知財求人 - 知財ポータルサイト「IP Force」
▶ ヘイヴンテック プロプライエタリー リミテッドの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-04-04
(45)【発行日】2022-04-12
(54)【発明の名称】デバイス認証システム
(51)【国際特許分類】
G06F 21/42 20130101AFI20220405BHJP
G06F 21/31 20130101ALI20220405BHJP
【FI】
G06F21/42
G06F21/31
【請求項の数】
16
(21)【出願番号】P 2018526969
(86)(22)【出願日】2016-08-12
(65)【公表番号】
(43)【公表日】2018-10-11
(86)【国際出願番号】 AU2016000275
(87)【国際公開番号】W WO2017024335
(87)【国際公開日】2017-02-16
【審査請求日】2019-07-26
(31)【優先権主張番号】2015903231
(32)【優先日】2015-08-12
(33)【優先権主張国・地域又は機関】AU
(73)【特許権者】
【識別番号】518047757
【氏名又は名称】ヘイヴンテック プロプライエタリー リミテッド
【氏名又は名称原語表記】Haventec Pty Ltd
(74)【代理人】
【識別番号】110001302
【氏名又は名称】特許業務法人北青山インターナショナル
(72)【発明者】
【氏名】リチャードソン,リック,ビー.
【審査官】平井 誠
(56)【参考文献】
【文献】特開2009-086806(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/30-46
(57)【特許請求の範囲】
【請求項1】
複数のデジタルデバイスに対してユーザを認証する方法において、前記ユーザはサーバ上にアカウントを有しており、前記方法は、a.ユーザが、前記サーバ上で参照されて記録された第1のデジタルデバイス上でログインシーケンスおよび認証シーケンスを実行し、それによって前記第1のデジタルデバイスに関してユーザを認証するステップと、
b.次いでユーザが、第2のデジタルデバイス上でログインシーケンスを実行するステップであって、前記第2のデジタルデバイスが、前記ログインシーケンスを前記サーバへと通信する、ステップと、
c.前記サーバが、前記第1のデジタルデバイスを利用して前記第2のデジタルデバイスに対する前記ユーザの認証を行うため、前記第2のデジタルデバイスに選択肢を通信するステップと、
d.前記第2のデジタルデバイスからの要求を受信した場合に、前記第1のデジタルデバイスを使用して認証を行うステップであって、
i.前記サーバが、前記第2のデジタルデバイスに一時的な一意のIDを発行し、
ii.前記サーバが、前記第1のデジタルデバイスに認証要求を送信し、
iii.前記認証要求は、前記第2のデジタルデバイスに発行された前記一時的な一意のIDの送信を含み、
iv.前記第1のデジタルデバイスから前記ユーザに前記一時的な一意のIDを通信することにより、前記ユーザが前記認証要求に同意するか否かを決定することができるようにし、
v.前記ユーザが同意または非同意を有効な通信により前記第1のデジタルデバイスから前記サーバに送信するステップであって、前記ユーザが同意を送信したときに認証が完了するものであるステップと、
を具えることを特徴とする方法。
【請求項2】
サーバ上の所与のユーザログインIDに関して、デジタルデバイス上でユーザによって引き起こされたユーザセッションを認証する方法において、前記方法は、a.前記サーバ上に記録された第1のユーザログインIDに関して第1のデジタルデバイスを認証するステップと、
b.前記第1のデジタルデバイスと前記サーバとの間で保護されたデータの転送を行うステップと、
c.次いで前記サーバ上に記録された前記第1のユーザログインIDに関して第2のデジタルデバイスを認証するステップであって、
d.前記ユーザが、前記第1のユーザログインIDを前記第2のデジタルデバイスに入力し、
e.前記ユーザが、前記第2のデジタルデバイス上で前記第1のユーザログインIDを入力することに応答して、一時的なIDを前記サーバにより前記第2のデジタルデバイスに発行し、
f.その後前記サーバが、前記第1のデジタルデバイスにより前記ユーザと通信するため、前記第1のデジタルデバイスに前記一時的なIDを送信し、
g.応答条件が満たされた場合、前記第1のデジタルデバイスが、前記第2のデジタルデバイスを認可するコマンドを前記サーバへ通信させることにより、前記ユーザが、前記第1のデジタルデバイスにより、前記ユーザへの前記一時的なIDの通信に応答する、ステップとを具えており、
前記第1のユーザログインIDが、前記第2のデジタルデバイスに対して認可されることを特徴とする方法。
【請求項3】
請求項2に記載の方法において、前記応答条件が、前記第1のデジタルデバイスによって通信された前記一時的なIDと、前記サーバによって前記第2のデジタルデバイスに通信された前記一時的なIDとの正の比較であることを特徴とする方法。
【請求項4】
請求項2または3に記載の方法において、前記一時的なIDが、英数字シーケンスであることを特徴とする方法。
【請求項5】
請求項2乃至4の何れか1項に記載の方法において、保護されたデータが、前記サーバ上の第1のユーザログインに関して保存されたデータであることを特徴とする方法。
【請求項6】
請求項2乃至5の何れか1項に記載の方法において、保護されたデータが、前記サーバ上の第1のユーザログインに関して記憶されたアプリケーションデータであることを特徴とする方法。
【請求項7】
請求項2乃至6の何れか1項に記載の方法において、前記第1のデジタルデバイスの認証が、前記第1のデジタルデバイスへのユーザログインIDおよび個別の認証データの入力により行われることを特徴とする方法。
【請求項8】
請求項7の何れか1項に記載の方法において、前記個別の認証データがパスワードであることを特徴とする方法。
【請求項9】
請求項7または8の何れか1項に記載の方法において、前記個別の認証データが、バイオメトリックデータであることを特徴とする方法。
【請求項10】
第1のデバイスが、サーバに関して当該デバイスの認証を受けるサーバと通信することのできる環境で、1以上のデジタルデバイスに関するユーザであって、サーバにアカウントを有するユーザを認証する方法において、当該方法が、a.ユーザが、前記サーバ上で参照されて記録された第1のデジタルデバイス上でログインシーケンスおよび認証シーケンスを実行し、それによって前記第1のデジタルデバイスに関してユーザを認証するステップと、
b.次いでユーザが、第2のデジタルデバイス上でログインシーケンスを実行するステップであって、前記第2のデジタルデバイスが、前記ログインシーケンスを前記サーバへと通信する、ステップと、
c.前記サーバが、前記第1のデジタルデバイスを利用して前記第2のデジタルデバイスに対する前記ユーザの認証を行うため、前記第2のデジタルデバイスに選択肢を通信するステップと、
d.前記第2のデジタルデバイスからの要求を受信した場合に、前記第1のデジタルデバイスを使用して認証を行うステップであって、
i.前記サーバが、前記第2のデジタルデバイスに一時的な一意のIDを発行し、
ii.前記サーバが、前記第1のデジタルデバイスに認証要求を送信し、
iii.前記認証要求は、前記第2のデジタルデバイスに発行された前記一時的な一意のIDの送信を含み、
iv.前記第1のデジタルデバイスから前記ユーザに前記一時的な一意のIDを通信することにより、前記ユーザが前記認証要求に同意するか否かを決定することができるようにし、
v.前記ユーザが同意または非同意を有効な通信により前記第1のデジタルデバイスから前記サーバに送信するステップであって、前記ユーザが同意を送信したときに認証が完了するものであるステップと、
を具えることを特徴とする方法。
【請求項11】
請求項10に記載の方法が、さらに、前記第1のデバイス上のIDと、前記第2のデバイス上のIDとを比較するステップを具えることを特徴とする方法。
【請求項12】
請求項11に記載の方法において、前記第2のデバイス上のIDが前記第1のデバイス上のIDと一致する場合に限り承認が行われることを特徴とする方法。
【請求項13】
請求項10乃至12の何れか1項に記載の方法において、前記IDが英数字シーケンスであることを特徴とする方法。
【請求項14】
請求項10乃至13の何れか1項に記載の方法において、単一のセッションで認証を確立することができることを特徴とする方法。
【請求項15】
請求項10乃至14の何れか1項に記載の方法において、限られた数のセッションで認証を確立することができることを特徴とする方法。
【請求項16】
請求項10乃至15の何れか1項に記載の方法において、不定の期間で認証を確立することのできることを特徴とする方法。
【発明の詳細な説明】
【背景技術】
【0001】
個人IDの認証プロセスを試み、単純化する多くの努力が長年に渡りなされてきた。oAuthとして知られる1つのシステムを使用すると、個人は1つのサイトで認証を受け、その後、時間が経つと期限切れとなるトークンを使用して、それらの認証証明書を他のサイトやサービスと共有することができる。
【0002】
このアプローチの重要な利点の1つは、それぞれのサイトで別個の認証プロセスを設定して行うといった不便がなく、1つのサイトで自己のIDを認証する必要があるだけで、それにより複数のサイトにアクセスすることができることにある。
【0003】
このシステムの欠点は、通常、同じアカウントを使用しているが、異なるデバイスから接続するユーザを認証するために同じアプローチを使用できないことである。
【0004】
例えば、クアルコムのUS2011/0138018に開示されているようなユーザが複数のデジタルデバイス間でデータをシェアするメカニズムが知られているが、現在のところ、ユーザの第1デバイス上における初期認証に基づき、最終的な認証が起こるというメカニズムはない。
【0005】
この機能は、1のサイトアカウント用のユーザのデバイスの1つの認証を、ユーザが所有または使用する複数のデバイスに渡って使用できるという点で非常に望ましい。
【0006】
本発明の実施形態は、この問題に対処するか、または少なくとも有用な代替物の提供を模索する。
【0007】
用語「具える(comprising)」(およびその文法的変形)は、本明細書において「有する(having)」または「含む(including)」という包括的な意味で使用され、排他的な意味における「のみからなる」を意味するものではない。
【0008】
本発明の背景技術における先行技術の上述の議論は、そこで論じられた情報が、引用可能な先行技術またはいずれかの国の当業者の一般的な知識の一部であることを認めるものではない。
【発明の概要】
【0009】
〔定義〕
認証:本明細書において、認証は、排他的ではないが、通常はクライアントサーバ環境において、ユーザログインをさらに識別するステップを取るという意味で使用される。このステップの例には、以前ユーザログインに関連するとして識別されたパスコードの提出要求が含まれる。他の非排他的な形態では、ユーザログインをさらに識別するステップを実行するためのバイオメトリックデータを要求することができる。認証は、どのデータまたはデータのカテゴリが認証に続く通信に利用可能であるかの選択のレベルを必然的に伴うため、ソフトウェアレベルで確立される。
認証:本明細書において、認証は、排他的ではないが、通常はクライアントサーバ環境において、ユーザログインをさらに識別するステップを取るという意味で使用される。このステップの例には、以前ユーザログインに関連するとして識別されたパスコードの提出要求が含まれる。他の非排他的な形態では、ユーザログインをさらに識別するステップを実行するためのバイオメトリックデータを要求することができる。認証は、どのデータまたはデータのカテゴリが認証に続く通信に利用可能であるかの選択のレベルを必然的に伴うため、ソフトウェアレベルで確立される。
【0010】
信頼:本明細書において、信頼とは、2つのデジタルデバイス間でのデータ送信目的で、2つのデジタルデバイス間で確立可能な関係のことをいう。信頼はハードウェアレベルである。
【0011】
したがって、本発明の1つの広い形態においては、2つ以上のデジタルデバイスに関してユーザを認証する方法を提供し、そのユーザがサーバ上にアカウントを有しており、その方法は、
a.サーバ上で参照および記録されたとき、ユーザが第1のデジタルデバイス上でログインシーケンスおよび認証シーケンスを実行し、それにより、第1のデジタルデバイスに関してユーザを認証するステップと、
b.次いで、ユーザが第2のデジタルデバイス上でログインシーケンスを実行し、第2のデジタルデバイスが、ユーザログインシーケンスをサーバと通信するステップと、
c.サーバが、第1のデジタルデバイスを利用して第2のデジタルデバイスに関するユーザの認証を行うため、選択肢を第2のデジタルデバイスと通信するステップと、
d.第2のデジタルデバイスからの要求を受信した場合に、第1のデジタルデバイスを使用して認証を行うステップであって、
i.サーバが、第2のデジタルデバイスに一時的な一意のIDを発行し、
ii.サーバが、第1のデジタルデバイスに認証要求を送信し、
iii.認証要求は、第2のデジタルデバイスに発行された一時的な一意のIDの送信を含み、
iv.第1のデジタルデバイスからユーザに一時的な一意のIDを通信することにより、ユーザが認証要求に承諾するか否かの決定を可能にし、
v.ユーザが承諾するか、またはそうでない場合、第1のデジタルデバイスからサーバへの通信を行う、ステップと、
を具える。
a.サーバ上で参照および記録されたとき、ユーザが第1のデジタルデバイス上でログインシーケンスおよび認証シーケンスを実行し、それにより、第1のデジタルデバイスに関してユーザを認証するステップと、
b.次いで、ユーザが第2のデジタルデバイス上でログインシーケンスを実行し、第2のデジタルデバイスが、ユーザログインシーケンスをサーバと通信するステップと、
c.サーバが、第1のデジタルデバイスを利用して第2のデジタルデバイスに関するユーザの認証を行うため、選択肢を第2のデジタルデバイスと通信するステップと、
d.第2のデジタルデバイスからの要求を受信した場合に、第1のデジタルデバイスを使用して認証を行うステップであって、
i.サーバが、第2のデジタルデバイスに一時的な一意のIDを発行し、
ii.サーバが、第1のデジタルデバイスに認証要求を送信し、
iii.認証要求は、第2のデジタルデバイスに発行された一時的な一意のIDの送信を含み、
iv.第1のデジタルデバイスからユーザに一時的な一意のIDを通信することにより、ユーザが認証要求に承諾するか否かの決定を可能にし、
v.ユーザが承諾するか、またはそうでない場合、第1のデジタルデバイスからサーバへの通信を行う、ステップと、
を具える。
【0012】
また、本発明のさらに広い形態においては、サーバ上の所与のユーザログインIDに関してデジタルデバイス上のユーザによって引き起こされるユーザセッションを認証する方法が提供され、前記方法は、
a.サーバ上に記録された第1のユーザログインIDに関して第1のデジタルデバイスを認証するステップと、
b.それにより、第1のデジタルデバイスとサーバとの間で保護されたデータの転送を行うステップと、
c.次いで、サーバ上に記録された第1のユーザログインIDに関して第2のデジタルデバイスを認証するステップと、を具える。
この第1のユーザログインIDのサーバ上への記録は、
d.ユーザが、第1のユーザログインIDを第2のデジタルデバイスに入力するステップと、
e.第2のデジタルデバイス上でユーザが第1のユーザログインIDを入力することに応答して、サーバにより第2のデジタルデバイスの一時的なIDを発行するステップと、
f.その後サーバが、ユーザと通信するため第1のデジタルデバイスに一時的なIDを送信するステップと、
g.応答条件が満たされた場合、第1のデジタルデバイスが、第2のデジタルデバイスを認可するコマンドをサーバへ通信させることにより、ユーザが、第1のデジタルデバイスにより、ユーザへの一時的なIDの通信に応答するステップと、を具える。
ここで、第1のユーザログインIDは、第2のデジタルデバイスのために認可される。
a.サーバ上に記録された第1のユーザログインIDに関して第1のデジタルデバイスを認証するステップと、
b.それにより、第1のデジタルデバイスとサーバとの間で保護されたデータの転送を行うステップと、
c.次いで、サーバ上に記録された第1のユーザログインIDに関して第2のデジタルデバイスを認証するステップと、を具える。
この第1のユーザログインIDのサーバ上への記録は、
d.ユーザが、第1のユーザログインIDを第2のデジタルデバイスに入力するステップと、
e.第2のデジタルデバイス上でユーザが第1のユーザログインIDを入力することに応答して、サーバにより第2のデジタルデバイスの一時的なIDを発行するステップと、
f.その後サーバが、ユーザと通信するため第1のデジタルデバイスに一時的なIDを送信するステップと、
g.応答条件が満たされた場合、第1のデジタルデバイスが、第2のデジタルデバイスを認可するコマンドをサーバへ通信させることにより、ユーザが、第1のデジタルデバイスにより、ユーザへの一時的なIDの通信に応答するステップと、を具える。
ここで、第1のユーザログインIDは、第2のデジタルデバイスのために認可される。
【0013】
本発明のさらに別の広義の形態においては、第1のデバイスが、サーバに関するデバイスの認証を受けるサーバと通信することのできる環境が提供され、サーバに関する第2のデバイスを認証する方法が提供されており、当該方法は、
a.要求に応じて、サーバがIDを第2のデバイスおよび第1のデバイスに通信するステップと、
b.承認工程が行われる第1のデバイスと同じレベルに第2のデバイスを認証するステップと、を具える。
a.要求に応じて、サーバがIDを第2のデバイスおよび第1のデバイスに通信するステップと、
b.承認工程が行われる第1のデバイスと同じレベルに第2のデバイスを認証するステップと、を具える。
【0014】
本発明のさらに別の広義の形態において、第1のデバイスの認証が行われているサーバ環境に関して少なくとも第2のデバイスの認証を行う装置が提供されており、この装置は、
a.少なくとも第1のログインIDおよび関連する認証データ項目を保存するメモリと、
b.少なくとも第2のデバイスの認証を行う第1の工程として、一時的なIDを生成するプロセッサと、
a.一時的なIDを少なくとも第2のデバイスおよび第1のデバイスに送信するトランスミッタと、
b.第1のデバイスの一時的なIDと第2のデバイスの一時的なIDを比較して、その比較に基づき、サーバがサーバ環境に関して第2のデバイスを認証するかどうかを決定させる比較デバイスと、を具える。
a.少なくとも第1のログインIDおよび関連する認証データ項目を保存するメモリと、
b.少なくとも第2のデバイスの認証を行う第1の工程として、一時的なIDを生成するプロセッサと、
a.一時的なIDを少なくとも第2のデバイスおよび第1のデバイスに送信するトランスミッタと、
b.第1のデバイスの一時的なIDと第2のデバイスの一時的なIDを比較して、その比較に基づき、サーバがサーバ環境に関して第2のデバイスを認証するかどうかを決定させる比較デバイスと、を具える。
【0015】
好ましくは、この応答条件は、第1のデジタルデバイスによって通信された一時的なIDと、サーバにより第2のデジタルデバイスに通信された一時的なIDとの正の比較である。
【0016】
好ましくは、一時的なIDは英数字のシーケンスである。
【0017】
好ましくは、保護されたデータは、サーバ上の第1のユーザログインに関して記録されたデータである。
【0018】
好ましくは、保護されたデータは、サーバ上の第1のユーザログインに関して記録されたアプリケーションデータである。
【0019】
好ましくは、第1のデジタルデバイスの認証は、ユーザログインIDおよび別個の認証データの第1のデジタルデバイスへの入力によって行われる。
【0020】
好ましくは、別個の認証データはパスワードである。
【0021】
好ましくは、別個の認証データはバイオメトリックデータである。
【0022】
好ましくは、承認工程は、第2のデバイス上のIDと第1のデバイス上のIDとを比較するステップを具える。
【0023】
好ましくは、第2のデバイスのIDが第1のデバイスのIDと一致する場合に限り承認が行われる。
【0024】
好ましくは、IDは英数字のシーケンスである。
【0025】
好ましくは、認証は、単一のセッションで確立することができる。
【0026】
好ましくは、認証は、限られた数のセッションで確立することができる。
【0027】
好ましくは、認証は、無期限で確立可能である。
【0028】
本発明のさらに別の広い形態においては、プロセッサにより実行されるとき、上述の方法を実行するコードでエンコードされたメディアが提供される。
【図面の簡単な説明】
【0029】
図面を参照して本発明の実施形態を以下に説明する。
【発明を実施するための形態】
【0030】
図1Aは、基本レベルの信頼を確立するのに十分な、2つのデバイス間におけるデータ接続を確立する従来技術の「Bluetooth」構成を図式的に示している。このシステムは、2つのデバイス間で直接的に動作し、本質的にハードウェアレベルでの信頼を提供するため、双方間での通信が要求される2つのデバイスの明確な識別を確実にするメカニズムである。
【0031】
本発明の実施形態は、同じサーバ環境に関して第1のデバイスについて最初に確立された認証に依存するサーバ環境に対して第2またはそれ以上のデバイスの認証機能を提供することを目的とする。排他的ではないが、好ましい形態においてサーバ環境は、ユーザログインにより規定される。
【0032】
図1Bは、本発明の例示的な実施形態の主要構成要素を開示する。最初に、ユーザ10は、当該分野において知られている認証方法を使用して、例示的な実施形態で可能となったサーバ11への認証された接続をセットアップする。
【0033】
ユーザ10およびユーザの第1のデジタルデバイス12、この場合はスマートフォンを認証するため、ユーザが、ウェブ対応アプリケーション17を使用して、サーバ11に登録される。この場合、このデバイス12は、ユーザの主たる基準デバイス、または保証デバイスとして登録される。
【0034】
デバイス12のID14は、ユーザアカウント13と共に記憶され、今後ユーザが所有または使用する追加のデバイスをサーバ11で認証するにあたって必要なとき参照できる。
【0035】
ユーザアカウント13は、アカウントID、名前またはユーザネーム16も含んでおり、これらは当該アカウントのユーザを一意に識別して名前を付けるよう使用することができる。
【0036】
ユーザ10が新しいデバイス15を使用して自己を認証させたい場合、ウェブブラウザ16などのアプリケーションを使用し、インターネット20などの公衆ネットワークを介してデバイス15をサーバ11に接続する。次いでサーバ11に対して自己をユーザ10として識別させるため、アカウントネーム16を入力する。
【0037】
その後、サーバ11は、第2のデバイスが認証済みデバイスとして認識されていないことをユーザ10に通知し、自己のアカウント13にこのデバイスを追加したいかどうかをユーザ10に確認する。
【0038】
ユーザが追加に同意した場合、ユーザ10とサーバ11との間における認証された接続を検証するため、サーバ11からユーザの主要保証デバイス12への要求開始ボタンをユーザに提示する。さらに、デバイスの識別に使用可能な4桁の数字18などのデバイスIDをユーザに提示する。
【0039】
続いて、第2のデジタルデバイス15は、新しいデバイス15の認証を進めるため保証デバイスから認証を得る必要があることをユーザに説明する画面21を表示する。さらに、好ましくは4桁の数字の形式の一時的なID21を表示する。4桁の数字は、新しいデバイスが認証を要求するごとに新しく生成される。この4桁の数字は、サーバ11により生成され、認証要求が行われたとき、要求されているデバイス15を保証デバイス12と識別するため、一度だけ使用される。
【0040】
次に、新しいデバイス15は、保証デバイス12が自己のIDの確認に使用された後、サーバ11からの認証確認を受信するため待機モードに入る。
【0041】
それと同時に、サーバ11は、ユーザの主たる第1のデジタル保証デバイス12との接続を開始して、ユーザの認証要求を確認し認可するよう促される。
【0042】
アップル社のiPhoneのようなスマートフォンの場合、通知メッセージをユーザのデバイス12に送信することができ、それにより、ユーザのアプリケーション17が開かれて、ユーザIDを確認できる。
【0043】
アプリケーション17のサーバ11への接続が最新のものであり、期限切れでない場合、その後ユーザには要求されているデバイスを識別する4桁の数字が示され、ユーザは、新しいデバイスのIDを確認後、認可するよう画面上にて促される。
【0044】
アプリケーション17のサーバ11への接続が最新ではなく、期限切れでない場合、ユーザは、保証デバイス12を使用して認証するよう求められる。続いてユーザには要求されているデバイスを識別する4桁の数字が示され、ユーザは、新しいデバイスのIDを確認後、認可するよう画面上にて促される。
【0045】
サーバ11は、新しいデバイス15のIDの確認を受信すると、認証されたセッションを新しいデバイス15とサーバ11との間で進めることを許可する。
【0046】
新しいデバイス15の画面には、認証が正常に完了し、サイトへのアクセスが可能であることがユーザに通知される。さらに、新しいデバイスのID19が、サーバ11上のユーザアカウント13に追加される。
【0047】
図2は、例示的な実施形態の例示的な制御プロセスを開示する。このプロセスは、ユーザによって使用される最初のデバイス(40)、ユーザが接続を希望するサーバ(41)およびユーザがサーバ上で自己のアカウントで認証したい第2のデバイス(42)を具える。
【0048】
最初に、ユーザは、サーバにて認証済アカウントを確立し(43)、サーバは、将来の認証のためアカウントの詳細を記憶する(44)。
【0049】
その後、ユーザは、サーバ上で同じアカウントを使用するため、新しいデバイスの認証を要求することができる(45)。自己をサーバに識別させるため、ユーザは自己のユーザ名を入力し、それをサーバが使用するために提出する(46)。
【0050】
次に、サーバは、ユーザ名が既知であるが、ユーザによって使用されているデバイスがサーバに知られていないことを認識する(47)。その後サーバは、新しいデバイスがアカウントで認識されることを保証するため、既存のデバイスの認証証明書の使用を望むかどうかをユーザに問い合わせる(48)。ユーザが同意した場合(49)、サーバは要求にかかるデバイスに一時的で一意なIDを与え(50)、次いで、それを新しいデバイス画面上でユーザに示す(51)。その後新しいデバイスは、認証を受信する要求の応答があるまでの待ちモードへと進む(53)。
【0051】
次にサーバ(41)は、新しいデバイスの認証要求(52)を、すでに認証されて使用中の保証デバイス(40)に送信するか、または既存の認証証明書を使用して、それとユーザIDとを確立および認証することができる。
【0052】
認証要求は、要求にかかるデバイスのIDとともに既存のデバイスによって受信される(54)。このステップは、ユーザが、新しい認証の要求に使われるデバイスを適切に識別できるという点で重要である。
【0053】
次いで、ユーザは、要求にかかるデバイスのIDを確認し、新しいデバイスの認証に進むことを許可する(55)。続いてサーバは、新しいデバイス上でユーザを認証するための認可を受信し(56)、新しいデバイスと認証証明書を共有する(57)。
【0054】
その結果、新しいデバイスは認証証明書を受信し(58)、新しいデバイスを用いてユーザアカウントにアクセスすることが許可される(59)。
【0055】
この結果、既知のデバイスの認証証明書を新しいデバイスと共有することができ、同じアカウントおよびリソースにアクセスすることのできる認証システムが実現する。
【0056】
【0057】
図3を参照すると、同じ構成要素には、それが100番台であることを除いて前の実施形態と同様の符号が割り振られており、そして、サーバ111と通信する第1のデジタルデバイス112(ID0)が示されており、ユーザ110は、デジタルデバイス112上で動作するアプリケーションを介して、サーバ111上のユーザアカウント113に「ログイン」することが可能である。ユーザアカウント113に関連するデータまたはアプリケーションにデジタルデバイス112が通信するには、ユーザログインがサーバ111によって認証されなければならない。このケースでは、認証工程は、ユーザがユーザ名123および関連するパスワード124を入力することにより実現する。ユーザ名およびパスワードが一致した場合、認証が行われ、第1のデジタルデバイス112とサーバ111との間でユーザセッションが実現する。
【0058】
本発明の一実施形態によれば、ユーザが同じユーザアカウント113に対して第2のデジタルデバイス115(ID1)を認証したい場合、同じユーザ名123を第2のデジタルデバイス115上のアプリケーションに入力して行うことができ、それにより、サーバ111へのログインシーケンスがトリガされる。
【0059】
図4に示すように、使用中、ユーザは、例えば選択チェックボックス125を介して、別のデバイスを介して認証するかどうかを選択するよう求められてもよい。
【0060】
ユーザが別のデバイスを通して認証することを選択した場合、サーバ111は、第2のデジタルデバイス115に一時的なID121を生成および発行する。その後、一時的なID121は、第2のデジタルデバイス115上に表示されるか、またはそうでない場合、第2のデジタルデバイス115に対して発行された一時的なID121をユーザが確認するのに十分なもので通信することによりユーザにより取得可能とする。
【0061】
それと同時に、サーバ111は、同じ一時的なID121を第1のデジタルデバイス112に発行する。ここでも、第1のデジタルデバイス112は、一時的なID121を第1のデジタルデバイス112に表示させるか、またはそうでない場合、第1のデジタルデバイス112に対して発行された一時的なID121を確認するのに十分なもので通信することによりユーザにより取得可能とする。
【0062】
使用中、ある段階において、ユーザは、第2のデジタルデバイス115上に現れるかまたは別の方法で関連付けられた一時的なID121と、第1のデジタルデバイス112上に現れるかまたは別の方法で関連付けられた一時的なID121とを所定の時間枠内で比較できる状態となる。ある形態において2つの一時的なIDが一致する場合、選択チェックボックス126を介してトリガすることにより、第1のデジタルデバイス112からサーバ111へ認証信号127を送信し、第1のデジタルデバイス112へ一致したことを承認することができる。
【0063】
認証信号127を受信すると、サーバは、第2のデジタルデバイス115上におけるログインを認証されたものとして扱い、それにより、ユーザがサーバ111上のログインユーザアカウント113の下でデータおよびサービスにアクセスすることができるようにする。
【0064】
〔別の実施形態〕
例示的な実施形態は、パーソナルコンピュータと保証デバイスであるスマートフォンとの間で行われる認証の保証を示す。代替的な実施形態では、ユーザが所有または操作する任意のデバイスが、自己のアカウントに追加したい任意のデバイスを保証することを可能にしてもよい。
例示的な実施形態は、パーソナルコンピュータと保証デバイスであるスマートフォンとの間で行われる認証の保証を示す。代替的な実施形態では、ユーザが所有または操作する任意のデバイスが、自己のアカウントに追加したい任意のデバイスを保証することを可能にしてもよい。
【0065】
例示的な実施形態は、4桁の数字を使用して、認証を要求するデバイスを識別している。別の実施形態では、その要求にかかるデバイスのIDに関して保証デバイスのユーザが確実に合理的に満足できるような任意の方法を使用して、要求にかかるデバイスを識別してもよい。
【0066】
例示的な実施形態は、サーバと保証デバイスとの間における認証されたセッションが新しいデバイスとどのように共有されるかを指定しない。代替的な実施形態は、トークンまたはセッションキーを使用することができる。さらに別の代替的な実施形態においては、新しいデバイスがそれ自体の認証証明書を確立する手段として、保証デバイスからの実際の認証データの一部、または複製を使用することができる。例えば、PINが保証デバイスを認証するために使用された場合、新しいデバイス上で同じPINを使用するシステムを使用して、新しい認証証明書を確立できる。
【0067】
例示的な実施形態は、安全なセッションのため、新しいデバイスは、前に登録されたデバイスによって認証される。代替的な実施形態において、認証は、単一のセッションで、限定された数のセッションまたは期間で、または永久的に無期限に使用可能にできる。
【図1A】
【図1B】
【図2】
【図3】
【図4】
