JP2014528129A - インターネットベースのアプリケーションへのアクセスを制御する方法 - Google Patents

インターネットベースのアプリケーションへのアクセスを制御する方法 Download PDF

Info

Publication number
JP2014528129A
JP2014528129A JP2014530619A JP2014530619A JP2014528129A JP 2014528129 A JP2014528129 A JP 2014528129A JP 2014530619 A JP2014530619 A JP 2014530619A JP 2014530619 A JP2014530619 A JP 2014530619A JP 2014528129 A JP2014528129 A JP 2014528129A
Authority
JP
Japan
Prior art keywords
internet
access
user
application
command
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2014530619A
Other languages
English (en)
Other versions
JP2014528129A5 (ja
JP5844471B2 (ja
Inventor
チク・ウェン・レオン
チー・フー・ラウ
ユエン・レン・コン
タウ・ウェイ・ファン
フン・シン・チョン
Original Assignee
イー−ロック・コーポレーション・エスディーエヌ・ビーエイチディー
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by イー−ロック・コーポレーション・エスディーエヌ・ビーエイチディー filed Critical イー−ロック・コーポレーション・エスディーエヌ・ビーエイチディー
Publication of JP2014528129A publication Critical patent/JP2014528129A/ja
Publication of JP2014528129A5 publication Critical patent/JP2014528129A5/ja
Application granted granted Critical
Publication of JP5844471B2 publication Critical patent/JP5844471B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3215Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a plurality of channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/082Access security using revocation of authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/084Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/35Protecting application or service provisioning, e.g. securing SIM application provisioning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/37Managing security policies for mobile devices or for controlling mobile applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/61Time-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/63Location-dependent; Proximity-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/71Hardware identity

Abstract

インターネットベースのアプリケーションへのアクセスを制御する方法。ユーザがアプリケーションにアクセスしたい時はいつでも、インターネットベースのアプリケーション(3)へのアクセスを可能にするために、インターネットを介してコマンドを単に送信することによって、インターネットベースのアプリケーション(インターネットバンキングウェブサイト等)へのアクセスをユーザが制御できるようにすることで、およびインターネットベースのアプリケーションへのアクセスを否定して任意の悪質なパーティによる権限のないアクセスを防ぐために、全ての他の時間でインターネットを介してコマンドを送信することで、有効なログイン認証情報の提出を要求するインターネットベースのアプリケーション上でのフィッシング、ファーミング、キーロギング、および介入者攻撃の問題に対処する新規な方法。

Description

本発明は、オンラインサービスプロバイダのウェブサイト等のインターネットベースのアプリケーションへのアクセスを制御することに関する。
インターネットの導入およびユーザに提供される前例のないアクセスに伴い、サービスプロバイダの全ての態様は、オンラインサービスの提供へ着実に向かってきている。オンラインバンキング、コマースサービス、ショッピング、ウェブベースのeメールアカウント等は、現在すっかりありふれている。
ワイヤレスブロードバンドインフラストラクチャおよびサービスの導入および拡散はそれ以来、インターネットへの接続をユーザに提供するだけでなく、オンラインサービスの使用を拡張してきた。これはまた、ノート型個人コンピュータからインターネットおよびデータ機能を備えた移動式電話に至るまで、多数の製造者による多種多様な、携帯式インターネット利用可能なデバイスの開発および導入に対する推進力を提供してきた。
そのような携帯式デバイスの開発は、衰えることなく続き、過去10年間、我々は、演算能力およびインターネット接続性において継続的に進化し継続的に向上した、インターネットをさらに改革した、スマートフォンとして知られる新世代の携帯式インターネット利用可能なデバイスの導入を見てきた。用語スマートフォンは一般に、進化した演算機能およびインターネット接続性を有する移動式電話に関して使用され、スマートフォンは現在ありふれており、日常生活の中核であり、それを取り囲んでいる。
しかし、この新規で前例のないインターネット接続レベルは、データセキュリティに関して並行した終わりのない仕事をもたらし、それは、ウェブページおよびオンラインデータベースを保護することだけでなく、インターネットベースのアプリケーション、特に金融または商業アプリケーションへのユーザによる安全なアクセスを保証することを含む。
インターネットを介したオンラインサービスの導入以来、オンラインサービスプロバイダは、基本的には特定のオンラインサービスに関するユーザの個人オンラインIDおよびパスワードの盗用を含む身元の盗用によるユーザアカウントへの違法なアクセスを得る方法を求める悪質なパーティに継続的に対処してきた。これらの悪質なパーティによって使用される周知の方法は、フィッシング、ファーミング、キーロギング、および介入者攻撃を含む。
フィッシングは、オンラインサービスのユーザを騙して、悪質なパーティによって作成された詐欺のウェブサイト(即ち、スプーフ)がオンラインサービスプロバイダの本当のウェブサイトであると信じさせ、後続的に個人オンラインIDおよびパスワードを悪質なパーティに暴露するプロセスに言及する。
実際、フィッシング攻撃は、詐欺のコンテンツを備えるeメールで始まり、本当のウェブサイトの外観にかなり似せてあるかまたはコピーした詐欺のウェブサイトを何人かの受信者が訪問することを望んで、潜在的犠牲者に送信される。犠牲者はその後、騙されて自分のIDおよびパスワードを入力および提出し、悪質なパーティの手に落ちる。
ファーミングは、フィッシングの技術と同じ目的を持つID盗用のより高度な技術である。詐欺のeメールの配信およびユーザの無知を悪用することに代えて、ファーミングは、ユーザの身元が盗まれることになるよく似た詐欺のウェブサイトへ、本当のウェブサイトを訪問しようとするユーザを個別にそらす。
キーロギングは、ユーザが本当のウェブサイトにこれらログイン認証情報(login credentials)を提出する時、ユーザIDおよびパスワードを盗用するために使用される技術である。これは一般に、先ずユーザのキーストロークを記録するスパイウェアまたはトロイの木馬にユーザの個人コンピュータまたはインターネット利用可能なデバイスを感染させることによって達成される。記録されたキーストロークデータは、ユーザによって頻繁にタイプされたユーザIDおよびパスワードを含み、悪質なパーティへ定期的に送信される。
介入者攻撃は、ユーザと目標のオンラインサービスプロバイダのウェブサイトとの間にいわゆる中間者(MIM)を置くことを含む。通常、MIMは、ユーザのログイン認証情報の盗用またはログインセッションの乗っ取りを求める悪質なパーティにユーザとオンラインサービスプロバイダのウェブサイトとの間の情報を中継することができる。
介入者攻撃の強みは、提供される全ての情報が正しく見えるので、MIMが実際にオンラインサービスプロバイダのウェブサイトであるとユーザが思い込み、同様にオンラインサービスプロバイダは、全てのログイン認証情報が正しいので、ユーザと直接対話していると想定することである。
介入者攻撃は明らかに、無防備なユーザが介入者を通して追加の認証情報を実際に提出することに気付かないので、追加の認証コードを提出するようにユーザに要求する多数の2要素認証手法を回避することができる進化した攻撃形式である。
現在、上記説明したID盗用の形式に対する多数の周知の対応策があるが、ほとんどは、問題に対して部分的な解決策を提供するだけであり、実装するのに面倒であり、コストがかかるだけである。例えば:
− スパムフィルタは、eメールベースのフィッシングを防ぐのに効果があるだけで、ファーミングには効果がない。
− 質疑応答チャレンジレスポンス(question and answer challenge response)は、ユーザが無知であることを通じて騙されて情報を暴露することがあるので、未だフィッシングには脆弱である。
− 既知の秘密テキストまたはユーザの画像を表示することによるサーバ識別は、キーロギングを防ぐことはなく、ユーザとオンラインサービスプロバイダのウェブサーバとの間に介入者がいることを単に見落とす。
− トークンベースの認証(ハードウェアトークンおよびSMSベースのトークンの両方)は、フィッシングおよびファーミングを共に防ぐが、進化した介入者攻撃には未だ脆弱である。
− クライアントデジタル証明書およびスマートカードは、堅牢な認証ソリューションであるが、指数関数的に増加し続ける非常に多くのインターネット利用可能なデバイスが使用されていること、およびインターネットの急速に拡大する接続性および使用量を考慮する時、大規模なシステムを管理するには面倒であり、そのようなシステムに配置するにはコストがかかる。
WO2007/050932A2は、インターネットベースのアプリケーションへのアクセスを制御する方法、特に帯域外のシグナリング、特に電話ネットワークを介してインターネットベースのアプリケーションへのアクセスを制御するシステムおよび方法を開示する。WO2007/050932A2では、インターネットベースのアプリケーションに対する詐欺または権限のない使用の可能性は、電話の使用を介してユーザのログイン認証情報のプロセスを可能にするかまたは拒否する能力をユーザに与えることによって、低減される。
電話ネットワークに関して開示されたシステムおよび方法に依存すると、ユーザが電話をかけるように要求するという欠点があり、故に頻繁に移動するユーザにとって特に重要かもしれない追加のコストが生じる。もう1つの欠点は、ユーザがいくつかのコードシーケンスに慣れているかまたは記憶している必要があることで、同様に問題であると考えられる。また、一連のキーストロークを入力する必要性は、さらなる努力を要求し、誤った数字を入力しやすく、システムエラーをもたらすことがあり、または少なくとも手続を繰り返す必要がある。
上記周知の対応策の明らかな欠点に鑑みて、ユーザの既存のログイン認証情報を補うためにインターネットベースのアプリケーションへのアクセスを制御する方法に対する解決されていないニーズがあり、それは、大規模かつ妥当なコストで開発でき、上記説明した従来技術に改良をもたらす。
本発明の1つの実施形態では、第1のインターネット利用可能なデバイス(望ましくは、個人コンピュータ、ノートPC、またはタブレット等の個人コンピュータデバイス)を使用して登録ユーザによって有効なログイン認証情報の提出を要求するインターネットベースのアプリケーションへのアクセスを制御する方法は、ユーザが先ず、ユーザに関連付けられた第2のインターネット利用可能なデバイス(好ましくは、スマートフォンなどの移動式デバイス)によって固有の認証コードを含むコマンドのインターネットを介する送信を開始することを含む。
コマンドは、第2のデバイス上でデバイスベースのアプリケーションを起動する登録ユーザによって生成されてもよい。コマンドは、固有の認証コードとデータベースに格納されたそのコードのリストとを比較することによって、第2のインターネット利用可能なデバイスの身元を判断する認証サーバによって受信される。各コードは、特定の登録ユーザに関連付けられる。
固有の認証コードは、第2のデバイスに不可欠な固有の識別コードを含んでもよい。
登録ユーザの身元を有効に判断する時、認証サーバは、受信したコマンドに基づきアクセス制御ステータスを設定する。制御ステータスに基づき、サーバは、第1のインターネット利用可能なデバイスを介して有効なログイン認証情報の提出時にアプリケーションへのアクセスを判断する。
登録ユーザは、インターネットベースのアプリケーションにログインしたい時、アクセスを可能にするコマンド、またはインターネットベースのアプリケーションのログアウト後、権限のないアクセスを防ぐためにインターネットベースのアプリケーションへのアクセスを否定するコマンドを送信することができる。
もう1つの実施形態では、インターネットベースのアプリケーションへのアクセスを制御する方法は、第1および第2のインターネット利用可能なデバイスの各地理的位置を比較し、受信したコマンドに基づきアクセス制御ステータスを設定する前、両デバイスの地理的位置が互いに近接しているかを判断する認証サーバの追加的手続を含む。
現世代の携帯式デバイスによって提供される進化した機能性および高レベルのインターネット接続性に鑑みて、登録ユーザはもしかしたら、分離したデバイス(通常、個人コンピュータまたはノートPC)の代わりに、インターネットベースのアプリケーションにアクセスするために、同一のインターネット利用可能なデバイス(通常、スマートフォン等の携帯式デバイス)を利用するかもしれない。
故に、本発明の別の実施形態では、登録ユーザは、インターネットベースのアプリケーションにアクセスし、固有の認証コードを含むコマンドの送信のために同じデバイスを利用する。
そのような実施形態では、登録ユーザに関連付けられたインターネット利用可能なデバイスを使用して登録ユーザによって有効なログイン認証情報の提出を要求するインターネットベースのアプリケーションに対する自分のデバイス上でのアクセスを制御する方法は、ユーザが先ず、デバイスによって固有の認証コードを含むコマンドの送信を開始することを含む。
受信したコマンドは、デバイス上でデバイスベースのアプリケーションを登録ユーザが起動することにより生成され、各コードが特定の登録ユーザに関連付けられるので、固有の認証コードとデータベースに格納されたそのコードのリストとを比較することによって、インターネット利用可能なデバイスの身元を判断する認証サーバによって受信される。
固有の認証コードは、デバイスに不可欠な固有の識別コードを含んでもよい。
登録ユーザの身元を有効に判断する時、認証サーバは、受信したコマンドに基づきアクセス制御ステータスを設定し、制御ステータスに基づき、インターネット利用可能なデバイスを介して有効なログイン認証情報の提出時にアプリケーションへのアクセスを判断する。
登録ユーザは、インターネットベースのアプリケーションにログインしたい時、アクセスを可能にするためのコマンド、またはインターネットベースのアプリケーションのログアウト後、権限のないアクセスを防ぐためにインターネットベースのアプリケーションへのアクセスを否定するコマンドを送信してもよい。
この実施形態では、受信したコマンドは、インターネット利用可能なデバイス上でデバイスベースのアプリケーションを起動する登録ユーザによって生成され、固有の認証コードは、使用したデバイスに不可欠な固有の識別コードを含む。
全ての実施形態では、好ましい実施形態で説明した固有の認証コードは、登録ユーザに関連付けられたユーザ識別子からなってもよく、追加のセキュリティのためにデバイスベースのアプリケーションによって暗号化されてもよい。
固有の識別コードは、使用したデバイスの種類に依存してもよく、デバイスの国際移動体装置識別番号(IMEI)、移動体装置識別番号(MEID)、または電子シリアル番号(ESN)でもよい。代わりに、デバイスがBluetooth(登録商標)対応である場合、デバイスの固有のBluetooth(登録商標)アドレスが使用されてもよい。
簡単に言うと、本発明は、2要素認証手法(two-factor authentication scheme)の1つの概念として、スマートフォン等のありふれたインターネット利用可能なデバイスの新規な使用法によって、インターネットベースのアプリケーションへのアクセスを“スイッチオン”および“スイッチオフ”する方法を提供する。
ログイン認証情報は、登録ユーザが一意的に知っている何かとして機能し、デバイスまたは第2のデバイスは、登録ユーザが一意的に有している何かとして機能し、固有のデバイスのシリアルコードを参照する等により識別可能である。
別の局面では、本発明は、インターネットベースのアプリケーションの登録ユーザによってインターネットベースのアプリケーションへのアクセスを制御するためのデバイスベースのアプリケーションを含む個人のインターネット利用可能なデバイスを提供し、デバイスベースのアプリケーションは、デバイスに不可欠な固有の識別コードを読み取り、固有の識別コードを含むコマンドを生成し、コンピュータサーバへインターネットを介して送信するように適合され、コンピュータサーバへ前記コマンド信号を送信するためのデバイスベースのアプリケーションの起動は、インターネットベースのアプリケーションへのアクセスを可能にするかまたは否定するユーザの意図である。
さらに別の局面では、本発明は、インターネットベースのアプリケーションの登録ユーザによるインターネットベースのアプリケーションへのアクセスを制御するために個人のインターネット利用可能なデバイス上で使用するためのデバイスベースのアプリケーションを提供する。アクセスが有効な時、インターネットベースのアプリケーションは次いで、同じデバイスまたは別のインターネット利用可能なデバイスを介してアクセスされてもよい。
本発明のこの曲面の実施形態では、デバイスベースのアプリケーションは、それがインストールされたデバイスの位置を判断し、アクセス制御プロセスの一部として位置データを送信するように適合される。
本発明は故に、ユーザがアプリケーションにアクセスしたい時はいつでも、インターネットベースのアプリケーションへのアクセスを可能にするコマンドを、インターネットを介して単に送信することで、および任意の悪質なパーティによる権限のないアクセスを防ぐために、全ての他の時間でインターネットベースのアプリケーションへのアクセスを否定するコマンドを、インターネットを介して送信することで、インターネットベースのアプリケーション(インターネットバンキングウェブサイト等)へのアクセス制御をユーザに許可することによって、有効なログイン認証情報の提出を要求するインターネットベースのアプリケーション上でのフィッシング、ファーミング、キーロギング、および介入者攻撃に対処する新規な方法を提供する。
図1は、ユーザが先ず、第1のインターネット利用可能なデバイスによってインターネットベースのアプリケーションへのアクセスを可能にするために第2のインターネット利用可能なデバイスによってコマンドの送信を開始する時の、本発明の第1の実施形態を示すフローチャートである。 図2は、ユーザが先ず、インターネットベースのアプリケーションへのアクセスを否定するために、第2のインターネット利用可能なデバイスによってコマンドの送信を開始する時の、本発明の第1の実施形態を示すフローチャートである。 図3は、第1および第2のデバイスの地理的位置が互いに近接している場合、ユーザが先ず、第1のインターネット利用可能なデバイスによってインターネットベースのアプリケーションへのアクセスを可能にするために第2のインターネット利用可能なデバイスによってコマンドの送信を開始する時の、本発明の第2の実施形態を示すフローチャートである。 図4は、第1および第2のデバイスの地理的位置が互いに近接していない場合、ユーザが先ず、第1のインターネット利用可能なデバイスによってインターネットベースのアプリケーションへのアクセスを可能にするために第2のインターネット利用可能なデバイスによってコマンドの送信を開始する時の、本発明の第2の実施形態を示すフローチャートである。 図5は、ユーザが先ず、インターネット利用可能なデバイスによってインターネットベースのアプリケーションへのアクセスを可能にするためにインターネット利用可能なデバイスによってコマンドの送信を開始する時の、本発明の第3の実施形態を示すフローチャートである。 図6は、ユーザが先ず、インターネットベースのアプリケーションへのアクセスを否定するためにインターネット利用可能なデバイスによってコマンドの送信を開始する時の、本発明の第3の実施形態を示すフローチャートである。
第1の実施形態では、方法は、第1のインターネット利用可能なデバイス1を介して登録ユーザによって有効なログイン認証情報の提出を要求するインターネットベースのアプリケーション3へのアクセスを制御することを含み、方法は:
a) ユーザに関連付けられた第2のインターネット利用可能なデバイス2によってインターネットを介して送信される固有の認証コードを含むコマンドをコンピュータサーバ4で受信するステップであって、そのコードの送信は、ユーザによって開始される、受信するステップと;
b) データベースに格納される複数のそのコードと受信したコードとを比較することによって第2のデバイス2の身元(identity)をコンピュータサーバ4で判断するステップであって、各コードがアプリケーションの異なる登録ユーザに関連付けられた、判断するステップと;
c) ステップb)で身元を有効に判断する時、前記コマンドに基づきアクセス制御ステータスをコンピュータサーバ4で設定するステップと;
d) アクセス制御ステータスに基づき、第1のデバイス1を介して有効なログイン認証情報の提出時にアプリケーション3へのアクセスをコンピュータサーバ4で判断するステップと;を含む。
インターネットベースのアプリケーション3にアクセスする登録ユーザによって使用される第1のインターネット利用可能なデバイス1は通常、個人コンピュータ、ノートPC、またはタブレットでもよい。
登録ユーザによってアクセスされるインターネットベースのアプリケーション3は通常、インターネットバンキングウェブサイト等のオンラインサービスプロバイダのウェブサイトでもよい。ログイン認証情報は通常、ユーザIDおよびパスワードからなる。
コマンドを送信するために登録ユーザによって使用される第2のインターネット利用可能なデバイス2は通常、登録ユーザに属するスマートフォン等の携帯式または移動式デバイスでもよい。
第2のインターネット利用可能なデバイス2によって送信されるコマンドは、第2のインターネット利用可能なデバイス上のデバイスベースのアプリケーションを登録ユーザが起動することによって生成される。第2のインターネット利用可能なデバイスが通常スマートフォンなので、デバイスベースのアプリケーションは、“app”として共通に知られる専門のスマートフォンアプリケーションの形式をとることができる。
デバイスベースのアプリケーションは、オンラインサービスプロバイダのウェブサイト3にユーザアカウントを登録するプロセスの一部としてユーザに提供され、それはまた、ユーザおよびユーザの第2のインターネット利用可能なデバイス2に関連付けられる識別子にユーザのアカウントを関連付けることを含む。実際、オンラインサービスプロバイダは、登録ユーザ毎にユーザ識別子およびスマートフォン識別子のセキュアデータベースを維持し、それは、登録ユーザの身元を判断および認証するために使用される。
コンピュータサーバ4は通常、前の段落で言及したセキュアデータベースへのアクセスを有するオンラインサービスプロバイダのウェブサイトにリンクされた認証サーバでもよく、一方で、他のサーバ配置は、当業者によって想定されうる。
ユーザ識別子は一般に、ユーザIDまたはパスワード等の登録ユーザのログイン認証情報の形式をとることができる。実際、ユーザのログイン認証情報の任意の1つまたは両方は、ユーザ識別子として使用されてもよい。
第2のインターネット利用可能なデバイス2によって送信されるコマンドが含む認証コードは次いで、第2のデバイスに不可欠な固有の識別コードを含んでもよく、また好ましくは、同様に登録ユーザに関連付けられたユーザ識別子を含んでもよい。
認証コードが含む情報の重要性に鑑みて、送信されたコマンドは、追加のセキュリティのためにデバイスベースのアプリケーションによって暗号化されてもよい。利用可能な通常の暗号化手法は、SHA−1ハッシュ関数、または次世代暗号規格(AES)アルゴリズムでもよい。
固有の識別コードは、第2のインターネット利用可能なデバイス2の種類に依存でき、例えば第2のインターネット利用可能なデバイスの国際移動体装置識別番号(IMEI)、移動体装置識別番号(MEID)、または電子シリアル番号(ESN)でもよい。代わりに、デバイスがBluetooth(登録商標)対応である場合、デバイスの固有のBluetooth(登録商標)アドレスが使用されてもよい。
ここで説明される第1の実施形態は、第1および第2のインターネット利用可能なデバイスの地理的位置をさらに比較することによって、追加の認証レベルを提供してセキュリティをさらに高めるように修正されてもよい。
本発明の第2の実施形態では、第1のインターネット利用可能なデバイス1を介して登録ユーザによって有効なログイン認証情報の提出を要求するインターネットベースのアプリケーション3へのアクセスを制御する方法はまた、ステップc)の前に:
− 第1のおよび第2のインターネット利用可能なデバイスの各地理的位置をコンピュータサーバ4で比較するステップと;
− 第1および第2のインターネット利用可能なデバイスの地理的位置が互いに近接しているかをコンピュータサーバ4で判断するステップと;
の追加のステップを含んでもよい。
第2の実施形態では、受信したコマンドに基づきアクセス制御ステータスをコンピュータサーバ4で設定するステップ(即ち、ステップc))はまた、所定の閾値内で、第1および第2のインターネット利用可能なデバイスの地理的位置が互いに近接していることの判断に依存してもよい。ここで使用されるように、用語“近接”は、2つの位置が同じであることを含んでもよい。
通常、個人コンピュータ、ノートPC、またはタブレットである第1のインターネット利用可能なデバイス1の地理的位置は、町および国レベルの地理的位置情報が導き出されるデバイスのIPアドレスの分析を介して認証サーバによって判断されてもよい。
第2のインターネット利用可能なデバイス2の地理的位置は、デバイスベースのアプリケーションによって抽出されて第2のデバイスによって送信される衛星信号(例えば、GPS座標)、移動体通信基地局情報、およびWi-Fiアクセスポイント情報のようなデータの形式で認証サーバによって受信される。受信したデータ情報は、町および国レベルの情報の形式で第2のデバイスの地理的位置を認証サーバに提供する。
第2のインターネット利用可能なデバイス2は、追加のチェックとして使用される最新情報を認証サーバに提供するために、デバイスベースのアプリケーションが起動されている限り、デバイスの地理的位置情報を繰り返し送信する。1つの実施形態では、アクセスを可能にするためにデバイスベースのアプリケーションを起動する時、主要なアクセスコマンドは、一度に送信され、その後地理的位置データの送信が繰り返される。地理的位置データを組込む信号のフォーマットは、特に第2のデバイスの固有の識別コードおよび/またはユーザのユーザ識別子を含むことによって、アクセスコマンド信号のフォーマットに類似してもよい。
当業者であれば、本発明の範囲および対象内にある地理的位置情報を分析、抽出、および比較するための他の適切な技法に多分想到できるだろう。
第2のインターネット利用可能なデバイスによって送信される地理的位置情報は、追加のセキュリティのために暗号化されてもよい。利用可能な通常の暗号化手法は、SHA−1ハッシュ関数、または次世代暗号規格(AES)アルゴリズムでもよい。
図1は特に、登録ユーザが先ず、第1のインターネット利用可能なデバイスによってインターネットベースのアプリケーションへのアクセスを可能にするために、第2のインターネット利用可能なデバイスによってコマンドの送信を開始する時の、本発明の第1の実施形態を示す。
オンラインサービスプロバイダのウェブサイト3(インターネットバンキングアカウント等)の登録ユーザが第1のインターネット利用可能なデバイス1(自分の個人コンピュータ等)を介して自分のオンラインアカウントにアクセスしたい時、登録ユーザは先ず、自分のオンラインアカウントへのアクセスを可能にするために、第2のインターネット利用可能なデバイス2(自分のスマートフォン等)からインターネットを介してコマンドを送信することができる。
アクセスを可能にするためのコマンドは、コマンドが含む固有の認証コードとデータベースに格納されたそのコードのリストとを比較することによって、第2のインターネット利用可能なデバイス2の身元を判断する認証サーバ4によって受信される。第2のインターネット利用可能なデバイス2が実際に登録ユーザに属することを判断する時、認証サーバ4は、ユーザが自分のオンラインアカウントにアクセス可能になる前、登録ユーザによって提出されたログイン認証情報が有効であることを検証することによって登録ユーザの身元を判断することができる。
登録ユーザは即ち、ユーザのオンラインアカウントへのアクセスが許可される前に認証される自分の有効なログイン認証情報を、第1のインターネット利用可能なデバイス1を介して提出することに追加して、第2のインターネット利用可能なデバイス2を使用して自分のオンラインアカウントへのアクセスを“スイッチオン”する。
図2は特に、登録ユーザが先ず、インターネットベースのアプリケーションへのアクセスを否定するために第2のインターネット利用可能なデバイスによってコマンドの送信を開始する時の、本発明の第1の実施形態を示す。
オンラインサービスプロバイダのウェブサイト3(インターネットバンキングアカウント等)の登録ユーザが自分のアカウントへのアクセスを否定したい時、登録ユーザは先ず、自分のオンラインアカウントへのアクセスを否定するために第2のインターネット利用可能なデバイス2(自分のスマートフォン等)からコマンドを送信することができる。
アクセスを否定するためのコマンドは、コマンドが含む固有の認証コードとデータベースに格納されたそのコードのリストとを比較することによって、第2のインターネット利用可能なデバイス2の身元を判断する認証サーバによって受信される。第2のインターネット利用可能なデバイス2が実際に登録ユーザに属することを判断する時、認証サーバ4は、登録ユーザのオンラインアカウントへのアクセスを否定することができる。この後、有効なログイン認証情報をも提出するための登録ユーザまたは任意の他のパーティによる任意の試みは、許可されている登録ユーザのオンラインアカウントへのアクセスをもたらさないことができる。
登録ユーザは即ち、第2のインターネット利用可能なデバイス2を使用して自分のアカウントへのアクセスを“スイッチオフ”する。一度アクセスが否定されると、第1のインターネット利用可能なデバイス1を介する任意のログイン認証情報の提出は、有効であるか、さもなければ拒絶されうる。
図3は特に、第1および第2のデバイスの地理的位置が互いに近接している場合、第1のインターネット利用可能なデバイスによってインターネットベースのアプリケーションへのアクセスを可能にするために、登録ユーザが先ず、第2のインターネット利用可能なデバイスによってコマンド送信を開始する時の、本発明の第2の実施形態を示す。
オンラインサービスプロバイダのウェブサイト3(インターネットバンキングアカウント等)の登録ユーザが第1のインターネット利用可能なデバイス1(自分の個人コンピュータ等)を介して自分のオンラインアカウントにアクセスしたい時、登録ユーザは先ず、自分のオンラインアカウントへのアクセスを可能にするために、第2のインターネット利用可能なデバイス2(自分のスマートフォン等)からコマンドを送信することができる。
アクセスを可能にするためのコマンドは、コマンドが含む固有の認証コードとデータベースに格納されたそのコードのリストとを比較することによって、第2のインターネット利用可能なデバイス2の身元を判断する認証サーバ4によって受信される。
認証サーバ4はまた、第1および第2のインターネット利用可能なデバイスの地理的位置を判断し、2つのデバイスが互いに近接しているかを比較することができる。
これは認証サーバ4が、第1のインターネット利用可能なデバイスのIPアドレスを分析し、IPアドレスから町および国レベルの地理的位置情報を導出し、町および国レベルの地理的位置情報の形式で第2のインターネット利用可能なデバイスによって送信されたGPS座標、移動体通信基地局情報、およびWi-Fiアクセスポイント情報等のデータを受信することによって行われる。
第2のインターネット利用可能なデバイス2が実際に登録ユーザに属することを判断し、第1および第2のインターネット利用可能なデバイスの両方が互いに近接していることを判断する時、即ち2つのデバイスに関して町および国の情報が集計されているこの特定の実施形態において、認証サーバ4は、ユーザが自分のオンラインアカウントにアクセス可能になる前、登録ユーザによって提出されたログイン認証情報が有効であることを検証することによって登録ユーザの身元を判断することができる。
図4は特に、第1および第2のデバイスの地理的位置が互いに近接していない場合、第1のインターネット利用可能なデバイスによってインターネットベースのアプリケーションへのアクセスを可能にするために、登録ユーザが先ず、第2のインターネット利用可能なデバイスによってコマンドの送信を開始する時の、本発明の第2の実施形態を示す。
オンラインサービスプロバイダのウェブサイト3(インターネットバンキングアカウント等)の登録ユーザが第1のインターネット利用可能なデバイス1(自分の個人コンピュータ等)を介して自分のオンラインアカウントにアクセスしたい時、登録ユーザは先ず、自分のオンラインアカウントへのアクセスを可能にするために、第2のインターネット利用可能なデバイス2(自分のスマートフォン等)からコマンドを送信することができる。
アクセスを許可するためのコマンドは、コマンドが含む固有の認証コードとデータベースに格納されたそのコードのリストとを比較することによって、第2のインターネット利用可能なデバイス2の身元を判断する認証サーバ4によって受信される。
認証サーバ4はまた、第1および第2のインターネット利用可能なデバイスの地理的位置を判断し、2つのデバイスが互いに近接しているかを比較することができる。
第2のインターネット利用可能なデバイス2が実際に登録ユーザに属することを判断し、第1および第2のインターネット利用可能なデバイスの両方が互いに近接していないことを判断する時、即ち2つのデバイスに関する町および国情報が集計されていないこの特定の実施形態において、認証サーバ4は、登録ユーザによって提出されたログイン認証情報が有効であるかに関係なく、ユーザのオンラインアカウントへのアクセスを否定することができる。
図3および図4に示す本発明の第2の実施形態では、登録ユーザは、オンラインアカウントへのアクセスが許可される前に認証された自分の有効なログイン認証情報を第1のインターネット利用可能なデバイスを介して提出することに追加して、自分のオンラインアカウントへのアクセスを“スイッチオン”するために、第1のインターネット利用可能なデバイスに近接していなければならない第2のインターネット利用可能なデバイスを使用する。
本発明の利用はしかしながら、インターネットベースのアプリケーションへのアクセスを制御する方法において、第1および第2のインターネット利用可能なデバイスの両方を登録ユーザが利用することに限定されない。
スマートフォン等の現世代の携帯式インターネット利用可能なデバイスの高機能性およびそのデバイスの高レベルのインターネット接続性を考えると、登録ユーザがインターネットベースのアプリケーションにアクセスするために単一のデバイスを所有し、および/または利用することを好むだけである可能性が大いにありえる。
この可能性は、本発明の第3の実施形態で考慮される。
本発明の第3の実施形態では、方法は、インターネット利用可能なデバイス5を介して登録ユーザによって有効なログイン認証情報の提出を要求するインターネット利用可能なアプリケーション3へのアクセスを制御することを含み、方法は:
a) インターネット利用可能なデバイス5によってインターネットを介して送信される固有の認証コードを含むコマンドをコンピュータサーバ4で受信するステップであって、そのコードの送信は、ユーザによって開始される、受信するステップと、
b) 受信したコードとデータベースに格納された複数のそのコードとを比較することによって、デバイスの身元をコンピュータサーバ4で判断するステップであって、各コードは、アプリケーションの異なる登録ユーザに関連付けられる、判断するステップと;
c) ステップb)で身元を有効に判断する時、前記コマンドに基づきアクセス制御ステータスをコンピュータサーバ4で設定するステップと;
d) デバイスを介して有効なログイン認証情報の提出時にアプリケーション3へのアクセスを、アクセス制御ステータスに基づきコンピュータサーバ4で判断するステップと;
を含む。
登録ユーザによってアクセスされるインターネットベースのアプリケーション3は通常、インターネットバンキングウェブサイト等のオンラインサービスプロバイダでもよい。
コマンドを送信するために登録ユーザによって利用されるインターネット利用可能なデバイス5は通常、登録ユーザに属するスマートフォンまたはタブレット等の個人携帯式デバイスでもよい。
インターネット利用可能なデバイス5によって送信されるコマンドは、デバイス上でデバイスベースのアプリケーションを起動する登録ユーザによって生成される。インターネット利用可能なデバイス5は通常、スマートフォンなので、デバイスベースのアプリケーションは、“app”として共通に知られる専門のスマートフォンアプリケーションの形式をとることができる。
デバイスベースのアプリケーションは、オンラインサービスプロバイダのウェブサイトにユーザアカウントを登録するプロセスの一部としてユーザに提供され、それはまた、ユーザおよびユーザのインターネット利用可能なデバイスに関連付けられた識別子とユーザのアカウントとを関連付けることを含むことができる。実際、オンラインサービスプロバイダは、登録ユーザ毎にユーザ識別子およびスマートフォン識別子のセキュアデータベースを維持でき、それは、登録ユーザの身元を判断および認証するために使用できる。
コンピュータサーバは通常、前の段落で言及したセキュアデータベースへのアクセスを有するオンラインサービスプロバイダのウェブサイトにリンクされた認証サーバ4でもよく、一方で、他のサーバ配置は、当業者によって想定されうる。
ユーザ識別子は一般に、ユーザIDおよびパスワード等の登録ユーザのログイン認証情報の形式をとることができる。
インターネット利用可能なデバイス5によって送信されたコマンドが含む認証コードは次いで、デバイスに不可欠な固有の識別コードを含んでもよく、好ましくは登録ユーザに関連付けられたユーザ識別子も同様に含む。
本発明の第1の実施形態のように、認証コードはまた、追加されたセキュリティのためにデバイスベースのアプリケーションによって暗号化されてもよい。
固有の識別コードは、インターネット利用可能なデバイスの種類に依存でき、例えば第2のインターネット利用可能なデバイスの国際移動体装置識別番号(IMEI)、移動体装置識別番号(MEID)、または電子シリアル番号(ESN)でもよい。代わりに、デバイスがBluetooth(登録商標)対応である場合、デバイスの固有のBluetooth(登録商標)アドレスが使用されてもよい。
図5は特に、同じデバイスによってインターネットベースのアプリケーションへのアクセスを可能にするために、登録ユーザが先ず、インターネット利用可能なデバイス(自分のスマートフォン等)によってインターネットを介してコマンドの送信を開始する時の、本発明の第3の実施形態を示す。
オンラインサービスプロバイダのウェブサイト3の登録ユーザがインターネット利用可能なデバイス5を介して自分のオンラインアカウントにアクセスしたい時、登録ユーザは先ず、自分のオンラインアカウントへのアクセスを可能にするために、インターネット利用可能なデバイスからコマンドを送信することができる。
アクセスを可能にするためのコマンドは、コマンドが有する固有の認証コードとデータベースに格納されたそのコードのリストとを比較することによって、インターネット利用可能なデバイス5の身元を判断する認証サーバ4によって受信される。インターネット利用可能なデバイス5が登録ユーザに実際に属することを判断する時、認証サーバ4は、ユーザが自分のオンラインアカウントにアクセス可能になる前に、登録ユーザによって提出されたログイン認証情報が有効であることを確認することによって、登録ユーザの身元を判断することができる。
登録ユーザは即ち、ユーザのオンラインアカウントへのアクセスが許可される前に認証された自分の有効なログイン認証情報を、デバイスを介して提出することに追加して、自分のオンラインアカウントへのアクセスを“スイッチオン”するためにインターネット利用可能なデバイス5を使用する。
図6は特に、インターネットベースのアプリケーションへのアクセスを否定するために、登録ユーザが先ず、インターネット利用可能なデバイス(自分のスマートフォン等)によってコマンドの送信を開始する時の、本発明の第3の実施形態を示す。
オンラインサービスプロバイダのウェブサイト3の登録ユーザが自分のアカウントへのアクセスを否定したい時、登録ユーザは先ず、自分のオンラインアカウントへのアクセスを否定するために、インターネット利用可能なデバイス5からコマンドを送信することができる。
アクセスを否定するためのコマンドは、コマンドが含む固有の認証コードとデータベースに格納されたそのコードのリストとを比較することによって、インターネット利用可能なデバイス5の身元を判断する認証サーバ4によって受信される。インターネット利用可能なデバイス5が実際に登録ユーザに属することを判断する時、認証サーバ4は、登録ユーザのオンラインアカウントへのアクセスを否定することができる。この後、有効なログイン認証情報をも提出するための登録ユーザまたは任意の他のパーティによる任意の試みは、許可される登録ユーザのオンラインアカウントへのアクセスをもたらさないことができる。
登録ユーザは即ち、自分のアカウントへのアクセスを“スイッチオフ”するためにインターネット利用可能なデバイスを使用する。一度アクセスが否定されると、インターネット利用可能なデバイス5を介する任意のログイン認証情報の提出は、有効であるか、さもなければ拒絶されうる。
ここで説明した本発明の実施形態では、実際にユーザアカウントを登録するプロセスは通常、オンライン手続きでもよく、それによりユーザは先ず、個人コンピュータ、ノートPC、またはタブレット(即ち、第1のインターネット利用可能なデバイス)を介してオンラインサービスプロバイダのウェブサイト(即ち、インターネットベースのアプリケーション)にアクセスして、新たなユーザアカウントを作成する。ウェブサイトは次いで、ウェブサイトに登録されたスマートフォン(即ち、第2のインターネット利用可能なデバイス)をユーザが有するかをチェックすることができる。
オンラインサービスプロバイダのウェブサイトに登録されたスマートフォンをユーザが有していない場合、ユーザは、スマートフォンプラットフォームによって提供されるオフィシャルアプリケーションレポジトリから“app”(即ち、デバイスベースのアプリケーション)をダウンロードするように催促および案内される。
ユーザがスマートフォンに“app”をインストールした後、オンラインサービスプロバイダのウェブサイトは、ユーザのユーザID、認証サーバのインターネットアドレス、およびユーザの固有の登録コードを含むテキストメッセージをユーザのスマートフォンに送信して、オンラインサービスプロバイダのウェブサイトに自分のスマートフォンを登録する。テキストメッセージに含まれる情報は、改ざんを防ぐために暗号化される。
“app”は次いで、テキストメッセージのコンテンツを使用してユーザのスマートフォンの登録を実行することができ、故にユーザアカウントを登録するプロセスを完了する。
ここで説明された本発明の実施形態では、固有の認証コードは、登録ユーザのユーザIDおよびスマートフォンのシリアル番号(例えば、IMEI)、万国標準時(UTC)フォーマットのタイムスタンプ、および暗号化手法で使用されるSHA−1ハッシュ関数に属する制御シグネチャを含む。ユーザIDおよびスマートフォンのIMEIナンバーは、固有の識別コードとして使用される。タイムスタンプは、第2の実施形態に適用可能な連続的に送信された地理的位置情報が最新であるかをチェックするための追加情報を提供する。制御シグネチャは、固有の認証コードに含まれた暗号化情報が改ざんまたは漏えいされていないことを保証する。
ここで説明した本発明の実施形態では、第1および第2の実施形態における第2のインターネット利用可能なデバイス、または第3の実施形態における単一のインターネット利用可能なデバイスによって送信されたアクセスを可能にするためのコマンドの有効性は、登録ユーザによって所定期間起動されなかった後、失効またはタイムアウトになる。インターネットベースのアプリケーションへのアクセスの許可はまた、アクセスを可能にするためのコマンドが有効なままであることに依存し、認証サーバは故に、登録ユーザによって提出されたログイン認証情報が有効であるとして受け取られ、扱われるべきかを判断する時、アクセスを可能にするためのコマンドが失効したかを判断するように要求される。
本発明は、ここで説明された実施形態に限定されず、その説明は、本発明の例示目的であり、可能な改良または修正は、本発明の範囲から逸脱しないで直ちに明らかとなる。一例として、説明された実施形態は、ユーザがインターネットベースのアプリケーションにアクセスしたい時はいつでも、選択的にアクセスをスイッチオンすることに関するが、ステータスが通常、デフォルトによってオンに設定されることも本発明の範囲内である。ユーザは次いで、自分のセキュリティに対する潜在的または実質的な違反が検出された場合、アクセスをスイッチオフするためにデバイスベースのアプリケーションを起動することによってアプリケーションへのアクセスを単純に妨げる。別の例として、地理的位置データの使用に関する実施形態において、位置の比較は、アクセスを可能にするための必要条件として定期的に行われるというよりも、単に特定の状況で行われてもよい。例えば、サービスプロバイダまたはコンピュータサーバは、IPアドレスまたはユーザが通常インターネットベースのアプリケーションにアクセスするアドレスを格納してもよい。次いで、地理的位置のチェックは、予め使用および格納されていないIPアドレスからユーザがアプリケーションにアクセスを試みる場合、それは、疑わしい権限のないアクセスが試みられていることを示す可能性があるので、呼出される。
1 ユーザPC
2 ユーザスマートフォン
3 インターネットベースのアプリケーション
4 認証サーバ

Claims (30)

  1. 第1のインターネット利用可能なデバイス(1)を介してインターネットベースのアプリケーション(3)へのアクセスを制御する方法であって、アプリケーションは、アプリケーションの登録ユーザによって有効なログイン認証情報の提出を要求し、前記方法は:
    a) ユーザに関連付けられた第2のインターネット利用可能なデバイス(2)によってインターネットを介して送信される固有の認証コードを含むコマンドをコンピュータサーバ(4)で受信するステップであって、そのコードの送信は、ユーザによって開始される、受信するステップと;
    b) 受信したコードとデータベースに格納された複数のそのコードとを比較することによって、第2のデバイス(2)の身元を前記コンピュータサーバ(4)で判断するステップであって、各コードは、アプリケーションの異なる登録ユーザに関連付けられる、判断するステップと;
    c) ステップb)で身元を有効に判断する時、前記コマンドに基づきアクセス制御ステータスを前記コンピュータサーバ(4)で設定するステップと;
    d) 前記第1のデバイスを介して有効なログイン認証情報の提出時、アプリケーション(3)へのアクセスを、前記アクセス制御ステータスに基づき前記コンピュータサーバ(4)で判断するステップと;
    を具備することを特徴とする方法。
  2. 前記コマンドは、アプリケーション(3)へのアクセスを可能にするためのものであることを特徴とする請求項1に記載の方法。
  3. 前記コマンドは、アプリケーション(3)へのアクセスを否定するためのものであることを特徴とする請求項1に記載の方法。
  4. ステップa)で受信したコマンドは、前記第2のデバイス(2)上でデバイスベースのアプリケーションを起動するユーザによって生成されることを特徴とする請求項1〜3の何れか1項に記載の方法。
  5. 認証コードは、第2のデバイス(2)に不可欠な固有の識別コードを含むことを特徴とする請求項4に記載の方法。
  6. 認証コードはまた、登録ユーザに関連付けられたユーザ識別子を含むことを特徴とする請求項5に記載の方法。
  7. 認証コードは、デバイスベースのアプリケーションによって暗号化されることを特徴とする請求項4〜6の何れか1項に記載の方法。
  8. 固有の識別コードは、第2のデバイス(2)の国際移動体装置識別番号(IMEI)、移動体装置識別番号(MEID)、または電子シリアル番号(ESN)であることを特徴とする請求項5〜7の何れか1項に記載の方法。
  9. コンピュータサーバ(4)は、インターネットベースのアプリケーション(3)にリンクされた認証サーバであることを特徴とする請求項1〜8の何れか1項に記載の方法。
  10. 第2のインターネット利用可能なデバイス(2)は、移動式デバイスであることを特徴とする請求項1〜9の何れか1項に記載の方法。
  11. 第1のインターネット利用可能なデバイス(1)は、個人コンピュータデバイスであることを特徴とする請求項1〜10の何れか1項に記載の方法。
  12. 前記方法はまた、ステップc)の前に追加して:
    第1および第2のインターネット利用可能なデバイスの各地理的位置を前記コンピュータサーバ(4)で比較するステップと;
    第1および第2のインターネット利用可能なデバイスの地理的位置が互いに近接しているかを前記コンピュータサーバ(4)で判断するステップと;
    を含むことを特徴とする請求項1〜11の何れか1項に記載の方法。
  13. 前記コマンドに基づきアクセス制御ステータスをコンピュータサーバ(4)で設定するステップc)はまた、第1および第2のインターネット利用可能なデバイスの地理的位置が互いに近接していることの判断に依存することを特徴とする請求項12に記載の方法。
  14. コンピュータサーバ(4)で比較される各第1および第2のインターネット利用可能なデバイスの地理的位置は、町および国情報であることを特徴とする請求項12または13に記載の方法。
  15. 第1のデバイス(1)の地理的位置は、IPアドレス分析によって導出されることを特徴とする請求項12〜14の何れか1項に記載の方法。
  16. 第2のデバイス(2)の地理的位置は、衛星信号、移動体通信基地局情報、およびWi-Fiアクセスポイント情報の1つまたは複数から導出されることを特徴とする請求項12〜15の何れか1項に記載の方法。
  17. 登録ユーザに関連付けられたインターネット利用可能なデバイス(5)を介してインターネットベースのアプリケーション(3)へのアクセスを制御する方法であって、アプリケーションは、アプリケーションの登録ユーザによって有効なログイン認証情報の提出を要求し、前記方法は:
    a) インターネット利用可能なデバイス(5)によってインターネットを介して送信される固有の認証コードを含むコマンドをコンピュータサーバ(4)で受信するステップであって、そのコードの送信は、ユーザによって開始される、受信するステップと;
    b) 受信したコードとデータベースに格納された複数のそのコードとを比較することによって、デバイス(5)の身元を前記コンピュータサーバ(4)で判断するステップであって、各コードは、アプリケーションの異なる登録ユーザに関連付けられる、判断するステップと;
    c) ステップb)で身元を有効に判断する時、前記コマンドに基づきアクセス制御ステータスを前記コンピュータサーバ(4)で設定するステップと;
    d) 前記デバイス(5)を介して有効なログイン認証情報の提出時、アプリケーション(3)へのアクセスを、前記アクセス制御ステータスに基づき前記コンピュータサーバ(4)で判断するステップと;
    を具備することを特徴とする方法。
  18. 前記コマンドは、アプリケーション(3)へのアクセスを可能にするためのものであることを特徴とする請求項17に記載の方法。
  19. 前記コマンドは、アプリケーション(3)へのアクセスを否定するためのものであることを特徴とする請求項17に記載の方法。
  20. ステップa)で受信したコマンドは、前記デバイス(5)上でデバイスベースのアプリケーションを起動するユーザによって生成されることを特徴とする請求項17〜19の何れか1項に記載の方法。
  21. 認証コードは、デバイス(5)に不可欠な固有の識別コードを含むことを特徴とする請求項20に記載の方法。
  22. 認証コードはまた、登録ユーザに関連付けられたユーザ識別子を含むことを特徴とする請求項21に記載の方法。
  23. 認証コードは、デバイスベースのアプリケーションによって暗号化されることを特徴とする請求項20〜22の何れか1項に記載の方法。
  24. 固有の識別コードは、デバイス(5)の国際移動体装置識別番号(IMEI)、移動体装置識別番号(MEID)、または電子シリアル番号(ESN)であることを特徴とする請求項21〜23の何れか1項に記載の方法。
  25. コンピュータサーバ(4)は、インターネットベースのアプリケーション(3)にリンクされた認証サーバであることを特徴とする請求項17〜24の何れか1項に記載の方法。
  26. インターネット利用可能なデバイス(5)は、移動式デバイスであることを特徴とする請求項17〜25の何れか1項に記載の方法。
  27. インターネットベースのアプリケーションの登録ユーザによってインターネットベースのアプリケーションへのアクセスを制御するためのデバイスベースのアプリケーションを含む個人のインターネット利用可能なデバイスであって、デバイスベースのアプリケーションは:
    デバイスに不可欠な固有の識別コードを読み取り;
    固有の識別コードを含むコマンドを生成して、コンピュータサーバへインターネットを介して送信する;
    ように適合され、
    コンピュータサーバへ前記コマンド信号を送信するためのデバイスベースのアプリケーションの起動は、インターネットベースのアプリケーションへのアクセスを可能にするか、または否定するユーザの意図であることを特徴とする個人のインターネット利用可能なデバイス。
  28. 固有の識別コードは、デバイスの国際移動体装置識別番号(IMEI)、移動体装置識別番号(MEID)、または電子シリアル番号(ESN)であることを特徴とする請求項27に記載の個人のインターネット利用可能なデバイス。
  29. デバイスベースのアプリケーションはまた、個人のインターネット利用可能なデバイスの地理的位置を判断し、コンピュータサーバへインターネットを介して地理的位置データを送信するように適合されることを特徴とする請求項27または28に記載の個人のインターネット利用可能なデバイス。
  30. 地理的位置は、衛星信号、移動体通信基地局情報、およびWi-Fiアクセスポイント情報の1つまたは複数から導出されることを特徴とする請求項29に記載の個人のインターネット利用可能なデバイス。
JP2014530619A 2011-09-19 2012-02-16 インターネットベースのアプリケーションへのアクセスを制御する方法 Active JP5844471B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
MYPI2011004430A MY183320A (en) 2011-09-19 2011-09-19 Method of controlling access to an internet-based application
MYPI2011004430 2011-09-19
PCT/MY2012/000024 WO2013043035A1 (en) 2011-09-19 2012-02-16 Method of controlling access to an internet-based application

Publications (3)

Publication Number Publication Date
JP2014528129A true JP2014528129A (ja) 2014-10-23
JP2014528129A5 JP2014528129A5 (ja) 2015-09-03
JP5844471B2 JP5844471B2 (ja) 2016-01-20

Family

ID=47914647

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014530619A Active JP5844471B2 (ja) 2011-09-19 2012-02-16 インターネットベースのアプリケーションへのアクセスを制御する方法

Country Status (6)

Country Link
US (1) US9628460B2 (ja)
JP (1) JP5844471B2 (ja)
AU (1) AU2012310295B2 (ja)
MY (1) MY183320A (ja)
SG (1) SG192619A1 (ja)
WO (1) WO2013043035A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018536445A (ja) * 2015-10-07 2018-12-13 スミス アンド ネフュー インコーポレイテッド 減圧療法を施すためのシステムおよび方法

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10404615B2 (en) 2012-02-14 2019-09-03 Airwatch, Llc Controlling distribution of resources on a network
US9680763B2 (en) 2012-02-14 2017-06-13 Airwatch, Llc Controlling distribution of resources in a network
US9712508B2 (en) * 2013-03-13 2017-07-18 Intel Corporation One-touch device personalization
US20140280955A1 (en) 2013-03-14 2014-09-18 Sky Socket, Llc Controlling Electronically Communicated Resources
US9401915B2 (en) * 2013-03-15 2016-07-26 Airwatch Llc Secondary device as key for authorizing access to resources
WO2014205461A2 (en) * 2013-05-24 2014-12-24 Paima Prashant Govind A process for authenticating an identity of a user
ES2701613T3 (es) * 2013-06-24 2019-02-25 Telefonica Digital Espana Slu Un método implementado por ordenador para evitar ataques contra la autenticación de usuario y productos de programas informáticos del mismo
FR3013475B1 (fr) * 2013-11-19 2017-05-19 Oberthur Technologies Procede et dispositifs d'authentification pour acceder a un compte utilisateur d'un service sur un reseau de donnees
US9584964B2 (en) 2014-12-22 2017-02-28 Airwatch Llc Enforcement of proximity based policies
US10275823B2 (en) 2015-06-15 2019-04-30 Adidas Ag Systems and techniques for computer-enabled geo-targeted product reservation for secure and authenticated online reservations
US10560427B2 (en) * 2015-09-29 2020-02-11 Verisign, Inc. Domain name operation verification code generation and/or verification
US10511570B2 (en) 2016-08-30 2019-12-17 Verisign, Inc. Systems, devices, and methods for locality-based domain name registry operation verification
US11637827B2 (en) * 2018-12-04 2023-04-25 Journey.ai Providing access control and identity verification for communications when receiving a communication at an entity to be verified
US20230137767A1 (en) * 2021-10-28 2023-05-04 Google Llc Using co-located secondary devices to protect against cookie theft
CN117749536B (zh) * 2024-02-21 2024-04-19 湖南华博信息技术有限公司 一种零信任统一身份认证系统及构建方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100299731A1 (en) * 2006-03-08 2010-11-25 Steven Paul Atkinson Electronic System for Securing Electronic Services

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002077745A2 (en) * 2001-03-26 2002-10-03 Wolfram Johannes Bernd Reiners Transaction authorisation system
US7359885B2 (en) * 2003-08-21 2008-04-15 International Business Machines Corporation System and method for device-based access privilege to an account
WO2007050932A2 (en) 2005-10-27 2007-05-03 Rba International, Inc. Systems and methods for user interface access control
US8374634B2 (en) * 2007-03-16 2013-02-12 Finsphere Corporation System and method for automated analysis comparing a wireless device location with another geographic location
US8756657B2 (en) * 2009-09-29 2014-06-17 Ebay Inc. Mobile or user device authentication and tracking
US20110219427A1 (en) * 2010-03-04 2011-09-08 RSSBus, Inc. Smart Device User Authentication

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100299731A1 (en) * 2006-03-08 2010-11-25 Steven Paul Atkinson Electronic System for Securing Electronic Services

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018536445A (ja) * 2015-10-07 2018-12-13 スミス アンド ネフュー インコーポレイテッド 減圧療法を施すためのシステムおよび方法

Also Published As

Publication number Publication date
AU2012310295A1 (en) 2013-05-16
MY183320A (en) 2021-02-18
US9628460B2 (en) 2017-04-18
WO2013043035A1 (en) 2013-03-28
US20140230038A1 (en) 2014-08-14
SG192619A1 (en) 2013-09-30
AU2012310295B2 (en) 2016-02-11
JP5844471B2 (ja) 2016-01-20

Similar Documents

Publication Publication Date Title
JP5844471B2 (ja) インターネットベースのアプリケーションへのアクセスを制御する方法
US10129250B2 (en) System and method of notifying mobile devices to complete transactions
CA2968051C (en) Systems and methods for authentication using multiple devices
US9628282B2 (en) Universal anonymous cross-site authentication
US8862097B2 (en) Secure transaction authentication
US8214890B2 (en) Login authentication using a trusted device
KR101482564B1 (ko) 신뢰성있는 인증 및 로그온을 위한 방법 및 장치
CA3035817A1 (en) System and method for decentralized authentication using a distributed transaction-based state machine
US20110239281A1 (en) Method and apparatus for authentication of services
TWI632798B (zh) 伺服器、行動終端機、網路實名認證系統及方法
WO2014036021A1 (en) Secure device service enrollment
US11070980B1 (en) Secondary device authentication proxied from authenticated primary device
US11601807B2 (en) Mobile device authentication using different channels
Lee et al. A user-friendly authentication solution using NFC card emulation on android
CN104767740A (zh) 用于来自用户平台的可信认证和接入的方法
Huseynov et al. Context-aware multifactor authentication survey
KR101619928B1 (ko) 이동단말기의 원격제어시스템
KR20140043071A (ko) 접속 시도 기기 인증 시스템 및 방법
EP2940618A1 (en) Method, system, user equipment and program for authenticating a user
US20240022428A1 (en) Method for multi-party authentication using distributed identities
Matei-Dimitrie Multi-factor authentication. An extended overview
Braun et al. A trusted UI for the mobile web
Kreshan THREE-FACTOR AUTHENTICATION USING SMART PHONE
WO2012038449A2 (en) Authentication

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20141203

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20141203

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20141219

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150316

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20150616

A524 Written submission of copy of amendment under article 19 pct

Free format text: JAPANESE INTERMEDIATE CODE: A524

Effective date: 20150716

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20151019

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20151118

R150 Certificate of patent or registration of utility model

Ref document number: 5844471

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250