不正インターネットアカウントアクセスの防止
ネットワークリソースにアクセスするリクエストを認証するための方法及びシステムが説明される。ネットワークアドレス情報は、ネットワークリソースユーザに関連付けることができる。オーセンティケータは、関連ネットワークアドレス情報を維持することができる。オーセンティケータは、リクエストをリクエストパーティから受信し、リクエストがネットワークアドレス識別子を含みうる場合にネットワークリソースユーザを認証しうる。ネットワークリソースユーザは、ネットワークアドレス情報及びネットワークアドレス識別子に基づき認証されうる。認証判断は、ネットワークリソースユーザが行ったアクセスリクエストに応答してネットワークリソースプロバイダのネットワークリソースへのアクセスを制御する目的でリクエストパーティへ転送されうる。
【発明の詳細な説明】
【技術分野】
【0001】
実施形態は一般に、コンピュータネットワーク管理に関し、具体的には、ネットワークリソースへのアクセス要求に対するセキュリティ処理のためのシステム及び方法に関する。
【背景技術】
【0002】
ネットワーク可能なアカウントサービスは、多種の“アカウント”に利用可能であり、“所有者”登録又は加入を必要とする銀行取引、投資、クレジットカード、電子メール、及びほとんど全てのあり得る種類の従来的又はネットワークベースのサービスを含む。ネットワーク可能なアカウントサービスは、例えばアカウント管理者のワールドワイドウェブ(“ウェブ”)サイト上で、個人アカウント情報へのリモートアクセス及び/又はインターネットを介する管理機能を提供する。従って、認証基準は、私的アカウントへのアクセス又はアカウント特権を権限のあるユーザ(例えば、(複数の)アカウント所有者)のみに制限するために存在する。
【0003】
権限のないアクセスを防ぐために、ユーザは例えば、アカウント情報を含むウェブコンテンツにアクセスするためにアカウントに“ログ”インすることが必要なことがある。通常、特定のアカウントへのログインは、有効で私的なアカウントログイン情報を入力することをユーザに要求する。アカウントログイン情報は、パスワード、パスコード、アクセスコード、個人識別番号(PIN)、コードワード等とともに、ユーザ名、ユーザID、ログイン名、顧客アクセス番号、電子メールアドレス等を含むことができ、それは、特定のアカウントへ一意に関連付けられる。
【0004】
現在、ネットワーク可能なアカウント保護は、アカウントログイン情報が無権限の個人に知られた時に危うくされることがある。アカウントログイン情報は、例えば“フィッシング”として知られる不正行為による様々な方法で無権限の個人によって突き止めることができる。フィッシングは、ユーザを騙して個人情報を暴露させようと企てて、既存の合法的な企業であると偽って主張する電子メールをユーザに送信する行為であって、その後に個人情報が身元詐称又は無権限アカウントアクセスのために使用されることがある。従って、既存のアカウントログインプロセスのみでは、オンラインアカウントサービスへの無権限又は不正アクセスを防止するのに十分でない。
【発明の開示】
【課題を解決するための手段】
【0005】
一つの実施形態によると、方法は、ネットワークリソースユーザに関連付けられるネットワークアドレス情報を維持する過程と、ネットワークアドレス識別子を含む、ネットワークリソースユーザを認証するリクエストを受信する過程と、ネットワークアドレス情報及びネットワークアドレス識別子に基づきネットワークリソースユーザを認証する過程とを含みうる。
【0006】
もう一つの実施形態によると、方法は、少なくとも一つのネットワークアドレスを含み、少なくとも一つのネットワークリソースに関連付けられる権限リストを確立する過程と、リクエストがソースネットワークアドレスを含む場合、少なくとも一つのネットワークリソースにアクセスするリクエストを受信する過程と、権限リスト及びソースネットワークアドレスに基づき少なくとも一つのネットワークリソースへのアクセスを制御する過程とを含みうる。
【0007】
もう一つの実施形態によると、装置は、少なくとも一つのネットワークアドレスにサーバへ接続する権限を予め与え、サーバへ接続するリクエストを、ソースアドレスを有するクライアント装置から受信し、サーバへ接続する権限がソースアドレスに予め与えられたかを判断し、及びソースアドレスに予め権限が与えられたかの判断に基づきリクエストを選択的に許可するように構成されたサーバを含みうる。
【0008】
さらにもう一つの実施形態によると、システムは、ネットワークアドレスの範囲から動的に割り当てられたソースネットワークアドレスを有するクライアント装置から、ネットワークリソースへの接続に対するリクエストを受信する手段と、権限のあるネットワークアドレスのリストにソースネットワークアドレスが比較される場合、ソースネットワークアドレスを選択的に認証する手段と、権限のあるソースネットワークアドレスをネットワークリソースへ接続する手段とを含みうる。
【発明を実施するための最良の形態】
【0009】
本発明の原則に関する実施形態の以下の詳細な説明は、添付図面に言及する。異なる図面における同一の参照番号は、同一又は類似の要素を識別することができる。また、以下の詳細な説明は、本発明を限定しない。代わりに、本発明の範囲は、添付した特許請求の範囲及び均等物によって定義される。
【0010】
本発明の原則に相応するシステム及び方法は、ネットワークリソースユーザが行ったアクセスリクエストに応答して、ネットワークリソースプロバイダのネットワークリソースへのアクセスを提供することができる。ネットワークリソースユーザは、関連ネットワークアドレス、例えばネットワークアドレス識別子プロバイダによってそこへ割り当てられた動的割当ネットワークアドレス又は静的ネットワークアドレスを有しうる一つ以上のクライアント装置を使用することができる。ネットワークリソースへの接続をリクエストする特定のクライアント装置に関連付けられた各ネットワークアドレスは、ネットワークアドレス情報、例えばオーセンティケータによって接続の権限が与えられたネットワークアドレスのリストに対して認証、即ち比較されうる。ネットワークアドレス情報は、関連ネットワークアドレス識別子が動的に割り当てられうる一つ以上のネットワークアドレスの範囲を含むことができる。
【0011】
本明細書で使用されるように、“範囲”又は“リスト”は、一つ以上のネットワーク識別子を含むことができる。範囲は、任意の識別可能なグループ化を含むことができる。例えば、ネットワークアドレスの範囲は、包含的又は排他的になりうる個々のネットワークアドレスに対する任意の離散的グループ化を含むことができる。範囲は、任意の適切な表現によって定義されうる。一つの実施形態において、範囲は、一つ以上のネットワークアドレスの小集合を集合から排除するネットワークアドレスの集合に関するアルゴリズム的表現によって定義できる。もう一つの実施形態において、範囲は、隣接的又はそうでないことがあるネットワークアドレスの集合に関するアルゴリズム的表現によって定義できる。範囲は、一つ以上の変数からなる任意の関数として定義できる。任意の適切なプロセスが、範囲を決定するために使用されてもよい。
【0012】
例示的なネットワーク
図1は、本発明の原則に相応するシステム及び方法を実行することができる例示的なネットワーク100を示す。図示の通り、ネットワーク100は、関連サーバ140を有することができる公衆ネットワーク130に動作可能に接続するクライアント装置110を含むことができる。また、ネットワーク100は、クライアント装置110及び公衆ネットワーク130に動作可能に接続するネットワーク120を含むことができ、それは、関連ネットワーク装置150を有することができる。図1に示した装置の数及び種類は、簡素化のために提供される。実際には、本発明が実行できる典型的なネットワークは、図示のものと比較して多いか又は少ない装置及び/又はネットワークを含むことができる。また、単一のエンティティとして示される装置は、分散的配置で実行できる。
【0013】
本発明の原則に相応する一つの実施形態において、以下でさらに詳細に説明するように、クライアント装置110は、ネットワークアドレス(例えば、IPアドレス)等の固有のネットワーク識別子を介してネットワーク化された装置に対して相互作用可能な任意のユーザ又は加入者装置を含むことができる。クライアント装置110は、ネットワーク120及び/又は公衆ネットワーク130を介してデータ及び/又は音声通信又は他のメディアを開始、送信及び/又は受信可能な、個人用コンピュータ、ラップトップ、携帯情報端末(PDA)、又は他の種類のコンピュータ又は通信装置等の装置を含むことができる。
【0014】
一つのクライアント装置110のみを示すが、図1に示したクライアント装置110の数及び種類は、簡素化のために提供されることが分かる。実際には、ネットワーク100は、例えば仮想的及び/又は物理的クライアントグループで任意の数及び種類のクライアント装置110を含むことができる。クライアントグループは、例えば個々のクライアント装置110の間で指定された共通性に従って、クライアント装置110の任意の関連にすることができる。指定された共通性は、任意の知覚的又は実質上の共有的特徴を含むことができ、例えばサービスプロバイダによって確立される地理的位置、ネットワーク構成(例えば、ローカルエリアネットワーク(LAN)、ワイドエリアネットワーク(WAN)等)、電話エリアコード、電話交換、及び/又は加入者専用情報を含む。
【0015】
ネットワーク120は、ネットワーク化された通信におけるノード又はネットワーク要素の間で、任意のフォーマット(例えば、ビット、バイト、チャンク、パケット、離散的ユニット等)を実質的に有する任意の種類の機械読取可能なデータを受信、記憶、処理、及び/又は送信するのに適切な任意の種類のコンピュータネットワークを含むことができ、任意の適切なトポロジー(例えば、バス、スター、リング等)、プロトコル(例えば、IP、イーサネット(登録商標)、トークンリングネットワーク等)、及びアーキテクチャ(例えば、ピアツーピア、クライアント/サーバ等)を有する。例えば、ネットワーク120は、専用のネットワーク(例えば、企業ネットワーク)、私的ネットワーク、LAN、WAN、ホームエリアネットワーク、イントラネット、インターネット、サービスプロバイダのネットワーク、ボイスオーバIP(VoIP)ネットワーク、及び/又はネットワークの組合せを含むことができる。ネットワーク120は、データ又は他のメディアを受信、送信、及び/又は輸送するために協調的に動作する一つ以上のネットワーク装置150及び/又はシステムを含むことができる。例えば、ネットワーク装置150は、ルータ、ネットワークスイッチ、ファイアウォール、データベース、ゲートウェイ、サーバ、ネットワークオペレーションセンター(NOC)等を含むことができる。
【0016】
一つの実施形態において、ネットワーク120は、ネットワークリソースへの接続性をクライアント装置110に提供できるアクセスネットワークとして機能することができる。例えば、クライアント装置110は、リンク及びネットワーク装置150を用いてサービスプロバイダネットワークへのアクセスを得るために家庭のユーザによって動作されうる。リンクは、例えばワイヤレスフィディリティ(Wi−Fi)リンク及び/又は自由空間光リンク上に提供される、例えばデジタル加入者線(DSL)接続、例えばシールドツイストペアのケーブルモデム接続、例えば同軸ケーブル及び/又は光ファイバ及び/又はワイヤレス接続等の、ブロードバンド接続を含むことができる。
【0017】
ネットワーク120は、電気通信プロバイダ、ケーブルテレビプロバイダ、又はマルチメディア会社等のサービスプロバイダによって動作されうる。ネットワーク120は、公衆ネットワーク130等の公衆ネットワークにクライアント装置110を通信可能に接続するように動作することができる。例えば、ネットワーク120は、近所のような家庭の共同体にサービス提供するLANとして実行されうる。近所に居住する家庭のユーザは、ネットワーク120を介して公衆ネットワーク130にアクセスするためにクライアント装置110を動作することができる。家庭のユーザは、ネットワーク120に関連付けられるサービスプロバイダを介してネットワークアクセスサービスに加入することができる。
【0018】
ネットワーク120は、ネットワークアドレス識別子プロバイダにすることができる。ネットワーク120は、例えばクライアント装置110を他のネットワーク化された装置に対して識別することに使用するために、IPアドレス、イーサネット(登録商標)アドレス、ユニバーサルリソース識別子(URI)、動的ネットワークサービス(DNS)識別子等のような、ネットワークアドレス又は識別子をクライアント装置110に静的又は動的に提供することができる。例えば、ネットワーク装置150は、ネットワークアドレス識別子プロバイダにすることができ、動的ホスト構成プロトコル(DHCP)サーバ、アドレス変換ゲートウェイ、プロキシサーバ、及び/又は他の種類のサーバを含むことができ、それは、公衆ネットワーク130に対してクライアント装置110を一意的に識別するために(クライアント装置110がネットワーク120及び/又は公衆ネットワーク130を介してメッセージ送信を開始する時に)クライアント装置110にネットワークアドレスを提供する。ネットワークアドレスは、ネットワークアドレスのグループ又は範囲として、ネットワーク120又は公衆ネットワーク130に割り当てられるか又は利用可能な関連又は関係ネットワークアドレスから提供されうる。
【0019】
公衆ネットワーク130は、ネットワーク化されたリソースを含むことができ、例えば任意の適切なトポロジー、プロトコル、及びアーキテクチャを有するネットワークアドレスシステムを用いるネットワーク化された通信において、サーバ140等の関連ホスト、ノード、及び/又はサーバを含む。公衆ネットワーク130は、データを受信、送信、及び/又は輸送するために協調的に動作する一つ以上のネットワーク装置及び/又はシステムを含むことができ、ルータ、ネットワークスイッチ、ファイアウォール、データベース、ゲートウェイ、サーバ、ネットワーク運営センター(NOC)等を含む。
【0020】
サーバ140は、クライアント装置110に対してアクセス可能及び/又はネットワーク化されうる情報を処理、検索、及び/又は維持する任意のサーバ装置を含むことができる。例えば、サーバ140は、ファイル、ネットワークアドレス、又はそれに類似するような目的地ネットワークリソースに関連付けられるネットワークリソースプロバイダを含むか又はそれにすることができ、ウェブサイト、ウェブページ、オンラインサービス等のウェブコンテンツを含む。もう一つの例として、サーバ140は、ネットワークリソースプロバイダのネットワークリソースにアクセスするリクエストを認証するためのオーセンティケータを含むか又はそれにすることができる。オーセンティケータは、ネットワークリソースプロバイダに対して関連付けられるか又は独立することが可能な認証権限、即ちエンティティ、システム、動作、装置、ソフトウェア、ハードウェア、又はプロセスを含むことができる。サーバ140は、例えばハイパーテキストトランスファプロトコル(HTTP)を用いてクライアント装置110と相互作用することができる。
【0021】
図2は、本発明の原則に相応する実施形態におけるクライアント装置110及び/又はサーバ140の例示的な構成を示す。他の構成が、代替的に使用されてもよい。クライアント装置110/サーバ140は、バス210、プロセッサ220、メモリ230、読取専用メモリ(ROM)240、記憶装置250、入力装置260、出力装置270、及び通信インタフェース280を含むことができる。バス210は、クライアント装置110/サーバ140の要素間で通信を許容する。
【0022】
プロセッサ220は、命令を解釈及び実行する任意の種類の従来からのプロセッサ、マイクロプロセッサ、又は処理ロジックを含むことができる。メモリ230は、プロセッサ220が実行するための情報及び命令を記憶できるランダムアクセスメモリ(RAM)又は他の種類の動的記憶装置を含むことができる。また、メモリ230は、プロセッサ220が命令を実行する間に一時的変数又は他の中間情報を記憶するために使用されうる。
【0023】
ROM240は、プロセッサ220に対する静的情報及び命令を記憶できる従来のROM装置及び/又は他の種類の静的記憶装置を含むことができる。記憶装置250は、情報及び命令を記憶するために、磁気ディスク又は光学ディスク及びそれに対応するドライブ及び/又はいくつかの他の種類の磁気又は光学記録媒体及びそれに対応するドライブを含むことができる。
【0024】
入力装置260は、キーボード、マウス、ペン、音声認識、及び/又は生物測定メカニズム等のような、操作者がクライアント装置110/サーバ140に情報を入力できるようにする一つ以上の従来からのメカニズムを含むことができる。出力装置270は、操作者に情報を出力する一つ以上の従来からのメカニズムを含むことができ、ディスプレイ、プリンタ、一つ以上のスピーカ等を含む。通信インタフェース280は、クライアント装置110/サーバ140が他の装置及び/又はシステムと通信できるようにする任意のトランシーバに類似するメカニズムを含むことができる。例えば、通信インタフェース280は、LANに対するイーサネット(登録商標)インタフェース又はモデムを含むことができる。代わりに、通信インタフェース280は、ネットワークを介して通信するための他のメカニズムを含むことができる。
【0025】
例示的な処理
図3は、本発明の原則に相応する実施形態に従う、ネットワーク可能なリソース及び/又はサービスを無権限で使用することを防ぐための例示的な処理のフローチャートである。処理は、ネットワーク可能なリソース(例えば、アカウント)の所有者及び/又はネットワークリソースプロバイダ又は管理者のようなネットワークリソースユーザから始まることができ、例えば公衆ネットワーク130を介して関連ネットワークリソースにアクセスできる一つ以上のネットワークアドレスの権限リストを確立することによってネットワークリソースへのアクセスに独立的又は協調的に予め権限を与える(動作310)。権限リストは、ネットワークアドレスに対する一つ以上の範囲を含むことができる。権限リストは、例えばサーバ140において(例えば、メモリ230、記憶装置250等において)ネットワークサービスプロバイダ及び/又はオーセンティケータによって維持されうる。上記で検討した通り、ネットワークリソースは、サーバ140(例えば、プロセッサ220、メモリ230、記憶装置250等)に関連付けることができる。
【0026】
権限リストは、初めに例えばアカウント設定又は登録プロセスの一部として、又はその後の任意の時間において、任意の適切なプロセスによって確立できる。例示的な実施形態によると、(複数の)アカウント所有者は、(複数の)アカウント所有者に知られる(複数の)特定のネットワークアドレス及び/又はネットワークアドレスの(複数の)離散的範囲を識別でき、それから(複数の)アカウント所有者は、アカウントにアクセスしようとする。もう一つの例示的な実施形態によると、(複数の)アカウント所有者は、((複数の)アカウント所有者に知られないことがある)関連ネットワークアドレスを特定する必要なく、(複数の)アカウント所有者がアカウントにアクセスするために使用しようとするクライアント装置110に関連付けられる一つ以上のセレクトエンティティを識別することができる。例えば、(複数の)アカウント所有者は、雇用者、ネットワークサービスプロバイダのような情報を提供し、及び/又は関連ネットワークアドレスが“ファイル上”にあるか又はネットワークリソースプロバイダによって得ることができる任意の他のネットワークアドレス識別子プロバイダを選択することができる。
【0027】
さらにもう一つの例示的な実施形態によると、既存のアカウントについて、アカウントにアクセスするために先に使用された(複数の)ネットワークアドレスは、権限リストへ“グランドファーザ”されうる。例えば、(複数の)アカウント所有者及び/又はネットワークリソースプロバイダは、権限のあるネットワークリソースユーザがアカウントにアクセスした(複数の)識別可能なネットワークアドレスを指定することができる。一つの実施形態において、権限リストは、自動的に満たすことができる。
【0028】
例示的な実施形態において、(複数の)ネットワークアドレスは、権限リストに暫定的に含まれることができる。例えば、(複数の)暫定的ネットワークアドレスは、特定の期間で権限があるか又は無権限である状態を仮定することができる。例えば、権限リスト上の別の(複数の)暫定的ネットワークアドレスは、所定の曜日及び/又は時刻等を有することができ、その間に(複数の)暫定的ネットワークアドレスは、アクセス権限を有する。もう一つの例として、(複数の)ネットワークアドレスは、“サンセット”条件で指定でき、例えば所定の満期日/時間を有し、その後にそれは、権限リストから自動的、恒久的、又は一時的に削除される。本発明の原則に相応して、権限リスト上の(複数の)ネットワークアドレスは、遅延された開始又は起動のような、それに関連付けられる任意の他の暫定的又は条件的状態を有することができる。もう一つの例として、(複数の)ネットワークアドレスは、アカウント情報の閲覧に限定され、トランザクションが制限されうる。もう一つの例示的な実施形態によると、本発明の原則に相応するネットワーク認証機能は、指定期間(例えば、(複数の)アカウント所有者が旅行中の時)に選択的に全て無効にすることができ、その間にネットワークリソースは、確立された権限リストにないネットワークアドレスからアクセスできる。
【0029】
もう一つの例示的な実施形態において、確立された権限リストは、権限リストを確立するための任意の上記方法だけでなく任意の他の適切なプロセスで、(複数の)アカウント所有者、ネットワークリソースプロバイダ、又は両方によって一回以上修正されうる。即ち、ネットワークアドレスのオリジナル権限リストは、既存の又は予め追加されたネットワークアドレスを削除することによって、及び/又は追加的ネットワークアドレスを追加することによって更新又は変更でき、ネットワークアドレスの小集合又は範囲を含む。
【0030】
その後、クライアント装置110は、サーバ140等のネットワーク装置へ公衆ネットワーク130を介して直接的に、又はネットワーク120を介して間接的にアクセスリクエストを送信することができる(動作320)。アクセスリクエストは、クライアント装置110に関連付けられるソースネットワークアドレスとして静的又は動的に割り当てられるネットワークアドレスを含むことができる。アクセスリクエストは、サーバ140に関連付けられる(複数の)ファイル、(複数の)ネットワークアドレスのような(複数の)目的地ネットワークリソースへの接続をリクエストすることができる。一つの実施形態において、(複数の)ネットワークリソースへのアクセスは、アクセスリクエストを認証するオーセンティケータによって制御されうる。認証は、リクエストされた目的地ネットワークリソースへの接続に対してソースネットワークアドレスに権限が与えられるかどうかの判断に基づくことができる。認証は、例えばサーバ140による、認証リストに対するソースネットワークアドレスの比較を含むことができる(動作330)。
【0031】
本発明の原則に相応する一つの例示的な実施形態において、サーバ140は、ソースネットワークアドレスが権限リストに反映又は表示される場合、アクセスリクエストを選択的に許可し、ソースネットワークアドレスが権限リストに反映又は表示されない場合、アクセスリクエストを否定することができる。ソースネットワークアドレスに権限が与えられることを判断する時、リクエストされた接続が行われることにより、例えばクライアント装置110とサーバ140との間でユーザ又はネットワークセッションを確立することができる(動作380)。
【0032】
もう一つの例示的な実施形態によると、ソースネットワークアドレスに権限が与えられないことを判断する時、識別は例えばサーバ140によって行うことができ、そのアクセスが否定又は制限され、それは、クライアント装置110のユーザが(追加の)所定の認証情報を提供するリクエストと共にクライアント装置110へ送信されうる(動作350)。例えば、ユーザは、任意の適切な通信システムによってオーセンティケータに指紋又は声紋確認データのような生物測定データを提供することができる。もう一つの例として、ユーザは、任意の適切な電気通信装置を介してオーセンティケータに確認情報を言葉で通信することができる。アクセスはその後、例えばサーバ140によって受信された応答に基づき否定又は許可されうる(動作360、370及び380)。
【0033】
本発明の原則に相応する一つの例示的な実施形態において、ネットワークセッションを確立することは、本明細書中で説明した認証プロセスの前、後、又は同時に、例えばサーバ120において有効なログイン情報が受信されることを代替的又は追加的に要求することができる。例えば、クライアント装置110のユーザは、動作310の前又は後、又は動作380の前又は後に、ログイン情報(例えば、ユーザ名及びパスワード等)を入力するようにサーバ140からメッセージによって促されることがある。有効なログイン情報の受信の失敗は、認証プロセスを止め、ネットワークセッションを終了し、又はその両方でありうる。
【0034】
もう一つの例示的な実施形態において、ネットワークアドレスに対する少なくとも一つの離散的範囲は、特定のクライアントグループのクライアント装置110に関連付けることができる。上記検討の通り、グループのメンバ(即ち、クライアント装置110)は、クライアント装置110に関連付けられる共有的特徴、地理的領域、電話番号領域、ネットワーク構成等に基づき判断されうる。例えば、インターネットサービスプロバイダ(ISP)のようなサービスプロバイダは、クライアントグループの個々のクライアント装置110にネットワークアドレスを割り当てる目的でクライアント装置110のグループ化を形成することができる。この方法で、任意の所定のクライアント装置110に対する可能なネットワークアドレスのプールは例えば、(複数の)アカウント所有者が権限リストに(複数の)ネットワークアドレス範囲を追加できるように、管理可能な数の離散的ネットワークアドレス範囲に低減される。この方法で、(複数の)目的地ネットワークリソースにアクセスできるクライアント装置110の数は、実質的に低減されうるので、(複数の)ネットワークリソースへの不正アクセスの可能性を減少する。
【0035】
例
図4は、本発明の原則に相応するシステム及び方法が実行されうる例示的なネットワーク400を示す。以下の例示的な実施形態の各々に対して、ネットワークリソースユーザ(例えば、共同アカウント所有者)460a及び460bは、(複数の)目的地ネットワークアドレス、例えばウェブサイト470によって識別されるネットワーク可能なアカウントを有する。アカウントは、ネットワークリソースプロバイダ440によってホストされうる。ウェブサイト470におけるアカウントは、本発明の原則に相応して、ネットワーク430を介してネットワークリソースプロバイダ440及びオーセンティケータ480によってマルチレベルセキュリティ処理(例えば、ソース認証、ログイン検証、セキュリティ確認等)を用いて、権限のあるネットワークリソースユーザ(ここでは、ユーザ460a、460b)に対して利用可能になり、権限のない(複数の)ネットワークリソースユーザ(ここでは、フィッシャ(phisher)460c)に対して利用不可能になる。ウェブサイト470におけるアカウントは、(複数の)目的地ネットワークアドレスでアカウントへの接続が可能な予め権限が与えられたソースネットワークアドレスを含む、関連する確立された権限リストを有する。また、アカウントは、アカウントアクセス検証に要求される関連ログイン情報を有する。フィッシング技術によって発見されそうにない私的アカウント情報(例えば、社会保障番号、運転免許番号、母の旧姓、生物測定データ等)は、第2の認証確認を提供するためにオーセンティケータ480及び/又はネットワークリソースプロバイダ440によって維持されうるか又はアクセス可能である。本発明の原則に相応して、認証プロセスは、権限のあるネットワークリソースユーザによって命令される通りに(複数の)所定期間で意図的に迂回又は無効にされうる。
【0036】
例1
一つの例示的な実施形態において、例1で示すアカウントの第1の共同所有者であるネットワークリソースユーザ460aは、ネットワークリソースプロバイダ440に関連付けられるウェブサイト470へアクセスリクエストを送信するために、例えば自分の事業所において、企業LAN420a上でネットワーク化されたコンピュータ410a(又は他のネットワーク化された装置(図示せず))を使用する。LAN420aは、24ビットネットワークプレフィックス又はセグメント、例えば192.34.242を有するIPアドレスを有するクラスCネットワークであり、コンピュータ410aは、割り当てられた特定のホスト又はノード番号(例えば、118)を有する。一つの実施形態によると、ネットワークリソースユーザ460aは、コンピュータ410a(例えば、自分の割り当てられたコンピュータ)からのみウェブサイト470でアカウントにアクセスしようと試みる場合、権限リストは、IPアドレス192.34.242.118を含むことができる。もう一つの実施形態において、ネットワークリソースユーザ460aは、LAN420a上で一つ以上の他のコンピュータからアカウントにアクセスしようと試みる場合、個々の(複数の)IPアドレスは、権限リストに含まれうるか、又は代わりに、全ネットワーク(即ち、その任意の(複数の)小集合)は、192.34.242.0−192.34.242.255として権限リストに表示されうる。故に、ネットワークアドレス識別子プロバイダ450によって割り当てられるIPアドレスであって、ウェブサイト470でネットワーク430を介してLAN420a上でコンピュータ410aを用いてネットワークリソースユーザから受信したアクセスリクエストに関連付けられるIPアドレス192.34.242.118は、権限リストに対して認証するためのオーセンティケータ480に通信される。オーセンティケータ480は、認証がネットワークリソースユーザ460aに対して確立されたことをネットワークリソースプロバイダ440に通信し、接続は、アカウントIPアドレスに対して許容される。その後、ネットワークリソースユーザ460aは、有効なログイン情報を入力することによってアカウントへのログインに進むことができるので、アカウントアクセスを提供するユーザセッションを確立する。
【0037】
例2
もう一つの例示的な実施形態において、例2で示すコンピュータ410aのIPアドレスは、権限リストに暫定的に含まれる。即ち、ネットワークアドレス識別子プロバイダ450によって割り当てられたIPアドレス192.34.242.118は、特定期間(例えば、平日、通常業務時間等)の間のみ権限が与えられる。権限のある期間の時間外(例えば、週末等)でネットワークリソースユーザ460aがアカウントにアクセスするためにユーザコンピュータ410aを使用することを試みる時、オーセンティケータ480は、ネットワークリソースユーザ460aが無権限であることを初めに判断し、認証が確立されなかったことをネットワークリソースプロバイダ440に通信する。故に、アクセスリクエストは、拒絶され、接続性が許容されない。リクエスト否定メッセージは、コンピュータ410aに送信される。一つの実施形態において、ネットワークリソースユーザ460aはその後、オーセンティケータ480及び/又はネットワークリソースプロバイダ440によって維持されるか又はアクセス可能な関連確認情報に対して確認される第2の確認情報を提供することができる。例えば、ネットワークリソースユーザ460aは、オーセンティケータ480に提供される生物測定データを提供し、及び/又は電気通信を使用してオーセンティケータに通信し、言葉及び/又は押しボタン等によって確認を提供する。一度確認されると、ネットワークリソースユーザ460aはその後、有効なログイン情報を入力することによってアカウントへのログインへ進むことができるので、アカウントアクセスを提供するユーザセッションを確立する。もう一つの実施形態において、ネットワークリソースユーザ460aはその後、コンピュータ410aの第2に権限のある使用を考慮して権限リストを変更するオプションが与えられうる。
【0038】
例3
もう一つの例示的な実施形態において、例3で示すアカウントの第2の共同所有者であるネットワークリソースユーザ460bは、ネットワークリソースプロバイダ440に関連付けられるウェブサイト470にアクセスリクエストを送信するためにISPネットワーク420bへ接続する自宅からコンピュータ410bを使用する。ISPネットワーク420bは、16ビットネットワークプレフィックス、例えば168.233を有するIPアドレスを有するクラスBネットワークであり、コンピュータ410bは、コンピュータ410bがネットワーク430への接続を開始する毎に、ネットワークアドレス識別子プロバイダ450によって動的に割り当てられる0.0−255.255に及ぶホスト番号を有することができる。一つの実施形態によると、権限リストは、168.233.0.0−168.233.255.255に及ぶIPアドレスを含むことができる。もう一つの実施形態によると、ISPネットワーク420bは、サブネット化でき、即ち単一のネットワークは、多数の仮想ネットワークに分けることができる。例えば、ISPネットワーク420bは、コンピュータ410bを含むネットワーク化された装置の関連グループ(図示せず)を含むことができ、それは、168.233.15.0−168.233.22.255に及ぶIPアドレスが割り当てられうる。従って、権限リストは、IPアドレスの関連範囲を含むことができる。故に、ウェブサイト470でネットワーク430を介してISPネットワーク420b上でコンピュータ410bを用いてネットワークリソースユーザ460bから受信したアクセスリクエストに関連付けられる、168.233.15.0−168.233.22.255の範囲で動的に割り当てられたIPアドレスは、権限リストに対して認証するためのオーセンティケータ480へ通信され、接続は、アカウントIPアドレスに対して行われる。その後、ネットワークリソースユーザ460bは、有効なログイン情報を入力することによってアカウントへのログインへ進むことができるので、アカウントアクセスを提供するユーザセッションを確立する。
【0039】
例4
もう一つの例示的な実施形態において、例4で示すフィッシャであるネットワークリソースユーザ460cは、フィッシング又は他の技術を介して、ネットワークリソースプロバイダ440に関連付けられるウェブサイト470でアカウントに対するログイン情報を獲得した。ネットワークリソースユーザ460cは、確立された権限リストに関連付けられるLAN420a、ISP(サブネット化された)ネットワーク420b、又は任意の他のネットワークではないネットワーク420cに接続するネットワーク装置410cを使用して、ウェブサイト470にアクセスリクエストを送信する。アクセスリクエストは、権限リストに対してネットワークアドレス識別子プロバイダ450によってネットワーク装置410cに割り当てられる関連ソースIPアドレスを比較することによってアクセスリクエストを認証するオーセンティケータ480へ通信される。オーセンティケータ480は、ソースIPアドレスが権限リストに含まれないことを判断する。オーセンティケータ480は、認証が確立されなかったことをネットワークリソースプロバイダ440に通信する。アクセスリクエストは、ネットワークリソースプロバイダ440によって否定される。一つの実施形態において、ネットワークリソースユーザ460cは、例3で上述した方法で第2の確認情報を入力する機会が与えられうる。確認に失敗すると、アクセスリクエストが否定され、ユーザセッションが確立されない。
【0040】
例5
さらにもう一つの実施形態において、例5で示すネットワークリソースユーザ460aは、例えば確立された権限リストに関連付けられるLAN420a、ISP(サブネット化された)ネットワーク420b、又は任意の他のネットワークではないネットワーク420d上で、出張旅行の間にホテルルームからネットワーク装置410dを使用して、ネットワークリソースプロバイダ440に関連付けられるウェブサイト470にアクセスリクエストを送信する。しかし、リクエストを送信するより前で権限のあるユーザセッションの間、ネットワークリソースユーザ460aは、確立された権限リスト上にないソースIPアドレスからウェブサイト470がアクセス可能になるように、不定又は所定時間の間で認証機能を無効にした。認証プロセスが迂回されると、ネットワークリソースユーザ460bはその後、有効なログイン情報を入力することによってアカウントへのログインに進むことができるので、アカウントアクセスを提供するユーザセッションを確立する。
【0041】
結論
本発明の原則に相応する実施形態は、アクセスをリクエストするネットワークアドレスを用いる認証に基づきネットワークリソースにアクセスするためのクライアント装置リクエストを管理することによって改善されたネットワークアカウントセキュリティを提供する。ソース認証に追加して、ログイン情報検証及び第2のセキュリティ情報確認等のプロセスが使用されうる。従って、本発明の原則に相応する認証システムは、単に通常のログイン手順に依存することに対して、実質的に改善されたセキュリティを提供する。
【0042】
本発明の例示的な実施形態に関する上記説明は、図示及び説明を提供するが、開示された明確な形式に本発明を排他的又は限定的にすることを意図しない。変更及び改良は、上記教示に鑑みて可能であり、又は本発明の実施から得ることができる。
【0043】
また、一連の動作が図3に関して開示されたが、動作の順序は、本発明の原則に順応する他の実施形態で変更されてもよい。また、非依存的な動作が並行して実行されてもよい。
【0044】
また、当業者であれば、本発明の実施形態は、上記説明の通り、図示された実施形態において、ソフトウェア、ファームウェア、及びハードウェアからなる各種形式で実行されてもよいことが分かる。本発明の原則に相応する実施形態に使用する実際のソフトウェアコード又は専用の制御ハードウェアは、本発明の範囲ではない。故に、本発明の実施形態の動作及びふるまいは、特定のソフトウェアコードを参照することなく説明された。当業者であれば、本明細書中の説明に基づいて実施形態を実行するためにソフトウェアを設計しハードウェアを制御しうることが分かる。
【0045】
また、本発明のいくつかの点では、一つ以上の機能を実行する“ロジック”として実行されうる。このロジックは、特定用途向け集積回路(ASIC)又はフィールドプログラマブルゲートアレー、ソフトウェア、又はハードウェア及びソフトウェアの組合せのようなハードウェアを含むことができる。メッセージ又はパケットを処理することに関して実施形態を説明したが、これらの実施形態は、パケットデータ及び非パケットデータを含む任意の種類又は形式のデータ上で動作しうる。用語“データユニット”は、パケット又は非パケットデータを意味しうる。
【0046】
本発明の説明で使用される要素、動作又は命令は、特に明示した場合を除いて、本発明に必須又は不可欠なものとして解釈されるべきではない。また、本明細書で使用される通り、冠詞“a”は、一つ以上の項目を含むことを意図する。一つの項目のみ意図される場合、用語“一つ”又は類似の言語が使用される。また、語句“基づく”は、特に述べない限り、“少なくとも一部に基づく”と意味することを意図する。本発明の範囲は、請求の範囲及びその均等によって定義される。
【図面の簡単な説明】
【0047】
【図1】図1は、本発明の原則に相応する方法及びシステムが実行可能な例示的なネットワークを示す例示的な図である。
【図2】図2は、本発明の原則に相応する実施形態による、図1のサーバ及び/又はクライアント装置の例示的なブロック図である。
【図3】図3は、本発明の原則に相応するネットワーク可能なアカウントサービスの見込みユーザを認証するための方法を示す例示的なフロー図である。
【図4】図4は、本発明の原則に相応する方法及びシステムが実行される例示的なネットワークを示すもう一つの例示的な図である。
【符号の説明】
【0048】
110 クライアント装置
120 ネットワーク
130 公衆ネットワーク
140 サーバ
【技術分野】
【0001】
実施形態は一般に、コンピュータネットワーク管理に関し、具体的には、ネットワークリソースへのアクセス要求に対するセキュリティ処理のためのシステム及び方法に関する。
【背景技術】
【0002】
ネットワーク可能なアカウントサービスは、多種の“アカウント”に利用可能であり、“所有者”登録又は加入を必要とする銀行取引、投資、クレジットカード、電子メール、及びほとんど全てのあり得る種類の従来的又はネットワークベースのサービスを含む。ネットワーク可能なアカウントサービスは、例えばアカウント管理者のワールドワイドウェブ(“ウェブ”)サイト上で、個人アカウント情報へのリモートアクセス及び/又はインターネットを介する管理機能を提供する。従って、認証基準は、私的アカウントへのアクセス又はアカウント特権を権限のあるユーザ(例えば、(複数の)アカウント所有者)のみに制限するために存在する。
【0003】
権限のないアクセスを防ぐために、ユーザは例えば、アカウント情報を含むウェブコンテンツにアクセスするためにアカウントに“ログ”インすることが必要なことがある。通常、特定のアカウントへのログインは、有効で私的なアカウントログイン情報を入力することをユーザに要求する。アカウントログイン情報は、パスワード、パスコード、アクセスコード、個人識別番号(PIN)、コードワード等とともに、ユーザ名、ユーザID、ログイン名、顧客アクセス番号、電子メールアドレス等を含むことができ、それは、特定のアカウントへ一意に関連付けられる。
【0004】
現在、ネットワーク可能なアカウント保護は、アカウントログイン情報が無権限の個人に知られた時に危うくされることがある。アカウントログイン情報は、例えば“フィッシング”として知られる不正行為による様々な方法で無権限の個人によって突き止めることができる。フィッシングは、ユーザを騙して個人情報を暴露させようと企てて、既存の合法的な企業であると偽って主張する電子メールをユーザに送信する行為であって、その後に個人情報が身元詐称又は無権限アカウントアクセスのために使用されることがある。従って、既存のアカウントログインプロセスのみでは、オンラインアカウントサービスへの無権限又は不正アクセスを防止するのに十分でない。
【発明の開示】
【課題を解決するための手段】
【0005】
一つの実施形態によると、方法は、ネットワークリソースユーザに関連付けられるネットワークアドレス情報を維持する過程と、ネットワークアドレス識別子を含む、ネットワークリソースユーザを認証するリクエストを受信する過程と、ネットワークアドレス情報及びネットワークアドレス識別子に基づきネットワークリソースユーザを認証する過程とを含みうる。
【0006】
もう一つの実施形態によると、方法は、少なくとも一つのネットワークアドレスを含み、少なくとも一つのネットワークリソースに関連付けられる権限リストを確立する過程と、リクエストがソースネットワークアドレスを含む場合、少なくとも一つのネットワークリソースにアクセスするリクエストを受信する過程と、権限リスト及びソースネットワークアドレスに基づき少なくとも一つのネットワークリソースへのアクセスを制御する過程とを含みうる。
【0007】
もう一つの実施形態によると、装置は、少なくとも一つのネットワークアドレスにサーバへ接続する権限を予め与え、サーバへ接続するリクエストを、ソースアドレスを有するクライアント装置から受信し、サーバへ接続する権限がソースアドレスに予め与えられたかを判断し、及びソースアドレスに予め権限が与えられたかの判断に基づきリクエストを選択的に許可するように構成されたサーバを含みうる。
【0008】
さらにもう一つの実施形態によると、システムは、ネットワークアドレスの範囲から動的に割り当てられたソースネットワークアドレスを有するクライアント装置から、ネットワークリソースへの接続に対するリクエストを受信する手段と、権限のあるネットワークアドレスのリストにソースネットワークアドレスが比較される場合、ソースネットワークアドレスを選択的に認証する手段と、権限のあるソースネットワークアドレスをネットワークリソースへ接続する手段とを含みうる。
【発明を実施するための最良の形態】
【0009】
本発明の原則に関する実施形態の以下の詳細な説明は、添付図面に言及する。異なる図面における同一の参照番号は、同一又は類似の要素を識別することができる。また、以下の詳細な説明は、本発明を限定しない。代わりに、本発明の範囲は、添付した特許請求の範囲及び均等物によって定義される。
【0010】
本発明の原則に相応するシステム及び方法は、ネットワークリソースユーザが行ったアクセスリクエストに応答して、ネットワークリソースプロバイダのネットワークリソースへのアクセスを提供することができる。ネットワークリソースユーザは、関連ネットワークアドレス、例えばネットワークアドレス識別子プロバイダによってそこへ割り当てられた動的割当ネットワークアドレス又は静的ネットワークアドレスを有しうる一つ以上のクライアント装置を使用することができる。ネットワークリソースへの接続をリクエストする特定のクライアント装置に関連付けられた各ネットワークアドレスは、ネットワークアドレス情報、例えばオーセンティケータによって接続の権限が与えられたネットワークアドレスのリストに対して認証、即ち比較されうる。ネットワークアドレス情報は、関連ネットワークアドレス識別子が動的に割り当てられうる一つ以上のネットワークアドレスの範囲を含むことができる。
【0011】
本明細書で使用されるように、“範囲”又は“リスト”は、一つ以上のネットワーク識別子を含むことができる。範囲は、任意の識別可能なグループ化を含むことができる。例えば、ネットワークアドレスの範囲は、包含的又は排他的になりうる個々のネットワークアドレスに対する任意の離散的グループ化を含むことができる。範囲は、任意の適切な表現によって定義されうる。一つの実施形態において、範囲は、一つ以上のネットワークアドレスの小集合を集合から排除するネットワークアドレスの集合に関するアルゴリズム的表現によって定義できる。もう一つの実施形態において、範囲は、隣接的又はそうでないことがあるネットワークアドレスの集合に関するアルゴリズム的表現によって定義できる。範囲は、一つ以上の変数からなる任意の関数として定義できる。任意の適切なプロセスが、範囲を決定するために使用されてもよい。
【0012】
例示的なネットワーク
図1は、本発明の原則に相応するシステム及び方法を実行することができる例示的なネットワーク100を示す。図示の通り、ネットワーク100は、関連サーバ140を有することができる公衆ネットワーク130に動作可能に接続するクライアント装置110を含むことができる。また、ネットワーク100は、クライアント装置110及び公衆ネットワーク130に動作可能に接続するネットワーク120を含むことができ、それは、関連ネットワーク装置150を有することができる。図1に示した装置の数及び種類は、簡素化のために提供される。実際には、本発明が実行できる典型的なネットワークは、図示のものと比較して多いか又は少ない装置及び/又はネットワークを含むことができる。また、単一のエンティティとして示される装置は、分散的配置で実行できる。
【0013】
本発明の原則に相応する一つの実施形態において、以下でさらに詳細に説明するように、クライアント装置110は、ネットワークアドレス(例えば、IPアドレス)等の固有のネットワーク識別子を介してネットワーク化された装置に対して相互作用可能な任意のユーザ又は加入者装置を含むことができる。クライアント装置110は、ネットワーク120及び/又は公衆ネットワーク130を介してデータ及び/又は音声通信又は他のメディアを開始、送信及び/又は受信可能な、個人用コンピュータ、ラップトップ、携帯情報端末(PDA)、又は他の種類のコンピュータ又は通信装置等の装置を含むことができる。
【0014】
一つのクライアント装置110のみを示すが、図1に示したクライアント装置110の数及び種類は、簡素化のために提供されることが分かる。実際には、ネットワーク100は、例えば仮想的及び/又は物理的クライアントグループで任意の数及び種類のクライアント装置110を含むことができる。クライアントグループは、例えば個々のクライアント装置110の間で指定された共通性に従って、クライアント装置110の任意の関連にすることができる。指定された共通性は、任意の知覚的又は実質上の共有的特徴を含むことができ、例えばサービスプロバイダによって確立される地理的位置、ネットワーク構成(例えば、ローカルエリアネットワーク(LAN)、ワイドエリアネットワーク(WAN)等)、電話エリアコード、電話交換、及び/又は加入者専用情報を含む。
【0015】
ネットワーク120は、ネットワーク化された通信におけるノード又はネットワーク要素の間で、任意のフォーマット(例えば、ビット、バイト、チャンク、パケット、離散的ユニット等)を実質的に有する任意の種類の機械読取可能なデータを受信、記憶、処理、及び/又は送信するのに適切な任意の種類のコンピュータネットワークを含むことができ、任意の適切なトポロジー(例えば、バス、スター、リング等)、プロトコル(例えば、IP、イーサネット(登録商標)、トークンリングネットワーク等)、及びアーキテクチャ(例えば、ピアツーピア、クライアント/サーバ等)を有する。例えば、ネットワーク120は、専用のネットワーク(例えば、企業ネットワーク)、私的ネットワーク、LAN、WAN、ホームエリアネットワーク、イントラネット、インターネット、サービスプロバイダのネットワーク、ボイスオーバIP(VoIP)ネットワーク、及び/又はネットワークの組合せを含むことができる。ネットワーク120は、データ又は他のメディアを受信、送信、及び/又は輸送するために協調的に動作する一つ以上のネットワーク装置150及び/又はシステムを含むことができる。例えば、ネットワーク装置150は、ルータ、ネットワークスイッチ、ファイアウォール、データベース、ゲートウェイ、サーバ、ネットワークオペレーションセンター(NOC)等を含むことができる。
【0016】
一つの実施形態において、ネットワーク120は、ネットワークリソースへの接続性をクライアント装置110に提供できるアクセスネットワークとして機能することができる。例えば、クライアント装置110は、リンク及びネットワーク装置150を用いてサービスプロバイダネットワークへのアクセスを得るために家庭のユーザによって動作されうる。リンクは、例えばワイヤレスフィディリティ(Wi−Fi)リンク及び/又は自由空間光リンク上に提供される、例えばデジタル加入者線(DSL)接続、例えばシールドツイストペアのケーブルモデム接続、例えば同軸ケーブル及び/又は光ファイバ及び/又はワイヤレス接続等の、ブロードバンド接続を含むことができる。
【0017】
ネットワーク120は、電気通信プロバイダ、ケーブルテレビプロバイダ、又はマルチメディア会社等のサービスプロバイダによって動作されうる。ネットワーク120は、公衆ネットワーク130等の公衆ネットワークにクライアント装置110を通信可能に接続するように動作することができる。例えば、ネットワーク120は、近所のような家庭の共同体にサービス提供するLANとして実行されうる。近所に居住する家庭のユーザは、ネットワーク120を介して公衆ネットワーク130にアクセスするためにクライアント装置110を動作することができる。家庭のユーザは、ネットワーク120に関連付けられるサービスプロバイダを介してネットワークアクセスサービスに加入することができる。
【0018】
ネットワーク120は、ネットワークアドレス識別子プロバイダにすることができる。ネットワーク120は、例えばクライアント装置110を他のネットワーク化された装置に対して識別することに使用するために、IPアドレス、イーサネット(登録商標)アドレス、ユニバーサルリソース識別子(URI)、動的ネットワークサービス(DNS)識別子等のような、ネットワークアドレス又は識別子をクライアント装置110に静的又は動的に提供することができる。例えば、ネットワーク装置150は、ネットワークアドレス識別子プロバイダにすることができ、動的ホスト構成プロトコル(DHCP)サーバ、アドレス変換ゲートウェイ、プロキシサーバ、及び/又は他の種類のサーバを含むことができ、それは、公衆ネットワーク130に対してクライアント装置110を一意的に識別するために(クライアント装置110がネットワーク120及び/又は公衆ネットワーク130を介してメッセージ送信を開始する時に)クライアント装置110にネットワークアドレスを提供する。ネットワークアドレスは、ネットワークアドレスのグループ又は範囲として、ネットワーク120又は公衆ネットワーク130に割り当てられるか又は利用可能な関連又は関係ネットワークアドレスから提供されうる。
【0019】
公衆ネットワーク130は、ネットワーク化されたリソースを含むことができ、例えば任意の適切なトポロジー、プロトコル、及びアーキテクチャを有するネットワークアドレスシステムを用いるネットワーク化された通信において、サーバ140等の関連ホスト、ノード、及び/又はサーバを含む。公衆ネットワーク130は、データを受信、送信、及び/又は輸送するために協調的に動作する一つ以上のネットワーク装置及び/又はシステムを含むことができ、ルータ、ネットワークスイッチ、ファイアウォール、データベース、ゲートウェイ、サーバ、ネットワーク運営センター(NOC)等を含む。
【0020】
サーバ140は、クライアント装置110に対してアクセス可能及び/又はネットワーク化されうる情報を処理、検索、及び/又は維持する任意のサーバ装置を含むことができる。例えば、サーバ140は、ファイル、ネットワークアドレス、又はそれに類似するような目的地ネットワークリソースに関連付けられるネットワークリソースプロバイダを含むか又はそれにすることができ、ウェブサイト、ウェブページ、オンラインサービス等のウェブコンテンツを含む。もう一つの例として、サーバ140は、ネットワークリソースプロバイダのネットワークリソースにアクセスするリクエストを認証するためのオーセンティケータを含むか又はそれにすることができる。オーセンティケータは、ネットワークリソースプロバイダに対して関連付けられるか又は独立することが可能な認証権限、即ちエンティティ、システム、動作、装置、ソフトウェア、ハードウェア、又はプロセスを含むことができる。サーバ140は、例えばハイパーテキストトランスファプロトコル(HTTP)を用いてクライアント装置110と相互作用することができる。
【0021】
図2は、本発明の原則に相応する実施形態におけるクライアント装置110及び/又はサーバ140の例示的な構成を示す。他の構成が、代替的に使用されてもよい。クライアント装置110/サーバ140は、バス210、プロセッサ220、メモリ230、読取専用メモリ(ROM)240、記憶装置250、入力装置260、出力装置270、及び通信インタフェース280を含むことができる。バス210は、クライアント装置110/サーバ140の要素間で通信を許容する。
【0022】
プロセッサ220は、命令を解釈及び実行する任意の種類の従来からのプロセッサ、マイクロプロセッサ、又は処理ロジックを含むことができる。メモリ230は、プロセッサ220が実行するための情報及び命令を記憶できるランダムアクセスメモリ(RAM)又は他の種類の動的記憶装置を含むことができる。また、メモリ230は、プロセッサ220が命令を実行する間に一時的変数又は他の中間情報を記憶するために使用されうる。
【0023】
ROM240は、プロセッサ220に対する静的情報及び命令を記憶できる従来のROM装置及び/又は他の種類の静的記憶装置を含むことができる。記憶装置250は、情報及び命令を記憶するために、磁気ディスク又は光学ディスク及びそれに対応するドライブ及び/又はいくつかの他の種類の磁気又は光学記録媒体及びそれに対応するドライブを含むことができる。
【0024】
入力装置260は、キーボード、マウス、ペン、音声認識、及び/又は生物測定メカニズム等のような、操作者がクライアント装置110/サーバ140に情報を入力できるようにする一つ以上の従来からのメカニズムを含むことができる。出力装置270は、操作者に情報を出力する一つ以上の従来からのメカニズムを含むことができ、ディスプレイ、プリンタ、一つ以上のスピーカ等を含む。通信インタフェース280は、クライアント装置110/サーバ140が他の装置及び/又はシステムと通信できるようにする任意のトランシーバに類似するメカニズムを含むことができる。例えば、通信インタフェース280は、LANに対するイーサネット(登録商標)インタフェース又はモデムを含むことができる。代わりに、通信インタフェース280は、ネットワークを介して通信するための他のメカニズムを含むことができる。
【0025】
例示的な処理
図3は、本発明の原則に相応する実施形態に従う、ネットワーク可能なリソース及び/又はサービスを無権限で使用することを防ぐための例示的な処理のフローチャートである。処理は、ネットワーク可能なリソース(例えば、アカウント)の所有者及び/又はネットワークリソースプロバイダ又は管理者のようなネットワークリソースユーザから始まることができ、例えば公衆ネットワーク130を介して関連ネットワークリソースにアクセスできる一つ以上のネットワークアドレスの権限リストを確立することによってネットワークリソースへのアクセスに独立的又は協調的に予め権限を与える(動作310)。権限リストは、ネットワークアドレスに対する一つ以上の範囲を含むことができる。権限リストは、例えばサーバ140において(例えば、メモリ230、記憶装置250等において)ネットワークサービスプロバイダ及び/又はオーセンティケータによって維持されうる。上記で検討した通り、ネットワークリソースは、サーバ140(例えば、プロセッサ220、メモリ230、記憶装置250等)に関連付けることができる。
【0026】
権限リストは、初めに例えばアカウント設定又は登録プロセスの一部として、又はその後の任意の時間において、任意の適切なプロセスによって確立できる。例示的な実施形態によると、(複数の)アカウント所有者は、(複数の)アカウント所有者に知られる(複数の)特定のネットワークアドレス及び/又はネットワークアドレスの(複数の)離散的範囲を識別でき、それから(複数の)アカウント所有者は、アカウントにアクセスしようとする。もう一つの例示的な実施形態によると、(複数の)アカウント所有者は、((複数の)アカウント所有者に知られないことがある)関連ネットワークアドレスを特定する必要なく、(複数の)アカウント所有者がアカウントにアクセスするために使用しようとするクライアント装置110に関連付けられる一つ以上のセレクトエンティティを識別することができる。例えば、(複数の)アカウント所有者は、雇用者、ネットワークサービスプロバイダのような情報を提供し、及び/又は関連ネットワークアドレスが“ファイル上”にあるか又はネットワークリソースプロバイダによって得ることができる任意の他のネットワークアドレス識別子プロバイダを選択することができる。
【0027】
さらにもう一つの例示的な実施形態によると、既存のアカウントについて、アカウントにアクセスするために先に使用された(複数の)ネットワークアドレスは、権限リストへ“グランドファーザ”されうる。例えば、(複数の)アカウント所有者及び/又はネットワークリソースプロバイダは、権限のあるネットワークリソースユーザがアカウントにアクセスした(複数の)識別可能なネットワークアドレスを指定することができる。一つの実施形態において、権限リストは、自動的に満たすことができる。
【0028】
例示的な実施形態において、(複数の)ネットワークアドレスは、権限リストに暫定的に含まれることができる。例えば、(複数の)暫定的ネットワークアドレスは、特定の期間で権限があるか又は無権限である状態を仮定することができる。例えば、権限リスト上の別の(複数の)暫定的ネットワークアドレスは、所定の曜日及び/又は時刻等を有することができ、その間に(複数の)暫定的ネットワークアドレスは、アクセス権限を有する。もう一つの例として、(複数の)ネットワークアドレスは、“サンセット”条件で指定でき、例えば所定の満期日/時間を有し、その後にそれは、権限リストから自動的、恒久的、又は一時的に削除される。本発明の原則に相応して、権限リスト上の(複数の)ネットワークアドレスは、遅延された開始又は起動のような、それに関連付けられる任意の他の暫定的又は条件的状態を有することができる。もう一つの例として、(複数の)ネットワークアドレスは、アカウント情報の閲覧に限定され、トランザクションが制限されうる。もう一つの例示的な実施形態によると、本発明の原則に相応するネットワーク認証機能は、指定期間(例えば、(複数の)アカウント所有者が旅行中の時)に選択的に全て無効にすることができ、その間にネットワークリソースは、確立された権限リストにないネットワークアドレスからアクセスできる。
【0029】
もう一つの例示的な実施形態において、確立された権限リストは、権限リストを確立するための任意の上記方法だけでなく任意の他の適切なプロセスで、(複数の)アカウント所有者、ネットワークリソースプロバイダ、又は両方によって一回以上修正されうる。即ち、ネットワークアドレスのオリジナル権限リストは、既存の又は予め追加されたネットワークアドレスを削除することによって、及び/又は追加的ネットワークアドレスを追加することによって更新又は変更でき、ネットワークアドレスの小集合又は範囲を含む。
【0030】
その後、クライアント装置110は、サーバ140等のネットワーク装置へ公衆ネットワーク130を介して直接的に、又はネットワーク120を介して間接的にアクセスリクエストを送信することができる(動作320)。アクセスリクエストは、クライアント装置110に関連付けられるソースネットワークアドレスとして静的又は動的に割り当てられるネットワークアドレスを含むことができる。アクセスリクエストは、サーバ140に関連付けられる(複数の)ファイル、(複数の)ネットワークアドレスのような(複数の)目的地ネットワークリソースへの接続をリクエストすることができる。一つの実施形態において、(複数の)ネットワークリソースへのアクセスは、アクセスリクエストを認証するオーセンティケータによって制御されうる。認証は、リクエストされた目的地ネットワークリソースへの接続に対してソースネットワークアドレスに権限が与えられるかどうかの判断に基づくことができる。認証は、例えばサーバ140による、認証リストに対するソースネットワークアドレスの比較を含むことができる(動作330)。
【0031】
本発明の原則に相応する一つの例示的な実施形態において、サーバ140は、ソースネットワークアドレスが権限リストに反映又は表示される場合、アクセスリクエストを選択的に許可し、ソースネットワークアドレスが権限リストに反映又は表示されない場合、アクセスリクエストを否定することができる。ソースネットワークアドレスに権限が与えられることを判断する時、リクエストされた接続が行われることにより、例えばクライアント装置110とサーバ140との間でユーザ又はネットワークセッションを確立することができる(動作380)。
【0032】
もう一つの例示的な実施形態によると、ソースネットワークアドレスに権限が与えられないことを判断する時、識別は例えばサーバ140によって行うことができ、そのアクセスが否定又は制限され、それは、クライアント装置110のユーザが(追加の)所定の認証情報を提供するリクエストと共にクライアント装置110へ送信されうる(動作350)。例えば、ユーザは、任意の適切な通信システムによってオーセンティケータに指紋又は声紋確認データのような生物測定データを提供することができる。もう一つの例として、ユーザは、任意の適切な電気通信装置を介してオーセンティケータに確認情報を言葉で通信することができる。アクセスはその後、例えばサーバ140によって受信された応答に基づき否定又は許可されうる(動作360、370及び380)。
【0033】
本発明の原則に相応する一つの例示的な実施形態において、ネットワークセッションを確立することは、本明細書中で説明した認証プロセスの前、後、又は同時に、例えばサーバ120において有効なログイン情報が受信されることを代替的又は追加的に要求することができる。例えば、クライアント装置110のユーザは、動作310の前又は後、又は動作380の前又は後に、ログイン情報(例えば、ユーザ名及びパスワード等)を入力するようにサーバ140からメッセージによって促されることがある。有効なログイン情報の受信の失敗は、認証プロセスを止め、ネットワークセッションを終了し、又はその両方でありうる。
【0034】
もう一つの例示的な実施形態において、ネットワークアドレスに対する少なくとも一つの離散的範囲は、特定のクライアントグループのクライアント装置110に関連付けることができる。上記検討の通り、グループのメンバ(即ち、クライアント装置110)は、クライアント装置110に関連付けられる共有的特徴、地理的領域、電話番号領域、ネットワーク構成等に基づき判断されうる。例えば、インターネットサービスプロバイダ(ISP)のようなサービスプロバイダは、クライアントグループの個々のクライアント装置110にネットワークアドレスを割り当てる目的でクライアント装置110のグループ化を形成することができる。この方法で、任意の所定のクライアント装置110に対する可能なネットワークアドレスのプールは例えば、(複数の)アカウント所有者が権限リストに(複数の)ネットワークアドレス範囲を追加できるように、管理可能な数の離散的ネットワークアドレス範囲に低減される。この方法で、(複数の)目的地ネットワークリソースにアクセスできるクライアント装置110の数は、実質的に低減されうるので、(複数の)ネットワークリソースへの不正アクセスの可能性を減少する。
【0035】
例
図4は、本発明の原則に相応するシステム及び方法が実行されうる例示的なネットワーク400を示す。以下の例示的な実施形態の各々に対して、ネットワークリソースユーザ(例えば、共同アカウント所有者)460a及び460bは、(複数の)目的地ネットワークアドレス、例えばウェブサイト470によって識別されるネットワーク可能なアカウントを有する。アカウントは、ネットワークリソースプロバイダ440によってホストされうる。ウェブサイト470におけるアカウントは、本発明の原則に相応して、ネットワーク430を介してネットワークリソースプロバイダ440及びオーセンティケータ480によってマルチレベルセキュリティ処理(例えば、ソース認証、ログイン検証、セキュリティ確認等)を用いて、権限のあるネットワークリソースユーザ(ここでは、ユーザ460a、460b)に対して利用可能になり、権限のない(複数の)ネットワークリソースユーザ(ここでは、フィッシャ(phisher)460c)に対して利用不可能になる。ウェブサイト470におけるアカウントは、(複数の)目的地ネットワークアドレスでアカウントへの接続が可能な予め権限が与えられたソースネットワークアドレスを含む、関連する確立された権限リストを有する。また、アカウントは、アカウントアクセス検証に要求される関連ログイン情報を有する。フィッシング技術によって発見されそうにない私的アカウント情報(例えば、社会保障番号、運転免許番号、母の旧姓、生物測定データ等)は、第2の認証確認を提供するためにオーセンティケータ480及び/又はネットワークリソースプロバイダ440によって維持されうるか又はアクセス可能である。本発明の原則に相応して、認証プロセスは、権限のあるネットワークリソースユーザによって命令される通りに(複数の)所定期間で意図的に迂回又は無効にされうる。
【0036】
例1
一つの例示的な実施形態において、例1で示すアカウントの第1の共同所有者であるネットワークリソースユーザ460aは、ネットワークリソースプロバイダ440に関連付けられるウェブサイト470へアクセスリクエストを送信するために、例えば自分の事業所において、企業LAN420a上でネットワーク化されたコンピュータ410a(又は他のネットワーク化された装置(図示せず))を使用する。LAN420aは、24ビットネットワークプレフィックス又はセグメント、例えば192.34.242を有するIPアドレスを有するクラスCネットワークであり、コンピュータ410aは、割り当てられた特定のホスト又はノード番号(例えば、118)を有する。一つの実施形態によると、ネットワークリソースユーザ460aは、コンピュータ410a(例えば、自分の割り当てられたコンピュータ)からのみウェブサイト470でアカウントにアクセスしようと試みる場合、権限リストは、IPアドレス192.34.242.118を含むことができる。もう一つの実施形態において、ネットワークリソースユーザ460aは、LAN420a上で一つ以上の他のコンピュータからアカウントにアクセスしようと試みる場合、個々の(複数の)IPアドレスは、権限リストに含まれうるか、又は代わりに、全ネットワーク(即ち、その任意の(複数の)小集合)は、192.34.242.0−192.34.242.255として権限リストに表示されうる。故に、ネットワークアドレス識別子プロバイダ450によって割り当てられるIPアドレスであって、ウェブサイト470でネットワーク430を介してLAN420a上でコンピュータ410aを用いてネットワークリソースユーザから受信したアクセスリクエストに関連付けられるIPアドレス192.34.242.118は、権限リストに対して認証するためのオーセンティケータ480に通信される。オーセンティケータ480は、認証がネットワークリソースユーザ460aに対して確立されたことをネットワークリソースプロバイダ440に通信し、接続は、アカウントIPアドレスに対して許容される。その後、ネットワークリソースユーザ460aは、有効なログイン情報を入力することによってアカウントへのログインに進むことができるので、アカウントアクセスを提供するユーザセッションを確立する。
【0037】
例2
もう一つの例示的な実施形態において、例2で示すコンピュータ410aのIPアドレスは、権限リストに暫定的に含まれる。即ち、ネットワークアドレス識別子プロバイダ450によって割り当てられたIPアドレス192.34.242.118は、特定期間(例えば、平日、通常業務時間等)の間のみ権限が与えられる。権限のある期間の時間外(例えば、週末等)でネットワークリソースユーザ460aがアカウントにアクセスするためにユーザコンピュータ410aを使用することを試みる時、オーセンティケータ480は、ネットワークリソースユーザ460aが無権限であることを初めに判断し、認証が確立されなかったことをネットワークリソースプロバイダ440に通信する。故に、アクセスリクエストは、拒絶され、接続性が許容されない。リクエスト否定メッセージは、コンピュータ410aに送信される。一つの実施形態において、ネットワークリソースユーザ460aはその後、オーセンティケータ480及び/又はネットワークリソースプロバイダ440によって維持されるか又はアクセス可能な関連確認情報に対して確認される第2の確認情報を提供することができる。例えば、ネットワークリソースユーザ460aは、オーセンティケータ480に提供される生物測定データを提供し、及び/又は電気通信を使用してオーセンティケータに通信し、言葉及び/又は押しボタン等によって確認を提供する。一度確認されると、ネットワークリソースユーザ460aはその後、有効なログイン情報を入力することによってアカウントへのログインへ進むことができるので、アカウントアクセスを提供するユーザセッションを確立する。もう一つの実施形態において、ネットワークリソースユーザ460aはその後、コンピュータ410aの第2に権限のある使用を考慮して権限リストを変更するオプションが与えられうる。
【0038】
例3
もう一つの例示的な実施形態において、例3で示すアカウントの第2の共同所有者であるネットワークリソースユーザ460bは、ネットワークリソースプロバイダ440に関連付けられるウェブサイト470にアクセスリクエストを送信するためにISPネットワーク420bへ接続する自宅からコンピュータ410bを使用する。ISPネットワーク420bは、16ビットネットワークプレフィックス、例えば168.233を有するIPアドレスを有するクラスBネットワークであり、コンピュータ410bは、コンピュータ410bがネットワーク430への接続を開始する毎に、ネットワークアドレス識別子プロバイダ450によって動的に割り当てられる0.0−255.255に及ぶホスト番号を有することができる。一つの実施形態によると、権限リストは、168.233.0.0−168.233.255.255に及ぶIPアドレスを含むことができる。もう一つの実施形態によると、ISPネットワーク420bは、サブネット化でき、即ち単一のネットワークは、多数の仮想ネットワークに分けることができる。例えば、ISPネットワーク420bは、コンピュータ410bを含むネットワーク化された装置の関連グループ(図示せず)を含むことができ、それは、168.233.15.0−168.233.22.255に及ぶIPアドレスが割り当てられうる。従って、権限リストは、IPアドレスの関連範囲を含むことができる。故に、ウェブサイト470でネットワーク430を介してISPネットワーク420b上でコンピュータ410bを用いてネットワークリソースユーザ460bから受信したアクセスリクエストに関連付けられる、168.233.15.0−168.233.22.255の範囲で動的に割り当てられたIPアドレスは、権限リストに対して認証するためのオーセンティケータ480へ通信され、接続は、アカウントIPアドレスに対して行われる。その後、ネットワークリソースユーザ460bは、有効なログイン情報を入力することによってアカウントへのログインへ進むことができるので、アカウントアクセスを提供するユーザセッションを確立する。
【0039】
例4
もう一つの例示的な実施形態において、例4で示すフィッシャであるネットワークリソースユーザ460cは、フィッシング又は他の技術を介して、ネットワークリソースプロバイダ440に関連付けられるウェブサイト470でアカウントに対するログイン情報を獲得した。ネットワークリソースユーザ460cは、確立された権限リストに関連付けられるLAN420a、ISP(サブネット化された)ネットワーク420b、又は任意の他のネットワークではないネットワーク420cに接続するネットワーク装置410cを使用して、ウェブサイト470にアクセスリクエストを送信する。アクセスリクエストは、権限リストに対してネットワークアドレス識別子プロバイダ450によってネットワーク装置410cに割り当てられる関連ソースIPアドレスを比較することによってアクセスリクエストを認証するオーセンティケータ480へ通信される。オーセンティケータ480は、ソースIPアドレスが権限リストに含まれないことを判断する。オーセンティケータ480は、認証が確立されなかったことをネットワークリソースプロバイダ440に通信する。アクセスリクエストは、ネットワークリソースプロバイダ440によって否定される。一つの実施形態において、ネットワークリソースユーザ460cは、例3で上述した方法で第2の確認情報を入力する機会が与えられうる。確認に失敗すると、アクセスリクエストが否定され、ユーザセッションが確立されない。
【0040】
例5
さらにもう一つの実施形態において、例5で示すネットワークリソースユーザ460aは、例えば確立された権限リストに関連付けられるLAN420a、ISP(サブネット化された)ネットワーク420b、又は任意の他のネットワークではないネットワーク420d上で、出張旅行の間にホテルルームからネットワーク装置410dを使用して、ネットワークリソースプロバイダ440に関連付けられるウェブサイト470にアクセスリクエストを送信する。しかし、リクエストを送信するより前で権限のあるユーザセッションの間、ネットワークリソースユーザ460aは、確立された権限リスト上にないソースIPアドレスからウェブサイト470がアクセス可能になるように、不定又は所定時間の間で認証機能を無効にした。認証プロセスが迂回されると、ネットワークリソースユーザ460bはその後、有効なログイン情報を入力することによってアカウントへのログインに進むことができるので、アカウントアクセスを提供するユーザセッションを確立する。
【0041】
結論
本発明の原則に相応する実施形態は、アクセスをリクエストするネットワークアドレスを用いる認証に基づきネットワークリソースにアクセスするためのクライアント装置リクエストを管理することによって改善されたネットワークアカウントセキュリティを提供する。ソース認証に追加して、ログイン情報検証及び第2のセキュリティ情報確認等のプロセスが使用されうる。従って、本発明の原則に相応する認証システムは、単に通常のログイン手順に依存することに対して、実質的に改善されたセキュリティを提供する。
【0042】
本発明の例示的な実施形態に関する上記説明は、図示及び説明を提供するが、開示された明確な形式に本発明を排他的又は限定的にすることを意図しない。変更及び改良は、上記教示に鑑みて可能であり、又は本発明の実施から得ることができる。
【0043】
また、一連の動作が図3に関して開示されたが、動作の順序は、本発明の原則に順応する他の実施形態で変更されてもよい。また、非依存的な動作が並行して実行されてもよい。
【0044】
また、当業者であれば、本発明の実施形態は、上記説明の通り、図示された実施形態において、ソフトウェア、ファームウェア、及びハードウェアからなる各種形式で実行されてもよいことが分かる。本発明の原則に相応する実施形態に使用する実際のソフトウェアコード又は専用の制御ハードウェアは、本発明の範囲ではない。故に、本発明の実施形態の動作及びふるまいは、特定のソフトウェアコードを参照することなく説明された。当業者であれば、本明細書中の説明に基づいて実施形態を実行するためにソフトウェアを設計しハードウェアを制御しうることが分かる。
【0045】
また、本発明のいくつかの点では、一つ以上の機能を実行する“ロジック”として実行されうる。このロジックは、特定用途向け集積回路(ASIC)又はフィールドプログラマブルゲートアレー、ソフトウェア、又はハードウェア及びソフトウェアの組合せのようなハードウェアを含むことができる。メッセージ又はパケットを処理することに関して実施形態を説明したが、これらの実施形態は、パケットデータ及び非パケットデータを含む任意の種類又は形式のデータ上で動作しうる。用語“データユニット”は、パケット又は非パケットデータを意味しうる。
【0046】
本発明の説明で使用される要素、動作又は命令は、特に明示した場合を除いて、本発明に必須又は不可欠なものとして解釈されるべきではない。また、本明細書で使用される通り、冠詞“a”は、一つ以上の項目を含むことを意図する。一つの項目のみ意図される場合、用語“一つ”又は類似の言語が使用される。また、語句“基づく”は、特に述べない限り、“少なくとも一部に基づく”と意味することを意図する。本発明の範囲は、請求の範囲及びその均等によって定義される。
【図面の簡単な説明】
【0047】
【図1】図1は、本発明の原則に相応する方法及びシステムが実行可能な例示的なネットワークを示す例示的な図である。
【図2】図2は、本発明の原則に相応する実施形態による、図1のサーバ及び/又はクライアント装置の例示的なブロック図である。
【図3】図3は、本発明の原則に相応するネットワーク可能なアカウントサービスの見込みユーザを認証するための方法を示す例示的なフロー図である。
【図4】図4は、本発明の原則に相応する方法及びシステムが実行される例示的なネットワークを示すもう一つの例示的な図である。
【符号の説明】
【0048】
110 クライアント装置
120 ネットワーク
130 公衆ネットワーク
140 サーバ
【特許請求の範囲】
【請求項1】
ネットワークリソースユーザに関連付けられるネットワークアドレス情報を維持する過程と、
ネットワークアドレス識別子を含む、ネットワークリソースユーザを認証するリクエストを受信する過程と、
ネットワークアドレス情報及びネットワークアドレス識別子に基づきネットワークリソースユーザを認証する過程と
を具備することを特徴とする方法。
【請求項2】
ネットワークアドレス情報を維持する過程は、ネットワークリソースユーザに関連付けられるネットワークアドレスの少なくとも一つの離散的範囲を維持する過程を具備することを特徴とする請求項1に記載の方法。
【請求項3】
認証過程は、ネットワークアドレス識別子が少なくとも一つの離散的範囲に含まれる場合、ネットワークリソースユーザの認証を選択的に確立する過程を具備することを特徴とする請求項2に記載の方法。
【請求項4】
ネットワークリソースユーザの認証を含む、リクエストへの応答を送信する過程をさらに具備することを特徴とする請求項1に記載の方法。
【請求項5】
応答を送信する過程は、ネットワークリソースユーザの認証が確立されない場合、確認情報を選択的にリクエストする過程を具備することを特徴とする請求項4に記載の方法。
【請求項6】
確認情報を受信する過程と、
確認情報の有効性を判断する過程と
をさらに具備することを特徴とする請求項5に記載の方法。
【請求項7】
確認情報を受信する過程は、音声データを受信する過程を具備することを特徴とする請求項6に記載の方法。
【請求項8】
確認情報を受信する過程は、生物測定データを受信する過程を具備することを特徴とする請求項6に記載の方法。
【請求項9】
有効性判断を含むメッセージを送信する過程をさらに具備することを特徴とする請求項6に記載の方法。
【請求項10】
少なくとも一つのネットワークアドレスを含み、少なくとも一つのネットワークリソースに関連付けられる権限リストを確立する過程と、
リクエストがソースネットワークアドレスを含む場合、少なくとも一つのネットワークリソースにアクセスするリクエストを受信する過程と、
権限リスト及びソースネットワークアドレスに基づき少なくとも一つのネットワークリソースへのアクセスを制御する過程と
を具備することを特徴とする方法。
【請求項11】
権限リストを確立する過程は、少なくとも一つのネットワークリソースに関連付けられるネットワークアドレスの少なくとも一つの離散的範囲を含む過程を具備することを特徴とする請求項10に記載の方法。
【請求項12】
アクセスを制御する過程は、
ソースネットワークアドレスが権限リストに含まれる場合、少なくとも一つのネットワークリソースへのアクセスを提供する過程と、
ソースネットワークアドレスが権限リストに含まれない場合、少なくとも一つのネットワークリソースへのアクセスを制限する過程と
を具備することを特徴とする請求項10に記載の方法。
【請求項13】
少なくとも一つのネットワークリソースへのアクセスが制限されたことを示す過程と、
少なくとも一つのネットワークリソースに関連付けられる確認情報が提供されることをリクエストする過程と
をさらに具備することを特徴とする請求項12に記載の方法。
【請求項14】
提供された確認情報が有効であるかを判断する過程をさらに具備することを特徴とする請求項13に記載の方法。
【請求項15】
提供された確認情報が無効である場合、少なくとも一つのネットワークリソースへのアクセスを制限する過程をさらに具備することを特徴とする請求項14に記載の方法。
【請求項16】
提供された確認情報が有効である場合、アクセス制限を覆す過程と、
少なくとも一つのネットワークリソースへのアクセスを提供する過程と
をさらに具備することを特徴とする請求項15に記載の方法。
【請求項17】
権限リストにソースネットワークアドレスを追加する過程をさらに具備することを特徴とする請求項16に記載の方法。
【請求項18】
少なくとも一つの追加的ネットワークアドレスを追加する過程、又は
少なくとも一つのネットワークアドレスを削除する過程
によって権限リストを修正する過程をさらに具備することを特徴とする請求項10に記載の方法。
【請求項19】
権限リストを確立する過程は、少なくとも一つのネットワークリソースへアクセスするために先に使用された少なくとも一つのソースネットワークアドレスを権限リストに追加する過程を具備することを特徴とする請求項10に記載の方法。
【請求項20】
権限リストを確立する過程は、関連ネットワークアドレスが識別可能なネットワークエンティティを指定する過程を具備することを特徴とする請求項10に記載の方法。
【請求項21】
少なくとも一つのネットワークアドレスは、所定期間で権限が与えられることを特徴とする請求項10に記載の方法。
【請求項22】
所定期間は、少なくとも一つの曜日、少なくとも一つの時刻、又は両方を具備することを特徴とする請求項21に記載の方法。
【請求項23】
アクセスを制御する過程は、
ログイン情報を受信する過程と、
ログイン情報、権限リスト、及びソースネットワークアドレスに基づき少なくとも一つのネットワークリソースへのアクセスを許容する過程と
を具備することを特徴とする請求項10に記載の方法。
【請求項24】
少なくとも一つのネットワークアドレスにサーバへ接続する権限を予め与え、
サーバへ接続するリクエストを、ソースアドレスを有するクライアント装置から受信し、
サーバへ接続する権限がソースアドレスに予め与えられたかを判断し、及び
ソースアドレスに予め権限が与えられたかの判断に基づきリクエストを選択的に許可する
ように構成されたサーバを具備することを特徴とする装置。
【請求項25】
少なくとも一つのネットワークアドレスは、ネットワークアドレスの離散的範囲を具備することを特徴とする請求項24に記載の装置。
【請求項26】
サーバは、
リクエストが否定されたことを示し、
確認情報がサーバへ提供されることをリクエストする
ようにさらに構成されることを特徴とする請求項25に記載の装置。
【請求項27】
サーバは、ソースアドレスに予め権限が与えられたかの判断と確認情報とに基づきリクエストを選択的に許可するようにさらに構成されることを特徴とする請求項26に記載の装置。
【請求項28】
サーバは、
ログイン情報を受信し、及び
ソースアドレスに予め権限が与えられたかの判断とログイン情報とに基づきリクエストを選択的に許可する
ようにさらに構成されることを特徴とする請求項24に記載の装置。
【請求項29】
サーバは、少なくとも一つのネットワークアドレスがサーバへ接続するために先に使用された場合、少なくとも一つのネットワークアドレスに予め権限を与えるようにさらに構成されることを特徴とする請求項24に記載の装置。
【請求項30】
ネットワークアドレスの範囲から動的に割り当てられたソースネットワークアドレスを有するクライアント装置から、ネットワークリソースへの接続に対するリクエストを受信する手段と、
権限のあるネットワークアドレスのリストにソースネットワークアドレスが比較される場合、ソースネットワークアドレスを選択的に認証する手段と、
権限のあるソースネットワークアドレスをネットワークリソースへ接続する手段と
を具備することを特徴とするシステム。
【請求項1】
ネットワークリソースユーザに関連付けられるネットワークアドレス情報を維持する過程と、
ネットワークアドレス識別子を含む、ネットワークリソースユーザを認証するリクエストを受信する過程と、
ネットワークアドレス情報及びネットワークアドレス識別子に基づきネットワークリソースユーザを認証する過程と
を具備することを特徴とする方法。
【請求項2】
ネットワークアドレス情報を維持する過程は、ネットワークリソースユーザに関連付けられるネットワークアドレスの少なくとも一つの離散的範囲を維持する過程を具備することを特徴とする請求項1に記載の方法。
【請求項3】
認証過程は、ネットワークアドレス識別子が少なくとも一つの離散的範囲に含まれる場合、ネットワークリソースユーザの認証を選択的に確立する過程を具備することを特徴とする請求項2に記載の方法。
【請求項4】
ネットワークリソースユーザの認証を含む、リクエストへの応答を送信する過程をさらに具備することを特徴とする請求項1に記載の方法。
【請求項5】
応答を送信する過程は、ネットワークリソースユーザの認証が確立されない場合、確認情報を選択的にリクエストする過程を具備することを特徴とする請求項4に記載の方法。
【請求項6】
確認情報を受信する過程と、
確認情報の有効性を判断する過程と
をさらに具備することを特徴とする請求項5に記載の方法。
【請求項7】
確認情報を受信する過程は、音声データを受信する過程を具備することを特徴とする請求項6に記載の方法。
【請求項8】
確認情報を受信する過程は、生物測定データを受信する過程を具備することを特徴とする請求項6に記載の方法。
【請求項9】
有効性判断を含むメッセージを送信する過程をさらに具備することを特徴とする請求項6に記載の方法。
【請求項10】
少なくとも一つのネットワークアドレスを含み、少なくとも一つのネットワークリソースに関連付けられる権限リストを確立する過程と、
リクエストがソースネットワークアドレスを含む場合、少なくとも一つのネットワークリソースにアクセスするリクエストを受信する過程と、
権限リスト及びソースネットワークアドレスに基づき少なくとも一つのネットワークリソースへのアクセスを制御する過程と
を具備することを特徴とする方法。
【請求項11】
権限リストを確立する過程は、少なくとも一つのネットワークリソースに関連付けられるネットワークアドレスの少なくとも一つの離散的範囲を含む過程を具備することを特徴とする請求項10に記載の方法。
【請求項12】
アクセスを制御する過程は、
ソースネットワークアドレスが権限リストに含まれる場合、少なくとも一つのネットワークリソースへのアクセスを提供する過程と、
ソースネットワークアドレスが権限リストに含まれない場合、少なくとも一つのネットワークリソースへのアクセスを制限する過程と
を具備することを特徴とする請求項10に記載の方法。
【請求項13】
少なくとも一つのネットワークリソースへのアクセスが制限されたことを示す過程と、
少なくとも一つのネットワークリソースに関連付けられる確認情報が提供されることをリクエストする過程と
をさらに具備することを特徴とする請求項12に記載の方法。
【請求項14】
提供された確認情報が有効であるかを判断する過程をさらに具備することを特徴とする請求項13に記載の方法。
【請求項15】
提供された確認情報が無効である場合、少なくとも一つのネットワークリソースへのアクセスを制限する過程をさらに具備することを特徴とする請求項14に記載の方法。
【請求項16】
提供された確認情報が有効である場合、アクセス制限を覆す過程と、
少なくとも一つのネットワークリソースへのアクセスを提供する過程と
をさらに具備することを特徴とする請求項15に記載の方法。
【請求項17】
権限リストにソースネットワークアドレスを追加する過程をさらに具備することを特徴とする請求項16に記載の方法。
【請求項18】
少なくとも一つの追加的ネットワークアドレスを追加する過程、又は
少なくとも一つのネットワークアドレスを削除する過程
によって権限リストを修正する過程をさらに具備することを特徴とする請求項10に記載の方法。
【請求項19】
権限リストを確立する過程は、少なくとも一つのネットワークリソースへアクセスするために先に使用された少なくとも一つのソースネットワークアドレスを権限リストに追加する過程を具備することを特徴とする請求項10に記載の方法。
【請求項20】
権限リストを確立する過程は、関連ネットワークアドレスが識別可能なネットワークエンティティを指定する過程を具備することを特徴とする請求項10に記載の方法。
【請求項21】
少なくとも一つのネットワークアドレスは、所定期間で権限が与えられることを特徴とする請求項10に記載の方法。
【請求項22】
所定期間は、少なくとも一つの曜日、少なくとも一つの時刻、又は両方を具備することを特徴とする請求項21に記載の方法。
【請求項23】
アクセスを制御する過程は、
ログイン情報を受信する過程と、
ログイン情報、権限リスト、及びソースネットワークアドレスに基づき少なくとも一つのネットワークリソースへのアクセスを許容する過程と
を具備することを特徴とする請求項10に記載の方法。
【請求項24】
少なくとも一つのネットワークアドレスにサーバへ接続する権限を予め与え、
サーバへ接続するリクエストを、ソースアドレスを有するクライアント装置から受信し、
サーバへ接続する権限がソースアドレスに予め与えられたかを判断し、及び
ソースアドレスに予め権限が与えられたかの判断に基づきリクエストを選択的に許可する
ように構成されたサーバを具備することを特徴とする装置。
【請求項25】
少なくとも一つのネットワークアドレスは、ネットワークアドレスの離散的範囲を具備することを特徴とする請求項24に記載の装置。
【請求項26】
サーバは、
リクエストが否定されたことを示し、
確認情報がサーバへ提供されることをリクエストする
ようにさらに構成されることを特徴とする請求項25に記載の装置。
【請求項27】
サーバは、ソースアドレスに予め権限が与えられたかの判断と確認情報とに基づきリクエストを選択的に許可するようにさらに構成されることを特徴とする請求項26に記載の装置。
【請求項28】
サーバは、
ログイン情報を受信し、及び
ソースアドレスに予め権限が与えられたかの判断とログイン情報とに基づきリクエストを選択的に許可する
ようにさらに構成されることを特徴とする請求項24に記載の装置。
【請求項29】
サーバは、少なくとも一つのネットワークアドレスがサーバへ接続するために先に使用された場合、少なくとも一つのネットワークアドレスに予め権限を与えるようにさらに構成されることを特徴とする請求項24に記載の装置。
【請求項30】
ネットワークアドレスの範囲から動的に割り当てられたソースネットワークアドレスを有するクライアント装置から、ネットワークリソースへの接続に対するリクエストを受信する手段と、
権限のあるネットワークアドレスのリストにソースネットワークアドレスが比較される場合、ソースネットワークアドレスを選択的に認証する手段と、
権限のあるソースネットワークアドレスをネットワークリソースへ接続する手段と
を具備することを特徴とするシステム。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公表番号】特表2008−539519(P2008−539519A)
【公表日】平成20年11月13日(2008.11.13)
【国際特許分類】
【出願番号】特願2008−508963(P2008−508963)
【出願日】平成18年4月24日(2006.4.24)
【国際出願番号】PCT/US2006/015225
【国際公開番号】WO2006/118829
【国際公開日】平成18年11月9日(2006.11.9)
【出願人】(507357911)エムシーアイ・インコーポレーテッド (1)
【Fターム(参考)】
【公表日】平成20年11月13日(2008.11.13)
【国際特許分類】
【出願日】平成18年4月24日(2006.4.24)
【国際出願番号】PCT/US2006/015225
【国際公開番号】WO2006/118829
【国際公開日】平成18年11月9日(2006.11.9)
【出願人】(507357911)エムシーアイ・インコーポレーテッド (1)
【Fターム(参考)】
[ Back to top ]