JP2018528538A - 地理的位置に基づく電子セキュリティ管理方法および装置 - Google Patents

地理的位置に基づく電子セキュリティ管理方法および装置 Download PDF

Info

Publication number
JP2018528538A
JP2018528538A JP2018509812A JP2018509812A JP2018528538A JP 2018528538 A JP2018528538 A JP 2018528538A JP 2018509812 A JP2018509812 A JP 2018509812A JP 2018509812 A JP2018509812 A JP 2018509812A JP 2018528538 A JP2018528538 A JP 2018528538A
Authority
JP
Japan
Prior art keywords
location
user
authentication
program code
authorizing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2018509812A
Other languages
English (en)
Inventor
ウェンデル・ブラウン
エドワード・メーア
Original Assignee
アヴェロン ユーエス、インコーポレイテッド
アヴェロン ユーエス、インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by アヴェロン ユーエス、インコーポレイテッド, アヴェロン ユーエス、インコーポレイテッド filed Critical アヴェロン ユーエス、インコーポレイテッド
Publication of JP2018528538A publication Critical patent/JP2018528538A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0492Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload by using a location-limited connection, e.g. near-field communication or limited proximity of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/80Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols

Abstract

第1のデバイスの位置を検証する認証プロセスを容易にするためのシステム、方法、およびコンピュータ可読媒体が提供される。活動を認可する前に、例えば第2のデバイスを使用して、例示的な装置は、第1のデバイスから活動を引き起こす要求を受信するように構成されてもよく、第1のデバイスと第2のデバイスとの近接を検証するために前記第1のデバイスを第2のデバイスと通信させ、近接の確認を受信し、第1の識別データ列を受信し、第2の識別データ列を受信し、前記第1の識別データ列と前記第2の識別データ列との一致を確認する。

Description

関連出願への相互参照
本出願は、2015年8月20日に出願された米国仮特許出願第62/207,883号「地理に基づく電子セキュリティ管理方法および装置」の利益を主張し、参照によりその全体が本明細書に組み込まれる。
本発明の実施形態は、一般に、地理的位置に基づく電子セキュリティ管理およびアカウントアクセス制御のための方法および装置に関する。本発明は、より詳細には、アクセスの保護、アクセスの防止、監査、追跡、柔軟かつカスタマイズされた認証プロセスの提供、および電子アカウントへのアクセス、管理、および修正に関する虚偽またはハッキングされた証明に対する保護に関する。
従来における電子システムへのユーザアクセスおよび制御は、ユーザが誰であるかを証明するユーザ認証に集中してきた。パスワードの入力およびさまざまなテストの質問(母親が生まれた年など)は、これらの質問が他人には知られていないか、推測が困難であるという仮定に基づいており、両方とも誤った設計仮定であることが証明されている。つまり、別の人がその情報を推測し、盗み、または他の方法で見つけた場合、権限のないユーザがそのシステムに侵入することができる。さらに、電子メール、SMS、またはデバイス上で一意に生成されたコードによる二要素認証などのシステムでは、アクセス権を取得するためにデバイスおよび電子メールアドレスを所持し、「誰か」に加えて「何か」を検証する必要がある。それにもかかわらず、これらのシステムは、デバイスが紛失または盗難されたときに簡単に壊されてしまう。
本願の出願人は、現在の方法、システム、および電子セキュリティ管理およびアカウントアクセス制御のための装置に関する問題を発見した。本願の出願人は、努力、創意工夫、革新をすることを通じて、以下に詳細に説明する本発明によって具現化される解決手段を開発することによって、これらの特定された問題の多くを解決した。
いくつかの実施形態は、地理的位置に基づく電子セキュリティ管理およびアカウントアクセス制御を提供することができる。いくつかの実施形態では、認証装置が提供されてもよく、認証装置は、少なくとも1つのプロセッサと、コンピュータプログラムコードを含む少なくとも1つのメモリとを備え、少なくとも1つのメモリおよびコンピュータプログラムコードは、プロセッサによって、認証装置に、第2のデバイスからの動作を引き起こす要求を受信させ、第1のデバイスと第2のデバイスとの近接を検証するために、第1のデバイスを第2のデバイスと通信させ、近接の検証を受信させ、第1の識別データ列を受信させ、第2の識別データ列を受信させ、第1の識別データ列と第2の識別データ列との一致を確認したときに、動作を認可させる、ように構成されている。
いくつかの実施形態において、少なくとも1つのメモリおよびコンピュータプログラムコードは、さらに、プロセッサによって、認証装置に、第1のデバイスにおいて生体入力を示すデータを受信させ、記動作の認可に先行して、生体入力を示すデータと第1のデバイスのユーザに関連する記憶された生体データとの一致を確認させる、ように構成されている。
いくつかの実施形態において、第1のデバイスと第2のデバイスとの近接を検証するために、第1のデバイスを第2のデバイスと通信させるように構成された少なくとも1つのメモリとコンピュータプログラムコードとは、さらに、プロセッサによって、認証装置に、GPS、Wi-Fi、またはモバイルネットワーク位置情報によって第1のデバイスの位置の表示を受信させ、第1のデバイスの位置を第2のデバイスの位置と比較させ、第2のデバイスは確認可能な位置または確認された位置を有すると共に、第1のデバイスとは独立しており、第2のデバイスの確認可能な位置または確認された位置に基づいて第1のデバイスの位置を確認させる、ように構成されている。
いくつかの実施形態において、少なくとも1つのメモリとコンピュータプログラムコードとは、さらに、プロセッサによって、認証装置に、第1のデバイスの位置の決定に基づいて、動作の認可に先行して、位置が予め定義された許可された地理的領域内にあることを判断させる、ように構成されている。
いくつかの実施形態において、少なくとも1つのメモリとコンピュータプログラムコードとは、さらに、プロセッサによって、認証装置に、第1のデバイスの位置の決定に基づいて、動作の認可に先行して、位置が予め定義された許可された位置から所定の範囲内にあることを判断させる、ように構成されている。
いくつかの実施形態において、少なくとも1つのメモリとコンピュータプログラムコードとは、さらに、プロセッサによって、認証装置に、第1のデバイスの位置の決定に基づいて、動作の認可に先行して、位置が予め定義された許可されていない地理的領域内にないことを判断させる、ように構成されている。
いくつかの実施形態において、少なくとも1つのメモリとコンピュータプログラムコードとは、さらに、プロセッサによって、認証装置に、GPS、Wi-Fi、またはモバイルネットワーク位置情報による第1のデバイスの位置の決定に基づいて、動作の認可に先行して、第3のデバイスにおいて入力を受信させ、第3のデバイスにおける入力の検証に基づいて、動作を許可させる、ように構成されている。
いくつかの実施形態において、認証方法が提供される得り、方法は、第2のデバイスからの動作を引き起こす要求を受信するステップと、第1のデバイスと第2のデバイスとの近接を検証するために、第1のデバイスが第2のデバイスと通信するステップと、近接の検証を受信するステップと、第1の識別データ列を受信するステップと、第2の識別データ列を受信するステップと、第1の識別データ列と第2の識別データ列との一致を確認したときに、動作を認可するステップとを含む。
いくつかの実施形態において、方法は、第1のデバイスにおいて生体入力を示すデータを受信するステップと、動作の認可に先行して、生体入力を示すデータと第1のデバイスのユーザに関連する記憶された生体データとの一致を確認するステップとをさらに含む。
いくつかの実施形態において、第1のデバイスと第2のデバイスとの近接を検証するために、第1のデバイスが第2のデバイスと通信するステップは、GPS、Wi-Fi、またはモバイルネットワーク位置情報によって第1のデバイスの位置の表示を受信するステップと、第1のデバイスの位置を第2のデバイスの位置と比較するステップであって、第2のデバイスは確認可能な位置または確認された位置を有すると共に、第1のデバイスとは独立している、ステップと、第2のデバイスの確認可能な位置または確認された位置に基づいて第1のデバイスの位置を確認するステップとをさらに含む。
いくつかの実施形態において、方法は、第1のデバイスの位置の決定に基づいて、動作の認可に先行して、位置が予め定義された許可された地理的領域内にあることを判断するステップをさらに含む。
いくつかの実施形態において、方法は、第1のデバイスの位置の決定に基づいて、動作の認可に先行して、位置が予め定義された許可された位置から所定の範囲内にあることを判断するステップをさらに含む。
いくつかの実施形態において、方法は、第1のデバイスの位置の決定に基づいて、動作の認可に先行して、位置が予め定義された許可されていない地理的領域内にないことを判断するステップをさらに含む。
いくつかの実施形態において、方法は、GPS、Wi-Fi、またはモバイルネットワーク位置情報による第1のデバイスの位置の決定に基づいて、動作の認可に先行して、第3のデバイスにおいて入力を受信するステップと、第3のデバイスにおける入力の検証に基づいて、動作を許可するステップとをさらに含む。
いくつかの実施形態において、コンピュータプログラムが提供され得り、コンピュータプログラムは、コンピュータ実行可能プログラムコード命令が格納された少なくとも1つの非一時的コンピュータ可読記憶媒体を含み、コンピュータ実行可能プログラムコード命令は、第2のデバイスからの動作を引き起こす要求を受信するステップと、第1のデバイスと第2のデバイスとの近接を検証するために、第1のデバイスが第2のデバイスと通信するステップと、近接の検証を受信するステップと、第1の識別データ列を受信するステップと、第2の識別データ列を受信するステップと、第1の識別データ列と第2の識別データ列との一致を確認したときに、動作を認可するステップとを命令するためのプログラムコードを含む。
いくつかの実施形態において、コンピュータ実行可能プログラムコード命令は、さらに、第1のデバイスにおいて生体入力を示すデータを受信するステップと、動作の認可に先行して、生体入力を示すデータと第1のデバイスのユーザに関連する記憶された生体データとの一致を確認するステップとを命令するためのプログラムコードを含む。
いくつかの実施形態において、第1のデバイスと第2のデバイスとの近接を検証するために、第1のデバイスが第2のデバイスと通信するステップを命令するためにコンピュータ実行可能プログラムコード命令は、さらに、GPS、Wi-Fi、またはモバイルネットワーク位置情報によって第1のデバイスの位置の表示を受信するステップと、第1のデバイスの位置を第2のデバイスの位置と比較するステップであって、第2のデバイスは確認可能な位置または確認された位置を有すると共に、第1のデバイスとは独立している、ステップと、第2のデバイスの確認可能な位置または確認された位置に基づいて第1のデバイスの位置を確認するステップとを命令するためのプログラムコードを含む。
いくつかの実施形態において、コンピュータ実行可能プログラムコード命令は、さらに、第1のデバイスの位置の決定に基づいて、動作の認可に先行して、位置が予め定義された許可された地理的領域内にあることを判断するステップを命令するためのプログラムコードを含む。
いくつかの実施形態において、コンピュータ実行可能プログラムコード命令は、さらに、第1のデバイスの位置の決定に基づいて、動作の認可に先行して、位置が予め定義された許可された位置から所定の範囲内にあることを判断するステップを命令するためのプログラムコードを含む。
いくつかの実施形態において、コンピュータ実行可能プログラムコード命令は、さらに、第1のデバイスの位置の決定に基づいて、動作の認可に先行して、位置が予め定義された許可されていない地理的領域内にないことを判断するステップを命令するためのプログラムコードを含む。
いくつかの実施形態において、コンピュータ実行可能プログラムコード命令は、さらに、GPS、Wi-Fi、またはモバイルネットワーク位置情報による第1のデバイスの位置の決定に基づいて、動作の認可に先行して、第3のデバイスにおいて入力を受信するステップと、第3のデバイスにおける入力の検証に基づいて、動作を許可するステップとを命令するためのプログラムコードを含む。
他のシステム、方法、及び特徴が、以下の図面および詳細な説明を検討することにより、当業者には明らかであろうし、または明らかになるであろう。この説明に含まれるすべてのそのような追加のシステム、方法、特徴は、本開示の範囲内であり、以下の特許請求の範囲によって保護されることが意図される。
ここで添付の図面を参照して、本発明の実施形態を一般的な用語で説明するが、前記図面は必ずしも一定の縮尺で描かれていない。
本発明の例示的な実施形態にしたがって具体的に構成され得るシステムのブロック図である。 本発明の例示的な実施形態にしたがって利用され得る例示的なシステムを示す。 本発明の例示的な実施形態にしたがって利用され得る例示的なシステムを示す。 本発明の例示的な実施形態に係る専用回路を使用したデバイスの一例を示すブロック図である。 本明細書で説明される例示的な実施形態に係る例示的な動作を示す流れ図を示す。 本明細書で説明される例示的な実施形態に係る例示的な動作を示す流れ図を示す。 本明細書で説明されるの例示的な実施形態に係るプロセスを実行するための例示的な動作を示すデータフローを示す。 本明細書で説明される例示的な実施形態に係るプロセスを実行するための例示的な動作を示すデータフローを示す。 本明細書で説明される例示的な実施形態に係るプロセスを実行するための例示的な動作を示すデータフローを示す。
詳細な説明
本発明の実施形態は、本発明のすべての実施形態ではなく本発明のいくつかの実施形態が示されている添付の図面を参照して、以下でより完全に説明される。実際、本発明の実施形態は、多くの異なる形態で具体化され得るものであり、本明細書に記載の実施形態に限定されるものではない解釈されるべきである。むしろ、これらの実施形態は、本開示が適用可能な法的要件を満たすように提供される。同様の番号は、全体を通して同様の要素を示す。
本明細書で使用されるとき、用語「データ」、「コンテンツ」、「情報」および類似の用語は、様々な実施例に従って、補足され、送信され、受信され、表示および/または格納され得るデータを示す。したがって、このような用語の使用は、本開示の要旨および範囲を限定するものではない。さらに、コンピューティングデバイスが別のコンピューティングデバイスからデータを受信するように本明細書で説明されている場合、そのデータは別のコンピューティングデバイスから直接受信されてもよく、または、例えば1つ以上の中間コンピューティングデバイスを介して間接的に受信されてもよい。同様に、本明細書においてコンピューティングデバイスが他のコンピューティングデバイスにデータを送信するように記載されている場合、データは別のコンピューティングデバイスに直接送信されてもよく、例えば、1つまたは複数のサーバ、リレー、ルータ、ネットワークアクセスポイント、基地局などの中間コンピューティングデバイスを介して間接的に送信されてもよい。
概要
本発明の様々な実施形態は、地理に基づく電子セキュリティ管理およびアカウントアクセス制御を提供する改良されたシステム、装置、方法、およびコンピュータ可読媒体を対象とする。
本発明の実施形態は、電子アクセス制御パラダイムに追加のセキュリティ層を提供し、「誰か」のみならず「どこで」についても検証する。いくつかの調査では、特定のハッキング活動の95%以上が予測可能であるだけでなく、一般的なユーザの旅行範囲外の地域で発生することが示されている。したがって、地理的な制限は、適切に検証されるた場合、多くのハッキングをフィルタリング、検出、および防止するのに大きく役立つ。本発明の一態様によれば、地理的入力は、許可されたユーザによるアクセスを可能にし、権限のないユーザによるアクセスを拒否するために使用される。
本発明の実施形態によれば、高度に安全(secure)な第三者によってデバイスの位置を独立して検証することができる、ユーザのアカウントに関連付けられたハードウェアベースのデバイス(例えば、携帯電話)が、セキュリティプロセス全体に追加される。
従来のシステムは、ネットワークに接続されたユーザがどこにいるかを示す手段としてユーザのIPネットワークアドレスを調査していたが、この方法は安全ではなく、ユーザのIPアドレスを簡単に操作することができ(例えば、VPNトンネル)、または簡単にユーザが操作することができる。本発明によれば、第三者によって報告されたユーザの地理的位置(例えば、携帯電話オペレータ、ケーブルテレビオペレータ、または銀行によって操作されるATM(automated teller machine)ネットワークなどの無線ネットワークオペレータ))が、セキュリティプロセスに含まれる。ユーザ位置が、例えばGPSシステムを介してユーザに関連付けられた無線移動装置によって確立される実施形態では、移動装置と通信している基地局によって受信された信号の強度を使用して、ユーザの位置が決定され、それによって認証を実行するために使用されるセキュリティレベルが高まる。
地理的位置情報は、ユーザの装置が、自己報告する方法(例えば、GPS受信機)によって、または、外部ユーザシステム(例えば、携帯電話ネットワークオペレータ)がユーザの位置を報告する方法によって、または、ユーザの位置が、1つ以上の他の送信機/受信機、他の電子的位置手段、または上記の任意の組み合わせに対するユーザのデバイスによって送信または受信される信号の時間遅延を計算することによって計算される方法によって、取得されることができる。本明細書で使用される「GPS」という用語は、米国管理GPSシステム、ロシア管理GLONASSシステム、軍用グローバル測位システム、商業用グローバル測位システム、衛星ベースシステムまたは地上システムであり得るあらゆる全地球測位システム、またはユーザの物理的位置を提供することを意図した他のシステムであってもよい。本明細書で使用される用語「GPS位置」は、GPS位置情報の結果として、緯度、経度、および高度、および任意の他の導関数(速度など)を含むことを意味する。
図1は、基地局112との通信のために構成された関連するモバイルデバイス108を携帯するユーザ110を示す。基地局112は、順々に、1つ以上のサーバ104と通信する。本発明の一態様によれば、基地局112によって決定されるモバイルデバイス108すなわちユーザ110の位置は、ユーザ認証プロセスの一部として、ユーザの予想される位置と比較される。ユーザの予想される位置は、通常、ユーザによって事前に定義された地理的区域(geo-region)をカバーする。
技術的な基礎と例示的な実施形態の実装
IPベースのロケーションルックアップなどのユーザの位置を決定するために使用される従来のシステム、またはユーザに関連付けられたモバイルデバイスの自己報告されたGPS位置は、信頼できない。ユーザのIPアドレスは、例えば、VPNトンネルを介してユーザがサインインすることによって容易に操作することができる。デバイスによる自己報告された場所が信頼できない場合、デバイスが間違った情報を自己報告するように簡単に構成される得る。
本発明の実施形態は、他の利点においてもとりわけ、アカウントへの不正アクセスまたはアカウントの監視を低減する。本発明の実施形態は、信頼できる、ユーザの地理的位置についての第三者提供のソースを追加することによって、不正ユーザのターゲットと判定されたアカウントへのアクセスをさらに制御すると共に制限する。地理的入力は、許可されたユーザが自分のアカウントにアクセスすることを可能にするために使用され、一方で、許可されていないユーザがそうするのを妨げる。
本発明の一態様によれば、ユーザは、将来のアカウント動作に対して自分自身を自己制限することに同意する1つ以上の地理的ポイントまたは地理的区域を予め定義する。ユーザが定義した地理的区域を使用して、将来のアカウント活動から地理的区域を含めるかまたは除外することができる。この操作は、許可されていないユーザがアカウントをハッキングしようとすると、今後の操作を自己制限またはブロックする。ユーザは、共通のデフォルト設定(例えば、大陸の48州内)を選択するか、または認可されたアクセスを有効または無効にするために1つ以上の一般的な地理的領域を特別に定義することができる。ユーザは、特定のアカウント活動(パスワード変更など)を自己制限することができる1つまたは複数の特定の地理的ポイントをさらに選択することができる。そのような方法は、さらなる組み合わせセキュリティのために、他の物理的アクセスセキュリティと組み合わせて使用することができる。例えば、将来の口座管理の変更が特定の空軍基地内の建物からのみ行われるように、軍事口座を事前に構成することができる。したがって、アカウントにアクセスするには、ユーザがその特定の場所にいなければならないだけでなく、その建物に到達するためには、ユーザは、さらに、特定のアカウントのログイン情報を知ることに加えて、空軍の物理的な境界のセキュリティ(ガードゲート、フェンスなど)を通り抜ける必要がある。
電子アカウントには、メールアカウント(Google Gmail、Outlook、Yahoo Mailなど)、ファイル管理アカウント(DropBox、OneDrive、Boxなど)、ソーシャルメディアアカウント(LinkedIn、Facebook、Twitterなど)、ファイナンスアカウント(銀行アカウント、クレジットカードアカウント、株式ブローカーアカウントなど)、ビジネス関連アカウント(営業部など)、ハードウェア管理アカウント(ルータ、ファイアウォール、カメラ、サーモスタット、車、飛行機、宇宙衛星、遠隔車両制御など)、家庭用セキュリティおよびスマートホームアカウント(例えば、Nest)、ゲーム、エンターテインメント関連のアカウント(NetFlix、Hulu、Sony Playstation、Steam、Zynga、Electronic Artsのオンラインゲームアカウント、Spotify音楽アカウントなど)、通信アカウント(Skype、eFax、GoToMeetingなど)、旅行関連アカウント(Expedia、Orbitz、United Airlinesなど)、小売アカウント(Amazon、WalMart.comなど)、製造電子アカウント(3Dプリンタファイル、化学プラント管理アカウントなど)、学校またはその他の教育アカウント(教師アカウント、学生アカウント、教材アカウントなど)、法律関連のオンラインアカウント、食品注文アカウント(例えば、pizzahut.comなど)、または個人、企業、事業、政府、または他の団体が使用する他のタイプの電子アカウントなどがある。
そのような電子アカウントは、「クラウド」(インターネットに接続されたサーバおよびデータベース上)または企業またはエンタープライズサーバ上に存在することができ、コンピューティングデバイス上に存在し得る。
あるデバイス自体がローカルアカウントを保持し(ルータ、ファイアウォール、携帯電話など)、ポータブルデバイスおよび/またはウェアラブルコンピューティングデバイス(例えば、スマート携帯電話、スマートウォッチ、スマートメガネ、タブレットなど)ならびに非モバイルデバイス(デスクトップ、ラップトップなど)も、ローカルアカウントを保持することができる。
モバイルネットワークオペレータ(例えば、AT&T、Verizonなど)は、そのユーザの装置が割り当てられるセル・タワー・ネットワークに基づいて(常にではないが、しばしば最も近い)セルの現在位置を直接に独立して知得する。セルラベースの無線ネットワークは、通常、ユーザに割り当てられた多数のローカル「セル」を有し、ユーザにはその特定のセルの「スロット」(または周波数)が割り当てられる。ユーザが移動すると、ユーザが移動したときに自動的に移行(ハンドオフ)される新しいセル(および通常は異なる周波数スロット)に再割り当てすることができる。したがって、モバイルネットワークは、ユーザに割り当てられたセルタワーを知っている。
本発明の実施形態は、ハードウェア、ソフトウェア、ファームウェア、またはこれらの組み合わせのいずれかで実装することができる。
一実施形態では、1つのハードウェアユニット(携帯電話など)は、本発明の実施形態にしたがってソフトウェアおよび/またはファームウェアの第1の部分を実行し、他のハードウェアユニット(クラウド内のサーバなど)は、本発明の実施形態にしたがってソフトウェアの第2の部分を実行する。他のソフトウェアプログラムは、データベースおよび他の記憶されたデータを制御および管理することができる。
本発明の実施形態によれば、ネットワーク報告されたユーザの位置は、ユーザの位置およびアイデンティティを確認する独立したソースとして使用される。そのようなネットワークはまた、複数のセルタワーなどから受信した相対的な信号強度を三角測量することによってデバイスの位置を近似することもできる(この三角測量技術は従来の監視システムによって使用されている)。他の任意のそのような第三者ネットワーク、例えば、ATMネットワークを使用することができる。例えば、ユーザが一意のクレジットカードまたはデビットカードを入力し、オプションでPINコードを検証する場合、その取引の位置は、サーバなどの既知のソースに送信され、そこでユーザの位置を確認するために使用される。ATMでは、物理的なセキュリティ対策も優れている傾向があり、しばしば、それらは閉回路のテレビネットワークに記録され、警備員やその他のセキュリティ制御装置が内部にまたはその近くに配置されている。
他の例示的な実施形態によれば、安全な第三者の位置サービスは、DirectTVのDVR、TiVo、またはDish NetworkのDVRなどのケーブル、インターネット、または衛星対応TVアクセスデバイス上で実行された、特定時刻または特異なユーザの動作に依存してユーザの位置を判断する。TVアクセスカードおよびその関連アクセスデバイスは、進化し、高度なセキュリティプロトコルを利用して、ハッカーおよび悪人が署名なしでプレミアムテレビチャンネルおよびコンテンツを盗むことを防止する。ボックスは一般的に家庭およびオフィス内で鍵をかけられており、セキュリティガード、カメラ、警報システム、デッドボルト付きの丈夫なドアなど、それらを保護するための物理的なセキュリティがすでに強化されている場合もある。ユーザが自分の位置を確認するために実行する動作は、設定された制限時間内に携帯電話でプロンプトが表示されたときにランダムな非定型チャンネルを閲覧するなど、そのユーザに対して一意に識別可能に識別可能なものであるか、TVボックスの内蔵アプリケーションまたはダウンロード可能なアプリケーションの1つにアクセスするか、プロンプトが表示されたときに一意のPINコードを入力するか、または、間違って実行されないような他の動作が含まれる。
いくつかの実施形態では、ユーザは、自分のデバイス(携帯電話など)の1つまたは複数を自分のアカウントに関連付ける。そのような装置は、上述のようにその位置が決定されることが可能である。一実施形態では、ユーザのデバイスは、(割り当てられたPIN番号または他の検証可能な入力を収容するなどして)そのユーザの制御下にあるとしてさらに検証されることができる。一実施形態では、関連デバイスのユーザのリストは、ハッシュまたは他の安全な方法で「クラウド」に格納される。ユーザのデバイスに関連付けられたデバイスの位置は、(複数のまたは割り当てられた)同一位置のストレージデバイス/エリアの1つまたは複数の位置に格納されることができる。
いくつかの実施形態では、精度を向上させるために、多数の独立したセルオペレータ(本明細書ではキャリアと呼ぶ)を使用してユーザの位置を決定することができる。したがって、ユーザの位置は、ユーザが登録されている第1のキャリア(例えば、AT&T)だけでなく、ユーザが登録されていない第2の独立したキャリア(例えば、Verizon)によっても決定される。いくつかの実施形態では、そのような第1および第2のキャリアによって操作される基地局によって受信されるユーザのデバイスの信号強度は、位置精度を向上させ、したがってアクセスセキュリティを向上させるために使用され得る。
いくつかの実施形態では、ユーザの装置を統合し、ユーザの装置によって報告された地理的位置情報(自己報告されたGPS位置)が統合され、さらに、1つまたは複数の衛星によって供給される時間および位置情報とともに送信される追加の検証情報を処理することによって認証される。例えば、ロシアのGLOSNOSS "GPS"システムは、秘密/公開鍵システムによって保護された衛星の位置情報と共に、追加の暗号化された情報を送信することができる。解読されると暗号化された情報は、計算されたGPS位置情報が真正であるという認証を提供する。信号データは、適切な復号鍵情報にアクセスすることによって検証することができる。解読/検証ステップは、デバイス上で行うこともでき、または原データがデバイスを介して中継されることができ、検証のために他のパーティに送信されることができる(必要な解読キーにアクセスする誰か)。追加の保護を提供するために、そのようなキーはタイムリーに周期的に変えることができる。
いくつかの実施形態では、クライアントが報告した位置推定方法は、ローカルに検出されたモバイルタワー、Wi-Fi局、または他の装置が報告した手段に基づく。
いくつかの実施形態では、ユーザのデバイスによって報告されたユーザのデバイスの地理的位置情報が統合される(ローカルに見られるモバイルタワー、Wi-Fi局、または他のデバイスが報告した手段に基づく自己報告GPS位置またはクライアントが報告した位置推定)。いくつかの実施形態では、複数のソースからのユーザのデバイス地理的位置情報(例えば、使用デバイスが報告したGPS位置とモバイルネットワークが報告した位置の両方によって報告される位置)が統合される。
いくつかの実施形態では、ユーザのデバイスの以前に決定された位置(ユーザは、この位置を、アカウントの変更が発生することが可能な彼の好ましい「秘密」位置の1つ以上に「設定」してもよい)は、ユーザの現在の決定された位置と比較されて、一致するか否かが判断され得る。一致した場合にのみ、特定の動作(パスワード変更など)が承認される。そのような場所は、ハッシュテーブルまたは他の一方向アルゴリズムの暗号化されたテーブルに格納して、プレーンテキストでの場所をデータベースに保存しないようにすることができる(ユーザデータベースが後でハッキングされた場合、選択された場所が開示されることを回避する)。いくつかの実施形態では、ユーザが選択したまたはプリセットの位置(例えば、住所を入力することまたはGoogleマップでビジュアルマップをクリックすることなど)は、後で決定された場所と比較されて一致するか否かが判断される。一致する場合にのみ、特定の動作(例えば、パスワード変更)が承認され得る。
いくつかの実施形態では、ユーザは、認証に使用するために、狭く定義された「地理的ポイント」(例えば、特定の場所から100フィート以内)の場所を1つまたは複数選択することができる。例としては、特定の道路の曲がり角、特定のレストラン、家、オフィス、またはユーザが事前に決定した特定の場所などがある。一実施形態では、格納された「地理的ポイント」位置のセキュリティを補助するために、ユーザの「地理的ポイント」は一方向ハッシュにされてもよく、データベースに格納されてもよい。
いくつかの実施形態では、ユーザは、「自分のアカウントにログインするために、またはアカウントの選択された変更(パスワード変更など)をするために、事前に許可された場所」として、自分のアカウントに1つまたは複数の「地理的ポイント」を事前に設定する。いくつかの実施形態では、ユーザは、「地理的領域」のデフォルトまたは示唆された設定を入力または受領することができる。「地理的領域」の例は、小領域(例えば、家屋、オフィスビルの床、レストラン)、都市(例えば、ロサンゼルス)、州(例えば、カリフォルニア州)、またはより広いものである(例えば、米国の48州)。そのような実施形態では、ユーザの事前に割り当てられたデバイス(例えば、携帯電話)は、ユーザがログインすることを可能にするために、または、アカウントに選択された変更(例えば、パスワードの変更)を行うことを可能にするために、先ず、その「地理的領域」内に物理的に存在することが判断される。
いくつかの実施形態では、1つまたは複数の予め選択された地理的領域内でのユーザ装置の位置の検出は、許可されたアクセスを可能にする。いくつかの実施形態では、1つまたは複数の所定の地理的領域内でのユーザ装置の位置の検出は、ターゲットアカウントへのアクセスを無効にする。いくつかの実施形態では、緯度および経度に加えて、ユーザの高度(例えば、高層ビルの40階)が、「地理的ポイント」を定義する際に使用されてもよい。
本発明のいくつかの実施形態は、ルータ、ファイアウォール、ネットワークスイッチなどのハードウェアデバイスへのアクセスを制御することを対象とすることができる。ハードウェアデバイスは、予め構成された許可ユーザのセットを有することができる(順々に、それぞれのマットが、位置を決定され得る予め割り当てられたデバイスのセットを有することになる)。したがって、ネットワーク管理者がハードウェアファイアウォールの構成を変更することを決定した場合、ユーザデバイスの場所を確認する必要がある(たとえば、地理的ポイントまたは地理的領域を使用して)。
いくつかの実施形態では、位置が決定され得る許可されたユーザデバイスのリストおよび許可されたデバイスのユーザのリストは、デバイスに配置されたメモリにローカルに格納される。一実施形態では、許可されたユーザのデバイスリストと、位置が決定され得る許可されたデバイスのユーザリストは、クラウドに格納され、例えばVPNトンネルを介してそのデバイスによって安全なソースにアクセスされる。いくつかの実施形態では、物理的なドアロックのような装置は、本明細書で説明される第三者認証を使用して開かれてもよい。
本発明の他の実施形態によれば、位置に関係しない他のタイプの情報を用いて、装置の自己報告GPS位置を認証することができる。そのような情報は、第三者(例えば、モバイルネットワークオペレータ)とユーザのデバイスとの両方によって知得され得る。例えば、現在割り当てられているセルタワー周波数スロット(例えば、スロット番号123)は、両方の装置(それが認識している周波数スロット上でタワーに接続されている)に知られており、モバイルネットワークオペレータにも知られている。デバイスは、現在割り当てられている周波数スロットを報告するように構成されることができる。この情報は、デバイスの報告された周波数と、ネットワークオペレータがデバイスに割り当てた周波数とを比較することによって認証されてもよい。このようにリアルタイムに割り当てられた周波数情報は、システムまたはエリア外のハッカーが知ることまたは推測することが困難である。周波数および周波数スロットという用語は、装置が通信しているモバイルタワーと通信している特定の周波数を指すと理解される。サイドチャネル割り当て、RF電力設定、IMEI、識別情報、およびデバイスが登録されているデバイスとネットワークの両方によって知られている他のデータなど、他の同様の情報も検証に使用されることができる。このような非ユーザ位置情報は、デバイス情報のネットワークベースの開示から保護する領域(ヨーロッパの一部など)において有利である。
本発明のいくつかの実施形態は、リモートコンピュータアクセスシステムと協働して使用されることができる。ユーザは、テキストシェル端末などのウィンドウ、グラフィカルユーザインターフェース(すなわち、MacまたはWindowsまたはUNIX(登録商標)または同様のものに接続すること)を使用して(本発明の実施形態のいずれかに従って接続が認可/使用可能にされた後に)そのようなリモートアクセスシステムにアクセスすることができる。他のリモートアクセスシステムには、リモートアクセスデスクトップ、リモートデータベース、リモート注文システム、リモートセキュリティシステム、リモートサーバ、リモート仮想マシン(VMware、Amazonなど)、リモートPC(GoToMyPC、LogMeIn、VNCなど)、リモート・メインフレーム、リモート・デスクトップ、トラブルシューティングまたは顧客サービスで使用するためのリモート・システム、または他のタイプのリモート・コンピューター・システムまたはインターフェースなどがある。
システムアーキテクチャー
本発明の方法、装置、およびコンピュータプログラムは、様々なデバイスのいずれかによって具体化されることができる。例えば、例示的な実施形態の方法、装置、およびコンピュータプログラムは、1つまたは複数のデバイスと通信するように構成された、サーバまたは他のネットワークエンティティなどのネットワークデバイスによって具体化されることができる。加えて、または代替的に、例示的な実施形態の方法、装置、およびコンピュータプログラムは、パーソナルコンピュータまたはコンピュータワークステーションなどの固定コンピューティングデバイスによって具体化されることができる。さらに、例示的な実施形態は、携帯電話、スマートフォン、ラップトップコンピュータ、タブレットコンピュータ、または上述のデバイスの任意の組み合わせなど、様々なモバイル端末のいずれかによって実施されてもよい。
再び図1を参照すると、本発明の実施形態が動作する例示的なコンピューティングシステムが示されている。ユーザ110は、ネットワーク114(例えば、インターネットなど)を介して認証サービス102と通信するように構成され得る、モバイルデバイス108を介して基地局112にアクセスすることができる。さらに、認証サービス102は、データベース106と通信するサーバ104を備えることができる。
サーバ104は、当該技術分野で知られている1つのコンピュータまたは複数のコンピュータとして実施されることができる。サーバ104は、ユーザ装置108および基地局112を含むが、必ずしもこれらに限定されない様々なソースからの電子データを受信することを提供することができる。サーバ104は、例えば、様々なユーザデバイスなどによって提供される位置情報に基づいて、様々な動作(例えば、電子商取引)を容易にする、許可する、可能にする、または検証するように構成されることができる。
データベース106は、ネットワーク接続ストレージ(NAS)デバイスなどのデータ記憶デバイスとして、または別個のデータベースサーバとして、または複数のデータベースサーバとして具体化することができる。データベース106は、認証サービス102の動作を容易にするために、サーバ104によってアクセスされると共に格納された情報を含む。例えば、データベース106は、システム管理者のためのユーザアカウント証明、生体データ、および任意の数およびタイプの様々なユーザを含み得るが、これらに限定されない。
ユーザデバイス108は、当該技術分野で知られており、ユーザによって操作される任意のコンピューティングデバイスであり得る。ユーザデバイスからサーバ104によって受信された電子データは、様々な形態及び様々な方法で提供され得る。例えば、ユーザデバイスは、デスクトップコンピュータ、ラップトップコンピュータ、スマートフォン、ネットブック、タブレットコンピュータ、ウェアラブルなどを含むことができる。情報が、ユーザデバイス上の様々なソースを介して提供され得る。
ユーザデバイス108がスマートフォンまたはタブレットなどのモバイルデバイスである実施形態では、ユーザデバイス108は、認証サービス102と対話するために「アプリ」を実行することができる。そのようなアプリは、通常、タブレットまたはスマートフォンとしてのモバイルデバイス上で実行されるように設計されている。例えば、アプリは、Apple Inc.のiOS(登録商標)、Google Inc.のAndroid(登録商標)、またはMicrosoft Inc.のWindows(登録商標)8などのモバイルデバイスオペレーティングシステム上で実行されるものとして提供されることができる。これらのプラットフォームは、通常、アプリが相互に、およびモバイルデバイスの特定のハードウェアおよびソフトウェアコンポーネントと通信できるようにするフレームワークを提供する。例えば、上記のモバイルオペレーティングシステムは、位置情報サービス回路、有線および無線ネットワークインターフェース、ユーザ連絡先、および他のアプリケーションと相互作用するためのフレームワークを提供し、アプリケーション間の相互作用を改善し、消費者のプライバシーおよびセキュリティを維持する。いくつかの実施形態では、モバイルオペレーティングシステムは、外部デバイス(ホームオートメーションシステム、屋内ナビゲーションシステムなど)と対話するための改良された通信インターフェースを提供することもできる。アプリの外部で実行されるハードウェアおよびソフトウェアモジュールとの通信は、通常、モバイルデバイスオペレーティングシステムによって提供されるアプリケーションプログラミングインターフェース(API)を介して提供される。
図2Aは、本発明の一実施形態に係る認証を実行するように構成され得る例示的なネットワーク200の例示的な概略図である。図2Aは、サーバ290およびコンピュータデバイス270aと通信するモバイルデバイス250を示す。また、コンピュータデバイス270は、サーバ290と通信する。
図2Bは、本発明の一実施形態に係る認証を実行するように構成され得る例示的なネットワーク200の例示的な概略図である。図2Bは、サーバ290およびPOS端末270bと通信するモバイル機器250を示す。また、POS端末270は、サーバ290と通信する。
本発明の実施形態を実施するための装置例
サーバ104は、図3に示す装置300などの1つまたは複数のコンピューティングシステムによって具体化されることができる。図3に示すように、装置300は、プロセッサ302、メモリ304、入出力回路306、通信回路308および認証モジュール310を含むことができる。装置300は、図1に関して上述したおよび図4-7に関して下記で説明する動作を実行するように構成され得る。これらの構成要素302-310は、機能上の制限に関して説明されるが、特定の実施形態は必ず特定のハードウェアの使用を含むことを理解されたい。これらの構成要素302-310のうちのいくつかは、同様のまたは共通のハードウェアを含み得ることも理解されたい。例えば、2つの回路セットは、同じプロセッサ、ネットワークインターフェース、記憶媒体などの使用を両方が利用することができ、それらの関連する機能を実行することができ、重複したハードウェアが各回路セットに必要とされない。したがって、装置の構成要素に関して本明細書で使用される「回路」という用語の使用は、本明細書で説明される特定の回路に関連する機能を実行するように構成された特定のハードウェアを含むと理解されるべきである。
「回路」という用語は、ハードウェアを含むように広く理解されるべきであり、いくつかの実施形態では、ハードウェアを構成するためのソフトウェアを含む。例えば、いくつかの実施形態では、「回路」は、処理回路、記憶媒体、ネットワークインターフェース、入出力デバイスなどを含むことができる。いくつかの実施形態では、装置300の他の要素は、特定の回路の機能を提供または補足することができる。例えば、プロセッサ302は処理機能を提供してもよく、メモリ304は記憶機能を提供してもよく、通信回路308はネットワークインターフェース機能などを提供してもよい。
いくつかの実施形態では、プロセッサ302(および/またはコプロセッサまたはプロセッサを補助する他の処理回路)は、装置の構成要素間で情報を渡すためのバスを介してメモリ304と通信することができる。メモリ304は、非一時的なものであってもよく、例えば、1つ以上の揮発性および/または不揮発性メモリを含み得る。換言すれば、例えば、メモリは、電子記憶デバイス(例えば、コンピュータ可読記憶媒体)であってもよい。メモリ304は、本発明の例示的な実施形態に従って、装置が様々な機能を実行することを可能にするために、情報、データ、コンテンツ、アプリケーション、命令などを格納するように構成され得る。
プロセッサ2302は、多数の異なる方法で具体化されることができ、例えば、独立して実行するように構成された1つ以上の処理装置を含むことができる。追加的または代替的に、プロセッサは、命令の独立した実行、パイプライン化、および/またはマルチスレッディングを可能にするために、バスを介してタンデムに構成された1つまたは複数のプロセッサを含むことができる。「処理回路」という用語の使用は、単一のコアプロセッサ、マルチコアプロセッサ、装置内部の複数のプロセッサ、および/またはリモートプロセッサまたは「クラウド」プロセッサを含むものと理解することができる。
例示的な実施形態では、プロセッサ302は、メモリ304に格納された命令を実行するように、またはプロセッサにアクセス可能な命令を実行するように構成されることができる。代替的または追加的に、プロセッサは、ハードコードされた機能を実行するように構成されてもよい。このように、プロセッサは、ハードウェアまたはソフトウェアの方法によって、またはそれらの組み合わせによって構成されても、本発明の実施形態による動作を実行することができるエンティティ(例えば、回路内に物理的に具現化されたもの)を、それに応じて構成することができる。あるいは、別の例として、プロセッサがソフトウェア命令の実行者として具体化される場合、命令は、命令が実行されるときに本明細書で説明されるアルゴリズムおよび/または動作を実行するようプロセッサを具体的に構成することができる。
いくつかの実施形態では、装置300は、順次、プロセッサ302と通信して出力をユーザに提供すると共に、いくつかの実施形態ではユーザ入力の指示を受信する入出力回路306を含むことができる。入出力回路306は、ユーザインターフェースを備えると共に、ディスプレイを含むことができ、ウェブユーザインターフェース、モバイルアプリケーション、クライアントデバイス、キオスクなどを含むことができる。いくつかの実施形態では、入出力回路306は、キーボード、マウス、ジョイスティック、タッチスクリーン、タッチエリア、ソフトキー、マイクロフォン、スピーカー、または他の入出力メカニズムを含むこともできる。プロセッサを含むプロセッサおよび/またはユーザインターフェース回路は、プロセッサにアクセス可能なメモリ(例えば、メモリ304など)に記憶されたコンピュータプログラム命令(例えば、ソフトウェアおよび/またはファームウェア)を介して、1つまたは複数のユーザインターフェース要素の1つまたは複数の機能を制御するように構成されてもよい。
通信回路308は、ネットワークおよび/または任意の他のデバイス、回路、または装置300と通信するモジュールから/にデータを受信および/または送信するように構成されたハードウェアまたはハードウェアとソフトウェアの組み合わせのいずれかで実施されるデバイスまたは回路などの任意の手段とすることができる。これに関して、通信回路308は、例えば、有線または無線の通信ネットワークとの通信を可能にするためのネットワークインターフェースを含むことができる。例えば、通信回路308は、1つまたは複数のネットワークインターフェースカード、アンテナ、バス、スイッチ、ルータ、モデム、およびサポートハードウェアおよび/またはソフトウェア、またはネットワークを介した通信を可能にするのに適した任意の他の装置を含むことができる。追加的または代替的に、通信インターフェースは、アンテナを介して信号の送信をするために、またはアンテナを介して受信された信号の受信を処理するために、アンテナと相互に作用するための回路を含むことができる。
認証回路310は、動作を許可するために、ユーザの地理的位置の認証、判定、または検証を容易にするように構成されたハードウェアを含む。認証回路310は、プロセッサ302などの処理回路を利用して、これらの動作を実行することができる。しかしながら、いくつかの実施形態では、促進回路310は、別個のプロセッサ、特別に構成されたフィールドプログラマブルゲートアレイ(FPGA)、または本明細書で説明される様々な機能を実行する特定用途向けインターフェース回路(ASIC)を含むことができる。したがって、促進回路310は、これらの計画された機能を実現するためのハードウェアまたはソフトウェアによって構成された装置のハードウェア構成要素を使用して実装される。
理解されるように、任意のそのようなコンピュータプログラム命令および/または他のタイプのコードは、コンピュータ、プロセッサまたは他のプログラマブル装置の回路にロードされて、機械を構成することができ、機械上でコードを実行するそのようなコンピュータ、プロセッサまたは他のプログラマブル回路は、本明細書で説明される機能を含む様々な機能を実施するための手段を構成する。
また、本明細書で説明される例示的なディスプレイによって提示される情報のすべてまたは一部は、装置300の1つまたは複数の構成要素によって受信、生成および/または維持されるデータに基づくことができることにも留意されたい。いくつかの実施形態では、1つまたは複数の外部システム(リモートクラウドコンピューティングおよび/またはデータストレージシステムなどの)もまた、本明細書で説明される機能の少なくとも一部を提供するために利用され得る。
上述したように、本開示に基づいて理解されるように、本発明の実施形態は、方法、モバイルデバイス、バックエンドネットワークデバイスなどとして構成することができる。したがって、実施形態は、ハードウェアまたはソフトウェアとハードウェアの任意の組み合わせのすべてを含む様々な手段を含むことができる。さらに、実施形態は、記憶媒体に組み込まれたコンピュータ可読プログラム命令(例えば、コンピュータソフトウェア)を有する少なくとも1つの非一時的なコンピュータ可読記憶媒体上のコンピュータプログラムの形態をとってもよい。非一時的なハードディスク、CD-ROM、フラッシュメモリ、光記憶装置、または磁気記憶装置を含む、任意の適切なコンピュータ可読記憶媒体が利用され得る。
本発明の実施形態を実施するための例示的な動作
認証プロセス
上述したように、本発明の実施形態によれば、高度に安全な第三者によってデバイスの場所を独立して検証することができる、ユーザのアカウントに関連付けられたハードウェアベースのデバイス(例えば、携帯電話)が、全体のセキュリティプロセスに追加される。
図4は、例えば動作を可能にするかまたは許可する前に(例えば、ウェブサイトにログインする、購入など)、例えば第2のデバイスを使用して、第1のデバイスの位置を確認、検証し、もしくは承認する例示的な認証プロセスを説明する流れ図を示す。いくつかの実施形態では、第1のデバイスは、例えば、デスクトップ、ラップトップ、タブレットなどによって具体化されてもよく、第2のデバイスは、例えば、ユーザのモバイルデバイスによって具体化されてもよい。しかしながら、当業者は、本発明の実施形態がそれに限定されないことを理解するであろう。例えば、第1および第2のデバイスは、デスクトップ、ラップトップ、タブレット、モバイルコンピューティングデバイス、ウェアラブルコンピューティングデバイス、物品コンピューティングデバイスのインターネット、端末、POS端末、車両、物理的ロックデバイスクラウド・アプリケーション、クラウド・サーバ、仮想デスクトップ、仮想マシン、仮想モバイルデバイス、仮想タブレットデバイス、生体センシングシステム、または同様の関連デバイスなどを含むが、これらに限定されない。
ユーザのブラウザ・サーバ・ウェブサイトがユーザの携帯電話番号/電子メールアドレス/音声電話番号に関連付けられていると仮定すると、これらの「第2の要因」アプローチは、ユーザが発言者自身であることをさらに検証し確認する働きをする。
上述したように、従来の認可技術には多くの欠点がある。例えば、ユーザが識別シーケンスを繰り返し入力するために必要とされる継続的な労力のために、ユーザの採用率は低い。さらに、一部のユーザは、テキストメッセージを受信するために余分な料金を支払う必要がある。そのようなテキストメッセージの配信は、時には遅く、数分または数時間かかる場合がある。そのようなものとして、閉ループのセキュリティ検証プロセスは、ユーザがほとんど労力を必要とせず、それによってユーザの時間と費用を節約する、ことを提供する。
開始において、いくつかの実施形態では、第1のデバイスおよび第2のデバイスは事前認証される。すなわち、図4のブロック405に示すように、装置400などの装置は、第1の装置および第2の装置のうちの1つまたは複数を認証するように構成されることができる。他のところで説明したように、第1のデバイスおよび/または第2のデバイスは、任意の形態のコンピューティングデバイスによって具体化されてもよい。いくつかの実施形態では、認証は、後続のステップの前のある時点(例えば、数分、数時間、数日または数週間)で行われる前処理ステップである。例えば、いくつかの実施形態では、登録プロセスなどの間に、第1のデバイス(例えば、デスクトップ、ラップトップなど)および/または第2のデバイスを事前に認証することができる。認証は、ハードウェア識別子(例えば、シリアル番号)、ソフトウェア識別子(例えば、ライセンス)などを使用することを含む様々な手段によって行うことができる。
その後、図4のブロック410に示すように、装置300のような装置は、例えば、第2のデバイス(例えば、認証されたデスクトップ/ラップトップ上のブラウザを使用してユーザによって操作される)を使用してクライアントサーバとのセッションを開始する。図4のブロック415に示すように、装置300のような装置は、第1のデバイス(例えば、ユーザの事前に認証されたデスクトップ/ラップトップ)を検索するためにクライアントサーバに第2のデバイス(例えば、ユーザの認証されたモバイルデバイス)にアラートを送信させるように構成することができる。
デスクトップ/ラップトップコンピュータには、インストールされたクライアントソフトウェア(例えば、ブラウザプラグイン、ネイティブ・デスクトップ・ソフトウェアアプリ、オペレーティングシステムサービスなどを含む任意の形態)が付属することが多い。そのようなソフトウェアは、本発明のいくつかの実施形態によれば、コンピュータをユーザの携帯電話によって無線で検出できる「ビーコン(beacon)」として使用できるようにする、ブルートゥース(登録商標)インターフェース、RFIDインターフェース、WiFiインターフェース、または任意の同様の無線インターフェースなどとして、そのデスクトップ/ラップトップ上のハードウェアを駆動する。いくつかの実施形態では、デスクトップ/ラップトップとユーザのモバイルデバイスとの間の通信は、有線接続を介して実行されてもよい。そのような実施形態では、デスクトップ/ラップトップデバイスは、ローカル有線接続を介してパケットを発信し、その後、携帯電話のローカルLAN接続によって検出されることができる。そのような実施形態は、この有線パケットがおそらく遠隔のハッカーから送信される可能性があるため、安全ではない可能性がある。
いくつかの実施形態では、デスクトップ/ラップトップとユーザのモバイルデバイスとの間の通信は、デジタル光学接続を介して実行されてもよい。このような実施形態では、デスクトップ/ラップトップは、携帯電話のローカルLAN接続によって検出されるローカル光接続を介してパケットを発信することができる。この有線パケットはおそらく遠隔のハッカーから送信される可能性があるので、この実施形態は安全ではない可能性がある。
いくつかの実施形態では、デスクトップ/ラップトップとユーザのモバイルデバイスとの間の通信は、視覚的光学的接続を介して実行されてもよい。そのような実施形態では、デスクトップ/ラップトップは、光結合を介して光信号を出力し、その後、携帯電話の視覚入力センサ(例えば、カメラ)または周囲光検出器によってその光信号を検出することができる。
いくつかの実施形態では、デスクトップ/ラップトップとユーザのモバイルデバイスとの間の通信は、音響接続または音声接続を介して実行されてもよい。そのような実施形態では、デスクトップ/ラップトップは、携帯電話のマイクロホンによって検出されるオーディオ波を介してデータを放射することができる。
いくつかの実施形態では、デスクトップ/ラップトップデバイスとユーザのモバイルデバイスとの間の通信チャネル(RF、ワイヤレス、光学、視覚、音響などによる)にかかわらず、デスクトップ/ラップトップデバイス上で動作するコードは、デスクトップ/ラップトップの「ビーコン」送信機を起動して、その後ユーザのモバイルデバイスによって検出される固有の識別データシーケンスを送信する、ように適合されたサーバソフトウェアによって制御される。サーバはまた、モバイルデバイスにビーコン信号の聴き取りを開始させるために、ユーザのモバイルデバイスに「ウェイクアップ信号」を送信することができる。その「ウェイクアップ信号」は、Wi-Fiネットワークを介して送信される信号を介して、ワイヤレス電話ネットワークを介して送信される信号を介して、第三者のメッセージングシステム(例えば、アップル)を介して、テキストメッセージの形式で取得されることができる。
いくつかの実施形態では、モバイルデバイスは、ビーコン送信を継続的に聴き取らせることができる。ユーザのモバイルデバイスがビーコンを検出した後、モバイルデバイスは、そのビーコンをサーバに再送信する。サーバは、デスクトップ/ラップトップに発信元の識別データを送信したものと同じサーバでもよいし、データ文字列(string)を比較する別のサーバでもよい。
図4のブロック420に示すように、第2のデバイス(例えば、ユーザの認証されたデスクトップ/ラップトップ)が見つかった場合、装置300のような装置は、第1のデバイス(例えば、ユーザの認証されたモバイルデバイス)が第2のデバイスに近接していることを検証するために、第2のデバイス(例えば、ユーザの認証されたデスクトップ/ラップトップデバイス)と通信する。すなわち、本装置は、第1のデバイスが第2のデバイス(例えば、ユーザの認証されたデスクトップ/ラップトップ装置)に近接(例えば、1つまたは複数の近距離無線通信方法が実行されるのに十分に近い、予め定義された範囲内にある)して配置されていることを、第1のデバイスに判断させる、検証させる、またはそうでなければ確認させることができる。
通信が確立されると、結果が送信され得る。したがって、図4のブロック425に示すように、装置300などの装置は、近接判定/検証/確認の結果を、例えば認証サーバに送信させるように構成することができる。
図4のブロック430に示すように、装置300のような装置は、認証サーバに、例えば、ユーザの認証されたデスクトップ/ラップトップのブラウザと通信して、第1の識別データ文字列を取得させるように構成することができる。図4のブロック435に示すように、前のステップと並行して、またはいくつかの実施形態において、前または後に、装置300のような装置は、認証サーバに第2のデバイスの信頼できる部分(例えば、ユーザの認証されたデスクトップ/ラップトップ)を使用して、第2の識別データ文字列を取得する。
図4のブロック440に示すように、装置300のような装置は、例えば、認証サーバに2つの「識別データ列」の照合または比較を実行させて(例えば、第1の識別文字列と第2の識別文字列とを比較する)一致するか否かを判定する。
一致が検出された場合、図4のブロック445に示すように、装置300などの装置は、動作または要求(ログインアクセス要求またはファイル送信要求など)を許可するように構成されることができる。図4のブロック450に示されるように、一致が検出されない場合、装置は、事前定義された回数の試行についてのアクセスを得るためにユーザが再試行できるように構成されてもよい。図4のブロック455に示すように、予め定められた回数の試行後に一致が見つからない場合、装置は、アクセスを得るための動作または要求を拒否するように構成されることができる。
いくつかの実施形態では、2つの「識別データ文字列」間の比較は、ユーザの認証されたデスクトップ/ラップトップデバイスによって実行される。さらに別の実施形態では、2つの「識別データ文字列」の間の比較は、ユーザの認証されたモバイルデバイスによって実行されてもよい。この特定の実施形態では、使いやすく安全な3段階認証プロセスが達成される。第1に、ユーザは以前に認証されたラップトップ/デスクトップとモバイルデバイスの両方を所有していなければならない。第2に、モバイルデバイスは、両方のデバイスの位置を認証するラップトップ/デスクトップに近接していなければならない。第3に、ブラウザとラップトップ/デスクトップからの読み取り値が十分に一致し、ラップトップ/デスクトップのブラウザを認証する。
生体センシングによる認証強化
本発明のいくつかの実施形態によれば、位置検出を使用する認証は、デバイス(例えば、指紋センサ、目の虹彩スキャナなど)によって実行される生体センシングによって強化される。いくつかの実施形態では、位置検出を使用する認証は、デバイスに「ログイン」しようとした者の指紋および位置情報と共にユーザを追跡するログ記録を使用することによってさらに強化される。指紋スキャナなどのバイオ入力デバイスは、デスクトップ、ラップトップ、モバイル機器などに配置されてもよいことが理解される。
したがって、いくつかの実施形態では、生体センサおよび位置識別システム(GPS、携帯電話ネットワークで確認された位置(アンテナ)など)を備えたデバイスは、アクセスを認可するための入力の集合を提供ために、この第3のデバイス(例えばクレジットカードPOSシステムなど)と共にデバイス(GPSまたは他の確認された位置を有する)にユーザ(ユーザの生体サンプル)をリンクするために、別の近くのデバイス(パソコン、ルータ、ATM現金装置、クレジットカードPOP機器など)との通信を確立する。このような通信は、RFリンク(Bluetooth(登録商標)、Wi-Fi、Zlinkなど)、視覚リンク(QRコードなど(登録商標))、超音波または他の音響リンク、誘導リンク、導電リンク、NFC、等である。
いくつかの実施形態では、生体センサおよび位置識別システム(GPS、携帯電話ネットワークで確認された位置(アンテナ)など)を備えたデバイスは、アクセスを認可するための入力の集合を提供するために、この第3のデバイス(例えば、クレジットカードPOSシステムなど)と共にデバイス(GPSまたは他の確認された位置を有する)にユーザ(ユーザの生体サンプル)をリンクするために、別の近くのデバイス(パソコン、ルータ、ATM現金装置、クレジットカードPOP機器など)との通信を確立する。認証シーケンスでは、GPS、WiFi、またはモバイルネットワーク位置情報(モバイルネットワークベースの報告されたデバイスの位置)を使用してデバイス(例えば携帯電話デバイス)の位置が検出され、その後、ユーザ、ユーザの生体入力、ユーザのデバイス、および/または第3のデバイス(すなわち、クレジットカードPOP機器の位置)が同じ位置の近傍にある(互いに所定の距離範囲内にある)ことを確認するために、第3のデバイスの位置(すなわち、クレジットカードPOP機器の位置)と比較される。
いくつかの実施形態では、生体入力および位置識別システム(GPS、携帯電話ネットワークで確認された位置(アンテナ)など)を備えたデバイスは、アクセス許可プロトコルの一部として(そのATM機器を使用しているユーザをさらに認証するために)入力の集合を提供するために、公共の場所(例えば、ATM機器など)の別の近くのデバイスとの通信を確立する。認証シーケンスでは、GPS、WiFi、またはモバイルネットワーク位置情報(モバイルネットワークベースの報告されたデバイスの位置)によって検出されたデバイス(例えば、携帯電話デバイス)の位置を、オプションの生体入力(またはPIN番号または他のユーザ入力シーケンスまたは入力)に追加することができ、その後、ユーザ、ユーザの生体入力、ユーザのデバイス、および/または第3のデバイス(すなわちATM機器)が同じ位置の近傍にある(互いに所定の距離範囲内にある)ことを確認するために、第3のデバイスの位置(すなわちATM機器)と比較される。別の実施形態では、ユーザのデバイス(例えば、携帯電話)上のトランザクションを検証するために、その第3のデバイス(例えば、ATM機器)へのユーザの入力または検証が使用される。
いくつかの実施形態では、生体入力および位置識別システム(GPS、携帯電話ネットワークで確認された位置(アンテナ)など)を備えたデバイスは、アクセス許可プロトコルの一部として(そのATM機器を使用しているユーザをさらに認証するために)の集合を提供するために、プライベートまたはアクセス制限された位置(例えば、DirectTVセットトップボックスなどの家庭用テレビに接続されたデバイス)において、近くのデバイスとの通信を確立する。認証シーケンスでは、GPS、WiFi、またはモバイルネットワークロケーション情報(モバイルネットワークベースの報告されたデバイスの位置)によって検出されたデバイス(携帯電話デバイスなど)の位置を、オプションの生体入力(またはPIN番号またはまたは他のユーザ入力シーケンスまたは入力)に追加することができ、
その後、ユーザ、ユーザの生体入力、ユーザのデバイス、および/または第3のデバイス(すなわち、ATM機器)が同じ位置の近傍にある(互いに所定の距離範囲内にある)ことを確認するために、第3のデバイス(すなわち、DirectTVセットトップボックス)の位置と比較される。別の実施形態では、ユーザの(例えば、携帯電話)デバイス上のトランザクションを検証するために、その第3のデバイス(例えば、DirectTVセットトップボックス)へのユーザの入力または検証が使用される。
上述したように、本発明の実施形態は、電子ドアロック、保管室ロック、自動車ロック、ホテルルームロック、ゲート、電子モバイルロック、電子自転車ロック、係合または離脱する電子デバイス、または電子的に制御された物理的アクセスを有する他のデバイスなど、の物理的アクセスデバイスによるアクセスを許可するために使用されてもよい。そのような場合、物理的アクセス装置の位置は、本発明の実施形態のいずれかに従って既知であり、予め記憶空間にプリセットされているか、またはユーザ/ユーザのデバイスへ近接しているかを比較するための入力として報告される。
本発明のいくつかの実施形態は、皮膚の下(皮膚下)に取り付けられたデバイスまたは送信機からの入力を感知するように適合されたセンサとの通信を確立するために使用されてもよい。感知された信号は、認証を達成するために、上述のように、本発明のいずれかの実施形態によって使用される。
例示的な実施形態
金融取引
いくつかの実施形態では、システムは、金融取引を許可するように構成されてもよい。図5は、例えば、本明細書で説明されるいくつかの実施形態に従って、金融取引を認可するために、図1-3を参照して上述したシステムおよび装置を利用するための例示的なプロセスを示す。典型的には、このような取引は、例えば、ユーザがPOSデバイス(磁気クレジットカードリーダなど)を介してクレジットカードまたはデビットカード(またはギフトカードなどの他の支払い形態)を機械に通したときに開始されてもよく、続いて、カード情報がPOSデバイス(中央サーバーなど)以外の場所に送信される。
POSデバイスは、認証装置に情報を提供するように構成されることができる。
ステップ505に示すように、装置は、情報(例えば、支払方法情報、識別情報、取引情報など)を送信するように構成されたPOSデバイスでのトランザクションの開始に、例えば支払方法(例えば、カード)情報などの情報の一部を受信し、カード情報が関連付けられているユーザおよび携帯機器を識別するように構成することができる。すなわち、いくつかの実施形態では、装置はカード情報を受信するように構成されてもよい。受信したとき、装置は、カード情報が関連付けられているユーザと、ユーザが関連付けられているモバイルデバイス(例えば、電話番号など)とを識別するように構成されることができる。情報に関連付けられたモバイルデバイスを識別すると、ステップ510に示すように、装置は、そのクレジット(または同様の)カードに関連付けられたモバイルデバイスにメッセージを送信させるように構成されることができる。例えば、装置は、位置情報および生体データのうちの1つまたは複数を要求する関連するモバイルデバイスにメッセージを送信させるように構成されてもよい。
いくつかの実施形態では、モバイルデバイスに送信されたメッセージに従って、モバイルデバイスは、生体スキャン(例えば、指紋、虹彩スキャンなど)を実行するようにユーザに要求することができる。生体入力または生体スキャンからの他の結果は、検証応答としてサーバに送り返される。このように、ステップ515に示すように、装置は、生体入力を受信するように構成されることができる。いくつかの実施形態では、装置は、モバイルデバイスが位置決定を実行した後および/または生体入力を要求した後に、地理的位置情報および生体データを受信するように構成されてもよい。
いくつかの実施形態では、さらなるセキュリティのために、デバイスの位置(デバイスの位置は、以下のいずれかの方法によって決定することができる。i)GPSなど、ii)携帯電話のタワーまたはWiFi基地局など、デバイスが検出した割り当てられたまたは近傍のタワー)は、ネットワーク提供のユーザ位置情報を介して、サーバにデバイスによって送信される(例えば、Verizonは、ユーザがいる位置をサーバに報告する)。したがって、装置は、この追加の入力(位置および生体入力)を使用して、トランザクションをさらに検証するように構成されることができる。またはいくつかの実施形態では、ステップ520に示すように、装置は、地理的位置情報および生体認証データの関数として、検証またはトランザクションのさらなる検証をするように構成されることができる。
ユーザ/ユーザのデバイスの位置は、a)トランザクションが起こっているこの販売者の位置(ユーザのデバイス位置が販売者の位置と一致する場合、結果がOKであると判断され、「カード提示」の確認が行われ、b)ユーザの共通の場所(自宅の住所および職場の住所など)の位置、c)ユーザの最近のおよび/または共通の位置(お気に入りのショッピングモールなど)、d)有効であると判定された他の位置、 e)ユーザのデバイスの位置は、ユーザが頻繁にまたは最近訪問したエリアまたは地域などの「既知の良い」優先される位置(ユーザの家など)と一致する。
本発明の実施形態は、当業者であれば、オンデマンド型の装置を使用して決定された装置によって報告された位置に従って、セキュリティ、アクセス、認証、認可、検証などの他のアプリケーションおよび状況に等しく適用され、GPS、Wi-Fiなどのボードセンサ、および/またはソフトウェアの何らかの組み合わせ、または第三者(例えば、デバイスが接続されている携帯電話キャリアまたはタワー)によって報告された場所と通信することができる。
オンラインウェブまたはモバイルウェブサイトへのログイン
いくつかの実施形態では、システムは、本明細書で説明されるいくつかの実施形態に従って、オンラインまたはモバイルウェブサイトにログインすることをユーザに認可するように構成され得る。第1に、装置は、例えば、ユーザが自分のログインIDおよびオプションでパスワードを入力すると、ウェブサイトでログイン情報を受信することによって、ログインプロセスを提供するように構成される。その後、装置は、ログイン要求を受信するように構成され、次いで、ユーザの装置にメッセージを送信する。次いで、装置は、そのクレジット(または同様の)カードに事前に関連付けられたモバイルデバイスにメッセージを送信させるように構成されてもよい。装置は、ユーザが生体スキャン(指紋や虹彩スキャンなど)を行う要求をモバイルデバイスに送信するように構成されてもよい。モバイルデバイスがユーザに生体情報を促すと、装置は、生体入力を示す情報または生体スキャンからの他の結果を確認応答として受信するように構成されてもよい。いくつかの実施形態では、例えば、さらなるセキュリティのために、デバイスの位置がデバイスによってサーバに送信される。装置の位置は、i)GPSなどの方法のいずれかによって決定されてもよく、ii)携帯電話のタワーまたはWiFi基地局のようなデバイスを検出する割り当てられたまたは近くのタワー(例えば、Verizonがサーバにユーザの位置を報告する)を介して、ユーザに提供することができる。装置は、この追加の入力(位置および生体入力)を使用して、検証またはトランザクションのさらなる検証をするように構成されてもよい。
ユーザ/ユーザのデバイスの位置は、a)トランザクションが起こっているこの販売者の位置(ユーザのデバイス位置が販売者の位置と一致する場合、結果がOKであると判断され、「カード提示」の確認が行われ、b)ユーザの共通の場所(自宅の住所や職場の住所など)の位置、c)ユーザの最近のおよび/または共通の位置(お気に入りのショッピングモールなど)、d)有効であると判定された他の位置、e)ユーザのデバイスの位置は、ユーザの家またはユーザが頻繁にまたは最近訪問したエリアまたは地域などの「既知の良好な」優先される位置と一致する。上述のように、本発明の実施形態は、デスクトップまたはタブレットトップまたはスマートフォンアプリケーションを介したリモート・デスクトップ・アクセス・ログインにも同様に適用することができる。
他の実施形態
本発明のいくつかの実施形態は、例えば、一致する電話機の位置を確認する携帯電話ネットワークなどの検証された第三者によって配信された位置情報を使用してカードが提示されるクレジットカード購入(「カード提示」取引)を検証するために使用される。ユーザが購入時に携帯電話を携帯している場合(大部分のケース)、電話の位置はクレジット購入の報告された位置と一致し、検証またはその購入の検証が行われる。このような方法は、販売者、カード会社(例えば、VISA、MasterCardなど)、銀行、および/または購入者に対するクレジットカード詐欺のリスクを低減するのに有用であり、不審な活動が検出されたときに自動クレジットカードロックで未然に防ぐという効果をユーザに加える。したがって、カード会社、商人、銀行、および/またはユーザは、購入前、購入中または購入後に、デバイスの位置が購入の位置と一致するか否かを判断することができる。
本発明のいくつかの実施形態は、第三者の信頼できるソースを介してデバイスの位置検証を、4桁のPIN、指紋などを要求してクレジットカード取引を検証し処理するなどの1つ以上の追加の検証ステップと結合することができ、または、詐欺の危険性のリクスを低減するための部分的および全体的な価値として、およびクレジットカード購入の追加の検証を伴うカード会社および販売者に関連する費用を低減するための部分的および全体的な価値として、ユーザに部分的またはより大きな報酬(例えば、キャッシュバック1%、フライトまたはホテルについての「ポイント」など)を提供することができる。
本発明のいくつかの実施形態は、オンライン購入を実行するために使用される。そのような実施形態では、ユーザは、Amazon.com、eBay.com、Walmart.comなどのように、クレジットカード購入をオンラインで行う。その後、ユーザの電話機は、確認された位置:指紋、4桁のPIN、パスワードに結合された以下の方法のうちの1つまたは複数によって、取引が有効であったことをさらに確認するためにユーザに要求または許可する。そのようなすべての場合において、ユーザは、「カードを提示しない」トランザクションのそのような検証を実行するために随意的に報酬を受け取ることができ、それにより、詐欺的な取引およびそれに関連するコストのリスクが低減される。そのようなすべての場合において、ユーザは、「カードは存在しない」トランザクションなどの検証を実行するために随意的に報酬を受け取ることができ、それにより、詐欺的な取引およびそれに関連するコストのリスクが低減される。販売者(Amazonなど)は、詐欺のリスクをカバーするカード会社(Visaなど)に支払う手数料を削減するため、購入を完了するために行われる検証が必要になることがある。
発明の実施形態は、例えば、ある人が金銭または他のデジタル通貨、データ、または他の商品、サービス、またはクレジットを他の人または販売者に移転することを望む場合の状況に等しく適用され、その取引が、生体センサ、位置検出(デバイス上または第三者検証を問わない)、PIN番号、パスワードなどの1つまたは複数を使用して、使用前、使用中、または使用後に、確認される。本発明の実施形態は、例えば、人が何かを購入または支払うことを望む場合、上司、会計のVP、信頼できる友人、または親などの第2の当事者にも等しく適用される。この承認は、例えば、20ドルを超える購入など、一定の金額を超えることを必要とされ得る。
一実施形態では、自動車に内蔵されているか、追加されているか、または携帯されているかのいずれかの携帯電話モデムを備えた車両は、無線ペアのモバイルデバイスを介して位置づけられ、指紋、PINコード、パスワード、マルチパーティ検証、位置、またはモバイルデバイスを介して入力された、またはモバイルデバイスを介して取得された他のメカニズムを介して遠隔からアンロックされる。任意選択で、車のロックを解除またはリモートでスタートさせようとする位置(モバイルデバイスから得られる)を、車両の位置と比較して、両方が同じ位置または近くのエリアにあることを識別することができる。
ほとんどの場合、自動車やその他の移動車両とその所有者の電話は同じ位置にある。電話および車が紛失または盗難された場合、それらの場所は分かれる。そのような状況では、本発明のいくつかの実施形態は、利用可能なデバイスまたは車を通じてユーザを変更し、および/または車両および/または電話をロックし、および/またはリモートシャットダウンまたはアクセス制御または無視することを提供する。
一実施形態では、生体入力装置がウェブサイトに結合される。1回のウェブサイトクリックでウェブアクションが実行され、同じデバイスまたは別のデバイスで指紋、バイオメトリック要求、またはその他の検証が開始される。これを実装する1つの方法は、ウェブサイトの開発者がウェブサイトに統合するAPIまたはSDKを検証サービスが提供することである。一実施形態では、ウェブサイト上のウェブアクション(ボタンプレスなど)−ワンクリック−は、ユーザに確認を促し、その後、ウェブブラウザが動作しているデバイスとは別のデバイス上で、生体入力、位置などを使用して追加の確認を要求する一連の動作を開始する。他の実施形態では、ウェブサイト上のウェブアクション(ボタンプレスなど)−ワンクリック−は、ユーザに確認を促し、その後、同一のデバイス上で、生体入力、位置などを使用して追加の確認を要求する一連の動作を開始する。他の実施形態は、インターネットを介して1つ以上の無線接続に結合されたウェブサーバ(例えば、携帯電話などの指紋スキャナを有する無線デバイス)に無線で接続された別個のデバイスを提供する。
本発明のいくつかの実施形態によれば、ユーザは、ユーザ名(または電子メールまたは識別子)およびパスワードでログインすることができ、次いで指紋要求を開始する。ウェブサイトおよび/またはユーザは、デバイスからの指紋要求を開始するために十分なものとして、ユーザ名/電子メール/識別子のみを必要とするように、設定することができる。あるいは、ウェブサイトおよび/またはユーザは、ユーザ名/電子メール/識別子および/またはパスワード/アクセストークンが、クライアント側、ローカルストレージ内、またはクッキーまたはその他のクライアント側のデータ形式で、格納され、ユーザ名および/またはアクセストークン/パスワードがブラウザによって「記憶されている」ため、単一のボタンを押すだけで指紋照合を開始することができる。したがって、ユーザは再びそれを入力する必要はない。
本発明のいくつかの実施形態によれば、単一のウェブサイトへのログインは、オプションとして、独立した検証サービスを介して、その人のアカウントに接続された他のウェブサイトに同時にログインすることができる。したがって、ユーザは、本明細書に記載された生体認証または他の認証を使用して一度ログインし、自動的に(オプションで、他のサイトにログインするための追加のボタン押下の有無に関わらず)、ユーザにログインし、検証を繰り返す必要がない。ユーザは、オプションで、単一の認可が「記憶されている」時間の長さを設定することができる。ユーザは再度検証するように求められず、そのサービス上であろうと同じ検証システムに接続された他のサービス上であろうと、自動的に再び簡単にログインされる。
本発明の一実施形態によれば、モバイルデバイスの位置は、先ず、上述の実施形態のいずれかを使用して検証される。次に、モバイルデバイスは、その決定された位置を、WiFi、ブルートゥースなどのようなワイヤレスネットワークに送信する。無線で送信された位置情報は、その後、ユーザがログインしたコンピュータシステム(例えば、デスクトップまたはラップトップコンピュータ)によって受信される。その後、コンピュータシステムは、位置情報を、ユーザがログインしたコンピュータシステムと、ユーザの関連するモバイルデバイスが認証プロセスの一部と同じであることを検証しようとする独立した第三者によって操作されるサーバコンピュータとに、中継する。
2要素認証(Two Factor Authentication(2FA))は、ユーザ認証を検証するための既知の技術である。このような技術は、例えば、デスクトップ/ラップトップコンピュータのブラウザを介してインターネットにアクセスしようとするユーザが、携帯電話にアクセスする場合にも使用され得る。この例では、ユーザは、自分のデスクトップ/ラップトップ上のウェブブラウザを介してウェブサーバとやり取りし、それによって識別文字列(例えば、6桁数字コード)をSMSテキストを介してそのユーザのモバイルデバイスに送信する。他の例には、そのユーザの電子メールにコードが送信される、または、音声通話によってユーザに伝達される場合が含まれる。ユーザは、受信した数字列をデスクトップ/ラップトップのブラウザに入力して、所望のウェブサイトにアクセスする。異なる技術を用いた様々な代替実施形態が存在するが、全体的な目標は、ブラウザのユーザが、実際には、システムが1つのチャネル(テキストメッセージシステム)に関する情報を送信し、次いでその情報がデスクトップ/ラップトップブラウザにコピー/転送されることについて、「ループを閉じる」ことを主張する人物である、ことを何度も認証することである。
データフロー図
図6は、本発明の一実施形態に係る認証を実行するために実行される動作のシーケンスを示す例示的な流れ図600である。例えば、流れ図600は、ユーザがクライアントサーバによって以前に認可されたコンピュータを使用してクライアントサーバにログインしようとするときに実行されてもよい。コンピュータは、部分的に認証ジャバスクリプト(JS)ソフトウェア開発キット(以下、認証JS SDKと呼ぶ)およびクライアント・ジャバスクリプト(以下、クライアントJSと呼ぶ)を含むウェブブラウザを実行しているものとする。認証JS sdkは、API(アプリケーションプログラムインタフェース)サーバと通信するように適合されたウェブブラウザ内のソフトウェアコードであってもよい。クライアントJSは、ブラウザ上で実行されるジャバスクリプト・コードであってもよい。いくつかの実施形態では、クライアントJSは、ユーザがクライアントサーバにログインすることを可能にするために、ログイン画面をユーザに提示する責任を負うことがある。図3では、認証JS sdk、クライアントJS、および信頼できるエージェントがユーザのコンピュータに含まれているように示されているが、他の実施形態では、これらの要素の1つ以上がユーザのコンピュータの外に存在してもよい。流れ図600は、コンピュータのユーザがわずかな労力で認証されることを可能にする。例えば、以下でさらに説明されるように、マウスを単に動かすことによってユーザを認証することができる。
図6に示すように、ステップ601において、認証JSのプロンプト・クライアントJSは、アカウントIDおよびキーを提供する。アカウントIDには、ユーザを一意に識別する情報が含まれ得る。例えば、アカウントIDは、ユーザ名、パスワード、電子メールアドレス、それらの任意の組み合わせなどであってもよい。キーは、クライアントサーバに関連付けられたサービスまたはサービスプロバイダを一意に識別する任意の情報であってもよい。例えば、キーは、英数字コードなどを含むことができる。ステップ603において、ウェブソケットプロトコルが、認証JS sdkとAPIサーバとの間に通信チャネルを生成するために使用される。この通信チャネルを利用して、認証JS SDKはアカウントIDとキーをAPIサーバに送信する。APIサーバは、認証サーバであってもよい。
ステップ605において、APIサーバは、セッションIDを生成して認証JS sdkに送信する。セッションIDは、認証JS SDKとAPIサーバとの間のセッションを一意に識別する任意の情報を含むことができる。例えば、セッションIDは、英数字コードなどであってもよい。ステップ607において、認証JS sdkは、受信したセッションIDをクライアントJSに送信する。ステップ609において、クライアントJSは、セッションIDおよびアカウントIDをクライアントサーバに(例えば、HTTPによって)通信する。
ステップ611において、クライアントサーバは秘密コードを生成し、受信したセッションIDを秘密コードとともにAPIサーバに通信する(例えばHTTPによって)。秘密コードは、クライアントサーバとAPIサーバだけが知っている情報を含むことができる。例えば、秘密コードは、安全に生成された(例えば、DES、AES、RSA、乱数、または擬似乱数が生成された)数値または英数字コードなどであってもよい。秘密コードは、通信がAPIサーバから来ていることを確認するために、APIサーバからクライアントサーバへのその後のすべての通信で使用され得る。任意選択的に、クライアントサーバは、受け入れられた位置のリストを生成または受信することもできる。これらの受け入れられた位置のリストは、ユーザがログインできる位置を示す。受け入れられた位置のリストは、ユーザがどこに位置してよいかを示す地理的な制限を含むことができる。例えば、受け入れられた位置は、特定のアドレス、領域、またはエリアに対応することができる。クライアントサーバは、ステップ611において、受け入れられた位置をセッションIDおよび秘密コードとともにAPIサーバに送信することができる。
ステップ601と611との間で、プロセスでエラーが検出された場合(例えば、ステップ603でウェブソケットが確立されていない)、エラーが発生したステップの前のステップが再試行される。しかしながら、ステップ611の後のいずれかのステップでエラーが発生した場合、図5を参照して以下により詳細に説明するように、エラープロセスが開始される。
ステップ613において、クライアントサーバは、ユーザに関連する1つ以上の電話機にセッションIDを送信するためにサイレントプッシュを実行する。いくつかの実施形態では、クライアントサーバは、電話で動作するクライアントアプリケーションを使用して、セッションIDを電話にサイレントプッシュする。
ステップ615において、電話は、信頼できるエージェントからエージェントIDを受信する。エージェントIDは、信頼できるエージェントを一意に識別する任意の情報を含むことができる。例えば、エージェントIDは、英数字コード、数字コードなどであってもよい。電話は、ブルートゥース、近距離通信(NFC)、赤外線、ユニバーサルシリアルバス、音響波(人間の可聴および人間が聞こえない両方)などを含むがこれらに限定されない任意の有線または無線通信チャネルによってエージェントIDを受信することができる。いくつかの実施形態では、信頼できるエージェントは、ユーザのコンピュータに関連付けられた信頼できるハードウェア(例えば、信頼プラットフォームモジュール、耐タンパハードウェア)または信頼できるソフトウェア(例えば、暗号化ソフトウェア、耐タンパハードウェア)として実装されてもよい。いくつかの実施形態では、信頼できるエージェントは、クライアントサーバによって供給される。いくつかの実施形態では、信頼できるエージェントは、そのエージェントIDを継続的にブロードキャストし、ブロードキャスト範囲内の任意の電話がエージェントIDを検出することができる。電話機は、エージェントIDおよびセッションIDをAPIサーバに送信する(例えば、HTTPを使用して)。任意で、電話機は、その位置を示すデータを生成してAPIサーバに送信することができる。電話機の位置は、ソフトウェア位置識別(GPS)、ネットワーク位置識別(セルラ三角測量、WiFiアクセスポイント位置)などを含む様々な方法によって決定することができる。
ステップ617において、以前に確立された通信チャネルを利用するAPIサーバは、例えば、ユーザのコンピュータに関連するマウス移動情報を取得する要求を認証JS sdkに送信する。マウスの移動情報は、マウスの動きおよび/またはマウスの動きの時間に関連するX座標およびY座標など、ユーザのコンピュータに関連したユーザのマウスの使用を記述する任意の情報であり得る。いくつかの実施形態では、APIサーバからのマウス移動の要求により、認証JS sdkがマウスJSの移動データを収集できるように、認証JS sdkがユーザにマウスを移動させるように促すことができる。他の実施形態では、認証JS sdkは、以前のユーザアクション(例えば、コンピュータにログインすること、またはプログラムを開くことなど)から最近格納されたマウス動作データにアクセスすることができる。ステップ617はマウスの動きを用いた認証を記述しているが、コンピュータに関係する任意のタイプのユーザ活動を使用することも本発明の範囲内である。例えば、ユーザの活動は、コンピュータのタッチスクリーンに触れること、コンピュータに接続されたキーボードで入力すること、コンピュータに話すことなどを必要とすることがある。
ステップ619において、APIサーバは、信頼できるエージェントにサイレントプッシュを送信して、ユーザのコンピュータに関連するマウス移動情報を受信する。ステップ621において、認証JS sdkはマウス移動情報をAPIサーバに送信する。ステップ623において、信頼できるエージェントは、マウス移動情報をAPIサーバに送信する。次に、APIサーバは、信頼できるエージェントから受信したマウスの動き情報と、認証JSのSDKから受信したマウスの動き情報とが一致するか否かを比較するための比較を実行する。一致は完全一致とすることができる。あるいは、2つの動き情報の間の差が所定の範囲内にあるときに、一致の検出をしたとすることができる。
ステップ625において一致が検出された場合、成功した認証を示すHTTP200メッセージが、APIサーバによって電話機に送信される。同様に、ステップ627において、APIサーバは、秘密を有する有効な認証メッセージをクライアントサーバに送信する。ステップ629において、クライアントサーバは、クライアントJSを介してクライアントサーバにログインするためのユーザへのアクセスを許可する。
図7は、本発明の一実施形態による認証を実行するために実行されるアクションのシーケンスを示す例示的な流れ図700である。例えば、流れ図700は、ユーザがクライアントサーバによって以前に認可されていないコンピュータを使用してクライアントサーバにログインしようと試みるときに実行されてもよい。動作601-623は、図6を参照して説明した動作601-623と同様である。
ステップ601と611との間で、プロセス内でエラーが検出された場合(例えば、ステップ603でウェブソケットが確立されていない場合)、エラーが発生したステップの前のステップが再試行される。しかし、ステップ611(すなわち、ステップ725-731)の後のいずれかのステップでエラーが発生した場合、図8を参照して以下により詳細に説明するように、エラープロセスが開始される。
一致がステップ725で検出された場合、認証されていない応答を示すHTTP401メッセージがAPIサーバによって電話機に送信される。HTTP401は、ユーザのコンピュータが以前にクライアントサーバとの通信を許可されていないことを示す。ステップ727において、電話機は、ユーザからの認証情報(例えば、ユーザの指紋、パスワード、ピン番号)を取得してAPIサーバに送信する。任意で、電話機は、電話機の位置に対応する位置データを生成してAPIサーバに送信することができる。いくつかの実施形態では、電話機自体がユーザ認証情報の検証を実行し、検証メッセージをAPIサーバに送信することができる。
ステップ729において、APIサーバがユーザ認証を検証する場合、APIは、秘密の検証メッセージをクライアントサーバに送信する。応答731において、クライアントサーバは、ユーザがクライアントJSを使用してクライアントサーバにログインすることを可能にする。
図8は、本発明の一実施形態に係る認証を実行する一連の動作を示す例示的な流れ図800である。例えば、流れ図800は、認証プロセスにエラーがあるときに実行されてもよい。動作601-611は、図6を参照して説明した動作601-611と同様である。
ステップ601と611との間で、プロセスでエラーが検出された場合(例えば、ステップ603でウェブソケットが確立されていない)、エラーが発生したステップの前のステップが再試行される。しかし、ステップ611の後のいずれかのステップでエラーが発生した場合、流れ図800はステップ813に進む。
ステップ813において、APIサーバは、ユーザ認証情報を取得するためにプッシュ通知を電話に送信するようにクライアントサーバに要求するための要求をクライアントサーバに送信する。ステップ815において、クライアントサーバは、ユーザ認証情報を要求するために携帯電話にプッシュ通知を送信する。
ステップ817において、電話機は、ユーザ認証情報を取得して、APIサーバへ送信する。任意で、電話機は、電話機の位置に対応する位置データを生成してAPIサーバに送信することができる。いくつかの実施形態では、電話機は、ユーザ認証情報の検証を実行し、検証メッセージをAPIサーバに送信することができる。
ステップ819において、APIサーバがユーザ認証情報を検証する場合、秘密と共に認証有効メッセージがクライアントサーバに送信される。その結果、ステップ821において、クライアントサーバは、ユーザがクライアントJSを介してクライアントサーバにログインすることを可能にする。
上述した本発明の実施形態のすべては、プロセスの一部として、デバイス上のGPS、携帯電話ネットワークの報告された位置などのうちの1つ以上から来る位置を伴う地理的位置フィルタを任意に含むことができる。この位置情報は、装置自体および/またはログインを管理するサーバに送信されることができる。
上記で説明された実施形態は、ウェブおよび/または携帯電話アプリを介した購入またはオンライン取引と組み合わせることができる。例えば、Amazon.comでは、ユーザが「注文を出す」を選択したとき、「注文を出す」ボタンは生体リモート入力を必要とすることがあり、そのワンクリックでトリプルアクションが発生する。それは生体入力を要求し、生体認証フィードバックで、i)購入注文を開始し、ii)支払いを開始し、iii)支払いが成功/承認された場合、注文を完了する。ユーザが生体入力および検証を成功させた場合、上記のように位置に結び付けられ得る、検証された生体入力が与えられ、より高いセキュリティおよび/またはより低い盗難/詐欺確率を反映するための価格差が生じる可能性がある。
上記の実施形態は、音声呼、着信SMS購入要求、電子メール提供、屋外広告で開始される要求/販売、音声/映像認識など(例えば、テレビを見ながら、デバイスは、音声または映像入力を聞き取り、認識する、例えば、Shazam)で開始されるることができる。
本発明の上記の実施形態は、とりわけ、a)セキュリティを大幅に改善し、電子口座への不正アクセスを低減する、b)既存の多くの電子アカウントプロバイダとのシームレスで迅速な統合を可能にする(電子アカウントプロバイダがソフトウェアに変更を加えることなく)、c)ユーザが柔軟なセキュリティプロセスを含むようにプロセスフローをカスタマイズできるようにする、d)本発明によって特定の処理タスク(メッセージのアウトバウンド送信などの)の転送をフィルタリングおよび監視することを可能にする。
当業者が理解するように、任意のそのようなコンピュータプログラム命令は、コンピュータまたは他のプログラム可能な装置(例えば、ハードウェア)にロードされて機械を構成することができ、結果として得られるコンピュータまたは他のプログラム可能な装置が流れ図のブロックで特定された機能の実行を提供する。また、これらのコンピュータプログラム命令は、コンピュータまたは他のプログラム可能な装置に特定の方法で機能するよう指示し得るように、非一時的なコンピュータ読み取り可能な記憶メモリに、格納されることもでき、コンピュータ可読記憶メモリに記憶された命令が、流れ図のブロックで特定された機能を実行する製品を生成するようにさせる。コンピュータプログラム命令は、コンピュータまたは他のプログラム可能な装置にロードされて、コンピュータまたは他のプログラム可能な装置上で一連の動作を実行して、コンピュータで実行されるプロセスを生成し、コンピュータ上で実行される命令または他のプログラム可能な装置は、流れ図のブロックで指定された機能を実施するための動作を提供する。このように、図4から図8の動作が実行されたとき、コンピュータまたは処理回路を本発明の例示的な実施形態を実行するように構成された特定の機械に変換する。したがって、図4から図8の動作は、例示的な実施形態を実行するためのコンピュータまたは処理を構成するためのアルゴリズムを定義する。場合によっては、図4から図8のアルゴリズムを実行して、例示的な実施形態を実行するように構成された特定の機械に汎用コンピュータを変換するための、プロセッサのインスタンスを、汎用コンピュータに提供することができる。
したがって、流れ図のブロックは、特定された機能を実行するための手段の組み合わせと、特定された機能を実行するための動作の組み合わせとをサポートする。また、流れ図の1つまたは複数のブロックおよび流れ図のブロックの組み合わせは、特定の機能を実行する専用ハードウェアベースのコンピュータシステム、または専用ハードウェアとコンピュータ命令の組み合わせによって実装できることも理解されよう。
いくつかの実施形態では、本明細書における動作の特定のものは、変更され得るものであり、または、さらに拡張され得る。さらに、いくつかの実施形態では、追加のオプションの操作も含まれてもよい。以下の変更、任意の付加または拡張の各々は、単独で、または本明細書に記載の特徴の中の他のものと組み合わせて、上記の動作に含まれ得ることを理解されたい。
本発明の上記の実施形態は、様々な代替物および均等物が可能であるため、1つまたは複数の組み合わせで組み合わせることができる。
本発明の上記の実施形態は、アプリケーション、ウェブアプリケーション、ネイティブ実行可能ファイル、または他の形態の実施形態であってもよく、モバイルデバイス、携帯電話、またはモバイルメディアプレーヤ、仮想現実デバイス、デスクトップ、ラップトップ、仮想マシン、オンライン、モバイル、クラウドベースのデバイス、2D、3D、および/または類似のもの、またはこれらの組み合わせなどの、任意のタイプのデバイスであってもよい。
本明細書に記載された本発明の多くの変形および他の実施形態は、前述の説明および関連する図面に示された教示の利益を有する本発明のこれらの実施形態に関係する当業者には想到し得るものであろう。したがって、本発明の実施形態は、開示された特定の実施形態に限定されるものではなく、変形および他の実施形態は、添付の特許請求の範囲内に含まれることが意図されることを理解されたい。本明細書では特定の用語を使用しているが、それらは一般的かつ説明的な意味でのみ使用され、限定の目的では使用されない。
102 認証サービス
104 サーバ
106 データベース
108 モバイルデバイス
110 ユーザ
112 基地局
114 ネットワーク

Claims (21)

  1. 認証装置であって、前記認証装置は、少なくとも1つのプロセッサと、コンピュータプログラムコードを含む少なくとも1つのメモリとを備え、前記少なくとも1つのメモリおよび前記コンピュータプログラムコードは、前記プロセッサによって、前記認証装置に、
    第2のデバイスからの動作を引き起こす要求を受信させ、
    第1のデバイスと前記第2のデバイスとの近接を検証するために、前記第1のデバイスを前記第2のデバイスと通信させ、
    前記近接の検証を受信させ、
    第1の識別データ列を受信させ、
    第2の識別データ列を受信させ、
    前記第1の識別データ列と前記第2の識別データ列との一致を確認したときに、前記動作を認可させる、ように構成されている、認証装置。
  2. 前記少なくとも1つのメモリおよび前記コンピュータプログラムコードは、さらに、前記プロセッサによって、前記認証装置に、
    前記第1のデバイスにおいて生体入力を示すデータを受信させ、
    前記動作の認可に先行して、前記生体入力を示すデータと前記第1のデバイスのユーザに関連する記憶された生体データとの一致を確認させる、ように構成されている、請求項1に記載の認証装置。
  3. 前記第1のデバイスと前記第2のデバイスとの近接を検証するために、前記第1のデバイスを前記第2のデバイスと通信させるように構成された前記少なくとも1つのメモリと前記コンピュータプログラムコードとは、さらに、前記プロセッサによって、前記認証装置に、
    GPS、Wi-Fi、またはモバイルネットワーク位置情報によって前記第1のデバイスの位置の表示を受信させ、
    前記第1のデバイスの位置を前記第2のデバイスの位置と比較させ、前記第2のデバイスは確認可能な位置または確認された位置を有すると共に、前記第1のデバイスとは独立しており、
    前記第2のデバイスの前記確認可能な位置または確認された位置に基づいて前記第1のデバイスの位置を確認させる、ように構成されている、請求項1または2に記載の認証装置。
  4. 前記少なくとも1つのメモリと前記コンピュータプログラムコードとは、さらに、前記プロセッサによって、前記認証装置に、
    前記第1のデバイスの前記位置の決定に基づいて、前記動作の認可に先行して、前記位置が予め定義された許可された地理的領域内にあることを判断させる、ように構成されている、請求項1から3のいずれか一項に記載の認証装置。
  5. 前記少なくとも1つのメモリと前記コンピュータプログラムコードとは、さらに、前記プロセッサによって、前記認証装置に、
    前記第1のデバイスの前記位置の決定に基づいて、前記動作の認可に先行して、前記位置が予め定義された許可された位置から所定の範囲内にあることを判断させる、ように構成されている、請求項1から4のいずれか一項に記載の認証装置。
  6. 前記少なくとも1つのメモリと前記コンピュータプログラムコードとは、さらに、前記プロセッサによって、前記認証装置に、
    前記第1のデバイスの前記位置の決定に基づいて、前記動作の認可に先行して、前記位置が予め定義された許可されていない地理的領域内にないことを判断させる、ように構成されている、請求項1から5のいずれか一項に記載の認証装置。
  7. 前記少なくとも1つのメモリと前記コンピュータプログラムコードとは、さらに、前記プロセッサによって、前記認証装置に、
    GPS、Wi-Fi、またはモバイルネットワーク位置情報による前記第1のデバイスの前記位置の決定に基づいて、前記動作の認可に先行して、第3のデバイスにおいて入力を受信させ、
    前記第3のデバイスにおける入力の検証に基づいて、前記動作を許可させる、ように構成されている、請求項1から6のいずれか一項に記載の認証装置。
  8. 認証方法であって、前記方法は、
    第2のデバイスからの動作を引き起こす要求を受信するステップと、
    第1のデバイスと前記第2のデバイスとの近接を検証するために、前記第1のデバイスが第2のデバイスと通信するステップと、
    前記近接の検証を受信するステップと、
    第1の識別データ列を受信するステップと、
    第2の識別データ列を受信するステップと、
    前記第1の識別データ列と前記第2の識別データ列との一致を確認したときに、前記動作を認可するステップとを含む、方法。
  9. 前記第1のデバイスにおいて生体入力を示すデータを受信するステップと、
    前記動作の認可に先行して、前記生体入力を示すデータと前記第1のデバイスのユーザに関連する記憶された生体データとの一致を確認するステップと
    をさらに含む、請求項8に記載の方法。
  10. 前記第1のデバイスと前記第2のデバイスとの近接を検証するために、前記第1のデバイスが前記第2のデバイスと通信する前記ステップは、
    GPS、Wi-Fi、またはモバイルネットワーク位置情報によって前記第1のデバイスの位置の表示を受信するステップと、
    前記第1のデバイスの位置を前記第2のデバイスの位置と比較するステップであって、前記第2のデバイスは確認可能な位置または確認された位置を有すると共に、前記第1のデバイスとは独立している、ステップと、
    前記第2のデバイスの前記確認可能な位置または確認された位置に基づいて前記第1のデバイスの位置を確認するステップと
    をさらに含む、請求項8または9に記載の方法。
  11. 前記第1のデバイスの前記位置の決定に基づいて、前記動作の認可に先行して、前記位置が予め定義された許可された地理的領域内にあることを判断するステップ
    をさらに含む、請求項8から10のいずれか一項に記載の方法。
  12. 前記第1のデバイスの前記位置の決定に基づいて、前記動作の認可に先行して、前記位置が予め定義された許可された位置から所定の範囲内にあることを判断するステップ
    をさらに含む、請求項8から11のいずれか一項に記載の方法。
  13. 前記第1のデバイスの前記位置の決定に基づいて、前記動作の認可に先行して、前記位置が予め定義された許可されていない地理的領域内にないことを判断するステップ
    をさらに含む、請求項8から12のいずれか一項に記載の方法。
  14. GPS、Wi-Fi、またはモバイルネットワーク位置情報による前記第1のデバイスの前記位置の決定に基づいて、前記動作の認可に先行して、第3のデバイスにおいて入力を受信するステップと、
    前記第3のデバイスにおける入力の検証に基づいて、前記動作を許可するステップと
    をさらに含む、請求項8から13のいずれか一項に記載の方法。
  15. コンピュータ実行可能プログラムコード命令が格納された少なくとも1つの非一時的コンピュータ可読記憶媒体を含むコンピュータプログラムであって、
    前記コンピュータ実行可能プログラムコード命令は、
    第2のデバイスからの動作を引き起こす要求を受信するステップと、
    第1のデバイスと前記第2のデバイスとの近接を検証するために、前記第1のデバイスが前記第2のデバイスと通信するステップと、
    前記近接の検証を受信するステップと、
    第1の識別データ列を受信するステップと、
    第2の識別データ列を受信するステップと、
    前記第1の識別データ列と前記第2の識別データ列との一致を確認したときに、前記動作を認可するステップと
    を命令するためのプログラムコードを含む、コンピュータプログラム。
  16. 前記コンピュータ実行可能プログラムコード命令は、さらに、
    前記第1のデバイスにおいて生体入力を示すデータを受信するステップと、
    前記動作の認可に先行して、前記生体入力を示すデータと前記第1のデバイスのユーザに関連する記憶された生体データとの一致を確認するステップと
    を命令するためのプログラムコードを含む、請求項15に記載のコンピュータプログラム。
  17. 前記第1のデバイスと前記第2のデバイスとの近接を検証するために、前記第1のデバイスが前記第2のデバイスと通信するステップを命令するために前記コンピュータ実行可能プログラムコード命令は、さらに、
    GPS、Wi-Fi、またはモバイルネットワーク位置情報によって前記第1のデバイスの位置の表示を受信するステップと、
    前記第1のデバイスの位置を前記第2のデバイスの位置と比較するステップであって、前記第2のデバイスは確認可能な位置または確認された位置を有すると共に、前記第1のデバイスとは独立している、ステップと、
    前記第2のデバイスの前記確認可能な位置または確認された位置に基づいて前記第1のデバイスの位置を確認するステップと
    を命令するためのプログラムコードを含む、請求項15または16に記載のコンピュータプログラム。
  18. 前記コンピュータ実行可能プログラムコード命令は、さらに、
    前記第1のデバイスの前記位置の決定に基づいて、前記動作の認可に先行して、前記位置が予め定義された許可された地理的領域内にあることを判断するステップ
    を命令するためのプログラムコードを含む、請求項15から17のいずれか一項に記載のコンピュータプログラム。
  19. 前記コンピュータ実行可能プログラムコード命令は、さらに、
    前記第1のデバイスの前記位置の決定に基づいて、前記動作の認可に先行して、前記位置が予め定義された許可された位置から所定の範囲内にあることを判断するステップ
    を命令するためのプログラムコードを含む、請求項15から18のいずれか一項に記載のコンピュータプログラム。
  20. 前記コンピュータ実行可能プログラムコード命令は、さらに、
    前記第1のデバイスの前記位置の決定に基づいて、前記動作の認可に先行して、前記位置が予め定義された許可されていない地理的領域内にないことを判断するステップ
    を命令するためのプログラムコードを含む、請求項15から19のいずれか一項に記載のコンピュータプログラム。
  21. 前記コンピュータ実行可能プログラムコード命令は、さらに、
    GPS、Wi-Fi、またはモバイルネットワーク位置情報による前記第1のデバイスの前記位置の決定に基づいて、前記動作の認可に先行して、第3のデバイスにおいて入力を受信するステップと、
    前記第3のデバイスにおける入力の検証に基づいて、前記動作を許可するステップと
    を命令するためのプログラムコードを含む、請求項15から20のいずれか一項に記載のコンピュータプログラム。
JP2018509812A 2015-08-20 2016-08-22 地理的位置に基づく電子セキュリティ管理方法および装置 Pending JP2018528538A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201562207883P 2015-08-20 2015-08-20
US62/207,883 2015-08-20
PCT/US2016/048084 WO2017031504A1 (en) 2015-08-20 2016-08-22 Method and apparatus for geographic location based electronic security management

Publications (1)

Publication Number Publication Date
JP2018528538A true JP2018528538A (ja) 2018-09-27

Family

ID=58051075

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018509812A Pending JP2018528538A (ja) 2015-08-20 2016-08-22 地理的位置に基づく電子セキュリティ管理方法および装置

Country Status (6)

Country Link
US (3) US10375082B2 (ja)
EP (1) EP3338212A4 (ja)
JP (1) JP2018528538A (ja)
CN (1) CN108369620A (ja)
HK (1) HK1257340A1 (ja)
WO (1) WO2017031504A1 (ja)

Families Citing this family (69)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11030599B2 (en) 2012-02-24 2021-06-08 Netclearance Systems, Inc. Smart beacon point of sale (POS) interface
US11037196B2 (en) 2012-02-24 2021-06-15 Netclearance Systems, Inc. Interactive advertising using proximity events
US11062258B2 (en) 2012-02-24 2021-07-13 Netclearance Systems, Inc. Automated logistics management using proximity events
US20210357489A1 (en) * 2014-04-29 2021-11-18 Taliware, Inc. Communication network based non-fungible token creation platform with integrated creator biometric authentication
US11966907B2 (en) * 2014-10-25 2024-04-23 Yoongnet Inc. System and method for mobile cross-authentication
WO2016072970A1 (en) * 2014-11-04 2016-05-12 Hewlett Packard Enterprise Development Lp Smart location determination
DE102015220228B4 (de) * 2015-10-16 2019-03-21 Volkswagen Aktiengesellschaft Verfahren und System zur Absicherung einer erstmaligen Kontaktaufnahme eines Mobilgeräts mit einem Gerät
FR3045876A1 (fr) * 2015-12-17 2017-06-23 Abc Smart Card Procede d'elaboration d'un mot challenge, dispositif electronique, peripherique de consigne et systeme mettant en oeuvre ledit procede
CN109845236A (zh) * 2016-08-18 2019-06-04 瑞典爱立信有限公司 用于通过选择性地审查主叫方的地理位置来增强voip安全性的方法和装置
US11184766B1 (en) 2016-09-07 2021-11-23 Locurity Inc. Systems and methods for continuous authentication, identity assurance and access control
US20180089680A1 (en) * 2016-09-28 2018-03-29 Bank Of America Corporation Partially completed resource geographic triggering and remediation system
US11334889B2 (en) 2016-11-29 2022-05-17 Netclearance Systems, Inc. Mobile ticketing based on proximity
US11151534B2 (en) * 2016-11-29 2021-10-19 Netclearance Systems, Inc. Consumer interaction module for point-of-sale (POS) systems
WO2018126177A1 (en) * 2016-12-29 2018-07-05 Wohlken Jay Trusted mobile biometric enrollment
US10516676B2 (en) * 2017-01-03 2019-12-24 International Business Machines Corporation Verification of geolocation of devices in a cloud data center
DE102017105771A1 (de) * 2017-03-17 2018-09-20 Deutsche Telekom Ag Verfahren zur Zugangskontrolle
US9935984B1 (en) * 2017-07-31 2018-04-03 Malwarebytes Inc. Scalable cloud-based endpoint security system
US20190090090A1 (en) * 2017-09-15 2019-03-21 Intel Corporation Proof of location using proximity records and distributed ledger
US11144627B2 (en) * 2017-09-20 2021-10-12 Qualcomm Incorporated Peer assisted enhanced authentication
US11823273B2 (en) * 2017-10-06 2023-11-21 BlueOwl, LLC System and method for preventing fraud in the capture of trip telemetry data
US10075847B1 (en) * 2017-11-08 2018-09-11 Capital One Services, Llc Systems and methods for tiered authentication including position-based credentials
WO2019096430A1 (en) * 2017-11-15 2019-05-23 Telefonaktiebolaget Lm Ericsson (Publ) Control of product deployment
CN110113175B (zh) * 2018-02-01 2021-11-09 华为技术有限公司 网络安全准入方法及家庭网络设备
US11847650B2 (en) * 2018-08-03 2023-12-19 International Business Machines Corporation Methods and systems for managing personal device security
US10893412B2 (en) * 2018-08-27 2021-01-12 Apple Inc. Authenticated device assisted user authentication
US11399024B2 (en) 2018-10-10 2022-07-26 Microsoft Technology Licensing, Llc Proximity-based unlocking of communal computing devices
US10938805B2 (en) 2018-10-10 2021-03-02 Microsoft Technology Licensing, Llc Progressive access to data and device functionality
US11366886B2 (en) * 2018-10-10 2022-06-21 Microsoft Technology Licensing, Llc Authenticating users of communal computing devices using a limited search scope
EP3672260A1 (en) * 2018-12-21 2020-06-24 Nagravision SA Device location determination
CN109684811B (zh) * 2018-12-26 2021-04-13 巽腾(广东)科技有限公司 定点授权的身份识别方法、装置及服务器
CN109711133B (zh) * 2018-12-26 2020-05-15 巽腾(广东)科技有限公司 身份信息的认证方法、装置及服务器
US11032669B2 (en) * 2019-01-15 2021-06-08 T-Mobile Usa, Inc. Multi-Bluetooth listeners with authenticated levels and power adjustment
US11196752B2 (en) * 2019-01-22 2021-12-07 Lenovo Enterprise Solutions (Singapore) Pte. Ltd. Multifactor authentication for secure management of data center assets from a mobile device
CN110109846A (zh) * 2019-02-28 2019-08-09 上海乐愚智能科技有限公司 一种安全管理方法、装置、终端和存储介质
US11288347B2 (en) * 2019-03-07 2022-03-29 Paypal, Inc. Login from an alternate electronic device
CA3138776A1 (en) * 2019-05-21 2020-11-26 Sylvain Jacques PREVOST Physical access control systems and methods
US11523276B2 (en) * 2019-06-28 2022-12-06 Bank Of America Corporation Utilizing a high generation cellular network to authorize an event
US10706704B1 (en) * 2019-07-25 2020-07-07 Bank Of America Corporation Utilizing a high generation cellular network for identifying devices associated with unauthorized activities and notifying enterprise facilities
US20210086651A1 (en) * 2019-08-13 2021-03-25 Honda Motor Co., Ltd. Systems and methods for electric vehicle (ev) charging station management
US20210049519A1 (en) * 2019-08-13 2021-02-18 Honda Motor Co., Ltd. Electric vehicle (ev) charging station management
US11509642B2 (en) * 2019-08-21 2022-11-22 Truist Bank Location-based mobile device authentication
CN112688979B (zh) * 2019-10-17 2022-08-16 阿波罗智能技术(北京)有限公司 无人车远程登录处理方法、装置、设备及存储介质
JP7287244B2 (ja) * 2019-11-08 2023-06-06 トヨタ自動車株式会社 情報処理装置、プログラム、及び、情報処理方法
US20220284785A1 (en) * 2020-01-10 2022-09-08 Ryan Brathwaite Multi-alert security messaging system
US11929781B2 (en) * 2020-01-23 2024-03-12 Nippon Telegraph And Telephone Corporation Terminal devices, communication methods, and communication systems
CN111932331B (zh) * 2020-03-10 2021-10-12 北京畅行信息技术有限公司 车辆信息获取方法、装置及存储介质
CN111368273B (zh) * 2020-03-17 2023-06-20 汉海信息技术(上海)有限公司 一种身份验证的方法及装置
US20210297404A1 (en) * 2020-03-20 2021-09-23 Avaya Management L.P. Methods and systems of enabling user authentication validation
JP6962612B1 (ja) * 2020-06-11 2021-11-05 Necプラットフォームズ株式会社 管理サーバ、管理システム、管理方法及び管理プログラム
US20220046014A1 (en) * 2020-08-06 2022-02-10 Cisco Technology, Inc. Techniques for device to device authentication
US11337064B2 (en) * 2020-08-06 2022-05-17 Verizon Patent And Licensing Inc. Systems and methods for enhanced authentication techniques using network-implemented location determination
US11470037B2 (en) 2020-09-09 2022-10-11 Self Financial, Inc. Navigation pathway generation
US11641665B2 (en) 2020-09-09 2023-05-02 Self Financial, Inc. Resource utilization retrieval and modification
US11475010B2 (en) 2020-09-09 2022-10-18 Self Financial, Inc. Asynchronous database caching
US20220075877A1 (en) * 2020-09-09 2022-03-10 Self Financial, Inc. Interface and system for updating isolated repositories
US20210011787A1 (en) * 2020-09-25 2021-01-14 Francesc Guim Bernat Technologies for scaling inter-kernel technologies for accelerator device kernels
US11836727B1 (en) * 2020-12-04 2023-12-05 Wells Fargo Bank, N.A. Location based transaction authentication
US20220255929A1 (en) * 2021-02-08 2022-08-11 Capital One Services, Llc Systems and methods for preventing unauthorized network access
CN113761530A (zh) * 2021-03-09 2021-12-07 北京沃东天骏信息技术有限公司 数据的提供方法、装置和系统
US11848930B1 (en) 2021-06-15 2023-12-19 Whatsapp Llc Methods, mediums, and systems for verifying devices in an encrypted messaging system
US11843636B1 (en) 2021-06-15 2023-12-12 Whatsapp Llc Methods, mediums, and systems for verifying devices in an encrypted messaging system
US11658955B1 (en) * 2021-06-15 2023-05-23 Whatsapp Llc Methods, mediums, and systems for verifying devices in an encrypted messaging system
US11743035B2 (en) 2021-06-15 2023-08-29 Whatsapp Llc Methods, mediums, and systems for verifying devices in an encrypted messaging system
CN113469698A (zh) * 2021-06-30 2021-10-01 深圳市商汤科技有限公司 注册方法、系统、电子设备及存储介质
US11627285B2 (en) * 2021-08-03 2023-04-11 Bank Of America Corporation System and method for determining real-time resource capacity based on performing predictive analysis
US11930014B2 (en) 2021-09-29 2024-03-12 Bank Of America Corporation Information security using multi-factor authorization
CN116015698A (zh) * 2021-10-21 2023-04-25 伊姆西Ip控股有限责任公司 用于外围设备认证的方法、设备和计算机程序产品
US20230137767A1 (en) * 2021-10-28 2023-05-04 Google Llc Using co-located secondary devices to protect against cookie theft
US11968215B2 (en) * 2021-12-16 2024-04-23 Bank Of America Corporation Distributed sensor grid for intelligent proximity-based clustering and authentication

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7372839B2 (en) * 2004-03-24 2008-05-13 Broadcom Corporation Global positioning system (GPS) based secure access
US9762576B2 (en) * 2006-11-16 2017-09-12 Phonefactor, Inc. Enhanced multi factor authentication
US9154952B2 (en) * 2007-03-16 2015-10-06 Finsphere Corporation Systems and methods for authenticating a user of a computer application, network, or device using a wireless device
US8170591B2 (en) * 2009-05-13 2012-05-01 Microsoft Corporation Proximity-based mobile message delivery
US8140403B2 (en) * 2010-03-23 2012-03-20 Amazon Technologies, Inc. User profile and geolocation for efficient transactions
US20130204690A1 (en) * 2010-10-12 2013-08-08 Geocast Holdings Limited Determining coupon redemption validity via mobile devices
US20120203663A1 (en) 2011-02-07 2012-08-09 Carpadium Consulting Pty. Ltd. Method and apparatus for authentication utilizing location
GB2492050A (en) 2011-06-13 2012-12-26 Torben Kuseler One-time multi-factor biometric representation for remote client authentication
US9075979B1 (en) * 2011-08-11 2015-07-07 Google Inc. Authentication based on proximity to mobile device
US9571965B2 (en) * 2012-02-06 2017-02-14 Dima Stopel Verified check-in
KR101392047B1 (ko) * 2012-04-05 2014-05-07 주식회사 엘지씨엔에스 사용자 검증 방법, 이를 수행하는 사용자 검증 서버 및 모바일 단말
US20130268378A1 (en) * 2012-04-06 2013-10-10 Microsoft Corporation Transaction validation between a mobile communication device and a terminal using location data
CN104126189A (zh) * 2012-07-16 2014-10-29 美新纳瑞私人有限公司 交易的授权
US9270660B2 (en) * 2012-11-25 2016-02-23 Angel Secure Networks, Inc. System and method for using a separate device to facilitate authentication
WO2014145417A1 (en) * 2013-03-15 2014-09-18 MARKUS, Isidoro Method and apparatus for secure interaction with a computer service provider
US9396320B2 (en) * 2013-03-22 2016-07-19 Nok Nok Labs, Inc. System and method for non-intrusive, privacy-preserving authentication
US9563755B2 (en) * 2013-06-18 2017-02-07 Google Inc. NFC triggered two factor protected parental controls
US9521520B2 (en) * 2013-11-13 2016-12-13 Cisco Technology, Inc. Distributed-input OFDM angle-of-arrival scheme for location determination
CN105704837B (zh) * 2014-11-28 2020-02-14 华为终端有限公司 一种用于建立无线连接的方法及设备

Also Published As

Publication number Publication date
EP3338212A4 (en) 2019-03-20
US20170195339A1 (en) 2017-07-06
WO2017031504A1 (en) 2017-02-23
US10375082B2 (en) 2019-08-06
US20190319965A1 (en) 2019-10-17
EP3338212A1 (en) 2018-06-27
CN108369620A (zh) 2018-08-03
US20220043897A1 (en) 2022-02-10
HK1257340A1 (zh) 2019-10-18

Similar Documents

Publication Publication Date Title
US20220043897A1 (en) Method And Apparatus For Geographic Location Based Electronic Security Management
US10592872B2 (en) Secure registration and authentication of a user using a mobile device
US11595368B2 (en) Secure communications using loop-based authentication flow
US10769264B2 (en) Systems and methods for authentication via bluetooth device
US11206258B2 (en) Identity confirmation during authentication requests using nearby mobile computing devices
US9979720B2 (en) Passwordless strong authentication using trusted devices
US9642005B2 (en) Secure authentication of a user using a mobile device
US9521548B2 (en) Secure registration of a mobile device for use with a session
US10439813B2 (en) Authentication and fraud prevention architecture
US20170374046A1 (en) Short range secure data communication
US20140149294A1 (en) Method and system for providing secure end-to-end authentication and authorization of electronic transactions
US20160173501A1 (en) Managing electronic account access control
EP3662430B1 (en) System and method for authenticating a transaction
RU2644534C2 (ru) Компьютеризированные система и способ авторизации
KR20180051609A (ko) 근접 기반 네트워크 보안
US20140223520A1 (en) Guardian control over electronic actions
WO2019241432A1 (en) Systems and methods for user authentication based on multiple devices
JP6682453B2 (ja) データ通信
CN117857071A (zh) 使用钱包卡的密码验证
JP2017058749A (ja) 認証装置、認証方法及び認証プログラム
EP3559881A1 (en) Secure log-in or transaction procedure