識別子で識別される前記機器を、前記ユーザーの信頼できる機器(trusted devices)として指定する、ステップ
   を含む、請求項１に記載の方法。
5. 前記提供する動作は、
   前記ユーザーの識別の前記証拠としてセキュリティトークンを生成するステップを含み、前記セキュリティトークンは、前記ユーザー識別子と前記機器識別子の両方を含む、請求項１に記載の方法。
6. 前記提供の動作は、
   前記ユーザーの識別の前記証拠としてセキュリティトークンを生成するステップを含み、前記セキュリティトークンは、前記セキュリティトークンの受信者が前記セキュリティトークンから前記ユーザー識別子と前記機器識別子の両方にアクセスすることを可能にするプログラミングインタフェースを含む、請求項１に記載の方法。
7. 前記関連付け動作(associating operation)の後に前記機器識別子から前記ユーザー識別子の関連付けを解除(disassociating)して、前記機器を、ユーザーが信頼できるとされる機器から削除(remove)するステップをさらに含む、請求項１に記載の方法。
8. 前記提供動作(providing operation)は、前記ユーザー資格情報と前記機器資格情報両方の検証が合格した場合(upon successful verification)にのみ、前記識別の証拠を提供(provides)し、
   前記方法は、
   前記ユーザー資格情報と前記機器資格情報両方の検証(verification)が不合格(unsuccessful)である場合は、前記ユーザーの識別の前記証拠を保留(withholding)するステップ
   をさらに含む、請求項１に記載の方法。
9. 前記提供動作は、前記ユーザー資格情報と前記機器資格情報両方の検証が合格した場合にのみ、前記識別の証拠を提供する、
   請求項１に記載の方法。
10. 前記提供動作は、前記ユーザー資格情報と前記機器資格情報両方の検証が合格した場合にのみ、前記識別の証拠を提供し、
    前記方法は、
    結果として前記ユーザー資格情報の検証は合格したが前記機器資格情報の検証が合格しなかった、前記ユーザー資格情報を使用した認証の試みを前記ユーザーに通知するステップ
    をさらに含む、請求項１に記載の方法。
11. 前記識別の証拠を受け取るのに応答してアカウントネットワークリソースによって付与(granted)される特権(privilege)のレベルは、前記識別の証拠が、前記機器資格情報の検証が合格したことを示すかどうかに応じて決まる、請求項１に記載の方法。
12. アカウントネットワーク内でユーザーの多要素認証を行なうコンピュータープロセスを行なうためのコンピューター実行可能命令を有するコンピューター可読記憶媒体（３１）であって、前記コンピュータープロセスは、
    前記アカウントネットワーク（１００）にアクセスするために、前記ユーザーによって用いられる機器（１０２）で生成された前記ユーザーのユーザー資格情報（２０４）および機器資格情報（２０４）を受け取るステップであって、前記ユーザー資格情報（２０４）は、前記ユーザーのユーザー識別子を含み、前記機器資格情報（２０４）は、前記機器（１０２）の機器識別子を含むステップと、
    前記アカウントネットワーク（１００）内の前記ユーザーのアカウント（１０６）に前記ユーザー識別子と前記機器識別子を組み合わせて記録する（２０６）ことにより、前記ユーザーと前記機器（１０２）との間の信頼関係を表すステップと、
    前記ユーザー資格情報（２０４）および前記機器資格情報（２０４）を評価して、検証結果を生成するステップと、
    前記ユーザー資格情報（２０４）および前記機器資格情報（２０４）両方の前記検証結果に基づいて、前記ユーザーの識別の証拠を提供する（３２０）ステップと、
    前記ユーザー資格情報の検証は合格したが前記機器資格情報の検証が合格しない場合は、前記ユーザーによる前記ユーザー資格情報および前記機器資格情報を変更する試み(attempt)を阻止(blocking)するステップと、
    前記ユーザ資格情報と前記機器資格情報との双方の識別の証拠が、検証の合格を示す場合に、より高位の特権を許可し、前記ユーザ資格情報と前記機器資格情報とのいずれの識別の証拠も、検証の失敗を示す場合に、より低位の特権を許可するステップと、
    を含むコンピューター可読記憶媒体（３１）。
13. 前記ユーザーの識別の前記証拠は、前記ユーザー識別子および前記機器識別子の両方を含む、請求項１２に記載のコンピューター可読記憶媒体。
14. 前記関連付けの動作は、
    前記ユーザー識別子および前記機器識別子と少なくとも１つの他の機器識別子を記録するステップであって、前記記録動作は、前記機器識別子および前記少なくとも１つの他の機器識別子で識別される前記機器を、前記ユーザーの信頼できる機器として指定する、ステップ
    を含む、請求項１２に記載のコンピューター可読記憶媒体。
15. 前記提供する動作は、
    前記ユーザーの識別の前記証拠としてセキュリティトークンを生成するステップを含み、前記セキュリティトークンは、前記ユーザー識別子と前記機器識別子の両方を含む、請求項１２に記載のコンピューター可読記憶媒体。
16. 前記提供の動作は、
    前記ユーザーの識別の前記証拠としてセキュリティトークンを生成するステップを含み、前記セキュリティトークンは、前記セキュリティトークンの受信者(recipient)が前記セキュリティトークンから前記ユーザー識別子と前記機器識別子の両方にアクセスすることを可能にするプログラミングインタフェースを含む、請求項１２に記載のコンピューター可読記憶媒体。
17. 前記識別の証拠を受け取るのに応答してアカウントネットワークリソースによって付与される特権のレベルは、前記識別の証拠が、前記機器資格情報の検証が合格したことを示すかどうかに応じて決まる、請求項１２に記載のコンピューター可読記憶媒体。
18. アカウントネットワークリソース（１１０）にアクセスするためのあるレベルの特権をユーザーに許可する方法であって、
    ユーザーが前記アカウントネットワークリソース（１１０）へのアクセスを試みる際に用いる機器（１０２）から識別の証拠（３２４）を受け取るステップと、
    前記識別の証拠（３２４）を調べて（３２６）、前記識別の証拠が、前記アカウントネットワークリソース（１１０）に信頼できる認証提供者（１０４）による前記ユーザーのユーザー資格情報（２０４）および前記機器（１０２）の機器資格情報（２０４）両方の検証が合格したことを示すかどうかを判定するステップと、
    前記ユーザー資格情報の検証は合格したが前記機器資格情報の検証が合格しない場合は、前記ユーザーによる前記ユーザー資格情報および前記機器資格情報を変更する試み(attempt)を阻止(blocking)するステップと、
    前記識別の証拠が、前記認証提供者（１０４）による前記ユーザーの前記ユーザー資格情報（２０４）および前記機器（１０２）の前記機器資格情報（２０４）両方の検証が合格したことを示す場合は、第１のレベルの特権を付与する（３２６）ステップと、
    前記識別の証拠（３２４）が、前記認証提供者（１０４）による前記ユーザーの前記ユーザー資格情報（２０４）および前記機器の前記機器資格情報両方の検証が不合格であったことを示す場合は、第２のレベルの特権を付与する（３２６）ステップと
    を含み、
    前記第1のレベルの特権が、前記第２のレベルの特権より高い、
    方法。
19. 前記識別の証拠は、前記アカウントネットワークリソースが前記ユーザー資格情報のユーザー識別子および前記機器資格情報の機器識別子にアクセスすることができるプログラミングインタフェースを提供するセキュリティトークンを含む、請求項１８に記載の方法。