JP5038531B2 - 信頼できる機器に限定した認証 - Google Patents

信頼できる機器に限定した認証 Download PDF

Info

Publication number
JP5038531B2
JP5038531B2 JP2011511684A JP2011511684A JP5038531B2 JP 5038531 B2 JP5038531 B2 JP 5038531B2 JP 2011511684 A JP2011511684 A JP 2011511684A JP 2011511684 A JP2011511684 A JP 2011511684A JP 5038531 B2 JP5038531 B2 JP 5038531B2
Authority
JP
Japan
Prior art keywords
user
identifier
account
credential
credentials
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2011511684A
Other languages
English (en)
Other versions
JP2011522327A5 (ja
JP2011522327A (ja
Inventor
グオ,ウエイ−チアーン(マイケル)
ロウスコン,ヨルダン
チェン,ゥルイ
ウォン,プイ−イン・ウィンフレッド
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Corp
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of JP2011522327A publication Critical patent/JP2011522327A/ja
Publication of JP2011522327A5 publication Critical patent/JP2011522327A5/ja
Application granted granted Critical
Publication of JP5038531B2 publication Critical patent/JP5038531B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Power Engineering (AREA)
  • Information Transfer Between Computers (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

本願の実施例は、例えば、信頼できる機器に限定した認証に関する。
[0001]典型的なユーザー認証機構では、ユーザーが、保護されたリソース(例えばインターネットを介してアクセスされるサーバー)へのアクセスを試みると、ユーザー名とパスワードを検証すること等により、ユーザーの資格情報が正しいことを確認する。しかし、そのような従来型の認証機構を使用すると、ユーザー名とパスワードが悪意ある者によって盗まれた場合、その者は、任意の機器を通じて世界のどこからでもユーザーのアカウントにアクセスすることができ、結果として望ましくないセキュリティ上の危険が生じる。
[0002]別の認証シナリオは、ユーザーがリモート機器へのログインを試みることを伴う。ユーザー認証機構でユーザーを認証することはできるが、そのリモート機器が実際に、ユーザーが期待する信頼できる機器であることを確かめることも関連する場合がある。例えば、ユーザーが、機密性のあるファイルをアップロードするためにリモートサーバーにログインしようとする場合がある。認証プロセスでユーザーの資格情報と機器の資格情報の両方を検証しない場合、ユーザーは、機密性のあるファイルを妥当でないサーバーにアップロードする可能性がある。アクセスしようとしている機器を間違えるという危険は、重大なセキュリティ上のリスクを招く。
[0003]本明細書に記載され、請求される実施は、機器の資格情報の検証をユーザーの資格情報の検証と組み合わせて、ユーザーにとって利便で、企業の境界を越えて有効である、より強固な認証機構を提供することにより、上述の問題に対処する。一実施では、ユーザーの資格情報の検証と機器の資格情報の検証が組み合わせられて、利便な2要素認証を提供する。一般に、ユーザーは、ユーザーの資格情報(例えばユーザー名とパスワード)を提供し、一方でユーザーの機器は、ユーザーと機器の両方に関連付けられた機器の資格情報を提供する。このようにすると、アカウント権限サービスまたは他の認証提供者は、両要素を検証し、ユーザーがアクセスしようとしているアカウントネットワークリソースのセキュリティポリシーに従ってセキュリティトークンを提供する。要求される要素が正しいことが確認されない場合、アカウント権限サービスは、別の要素(例えば指紋スキャン、網膜スキャン、HIPソリューション、秘密の質問等)による認証を要求することができる。対象のアカウントネットワークリソースによって付与される特権のレベルは、アカウント権限サービスで検証される要素の数および種類に応じて異なることができる。
[0004]一部の実施では、製造物品がコンピュータープログラム製品として提供される。コンピュータープログラム製品の一実装は、コンピューターシステムによる読み取りが可能で、コンピュータープログラムを符号化したコンピュータープログラム記憶媒体を提供する。コンピュータープログラム製品の別の実装は、コンピューティングシステムによって搬送波として具現化され、コンピュータープログラムを符号化したコンピューターデータ信号として提供されることができる。
[0005]この「課題を解決するための手段」は、以下の「発明を実施するための形態」でさらに説明される概念の一部を簡略化した形で紹介するために提供される。この「課題を解決するための手段」は、クレームに記載される主題の主要な機能または不可欠な機能を明らかにするものでも、クレームに記載される主題の範囲を限定することを意図するものでもない。
[0006]信頼できる機器に限定した認証を用いる例示的システムの図である。 [0007]信頼できる機器に限定した証明書を生成するための例示的動作および通信を示す図である。 [0008]信頼できる機器に限定した認証を使用してセキュアサーバーにアクセスするための例示的動作および通信を示す図である。 [0009] 信頼できる機器に限定した認証に基づいてリモート機器によるアクセスを提供する例示的システムの図である。 [0010]信頼できる機器に限定した認証に基づいてリモート機器によるアクセスを提供するための例示的動作および通信を示す図である。 [0011]本明細書に記載される技術を実施する際に有用である可能性がある例示的システムの図である。
[0012]図1に、信頼できる機器に限定した認証を用いる例示的システム100を示す。ユーザーは、ユーザーアカウントを作成する際に、ユーザー機器102を操作して、通信ネットワーク108を介してアカウント権限サービス104と通信する。一実施では、ユーザーアカウントは、各種のネットワークサービスやリソース(「アカウントネットワークリソース」と総称する)にアクセスする際に使用されることができる。例えば、アカウント権限サービス104にアカウントを作成することにより、ユーザーは、1つの資格情報セットを設定することができ、その資格情報は、アカウントネットワーク内の電子メールサービス、予定表サービス、インスタントメッセージサービス、テキストメッセージサービス、ブログサービス、オンライン音楽サービス、写真共有サービス、各種の電子商取引サイト、各種のリモート機器等へのアクセスに使用されることができる。(用語「アカウントネットワーク」は、アカウント権限サービスとの間に信頼関係を有するアカウントネットワークリソースのネットワークを指す。)アカウント権限サービス104は、アカウントネットワーク内におけるユーザーアカウントの初期化および維持を管理する。アカウント権限サービス104は、それらアカウントネットワークリソース各々との間にも信頼関係を維持し、各アカウントネットワークリソースは、アカウント権限サービス104にから提供される識別の表現(例えばセキュリティトークン)に基づいてユーザーアクセスを許可する。一実施では、アカウント権限サービスは、使用条件、セキュリティポリシー等の契約上の同意、および、アカウント権限サービスと各アカウントネットワークリソースの間の通信を保護する暗号鍵の組合せに基づいて、アカウントネットワークリソースとの間に上記信頼関係を確立し、維持する。
[0013]例えばセキュリティトークンは、一意の秘密を使用して1つまたは複数のエンティティ(例えばユーザーおよび/または機器)の識別の証拠を提供する。セキュリティトークンを別のエンティティに提供することにより、提供側のエンティティは、自身の識別の証拠を与えていることになる。そのセキュリティトークンに基づいてあるレベルの特権を提供側エンティティに許可するかどうかを決定することは、受け取り側のエンティティに任される。さらに、セキュリティトークンは、有効期限がある場合があり、その期限後は信頼できなくなる。一実施では、セキュリティトークンは、コンピューティング機器がそのトークンを調査する(例えばセキュリティトークンがユーザー名および/または機器IDを含んでいるかどうかを判定する)ことを可能にするAPI(アプリケーションプログラミングインタフェース)をサポートする。ユーザー名はユーザーIDの一例であり、他のユーザーIDが用いられてよいことは理解されたい。他の例には、電子メールアドレス、およびゲーマータグを含むエイリアスが含まれる。
[0014]一実施では、ユーザーは、ユーザー資格情報(例えばユーザー名およびユーザーパスワード)を提供してアカウントを作成するが、ユーザーアカウントの作成には他の情報の組合せも用いられてよい。アカウント情報は、アカウント権限サービス104からアクセス可能なデータリポジトリー106に格納される。例えば、アカウントレコードは、データ項目の中でも特に、ユーザー名、パスワード、対応する機器パスワードを伴う1つまたは複数の機器ID、およびユーザーフレンドリーな機器名を含むことができる。ユーザーが自身のアカウントへのログインを試みると、アカウント権限サービス104は、ユーザーのアカウント情報を検索し、アカウント情報に格納された資格情報に照らしてユーザーの資格情報を検証する。例えば、アカウント権限サービス104は、提供されたユーザー名を使用してユーザーのアカウント情報を検索する。そして、アカウント権限サービス104は、ユーザーの資格情報(例えばユーザー名およびパスワード)を認証して、ユーザーのアカウントへのアクセスを許可する。
[0015]アカウントの作成時に提供される場合であっても、その後に提供される場合であっても、機器の資格情報(例えば機器識別子(ID)および機器パスワード)も、ユーザー機器102からアカウント権限サービス104に送信され、ユーザー資格情報と関連付けてアカウント情報として記憶されることができる。機器IDとは、機器に対して生成されるグローバル一意の機器識別子である。機器IDは、各種方法を使用して生成されることができる。一実施では、機器IDは、機器IDが別の機器IDと衝突しないように、大きな値の集合を用いるグローバル一意識別子(GUID)などの無作為に生成された数とすることができる。別の実施は、機器自体の固有の特徴を考慮することを含むことができる。例えばパーソナルコンピューター機器の場合は、ハードディスクとBIOSの組合せにより、機器IDの生成に寄与するために使用することが可能な、一意で不変の何らかのパラメーターまたは特徴が得られる。一般には変化しない、オペレーティングシステム内のユーザー設定には、他の特徴が関連する可能性がある。そのような不変の特徴を用いると、機器IDを実際の機器自体に近づけることができ、機器IDがなりすまししにくくなり、損失から回復するのが容易になる。
[0016]一実施では、ユーザーは、ユーザー機器102が信頼できる機器であることを指定し、ユーザー機器102で実行されるクライアントソフトウェアが機器IDおよび機器パスワードを生成し、それをユーザー機器102が機器の資格情報としてアカウント権限サービス104に送信する。ユーザーは、ユーザー(および可能性としては他のユーザー)が将来ユーザー機器102を識別できるように、機器の資格情報と関連付けてユーザーフレンドリーな機器名も提供してよい。
[0017]一実施では、アカウント権限サービス104は、ユーザー名と関連付けて機器IDをデータリポジトリー106に記録して、ユーザーとユーザー機器102との間に信頼関係を確立する。この処理を通じて、ユーザーは、ユーザー機器102が、アカウント権限サービス104と提携したアカウントネットワーク内で、自身の信頼できる機器の1つであることを宣言したことになる。ユーザーは同様の処理を通じて、複数の信頼できる機器を指定してもよいことを理解されたい。
[0018]さらに、ユーザーは、自分のアカウント中の自身の信頼できる機器のリストから機器を削除することもでき、これは、機器が盗まれ、ユーザーが盗まれた機器を通じた認証を阻止したい場合に有用である。例えば、ユーザーは、指定された機器IDとの自身のユーザーIDの関連付けを解除する要求をアカウント権限サービス104に送信することができる。それに対して、アカウント権限サービス104は、ユーザーのアカウントから指定された機器の機器IDを削除するか、または、ユーザーIDがもはや機器IDと関連付けられないことを他の方法で指定することができる。この仕組みは、例えばユーザーが自分のコンピューターまたは携帯電話を更新する際に有用であることが考えられ、例えば、古い方のユーザー機器を通じた要求で「この機器を私の信頼できる機器のリストから削除する」ように指定することができる。ただし、状況によっては、ユーザーは、信頼できる機器リストから削除すべきユーザー機器をもはや持っていない場合もある(例えばユーザー機器が損傷、紛失、または盗まれた場合)。そのような状況では、ユーザーは、自分の信頼できる機器のリストを要求することができ、機器はユーザーフレンドリーな機器名でリストされることができ、ユーザーはそのリストから削除する機器を選択することができる。あるいは、ユーザーは単にアカウント権限サービス104への削除要求でユーザーフレンドリーな機器名を提供することもできる。
[0019]一実施では、ユーザーがアカウント権限サービス104に自身のアカウントを作成していて、ユーザー機器102の機器IDにユーザーが関連付けられている場合、ユーザーは、ユーザー機器102に関連付けられた機器証明書を要求することができる。一般に、機器証明書は、機器IDに公開鍵をバインドするデジタル証明書である。機器証明書は、公開鍵が、その機器IDで識別される機器に属することの証拠を提供する。例えば、ユーザーは、公開鍵と秘密鍵の対を生成し、対象機器の参照(例えばユーザーフレンドリーな機器名、機器ID等)と共に公開鍵をアカウント権限サービス104に送信することができる。公開鍵は、機器の資格情報および/またはユーザー資格情報と共に提出されて、証明書要求が信頼できる機器および/またはユーザーによってなされたことを保証する。公開鍵は、アカウントの作成と同時に、またはその後のいずれかの時に、アカウント権限サービス104に送信されることができる。アカウント権限サービス104は、公開鍵を使用して機器IDを暗号化して機器証明書を作成し、自身の秘密鍵を使用して機器証明書に署名し、署名済みの機器証明書をユーザー機器102に送り返す。このトランザクションの結果、ユーザー機器102は、その機器が機器IDで識別される機器であるという信頼できる証拠(例えば機器証明書)を所有することになる。
[0020]ユーザーが電子商取引サーバー110等のアカウントネットワークリソースへのアクセスを開始したいとき、ユーザーのブラウザーは、電子商取引サーバー110に移動することができ、電子商取引サーバー110は、ユーザーのブラウザーをアカウント権限サービス104にリダイレクトする。ユーザー機器102は、電子商取引サーバー110にアクセスするためのセキュリティトークンの要求で、ユーザー資格情報と機器証明書をアカウント権限サービス104に提供することができる。一実施では、セキュリティトークンは、ユーザー名および/または機器IDを含むことができ、アカウントネットワークリソースは、APIを通じてそれらユーザー名および/または機器IDにアクセスすることができる。一実施では、アカウント権限サービス104は、ユーザー資格情報、機器証明書、および電子商取引サーバー110のセキュリティポリシーを評価して、電子商取引サーバー110にアクセスするためのセキュリティトークンをユーザー機器102に与えるかどうかを決定する。一般に、セキュリティポリシーは、セキュリティ保護された活動の条件としてサーバーが定義した事柄を定義する。セキュリティポリシーは、諸機能とそれらの間の流れの制約、外部システムおよびプログラムを含む敵対者によるアクセスの制約、およびユーザーによるデータへのアクセスの制約を扱う。別の実施では、アカウント権限サービス104は、ユーザー資格情報と機器資格情報の両方が認証されたかどうかも考慮に入れることができ、認証されていない場合は、アカウント権限サービス104はセキュリティトークンを保留してよい。この保留は、ネットワークサービスのセキュリティポリシーに従って行なわれるか、またはアカウント権限サービス自体によって決定されることができる。
[0021]ユーザー機器102がセキュリティトークンを受け取った場合、ユーザー機器102は、セキュリティトークンを電子商取引サーバー110に転送し、電子商取引サーバー110は、セキュリティトークンを評価した後に、決定されたレベルの特権下でユーザーのアクセスを許可する。ユーザーが電子商取引サーバー110へのアクセスを許された場合、その後ユーザー機器102と電子商取引サーバー110の間の通信は、サーバーのセキュリティポリシーとユーザーの特権レベルの条件下で行なわれることができる。
[0022]多要素認証(例えば2要素認証)は、単一要素認証より強いセキュリティを提供することができる。一実施では、多要素は、ユーザー資格情報に加えて、信頼できる機器の資格情報を含むことができるが、他の要素の組合せも多要素認証で用いられることができる。ユーザーの名前とパスワードだけでは容易にフィッシングまたは盗取することが可能であるが、ユーザーがアカウントネットワークリソースにアクセスするために用いる物理的な信頼できる機器は、悪意のあるユーザーが入手し操作することがより難しいので、多要素証はより強い傾向がある。さらに、ユーザーの要素に加えて信頼できる機器の要素が認証されるかどうかに応じて、異なるセキュリティ上の決定がなされることができる。例えば、セキュリティポリシーは、未登録の機器からログインする試みがなされた場合はユーザーに通知すること、ユーザーのパスワードの変更は信頼できる機器を通じてのみ行なうよう要求すること、信頼できる機器の要素が認証されない場合は有効期限が短いセキュリティトークンを設定することなどができる。
[0023]一実施では、電子商取引サーバー110は、信頼できる機器の要素が認証されるかどうかに応じて、異なる特権レベルをユーザーに付与することができる。例えば、ユーザーの資格情報と機器の資格情報(例えば機器証明書で表される)の両方で認証を行なうユーザーには、追加的なストレージが与えられる、あるいは、ユーザー資格情報のみで認証するユーザーよりも人間対話型プロンプト(HIP)または他のセキュリティプロンプトの回数を少なくすることができる。
[0024]ユーザーアカウントのセキュリティを強化するために、アカウント権限サービス104は、ユーザーがユーザー資格情報と信頼できる機器の機器資格情報の両方の検証を得ることができない場合には、ユーザー資格情報および/または機器資格情報を変更する試みを阻止することができる。実際には、この機能は、有効なユーザー名/パスワードを有するユーザーが、信頼できる機器を通じてアカウント権限サービス104にアクセスしていない場合は、アカウント権限サービス104を通じたユーザーアカウント情報の変更を行なえないようにすることができる。これに代えて、またはこれに加えて、ユーザーアカウント情報の変更を要求するユーザーがユーザー資格情報と信頼できる機器の機器資格情報両方の検証を得ることができなかった場合には、ユーザーアカウント情報を変更しようとする試みがユーザーに通知されることができる。
[0025]図2に、信頼できる機器に限定した証明書を生成するための例示的動作および通信(まとめて200とする)を示す。この通信は、ユーザー機器と、アカウント権限サービスを運用するコンピューティングシステムとの間の、一般には通信ネットワークを通じて行なわれるデータ送信を表す。
[0026]一実施では、生成動作202で、ユーザー機器のクライアントソフトウェアが機器IDおよび機器パスワード(「機器資格情報」)を生成し、両者はユーザー機器に関連付けられる。ユーザーは、機器IDと関連付けてユーザーフレンドリーな機器名も提供することができる。送信動作204で、ユーザー機器は、ユーザー名/パスワードおよび機器ID/パスワード(および可能性としてはユーザーフレンドリーな機器名)を収集し、アカウントを作成する要求と関連付けてアカウント権限サービスに送信する。要求に応答して、作成動作206で、アカウント権限サービスはユーザーのアカウントを作成し、ユーザー名を機器IDに関連付け、ユーザー名と機器IDを、アカウント権限サービスからアクセス可能なデータストアーに記憶されたアカウント情報中に記録する。ユーザーパスワードと機器パスワードの両者もアカウント情報中に格納されることができ、典型的には暗号で保護される。
[0027]ユーザー名と機器IDは、他の状況下でも関連付けできることを理解されたい。例えば、ユーザーのアカウントがすでに作成されており、ユーザーは、以前に作成されたアカウント内で関連付けるために後から機器資格情報を提供する場合がある。さらに、ユーザー名は、複数の信頼できる機器IDに関連付けられることができ、それらの関連付けがアカウント情報中に記録されることができる。
[0028]生成動作208で、ユーザー機器が公開鍵と秘密鍵の対を生成する。要求動作210で、ユーザー機器は、当該信頼できる機器に関連付けられた証明書を要求する。一実施では、ユーザー機器は、ユーザーフレンドリーな機器名および公開鍵をアカウント権限サービスに送信する。代替の実施では、ユーザー機器は、代わりにユーザー名/パスワードを送信して、要求が信頼できる機器からユーザーによって開始されたことを保証することができる。
[0029]生成動作212で、アカウント権限サービスは、機器IDと公開鍵から機器証明書を作成し、次いで、アカウント権限サービスの秘密鍵を使用して証明書に署名して、ユーザー機器の公開鍵を機器IDにバインドする。このようにすると、機器IDがユーザー機器に属することを確認したいエンティティは、アカウント権限サービスの公開鍵を使用して証明書のデジタル署名を検証することにより、証明書を評価することができる。
[0030]一実施では、ユーザーは、複数の機器を「信頼できる」機器として指定することができる。したがって、信頼できる機器の各機器IDが、ユーザーのユーザー名およびユーザーフレンドリーな名前と関連付けてアカウント情報中に記録される。このようにすると、ユーザーは、ユーザーフレンドリーな機器名を提供することにより、「信頼できる」機器として指定したい機器を識別する。機器証明書を要求する際、ユーザーはユーザーフレンドリーな機器名を提供することができ、アカウント権限サービスは、ユーザーのアカウントを見つけ、提供されたユーザーフレンドリーな機器名に対応する機器IDを抽出することができる。アカウント権限サービスは次いで、機器IDと公開鍵から機器証明書を作成し、自身の秘密鍵を使用して証明書に署名する。
[0031]アカウント権限サービスは、返却動作214で、生成した機器証明書をユーザー機器に返す。ユーザー機器は、受信動作216で機器証明書を受信する。ユーザー機器は、後に、その機器IDで識別される機器である証明としてその機器証明書を使用することができる。
[0032]図3に、信頼できる機器に限定した認証を使用してセキュアサーバーにアクセスするための例示的な動作および通信(まとめて300とする)を示す。この例では、ユーザーが自分のユーザー機器からセキュアサーバーにアクセスしたいと想定する。セキュアサーバーは、アカウント権限サーバーと信頼関係にあり、ユーザーおよび機器の認証をアカウント権限サーバーに依存する。この信頼関係の中で、アカウント権限サービスは、セキュアサーバーのセキュリティポリシーの知識を有し、セキュアサーバーへのアクセスのためにユーザーおよび/または機器を認証するように要求された際はそのポリシーを施行する。ユーザーがユーザー資格情報と機器資格情報の両方を提供するか、またはユーザー資格情報のみを提供するかに応じて、セキュアサーバーにアクセスするためにアカウント権限サービスからユーザーに付与される特権レベルは異なってよい。例えば、ユーザー資格情報と機器資格情報両方による認証では、アカウント権限サービスは、ユーザー資格情報だけによる認証の場合よりも高いレベルの特権をユーザーに付与する場合がある。
[0033]図の流れでは、ユーザーは、要求動作302でセキュアサーバーへのアクセスを要求する(例えばブラウザーをセキュアサーバーによって提供されるウェブページに移動することによる)。セキュアサーバー機器は、ユーザーがまだアカウント権限サービスによってアクセスの認証を受けていない(例えばユーザーのアクセス要求が、セキュアサーバーにアクセスするためのセキュリティトークンを含んでいなかった)ことを検出し、したがって、リダイレクト動作304で、認証のためにユーザーをアカウント権限サービスにリダイレクトする。
[0034]アカウント権限サービスは、受信動作306で、リダイレクトされた要求(要求をリダイレクトしたセキュアサーバーの識別を含む)を受け取る。アカウント権限サービスにおける指示動作308では、ユーザーに資格情報を要求する。ユーザー機器は、受信動作310で指示を受け取り、送信動作312で資格情報を送出する。ユーザーは、自分のユーザー資格情報(例えばユーザー名およびパスワード)を送出することができ、これは一般的である。代替のシナリオでは、ユーザー機器は、機器証明書(または機器IDと機器パスワード)も提出することができ、それにより認証のために2つの要素を提供する。
[0035]アカウント権限サービスとセキュアサーバーの間の信頼関係の一部として、アカウント権限サービスは、セキュアサーバーのセキュリティポリシーを知っている。したがって、アカウント権限サービスは、ユーザー機器から資格情報を受け取ると、その資格情報を認証し、資格情報がセキュアサーバーのセキュリティ要件を満たす場合(判定動作314で判定される)、アカウント権限サービスは、動作320でユーザー機器にセキュリティトークンを送信する。
[0036]ユーザー機器から供給された資格情報がセキュアサーバーのセキュリティ要件を満たさない場合、アカウント権限サービス316は、ユーザー機器に追加の資格情報を求めることができる。例えば、セキュアサーバーがユーザー資格情報と機器資格情報の両方等の2要素認証を要求する場合、アカウント権限サーバーは、信頼できる機器を介した認証をユーザーに要求することができる。あるいは、機器ID要素が満たされない場合は、セキュアサーバーは、HIPソリューションや秘密の質問の回答(例えば「母親の旧姓」)等の代替の第2の要素を受け付けることもできる。
[0037]他のシナリオでは、要求される数の要素が満たされない場合は、アカウント権限サービスによって付与される認証を何らかの形で縮小することができる。例えば、アカウント権限サービスは、第2の要素の認証が達成されない場合には、より早く期限が切れるセキュリティトークンを提供することができる。
[0038]ユーザー機器は、受信動作322でセキュリティトークンを受け取り、送信動作324でセキュアサーバーに転送する。付与動作326で、セキュアサーバーは、セキュリティトークンを調べて、アカウント権限サービスで行なわれた認証に基づいて、ユーザー/機器に許可する権限のレベルを決定する。一実施では、セキュアサーバーは、セキュリティトークンを調べて、アカウント権限サービスによる認証でユーザー資格情報と機器資格情報の両方が含まれていたかどうかを判定する。両方が含まれていた場合は、セキュアサーバーは、ユーザー機器を介して、より高いレベルの特権をユーザーに与えることができる。そうでない場合は、セキュアサーバーは、より低いレベルの特権をユーザーに与えるか、アクセスを一切許可しない。
[0039]図4に、信頼できる機器に限定した認証に基づいてリモート機器によるアクセスを提供する例示的システム400を示す。ユーザーは、ユーザーアカウントを作成する際、ユーザー機器402を操作して、通信ネットワーク408を介してアカウント権限サービス404と通信する。一実施では、ユーザーアカウントは、各種のアカウントネットワークリソースにアクセスするために使用することができる。例えば、アカウント権限サービス404にアカウントを作成することにより、ユーザー機器402を操作するユーザーは、リモートユーザー機器412を介するリモートユーザー等、他のユーザーと共有してもよい、信頼できる機器のリストを公開することができる。アカウント権限サービス404は、アカウントネットワーク内のユーザーアカウントの初期化と維持を管理する。アカウント権限サービス404は、ユーザー、ユーザー機器、およびアカウントネットワークに結合された他のユーザーおよび機器との間にも信頼関係を維持する。
[0040]一実施では、ユーザーは、ユーザー資格情報(例えばユーザー名およびユーザーパスワード)を提供してアカウントを作成するが、ユーザーアカウントの作成には他の情報の組合せも用いられることができる。アカウント情報は、アカウント権限サービス404からのアクセスが可能なデータリポジトリー406に格納される。ユーザーが自分のアカウントへのログインを試みると、アカウント権限サービス404は、ユーザーアカウント情報を検索し、提供されたユーザー資格情報をアカウント情報に格納された資格情報に照らして検証する。
[0041] アカウントの作成時に提供される場合であっても、またはその後提供される場合であっても、機器の資格情報(例えば機器識別子(ID)および機器パスワード)も、ユーザー機器402からアカウント権限サービス404に送信され、ユーザー資格情報と関連付けてアカウント情報として記憶されることができる。一実施では、ユーザーは、ユーザー機器402が信頼できる機器であることを指定し、ユーザー機器402で実行されるクライアントソフトウェアが機器IDおよび機器パスワードを生成し、それをユーザー機器402が機器資格情報としてアカウント権限サービス404に送信する。ユーザーは、ユーザー自身(および可能性としては他のユーザー)が将来ユーザー機器402を識別できるように、ユーザーフレンドリーな機器名も提供してよい。
[0042]ユーザーは、機器共有命令を公開することにより、ユーザー機器402が別のリモートユーザーからアクセス可能であることも指定することができる。一実施では、ユーザーは、ユーザー機器402を他のユーザーからアクセス可能な機器として識別する共有パラメーターを、自身のアカウント情報中に設定する。別の実施では、ユーザーは、自身が機器を共有したいリモートユーザーとその際の特権レベルを共有パラメーターとして指定することもできる。共有パラメーターは、機器IDに関連付けられ、アカウント権限サービス402は、機器IDをユーザー機器404から受け取る。アカウント権限サービス404は、証明書に共有パラメーターを追加し、証明書に署名してからユーザー機器402に送り返すこともできる。
[0043]一実施では、アカウント権限サービス404は、機器IDおよび共有パラメーターをユーザー名と関連付けてデータリポジトリー406に記録して、ユーザーとユーザー機器402との間に信頼関係を確立する。この処理を通じて、ユーザーは、ユーザー機器402が、アカウント権限サービス404と提携したアカウントネットワーク内で、自身の信頼できる機器の1つであることを宣言したことになる。
[0044]一実施では、ユーザーがアカウント権限サービス404に自身のアカウントを作成しており、ユーザーがユーザー機器402の機器IDに関連付けられている場合、ユーザーは、ユーザー機器402に関連付けられた機器証明書を要求することができる。ユーザーは、公開鍵と秘密鍵の対を生成し、対象機器の参照(例えばユーザーフレンドリーな機器名、機器ID等)と共に公開鍵をアカウント権限サービス404に送信する。公開鍵は、アカウントの作成と併せて、またはその後のいずれかの時に、アカウント権限サービス404に送信されることができる。アカウント権限サービス404は、公開鍵を使用して機器IDを暗号化して機器証明書を作成し、機器証明書をユーザー機器402に送り返す。このトランザクションの結果、ユーザー機器402は、その機器IDで識別される機器であることの信頼できる証拠(例えば機器証明書)を所有することになる。
[0045]別のリモートユーザーがリモートユーザー機器412を通じてユーザー機器402に接続することを試みる際、リモートユーザー機器412は、アカウント権限サービス404に、第1のユーザー(例えば第1のユーザーの電子メールアドレス、ゲーマータグ、ユーザー名等で識別される)に関連付けられた共有可能な機器のリストを要求する。アカウント権限サービス404は、第1のユーザーのアカウント情報を検索し、ユーザーの機器のうちどの機器が共有可能な機器として公開されているか、および要求側のリモートユーザーがその機器を共有する権限があるかどうかを判定する。リモートユーザーがそのような権限を有する場合、アカウント権限サービス404は、第1のユーザーに関連付けられ、リモートユーザーによる共有が可能な、共有可能機器のリストを返す。リモートユーザーは、共有可能機器の1つを選択し、その選択をアカウント権限サービス404に返すことができる。アカウント権限サービス404は、次いで、選択された機器の機器IDをユーザーのアカウント情報から抽出し、その選択された機器の機器IDをリモートユーザー機器412に返す。リモートユーザー機器412に返される情報は、ユーザー機器402の公開鍵およびIPアドレスを含むことができる。
[0046]選択した共有可能機器の機器IDを信頼できるアカウント権限サービス404から取得すると、リモートユーザー機器412は、ユーザー機器402に接続することができる。一実施では、この接続は、ユーザー機器402のIPアドレスを用いて、TCP/IP等の標準的なネットワークプロトコルを通じて実現される。リモートユーザー機器412がユーザー機器402との接続を達成すると、リモートユーザー機器412は、ユーザー機器402に機器証明書を要求し、アカウント権限サービス404で行なわれた署名を検証する。(このようにして、リモートユーザー機器412はユーザー機器402の公開鍵を得ることができる。リモートユーザー機器412は、アカウント権限サービス404からユーザー機器402の公開鍵も得ることができる。)
[0047]リモートユーザー機器412は、ユーザー機器402の公開鍵に一致する秘密鍵を提供するようにユーザー機器402に要求する。提供の方法は、SSL等の標準的なプロトコルを通じて達成されることができるが、他の方法も用いられてよい。一実施では、ユーザー機器402は、リモートユーザー機器412とのネットワークチャレンジ/レスポンスハンドシェイクを行ない、その結果、ユーザー機器402が何らかのデータを自身の秘密鍵で署名および/または暗号化することになる。リモートユーザー機器412は次いで、ユーザー機器402の公開鍵を使用してそのデータを検証することができる。ユーザー機器402が真に秘密鍵を所有することを確認することにより、リモートユーザー機器412は、自身が接続しようとした機器に接続されたことを確認し、したがって双方の機器は安全に通信を続けることができる。検証が不合格の場合は、リモートユーザー機器412は、妥当でない機器に情報を提供する前、またはアクセス権を付与する前に、接続を切断することができる。
[0048]一実施では、ユーザー機器402は、リモートユーザー機器412の識別を確かめることができるように、リモートユーザー機器412がアカウント権限サービス404から受け取った機器412のセキュリティトークンを送信することも要求することができる。セキュリティトークンは、証明書形式の公開鍵と秘密鍵の対であってもよく、その場合機器402は、署名を検証し、リモートユーザー機器412によって秘密鍵が所有されている証明を取得する同様の処理を経る。
[0049]図5に、信頼できる機器に限定した認証に基づいてリモート機器によるアクセスを提供するための例示的動作および通信(まとめて500とする)を示す。発見要求動作502で、リモートユーザーは、(リモートユーザー機器を介して)アカウント権限サービスに、別のユーザーに関連付けられた共有可能機器のリストを要求し、ユーザーの電子メールアドレス、ゲーマータグ、ユーザー名等のユーザー識別子を使用してユーザーを指定する。リスト発見動作504で、アカウント権限サービスは、要求を受け取り、指定されたユーザーのアカウントにアクセスして、指定されたユーザーに関連付けられた共有可能機器のリストを取得する。アカウント権限サービスは、指定されたユーザーによって提出された機器名(通例はユーザーフレンドリーな機器名)を収集してリストにまとめ、そのリストを送信動作506でリモートユーザー機器に送り返す。
[0050]リモートユーザーは、選択動作508で、共有可能機器のリストを閲覧し、対象となる機器を選択することができる。送信動作510で、リモートユーザー機器は、共有可能機器の選択をアカウント権限サービスに返す。アカウント権限サービスは、抽出動作512で、相手のユーザーのアカウント情報にアクセスして、選択された機器の機器IDを抽出し、送信動作514でリモートユーザー機器に返す。リモートユーザー機器は、受信動作516で機器IDを受け取る。
[0051]リモートユーザー機器は、接続動作518で、選択した機器に接続する。前述のように、この接続は、TCP/IPなどの標準的なネットワークプロトコルを通じて得ることができるが、他の方法も用いられてよい。共有可能なユーザー機器は、接続動作520で接続を受け付け、このことは、そのユーザー機器の秘密鍵を所有していることの証明にもなる。リモートユーザー機器は、秘密鍵の所持の主張(例えば機器証明書)を受け取り、ユーザー機器の秘密鍵がその秘密鍵の所持の主張で使用されたことを確認する。この検証機構は、秘密鍵/公開鍵の対に基づいて(例えばSSLを介して)実装されることができる。リモートユーザー機器は、機器証明書のアカウント権限の署名を確認してもよい。
[0052]リモートユーザー機器が機器IDを介して共有可能ユーザー機器の識別を確認することができる場合、リモートユーザー機器は、自身が接続された機器が、共有可能機器のリストから選択した機器であることを保証される。そのため、リモートユーザー機器と共有可能ユーザー機器は、動作526および528で対話することができる。リモートユーザー機器が、共有可能ユーザー機器の識別を、接続しようとした機器として確認することができない場合は、接続を終了してセキュリティ違反の可能性を低下させることができる。
[0053]本発明を実施するための図6の例示的なハードウェアおよび動作環境は、ゲーム機本体またはコンピューター20、携帯電話、携帯情報端末(PDA)、セットトップボックスの形態の汎用コンピューティング機器、または他の種類のコンピューティング機器を含む。図6の実施では、例えば、コンピューター20は、処理装置21、システムメモリー22、および、システムメモリーを含む各種システム構成要素を処理装置21に動作的に結合するシステムバス23を備える。処理装置21は、1つのみの場合も、2つ以上存在する場合もあり、コンピューター20のプロセッサーは、単一の中央演算処理装置(CPU)からなるか、または、一般に並列処理環境と呼ばれる、複数の処理装置からなる。コンピューター20は、従来型のコンピューターでも、分散コンピューターでも、他の種類のコンピューターでもよい。本発明は、この点で限定されない。
[0054]システムバス23は、各種のバスアーキテクチャーを使用した、メモリーバスまたはメモリーコントローラー、ペリフェラルバス、スイッチファブリック、2地点間接続、およびローカルバスを含む、数種のバス構造のいずれでもよい。システムメモリーは、単にメモリーと呼ばれる場合もあり、読み取り専用メモリー(ROM)24およびランダムアクセスメモリー(RAM)25を含む。起動時等にコンピューター20内の要素間の情報転送を助ける基本ルーチンを含んだ基本入出力システム(BIOS)26は、ROM24に記憶される。コンピューター20はさらに、図示しないハードディスクの読み書きを行なうハードディスクドライブ27、取り外し可能磁気ディスク29の読み取りまたは書き込みを行なう磁気ディスクドライブ28、および、CD−ROMや他の光学媒体等の取り外し可能光ディスク31の読み取りまたは書き込みを行なう光ディスクドライブ30を備える。
[0055]ハードディスクドライブ27、磁気ディスクドライブ28、および光ディスクドライブ30は、それぞれ、ハードディスクドライブインタフェース32、磁気ディスクドライブインタフェース33、光ディスクドライブインタフェース34でシステムバス23に接続される。これらのドライブとそれに関連するコンピューター可読媒体は、コンピューター20のコンピューター可読命令、データ構造、プログラムモジュール、および他のデータの不揮発性の記憶を提供する。当業者には、磁気カセット、フラッシュメモリーカード、デジタルビデオディスク、ランダムアクセスメモリー(RAM)、読み取り専用メモリー(ROM)等、コンピューターからアクセス可能なデータを記憶することができる任意の種類のコンピューター可読媒体が例示的動作環境で使用されてよいことが理解されよう。
[0056]ハードディスク、磁気ディスク29、光ディスク31、ROM24、またはRAM25には複数のプログラムモジュールが記憶されることができ、それらのモジュールには、オペレーティングシステム35、1つまたは複数のアプリケーションプログラム36、他のプログラムモジュール37、およびプログラムデータ38が含まれる。ユーザーは、キーボード40やポインティングデバイス42等の入力装置を通じてコンピューター20にコマンドおよび情報を入力することができる。他の入力装置(図示せず)には、マイクロフォン、ジョイスティック、ゲームパッド、衛星受信アンテナ、スキャナー等が含まれる。上記および他の入力装置は、多くの場合、システムバスに結合されたシリアルポートインタフェース46を通じて処理装置21に接続されるが、パラレルポート、ゲームポート、またはユニバーサルシリアルバス(USB)等の他のインタフェースで接続されることも可能である。モニター47または他の種の表示装置も、ビデオアダプター48等の表示インタフェースを介してシステムバス23に接続される。モニターに加えて、コンピューターは通例、スピーカーやプリンター等の他の周辺出力装置(図示せず)を備える。
[0057]コンピューター20は、リモートコンピューター49等の1つまたは複数のリモートコンピューターとの論理接続を使用するネットワーク環境で動作することができる。これらの論理接続は、コンピューター20に結合された、またはコンピューター20の一部である通信装置によって達成されるが、本発明は、特定の種類の通信装置に限定されない。リモートコンピューター49は、別のコンピューター、サーバー、ルーター、ネットワークPC、クライアント、ピアデバイス、または他の一般的なネットワークノードであり、図6にはメモリー記憶装置50のみを図示するが、通例は、上記でコンピューター20に関して述べた要素の多くまたは全てを備える。図6に示す論理接続は、ローカルエリアネットワーク(LAN)51およびワイドエリアネットワーク(WAN)52を含む。このようなネットワーク環境は、オフィス内ネットワーク、企業規模のコンピューターネットワーク、イントラネット、およびインターネットに一般的に見られ、これらは全て、ネットワークの種類である。
[0058]LANネットワーク環境で使用される場合、コンピューター20は、ネットワークインタフェースまたはアダプター53を通じてローカルネットワーク51に接続される。アダプター53は、通信装置の一種である。WANネットワーク環境で使用される場合、コンピューター20は通例、モデム54、ネットワークアダプター、ある種の通信装置、またはワイドエリアネットワーク52上に通信を確立するための他の種類の通信装置を備える。モデム54は、内蔵される場合も外付け型の場合もあり、シリアルポートインタフェース46を介してシステムバス23に接続される。ネットワーク環境では、パーソナルコンピューター20に関連して図示したプログラムモジュール、またはその一部は、リモートのメモリー記憶装置に記憶されることができる。図のネットワーク接続は例であり、コンピューター間に通信リンクを確立するための他の手段および装置が使用されてよいことが理解されよう。
[0059]例示的な実施では、アカウント権限サービスモジュールおよび他のモジュールは、メモリー22および/または記憶装置29もしくは31に記憶され、処理装置21で処理される命令によって実施されることができる。ユーザー名、パスワード、機器識別子、証明書、セキュリティトークン、および他のデータは、永続的なデータストアーとしてのメモリー22および/または記憶装置29または31に記憶されることができる。
[0060]本明細書に記載される技術は、1つまたは複数のシステム内で論理動作および/またはモジュールとして実施される。論理動作は、1つまたは複数のコンピューターシステムで実行される、プロセッサー実施の一連のステップとして、および、1つまたは複数のコンピューターシステム内の相互接続されたマシンモジュールまたは回路モジュールとして実施される。同様に、各種構成要素モジュールの説明は、それらモジュールによって実行または実施される動作の点から提供されることができる。その結果得られる実施は、ここに記載される技術を実施する基礎システムの性能要件に応じて選択される事項である。したがって、本明細書に記載される技術の実施形態を構成する論理動作は、動作、ステップ、オブジェクト、またはモジュール等と、様々な呼び方がされる。さらに、論理動作は、明示的に要求されない限り、またはクレームの文言により特定の順序が本質的に必要とされない限りは、どのような順序で行なわれてもよいことを理解されたい。
[0061]上記の詳細な説明、例、およびデータは、本発明の例示的実施形態の構造および使用の完全な説明を提供する。本発明の各種実施形態についてある程度の詳細をもって、あるいは1つまたは複数の個々の実施形態を参照して上記で説明したが、当業者は、本発明の主旨または範囲から逸脱することなく、ここに開示される実施形態に多数の改変を行なうことができる。特に、ここに記載される技術はパーソナルコンピューターに依存せずに用いることが可能であることを理解されたい。したがって、他の実施形態が想定される。上記の説明に含まれ、添付図面に示される全ての内容は制限的なものではなく、単なる特定の実施形態の例示と解釈すべきことが意図される。以下の特許請求の範囲に定義される本発明の基本的要素から逸脱することなく詳細または構造の変更がなされることが可能である。
[0062]主題について構造的特徴および/または方法論的技術に固有の術語で説明したが、添付の特許請求の範囲に定義される主題は、必ずしも上記の具体的な特徴または動作に限定されないことを理解されたい。上記の具体的特徴および動作は、特許請求の範囲に記載される主題を実施する例示的形態として開示される。

Claims (17)

  1. アカウントネットワーク(account network)(100)内でユーザーの多要素認証(multiple-factor authentication)を行なう方法であって、
    前記アカウントネットワーク(100)にアクセスするために前記ユーザーによって用いられる機器(device)(102)で生成(generated)された前記ユーザーのユーザー資格情報(user credentials)(204)および機器資格情報(device credentials)(204)を受け取るステップと、
    前記ユーザー資格情報(204)のユーザー識別子(identifier)を前記機器資格情報(204)の機器識別子(identifier)に関連付け(associating)(206)て、前記ユーザーと前記機器との間の信頼関係(trust relationship)を表す(represent)ステップと、
    前記ユーザー資格情報(204)および前記機器資格情報(204)を評価(evaluating)して、検証結果(verification results)を生成する(314)ステップと、
    前記ユーザー資格情報(204)および前記機器資格情報(204)両方の前記検証結果に基づいて、前記ユーザーの識別(identity)の証拠(evidence)を提供する(320)ステップと、
    前記ユーザー資格情報の検証は合格したが前記機器資格情報の検証が合格しない場合は、前記ユーザーによる前記ユーザー資格情報および前記機器資格情報を変更する試み(attempt)を阻止(blocking)するステップと、
    前記ユーザ資格情報と前記機器資格情報との双方の識別の証拠が、検証の合格を示す場合に、より高位の特権を許可し、前記ユーザ資格情報と前記機器資格情報とのいずれの識別の証拠も、検証の失敗を示す場合に、より低位の特権を許可するステップと、
    を含み、
    前記関連付けることが、前記ユーザ識別子と前記機器識別子を関連付けて、前記アカウントネットワーク内のユーザのアカウントに記録することを含み、
    共有パラメータが、前記ユーザのアカウントに付加され、
    前記共有パラメータが、遠隔ユーザを特定するために、及び、どの特権のレベルでの共有を希望するかを特定するために使用され、当該遠隔ユーザは、前記ユーザが、当該遠隔ユーザと、前記機器の共有を希望する者であり、
    前記共有パラメータが、前記機器識別子と関連付けられる、
    方法。
  2. 前記ユーザーの識別の前記証拠は、前記ユーザー識別子および前記機器識別子の両方を含む、請求項1に記載の方法。
  3. 前記関連付ける動作は、
    前記ユーザー識別子および前記機器識別子と少なくとも1つの他の機器識別子を記録するステップであって、前記記録動作は、前記機器識別子および前記少なくとも1つの他の機器識別子で識別される前記機器を、前記ユーザーの信頼できる機器(trusted devices)として指定する、ステップ
    を含む、請求項1に記載の方法。
  4. 前記提供する動作は、
    前記ユーザーの識別の前記証拠としてセキュリティトークンを生成するステップを含み、前記セキュリティトークンは、前記ユーザー識別子と前記機器識別子の両方を含む、請求項1に記載の方法。
  5. 前記提供の動作は、
    前記ユーザーの識別の前記証拠としてセキュリティトークンを生成するステップを含み、前記セキュリティトークンは、前記セキュリティトークンの受信者が前記セキュリティトークンから前記ユーザー識別子と前記機器識別子の両方にアクセスすることを可能にするプログラミングインタフェースを含む、請求項1に記載の方法。
  6. 前記関連付け動作(associating operation)の後に前記機器識別子から前記ユーザー識別子の関連付けを解除(disassociating)して、前記機器を、ユーザーが信頼できるとされる機器から削除(remove)するステップをさらに含む、請求項1に記載の方法。
  7. 前記提供動作(providing operation)は、前記ユーザー資格情報と前記機器資格情報両方の検証が合格した場合(upon successful verification)のみに、前記識別の証拠を提供(provides)する
    請求項1に記載の方法。
  8. 前記提供動作は、前記ユーザー資格情報と前記機器資格情報両方の検証が合格した場合に、前記識別の証拠を提供する、
    請求項1に記載の方法。
  9. 前記提供動作は、前記ユーザー資格情報と前記機器資格情報両方の検証が合格した場合に、前記識別の証拠を提供し、
    前記方法は、
    結果として前記ユーザー資格情報の検証は合格したが前記機器資格情報の検証が合格しなかった、前記ユーザー資格情報を使用した認証の試みを前記ユーザーに通知するステップ
    をさらに含む、請求項1に記載の方法。
  10. 前記識別の証拠を受け取るのに応答してアカウントネットワークリソースによって付与(granted)される特権(privilege)のレベルは、前記識別の証拠が、前記機器資格情報の検証が合格したことを示すかどうかに応じて決まる、請求項1に記載の方法。
  11. アカウントネットワーク内でユーザーの多要素認証を行なうコンピュータープロセスを行なうためのコンピューター実行可能命令を有するコンピューター可読記憶媒体(31)であって、前記コンピュータープロセスは、
    前記アカウントネットワーク(100)にアクセスするために、前記ユーザーによって用いられる機器(102)で生成された前記ユーザーのユーザー資格情報(204)および機器資格情報(204)を受け取るステップであって、前記ユーザー資格情報(204)は、前記ユーザーのユーザー識別子を含み、前記機器資格情報(204)は、前記機器(102)の機器識別子を含むステップと、
    前記アカウントネットワーク(100)内の前記ユーザーのアカウント(106)に前記ユーザー識別子と前記機器識別子を組み合わせて記録する(206)ことにより、前記ユーザーと前記機器(102)との間の信頼関係を表すステップと、
    前記ユーザー資格情報(204)および前記機器資格情報(204)を評価して、検証結果を生成するステップと、
    前記ユーザー資格情報(204)および前記機器資格情報(204)両方の前記検証結果に基づいて、前記ユーザーの識別の証拠を提供する(320)ステップと、
    前記ユーザー資格情報の検証は合格したが前記機器資格情報の検証が合格しない場合は、前記ユーザーによる前記ユーザー資格情報および前記機器資格情報を変更する試み(attempt)を阻止(blocking)するステップと、
    前記ユーザ資格情報と前記機器資格情報との双方の識別の証拠が、検証の合格を示す場合に、より高位の特権を許可し、前記ユーザ資格情報と前記機器資格情報とのいずれの識別の証拠も、検証の失敗を示す場合に、より低位の特権を許可するステップと、
    を含み、
    前記関連付けることが、前記ユーザ識別子と前記機器識別子を関連付けて、前記アカウントネットワーク内のユーザのアカウントに記録することを含み、
    共有パラメータが、前記ユーザのアカウントに付加され、
    前記共有パラメータが、遠隔ユーザを特定するために、及び、どの特権のレベルでの共有を希望するかを特定するために使用され、当該遠隔ユーザは、前記ユーザが、当該遠隔ユーザと、前記機器の共有を希望する者であり、
    前記共有パラメータが、前記機器識別子と関連付けられる、
    コンピューター可読記憶媒体(31)。
  12. 前記ユーザーの識別の前記証拠は、前記ユーザー識別子および前記機器識別子の両方を含む、請求項11に記載のコンピューター可読記憶媒体。
  13. 前記関連付けの動作は、
    前記ユーザー識別子および前記機器識別子と少なくとも1つの他の機器識別子を記録するステップであって、前記記録動作は、前記機器識別子および前記少なくとも1つの他の機器識別子で識別される前記機器を、前記ユーザーの信頼できる機器として指定する、ステップ
    を含む、請求項11に記載のコンピューター可読記憶媒体。
  14. 前記提供する動作は、
    前記ユーザーの識別の前記証拠としてセキュリティトークンを生成するステップを含み、前記セキュリティトークンは、前記ユーザー識別子と前記機器識別子の両方を含む、請求項11に記載のコンピューター可読記憶媒体。
  15. 前記提供の動作は、
    前記ユーザーの識別の前記証拠としてセキュリティトークンを生成するステップを含み、前記セキュリティトークンは、前記セキュリティトークンの受信者(recipient)が前記セキュリティトークンから前記ユーザー識別子と前記機器識別子の両方にアクセスすることを可能にするプログラミングインタフェースを含む、請求項11に記載のコンピューター可読記憶媒体。
  16. 前記識別の証拠を受け取るのに応答してアカウントネットワークリソースによって付与される特権のレベルは、前記識別の証拠が、前記機器資格情報の検証が合格したことを示すかどうかに応じて決まる、請求項11に記載のコンピューター可読記憶媒体。
  17. アカウントネットワークリソース(110)にアクセスするためのあるレベルの特権をユーザーに許可する方法であって、
    ユーザーが前記アカウントネットワークリソース(110)へのアクセスを試みる際に用いる機器(102)から識別の証拠(324)を受け取るステップと、
    前記識別の証拠(324)を調べて(326)、前記識別の証拠が、前記アカウントネットワークリソース(110)に信頼できる認証提供者(104)による前記ユーザーのユーザー資格情報(204)および前記機器(102)の機器資格情報(204)両方の検証が合格したことを示すかどうかを判定するステップと、
    前記ユーザー資格情報の検証は合格したが前記機器資格情報の検証が合格しない場合は、前記ユーザーによる前記ユーザー資格情報および前記機器資格情報を変更する試み(attempt)を阻止(blocking)するステップと、
    前記識別の証拠が、前記認証提供者(104)による前記ユーザーの前記ユーザー資格情報(204)および前記機器(102)の前記機器資格情報(204)両方の検証が合格したことを示す場合は、第1のレベルの特権を付与する(326)ステップと、
    前記識別の証拠(324)が、前記認証提供者(104)による前記ユーザーの前記ユーザー資格情報(204)および前記機器の前記機器資格情報両方の検証が不合格であったことを示す場合は、第2のレベルの特権を付与する(326)ステップと
    を含み、
    前記第1のレベルの特権が、前記第2のレベルの特権より高く、
    前記識別の証拠は、前記アカウントネットワークリソースが前記ユーザー資格情報のユーザー識別子および前記機器資格情報の機器識別子にアクセスすることができるプログラミングインタフェースを提供するセキュリティトークンを含み、
    前記関連付けることが、前記ユーザ識別子と前記機器識別子を関連付けて、前記アカウントネットワーク内のユーザのアカウントに記録することを含み、
    共有パラメータが、前記ユーザのアカウントに付加され、
    前記共有パラメータが、遠隔ユーザを特定するために、及び、どの特権のレベルでの共有を希望するかを特定するために使用され、当該遠隔ユーザは、前記ユーザが、当該遠隔ユーザと、前記機器の共有を希望する者であり、
    前記共有パラメータが、前記機器識別子と関連付けられる、
    方法。
JP2011511684A 2008-06-02 2009-05-04 信頼できる機器に限定した認証 Active JP5038531B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US12/131,142 2008-06-02
US12/131,142 US7979899B2 (en) 2008-06-02 2008-06-02 Trusted device-specific authentication
PCT/US2009/042667 WO2009148746A2 (en) 2008-06-02 2009-05-04 Trusted device-specific authentication

Publications (3)

Publication Number Publication Date
JP2011522327A JP2011522327A (ja) 2011-07-28
JP2011522327A5 JP2011522327A5 (ja) 2012-03-15
JP5038531B2 true JP5038531B2 (ja) 2012-10-03

Family

ID=41381542

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011511684A Active JP5038531B2 (ja) 2008-06-02 2009-05-04 信頼できる機器に限定した認証

Country Status (6)

Country Link
US (2) US7979899B2 (ja)
EP (1) EP2283669B1 (ja)
JP (1) JP5038531B2 (ja)
KR (1) KR101534890B1 (ja)
CN (1) CN102047709B (ja)
WO (1) WO2009148746A2 (ja)

Families Citing this family (205)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9002018B2 (en) * 2006-05-09 2015-04-07 Sync Up Technologies Corporation Encryption key exchange system and method
US8327142B2 (en) 2006-09-27 2012-12-04 Secureauth Corporation System and method for facilitating secure online transactions
US8301877B2 (en) 2008-03-10 2012-10-30 Secureauth Corporation System and method for configuring a valid duration period for a digital certificate
KR100897512B1 (ko) * 2008-08-07 2009-05-15 주식회사 포비커 데이터 방송에 적응적인 광고 방법 및 시스템
US20100042848A1 (en) * 2008-08-13 2010-02-18 Plantronics, Inc. Personalized I/O Device as Trusted Data Source
US9053480B1 (en) 2008-09-30 2015-06-09 Amazon Technologies, Inc. Secure validation using hardware security modules
US8892868B1 (en) * 2008-09-30 2014-11-18 Amazon Technologies, Inc. Hardening tokenization security and key rotation
US20100114768A1 (en) 2008-10-31 2010-05-06 Wachovia Corporation Payment vehicle with on and off function
US10867298B1 (en) 2008-10-31 2020-12-15 Wells Fargo Bank, N.A. Payment vehicle with on and off function
US20100131641A1 (en) * 2008-11-26 2010-05-27 Novell, Inc. System and method for implementing a wireless query and display interface
US8290135B2 (en) 2009-02-27 2012-10-16 Research In Motion Limited Systems and methods for facilitating conference calls using security keys
US20100220634A1 (en) * 2009-02-27 2010-09-02 Douglas Gisby Systems and methods for facilitating conference calls using security tokens
CN101834834A (zh) * 2009-03-09 2010-09-15 华为软件技术有限公司 一种鉴权方法、装置及鉴权系统
AU2010233498A1 (en) * 2009-04-07 2011-10-27 Omnifone Ltd Enabling digital media content to be downloaded to and used on multiple types of computing device
US9047458B2 (en) 2009-06-19 2015-06-02 Deviceauthority, Inc. Network access protection
US8726407B2 (en) 2009-10-16 2014-05-13 Deviceauthority, Inc. Authentication of computing and communications hardware
US8319606B2 (en) * 2009-10-29 2012-11-27 Corestreet, Ltd. Universal validation module for access control systems
US9769164B2 (en) * 2009-10-29 2017-09-19 Assa Abloy Ab Universal validation module for access control systems
US8613067B2 (en) 2009-11-17 2013-12-17 Secureauth Corporation Single sign on with multiple authentication factors
US8510816B2 (en) * 2010-02-25 2013-08-13 Secureauth Corporation Security device provisioning
WO2011106769A2 (en) * 2010-02-26 2011-09-01 General Instrument Corporation Dynamic cryptographic subscriber-device identity binding for subscriber mobility
NL1037813C2 (en) * 2010-03-18 2011-09-20 Stichting Bioxs System and method for checking the authenticity of the identity of a person logging into a computer network.
US8856509B2 (en) * 2010-08-10 2014-10-07 Motorola Mobility Llc System and method for cognizant transport layer security (CTLS)
US9940682B2 (en) 2010-08-11 2018-04-10 Nike, Inc. Athletic activity user experience and environment
US8453222B1 (en) * 2010-08-20 2013-05-28 Symantec Corporation Possession of synchronized data as authentication factor in online services
US8601602B1 (en) * 2010-08-31 2013-12-03 Google Inc. Enhanced multi-factor authentication
CN103098068A (zh) * 2010-09-13 2013-05-08 汤姆逊许可公司 用于暂时受信任装置的方法和设备
US8260931B2 (en) * 2010-10-02 2012-09-04 Synopsys, Inc. Secure provisioning of resources in cloud infrastructure
JP5717407B2 (ja) * 2010-11-15 2015-05-13 キヤノン株式会社 印刷中継システム、画像形成装置、システムの制御方法、およびプログラム
US8868915B2 (en) * 2010-12-06 2014-10-21 Verizon Patent And Licensing Inc. Secure authentication for client application access to protected resources
US20120167194A1 (en) * 2010-12-22 2012-06-28 Reese Kenneth W Client hardware authenticated transactions
AU2011100168B4 (en) 2011-02-09 2011-06-30 Device Authority Ltd Device-bound certificate authentication
WO2013009385A2 (en) * 2011-07-08 2013-01-17 Uniloc Usa Device-bound certificate authentication
US8935766B2 (en) * 2011-01-19 2015-01-13 Qualcomm Incorporated Record creation for resolution of application identifier to connectivity identifier
WO2012119015A1 (en) * 2011-03-01 2012-09-07 General Instrument Corporation Providing subscriber consent in an operator exchange
US8949951B2 (en) * 2011-03-04 2015-02-03 Red Hat, Inc. Generating modular security delegates for applications
US9112682B2 (en) * 2011-03-15 2015-08-18 Red Hat, Inc. Generating modular security delegates for applications
US9071422B2 (en) * 2011-04-20 2015-06-30 Innodis Co., Ltd. Access authentication method for multiple devices and platforms
AU2011101295B4 (en) 2011-06-13 2012-08-02 Device Authority Ltd Hardware identity in multi-factor authentication layer
US8752154B2 (en) * 2011-08-11 2014-06-10 Bank Of America Corporation System and method for authenticating a user
US9075979B1 (en) 2011-08-11 2015-07-07 Google Inc. Authentication based on proximity to mobile device
US8789143B2 (en) 2011-08-15 2014-07-22 Bank Of America Corporation Method and apparatus for token-based conditioning
US9361443B2 (en) 2011-08-15 2016-06-07 Bank Of America Corporation Method and apparatus for token-based combining of authentication methods
US8752143B2 (en) 2011-08-15 2014-06-10 Bank Of America Corporation Method and apparatus for token-based reassignment of privileges
US8539558B2 (en) * 2011-08-15 2013-09-17 Bank Of America Corporation Method and apparatus for token-based token termination
US8806602B2 (en) 2011-08-15 2014-08-12 Bank Of America Corporation Apparatus and method for performing end-to-end encryption
US8732814B2 (en) * 2011-08-15 2014-05-20 Bank Of America Corporation Method and apparatus for token-based packet prioritization
AU2011101297B4 (en) 2011-08-15 2012-06-14 Uniloc Usa, Inc. Remote recognition of an association between remote devices
US8950002B2 (en) 2011-08-15 2015-02-03 Bank Of America Corporation Method and apparatus for token-based access of related resources
US8752124B2 (en) 2011-08-15 2014-06-10 Bank Of America Corporation Apparatus and method for performing real-time authentication using subject token combinations
DE102011110898A1 (de) 2011-08-17 2013-02-21 Advanced Information Processing Systems Sp. z o.o. Verfahren zur Authentifizierung eines Benutzers zum Gewähren eines Zugangs zu Diensten eines Computersystems, sowie zugehöriges Computersystem, Authentifizierungsserver und Kommunikationsgerät mit Authentifizierungsapplikation
US8798273B2 (en) 2011-08-19 2014-08-05 International Business Machines Corporation Extending credential type to group Key Management Interoperability Protocol (KMIP) clients
CN103827811A (zh) 2011-09-30 2014-05-28 惠普发展公司,有限责任合伙企业 管理基本输入/输出系统(bios)的访问
WO2013066016A1 (ko) * 2011-11-04 2013-05-10 주식회사 케이티 신뢰관계 형성 방법 및 이를 위한 내장 uⅰcc
KR101986312B1 (ko) * 2011-11-04 2019-06-05 주식회사 케이티 신뢰관계 형성 방법 및 이를 위한 내장 uⅰcc
US9438575B2 (en) * 2011-12-22 2016-09-06 Paypal, Inc. Smart phone login using QR code
US8751794B2 (en) * 2011-12-28 2014-06-10 Pitney Bowes Inc. System and method for secure nework login
CN104025503B (zh) * 2011-12-28 2017-07-28 英特尔公司 使用客户端平台信任根的网页认证
US9237146B1 (en) 2012-01-26 2016-01-12 United Services Automobile Association Quick-logon for computing device
US10282531B1 (en) 2012-01-26 2019-05-07 United Services Automobile Association (Usaa) Quick-logon for computing device
US9367678B2 (en) * 2012-02-29 2016-06-14 Red Hat, Inc. Password authentication
US9697346B2 (en) * 2012-03-06 2017-07-04 Cisco Technology, Inc. Method and apparatus for identifying and associating devices using visual recognition
KR20160127167A (ko) * 2012-03-08 2016-11-02 인텔 코포레이션 다중 팩터 인증 기관
US20160337351A1 (en) * 2012-03-16 2016-11-17 Acuity Systems, Inc. Authentication system
CN103368928B (zh) * 2012-04-11 2018-04-27 富泰华工业(深圳)有限公司 帐号密码重置系统及方法
WO2013155628A1 (en) 2012-04-17 2013-10-24 Zighra Inc. Fraud detection system, method, and device
US20130275282A1 (en) 2012-04-17 2013-10-17 Microsoft Corporation Anonymous billing
US11424930B2 (en) * 2012-05-22 2022-08-23 Barclays Bank Delaware Systems and methods for providing account information
US9317689B2 (en) * 2012-06-15 2016-04-19 Visa International Service Association Method and apparatus for secure application execution
US8984111B2 (en) 2012-06-15 2015-03-17 Symantec Corporation Techniques for providing dynamic account and device management
US9177129B2 (en) * 2012-06-27 2015-11-03 Intel Corporation Devices, systems, and methods for monitoring and asserting trust level using persistent trust log
US9832189B2 (en) * 2012-06-29 2017-11-28 Apple Inc. Automatic association of authentication credentials with biometrics
US20140013108A1 (en) * 2012-07-06 2014-01-09 Jani Pellikka On-Demand Identity Attribute Verification and Certification For Services
US20140019753A1 (en) * 2012-07-10 2014-01-16 John Houston Lowry Cloud key management
CN103581114A (zh) * 2012-07-20 2014-02-12 上海湛泸网络科技有限公司 认证方法及其认证系统
JP5632429B2 (ja) * 2012-08-28 2014-11-26 Kddi株式会社 オープンな通信環境にクローズな通信環境を構築するサービス認証方法及びシステム
US9641521B2 (en) * 2012-09-14 2017-05-02 Iovation Llc Systems and methods for network connected authentication
US8539567B1 (en) * 2012-09-22 2013-09-17 Nest Labs, Inc. Multi-tiered authentication methods for facilitating communications amongst smart home devices and cloud-based servers
US9444817B2 (en) 2012-09-27 2016-09-13 Microsoft Technology Licensing, Llc Facilitating claim use by service providers
US9449156B2 (en) 2012-10-01 2016-09-20 Microsoft Technology Licensing, Llc Using trusted devices to augment location-based account protection
US8843741B2 (en) * 2012-10-26 2014-09-23 Cloudpath Networks, Inc. System and method for providing a certificate for network access
CN103023885B (zh) * 2012-11-26 2015-09-16 北京奇虎科技有限公司 安全数据处理方法及系统
US9172699B1 (en) * 2012-11-30 2015-10-27 Microstrategy Incorporated Associating a device with a user account
US9769159B2 (en) * 2012-12-14 2017-09-19 Microsoft Technology Licensing, Llc Cookie optimization
US10033719B1 (en) * 2012-12-20 2018-07-24 Amazon Technologies, Inc. Mobile work platform for remote data centers
LT2936369T (lt) * 2012-12-21 2020-07-27 Biobex, Llc Slaptažodžio patvirtinimas, naudojant klaviatūra ir saugų slaptažodžio įvedimo režimą
US9130920B2 (en) 2013-01-07 2015-09-08 Zettaset, Inc. Monitoring of authorization-exceeding activity in distributed networks
US9622075B2 (en) * 2013-01-31 2017-04-11 Dell Products L.P. System and method for adaptive multifactor authentication
US8935768B1 (en) * 2013-02-21 2015-01-13 Ca, Inc. Controlling client access to email responsive to email class levels
JP5596194B2 (ja) * 2013-02-28 2014-09-24 シャープ株式会社 認証装置、認証装置の制御方法、通信装置、認証システム、制御プログラム、および記録媒体
US20140259135A1 (en) * 2013-03-08 2014-09-11 Signature Systems Llc Method and system for simplified user registration on a website
US10110578B1 (en) * 2013-03-12 2018-10-23 Amazon Technologies, Inc. Source-inclusive credential verification
US9143496B2 (en) 2013-03-13 2015-09-22 Uniloc Luxembourg S.A. Device authentication using device environment information
US9286466B2 (en) 2013-03-15 2016-03-15 Uniloc Luxembourg S.A. Registration and authentication of computing devices using a digital skeleton key
GB2512613A (en) * 2013-04-03 2014-10-08 Cloudzync Ltd Secure communications system
EP2987130A4 (en) * 2013-04-19 2016-11-02 Twitter Inc METHOD AND SYSTEM FOR ESTABLISHING A CONFIDENCE ASSOCIATION
CN104125565A (zh) * 2013-04-23 2014-10-29 中兴通讯股份有限公司 一种基于oma dm实现终端认证的方法、终端及服务器
RU2676896C2 (ru) * 2013-07-05 2019-01-11 СГЭкс АС Способ и система аутентификации пользователей для предоставления доступа к сетям передачи данных
RU2583710C2 (ru) 2013-07-23 2016-05-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ обеспечения конфиденциальности информации, используемой во время операций аутентификации и авторизации, при использовании доверенного устройства
US10069868B2 (en) * 2014-03-28 2018-09-04 Intel Corporation Systems and methods to facilitate multi-factor authentication policy enforcement using one or more policy handlers
US9588342B2 (en) 2014-04-11 2017-03-07 Bank Of America Corporation Customer recognition through use of an optical head-mounted display in a wearable computing device
US10121142B2 (en) 2014-04-11 2018-11-06 Bank Of America Corporation User authentication by token and comparison to visitation pattern
US9514463B2 (en) 2014-04-11 2016-12-06 Bank Of America Corporation Determination of customer presence based on communication of a mobile communication device digital signature
US9424575B2 (en) * 2014-04-11 2016-08-23 Bank Of America Corporation User authentication by operating system-level token
US20170309552A1 (en) * 2014-05-07 2017-10-26 Uber Technologies, Inc. System and method for verifying users for a network service using existing users
US10212136B1 (en) 2014-07-07 2019-02-19 Microstrategy Incorporated Workstation log-in
US10332050B2 (en) 2014-07-10 2019-06-25 Bank Of America Corporation Identifying personnel-staffing adjustments based on indoor positioning system detection of physical customer presence
US10028081B2 (en) 2014-07-10 2018-07-17 Bank Of America Corporation User authentication
US9659316B2 (en) 2014-07-10 2017-05-23 Bank Of America Corporation Providing navigation functionality in a retail location using local positioning technology
US9471759B2 (en) 2014-07-10 2016-10-18 Bank Of America Corporation Enabling device functionality based on indoor positioning system detection of physical customer presence
US10108952B2 (en) 2014-07-10 2018-10-23 Bank Of America Corporation Customer identification
US9734643B2 (en) 2014-07-10 2017-08-15 Bank Of America Corporation Accessing secure areas based on identification via personal device
US10074130B2 (en) 2014-07-10 2018-09-11 Bank Of America Corporation Generating customer alerts based on indoor positioning system detection of physical customer presence
US9691092B2 (en) 2014-07-10 2017-06-27 Bank Of America Corporation Predicting and responding to customer needs using local positioning technology
US9432804B2 (en) 2014-07-10 2016-08-30 Bank Of America Corporation Processing of pre-staged transactions
US9699599B2 (en) 2014-07-10 2017-07-04 Bank Of America Corporation Tracking associate locations
US10278069B2 (en) 2014-08-07 2019-04-30 Mobile Iron, Inc. Device identification in service authorization
US10187799B2 (en) 2014-08-19 2019-01-22 Zighra Inc. System and method for implicit authentication
US10419419B2 (en) * 2014-09-24 2019-09-17 Intel Corporation Technologies for sensor action verification
US9311811B1 (en) 2014-10-08 2016-04-12 Google Inc. Alarm profile for a fabric network
CN104320163B (zh) * 2014-10-10 2017-01-25 安徽华米信息科技有限公司 一种通讯方法及装置
CN105592014B (zh) 2014-10-24 2019-02-15 阿里巴巴集团控股有限公司 一种可信终端验证方法、装置
US10069814B2 (en) * 2014-10-28 2018-09-04 Ca, Inc. Single sign on across multiple devices using a unique machine identification
US20160162900A1 (en) * 2014-12-09 2016-06-09 Zighra Inc. Fraud detection system, method, and device
CN107533608B (zh) * 2014-12-26 2021-08-24 迈克菲有限责任公司 可信更新
US10439815B1 (en) * 2014-12-30 2019-10-08 Morphotrust Usa, Llc User data validation for digital identifications
US9652035B2 (en) * 2015-02-23 2017-05-16 International Business Machines Corporation Interfacing via heads-up display using eye contact
US10554676B2 (en) 2015-03-03 2020-02-04 Zighra Inc. System and method for behavioural biometric authentication using program modelling
US11429975B1 (en) 2015-03-27 2022-08-30 Wells Fargo Bank, N.A. Token management system
US10701067B1 (en) 2015-04-24 2020-06-30 Microstrategy Incorporated Credential management using wearable devices
US10298563B2 (en) 2015-04-29 2019-05-21 Hewlett Packard Enterprise Development Lp Multi-factor authorization for IEEE 802.1x-enabled networks
CN106302308B (zh) * 2015-05-12 2019-12-24 阿里巴巴集团控股有限公司 一种信任登录方法和装置
US10187357B2 (en) * 2015-07-05 2019-01-22 M2MD Technologies, Inc. Method and system for internetwork communication with machine devices
CN106341233A (zh) * 2015-07-08 2017-01-18 阿里巴巴集团控股有限公司 客户端登录服务器端的鉴权方法、装置、系统及电子设备
EP3329705B1 (en) * 2015-07-31 2021-09-29 Telefonaktiebolaget LM Ericsson (PUBL) Methods and devices of registering, verifying identity of, and invalidating non-sim mobile terminals accessing a wireless communication network
US11170364B1 (en) 2015-07-31 2021-11-09 Wells Fargo Bank, N.A. Connected payment card systems and methods
US10171439B2 (en) * 2015-09-24 2019-01-01 International Business Machines Corporation Owner based device authentication and authorization for network access
US9825938B2 (en) 2015-10-13 2017-11-21 Cloudpath Networks, Inc. System and method for managing certificate based secure network access with a certificate having a buffer period prior to expiration
US9967244B2 (en) 2015-10-14 2018-05-08 Microsoft Technology Licensing, Llc Multi-factor user authentication framework using asymmetric key
US20170109741A1 (en) * 2015-10-16 2017-04-20 Bank Of America Corporation Tokenization of Financial Account Information for Use in Transactions
US9942223B2 (en) * 2015-11-25 2018-04-10 Microsoft Technology Licensing, Llc. Automated device discovery of pairing-eligible devices for authentication
US10333915B2 (en) * 2015-12-11 2019-06-25 Oath Inc. Customization of user account authentication
CN106878970B (zh) 2015-12-14 2020-05-05 阿里巴巴集团控股有限公司 变更手机号码的业务请求的识别方法及装置
KR101739098B1 (ko) * 2015-12-28 2017-05-24 주식회사 피노텍 복수 단말에서 자필서명을 이용한 본인 확인 시스템 및 방법
US10855664B1 (en) 2016-02-08 2020-12-01 Microstrategy Incorporated Proximity-based logical access
US10231128B1 (en) 2016-02-08 2019-03-12 Microstrategy Incorporated Proximity-based device access
KR102483836B1 (ko) * 2016-02-19 2023-01-03 삼성전자주식회사 전자 장치 및 그의 동작 방법
US10305885B2 (en) * 2016-03-03 2019-05-28 Blackberry Limited Accessing enterprise resources using provisioned certificates
US20170300673A1 (en) * 2016-04-19 2017-10-19 Brillio LLC Information apparatus and method for authorizing user of augment reality apparatus
EP3244360A1 (de) * 2016-05-12 2017-11-15 Skidata Ag Verfahren zur registrierung von geräten, insbesondere von zugangskontrollvorrichtungen oder bezahl- bzw. verkaufsautomaten bei einem server eines systems, welches mehrere derartige geräte umfasst
CN106411837A (zh) * 2016-05-30 2017-02-15 深圳市永兴元科技有限公司 权限管理方法和装置
US11615402B1 (en) 2016-07-01 2023-03-28 Wells Fargo Bank, N.A. Access control tower
US11386223B1 (en) 2016-07-01 2022-07-12 Wells Fargo Bank, N.A. Access control tower
US10992679B1 (en) 2016-07-01 2021-04-27 Wells Fargo Bank, N.A. Access control tower
US11886611B1 (en) 2016-07-01 2024-01-30 Wells Fargo Bank, N.A. Control tower for virtual rewards currency
US11935020B1 (en) 2016-07-01 2024-03-19 Wells Fargo Bank, N.A. Control tower for prospective transactions
WO2018045475A1 (en) * 2016-09-12 2018-03-15 Nanoport Technology Inc. Secure indirect access provisioning of off-line unpowered devices by centralized authority
EP3535724A1 (en) * 2016-11-01 2019-09-11 Entersekt International Limited Verifying an association between a communication device and a user
WO2018187960A1 (zh) * 2017-04-12 2018-10-18 福建联迪商用设备有限公司 一种 Root 权限管控的方法及系统
US11140157B1 (en) 2017-04-17 2021-10-05 Microstrategy Incorporated Proximity-based access
US10771458B1 (en) 2017-04-17 2020-09-08 MicoStrategy Incorporated Proximity-based user authentication
US10657242B1 (en) 2017-04-17 2020-05-19 Microstrategy Incorporated Proximity-based access
US11556936B1 (en) 2017-04-25 2023-01-17 Wells Fargo Bank, N.A. System and method for card control
WO2018207174A1 (en) * 2017-05-07 2018-11-15 Shay Rapaport Method and system for sharing a network enabled entity
US10089801B1 (en) 2017-05-15 2018-10-02 Amazon Technologies, Inc. Universal access control device
CN109039987A (zh) * 2017-06-08 2018-12-18 北京京东尚科信息技术有限公司 一种用户账户登录方法、装置、电子设备和存储介质
US10574662B2 (en) 2017-06-20 2020-02-25 Bank Of America Corporation System for authentication of a user based on multi-factor passively acquired data
US10360733B2 (en) 2017-06-20 2019-07-23 Bank Of America Corporation System controlled augmented resource facility
US11062388B1 (en) * 2017-07-06 2021-07-13 Wells Fargo Bank, N.A Data control tower
WO2019017883A1 (en) * 2017-07-17 2019-01-24 Hewlett-Packard Development Company, L.P AUTHENTICATION OF CERTIFICATES OF EMPOWERMENT
US10541977B2 (en) * 2017-07-25 2020-01-21 Pacesetter, Inc. Utilizing signed credentials for secure communication with an implantable medical device
US10491596B2 (en) * 2017-07-31 2019-11-26 Vmware, Inc. Systems and methods for controlling email access
US10491595B2 (en) * 2017-07-31 2019-11-26 Airwatch, Llc Systems and methods for controlling email access
US10673831B2 (en) * 2017-08-11 2020-06-02 Mastercard International Incorporated Systems and methods for automating security controls between computer networks
US10498538B2 (en) * 2017-09-25 2019-12-03 Amazon Technologies, Inc. Time-bound secure access
US11368451B2 (en) * 2017-10-19 2022-06-21 Google Llc Two-factor authentication systems and methods
US11188887B1 (en) 2017-11-20 2021-11-30 Wells Fargo Bank, N.A. Systems and methods for payment information access management
US20190278903A1 (en) * 2018-03-06 2019-09-12 GM Global Technology Operations LLC Vehicle control module security credential replacement
US10917790B2 (en) * 2018-06-01 2021-02-09 Apple Inc. Server trust evaluation based authentication
US11251956B2 (en) * 2018-07-02 2022-02-15 Avaya Inc. Federated blockchain identity model and secure personally identifiable information data transmission model for RCS
US11695783B2 (en) * 2018-08-13 2023-07-04 Ares Technologies, Inc. Systems, devices, and methods for determining a confidence level associated with a device using heuristics of trust
US11824882B2 (en) * 2018-08-13 2023-11-21 Ares Technologies, Inc. Systems, devices, and methods for determining a confidence level associated with a device using heuristics of trust
US10733473B2 (en) 2018-09-20 2020-08-04 Uber Technologies Inc. Object verification for a network-based service
US10999299B2 (en) 2018-10-09 2021-05-04 Uber Technologies, Inc. Location-spoofing detection system for a network service
CN109492376B (zh) * 2018-11-07 2021-11-12 浙江齐治科技股份有限公司 设备访问权限的控制方法、装置及堡垒机
US11489833B2 (en) * 2019-01-31 2022-11-01 Slack Technologies, Llc Methods, systems, and apparatuses for improved multi-factor authentication in a multi-app communication system
US20220070161A1 (en) * 2019-03-04 2022-03-03 Hitachi Vantara Llc Multi-way trust formation in a distributed system
US11431694B2 (en) * 2019-07-10 2022-08-30 Advanced New Technologies Co., Ltd. Secure account modification
US11552798B2 (en) * 2019-07-30 2023-01-10 Waymo Llc Method and system for authenticating a secure credential transfer to a device
US11700121B2 (en) * 2019-09-13 2023-07-11 Amazon Technologies, Inc. Secure authorization for sensitive information
US20210141888A1 (en) * 2019-11-12 2021-05-13 Richard Philip Hires Apparatus, System and Method for Authenticating a User
US11019191B1 (en) 2019-12-30 2021-05-25 Motorola Mobility Llc Claim a shareable device for personalized interactive session
US11640453B2 (en) 2019-12-30 2023-05-02 Motorola Mobility Llc User authentication facilitated by an additional device
US11284264B2 (en) * 2019-12-30 2022-03-22 Motorola Mobility Llc Shareable device use based on user identifiable information
US11140239B2 (en) 2019-12-30 2021-10-05 Motorola Mobility Llc End a shareable device interactive session based on user intent
US11770374B1 (en) 2019-12-31 2023-09-26 Cigna Intellectual Property, Inc. Computer user credentialing and verification system
US11770377B1 (en) * 2020-06-29 2023-09-26 Cyral Inc. Non-in line data monitoring and security services
US10992606B1 (en) 2020-09-04 2021-04-27 Wells Fargo Bank, N.A. Synchronous interfacing with unaffiliated networked systems to alter functionality of sets of electronic assets
US11546443B2 (en) * 2020-09-11 2023-01-03 Microsoft Technology Licensing, Llc Connected focus time experience that spans multiple devices
US11575692B2 (en) 2020-12-04 2023-02-07 Microsoft Technology Licensing, Llc Identity spray attack detection with adaptive classification
US11985241B2 (en) * 2020-12-29 2024-05-14 Visa International Service Association Method and system for token transfer
US12021861B2 (en) * 2021-01-04 2024-06-25 Bank Of America Corporation Identity verification through multisystem cooperation
US11546338B1 (en) 2021-01-05 2023-01-03 Wells Fargo Bank, N.A. Digital account controls portal and protocols for federated and non-federated systems and devices
CN113297552B (zh) * 2021-02-05 2023-11-17 中国银联股份有限公司 基于生物特征id链的验证方法及其验证系统、用户终端
CN113269560A (zh) * 2021-05-14 2021-08-17 河北幸福消费金融股份有限公司 身份验证方法、增强交易安全性的方法和存储介质

Family Cites Families (43)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10260939A (ja) * 1997-03-19 1998-09-29 Fujitsu Ltd コンピュータネットワークのクライアントマシン認証方法,クライアントマシン,ホストマシン及びコンピュータシステム
US6510236B1 (en) * 1998-12-11 2003-01-21 International Business Machines Corporation Authentication framework for managing authentication requests from multiple authentication devices
US8060389B2 (en) * 2000-06-07 2011-11-15 Apple Inc. System and method for anonymous location based services
US7181507B1 (en) * 2000-07-18 2007-02-20 Harrow Products Llc Internet based access point management system
US7600128B2 (en) 2001-02-14 2009-10-06 5Th Fleet, Llc Two-factor computer password client device, system, and method
US20020112186A1 (en) * 2001-02-15 2002-08-15 Tobias Ford Authentication and authorization for access to remote production devices
US7373515B2 (en) * 2001-10-09 2008-05-13 Wireless Key Identification Systems, Inc. Multi-factor authentication system
US7225256B2 (en) * 2001-11-30 2007-05-29 Oracle International Corporation Impersonation in an access system
US20030233580A1 (en) * 2002-05-29 2003-12-18 Keeler James D. Authorization and authentication of user access to a distributed network communication system with roaming features
US7322043B2 (en) * 2002-06-20 2008-01-22 Hewlett-Packard Development Company, L.P. Allowing an electronic device accessing a service to be authenticated
US7606560B2 (en) * 2002-08-08 2009-10-20 Fujitsu Limited Authentication services using mobile device
US7574731B2 (en) * 2002-10-08 2009-08-11 Koolspan, Inc. Self-managed network access using localized access management
US7546276B2 (en) * 2006-01-23 2009-06-09 Randle William M Common authentication service for network connected applications, devices, users, and web services
US7703128B2 (en) * 2003-02-13 2010-04-20 Microsoft Corporation Digital identity management
JP2004258847A (ja) * 2003-02-25 2004-09-16 Tech Res & Dev Inst Of Japan Def Agency 端末監視制御装置、端末監視制御方法および端末監視制御プログラム
EP1503352A1 (en) * 2003-07-31 2005-02-02 Matsushita Electric Industrial Co., Ltd. Portable device, IC module, IC card, and method for using services
CN100437551C (zh) * 2003-10-28 2008-11-26 联想(新加坡)私人有限公司 使多个用户设备自动登录的方法和设备
US7610617B2 (en) * 2003-12-23 2009-10-27 Wells Fargo Bank, N.A. Authentication system for networked computer applications
JP4301997B2 (ja) 2004-05-07 2009-07-22 日本電信電話株式会社 携帯電話による情報家電向け認証方法
US7272728B2 (en) * 2004-06-14 2007-09-18 Iovation, Inc. Network security and fraud detection system and method
US7900253B2 (en) * 2005-03-08 2011-03-01 Xceedid Corporation Systems and methods for authorization credential emulation
GB2424726A (en) * 2005-03-31 2006-10-04 Hewlett Packard Development Co Management of computer based assets
US7706778B2 (en) * 2005-04-05 2010-04-27 Assa Abloy Ab System and method for remotely assigning and revoking access credentials using a near field communication equipped mobile phone
US7350074B2 (en) * 2005-04-20 2008-03-25 Microsoft Corporation Peer-to-peer authentication and authorization
US8028329B2 (en) * 2005-06-13 2011-09-27 Iamsecureonline, Inc. Proxy authentication network
JP2007004605A (ja) * 2005-06-24 2007-01-11 Brother Ind Ltd 通信システム、クライアント、サーバおよびプログラム
US7743409B2 (en) * 2005-07-08 2010-06-22 Sandisk Corporation Methods used in a mass storage device with automated credentials loading
US20070056022A1 (en) * 2005-08-03 2007-03-08 Aladdin Knowledge Systems Ltd. Two-factor authentication employing a user's IP address
CA2617938A1 (en) * 2005-08-03 2007-02-15 Intercomputer Corporation System and method for user identification and authentication
US20070107050A1 (en) * 2005-11-07 2007-05-10 Jexp, Inc. Simple two-factor authentication
US20070136471A1 (en) * 2005-12-12 2007-06-14 Ip3 Networks Systems and methods for negotiating and enforcing access to network resources
US20070136472A1 (en) * 2005-12-12 2007-06-14 Ip3 Networks Systems and methods for requesting protocol in a network using natural language messaging
US7502761B2 (en) * 2006-02-06 2009-03-10 Yt Acquisition Corporation Method and system for providing online authentication utilizing biometric data
US20070220594A1 (en) * 2006-03-04 2007-09-20 Tulsyan Surendra K Software based Dynamic Key Generator for Multifactor Authentication
US7552467B2 (en) * 2006-04-24 2009-06-23 Jeffrey Dean Lindsay Security systems for protecting an asset
US8458775B2 (en) * 2006-08-11 2013-06-04 Microsoft Corporation Multiuser web service sign-in client side components
US7983249B2 (en) * 2007-01-23 2011-07-19 Oracle America, Inc. Enterprise web service data to mobile device synchronization
US8856890B2 (en) * 2007-02-09 2014-10-07 Alcatel Lucent System and method of network access security policy management by user and device
WO2009039419A1 (en) * 2007-09-21 2009-03-26 Wireless Dynamics, Inc. Wireless smart card and integrated personal area network, near field communication and contactless payment system
US8966594B2 (en) * 2008-02-04 2015-02-24 Red Hat, Inc. Proxy authentication
US20090228962A1 (en) * 2008-03-06 2009-09-10 Sharp Laboratories Of America, Inc. Access control and access tracking for remote front panel
US9705878B2 (en) * 2008-04-04 2017-07-11 International Business Machines Corporation Handling expired passwords
US8229812B2 (en) * 2009-01-28 2012-07-24 Headwater Partners I, Llc Open transaction central billing system

Also Published As

Publication number Publication date
KR20110020783A (ko) 2011-03-03
EP2283669A4 (en) 2014-09-24
US20110247055A1 (en) 2011-10-06
CN102047709B (zh) 2013-10-30
JP2011522327A (ja) 2011-07-28
WO2009148746A2 (en) 2009-12-10
KR101534890B1 (ko) 2015-07-07
WO2009148746A3 (en) 2010-04-22
EP2283669A2 (en) 2011-02-16
US7979899B2 (en) 2011-07-12
US20090300744A1 (en) 2009-12-03
EP2283669B1 (en) 2020-03-04
US8800003B2 (en) 2014-08-05
CN102047709A (zh) 2011-05-04

Similar Documents

Publication Publication Date Title
JP5038531B2 (ja) 信頼できる機器に限定した認証
US8209394B2 (en) Device-specific identity
KR101150108B1 (ko) 피어-투-피어 인증 및 허가
CA2407482C (en) Security link management in dynamic networks
RU2439692C2 (ru) Управляемое политиками делегирование учетных данных для единой регистрации в сети и защищенного доступа к сетевым ресурсам
US9172541B2 (en) System and method for pool-based identity generation and use for service access
KR20040049272A (ko) 네트워크 위치의 하위 위치에 대한 사용자의 인증을 위한방법 및 시스템
KR20170106515A (ko) 다중 팩터 인증 기관
Keil Social Security
ELHejazi et al. Improving the Security and Reliability of SDN Controller REST APIs Using JSON Web Token (JWT) with OpenID and auth2. 0
KR101066729B1 (ko) 네트워크 위치의 하위 위치에 대한 사용자의 인증을 위한 방법 및 시스템

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120124

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120124

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20120124

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20120210

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120223

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120516

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120606

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120705

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150713

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 5038531

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250