JP4992283B2 - 動的認証方法、動的認証システム、制御プログラム、および、物理キー - Google Patents

動的認証方法、動的認証システム、制御プログラム、および、物理キー Download PDF

Info

Publication number
JP4992283B2
JP4992283B2 JP2006116172A JP2006116172A JP4992283B2 JP 4992283 B2 JP4992283 B2 JP 4992283B2 JP 2006116172 A JP2006116172 A JP 2006116172A JP 2006116172 A JP2006116172 A JP 2006116172A JP 4992283 B2 JP4992283 B2 JP 4992283B2
Authority
JP
Japan
Prior art keywords
user
physical key
dynamic
dynamic authentication
association
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006116172A
Other languages
English (en)
Other versions
JP2006302292A5 (ja
JP2006302292A (ja
Inventor
エル.シオン ジョバンニ
トレヴァー ジョナサン
エム.ヒルバート デイビット
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujifilm Business Innovation Corp
Original Assignee
Fuji Xerox Co Ltd
Fujifilm Business Innovation Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Xerox Co Ltd, Fujifilm Business Innovation Corp filed Critical Fuji Xerox Co Ltd
Publication of JP2006302292A publication Critical patent/JP2006302292A/ja
Publication of JP2006302292A5 publication Critical patent/JP2006302292A5/ja
Application granted granted Critical
Publication of JP4992283B2 publication Critical patent/JP4992283B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • G06F21/35User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/42User authentication using separate channels for security data
    • G06F21/43User authentication using separate channels for security data wireless channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Telephonic Communication Services (AREA)

Description

本発明は認証に関する。詳細には、本発明は、ゲストデバイスを認証する動的認証方法、動的認証システム、デバイスを動的に認証するようにコンピュータをプログラミングするために使用可能な制御プログラム、ユーザをデータサービスに対して動的に認証するための物理キー、および、データシステムとともに使用可能な物理キーに関する。
コンピュータシステムおよびコンピュータアプリケーションのセキュリティは情報セキュリティ幹部にとってますます関心事になっている。コンピュータセキュリティシステムは情報源に対するアクセスをプロテクトすることにより個人情報、極秘情報、および他の機密情報を不正利用からプロテクトする。コンピュータセキュリティを強化するための従来のシステムには、自明ではないユーザ識別子の使用、より長くより安全な、もしくは、より長いかより安全なパスワードの使用、より頻繁なパスワード変更およびスマートカードの使用がある。
非特許文献1、任意の場所からリアルタイムでプリントを行うことに関する非特許文献2、任意の場所から自己のパーソナルコンピュータにアクセスすることに関する非特許文献3は、本願発明に関連する内容を含む。
ブルース・シュナイアー(Bruce Schneier)、「応用暗号 第二版:Cによるプロトコル、アルゴリズム、および、ソースコード(Applied Cryptography Second Edition: protocol, algorithms, and source code in C」、USA、ジョン・ウィリー・アンド・ソンズ(John Wiley & Sons)、1996年 エレクトロニクス・フォー・イメージング・インコーポレイテッド(Electronics for Imaging Inc.)、「EFI PRINTME」、[online]、[2005年3月14日検索]、インターネット<URL:http://www.efi.com/products/printme/index.html> 「GOTOMYPC:私たちのテクノロジー(Our Technology)」、[online]、[2005年3月14日検索]、インターネット<URL:http://www.gotomypc.com>
これらの従来のシステムは許可されていない人員のアクセスをより困難にすることができ、通常、効果的な使用のためのトレーニングを必要とするかもしれない。さらにこれらの従来のシステムはユーザにとってもアクセスをより困難にするかもしれない。したがって、これらの従来のシステムはユビキタスコンピューティング環境の中で幅広く配備される可能性が低い。
したがって、物理キーに基づいて動的認証を提供するシステムおよび方法が有効であろう。本発明によるシステムおよび方法は、ユーザと、ユーザデバイスと、物理キー、ユーザ、および、ユーザデバイスの少なくとも二の間で予め決定されている第一の関連付けと、を決定する。物理キーとゲストデバイスとの間で提案された動的関連付けは第一のチャネルまたは通信リンクを介して伝えられる。提案された関連付けは、物理キーのコンタクトベースコネクタまたはコンタクトレスコネクタに基づいている。動的認証システムは、アクセスコントロールリスト、または、ユーザおよび物理キーの少なくとも一方と関連付けられる他の制御手順と照合して、オプションで、ゲストデバイスを検証する。
ユーザは、所定の関連付けに基づいて、一または複数のユーザデバイスと関連付けられる。第二のチャネルでのユーザデバイスを介したユーザログインが、物理キーとゲストデバイスとの間の提案された動的な関連付けを確認する。ゲストデバイスは、ゲストデバイスでのユーザ情報およびサービスへのアクセスのために認証される。認証は、オプションで、動的認証システムから送信される認証メッセージに基づいている。可能なゲストデバイスのセットは、MAC、インターネットプロトコル(IP)アドレス等により予め識別されたデバイスに、オプションで、制限される。ユーザとユーザデバイスとの間の関連付けは暗示的であってもよいし、明示的であってよい。ユーザはさらにログインキーシーケンス、生体認証等を介して自らを認証してよい。物理キーによって維持されるセッショントークンの動的認証、および、動的認証システムが、テキスト、音声およびビデオ画像情報のようなデジタル資産のプロテクションのために提供される。動的認証は第一のチャネルまたは第二のチャネルを介してなされてもよい。本発明によるシステムおよび方法は、ゲストデバイスに送信される情報のプロテクションおよび変換の少なくとも一方を提供する。プロテクトのための変換および他の変換の少なくともいずれかは、ゲストデバイスに適したフォーマットへ情報を変換すること、または、ゲストデバイスに適したモードに情報を変換すること、情報のコピープロテクションをすること、ステガノグラフィック符号化をすること、ウォーターマークを埋め込むこと、暗号化を行うこと、等を含むが、本発明は、これらに限定されるものではない。
本発明の第1の態様の動的認証方法は、動的にゲストデバイスの認証を行なう動的認証方法であって、第一のデバイス認証システムによってアクセス可能な記憶手段に、ユーザ、ユーザデバイスおよび少なくとも一つの物理キーの間の関連付けの第一セットを保持し、ゲストデバイスを用いた所定のデータおよびサービスの少なくとも一方の利用に先立って、前記ゲストデバイスとユーザの物理キーとの間の動的関連付けの情報であって、該物理キーを特定する情報を含む情報を、第一の通信チャネルを介して受信し、受信した前記情報から特定される物理キーに対応する前記ユーザデバイスを、前記関連づけの第一セットに基づいて決定し、前記第一の通信チャネルと異なる第二の通信チャネルを通じて、前記動的関連付けに対するユーザの確認を受信し、前記ユーザの確認が、前記物理キーに対応する前記ユーザデバイスからのものであるか否かを検証し、前記ユーザデバイスからのものであるとの検証がなされた場合に、前記ユーザが前記ゲストデバイスを通じて利用できるデータおよびサービスの少なくとも一方の利用のための認証を行なう。
本発明の第2の態様は、第1の態様の動的認証方法であって、前記物理キーが通信手段を内蔵しており、前記第一の通信チャネルが前記物理キーに内蔵された前記通信手段により提供される。
本発明の第3の態様は、第1の態様の動的認証方法であって、前記ゲストデバイスが第2の通信手段を内蔵しており、前記第一の通信チャネルが前記ゲストデバイスに内蔵された前記第2の通信手段により提供される。
本発明の第の態様は、第1の態様の動的認証方法であって、前記第一セットは、前記ユーザデバイスの使用時に利用可能なゲストデバイスに関する情報を含み、前記ユーザデバイスと前記ゲストデバイスの関係に基づいて、認証される。
本発明の第の態様は、第1の態様の動的認証方法であって、ゲストデバイスが、固定電話、ボイスオーバIP電話、パーソナルデジタルアシスタント、イネーブルされた音楽プレーヤ、無線送信機、デジタルカメラ、ビデオカメラ、パーソナルミュージックプレーヤ、パーソナルビデオプレーヤ、テレビ、プリンタおよびコンピュータ、の少なくとも一である。
本発明の第6の態様の動的認証システムは、動的にゲストデバイスの認証を行なう動的認証システムであって、 ユーザ、ユーザデバイスおよび少なくとも一つの物理キーの間の関連付けの第一セットを保持する記憶手段と、ゲストデバイスを用いた所定のデータおよびサービスの少なくとも一方の利用に先立って、前記ゲストデバイスとユーザの物理キーとの間の動的関連付けの情報であって、該物理キーを特定する情報を含む情報を第一の通信チャネルを介して受信する第1受信手段と、前記第1受信手段で受信される情報から特定される前記物理キーに対応する前記ユーザデバイスを前記関連づけの第一セットに基づいて決定する決定手段と、前記第一の通信チャネルと異なる第二の通信チャネルを通じて、前記動的関連付けに対するユーザの確認を受信する第2受信手段と、前記ユーザの確認が、前記物理キーに対応する前記ユーザデバイスからのものであるか否かを検証する検証手段と、前記ユーザデバイスからのものであるとの検証がなされた場合に、前記ユーザが前記ゲストデバイスを通じて利用できるデータおよびサービスの少なくとも一方の利用のための認証を行なう認証手段と、を備える。
決定手段、認証手段は、プロセッサによって制御されるハードウェアであってもよいし、プロセッサによって実行されるソフトウェアであってもよい。
本発明の第の態様は、第の態様の動的認証システムであって、前記物理キーが通信手段を内蔵しており、前記第一の通信チャネルが前記物理キーに内蔵された前記通信手段により提供される。
本発明の第の態様は、第の態様の動的認証システムであって、前記ゲストデバイスが第2の通信手段を内蔵しており、前記第一の通信チャネルが前記ゲストデバイスに内蔵された前記第2の通信手段により提供される。
本発明の第の態様は、第の態様の動的認証システムであって、前記第一セットは、前記ユーザデバイスの使用時に利用可能なゲストデバイスに関する情報を含み、前記ユーザデバイスと前記ゲストデバイスの関係に基づいて、認証される。
本発明の第10の態様は、第の態様の動的認証システムであって、前記ゲストデバイスが、固定電話、ボイスオーバIP電話、パーソナルデジタルアシスタント、イネーブルされた音楽プレーヤ、無線送信機、デジタルカメラ、ビデオカメラ、パーソナルミュージックプレーヤ、パーソナルビデオプレーヤ、テレビ、プリンタおよびコンピュータ、の少なくとも一である。
本発明の第11の態様は、動的にゲストデバイスの認証を行なうようにコンピュータを制御する制御プログラムであって、ユーザ、ユーザデバイスおよび少なくとも一つの物理キーの間の関連付けの第一セットを保持する記憶手段に保持された前記関連付けの第一セットに基づいて、ゲストデバイスを用いた所定のデータおよびサービスの少なくとも一方の利用に先立って第一の通信チャネルを介して受信される、前記ゲストデバイスとユーザの物理キーとの間の動的関連付けの情報であって該物理キーを特定する情報を含む情報から特定される物理キーに対応する前記ユーザデバイスを決定する命令と、前記第一の通信チャネルと異なる第二の通信チャネルを介して受信され、前記物理キーに対応する前記ユーザデバイスからのものであるか否かが検証され、前記ユーザデバイスからのものであるとの検証がなされた、前記動的関連付けに対するユーザの確認に基づいて、前記ユーザが前記ゲストデバイスを通じて利用できるデータおよびサービスの少なくとも一方の利用のための認証を行なう命令と、を含む。
本発明の第12の態様は、前記請求項1の動的認証方法又は請求項6の動的認証システムに用いる物理キーである。
本発明の第13の態様は、第12の態様の物理キーであって、前記物理キーが、コンタクトベースコネクタおよびコンタクトレスコネクタの少なくとも一を備える
本発明の第14の態様は、第12の態様の物理キーであって、前記物理キーが、提案さ
れた前記動的関連付けを伝えるために動作可能な第一の通信リンクを備える。
本発明の第15の態様は、請求項1に記載の動的認証方法であって、前記第一セットは、更に、前記物理キーと当該物理キーの使用時にアクセス可能なデータサービスが対応付けられ、前記物理キーと関連付けられる前記ユーザを決定し、前記物理キーと関連付けられる少なくとも一の前記データサービスを決定し、前記ゲストデバイスの動的認証に基づいて、前記データサービスへのユーザアクセスを認証する、ことを含む。
本発明の第16の態様は、第15の態様の動的認証方法であって、前記データサービス
がコンピュータに含まれる情報のリポジトリである。
本発明の第17の態様は、第1の態様の動的認証方法であって、前記ユーザ情報およびサービスが、前記物理キー、前記ゲストデバイスおよび遠隔場所、の少なくとも一に位置する。
本発明の第18の態様は、第の態様の動的認証システムであって、前記ユーザ情報およびサービスが、前記物理キー、前記ゲストデバイスおよび遠隔場所、の少なくとも一に位置する。
本発明の第19の態様は、第1の態様の動的認証方法であって、前記動的関連付けが認証されたとき、前記ユーザデバイスおよび前記物理キーの少なくとも一によってサポートされるセッション識別子が、前記動的関連付けに対応して設定される。
本発明の第20の態様は、第19の態様の動的認証方法であって、前記セッション識別子が、可変である時間間隔で検証される。
本発明の第21の態様は、第6の態様の動的認証システムであって、前記動的関連付けが認証されたとき、前記ユーザデバイスおよび前記物理キーの少なくとも一によってサポートされるセッション識別子が、前記動的関連付けに対応して設定される。
本発明の第22の態様は、第21の態様の動的認証システムであって、前記セッション識別子が、可変である時間間隔で検証される。
本発明の第23の態様は、第1の態様の動的認証方法により認証されるサービスシステムである。
本発明は、ユーザグループ、ユーザデバイスおよび少なくとも一の物理キーの間の関連付けの第一セットを決定し、ゲストデバイスとユーザの物理キーとの間の提案された動的関連付けを、該物理キーの存在に基づいて、第一の通信チャネルを介して決定し、提案された前記動的関連付けのユーザ確認を、第二の通信チャネルを介して、決定し、前記ユーザデバイスのユーザに関連付けられた情報およびサービスの少なくとも一へのアクセスのために、前記動的関連付け、前記ユーザ確認、および関連付けの前記第一セットに基づいて、前記ゲストデバイスを認証するようにしているので、ユーザのアクセスを困難にすることなく、コンピュータセキュリティを強化することができる。
図1は本発明による例示的な動的認証システム100の使用の概要である。動的認証システム100は、通信リンク99を介して、通信可能パーソナルコンピュータゲストデバイス300、携帯電話ユーザデバイス500、および音声、ビデオおよびテキストベースのドキュメント1000〜1002にアクセスを提供する情報リポジトリ200、に接続されている。ユーザは、物理キー400と通信可能パーソナルコンピュータ300と、の間の関連付けを提案する。物理キー400と通信可能パーソナルコンピュータゲストデバイス300との間の提案された関連付けは、物理キーのコンタクトベースコネクタまたはコンタクトレスコネクタに基づいている。コネクタは物理キーをゲストデバイス300と関連付ける。
コンタクトベースコネクタは、USB(ユニバーサルシリアルバス)コネクタ、メモリスティック(Memorystick)、SDカード、シリアル、パラレルおよび多様な他の物理ポートコネクタの少なくとも一を含むが、これらに限定されない。コンタクトレスコネクタは、無線ICタグ、ワイファイ(WiFi)、ワイマックス(WiMax)、ブルートゥース(Bluetooth)、バーコード読取装置および任意の公知のまたは今後開発される物理キー400を通信可能パーソナルコンピュータゲストデバイス300と関連付けるために使用できるコンタクトレスコネクタの少なくとも一を含む。
提案された関連付けは、第一のチャネルまたは通信リンクを介して動的認証システム100に伝えられる。該第一のチャネルは物理キー400およびゲストデバイス300の少なくとも一方によって提供される。本発明による一の例示的な実施形態では、第一のチャネルは通信可能パーソナルコンピュータ300のイーサネット(登録商標)コネクタにより提供される。物理キー400は通信可能パーソナルコンピュータ300のUSBポートの中に挿入される。次に、物理キー識別子および該識別子についての情報の少なくとも一方を読み取るために、ソフトウェアコードが実行されるか、回路が作動される。もしくは、ソフトウェアが実行され、かつ、回路が作動される。物理キー識別子および関連付け情報の少なくとも一方は、通信可能パーソナルコンピュータ300に接続されるネットワーク上で動的認証100のためにシステムに転送される。
図2は本発明による動的認証の例示的な方法のフローチャートである。プロセスはステップS100で開始し、直ちにステップS200に進む。
ステップS200では、ゲストデバイスについての情報が決定される。ゲストデバイスは、家庭またはホテルのテレビ受像機、ラジオ、コンピュータ、プロジェクタ、複製機、電話、および、任意の公知のまたは今後開発される入力装置または出力装置もしくは入出力装置、の少なくとも一であってよい。ゲストデバイスが決定された後、制御は、物理キーが決定されるステップS300に進む。
物理キーはコンタクトベースコネクタまたはコンタクトレスコネクタを介してゲストデバイスへの接続を確立する。コンタクトベース物理キーは、接触する、連結する、またはそれ以外の方法で直接的に接続するコンタクトベースコネクタを通して、ゲストデバイスに接続される。コンタクトベースの物理接続ポートはUSB、シリアル、パラレル、メモリスティック(Memorystick)等を含む。コンタクトレス物理キーは、直接的に接続または接触しないコンタクトレスコネクタを通して、ゲストデバイスに接続する。コンタクトレスコネクタはブルートゥース(Bluetooth)、ワイファイ(WiFi)、ワイマックス(WiMax)、GPRS(ジェネラルパケットラジオサービス:General Packet Radio Service)、無線ICタグ(RFID)等を含む。ワイマックス(WiMax)、ワイファイ(WiFi)、GPRS等のより長い距離用の通信媒体に基づいたコンタクトレスコネクタがオプションで信号強度インジケータ等に基づいていることは明らかであろう。物理キーが決定された後、制御はステップS400に進む。
ステップS400では、物理キーとゲストデバイスとの間の提案された関連付けが決定される。該提案された関連付けはコンタクトベース物理キーまたはコンタクトレス物理キーに基づいている。例えば、物理キーの中に埋め込まれているUSBコンタクトベースコネクタはゲストデバイスのUSBレセプタクルの中に差し込まれる。物理キーとゲストデバイスとの間のコンタクトは、物理キーとゲストデバイスとを暗示的に且つ動的に関連付ける。他の実施形態では、RFIDタグ等のコンタクトレスコネクタがゲストデバイスとの動的関連付けを提案するために使用される。提案された関連付けは第一のチャネルまたは通信リンクを介して伝えられる。第一のチャネルは物理キーおよびゲストデバイスの少なくとも一方に埋め込まれていてよい。物理キーとゲストデバイスとの間の提案された動的関連付けが決定された後、制御はステップS500に進む。
ステップS500では、ユーザデバイス情報が決定される。ユーザデバイス情報はユーザと関連付けられているデバイスの種類、MACアドレス、インターネットプロトコル(IP)、および、ユーザデバイスと関連付けられる他のネットワークアドレス識別子の少なくとも一を含む。本発明による多様な他の例示的な実施形態では、追加のアクセスコントロール情報が認識された各デバイスと関連付けられる。追加のアクセスコントロール情報は、時間、場所、および、ユーザデバイスと関連付けられる多様な他の属性、の少なくとも一に基づいて、有効なユーザデバイスを指定するために使用される。有効な携帯電話ユーザデバイスのためのユーザデバイス情報は、携帯電話ネットワークデバイス識別子、携帯電話番号、携帯電話ユーザデバイスの許可されたアクセス時間等を含むが、これらに限定されない。ユーザデバイス情報が決定された後、制御はユーザ情報が決定されるステップS600に進む。
本発明による多様な実施形態では、ユーザ情報は、所有者のサードパーティインジケータに基づいて暗示される。すなわち、電話会社の携帯電話所有者情報は、携帯電話デバイスの所有者が現在のユーザであることを推論するために使用される。しかしながら、多様な他の実施形態では、ユーザは、ログインキーシーケンス、スマートカード等を使用して明示的に決定される。ユーザ情報が決定された後、制御はステップS700に進む。
ステップS700では、ゲストデバイスと物理キーとの提案された動的関連付けが、第二のチャネルを介してユーザデバイスによって確認される。例えば、ある例示的な実施形態では、動的関連付けの確認はユーザのオフィスの電話からの電話発呼によって行われる。
発呼者ID情報は、ユーザについてのアクセスコントロールリストと比較されると、オフィスの電話が有効なユーザデバイスであるか否かを示す。ユーザデバイス情報は、代わりに、ユーザの声紋プロファイルを決定するか、または、選択するために使用される。課題(challenge)質問がオプションでユーザに提示され、回答が分析される。回答の内容および回答の声紋特性がユーザについて記憶されている情報に一致すると、ゲストデバイスとの提案された動的関連付けが確認される。次に、ゲストデバイスは識別されたユーザと関連付けられたサービスを受けるために認証される。提案された動的関連付けが確認された後、制御はステップS800に進む。
ステップS800で、ゲストデバイスはユーザと関連付けられている情報およびサービスの少なくとも一方に対するアクセスを許可される。例えば、ホテルの環境ではゲストデバイスはホテルのテレビである可能性がある。ゲストテレビおよび埋め込まれているメディアプレーヤによるユーザインターアクションは、あたかもそれらがユーザの家のテレビで始まったかのように動作する。データサービスによって提供され、ゲストデバイスによってサポートされるあらゆるインタラクティブ機能がサポートされる。したがって、インタラクティブインターネットプロトコル(IP)テレビは物理キーのコンタクトレスコネクタまたはコンタクトベースコネクタを介して可能とされるか、ゲストテレビの中に埋め込まれる。または、物理キーのコンタクトレスコネクタまたはコンタクトベースコネクタを介して可能とされ、かつ、ゲストテレビの中に埋め込まれる。ユーザインターアクションセッションの後およびユーザインターアクションセッションの間の少なくとも一方において、制御は動的関連付けが終了されるべきか否かを判断するためにステップS900に進む。
動的関連付けセッションはユーザログオフシーケンス、タイムアウト、プログラムなどによって、終了する。動的関連付けの終了はユーザと関連付けられている情報とサービスとへのアクセスについてゲストデバイスを認証から切り離す(de−authenticates)。例えば、ある実施形態では、動的関連付けはログオフシーケンス等を使用して明示的に終了されるまで続行する。他の例示的な実施形態では、動的関連付けは、物理キーが存在し、セッション検証子を動的認証システムに伝えている間だけ続行する。本発明によるさらに他の例示的な実施形態において、セッション識別子が第二のチャネルまたは通信リンクで動的認証のためにユーザデバイスとシステムの間で伝えられてよいことは明らかであろう。
本発明によるさらに他の実施形態では、セッション識別子、クッキー等が物理キーに発行され、多様な時間間隔で検証される。物理キーと関連付けられたゲストデバイスとの間の動的関連付けを切断すると、セッション識別子をセッション検証のためにアクセスできないようにする。動的関連付けは、ポートまたはレセプタクルとのコンタクトから物理キーを引き抜くことによって切断されてよい。コンタクトレスコネクタを使用して確立された動的関連付けは、キーの「コンタクト切断」ボタンを使用すること、ゲストデバイスの検知範囲から物理キーを取り去ること、等で終了される。しかしながら、動的関連付けを終了する、または、切断する多様な公知のまたは今後開発される方法が本発明の範囲から逸脱することなく使用されてよいことは明らかでなければならない。動的認証システムは、検証されないセッションを終了し、ゲストデバイスを書き換える、認証から切り離す、の少なくとも一方を行う。セッションが検証された後、制御はステップS800にジャンプし、ユーザ情報へのアクセスは続行する。ステップS800〜S900は、ステップS900においてセッションが終了されるべきであると判断されるまで繰り返される。次に制御はステップS1000に進み、プロセスが終了する。
図3は本発明による例示的な動的認証システム100である。動的認証システム100は、メモリ20、プロセッサ30、ユーザデバイス決定回路(手段)40、ユーザ確認回路(手段)50、ゲストデバイス決定回路(手段)60、デバイス関連付け決定回路(手段)70、および、オプションで変換回路(手段)80を含む。各々は、入出力回路(手段)10に接続されており、通信リンク99を介して、パーソナルコンピュータゲストデバイス301、物理キー401、携帯電話ユーザデバイス501、音声、ビデオ、テキスト、および他のドキュメント1000〜1002を含む情報リポジトリ200に接続されている。
ユーザはパーソナルコンピュータゲストデバイス301の検知距離内にユーザの物理キーを配置する、あるいはパーソナルコンピュータゲストデバイス301のレセプタクルに物理キー401を差し込むことによって、ゲストデバイスとの提案されている関連付けを生成する。例えば、IEEE1394通信リンクをサポートする物理キー401は、パーソナルコンピュータゲストデバイス301のIEEE1394ポートに差し込まれる。物理キー401およびパーソナルコンピュータゲストデバイス301の少なくとも一方は第一のチャネル上で提案された動的関連付けについての情報を動的認証システム100の入出力回路10に送信する。
プロセッサ30は、MACアドレス、IPアドレス、電話装置識別子、またはパーソナルコンピュータゲストデバイス301と関連付けられる他の識別子を識別するためにゲストデバイス決定回路60を起動する。例えば、パーソナルコンピュータゲストデバイス301が提案された動的関連付け情報を転送する実施形態では、インターネットプロトコル(IP)アドレスは受信された情報パケット内に含まれている。代わりとして、物理キーが動的認証システム100に通信リンクを提供する場合、ゲストデバイスはアクセスされ、物理キーと関連付けられるIPアドレスまたは識別子と照合して認証される。しかしながら、ゲストデバイスと関連付けられる識別子を送信する任意の公知のまたは今後開発される方法は本発明の実践で使用されてよいことが明らかでなければならない。
プロセッサ30はデバイス関連付け決定回路70を起動する。デバイス関連付け決定回路70は提案されている関連付けにより示される物理キー401と関連付けられたユーザを決定する。物理キー401は物理キー識別子によって識別され、携帯電話ユーザデバイス501と関連付けられる。本発明による多様な例示的な実施形態では、ユーザデバイスおよびユーザの少なくとも一方は代わりにアクセスコントロールリストと関連付けられている。アクセスコントロールリスト(MAC、IPおよび他のデバイス識別子のアクセスコントロールリスト)は物理キーと関連付けることのできる有効なデバイスのプールを制限する上で有効である。多様な他の実施形態では、アクセスコントロールリストは、時刻、場所および多様な他の属性の少なくとも一、アクセスパターンまたは特徴に基づいて認証を制御するために使用される。
プロセッサ30は、携帯電話ユーザデバイス501が物理キー401と関連付けられていることを検証するためにユーザデバイス決定回路40を起動する。プロセッサ30は、携帯電話ユーザデバイス501が一または複数のユーザ特定アクセスコントロールリストに基づいて有効であることも検証してよい。例えば、ユーザ特定アクセスコントロールリストは就業時間中に企業ドメインと関連付けられるすべてのIPアドレスを認証する。これに対し、ユーザのホームネットワーク内のデバイスと関連付けられるIPアドレスはつねにアクセスのために認証される。いくつかのネットワークによって提供される地理情報は、許容できる使用パラメータにデバイスアクセスを適合させるために使用される。
次にユーザ確認回路50が起動される。ある実施形態では、ユーザ確認回路50はカウントダウンタイマを起動する。ゲストデバイスと物理キーとの間の提案されている関連付けの確認はカウントダウンタイマによって指定される間隔の間に第二のチャネル上で受信されなければならない。提案されている動的関連付けの有効な確認が受信されると、パーソナルコンピュータゲストデバイス301は、音声、ビデオ、およびテキストの少なくとも一の情報を含むユーザの個人情報リポジトリ200へアクセスするために、プロセッサ30によって認証される。
多様な例示的な実施形態では、プロセッサ30はオプションの変換回路80を起動する。オプションの変換回路80はユーザデジタル情報にコピープロテクトをかけること、ウォーターマークを入れること、および、それ以外の方法で、ユーザデジタル情報をプロテクトされたデジタル資産に変換すること、の少なくとも一を行う。プロテクトされたデジタル資産は次にパーソナルコンピュータゲストデバイス301に転送される。物理キー401のコード、ルーチン、または回路は、プロテクトされたデジタル資産をユーザのアクセスのために復号する。プロテクトされた資産が不注意にパーソナルコンピュータゲストデバイス301に残されても、変換されたデジタル資産は物理キー401なしには使用できない。
さらに他の例示的な実施形態では、プロテクトされたデジタル資産の復号または解読はセッション識別子の検証を必要とする。さらに、ユーザが物理キー401を紛失したとしても、プロテクトされている資産に対するアクセスはユーザとの関連付けから物理キー401を削除することによって否定される。有効なセッション識別子が返されない。このようにして、ユーザは情報の制御を失うリスクを冒さずにユビキタスデバイスで個人情報および他の情報の少なくとも一を見ることができる。本発明による多様な実施形態では、動的認証システムは、情報リポジトリ、デジタルライブラリ、ウェブサーバ等の中に埋め込まれてもよいし、ラップトップ型コンピュータまたは他のゲストデバイスの中に埋め込まれてよいし、通信リンク99を介してアクセス可能な任意のロケーションに配置されてもよいことは明らかであろう。これらは個別になされてもよいし、任意に組み合わされていてもよい。
図3に説明される動的認証システム100の回路10〜80の各々は適切にプログラミングされた汎用コンピュータの部分として実現できる。代わりに、概略された動的認証システム100の回路10〜80はASIC内の物理的に別個のハードウェア回路として、あるいはFPGA,PDL、PLAまたはPALを使用して、あるいは離散的論理素子または離散的回路構成要素を使用して実現できる。概略された動的認証システム100の回路10〜80の各々が採る特定の形式は設計上の選択であり、当業者にとって明らかかつ予測可能であろう。
さらに、動的認証システム100および前述された多様な回路の各々の少なくとも一は各々プログラミングされた汎用コンピュータ、特殊目的コンピュータ、マイクロプロセッサ等で実行するソフトウェアルーチン、マネージャ、またはオブジェクトとして実現できる。この場合、動的認証システム100および前述された多様な回路の各々の少なくとも一は、各々サーバに常駐するリソース等として通信ネットワークに埋め込まれている一または複数のルーチンとして実現できる。動的認証システム100および前述された多様な回路も動的認証システム100を、ウェブサーバまたはクライアントデバイスのハードウェアシステムおよびソフトウェアシステムなどの、ソフトウェアシステムおよびハードウェアシステムの少なくとも一に物理的に組み込むことによって実現できる。
図3に図示されるように、メモリ20は書替可能、揮発性、または不揮発性のメモリ、または書替不可すなわち固定メモリ、の任意の適切な組み合わせを使用して実現できる。書替可能なメモリは、揮発性であるか、不揮発性であるかに関係なく、スタティックまたはダイナミックRAM、フロッピー(登録商標)ディスクおよびディスクドライブ、書込可能または書替可能な光ディスクおよびディスクドライブ、ハード(ディスク)ドライブ、フラッシュメモリ等のいずれか一または複数を使用して実現できる。同様に、書替不可すなわち固定メモリは、ROM、PROM、EPROM、EEPROM、CD−ROMまたはDVD−ROMディスクなどの光ROMディスクおよびディスクドライブ等のいずれか一または複数を使用して実現できる。
図1および図3に図示される通信リンク99の各々は、直接ケーブル接続、ワイドエリアネットワークまたはローカルエリアネットワークを介しての接続、イントラネットを介しての接続、インターネットを介しての接続、または任意の他の分散処理ネットワークまたはシステムを介しての接続を含む、通信装置を動的認証システム100に接続するための任意の公知のまたは今後開発されるデバイスまたはシステムであってよい。一般的には、通信リンク99は、装置を接続し、通信を容易にするために使用可能な任意の公知のまたは今後開発される接続システムまたは構造である場合があってよい。
さらに、通信リンク99は、ネットワークへのワイヤードリンクまたはワイヤレスリンクであってよいことが理解されなければならない。ネットワークはローカルエリアネットワーク、ワイドエリアネットワーク、イントラネット、インターネットまたは任意の他の分散処理記憶ネットワークであってよい。
図4は、本発明による第一の関連付け1100を記憶するための例示的なデータ構造を示す。第一の関連付け1100を記憶するための例示的なデータ構造は、ユーザ識別子部分1110、ユーザデバイス識別子部分1120、物理キー識別子部分1130、およびゲストデバイス識別子部分1140を含む。
第一の行はユーザ識別子部分1110内に値「GLTHIONE123」を含んでいる。この値は動的認証システムに対しユーザを一意に識別する。ユーザ識別子値はeメールアドレスなどのグローバル識別子であってもよいし、ローカル識別子であってもよいし、ユーザをシステムに対して一意に識別する任意の他の情報であってよい。
関連付け1100を記憶するためのデータ構造のユーザデバイス識別子部分1120は、値「PL87D5HJ7N」を含む。この値は動的認証システムに対してユーザデバイスを一意に識別する。ユーザデバイス識別子値は、MACアドレス、動的または静的なインターネットプロトコル(IP)アドレス、および、ユーザデバイスをシステムに一意に識別する上で有効な任意の他の公知のまたは今後開発される識別子の少なくとも一であってよい。
例えば、ユーザデバイスは携帯電話、通信可能パーソナルデジタルアシスタント(PDA)、紙ベースのバーコード、無線IC(RFID)タグ、および、物理キーとゲストデバイスとの間の提案された関連付けを動的に確認できる、任意の公知のまたは今後開発されるデバイスの少なくとも一を含むが、これらに限定されない。
物理キー識別子部分1130は値「34FCG876543212H」を含む。この値はシステムに対し物理キーを一意に識別する。物理キー識別子値は、MACアドレス、IPアドレス、電話装置ネットワーク識別子、および、物理キーを識別できる他の公知のまたは今後開発される識別子の少なくとも一である。物理キーは、コンタクトベースコネクタまたはコンタクトレスコネクタを介してゲストデバイスに接続する。多様な例示的な実施形態では、コンタクトベースコネクタはユニバーサルシリアルバス(USB)、メモリスティック(Memorystick)、スマートメディア(Smart Media(登録商標))、コンパクトフラッシュ(登録商標)(Compact Flash)、マルチメディアカード(Multi Media Card)、セキュアデジタルカード(Secure Digital Card)、XD−ピクチャカード(XD−Picture Cards)、シリアルコネクタまたはパラレルコネクタ等に基づいている。コンタクトレスコネクタは、RFID、ブルートゥース(Bluetooth)、赤外線、ワイファイ(WiFi)、ワイマックス(WiMax)、および、物理的な接続を必要としない公知のまたは今後開発される任意の種類のコネクタに基づくことができる。
物理キーはゲストデバイス間で動的関連付けを提案するために使用される。したがって、ある例示的な実施形態では、ユーザが携帯するコンタクトレス物理キーが第一の通信チャネルを介して動的認証システムに提案される動的関連付けを伝える。第一のチャネルまたは通信リンクはイーサネット(登録商標)(Ethernet(登録商標))、ブルートゥース(Bluetooth)、ワイファイ(WiFi)、ワイマックス(WiMax)、および、本発明の範囲から逸脱しない任意の他の種類の通信媒体の少なくとも一であってよい。動的認証システムが利用する該システムへの第一のチャネルもしくは通信リンクは、ゲストデバイスにおいて直接的に利用可能である通信リンク、および、物理キーに埋め込まれている、あるいは、物理キーを介して利用可能である通信リンク、の少なくとも一であってよい。
ゲストデバイスと物理キーとの間の提案された関連付けは第二の通信チャネルを介して確認される。動的認証システムはユーザと関連付けられるサービスおよびデバイスの少なくとも一方へのアクセスのためにゲストデバイスを認証する。多様な実施形態では、動的認証システムは個人情報リポジトリに直接的に認証メッセージを転送する。しかしながら、さらに他の実施形態では、認証サービスがプロキシとして働き、個人情報リポジトリへのアクセスを直接的に仲介することは明らかであろう。
例えば、ある実施形態では、動的認証システムはホテルの三菱(Mitsubishi)WD−52725テレビをゲストデバイスとして認証するために使用される。ゲストデバイスはユーザの個人情報リポジトリからストリーミングされるバケーションのビデオへのアクセスを受け取る。ユーザの物理キーとホテルのテレビとの間の提案されている関連付けはIEEE−1394ベースの物理キーを三菱WD−52725テレビゲストデバイス上のIEEE−1394相互接続の中に差し込むことによって確立される。物理キーは埋め込まれたワイファイ(WiFi)通信リンクも含む。物理キーは、動的認証システムに対する、ホテルの室内ワイファイ(WiFi)システム上での通信リンクを確立し、物理キーとホテルのテレビとの間の提案されている関連付けを送信する。
ゲストデバイス識別子部分1140は値「G65DREWSQ34678」を含む。値はゲストデバイスと関連付けられた一意のデバイス識別子を示す。ゲストデバイスが通信可能である場合、ゲストデバイス識別子の値はMAC、IPまたは他の識別子であってよい。通信リンクが物理キーに埋め込まれている他の実施形態では、ゲストデバイス識別子はデバイスモデル番号、製造メーカ、および、物理キーのネットワークアドレスと関連付けられる他の識別子の少なくとも一に基づいてよい。したがって、ワイファイ(WiFi)がイネーブルされた物理キーを介してのみアクセス可能である三菱WD−52725テレビはゲストデバイス識別子「192.168.1.32:001.WD−52725.TV.mitsubishi.com」を割り当てられる。これは、非ルータブルアドレス「192.168.1.32」によりアクセス可能な物理キーがテレビ装置に対する通信を代理する、または、仲介することを示している。
次にユーザはホテルのテレビと物理キーとの間の関連付けを確認するためにユーザ関連付け携帯電話を介して動的認証システムを呼び出す。動的認証システムは、ユーザ、ユーザデバイスおよび物理キーの間の予め記憶されている関連付けを検証する。動的認証システムはユーザの個人情報リポジトリへのアクセスのためにホテルテレビゲストデバイスを認証する。これにより、動的認証システムおよび物理キーは動的に使用可能なユーザの個人サービスおよび情報の少なくとも一方へのユビキタスアクセスを提供する。
図5は、本発明による物理キー情報1200を記憶するための例示的なデータ構造である。データ構造は物理キー識別子部分1210と、ユーザ(所有者)部分1220と、パスワード部分1230と、共有秘密部分1240と、最終関連付け時間部分1250と、最終場所部分1260と、を含む。
第一の行の物理キー識別子部分1210は値「19876」を含む。この値は、動的認証システム内で物理キーを一意に識別する。物理キー識別子はMACアドレス、インターネットプロトコル(IP)アドレス、および、物理デバイスを一意に識別できる任意の他の識別子の少なくとも一に基づいてよいことが明らかであろう。
ユーザ部分1220は値「GLTHIONE1」を含む。この値はキー所有者のユーザ識別子を示す。ユーザ識別子はインターネットeメールアドレスまたは動的認証システムに対しユーザを一意に識別する任意の他の識別子であってよい。
物理キー情報のためのデータ構造のパスワード部分1230は値「BIOMETRIC.VOICE(生体測定.ボイス)」を含む。この値はユーザを認証するために使用される声紋および課題質問のオプションのセットを示す。
オプションの共有秘密部分は、物理キー、動的認証システム、およびユーザの個人情報リポジトリおよびサービスの少なくとも二の間の通信をオプションで暗号化するために使用される秘密の複製を反映する値「A1 3B 24 6B 7B 2D」を含む。多様な他の実施形態では、本発明の範囲から逸脱することなく公開鍵暗号手法等も使用できることが明らかであろう。
最終関連付け時間部分1250はゲストデバイスとの最後の動的関連付けの時刻を含む。したがって、値「30/12/2004:12:01:05」は最後のゲストデバイスが2004年12月30日、12:01:05UTC(協定世界時)に物理キーおよびユーザサービスと動的に関連付けられていたことを示している。最終関連付け時間は、ユーザの物理キーの複製に基づいて提案される関連付けのリスクを削減するためにオプションで使用される。例えば、物理キーが盗まれるか、または、複製されても、新しい動的関連付けに制約を課すことができる。ある実施形態では、ユーザ確認は提案された動的関連付けの後60秒内に受信されなければならない。提案されている動的認証のタイミングも既知でなければならないため、これにより、関連付けられているユーザデバイスを使用せずに盗まれた物理キーを使用することは困難になる。地理的な制限、所有者、使用パターン等の他の制約も物理キーまたはユーザにより有効なゲストデバイスのグループを制約するために使用されてよいことが明らかであろう。さらに、通常の使用外で繰り返される提案済みの認証等によって物理キーの盗難が検出されると、物理キーはユーザとユーザデバイスとの関連付けから削除され、物理キーを動作不能にする。
複製された物理キーは動的関連付けを提案するために使用できるが、有効なユーザデバイスが該提案された関連付けを確認することを必要とする。最終関連付け値に基づいたタイマは、最終位置部分1260の値とともに、短期間の内に、または、大きく離れた位置から、もしくは、短期間の内に、かつ、大きく離れた位置から、複数回試される物理キー認証を検出する上で有効である。例えば、例示的な値「PALO ALTO CA USA」は第二の物理キーアクセスに関連付けられる地理的な位置および時間と比較される。物理的な位置が大きく離れ、提案されていた関連付けが時間的に近い場合には、物理キーは非活性化される。
第二の行は値「19877」、「GLTHIONE1」、「BIOMETRIC(生体測定).FINGERPRINT(指紋)」、「C3 5BC 5E 8A 3F 5E」、「30/12/2006:13:05:06」および「FXPAL.COM」を含む。これらの値は、ユーザ「GLTHIONE1」が「19877」という物理キー値と関連付けられ、生体測定指紋が記録され、ユーザを検証するために使用できることを示している。指定された共有秘密値は転送された情報を暗号化するために使用できる。最終関連付け時間部分1250および最終位置部分1260の値は物理キーの使用のパターン外れを識別する上で有効である。
最終行は値「19801」、「JTREVOR112」、「BIOMETRIC(生体測定).FINGERPRINT(指紋)」、「F1 5B 74 BB 91 ED」、「30/12/2004:14:31:26」および「PALO ALTO,CA USA」を含む。これらの値は、ユーザ「JTREVOR112」が「19801」という物理キー値と関連付けられていることを示す。生体測定指紋は、ユーザを検証するために使用でき、共有秘密値は転送される情報を暗号化するために使用できる。最終関連付け時間部分1250と最終位置部分1260の値とは物理キー使用パターンのバリエーションを検出するために使用できる。
図6はアクセスコントロール情報1300を記憶するための例示的なデータ構造である。アクセス制御情報1300を記憶するためのデータ構造はデバイス識別子部分1310と、デバイスアドレス部分1320と、ユーザ部分1330と、開始部分1340と、終了部分1350と、位置部分1360と、を含む。
アクセスコントロール情報1300を記憶するための例示的なデータ構造の第一の行はデバイス識別子部分1310に値「1234」を含む。この値は動的認証システム内でデバイスを一意に識別する。
デバイスアドレス部分1320の値「IP:TELEVISION1.GLTHIONE1.COMCAST.COM」は、ネットワーク内の指定されたデバイスのアドレスを反映する。デバイスアドレスは静的インターネットプロトコルアドレスのような静的アドレス、アドレスラベル、ドメイン名のようなエイリアス等を反映してよい。
ユーザ部分1330内の値「GLTHIONE1」はデバイスの承認されたユーザを反映する。いくつかの実施形態では、ユーザ部分の値はデバイスの所有者を反映する。例えば、携帯電話所有者は一般的にはつねにデバイスを使用することを承認されている。しかし、携帯電話が紛失された場合、ユーザ部分1330の情報を更新することによって、提案された動的認証を確認することを禁じられた無効デバイスであることを示す。
開始部分1340の値「WEEKDAYS(平日)08:00:00」は、デバイスの有効性期間の開始を反映する。したがって、値は、デバイス有効性が平日の毎日午前8:00に開始することを示す。同様に、終了部分1350の「WEEKDAYS17:00:00」値はデバイスの有効性期間の終了を示す。したがって、デバイスは、毎平日の午前8:00〜午後5:00UTCの間、有効なアクセスが可能である。
位置部分1360の中の値「PALO ALTO,CA USA」は、デバイスの有効なアクセス位置を含む。いくつかのケースでは、インターネットプロトコルアドレスおよび他のネットワーク識別子の少なくとも一方は発信元の地理的な表示を提供する。これらのケースでは、位置部分1360の値は指定位置から発信されるデバイスへのアクセスを制約するために使用される。本発明による多様な他の例示的な実施形態では、位置情報は緯度・経度および任意の公知のまたは今後開発される地理情報または位置識別情報の少なくとも一を使用して符号化される。
第二の行は値「2345」、「TELEPHONE:14155551212」、「GLTHIONE1」、「*/*/* 12:00:00」、「*/*/* 12:59:01」および「*」を含む。これらの値は、デバイス「2345」として識別される415−555−1212の電話装置がユーザ「GLTHIONE1」と関連付けられていることを示す。電話装置は、それぞれ開始部分1340と終了部分1350の値とによって示されるように、毎日12:00:00UTCに開始し、12:59:01UTCまで続行するアクセスに有効である。デバイスは「*」(ワイルドカード文字)によって示されるように任意の位置からのアクセスに有効である。
下から二行目の行は、値「1099」、「TELEPHONE:16505551212」、「JTREVOR112」、「*/*/* 12:00:00」、「*/*/* 12:59:01」および「*」を含む。これらの値は、デバイス「1099」として識別される650−555−1212の電話装置がユーザ「JTREVOR112」と関連付けられていることを示す。電話装置は、開始部分1340および終了部分1350によって示されるように、毎日12:00:00に開始し、12:59:01UTCまで続行するアクセスに有効である。デバイスは任意の位置からのアクセスに有効である。
最後の行は値「1234567890」、「MAC:F1−5B−74−BB−91−ED」、「JTREVOR112」、「30/12/2004 14:31:26」、「30/12/2004 15:31:26」および「CA USA」を含む。これらの値は、「1234567890」として識別されるデバイスアドレス「MAC:F1−5B−74−BB−91−ED」でアクセス可能なデバイスがユーザ「JTREVOR112」と関連付けられることを示す。デバイスは開始部分1340により示されるように2004年12月30日、14:31:26UTCに開始し、終了部分1350により示されるように2004年12月30日、15:31:26UTCまで続行するアクセスに有効である。デバイスはUSAのカリフォルニア州のみからのアクセスに有効である。
図7は本発明による情報の流れの例示的な概要である。物理キー402のユーザはゲストデバイス302の検知距離内に物理キー402を配置する。例えば、ゲストデバイス302は、物理キーに埋め込まれているRFIDタグを検出することによって提案されている関連付けを検知してよい。代わりに、物理キー402がゲストデバイス302の存在を検知してもよい。物理キー402上のオプションのキースイッチは、ゲストデバイスとの提案されている動的関連付けを能動的に受け入れることおよび拒絶すること、の少なくとも一方を行うために使用可能である。他の実施形態では、USB、IEEE1394、メモリスティック(Memorystick)、SDカード、シリアルポートコネクタおよびパラレルポートコネクタ等に基づいたゲストデバイス302への物理キー402の物理的な結合が物理キー402との提案されている動的関連付けを示すために使用される。
提案されている関連付けは第一のチャネルまたは通信リンクを解して動的認証システム100に伝えられる。第一のチャネルはゲストデバイスと関連付けられるか、あるいは、物理キー402によって提供されてよい。例えば、ホテルのテレビ装置はインターネットにホテルのネットワークを介して接続されてよい。デバイスがホテルのネットワークを使用できる場合、提案されている関連付けはホテルのネットワーク−インターネット通信リンクを介して送信されてよい。しかし、ホテルのネットワークが使用不可能な場合および/またはアクセス不可能な場合には、物理キーはワイファイ(WiFi)、ワイマックス(WiMax)、GPRSまたは物理キー402の中に内蔵される他の通信媒体を介して通信リンクを提供してよい。
ユーザデバイス502は、第二の通信リンクを介して提案された関連付けを確認する。ユーザデバイス502は携帯電話、ブラックベリー(Blackberry)デバイス、および第二の通信チャネルを介して提案された関連付けを確認するために使用可能な任意の他の種類のユーザデバイスの少なくとも一であってよい。動的認証システム100は有効なユーザデバイスのグループを調整するためにオプションのアクセスコントロールリストを使用する。該グループからコンファメーションは受信される。さらに、本発明による多様な他の実施形態では、ユーザデバイスへのコールバックを起動することによりセキュリティが強化される。
動的認証システム100は、ゲストデバイス302と物理キー402との間の提案された関連付けを受け取る。物理キー402および物理キー402についての情報の少なくとも一方は物理キー402と関連付けられるユーザを識別するために使用される。次にユーザと関連付けられる有効なユーザデバイスが決定される。第二のチャネルでコンファメーションを生成するユーザデバイス502は、物理キー402と関連付けられる有効なユーザデバイスのリストに照合される。ユーザデバイス502が有効なユーザデバイスである場合、オプションの認証メッセージはホームポータルまたはゲートウェイ600を介してユーザの個人情報リポジトリ200に送信される。
多様な他の実施形態では、他のデータサービスまたはユーザと関連付けられる情報リポジトリが認証メッセージを受信する。認証メッセージは物理キー402と動的に関連付けられているゲストデバイス302を介してユーザのバケーションビデオ1404へのアクセスを許可するために使用されてよい。本発明による多様な他の実施形態では、多様な他の種類の情報、サービスおよびデバイスへのアクセスの少なくとも一も本発明の範囲から逸脱することなく提供されてよいことが明らかになるであろう。
ホテルのテレビであるゲストデバイス302を介したユーザアクセスが許可された後、ユーザはあたかも自分の家庭のテレビの前にいるかのようにホテルのテレビを操作してよい。すなわち、音量および他の制御スイッチがホテルのテレビの制御スイッチにマッピングされる。このようにして、ユーザはホテルの部屋の中でユビキタスに使用可能なデバイスで要求された情報を見ることができる。さらに、既存のテレビ装置のユーザインタフェースは再マッピングされる必要がない。
図8は本発明による例示的な動的認証システム100の使用の第一の概要である。物理キー403のユーザは音声ゲストデバイス303との動的関連付けを提案する。ユーザは音声ゲストデバイス303の検知距離内に物理キー403を配置することにより関連付けを提案する。提案された関連付けは動的認証システム100に第一の通信チャネルを介して伝えられる「P_ASSOC(AUDIO(音声),PHYSICAL−KEY(物理キー))」。次にユーザは第二の通信チャネルを介して提案された関連付けを確認する「CONFIRM(P_ASSOC(AUDIO,PHYSICAL−KEY))」。第一の通信チャネルと第二の通信チャネルが同じ通信リンクを利用してもよいし、その場合、異なる暗号化機構または符号化機構、異なる時間を用いてもよいし、あるいは、異なる通信媒体を使用してよいことが明らかであろう。
多様な他の実施形態では、ゲストデバイスおよびユーザデバイスの識別子の少なくとも一方はアクセスコントロールリストと照合して認証される。アクセスコントロールリストは提案されている関連付けの候補(candicacy)からデバイスのグループを認証する、または、排除する上で有効である。アクセスコントロールリストは企業、作業グループと関連付けられるサブネットまたは任意の他の識別可能なグループと関連付けられるすべてのデバイスを認証するために使用されてよい。代わりに、ユーザのホームネットワークと関連付けられるインターネットプロトコルアドレス空間の部分がアクセスのために認証されてよい。
動的認証システム100は提案されている動的関連付けのコンファメーションを受け取る。動的認証システム100はユーザの個人情報リポジトリ200から情報を受け取るために音声ゲストデバイス303を認証する。例えば、ユーザの物理キーと関連付けられる、ネットワーク使用可能媒体アダプタ型の音声ゲストデバイスは、ユーザの情報リポジトリからMP−3ファイルなどのデジタル音声資産を受け取る。デジタル音声資産はオプションでコピープロテクション変換、ウォーターマーク等を使用してプロテクトされる。これによりユーザは、情報を適切に守る一方でユビキタスに使用可能なデバイスでデジタル資産を使用できる。
本発明による多様な他の例示的な実施形態では、低電力のFM送信機とワイファイ(WiFi)接続が物理キーに埋め込まれる。この実施形態では、物理キーはFMまたは他の無線からユーザのデジタル音声ファイルへのアクセスを可能にするために使用できる。これによりユーザは、ワイファイ(WiFi)または他の通信リンクが使用できる任意の位置に、ユーザの個人音声コレクションにアクセスしながら移動できる。
図9は、本発明による例示的な動的認証システム100の使用の第二の概要である。物理キー404のユーザはカメラゲストデバイス304との関連付けを提案する。ユーザはカメラゲストデバイス304の検知距離範囲内に物理キー404を配置することにより動的関連付けを提案する。提案された関連付けは動的認証システム100に第一の通信チャネルを介して伝えられる(「P_ASSOC(CAMERA(カメラ),PHYSICAL−KEY(物理キー))」)。ユーザは第二の通信チャネルを介して提案された関連付けを確認する(「CONFIRM(P_ASSOC(CAMERA,PHYSICAL−KEY))」)。第一の通信チャネルと第二の通信チャネルとが同じ通信リンクを利用してもよいし、その場合、異なる暗号化機構または符号化機構、異なる時間を使用してもよく、あるいは、異なる通信媒体を使用してもよいことが明らかであろう。
多様な他の実施形態では、ゲストデバイスおよびユーザデバイスの識別子の少なくとも一方がアクセスコントロールリストに照合して認証される。アクセスコントロールリストは提案されている関連付けに対する候補(candidacy)からデバイスのグループを認証するまたは排除する上で有効である。アクセスコントロールリストは、企業、作業グループと関連付けられるサブネットまたは任意の他の識別可能なグループと関連付けられるすべてのデバイスを認証するために使用されてよい。代わりに、ユーザのホームネットワークと関連付けられるインターネットプロトコルアドレススペースの部分がアクセスのために認証される。
動的認証システム100は提案されている関連付けのコンファメーションを受け取る。動的認証システム100はユーザの個人情報リポジトリ200から情報を受け取るためにカメラゲストデバイス304を認証する。例えば、ユーザはカメラゲストデバイス304のUSBまたはSDカードスロットの中に物理キー404を入れることによって友人のカメラを借りてよい。
ある例示的な実施形態では、物理キーはワイファイ(WiFi)、GPRSまたは他の通信リンクも含む。カメラゲストデバイス304を用いて写真を撮った後、デジタル写真はカメラゲストデバイス304に保存される。記憶された写真は後でユーザの情報リポジトリと同期される、あるいは、物理キーに埋め込まれているWiFi、GPRS、または他の通信媒体を介して送信される。通信可能カメラの通信リンクが、本発明の範囲から逸脱することなく使用されてもよいことが明らかとなるであろう。デジタル写真資産はコピープロテクション変換、ウォーターマーク等を使用してオプションでプロテクトされる。これによりユーザは情報を適切に守る一方でユビキタスに使用可能なデバイスでデジタル資産を使用できる。
図10は、本発明による例示的な動的認証システム100の使用の第三の概要である。物理キー404のユーザはデジタル画像処理装置305との関連付けを提案する。ユーザは、デジタル画像処理装置305の感知距離の範囲内に物理キー404を置くことにより関連付けを提案する。提案された関連付け「P_ASSOC(IMAGE−PROCESSOR(画像処理装置),PHYSICAL−KEY(物理キー))」は動的認証システム100に第一の通信チャネルを介して伝えられる。
ユーザは第二の通信チャネルを介して提案された関連付けを確認する(「CONFIRM(P_ASSOC(IMAGE−PROCESSOR,PHYSICAL−KEY))」)。第一の通信チャネルと第二の通信チャネルとは同じ通信リンクを使用してよいが、異なる暗号化機構または符号化機構、異なる時間を使用してよく、あるいは異なる通信媒体を使用してよいことが明らかとなるであろう。
動的認証システム100は提案された関連付けのコンファメーションを受け取る。動的認証システム100はユーザの個人情報リポジトリ200から情報を受信するためにデジタル画像処理装置305を認証する。例えば、ユーザの物理キー404と関連付けられるデジタル画像処理装置は借用されたゲストカメラからアップロードされるデジタルフィルムまたは写真を受信する。借用されたゲストカメラで撮影されたデジタル写真はユーザの個人情報リポジトリ200にアップロードされる。デジタル写真はコピープロテクション変換、ウォーターマーク等を使用してオプションでプロテクトされる。これによりユーザは情報を適切に守る一方でユビキタスに使用可能なデバイスでデジタル資産を使用できる。
認証されたデジタル画像処理装置(ゲストデバイス)305は、ユーザの個人情報リポジトリ200からデジタル写真をリトリーブする。写真は次に高品質写真デジタル画像プロセッサで印刷される。ユーザは不必要に待機せずに所望される高品質の写真印刷を得ることができる。デジタル画像プロセッサは、デジタル画像プロセッサをジョブのセルフサービス的な性質のためにより低いオーバーヘッドでより高いキャパシティで実行させておくことができる。
図11は、本発明による例示的な動的認証システム100の使用の第四の概要である。物理キー404のユーザはテレビゲストデバイス306との関連付けを提案する。ユーザはテレビ(音声)ゲストデバイス306の検知距離範囲内に物理キー404を置くことによって関連付けを提案する。提案された関連付け「P_ASSOC(TELEVISION(テレビ),PHYSICAL−KEY(物理キー))」は、第一の通信チャネルを介して動的認証システム100に伝えられる。ユーザは、第二の通信チャネルを介して提案された関連付けを確認する(「CONFIRM(P_ASSOC(TELEVISION,PHYISCAL−KEY))」)。第一の通信チャネルと第二の通信チャネルは同じ通信リンクを利用してよいが、異なる暗号化機構または符号化機構、異なる時間を用いてよく、あるいは異なる通信媒体を使用してよいことが明らかであろう。
動的認証システム100は提案されている関連付けのコンファメーションを受け取る。動的認証システム100はユーザの個人情報リポジトリ200から情報を受け取るためにテレビデバイス306を認証する。例えば、ユーザの物理キーと関連付けられたネットワーク使用可能テレビゲストデバイスはユーザの情報リポジトリ200からMP−4ファイルなどのデジタルビデオ情報を受信する。デジタルビデオ情報はコピープロテクション変換、ウォーターマーク等を使用してオプションでプロテクトされる。これによりユーザは情報を適切に守る一方でユビキタスに使用可能なデバイスでデジタル情報を使用できる。
図12は、本発明による例示的な動的認証システム100の使用の第五の概要である。物理キー404のユーザはサービス機関ゲストデバイス307との関連付けを提案する。ユーザは、サービス機関(多機能)デバイス307の検知距離範囲内に物理キー404を配置することによって関連付けを提案する。提案された関連付け「P_ASSOC(SERVICE−BUREAU−MULTIFUNCTION−DEVICE(サービス機関多機能デバイス),PHYSICAL−KEY(物理キー))」は動的認証システム100に第一の通信チャネルを介して伝えられる。ユーザは提案された関連付けを第二の通信チャネルを介して確認する(「CONFIRM(P_ASSOC(SERVICE−BUREAU−MULTIFUNCTION−DEVICE,PHYSICAL−KEY))」)。第一の通信チャネルおよび第二の通信チャネルは同じ通信リンクを利用してよいが、異なる暗号化機構または符号化機構、異なる時間を用いてもよく、あるいは異なる通信媒体を使用してよいことが明らかとなるであろう。
動的認証システム100は提案された関連付けのコンファメーションを受け取る。動的認証システム100はユーザの個人情報リポジトリ200から情報を受け取るためにサービス機関の多機能ゲストデバイス307を認証する。例えば、大きな印刷製本ジョブは、情報が生産施設全体においてデジタル形式で残っているためにセルフサービスを介して迅速に促進される。すなわち、ユーザは所望されるオプションを選択し、ユーザの物理キー404を高容量プリンタおよびバインダ(紙とじ機)の少なくとも一方と関連付け、ユーザデバイス500を介して該関連付けを確認しさえすればよい。選択されたドキュメントはデジタル形式で迅速にリトリーブされ、プリンタジョブおよびバインダジョブの少なくとも一方のために適切に変換され、印刷されるか、製本されるか、または、印刷され製本される。オプションの実施形態では、機密ドキュメントは暗号化され、印刷時にのみ復号化される。セッション識別子は、プロテクトされている資産の記憶されているコピーが物理キー404との関連付けでのみアクセスできることを確認するために使用される。印刷および製本ジョブの一方または双方が終了すると、物理キーは削除される。プロテクトされている資産の記憶されているコピーは物理キーに記憶されるセッション識別子がアクセス不可であるためアクセス不可とされる。
図13は本発明による動的認証システム100の使用の第六の例示的な概要である。動的認証システムは情報リポジトリ210、ユーザ携帯電話500、および暗号化ドキュメント1400を含むラップトップ型コンピュータ308に通信リンク99を介して接続される。
暗号化ドキュメントは情報リポジトリ210、物理キー405、および通信リンク99を介してアクセス可能な任意の位置の少なくとも一に記憶されてよい。ユーザは事前のステップで物理キー405と関連付けられる。デジタルライブラリ購読、協働ドキュメントなどのユーザ特定の情報およびサービスの少なくとも一方はユーザの物理キー405と関連付けられている。
ある実施形態では、ラップトップ型コンピュータ300には暗号化ドキュメント1400がロードされる。有効な物理キーを有する協働ユーザが協働ラップトップ型ゲストデバイス308との動的関連付けを提案する。動的関連付けはラップトップ型ゲストデバイス308のUSBレセプタクルの中にUSB物理キー405を挿入することにより生成される。しかしながら、物理キー405とラップトップ型ゲストデバイス308とを関連付ける任意の手段も本発明の実践で使用されてよい。
例えば、USB物理キー405を差し込むと第一のチャネルまたは通信リンクを介して動的認証システムへ提案される動的関連付けの伝達をトリガしてよい。携帯電話ユーザデバイス500は次に第二のチャネルまたは通信リンクを介して提案された関連付けを確認するために使用される。動的認証システムは、ユーザが情報源のリストおよびユーザと予め関連付けられたサービスの少なくとも一方に基づいて暗号化ドキュメント1400をリトリーブすることを許可されていることを検証する。
セッション識別子または一時的なアクセスキーを含む認証メッセージは、ユーザが許可されたユーザでありゲストデバイスが有効なデバイスである場合にはラップトップ308に転送される。セッション識別子は、通常、一時的な期間の間アクセスを可能にする。ラップトップ型コンピュータ308が紛失された場合または盗まれた場合、ラップトップ型コンピュータと関連付けられるデバイス識別子はユーザおよびユーザの物理キーの少なくとも一方と関連付けられた有効なゲストデバイスのリストから削除される。有効なセッション識別子は、盗まれた物理キー405が存在しても、もはや生成できないため、デバイス識別子の削除は、ラップトップ型コンピュータ308上に記憶されている暗号化ドキュメント1400へのアクセスを防止する。暗号化ドキュメントに対するユーザのアクセス権を無効にすること、または、更新すること、もしくは、無効にし、更新すること、は、ユーザ、物理キー、およびユーザデバイス間の予め決定された関連付けを削除すること、または、調整すること、もしくは、削除し、調整することによって達成される。
本発明による多様な他の例示的な実施形態では、暗号化ドキュメントが物理キー405、ラップトップ型コンピュータ308、情報リポジトリ210および通信リンク99を介してアクセス可能な任意の他の場所の少なくとも一に位置してよいことは明らかであろう。
本発明は概略された例示的な実施形態とともに説明されてきたが、多くの代替策、変型および変形が当業者にとって明らかである。したがって、本発明の例示的な実施形態は、本発明を制限することではなく、本発明を例示することを目的としている。本発明の精神および範囲から逸脱することなく多様な変更が加えられてよい。
本発明による例示的な動的認証システムの使用の概要である。 本発明による動的認証の例示的な方法のフローチャートである。 本発明による動的認証の例示的なシステムである。 本発明による第一の関連付けを記憶するための例示的なデータ構造を示す。 本発明による物理キー情報を記憶するための例示的なデータ構造を示す。 本発明によるアクセスコントロール情報を記憶するための例示的なデータ構造である。 本発明による情報の流れの例示的な概要である。 本発明による例示的な動的認証システムの使用の第一の概要である。 本発明による例示的な動的認証システムの使用の第二の概要である。 本発明による例示的な動的認証システムの使用の第三の概要である。 本発明による例示的な動的認証システムの使用の第四の概要である。 本発明による例示的な動的認証システムの使用の第五の概要である。 本発明による例示的な動的認証システムの使用の第六の概要である。
符号の説明
20 メモリ
30 プロセッサ
40 ユーザデバイス決定回路
60 ゲストデバイス決定回路
70 デバイス関連付け決定回路
200 情報リポジトリ
301 通信可能パーソナルコンピュータゲストデバイス
501 携帯電話ユーザデバイス
1000〜1002 ドキュメント

Claims (23)

  1. 動的にゲストデバイスの認証を行なう動的認証方法であって、
    第一のデバイス認証システムによってアクセス可能な記憶手段に、ユーザ、ユーザデバイスおよび少なくとも一つの物理キーの間の関連付けの第一セットを保持し、
    ゲストデバイスを用いた所定のデータおよびサービスの少なくとも一方の利用に先立って、前記ゲストデバイスとユーザの物理キーとの間の動的関連付けの情報であって、該物理キーを特定する情報を含む情報を、第一の通信チャネルを介して受信し、
    受信した前記情報から特定される物理キーに対応する前記ユーザデバイスを、前記関連づけの第一セットに基づいて決定し、
    前記第一の通信チャネルと異なる第二の通信チャネルを通じて、前記動的関連付けに対するユーザの確認を受信し、
    前記ユーザの確認が、前記物理キーに対応する前記ユーザデバイスからのものであるか否かを検証し、
    前記ユーザデバイスからのものであるとの検証がなされた場合に、前記ユーザが前記ゲストデバイスを通じて利用できるデータおよびサービスの少なくとも一方の利用のための認証を行なう
    動的認証方法。
  2. 前記物理キーが通信手段を内蔵しており、
    前記第一の通信チャネルが前記物理キーに内蔵された前記通信手段により提供される、
    請求項1に記載の動的認証方法。
  3. 前記ゲストデバイスが第2の通信手段を内蔵しており、
    前記第一の通信チャネルが前記ゲストデバイスに内蔵された前記第2の通信手段により
    提供される、請求項1に記載の動的認証方法。
  4. 前記第一セットは、前記ユーザデバイスの使用時に利用可能なゲストデバイスに関する
    情報を含み、前記ユーザデバイスと前記ゲストデバイスの関係に基づいて、認証される、
    請求項1に記載の動的認証方法。
  5. ゲストデバイスが、固定電話、ボイスオーバIP電話、パーソナルデジタルアシスタン
    ト、イネーブルされた音楽プレーヤ、無線送信機、デジタルカメラ、ビデオカメラ、パー
    ソナルミュージックプレーヤ、パーソナルビデオプレーヤ、テレビ、プリンタおよびコン
    ピュータ、の少なくとも一である、請求項1に記載の動的認証方法。
  6. 動的にゲストデバイスの認証を行なう動的認証システムであって、
    ユーザ、ユーザデバイスおよび少なくとも一つの物理キーの間の関連付けの第一セットを保持する記憶手段と、
    ゲストデバイスを用いた所定のデータおよびサービスの少なくとも一方の利用に先立って、前記ゲストデバイスとユーザの物理キーとの間の動的関連付けの情報であって、該物理キーを特定する情報を含む情報を第一の通信チャネルを介して受信する第1受信手段と、
    前記第1受信手段で受信される情報から特定される前記物理キーに対応する前記ユーザデバイスを前記関連づけの第一セットに基づいて決定する決定手段と、
    前記第一の通信チャネルと異なる第二の通信チャネルを通じて、前記動的関連付けに対するユーザの確認を受信する第2受信手段と、
    前記ユーザの確認が、前記物理キーに対応する前記ユーザデバイスからのものであるか否かを検証する検証手段と、
    前記ユーザデバイスからのものであるとの検証がなされた場合に、前記ユーザが前記ゲストデバイスを通じて利用できるデータおよびサービスの少なくとも一方の利用のための認証を行なう認証手段と、
    を備える動的認証システム。
  7. 前記物理キーが通信手段を内蔵しており、
    前記第一の通信チャネルが前記物理キーに内蔵された前記通信手段により提供される、
    請求項6に記載の動的認証システム。
  8. 前記ゲストデバイスが第2の通信手段を内蔵しており、
    前記第一の通信チャネルが前記ゲストデバイスに内蔵された前記第2の通信手段により
    提供される、請求項6に記載の動的認証システム。
  9. 前記第一セットは、前記ユーザデバイスの使用時に利用可能なゲストデバイスに関する
    情報を含み、前記ユーザデバイスと前記ゲストデバイスの関係に基づいて、認証される、
    請求項6に記載の動的認証システム。
  10. 前記ゲストデバイスが、固定電話、ボイスオーバIP電話、パーソナルデジタルアシス
    タント、イネーブルされた音楽プレーヤ、無線送信機、デジタルカメラ、ビデオカメラ、
    パーソナルミュージックプレーヤ、パーソナルビデオプレーヤ、テレビ、プリンタおよび
    コンピュータ、の少なくとも一である、請求項6に記載の動的認証システム。
  11. 動的にゲストデバイスの認証を行なうようにコンピュータを制御する制御プログラムで
    あって、
    ユーザ、ユーザデバイスおよび少なくとも一つの物理キーの間の関連付けの第一セットを保持する記憶手段に保持された前記関連付けの第一セットに基づいて、ゲストデバイスを用いた所定のデータおよびサービスの少なくとも一方の利用に先立って第一の通信チャネルを介して受信される、前記ゲストデバイスとユーザの物理キーとの間の動的関連付けの情報であって該物理キーを特定する情報を含む情報から特定される物理キーに対応する前記ユーザデバイスを決定する命令と、
    前記第一の通信チャネルと異なる第二の通信チャネルを介して受信され、前記物理キーに対応する前記ユーザデバイスからのものであるか否かが検証され、前記ユーザデバイスからのものであるとの検証がなされた、前記動的関連付けに対するユーザの確認に基づいて、前記ユーザが前記ゲストデバイスを通じて利用できるデータおよびサービスの少なくとも一方の利用のための認証を行なう命令と、
    を含む、制御プログラム。
  12. 前記請求項1の動的認証方法又は請求項6の動的認証システムに用いる物理キー。
  13. 前記物理キーが、コンタクトベースコネクタおよびコンタクトレスコネクタの少なくとも一を備える、請求項12に記載の物理キー。
  14. 前記物理キーが、提案された前記動的関連付けを伝えるために動作可能な第一の通信リ
    ンクを備える、請求項12に記載の物理キー。
  15. 前記第一セットは、更に、前記物理キーと当該物理キーの使用時にアクセス可能なデー
    サービスが対応付けられ、
    前記物理キーと関連付けられる前記ユーザを決定し、
    前記物理キーと関連付けられる少なくとも一の前記データサービスを決定し、
    前記ゲストデバイスの動的認証に基づいて、前記データサービスへのユーザアクセスを
    認証する、
    ことを含む、
    請求項1に記載の動的認証方法。
  16. 前記データサービスがコンピュータに含まれる情報のリポジトリである、請求項15に
    記載の動的認証方法。
  17. 前記ユーザ情報およびサービスが、前記物理キー、前記ゲストデバイスおよび遠隔場所
    、の少なくとも一に位置する、請求項1に記載の動的認証方法。
  18. 前記ユーザ情報およびサービスが、前記物理キー、前記ゲストデバイスおよび遠隔場所
    、の少なくとも一に位置する、請求項6に記載の動的認証システム。
  19. 前記動的関連付けが認証されたとき、前記ユーザデバイスおよび前記物理キーの少なくとも一によってサポートされるセッション識別子が、前記動的関連付けに対応して設定される、請求項1に記載の動的認証方法。
  20. 前記セッション識別子が、可変である時間間隔で検証される、請求項19に記載の動的
    認証方法。
  21. 記動的関連付けが認証されたとき、前記ユーザデバイスおよび前記物理キーの少なくとも一によってサポートされるセッション識別子が、前記動的関連付けに対応して設定される、請求項6に記載の動的認証システム。
  22. 前記セッション識別子が、可変である時間間隔で検証される、請求項21に記載の動的
    認証システム。
  23. 請求項1に記載の動的認証方法により認証されるサービスシステム
JP2006116172A 2005-04-20 2006-04-19 動的認証方法、動的認証システム、制御プログラム、および、物理キー Expired - Fee Related JP4992283B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/111,348 US7562385B2 (en) 2005-04-20 2005-04-20 Systems and methods for dynamic authentication using physical keys
US11/111348 2005-04-20

Publications (3)

Publication Number Publication Date
JP2006302292A JP2006302292A (ja) 2006-11-02
JP2006302292A5 JP2006302292A5 (ja) 2009-06-04
JP4992283B2 true JP4992283B2 (ja) 2012-08-08

Family

ID=37188640

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006116172A Expired - Fee Related JP4992283B2 (ja) 2005-04-20 2006-04-19 動的認証方法、動的認証システム、制御プログラム、および、物理キー

Country Status (2)

Country Link
US (1) US7562385B2 (ja)
JP (1) JP4992283B2 (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10392833B2 (en) 2017-12-01 2019-08-27 International Busniess Machines Corporation Hybrid physical and logical locking device and mechanism
US10536846B1 (en) 2019-03-09 2020-01-14 International Business Machines Corporation Secure optical data exchange for stand alone certificate authority device
US10666439B2 (en) 2017-12-01 2020-05-26 International Business Machines Corporation Hybrid security key with physical and logical attributes
US10764064B2 (en) 2017-12-01 2020-09-01 International Business Machines Corporation Non-networked device performing certificate authority functions in support of remote AAA
US11206140B2 (en) 2019-03-09 2021-12-21 International Business Machines Corporation Optical communication mounting frame in support of secure optical data exchange with stand alone certificate authority
US11240369B2 (en) 2019-03-09 2022-02-01 International Business Machines Corporation Dedicated mobile device in support of secure optical data exchange with stand alone certificate authority

Families Citing this family (83)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7464858B2 (en) * 2002-02-25 2008-12-16 Crawford C S Lee Systems and methods for controlling access within a system of networked and non-networked processor-based systems
KR100680177B1 (ko) * 2004-12-30 2007-02-08 삼성전자주식회사 홈 네트워크 외부에서 사용자를 인증하는 방법
JP4049173B2 (ja) * 2005-07-14 2008-02-20 コニカミノルタビジネステクノロジーズ株式会社 データ通信システム、画像処理装置、および画像処理装置におけるデータの管理方法
EP2763443B1 (en) 2005-12-01 2019-05-22 Ruckus Wireless, Inc. On-demand services by wireless base station virtualization
US7757269B1 (en) 2006-02-02 2010-07-13 Mcafee, Inc. Enforcing alignment of approved changes and deployed changes in the software change life-cycle
US7895573B1 (en) 2006-03-27 2011-02-22 Mcafee, Inc. Execution environment file inventory
US9769655B2 (en) 2006-04-24 2017-09-19 Ruckus Wireless, Inc. Sharing security keys with headless devices
US7788703B2 (en) * 2006-04-24 2010-08-31 Ruckus Wireless, Inc. Dynamic authentication in secured wireless networks
US9071583B2 (en) 2006-04-24 2015-06-30 Ruckus Wireless, Inc. Provisioned configuration for automatic wireless connection
US20080104680A1 (en) * 2006-10-02 2008-05-01 Gibson Gregg K Local Blade Server Security
US8332929B1 (en) 2007-01-10 2012-12-11 Mcafee, Inc. Method and apparatus for process enforced configuration management
US9424154B2 (en) 2007-01-10 2016-08-23 Mcafee, Inc. Method of and system for computer system state checks
EP2183874B1 (en) * 2007-07-31 2017-07-05 International Business Machines Corporation Biometric authentication device, system and method of biometric authentication
KR100958110B1 (ko) * 2007-12-17 2010-05-17 한국전자통신연구원 유비쿼터스 서비스 인증 게이트웨이 장치 및 그 방법
US20090271633A1 (en) * 2008-03-10 2009-10-29 Aceinc Pty Limited Data Access and Identity Verification
US7974606B2 (en) * 2008-04-17 2011-07-05 Dell Products L.P. System and method for configuring devices for wireless communication
WO2009127984A1 (en) * 2008-04-18 2009-10-22 International Business Machines Corporation Authentication of data communications
US8266307B2 (en) * 2008-05-12 2012-09-11 Nokia Corporation Method, system, and apparatus for access of network services using subscriber identities
US8631468B2 (en) * 2008-11-10 2014-01-14 Samsung Electronics Co., Ltd. Active access monitoring for safer computing environments and systems
US9485254B2 (en) 2009-02-03 2016-11-01 Inbay Technologies Inc. Method and system for authenticating a security device
US8973111B2 (en) 2009-02-03 2015-03-03 Inbay Technologies Inc. Method and system for securing electronic transactions
US8468582B2 (en) * 2009-02-03 2013-06-18 Inbay Technologies Inc. Method and system for securing electronic transactions
US9608988B2 (en) 2009-02-03 2017-03-28 Inbay Technologies Inc. Method and system for authorizing secure electronic transactions using a security device having a quick response code scanner
US8510811B2 (en) * 2009-02-03 2013-08-13 InBay Technologies, Inc. Network transaction verification and authentication
US9548978B2 (en) 2009-02-03 2017-01-17 Inbay Technologies Inc. Method and system for authorizing secure electronic transactions using a security device
US9166975B2 (en) 2012-02-16 2015-10-20 Inbay Technologies Inc. System and method for secure remote access to a service on a server computer
US8739252B2 (en) 2009-02-03 2014-05-27 Inbay Technologies Inc. System and method for secure remote access
US9521142B2 (en) 2009-02-03 2016-12-13 Inbay Technologies Inc. System and method for generating passwords using key inputs and contextual inputs
US9736149B2 (en) 2009-02-03 2017-08-15 Inbay Technologies Inc. Method and system for establishing trusted communication using a security device
JP5590368B2 (ja) * 2009-05-13 2014-09-17 ソニー株式会社 送信装置および送信方法、受信装置および受信方法、並びにプログラム
JP2010268092A (ja) * 2009-05-13 2010-11-25 Sony Corp 送信装置および送信方法、受信装置および受信方法、並びにプログラム
US20110013762A1 (en) * 2009-07-18 2011-01-20 Gregg Bieser Notification apparatus & method
US9544143B2 (en) 2010-03-03 2017-01-10 Duo Security, Inc. System and method of notifying mobile devices to complete transactions
US9532222B2 (en) 2010-03-03 2016-12-27 Duo Security, Inc. System and method of notifying mobile devices to complete transactions after additional agent verification
US8925101B2 (en) 2010-07-28 2014-12-30 Mcafee, Inc. System and method for local protection against malicious software
US8938800B2 (en) 2010-07-28 2015-01-20 Mcafee, Inc. System and method for network level protection against malicious software
US8893210B2 (en) 2010-08-20 2014-11-18 Sony Corporation Server load balancing for interactive television
US8918801B2 (en) * 2010-08-30 2014-12-23 Sony Corporation Transmission apparatus, transmission method, reception apparatus, reception method, program, and broadcasting system
JP5703664B2 (ja) * 2010-09-30 2015-04-22 ソニー株式会社 受信装置、受信方法、送信装置、送信方法、プログラム、および放送システム
US9179198B2 (en) 2010-10-01 2015-11-03 Sony Corporation Receiving apparatus, receiving method, and program
US9078031B2 (en) * 2010-10-01 2015-07-07 Sony Corporation Reception apparatus, reception method, and program
US8908103B2 (en) 2010-10-01 2014-12-09 Sony Corporation Content supplying apparatus, content supplying method, content reproduction apparatus, content reproduction method, program and content viewing system
CA2809311C (en) * 2010-10-01 2019-01-08 Sony Corporation Information processing device, information processing method, and program
US9112830B2 (en) 2011-02-23 2015-08-18 Mcafee, Inc. System and method for interlocking a host and a gateway
TWI545955B (zh) * 2011-04-28 2016-08-11 Sony Corp Signal receiving apparatus and method, a signal transmission apparatus and method, and program
JP6066997B2 (ja) 2011-05-01 2017-01-25 ラッカス ワイヤレス, インコーポレイテッド 遠隔ケーブルアクセスポイントリセット
US8917358B2 (en) 2011-07-27 2014-12-23 Sony Corporation Reception apparatus, terminal apparatus, control method, program, and communication system
US9467463B2 (en) 2011-09-02 2016-10-11 Duo Security, Inc. System and method for assessing vulnerability of a mobile device
US8756380B2 (en) 2011-09-07 2014-06-17 Kabushiki Kaisha Toshiba Controlling access to a removable medium from a module and an external device
US9594881B2 (en) 2011-09-09 2017-03-14 Mcafee, Inc. System and method for passive threat detection using virtual memory inspection
WO2013042306A1 (ja) * 2011-09-20 2013-03-28 日本電気株式会社 認証システム、認証サーバ、認証方法および認証用プログラム
US9524388B2 (en) 2011-10-07 2016-12-20 Duo Security, Inc. System and method for enforcing a policy for an authenticator device
US8763077B2 (en) 2011-10-07 2014-06-24 Duo Security, Inc. System and method for enforcing a policy for an authenticator device
US8713668B2 (en) 2011-10-17 2014-04-29 Mcafee, Inc. System and method for redirected firewall discovery in a network environment
KR101182922B1 (ko) * 2011-11-08 2012-09-13 아이리텍 잉크 홍채이미지를 이용한 보안이 강화된 잠금장치
US8756668B2 (en) 2012-02-09 2014-06-17 Ruckus Wireless, Inc. Dynamic PSK for hotspots
US8739272B1 (en) 2012-04-02 2014-05-27 Mcafee, Inc. System and method for interlocking a host and a gateway
US9092610B2 (en) 2012-04-04 2015-07-28 Ruckus Wireless, Inc. Key assignment for a brand
JP2013236317A (ja) * 2012-05-10 2013-11-21 Sharp Corp 通信端末装置およびデータ制御方法
US9247432B2 (en) * 2012-10-19 2016-01-26 Airwatch Llc Systems and methods for controlling network access
US8973146B2 (en) 2012-12-27 2015-03-03 Mcafee, Inc. Herd based scan avoidance system in a network environment
US9607156B2 (en) 2013-02-22 2017-03-28 Duo Security, Inc. System and method for patching a device through exploitation
US8893230B2 (en) 2013-02-22 2014-11-18 Duo Security, Inc. System and method for proxying federated authentication protocols
US9443073B2 (en) 2013-08-08 2016-09-13 Duo Security, Inc. System and method for verifying status of an authentication device
US9338156B2 (en) 2013-02-22 2016-05-10 Duo Security, Inc. System and method for integrating two-factor authentication in a device
US9053310B2 (en) 2013-08-08 2015-06-09 Duo Security, Inc. System and method for verifying status of an authentication device through a biometric profile
US9092302B2 (en) 2013-09-10 2015-07-28 Duo Security, Inc. System and method for determining component version compatibility across a device ecosystem
US9608814B2 (en) * 2013-09-10 2017-03-28 Duo Security, Inc. System and method for centralized key distribution
WO2015060857A1 (en) 2013-10-24 2015-04-30 Mcafee, Inc. Agent assisted malicious application blocking in a network environment
US9762590B2 (en) 2014-04-17 2017-09-12 Duo Security, Inc. System and method for an integrity focused authentication service
US9979719B2 (en) 2015-01-06 2018-05-22 Duo Security, Inc. System and method for converting one-time passcodes to app-based authentication
US9591008B2 (en) 2015-03-06 2017-03-07 Imperva, Inc. Data access verification for enterprise resources
US9641341B2 (en) 2015-03-31 2017-05-02 Duo Security, Inc. Method for distributed trust authentication
US9774579B2 (en) 2015-07-27 2017-09-26 Duo Security, Inc. Method for key rotation
US10762245B2 (en) * 2015-12-17 2020-09-01 Ncr Corporation Input peripheral device security
US9633659B1 (en) * 2016-01-20 2017-04-25 Motorola Mobility Llc Method and apparatus for voice enrolling an electronic computing device
GB201617620D0 (en) * 2016-10-18 2016-11-30 Cybernetica As Composite digital signatures
CN106657938A (zh) * 2017-03-07 2017-05-10 北京宝兴达信息技术有限公司 一种用于网络视频摄像机的安全装置和网络视频摄像机
KR102489914B1 (ko) 2017-09-15 2023-01-20 삼성전자주식회사 전자 장치 및 이의 제어 방법
US10412113B2 (en) 2017-12-08 2019-09-10 Duo Security, Inc. Systems and methods for intelligently configuring computer security
US11658962B2 (en) 2018-12-07 2023-05-23 Cisco Technology, Inc. Systems and methods of push-based verification of a transaction
TWI744931B (zh) * 2020-06-03 2021-11-01 南開科技大學 通用序列匯流排裝置的安控系統及其安控方法
EP4352636A1 (en) * 2021-06-08 2024-04-17 Mewt LLC Wireless kill switch

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB9905056D0 (en) * 1999-03-05 1999-04-28 Hewlett Packard Co Computing apparatus & methods of operating computer apparatus
JP3479634B2 (ja) * 2000-08-07 2003-12-15 ドコモ・システムズ株式会社 本人認証方法および本人認証システム
US7743259B2 (en) * 2000-08-28 2010-06-22 Contentguard Holdings, Inc. System and method for digital rights management using a standard rendering engine
JP4391711B2 (ja) * 2001-08-28 2009-12-24 富士通株式会社 装置、装置利用者管理装置および装置利用者管理プログラム
JP2004086547A (ja) * 2002-08-27 2004-03-18 Matsushita Electric Ind Co Ltd 携帯型電子鍵
JP3914152B2 (ja) * 2002-12-27 2007-05-16 株式会社エヌ・ティ・ティ・データ 認証サーバ、認証システムおよび認証プログラム
JP2005025337A (ja) * 2003-06-30 2005-01-27 Sony Corp 機器登録システム、機器登録サーバ、機器登録方法、機器登録プログラム、記憶媒体、及び端末機器
US7451921B2 (en) * 2004-09-01 2008-11-18 Eric Morgan Dowling Methods, smart cards, and systems for providing portable computer, VoIP, and application services

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10392833B2 (en) 2017-12-01 2019-08-27 International Busniess Machines Corporation Hybrid physical and logical locking device and mechanism
US10666439B2 (en) 2017-12-01 2020-05-26 International Business Machines Corporation Hybrid security key with physical and logical attributes
US10764064B2 (en) 2017-12-01 2020-09-01 International Business Machines Corporation Non-networked device performing certificate authority functions in support of remote AAA
US10536846B1 (en) 2019-03-09 2020-01-14 International Business Machines Corporation Secure optical data exchange for stand alone certificate authority device
US11206140B2 (en) 2019-03-09 2021-12-21 International Business Machines Corporation Optical communication mounting frame in support of secure optical data exchange with stand alone certificate authority
US11240369B2 (en) 2019-03-09 2022-02-01 International Business Machines Corporation Dedicated mobile device in support of secure optical data exchange with stand alone certificate authority

Also Published As

Publication number Publication date
US7562385B2 (en) 2009-07-14
US20060242692A1 (en) 2006-10-26
JP2006302292A (ja) 2006-11-02

Similar Documents

Publication Publication Date Title
JP4992283B2 (ja) 動的認証方法、動的認証システム、制御プログラム、および、物理キー
CN110121873B (zh) 一种访问令牌管理方法、终端和服务器
CN104662870B (zh) 数据安全管理系统
JP4733167B2 (ja) 情報処理装置、情報処理方法、情報処理プログラムおよび情報処理システム
CN112468506B (zh) 获取、下发电子证件的实现方法和装置
KR101419984B1 (ko) 클라우드 환경에서 nfc를 이용한 콘텐츠 공유 시스템 및 방법
CN101826140B (zh) 内容管理系统、内容管理方法和通信终端
US20090158033A1 (en) Method and apparatus for performing secure communication using one time password
US20090037728A1 (en) Authentication System, CE Device, Mobile Terminal, Key Certificate Issuing Station, And Key Certificate Acquisition Method
US20040186880A1 (en) Management apparatus, terminal apparatus, and management system
WO2015014128A1 (zh) 穿戴式设备的认证方法及穿戴式设备
US20070220269A1 (en) Image forming apparatus, image forming apparatus controlling method, computer program product
EP1549011A1 (fr) Procédé et système de communication entre un terminal et au moins un équipment communicant
JP2004062870A (ja) データ配信システム
US20070021141A1 (en) Record carrier, system, method and program for conditional access to data stored on the record carrier
US20070136820A1 (en) Server apparatus, client apparatus, control method therefor, and computer program
TW200941280A (en) Reproducing apparatus, portable communication apparatus, administrative server, and content distribution system
JP2007004605A (ja) 通信システム、クライアント、サーバおよびプログラム
KR20160081973A (ko) 네트워크 액세스
JP5353298B2 (ja) アクセス認証システム、情報処理装置、アクセス認証方法、プログラム及び記録媒体
KR101066693B1 (ko) 전자 인증서의 보안 및 확인 방법
JP2007199995A (ja) アクセス制御装置及びアクセス制御方法及びプログラム
JP2011028522A (ja) ホスト装置、認証方法、並びに、コンテンツ処理方法及びそのシステム
JP2009075987A (ja) ネットワークコンテンツ管理方法、コンテンツサーバ、再生機器、認証サーバおよび認証端末
EP1860586A1 (en) Method and managing unit for managing the usage of digital content, rendering device

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090417

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090417

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20111226

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120110

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120312

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120410

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120423

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150518

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4992283

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees