JP5844471B2 - インターネットベースのアプリケーションへのアクセスを制御する方法 - Google Patents
インターネットベースのアプリケーションへのアクセスを制御する方法 Download PDFInfo
- Publication number
- JP5844471B2 JP5844471B2 JP2014530619A JP2014530619A JP5844471B2 JP 5844471 B2 JP5844471 B2 JP 5844471B2 JP 2014530619 A JP2014530619 A JP 2014530619A JP 2014530619 A JP2014530619 A JP 2014530619A JP 5844471 B2 JP5844471 B2 JP 5844471B2
- Authority
- JP
- Japan
- Prior art keywords
- internet
- access
- application
- user
- command
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 claims description 58
- 230000005540 biological transmission Effects 0.000 claims description 18
- 238000013475 authorization Methods 0.000 claims description 8
- 238000010295 mobile communication Methods 0.000 claims description 4
- 238000009313 farming Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 125000002066 L-histidyl group Chemical group [H]N1C([H])=NC(C([H])([H])[C@](C(=O)[*])([H])N([H])[H])=C1[H] 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 230000001419 dependent effect Effects 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000002407 reforming Methods 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3215—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a plurality of channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/082—Access security using revocation of authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/084—Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/35—Protecting application or service provisioning, e.g. securing SIM application provisioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/37—Managing security policies for mobile devices or for controlling mobile applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/61—Time-dependent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/63—Location-dependent; Proximity-dependent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/71—Hardware identity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
- Telephonic Communication Services (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Computer And Data Communications (AREA)
Description
本発明は、オンラインサービスプロバイダのウェブサイト等のインターネットベースのアプリケーションへのアクセスを制御することに関する。
インターネットの導入およびユーザに提供される前例のないアクセスに伴い、サービスプロバイダの全ての態様は、オンラインサービスの提供へ着実に向かってきている。オンラインバンキング、コマースサービス、ショッピング、ウェブベースのeメールアカウント等は、現在すっかりありふれている。
ワイヤレスブロードバンドインフラストラクチャおよびサービスの導入および拡散はそれ以来、インターネットへの接続をユーザに提供するだけでなく、オンラインサービスの使用を拡張してきた。これはまた、ノート型個人コンピュータからインターネットおよびデータ機能を備えた移動式電話に至るまで、多数の製造者による多種多様な、携帯式インターネット利用可能なデバイスの開発および導入に対する推進力を提供してきた。
そのような携帯式デバイスの開発は、衰えることなく続き、過去10年間、我々は、演算能力およびインターネット接続性において継続的に進化し継続的に向上した、インターネットをさらに改革した、スマートフォンとして知られる新世代の携帯式インターネット利用可能なデバイスの導入を見てきた。用語スマートフォンは一般に、進化した演算機能およびインターネット接続性を有する移動式電話に関して使用され、スマートフォンは現在ありふれており、日常生活の中核であり、それを取り囲んでいる。
しかし、この新規で前例のないインターネット接続レベルは、データセキュリティに関して並行した終わりのない仕事をもたらし、それは、ウェブページおよびオンラインデータベースを保護することだけでなく、インターネットベースのアプリケーション、特に金融または商業アプリケーションへのユーザによる安全なアクセスを保証することを含む。
インターネットを介したオンラインサービスの導入以来、オンラインサービスプロバイダは、基本的には特定のオンラインサービスに関するユーザの個人オンラインIDおよびパスワードの盗用を含む身元の盗用によるユーザアカウントへの違法なアクセスを得る方法を求める悪質なパーティに継続的に対処してきた。これらの悪質なパーティによって使用される周知の方法は、フィッシング、ファーミング、キーロギング、および介入者攻撃を含む。
フィッシングは、オンラインサービスのユーザを騙して、悪質なパーティによって作成された詐欺のウェブサイト(即ち、スプーフ)がオンラインサービスプロバイダの本当のウェブサイトであると信じさせ、後続的に個人オンラインIDおよびパスワードを悪質なパーティに暴露するプロセスに言及する。
実際、フィッシング攻撃は、詐欺のコンテンツを備えるeメールで始まり、本当のウェブサイトの外観にかなり似せてあるかまたはコピーした詐欺のウェブサイトを何人かの受信者が訪問することを望んで、潜在的犠牲者に送信される。犠牲者はその後、騙されて自分のIDおよびパスワードを入力および提出し、悪質なパーティの手に落ちる。
ファーミングは、フィッシングの技術と同じ目的を持つID盗用のより高度な技術である。詐欺のeメールの配信およびユーザの無知を悪用することに代えて、ファーミングは、ユーザの身元が盗まれることになるよく似た詐欺のウェブサイトへ、本当のウェブサイトを訪問しようとするユーザを個別にそらす。
キーロギングは、ユーザが本当のウェブサイトにこれらログイン認証情報(login credentials)を提出する時、ユーザIDおよびパスワードを盗用するために使用される技術である。これは一般に、先ずユーザのキーストロークを記録するスパイウェアまたはトロイの木馬にユーザの個人コンピュータまたはインターネット利用可能なデバイスを感染させることによって達成される。記録されたキーストロークデータは、ユーザによって頻繁にタイプされたユーザIDおよびパスワードを含み、悪質なパーティへ定期的に送信される。
介入者攻撃は、ユーザと目標のオンラインサービスプロバイダのウェブサイトとの間にいわゆる中間者(MIM)を置くことを含む。通常、MIMは、ユーザのログイン認証情報の盗用またはログインセッションの乗っ取りを求める悪質なパーティにユーザとオンラインサービスプロバイダのウェブサイトとの間の情報を中継することができる。
介入者攻撃の強みは、提供される全ての情報が正しく見えるので、MIMが実際にオンラインサービスプロバイダのウェブサイトであるとユーザが思い込み、同様にオンラインサービスプロバイダは、全てのログイン認証情報が正しいので、ユーザと直接対話していると想定することである。
介入者攻撃は明らかに、無防備なユーザが介入者を通して追加の認証情報を実際に提出することに気付かないので、追加の認証コードを提出するようにユーザに要求する多数の2要素認証手法を回避することができる進化した攻撃形式である。
現在、上記説明したID盗用の形式に対する多数の周知の対応策があるが、ほとんどは、問題に対して部分的な解決策を提供するだけであり、実装するのに面倒であり、コストがかかるだけである。例えば:
− スパムフィルタは、eメールベースのフィッシングを防ぐのに効果があるだけで、ファーミングには効果がない。
− 質疑応答チャレンジレスポンス(question and answer challenge response)は、ユーザが無知であることを通じて騙されて情報を暴露することがあるので、未だフィッシングには脆弱である。
− 既知の秘密テキストまたはユーザの画像を表示することによるサーバ識別は、キーロギングを防ぐことはなく、ユーザとオンラインサービスプロバイダのウェブサーバとの間に介入者がいることを単に見落とす。
− トークンベースの認証(ハードウェアトークンおよびSMSベースのトークンの両方)は、フィッシングおよびファーミングを共に防ぐが、進化した介入者攻撃には未だ脆弱である。
− クライアントデジタル証明書およびスマートカードは、堅牢な認証ソリューションであるが、指数関数的に増加し続ける非常に多くのインターネット利用可能なデバイスが使用されていること、およびインターネットの急速に拡大する接続性および使用量を考慮する時、大規模なシステムを管理するには面倒であり、そのようなシステムに配置するにはコストがかかる。
− スパムフィルタは、eメールベースのフィッシングを防ぐのに効果があるだけで、ファーミングには効果がない。
− 質疑応答チャレンジレスポンス(question and answer challenge response)は、ユーザが無知であることを通じて騙されて情報を暴露することがあるので、未だフィッシングには脆弱である。
− 既知の秘密テキストまたはユーザの画像を表示することによるサーバ識別は、キーロギングを防ぐことはなく、ユーザとオンラインサービスプロバイダのウェブサーバとの間に介入者がいることを単に見落とす。
− トークンベースの認証(ハードウェアトークンおよびSMSベースのトークンの両方)は、フィッシングおよびファーミングを共に防ぐが、進化した介入者攻撃には未だ脆弱である。
− クライアントデジタル証明書およびスマートカードは、堅牢な認証ソリューションであるが、指数関数的に増加し続ける非常に多くのインターネット利用可能なデバイスが使用されていること、およびインターネットの急速に拡大する接続性および使用量を考慮する時、大規模なシステムを管理するには面倒であり、そのようなシステムに配置するにはコストがかかる。
WO2007/050932A2は、インターネットベースのアプリケーションへのアクセスを制御する方法、特に帯域外のシグナリング、特に電話ネットワークを介してインターネットベースのアプリケーションへのアクセスを制御するシステムおよび方法を開示する。WO2007/050932A2では、インターネットベースのアプリケーションに対する詐欺または権限のない使用の可能性は、電話の使用を介してユーザのログイン認証情報のプロセスを可能にするかまたは拒否する能力をユーザに与えることによって、低減される。
電話ネットワークに関して開示されたシステムおよび方法に依存すると、ユーザが電話をかけるように要求するという欠点があり、故に頻繁に移動するユーザにとって特に重要かもしれない追加のコストが生じる。もう1つの欠点は、ユーザがいくつかのコードシーケンスに慣れているかまたは記憶している必要があることで、同様に問題であると考えられる。また、一連のキーストロークを入力する必要性は、さらなる努力を要求し、誤った数字を入力しやすく、システムエラーをもたらすことがあり、または少なくとも手続を繰り返す必要がある。
上記周知の対応策の明らかな欠点に鑑みて、ユーザの既存のログイン認証情報を補うためにインターネットベースのアプリケーションへのアクセスを制御する方法に対する解決されていないニーズがあり、それは、大規模かつ妥当なコストで開発でき、上記説明した従来技術に改良をもたらす。
本発明の1つの実施形態では、第1のインターネット利用可能なデバイス(望ましくは、個人コンピュータ、ノートPC、またはタブレット等の個人コンピュータデバイス)を使用して登録ユーザによって有効なログイン認証情報の提出を要求するインターネットベースのアプリケーションへのアクセスを制御する方法は、ユーザが先ず、ユーザに関連付けられた第2のインターネット利用可能なデバイス(好ましくは、スマートフォンなどの移動式デバイス)によって固有の認証コードを含むコマンドのインターネットを介する送信を開始することを含む。
コマンドは、第2のデバイス上でデバイスベースのアプリケーションを起動する登録ユーザによって生成されてもよい。コマンドは、固有の認証コードとデータベースに格納されたそのコードのリストとを比較することによって、第2のインターネット利用可能なデバイスの身元を判断する認証サーバによって受信される。各コードは、特定の登録ユーザに関連付けられる。
固有の認証コードは、第2のデバイスに不可欠な固有の識別コードを含んでもよい。
登録ユーザの身元を有効に判断する時、認証サーバは、受信したコマンドに基づきアクセス制御ステータスを設定する。制御ステータスに基づき、サーバは、第1のインターネット利用可能なデバイスを介して有効なログイン認証情報の提出時にアプリケーションへのアクセスを判断する。
登録ユーザは、インターネットベースのアプリケーションにログインしたい時、アクセスを可能にするコマンド、またはインターネットベースのアプリケーションのログアウト後、権限のないアクセスを防ぐためにインターネットベースのアプリケーションへのアクセスを否定するコマンドを送信することができる。
もう1つの実施形態では、インターネットベースのアプリケーションへのアクセスを制御する方法は、第1および第2のインターネット利用可能なデバイスの各地理的位置を比較し、受信したコマンドに基づきアクセス制御ステータスを設定する前、両デバイスの地理的位置が互いに近接しているかを判断する認証サーバの追加的手続を含む。
現世代の携帯式デバイスによって提供される進化した機能性および高レベルのインターネット接続性に鑑みて、登録ユーザはもしかしたら、分離したデバイス(通常、個人コンピュータまたはノートPC)の代わりに、インターネットベースのアプリケーションにアクセスするために、同一のインターネット利用可能なデバイス(通常、スマートフォン等の携帯式デバイス)を利用するかもしれない。
故に、本発明の別の実施形態では、登録ユーザは、インターネットベースのアプリケーションにアクセスし、固有の認証コードを含むコマンドの送信のために同じデバイスを利用する。
そのような実施形態では、登録ユーザに関連付けられたインターネット利用可能なデバイスを使用して登録ユーザによって有効なログイン認証情報の提出を要求するインターネットベースのアプリケーションに対する自分のデバイス上でのアクセスを制御する方法は、ユーザが先ず、デバイスによって固有の認証コードを含むコマンドの送信を開始することを含む。
受信したコマンドは、デバイス上でデバイスベースのアプリケーションを登録ユーザが起動することにより生成され、各コードが特定の登録ユーザに関連付けられるので、固有の認証コードとデータベースに格納されたそのコードのリストとを比較することによって、インターネット利用可能なデバイスの身元を判断する認証サーバによって受信される。
固有の認証コードは、デバイスに不可欠な固有の識別コードを含んでもよい。
登録ユーザの身元を有効に判断する時、認証サーバは、受信したコマンドに基づきアクセス制御ステータスを設定し、制御ステータスに基づき、インターネット利用可能なデバイスを介して有効なログイン認証情報の提出時にアプリケーションへのアクセスを判断する。
登録ユーザは、インターネットベースのアプリケーションにログインしたい時、アクセスを可能にするためのコマンド、またはインターネットベースのアプリケーションのログアウト後、権限のないアクセスを防ぐためにインターネットベースのアプリケーションへのアクセスを否定するコマンドを送信してもよい。
この実施形態では、受信したコマンドは、インターネット利用可能なデバイス上でデバイスベースのアプリケーションを起動する登録ユーザによって生成され、固有の認証コードは、使用したデバイスに不可欠な固有の識別コードを含む。
全ての実施形態では、好ましい実施形態で説明した固有の認証コードは、登録ユーザに関連付けられたユーザ識別子からなってもよく、追加のセキュリティのためにデバイスベースのアプリケーションによって暗号化されてもよい。
固有の識別コードは、使用したデバイスの種類に依存してもよく、デバイスの国際移動体装置識別番号(IMEI)、移動体装置識別番号(MEID)、または電子シリアル番号(ESN)でもよい。代わりに、デバイスがBluetooth(登録商標)対応である場合、デバイスの固有のBluetooth(登録商標)アドレスが使用されてもよい。
簡単に言うと、本発明は、2要素認証手法(two-factor authentication scheme)の1つの概念として、スマートフォン等のありふれたインターネット利用可能なデバイスの新規な使用法によって、インターネットベースのアプリケーションへのアクセスを“スイッチオン”および“スイッチオフ”する方法を提供する。
ログイン認証情報は、登録ユーザが一意的に知っている何かとして機能し、デバイスまたは第2のデバイスは、登録ユーザが一意的に有している何かとして機能し、固有のデバイスのシリアルコードを参照する等により識別可能である。
別の局面では、本発明は、インターネットベースのアプリケーションの登録ユーザによってインターネットベースのアプリケーションへのアクセスを制御するためのデバイスベースのアプリケーションを含む個人のインターネット利用可能なデバイスを提供し、デバイスベースのアプリケーションは、デバイスに不可欠な固有の識別コードを読み取り、固有の識別コードを含むコマンドを生成し、コンピュータサーバへインターネットを介して送信するように適合され、コンピュータサーバへ前記コマンド信号を送信するためのデバイスベースのアプリケーションの起動は、インターネットベースのアプリケーションへのアクセスを可能にするかまたは否定するユーザの意図である。
さらに別の局面では、本発明は、インターネットベースのアプリケーションの登録ユーザによるインターネットベースのアプリケーションへのアクセスを制御するために個人のインターネット利用可能なデバイス上で使用するためのデバイスベースのアプリケーションを提供する。アクセスが有効な時、インターネットベースのアプリケーションは次いで、同じデバイスまたは別のインターネット利用可能なデバイスを介してアクセスされてもよい。
本発明のこの曲面の実施形態では、デバイスベースのアプリケーションは、それがインストールされたデバイスの位置を判断し、アクセス制御プロセスの一部として位置データを送信するように適合される。
本発明は故に、ユーザがアプリケーションにアクセスしたい時はいつでも、インターネットベースのアプリケーションへのアクセスを可能にするコマンドを、インターネットを介して単に送信することで、および任意の悪質なパーティによる権限のないアクセスを防ぐために、全ての他の時間でインターネットベースのアプリケーションへのアクセスを否定するコマンドを、インターネットを介して送信することで、インターネットベースのアプリケーション(インターネットバンキングウェブサイト等)へのアクセス制御をユーザに許可することによって、有効なログイン認証情報の提出を要求するインターネットベースのアプリケーション上でのフィッシング、ファーミング、キーロギング、および介入者攻撃に対処する新規な方法を提供する。
第1の実施形態では、方法は、第1のインターネット利用可能なデバイス1を介して登録ユーザによって有効なログイン認証情報の提出を要求するインターネットベースのアプリケーション3へのアクセスを制御することを含み、方法は:
a) ユーザに関連付けられた第2のインターネット利用可能なデバイス2によってインターネットを介して送信される固有の認証コードを含むコマンドをコンピュータサーバ4で受信するステップであって、そのコードの送信は、ユーザによって開始される、受信するステップと;
b) データベースに格納される複数のそのコードと受信したコードとを比較することによって第2のデバイス2の身元(identity)をコンピュータサーバ4で判断するステップであって、各コードがアプリケーションの異なる登録ユーザに関連付けられた、判断するステップと;
c) ステップb)で身元を有効に判断する時、前記コマンドに基づきアクセス制御ステータスをコンピュータサーバ4で設定するステップと;
d) アクセス制御ステータスに基づき、第1のデバイス1を介して有効なログイン認証情報の提出時にアプリケーション3へのアクセスをコンピュータサーバ4で判断するステップと;を含む。
a) ユーザに関連付けられた第2のインターネット利用可能なデバイス2によってインターネットを介して送信される固有の認証コードを含むコマンドをコンピュータサーバ4で受信するステップであって、そのコードの送信は、ユーザによって開始される、受信するステップと;
b) データベースに格納される複数のそのコードと受信したコードとを比較することによって第2のデバイス2の身元(identity)をコンピュータサーバ4で判断するステップであって、各コードがアプリケーションの異なる登録ユーザに関連付けられた、判断するステップと;
c) ステップb)で身元を有効に判断する時、前記コマンドに基づきアクセス制御ステータスをコンピュータサーバ4で設定するステップと;
d) アクセス制御ステータスに基づき、第1のデバイス1を介して有効なログイン認証情報の提出時にアプリケーション3へのアクセスをコンピュータサーバ4で判断するステップと;を含む。
インターネットベースのアプリケーション3にアクセスする登録ユーザによって使用される第1のインターネット利用可能なデバイス1は通常、個人コンピュータ、ノートPC、またはタブレットでもよい。
登録ユーザによってアクセスされるインターネットベースのアプリケーション3は通常、インターネットバンキングウェブサイト等のオンラインサービスプロバイダのウェブサイトでもよい。ログイン認証情報は通常、ユーザIDおよびパスワードからなる。
コマンドを送信するために登録ユーザによって使用される第2のインターネット利用可能なデバイス2は通常、登録ユーザに属するスマートフォン等の携帯式または移動式デバイスでもよい。
第2のインターネット利用可能なデバイス2によって送信されるコマンドは、第2のインターネット利用可能なデバイス上のデバイスベースのアプリケーションを登録ユーザが起動することによって生成される。第2のインターネット利用可能なデバイスが通常スマートフォンなので、デバイスベースのアプリケーションは、“app”として共通に知られる専門のスマートフォンアプリケーションの形式をとることができる。
デバイスベースのアプリケーションは、オンラインサービスプロバイダのウェブサイト3にユーザアカウントを登録するプロセスの一部としてユーザに提供され、それはまた、ユーザおよびユーザの第2のインターネット利用可能なデバイス2に関連付けられる識別子にユーザのアカウントを関連付けることを含む。実際、オンラインサービスプロバイダは、登録ユーザ毎にユーザ識別子およびスマートフォン識別子のセキュアデータベースを維持し、それは、登録ユーザの身元を判断および認証するために使用される。
コンピュータサーバ4は通常、前の段落で言及したセキュアデータベースへのアクセスを有するオンラインサービスプロバイダのウェブサイトにリンクされた認証サーバでもよく、一方で、他のサーバ配置は、当業者によって想定されうる。
ユーザ識別子は一般に、ユーザIDまたはパスワード等の登録ユーザのログイン認証情報の形式をとることができる。実際、ユーザのログイン認証情報の任意の1つまたは両方は、ユーザ識別子として使用されてもよい。
第2のインターネット利用可能なデバイス2によって送信されるコマンドが含む認証コードは次いで、第2のデバイスに不可欠な固有の識別コードを含んでもよく、また好ましくは、同様に登録ユーザに関連付けられたユーザ識別子を含んでもよい。
認証コードが含む情報の重要性に鑑みて、送信されたコマンドは、追加のセキュリティのためにデバイスベースのアプリケーションによって暗号化されてもよい。利用可能な通常の暗号化手法は、SHA−1ハッシュ関数、または次世代暗号規格(AES)アルゴリズムでもよい。
固有の識別コードは、第2のインターネット利用可能なデバイス2の種類に依存でき、例えば第2のインターネット利用可能なデバイスの国際移動体装置識別番号(IMEI)、移動体装置識別番号(MEID)、または電子シリアル番号(ESN)でもよい。代わりに、デバイスがBluetooth(登録商標)対応である場合、デバイスの固有のBluetooth(登録商標)アドレスが使用されてもよい。
ここで説明される第1の実施形態は、第1および第2のインターネット利用可能なデバイスの地理的位置をさらに比較することによって、追加の認証レベルを提供してセキュリティをさらに高めるように修正されてもよい。
本発明の第2の実施形態では、第1のインターネット利用可能なデバイス1を介して登録ユーザによって有効なログイン認証情報の提出を要求するインターネットベースのアプリケーション3へのアクセスを制御する方法はまた、ステップc)の前に:
− 第1のおよび第2のインターネット利用可能なデバイスの各地理的位置をコンピュータサーバ4で比較するステップと;
− 第1および第2のインターネット利用可能なデバイスの地理的位置が互いに近接しているかをコンピュータサーバ4で判断するステップと;
の追加のステップを含んでもよい。
− 第1のおよび第2のインターネット利用可能なデバイスの各地理的位置をコンピュータサーバ4で比較するステップと;
− 第1および第2のインターネット利用可能なデバイスの地理的位置が互いに近接しているかをコンピュータサーバ4で判断するステップと;
の追加のステップを含んでもよい。
第2の実施形態では、受信したコマンドに基づきアクセス制御ステータスをコンピュータサーバ4で設定するステップ(即ち、ステップc))はまた、所定の閾値内で、第1および第2のインターネット利用可能なデバイスの地理的位置が互いに近接していることの判断に依存してもよい。ここで使用されるように、用語“近接”は、2つの位置が同じであることを含んでもよい。
通常、個人コンピュータ、ノートPC、またはタブレットである第1のインターネット利用可能なデバイス1の地理的位置は、町および国レベルの地理的位置情報が導き出されるデバイスのIPアドレスの分析を介して認証サーバによって判断されてもよい。
第2のインターネット利用可能なデバイス2の地理的位置は、デバイスベースのアプリケーションによって抽出されて第2のデバイスによって送信される衛星信号(例えば、GPS座標)、移動体通信基地局情報、およびWi-Fiアクセスポイント情報のようなデータの形式で認証サーバによって受信される。受信したデータ情報は、町および国レベルの情報の形式で第2のデバイスの地理的位置を認証サーバに提供する。
第2のインターネット利用可能なデバイス2は、追加のチェックとして使用される最新情報を認証サーバに提供するために、デバイスベースのアプリケーションが起動されている限り、デバイスの地理的位置情報を繰り返し送信する。1つの実施形態では、アクセスを可能にするためにデバイスベースのアプリケーションを起動する時、主要なアクセスコマンドは、一度に送信され、その後地理的位置データの送信が繰り返される。地理的位置データを組込む信号のフォーマットは、特に第2のデバイスの固有の識別コードおよび/またはユーザのユーザ識別子を含むことによって、アクセスコマンド信号のフォーマットに類似してもよい。
当業者であれば、本発明の範囲および対象内にある地理的位置情報を分析、抽出、および比較するための他の適切な技法に多分想到できるだろう。
第2のインターネット利用可能なデバイスによって送信される地理的位置情報は、追加のセキュリティのために暗号化されてもよい。利用可能な通常の暗号化手法は、SHA−1ハッシュ関数、または次世代暗号規格(AES)アルゴリズムでもよい。
図1は特に、登録ユーザが先ず、第1のインターネット利用可能なデバイスによってインターネットベースのアプリケーションへのアクセスを可能にするために、第2のインターネット利用可能なデバイスによってコマンドの送信を開始する時の、本発明の第1の実施形態を示す。
オンラインサービスプロバイダのウェブサイト3(インターネットバンキングアカウント等)の登録ユーザが第1のインターネット利用可能なデバイス1(自分の個人コンピュータ等)を介して自分のオンラインアカウントにアクセスしたい時、登録ユーザは先ず、自分のオンラインアカウントへのアクセスを可能にするために、第2のインターネット利用可能なデバイス2(自分のスマートフォン等)からインターネットを介してコマンドを送信することができる。
アクセスを可能にするためのコマンドは、コマンドが含む固有の認証コードとデータベースに格納されたそのコードのリストとを比較することによって、第2のインターネット利用可能なデバイス2の身元を判断する認証サーバ4によって受信される。第2のインターネット利用可能なデバイス2が実際に登録ユーザに属することを判断する時、認証サーバ4は、ユーザが自分のオンラインアカウントにアクセス可能になる前、登録ユーザによって提出されたログイン認証情報が有効であることを検証することによって登録ユーザの身元を判断することができる。
登録ユーザは即ち、ユーザのオンラインアカウントへのアクセスが許可される前に認証される自分の有効なログイン認証情報を、第1のインターネット利用可能なデバイス1を介して提出することに追加して、第2のインターネット利用可能なデバイス2を使用して自分のオンラインアカウントへのアクセスを“スイッチオン”する。
図2は特に、登録ユーザが先ず、インターネットベースのアプリケーションへのアクセスを否定するために第2のインターネット利用可能なデバイスによってコマンドの送信を開始する時の、本発明の第1の実施形態を示す。
オンラインサービスプロバイダのウェブサイト3(インターネットバンキングアカウント等)の登録ユーザが自分のアカウントへのアクセスを否定したい時、登録ユーザは先ず、自分のオンラインアカウントへのアクセスを否定するために第2のインターネット利用可能なデバイス2(自分のスマートフォン等)からコマンドを送信することができる。
アクセスを否定するためのコマンドは、コマンドが含む固有の認証コードとデータベースに格納されたそのコードのリストとを比較することによって、第2のインターネット利用可能なデバイス2の身元を判断する認証サーバによって受信される。第2のインターネット利用可能なデバイス2が実際に登録ユーザに属することを判断する時、認証サーバ4は、登録ユーザのオンラインアカウントへのアクセスを否定することができる。この後、有効なログイン認証情報をも提出するための登録ユーザまたは任意の他のパーティによる任意の試みは、許可されている登録ユーザのオンラインアカウントへのアクセスをもたらさないことができる。
登録ユーザは即ち、第2のインターネット利用可能なデバイス2を使用して自分のアカウントへのアクセスを“スイッチオフ”する。一度アクセスが否定されると、第1のインターネット利用可能なデバイス1を介する任意のログイン認証情報の提出は、有効であるか、さもなければ拒絶されうる。
図3は特に、第1および第2のデバイスの地理的位置が互いに近接している場合、第1のインターネット利用可能なデバイスによってインターネットベースのアプリケーションへのアクセスを可能にするために、登録ユーザが先ず、第2のインターネット利用可能なデバイスによってコマンド送信を開始する時の、本発明の第2の実施形態を示す。
オンラインサービスプロバイダのウェブサイト3(インターネットバンキングアカウント等)の登録ユーザが第1のインターネット利用可能なデバイス1(自分の個人コンピュータ等)を介して自分のオンラインアカウントにアクセスしたい時、登録ユーザは先ず、自分のオンラインアカウントへのアクセスを可能にするために、第2のインターネット利用可能なデバイス2(自分のスマートフォン等)からコマンドを送信することができる。
アクセスを可能にするためのコマンドは、コマンドが含む固有の認証コードとデータベースに格納されたそのコードのリストとを比較することによって、第2のインターネット利用可能なデバイス2の身元を判断する認証サーバ4によって受信される。
認証サーバ4はまた、第1および第2のインターネット利用可能なデバイスの地理的位置を判断し、2つのデバイスが互いに近接しているかを比較することができる。
これは認証サーバ4が、第1のインターネット利用可能なデバイスのIPアドレスを分析し、IPアドレスから町および国レベルの地理的位置情報を導出し、町および国レベルの地理的位置情報の形式で第2のインターネット利用可能なデバイスによって送信されたGPS座標、移動体通信基地局情報、およびWi-Fiアクセスポイント情報等のデータを受信することによって行われる。
第2のインターネット利用可能なデバイス2が実際に登録ユーザに属することを判断し、第1および第2のインターネット利用可能なデバイスの両方が互いに近接していることを判断する時、即ち2つのデバイスに関して町および国の情報が集計されているこの特定の実施形態において、認証サーバ4は、ユーザが自分のオンラインアカウントにアクセス可能になる前、登録ユーザによって提出されたログイン認証情報が有効であることを検証することによって登録ユーザの身元を判断することができる。
図4は特に、第1および第2のデバイスの地理的位置が互いに近接していない場合、第1のインターネット利用可能なデバイスによってインターネットベースのアプリケーションへのアクセスを可能にするために、登録ユーザが先ず、第2のインターネット利用可能なデバイスによってコマンドの送信を開始する時の、本発明の第2の実施形態を示す。
オンラインサービスプロバイダのウェブサイト3(インターネットバンキングアカウント等)の登録ユーザが第1のインターネット利用可能なデバイス1(自分の個人コンピュータ等)を介して自分のオンラインアカウントにアクセスしたい時、登録ユーザは先ず、自分のオンラインアカウントへのアクセスを可能にするために、第2のインターネット利用可能なデバイス2(自分のスマートフォン等)からコマンドを送信することができる。
アクセスを許可するためのコマンドは、コマンドが含む固有の認証コードとデータベースに格納されたそのコードのリストとを比較することによって、第2のインターネット利用可能なデバイス2の身元を判断する認証サーバ4によって受信される。
認証サーバ4はまた、第1および第2のインターネット利用可能なデバイスの地理的位置を判断し、2つのデバイスが互いに近接しているかを比較することができる。
第2のインターネット利用可能なデバイス2が実際に登録ユーザに属することを判断し、第1および第2のインターネット利用可能なデバイスの両方が互いに近接していないことを判断する時、即ち2つのデバイスに関する町および国情報が集計されていないこの特定の実施形態において、認証サーバ4は、登録ユーザによって提出されたログイン認証情報が有効であるかに関係なく、ユーザのオンラインアカウントへのアクセスを否定することができる。
図3および図4に示す本発明の第2の実施形態では、登録ユーザは、オンラインアカウントへのアクセスが許可される前に認証された自分の有効なログイン認証情報を第1のインターネット利用可能なデバイスを介して提出することに追加して、自分のオンラインアカウントへのアクセスを“スイッチオン”するために、第1のインターネット利用可能なデバイスに近接していなければならない第2のインターネット利用可能なデバイスを使用する。
本発明の利用はしかしながら、インターネットベースのアプリケーションへのアクセスを制御する方法において、第1および第2のインターネット利用可能なデバイスの両方を登録ユーザが利用することに限定されない。
スマートフォン等の現世代の携帯式インターネット利用可能なデバイスの高機能性およびそのデバイスの高レベルのインターネット接続性を考えると、登録ユーザがインターネットベースのアプリケーションにアクセスするために単一のデバイスを所有し、および/または利用することを好むだけである可能性が大いにありえる。
この可能性は、本発明の第3の実施形態で考慮される。
本発明の第3の実施形態では、方法は、インターネット利用可能なデバイス5を介して登録ユーザによって有効なログイン認証情報の提出を要求するインターネット利用可能なアプリケーション3へのアクセスを制御することを含み、方法は:
a) インターネット利用可能なデバイス5によってインターネットを介して送信される固有の認証コードを含むコマンドをコンピュータサーバ4で受信するステップであって、そのコードの送信は、ユーザによって開始される、受信するステップと、
b) 受信したコードとデータベースに格納された複数のそのコードとを比較することによって、デバイスの身元をコンピュータサーバ4で判断するステップであって、各コードは、アプリケーションの異なる登録ユーザに関連付けられる、判断するステップと;
c) ステップb)で身元を有効に判断する時、前記コマンドに基づきアクセス制御ステータスをコンピュータサーバ4で設定するステップと;
d) デバイスを介して有効なログイン認証情報の提出時にアプリケーション3へのアクセスを、アクセス制御ステータスに基づきコンピュータサーバ4で判断するステップと;
を含む。
a) インターネット利用可能なデバイス5によってインターネットを介して送信される固有の認証コードを含むコマンドをコンピュータサーバ4で受信するステップであって、そのコードの送信は、ユーザによって開始される、受信するステップと、
b) 受信したコードとデータベースに格納された複数のそのコードとを比較することによって、デバイスの身元をコンピュータサーバ4で判断するステップであって、各コードは、アプリケーションの異なる登録ユーザに関連付けられる、判断するステップと;
c) ステップb)で身元を有効に判断する時、前記コマンドに基づきアクセス制御ステータスをコンピュータサーバ4で設定するステップと;
d) デバイスを介して有効なログイン認証情報の提出時にアプリケーション3へのアクセスを、アクセス制御ステータスに基づきコンピュータサーバ4で判断するステップと;
を含む。
登録ユーザによってアクセスされるインターネットベースのアプリケーション3は通常、インターネットバンキングウェブサイト等のオンラインサービスプロバイダでもよい。
コマンドを送信するために登録ユーザによって利用されるインターネット利用可能なデバイス5は通常、登録ユーザに属するスマートフォンまたはタブレット等の個人携帯式デバイスでもよい。
インターネット利用可能なデバイス5によって送信されるコマンドは、デバイス上でデバイスベースのアプリケーションを起動する登録ユーザによって生成される。インターネット利用可能なデバイス5は通常、スマートフォンなので、デバイスベースのアプリケーションは、“app”として共通に知られる専門のスマートフォンアプリケーションの形式をとることができる。
デバイスベースのアプリケーションは、オンラインサービスプロバイダのウェブサイトにユーザアカウントを登録するプロセスの一部としてユーザに提供され、それはまた、ユーザおよびユーザのインターネット利用可能なデバイスに関連付けられた識別子とユーザのアカウントとを関連付けることを含むことができる。実際、オンラインサービスプロバイダは、登録ユーザ毎にユーザ識別子およびスマートフォン識別子のセキュアデータベースを維持でき、それは、登録ユーザの身元を判断および認証するために使用できる。
コンピュータサーバは通常、前の段落で言及したセキュアデータベースへのアクセスを有するオンラインサービスプロバイダのウェブサイトにリンクされた認証サーバ4でもよく、一方で、他のサーバ配置は、当業者によって想定されうる。
ユーザ識別子は一般に、ユーザIDおよびパスワード等の登録ユーザのログイン認証情報の形式をとることができる。
インターネット利用可能なデバイス5によって送信されたコマンドが含む認証コードは次いで、デバイスに不可欠な固有の識別コードを含んでもよく、好ましくは登録ユーザに関連付けられたユーザ識別子も同様に含む。
本発明の第1の実施形態のように、認証コードはまた、追加されたセキュリティのためにデバイスベースのアプリケーションによって暗号化されてもよい。
固有の識別コードは、インターネット利用可能なデバイスの種類に依存でき、例えば第2のインターネット利用可能なデバイスの国際移動体装置識別番号(IMEI)、移動体装置識別番号(MEID)、または電子シリアル番号(ESN)でもよい。代わりに、デバイスがBluetooth(登録商標)対応である場合、デバイスの固有のBluetooth(登録商標)アドレスが使用されてもよい。
図5は特に、同じデバイスによってインターネットベースのアプリケーションへのアクセスを可能にするために、登録ユーザが先ず、インターネット利用可能なデバイス(自分のスマートフォン等)によってインターネットを介してコマンドの送信を開始する時の、本発明の第3の実施形態を示す。
オンラインサービスプロバイダのウェブサイト3の登録ユーザがインターネット利用可能なデバイス5を介して自分のオンラインアカウントにアクセスしたい時、登録ユーザは先ず、自分のオンラインアカウントへのアクセスを可能にするために、インターネット利用可能なデバイスからコマンドを送信することができる。
アクセスを可能にするためのコマンドは、コマンドが有する固有の認証コードとデータベースに格納されたそのコードのリストとを比較することによって、インターネット利用可能なデバイス5の身元を判断する認証サーバ4によって受信される。インターネット利用可能なデバイス5が登録ユーザに実際に属することを判断する時、認証サーバ4は、ユーザが自分のオンラインアカウントにアクセス可能になる前に、登録ユーザによって提出されたログイン認証情報が有効であることを確認することによって、登録ユーザの身元を判断することができる。
登録ユーザは即ち、ユーザのオンラインアカウントへのアクセスが許可される前に認証された自分の有効なログイン認証情報を、デバイスを介して提出することに追加して、自分のオンラインアカウントへのアクセスを“スイッチオン”するためにインターネット利用可能なデバイス5を使用する。
図6は特に、インターネットベースのアプリケーションへのアクセスを否定するために、登録ユーザが先ず、インターネット利用可能なデバイス(自分のスマートフォン等)によってコマンドの送信を開始する時の、本発明の第3の実施形態を示す。
オンラインサービスプロバイダのウェブサイト3の登録ユーザが自分のアカウントへのアクセスを否定したい時、登録ユーザは先ず、自分のオンラインアカウントへのアクセスを否定するために、インターネット利用可能なデバイス5からコマンドを送信することができる。
アクセスを否定するためのコマンドは、コマンドが含む固有の認証コードとデータベースに格納されたそのコードのリストとを比較することによって、インターネット利用可能なデバイス5の身元を判断する認証サーバ4によって受信される。インターネット利用可能なデバイス5が実際に登録ユーザに属することを判断する時、認証サーバ4は、登録ユーザのオンラインアカウントへのアクセスを否定することができる。この後、有効なログイン認証情報をも提出するための登録ユーザまたは任意の他のパーティによる任意の試みは、許可される登録ユーザのオンラインアカウントへのアクセスをもたらさないことができる。
登録ユーザは即ち、自分のアカウントへのアクセスを“スイッチオフ”するためにインターネット利用可能なデバイスを使用する。一度アクセスが否定されると、インターネット利用可能なデバイス5を介する任意のログイン認証情報の提出は、有効であるか、さもなければ拒絶されうる。
ここで説明した本発明の実施形態では、実際にユーザアカウントを登録するプロセスは通常、オンライン手続きでもよく、それによりユーザは先ず、個人コンピュータ、ノートPC、またはタブレット(即ち、第1のインターネット利用可能なデバイス)を介してオンラインサービスプロバイダのウェブサイト(即ち、インターネットベースのアプリケーション)にアクセスして、新たなユーザアカウントを作成する。ウェブサイトは次いで、ウェブサイトに登録されたスマートフォン(即ち、第2のインターネット利用可能なデバイス)をユーザが有するかをチェックすることができる。
オンラインサービスプロバイダのウェブサイトに登録されたスマートフォンをユーザが有していない場合、ユーザは、スマートフォンプラットフォームによって提供されるオフィシャルアプリケーションレポジトリから“app”(即ち、デバイスベースのアプリケーション)をダウンロードするように催促および案内される。
ユーザがスマートフォンに“app”をインストールした後、オンラインサービスプロバイダのウェブサイトは、ユーザのユーザID、認証サーバのインターネットアドレス、およびユーザの固有の登録コードを含むテキストメッセージをユーザのスマートフォンに送信して、オンラインサービスプロバイダのウェブサイトに自分のスマートフォンを登録する。テキストメッセージに含まれる情報は、改ざんを防ぐために暗号化される。
“app”は次いで、テキストメッセージのコンテンツを使用してユーザのスマートフォンの登録を実行することができ、故にユーザアカウントを登録するプロセスを完了する。
ここで説明された本発明の実施形態では、固有の認証コードは、登録ユーザのユーザIDおよびスマートフォンのシリアル番号(例えば、IMEI)、万国標準時(UTC)フォーマットのタイムスタンプ、および暗号化手法で使用されるSHA−1ハッシュ関数に属する制御シグネチャを含む。ユーザIDおよびスマートフォンのIMEIナンバーは、固有の識別コードとして使用される。タイムスタンプは、第2の実施形態に適用可能な連続的に送信された地理的位置情報が最新であるかをチェックするための追加情報を提供する。制御シグネチャは、固有の認証コードに含まれた暗号化情報が改ざんまたは漏えいされていないことを保証する。
ここで説明した本発明の実施形態では、第1および第2の実施形態における第2のインターネット利用可能なデバイス、または第3の実施形態における単一のインターネット利用可能なデバイスによって送信されたアクセスを可能にするためのコマンドの有効性は、登録ユーザによって所定期間起動されなかった後、失効またはタイムアウトになる。インターネットベースのアプリケーションへのアクセスの許可はまた、アクセスを可能にするためのコマンドが有効なままであることに依存し、認証サーバは故に、登録ユーザによって提出されたログイン認証情報が有効であるとして受け取られ、扱われるべきかを判断する時、アクセスを可能にするためのコマンドが失効したかを判断するように要求される。
本発明は、ここで説明された実施形態に限定されず、その説明は、本発明の例示目的であり、可能な改良または修正は、本発明の範囲から逸脱しないで直ちに明らかとなる。一例として、説明された実施形態は、ユーザがインターネットベースのアプリケーションにアクセスしたい時はいつでも、選択的にアクセスをスイッチオンすることに関するが、ステータスが通常、デフォルトによってオンに設定されることも本発明の範囲内である。ユーザは次いで、自分のセキュリティに対する潜在的または実質的な違反が検出された場合、アクセスをスイッチオフするためにデバイスベースのアプリケーションを起動することによってアプリケーションへのアクセスを単純に妨げる。別の例として、地理的位置データの使用に関する実施形態において、位置の比較は、アクセスを可能にするための必要条件として定期的に行われるというよりも、単に特定の状況で行われてもよい。例えば、サービスプロバイダまたはコンピュータサーバは、IPアドレスまたはユーザが通常インターネットベースのアプリケーションにアクセスするアドレスを格納してもよい。次いで、地理的位置のチェックは、予め使用および格納されていないIPアドレスからユーザがアプリケーションにアクセスを試みる場合、それは、疑わしい権限のないアクセスが試みられていることを示す可能性があるので、呼出される。
1 ユーザPC
2 ユーザスマートフォン
3 インターネットベースのアプリケーション
4 認証サーバ
2 ユーザスマートフォン
3 インターネットベースのアプリケーション
4 認証サーバ
Claims (30)
- 第1のインターネット利用可能デバイス(1)を介してのインターネットベースのアプリケーション(3)へのアクセスを制御する方法であって、アプリケーションは、アプリケーションの登録ユーザによる有効なログイン認証情報の提出を要求し、前記方法は:
a) ユーザに関連付けられた第2のインターネット利用可能デバイス(2)によってインターネットを介して送信される固有の認証コードを含むコマンドをコンピュータサーバ(4)で受信するステップを有していて、前記固有の認証コードの送信は、ユーザによって開始され、
b) 更に、受信した固有の認証コードとデータベースに格納された複数の固有の認証コードとを比較することによって、第2のデバイス(2)の身元を前記コンピュータサーバ(4)で判断するステップを有していて、各固有の認証コードは、アプリケーションの異なる登録ユーザに関連付けられ、
c) 更に、ステップb)で身元を有効に判断する時、前記コマンドに基づきアクセス制御ステータスを前記コンピュータサーバ(4)で設定するステップを有していて、アクセス制御ステータスは、i)前記アプリケーション(3)へのアクセスを可能にするように、またはii)前記アプリケーション(3)へのアクセスを否定するように設定されることができ、
d) 更に、前記コンピュータサーバ(4)が、
i)アクセス制御ステータスがアプリケーションへのアクセスを可能にするように設定される場合、前記第1のインターネット利用可能デバイスを介しての有効なログイン認証情報の提出時にアプリケーション(3)へのアクセスを可能にし、
ii)アクセス制御ステータスがアプリケーションへのアクセスを否定するように設定される場合、前記第1のインターネット利用可能デバイスを介しての有効なログイン認証情報の提出時でもアプリケーションへのアクセスを否定するステップを有している
ことを特徴とする方法。 - 前記コンピュータサーバ(4)は、前記コマンドがアプリケーション(3)へのアクセスを可能にするためのものである時、ステップc)でアプリケーション(3)へのアクセスを可能にするようにアクセス制御ステータスを設定することを特徴とする請求項1に記載の方法。
- 前記コンピュータサーバ(4)は、前記コマンドがアプリケーション(3)へのアクセスを否定するためのものである時、ステップc)でアプリケーション(3)へのアクセスを否定するようにアクセス制御ステータスを設定することを特徴とする請求項1に記載の方法。
- 前記ステップa)で受信したコマンドは、前記第2のインターネット利用可能デバイス(2)上でデバイスベースのアプリケーションを起動するユーザによって生成されることを特徴とする請求項1〜3の何れか1項に記載の方法。
- 前記固有の認証コードは、前記第2のインターネット利用可能デバイス(2)の一部分を成す固有の識別コードを含むことを特徴とする請求項4に記載の方法。
- 前記固有の認証コードはまた、登録ユーザに関連付けられたユーザ識別子を含むことを特徴とする請求項5に記載の方法。
- 前記固有の認証コードは、デバイスベースのアプリケーションによって暗号化されることを特徴とする請求項4〜6の何れか1項に記載の方法。
- 前記固有の識別コードは、前記第2のインターネット利用可能デバイス(2)の国際移動体装置識別番号(IMEI)、移動体装置識別番号(MEID)、または電子シリアル番号(ESN)であることを特徴とする請求項5〜7の何れか1項に記載の方法。
- 前記コンピュータサーバ(4)は、インターネットベースのアプリケーション(3)にリンクされた認証サーバであることを特徴とする請求項1〜8の何れか1項に記載の方法。
- 前記第2のインターネット利用可能デバイス(2)は、移動式デバイスであることを特徴とする請求項1〜9の何れか1項に記載の方法。
- 前記第1のインターネット利用可能デバイス(1)は、個人コンピュータデバイスであることを特徴とする請求項1〜10の何れか1項に記載の方法。
- 前記方法はまた、ステップc)の前に追加して:
第1および第2のインターネット利用可能デバイスの各地理的位置を前記コンピュータサーバ(4)で比較するステップと;
第1および第2のインターネット利用可能デバイスの地理的位置が互いに近接しているかを前記コンピュータサーバ(4)で判断するステップと;
を含むことを特徴とする請求項1〜11の何れか1項に記載の方法。 - 前記コマンドに基づきアクセス制御ステータスをコンピュータサーバ(4)で設定するステップc)はまた、第1および第2のインターネット利用可能デバイスの地理的位置が互いに近接していることの判断に依存することを特徴とする請求項12に記載の方法。
- 前記コンピュータサーバ(4)で比較される各第1および第2のインターネット利用可能デバイスの地理的位置は、町および国情報であることを特徴とする請求項12または13に記載の方法。
- 前記第1のインターネット利用可能デバイス(1)の地理的位置は、IPアドレス分析によって導出されることを特徴とする請求項12〜14の何れか1項に記載の方法。
- 前記第2のインターネット利用可能デバイス(2)の地理的位置は、衛星信号、移動体通信基地局情報、およびWi-Fiアクセスポイント情報の1つまたは複数から導出されることを特徴とする請求項12〜15の何れか1項に記載の方法。
- 登録ユーザに関連付けられたインターネット利用可能デバイス(5)を介してのインターネットベースのアプリケーション(3)へのアクセスを制御する方法であって、アプリケーションは、アプリケーションの登録ユーザによる有効なログイン認証情報の提出を要求し、前記方法は、
a) インターネット利用可能デバイス(5)によってインターネットを介して送信される固有の認証コードを含むコマンドをコンピュータサーバ(4)で受信するステップを有していて、前記固有の認証コードの送信は、ユーザによって開始され、
b) 更に、受信した固有の認証コードとデータベースに格納された複数の固有の認証コードとを比較することによって、デバイス(5)の身元を前記コンピュータサーバ(4)で判断するステップを有していて、各固有の認証コードは、アプリケーションの異なる登録ユーザに関連付けられ、
c) 更に、ステップb)で身元を有効に判断する時、前記コマンドに基づきアクセス制御ステータスを前記コンピュータサーバ(4)で設定するステップを有していて、アクセス制御ステータスは、i)前記アプリケーション(3)へのアクセスを可能にするように、またはii)前記アプリケーション(3)へのアクセスを否定するように設定され、
d) 更に、前記コンピュータサーバ(4)が、
i)アクセス制御ステータスがアプリケーションへのアクセスを可能にするように設定される場合、前記インターネット利用可能デバイス(5)を介しての有効なログイン認証情報の提出時にアプリケーション(3)へのアクセスを可能にし、
ii)アクセス制御ステータスがアプリケーションへのアクセスを否定するように設定される場合、前記インターネット利用可能デバイスを介しての有効なログイン認証情報の提出時でもアプリケーションへのアクセスを否定するステップを有している
ことを特徴とする方法。 - 前記コンピュータサーバ(4)は、前記コマンドがアプリケーション(3)へのアクセスを可能にするためのものである時、ステップc)でアプリケーション(3)へのアクセスを可能にするようにアクセス制御ステータスを設定することを特徴とする請求項17に記載の方法。
- 前記コンピュータサーバ(4)は、前記コマンドがアプリケーション(3)へのアクセスを否定するためのものである時、ステップc)でアプリケーション(3)へのアクセスを否定するようにアクセス制御ステータスを設定することを特徴とする請求項17に記載の方法。
- 前記ステップa)で受信したコマンドは、前記インターネット利用可能デバイス(5)上でデバイスベースのアプリケーションを起動するユーザによって生成されることを特徴とする請求項17〜19の何れか1項に記載の方法。
- 前記固有の認証コードは、前記インターネット利用可能デバイス(5)の一部分を成す固有の識別コードを含むことを特徴とする請求項20に記載の方法。
- 前記固有の認証コードはまた、登録ユーザに関連付けられたユーザ識別子を含むことを特徴とする請求項21に記載の方法。
- 前記固有の認証コードは、デバイスベースのアプリケーションによって暗号化されることを特徴とする請求項20〜22の何れか1項に記載の方法。
- 前記固有の識別コードは、デバイス(5)の国際移動体装置識別番号(IMEI)、移動体装置識別番号(MEID)、または電子シリアル番号(ESN)であることを特徴とする請求項21〜23の何れか1項に記載の方法。
- 前記コンピュータサーバ(4)は、インターネットベースのアプリケーション(3)にリンクされた認証サーバであることを特徴とする請求項17〜24の何れか1項に記載の方法。
- 前記インターネット利用可能デバイス(5)は、移動式デバイスであることを特徴とする請求項17〜25の何れか1項に記載の方法。
- インターネットベースのアプリケーションの登録ユーザによるインターネットベースのアプリケーションへのアクセスを制御するためのデバイスベースのアプリケーションを含む個人のインターネット利用可能デバイスであって、前記デバイスベースのアプリケーションは、
前記個人のインターネット利用可能デバイスの一部分を成す固有の識別コードを読み取り、
前記固有の識別コードを含むコマンドを生成して、コンピュータサーバへインターネットを介して送信するように適合され、前記コマンドは、i)アプリケーションへのアクセスを可能にするためのものであり、またはii)アプリケーションへのアクセスを否定するためのものであり、
前記コンピュータサーバへ前記コマンドを送信するためのデバイスベースのアプリケーションの起動は、インターネットベースのアプリケーションへのアクセスを可能にするか、または不可にするユーザの意図を示すことを特徴とする個人のインターネット利用可能デバイス。 - 前記固有の識別コードは、前記個人のインターネット利用可能デバイスの国際移動体装置識別番号(IMEI)、移動体装置識別番号(MEID)、または電子シリアル番号(ESN)であることを特徴とする請求項27に記載の個人のインターネット利用可能デバイス。
- デバイスベースのアプリケーションはまた、個人のインターネット利用可能デバイスの地理的位置を判断し、コンピュータサーバへインターネットを介して地理的位置データを送信するように適合されることを特徴とする請求項27または28に記載の個人のインターネット利用可能デバイス。
- 地理的位置は、衛星信号、移動体通信基地局情報、およびWi-Fiアクセスポイント情報の1つまたは複数から導出されることを特徴とする請求項29に記載の個人のインターネット利用可能デバイス。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| MYPI2011004430A MY183320A (en) | 2011-09-19 | 2011-09-19 | Method of controlling access to an internet-based application |
| MYPI2011004430 | 2011-09-19 | ||
| PCT/MY2012/000024 WO2013043035A1 (en) | 2011-09-19 | 2012-02-16 | Method of controlling access to an internet-based application |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2014528129A JP2014528129A (ja) | 2014-10-23 |
| JP2014528129A5 JP2014528129A5 (ja) | 2015-09-03 |
| JP5844471B2 true JP5844471B2 (ja) | 2016-01-20 |
Family
ID=47914647
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014530619A Active JP5844471B2 (ja) | 2011-09-19 | 2012-02-16 | インターネットベースのアプリケーションへのアクセスを制御する方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US9628460B2 (ja) |
| JP (1) | JP5844471B2 (ja) |
| AU (1) | AU2012310295B2 (ja) |
| MY (1) | MY183320A (ja) |
| SG (1) | SG192619A1 (ja) |
| WO (1) | WO2013043035A1 (ja) |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10404615B2 (en) | 2012-02-14 | 2019-09-03 | Airwatch, Llc | Controlling distribution of resources on a network |
| US9680763B2 (en) | 2012-02-14 | 2017-06-13 | Airwatch, Llc | Controlling distribution of resources in a network |
| US9712508B2 (en) * | 2013-03-13 | 2017-07-18 | Intel Corporation | One-touch device personalization |
| US20140280955A1 (en) | 2013-03-14 | 2014-09-18 | Sky Socket, Llc | Controlling Electronically Communicated Resources |
| US9401915B2 (en) * | 2013-03-15 | 2016-07-26 | Airwatch Llc | Secondary device as key for authorizing access to resources |
| WO2014205461A2 (en) * | 2013-05-24 | 2014-12-24 | Paima Prashant Govind | A process for authenticating an identity of a user |
| ES2701613T3 (es) * | 2013-06-24 | 2019-02-25 | Telefonica Digital Espana Slu | Un método implementado por ordenador para evitar ataques contra la autenticación de usuario y productos de programas informáticos del mismo |
| FR3013475B1 (fr) * | 2013-11-19 | 2017-05-19 | Oberthur Technologies | Procede et dispositifs d'authentification pour acceder a un compte utilisateur d'un service sur un reseau de donnees |
| US9584964B2 (en) | 2014-12-22 | 2017-02-28 | Airwatch Llc | Enforcement of proximity based policies |
| US10275823B2 (en) | 2015-06-15 | 2019-04-30 | Adidas Ag | Systems and techniques for computer-enabled geo-targeted product reservation for secure and authenticated online reservations |
| US10560427B2 (en) * | 2015-09-29 | 2020-02-11 | Verisign, Inc. | Domain name operation verification code generation and/or verification |
| CN108292529A (zh) * | 2015-10-07 | 2018-07-17 | 史密夫和内修有限公司 | 用于应用减压治疗的系统和方法 |
| US10511570B2 (en) | 2016-08-30 | 2019-12-17 | Verisign, Inc. | Systems, devices, and methods for locality-based domain name registry operation verification |
| US12021866B2 (en) * | 2018-12-04 | 2024-06-25 | Journey.ai | Providing access control and identity verification for communications when initiating a communication to an entity to be verified |
| US11637827B2 (en) * | 2018-12-04 | 2023-04-25 | Journey.ai | Providing access control and identity verification for communications when receiving a communication at an entity to be verified |
| US20240314125A1 (en) * | 2018-12-04 | 2024-09-19 | Journey.ai | Providing access control and identity verification for communications when initiating a communication to an entity to be verified |
| US20230137767A1 (en) * | 2021-10-28 | 2023-05-04 | Google Llc | Using co-located secondary devices to protect against cookie theft |
| CN117749536B (zh) * | 2024-02-21 | 2024-04-19 | 湖南华博信息技术有限公司 | 一种零信任统一身份认证系统及构建方法 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1381987A4 (en) * | 2001-03-26 | 2010-09-22 | 3M Future Ltd | TRANSACTION AUTHORIZATION SYSTEM |
| US7359885B2 (en) * | 2003-08-21 | 2008-04-15 | International Business Machines Corporation | System and method for device-based access privilege to an account |
| CN101617291A (zh) | 2005-10-27 | 2009-12-30 | Rba国际有限公司 | 用于用户接口访问控制的系统和方法 |
| EP1833219B1 (en) * | 2006-03-08 | 2014-10-08 | Monitise Limited | Methods, apparatus and software for using a token to calculate time-limited password within cellular telephone |
| US8374634B2 (en) * | 2007-03-16 | 2013-02-12 | Finsphere Corporation | System and method for automated analysis comparing a wireless device location with another geographic location |
| US8756657B2 (en) * | 2009-09-29 | 2014-06-17 | Ebay Inc. | Mobile or user device authentication and tracking |
| US20110219427A1 (en) * | 2010-03-04 | 2011-09-08 | RSSBus, Inc. | Smart Device User Authentication |
-
2011
- 2011-09-19 MY MYPI2011004430A patent/MY183320A/en unknown
-
2012
- 2012-02-16 SG SG2013059340A patent/SG192619A1/en unknown
- 2012-02-16 WO PCT/MY2012/000024 patent/WO2013043035A1/en active Application Filing
- 2012-02-16 AU AU2012310295A patent/AU2012310295B2/en active Active
- 2012-02-16 JP JP2014530619A patent/JP5844471B2/ja active Active
- 2012-02-16 US US14/345,878 patent/US9628460B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| MY183320A (en) | 2021-02-18 |
| US20140230038A1 (en) | 2014-08-14 |
| SG192619A1 (en) | 2013-09-30 |
| WO2013043035A1 (en) | 2013-03-28 |
| AU2012310295B2 (en) | 2016-02-11 |
| JP2014528129A (ja) | 2014-10-23 |
| AU2012310295A1 (en) | 2013-05-16 |
| US9628460B2 (en) | 2017-04-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5844471B2 (ja) | インターネットベースのアプリケーションへのアクセスを制御する方法 | |
| US10129250B2 (en) | System and method of notifying mobile devices to complete transactions | |
| CA2968051C (en) | Systems and methods for authentication using multiple devices | |
| US9628282B2 (en) | Universal anonymous cross-site authentication | |
| US8862097B2 (en) | Secure transaction authentication | |
| WO2021009644A1 (en) | System and method for proximity-based authentication | |
| KR101482564B1 (ko) | 신뢰성있는 인증 및 로그온을 위한 방법 및 장치 | |
| US20120324545A1 (en) | Automated security privilege setting for remote system users | |
| US11070980B1 (en) | Secondary device authentication proxied from authenticated primary device | |
| TWI632798B (zh) | 伺服器、行動終端機、網路實名認證系統及方法 | |
| US20110239281A1 (en) | Method and apparatus for authentication of services | |
| US8635454B2 (en) | Authentication systems and methods using a packet telephony device | |
| CN104767740A (zh) | 用于来自用户平台的可信认证和接入的方法 | |
| KR101212509B1 (ko) | 서비스 제어시스템 및 그 방법 | |
| Huseynov et al. | Context-aware multifactor authentication survey | |
| KR101619928B1 (ko) | 이동단말기의 원격제어시스템 | |
| KR20140043071A (ko) | 접속 시도 기기 인증 시스템 및 방법 | |
| US20240022428A1 (en) | Method for multi-party authentication using distributed identities | |
| Braun et al. | A trusted UI for the mobile web | |
| KR20110087885A (ko) | 서비스 보안시스템 및 그 방법 | |
| Hammoudeh et al. | Enhancing Security Using E-Authentication System | |
| EP2619940A2 (en) | Authentication |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20141203 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20141203 |
|
| A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20141219 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150316 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20150616 |
|
| A524 | Written submission of copy of amendment under article 19 pct |
Free format text: JAPANESE INTERMEDIATE CODE: A524 Effective date: 20150716 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20151019 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20151118 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5844471 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |