JP2023501927A - 位置証明を利用した認証メカニズム - Google Patents

位置証明を利用した認証メカニズム Download PDF

Info

Publication number
JP2023501927A
JP2023501927A JP2022524092A JP2022524092A JP2023501927A JP 2023501927 A JP2023501927 A JP 2023501927A JP 2022524092 A JP2022524092 A JP 2022524092A JP 2022524092 A JP2022524092 A JP 2022524092A JP 2023501927 A JP2023501927 A JP 2023501927A
Authority
JP
Japan
Prior art keywords
location
user
authentication attempt
determining
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2022524092A
Other languages
English (en)
Inventor
バーゲン,ポウル ラマ
デルガド,カロリナ ガルシア
セルバンテス,ウンベルト オロスコ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JP2023501927A publication Critical patent/JP2023501927A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Telephonic Communication Services (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

ユーザ・アカウント、複数のユーザ・デバイスおよびユーザ・カレンダに関連する情報を含むユーザ・プロファイルを格納することを含む方法を含む、証明ベースの認証のための技術が説明される。方法は、さらに、ユーザ・アカウントに関連付けられた認証試行を検出するステップと、認証試行を始動する第1のデバイスに関連付けられたデバイス情報、認証試行を始動する第1のデバイスの第1の位置、複数のユーザ・デバイスのうちの第2のデバイスの第2の位置およびユーザ・カレンダに基づく予定された位置を検索するステップとを含む。方法は、さらに、第1のデバイスに関連付けられたデバイス情報、第1のデバイスの第1の位置、第2のデバイスの第2の位置および予定された位置に基づいて、認証試行がセキュリティリスクを含むことを判定するステップを含む。さらに、本発明は、認証試行がセキュリティリスクを含むと判定したことに応答して、緩和アクションを実行する。

Description

本発明は、認証メカニズムに関し、より詳細には、位置証明を利用した認証メカニズムに関する。
認証メカニズムは、ネットワーク化された環境におけるセキュリティを増加するための1つの戦略である。認証メカニズムは、例えば、英数字パスワード、バイオメトリック・パスワード、多要素認証(MFA)、ハードトークン、ソフトトークンなどを含む、多数の形態の形式がある。認証メカニズムは、個人情報の窃盗もしくはなりすまし、またはその両方に基づく不正アクティビティを低減するために有用である可能性がある。
現在、コンピュータ・システムにおける侵入検出システムは、ネットワークおよびデータトラフィックにおける挙動のパターンの解析に基づくが、しかしながら、これらのシステムは、システムを認証するときに脆弱性を生成する、データのソース、起源、特に、物理的ユーザ検証自体を解析したり、または理解したりすることができない。現在提案されているアイデアおよびメカニズムの大部分は、ネットワーク・トラフィックを分析することによって、中でも、フィッシング、SQLインジェクション、XSSなどのソーシャル・エンジニアリングなど、このような種類のセキュリティ上のリスクを解決し、データ入力を保護および分析することを試みる。
このため、上記課題を解決することが当該技術分野で必要とされている。
第1の側面からみると、本発明は、認証のための方法を提供し、本方法は、ユーザ・アカウント、複数のユーザ・デバイスおよびユーザ・カレンダに関連する情報を含むユーザ・プロファイルを格納するステップと、ユーザ・アカウントに関連付けられた認証試行を検出するステップと、認証試行を始動する第1のデバイスに関連付けられたデバイス情報、認証試行を始動する第1のデバイスの第1の位置、複数のユーザ・デバイスのうちの第2のデバイスの第2の位置およびユーザ・カレンダに基づく予定された位置を検索するステップと、第1のデバイスに関連付けられたデバイス情報、第1のデバイスの第1の位置、第2のデバイスの第2の位置および予定された位置に基づいて、認証試行がセキュリティリスクを含むことを判定するステップと、認証試行がセキュリティリスクを含むと判定したことに応答して、緩和アクションを実行するステップとを含む。
さらなる側面から見ると、本発明は、認証のためのシステムを提供し、本システムは、プロセッサと、プロセッサによって実行された場合に、プロセッサに方法を実行させるよう構成されたプログラム命令を格納するコンピュータ可読ストレージ媒体とを含み、上記方法は、ユーザ・アカウント、複数のユーザ・デバイスおよびユーザ・カレンダに関連する情報を含むユーザ・プロファイルを格納するステップと、ユーザ・アカウントに関連付けられた認証試行を検出するステップと、認証試行を始動する第1のデバイスに関連付けられたデバイス情報、認証試行を始動する第1のデバイスの第1の位置、複数のユーザ・デバイスのうちの第2のデバイスの第2の位置およびユーザ・カレンダに基づく予定された位置を検索するステップと、第1のデバイスに関連付けられたデバイス情報、第1のデバイスの第1の位置、第2のデバイスの第2の位置および予定された位置に基づいて、認証試行がセキュリティリスクを含むことを判定するステップと、認証試行がセキュリティリスクを含むと判定したことに応答して、緩和アクションを実行するステップとを含む。
さらなる側面から見ると、本発明は、認証のためのコンピュータ・プログラム製品を提供し、コンピュータ・プログラム製品は、処理回路によって読み取り可能であり、処理回路による実行のための命令であって、本発明の方法のステップを実行するための当該命令を格納するコンピュータ可読ストレージ媒体を含む。
さらなる側面から見ると、本発明は、コンピュータ可読媒体に格納され、デジタル・コンピュータの内部メモリに読み込み可能なコンピュータ・プログラムを提供し、コンピュータ・プログラムは、プログラムがコンピュータ上で実行されたときに、本発明の方法を実行するためのソフトウェア・コード部分を含む。
さらなる側面から見ると、本発明は、それに具現化されたプログラム命令を有するコンピュータ可読記憶媒体を含むコンピュータ・プログラム製品を提供し、プログラム命令は、プロセッサに方法を実行するようにプロセッサにより実行可能であり、本方法は、ユーザ・アカウント、複数のユーザ・デバイスおよびユーザ・カレンダに関連する情報を含むユーザ・プロファイルを格納するステップと、ユーザ・アカウントに関連付けられた認証試行を検出するステップと、認証試行を始動する第1のデバイスに関連付けられたデバイス情報、認証試行を始動する第1のデバイスの第1の位置、複数のユーザ・デバイスのうちの第2のデバイスの第2の位置およびユーザ・カレンダに基づく予定された位置を検索するステップと、第1のデバイスに関連付けられたデバイス情報、第1のデバイスの第1の位置、第2のデバイスの第2の位置および予定された位置に基づいて、認証試行がセキュリティリスクを含むことを判定するステップと、認証試行がセキュリティリスクを含むと判定したことに応答して、緩和アクションを実行するステップとを含む。
本開示の側面は、ユーザ・アカウント、複数のユーザ・デバイスおよびユーザ・カレンダに関連する情報を含むユーザ・プロファイルを格納するステップを含む方法を対象とする。方法は、さらに、ユーザ・アカウントに関連付けられた認証試行を検出するステップを含む。方法は、さらに、認証試行を始動する第1のデバイスに関連付けられたデバイス情報、認証試行を始動する第1のデバイスの第1の位置、複数のユーザ・デバイスのうちの第2のデバイスの第2の位置およびユーザ・カレンダに基づく予定された位置を検索するステップを含む。本方法は、さらに、第1のデバイスに関連付けられたデバイス情報、第1のデバイスの第1の位置、第2のデバイスの第2の位置および予定された位置に基づいて、認証試行がセキュリティリスクを含むことを判定するステップを含む。本方法は、さらに、認証試行がセキュリティリスクを含むと判定したことに応答して、緩和アクションを実行するステップとを含む。
本開示の追加の側面は、上述の方法を実行するように構成されたシステムおよびコンピュータ・プログラム製品を対象とする。本概要は、本開示の各側面、あらゆる実装もしくはあらゆる実施形態またはその組み合わせを例示することを意図するものではない。
本願に含まれる図面は、本明細書に組み込まれ、本明細書一部を形成する。これらは、本開示の実施形態を説明し、説明と共に、本開示の原理を説明する役割を果たす。図面は、特定の実施形態の例示に過ぎず、本開示を限定するものではない。
本開示のいくつかの実施形態による、例示の認証環境のブロック図を示す。 本開示のいくつかの実施形態による、集約されたスコアに基づいてセキュリティリスクを識別するように構成された例示のセキュリティリスク・ルール・エンジンのブロック図を示す。 本開示のいくつかの実施形態による、決定木に基づきセキュリティリスクを識別するように構成された例示のセキュリティリスク・ルール・エンジンのブロック図を示す。 本開示のいくつかの実施形態による、位置証明に基づく認証環境を利用する例示の方法のフローチャートを示す。 本開示のいくつかの実施形態による、集約されたスコアを用いて認証環境におけるセキュリティリスクを検出するための例示の方法のフローチャートを示す。 本開示のいくつかの実施形態による、決定木を用いた、認証環境におけるセキュリティリスクを検出するための例示の方法のフローチャートを示す。 本開示のいくつかの実施形態による、例示のコンピュータのブロック図を示す。 本開示のいくつかの実施形態による、クラウド・コンピューティング環境を図示する。 本開示のいくつかの実施形態による抽象モデル・レイヤを示す。
本開示は、様々な修正および代替の形式を受け入れる余地があり、その詳細は、一例として図面に示されており、詳細に説明されるであろう。しかしながら、本開示を、説明される特定の実施形態に限定することを意図するものではないことを理解すべきである。これどころか、本開示の範囲内に入る全ての変更、等価物および代替物を対象とすることが意図される。
本開示の側面は、認証メカニズムを対象とし、より具体的には、位置証明を利用する認証メカニズムを対象とする。このような用途に限定されるものではないが、本開示の実施形態は、上述した文脈の観点から、より良く理解され得る。
本開示の側面は、ユーザのウェブベースのアカウント、アプリケーションもしくはプロファイルまたはその組み合わせに対し追加のセキュリティ・レイヤを加えるよう構成される、オーセンティケータ(authenticator)を対象とする。オーセンティケータは、ユーザ・アカウントの1つへの認証試行を開始したデバイスの位置をユーザの位置を用いて証明(corroborate)する(妥当性検証(validate)する、検証する(verify)、確認する(confirm)、実証する(substantiate)、証明する(certify)、裏書する(endorse))ために、(1)ユーザが所有するデバイスの位置、(2)ユーザに関連付けられた電子カレンダから推論される予定された位置の1または複数を利用する。認証試行を始動するデバイスの位置を、ユーザが所有するデバイスの位置もしくは電子カレンダから推論される予定された位置またはその両方を用いて証明することは、不正なアカウント・アクセスを低減するために有益である可能性がある。
例えば、ユーザは、公共のコンピュータから、銀行ポータルへのログインを試みる可能性がある。オーセンティケータは、ユーザに関連付けられたスマートフォンが公共のコンピュータと同様の位置にあることを検出するよう構成されてもよく、これより、ユーザが公共のコンピュータからログインを試みる個人であることを間接的に検証する。スマートフォン、ウェアラブルデバイス、健康モニタリングデバイス、車両、タブレット、ラップトップなどの任意の数のユーザ・デバイスが使用されて、ユーザの位置を検証し、試行されたログインの位置でユーザの位置を証明することができる。
しかしながら、ある状況では、ユーザが未知のデバイスからユーザ・アカウントにアクセスする場合、ユーザ・デバイスが利用できない可能性がある。このような状況においては、オーセンティケータは、ユーザに関連付けられたカレンダから、予定された位置を検出し、予定された位置を、認証試行を始動する未知のデバイスの位置と比較するようにさらに構成されてもよい。この例では、ユーザが、ある都市において未知のデバイス(例えば、ホテルのコンピュータ)から銀行ポータルにログインすることを試行した場合、オーセンティケータは、ユーザに関連付けられた電子カレンダのデータを解析することにより、ユーザがそのある都市にいることが予定されていることを検出することができる。このようにして、オーセンティケータは、ユーザが位置を証明するのに利用可能なユーザ・デバイスを有していない状況において、認証試行を始動する未知のデバイスの位置でユーザの位置を証明することができる。
さらに、本開示の側面は、認証試行の位置の近傍にユーザ・デバイスが存在しない状況で、かつ、ユーザが、認証試行の位置にあることを電子カレンダが示唆しない状況において、緩和アクションを実行してもよい。このような状況では、緩和アクションは、通知を送信すること、デバイスをロックすること、アカウントへのアクセスを制限することなどを含んでもよい。
したがって、本開示の側面は、ユーザ・アカウント、アプリケーションもしくはプロファイルまたはその組み合わせのための改善されたサイバーセキュリティを対象とする。改良されたサイバーセキュリティは、ユーザのデバイスもしくは電子カレンダまたはその両方を利用して、試行されたログインの位置でユーザの位置を証明することによって、不正なアカウント・アクセスを低減する。ユーザの位置が、試行されたログインの位置で証明され得る場合、オーセンティケータは、セキュリティリスクが存在しないと判定してもよい。試行されたログインの位置でユーザの位置が証明できない場合、オーセンティケータは、セキュリティリスクがあると判定することができ、これらに限定されるものではないが、通知を発行したり、デバイスをロックしたり、アカウントへのアクセスを制限したりするなどの緩和動作を実装することができる。
図1は、本開示のいくつかの実施形態による、例示の認証環境100を示す。認証環境100は、オーセンティケータ102と、モバイルデバイス104と、アプリケーション106と、認証試行を始動するデバイス108とを含み、これらは、簡単のため本明細書において一般にネットワーク110として示される、1または複数の類似または非類似のネットワークを介して、(直接または間接的に)恒久的にまたは断続的に、互いに通信可能に結合される。
オーセンティケータ102は、ユーザ・プロファイル112およびセキュリティリスク・ルール・エンジン134を含んでもよい。ユーザ・プロファイル112は、オーセンティケータ102がユーザにサイバーセキュリティ監視サービスを提供することを可能にするためにユーザによって自発的に作成されるプロファイルを表してもよい。ユーザ・プロファイル112は、ユーザ情報114と、ユーザ・アカウント116と、ユーザ・デバイス118と、ユーザ・カレンダ120とを含んでもよい。ユーザ情報114は、例えば、名前、生年月日、一意の識別子(例えば、運転免許証番号、社会保障番号、パスポート番号、従業員シリアル番号など)、実際の住所、電子メール・アドレス、請求情報もしくは他の情報またはその組み合わせを含んでもよい。
ユーザ・アカウント116は、例えば、ユーザがオンライン・ポータル、アプリケーションもしくはインタフェースまたはその組み合わせを介して対話することができる、アプリケーション、サービスもしくはビジネスまたはその組み合わせのリストを含んでもよい。ユーザ・アカウント116の各々は、例えば、アプリケーション識別子、ユーザ・サインイン、ユーザパスワードなどの1または複数のような、識別情報もしくは認証情報またはその両方の情報を含んでもよい。ユーザ・アカウント116は、例えば、銀行口座、金融口座、支払処理口座、健康口座、リテール口座などを含んでもよい。
ユーザ・デバイス118は、ユーザ・プロファイル112に関連付けられたデバイスをリスト化してもよい。例えば、モバイルデバイス104がユーザ・プロファイル112のユーザに属している場合、モバイルデバイス104の情報がユーザ・デバイス118に格納されてもよい。ユーザ・デバイス118は、これらに限定されるものではないが、デバイス名、デバイス・モデル、デバイス・シリアル番号、デバイスのメディア・アクセス制御(MAC)アドレス、デバイスのIMEI(International Mobile Equipment Identity)番号もしくはデバイス構成情報またはその組み合わせなどの情報を格納することができる。
ユーザ・カレンダ120は、ユーザ・プロファイル112を所有するユーザに関連付けられた、1または複数の電子的に格納されたカレンダ、アジェンダもしくは旅行日程を参照し得る。ユーザ・カレンダ120は、例えば、カレンダ機能を含む電子メール・サービスのような、別のサービスを介してアクセスされてもよい。ユーザ・カレンダ120は、アポイントメント、リマインダ、フライト情報、ホテル情報、会議情報などを含んでもよい。ユーザ・カレンダ120は、種々のアポイントメント、リマインダ、会議、休暇もしくは計画またはその組み合わせの位置に関する直接的または間接的な情報を含んでもよい。いくつかの実施形態においては、ユーザ・カレンダ120は、これに限定されるものではないが、電子メール、テキスト・メッセージ、ボイス・メール、カレンダ・アポイントメント、運転履歴などのユーザ情報のコーパスにアクセスすることによって、オーセンティケータ102によって生成される。
モバイルデバイス104は、例えば、スマートフォン、タブレット、ラップトップ、スマートウォッチ、ウェアラブルデバイスなどであってもよい。モバイルデバイス104は、モバイルデバイス104に関連付けられた位置124を識別するGPS122を含んでもよい。GPS122は、モバイルデバイス104内に示されているが、いくつかの実施形態においては、GPS122は、モバイルデバイス104に通信可能に結合されたデバイス内に位置する。例えば、スマートウォッチは、GPS122を含まない可能性があるが、スマートウォッチは、パーソナル・エリア・ネットワーク(PAN)を介してスマートフォンに通信可能に結合されてもよく、スマートフォンは、近似的な位置情報をスマートウォッチに提供するGPS122を含んでもよい。さらに、モバイルデバイス104は、GPS122を含まなくてもよいが、例えば、モバイルデバイス104の近傍の複数のネットワーク・アクセスポイントから位置124を三角測量することなど、位置124を決定するための他のメカニズムを有していてもよい。モバイルデバイス104は、デバイス情報126をさらに含んでもよい。デバイス情報126は、これらに限定されないが、デバイス名、デバイス・モデル、デバイス・シリアル番号、デバイスのMACアドレス、デバイスのIMEI番号、デバイス構成情報もしくは他のデバイス情報またはその組み合わせを含む。
単一のモバイルデバイス104が示されているが、これは代表する目的のためのみである。いくつかの実施形態においては、複数のモバイルデバイス104が、ユーザ・プロファイル112と関連付けられ、ユーザ・デバイス118内で項目化され得る。この複数のモバイルデバイス104は、ユーザ・プロファイル112に関連付けられ、ユーザ・デバイス118内で項目化される、スマートフォン、スマートウォッチ、ラップトップ、デスクトップ、タブレット、車両、ヘッドホン、スマートグラス、ウェアラブルデバイスもしくは他のデバイスまたはその組み合わせを含んでもよい。言い換えると、ユーザ・デバイス118内で項目化された複数のモバイルデバイス104は、認証試行を始動するデバイス108の位置128でユーザの位置を証明することによって、ユーザ・アカウント116への不正アクセスまたは不正アクティビティを低減するのに有用なIoT(Internet of Things)環境のインターネットにおいて協同的に相互作用することができる。
アプリケーション106は、例えば、金融サービス・アプリケーション、銀行アプリケーション、健康アプリケーション、小売アプリケーション、支払い処理アプリケーションまたはセンシティブな情報または個人情報を含む可能性のある他の任意のアプリケーションなど、オーセンティケータ102によって提供される追加のセキュリティから恩恵を得ることができる任意のアプリケーションを参照してもよい。いくつかの実施形態においては、アプリケーション106は、例えばログイン・クレデンシャル(例えば、識別子およびパスワード)のような、認証情報を試行されるログイン中に受信するための認証ポータル132を含む。オーセンティケータ102は、不正アカウント・アクセスもしくは不正アカウント・アクティビティまたはその両方のようなサイバーセキュリティリスクを低減するための追加のセキュリティ・メカニズムとして、アプリケーション106と相互作用してもよい。オーセンティケータ102は、ユーザ・アカウント116に格納された情報に基づいてユーザ・プロファイル112によって利用されるアプリケーションとして、アプリケーション106を識別してもよい。
認証試行を始動するデバイス108は、(例えば、アプリケーション106における認証ポータル132を介して)ユーザ・アカウント116のうちの1つにアクセスすることを試みるために使用される、任意のデバイスを参照してもよい。いくつかの実施形態においては、認証試行を始動するデバイス108は、ユーザ・プロファイル112に関連付けられ、ユーザ・デバイス118に含まれる一方で、他の実施形態においては、認証試行を始動するデバイス108は、ユーザ・プロファイル112に関連付けられず、ユーザ・デバイス118内のデバイスの1つとしてリスト化されない。認証試行を始動するデバイス108が、例えば、公衆のデバイス、友人のデバイス、家族のデバイス、レンタルデバイス、新たなデバイスなどである場合、認証試行を始動するデバイス108がユーザ・デバイス118の1つではない状況でも、認証試行を始動するデバイス108は、それにもかかわらず、ユーザ・プロファイル112に関連付けられたユーザによるアプリケーション106に対する正当なログイン試行を表す可能性がある。
認証試行を始動するデバイス108は、位置128およびデバイス情報130を含んでもよい。位置128は、認証試行を始動するデバイス108に関連付けられたGPS(図示せず)から直接検索され得るか、または、例えば、認証試行を始動するデバイス108に関連付けられたインターネット・プロトコル(IP)アドレスまたは他の位置識別メカニズムに基づいて間接的に決定されてもよい。デバイス情報130は、デバイス名、デバイス・モデル、デバイス・シリアル番号、デバイスのMACアドレス、デバイスのIMEI番号もしくはデバイス構成情報またはその組み合わせのうちの1または複数を含んでもよい。
オーセンティケータ102のセキュリティリスク・ルール・エンジン134を参照すると、セキュリティリスク・ルール・エンジン134は、認証試行を始動するデバイス108に関連する情報を検索し、それをユーザ・プロファイル112に関連付けられた情報と比較して、認証試行がセキュリティリスクを構成するか否かを判定するように構成され得る。セキュリティリスク・ルール・エンジン134は、認証試行を始動するデバイス108の位置128が、(例えば、ユーザ・デバイス118に格納された)ユーザ・プロファイル112に関連付けられたモバイルデバイス104の位置124もしくはユーザ・カレンダ120から推論された予定された位置またはその両方の一方または両方から推論されたものとしてのユーザの位置で、証明され得るかどうかを判定することによって、試行されたログインがセキュリティリスクを構成するか否かを判定することができる。いくつかの実施形態においては、セキュリティリスク・ルール・エンジン134は、集約されたスコアを利用する(以下、図2Aおよび図3に関して説明する)一方で、他の実施形態においては、セキュリティリスク・ルール・エンジン134は、決定木を利用する(以下、図2Bおよび図4に関して説明する)。
図2Aは、本開示のいくつかの実施形態による、集約されたスコア202を利用する例示のセキュリティリスク・ルール・エンジン134を示す。図2Aに示されるセキュリティリスク・ルール・エンジン134は、認証試行情報200を含む。認証試行情報200は、例えば、認証試行を始動するデバイス108の位置128、認証試行を始動するデバイス108のデバイス情報130、ユーザ・デバイス118にリスト化されたそれぞれのデバイスのそれぞれのデバイス情報(例えば、モバイルデバイス104のデバイス情報126)、ユーザ・デバイス118にリスト化されたそれぞれのデバイスのそれぞれの位置(例えば、モバイルデバイス104の位置124)、認証試行の時間、ユーザ・カレンダ120から検索される予定された位置、もしくは、認証試行に関連する他の情報またはその組み合わせを含んでもよい。
認証試行情報200は、集約されたスコア202を生成するために使用されてもよい。集約されたスコア202は、認証試行情報200がセキュリティリスクを構成するか否かを決定するために使用されてもよい。集約されたスコア202は、デバイススコア204、位置スコア206もしくはカレンダ・スコア208のような1または複数のサブスコアから構成されてもよい。
デバイススコア204は、認証試行を始動するデバイス108のデバイス情報130が、ユーザ・プロファイル112のユーザ・デバイス118に格納された任意のデバイス情報と一致するか否かを示すことができる。デバイススコア204は、一般的な情報(例えば、デバイスタイプ、デバイス・モデル、デバイス構成など)もしくは具体的な情報(例えば、デバイスのMACアドレス、デバイスのIMEI番号など)に基づいてもよい。デバイススコア204は、二値スコアまたは可変スコアであってよい。デバイススコア204が二値スコアである場合、デバイススコア204は、デバイス情報130と、ユーザ・デバイス118に列挙されたデバイスのいずれかのデバイス情報との比較に基づいて生成されてもよい。デバイススコア204は、例えば、認証試行を始動するデバイス108のデバイス情報130と、ユーザ・デバイス118に格納されたデバイスのいずれかのデバイス情報との一致に対して1(または真(True)を示す任意の他の値)であり、認証試行を始動するデバイス108のデバイス情報130と、ユーザ・デバイス118に格納されたデバイスのいずれのデバイス情報との不一致に対して0(または偽(False)を示す任意の他の値)である。デバイススコア204が可変スコアである場合、デバイススコア204は、デバイス情報130と、ユーザ・デバイス118にリスト化されたデバイスの任意の1つのデバイス情報との間の類似度に基づいて生成されてもよい。類似性は、例えば、デバイス情報の2つの類似する部分間の類似度の定量化(例えば、デバイススコア204は、2つのMACアドレス間の構文上の差の数の逆数)であってもよい。この例では、より高い類似度をより高いデバイススコア204に関連付ける一方、より低い類似度をより低いデバイススコア204に関連付けることができる。
位置スコア206は、認証試行を始動するデバイス108の位置128が、ユーザ・デバイス118に格納されたデバイスの第2の位置(例えば、モバイルデバイス104の位置124)に類似しているかどうかを示すことができる。位置スコア206は、二値であってもよいし、または可変であってもよい。位置スコア206が可変である場合、位置スコア206は、(1)認証試行を始動するデバイス108の位置128に対するユーザ・デバイス118内の最も近いデバイスの近接度もしくは(2)認証試行を始動するデバイス108の位置128に対するユーザ・デバイス118内の複数のデバイスの近接度の関数とすることができる。一例として、認証試行を始動するデバイス108に近接したユーザ・デバイス118からの2つのデバイスは、認証試行を始動するデバイスに近接したユーザ・デバイス118からの単一のデバイスよりも高いスコアと関連付けられる可能性がある。別の例として、認証試行を始動するデバイス108のある距離(例えば、10メートル(32.8フィート))の範囲内であるユーザ・デバイス118からのデバイスは、認証試行を始動するデバイス108のより大きな距離(例えば、100メートル(328フィート))の範囲内であるユーザ・デバイス118からのデバイスよりも高いスコアに関連付られる可能性がある。位置スコア206が二値である場合、位置スコア206は、ユーザ・デバイス118内の所定数(例えば、1、2、3など)のデバイスが、認証試行を始動するデバイス108の位置128からの閾値距離内にあるか否かに基づいてもよい。閾値距離は、15.24メートル(50フィート)以下の任意の距離、61メートル(200フィート)以下の任意の距離、または異なる閾値距離などに構成可能であってもよい。
カレンダ・スコア208は、認証試行を始動するデバイス108の位置128が、ユーザ・カレンダ120から検索された(または推定された)予定された位置と類似しているかどうかを示すことができる。カレンダ・スコア208は、可変または二値であってもよい。カレンダ・スコア208が可変である場合、カレンダ・スコア208は、認証試行を始動するデバイス108の位置128の予定された位置に対する近さの関数であってもよく、ここで、位置128と予定された位置との間のより短い距離にはより高いスコアが関連付けられる可能性があり、位置128と予定された位置との間のより大きな距離にはより低いスコアが関連付けられる可能性がある。対照的に、カレンダ・スコア208が二値である場合、カレンダ・スコア208は、認証試行を始動するデバイス108の位置128と予定された位置との間の距離を、閾値距離と比較することによって決定してもよく、ここで、この閾値距離は、位置スコア206に関して上述した閾値距離と類似の閾値距離であってもよいし、または異なる閾値距離であってもよい。いくつかの実施形態においては、ユーザ・カレンダ120から推測される予定された位置が、認証試行を始動するデバイス108の位置128もしくはモバイルデバイス104の位置124またはその両方よりも低い具体性(specificity)を有する限りにおいて、カレンダ・スコア208に関連付けられた閾値距離は、位置スコア206に関連付けられた閾値距離よりも大きい。例えば、予定された位置は、都市を指定する可能性があるが、位置124もしくは位置128またはその両方は、特定の都市内の特定の住所と関連付けられる可能性がある。これらの理由のために、カレンダ・スコア208に関連する閾値距離は、位置スコア206に関連付けられた閾値距離よりも大きくなるように構成されてもよい。
デバイススコア204、位置スコア206もしくはカレンダ・スコア208またはその組み合わせのうちの1または複数を使用して、集約されたスコア202を生成してもよい。いくつかのアルゴリズムを利用して、デバイススコア204、位置スコア206もしくはカレンダ・スコア208またはその組み合わせのうちの1または複数を集約されたスコア202に結合してもよい。いくつかの実施形態においては、個々の項が、同様にまたは異なって重み付けされる。いくつかの実施形態においては、集約されたスコア202は、集約されたスコア202の信頼度、可能性、精度または確実性の別の修飾子と関連付けられる。
集約されたスコア202は、スコア閾値210と比較されてもよい。集約されたスコア202がスコア閾値210より小さい場合、集約されたスコア202は、セキュリティリスクを示す可能性がある一方、集約されたスコア202がスコア閾値210よりも大きい場合、集約されたスコア202は、セキュリティリスクを示す可能性がある(あるいはその逆の場合も同様)。
スコア閾値210と比較される集約されたスコア202が、セキュリティリスクを示す場合、セキュリティリスク・ルール・エンジン134は、緩和アクション212を生成することができる。緩和アクション212は、例えば、ユーザ・プロファイル112に関連付けられたアカウントに通知を送信することを含んでもよい。通知は、電子メール、テキスト・メッセージ、電話発呼などの形態であってもよい。通知は、例えば、試行された認証を経験したユーザ・アカウント116におけるアカウントの識別子、認証試行を始動するデバイス108のデバイス情報130、認証試行を始動するデバイス108の位置128、認証試行の時間もしくは他の情報などのセキュリティリスクに関する情報を含んでもよい。緩和アクション212は、代替的に(または追加的に)、デバイスロック、アカウントロック、または、潜在的に悪意のあるユーザが、侵入したデバイスを利用するか、または、侵入されたアカウントにアクセスすることを防止する、別の緩和アクションのうちの1または複数を含んでもよい。デバイスロックは、電源を切ること、ロックすること、ログ・アウトさせることまたは認証試行を始動するデバイス108の悪意の使用を防止するのに有用な他のメカニズムを含んでもよい。アカウントロックは、試行された認証に関連するアカウントへのアクセスを制限することを含むことができ、ここで、制限されたアクセスは、これに限定されるものではないが、セキュリティ質問に対する回答を提供すること、多要素認証を実行すること、所定の期間の間アカウントを一時停止することなど、アカウントへのアクセスを回復するための追加の検証を求めてもよい。
図2Bは、本開示のいくつかの実施形態による、決定木214を利用する例示のセキュリティリスク・ルール・エンジン134を示す。セキュリティリスク・ルール・エンジン134は、図2Aに関して先に説明したものと同様の特徴、すなわち、認証試行情報200と、緩和アクション212とを含んでもよい。図2Aとは対照的に、図2Bは、決定木214を含む。決定木214は、デバイス判定216、位置判定218もしくはカレンダ判定220のような1または複数の二値判定から構成されてもよい。デバイス判定216は、認証試行を始動するデバイス108が、ユーザ・デバイス118にリスト化されたデバイスのデバイス情報(例えば、モバイルデバイス104のデバイス判定216)と一致するか否かを判定することを含んでもよい。位置判定218は、認証試行を始動するデバイス108の位置128が、ユーザ・デバイス118にリスト化された所定数(例えば、1、2、3など)のデバイスに十分に近いか否かを判定することを含んでもよい。カレンダ判定220は、認証試行を始動するデバイス108の位置128が、ユーザ・カレンダ120から検索された、予定された位置に十分に近いか否かを判定することを含んでもよい。位置判定218およびカレンダ判定220は、認証試行を始動するデバイス108の位置128をユーザ・デバイス118にリスト化されたそれぞれのデバイスのそれぞれの位置(モバイルデバイス104の位置124)と比較するため、または、認証試行を始動するデバイス108の位置128をユーザ・カレンダ120から決定された予定された位置と比較するために、同一または異なる距離閾値を利用してもよい。
いくつかの実施形態においては、デバイス判定216、位置判定218もしくはカレンダ判定220またはその組み合わせの1以上、2以上またはそれぞれに関連付けられたNOまたは偽の判定は、セキュリティリスクを示す可能性がある。セキュリティリスク・ルール・エンジン134は、セキュリティリスクを検出したことに応答して、緩和アクション212を生成し、実行してもよい。
図3は、本開示のいくつかの実施形態による、認証環境100を利用した例示の方法300のフローチャートを示す。方法300は、オーセンティケータ102または別の構成のハードウェアもしくはソフトウェアまたはその両方によって実行され得る。
動作302は、ユーザ・プロファイル112を格納することを含む。ユーザ・プロファイル112は、ユーザ情報114、ユーザ・アカウント116、ユーザ・デバイス118もしくはユーザ・カレンダ120またはその組み合わせのうちの1または複数を含んでもよい。ユーザ・プロファイル112は、ユーザが、オーセンティケータ102によってプロビジョニングされるセキュリティサービスにサインアップするように、オーセンティケータ102へのユーザ入力に基づいて作成することができる。ユーザ・プロファイル112を作成して格納する一部として、ユーザは、いずれの個人情報が収集されるか、どのように収集された個人情報が用いられるか、収集された個人データのユーザ・プロファイル112を削除し、不活性化し、または他の場合は抹消するための手順に関する情報を含む種々の条項および条件に合意し得る。
動作302は、ユーザ・デバイス118をユーザ・プロファイル112に関連付けることをさらに含んでもよい。例えば、モバイルデバイス104がユーザ・プロファイル112に関連付けられる場合、モバイルデバイス104に関連する情報がユーザ・デバイス118に格納されてもよい。ユーザ・デバイス118は、ユーザ・プロファイル112に関連付られるデバイス毎に、デバイス名、デバイス・モデル、デバイス・シリアル番号、デバイスのMACアドレス、デバイスのIMEI番号、デバイス構成情報もしくは他のデバイス情報の1または複数を格納してもよい。
動作302は、ユーザ・カレンダ120をユーザ・プロファイル112と関連付けることをさらに含んでもよい。ユーザ・カレンダ120へのアクセスは、オーセンティケータ102が、必要に応じてユーザ・カレンダ120にアクセス、検索もしくは格納またはその組み合わせを行うことができるように、ユーザによってオーセンティケータ102に提供されてもよい。いくつかの実施形態においては、複数のユーザ・カレンダ120が、ユーザ・プロファイル112に関連付けられる。
動作304は、ユーザのアクティビティを監視することを含む。いくつかの実施形態においては、ユーザのアクティビティを監視することは、ユーザ・アカウント116の各々を監視することを含む。いくつかの実施形態においては、動作304は、ユーザ・アカウント116のいずれかに対する認証試行の指示を受信するのを待機することを含む。
動作306は、アプリケーション106に関連付けられたユーザ・アカウント116のうちの1つに対する認証試行の指示を検出することを含む。いくつかの実施形態においては、アプリケーション106は、オーセンティケータ102に認証試行を通知する。いくつかの実施形態においては、オーセンティケータ102は、動作304において、ユーザ・アカウント116を監視することに基づいて、認証試行を検出する。
動作308は、認証試行を検出することに応答して、アプリケーション106もしくはユーザ・デバイス118のリスト(例えば、認証試行情報200)からの1または複数のユーザ・デバイスまたはその両方からの認証試行に関連する情報を検索することを含む。検索された情報は、例えば、(1)認証試行を始動するデバイス108に関連するデバイス情報130、(2)ユーザ・デバイス118各々に関連付けられるデバイス情報、(3)認証試行を始動するデバイス108の位置128、(4)認証試行の時間、(5)ユーザ・デバイス118内の各デバイスに関連付けられた位置もしくは(6)ユーザ・カレンダ120から検索された予定された位置、またはその組み合わせのうちの1または複数を含んでもよい。
動作310は、認証試行がセキュリティリスクを構成するか否かを判定することを含む。以下は、セキュリティリスクを構成しないいくつかの例を示す:(1)認証試行を始動するデバイス108に関連するデバイス情報130が、ユーザ・デバイス118に格納されたデバイスの1つのデバイス情報と一致する(例えば、デバイス情報126がデバイス情報130に一致する)場合、(2)認証試行を始動するデバイス108の位置128が、ユーザ・デバイス118内のデバイスの少なくとも1つの位置と一致する(例えば、位置124が位置128に一致する)場合、または(3)認証試行を始動するデバイス108の位置128が、認証試行の時間に対しユーザ・カレンダ120に関連付けられた予定された位置と一致する場合である。対照的に、以下は、セキュリティリスクを構成するいくつかの例を示す:(1)認証試行を始動するデバイス108の位置128が、ユーザ・デバイス118内のいずれのデバイスの位置とも一致しない場合、および、認証試行を始動するデバイス108の位置128が、認証試行の時間に対しユーザ・カレンダ120に関連付けられた予定された位置と一致しない場合である。
セキュリティリスクがない場合(310でNO)、方法300は、動作304に戻り、ユーザ・アカウント116を監視することを継続する。セキュリティリスクがある場合(310でYES)、方法300は、動作312に進む。動作312は、緩和アクション212を実行することを含む。
図4は、本開示のいくつかの実施形態による、認証環境100において生成された集約されたスコア202に基づいてセキュリティを管理する例示の方法400のフローチャートを示す。方法400は、図3の動作310のより詳細な方法を表してよい。方法400は、オーセンティケータ102によって、または別のハードウェアもしくはソフトウェアまたはその両方の構成によって実行されてもよい。有利なことに、集約されたスコア202を利用する方法400は、種々の認証試行に関連するセキュリティリスクの正確で、精緻で、粒度の細かいまたは他の方法ではカスタマイズされたアセスメントとして有用である可能性がある。
動作402は、デバイススコア204を決定することを含む。デバイススコア204は、認証試行を始動するデバイス108のデバイス情報130と、ユーザ・デバイス118に含まれる1または複数のデバイスに関連付けられたデバイス情報(例えば、モバイルデバイス104のデバイス情報126)との間の類似性および差分を決定することに基づいてもよい。類似度および差分は、デバイス名、デバイス・モデル、デバイス構成、デバイスのMACアドレス、デバイスのIMEI番号もしくは別のデバイス情報またはその組み合わせの比較に基づいてもよい。
動作404は、位置スコア206を決定することを含む。位置スコア206は、認証試行を始動するデバイス108の位置128と、ユーザ・デバイス118にリストされた1以上のユーザ・デバイスそれぞれの位置(例えば、モバイルデバイス104の位置124)との比較に基づくことができる。いくつかの実施形態においては、動作404は、認証試行を始動するデバイス108の位置128と、ユーザ・デバイス118の最も近いデバイスとの間の距離を決定することを含む。いくつかの実施形態においては、動作404は、認証試行を始動するデバイス108の位置128と、ユーザ・デバイス118内のデバイスのそれぞれの位置の2またはそれ以上(または各々)との間のそれぞれの距離を決定することを含む。位置(例えば、位置124、位置128)は、例えば、GPS情報、IPアドレスもしくは具体的なまたは一般的な位置を直接的または間接的に示すことができる別の情報またはその組み合わせに基づいてもよい。
動作406は、カレンダ・スコア208を決定するステップを含む。カレンダ・スコア208は、認証試行を始動するデバイス108の位置128と、ユーザ・カレンダ120に基づく予定された位置との比較に基づいてもよい。動作406は、予定された位置に関連する、ユーザ・カレンダ120からの推論、洞察もしくは予測またはその組み合わせを導出するために、自然言語処理、機械学習、深層学習または他の機能をユーザ・カレンダ120上で実行することを含んでもよい。いくつかの実施形態においては、認証試行を始動するデバイス108の位置128と予定された位置との間の距離が計算される。
動作408は、集約されたスコア202を生成することを含む。集約されたスコア202は、種々の実施形態により、デバイススコア204、位置スコア206もしくはカレンダ・スコア208のうちの1または複数に基づいてもよく、これらの各々は、同様にまたは異なるように重み付けされてもよい。集約されたスコア202は、ユーザの推定位置(例えば、ユーザのデバイスの位置もしくはユーザのカレンダに基づくユーザの予定された位置)と、認証試行を始動するデバイス108の位置128との間の証明の度合い(degree of corroboration)を表す。
動作410は、集約されたスコア202をスコア閾値210と比較することを含む。集約されたスコア202がスコア閾値210よりも小さい場合(410でNO)には、オーセンティケータ102は、セキュリティリスクがあると判定してもよく、方法400は、図3の動作312に進んでもよく、緩和アクション212を実行してもよい。集約されたスコア202がスコア閾値210(410,YES)よりも大きい場合には、オーセンティケータ102は、セキュリティリスクがないと判定してもよく、方法400は、図3の動作304に戻ってもよい。
図5は、本開示のいくつかの実施形態による、決定木214を用いて認証環境100におけるセキュリティを管理するための例示の方法500のフローチャートを示す。方法500は、図3の動作308および310の下位の方法であってもよい。方法500は、オーセンティケータ102によって、または別のハードウェアもしくはソフトウェアまたはその両方の構成によって実装されてもよい。有利なことに、方法500によって利用される決定木214は、試行されたログインがセキュリティリスクを構成するか否かを決定するための効率的なメカニズムとして有用である可能性がある。
動作502は、認証試行を始動するデバイス108に関連付けられたデバイス情報130を検索することを含む。デバイス情報は、これらに限定されないが、デバイス名、デバイス・モデル、デバイス構成、デバイスのMACアドレス、デバイスのIMEI番号もしくは異なるデバイス情報またはその組み合わせを含んでもよい。
動作504は、認証試行を始動するデバイス108に関連付けられたデバイス情報130が、ユーザ・デバイス118に格納されたデバイスのデバイス情報と一致するか否かを判定することを含む(例えばデバイス判定216)。例えば、動作504は、認証試行を始動するデバイス108のMACアドレスまたはIMEI番号と、ユーザ・デバイス118に格納されたMACアドレスまたはIMEI番号とを比較することを含んでもよい。一致があれば(404でYES)、方法500は、図3の動作304に戻ってもよい。一致しなければ(404でNO)、方法500は、動作506に進んでもよい。
動作506は、認証試行を始動するデバイス108の位置128と、ユーザ・デバイス118内のデバイスのそれぞれの位置とを比較することを含む。動作506は、GPS情報、IPアドレス情報もしくはデバイスの位置を直接的に示すかまたは間接的に推定するのに有用な他の情報またはその組み合わせに基づいて、この情報を収集することができる。
動作508は、認証試行を始動するデバイス108の位置128が、ユーザ・デバイス118内のいずれかのデバイスの位置によって証明されているか否かを判定することを含む(例えば、位置判定218)。もしそうであれば(408でYES)、方法500は、図3の動作304に戻ってもよい。一致しなければ(408でNO)、方法500は、動作510に進んでもよい。
動作510は、認証試行を始動するデバイス108の位置128と、ユーザ・カレンダ120から検索された(または推定された)予定された位置とを比較することを含む。動作512は、認証試行を始動するデバイス108の位置128が、ユーザ・カレンダ120から検索された(または推定された)予定された位置によって証明されるかどうかを判定することを含む(例えば、カレンダ判定220)。もしそうであれば(512でYES)、方法500は、図3の動作304に戻る。そうでなければ(512でNO)、方法500は、図3の動作312に進み、緩和アクション212を実行する。
図5は、ある順序(例えば、デバイス判定216、位置判定218、カレンダ判定220)で決定を示しているが、この順序は、純粋に例示の目的のために示されたものである。他の実施形態においては、異なる順序で発生してもよい。同様に、いくつかの実施形態においては、より多くのまたはより少ない判定(例えば、上記決定のうちの任意の1つまたは2つ)を使用して、試行されたログインがセキュリティリスクを構成するか否かを決定することができる。
図6は、本開示のいくつかの実施形態による、例示のコンピュータ600のブロック図を示す。種々の実施形態においては、コンピュータ600は、図3~図5のいずれか1つまたは複数において説明された方法を実行する、もしくは図1、図2Aおよび図2Bのいずれか1つにおいて議論された機能性を実装する、またはその両方であってもよい。いくつかの実施形態においては、コンピュータ600は、ネットワーク650を介して、遠隔のデータ処理システムからプロセッサ実行可能な命令をダウンロードすることによって、上記の方法および機能性に関連した命令を受信する。他の実施形態においては、コンピュータ600は、上記の方法もしくは機能性またはその両方のための命令をクライアント・マシンに提供し、クライアント・マシンが、コンピュータ600によって提供される命令に基づいて方法または方法の一部を実行するようにする。いくつかの実施形態においては、コンピュータ600は、オーセンティケータ102、モバイルデバイス104、アプリケーション106もしくは認証試行を始動するデバイス108またはその組み合わせに組み込まれて(またはコンピュータ600に類似する機能性が仮想的にプロビジョニングされて)もよい。
コンピュータ600は、メモリ625と、ストレージ630と、インターコネクト620(例えば、バス)と、1または複数のCPU(本明細書ではプロセッサとも参照される)605と、I/Oデバイス・インタフェース610と、I/Oデバイス612と、ネットワーク・インタフェース615とを含む。
各CPU605は、メモリ625またはストレージ630に格納されたプログラミング命令を検索して実行する。インターコネクト620は、CPU605、I/Oデバイス・インタフェース610、ストレージ630、ネットワーク・インタフェース615およびメモリ625の間でプログラミング命令のようなデータを移動するために使用される。インターコネクト620は、1または複数のバスを使用して実装されてもよい。CPU605は、種々の実施形態において、単一のCPU、複数のCPU、または複数の処理コアを有する単一のCPUであってもよい。いくつかの実施形態においては、CPU605は、デジタル・シグナル・プロセッサ(DSP)であってもよい。いくつかの実施形態においては、CPU605は、1以上の3次元集積回路(3DIC)(例えば、3Dウェハ・レベル・パッケージ(3DWLP)、3Dインターポーザ・ベース集積化、3D積層IC(3DSIC)、モノリシック3D IC、3次元ヘテロ集積化、3Dシステム・イン・パッケージ(3DSiP)もしくはパッケージ・オン・パッケージ(PoP)CPU構成またはその組み合わせ)を含む。メモリ625は、一般に、ランダム・アクセス・メモリ(例えば、スタティック・ランダム・アクセス・メモリ(SRAM)、ダイナミック・ランダム・アクセス・メモリ(DRAM)、またはフラッシュ)を代表するものとして含められている。ストレージ630は、一般に、ハード・ディスク・ドライブ、ソリッド・ステート・デバイス(SSD)、リムーバブル・メモリカード、光学ストレージまたはフラッシュ・メモリ・デバイスのような不揮発性メモリを代表するものとして含められている。別の実施形態においては、ストレージ630は、ストレージ・エリア・ネットワーク(SAN)デバイス、クラウド、または、コンピュータ600にI/Oデバイス・インタフェース610を経由して、またはネットワーク・インタフェース615を経由してネットワーク650を経由して接続される他のデバイスで置き換えられてもよい。
いくつかの実施形態においては、メモリ625は、命令660を格納する。しかししながら、種々の実施形態においては、命令660は、部分的にメモリ625に格納され、かつ、部分的にストレージ630に格納されるか、これらがメモリ625に全体として格納されるか、ストレージ630に全体として格納されるか、または、ネットワーク・インタフェース615を経由してネットワーク650を介してアクセスされる。
命令660は、図3~図5の方法のいずれかの部分、すべて、または任意のものを実行するための、もしくは、図1、図2Aもしくは図2Bまたはその組み合わせに記載された機能性を実装するための、またはその両方のためのコンピュータ可読・コンピュータ実行可能な命令であってもよい。
種々の実施形態においては、I/Oデバイス612は、情報を提示し、かつ、入力を受信することが可能なインタフェースを含む。例えば、I/Oデバイス612は、コンピュータ600と対話するユーザに情報を提示し、そのユーザからの入力を受信することができる。
コンピュータ600は、ネットワーク・インタフェース615を介して、ネットワーク650に接続される。ネットワーク650は、物理的、無線、セルラーまたは異なるネットワークを含んでもよい。
この開示は、クラウド・コンピューティングについての詳細な説明を含むが、本明細書で詳述される教示の実装は、クラウド・コンピューティング環境に限定されないことに理解されたい。むしろ、本発明の実施形態は、現時点で知られた、またはこれから開発される他の任意のタイプのコンピューティング環境と併せて実装可能である。
クラウド・コンピューティングは、最小の管理労力またはサービス・プロバイダとの対話で迅速にプロビジョニングおよびリリースされ得る、構成可能なコンピューティング・リソース(例えば、ネットワーク、ネットワーク帯域、サーバ、処理、メモリ、ストレージ、アプリケーション、仮想マシンおよびサービス)の共有プールへの便利なオンデマンドのネットワーク・アクセスを可能とする、サービス配布のモデルである。このクラウド・モデルは、少なくとも5つの特性、少なくとも3つのサービス・モデルおよび少なくとも4つのデプロイメント・モデルを含む可能性がある。
特性は、以下の通りである。
オンデマンド・セルフ・サービス:クラウド・コンシューマは、サービス・プロバイダとの人的な対話を必要とせずに、自動的に必要なだけ、サーバ時間およびネットワーク・ストレージなどのコンピュータ能力を一方的にプロビジョニングすることができる。
広帯域ネットワーク・アクセス:能力は、ネットワーク越しに利用可能であり、異種シン・クライアントまたはシック・クライアント・プラットフォーム(例えば、モバイルフォン、ラップトップ、PDA)による使用を促進する標準的なメカニズムを介して、アクセスされる。
リソース・プーリング:プロバイダのコンピューティング・リソースは、マルチ・テナント・モデルを用いて複数のコンシューマに提供するためにプールされ、種々の物理的および仮想的リソースが需要に従って動的に割り当てられ、また、再割り当てられる。コンシューマは、一般的に、提供されるリソースの正確な場所を管理したり、知識を有したりせず、しかし、より高度な抽象レベル(例えば国、州、またはデータセンタ)にて場所を指定することが可能であるという意味で、場所の独立感がある。
迅速な弾力性:能力は、迅速かつ柔軟に、いくつかの場合では自動的に、プロビジョニングされて素早くスケール・アウトすることができ、また、迅速にリリースされて素早くスケール・インすることができる。コンシューマにとって、プロビジョニング利用可能な能力は、しばしば外面的には無制限のように見え、任意の時間に任意の量を購入することができる。
測量されたサービス:クラウドシステムは、サービスのタイプにとって適切なある抽象レベル(例えば、ストレージ、処理、帯域幅、アクティブ・ユーザ数)での計量能力を利用することによって、自動的にリソース使用を制御し、また最適化する。リソース使用量は、監視され、制御されおよび報告されて、利用サービスのプロバイダおよびコンシューマの双方に対する透明性を提供する。
サービス・モデルは、以下の通りである。
ソフトウェア・アズ・ア・サービス(SaaS):コンシューマに提供される能力は、クラウド・インフラストラクチャ上で稼働するプロバイダのアプリケーションを使用することである。アプリケーションは、ウェブ・ブラウザ(例えばウェブベースの電子メール)などのシン・クライアント・インタフェースを介して種々のクライアント・デバイスからアクセス可能である。コンシューマは、ネットワーク、サーバ、オペレーティング・システム、ストレージ、または、限定されたユーザ固有のアプリケーション構成設定の潜在的な例外を除いて個々のアプリケーション能力すらも含む下層のインフラストラクチャを管理または制御しない。
プラットフォーム・アズ・ア・サービス(PaaS):コンシューマに提供される能力は、プロバイダによってサポートされるプログラミング言語およびツールを用いて作成された、コンシューマ作成または獲得のアプリケーションをクラウド・インフラストラクチャ上にデプロイすることである。コンシューマは、ネットワーク、サーバ、オペレーティング・システムまたはストレージを含む下層のクラウド・インフラストラクチャを管理または制御しないが、デプロイされたアプリケーションおよび場合によってはアプリケーション・ホスティング環境の構成への制御を有する。
インフラストラクチャ・アズ・ア・サービス(IaaS):コンシューマに提供される能力は、処理、ストレージ、ネットワーク、および、コンシューマが、オペレーティング・システムおよびアプリケーションを含み得る任意のソフトウェアをデプロイし、稼働させることができる他の基本的なコンピューティング・リソースを提供することである。コンシューマは、下層のクラウド・インフラストラクチャを管理または制御しないが、オペレーティング・システム、ストレージ、デプロイされたアプリケーションに対する制御、および、場合によっては、選択したネットワーキング・コンポーネント(例えば、ホストファイアウォール)の限定された制御を有する。
デプロイメント・モデルは、以下の通りである。
プライベート・クラウド:クラウド・インフラストラクチャは、1つの組織のためだけに使用される。これは、組織または第三者によって管理されてもよく、オンプレミスまたはオフプレミスが存在し得る。
コミュニティ・クラウド:クラウド・インフラストラクチャは、いくつかの組織により共有され、共通の懸念(例えば、ミッション、セキュリティ要件、ポリシーおよびコンプライアンスに関する考慮事項)を有する特定のコミュニティをサポートする。これは、組織または第三者によって管理されてもよく、オンプレミスまたはオフプレミスが存在し得る。
パブリック・クラウド:クラウド・インフラストラクチャは、一般公衆、または、大きな業界団体が利用可能であり、クラウド・サービスを販売する組織によって所有される。
ハイブリッド・クラウド:クラウド・インフラストラクチャは、2以上のクラウド(プライベート、コミュニティまたはパブリック)の混成であり、これらのクラウドは、固有のエンティティのままであるが、しかし、データおよびアプリケーションのポータビリティを可能とする標準化されたまたは独自の技術(例えばクラウド間の負荷分散のためのクラウド・バースティング)によって結合される。
クラウド・コンピューティング環境は、ステートレス性、低結合、モジュール性および意味論的な相互運用性に重点を置いたサービス指向である。クラウド・コンピューティングの核心は、相互接続された複数のノードのネットワークを含むインフラストラクチャである。
ここで、図7を参照すると、例示的なクラウド・コンピューティング環境50が示されている。図示するように、クラウド・コンピューティング環境50は、1以上のクラウド・コンピューティング・ノード10を含み、これと、例えば、PDAまたは携帯電話54A、デスクトップ・コンピュータ54B、ラップトップ・コンピュータ54Cもしくは自動車コンピュータ・システム54Nまたはこれらの組み合わせなどの、クラウド・コンシューマによって使用されるローカル・コンピューティング・デバイスが通信してもよい。ノード10は、互いに通信してもよい。これらは、プライベート、コミュニティ、パブリックもしくはハイブリッド・クラウドなど上述したような、またはこれらの組み合わせなどの1以上のネットワークにおいて、物理的にまたは仮想的にグループ化(図示しない)されてもよい。これは、クラウド・コンピューティング環境50が、インフラストラクチャ、プラットフォームもしくはソフトウェアまたはこれらの組み合わせをサービスとして提供することを可能とし、これらについては、クラウド・コンシューマは、リソースをローカル・コンピューティング・デバイス上で維持する必要がない。図7に示されるコンピューティング・デバイス54A~54Nのタイプは、説明する目的のみであり、コンピューティング・ノード10およびクラウド・コンピューティング環境50が、任意のタイプのネットワーク、ネットワークアドレス可能な接続(例えば、ウェブ・ブラウザを使用して)またはこれらの両方を介して、任意のタイプのコンピュータ化されたデバイスと通信することができることが理解される。
ここで、図8を参照すると、クラウド・コンピューティング環境50(図7)によって提供される機能抽象レイヤのセットが示される。図8に示すコンポーネント、レイヤおよび機能が、説明する目的のみであり、本発明の実施形態は、これらに限定されないことが理解される。示すように、以下の層および対応する機能が提供される。
ハードウェアおよびソフトウェア・レイヤ60は、ハードウェアおよびソフトウェア・コンポーネントを含む。ハードウェア・コンポーネントの例には、メインフレーム61、RISC(縮約命令セットコンピュータ)アーキテクチャに基づくサーバ62、サーバ63,ブレードサーバ64、ストレージ・デバイス65およびネットワークおよびネットワーキング・コンポーネント66を含む。いくつかの実施形態においては、ソフトウェア・コンポーネントは、ネットワーク・アプリケーション・サーバ・ソフトウェア67およびデータベース・ソフトウェア68を含む。
仮想化レイヤ70は、抽象化レイヤを提供し、そこから仮想化サーバ71、仮想化ストレージ72、バーチャル・プライベート・ネットワークを含む仮想化ネットワーク73、仮想化アプリケーションおよびオペレーティング・システム74、および仮想クライアント75などの仮想化エンティティの例が提供される。
一例においては、管理レイヤ80は、以下に説明する機能を提供してもよい。リソース・プロビショニング81は、クラウド・コンピューティング環境内でタスクを実行するために利用されるコンピューティング・リソースおよび他のリソースの動的な調達を提供する。メータリングおよびプライシング82は、リソースがクラウド・コンピューティング環境内で利用されるコストの追跡およびこれらのソースの消費に対する請求またはインボイスの送付を提供する。一例においては、これらのリソースは、アプリケーション・ソフトウェアのライセンスを含んでもよい。セキュリティは、クラウド・コンシューマおよびタスクについての本人確認、並びに、データおよび他のリソースに対する保護を提供する。ユーザポータル83は、コンシューマおよびシステム管理者に対しクラウド・コンピューティング環境へのアクセスを提供する。サービス・レベル・マネジメント84は、要求されるサービス・レベルを満たすようにクラウド・コンピューティング・リソースの割り当ておよび管理を提供する。サービス・レベル合意(SLA)の計画と履行85は、SLAに従って、将来の要求が予期されるクラウド・コンピューティング・リソースの事前配置および調達を提供する。
ワークロード・レイヤ90は、クラウド・コンピューティング環境が利用される機能性の例を提供する。ワークロードおよびこのレイヤから提供される機能の例には、マッピングおよびナビゲ―ション91、ソフトウェア開発およびライフサイクル管理92、仮想クラスルーム教育配信93、データ・アナリティクス処理94、トランザクション処理95、位置証明ベースの認証96が含まれる。
本発明の実施形態は、統合の任意の可能な技術的詳細レベルにおいて、システム、方法もしくはコンピュータ・プログラム製品またはその組み合わせであってもよい。コンピュータ・プログラム製品は、プロセッサに本発明の側面を実行させるためのコンピュータ可読プログラム命令をその上に有するコンピュータ可読ストレージ媒体(または複数の媒体)を含んでもよい。
コンピュータ可読ストレージ媒体は、命令実行デバイスによって使用するための命令を保持し格納する有形のデバイスであってよい。コンピュータ可読ストレージ媒体は、例えば、これに限定されるものではないが、電子的ストレージ・デバイス、磁気ストレージ・デバイス、光学ストレージ・デバイス、電磁気ストレージ・デバイス、半導体ストレージ・デバイスまたは上記の任意の適切な組み合わせであってよい。コンピュータ可読ストレージ媒体のより具体的な例示の例示列挙としては、ポータブル・コンピュータ・ディスケット、ハード・ディスク、ランダム・アクセス・メモリ(RAM)、リード・オンリー・メモリ(ROM)、消去可能プログラマブル・リード・オンリー・メモリ(EPROMまたはフラッシュメモリ)、スタティック・ランダム・アクセス・メモリ(SRAM)、ポータブル・コンパクト・ディスク・リード・オンリー・メモリ(CD-ROM)、デジタル・バーサタイル・ディスク(DVD)、メモリースティック、フロッピー(登録商標)ディスク、パンチカードまたは記録された命令を有する溝内の隆起構造のような機械的エンコードされたデバイス、および上記の任意の適切な組み合わせが含まれる。コンピュータ可読ストレージ媒体は、本明細書で使用されるように、電波、自由伝搬する電磁波、導波路または他の伝送媒体を伝搬する電磁波(たとえば、ファイバ光ケーブルを通過する光パルス)または、ワイヤを通して伝送される電気信号のような、それ自体が一時的な信号として解釈されるものではない。
本明細書で説明されるコンピュータ可読プログラム命令は、コンピュータ可読ストレージ媒体からそれぞれのコンピュータ/処理デバイスに、または、例えばインターネット、ローカル・エリア・ネットワーク、ワイド・エリア・ネットワークもしくは無線ネットワークまたはこれらの組み合わせといったネットワークを介して外部コンピュータまたは外部ストレージ・デバイスにダウンロードすることができる。ネットワークは、銅伝送ケーブル、光伝送ファイバ、無線伝送、ルータ、ファイアウォール、スイッチ、ゲートウェイ・コンピュータもしくはエッジサーバまたはこれらの組み合わせを含んでもよい。各コンピュータ/処理デバイスにおけるネットワーク・アダプタ・カードまたはネットワーク・インタフェースは、ネットワークからコンピュータ可読プログラム命令を受信し、コンピュータ可読プログラム命令を、それぞれのコンピューティング/処理デバイス内のコンピュータ可読ストレージ媒体に格納するために転送する。
本発明の動作を実行するためのコンピュータ可読プログラム命令は、アセンブラ命令、命令セットアーキテクチャ(ISA)命令、機械語命令、機械依存命令、マイクロコード、ファームウェア命令、状態設定データ、集積回路向け構成データ、または、1以上のプログラミング言語の任意の組み合わせで書かれたソース・コードあるいはオブジェクト・コードであってよく、1以上のプログラミング言語は、Smalltalk(登録商標)、C++またはこれらに類するもなどのオブジェクト指向言語、Cプログラミング言語または類似のプログラミング言語などの手続型言語を含む。コンピュータ可読プログラム命令は、スタンド・アローンのソフトウェア・パッケージとして、全体としてユーザのコンピュータ上で、部分的にユーザのコンピュータ上で、部分的にユーザのコンピュータ上かつ部分的に遠隔のコンピュータ上で、または、完全に遠隔のコンピュータまたはサーバ上で実行されてもよい。後者のシナリオでは、遠隔のコンピュータは、ユーザのコンピュータに、ローカル・エリア・ネットワーク(LAN)またはワイド・エリア・ネットワーク(WAN)を含む任意のタイプのネットワークを通じて接続されてもよく、あるいは接続は、(例えば、インターネット・サービス・プロバイダを用いてインターネットを通じて)外部コンピュータになされてもよい。いくつかの実施形態においては、電気的回路は、本発明の側面を実行するために、コンピュータ可読プログラム命令の状態情報を利用して、電気的回路を個別化することによって、コンピュータ可読プログラム命令を実行してもよく、この電気的回路は、例えば、プログラマブル・ロジック回路、フィールド・プログラマブル・ゲート・アレイ(FPGA)、またはプログラマブル・ロジック・アレイ(PLA)を含む。
本発明の側面は、本明細書において、本発明の実施形態に従った方法、装置(システム)およびコンピュータ・プログラム製品のフローチャート図もしくはブロック図またはその両方を参照しながら、説明される。フローチャート図もしくはブロック図またはその両方の各ブロック、および、フローチャート図もしくはブロック図またはその両方における複数のブロックの組み合わせは、コンピュータ可読プログラム命令によって実装されてもよいことが理解されよう。
これらのコンピュータ可読プログラム命令は、汎用コンピュータおよび特定用途コンピュータのプロセッサまたは他のプログラマブル・データ処理装置に提供され、コンピュータのプロセッサまたは他のプログラマブル・データ処理装置を介して実行される命令が、フローチャート図もしくはブロックまたはその両方のブロックまたは複数のブロックにおいて特定される機能/作用を実装するための手段を作成するように、マシンを生成する。これらのコンピュータ可読プログラム命令は、また、コンピュータ、プログラマブル・データ処理装置もしくは他のデバイスまたはこれらの組み合わせに特定のやり方で機能するよう指示できるコンピュータ可読ストレージ媒体に格納され、それに格納された命令を有するコンピュータ可読ストレージ媒体に、フローチャートもしくはブロックまたはその両方のブロックまたは複数のブロックで特定される機能/作用の側面を実装する命令を含む製品が含まれるようにする。
コンピュータ可読プログラム命令は、また、コンピュータ、他のプログラマブル・データ処理装置、または他のデバイスにロードされ、コンピュータ、他のプログラマブル・データ処理装置または他のデバイス上で一連の動作ステップを実行させて、コンピュータ、他のプログラマブル・データ処理装置または他のデバイス上で実行される命令が、フローチャートもしくはブロックまたはその両方のブロックまたは複数のブロックで特定される機能/作用の側面を実装するように、コンピュータ実装処理を生成することもできる。
図面におけるフローチャートおよびブロック図は、本発明の種々の実施形態に従ったシステム、方法およびコンピュータ・プログラム製品の可能な実装のアーキテクチャ、機能性および動作を示す。この点に関して、フローチャートまたはブロック図の各ブロックは、特定の論理機能を実装するための1以上の実行可能な命令を含む、モジュール、セグメントまたは命令のサブセットを表す可能性がある。いくつかの代替の実装では、ブロックにおいて言及された機能は、図面に示された順序から外れて生じる可能性がある。例えば、連続して示される2つのブロックは、実際には、実質的に同時に、実行されてもよく、あるいは、複数のブロックは、関与する機能性に応じて逆の順序で実行されてもよい。ブロック図もしくはフローチャート図またはその両方の各ブロックおよびブロック図もしくはフローチャート図またはその両方の複数のブロックの組み合わせが、特定の機能または作用を実行し、または、特別な目的のハードウェアおよびコンピュータ命令の組み合わせを実施する、特定目的ハードウェアベースのシステムによって実装されてもよいことに留意されたい。
プロセス・ソフトウェア(例えば、図6の命令660に格納された命令、図3~図5に関連して説明される方法の任意のサブセットを実行するよう構成された任意のソフトウェア、もしくは図1、図2Aもしくは図2Bまたはその組み合わせにおいて議論された機能性の任意もの、またはその組み合わせ)が、それを、CD,DVDなどのストレージ媒体にロードすることを経由して、クライアント、サーバおよびプロキシ・コンピュータに手動で直接ロードすることによってデプロイされるものとして理解されるが、一方で、プロセス・ソフトウェアは、中央サーバまたは中央サーバ群にプロセス・ソフトウェアを送信することによって、コンピュータ・システムに自動的にまたは半自動的にデプロイされてもよい。プロセス・ソフトウェアは、次いで、プロセス・ソフトウェアを実行するであろうクライアント・コンピュータにダウンロードされる。あるいは、プロセス・ソフトウェアは、電子メールを介して、クライアント・システムに直接送信される。プロセス・ソフトウェアは、次いで、プロセス・ソフトウェアをディレクトリにデタッチするプログラム命令のセットを実行することによって、ディレクトリにデタッチあるいはディレクトリにロードされるかのいずれかがなされる。別の代替案は、クライアント・コンピュータのハード・ドライブ上のディレクトリにプロセス・ソフトウェアを直接送信することである。プロキシ・サーバがある場合、プロセスは、プロキシ・サーバ・コードを選択し、いずれのコンピュータにプロキシ・サーバ・コードを配置するかを決定し、プロキシ・サーバ・コードを送信し、プロキシ・サーバ・コードをプロキシ・コンピュータ上にインストールするであろう。プロセス・ソフトウェアは、プロキシ・サーバに送信され、その後、プロキシ・サーバに格納されるであろう。
本発明の実施形態は、顧客の法人、非利益機関、政府機関、内部組織構造などとのサービス・エンゲージメントの一部として配信されてもよい。これらの実施形態は、本明細書に記載の方法のいくつかまたは全てを実行するようにコンピュータ・システムを構成すること、および、本明細書に記載の方法のいくつかまたは全てを実装するソフトウェア、ハードウェアおよびウェブサービスをデプロイすることを含んでもよい。これらの実施形態は、また、クライアントの操作を分析すること、分析に応答してレコメンドを作成すること、レコメンドのサブセットを実装するシステムを構築すること、システムを既存のプロセスおよびインフラストラクチャに統合すること、システムの使用を計量すること、システムのユーザに経費を割り当てること、システムの使用対する支払いを、請求すること、インボイスすることまたはそのほか受け取ることを含んでもよい。
本明細書で使用される用語は、特定の実施形態を説明することのみを目的とし、種々の実施形態を限定することを意図するものではない。本明細書で使用されるように、単数形”a”、”an”および”the”は、文脈が明確に示さない限り、複数形も含むことを意図している。さらに、用語「含む(include)」もしくは「含んでいる(including)」またはこれらの両方は、この明細書で使用される場合、記載された特徴、整数、ステップ、動作、要素もしくはコンポーネントまたはこれらの組み合わせの存在を指定し、1以上の他の特徴、整数、ステップ、動作、要素、コンポーネントもしくはこれらのグループまたはこれらの組み合わせの存在または追加を除外するものではないことを理解されたい。前述した種々の実施形態の例示の実施形態の説明において、添付の図面(ここで、同様の数字は同様の要素を表す)に参照が行われており、これは、本明細書の一部を形成し、それは、種々の実施形態を実施することができる、特定の例示の実施形態を説明するために示される。これらの実施形態は、当業者が実施形態を実施することができるように充分に詳細に説明されたが、他の実施形態が使用されてもよく、論理的、機械的、電気的および他の変更が、種々の実施形態の範囲を逸脱することなく行える。前述の説明においては、種々の実施形態を完全に理解するべく多くの具体的な詳細が述べられた。しかしながら、種々の実施形態は、これらの特定の詳細なしに実施することができる。いくつかの他の例では、実施形態をあいまいにしないために、周知の回路、構造および技術については、詳細に説明されていない。
この明細書で使用されるような、単語「実施形態(embodiment)」の異なる実例は、同一の実施形態を参照するとは限らないが、しかしながら、そうであってもよい。明細書において図示または説明された任意のデータおよびデータ構造は、単なる例であり、他の実施形態においては、異なる量のデータ、データのタイプ、フィールド、フィールドの数およびタイプ、フィールド名、行の数およびタイプ、レコード、エントリまたはデータの編成を使用してもよい。加えて、任意のデータをロジックと組み合わせて、個別のデータ構造を必要としないようにしてもよい。前述の詳細な説明は、したがって、限定的な意味で解釈されるべきではない。
本開示の種々の実施形態の説明が、説明のために提示されたが、しかしながら、網羅的であること、または、開示される実施形態に限定されることを意図するものではない。説明される実施形態の範囲を逸脱することなく、多くの変更および変形が当業者にとって明らかであろう。本明細書で使用される用語は、実施形態の原理、実際の応用または市場で発見される技術に対する技術的改善を最もよく説明するために、あるいは、他の当業者が、本明細書で開示される実施形態を理解できるように選ばれたものである。
本開示が特定の実施形態に関連して説明されたが、その変更および修正は、当業者にとって明らかになるものと予期される。したがって、以下の特許請求の範囲は、本開示の真の範囲内にあるようなすべての変更および修正に及ぶものとして解釈されることが意図される。
本開示において議論される任意の利点は、例示の利点であり、本開示の範囲内にとどまりながらも、議論された任意の利点のすべてまたは一部を実現する、あるいはいずれも実現しない本開示の実施形態が存在し得る。

Claims (18)

  1. 認証のための方法であって、
    ユーザ・アカウント、複数のユーザ・デバイスおよびユーザ・カレンダに関連する情報を含むユーザ・プロファイルを格納するステップと、
    前記ユーザ・アカウントに関連付けられた認証試行を検出するステップと、
    前記認証試行を始動する第1のデバイスに関連付けられたデバイス情報、前記認証試行を始動する前記第1のデバイスの第1の位置、前記複数のユーザ・デバイスのうちの第2のデバイスの第2の位置および前記ユーザ・カレンダに基づく予定された位置を検索するステップと、
    前記第1のデバイスに関連付けられた前記デバイス情報、前記第1のデバイスの前記第1の位置、前記第2のデバイスの前記第2の位置および前記予定された位置に基づいて、前記認証試行がセキュリティリスクを含むことを判定するステップと、
    前記認証試行がセキュリティリスクを含むと判定したことに応答して、緩和アクションを実行するステップと
    を含む、方法。
  2. 前記第1のデバイスに関連付けられた前記デバイス情報は、前記第1のデバイスに関連付けられた第1のメディア・アクセス制御(MAC)アドレスを含み、前記認証試行が前記セキュリティリスクを含むことを判定するステップは、前記第1のデバイスの前記第1のMACアドレスが、前記複数のユーザ・デバイスのいずれのデバイスのいずれのMACアドレスとも一致しないと判定するステップをさらに含む、請求項1に記載の方法。
  3. 前記第1のデバイスに関連付けられた前記デバイス情報は、前記第1のデバイスに関連付けられた第1のIMEI(International Mobile Equipment Identify)番号を含み、前記認証試行が前記セキュリティリスクを含むことを判定するステップは、前記第1のデバイスの前記第1のIMEI番号が、前記複数のユーザ・デバイスのいずれのデバイスのいずれのIMEI番号とも一致しないと判定するステップをさらに含む、請求項1または2に記載の方法。
  4. 前記認証試行が前記セキュリティリスクを含むことを判定するステップは、前記第1のデバイスの前記第1の位置が、前記第2のデバイスの前記第2の位置から第1の距離だけ異なると判定するステップを含み、前記第1の距離は、閾値距離よりも大きい、請求項1~3のいずれか1項に記載の方法。
  5. 前記認証試行が前記セキュリティリスクを含むことを判定するステップは、前記第1のデバイスの前記第1の位置が前記予定された位置と第1の距離だけ異なると判定するステップをさらに含み、前記第1の距離は、閾値距離よりも大きい、請求項1~4のいずれか1項に記載の方法。
  6. 前記認証試行が前記セキュリティリスクを含むことを判定するステップは、
    前記第1のデバイスに関連付けられた前記デバイス情報、前記第2のデバイスに関連付けられた第2のデバイス情報、前記第1の位置、前記第2の位置および前記予定された位置に基づいてスコアを生成するステップをさらに含む、請求項1~5のいずれか1項に記載の方法。
  7. 前記スコアは、
    前記第1のデバイスに関連付けられた前記デバイス情報および前記第2のデバイス情報に関連付けられた前記第2のデバイス情報間の類似度、
    前記第1の位置および前記第2の位置の間の第1の距離、および
    前記第1の位置および前記予定された位置との間の第2の距離
    に基づく、請求項6に記載の方法。
  8. 前記緩和アクションは、前記複数のユーザ・デバイスのうちの少なくとも1つに通知を発行することを含む、請求項1~7のいずれか1項に記載の方法。
  9. 前記緩和アクションは、前記ユーザ・アカウントへのアクセスを制限することを含む、請求項1~8のいずれか1項に記載の方法。
  10. 前記緩和アクションは、前記第1のデバイスへのアクセスを制限することを含む、請求項1~9のいずれか1項に記載の方法。
  11. 前記方法は、遠隔データ処理システムからダウンロードされたコンピュータ実行可能命令に基づいて実行される、請求項1~10のいずれか1項に記載の方法。
  12. さらに、前記方法の使用を計量するステップと、
    計量された前記使用に基づいて請求を生成するステップと
    をさらに含む、請求項1~11のいずれか1項に記載の方法。
  13. 認証のためのシステムであって、
    プロセッサと、
    前記プロセッサによって実行された場合に、前記プロセッサに方法を実行させるよう構成されたプログラム命令を格納するコンピュータ可読ストレージ媒体と
    を含み、前記方法は、
    ユーザ・アカウント、複数のユーザ・デバイスおよびユーザ・カレンダに関連する情報を含むユーザ・プロファイルを格納するステップと、
    前記ユーザ・アカウントに関連付けられた認証試行を検出するステップと、
    前記認証試行を始動する第1のデバイスに関連付けられたデバイス情報、前記認証試行を始動する前記第1のデバイスの第1の位置、前記複数のユーザ・デバイスのうちの第2のデバイスの第2の位置および前記ユーザ・カレンダに基づく予定された位置を検索するステップと、
    前記第1のデバイスに関連付けられた前記デバイス情報、前記第1のデバイスの前記第1の位置、前記第2のデバイスの前記第2の位置および前記予定された位置に基づいて、前記認証試行がセキュリティリスクを含むことを判定するステップと、
    前記認証試行がセキュリティリスクを含むと判定したことに応答して、緩和アクションを実行するステップと
    を含む、システム。
  14. 前記第1のデバイスに関連付けられた前記デバイス情報は、前記第1のデバイスに関連付けられた第1の識別子を含み、前記認証試行が前記セキュリティリスクを含むことを判定するステップは、前記第1のデバイスの前記第1の識別子が、前記複数のユーザ・デバイスのいずれのデバイスのいずれの識別子とも一致しないと判定するステップをさらに含む、請求項13に記載のシステム。
  15. 前記認証試行が前記セキュリティリスクを含むことを判定するステップは、
    前記第1のデバイスの前記第1の位置が、前記第2のデバイスの前記第2の位置から第1の距離だけ異なると判定するステップであって、前記第1の距離は、第1の閾値距離よりも大きい、判定するステップと、
    前記第1のデバイスの前記第1の位置が、前記予定された位置と第2の距離だけ異なると判定するステップであって、前記第2の距離は、第2の閾値距離よりも大きい、判定するステップと
    を含む、請求項13または14に記載のシステム。
  16. 前記認証試行が前記セキュリティリスクを含むことを判定するステップは、
    前記第1のデバイスに関連付けられた前記デバイス情報および前記第2のデバイス情報に関連付けられた前記第2のデバイス情報間の類似度、
    前記第1の位置および前記第2の位置の間の第1の距離、および
    前記第1の位置および前記予定された位置との間の第2の距離
    に基づいて、スコアを生成するステップ
    をさらに含む、 請求項13~15のいずれか1項に記載のシステム。
  17. 認証のためのコンピュータ・プログラム製品であって、
    処理回路によって読み取り可能であり、前記処理回路による実行のための命令であって、請求項1~12のいずれか1項に記載の方法を実行するための当該命令を格納するコンピュータ可読ストレージ媒体
    を含む、コンピュータ・プログラム製品。
  18. コンピュータ可読媒体に格納され、デジタル・コンピュータの内部メモリに読み込み可能なコンピュータ・プログラムであって、前記プログラムがコンピュータ上で実行されたときに、請求項1~12のいずれか1項に記載の方法を実行するためのソフトウェア・コード部分を含む、コンピュータ・プログラム。
JP2022524092A 2019-10-31 2020-10-28 位置証明を利用した認証メカニズム Pending JP2023501927A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US16/670,298 US11134081B2 (en) 2019-10-31 2019-10-31 Authentication mechanism utilizing location corroboration
US16/670,298 2019-10-31
PCT/IB2020/060090 WO2021084434A1 (en) 2019-10-31 2020-10-28 Authentication mechanism utilizing location corroboration

Publications (1)

Publication Number Publication Date
JP2023501927A true JP2023501927A (ja) 2023-01-20

Family

ID=75688305

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022524092A Pending JP2023501927A (ja) 2019-10-31 2020-10-28 位置証明を利用した認証メカニズム

Country Status (6)

Country Link
US (1) US11134081B2 (ja)
JP (1) JP2023501927A (ja)
CN (1) CN114556867A (ja)
DE (1) DE112020005373T5 (ja)
GB (1) GB2605053B (ja)
WO (1) WO2021084434A1 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11657295B2 (en) * 2020-03-31 2023-05-23 Bank Of America Corporation Cognitive automation platform for dynamic unauthorized event detection and processing
US20220294639A1 (en) * 2021-03-15 2022-09-15 Synamedia Limited Home context-aware authentication
US20230015789A1 (en) * 2021-07-08 2023-01-19 Vmware, Inc. Aggregation of user authorizations from different providers in a hybrid cloud environment
US11900674B2 (en) * 2021-07-08 2024-02-13 Bank Of America Corporation System for real-time identification of unauthorized access

Family Cites Families (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7168093B2 (en) 2001-01-25 2007-01-23 Solutionary, Inc. Method and apparatus for verifying the integrity and security of computer networks and implementation of counter measures
US6978023B2 (en) 2003-03-25 2005-12-20 Sony Corporation Apparatus and method for location based wireless client authentication
KR100628325B1 (ko) 2004-12-20 2006-09-27 한국전자통신연구원 무선 네트워크에 대한 공격을 탐지하기 위한 침입 탐지센서 및 무선 네트워크 침입 탐지 시스템 및 방법
US8401906B2 (en) 2007-12-12 2013-03-19 At&T Intellectual Property I, L.P. Financial transaction authentication servers, methods, and computer program products for facilitating financial transactions between buyers and sellers
US8220034B2 (en) * 2007-12-17 2012-07-10 International Business Machines Corporation User authentication based on authentication credentials and location information
US8295898B2 (en) 2008-07-22 2012-10-23 Bank Of America Corporation Location based authentication of mobile device transactions
US8961619B2 (en) * 2009-01-06 2015-02-24 Qualcomm Incorporated Location-based system permissions and adjustments at an electronic device
US20100218249A1 (en) * 2009-02-25 2010-08-26 Microsoft Corporation Authentication via a device
US9705813B2 (en) * 2012-02-14 2017-07-11 Airwatch, Llc Controlling distribution of resources on a network
US9171347B2 (en) 2012-10-12 2015-10-27 Document Security Systems, Inc. System and method for analysis and authentication of covert security information using a smart device
US9355231B2 (en) * 2012-12-05 2016-05-31 Telesign Corporation Frictionless multi-factor authentication system and method
US9223950B2 (en) 2013-03-05 2015-12-29 Intel Corporation Security challenge assisted password proxy
US8977746B2 (en) 2013-03-20 2015-03-10 Watchguard Technologies, Inc. Systems and methods for scalable network monitoring
CN105723392A (zh) 2013-09-20 2016-06-29 艾高特有限责任公司 交易认证
US9391968B2 (en) * 2013-09-24 2016-07-12 At&T Intellectual Property I, L.P. Scored factor-based authentication
US20150310434A1 (en) * 2014-04-29 2015-10-29 Dennis Takchi Cheung Systems and methods for implementing authentication based on location history
US9396332B2 (en) * 2014-05-21 2016-07-19 Microsoft Technology Licensing, Llc Risk assessment modeling
US10530877B2 (en) * 2014-10-03 2020-01-07 Drive Time Metrics, Inc. Method and system for cross channel in-car media consumption measurement and analysis using blockchain
US9836620B2 (en) * 2014-12-30 2017-12-05 Samsung Electronic Co., Ltd. Computing system for privacy-aware sharing management and method of operation thereof
US10606992B2 (en) * 2015-05-31 2020-03-31 Asuha Co., Ltd. User authentication system and user authentication application program
US10044674B2 (en) 2016-01-04 2018-08-07 Afero, Inc. System and method for automatic wireless network authentication in an internet of things (IOT) system
US10305901B2 (en) 2016-05-06 2019-05-28 Blackberry Limited System and method for multi-factor authentication
US9911260B2 (en) * 2016-06-23 2018-03-06 International Business Machines Corporation Associating external credentials with mobile devices
CN105959317A (zh) 2016-07-11 2016-09-21 深圳市金立通信设备有限公司 一种安全认证方法及终端
US10924479B2 (en) * 2016-07-20 2021-02-16 Aetna Inc. System and methods to establish user profile using multiple channels
US10091195B2 (en) * 2016-12-31 2018-10-02 Nok Nok Labs, Inc. System and method for bootstrapping a user binding
US11115403B2 (en) * 2017-02-21 2021-09-07 Baldev Krishan Multi-level user device authentication system for internet of things (IOT)
US10075440B1 (en) * 2017-05-17 2018-09-11 International Business Machines Corporation Multi-party secure global attestation
US10397209B2 (en) 2017-07-06 2019-08-27 International Business Machines Corporation Risk-aware multiple factor authentication based on pattern recognition and calendar
US10462141B2 (en) * 2017-07-26 2019-10-29 Bank Of America Corporation Network device information validation for access control and information security
US11144627B2 (en) * 2017-09-20 2021-10-12 Qualcomm Incorporated Peer assisted enhanced authentication
US20190102533A1 (en) * 2017-10-04 2019-04-04 Stryker Corporation Peripheral Cyber-Security Device
US11297507B2 (en) * 2019-06-20 2022-04-05 Bank Of America Corporation Co-location security system
US11616784B2 (en) * 2019-07-11 2023-03-28 Kyndryl, Inc. Personal-public service set identifiers connection implemented by a WAP

Also Published As

Publication number Publication date
WO2021084434A1 (en) 2021-05-06
CN114556867A (zh) 2022-05-27
US11134081B2 (en) 2021-09-28
US20210136066A1 (en) 2021-05-06
GB2605053A (en) 2022-09-21
GB202207338D0 (en) 2022-07-06
GB2605053B (en) 2024-05-29
DE112020005373T5 (de) 2022-08-11

Similar Documents

Publication Publication Date Title
US10812254B2 (en) Identity confidence score based on blockchain based attributes
US9998474B2 (en) Secure assertion attribute for a federated log in
US10778689B2 (en) Suspicious activity detection in computer networks
JP2023501927A (ja) 位置証明を利用した認証メカニズム
US9473513B2 (en) Authentication based on proximate devices
US11165776B2 (en) Methods and systems for managing access to computing system resources
US9710656B2 (en) Controlled delivery and assessing of security vulnerabilities
US9930070B2 (en) Modifying security policies of related resources
US20210281555A1 (en) Api key access authorization
JP2020109645A (ja) ユーザデータへの不正アクセスの脅威下でアカウントレコードのパスワードを変更するシステムおよび方法
US20230169204A1 (en) Secure sharing of personal data in distributed computing zones
US11589227B2 (en) Multilevel authentication using a mobile device
US11558395B2 (en) Restricting access to cognitive insights
US11334887B2 (en) Payment card authentication management
US11841961B2 (en) Management of computing secrets
US11238134B2 (en) Adaptable access to digital assets
US10623414B2 (en) Authenticating multi-facets of a user through unaware third-party services
US20230291710A1 (en) Virtual private networks for similar profiles
US20230177193A1 (en) Conditional access to data

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220506

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20220518

RD16 Notification of change of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7436

Effective date: 20220425

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230324

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20240319

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20240321