(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024046644
(43)【公開日】2024-04-03
(54)【発明の名称】認証の方法及びシステム
(51)【国際特許分類】
G06F 21/41 20130101AFI20240327BHJP
【FI】
G06F21/41
【審査請求】有
【請求項の数】20
【出願形態】OL
【外国語出願】
(21)【出願番号】P 2023156535
(22)【出願日】2023-09-21
(31)【優先権主張番号】17/950,357
(32)【優先日】2022-09-22
(33)【優先権主張国・地域又は機関】US
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.WINDOWS
2.HDMI
(71)【出願人】
【識別番号】519448326
【氏名又は名称】コニカ ミノルタ ビジネス ソリューションズ ユー.エス.エー., インコーポレイテッド
(74)【代理人】
【識別番号】110001254
【氏名又は名称】弁理士法人光陽国際特許事務所
(72)【発明者】
【氏名】ソリアノ, ランディ クルス
(72)【発明者】
【氏名】バドリ, サブラマンヤム
(57)【要約】 (修正有)
【課題】Webアプリケーションにアクセスするためのユーザー認証方法及びシステムを提供する。
【解決手段】方法は、プロセッサによって、1つまたは複数のリライングパーティーアプリケーションへのアクセス要求とともに、ユーザーのユーザー識別子と生体認証識別子を受信し、プロセッサによって、1つ又は複数のリライングパーティーアプリケーションへのアクセス要求に伴う、ユーザーのユーザー識別子と生体認証識別子を検証し、プロセッサによって、外部の信頼できるソースからユーザーの認証トークンを取得し、プロセッサによって、外部の信頼できるソースから取得されたユーザーの認証トークンを1つ又は複数のリライングパーティーアプリケーションに転送し、プロセッサ上で、1つ又は複数のリライングパーティーアプリケーションから、ユーザーが1つ又は複数のリライングパーティーアプリケーションにアクセスするための認証を受信する。
【選択図】
図4
【特許請求の範囲】
【請求項1】
Webアプリケーションにアクセスするためのユーザー認証方法であって、
プロセッサによって、1つまたは複数のリライングパーティーアプリケーションへのアクセス要求とともに、ユーザーのユーザー識別子と生体認証識別子を受信することと、
前記プロセッサによって、前記1つまたは複数のリライングパーティーアプリケーションへのアクセス要求に伴う、前記ユーザーの前記ユーザー識別子と前記生体認証識別子を検証することと、
前記プロセッサによって、外部の信頼できるソースから前記ユーザーの認証トークンを取得することと、
前記プロセッサによって、前記外部の信頼できるソースから取得された前記ユーザーの前記認証トークンを前記1つまたは複数のリライングパーティーアプリケーションに転送することと、
前記プロセッサ上で、前記1つまたは複数のリライングパーティーアプリケーションから、前記ユーザーが前記1つまたは複数のリライングパーティーアプリケーションにアクセスするための認証を受信することと、を備える方法。
【請求項2】
前記認証トークンが、前記ユーザーが前記1つまたは複数のリライングパーティーアプリケーションにアクセスするために、常に前記外部の信頼できるソースから取得される、請求項1に記載の方法。
【請求項3】
前記プロセッサがIDサービスプロバイダと通信している場合は、前記認証トークンが前記外部の信頼できるソースから取得され、IDサービスプロバイダとは通信していない場合は、前記IDサービスプロバイダが前記認証トークンを提供するよう構成されている、請求項1に記載の方法。
【請求項4】
前記プロセッサによって、前記外部の信頼できるソースの前記認証トークンを、所定の時間経過後または前記ユーザーによる所定回数のログイン後に、更新された認証トークンに置き換えること、を更に備える、請求項1に記載の方法。
【請求項5】
前記外部の信頼できるソースから前記ユーザーの認証トークンを取得できない場合、
前記プロセッサによって、IDサービスプロバイダからの前記ユーザーの更新済み認証トークンを要求することと、
前記プロセッサによって、前記IDサービスプロバイダから前記ユーザーの前記更新済み認証トークンを受信することと、
前記プロセッサによって、前記ユーザーの前記更新済み認証トークンを前記外部の信頼できるソースに転送することと、を更に備える、請求項1に記載の方法。
【請求項6】
前記ユーザーの前記認証トークンは、前記プロセッサを伴うコンピュータシステムのユーザーブラウザのキャッシュから取得されない、請求項1に記載の方法。
【請求項7】
前記外部の信頼できるソースは、セキュアコンテナである、請求項1に記載の方法。
【請求項8】
前記セキュアコンテナは、ユニバーサルシリアルバス(USB)デバイス、またはセキュアデジタル(SD)カードである、請求項6に記載の方法。
【請求項9】
前記外部の信頼できるソースは、セキュア外部ドライブである、請求項1に記載の方法。
【請求項10】
前記プロセッサによって、生体認証装置から前記生体認証識別子を受信することを更に備え、
前記生体認証装置は、センサ、走査装置又は電子リーダの1つまたは複数を含み、前記生体認証識別子は、前記ユーザーの少なくとも1つの生理的特徴であって、前記少なくとも1つの生理的特徴は、指紋、手のひら静脈、顔認識、DNA(デオキシリボ核酸)、掌紋、掌形、虹彩認識、網膜および/または臭気/芳香の1つまたは複数から選択される、請求項1に記載の方法。
【請求項11】
前記生体認証装置は、前記処理サーバをホストするよう構成された第2のモバイル装置と通信するよう構成されている第1のモバイル装置である、請求項10に記載の方法。
【請求項12】
前記プロセッサによって、前記ユーザーの期間設定をするアプリケーションから前記外部の信頼できるソースへの期間設定および前記ユーザーの前記外部の信頼できるソースへのログイン回数のログイン設定の1つまたは複数を取得することであって、前記期間設定または前記ログイン設定が、前記ユーザーの前記期間設定または前記ログイン設定に基づいて、前記外部の信頼できるソースの前記認証トークンの有効性を決定し、
前記期間設定または前記ログイン設定を、前記ユーザーが超過していない場合に、前記プロセッサによって、前記信頼できるソースに前記ユーザーの前記認証トークンを転送することと、を更に備える、請求項1に記載の方法。
【請求項13】
前記プロセッサは多機能周辺装置の一部であって、
前記プロセッサによって、前記多機能周辺装置へのアクセスと、前記外部の信頼できるソースからの前記ユーザーの認証トークンを取得及び前記1つまたは複数のリライングパーティーアプリケーションへのアクセスとのための前記ユーザーの多要素認証のため、前記ユーザーから1つまたは複数の追加認証要素を要求すること、を備える、請求項1に記載の方法。
【請求項14】
Webアプリケーションにアクセスするためのユーザー認証のコンピュータプログラムプロダクトであって、
その中に実施するプログラム命令を有する非一時的なコンピュータ可読ストレージ媒体を備え、前記プログラム命令はコンピュータによって実行可能であって、前記コンピュータに、
1つまたは複数のリライングパーティーアプリケーションへのアクセス要求とともに、ユーザーのユーザー識別子と生体認証識別子を受信することと、
前記1つまたは複数のリライングパーティーアプリケーションへの前記アクセス要求に伴う、ユーザーの前記ユーザー識別子と前記生体認証識別子を検証することと、
外部の信頼できるソースからユーザーの認証トークンを取得することと、
前記外部の信頼できるソースから取得された前記ユーザーの前記認証トークンを前記1つまたは複数のリライングパーティーアプリケーションに転送することと、
前記1つまたは複数のリライングパーティーアプリケーションから、ユーザーが前記1つまたは複数のリライングパーティーアプリケーションにアクセスするための認証を受信することと、
を備える方法を実行させる、コンピュータプログラムプロダクト。
【請求項15】
前記認証トークンが、前記ユーザーが前記1つまたは複数のリライングパーティーアプリケーションにアクセスするために、常に前記外部の信頼できるソースから取得される、請求項14に記載のコンピュータプログラムプロダクト。
【請求項16】
前記プロセッサがIDサービスプロバイダと通信している場合は、前記認証トークンが前記外部の信頼できるソースから取得され、IDサービスプロバイダとは通信していない場合は、前記IDサービスプロバイダが前記認証トークンを提供するよう構成されている、請求項14に記載のコンピュータプログラムプロダクト。
【請求項17】
前記外部の信頼できるソースの前記認証トークンを、所定の時間経過後または前記ユーザーによる所定回数のログイン後に、更新された認証トークンに置き換えること、を更に備える、請求項14に記載のコンピュータプログラムプロダクト。
【請求項18】
前記外部の信頼できるソースから前記ユーザーの認証トークンを取得できない場合、
IDサービスプロバイダからの前記ユーザーの更新済み認証トークンを要求することと、
前記IDサービスプロバイダから前記ユーザーの前記更新済み認証トークンを受信することと、
前記ユーザーの前記更新済み認証トークンを前記外部の信頼できるソースに転送することと、を更に備える、請求項14に記載のコンピュータプログラムプロダクト。
【請求項19】
Webアプリケーションにアクセスするためのユーザー認証システムであって、
1つまたは複数のリライングパーティーアプリケーションへのアクセス要求とともに、ユーザーのユーザー識別子と生体認証識別子を受信し、
前記1つまたは複数のリライングパーティーアプリケーションへのアクセス要求に伴う、前記ユーザーの前記ユーザー識別子と前記生体認証識別子を検証し、
外部の信頼できるソースから前記ユーザーの認証トークンを取得し、
前記外部の信頼できるソースから取得された前記ユーザーの前記認証トークンを前記1つまたは複数のリライングパーティーアプリケーションに転送し、
前記1つまたは複数のリライングパーティーアプリケーションから、前記ユーザーが前記1つまたは複数のリライングパーティーアプリケーションにアクセスするための認証を受信するよう構成されたプロセッサを備える、システム。
【請求項20】
前記認証トークンが、前記ユーザーが前記1つまたは複数のリライングパーティーアプリケーションにアクセスするために、常に前記外部の信頼できるソースから取得される、請求項19に記載のシステム。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、Webアプリケーションにアクセスするためのユーザー認証方法およびシステムに関する。
【背景技術】
【0002】
シングルサインオン(SSO)は、ユーザーが1セットのログイン認証情報で複数のアプリケーションにアクセスできる認証プロセスである。たとえば、シングルサインオンは、クライアントがローカルエリアネットワーク(LAN)に接続された複数のリソースにアクセスする、企業で一般的な手順である。
【0003】
シングルサインオン(SSO)は、IDプロバイダ(IdPまたはIDP)を使用して実行でき、IDプロバイダは、プリンシパルのID情報を作成、維持、および管理し、フェデレーションまたは分散ネットワーク内のリライングアプリケーションに認証サービスを提供するシステムエンティティになることができる。IDプロバイダ(IdP)は、ユーザー認証をサービスとして提供する。Webアプリケーションなどのリライングパーティーアプリケーションは、ユーザー認証ステップを信頼できるIDプロバイダに委託する。このようなリライングパーティーアプリケーションはフェデレーションと呼ばれ、つまりフェデレーションIDを使う。
【発明の概要】
【発明が解決しようとする課題】
【0004】
IDプロバイダは、たとえば、システムがシングルサインオン(SSO)を使用して他のウェブサイトにアクセスできる信頼できるプロバイダとなり得る。さらに、シングルサインオン(SSO)により、ユーザーが複数のWebアプリケーションにアクセスする際に呼び出す必要のあるパスワードの数を減らすなど、ユーザビリティを強化できる。さらに、IDプロバイダ(IdP)はセキュリティを提供することができ、クラウドコンピューティングリソースとユーザー間の接続を容易にし、モバイルおよびローミングアプリケーションを使用する際にユーザーが再認証する必要性を減らすことができる。しかし、何らかの理由でIDプロバイダ(IdP)が利用できない場合、ユーザーはWebアプリケーションとそれに対応するリソースにアクセスできなくなり、不便なだけでなく、例えば金銭的な損失も生じる可能性がある。
【課題を解決するための手段】
【0005】
従って、IDプロバイダ(IdP)が利用可能な場合でも、外部の信頼できるソースから常に認証トークンを取得することで、IDプロバイダ(IdP)の可用性に依存しないWebアプリケーションのユーザー認証の方法とシステムが望ましい。
【0006】
一実施形態によれば、Webアプリケーションにアクセスするためのユーザー認証方法であって、プロセッサによって、1つまたは複数のリライングパーティーアプリケーションへのアクセス要求とともに、ユーザーのユーザー識別子と生体認証識別子を受信することと、前記プロセッサによって、前記1つまたは複数のリライングパーティーアプリケーションへのアクセス要求に伴う、前記ユーザーの前記ユーザー識別子と前記生体認証識別子を検証することと、前記プロセッサによって、外部の信頼できるソースから前記ユーザーの認証トークンを取得することと、前記プロセッサによって、前記外部の信頼できるソースから取得された前記ユーザーの前記認証トークンを前記1つまたは複数のリライングパーティーアプリケーションに転送することと、前記プロセッサ上で、前記1つまたは複数のリライングパーティーアプリケーションから、前記ユーザーが前記1つまたは複数のリライングパーティーアプリケーションにアクセスするための認証を受信することと、を備える。
【0007】
一実施形態によれば、Webアプリケーションにアクセスするためのユーザー認証のコンピュータプログラムプロダクトであって、その中に実施するプログラム命令を有する非一時的なコンピュータ可読ストレージ媒体を備え、前記プログラム命令はコンピュータによって実行可能であって、前記コンピュータに、1つまたは複数のリライングパーティーアプリケーションへのアクセス要求とともに、ユーザーのユーザー識別子と生体認証識別子を受信することと、前記1つまたは複数のリライングパーティーアプリケーションへの前記アクセス要求に伴う、ユーザーの前記ユーザー識別子と前記生体認証識別子を検証することと、外部の信頼できるソースからユーザーの認証トークンを取得することと、前記外部の信頼できるソースから取得された前記ユーザーの前記認証トークンを前記1つまたは複数のリライングパーティーアプリケーションに転送することと、前記1つまたは複数のリライングパーティーアプリケーションから、ユーザーが前記1つまたは複数のリライングパーティーアプリケーションにアクセスするための認証を受信することと、を備える方法を実行させる。
【0008】
一実施形態によれば、Webアプリケーションにアクセスするためのユーザー認証システムであって、1つまたは複数のリライングパーティーアプリケーションへのアクセス要求とともに、ユーザーのユーザー識別子と生体認証識別子を受信し、前記1つまたは複数のリライングパーティーアプリケーションへのアクセス要求に伴う、前記ユーザーの前記ユーザー識別子と前記生体認証識別子を検証し、外部の信頼できるソースから前記ユーザーの認証トークンを取得し、前記外部の信頼できるソースから取得された前記ユーザーの前記認証トークンを前記1つまたは複数のリライングパーティーアプリケーションに転送し、前記1つまたは複数のリライングパーティーアプリケーションから、前記ユーザーが前記1つまたは複数のリライングパーティーアプリケーションにアクセスするための認証を受信するよう構成されたプロセッサを備える。
【0009】
上記の概要及び下記の詳細な説明は、いずれも例示的及び説明的なものであり、クレームされた発明の更なる説明を行うものであると解すべきである。
【図面の簡単な説明】
【0010】
【
図1】
図1は、既知のシステムにおけるユーザーのオンライン認証を行うシステムの図である。
【
図2】
図2は例示的実施形態におけるユーザーの認証を行うシステムの図である。
【
図3A】
図3Aは、
図2に示す実施形態におけるユーザー認証のフローチャートである。
【
図3B】
図3Bは、
図2に示す実施形態におけるユーザー認証のフローチャートである。
【
図4】
図4は、実施形態におけるWebアプリケーションにアクセスするためのユーザー認証のフローチャートである。
【
図5】
図5は、コンピュータシステムの実施形態のハードウェアアーキテクチャの例示的図である。
【発明の詳細な説明】
【0011】
本発明の好適な実施形態を、添付の図面を参照して詳細に説明する。可能な限り、図面や明細書では同じ参照番号を使用して、同じものまたは類似の部品を指す。
【0012】
図1は、既知のシステムにおけるユーザー102のオンライン認証を行うシステム100の図である。システム100は、例えば、1つまたは複数のコンピュータシステム110、120、130を含み得る。1つまたは複数のコンピュータシステム110、120、130は、例えば、パーソナルコンピュータ、家庭またはオフィス内のホームセキュリティまたはオフィスのセキュリティシステム、サーバ、スマートフォン、スマートタブレット、カメラ、ルーター、医療機器または装置、印刷機、プリントサーバ、プリンタなどで使用できる印刷データを生成することができる多機能周辺装置(MFP)である。
【0013】
1つまたは複数のコンピュータシステム110、120、130には、プロセッサまたは中央処理装置(CPU)、およびソフトウェアプログラムとデータを格納するための1つまたは複数のメモリを含み得る。プロセッサまたはCPUは、コンピュータプログラムの命令を実行し、1つまたは複数のコンピュータシステム110、120、130の装置の機能の少なくとも一部を操作および/または制御する。1つまたは複数のコンピュータシステム110、120、130には、コンピュータのハードウェアを管理し、さまざまなソフトウェアプログラムを効率的に実行するための共通サービスを提供するオペレーティングシステム(OS)を含めることもできる。例えば、ソフトウェアプログラムには、例えば、認証モジュールおよび/または生体認証識別子を管理するためのアプリケーションソフトウェア、および/または、例えば、コンピュータシステム110のような、1つまたは複数のコンピュータシステム110、120、130のためのプリンタドライバソフトウェアを含むことができる。
【0014】
コンピュータシステム110は、多機能周辺装置(MFP)またはプリンタであり、通信ネットワーク140を介してコンピュータシステム120、130に接続できる。多機能周辺装置(MFP)は、少なくともコピー機能、画像読取機能、ファクシミリ(FAX)機能、プリンタ機能を含み得、例えばコンピュータシステム110から受信した多機能周辺装置の印刷ジョブ(印刷命令)に基づいてシート上に画像を形成する。
【0015】
例えば、コンピュータシステム110は、医療機器または医療装置であって、例えば、診断および/または治療目的で使用することができる。医療機器または医療装置の例としては、例えば放射線画像、血管撮影画像、超音波画像、および/または断層画像を得ることができる医用画像装置を含み得る。或いは、例えばコンピュータシステム130のような、1つまたは複数のコンピュータシステム110、120、130は、例えば、バックエンドデータベース、またはエンタープライズデータベースシステムであり得、例えば1つまたは複数のコンピュータシステム110、120を介して、外部アプリケーションを通じて間接的に1人または複数のユーザーがアクセスすることができる。
【0016】
図1に示すように、システム100は、例えば、コンピュータシステム130でホストされている1つまたは複数のWebアプリケーションのような、1つまたは複数のリライングパーティーアプリケーション132にアクセスする既知の方法における、ユーザー102のオンライン認証に使用することができる。1つまたは複数のリライングパーティーアプリケーション132には、たとえばGoogle Workspace(旧G Suite)などのWebアプリケーションおよび/または、Salesforce、Microsoft365、Boxが提供するWebアプリケーションを含み得る。
【0017】
1つまたは複数のコンピュータシステム110、120、130が通信ネットワーク140を介して接続されている。通信ネットワーク140は、例えば有線又は無線の従来型ネットワークを含み、スター型構成、トークンリング型構成、その他の既知の構成等、任意の数の構成を有し得る。通信ネットワーク140は、1つまたは複数のローカルエリアネットワーク(LAN)、ワイドエリアネットワーク(WAN)(インターネットなど)、仮想プライベートネットワーク(VPN)、ピアツーピアネットワーク、ニアフィールドネットワーク(Bluetooth(R)など)、セルラーネットワーク(3G、4G、5G、その他の世代など)、および/または複数のコンピューティングノードが通信する可能性のあるその他の相互接続されたデータパスを含み得る。
【0018】
データは、例えば、さまざまなインターネット層、トランスポート層、またはアプリケーション層プロトコルを含むさまざまな異なる通信プロトコルを使用して、1つまたは複数のコンピュータシステム110、120、130の間で暗号化または非暗号化の形で転送され得る。例えば、伝送制御プロトコル/インターネットプロトコル(TCP/IP)、ユーザーデータグラムプロトコル(UDP)、伝送制御プロトコル(TCP)、ハイパーテキスト転送プロトコル(HTTP)、セキュアハイパーテキスト転送プロトコル(HTTPS)、動的適応ストリーミングオーバーHTTP(DASH)、リアルタイムストリーミングプロトコル(RTSP)、リアルタイム転送プロトコル(RTP)およびリアルタイム転送制御プロトコル(RTCP)、ファイル転送プロトコル(FTP)、WebSocket(WS)、ワイヤレスアクセスプロトコル(WAP)、各種メッセージングプロトコル(SMS、MMS、XMS、IMAP、SMTP、POP、WebDAVなど)、または他の既知のプロトコルを使用して、ネットワーク140を介して1つ以上のコンピュータシステム110、120、130の間でデータを転送することができる。
【0019】
図1に示すように、ユーザー102は、たとえばシングルサインオン(SSO)認証スキームを使用して認証できる。ユーザー102がコンピュータシステム110によって認証されると、第1のステップ(1)において、コンピュータシステム110は、コンピュータシステム130にホストされている、1つまたは複数のリライングパーティーアプリケーション132、例えば、1つまたは複数のWebアプリケーションへのアクセスを要求することができる。コンピュータシステム130は要求を受信し、ステップ2では、コンピュータシステム120でホストされているIDプロバイダ122を介してユーザー102のユーザーまたはデジタルIDを認証するために、要求をコンピュータシステム110にリダイレクトする。コンピュータシステム110は、リダイレクトされた要求を受信し、認証要求を、例えば、コンピュータシステム120がホストするIDプロバイダ(IdP)122に転送する。
図1に示すように、コンピュータシステム120は、1人または複数のユーザー102のデジタルIDを保存および管理するように構成されたIDプロバイダ(IdP)122となり得る。ステップ4では、IDプロバイダ(IdP)122は、たとえばユーザー名とパスワードの組み合わせや、生体認証要素を含むその他の要素を介して、オーセンティケーターによってユーザー102のIDを確認できる。さらに、IDプロバイダ(IdP)122は、例えばコンピュータシステム110、140のように、ネットワークまたはシステムに接続されている任意のエンティティを認証することができる。特に、IDプロバイダ(IdP)122は、クラウドコンピューティング環境でユーザーIDの管理に使用できる。
【0020】
一実施形態によれば、ユーザー102、または、ユーザー102およびコンピュータシステム110がIDプロバイダ(IdP)122によって認証されている場合、IDプロバイダ(IdP)122に関連付けられたコンピュータシステム120は、ユーザー102および/またはユーザー102およびコンピュータシステム110に対して、ステップ4の認証トークン(例えば、ユーザーIDおよび認証クッキー150を含むことができる)をコンピュータシステム110に送信できる。ステップ5では、コンピュータシステム110は、ウェブアプリケーション132をホストするコンピュータシステム130に認証トークン150を送信でき、ステップ6では、ユーザー102に関連付けられたコンピュータシステム110は、コンピュータシステム130でホストされている1つまたは複数のリライングパーティーアプリケーション132へのアクセスを受け取ることができる。
【0021】
図2は例示的実施形態においてユーザー102の認証を行うシステム200の図である。 上述のように、ユーザー102が、コンピュータシステム130にホストされている1つまたは複数のリライングパーティーアプリケーション132にアクセスすると、認証トークン150は、例えば、コンピュータシステム120にホストされているIDプロバイダ(IdP)122によって生成される。しかしながら、IDプロバイダ(IdP)122は、IDプロバイダ(IdP)122によって認証トークン150を生成することができないなど、到達できない可能性があり、したがって、ユーザー102および対応するコンピュータシステム110は、コンピュータシステム130でホストされている1つまたは複数のリライングパーティーアプリケーション132にアクセスできなくなる。
【0022】
図2に示すように、実施形態によれば、ユーザー102の演算装置110のウェブブラウザにユーザー識別クッキーと認証クッキーをキャッシュすると、認証要求をIDプロバイダ(IdP)122にリダイレクトすることなく、ユーザー102を識別することができる。 ただし、ユーザー識別クッキーおよび認証クッキーのキャッシュは、ユーザー102のコンピュータシステム110でキャッシュがクリアされない限り、有効ではない。従って、IDプロバイダ(IdP)122の状態とは無関係にユーザー102の認証を行う方法及びシステムを有し、かつ、その方法及びシステム200が、例えば、コンピュータシステム110が通信中又は接続されている外部の信頼できるソース210から常に認証トークン150を取得することが望ましい。
【0023】
システム200は、例えば、1つまたは複数のコンピュータシステム110、120、220、およびセキュアコンテナ210を含み得る。1つまたは複数のコンピュータシステム110、120、220は、例えば、パーソナルコンピュータ、家庭またはオフィス内のホームセキュリティまたはオフィスのセキュリティシステム、サーバ、スマートフォン、スマートタブレット、カメラ、ルーター、医療機器または装置、多機能周辺装置(またはプリンタ)、プリンタ、プリントサーバ、または多機能周辺装置(MFP)などで使用できる印刷データを生成することができる、これらに類するものである。一実施形態によれば、コンピュータシステム110、220の1つまたは複数は、ユーザー102を認証することができる、オーセンティケーターおよび/または生体認証識別子230を受信するための認証アプリケーション(又は認証モジュール)を少なくとも1つ含み得る。
【0024】
一実施形態によれば、オーセンティケーターは、例えばパスワードまたはパスコードの1つまたは複数と生体認証識別子230となり得る。例示的実施形態によれば、生体認証識別子230には、個人をラベル付けし、記述または識別するために使用する、特徴的で測定可能な特性を含めることができ、これには、人間の特性に関連するメトリックが含まれる。例えば、生体認証識別子230には、個人の生理的特徴を含み得、それらは、指紋、手のひら静脈、顔認識、DNA(つまり、デオキシリボ核酸)、掌紋、掌形、虹彩認識、網膜、および/または臭気/芳香を含むがこれらに限定されない。
【0025】
ユーザー102が認証されると、ユーザー102は、本明細書に開示されているコンピュータシステム110、120、130の1つまたは複数にアクセスすることができる。少なくとも1つの認証アプリケーションは、例えば、キーパッドを介し、ユーザー名とパスワード(パスワード)、および/または、センサ、スキャンデバイス、または、例えば、近接型カード、RFIDカード、スマートカード、ウェアラブル端末、RSAトークン、および/または生体認証識別子などデータの読み込みおよび/または取得可能な電子リーダーなどに対して、オーセンティケーターおよび/または生体認証識別子を受信するように構成できる。1つまたは複数のコンピュータシステム110、120、130は、ユーザー102が少なくとも1つのオーセンティケーターおよび/または生体認証識別子230を介してアクセスすることができ、好ましくは少なくとも2つ以上のオーセンティケーターおよび/または生体認証識別子230を介してアクセスすることができる。
【0026】
一実施形態によれば、コンピュータシステム110を家庭又はオフィスのセキュリティシステムに組み込むことができ、これには、例えば、建物への扉、家庭又はオフィスの床又は部屋、例えばエレベーターおよび/またはその他の安全な部屋を介して、家庭又はオフィスにアクセスするユーザー102を認証する方法又はシステムを含むことができる。また、ここで開示されている方法およびシステムは、ユーザーの自宅またはオフィス内のセキュリティシステム、コンピュータなどのデバイスのセキュリティ保護に使用することができる。
【0027】
セキュアコンテナ210は、例示的な実施形態によれば、例えば、実行可能なソフトウェアパッケージまたはアプリケーションであって、他のソフトウェアパッケージまたは1つまたは複数のコンピュータシステム110上で実行されるアプリケーションから隔離される。セキュアコンテナ210は、例えば、
図1に示すように、コンピュータシステム130から受信したユーザー識別および認証クッキー150といった認証トークンのコンテナ化(又はサンドボックス化)のために構成される。セキュアコンテナ210は、トラステッドプラットフォームモジュール(TPM)となり得、たとえば、セキュアな暗号プロセッサや、統合された暗号鍵によってハードウェアを保護する専用のマイクロコントローラなどである。一実施形態によれば、トラステッドプラットフォームモジュール(TPM)は標準に準拠したコンピュータチップであり得る。例えば、Windows11にはトラステッドプラットフォームモジュール2.0(TPM 2.0)が含まれており、例えばファームウェアやランサムウェア攻撃に対するセキュリティを強化する設計となっている。例示的な実施形態によれば、セキュアコンテナ210は、ユニバーサルシリアルバス(USB)ドライブまたはセキュアデジタル(SD)カードとなり得る。一実施形態によれば、セキュアコンテナは、保存データをUSBドライブまたはSDカードに書き込む前に暗号化し、読み取り後に復号化するUSBドライブまたはSDカードが望ましい。例えば、USBドライブやSDカードの暗号化と復号化には、対称暗号化アルゴリズム(AES、Twofish、Triple DESなど)と非対称暗号化アルゴリズム(RSAなど)を使用できる。別の実施形態によれば、セキュアコンテナ210は、セキュア外部ドライブとなり得る。例えば、セキュアコンテナ210は、モバイル機器やスマートフォンなどのコンピュータシステムであってもよい。
【0028】
一実施形態によれば、システム200は、ユーザー102のコンピュータシステム110内のセキュアコンテナ210内に認証トークン150を確保できるように構成することができる。ただし、ユーザー102のコンピュータシステム110内のセキュアコンテナ210内に認証トークン150を格納するのではなく、セキュアコンテナ210が外部ドライブであることが望ましい場合がある。
【0029】
一実施形態によれば、認証トークン150は、たとえば時間ベースの認証トークンとなり得、このトークンは、所定の期間後に
図1に示すように更新する必要がある。または、認証トークン150は、使用回数、または所定期間と使用回数またはログイン回数の組み合わせに基づいて更新を要求できる。さらに、認証トークン150は、認証トークン150を使用できる1つまたは複数のタイプのコンピュータシステム110の制限を含み得る。例えば、認証トークン150は、例えば、携帯端末やスマートフォンをコンピュータシステム110として利用することはできない。
【0030】
図2に示すように、ユーザー102は、例えば、コンピュータシステム110に少なくとも生体認証識別子を含むシングルサインオン(SSO)方式を使用し、認証される。たとえば、ユーザー102は、コンピュータシステム110へのアクセスを提供するモバイル機器など、コンピュータシステム220を介して認証され得る。あるいは、コンピュータシステム110によって、例えば、生体認証技術を用いたウェアラブルデバイス222を用いて、ユーザー102を認証することができる。生体認証技術は、例えば、各ユーザー102の身体的特徴(生体情報)に基づいて、その真正性を確認することを含み得る。例えば、ウェアラブルデバイス222の生体情報により、ユーザー固有の心電図によりユーザー本人を認証することができる。
【0031】
ここで開示されているように、ユーザー102がコンピュータシステム110によって認証されると、第1のステップ(1)160において、コンピュータシステム110は、セキュアコンテナ210から取得した認証トークン150で、コンピュータシステム130にホストされている、1つまたは複数のリライングパーティーアプリケーション132へのアクセスを要求することができる。コンピュータシステム130は、認証トークン150で要求を受信し、ステップ2、162では、ユーザー102に関連付けられたコンピュータシステム110は、コンピュータシステム130でホストされている1つまたは複数のWebアプリケーション132へのアクセスを受け取ることができる。一実施形態によれば、コンピュータシステム130は、もう1つのWebアプリケーション132を1つまたは複数のクラウドコンピュータに分散させるクラウドコンピューティング構成とすることができる。
【0032】
図3Aと3Bは、
図2に示す実施形態におけるユーザー102の認証のフローチャート300である。
図3Aと3Bに示すように、工程302から始まる。ステップ304では、ユーザー102が認証された後、例えば生体認証識別子330に基づいてコンピュータシステム110上でシングルサインオン(SSO)方式を用いて、コンピュータシステム110がセキュアコンテナ210に認証トークン150の認証要求を送信することができる。セキュアコンテナ210は、例えば通信プロトコルを介してコンピュータシステム110と通信することができ、および/またはセキュアコンテナ210をコンピュータシステム110に物理的に接続することができる。ステップ306において、コンピュータシステム110は、通信中又はコンピュータシステム110に接続されているセキュアコンテナ210から、認証トークン150を含むユーザー認証情報を取得する。ステップ308において、コンピュータシステム110は、ユーザー102のコンピュータシステム110内のセキュアコンテナ210から取得したユーザー認証情報と、あるいは、セキュアコンテナ210から取得したユーザー認証情報、例えば、USBドライブやSDドライブから取得したユーザー認証情報を判別する。たとえば、認証トークンを取得しようとするユーザー102のID確認には、ユーザー認証情報を使用して、ユーザーのID確認(ユーザーが誰であるかを証明)、認証(ユーザーが誰であると言われているユーザーであることを証明)、認可(ユーザーがしようとしていることが許可されていることを証明)を行うことができる。例えば、ユーザー認証情報は、2要素認証(2FA)または多要素認証(2FA)のための知識(ユーザー102だけが知っているもの)、所有(ユーザー102だけが持っているもの)、および固有性(ユーザー102だけであるもの)に基づいて、生体認証識別子330とユーザーIDなどの一意の識別子を組み合わせて、追加の認証係数を含めることができる。たとえば、追加の認証要素は、パスワードであったり、物理オブジェクトや環境に関する情報をユーザー102に要求したりすることができる。セキュアコンテナ210から取得した認証情報の検証の判定には、認証トークン150がまだ有効であるかどうか、および/または認証トークン150がコンピュータシステム130にホストされている1つまたは複数のリライングパーティーアプリケーション132へのアクセスをユーザー102に提供するかどうかの判定を含み得る。
【0033】
ステップ310において1つまたは複数のリライングパーティーアプリケーション132は、コンピュータシステム110から受信した認証トークンのユーザー認証情報を検証する。ユーザー認証情報が検証されると、ステップ312において、ユーザー102のコンピュータシステム110が、コンピュータシステム130にホストされている1つまたは複数のリライングパーティーアプリケーション132にアクセスできるようになる。一実施形態によれば、ステップ308において、コンピュータシステム110がユーザー認証情報が有効でないと判断した場合、プロセスはステップ314に進み、コンピュータシステム110がユーザーブラウザからユーザー情報を登録することができ、ステップ316において、コンピュータシステム110のブラウザからの認証要求がIDプロバイダ(IdP)122に送信される(
図1)。ステップ318では、ユーザー情報が正しければ、IDプロバイダ(IdP)122がユーザーのトークン(または認証トークン)150を生成し、コンピュータシステム110に送信する。ステップ320では、コンピュータシステムはユーザーのトークン(または認証トークン)150のユーザー情報が有効であるかどうかを判断する。ステップ320でユーザー情報が有効でない場合、プロセスは、ステップ314に戻る。ユーザー情報が有効な場合、プロセスはステップ322に進み、認証トークン150はセキュアコンテナ210に格納され、ユーザー認証はセキュアコンテナ210に設定および更新される。
【0034】
図4は、実施形態におけるWebアプリケーションにアクセスするためのユーザー認証の方法400のフローチャートである。
図4に示すように、方法400は、ステップ410において、1つまたは複数のリライングパーティーアプリケーション132へのアクセス要求とともに、ユーザー102のユーザー識別子と生体認証識別子230がプロセッサによって受信されることを含む。ステップ420では、ユーザー102のユーザー識別子と、生体認証識別子230が、1つまたは複数のリライングパーティーアプリケーション132へのアクセス要求に伴い、プロセッサによって検証される。ステップ430では、外部の信頼できるソース210からユーザー102の認証トークン150がプロセッサによって取得される。ステップ440では、外部の信頼できるソース210から取得したユーザー102の認証トークン150が、プロセッサによって1つまたは複数のリライングパーティーアプリケーション132に転送される。ステップ450では、ユーザー102が1つまたは複数のリライングパーティーアプリケーション132にアクセスするために1つまたは複数のリライングパーティーアプリケーション132からの認証がプロセッサ上で受信される。
【0035】
一実施形態によれば、認証トークン150が、外部の信頼できるソース210から常に取得されて、ユーザーが1つまたは複数のリライングパーティーアプリケーション132にアクセスすることができる。プロセッサがIDサービスプロバイダ122と通信している場合は、認証トークン150が外部の信頼できるソース210から取得され、IDサービスプロバイダ122とは通信していない場合は、IDサービスプロバイダ122が、認証トークン150を提供するように構成される。
【0036】
一実施形態によれば、プロセッサによって、外部の信頼できるソース210の認証トークン150を、所定の時間経過後またはユーザー102による所定回数のログイン後に、更新された認証トークンに置き換える方法を含む。一実施形態によれば、外部の信頼できるソース210からユーザーの認証トークン150を取得できない場合、プロセッサによって、ユーザー102の更新済み認証トークン152をIDサービスプロバイダ122から要求し、プロセッサによって、IDサービスプロバイダ122からユーザーの更新済み認証トークン152を受信し、プロセッサによって、ユーザー102の更新済み認証トークン152を外部の信頼できるソース210に転送する方法を含む。一実施形態によれば、方法200はさらに、例えば、必要に応じて、プロセッサがユーザー102に対して1つまたは複数のリライングパーティーアプリケーション132へのアクセスを要求し、プロセッサが1つまたは複数のリライングパーティーアプリケーション132からリダイレクション要求を受信して、ユーザー102に対して更新された認証トークン152をIDサービスプロバイダ122から取得することを含むことができる。
【0037】
一実施形態によれば、ユーザー102の認証トークン150は、プロセッサを伴うコンピュータシステムのユーザーブラウザのキャッシュから取得されない。外部の信頼できるソース210はセキュアコンテナになり得、たとえば、セキュアコンテナはユニバーサルシリアルバス(USB)デバイスやセキュアデジタル(SD)カードとなり得る。外部の信頼できるソース210は、セキュア外部ドライブとなり得る。
【0038】
一実施形態によれば、方法は、プロセッサによって、生体認証装置、例えばコンピュータシステム220から、生体認証識別子230を受信することを含み、生体認証装置は、センサ、走査装置又は電子リーダの1つまたは複数を含み、生体認証識別子は、ユーザーの少なくとも1つの生理的特徴であって、前記少なくとも1つの生理的特徴は、指紋、手のひら静脈、顔認識、DNA(デオキシリボ核酸)、掌紋、掌形、虹彩認識、網膜および/または臭気/芳香から選択される。
【0039】
一実施形態によれば、生体認証装置は、第1のモバイル装置であり、例えば、処理サーバをホストするように構成されたコンピュータシステム110といった第2のモバイル装置と通信するように構成された第1のモバイル装置である。
【0040】
一実施形態によれば、方法はさらに、プロセッサによって、ユーザーの期間設定をするアプリケーションから外部の信頼できるソース210への期間設定およびユーザーの外部の信頼できるソース210へのログイン回数のログイン設定の1つまたは複数を取得し、期間設定またはログイン設定が、ユーザー102の期間設定またはログイン設定に基づいて、外部の信頼できるソース210の認証トークン150の有効性を決定し、期間設定またはログイン設定を、ユーザー102が超過していない場合に、プロセッサによって、外部の信頼できるソース210にユーザー102の認証トークン150を転送することを更に含む。一実施形態によれば、アプリケーションでユーザーに対して外部の信頼できるソース210への期間設定を設定し、コンピュータシステム110上でユーザー102に対して、外部の信頼できるソース210へのログイン回数を設定する。
【0041】
一実施形態によれば、プロセッサは多機能周辺装置の一部であり、その方法は、プロセッサによって、多機能周辺装置へのアクセスと、外部の信頼できるソースからユーザーの認証トークンを取得及び1つまたは複数のリライングパーティーアプリケーション122へのアクセスとのためのユーザーの多要素認証のため、1つまたは複数の追加認証要素をユーザーに要求することを含む。
【0042】
図5は、代表的なコンピュータシステム500を図示しており、本開示の実施形態、又はその一部を、ハードウェア上で実行されるコンピュータ可読コードとして実装することができる。例えば、本書に開示されているユーザー認証の方法およびシステムに関連する1つまたは複数のコンピュータシステム110、120、130は、ハードウェア、ハードウェア上で実行されるソフトウェア、ファームウェア、命令が格納された非一時的なコンピュータ可読メディア、またはこれらの組み合わせを使用して、全部または一部がコンピュータシステム500によって実行され得、1つまたは複数のコンピュータシステムまたはその他の処理システムに実行され得る。ハードウェア、ハードウェア上で実行されるソフトウェア、またはこれらの組み合わせは、現在説明されている方法およびシステムの方法とステップを実行するために使用されるモジュールおよびコンポーネントを実施することができる。
【0043】
プログラマブルロジックを使用する場合、そのようなロジックは実行可能なソフトウェアコードによって構成された市販の処理プラットフォーム上で実行され、特定用途のコンピュータまたは特定用途のデバイス(例えば、プログラマブルロジックアレイ、特定用途向け集積回路など)となり得る。開示された主題の実施形態が、マルチコアマルチプロセッサシステム、ミニコンピュータ、メインフレームコンピュータ、分散機能でリンクまたはクラスタ化されたコンピュータ、そして事実上あらゆるデバイスに埋め込まれる可能性のあるパーベイシブまたはミニチュアコンピュータを含むさまざまなコンピュータシステム構成で実践できることを当業者はわかるであろう。例えば、少なくとも1つのプロセッサデバイスと1つのメモリを使用して、前述の実施形態を実施することができる。
【0044】
本書で説明するプロセッサユニットまたはデバイスは、単一のプロセッサ、複数のプロセッサ、またはこれらの組み合わせである。プロセッサデバイスは、1つまたは複数のプロセッサ「コア」を有し得る。本書で説明する「コンピュータプログラム媒体」、「非一時的なコンピュータ可読媒体」、「コンピュータ使用可能媒体」という用語は、一般にリムーバブル記憶装置518、リムーバブル記憶装置522、ハードディスクドライブ512に取り付けられているハードディスクなどの有形の媒体を指すために使用される。
【0045】
本開示の様々な実施形態は、この代表的なコンピュータシステム500に関して説明する。本明細書を読むと、他のコンピュータシステムおよび/またはコンピュータアーキテクチャを使用して現在の開示を実施する方法は、関連する技術の当業者にとって明白である。操作は逐次的なプロセスとして説明されるが、実際には、一部の操作は並行、同時、および/または分散環境で実行され、シングルプロセッサまたはマルチプロセッサマシンからのアクセス用にローカルまたはリモートにプログラムコードが格納されている。また、いくつかの実施形態では、開示された主題の精神から逸脱することなく、操作の順序を再構成してもよい。
【0046】
プロセッサデバイス504は、本書で説明する機能を実行するように特別に構成されたプロセッサデバイスであってよい。プロセッサデバイス504は、バス、メッセージキュー、ネットワーク、マルチコアメッセージパッシングスキームなどの通信インフラストラクチャ506に接続してもよい。ネットワークは、本明細書で開示されている機能を実行するのに適した任意のネットワークであり、ローカルエリアネットワーク(「LAN」)、ワイドエリアネットワーク(「WAN」)、ワイヤレスネットワーク(「Wi-Fi」)、モバイル通信ネットワーク、衛星ネットワーク、インターネット、光ファイバー、同軸ケーブル、赤外線、無線周波数(「RF」)、またはこれらの組み合わせを含み得る。その他の適切なネットワークの種類と構成は、関連する技術の当業者には明白である。コンピュータシステム500は、メインメモリ508(例えば、ランダムアクセスメモリ、読み取り専用メモリなど)を含み得、また、セカンダリメモリ510を含み得る。セカンダリメモリ510は、フロッピーディスクドライブ、磁気テープドライブ、光学ディスクドライブ、フラッシュメモリなどのハードディスクドライブ512とリムーバブル記憶ドライブ514を含み得る。
【0047】
リムーバブル記憶ドライブ514は、リムーバブル記憶装置518に対して、周知の方法で読み込みおよび/または書き込みを行うことができる。リムーバブル記憶装置518は、リムーバブル記憶ドライブ514によって読み書きされるリムーバブル記憶媒体を含み得る。例えば、リムーバブル記憶ドライブ514がフロッピーディスクドライブまたはユニバーサルシリアルバスポートである場合、リムーバブル記憶装置518はそれぞれフロッピーディスクまたはポータブルフラッシュドライブであってよい。一実施形態では、リムーバブル記憶装置518は、非一時的なコンピュータ可読記録媒体であってもよい。
【0048】
いくつかの実施形態では、セカンダリメモリ510は、例えば、リムーバブル記憶装置522とインターフェース520のように、コンピュータシステム500にコンピュータプログラムや他の命令をロードすることを可能にする代替手段を含み得る。そのような手段の例としては、関連する技術の当業者には明らかであるように、プログラムカートリッジとカートリッジインターフェース(例:ビデオゲームシステムに見られるもの)、リムーバブルメモリチップ(例:EEPROM、PROMなど)と関連するソケット、およびその他のリムーバブル記憶装置522とインターフェース520が含まれ得る。
【0049】
コンピュータシステム500に記憶されたデータ(例えば、メインメモリ508および/またはセカンダリメモリ510に記憶される)は、光記憶装置(例えば、コンパクトディスク、デジタル汎用ディスク、ブルーレイディスク)又は磁気記憶装置(例えば、ハードディスクドライブ)等の適切なコンピュータ可読媒体に記憶することができる。データは、リレーショナルデータベース、構造化照会言語(SQL)データベース、分散データベース、オブジェクトデータベースなど、あらゆる種類の適切なデータベース構成で構成できる。適切な構成とストレージの種類は、関連する技術の当業者には明白である。
【0050】
コンピュータシステム500は、通信インターフェース524をも含み得る。通信インターフェース524は、コンピュータシステム500と外部装置との間でソフトウェアおよびデータを転送できるように構成してもよい。例示的な通信インターフェース524は、モデム、ネットワークインターフェース(例:イーサネットカード)、通信ポート、PCMCIAスロット及びカード等を含み得る。通信インターフェース524を介して転送されるソフトウェアおよびデータは、信号形式であって、電子的、電磁的、光学的、または関連する技術の当業者に明白なその他の信号であってよい。信号は、通信経路526を介して伝達され得、信号を伝送するように構成されて、電線、ケーブル、光ファイバー、電話回線、携帯電話リンク、無線周波数リンク等を使用して実施される。
【0051】
コンピュータシステム500は、さらにディスプレイインターフェース502を含み得る。ディスプレイインターフェース502は、コンピュータシステム500と外部ディスプレイ530との間でデータを転送できるように構成してもよい。例示的なディスプレイインターフェース502には、高精細マルチメディアインターフェース(HDMI)、デジタルビジュアルインターフェース(DVI)、ビデオグラフィックスアレイ(VGA)などが含まれ得る。ディスプレイ530は、ブラウン管(CRT)ディスプレイ、液晶ディスプレイ(LCD)、発光ダイオード(LED)ディスプレイ、静電容量式タッチディスプレイ、薄膜トランジスタ(TFT)ディスプレイなど、コンピュータシステム500のディスプレイインターフェース502を介して伝送されるデータを表示するのに適した任意のタイプのディスプレイであってよい。コンピュータプログラム媒体およびコンピュータ使用可能媒体は、メインメモリ508やセカンダリメモリ510などのメモリを指す場合があり、これらはメモリ半導体(DRAMなど)であり得る。これらのコンピュータプログラムプロダクトは、コンピュータシステム500にソフトウェアを提供するための手段であり得る。コンピュータプログラム(例えば、コンピュータ制御ロジック)は、メインメモリ508および/またはセカンダリメモリ510に記憶してもよい。コンピュータプログラムは、通信インターフェース524を介して受信することもできる。そのようなコンピュータプログラムが実行されると、コンピュータシステム500は、本書で説明されるように、現在の方法を実行できるようになり得る。特に、コンピュータプログラムが実行されると、プロセッサデバイス504は、本書で説明する
図1から4で示される方法を実行できるようになり得る。従って、そのようなコンピュータプログラムは、コンピュータシステム500の制御装置を表す。本開示がハードウェア上で実行されるソフトウェアを使用して実施される場合、ソフトウェアはコンピュータプログラムプロダクトに格納され、リムーバブル記憶ドライブ514、インターフェース520、およびハードディスクドライブ512、または通信インターフェース524を使用してコンピュータシステム500にロードされる。
【0052】
プロセッサデバイス504は、コンピュータシステム500の機能を実行するように構成された1つまたは複数のモジュールまたはエンジンから構成してもよい。各モジュールまたはエンジンは、ハードウェアを使用して実行することができ、場合によっては、メインメモリ508またはセカンダリメモリ510に記憶されたプログラムコードおよび/またはプログラムに対応するなど、ハードウェア上で実行されるソフトウェアを利用することもできる。このような場合、プログラムコードは、コンピュータシステム500のハードウェアによって実行される前に、プロセッサデバイス504によって(例えば、コンパイルモジュールまたはエンジンによって)コンパイルされてもよい。例えば、プログラムコードは、プロセッサデバイス504および/またはコンピュータシステム500の追加ハードウェアコンポーネントによって実行されるように、アセンブリ言語やマシンコードなどの下位レベルの言語に翻訳されたプログラミング言語で書かれたソースコードであり得る。コンパイルのプロセスには、字句解析、前処理、構文解析、意味解析、構文指示翻訳、コード生成、コード最適化、および本明細書に開示されている機能を実行するためにコンピュータシステム500を制御するのに適した低レベル言語へのプログラムコードの翻訳に適したその他の技術の使用が含まれ得る。コンピュータシステム500が、上記で説明した機能を実行するために特別にプログラムされたコンピュータシステム500となることは、関連する技術の当業者には明らかであろう。
【0053】
本開示に一貫した技術は、とりわけ、ユーザー認証のための方法およびシステムを提供する。開示されたシステム及び方法の様々な例示的な実施形態は、以上述べたが、これらはあくまでも例示であり、制限ではないと理解すべきである。網羅的なものではなく、開示された正確な形態に限定するものではない。修正および変更は上記の教示に照らして可能であり、または幅や範囲から逸脱することなく開示の実施から取得することができる。
【手続補正書】
【提出日】2024-01-11
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【請求項1】
Webアプリケーションにアクセスするためのユーザー認証方法であって、
プロセッサによって、1つまたは複数のリライングパーティーアプリケーションへのアクセス要求とともに、ユーザーのユーザー識別子と生体認証識別子を受信することと、
前記プロセッサによって、前記1つまたは複数のリライングパーティーアプリケーションへのアクセス要求に伴う、前記ユーザーの前記ユーザー識別子と前記生体認証識別子を検証することと、
前記プロセッサによって、外部の信頼できるソースから前記ユーザーの認証トークンを取得することと、
前記プロセッサによって、前記外部の信頼できるソースから取得された前記ユーザーの前記認証トークンを前記1つまたは複数のリライングパーティーアプリケーションに転送することと、
前記プロセッサ上で、前記1つまたは複数のリライングパーティーアプリケーションから、前記ユーザーが前記1つまたは複数のリライングパーティーアプリケーションにアクセスするための認証を受信することと、を備える方法。
【請求項2】
前記認証トークンが、前記ユーザーが前記1つまたは複数のリライングパーティーアプリケーションにアクセスするために、常に前記外部の信頼できるソースから取得される、請求項1に記載の方法。
【請求項3】
前記プロセッサがIDサービスプロバイダと通信している場合は、前記認証トークンが前記外部の信頼できるソースから取得され、IDサービスプロバイダとは通信していない場合は、前記IDサービスプロバイダが前記認証トークンを提供するよう構成されている、請求項1又は2に記載の方法。
【請求項4】
前記プロセッサによって、前記外部の信頼できるソースの前記認証トークンを、所定の時間経過後または前記ユーザーによる所定回数のログイン後に、更新された認証トークンに置き換えること、を更に備える、請求項1又は2に記載の方法。
【請求項5】
前記外部の信頼できるソースから前記ユーザーの認証トークンを取得できない場合、
前記プロセッサによって、IDサービスプロバイダからの前記ユーザーの更新済み認証トークンを要求することと、
前記プロセッサによって、前記IDサービスプロバイダから前記ユーザーの前記更新済み認証トークンを受信することと、
前記プロセッサによって、前記ユーザーの前記更新済み認証トークンを前記外部の信頼できるソースに転送することと、を更に備える、請求項1又は2に記載の方法。
【請求項6】
前記ユーザーの前記認証トークンは、前記プロセッサを伴うコンピュータシステムのユーザーブラウザのキャッシュから取得されない、請求項1又は2に記載の方法。
【請求項7】
前記外部の信頼できるソースは、セキュアコンテナである、請求項1又は2に記載の方法。
【請求項8】
前記セキュアコンテナは、ユニバーサルシリアルバス(USB)デバイス、またはセキュアデジタル(SD)カードである、請求項6に記載の方法。
【請求項9】
前記外部の信頼できるソースは、セキュア外部ドライブである、請求項1又は2に記載の方法。
【請求項10】
前記プロセッサによって、生体認証装置から前記生体認証識別子を受信することを更に備え、
前記生体認証装置は、センサ、走査装置又は電子リーダの1つまたは複数を含み、前記生体認証識別子は、前記ユーザーの少なくとも1つの生理的特徴であって、前記少なくとも1つの生理的特徴は、指紋、手のひら静脈、顔認識、DNA(デオキシリボ核酸)、掌紋、掌形、虹彩認識、網膜および/または臭気/芳香の1つまたは複数から選択される、請求項1又は2に記載の方法。
【請求項11】
前記生体認証装置は、前記処理サーバをホストするよう構成された第2のモバイル装置と通信するよう構成されている第1のモバイル装置である、請求項10に記載の方法。
【請求項12】
前記プロセッサによって、前記ユーザーの期間設定をするアプリケーションから前記外部の信頼できるソースへの期間設定および前記ユーザーの前記外部の信頼できるソースへのログイン回数のログイン設定の1つまたは複数を取得することであって、前記期間設定または前記ログイン設定が、前記ユーザーの前記期間設定または前記ログイン設定に基づいて、前記外部の信頼できるソースの前記認証トークンの有効性を決定し、
前記期間設定または前記ログイン設定を、前記ユーザーが超過していない場合に、前記プロセッサによって、前記信頼できるソースに前記ユーザーの前記認証トークンを転送することと、を更に備える、請求項1又は2に記載の方法。
【請求項13】
前記プロセッサは多機能周辺装置の一部であって、
前記プロセッサによって、前記多機能周辺装置へのアクセスと、前記外部の信頼できるソースからの前記ユーザーの認証トークンを取得及び前記1つまたは複数のリライングパーティーアプリケーションへのアクセスとのための前記ユーザーの多要素認証のため、前記ユーザーから1つまたは複数の追加認証要素を要求すること、を備える、請求項1又は2に記載の方法。
【請求項14】
Webアプリケーションにアクセスするためのユーザー認証のコンピュータプログラムプロダクトであって、
その中に実施するプログラム命令を有する非一時的なコンピュータ可読ストレージ媒体を備え、前記プログラム命令はコンピュータによって実行可能であって、前記コンピュータに、
1つまたは複数のリライングパーティーアプリケーションへのアクセス要求とともに、ユーザーのユーザー識別子と生体認証識別子を受信することと、
前記1つまたは複数のリライングパーティーアプリケーションへの前記アクセス要求に伴う、ユーザーの前記ユーザー識別子と前記生体認証識別子を検証することと、
外部の信頼できるソースからユーザーの認証トークンを取得することと、
前記外部の信頼できるソースから取得された前記ユーザーの前記認証トークンを前記1つまたは複数のリライングパーティーアプリケーションに転送することと、
前記1つまたは複数のリライングパーティーアプリケーションから、ユーザーが前記1つまたは複数のリライングパーティーアプリケーションにアクセスするための認証を受信することと、
を備える方法を実行させる、コンピュータプログラムプロダクト。
【請求項15】
前記認証トークンが、前記ユーザーが前記1つまたは複数のリライングパーティーアプリケーションにアクセスするために、常に前記外部の信頼できるソースから取得される、請求項14に記載のコンピュータプログラムプロダクト。
【請求項16】
前記プロセッサがIDサービスプロバイダと通信している場合は、前記認証トークンが前記外部の信頼できるソースから取得され、IDサービスプロバイダとは通信していない場合は、前記IDサービスプロバイダが前記認証トークンを提供するよう構成されている、請求項14又は15に記載のコンピュータプログラムプロダクト。
【請求項17】
前記外部の信頼できるソースの前記認証トークンを、所定の時間経過後または前記ユーザーによる所定回数のログイン後に、更新された認証トークンに置き換えること、を更に備える、請求項14又は15に記載のコンピュータプログラムプロダクト。
【請求項18】
前記外部の信頼できるソースから前記ユーザーの認証トークンを取得できない場合、
IDサービスプロバイダからの前記ユーザーの更新済み認証トークンを要求することと、
前記IDサービスプロバイダから前記ユーザーの前記更新済み認証トークンを受信することと、
前記ユーザーの前記更新済み認証トークンを前記外部の信頼できるソースに転送することと、を更に備える、請求項14又は15に記載のコンピュータプログラムプロダクト。
【請求項19】
Webアプリケーションにアクセスするためのユーザー認証システムであって、
1つまたは複数のリライングパーティーアプリケーションへのアクセス要求とともに、ユーザーのユーザー識別子と生体認証識別子を受信し、
前記1つまたは複数のリライングパーティーアプリケーションへのアクセス要求に伴う、前記ユーザーの前記ユーザー識別子と前記生体認証識別子を検証し、
外部の信頼できるソースから前記ユーザーの認証トークンを取得し、
前記外部の信頼できるソースから取得された前記ユーザーの前記認証トークンを前記1つまたは複数のリライングパーティーアプリケーションに転送し、
前記1つまたは複数のリライングパーティーアプリケーションから、前記ユーザーが前記1つまたは複数のリライングパーティーアプリケーションにアクセスするための認証を受信するよう構成されたプロセッサを備える、システム。
【請求項20】
前記認証トークンが、前記ユーザーが前記1つまたは複数のリライングパーティーアプリケーションにアクセスするために、常に前記外部の信頼できるソースから取得される、請求項19に記載のシステム。
【外国語明細書】