JP2017522667A - コンピューティングリソースへのアクセスに対する脅威ベース認証のためのデバイスおよび方法 - Google Patents
コンピューティングリソースへのアクセスに対する脅威ベース認証のためのデバイスおよび方法 Download PDFInfo
- Publication number
- JP2017522667A JP2017522667A JP2017502599A JP2017502599A JP2017522667A JP 2017522667 A JP2017522667 A JP 2017522667A JP 2017502599 A JP2017502599 A JP 2017502599A JP 2017502599 A JP2017502599 A JP 2017502599A JP 2017522667 A JP2017522667 A JP 2017522667A
- Authority
- JP
- Japan
- Prior art keywords
- resource
- authentication
- threat
- confidence
- resources
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
- H04L67/306—User profiles
Abstract
いくつかの実施形態において、方法は、ホストデバイスで、クライアントデバイスが一組のリソースからのリソースにアクセスすることに対する認証要求を示す信号を受信することを含む。認証要求に関連付けられているリソース信頼度値は、(1)一組の脅威からの各脅威に対する少なくとも1つのリスク緩和スコアに関連付けられている脅威信頼度ベクトル、および(2)リソースおよび一組の脅威からの各脅威に関連付けられている一組のリソース脆弱性スコアに少なくとも一部は基づき計算される。リソース信頼度値は、一組のリソースからのリソースに関連付けられているリソース信頼度基準と比較される。クライアントデバイスがリソースへのアクセスを認められるようにリソース信頼度値がリソース信頼度基準を満たしたときに肯定的認証を示す信号がホストデバイスからクライアントデバイスに送信される。
Description
関連出願の相互参照
[1001] 本出願は、参照により全体が本明細書に組み込まれている、2014年7月18日に出願した米国仮出願第62/026,362号、名称「Devices and Methods for Threat−Based Authentication」の優先権および利益を主張するものである。
[1001] 本出願は、参照により全体が本明細書に組み込まれている、2014年7月18日に出願した米国仮出願第62/026,362号、名称「Devices and Methods for Threat−Based Authentication」の優先権および利益を主張するものである。
[1002] 本出願は、また、参照により全体が本明細書に各々組み込まれている、2014年7月18日に出願した米国仮特許出願第62/026,362号、名称「Devices and Methods for Threat−Based Authentication」の優先権を主張する、2015年7月16日に出願した米国非仮特許出願第14/801,203号、名称「Devices and Methods for Threat−Based Authentication for Access to Computing Resources」の継続出願であり、それらの出願の優先権を主張するものである。
[1003] 本明細書で説明されている実施形態は、一般的にコンピューティングリソースへのアクセスのための電子認証、およびより具体的には、脅威ベース認証(threat-based authentication)のためのデバイスおよび方法に関するものである。
[1004] 電子デバイスの能力の向上は、そのようなデバイスの使い方を大きく拡大した。いくつかの場合において、個人情報および/または他の何らかの形で機密である情報(またはそのような情報を表すデータ)は、電子デバイスの使用を通じてアクセスされるものとしてよく、一般に、そのような情報は、単一のユーザまたはユーザの選択グループによってアクセスされることが意図されているが、ユーザの選択グループのユーザ以外のユーザによるその情報へのアクセスは、制約される。したがって、いくつかのシステムおよび/またはデバイスは、一組の資格証明書に基づきユーザの識別情報を認証することができる。ほとんどの場合において、認証は、「what you have」、「what you know」、および「what you are」のうちの少なくとも1つに基づく。たとえば、ユーザは、モバイル電子デバイス(たとえば、スマートフォン、タブレット、ウルトラブック、ラップトップ、携帯情報端末(PDA)など)、キーフォブ、カード、または磁気および/もしくは電磁コンポーネントなどを含む同様のものなどの電子デバイス、磁気デバイス、またはその組合せを介して「what you have」方法を使用して認証されるものとしてよく、ユーザは、ユーザパスワード、個人識別番号(PIN)、タッチスクリーン上の一意的パターン、質問回答、および/または同様のものの入力を介して「what you know」方法を使用して認証されるものとしてよく、ユーザは、たとえば指紋スキャン、心電図(EKG)、網膜スキャン、歩行特性、および/または同様のものなどの生体データの入力を介して「what you are」方法を使用して認証されるものとしてよい。
[1005] いくつかの場合において、たとえば、少なくとも部分的に制限されている物理的エンティティ(たとえば、場所、建物、建物内の区域または部屋など)、データ、ネットワーク、および/または同様のものへのアクセスは、能動的な(たとえば、一組のキーストローク、音声コマンド、タッチスクリーン入力、マウスクリックなどを介したユーザパスワード、PIN、または他の資格証明書の入力)および/または受動的な(たとえば、生体測定値読み取り、歩行特性、インターネットプロトコル(IP)アドレス、地理的位置、時刻、履歴的パターン、および/または同様のもの)ユーザに関連付けられている資格証明書のうちの1つまたは組合せの認証に基づき得る。不正アクセスのリスクを緩和する目的で、いくつかのシステムは、複数の能動的および/または受動的認証モードに基づくアクセスを提供し得る。たとえば、そのようないくつかのシステムは、一連の論理式を使用して認証モードを定義することができる。しかしながら、そのような論理式は、より多くの入力を含むようにスケーリングされるときに管理が複雑および/または困難なものとなり得る。
[1006] いくつかの場合において、システムは、たとえば、不正アクセスのリスクを緩和するためにリスクベース認証(RBA)方法を使用することができる。そのようなRBA方法は、ユーザ、デバイス、および/または物理的エンティティに関連付けられているリスクプロファイルに基づくものであり、高いリスクほど、高められたおよび/またはよりチャレンジングな認可方法に関連付けられる。そのようなシステムは、比較的高い偽陽性および/または偽陰性の結果を有し得る。さらに、いくつかのそのようなRBA方法は、なぜまたはどのような特性が与えられたリスクスコアに影響を及ぼしたかを決定し、定義し、および/または計算することをせず、むしろ、出力は単なる値である。
[1007] そこで、脅威ベース認証のための改善された装置および方法に対する必要性が存在する。
[1008] いくつかの実施形態において、方法は、ホストデバイスで、クライアントデバイスが一組のリソースからのリソースにアクセスすることに対する認証要求を示す信号を受信することを含む。認証要求に関連付けられているリソース信頼度値は、(1)一組の脅威からの各脅威に対する少なくとも1つのリスク緩和スコアに関連付けられている脅威信頼度ベクトル、および(2)リソースおよび一組の脅威からの各脅威に関連付けられている一組のリソース脆弱性スコアに少なくとも一部は基づき計算される。リソース信頼度値は、一組のリソースからのリソースに関連付けられているリソース信頼度基準と比較される。クライアントデバイスがリソースへのアクセスを認められるようにリソース信頼度値がリソース信頼度基準を満たしたときに、肯定的認証を示す信号がホストデバイスからクライアントデバイスに送信される。
[1017] 本明細書で説明されている実施形態は、脅威ベース認証のためのデバイスおよび方法に関するものである。いくつかの実施形態において、方法は、ホストデバイスで、一組のリソースからのリソースに対する認証要求を示す信号を受信することを含む。認証要求に関連付けられているリソース信頼度値は、(1)一組の脅威からの各脅威に対する少なくとも1つのリスク緩和スコアに関連付けられている脅威信頼度ベクトル、および(2)リソースおよび一組の脅威からの各脅威に関連付けられている一組のリソース脆弱性スコアに少なくとも一部は基づき計算される。リソース信頼度値は、一組のリソースからのリソースに関連付けられているリソース信頼度基準と比較される。リソース信頼度値がリソース信頼度基準を満たしたときに肯定的認証を示す信号がホストデバイスからクライアントデバイスに送信される。
[1018] いくつかの実施形態において、方法は、ホストデバイスで、クライアントデバイスが第1の認証モードに関連付けられているデータおよび第1の認証モードと異なる第2の認証モードに関連付けられているデータを含むリソースにアクセスすることに対する認証要求を示す信号を受信することを含む。脅威信頼度ベクトルは、(1)第1の認証モードおよび一組の脅威に関連付けられているリスク緩和スコア、ならびに(2)第2の認証モードおよび一組の脅威に関連付けられているリスク緩和スコアに基づき計算される。リソースに関連付けられているリソース信頼度値が計算される。リソース信頼度値は、(1)脅威信頼度ベクトル、および(2)リソースおよび一組の脅威からの各脅威に関連付けられている一組のリソース脆弱性スコアに基づく。リソース信頼度値は、リソースに関連付けられているリソース信頼度基準と比較される。リソース信頼度値がリソース信頼度基準を満たしたときに肯定的認証を示す信号がホストデバイスからクライアントデバイスに送信される。そのような肯定的認証は、クライアントデバイスに対してリソースへのアクセスを認めることができる。
[1019] いくつかの実施形態において、装置は、メモリまたはプロセッサのうちの少なくとも一方で実装され、一組のリソースおよびクライアントデバイスと電子的に通信するように構成されている通信モジュールを備える。装置は、また、ポリシー定義モジュールと、ポリシー適用モジュールと、認証モジュールとを備える。ポリシー定義モジュールは、(1)一組の脅威からの各脅威に対する一組のリスク緩和スコアに関連付けられている脅威信頼度ベクトル、および(2)一組の脅威からの各脅威に対する一組のリソース脆弱性スコアに基づき、一組のリソースからの各リソースに対するリソース信頼度基準を定義するように構成されている。認証モジュールは、1つまたは複数の認証モードを用いてユーザを認証し、および/または妥当性確認するように構成される。同様の言い方をすると、認証モジュール115は、ユーザによって提供され、1つまたは複数の認証モードに関連付けられている資格証明書および/またはデータを検証するように構成される。ポリシー適用モジュールは、(1)通信モジュールを介して、一組のリソースからのリソースに関連付けられている認証要求(たとえば、認証モジュールからの)を示す信号を受信し、(2)認証要求に関連付けられている脅威信頼度ベクトルおよび一組のリソース脆弱性スコアに基づき一組のリソースからのリソースに対するリソース信頼度値を定義するように構成される。ポリシー適用モジュールは、また、(1)一組のリソースからのリソースに対するリソース信頼度値と一組のリソースからのリソースに対するリソース信頼度基準とを比較し、(2)一組のリソースからのリソースに対するリソース信頼度基準が満たされたときに、通信モジュールを介して肯定的認証を示す信号をクライアントデバイスに送信するように構成される。そのような肯定的認証は、クライアントデバイスに対してリソースへのアクセスを認めることができる。
[1020] 本明細書で説明されている方法および装置は、リソース(たとえば、サーバ、データベース、ウェブサイト、ネットワーク、ワークステーション、アクセスポイントなど)へのアクセスに関連付けられているセキュリティを高める。たとえば、本明細書で説明されている方法および装置は、特定のリソースへの最も可能性の高い、および/または有害な脅威に対するセキュリティを高め、および/またはその潜在的可能性を緩和するようにリソースのセキュリティポリシーを手直しする。同様の言い方をすると、特定のリソースに対してユーザを認証するように選択されたセキュリティポリシーおよび認証モードは、両方ともリソースおよび脅威特有である。それに加えて、そのようなセキュリティポリシーは、ある種のセキュリティ脅威の発生があり得ず、および/または大きな損害を引き起こす可能性がないときにユーザに対する負担を軽減する。したがって、リソースに関連付けられている認証ポリシーは、ユーザに対する負担を最小にし、および/または軽減しながらその特定のリソースに対する最も可能性の高い脅威を緩和するように設計され得る。
[1021] 本明細書で使用されているように、「1つの(または使わない場合もある)」および「その(使わない場合もある)」(英語原文の冠詞「a」、「an」、および「the」に対応する)で示される単数形は、文脈上明らかにそうでないことを示していない限り、複数形の指示対象を含む。したがって、たとえば、「メンバー」という用語は、単一のメンバーまたはメンバーの組合せを意味することが意図されており、「材料」は、1つもしくは複数の材料またはその組合せを意味することが意図されている。
[1022] 本明細書で使用されているように、「モジュール」という用語は、たとえば、メモリ、プロセッサ、電気トレース、光コネクタ、ソフトウェア(ハードウェアで実行される)、および/または同様のものを含むことができる任意のアセンブリおよび/または一組の動作可能に結合されている電気コンポーネントを指す。たとえば、プロセッサで実行されるモジュールは、ハードウェアベースのモジュール(たとえば、フィールドプログラマブルゲートアレイ(FPGA)、特定用途向け集積回路(ASIC)、デジタルシグナルプロセッサ(DSP))および/またはソフトウェアベースのモジュール(たとえば、メモリに記憶され、および/またはプロセッサで実行されるコンピュータコードのモジュール)の任意の組合せであってよく、そのモジュールに関連付けられている1つまたは複数の特定の機能を実行することができる。
[1023] 本明細書で使用されているように、「脅威」という用語は、一般的に、デバイス(たとえば、電子デバイス)、ネットワークまたはネットワークの一部、物理的ロケーションなどへの不正アクセスを得るために使用されるデバイスおよび/または方法を指す。たとえば、脅威は、電子メール、インターネット、電話、個人対個人などを介したフィッシング手法などの信頼への脅威、なりすまし手法(たとえば、本物そっくりのウェブサイト、模擬ブラウザなど)、iframeエクスプロイト、ブラウザエクスプロイト、ダイナミックネームシステム(DNS)ポイズニング、ネットワークトラフィックスニッフィング、プロキシポイズニングなどのリモート脅威、ソフトウェア脆弱性、ブラウザツールバー、ブラウザアドレスバー偽装、トロイの木馬、修正されたソフトウェア、偽製品(たとえば、偽ウイルス対策ソフト、など)、スパイウェア(たとえば、キージェネレータ、キーロガー、マウス/スクリーンスナップショットソフト、など)、バックドア、ウイルス、TEMPEST(すなわち、スパイ技術)、マルウェア、悪意のあるハードウェア修正(たとえば、トークン修正、トークン置換、認可デバイス置換、および/またはエミュレーション)、損なわれたクッキー、クッキー記憶の予防、などのローカル脅威、たとえば、パスワードの共有、パスワードの書き込み、弱いパスワードの使用、複数のアクセスポイントに対して1つのパスワードを使用すること、パスワードの入力時に他人ののぞき込みを防止しないこと、物理的資格証明書の盗難(たとえば、キーフォブ、アクセスカード、キー、など)、弱いパスワード喪失手順、パスワード保存もしくは「記憶」技術の使用、などを介して盗まれた、喪失した、または他の何らかの方法で取得された資格証明書、サービス拒否(DoS)または分散型サービス拒否(DDoS)攻撃、および/または他の脅威とすることができる。特定のリスト「脅威」が上で説明されているが、電子デバイス、ネットワークもしくはその一部、物理的アクセスポイントなどに影響を及ぼす潜在的脅威の網羅的リストであることを意図していない。むしろ、脅威のリストは例として挙げられており、網羅的であることもまたは他の何らかの形で網羅的であることを意図していない。
[1024] 図1は、一実施形態による脅威ベース認証システム100の概略図である。いくつかの場合において、脅威ベース認証システム100(本明細書では「システム」とも称される)は、一組の資格証明書、特権、ならびに/またはユーザおよび/もしくはリソース(たとえば、電子的および/または磁気デバイス)に関連付けられているアクセスのレベルを認証し、検証するために使用され得る。システム100の少なくとも一部は、たとえば、メモリに記憶されている一組の命令またはコードによって表され、および/または記述され、電子デバイス(たとえば、ホストデバイス、サーバもしくはサーバのグループ、パーソナルコンピュータ(PC)、ネットワークデバイスなど)および/または同様のもののプロセッサにおいて実行され得る。そのようなものとして、システム100は、電子デバイス、ネットワークもしくはネットワークの一部、物理的ロケーション、および/または同様のものへの不正アクセスのリスクを緩和するために使用され得る。より具体的には、システム100は、識別情報(たとえば、人間および/またはデバイスの識別情報)を認証して、1つもしくは複数のリソースまたは同様のものに影響を及ぼすことが知られている一組の脅威に少なくとも一部は基づき不正アクセスのリスクを緩和するために使用され得る。いくつかの実施形態において、システム100は、認証された識別情報に基づき1つまたは複数のリソースへのアクセスを認めるために使用され得る。
[1025] システム100は、少なくとも1つのクライアントデバイス130および少なくとも1つのリソース140と通信するホストデバイス110を備える。ホストデバイス110は、クライアントデバイス130およびリソース140と電子的に通信するサーバもしくはサーバのグループ、ネットワーク管理デバイス、パーソナルコンピュータ(PC)、処理ユニット、および/または同様のものなどの好適な任意のホストデバイスであってよい。たとえば、いくつかの実施形態において、ホストデバイス110は、ネットワーク105を介して電子デバイス130およびリソース140と電子的に通信するサーバもしくはサーバのグループとすることができる。他の実施形態において、ホストデバイス110は、クライアントデバイス130および/またはリソース140と直接的に(たとえば、ネットワーク105を介さずに)電子的に接続され得る。
[1026] リソース140は、少なくとも部分的に制限されているデータ、情報、アイテム、および/または同様のものを備えるか、含むか、または記憶することができる好適な任意の電子デバイス、ネットワーク、ネットワークロケーション、ネットワークデバイス、サーバ、アクセスポイント、ウェブサイト、物理的構造体(たとえば、建物)、物理的構造体の一部(たとえば、部屋)、および/または同様のものであってよい。いくつかの実施形態において、リソース140は、クライアントデバイス130から1つまたは複数の認証モードに関連付けられているデータを受信し、それに応答して、1つまたは複数の認証モードに関連付けられているデータをホストデバイス110に送信することができる中間デバイスまたは同様のものであるものとしてよく、および/または含み得る。特に、1つの場合において、そのようなリソース140は、物理的ロケーションへのアクセスを制御するように構成されているアクセスポイントであってよい(たとえば、キーカード、キーフォブ、および/または類似の識別カードもしくは資格証明書を読み出すように構成されている近接センサー、赤外線(IR)スキャナ、無線周波(RF)トランシーバ、および/または同様のもの)。他の場合において、リソース140は、ホストデバイス110に動作可能に結合され、および/または他の何らかの方法で含まれ得る。たとえば、リソース140は、認証データを受信するように構成されている(すなわち、リソースとして機能するように構成されている)第1のモジュール(たとえば、上で説明されているようなハードウェアモジュールおよび/またはソフトウェアモジュール)または同様のもの、および認証データを処理してアクセスを許可もしくは拒絶するように構成されている(すなわち、ホストデバイスとして機能するように構成されている)第2のモジュールまたは同様のものを備えることができる。なおも他の実施形態において、リソース140は、クライアントデバイス130に含まれるものとしてよく、および/またはクライアントデバイス130であり得る。たとえば、いくつかの場合において、認証アクションおよび/またはプロセスは、クライアントデバイス130に「ログイン」し、および/またはソフトウェアモジュールもしくはアプリケーションにアクセスするために実行される。
[1027] クライアントデバイス130は、本明細書でさらに詳しく説明されるような、PC、ラップトップ、コンバーティブルラップトップ、タブレット、携帯情報端末(PDA)、スマートフォン、ウェアラブル電子デバイス(たとえば、スマートウォッチなど)、資格証明書、キーフォブ、キーカード、および/または同様のものなどの好適な任意のデバイスであってよい。図1に示されていないが、いくつかの実施形態において、クライアントデバイス130は、少なくとも1つのメモリ、プロセッサ、通信モジュール、および1つまたは複数のユーザインターフェースを備える電子デバイスであってよい。メモリ、プロセッサ、通信モジュール、およびユーザインターフェースは、互いの間の信号の送信を可能にするように互いに接続され、および/または電気的に結合され得る。たとえば、いくつかの実施形態において、メモリは、ランダムアクセスメモリ(RAM)、メモリバッファ、ハードドライブ、リードオンリーメモリ(ROM)、消去可能プログラム可能リードオンリーメモリ(EPROM)、および/または同様のものであってよい。プロセッサは、汎用プロセッサ、中央演算処理装置(CPU)、アクセラレーテッドプロセッシングユニット(APU)、および特定用途向け集積回路(ASIC)、および/または同様のものなどの一組の命令またはコード(たとえば、メモリに記憶されている)を稼働させるか、または実行するように構成されている好適な任意の処理デバイスであってよい。そのようなプロセッサは、PCアプリケーション、モバイルアプリケーション、インターネットウェブブラウザ、セルラーおよび/またはワイヤレス通信(ネットワークを介して)、および/または同様のものを使用することに関連付けられているメモリに記憶されている一組の命令またはコードを稼働させるか、または実行することができる。より具体的には、プロセッサは、本明細書においてさらに詳しく説明されているように、認証データをホストデバイス110に送信し、および/または認証データをホストデバイス110から受信することに関連付けられているメモリに記憶されている一組の命令またはコードを実行することができる。
[1028] クライアントデバイス130の通信モジュールは、1つまたは複数のネットワークインターフェースカードまたは同様のものなどのリソースをホストデバイス110と通信させることができる好適な任意のモジュールおよび/またはデバイスとすることができる。そのようなネットワークインターフェースカードは、たとえば、ネットワークまたは同様のものを介してクライアントデバイス130をホストデバイス110と通信させるこることができるEthernetポート、WiFi(登録商標)無線、Bluetooth(登録商標)無線、近距離通信(NFC)無線、および/またはセルラー無線を含むことができる。ユーザインターフェースは、たとえば、ディスプレイ、スピーカー、マイクロフォン、バイオメトリックスキャナもしくはリーダー、および/または同様のものであってよい。たとえば、ユーザインターフェースは、システム100の好適な任意の部分をグラフィックで表現することができる陰極線管(CRT)モニタ、液晶ディスプレイ(LCD)モニタ、発光ダイオード(LED)モニタ、および/または同様のものなどのディスプレイ(たとえば、ウェブページ、PCアプリケーション、モバイルアプリケーション、および/または同様のものに関連付けられているグラフィカルユーザインターフェース(GUI))とすることができる。いくつかの実施形態において、そのようなディスプレイは、触覚ユーザ入力を受け取るように構成されているタッチスクリーンであるものとしてよく、および/または含み得る。いくつかの場合において、ユーザインターフェースは、本明細書においてさらに詳しく説明されているように、認証アクションを受信し、および/または実行する(たとえば、バイオメトリックスキャンを実行する、オーディオもしくは触覚入力を受け取る、および/または同様のことをする)ように構成され得る。いくつかの実施形態において、クライアントデバイス130は、クライアントデバイス130および/またはクライアントデバイス130のユーザの1つまたは複数の条件、状態、位置、移動などを感知し、および/または決定するように構成され得る1つまたは複数のセンサーも備えることができる。たとえば、そのようなセンサーは、たとえば、加速度計、ジャイロスコープ、圧力センサーなどであってよい。
[1029] いくつかの実施形態において、クライアントデバイス130は、1つまたは複数のネットワークを介してホストデバイス110と通信することができる。たとえば、図1に示されているように、クライアントデバイス130は、その通信モジュールおよびネットワーク105を介してホストデバイス110と通信することができる。ネットワーク105は、たとえば、ローカルエリアネットワーク(LAN)、仮想ローカルエリアネットワーク(VLAN)などの仮想ネットワーク、ワイドエリアネットワーク(WLAN)、メトロポリタンエリアネットワーク(MAN)、Worldwide Interoperability for Microwave Access Network(WiMAX)、セルラーネットワーク、インターネット、および/または有線および/または無線ネットワークとして実装されている他の任意の好適なネットワークなどの、任意のタイプのネットワークであってよい。たとえば、ネットワーク105は、米国電気電子学会(IEEE)802.11規格に基づくワイヤレスローカルエリアネットワーク(WLAN)(「WiFi(登録商標)」とも称される)として実装され得る。さらに、ネットワーク105は、たとえば、LANまたはWANおよびインターネットなどの任意のタイプのネットワークの組合せを含み得る。いくつかの実施形態において、クライアントデバイス130は、ネットワーク105に類似する、またはネットワーク105と異なっていてもよい、中間ネットワークおよび/または代替的ネットワーク(図示せず)を介してホストデバイス110およびネットワーク105と通信することができる。そのようなものとして、クライアントデバイス130は、共通のネットワークを使用してホストデバイス110に送信され得る、または送信され得ない複数の通信モード(たとえば、上で説明されているネットワークのどれかに関連付けられている)を使用してホストデバイス110にデータを送信し、および/またはホストデバイス110からデータを受信することができる。たとえば、クライアントデバイス130は、セルラーネットワークおよびインターネット(たとえば、ネットワーク105)を介してホストデバイス110に接続された携帯電話(たとえば、スマートフォン)であってよい。
[1030] ホストデバイス110は、クライアントデバイス130および/またはリソース140にデータを送信し、および/またはクライアントデバイス130および/またはリソース140からデータを受信するように構成されている好適な任意のデバイスであってよい。いくつかの実施形態において、ホストデバイス110は、たとえば、サーバデバイス(たとえば、ウェブサーバデバイス)、ネットワーク管理デバイス、管理者デバイス、および/またはそのようなものとして機能し得る。ホストデバイス110は、少なくともメモリ111、プロセッサ112、および通信モジュール118を備える。図1に示されているように、メモリ111、プロセッサ112、および通信モジュール118は、接続され、および/または電気的に結合され得る。そのようなものとして、信号は、メモリ1112、プロセッサ112、および通信モジュール118の間で送信され得る。ホストデバイス110は、認証データ、ユーザプロファイル、リソース脆弱性、知られている脅威、および/または同様のものを記憶するように構成されているデータベース120も備えることができ、および/または他の何らかの形でそれに動作可能に結合され得る。
[1031] メモリ111は、たとえば、RAM、メモリバッファ、ハードドライブ、データベース、ROM、EPROM、EEPROM、および/またはそのようなものであってよい。いくつかの場合において、ホストデバイス110のメモリ111は、1つもしくは複数の認証アクションを実行するために使用され、および/または1つもしくは複数の好適な通信モードを使用して少なくとも1つのデバイス(たとえば、クライアントデバイス130およびリソース140)と認証データを通信する(たとえば、送信し、または受信する)ために使用される一組の命令またはコードを含む。プロセッサ112は、たとえば、汎用プロセッサ、CPU、APU、ネットワークプロセッサ、フロントエンドプロセッサ、ASIC、FPGA、および/または同様のものなどの好適な任意のプロセッサであってよい。したがって、プロセッサ112は、メモリ111に記憶されている一組の命令、モジュール、および/またはコードを遂行し、および/または実行するように構成され得る。たとえば、プロセッサ112は、本明細書においてさらに説明されているように、とりわけ、認証要求を受信すること(たとえば、リソース140のユーザから)、認証データを分析すること、および認証データの分析結果に基づき、認証要求を承認するか、または拒絶することに関連付けられている一組の命令および/またはモジュールを実行するように構成され得る。通信モジュール118は、ホストデバイス110を電子デバイス130および/またはリソース140と通信させることができる好適な任意のデバイスであってよい。いくつかの実施形態において、通信モジュール118は、たとえば、Ethernetインターフェース、光キャリア(OC)インターフェース、非同期転送モード(ATM)インターフェース、および/またはワイヤレスインターフェース(たとえば、WiFi(登録商標)無線、Bluetooth(登録商標)無線、NFC無線、および/または同様のもの)などの、1つまたは複数の有線および/または無線インターフェースを備えることができる。したがって、ホストデバイス110は、通信モジュール118およびクライアントデバイス130の通信モジュール(図1に図示せず)および/またはリソース140の通信モジュール(図1に図示せず)を介してクライアントデバイス130および/またはリソース140から認証データを受信し、またはそれに認証データを送信することができる。
[1032] ホストデバイス110に関連付けられているデータベース120は、たとえば、リレーショナルデータベース、オブジェクトデータベース、オブジェクトリレーショナルデータベース、階層型データベース、ネットワークデータベース、エンティティ関係データベース、構造化照会言語(SQL)データベース、拡張マークアップ言語(XML)データベース、および/または同様のものなどの好適な任意のデータベースであってよい。いくつかの実施形態において、データベース120は、ホストデバイス110のメモリ111に記憶され得る。他の実施形態では、データベース120は、ケーブル、バス、サーバラック、および/または同様のものを介してホストデバイス110に動作可能に結合され得る。いくつかの実施形態において、ホストデバイス110は、通信モジュール118を介して好適な任意のネットワーク(たとえば、ネットワーク105)上でデータベース120と通信することができる。そのような実施形態において、データベース120は、ネットワーク接続ストレージ(NAS)デバイスに含まれるか、またはそれによって記憶され得る。そのような実施形態において、NASデバイスおよび/またはデータベース120は、ネットワーク105および/または他のネットワーク上でホストデバイス110と通信し得る。
[1033] データベース120は、脅威ベース認証システム100に関連付けられているデータを記憶し、および/または少なくとも一時的に保持することができる。たとえば、いくつかの場合において、データベース120は、ユーザプロファイル、リソースリスト、認証モードもしくは方法、リソース脆弱性、知られている脅威(たとえば、上で説明されているようなローカルの脅威、リモートの脅威、および/または同様のもの)、および/または同様のものに関連付けられ、および/または表すデータを記憶することができる。いくつかの実施形態において、データベース120は、リレーショナルデータベースであってよく、または含むことができ、そのデータは、リレーショナルモデルに従って、たとえば、テーブル、行列、ベクトルなどに記憶され得る。たとえば、いくつかの場合において、ホストデバイス110は、データベース120内に、一組の認証モードまたは方法および一組の脅威の間の1つまたは複数の関係を定義するリスク緩和テーブルを、一組の脅威と一組のリソースとの間の1つまたは複数の関係を定義するリソース脆弱性テーブルを記憶するように構成され得る。いくつかの場合において、リスク緩和テーブルおよびリソース脆弱性テーブルは、本明細書においてさらに詳しく説明されるように、認証ポリシーまたは同様のものをまとめて定義することができる。
[1034] ホストデバイス110は、データベース120(すなわち、単一のデータベース)を含み、および/または他の何らかの形で動作可能に結合されているものとして図1を参照しつつ図示され説明されているが、いくつかの実施形態において、ホストデバイス110は、任意の数のデータベースに動作可能に結合され得る。そのようなデータベースは、システム100に関連付けられている認証データセットの少なくとも一部を記憶するように構成され得る。たとえば、いくつかの実施形態において、ホストデバイス110は、クライアントデバイス130および/またはリソース140内に、またはその上に記憶されているデータベースに動作可能に結合され、および/または他の何らかの形で通信することができる。この方式で、ホストデバイス110および、いくつかの場合において、データベース120は、ホストデバイス110と(たとえば、ネットワーク105を介して)通信しながら、ホストデバイス110と異なる場所に物理的に配設され得る任意の数のデータベースと通信することができる。
[1035] 上で説明されているように、ホストデバイス110のプロセッサ112は、特定のモジュールを含み、および/または実行することができる。モジュールは、たとえば、ハードウェアモジュール、メモリ111に記憶され、プロセッサ112で実行されるソフトウェアモジュール、および/またはこれらの組合せであってよい。たとえば、図2に示されているように、プロセッサ112は、ポリシー定義モジュール113、ポリシー適用モジュール114、および認証モジュール115を含み、および/または実行する。図2に示されているように、ポリシー定義モジュール113、ポリシー適用モジュール114、および認証モジュール115は、接続され、および/または電気的に結合され得る。そのようなものとして、信号は、ポリシー定義モジュール113、ポリシー適用モジュール114、および認証モジュール115の間で送信され得る。
[1036] 図1に関してホストデバイス110内にすべてあるものとして図示され説明されているが、他の実施形態では、ポリシー定義モジュール113、ポリシー適用モジュール114、および/または認証モジュール115は、別のデバイス内にあってよい。たとえば、いくつかの実施形態において、ポリシー定義モジュール113およびポリシー適用モジュール114は、ホストデバイス110内にあってよく、認証モジュール115は、ネットワーク(たとえば、ネットワーク105)を介してホストデバイス110に動作可能に結合されている別のデバイス内にあってよい。そのような一例において、認証モジュール115は、サードパーティ識別情報プロバイダの認証モジュールであってよく、ネットワーク105を介してポリシー定義モジュール113および/またはポリシー適用モジュール114に認証情報を伝達することができる。別の例として、他の実施形態では、ポリシー定義モジュール113、ポリシー適用モジュール114、および認証モジュール115は、各々ネットワーク(たとえば、ネットワーク105)を介して一緒に動作可能に結合されている別のデバイス内にある。
[1037] ポリシー定義モジュール113は、認証ポリシーおよび/または同様のものを定義することに関連付けられているプロセッサ(またはその一部)によって実行され得る一組の命令を含む。たとえば、ポリシー定義モジュール113は、リスク緩和テーブル155およびリソース脆弱性テーブル165(たとえば、図3を参照)を定義する命令を示す信号を受信することができ、これは次いでデータベース120内に記憶され得る。いくつかの場合において、リスク緩和テーブル155および/またはリソース脆弱性テーブル165の少なくとも一部は、事前決定され、事前定義され、および/または他の何らかの形でユーザ定義され得る(たとえば、管理者特権または同様のものを有するユーザによって定義される。上で説明されているように、リスク緩和テーブル155は、一組の認証モード(「AuthNモード」として図3に示されている)と一組の脅威および/または脅威カテゴリとの間の1つまたは複数の関係を定義することができる。この一組の脅威および/または脅威カテゴリは、たとえば、ローカルの脅威、リモートの脅威、喪失するか、盗まれた資格証明書に関連付けられている脅威、セッションハイジャック脅威、および/または同様のものであるものとしてよく、および/または含み得る。いくつかの場合において、この一組の脅威は、上で定義されている脅威および/または明示的に定義されていない他の脅威のうちのどれかを含み得る。
[1038] 認証モードは、好適な任意のモードおよび/または方法であってよい。いくつかの場合において、認証モードは能動的であるものとしてよく、ユーザ(たとえば、クライアントデバイス130のユーザ)は、たとえば、パスワードもしくはワンタイムパスワードを入力すること、タッチセンサー式デバイス上でパターンをトレースすること、音声コマンドを発すること、認証質問に回答すること、自分の身体の一部をメトリックスキャンのために提示すること(たとえば、指紋スキャン、網膜スキャンなど)、および/または同様のものなどの認証アクションを能動的に実行する。他の場合において、認証モードは受動的であってよく、ユーザは、たとえば、地理的位置識別子(たとえば、全地球測位システム(GPS)識別子)、インターネットプロトコル(IP)アドレス、ハードトークン、セッションクッキー、ソフトウェアバージョン、近接センサー、トランザクション、バイオメトリックスキャン、またはユーザの履歴データからデータを収集および/またはサンプリングすることなどの認証アクションを能動的には実行しない。
[1039] いくつかの場合において、ユーザおよび/または管理者は、一組の脅威に関連付けられ、および/または表す識別子ならびに一組の認証モード(たとえば、各々ユーザ定義されている)に関連付けられ、および/または表す識別子を入力することができる。それに加えて、各認証モードと各脅威との間の関係は、たとえば、リスク緩和スコアを定義することができ、および/または関連付けられ得る。言い換えると、リスク緩和テーブル155は、一組のリスク緩和スコア(図3の「M11」、「M12」、...「M65」)を含み、各々1つの認証モードおよび1つの脅威に一意的に関連付けられる。たとえば、図3に示されているように、第1の認証モードおよび第1の脅威は、第1のリスク緩和スコアM11に関連付けられ得る。各リスク緩和スコアは、対応する脅威に関する対応する認証モードに対する緩和強度に関連付けられ、および/または表す。言い換えると、緩和強度は、認証の方法に依存し得る。たとえば、いくつかの場合において、能動的な認証モード(たとえば、パスワード)は、受動的な認証モード(たとえば、IPアドレス)よりも大きい緩和強度を有し得る。いくつかの場合において、IPアドレスなどの第1の受動的な認証モードの緩和強度は、地理的位置などの第2の受動的な認証モードの緩和強度よりも大きいものとしてよい。いくつかの場合において、第1の認証モードは、第1の脅威に関して第2の認証モードの緩和強度よりも大きい緩和強度を有することができ、第1の認証モードは、第1の脅威と異なる、第2の脅威に関して第2の認証モードの緩和強度よりも小さい緩和強度を有することができる。同様の言い方をすると、リスク緩和スコアは、認証モードが特定の脅威からの攻撃の成功確率をどの程度低減し、および/または緩和するかを示すことができる。リスク緩和スコアは、数値またはパーセンテージとすることができ、より大きい数値またはパーセンテージは、対応する脅威に向かうより強い緩和に関連付けられる。他の場合において、リスク緩和スコアは、好適な任意の方式で表され得る。
[1040] いくつかの場合において、リスク緩和スコアは、使用される前にユーザによって割り当てられる数値であってよい。他の場合において、リスク緩和スコアは、ユーザおよび/または管理者によって定義された関数に基づき実行時に計算され得る。そのような場合には、リスク緩和スコアは、クライアントデバイス130によってリソース140へのアクセスが試みられたときのクライアントデバイス130、リソース140、アクセスのタイプ、脅威のタイプ、および/または同様のものに特有の要因に基づき変化し得る。たとえば、特定の認証モードおよび脅威に対するリスク緩和スコアを計算するために使用される関数は、アクセスの時刻に基づくものとしてよい。そのような例では、位置ベースの認証モード(たとえば、会社構内の)に対するリスク緩和スコアは、営業時間外よりも営業時間内でより大きいものとしてよい。他の場合には、実行時にリスク緩和スコアを計算するために使用される関数は、時刻、クライアントデバイス130の位置、ユーザのアクセスレベル、基準に合致するトランザクション値(たとえば、閾値を超えるドル金額)、環境要因、リソース140の現在の負荷および/または利用可能な容量、および/または同様のものなどの実行時にサンプリングされる他の要因に基づくものとしてよい。
[1041] 上で説明されているように、リソース脆弱性テーブル165は、一組の脅威と一組のリソースとの間の1つまたは複数の関係を定義することができる。この一組のリソースは、好適な任意の数の、および/またはタイプのリソースを含み得る。たとえば、この一組のリソースは、たとえば、PC、ラップトップ、コンバーティブルラップトップ、タブレット、PDA、スマートフォン、ウェアラブル電子デバイス(たとえば、スマートウォッチなど)、および/または同様のものなどの任意の数の電子デバイスまたはクライアントデバイスを含み得る。いくつかの場合において、一組のリソースは、好適な任意のデバイス、ネットワーク、ネットワークロケーション、サーバ、ウェブサイト、アクセスポイント、および/または同様のものを含み得る。さらに、この一組のリソースは、リソース140(図1)を含む。いくつかの場合において、ユーザおよび/または管理者は、一組のリソース(たとえば、各々ユーザ定義されている)に関連付けられ、および/または表す識別子を入力することができる。それに加えて、各脅威と各リソースとの間の関係は、たとえば、リソース脆弱性スコアを定義することができ、および/または関連付けられ得る。言い換えると、リソース脆弱性テーブル165は、一組のリソース脆弱性スコア(図3の「R11」、「R12」、...「R55」)を含み、各々1つの脅威および1つのリソースに一意的に関連付けられる。図3に示されているように、第1の脅威および第1のリソース(たとえば、リソース140)は、第1のリソース脆弱性スコアR11に関連付けられ得る。各リソース脆弱性スコアは、本明細書においてさらに詳しく説明されているように、対応する脅威に関する対応するリソースの脆弱性のレベルに関連付けられ、および/または表す。同様の言い方をすると、リソース脆弱性スコアは、リソースが特定の脅威に対してどれだけ脆弱であるかを示すことができる。たとえば、ファイアウォールの背後でのみアクセス可能な業務用データベースは、クラウドベースのソフトウェアアズアサービス(SaaS)提供物よりも中間者(MITM)攻撃に対して一般的にあまり脆弱でない。いくつかの場合において、リソース脆弱性スコアは、数値またはパーセンテージとすることができ、より大きい数値またはパーセンテージは、対応する脅威に向かうより低い脆弱性に関連付けられる。他の場合において、リソース脆弱性スコアは、好適な任意の方式で表され得る。
[1042] いくつかの場合において、リソース脆弱性スコアは、使用される前にユーザによって割り当てられる数値であってよい。他の場合において、リソース脆弱性スコアは、ユーザおよび/または管理者によって定義された関数に基づき実行時に計算され得る。そのような場合には、リソース脆弱性スコアは、クライアントデバイス130、リソース140、アクセスのタイプ、脅威のタイプ、および/または同様のものに特有の要因に基づき変化し得る。たとえば、特定のリソースおよび脅威に対するリソース脆弱性スコアを計算するために使用される関数は、アクセスの時刻に基づくものとしてよい。そのような例では、ローカルの脅威(たとえば、会社構内の)に対するリソース脆弱性スコアは、営業時間内よりも営業時間外でより大きいものとしてよい。他の場合には、実行時にリソース脆弱性スコアを計算するために使用される関数は、時刻、クライアントデバイス130の位置、ユーザのアクセスレベル、基準に合致するトランザクション値(たとえば、閾値を超えるドル金額)、環境要因、リソース140の現在の負荷および/または利用可能な容量、および/または同様のものなどの実行時にサンプリングされる他の要因に基づくものとしてよい。
[1043] ポリシー定義モジュール113は、また、一組のリソース信頼度閾値も定義することができ、各々その一組のリソースからのリソースに一意的に関連付けられる。さらに、リソース信頼度閾値は、本明細書においてさらに詳しく説明されているように、リソース信頼度閾値ベクトル175(たとえば、図4参照)をまとめて定義することができる。
[1044] いくつかの場合において、ポリシー定義モジュール113は、データベース120において、リソース140および/または一組のリソースに関連付けられている各ユーザおよび/または人に対する一組のユーザプロファイルを定義し、記憶するように構成され得る。いくつかの場合において、ユーザプロファイルは、たとえば、名前、住所、電話番号、ピクチャ、関連付けられているデバイス(たとえば、各デバイスに対する媒体アクセス制御(MAC)アドレス)、バイオメトリックデータ、知識ベースの質問および回答、アクセス特権、認証履歴データなどの識別情報を含み得る。図2に示されていないが、他の実施形態では、プロセッサ112は、一組のユーザプロファイルを定義するように構成されているモジュールまたは同様のもの(たとえば、プロファイルモジュールまたは同様のもの)を含み得る。同様に、ポリシー定義モジュール113は、データベースに認証ポリシーを記憶するように構成されているものとして上で説明されているが、他の実施形態では、ポリシー定義モジュール113は、たとえば、データベース120にデータを記憶し、データベース120にクエリを実行し、データベース120内に記憶されているデータを更新する、などを行うように構成されているデータベースモジュールまたは同様のもの(たとえば、プロセッサ112によって、および/またはデータベース120で実行される)と通信することができる。
[1045] 認証モジュール115は、プロセッサ(またはその一部)によって実行され、認証要求および/またはデータを検証し、および/または評価することに関連付けられ得る一組の命令を含む。たとえば、いくつかの場合において、認証モジュール115は、クライアントデバイス130から認証要求を示す信号を受信し、たとえばリソース140をアクセスすることができ、クライアントデバイス130によって提供される情報を検証し、および/または認証することができる。この例では、クライアントデバイス130は、たとえば、スマートフォンなどの電子デバイスであってよい。リソース140は、ネットワークロケーション(たとえば、図1のネットワーク105内の)、インターネットの一部、ウェブサイトへのアクセス、物理的ロケーション、および/またはたとえばクライアントデバイス130のメモリ内に記憶される1つもしくは複数のアプリケーションおよび/またはデータとすることができる。認証要求は、アクセスされるべき一組のリソースからの少なくとも1つのリソース(すなわち、リソース140)を表すデータ、1つまたは複数の認証モードに関連付けられている情報および/またはデータ、ユーザプロファイル情報、および/または同様のものを含み得る。
[1046] 認証モードは、好適な任意の認証モードおよび/または方法であってよい。いくつかの場合において、認証モードは能動的であるものとしてよく、ユーザ(たとえば、クライアントデバイス130のユーザ)は、たとえば、パスワードもしくはワンタイムパスワードを入力すること、タッチセンサー式デバイス上でパターンをトレースすること、音声コマンドを発すること、認証質問に回答すること、自分の身体の一部をメトリックスキャンのために提示すること(たとえば、指紋スキャン、網膜スキャンなど)、および/または同様のものなどの認証アクションを能動的に実行する。他の場合において、認証モードは受動的であってよく、ユーザは、たとえば、地理的位置識別子(たとえば、全地球測位システム(GPS)識別子)、インターネットプロトコル(IP)アドレス、ハードトークン、セッションクッキー、ソフトウェアバージョン、近接センサー、トランザクション、バイオメトリックスキャン、またはユーザの履歴データからデータを収集および/またはサンプリングすることなどの認証アクションを能動的には実行しない。
[1047] 認証要求に含まれる1つまたは複数の認証モードは、各々、値に関連付けられ得る。認証モジュール115は、データベース(たとえば、データベース120または別個のデータベース)に記憶されている値および情報に基づきクライアントデバイス130を検証し、および/または認証することができる。たとえば、認証モジュール115が、クライアントデバイス130からユーザ名および/またはパスワードを受信する場合、認証モジュール115は、ユーザ名および/またはパスワードが正しく、有効であり、および/または一致していることを検証することができる。別の例として、認証モジュール115が、バイオメトリック認証データを受信した場合、認証モジュール115は、バイオメトリック認証データが有効であり、クライアントデバイス130の識別子に関連付けられていることを検証することができる。なおも別の例では、認証モジュール115は、クライアントデバイス130のロケーションの識別子を受信し、検証することができる。
[1048] いくつかの実施形態において、認証モジュール115は、ポリシー適用モジュール114に、クライアントデバイス130を認証するために検証され、および/または使用される認証モードのタイプの指示を与えることができる。この情報に基づき、ポリシー適用モジュール114は、図4に示されているように、認証モードベクトル150を定義することができる。認証モードベクトル150は、各認証モードに関連付けられている一組の認証モード値(図4の「A1」、「A2」、...「A6」)を含む。いくつかの場合において、値は、たとえば、バイナリであってもよい。たとえば、第1の認証モードを表す有効なデータが、クライアントデバイス130からの認証要求に含まれる場合、第1の認証モードに関連付けられている値は、たとえば、「1」であるものとしてよく、第2の認証モードを表すデータが認証要求に含まれていない場合、および/または第2の認証モードを表すデータが有効なデータでない(たとえば、不正なパスワード)場合、第2の認証モードに関連付けられている値は、たとえば、「0」とすることができる。他の実施形態では、認証モードに関連付けられている値は、たとえば、好適な任意の数または分数などの好適な値であってよい。さらに、認証モードベクトル150は、たとえば、リスク緩和テーブル155に含まれる一組の認証モードからの各認証モードに関連付けられている値を含み得る。
[1049] 他の実施形態において、認証モジュール115は、認証モードベクトル150を定義し、ポリシー適用モジュール114に送信することができる。なおも他の実施形態において、認証モジュール115は、クライアントデバイス130から受信された無効な認証データと要求されていないデータとを区別することができる。たとえば、クライアントデバイス130が、無効なパスワードを認証モジュール115に送信した場合、認証モジュール115は、クライアントデバイス130および/またはポリシー適用モジュール140に、無効なパスワードが与えられたこと、およびクライアントデバイスは、そのリソースへのアクセスを認められるべきでないことを示すことができる。しかしながら、パスワードが要求されず、または必要なかった場合、認証モジュール115は、そのようなものであるという指示をポリシー適用モジュール114に与えることができる。ポリシー適用モジュール114は、これを不正なパスワードとは異なる仕方で取り扱うことができ、他の認証モードに関連付けられている値がポリシーを満たしている場合にクライアントデバイス130のリソースへのアクセスを許可することができる。
[1050] 認証モードベクトル150が定義され、またリスク緩和テーブル155が定義されている場合(たとえば、ポリシー定義モジュール113によって)、ポリシー適用モジュール114は、脅威信頼度ベクトル160を定義し、および/または計算するように構成され得る。脅威信頼度ベクトル160は、一組の認証モードに関して各脅威に関連付けられている一組の信頼度値を含む。より具体的には、図4に示されているように、脅威信頼度ベクトル160は、認証モードベクトル150とリスク緩和テーブル155とのドット積の結果得られる一組の脅威信頼度値(図4の「AM1」、「AM2」、...「AM5」)を含み得る。したがって、各脅威信頼度値(「AM1」、「AM2」、...「AM5」)は、各認証モード値(「A1」、「A2」、...「A6」)と各脅威に関連付けられている対応するリスク緩和スコア(「M11」、「M12」、...「M65」)との積の総和に等しい。たとえば、脅威信頼度ベクトル160に含まれる第1の脅威信頼度値AM1は、第1の脅威に関連付けられ、第1の脅威に対する各認証モードのリスク緩和スコアは、リスク緩和テーブル155の第1の列(すなわち、「M11」、「M21」、「M31」、「M41」、「M51」、および「M61」)で表される。認証モードベクトル150の各認証モード値(すなわち、「A1」、「A2」、「A3」、「A4」、「A5」、「A6」)に、第1の脅威に対する対応するリスク緩和スコアを掛けて(たとえば、「A1」×「M11」、「A2」×「M21」など)、その後総和して、第1の脅威信頼度値「AM1」を定義し、計算し、および/または他の何らかの形で決定する。別の例では、脅威信頼度ベクトル160に含まれる第2の脅威信頼度値AM2は、第2の脅威に関連付けられ、第2の脅威に対する各認証モードのリスク緩和スコアは、リスク緩和テーブル155の第2の列(すなわち、「M12」、「M22」、「M32」、「M42」、「M52」、および「M62」)で表される。認証モードベクトル150の各認証モード値(すなわち、「A1」、「A2」、「A3」、「A4」、「A5」、「A6」)に、第2の脅威に対する対応するリスク緩和スコアを掛けて(たとえば、「A1」×「M12」、「A2」×「M22」など)、その後総和して、第1の脅威信頼度値「AM2」を定義し、計算し、および/または他の何らかの形で決定する。残りの脅威信頼度値AM3、AM4、およびAM5も、同様に定義され得る。
[1051] 認証モード値がバイナリである場合(すなわち、認証要求に含まれる場合に「1」または認証要求に含まれない場合に「0」)、各脅威信頼度値は、たとえば、(1)その脅威および(2)認証要求に含まれる認証モードに関連付けられている認証モード値(すなわち、「1」に等しい認証モード値)に対応するリスク緩和スコアの総和の結果得られる。したがって、脅威信頼度ベクトル160に含まれる各脅威信頼度値は、その脅威に関する認証要求に含まれる認証モードの緩和強度を表すことができる。
[1052] 脅威信頼度ベクトル160が定義され、またリソース脆弱性テーブル165が定義されている場合(たとえば、ポリシー定義モジュール113によって)、ポリシー適用モジュール114は、リソース信頼度ベクトル170を定義し、および/または計算するように構成され得る。リソース信頼度ベクトル170は、一組の認証モードに関して各脅威に関連付けられている一組の信頼度値を含む。より具体的には、図4に示されているように、リソース信頼度ベクトル170は、脅威信頼度ベクトル160とリソース脆弱性テーブル165とのドット積の結果得られる一組のリソース信頼度値(図4の「C1」、「C2」、...「C5」)を含み得る。したがって、各リソース信頼度値(「C1」、「C2」、...「C5」)は、各脅威信頼度値(「AM1」、「AM2」、...「AM5」)と各リソースに関連付けられている対応するリソース脆弱性スコア(「R11」、「R12」、...「R55」)との積の総和に等しい。たとえば、リソース信頼度ベクトル170に含まれる第1の脅威信頼度値C1は、上で詳しく説明されているように、各脅威に関する第1のリソース(たとえば、リソース140)に対する各リソース脆弱性スコア(すなわち、「R11」、「R21」、「R31」、「R41」、および「R51」)と脅威信頼度ベクトル160の対応する脅威信頼度値との積の総和に等しい。
[1053] リソース信頼度ベクトル170に含まれる各リソース信頼度値は、脅威の効果を緩和し、および/または脅威がリソースに影響を及ぼすのを防止するためにリソース(たとえば、リソース140)にアクセスするための認証要求に含まれる認証モードに関連付けられている信頼度を表すものとしてよい。いくつかの場合において、各リソース信頼度値は、パーセンテージとすることができる。他の場合において、各リソース信頼度値は、数値とすることができる。各リソース信頼度値は、分数であってよいが(すなわち、1の)、リソース信頼度値は、パーセンテージを表している必要はない。すなわち、リソース信頼度値は、与えられたリソースへの脅威を防ぐために一組の認証モードに対する信頼度に関連付けられているパーセンテージ値に対応している必要はない。さらに、リソース信頼度ベクトル170が定義されていれば、ポリシー適用モジュール114は、プロセッサに各リソース信頼度値とポリシー定義モジュール113によって定義されているリソース信頼度閾値ベクトル175に含まれる対応するリソース信頼度閾値(すなわち、「T1」、「T2」、「T3」、「T4」、または「T5」)との比較を行わせる一組の命令またはコードを実行することができる。より具体的には、いくつかの場合において、リソース信頼度閾値は、管理者または同様のものによって定義されるものとしてよく、認証要求を肯定的に検証するように満たされるべき閾値または基準を定義し、および/または確立することができる。したがって、リソース信頼度値が基準を満たしている(たとえば、対応するリソース信頼度閾値を越える)場合、ポリシー適用モジュール114は、認証要求(すなわち、クライアントデバイス130からの)に関連付けられている肯定的検証を定義することができ、肯定的検証に関連付けられている信号を、たとえば、通信モジュール118に送信することができる。次いで、通信モジュール118は、クライアントデバイス130(したがって、そのユーザ)が肯定的検証に基づきリソース140にアクセスすることを可能にする命令を示す信号をクライアントデバイス130および/またはリソース140に送信することができる。いくつかの実施形態において、ポリシー適用モジュール114は、リソース140へのアクセスをクライアントデバイス130に認める。
[1054] いくつかの場合において、リソース信頼度値(たとえば、リソース140に関連付けられている)は、クライアントデバイス130が肯定的に検証された(すなわち、アクセスを認められた)後のある期間にわたってその値を喪失することがあり得る。たとえば、図5のグラフに示されているように、時刻t0において、リソース信頼度値は、たとえば、クライアントデバイス130を認証するのに十分であり得る。しかしながら、リソース信頼度値は、時刻t0における第1の値V1から、時刻t1における第2の値V2まで減少し得る。いくつかの場合において、第2の値V2は、クライアントデバイス130に関連付けられている認証が、もはや有効でなく、そのようなものとして、たとえばリソース140へのアクセスが拒否され得るような値である。そのようなものとして、いくつかの場合において、認証アクションは、クライアントデバイス130および/またはクライアントデバイス130のユーザを再び認証するために実行され得る。いくつかの場合において、そのような認証アクションは、ユーザが複数の能動的な認証モードを与えることを含み得るが、これは不都合である場合がある。したがって、いくつかの場合において、ポリシー適用モジュール114および/または認証モジュール115は、通信モジュール118を介して、クライアントデバイス130によるアクセスが拒否される前にクライアントデバイス130から認証データの要求を送信するように構成され得る。たとえば、いくつかの場合において、時刻t0において、リソース信頼度値は、クライアントデバイス130を認証するのに十分であり得る。しかしながら、図5を参照しつつ上で説明されているように、リソース信頼度値は、時刻t0における第1の値V1から、時刻t1における第2の値V2まで減少し得る。リソース信頼度値を時間の経過とともに減少させ、所定の時間が経過した後にユーザに再認証を要求することで、リソースのセキュリティが高まる。そのような再認証に使用される認証モードは、特定のリソース、そのリソースで生じる可能性が最も高い脅威、そのような脅威を緩和する認証モードの有効性、最後に認証してから経過した時間、および/または同様のものに基づき選択され得る。これは、ユーザに対する負担を低減しながら最も関連性の高い脅威を緩和するようにセキュリティを高める。
[1055] 図6に示されているように、いくつかの実施形態において、ポリシー定義モジュール113および/またはポリシー適用モジュール114は、閾値Vtを定義することができる。リソース信頼度値の減少は、時刻t2において、リソース信頼度値が、たとえば、基準を満たし、そのようなものとして、ポリシー適用モジュール114および/または認証モジュール115が認証データに対する要求に関連付けられている信号をクライアントデバイス130に(たとえば、通信モジュール118を介して)送信できるような値であるものとしてよい。したがって、それに応答して、クライアントデバイス130は、1つまたは複数の認証モード(たとえば、パスワード、バイオメトリックスキャン、および/または同様のものなどの能動的な認証モード、IPアドレス、地理的位置、MACアドレス、および/または同様のものなどの受動的な認証モード、またはこれらの組合せ)を含み得る認証データを定義することができ、認証データを含む信号をホストデバイス110に(たとえば、通信モジュール118を介して)送信することができる。そのようなものとして、クライアントデバイス130は、認証が拒否されることなく(たとえば、認証モジュール115およびポリシー適用モジュール114によって)再認証され得る。いくつかの場合において、認証を拒否されない結果、脅威信頼度値(たとえば、脅威信頼度ベクトル160に含まれる)および/または再認証に際して満たされる基準が下げられ得る。言い換えれば、クライアントデバイス130の再認証は、いくつかの場合において、再認証にそのまま十分でありながらt2におけるリソース信頼度値がt0におけるリソース信頼度値よりも小さいようなものとなり得る。
[1056] いくつかの実施形態において、ポリシー適用モジュール114は適応的であるものとしてよい。たとえば、いくつかの場合において、認証データに対する要求に応答してクライアントデバイス130から認証モジュール115に送信される認証データは、更新されたリソース信頼度値が閾値を超えるようなデータであり得る。そのようなものとして、ポリシー適用モジュール114は、要求される認証モードの数を減らし、能動的な認証モードではなく受動的な認証モードを要求し、および/または同様のことを行うように構成され得る。いくつかの場合において、ポリシー適用モジュール114は、クライアントデバイス130および/またはクライアントデバイス130に関するユーザの挙動に適応し、クライアントデバイス130が能動的な認証モードなしで1つまたは複数の受動的な認証モードを含む認証データを送信するようにできる。したがって、クライアントデバイス130および/またはクライアントデバイス130のユーザは、能動的な認証モードなしで認証されたままにできる。これは、ユーザに対する負担を低減しながら最も関連性の高い脅威を緩和するようにセキュリティを高める。
[1057] 図7は、システム100を使用する認証プロセスの一例である。図示されているように、ポリシー定義モジュール113は、リスク緩和テーブル255およびリソース脆弱性テーブル265を定義する命令を示す信号(たとえば、ユーザ入力または同様のもの)を受信することができる。上で説明されているように、リスク緩和テーブル255は、一組の認証モードと一組の脅威との間の1つまたは複数の関係を定義する。より具体的には、認証モードは、2つの能動的な認証モード、すなわち、「パスワード」と「ユーザID」と、および2つの受動的な認証モード、すなわち、「IPアドレス」と「地理的位置」を含む。この一組の脅威は、「リモート」脅威(たとえば、上で説明されているもののうちのどれかなど)、「ローカル」脅威(たとえば、上で説明されているもののうちのどれかなど)、および「盗まれた資格証明書」脅威を含む。
[1058] いくつかの場合において、ユーザおよび/または管理者は、一組の脅威に対する識別子および一組の認証モード(たとえば、各々ユーザ定義されている)に対する識別子を入力することができる。それに加えて、各認証モードと各脅威との間の関係は、たとえば、リスク緩和スコアを定義することができ、および/または関連付けられ得る。言い換えれば、リスク緩和テーブル255は、一組のリスク緩和スコアを含み、および/または定義する。特に図示されているように、認証モード「パスワード」は、「リモート」脅威に関連付けられている「0.2」、「ローカル」脅威に関連付けられている「0.2」、および「盗まれた資格証明書」脅威に関連付けられている「0.0」のリスク緩和スコアを有し、認証モード「ユーザID」は、「リモート」脅威に関連付けられている「0.3」、「ローカル」脅威に関連付けられている「0.3」、および「盗まれた資格証明書」脅威に関連付けられている「0.0」のリスク緩和スコアを有し、認証モード「IPアドレス」は、「リモート」脅威に関連付けられている「0.1」、「ローカル」脅威に関連付けられている「0.2」、および「盗まれた資格証明書」脅威に関連付けられている「0.1」のリスク緩和スコアを有し、認証モード「地理的位置」は、「リモート」脅威に関連付けられている「0.2」、「ローカル」脅威に関連付けられている「0.3」、および「盗まれた資格証明書」脅威に関連付けられている「0.4」のリスク緩和スコアを有する。さらに拡大すると、いくつかの場合において、より大きいリスク緩和スコアは、対応する脅威に関するより大きい緩和強度に関連付けられ得る。たとえば、「パスワード」認証モードは、「リモート」脅威および「ローカル」脅威からの実質的に同じ緩和強度を有することができるが、実質的には、「盗まれた資格証明書」脅威に関して緩和をもたらさない。認証モードを特定の脅威に関連付けることで、最も関連性の高い脅威についてデバイスのセキュリティを高め、その一方で無関係のおよび/または可能性のない脅威についてはユーザの負担を低減する。
[1059] リソース脆弱性テーブル265は、一組のリソースと一組の脅威との間の1つまたは複数の関係を定義する。図7に示されているように、この一組のリソースは、第1のリソース「R1」、第2のリソース「R2」、および第3のリソース「R3」を含む。リソース「R1」、「R2」、および「R3」は、上で説明されているような好適な任意のリソースとすることができる。各リソースと各脅威との間の関係は、たとえば、リソース脆弱性スコアを定義することができ、および/または関連付けられ得る。特に、第1のリソース「R1」は、「リモート」脅威に関連付けられている「0.2」、「ローカル」脅威に関連付けられている「0.3」、および「盗まれた資格証明書」脅威に関連付けられている「0.5」のリソース脆弱性スコアを有し、第2のリソース「R2」は、「リモート」脅威に関連付けられている「0.5」、「ローカル」脅威に関連付けられている「0.4」、および「盗まれた資格証明書」脅威に関連付けられている「0.5」のリソース脆弱性スコアを有し、第3のリソース「R3」は、「リモート」脅威に関連付けられている「0.7」、「ローカル」脅威に関連付けられている「0.6」、および「盗まれた資格証明書」脅威に関連付けられている「0.6」のリソース脆弱性スコアを有する。さらに拡大すると、いくつかの場合において、より大きいリソース脆弱性スコアは、対応する脅威に関するより低い脆弱性に関連付けられ得る。たとえば、建物および/または建物の一部などのリソース(またはそれへのアクセスを許可する際に動作可能であるアクセスポイント)は、「リモートを」脅威に関する比較的大きいリソース脆弱性スコアを有することができるが(たとえば、少なくとも一部はリソースが物理的ロケーションであることに基づく)、「ローカル」脅威および/または「盗まれた資格証明書」脅威に関して比較的小さいリソース脆弱性を有することができる。これは、リソースに対するその脅威に対抗するセキュリティを高めるうえでリソースに対する最大のリスクを有する脅威を強調する。
[1060] ポリシー定義モジュール113は、また、一組のリソース信頼度閾値を含み、および/または定義するリソース信頼度閾値ベクトル275も定義し、各々その一組のリソースからのリソースに一意的に関連付けられる。特に、ポリシー定義モジュール113は、第1のリソース「R1」に対する「0.15」のリソース信頼度閾値、第2のリソース「R2」に対する「0.2」のリソース信頼度閾値、および第3のリソース「R3」に対する「0.25」のリソース信頼度閾値を定義することができる。この方式で、リソース信頼度値は、各々、たとえば、本明細書でさらに詳しく説明されているように、満たされる、超えられる、および/または他の何らかの形で肯定的認証を定義するように満たされる閾値および/または基準を定義することができる。
[1061] 使用時に、ホストデバイス110およびより具体的には、ポリシー適用モジュール114は、たとえばクライアントデバイス130から認証要求を示す信号を受信し、たとえば、リソース140にアクセスすることができる。上で説明されているように、ポリシー適用モジュール114は、認証ポリシー(たとえば、リスク緩和テーブル255およびリソース脆弱性テーブル265)に少なくとも一部は基づきリソースへのアクセスを承認または拒否するように構成され得る。認証要求は、とりわけ、1つまたは複数の認証モードを表すデータを含み得る。この例では、認証要求は、「IPアドレス」認証モード(たとえば、クライアントデバイス130のIPアドレス)を含み得る。認証要求に含まれる1つまたは複数の認証モードは、各々、認証モード値に関連付けられるものとしてよく、図7に示されているように、認証モードベクトル250をまとめて定義することができる。いくつかの場合において、認証モード値は、たとえば、バイナリであってもよい。したがって、この例では、「パスワード」、「ユーザID」、および「地理的位置」に対する認証モード値は、各々、「0」に等しいが、「IPアドレス」の認証モード値は、「1」に等しい。
[1062] 認証モードベクトル250が定義され(たとえば、ポリシー適用モジュール114によって)またリスク緩和テーブル255が定義されている(たとえば、ポリシー定義モジュール113によって)場合、ポリシー適用モジュール114は、脅威信頼度ベクトル260を定義し、および/または計算することができる。脅威信頼度ベクトル260は、一組の認証モードに関して各脅威に関連付けられている一組の脅威信頼度値を含む。脅威信頼度ベクトル260に含まれる各脅威信頼度値は、その脅威に関する認証要求に含まれる認証モードの緩和強度を表す。より具体的には、脅威信頼度値は、図4を参照しつつ上で詳しく説明されているように、認証モードベクトル250とリスク緩和テーブル255とのドット積の結果である。したがって、「リモート」脅威に関連付けられている脅威信頼度値は「0.1」であり、「ローカル」脅威に関連付けられている脅威信頼度値は「0.2」であり、「盗まれた資格証明書」脅威に関連付けられている脅威信頼度値は「0.1」である。
[1063] 脅威信頼度ベクトル260が定義され(たとえば、ポリシー適用モジュール114によって)またリソース脆弱性テーブル265が定義されている(たとえば、ポリシー定義モジュール113によって)場合、ポリシー適用モジュール114は、リソース信頼度ベクトル270を定義し、および/または計算するように構成され得る。リソース信頼度ベクトル270は、一組のリソースに関して各脅威に関連付けられている一組のリソース信頼度値を含む。脅威信頼度ベクトル260を参照しつつ上で説明されているように、リソース信頼度値は、脅威信頼度ベクトル260とリソース脆弱性テーブル265とのドット積の結果である。したがって、図7に示されているように、第1のリソース「R1」に関連付けられているリソース信頼度値は「0.13」であり、第2のリソース「R2」に関連付けられているリソース信頼度値は「0.18」であり、第3のリソース「R3」に関連付けられているリソース信頼度値は「0.25」である。
[1064] リソース信頼度ベクトル270に含まれる各リソース信頼度値は、上で詳しく説明されているように「リモート」脅威、「ローカル」脅威、および「盗まれた資格証明書」脅威の効果を緩和し、および/またはそれが対応するリソース「R1」、「R2」、または「R3」に影響を及ぼすのを防ぐ「IPアドレス」認証モードの能力に関連付けられている信頼度を表す。リソース信頼度ベクトル270が定義されていれば、ポリシー適用モジュール114は、プロセッサに各リソース信頼度値とポリシー定義モジュール113(上で説明されている)によって定義されているリソース信頼度閾値ベクトル275に含まれる対応するリソース信頼度閾値との比較を行わせる一組の命令またはコードを実行することができる。特に、「0.13」の「R1」に対するリソース信頼度値は、「0.15」の「R1」に対するリソース信頼度閾値と比較され、「0.18」の「R2」に対するリソース信頼度値は、「0.2」の「R2」に対するリソース信頼度閾値と比較され、「0.25」の「R3」に対するリソース信頼度値は、「0.25」の「R3」に対するリソース信頼度閾値と比較される。
[1065] したがって、この例では、たとえば、クライアントデバイス130の「IPアドレス」を使用する受動的な認証モードは、第3のリソース「R3」へのアクセスを許可するのに十分であるが、第1のリソース「R1」および第2のリソース「R2」へのアクセスを許可するのには不十分である。すなわち、いくつかの場合において、第3のリソース「R3」に関連付けられているリソース信頼度値は、基準を満たし、そのようなものとして、ポリシー適用モジュール114は、肯定的認証を定義し、および/または検証することができる。逆に、第1のリソース「R1」および第2のリソース「R2」に関連付けられているリソース信頼度値は、対応する基準を満たさず、そのようなものとして、認証モードは、否定的認証を定義する(たとえば、認証または同様のものを拒否する)ことができる。それに応答して、ホストデバイス110は、クライアントデバイス130および/または第3のリソース「R3」(たとえば、リソース140)に肯定的認証を示す信号を送信することができる。上で各リソース「R1」、「R2」、および「R3」に対するリソース信頼度値を定義するものとして説明されているが、いくつかの場合において、認証要求は、アクセスされるべき所望のリソースに関連付けられているデータを含み得る。そのようなとして、ポリシー適用モジュール114は、一組のリソースからの残りのリソースに対するリソース信頼度値を定義することなくアクセスされるべき所望のリソースに関連付けられている単一のリソース信頼度値を定義するように構成され得る。
[1066] 図8は、システム100を使用する認証プロセスの別の例である。図示されているように、ポリシー定義モジュール113は、リスク緩和テーブル355およびリソース脆弱性テーブル365を定義する命令を示す信号(たとえば、ユーザ入力または同様のもの)を受信することができる。図示されているように、リスク緩和テーブル355およびリソース脆弱性テーブル365は、図7に示されているリスク緩和テーブル255およびリソース脆弱性テーブル265と同じである。そこで、リスク緩和テーブル355は、上で説明されているように、(1)2つの能動的な認証モード、すなわち、「パスワード」および「ユーザID」ならびに2つの受動的な認証モード、すなわち、「IPアドレス」および「地理的位置」を含む一組の認証モードと(2)「リモート」脅威、「ローカル」脅威、および「盗まれた資格証明書」脅威を含む一組の脅威との間の1つまたは複数の関係を定義する。リスク緩和テーブル355は、上で説明されているように、一組のリスク緩和スコアを含み、および/または定義する。特に図示されているように、認証モード「パスワード」は、「リモート」脅威に関連付けられている「0.2」、「ローカル」脅威に関連付けられている「0.2」、および「盗まれた資格証明書」脅威に関連付けられている「0.0」のリスク緩和スコアを有し、認証モード「ユーザID」は、「リモート」脅威に関連付けられている「0.3」、「ローカル」脅威に関連付けられている「0.3」、および「盗まれた資格証明書」脅威に関連付けられている「0.0」のリスク緩和スコアを有し、認証モード「IPアドレス」は、「リモート」脅威に関連付けられている「0.1」、「ローカル」脅威に関連付けられている「0.2」、および「盗まれた資格証明書」脅威に関連付けられている「0.1」のリスク緩和スコアを有し、認証モード「地理的位置」は、「リモート」脅威に関連付けられている「0.2」、「ローカル」脅威に関連付けられている「0.3」、および「盗まれた資格証明書」脅威に関連付けられている「0.4」のリスク緩和スコアを有する。
[1067] リソース脆弱性テーブル365は、(1)第1のリソース「R1」、第2のリソース「R2」、および第3のリソース「R3」を含む一組のリソースと(2)一組の脅威との間の1つまたは複数の関係を定義する。リソース脆弱性テーブル365は、上で説明されているように、一組のリソース脆弱性スコアを含み、および/または定義する。特に、第1のリソース「R1」は、「リモート」脅威に関連付けられている「0.2」、「ローカル」脅威に関連付けられている「0.3」、および「盗まれた資格証明書」脅威に関連付けられている「0.5」のリソース脆弱性スコアを有し、第2のリソース「R2」は、「リモート」脅威に関連付けられている「0.5」、「ローカル」脅威に関連付けられている「0.4」、および「盗まれた資格証明書」脅威に関連付けられている「0.5」のリソース脆弱性スコアを有し、第3のリソース「R3」は、「リモート」脅威に関連付けられている「0.7」、「ローカル」脅威に関連付けられている「0.6」、および「盗まれた資格証明書」脅威に関連付けられている「0.6」のリソース脆弱性スコアを有する。ポリシー定義モジュール113は、また、一組のリソース信頼度閾値も定義し、各々その一組のリソースからのリソースに一意的に関連付けられる。特に、ポリシー定義モジュール113は、第1のリソース「R1」に対する「0.15」のリソース信頼度閾値、第2のリソース「R2」に対する「0.2」のリソース信頼度閾値、および第3のリソース「R3」に対する「0.25」のリソース信頼度閾値を定義することができる。
[1068] ポリシー定義モジュール113は、また、一組のリソース信頼度閾値を含み、および/または定義するリソース信頼度閾値ベクトル375も定義し、各々その一組のリソースからのリソースに一意的に関連付けられる。特に、ポリシー定義モジュール113は、第1のリソース「R1」に対する「0.15」のリソース信頼度閾値、第2のリソース「R2」に対する「0.2」のリソース信頼度閾値、および第3のリソース「R3」に対する「0.25」のリソース信頼度閾値を定義することができる。この方式で、リソース信頼度値は、各々、たとえば、本明細書でさらに詳しく説明されているように、満たされる、超えられる、および/または他の何らかの形で肯定的認証を定義するように満たされる閾値および/または基準を定義することができる。
[1069] 使用時に、ホストデバイス110およびより具体的には、ポリシー適用モジュール114は、たとえばクライアントデバイス130から認証要求を示す信号を受信し、たとえば、リソース140にアクセスすることができる。上で説明されているように、認証要求は、とりわけ、1つまたは複数の認証モードを表すデータを含み得る。認証要求に含まれる1つまたは複数の認証モードは、各々、認証モード値に関連付けられるものとしてよく、認証モードベクトル350をまとめて定義することができる。この例では、認証要求は、能動的な認証モード「パスワード」および受動的な認証モード「IPアドレス」を表すデータを含む。したがって、上で詳しく説明されているように、「ユーザID」および「地理的位置」に対する認証モード値は、各々、「0」に等しいが、「パスワード」および「IPアドレス」に対する認証モード値は、各々「1」に等しい。認証モードベクトル350が定義され(たとえば、ポリシー適用モジュール114によって)またリスク緩和テーブル355が定義されている(たとえば、ポリシー定義モジュール113によって)場合、ポリシー適用モジュール114は、脅威信頼度ベクトル360を定義し、および/または計算することができる。脅威信頼度ベクトル360は、上で詳しく説明されているように、一組の認証モードに関して各脅威に関連付けられている一組の脅威信頼度値を含む。脅威信頼度ベクトル360に含まれる各脅威信頼度値は、その脅威に関する認証要求に含まれる認証モードの緩和強度を表す。より具体的には、脅威信頼度値は、図4を参照しつつ上で詳しく説明されているように、認証モードベクトル350とリスク緩和テーブル355とのドット積の結果である。したがって、「リモート」脅威に関連付けられている脅威信頼度値は「0.3」であり、「ローカル」脅威に関連付けられている脅威信頼度値は「0.4」であり、「盗まれた資格証明書」脅威に関連付けられている脅威信頼度値は「0.1」である。
[1070] 脅威信頼度ベクトル360が定義され(たとえば、ポリシー適用モジュール114によって)またリソース脆弱性テーブル365が定義されている(たとえば、ポリシー定義モジュール113によって)場合、ポリシー適用モジュール114は、一組のリソースに関して各脅威に関連付けられている一組のリソース信頼度値を含むリソース信頼度ベクトル370を定義し、および/または計算するように構成され得る。脅威信頼度ベクトル360を参照しつつ上で説明されているように、リソース信頼度値は、脅威信頼度ベクトル360とリソース脆弱性テーブル365とのドット積の結果である。したがって、図8に示されているように、第1のリソース「R1」に関連付けられているリソース信頼度値は「0.23」であり、第2のリソース「R2」に関連付けられているリソース信頼度値は「0.36」であり、第3のリソース「R3」に関連付けられているリソース信頼度値は「0.51」である。
[1071] リソース信頼度ベクトル370に含まれる各リソース信頼度値は、「パスワード」認証モードおよび「IPアドレス」認証モードの組合せに基づき一組の脅威(すなわち、「リモート」、「ローカル」、および「盗まれた資格証明書」)の効果を緩和し、および/またはそれが対応するリソース「R1」、「R2」、または「R3」に影響を及ぼすのを防ぐ能力に関連付けられている信頼度を表す。リソース信頼度ベクトル370が定義されていれば、ポリシー適用モジュール114は、プロセッサに各リソース信頼度値とポリシー定義モジュール113(上で説明されている)によって定義されているリソース信頼度閾値ベクトル375に含まれる対応するリソース信頼度閾値との比較を行わせる一組の命令またはコードを実行することができる。特に、「0.23」の「R1」に対するリソース信頼度値は、「0.15」の「R1」に対するリソース信頼度閾値と比較され、「0.36」の「R2」に対するリソース信頼度値は、「0.2」の「R2」に対するリソース信頼度閾値と比較され、「0.51」の「R3」に対するリソース信頼度値は、「0.25」の「R3」に対するリソース信頼度閾値と比較される。したがって、この例では、「パスワード」および「IPアドレス」(たとえば、認証要求の送信元であったクライアントデバイス130の)を使用する認証モードは、上で詳しく説明されているように、各リソース「R1」、「R2」、および「R3」へのアクセスを許可するのに十分である。第2の認証モード(すなわち、「パスワード」認証モード)を追加することで各リソースに関連付けられているリソース信頼度値を、各リソースに対するクライアントデバイス130(またはそのユーザ)の肯定的認証を行うのに十分な量だけ高める。それに応答して、ホストデバイス110は、クライアントデバイス130および/または一組のリソースに肯定的認証を示す信号を送信することができる。いくつかの実施形態において、そのような信号および/または肯定的認証は、一組のリソースへのアクセスをクライアントデバイス130に認めることができる。
[1072] 図9は、一実施形態による脅威ベース認証システムを使用する方法10を例示するフローチャートである。脅威ベース認証システムは、好適な任意の構成をとることができる。たとえば、いくつかの実施形態において、そのような脅威ベース認証システムは、上で説明されているシステム100と実質的に類似するか、または同じであるものとしてよい。方法10は、11(たとえば、認証情報、認証モードベクトルなど)で、ホストデバイスにおいて(たとえば、クライアントデバイスまたは識別情報プロバイダから)、一組のリソースからのリソースにアクセスするための認証要求を示す信号を受信することを含む。いくつかの実施形態において、ホストデバイスは、図1および図2のホストデバイス110に実質的に類似しているか、または同じであるものとしてよく、クライアントデバイスは、図1のクライアントデバイス130に実質的に類似しているか、または同じであるものとしてよく、リソースは、図1のリソース140に実質的に類似しているか、または同じであるものとしてよい。より具体的には、いくつかの実施形態において、クライアントデバイスは、たとえば、PC、ラップトップ、タブレット、スマートフォンなどの電子デバイスであってよい。他の実施形態では、クライアントデバイスは、キーフォブ、キーカード、読み取り可能磁気ストリップを備えるカード、および/または他の任意の好適な資格証明書などの、受動的なデバイスまたは同様のものであってよい。リソースは、たとえば、電子デバイス、および/または電子デバイスのメモリに記憶されているソフトウェアアプリケーション、サーバ、サーバのグループ、ネットワーク、仮想ネットワーク、ネットワークロケーション、ネットワークデバイス、ウェブサイト、建物などの物理的ロケーションまたは構造体、建物の一部、ボールト、および/または本明細書で説明されている他のリソースであってよい。いくつかの実施形態において、リソースおよびクライアントデバイスは、同じデバイスに含まれるものとしてよく、および/また同じデバイスであってよい。認証要求は、クライアントデバイスおよび/またはクライアントデバイスのユーザに関連付けられている認証データさらにはアクセスされるべき所望のリソースに関連付けられているデータを含み得る。たとえば、いくつかの実施形態において、認証要求は、1つまたは複数の認証モードおよび/または方法を表すデータ、ユーザプロファイル、リソース識別子、および/または同様のものを含み得る。上で詳しく説明されているように、1つまたは複数の認証モードは、たとえば、能動的な認証モード、受動的な認証モード、および/またはこれらの組合せであってよい。
[1073] 認証要求に関連付けられているリソース信頼度値は、12で、(1)一組の脅威からの各脅威に対する少なくとも1つのリスク緩和スコアに関連付けられている脅威信頼度ベクトル、および(2)リソースおよび一組の脅威からの各脅威に関連付けられている一組のリソース脆弱性スコアに少なくとも一部は基づき計算される。さらに拡大すると、ホストデバイスは、たとえば、少なくともリスク緩和テーブル、リソース脆弱性テーブル、および一組のリソースからの各リソースに関連付けられているリソース信頼度閾値を含む認証ポリシーを定義することができるポリシー定義モジュール(たとえば、ポリシー定義モジュール113)または同様のもの備えることができる。たとえば、リスク緩和テーブルは、リスク緩和テーブル155、255、および/または355に類似しているものとしてよく(少なくとも形態および/または機能に関して)、リソース脆弱性テーブルは、リソース脆弱性テーブル165、265、および/または365に類似しているものとしてよい(少なくとも形態および/または機能に関して)。したがって、リスク緩和テーブルは、各脅威に対する少なくとも1つのリスク緩和スコアを含むことができ、リソース脆弱性テーブルは、図3および図4を参照しつつ上で詳しく説明されているように、リソースおよび一組の脅威からの各脅威に関連付けられている一組のリソース脆弱性スコアを含むものとしてよい。上で説明されているように、各リソースに対するリソース信頼度閾値(本明細書ではリソース信頼度基準とも称される)は、リソース信頼度閾値ベクトル175、275、および/または375に類似しているものとしてよい(少なくとも形態および/または機能に関して)リソース信頼度閾値ベクトルに含まれるものとしてよく、および/または定義することができる。いくつかの場合において、一組のリソースからの各リソースに関連付けられているリソース信頼度閾値は、図4、図7、および図8を参照しつつ上で詳しく説明されているように、一組の脅威の効果を緩和し、および/または一組の脅威が一組のリソースからの各リソースに影響を及ぼすのを防止するレベル、強度、および/または能力に関連付けられている基準または同様のものを定義することができる。
[1074] 上で説明されているように、ホストデバイスおよび/またはポリシー適用モジュールたとえば、ポリシー適用モジュール114)は、認証要求および認証ポリシーに含まれる認証データ(すなわち、リスク緩和テーブル、リソース脆弱性テーブル、およびリソース信頼度閾値ベクトル)に基づき認証要求に関連付けられているリソース信頼度値を計算することができる。より具体的には、ホストデバイスは、認証要求およびリスク緩和テーブルに含まれる1つまたは複数の認証モードのドット積に基づき脅威信頼度ベクトルを定義し、および/または計算することができる。この方式で、脅威信頼度ベクトルは、図4を参照しつつ上で詳しく説明されているように、各脅威に関する認証要求に含まれる1つまたは複数の認証モードの緩和強度に関連付けられおよび/またはそれを表す一組の脅威からの各脅威に対する脅威信頼度値を含み得る。同様に、ホストデバイスは、脅威信頼度ベクトルとリソース脆弱性テーブルのドット積に基づき認証要求に関連付けられているリソース信頼度値を定義し、および/または計算することができる。この方式で、一組のリソースからのリソースにアクセスするための認証要求に関連付けられているリソース信頼度値は、認証要求に含まれる1つまたは複数の認証モードに基づき一組の脅威の効果を緩和し、および/または一組の脅威が一組のリソースからのリソースに影響を及ぼすのを実質的に防止する能力に関連付けられ、および/またはそれを表す。
[1075] 計算された後、一組のリソースからのリソースに関連付けられているリソース信頼度値は、13で、一組のリソースからのリソースに関連付けられているリソース信頼度閾値と比較される。上で説明されているように、リソース信頼度閾値は、一組の脅威の効果を緩和し、および/または一組の脅威が一組のリソースからのリソースに影響を及ぼすのを防止するレベル、強度、および/または能力に関連付けられている基準または同様のものを定義することができる。したがって、リソース信頼度値が、リソース信頼度閾値によって確立され、および/または定義されている基準を満たす場合に、ホストデバイスは、図4を参照しつつ上で詳しく説明されているように、認証要求に関連付けられている肯定的認証を定義するものとしてよく、および/または検証することができる。そのようなものとして、ホストデバイスは、14のようにリソース信頼度値がリソース信頼度基準を満たしたときに肯定的認証を示す信号を(たとえば、クライアントデバイスまたは識別情報プロバイダに)送信することができる。いくつかの場合において、クライアントデバイスの肯定的認証は、クライアントデバイスおよび/またはそのユーザが一組のリソースからのリソースにアクセスすることを許可する上で動作可能である。
[1076] 図10は、一実施形態による脅威ベース認証システムを使用する方法20を例示するフローチャートである。脅威ベース認証システムは、好適な任意の構成をとることができる。たとえば、いくつかの実施形態において、そのような脅威ベース認証システムは、上で説明されているシステム100と実質的に類似するか、または同じであるものとしてよい。方法20は、21(たとえば、認証情報、認証モードベクトルなど)で、ホストデバイスにおいて(たとえば、クライアントデバイスまたは識別情報プロバイダから)、第1の認証モードおよび第1の認証モードと異なる第2の認証モードに関連付けられているデータを含むリソースにアクセスするための認証要求を示す信号を受信することを含む。いくつかの実施形態において、ホストデバイスは、図1および図2のホストデバイス110に実質的に類似しているか、または同じであるものとしてよく、クライアントデバイスは、図1のクライアントデバイス130に実質的に類似しているか、または同じであるものとしてよく、リソースは、図1のリソース140に実質的に類似しているか、または同じであるものとしてよい。より具体的には、いくつかの実施形態において、クライアントデバイスは、たとえば、PC、ラップトップ、タブレット、スマートフォンなどの電子デバイスであってよい。他の実施形態では、クライアントデバイスは、キーフォブ、キーカード、読み取り可能磁気ストリップを備えるカード、および/または他の任意の好適な資格証明書などの、受動的なデバイスまたは同様のものであってよい。リソースは、たとえば、電子デバイス、および/または電子デバイスのメモリに記憶されているソフトウェアアプリケーション、サーバ、サーバのグループ、ネットワーク、仮想ネットワーク、ネットワークロケーション、ネットワークデバイス、ウェブサイト、建物などの物理的ロケーションまたは構造体、建物の一部、ボールト、および/または本明細書で説明されている他のリソースであってよい。いくつかの実施形態において、リソースおよびクライアントデバイスは、同じデバイスに含まれるものとしてよく、および/また同じデバイスであってよい。第1の認証モードおよび第2の認証モードは、本明細書で説明されているような好適な任意の認証モードとすることができる。たとえば、いくつかの場合において、第1の認証モードは、たとえば、パスワード、入力、音声コマンド、バイオメトリックスキャン、および/または同様のものなどの能動的な認証モードであってよく、第2の認証モードは、たとえば、IPアドレス、地理的位置、センサー出力(たとえば、クライアントデバイスに含まれるか、または搭載されている加速度計、ジャイロスコープ、光センサーなどからの)などの受動的な認証モードであってよい。他の場合において、第1の認証モードおよび第2の認証モードは、各々、能動的な認証モードであるか、または各々、受動的な認証モードであってよい。
[1077] 脅威信頼度ベクトルは、22で、(1)第1の認証モードおよび一組の脅威に関連付けられているリスク緩和スコア、ならびに(2)第2の認証モードおよび一組の脅威に関連付けられているリスク緩和スコアに基づき計算される。さらに拡大すると、ホストデバイスは、たとえば、少なくともリスク緩和テーブル、リソース脆弱性テーブル、および一組のリソースからの各リソースに関連付けられているリソース信頼度閾値を含む認証ポリシーを定義することができるポリシー定義モジュール(たとえば、ポリシー定義モジュール113)または同様のもの備えることができる。さらに、ホストデバイスおよび/またはその中に含まれるポリシー適用モジュール(たとえば、ポリシー適用モジュール114)は、一組の認証モード値を含む認証モードベクトル(たとえば、図8の認証モードベクトル350に類似しているか、または同じ)を定義するように構成され得る。上で詳しく説明されているように、認証要求が第1の認証モードおよび第2の認証モードを表すデータを含む場合に、それに関連付けられている認証モード値は、たとえば、1に等しいものとしてよく、次いで、これは、第1の認証モードおよび第2の認証モードを表すデータの存在を示す。
[1078] ホストデバイスは、認証モードベクトルとリスク緩和テーブルとのドット積に基づき脅威信頼度ベクトルを定義し、および/または計算することができる。いくつかの実施形態において、リスク緩和テーブルは、リスク緩和テーブル155、255、および/または355に類似しているものとしてよい(少なくとも形態および/または機能に関して)。そのようなものとして、リスク緩和テーブルは、図3および図4を参照しつつ上で説明されているように、第1の認証モードおよび一組の脅威に関連付けられているリスク緩和スコアならびに第2の認証モードおよび一組の脅威に関連付けられているリスク緩和スコアを含み得る。認証モードベクトルとリスク緩和テーブルとのドット積の結果得られる脅威信頼度ベクトルは、図8を参照しつつ上で詳しく説明されているように、一組の脅威からの各脅威に関する第1の認証モードおよび第2の認証モードの集合的な使用に関連付けられている緩和強度を表す一組の脅威からの各脅威に対する脅威信頼度値を含み得る。
[1079] 信頼度ベクトルが計算された場合、リソースに関連付けられているリソース信頼度値は、23で、(1)脅威信頼度ベクトルならびに(2)リソースおよび一組の脅威からの各脅威に関連付けられている一組のリソース脆弱性スコアに基づき計算される。上で説明されているように、ホストデバイスおよび/または中に含まれるポリシー適用モジュールは、脅威信頼度ベクトルとリソース脆弱性テーブルのドット積に基づき認証要求に関連付けられているリソース信頼度値を計算することができる。より具体的には、リソース脆弱性テーブルは、図3および図4を参照しつつ上で詳しく説明されているように、リソースおよび一組の脅威からの各脅威に関連付けられている一組のリソース脆弱性スコアを含むものとしてよい。いくつかの実施形態において、リソース脆弱性テーブルは、リソース脆弱性テーブル165、265、および/または365に類似しているものとしてよい(少なくとも形態および/または機能に関して)。この方式で、リソースにアクセスするため認証要求に関連付けられているリソース信頼度値は、第1の認証モードおよび第2の認証モードの使用に基づき一組の脅威の効果を緩和し、および/または一組の脅威がリソースに影響を及ぼすのを実質的に防止する能力を表す。
[1080] 計算された後、一組のリソースからのリソースに関連付けられているリソース信頼度値は、24で、一組のリソースからのリソースに関連付けられているリソース信頼度閾値と比較される。リソースに対するリソース信頼度閾値(本明細書ではリソース信頼度基準とも称される)は、図8を参照しつつ上で詳しく説明されているように、一組の脅威の効果を緩和し、および/または一組の脅威がリソースに影響を及ぼすのを防止するレベル、強度、および/または能力に関連付けられている基準または同様のものを定義することができる。したがって、リソース信頼度値が、リソース信頼度閾値によって確立され、および/または定義されている基準を満たす場合に、ホストデバイスは、図8を参照しつつ上で詳しく説明されているように、認証要求に関連付けられている肯定的認証を定義するものとしてよく、および/または検証することができる。そのようなものとして、ホストデバイスは、25のようにリソース信頼度値がリソース信頼度基準を満たしたときに肯定的認証を示す信号を(たとえば、クライアントデバイスまたは識別情報プロバイダに)送信することができる。いくつかの場合において、クライアントデバイスの肯定的認証は、クライアントデバイスおよび/またはそのユーザが一組のリソースからのリソースにアクセスすることを許可する上で動作可能である。
[1081] 様々な実施形態について説明してきたが、例としてのみ提示されており、限定することを意図していないことは理解されるであろう。上で説明されている概略図および/または実施形態が、特定の配向または位置で配置構成されている特定のコンポーネントを示している場合、コンポーネントの配置構成は修正されてもよい。たとえば、ホストデバイス110は、たとえば、それぞれ認証モードベクトル150、250、または350とリスク緩和テーブル155、255、または355とのドット積、およびそれぞれ結果として得られる脅威信頼度ベクトル160、260、または360とそれぞれリソース脆弱性テーブル165、265、または365とのドット積に基づきリソース信頼度ベクトル270を定義するように上で説明されているが、他の実施形態では、ホストデバイス110は、好適な任意の脅威ベース計算または同様のものを実行して肯定的認証を決定することができる。たとえば、いくつかの実施形態において、ホストデバイスは、一組の認証モードが一組の脅威の影響を受ける確率に関連付けられている一組の値を含む認証確率テーブル(たとえば、リスク緩和テーブルに類似する)、リソース脆弱性テーブル(たとえば、リソース脆弱性テーブル165、265、および/または365など)、および脅威の影響を受ける確率に関連付けられている値を含む脅威確率ベクトルを定義することができる。そのような実施形態において、認証確率テーブル、リソース脆弱性テーブル、および脅威確率ベクトルは、たとえば、ベイズ定理に入力され得る。そのようなものとして、リソース信頼度ベクトル170、270、および/または370に実質的に類似しているリソース信頼度ベクトルは、上で説明されているように、計算され、その後、対応するリソース信頼度閾値ベクトルと比較され得る。そのような実施形態において、ベイズ定理の使用は、認証確率テーブル、リソース脆弱性テーブル、および脅威確率ベクトルが、たとえば、実質的に独立した入力であるような使用であるものとしてよい。
[1082] これらの実施形態は具体的に示され説明されているが、形態および詳細に関する様々な変更がなされ得ることは理解されるであろう。様々な実施形態が、特定の特徴および/またはコンポーネントの組合せを有するものとして説明されているが、他の実施形態は、上で説明されているような実施形態のうちのどれかからの任意の特徴および/またはコンポーネントの組合せを有することも可能である。
[1083] 上で説明されている方法および/またはイベントは、特定のイベントおよび/または手順が特定の順序で生じることを示している場合、特定のイベントおよび/または手順の順序は、修正されてよい。それに加えて、特定のイベントおよび/または手順は、可能ならば並列プロセスで同時に実行され、さらには上で説明されているように順次実行されてもよい。
[1084] 本明細書で説明されているいくつかの実施形態は、様々なコンピュータ実装オペレーションを実行するための命令またはコンピュータコードを有する非一時的コンピュータ可読媒体(非一時的プロセッサ可読媒体とも称され得る)を備えるコンピュータ記憶装置製品に関係する。コンピュータ可読媒体(またはプロセッサ可読媒体)は、それが本質的に一時的伝搬信号(空間またはケーブルなどの伝送媒体上で情報を搬送する伝搬電磁波)を含まないという意味で非一時的である。媒体およびコンピュータコード(コードとも称され得る)は、特定の1つまたは複数の目的のために設計され、構成されたものであってよい。非一時的コンピュータ可読媒体の例は、限定はしないが、ハードディスク、フロッピィディスク、および磁気テープなどの磁気記憶媒体、コンパクトディスク/デジタルビデオディスク(CD/DVD)、コンパクトディスクリードオンリーメモリ(CD-ROM)、およびホログラフィックデバイスなどの光記憶媒体、光ディスクなどの光磁気記憶媒体、搬送波信号処理モジュール、および特定用途向け集積回路(ASIC)、プログラマブルロジックデバイス(PLD)、リードオンリーメモリ(ROM)、およびランダムアクセスメモリ(RAM)デバイスなどのプログラムコードを記憶し、実行するように特に構成されているハードウェアデバイスを含む。本明細書において説明されている他の実施形態は、たとえば、本明細書で説明されている命令および/またはコンピュータコードを含み得る、コンピュータプログラム製品に関係する。
[1085] 本明細書において説明されているいくつかの実施形態および/または方法は、ソフトウェア(ハードウェア上で実行される)、ハードウェア、またはこれらの組合せによって実行され得る。ハードウェアモジュールは、たとえば、汎用プロセッサ、フィールドプログラマブルゲートアレイ(FPGA)、および/または特定用途向け集積回路(ASIC)を含んでいてもよい。ソフトウェアモジュール(ハードウェア上で実行される)は、C、C++、Java(商標)、Ruby、Visual Basic(商標)、および/または他のオブジェクト指向型、手続型、または他のプログラミング言語および開発ツールを含む、様々なソフトウェア言語(たとえば、コンピュータコード)で表現され得る。コンピュータコードの例は、限定はしないが、マイクロコードまたはマイクロ命令、コンパイラによって生成されるような機械語命令、ウェブサービスを生成するためにコード、およびインタプリタを使用してコンピュータによって実行される高水準命令を収めたファイルを含む。たとえば、実施形態は、命令型プログラミング(たとえば、C、Fortranなど)、関数型プログラミング言語(Haskell、Erlangなど)、論理プログラミング言語(たとえば、Prolog)、オブジェクト指向プログラミング言語(たとえば、Java、C++、など)、または他の好適なプログラミング言語および/または開発ツールを使用して実装され得る。コンピュータコードの追加の例は、限定はしないが、制御信号、暗号化コード、および圧縮コードを含む。
[1086] いくつかの実施形態において、方法は、ホストデバイスで、クライアントデバイスが一組のリソースからのリソースにアクセスすることに対する認証要求を示す信号を受信することを含む。方法は、認証要求に関連付けられているリソース信頼度値を、(1)一組の脅威からの各脅威に対する少なくとも1つのリスク緩和スコアに関連付けられている脅威信頼度ベクトル、および(2)リソースおよび一組の脅威からの各脅威に関連付けられている一組のリソース脆弱性スコアに少なくとも一部は基づき計算することを含む。方法は、リソース信頼度値を、一組のリソースからのリソースに関連付けられているリソース信頼度基準と比較することをさらに含む。方法は、リソース信頼度値がリソース信頼度基準を満たしたときにホストデバイスから肯定的認証を示す信号を送信することを含む。
[1087] いくつかの実施形態において、認証要求は、少なくとも1つの認証モードに関連付けられているデータを含み、リスク緩和スコアは、脅威に関係するような認証モードの緩和強度を表す。いくつかの実施形態において、脅威信頼度ベクトルは、複数の脅威信頼度値を含み、複数の脅威信頼度値からの各脅威信頼度値は一組の脅威からの脅威に一意的に関連付けられる。
[1088] いくつかの実施形態において、認証要求は、(1)ユーザが認証アクションを実行する、能動的な認証モード、または(2)ユーザが認証アクションを実質的に実行しない、受動的な認証モードのうちの少なくとも一方に関連付けられているデータを含む。いくつかの実施形態において、方法は、リソース信頼度値がリソース信頼度基準を満たしていない場合に、ホストデバイスから、認証失敗を示す信号を送信することを含む。
[1089] いくつかの実施形態において、リソース信頼度値は、肯定的認証を示す信号の送信の後にある期間にわたって減少する。方法は、ホストデバイスから、その期間内の所定の時刻に、認証検証に対する要求を示す信号を送信することを含む。方法は、ホストデバイスにおいて、認証検証に対する要求に応答して、認証データを示す信号を受信することと、認証データに基づきリソース信頼度値を更新して、更新されたリソース信頼度値を定義することとをさらに含む。
[1090] いくつかの実施形態において、リソース信頼度値は、肯定的認証を示す信号の送信の後にある期間にわたって減少する。方法は、ホストデバイスから、その期間内の所定の時刻に、認証検証に対する要求を示す信号を送信することを含む。方法は、ホストデバイスにおいて、認証検証に対する要求に応答して、認証データを示す信号を受信することと、認証データに基づきリソース信頼度値を更新してリソース信頼度値と異なる更新されたリソース信頼度値を定義することとをさらに含むことができる。
[1091] いくつかの実施形態において、方法は、ホストデバイスで、クライアントデバイスがリソースにアクセスすることに対する認証要求を示す信号を受信することを含む。信号は、第1の認証モードに関連付けられているデータと、第1の認証モードと異なる第2の認証モードに関連付けられているデータとを含み得る。方法は、脅威信頼度ベクトルを、(1)第1の認証モードおよび一組の脅威に関連付けられているリスク緩和スコア、ならびに(2)第2の認証モードおよび一組の脅威に関連付けられているリスク緩和スコアに基づき計算することをさらに含む。さらに、方法は、リソースに関連付けられているリソース信頼度値を計算することを含み、リソース信頼度値は(1)脅威信頼度ベクトル、ならびに(2)リソースおよび一組の脅威からの各脅威に関連付けられている一組のリソース脆弱性スコアに基づく。それに加えて、方法は、リソース信頼度値をリソースに関連付けられているリソース信頼度基準と比較することと、リソース信頼度値がリソース信頼度基準を満たしているときにホストデバイスからクライアントデバイスに肯定的認証を示す信号を送信することとを含む。
[1092] いくつかの実施形態において、方法は、リソースに対するリソース信頼度基準を、(1)一組の脅威からの各脅威に関連付けられている少なくとも1つのリスク緩和スコア、および(2)一組の脅威からの各脅威に関連付けられている一組のリソース脆弱性スコアに少なくとも一部は基づき定義することを含む。いくつかの実施形態において、第1の認証モードは、能動的な認証モードまたは受動的な認証モードのうちの一方であり、第2の認証モードは、能動的な認証モードまたは受動的な認証モードのうちの一方である。
[1093] いくつかの実施形態において、第1の認証モードは、パスワード、ワンタイムパスワード、キーストローク、知識ベース認証、音声認識、またはバイオメトリックスキャンのうちの少なくとも1つを使用する。いくつかの実施形態において、第2の認証モードは、地理的位置識別子、インターネットプロトコル(IP)アドレス、ハードトークン、セッションクッキー、ソフトウェアバージョン、近接センサー、トランザクション、バイオメトリックスキャン、またはユーザの履歴データのうちの少なくとも1つを使用する。
[1094] いくつかの実施形態において、リソース信頼度値は、肯定的認証を示す信号の送信の後にある期間にわたって減少する。方法は、リソース信頼度値が基準を満たしたときに、ホストデバイスから、その期間内に、認証検証に対する要求を示す信号を送信することをさらに含むことができる。それに加えて、方法は、ホストデバイスにおいて、認証データを示す信号を受信することと、認証データに基づきリソース信頼度値を更新して、更新されたリソース信頼度値を定義することとを含む。
[1095] いくつかの実施形態において、装置は、通信モジュール、ポリシー定義モジュール、およびポリシー適用モジュールを備える。通信モジュールは、メモリまたはプロセッサのうちの少なくとも1つで実装される。通信モジュールは、クライアントデバイスおよび一組のリソースと電子的に通信するように構成される。ポリシー定義モジュールは、(1)一組の脅威からの各脅威に対する一組のリスク緩和スコアに関連付けられている脅威信頼度ベクトル、および(2)一組の脅威からの各脅威に対する一組のリソース脆弱性スコアに基づき、一組のリソースからの各リソースに対するリソース信頼度基準を定義するように構成されている。ポリシー適用モジュールは、(1)通信モジュールを介して、一組のリソースからのリソースに関連付けられている認証要求を示す信号を受信し、(2)認証要求に関連付けられている脅威信頼度ベクトルおよび一組のリソース脆弱性スコアに基づき一組のリソースからのリソースに対するリソース信頼度値を定義するように構成される。ポリシー適用モジュールは、(1)一組のリソースからのリソースに対するリソース信頼度値と一組のリソースからのリソースに対するリソース信頼度基準とを比較し、(2)一組のリソースからのリソースに対するリソース信頼度基準が満たされたときに通信モジュールを介して肯定的認証を示す信号を送信するようにさらに構成される。
[1096] いくつかの実施形態において、装置は、データベースに動作可能に結合されているデータベースモジュールを備える。データベースモジュールは、一組のリスク緩和スコア、一組のリソース脆弱性スコア、一組のリソースからの各リソースに対するリソース信頼度基準、またはクライアントデバイスのユーザに関連付けられているユーザプロファイルのうちの少なくとも1つを表すデータをデータベースに記憶するように構成される。ポリシー定義モジュールは、(1)データベースに記憶され、ユーザプロファイルに関連付けられているデータに少なくとも一部は基づき一組のリソースからのリソースに対するリソース信頼度基準を定義し、(2)一組のリソースからのリソースに対するリソース信頼度基準を表すデータをデータベースに記憶するための命令を示す信号をデータベースモジュールに送信するように構成される。
[1097] いくつかの実施形態において、クライアントデバイスは、一組のリソースからのリソースである。いくつかの実施形態において、一組のリソースからの各リソースは、電子デバイス、電子デバイスのグループ、磁気デバイス、またはネットワークデバイスのうちの少なくとも1つである。いくつかの実施形態において、ポリシー適用モジュールは、一組のリソースからのリソースに対するリソース信頼度基準が満たされないときに通信モジュールを介して認証失敗を示す信号を送信するように構成される。いくつかの実施形態において、リソース信頼度値は、リソース信頼度ベクトルをまとめて定義する複数のリソース信頼度値からの値である。リソース信頼度ベクトルは、認証確率行列、リソース確率行列、および脅威確率ベクトルに少なくとも一部は基づく。
[1098] いくつかの実施形態において、リソース信頼度値は、一組のリソースからのリソースの肯定的認証の後にある期間にわたって減少する。ポリシー適用モジュールは、(1)リソース信頼度値が所定のレベルまで減少するときに認証検証に対する要求を示す信号を送信し、(2)認証検証に対する要求に応答して受信された認証データに基づきリソース信頼度値を更新するようにさらに構成される。
Claims (20)
- メモリまたはプロセッサのうちの少なくとも1つで実装され、クライアントデバイスおよび一組のリソースと電子的に通信するように構成される、通信モジュールと、
(1)一組の脅威からの各脅威に対する一組のリスク緩和スコアに関連付けられている脅威信頼度ベクトル、および(2)前記一組の脅威からの各脅威に対する一組のリソース脆弱性スコアに基づき、前記一組のリソースからの各リソースに対するリソース信頼度基準を定義するように構成されているポリシー定義モジュールと、
(1)前記通信モジュールを介して、前記一組のリソースからのリソースに関連付けられている認証要求を示す信号を受信し、(2)前記認証要求に関連付けられている脅威信頼度ベクトルおよび前記一組のリソース脆弱性スコアに基づき前記一組のリソースからの前記リソースに対するリソース信頼度値を定義するように構成されている、ポリシー適用モジュールと、を備え、
前記ポリシー適用モジュールは(1)前記一組のリソースからの前記リソースに対する前記リソース信頼度値と前記一組のリソースからの前記リソースに対する前記リソース信頼度基準とを比較し、(2)前記一組のリソースからの前記リソースに対する前記リソース信頼度基準が満たされたときに、前記通信モジュールを介して肯定的認証を示す信号を送信し、前記クライアントデバイスが前記リソースへのアクセスを認められるように構成される装置。 - 前記装置は、データベースに動作可能に結合されているデータベースモジュールをさらに備え、
前記データベースモジュールは、前記一組のリスク緩和スコア、前記一組のリソース脆弱性スコア、前記一組のリソースからの各リソースに対する前記リソース信頼度基準、または前記クライアントデバイスのユーザに関連付けられているユーザプロファイルのうちの少なくとも1つを表すデータを前記データベースに記憶するように構成され、
前記ポリシー定義モジュールは(1)前記データベースに記憶され、前記ユーザプロファイルに関連付けられているデータに少なくとも一部は基づき前記一組のリソースからの前記リソースに対する前記リソース信頼度基準を定義し、(2)前記一組のリソースからの前記リソースに対する前記リソース信頼度基準を表すデータを前記データベースに記憶するための命令を示す信号を前記データベースモジュールに送信するように構成される、請求項1に記載の装置。 - 前記クライアントデバイスは、前記一組のリソースからのリソースである、請求項1に記載の装置。
- 前記一組のリソースからの各リソースは、電子デバイス、電子デバイスのグループ、磁気デバイス、またはネットワークデバイスのうちの少なくとも1つである、請求項1に記載の装置。
- 前記ポリシー適用モジュールは、前記一組のリソースからの前記リソースに対する前記リソース信頼度基準が満たされないときに、前記通信モジュールを介して認証失敗を示す信号を送信するように構成される、請求項1に記載の装置。
- 前記リソース信頼度値は、リソース信頼度ベクトルをまとめて定義する複数のリソース信頼度値からの値であり、前記リソース信頼度ベクトルは認証確率行列、リソース確率行列、および脅威確率ベクトルに少なくとも一部は基づく、請求項1に記載の装置。
- 前記リソース信頼度値は、前記一組のリソースからの前記リソースの前記肯定的認証の後にある期間にわたって減少し、前記ポリシー適用モジュールは(1)前記リソース信頼度値が所定のレベルまで減少するときに認証検証に対する要求を示す信号を送信し、(2)認証検証に対する前記要求に応答して受信された認証データに基づき前記リソース信頼度値を更新するように構成される、請求項1に記載の装置。
- ホストデバイスにおいて、クライアントデバイスが一組のリソースからのリソースにアクセスすることに対する認証要求を示す信号を受信することと、
前記認証要求に関連付けられているリソース信頼度値を、(1)一組の脅威からの各脅威に対する少なくとも1つのリスク緩和スコアに関連付けられている脅威信頼度ベクトル、および(2)前記リソースおよび前記一組の脅威からの各脅威に関連付けられている一組のリソース脆弱性スコアに少なくとも一部は基づき計算することと、
前記リソース信頼度値を、前記一組のリソースからの前記リソースに関連付けられているリソース信頼度基準と比較することと、
前記クライアントデバイスが前記リソースへのアクセスを認められるように、前記リソース信頼度値が前記リソース信頼度基準を満たしたときに肯定的認証を示す信号を前記ホストデバイスから送信することと、を含む方法。 - 前記認証要求は、少なくとも1つの認証モードに関連付けられているデータを含み、前記リスク緩和スコアは脅威に関係するような前記認証モードの緩和強度を表す、請求項8に記載の方法。
- 前記脅威信頼度ベクトルは、複数の脅威信頼度値を含み、前記複数の脅威信頼度値からの各脅威信頼度値は前記一組の脅威からの脅威に一意的に関連付けられる、請求項8に記載の方法。
- 前記認証要求は、(1)ユーザが認証アクションを実行する能動的な認証モード、または(2)ユーザが認証アクションを実質的に実行しない受動的な認証モードのうちの少なくとも一方に関連付けられているデータを含む、請求項8に記載の方法。
- 前記リソース信頼度値が前記リソース信頼度基準を満たしていない場合に、前記ホストデバイスから、認証失敗を示す信号を送信することをさらに含む、請求項8に記載の方法。
- 前記リソース信頼度値は、前記肯定的認証を示す前記信号の前記送信の後にある期間にわたって減少し、前記方法は
前記ホストデバイスから、前記期間内の所定の時刻に、認証検証に対する要求を示す信号を送信することと、
前記ホストデバイスにおいて、認証検証に対する前記要求に応答して、認証データを示す信号を受信することと、
前記認証データに基づき前記リソース信頼度値を更新して、更新されたリソース信頼度値を定義することと、をさらに含む、請求項8に記載の方法。 - 前記リソース信頼度値は、前記肯定的認証を示す前記信号の前記送信の後にある期間にわたって減少し、前記方法は
前記ホストデバイスから、前記期間内の所定の時刻に、認証検証に対する要求を示す信号を送信することと、
前記ホストデバイスにおいて、認証検証に対する前記要求に応答して、認証データを示す信号を受信することと、
前記認証データに基づき前記リソース信頼度値を更新して、前記リソース信頼度値と異なる更新されたリソース信頼度値を定義することと、をさらに含む、請求項8に記載の方法。 - ホストデバイスにおいて、クライアントデバイスがリソースにアクセスすることに対する認証要求を示す信号を受信し、前記信号は第1の認証モードに関連付けられているデータおよび前記第1の認証モードと異なる第2の認証モードに関連付けられているデータを含むことと、
脅威信頼度ベクトルを、(1)前記第1の認証モードおよび一組の脅威に関連付けられているリスク緩和スコア、ならびに(2)前記第2の認証モードおよび前記一組の脅威に関連付けられているリスク緩和スコアに基づき計算することと、
前記リソースに関連付けられているリソース信頼度値を計算し、前記リソース信頼度値は(1)前記脅威信頼度ベクトル、ならびに(2)前記リソースおよび前記一組の脅威からの各脅威に関連付けられている一組のリソース脆弱性スコアに基づくことと、
前記リソース信頼度値を、前記リソースに関連付けられているリソース信頼度基準と比較することと、
前記クライアントデバイスが前記リソースへのアクセスを認められるように、前記リソース信頼度値が前記リソース信頼度基準を満たしたときに、肯定的認証を示す信号を前記ホストデバイスから前記クライアントデバイスに送信することと、を含む方法。 - 前記リソースに対する前記リソース信頼度基準を、(1)前記一組の脅威からの各脅威に関連付けられている少なくとも1つのリスク緩和スコア、および(2)前記一組の脅威からの各脅威に関連付けられている前記一組のリソース脆弱性スコアに少なくとも一部は基づき定義することをさらに含む、請求項15に記載の方法。
- 前記第1の認証モードは、能動的な認証モードまたは受動的な認証モードのうちの一方であり、前記第2の認証モードは、能動的な認証モードまたは受動的な認証モードのうちの一方である、請求項15に記載の方法。
- 前記第1の認証モードは、パスワード、ワンタイムパスワード、キーストローク、知識ベース認証、音声認識、またはバイオメトリックスキャンのうちの少なくとも1つを使用する、請求項15に記載の方法。
- 前記第2の認証モードは、地理的位置識別子、インターネットプロトコル(IP)アドレス、ハードトークン、セッションクッキー、ソフトウェアバージョン、近接センサー、トランザクション、バイオメトリックスキャン、またはユーザの履歴データのうちの少なくとも1つを使用する、請求項15に記載の方法。
- 前記リソース信頼度値は、前記肯定的認証を示す前記信号の前記送信の後にある期間にわたって減少し、前記方法は
前記リソース信頼度値が基準を満たしたときに、前記ホストデバイスから、前記期間内に、認証検証に対する要求を示す信号を送信することと、
前記ホストデバイスにおいて、認証データを示す信号を受信することと、
前記認証データに基づき前記リソース信頼度値を更新して、更新されたリソース信頼度値を定義することと、をさらに含む、請求項15に記載の方法。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201462026362P | 2014-07-18 | 2014-07-18 | |
US62/026,362 | 2014-07-18 | ||
US14/801,203 | 2015-07-16 | ||
US14/801,203 US9787723B2 (en) | 2014-07-18 | 2015-07-16 | Devices and methods for threat-based authentication for access to computing resources |
PCT/US2015/040923 WO2016011363A1 (en) | 2014-07-18 | 2015-07-17 | Devices and methods for threat-based authentication for access to computing resources |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2017522667A true JP2017522667A (ja) | 2017-08-10 |
Family
ID=55075558
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017502599A Pending JP2017522667A (ja) | 2014-07-18 | 2015-07-17 | コンピューティングリソースへのアクセスに対する脅威ベース認証のためのデバイスおよび方法 |
Country Status (7)
Country | Link |
---|---|
US (1) | US9787723B2 (ja) |
EP (1) | EP3170088A4 (ja) |
JP (1) | JP2017522667A (ja) |
AU (1) | AU2015289450A1 (ja) |
CA (1) | CA2955616A1 (ja) |
IL (1) | IL250149A0 (ja) |
WO (1) | WO2016011363A1 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11574062B2 (en) | 2020-03-26 | 2023-02-07 | Hitachi, Ltd. | Application development assistance system and application development assistance method |
Families Citing this family (94)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9532222B2 (en) | 2010-03-03 | 2016-12-27 | Duo Security, Inc. | System and method of notifying mobile devices to complete transactions after additional agent verification |
US9544143B2 (en) | 2010-03-03 | 2017-01-10 | Duo Security, Inc. | System and method of notifying mobile devices to complete transactions |
US9467463B2 (en) | 2011-09-02 | 2016-10-11 | Duo Security, Inc. | System and method for assessing vulnerability of a mobile device |
CN103841592B (zh) * | 2012-11-27 | 2017-12-05 | 中兴通讯股份有限公司 | 一种微波设备托管的实现方法及装置 |
GB2526501A (en) | 2013-03-01 | 2015-11-25 | Redowl Analytics Inc | Modeling social behavior |
US9542650B2 (en) | 2013-03-01 | 2017-01-10 | RedOwl Analytics, Inc. | Analyzing behavior in light of social time |
US9754093B2 (en) * | 2014-08-28 | 2017-09-05 | Ncr Corporation | Methods and a system for automated authentication confidence |
US10581756B2 (en) * | 2014-09-09 | 2020-03-03 | Microsoft Technology Licensing, Llc | Nonintrusive dynamically-scalable network load generation |
US10013983B1 (en) | 2014-09-19 | 2018-07-03 | United Services Automobile Association (Usaa) | Selective passive voice authentication |
US9548979B1 (en) | 2014-09-19 | 2017-01-17 | United Services Automobile Association (Usaa) | Systems and methods for authentication program enrollment |
US9798883B1 (en) * | 2014-10-06 | 2017-10-24 | Exabeam, Inc. | System, method, and computer program product for detecting and assessing security risks in a network |
US9648036B2 (en) | 2014-12-29 | 2017-05-09 | Palantir Technologies Inc. | Systems for network risk assessment including processing of user access rights associated with a network of devices |
US9467455B2 (en) | 2014-12-29 | 2016-10-11 | Palantir Technologies Inc. | Systems for network risk assessment including processing of user access rights associated with a network of devices |
US10476947B1 (en) | 2015-03-02 | 2019-11-12 | F5 Networks, Inc | Methods for managing web applications and devices thereof |
US11616806B1 (en) | 2015-05-08 | 2023-03-28 | F5, Inc. | Methods for protecting web based resources from D/DoS attacks and devices thereof |
WO2016195847A1 (en) | 2015-06-01 | 2016-12-08 | Duo Security, Inc. | Method for enforcing endpoint health standards |
US11816672B1 (en) * | 2015-09-22 | 2023-11-14 | Wells Fargo Bank, N.A. | Flexible authentication |
US10148631B1 (en) * | 2015-09-29 | 2018-12-04 | Symantec Corporation | Systems and methods for preventing session hijacking |
US10757070B2 (en) * | 2015-11-24 | 2020-08-25 | International Business Machines Corporation | Trustworthiness-verifying DNS server for name resolution |
US10581902B1 (en) * | 2015-11-30 | 2020-03-03 | F5 Networks, Inc. | Methods for mitigating distributed denial of service attacks and devices thereof |
US9870454B2 (en) * | 2015-12-16 | 2018-01-16 | International Business Machines Corporation | Determine security access level based on user behavior |
US10496815B1 (en) | 2015-12-18 | 2019-12-03 | Exabeam, Inc. | System, method, and computer program for classifying monitored assets based on user labels and for detecting potential misuse of monitored assets based on the classifications |
US10834110B1 (en) | 2015-12-18 | 2020-11-10 | F5 Networks, Inc. | Methods for preventing DDoS attack based on adaptive self learning of session and transport layers and devices thereof |
US10397250B1 (en) | 2016-01-21 | 2019-08-27 | F5 Networks, Inc. | Methods for detecting remote access trojan malware and devices thereof |
US10200369B1 (en) | 2016-02-16 | 2019-02-05 | Symantec Corporation | Systems and methods for dynamically validating remote requests within enterprise networks |
US11140167B1 (en) | 2016-03-01 | 2021-10-05 | Exabeam, Inc. | System, method, and computer program for automatically classifying user accounts in a computer network using keys from an identity management system |
WO2017173099A1 (en) * | 2016-03-30 | 2017-10-05 | Ping Identity Corporation | Methods and apparatus for assessing authentication risk and implementing single sign on (sso) using a distributed consensus database |
US20170339160A1 (en) | 2016-05-17 | 2017-11-23 | International Business Machines Corporation | Threat-aware provisioning and governance |
US10178108B1 (en) | 2016-05-31 | 2019-01-08 | Exabeam, Inc. | System, method, and computer program for automatically classifying user accounts in a computer network based on account behavior |
US10009344B2 (en) | 2016-06-29 | 2018-06-26 | Duo Security, Inc. | Systems and methods for endpoint management classification |
US10432652B1 (en) | 2016-09-20 | 2019-10-01 | F5 Networks, Inc. | Methods for detecting and mitigating malicious network behavior and devices thereof |
US10122706B2 (en) * | 2016-10-27 | 2018-11-06 | Ca, Inc. | Authenticating identity for password changes |
US9913143B1 (en) | 2016-11-28 | 2018-03-06 | Amazon Technologies, Inc. | Auto-provisioning device |
DE102017100827A1 (de) * | 2017-01-17 | 2018-07-19 | Infineon Technologies Ag | Halbleitervorrichtung mit umlaufender struktur und verfahren zur herstellung |
US10887325B1 (en) | 2017-02-13 | 2021-01-05 | Exabeam, Inc. | Behavior analytics system for determining the cybersecurity risk associated with first-time, user-to-entity access alerts |
CN108460681B (zh) * | 2017-02-20 | 2020-07-03 | 阿里巴巴集团控股有限公司 | 一种风险管控方法及装置 |
US10645109B1 (en) | 2017-03-31 | 2020-05-05 | Exabeam, Inc. | System, method, and computer program for detection of anomalous user network activity based on multiple data sources |
US10841338B1 (en) | 2017-04-05 | 2020-11-17 | Exabeam, Inc. | Dynamic rule risk score determination in a cybersecurity monitoring system |
US10796026B2 (en) * | 2017-04-25 | 2020-10-06 | Wildfi Proprietary Limited | Process and detachable device for using and managing encryption keys |
US11038869B1 (en) | 2017-05-12 | 2021-06-15 | F5 Networks, Inc. | Methods for managing a federated identity environment based on application availability and devices thereof |
US10999296B2 (en) | 2017-05-15 | 2021-05-04 | Forcepoint, LLC | Generating adaptive trust profiles using information derived from similarly situated organizations |
US11888859B2 (en) | 2017-05-15 | 2024-01-30 | Forcepoint Llc | Associating a security risk persona with a phase of a cyber kill chain |
US10462120B2 (en) | 2017-05-25 | 2019-10-29 | Barclays Services Corporation | Authentication system and method |
EP3631662A4 (en) * | 2017-05-25 | 2020-10-28 | Barclays Services Corporation | AUTHENTICATION SYSTEM AND METHOD |
KR102369228B1 (ko) * | 2017-05-25 | 2022-02-28 | 삼성에스디에스 주식회사 | 리스크 기반 인증을 위한 리스크 분석 장치 및 방법 |
US10873599B1 (en) * | 2017-07-11 | 2020-12-22 | Zycada Networks, Inc. | Providing application security using causal graph |
US10318729B2 (en) | 2017-07-26 | 2019-06-11 | Forcepoint, LLC | Privacy protection during insider threat monitoring |
US10803178B2 (en) | 2017-10-31 | 2020-10-13 | Forcepoint Llc | Genericized data model to perform a security analytics operation |
US10867612B1 (en) | 2017-11-13 | 2020-12-15 | United Services Automobile Association (Usaa) | Passive authentication through voice data analysis |
US10412113B2 (en) | 2017-12-08 | 2019-09-10 | Duo Security, Inc. | Systems and methods for intelligently configuring computer security |
US11423143B1 (en) | 2017-12-21 | 2022-08-23 | Exabeam, Inc. | Anomaly detection based on processes executed within a network |
US11539740B1 (en) | 2018-02-02 | 2022-12-27 | F5, Inc. | Methods for protecting CPU during DDoS attack and devices thereof |
US11288385B2 (en) * | 2018-04-13 | 2022-03-29 | Sophos Limited | Chain of custody for enterprise documents |
US11314787B2 (en) | 2018-04-18 | 2022-04-26 | Forcepoint, LLC | Temporal resolution of an entity |
US11431741B1 (en) | 2018-05-16 | 2022-08-30 | Exabeam, Inc. | Detecting unmanaged and unauthorized assets in an information technology network with a recurrent neural network that identifies anomalously-named assets |
EP3573001A1 (en) * | 2018-05-24 | 2019-11-27 | Gemalto Sa | Method and system for implementing a virtual smart card service |
US10218708B1 (en) | 2018-06-21 | 2019-02-26 | Capital One Services, Llc | Systems for providing electronic items having customizable locking mechanism |
CN109009143B (zh) * | 2018-07-12 | 2021-01-29 | 杭州电子科技大学 | 一种通过人体步态预测心电信息的方法 |
US11755584B2 (en) | 2018-07-12 | 2023-09-12 | Forcepoint Llc | Constructing distributions of interrelated event features |
US10949428B2 (en) | 2018-07-12 | 2021-03-16 | Forcepoint, LLC | Constructing event distributions via a streaming scoring operation |
US11436512B2 (en) | 2018-07-12 | 2022-09-06 | Forcepoint, LLC | Generating extracted features from an event |
US11810012B2 (en) | 2018-07-12 | 2023-11-07 | Forcepoint Llc | Identifying event distributions using interrelated events |
US11025638B2 (en) | 2018-07-19 | 2021-06-01 | Forcepoint, LLC | System and method providing security friction for atypical resource access requests |
US11811799B2 (en) | 2018-08-31 | 2023-11-07 | Forcepoint Llc | Identifying security risks using distributions of characteristic features extracted from a plurality of events |
US10606851B1 (en) * | 2018-09-10 | 2020-03-31 | Palantir Technologies Inc. | Intelligent compute request scoring and routing |
US11025659B2 (en) | 2018-10-23 | 2021-06-01 | Forcepoint, LLC | Security system using pseudonyms to anonymously identify entities and corresponding security risk related behaviors |
US11025672B2 (en) | 2018-10-25 | 2021-06-01 | Palantir Technologies Inc. | Approaches for securing middleware data access |
US11171980B2 (en) | 2018-11-02 | 2021-11-09 | Forcepoint Llc | Contagion risk detection, analysis and protection |
US11258756B2 (en) * | 2018-11-14 | 2022-02-22 | Citrix Systems, Inc. | Authenticating to a hybrid cloud using intranet connectivity as silent authentication factor |
US11658962B2 (en) | 2018-12-07 | 2023-05-23 | Cisco Technology, Inc. | Systems and methods of push-based verification of a transaction |
US11178168B1 (en) | 2018-12-20 | 2021-11-16 | Exabeam, Inc. | Self-learning cybersecurity threat detection system, method, and computer program for multi-domain data |
US11949677B2 (en) * | 2019-04-23 | 2024-04-02 | Microsoft Technology Licensing, Llc | Resource access based on audio signal |
US11252182B2 (en) * | 2019-05-20 | 2022-02-15 | Cloudflare, Inc. | Identifying malicious client network applications based on network request characteristics |
US11625366B1 (en) | 2019-06-04 | 2023-04-11 | Exabeam, Inc. | System, method, and computer program for automatic parser creation |
US20210089637A1 (en) * | 2019-09-20 | 2021-03-25 | Micron Technology, Inc. | Methods and apparatus for persistent biometric profiling |
US11677783B2 (en) * | 2019-10-25 | 2023-06-13 | Target Brands, Inc. | Analysis of potentially malicious emails |
US11349981B1 (en) | 2019-10-30 | 2022-05-31 | F5, Inc. | Methods for optimizing multimedia communication and devices thereof |
US11570203B2 (en) * | 2019-12-31 | 2023-01-31 | Akamai Technologies, Inc. | Edge network-based account protection service |
US11489862B2 (en) | 2020-01-22 | 2022-11-01 | Forcepoint Llc | Anticipating future behavior using kill chains |
US11630901B2 (en) | 2020-02-03 | 2023-04-18 | Forcepoint Llc | External trigger induced behavioral analyses |
US11567847B2 (en) * | 2020-02-04 | 2023-01-31 | International Business Machines Corporation | Identifying anomolous device usage based on usage patterns |
US11080109B1 (en) | 2020-02-27 | 2021-08-03 | Forcepoint Llc | Dynamically reweighting distributions of event observations |
US11429697B2 (en) | 2020-03-02 | 2022-08-30 | Forcepoint, LLC | Eventually consistent entity resolution |
US11836265B2 (en) | 2020-03-02 | 2023-12-05 | Forcepoint Llc | Type-dependent event deduplication |
US11080032B1 (en) | 2020-03-31 | 2021-08-03 | Forcepoint Llc | Containerized infrastructure for deployment of microservices |
US11568136B2 (en) | 2020-04-15 | 2023-01-31 | Forcepoint Llc | Automatically constructing lexicons from unlabeled datasets |
US11516206B2 (en) | 2020-05-01 | 2022-11-29 | Forcepoint Llc | Cybersecurity system having digital certificate reputation system |
US11544390B2 (en) | 2020-05-05 | 2023-01-03 | Forcepoint Llc | Method, system, and apparatus for probabilistic identification of encrypted files |
US11895158B2 (en) | 2020-05-19 | 2024-02-06 | Forcepoint Llc | Cybersecurity system having security policy visualization |
US11956253B1 (en) | 2020-06-15 | 2024-04-09 | Exabeam, Inc. | Ranking cybersecurity alerts from multiple sources using machine learning |
US11704387B2 (en) | 2020-08-28 | 2023-07-18 | Forcepoint Llc | Method and system for fuzzy matching and alias matching for streaming data sets |
US11190589B1 (en) | 2020-10-27 | 2021-11-30 | Forcepoint, LLC | System and method for efficient fingerprinting in cloud multitenant data loss prevention |
US20230224275A1 (en) * | 2022-01-12 | 2023-07-13 | Bank Of America Corporation | Preemptive threat detection for an information system |
US11770418B2 (en) * | 2022-01-31 | 2023-09-26 | Ping Identity Corporation | Methods, systems, and apparatus for credential format and protocol management |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8239677B2 (en) * | 2006-10-10 | 2012-08-07 | Equifax Inc. | Verification and authentication systems and methods |
US8762188B2 (en) * | 2008-05-12 | 2014-06-24 | Ut-Battelle, Llc | Cyberspace security system |
US20130247205A1 (en) | 2010-07-14 | 2013-09-19 | Mcafee, Inc. | Calculating quantitative asset risk |
US8898793B2 (en) * | 2011-01-14 | 2014-11-25 | Nokia Corporation | Method and apparatus for adjusting context-based factors for selecting a security policy |
US8856936B2 (en) | 2011-10-14 | 2014-10-07 | Albeado Inc. | Pervasive, domain and situational-aware, adaptive, automated, and coordinated analysis and control of enterprise-wide computers, networks, and applications for mitigation of business and operational risks and enhancement of cyber security |
US8621209B1 (en) * | 2011-10-19 | 2013-12-31 | Amazon Technologies, Inc. | Confidence-based authentication |
US20130227712A1 (en) * | 2012-02-23 | 2013-08-29 | Accenture Global Services Limited | Method and system for resource management based on adaptive risk-based access controls |
US9043887B2 (en) * | 2012-12-31 | 2015-05-26 | Apple Inc. | Adaptive secondary authentication criteria based on account data |
-
2015
- 2015-07-16 US US14/801,203 patent/US9787723B2/en active Active
- 2015-07-17 JP JP2017502599A patent/JP2017522667A/ja active Pending
- 2015-07-17 CA CA2955616A patent/CA2955616A1/en not_active Abandoned
- 2015-07-17 AU AU2015289450A patent/AU2015289450A1/en not_active Abandoned
- 2015-07-17 EP EP15821608.5A patent/EP3170088A4/en not_active Withdrawn
- 2015-07-17 WO PCT/US2015/040923 patent/WO2016011363A1/en active Application Filing
-
2017
- 2017-01-16 IL IL250149A patent/IL250149A0/en unknown
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11574062B2 (en) | 2020-03-26 | 2023-02-07 | Hitachi, Ltd. | Application development assistance system and application development assistance method |
Also Published As
Publication number | Publication date |
---|---|
AU2015289450A1 (en) | 2017-02-09 |
IL250149A0 (en) | 2017-03-30 |
EP3170088A4 (en) | 2017-12-27 |
CA2955616A1 (en) | 2016-01-21 |
US20160021117A1 (en) | 2016-01-21 |
WO2016011363A1 (en) | 2016-01-21 |
EP3170088A1 (en) | 2017-05-24 |
US9787723B2 (en) | 2017-10-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9787723B2 (en) | Devices and methods for threat-based authentication for access to computing resources | |
US11159501B2 (en) | Device identification scoring | |
US11108752B2 (en) | Systems and methods for managing resetting of user online identities or accounts | |
US11552940B1 (en) | System and method for continuous authentication of user entity identity using context and behavior for real-time modeling and anomaly detection | |
US11005839B1 (en) | System and method to identify abnormalities to continuously measure transaction risk | |
US11455641B1 (en) | System and method to identify user and device behavior abnormalities to continuously measure transaction risk | |
US11290464B2 (en) | Systems and methods for adaptive step-up authentication | |
US11677755B1 (en) | System and method for using a plurality of egocentric and allocentric factors to identify a threat actor | |
US20200143037A1 (en) | Managing enterprise authentication policies using password strength | |
US11736480B2 (en) | Device risk level based on device metadata comparison | |
US11055398B2 (en) | Monitoring strength of passwords | |
US11714886B2 (en) | Modifying application function based on login attempt confidence score | |
US11258819B1 (en) | Security scoring based on multi domain telemetry data | |
Klieme et al. | FIDOnuous: a FIDO2/WebAuthn extension to support continuous web authentication | |
US10536448B2 (en) | End point reputation credential for controlling network access | |
US20220400108A1 (en) | Tokenizing authentication information | |
Ferraz et al. | Prototype for Testing Context-Aware Authentication for Cloud Environments | |
VANAJA et al. | NONINTRUSIVE SMARTPHONE USER VERIFICATION USING ANONYMZED MULTIMODAL DATA |