JP2014531070A - サイトにおけるアクションを認可するための方法およびシステム - Google Patents
サイトにおけるアクションを認可するための方法およびシステム Download PDFInfo
- Publication number
- JP2014531070A JP2014531070A JP2014527812A JP2014527812A JP2014531070A JP 2014531070 A JP2014531070 A JP 2014531070A JP 2014527812 A JP2014527812 A JP 2014527812A JP 2014527812 A JP2014527812 A JP 2014527812A JP 2014531070 A JP2014531070 A JP 2014531070A
- Authority
- JP
- Japan
- Prior art keywords
- user
- site
- communication device
- personal communication
- users
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/40—User authentication by quorum, i.e. whereby two or more security principals are required
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
Abstract
サイトにおける複数のユーザによって単一アクションを認可するための方法が、認可モジュールにユーザの各々およびそのユーザと関連する少なくとも1台の個人通信装置を登録して、一意のハードウェア識別情報によって個人通信装置を識別するステップを含むことができる。この方法は、さらに認可モジュールによってサイトとユーザの各々およびそのユーザと関連する個人通信装置を関連づけるステップを含むことができる。この方法は、認可モジュールによってサイトからそのユーザと関連する個人通信装置まで確認リクエストを送信することによってアクションを確認するようユーザの各々に要求するステップを更に含むことができる。この方法は、さらにそのアクションを認可することを要求される全てのユーザの個人通信装置から確認を受信すると、アクションを認可するステップを含むことができる。【選択図】図4
Description
本発明は認証に関する。より詳しくは、本発明はサイトにおけるアクションを認可するための方法とシステムに関する。
現代情報技術(IT)は、公共(例えばインターネット)および私的(例えばローカル)ネットワークを介して、ユーザによって利用可能な、アクセス可能な豊富な電子サイトによって特徴づけられる。
本出願の文脈における、「サイト」は、ユーザによってアクセスされることができる任意のサイト、例えばインターネットサイト、組織管理イントラネットシステム(例えば顧客関係管理−CRM−システム)、クレジットカード取引承認システム(例えばリモートシステム、例えばPayPalまたはローカルシステム)、電子メールボックス(例えばHotmail、Gmailその他)、預金口座、現金自動預払機(ATM)などを指す。「サイト」は、リモートコンピュータ、リモートコンピュータネットワークを含むことができる。「サイト」は、さらにメディエータ(ソフトウェア、ハードウェアまたはその組合せ)、例えば単一または複数装置に接続されるスイッチ、単一または複数装置に接続されるルータなどを含むことができる。
これらのサイトのいくつかは、情報(例えば一般、公共、私的および秘密情報)に対するアクセスを提供するだけであるが、一方、他のサイトは、ユーザが情報を閲覧すると共にアクションを実行することを可能にする。
いくつかのサイトに対するアクセスは限定されないが、一方、他のサイトは、アクセスを限定してかつユーザがサイトにアクセスすることを許可するために特定の条件が満たされることを要求される。一般的に、アクセスを限定したサイトは識別および認証を何らかの形で要求する。多くの場合ユーザは、ユーザ名およびパスワードならびに多くの場合さらに特定のサイト要件に依存して他の個人情報を選ぶことによってそのサイトに登録し、かつ後ほど、そのサイトにアクセスするかまたはそのサイトにおいてアクションを実行するためにユーザ名およびパスワード(または他の情報)を提供することを要求する。
ほとんどの場合、サイトに対するアクセスを得るためにユーザが提供することを要求されるアクセス情報は、単純で容易に把握されることができる。例えば、ネットワーク(例えばインターネット)を介してクレジットカード取引を首尾よく完了するために、購入者は、通常フルネーム、住所、クレジットカード番号、有効期限(時にはさらにクレジットカードの裏面に位置するカード照合値−CW−番号)を提供することを要求される。この種の情報を、(例えば、クレジットカードを用いている人を見おろす、またはこの情報が言及されている会話を立ち聞きする、または全ての入力されたもしくは格納された情報をリモートコンピュータに送信するためにトロイの木馬タイプウイルス(または他のスパイウイルス)をユーザのコンピュータ上にインストールさせることによって)取得するのはあまり難しくないかもしれない。
さらに公知であるのは、多くのユーザ(何人かはこれが大多数のユーザにとって真であると主張しさえする)が、多くのサイトに同じ電子メール、ユーザ名およびパスワードを用いて登録するか、または1つだけまたは少しの文字もしくは数字だけを変更することによって非常に類似した登録詳細を用いる傾向があるということである。したがって、ユーザの名前、パスワードまたは電子メールが違法に把握される場合、そのユーザが登録されている多くのサイトがそのユーザと偽る他人によって不法にアクセスされるかもしれない。この種の違法なアクセスは、プライベート情報の露出、広範囲にわたる損害を引き起こし得る不正使用および他の不法なアクションに帰着するおそれがある。
時には、ユーザが登録するサイトの1つがハッキングされ、貴重な個人情報が違法に読み出されて、ユーザが登録している他のサイトにアクセスするために用いられるかもしれない。
現在の認証方法は、一般的に複数の人がアクションを確認することを要求される状況に対処しない。たとえば、多くのビジネスおよび組織は、例えば適法契約に携る、金融取引を実行する、預金口座のアクションを実行するなどの時に、2人(またはそれ以上)がアクションを認可することを要求する。実に奇妙なことに、現時点では、技術的にただクレジットカード会社がその要件をサポートする何の技術も持たないという理由で、この種のビジネスおよび組織の幹部は、別人が彼らの取引を認可することなく、彼らの会社のクレジットカードに課金するか、またはATM機械から金を引き出すことが許されている。
よりセキュアな認証に対する必要性が、追加的な認証方策の使用をもたらした。2種類以上の独立の識別証拠の提示を要求する2要素または多要素認証方法が導入された。
多要素認証は、実体をアサートするために、同じ種類の2回以上の繰返しよりむしろ2種類以上の独立証拠の使用を含む。本質的には、識別を確立するための3つの独立手段があり、それが、ユーザが知っている何か(例えばユーザ名、パスワード、個人識別番号−PIN)、ユーザが持つ何か(例えば物理トークン、IDカード、パスポート)、および、ユーザである何か(例えば指紋、網膜スキャン、顔外形のような、生物測定情報)として特徴づけられることができる。
これらの独立認証手段の任意の組合せ(例えばパスワード+物理トークンからの値)は、多要素認証であることが一般に受け入れられている。
多要素認証は、なかでも、以下を含むことができる:
1.正規ユーザがサイトに接続する時に用いるべき、指定されたセキュリティハードウェアコンポーネント。このハードウェアコンポーネントは、ユーザのローカル機械またはハンドヘルド機械(例えば端末、PC、PDA、スマートフォン、タブレット)に取り付けられ、かつ、ユーザがアクセスを得ることを可能にするために、ユーザが生成することを要求される通常のログイン詳細に加えて、リモートサイトが要求するユーザに関連する認証情報を含む。この種のハードウェアコンポーネントの例は、スマートカード、指紋リーダ、USBプラグ、その他を含むことができる。
2.いくつかのネットワークは、選ばれたユーザだけの除外された空間、例えばVPN(仮想専用ネットワーク)を提供することによってそれらのユーザを保護するように設計されている。この種のネットワークは、そのネットワーク内のサイトおよびサービスにアクセスするために特定のステーション、装置またはユーザだけがこのネットワークで識別されることを可能にする。
3.暗号化証書プロトコル(例えばSSL証書)がさらに公知であり、それはステーションからの証書をサイト上の期待されるものと比較することによってリモートサイトに対する認可されたアクセスを確認するために特定のステーション上におよびリモートサイト上にインストールされる。
4.通常のログインプロセスの一部として送信されたコードを入力することによってサイトにおいて申し立てによるとそのユーザによってなされる取引の実行を確認する、ユーザに一意のコードを備えた確認メッセージ(例えばSMS、電子メール)を送信する。
5.ランダムコードを生成するソフトウェアを(電話、スマートUSBキー、ファイアウォールおよびルータの類のハードウェア装置のような)第2のハードウェア装置上にインストールした結果、ユーザがサイトにアクセスすることを試みるたびに、ログイン詳細を提供した後に、(手動でまたは自動的に入力される)生成コードがアクセス手順中に用いられなければならない。
6.(一般的に、クレジットカード取引確認および金銭移動のために用いられる)リスク評価を実行し、その取引を認可してそれを実行するべきかどうかを決定するためにその取引に対するリスクレベルを算出する。
7.追加的認証情報(例えば課金アドレス、ID番号および、faxによる物理文書または電子メールを送信しさえするなど)を時には要求する、その最終の確認の前に特定の取引を検証するために人がユーザと接触することを含む、(一般的に、クレジットカードおよび銀行取引確認のために用いられる)人の介入。
したがって、本発明の実施態様に従って、サイトにおいて複数のユーザによる単一アクションを認可するための方法が提供される。この方法が、認可モジュールに複数のユーザの各ユーザおよびそのユーザと関連する少なくとも1台の個人通信装置を登録して、一意のハードウェア識別情報によって少なくとも1台の個人通信装置の各々を識別するステップを含むことができる。この方法が、認可モジュールによってサイトとユーザの各々およびそのユーザと関連する個人通信装置を関連づけるステップをさらに含むことができる。この方法は、認可モジュールによってサイトからユーザの各々と関連する個人通信装置まで、確認リクエストを送信することによって、ユーザの各々にアクションを確認することを要求するステップを更に含むことができる。この方法が、そのアクションを認可することを要求される全てのユーザの個人通信装置からの確認を受信すると、アクションを認可するステップをさらに含むことができる。
本発明の実施態様に従って、この方法が認可モジュールにサイトを登録するステップを含むことができる。
本発明の実施態様に従って、この方法が複数のユーザの各々の通信装置内に専用のアプリケーションをインストールするステップをさらに含むことができる。
本発明の実施態様に従って、個人通信装置が少なくとも1台の携帯電話を備えることができる。いくつかの実施態様では携帯電話が、スマートフォンであることができる。
本発明の実施態様に従って、この方法が個人通信装置の1台以上の位置を判定するステップおよびその位置が1つ以上のゾーン内にあることを検証するステップをさらに含むことができる。
いくつかの実施態様において、これらの1つ以上のゾーンがユーザの1人以上がその中にいると想定されるゾーンを含むことができる。
本発明の実施態様に従って、各ユーザにアクションを確認することを要求するステップおよびアクションを認可するステップが、時間制限を受けることができる。
本発明の実施態様に従って、サイトにおいてユーザを認証するための方法が提供される。この方法が、認証モジュールにユーザおよびそのユーザと関連する前記少なくとも1台の個人通信装置を登録して、一意のハードウェア識別情報によって少なくとも1台の個人通信装置の各々を識別するステップを含むことができる。この方法が、認証モジュールにサイトを登録するステップをさらに含むことができる。この方法が、認証モジュールによってサイトとユーザおよび前記少なくとも1台の個人通信装置を関連づけるステップを更に含むことができる。この方法が、認証モジュールによってサイトからそのユーザと関連する個人通信装置まで確認リクエストを送信することによってアクションを確認することをユーザに要求するステップ、および個人通信装置からの確認を受信すると、ユーザを認証するステップをさらに含むことができる。
本発明の実施態様に従って、この方法が2台以上の個人通信装置からの確認を受信するステップを含むことができる。
本発明の実施態様に従って、この方法が登録された個人通信装置を置換する認可モジュールにそのユーザと関連する新規の個人通信装置を登録するステップを更に含むことができる。
本発明の実施態様に従って、この方法がユーザと関連するべきサイトにとって公知でありかつ認証モジュールにとって公知であり、かつサイトおよび認証モジュールの両方によって用いられる共通キーを用いるステップを含むことができる。
本発明の実施態様に従って、この方法がサイトと認証モジュールとの間の、かつ通信装置と認証モジュールとの間の通信中に1個以上の一時キーを用いるステップをさらに含むことができる。
本発明の実施態様に従って、この方法が個人通信装置の1台以上の位置を判定するステップおよびその位置が1つ以上のゾーン内にあることを検証するステップを含むことができる。
本発明の実施態様に従って、このゾーンが、ユーザがその中にいると想定されるゾーンを含むことができる。
本発明の実施態様に従って、ユーザにアクションを確認することを要求するステップおよびユーザを認証するステップが、時間制限を受ける。
本発明の実施態様が、以下の詳細な説明内に記述されてかつ添付の図面内に例示され、そこにおいて:
単一要素、2要素または多要素認証方法およびシステムに関する本発明の実施態様が、本願明細書に提示される。
本発明の文脈において、用語「認証」および「認可」および「識別」は事実上交換可能である。
本発明の一態様が、(一般的にモバイル通信装置が、しかしいくつかの実施態様では、固定通信装置が用いられることが出来る)個人通信装置の使用に関し、それが、情報および/または命令をユーザが入力することを可能にする、ソフトウェアアプリケーションもしくはハードウェアまたはその組合せを実行することが可能である。本発明のいくつかの実施態様においてたとえば、この通信装置は携帯電話、スマートフォン、タブレット、ipod、ipad、iphoneのようなIOS(iphoneオペレーティングシステム)ベースの装置、アンドロイドベースの装置、Windowsベースのモバイル装置のようなスマート装置および他の類似したスマート装置であることができる。
本発明の別の態様が、一意のハードウェア識別情報の使用であり、それが、本発明の実施態様に従って、個人通信装置、例えばプッシュ技術を用いてサーバ(オペレーティングシステムプロバイダ)によって個人通信装置に割り当てられる一意の識別、NFC(近距離場通信)ハードウェア技術、MAC(メディアアクセス制御)アドレス、IMEI番号、UDID(一意の装置識別子)、その他と関連する一意の識別情報を一意的に識別する。
本発明のいくつかの実施態様に従ってユーザの通信装置とユーザがアクセスしているサイトとの間の識別情報の完全分離があることができる。ユーザとサイトとの間の関連は、独立認証サーバによってもっぱら実行されて管理され、それが、種々の永続的および一時的検証キーを使用することができる。多くの目的に対して、本発明の実施態様に従って、認証サーバがユーザまたはサイトまたはサイト所有者とは別の第三者実体である。いくつかの他の実施態様において認証サーバが、サイトに位置するか、またはさもなければサイトもしくはサイト所有者と関連することができる。認証サーバは、ハードウェア、ソフトウェアまたはその組合せで実現されることができる。
本発明の他の態様が、画像を取得する遠隔通信キャリアネットワーク経由で通信することを含む、携帯電話(例えばスマートフォン)のような通信装置の種々の性能および他の性能を利用するステップを含む。
加入者識別モジュール(SIM)は、携帯電話および携帯電話ネットワークと相互運用する装置と同義である。携帯電話は、モバイル局と呼ばれてかつ2つの異なったコンポーネント:加入者識別モジュール(SIM)およびモバイル機器(ME)に分割される。SIMは、加入者に関する基本的情報を収容する着脱可能なコンポーネントである。ME、残りの無線ハンドセット部分はSIMなしでは完全には機能することができない。SIMの主機能は、購読されたサービスにアクセスするためにネットワークに対して携帯電話のユーザを認証することである。
自動的に互換携帯電話の間でSIMを移動することは、それによって加入者の識別ならびに関連情報および性能を移すことができる。SIMが携帯システムで最も広く使われているとはいえ、匹敵するモジュールがさらにiDEN電話およびUMTSユーザ機器(すなわち、USIM)で用いられている。柔軟性のため、SIMは、携帯電話ユーザが彼らの識別、個人情報および装置間のサービスを移植することを提供し、結局、全ての携帯電話が(U)SIMのような性能を含むと予想される。例えば、SIM性能の拡張として、着脱可能なユーザ識別モジュール(R−UIM)に対する要件が、広帯域スペクトラムベースのCDMAを含むTIA/EIA/IS−95−Aおよび−B仕様に適合する携帯環境に対して特定されている。
しかしながら、一般的に、全てのGSM、WCDMAおよびiDEN携帯電話ハンドセットが一意のハードウェア識別情報(例えばプッシュ技術を用いてサーバによって個人通信装置に割り当てられる一意の識別、NFC(近距離場通信)技術、MAC(メディアアクセス制御)アドレス、IMEI番号、UDID(一意の装置識別子)、その他と関連する一意の識別情報)を有し、それが各ハンドセットを明確に識別する。IMEI番号は、たとえば有効な装置を識別するために用いられ、したがって、盗まれた電話がその国でネットワークにアクセスするのを止めるために用いられることができる。
本発明の別の態様が、ユーザおよびサイトの両方が登録されなければならない第三者認証サーバを用いて、サイトにおいてそのユーザによるアクションの実行を可能にするためにユーザの認証のための方法の準備および管理である。
本発明の実施態様に従って、彼または彼女の(以下に簡潔さのために−彼の)所有の通信装置を持つユーザが、認証サービスに最初に登録する。これは、たとえば専用のアプリケーションを通信装置上にインストールすることによって実施されることができ、それが実行されるときに、基本的識別情報(例えばユーザ名およびパスワード)を提供することをユーザに要求し、かつ、認証サーバに、基本的識別情報、同じく通信装置のハードウェアと関連する一意の識別情報(例えばプッシュサービス、NFC、MACアドレス、UDID、IMEIその他と関連する一意の識別情報)を送信するように設計されている。本発明のいくつかの実施態様において、通信装置のハードウェアと関連する複数の形の一意の識別情報が、追加の安全性のために用いられることができる。
多くの目的に対して、プッシュサービス(例えばアップル、Google、マイクロソフトまたは他の評判のよいオペレーティングシステムベンダによって提供されるプッシュサービス)が非常にセキュアに見えるので、プッシュサービスと関連する一意のハードウェア識別情報を用いることは非常に良い選択肢であるように見える。これが意味するのは、全てのそのハードウェアコンポーネントが同一に見えるとはいえ、レプリカが個人通信装置(例えばスマートフォン、タブレット)でできている場合、このレプリカがプッシュサービスで同一として通らず、元のスマートフォンだけがプッシュサービスを受信し続けるということである。
本発明の実施態様によれば、サイトと通信するときに、認証サーバが使用のための一意のユーザキーをユーザに割り当て、それによってそのユーザが認証サーバで関連づけられる。これは、サーバが外界と通信するときに通信装置の本当の一意の識別情報を露出させることを防止するためである。
サイトは、サイト識別情報(例えば以下の識別詳細の1つ以上:サイト名、サイト記述、一意のIPアドレス、ドメイン名その他)を提供することによって認証サーバにまた登録する。認証サーバは、そのサイトに一意の接続キーを割り当てる。本発明の実施態様に従って認証サーバは、以下に後述するように、クロスドメイン技術で動作させることを容易にする(そのサイトの開発環境に従う)そのサイト上の使用のために適しているプロキシファイルを提供することができる。
次に、ユーザはサイトに登録することができる。そのサイトに対する登録は、そのサイトが要求する通常の方法で実施されることができる。一般的に、この種の登録は基本的識別情報(例えば名前、アドレス、ユーザ名、年齢、ID番号、その他)を提供することをユーザに要求し、それは、専用のアプリケーションを用いて認証サーバに登録するプロセスにおいて、ユーザが認証サーバに提供した識別情報であるというわけでは必ずしもない(および実際、それが異なることが推奨される)。
サイトに対するユーザの登録プロセスにおいて、ユーザが本発明に従う認証方法を用いることを選択するときに、または、サイトがそれを要求する場合、サイトは、そのサイトと彼の通信装置を関連づけることをユーザに要求する。たとえばサーバに対するサイトの登録のプロセスにおいて認証サーバによってそれに割り当てられた、かつ、通信装置を用いて取得されなければならない、一意のサイトキーを含むサイトデータをユーザに提示することによって、これが達成されることができる。一旦通信装置がサイトデータを取得したならば、それは認証サーバに専用のアプリケーションによって伝達される。認証サーバは、次いでサイトに対してユーザの通信装置(およびユーザ)を関連づけてかつサイトによって保存される共通通信キーを生成し、かつそれ以後、認証サーバを通してユーザに対応するときにサイトによって用いられる。
次に、ユーザがサイトにアクセスすることを試みるときに、サイトが共通通信キーを認証サーバに送信し、および通信装置の実際の本当の一意の識別情報を知っている認証サーバが、適切な通信装置に確認リクエストを(例えばプッシュメッセージとして)送信する。(おそらく正規ユーザである)通信装置の所持者が、専用のアプリケーションによってリクエストを確認することを促される。その確認は、認証サーバに対する通信装置上の専用のアプリケーションによる通信であり、および、サーバは、通信装置が実際にそのユーザと関連することを検証すると、そのユーザをサイトに対して認証する。
この認証を受信すると、サイトはそのサイトでのユーザアクセスまたはアクションの実行を許可する。
この認証を受信すると、サイトはそのサイトでのユーザアクセスまたはアクションの実行を許可する。
本発明のいくつかの実施態様において、時間限定される一時キー(例えば一意の識別子)の使用が、セキュリティを増大するために含まれることができる。
本発明の実施態様に従う認証方法を用いることは、サイトおよびユーザの両方からの独立識別検証に対する必要性を作り出すことによって第三者によるセキュリティ違反のリスクを減少させる。
本発明の実施態様に従って、ユーザは、いつでも、別の通信装置を登録することによって彼の登録された通信装置を置換することができる。新規の装置が登録されるときに、以前に登録された装置は未登録になる。
本発明の他の実施態様において、ユーザは複数の通信装置を登録するかまたはすでに登録されたものに新規の通信装置を追加することができる。いくつかの実施態様において、ユーザは認証アクションのために彼の登録された通信装置のどちらか1台を用いることができる。他のいくつかの実施態様において、ユーザは、単一認証アクションのために彼の登録された通信装置の2台以上を用いることを、要求されるかまたは選択することができる。
モバイル機器一意識別情報はたとえば、プッシュサービス、NFC一意識別情報、MACアドレス、UDID、IMEI番号、その他と関連する一意識別情報であることができる。
本発明のいくつかの実施態様に従って、人間のユーザの介入なしで、モバイル機器一意識別情報が自動的に取得されることができる。これはたとえば、実行されるときに、個人通信装置(また本出願で「ハンドセット」と称する)内に埋め込まれるモバイル機器一意識別情報にアクセスするように設計される個人通信装置上に指定されたアプリケーションをインストールすることによって達成されることができ、かつ、最初は登録のために、かつその後は検証のためにモバイル機器一意識別情報を転送する。
本発明のいくつかの実施態様に従って、リモートサイトにアクセスすることを試みるユーザの認証を容易にするために、認証サービスが提供されることができる。
本発明のいくつかの実施態様において、ユーザからまたはサイトから独立である認証実体によって、認証サービスが運営されることができる。例えば、認証実体は認証モジュールの形で具体化されることができ、それは1つ以上の通信ネットワーク(例えばインターネット、モバイル通信ネットワーク)を介してサイトおよびユーザと通信するように設計されている。
本発明のいくつかの実施態様に従って、ユーザは、指定されたアプリケーション(以下「アプリケーション」と称する)をユーザの自由に出来る個人通信装置(以下簡潔さのために「ハンドセット」と称する)上にインストールすることによって認証モジュールによって提供される認証サービスに登録することができる。本発明のいくつかの実施態様においてハンドセットがそのユーザが所有しているものであるか、または、ユーザが、ハンドセットの登録ユーザであることが要求されることができる。
初期の場合に実行されるときに、アプリケーションが、個人識別情報(例えばユーザ名、パスワード、電子メールアドレス)を提供することによってユーザがサービスに登録することを許可することができる。登録の際にアプリケーションは、1つ以上のセキュリティキーをハンドセットに割り当てることができる。前記1つ以上のセキュリティキーは、本発明のいくつかの実施態様に従って、たとえば、各ハンドセットに一意の(およびしたがって、異なるハンドセット間の区別を可能にする)モバイル機器識別情報を含む第1のキーを備えることができる。本発明のいくつかの実施態様において、セキュリティキーはさらにそのハンドセットに一意的に割り当てられる第2の一意キーを含むことができる。ハンドセットの登録情報(例えばその一意的に関連づけられたセキュリティキー)が保存されてかつユーザとそれを関連づける認証モジュールによってアクセスされることができる。本発明の実施態様に従ってハンドセットの登録が、(例えばインターネットにアクセスするための携帯通信ネットワークを用いてインターネットを介して)ハンドセット間の通信接続を用いて実行されることができる。
本発明の実施態様に従って、ユーザの登録に関係なく、サイトオペレータは認証サービスにサイトを登録することができる。サイトの登録プロセスにおいてそれは、1つ以上のセキュリティキー、例えばサイトトークンおよび接続トークンを備える。サイトトークンは、サイトの所有者またはオペレータを識別するように設計されていることができる。本発明のいくつかの実施態様において、サイトの所有者またはオペレータが、認証サービスのための複数のサイトにリンクされることができる。接続キーが、特定のサイトを一意的に識別するために用いられることができる。
本発明のいくつかの実施態様に従ってサイトがさらに、トークンを含んでかつサイトの動作環境に適合するように設計されるコンピュータ実行可能コードを備えることができる。サイトは、さらにクロスドメイン動作を容易にするプロキシコード(ファイル)を備えることができる。コードは次いで、サイト内に(例えばサイトの登録ページにおよびログインページに)組み込まれることができる。
ユーザは、通信ネットワーク(例えばインターネット)を介してサイトと通信することができるステーション(例えば端末、PC)を用いてリモートサイトにアクセスすることができる。ユーザが認証サービスに登録されているリモートサイトに登録することを望むときに、本発明の実施態様に従って、サイトが、個人識別情報とユーザを関連づけることを含む初期登録プロセスを要求することができる(例えば、認証モジュールにおいてそのユーザと関連づけられる個人識別情報と異なることができるユーザ名、パスワード)。そのサイトに対するユーザの登録プロセス中に、サイトはユーザセキュリティキーをユーザに提示するために認証モジュールに対する呼出しを生成し、例えば別々のウィンドウ内のユーザのディスプレイ装置上で(ローカルに、ユーザのステーションで)(例えば、プロキシコードによって活性化されるクロスドメイン技術を使用して)ユーザにそれを表示する。セキュリティコードは、認証モジュール(例えばサイトトークンおよび接続トークン)、同じく第3のセキュリティコード、すなわちアタッチキーによってサイトに割り当てられたセキュリティコードを含むことができる。第3のコードは、ハンドセットに一意的に提示するように設計され、ユーザのハンドセットとの接続を認証する。一般的に、第3のコード(アタッチコード)は短期間の間有効な一時的コードである。この短期間はたとえば、クロスドメインウィンドウがユーザに表示される時間であることができる。クロスドメインウィンドウが表示されるたびに、異なるアタッチキーが生成される。
クロスドメインウィンドウ内に提示される3つのセキュリティコードは、バーコードの形で提供されることができる。バーコードはたとえば、一次元バーコード(例えば線形バーコード)または二次元バーコード(マトリクスバーコード、例えばクイックレスポンス(QR)コード)であることができる。
本発明の実施態様に従ってユーザは、クロスドメインウィンドウ内のバーコードにハンドセットのカメラを向けて、バーコードの画像を取得することができる。例えば、アプリケーションがユーザにスクリーンの方へハンドセットのカメラを向けることを促すことができ、およびカメラがバーコードに向けられていることが見いだされると画像の取得が自動的に実行される。代わりとして、ユーザがカメラを作動させてかつバーコードの画像を取得することを促されることができる。
3つのキーをバーコードに埋め込むことは、盗み見からキーを隠すことを可能にし、かつ、好まれるが、本発明のいくつかの実施態様においてユーザが手動でスマートフォンにキーを入力することができるように、キーが隠されることなく提示されることができる。画像提示の他の形がさらに可能であることができ、それがハンドセットのカメラによって画像を取得してかつ画像処理(例えばOCR)を用いてキー情報を抽出することを含む。
アプリケーションは、3つのコードをバーコードから抽出してかつ、サイトとハンドセットを関連づけるために、認証モジュールに読み出されたコードを伝達する。3つの伝達されたキーが、認証モジュールにおいて受信される時にそれらが有効であると見いだされる場合、ユーザが、ユーザのハンドセットによってサイトと関連づけられ、および、第4のキー、すなわち秘密トークンが認証モジュールによって生成される。認証モジュールは、サイトに2つのキー、すなわちアタッチトークンおよび秘密トークンを伝達し、それが、サイトによって保存されてかつ、次にユーザがサイトにアクセスすることを試みる時の将来の参照のために、そのユーザに対する登録レコード内のユーザと関連づけられる。
第3のコード(アタッチコード)が登録プロセス中にステーションのメモリ内に実質的に長い時間の間残り、および、悪意のあるスパイウェアがこのコードを把握してアクションを確認するようにアプリケーションを操ることができるので、追加的な第4のコード(秘密コード)の使用が有利であることができる。これが起こるのを防止するために、本発明の実施態様に従って、第三者の悪意のあるコードによるコード(キー)の把握のリスクを解消するかまたは少なくとも大いに減少させるために、クロスドメインウィンドウが閉じられる直前(例えばクロスドメインウィンドウが閉じられる0.01秒前)に、第4のコード(キー)(秘密コード(キー))が生成されてサイトに伝達されることができる。
本発明の実施態様に従う認証サービスを用いてサイトに登録したユーザがサイトを次に訪問するとき、かつユーザが(ログインを実行するために)そのサイトに登録される個人識別情報を提供した後に、サービスに対するサイトの登録でサイトに割り当てられた2つのセキュリティキー(例えばサイトトークンおよび接続トークン)およびサイトにおけるそのユーザの登録レコード内に識別されたユーザと関連するアタッチトークンを含む認証モジュールに対して、サイトが認証リクエストを発行する。認証モジュールは、次に、ハンドセットに伝達される一時的確認キーを含む確認リクエストを生成する。一時的確認キーの使用は、認証モジュールだけが、どのサイトおよびユーザがその特定のアクションに対する認証を要求するかを知ることを容易にし、一方、サイトはハンドセットのモバイル機器識別情報についての何の知識も持たない。
ハンドセット上で動作しているアプリケーションは、次いで確認命令を入力することによって、例えば、確認スクリーンを提示して(例えばプッシュメッセージ)かつキーを押すか、またはさもなければアプリケーションに確認命令を受信させるようにハンドセットを動作させるようユーザに要求することによって、アクションを確認することをユーザに促すことができる。
ユーザがハンドセットに確認命令を入力する場合、確認メッセージがその時認証モジュールに伝達されることができ、それが次に認証リクエストでサイトによって送信されたアタッチトークンに対応する秘密トークンを送信する。確認プロキシスクリーンが次いで閉じられ、認証モジュールが、ユーザの秘密トークンをサイトにおけるそのユーザの登録情報に対する検証のためにサイトに送信することができる。
ハンドセットを用いてユーザがアクションを確認することなしには、アクションは認証モジュールによってサイトに認可されない。
上記のプロセスが、サイトにアクセスすることを試みるユーザの認証を参照するとはいえ、理解されるべきことは、認証方法(および対応するシステム)が、本発明の実施態様に従って、認証を要求する様々なアクション(例えばサイトにアクセスすること、サイトから秘密の情報を読み出すこと、取引を実行すること、クレジットカードに課金すること、その他)と関連して用いられることができるということである。
ここで、図を参照する。
図1は、本発明の実施態様に従って、サイトにおいてユーザを認証するための方法100を例示する。
方法100が、認証モジュールにユーザおよびそのユーザと関連する前記少なくとも1台の通信装置を登録して、一意のハードウェア識別情報によって少なくとも1台の通信装置の各々を識別するステップ102、および認証モジュールにサイトを登録するステップ104を含むことができる。登録の順序は、重要でない。
方法100は、認証モジュールによってサイトとユーザおよび
彼の(または彼女の)1台以上の通信装置を関連づけるステップ106を更に含むことができる。これは、ユーザと彼の通信装置との間の関連が認証モジュールにとって公知であることを意味する。方法100が、認可モジュールによってサイトからそのユーザと関連する通信装置まで確認リクエストを送信することによってアクションを確認することをユーザに要求するステップ108、および前記少なくとも1台の通信装置から確認を受信すると、サイトに対してユーザを認可するステップ110をさらに含むことができる。
彼の(または彼女の)1台以上の通信装置を関連づけるステップ106を更に含むことができる。これは、ユーザと彼の通信装置との間の関連が認証モジュールにとって公知であることを意味する。方法100が、認可モジュールによってサイトからそのユーザと関連する通信装置まで確認リクエストを送信することによってアクションを確認することをユーザに要求するステップ108、および前記少なくとも1台の通信装置から確認を受信すると、サイトに対してユーザを認可するステップ110をさらに含むことができる。
図2Aは、本発明の実施態様に従う認証サービスに対するユーザおよび彼の通信装置の登録を例示する。
認証サービスを購読したいサーバ232上にホストされるサイト233(以下に−「サイト」と称する)の所有者またはオペレータが、本発明の実施態様に従って、(例えばリモートサーバ上でまたはローカル装置において)認証モジュール228でこのサービスに登録することができ、それで2つの個人キー−両方ともそのサイトに対して一意の、サイトトークンおよび接続トークンがサイトに対して認証モジュール228によって発行される。たとえば、サイト233は次のコンピュータ実行可能コードのキーを受信することができる:
<script src=“http://securepush.com/cdn/securepush−register.js”
type−“text/JavaScript”></script>
<input type=“hidden”id=“QVR−SITE−ID”value=“B3C1211C−758C−48FF−9010−9AD7C36368D9”/>
<input type=“hidden”id=“QVR−CONNECTION−TOKEN”value=“6A17D7D2−708A−42EA−9722−B6F6A7212847”/>
<input type=“hidden”id=“QVR−LANG”value=“en”/>
<script src=“http://securepush.com/cdn/securepush−register.js”
type−“text/JavaScript”></script>
<input type=“hidden”id=“QVR−SITE−ID”value=“B3C1211C−758C−48FF−9010−9AD7C36368D9”/>
<input type=“hidden”id=“QVR−CONNECTION−TOKEN”value=“6A17D7D2−708A−42EA−9722−B6F6A7212847”/>
<input type=“hidden”id=“QVR−LANG”value=“en”/>
(2つの個人コードの例が、太字で示されている)
サイト233を閲覧するときに、彼のステーション220(例えば端末、PC)でユーザのディスプレイ上で認証モジュール228から情報のクロスドメイン表示を容易にするプロキシファイルを、サイト233がさらに備えていることができる。
コードは次いで、サイト233の適切なページ内に(一般的に登録およびログインページ内に)埋め込まれることができる。
多要素認証サービスに登録することを望むユーザが、個人通信装置、例えばスマートフォン202のようなハンドセットを持つことを要求される。スマートフォン202は、通信ネットワーク204上で動作していてかつそれ経由で通信している。ソフトウェアアプリケーション、ハードウェアアプリケーションまたは両方の組合せであることができる認証アプリケーション211が、スマートフォン202上にインストールされる。アプリケーション211は、最初にスマートフォンのメーカ、遠隔通信サービスプロバイダによってそこでスマートフォン202内にインストールされることができるか、またはユーザによってダウンロードされて装置上にインストールされることができる。
認証アプリケーション211をインストールすると、ユーザは少しの識別詳細、例えばユーザ名、パスワードおよび電子メールアドレスを提供することによって初期登録を実行することを促されることができる。登録は、ユーザによって提供された電子メールアドレスに確認を送信することによって検証されることができ、したがって、パスワードが忘れられた場合、後の時間でユーザによるパスワードの読出しを容易にする。登録プロセス中にスマートフォンは、スマートフォン202内に埋め込まれてかつハンドセットを明確に一意的に識別するモバイル機器識別情報212を送信することによって登録される。
通信ネットワーク224(例えばインターネット)を介してローカルステーション(例えば端末、PC)220によってサイトにアクセスすることによって、サーバ232上にホストされる、認証されたアクセスが要求されるサイト233をユーザが訪問するときに、ユーザは、(好ましくはユーザが認証サービスに登録するために用いた同じものでない)ユーザ名およびパスワードを選ぶことによってサイトに最初に登録することができる。ユーザに、次いで登録の可能性を提示するか、または本発明の実施態様に従う多要素認証サービスに登録することを要求することができる。このサービスを要求すると、サーバ232上にホストされるサイト233が、認証モジュール228に(例えば通信ネットワーク224を介して)リクエストを伝達する。認証モジュール228は、ユーザのステーション220のローカルディスプレイ上の帰属スクリーン218によって(例えば、クロスドメイン技法を使用して)、ユーザに提示することができ、そこにおいて、サイトに割り当てられた2つのキー(例えばサイトトークンおよび接続トークン、その両方が一般的に永続的なキーである)、同じく特定の時間で認証モジュール228によって発行され、かつ、それが規定された時間の間有効なままである第3のユーザ特定個人キー(例えば一般的に一時キーであるアタッチキー)が提示される。本発明のいくつかの実施態様に従って3つのキーが、バーコード219の形でユーザに提示されることができる。バーコード219はたとえば、一次元バーコード(例えば線形バーコード)または二次元バーコード(マトリクスバーコード、例えばクイックレスポンス(QR)コード)であることができる。
ユーザは、(例えば、スマートフォン202のディスプレイ210を用いて)バーコード219が(例えば、クロスドメイン通信技術を用いて)サイト233で認証モジュール228によって提示され、かつ、(ユーザがカメラを作動させることによって、またはバーコード219が、スマートフォン202上でアプリケーション211によって自動的に識別される時に、のどちらかで)画像が取得されることができる帰属スクリーンにスマートフォン202のカメラ208を向けるよう促されることができる。アプリケーション211は、3つのキーを読み出すためにバーコード219の取得した画像を処理することができ、かつ通信リンクを介して(一般的に、スマートフォンがそれに登録される通信ネットワーク経由で、かつ、サイトが通信するインターネットのようなネットワークを介して)3つのコードを認証モジュール228に送信する。3つのキーが認証モジュール228で保存されているキーとマッチする場合、その時第4のキー(サイトに対するスマートフォンの最終の帰属のための帰属キーである秘密キー)が認証モジュール228によって生成され、かつアタッチキーおよび秘密キーがサイト233に伝達され、そこでそれらがユーザと関連する将来の参照のために保持される。
図2Bは、本発明の実施態様に従って、サイトにおいてアクションを実行することを試みる登録ユーザの認証を例示する。
サイト233(例えばローカルまたはリモートサイト)でアクションを実行しようと試みている登録ユーザが、サイト233でそれによってユーザが識別される個人識別情報(登録情報)を最初に供給する。次に、サイト233は次いでプロキシ確認スクリーン250がステーション220のディスプレイ上で認証モジュール228によって提示されることを要求することができ、それによってスマートフォンを用いてアクションを確認することをユーザに促す。本発明の他の実施態様では、この種の何の確認スクリーン250もステーション220のディスプレイ上に提示されない。サイト233は、サイトトークンおよび接続トークン、同じくサイト233で認証を要求するユーザと関連するアタッチトークンを認証モジュール228に送信する。
認証モジュール228は、次いで一時キーを確認用のスマートフォン202およびユーザに送信する。(例えば、スマートフォン202のディスプレイ210上に表示される促されたメッセージ252を用いて)そうするよう促されると、ユーザはその時アクションを確認することができる。確認メッセージが、認証モジュール228に伝達され、かつその確認の受取りの際に、ユーザの認証を要求すると、サイト233によって送信されたアタッチトークンと関連する秘密トークンを読み出し、かつサイトに秘密トークンを送信し、秘密トークンが、ユーザとサイト233で実際に関連づけられることをサイトが検証することを可能にする。
本発明の実施態様に従ってユーザを認証するための方法が、前記少なくとも1台の個人通信装置の1台以上の位置を判定するステップおよびその位置が1つ以上のゾーン内にあることを検証するステップを含むことができる。これらのゾーンは、ユーザが中にいると想定されるゾーンを含むことができる。
アクションを確認することをユーザに要求するステップおよびユーザを認証するステップが、いくつかの実施態様において時間制限を受けることができる。
現時点で、クレジットカードはシングルユーザだけによって用いられるように設計されている。取引認可をその組織の数人の幹部が法的に要求する組織においてさえ、クレジットカードを用いるときにこの方針を強要することは不可能である。
本発明の実施態様は、複数のユーザによる認可を要求するアクションの実行を容易にすることができる。例えば、本発明は認可が数人のユーザから要求される預金口座でのまたはクレジットカードでの取引を容易にするために用いられることができる。
複数の認可役員が取引を認可することを要求する認可方針を有する組織に対して、銀行が新規のクレジットカードを発行するかまたは新規の預金口座を開くときに、銀行は、本発明の実施態様に従って、取引を認可することを要求される認可役員の各々が彼(女)らの通信装置で登録することを要求することができる。例えば、各認可役員は1台以上の通信装置に彼自身(または彼女自身)を関連づけることを要求される。
図3は、本発明の実施態様に従って、サイトにおいて複数のユーザによって単一アクションを認可するための方法を例示する。
方法300が、認可モジュールに各ユーザおよびそのユーザと関連する通信装置(1台以上)を登録して、一意のハードウェア識別情報によって通信装置の各々を識別するステップ302を含むことができる。方法300は、認可モジュールによってサイトとユーザの各々およびそのユーザと関連する通信装置を関連づけるステップ304をさらに含むことができる。方法300は、認可モジュールによってサイトからユーザの各々と関連する通信装置まで確認リクエストを送信することによってアクションを確認することをユーザの各々に要求するステップ306をさらに含むことができる。方法300は、そのアクションを認可することを要求される全てのユーザの通信装置から確認を受信すると、アクションを認可するステップ308を更に含むことができる。
図4は、本発明の実施態様に従って、サイトにおいて複数のユーザによって単一アクションを認可するためのシステム400を例示する。
クリアリングハウス414(例えばクレジットカードクリアリングハウスまたはバンキングクリアリングハウス)が、クライアントのためになされる取引(例えば、会社、協会、未成年者または保護下の人として法定制約を受ける私人、その他)が一団の人々、例えば共同経営会社の共同経営者、会社の幹部、未成年者およびその未成年者の1人か2人の親、1人以上の後見人の保護下の人およびこれらの後見人)によって認可されることを要求することができる。
例えば、会社の秘書404ならびに2人の幹部406および408が、その取引を確認して完了するために、クリアリングハウス414によって取引を認可することを要求される。
最初に、彼(女)ら自身および彼(女)らの通信装置を登録することによって本発明の実施態様に従って、アクションを認可することを要求される人々が認可サービスに登録し、それで、これらの人々の各々およびその人の所有の1台以上の通信装置が認可手順を管理する認可モジュールで関連づけられる。通信装置は、これらの装置を一意的に識別する一意のハードウェア識別情報を用いて識別される。
例えば、先におよび添付の図(図2Aを参照)内に記述された登録方法が、用いられることができる。
たとえば、預金口座を開くときに、またはクレジットカードを申し込むときに、取引を認可することを要求される人々の各々が、専用のアプリケーションをその人の通信装置上にインストールし、かつ、先に記述された登録方法と同様に、例えば人々の各々に提示されることができてその人の個人通信装置のカメラによって取得されることができる一意QRコードを用いて、その人の個人通信装置と各人を関連づけることを要求されることができる。取引を認可することを要求される人々の数および彼(女)らの識別が、記録されて保存される。
本発明に従って、クリアリングハウス414がさらに認可サービスに登録することができる。
人々(以下に−ユーザ、404、406および408)の登録情報および彼(女)らの関連づけられた個人通信装置404a、406aおよび408a)、同じく、クリアリングハウス414の登録詳細が(本発明の実施態様に従う認可方法を管理する認可モジュールをホストする)認可サーバ416によって保存されて用いられる。
秘書404が、リモートショッピングサイト412にネットワーク401を介して接続されるローカルステーション410を用いて閲覧することができる。サイト412で購入をすることを決定すると、秘書は、取引詳細、例えば購入されるべき品目、輸送方法、配送用の住所およびクレジットカード詳細を入力する420。
ショッピングサイト412は、クリアリングハウス414に取引詳細を伝達し422、次に確認リクエスト424を認可サーバ416に送信する。認可サーバ416は、取引を認可することを要求される適切な人々(この例では404、406および408)を決定し、確認リクエスト(426a、426bおよび426c)をこれらのユーザと関連する個人通信装置(404a、406aおよび408a)に送信する。各ユーザは次いで、彼の(または彼女の)個人通信装置上で動作する専用のアプリケーションによって、キーを押すかまたはさもなければ確認を入力することによって取引を確認することを促されることができる。取引を認可することを要求された全てのユーザ(例えば404、406および408)からの確認(428a、428bおよび428c)が認可サーバで受信されるときにだけ、認可連絡430がクリアリングハウス414に転送され、それが次いでショッピングサイト412に対する取引を確認する432。確認メッセージ434(例えばインボイスまたは受取り)が次いで、秘書ステーション410に伝達されることができる。
図5は、本発明の実施態様に従って、リモートネットワークにアクセスすることを試みる登録ユーザの認証を例示する。
図5内に例示される例ではそのスマートフォン202が認証サーバ228に登録されている登録ユーザが、パーソナルコンピュータ220を用いてリモートネットワーク534の装置532にアクセスすることを望む。スイッチ536が、さらに認証サーバ228に登録され、かつそのユーザおよび彼の/彼女のスマートフォン202と関連づけられる。登録ユーザは、最初に、たとえばRDP(リモートデスクトッププロトコル)、FTP(ファイル転送プロトコル)アクション等を実行するために、ユーザがスイッチ536で識別される個人識別情報(登録情報)を供給する。
次に、スイッチ536が認証サーバ228に、認証リクエストをユーザのスマートフォン202に送信させることができる。確認を提供すると、ユーザのコンピュータ220は、リモートネットワーク534の装置532へのアクセスが許可される。
本発明の他の実施態様では、この種の確認スクリーン250はステーション220のディスプレイ上に提示されない。サイト233は、サイトトークンおよび接続トークン、同じくサイト233で認証を要求するユーザと関連するアタッチトークンを認証モジュール228に送信する。
認証モジュール228は、次いで一時キーを確認用のスマートフォン202およびユーザに送信する。(例えば、スマートフォン202のディスプレイ210上に表示される促されたメッセージ252を用いて)そうすることを促されると、ユーザはその時アクションを確認することができる。確認メッセージが、認証モジュール228に伝達され、かつその確認の受取りで、ユーザの認証を要求すると、サイト233によって送信されたアタッチトークンと関連する秘密トークンを読み出して、秘密トークンをサイトに送信し、秘密トークンがユーザとサイト233で実際に関連づけられていることをサイトが検証することを可能にする。
本発明の実施態様に従ってユーザを認証するための方法が、前記少なくとも1台の個人通信装置の1台以上の位置を判定するステップおよび、その位置が1つ以上のゾーン内にあることを検証するステップを含むことができる。これらのゾーンは、ユーザがその中にいると想定されるゾーンを含むことができる。
アクションを確認することをユーザに要求するステップおよびユーザを認証するステップが、いくつかの実施態様において時間制限、例えば確認リクエストがユーザの個人通信装置に送信された後、ユーザの認証がその中で完了される時間ウィンドウを受けることができる。
本発明の実施態様に従ってサイトにおいて複数のユーザによって単一アクションを認可するための方法が、(例えば装置内部GPSまたは他の位置判定方法を用いて)アクションを認可することを要求されるユーザの個人通信装置の1台以上の位置を判定するステップおよびその位置が1つ以上のゾーン内にあることを検証するステップを含むことができる。たとえば、これらのゾーンは、ユーザがたとえば、(サイトがユーザの1人以上によって物理的にアクセスされる物理的販売地点、すなわちPOSである場合)取引のサイトの近くのような、中にいると公知であるか、または想定される場所であることができる。
本発明の実施態様に従って、認可モジュールがクリアリングハウスから遠隔のサーバ上に位置することができる。他の実施態様において、認可モジュールがクリアリングハウスでローカルサーバ上に位置することができる。
本発明の実施態様に従って、アクションを確認することを各ユーザに要求するステップおよびアクションを認可するステップが、時間制限を受ける。
本発明の態様が、システム、方法またはコンピュータプログラム製品の形で具体化されることができる。同様に、本発明の態様がハードウェア、ソフトウェアまたは両方の組合せとして具体化されることができる。本発明の態様が、その上に具体化されるコンピュータ可読プログラムコードの形の1つ以上の非一時的コンピュータ可読メディア(または複数メディア)上に保存されるコンピュータプログラム製品として具体化されることができる。この種の非一時的コンピュータ可読メディアが、実行される時、プロセッサに本発明の実施態様に従う方法ステップを実行させる命令を含むことができる。本発明のいくつかの実施態様においてコンピュータ可読メディアに格納される命令が、インストールされたアプリケーションの形であり、およびインストールパッケージの形であることができる。
例えば、コンピュータ可読メディアが非一時的コンピュータ可読記憶メディアであることができる。たとえば、非一時的コンピュータ可読記憶メディアが、電子、光学、磁気、電磁、赤外または半導体システム、器具もしくは装置またはその任意の組合せであることができる。
コンピュータプログラムコードが、任意の適切なプログラミング言語で書き込まれることができる。プログラムコードは、単一コンピュータ上でまたは複数のコンピュータ上で実行することができる。
本発明の態様が、本発明の実施態様に従う方法、システムおよびコンピュータプログラム製品を表す流れ図および/またはブロック図を参照して、上に記述されている。
202 スマートフォン
204 通信ネットワーク
208 カメラ
210 ディスプレイ
211 認証アプリケーション
212 モバイル機器識別情報
218 帰属スクリーン
219 バーコード
220 ステーション
224 通信ネットワーク
228 認証モジュール
232 サーバ
233 サイト
250 プロキシ確認スクリーン
252 メッセージ
400 システム
401 ネットワーク
404 秘書
406、408 幹部
404a、406a、408a 個人通信装置
410 ステーション
412 ショッピングサイト
414 クリアリングハウス
416 認可サーバ
424 確認リクエスト
426a、426b、426c 確認リクエスト
428a、428b、428c 確認
430 認可連絡
434 確認メッセージ
532 装置
534 リモートネットワーク
536 スイッチ
204 通信ネットワーク
208 カメラ
210 ディスプレイ
211 認証アプリケーション
212 モバイル機器識別情報
218 帰属スクリーン
219 バーコード
220 ステーション
224 通信ネットワーク
228 認証モジュール
232 サーバ
233 サイト
250 プロキシ確認スクリーン
252 メッセージ
400 システム
401 ネットワーク
404 秘書
406、408 幹部
404a、406a、408a 個人通信装置
410 ステーション
412 ショッピングサイト
414 クリアリングハウス
416 認可サーバ
424 確認リクエスト
426a、426b、426c 確認リクエスト
428a、428b、428c 確認
430 認可連絡
434 確認メッセージ
532 装置
534 リモートネットワーク
536 スイッチ
Claims (20)
- サイトにおいて複数のユーザによって単一アクションを認可するための方法であって、前記方法が:
認可モジュールに前記複数のユーザの各ユーザおよびそのユーザと関連する少なくとも1台の個人通信装置を登録して、一意のハードウェア識別情報によって前記少なくとも1台の個人通信装置の各々を識別する、ステップ;
前記認可モジュールによって前記サイトと前記複数のユーザの各ユーザおよびそのユーザと関連する前記少なくとも1台の個人通信装置を関連づけるステップ;
前記認可モジュールによって前記サイトからそのユーザと関連する前記少なくとも1台の個人通信装置まで確認リクエストを送信することによって前記アクションを確認することを前記複数のユーザの各ユーザに要求するステップ;および、
そのアクションを認可することを要求される前記複数のユーザの全てのユーザの前記個人通信装置からの確認を受信すると、前記アクションを認可するステップを含む方法。 - 前記認可モジュールに前記サイトを登録するステップを含む請求項1に記載の方法。
- 前記複数のユーザの各々の前記個人通信装置内に専用のアプリケーションをインストールするステップを含む請求項1に記載の方法。
- 前記少なくとも個人通信装置の前記少なくとも1台が、携帯電話を備えることを特徴とする請求項1に記載の方法。
- 前記携帯電話が、スマートフォンを備えることを特徴とする請求項4に記載の方法。
- 前記少なくとも1台の個人通信装置の1台以上の位置を判定するステップ、およびその位置が1つ以上のゾーン内にあることを検証するステップを更に含む請求項1に記載の方法。
- 前記1つ以上のゾーンが、前記複数のユーザの1人以上がその中にいると想定されるゾーンを含むことを特徴とする請求項6に記載の方法。
- 前記アクションを確認することを各ユーザに要求するステップおよび前記アクションを認可するステップが、時間制限を受けることを特徴とする請求項1に記載の方法。
- サイトにおいてユーザを認証するための方法であって、前記方法が:
認証モジュールに前記ユーザおよびそのユーザと関連する少なくとも1台の個人通信装置を登録して、一意のハードウェア識別情報によって前記少なくとも1台の個人通信装置の各々を識別するステップ;
前記認証モジュールに前記サイトを登録するステップ;
前記認証モジュールによって前記サイトと前記ユーザおよび前記少なくとも1台の個人通信装置を関連づけるステップ;
前記認証モジュールによって前記サイトからそのユーザと関連する前記個人通信装置まで確認リクエストを送信することによって前記アクションを確認することを前記ユーザに要求するステップ;および、
前記少なくとも1台の個人通信装置からの前記確認を受信すると、前記ユーザを認証するステップを含む方法。 - 前記ユーザを認証するステップが、前記少なくとも1台の個人通信装置の2台以上の個人通信装置からの前記確認を受信するステップを含むことを特徴とする請求項9に記載の方法。
- 前記少なくとも1台の個人通信装置を置換する前記認可モジュールにそのユーザと関連する新規の個人通信装置を登録するステップを更に含む請求項9に記載の方法。
- 前記ユーザと関連しているべきことが前記サイトに公知であり、かつ前記認証モジュールにとって公知であり、かつ前記サイトおよび前記認証モジュールの両方によって用いられる共通キーを用いるステップを含む請求項9に記載の方法。
- 前記サイトと前記認証モジュールとの間の、および前記少なくとも1台の通信装置と前記認証モジュールとの間の通信中に1つ以上の一時キーを用いるステップを更に含む請求項9に記載の方法。
- 前記認証モジュールに前記サイトを登録するステップを含む請求項9に記載の方法。
- 専用のアプリケーションを前記少なくとも1台の個人通信装置上にインストールするステップを含む請求項9に記載の方法。
- 前記少なくとも1台の個人通信装置が、少なくとも1台の携帯電話を備えることを特徴とする請求項9に記載の方法。
- 前記少なくとも1台の携帯電話が、少なくとも1台のスマートフォンを備えることを特徴とする請求項9に記載の方法。
- 前記少なくとも1台の個人通信装置の1台以上の位置を判定するステップ、およびその位置が1つ以上のゾーン内にあることを検証するステップを更に含む請求項9に記載の方法。
- 前記1つ以上のゾーンが、前記ユーザがその中にいると想定されるゾーンを含むことを特徴とする請求項18に記載の方法。
- 前記アクションを確認することを前記ユーザに要求するステップおよび前記ユーザを認証するステップが、時間制限を受けることを特徴とする請求項18に記載の方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/221,626 | 2011-08-30 | ||
| US13/221,626 US9256724B2 (en) | 2011-08-30 | 2011-08-30 | Method and system for authorizing an action at a site |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2014531070A true JP2014531070A (ja) | 2014-11-20 |
Family
ID=47745669
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014527812A Pending JP2014531070A (ja) | 2011-08-30 | 2012-08-29 | サイトにおけるアクションを認可するための方法およびシステム |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US9256724B2 (ja) |
| EP (1) | EP2751733B1 (ja) |
| JP (1) | JP2014531070A (ja) |
| CA (1) | CA2847099A1 (ja) |
| MX (1) | MX342852B (ja) |
| WO (1) | WO2013030836A1 (ja) |
| ZA (1) | ZA201401515B (ja) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140053252A1 (en) * | 2012-08-14 | 2014-02-20 | Opera Solutions, Llc | System and Method for Secure Document Distribution |
| US20140090039A1 (en) * | 2012-09-24 | 2014-03-27 | Plantronics, Inc. | Secure System Access Using Mobile Biometric Devices |
| GB2500823B (en) * | 2013-03-28 | 2014-02-26 | Paycasso Verify Ltd | Method, system and computer program for comparing images |
| US20150026351A1 (en) * | 2013-07-19 | 2015-01-22 | Bank Of America Corporation | Online session transfer |
| US9578062B2 (en) * | 2014-04-03 | 2017-02-21 | Palo Alto Research Center Incorporated | Portable proxy for security management and privacy protection and method of use |
| US9477852B1 (en) | 2014-07-24 | 2016-10-25 | Wells Fargo Bank, N.A. | Augmented reality numberless transaction card |
| US9679152B1 (en) | 2014-07-24 | 2017-06-13 | Wells Fargo Bank, N.A. | Augmented reality security access |
| US20170187726A1 (en) * | 2015-12-24 | 2017-06-29 | Zeta (Better World Technology Pvt. Ltd.) | Cross-domain message authentication |
| CN105915551B (zh) * | 2016-06-22 | 2019-09-20 | 武汉青禾科技有限公司 | 一种基于移动端底层的实名制验证方法以及通讯运营商实名制验证方法 |
| US12021861B2 (en) * | 2021-01-04 | 2024-06-25 | Bank Of America Corporation | Identity verification through multisystem cooperation |
| CN114338633B (zh) * | 2021-12-27 | 2023-11-10 | 济南超级计算技术研究院 | 一种远程连接Linux服务器的方法及系统 |
| US20250021986A1 (en) * | 2023-07-12 | 2025-01-16 | Truist Bank | Contactless access to service devices to facilitate secure transactions |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010506312A (ja) * | 2006-10-06 | 2010-02-25 | エフエムアール エルエルシー | 確実なマルチチャンネル認証 |
| US20100211997A1 (en) * | 2008-12-26 | 2010-08-19 | Mcgeehan Ryan | Authenticating user sessions based on reputation of user locations |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7613659B1 (en) * | 1994-11-28 | 2009-11-03 | Yt Acquisition Corporation | System and method for processing tokenless biometric electronic transmissions using an electronic rule module clearinghouse |
| US20030149600A1 (en) * | 2000-04-21 | 2003-08-07 | Eckert Seamans Cherin And Mellott Llc | Reservation entry method and system |
| US7100049B2 (en) * | 2002-05-10 | 2006-08-29 | Rsa Security Inc. | Method and apparatus for authentication of users and web sites |
| US7653602B2 (en) * | 2003-11-06 | 2010-01-26 | Visa U.S.A. Inc. | Centralized electronic commerce card transactions |
| JP4898219B2 (ja) | 2005-12-28 | 2012-03-14 | パナソニック株式会社 | 電子機器の認証についての識別管理システム |
| US8312523B2 (en) * | 2006-03-31 | 2012-11-13 | Amazon Technologies, Inc. | Enhanced security for electronic communications |
| US9911114B2 (en) * | 2006-07-06 | 2018-03-06 | Qualcomm Incorporated | Methods and systems for making a payment via a stored value card in a mobile environment |
| US8611928B1 (en) | 2006-08-23 | 2013-12-17 | Aol Inc. | Location-based parental controls |
| US8261334B2 (en) * | 2008-04-25 | 2012-09-04 | Yodlee Inc. | System for performing web authentication of a user by proxy |
| US20110010415A1 (en) * | 2009-07-13 | 2011-01-13 | Hitachi, Ltd. | Personal information bank system |
| US8769784B2 (en) * | 2009-11-02 | 2014-07-08 | Authentify, Inc. | Secure and efficient authentication using plug-in hardware compatible with desktops, laptops and/or smart mobile communication devices such as iPhones |
| US8566233B2 (en) * | 2010-07-29 | 2013-10-22 | Intel Corporation | Device, system, and method for location-based payment authorization |
| US20130005352A1 (en) * | 2011-06-30 | 2013-01-03 | Motorola Mobility, Inc. | Location verification for mobile devices |
| US20130046689A1 (en) * | 2011-08-16 | 2013-02-21 | Bank Of America Corporation | System and Method for Facilitating Transactions |
| US20130046692A1 (en) * | 2011-08-19 | 2013-02-21 | Bank Of America Corporation | Fraud protection with user location verification |
-
2011
- 2011-08-30 US US13/221,626 patent/US9256724B2/en not_active Expired - Fee Related
-
2012
- 2012-08-29 CA CA 2847099 patent/CA2847099A1/en not_active Abandoned
- 2012-08-29 MX MX2014002399A patent/MX342852B/es active IP Right Grant
- 2012-08-29 EP EP12827718.3A patent/EP2751733B1/en not_active Not-in-force
- 2012-08-29 JP JP2014527812A patent/JP2014531070A/ja active Pending
- 2012-08-29 WO PCT/IL2012/050334 patent/WO2013030836A1/en not_active Ceased
-
2014
- 2014-02-27 ZA ZA2014/01515A patent/ZA201401515B/en unknown
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010506312A (ja) * | 2006-10-06 | 2010-02-25 | エフエムアール エルエルシー | 確実なマルチチャンネル認証 |
| US20100211997A1 (en) * | 2008-12-26 | 2010-08-19 | Mcgeehan Ryan | Authenticating user sessions based on reputation of user locations |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2751733B1 (en) | 2018-07-25 |
| MX342852B (es) | 2016-10-14 |
| EP2751733A1 (en) | 2014-07-09 |
| MX2014002399A (es) | 2015-04-14 |
| WO2013030836A1 (en) | 2013-03-07 |
| CA2847099A1 (en) | 2013-03-07 |
| ZA201401515B (en) | 2016-03-30 |
| US9256724B2 (en) | 2016-02-09 |
| US20130055356A1 (en) | 2013-02-28 |
| EP2751733A4 (en) | 2015-05-06 |
| WO2013030836A8 (en) | 2014-04-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11405380B2 (en) | Systems and methods for using imaging to authenticate online users | |
| US12126613B2 (en) | System and method for pre-registration of FIDO authenticators | |
| EP2751733B1 (en) | Method and system for authorizing an action at a site | |
| CN102763115B (zh) | 通过读取按照设备可读形式提供的地址来进行设备配对 | |
| US10469490B2 (en) | Methods and systems for providing FIDO authentication services | |
| JP6648110B2 (ja) | クライアントをデバイスに対して認証するシステム及び方法 | |
| TWI635409B (zh) | 判定認證能力之查詢系統、方法及非暫態機器可讀媒體 | |
| US20140223520A1 (en) | Guardian control over electronic actions | |
| CN103380592B (zh) | 用于个人认证的方法、服务器以及系统 | |
| CN113474774A (zh) | 用于认可新验证器的系统和方法 | |
| CN103119975B (zh) | 用户账户恢复 | |
| CN105229596A (zh) | 高级验证技术和应用 | |
| US20170331821A1 (en) | Secure gateway system and method | |
| WO2023288037A1 (en) | Device and systems for remotely provisioning sim profile with strong identity and strong authentication | |
| KR20250099091A (ko) | 온라인 서비스 서버와 클라이언트 간의 상호 인증 방법 및 시스템 | |
| KR101879843B1 (ko) | Ip 주소와 sms를 이용한 인증 방법 및 시스템 | |
| US10205745B2 (en) | Method for addressing, authentication, and secure data storage in computer systems | |
| KR101879842B1 (ko) | Otp를 이용한 사용자 인증 방법 및 시스템 | |
| KR20090006815A (ko) | 고객 인증처리 방법 | |
| KR20070077484A (ko) | 정보처리방법 | |
| KR20070076577A (ko) | 기록매체 | |
| KR20070077485A (ko) | 기록매체 | |
| KR20070076578A (ko) | 기록매체 | |
| KR20070077483A (ko) | 결제처리방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150828 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20151102 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160830 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160831 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20161128 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20161130 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20170425 |