JP6310160B1 - 多粒度認証技法 - Google Patents

多粒度認証技法 Download PDF

Info

Publication number
JP6310160B1
JP6310160B1 JP2017539555A JP2017539555A JP6310160B1 JP 6310160 B1 JP6310160 B1 JP 6310160B1 JP 2017539555 A JP2017539555 A JP 2017539555A JP 2017539555 A JP2017539555 A JP 2017539555A JP 6310160 B1 JP6310160 B1 JP 6310160B1
Authority
JP
Japan
Prior art keywords
profile
authentication
mobile device
user
type
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2017539555A
Other languages
English (en)
Other versions
JP2018512083A (ja
Inventor
オリヴィエ・ジーン・ベノワ
リシャブ・ニティヤナンド
ロザリオ・カマロタ
アナンド・プラニゴウンダー
Original Assignee
クアルコム,インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by クアルコム,インコーポレイテッド filed Critical クアルコム,インコーポレイテッド
Application granted granted Critical
Publication of JP6310160B1 publication Critical patent/JP6310160B1/ja
Publication of JP2018512083A publication Critical patent/JP2018512083A/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M1/00Substation equipment, e.g. for use by subscribers
    • H04M1/72Mobile telephones; Cordless telephones, i.e. devices for establishing wireless links to base stations without route selection
    • H04M1/724User interfaces specially adapted for cordless or mobile telephones
    • H04M1/72448User interfaces specially adapted for cordless or mobile telephones with means for adapting the functionality of the device according to specific conditions
    • H04M1/72463User interfaces specially adapted for cordless or mobile telephones with means for adapting the functionality of the device according to specific conditions to restrict the functionality of the device
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M1/00Substation equipment, e.g. for use by subscribers
    • H04M1/72Mobile telephones; Cordless telephones, i.e. devices for establishing wireless links to base stations without route selection
    • H04M1/724User interfaces specially adapted for cordless or mobile telephones
    • H04M1/72448User interfaces specially adapted for cordless or mobile telephones with means for adapting the functionality of the device according to specific conditions
    • H04M1/72463User interfaces specially adapted for cordless or mobile telephones with means for adapting the functionality of the device according to specific conditions to restrict the functionality of the device
    • H04M1/724631User interfaces specially adapted for cordless or mobile telephones with means for adapting the functionality of the device according to specific conditions to restrict the functionality of the device by limiting the access to the user interface, e.g. locking a touch-screen or a keypad
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/065Continuous authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/40Security arrangements using identity modules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/63Location-dependent; Proximity-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/68Gesture-dependent or behaviour-dependent

Abstract

コンピューティングプラットフォームにおいてモバイルデバイスのユーザを認証するための技法が提供される。これらの技法による方法は、モバイルデバイスのユーザのユーザ挙動の第1のプロファイルおよび第2のプロファイルを生成するステップであって、第1のプロファイルは、少なくとも第1の持続時間を有する第1のタイプのプロファイルを含み、第2のプロファイルは、第1の持続時間より短い第2の持続時間を有する第2のタイプのプロファイルを含む、生成するステップと、使用法挙動データを生成するためにユーザ挙動を監視するステップと、使用法挙動データを第1のプロファイルおよび第2のプロファイルと比較するステップと、使用法挙動データが第1のプロファイルから逸脱することに応答して第1のタイプの認証アクションを実行するステップと、使用法挙動データが第2のプロファイルから逸脱することに応答して第2のタイプの認証アクションを実行するステップとを含む。

Description

本発明は、多粒度認証技法に関する。
モバイルデバイス上でセキュリティを提供するための従来の解決策は、ワンタイム認証(OTA:One Time Authentication)および対話ベースの認証(IBA:Interaction-Based Authentication)を含む。OTA技法は、指紋によるかパスワードを使用するユーザの認証を含むことができるが、これらおよび他のOTA手法は、証明書が盗まれ、デバイスをアンロックするのに使用されることまたはユーザがデバイスにすでにログインした後にデバイスが盗まれることに対して脆弱である。IBA技法は、デバイスの許可されたユーザを識別するために加速度計データパターンおよび/またはスワイプパターンを分析することを含むことができるが、IBAは、テンプレート窃盗および模倣攻撃に対して脆弱であり、この攻撃は、モバイルデバイスへのアクセスを得るために短い時間期間の間にモバイルデバイスの許可されたユーザの挙動を模倣するのに使用され得る。
本明細書の開示による、コンピューティングプラットフォームにおいてモバイルデバイスのユーザを認証するための方法は、モバイルデバイスのユーザのユーザ挙動の第1のプロファイルおよび第2のプロファイルを生成するステップであって、第1のプロファイルは、少なくとも第1の持続時間を有する第1のタイプのプロファイルを含み、第2のプロファイルは、第1の持続時間より短い第2の持続時間を有する第2のタイプのプロファイルを含む、生成するステップと、使用法挙動データを生成するためにユーザ挙動を監視するステップと、使用法挙動データを第1のプロファイルおよび第2のプロファイルと比較するステップと、使用法挙動データが第1のプロファイルから逸脱することに応答して第1のタイプの認証アクションを実行するステップと、使用法挙動データが第2のプロファイルから逸脱することに応答して第2のタイプの認証アクションを実行するステップとを含む。
そのような方法の実施態様は、以下の特徴のうちの1つまたは複数を含むことができる。使用法挙動データを生成するためにユーザ挙動を監視するステップは、モバイルデバイスがスリープ状態である間にユーザ挙動を監視するステップを含む。第1のタイプの認証アクションを実行するステップまたは第2のタイプの認証アクションを実行するステップは、認証入力がモバイルデバイスによって受信されるまでモバイルデバイスをロックする認証手続きを実行するステップを含む。第1のタイプの認証アクションを実行するステップは、強力な認証(strong authentication)入力がモバイルデバイスによって受信されるまでモバイルデバイスをロックする強力な認証手続きを実行するステップを含み、強力な認証入力は、第2のタイプの認証アクション内で要求される認証入力とは異なる。第2のプロファイルを生成するステップは、トレーニング期間中にモバイルデバイスにおいて所定の時間期間の間にユーザ関連データを収集するステップと、ユーザ関連データに基づいて第2のプロファイルを生成するステップとを含む。第1のプロファイルを生成するステップは、トレーニング期間中にモバイルデバイスにおいてユーザ関連データを収集するステップと、ユーザ関連データに基づいて第1のプロファイルを生成するステップとを含む。第2のタイプの認証アクションを実行するステップは、ユーザ挙動に関連する認証アクションを判定するステップと、認証アクションに基づいて認証入力を受信するステップと、認証入力が認証アクションの要件を満足するかどうかを判定するステップとを含む。第1のタイプの認証アクションを実行するステップは、ユーザ挙動に関連する強力な認証アクションを判定するステップと、強力な認証アクションに基づいて認証入力を受信するステップと、認証入力が強力な認証アクションの要件を満足するかどうかを判定するステップとを含む。
本開示による装置は、モバイルデバイスのユーザのユーザ挙動の第1のプロファイルおよび第2のプロファイルを生成するための手段であって、第1のプロファイルは、少なくとも第1の持続時間を有する第1のタイプのプロファイルを含み、第2のプロファイルは、第1の持続時間より短い第2の持続時間を有する第2のタイプのプロファイルを含む、生成するための手段と、使用法挙動データを生成するためにユーザ挙動を監視するための手段と、使用法挙動データを第1のプロファイルおよび第2のプロファイルと比較するための手段と、使用法挙動データが第1のプロファイルから逸脱することに応答して第1のタイプの認証アクションを実行するための手段と、使用法挙動データが第2のプロファイルから逸脱することに応答して第2のタイプの認証アクションを実行するための手段とを含む。
そのような装置の実施態様は、以下の特徴のうちの1つまたは複数を含むことができる。使用法挙動データを生成するためにユーザ挙動を監視するための手段は、モバイルデバイスがスリープ状態である間にユーザ挙動を監視するための手段を含む。第1のタイプの認証アクションを実行するための手段または第2のタイプの認証アクションを実行するための手段は、認証入力がモバイルデバイスによって受信されるまでモバイルデバイスをロックする認証手続きを実行するための手段を含む。第1のタイプの認証アクションを実行するための手段は、強力な認証入力がモバイルデバイスによって受信されるまでモバイルデバイスをロックする強力な認証手続きを実行するための手段を含み、強力な認証入力は、第2のタイプの認証アクション内で要求される認証入力とは異なる。第2のプロファイルを生成するための手段は、トレーニング期間中にモバイルデバイスにおいて所定の時間期間の間にユーザ関連データを収集するための手段と、ユーザ関連データに基づいて第2のプロファイルを生成するための手段とを含む。第1のプロファイルを生成するための手段は、トレーニング期間中にモバイルデバイスにおいてユーザ関連データを収集するための手段と、ユーザ関連データに基づいて第1のプロファイルを生成するための手段とを含む。第2のタイプの認証アクションを実行するための手段は、ユーザ挙動に関連する認証アクションを判定するための手段と、認証アクションに基づいて認証入力を受信するための手段と、認証入力が認証アクションの要件を満足するかどうかを判定するための手段とを含む。第1のタイプの認証アクションを実行するための手段は、ユーザ挙動に関連する強力な認証アクションを判定するための手段と、強力な認証アクションに基づいて認証入力を受信するための手段と、認証入力が強力な認証アクションの要件を満足するかどうかを判定するための手段とを含む。
本開示によるコンピューティングデバイスは、モバイルデバイスのユーザのユーザ挙動の第1のプロファイルおよび第2のプロファイルを生成し(第1のプロファイルは、少なくとも第1の持続時間を有する第1のタイプのプロファイルを含み、第2のプロファイルは、第1の持続時間より短い第2の持続時間を有する第2のタイプのプロファイルを含む)、使用法挙動データを生成するためにユーザ挙動を監視し、使用法挙動データを第1のプロファイルおよび第2のプロファイルと比較し、使用法挙動データが第1のプロファイルから逸脱することに応答して第1のタイプの認証アクションを実行し、使用法挙動データが第2のプロファイルから逸脱することに応答して第2のタイプの認証アクションを実行するように構成されたプロセッサを含む。
そのようなコンピューティングデバイスの実施態様は、以下の特徴のうちの1つまたは複数を含むことができる。プロセッサは、モバイルデバイスがスリープ状態である間にユーザ挙動を監視するように構成される。第1のタイプの認証アクションまたは第2のタイプの認証アクションを実行するように構成されたプロセッサは、認証入力がモバイルデバイスによって受信されるまでモバイルデバイスをロックする認証手続きを実行するように構成される。第1のタイプの認証アクションを実行するように構成されたプロセッサは、強力な認証入力がモバイルデバイスによって受信されるまでモバイルデバイスをロックする強力な認証手続きを実行するように構成され、強力な認証入力は、第2のタイプの認証アクション内で要求される認証入力とは異なる。第2のプロファイルを生成するように構成されたプロセッサは、トレーニング期間中にモバイルデバイスにおいて所定の時間期間の間にユーザ関連データを収集し、ユーザ関連データに基づいて第2のプロファイルを生成するように構成される。第1のプロファイルを生成するように構成されたプロセッサは、トレーニング期間中にモバイルデバイスにおいてユーザ関連データを収集し、ユーザ関連データに基づいて第1のプロファイルを生成するように構成される。第2のタイプの認証アクションを実行するように構成されたプロセッサは、ユーザ挙動に関連する認証アクションを判定し、認証アクションに基づいて認証入力を受信し、認証入力が認証アクションの要件を満足するかどうかを判定するように構成される。第1のタイプの認証アクションを実行するように構成されたプロセッサは、ユーザ挙動に関連する強力な認証アクションを判定し、強力な認証アクションに基づいて認証入力を受信し、認証入力が強力な認証アクションの要件を満足するかどうかを判定するように構成される。
本開示によるモバイルデバイスのユーザを認証するためのコンピュータ可読命令を記憶した非一時的コンピュータ可読媒体は、コンピュータに、モバイルデバイスのユーザのユーザ挙動の第1のプロファイルおよび第2のプロファイルを生成させるように構成された命令であって、第1のプロファイルは、少なくとも第1の持続時間を有する第1のタイプのプロファイルを含み、第2のプロファイルは、第1の持続時間より短い第2の持続時間を有する第2のタイプのプロファイルを含む、命令と、使用法挙動データを生成するためにユーザ挙動を監視させるように構成された命令と、使用法挙動データを第1のプロファイルおよび第2のプロファイルと比較させるように構成された命令と、使用法挙動データが第1のプロファイルから逸脱することに応答して第1のタイプの認証アクションを実行させるように構成された命令と、使用法挙動データが第2のプロファイルから逸脱することに応答して第2のタイプの認証アクションを実行させるように構成された命令とを含む。
そのような非一時的コンピュータ可読媒体の実施態様は、以下の特徴のうちの1つまたは複数を含むことができる。コンピュータに、使用法挙動データを生成するためにユーザ挙動を監視させるように構成された命令は、コンピュータに、モバイルデバイスがスリープ状態である間にユーザ挙動を監視させるように構成された命令を含む。コンピュータに、第1のタイプの認証アクションまたは第2のタイプの認証アクションを実行させるように構成された命令は、コンピュータに、認証入力がモバイルデバイスによって受信されるまでモバイルデバイスをロックする認証手続きを実行させるように構成された命令を含む。コンピュータに、第1のタイプの認証アクションを実行させるように構成された命令は、コンピュータに、強力な認証入力がモバイルデバイスによって受信されるまでモバイルデバイスをロックする強力な認証手続きを実行させるように構成された命令を含み、強力な認証入力は、第2のタイプの認証アクション内で要求される認証入力とは異なる。コンピュータに、第2のプロファイルを生成させるように構成された命令は、コンピュータに、トレーニング期間中にモバイルデバイスにおいて所定の時間期間の間にユーザ関連データを収集させるように構成された命令と、ユーザ関連データに基づいて第2のプロファイルを生成させるように構成された命令とを含む。コンピュータに、第1のプロファイルを生成させるように構成された命令は、コンピュータに、トレーニング期間中にモバイルデバイスにおいてユーザ関連データを収集させるように構成された命令と、ユーザ関連データに基づいて第1のプロファイルを生成させるように構成された命令とを含む。コンピュータに、使用法挙動データが第2のプロファイルから逸脱することに応答して第2のタイプの認証アクションを実行させるように構成された命令は、コンピュータに、ユーザ挙動に関連する認証アクションを判定させるように構成された命令と、認証アクションに基づいて認証入力を受信させるように構成された命令と、認証入力が認証アクションの要件を満足するかどうかを判定させるように構成された命令とを含む。コンピュータに、第1のタイプの認証アクションを実行させるように構成された命令は、コンピュータに、ユーザ挙動に関連する強力な認証アクションを判定させるように構成された命令と、強力な認証アクションに基づいて認証入力を受信させるように構成された命令と、認証入力が強力な認証アクションの要件を満足するかどうかを判定させるように構成された命令とを含む。
本明細書で議論される技法を実施するのに適する可能性があるネットワークアーキテクチャの例を示すブロック図である。 図1内に示されたモバイルデバイスを実施するのに使用することのできるモバイルデバイスを示すブロック図である。 モバイルデバイスの機能モジュールを示す、図2内に示されたモバイルデバイスを示す機能ブロック図である。 本明細書で議論される技法によるモバイルデバイスのユーザを認証するためのプロセスを示す流れ図である。 本明細書で議論される技法によるモバイルデバイスのユーザの短期プロファイルを生成するためのプロセスを示す流れ図である。 本明細書で議論される技法によるモバイルデバイスにおいてユーザ関連データを収集するためのプロセスを示す流れ図である。 本明細書で議論される技法によるモバイルデバイスのユーザの長期プロファイルを生成するためのプロセスを示す流れ図である。 本明細書で議論される技法による長期プロファイル不一致に応答して認証アクションを実行するためのプロセスを示す流れ図である。 本明細書で議論される技法による短期プロファイル不一致に応答して認証アクションを実行するためのプロセスを示す流れ図である。 本明細書で議論される技法による多粒度認証システムの論理構成要素を示す図である。 本明細書で議論される技法の実施態様の例を示す状態遷移図である。
本明細書で開示される技法は、モバイルデバイス上での多粒度認証の提供に関する。本明細書で開示される技法は、モバイルデバイスのユーザがモバイルデバイスの許可されたユーザであることを保証するのに複数レベルの認証を利用することができる。本明細書で開示される技法は、プロファイルベースの認証(PBA:Profile-Based Authentication)と組み合わせてOTA技法および/またはIBA技法を利用することができる。本明細書で開示されるPBA技法は、モバイルデバイスのユーザのユーザ挙動の第1のタイプのプロファイルを生成するのに使用され得、IBA技法は、モバイルデバイスのユーザのユーザ挙動の第2のタイプのプロファイルを生成するのに使用され得る。第1のタイプのプロファイルは、本明細書で長期プロファイルとも呼ばれ、第2のタイプのプロファイルは、本明細書で短期プロファイルとも呼ばれる。本明細書で開示されるPBA技法は、IBA技法とともに通常利用されるものよりはるかに長い時間期間にわたる観察されたユーザ挙動に基づいて長期ユーザプロファイルを生成するのに使用され得る。IBA技法は、少数のセットの持続時間またはより長い持続時間の間のモバイルデバイスとのユーザ対話を反映するユーザ挙動の1つまたは複数の短期プロファイルを生成するのに使用され得る。数時間、数日、数週、または数カ月にわたるユーザの期待される挙動のモデルを含む長期プロファイルが、生成され得る。モバイルデバイスの許可されたユーザの長期プロファイルは、ユーザの期待される挙動パターンがモバイルデバイスによって学習されるので、経時的に進化し続けることができる。
本明細書で議論されるPBA技法は、許可されないユーザがOTA保護またはIBA保護の裏をかくことができる場合であっても、他者がデバイスにアクセスするのを防ぐための多粒度システムを作成するためにOTA技法および/またはIBA技法とともに使用され得る。図10は、OTA技法、IBA技法、およびPBA技法が本明細書で議論される技法によるモバイルデバイスの多粒度認証システム内に一体化された実施態様の例を示す論理図である。このシステム例は、OTA認証を実行するように構成されたOTAモジュール1005を含む。OTAモジュール1005は、モバイルデバイスへのアクセスをロックし、モバイルデバイスのユーザに、モバイルデバイスへのアクセスを得るために認証入力を提供するように要求するように構成される。たとえば、OTAモジュール1005は、認証入力を提供するようにモバイルデバイスのユーザに促すロックスクリーンをモバイルデバイスのユーザに提示するように構成され得る。OTAモジュール1005は、正しい認証入力が提供されるまで、モバイルデバイスのユーザが他の形でモバイルデバイスを利用するのを防ぐように構成され得る。たとえば、OTAモジュール1005は、モバイルデバイスのユーザが、モバイルデバイスをアンロックするためにパスワードまたは個人識別番号(PIN)を入力することを要求するように構成され得る。OTAモジュール1005は、モバイルデバイスのユーザが、モバイルデバイスをアンロックするためにスワイプコードまたはスワイプパターンを入力することを要求するように構成され得、ここで、モバイルデバイスのユーザは、モバイルデバイスのタッチスクリーン上で地理的なパターンをトレースし、かつ/またはタッチする。OTAモジュール1005は、モバイルデバイスのユーザが、モバイルデバイスの指紋スキャナを使用して指紋をスキャンすることを要求するようにも構成され得る。図10内に示されているように、不正な認証入力が提供される場合に、OTAモジュール1005は、モバイルデバイスをロックされた状態に保ち、モバイルデバイスのさらなる使用を防ぐことができる。そうではなく、モバイルデバイスのユーザが正しい認証入力を提供する場合には、OTAモジュールは、モバイルデバイスのユーザがモバイルデバイスリソース1010にアクセスすることを許すことができる。モバイルデバイスリソース1010は、電話をかけ、かつ/または受信すること、電子メールにアクセスし、かつ/または送ること、テキストメッセージにアクセスし、かつ/または送ること、ならびに/あるいはモバイルデバイスのブラウザを介してインターネットにアクセスすることを含むことができるが、これに限定はされない。IBAモジュール1015およびPBAモジュール1020は、モバイルデバイスの、タッチスクリーン、キーボード、その他などの入力デバイスおよび/またはモバイルデバイスのセンサから収集されたデータを監視することによって、ユーザの挙動を監視することができる。
IBAモジュール1015は、モバイルデバイスとのユーザの対話を継続的に監視し、モバイルデバイスとのユーザの対話を、モバイルデバイスとのユーザの予想される対話を反映する1つまたは複数の短期プロファイルと比較するように構成され得る。たとえば、IBAモジュール1015は、モバイルデバイスのユーザのタイピングパターンおよび/またはモバイルデバイスのユーザのスワイプパターンを監視し、観察されたパターンが、モバイルデバイスの許可されたユーザに関連する1つまたは複数の短期ユーザプロファイル内に記憶された使用法の期待されるパターンと異なるかどうかを判定するように構成され得る。IBAモジュール1015は、1つまたは複数の短期ユーザプロファイル内に記憶された使用法の期待されるパターンとは異なる挙動の観察されたパターンに応答して、モバイルデバイスをロックし、OTAモジュール1005をアクティブ化するように構成され得る。次いで、モバイルデバイスのユーザは、モバイルデバイスリソース1010へのアクセスを継続するためにOTAモジュール1005に正しい認証入力を提供するように要求され、さもなければデバイスがロックされる。OTAモジュール1005と組み合わされたIBAモジュール1015の使用は、モバイルデバイスに追加されたレベルのセキュリティを提供する。モバイルデバイスの許可されたユーザがデバイスをアンロックした後に許可されないユーザがデバイスを獲得した場合であっても、モバイルデバイスの許可されないユーザは、モバイルデバイスのユーザの対話を模倣しなければならず、さもなければ、IBAモジュール1015が、デバイスをロックし、OTAモジュール1005をアクティブ化する。
PBAモジュール1020は、IBAモジュール1015と並列にモバイルデバイスとのユーザの対話を継続的に監視するように構成され得る。PBAモジュール1020は、モバイルデバイスとのユーザの対話を、より長い期間にわたるモバイルデバイスとの予想されるユーザ対話を反映する1つまたは複数の長期プロファイルと比較することができる。PBAモジュール1020は、IBAモジュール1015より長い期間のユーザの挙動を監視するように構成され得る。たとえば、ユーザデバイスの長期プロファイルは、期待される地理的位置、期待される地理的位置の各々に関連する期待される日付および/または時刻、期待されるデバイス使用法、期待されるアクティビティ、またはそれらの組合せを含むことができる。長期プロファイル情報は、ユーザが自宅にいる、職場にいる、職場にまたは職場からの通勤中である、または他の位置にいると期待される時を反映するユーザ挙動のモデルを含むことができる。長期プロファイルは、ユーザがウェブ、テキストをブラウズし、ゲームをプレイし、電話をかけるためにモバイルデバイスを使用する時の特定の日付および/もしくは時刻、または他の使用法情報など、期待されるデバイス使用法を含むこともできる。長期プロファイルは、ユーザが特定の日付および/または時刻の間に通常は走っている、歩いている、自転車に乗っている、その他かどうかなど、ユーザの期待されるアクティビティを含むこともできる。PBAモジュール1020は、モバイルデバイスがスリープ状態または低電力状態である間であってもモバイルデバイスとのユーザの対話を監視するように構成され得、強力な認証手続きをトリガすることができる。たとえば、PBAモジュール1020は、電話機がスリープ状態または他の低電力状態である間であっても、地理的位置およびユーザアクティビティに関する情報を収集し続けることができる。強力な認証手続きの例は、下で議論される。PBAモジュール1020は、1つまたは複数の長期ユーザプロファイル内に記憶された使用法の期待されるパターンとは異なる挙動の観察されたパターンに応答して、モバイルデバイスをロックし、強力な認証入力が提供されることを要求するように構成され得る。強力な認証モジュール1025は、実行されるべき1つまたは複数の強力な認証手続きを選択し、ユーザが満足な応答を提供したかどうかを判定するように構成され得る。強力な認証モジュール1025は、デバイスのユーザが要求された強力な認証応答を提供するまで、モバイルデバイスをロック状態に維持するように構成され得る。強力な認証応答は、OTAモジュール1005によって要求される認証入力より長いおよび/または推測がより困難なパスワードまたはPINを含むことができる。したがって、モバイルデバイスの許可されないユーザが、OTAモジュール1005を迂回できる有効な認証入力を入手できた場合であっても、許可されないユーザは、許可されないユーザの挙動が長期プロファイル内に含まれるモバイルデバイスの許可されたユーザの期待される挙動から逸脱することに応答して強力な認証手続きを使用してデバイスをロックダウンするようにPBAモジュール1020をトリガする可能性が高い。
本明細書で開示される多粒度認証技法は、モバイルデバイスのセキュリティシステムを攻撃するコストを禁止的に高価にすることができる。許可されないユーザが、OTAモジュール1005によって要求される認証入力を判定し、IBAモジュール1015によって使用される少なくとも1つの短期プロファイル内に含まれる許可されたユーザの対話を成功裡に模倣する場合であっても、許可されないユーザは、強力な認証手続きを実行する必要を回避するためにモバイルデバイスの許可されたユーザの長期挙動を成功裡に模倣できる可能性が極端に低く、強力な認証手続きを成功裡に迂回する可能性はさらに低い。
図11は、図10に関して上で議論された概念を示す状態遷移図である。図11内に示された例は、モバイルデバイスが、5つの可能な状態すなわち認証スクリーン状態1105、スリープ状態1110、スリープロック状態1115、強力な認証スクリーン状態1120、およびアクティブ状態1125の間でどのように遷移できるのかを示す。図11内に示された例は、5つの可能な状態を示すが、他の実施態様は、図11内に示された状態のうちの1つまたは複数に加えてまたはその代わりの状態を含むことができる。
認証スクリーン状態1105は、ユーザがOTAモジュール1005によって認証入力を促される状態を表す。モバイルデバイスは、デバイスがモバイルデバイスのユーザによってスリープ状態1110からウェイクアップされる時に、認証スクリーン状態1105に入るように構成され得る。ユーザが認証スクリーンにおいて不正な認証入力を入力する場合にも、認証スクリーン状態1105に入ることができ、OTAモジュール1005は、モバイルデバイスを認証スクリーン状態1105に戻すように構成され得る。モバイルデバイスは、タイムアウト条件が発生する場合に、認証スクリーン状態1105からスリープ状態1110に移るように構成され得る。たとえば、モバイルデバイスが、認証スクリーン状態1105であり、所定の時間期間内に入力が提供されない場合には、モバイルデバイスは、電力を節約するためにスリープ状態1110に遷移するように構成され得る。OTAモジュール1005は、ユーザが正しい許可入力を提供することに応答して、モバイルデバイスを認証スクリーン状態1105からアクティブ状態1125に遷移させるようにも構成され得る。
アクティブ状態1125は、モバイルデバイスがアンロックされ、モバイルデバイスのユーザがモバイルデバイスリソース1010へのアクセスを有する状態を表す。IBAモジュール1015は、モバイルデバイスとの観察されたユーザ対話が1つまたは複数の短期ユーザプロファイルのユーザ対話と一致するとIBAモジュール1015が判定することに応答して、アクティブ状態1125に戻って遷移することができる。IBAモジュール1015は、ユーザアクションがモバイルデバイスの許可されたユーザの短期プロファイルと一致しないとの判定に応答して、認証スクリーン状態1105に戻って遷移することができる。PBAモジュール1020は、観察されたユーザ挙動がモバイルデバイスのユーザに関連する1つまたは複数の長期プロファイルのユーザ挙動と一致するとPBAモジュール1020が判定することに応答して、アクティブ状態1125に戻って遷移することもできる。IBAモジュール1015は、ユーザアクションがモバイルデバイスの許可されたユーザの長期プロファイルと一致しないとの判定に応答して、強力な認証スクリーン状態1120に遷移することができる。
強力な認証スクリーン状態1120は、ユーザが強力な認証モジュール1025によって強力な許可入力を促される状態を表す。強力な認証モジュール1025は、正しい強力な許可入力がモバイルデバイスのユーザによって提供されることに応答して、アクティブ状態1125に戻って遷移することができる。ユーザが、正しい強力な許可入力を提供できない場合には、強力な認証モジュール1025は、強力な認証スクリーン状態1120に戻って遷移することができる。さらに、強力な認証モジュール1025は、モバイルデバイスのユーザが所定の時間期間内に強力な許可入力を提供しないことに応答して、スリープロック状態1115に遷移するように構成され得る。
スリープロック状態1115は、モバイルデバイスがスリープ状態1110である間に、モバイルデバイスのユーザの使用法挙動が、モバイルデバイスの許可されたユーザに関連する長期プロファイルから逸脱したとPBAモジュール1020が判定する場合に、モバイルデバイスがスリープ状態1110である間に遷移することのできる低電力スリープ状態を表す。PBAモジュール1020は、モバイルデバイスがスリープ状態または低電力状態である間であってもモバイルデバイスとのユーザ対話を監視することができ、強力な認証手続きをトリガすることができる。強力な認証モジュール1025は、モバイルデバイスのユーザがモバイルデバイスをスリープ状態からウェイクアップすることに応答して、スリープロック状態1115から強力な認証スクリーン状態1120にモバイルデバイスを遷移させることができる。
ネットワーク環境の例
図1は、本明細書で議論される技法を実施するのに適する可能性があるネットワークアーキテクチャの例のブロック図である。本明細書で示される特定の構成は、単に、本明細書で開示される技法が使用され得る1つのネットワーク構成の例である。さらに、そのようなネットワークアーキテクチャの実施態様は、本明細書で示されず、明瞭さのために省略された追加の要素を含むことができる。
モバイルデバイス120は、ユーザ機器(UE)、移動局、端末、アクセス端末、加入者ユニット、ステーションなどと呼ばれる場合もある。モバイルデバイス120は、スマートフォン、タブレットコンピュータ、ラップトップコンピュータ、または、ロングタームエボリューション(LTE)、WiFi、およびWiMAXワイヤレス通信プロトコルを含むがこれに限定はされない1つまたは複数のワイヤレス通信プロトコルを使用して通信するように構成されたワイヤレス送信器を含む他のデバイスとすることができる。モバイルデバイス120は、他のタイプのワイヤレス通信プロトコルをサポートするようにも構成され得、複数の異なるワイヤレス通信プロトコルをサポートするように構成され得る。モバイルデバイス120のワイヤレス送信器は、他のモバイルデバイス120、ワイヤレス送信器115、および/または1つもしくは複数のワイヤレス基地局140にデータを送り、かつ/あるいはこれらからデータを受信するように構成され得る。
モバイルデバイス120は、ワイヤレス送信器115およびワイヤレス基地局140などの1つまたは複数のワイヤレス基地局またはワイヤレスアクセスポイントからの信号を測定し、ワイヤレス基地局のタイミング測定値(たとえば、到着時刻(TOA)またはobserved time difference of arrival(OTDOA)の)、信号強度測定値(たとえば、Receive Signal Strength Indication(RSSI))、RTT(ラウンドトリップ時間)、および/または信号品質測定値を入手するようにも構成され得る。擬似乱数測定値、タイミング測定値、信号強度測定値、および/または信号品質測定値は、モバイルデバイス120の位置推定値を導出するのに使用され得る。位置推定値は、場所推定値、場所決定などと呼ばれる場合もある。2つの地上ワイヤレス送信器115aおよび115bが、この例に示されている。しかし、他の実施態様において、より多数またはより少数のワイヤレス送信器115が含まれる場合がある。モバイルデバイス120は、衛星170、ワイヤレス基地局140、および/またはワイヤレス送信器115のうちの1つまたは複数からの信号の組合せを使用してモバイルデバイス120の位置を判定するようにも構成され得る。
ワイヤレス送信器115の各々は、IEEE 802.11ワイヤレス通信標準規格を使用して動作するように構成されたWLANワイヤレスアクセスポイントを含むことができる。しかし、いくつかの実施態様において、ワイヤレス送信器115の一部またはすべてが、他のワイヤレス通信プロトコルを利用するように構成され得、いくつかのネットワーク環境が、複数のタイプのワイヤレス送信器115を含む場合がある。さらに、ワイヤレス送信器115が、送信器として識別されるが、ワイヤレス送信器115は、データをワイヤレスに送り、かつ/または受信するように構成されたトランシーバとすることができる。ワイヤレス送信器115は、ネットワーク110にブロードバンド接続を提供するバックホール接続を介してネットワーク110に接続され得る。ネットワーク110は、インターネットおよび/または1つもしくは複数のネットワークの組合せとすることができる。たとえば、ワイヤレス送信器115は、特定の実施態様内で使用されるブロードバンドサービスのタイプに応じて、DSLモデムまたはケーブルモデムに接続され得る。ワイヤレス送信器115は、モバイル通信ネットワークプロバイダに関連付けられ得、ネットワーク110を介してモバイル通信ネットワークプロバイダのネットワーク(図示せず)と通信するように構成され得る。ワイヤレス送信器115のカバレージエリアは、ワイヤレス基地局140などの1つもしくは複数のマクロセル基地局のカバレージエリアまたは1つもしくは複数の多の地上トランシーバのカバレージエリアとオーバーラップしてよい。
ワイヤレス基地局140は、複数のモバイルデバイス120にワイヤレスネットワーク接続性を提供するように構成され得る。ワイヤレス基地局140は、マクロセル基地局または他のタイプの基地局を含むことができる。ワイヤレス基地局140は、ワイヤレス送信器115よりはるかに広いカバレージエリアを有することができ、あるいは、ワイヤレス送信器115によって提供されるカバレージエリアと同様のサイズまたはより小さいサイズを有するカバレージエリアを提供する地上トランシーバとすることができる。ワイヤレス基地局140は、1つまたは複数のワイヤレス通信プロトコルを使用して通信するように構成され得る。図1内に示された例は、単一のワイヤレス基地局140を含むが、他の実施態様においては、ネットワーク環境は、少なくとも部分的にオーバーラップすることのできるカバレージエリアを有する複数のワイヤレス基地局140を含む可能性が高い。
モバイルデバイス120は、衛星170aおよび170bなどの1つまたは複数の衛星170から信号を受信し、測定し、衛星170の擬似乱数測定値を入手するように構成された全地球的航法衛星システム(GNSS)受信器を含むように構成され得る。衛星170は、米国の全地球測位システム(GPS)、欧州のガリレオシステム、ロシアのGLONASSシステム、またはなんらかの他のGNSSとすることのできる全地球航法衛星システム(GNSS)の一部とすることができる。GNSS受信器は、複数のGNSSシステムに属する衛星170からの信号を検出し、受信するようにも構成され得る。たとえば、衛星170aは、GPSシステムに属すことができ、衛星170bは、ガリレオシステムに属すことができる。本明細書で示されるネットワークアーキテクチャの例は、2つの衛星170だけを示すが、他の実施態様は、使用可能なより多数またはより少数の衛星を有することができ、1つまたは複数のGNSSシステムに関連する衛星を有することができ、モバイルデバイス120に可視の衛星の個数は、モバイルデバイスの現在の地理的位置および衛星170の軌道に依存する可能性がある。
位置サーバ160は、モバイルデバイス120に位置サービスを提供するように構成され得る。たとえば、位置サーバ160は、暦情報および/またはモバイルデバイス120がモバイルデバイス120の位置を判定するのに使用できる他の情報を提供するように構成され得る。位置サーバ160は、モバイルデバイス120の位置を判定する際にモバイルデバイス120を支援するようにも構成され得る。たとえば、位置サーバ160は、モバイルデバイス120においてワイヤレス送信器115および/またはワイヤレス基地局140から受信された信号の信号測定値を受信し、これらの信号に基づいてモバイルデバイス120の位置を判定するように構成され得る。位置サーバ160は、図1内に示された実施態様の例において単一のエンティティとして表されているが、本明細書で議論される位置サーバ160によって実行される論理機能は、複数のネットワークエンティティによって実施され得る。いくつかの実施態様において、モバイルデバイス120は、提供するように構成され得る。
図1内に示されたネットワーク構成の例は、単に、本明細書で開示される技法が実施され得るネットワークの1つの可能な構成の例である。他のネットワーク構成は、図1内に示されていない追加要素を含むことができ、様々な構成要素が、図1内に示されたものとは異なる構成において相互接続され得る。
ハードウェアの例
図2は、図1内に示されたモバイルデバイス120を実施するのに使用することのできるモバイルデバイスのブロック図である。モバイルデバイス120は、図4〜図11内に示されたプロセスを少なくとも部分的に実施するのに使用され得る。
モバイルデバイス120は、バス201によってお互いに接続された、汎用プロセッサ210、センサ220、ワイヤレスインターフェース225、GNSSインターフェース265、および非一時的メモリ260を含むコンピュータシステムを含む。モバイルデバイス120の他の実施態様は、図2の例示的な実施態様内には示されていない追加の要素を含むことができ、かつ/または図2内に示された例示的な実施形態内に示された要素のすべてを含んでいるとは限らない場合がある。たとえば、モバイルデバイス120の一部の実施態様は、GNSSインターフェース265を含まない場合がある。
ワイヤレスインターフェース225は、ワイヤレス受信器、送信器、トランシーバ、ならびに/またはモバイルデバイス120が、WWAN、WLAN、および/もしくは他のワイヤレス通信プロトコルを使用して、データを送り、かつ/もしくは受信することを可能にする他の要素を含むことができる。ワイヤレスインターフェース225は、複数のワイヤレス通信標準規格を使用して、ワイヤレス信号を送信し、受信することができる1つまたは複数のマルチモードモデムを含むことができる。ワイヤレスインターフェース225は、ワイヤレス送信器115、ワイヤレス基地局140、および/またはワイヤレス通信プロトコルを使用して通信するように構成された他のワイヤレスデバイスへ/から通信を送り、受信するためのアンテナ234に信号線232によって接続される。図2内に示されたモバイルデバイス120は、単一のワイヤレスインターフェース225および単一のアンテナ234を含むが、モバイルデバイス120の他の実施態様は、複数のワイヤレスインターフェース225および/または複数のアンテナ234を含むことができる。
入出力インターフェース270は、モバイルデバイス120に対するデータ入力および/またはデータ出力を提供することのできる1つまたは複数のポートおよび/または他のインターフェースを提供することができる。たとえば、入出力インターフェース270は、ユニバーサルシリアルバス(USB)ポートおよび/または外部デバイスをモバイルデバイスに接続するのに使用できる他のタイプのポートなど、1つまたは複数のポートを含むことができる。入出力インターフェース270は、ボタン、スイッチ、キーパッド、タッチスクリーン、および/またはユーザから入力を受信するための他の手段など、1つまたは複数の入力デバイスをも含むことができる。入出力インターフェース270は、スクリーン、スピーカ、ヘッドフォンポート、および/またはそのようなコンテンツを出力するための他の手段など、オーディオコンテンツおよび/またはビジュアルコンテンツを出力するための1つまたは複数の手段をも含むことができる。
GNSSインターフェース265は、モバイルデバイス120が1つまたは複数のGNSSシステムに関連する送信器から信号を受信することを可能にするワイヤレス受信器および/または他の要素を含むことができる。GNSSインターフェース265は、図1内に示された衛星170などのGNSS送信器から信号を受信するためのアンテナ274に信号線272によって接続される。モバイルデバイス120は、モバイルデバイス120の位置を判定するために、GNSSシステムに関連する衛星および他の送信器に関連する衛星から受信された信号を使用するように構成され得る。モバイルデバイス120は、モバイルデバイス120の位置を判定するために、ワイヤレス送信器115および/またはワイヤレス基地局140から受信された信号と併用して、GNSSシステムに関連する衛星および他の送信器から受信された信号を使用するようにも構成され得る。
センサ220は、モバイルデバイス120のユーザのユーザ挙動のプロファイルを生成するのに使用され得るデータを収集するように構成され得る1つまたは複数のセンサ220を含むことができる。センサ220は、加速度計、指紋スキャナ、ジャイロスコープ、光センサ、ジェスチャセンサ、近接センサ、またはそれらの組合せの各々のうちの1つまたは複数を含むことができる。いくつかのセンサ220が、モバイルデバイス120に一体化され得、他のセンサは、モバイルデバイス120の外部とすることができ、モバイルデバイス120との有線接続またはワイヤレス接続を介してモバイルデバイス120にセンサデータを提供することができる。センサ220は、本明細書で議論されるものに加えてまたはその代わりに、他のタイプのセンサをも含むことができる。
プロセッサ210は、インテリジェントデバイス、たとえば、Intel(登録商標) Corporation、またはAMD(登録商標)によって製造されるものなどのパーソナルコンピュータ中央処理装置(CPU)、マイクロコントローラ、特定用途向け集積回路(ASIC)、その他とすることができる。メモリ260は、ランダムアクセスメモリ(RAM)、読取り専用メモリ(ROM)、またはそれらの組合せを含むことができる非一時的ストレージデバイスである。メモリ260は、本明細書で説明される機能を実行するようにプロセッサ210を制御するための命令を含むプロセッサ可読プロセッサ実行可能ソフトウェアコードを記憶することができる(ただし、記述ではソフトウェアが機能を実行すると読まれる場合がある)。ソフトウェアは、ネットワーク接続を介してダウンロードされること、ディスク(disk)からアップロードされることなどによってメモリ260にロードされ得る。さらに、ソフトウェアは、直接的に実行可能ではなく、たとえば実行前にコンパイルを必要とする場合がある。
メモリ260内のソフトウェアは、ワイヤレス送信器115、ワイヤレス基地局140、他のモバイルデバイス120、および/またはワイヤレス通信のために構成された他のデバイスへのデータの送出および/またはそれらからのデータの受信を実施することを含む様々なアクションをプロセッサ210が実行することを可能にするように構成される。
図3は、図2内に示されたメモリ260の機能モジュールを示す、図2内に示されたモバイルデバイス120の機能ブロック図である。たとえば、モバイルデバイス120は、認証モジュール362、データ収集モジュール364、およびデータアクセスモジュール366を含むことができる。モバイルデバイス120は、モバイルデバイス120に他の機能性を提供する1つまたは複数の追加の機能モジュールを含むこともできる。図3内に示された機能モジュールは、図3内に示されているようにソフトウェアとして実施され得、あるいは、ハードウェアまたはハードウェアとソフトウェアとの組合せにおいて実施され得る。図2および図3内に示されたモバイルデバイス120は、図4〜図11内に示されたプロセスに関連してモバイルデバイス120を実施するのに使用され得る。プロセッサ210は、本明細書で議論されるモバイルデバイス120の様々なモジュールを実施するための手段を提供することもでき、ファームウェアにおいて実施された1つまたは複数のモジュールに関連して動作することができる。
認証モジュール362は、図4〜図11内に示された方法を実施するための手段を提供することができる。認証モジュール362は、上で議論され図10内に示されたOTAモジュール1005、IBAモジュール1015、PBAモジュール1020、および強力な認証モジュール1025の機能性ならびに図11内に示された状態図内でこれらのモジュールのうちの1つに直接には関連しない任意の特定の機能性を実施するように構成され得る。認証モジュール362は、モバイルデバイス120の許可されたユーザの1つまたは複数の短期ユーザプロファイルおよび/または長期ユーザプロファイルを生成するように構成され得る。認証モジュール362は、ユーザの挙動がモバイルデバイス120のユーザに関連する短期プロファイルまたは長期プロファイルのいずれかから逸脱するかどうかを判定するためにユーザ挙動を監視し、ユーザ挙動が短期ユーザプロファイルおよび/または長期ユーザプロファイルから逸脱するとの判定に応答して認証アクションを実行するようにも構成され得る。認証モジュール362は、モバイルデバイス120のユーザがパスワードおよびPINコードまたはモバイルデバイス120を一時的にアンロックするための他の識別子を入力することを要求することなど、ワンタイム認証手続きを実行するようにも構成され得る。
短期プロファイルは、モバイルデバイス120の認証モジュール362によって、モバイルデバイスのユーザを認証するために対話ベースの認証(IBA)を実行するのに使用され得る。長期プロファイルは、モバイルデバイス120の認証モジュール362によって、モバイルデバイスのユーザを認証するためにプロファイルベースの認証(PBA)を実行するのに使用され得る。短期プロファイルは、モバイルデバイス120の許可されたユーザが所定の時間期間にわたってデバイスとどのように対話すると期待されるのかのモデルを提供するテンプレートを含むことができる。たとえば、短期プロファイルは、2〜3秒から2〜3分の範囲にわたる時間期間にわたるモバイルデバイスの許可されたユーザの期待される挙動を反映する情報を含むことができる。短期プロファイルの特定の持続時間は、変化することができ、短期プロファイル内の観察されるユーザ挙動のタイプに部分的に依存してよい。たとえば、モバイルデバイス120の認証モジュール362は、ユーザがデバイスをどのように保持するのか(たとえば、方位)、ユーザがモバイルデバイス上でどのようにスワイプし、かつ/もしくはタイプするのか、またはモバイルデバイス120の許可されたユーザとモバイルデバイス120を使用することを許可されない別のユーザとの間で区別するのに使用され得る他のアクションなどのアクションに関する短期プロファイルを生成するように構成され得る。データ収集モジュール364は、1つまたは複数のセンサ220、GNSSインターフェース265、および/または入出力インターフェース270からデータを収集するように構成され得、認証モジュール362は、これらのソースのうちの1つまたは複数からのデータを使用して、モバイルデバイスのユーザの1つまたは複数の短期プロファイルを生成することができる。
長期プロファイルは、モバイルデバイス120の許可されたユーザが短期プロファイル内で反映されるものより長い時間期間にわたってどのように振る舞うと期待されるかのモデルを提供するテンプレートを含むことができる。たとえば、長期プロファイルは、より長い時間期間にわたるモバイルデバイス120の許可されたユーザの期待される挙動を反映する情報を含むことができる。たとえば、長期プロファイルは、1時間、数時間、1日、数日、または数カ月にわたる期待されるユーザ挙動のテンプレートを含むことができる。認証モジュール362が、モバイルデバイス120の許可されたユーザの挙動の期待されるパターンを識別する時間があるので、長期プロファイルは、進化し続けることができる。モバイルデバイスの許可されたユーザの長期プロファイルは、期待される地理的位置、期待される地理的位置の各々に関連する期待される日付および/もしくは時刻、期待されるデバイス使用法、期待されるアクティビティ、またはそれらの組合せなど、許可されたユーザの挙動の多数の態様を含むことができる。期待されるアクティビティは、モバイルデバイスが通常は特定の日付および/または時刻に静止しているかどうか、ユーザが通常は特定の日付および/または時刻に歩いているまたは走っているかどうか、ユーザが通常は特定の日付および/または時刻に運転しているかどうかを含むことができる。期待されるデバイス使用法挙動は、電話がかけられ、かつ/またはテキストが配置される期待される時刻、頻度、および連絡先をモデル化する、期待される発呼挙動および/またはテキストメッセージ送受信挙動を含むことができる。期待されるデバイス使用法挙動は、オンラインコンテンツにアクセスするための期待されるブラウジングアクティビティをも含むことができる。期待されるデバイス使用法挙動は、特定の音楽コンテンツもしくはビデオコンテンツへのアクセス、ならびに/または特定の日付および/もしくは時刻での特定のアプリケーションの実行など、期待されるアプリケーション使用法挙動をも含むことができる。認証モジュール362は、ユーザ挙動を長期ユーザプロファイル情報と比較し、ユーザの挙動が期待される挙動からあまりに大きく逸脱する(モバイルデバイス120が許可されないユーザに保有されていることを示す可能性がある)場合に強力な認証手続きを実行するようにユーザに要求するように構成され得る。データ収集モジュール364は、1つまたは複数のセンサ220、GNSSインターフェース265、および/または入出力インターフェース270からデータを収集するように構成され得、認証モジュール362は、これらのソースのうちの1つまたは複数からのデータを使用して、モバイルデバイスのユーザの1つまたは複数の長期プロファイルを生成し、かつ/または更新することができる。データ収集モジュール364は、電子カレンダ情報の1つまたは複数のソースからモバイルデバイス120のユーザに関連する電子カレンダ情報を収集するようにも構成され得る。認証モジュール362は、ユーザの期待される地理的位置、期待される地理的位置の各々に関連する期待される日付および/もしくは時刻、期待されるデバイス使用法、期待されるアクティビティ、またはそれらの組合せを判定するのにカレンダ情報を使用するように構成され得る。
データ収集モジュール364は、1つまたは複数のセンサ220、GNSSインターフェース265、および/または入出力インターフェース270からデータを収集するように構成され得る。データ収集モジュール364は、収集されたデータを認証モジュール362に提供するようにも構成され得、認証モジュール362は、モバイルデバイスのユーザの1つまたは複数の短期プロファイルおよび/または長期プロファイルを生成するのに、および1つまたは複数の短期プロファイルおよび/または長期プロファイルに基づいてユーザ挙動が期待される挙動から逸脱したかどうかを判定するために、収集されたデータを使用することができる。
データアクセスモジュール366は、メモリ260および/またはモバイルデバイス120に関連する他のデータストレージデバイスにデータを記憶するように構成され得る。データアクセスモジュール366は、メモリ260および/またはモバイルデバイス120に関連する他のデータストレージデバイス内のデータにアクセスするようにも構成され得る。データアクセスモジュール366は、モバイルデバイス120の他のモジュールおよび/または構成要素から要求を受信し、データを記憶し、かつ/あるいはメモリ260および/またはモバイルデバイス120に関連する他のデータストレージデバイス内に記憶されたデータにアクセスするように構成され得る。
長期プロファイル、短期プロファイル、および認証手続きは、モバイルデバイスのメモリ260内またはモバイルデバイスの別の位置内に記憶され得る。プロファイルおよび認証手続きは、暗号化され、または、モバイルデバイス120のユーザおよびモバイルデバイス上で実行されるアプリケーションからアクセス不能にされ得る。モバイルデバイス120のネットワークサービスプロバイダ、製造業者、または他のプロバイダは、ユーザがそれらのエンティティにアイデンティティの証拠を提供することに応答して、ユーザが不注意で彼らのモバイルデバイスからロックされる場合に、プロファイル情報にリモートアクセスし、リセットできるものとすることができる。
実施態様の例
図4は、本明細書で議論される技法によるモバイルデバイスのユーザを認証するためのプロセスの流れ図である。図4内に示されたプロセスは、そうではないと指定されない限り、図1〜図3内に示されたモバイルデバイス120を使用して実施され得る。モバイルデバイス120の認証モジュール362は、そうではないと指定されない限り、図4内に示されたプロセスの様々なステージを実行するための手段を提供することができる。図4内に示されたプロセスは、オプションで、モバイルデバイス120のユーザがステージ405の前にモバイルデバイスをアンロックするために許可入力を入力するOTAプロセスから開始することができる。
モバイルデバイスのユーザのユーザ挙動の第1のプロファイルおよび第2のプロファイルが、生成され得る(ステージ405)。第1のプロファイルは、少なくとも第1の持続時間を有する第1のタイプのプロファイルとすることができ、第2のプロファイルは、第1の持続時間より短い第2の持続時間を有する第2のタイプのプロファイルとすることができる。言い換えれば、第1のプロファイルは、本明細書で説明されるタイプの長期プロファイルを含むことができ、第2のプロファイルは、本明細書で説明されるタイプの短期プロファイルを含むことができる。短期プロファイルおよび長期プロファイルは、モバイルデバイス120によって収集されたユーザ挙動関連データに基づいて生成され得る。いくつかの実施態様において、あるユーザに関して生成される複数の長期プロファイルおよび/または複数の短期プロファイルがある場合がある。ユーザ挙動関連データは、1つまたは複数のセンサ220、GNSSインターフェース265、および/または入出力インターフェース270から入手され得、認証モジュール362は、モバイルデバイスのユーザの1つまたは複数の短期プロファイルおよび/または1つまたは複数の長期プロファイルを生成するのに、これらのソースのうちの1つまたは複数からのデータを使用することができる。短期プロファイル内に含めることのできるデータのタイプおよび長期プロファイル内に含めることのできるデータのタイプのいくつかの例が、モバイルデバイス120の認証モジュール362に関して上でより詳細に議論されている。
モバイルデバイス120の使用法挙動データを生成するためにユーザ挙動が監視され得(ステージ410)、使用法挙動データが第1のプロファイルおよび第2のプロファイルと比較され得る(ステージ415)。収集された使用法挙動は、ステージ410において、モバイルデバイス120の許可されたユーザに関連する短期プロファイルおよび長期プロファイルと比較され得る。上で議論したように、いくつかの実施態様において、複数の短期プロファイルおよび/または複数の長期プロファイルが、モバイルデバイスのユーザに関して作成された場合があり、そのような複数のプロファイルが使用可能である場合に、これらの複数のプロファイルは、ステージ415においてユーザ挙動データと比較され得る。認証モジュール362は、センサ220、GNSSインターフェース265、および/または入出力インターフェース270からデータを収集するようにデータ収集モジュール364を動作させるように構成され得る。認証モジュール362は、モバイルデバイス120のユーザに関連する短期プロファイルおよび/または長期プロファイルとの比較のためにこの情報を収集するように構成され得る。認証モジュール362は、データアクセスモジュール366を介してモバイルデバイス120のメモリ260または別のメモリから、モバイルデバイス120の許可されたユーザに関連する1つまたは複数の短期プロファイルおよび1つまたは複数の長期プロファイルにアクセスし、ユーザ挙動データを少なくとも1つの短期プロファイルおよび少なくとも1つの長期プロファイルと比較するように構成され得る。
使用法挙動データが第1のプロファイルと異なるかどうかの判定が、行われ得る(ステージ420)。この判定は、使用法挙動データがモバイルデバイス120のユーザに関連する第1のプロファイル(長期プロファイル)から逸脱するかどうかに基づいて行われ得る。長期プロファイル内に含まれる情報は、使用法データ挙動が長期プロファイルと異なるかどうかを判定するのに認証モジュール362が使用するしきい値に関連付けられ得る。使用法挙動データと長期プロファイル内のデータとの間の差がしきい値を超える場合に、認証モジュール362は、使用法挙動データが長期プロファイルと異なると判定するように構成され得る。認証モジュール362は、使用法挙動データが長期プロファイルデータと異なるかどうかを判定する時に、期待される地理的位置、期待される地理的位置の各々に関連する期待される日付および/もしくは時刻、期待されるデバイス使用法、または期待されるアクティビティなどのしきい個数のプロファイル項目が、使用法挙動データと長期プロファイルとの間で異なるかどうかを判定するようにも構成され得る。
使用法挙動データが第1のプロファイルからあまりにも逸脱する場合には、第1のタイプの認証アクションが実行され得(ステージ430)、プロセスは、ステージ440に継続することができる。認証モジュール362は、モバイルデバイス120のユーザを認証するために、第1のタイプの認証アクション(本明細書では強力な認証手続きとも呼ばれる)を実行するように構成され得る。第1のタイプの認証アクションは、使用法挙動とモバイルデバイス120のユーザの短期プロファイルとの間の差に応答して認証モジュール362が要求するものより強いレベルの認証を提供することができる。使用法挙動とモバイルデバイス120のユーザの長期プロファイルとの間の差が、モバイルデバイスの現在のユーザが長期プロファイルがそれに関して生成されたモバイルデバイス120の許可されたユーザではない可能性があることを示すので、認証モジュール362は、使用法挙動がモバイルデバイス120のユーザの長期プロファイルとは異なることに応答して、強力な認証を実行するように構成され得る。モバイルデバイスの許可されないユーザは、モバイルデバイス120の許可されたユーザの期待される挙動を短い時間期間の間に模倣できる可能性があるが、長期プロファイルによって反映される長い時間期間にわたるモバイルデバイスの許可されたユーザの期待される挙動を模倣することはできない。長期プロファイルのそのような逸脱は、認証モジュール362に、モバイルデバイスをアンロックするために通常要求されるものより長いパスワードまたは個人識別番号(PIN)など、モバイルデバイスの許可されないユーザが提供することがより困難な情報を提供するようにユーザに要求させる。認証モジュール362は、上で議論された強力な認証手続きの代わりにまたはこれと組み合わせて、本明細書では特に示されない他のタイプの強力な認証手続きを実行するようにも構成され得る。
使用法挙動データが長期プロファイルから大きくは逸脱しない場合には、使用法挙動が第2のプロファイルから逸脱するかどうかの判定が行われ得る(ステージ425)。この判定は、使用法挙動データがモバイルデバイス120のユーザに関連する第2のプロファイル(短期プロファイル)から逸脱するかどうかに基づいて行われ得る。使用法挙動が短期プロファイルからあまりにも逸脱する場合には、第2のタイプの認証アクションが実行され得、このプロセスは、ステージ440に継続することができる(ステージ435)。そうではなく、使用法挙動が第1のプロファイルまたは第2の期間プロファイルと異ならない場合には、このプロセスは、ステージ410に継続することができる。ステージ420およびステージ425の判定は、複数の長期プロファイルおよび/または短期プロファイルがモバイルデバイス120のユーザに関連する場合に、複数のプロファイルに関して実行され得る。ステージ435は、使用法挙動データが複数の短期プロファイルのうちの任意の1つからあまりにも逸脱することに応答して実行され得、ステージ430は、使用法挙動データが複数の長期プロファイルのうちの任意の1つからあまりにも逸脱することに応答して実行され得る。
ステージ430またはステージ435のいずれかにおいて行われた認証アクションが失敗したかどうかの判定が行われ得る(ステージ440)。認証アクションが失敗した場合には、モバイルデバイスは、認証失敗に応答してロックされ得る(ステージ445)。適用されるロック手続きのタイプは、実行された認証アクションのタイプに依存することができる。たとえば、プロファイルベースの認証失敗に関連する、第1のタイプの認証アクションが実行された場合には、モバイルデバイスは、モバイルデバイスのユーザが、ネットワークサービスプロバイダにモバイルデバイス120をアンロックさせるために、ネットワークサービスプロバイダに連絡し、ユーザのアイデンティティを証明する情報をネットワークサービスプロバイダに提供する必要がある可能性がある形でロックされ得る。
そうではなく、認証アクションが、ステージ430またはステージ435のいずれかにおいて失敗しなかった場合には、このプロセスは、ステージ410および/またはステージ405に継続することができ、ここで、モバイルデバイスの許可されたユーザに関連する第1のプロファイル(長期プロファイル)は、洗練され続けることができる。認証モジュール362は、ユーザ挙動データを生成するためにユーザ挙動を監視し続けることができる。認証モジュール362は、センサ220、GNSSインターフェース265、および/または入出力インターフェース270からデータを収集するようにデータ収集モジュール364を動作させることができる。認証モジュール362は、モバイルデバイス120がスリープモードまたは他の低電力モードである間であっても動作し続けるように構成され得る。データ収集モジュール364は、モバイルデバイス120がスリープモードまたは他の低電力モードである間であってもセンサ220、GNSSインターフェース265、および/または入出力インターフェース270からデータを収集し続けることができる。従来の認証技法において、モバイルデバイスのユーザのユーザ挙動の監視は、モバイルデバイスがスリープ状態である間には実行されない。しかし、本明細書で開示される技法は、モバイルデバイス120がそのような状態である間に、ユーザ挙動の1つまたは複数の長期プロファイルと異なるユーザ挙動を識別するように動作し続けることができる。
図5は、本明細書で議論される技法によるモバイルデバイスのユーザの短期プロファイルを生成するためのプロセスの流れ図である。図5内に示されたプロセスは、そうではないと指定されない限り、図1〜図3内に示されたモバイルデバイス120を使用して実施され得る。モバイルデバイス120の認証モジュール362は、そうではないと指定されない限り、図5内に示されたプロセスの様々なステージを実行するための手段を提供することができる。図5内に示されたプロセスは、図4内に示されたプロセスのステージ405内の第2のプロファイルの生成を実施するのに使用され得る。図5内に示されたプロセスは、認証モジュール362がモバイルデバイス120のユーザの1つまたは複数の短期プロファイルおよび/または長期プロファイルを展開する学習期間中に実行され得る。
ユーザ関連データは、モバイルデバイス120における所定の時間期間に関するものとすることができる(ステージ505)。認証モジュール362は、1つまたは複数のセンサ220、GNSSインターフェース265、および/または入出力インターフェース270からデータ収集モジュールによって収集されたデータを入手するように構成され得、認証モジュール362は、モバイルデバイスのユーザの1つまたは複数の短期プロファイルを生成するためにこれらのソースのうちの1つまたは複数からのデータを使用することができる。認証モジュール362は、認証モジュール362がモバイルデバイス120のユーザの期待される挙動に関して学習するトレーニング期間中に1つまたは複数の短期ユーザプロファイルに関する情報を収集するように構成され得る。認証モジュール362は、ユーザ関連データのタイプに基づいて、異なる所定の時間期間の間に異なるタイプのデータを使用するように構成され得る。たとえば、認証モジュール362は、第1の所定の時間期間の間にモバイルデバイス120のユーザのタイピングパターンに関する情報を収集し、第2の所定の時間期間の間にモバイルデバイス120のユーザのスワイプスタイルに関する情報を収集するように構成され得る。ユーザがモバイルデバイス120のタッチスクリーン上でスワイプジェスチャを行うのに要する時間の長さが、ユーザがモバイルデバイス120上で入力をタイプするのに要する時間の長さよりはるかに短い可能性が高いので、第1の所定の時間期間は、第2の所定の時間期間のそれより長いものとすることができる。認証モジュール362は、データ収集モジュール364によって収集された加速度計データに基づいて判定され得る、モバイルデバイス120のユーザの歩行パターンに基づいて短期プロファイルを作成するように構成され得る。
ユーザ挙動の少なくとも1つの短期プロファイルが、生成され得る(ステージ510)。各短期プロファイルは、モバイルデバイスとの少なくとも1つのタイプの対話に関連付けられ得る。認証モジュール362は、モバイルデバイス120のユーザがデバイスを使用する時に収集されたユーザ関連データから収集された測定値に基づいて短期プロファイルを生成することができる。認証モジュール362は、その後、少なくとも1つの短期プロファイル内に含まれる測定値を、モバイルデバイス120の使用法を監視している間に入手された使用法データ内に含まれる測定値と比較することができる。認証モジュール362は、次いで、1つまたは複数の短期プロファイル内に含まれる測定値が期待される測定値から所定のしきい値を超えて逸脱することに応答して、認証アクションをトリガすることができる。
図6は、本明細書で議論される技法によるモバイルデバイスにおいてユーザ関連データを収集するためのプロセスの流れ図である。図6内に示されたプロセスは、そうではないと指定されない限り、図1〜図3内に示されたモバイルデバイス120を使用して実施され得る。モバイルデバイス120の認証モジュール362は、そうではないと指定されない限り、図6内に示されたプロセスの様々なステージを実行するための手段を提供することができる。図6内に示されたプロセスは、図5内に示されたプロセスのステージ505および/または下で詳細に議論される図7内に示されたプロセスのステージ705を実施するのに使用され得る。図6内に示されたプロセスは、ユーザ関連データが収集され得る複数のステージを含む。ステージのすべてが、いくつかの実施態様内に含まれ得る。他の実施態様において、図6内に示されたステージのうちの1つまたは複数が、省略され得、かつ/または追加のステージが、追加のユーザ関連データを収集するために含まれ得る。
センサデータは、モバイルデバイス120の1つまたは複数のセンサから収集され得る(ステージ605)。モバイルデバイスのデータ収集モジュール364は、加速度計、高度計、圧力センサ、ジャイロスコープ、磁力計、および/または他のセンサなどの1つまたは複数のセンサからデータを収集するように構成され得る。データ収集モジュール364は、認証モジュール362にセンサデータを提供することができ、認証モジュール362は、そのデータを使用して、モバイルデバイスの許可されたユーザの1つまたは複数の短期プロファイルおよび/または長期プロファイルを生成することができる。認証モジュール362は、モバイルデバイスのユーザの歩行パターン、スワイプパターン、および/またはタイピングパターンなどの期待されるユーザ挙動を含むことができる、モバイルデバイスのユーザの短期プロファイルまたは長期プロファイルのいずれかを生成するためにセンサデータを使用するように構成され得る。ジャイロスコープデータは、モバイルデバイスの許可されたユーザがどのようにしていつモバイルデバイス120を保持し、かつ/または持ち運ぶのかを判定するのに使用され得る、モバイルデバイスの方位を判定するのにも使用され得る。磁力計データは、モバイルデバイスのユーザがモバイルデバイス120をどのように保持するのかおよび/またはモバイルデバイスのユーザがモバイルデバイス120を保持している間に面しているか移動している期待される方向に基づいて、モバイルデバイス120の期待される方位および/または機首方位を判定するのに使用され得る。高度計および/または圧力センサは、高度計および/または圧力センサによって測定された圧力の変化に基づいて、モバイルデバイス120の高度および/またはモバイルデバイスが屋内環境または屋外環境のどちらに配置されているのかを判定するのに使用され得る。
オーディオデータは、モバイルデバイス120のマイクロフォンから収集され得る(ステージ610)。モバイルデバイスのデータ収集モジュール364は、モバイルデバイス120のマイクロフォンからデータを収集するように構成され得る。データ収集モジュール364は、認証モジュール362にセンサデータを提供することができ、認証モジュール362は、そのデータを使用して、モバイルデバイスの許可されたユーザの1つまたは複数の短期プロファイルおよび/または長期プロファイルを生成することができる。たとえば、オーディオデータは、モバイルデバイスの許可されたユーザの音声特性を測定するのに使用され得る。オーディオデータは、デバイスのユーザによって通常話される1つおよび/または複数の言語を判定し、そのような情報をモバイルデバイス120の許可されたユーザの短期プロファイルおよび/または長期プロファイル内に含めるのにも使用され得る。
触覚データが、モバイルデバイス120の1つまたは複数のユーザインターフェース要素から収集され得る(ステージ615)。モバイルデバイスのデータ収集モジュール364は、モバイルデバイス120のタッチスクリーン、キーボード、ボタン、もしくは他の触覚入力、またはそれらの組合せからデータを収集するように構成され得る。認証モジュール362は、ユーザがモバイルデバイス120とどのように対話するのかの1つもしくは複数の短期プロファイルおよび/または1つもしくは複数の長期プロファイルを生成するのに触覚情報を使用することができる。たとえば、認証モジュール362は、モバイルデバイスのタッチスクリーンまたはキーボード上でのキー押下げに基づいて、タイピングプロファイルを判定するように構成され得る。認証モジュール362は、ユーザがモバイルデバイス上のタッチスクリーンまたは一連のキーおよび/もしくはボタンにどれほど頻繁に触れるのかを示す使用法のパターンを展開するように構成され得る。認証モジュール362は、ユーザが通常タッチスクリーンにタッチする場合にタッチスクリーン上で用いられる圧力の量と1つまたは複数の通常のタッチジェスチャの速度とを考慮に入れることができる、モバイルデバイスのタッチスクリーンと対話する時にモバイルデバイスの許可されたユーザが通常使用するスワイプパターンを判定するようにも構成され得る。
図7は、本明細書で議論される技法によるモバイルデバイスのユーザの長期プロファイルを生成するためのプロセスの流れ図である。図7内に示されたプロセスは、そうではないと指定されない限り、図1〜図3内に示されたモバイルデバイス120を使用して実施され得る。モバイルデバイス120の認証モジュール362は、そうではないと指定されない限り、図7内に示されたプロセスの様々なステージを実行するための手段を提供することができる。図7内に示されたプロセスは、図4内に示されたプロセスのステージ405内の第1のプロファイルの生成を実施するのに使用され得る。
ユーザ関連データは、モバイルデバイス120において収集され得る(ステージ705)。ユーザ関連データは、モバイルデバイス120がモバイルデバイス120の許可されたユーザの期待される挙動を学習するように構成されるトレーニング期間中に収集され得る。認証モジュール362は、1つまたは複数のセンサ220、GNSSインターフェース265、および/または入出力インターフェース270からデータ収集モジュールによって収集されたユーザデータを入手するように構成され得、認証モジュール362は、モバイルデバイスのユーザの1つまたは複数の長期プロファイルを生成するためにこれらのソースのうちの1つまたは複数からのデータを使用することができる。認証モジュール362は、認証モジュール362がモバイルデバイス120のユーザの期待される挙動について学習するトレーニング期間中に1つまたは複数の長期ユーザプロファイルの情報を収集するように構成され得る。
少なくとも1つの長期プロファイルがモバイルデバイス120のユーザに関して存在するかどうかの判定が、行われ得る(ステージ710)。長期プロファイルが現在は存在しない場合には、ユーザ挙動の少なくとも1つの長期プロファイルが生成され得る(ステージ715)。長期プロファイルは、少なくとも1つのタイプのモバイルデバイスとの対話または期待されるユーザ挙動に関連付けられ得、長期プロファイルは、複数のタイプのモバイルデバイスとの対話または期待されるユーザ挙動に関連付けられ得る。我々の挙動/予定表が日時依存である(たとえば、我々は、平日と週末との間に必ずしも同一の時刻に起床しない)ので、長期プロファイルは、時刻と日付とのチャンクに分割され得る。認証モジュール362は、モバイルデバイス120のユーザがデバイスを使用する時に収集されたユーザ関連データから収集された測定値に基づいて長期プロファイルを生成することができる。認証モジュール362は、モバイルデバイス上で使用可能であるカレンダ情報またはモバイルデバイスの許可されたユーザに関連する1つまたは複数のオンラインアカウントに関連するカレンダ情報を介してモバイルデバイス120のユーザの期待される挙動に関する追加情報を入手するようにも構成され得る。認証モジュール362は、その後、少なくとも1つの長期プロファイル内に含まれる測定値を、モバイルデバイス120の使用法を監視している間に入手された使用法データ内に含まれる測定値と比較することができる。認証モジュール362は、次いで、1つまたは複数の長期プロファイル内に含まれる測定値が期待される測定値から所定のしきい値を超えて逸脱することに応答して、強力な認証アクションをトリガすることができる。
プロファイルが現在存在する場合には、既存のプロファイルが更新され得る(ステージ720)。認証モジュール362は、追加情報が経時的に収集される時に、モバイルデバイス120のユーザに関連する1つまたは複数の長期プロファイルを更新するように構成され得る。たとえば、モバイルデバイス120のユーザの初期長期プロファイルは、モバイルデバイス120のユーザに関する少量の情報のみを伴って曖昧である可能性がある。しかし、時間が経過し、追加情報がデータ収集モジュール364によって収集されるので、認証モジュール362は、ユーザの期待される挙動のより完全なプロファイルを生成し続けることができる。たとえば、長期プロファイルは、追加の期待される地理的位置情報、期待される地理的位置の各々に関連する期待される日付および/もしくは時刻、期待されるデバイス使用法情報、期待されるアクティビティ情報、またはそれらの組合せを用いて更新され得る。
図7内に示されたプロセスは、ステージ715またはステージ720を完了した後に、ステージ705に継続することができる。認証モジュール362は、データ収集モジュール364を使用して収集された使用法挙動を処理し続け、経時的に1つまたは複数の長期ユーザプロファイルを展開し続けるように構成され得る。
図8は、本明細書で議論される技法による長期プロファイル不一致に応答して認証アクションを実行するためのプロセスの流れ図である。図8内に示されたプロセスは、そうではないと指定されない限り、図1〜図3内に示されたモバイルデバイス120を使用して実施され得る。モバイルデバイス120の認証モジュール362は、そうではないと指定されない限り、図8内に示されたプロセスの様々なステージを実行するための手段を提供することができる。図8内に示されたプロセスは、ユーザ挙動データが第1のプロファイル(長期プロファイル)からあまりにも逸脱することに応答して、図4内に示されたプロセスのステージ430を実施するのに使用され得る。
長期プロファイルから逸脱するユーザ挙動に関連する認証アクションが、判定され得る(ステージ805)。認証モジュール362は、ユーザの使用法挙動が長期プロファイルから逸脱することに応答して実行されるべき強力な認証アクションを判定するように構成され得る。認証モジュール362は、長期プロファイルからの逸脱が識別される時に必ず、特定の強力な認証手続きを実行するように構成され得る。認証モジュール362は、実行されるべき強力な認証手続きのうちの1つまたは複数を複数の強力な認証手続きから選択し、判定するようにも構成される。
モバイルデバイス120のユーザは、ステージ805において判定された認証アクションに基づいて認証入力を提供するように促され得る(ステージ810)。認証入力のタイプは、認証手続きのタイプに基づいて変化することができる。たとえば、モバイルデバイスのユーザは、モバイルデバイスをロックするのに使用され得る標準パスワード、PIN、またはスワイプパターンより長く、推測がより困難なパスワードまたは他の識別子を提供するように要求され得る。認証入力は、モバイルデバイスのユーザが一連の質問に答えることを要求されることを含むこともできる。たとえば、認証モジュール362は、モバイルデバイス120のユーザが答えなければならない一連の質問を提示することができる。モバイルデバイス120のユーザは、そのユーザの長期プロファイルが展開されていた時にこれらの質問に対する回答を提供するように促された可能性があり、モバイルデバイスの許可されたユーザではない誰かが推測することが困難な情報を含めることができる。認証モジュール362は、モバイルデバイス120の許可されたユーザ以外の誰かが推測することが困難である過去のユーザ挙動に基づいて一連の質問を生成するようにも構成され得る。たとえば、認証モジュール362は、訪問された地理的区域、連絡先、利用されたアプリケーション、および/またはモバイルデバイス120の許可されたユーザが答えることができなければならないが、推測が困難な他の情報に関する一連の質問を提示することができる。認証モジュール362は、モバイルデバイスのユーザがモバイルデバイス120のユーザインターフェースを介して入手し、入力できなければならない、アクセスコードまたは他のアンロックコードを、モバイルデバイス120に関連するネットワークサービスプロバイダなどの外部ソースから、またはモバイルデバイス120の許可されたユーザに関連するバックアップアカウントへの電子メールまたはテキストを介して、モバイルデバイス120のユーザが入手することを要求するようにも構成され得る。認証モジュール362は、声紋、指紋、または顔認識アルゴリズムを使用して処理され得る顔特徴の写真などの1つまたは複数のバイオメトリック入力を要求するようにも構成され得る。
認証入力が認証アクションの要件を満足できるかどうかの判定が、判定され得る(ステージ815)。認証モジュール362は、認証モジュール362によって要求された1つまたは複数の認証入力がユーザによって提供されたかどうかを判定するように構成され得る。認証モジュール362は、複数の認証オプションを提示するように構成され得る。ユーザが、1つまたは複数の認証アクションに対する満足な応答を提供できない場合には、認証モジュール362は、それでも、ユーザがしきい回数の認証アクションに対する応答を成功裡に提供できる場合に、ユーザを認証することができる。
図9は、本明細書で議論される技法による短期プロファイル不一致に応答して認証アクションを実行するためのプロセスの流れ図である。図9内に示されたプロセスは、そうではないと指定されない限り、図1〜図3内に示されたモバイルデバイス120を使用して実施され得る。モバイルデバイス120の認証モジュール362は、そうではないと指定されない限り、図9内に示されたプロセスの様々なステージを実行するための手段を提供することができる。図9内に示されたプロセスは、ユーザ挙動データが第2のプロファイル(短期プロファイル)からあまりにも逸脱することに応答して、図4内に示されたプロセスのステージ435を実施するのに使用され得る。
短期プロファイルから逸脱するユーザ挙動に関連する認証アクションが判定され得る(ステージ905)。認証モジュール362は、ユーザの使用法挙動が短期プロファイルから逸脱することに応答して実行されるべき認証アクションを判定するように構成され得る。認証モジュール362は、短期プロファイルからの逸脱が識別される時に必ず、認証手続きを実行するように構成され得る。認証モジュール362は、実行されるべき認証手続きのうちの1つまたは複数を複数の認証手続きから選択し、判定するようにも構成される。実行されるべき認証手続きは、長期プロファイルからの逸脱に応答して実行される強力な認証手続きほど強いものである必要はない。ユーザ挙動が長期プロファイルからあまりにも逸脱する場合には、図8内に示された手続きが、モバイルデバイス120のユーザのアイデンティティを証明するために強力な認証手続きを実行するために実行され得る。
モバイルデバイス120のユーザは、ステージ905において判定された認証アクションに基づいて認証入力を提供するように促され得る(ステージ910)。認証入力のタイプは、ステージ905において判定された認証手続きのタイプに基づいて変化することができる。たとえば、モバイルデバイスのユーザは、モバイルデバイスをロックするのに通常使用されるアンロックパスワード、PIN、またはスワイプパターンを入力するように要求され得る。認証モジュール362は、モバイルデバイスのユーザがモバイルデバイスの指紋スキャナを使用して指紋をスキャンすることを要求することができる。他のタイプの入力も、モバイルデバイス120のユーザを証明するのに使用され得る。
認証入力が認証アクションの要件を満足するかどうかの判定が判定され得る(ステージ915)。認証モジュール362は、認証モジュール362によって要求された1つまたは複数の認証入力がユーザによって提供されたかどうかを判定するように構成され得る。認証モジュール362は、複数の認証オプションを提示するように構成され得る。ユーザが、1つまたは複数の認証アクションに対する満足な応答を提供できない場合には、認証モジュール362は、それでも、ユーザがそれでもしきい回数の認証アクションに対する応答を成功裡に提供できる場合に、ユーザを認証することができる。
認証モジュール362は、モバイルデバイスのユーザが、認証アクションに対する満足な回答を提供することに応答して、モバイルデバイスのユーザに関連する1つまたは複数の短期プロファイルを更新するように構成され得る。認証モジュール362は、認証モジュール362によって収集された使用法データが所定の回数を超えて1つまたは複数の短期プロファイルから変化することと、ユーザが毎回認証手続きに対する満足な回答を提供することとに応答して、モバイルデバイス120のユーザに関連する1つまたは複数の短期プロファイルを更新するようにも構成され得る。
本明細書で説明される方法論は、応用例に応じて様々な手段によって実施され得る。たとえば、これらの方法論は、ハードウェア、ファームウェア、ソフトウェア、またはそれらの任意の組合せにおいて実施され得る。ハードウェア実施態様に関して、処理ユニットは、1つまたは複数の特定用途向け集積回路(ASIC)、デジタル信号プロセッサ(DSP)、デジタル信号処理デバイス(DSPD)、プログラマブル論理デバイス(PLD)、フィールドプログラマブルゲートアレイ(FPGA)、プロセッサ、コントローラ、マイクロコントローラ、マイクロプロセッサ、電子デバイス、本明細書で説明される機能を実行するように設計された他の電子ユニット、またはそれらの組合せ内で実施され得る。
ファームウェア実施態様および/またはソフトウェア実施態様に関して、方法論は、本明細書で説明される機能を実行するモジュール(たとえば、手続き、関数など)を用いて実施され得る。命令を有形に実施する任意の機械可読媒体が、本明細書で説明される方法論を実施する際に使用され得る。たとえば、ソフトウェアコードは、メモリ内に記憶され、プロセッサユニットによって実行され得る。メモリは、プロセッサユニット内またはプロセッサユニットの外部で実施され得る。本明細書で使用される時に、「メモリ」という用語は、任意のタイプの長期、短期、揮発性、不揮発性、または他のメモリを指し、特定のメモリのタイプもしくはメモリの数、または媒体のタイプに限定されるものではない。有形の媒体は、ランダムアクセスメモリ、磁気ストレージ、光ストレージ媒体、その他など、機械可読媒体の1つまたは複数の物理的な物品を含む。
ファームウェア内および/またはソフトウェア内で実施される場合に、機能は、コンピュータ可読媒体上の1つまたは複数の命令またはコードとして記憶され得る。例は、データ構造体を符号化されたコンピュータ可読媒体およびコンピュータプログラムを符号化されたコンピュータ可読媒体を含む。コンピュータ可読媒体は、物理的なコンピュータ記憶媒体を含む。記憶媒体は、コンピュータによってアクセスされ得る任意の使用可能な媒体とすることができる。限定ではなく例として、そのようなコンピュータ可読媒体は、RAM、ROM、EEPROM、CD-ROMまたは他の光ディスク(disc)ストレージ、磁気ディスク(disk)ストレージまたは他の磁気ストレージデバイス、あるいは所望のプログラムコードを命令またはデータ構造の形式で記憶するために使用され得る、コンピュータによってアクセス可能な任意の他の媒体を含むことができ、ここで、ディスク(disk)およびディスク(disc)は、コンパクトディスク(disc)(CD)、レーザーディスク(登録商標)(disc)、光ディスク(disc)、デジタル多用途ディスク(disc)(DVD)、フロッピーディスク(disk)およびBlu-ray(登録商標)ディスク(disc)を含み、ディスク(disk)は、通常はデータを磁気的に再生し、ディスク(disc)は、レーザーを用いてデータを光学的に再生する。上記の組合せも、コンピュータ可読媒体の範囲内に含まれなければならない。そのような媒体は、機械可読とすることのできる非一時的媒体の例をも提供し、コンピュータは、そのような非一時的媒体から読み取ることができる機械の例である。
本明細書で議論される包括的な原理は、本開示または特許請求の範囲の趣旨または範囲から逸脱せずに他の実施態様に適用され得る。
110 ネットワーク
115 ワイヤレス送信器
115a 地上ワイヤレス送信器
115b 地上ワイヤレス送信器
120 モバイルデバイス
140 ワイヤレス基地局
160 位置サーバ
170 衛星
170a 衛星
170b 衛星
201 バス
210 汎用プロセッサ
220 センサ
225 ワイヤレスインターフェース
232 信号線
234 アンテナ
260 非一時的メモリ
265 GNSSインターフェース
270 入出力インターフェース
272 信号線
274 アンテナ
362 認証モジュール
364 データ収集モジュール
366 データアクセスモジュール
1005 OTAモジュール
1010 モバイルデバイスリソース
1015 IBAモジュール
1020 PBAモジュール
1025 強力な認証モジュール
1105 認証スクリーン状態
1110 スリープ状態
1115 スリープロック状態
1120 強力な認証スクリーン状態
1125 アクティブ状態

Claims (33)

  1. モバイルデバイスのユーザを認証するための方法であって、
    前記モバイルデバイスの許可されたユーザのユーザ挙動の第1のプロファイルおよび第2のプロファイルを、前記モバイルデバイスのプロセッサによって生成するステップであって、前記第1のプロファイルは、少なくとも第1の持続時間を有する第1のタイプのプロファイルを含み、少なくとも前記第1の持続時間にわたる前記許可されたユーザの期待される挙動を示す情報を含み、前記第2のプロファイルは、前記第1の持続時間より短い第2の持続時間を有する第2のタイプのプロファイルを含み、少なくとも前記第2の持続時間にわたる前記許可されたユーザの期待される挙動を示す情報を含む、生成するステップと、
    使用法挙動データを生成するためにユーザ挙動を、前記プロセッサによって監視するステップと、
    前記使用法挙動データを前記第1のプロファイルおよび前記第2のプロファイルと、前記プロセッサによって比較するステップと、
    前記使用法挙動データが前記第1のプロファイルから逸脱することに応答して第1のタイプの認証アクションを、前記プロセッサによって実行するステップと、
    前記使用法挙動データが前記第2のプロファイルから逸脱することに応答して第2のタイプの認証アクションを、前記プロセッサによって実行するステップとを含む、方法。
  2. 前記使用法挙動データを生成するために前記ユーザ挙動を監視するステップは、前記モバイルデバイスがスリープ状態である間に前記ユーザ挙動を、前記プロセッサによって監視するステップを含む、請求項1に記載の方法。
  3. 前記第1のタイプの認証アクションを実行するステップまたは前記第2のタイプの認証アクションを実行するステップは、認証入力が前記モバイルデバイスによって受信されるまで前記モバイルデバイスをロックする認証手続きを、前記プロセッサによって実行するステップを含む、請求項1に記載の方法。
  4. 前記第1のタイプの認証アクションを実行するステップは、強力な認証入力が前記モバイルデバイスによって受信されるまで前記モバイルデバイスをロックする強力な認証手続きを、前記プロセッサによって実行するステップを含み、前記強力な認証入力は、前記第2のタイプの認証アクション内で要求される前記認証入力とは異なる、請求項3に記載の方法。
  5. 前記第2のプロファイルを生成するステップは、
    トレーニング期間中に前記モバイルデバイスにおいて所定の時間期間の間にユーザ関連データを、前記プロセッサによって収集するステップと、
    前記ユーザ関連データに基づいて前記第2のプロファイルを、前記プロセッサによって生成するステップと
    を含む、請求項1に記載の方法。
  6. 前記第1のプロファイルを生成するステップは、
    トレーニング期間中に前記モバイルデバイスにおいてユーザ関連データを、前記プロセッサによって収集するステップと、
    前記ユーザ関連データに基づいて前記第1のプロファイルを、前記プロセッサによって生成するステップと
    を含む、請求項1に記載の方法。
  7. 前記第2のタイプの認証アクションを実行するステップは、
    前記ユーザ挙動に関連する認証アクションを、前記プロセッサによって判定するステップと、
    前記認証アクションに基づいて認証入力を、前記プロセッサによって受信するステップと、
    前記認証入力が前記認証アクションの要件を満足するかどうかを、前記プロセッサによって判定するステップと
    を含む、請求項1に記載の方法。
  8. 前記第1のタイプの認証アクションを実行するステップは、
    前記ユーザ挙動に関連する強力な認証アクションを、前記プロセッサによって判定するステップと、
    前記強力な認証アクションに基づいて認証入力を、前記プロセッサによって受信するステップと、
    前記認証入力が前記強力な認証アクションの要件を満足するかどうかを、前記プロセッサによって判定するステップと
    を含む、請求項1に記載の方法。
  9. 前記使用法挙動データに少なくとも部分的に基づいて前記第1のプロファイルを、前記プロセッサによって洗練するステップをさらに含む、請求項1に記載の方法。
  10. モバイルデバイスの許可されたユーザのユーザ挙動の第1のプロファイルおよび第2のプロファイルを生成するための手段であって、前記第1のプロファイルは、少なくとも第1の持続時間を有する第1のタイプのプロファイルを含み、少なくとも前記第1の持続時間にわたる前記許可されたユーザの期待される挙動を示す情報を含み、前記第2のプロファイルは、前記第1の持続時間より短い第2の持続時間を有する第2のタイプのプロファイルを含み、少なくとも前記第2の持続時間にわたる前記許可されたユーザの期待される挙動を示す情報を含む、生成するための手段と、
    使用法挙動データを生成するためにユーザ挙動を監視するための手段と、
    前記使用法挙動データを前記第1のプロファイルおよび前記第2のプロファイルと比較するための手段と、
    前記使用法挙動データが前記第1のプロファイルから逸脱することに応答して第1のタイプの認証アクションを実行するための手段と、
    前記使用法挙動データが前記第2のプロファイルから逸脱することに応答して第2のタイプの認証アクションを実行するための手段と
    を含む装置。
  11. 前記使用法挙動データを生成するために前記ユーザ挙動を監視するための前記手段は、前記モバイルデバイスがスリープ状態である間に前記ユーザ挙動を監視するための手段を含む、請求項10に記載の装置。
  12. 前記第1のタイプの認証アクションを実行するための前記手段または前記第2のタイプの認証アクションを実行するための前記手段は、認証入力が前記モバイルデバイスによって受信されるまで前記モバイルデバイスをロックする認証手続きを実行するための手段を含む、請求項10に記載の装置。
  13. 前記第1のタイプの認証アクションを実行するための前記手段は、強力な認証入力が前記モバイルデバイスによって受信されるまで前記モバイルデバイスをロックする強力な認証手続きを実行するための手段を含み、前記強力な認証入力は、前記第2のタイプの認証アクション内で要求される前記認証入力とは異なる、請求項12に記載の装置。
  14. 前記第2のプロファイルを生成するための前記手段は、
    トレーニング期間中に前記モバイルデバイスにおいて所定の時間期間の間にユーザ関連データを収集するための手段と、
    前記ユーザ関連データに基づいて前記第2のプロファイルを生成するための手段と
    を含む、請求項10に記載の装置。
  15. 前記第1のプロファイルを生成するための前記手段は、
    トレーニング期間中に前記モバイルデバイスにおいてユーザ関連データを収集するための手段と、
    前記ユーザ関連データに基づいて前記第1のプロファイルを生成するための手段と
    を含む、請求項10に記載の装置。
  16. 前記第2のタイプの認証アクションを実行するための前記手段は、
    前記ユーザ挙動に関連する認証アクションを判定するための手段と、
    前記認証アクションに基づいて認証入力を受信するための手段と、
    前記認証入力が前記認証アクションの要件を満足するかどうかを判定するための手段と
    を含む、請求項10に記載の装置。
  17. 前記第1のタイプの認証アクションを実行するための前記手段は、
    前記ユーザ挙動に関連する強力な認証アクションを判定するための手段と、
    前記強力な認証アクションに基づいて認証入力を受信するための手段と、
    前記認証入力が前記強力な認証アクションの要件を満足するかどうかを判定するための手段と
    を含む、請求項10に記載の装置。
  18. モバイルデバイスの許可されたユーザのユーザ挙動の第1のプロファイルおよび第2のプロファイルを生成し、前記第1のプロファイルは、少なくとも第1の持続時間を有する第1のタイプのプロファイルを含み、少なくとも前記第1の持続時間にわたる前記許可されたユーザの期待される挙動を示す情報を含み、前記第2のプロファイルは、前記第1の持続時間より短い第2の持続時間を有する第2のタイプのプロファイルを含み、少なくとも前記第2の持続時間にわたる前記許可されたユーザの期待される挙動を示す情報を含み、
    使用法挙動データを生成するためにユーザ挙動を監視し、
    前記使用法挙動データを前記第1のプロファイルおよび前記第2のプロファイルと比較し、
    前記使用法挙動データが前記第1のプロファイルから逸脱することに応答して第1のタイプの認証アクションを実行し、
    前記使用法挙動データが前記第2のプロファイルから逸脱することに応答して第2のタイプの認証アクションを実行する
    ように構成されたプロセッサ
    を含むコンピューティングデバイス。
  19. 前記プロセッサは、前記モバイルデバイスがスリープ状態である間に前記ユーザ挙動を監視するように構成される、請求項18に記載のコンピューティングデバイス。
  20. 前記第1のタイプの認証アクションまたは前記第2のタイプの認証アクションを実行するように構成された前記プロセッサは、認証入力が前記モバイルデバイスによって受信されるまで前記モバイルデバイスをロックする認証手続きを実行するように構成される、請求項18に記載のコンピューティングデバイス。
  21. 前記第1のタイプの認証アクションを実行するように構成された前記プロセッサは、強力な認証入力が前記モバイルデバイスによって受信されるまで前記モバイルデバイスをロックする強力な認証手続きを実行するように構成され、前記強力な認証入力は、前記第2のタイプの認証アクション内で要求される前記認証入力とは異なる、請求項20に記載のコンピューティングデバイス。
  22. 前記第2のプロファイルを生成するように構成された前記プロセッサは、
    トレーニング期間中に前記モバイルデバイスにおいて所定の時間期間の間にユーザ関連データを収集し、
    前記ユーザ関連データに基づいて前記第2のプロファイルを生成する
    ように構成される、請求項18に記載のコンピューティングデバイス。
  23. 前記第1のプロファイルを生成するように構成された前記プロセッサは、
    トレーニング期間中に前記モバイルデバイスにおいてユーザ関連データを収集し、
    前記ユーザ関連データに基づいて前記第1のプロファイルを生成する
    ように構成される、請求項18に記載のコンピューティングデバイス。
  24. 前記第2のタイプの認証アクションを実行するように構成された前記プロセッサは、
    前記ユーザ挙動に関連する認証アクションを判定し、
    前記認証アクションに基づいて認証入力を受信し、
    前記認証入力が前記認証アクションの要件を満足するかどうかを判定する
    ように構成される、請求項18に記載のコンピューティングデバイス。
  25. 前記第1のタイプの認証アクションを実行するように構成された前記プロセッサは、
    前記ユーザ挙動に関連する強力な認証アクションを判定し、
    前記強力な認証アクションに基づいて認証入力を受信し、
    前記認証入力が前記強力な認証アクションの要件を満足するかどうかを判定する
    ように構成される、請求項18に記載のコンピューティングデバイス。
  26. コンピュータに、
    モバイルデバイスの許可されたユーザのユーザ挙動の第1のプロファイルおよび第2のプロファイルを生成させるように構成された命令であって、前記第1のプロファイルは、少なくとも第1の持続時間を有する第1のタイプのプロファイルを含み、少なくとも前記第1の持続時間にわたる前記許可されたユーザの期待される挙動を示す情報を含み、前記第2のプロファイルは、前記第1の持続時間より短い第2の持続時間を有する第2のタイプのプロファイルを含み、少なくとも前記第2の持続時間にわたる前記許可されたユーザの期待される挙動を示す情報を含む、命令と、
    使用法挙動データを生成するためにユーザ挙動を監視させるように構成された命令と、
    前記使用法挙動データを前記第1のプロファイルおよび前記第2のプロファイルと比較させるように構成された命令と、
    前記使用法挙動データが前記第1のプロファイルから逸脱することに応答して第1のタイプの認証アクションを実行させるように構成された命令と、
    前記使用法挙動データが前記第2のプロファイルから逸脱することに応答して第2のタイプの認証アクションを実行させるように構成された命令と
    を含む、前記モバイルデバイスの前記ユーザを認証するためのコンピュータ可読命令を記憶した非一時的コンピュータ可読記憶媒体。
  27. 前記コンピュータに、前記使用法挙動データを生成するために前記ユーザ挙動を監視させるように構成された前記命令は、前記コンピュータに、前記モバイルデバイスがスリープ状態である間に前記ユーザ挙動を監視させるように構成された命令を含む、請求項26に記載の非一時的コンピュータ可読記憶媒体。
  28. 前記コンピュータに、前記第1のタイプの認証アクションまたは前記第2のタイプの認証アクションを実行させるように構成された前記命令は、前記コンピュータに、認証入力が前記モバイルデバイスによって受信されるまで前記モバイルデバイスをロックする認証手続きを実行させるように構成された命令を含む、請求項26に記載の非一時的コンピュータ可読記憶媒体。
  29. 前記コンピュータに、前記第1のタイプの認証アクションを実行させるように構成された前記命令は、前記コンピュータに、強力な認証入力が前記モバイルデバイスによって受信されるまで前記モバイルデバイスをロックする強力な認証手続きを実行させるように構成された命令を含み、前記強力な認証入力は、前記第2のタイプの認証アクション内で要求される前記認証入力とは異なる、請求項28に記載の非一時的コンピュータ可読記憶媒体。
  30. 前記コンピュータに、前記第2のプロファイルを生成させるように構成された前記命令は、前記コンピュータに、
    トレーニング期間中に前記モバイルデバイスにおいて所定の時間期間の間にユーザ関連データを収集させるように構成された命令と、
    前記ユーザ関連データに基づいて前記第2のプロファイルを生成させるように構成された命令と
    を含む、請求項26に記載の非一時的コンピュータ可読記憶媒体。
  31. 前記コンピュータに、前記第1のプロファイルを生成させるように構成された前記命令は、前記コンピュータに、
    トレーニング期間中に前記モバイルデバイスにおいてユーザ関連データを収集させるように構成された命令と、
    前記ユーザ関連データに基づいて前記第1のプロファイルを生成させるように構成された命令と
    を含む、請求項26に記載の非一時的コンピュータ可読記憶媒体。
  32. 前記コンピュータに、前記使用法挙動データが前記第2のプロファイルから逸脱することに応答して前記第2のタイプの認証アクションを実行させるように構成された前記命令は、前記コンピュータに、
    前記ユーザ挙動に関連する認証アクションを判定させるように構成された命令と、
    前記認証アクションに基づいて認証入力を受信させるように構成された命令と、
    前記認証入力が前記認証アクションの要件を満足するかどうかを判定させるように構成された命令と
    を含む、請求項26に記載の非一時的コンピュータ可読記憶媒体。
  33. 前記コンピュータに、前記第1のタイプの認証アクションを実行させるように構成された前記命令は、前記コンピュータに、
    前記ユーザ挙動に関連する強力な認証アクションを判定させるように構成された命令と、
    前記強力な認証アクションに基づいて認証入力を受信させるように構成された命令と、
    前記認証入力が前記強力な認証アクションの要件を満足するかどうかを判定するように構成された命令と
    を含む、請求項26に記載の非一時的コンピュータ可読記憶媒体。
JP2017539555A 2015-02-13 2016-01-14 多粒度認証技法 Expired - Fee Related JP6310160B1 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US14/622,742 2015-02-13
US14/622,742 US9407754B1 (en) 2015-02-13 2015-02-13 Multi-granular authentication techniques
PCT/US2016/013345 WO2016130270A1 (en) 2015-02-13 2016-01-14 Multi-granular authentication techniques

Publications (2)

Publication Number Publication Date
JP6310160B1 true JP6310160B1 (ja) 2018-04-11
JP2018512083A JP2018512083A (ja) 2018-05-10

Family

ID=55272685

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017539555A Expired - Fee Related JP6310160B1 (ja) 2015-02-13 2016-01-14 多粒度認証技法

Country Status (6)

Country Link
US (1) US9407754B1 (ja)
EP (1) EP3257217A1 (ja)
JP (1) JP6310160B1 (ja)
KR (1) KR101892145B1 (ja)
CN (1) CN107211024B (ja)
WO (1) WO2016130270A1 (ja)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9058486B2 (en) * 2011-10-18 2015-06-16 Mcafee, Inc. User behavioral risk assessment
US9584524B2 (en) * 2014-07-03 2017-02-28 Live Nation Entertainment, Inc. Sensor-based human authorization evaluation
US9407754B1 (en) * 2015-02-13 2016-08-02 Qualcomm Incorporated Multi-granular authentication techniques
US10331937B2 (en) * 2017-04-19 2019-06-25 International Business Machines Corporation Method and system for context-driven fingerprint scanning to track unauthorized usage of mobile devices
US10397209B2 (en) * 2017-07-06 2019-08-27 International Business Machines Corporation Risk-aware multiple factor authentication based on pattern recognition and calendar
US10594725B2 (en) * 2017-07-27 2020-03-17 Cypress Semiconductor Corporation Generating and analyzing network profile data
US20220232024A1 (en) * 2017-11-27 2022-07-21 Lacework, Inc. Detecting deviations from typical user behavior
US20220232025A1 (en) * 2017-11-27 2022-07-21 Lacework, Inc. Detecting anomalous behavior of a device
US11210431B2 (en) * 2019-06-07 2021-12-28 Dell Products L.P. Securely entering sensitive information using a touch screen device
US10652238B1 (en) 2019-06-10 2020-05-12 Capital One Services, Llc Systems and methods for automatically performing secondary authentication of primary authentication credentials

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080215623A1 (en) * 2005-09-14 2008-09-04 Jorey Ramer Mobile communication facility usage and social network creation
US8719909B2 (en) 2008-04-01 2014-05-06 Yougetitback Limited System for monitoring the unauthorized use of a device
JP5027082B2 (ja) * 2008-09-02 2012-09-19 ヤフー株式会社 行動履歴分析方法、装置及びプログラム
US8412158B2 (en) * 2010-08-17 2013-04-02 Qualcomm Incorporated Mobile device having increased security that is less obtrusive
EP2638465A2 (en) * 2010-11-09 2013-09-18 Openpeak Inc. Communication devices, networks, services and accompanying methods
US8892461B2 (en) * 2011-10-21 2014-11-18 Alohar Mobile Inc. Mobile device user behavior analysis and authentication
JP5467119B2 (ja) * 2012-04-19 2014-04-09 アメリカン エクスプレス トラベル リレイテッド サービシーズ カンパニー, インコーポレイテッド 不正な商取引を防止するためのシステムおよび方法
US8863307B2 (en) 2012-06-05 2014-10-14 Broadcom Corporation Authenticating users based upon an identity footprint
US9432361B2 (en) 2013-03-13 2016-08-30 Lookout, Inc. System and method for changing security behavior of a device based on proximity to another device
US9305298B2 (en) 2013-03-22 2016-04-05 Nok Nok Labs, Inc. System and method for location-based authentication
US9407754B1 (en) * 2015-02-13 2016-08-02 Qualcomm Incorporated Multi-granular authentication techniques

Also Published As

Publication number Publication date
US20160241705A1 (en) 2016-08-18
CN107211024A (zh) 2017-09-26
CN107211024B (zh) 2019-01-18
KR20170100032A (ko) 2017-09-01
EP3257217A1 (en) 2017-12-20
KR101892145B1 (ko) 2018-08-27
WO2016130270A1 (en) 2016-08-18
US9407754B1 (en) 2016-08-02
JP2018512083A (ja) 2018-05-10

Similar Documents

Publication Publication Date Title
JP6310160B1 (ja) 多粒度認証技法
US11669338B2 (en) Device locator disable authentication
US20210076212A1 (en) Recognizing users with mobile application access patterns learned from dynamic data
US11176231B2 (en) Identifying and authenticating users based on passive factors determined from sensor data
US8726371B2 (en) Enhanced security for devices enabled for wireless communications
EP3437004A1 (en) Personalized inferred authentication for virtual assistance
EP3356979B1 (en) Techniques for entering codes on computing devices
US9794784B2 (en) Techniques for preventing unauthorized users from controlling modem of mobile device
TR201810890T4 (tr) Kimlik hırsızlığına veya kopya istismarına karşı koruyan yöntem ve sistem.
CN112567709B (zh) 使用异常检测增强安全性
KR20140136529A (ko) 휴대용 전자 디바이스에 대한 위치-기반 액세스 제어
US9699656B2 (en) Systems and methods of authenticating and controlling access over customer data
JP6201835B2 (ja) 情報処理装置、情報処理方法及びコンピュータプログラム
US10091177B1 (en) Controlling access to a computerized resource of a mobile device based on whether the mobile device is within a vehicle that is currently moving
CN106203016B (zh) 一种终端处理方法及设备
US10013537B1 (en) Varying the amount of time that a mobile device must be inactive before the mobile device re-locks access to a computerized resource
Nalinipriya et al. A dynamic tracking system for smart phones-A secure approach
US20230153415A1 (en) Alternative identity verification and authorization method
VANAJA et al. NONINTRUSIVE SMARTPHONE USER VERIFICATION USING ANONYMZED MULTIMODAL DATA

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180105

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180205

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180219

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180315

R150 Certificate of patent or registration of utility model

Ref document number: 6310160

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees