JP2019521544A - サービスのクレデンシャル - Google Patents

サービスのクレデンシャル Download PDF

Info

Publication number
JP2019521544A
JP2019521544A JP2018556852A JP2018556852A JP2019521544A JP 2019521544 A JP2019521544 A JP 2019521544A JP 2018556852 A JP2018556852 A JP 2018556852A JP 2018556852 A JP2018556852 A JP 2018556852A JP 2019521544 A JP2019521544 A JP 2019521544A
Authority
JP
Japan
Prior art keywords
service
account
mobile device
target
target device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018556852A
Other languages
English (en)
Other versions
JP6686176B2 (ja
Inventor
ポレーゼ・コシオ,ルシオ
ガリーナ,フェルナンダ・マイラ
オリヴェイラ・ダ・シルヴァ,レナト
ブロシエル,アラン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hewlett Packard Development Co LP
Original Assignee
Hewlett Packard Development Co LP
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hewlett Packard Development Co LP filed Critical Hewlett Packard Development Co LP
Publication of JP2019521544A publication Critical patent/JP2019521544A/ja
Application granted granted Critical
Publication of JP6686176B2 publication Critical patent/JP6686176B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • G06F21/35User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/143Termination or inactivation of sessions, e.g. event-controlled end of session
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/51Discovery or management thereof, e.g. service location protocol [SLP] or web services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/63Location-dependent; Proximity-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Power Engineering (AREA)
  • Telephonic Communication Services (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

いくつかの例において、モバイルデバイスは、第1のサービスのアカウントを、この第1のサービスとは別個であるアカウント管理サービスに登録する。モバイルデバイスは、このモバイルデバイスがアカウント管理サービスに対して認可されたことに応答して、モバイルデバイスの通信範囲内にあるターゲットデバイスを検索する。モバイルデバイスは、この検索において発見されたターゲットデバイスに、ネットワークを介してターゲットデバイスがアクセスする第1のサービスのアカウントのクレデンシャル(身分証明)を送信する。【選択図】図5

Description

ユーザは、電子デバイスを用いてリモートサーバ上のサービスにアクセスすることができる。サービスにアクセスするために、ユーザは、例えばユーザ名及びパスワードを含むクレデンシャル(credential:身分証明)を入力しなければならない場合がある。クレデンシャルがサービスにおいて受信されて照合(verified:検証)されると、電子デバイスとサービスとの間にアクティブセッションを確立することができる。
本開示のいくつかの実施態様は、以下の図面に関して記載される。
いくつかの例による、モバイルデバイス、ターゲットデバイス、及びアカウント管理サービスを備える構成のブロック図である。 いくつかの例による、クライアントアプリケーションによるアカウント管理サービスへの登録と、このクライアントアプリケーションの種々の状態とを示す図である。 いくつかの例による、アカウント管理サービス、クライアントアプリケーション、及びターゲットアプリケーションによって実行されるプロセスのフロー図である。 更なる例による、複数のユーザが同じターゲットアプリケーションにアクセスすることができる構成のブロック図である。 いくつかの例による、モバイルデバイスに機械可読命令を記憶する記憶媒体のブロック図である。 いくつかの例によるアカウント管理システムのブロック図である。 いくつかの例による、ターゲットデバイスによって実行されるプロセスのフロー図である。
ユーザは、それぞれ異なるネットワークアクセス可能サービスに対して複数のアカウントを有することができる。これらのネットワークアクセス可能サービスは、以下のサービス、すなわち、ソーシャルネットワーキングサービス、オンラインゲーミングサービス、バンキングサービス、電子メールサービス、衛星若しくはケーブルテレビサービス、又はリモートサーバ上で提供するとともにネットワークを介してユーザがアクセス可能とすることができる他の任意のサービス、のうちの任意のもの又はいくつかの組み合わせを含む。ネットワークアクセス可能サービスは、有線ネットワーク、無線ネットワーク、又はこれら双方の組み合わせとすることができるネットワークを介してアクセス可能であるサービスを指すことができる。本開示において、ネットワークアクセス可能サービスは、「オンラインサービス」又はより簡単に「サービス」と称される。
ユーザは、或るオンラインサービスに対するアカウントをセットアップすることができる。いくつかの例において、オンラインサービスのアカウントは、特定のユーザがアクセス可能であるオンラインサービスの特徴を特定する情報、オンラインサービスの使用についての任意の制約、特定のユーザに関連付けられたファイル又はドキュメント、及びオンラインサービスにアクセスするのに用いられる(クレデンシャルの形態の)情報の集合体を指すことがある。より一般的には、オンラインサービスのアカウントは、それぞれのユーザ(又はユーザのグループ)がオンラインサービスにアクセスすることを可能にする情報を指す。
オンラインサービスに対するアカウントをセットアップすることの一部として、ユーザは、オンラインサービスへのユーザのアクセスを認可するのに用いられるクレデンシャルを設定することができる。クレデンシャルは、オンラインサービスへのアクセスを認可するのに、オンラインサービスに提供される任意の情報を指すことがある。例として、クレデンシャルは、以下、すなわち、ユーザ名若しくはユーザ識別子、パスワード、アクセスコード(数字列又は文字列又はそれらの組み合わせを含む)、アクセス鍵、セッショントークン、又は他の情報、のうちの任意のもの又はいくつかの組み合わせを含みうる。ユーザは、異なるオンラインサービスのアカウントについてそれぞれのクレデンシャルをセットアップすることができる。
強固なセキュリティを提供するために、パスワード等のクレデンシャルは、他人が容易に推測することができないものであることが望ましい。クレデンシャルは、長くかつ複雑なものにする(例えば、小文字及び大文字の英字(letters)、他の文字(characters)、及び/又は記号を組み合わせて混ぜる)ことによってよりセキュアなものにすることができる。しかしながら、そのようなクレデンシャルは、特に異なるオンラインサービスに異なるクレデンシャルが用いられる場合、ユーザにとって覚えておくのが困難であり得る。いくつかの事例において、或るユーザが多くのアカウントを有する場合、このユーザは、異なるアカウントに同じクレデンシャルを繰り返し用いることもあり得るし、一般的な単語を含むか又は誕生日、ユーザの名前、親族の名前、ペットの名前等のユーザに関する情報を含むクレデンシャル等の覚えておくのが容易であるクレデンシャルを用いることもあり得る。複数のアカウントに同じクレデンシャルを用いること又は推測するのが容易であるクレデンシャルを用いることにより、ユーザのアカウントに、認可されていないユーザがハッキングする可能性が高まるおそれがある。
本開示のいくつかの実施態様によれば、ユーザによるオンラインサービスのセキュアなアクセスを管理する認証技術又は機構は、アカウント管理サービス及びモバイルデバイス内のモバイルアプリケーションを含む。本論述において、ユーザは、ターゲットデバイス(アカウント管理サービス及びモバイルデバイスとは別個のもの)からオンラインサービスにアクセスすることを試み、ターゲットデバイスからのオンラインサービスへのこのアクセスは、アカウント管理サービス及びモバイルデバイス内のモバイルアプリケーションの使用に基づいている。例として、オンラインサービスにアクセスするのに用いられるターゲットデバイスは、以下、すなわち、デスクトップコンピュータ、ノートブックコンピュータ、タブレットコンピュータ、スマートフォン、ゲーム機器、テレビ用のセットトップボックス、又は他の任意の電子デバイス、のうちの任意のものを含みうる。いくつかの実施態様による認証技術又は機構のうちの一部として用いられるモバイルデバイスは、ターゲットデバイスとは別個であるとともにユーザが携帯するデバイスを含みうる。例として、モバイルデバイスは、以下、すなわち、スマートフォン、ウェアラブルデバイス(例えば、スマートウォッチ、スマート眼鏡等)、タブレットコンピュータ、又はモバイル式であり、ユーザが動き回る際に異なる場所にユーザが携帯することができる任意の電子デバイス、のうちの任意のものを含みうる。
アカウント管理サービスは、異なるオンラインサービスのアカウントについてユーザのクレデンシャルを管理するのに用いられる。アカウント管理サービスは、ユーザが異なるオンラインサービスのアカウントを登録することができる中央管理サービスを提供することができる。オンラインサービスのアカウントをアカウント管理サービスに登録することは、アカウント管理サービスに、オンラインサービスを識別する情報と、このオンラインサービスにアクセスするのに用いられるクレデンシャルとを提供することを含みうる。複数のユーザが、オンラインサービスのこのユーザ達のそれぞれのアカウントをアカウント管理サービスに登録することができる。
アカウント管理サービスを用いることに加えて、ユーザのモバイルデバイスが、オンラインサービスへのアクセスを管理することに更に用いられる。ユーザは、通常自身のモバイルデバイスを身につけて携帯するという想定に基づいて、ユーザのモバイルデバイスの近接により、ユーザが近くにおり、したがって(モバイルデバイスとは別個である)ターゲットデバイスを用いてオンラインサービスにアクセスすることを試みようとしている人物である可能性が高いというインジケーションが提供される。したがって、ユーザのモバイルデバイスの近接の検出により、オンラインサービスにアクセスすることに用いられるターゲットデバイス上にユーザアイデンティティの身元確認(verification)が提供される。
モバイルデバイス内のモバイルアプリケーションを用いて、異なるオンラインサービスのアカウントのユーザのクレデンシャルをアカウント管理サービスに登録することができる。加えて、モバイルデバイスがターゲットデバイスの通信範囲内にある場合、モバイルデバイスは、このターゲットデバイスにオンラインサービスのアカウントのクレデンシャルを提供することができ、それにより、ユーザがオンラインサービスにアクセスするのにターゲットデバイスを用いることができるようになっている。
図1は、ターゲットデバイス102と、(ユーザ116によって携帯される)モバイルデバイス104と、アカウント管理サービス108が実行されるアカウント管理システム106とを備える一例示の構成のブロック図である。アカウント管理サービス108は、アカウント管理システム106内の単一のプロセッサ(又は複数のプロセッサ)によって実行可能な機械可読命令を含みうる。アカウント管理システム106は、単一のコンピュータ又は分散構成の複数のコンピュータを用いて実現することができる。いくつかの例において、アカウント管理システム106は、クラウドの一部でありうる。
アカウント管理システム106は、ネットワーク110を介してモバイルデバイス104及びターゲットデバイス102と通信することができる。ネットワーク110は、インターネット等のパブリックネットワーク、又はローカルエリアネットワーク等のプライベートネットワークでありうる。ネットワーク110は、有線ネットワーク又は無線ネットワークを含みうる。
ターゲットデバイス102は、それぞれのアプリケーションサーバ114によって提供されるオンラインサービス112のうちの任意のもの等のリモートオンラインサービスにアクセスするのに用いることができる任意の電子デバイスでありうる。ターゲットデバイス102は、ネットワーク110又は異なるネットワーク(複数の場合もある)を介してアプリケーションサーバ114と通信することができる。アプリケーションサーバ114は、単一のコンピュータ又は或る構成の複数のコンピュータを含みうる。オンラインサービス112は、アプリケーションサーバ114の単一のプロセッサ(又は複数のプロセッサ)上で実行可能な機械可読命令として実施することができる。いくつかの例において、オンラインサービス112は、ウェブサイトの一部でありうる。
ターゲットデバイス102は、このターゲットデバイス102の単一のプロセッサ(又は複数のプロセッサ)上で実行される機械可読命令として実施することができる、ターゲットアプリケーション118を実行する。いくつかの例において、ターゲットアプリケーション118は、ウェブブラウザでありうる。他の例において、ターゲットアプリケーション118は、それぞれのオンラインサービス112にアクセスするために使用可能である異なるアプリケーションでありうる。ユーザ116は、ターゲットデバイス102を用いてオンラインサービス112にアクセスすることができる。
モバイルデバイス104は、このモバイルデバイス104内の単一のプロセッサ(又は複数のプロセッサ)によって実行可能である機械可読命令を含むクライアントアプリケーション120を含む。
クライアントアプリケーション120を用いることで、モバイルデバイス104のユーザ116は、異なるオンラインサービス112のアカウントをアカウント管理サービス108に登録することができる。異なるオンラインサービス112のアカウントの登録は、ユーザがオンラインサービスアカウントのクレデンシャルをアカウント管理サービス108に提供することを含むことができ、このアカウント管理サービスは、ユーザ116を代理して中央リポジトリにクレデンシャルを記憶することができる。
ターゲットデバイス102及びモバイルデバイス104は各々、無線インタフェース122又は124をそれぞれ備えることにより、(例えば、無線周波数通信、赤外線通信、音響通信などの)無線通信を実行する。モバイルデバイス104がターゲットデバイス102の通信範囲内に到来すると、それぞれモバイルデバイス104の無線インタフェース124とターゲットデバイス102の無線インタフェース122とは、互いに通信を開始することができ、それにより、モバイルデバイス104は、オンラインサービス112のアカウントのクレデンシャルをターゲットデバイス102に送信することができるようになっており、このクレデンシャルは、オンラインサービス112にアクセスするのにターゲットデバイス102が用いることができる。
いくつかの例において、無線インタフェース122及び124は、BLUETOOTH(登録商標)無線周波数通信、近距離無線通信(NFC:near field communication)電磁誘導通信、WI−FI無線ローカルエリアネットワーク(WLAN)通信、又は他の任意のタイプの無線通信などの短距離無線通信を実行する。BLUETOOTH及びNFC無線通信を用いる場合、モバイルデバイス104及びターゲットデバイス102は、無線インタフェース124及び122が互いからの送信信号を検出することが可能であることに応答して、互いの通信範囲内にある。WI−FI通信を用いる場合、モバイルデバイス104及びターゲットデバイス102は、これらモバイルデバイス104及びターゲットデバイス102の双方がWI−FI WLANのアクセスポイントのカバレッジエリア内にあることに応答して、互いの通信範囲内にあり、それにより、モバイルデバイス104及びターゲットデバイス102は、アクセスポイントを通じて互いに通信することができるようになっている。より一般的には、モバイルデバイス104及びターゲットデバイス102は、これらモバイルデバイス104及びターゲットデバイス102が直接的又は間接的に互いに通信することが可能であるように互いに近接していることに応答して、互いの通信範囲内にある。
図1は、ユーザ116に関連付けられた1つのモバイルデバイス104を示しているものの、ユーザ116は、オンラインサービスのアカウントのアカウント管理サービス108への登録を実行するのにユーザが用いることができるそれぞれのクライアントアプリケーション120を各々ロードした複数のモバイルデバイスを有することができることに留意されたい。モバイルデバイスがターゲットデバイス102の通信範囲内にある場合、そのような各モバイルデバイスを用いて、ターゲットデバイス102にオンラインサービス112のクレデンシャルを送信することもできる。
また、図1は、1つのターゲットデバイス102を示しているものの、任意のオンラインサービス112にアクセスするのにユーザ116が用いることができるターゲットデバイスは複数でありうることに留意されたい。例えば、或るターゲットデバイスは、ユーザの自宅にあるユーザのパーソナルコンピュータでありうる。別のターゲットデバイスは、職場にあるユーザの業務用コンピュータでありうる。更に別のターゲットデバイスは、ホテル、空港、又は他の何らかの場所に設置されたパブリックコンピュータなどのパブリックコンピュータでありうる。また更なる例として、ターゲットデバイス102は、ユーザ116の友人又は同僚が所有するターゲットデバイスでありうる。
加えて、更なる例において、複数のユーザ(それぞれモバイルデバイス104と同様のモバイルデバイスを有するユーザ)が、それぞれのオンラインサービス112にアクセスするのにアカウント管理サービス108及びターゲットデバイス102を用いることができる。
クライアントアプリケーション120とアカウント管理サービス108との間の単一の登録プロセス(又は複数の登録プロセス)を用いて、クライアントアプリケーション120が異なるオンラインサービスのアカウントをアカウント管理サービス108に登録すると、クライアントアプリケーション120は、ターゲットデバイス102からアクセスするサービス112のクレデンシャルを、クライアントアプリケーション120がターゲットデバイス102に送信することを可能にする状態にすることができる。
いくつかの例において、図2に示すように、クライアントアプリケーション120は、未登録状態と、登録済み状態と、認可状態と、同期状態とを含む、いくつかの異なる状態を有することができる。特定の状態が記載されているものの、他の例において、クライアントアプリケーション120は、他の状態を有することができることに留意されたい。
未登録状態は、モバイルデバイス104へのクライアントアプリケーション120のインストール直後にクライアントアプリケーション120が開始する、クライアントアプリケーション120の一状態である。
クライアントアプリケーション120は、ユーザがこのユーザのオンラインサービスアカウントをアカウント管理サービス108に登録するというアカウント管理サービス108への登録202(図2)を実行した後、未登録状態から登録済み状態に移行する。クライアントアプリケーション120がアカウント管理サービス108に対して登録を実行すると、クライアントアプリケーション120は、登録済み状態に留まる(すなわち、ユーザ116がアカウント管理サービス108に対して登録解除すると決定しない限り、クライアントアプリケーション120は、未登録状態に移行して戻ることはない)。
クライアントアプリケーション120は、以下で更に論じられる認可状態及び同期状態も含みうる。
まず、ユーザ116は、クライアントアプリケーション120を用いて、ユーザ116のマスタアカウント204をアカウント管理サービス108にセットアップすることができる。異なるユーザのために、アカウント管理サービス108によって異なるマスタアカウントを維持することができる。マスタアカウント204のセットアップは、マスタアカウント204のマスタクレデンシャル(例えば、ユーザ名及びパスワード)をセットアップすることを伴うことができる。マスタクレデンシャルは、オンラインサービス112のクレデンシャルを追加すること、オンラインサービス112のクレデンシャルを変更すること、又はオンラインサービス112のクレデンシャルを削除すること等の、オンラインサービスのアカウントを管理することのためにマスタアカウント204にログインするのにユーザ116によって用いられる。
ユーザのオンラインサービスアカウントのアカウント管理サービス108への登録202により、種々のオンラインサービスのアカウント情報をユーザ116のマスタアカウント204に記憶することができ、このアカウント情報は、第1のオンラインサービスのオンラインサービス1アカウント情報206や、第2のオンラインサービスのオンラインサービス2アカウント情報208などを含む。マスタアカウント204に記憶されるそれぞれのオンラインサービスのアカウント情報は、オンラインサービスアカウントのクレデンシャルと、オンラインサービスの識別子などのオンラインサービスに関連付けられた他の情報とを含みうる。ユーザ116によってセットアップされた、それぞれのオンラインサービス112のアカウントクレデンシャルは、異なるオンラインサービス112について特有のものでありハッカーが推測するのが困難であるロバストなクレデンシャルでありうる。
ユーザ116の異なるオンラインサービスのアカウント情報の登録は、それぞれ異なる時点に行うことができる。例えば、ユーザ116は、クライアントアプリケーション120を用いて、アカウント管理サービス108にユーザのオンラインサービスアカウントのサブセットをまず登録することができる。ユーザ116は、後の時点で、アカウント管理サービス108に別のオンラインサービスアカウントを登録するための更なる登録プロセスを実行することができる。
クライアントアプリケーション120によるターゲットアプリケーション118への送信のためにマスタアカウント204に記憶することができるオンラインサービスのクレデンシャルは、例えば、ユーザ名及びパスワードでありうる。他の例において、他のタイプのクレデンシャルを、他のユーザ認証技術の一部として用いることができる。例えば、クレデンシャルは、アカウント管理システム106上で実行されるアカウント管理サービス108などの機械によって生成されたユーザ秘密情報(user secret)を含みうるアクセス鍵を含みうる。ユーザ秘密情報は、ユーザに一意に関連付けられた任意の情報を含む。いくつかの場合、アクセス鍵は、ユーザ識別子及びユーザ秘密情報などの、一対の情報要素を含みうる。したがって、「アクセス鍵」という用語は、単一の情報要素、又は一対(若しくは他のセット)の情報要素を指すことができる。オンラインサービスのアクセス機能の異なる許諾に関連付けられた複数のアクセス鍵を作成することができる。
アクセス鍵が用いられる例において、アカウント管理サービス108への登録202の一部として、ユーザは、アカウント管理サービス108に対して認証を行うためにユーザのユーザ名及びパスワードを入力する。その後、アカウント管理サービス108は、このアカウント管理サービス108に対する後の時点での認証に用いるためにクライアントアプリケーション120に提供されるマスタアカウント204のマスタアクセス鍵(例えば、ユーザ識別子及びユーザ秘密情報を含む)を生成する。クライアントアプリケーション120は、マスタアカウント204のユーザ名及びパスワードを記憶するのではなく、マスタアカウント204のマスタアクセス鍵を記憶する。
同様に、ユーザ名及びパスワードではなくアクセス鍵を、オンラインサービス112のために用いることができる。ユーザは、特定のオンラインサービス112のユーザ名及びパスワードをマスタアカウント204に記憶することができる。これに応答して、アカウント管理サービス108は、クライアントアプリケーション120に提供される特定のオンラインサービス112のアクセス鍵を作成することができる。クライアントアプリケーション120は、特定のオンラインサービス112とのアクティブセッションを作成するための、ターゲットアプリケーション118による使用のために、ターゲットアプリケーション118にこのオンラインサービスアクセス鍵を(ユーザ名及びパスワードの代わりに)送信することができる。
更なる例において、クレデンシャルとしてセッショントークンを用いることができる。セッショントークンは、ユーザ識別子及びユーザ秘密情報に基づいて、又は他の情報に基づいて作成することができる。セッショントークンは、特定のライフタイムを有することができ、換言すれば、セッショントークンは、特定の持続時間有効であり、その後、このセッショントークンは有効ではなくなる。そのような例の場合、モバイルアプリケーション120は、オンラインサービス112にアクセスする際の使用のために、セッショントークンをターゲットアプリケーション118に送信することができる。
アカウント管理サービス108への登録202の一部として、クライアントアプリケーション120は、このクライアントアプリケーション120を登録済み状態から認可状態に移行させるためにユーザ116がモバイルデバイス104に入力しなければならない(個人識別番号又は他の個人情報などの)アクセスコードをセットアップすることもできる。認可状態において、モバイルデバイス104は、アカウント管理サービス108に対して認可される。そのようなアクセスコードは、アクセスコード210としてマスタアカウント204に記憶される。ユーザ116が(アクセスコード210に一致する)有効なアクセスコードを入力すると、クライアントアプリケーション120は、認可状態に移行する。
いくつかの例において、クライアントアプリケーション120は、モバイルデバイス104が認可状態にない限り、接続先のターゲットデバイス102を検索することは不可能である。クライアントアプリケーション120は、特定のイベントが発生するまで認可状態に留まることができる。この特定のイベントは、特定の持続時間の満了に応答して生成されるタイムアウトイベントでありうる。このように、クライアントアプリケーション120が登録済み状態などから認可状態に移行すると、クライアントアプリケーション120は、認可状態に留まることができる。特定の持続時間中にアクティビティが発生しない場合、タイムアウトが発生し、クライアントアプリケーション120は、認可状態から登録済み状態に移行して戻る。クライアントアプリケーション120を認可状態から抜け出させ得る別のイベントは、ターゲットデバイス102から或る距離を超えた異なるロケーション、又はターゲットデバイス102の通信範囲外の異なるロケーションに移動するモバイルデバイスの移動の検出に応答してトリガされるイベントなどの変更イベントである。
クライアントアプリケーション120が認可状態にあるとき、クライアントアプリケーション120がターゲットアプリケーション118と同期することができるように、クライアントアプリケーション120は、同期先のターゲットデバイス102を検索することができる。クライアントアプリケーション120は、モバイルデバイス104がターゲットデバイス102の通信範囲内を移動するとき、ターゲットデバイス102を検出することが可能である。クライアントアプリケーション120がターゲットデバイス102を検出して、この検出されたターゲットデバイス102のターゲットアプリケーション118と接続すると、クライアントアプリケーション120は、認可状態から同期状態に移行する。クライアントアプリケーション120とターゲットアプリケーション118との間に接続を確立するということは、例えば、オンラインサービス112にアクセスする際の使用のために、クライアントアプリケーション120がオンラインサービスアカウントのクレデンシャル(例えば、ユーザ名及びパスワード、アクセス鍵、セッショントークンなど)をターゲットアプリケーション118に送信することを可能にするために、クライアントアプリケーション120及びターゲットアプリケーション118が互いに通信することができるようにクライアントアプリケーション120及びターゲットアプリケーション118がセッションを確立することを指すことができる。
短距離のBLUETOOTH又はNFCが用いられる例において、モバイルデバイス104及びターゲットデバイス102は、モバイルデバイス104がターゲットデバイス102に対して特定の短い物理距離内にあるとき、通信範囲内にある。
より長距離のBLUETOOTH又はWI−FIが用いられる更なる例において、モバイルデバイス104及びターゲットデバイス102は、互いに通信することができるとき、近接していると想定することができる。そのような更なる例において、ユーザは、バーコード(例えば、特定のターゲットデバイス102上にあるクイックレスポンスコードすなわちQRコード(登録商標))のスキャンなどを行うことによって特定のターゲットデバイス102のアクセスをリクエストすることができ、又は、ユーザは、特定のターゲットデバイス102の名称又は識別子を手動で入力することができる。
WI−FIが用いられる例において、モバイルデバイス104がWLANに接続する(enters)と、モバイルデバイス104は、WLAN上のデバイスにブロードキャストされるメッセージを送信して、モバイルデバイス104の存在を潜在的なターゲットデバイスに通知することができる。
他の例において、モバイルアプリケーション120は、以前に同期したターゲットデバイス、お気に入りの(favorite)ターゲットデバイス、又はモバイルアプリケーション120が同期することを許可された、付近のターゲットデバイスのリストを保持することもできる。
いくつかの例において、クライアントアプリケーション120は、ターゲットアプリケーション118にリンクされるモジュール119(図1)との接続を確立することができる。例えば、ターゲットアプリケーション118がウェブブラウザである場合、モジュール119は、このウェブブラウザへのプラグインモジュールでありうる。プラグインモジュールは、ターゲットアプリケーション118などの別のアプリケーションに追加機能を追加することができる機械可読命令を含むコンポーネントである。他の例において、モジュール119は、クライアントアプリケーション120がターゲットアプリケーション118と通信することを可能にする目的で、ターゲットアプリケーション118とインタラクトすることができる別のタイプのモジュールでありうる。
更なる例において、モジュール119によって提供される機能は、ターゲットアプリケーション118自体に含めることができる。
本開示において、それぞれのタスクを実行するターゲットアプリケーション118に対する参照は、それぞれのタスクを実行するターゲットアプリケーション118又はモジュール119のうちのいずれか一方又は双方を指すことができる。
図3は、ユーザがターゲットデバイス102(その中でターゲットアプリケーション118が実行される)上でオンラインサービス112にアクセスすることを可能にする、アカウント管理サービス108とクライアントアプリケーション120とターゲットアプリケーション118との間で実行することができる一例示のプロセスを示している。図3の例において、クライアントアプリケーション120がターゲットアプリケーション118との接続を確立済みである(例えば、クライアントアプリケーション120は同期状態にある)ことが仮定される。
例えば、ユーザがターゲットアプリケーション118を用いてオンラインサービス112のウェブページを開くのに応答して、ターゲットアプリケーション118がリモートアプリケーションサーバ114上のオンラインサービス112へのアクセスのリクエストを(302において)受信すると、ターゲットアプリケーション118は、アクセスされることになるオンラインサービス112のアカウントのクレデンシャルのリクエストをクライアントアプリケーション120に(304において)送信することができる。クレデンシャルのリクエストに応答して、クライアントアプリケーション120は、このクライアントアプリケーション120がターゲットアプリケーション118にクレデンシャルを送信することを許可するというユーザ確認を求めるプロンプトを(305において)生成することができる。このプロンプトは、ユーザがオンラインサービス112とのセッションの確立を継続することを望んでいることを確認するために、ユーザがアクティベート可能な管理要素を有するダイアログボックスの形態でありうる。プロンプトは、ターゲットデバイス102がパブリックデバイスであるか又は信頼されていない他の何らかのデバイスである場合に生成することができる。ターゲットデバイス102が信頼されたデバイスである他の例において、クレデンシャルのターゲットアプリケーション118への送信の確認のためにプロンプトはユーザに提示される必要がない。ターゲットデバイス102が信頼されたデバイスであるというインジケーションを受信したことに応答して、クライアントアプリケーション120は、それぞれのクレデンシャルを、クレデンシャルのリクエストに応答してターゲットアプリケーション118に自動的に送信することができる。
信頼されたデバイスは、モバイルアプリケーション120を用いてこの信頼されたデバイスの識別情報を入力することなどによって、モバイルアプリケーション120を用いて構成することができる。代替的に、信頼されたデバイスは、アカウント管理サービス108を用いて構成することができ、この場合、信頼されたデバイスの識別情報は、ユーザのマスタアカウントに追加することができる。いくつかの例において、特定のオンラインサービス(バンキングサービスなど)の場合、或る特定のターゲットデバイスを信頼することが可能である一方で他のデバイスは信頼することが不可能である。例えば、自宅にあるユーザのパーソナルコンピュータをバンキングサービスにアクセスするための信頼されたデバイスとすることができる一方で、業務用コンピュータ又はパブリックコンピュータは、バンキングサービスにアクセスするための信頼されたデバイスとなることはない。
ターゲットアプリケーション118がアクセスすることを試みている複数のオンラインサービスアカウントが存在する場合、ユーザに対して(305において)提示されるプロンプトは、複数のオンラインサービスアカウントをリストすることができ、ユーザは、モバイルアプリケーション120がそれぞれのクレデンシャルをターゲットアプリケーション118に送信することを許可されるオンラインサービスアカウントを選ぶことができる。
次に、モバイルアプリケーション120は、リクエストされたクレデンシャルをターゲットアプリケーション118に(306において)送信する。クライアントアプリケーション120によってターゲットアプリケーション118に送信されるクレデンシャルは、クライアントアプリケーション120によってアカウント管理サービス108上のユーザのマスタアカウントから読み出すこともできるし、モバイルデバイス104上で一時的に記憶されたオンラインサービスアカウント情報のローカルキャッシュから読み出すこともできる。
そして、ターゲットアプリケーション118は、クレデンシャルをオンラインサービス112に(308において)転送して、ターゲットアプリケーション118とオンラインサービス112との間のアクティブセッションを(312において)確立することを許可することができる。
いくつかの実施態様による技術又は機構を用いることで、ユーザがターゲットデバイス102上でクレデンシャルを手動で入力する必要なくオンラインサービス112にアクセスするために、ターゲットデバイス102上のターゲットアプリケーション118を用いることができる。
いくつかの実施態様において、ターゲットアプリケーション118がオンラインサービス112とのアクティブセッションを(312において)確立する前に、ターゲットアプリケーション118は、ネットワーク110を介してアカウント管理サービス108との接続を(310において)確立する。ターゲットアプリケーション118は、このターゲットアプリケーション118とそれぞれのオンラインサービス112(又は複数のオンラインサービス112)との間に確立される単一のアクティブセッション(又は複数のアクティブセッション)に関する情報をユーザに対して送信することができる。アクティブセッションに関する情報は、アクティブセッションの識別子と、アクティブセッションの属性に関するパラメータとを含みうる。所与のユーザがアクセスしている各アクティブセッションに関する情報は、アカウント管理サービス108上でこの所与のユーザに関連付けられたマスタアカウントに記憶することができる。
ターゲットアプリケーション118とアカウント管理サービス108との間の接続により、アカウント管理サービス108がターゲットアプリケーション118とサービス112との間のアクティブセッションを管理することが可能になる。例えば、アカウント管理サービス108は、ターゲットアプリケーション118に、アクティブセッションからログアウトするように、又はアクティブセッションに関連付けられた何らかのパラメータを変更するように通知することができる。アカウント管理サービス108は、クライアントアプリケーション120から受信されたリクエストに応答して、ターゲットアプリケーション118とサービス112との間のアクティブセッションを管理することができる。一例として、アカウント管理サービス108に、アクティブセッションからログアウトするコマンド、又はアクティブセッションを変更する(例えば、アクティブセッションのパラメータを変更する)コマンドをターゲットアプリケーション118に向けて送信させるために、ユーザ116は、クライアントアプリケーション120を用いてアカウント管理サービス108にリクエストを送信することができる。
ターゲットデバイス102が信頼されていないデバイスである例示的な使用事例において、アクティブセッションが実行している間モバイルデバイス104がターゲットデバイス102の通信範囲内に留まっていることを確実にするために、ターゲットアプリケーション118は、モバイルデバイス104の存在を監視することができる。ターゲットデバイス102が信頼されていないデバイスであるそのような例示的な使用事例において、モバイルデバイス104がターゲットデバイス102の通信範囲外に移動することは、ターゲットアプリケーション118がこのターゲットアプリケーション118とオンラインサービス112との間のアクティブセッションからログアウトすることのトリガである。モバイルデバイス104がターゲットデバイス102の通信範囲外に移動することは、ユーザがもはや物理的にターゲットデバイス102のあたりにはおらず、そのためユーザがターゲットデバイス102から去った後にアクティブセッションの情報を他の何者かが見ることを回避するためにアクティブセッションは終了すべきであることのインジケーションである。
アクティブセッションが終了した後、モバイルデバイス104が再びターゲットデバイス102の範囲内に移動した場合、モバイルアプリケーション120は、ターゲットアプリケーション118と自動的に同期(上述した同期状態に移行)することができ、モバイルアプリケーション120は、ターゲットアプリケーション118がそれぞれのオンラインサービスアカウントに再びログインすることを確認するためにユーザにプロンプトを提示することができる。ユーザが確認した場合、ターゲットアプリケーションは、以前のアクティブセッションを復元することができ、いくつかの場合、閲覧されていたウェブページを復元することもできる。
ターゲットデバイス102が信頼されたデバイスである他の使用事例において、ターゲットアプリケーション118は、モバイルデバイス104がターゲットデバイス102の通信範囲外に移動した場合でも、ターゲットアプリケーション118とオンラインサービス112との間のアクティブセッションを維持することができる。
ユーザは、モバイルデバイス104上で、ターゲットデバイス102とオンラインサービス112との間に確立されたアクティブセッションを管理することもできる。ユーザは、モバイルデバイス104上のクライアントアプリケーション120を用いてユーザのマスタアカウント(例えば図2の204)にログインすることができる。ユーザのマスタアカウントは、ユーザが現在関与しているアクティブセッションに関するセッション情報を記憶することができる。クライアントアプリケーション120は、ターゲットデバイス102とオンラインサービス112との間で現在実行されているアクティブセッションの視覚化を提示することができる。視覚化は、ユーザがアクティブセッションを管理するためにアクティベート可能な管理要素を含みうる。例えば、或る管理要素を、アクティブセッションを終了させるためにアクティベートすることができる一方で、別の管理要素を、アクティブセッションを変更するためにアクティベートすることができる。
視覚化における管理要素のアクティベーションにより、対応するインジケーションがアカウント管理サービス108に送信され、そして、アカウント管理サービス108は、アクティブセッションに対して(例えば、アクティブセッションを終了する、アクティブセッションを変更する)それぞれの管理アクションを実行させるそれぞれのコマンドをターゲットアプリケーション118に向けて送信する。
前述の記載は、オンラインサービスへの認証をサポートするためにアカウント管理サービス108及び1人のユーザのモバイルデバイス104を用いることによって、そのユーザが信頼されたターゲットデバイス又は信頼されていないターゲットデバイスのいずれかを用いてオンラインサービスにアクセスすることができる使用事例に言及している。
他の例示的な使用事例において、例えば図4に示すように、それぞれの複数のモバイルデバイス104A及び104Bに関連付けられた複数のユーザ(例えばユーザ116A及びユーザ116B)が、同じターゲットアプリケーション118に接続することができる。図4に示すように、ユーザ116Aは、モバイルデバイス104A内のクライアントアプリケーション120Aを用いて、アカウント管理サービス108によって維持されるユーザ116Aのためのマスタアカウント204Aにオンラインサービス112のアカウント情報を登録することができ、ユーザ116Bは、モバイルデバイス104B内のクライアントアプリケーション120Bを用いて、アカウント管理サービス108によって維持されるユーザ116Bのためのマスタアカウント204Bにオンラインサービス112のアカウント情報を登録することができる。
例えば、オンラインサービス112は、オンラインゲームサービスとすることができ、ターゲットデバイス102は、複数のユーザがオンラインゲームサービスにアクセスしてオンラインゲームを共同でプレイすることを可能にするゲームコンソール又は別のコンピュータとすることができる。
別の例示的な使用事例として、オンラインサービス112は、医師サービス(physician service)とすることができ、医者は、この医者のモバイルデバイスと医師サービスへのアクセスを認証することをサポートするためのアカウント管理サービス108とを用いて医師サービスに情報を入力することができる。後の時点において、看護師が、医者によって入力された情報を索出するために、この看護師のモバイルデバイスと認証をサポートするためのアカウント管理サービス108とを用いて医師サービスにアクセスすることができる。
図4は、複数のユーザが1つのオンラインサービスにアクセスするためにターゲットデバイス102にアクセスしている様子を示しているものの、他の例示的な使用事例において、複数のユーザが複数のオンラインサービスにアクセスするためにターゲットデバイス102にアクセスすることができることに留意されたい。
図5は、本開示による種々のタスクを実行するためにモバイルデバイス(例えば、上述したモバイルデバイス104又は104A又は104B)上で実行可能な機械可読命令を記憶する非一時的機械可読又はコンピュータ可読記憶媒体500のブロック図である。
機械可読命令は、第1のサービス(例えば、オンラインサービス112)のアカウントを、第1のサービスとは別個であるアカウント管理サービス(例えば、108)に登録する、登録命令502を含む。機械可読命令は、モバイルデバイスがアカウント管理サービスに対して認可されたことに応答して、モバイルデバイスの通信範囲内にあるターゲットデバイス(例えば、102)を検索する、ターゲットデバイス検索命令504を更に含む。機械可読命令は、この検索において発見されたターゲットデバイスに、ネットワークを介してターゲットデバイスがアクセスする第1のサービスのアカウントのクレデンシャルを送信する、クレデンシャル送信命令506を更に含む。
図6は、上述されたアカウント管理システム106とすることができる一例示のシステム600のブロック図である。システム600は、ネットワーク(例えば、図1のネットワーク110)と通信する通信インタフェース602と、ネットワークを介してモバイルデバイスと実行される登録の一部として、第1のサービス(例えば、オンラインサービス112)のアカウントのクレデンシャルを記憶する、クレデンシャル記憶命令606を実行するプロセッサ604とを備える。プロセッサ604は、ネットワークを介してターゲットデバイス(例えば、上述の102)から、クレデンシャルの使用に基づいて第1のサービスにアクセスするターゲットデバイス上のアクティブセッションに関する情報を受信する、セッション情報受信命令608を更に実行するものである。プロセッサ604は、モバイルデバイスからのリクエストに応答して、アクティブセッションを終了する又はアクティブセッションを変更するなどの、アクティブセッションのセッション管理を実行するコマンドをターゲットデバイスに送信する、コマンド送信命令610を更に実行するものである。
前述の記載において、プロセッサ604がそれぞれの機械可読命令を実行するということは、1つのプロセッサが機械可読命令を実行することを指すこともできるし、複数のプロセッサが機械可読命令を実行することを指すこともできる。プロセッサは、マイクロプロセッサ、マルチコアマイクロプロセッサのコア、マイクロコントローラ、プログラマブル集積回路、プログラマブルゲートアレイ、又は別のハードウェア処理回路、又は前述のものの任意の組み合わせを含むことができる。
図7は、ターゲットデバイス(例えば、102)が実行することができる一例示のプロセスのフロー図である。プロセスは、ターゲットデバイス上で実行されるターゲットアプリケーション(例えば、118)によって、ターゲットデバイスから遠隔のシステム(例えば、アカウント管理システム106)内のアカウント管理サービス(例えば、108)と(702において)接続することを含む。プロセスは、ターゲットデバイスの通信範囲内にある、第1のユーザの第1のモバイルデバイス(例えば、104、104A、又は104B)に、ターゲットアプリケーションを用いて第1のサービス(例えば、112)にアクセスするためのクレデンシャルのリクエストを(704において)送信することを含む。プロセスは、第1のモバイルデバイスからクレデンシャルを受信したことに応答して、ターゲットアプリケーションを用いて第1のサービスとのアクティブセッションを(706において)確立することを含む。プロセスは、アカウント管理サービスからのコマンドに応答して、アクティブセッションの管理を(708において)実行することを更に含む。
図5の記憶媒体500は、ダイナミック若しくはスタティックランダムアクセスメモリ(DRAM若しくはSRAM)、消去可能プログラマブルリードオンリーメモリ(EPROM)、電気的消去可能プログラマブルリードオンリーメモリ(EEPROM)及びフラッシュメモリなどの半導体メモリデバイス、固定ディスク、フロッピーディスク及びリムーバブルディスクなどの磁気ディスク、テープを含む他の磁気媒体、コンパクトディスク(CD)若しくはデジタルビデオディスク(DVD)などの光媒体、又は他のタイプの記憶デバイスを含む、1つ又は複数の異なる形のメモリを含みうる。上記で論じられた命令は、1つのコンピュータ可読若しくは機械可読記憶媒体上に与えることができるか、又は代替的には、場合によっては複数のノードを有する大規模なシステム内に分散する複数のコンピュータ可読若しくは機械可読記憶媒体上に与えることができることに留意されたい。そのような単数又は複数のコンピュータ可読又は機械可読記憶媒体は、物品(又は製品)の一部と見なされる。物品又は製品は、任意の製造された単一の構成要素又は複数の構成要素を指すことがある。単数又は複数の記憶媒体は、機械可読命令を実行する機械内に位置することがあるか、又は遠隔地に位置することがあり、実行するために、遠隔地からネットワークを介して機械可読命令をダウンロードすることができる。
上記の説明において、本明細書において開示される主題を理解してもらうために、数多くの細部が記述されている。しかしながら、これらの細部のいくつかを用いることなく、実施態様を実施することができる。他の実施態様は、上記で論じられた細部からの変更及び変形を含みうる。添付の特許請求の範囲は、そのような変更及び変形を包含することを意図している。

Claims (15)

  1. 実行時に、モバイルデバイスに対し、
    第1のサービスのアカウントを、該第1のサービスとは別個であるアカウント管理サービスに登録することと、
    前記モバイルデバイスが前記アカウント管理サービスに対して認可されたことに応答して、前記モバイルデバイスの通信範囲内にあるターゲットデバイスを検索することと、
    前記検索において発見された前記ターゲットデバイスに、ネットワークを介して前記ターゲットデバイスがアクセスする前記第1のサービスの前記アカウントのクレデンシャルを送信することと
    を行わせる命令を記憶している非一時的な機械可読記憶媒体。
  2. 前記命令は、実行時に、前記モバイルデバイスが該モバイルデバイスにおける有効なアクセスコードの受信に応答して、前記アカウント管理サービスに対して認可される認可状態に移行することを前記モバイルデバイスに行わせる、請求項1に記載の非一時的な機械可読記憶媒体。
  3. 前記命令は、実行時に、特定のイベントに応答して、前記モバイルデバイスを前記認可状態から、該モバイルデバイスが前記アカウント管理サービスに対して認可されない別の状態に移行することを前記モバイルデバイスに行わせる、請求項2に記載の非一時的な機械可読記憶媒体。
  4. 前記命令は、実行時に、
    第2のサービスのアカウントを前記アカウント管理サービスに登録することであって、該第2のサービスの該アカウントを該登録することは、前記アカウント管理サービスに該第2のサービスの該アカウントのクレデンシャルを提供することを含むことと、
    前記第1のサービス及び前記第2のサービスの前記アカウントの前記クレデンシャルのうちのいずれを、前記ターゲットデバイスに送信することを前記モバイルデバイスが認可されるのかを確認することをユーザに促すことと
    を前記モバイルデバイスに行わせる、請求項1に記載の非一時的な機械可読記憶媒体。
  5. 前記命令は、実行時に、前記ターゲットデバイスが信頼されたデバイスであるというインジケーションに応答して、ユーザに確認を促すことなく前記第1のサービスの前記アカウントの前記クレデンシャルを前記ターゲットデバイスに前記送信することを許可することを前記モバイルデバイスに行わせる、請求項1に記載の非一時的な機械可読記憶媒体。
  6. 前記第1のサービスの前記アカウントの前記クレデンシャルを前記ターゲットデバイスに送信することは、該第1のサービスの該アカウントの該クレデンシャルを、前記ターゲットデバイス上のターゲットアプリケーションに関連付けられたモジュールに送信することを含み、前記ターゲットアプリケーションは、前記第1のサービスにアクセスするのに用いられる、請求項1に記載の非一時的な機械可読記憶媒体。
  7. 前記ターゲットアプリケーションは、ウェブブラウザを含み、前記モジュールは、該ウェブブラウザへのプラグインモジュールである、請求項6に記載の非一時的な機械可読記憶媒体。
  8. ネットワークと通信する通信インタフェースと、
    プロセッサであって、
    前記ネットワークを介してモバイルデバイスと実行される登録の一部として、第1のサービスのアカウントのクレデンシャルを記憶することと、
    前記ネットワークを介してターゲットデバイスから、前記クレデンシャルの使用に基づいて前記第1のサービスにアクセスする前記ターゲットデバイス上のアクティブセッションに関する情報を受信することと、
    前記モバイルデバイスからのリクエストに応答して、前記アクティブセッションのセッション管理を実行するコマンドを前記ターゲットデバイスに送信することと
    を行うプロセッサと
    を備えてなるシステム。
  9. 前記プロセッサは、
    前記登録の一部として、第2のサービスのアカウントのクレデンシャルを記憶することと、
    前記ネットワークを介して前記ターゲットデバイスから、前記第2のサービスの前記アカウントの前記クレデンシャルの使用に基づいて前記第2のサービスにアクセスする前記ターゲットデバイス上の別のアクティブセッションに関する情報を受信することと
    を更に行う、請求項8に記載のシステム。
  10. 前記第1のサービスは、前記システムとは別個であるサーバによって提供される、請求項8に記載のシステム。
  11. 前記システムは、前記登録の一部として、アカウント管理命令に関連付けられたアクセスコードを、前記モバイルデバイスとセットアップすることを前記プロセッサ上で実行可能な前記アカウント管理命令を記憶する非一時的記憶媒体を更に備え、前記アクセスコードは、前記モバイルデバイスが前記ターゲットデバイスと接続することを認可するために前記モバイルデバイスによって使用可能である、請求項8に記載のシステム。
  12. ターゲットデバイスの方法であって、
    前記ターゲットデバイス上で実行されるターゲットアプリケーションによって、前記ターゲットデバイスから遠隔のシステム内のアカウント管理サービスと接続するステップと、
    前記ターゲットデバイスの通信範囲内にある、第1のユーザの第1のモバイルデバイスに、前記ターゲットアプリケーションを用いて第1のサービスにアクセスするためのクレデンシャルのリクエストを送信するステップと、
    前記第1のモバイルデバイスから前記クレデンシャルを受信したことに応答して、前記ターゲットアプリケーションを用いて前記第1のサービスとのアクティブセッションを確立するステップと、
    前記アカウント管理サービスからのコマンドに応答して、前記アクティブセッションの管理を実行するステップと
    を含んでなる方法。
  13. 前記アカウント管理サービスが前記アクティブセッションを管理することを許可する前記アクティブセッションのセッション情報を、前記ターゲットデバイスによって前記アカウント管理サービスに送信するステップを更に含む、請求項12に記載の方法。
  14. 前記ターゲットアプリケーションを用いて、前記第1のサービス又は第2のサービスである所与のサービスにアクセスするための第2のクレデンシャルのリクエストを、前記ターゲットデバイスによって第2のユーザの第2のモバイルデバイスに送信するステップと、
    前記第2のモバイルデバイスから前記第2のクレデンシャルを受信したことに応答して、前記ターゲットアプリケーションを用いて前記所与のサービスとのアクティブセッションを確立するステップと
    を更に含む、請求項12に記載の方法。
  15. 前記ターゲットデバイスによって、前記第1のモバイルデバイスが前記ターゲットデバイスとの前記通信範囲外に移動したことを検出するステップと、
    前記検出に応答して、前記アクティブセッションを終了するステップと
    を更に含む、請求項12に記載の方法。
JP2018556852A 2016-07-12 2016-07-12 非一時的な機械可読記憶媒体 Active JP6686176B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/US2016/041897 WO2018013089A1 (en) 2016-07-12 2016-07-12 Credential for a service

Publications (2)

Publication Number Publication Date
JP2019521544A true JP2019521544A (ja) 2019-07-25
JP6686176B2 JP6686176B2 (ja) 2020-04-22

Family

ID=60952165

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018556852A Active JP6686176B2 (ja) 2016-07-12 2016-07-12 非一時的な機械可読記憶媒体

Country Status (6)

Country Link
US (1) US11176238B2 (ja)
EP (1) EP3433784B1 (ja)
JP (1) JP6686176B2 (ja)
KR (1) KR102140921B1 (ja)
CN (1) CN109074439B (ja)
WO (1) WO2018013089A1 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10972916B2 (en) * 2019-04-29 2021-04-06 Sonicwall Inc. Instant secure wireless network setup
US11997635B2 (en) 2019-04-29 2024-05-28 Sonicwall Inc. Establishing simultaneous mesh node connections
KR20220140519A (ko) * 2020-02-14 2022-10-18 인텔렉추얼디스커버리 주식회사 무선 통신 시스템에서 클라우드 인증 페어링 방법, 장치, 컴퓨터 프로그램 및 그 기록 매체

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002157226A (ja) * 2000-11-16 2002-05-31 Nec Corp パスワード集中管理システム
JP2006195716A (ja) * 2005-01-13 2006-07-27 Nec Corp パスワード管理システム、方法およびプログラム
JP2007293811A (ja) * 2006-03-31 2007-11-08 Nippon Telegr & Teleph Corp <Ntt> 代理認証システム、代理認証方法及びそれに用いる認証装置
JP2008098893A (ja) * 2006-10-11 2008-04-24 Matsushita Electric Ind Co Ltd 無線通信モジュール、及び無線通信システム
JP2009017516A (ja) * 2007-07-09 2009-01-22 Ntt Docomo Inc 認証システム及び認証方法
JP2010224785A (ja) * 2009-03-23 2010-10-07 Konica Minolta Business Technologies Inc データ転送システム及びデータ転送方法
JP2012123552A (ja) * 2010-12-07 2012-06-28 Picolab Co Ltd 認証方法、管理装置及び認証システム
US20150029866A1 (en) * 2013-07-29 2015-01-29 Htc Corporation Method of relay discovery and communication in a wireless communications system

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10140596B2 (en) * 2004-07-16 2018-11-27 Bryan S. M. Chua Third party authentication of an electronic transaction
US7631346B2 (en) * 2005-04-01 2009-12-08 International Business Machines Corporation Method and system for a runtime user account creation operation within a single-sign-on process in a federated computing environment
EP2249277B1 (en) * 2008-02-28 2018-07-18 Nippon Telegraph and Telephone Corporation Authentication device, authentication method, and authentication program with the method mounted thereon
US20120239936A1 (en) * 2009-12-18 2012-09-20 Nokia Corporation Credential transfer
JP2011128985A (ja) * 2009-12-18 2011-06-30 Toshiba Corp アカウントアグリゲーションシステム、情報処理装置およびアカウントアグリゲーションシステムにおける暗号鍵管理方法
US20120311038A1 (en) * 2011-06-06 2012-12-06 Trinh Trung Tim Proximity Session Mobility Extension
US8635684B2 (en) 2011-10-06 2014-01-21 Sap Ag Computer-implemented method for mobile authentication and corresponding computer system
CN103067338B (zh) * 2011-10-20 2017-04-19 上海贝尔股份有限公司 第三方应用的集中式安全管理方法和系统及相应通信系统
WO2013089777A1 (en) 2011-12-16 2013-06-20 Intel Corporation Login via near field communication with automatically generated login information
KR101700171B1 (ko) * 2011-12-28 2017-01-26 인텔 코포레이션 네트워크 액세스 관련 애플리케이션의 인증
CN102638454B (zh) 2012-03-14 2014-05-21 武汉理工大学 一种面向http身份鉴别协议的插件式单点登录集成方法
US9031050B2 (en) 2012-04-17 2015-05-12 Qualcomm Incorporated Using a mobile device to enable another device to connect to a wireless network
US9413758B2 (en) * 2012-05-24 2016-08-09 Fmr Llc Communication session transfer between devices
US20140007205A1 (en) 2012-06-28 2014-01-02 Bytemobile, Inc. No-Click Log-In Access to User's Web Account Using a Mobile Device
US9942750B2 (en) 2013-01-23 2018-04-10 Qualcomm Incorporated Providing an encrypted account credential from a first device to a second device
US9565181B2 (en) 2013-03-28 2017-02-07 Wendell D. Brown Method and apparatus for automated password entry
US9071967B1 (en) * 2013-05-31 2015-06-30 Amazon Technologies, Inc. Wireless credential sharing
US20150058191A1 (en) * 2013-08-26 2015-02-26 Apple Inc. Secure provisioning of credentials on an electronic device
US9363251B2 (en) 2013-10-01 2016-06-07 Google Technology Holdings LLC Systems and methods for credential management between electronic devices
WO2015119614A1 (en) * 2014-02-06 2015-08-13 Hewlett-Packard Development Company, L.P. Registering a user with a subscription service using a network-enabled printer
US20150310452A1 (en) 2014-04-27 2015-10-29 AuthAir, Inc. Access Control System For Medical And Dental Computer Systems
US10235512B2 (en) 2014-06-24 2019-03-19 Paypal, Inc. Systems and methods for authentication via bluetooth device

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002157226A (ja) * 2000-11-16 2002-05-31 Nec Corp パスワード集中管理システム
JP2006195716A (ja) * 2005-01-13 2006-07-27 Nec Corp パスワード管理システム、方法およびプログラム
JP2007293811A (ja) * 2006-03-31 2007-11-08 Nippon Telegr & Teleph Corp <Ntt> 代理認証システム、代理認証方法及びそれに用いる認証装置
JP2008098893A (ja) * 2006-10-11 2008-04-24 Matsushita Electric Ind Co Ltd 無線通信モジュール、及び無線通信システム
JP2009017516A (ja) * 2007-07-09 2009-01-22 Ntt Docomo Inc 認証システム及び認証方法
JP2010224785A (ja) * 2009-03-23 2010-10-07 Konica Minolta Business Technologies Inc データ転送システム及びデータ転送方法
JP2012123552A (ja) * 2010-12-07 2012-06-28 Picolab Co Ltd 認証方法、管理装置及び認証システム
US20150029866A1 (en) * 2013-07-29 2015-01-29 Htc Corporation Method of relay discovery and communication in a wireless communications system

Also Published As

Publication number Publication date
EP3433784B1 (en) 2022-02-23
US11176238B2 (en) 2021-11-16
US20200336476A1 (en) 2020-10-22
CN109074439B (zh) 2022-04-15
EP3433784A1 (en) 2019-01-30
EP3433784A4 (en) 2020-01-29
JP6686176B2 (ja) 2020-04-22
WO2018013089A1 (en) 2018-01-18
CN109074439A (zh) 2018-12-21
KR102140921B1 (ko) 2020-08-05
KR20180131586A (ko) 2018-12-10

Similar Documents

Publication Publication Date Title
US10541992B2 (en) Two-token based authenticated session management
EP2901616B1 (en) Method for mobile security context authentication
EP3350736B1 (en) Device enabled identity authentication
US9794228B2 (en) Security challenge assisted password proxy
US20200007524A1 (en) Authenticated Session Management Across Multiple Electronic Devices Using A Virtual Session Manager
US9529985B2 (en) Global authentication service using a global user identifier
KR101861026B1 (ko) 비공개 데이터를 보호하는 보안 프록시
US20160269403A1 (en) Multi-factor user authentication
US20150281227A1 (en) System and method for two factor user authentication using a smartphone and nfc token and for the automatic generation as well as storing and inputting of logins for websites and web applications
US20130212653A1 (en) Systems and methods for password-free authentication
US20140230019A1 (en) Authentication to a first device using a second device
WO2014131279A1 (zh) 一种双向授权系统、客户端及方法
KR102482104B1 (ko) 식별 및/또는 인증 시스템 및 방법
US20110289567A1 (en) Service access control
US9141778B2 (en) Controlling access to an accessible object with an online access control list
US11068574B2 (en) Phone factor authentication
US10810295B2 (en) Unified authentication management system
JP6686176B2 (ja) 非一時的な機械可読記憶媒体
CA2878269A1 (en) System and method for two factor user authentication using a smartphone and nfc token and for the automatic generation as well as storing and inputting of logins for websites and web applications
EP4203535A1 (en) Systems and methods for credentials sharing
JP2014092891A (ja) 認証装置、認証方法および認証プログラム
KR101437550B1 (ko) 웹 서버 접속 차단 방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20181220

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20191016

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20191024

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191113

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200327

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200401

R150 Certificate of patent or registration of utility model

Ref document number: 6686176

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: R3D02

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250