詳細な説明
[0027] 本発明の様々な実施形態を本明細書で示し、説明しているが、かかる実施形態は、例として示すに過ぎないことが当業者に明らかになる。本発明から逸脱することなく、多数の改変形態、変更形態及び置換形態が当業者に想到され得る。本明細書に記載する本発明の実施形態に対する様々な代替形態が用いられ得ることを理解すべきである。
[0028] 本発明は、暗号化認証のためのシステム及び方法を提供する。本明細書に記載する本発明の様々な態様は、以下に記載する特定の応用の何れにも適用することができる。本発明は、オンラインサービス又は認証システムの一部として適用され得る。本発明の様々な態様を個々に、集合的に又は互いに組み合わせて認識できることを理解すべきである。
[0029] 所要の認証レベルをサポートしない可能性があるログイン装置上でユーザがオンライン資源にアクセスすることを許可し得る、認証のためのシステム及び方法が提供される。一部の実施形態では、アカウントにログインすること又はオンラインサイトにおいて特定のアクションを行うこと等、オンライン資源へのアクセスにFIDO認証等の近接ベース認証が必要であり得る。これらのシナリオにおいて、従来のシステムでは、ユーザは、ログイン装置を使用してオンラインシステムにアクセスできない場合がある。
[0030] 加えて、従来のFIDO認証プロトコルは、ユーザのオーセンティケータと対話するためのAPIを依拠当事者(例えば、サービスプロバイダ、アプリケーションサーバ)が使用することを必要とする。依拠当事者は、バックエンドサーバ及びフロントエンドアプリケーションで構成される。認証又は登録中、アプリケーションは、クライアント側APIを使用して、オーセンティケータとのユーザ資格情報を作成し、検査する。例えば、これは、サーバからオーセンティケータに暗号チャレンジを伝え、検証のためにオーセンティケータのレスポンスをサーバに返すことを含み得る。バックエンドサーバは、ユーザの公開鍵資格情報及びアカウント情報を記憶する。認証又は登録中、サーバは、アプリケーションからの要求に応答して暗号チャレンジを生成する。次いで、サーバは、チャレンジに対するレスポンスを評価する。FIDOオーセンティケータがユーザ資格情報を生成する。ユーザ資格情報は、公開鍵コンポーネント及び秘密鍵コンポーネントの両方を有する。公開鍵は、アプリケーションサービスと共有されるのに対して、秘密鍵は、オーセンティケータによって秘密に保たれる。
[0031] オーセンティケータは、ユーザの装置の一部又は外部のハードウェア若しくはソフトウェア片であり得る。従来のFIDO登録プロセスでは、ユーザがウェブサイト上のアカウントにサインアップするとき、そのアプリケーションサービス(即ち依拠当事者のサービス)上でのみ使用できる新たな鍵の対をオーセンティケータが生成する。資格情報のための公開鍵及び識別子がサーバと共に記憶され得る。従来のFIDO認証プロセスでは、ユーザが新たな装置上でサービスに戻る場合又はユーザのセッションが失効した後、オーセンティケータは、ユーザの秘密鍵のプルーフを提供し得る。オーセンティケータは、サーバによって発行される暗号チャレンジに応答することによってこれを行う。ユーザの識別子を検査するために、一部の種類のオーセンティケータは、指紋若しくは顔認識等のバイオメトリクス又はPINを使用する。しかし、従来のFIDOプロトコルにおけるペアリング又は結合プロセスは、煩雑であり得る。例えば、ペアリング又は結合プロセスは、オーセンティケータ装置上のUSB、近距離無線通信(NFC)、Bluetooth(BLE)を必要とし得る。更に、FIDOをサポートするためのオムニチャネルが欠如しており、十分なフィッシング耐性を有するネットワークトランスポートの現在のFIDO技術の欠如である。
[0032] 本明細書のシステム及び方法は、オーセンティケータ装置と依拠当事者アプリケーション(例えば、ブラウザ、オンライン資源)との間のプロキシとしての役割を果たすトランスポートサービスを提供することができ、ユーザがオーセンティケータ装置を使用して近接ベース認証を行うことを可能にし、それは、認証の確認時にユーザがログイン装置においてオンライン資源にアクセスすることを可能にする。ログイン装置は、QRコード等のグラフィカルコードを表示することができる。QRコードは、内部に一意のURLが符号化され得る。
[0033] URLは、依拠当事者ドメイン(例えば、ネットワークドメイン)の一意のURLであり得る。例えば、依拠当事者ドメインは、http://www.bank.com/loginにおける資源であり得、一意のURLは、www.bank.com/login?cid=(uuid)等、www.bank.com/loginによってホストされ得る。オーセンティケータ装置は、FIDO認証を行うために依拠当事者ドメイン上の安全なログインURLにナビゲートすることができる。例えば、FIDO認証は、依拠当事者アプリケーション(例えば、ブラウザ内の一意のURLにおけるウェブページ、ログイン装置上で実行されているブラウザ)上で呼び出され得、チャレンジがオーセンティケータ装置への確立済みチャネルによって転送される。オーセンティケータは、チャレンジに応答し、レスポンスが依拠当事者アプリケーションに送り返される。このようにして、FIDOレスポンスが依拠当事者のドメインに向かう。FIDOの引き継がれたセキュリティが依然として存在し、鍵が一意でありながら、リモート認証は、依拠当事者の同じドメイン上で生じるため、確立されるチャネルは、フィッシングを有益になくす。URLは、トランスポートサービスによって生成され得る。提供される認証方法は、セキュリティが改善した状態で既存のFIDOアーキテクチャ及び既存のネットワーク通信チャネルに適合し得る。
[0034] オーセンティケータ装置と依拠当事者アプリケーションとの間で確立される通信チャネルは、FIDO認証のチャレンジ及びレスポンスを移送できるように双方向接続であり得る。双方向接続は、ウェブソケットプロトコルを使用し得る。このプロトコルは、クライアントとサーバとの間の接続を可能にすることができ、何れかの当事者(クライアント又はサーバ)によって終了されるまで生き続ける。HTTPが接続ごとに要求及びレスポンスを必要とするのと異なり、ウェブソケットによって確立される接続は、HTTPよりも少ないオーバヘッドで対話を可能にし得る。
[0035] 提供する認証方法のペアリングプロセスは、フィッシング耐性機能と共に単純化され、向上されている。オーセンティケータ装置は、QRコードの画像を捕捉することができ、オーセンティケータ装置上のブラウザは、符号化されたURLに導かれ得る。これは、オーセンティケータ装置上に追加の認証アプリケーションをインストールすることを有益に回避し得る。オーセンティケータ装置は、オーセンティケータ装置が近接ベース確認(例えば、FIDO認証)を行うことを可能にするトランスポートサービスによって確立される双方向接続により、依拠当事者アプリケーション(例えば、ログイン装置上のブラウザ)と通信することができる。認証が確認されると、ユーザは、ログイン装置においてオンライン資源にアクセスすることを許可され得る。この形態は、完全な所要の認証レベルを依然として実行し、それによりセキュリティを犠牲にせずに、ユーザがログイン装置において、それにより所望のユーザインタフェースを犠牲にせずに資源にアクセスすることを有利に可能にし得る。
[0036] 図1は、本発明の実施形態による、ログイン装置110にログインするのに役立つオーセンティケータ装置120をユーザ160が利用する図を示す。
[0037] 一部の実施形態では、ユーザ160は、オンライン資源にアクセスすることを望む場合がある。資源は、サービス(例えば、オンライントランザクション、データベースアクセス、ファイル転送、リモートアクセス)、保護されたデータ、特定の計算装置、ファイル空間、アカウント、トランザクション又は計算機能を含み得る。資源についての本明細書のいかなる説明も任意の種類の資源又はサービスに当てはまることができ、逆も同様である。
[0038] 資源は、オンラインサービスプロバイダによって提供され得る。オンラインサービスプロバイダに対するオンラインアカウントをユーザが作成できるようにすること等、オンラインサービスプロバイダは、ユーザに様々なサービスを提供するために1つ又は複数のサーバを管理することができる。オンラインサービスプロバイダは、ユーザがそれによりオンラインアカウントを開設することができるオンラインポータル又はオンラインウェブページを有するサービスプロバイダであり得る。本明細書の「サービスプロバイダ」という用語は、「オンラインサービスプロバイダ」と同義で使用され得る。サービスプロバイダは、ユーザトランザクションが試行されるエンティティ(例えば、ユーザトランザクションを実行するウェブサイト又はオンラインサービス)であり得る「依拠当事者」とも呼ばれ得る。サービスプロバイダは、任意の種類の資源を提供し得る。例えば、オンラインサービスプロバイダは、金融機関(例えば、銀行)、小売業者(例えば、電子小売業者、オークションサイト等)、データベース、教育機関、通信サービス(例えば、電子メール、メッセージング)、ヘルスケアサービス、財産管理サービス、ファイル共有ネットワーク、クラウドコンピューティングサービス、ソーシャルメディアサービス、ストリーミングサービス又は他の任意の種類のサービスであり得る。
[0039] ユーザは、オンライン資源にアクセスするためにオンラインアカウントを作成可能であり得る。オンラインアカウントは、ユーザによってオンラインで作成され得る別個のアカウントであり得る。オンラインアカウントは、ユーザ専用であり得、及び/又はユーザによって所有され得る。ユーザのオンラインアカウントは、ユーザ固有情報(例えば、名前、住所、電子メール等)に関連付けられ得る。従って、オンラインサービスプロバイダは、オンラインサービスプロバイダに対するユーザのオンラインアカウントによってユーザを識別することができる。ユーザのユーザ名及び付随するパスワード等のユーザ資格情報をオンラインアカウントに関連付け、オンラインアカウントへのアクセスをユーザが要求するとき、ユーザ資格情報の提供を要求することにより、オンラインアカウントへのアクセスを保護することができる。オンラインアカウントは、サーバのメモリ記憶域内に記憶することができる。
[0040] ユーザは、オンラインサービスプロバイダに登録され得る。ユーザは、オンラインサービスプロバイダに対するオンラインアカウントを開設したときに登録され得る。例えば、ユーザは、オンラインサービスプロバイダに対するオンラインアカウントを作成した場合にオンラインサービスプロバイダに登録され得る。
[0041] ユーザは、例えば、ユーザとオンラインサービスプロバイダ(例えば、金融機関、教育機関等)との間の関係を保ち、追跡すること、頻繁に使用されるユーザ情報(例えば、発送先住所)又はオンラインサービスプロバイダ(例えば、オンライン小売業者)に対するユーザ活動の履歴(例えば、注文の請求書)を保存すること、オンラインサービスプロバイダから同じ又は同様のサービスを受けるために冗長な情報を提供しなければならないことを回避すること、オンラインサービスプロバイダ(例えば、保険会社)によってユーザに提供されるサービス(例えば、保険金請求)を便利に管理すること、オンラインサービスプロバイダ(例えば、Facebook(登録商標)、Instagram(登録商標))によってサポートされるソーシャルネットワーキングサービスに参加すること、オンラインサービスプロバイダ(例えば、Gmail(登録商標)、Outlook(登録商標)等)によって提供されるオンライン識別子(例えば、電子メール)の所有権を得ること等を含む任意の数の理由から、オンラインサービスプロバイダに対するオンラインアカウントを開設することを望む場合がある。
[0042] 一部の例では、ユーザは、(例えば、信用調査書、銀行取引明細書を与える)極めて個人的な及び機密性の高いサービスをオンラインサービスプロバイダに提供することができ、逆も同様であり、そのため、安全な認証システムを有することは、ユーザ及びサービスプロバイダにとって得策であり得る。一部の例では、従来のパスワードを使用することは、ユーザアカウントを保護するのに不十分であり得る。一部の例では、従来のパスワード単独ではアカウントをハッカーから安全にできないことがある。更に、ユーザは、従来のパスワードを覚えておくか又は追跡することが困難な場合がある。
[0043] 一部の実施形態では、資源へのアクセスをユーザに提供するために、オンライン資源が近接ベース認証を使用し得る。ログインするために、ユーザは、近接ベース認証を受けることができる。近接ベース認証についての本明細書のいかなる記載も、認証を受けるためにユーザ又はユーザによって運ばれるオブジェクト(例えば、ドングル、スマートカード、モバイル装置、任意の近距離無線通信装置、USB等)の物理的近接を利用する任意の認証を含み得る。一部の例では、近接ベース認証は、ユーザのバイオメトリク情報(例えば、指紋、掌紋、目の走査、顔認識、ジェスチャ認識、歩容認識、音声認識、言葉によるパスフレーズ又はパスワード)を利用し得る。一部の実施形態では、Bluetooth、無線、光接続、ケーブル等の直接通信又は他の任意の種類の直接通信が近接ベース認証に利用され得る。一部の例では、指紋スキャナ、虹彩スキャナ、カメラ、マイクロホン、無線アンテナ、Bluetoothアンテナ、USBポート等の専用ハードウェアが近接ベース認証を行うために必要とされ得る。近接ベース認証についての本明細書のいかなる説明もFIDO(Fast Identity Online)認証を含むことができ、逆も同様である。
[0044] ユーザ160は、ログイン装置110においてオンラインサービスプロバイダのオンライン資源にアクセスすることを望む場合がある。ログイン装置は、任意の種類の装置(例えば、モバイル装置(スマートフォン、タブレット、携帯情報端末)、コンピュータ(例えば、デスクトップコンピュータ、ラップトップコンピュータ、サーバコンピュータ)、スマートデバイス/IoT(モノのインターネット)デバイス、ウェアラブルデバイス(例えば、グラス、腕時計、アームバンド、ヘッドセット等)、キオスク、ATM(現金自動預払機)又は他の任意の種類の装置であり得る。ログイン装置は、広域ネットワーク(インターネット等のWAN)、ローカルエリアネットワーク(LAN)、電気通信網(例えば、3G、4G、5G、LTE等)又は他の任意の種類のネットワーク等のネットワーク140にアクセス可能であり得る。
[0045] ログイン装置は、ユーザがオンライン資源にアクセスすることを可能にし得るウェブブラウザ、ポータル又はアプリケーションをサポート可能であり得る。しかし、一部の例では、ログイン装置は、近接ベース認証をサポートすることができない場合がある。例えば、ログイン装置は、近接ベース認証を完了するのに必要なハードウェアを有さない場合がある。例えば、ログイン装置は、ユーザの所要のバイオメトリク情報を収集し得る装置を欠いている場合がある。別の例では、ログイン装置は、ユーザが持ち運ぶ装置と通信し得るアンテナ又は他のコンポーネントを欠いている場合がある。更なる例では、ログイン装置は、近接ベース認証を可能にし得るソフトウェアを欠いている場合がある。一部の例では、近接ベース認証を妨げ得るソフトウェア又はハードウェアがログイン装置上に設けられる場合がある。例えば、ログイン装置は、Bluetooth対応であり得るが、Bluetoothが特定の方法で利用されることを妨げ得るセキュリティソフトウェアがログイン装置上に設けられる場合がある。例えば、ログイン装置は、オンライン資源にアクセス(例えば、ログイン)するためにオンラインサービスプロバイダによって要求されるFIDO認証又は特定の種類のFIDO認証を行うことができない場合がある。一例では、FIDO2.0等のFIDO認証は、USB、近距離無線通信(NFC)、Bluetooth(BLE)等のプロトコルの少なくとも1つをログイン装置上で必要とし得る。
[0046] かかる状況では、ユーザは、オンライン資源にアクセスするために依然としてログイン装置を使用することを望む場合がある。本明細書に示すシステム及び方法は、たとえログイン装置が所要の認証プロセスに対応していなくても、オンライン資源にアクセスするためにユーザがログイン装置を使用することを可能にし得る。提供する方法は、追加のハードウェア又はソフトウェアアプリケーションを必要とすることなく、セキュリティ保護されたオムニネットワークチャネル(例えば、ネイティブブラウザアプリケーション)によってFIDOチャレンジが行われることも可能にし得る。
[0047] ユーザは、オーセンティケータ装置120へのアクセスを有し得る。オーセンティケータ装置は、所要のレベルの認証を行うことが可能であり得る。例えば、オーセンティケータ装置は、FIDO認証等の近接ベース認証を行うことが可能であり得る。オーセンティケータ装置は、所要の認証を行うために必要なハードウェア及び/又はソフトウェアを有し得る。例えば、オーセンティケータ装置は、オンラインサービスへの登録中に新たな鍵の対を作成し、秘密鍵を保つことができ、公開鍵がオンラインサービスに登録される。認証中、オーセンティケータ装置は、チャレンジに署名することによって秘密鍵の保持をサービスに証明し、かかる署名は、上記で説明したように、指紋の提供、PINの入力、自撮り写真の撮影、マイクロホンに向かって話すこと及び他の様々なもの等の近接ベース認証を含む。オーセンティケータ装置は、所要の認証が行われることを妨げるハードウェア又はソフトウェアを有さない場合がある。
[0048] 例えば、オーセンティケータ装置は、ユーザの必要な任意のバイオメトリク情報を捕捉できるようにし得るバイオメトリクリーダを有し得る。例えば、オーセンティケータ装置は、所望の任意のバイオメトリク情報を捕捉するために使用され得る指紋スキャナ、手のひらスキャナ、目のスキャナ、1つ又は複数のカメラ又は1つ若しくは複数のマイクロホンを有し得る。オーセンティケータ装置は、認証に必要であり得る、ユーザによって運ばれるオブジェクトとの通信を可能にし得るアンテナ又は任意の種類の通信装置を有し得る。
[0049] ユーザがログイン装置にログインすることを望むが、ログイン装置が所要の認証(例えば、近接ベース認証)をサポートしない場合、ログイン装置は、グラフィカルコードを表示することができる。グラフィカルコードについてのいかなる説明も、QRコード、バーコード(例えば、1D、2D又は3Dバーコード)、一連の記号、アイコン、画像又は他の任意の一意の若しくは符号化可能な画像、画像若しくは光の時系列に当てはまることができ、逆も同様である。グラフィカルコードは、画面又は他の種類のディスプレイ上に表示され得る。グラフィカルコードは、ウェブブラウザ、ウェブポータル又はオンライン資源にアクセスするために使用され得るログイン装置上の他の任意のアプリケーションで表示され得る。
[0050] 一部の実施形態では、ログイン装置が所要の認証(例えば、近接ベース認証)をサポートしないという検出が生じる場合、グラフィカルコードは、ログイン装置において自動で表示され得る。例えば、ログイン装置が特定の種類のハードウェアを有さないこと又は必要なハードウェアの種類が使用不可であることをオンラインウェブサービス又はアプリケーションが自動で検出し得る。同様に、ログイン装置が、所要の認証を可能にする特定のソフトウェアを有さないこと又は所要の認証を行う能力を使用不可にするソフトウェアが与えられていることをオンラインウェブサービスアプリケーションが自動で検出し得る。かかる状況では、グラフィカルコードは、ディスプレイ上において自動でポップアップし得る(例えば、グラフィカルコードを求めるユーザによる要求を必要としない)。一部の例では、グラフィカルコードと共に指示が提供され得る。
[0051] 一部の状況では、グラフィカルコードを表示するための要求をユーザが行うことができる。例えば、ユーザは、ログイン装置が所要の認証(例えば、近接ベース認証)をサポートしないことを検出することができ、グラフィカルコードを要求し得る。ユーザの要求に応答してグラフィカルコードが表示され得る。一部の例では、たとえログイン装置が所要のレベルの認証をサポートしても、ユーザは、グラフィカルコードを要求することができる。代替的実施形態では、ログイン装置が所要の認証レベルをサポートする場合、グラフィカルコードがユーザによって要求されなくてもよい。
[0052] グラフィカルコードは、符号化情報を含み得る。グラフィカルコード内に符号化される情報は、トランスポートサービスによって提供され得る。トランスポートサービスは、オンラインサービスプロバイダと通信することができ、及び/又はオンラインサービスプロバイダの一部であり得る。トランスポートサービスは、オンラインサービスプロバイダ又は別個のサードパーティによってホストされ得る。グラフィカルコードは、トランスポートサービス又はオンラインサービスプロバイダによって生成され得る。一例では、トランスポートサービスは、グラフィカルコード内に符号化される情報(例えば、一意のURL)を生成し、符号化情報を有するグラフィカルコードを生成し得る。トランスポートサービスは、ログイン装置にQRコードを伝送することができる。別の例では、トランスポートサービスは、グラフィカルコード内に符号化される情報を提供し、その情報をオンラインサービスプロバイダに伝送することができる。オンラインサービスプロバイダは、符号化情報を有するグラフィカルコードを作成し、レンダリングし得る。ログイン装置は、オンラインサービスプロバイダによって作成されたグラフィカルコードを表示することができる。例えば、トランスポートサービスは、ログイン装置(例えば、ATM)のネイティブアプリケーション(例えば、ネイティブブラウザ)内に埋め込まれるソフトウェア開発キット(SDK)若しくはライブラリ、他のアプリケーションによって呼び出し可能な独立型アプリケーション及び/又はオペレーティングシステムレベルで呼び出し可能なサービスを含み得る。SDK又はライブラリは、一意のURLと共に符号化されるQRコードをネイティブアプリケーション(例えば、ブラウザ)が生成及び/又はレンダリングすることを可能にし得る。一部の事例では、SDKは、トランスポートサービスによって配布又は提供されるダウンロード可能なデータオブジェクトであり得る。SDKは、ブラウザ等のサービスプロバイダのアプリケーション内に組み込むか又はコンパイルすることができる。SDKは、アプリケーションソースコード開発に関連するフレームワークであり得るか、依拠当事者のアプリケーション内にダウンロードされ、含められるライブラリであり得るか、又は任意の適切な方法で組み込まれ得る。サードパーティアプリケーションインスタンス内で使用される。一部の事例では、依拠当事者ドメインの一意のURLを生成すること、URLを符号化するQRコードを生成すること又はQRコードをレンダリングすること等の機能が依拠当事者のアプリケーション内で管理され得る。
[0053] 符号化される情報は、URL(統一資源ロケータ)であり得る。URLは、依拠当事者ドメイン(即ちオンラインサービスプロバイダ)の実質的に一意のURLであり得る。URLは、トランスポートサービス及び/又はオンラインサービスプロバイダによってホストされるサイトのためのものであり得る。例えば、依拠当事者ドメインは、http://www.bank.com/loginにおける資源であり得、一意のURLは、www.bank.com/login?cid=(uuid)等、www.bank.com/loginによってホストされ得る。一部の例では、トランスポートサービスは、オンラインサービスプロバイダの一部であり得るか、又はオンラインサービスプロバイダによって運営され得る。代わりに、トランスポートサービスは、オンラインサービスプロバイダと別個であり得、及び/又はサードパーティによって運営され得る。
[0054] グラフィカルコードの画像を捕捉するためにオーセンティケータ装置を使用することができる。オーセンティケータ装置は、グラフィカルコードの画像を捕捉可能であり得る1つ又は複数のカメラを有し得る。1つ又は複数のカメラは、オーセンティケータ装置に一体化され得る。代わりに、1つ又は複数のカメラは、アタッチメント又はアドオンとして提供され得る。
[0055] オーセンティケータ装置は、グラフィカルコードを認識可能であり得るソフトウェア又はアプリケーションを有し得る。オーセンティケータ装置は、グラフィカルコード内の符号化情報にアクセス可能であり得る。グラフィカルコード内の符号化情報にアクセス可能であるために、オーセンティケータ装置は、専用ソフトウェア又はアプリケーションを使用しても又はしなくてもよい。ユーザは、グラフィカルコードの画像を捕捉する前又はグラフィカルコードの画像を解析する前にアプリケーション又はソフトウェアを開く必要があっても又はなくてもよい。
[0056] オーセンティケータ装置は、上記の認証プロセスを実行するために、グラフィカルコード内に符号化された情報を利用することができる。例えば、グラフィカルコード内に符号化される情報は、オーセンティケータ装置がオンラインサービスプロバイダとのFIDO認証等の近接ベース認証を行うことを可能にし得る。
[0057] 一例では、グラフィカルコード内に符号化される情報は、オンラインサービスプロバイダドメインの一意のURLであり得る。オーセンティケータ装置は、グラフィカルコードの画像を捕捉することができる。オーセンティケータ装置は、グラフィカルコードからURLを抽出可能又は認識可能であり得る。オーセンティケータ装置は、オーセンティケータ装置上で動作するブラウザ又はオペレーティングシステムレベルのアプリケーション等のネイティブアプリケーションによってURLサイトにアクセスすることができる。例えば、オーセンティケータ装置は、FIDO認証を行うために依拠当事者ドメイン上の安全なログインURLにナビゲートすることができる。かかるログインは、ユーザ/プロバイダが選択した任意のFIDOオーセンティケータに適合するFIDOチャレンジのためのオムニチャネルを有益に提供する。
[0058] URLにより、オーセンティケータ装置を利用して認証プロセスが行われ得る。例えば、完全なFIDO認証のためのチャレンジ及びレスポンスがオーセンティケータ装置との間で生じ得る。FIDO認証は、アクセスを認証するために使用される新たな及び一意の公開/秘密暗号鍵の対をオーセンティケータ装置が作成する登録プロセスを含み得る。次いで、公開鍵がオンラインサービスプロバイダに送信され、ユーザのアカウントに関連付けられる。近接ベース認証方法に関係する秘密鍵及び他の全ての機密データ(例えば、バイオメトリクプリント)は、ローカル装置上に留まり、そこから決して離れない。FIDO認証チャレンジ中、オーセンティケータ装置は、暗号チャレンジに問題なく応答することにより、秘密鍵の保持を認証側サービスに証明することを求められる。秘密鍵は、登録されたオーセンティケータを使用して(例えば、指紋センサ上で指をスワイプすること、PINを入力すること、マイクロホンに向かって話すこと、第2要素デバイスを挿入すること、ボタンを押すこと等によって)問題なく認証した後にのみ使用することができる。次いで、オーセンティケータ装置は、正しい鍵を選択するために、サービスによって提供されるユーザアカウント識別子を使用し、サービスのチャレンジに暗号署名する。署名済みのチャレンジがオンラインサービスプロバイダに送り返され、オンラインサービスプロバイダは、それを記憶済みの公開鍵で検査し、ユーザをログインする。チャレンジ及び署名済みのチャレンジは、上記の一意のURLによって確立される双方向接続によって伝達され得る。
[0059] 一部の事例では、FIDO認証は、ドングル等の第2要素デバイスを必要とし得る。ドングル150は、例として示すに過ぎない。認証は、オーセンティケータ装置120と、別個の装置150との間の通信を含み得る。例えば、別個の装置は、ドングル、スマートカード、モバイル装置又は本明細書の他の箇所で記載するような他の任意の種類の装置であり得る。通信は、ハードワイヤード接続又は無線通信によって行われ得る。無線通信は、Bluetooth、無線、光接続又は他の任意の直接通信技法等による直接無線通信であり得る。通信は、別個の装置がオーセンティケータ装置の近接範囲内にある必要があり得るように近接ベースであり得る。オーセンティケータ装置と一体化し得る装置等、近接ベース認証を補助するために他の任意の種類の装置が使用され得る。例えば、バイオメトリクリーダは、オーセンティケータ装置内に一体化され得るか、又はオーセンティケータ装置と別々に設けられるが、近接ベース通信(例えば、ハードワイヤード又は直接の無線通信)を利用し得る。
[0060] 次いで、認証を確認することができる。認証プロセスが完了すると、ユーザが認証済みの個人であることをオンラインサービスプロバイダが確認し得る。任意選択的に、オンラインサービスプロバイダは、ユーザがオンライン資源へのアクセスを承認されていることも確認し得る。ユーザが認証及び/又は承認されていることが確認されると、そのユーザは、ログイン装置によってオンライン資源にアクセスすることを許可され得る。
[0061] 一意のURLを使用して、オーセンティケータ装置と、ログイン装置上で実行されるネイティブアプリケーションとの間でネットワーク接続を確立することにより、提供される方法は、オンライン資源へのアクセスに必要な認証プロセスをログイン装置がサポートしない場合でも、ユーザがログイン装置によってオンライン資源にアクセスすることを有利に許可し得る。これは、ロバストな認証も可能にしながら、ログイン装置のユーザインタフェースを使用する利益をユーザが得ることを可能にし得る。例えば、ログイン装置の方がユーザフレンドリなインタフェースを有する場合、ユーザは、オーセンティケータ装置ではなく、ログイン装置によってオンライン資源にアクセスすることを望み得る。例えば、ログイン装置の方が大きい画面、使い易いキーボード又は他の対話装置(例えば、マウス、タッチパッド、スキャナ、トラックボール、タッチスクリーン等)を有し得るか、又は快適な環境(例えば、座席、キオスク、ポッド等)内に位置し得る。
[0062] 図2は、本発明の実施形態による、第2の装置を用いて第1の装置にログインするための例示的プロセスを示す。
[0063] ユーザは、第1の装置210において、サイト上の資源にアクセスすることを最初に試み得る。資源にアクセスするための要求は、オンラインサービスプロバイダによってホストされるサイトにログインすることを含み得る。ログインするための要求は、ユーザがログインしたときに利用可能な資源にアクセスするための要求であり得る。一部の例では、ユーザがログインした後でも、資源を求める要求が行われ得る。例えば、ユーザが特定のアクションを行うことを望むとき、追加の検査又は認証が要求され得る。
[0064] 例えば、ユーザは、金融機関のサイトにログインし得る。ユーザは、追加情報を必要とせずにサイト上で特定の活動を行うことが可能であり得る。しかし、ユーザが大規模な金融取引(例えば、閾値金額を上回る取引)に関与することを望む場合、ユーザは、更なる認証を必要とし得る。資源にログイン又はアクセスするという本明細書のいかなる説明も、大規模な取引を行うこと等、更なる認証を必要とし得るユーザによる任意の種類の活動を含み得る。一部の例では、認証が取引の様々な活動に対して又は様々な段階において必要とされ得る。近接ベース認証を補助するためにオーセンティケータ装置を利用するという本明細書のいかなる説明も、最初にサイトにログインすること又はユーザがサイトにログインした後に生じることがある更なる認証を必要とし得る任意のステップを指す場合がある。
[0065] 一部の事例では、ユーザは、ログイン装置のネイティブブラウザ等のネイティブアプリケーションによって資源へのアクセスを試み得る。ログイン装置は、オンラインサービスプロバイダによって提供される資源へのオンラインポータルとしての役割を果たし得るウェブブラウザを有し得る。ブラウザについての本明細書のいかなる説明も、オンラインサービスプロバイダによって提供される資源にアクセスするためにログイン装置上に設けられ得るアプリケーションに当てはまり得る。ログイン装置は、オンラインサービスプロバイダによって提供される資源(例えば、オンラインサービスプロバイダによってホストされるウェブサイト、部分又はステップ)にアクセスするための任意の専用ソフトウェア又はダウンロードを必要としても又はしなくてもよい。
[0066] ユーザがログイン装置において資源へのアクセスを要求した後、ログイン装置においてグラフィカルコード(例えば、QRコード)が表示され得る220。グラフィカルコードは、ログイン装置のウェブブラウザ等のネイティブアプリケーション上に表示され得る。代わりに、グラフィカルコードは、ログイン装置の他のアプリケーション上に表示され得る。グラフィカルコードは、オンラインサービスプロバイダに資源を要求するために使用される同じアプリケーション又はソフトウェア上に表示され得る。例えば、ユーザが、オンラインサービスプロバイダによってホストされるサイトにログインしようと試みるためにウェブブラウザを使用する場合、グラフィカルコードを表示するためにウェブブラウザが使用され得る。
[0067] グラフィカルコードは、埋め込み情報を有し得る。例えば、QRコード内にURLが符号化され得る。上記で説明したように、URLは、依拠当事者ドメイン(例えば、オンラインサービスプロバイダドメイン)の一意のURLであり得る。URL及びQRコードは、オンラインサービスプロバイダからの要求に応答してトランスポートサービスによって生成され得る。代わりに、QRコードは、トランスポートサービスによって生成されるURLを符号化するためのウェブブラウザの埋め込みSDKによって生成され得る。
[0068] グラフィカルコードを撮像するために第2の装置を使用することができる230。第2の装置は、第1の装置と別個であり得る。第2の装置は、第1の装置と独立に動作可能であり得る。第2の装置は、第1の装置と独立に動作し得る独自のアプリケーションの組を有し得る。第2の装置は、第1の装置に近接することを必要とせずに動作可能であり得る。一例では、第2の装置は、スマートフォン、タブレット、ラップトップ又は携帯情報端末等のモバイル装置であり得る。第2の装置は、本明細書の他の箇所で記載する任意のウェアラブルデバイス等のウェアラブルデバイスであり得る。
[0069] 一部の実施形態では、第1の装置及び第2の装置の両方がネットワーク対応であり得る。第1の装置及び第2の装置は、インターネット等の広域ネットワークと通信可能であり得る。第1の装置及び/又は第2の装置は、本明細書の他の箇所で記載するような電気通信網と通信可能であり得る。第2の装置は、FIDO認証等の近接ベース認証を可能にし得るハードウェア又はソフトウェアを任意選択的に有し得る。第2の装置は、上記のオーセンティケータ装置と同じであり得る。第1の装置は、近接ベース認証を可能にするハードウェア又はソフトウェアを任意選択的に有さなくてもよい。一部の例では、第2の装置は、近接ベース認証を妨げるハードウェア又はソフトウェアを有さない。一部の例では、第1の装置は、近接ベース認証を妨げるハードウェア又はソフトウェアを有する。
[0070] 一例では、第1の装置は、キオスク、デスクトップコンピュータ、ラップトップコンピュータ、現金自動預払機(ATM)、自動販売機又はユーザがそれによりオンライン資源にアクセスすることを望み得る他の装置であり得る。第1の装置又はログイン装置についての本明細書のいかなる説明も、限定されないが、ATMを含む記載した任意の種類の第1の装置に当てはまり得る。第2の装置は、スマートフォン、タブレット、ラップトップ、携帯情報端末、ウェアラブルデバイス又は近接ベース認証が可能であり得る他の装置であり得る。第2の装置は、第1の装置よりも小さくても若しくは小さくなくてもよいか、又は可動性であっても若しくはなくてもよい。
[0071] 第2の装置は、グラフィカルコード内に埋め込まれる情報を復号可能であり得る。埋め込み情報(例えば、URL)を識別するためにグラフィカルコードの画像を使用することができる。第2の装置は、埋め込み情報を識別するために専用ソフトウェア又はアプリケーションを使用しても又はしなくてもよい。別の例では、第2の装置に搭載されたプロセッサを使用して識別をローカルに行うことができる。代わりに、グラフィカルコード内に埋め込まれた情報を識別するために、第2の装置は、リモート資源と通信することができる。
[0072] 埋め込み情報を識別することは、近接ベース認証(例えば、FIDO認証)を促し得るブラウザ(又は他のネイティブアプリケーション)を開かせることができる240。例えば、埋め込まれる情報は、URLであり得る。ブラウザは、第2の装置内において自動で開かれ得、グラフィカルコード内に符号化されるURLに導かれ得る。グラフィカルコード内に符号化されるURLは、トランスポートサービス及び/又はオンラインサービスプロバイダによってホストされ得る。トランスポートサービスは、オンラインサービスプロバイダによって運営され得、URLは、オンラインサービスプロバイダによってホスト又は運営される一意の位置(例えば、オンラインサービスプロバイダドメインの一意のURL)にユーザを導き得る。別の例では、トランスポートサービスは、オンラインサービスプロバイダとは別個のサードパーティによって運営され得、URLは、オンラインサービスプロバイダとは別個のトランスポートサービスによってホスト又は運営される一意の位置にユーザを導き得る。
[0073] グラフィカルコード内に符号化されるURLは、実質的に一意であり得る。一意のURLについての本明細書のいかなる説明も、実質的に一意である任意のURL又は他の何れのグラフィカルコードも同じURLを現在埋め込むことができない目的のために一意である任意のURLを指し得る。一意のURLは、乱数発生器又は他の任意の種類のアルゴリズム若しくは技法を使用して生成され得る。URLは、十分に一意であり得、そのため、コード/URLが依然として有効でありながら、他の何れのユーザも、その同じURLを有するQRコードを示されない。一意のURLは、オンラインサービスプロバイダドメイン内にある。例えば、URLは、ドメイン名及び一意識別子を含み得る。例えば、依拠当事者ドメインは、http://www.bank.com/loginにおける資源であり得、一意のURLは、www.bank.com/login?cid=(uuid)等、www.bank.com/loginによってホストされ得る。
[0074] 一部の例では、コード/URLは、所定の時間窓内において有効であるか、又は所定の時間後に失効し得る。一部の例では、URLが使用されていると、そのURLは、長期間(例えば、少なくとも1時間、少なくとも1日、少なくとも1週間、少なくとも1カ月間等)にわたり再び使用されてはならない。
[0075] 第2の装置内で開かれるブラウザ又はアプリケーションは、認証プロセスを促し得る。例えば、どのように認証を進めるか(例えば、FIDOチャレンジに応答するか)についての指示をユーザに表示することができる。第2の装置に一体化又は接続される(若しくは通信する)装置が必要である場合、かかる装置は、認証プロセスにおけるその装置の役割を実行するために自動で初期化又は準備されても又はされなくてもよい。
[0076] 次いで、ユーザは、第2の装置を使用して、近接ベース認証(例えば、FIDO認証)を使用する認証プロセスを受け、完了することができる250。例えば、第1の装置上のブラウザアプリケーションと、第2のアプリケーション上のブラウザアプリケーションとの間のネットワーク接続により、上記のFIDOチャレンジ及び署名済みのチャレンジが第1の装置と第2の装置との間で伝達され得る。署名済みのレスポンスが依拠当事者アプリケーション(例えば、第1の装置上のブラウザ)に送り返され、それによりFIDOレスポンスが依拠当事者ドメインに向かう。FIDOの引き継がれたセキュリティが依然として存在し、鍵が一意でありながら、FIDO認証は、依拠当事者の同じドメイン上で生じるため、確立されるチャネルは、フィッシングを有益になくす。任意選択的に、認証プロセスを通してユーザを導き得る段階的な方法で指示を与えることができる。指示は、第2の装置上に表示され得る。指示は、第2の装置のウェブブラウザ等のユーザインタフェース上に表示され得る。認証プロセスを完了するために、第2の装置は、トランスポートサービス及び/又はオンラインサービスプロバイダと通信することができる。
[0077] ユーザが第1の装置において資源にアクセスすることを可能にするために、認証が完了したことの確認をオンラインサービスプロバイダに与えることができる260。一部の事例では、認証が完了し、検査されていることを確認することをトランスポートサービスが支援し得る。例えば、トランスポートサービスは、ユーザにチャレンジを中継し、第2の装置からレスポンスを受信し得る。トランスポートサービスは、アクセスを有することができるか、又はユーザが認証プロセスを使用して認証されていることを直接確認することができる。代わりに、トランスポートサービスは、第2の装置とオンラインサービスプロバイダとの間のチャレンジ及びレスポンスを中継し得る。一部の例では、認証プロセスを完了するための情報(例えば、公開鍵、ユーザアカウント識別子等)をオンラインサービスプロバイダが有し得る。トランスポートサービスは、第2の装置とオンラインサービスプロバイダとの間で単に情報を中継することができ、オンラインサービスプロバイダは、ユーザが認証されているかどうかの判断を下すことができる。
[0078] 一部の例では、認証が確認されるとき、第2の装置上でメッセージ又は確認を表示することができる。代わりに、第2の装置上でメッセージ又は確認が表示されない。一部の例では、第1の装置が認証の何らかの形式の確認を表示することができ、及び/又は被要求資源へのアクセス(例えば、ログイン、トランザクション等)がユーザに付与され得る。
[0079] ユーザが認証プロセスを受けるが、認証されない場合(例えば、指紋が一致しない、ドングルが読み取られないか又は不適切な一致であるように思われる等)、ユーザは、再試行するように促され得る。ユーザは、ログインを試みるためのステップを再び案内され得るか、又はトラブルシューティングのヒントを与えられ得る。一部の例では、認証されるために異なる装置(例えば、第2の装置又は第1の装置と異なる装置)を使用するようにユーザが指示され得る。一部の例では、試行回数が所定の閾値を上回る場合、一定期間にわたり、ユーザは、ロックアウトされ得る。試行回数又はユーザへの提案は、オンラインサービスプロバイダによって決定され得、任意選択的にサービスプロバイダに基づいて異なり得る。
[0080] 図3は、本発明の実施形態による、第2の装置を用いて第1の装置においてアカウントを登録するための例示的プロセスを示す。
[0081] ユーザは、第1の装置において、オンラインサービスプロバイダのためのアカウントを登録するために最初にアクセスを試み得る310。登録するための要求は、オンラインサービスプロバイダによってホストされるサイトにおいて新規アカウントを作成することを含み得る。アカウントを登録するための要求は、ユーザがログインするための新規アカウントを作成し、ユーザのログイン時に利用可能な所望の資源にアクセスすることを可能にし得る。一部の例では、ユーザがアカウントを作成した後でも、認証装置を登録すること又はユーザ若しくはユーザ装置に関する情報を収集することを要求し得る資源を求める要求が行われ得る。例えば、ユーザが特定のアクションを行うことを望むとき、追加の確認又は認証が要求され得る。たとえユーザが既にアカウントを作成していても、追加の検査を要求するステップをユーザが依然として行っていない場合、そのユーザは、追加の検査に登録することを要求され得る。
[0082] 例えば、ユーザは、金融機関のサイトのためのアカウントを作成することを望み得る。サイトにログインするために、ユーザは、近接ベース認証プロセス(例えば、FIDO認証)を受ける必要があり得る。登録プロセスの一部として、ユーザは、その後の近接ベース認証を可能にするために近接ベース情報を提供する必要があり得る。例えば、ユーザがログインするためにバイオメトリク情報を提供する必要がある場合、ユーザは、自らがログインするときのための比較点として使用され得る初期バイオメトリク情報の組を提供することを要求され得る。例えば、認証が顔認識を要求する場合、ユーザは、その後の認証のためのベースラインを提供するために自らの1枚又は複数の写真を撮ることを要求され得る。別の例では、ユーザがドングル又は他の近距離無線通信装置を有する場合、ユーザは、その後の認証を可能にするために装置を登録するか又は最初にリンクする必要があり得る。上記で説明したように、オーセンティケータ装置は、オンラインサービスプロバイダへの登録中に新たな鍵の対を作成し、秘密鍵を保つことができ、公開鍵がオンラインサービスプロバイダに登録される。一部の事例では、登録中、オンラインサービスプロバイダは、ローカルに利用可能などの認証メカニズムを受け付けるか又は選択することができる。例えば、ユーザは、自らのモバイル装置を登録し、オンラインサービスに自らを認証するために使用するローカル認証手段としてその埋め込み指紋センサを選択することができる。カメラを見ること、マイクロホンに向かって話すこと又はPINを入力することを含む他の認証メカニズムも選択することができる。登録され、オンラインサービスによって受け付けられると、ユーザは、登録されたローカル認証アクションを使用してオンラインサービスに対して認証し、秘密鍵を使用してFIDOチャレンジに応答することができる。
[0083] 別の例では、ユーザは、金融機関のサイトにおいて既にアカウントを有し得る。ユーザは、追加情報を必要とせずにサイト上で特定の活動を行うことが可能であり得る。しかし、ユーザが大規模な金融取引(例えば、閾値金額を上回る取引)に関与することを望む場合、ユーザは、更なる認証を必要とし得る。資源にログイン又はアクセスするという本明細書のいかなる説明も、大規模な取引を行う等、更なる認証を必要とし得るユーザによる任意の種類の活動を含み得る。一部の例では、認証は、取引の様々な活動に対して又は様々な段階において必要とされ得る。近接ベース認証を受けるのに必要な情報をユーザが過去に登録又は提供していない場合、ユーザは、追加情報を必要とする活動を行う前にかかる登録又は提供を行うことを要求され得る。近接ベース認証に関して登録することを補助するためにオーセンティケータ装置を利用するという本明細書のいかなる説明も、最初にサイトのためのアカウントを作成すること又は更なる認証を必要とし得るサイトにユーザがログインした後に生じ得る任意のステップを指す場合がある。
[0084] 更に、ユーザは、第1の装置におけるブラウザによってアカウント及び/又は認証プロセスに登録しようと試みる場合がある。第1の装置は、オンラインサービスプロバイダによって提供される資源へのオンラインポータルとしての役割を果たし得るウェブブラウザを有し得る。ブラウザについての本明細書のいかなる説明も、オンラインサービスプロバイダによって提供される資源にアクセスし、及び/又はオンラインサービスプロバイダとのアカウントを登録できるようにするためにログイン装置上で提供され得るアプリケーションに当てはまり得る。第1の装置は、オンラインサービスプロバイダによって提供される資源(例えば、オンラインサービスプロバイダによってホストされるウェブサイト、部分又はステップ)にアクセスし、及び/又はオンラインサービスプロバイダとのアカウントを登録するための任意の専用ソフトウェア又はダウンロードを必要としても又はしなくてもよい。
[0085] ユーザがアカウントの開設を要求した後、第1の装置においてグラフィカルコード(例えば、QRコード)が表示され得る320。グラフィカルコードは、第1の装置のウェブブラウザ上に表示され得る。代わりに、グラフィカルコードは、第1の装置の他のアプリケーション上に表示され得る。グラフィカルコードは、オンラインサービスプロバイダに資源を要求するために使用される同じアプリケーション又はソフトウェア上に表示され得る。例えば、ユーザが、オンラインサービスプロバイダによってホストされるサイトにログインしようと試みるためにウェブブラウザを使用する場合、グラフィカルコードを表示するためにウェブブラウザが使用され得る。
[0086] グラフィカルコードは、埋め込み情報を有し得る。例えば、上記で説明したように、QRコード内にURLが符号化され得る。
[0087] グラフィカルコードを撮像するために第2の装置を使用することができる330。第2の装置は、第1の装置と別個であり得る。第2の装置は、第1の装置と独立に動作可能であり得る。第2の装置は、第1の装置と独立に動作し得る独自のアプリケーションの組を有し得る。第2の装置は、第1の装置に近接することを必要とせずに動作可能であり得る。一例では、第2の装置は、スマートフォン、タブレット、ラップトップ又は携帯情報端末等のモバイル装置であり得る。第2の装置は、本明細書の他の箇所で記載する任意のウェアラブルデバイス等のウェアラブルデバイスであり得る。
[0088] 一部の実施形態では、第1の装置及び第2の装置の両方がネットワーク対応であり得る。第1の装置及び第2の装置は、インターネット等の広域ネットワークと通信可能であり得る。第1の装置及び/又は第2の装置は、本明細書の他の箇所で記載するような電気通信網と通信可能であり得る。第2の装置は、FIDO認証等の近接ベース認証を可能にし得るハードウェア又はソフトウェアを任意選択的に有し得る。第1の装置は、近接ベース認証を可能にするハードウェア又はソフトウェアを任意選択的に有さなくてもよい。一部の例では、第2の装置は、近接ベース認証を妨げるハードウェア又はソフトウェアを有さない。一部の例では、第1の装置は、近接ベース認証を妨げるハードウェア又はソフトウェアを有する。
[0089] 一例では、第1の装置は、キオスク、デスクトップコンピュータ、ラップトップコンピュータ、ATM又はユーザがそれによりオンライン資源にアクセスすることを望み得る他の装置であり得る。第2の装置は、スマートフォン、タブレット、ラップトップ、携帯情報端末、ウェアラブルデバイス又は近接ベース認証が可能であり得る他の装置であり得る。第2の装置は、第1の装置よりも小さくても若しくは小さくなくてもよいか、又は可動性であっても若しくはなくてもよい。
[0090] 第2の装置は、グラフィカルコード内に埋め込まれる情報を識別可能であり得る。埋め込み情報(例えば、URL)を識別するためにグラフィカルコードの画像を使用することができる。第2の装置は、埋め込み情報を識別するために専用ソフトウェア又はアプリケーションを使用しても又はしなくてもよい。別の例では、第2の装置に搭載されたプロセッサを使用して識別をローカルに行うことができる。代わりに、グラフィカルコード内に埋め込まれた情報を識別するために、第2の装置は、リモート資源と通信することができる。
[0091] 埋め込み情報を識別することは、近接ベース認証(例えば、FIDO認証)の登録を促し得るブラウザ(又は他のアプリケーション)を開かせることができる340。例えば、埋め込まれる情報は、URLであり得る。ブラウザは、第2の装置内において自動で開かれ得、グラフィカルコード内に符号化されるURLに導かれ得る。グラフィカルコード内に符号化されるURLは、トランスポートサービス及び/又はオンラインサービスプロバイダによってホストされ得る。URLは、トランスポートサービス及び/又はオンラインサービスプロバイダと同じドメインを有し得る。一部の事例では、URLは、依拠当事者ドメインの一意のURLであり得る。例えば、依拠当事者ドメインは、http://www.bank.com/loginにおける資源であり得、一意のURLは、www.bank.com/login?cid=(uuid)等、www.bank.com/loginによってホストされ得る。トランスポートサービスは、オンラインサービスプロバイダによって運営され得、URLは、オンラインサービスプロバイダによってホスト又は運営される一意の位置にユーザを導き得る。別の例では、トランスポートサービスは、オンラインサービスプロバイダとは別個のサードパーティによって運営され得、URLは、オンラインサービスプロバイダとは別個のトランスポートサービスによってホスト又は運営される一意の位置にユーザを導き得る。
[0092] グラフィカルコード内に符号化されるURLは、実質的に一意であり得る。一意のURLについての本明細書のいかなる説明も、実質的に一意である任意のURL又は他の何れのグラフィカルコードも同じURLを現在埋め込むことができない目的のために一意である任意のURLを指し得る。一意のURLは、乱数発生器又は他の任意の種類のアルゴリズム若しくは技法を使用して生成され得る。URLは、十分に一意であり得、そのため、コード/URLが依然として有効でありながら、他の何れのユーザも、その同じURLを有するQRコードを示されない。一部の例では、コード/URLが所定の時間後に失効し得る。一部の例では、URLが使用されていると、そのURLは、長期間(例えば、少なくとも1時間、少なくとも1日、少なくとも1週間、少なくとも1カ月間、1年間等)にわたり再び使用されてはならない。
[0093] 第2の装置内で開かれるブラウザ又はアプリケーションは、登録プロセスを促し得る。例えば、どのように登録を進めるかについての指示をユーザに表示することができる。第2の装置に一体化又は接続される(若しくは通信する)装置が必要である場合、かかる装置は、登録プロセスにおけるその装置の役割を実行するために自動で初期化又は準備されても又はされなくてもよい。
[0094] 次いで、ユーザは、第2の装置を使用して、近接ベース認証(例えば、FIDO認証)のための登録プロセスを受け、完了することができる350。任意選択的に、登録プロセスを通してユーザを導き得る段階的な方法で指示を与えることができる。指示は、第2の装置上に表示され得る。指示は、第2の装置のウェブブラウザ等のユーザインタフェース上に表示され得る。登録プロセスを完了するために、第2の装置は、トランスポートサービス及び/又はオンラインサービスプロバイダと通信することができる。
[0095] ユーザが、第1の装置において、サイトのためのアカウントの作成を完了することを可能にするために、登録が完了したことの確認をオンラインサービスプロバイダに与えることができる360。一部の例では、登録を完了することは、ユーザがアカウントの作成を完了し、アカウントにログインすることを許可し得る。一部の実施形態では、登録が完了していることをトランスポートサービスが確認し得る。例えば、トランスポートサービスは、ユーザにチャレンジを提供し、第2の装置からレスポンスを受信し得る。トランスポートサービスは、アクセスを有することができるか、又はユーザが登録を完了したことを直接確認することができ、その後の近接ベース認証(例えば、FIDO認証)に必要な近接ベース情報を十分に提供する。代わりに、トランスポートサービスは、第2の装置とオンラインサービスプロバイダとの間の通信を中継し得る。一部の例では、登録プロセスを完了するために、オンラインサービスプロバイダが情報を有し得る。トランスポートサービスは、第2の装置とオンラインサービスプロバイダとの間で単に情報を中継することができ、オンラインサービスプロバイダは、近接ベース認証に関する登録が完了しているかどうかの判断を下すことができる。
[0096] 一部の例では、登録が確認されるとき、第2の装置上でメッセージ又は確認を表示することができる。代わりに、第2の装置上でメッセージ又は確認が表示されない。一部の例では、第1の装置が登録の何らかの形式の確認を表示することができ、及び/又はアカウントがユーザに付与され得る。
[0097] ユーザが登録プロセスを受けるが、エラーが発生する場合(例えば、指紋が鮮明でない、ドングルが登録されていないか又は予期しない形式である等)、ユーザは、再試行するように促され得る。ユーザは、登録を試みるためのステップを再び案内され得るか、又はトラブルシューティングのヒントを与えられ得る。一部の例では、登録されるために異なる装置(例えば、第2の装置又は第1の装置と異なる装置)を使用するようにユーザが指示され得る。一部の例では、試行回数が所定の閾値を上回る場合、一定期間にわたり、ユーザは、ロックアウトされ得る。試行回数又はユーザへの提案は、オンラインサービスプロバイダによって決定され得、任意選択的にサービスプロバイダに基づいて異なり得る。
[0098] 認証プロセスについての本明細書のいかなる説明も登録プロセスに当てはまり得る。例えば、第2の装置を使用して認証プロセスをどのように行うかについての本明細書の任意の説明は、近接ベース認証を行うために第2の装置を利用する登録システムにも当てはまり得る。認証プロセスをどのように行うことができるかについての本明細書のいかなる詳細も、登録プロセスに同様に当てはまり得る。
[0099] 図4は、本発明の実施形態による、認証セッション中に第2の装置404がグラフィカルコードを捕捉する概略図を示す。
[0100] 認証セッションは、1つ又は複数の対話型ウェブページ上でサーバによってホストされ、1人又は複数のユーザによってアクセスされ得る。第1の装置401(例えば、ログイン装置)上に表示されるQRコード等のビジュアルグラフィカルコードを走査するために、第2の装置404(例えば、オーセンティケータ装置)を使用することができる。QRコード又は他の任意のグラフィカルコードは、トランスポートシステム402によって第1の装置に提供され得る。
[0101] 第2の装置404及び第1の装置401は、別個の装置であり得る。第2の装置及び第1の装置は、互いに独立に動作可能であり得る。代わりに、第2の装置404及び第1の装置401は、同じ装置であり得る。一部の例では、第1の装置及び第2の装置は、互いに独立にネットワーク上で通信可能であり得る。第1の装置又は第2の装置は、トランスポートシステムに登録されても又はされなくてもよい。一部の例では、第1の装置及び第2の装置を登録することなく、本明細書で提供するシステム及び方法が機能可能であり得る。第1の装置及び第2の装置は、ネットワーク上でトランスポートシステムと通信可能であり得る。
[0102] 第2の装置404は、モバイル装置(例えば、スマートフォン、タブレット、ページャ、携帯情報端末(PDA))、コンピュータ(例えば、ラップトップコンピュータ、デスクトップコンピュータ、サーバ)若しくはウェアラブルデバイス(例えば、スマートウォッチ)又は本明細書の他の箇所で記載する他の任意の装置であり得る。第2の装置は、他の任意のメディアコンテンツプレーヤ、例えばセットトップボックス、テレビ受像機、テレビゲーム機又はデータを提供若しくはレンダリング可能な任意の電子装置も含み得る。第2の装置は、任意選択的に、携帯型であり得る。第2の装置は、手持ち型であり得る。第2の装置は、ローカルエリアネットワーク(LAN)、インターネット等の広域ネットワーク(WAN)、電気通信網、データネットワーク等のネットワーク又は他の任意の種類のネットワークに接続可能なネットワーク装置であり得る。
[0103] 第2の装置404は、1つ又は複数のステップを実行するためのコード、ロジック又は命令を含む非一時的コンピュータ可読媒体を含み得るメモリ記憶ユニットを含み得る。第2の装置は、登録中に生成される公開/秘密鍵及び/又は他の認証情報(例えば、バイオメトリクデータ)もローカルに記憶することができる。ユーザ装置は、例えば、非一時的コンピュータ可読媒体による1つ又は複数のステップを実行可能な1つ又は複数のプロセッサを含み得る。第2の装置は、グラフィカルユーザインタフェースを示すディスプレイを含み得る。第2の装置は、ユーザ対話装置による入力を受け付け可能であり得る。かかるユーザ対話装置の例は、キーボード、ボタン、マウス、タッチスクリーン、タッチパッド、ジョイスティック、トラックボール、カメラ、マイクロホン、運動センサ、熱センサ、慣性センサ又は他の任意の種類のユーザ対話装置を含み得る。第2の装置は、1つ又は複数の認証システムによって提供されるソフトウェア又はアプリケーションを実行可能であり得る。1つ又は複数のアプリケーションは、グラフィカルコード等のコードを読み取ることに関係しても又はしなくてもよい。
[0104] 一部の例では、ソフトウェア及び/又はアプリケーションは、ユーザが認証セッション中に別の装置又は同じ装置上に表示されるQRコード等のグラフィカル認証の印を走査し、第2の装置404とトランスポートシステム402との間で認証データを伝送することを可能にし得る。ソフトウェア及び/又はアプリケーションは、ユーザによってトランスポートシステムに登録されている場合がある。任意選択的に、ソフトウェア及び/又はアプリケーションは、トランスポートシステムに登録されていなくてもよく、オーセンティケータ装置又はログイン装置のみがトランスポートシステムに登録され得る。任意選択的に、ソフトウェア及びオーセンティケータ装置の両方又はログイン装置がトランスポートシステムに登録され得る。任意選択的に、ソフトウェア及び/又はアプリケーションは、認証データ(例えば、画像捕捉特性、捕捉時間等)を収集し、そのデータを暗号化してから認証セッション中にトランスポートサーバに送信するように構成され得る。先に説明したように、一部の例では、トランスポートサービスに事前登録されるために装置又はソフトウェアアプリケーションが不要であり得る。
[0105] 第2の装置404は、例えば、開示した実施形態と一致する1つ又は複数の操作を実行するように構成される1つ又は複数の計算装置であり得る。例えば、第2の装置は、近接ベース認証及び/又は登録に有用であり得る。第2の装置は、ビジュアルコード等の1つ又は複数のビジュアル要素を光学的に検出可能であり得る。ユーザ装置は、光学検出機器を利用することができる。光学検出機器は、ビジュアル要素を光学的に読み取り又は走査することができる。一部の実施形態では、ユーザ装置は、QRコード、テキスト、写真、そのシーケンス又は第1の装置401上に表示されている他の任意の形式のグラフィカル認証の印等のビジュアルグラフィカル要素を捕捉するように構成される撮像装置403を含み得る。撮像装置は、ハードウェア及び/又はソフトウェア要素を含み得る。一部の実施形態では、撮像装置は、ユーザ装置に動作可能に結合されるハードウェアカメラセンサであり得る。例えば、カメラセンサは、第2の装置に埋め込まれ得る。代わりに、撮像装置は、ケーブル又は無線で接続されるように第2の装置の外に位置し得、本明細書の他の箇所で記載する通信手段によってグラフィカル要素の画像データが第2の装置に伝送され得る。撮像装置は、ビジュアルグラフィカルコードを走査するように構成されるアプリケーション及び/又はソフトウェアによって制御され得る。例えば、カメラは、QRコードを走査するように構成され得る。任意選択的に、コードを走査するために第2の装置上のカメラを活性化するようにソフトウェア及び/又はアプリケーションが構成され得る。一部の例では、カメラは、第2の装置内にネイティブに埋め込まれるプロセッサによって制御され得る。任意選択的に、第1の装置401及び第2の装置404が同じ装置である場合、撮像装置は、第2の装置104の画面上のQRコードを捕捉及び/又は走査するように構成され得る画面捕捉ソフトウェア(例えば、スクリーンショット)を含み得る。
[0106] 第1の装置401は、ビジュアルグラフィカルコード(例えば、QRコード)をユーザに表示するように構成され得る。一部の実施形態では、QRコードは、ウェブページ、アプリケーション、プログラム又は任意の適切なソフトウェア等のインタフェースによって表示され得る。第1の装置401は、モニタ、コンピュータ(例えば、ラップトップコンピュータ、デスクトップコンピュータ)、モバイル装置(例えば、スマートフォン、タブレット、ページャ、携帯情報端末(PDA))、キオスク、ATM、スマートデバイス又は自動販売機であり得る。一部の例では、第1の装置は、第1の装置内にネイティブに埋め込まれる1つ又は複数のプロセッサを含み得る。第1の装置は、任意選択的に、携帯型であり得る。第1の装置は、手持ち型であり得る。
[0107] 一部の例では、ディスプレイ装置101上に表示され、撮像装置103によってその後走査されるビジュアルグラフィカルコードは、QRコードであり得る。QRコードは、正方形又は矩形状に配置される暗い及び明るいモジュールを使用することによってデータを符号化する二次元バーコードである。QRコードは、機械によって光学的に捕捉され、読み取られ得る。バーコードは、バーコードの読み取り及び復号を可能にするためのバーコードのバージョン、形式、位置、位置合わせ及びタイミング等の要素を定めることができる。バーコードの残りの部分は、様々な種類の情報をバイナリ情報又は英数字情報等の任意の種類の適切な形式で符号化することができる。撮像装置によってQRコードを妥当な距離から走査できる限り、QRコードは、様々な記号サイズを有し得る。QRコードは、任意の画像ファイル形式(例えば、EPS又はSVGベクトルグラフ、PNG、TIF、GIF又はJPEGラスタグラフィックス形式)のものであり得る。QRコードは、幾つかの標準の何れかに基づき得る。一部の例では、QRコードは、標準的なQRリーダによって読み取り可能な既知の標準に従うことができる。QRコードによって符号化される情報は、4つの標準化された種類(「モード」)のデータ(数字、英数字、バイト/バイナリ、漢字)で又はサポートされる拡張、実質的に全ての種類のデータによって構成され得る。一部の例では、QRコードが独占権下にある場合があり、そのため、ユーザ装置上で実行される認証システムによって提供される認証済みアプリケーションによってのみ読み取られ得る。一部の例では、認証システム又は認証済みアプリケーションのみがQRコードを暗号化又は復号することができる。
[0108] QRコードに情報が埋め込まれる場合がある。一部の例では、埋め込まれた情報にアクセスするために専用ソフトウェア又はアプリケーションが必要であり得る。代わりに、埋め込まれた情報にアクセスするために専用ソフトウェア又はアプリケーションが不要であり得る。第2の装置は、埋め込まれた情報にアクセスし、それを解釈することが可能であり得る。第2の装置は、ネットワーク接続性を必要とすることなしに情報にアクセスし、それを解釈することが可能であり得る。第2の装置は、ローカルに情報にアクセスし、それを解釈することが可能であり得る。代わりに、第2の装置は、埋め込み情報にアクセスし、それを解釈するために1つ又は複数のリモート資源を利用することができる。第2の装置は、符号化情報にアクセスし、それを解釈できるようにネットワーク接続性を必要とし得る。
[0109] QRコード内に埋め込まれる情報は、URLを含み得る。URLは、トランスポートサービスによってホストされ得る。トランスポートサービスは、URLのためのオンラインサービスプロバイダによるウェブサイト又はURLのためのサードパーティによるウェブサイトを利用し得る。URLは、実質的に一意であり得る。実質的に一意であることを確実にするために、URLは、乱数発生器又は他の任意の種類のアルゴリズムを使用して作成され得る。
[0110] URLは、既知の又は後に開発される任意の技法を使用してQRコード内に符号化され得る。
[0111] QRコードを走査することは、URLによって定められるサイトに第2の装置が自動で導かれることを引き起こし得る。第2の装置は、第2の装置のローカルブラウザを自動で開き、URLに導かれ得る。代わりに、第2の装置は、第2の装置上のアプリケーションを自動で開き、URLに導かれ得る。URLにアクセスするためにユーザは、続行するように促されても又は促されなくてもよい。
[0112] 図5Aは、本発明の実施形態による、認証に役立つウェブソケットの使用を示す例示的な概略図を示す。
[0113] ウェブブラウザ510がログイン装置上で動作し得る。ウェブブラウザは、ネットワーク対応の装置上で動作し得る。ウェブブラウザは、トランスポートサービス530を介してオーセンティケータ520とウェブソケット接続を確立可能であり得る。ウェブソケット接続についての本明細書のいかなる説明も、任意の種類の双方向通信チャネルに当てはまり得る。一部の実施形態では、接続は、全二重通信チャネルを提供し得る。かかる通信チャネルは、単一のTCP(伝送制御プロトコル)接続上で提供され得る。一部の実施形態では、この接続は、HTTP適合であり得るか、又はHTTP適合の初期ハンドシェイクを利用し得る。この接続は、ウェブブラウザとトランスポートサービスの1つ又は複数のサーバとの間の対話をオーバヘッドが少ない状態で可能にし得る。ウェブソケットは、クライアントとサーバとの間の接続が何れかの当事者(クライアント又はサーバ)によって終了されるまで生き続けることを意味するステートフルプロトコルである。HTTPが接続ごとに要求及びレスポンスを必要とするのと異なり、ウェブソケットによって確立される接続は、HTTPよりも少ないオーバヘッドで対話を可能にし得る。これは、FIDO認証中のチャレンジ及びレスポンスのための高速通信を有益に可能にする。ウェブソケット接続についての本明細書のいかなる説明も、これらの特性の何れかを有する接続に当てはまり得る。ウェブソケットについての本明細書のいかなる説明も、ウェブブラウザとトランスポートサービスとの間の双方向通信を可能にする任意の通信に当てはまり得る。
[0114] ウェブブラウザとトランスポートサービスとの間のウェブソケット接続は、ウェブブラウザが一意のURLを要求することを可能にし得る。一部の実施形態では、ユーザが他の任意の種類の資源にログイン又はアクセスしようと試みるとき、ウェブブラウザは、URLを求める要求を自動で生成することができる。一部の実施形態では、ログイン装置が所要の認証(例えば、FIDO認証等の近接ベース認証)を行うことができないことが検出されるとき、ウェブブラウザは、URLを求める要求を自動で生成することができる。任意選択的に、ウェブブラウザは、URLを要求するユーザ入力に応答してURLを求める要求を生成することができる。
[0115] トランスポートサービスは、一意のURLを生成することができる。一意のURLは、実質的に一意であり得、トランスポートサービスによってホストされ得る。トランスポートサービスは、オンラインサービスプロバイダによって運営され得る。例えば、ユーザがhttp://www.bank.comにおける資源にアクセスしようと試みている場合、トランスポートサービスは、www.bank.com/によってホストされるURLを任意選択的に提供することができる。他の実施形態では、トランスポートサービスは、オンラインサービスプロバイダとは独立に所有され、運営され得る。例えば、ユーザがhttp://www.bank.comにおける資源にアクセスしようと試みている場合、トランスポートサービスは、www.transportservice.com/によってホストされるURLを任意選択的に提供することができる。
[0116] URLは、依拠当事者のドメイン名及び一意識別子を含み得る。トランスポートサービスは、URL内の一意識別子をランダム化された方法で生成することができる。トランスポートサービスは、1つ又は複数のアルゴリズムを用いてURLを生成することができる。URLは、一連のランダム又は疑似ランダム文字列であり得る。URLは、少なくとも10文字、15文字、20文字、30文字、40文字又は50文字の長さであり得る。トランスポートサービスは、同じURLが現在活性状態にないこと又は同じURLが過去の所定期間以内(例えば、過去1時間、1日、1週間、1カ月間、1年間以内等)に生成若しくは活性化されていないことを確実にするために、ランダムURLの生成後にチェックを行うことができる。
[0117] URLがトランスポートサービスによって生成されると、そのURLがウェブブラウザに送信され得る。ウェブブラウザは、URLを符号化し得るQRコード等のグラフィカルコードを生成することができる。他の例では、URLが符号化されたQRコードをトランスポートサービスが生成し得る。QRコードは、ウェブブラウザに送信され得る。QRコードは、ウェブブラウザ上に表示され得る。
[0118] オーセンティケータ520がQRコードを走査することができる。オーセンティケータは、本明細書の他の箇所に記載するような任意の装置であり得る。オーセンティケータは、QRコードの画像を捕捉し得る撮像装置を有することができる。オーセンティケータは、QRコードからの符号化済みのURLにアクセス可能であり得る。オーセンティケータは、QRコードからのURLにアクセスするために専用ソフトウェア又はアプリケーションを使用しても又はしなくてもよい。オーセンティケータは、QRコードからのURLにアクセスし得るリモート装置と通信するためにネットワーク接続を利用することができる。
[0119] URLにアクセスすることは、オーセンティケータ内で新たなブラウザが開くことを引き起こし得る。オーセンティケータに搭載されたブラウザは、ログイン装置におけるウェブブラウザと別々に又は独立に動作している場合がある。オーセンティケータ上のブラウザについての本明細書のいかなる説明も、オーセンティケータ上で開かれ得るアプリケーションに当てはまり得る。新たなブラウザは、URLを自動で開き得る。一部の実施形態では、QRコードの画像捕捉時にユーザ入力を必要とすることなしに新たなブラウザが自動で開かれ、URLに導かれ得る。代わりに、1つ又は複数の行動を取るように又はURLを開くことを承認するようにユーザが促される場合がある。
[0120] オーセンティケータ520とトランスポートサービス530との間にウェブソケット接続が確立され得る。ウェブブラウザ510及びオーセンティケータ520間のウェブソケットを確立するためのプロキシとしてトランスポートサービス530が機能するように、ウェブソケット接続は、一意のURLを使用して確立され得る。先に記載したように、ウェブソケット接続についての本明細書のいかなる説明も任意の種類の双方向通信チャネルに当てはまり得る。一部の実施形態では、接続は、全二重通信チャネルを提供し得る。かかる通信チャネルは、単一のTCP(伝送制御プロトコル)接続上で提供され得る。一部の実施形態では、この接続は、HTTP適合であり得るか、又はHTTP適合の初期ハンドシェイクを利用し得る。この接続は、オーセンティケータのブラウザとトランスポートサービスの1つ又は複数のサーバとの間の対話をオーバヘッドが少ない状態で可能にし得る。一部の実施形態では、この接続は、HTTPよりも少ないオーバヘッドで対話を可能にし得る。ウェブソケット接続についての本明細書のいかなる説明も、これらの特性の何れかを有する接続に当てはまり得る。ウェブソケットについての本明細書のいかなる説明も、オーセンティケータのブラウザとトランスポートサービスとの間の双方向通信を可能にする任意の通信に当てはまり得る。
[0121] ウェブブラウザ510及びトランスポートサービス530と同じ種類の接続は、オーセンティケータ520とトランスポートサービス530との間に確立され得る。一部の実施形態では、本明細書で提供するシステム及び方法に関して、トランスポートサービスとウェブブラウザ及びオーセンティケータの両方との間の任意の種類の双方向通信があれば十分であり得る。一部の実施形態では、ウェブブラウザ及びオーセンティケータが何らかの種類のネットワーク接続性(例えば、インターネット、電気通信網、データネットワーク等)を有する限り、本明細書で提供するシステム及び方法は、動作可能であり得る。
[0122] URLは、オーセンティケータとトランスポートサービスとの間のウェブソケット接続を作成するために使用され得る。その後、ユーザは、オーセンティケータ上で所要の完全な認証プロセスを行うことが可能であり得る。所要の完全な認証を行うのに必要なチャレンジ及びレスポンスは、トランスポートサービスとオーセンティケータとの間で移送され得る。所要の認証は、FIDO認証等の近接ベース認証であり得る。本明細書の他の箇所で記載する認証技法の何れもオーセンティケータを使用して実行され得る。
[0123] 認証が確認されると、ユーザは、元のウェブブラウザ510において被要求資源にアクセス(例えば、ウェブサイトにログイン)可能であり得る。トランスポートサービスは、オンラインサービスプロバイダに認証の確認を伝達することができ、オンラインサービスプロバイダは、資源へのアクセスを付与し得る。その後、ユーザは、ログイン装置上の元のウェブブラウザと標準操作で対話することができる。
[0124] 本明細書で提供するシステム及び方法は、所要の認証(例えば、近接ベース認証)をサポートしない可能性がある装置上のウェブブラウザとユーザが対話することを有利に可能にし得る。ユーザは、認証を行うためにオーセンティケータ装置を使用し、認証が確認される場合に元のウェブブラウザと対話することができる。この形態は、所要の認証を典型的にはサポートしない可能性がある様々な装置においてユーザが資源にアクセスするための柔軟性の向上をもたらし得る。
[0125] 図5Bは、本発明の実施形態による認証に役立つウェブソケットの使用を示す別の例示的な概略図を示す。本明細書の他の箇所で記載する特性又はステップの何れも適用され得る。
[0126] ログイン装置上のウェブブラウザ510とトランスポートサービス530との間にウェブソケット接続が確立される。ウェブブラウザによって一意のURLが受信され得、URLが符号化されたQRコード等のグラフィカルコードは、ウェブブラウザ上に表示され得る。モバイル装置等のオーセンティケータ520は、グラフィカルコードの画像を捕捉し得る。モバイル装置は、グラフィカルコードを走査し、URLを開くことができる。オーセンティケータは、一意のURLを使用してウェブソケット接続を確立することができる。
[0127] FIDOチャレンジが応答部540によってウェブブラウザに提供され得る。トランスポートサービスがFIDO認証のためのチャレンジ及びレスポンスをオーセンティケータに移送し得る。次いで、チャレンジに対するFIDOレスポンスをウェブブラウザが依拠当事者に伝えることができる。
[0128] 図6Aは、本発明の実施形態による、資源にアクセスするためのユーザを認証するための例示的方法を示す。一部の実施形態では、ログイン装置601、オーセンティケータ装置602、サービスプロバイダサーバ603、トランスポートサービス604及び近接ベースオーセンティケータ605が設けられ得る。
[0129] サービスプロバイダサーバ及びトランスポートサービスは、同じサーバ又は別個のサーバとして設けることができる。トランスポートサービスは、全体的なサービスプロバイダシステムの一部であり得るか、又はサービスプロバイダシステムとは別個であり得る。サービスプロバイダ又はトランスポートシステムによって実行され得るステップについての本明細書のいかなる説明も同じエンティティによって実行され得る。
[0130] 同様に、近接ベースオーセンティケータは、ドングルとして図示され得るが、近接ベース認証を行うために必要な任意のハードウェア若しくはソフトウェア又はユーザプレゼンスに当てはまり得る。例えば、オーセンティケータ装置は、バイオメトリクリーダ、カメラ、マイクロホン、温度センサ、圧力センサ、超音波センサ、アンテナ等のローカルハードウェア又は近接ベース認証を可能にし得る他の種類のハードウェアを有し得る。同様に、オーセンティケータは、近接ベース認証に有用であり得る専用ソフトウェアを有し得る。一部の例では、近接ベース認証に外部装置(例えば、ドングル、スマートカード、モバイル装置等)が必要とされる場合がある。一部の例では、近接ベース認証に(例えば、バイオメトリク読み取りのために)ユーザの物理的存在が必要とされる場合がある。
[0131] ユーザは、オンライン資源にアクセスすることを望む場合がある。ユーザは、ログイン装置601と対話することができる。ユーザは、ログイン装置のブラウザと対話することができる。ログイン装置(例えば、ログイン装置のブラウザ)は、資源へのアクセスを要求し得る610。この要求は、サービスプロバイダサーバ603に提供され得る。
[0132] 一部の実施形態では、近接ベース認証がログイン装置上で無効にされていると判定され得る。一部の例では、近接ベース認証がログイン装置上で有効にされていないことを示す入力をユーザが与え得る。代わりに、ログイン装置上で近接ベース認証が無効にされているいかなる指示も必要とされない場合がある。
[0133] トランスポートサービスとウェブソケット接続を確立することができる612。ログイン装置は、セッションのためのQRコードを要求することができる。一意のURLが符号化されたQRコードをトランスポートサービスが生成し得る613。上記のように、一意のURLは、依拠当事者のドメイン内にある。代わりに、トランスポートサービスは、一意のURLのみを生成し得る。
[0134] 一部の実施形態では、トランスポートサービスは、ログイン装置にQRコードを提供し得る614。代わりに、トランスポートサービスは、ログイン装置にURLを与えることができ、URLが符号化されたQRコードをログイン装置が生成し得る。
[0135] ログイン装置は、QRコードを表示することができる615。QRコードは、ログイン装置のウェブブラウザ上に表示され得る。
[0136] オーセンティケータ装置602がQRコードを走査し得る616。オーセンティケータ装置は、QRコードの画像を捕捉し得る1つ又は複数のカメラを有し得る。一部の実施形態では、符号化情報を読み取り可能な十分な明瞭度で撮像装置がQRコードの画像を捕捉可能であり得る。捕捉される画像が十分明瞭でない場合、オーセンティケータは、別の写真を撮るように促され得る。
[0137] オーセンティケータ装置は、オーセンティケータ装置のローカルブラウザ内において、QRコード内に符号化されたURLを開くことができる617。代わりに又は加えて、走査したQRコードに基づいてアプリケーションを開くことができる。
[0138] URLを使用して、オーセンティケータとトランスポートサービスとの間でウェブソケット接続を確立することができる618。URLは、実質的に一意であり得る。たとえ他の装置が様々なログインセッションのためにトランスポートサービスを使用していても、その通信及び認証は、一意のURLに基づいて分離されたままであり得る。
[0139] トランスポートサービスは、QRコードの走査に関してログイン装置に通知することができる6181。ログイン装置は、サービスプロバイダにFIDOチャレンジを要求することができる6182。ログイン装置は、FIDOチャレンジを送信することもできる6183。
[0140] トランスポートサービスは、FIDO認証のためのチャレンジをオーセンティケータに移送することができる619。オーセンティケータは、FIDO情報を収集するための要求を行うことができる620。この要求は、バイオメトリク情報を提供するためのユーザに対する要求を含むことができ、オーセンティケータ又はリモート装置において入力を行うためのユーザに対する要求であり得、ドングル又はスマートカード等のリモート装置に対する要求若しくはping又は近接ベース認証を完了するために必要であり得る他の種類の要求を含み得る。
[0141] 要求された情報が提供され得る621。例えば、オーセンティケータによる要求にリモート装置が応答することができる。一部の実施形態では、リモート装置とオーセンティケータとの間で直接の無線通信(例えば、Bluetooth、無線、光、赤外線等)又は有線通信が生じ得る。リモート装置は、認証を行うためにオーセンティケータに近接する必要があり得る近距離無線通信装置又は任意の種類の装置であり得る。別の例では、バイオメトリク情報を提供するためにユーザが要求に応答し得る。
[0142] オーセンティケータは、FIDO認証のためのレスポンスをトランスポートサービスに移送することができる622。トランスポートサービスは、ログイン装置にFIDO認証レスポンスを伝えることができる623。ログイン装置は、サービスプロバイダサーバにFIDO認証レスポンスを伝えることができる6231。サービスプロバイダは、ユーザの承認を判定することができる624。サービスプロバイダは、ユーザが被要求資源にアクセスすることを承認されているかどうか判定することができる。
[0143] 被要求資源にアクセスすることを承認されているとユーザが判定される場合、資源へのアクセスがユーザに付与され得る625。サービスプロバイダは、ユーザが資源にアクセスすることをログイン装置上のブラウザに許可させ得る更新を提供することができる。
[0144] 図6Bは、本発明の実施形態による、資源にアクセスするためのユーザを認証するための別の例示的方法を示す。本明細書の他の箇所で記載する特徴、特性又はステップの何れも適用され得る。例えば、ユーザは、ログイン装置(例えば、ATM)と対話することによってオンライン資源にアクセスすることを望む場合がある。ユーザは、ATMのネイティブブラウザと対話することができる。ログイン装置(例えば、ATMのブラウザ)は、資源(例えば、https://bank.com/login)へのアクセスを要求し得る。要求は、依拠当事者に提供され得る。ウェブソケット接続を確立するために、ログイン装置(例えば、ATM)は、トランスポートサービスに要求を送信し得る。
[0145] 要求に応答して、トランスポートサービスは、依拠当事者ドメインの一意のURL(https://bank.com/login?cid=(uuid))を生成することができる。例えば、URLは、ドメイン名bank.com及び一意識別子uuidを含む。
[0146] URLを受信すると、ブラウザに組み込まれるソフトウェア開発キット(SDK)を用いて、URLと共に符号化されるQRコードをATMのネイティブブラウザが生成し、レンダリングし得る。例えば、トランスポートサービスは、装置のネイティブアプリケーション内に埋め込まれるソフトウェア開発キット(SDK)若しくはライブラリ、他のアプリケーションによって呼び出し可能な独立型アプリケーション及び/又はオペレーティングシステムレベルで呼び出し可能なサービスを含み得る。SDK又はライブラリは、一意のURLと共に符号化されるQRコードをATMブラウザが生成することを可能にし得る。
[0147] ユーザは、ユーザ装置を使用してQRコードを走査することができ、ユーザ装置は、URLにナビゲートされ得る。例えば、ユーザ装置上のネイティブブラウザは、依拠当事者によってホストされる一意のURLに導かれ得る。同時に、ユーザ装置は、URL内の一意識別子を使用してトランスポートサービスとのウェブソケット接続を確立することができる。これにより、トランスポートサービスを介したユーザ装置とATMとの間の双方向のウェブソケット接続が確立される。ユーザ装置とのウェブソケット接続が確立されていることを示す通知をトランスポートサービスから受信すると、ATMは、依拠当事者に通知することができ、依拠当事者は、ATMのネイティブブラウザにFIDO認証要求を送信することができる。次いで、ATMのネイティブブラウザは、ウェブソケット接続を介してユーザ装置のネイティブブラウザにFIDO認証要求を移送することができる。
[0148] 次いで、ユーザは、オーセンティケータ等とユーザ装置においてFIDO認証をローカルに行うように促され得る(例えば、近接ベース認証)。認証されると、オーセンティケータは、チャレンジ要求に署名し、ユーザ装置のネイティブブラウザがウェブソケット接続を介してATMのネイティブブラウザにレスポンスを送り返すことができる。依拠当事者は、認証結果を知らされ得る。
[0149] 上記の認証プロセス中、FIDOチャレンジ及びレスポンスが依拠当事者のドメイン内で伝達され、それは、ネットワーク移送のセキュリティを有益に高める。QRコードを用いて及びネイティブブラウザアプリケーションの活性化により、ATMとユーザ装置との間のペアリングも単純化される。
[0150] 図7は、本発明の実施形態による1つ又は複数の認証システムを示す例示的なネットワークレイアウトを示す。一態様では、ネットワークレイアウトは、複数のオーセンティケータ装置702、1つ又は複数のサーバ704、ネットワーク706、1つ又は複数のデータベース712、複数のログイン装置714、複数のトランスポートサーバ708及び1つ又は複数のトランスポートシステム710を含み得る。コンポーネント702、704、708、710及び714のそれぞれは、ネットワーク706又はあるコンポーネントから別のコンポーネントへのデータの伝送を可能にする他の任意の種類の通信リンクによって互いに動作可能に接続され得る。
[0151] 本明細書で先に記載したオーセンティケータ装置702は、例えば、開示した実施形態と一致する1つ又は複数の操作を実行するように構成される1つ又は複数の計算装置であり得る。例えば、オーセンティケータ装置は、近接ベース認証を含むソフトウェア又はアプリケーションを実行可能な計算装置であり得る。一部の実施形態では、ソフトウェア及び/又はアプリケーションは、ユーザが、認証セッション中に別の装置上に表示されたQRコード又は他の任意の種類のグラフィカルコードを走査し、そのQRコードを処理し、オーセンティケータ装置とトランスポートシステムとの間で認証データを伝送することを可能にし得る。ソフトウェア及び/又はアプリケーションは、ユーザによってトランスポートシステムに登録されていても又はいなくてもよい。任意選択的に、ソフトウェア及び/又はアプリケーションは、トランスポートシステムに登録されなくてもよい。一部の実施形態では、アプリケーションは、認証セッション中に認証データ(例えば、画像の捕捉、捕捉時間等)を収集し、そのデータを暗号化してからトランスポートサーバに送信するように構成され得る。認証セッションは、1つ又は複数の対話型ウェブページ上でサービスプロバイダサーバ704によってホストされ、1人又は複数のユーザによってアクセスされ得る。
[0152] 先に記載したように、オーセンティケータ装置702は、カメラ及び/又は撮像ソフトウェア等の撮像装置を含み得る。カメラ及び/又は撮像ソフトウェアは、QRコード又はビジュアルグラフィカルバーコードを捕捉可能であるように構成され得る。
[0153] 一部の例では、ネットワーク706は、複数のオーセンティケータ装置702を含み得る。各オーセンティケータ装置は、1人又は複数のユーザに関連しても又はしなくてもよい。1人又は複数のユーザは、地理的に同じ位置にいることができ、例えば同じオフィス又は同じ地理的位置で働いているユーザであり得る。一部の例では、ユーザ及びオーセンティケータ装置の一部又は全ては、離れた地理的位置(例えば、異なる都市、国等)にあり得るが、それは、本発明の限定ではない。
[0154] ネットワークレイアウトは、複数のノードを含み得る。ノードは、電気通信網の一部であり得る。ノードは、情報を受信及び/又は中継することができる。ノードは、中継され得る情報を生成することができる。ネットワーク内の各オーセンティケータ装置702は、ノードに対応し得る。図7では、「オーセンティケータ装置702」の後に数字又は文字が続く場合、「オーセンティケータ装置702」は、同じ数字又は文字を共有するノード及びノードに対応する他のコンポーネントに対応し得ることを意味する。例えば、図7に示すように、オーセンティケータ装置702-1は、ユーザ1、ログイン装置714-1及びサーバ704-1に関連するノード1に対応することができ、オーセンティケータ装置702-2は、ユーザ2、ログイン装置714-2及びサーバ704-2に関連するノード2に対応することができ、オーセンティケータ装置702-kは、ユーザk、オーセンティケータ装置714-k及びサーバ704-kに関連するノードkに対応することができ、ここで、kは、任意の正の整数であり得る。
[0155] ノードは、ネットワークレイアウト内の論理的に独立したエンティティであり得る。従って、ネットワークレイアウト内の複数のノードが様々なエンティティを表すことができる。例えば、各ノードは、ユーザ、ユーザの集団又はユーザの複数の集団に関連し得る。例えば、ノードは、個々のエンティティ(例えば、個人)に対応し得る。別の例では、ノードは、複数のエンティティ(例えば、個人の集団)に対応し得る。
[0156] 任意の数の認証セッションが同時に又は逐次的に行われ得る。一部の実施形態では、複数の個人が、同じサービスプロバイダ又は複数のサービスプロバイダによってホストされるウェブサイトに同時にログインしようと試みている場合がある。図示のように、一部の例では、トランスポートサービスは、様々なサービスプロバイダの複数のサーバと通信し得るか、又はかかる複数のサーバをサポートし得る。別の例では、各サーバ又はオンラインサービスプロバイダは、その特定のオンラインサービスプロバイダをサポートする独自のトランスポートサービスを有し得る。トランスポートサービスは、サービスプロバイダのサーバ上で動作することができ、別個のトランスポートサービス/トランスポートサーバが不要であり得る。
[0157] ユーザは、認証システムに登録されるか又は関連付けられ得る。例えば、ユーザは、サービスプロバイダサーバ704の1つ又は複数を提供及び/又は管理するエンティティ(例えば、企業、組織、個人等)の登録ユーザであり得る。1人のユーザが1つ又は複数のオーセンティケータ装置702に関連付けられ得るか、又はかかるオーセンティケータ装置702を使用することができる。1つのオンラインサービスプロバイダが1つ又は複数のサーバ704に関連し得る。開示した実施形態は、ユーザと、オンラインサービスプロバイダ又はサーバ704、データベース712、トランスポートサービス708及びトランスポートシステム710との間のいかなる特定の関係又は提携にも限定されない。
[0158] オーセンティケータ装置702は、1人又は複数のユーザから入力を受信するように構成され得る。ユーザは、例えば、キーボード、マウス、タッチスクリーンパネル、音声認識等の入力装置及び/又は口述ソフトウェア或いは上記のものの任意の組み合わせを使用してユーザ装置に入力を与え得る。他のユーザ対話装置の例は、ボタン、タッチパッド、ジョイスティック、トラックボール、カメラ、マイクロホン、運動センサ、熱センサ、慣性センサ又は他の任意の種類のユーザ対話装置を含み得る。入力は、認証セッション中又は認証セッション前にユーザが様々な仮想アクションを行うことを含み得る。入力は、例えば、指紋、手の走査、虹彩の走査、顔認識、ジェスチャ、歩行、声又は他の任意の特徴等、ユーザを認証するためのバイオメトリク情報を含み得る。入力は、ユーザが持ち運ぶか又は着用するオブジェクトの活性化又は近接性を含み得る。
[0159] 図7の解説図では、トランスポートサーバ708及び各認証装置702、サービスプロバイダサーバ704及び各認証装置702、認証サーバ708及び各サービスプロバイダサーバ704、サービスプロバイダサーバ704及び各ログイン装置714、トランスポートサーバ708及び各ログイン装置714等を含む任意の2つのコンポーネント間で双方向のデータ転送機能が提供され得る。
[0160] トランスポートサーバ708は、開示した実施形態と一致する1つ又は複数の動作を実行するように構成される1つ又は複数のサーバコンピュータを含み得る。一態様では、トランスポートを単一のコンピュータとして実装することができ、オーセンティケータ装置702及び/又はログイン装置714は、そのコンピュータを介してネットワーク706の他のコンポーネントと通信することができる。一部の例では、オーセンティケータ装置は、ネットワークを介してトランスポートサーバと通信することができる。他の例では、トランスポートサーバは、オーセンティケータ装置及び/又はログイン装置の代わりに、ネットワークを介して1つ又は複数のトランスポートシステム710又はデータベース712と通信することができる。一態様では、トランスポートサーバは、1つ又は複数のトランスポートシステムの機能を具体化し得る。別の態様では、1つ又は複数のトランスポートシステムは、サービスプロバイダサーバの内部及び/又は外部に実装され得る。いかなるサーバもデータネットワーク(例えば、クラウドコンピューティングネットワーク)内のサーバであり得る。
[0161] 一部の例では、オーセンティケータ装置及び/又はログイン装置は、別々のリンクを介してトランスポートサーバに直接接続され得る。それらは、ウェブソケットによって直接接続され得る。特定の例では、開示する特定の実施形態と一致する1つ又は複数のトランスポートシステムへのアクセスを提供するように構成されるフロントエンド装置として動作するようにトランスポートサーバが構成され得る。一部の例では、認証目的及びユーザ情報投入目的で認証データ(例えば、タイムスタンプ、検証ID等)及びユーザ情報要求データを比較し、マッチするために、トランスポートサーバは、1つ又は複数のトランスポートシステムを利用してオーセンティケータ装置によって提供されるデータ(例えば、FIDO認証データ)を処理することができる。トランスポートサーバは、認証データ、ユーザに関するユーザ情報データ及びオンラインサービスプロバイダに関するユーザ情報要求データを1つ又は複数のデータベース712内に記憶するように構成され得る。トランスポートサーバは、1つ又は複数のデータベース内に記憶される認証データを検索し、取得し、解析(例えば、解読、復号、比較等)するようにも構成され得る。トランスポートサーバは、1つ又は複数のデータベース内のユーザ情報データ及びユーザ情報要求データを検索し、取得し、記憶するようにも構成され得る。先に記載したように、トランスポートサービスは、1つ又は複数のサービスプロバイダ上で動作している場合があり、トランスポートサーバについての本明細書のいかなる記載も任意の個々のサービスプロバイダサーバに当てはまり得る。
[0162] 一部の例では、オンラインアカウントを開設するか又はかかるオンラインアカウントにアクセスするために、オーセンティケータ装置702及び/又はログイン装置714がオンラインサービスプロバイダのサーバ704に直接接続され得る。一部の例では、サーバがウェブサーバ、エンタプライズサーバ又は他の任意の種類のコンピュータサーバを含むことができ、計算装置(例えば、ユーザ装置、公に共有される装置)から要求(例えば、データ伝送を開始し得るHTTP又は他のプロトコル)を受け付け、及び要求されたデータを計算装置に提供するようにコンピュータプログラムされ得る。加えて、サーバは、FTA(無料放送)、ケーブル、衛星等の放送設備及びデータを配信するための他の放送設備であり得る。サーバは、データネットワーク(例えば、クラウドコンピューティングネットワーク)内のサーバでもあり得る。
[0163] サーバ704は、1つ又は複数のプロセッサ、プロセッサによって実行されるソフトウェア命令及びデータを記憶する1つ又は複数のメモリ装置等の既知の計算コンポーネントを含み得る。サーバは、1つ又は複数のプロセッサ及びプログラム命令を記憶するための少なくとも1つのメモリを有し得る。1つ又は複数のプロセッサは、特定の命令集合を実行可能な単一の又は複数のマイクロプロセッサ、書替え可能ゲートアレイ(FPGA)又はデジタル信号プロセッサ(DSP)であり得る。フレキシブルディスク、ハードディスク、CD-ROM(コンパクトディスク読取専用メモリ)、MO(光磁気)、DVD-ROM(デジタル多用途ディスク読取専用メモリ)、DVD RAM(デジタル多用途ディスクランダムアクセスメモリ)又は半導体メモリ等の有形の非一時的コンピュータ可読媒体上にコンピュータ可読命令が記憶され得る。代わりに、本明細書で開示した方法は、例えば、ASIC(特定用途向け集積回路)、専用コンピュータ若しくは汎用コンピュータ等のハードウェアコンポーネント又はハードウェアとソフトウェアとの組み合わせによって実装することができる。図7では、トランスポートサーバ708を単一のサーバとして示すが、一部の実施形態では、トランスポートサーバに関連する機能を複数の装置が実装することができるか、又はトランスポートサーバの機能がサービスプロバイダサーバ714によって実行され得る。
[0164] ネットワーク706は、ネットワークレイアウトの様々なコンポーネント間の通信を提供するように構成され得る。ネットワークは、ネットワークレイアウト内の装置及び/又はコンポーネントをそれらの装置及び/又はコンポーネント間の通信を可能にするために接続する1つ又は複数のネットワークを含み得る。例えば、ネットワークは、インターネット、無線ネットワーク、有線ネットワーク、ローカルエリアネットワーク(LAN)、広域ネットワーク(WAN)、Bluetooth、近距離無線通信(NFC)又はネットワークレイアウトの1つ若しくは複数のコンポーネント間の通信を提供する他の任意の種類のネットワークとして実装され得る。一部の実施形態では、ネットワークは、セル及び/又はページャネットワーク、衛星、認可無線又は認可無線と無認可無線との組み合わせを使用して実装され得る。ネットワークは、無線、有線(例えば、イーサネット)又はその組み合わせであり得る。
[0165] 1つ又は複数のトランスポートシステム710は、1つ又は複数のプロセッサによって実行されるとき、そのそれぞれが特定のセッション(例えば、検証ID、セッションID等)に関連する複数の一意のURL及び/又はビジュアルグラフィカルコード(例えば、QRコード)を要求時に生成し、コード又はコードのロケータをサーバ704に与えることができる命令を記憶する1つ又は複数のコンピュータとして実装され得る。ユーザは、オーセンティケータ装置702によってコードを走査し、1つ又は複数のトランスポートシステムに走査データを送り返すことができる。一方的認証又は相互認証のために、1つ又は複数のトランスポートシステムは、そのコード及び/又は走査データに基づいてオンラインサービスプロバイダにユーザ認証を与え、及び/又はユーザにオンラインサービスプロバイダ認証を与えることができる。1つ又は複数のトランスポートシステムは、ユーザの認証に関する決定を行い得るオンラインサービスプロバイダに情報を単純に伝えることができる。検査されると、トランスポートシステムは、オンラインサービスプロバイダに確認を与えることができ、それは、ユーザがログイン装置上で被要求資源にアクセスできるようにし得る。一部の例では、サーバは、1つ若しくは複数のトランスポートシステム及び/又は認証システムが実装されるコンピュータを含み得る。代わりに、トランスポートサーバは、1つ又は複数の認証システムが実装されるコンピュータを含み得る。代わりに、1つ又は複数のトランスポートシステムは、別個のコンピュータ上に実装され得る。
[0166] サーバは、開示した実施形態と一致する1つ又は複数のプロセスを実行するために1つ又は複数の認証システムにアクセスし、かかる認証システムを実行することができる。特定の構成では、1つ又は複数の認証システムは、サーバによってアクセス可能なメモリ内(例えば、サーバにとってローカルなメモリ又はネットワーク等の通信リンク上でアクセス可能なリモートメモリ内)に記憶されるソフトウェアであり得る。従って、特定の態様では、1つ又は複数の認証システムは、1つ又は複数のコンピュータとして、サーバによってアクセス可能なメモリ装置上に記憶されるソフトウェアとして又はその組み合わせとして実装され得る。例えば、ある認証システムは、1つ又は複数の認証技法を実行するコンピュータハードウェアであり得、別の認証システムは、サーバによって実行されるとき1つ又は複数の認証技法を実行するソフトウェアであり得る。
[0167] 1つ又は複数の認証システムは、様々な異なる方法でユーザを認証するために使用され得る。例えば、1つ又は複数の認証システムは、オーセンティケータ装置を用いて収集されるFIDO認証に基づいて、ユーザを認証するためのアルゴリズムを実行するソフトウェアを記憶及び/又は実行することができる。1つ又は複数のトランスポートシステムは、特定の検証IDを有する一意のURL及び/又はビジュアルグラフィカルコード(例えば、QRコード)を生成するためのアルゴリズムを実行するソフトウェアも記憶及び/又は実行し得る。トランスポートシステムは、1つ又は複数の認証システムと通信することができ、ユーザに関するユーザ情報及びオンラインサービスプロバイダに関するユーザ情報要求データを検索、取得及び記憶するためのアルゴリズムを実行するソフトウェアを更に記憶及び/又は実行することができる。
[0168] 開示した実施形態は、認証完了後に所要のユーザ情報を提供することを含め、1つ又は複数の認証技法及び認証シーケンスを実行するために様々なアルゴリズムが実行され得るように1つ又は複数の認証システムを実装するように構成され得る。上記のアルゴリズムを実行するための複数の認証システムを記載してきたが、アルゴリズムの一部又は全ては、開示した実施形態と一致する単一の認証システムを使用して実行され得ることに留意すべきである。
[0169] オーセンティケータ装置702、トランスポートサーバ708、サービスプロバイダサーバ704及び1つ又は複数のトランスポートシステム710は、1つ又は複数のデータベース712に接続されるか又は相互接続され得る。1つ又は複数のデータベースは、データ(例えば、QRコード、FIDO認証情報、ユーザ識別子、ユーザ装置識別子、サービスプロバイダ識別子、サーバ識別子、トランザクション/検証ID、ユーザ情報、ユーザ情報要求等)を記憶するように構成される1つ又は複数のメモリ装置であり得る。加えて、一部の実施形態では、1つ又は複数のデータベースは、記憶装置を有するコンピュータシステムとしても実装され得る。一態様では、開示した実施形態と一致する1つ又は複数の操作を実行するために1つ又は複数のデータベースがネットワークレイアウトのコンポーネントによって使用され得る。特定の実施形態では、1つ又は複数のデータベースがサーバと共同設置され得るか若しくは認証サーバと共同設置され得、及び/又はネットワーク上で互いに共同設置され得る。開示した実施形態は、1つ又は複数のデータベースのこの構成及び/又は配置に限定されないことを当業者であれば認識するであろう。
[0170] ログイン装置712は、装置の識別子がトランスポート又は認証システムに登録されておらず、必ずしも登録される必要がない点で非認証装置であり得る。一部の実施形態では、この装置は、オンラインサービスプロバイダに対するオンラインアカウントを開設するか、又はかかるオンラインアカウントにアクセスするために、サービスプロバイダサーバ704によって提供されるウェブポータル又はウェブサイトにアクセスするためにユーザが使用するものである。ログイン装置は、その識別子が認証システムに知られていない公に共有された装置であり得る。先に記載したように、ログイン装置は、ユーザにビジュアルグラフィカルコード(例えば、QRコード)及び/又はユーザインタフェース(例えば、ウェブポータル、ウェブサイト)を表示するように構成され得る。トランスポートサーバからディスプレイ装置にビジュアルグラフィカルコード又はコードのロケータが伝送され得る。一部の実施形態では、ロケータ(例えば、URL)が提供される場合、QRコードは、ウェブページ又は任意のソフトウェア等のインタフェースによって表示され得る。ユーザとトランスポートサーバとの間の通信を確立するために、インタフェースは、ロケータ(例えば、URL)によってサーバにリンクされ得る。ログイン装置は、(例えば、オンラインサービスプロバイダに対する)サーバ上のオンラインアカウントを開設するか、又はかかるオンラインアカウントにアクセスするためにユーザの認証又は検査を必要とするコンピュータ(例えば、ラップトップコンピュータ、デスクトップコンピュータ)、モバイル装置(例えば、スマートフォン、タブレット、ページャ、携帯情報端末(PDA))、キオスク、ATM、スマートアプライアンス、自動販売機等であり得る。ログイン装置は、任意選択的に、携帯型であり得る。ログイン装置は、手持ち型であり得る。
[0171] 一部の実施形態では、オーセンティケータ装置702、ログイン装置714、サーバ704、1つ又は複数のデータベース712及び/又は1つ若しくは複数のトランスポートシステム710の何れもコンピュータシステムとして実装することができる。加えて、図7では、ネットワークレイアウトのコンポーネント間の通信のための「中心」点としてネットワークを示すが、開示した実施形態は、それに限定されない。例えば、ネットワークレイアウトの1つ又は複数のコンポーネントを様々な方法で相互接続することができ、当業者であれば理解されるように、一部の実施形態では、互いに直接接続されるか、共同設置されるか又は離れている場合がある。加えて、開示した一部の実施形態は、サーバ上で実装され得るが、開示した実施形態は、それに限定されない。例えば、一部の実施形態では、サーバ及び認証システムに関して説明した実施形態を含め、開示した実施形態と一致するプロセス及び機能の1つ又は複数を行うように他の装置(1つ又は複数のオーセンティケータ又はログイン装置等)が構成され得る。
[0172] 特定の計算装置を図示し、ネットワークについて説明したが、本明細書に記載した実施形態の趣旨及び範囲から逸脱することなく、他の計算装置及びネットワークを利用できることを認識し、理解すべきである。加えて、当業者であれば認識するであろうように、ネットワークレイアウトの1つ又は複数のコンポーネントは、様々な方法で相互接続され得、一部の実施形態では、互いに直接接続されるか、共同設置されるか又は離れている場合がある。
コンピュータ制御システム
[0173] 本開示は、本開示の方法を実装するようにプログラムされるコンピュータ制御システムを提供する。図8は、オンライン資源にアクセスすることを試みているユーザの認証を補助するようにプログラム又は他に構成されるコンピュータシステム801を示す。このコンピュータシステムは、FIDO認証のユーザを有効化することができる。このコンピュータシステムは、ログイン装置、オーセンティケータ装置、トランスポートサービス又はプロバイダサービスの一部であり得る。このコンピュータシステムは、ユーザの電子装置又は電子装置に対して離れて位置するコンピュータシステムであり得る。電子装置は、モバイル電子装置であり得る。
[0174] コンピュータシステム801は、シングルコアプロセッサ若しくはマルチコアプロセッサ又は並列処理のための複数のプロセッサであり得る中央処理装置(CPU、本明細書では「プロセッサ」及び「コンピュータプロセッサ」でもある)を含み得る。コンピュータシステムは、メモリ又はメモリ位置810(例えば、ランダムアクセスメモリ、読取専用メモリ、フラッシュメモリ)、電子記憶ユニット815(例えば、ハードディスク)、1つ又は複数の他のシステムと通信するための通信インタフェース820(例えば、ネットワークアダプタ)並びにキャッシュ、他のメモリ、データ記憶域及び/又は電子ディスプレイアダプタ等の周辺装置825も含む。メモリ810、記憶ユニット815、インタフェース820及び周辺装置825は、マザーボード等の通信バス(実線)によってCPU805と通信する。記憶ユニット815は、データを記憶するためのデータ記憶ユニット(又はデータリポジトリ)であり得る。コンピュータシステム801は、通信インタフェース820を用いてコンピュータネットワーク(「ネットワーク」)830に動作可能に結合され得る。ネットワーク830は、インターネット、インターネット及び/又はエクストラネット或いはインターネットと通信するイントラネット及び/又はエクストラネットであり得る。
[0175] 一部の事例では、ネットワーク830は、電気通信網及び/又はデータネットワークである。ネットワークは、クラウドコンピューティング等の分散コンピューティングを可能にし得る1つ又は複数のコンピュータサーバを含み得る。例えば、1つ又は複数のコンピュータサーバは、例えば、1つ又は複数の実験的環境の構成を捕捉すること、1つ又は複数の時点のそれぞれにおいて実験的環境をレジストリ内に記憶すること、実験的環境を活用する1つ又は複数の実験的実行を行うこと、環境を活用する実験的実行の出力を与えること、実験的環境と実験的実行との間の複数のリンクを生成すること、及び1つ又は複数の時点における実験的環境に対応する1つ又は複数の実行状態を生成すること等、本開示の解析、計算及び生成の様々な側面を実行するためのネットワーク上のクラウドコンピューティング(「クラウド」)を可能にし得る。かかるクラウドコンピューティングは、例えば、Amazon Web Services(AWS)、Microsoft Azure、Google Cloud Platform及びIBM cloud等のクラウドコンピューティングプラットフォームによって提供され得る。一部の事例では、ネットワークは、コンピュータシステム801を用いてピアツーピアネットワークを実装することができ、ピアツーピアネットワークは、コンピュータシステムに結合される装置がクライアント又はサーバとして挙動することを可能にし得る。
[0176] CPU805は、プログラム又はソフトウェアによって具体化され得る一連の機械可読命令を実行することができる。命令は、メモリ810等のメモリ位置内に記憶することができる。命令は、CPUに導くことができ、その後、本開示の方法を実装するようにCPUをプログラム又は他に構成することができる。CPUによって実行される操作の例は、フェッチ、復号、実行及びライトバックを含み得る。
[0177] CPU805は、集積回路等の回路の一部であり得る。システムの1つ又は複数の他のコンポーネントが回路内に含まれ得る。一部の事例では、回路は、特定用途向け集積回路(ASIC)である。
[0178] 記憶ユニット815は、ドライバ、ライブラリ及び保存済みプログラム等のファイルを記憶することができる。記憶ユニットは、ユーザデータ、例えばユーザ基本設定及びユーザプログラムを記憶することができる。一部の事例では、コンピュータシステム801は、イントラネット又はインターネットによってコンピュータシステムと通信するリモートサーバ上に位置するような、コンピュータシステムにとって外部にある1つ又は複数の追加のデータ記憶ユニットを含むことができる。
[0179] コンピュータシステム801は、ネットワーク830によって1つ又は複数のリモートコンピュータシステムと通信することができる。例えば、コンピュータシステムは、ユーザ(例えば、実験的環境のユーザ)のリモートコンピュータシステムと通信することができる。リモートコンピュータシステムの例は、パーソナルコンピュータ(例えば、ポータブルPC)、スレート又はタブレットPC(例えば、Apple(登録商標)iPad、Samsung(登録商標)Galaxy Tab)、電話、スマートフォン(例えば、Apple(登録商標)iPhone、アンドロイド対応装置、Blackberry(登録商標))又は携帯情報端末を含む。ユーザは、ネットワークによってコンピュータシステムにアクセスすることができる。
[0180] 本明細書に記載した方法は、例えば、メモリ810又は電子記憶ユニット815等、コンピュータシステム801の電子記憶位置上に記憶される機械(例えば、コンピュータプロセッサ)実行可能コードによって実装され得る。機械実行可能又は機械可読コードは、ソフトウェア形式で提供することができる。使用中、コードがプロセッサ805によって実行され得る。一部の事例では、プロセッサによる迅速なアクセスのためにコードを記憶ユニットから取得し、メモリ上に記憶することができる。一部の状況では、電子記憶ユニットを除外することができ、機械実行可能命令がメモリ上に記憶される。
[0181] コードは、コードを実行するように適合されるプロセッサを有する機械と共に使用するために事前コンパイル及び構成され得るか、又は実行時中にコンパイルされ得る。コードは、事前コンパイル式又はアズコンパイル式にコードを実行できるようにするために選択可能なプログラミング言語によって供給され得る。
[0182] プログラミング。本技術の様々な態様は、典型的には、一種の機械可読媒体上で運ばれるか又は機械可読媒体内に具体化される機械(又はプロセッサ)実行可能コード及び/又は関連データの形式を取る「製品」又は「製造品」として考えることができる。機械実行可能コードは、メモリ(例えば、読取専用メモリ、ランダムアクセスメモリ、フラッシュメモリ)又はハードディスク等の電子記憶ユニット上に記憶することができる。「ストレージ」型の媒体は、ソフトウェアプログラミングのために任意の時点で非一時的ストレージを提供することができる様々な半導体メモリ、テープドライブ、ディスクドライブ等、コンピュータ、プロセッサ等又はその関連モジュールの有形メモリの何れか又は全てを含み得る。ソフトウェアの全て又は一部は、ときにインターネット又は他の様々な電気通信網によって伝達され得る。かかる通信は、例えば、あるコンピュータ又はプロセッサから別のコンピュータ又はプロセッサ内、例えば管理サーバ又はホストコンピュータからアプリケーションサーバのコンピュータプラットフォーム内にソフトウェアをロードすることを可能にし得る。従って、ソフトウェア要素を担うことができる別の種類の媒体は、ローカル装置間の物理インタフェースを横断して、有線及び光回線ネットワークを介して及び様々なエアリンク上で使用されるような光波、電波及び電磁波を含む。有線リンク又は無線リンク、光リンク等、そのような波を運ぶ物理要素もソフトウェアを担う媒体と見なすことができる。本明細書で使用するとき、非一時的な有形の「記憶」媒体に限定されない限り、コンピュータ又は機械「可読媒体」等の用語は、実行するためにプロセッサに命令を与えることに関与する任意の媒体を指す。
[0183] 従って、コンピュータ実行可能コード等の機械可読媒体は、限定されないが、有形記憶媒体、搬送波媒体又は物理伝送媒体を含む多くの形式を取り得る。不揮発性記憶媒体は、例えば、データベース等を実装するために使用され得るような図示の任意のコンピュータ等における記憶装置の何れか等の光ディスク又は磁気ディスクを含む。揮発性記憶媒体は、かかるコンピュータプラットフォームのメインメモリ等のダイナミックメモリを含む。有形伝送媒体は、コンピュータシステム内のバスを含む配線を含む同軸ケーブル、銅線及び光ファイバを含む。搬送波伝送媒体は、無線周波数(RF)及び赤外線(IR)データ通信中に生成されるような電気信号若しくは電磁信号又は音波若しくは光波の形式を取り得る。従って、コンピュータ可読媒体の一般的形式は、例えば、フロッピディスク、フレキシブルディスク、ハードディスク、磁気テープ、他の任意の磁気媒体、CD-ROM、DVD又はDVD-ROM、他の任意の光媒体、穿孔カード紙テープ、孔のパターンを有する他の任意の物理記憶媒体、RAM、ROM、PROM及びEPROM、FLASH-EPROM、他の任意のメモリチップ又はカートリッジ、データ又は命令を移送する搬送波、かかる搬送波を移送するケーブル若しくはリンク又はコンピュータがプログラミングコード及び/又はデータを読み取ることができる他の任意の媒体を含む。コンピュータ可読媒体のこれらの形式の多くは、実行するためにプロセッサに1つ又は複数の命令の1つ又は複数のシーケンスを運ぶことに関与し得る。
[0184] コンピュータシステム801は、例えば、環境の選択、環境のコンポーネント又は環境の時点を提供するためのユーザインタフェース(UI)840を含む電子ディスプレイ1035を含むことができるか、又はかかる電子ディスプレイ1035と通信することができる。UIの例は、グラフィカルユーザインタフェース(GUI)及びウェブベースのユーザインタフェースを限定なしに含む。
[0185] 本開示の方法及びシステムは、1つ又は複数のアルゴリズムによって実装することができる。アルゴリズムは、中央処理装置805による実行時にソフトウェアによって実装され得る。アルゴリズムは、例えば、1つ又は複数の実験的環境の構成を捕捉すること、1つ又は複数の時点のそれぞれにおいて実験的環境をレジストリ内に記憶すること、実験的環境を活用する1つ又は複数の実験的実行を行うこと、環境を活用する実験的実行の出力を与えること、実験的環境と実験的実行との間の複数のリンクを生成すること、及び1つ又は複数の時点における実験的環境に対応する1つ又は複数の実行状態を生成することができる。
[0186] 本明細書で示したシステム及び方法は、セキュリティを保ちながらオンライン資源へのアクセスをユーザに与える際の柔軟性の向上をもたらす1つ又は複数の利点を提供し得る。本明細書で示したシステム及び方法は、USB、NFC又はBLE等の専用プロトコルを必要とすることなく、既存の(例えば、ウェブ)通信チャネルを利用する。これは、特定の資源にアクセスするために使用可能なログイン装置の種類の柔軟性の向上をもたらす。例えば、専用プロトコルを必要とすることなく、ログイン資源にアクセスするためにATMを使用することさえできる。本明細書で示したシステム及び方法は、物理的近接のFIDOの概念をサポートし、既存のFIDOアーキテクチャと有利に適合し得る。
[0187] 本明細書で示したシステム及び方法は、迅速で簡単なペアリングと共に有用性の向上をもたらす。本明細書で示したシステム及び方法は、モバイルプラットフォーム「ビルトイン」アプリケーションのオムニチャネル使用をもたらし得る。本システム及び方法は、セキュリティを損なうことなく、有用性の向上をもたらすことが可能であり得る。TLS1.2によって保護されたウェブソケットが使用され得る。本明細書で示したシステム及び方法は、分散させることができる
[0188] 特定の実装形態を図示し、説明してきたが、それらの実装形態に対する様々な修正形態がなされ得、本明細書で予期されることを上記の内容から理解すべきである。更に、本発明は、本明細書で与えられた具体例によって限定されることを意図されない。本発明を上記の本明細書に関して説明してきたが、本明細書の好ましい実施形態についての説明及び図は、限定的な意味で解釈されることを意図されない。更に、本発明の全ての態様は、様々な条件及び変数に依存する、本明細書に記載の特定の描写、構成又は相対的比率に限定されないことを理解すべきである。本発明の実施形態の形式及び詳細における様々な修正形態が当業者に明らかになる。従って、本発明は、そのような任意の修正形態、改変形態及び近都物も包含すると考えられる。