動的認証方法、動的認証システム、制御プログラム、および、物理キー
【課題】物理キーを用いてゲストデバイスの認証を行うことを提案する。
【解決手段】本発明の動的認証方法は、(a)ユーザグループ、ユーザデバイスおよび少なくとも一の物理キーの間の関連付けの第一セットを決定し、(b)ゲストデバイスとユーザの物理キーとの間の提案された動的関連付けを、該物理キーの存在に基づいて、第一の通信チャネルを介して決定し、(c)提案された前記動的関連付けのユーザ確認を、第二の通信チャネルを介して、決定し、(d)前記ユーザデバイスのユーザに関連付けられた情報およびサービスの少なくとも一へのアクセスのために、前記動的関連付け、前記ユーザ確認、および関連付けの前記第一セットに基づいて、前記ゲストデバイスを認証する。
【解決手段】本発明の動的認証方法は、(a)ユーザグループ、ユーザデバイスおよび少なくとも一の物理キーの間の関連付けの第一セットを決定し、(b)ゲストデバイスとユーザの物理キーとの間の提案された動的関連付けを、該物理キーの存在に基づいて、第一の通信チャネルを介して決定し、(c)提案された前記動的関連付けのユーザ確認を、第二の通信チャネルを介して、決定し、(d)前記ユーザデバイスのユーザに関連付けられた情報およびサービスの少なくとも一へのアクセスのために、前記動的関連付け、前記ユーザ確認、および関連付けの前記第一セットに基づいて、前記ゲストデバイスを認証する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は認証に関する。詳細には、本発明は、ゲストデバイスを認証する動的認証方法、動的認証システム、デバイスを動的に認証するようにコンピュータをプログラミングするために使用可能な制御プログラム、ユーザをデータサービスに対して動的に認証するための物理キー、および、データシステムとともに使用可能な物理キーに関する。
【背景技術】
【0002】
コンピュータシステムおよびコンピュータアプリケーションのセキュリティは情報セキュリティ幹部にとってますます関心事になっている。コンピュータセキュリティシステムは情報源に対するアクセスをプロテクトすることにより個人情報、極秘情報、および他の機密情報を不正利用からプロテクトする。コンピュータセキュリティを強化するための従来のシステムには、自明ではないユーザ識別子の使用、より長くより安全な、もしくは、より長いかより安全なパスワードの使用、より頻繁なパスワード変更およびスマートカードの使用がある。
【0003】
非特許文献1、任意の場所からリアルタイムでプリントを行うことに関する非特許文献2、任意の場所から自己のパーソナルコンピュータにアクセスすることに関する非特許文献3は、本願発明に関連する内容を含む。
【非特許文献1】ブルース・シュナイアー(Bruce Schneier)、「応用暗号 第二版:Cによるプロトコル、アルゴリズム、および、ソースコード(Applied Cryptography Second Edition: protocol, algorithms, and source code in C」、USA、ジョン・ウィリー・アンド・ソンズ(John Wiley & Sons)、1996年
【非特許文献2】エレクトロニクス・フォー・イメージング・インコーポレイテッド(Electronics for Imaging Inc.)、「EFI PRINTME」、[online]、[2005年3月14日検索]、インターネット<URL:http://www.efi.com/products/printme/index.html>
【非特許文献3】「GOTOMYPC:私たちのテクノロジー(Our Technology)」、[online]、[2005年3月14日検索]、インターネット<URL:http://www.gotomypc.com>
【発明の開示】
【発明が解決しようとする課題】
【0004】
これらの従来のシステムは許可されていない人員のアクセスをより困難にすることができ、通常、効果的な使用のためのトレーニングを必要とするかもしれない。さらにこれらの従来のシステムはユーザにとってもアクセスをより困難にするかもしれない。したがって、これらの従来のシステムはユビキタスコンピューティング環境の中で幅広く配備される可能性が低い。
【課題を解決するための手段】
【0005】
したがって、物理キーに基づいて動的認証を提供するシステムおよび方法が有効であろう。本発明によるシステムおよび方法は、ユーザと、ユーザデバイスと、物理キー、ユーザ、および、ユーザデバイスの少なくとも二の間で予め決定されている第一の関連付けと、を決定する。物理キーとゲストデバイスとの間で提案された動的関連付けは第一のチャネルまたは通信リンクを介して伝えられる。提案された関連付けは、物理キーのコンタクトベースコネクタまたはコンタクトレスコネクタに基づいている。動的認証システムは、アクセスコントロールリスト、または、ユーザおよび物理キーの少なくとも一方と関連付けられる他の制御手順と照合して、オプションで、ゲストデバイスを検証する。
【0006】
ユーザは、所定の関連付けに基づいて、一または複数のユーザデバイスと関連付けられる。第二のチャネルでのユーザデバイスを介したユーザログインが、物理キーとゲストデバイスとの間の提案された動的な関連付けを確認する。ゲストデバイスは、ゲストデバイスでのユーザ情報およびサービスへのアクセスのために認証される。認証は、オプションで、動的認証システムから送信される認証メッセージに基づいている。可能なゲストデバイスのセットは、MAC、インターネットプロトコル(IP)アドレス等により予め識別されたデバイスに、オプションで、制限される。ユーザとユーザデバイスとの間の関連付けは暗示的であってもよいし、明示的であってよい。ユーザはさらにログインキーシーケンス、生体認証等を介して自らを認証してよい。物理キーによって維持されるセッショントークンの動的認証、および、動的認証システムが、テキスト、音声およびビデオ画像情報のようなデジタル資産のプロテクションのために提供される。動的認証は第一のチャネルまたは第二のチャネルを介してなされてもよい。本発明によるシステムおよび方法は、ゲストデバイスに送信される情報のプロテクションおよび変換の少なくとも一方を提供する。プロテクトのための変換および他の変換の少なくともいずれかは、ゲストデバイスに適したフォーマットへ情報を変換すること、または、ゲストデバイスに適したモードに情報を変換すること、情報のコピープロテクションをすること、ステガノグラフィック符号化をすること、ウォーターマークを埋め込むこと、暗号化を行うこと、等を含むが、本発明は、これらに限定されるものではない。
【0007】
本発明の第1の態様の動的認証方法は、(a)ユーザグループ、ユーザデバイスおよび少なくとも一の物理キーの間の関連付けの第一セットを決定し、(b)ゲストデバイスとユーザの物理キーとの間の提案された動的関連付けを、該物理キーの存在に基づいて、第一の通信チャネルを介して決定し、(c)提案された前記動的関連付けのユーザ確認を、第二の通信チャネルを介して、決定し、(d)前記ユーザデバイスのユーザに関連付けられた情報およびサービスの少なくとも一へのアクセスのために、前記動的関連付け、前記ユーザ確認、および関連付けの前記第一セットに基づいて、前記ゲストデバイスを認証する。
【0008】
本発明の第2の態様は、第1の態様の動的認証方法であって、前記第一の通信チャネルが前記物理キーにより提供される。
【0009】
本発明の第3の態様は、第1の態様の動的認証方法であって、前記第一の通信チャネルが前記ゲストデバイスにより提供される。
【0010】
本発明の第4の態様は、第1の態様の動的認証方法であって、前記物理キーが、前記ゲストデバイスに接続するためのコンタクトベースコネクタおよびコンタクトレスコネクタの少なくとも一をさらに含む。
【0011】
本発明の第5の態様は、第4の態様の動的認証方法であって、前記コンタクトベースコネクタが、USBポート、メモリスティック(Memorystick)ポート、シリアルポート、パラレルポート、セキュアカード(Secure Card)ポート、コンパクトフラッシュ(登録商標)カードポート、スマートカードポート、およびPCカードポート、の少なくとも一である。
【0012】
本発明の第6の態様は、第4の態様の動的認証方法であって、前記コンタクトレスコネクタが、ブルートゥース(Bluetooth)コネクタ、RFIDコネクタ、ワイファイ(WiFi)コネクタ、ワイマックス(WiMax)コネクタ、赤外線コネクタ、の少なくとも一である。
【0013】
本発明の第7の態様は、第1の態様の動的認証方法であって、前記ユーザ情報が前記ゲストデバイスへの伝送の前に変換される。
【0014】
本発明の第8の態様は、第7の態様の動的認証方法であって、前記変換が、デジタルウォーターマークを適用するコピープロテクション変換およびステガノグラフィック変換の少なくとも一である。
【0015】
本発明の第9の態様は、第1の態様の動的認証方法であって、ゲストデバイスである動作可能なユーザデバイスセットが、アクセスコントロールリストに基づいて、決定される。
【0016】
本発明の第10の態様は、第1の態様の動的認証方法であって、ゲストデバイスが、固定電話、ボイスオーバIP電話、パーソナルデジタルアシスタント、イネーブルされた音楽プレーヤ、無線送信機、デジタルカメラ、ビデオカメラ、パーソナルミュージックプレーヤ、パーソナルビデオプレーヤ、テレビ、プリンタおよびコンピュータ、の少なくとも一である。
【0017】
本発明の第11の態様の動的認証システムは、ユーザグループ、ユーザデバイスおよび少なくとも一の物理キーの間の関連付けの第一セットを記憶するメモリと、前記物理キーの存在に基づいて、ゲストデバイスとユーザの物理キーとの間の提案された動的関連付けを、第一の通信チャネルを介して、受信する入出力回路と、第二の通信チャネルを介しての提案された前記動的関連付けのユーザ確認と、前記ユーザデバイスのユーザに関連付けられた情報およびサービスの少なくとも一へのアクセスのために、前記動的関連付け、前記ユーザ確認、および関連付けの前記第一セットに基づいて、前記ゲストデバイスを認証するプロセッサと、を備える。
【0018】
本発明の第11の態様の別の態様の動的認証システムは、ユーザグループ、ユーザデバイスおよび少なくとも一の物理キーの間の関連付けの第一セットを記憶するメモリと、プロセッサと、前記物理キーの存在に基づいて、ゲストデバイスとユーザの物理キーとの間の提案された動的関連付けを、第一の通信チャネルを介して、受信する入出力手段と、を備え、該プロセッサは、第二の通信チャネルを介して提案された前記動的関連付けのユーザ確認を取得するユーザ確認手段と、前記ユーザデバイスのユーザに関連付けられた情報およびサービスの少なくとも一へのアクセスのために、前記動的関連付け、前記ユーザ確認、および関連付けの前記第一セットに基づいて、前記ゲストデバイスを認証するゲストデバイス決定手段と、を備える、動的認証システムであってよい。ユーザ確認手段、ゲストデバイス決定手段は、プロセッサによって制御されるハードウェアであってもよいし、プロセッサによって実行されるソフトウェアであってもよい。
【0019】
本発明の第12の態様は、第11の態様の動的認証システムであって、前記第一の通信チャネルが前記物理キーにより提供される。
【0020】
本発明の第13の態様は、第11の態様の動的認証システムであって、前記第一の通信チャネルが前記ゲストデバイスにより提供される。
【0021】
本発明の第14の態様は、第11の態様の動的認証システムであって、前記物理キーが、前記ゲストデバイスに接続するためのコンタクトベースコネクタおよびコンタクトレスコネクタの少なくとも一をさらに含む。
【0022】
本発明の第15の態様は、第14の態様の動的認証システムであって、前記コンタクトベースコネクタが、USBポート、メモリスティック(Memorystick)ポート、シリアルポート、パラレルポート、セキュアカード(Secure Card)ポート、コンパクトフラッシュ(登録商標)カードポート、スマートカードポート、およびPCカードポート、の少なくとも一である。
【0023】
本発明の第16の態様は、第14の態様の動的認証システムであって、前記コンタクトレスコネクタがブルートゥース(Bluetooth)コネクタ、RFIDコネクタ、ワイファイ(WiFi)コネクタ、ワイマックス(WiMax)コネクタ、および赤外線コネクタ、の少なくとも一である。
【0024】
本発明の第17の態様は、第11の態様の動的認証システムであって、前記ユーザ情報が前記ゲストデバイスへの伝送の前に変換される。
【0025】
本発明の第18の態様は、第17の態様の動的認証システムであって、前記変換が、デジタルウォーターマークを適用するコピープロテクション変換およびステガノグラフィック変換の少なくとも一である。
【0026】
本発明の第19の態様は、第11の態様の動的認証システムであって、ゲストデバイスである動作可能なユーザデバイスセットが、アクセスコントロールリストに基づいて、決定される。
【0027】
本発明の第20の態様は、第11の態様の動的認証システムであって、前記ゲストデバイスが、固定電話、ボイスオーバIP電話、パーソナルデジタルアシスタント、イネーブルされた音楽プレーヤ、無線送信機、デジタルカメラ、ビデオカメラ、パーソナルミュージックプレーヤ、パーソナルビデオプレーヤ、テレビ、プリンタおよびコンピュータ、の少なくとも一である。
【0028】
本発明の第21の態様は、デバイスを動的に認証するようにコンピュータをプログラミングするために使用可能な制御プログラムであって、ユーザグループ、ユーザデバイスおよび少なくとも一の物理キーの間の関連付けの第一セットを決定する命令と、ゲストデバイスとユーザの物理キーとの間の提案された動的関連付けを、前記物理キーの存在に基づいて、第一の通信チャネルを介して、決定する命令と、提案された前記動的関連付けのユーザ確認を、第二の通信チャネルを介して、決定する命令と、前記ユーザデバイスのユーザと関連付けられている情報およびサービスの少なくとも一へのアクセスのために、前記動的関連付け、前記ユーザ確認、および関連付けの前記第一セットに基づいて、前記ゲストデバイスを認証する命令と、を含む。
【0029】
本発明の第22の態様は、ユーザをデータサービスに対して動的に認証するための物理キーであって、前記物理キーを識別する物理キー識別子と、前記物理キー識別子に基づいて、ゲストデバイスとの動的関連付けを提案するためのコネクタと、を備える。
【0030】
本発明の第23の態様は、第22の態様の物理キーであって、前記コネクタが、コンタクトベースコネクタおよびコンタクトレスコネクタの少なくとも一である。
【0031】
本発明の第24の態様は、第22の態様の物理キーであって、前記物理キーが、提案された前記動的関連付けを伝えるために動作可能な第一の通信リンクを備える。
【0032】
本発明の第25の態様は、請求項1に記載の動的認証方法であって、(d)が、前記物理キーと関連付けられる前記ユーザを決定し、前記物理キーと関連付けられる少なくとも一のデータサービスを決定し、前記ゲストデバイスの動的認証に基づいて、前記データサービスへのユーザアクセスを認証する、ことを含む。
【0033】
本発明の第26の態様は、第25の態様の動的認証方法であって、前記データサービスがコンピュータに含まれる情報のリポジトリである。
【0034】
本発明の第27の態様は、第26の態様の動的認証方法であって、前記コンピュータが、ポータブルコンピュータ、ポータブルでないコンピュータ、の少なくとも一である。
【0035】
本発明の第28の態様は、第27の態様の動的認証方法であって、ポータブルでない前記コンピュータが、サーバ、協働サーバ、情報リポジトリおよびデジタルライブラリ、の少なくとも一である。
【0036】
本発明の第29の態様は、第1の態様の動的認証方法であって、前記ユーザ情報およびサービスが、前記認証に基づいて、暗号化および復号化される。
【0037】
本発明の第30の態様は、第29の態様の動的認証方法であって、前記復号化が一時的な復号化である。
【0038】
本発明の第31の態様は、第1の態様の動的認証方法であって、前記ユーザ情報およびサービスが、前記物理キー、前記ゲストデバイスおよび遠隔場所、の少なくとも一に位置する。
【0039】
本発明の第32の態様は、第1の態様の動的認証方法であって、関連付けの前記第一セットが、認証権を変更するように修正される。
【0040】
本発明の第33の態様は、第11の態様の動的認証システムであって、前記ユーザ情報およびサービスが、前記認証に基づいて、暗号化および復号化される。
【0041】
本発明の第34の態様は、第33の態様の動的認証システムであって、前記復号化が一時的な復号化である。
【0042】
本発明の第35の態様は、第11の態様の動的認証システムであって、前記ユーザ情報およびサービスが、前記物理キー、前記ゲストデバイスおよび遠隔場所、の少なくとも一に位置する。
【0043】
本発明の第36の態様は、第11の態様の動的認証システムであって、関連付けの前記第一セットが認証権を変更するように修正される。
【0044】
本発明の第37の態様は、第1の態様の動的認証方法であって、確認された前記動的関連付けが、前記ユーザデバイスおよび前記物理キーの少なくとも一によってサポートされるセッション識別子と関連付けられる。
【0045】
本発明の第38の態様は、第37の態様の動的認証方法であって、前記セッション識別子が、可変である時間間隔で検証される。
【0046】
本発明の第39の態様は、第11の態様の動的認証システムであって、確認された前記動的関連付けが、前記ユーザデバイスおよび前記物理キーの少なくとも一によってサポートされるセッション識別子と関連付けられる。
【0047】
本発明の第40の態様は、第39の態様の動的認証システムであって、前記セッション識別子が、可変である時間間隔で検証される。
【0048】
本発明の第41の態様は、データシステムとともに使用可能な物理キーであって、物理キーと少なくとも一のユーザデバイスとの間の予め指定されている関連付けをリトリーブするための識別子と、ゲストデバイスとの動的関連付けを提案するためのコネクタと、を含み、提案された前記動的関連付けが、物理キーおよび前記ゲストデバイスの少なくとも一と関連付けられている通信リンクを介して、伝えられる。
【0049】
本発明の第42の態様は、第1の態様の動的認証方法により認証されるサービスである。
【発明の効果】
【0050】
本発明は、ユーザグループ、ユーザデバイスおよび少なくとも一の物理キーの間の関連付けの第一セットを決定し、ゲストデバイスとユーザの物理キーとの間の提案された動的関連付けを、該物理キーの存在に基づいて、第一の通信チャネルを介して決定し、提案された前記動的関連付けのユーザ確認を、第二の通信チャネルを介して、決定し、前記ユーザデバイスのユーザに関連付けられた情報およびサービスの少なくとも一へのアクセスのために、前記動的関連付け、前記ユーザ確認、および関連付けの前記第一セットに基づいて、前記ゲストデバイスを認証するようにしているので、ユーザのアクセスを困難にすることなく、コンピュータセキュリティを強化することができる。
【発明を実施するための最良の形態】
【0051】
図1は本発明による例示的な動的認証システム100の使用の概要である。動的認証システム100は、通信リンク99を介して、通信可能パーソナルコンピュータゲストデバイス300、携帯電話ユーザデバイス500、および音声、ビデオおよびテキストベースのドキュメント1000〜1002にアクセスを提供する情報リポジトリ200、に接続されている。ユーザは、物理キー400と通信可能パーソナルコンピュータ300と、の間の関連付けを提案する。物理キー400と通信可能パーソナルコンピュータゲストデバイス300との間の提案された関連付けは、物理キーのコンタクトベースコネクタまたはコンタクトレスコネクタに基づいている。コネクタは物理キーをゲストデバイス300と関連付ける。
【0052】
コンタクトベースコネクタは、USB(ユニバーサルシリアルバス)コネクタ、メモリスティック(Memorystick)、SDカード、シリアル、パラレルおよび多様な他の物理ポートコネクタの少なくとも一を含むが、これらに限定されない。コンタクトレスコネクタは、無線ICタグ、ワイファイ(WiFi)、ワイマックス(WiMax)、ブルートゥース(Bluetooth)、バーコード読取装置および任意の公知のまたは今後開発される物理キー400を通信可能パーソナルコンピュータゲストデバイス300と関連付けるために使用できるコンタクトレスコネクタの少なくとも一を含む。
【0053】
提案された関連付けは、第一のチャネルまたは通信リンクを介して動的認証システム100に伝えられる。該第一のチャネルは物理キー400およびゲストデバイス300の少なくとも一方によって提供される。本発明による一の例示的な実施形態では、第一のチャネルは通信可能パーソナルコンピュータ300のイーサネット(登録商標)コネクタにより提供される。物理キー400は通信可能パーソナルコンピュータ300のUSBポートの中に挿入される。次に、物理キー識別子および該識別子についての情報の少なくとも一方を読み取るために、ソフトウェアコードが実行されるか、回路が作動される。もしくは、ソフトウェアが実行され、かつ、回路が作動される。物理キー識別子および関連付け情報の少なくとも一方は、通信可能パーソナルコンピュータ300に接続されるネットワーク上で動的認証100のためにシステムに転送される。
【0054】
図2は本発明による動的認証の例示的な方法のフローチャートである。プロセスはステップS100で開始し、直ちにステップS200に進む。
【0055】
ステップS200では、ゲストデバイスについての情報が決定される。ゲストデバイスは、家庭またはホテルのテレビ受像機、ラジオ、コンピュータ、プロジェクタ、複製機、電話、および、任意の公知のまたは今後開発される入力装置または出力装置もしくは入出力装置、の少なくとも一であってよい。ゲストデバイスが決定された後、制御は、物理キーが決定されるステップS300に進む。
【0056】
物理キーはコンタクトベースコネクタまたはコンタクトレスコネクタを介してゲストデバイスへの接続を確立する。コンタクトベース物理キーは、接触する、連結する、またはそれ以外の方法で直接的に接続するコンタクトベースコネクタを通して、ゲストデバイスに接続される。コンタクトベースの物理接続ポートはUSB、シリアル、パラレル、メモリスティック(Memorystick)等を含む。コンタクトレス物理キーは、直接的に接続または接触しないコンタクトレスコネクタを通して、ゲストデバイスに接続する。コンタクトレスコネクタはブルートゥース(Bluetooth)、ワイファイ(WiFi)、ワイマックス(WiMax)、GPRS(ジェネラルパケットラジオサービス:General Packet Radio Service)、無線ICタグ(RFID)等を含む。ワイマックス(WiMax)、ワイファイ(WiFi)、GPRS等のより長い距離用の通信媒体に基づいたコンタクトレスコネクタがオプションで信号強度インジケータ等に基づいていることは明らかであろう。物理キーが決定された後、制御はステップS400に進む。
【0057】
ステップS400では、物理キーとゲストデバイスとの間の提案された関連付けが決定される。該提案された関連付けはコンタクトベース物理キーまたはコンタクトレス物理キーに基づいている。例えば、物理キーの中に埋め込まれているUSBコンタクトベースコネクタはゲストデバイスのUSBレセプタクルの中に差し込まれる。物理キーとゲストデバイスとの間のコンタクトは、物理キーとゲストデバイスとを暗示的に且つ動的に関連付ける。他の実施形態では、RFIDタグ等のコンタクトレスコネクタがゲストデバイスとの動的関連付けを提案するために使用される。提案された関連付けは第一のチャネルまたは通信リンクを介して伝えられる。第一のチャネルは物理キーおよびゲストデバイスの少なくとも一方に埋め込まれていてよい。物理キーとゲストデバイスとの間の提案された動的関連付けが決定された後、制御はステップS500に進む。
【0058】
ステップS500では、ユーザデバイス情報が決定される。ユーザデバイス情報はユーザと関連付けられているデバイスの種類、MACアドレス、インターネットプロトコル(IP)、および、ユーザデバイスと関連付けられる他のネットワークアドレス識別子の少なくとも一を含む。本発明による多様な他の例示的な実施形態では、追加のアクセスコントロール情報が認識された各デバイスと関連付けられる。追加のアクセスコントロール情報は、時間、場所、および、ユーザデバイスと関連付けられる多様な他の属性、の少なくとも一に基づいて、有効なユーザデバイスを指定するために使用される。有効な携帯電話ユーザデバイスのためのユーザデバイス情報は、携帯電話ネットワークデバイス識別子、携帯電話番号、携帯電話ユーザデバイスの許可されたアクセス時間等を含むが、これらに限定されない。ユーザデバイス情報が決定された後、制御はユーザ情報が決定されるステップS600に進む。
【0059】
本発明による多様な実施形態では、ユーザ情報は、所有者のサードパーティインジケータに基づいて暗示される。すなわち、電話会社の携帯電話所有者情報は、携帯電話デバイスの所有者が現在のユーザであることを推論するために使用される。しかしながら、多様な他の実施形態では、ユーザは、ログインキーシーケンス、スマートカード等を使用して明示的に決定される。ユーザ情報が決定された後、制御はステップS700に進む。
【0060】
ステップS700では、ゲストデバイスと物理キーとの提案された動的関連付けが、第二のチャネルを介してユーザデバイスによって確認される。例えば、ある例示的な実施形態では、動的関連付けの確認はユーザのオフィスの電話からの電話発呼によって行われる。
発呼者ID情報は、ユーザについてのアクセスコントロールリストと比較されると、オフィスの電話が有効なユーザデバイスであるか否かを示す。ユーザデバイス情報は、代わりに、ユーザの声紋プロファイルを決定するか、または、選択するために使用される。課題(challenge)質問がオプションでユーザに提示され、回答が分析される。回答の内容および回答の声紋特性がユーザについて記憶されている情報に一致すると、ゲストデバイスとの提案された動的関連付けが確認される。次に、ゲストデバイスは識別されたユーザと関連付けられたサービスを受けるために認証される。提案された動的関連付けが確認された後、制御はステップS800に進む。
【0061】
ステップS800で、ゲストデバイスはユーザと関連付けられている情報およびサービスの少なくとも一方に対するアクセスを許可される。例えば、ホテルの環境ではゲストデバイスはホテルのテレビである可能性がある。ゲストテレビおよび埋め込まれているメディアプレーヤによるユーザインターアクションは、あたかもそれらがユーザの家のテレビで始まったかのように動作する。データサービスによって提供され、ゲストデバイスによってサポートされるあらゆるインタラクティブ機能がサポートされる。したがって、インタラクティブインターネットプロトコル(IP)テレビは物理キーのコンタクトレスコネクタまたはコンタクトベースコネクタを介して可能とされるか、ゲストテレビの中に埋め込まれる。または、物理キーのコンタクトレスコネクタまたはコンタクトベースコネクタを介して可能とされ、かつ、ゲストテレビの中に埋め込まれる。ユーザインターアクションセッションの後およびユーザインターアクションセッションの間の少なくとも一方において、制御は動的関連付けが終了されるべきか否かを判断するためにステップS900に進む。
【0062】
動的関連付けセッションはユーザログオフシーケンス、タイムアウト、プログラムなどによって、終了する。動的関連付けの終了はユーザと関連付けられている情報とサービスとへのアクセスについてゲストデバイスを認証から切り離す(de−authenticates)。例えば、ある実施形態では、動的関連付けはログオフシーケンス等を使用して明示的に終了されるまで続行する。他の例示的な実施形態では、動的関連付けは、物理キーが存在し、セッション検証子を動的認証システムに伝えている間だけ続行する。本発明によるさらに他の例示的な実施形態において、セッション識別子が第二のチャネルまたは通信リンクで動的認証のためにユーザデバイスとシステムの間で伝えられてよいことは明らかであろう。
【0063】
本発明によるさらに他の実施形態では、セッション識別子、クッキー等が物理キーに発行され、多様な時間間隔で検証される。物理キーと関連付けられたゲストデバイスとの間の動的関連付けを切断すると、セッション識別子をセッション検証のためにアクセスできないようにする。動的関連付けは、ポートまたはレセプタクルとのコンタクトから物理キーを引き抜くことによって切断されてよい。コンタクトレスコネクタを使用して確立された動的関連付けは、キーの「コンタクト切断」ボタンを使用すること、ゲストデバイスの検知範囲から物理キーを取り去ること、等で終了される。しかしながら、動的関連付けを終了する、または、切断する多様な公知のまたは今後開発される方法が本発明の範囲から逸脱することなく使用されてよいことは明らかでなければならない。動的認証システムは、検証されないセッションを終了し、ゲストデバイスを書き換える、認証から切り離す、の少なくとも一方を行う。セッションが検証された後、制御はステップS800にジャンプし、ユーザ情報へのアクセスは続行する。ステップS800〜S900は、ステップS900においてセッションが終了されるべきであると判断されるまで繰り返される。次に制御はステップS1000に進み、プロセスが終了する。
【0064】
図3は本発明による例示的な動的認証システム100である。動的認証システム100は、メモリ20、プロセッサ30、ユーザデバイス決定回路(手段)40、ユーザ確認回路(手段)50、ゲストデバイス決定回路(手段)60、デバイス関連付け決定回路(手段)70、および、オプションで変換回路(手段)80を含む。各々は、入出力回路(手段)10に接続されており、通信リンク99を介して、パーソナルコンピュータゲストデバイス301、物理キー401、携帯電話ユーザデバイス501、音声、ビデオ、テキスト、および他のドキュメント1000〜1002を含む情報リポジトリ200に接続されている。
【0065】
ユーザはパーソナルコンピュータゲストデバイス301の検知距離内にユーザの物理キーを配置する、あるいはパーソナルコンピュータゲストデバイス301のレセプタクルに物理キー401を差し込むことによって、ゲストデバイスとの提案されている関連付けを生成する。例えば、IEEE1394通信リンクをサポートする物理キー401は、パーソナルコンピュータゲストデバイス301のIEEE1394ポートに差し込まれる。物理キー401およびパーソナルコンピュータゲストデバイス301の少なくとも一方は第一のチャネル上で提案された動的関連付けについての情報を動的認証システム100の入出力回路10に送信する。
【0066】
プロセッサ30は、MACアドレス、IPアドレス、電話装置識別子、またはパーソナルコンピュータゲストデバイス301と関連付けられる他の識別子を識別するためにゲストデバイス決定回路60を起動する。例えば、パーソナルコンピュータゲストデバイス301が提案された動的関連付け情報を転送する実施形態では、インターネットプロトコル(IP)アドレスは受信された情報パケット内に含まれている。代わりとして、物理キーが動的認証システム100に通信リンクを提供する場合、ゲストデバイスはアクセスされ、物理キーと関連付けられるIPアドレスまたは識別子と照合して認証される。しかしながら、ゲストデバイスと関連付けられる識別子を送信する任意の公知のまたは今後開発される方法は本発明の実践で使用されてよいことが明らかでなければならない。
【0067】
プロセッサ30はデバイス関連付け決定回路70を起動する。デバイス関連付け決定回路70は提案されている関連付けにより示される物理キー401と関連付けられたユーザを決定する。物理キー401は物理キー識別子によって識別され、携帯電話ユーザデバイス501と関連付けられる。本発明による多様な例示的な実施形態では、ユーザデバイスおよびユーザの少なくとも一方は代わりにアクセスコントロールリストと関連付けられている。アクセスコントロールリスト(MAC、IPおよび他のデバイス識別子のアクセスコントロールリスト)は物理キーと関連付けることのできる有効なデバイスのプールを制限する上で有効である。多様な他の実施形態では、アクセスコントロールリストは、時刻、場所および多様な他の属性の少なくとも一、アクセスパターンまたは特徴に基づいて認証を制御するために使用される。
【0068】
プロセッサ30は、携帯電話ユーザデバイス501が物理キー401と関連付けられていることを検証するためにユーザデバイス決定回路40を起動する。プロセッサ30は、携帯電話ユーザデバイス501が一または複数のユーザ特定アクセスコントロールリストに基づいて有効であることも検証してよい。例えば、ユーザ特定アクセスコントロールリストは就業時間中に企業ドメインと関連付けられるすべてのIPアドレスを認証する。これに対し、ユーザのホームネットワーク内のデバイスと関連付けられるIPアドレスはつねにアクセスのために認証される。いくつかのネットワークによって提供される地理情報は、許容できる使用パラメータにデバイスアクセスを適合させるために使用される。
【0069】
次にユーザ確認回路50が起動される。ある実施形態では、ユーザ確認回路50はカウントダウンタイマを起動する。ゲストデバイスと物理キーとの間の提案されている関連付けの確認はカウントダウンタイマによって指定される間隔の間に第二のチャネル上で受信されなければならない。提案されている動的関連付けの有効な確認が受信されると、パーソナルコンピュータゲストデバイス301は、音声、ビデオ、およびテキストの少なくとも一の情報を含むユーザの個人情報リポジトリ200へアクセスするために、プロセッサ30によって認証される。
【0070】
多様な例示的な実施形態では、プロセッサ30はオプションの変換回路80を起動する。オプションの変換回路80はユーザデジタル情報にコピープロテクトをかけること、ウォーターマークを入れること、および、それ以外の方法で、ユーザデジタル情報をプロテクトされたデジタル資産に変換すること、の少なくとも一を行う。プロテクトされたデジタル資産は次にパーソナルコンピュータゲストデバイス301に転送される。物理キー401のコード、ルーチン、または回路は、プロテクトされたデジタル資産をユーザのアクセスのために復号する。プロテクトされた資産が不注意にパーソナルコンピュータゲストデバイス301に残されても、変換されたデジタル資産は物理キー401なしには使用できない。
【0071】
さらに他の例示的な実施形態では、プロテクトされたデジタル資産の復号または解読はセッション識別子の検証を必要とする。さらに、ユーザが物理キー401を紛失したとしても、プロテクトされている資産に対するアクセスはユーザとの関連付けから物理キー401を削除することによって否定される。有効なセッション識別子が返されない。このようにして、ユーザは情報の制御を失うリスクを冒さずにユビキタスデバイスで個人情報および他の情報の少なくとも一を見ることができる。本発明による多様な実施形態では、動的認証システムは、情報リポジトリ、デジタルライブラリ、ウェブサーバ等の中に埋め込まれてもよいし、ラップトップ型コンピュータまたは他のゲストデバイスの中に埋め込まれてよいし、通信リンク99を介してアクセス可能な任意のロケーションに配置されてもよいことは明らかであろう。これらは個別になされてもよいし、任意に組み合わされていてもよい。
【0072】
図3に説明される動的認証システム100の回路10〜80の各々は適切にプログラミングされた汎用コンピュータの部分として実現できる。代わりに、概略された動的認証システム100の回路10〜80はASIC内の物理的に別個のハードウェア回路として、あるいはFPGA,PDL、PLAまたはPALを使用して、あるいは離散的論理素子または離散的回路構成要素を使用して実現できる。概略された動的認証システム100の回路10〜80の各々が採る特定の形式は設計上の選択であり、当業者にとって明らかかつ予測可能であろう。
【0073】
さらに、動的認証システム100および前述された多様な回路の各々の少なくとも一は各々プログラミングされた汎用コンピュータ、特殊目的コンピュータ、マイクロプロセッサ等で実行するソフトウェアルーチン、マネージャ、またはオブジェクトとして実現できる。この場合、動的認証システム100および前述された多様な回路の各々の少なくとも一は、各々サーバに常駐するリソース等として通信ネットワークに埋め込まれている一または複数のルーチンとして実現できる。動的認証システム100および前述された多様な回路も動的認証システム100を、ウェブサーバまたはクライアントデバイスのハードウェアシステムおよびソフトウェアシステムなどの、ソフトウェアシステムおよびハードウェアシステムの少なくとも一に物理的に組み込むことによって実現できる。
【0074】
図3に図示されるように、メモリ20は書替可能、揮発性、または不揮発性のメモリ、または書替不可すなわち固定メモリ、の任意の適切な組み合わせを使用して実現できる。書替可能なメモリは、揮発性であるか、不揮発性であるかに関係なく、スタティックまたはダイナミックRAM、フロッピー(登録商標)ディスクおよびディスクドライブ、書込可能または書替可能な光ディスクおよびディスクドライブ、ハード(ディスク)ドライブ、フラッシュメモリ等のいずれか一または複数を使用して実現できる。同様に、書替不可すなわち固定メモリは、ROM、PROM、EPROM、EEPROM、CD−ROMまたはDVD−ROMディスクなどの光ROMディスクおよびディスクドライブ等のいずれか一または複数を使用して実現できる。
【0075】
図1および図3に図示される通信リンク99の各々は、直接ケーブル接続、ワイドエリアネットワークまたはローカルエリアネットワークを介しての接続、イントラネットを介しての接続、インターネットを介しての接続、または任意の他の分散処理ネットワークまたはシステムを介しての接続を含む、通信装置を動的認証システム100に接続するための任意の公知のまたは今後開発されるデバイスまたはシステムであってよい。一般的には、通信リンク99は、装置を接続し、通信を容易にするために使用可能な任意の公知のまたは今後開発される接続システムまたは構造である場合があってよい。
【0076】
さらに、通信リンク99は、ネットワークへのワイヤードリンクまたはワイヤレスリンクであってよいことが理解されなければならない。ネットワークはローカルエリアネットワーク、ワイドエリアネットワーク、イントラネット、インターネットまたは任意の他の分散処理記憶ネットワークであってよい。
【0077】
図4は、本発明による第一の関連付け1100を記憶するための例示的なデータ構造を示す。第一の関連付け1100を記憶するための例示的なデータ構造は、ユーザ識別子部分1110、ユーザデバイス識別子部分1120、物理キー識別子部分1130、およびゲストデバイス識別子部分1140を含む。
【0078】
第一の行はユーザ識別子部分1110内に値「GLTHIONE123」を含んでいる。この値は動的認証システムに対しユーザを一意に識別する。ユーザ識別子値はeメールアドレスなどのグローバル識別子であってもよいし、ローカル識別子であってもよいし、ユーザをシステムに対して一意に識別する任意の他の情報であってよい。
【0079】
関連付け1100を記憶するためのデータ構造のユーザデバイス識別子部分1120は、値「PL87D5HJ7N」を含む。この値は動的認証システムに対してユーザデバイスを一意に識別する。ユーザデバイス識別子値は、MACアドレス、動的または静的なインターネットプロトコル(IP)アドレス、および、ユーザデバイスをシステムに一意に識別する上で有効な任意の他の公知のまたは今後開発される識別子の少なくとも一であってよい。
【0080】
例えば、ユーザデバイスは携帯電話、通信可能パーソナルデジタルアシスタント(PDA)、紙ベースのバーコード、無線IC(RFID)タグ、および、物理キーとゲストデバイスとの間の提案された関連付けを動的に確認できる、任意の公知のまたは今後開発されるデバイスの少なくとも一を含むが、これらに限定されない。
【0081】
物理キー識別子部分1130は値「34FCG876543212H」を含む。この値はシステムに対し物理キーを一意に識別する。物理キー識別子値は、MACアドレス、IPアドレス、電話装置ネットワーク識別子、および、物理キーを識別できる他の公知のまたは今後開発される識別子の少なくとも一である。物理キーは、コンタクトベースコネクタまたはコンタクトレスコネクタを介してゲストデバイスに接続する。多様な例示的な実施形態では、コンタクトベースコネクタはユニバーサルシリアルバス(USB)、メモリスティック(Memorystick)、スマートメディア(Smart Media(登録商標))、コンパクトフラッシュ(登録商標)(Compact Flash)、マルチメディアカード(Multi Media Card)、セキュアデジタルカード(Secure Digital Card)、XD−ピクチャカード(XD−Picture Cards)、シリアルコネクタまたはパラレルコネクタ等に基づいている。コンタクトレスコネクタは、RFID、ブルートゥース(Bluetooth)、赤外線、ワイファイ(WiFi)、ワイマックス(WiMax)、および、物理的な接続を必要としない公知のまたは今後開発される任意の種類のコネクタに基づくことができる。
【0082】
物理キーはゲストデバイス間で動的関連付けを提案するために使用される。したがって、ある例示的な実施形態では、ユーザが携帯するコンタクトレス物理キーが第一の通信チャネルを介して動的認証システムに提案される動的関連付けを伝える。第一のチャネルまたは通信リンクはイーサネット(登録商標)(Ethernet(登録商標))、ブルートゥース(Bluetooth)、ワイファイ(WiFi)、ワイマックス(WiMax)、および、本発明の範囲から逸脱しない任意の他の種類の通信媒体の少なくとも一であってよい。動的認証システムが利用する該システムへの第一のチャネルもしくは通信リンクは、ゲストデバイスにおいて直接的に利用可能である通信リンク、および、物理キーに埋め込まれている、あるいは、物理キーを介して利用可能である通信リンク、の少なくとも一であってよい。
【0083】
ゲストデバイスと物理キーとの間の提案された関連付けは第二の通信チャネルを介して確認される。動的認証システムはユーザと関連付けられるサービスおよびデバイスの少なくとも一方へのアクセスのためにゲストデバイスを認証する。多様な実施形態では、動的認証システムは個人情報リポジトリに直接的に認証メッセージを転送する。しかしながら、さらに他の実施形態では、認証サービスがプロキシとして働き、個人情報リポジトリへのアクセスを直接的に仲介することは明らかであろう。
【0084】
例えば、ある実施形態では、動的認証システムはホテルの三菱(Mitsubishi)WD−52725テレビをゲストデバイスとして認証するために使用される。ゲストデバイスはユーザの個人情報リポジトリからストリーミングされるバケーションのビデオへのアクセスを受け取る。ユーザの物理キーとホテルのテレビとの間の提案されている関連付けはIEEE−1394ベースの物理キーを三菱WD−52725テレビゲストデバイス上のIEEE−1394相互接続の中に差し込むことによって確立される。物理キーは埋め込まれたワイファイ(WiFi)通信リンクも含む。物理キーは、動的認証システムに対する、ホテルの室内ワイファイ(WiFi)システム上での通信リンクを確立し、物理キーとホテルのテレビとの間の提案されている関連付けを送信する。
【0085】
ゲストデバイス識別子部分1140は値「G65DREWSQ34678」を含む。値はゲストデバイスと関連付けられた一意のデバイス識別子を示す。ゲストデバイスが通信可能である場合、ゲストデバイス識別子の値はMAC、IPまたは他の識別子であってよい。通信リンクが物理キーに埋め込まれている他の実施形態では、ゲストデバイス識別子はデバイスモデル番号、製造メーカ、および、物理キーのネットワークアドレスと関連付けられる他の識別子の少なくとも一に基づいてよい。したがって、ワイファイ(WiFi)がイネーブルされた物理キーを介してのみアクセス可能である三菱WD−52725テレビはゲストデバイス識別子「192.168.1.32:001.WD−52725.TV.mitsubishi.com」を割り当てられる。これは、非ルータブルアドレス「192.168.1.32」によりアクセス可能な物理キーがテレビ装置に対する通信を代理する、または、仲介することを示している。
【0086】
次にユーザはホテルのテレビと物理キーとの間の関連付けを確認するためにユーザ関連付け携帯電話を介して動的認証システムを呼び出す。動的認証システムは、ユーザ、ユーザデバイスおよび物理キーの間の予め記憶されている関連付けを検証する。動的認証システムはユーザの個人情報リポジトリへのアクセスのためにホテルテレビゲストデバイスを認証する。これにより、動的認証システムおよび物理キーは動的に使用可能なユーザの個人サービスおよび情報の少なくとも一方へのユビキタスアクセスを提供する。
【0087】
図5は、本発明による物理キー情報1200を記憶するための例示的なデータ構造である。データ構造は物理キー識別子部分1210と、ユーザ(所有者)部分1220と、パスワード部分1230と、共有秘密部分1240と、最終関連付け時間部分1250と、最終場所部分1260と、を含む。
【0088】
第一の行の物理キー識別子部分1210は値「19876」を含む。この値は、動的認証システム内で物理キーを一意に識別する。物理キー識別子はMACアドレス、インターネットプロトコル(IP)アドレス、および、物理デバイスを一意に識別できる任意の他の識別子の少なくとも一に基づいてよいことが明らかであろう。
【0089】
ユーザ部分1220は値「GLTHIONE1」を含む。この値はキー所有者のユーザ識別子を示す。ユーザ識別子はインターネットeメールアドレスまたは動的認証システムに対しユーザを一意に識別する任意の他の識別子であってよい。
【0090】
物理キー情報のためのデータ構造のパスワード部分1230は値「BIOMETRIC.VOICE(生体測定.ボイス)」を含む。この値はユーザを認証するために使用される声紋および課題質問のオプションのセットを示す。
【0091】
オプションの共有秘密部分は、物理キー、動的認証システム、およびユーザの個人情報リポジトリおよびサービスの少なくとも二の間の通信をオプションで暗号化するために使用される秘密の複製を反映する値「A1 3B 24 6B 7B 2D」を含む。多様な他の実施形態では、本発明の範囲から逸脱することなく公開鍵暗号手法等も使用できることが明らかであろう。
【0092】
最終関連付け時間部分1250はゲストデバイスとの最後の動的関連付けの時刻を含む。したがって、値「30/12/2004:12:01:05」は最後のゲストデバイスが2004年12月30日、12:01:05UTC(協定世界時)に物理キーおよびユーザサービスと動的に関連付けられていたことを示している。最終関連付け時間は、ユーザの物理キーの複製に基づいて提案される関連付けのリスクを削減するためにオプションで使用される。例えば、物理キーが盗まれるか、または、複製されても、新しい動的関連付けに制約を課すことができる。ある実施形態では、ユーザ確認は提案された動的関連付けの後60秒内に受信されなければならない。提案されている動的認証のタイミングも既知でなければならないため、これにより、関連付けられているユーザデバイスを使用せずに盗まれた物理キーを使用することは困難になる。地理的な制限、所有者、使用パターン等の他の制約も物理キーまたはユーザにより有効なゲストデバイスのグループを制約するために使用されてよいことが明らかであろう。さらに、通常の使用外で繰り返される提案済みの認証等によって物理キーの盗難が検出されると、物理キーはユーザとユーザデバイスとの関連付けから削除され、物理キーを動作不能にする。
【0093】
複製された物理キーは動的関連付けを提案するために使用できるが、有効なユーザデバイスが該提案された関連付けを確認することを必要とする。最終関連付け値に基づいたタイマは、最終位置部分1260の値とともに、短期間の内に、または、大きく離れた位置から、もしくは、短期間の内に、かつ、大きく離れた位置から、複数回試される物理キー認証を検出する上で有効である。例えば、例示的な値「PALO ALTO CA USA」は第二の物理キーアクセスに関連付けられる地理的な位置および時間と比較される。物理的な位置が大きく離れ、提案されていた関連付けが時間的に近い場合には、物理キーは非活性化される。
【0094】
第二の行は値「19877」、「GLTHIONE1」、「BIOMETRIC(生体測定).FINGERPRINT(指紋)」、「C3 5BC 5E 8A 3F 5E」、「30/12/2006:13:05:06」および「FXPAL.COM」を含む。これらの値は、ユーザ「GLTHIONE1」が「19877」という物理キー値と関連付けられ、生体測定指紋が記録され、ユーザを検証するために使用できることを示している。指定された共有秘密値は転送された情報を暗号化するために使用できる。最終関連付け時間部分1250および最終位置部分1260の値は物理キーの使用のパターン外れを識別する上で有効である。
【0095】
最終行は値「19801」、「JTREVOR112」、「BIOMETRIC(生体測定).FINGERPRINT(指紋)」、「F1 5B 74 BB 91 ED」、「30/12/2004:14:31:26」および「PALO ALTO,CA USA」を含む。これらの値は、ユーザ「JTREVOR112」が「19801」という物理キー値と関連付けられていることを示す。生体測定指紋は、ユーザを検証するために使用でき、共有秘密値は転送される情報を暗号化するために使用できる。最終関連付け時間部分1250と最終位置部分1260の値とは物理キー使用パターンのバリエーションを検出するために使用できる。
【0096】
図6はアクセスコントロール情報1300を記憶するための例示的なデータ構造である。アクセス制御情報1300を記憶するためのデータ構造はデバイス識別子部分1310と、デバイスアドレス部分1320と、ユーザ部分1330と、開始部分1340と、終了部分1350と、位置部分1360と、を含む。
【0097】
アクセスコントロール情報1300を記憶するための例示的なデータ構造の第一の行はデバイス識別子部分1310に値「1234」を含む。この値は動的認証システム内でデバイスを一意に識別する。
【0098】
デバイスアドレス部分1320の値「IP:TELEVISION1.GLTHIONE1.COMCAST.COM」は、ネットワーク内の指定されたデバイスのアドレスを反映する。デバイスアドレスは静的インターネットプロトコルアドレスのような静的アドレス、アドレスラベル、ドメイン名のようなエイリアス等を反映してよい。
【0099】
ユーザ部分1330内の値「GLTHIONE1」はデバイスの承認されたユーザを反映する。いくつかの実施形態では、ユーザ部分の値はデバイスの所有者を反映する。例えば、携帯電話所有者は一般的にはつねにデバイスを使用することを承認されている。しかし、携帯電話が紛失された場合、ユーザ部分1330の情報を更新することによって、提案された動的認証を確認することを禁じられた無効デバイスであることを示す。
【0100】
開始部分1340の値「WEEKDAYS(平日)08:00:00」は、デバイスの有効性期間の開始を反映する。したがって、値は、デバイス有効性が平日の毎日午前8:00に開始することを示す。同様に、終了部分1350の「WEEKDAYS17:00:00」値はデバイスの有効性期間の終了を示す。したがって、デバイスは、毎平日の午前8:00〜午後5:00UTCの間、有効なアクセスが可能である。
【0101】
位置部分1360の中の値「PALO ALTO,CA USA」は、デバイスの有効なアクセス位置を含む。いくつかのケースでは、インターネットプロトコルアドレスおよび他のネットワーク識別子の少なくとも一方は発信元の地理的な表示を提供する。これらのケースでは、位置部分1360の値は指定位置から発信されるデバイスへのアクセスを制約するために使用される。本発明による多様な他の例示的な実施形態では、位置情報は緯度・経度および任意の公知のまたは今後開発される地理情報または位置識別情報の少なくとも一を使用して符号化される。
【0102】
第二の行は値「2345」、「TELEPHONE:14155551212」、「GLTHIONE1」、「*/*/* 12:00:00」、「*/*/* 12:59:01」および「*」を含む。これらの値は、デバイス「2345」として識別される415−555−1212の電話装置がユーザ「GLTHIONE1」と関連付けられていることを示す。電話装置は、それぞれ開始部分1340と終了部分1350の値とによって示されるように、毎日12:00:00UTCに開始し、12:59:01UTCまで続行するアクセスに有効である。デバイスは「*」(ワイルドカード文字)によって示されるように任意の位置からのアクセスに有効である。
【0103】
下から二行目の行は、値「1099」、「TELEPHONE:16505551212」、「JTREVOR112」、「*/*/* 12:00:00」、「*/*/* 12:59:01」および「*」を含む。これらの値は、デバイス「1099」として識別される650−555−1212の電話装置がユーザ「JTREVOR112」と関連付けられていることを示す。電話装置は、開始部分1340および終了部分1350によって示されるように、毎日12:00:00に開始し、12:59:01UTCまで続行するアクセスに有効である。デバイスは任意の位置からのアクセスに有効である。
【0104】
最後の行は値「1234567890」、「MAC:F1−5B−74−BB−91−ED」、「JTREVOR112」、「30/12/2004 14:31:26」、「30/12/2004 15:31:26」および「CA USA」を含む。これらの値は、「1234567890」として識別されるデバイスアドレス「MAC:F1−5B−74−BB−91−ED」でアクセス可能なデバイスがユーザ「JTREVOR112」と関連付けられることを示す。デバイスは開始部分1340により示されるように2004年12月30日、14:31:26UTCに開始し、終了部分1350により示されるように2004年12月30日、15:31:26UTCまで続行するアクセスに有効である。デバイスはUSAのカリフォルニア州のみからのアクセスに有効である。
【0105】
図7は本発明による情報の流れの例示的な概要である。物理キー402のユーザはゲストデバイス302の検知距離内に物理キー402を配置する。例えば、ゲストデバイス302は、物理キーに埋め込まれているRFIDタグを検出することによって提案されている関連付けを検知してよい。代わりに、物理キー402がゲストデバイス302の存在を検知してもよい。物理キー402上のオプションのキースイッチは、ゲストデバイスとの提案されている動的関連付けを能動的に受け入れることおよび拒絶すること、の少なくとも一方を行うために使用可能である。他の実施形態では、USB、IEEE1394、メモリスティック(Memorystick)、SDカード、シリアルポートコネクタおよびパラレルポートコネクタ等に基づいたゲストデバイス302への物理キー402の物理的な結合が物理キー402との提案されている動的関連付けを示すために使用される。
【0106】
提案されている関連付けは第一のチャネルまたは通信リンクを解して動的認証システム100に伝えられる。第一のチャネルはゲストデバイスと関連付けられるか、あるいは、物理キー402によって提供されてよい。例えば、ホテルのテレビ装置はインターネットにホテルのネットワークを介して接続されてよい。デバイスがホテルのネットワークを使用できる場合、提案されている関連付けはホテルのネットワーク−インターネット通信リンクを介して送信されてよい。しかし、ホテルのネットワークが使用不可能な場合および/またはアクセス不可能な場合には、物理キーはワイファイ(WiFi)、ワイマックス(WiMax)、GPRSまたは物理キー402の中に内蔵される他の通信媒体を介して通信リンクを提供してよい。
【0107】
ユーザデバイス502は、第二の通信リンクを介して提案された関連付けを確認する。ユーザデバイス502は携帯電話、ブラックベリー(Blackberry)デバイス、および第二の通信チャネルを介して提案された関連付けを確認するために使用可能な任意の他の種類のユーザデバイスの少なくとも一であってよい。動的認証システム100は有効なユーザデバイスのグループを調整するためにオプションのアクセスコントロールリストを使用する。該グループからコンファメーションは受信される。さらに、本発明による多様な他の実施形態では、ユーザデバイスへのコールバックを起動することによりセキュリティが強化される。
【0108】
動的認証システム100は、ゲストデバイス302と物理キー402との間の提案された関連付けを受け取る。物理キー402および物理キー402についての情報の少なくとも一方は物理キー402と関連付けられるユーザを識別するために使用される。次にユーザと関連付けられる有効なユーザデバイスが決定される。第二のチャネルでコンファメーションを生成するユーザデバイス502は、物理キー402と関連付けられる有効なユーザデバイスのリストに照合される。ユーザデバイス502が有効なユーザデバイスである場合、オプションの認証メッセージはホームポータルまたはゲートウェイ600を介してユーザの個人情報リポジトリ200に送信される。
【0109】
多様な他の実施形態では、他のデータサービスまたはユーザと関連付けられる情報リポジトリが認証メッセージを受信する。認証メッセージは物理キー402と動的に関連付けられているゲストデバイス302を介してユーザのバケーションビデオ1404へのアクセスを許可するために使用されてよい。本発明による多様な他の実施形態では、多様な他の種類の情報、サービスおよびデバイスへのアクセスの少なくとも一も本発明の範囲から逸脱することなく提供されてよいことが明らかになるであろう。
【0110】
ホテルのテレビであるゲストデバイス302を介したユーザアクセスが許可された後、ユーザはあたかも自分の家庭のテレビの前にいるかのようにホテルのテレビを操作してよい。すなわち、音量および他の制御スイッチがホテルのテレビの制御スイッチにマッピングされる。このようにして、ユーザはホテルの部屋の中でユビキタスに使用可能なデバイスで要求された情報を見ることができる。さらに、既存のテレビ装置のユーザインタフェースは再マッピングされる必要がない。
【0111】
図8は本発明による例示的な動的認証システム100の使用の第一の概要である。物理キー403のユーザは音声ゲストデバイス303との動的関連付けを提案する。ユーザは音声ゲストデバイス303の検知距離内に物理キー403を配置することにより関連付けを提案する。提案された関連付けは動的認証システム100に第一の通信チャネルを介して伝えられる「P_ASSOC(AUDIO(音声),PHYSICAL−KEY(物理キー))」。次にユーザは第二の通信チャネルを介して提案された関連付けを確認する「CONFIRM(P_ASSOC(AUDIO,PHYSICAL−KEY))」。第一の通信チャネルと第二の通信チャネルが同じ通信リンクを利用してもよいし、その場合、異なる暗号化機構または符号化機構、異なる時間を用いてもよいし、あるいは、異なる通信媒体を使用してよいことが明らかであろう。
【0112】
多様な他の実施形態では、ゲストデバイスおよびユーザデバイスの識別子の少なくとも一方はアクセスコントロールリストと照合して認証される。アクセスコントロールリストは提案されている関連付けの候補(candicacy)からデバイスのグループを認証する、または、排除する上で有効である。アクセスコントロールリストは企業、作業グループと関連付けられるサブネットまたは任意の他の識別可能なグループと関連付けられるすべてのデバイスを認証するために使用されてよい。代わりに、ユーザのホームネットワークと関連付けられるインターネットプロトコルアドレス空間の部分がアクセスのために認証されてよい。
【0113】
動的認証システム100は提案されている動的関連付けのコンファメーションを受け取る。動的認証システム100はユーザの個人情報リポジトリ200から情報を受け取るために音声ゲストデバイス303を認証する。例えば、ユーザの物理キーと関連付けられる、ネットワーク使用可能媒体アダプタ型の音声ゲストデバイスは、ユーザの情報リポジトリからMP−3ファイルなどのデジタル音声資産を受け取る。デジタル音声資産はオプションでコピープロテクション変換、ウォーターマーク等を使用してプロテクトされる。これによりユーザは、情報を適切に守る一方でユビキタスに使用可能なデバイスでデジタル資産を使用できる。
【0114】
本発明による多様な他の例示的な実施形態では、低電力のFM送信機とワイファイ(WiFi)接続が物理キーに埋め込まれる。この実施形態では、物理キーはFMまたは他の無線からユーザのデジタル音声ファイルへのアクセスを可能にするために使用できる。これによりユーザは、ワイファイ(WiFi)または他の通信リンクが使用できる任意の位置に、ユーザの個人音声コレクションにアクセスしながら移動できる。
【0115】
図9は、本発明による例示的な動的認証システム100の使用の第二の概要である。物理キー404のユーザはカメラゲストデバイス304との関連付けを提案する。ユーザはカメラゲストデバイス304の検知距離範囲内に物理キー404を配置することにより動的関連付けを提案する。提案された関連付けは動的認証システム100に第一の通信チャネルを介して伝えられる(「P_ASSOC(CAMERA(カメラ),PHYSICAL−KEY(物理キー))」)。ユーザは第二の通信チャネルを介して提案された関連付けを確認する(「CONFIRM(P_ASSOC(CAMERA,PHYSICAL−KEY))」)。第一の通信チャネルと第二の通信チャネルとが同じ通信リンクを利用してもよいし、その場合、異なる暗号化機構または符号化機構、異なる時間を使用してもよく、あるいは、異なる通信媒体を使用してもよいことが明らかであろう。
【0116】
多様な他の実施形態では、ゲストデバイスおよびユーザデバイスの識別子の少なくとも一方がアクセスコントロールリストに照合して認証される。アクセスコントロールリストは提案されている関連付けに対する候補(candidacy)からデバイスのグループを認証するまたは排除する上で有効である。アクセスコントロールリストは、企業、作業グループと関連付けられるサブネットまたは任意の他の識別可能なグループと関連付けられるすべてのデバイスを認証するために使用されてよい。代わりに、ユーザのホームネットワークと関連付けられるインターネットプロトコルアドレススペースの部分がアクセスのために認証される。
【0117】
動的認証システム100は提案されている関連付けのコンファメーションを受け取る。動的認証システム100はユーザの個人情報リポジトリ200から情報を受け取るためにカメラゲストデバイス304を認証する。例えば、ユーザはカメラゲストデバイス304のUSBまたはSDカードスロットの中に物理キー404を入れることによって友人のカメラを借りてよい。
【0118】
ある例示的な実施形態では、物理キーはワイファイ(WiFi)、GPRSまたは他の通信リンクも含む。カメラゲストデバイス304を用いて写真を撮った後、デジタル写真はカメラゲストデバイス304に保存される。記憶された写真は後でユーザの情報リポジトリと同期される、あるいは、物理キーに埋め込まれているWiFi、GPRS、または他の通信媒体を介して送信される。通信可能カメラの通信リンクが、本発明の範囲から逸脱することなく使用されてもよいことが明らかとなるであろう。デジタル写真資産はコピープロテクション変換、ウォーターマーク等を使用してオプションでプロテクトされる。これによりユーザは情報を適切に守る一方でユビキタスに使用可能なデバイスでデジタル資産を使用できる。
【0119】
図10は、本発明による例示的な動的認証システム100の使用の第三の概要である。物理キー404のユーザはデジタル画像処理装置305との関連付けを提案する。ユーザは、デジタル画像処理装置305の感知距離の範囲内に物理キー404を置くことにより関連付けを提案する。提案された関連付け「P_ASSOC(IMAGE−PROCESSOR(画像処理装置),PHYSICAL−KEY(物理キー))」は動的認証システム100に第一の通信チャネルを介して伝えられる。
【0120】
ユーザは第二の通信チャネルを介して提案された関連付けを確認する(「CONFIRM(P_ASSOC(IMAGE−PROCESSOR,PHYSICAL−KEY))」)。第一の通信チャネルと第二の通信チャネルとは同じ通信リンクを使用してよいが、異なる暗号化機構または符号化機構、異なる時間を使用してよく、あるいは異なる通信媒体を使用してよいことが明らかとなるであろう。
【0121】
動的認証システム100は提案された関連付けのコンファメーションを受け取る。動的認証システム100はユーザの個人情報リポジトリ200から情報を受信するためにデジタル画像処理装置305を認証する。例えば、ユーザの物理キー404と関連付けられるデジタル画像処理装置は借用されたゲストカメラからアップロードされるデジタルフィルムまたは写真を受信する。借用されたゲストカメラで撮影されたデジタル写真はユーザの個人情報リポジトリ200にアップロードされる。デジタル写真はコピープロテクション変換、ウォーターマーク等を使用してオプションでプロテクトされる。これによりユーザは情報を適切に守る一方でユビキタスに使用可能なデバイスでデジタル資産を使用できる。
【0122】
認証されたデジタル画像処理装置(ゲストデバイス)305は、ユーザの個人情報リポジトリ200からデジタル写真をリトリーブする。写真は次に高品質写真デジタル画像プロセッサで印刷される。ユーザは不必要に待機せずに所望される高品質の写真印刷を得ることができる。デジタル画像プロセッサは、デジタル画像プロセッサをジョブのセルフサービス的な性質のためにより低いオーバーヘッドでより高いキャパシティで実行させておくことができる。
【0123】
図11は、本発明による例示的な動的認証システム100の使用の第四の概要である。物理キー404のユーザはテレビゲストデバイス306との関連付けを提案する。ユーザはテレビ(音声)ゲストデバイス306の検知距離範囲内に物理キー404を置くことによって関連付けを提案する。提案された関連付け「P_ASSOC(TELEVISION(テレビ),PHYSICAL−KEY(物理キー))」は、第一の通信チャネルを介して動的認証システム100に伝えられる。ユーザは、第二の通信チャネルを介して提案された関連付けを確認する(「CONFIRM(P_ASSOC(TELEVISION,PHYISCAL−KEY))」)。第一の通信チャネルと第二の通信チャネルは同じ通信リンクを利用してよいが、異なる暗号化機構または符号化機構、異なる時間を用いてよく、あるいは異なる通信媒体を使用してよいことが明らかであろう。
【0124】
動的認証システム100は提案されている関連付けのコンファメーションを受け取る。動的認証システム100はユーザの個人情報リポジトリ200から情報を受け取るためにテレビデバイス306を認証する。例えば、ユーザの物理キーと関連付けられたネットワーク使用可能テレビゲストデバイスはユーザの情報リポジトリ200からMP−4ファイルなどのデジタルビデオ情報を受信する。デジタルビデオ情報はコピープロテクション変換、ウォーターマーク等を使用してオプションでプロテクトされる。これによりユーザは情報を適切に守る一方でユビキタスに使用可能なデバイスでデジタル情報を使用できる。
【0125】
図12は、本発明による例示的な動的認証システム100の使用の第五の概要である。物理キー404のユーザはサービス機関ゲストデバイス307との関連付けを提案する。ユーザは、サービス機関(多機能)デバイス307の検知距離範囲内に物理キー404を配置することによって関連付けを提案する。提案された関連付け「P_ASSOC(SERVICE−BUREAU−MULTIFUNCTION−DEVICE(サービス機関多機能デバイス),PHYSICAL−KEY(物理キー))」は動的認証システム100に第一の通信チャネルを介して伝えられる。ユーザは提案された関連付けを第二の通信チャネルを介して確認する(「CONFIRM(P_ASSOC(SERVICE−BUREAU−MULTIFUNCTION−DEVICE,PHYSICAL−KEY))」)。第一の通信チャネルおよび第二の通信チャネルは同じ通信リンクを利用してよいが、異なる暗号化機構または符号化機構、異なる時間を用いてもよく、あるいは異なる通信媒体を使用してよいことが明らかとなるであろう。
【0126】
動的認証システム100は提案された関連付けのコンファメーションを受け取る。動的認証システム100はユーザの個人情報リポジトリ200から情報を受け取るためにサービス機関の多機能ゲストデバイス307を認証する。例えば、大きな印刷製本ジョブは、情報が生産施設全体においてデジタル形式で残っているためにセルフサービスを介して迅速に促進される。すなわち、ユーザは所望されるオプションを選択し、ユーザの物理キー404を高容量プリンタおよびバインダ(紙とじ機)の少なくとも一方と関連付け、ユーザデバイス500を介して該関連付けを確認しさえすればよい。選択されたドキュメントはデジタル形式で迅速にリトリーブされ、プリンタジョブおよびバインダジョブの少なくとも一方のために適切に変換され、印刷されるか、製本されるか、または、印刷され製本される。オプションの実施形態では、機密ドキュメントは暗号化され、印刷時にのみ復号化される。セッション識別子は、プロテクトされている資産の記憶されているコピーが物理キー404との関連付けでのみアクセスできることを確認するために使用される。印刷および製本ジョブの一方または双方が終了すると、物理キーは削除される。プロテクトされている資産の記憶されているコピーは物理キーに記憶されるセッション識別子がアクセス不可であるためアクセス不可とされる。
【0127】
図13は本発明による動的認証システム100の使用の第六の例示的な概要である。動的認証システムは情報リポジトリ210、ユーザ携帯電話500、および暗号化ドキュメント1400を含むラップトップ型コンピュータ308に通信リンク99を介して接続される。
【0128】
暗号化ドキュメントは情報リポジトリ210、物理キー405、および通信リンク99を介してアクセス可能な任意の位置の少なくとも一に記憶されてよい。ユーザは事前のステップで物理キー405と関連付けられる。デジタルライブラリ購読、協働ドキュメントなどのユーザ特定の情報およびサービスの少なくとも一方はユーザの物理キー405と関連付けられている。
【0129】
ある実施形態では、ラップトップ型コンピュータ300には暗号化ドキュメント1400がロードされる。有効な物理キーを有する協働ユーザが協働ラップトップ型ゲストデバイス308との動的関連付けを提案する。動的関連付けはラップトップ型ゲストデバイス308のUSBレセプタクルの中にUSB物理キー405を挿入することにより生成される。しかしながら、物理キー405とラップトップ型ゲストデバイス308とを関連付ける任意の手段も本発明の実践で使用されてよい。
【0130】
例えば、USB物理キー405を差し込むと第一のチャネルまたは通信リンクを介して動的認証システムへ提案される動的関連付けの伝達をトリガしてよい。携帯電話ユーザデバイス500は次に第二のチャネルまたは通信リンクを介して提案された関連付けを確認するために使用される。動的認証システムは、ユーザが情報源のリストおよびユーザと予め関連付けられたサービスの少なくとも一方に基づいて暗号化ドキュメント1400をリトリーブすることを許可されていることを検証する。
【0131】
セッション識別子または一時的なアクセスキーを含む認証メッセージは、ユーザが許可されたユーザでありゲストデバイスが有効なデバイスである場合にはラップトップ308に転送される。セッション識別子は、通常、一時的な期間の間アクセスを可能にする。ラップトップ型コンピュータ308が紛失された場合または盗まれた場合、ラップトップ型コンピュータと関連付けられるデバイス識別子はユーザおよびユーザの物理キーの少なくとも一方と関連付けられた有効なゲストデバイスのリストから削除される。有効なセッション識別子は、盗まれた物理キー405が存在しても、もはや生成できないため、デバイス識別子の削除は、ラップトップ型コンピュータ308上に記憶されている暗号化ドキュメント1400へのアクセスを防止する。暗号化ドキュメントに対するユーザのアクセス権を無効にすること、または、更新すること、もしくは、無効にし、更新すること、は、ユーザ、物理キー、およびユーザデバイス間の予め決定された関連付けを削除すること、または、調整すること、もしくは、削除し、調整することによって達成される。
【0132】
本発明による多様な他の例示的な実施形態では、暗号化ドキュメントが物理キー405、ラップトップ型コンピュータ308、情報リポジトリ210および通信リンク99を介してアクセス可能な任意の他の場所の少なくとも一に位置してよいことは明らかであろう。
【0133】
本発明は概略された例示的な実施形態とともに説明されてきたが、多くの代替策、変型および変形が当業者にとって明らかである。したがって、本発明の例示的な実施形態は、本発明を制限することではなく、本発明を例示することを目的としている。本発明の精神および範囲から逸脱することなく多様な変更が加えられてよい。
【図面の簡単な説明】
【0134】
【図1】本発明による例示的な動的認証システムの使用の概要である。
【図2】本発明による動的認証の例示的な方法のフローチャートである。
【図3】本発明による動的認証の例示的なシステムである。
【図4】本発明による第一の関連付けを記憶するための例示的なデータ構造を示す。
【図5】本発明による物理キー情報を記憶するための例示的なデータ構造を示す。
【図6】本発明によるアクセスコントロール情報を記憶するための例示的なデータ構造である。
【図7】本発明による情報の流れの例示的な概要である。
【図8】本発明による例示的な動的認証システムの使用の第一の概要である。
【図9】本発明による例示的な動的認証システムの使用の第二の概要である。
【図10】本発明による例示的な動的認証システムの使用の第三の概要である。
【図11】本発明による例示的な動的認証システムの使用の第四の概要である。
【図12】本発明による例示的な動的認証システムの使用の第五の概要である。
【図13】本発明による例示的な動的認証システムの使用の第六の概要である。
【符号の説明】
【0135】
20 メモリ
30 プロセッサ
40 ユーザデバイス決定回路
60 ゲストデバイス決定回路
70 デバイス関連付け決定回路
200 情報リポジトリ
301 通信可能パーソナルコンピュータゲストデバイス
501 携帯電話ユーザデバイス
1000〜1002 ドキュメント
【技術分野】
【0001】
本発明は認証に関する。詳細には、本発明は、ゲストデバイスを認証する動的認証方法、動的認証システム、デバイスを動的に認証するようにコンピュータをプログラミングするために使用可能な制御プログラム、ユーザをデータサービスに対して動的に認証するための物理キー、および、データシステムとともに使用可能な物理キーに関する。
【背景技術】
【0002】
コンピュータシステムおよびコンピュータアプリケーションのセキュリティは情報セキュリティ幹部にとってますます関心事になっている。コンピュータセキュリティシステムは情報源に対するアクセスをプロテクトすることにより個人情報、極秘情報、および他の機密情報を不正利用からプロテクトする。コンピュータセキュリティを強化するための従来のシステムには、自明ではないユーザ識別子の使用、より長くより安全な、もしくは、より長いかより安全なパスワードの使用、より頻繁なパスワード変更およびスマートカードの使用がある。
【0003】
非特許文献1、任意の場所からリアルタイムでプリントを行うことに関する非特許文献2、任意の場所から自己のパーソナルコンピュータにアクセスすることに関する非特許文献3は、本願発明に関連する内容を含む。
【非特許文献1】ブルース・シュナイアー(Bruce Schneier)、「応用暗号 第二版:Cによるプロトコル、アルゴリズム、および、ソースコード(Applied Cryptography Second Edition: protocol, algorithms, and source code in C」、USA、ジョン・ウィリー・アンド・ソンズ(John Wiley & Sons)、1996年
【非特許文献2】エレクトロニクス・フォー・イメージング・インコーポレイテッド(Electronics for Imaging Inc.)、「EFI PRINTME」、[online]、[2005年3月14日検索]、インターネット<URL:http://www.efi.com/products/printme/index.html>
【非特許文献3】「GOTOMYPC:私たちのテクノロジー(Our Technology)」、[online]、[2005年3月14日検索]、インターネット<URL:http://www.gotomypc.com>
【発明の開示】
【発明が解決しようとする課題】
【0004】
これらの従来のシステムは許可されていない人員のアクセスをより困難にすることができ、通常、効果的な使用のためのトレーニングを必要とするかもしれない。さらにこれらの従来のシステムはユーザにとってもアクセスをより困難にするかもしれない。したがって、これらの従来のシステムはユビキタスコンピューティング環境の中で幅広く配備される可能性が低い。
【課題を解決するための手段】
【0005】
したがって、物理キーに基づいて動的認証を提供するシステムおよび方法が有効であろう。本発明によるシステムおよび方法は、ユーザと、ユーザデバイスと、物理キー、ユーザ、および、ユーザデバイスの少なくとも二の間で予め決定されている第一の関連付けと、を決定する。物理キーとゲストデバイスとの間で提案された動的関連付けは第一のチャネルまたは通信リンクを介して伝えられる。提案された関連付けは、物理キーのコンタクトベースコネクタまたはコンタクトレスコネクタに基づいている。動的認証システムは、アクセスコントロールリスト、または、ユーザおよび物理キーの少なくとも一方と関連付けられる他の制御手順と照合して、オプションで、ゲストデバイスを検証する。
【0006】
ユーザは、所定の関連付けに基づいて、一または複数のユーザデバイスと関連付けられる。第二のチャネルでのユーザデバイスを介したユーザログインが、物理キーとゲストデバイスとの間の提案された動的な関連付けを確認する。ゲストデバイスは、ゲストデバイスでのユーザ情報およびサービスへのアクセスのために認証される。認証は、オプションで、動的認証システムから送信される認証メッセージに基づいている。可能なゲストデバイスのセットは、MAC、インターネットプロトコル(IP)アドレス等により予め識別されたデバイスに、オプションで、制限される。ユーザとユーザデバイスとの間の関連付けは暗示的であってもよいし、明示的であってよい。ユーザはさらにログインキーシーケンス、生体認証等を介して自らを認証してよい。物理キーによって維持されるセッショントークンの動的認証、および、動的認証システムが、テキスト、音声およびビデオ画像情報のようなデジタル資産のプロテクションのために提供される。動的認証は第一のチャネルまたは第二のチャネルを介してなされてもよい。本発明によるシステムおよび方法は、ゲストデバイスに送信される情報のプロテクションおよび変換の少なくとも一方を提供する。プロテクトのための変換および他の変換の少なくともいずれかは、ゲストデバイスに適したフォーマットへ情報を変換すること、または、ゲストデバイスに適したモードに情報を変換すること、情報のコピープロテクションをすること、ステガノグラフィック符号化をすること、ウォーターマークを埋め込むこと、暗号化を行うこと、等を含むが、本発明は、これらに限定されるものではない。
【0007】
本発明の第1の態様の動的認証方法は、(a)ユーザグループ、ユーザデバイスおよび少なくとも一の物理キーの間の関連付けの第一セットを決定し、(b)ゲストデバイスとユーザの物理キーとの間の提案された動的関連付けを、該物理キーの存在に基づいて、第一の通信チャネルを介して決定し、(c)提案された前記動的関連付けのユーザ確認を、第二の通信チャネルを介して、決定し、(d)前記ユーザデバイスのユーザに関連付けられた情報およびサービスの少なくとも一へのアクセスのために、前記動的関連付け、前記ユーザ確認、および関連付けの前記第一セットに基づいて、前記ゲストデバイスを認証する。
【0008】
本発明の第2の態様は、第1の態様の動的認証方法であって、前記第一の通信チャネルが前記物理キーにより提供される。
【0009】
本発明の第3の態様は、第1の態様の動的認証方法であって、前記第一の通信チャネルが前記ゲストデバイスにより提供される。
【0010】
本発明の第4の態様は、第1の態様の動的認証方法であって、前記物理キーが、前記ゲストデバイスに接続するためのコンタクトベースコネクタおよびコンタクトレスコネクタの少なくとも一をさらに含む。
【0011】
本発明の第5の態様は、第4の態様の動的認証方法であって、前記コンタクトベースコネクタが、USBポート、メモリスティック(Memorystick)ポート、シリアルポート、パラレルポート、セキュアカード(Secure Card)ポート、コンパクトフラッシュ(登録商標)カードポート、スマートカードポート、およびPCカードポート、の少なくとも一である。
【0012】
本発明の第6の態様は、第4の態様の動的認証方法であって、前記コンタクトレスコネクタが、ブルートゥース(Bluetooth)コネクタ、RFIDコネクタ、ワイファイ(WiFi)コネクタ、ワイマックス(WiMax)コネクタ、赤外線コネクタ、の少なくとも一である。
【0013】
本発明の第7の態様は、第1の態様の動的認証方法であって、前記ユーザ情報が前記ゲストデバイスへの伝送の前に変換される。
【0014】
本発明の第8の態様は、第7の態様の動的認証方法であって、前記変換が、デジタルウォーターマークを適用するコピープロテクション変換およびステガノグラフィック変換の少なくとも一である。
【0015】
本発明の第9の態様は、第1の態様の動的認証方法であって、ゲストデバイスである動作可能なユーザデバイスセットが、アクセスコントロールリストに基づいて、決定される。
【0016】
本発明の第10の態様は、第1の態様の動的認証方法であって、ゲストデバイスが、固定電話、ボイスオーバIP電話、パーソナルデジタルアシスタント、イネーブルされた音楽プレーヤ、無線送信機、デジタルカメラ、ビデオカメラ、パーソナルミュージックプレーヤ、パーソナルビデオプレーヤ、テレビ、プリンタおよびコンピュータ、の少なくとも一である。
【0017】
本発明の第11の態様の動的認証システムは、ユーザグループ、ユーザデバイスおよび少なくとも一の物理キーの間の関連付けの第一セットを記憶するメモリと、前記物理キーの存在に基づいて、ゲストデバイスとユーザの物理キーとの間の提案された動的関連付けを、第一の通信チャネルを介して、受信する入出力回路と、第二の通信チャネルを介しての提案された前記動的関連付けのユーザ確認と、前記ユーザデバイスのユーザに関連付けられた情報およびサービスの少なくとも一へのアクセスのために、前記動的関連付け、前記ユーザ確認、および関連付けの前記第一セットに基づいて、前記ゲストデバイスを認証するプロセッサと、を備える。
【0018】
本発明の第11の態様の別の態様の動的認証システムは、ユーザグループ、ユーザデバイスおよび少なくとも一の物理キーの間の関連付けの第一セットを記憶するメモリと、プロセッサと、前記物理キーの存在に基づいて、ゲストデバイスとユーザの物理キーとの間の提案された動的関連付けを、第一の通信チャネルを介して、受信する入出力手段と、を備え、該プロセッサは、第二の通信チャネルを介して提案された前記動的関連付けのユーザ確認を取得するユーザ確認手段と、前記ユーザデバイスのユーザに関連付けられた情報およびサービスの少なくとも一へのアクセスのために、前記動的関連付け、前記ユーザ確認、および関連付けの前記第一セットに基づいて、前記ゲストデバイスを認証するゲストデバイス決定手段と、を備える、動的認証システムであってよい。ユーザ確認手段、ゲストデバイス決定手段は、プロセッサによって制御されるハードウェアであってもよいし、プロセッサによって実行されるソフトウェアであってもよい。
【0019】
本発明の第12の態様は、第11の態様の動的認証システムであって、前記第一の通信チャネルが前記物理キーにより提供される。
【0020】
本発明の第13の態様は、第11の態様の動的認証システムであって、前記第一の通信チャネルが前記ゲストデバイスにより提供される。
【0021】
本発明の第14の態様は、第11の態様の動的認証システムであって、前記物理キーが、前記ゲストデバイスに接続するためのコンタクトベースコネクタおよびコンタクトレスコネクタの少なくとも一をさらに含む。
【0022】
本発明の第15の態様は、第14の態様の動的認証システムであって、前記コンタクトベースコネクタが、USBポート、メモリスティック(Memorystick)ポート、シリアルポート、パラレルポート、セキュアカード(Secure Card)ポート、コンパクトフラッシュ(登録商標)カードポート、スマートカードポート、およびPCカードポート、の少なくとも一である。
【0023】
本発明の第16の態様は、第14の態様の動的認証システムであって、前記コンタクトレスコネクタがブルートゥース(Bluetooth)コネクタ、RFIDコネクタ、ワイファイ(WiFi)コネクタ、ワイマックス(WiMax)コネクタ、および赤外線コネクタ、の少なくとも一である。
【0024】
本発明の第17の態様は、第11の態様の動的認証システムであって、前記ユーザ情報が前記ゲストデバイスへの伝送の前に変換される。
【0025】
本発明の第18の態様は、第17の態様の動的認証システムであって、前記変換が、デジタルウォーターマークを適用するコピープロテクション変換およびステガノグラフィック変換の少なくとも一である。
【0026】
本発明の第19の態様は、第11の態様の動的認証システムであって、ゲストデバイスである動作可能なユーザデバイスセットが、アクセスコントロールリストに基づいて、決定される。
【0027】
本発明の第20の態様は、第11の態様の動的認証システムであって、前記ゲストデバイスが、固定電話、ボイスオーバIP電話、パーソナルデジタルアシスタント、イネーブルされた音楽プレーヤ、無線送信機、デジタルカメラ、ビデオカメラ、パーソナルミュージックプレーヤ、パーソナルビデオプレーヤ、テレビ、プリンタおよびコンピュータ、の少なくとも一である。
【0028】
本発明の第21の態様は、デバイスを動的に認証するようにコンピュータをプログラミングするために使用可能な制御プログラムであって、ユーザグループ、ユーザデバイスおよび少なくとも一の物理キーの間の関連付けの第一セットを決定する命令と、ゲストデバイスとユーザの物理キーとの間の提案された動的関連付けを、前記物理キーの存在に基づいて、第一の通信チャネルを介して、決定する命令と、提案された前記動的関連付けのユーザ確認を、第二の通信チャネルを介して、決定する命令と、前記ユーザデバイスのユーザと関連付けられている情報およびサービスの少なくとも一へのアクセスのために、前記動的関連付け、前記ユーザ確認、および関連付けの前記第一セットに基づいて、前記ゲストデバイスを認証する命令と、を含む。
【0029】
本発明の第22の態様は、ユーザをデータサービスに対して動的に認証するための物理キーであって、前記物理キーを識別する物理キー識別子と、前記物理キー識別子に基づいて、ゲストデバイスとの動的関連付けを提案するためのコネクタと、を備える。
【0030】
本発明の第23の態様は、第22の態様の物理キーであって、前記コネクタが、コンタクトベースコネクタおよびコンタクトレスコネクタの少なくとも一である。
【0031】
本発明の第24の態様は、第22の態様の物理キーであって、前記物理キーが、提案された前記動的関連付けを伝えるために動作可能な第一の通信リンクを備える。
【0032】
本発明の第25の態様は、請求項1に記載の動的認証方法であって、(d)が、前記物理キーと関連付けられる前記ユーザを決定し、前記物理キーと関連付けられる少なくとも一のデータサービスを決定し、前記ゲストデバイスの動的認証に基づいて、前記データサービスへのユーザアクセスを認証する、ことを含む。
【0033】
本発明の第26の態様は、第25の態様の動的認証方法であって、前記データサービスがコンピュータに含まれる情報のリポジトリである。
【0034】
本発明の第27の態様は、第26の態様の動的認証方法であって、前記コンピュータが、ポータブルコンピュータ、ポータブルでないコンピュータ、の少なくとも一である。
【0035】
本発明の第28の態様は、第27の態様の動的認証方法であって、ポータブルでない前記コンピュータが、サーバ、協働サーバ、情報リポジトリおよびデジタルライブラリ、の少なくとも一である。
【0036】
本発明の第29の態様は、第1の態様の動的認証方法であって、前記ユーザ情報およびサービスが、前記認証に基づいて、暗号化および復号化される。
【0037】
本発明の第30の態様は、第29の態様の動的認証方法であって、前記復号化が一時的な復号化である。
【0038】
本発明の第31の態様は、第1の態様の動的認証方法であって、前記ユーザ情報およびサービスが、前記物理キー、前記ゲストデバイスおよび遠隔場所、の少なくとも一に位置する。
【0039】
本発明の第32の態様は、第1の態様の動的認証方法であって、関連付けの前記第一セットが、認証権を変更するように修正される。
【0040】
本発明の第33の態様は、第11の態様の動的認証システムであって、前記ユーザ情報およびサービスが、前記認証に基づいて、暗号化および復号化される。
【0041】
本発明の第34の態様は、第33の態様の動的認証システムであって、前記復号化が一時的な復号化である。
【0042】
本発明の第35の態様は、第11の態様の動的認証システムであって、前記ユーザ情報およびサービスが、前記物理キー、前記ゲストデバイスおよび遠隔場所、の少なくとも一に位置する。
【0043】
本発明の第36の態様は、第11の態様の動的認証システムであって、関連付けの前記第一セットが認証権を変更するように修正される。
【0044】
本発明の第37の態様は、第1の態様の動的認証方法であって、確認された前記動的関連付けが、前記ユーザデバイスおよび前記物理キーの少なくとも一によってサポートされるセッション識別子と関連付けられる。
【0045】
本発明の第38の態様は、第37の態様の動的認証方法であって、前記セッション識別子が、可変である時間間隔で検証される。
【0046】
本発明の第39の態様は、第11の態様の動的認証システムであって、確認された前記動的関連付けが、前記ユーザデバイスおよび前記物理キーの少なくとも一によってサポートされるセッション識別子と関連付けられる。
【0047】
本発明の第40の態様は、第39の態様の動的認証システムであって、前記セッション識別子が、可変である時間間隔で検証される。
【0048】
本発明の第41の態様は、データシステムとともに使用可能な物理キーであって、物理キーと少なくとも一のユーザデバイスとの間の予め指定されている関連付けをリトリーブするための識別子と、ゲストデバイスとの動的関連付けを提案するためのコネクタと、を含み、提案された前記動的関連付けが、物理キーおよび前記ゲストデバイスの少なくとも一と関連付けられている通信リンクを介して、伝えられる。
【0049】
本発明の第42の態様は、第1の態様の動的認証方法により認証されるサービスである。
【発明の効果】
【0050】
本発明は、ユーザグループ、ユーザデバイスおよび少なくとも一の物理キーの間の関連付けの第一セットを決定し、ゲストデバイスとユーザの物理キーとの間の提案された動的関連付けを、該物理キーの存在に基づいて、第一の通信チャネルを介して決定し、提案された前記動的関連付けのユーザ確認を、第二の通信チャネルを介して、決定し、前記ユーザデバイスのユーザに関連付けられた情報およびサービスの少なくとも一へのアクセスのために、前記動的関連付け、前記ユーザ確認、および関連付けの前記第一セットに基づいて、前記ゲストデバイスを認証するようにしているので、ユーザのアクセスを困難にすることなく、コンピュータセキュリティを強化することができる。
【発明を実施するための最良の形態】
【0051】
図1は本発明による例示的な動的認証システム100の使用の概要である。動的認証システム100は、通信リンク99を介して、通信可能パーソナルコンピュータゲストデバイス300、携帯電話ユーザデバイス500、および音声、ビデオおよびテキストベースのドキュメント1000〜1002にアクセスを提供する情報リポジトリ200、に接続されている。ユーザは、物理キー400と通信可能パーソナルコンピュータ300と、の間の関連付けを提案する。物理キー400と通信可能パーソナルコンピュータゲストデバイス300との間の提案された関連付けは、物理キーのコンタクトベースコネクタまたはコンタクトレスコネクタに基づいている。コネクタは物理キーをゲストデバイス300と関連付ける。
【0052】
コンタクトベースコネクタは、USB(ユニバーサルシリアルバス)コネクタ、メモリスティック(Memorystick)、SDカード、シリアル、パラレルおよび多様な他の物理ポートコネクタの少なくとも一を含むが、これらに限定されない。コンタクトレスコネクタは、無線ICタグ、ワイファイ(WiFi)、ワイマックス(WiMax)、ブルートゥース(Bluetooth)、バーコード読取装置および任意の公知のまたは今後開発される物理キー400を通信可能パーソナルコンピュータゲストデバイス300と関連付けるために使用できるコンタクトレスコネクタの少なくとも一を含む。
【0053】
提案された関連付けは、第一のチャネルまたは通信リンクを介して動的認証システム100に伝えられる。該第一のチャネルは物理キー400およびゲストデバイス300の少なくとも一方によって提供される。本発明による一の例示的な実施形態では、第一のチャネルは通信可能パーソナルコンピュータ300のイーサネット(登録商標)コネクタにより提供される。物理キー400は通信可能パーソナルコンピュータ300のUSBポートの中に挿入される。次に、物理キー識別子および該識別子についての情報の少なくとも一方を読み取るために、ソフトウェアコードが実行されるか、回路が作動される。もしくは、ソフトウェアが実行され、かつ、回路が作動される。物理キー識別子および関連付け情報の少なくとも一方は、通信可能パーソナルコンピュータ300に接続されるネットワーク上で動的認証100のためにシステムに転送される。
【0054】
図2は本発明による動的認証の例示的な方法のフローチャートである。プロセスはステップS100で開始し、直ちにステップS200に進む。
【0055】
ステップS200では、ゲストデバイスについての情報が決定される。ゲストデバイスは、家庭またはホテルのテレビ受像機、ラジオ、コンピュータ、プロジェクタ、複製機、電話、および、任意の公知のまたは今後開発される入力装置または出力装置もしくは入出力装置、の少なくとも一であってよい。ゲストデバイスが決定された後、制御は、物理キーが決定されるステップS300に進む。
【0056】
物理キーはコンタクトベースコネクタまたはコンタクトレスコネクタを介してゲストデバイスへの接続を確立する。コンタクトベース物理キーは、接触する、連結する、またはそれ以外の方法で直接的に接続するコンタクトベースコネクタを通して、ゲストデバイスに接続される。コンタクトベースの物理接続ポートはUSB、シリアル、パラレル、メモリスティック(Memorystick)等を含む。コンタクトレス物理キーは、直接的に接続または接触しないコンタクトレスコネクタを通して、ゲストデバイスに接続する。コンタクトレスコネクタはブルートゥース(Bluetooth)、ワイファイ(WiFi)、ワイマックス(WiMax)、GPRS(ジェネラルパケットラジオサービス:General Packet Radio Service)、無線ICタグ(RFID)等を含む。ワイマックス(WiMax)、ワイファイ(WiFi)、GPRS等のより長い距離用の通信媒体に基づいたコンタクトレスコネクタがオプションで信号強度インジケータ等に基づいていることは明らかであろう。物理キーが決定された後、制御はステップS400に進む。
【0057】
ステップS400では、物理キーとゲストデバイスとの間の提案された関連付けが決定される。該提案された関連付けはコンタクトベース物理キーまたはコンタクトレス物理キーに基づいている。例えば、物理キーの中に埋め込まれているUSBコンタクトベースコネクタはゲストデバイスのUSBレセプタクルの中に差し込まれる。物理キーとゲストデバイスとの間のコンタクトは、物理キーとゲストデバイスとを暗示的に且つ動的に関連付ける。他の実施形態では、RFIDタグ等のコンタクトレスコネクタがゲストデバイスとの動的関連付けを提案するために使用される。提案された関連付けは第一のチャネルまたは通信リンクを介して伝えられる。第一のチャネルは物理キーおよびゲストデバイスの少なくとも一方に埋め込まれていてよい。物理キーとゲストデバイスとの間の提案された動的関連付けが決定された後、制御はステップS500に進む。
【0058】
ステップS500では、ユーザデバイス情報が決定される。ユーザデバイス情報はユーザと関連付けられているデバイスの種類、MACアドレス、インターネットプロトコル(IP)、および、ユーザデバイスと関連付けられる他のネットワークアドレス識別子の少なくとも一を含む。本発明による多様な他の例示的な実施形態では、追加のアクセスコントロール情報が認識された各デバイスと関連付けられる。追加のアクセスコントロール情報は、時間、場所、および、ユーザデバイスと関連付けられる多様な他の属性、の少なくとも一に基づいて、有効なユーザデバイスを指定するために使用される。有効な携帯電話ユーザデバイスのためのユーザデバイス情報は、携帯電話ネットワークデバイス識別子、携帯電話番号、携帯電話ユーザデバイスの許可されたアクセス時間等を含むが、これらに限定されない。ユーザデバイス情報が決定された後、制御はユーザ情報が決定されるステップS600に進む。
【0059】
本発明による多様な実施形態では、ユーザ情報は、所有者のサードパーティインジケータに基づいて暗示される。すなわち、電話会社の携帯電話所有者情報は、携帯電話デバイスの所有者が現在のユーザであることを推論するために使用される。しかしながら、多様な他の実施形態では、ユーザは、ログインキーシーケンス、スマートカード等を使用して明示的に決定される。ユーザ情報が決定された後、制御はステップS700に進む。
【0060】
ステップS700では、ゲストデバイスと物理キーとの提案された動的関連付けが、第二のチャネルを介してユーザデバイスによって確認される。例えば、ある例示的な実施形態では、動的関連付けの確認はユーザのオフィスの電話からの電話発呼によって行われる。
発呼者ID情報は、ユーザについてのアクセスコントロールリストと比較されると、オフィスの電話が有効なユーザデバイスであるか否かを示す。ユーザデバイス情報は、代わりに、ユーザの声紋プロファイルを決定するか、または、選択するために使用される。課題(challenge)質問がオプションでユーザに提示され、回答が分析される。回答の内容および回答の声紋特性がユーザについて記憶されている情報に一致すると、ゲストデバイスとの提案された動的関連付けが確認される。次に、ゲストデバイスは識別されたユーザと関連付けられたサービスを受けるために認証される。提案された動的関連付けが確認された後、制御はステップS800に進む。
【0061】
ステップS800で、ゲストデバイスはユーザと関連付けられている情報およびサービスの少なくとも一方に対するアクセスを許可される。例えば、ホテルの環境ではゲストデバイスはホテルのテレビである可能性がある。ゲストテレビおよび埋め込まれているメディアプレーヤによるユーザインターアクションは、あたかもそれらがユーザの家のテレビで始まったかのように動作する。データサービスによって提供され、ゲストデバイスによってサポートされるあらゆるインタラクティブ機能がサポートされる。したがって、インタラクティブインターネットプロトコル(IP)テレビは物理キーのコンタクトレスコネクタまたはコンタクトベースコネクタを介して可能とされるか、ゲストテレビの中に埋め込まれる。または、物理キーのコンタクトレスコネクタまたはコンタクトベースコネクタを介して可能とされ、かつ、ゲストテレビの中に埋め込まれる。ユーザインターアクションセッションの後およびユーザインターアクションセッションの間の少なくとも一方において、制御は動的関連付けが終了されるべきか否かを判断するためにステップS900に進む。
【0062】
動的関連付けセッションはユーザログオフシーケンス、タイムアウト、プログラムなどによって、終了する。動的関連付けの終了はユーザと関連付けられている情報とサービスとへのアクセスについてゲストデバイスを認証から切り離す(de−authenticates)。例えば、ある実施形態では、動的関連付けはログオフシーケンス等を使用して明示的に終了されるまで続行する。他の例示的な実施形態では、動的関連付けは、物理キーが存在し、セッション検証子を動的認証システムに伝えている間だけ続行する。本発明によるさらに他の例示的な実施形態において、セッション識別子が第二のチャネルまたは通信リンクで動的認証のためにユーザデバイスとシステムの間で伝えられてよいことは明らかであろう。
【0063】
本発明によるさらに他の実施形態では、セッション識別子、クッキー等が物理キーに発行され、多様な時間間隔で検証される。物理キーと関連付けられたゲストデバイスとの間の動的関連付けを切断すると、セッション識別子をセッション検証のためにアクセスできないようにする。動的関連付けは、ポートまたはレセプタクルとのコンタクトから物理キーを引き抜くことによって切断されてよい。コンタクトレスコネクタを使用して確立された動的関連付けは、キーの「コンタクト切断」ボタンを使用すること、ゲストデバイスの検知範囲から物理キーを取り去ること、等で終了される。しかしながら、動的関連付けを終了する、または、切断する多様な公知のまたは今後開発される方法が本発明の範囲から逸脱することなく使用されてよいことは明らかでなければならない。動的認証システムは、検証されないセッションを終了し、ゲストデバイスを書き換える、認証から切り離す、の少なくとも一方を行う。セッションが検証された後、制御はステップS800にジャンプし、ユーザ情報へのアクセスは続行する。ステップS800〜S900は、ステップS900においてセッションが終了されるべきであると判断されるまで繰り返される。次に制御はステップS1000に進み、プロセスが終了する。
【0064】
図3は本発明による例示的な動的認証システム100である。動的認証システム100は、メモリ20、プロセッサ30、ユーザデバイス決定回路(手段)40、ユーザ確認回路(手段)50、ゲストデバイス決定回路(手段)60、デバイス関連付け決定回路(手段)70、および、オプションで変換回路(手段)80を含む。各々は、入出力回路(手段)10に接続されており、通信リンク99を介して、パーソナルコンピュータゲストデバイス301、物理キー401、携帯電話ユーザデバイス501、音声、ビデオ、テキスト、および他のドキュメント1000〜1002を含む情報リポジトリ200に接続されている。
【0065】
ユーザはパーソナルコンピュータゲストデバイス301の検知距離内にユーザの物理キーを配置する、あるいはパーソナルコンピュータゲストデバイス301のレセプタクルに物理キー401を差し込むことによって、ゲストデバイスとの提案されている関連付けを生成する。例えば、IEEE1394通信リンクをサポートする物理キー401は、パーソナルコンピュータゲストデバイス301のIEEE1394ポートに差し込まれる。物理キー401およびパーソナルコンピュータゲストデバイス301の少なくとも一方は第一のチャネル上で提案された動的関連付けについての情報を動的認証システム100の入出力回路10に送信する。
【0066】
プロセッサ30は、MACアドレス、IPアドレス、電話装置識別子、またはパーソナルコンピュータゲストデバイス301と関連付けられる他の識別子を識別するためにゲストデバイス決定回路60を起動する。例えば、パーソナルコンピュータゲストデバイス301が提案された動的関連付け情報を転送する実施形態では、インターネットプロトコル(IP)アドレスは受信された情報パケット内に含まれている。代わりとして、物理キーが動的認証システム100に通信リンクを提供する場合、ゲストデバイスはアクセスされ、物理キーと関連付けられるIPアドレスまたは識別子と照合して認証される。しかしながら、ゲストデバイスと関連付けられる識別子を送信する任意の公知のまたは今後開発される方法は本発明の実践で使用されてよいことが明らかでなければならない。
【0067】
プロセッサ30はデバイス関連付け決定回路70を起動する。デバイス関連付け決定回路70は提案されている関連付けにより示される物理キー401と関連付けられたユーザを決定する。物理キー401は物理キー識別子によって識別され、携帯電話ユーザデバイス501と関連付けられる。本発明による多様な例示的な実施形態では、ユーザデバイスおよびユーザの少なくとも一方は代わりにアクセスコントロールリストと関連付けられている。アクセスコントロールリスト(MAC、IPおよび他のデバイス識別子のアクセスコントロールリスト)は物理キーと関連付けることのできる有効なデバイスのプールを制限する上で有効である。多様な他の実施形態では、アクセスコントロールリストは、時刻、場所および多様な他の属性の少なくとも一、アクセスパターンまたは特徴に基づいて認証を制御するために使用される。
【0068】
プロセッサ30は、携帯電話ユーザデバイス501が物理キー401と関連付けられていることを検証するためにユーザデバイス決定回路40を起動する。プロセッサ30は、携帯電話ユーザデバイス501が一または複数のユーザ特定アクセスコントロールリストに基づいて有効であることも検証してよい。例えば、ユーザ特定アクセスコントロールリストは就業時間中に企業ドメインと関連付けられるすべてのIPアドレスを認証する。これに対し、ユーザのホームネットワーク内のデバイスと関連付けられるIPアドレスはつねにアクセスのために認証される。いくつかのネットワークによって提供される地理情報は、許容できる使用パラメータにデバイスアクセスを適合させるために使用される。
【0069】
次にユーザ確認回路50が起動される。ある実施形態では、ユーザ確認回路50はカウントダウンタイマを起動する。ゲストデバイスと物理キーとの間の提案されている関連付けの確認はカウントダウンタイマによって指定される間隔の間に第二のチャネル上で受信されなければならない。提案されている動的関連付けの有効な確認が受信されると、パーソナルコンピュータゲストデバイス301は、音声、ビデオ、およびテキストの少なくとも一の情報を含むユーザの個人情報リポジトリ200へアクセスするために、プロセッサ30によって認証される。
【0070】
多様な例示的な実施形態では、プロセッサ30はオプションの変換回路80を起動する。オプションの変換回路80はユーザデジタル情報にコピープロテクトをかけること、ウォーターマークを入れること、および、それ以外の方法で、ユーザデジタル情報をプロテクトされたデジタル資産に変換すること、の少なくとも一を行う。プロテクトされたデジタル資産は次にパーソナルコンピュータゲストデバイス301に転送される。物理キー401のコード、ルーチン、または回路は、プロテクトされたデジタル資産をユーザのアクセスのために復号する。プロテクトされた資産が不注意にパーソナルコンピュータゲストデバイス301に残されても、変換されたデジタル資産は物理キー401なしには使用できない。
【0071】
さらに他の例示的な実施形態では、プロテクトされたデジタル資産の復号または解読はセッション識別子の検証を必要とする。さらに、ユーザが物理キー401を紛失したとしても、プロテクトされている資産に対するアクセスはユーザとの関連付けから物理キー401を削除することによって否定される。有効なセッション識別子が返されない。このようにして、ユーザは情報の制御を失うリスクを冒さずにユビキタスデバイスで個人情報および他の情報の少なくとも一を見ることができる。本発明による多様な実施形態では、動的認証システムは、情報リポジトリ、デジタルライブラリ、ウェブサーバ等の中に埋め込まれてもよいし、ラップトップ型コンピュータまたは他のゲストデバイスの中に埋め込まれてよいし、通信リンク99を介してアクセス可能な任意のロケーションに配置されてもよいことは明らかであろう。これらは個別になされてもよいし、任意に組み合わされていてもよい。
【0072】
図3に説明される動的認証システム100の回路10〜80の各々は適切にプログラミングされた汎用コンピュータの部分として実現できる。代わりに、概略された動的認証システム100の回路10〜80はASIC内の物理的に別個のハードウェア回路として、あるいはFPGA,PDL、PLAまたはPALを使用して、あるいは離散的論理素子または離散的回路構成要素を使用して実現できる。概略された動的認証システム100の回路10〜80の各々が採る特定の形式は設計上の選択であり、当業者にとって明らかかつ予測可能であろう。
【0073】
さらに、動的認証システム100および前述された多様な回路の各々の少なくとも一は各々プログラミングされた汎用コンピュータ、特殊目的コンピュータ、マイクロプロセッサ等で実行するソフトウェアルーチン、マネージャ、またはオブジェクトとして実現できる。この場合、動的認証システム100および前述された多様な回路の各々の少なくとも一は、各々サーバに常駐するリソース等として通信ネットワークに埋め込まれている一または複数のルーチンとして実現できる。動的認証システム100および前述された多様な回路も動的認証システム100を、ウェブサーバまたはクライアントデバイスのハードウェアシステムおよびソフトウェアシステムなどの、ソフトウェアシステムおよびハードウェアシステムの少なくとも一に物理的に組み込むことによって実現できる。
【0074】
図3に図示されるように、メモリ20は書替可能、揮発性、または不揮発性のメモリ、または書替不可すなわち固定メモリ、の任意の適切な組み合わせを使用して実現できる。書替可能なメモリは、揮発性であるか、不揮発性であるかに関係なく、スタティックまたはダイナミックRAM、フロッピー(登録商標)ディスクおよびディスクドライブ、書込可能または書替可能な光ディスクおよびディスクドライブ、ハード(ディスク)ドライブ、フラッシュメモリ等のいずれか一または複数を使用して実現できる。同様に、書替不可すなわち固定メモリは、ROM、PROM、EPROM、EEPROM、CD−ROMまたはDVD−ROMディスクなどの光ROMディスクおよびディスクドライブ等のいずれか一または複数を使用して実現できる。
【0075】
図1および図3に図示される通信リンク99の各々は、直接ケーブル接続、ワイドエリアネットワークまたはローカルエリアネットワークを介しての接続、イントラネットを介しての接続、インターネットを介しての接続、または任意の他の分散処理ネットワークまたはシステムを介しての接続を含む、通信装置を動的認証システム100に接続するための任意の公知のまたは今後開発されるデバイスまたはシステムであってよい。一般的には、通信リンク99は、装置を接続し、通信を容易にするために使用可能な任意の公知のまたは今後開発される接続システムまたは構造である場合があってよい。
【0076】
さらに、通信リンク99は、ネットワークへのワイヤードリンクまたはワイヤレスリンクであってよいことが理解されなければならない。ネットワークはローカルエリアネットワーク、ワイドエリアネットワーク、イントラネット、インターネットまたは任意の他の分散処理記憶ネットワークであってよい。
【0077】
図4は、本発明による第一の関連付け1100を記憶するための例示的なデータ構造を示す。第一の関連付け1100を記憶するための例示的なデータ構造は、ユーザ識別子部分1110、ユーザデバイス識別子部分1120、物理キー識別子部分1130、およびゲストデバイス識別子部分1140を含む。
【0078】
第一の行はユーザ識別子部分1110内に値「GLTHIONE123」を含んでいる。この値は動的認証システムに対しユーザを一意に識別する。ユーザ識別子値はeメールアドレスなどのグローバル識別子であってもよいし、ローカル識別子であってもよいし、ユーザをシステムに対して一意に識別する任意の他の情報であってよい。
【0079】
関連付け1100を記憶するためのデータ構造のユーザデバイス識別子部分1120は、値「PL87D5HJ7N」を含む。この値は動的認証システムに対してユーザデバイスを一意に識別する。ユーザデバイス識別子値は、MACアドレス、動的または静的なインターネットプロトコル(IP)アドレス、および、ユーザデバイスをシステムに一意に識別する上で有効な任意の他の公知のまたは今後開発される識別子の少なくとも一であってよい。
【0080】
例えば、ユーザデバイスは携帯電話、通信可能パーソナルデジタルアシスタント(PDA)、紙ベースのバーコード、無線IC(RFID)タグ、および、物理キーとゲストデバイスとの間の提案された関連付けを動的に確認できる、任意の公知のまたは今後開発されるデバイスの少なくとも一を含むが、これらに限定されない。
【0081】
物理キー識別子部分1130は値「34FCG876543212H」を含む。この値はシステムに対し物理キーを一意に識別する。物理キー識別子値は、MACアドレス、IPアドレス、電話装置ネットワーク識別子、および、物理キーを識別できる他の公知のまたは今後開発される識別子の少なくとも一である。物理キーは、コンタクトベースコネクタまたはコンタクトレスコネクタを介してゲストデバイスに接続する。多様な例示的な実施形態では、コンタクトベースコネクタはユニバーサルシリアルバス(USB)、メモリスティック(Memorystick)、スマートメディア(Smart Media(登録商標))、コンパクトフラッシュ(登録商標)(Compact Flash)、マルチメディアカード(Multi Media Card)、セキュアデジタルカード(Secure Digital Card)、XD−ピクチャカード(XD−Picture Cards)、シリアルコネクタまたはパラレルコネクタ等に基づいている。コンタクトレスコネクタは、RFID、ブルートゥース(Bluetooth)、赤外線、ワイファイ(WiFi)、ワイマックス(WiMax)、および、物理的な接続を必要としない公知のまたは今後開発される任意の種類のコネクタに基づくことができる。
【0082】
物理キーはゲストデバイス間で動的関連付けを提案するために使用される。したがって、ある例示的な実施形態では、ユーザが携帯するコンタクトレス物理キーが第一の通信チャネルを介して動的認証システムに提案される動的関連付けを伝える。第一のチャネルまたは通信リンクはイーサネット(登録商標)(Ethernet(登録商標))、ブルートゥース(Bluetooth)、ワイファイ(WiFi)、ワイマックス(WiMax)、および、本発明の範囲から逸脱しない任意の他の種類の通信媒体の少なくとも一であってよい。動的認証システムが利用する該システムへの第一のチャネルもしくは通信リンクは、ゲストデバイスにおいて直接的に利用可能である通信リンク、および、物理キーに埋め込まれている、あるいは、物理キーを介して利用可能である通信リンク、の少なくとも一であってよい。
【0083】
ゲストデバイスと物理キーとの間の提案された関連付けは第二の通信チャネルを介して確認される。動的認証システムはユーザと関連付けられるサービスおよびデバイスの少なくとも一方へのアクセスのためにゲストデバイスを認証する。多様な実施形態では、動的認証システムは個人情報リポジトリに直接的に認証メッセージを転送する。しかしながら、さらに他の実施形態では、認証サービスがプロキシとして働き、個人情報リポジトリへのアクセスを直接的に仲介することは明らかであろう。
【0084】
例えば、ある実施形態では、動的認証システムはホテルの三菱(Mitsubishi)WD−52725テレビをゲストデバイスとして認証するために使用される。ゲストデバイスはユーザの個人情報リポジトリからストリーミングされるバケーションのビデオへのアクセスを受け取る。ユーザの物理キーとホテルのテレビとの間の提案されている関連付けはIEEE−1394ベースの物理キーを三菱WD−52725テレビゲストデバイス上のIEEE−1394相互接続の中に差し込むことによって確立される。物理キーは埋め込まれたワイファイ(WiFi)通信リンクも含む。物理キーは、動的認証システムに対する、ホテルの室内ワイファイ(WiFi)システム上での通信リンクを確立し、物理キーとホテルのテレビとの間の提案されている関連付けを送信する。
【0085】
ゲストデバイス識別子部分1140は値「G65DREWSQ34678」を含む。値はゲストデバイスと関連付けられた一意のデバイス識別子を示す。ゲストデバイスが通信可能である場合、ゲストデバイス識別子の値はMAC、IPまたは他の識別子であってよい。通信リンクが物理キーに埋め込まれている他の実施形態では、ゲストデバイス識別子はデバイスモデル番号、製造メーカ、および、物理キーのネットワークアドレスと関連付けられる他の識別子の少なくとも一に基づいてよい。したがって、ワイファイ(WiFi)がイネーブルされた物理キーを介してのみアクセス可能である三菱WD−52725テレビはゲストデバイス識別子「192.168.1.32:001.WD−52725.TV.mitsubishi.com」を割り当てられる。これは、非ルータブルアドレス「192.168.1.32」によりアクセス可能な物理キーがテレビ装置に対する通信を代理する、または、仲介することを示している。
【0086】
次にユーザはホテルのテレビと物理キーとの間の関連付けを確認するためにユーザ関連付け携帯電話を介して動的認証システムを呼び出す。動的認証システムは、ユーザ、ユーザデバイスおよび物理キーの間の予め記憶されている関連付けを検証する。動的認証システムはユーザの個人情報リポジトリへのアクセスのためにホテルテレビゲストデバイスを認証する。これにより、動的認証システムおよび物理キーは動的に使用可能なユーザの個人サービスおよび情報の少なくとも一方へのユビキタスアクセスを提供する。
【0087】
図5は、本発明による物理キー情報1200を記憶するための例示的なデータ構造である。データ構造は物理キー識別子部分1210と、ユーザ(所有者)部分1220と、パスワード部分1230と、共有秘密部分1240と、最終関連付け時間部分1250と、最終場所部分1260と、を含む。
【0088】
第一の行の物理キー識別子部分1210は値「19876」を含む。この値は、動的認証システム内で物理キーを一意に識別する。物理キー識別子はMACアドレス、インターネットプロトコル(IP)アドレス、および、物理デバイスを一意に識別できる任意の他の識別子の少なくとも一に基づいてよいことが明らかであろう。
【0089】
ユーザ部分1220は値「GLTHIONE1」を含む。この値はキー所有者のユーザ識別子を示す。ユーザ識別子はインターネットeメールアドレスまたは動的認証システムに対しユーザを一意に識別する任意の他の識別子であってよい。
【0090】
物理キー情報のためのデータ構造のパスワード部分1230は値「BIOMETRIC.VOICE(生体測定.ボイス)」を含む。この値はユーザを認証するために使用される声紋および課題質問のオプションのセットを示す。
【0091】
オプションの共有秘密部分は、物理キー、動的認証システム、およびユーザの個人情報リポジトリおよびサービスの少なくとも二の間の通信をオプションで暗号化するために使用される秘密の複製を反映する値「A1 3B 24 6B 7B 2D」を含む。多様な他の実施形態では、本発明の範囲から逸脱することなく公開鍵暗号手法等も使用できることが明らかであろう。
【0092】
最終関連付け時間部分1250はゲストデバイスとの最後の動的関連付けの時刻を含む。したがって、値「30/12/2004:12:01:05」は最後のゲストデバイスが2004年12月30日、12:01:05UTC(協定世界時)に物理キーおよびユーザサービスと動的に関連付けられていたことを示している。最終関連付け時間は、ユーザの物理キーの複製に基づいて提案される関連付けのリスクを削減するためにオプションで使用される。例えば、物理キーが盗まれるか、または、複製されても、新しい動的関連付けに制約を課すことができる。ある実施形態では、ユーザ確認は提案された動的関連付けの後60秒内に受信されなければならない。提案されている動的認証のタイミングも既知でなければならないため、これにより、関連付けられているユーザデバイスを使用せずに盗まれた物理キーを使用することは困難になる。地理的な制限、所有者、使用パターン等の他の制約も物理キーまたはユーザにより有効なゲストデバイスのグループを制約するために使用されてよいことが明らかであろう。さらに、通常の使用外で繰り返される提案済みの認証等によって物理キーの盗難が検出されると、物理キーはユーザとユーザデバイスとの関連付けから削除され、物理キーを動作不能にする。
【0093】
複製された物理キーは動的関連付けを提案するために使用できるが、有効なユーザデバイスが該提案された関連付けを確認することを必要とする。最終関連付け値に基づいたタイマは、最終位置部分1260の値とともに、短期間の内に、または、大きく離れた位置から、もしくは、短期間の内に、かつ、大きく離れた位置から、複数回試される物理キー認証を検出する上で有効である。例えば、例示的な値「PALO ALTO CA USA」は第二の物理キーアクセスに関連付けられる地理的な位置および時間と比較される。物理的な位置が大きく離れ、提案されていた関連付けが時間的に近い場合には、物理キーは非活性化される。
【0094】
第二の行は値「19877」、「GLTHIONE1」、「BIOMETRIC(生体測定).FINGERPRINT(指紋)」、「C3 5BC 5E 8A 3F 5E」、「30/12/2006:13:05:06」および「FXPAL.COM」を含む。これらの値は、ユーザ「GLTHIONE1」が「19877」という物理キー値と関連付けられ、生体測定指紋が記録され、ユーザを検証するために使用できることを示している。指定された共有秘密値は転送された情報を暗号化するために使用できる。最終関連付け時間部分1250および最終位置部分1260の値は物理キーの使用のパターン外れを識別する上で有効である。
【0095】
最終行は値「19801」、「JTREVOR112」、「BIOMETRIC(生体測定).FINGERPRINT(指紋)」、「F1 5B 74 BB 91 ED」、「30/12/2004:14:31:26」および「PALO ALTO,CA USA」を含む。これらの値は、ユーザ「JTREVOR112」が「19801」という物理キー値と関連付けられていることを示す。生体測定指紋は、ユーザを検証するために使用でき、共有秘密値は転送される情報を暗号化するために使用できる。最終関連付け時間部分1250と最終位置部分1260の値とは物理キー使用パターンのバリエーションを検出するために使用できる。
【0096】
図6はアクセスコントロール情報1300を記憶するための例示的なデータ構造である。アクセス制御情報1300を記憶するためのデータ構造はデバイス識別子部分1310と、デバイスアドレス部分1320と、ユーザ部分1330と、開始部分1340と、終了部分1350と、位置部分1360と、を含む。
【0097】
アクセスコントロール情報1300を記憶するための例示的なデータ構造の第一の行はデバイス識別子部分1310に値「1234」を含む。この値は動的認証システム内でデバイスを一意に識別する。
【0098】
デバイスアドレス部分1320の値「IP:TELEVISION1.GLTHIONE1.COMCAST.COM」は、ネットワーク内の指定されたデバイスのアドレスを反映する。デバイスアドレスは静的インターネットプロトコルアドレスのような静的アドレス、アドレスラベル、ドメイン名のようなエイリアス等を反映してよい。
【0099】
ユーザ部分1330内の値「GLTHIONE1」はデバイスの承認されたユーザを反映する。いくつかの実施形態では、ユーザ部分の値はデバイスの所有者を反映する。例えば、携帯電話所有者は一般的にはつねにデバイスを使用することを承認されている。しかし、携帯電話が紛失された場合、ユーザ部分1330の情報を更新することによって、提案された動的認証を確認することを禁じられた無効デバイスであることを示す。
【0100】
開始部分1340の値「WEEKDAYS(平日)08:00:00」は、デバイスの有効性期間の開始を反映する。したがって、値は、デバイス有効性が平日の毎日午前8:00に開始することを示す。同様に、終了部分1350の「WEEKDAYS17:00:00」値はデバイスの有効性期間の終了を示す。したがって、デバイスは、毎平日の午前8:00〜午後5:00UTCの間、有効なアクセスが可能である。
【0101】
位置部分1360の中の値「PALO ALTO,CA USA」は、デバイスの有効なアクセス位置を含む。いくつかのケースでは、インターネットプロトコルアドレスおよび他のネットワーク識別子の少なくとも一方は発信元の地理的な表示を提供する。これらのケースでは、位置部分1360の値は指定位置から発信されるデバイスへのアクセスを制約するために使用される。本発明による多様な他の例示的な実施形態では、位置情報は緯度・経度および任意の公知のまたは今後開発される地理情報または位置識別情報の少なくとも一を使用して符号化される。
【0102】
第二の行は値「2345」、「TELEPHONE:14155551212」、「GLTHIONE1」、「*/*/* 12:00:00」、「*/*/* 12:59:01」および「*」を含む。これらの値は、デバイス「2345」として識別される415−555−1212の電話装置がユーザ「GLTHIONE1」と関連付けられていることを示す。電話装置は、それぞれ開始部分1340と終了部分1350の値とによって示されるように、毎日12:00:00UTCに開始し、12:59:01UTCまで続行するアクセスに有効である。デバイスは「*」(ワイルドカード文字)によって示されるように任意の位置からのアクセスに有効である。
【0103】
下から二行目の行は、値「1099」、「TELEPHONE:16505551212」、「JTREVOR112」、「*/*/* 12:00:00」、「*/*/* 12:59:01」および「*」を含む。これらの値は、デバイス「1099」として識別される650−555−1212の電話装置がユーザ「JTREVOR112」と関連付けられていることを示す。電話装置は、開始部分1340および終了部分1350によって示されるように、毎日12:00:00に開始し、12:59:01UTCまで続行するアクセスに有効である。デバイスは任意の位置からのアクセスに有効である。
【0104】
最後の行は値「1234567890」、「MAC:F1−5B−74−BB−91−ED」、「JTREVOR112」、「30/12/2004 14:31:26」、「30/12/2004 15:31:26」および「CA USA」を含む。これらの値は、「1234567890」として識別されるデバイスアドレス「MAC:F1−5B−74−BB−91−ED」でアクセス可能なデバイスがユーザ「JTREVOR112」と関連付けられることを示す。デバイスは開始部分1340により示されるように2004年12月30日、14:31:26UTCに開始し、終了部分1350により示されるように2004年12月30日、15:31:26UTCまで続行するアクセスに有効である。デバイスはUSAのカリフォルニア州のみからのアクセスに有効である。
【0105】
図7は本発明による情報の流れの例示的な概要である。物理キー402のユーザはゲストデバイス302の検知距離内に物理キー402を配置する。例えば、ゲストデバイス302は、物理キーに埋め込まれているRFIDタグを検出することによって提案されている関連付けを検知してよい。代わりに、物理キー402がゲストデバイス302の存在を検知してもよい。物理キー402上のオプションのキースイッチは、ゲストデバイスとの提案されている動的関連付けを能動的に受け入れることおよび拒絶すること、の少なくとも一方を行うために使用可能である。他の実施形態では、USB、IEEE1394、メモリスティック(Memorystick)、SDカード、シリアルポートコネクタおよびパラレルポートコネクタ等に基づいたゲストデバイス302への物理キー402の物理的な結合が物理キー402との提案されている動的関連付けを示すために使用される。
【0106】
提案されている関連付けは第一のチャネルまたは通信リンクを解して動的認証システム100に伝えられる。第一のチャネルはゲストデバイスと関連付けられるか、あるいは、物理キー402によって提供されてよい。例えば、ホテルのテレビ装置はインターネットにホテルのネットワークを介して接続されてよい。デバイスがホテルのネットワークを使用できる場合、提案されている関連付けはホテルのネットワーク−インターネット通信リンクを介して送信されてよい。しかし、ホテルのネットワークが使用不可能な場合および/またはアクセス不可能な場合には、物理キーはワイファイ(WiFi)、ワイマックス(WiMax)、GPRSまたは物理キー402の中に内蔵される他の通信媒体を介して通信リンクを提供してよい。
【0107】
ユーザデバイス502は、第二の通信リンクを介して提案された関連付けを確認する。ユーザデバイス502は携帯電話、ブラックベリー(Blackberry)デバイス、および第二の通信チャネルを介して提案された関連付けを確認するために使用可能な任意の他の種類のユーザデバイスの少なくとも一であってよい。動的認証システム100は有効なユーザデバイスのグループを調整するためにオプションのアクセスコントロールリストを使用する。該グループからコンファメーションは受信される。さらに、本発明による多様な他の実施形態では、ユーザデバイスへのコールバックを起動することによりセキュリティが強化される。
【0108】
動的認証システム100は、ゲストデバイス302と物理キー402との間の提案された関連付けを受け取る。物理キー402および物理キー402についての情報の少なくとも一方は物理キー402と関連付けられるユーザを識別するために使用される。次にユーザと関連付けられる有効なユーザデバイスが決定される。第二のチャネルでコンファメーションを生成するユーザデバイス502は、物理キー402と関連付けられる有効なユーザデバイスのリストに照合される。ユーザデバイス502が有効なユーザデバイスである場合、オプションの認証メッセージはホームポータルまたはゲートウェイ600を介してユーザの個人情報リポジトリ200に送信される。
【0109】
多様な他の実施形態では、他のデータサービスまたはユーザと関連付けられる情報リポジトリが認証メッセージを受信する。認証メッセージは物理キー402と動的に関連付けられているゲストデバイス302を介してユーザのバケーションビデオ1404へのアクセスを許可するために使用されてよい。本発明による多様な他の実施形態では、多様な他の種類の情報、サービスおよびデバイスへのアクセスの少なくとも一も本発明の範囲から逸脱することなく提供されてよいことが明らかになるであろう。
【0110】
ホテルのテレビであるゲストデバイス302を介したユーザアクセスが許可された後、ユーザはあたかも自分の家庭のテレビの前にいるかのようにホテルのテレビを操作してよい。すなわち、音量および他の制御スイッチがホテルのテレビの制御スイッチにマッピングされる。このようにして、ユーザはホテルの部屋の中でユビキタスに使用可能なデバイスで要求された情報を見ることができる。さらに、既存のテレビ装置のユーザインタフェースは再マッピングされる必要がない。
【0111】
図8は本発明による例示的な動的認証システム100の使用の第一の概要である。物理キー403のユーザは音声ゲストデバイス303との動的関連付けを提案する。ユーザは音声ゲストデバイス303の検知距離内に物理キー403を配置することにより関連付けを提案する。提案された関連付けは動的認証システム100に第一の通信チャネルを介して伝えられる「P_ASSOC(AUDIO(音声),PHYSICAL−KEY(物理キー))」。次にユーザは第二の通信チャネルを介して提案された関連付けを確認する「CONFIRM(P_ASSOC(AUDIO,PHYSICAL−KEY))」。第一の通信チャネルと第二の通信チャネルが同じ通信リンクを利用してもよいし、その場合、異なる暗号化機構または符号化機構、異なる時間を用いてもよいし、あるいは、異なる通信媒体を使用してよいことが明らかであろう。
【0112】
多様な他の実施形態では、ゲストデバイスおよびユーザデバイスの識別子の少なくとも一方はアクセスコントロールリストと照合して認証される。アクセスコントロールリストは提案されている関連付けの候補(candicacy)からデバイスのグループを認証する、または、排除する上で有効である。アクセスコントロールリストは企業、作業グループと関連付けられるサブネットまたは任意の他の識別可能なグループと関連付けられるすべてのデバイスを認証するために使用されてよい。代わりに、ユーザのホームネットワークと関連付けられるインターネットプロトコルアドレス空間の部分がアクセスのために認証されてよい。
【0113】
動的認証システム100は提案されている動的関連付けのコンファメーションを受け取る。動的認証システム100はユーザの個人情報リポジトリ200から情報を受け取るために音声ゲストデバイス303を認証する。例えば、ユーザの物理キーと関連付けられる、ネットワーク使用可能媒体アダプタ型の音声ゲストデバイスは、ユーザの情報リポジトリからMP−3ファイルなどのデジタル音声資産を受け取る。デジタル音声資産はオプションでコピープロテクション変換、ウォーターマーク等を使用してプロテクトされる。これによりユーザは、情報を適切に守る一方でユビキタスに使用可能なデバイスでデジタル資産を使用できる。
【0114】
本発明による多様な他の例示的な実施形態では、低電力のFM送信機とワイファイ(WiFi)接続が物理キーに埋め込まれる。この実施形態では、物理キーはFMまたは他の無線からユーザのデジタル音声ファイルへのアクセスを可能にするために使用できる。これによりユーザは、ワイファイ(WiFi)または他の通信リンクが使用できる任意の位置に、ユーザの個人音声コレクションにアクセスしながら移動できる。
【0115】
図9は、本発明による例示的な動的認証システム100の使用の第二の概要である。物理キー404のユーザはカメラゲストデバイス304との関連付けを提案する。ユーザはカメラゲストデバイス304の検知距離範囲内に物理キー404を配置することにより動的関連付けを提案する。提案された関連付けは動的認証システム100に第一の通信チャネルを介して伝えられる(「P_ASSOC(CAMERA(カメラ),PHYSICAL−KEY(物理キー))」)。ユーザは第二の通信チャネルを介して提案された関連付けを確認する(「CONFIRM(P_ASSOC(CAMERA,PHYSICAL−KEY))」)。第一の通信チャネルと第二の通信チャネルとが同じ通信リンクを利用してもよいし、その場合、異なる暗号化機構または符号化機構、異なる時間を使用してもよく、あるいは、異なる通信媒体を使用してもよいことが明らかであろう。
【0116】
多様な他の実施形態では、ゲストデバイスおよびユーザデバイスの識別子の少なくとも一方がアクセスコントロールリストに照合して認証される。アクセスコントロールリストは提案されている関連付けに対する候補(candidacy)からデバイスのグループを認証するまたは排除する上で有効である。アクセスコントロールリストは、企業、作業グループと関連付けられるサブネットまたは任意の他の識別可能なグループと関連付けられるすべてのデバイスを認証するために使用されてよい。代わりに、ユーザのホームネットワークと関連付けられるインターネットプロトコルアドレススペースの部分がアクセスのために認証される。
【0117】
動的認証システム100は提案されている関連付けのコンファメーションを受け取る。動的認証システム100はユーザの個人情報リポジトリ200から情報を受け取るためにカメラゲストデバイス304を認証する。例えば、ユーザはカメラゲストデバイス304のUSBまたはSDカードスロットの中に物理キー404を入れることによって友人のカメラを借りてよい。
【0118】
ある例示的な実施形態では、物理キーはワイファイ(WiFi)、GPRSまたは他の通信リンクも含む。カメラゲストデバイス304を用いて写真を撮った後、デジタル写真はカメラゲストデバイス304に保存される。記憶された写真は後でユーザの情報リポジトリと同期される、あるいは、物理キーに埋め込まれているWiFi、GPRS、または他の通信媒体を介して送信される。通信可能カメラの通信リンクが、本発明の範囲から逸脱することなく使用されてもよいことが明らかとなるであろう。デジタル写真資産はコピープロテクション変換、ウォーターマーク等を使用してオプションでプロテクトされる。これによりユーザは情報を適切に守る一方でユビキタスに使用可能なデバイスでデジタル資産を使用できる。
【0119】
図10は、本発明による例示的な動的認証システム100の使用の第三の概要である。物理キー404のユーザはデジタル画像処理装置305との関連付けを提案する。ユーザは、デジタル画像処理装置305の感知距離の範囲内に物理キー404を置くことにより関連付けを提案する。提案された関連付け「P_ASSOC(IMAGE−PROCESSOR(画像処理装置),PHYSICAL−KEY(物理キー))」は動的認証システム100に第一の通信チャネルを介して伝えられる。
【0120】
ユーザは第二の通信チャネルを介して提案された関連付けを確認する(「CONFIRM(P_ASSOC(IMAGE−PROCESSOR,PHYSICAL−KEY))」)。第一の通信チャネルと第二の通信チャネルとは同じ通信リンクを使用してよいが、異なる暗号化機構または符号化機構、異なる時間を使用してよく、あるいは異なる通信媒体を使用してよいことが明らかとなるであろう。
【0121】
動的認証システム100は提案された関連付けのコンファメーションを受け取る。動的認証システム100はユーザの個人情報リポジトリ200から情報を受信するためにデジタル画像処理装置305を認証する。例えば、ユーザの物理キー404と関連付けられるデジタル画像処理装置は借用されたゲストカメラからアップロードされるデジタルフィルムまたは写真を受信する。借用されたゲストカメラで撮影されたデジタル写真はユーザの個人情報リポジトリ200にアップロードされる。デジタル写真はコピープロテクション変換、ウォーターマーク等を使用してオプションでプロテクトされる。これによりユーザは情報を適切に守る一方でユビキタスに使用可能なデバイスでデジタル資産を使用できる。
【0122】
認証されたデジタル画像処理装置(ゲストデバイス)305は、ユーザの個人情報リポジトリ200からデジタル写真をリトリーブする。写真は次に高品質写真デジタル画像プロセッサで印刷される。ユーザは不必要に待機せずに所望される高品質の写真印刷を得ることができる。デジタル画像プロセッサは、デジタル画像プロセッサをジョブのセルフサービス的な性質のためにより低いオーバーヘッドでより高いキャパシティで実行させておくことができる。
【0123】
図11は、本発明による例示的な動的認証システム100の使用の第四の概要である。物理キー404のユーザはテレビゲストデバイス306との関連付けを提案する。ユーザはテレビ(音声)ゲストデバイス306の検知距離範囲内に物理キー404を置くことによって関連付けを提案する。提案された関連付け「P_ASSOC(TELEVISION(テレビ),PHYSICAL−KEY(物理キー))」は、第一の通信チャネルを介して動的認証システム100に伝えられる。ユーザは、第二の通信チャネルを介して提案された関連付けを確認する(「CONFIRM(P_ASSOC(TELEVISION,PHYISCAL−KEY))」)。第一の通信チャネルと第二の通信チャネルは同じ通信リンクを利用してよいが、異なる暗号化機構または符号化機構、異なる時間を用いてよく、あるいは異なる通信媒体を使用してよいことが明らかであろう。
【0124】
動的認証システム100は提案されている関連付けのコンファメーションを受け取る。動的認証システム100はユーザの個人情報リポジトリ200から情報を受け取るためにテレビデバイス306を認証する。例えば、ユーザの物理キーと関連付けられたネットワーク使用可能テレビゲストデバイスはユーザの情報リポジトリ200からMP−4ファイルなどのデジタルビデオ情報を受信する。デジタルビデオ情報はコピープロテクション変換、ウォーターマーク等を使用してオプションでプロテクトされる。これによりユーザは情報を適切に守る一方でユビキタスに使用可能なデバイスでデジタル情報を使用できる。
【0125】
図12は、本発明による例示的な動的認証システム100の使用の第五の概要である。物理キー404のユーザはサービス機関ゲストデバイス307との関連付けを提案する。ユーザは、サービス機関(多機能)デバイス307の検知距離範囲内に物理キー404を配置することによって関連付けを提案する。提案された関連付け「P_ASSOC(SERVICE−BUREAU−MULTIFUNCTION−DEVICE(サービス機関多機能デバイス),PHYSICAL−KEY(物理キー))」は動的認証システム100に第一の通信チャネルを介して伝えられる。ユーザは提案された関連付けを第二の通信チャネルを介して確認する(「CONFIRM(P_ASSOC(SERVICE−BUREAU−MULTIFUNCTION−DEVICE,PHYSICAL−KEY))」)。第一の通信チャネルおよび第二の通信チャネルは同じ通信リンクを利用してよいが、異なる暗号化機構または符号化機構、異なる時間を用いてもよく、あるいは異なる通信媒体を使用してよいことが明らかとなるであろう。
【0126】
動的認証システム100は提案された関連付けのコンファメーションを受け取る。動的認証システム100はユーザの個人情報リポジトリ200から情報を受け取るためにサービス機関の多機能ゲストデバイス307を認証する。例えば、大きな印刷製本ジョブは、情報が生産施設全体においてデジタル形式で残っているためにセルフサービスを介して迅速に促進される。すなわち、ユーザは所望されるオプションを選択し、ユーザの物理キー404を高容量プリンタおよびバインダ(紙とじ機)の少なくとも一方と関連付け、ユーザデバイス500を介して該関連付けを確認しさえすればよい。選択されたドキュメントはデジタル形式で迅速にリトリーブされ、プリンタジョブおよびバインダジョブの少なくとも一方のために適切に変換され、印刷されるか、製本されるか、または、印刷され製本される。オプションの実施形態では、機密ドキュメントは暗号化され、印刷時にのみ復号化される。セッション識別子は、プロテクトされている資産の記憶されているコピーが物理キー404との関連付けでのみアクセスできることを確認するために使用される。印刷および製本ジョブの一方または双方が終了すると、物理キーは削除される。プロテクトされている資産の記憶されているコピーは物理キーに記憶されるセッション識別子がアクセス不可であるためアクセス不可とされる。
【0127】
図13は本発明による動的認証システム100の使用の第六の例示的な概要である。動的認証システムは情報リポジトリ210、ユーザ携帯電話500、および暗号化ドキュメント1400を含むラップトップ型コンピュータ308に通信リンク99を介して接続される。
【0128】
暗号化ドキュメントは情報リポジトリ210、物理キー405、および通信リンク99を介してアクセス可能な任意の位置の少なくとも一に記憶されてよい。ユーザは事前のステップで物理キー405と関連付けられる。デジタルライブラリ購読、協働ドキュメントなどのユーザ特定の情報およびサービスの少なくとも一方はユーザの物理キー405と関連付けられている。
【0129】
ある実施形態では、ラップトップ型コンピュータ300には暗号化ドキュメント1400がロードされる。有効な物理キーを有する協働ユーザが協働ラップトップ型ゲストデバイス308との動的関連付けを提案する。動的関連付けはラップトップ型ゲストデバイス308のUSBレセプタクルの中にUSB物理キー405を挿入することにより生成される。しかしながら、物理キー405とラップトップ型ゲストデバイス308とを関連付ける任意の手段も本発明の実践で使用されてよい。
【0130】
例えば、USB物理キー405を差し込むと第一のチャネルまたは通信リンクを介して動的認証システムへ提案される動的関連付けの伝達をトリガしてよい。携帯電話ユーザデバイス500は次に第二のチャネルまたは通信リンクを介して提案された関連付けを確認するために使用される。動的認証システムは、ユーザが情報源のリストおよびユーザと予め関連付けられたサービスの少なくとも一方に基づいて暗号化ドキュメント1400をリトリーブすることを許可されていることを検証する。
【0131】
セッション識別子または一時的なアクセスキーを含む認証メッセージは、ユーザが許可されたユーザでありゲストデバイスが有効なデバイスである場合にはラップトップ308に転送される。セッション識別子は、通常、一時的な期間の間アクセスを可能にする。ラップトップ型コンピュータ308が紛失された場合または盗まれた場合、ラップトップ型コンピュータと関連付けられるデバイス識別子はユーザおよびユーザの物理キーの少なくとも一方と関連付けられた有効なゲストデバイスのリストから削除される。有効なセッション識別子は、盗まれた物理キー405が存在しても、もはや生成できないため、デバイス識別子の削除は、ラップトップ型コンピュータ308上に記憶されている暗号化ドキュメント1400へのアクセスを防止する。暗号化ドキュメントに対するユーザのアクセス権を無効にすること、または、更新すること、もしくは、無効にし、更新すること、は、ユーザ、物理キー、およびユーザデバイス間の予め決定された関連付けを削除すること、または、調整すること、もしくは、削除し、調整することによって達成される。
【0132】
本発明による多様な他の例示的な実施形態では、暗号化ドキュメントが物理キー405、ラップトップ型コンピュータ308、情報リポジトリ210および通信リンク99を介してアクセス可能な任意の他の場所の少なくとも一に位置してよいことは明らかであろう。
【0133】
本発明は概略された例示的な実施形態とともに説明されてきたが、多くの代替策、変型および変形が当業者にとって明らかである。したがって、本発明の例示的な実施形態は、本発明を制限することではなく、本発明を例示することを目的としている。本発明の精神および範囲から逸脱することなく多様な変更が加えられてよい。
【図面の簡単な説明】
【0134】
【図1】本発明による例示的な動的認証システムの使用の概要である。
【図2】本発明による動的認証の例示的な方法のフローチャートである。
【図3】本発明による動的認証の例示的なシステムである。
【図4】本発明による第一の関連付けを記憶するための例示的なデータ構造を示す。
【図5】本発明による物理キー情報を記憶するための例示的なデータ構造を示す。
【図6】本発明によるアクセスコントロール情報を記憶するための例示的なデータ構造である。
【図7】本発明による情報の流れの例示的な概要である。
【図8】本発明による例示的な動的認証システムの使用の第一の概要である。
【図9】本発明による例示的な動的認証システムの使用の第二の概要である。
【図10】本発明による例示的な動的認証システムの使用の第三の概要である。
【図11】本発明による例示的な動的認証システムの使用の第四の概要である。
【図12】本発明による例示的な動的認証システムの使用の第五の概要である。
【図13】本発明による例示的な動的認証システムの使用の第六の概要である。
【符号の説明】
【0135】
20 メモリ
30 プロセッサ
40 ユーザデバイス決定回路
60 ゲストデバイス決定回路
70 デバイス関連付け決定回路
200 情報リポジトリ
301 通信可能パーソナルコンピュータゲストデバイス
501 携帯電話ユーザデバイス
1000〜1002 ドキュメント
【特許請求の範囲】
【請求項1】
(a)ユーザグループ、ユーザデバイスおよび少なくとも一の物理キーの間の関連付けの第一セットを決定し、
(b)ゲストデバイスとユーザの物理キーとの間の提案された動的関連付けを、該物理キーの存在に基づいて、第一の通信チャネルを介して決定し、
(c)提案された前記動的関連付けのユーザ確認を、第二の通信チャネルを介して、決定し、
(d)前記ユーザデバイスのユーザに関連付けられた情報およびサービスの少なくとも一へのアクセスのために、前記動的関連付け、前記ユーザ確認、および関連付けの前記第一セットに基づいて、前記ゲストデバイスを認証する、
動的認証方法。
【請求項2】
前記第一の通信チャネルが前記物理キーにより提供される、請求項1に記載の動的認証方法。
【請求項3】
前記第一の通信チャネルが前記ゲストデバイスにより提供される、請求項1に記載の動的認証方法。
【請求項4】
前記物理キーが、前記ゲストデバイスに接続するためのコンタクトベースコネクタおよびコンタクトレスコネクタの少なくとも一をさらに含む、請求項1に記載の動的認証方法。
【請求項5】
前記コンタクトベースコネクタが、USBポート、メモリスティック(Memorystick)ポート、シリアルポート、パラレルポート、セキュアカード(Secure Card)ポート、コンパクトフラッシュ(登録商標)カードポート、スマートカードポート、およびPCカードポート、の少なくとも一である、請求項4に記載の動的認証方法。
【請求項6】
前記コンタクトレスコネクタが、ブルートゥース(Bluetooth)コネクタ、RFIDコネクタ、ワイファイ(WiFi)コネクタ、ワイマックス(WiMax)コネクタ、赤外線コネクタ、の少なくとも一である、請求項4に記載の動的認証方法。
【請求項7】
前記ユーザ情報が前記ゲストデバイスへの伝送の前に変換される、請求項1に記載の動的認証方法。
【請求項8】
前記変換が、デジタルウォーターマークを適用するコピープロテクション変換およびステガノグラフィック変換の少なくとも一である、請求項7に記載の動的認証方法。
【請求項9】
ゲストデバイスである動作可能なユーザデバイスセットが、アクセスコントロールリストに基づいて、決定される、請求項1に記載の動的認証方法。
【請求項10】
ゲストデバイスが、固定電話、ボイスオーバIP電話、パーソナルデジタルアシスタント、イネーブルされた音楽プレーヤ、無線送信機、デジタルカメラ、ビデオカメラ、パーソナルミュージックプレーヤ、パーソナルビデオプレーヤ、テレビ、プリンタおよびコンピュータ、の少なくとも一である、請求項1に記載の動的認証方法。
【請求項11】
ユーザグループ、ユーザデバイスおよび少なくとも一の物理キーの間の関連付けの第一セットを記憶するメモリと、
プロセッサと、
前記物理キーの存在に基づいて、ゲストデバイスとユーザの物理キーとの間の提案された動的関連付けを、第一の通信チャネルを介して、受信する入出力手段と、
を備え、
該プロセッサは、
第二の通信チャネルを介して提案された前記動的関連付けのユーザ確認を取得するユーザ確認手段と、
前記ユーザデバイスのユーザに関連付けられた情報およびサービスの少なくとも一へのアクセスのために、前記動的関連付け、前記ユーザ確認、および関連付けの前記第一セットに基づいて、前記ゲストデバイスを認証するゲストデバイス決定手段と、
を備える、
動的認証システム。
【請求項12】
前記第一の通信チャネルが前記物理キーにより提供される、請求項11に記載の動的認証システム。
【請求項13】
前記第一の通信チャネルが前記ゲストデバイスにより提供される、請求項11に記載の動的認証システム。
【請求項14】
前記物理キーが、前記ゲストデバイスに接続するためのコンタクトベースコネクタおよびコンタクトレスコネクタの少なくとも一をさらに含む、請求項11に記載の動的認証システム。
【請求項15】
前記コンタクトベースコネクタが、USBポート、メモリスティック(Memorystick)ポート、シリアルポート、パラレルポート、セキュアカード(Secure Card)ポート、コンパクトフラッシュ(登録商標)カードポート、スマートカードポート、およびPCカードポート、の少なくとも一である、請求項14に記載の動的認証システム。
【請求項16】
前記コンタクトレスコネクタがブルートゥース(Bluetooth)コネクタ、RFIDコネクタ、ワイファイ(WiFi)コネクタ、ワイマックス(WiMax)コネクタ、および赤外線コネクタ、の少なくとも一である、請求項14に記載の動的認証システム。
【請求項17】
前記ユーザ情報が前記ゲストデバイスへの伝送の前に変換される、請求項11に記載の動的認証システム。
【請求項18】
前記変換が、デジタルウォーターマークを適用するコピープロテクション変換およびステガノグラフィック変換の少なくとも一である、請求項17に記載の動的認証システム。
【請求項19】
ゲストデバイスである動作可能なユーザデバイスセットが、アクセスコントロールリストに基づいて、決定される、請求項11に記載の動的認証システム。
【請求項20】
前記ゲストデバイスが、固定電話、ボイスオーバIP電話、パーソナルデジタルアシスタント、イネーブルされた音楽プレーヤ、無線送信機、デジタルカメラ、ビデオカメラ、パーソナルミュージックプレーヤ、パーソナルビデオプレーヤ、テレビ、プリンタおよびコンピュータ、の少なくとも一である、請求項11に記載の動的認証システム。
【請求項21】
デバイスを動的に認証するようにコンピュータをプログラミングするために使用可能な制御プログラムであって、
ユーザグループ、ユーザデバイスおよび少なくとも一の物理キーの間の関連付けの第一セットを決定する命令と、
ゲストデバイスとユーザの物理キーとの間の提案された動的関連付けを、前記物理キーの存在に基づいて、第一の通信チャネルを介して、決定する命令と、
提案された前記動的関連付けのユーザ確認を、第二の通信チャネルを介して、決定する命令と、
前記ユーザデバイスのユーザと関連付けられている情報およびサービスの少なくとも一へのアクセスのために、前記動的関連付け、前記ユーザ確認、および関連付けの前記第一セットに基づいて、前記ゲストデバイスを認証する命令と、
を含む、制御プログラム。
【請求項22】
ユーザをデータサービスに対して動的に認証するための物理キーであって、
前記物理キーを識別する物理キー識別子と、
前記物理キー識別子に基づいて、ゲストデバイスとの動的関連付けを提案するためのコネクタと、
を備える物理キー。
【請求項23】
前記コネクタが、コンタクトベースコネクタおよびコンタクトレスコネクタの少なくとも一である、請求項22に記載の物理キー。
【請求項24】
前記物理キーが、提案された前記動的関連付けを伝えるために動作可能な第一の通信リンクを備える、請求項22に記載の物理キー。
【請求項25】
(d)が、
前記物理キーと関連付けられる前記ユーザを決定し、
前記物理キーと関連付けられる少なくとも一のデータサービスを決定し、
前記ゲストデバイスの動的認証に基づいて、前記データサービスへのユーザアクセスを認証する、
ことを含む、
請求項1に記載の動的認証方法。
【請求項26】
前記データサービスがコンピュータに含まれる情報のリポジトリである、請求項25に記載の動的認証方法。
【請求項27】
前記コンピュータが、ポータブルコンピュータ、ポータブルでないコンピュータ、の少なくとも一である、請求項26に記載の動的認証方法。
【請求項28】
ポータブルでない前記コンピュータが、サーバ、協働サーバ、情報リポジトリおよびデジタルライブラリ、の少なくとも一である、請求項27に記載の動的認証方法。
【請求項29】
前記ユーザ情報およびサービスが、前記認証に基づいて、暗号化および復号化される、請求項1に記載の動的認証方法。
【請求項30】
前記復号化が一時的な復号化である、請求項29に記載の動的認証方法。
【請求項31】
前記ユーザ情報およびサービスが、前記物理キー、前記ゲストデバイスおよび遠隔場所、の少なくとも一に位置する、請求項1に記載の動的認証方法。
【請求項32】
関連付けの前記第一セットが、認証権を変更するように修正される、請求項1に記載の動的認証方法。
【請求項33】
前記ユーザ情報およびサービスが、前記認証に基づいて、暗号化および復号化される、請求項11に記載の動的認証システム。
【請求項34】
前記復号化が一時的な復号化である、請求項33に記載の動的認証システム。
【請求項35】
前記ユーザ情報およびサービスが、前記物理キー、前記ゲストデバイスおよび遠隔場所、の少なくとも一に位置する、請求項11に記載の動的認証システム。
【請求項36】
関連付けの前記第一セットが認証権を変更するように修正される、請求項11に記載の動的認証システム。
【請求項37】
確認された前記動的関連付けが、前記ユーザデバイスおよび前記物理キーの少なくとも一によってサポートされるセッション識別子と関連付けられる、請求項1に記載の動的認証方法。
【請求項38】
前記セッション識別子が、可変である時間間隔で検証される、請求項37に記載の動的認証方法。
【請求項39】
確認された前記動的関連付けが、前記ユーザデバイスおよび前記物理キーの少なくとも一によってサポートされるセッション識別子と関連付けられる、請求項11に記載の動的認証システム。
【請求項40】
前記セッション識別子が、可変である時間間隔で検証される、請求項39に記載の動的認証システム。
【請求項41】
物理キーと少なくとも一のユーザデバイスとの間の予め指定されている関連付けをリトリーブするための識別子と、
ゲストデバイスとの動的関連付けを提案するためのコネクタと、
を含み、
提案された前記動的関連付けが、物理キーおよび前記ゲストデバイスの少なくとも一と関連付けられている通信リンクを介して、伝えられる、
データシステムとともに使用可能な物理キー。
【請求項42】
請求項1に記載の動的認証方法により認証されるサービス。
【請求項1】
(a)ユーザグループ、ユーザデバイスおよび少なくとも一の物理キーの間の関連付けの第一セットを決定し、
(b)ゲストデバイスとユーザの物理キーとの間の提案された動的関連付けを、該物理キーの存在に基づいて、第一の通信チャネルを介して決定し、
(c)提案された前記動的関連付けのユーザ確認を、第二の通信チャネルを介して、決定し、
(d)前記ユーザデバイスのユーザに関連付けられた情報およびサービスの少なくとも一へのアクセスのために、前記動的関連付け、前記ユーザ確認、および関連付けの前記第一セットに基づいて、前記ゲストデバイスを認証する、
動的認証方法。
【請求項2】
前記第一の通信チャネルが前記物理キーにより提供される、請求項1に記載の動的認証方法。
【請求項3】
前記第一の通信チャネルが前記ゲストデバイスにより提供される、請求項1に記載の動的認証方法。
【請求項4】
前記物理キーが、前記ゲストデバイスに接続するためのコンタクトベースコネクタおよびコンタクトレスコネクタの少なくとも一をさらに含む、請求項1に記載の動的認証方法。
【請求項5】
前記コンタクトベースコネクタが、USBポート、メモリスティック(Memorystick)ポート、シリアルポート、パラレルポート、セキュアカード(Secure Card)ポート、コンパクトフラッシュ(登録商標)カードポート、スマートカードポート、およびPCカードポート、の少なくとも一である、請求項4に記載の動的認証方法。
【請求項6】
前記コンタクトレスコネクタが、ブルートゥース(Bluetooth)コネクタ、RFIDコネクタ、ワイファイ(WiFi)コネクタ、ワイマックス(WiMax)コネクタ、赤外線コネクタ、の少なくとも一である、請求項4に記載の動的認証方法。
【請求項7】
前記ユーザ情報が前記ゲストデバイスへの伝送の前に変換される、請求項1に記載の動的認証方法。
【請求項8】
前記変換が、デジタルウォーターマークを適用するコピープロテクション変換およびステガノグラフィック変換の少なくとも一である、請求項7に記載の動的認証方法。
【請求項9】
ゲストデバイスである動作可能なユーザデバイスセットが、アクセスコントロールリストに基づいて、決定される、請求項1に記載の動的認証方法。
【請求項10】
ゲストデバイスが、固定電話、ボイスオーバIP電話、パーソナルデジタルアシスタント、イネーブルされた音楽プレーヤ、無線送信機、デジタルカメラ、ビデオカメラ、パーソナルミュージックプレーヤ、パーソナルビデオプレーヤ、テレビ、プリンタおよびコンピュータ、の少なくとも一である、請求項1に記載の動的認証方法。
【請求項11】
ユーザグループ、ユーザデバイスおよび少なくとも一の物理キーの間の関連付けの第一セットを記憶するメモリと、
プロセッサと、
前記物理キーの存在に基づいて、ゲストデバイスとユーザの物理キーとの間の提案された動的関連付けを、第一の通信チャネルを介して、受信する入出力手段と、
を備え、
該プロセッサは、
第二の通信チャネルを介して提案された前記動的関連付けのユーザ確認を取得するユーザ確認手段と、
前記ユーザデバイスのユーザに関連付けられた情報およびサービスの少なくとも一へのアクセスのために、前記動的関連付け、前記ユーザ確認、および関連付けの前記第一セットに基づいて、前記ゲストデバイスを認証するゲストデバイス決定手段と、
を備える、
動的認証システム。
【請求項12】
前記第一の通信チャネルが前記物理キーにより提供される、請求項11に記載の動的認証システム。
【請求項13】
前記第一の通信チャネルが前記ゲストデバイスにより提供される、請求項11に記載の動的認証システム。
【請求項14】
前記物理キーが、前記ゲストデバイスに接続するためのコンタクトベースコネクタおよびコンタクトレスコネクタの少なくとも一をさらに含む、請求項11に記載の動的認証システム。
【請求項15】
前記コンタクトベースコネクタが、USBポート、メモリスティック(Memorystick)ポート、シリアルポート、パラレルポート、セキュアカード(Secure Card)ポート、コンパクトフラッシュ(登録商標)カードポート、スマートカードポート、およびPCカードポート、の少なくとも一である、請求項14に記載の動的認証システム。
【請求項16】
前記コンタクトレスコネクタがブルートゥース(Bluetooth)コネクタ、RFIDコネクタ、ワイファイ(WiFi)コネクタ、ワイマックス(WiMax)コネクタ、および赤外線コネクタ、の少なくとも一である、請求項14に記載の動的認証システム。
【請求項17】
前記ユーザ情報が前記ゲストデバイスへの伝送の前に変換される、請求項11に記載の動的認証システム。
【請求項18】
前記変換が、デジタルウォーターマークを適用するコピープロテクション変換およびステガノグラフィック変換の少なくとも一である、請求項17に記載の動的認証システム。
【請求項19】
ゲストデバイスである動作可能なユーザデバイスセットが、アクセスコントロールリストに基づいて、決定される、請求項11に記載の動的認証システム。
【請求項20】
前記ゲストデバイスが、固定電話、ボイスオーバIP電話、パーソナルデジタルアシスタント、イネーブルされた音楽プレーヤ、無線送信機、デジタルカメラ、ビデオカメラ、パーソナルミュージックプレーヤ、パーソナルビデオプレーヤ、テレビ、プリンタおよびコンピュータ、の少なくとも一である、請求項11に記載の動的認証システム。
【請求項21】
デバイスを動的に認証するようにコンピュータをプログラミングするために使用可能な制御プログラムであって、
ユーザグループ、ユーザデバイスおよび少なくとも一の物理キーの間の関連付けの第一セットを決定する命令と、
ゲストデバイスとユーザの物理キーとの間の提案された動的関連付けを、前記物理キーの存在に基づいて、第一の通信チャネルを介して、決定する命令と、
提案された前記動的関連付けのユーザ確認を、第二の通信チャネルを介して、決定する命令と、
前記ユーザデバイスのユーザと関連付けられている情報およびサービスの少なくとも一へのアクセスのために、前記動的関連付け、前記ユーザ確認、および関連付けの前記第一セットに基づいて、前記ゲストデバイスを認証する命令と、
を含む、制御プログラム。
【請求項22】
ユーザをデータサービスに対して動的に認証するための物理キーであって、
前記物理キーを識別する物理キー識別子と、
前記物理キー識別子に基づいて、ゲストデバイスとの動的関連付けを提案するためのコネクタと、
を備える物理キー。
【請求項23】
前記コネクタが、コンタクトベースコネクタおよびコンタクトレスコネクタの少なくとも一である、請求項22に記載の物理キー。
【請求項24】
前記物理キーが、提案された前記動的関連付けを伝えるために動作可能な第一の通信リンクを備える、請求項22に記載の物理キー。
【請求項25】
(d)が、
前記物理キーと関連付けられる前記ユーザを決定し、
前記物理キーと関連付けられる少なくとも一のデータサービスを決定し、
前記ゲストデバイスの動的認証に基づいて、前記データサービスへのユーザアクセスを認証する、
ことを含む、
請求項1に記載の動的認証方法。
【請求項26】
前記データサービスがコンピュータに含まれる情報のリポジトリである、請求項25に記載の動的認証方法。
【請求項27】
前記コンピュータが、ポータブルコンピュータ、ポータブルでないコンピュータ、の少なくとも一である、請求項26に記載の動的認証方法。
【請求項28】
ポータブルでない前記コンピュータが、サーバ、協働サーバ、情報リポジトリおよびデジタルライブラリ、の少なくとも一である、請求項27に記載の動的認証方法。
【請求項29】
前記ユーザ情報およびサービスが、前記認証に基づいて、暗号化および復号化される、請求項1に記載の動的認証方法。
【請求項30】
前記復号化が一時的な復号化である、請求項29に記載の動的認証方法。
【請求項31】
前記ユーザ情報およびサービスが、前記物理キー、前記ゲストデバイスおよび遠隔場所、の少なくとも一に位置する、請求項1に記載の動的認証方法。
【請求項32】
関連付けの前記第一セットが、認証権を変更するように修正される、請求項1に記載の動的認証方法。
【請求項33】
前記ユーザ情報およびサービスが、前記認証に基づいて、暗号化および復号化される、請求項11に記載の動的認証システム。
【請求項34】
前記復号化が一時的な復号化である、請求項33に記載の動的認証システム。
【請求項35】
前記ユーザ情報およびサービスが、前記物理キー、前記ゲストデバイスおよび遠隔場所、の少なくとも一に位置する、請求項11に記載の動的認証システム。
【請求項36】
関連付けの前記第一セットが認証権を変更するように修正される、請求項11に記載の動的認証システム。
【請求項37】
確認された前記動的関連付けが、前記ユーザデバイスおよび前記物理キーの少なくとも一によってサポートされるセッション識別子と関連付けられる、請求項1に記載の動的認証方法。
【請求項38】
前記セッション識別子が、可変である時間間隔で検証される、請求項37に記載の動的認証方法。
【請求項39】
確認された前記動的関連付けが、前記ユーザデバイスおよび前記物理キーの少なくとも一によってサポートされるセッション識別子と関連付けられる、請求項11に記載の動的認証システム。
【請求項40】
前記セッション識別子が、可変である時間間隔で検証される、請求項39に記載の動的認証システム。
【請求項41】
物理キーと少なくとも一のユーザデバイスとの間の予め指定されている関連付けをリトリーブするための識別子と、
ゲストデバイスとの動的関連付けを提案するためのコネクタと、
を含み、
提案された前記動的関連付けが、物理キーおよび前記ゲストデバイスの少なくとも一と関連付けられている通信リンクを介して、伝えられる、
データシステムとともに使用可能な物理キー。
【請求項42】
請求項1に記載の動的認証方法により認証されるサービス。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【公開番号】特開2006−302292(P2006−302292A)
【公開日】平成18年11月2日(2006.11.2)
【国際特許分類】
【出願番号】特願2006−116172(P2006−116172)
【出願日】平成18年4月19日(2006.4.19)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Bluetooth
【出願人】(000005496)富士ゼロックス株式会社 (21,908)
【Fターム(参考)】
【公開日】平成18年11月2日(2006.11.2)
【国際特許分類】
【出願日】平成18年4月19日(2006.4.19)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Bluetooth
【出願人】(000005496)富士ゼロックス株式会社 (21,908)
【Fターム(参考)】
[ Back to top ]