JP2020500373A - アクセス権を決定するためのシステム、方法、及び媒体 - Google Patents
アクセス権を決定するためのシステム、方法、及び媒体 Download PDFInfo
- Publication number
- JP2020500373A JP2020500373A JP2019526243A JP2019526243A JP2020500373A JP 2020500373 A JP2020500373 A JP 2020500373A JP 2019526243 A JP2019526243 A JP 2019526243A JP 2019526243 A JP2019526243 A JP 2019526243A JP 2020500373 A JP2020500373 A JP 2020500373A
- Authority
- JP
- Japan
- Prior art keywords
- secure node
- user
- authenticating
- key
- secure
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/082—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
Landscapes
- Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
アクセス権を決定するためのシステム、方法、及び媒体を提供する。より具体的には、一部の好適例では、ユーザがセキュアノードにアクセスするためのアクセス権を決定するシステムが提供され、このシステムは:メモリ;及びハードウェア・プロセッサを具え、このハードウェア・プロセッサは:ユーザのユーザ名、セキュアノードのセキュアノード識別子、セキュアノードのセキュアノード・キー、及びユーザのバイオメトリック署名サンプルを受信し;セキュアノード識別子及びセキュアノード・キーを認証し;バイオメトリック署名サンプルを認証し;セキュアノード識別子及びセキュアノード・キーを認証したこと、及びバイオメトリック署名サンプルを認証したことに応答して、ユーザにセキュアノードへのアクセスを行わせるように構成されている。
Description
関連出願のクロスリファレンス
本願は米国特許出願第15/359504号、2016年11月22日出願の一部継続出願であり、その全文を参照することにより本明細書に含める。
本願は米国特許出願第15/359504号、2016年11月22日出願の一部継続出願であり、その全文を参照することにより本明細書に含める。
コンピュータシステム及びソフトウェアへのアクセスを制御することは、これらのシステム及びソフトウェアのセキュリティ(安全性)を保証することにとって非常に重要である。一般に、コンピュータシステム及びソフトウェアへのアクセスは、ユーザがユーザ識別情報(ユーザID:identification)(例えば、ユーザ名または電子メールアドレス)を入力することしか要求しない。しかし、これらの認証情報は安全でないことが多い、というのは、ユーザの電子メールアドレスは他者にとって周知であり得るし、パスワードはソーシャル・エンジニアリング、盗用、及び/または総当たり攻撃によって頻繁に特定され得る。
従って、コンピュータシステム及び/またはソフトウェアへのアクセスを制御するためのより安全(セキュア)なメカニズムが望まれる。
一部の好適例によれば、アクセス権を決定するためのシステム、方法、及び媒体が提供される。より具体的には、一部の好適例では、セキュア(安全な)ノードにアクセスするためのユーザのアクセス権を決定するシステムが提供され、このシステムは:メモリ、及びハードウェア・プロセッサを具え、このハードウェア・プロセッサは:ユーザのユーザ名、セキュアノードのセキュアノード識別子、セキュアノードのセキュアノード・キー、及びユーザのバイオメトリック(生体)署名サンプルを受信し;セキュアノード識別子及びセキュアノード・キーを認証し、バイオメトリック署名サンプルを認証し、セキュアノード識別子及びセキュアノード・キーを認証したこと、及びバイオメトリック署名サンプルを認証したことに応答して、ユーザにセキュアノードへのアクセスを行わせるように構成されている。
一部の好適例では、セキュアノードにアクセスするためのユーザのアクセス権を決定する方法が提供され、この方法は:ハードウェア・プロセッサにおいて、ユーザのユーザ名、セキュアノードのセキュアノード識別子、セキュアノードのセキュアノード・キー、及びユーザのバイオメトリック署名サンプルを受信するステップと;ハードウェア・プロセッサを用いて、セキュアノード識別子及びセキュアノード・キーを認証するステップと;ハードウェア・プロセッサを用いて、バイオメトリック署名サンプルを認証するステップと;セキュアノード識別子及びセキュアノード・キーを認証したこと、及びバイオメトリック署名サンプルを認証したことに応答して、ユーザにセキュアノードへのアクセスを行わせるステップとを含む。
一部の好適例では、コンピュータで実行可能な命令を含む非一時的なコンピュータ可読媒体が提供され、これらの命令は、プロセッサによって実行されると、セキュアノードにアクセスするためのユーザのアクセス権を決定する方法を上記プロセッサに実行させ、この方法は:ユーザのユーザ名、セキュアノードのセキュアノード識別子、セキュアノードのセキュアノード・キー、及びユーザのバイオメトリック署名サンプルを受信するステップと;セキュアノード識別子及びセキュアノード・キーを認証するステップと;バイオメトリック署名サンプルを認証するステップと;セキュアノード識別子及びセキュアノード・キーを認証したこと、及びバイオメトリック署名サンプルを認証したことに応答して、ユーザにセキュアノードへのアクセスを行わせるステップととを含む。
一部の好適例では、上記システム、上記方法、及び上記非一時的なコンピュータ可読媒体における方法が、さらに、ユーザに装置に対応するIP(Internet Protocol:インターネット・プロトコル)アドレスを受信し;このIPアドレスがブロックされているか否かを判定する。
上記システム、上記方法、及び上記非一時的なコンピュータ可読媒体における方法の一部の好適例では、上記セキュアノード識別子がアップル(登録商標)IDである。
上記システム、上記方法、及び上記非一時的なコンピュータ可読媒体における方法の一部の好適例では、上記セキュアノード・キーがアップル(登録商標)キーである。
上記システム、上記方法、及び上記非一時的なコンピュータ可読媒体における方法の一部の好適例では、セキュアノード識別子及びセキュアノード・キーを認証することが、セキュアノード識別子及びセキュアノード・キーがデータベース内に記憶されているか否かを判定することを含む。
上記システム、上記方法、及び上記非一時的なコンピュータ可読媒体における方法の一部の好適例では、バイオメトリック署名サンプルを認証することが、正確度の百分率が第1閾値の条件を満たすか否かを判定することを含む。
一部の好適例では、上記システム、上記方法、及び上記非一時的なコンピュータ可読媒体における方法が、さらに、ログイン試行に失敗した回数を監視し;ログイン試行に失敗した回数が第2閾値の条件を満たすか否かを判定し;正確度の百分率が第3閾値の条件を満たさないか否かを判定し;ログイン試行に失敗した回数が第2閾値の条件を満たし、かつ正確度の百分率が第3閾値の条件を満たさない際に、ユーザの装置に対応するIPアドレスをブロックする。
開示する主題の種々の目的、特徴、及び利点は、開示する主題の以下の詳細な説明を参照して、以下の図面に関連して考慮すると、より十分に理解され、これらの図面では同様の参照番号は同様の要素を識別する。
詳細な説明
種々の実施形態によれば、一部の実施形態による、アクセス権を決定するためのシステム、方法、及び媒体を含むことができるメカニズムが提供される。例えば、一部の実施形態では、これらのメカニズムを用いて、サービス、アプリケーション、プログラム、システム、インタフェース、及び/または安全なログインを必要とする他のもののようなセキュアノードにアクセスためのアクセス権を決定することができる。より具体的には、例えば、一部の実施形態では、ユーザがこれらのメカニズムを用いて、マイクロソフト社のインターネット・エクスプローラー(Internet Explorer:登録商標)、アップル社のサファリ(Safari:登録商標)、モジラ(Mozilla:登録商標)、ファイアフォックス(Firefox:登録商標)、及びグーグルクローム(Google Chrome:登録商標)のようなウェブ・ブラウザによりサービス型ソフトウェア(SaaS:Software as a Service)にアクセスすることができる。他のより具体的な例として、一部の実施形態では、ユーザがこれらのメカニズムを用いて装置上で実行中のアプリケーションにアクセスすることができる。
種々の実施形態によれば、一部の実施形態による、アクセス権を決定するためのシステム、方法、及び媒体を含むことができるメカニズムが提供される。例えば、一部の実施形態では、これらのメカニズムを用いて、サービス、アプリケーション、プログラム、システム、インタフェース、及び/または安全なログインを必要とする他のもののようなセキュアノードにアクセスためのアクセス権を決定することができる。より具体的には、例えば、一部の実施形態では、ユーザがこれらのメカニズムを用いて、マイクロソフト社のインターネット・エクスプローラー(Internet Explorer:登録商標)、アップル社のサファリ(Safari:登録商標)、モジラ(Mozilla:登録商標)、ファイアフォックス(Firefox:登録商標)、及びグーグルクローム(Google Chrome:登録商標)のようなウェブ・ブラウザによりサービス型ソフトウェア(SaaS:Software as a Service)にアクセスすることができる。他のより具体的な例として、一部の実施形態では、ユーザがこれらのメカニズムを用いて装置上で実行中のアプリケーションにアクセスすることができる。
一部の実施形態では、これらのメカニズムを用いてセキュアノードにアクセスする際に、ユーザは自分のユーザ名を入力し、送信ボタンをクリックして開始する。一部の実施形態では、ユーザ名を自動的に入力すること、あるいは前回の入力を記憶しておくことができる。次に、ユーザ名、ユーザ装置に関連するネットワーク・ルーターのIPアドレス、セキュアノードに対する識別子(例えば、アップル(登録商標)ID)、セキュアノードに対するキー(例えば、アップル(登録商標)キー)、及びバイオメトリック署名サンプルを、サーバー(例えば、シングル・サインオン(single sign-on)サーバー)上で実行中のプロセスに対して送信する。このプロセスが必要な情報を受信すると、プロセスはこの情報を認証して、アクセスが許諾された(例えば、成功である)か、一時的に拒否された(例えば、不成功である)か、あるいは永久的に拒否されている(例えば、ブラックリストに載っている)かを示す応答を戻す。
図1に、本明細書中に説明するメカニズムを実現することができるシステムの例100を示す。図に示すように、システム100は、ユーザ装置130、ネットワーク・ルーター120、ネットワーク110、シングル・サイオンオン・サーバー140、ブラックリスト掲載データベース・サーバー150、及びデータベース・サーバー105を含む。
図1には単一のユーザ装置を示しているが、一部の実施形態では、適切な任意数のユーザ装置を用いることができる。図1には3つの別個のサーバーを示しているが、一部の実施形態では、適切な任意数のサーバーを用いることができる。例えば、図1に示す2つ以上のサーバーを組み合わせて、それらの機能が単一のサーバー上で実行されるようにすることができる。図1には単一のルーターを示しているが、一部の実施形態では、適切な任意数のルーターを用いることができる。図1には単一の通信ネットワークのみを示しているが、一部の実施形態では、適切な任意数の通信ネットワークを用いることができる。
一部の実施形態では、装置130は、ユーザが当該装置からサービス、アプリケーション、プログラム、システム、インタフェース、及び/または安全なログインを必要とする他のあらゆるもののようなセキュアノードへのアクセスを要求する、あらゆる適切な装置とすることができる。例えば、一部の実施形態では、装置130は、携帯電話(例えば、スマートホン)、コンピュータ(例えば、ラップトップ・コンピュータ、デスクトップ・コンピュータ、タブレット・コンピュータ、等)、車両(例えば、自動車、ボート、飛行機、オートバイ)、報道用記録装置(例えば、静止画カメラ、ビデオカメラ、録音装置、等)、及び/または他のあらゆる適切な装置とすることができる。
ユーザ装置130のユーザがアクセスを要求するセキュアノードは、図1に示すあらゆる構成要素として、またはこれらの構成要素上に実現することができ、あるいは図1に示さない構成要素として、またはそうした構成要素上に実現することができる。例えば、一部の実施形態では、セキュアノードはユーザ装置130上で実行中のアプリケーションとすることができる。他の例として、一部の実施形態では、セキュアノードは、ネットワーク110に接続されたサーバー上で実行中のウェブサイトとすることができるが、図1には示していない。
一部の実施形態では、ネットワーク・ルーター120は、1つ以上の装置130を1つ以上のネットワーク110に接続するためのあらゆる適切な装置とすることができる。一部の実施形態では、ネットワーク・ルーターは有線ルーター及び/または無線ルーターとすることができる。例えば、一部の実施形態では、ネットワーク・ルーター120はWiFi(ワイファイ:登録商標)ルーターとすることができる。
一部の実施形態では、ネットワーク110はあらゆる適切な通信ネットワークとすることができる。一部の実施形態では、ネットワーク110があらゆる適切なサブネットワークを含むことができ、ネットワーク110、及びサブネットワークのうちの任意の1つ以上が、あらゆる適切な接続部(例えば、配線、ケーブル、光ファイバ、無線リンク、等)及びあらゆる適切な装置(例えば、ルーター、ゲートウェイ、スイッチ、ファイアウォール、受信機、送信機、トランシーバ、等)を含むことができる。例えば、ネットワーク110は、インターネット、ケーブルテレビジョン網、衛星ネットワーク、電話網、有線ネットワーク、無線ネットワーク、ローカルエリア・ネットワーク、ワイドエリア・ネットワーク、イーサネット(登録商標)ネットワーク、WiFi(登録商標)ネットワーク、メッシュ・ネットワーク、及び/またはあらゆる適切なネットワークを含むことができる。
一部の実施形態では、シングル・サイオンオン・サーバー140は、ログイン資格を認証して、1つ以上のサービス、アプリケーション、プログラム、システム、インタフェース、及び/または安全なログインを必要とする他のあらゆるものへのアクセスを許可するあらゆる適切なサーバーとすることができる。
一部の実施形態では、ブラックリスト掲載データベース・サーバー150は、どのIPアドレスが安全なログインを成立させることにおけるブラックリストに載せられているかを監視するためのあらゆる適切なサーバーとすることができる。一部の実施形態では、サーバー150は、安全なログインを成立させることを許可されていないIPアドレスを識別するデータ、及び/または安全なログインを成立させることを許可されているIPアドレスを識別するデータを維持することができる。
一部の実施形態では、データベース・サーバー105は、識別子及びキーを認証するためのあらゆる適切なサーバーとすることができる。例えば、一部の実施形態では、サーバー105は、本明細書中に記載するメカニズムによってアクセスを許諾することができるすべてのサービス、アプリケーション、プログラム、システム、インタフェース、及び/または安全なログインを必要とする他のものの識別子及びキーをリストアップすることができる。
一部の実施形態では、ユーザ装置130、及びサーバー105、120、140及び150は、あらゆる適切なハードウェアを用いて実現することができる。例えば、一部の実施形態では、ユーザ装置130、及びサーバー105、120、140及び150のうちの任意の1つ以上を、あらゆる適切な汎用コンピュータまたは専用コンピュータを用いて実現することができる。例えば、ユーザ装置130は、スマートホンのような専用コンピュータを用いて実現することができる。いずれのこうした汎用コンピュータまたは専用コンピュータも、あらゆる適切なハードウェアを含むことができる。例えば、図2のハードウェア200の例に示すように、こうしたハードウェアは、ハードウェア・プロセッサ202、メモリ及び/または記憶装置204、入力装置コントローラ206、入力装置208、表示/音声ドライバ(駆動回路)210、表示及び音声出力回路212、通信インタフェース214、アンテナ216、及びバス218を含むことができる。
一部の実施形態では、ハードウェア・プロセッサ202は、マイクロプロセッサ、マイクロコントローラ、デジタルシグナルプロセッサ、デジタル論理回路、及び/または汎用または専用コンピュータの機能を制御するための他のあらゆる適切な回路のような、あらゆる適切なハードウェア・プロセッサを含むことができる。
一部の実施形態では、メモリ及び/または記憶装置204は、プログラム、データ、メディア・コンテンツ、及び/または他のあらゆる適切な情報を記憶するためのあらゆる適切なメモリ及び/または記憶装置とすることができる。例えば、メモリ及び/または記憶装置204は、ランダムアクセスメモリ、読出し専用(リードオンリー)メモリ、フラッシュメモリ、ハードディスク記憶装置、光媒体、及び/または他のあらゆる適切なメモリとすることができる。
一部の実施形態では、入力装置コントローラ206は、入力装置208のような装置からの入力を制御し受信するためのあらゆる適切な回路とすることができる。例えば、入力装置コントローラ206は、タッチ・スクリーンのような入力装置208からの、1つ以上のボタンからの、音声認識回路からの、マイクロホンからの、カメラからの、光センサからの、加速度計からの、温度センサからの、近接場センサからの、及び/または他のあらゆる種類の入力装置からの入力を受信するための回路とすることができる。
一部の実施形態では、表示/音声ドライバ210は、1つ以上の表示/音声出力回路212への出力を制御し駆動するためのあらゆる適切な回路とすることができる。例えば、表示/音声ドライバ210は、LCD(liquid crystal display:液晶ディスプレイ)表示装置、スピーカ、LED(light emitting diode:発光ダイオード)、または他のあらゆる種類の出力装置を駆動するための回路とすることができる。
通信インタフェース214は、図1に示すネットワーク110のような1つ以上の他の装置及び/または通信ネットワークと相互作用するためのあらゆる適切な回路とすることができる。例えば、インタフェース214は、ネットワーク・インタフェースカード回路、無線通信回路、及び/または他のあらゆる適切な種類の通信ネットワーク回路を含むことができる。
一部の実施形態では、アンテナ216は、通信ネットワークと無線通信するためのあらゆる適切な1つ以上のアンテナとすることができる。一部の実施形態では、アンテナ216は必要でない際に省略することができる。
一部の実施形態では、バス218は、2つ以上の構成要素202、204、206、210、及び214と通信するためのあらゆる適切なメカニズムとすることができる。
一部の実施形態によれば、他のあらゆる適切な構成要素をハードウェア200に含めることができる。
図3を参照すれば、一部の実施形態における、シングル・サイオンオン・サーバー140上で実現することができる、アクセス権を決定するプロセス300の例が示されている。
図に示すように、一部の実施形態では、このプロセスは、ユーザ名、IPアドレス、識別子、キー、及びバイオメトリック署名サンプルを用いて、セキュアノードへのアクセス権を付与するか否かを決定することができる。ユーザ名はユーザのあらゆる適切な識別子とすることができる。IPアドレスは、ユーザ装置が接続されるネットワーク・ルーター用のインターネット・プロトコル・アドレスとすることができる。一部の実施形態では、IPアドレスはユーザ装置のIPアドレスとすることができる。識別子は、ユーザがアクセスしようとする、サービス、アプリケーション、プログラム、システム、インタフェース、及び/または安全なログインを必要とする他のあらゆるもののようなセキュアノードの識別子とすることができる。例えば、一部の実施形態では、識別子はこうしたセキュアノードに対するアップル(登録商標)IDとすることができる。キーは、サービス、アプリケーション、プログラム、システム、インタフェース、及び/または安全なログインを必要とする他のあらゆるもののようなセキュアノードによって作成された一意的な識別子である。例えば、一部の実施形態では、キーはこうしたセキュアノードに対するアップル(登録商標)キーとすることができる。バイオメトリック署名サンプルは、ユーザのバイオメトリック(生体)データ(例えば、指紋、網膜走査、ユーザの物理的署名、等)に基づくあらゆる適切なデータとすることができる。図3には、ユーザ名、IPアドレス、識別子、キー、及びバイオメトリック署名サンプルを、アクセス権を付与するべきか否かを決定するために用いるように記載しているが、これらのデータのうちの任意の1つ以上を省略すること、及び/または他のあらゆる適切なデータを用いることができる。
図3に示すように、プロセス300をブロック301で開始した後に、このプロセスは、ユーザ名、IPアドレス、識別子、キー、及びバイオメトリック署名サンプルをブロック305で受信する。一部の実施形態では、これらのアイテムはあらゆる適切な1つ以上の発生源から受信することができる。例えば、一部の実施形態では、これらのアイテムは、ユーザ装置から、あるいはユーザ装置とネットワーク・ルーターとの組合せから受信することができる。
ブロック310では、プロセス300が識別子及びキーを認証する。この認証はあらゆる適切な方法で実行することができる。例えば、一部の実施形態では、プロセス300は、識別子及びキーをデータベース・サーバー105に送信して、この対を認証するかこの対を拒絶するかのいずれかの応答を受信することができる。他の例として、一部の実施形態では、プロセス300は、識別子を送信して返送されたキーを受信することができ、このキーをプロセスが知っているキーと比較して認証を実行することができる。
ブロック315では、プロセス300は、識別子及びキーが認証されたか否かに基づいて分岐することができる。ブロック315で、識別子及び/またはキーが認証されていないことを判定した場合、プロセス300はブロック330でブラックリスト掲載の応答を戻して、ブロック375で終了する。ブラックリスト掲載の応答はアクセスが許諾されないことを示す。
ブロック315で、プロセス300が、識別子及びキーが認証されたことを判定した場合、プロセスはIPアドレスがブロックされているか否かを判定する。この判定はあらゆる適切な方法で行うことができる。例えば、一部の実施形態では、プロセスは、ブロック320で、このIPアドレスがブラックリスト掲載データベース・サーバー150内に存在するか否かをチェックすることによって、この判定を実行することができる。このチェックはあらゆる適切な方法で実行することができる。例えば、一部の実施形態では、プロセス300はIPアドレスをブラックリスト掲載データベース・サーバー150に送信して、このIPアドレスが掲載されているか否かを示すいずれかの応答を受信することができる。他の例として、一部の実施形態では、プロセス300は、IPアドレスの一部をサーバー150に送信して返送された1つ以上の一致するIPアドレスを受信し、これにより、一致するIPアドレスをプロセス300が知っているIPアドレスと比較することができる。
次に、ブロック325では、プロセス300は、IPアドレスがブラックリスト掲載データベース・サーバー内に存在するか否かに基づいて分岐することができる。ブロック325でIPアドレスがブラックリスト掲載データベース・サーバー150内に存在することを判定した場合、プロセス300はブロック330に分岐して上述したように進む。
ブロック325でプロセス300が、IPアドレスがブラックリスト掲載データベース・サーバー内に存在しないことを判定した場合、プロセス300はバイオメトリック署名サンプルを認証する。一部の実施形態では、このことはあらゆる適切な方法で実行することができる。例えば、一部の実施形態では、バイオメトリック署名サンプルはバイオメトリック署名検証プログラムを用いて認証することができる。一部の実施形態では、認証が、バイオメトリック署名サンプルの集合に対する、バイオメトリック署名サンプルの正確度の百分率(VP)を戻す。一部の実施形態では、VPは0(例えば、極めて異なる)以上であり、かつ100(例えば、極めて類似するか同一である)以下である。
上述したように、一部の実施形態では、バイオメトリック署名サンプルは、顔の画像またはビデオ、声の音声、指紋、署名(例えば、コンピュータ・マウスの移動、タッチスクリーンまたはデジタイザ・タブレット上の指の移動、等により描いたもの)のようなあらゆる適切なデータとすることができる。
ブロック340では、プロセスが、正確度の百分率(VP)が閾値(L)の条件を満たすか否かを判定する。一部の実施形態では、あらゆる適切な閾値(L)を用いることができ、一部の実施形態では、閾値(L)が0以上かつ100以下である。図3はVPがLよりも大きい(VP>L)ことを判定することを示しているが、一部の実施形態では、VPが閾値Lの条件を満たすことを、VPがL以上であることとすることができる。当然、一部の実施形態では、バイオメトリック署名サンプルがバイオメトリック署名サンプルの集合と類似している度合いを示す代わりに、認証は、バイオメトリック署名サンプルがバイオメトリック署名サンプルの集合と異なる度合いを示すことができる。例えば、認証は、10に等しいVPを出力して極めて異なることを示し、0に等しいVPを出力して極めて類似するか同一であることを示すことができる。こうした場合には、閾値の条件を満たすことは、VPがL以下である際に示すことができる。
プロセス300がブロック340でVPがLの条件を満たすことを判定した場合、プロセス300は、ブロック345で成功の応答を戻してブロック375で終了することができる。こうした成功の応答は、アクセスが許可されたことを示してアクセスを許諾することができる。アクセスはあらゆる適切な方法で許諾することができる。例えば、一部の実施形態では、以前にはユーザに対してブロックされていたセキュアノードの一部へのアクセスを当該ユーザに行わせることができる。
プロセス340がブロック340でVPがLの条件を満たさないことを判定した場合、プロセス300は、ユーザが失敗した試行のカウンタ(FA)が閾値Nの条件を満たすか否か、及び正確度の百分率(VP)が閾値Mの条件を満たすか否かを判定する。一部の実施形態では、FAはユーザが失敗した試行のカウント数とすることができ、0以上の整数とすることができる。一部の実施形態では、閾値Nは失敗した試行回数のあらゆる適切な閾値とすることができ、0よりも大きい数とすることができる。閾値Mは正確度の百分率についてのあらゆる適切な閾値とすることができ、一部の実施形態では0以上かつ100以下とすることができる。一部の実施形態では、閾値Nの条件を満たすFAを、Nよりも大きいFA、あるいはN以上のFAとすることができる。一部の実施形態では、閾値Mの条件を満たさないVPを、M未満のVP、あるいはM以下のVPとすることができる。
プロセス300がブロック350で、FAがNの条件を満たし、かつVPがMの条件を満たさないことを判定した場合、プロセスはブロック355でIPアドレスをブラックリスト掲載データベース・サーバー150に追加し、ブロック360でブラックリスト掲載の応答を戻して、ブロック375で終了することができる。
プロセス300がブロック350で、FAがNの条件を満たさないこと、あるいはVPがMの条件を満たすことを判定した場合、プロセスはブロック365でユーザが失敗した試行のカウンタ(FA)を増加させ、ブロック370で不成功の応答を戻して、ブロック375で終了することができる。こうした不成功の応答は、アクセスがまだ許可されていないことを示すことができる。
本明細書中では、プロセス300をシングル・サインオン・サーバー140上で実行されるものとして説明しているが、このプロセスはあらゆる適切な1つ以上の装置によって実行することができる。
プロセス300は、種々の構成要素間の通信を記述する。一部の実施形態では、この通信はあらゆる適切な方法で実行することができる。例えば、一部の実施形態では、通信毎に、構成要素間の接続を確立し、データを送信して、接続を切断することができる。他の例として、一部の実施形態では、複数の通信インスタンスにわたって構成要素間の接続を確立したままにすることができる。
上述した図3のプロセスのブロックのうちの少なくとも一部を、図面中に示して説明する順序及び順列に限定されない順序または順列で実行するか機能させることができることは明らかである。また、図3のプロセスの上記ブロックの一部を、適切であればほぼ同時に、あるいは並列的に実行するか機能させて、レイテンシ(待ち時間)及び処理時間を低減することができる。それに加えて、あるいはその代わりに、図3のプロセスの上述したブロックの一部を省略することができる。
一部の実現では、あらゆる適切なコンピュータ可読媒体を用いて、本明細書中に記載する機能及び/またはプロセスを実行するための命令を記憶することができる。例えば、一部の実現では、コンピュータ可読媒体は一時的にも非一時的にもすることができる。例えば、非一時的コンピュータ可読媒体は、非一時的形態の磁気媒体(例えばハードディスク、フロッピー(登録商標)ディスク、等)、非一時的形態の光媒体(例えば、コンパクトディスク、デジタルビデオディスク、ブルーレイディスク、等)、非一時的形態の半導体媒体(例えば、フラッシュメモリ、消去可能プログラマブル読出し専用メモリ(EPROM:erasable programmable read only memory)、電気的消去可能プログラマブル読出し専用メモリ(EEPROM:electrically erasable programmable read only memory)、等)、消失のない、あるいは伝送中の見た目の永久性のないあらゆる適切な媒体、及び/またはあらゆる適切な有形媒体のような媒体を含むことができる。他の例として、一時的コンピュータ可読媒体は、ネットワーク上、配線内、導体内、光ファイバ内、回路内、消失のない、あるいは伝送中の見た目の永久性のないあらゆる適切な媒体内、及び/またはあらゆる適切な無形媒体内の信号を含むことができる。
本発明は、以上の説明的な実施形態において図示して説明してきたが、本開示は一例として行ったに過ぎず、以下に続く特許請求の範囲のみによって限定される本発明の精神及び範囲から逸脱することなしに、本発明の実現の細部に多数の変更を加えることができることは明らかである。開示する実施形態の特徴は、種々の方法で組み合わせること、及び再編成することができる。
Claims (21)
- セキュアノードにアクセスするためのユーザのアクセス権を決定するシステムであって、
メモリと、
ハードウェア・プロセッサとを具えたシステムにおいて、
該ハードウェア・プロセッサは、
前記ユーザのユーザ名、前記セキュアノードのセキュアノード識別子、前記セキュアノードのセキュアノード・キー、及び前記ユーザのバイオメトリック署名サンプルを受信し、
前記セキュアノード識別子及び前記セキュアノード・キーを認証し、
前記バイオメトリック署名サンプルを認証し、
前記セキュアノード識別子及び前記セキュアノード・キーを認証したこと、及び前記バイオメトリック署名サンプルを認証したことに応答して、前記ユーザに前記セキュアノードへのアクセスを行わせる
ように構成されているシステム。 - 前記ハードウェア・プロセッサが、
前記ユーザの装置に対応するIPアドレスを受信し、
前記IPアドレスがブロックされているか否かを判定する
ようにさらに構成されている、請求項1に記載のシステム。 - 前記セキュアノード識別子がアップル(登録商標)IDである、請求項1に記載のシステム。
- 前記セキュアノード・キーがアップル(登録商標)キーである、請求項1に記載のシステム。
- 前記セキュアノード識別子及び前記セキュアノード・キーを認証することが、前記セキュアノード識別子及び前記セキュアノード・キーがデータベース内に記憶されているか否かを判定することを含む、請求項1に記載のシステム。
- 前記バイオメトリック署名サンプルを認証することが、正確度の百分率が第1閾値の条件を満たすか否かを判定することを含む、請求項1に記載のシステム。
- 前記ハードウェア・プロセッサが、
ログイン試行に失敗した回数を監視し、
前記ログイン試行に失敗した回数が第2閾値の条件を満たすか否かを判定し、
前記正確度の百分率が第3閾値の条件を満たさないか否かを判定し、
前記ログイン試行に失敗した回数が前記第2閾値の条件を満たし、かつ前記正確度の百分率が第3閾値の条件を満たさない際に、前記ユーザの装置に対応するIPアドレスをブロックする
ようにさらに構成されている、請求項6に記載のシステム。 - セキュアノードにアクセスするためのユーザのアクセス権を決定する方法であって、
ハードウェア・プロセッサにおいて、前記ユーザのユーザ名、前記セキュアノードのセキュアノード識別子、前記セキュアノードのセキュアノード・キー、及び前記ユーザのバイオメトリック署名サンプルを受信するステップと、
前記ハードウェア・プロセッサを用いて、前記セキュアノード識別子及び前記セキュアノード・キーを認証するステップと、
前記ハードウェア・プロセッサを用いて、前記バイオメトリック署名サンプルを認証するステップと、
前記セキュアノード識別子及び前記セキュアノード・キーを認証したこと、及び前記バイオメトリック署名サンプルを認証したことに応答して、前記ユーザに前記セキュアノードへのアクセスを行わせるステップと
を含む方法。 - 前記ユーザの装置に対応するIPアドレスを受信するステップと、
前記IPアドレスがブロックされているか否かを判定するステップと
をさらに含む、請求項8に記載の方法。 - 前記セキュアノード識別子がアップル(登録商標)IDである、請求項8に記載の方法。
- 前記セキュアノード・キーがアップル(登録商標)キーである、請求項8に記載の方法。
- 前記セキュアノード識別子及び前記セキュアノード・キーを認証するステップが、前記セキュアノード識別子及び前記セキュアノード・キーがデータベース内に記憶されているか否かを判定することを含む、請求項8に記載の方法。
- 前記バイオメトリック署名サンプルを認証するステップが、正確度の百分率が第1閾値の条件を満たすか否かを判定することを含む、請求項8に記載の方法。
- ログイン試行に失敗した回数を監視するステップと、
前記ログイン試行に失敗した回数が第2閾値の条件を満たすか否かを判定するステップと、
前記正確度の百分率が第3閾値の条件を満たさないか否かを判定するステップと、
前記ログイン試行に失敗した回数が前記第2閾値の条件を満たし、かつ前記正確度の百分率が第3閾値の条件を満たさない際に、前記ユーザの装置に対応するIPアドレスをブロックするステップと
をさらに含む、請求項13に記載の方法。 - コンピュータで実行可能な命令を含む非一時的なコンピュータ可読媒体であって、該命令は、プロセッサによって実行されると、該プロセッサに、セキュアノードにアクセスするためのユーザのアクセス権を決定する方法を実行させ、該方法は、
前記ユーザのユーザ名、前記セキュアノードのセキュアノード識別子、前記セキュアノードのセキュアノード・キー、及び前記ユーザのバイオメトリック署名サンプルを受信するステップと、
前記セキュアノード識別子及び前記セキュアノード・キーを認証するステップと、
前記バイオメトリック署名サンプルを認証するステップと、
前記セキュアノード識別子及び前記セキュアノード・キーを認証したこと、及び前記バイオメトリック署名サンプルを認証したことに応答して、前記ユーザに前記セキュアノードへのアクセスを行わせるステップと
を含む、非一時的なコンピュータ可読媒体。 - 前記方法が、
前記ユーザの装置に対応するIPアドレスを受信するステップと、
前記IPアドレスがブロックされているか否かを判定するステップと
をさらに含む、請求項15に記載の非一時的なコンピュータ可読媒体。 - 前記セキュアノード識別子がアップル(登録商標)IDである、請求項15に記載の非一時的なコンピュータ可読媒体。
- 前記セキュアノード・キーがアップル(登録商標)キーである、請求項15に記載の非一時的なコンピュータ可読媒体。
- 前記セキュアノード識別子及び前記セキュアノード・キーを認証するステップが、前記セキュアノード識別子及び前記セキュアノード・キーがデータベース内に記憶されているか否かを判定することを含む、請求項15に記載の非一時的なコンピュータ可読媒体。
- 前記バイオメトリック署名サンプルを認証するステップが、正確度の百分率が第1閾値の条件を満たすか否かを判定することを含む、請求項15に記載の非一時的なコンピュータ可読媒体。
- 前記方法が、
ログイン試行に失敗した回数を監視するステップと、
前記ログイン試行に失敗した回数が第2閾値の条件を満たすか否かを判定するステップと、
前記正確度の百分率が第3閾値の条件を満たさないか否かを判定するステップと、
前記ログイン試行に失敗した回数が前記第2閾値の条件を満たし、かつ前記正確度の百分率が第3閾値の条件を満たさない際に、前記ユーザの装置に対応するIPアドレスをブロックするステップと
をさらに含む、請求項20に記載の非一時的なコンピュータ可読媒体。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US15/359,504 | 2016-11-22 | ||
US15/359,504 US20180145959A1 (en) | 2016-11-22 | 2016-11-22 | Method for determining access privilege using username, IP address, App ID, App Key, and biometric signature sample. |
PCT/US2017/063023 WO2018098284A1 (en) | 2016-11-22 | 2017-11-22 | Systems, methods, and media for determining access priivileges |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2020500373A true JP2020500373A (ja) | 2020-01-09 |
Family
ID=62147352
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019526243A Pending JP2020500373A (ja) | 2016-11-22 | 2017-11-22 | アクセス権を決定するためのシステム、方法、及び媒体 |
Country Status (8)
Country | Link |
---|---|
US (1) | US20180145959A1 (ja) |
EP (1) | EP3545405A4 (ja) |
JP (1) | JP2020500373A (ja) |
KR (1) | KR20190087501A (ja) |
CN (1) | CN110121697A (ja) |
CA (1) | CA3044302A1 (ja) |
TW (1) | TW201824054A (ja) |
WO (1) | WO2018098284A1 (ja) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008210033A (ja) * | 2007-02-23 | 2008-09-11 | Fujitsu Ltd | 利用者認証プログラム、利用者認証方法及び装置 |
JP2009070031A (ja) * | 2007-09-12 | 2009-04-02 | Konica Minolta Business Technologies Inc | 情報処理装置、情報処理装置の管理方法、およびコンピュータプログラム |
JP2014016909A (ja) * | 2012-07-10 | 2014-01-30 | Fujitsu Ltd | 生体認証装置、リトライ制御プログラム及びリトライ制御方法 |
JP2015032108A (ja) * | 2013-08-01 | 2015-02-16 | 株式会社日立システムズ | クラウドサービス提供システム |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7360096B2 (en) * | 2002-11-20 | 2008-04-15 | Microsoft Corporation | Securely processing client credentials used for Web-based access to resources |
CN101330386A (zh) * | 2008-05-19 | 2008-12-24 | 刘洪利 | 基于生物特征的认证系统及其身份认证方法 |
CN102171969B (zh) * | 2008-10-06 | 2014-12-03 | 皇家飞利浦电子股份有限公司 | 用于操作网络的方法,用于其的系统管理设备、网络和计算机程序 |
EP2590101B1 (en) * | 2008-12-01 | 2017-09-27 | BlackBerry Limited | Authentication using stored biometric data |
JP5163988B2 (ja) * | 2009-03-23 | 2013-03-13 | Jx日鉱日石金属株式会社 | 鉛の電解方法 |
US9323912B2 (en) * | 2012-02-28 | 2016-04-26 | Verizon Patent And Licensing Inc. | Method and system for multi-factor biometric authentication |
US9326145B2 (en) * | 2012-12-16 | 2016-04-26 | Aruba Networks, Inc. | System and method for application usage controls through policy enforcement |
ES2881877T3 (es) * | 2013-12-31 | 2021-11-30 | Veridium Ip Ltd | Sistema y método para estándares de protocolos biométricos |
JP6349579B2 (ja) * | 2014-11-13 | 2018-07-04 | マカフィー, エルエルシー | 条件付きログインプロモーション |
US9686272B2 (en) * | 2015-02-24 | 2017-06-20 | Go Daddy Operating Company, LLC | Multi factor user authentication on multiple devices |
CA3017401C (en) * | 2015-03-12 | 2019-12-31 | Eyelock Llc | Methods and systems for managing network activity using biometrics |
-
2016
- 2016-11-22 US US15/359,504 patent/US20180145959A1/en not_active Abandoned
-
2017
- 2017-11-22 CA CA3044302A patent/CA3044302A1/en not_active Abandoned
- 2017-11-22 CN CN201780071412.6A patent/CN110121697A/zh active Pending
- 2017-11-22 JP JP2019526243A patent/JP2020500373A/ja active Pending
- 2017-11-22 TW TW106140490A patent/TW201824054A/zh unknown
- 2017-11-22 EP EP17874347.2A patent/EP3545405A4/en not_active Withdrawn
- 2017-11-22 KR KR1020197017567A patent/KR20190087501A/ko active IP Right Grant
- 2017-11-22 WO PCT/US2017/063023 patent/WO2018098284A1/en unknown
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008210033A (ja) * | 2007-02-23 | 2008-09-11 | Fujitsu Ltd | 利用者認証プログラム、利用者認証方法及び装置 |
JP2009070031A (ja) * | 2007-09-12 | 2009-04-02 | Konica Minolta Business Technologies Inc | 情報処理装置、情報処理装置の管理方法、およびコンピュータプログラム |
JP2014016909A (ja) * | 2012-07-10 | 2014-01-30 | Fujitsu Ltd | 生体認証装置、リトライ制御プログラム及びリトライ制御方法 |
JP2015032108A (ja) * | 2013-08-01 | 2015-02-16 | 株式会社日立システムズ | クラウドサービス提供システム |
Also Published As
Publication number | Publication date |
---|---|
CN110121697A (zh) | 2019-08-13 |
EP3545405A4 (en) | 2020-06-10 |
US20180145959A1 (en) | 2018-05-24 |
WO2018098284A1 (en) | 2018-05-31 |
CA3044302A1 (en) | 2018-05-31 |
KR20190087501A (ko) | 2019-07-24 |
TW201824054A (zh) | 2018-07-01 |
EP3545405A1 (en) | 2019-10-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10419418B2 (en) | Device fingerprint based authentication | |
KR101721032B1 (ko) | 보안 챌린지 지원 패스워드 프록시 | |
US11290443B2 (en) | Multi-layer authentication | |
KR101861026B1 (ko) | 비공개 데이터를 보호하는 보안 프록시 | |
US10375052B2 (en) | Device verification of an installation of an email client | |
US9537865B1 (en) | Access control using tokens and black lists | |
US20190124073A1 (en) | Single sign-on for managed mobile devices | |
US10911452B2 (en) | Systems, methods, and media for determining access privileges | |
CN112352411B (zh) | 利用不同的云服务网络的相同域的注册 | |
US11777942B2 (en) | Transfer of trust between authentication devices | |
US20190182242A1 (en) | Authentication in integrated system environment | |
CN110709783A (zh) | 使用生物计量签名来对用户进行认证的方法、系统和介质 | |
KR102071281B1 (ko) | 통합 인증 방법 | |
JP2020500373A (ja) | アクセス権を決定するためのシステム、方法、及び媒体 | |
KR20190100255A (ko) | 생체측정 서명 샘플을 이용하여 원격 데이터를 적용하기 위한 시스템, 방법, 및 매체 | |
US9571478B2 (en) | Conditional request processing | |
US20180174151A1 (en) | Systems, methods, and media for applying remote data using a biometric signature sample | |
CN114155630B (zh) | 安全验证方法、电子设备和介质 | |
Moldamurat et al. | Enhancing cryptographic protection, authentication, and authorization in cellular networks: a comprehensive research study. | |
JP2023048093A (ja) | イベントチェーンに基づいてユーザ同一性を認証するためのシステムおよび方法 | |
CN117596006A (zh) | 用于控制零信任架构内的计算资产的方法和设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20201119 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210930 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20211005 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20220426 |