JP7075819B2 - 自己適応型の安全な認証システム - Google Patents

自己適応型の安全な認証システム Download PDF

Info

Publication number
JP7075819B2
JP7075819B2 JP2018102909A JP2018102909A JP7075819B2 JP 7075819 B2 JP7075819 B2 JP 7075819B2 JP 2018102909 A JP2018102909 A JP 2018102909A JP 2018102909 A JP2018102909 A JP 2018102909A JP 7075819 B2 JP7075819 B2 JP 7075819B2
Authority
JP
Japan
Prior art keywords
user
users
authentication
service
authentication system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018102909A
Other languages
English (en)
Other versions
JP2019023859A (ja
Inventor
シュブラマニャン バドリ,
サルマ シスタ,
Original Assignee
コニカ ミノルタ ラボラトリー ユー.エス.エー.,インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by コニカ ミノルタ ラボラトリー ユー.エス.エー.,インコーポレイテッド filed Critical コニカ ミノルタ ラボラトリー ユー.エス.エー.,インコーポレイテッド
Publication of JP2019023859A publication Critical patent/JP2019023859A/ja
Application granted granted Critical
Publication of JP7075819B2 publication Critical patent/JP7075819B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Collating Specific Patterns (AREA)

Description

本開示は、多レベル且つ多要素の認証プロセスに基づいた、生体認証子を用いる自己適応型の安全な認証システムに関し、特に、ユーザーの認証要件及び使用から学習して安全な認証システムを作成する自己適応型の安全な認証システムを備える方法及びシステムに関する。
現在の情報技術(IT)環境では、ユーザーの認証に多くの技術を利用しており、例えば近接型カード、RFIDカード、ID/パスワード、種々の生体情報、スマートカード、RSAトークン、また場合によっては虹彩認識、顔検出、音声認識等の高度な方法が用いられる。現在の方法では、安全なシステムを作り出すことができるものの、限界があり、また、ユーザーには、PINやパスワード、チャレンジ質問及び/または画像を記憶及び/または保管するといった負担が課される。これらの方法は、生体情報の漏洩、カードの盗難、人的エラー、安全でないパスワード等の問題に対して脆弱でもある。高度な解決策は、ユーザーにさらなる負荷を課しうるほか、バックエンドシステムまたは統合IT環境におけるソリューションとの適合性にも欠けるため高価になりうる。
したがって、効果的であるだけでなく、常に変化する複雑なIT要件、企業のIP保護、生産的なユーザー環境及びその他の高度な企業ITの情勢におけるセキュリティ要件を満たすように適応できる賢いシステムが必要とされている。例示的実施形態によれば、賢く高度なシステムによってこうした問題を解決できるシステム及び方法が開示される。
望ましいのは、多レベル及び/または多要素の認証システムをサポートし、自己学習プロセスにより強化されるような安全な認証システムを提供することができるシステム及び方法であろう。
例示的実施形態によれば、ユーザーによる使用の詳細を学習し、それを他のいくつかの関連情報と組み合わせることによって安全なユーザー認証を提供する自己適応型の安全な認証システムである。例示的実施形態によれば、本システムは、学習プロセスに基づいてITサービスのユーザーに対する認証要件を定義することができ、当該認証要件を企業のIT要件と組み合わせて、ユーザーが特定の組織のセキュリティ要件を確実に満たすようにする。
コンピューターがサービスについてユーザーを認証する方法が開示される。前記方法は、認証システムに1人以上のユーザーを登録することと、前記認証システム中の1人以上の各ユーザーに、1つ以上のサービスについてセキュリティレベル及び前記1つ以上の各サービスへのアクセスに必要な対応する認証を表すスコアインデックスを付与することと、前記1人以上のユーザーからのサービスの各要求であって、要求するサービスのための1つ以上の認証子または生体識別子を含む前記各要求を前記認証システムに入力して、前記1人以上のユーザーのスコアインデックスを常に更新することと、ユーザーのスコアインデックスが所定の閾値に達すると、前記1人以上のユーザーに、1つ以上の追加の認証子または生体識別子を前記認証システムに登録するよう要求することと、を有する。
コンピューターシステムにサービスについてユーザーを認証するプロセスを実行させるよう構成された、コンピューター読み取り可能な非一時的なプログラムが開示される。前記プロセスは、認証システムに1人以上のユーザーを登録することと、前記認証システム中の1人以上の各ユーザーに、1つ以上のサービスについてセキュリティレベル及び前記1つ以上の各サービスへのアクセスに必要な対応する認証を表すスコアインデックスを付与することと、前記1人以上のユーザーからのサービスの各要求であって、要求するサービスのための1つ以上の認証子または生体識別子を含む前記各要求を前記認証システムに入力して、前記1人以上のユーザーのスコアインデックスを常に更新することと、ユーザーのスコアインデックスが所定の閾値に達すると、前記1人以上のユーザーに、1つ以上の追加の認証子または生体識別子を前記認証システムに登録するよう要求することと、を有する。
サービスのユーザーに認証を与えるよう構成された認証システムが開示される。前記認証システムは、プロセッサーを備えるサーバーを有し、前記プロセッサーは、認証システムに1人以上のユーザーを登録し、前記認証システム中の1人以上の各ユーザーに、1つ以上のサービスについてセキュリティレベル及び前記1つ以上の各サービスへのアクセスに必要な対応する認証を表すスコアインデックスを付与し、前記1人以上のユーザーからのサービスの各要求であって、要求するサービスのための1つ以上の認証子または生体識別子を含む前記各要求を前記認証システムに入力して、前記1人以上のユーザーのスコアインデックスを常に更新し、ユーザーのスコアインデックスが所定の閾値に達すると、前記1人以上のユーザーに、1つ以上の追加の認証子または生体識別子を前記認証システムに登録するよう要求するように構成されている。
上記の包括的な記載及び以下の詳細な記載は、どちらも例示および説明であって、請求項に記載の発明についてさらなる説明を提供するためのものであることが理解されよう。
添付の図面は、本発明のさらなる理解のために含められたものであり、本明細書に組み込まれ、その一部を構成する。本図面は、本発明の実施形態を示し、詳細な説明と併せて本発明の原理を説明するものである。
例示的実施形態に係る、自己適応型の安全な認証システムを備える方法及びシステムを実施可能なシステムを示す図である。 例示的実施形態に係る自己適応型の安全な認証システムを示す図である。 例示的実施形態に係る多レベル認証システムのフローチャートである。 例示的実施形態に係る自己適応型認証レベル要件学習プロセスのフローチャートである。 例示的実施形態に係る所与の企業サービスのセキュリティ設定の表の一例を示す図である。 例示的実施形態に係る所与の企業サービスに対する認証子と当該認証子の等級との表の一例を示す図である。 例示的実施形態に係る企業におけるユーザーの登録と所与の使用シナリオの表の一例を示す図である。 例示的実施形態に係るユーザーのアクセスログの表の一例を示す図である。 例示的実施形態に係る状況または要件の変化によるサービスセキュリティレベルの変更の表の一例を示す図である。 例示的実施形態に係るシステム分析に基づくユーザー認証レベルの変更の表の一例を示す図である。 例示的実施形態に係る新たなシステム推奨及びサービスにおけるユーザーのアクセスログの表の一例を示す図である。
ここで、本発明の好ましい実施形態について詳細に述べる。当該実施形態の例は添付の図面に示されている。図面及び詳細な説明において、可能な場合には、同一または類似の部品を参照するのに同一の参照番号を用いる。
図1は、例示的実施形態に係る自己適応型の安全な認証システムを実施可能なシステム100を示す図である。例えば、システム100は、1つ以上のクライアント機器110、120、例えばプリンターまたは多機能プリンター機器(MFP)132の形態である少なくとも1つのホスト機器130、家またはオフィス142内のホームまたはオフィスセキュリティシステム140及び少なくとも1つのサーバー150を備える。例示的実施形態によれば、1つ以上のクライアント機器110、120、少なくとも1つのホスト機器130、ホームまたはオフィスセキュリティシステム140及び少なくとも1つのサーバー150は、ネットワーク接続160を介して接続されている。少なくとも1つのサーバー150は、1つ以上のクライアント機器110、120、ホスト機器130及び/またはホームまたはオフィスセキュリティシステム140上の認証モジュールまたはシステムと連携するよう構成されている。
例示的実施形態によれば、1つ以上のクライアント機器110、120、少なくとも1つのホスト機器130及びホームまたはオフィスセキュリティシステム140のそれぞれは、ユーザーの認証を行うことができる認証子及び/または生体識別子を受け取る、少なくとも1つの認証アプリケーション(または認証モジュール)を備える。例示的実施形態によれば、生体識別子としては、個人を表し説明するか識別するために用いられる特有の測定可能な特徴を挙げることができ、人の特徴に関する計測情報が含まれる。例えば、生体識別子としては、個人の生理的な特徴が挙げることができ、指紋、手のひらの静脈、顔認識、DNA(またはデオキシリボ核酸)、掌紋、掌形、虹彩認識、網膜、及び/または臭気/芳香が含まれるが、これらに限定されない。
例示的実施形態によれば、一旦ユーザーが認証されると、当該ユーザーは機器110、120、130上のアプリケーション及び/またはデータへのアクセスを得るか、例えば家またはオフィス142へ入ることを許可される。例えば、認証子及び/または生体識別子を受け取る少なくとも1つの認証アプリケーションとしては、ユーザー名及びパスワード(「password」)のためのキーパッド、及び/またはセンサー、スキャナー機器若しくは電子リーダーであって、例えば近接型カード、無線周波数識別(RFID)カード、スマートカード、ウェアラブル機器、RSAトークン及び/または生体識別子を読み取る及び/またはそれらからデータを得ることができるものを挙げることができる。例示的実施形態によれば、各機器及び/またはシステム110、120、130、140は、少なくとも1つの認証子及び/または生体識別子、好ましくは少なくとも2つの認証子及び/または生体識別子を介してユーザーによりアクセスされうる。例えば、1つ以上の各機器及び/またはシステム110、120、130、140は、本明細書に開示する認証子または生体識別子を認証するための少なくとも1つの認証装置及び/または生体認証機器を備えることができ、これは、例えばキーパッド、センサー、スキャナー機器または電子リーダーである。
例示的実施形態によれば、1つ以上の機器110、120、130は、スマートフォン、スマートダブレット、パーソナルコンピューター、カメラ、ルーター、医療機器若しくは装置またはMFP(若しくはプリンター)として実施されうるものであり、プリンター、プリントサーバーまたは多機能周辺機器(MFP)132で使用可能なプリントデータを生成することができる。例示的実施形態によれば、クライアント機器110、120は、プリンタードライバープログラム(以下、単にプリンタードライバーとも称する)を備えうるものであり、機器110、120は、プリンタードライバーの機能を用いて画像形成時に適用される印刷条件のデータ及び画像データを含むプリントジョブを生成することができ、生成したプリントジョブを、例えばMFPまたはプリンター132であるホスト機器130に送る。
例示的実施形態によれば、各機器及び/またはシステム110、112、130、140は、プロセッサーまたは中央演算装置(CPU)と、ソフトウェアプログラム及びデータ(プリントされるファイル等)を格納するための1つ以上のメモリとを備えうる。プロセッサーまたはCPUは、コンピュータープログラムの命令を実行し、機器110、120、130、140の少なくとも一部の機能を操作及び/または制御する。各機器及び/またはシステム110、120、130、140は、コンピューターハードウェアを管理し、種々のソフトウェアプログラムを効率的に実行するための共通サービスを提供するオペレーティングシステム(OS)をも備えうる。例えば、ソフトウェアプログラムとしては、例えば認証モジュール及び/または生体認証機器を管理するためのアプリケーションソフトウェア、及び/または例えばクライアント機器110、120用のプリンタードライバーソフトウェアが挙げることができる。
例示的実施形態によれば、少なくとも1つのホスト機器130は、多機能周辺機器(MFP)またはプリンター132であってよく、通信ネットワーク160を介して1つ以上のクライアント機器110、112に接続されうる。例示的実施形態によれば、多機能周辺機器(MFP)132は、少なくともコピー機能、画像読み取り機能、ファクシミリ(ファックス)機能及びプリンター機能を有しうる。そして、1つ以上のクライアント機器110、120、例えばパーソナルコンピューター、モバイル機器またはパーソナルデジタルアシスタントの形態であるクライアント機器110、120から受け取ったプリントジョブ(プリント命令)に基づいて用紙に画像を形成する。
例示的実施形態によれば、1つ以上のクライアント機器110、120は、印刷される書類のデータ及びプリントジョブの情報を送信することによって、少なくとも1つの多機能プリンターまたはプリンター132にプリントジョブを送るよう構成されている。少なくとも1つの多機能プリンターまたはプリンター132は、プリンターコントローラー(またはファームウェア)と、好ましくはハードディスクドライブ(HDD)の形態であるメモリ部と、画像処理部(またはデータディスパッチャ)と、プリントエンジン及び出入力(I/O)部とを備えうる。
他の例示的実施形態によれば、ホスト機器130は、例えば診断及び/または治療目的に用いられる、医療機器または医療装置であってよい。医療機器または医療装置の例としては、例えば放射線、血液造影、超音波及び/または断層撮影の画像を得ることができる医療画像機器が挙げることができる。あるいは、ホスト機器130は、例えばバックエンドのデータベース又は企業のデータベースシステムであってよく、1人又はそれ以上のユーザーが、外部アプリケーション、例えばクライアント機器110、120を通じて間接的にこれにアクセスすることができる。
例示的実施形態によれば、ホームまたはオフィスセキュリティシステム140は、ユーザーが、例えば家またはオフィスのビル、フロアまたは部屋へのドアから、また例えばエレベーターから家またはオフィス142へのアクセス、及び/またはその他の安全な部屋へのアクセスを認証する方法又はシステムを備えうる。さらに、本明細書に開示する方法又はシステムは、ユーザーの家又はオフィス142内の、例えばセキュリティシステムであるセキュリティ機器及びコンピューターに用いることができる。
例示的実施形態によれば、少なくとも1つのサーバー(又は認証サーバー)150は、プロセッサー又は中央演算装置(CPU)と、ソフトウェアプログラム及びデータを格納するための1つ以上のメモリとを備えうる。プロセッサー又はCPUは、少なくとも1つのサーバー150の少なくとも一部の機能を操作及び/または制御するコンピュータープログラムの命令を実行する。サーバー150は、コンピューターハードウェアを管理し、種々のソフトウェアプログラムを効率的に実行するための共通サービスを提供するオペレーティングシステム(OS)をも備えうる。例えば、例示的実施形態によれば、少なくとも1つのサーバー150は、例えばパスワード及び/または近接型カード並びに生体識別子の認証モジュールと連携するよう構成されうる。
例示的実施形態によれば、1つまたはそれ以上のクライアント110、120、例えばプリンター132の形態である少なくとも1つのホスト機器130、ホームまたはオフィスシステム140及び少なくとも1つのサーバー150は、好ましくはインターネットまたは通信ネットワーク(若しくはネットワーク)160を介して接続される。通信ネットワーク160は、例えば従来型の有線または無線ネットワークを含んでよく、スター構成、トークンリング構成またはその他の公知の構成などのいかなる数の構成をも有しうる。通信ネットワーク160には、1つ以上のローカルエリアネットワーク(”LAN”)、ワイドエリアネットワーク(“WAN”)(例えば、インターネット)、バーチャルプライベートネットワーク(“VPN”)、ピアツーピアネットワーク、近距離ネットワーク(例えばBluetooth(登録商標))、携帯セルラーネットワーク(例えば、3G、4G、その他の世代)及び/またはその他の複数の演算ノードが通信しうる相互接続されたデータパスが含まれうる。
例示的実施形態によれば、データは、例えば様々なインターネット階層、トランスポート層またはアプリケーション層のプロトコル等の種々の異なる通信プロトコルを用いて、機器及び/またはシステム110、120、130、140及び150間を、暗号化されたまたは暗号化されていない形式で送信される。例えば、データは、伝送制御プロトコル/インターネットプロトコル(TCP/IP)、ユーザーデータグラムプロトコル(UDP)、伝送制御プロトコル(TCP)、ハイパーテキスト伝送プロトコル(HTTP)、セキュアハイパーテキスト伝送プロトコル(HTTPS)、HTTPでの動的アダプティブストリーミング(DASH)、リアルタイムストリーミングプロトコル(RTSP)、リアルタイム伝送プロトコル(RTP)及びリアルタイム伝送制御プロトコル(RTCP)、ファイル伝送プロトコル(FTP)、ウェブソケット(WS)、ワイヤレスアクセスプロトコル(WAP)、種々のメッセージングプロトコル(SMS、MMS、XMS、IMAP、SMTP、POP、WebDAV等)または他の公知のプロトコルを用いて、ネットワーク160を介して送信される。
図2は、例示的実施形態に係る自己適応型の安全な認証システム200を示す図である。図2に示すように、システム200は、登録システム210と、セキュア身分証明書(ID)管理システム220と、認証装置230と、ユーザートラッキング/フィードバックシステム240とを備えうる。例示的実施形態によれば、登録システム210、セキュア身分証明書(ID)管理システム220、認証装置230及びユーザートラッキング/フィードバックシステム240は、ソフトウェアシステムであり、少なくとも1つのサーバー(または認証サーバー)150にホストされる。
例示的実施形態によれば、各クライアント機器及び/またはシステム110、120、130、140は、集合的に生体認証機器と称することができるが、各機器及び/またはシステム110、120、130、140にホストされたソフトウェアアプリケーションを用いて登録システム210に登録することができる。上記のように、各生体認証機器110、120、130、140は、少なくとも1つの認証子または生体識別子を用いてユーザーを認証することができる。例えば、上記のように、この少なくとも1つの認証子または生体識別子は、ユーザー名とパスワード、近接型カード、指紋、虹彩スキャナー、静脈検出、音声認識及び/または顔認識でありうる。各機器またはシステム110、120、130、140上のソフトウェアは、生体認証機器110、120、130、140と連携して1人またはそれ以上のユーザーの生体情報を取得し、例えば少なくとも1つのサーバー(または認証サーバー)150にホストされうる登録システム210に登録する。
例示的実施形態によれば、例えば、1人またはそれ以上の各ユーザーの生体情報は、アクセスを許可するクライアント機器またはシステム110、120、130、140、あるいは別のクライアント機器及び/またはシステム110、120、130、140にて取得することができ、当該生体情報は、ユーザーがアクセスを試みているクライアント機器またはシステム110、120、130、140に伝送されるか、または当該クライアント機器またはシステム110、120、130、140によってアクセスされる。
例示的実施形態によれば、登録プロセスの間に、生体計測機器110、120、130、140を用いて、各ユーザーに対して生体情報テンプレートが作成されうる。生体計測機器のユーザーによって生体情報テンプレートが作成されると、当該生体情報テンプレートは、通信ネットワーク160を介して認証サーバー150へと送られる。例示的実施形態によれば、サーバー150上のソフトウェアアプリケーションが、各ユーザーから受け取った生体情報テンプレートを処理し、各ユーザーに固有の署名を作成しうる。各ユーザーに固有の署名は、例えばセキュアID管理システム220(図2)上のサーバー150内、例えばサーバー150のメモリ内のデータベースに安全に格納されうる。例示的実施形態によれば、1人またはそれ以上の各ユーザーに固有の署名は、例えば図3に開示されるように、1つまたはそれ以上のサービスへのアクセスを許可または拒否するのに用いられる。
例示的実施形態によれば、初期要件として、管理者は、各ユーザー及び/または各サービス、例えば、家、ビルまたはオフィスへのアクセス、及び/または、例えば、ソフトウェアアプリケーション、データベースまたはデータベース管理システム及び/または、例えば医療機器、X線装置及びスキャナーといった機械を含む機器、システムまたはアプリケーションへのアクセスまたはこれらへのアクセスのアンロックに対して、最低レベルの生体認証要件を設定することができる。例えば、例示的実施形態によれば、サービスにアクセスする場所によって多レベルの生体認証要件を変えることができ、これは例えば管理者が設定することができる。また、例えば、オフィスまたはビルへのアクセスに対して、多レベルの認証、例えば2つ以上の認証子及び/または生体識別子を生体認証要件として要求することができる。また、サーバー室へのアクセスに対しても、多レベルの認証、例えば2つ以上の認証子及び/または生体識別子を要求することができ、これらは、オフィスまたはビルへのアクセスに対して要求される2つ以上の認証子及び/または生体識別子と同一であっても異なっていてもよい。
例示的実施形態によれば、例えば、同一人物の同一ビル内のシステムへのアクセスに対しては、単一レベルの生体認証のみを要求するものであってもよい。しかしながら、各家、ビルまたはオフィス並びに家、ビルまたはオフィス内のシステムについて、そして各ユーザについての認証子及び/または生体識別子の数は、複数の要因に基づいており、これは、図2に示すシステム200がユーザーにより要求された認証のレベルに基づいて判定しうる。例えば、システム200は、ユーザーが短期間に1つ以上のサービスに頻繁にアクセスしていると判定した場合、最初の要求(または最初の訪問)の際に多レベルの生体認証プロセスを行い、例えば2つ以上の認証子及び/または生体識別子を要求しても良い。そして、2つ以上の認証子及び/または生体識別子を要求する多レベルの生体認証プロセスに基づいてユーザーにアクセスを許可した後は、その後の前記サービスへのアクセスの要求では、前記ユーザーのアクセスレベルを、例えば単一の認証子または単一の生体識別子である、単一レベルの生体認証に変更してもよい。
例示的実施形態によれば、ユーザーが認証子または生体識別子による認証に一旦失敗し、その後に要求された当該認証子または生体識別子による認証に成功した(または機器にアクセスできた)場合、システム200は、システムまたは機器が認証プロセスの際に不正侵入されていないことを確認するために、多レベルの認証プロセス、すなわち2つ以上の認証子及び/または生体識別子を求めうる。
図2に示すように、システム200は、好ましくはサーバー150にホストされたソフトウェアモジュールまたはアプリケーションであり、登録システム210と、セキュアID管理システム220と、認証システム230と、ユーザートラッキング/フィードバックシステム240とを備えうる。例示的実施形態によれば、1人以上の各ユーザーに対して、システム200は、各ユーザーに少なくとも1つの生体識別子を登録するよう要求することができ、これは、セキュアID管理システム220の250に格納される。例示的実施形態によれば、各ユーザーは、好ましくは少なくとも2つの生体識別子を管理システム210に登録し、登録システム210は、当該少なくとも2つの生体識別子をセキュアID管理システム220に格納する。例示的実施形態によれば、1つ以上の各生体識別子は、生体認証機器110、120、130、140の1つ以上から入力され、通信ネットワーク160を介してサーバー150に提供される。あるいは、1つ以上の生体識別子が直接サーバー150に入力されるよう、システム200が構成されていてもよい。例えば、サーバー150は、各ユーザーから生体識別子を取得するためのキーパッド、センサー及び/またはスキャナー機器を備えうる。例示的実施形態によれば、キーパッド、センサー及び/またはスキャナー機器は、サーバー150の、あるいはサーバー150に有線または無線接続を介して接続された、グラフィカルユーザーインターフェース(GUI)またはディスプレイパネルであってよい。
例示的実施形態によれば、システム150に登録された1人以上の各ユーザーは、ユーザートラッキング/フィードバックシステム240を用いて追跡されうる。このユーザートラッキング/フィードバックシステム240は、1つ以上の各認証装置(または認証モジュール)からの入力またはデータを受け取るよう構成され、ユーザー認証される毎に、1つ以上の各生体認証機器110、120、130、140からデータを受け取る。例えば、ユーザーは、例えば朝に職場に到着した際に、ホームまたはオフィスシステム140上の近接型カードを用いてビルまたはオフィス142にアクセスしてもよく、ユーザー名及びパスワードを用いて彼のデスクのクライアント機器120(またはコンピュータ)にアクセスしてもよい。例示的実施形態によれば、この情報を対応する生体計測機器120、140から認証システム230に送ることができ、例えば情報またはデータである入力が、ユーザートラッキング/フィードバックシステム240に提供される。
例示的実施形態によれば、ユーザーが様々な場所で行った各認証、例えばホームまたはオフィスセキュリティシステム140または1つ以上の生体認証機器110、120、130へのアクセスは、生体認証機器110、120、130、140によって取得されるか、及び/またはサーバー150へと送られる。各認証が行われる回数は様々であるため、各イベント及び/またはデータポイントがサーバー150の認証システム230に受け取られ、ユーザートラッキング/フィードバックシステム240へ入力270される。例示的実施形態によれば、各ユーザーには、本明細書に開示する1つ以上の特徴に基づいて既定のスコアインデックスを付与しうる。入力270がユーザートラッキング/フィードバックシステム240に受け取られると、ユーザートラッキング/フィードバックシステム240は、各ユーザーのスコアインデックスを以前の既定のスコアインデックスから変更しうる。例えば、以前の既定のスコアインデックスは、ユーザーがアクセスを要求した実際の場所または予想されうる場所に基づいて変更されうる。例示的実施形態によれば、スコアインデックスは、認証レベルと定義され、例えば2つ以上の生体識別子、例えば図5に示す指紋、虹彩認識及び顔検出を要求するものでありうる。
例示的実施形態によれば、例えば、スコアインデックスには、ユーザーの情報、家若しくはオフィスに到着及び/または家若しくはオフィスを出発した時間、家及び/またはオフィスからアクセスした各アプリケーション及びリソース(例えばサービス)、また、アプリケーションまたはリソースが要求された時刻、日付及び/または頻度が含まれうる。また、スコアインデックスは、要求がなされた場所に基づきうる。例えば、サーバー150にホストされているシステム200が受けた要求において、クライアント機器110、120またはホスト機器130から受け取ったこれらのIPアドレスに基づきうる。
例示的実施形態によれば、各ユーザーのスコアインデックスは、ユーザーの活動に基づいて、例えば機械学習プロセス(またはアルゴリズム)または人工知能アプリケーションである自己学習プロセスにより常に更新されうる。例示的実施形態によれば、例えばユーザートラッキング/フィードバックシステム240は、本明細書に開示する各ユーザーの活動に基づいて、自己学習連続フィードバック280を登録システム210に、アップデート290をセキュアID管理システム220に、入力270を認証システム230に与えうる。例えば、例示的実施形態によれば、スコアインデックスは、例えば初期登録された最小数の認証子及び/または生体識別子に基づいて、また、例えばユーザーの位置、ログオンしたサービス、サービスへのアクセスの頻度を考慮した、自己学習プロセス(例えば、機械学習アルゴリズムまたは人工知能)に基づいて、生成されうる。例示的実施形態によれば、一旦スコアインデックスが生成されると、例えば本明細書に開示する連続自己学習プロセスにより算出されうる所定の閾値に達したときに、追加の認証子及び/または生体識別子が要求されうる。
例示的実施形態によれば、ユーザーのスコアインデックスが所定の閾値に達すると、ユーザーは1つ以上の追加の認証子または生体識別子を入力するよう要求される。例えば、所定の閾値を超えると、ユーザーは、タグ付けされうる。そして例えば図5に示すように、追加の認証子または生体識別子をサーバーの登録システム210に入力するよう要求される。例えば、図5に示すように、認証レベルとしては、1つ以上の各サービスに対する、例えばスマートカード、音声認識、指紋、虹彩認識及び/または顔検出が挙げられる。また、例えば、ユーザーがサービスにアクセスしようとする頻度は、通常の使用または標準の手順の範囲内では無いかもしれず、当該ユーザーには適切でないと判定されて、これもスコアインデックスが所定の閾値を超える原因となりうる。
例示的実施形態によれば、ユーザーが登録システム210を介して追加の認証子及び/または生体識別子を登録しない限り、システム200は、ユーザーに生体認証機器110、120、130、140の1つ以上に対する認証(またはアクセス)を許可しない。図2に示すように、認証子及び/または生体識別子を認証システム230が受け取られると、当該認証子及び/または生体識別子は、セキュアID管理システム220によりチェック260され、認証情報または生体識別子が、要求されたサービスに対応する保存されているユーザーの認証子及び/または生体識別子と一致するかどうかが判定される。例示的実施形態によれば、認証システム230及びセキュアID管理システム220は、安全なトランザクション、例えばキー交換または暗号化キー交換であってよい。
例示的実施形態によれば、要求されたサービスに対して、1つの認証子及び1つの生体識別子、または2つ以上の生体識別子を要求しうる。また、本明細書に開示するように、インデックススコアは、認証システム230が受け取った入力270に基づいて常に更新され、ユーザーによるサービスの要求に対して、1つの認証子及び/または生体識別子のみを要求するようになりうる。しかしながら、例えば、自己適応機能に基づき、例えばユーザートラッキング/フィードバックシステム240の機械学習機能の結果として、同一ユーザーからの同一または類似サービスの要求に対して、2つ以上の生体識別子が必要となりうる。また、例示的実施形態によれば、ユーザートラッキング/フィードバックシステム240は、セキュアID管理システム220を更新して、ランダムに選ばれる認証情報及び/または生体識別子を要求してもよい。
例示的実施形態によれば、ユーザーが図7に示す追加の生体認証子を登録すると、システム200は、ユーザーが、新たに定義された多レベルの認証要件に基づいて生体認証機器110、120、130、140の1つ以上を認証するのを許可する。例えば、図7に示すように、1人以上の各ユーザーに対して、登録システム210は、生体識別子、例えば指紋または虹彩が、1人以上のユーザーから取得されているかどうかを含む情報を記憶しうる。
図3は、例示的実施形態に係る多レベル認証システムのフローチャート300である。図3に示すように、ステップ310において、ユーザーは、自身の認証情報を生体認証機器に提示してサービスにアクセスする。例えばサービスとは、ユーザーが、例えばユーザー名とパスコード、近接型カード及び/または1つ以上の生体識別子である認証子及び/または生体識別子を入力したクライアント若しくはホスト機器110、120、130または家、オフィス若しくはビル140へのアクセスである。ステップ320において、例えば、ユーザー情報、位置、時間及び使用した認証子を、サーバー150上の生体認証機器110、120、130、140から受け取り、セキュアID管理システム220に入力する。
ステップ340において、セキュアID管理システム220は、受け取った認証子及び/または生体識別子が、ユーザーに要求されたサービスへのアクセスを許可するのに十分なレベルかどうかを判定する。受け取った認証子及び/または生体識別子が十分であった場合、ステップ350において、ユーザーは、当該ユーザーから受け取った認証子及び/または生体識別子に基づいて認証される。ステップ360において、認証子及び/または生体識別子が、必要な認証情報と一致するか、必要な認証情報を与えるものである場合、ステップ370において、ユーザーが要求したサービスへのアクセスが許可される。しかしながら、ユーザーから受け取った認証子及び/または生体識別子が必要な認証情報と一致しないか、必要な認証情報を与えるものでは無い場合、ステップ370において、ステップ380に移行し、ユーザーに対して要求されたサービスへのアクセスが拒否される。例示的実施形態によれば、認証プロセス中に受け取った情報は、ユーザートラッキング/フィードバックシステム240に入力されて、ユーザーのスコアインデックスが更新される。
例示的実施形態によれば、ステップ340において、セキュアID管理システム220が、ユーザーのスコアインデックスに基づき、受け取った認証子及び/または生体識別子がシステム200の要求するサービスへのアクセスを提供するのに必要なレベルに満たないと判定した場合、ステップ330において、ユーザーは、グラフィカルユーザーインターフェース(GUI)または生体認証機器110、120、130、140のディスプレイ上にてメッセージを受け取る。例示的実施形態によれば、メッセージは、“追加の認証子要件”が必要であることを示していてよく、ステップ380において、ユーザーが要求したサービスへのアクセスが拒否される。例示的実施形態によれば、ユーザーは要求された生体識別子を登録システム210に入力してよく、新たな認証子及び/または生体識別子を用いて図3に示すプロセスを繰り返して、ユーザーの要求されたサービスへのアクセスを許可するかどうかを判定しうる。
図4は、例示的実施形態に係る自己適応型認証レベル要件学習プロセスのフローチャート400である。図4に示すように、ステップ410において、登録システム210は、ユーザー情報、サービス位置(例えば、グローバルポジショニングシステム(GPS)、IPアドレス、MACアドレスによるもの)、サービス利用時間、使用した認証子等を収集する。ステップ420において、セキュアID管理システムは、ユーザーのスコアインデックス値を算出し、様々な要因に基づき、例えば該当するユーザー及びサービス使用に対する機械学習プロセスを用いてアップデートされうる。例えば、例示的実施形態によれば、図9は、状況及び要件の変化によるサービスセキュリティレベルの変更の例を示す図である。ステップ430において、ユーザーの認証レベル要件を更新してよく、ユーザーに、必要に応じて追加の認証を提出するよう促しうる。
例示的実施形態によれば、例えば、いかなる企業環境であっても、例えば図5に示す表500に挙げるように、セキュリティレベルを事前に定義しうる。初期要件として、例えば、管理者は、例えば図7に示す表700に挙げるように、各ユーザーについて、生体情報または他の認証要件の最低限の要求レベルを設定しうる。また、各ユーザー(ユーザーA~ユーザーB)には、セキュリティクリアランスレベル、既定サービス、ユーザー制限フラグ及びユーザースコアインデックスが付与されうる。例えば、図5の表500に挙げる各サービス(例えば、いずれかの位置にアクセス、追加の認証後にアクセス、特定のサイトに限定、指定サイドに限定及び特定のサイトへの制限であって、これらはビルへのアクセス及び/またはシステムのアンロックを含む。)について、表700に示すような既定のスコアインデックス値を、各ユーザーに対応するユーザーが登録した認証子と共に付与しうる。また、企業は、例えば図6の表600に示すように、各認証機器または機構に対して、優先順位またはセキュリティレベルの等級を定義しうる。
例示的実施形態によれば、サービスにアクセスする位置によって、要件は変化しうるものであり、管理者によって多レベルまたは多要素の認証に設定されうる。例えば、ビルへのアクセスには、単一要素の認証が要求され、サーバー室へのアクセスには、多レベルの認証が要求されうる。また、同一のユーザーであっても、他の位置ではシステムへのアクセスに多要素の認証が必要となるが、指定された位置では単一レベルの生体認証を用いるだけであってよい。
例示的実施形態によれば、サービスの種類、位置(例えばGPS座標、MACアドレス、IPアドレス)、用いた認証子、サービス使用の頻度、サービス使用時間といった多要素に基づいて、システムは、図8の表800の例に示すように、特定のサービスの使用について、ユーザーに対してどのレベルの認証が要求するかを決定する。
システムは、ユーザーの認証レベルが不十分であることがわかると、例えば表800のサービス位置3に挙げるように、追加の認証を求める。例えば、システムログのエントリー3及び4では、ユーザーDが、AM12:00に音声検出認証子を用いて認証を試みており、システムは、アクセスを許可するために、ユーザーに追加の指紋認証を求めている。同様に、エントリー5のユーザーCに対しては、認証要件を満たすことができないかもしれないので、サービス4へのアクセスが拒否されている。
別のシナリオ例としては、ユーザーが何らかのサービスにサーバーの初期設定に定義されるような短期間の間に非常に頻繁にアクセスするような場合で、認証システムは、最初のアクセスの際には多レベルの生体認証を要求し、後に要件を変更して単一レベルの生体認証としうる。
場合によって、ユーザーが1つの認証機構での認証に失敗したものの、その後に成功した場合には、システムは、多レベルの認証を要求して、セキュリティまたは認証レベルでの不正アクセスが無いことを確認する。
ユーザーによるサービス使用に何らかの異常を検出した場合には、システムは、システム全般の認証レベル要件を上げ、一定期間の後、サービスの異常が解消したか減少した時に認証レベル要件を下げる。例えば、場合によって、ユーザーが、VPN等のリモートサービスを介してサービスにより頻繁にアクセスしている場合には、システムは、その特定ユーザーのスコアインデックスを、セキュリティレベルや追加の認証型の要請に関係なく上げる。
上記の例は、図9から図11に示す表900、1000及び1100のシナリオ例として記載されている。例示的実施形態によれば、これらの表は、通常のITセキュリティ環境において起こりうる程度のランダムな変化と、本発明が提案する認証システムの適応性を示している。
例えば、図9に示す表900に示すように、セキュリティレベル要件の変更は、異なるサービス型または位置によって様々であり、これは、システム異常、企業要件が下げられたこと、施設の変更またはその他の要因によるものである。例えば、サービス2及び4のセキュリティレベルが上げられている一方で、サービス3は下げられている。また、例えば、すでに高いレベルのセキュリティであるサービス1は、監視を増加している状態である。
図10の表1000は、認証システムによる、いくつかの要因に基づく各ユーザーの新たなスコアインデックスの算出のシナリオ例を示す。例示的実施形態によれば、例えば、表1000に示すように、各ユーザーの事例が、システム分析の説明とそれに基づく推奨と共に説明されている。例えば、表1000に示すように、システム検出要因としては、あまりに多くのランダムな位置でのアクセス、指定サイトまたはサービスに限定されたアクセス、多要素の認証を使った一貫した成功、高リスクサービスへの頻繁なアクセスが挙げられる。これらにはシステムによる推奨が伴い、例えば、多要素による認証を増やす、新たな認証子の登録が必要となりうる、低い認証要件、特定のサイトでは認証要件を下げる、及び通常の業務時間におけるアクセスを制限する、が挙げられる。
図11の表1100は、何らかの顕著な行動変化に伴い新たに算出されたスコアインデックスによる、新たなユーザーログのシナリオ例を示す。例えば、セキュリティが上がったことから、ユーザーDは、多重の認証要素を提示した後でもサービス2へのアクセスが拒否されている。ユーザーFがサービス1へアクセスすることができる一方で、ユーザーAについては、スコアインデックスが高くなっていることから、業務時間外ではアクセスが制限され、通常の業務時間内では強化された多要素の認証が要求される。ユーザーCのサービス3へのアクセスは、スコアインデックスが低く、その特定ユーザーに対する既定サービスとして指定されていることから、非常に低い認証要件となっている。ユーザーBは、スコアインデックスが高く、検出要素が多いことから、どのサービスであるかにかかわらず多要素の認証が要求されるようになっている。
例示的実施形態によれば、システム200は、高度な機械学習、人工知能及びデータ解析方法を用いて、取得したユーザー活動を処理及び分析して、自身をトレーニングしたり、新たな認証要件を定義するための増分分析を行ったり、認証レベルを変更したり、及び/または1人以上の各ユーザーに新たなスコアインデックスを決定または算出したりしうる。
例示的実施形態によれば、例えば、本開示にて提案するシステム200の学習プロセスでは、以下のいくつかの要因を検討して、セキュアなIT環境におけるユーザーの漸進的な認証要件を決定しうる。例えば、学習プロセスには、付与要因、使用または由来要因、外部要因及びシステム要因が含まれうる。例えば、付与要因としては、登録された認証子、既定のサービス、制限時間等が挙げられる。使用または由来要因としては、例えば、位置情報(グローバルポジショニングシステム(GPS)、メディアアクセスコントロールアドレス(MACアドレス)またはIPアドレス等)、サービス形式、アクセス時間、アクセス頻度等が挙げられる。外部要因としては、地政学的な状況、自然災害、サービスサイトの脆弱性によるセキュリティ上の懸念の増加、ハッキング活動の増加、マルウェア/スパイウェアの増加等が挙げられる。システム要因としては、システム異常、停電頻度、ハードウェア(HW)またはソフトウェア(SW)の不安定等が挙げられる。
例示的実施形態によれば、機械学習、人工知能(AI)及びデータ解析方法若しくは機構としては、ベクトル解析、関連マッピング、クラスタリング、異常検出、データ可視化、回帰分析、ニューラルネットワーク、確率的方法等が挙げられるが、これらに限定されない。
例示的実施形態によれば、サービスについてユーザーを認証するプロセスを実行するよう構成されたコンピューター読み取り可能な非一時的プログラムが開示され、当該プロセスは、認証システムに1人以上のユーザーを登録することと、前記認証システム中の1人以上の各ユーザーに、1つ以上のサービスについて、セキュリティレベル及び前記1つ以上の各サービスへのアクセスに必要な対応する認証を表すスコアインデックスを付与することと、前記1人以上のユーザーからのサービスの各要求であって、要求するサービスのための1つ以上の認証子または生体識別子を含む前記各要求を前記認証システムに入力して、前記1人以上のユーザーのスコアインデックスを常に更新することと、ユーザーのスコアインデックスが所定の閾値に達すると、前記1人以上のユーザーに、1つ以上の追加の認証子または生体識別子を前記認証システムに登録するよう要求することと、を有する。
当然ながら、コンピューター利用可能な非一時的な媒体は、磁気記録媒体、光磁気記録媒体または将来開発される他のあらゆる記録媒体であってよく、これらはすべて同様に本発明に適用可能であるとみなされる。1次及び2次複製品その他を含むこれら媒体の複製も、紛れもなく上記媒体と同等であるとみなされる。さらに、本発明の実施形態が、ソフトウェアとハードウェアの組み合わせであっても、本発明の概念から逸脱するものでは全くない。本発明は、ソフトウェアの部分が事前に記録媒体に書き込まれ、動作時に必要に応じて読み取られるようにして実施されうる。
当業者にとって、本発明の範囲及び精神から逸脱しない限り、本発明の構成に種々の改変及び変更を加えることができることは明らかである。以上より、本発明は、以下のクレーム及びその均等の範囲内である限り、本発明の改変例及び変形例を包含するものである。

Claims (20)

  1. コンピューターがサービスについてユーザーを認証する方法であって、
    認証システムに1人以上のユーザーを登録することと、
    前記認証システム中の1人以上の各ユーザーに、1つ以上のサービスについてセキュリティレベル及び前記1つ以上の各サービスへのアクセスに必要な対応する認証を表すスコアインデックスを付与することと、
    前記1人以上のユーザーからのサービスの各要求であって、要求するサービスのための1つ以上の認証子または生体識別子を含む前記各要求を前記認証システムに入力して、前記1人以上のユーザーのスコアインデックスを常に更新することと、
    ユーザーのスコアインデックスが所定の閾値に達すると、前記1人以上のユーザーに、1つ以上の追加の認証子または生体識別子を前記認証システムに登録するよう要求することと、
    を有する方法。
  2. 1つ以上の特性に基づき、前記1人以上の各ユーザーに、前記1つ以上の各サービスについての初期セキュリティレベルを反映している既定のスコアインデックスを付与すること、
    を有する、請求項1に記載の方法。
  3. サービスについての要求であって、少なくとも1つの認証子または生体識別子を含む前記要求をユーザーから受け取ることと、
    前記少なくとも1つの認証子または生体識別子が、前記ユーザーのスコアインデックスに基づき十分であり、前記認証子または生体識別子が、認証情報を与えるものであるか、保存されている前記ユーザーの認証子または生体識別子と一致する場合には、前記ユーザーに前記サービスへのアクセスを許可することと、
    を有する、請求項1または請求項2に記載の方法。
  4. 機械学習アルゴリズムを用いて、前記1人以上の各ユーザーのスコアインデックスを算出すること、
    を有する、請求項1から請求項3のいずれか1項に記載の方法。
  5. 前記少なくとも1つの認証子または生体識別子は、少なくとも1つの認証子及び少なくとも1つの生体識別子を有する、請求項1から請求項4のいずれか1項に記載の方法。
  6. センサー、スキャナー機器または電子リーダーの少なくとも1つを含む生体認証機器から生体識別子を受け取ること、を有し、
    前記生体識別子は、ユーザーの少なくとも1つの生理的特徴であって、前記少なくとも1つの生理的特徴は、指紋、手のひらの静脈、顔認識、DNA(またはデオキシリボ核酸、掌紋、掌形、虹彩認識、網膜及び/または臭気/芳香の1つ以上から選択される請求項1から請求項5のいずれか1項に記載の方法。
  7. 前記1つ以上の認証子または生体識別子の認証装置は、ユーザー名とパスワード("パスワード")のためのキーパッド及び/またはセンサー、スキャナー機器、あるいは近接型カード、無線周波数識別(RFID)カード、スマートカード、及び/またはRSAトークンの1つ以上からデータを読み取る及び/または取得することができる電子リーダーを有する、請求項1から請求項6のいずれか1項に記載の方法。
  8. 前記1つ以上のサービスが、家またはオフィスへのアクセス、クライアント機器またはホスト機器へのアクセス、及び前記クライアント機器またはホスト機器上のデータベースへのアクセスのうち1つ以上を有する、請求項1から請求項7のいずれか1項に記載の方
    法。
  9. 前記1人以上の各ユーザーのスコアインデックスを、サービスを要求した時間及び/または前記サービスを要求した位置に基づいて更新すること、
    を有する、請求項1から請求項8のいずれか1項に記載の方法。
  10. 前記サービスの要求におけるサービスの種類に基づいて、更に前記スコアインデックスを作成すること、
    を有する、請求項9に記載の方法。
  11. 生体計測機器を用いて前記1人以上の各ユーザーの生体情報テンプレートを作成することと、前記生体情報テンプレートを前記生体計測機器から前記認証システムへ送ること、
    を有する、請求項1から請求項10のいずれか1項に記載の方法。
  12. 前記生体計測機器から受け取った生体情報テンプレートを処理して、前記1人以上の各ユーザーに固有の署名を作成することを有し、前記1人以上の各ユーザーに固有の署名は、前記1つ以上のサービスへのアクセスを許可または拒否することに用いる、請求項11に記載の方法。
  13. コンピューターシステムにサービスについてユーザーを認証するプロセスを実行させるよう構成された、コンピューター読み取り可能な非一時的なプログラムであって、
    前記プロセスは、
    認証システムに1人以上のユーザーを登録することと、
    前記認証システム中の1人以上の各ユーザーに、1つ以上のサービスについてセキュリティレベル及び前記1つ以上の各サービスへのアクセスに必要な対応する認証を表すスコアインデックスを付与することと、
    前記1人以上のユーザーからのサービスの各要求であって、要求するサービスのための1つ以上の認証子または生体識別子を含む前記各要求を前記認証システムに入力して、前記1人以上のユーザーのスコアインデックスを常に更新することと、
    ユーザーのスコアインデックスが所定の閾値に達すると、前記1人以上のユーザーに、1つ以上の追加の認証子または生体識別子を前記認証システムに登録するよう要求することと、
    を有する、プログラム。
  14. サービスのユーザーに認証を与えるよう構成された認証システムであって、
    前記認証システムは、
    プロセッサーを備えるサーバーを有し、
    前記プロセッサーは、
    前記認証システムに1人以上のユーザーを登録し、
    前記認証システム中の1人以上の各ユーザーに、1つ以上のサービスについてセキュリティレベル及び前記1つ以上の各サービスへのアクセスに必要な対応する認証を表すスコアインデックスを付与し、
    前記1人以上のユーザーからのサービスの各要求であって、要求するサービスのための1つ以上の認証子または生体識別子を含む前記各要求を前記認証システムに入力して、前記1人以上のユーザーのスコアインデックスを常に更新し、
    ユーザーのスコアインデックスが所定の閾値に達すると、前記1人以上のユーザーに、1つ以上の追加の認証子または生体識別子を前記認証システムに登録するよう要求する
    ように構成されている、認証システム。
  15. 前記プロセッサーは、
    サービスについての要求であって、少なくとも1つの認証子または生体識別子を含む前記要求をユーザーから受け取り、前記少なくとも1つの認証子または生体識別子が、前記ユーザーのスコアインデックスに基づき十分であり、且つ前記認証子または生体識別子が、認証情報を与えるものであるか、保存されている前記ユーザーの認証子または生体識別子と一致する場合には、前記ユーザーに前記サービスへのアクセスを許可するように構成されている、請求項14に記載の認証システム。
  16. 前記プロセッサーは、
    機械学習アルゴリズムを用いて、前記1人以上の各ユーザーのスコアインデックスを算出するように構成されている、請求項14または請求項15に記載の認証システム。
  17. 前記少なくとも1つの認証子または生体識別子は、少なくとも1つの認証子及び少なくとも1つの生体識別子を有する、請求項14から請求項16のいずれか1項に記載の認証システム。
  18. 前記プロセッサーは、
    生体認証機器から生体識別子を受け取るように構成され、前記生体認証機器は、センサー、スキャナー機器または電子リーダーの少なくとも1つを含み、
    前記生体識別子は、ユーザーの少なくとも1つの生理的特徴であって、前記少なくとも1つの生理的特徴は、指紋、手のひらの静脈、顔認識、DNA(またはデオキシリボ核酸、掌紋、掌形、虹彩認識、網膜及び/または臭気/芳香の1つ以上から選択される請求項14から請求項17のいずれか1項に記載の認証システム。
  19. ーザー名とパスワード("パスワード")のためのキーパッド及び/またはセンサー、スキャナー機器、あるいは近接型カード、無線周波数識別(RFID)カード、スマートカード、及び/またはRSAトークンの1つ以上からデータを読み取る及び/または取得することができる電子リーダーを有する、請求項14から請求項18のいずれか1項に記載の認証システム。
  20. 前記1人以上の各ユーザーの生体情報テンプレートを作成するよう構成され、前記生体情報テンプレートを前記認証システムのプロセッサーへ送る生体計測機器をさらに有し、
    前記プロセッサーは、
    前記生体計測機器から受け取った生体情報テンプレートを処理して、前記1人以上の各ユーザーに固有の署名を作成するよう構成され、前記1人以上の各ユーザーに固有の署名は、前記1つ以上のサービスへのアクセスを許可または拒否することに用いられる、請求項14から請求項19のいずれか1項に記載の認証システム。
JP2018102909A 2017-05-31 2018-05-30 自己適応型の安全な認証システム Active JP7075819B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US15/610,558 US10681024B2 (en) 2017-05-31 2017-05-31 Self-adaptive secure authentication system
US15/610,558 2017-05-31

Publications (2)

Publication Number Publication Date
JP2019023859A JP2019023859A (ja) 2019-02-14
JP7075819B2 true JP7075819B2 (ja) 2022-05-26

Family

ID=64460347

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018102909A Active JP7075819B2 (ja) 2017-05-31 2018-05-30 自己適応型の安全な認証システム

Country Status (2)

Country Link
US (1) US10681024B2 (ja)
JP (1) JP7075819B2 (ja)

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11122034B2 (en) * 2015-02-24 2021-09-14 Nelson A. Cicchitto Method and apparatus for an identity assurance score with ties to an ID-less and password-less authentication system
US11544356B2 (en) * 2017-06-19 2023-01-03 Citrix Systems, Inc. Systems and methods for dynamic flexible authentication in a cloud service
US11303631B1 (en) 2017-06-30 2022-04-12 Wells Fargo Bank, N.A. Authentication as a service
US10554658B2 (en) * 2017-12-29 2020-02-04 Motorola Mobility Llc Bootstrapping and adaptive interface
US10949541B1 (en) * 2018-08-29 2021-03-16 NortonLifeLock, Inc. Rating communicating entities based on the sharing of insecure content
CN109766679B (zh) * 2018-12-17 2021-04-09 达闼机器人有限公司 身份认证方法、装置、存储介质和电子设备
KR20200100481A (ko) * 2019-02-18 2020-08-26 삼성전자주식회사 생체 정보를 인증하기 위한 전자 장치 및 그의 동작 방법
CN110032414B (zh) * 2019-03-06 2023-06-06 联想企业解决方案(新加坡)有限公司 远程控制台模式下安全的用户认证的装置和方法
US11709920B2 (en) * 2019-04-29 2023-07-25 Johnson Controls Tyco IP Holdings LLP Facility management systems and methods thereof
EP3786820B1 (en) * 2019-06-28 2022-08-31 Rakuten Group, Inc. Authentication system, authentication device, authentication method, and program
US11695762B2 (en) * 2019-11-01 2023-07-04 Hyundai Motor Company Heterogeneous device authentication system and heterogeneous device authentication method thereof
EP4274268A3 (en) * 2020-02-05 2024-01-10 C2RO Cloud Robotics Inc. System and method for privacy-aware analysis of video streams
WO2021190907A1 (en) * 2020-03-27 2021-09-30 Sony Group Corporation Method and system for providing an electronic credential associated with electronic identification information
CN112100658A (zh) * 2020-09-11 2020-12-18 京东方科技集团股份有限公司 医疗系统及其权限管理方法
US11924112B2 (en) * 2021-03-30 2024-03-05 Cisco Technology, Inc. Real-time data transaction configuration of network devices
US11523012B1 (en) * 2021-09-30 2022-12-06 Konica Minolta Business Solutions U.S.A., Inc. Method and system for transparently injecting custom screens into existing third-party workflows
US20230319576A1 (en) * 2022-03-30 2023-10-05 Konica Minolta Business Solutions U.S.A., Inc. Method and system for authenticating users
WO2023238343A1 (ja) * 2022-06-09 2023-12-14 日本電信電話株式会社 認証要件設定装置、認証要件設定方法、及びプログラム
JP7537689B1 (ja) 2023-09-08 2024-08-21 株式会社ジェーシービー 情報処理プログラム、情報処理システム及び情報処理方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003186836A (ja) 2001-12-18 2003-07-04 Mitsubishi Electric Corp 複合認証システム
JP2003196566A (ja) 2001-12-28 2003-07-11 Sony Corp 情報処理装置および情報処理方法、記録媒体、認証処理システム、並びに、プログラム
JP2004178408A (ja) 2002-11-28 2004-06-24 Fujitsu Ltd 個人認証端末、個人認証方法及びコンピュータプログラム
JP2007164661A (ja) 2005-12-16 2007-06-28 Fuji Xerox Co Ltd ユーザ認証プログラム、ユーザ認証装置、ユーザ認証方法
JP2010225078A (ja) 2009-03-25 2010-10-07 Nec Corp 認証方法及びその認証システム並びにその認証処理プログラム
JP2017078944A (ja) 2015-10-20 2017-04-27 ヤフー株式会社 判定装置、判定方法及び判定プログラム

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6615182B1 (en) * 1998-05-08 2003-09-02 E-Talk Corporation System and method for defining the organizational structure of an enterprise in a performance evaluation system
US20020169965A1 (en) * 2001-05-08 2002-11-14 Hale Douglas Lavell Clearance-based method for dynamically configuring encryption strength
US20040039909A1 (en) 2002-08-22 2004-02-26 David Cheng Flexible authentication with multiple levels and factors
US7161465B2 (en) * 2003-04-08 2007-01-09 Richard Glee Wood Enhancing security for facilities and authorizing providers
US20060021003A1 (en) 2004-06-23 2006-01-26 Janus Software, Inc Biometric authentication system
CN101616101B (zh) * 2008-06-26 2012-01-18 阿里巴巴集团控股有限公司 一种用户信息过滤方法及装置
CA2764283A1 (en) * 2012-01-16 2013-07-16 Giovanni J. Morelli Mobile device control application for improved security and diagnostics
US9185095B1 (en) * 2012-03-20 2015-11-10 United Services Automobile Association (Usaa) Behavioral profiling method and system to authenticate a user
US9602483B2 (en) * 2013-08-08 2017-03-21 Google Technology Holdings LLC Adaptive method for biometrically certified communication
EP2933981B1 (en) 2014-04-17 2018-08-01 Comptel OY Method and system of user authentication
US20160005050A1 (en) * 2014-07-03 2016-01-07 Ari Teman Method and system for authenticating user identity and detecting fraudulent content associated with online activities
US10440018B2 (en) * 2017-04-10 2019-10-08 At&T Intellectual Property I, L.P. Authentication workflow management

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003186836A (ja) 2001-12-18 2003-07-04 Mitsubishi Electric Corp 複合認証システム
JP2003196566A (ja) 2001-12-28 2003-07-11 Sony Corp 情報処理装置および情報処理方法、記録媒体、認証処理システム、並びに、プログラム
US20030158815A1 (en) 2001-12-28 2003-08-21 Sony Corporation Information processing apparatus and information processing method
JP2004178408A (ja) 2002-11-28 2004-06-24 Fujitsu Ltd 個人認証端末、個人認証方法及びコンピュータプログラム
JP2007164661A (ja) 2005-12-16 2007-06-28 Fuji Xerox Co Ltd ユーザ認証プログラム、ユーザ認証装置、ユーザ認証方法
JP2010225078A (ja) 2009-03-25 2010-10-07 Nec Corp 認証方法及びその認証システム並びにその認証処理プログラム
JP2017078944A (ja) 2015-10-20 2017-04-27 ヤフー株式会社 判定装置、判定方法及び判定プログラム

Also Published As

Publication number Publication date
US10681024B2 (en) 2020-06-09
US20180351925A1 (en) 2018-12-06
JP2019023859A (ja) 2019-02-14

Similar Documents

Publication Publication Date Title
JP7075819B2 (ja) 自己適応型の安全な認証システム
JP7079798B2 (ja) クラウドサービスにおける動的な柔軟な認証のためのシステム及び方法
KR102132507B1 (ko) 생체 인식 데이터에 기초한 리소스 관리 기법
US9781105B2 (en) Fallback identity authentication techniques
US20160197919A1 (en) Real identity authentication
EP2973164B1 (en) Technologies for secure storage and use of biometric authentication information
US20160371438A1 (en) System and method for biometric-based authentication of a user for a secure event carried out via a portable electronic device
US8984597B2 (en) Protecting user credentials using an intermediary component
US20130212653A1 (en) Systems and methods for password-free authentication
US11556617B2 (en) Authentication translation
US11792179B2 (en) Computer readable storage media for legacy integration and methods and systems for utilizing same
US20100169219A1 (en) Pluggable health-related data user experience
EP3834108B1 (en) Securing sensitive data using distance-preserving transformations
JP2013164835A (ja) 認証システム、認証方法、機器、及びプログラム
JP7196241B2 (ja) 情報処理装置、制御方法、およびプログラム
US20180063152A1 (en) Device-agnostic user authentication and token provisioning
JP6918503B2 (ja) システム及び方法
CN110869928A (zh) 认证系统和方法
JP2022114837A (ja) 多要素認証機能を備えた画像形成装置
JP2006163715A (ja) ユーザ認証システム
US20200204544A1 (en) Biometric security for cloud services
US20240273172A1 (en) Device-agnostic user authentication and token provisioning
US11977611B2 (en) Digital rights management platform
US20240106823A1 (en) Sharing a biometric token across platforms and devices for authentication
US20240104181A1 (en) Method and system for authentication

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181009

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210420

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20220114

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220208

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220428

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220510

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220516

R150 Certificate of patent or registration of utility model

Ref document number: 7075819

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150