JP6473499B2 - 所有ファクタの証明書を更新するためのシステム及び方法 - Google Patents

所有ファクタの証明書を更新するためのシステム及び方法 Download PDF

Info

Publication number
JP6473499B2
JP6473499B2 JP2017513463A JP2017513463A JP6473499B2 JP 6473499 B2 JP6473499 B2 JP 6473499B2 JP 2017513463 A JP2017513463 A JP 2017513463A JP 2017513463 A JP2017513463 A JP 2017513463A JP 6473499 B2 JP6473499 B2 JP 6473499B2
Authority
JP
Japan
Prior art keywords
user
identity
certificate
previously specified
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017513463A
Other languages
English (en)
Other versions
JP2017534951A (ja
Inventor
ソコロフ・イリヤ
ニュースタッド・キース
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NortonLifeLock Inc
Original Assignee
Symantec Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Symantec Corp filed Critical Symantec Corp
Publication of JP2017534951A publication Critical patent/JP2017534951A/ja
Application granted granted Critical
Publication of JP6473499B2 publication Critical patent/JP6473499B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Description

多くのサービスは、オンラインユーザアカウントに誰がアクセスしてもよいかを制御するため、多要素認証(multi-factor authentication)を使用する。多要素認証によれば、サービスは、ユーザが対応するアカウントにアクセスすることを認証されているアイデンティティを確立するため、ユーザが2つ(又はそれ以上)の異なる認証形式を提示することを要求する。例えば、サービスは、知識ファクタ(例えば、以前に指定したパスワードの知識)と、所有ファクタ(例えば、ユーザが所有する以前に指定したオブジェクトに対するアクセス)の両方を提示するよう、ユーザに要求することがある。
ユーザは、知識ファクタを忘れているか、又は所有ファクタに対するアクセスを失っていることがあるので、オンラインサービスは、ユーザがそれらのファクタを更新することを許可する方法を開発してきた。一般に、失われた所有ファクタを更新するための従来のプロトコルは、忘れてしまった知識ファクタを更新するためのプロトコルと同じである。具体的には、プロトコルは、ユーザがセキュリティの質問に正答した場合に、ユーザがファクタを更新することを許可する。残念ながら、この従来のプロトコルは、ユーザが所有ファクタ(即ち、オブジェクトの所有)を提示せず、その代わりに知識ファクタ(即ち、セキュリティの質問に対する回答)を提示することによって済ませることを許可する。ユーザは、それによって所有ファクタを無効化することができ、そのことが、所有ファクタのメカニズムを使用することによって追加されるセキュリティを本質的に否定する。
したがって、本開示は、所有ファクタの認証証明書を更新するための改善されたシステム及び方法の必要性を識別する。
より詳細に後述するように、本開示は、例えば、所有ファクタの証明書を更新しようとしているユーザのアイデンティティ確認を行い、確認されたアイデンティティが、所有ファクタの証明書として以前に指定されていたオブジェクトへのアクセスを有していたことを検証することによって、ユーザが所有ファクタの証明書を更新することを安全に可能にする、様々なシステム及び方法について記載する。一実施例では、所有ファクタの証明書を更新するためのコンピュータ実装方法は、(1)以前に指定したオブジェクトの代わりにサービスによって所有ファクタの証明書として使用される新しいオブジェクトを指定するために、サービスのユーザからの要求を検出することと、(2)ユーザが新しいオブジェクトを指定するのを許可する前に、ユーザの申し立てたアイデンティティがユーザの実際のアイデンティティであることを検証するために、ユーザのアイデンティティを確認し、ユーザの確認されたアイデンティティが以前に指定したオブジェクトを所有していたことを検証することによって、ユーザを認証することと、(3)ユーザの確認されたアイデンティティが以前に指定したオブジェクトを所有していたことを検証することに応答して、新しいオブジェクトを所有ファクタの証明書として指定することとを含んでもよい。
いくつかの実施例では、新しいオブジェクトを指定するためにユーザからの要求を検出することは、ユーザが以前に指定したオブジェクトへのアクセスを有さないことを検出することを含んでもよい。一実施形態では、以前に指定したオブジェクト及び/又は新しいオブジェクトは、(1)電話、(2)サービスから受け取った物理的トークン、並びに/あるいは(3)サービスから受け取ったソフトトークンを含んでもよい。いくつかの実施例では、ユーザのアイデンティティを確認することは、(1)ユーザのアイデンティティに関する質問をユーザに提出することと、(2)質問に応答してユーザによって提供された回答が実際のアイデンティティに対応するかを判断することとを含んでもよい。
一実施形態では、以前に指定したオブジェクトは、オブジェクトを所有ファクタの証明書として指定した時点でユーザが既に所有していたオブジェクトを含んでもよい。この実施形態では、ユーザの確認されたアイデンティティが以前に指定したオブジェクトを所有していたことを検証することは、(1)ユーザと関連付けられた記録を検索することと、(2)以前に指定したオブジェクトに対する記録内の参照を識別することとを含んでもよい。一実施例では、以前に指定したオブジェクトを参照する記録は、(1)信用報告書、(2)所得申告書、(3)融資申込書、及び/又は(4)電話帳を含んでもよい。いくつかの実施例では、ユーザの確認されたアイデンティティが以前に指定したオブジェクトを所有していたことを検証することは、(1)ユーザと関連付けられた第三者を識別することと、(2)以前に指定したオブジェクトをユーザが所有していたか否かに関する情報について第三者に問い合わせることとを含んでもよい。
一実施形態では、以前に指定したオブジェクトは、サービスによってユーザに発行されたトークンを含んでもよい。この実施形態では、ユーザの確認されたアイデンティティが以前に指定したオブジェクトを所有していたことを検証することは、(1)トークンが送られた物理的位置及び/又はオブジェクトを識別することと、(2)トークンが送られた物理的位置及び/又はオブジェクトをユーザが所有していたと判断することとを含んでもよい。
いくつかの実施例では、トークンが送られた物理的位置及び/又はオブジェクトをユーザが所有していたと判断することは、(1)ユーザと関連付けられた記録を検索することと、(2)トークンが送られた物理的位置及び/又はオブジェクトに対する記録における参照を識別することとを含んでもよい。一実施形態では、トークンが送られた物理的位置及び/又はオブジェクトを参照する記録は、(1)信用報告書、(2)所得申告書、(3)融資申込書、及び/又は(4)電話帳を含んでもよい。
いくつかの実施例では、トークンが送られた物理的位置及び/又はオブジェクトをユーザが所有していたと判断することは、(1)ユーザと関連付けられた第三者を識別することと、(2)トークンが送られた物理的位置及び/又はオブジェクトをユーザが所有していたか否かに関する情報について第三者に問い合わせることとを含んでもよい。更なる実施形態では、コンピュータ実装方法は、(1)サービスによって提供されるユーザアカウントにユーザがログインしようとする試みを識別することと、(2)ユーザが新しいオブジェクトを所有していると判断することと、(3)ユーザが新しいオブジェクトを所有しているとの判断に少なくとも部分的に基づいて、サービスによって提供されるユーザアカウントにユーザがログインするのを許可することとを含んでもよい。
一実施形態では、上述の方法を実装するシステムは、(1)以前に指定したオブジェクトの代わりにサービスによって所有ファクタの証明書として使用される新しいオブジェクトを指定するために、サービスのユーザからの要求を検出する、メモリに記憶された、検出モジュールと、(2)ユーザが新しいオブジェクトを指定するのを許可する前に、ユーザの申し立てたアイデンティティがユーザの実際のアイデンティティであることを検証するために、ユーザのアイデンティティを確認し、ユーザの確認されたアイデンティティが以前に指定したオブジェクトを所有していたことを検証することによってユーザを認証する、メモリに記憶された、検証モジュールと、(3)ユーザの確認されたアイデンティティが以前に指定したオブジェクトを所有していたことを検証モジュールが検証したのに応答して、新しいオブジェクトを所有ファクタの証明書として指定する、メモリに記憶された、指定モジュールと、(4)検出モジュール、検証モジュール、及び指定モジュールを実行するように構成された、少なくとも1つの物理的プロセッサとを含んでもよい。
いくつかの実施例において、上に記載される方法は、非一時的コンピュータ可読媒体上のコンピュータ可読命令としてコード化されてもよい。例えば、コンピュータ可読媒体は、コンピュータデバイスの少なくとも1つのプロセッサによって実行されると、(1)以前に指定したオブジェクトの代わりにサービスによって所有ファクタの証明書として使用される新しいオブジェクトを指定するために、サービスのユーザからの要求を検出することと、(2)ユーザが新しいオブジェクトを指定するのを許可する前に、ユーザの申し立てたアイデンティティがユーザの実際のアイデンティティであることを検証するために、ユーザのアイデンティティを確認し、ユーザの確認されたアイデンティティが以前に指定したオブジェクトを所有していたことを検証することによって、ユーザを認証することと、(3)ユーザの確認されたアイデンティティが以前に指定したオブジェクトを所有していたことを検証することに応答して、新しいオブジェクトを所有ファクタの証明書として指定することとを、コンピュータデバイスに行わせてもよい、1つ以上のコンピュータ実行可能命令を含んでもよい。
上で述べられる実施形態のいずれかによる特徴は、本明細書で説明される一般原理に従って、互いに組み合わせて使用することができる。これら及び他の実施形態、特徴、及び利点は、添付の図面及び特許請求の範囲と併せて以下の発明を実施するための形態を読むことによって更に十分に理解されるだろう。
添付の図面は、いくつかの例示的な実施形態を例証するものであり、本明細書の一部である。以下の説明と併せて、これらの図面は、本開示の様々な原理を実証及び説明する。
所有ファクタの証明書を更新するための例示的なシステムを示すブロック図である。 所有ファクタの証明書を更新するための追加の例示的なシステムを示すブロック図である。 所有ファクタの証明書を更新するための例示的な方法を示すフローチャートである。 ユーザと所有ファクタの証明書で使用される様々なオブジェクトとの例示的な関係を図示するブロック図である。 例示的な以前に指定したオブジェクトと、所有ファクタの証明書で使用される例示的な記録とを示すブロック図である。 本明細書に記載及び/又は例証される実施形態のうちの1つ又は2つ以上を実装することができる例示的なコンピューティングシステムのブロック図である。 本明細書に記載及び/又は例証される実施形態のうちの1つ以上を実装することができる例示的なコンピューティングネットワークのブロック図である。
図面を通して、同一の参照符号及び記述は、必ずしも同一ではないが、類似の要素を示す。本明細書で説明される例示的な実施形態は、様々な修正物及び代替的な形態が可能であるが、特定の実施形態が例として図面に示されており、本明細書に詳細に記載される。しかしながら、本明細書に記載される例示的な実施形態は、開示される特定の形態に限定されることを意図しない。むしろ、本開示は、添付の特許請求の範囲内にある全ての修正物、等価物、及び代替物を網羅する。
本開示は、概して、所有ファクタの証明書を更新するためのシステム及び方法に関する。より詳細に後述するように、本開示は、ユーザが所有ファクタの証明書を更新しようとする試みが合法的である(例えば、ユーザのアイデンティティが、最初にアカウントを作成したアイデンティティに対応しており、それにより、アカウントへのアクセス及びその変更が認証される)か、あるいは不正である(例えば、ユーザのアイデンティティが、最初にアカウントを作成したアイデンティティに対応しておらず、それにより、アカウントへのアクセス及びその変更が認証されない)かを、オンラインサービスが判断することを可能にしてもよい。開示のシステム及び方法は、それにより、以前に指定した所有ファクタの証明書を所有していることもユーザが証明することなく、脆弱なアイデンティティ確認メカニズムのみを使用して、ユーザが所有ファクタの証明書を更新することを許可していた、抜け穴(loophole)を閉じてもよい。
以下、図1〜図2を参照して、所有ファクタの証明書を更新するための例示的なシステムの詳細な説明を提供する。対応するコンピュータ実装方法の詳細な説明もまた、図3〜5に関連して提供する。更に、本明細書に記載される実施形態のうちの1つ以上を実装することができる例示的なコンピューティングシステム及びネットワークアーキテクチャの詳細な説明が、それぞれ図6及び図7に関連して提供される。
図1は、所有ファクタの証明書を更新するための例示的なシステム100のブロック図である。この図に例証されるように、例示的なシステム100は、1つ以上のタスクを実施するための1つ以上のモジュール102を含んでもよい。例えば、より詳細に後述するように、例示的なシステム100はまた、以前に指定したオブジェクトの代わりにサービスによって所有ファクタの証明書として使用される新しいオブジェクトを指定するために、サービスのユーザからの要求を検出してもよい、検出モジュール104を含んでもよい。例示的なシステム100は、それに加えて、ユーザが新しいオブジェクトを指定するのを許可する前に、(1)ユーザの申し立てたアイデンティティがユーザの実際のアイデンティティであることを検証するために、ユーザのアイデンティティを確認することと、(2)ユーザの確認されたアイデンティティが以前に指定したオブジェクトを所有していたことを検証することとによって、ユーザを認証してもよい、検証モジュール106を含んでもよい。例示的なシステム100はまた、ユーザの確認されたアイデンティティが以前に指定したオブジェクトを所有していたことを検証モジュール106が検証したのに応答して、新しいオブジェクトを所有ファクタの証明書として指定してもよい、指定モジュール108を含んでもよい。別々の要素として例証されるが、図1のモジュール102のうちの1つ以上は、単一のモジュール又はアプリケーションの部分を表してもよい。
ある特定の実施形態において、図1のモジュール102のうち1つ以上は、コンピューティングデバイスによって実行されると、コンピューティングデバイスに1つ以上のタスクを実施させ得る、1つ以上のソフトウェアアプリケーション又はプログラムを表してもよい。例えば、詳細に後述するように、モジュール102の1つ以上は、図2に示されるデバイス(例えば、コンピューティングデバイス202及び/又はサーバ206)、図6のコンピューティングシステム610、並びに/あるいは図7の例示的なネットワークアーキテクチャ700の部分など、1つ以上のコンピューティングデバイス上に記憶され、かつその上で動くように構成される、ソフトウェアモジュールを表してもよい。図1のモジュール102のうちの1つ以上はまた、1つ以上のタスクを実施するように構成された1つ以上の専用コンピュータの全て又は一部も表してもよい。
図1に示すように、例示的なシステム100はまた、データベース120などの1つ以上のデータベースを含んでもよい。一実施例では、データベース120は、更に後述するように、以前に指定したオブジェクトに対する参照122などの、以前に指定したオブジェクトに対する参照、及び/又はユーザアカウント124などのユーザアカウントを記憶するように構成されてもよい。
データベース120は、単一のデータベース若しくはコンピューティングデバイスの部分、又は複数のデータベース若しくはコンピューティングデバイスの部分を表してもよい。例えば、データベース120は、図2のサーバ206の一部分、図6のコンピューティングシステム610、及び/又は図7の例示的なネットワークアーキテクチャ700の部分を表してもよい。あるいは、図1のデータベース120は、図2のサーバ206、図6のコンピューティングシステム610、及び/又は図7の例示的なネットワークアーキテクチャ700の部分など、コンピューティングデバイスによってアクセスすることができる、1つ以上の物理的に別個のデバイスを表してもよい。
図1の例示的なシステム100は、様々な方法で実装することができる。例えば、例示的なシステム100の全て又は一部は、図2における例示的なシステム200の部分を表してもよい。図2に示されるように、システム200は、ネットワーク204を介してサーバ206と通信するコンピューティングデバイス202を含むことができる。一実施例では、コンピューティングデバイス202は、モジュール102のうち1つ以上を用いてプログラムされてもよく、かつ/又はデータベース120内のデータの全て若しくは一部分を記憶することができる。加えて、又は代替的に、サーバ206は、モジュール102のうちの1つ以上を用いてプログラムされてもよく、及び/又はデータベース120のデータの全て若しくは一部を記憶してもよい。いくつかの実施例では、サーバ206は、アクセスを許可する前に、オンラインサービスが維持しているユーザアカウントにユーザがアクセスを試みるのを認証する、オンラインサービスの一部として機能してもよい。
一実施形態では、図1のモジュール102のうち1つ以上は、コンピューティングデバイス202及び/又はサーバ206のうち少なくとも1つのプロセッサによって実行されると、コンピューティングデバイス202及び/又はサーバ206が所有ファクタの証明書を更新するのを可能にしてもよい。例えば、より詳細に後述するように、検出モジュール104は、以前に指定したオブジェクトの代わりにサービスによって所有ファクタの証明書として使用される新しいオブジェクト208を指定するために、サービスのユーザからの要求を検出してもよい。検証モジュール106は、ユーザの申し立てたアイデンティティがユーザの実際のアイデンティティであることを検証するために、ユーザのアイデンティティを確認し、ユーザの確認されたアイデンティティが以前に指定したオブジェクトを所有していたことを検証することによって、ユーザを認証してもよい。指定モジュール108は、新しいオブジェクト208を所有ファクタの証明書として指定してもよい。
コンピューティングデバイス202は一般に、コンピュータ実行可能命令を読み取ることができる任意のタイプ又は形態のコンピューティングデバイスを表す。コンピューティングデバイス202の例としては、ラップトップ、タブレット、デスクトップ、サーバ、携帯電話、携帯情報端末(PDA)、マルチメディアプレーヤー、埋め込みシステム、ウェアラブルデバイス(例えば、スマートウォッチ、スマートグラスなど)、ゲーム機、それらの1つ以上の組み合わせ、図6の例示的なコンピューティングシステム610、あるいは任意の他の好適なコンピューティングデバイスが挙げられるが、これらに限定されない。
サーバ206は、一般に、コンピュータ可読命令を読み取ることができる、任意のタイプ又は形態のコンピューティングデバイスを表す。サーバ206の例としては、限定することなく、様々なデータベースサービスを提供するように、かつ/又はある特定のソフトウェアアプリケーションを作動させるように構成されたアプリケーションサーバ及びデータベースサーバが挙げられる。
ネットワーク204は、一般に、通信若しくはデータ転送を容易にすることが可能な、任意の媒体又はアーキテクチャを表す。ネットワーク204の例として、イントラネット、広域ネットワーク(Wide Area Network)(WAN)、ローカルエリアネットワーク(Local Area Network)(LAN)、パーソナルエリアネットワーク(Personal Area Network)(PAN)、インターネット、電力線通信(PLC)、セルラーネットワーク(例えば、Global System for Mobile Communications(GSM(登録商標))ネットワーク)、図7の例示的なネットワークアーキテクチャ700などが挙げられるが、これらに限定されない。ネットワーク204は、無線接続又は有線接続を使用して、通信又はデータ転送を容易にすることができる。一実施形態では、ネットワーク204は、コンピューティングデバイス202とサーバ206との間の通信を容易にすることができる。
図3は、所有ファクタの証明書を更新するための例示的なコンピュータ実装方法300のフローチャートである。図3に示される工程は、任意の適切なコンピュータ実行可能コード及び/又はコンピューティングシステムによって実施することができる。いくつかの実施形態では、図3に示す工程は、図1のシステム100、図2のシステム200、図6のコンピューティングシステム610、及び/又は図7の例示的なネットワークアーキテクチャ700の部分の構成要素のうち1つ以上によって実施され得る。
図3に示されるように、ステップ302で、本明細書に記載するシステムの1つ以上は、以前に指定したオブジェクトの代わりにサービスによって所有ファクタの証明書として使用される新しいオブジェクトを指定するために、サービスのユーザからの要求を検出してもよい。例えば、検出モジュール104は、図2のサーバ206の一部として、以前に指定したオブジェクトの代わりにサービスによって所有ファクタの証明書として使用される新しいオブジェクト208を指定するために、サービスの図4のユーザ410(更に後述するような)からの要求を検出してもよい。
本明細書で使用するとき、「所有ファクタの証明書」という用語は、一般に、多要素認証を経験しているユーザが自身の所有下にあると証明するオブジェクトを指す。本明細書で使用するとき、「多要素認証」という用語は、一般に、少なくとも2つの異なる要素の組み合わせを使用して個人を認証する、任意のタイプ若しくは形態のプロセス、手順、及び/又はイベントを指す。これらの要素は、ユーザが知っているもの(パスワード若しくは社会保障番号)及び/又はユーザが所有しているもの(即ち、所有ファクタの証明書)を含んでもよい。所有ファクタの証明書の例は、電話、サービスから受け取った物理的トークン、サービスから受け取ったソフトトークン、デビットカードなど、ユーザが所有していることを証明してもよい任意のオブジェクトを含んでもよい。
いくつかの実施例では、サービスは、ユーザがユーザアカウントにアクセスするのを許可する前に、多要素認証を使用してユーザを認証してもよい。これらの実施例では、ユーザは、サービスによって所有ファクタの証明書として使用される、自身が既に所有しているオブジェクトを指定してもよい。例えば、サービスは、図4に例証されるユーザ410などのユーザに、今後の認証に使用される携帯電話430などのユーザが所有する電話の電話番号を指定するように促してもよい。この実施例では、サービスは、例えば、SHORT MESSAGE SERVICEメッセージ又は自動音声呼出しを介して、指定の電話番号にコードを送ることによって、ユーザを実質的に認証してもよい。ユーザは、次に、電話を介してコードを受け取ると、コードをサービスに提出することによって、電話の所有を証明してもよい。
それに加えて、又はその代わりに、サービスは、所有ファクタの証明書として使用されるトークンをユーザに送ってもよい。例えば、サービスは、ユーザ410などのユーザに、今後の認証に使用されるハードトークン450などのハードトークンを送ってもよい。この実施例では、サービスはトークンを指定していてもよく、又はユーザは、サービスによって提供された所有ファクタの証明書のリストからトークンを選択していてもよい。いくつかの実施例では、ユーザは、サービスがハードトークンを送ってもよい場所を提出してもよい。更なる実施例では、サービスは、ハードトークンを自身が所有していると証明することをユーザに要求することによって、ユーザを実質的に認証してもよい。例えば、銀行は、デビットカードの形態のハードトークンをユーザに送ってもよい。この実施例では、現金自動預け払い機を通してアカウントにアクセスしようとしているユーザに、デビットカードを現金自動預け払い機に挿入することによって、デビットカードを自身が所有していると証明するように求めてもよい。別の実施例では、サービスは、電話若しくはコンピュータにダウンロードされてもよいソフトウェア又はデータなどのソフトトークンを、ユーザによって指定されたオブジェクトに送ってもよい。例えば、ユーザ410などのユーザは、携帯電話430などの電話を指定してもよく、それに応答してサービスは、ソフトトークンを携帯電話430に送ってダウンロードさせてもよい。この実施例では、サービスは、ソフトトークン(例えば、データ、キー、及び/又はパスワード)を自身が所有していると証明するように要求することによって、ユーザを実質的に認証してもよい。
検出モジュール104は、様々なやり方で以前に指定したオブジェクトの代わりに新しいオブジェクトを指定するために、サービスのユーザからの要求を検出してもよい。いくつかの実施例では、検出モジュール104は、以前に指定したオブジェクトへのアクセスをユーザが有さないことを検出することによって、ユーザからの要求を検出してもよい。これらの実施例では、以前に指定したオブジェクトは、失われるか、置き違えるか、盗まれるか、又は破壊されていることがある。いくつかの実施例では、ユーザは、移動プロセスを通して(又はその間に)オブジェクトを移動させ、その所有を失っていることがある。他の実施例では、オブジェクトが失われたことを検出モジュール104が更に検出することなく、以前に指定したオブジェクトは失われていることがある。特に、いくつかの実施例では、システム200は、単なる所有とは異なる所有権を検出する際に、多要素認証を基礎としてもよい。
いくつかの実施例では、検出モジュール104は、ログインプロセスの一部として以前に指定したオブジェクトをユーザが所有していることを検証する、オンラインサービスの一部として動作してもよい。これらの実施例では、検出モジュール104は、アカウントにログインしようとしているユーザが、以前に指定したオブジェクトに対して自身がアクセスを有することを証明できないことを検出してもよい。いくつかの実施例では、ユーザは、以前に指定したオブジェクトに対して自身がアクセスを有さないこと、及び以前に指定したオブジェクトの代わりに所有ファクタの証明書として使用される新しいオブジェクトを自身が指定することを、オンラインサービスに提出してもよい。
ステップ304で、本明細書に記載されるシステムの1つ以上は、(1)ユーザの申し立てたアイデンティティがユーザの実際のアイデンティティであることを検証するために、ユーザのアイデンティティを確認することと、(2)ユーザの確認されたアイデンティティが以前に指定したオブジェクトを所有していたことを検証することとによって、ユーザを認証してもよい。例えば、検証モジュール106は、図2のサーバ206の一部として、(1)ユーザ410の申し立てたアイデンティティがユーザ410の実際のアイデンティティであることを検証するために、ユーザ410のアイデンティティを確認することと、(2)ユーザ410の確認されたアイデンティティが、携帯電話430及び/又はハードトークン450などの以前に指定したオブジェクトを所有していたことを検証することとによって、図4のユーザ410を認証してもよい。特に、図3は、(1)アイデンティティ確認及び(2)所有の検証の両方がステップ304の一部であることを示しているが、これらはそれぞれ、別個に実施され、異なるモジュールによって(又は検証モジュール106若しくはシステム200内の異なるサブモジュールによって)実施され、並びに/あるいは異なる方法及び技術を使用して実施されてもよい、サブステップを構成する。更に、これらのサブステップは、方法300内の全てのステップ(及び本明細書を通して考察される、関連するサブステップ)のように、任意の好適な又は論理的な順序で実施されてもよい。
本明細書で使用するとき、「認証する」という語句は、一般に、ユーザアカウントに対するアクセス及び/又は変更の実行をユーザが認証されていることを検証するための、任意のタイプ若しくは形態のプロセス、手順、及び/又はイベントを指す。検証モジュール106は、様々な方法でユーザを認証してもよい。いくつかの実施例では、検証モジュール106は、ユーザのアイデンティティを確認することによってユーザを認証してもよい。本明細書で使用するとき、「アイデンティティを確認する」という語句は、一般に、オンラインユーザの実世界のアイデンティティを判断するプロセスを指す。一般に、アイデンティティの確認は、ユーザの申し立てたアイデンティティがユーザの実際のアイデンティティであるか否かを判断することを含んでもよい。これらの実施例では、「ユーザの申し立てたアイデンティティ」という用語は、一般に、ユーザアカウント124などのオンラインアカウントをユーザが設定する時点で、サービスに対して申し立てたアイデンティティを指す。
検証モジュール106は、様々な方法でユーザのアイデンティティを確認してもよい。いくつかの実施例では、検証モジュール106は、ユーザのアイデンティティに関する質問をユーザに提出してもよい。これらの実施例では、検証モジュール106は、質問を受け取ったのに応答してユーザによって提供される回答が、ユーザの実際のアイデンティティに対応しているか否かに基づいて、ユーザのアイデンティティを確認してもよい。一実施形態では、ユーザは質問を以前に選択していてもよく、ユーザが質問を選択した時点で、ユーザはまた、質問に対して提出された回答を有していてもよい。この実施形態では、検証モジュール106は、質問を受け取ったのに応答して提供された回答が以前に提出した回答と一致していれば、ユーザのアイデンティティを確認してもよい。質問は、「子供時代の親友は?」若しくは「最初に飼っていたペットの名前は?」など、信頼できない個人が正答しないであろう質問を含んでもよく、又は誕生日、社会保障番号など、個人識別情報を要求してもよい。それに加えて、又はその代わりに、検証モジュール106は、ユーザの個人記録又は財務記録などの記録に基づいて、質問を作成していてもよい。この実施形態では、検証モジュール106は、質問を受け取ったのに応答してユーザが提出した回答が、ユーザの個人記録又は財務記録に見出される情報と一致する場合、ユーザのアイデンティティを確認することができる。
いくつかの実施例では、検証モジュール106は、個人識別の検証(validation)を使用してユーザのアイデンティティを確認してもよい。これらの実施例では、検証モジュール106は、非限定的に、ユーザの運転免許証、ユーザのパスポート、並びに/あるいは他の任意の物理的個人識別カード、トークン、又は識別子(例えば、政府若しくは他の機関によって発行される)を検査することによって、アイデンティティを確認してもよい。いくつかの実施例では、検証モジュール106は、アドレスの検証を使用してユーザのアイデンティティを確認してもよい。これらの実施例では、検証モジュール106は、コードをユーザのアドレスにメールし、ユーザがそれを受け取ることができるかを検証することによって、アイデンティティを確認してもよい。いくつかの実施例では、検証モジュール106は、財務記録の検証を使用してユーザのアイデンティティを確認してもよい。これらの実施例では、検証モジュール106は、少額をユーザのクレジットカードに請求し、かつ/又はユーザの当座預金に少額の預金を開始し、請求及び/又は預金をユーザが知っていることを試験してもよい。
いくつかの実施例では、検証モジュール106は、ユーザの確認されたアイデンティティが以前に指定したオブジェクトを所有していたことを検証することによって、ユーザを認証してもよい。本明細書で使用するとき、「所有」という用語は、一般に、ユーザがオブジェクトを所有していること、及び/又はオブジェクトへのアクセスを有していることを指す。検証モジュール106は、様々な方法で、ユーザの確認されたアイデンティティが以前に指定したオブジェクトを所有していたことを検証してもよい。
ステップ302で上述したように、いくつかの実施形態では、以前に指定したオブジェクトは、オブジェクトが所有ファクタの証明書として指定された時点でユーザが既に所有していたオブジェクトであってもよい。これらの実施形態では、検証モジュール106は、(1)ユーザの確認されたアイデンティティと関連付けられた記録を検索することと、(2)以前に指定したオブジェクトに対する記録における参照を識別することとによって、ユーザの確認されたアイデンティティが以前に指定したオブジェクトを所有していたことを検証してもよい。例えば、図4に示されるように、検証モジュール106は、(上述したような)アイデンティティ確認(proofing)を使用して、ユーザ410が「ジョン・ドウ(John Doe)」という名前の実世界の個人に対応すると判断してもよい。検証モジュール106はまた、データベース120など、認証を要求するサービスのデータベース内に、以前に指定したオブジェクト122に対する参照を見出してもよい。図5に示されるように、以前に指定したオブジェクト122に対する参照は、以前に指定したオブジェクトが電話番号555−854−4555の電話であったことを示してもよい。検証モジュール106は、次に、ジョン・ドウという名前の確認されたアイデンティティに対応する財務記録440を検索し、財務記録440内のジョン・ドウの電話番号(即ち、555−854−4555)に対する参照を識別してもよい。財務記録440で識別された電話番号が、以前に指定したオブジェクト122に対する参照で識別された電話番号と一致したことに基づいて、検証モジュール106は、ジョン・ドウが以前に指定したオブジェクト(即ち、電話番号555−854−4555の電話)を所有していたと結論付けてもよい。
検証モジュール106は、様々な方法で、ユーザの確認されたアイデンティティと関連付けられた記録を検索してもよい。いくつかの実施例では、検証モジュール106は記録に関してユーザに問い合わせてもよい。他の実施例では、検証モジュール106は、公的に利用可能なデータを探索することによって記録を検索してもよい。他の実施例では、検証モジュール106は記録に関して第三者に問い合わせてもよい。いくつかの実施例では、検証モジュール106は、EXPERIAN又はRELYIDなどの外部アイデンティティ検証機構に問い合わせてもよい。記録は、非限定的に、信用報告書、融資申込書、電話帳、プロバイダ記録、電話サービス記録、決算報告書、及び/又は所得申告書の形態であってもよい。
それに加えて、又はその代わりに、記録を使用して所有を検証するため、検証モジュール106は、(1)ユーザの確認されたアイデンティティと関連付けられた第三者を識別し、(2)ユーザが以前に指定したオブジェクトを所有していたか否かに関する情報について、第三者に問い合わせてもよい。第三者は、銀行、外部アイデンティティ検証機構、クレジットカード会社、電話サービス会社、政府機関など、ユーザが以前に指定したオブジェクトを所有していたか否かに関する情報を有しているであろう、任意の当事者であってもよい。
いくつかの実施形態では、ステップ302で上述したように、以前に指定したオブジェクトはサービスによってユーザに発行されたトークンであってもよい。これらの実施形態では、検証モジュール106は、(1)トークンが送られた物理的位置及び/又はオブジェクトを識別することと、(2)(例えば、ユーザが物理的位置及び/又はオブジェクトを所有ファクタの証明書として指定しなかったとしても)トークンが送られた物理的位置及び/又はオブジェクトをユーザが所有していたと判断することとによって、ユーザの確認されたアイデンティティが以前に指定したオブジェクトを所有していたことを検証してもよい。例えば、図4に示されるように、検証モジュール106は、(上述したような)アイデンティティ確認(proofing)を使用して、ユーザ410が「ジョン・ドウ(John Doe)」という名前の実世界の個人に対応すると判断してもよい。検証モジュール106はまた、サービスがハードトークン450を、家420を介してユーザ410にメールしたと判断してもよい。検証モジュール106は、次に、ジョン・ドウに対応する融資申込書などの記録を検索し、家420をジョン・ドウの住居として識別してもよい。記録内の住居が、ハードトークン450がメールされた場所と一致することに基づいて、検証モジュール106は、ジョン・ドウがハードトークン450を所有していたと結論付けてもよい。同様に、検証モジュール106は、ユーザ410が「ジョン・ドウ」と言う名前の実世界の個人に対応すると判断した後、ソフトトークンをサービスからダウンロードする、ユーザによって使用されたIPアドレスと関連付けられたホームアドレスを識別してもよい。検証モジュール106は、次に、ジョン・ドウに対応する記録を検索し、同じホームアドレスをIPアドレスと関連付けられたホームアドレスとして識別してもよい。記録内の住居が、IPアドレスと関連付けられたホームアドレスと一致することに基づいて、検証モジュール106は、ジョン・ドウがソフトトークンを所有していたと結論付けてもよい。
それに加えて、又はその代わりに、記録を使用してトークンの所有を検証するため、検証モジュール106は、(1)ユーザの確認されたアイデンティティと関連付けられた第三者を識別し、(2)トークンが送られた物理的位置及び/又はオブジェクトをユーザが所有していたか否かに関する情報について、第三者に問い合わせてもよい。第三者は、銀行、外部アイデンティティ検証機構、クレジットカード会社、電話サービス会社、政府機関など、トークンが送られた物理的位置及び/又はオブジェクトをユーザが所有していたか否かに関する情報を有しているであろう、任意の当事者であってもよい。
ステップ306で、本明細書に記載するシステムの1つ以上は、ユーザの確認されたアイデンティティが以前に指定したオブジェクトを所有していたことを検証することに応答して、新しいオブジェクトを所有ファクタの証明書として指定してもよい。例えば、指定モジュール108は、図2のサーバ206の一部として、また検証モジュール106が、ユーザ410の確認されたアイデンティティが以前に指定したオブジェクトを所有していたと検証したことに応答して、新しいオブジェクト208を所有ファクタの証明書として指定してもよい。指定モジュール108は、様々な方法で、新しいオブジェクトを所有ファクタの証明書として指定してもよい。例えば、指定モジュール108は、以前に指定したオブジェクトに対する参照122など、サービスが維持している以前に指定したオブジェクトに対する参照を、新しいオブジェクトに対する参照208など、新しいオブジェクトに対する参照と置き換えてもよい。
いくつかの実施例では、指定モジュール108が新しいオブジェクトを所有ファクタの証明書として指定した後、指定モジュール108は、ユーザが新しいオブジェクトを所有しているとユーザが証明している場合、ユーザと関連付けられたアカウントに対するアクセス及び/又は変更をユーザに許可してもよい。例えば、指定モジュール108は、新しいオブジェクト208を指定した後、(1)ユーザ410がユーザアカウント124にログインし、かつ/又はその変更を行おうとしていることを識別し、(2)ユーザ410が新しいオブジェクト208を所有していると判断し、また(3)ユーザ410が新しいオブジェクト208を所有していることの判断に少なくとも部分的に基づいて、ユーザ410がユーザアカウント124にログインし、かつ/又はその変更を行うことを許可してもよい。
上述したように、本明細書に記載するシステム及び方法は、ユーザが所有ファクタの証明書を更新しようとする試みが合法的である(例えば、ユーザのアイデンティティが、最初にアカウントを作成したアイデンティティに対応しており、それにより、アカウントへのアクセス及びその変更が認証される)か、あるいは不正である(例えば、ユーザのアイデンティティが、最初にアカウントを作成したアイデンティティに対応しておらず、それにより、アカウントへのアクセス及びその変更が認証されない)かを、サービスが判断することを可能にしてもよい。開示のシステム及び方法は、それにより、以前に指定した所有ファクタの証明書を所有していることもユーザが証明することなく、脆弱なアイデンティティ確認メカニズムのみを使用して、ユーザが所有ファクタの証明書を更新することを許可していた、抜け穴(loophole)を閉じてもよい。
図6は、本明細書に記載及び/又は例証される実施形態のうちの1つ以上を実装することができる例示的なコンピューティングシステム610のブロック図である。例えば、コンピューティングシステム610の全て又は一部は、単独で又は他の要素と組み合わせて、(図3に例証される工程のうち1つ以上などの)本明細書に記載される工程のうち1つ以上を実施してもよく、かつ/又はそれを実施するための手段であってもよい。コンピューティングシステム610の全て又は一部はまた、本明細書に記載及び/若しくは例証される他の任意の工程、方法、若しくは処理を実施してもよく、かつ/又はそれを実施するための手段であってもよい。
コンピューティングシステム610は、コンピュータ可読命令を実行することが可能な任意のシングル若しくはマルチプロセッサのコンピューティングデバイス又はシステムを幅広く表す。コンピューティングシステム610の例としては、限定することなく、ワークステーション、ラップトップ、クライアント側端末、サーバ、分散型コンピューティングシステム、ハンドヘルドデバイス、又は任意の他のコンピューティングシステム若しくはデバイスが挙げられる。その最も基本的な構成において、コンピューティングシステム610は、少なくとも1つのプロセッサ614及びシステムメモリ616を含んでもよい。
プロセッサ614は一般に、データの処理又は命令の解釈及び実行が可能な任意のタイプ又は形態の物理的処理ユニット(例えば、ハードウェア実装型中央処理ユニット)を表す。ある特定の実施形態では、プロセッサ614は、ソフトウェアアプリケーション又はモジュールから命令を受信することができる。これらの命令は、プロセッサ614に、本明細書に記載及び/又は例証される例示的な実施形態のうちの1つ以上の機能を実施させることができる。
システムメモリ616は一般に、データ及び/又は他のコンピュータ可読命令を記憶することが可能な任意のタイプ又は形態の揮発性又は不揮発性記憶デバイス若しくは媒体を表す。システムメモリ616の例としては、限定することなく、ランダムアクセスメモリ(RAM)、読み取り専用メモリ(ROM)、フラッシュメモリ、又は任意の他の好適なメモリデバイスが挙げられる。必須ではないが、ある特定の実施形態において、コンピューティングシステム610は、揮発性メモリユニット(例えば、システムメモリ616など)、及び不揮発性記憶デバイス(例えば、以下で詳細に説明されるような一次記憶デバイス632など)の両方を含むことができる。一実施例では、図1のモジュール102のうちの1つ以上が、システムメモリ616にロードされてもよい。
ある特定の実施形態では、例示的なコンピューティングシステム610はまた、プロセッサ614及びシステムメモリ616に加えて、1つ以上の構成要素又は要素を含んでもよい。例えば、図6に例証されるように、コンピューティングシステム610は、メモリコントローラ618、入力/出力(I/O)コントローラ620、及び通信インターフェース622を含んでもよく、それらはそれぞれ通信基盤612を介して相互接続されてもよい。通信基盤612は一般に、コンピューティングデバイスの1つ以上の構成要素間の通信を容易にすることができる、任意のタイプ若しくは形態の基盤を表す。通信基盤612の例としては、限定することなく、通信バス(産業標準アーキテクチャ(ISA)、周辺装置相互接続(PCI)、PCIエクスプレス(PCIe)、又は類似のバスなど)、及びネットワークが挙げられる。
メモリコントローラ618は、一般に、メモリ若しくはデータを扱うか、又はコンピューティングシステム610の1つ以上の構成要素間の通信を制御することができる、任意のタイプ又は形態のデバイスを表す。例えば、ある特定の実施形態では、メモリコントローラ618は、通信基盤612を介して、プロセッサ614、システムメモリ616、及びI/Oコントローラ620の間の通信を制御してもよい。
I/Oコントローラ620は、一般に、コンピューティングデバイスの入出力機能を調整及び/又は制御することができる、任意のタイプ又は形態のモジュールを表す。例えば、ある特定の実施形態において、I/Oコントローラ620は、プロセッサ614、システムメモリ616、通信インターフェース622、ディスプレイアダプタ626、入力インターフェース630、及び記憶インターフェース634などの、コンピューティングシステム610の1つ以上の要素間のデータの転送を制御するか又は容易にすることができる。
通信インターフェース622は、例示的なコンピューティングシステム610と1つ以上の追加のデバイスとの間の通信を容易にすることができる、任意のタイプ若しくは形態の通信デバイス又はアダプタを広く表す。例えば、ある特定の実施形態において、通信インターフェース622は、コンピューティングシステム610と、追加のコンピューティングシステムを含むプライベート又はパブリックネットワークネットワークとの間の通信を容易にすることができる。通信インターフェース622の例としては、限定することなく、有線ネットワークインターフェース(ネットワークインターフェースカードなど)、無線ネットワークインターフェース(無線ネットワークインターフェースカードなど)、モデム、及び他の任意の好適なインターフェースが挙げられる。少なくとも1つの実施形態では、通信インターフェース622は、インターネットなどのネットワークへの直接リンクを介して、リモートサーバへの直接接続を提供してもよい。通信インターフェース622はまた、例えば、ローカルエリアネットワーク(イーサネット(登録商標)ネットワークなど)、パーソナルエリアネットワーク、電話若しくはケーブルネットワーク、セルラー電話接続、衛星データ接続、又は他の任意の好適な接続を通した、かかる接続を間接的に提供してもよい。
ある特定の実施形態では、通信インターフェース622はまた、外部バス又は通信チャネルを介して、コンピューティングシステム610と1つ以上の追加のネットワーク又は記憶デバイスとの間の通信を容易にするように構成されたホストアダプタを表してもよい。ホストアダプタの例としては、限定することなく、小型コンピュータシステムインターフェース(SCSI)ホストアダプタ、ユニバーサルシリアルバス(USB)ホストアダプタ、米国電気電子学会(IEEE)1394ホストアダプタ、アドバンストテクノロジーアタッチメント(ATA)、パラレルATA(PATA)、シリアルATA(SATA)、及び外部SATA(eSATA)ホストアダプタ、ファイバーチャネルインターフェースアダプタ、イーサネット(登録商標)アダプタなどが挙げられる。通信インターフェース622はまた、コンピューティングシステム610が分散型又はリモートコンピューティングに関与することを可能にしてもよい。例えば、通信インターフェース622は、実行のためにリモートデバイスから命令を受信するか又はリモートデバイスに命令を送信してもよい。
図6に例証されるように、コンピューティングシステム610は、ディスプレイアダプタ626を介して通信基盤612に連結される少なくとも1つのディスプレイデバイス624も含んでもよい。ディスプレイデバイス624は一般に、ディスプレイアダプタ626によって転送される情報を視覚的に表示することができる、任意のタイプ若しくは形態のデバイスを表す。同様に、ディスプレイアダプタ626は、一般に、ディスプレイデバイス624に表示するために、通信基盤612から(又は当該技術分野において既知であるようにフレームバッファから)グラフィックス、テキスト、及び他のデータを転送するように構成された任意のタイプ又は形態のデバイスを表す。
図6に例証されるように、例示的なコンピューティングシステム610はまた、入力インターフェース630を介して通信基盤612に連結される少なくとも1つの入力デバイス628を含んでもよい。入力デバイス628は、一般に、コンピュータ又は人間のいずれかが生成した入力を、例示的なコンピューティングシステム610に提供することができる、任意のタイプ若しくは形態の入力デバイスを表す。入力デバイス628の例としては、限定されないが、キーボード、ポインティングデバイス、音声認識デバイス、又は他の任意の入力デバイスが挙げられる。
図6に例証されるように、例示的なコンピューティングシステム610はまた、記憶インターフェース634を介して通信基盤612に連結される、一次記憶デバイス632及びバックアップ記憶デバイス633を含んでもよい。記憶デバイス632及び633は、一般に、データ及び/又は他のコンピュータ可読命令を記憶することができる、任意のタイプ若しくは形態の記憶デバイス又は媒体を表す。例えば、記憶デバイス632及び633は、磁気ディスクドライブ(例えば、いわゆるハードドライブ)、ソリッドステートドライブ、フロッピーディスクドライブ、磁気テープドライブ、光ディスクドライブ、フラッシュドライブなどであってもよい。記憶装置インターフェース634は、一般に、記憶デバイス632及び633とコンピューティングシステム610の他の構成要素との間でデータを転送するための、任意のタイプ又は形態のインターフェース又はデバイスを表す。一実施例では、図1のデータベース120は、一次記憶デバイス632内に記憶され得る。
ある特定の実施形態において、記憶デバイス632及び633は、コンピュータソフトウェア、データ、又は他のコンピュータ可読情報を記憶するように構成された取り外し可能な記憶ユニットから読み取り、かつ/又はそれに書き込むように構成されてもよい。好適な取り外し可能な記憶ユニットの例として、フロッピーディスク、磁気テープ、光ディスク、フラッシュメモリデバイスなどが挙げられるが、これらに限定されない。記憶デバイス632及び633はまた、コンピュータソフトウェア、データ、又は他のコンピュータ可読命令が、コンピューティングシステム610内にロードされることを可能にするための他の同様の構造体又はデバイスを含んでもよい。例えば、記憶デバイス632及び633は、ソフトウェア、データ、又は他のコンピュータ可読情報を読み取り、かつこれを書き込むように構成されてもよい。記憶デバイス632及び633はまた、コンピューティングシステム610の一部であってもよく、又は他のインターフェースシステムを介してアクセスされる別々のデバイスであってもよい。
多くの他のデバイス又はサブシステムをコンピューティングシステム610に接続することができる。反対に、図6に例証される構成要素及びデバイスの全てが、本明細書で説明及び/又は例証される実施形態を実践するために存在する必要があるわけではない。上で言及されるデバイス及びサブシステムはまた、図6に示されるものと異なる方法で相互接続されてもよい。コンピューティングシステム610はまた、任意の数のソフトウェア、ファームウェア、及び/又はハードウェアの構成を用いることもできる。例えば、本明細書で開示される例示的な実施形態のうちの1つ以上は、コンピュータ可読媒体上に、コンピュータプログラム(コンピュータソフトウェア、ソフトウェアアプリケーション、コンピュータ可読命令、又はコンピュータ制御論理とも称される)として符号化することができる。本明細書で使用するとき、「コンピュータ可読媒体」という用語は一般に、コンピュータ可読命令を記憶又は保有することができる、任意の形態のデバイス、キャリア、又は媒体を指す。コンピュータ可読媒体の例としては、限定することなく、搬送波などの伝送型媒体、並びに磁気記憶媒体(例えば、ハードディスクドライブ、テープドライブ、及びフロッピーディスク)、光学記憶媒体(例えば、コンパクトディスク(CD)、デジタルビデオディスク(DVD)、及びブルーレイ(BLU−RAY)ディスク)、電子記憶媒体(例えば、ソリッドステートドライブ及びフラッシュメディア)、並びに他の分散システムなどの非一時的媒体が挙げられる。
コンピュータプログラムを含むコンピュータ可読媒体は、コンピューティングシステム610にロードされてもよい。次に、コンピュータ可読媒体に記憶されたコンピュータプログラムの全て又は一部は、システムメモリ616に、並びに/又は記憶デバイス632及び633の様々な部分に記憶されてもよい。プロセッサ614によって実行されると、コンピューティングシステム610にロードされたコンピュータプログラムは、プロセッサ614に、本明細書で説明及び/又は例証される例示的な実施形態のうちの1つ以上の機能を行わせてもよく、かつ/又はそれらを行うための手段であってもよい。加えて、又は代替的に、本明細書に記載及び/又は例証される例示的な実施形態の1つ以上は、ファームウェア及び/又はハードウェアに実装されてもよい。例えば、コンピューティングシステム610は、本明細書に開示される例示的な実施形態の1つ以上を実装するように適合された、特定用途向け集積回路(ASIC)として構成されてもよい。
図7は、クライアントシステム710、720、及び730、並びにサーバ740及び745がネットワーク750に連結されていてもよい、例示的なネットワークアーキテクチャ700のブロック図である。上で詳述されるように、ネットワークアーキテクチャ700の全て又は一部は、単独で又は他の要素と組み合わせて、本明細書で開示される工程のうちの1つ以上(図3に例証される工程のうちの1つ以上など)を行ってもよく、及び/又はそれを行うための手段であってもよい。ネットワークアーキテクチャ700の全て又は一部はまた、本開示に記載される他の工程及び特性を実施するために使用されてもよく、かつ/又はそれを実施するための手段であってもよい。
クライアントシステム710、720、及び730は一般に、図6の例示的なコンピューティングシステム610などの、任意のタイプ若しくは形態のコンピューティングデバイス又はシステムを表す。同様に、サーバ740及び745は一般に、様々なデータベースサービスを提供し、かつ/又はある特定のソフトウェアアプリケーションを実行するように構成されたアプリケーションサーバ又はデータベースサーバなどの、コンピューティングデバイス又はシステムを表す。ネットワーク750は一般に、例えばイントラネット、WAN、LAN、PAN、又はインターネットを含む、任意の電気通信又はコンピュータネットワークを表す。一実施例において、クライアントシステム710、720、及び/若しくは730、並びに/又はサーバ740及び/若しくは745は、図1からのシステム100の全て又は一部を含んでもよい。
図7に例証されるように、1つ以上の記憶デバイス760(1)〜(N)は、サーバ740に直接取り付けられてもよい。同様に、1つ以上の記憶デバイス770(1)〜(N)は、サーバ745に直接取り付けられてもよい。記憶デバイス760(1)〜(N)及び記憶デバイス770(1)〜(N)は、一般に、データ及び/又は他のコンピュータ可読命令を記憶することができる、任意のタイプ若しくは形態の記憶デバイス又は媒体を表す。ある特定の実施形態において、記憶デバイス760(1)〜(N)及び記憶デバイス770(1)〜(N)は、ネットワークファイルシステム(NFS)、サーバメッセージブロック(SMB)、又は共通インターネットファイルシステム(CIFS)などの様々なプロトコルを使用して、サーバ740及び745と通信するように構成されたネットワーク接続記憶(NAS)デバイスを表すことができる。
サーバ740及び745はまた、ストレージエリアネットワーク(SAN)ファブリック780に接続することもできる。SANファブリック780は、一般に、複数の記憶デバイス間の通信を容易にすることができる、任意のタイプ若しくは形態のコンピュータネットワーク又はアーキテクチャを表す。SANファブリック780は、サーバ740及び745と、複数の記憶デバイス790(1)〜(N)及び/又はインテリジェント記憶アレイ795との間の通信を容易にすることができる。SANファブリック780はまた、記憶デバイス790(1)〜(N)及びインテリジェント記憶アレイ795が、クライアントシステム710、720、及び730にローカルで取り付けられたデバイスとして現れるような方式で、ネットワーク750並びにサーバ740及び745を介して、クライアントシステム710、720、及び730と、デバイス790(1)〜(N)及び/又はアレイ795との間の通信を容易にすることもできる。記憶デバイス760(1)〜(N)及び記憶デバイス770(1)〜(N)と同様に、記憶デバイス790(1)〜(N)及びインテリジェント記憶アレイ795は、一般に、データ及び/又は他のコンピュータ可読命令を記憶することができる任意のタイプ又は形態の記憶デバイス又は媒体を表す。
ある特定の実施形態において、図6の例示的なコンピューティングシステム610を参照して、図6の通信インターフェース622などの通信インターフェースは、それぞれのクライアントシステム710、720、及び730とネットワーク750との間を接続するように使用されてもよい。クライアントシステム710、720、及び730は、例えば、ウェブブラウザ又は他のクライアントソフトウェアを使用して、サーバ740又は745上の情報にアクセスすることが可能であり得る。そのようなソフトウェアは、クライアントシステム710、720、及び730が、サーバ740、サーバ745、記憶デバイス760(1)〜(N)、記憶デバイス770(1)〜(N)、記憶デバイス790(1)〜(N)、又はインテリジェント記憶アレイ795によってホストされるデータにアクセスすることを可能にすることができる。図7は、データを送受信するための(インターネットなどの)ネットワークの使用を示しているが、本明細書に記載及び/又は例証される実施形態は、インターネット、又は任意の特定のネットワークベースの環境に限定されない。
少なくとも1つの実施形態において、本明細書に開示される例示的な実施形態のうち1つ以上の全て又は一部は、コンピュータプログラムとしてコード化され、サーバ740、サーバ745、記憶デバイス760(1)〜(N)、記憶デバイス770(1)〜(N)、記憶デバイス790(1)〜(N)、インテリジェント記憶アレイ795、又はこれらの任意の組み合わせ上にロードされ、これらによって実行されてもよい。本明細書に開示される例示的な実施形態のうち1つ以上の全て又は一部はまた、コンピュータプログラムとしてコード化され、サーバ740に記憶され、サーバ745によって作動し、ネットワーク750上でクライアントシステム710、720、及び730に配信されてもよい。
上で詳述したように、コンピューティングシステム610及び/又はネットワークアーキテクチャ700の1つ以上の構成要素は、単独で、又は他の要素と組み合わせて、多要素認証を実施するための例示的な方法の1つ以上のステップを実施し得る、及び/又は実施するための手段であり得る。
前述の開示は、特定のブロック図、フローチャート、及び実施例を使用して様々な実施形態を記載しているが、本明細書で説明及び/又は例証される各ブロック図の構成要素、フローチャートの工程、動作、及び/又は構成要素は、個別にかつ/又は集合的に、広範なハードウェア、ソフトウェア、又はファームウェア(若しくはそれらの任意の組み合わせの)構成を使用して実装することができる。それに加えて、他の多くのアーキテクチャが同じ機能性を達成するように実装可能であるので、他の構成要素内に含有される構成要素のあらゆる開示は、本質的に例示と見なされるべきである。
いくつかの実施例において、図1の例示的なシステム100の全て又は一部は、クラウドコンピューティング環境又はネットワークベースの環境の一部を表すことができる。クラウドコンピューティング環境は、インターネットを介して、様々なサービス及びアプリケーションを提供することができる。これらのクラウドベースのサービス(例えば、サービスとしてのソフトウェア、サービスとしてのプラットフォーム、サービスとしての基盤など)は、ウェブブラウザ又は他のリモートインターフェースを通じてアクセス可能であり得る。本明細書に記載される様々な機能は、リモートデスクトップの環境又は任意の他のクラウドベースのコンピューティング環境を介して提供されてもよい。
様々な実施形態において、図1の例示的なシステム100の全て又は一部は、クラウドベースのコンピューティング環境内でのマルチテナンシーを容易にすることができる。換言すれば、本明細書に記載されるソフトウェアモジュールは、本明細書に記載される機能の1つ以上に対するマルチテナンシーを容易にするように、コンピューティングシステム(例えば、サーバ)を構成してもよい。例えば、本明細書で説明されるソフトウェアモジュールのうちの1つ以上は、2つ以上のクライアント(例えば、顧客)が、サーバ上で作動しているアプリケーションを共有することを可能にするようにサーバをプログラムすることができる。このようにプログラムされたサーバは、複数の顧客(すなわち、テナント)の間で、アプリケーション、オペレーティングシステム、処理システム、及び/又は記憶システムを共有することができる。本明細書に記載されるモジュールのうち1つ以上はまた、ある顧客が別の顧客のデータ及び/又は設定情報にアクセスすることができないように顧客ごとに、マルチテナントアプリケーションのデータ及び/又は設定情報を分割してもよい。
様々な実施形態によると、図1の例示的なシステム100の全て又は一部は、仮想環境内で実装することができる。例えば、本明細書に記載されるモジュール及び/又はデータは、仮想機械内に常駐及び/又はそこで実行してもよい。本明細書で使用するとき、「仮想機械」という用語は、一般に、仮想機械マネージャ(例えば、ハイパーバイザ)によってコンピューティングハードウェアから抽出される、任意のオペレーティングシステム環境を指す。加えて、又は代替的に、本明細書に記載されるモジュール及び/又はデータは、仮想化層内で常駐及び/又は実行してもよい。本明細書で使用するとき、「仮想化層」という用語は、一般に、オペレーティングシステム環境にオーバーレイする、並びに/あるいはそこから抽出される、任意のデータ層及び/又はアプリケーション層を指す。仮想化層は、基礎となる基本オペレーティングシステムの一部であるかのように仮想化層を提示する、ソフトウェア仮想化ソリューション(例えば、ファイルシステムフィルタ)によって管理されてもよい。例えば、ソフトウェア仮想化ソリューションは、最初に基本ファイルシステム及び/又はレジストリ内の場所に方向付けられる呼出しを、仮想化層内の場所にリダイレクトしてもよい。
いくつかの実施例において、図1の例示的なシステム100の全て又は一部は、モバイルコンピューティング環境の一部を表すことができる。モバイルコンピューティング環境は、携帯電話、タブレットコンピュータ、電子ブックリーダー、携帯情報端末、ウェアラブルコンピューティングデバイス(例えば、ヘッドマウントディスプレイを備えたコンピューティングデバイス、スマートウォッチなど)などを含む、広範なモバイルコンピューティングデバイスによって実装されてもよい。いくつかの実施例において、モバイルコンピューティング環境は、例えば、バッテリ電力への依存、任意の所与の時間での1つのみのフォアグラウンドアプリケーションの提示、リモート管理特性、タッチスクリーン特性、位置及び移動データ(例えば、グローバルポジショニングシステム、ジャイロスコープ、加速度計などによって提供される)、システムレベルの構成への修正を制限する、及び/又は第3者のソフトウェアが他のアプリケーションの挙動を検査する能力を限定する、アプリケーションのインストールを制限するように(例えば、認可されたアプリケーションストアからのみ生じるように)制御するなど、制限されたプラットフォームを含む、1つ以上の個別の特性を有することができる。本明細書で説明される様々な機能は、モバイルコンピューティング環境に対して提供され得る、及び/又はモバイルコンピューティング環境と相互作用し得る。
加えて、図1の例示的なシステム100の全て又は一部は、情報管理のための1つ以上のシステムの部分を表してもよく、それと相互作用してもよく、それによって生成されるデータを消費してもよく、かつ/又はそれによって消費されるデータを生成してもよい。本明細書で使用するとき、「情報管理」という用語は、データの保護、組織化、及び/又は記憶を指し得る。情報管理のためのシステムの例としては、限定することなく、記憶システム、バックアップシステム、アーカイブシステム、複製システム、高可用性システム、データ検索システム、仮想化システムなどが挙げられ得る。
いくつかの実施形態では、図1の例示的なシステム100の全て又は一部は、情報セキュリティのための1つ以上のシステムの部分を表してもよく、それによって保護されるデータを生成してもよく、かつ/又はそれと通信してもよい。本明細書で使用するとき、「情報セキュリティ」という用語は、保護されたデータへのアクセスの制御を指し得る。情報セキュリティのためのシステムの例としては、限定することなく、管理されたセキュリティサービスを提供するシステム、データ損失防止システム、本人認証システム、アクセス制御システム、暗号化システム、ポリシー遵守システム、侵入検出及び防止システム、電子証拠開示システムなどが挙げられ得る。
いくつかの実施例によると、図1の例示的なシステム100の全て又は一部は、エンドポイントセキュリティのための1つ以上のシステムの部分を表してもよく、それと通信してもよく、かつ/又はそれから保護を受けてもよい。本明細書で使用される際、「エンドポイントセキュリティ」という用語は、不正及び/若しくは違法な使用、アクセス、並びに/又は制御からのエンドポイントシステムの保護を指し得る。エンドポイント保護のためのシステムの例としては、限定することなく、アンチマルウェアシステム、ユーザ認証システム、暗号化システム、プライバシーシステム、スパムフィルタリングサービスなどが挙げられ得る。
本明細書に記載及び/又は例証されるプロセスパラメータ及び工程の順序は、単なる例として与えられるものであり、所望に応じて変更することができる。例えば、本明細書に例証及び/又は記載される工程は特定の順序で示され又は考察され得るが、これらの工程は、必ずしも例証又は考察される順序で実施される必要はない。本明細書に記載及び/又は例証される様々な例示的な方法はまた、本明細書に記載若しくは例証される工程の1つ以上を省略するか、又は開示されるものに加えて追加の工程を含んでもよい。
様々な実施形態を、完全に機能的なコンピューティングシステムの文脈において、本明細書に記載及び/又は例証してきたが、これらの例示的な実施形態の1つ以上は、実際に配布を実行するために使用されるコンピュータ可読媒体の特定のタイプにかかわらず、様々な形態のプログラム製品として配布されてもよい。本明細書で開示される実施形態はまた、ある特定のタスクを実施するソフトウェアモジュールを使用して実装されてもよい。これらのソフトウェアモジュールは、コンピュータ可読記憶媒体に、又はコンピューティングシステムに記憶することができる、スクリプト、バッチ、又は他の実行可能ファイルを含んでもよい。いくつかの実施形態において、これらのソフトウェアモジュールは、本明細書で開示される例示的な実施形態のうちの1つ以上を行うようにコンピューティングシステムを構成することができる。
更に、本明細書で説明されるモジュールのうちの1つ以上は、データ、物理デバイス、及び/又は物理デバイスの表現を1つの形態から別の形態へと変換することができる。例えば、本明細書に列挙されるモジュールのうち1つ以上は、ユーザのアイデンティティ及びユーザの所有に関する情報を受け取り、その情報を、所有ファクタの指定を更新するのを許可するか否かを判断するのに使用される決定に変換してもよい。加えて、又は代替的に、本明細書に列挙されるモジュールのうちの1つ以上は、コンピューティングデバイス上で実行し、コンピューティングデバイスにデータを記憶し、及び/又は別様にコンピューティングデバイスと相互作用することによって、プロセッサ、揮発性メモリ、不揮発性メモリ、及び/又は物理コンピューティングデバイスの任意の他の一部を、1つの形態から別の形態へと変換することができる。
前述の記述は、他の当業者が本明細書に開示される例示的な実施形態の様々な態様を最良に利用することができるように提供されてきた。この例示的な記述は、網羅的であることを意図するものではなく、又は開示される任意の正確な形態に限定することを意図するものではない。本開示の趣旨及び範囲から逸脱することなく、多くの変更例及び変形例が可能である。本明細書で開示される実施形態は、あらゆる点で例示的であり、限定的ではないものと見なされるべきである。本開示の範囲を決定する際に、添付の特許請求の範囲及びそれらの等価物を参照するべきである。
別途記載のない限り、用語「に接続される」及び「に連結される」(並びにこれらの派生語)は、本明細書及び特許請求の範囲で使用される際、直接的接続と間接的接続(すなわち、他の要素又は構成要素を介した)との両方を許容するものとして解釈することができる。更に、用語「1つの(a)」又は「1つの(an)」は、本明細書及び特許請求の範囲で使用される際、「のうち少なくとも1つ」を意味するものとして解釈することができる。最後に、簡潔にするため、用語「含む」及び「有する」(並びにそれらの派生語)は、本明細書及び特許請求の範囲で使用される際、単語「備える」と互換性があり、同じ意味を有する。

Claims (15)

  1. 所有ファクタの証明書を更新するためのコンピュータ実装方法であって、前記方法少なくとも1つのプロセッサを備えるコンピューティングデバイスによって実施され、前記方法が、
    以前に指定したオブジェクトの代わりにサービスによって所有ファクタの証明書として使用される新しいオブジェクトを指定するために、前記サービスのユーザからの要求を検出することであって、前記所有ファクタの証明書は、前記ユーザが所有していることを多要素認証手順中に証明するよう構成されるオブジェクトを含み、前記ユーザが前記サービスの対応ユーザアカウントへアクセス可能とするよう前記ユーザを認証する、検出することと、
    前記ユーザが前記新しいオブジェクトを指定するのを許可する前に、
    前記ユーザの申し立てたアイデンティティが前記ユーザの実際のアイデンティティであることを検証するために、前記ユーザのアイデンティティを確認することと、
    前記ユーザの前記確認されたアイデンティティが前記以前に指定したオブジェクトを所有していたことを、
    前記所有ファクタの証明書として以前に指定された電話の電話番号に対する記録内の参照を識別することと、
    前記所有ファクタの証明書としてトークンが送られた物理的位置と追加オブジェクトとの少なくとも1つに対する前記記録内の参照を識別することと、
    のうちの1つを実施することによって、検証することと、
    によって前記ユーザを認証することと、
    前記ユーザの前記確認されたアイデンティティが前記以前に指定したオブジェクトを所有していたことを検証することに応答して、前記新しいオブジェクトを前記所有ファクタの証明書として指定することと、
    を含む、コンピュータ実装方法。
  2. 前記新しいオブジェクトを指定するために前記ユーザからの前記要求を検出することが、前記ユーザが前記以前に指定したオブジェクトへのアクセスを有さないことを検出することを含む、請求項1に記載のコンピュータ実装方法。
  3. 前記以前に指定したオブジェクト前記新しいオブジェクトとの少なくとも1つが、
    電話、
    前記サービスから受け取った物理的トークン、及び
    前記サービスから受け取ったソフトトークン、
    のうち少なくとも1つを含む、請求項1又は2に記載のコンピュータ実装方法。
  4. 前記ユーザの前記アイデンティティを確認することが、
    前記ユーザの前記アイデンティティに関する質問を前記ユーザに提出することと、
    前記質問に応答して前記ユーザによって提供された回答が前記実際のアイデンティティに対応するかを判断することと、
    を含む、請求項1乃至3のいずれか一項に記載のコンピュータ実装方法。
  5. 前記以前に指定したオブジェクトが、前記オブジェクトが前記所有ファクタの証明書として指定された時点で前記ユーザが既に所有していたオブジェクトを含む、請求項1に記載のコンピュータ実装方法。
  6. 前記記録が、
    信用報告書、及び
    所得申告書、
    のうち少なくとも1つを含む、請求項5に記載のコンピュータ実装方法。
  7. 前記記録が、
    融資申込書、及び
    電話帳、
    のうち少なくとも1つを含む、請求項5に記載のコンピュータ実装方法。
  8. 前記ユーザの前記確認されたアイデンティティが前記以前に指定したオブジェクトを所有していたことを検証することが、
    前記ユーザと関連付けられた第三者を識別することと、
    前記ユーザが前記以前に指定したオブジェクトを所有していたか否かに関する情報について、前記第三者に問い合わせることと、
    を含む、請求項5に記載のコンピュータ実装方法。
  9. 前記以前に指定したオブジェクトが、前記サービスによって前記ユーザに発行された前記トークンを含む、請求項1に記載のコンピュータ実装方法。
  10. 前記ユーザの前記確認されたアイデンティティが前記以前に指定したオブジェクトを所有していたことを検証することが、
    前記トークンが送られた前記物理的位置と前記追加オブジェクトとの少なくとも1つを識別することと、
    前記ユーザが、前記トークンが送られた前記物理的位置と前記追加オブジェクトとの少なくとも1つを所有していたと判断することと、
    を含む、請求項9に記載のコンピュータ実装方法。
  11. 前記記録が、
    信用報告書、
    所得申告書、
    融資申込書、及び
    電話帳、
    のうち少なくとも1つを含む、請求項10に記載のコンピュータ実装方法。
  12. 前記ユーザが、前記トークンが送られた前記物理的位置と前記追加オブジェクトとの少なくとも1つを所有していたと判断することが、
    前記ユーザと関連付けられた第三者を識別することと、
    前記ユーザが、前記トークンが送られた前記物理的位置と前記追加オブジェクトとの少なくとも1つを所有していたか否かに関する情報について、前記第三者に問い合わせることと、
    を含む、請求項9に記載のコンピュータ実装方法。
  13. 前記サービスによって提供される前記ユーザアカウントに前記ユーザがログインしようとする試みを識別することと、
    前記ユーザが前記新しいオブジェクトを所有していると判断することと、
    前記ユーザが前記新しいオブジェクトを所有しているとの判断に少なくとも部分的に基づいて、前記サービスによって提供される前記ユーザアカウントに前記ユーザがログインするのを許可することと、
    を更に含む、請求項1乃至12のいずれか一項に記載のコンピュータ実装方法。
  14. 所有ファクタの証明書を更新するためのシステムであって、前記システムが、
    以前に指定したオブジェクトの代わりにサービスによって所有ファクタの証明書として使用される新しいオブジェクトを指定するために、前記サービスのユーザからの要求を検出する、メモリに記憶された、検出モジュールであって、前記所有ファクタの証明書は、前記ユーザが所有していることを多要素認証手順中に証明するよう構成されるオブジェクトを含み、前記ユーザが前記サービスの対応ユーザアカウントへアクセス可能とするよう前記ユーザを認証する、検出モジュールと、
    前記ユーザが前記新しいオブジェクトを指定するのを許可する前に、
    前記ユーザの申し立てたアイデンティティが前記ユーザの実際のアイデンティティであることを検証するために、前記ユーザのアイデンティティを確認することと、
    前記ユーザの前記確認されたアイデンティティが前記以前に指定したオブジェクトを所有していたことを、
    前記所有ファクタの証明書として以前に指定された電話の電話番号に対する記録内の参照を識別することと、
    前記所有ファクタの証明書としてトークンが送られた物理的位置と追加オブジェクトとの少なくとも1つに対する前記記録内の参照を識別することと、
    のうちの1つを実施することによって、検証することと、
    によって前記ユーザを認証する、メモリに記憶された、検証モジュールと、
    前記ユーザの前記確認されたアイデンティティが前記以前に指定したオブジェクトを所有していたことを前記検証モジュールが検証したのに応答して、前記新しいオブジェクトを前記所有ファクタの証明書として指定する、メモリに記憶された、指定モジュールと、
    前記検出モジュール、前記検証モジュール、及び前記指定モジュールを実行するように構成された、少なくとも1つの物理的プロセッサと、
    を備える、システム。
  15. 1つ以上のコンピュータ可読命令を含む、非一時的コンピュータ可読媒体であって、コンピューティングデバイスの少なくとも1つのプロセッサによって実行されると、前記コンピューティングデバイスに、
    以前に指定したオブジェクトの代わりにサービスによって所有ファクタの証明書として使用される新しいオブジェクトを指定するために、前記サービスのユーザからの要求を検出させ、前記所有ファクタの証明書は、前記ユーザが所有していることを多要素認証手順中に証明するよう構成されるオブジェクトを含み、前記ユーザが前記サービスの対応ユーザアカウントへアクセス可能とするよう前記ユーザを認証し、
    前記ユーザが前記新しいオブジェクトを指定するのを許可する前に、
    前記ユーザの申し立てたアイデンティティが前記ユーザの実際のアイデンティティであることを検証するために、前記ユーザのアイデンティティを確認することと、
    前記ユーザの前記確認されたアイデンティティが前記以前に指定したオブジェクトを所有していたことを、
    前記所有ファクタの証明書として以前に指定された電話の電話番号に対する記録内の参照を識別することと、
    前記所有ファクタの証明書としてトークンが送られた物理的位置と追加オブジェクトとの少なくとも1つに対する前記記録内の参照を識別することと、
    のうちの1つを実施することによって、検証することと、
    によって前記ユーザを認証させ、
    前記ユーザの前記確認されたアイデンティティが前記以前に指定したオブジェクトを所有していたことを検証することに応答して、前記新しいオブジェクトを前記所有ファクタの証明書として指定させる、
    非一時的コンピュータ可読媒体。
JP2017513463A 2014-09-22 2015-08-17 所有ファクタの証明書を更新するためのシステム及び方法 Active JP6473499B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US14/492,777 2014-09-22
US14/492,777 US9477833B2 (en) 2014-09-22 2014-09-22 Systems and methods for updating possession factor credentials
PCT/US2015/045576 WO2016048482A1 (en) 2014-09-22 2015-08-17 Systems and methods for updating possession factor credentials

Publications (2)

Publication Number Publication Date
JP2017534951A JP2017534951A (ja) 2017-11-24
JP6473499B2 true JP6473499B2 (ja) 2019-02-20

Family

ID=54105971

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017513463A Active JP6473499B2 (ja) 2014-09-22 2015-08-17 所有ファクタの証明書を更新するためのシステム及び方法

Country Status (5)

Country Link
US (1) US9477833B2 (ja)
EP (1) EP3198499A1 (ja)
JP (1) JP6473499B2 (ja)
CN (1) CN107077546B (ja)
WO (1) WO2016048482A1 (ja)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10091212B2 (en) 2016-03-04 2018-10-02 BlueTalon, Inc. Policy management, enforcement, and audit for data security
US10212145B2 (en) * 2016-04-06 2019-02-19 Avaya Inc. Methods and systems for creating and exchanging a device specific blockchain for device authentication
US11843597B2 (en) * 2016-05-18 2023-12-12 Vercrio, Inc. Automated scalable identity-proofing and authentication process
CN106888201A (zh) * 2016-08-31 2017-06-23 阿里巴巴集团控股有限公司 一种校验方法及装置
US10164977B2 (en) 2016-11-17 2018-12-25 Avaya Inc. Mobile caller authentication for contact centers
US10803190B2 (en) * 2017-02-10 2020-10-13 BlueTalon, Inc. Authentication based on client access limitation
EP3376421A1 (en) * 2017-03-17 2018-09-19 Gemalto Sa Method for authenticating a user and corresponding device, first and second servers and system
US10862979B2 (en) 2017-04-07 2020-12-08 Microsoft Technology Licensing, Llc Techniques for supporting remote micro-services as native functions in spreadsheet applications
US10791105B2 (en) * 2017-04-07 2020-09-29 Microsoft Technology Licensing, Llc Credential-based proactive discovery of remote micro-services by spreadsheet applications
US10291602B1 (en) 2017-04-12 2019-05-14 BlueTalon, Inc. Yarn rest API protection
US10250723B2 (en) 2017-04-13 2019-04-02 BlueTalon, Inc. Protocol-level identity mapping
US11146563B1 (en) 2018-01-31 2021-10-12 Microsoft Technology Licensing, Llc Policy enforcement for search engines
US11005889B1 (en) 2018-02-02 2021-05-11 Microsoft Technology Licensing, Llc Consensus-based policy management
US11790099B1 (en) 2018-02-09 2023-10-17 Microsoft Technology Licensing, Llc Policy enforcement for dataset access in distributed computing environment
US11210387B2 (en) * 2018-08-16 2021-12-28 Cyberark Software Ltd. Detecting and preventing unauthorized credential change
US11263319B2 (en) * 2018-08-21 2022-03-01 Microsoft Technology Licensing, Llc Suspicious credential change detection and mitigation

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2078246C (en) * 1991-09-23 1998-02-03 Randolph J. Pilc Improved method for secure access control
AU6759998A (en) * 1997-03-06 1998-09-22 Skylight Software, Inc. Cryptographic digital identity method
DE69934207T2 (de) * 1999-03-08 2007-10-25 Software Ag Verfahren zur Zugriffsprüfung eines Anwenders
GB2390703A (en) * 2002-07-02 2004-01-14 Ascent Group Ltd Storage and authentication of data transactions
RU2376629C2 (ru) 2003-06-19 2009-12-20 Квэлкомм Инкорпорейтед Устройство и способ для многофункционального устройства аутентификации
US20070022196A1 (en) 2005-06-29 2007-01-25 Subodh Agrawal Single token multifactor authentication system and method
GB2429096B (en) * 2005-07-27 2008-11-05 Ingenia Technology Ltd Authenticity verification
US20090132813A1 (en) * 2007-11-08 2009-05-21 Suridx, Inc. Apparatus and Methods for Providing Scalable, Dynamic, Individualized Credential Services Using Mobile Telephones
JP2009245208A (ja) * 2008-03-31 2009-10-22 Hitachi Software Eng Co Ltd 携帯通信端末を使用した本人認証システム
US9112702B2 (en) * 2009-04-29 2015-08-18 Microsoft Technology Licensing, Llc Alternate authentication
JP5231519B2 (ja) * 2010-12-24 2013-07-10 株式会社大和証券グループ本社 住所変更システム、住所変更サーバ、住所変更処理方法、およびプログラム
KR20130007797A (ko) * 2011-07-11 2013-01-21 삼성전자주식회사 개방형 인증 방법 및 시스템
EP2732427B1 (en) * 2011-07-14 2019-02-27 DocuSign, Inc. Online signature identity and verification in community
US9824199B2 (en) * 2011-08-25 2017-11-21 T-Mobile Usa, Inc. Multi-factor profile and security fingerprint analysis
US20130054433A1 (en) * 2011-08-25 2013-02-28 T-Mobile Usa, Inc. Multi-Factor Identity Fingerprinting with User Behavior
US8707405B2 (en) 2012-01-11 2014-04-22 International Business Machines Corporation Refreshing group membership information for a user identifier associated with a security context
EP3860083A1 (en) * 2013-08-23 2021-08-04 IDEMIA Identity & Security USA LLC System and method for identity management
US9407620B2 (en) * 2013-08-23 2016-08-02 Morphotrust Usa, Llc System and method for identity management
US9536065B2 (en) * 2013-08-23 2017-01-03 Morphotrust Usa, Llc System and method for identity management
US20150082390A1 (en) * 2013-09-08 2015-03-19 Yona Flink Method and a system for secure login to a computer, computer network, and computer website using biometrics and a mobile computing wireless electronic communication device
US9426151B2 (en) * 2013-11-01 2016-08-23 Ncluud Corporation Determining identity of individuals using authenticators
US9571645B2 (en) * 2013-12-16 2017-02-14 Nuance Communications, Inc. Systems and methods for providing a virtual assistant

Also Published As

Publication number Publication date
CN107077546B (zh) 2020-03-10
JP2017534951A (ja) 2017-11-24
CN107077546A (zh) 2017-08-18
WO2016048482A1 (en) 2016-03-31
US20160085962A1 (en) 2016-03-24
EP3198499A1 (en) 2017-08-02
US9477833B2 (en) 2016-10-25

Similar Documents

Publication Publication Date Title
JP6473499B2 (ja) 所有ファクタの証明書を更新するためのシステム及び方法
JP6122555B2 (ja) 危殆化されている秘密鍵を識別するためのシステム及び方法
US9160766B2 (en) Systems and methods for protecting organizations against spear phishing attacks
JP6789308B2 (ja) トリップワイヤファイルを生成するためのシステム及び方法
US9697660B1 (en) Systems and methods for verifying user attributes
US9294284B1 (en) Systems and methods for validating application signatures
US20170331818A1 (en) Systems and methods for location-restricting one-time passcodes
US9276887B2 (en) Systems and methods for managing security certificates through email
US10148631B1 (en) Systems and methods for preventing session hijacking
US10200359B1 (en) Systems and methods for creating credential vaults that use multi-factor authentication to automatically authenticate users to online services
JP2017513274A (ja) ローカルネットワークデバイスへの安全なアクセスを提供するためのシステム及び方法
CN110268406B (zh) 密码安全性
US9888035B2 (en) Systems and methods for detecting man-in-the-middle attacks
JP6978603B2 (ja) ユーザアカウントを匿名化するためのシステム及び方法
US10015173B1 (en) Systems and methods for location-aware access to cloud data stores
US9563763B1 (en) Enhanced captchas
JP6669929B2 (ja) シングルサインオンアプリケーション用の暗号化鍵を管理するためのシステム及び方法
US10382429B2 (en) Systems and methods for performing secure backup operations
US9292691B1 (en) Systems and methods for protecting users from website security risks using templates
JP7401288B2 (ja) ユーザデータへの不正アクセスの脅威下でアカウントレコードのパスワードを変更するシステムおよび方法
US10402549B1 (en) Systems and methods for creating validated identities for dependent users
US10033732B1 (en) Systems and methods for detecting cloning of security tokens
US10462113B1 (en) Systems and methods for securing push authentications
JP2023517531A (ja) 認可されていないファイル変更からフォルダを保護するためのシステム及び方法
US9887979B1 (en) Systems and methods for enabling users to launch applications without entering authentication credentials

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180605

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180704

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190108

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190125

R150 Certificate of patent or registration of utility model

Ref document number: 6473499

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250