JP2008517384A5

JP2008517384A5 -

Info

Publication number: JP2008517384A5
Application number: JP2007536963A
Authority: JP
Filing date: 2005-10-17
Publication date: 2012-02-16
Anticipated expiration: 2025-10-17

Description

以下の表記法をシンボルに使用する。
Ｃは、８バイトのカウンタ値、ムービング係数である。このカウンタは、ＯＴＰ発生器（例えば、クライアント）とＯＴＰバリデイター（例えば、サーバ）との間を同期化させることができる。
Ｋは、クライアントとサーバとの間の共有シークレットである。各ＯＴＰ発生器は、異なった一意的なシークレットＫを有することができる。
Ｔは、スロットルパラメータである。サーバは、Ｔ回の認証試行の不成功の後にユーザからの接続を拒否できる、でなければ、所定の源からの過剰な数の妥当性確認試行を示すスロットル信号を受け取り人に送ることができる。
ｓは、再同期化パラメータである。サーバは、ｓ個の連続的なカウンタ値にわたって、受け取った認証符号の確認を試みることができる。
Digitは、ＯＴＰ値の桁数であり、この桁数はシステムパラメータであってもよい。
本発明にしたがったＯＴＰアルゴリズムは、トークンおよびバリデーションサービスのみに知られている、増加するカウンタ値および静的対称キーに基づくことができる。ＯＴＰ値を生成するために、１９９７年２月にM. Bellare氏, R.Canetti氏、およびH. Krawczyk氏によって出されたIETF Network Working GroupのRFC 2104の“HMAC: Keyed−Hashing for Message Authentication”において規定されているように、ＨＭＭＡＣ−ＳＨＡ−１アルゴリズムを使用できる。

ＨＭＡＣ−ＳＨＡ１の計算の出力は１６０ビットであり、これは、ユーザによって容易に入力できるサイズに切り捨てることができる値である。したがって、
ＨＯＴＰ（Ｋ,Ｃ）＝Ｔｒｕｎｃａｔｅ(ＨＭＡＣ−ＳＨＡ−１(Ｋ,Ｃ))となる。
ここで、Ｔｒｕｎｃａｔｅは、ＨＭＡＣ−ＳＨＡ−１値をＨＭＡＣ−ＳＨＡ−１ＯＴＰ(ＨＯＴＰ)値に変換する関数を示している。キー（Ｋ）、カウンタ（Ｃ）およびデータ値は、最初に上位バイトをハッシュすることができる。ＨＯＴＰ発生器によって発生されたＨＯＴＰ値をビッグエンディアンとして取り扱うことができる。

Ｔｒｕｎｃａｔｅ関数は、ステップ２およびステップ３、すなわち、動的な切り捨てをし、そして１０＾Digitを法とした還元を行なう。動的オフセット切り捨て技術の目的は、１６０ビット（２０バイト）ＨＭＡＣ−ＳＨＡ１の結果から、４バイトの動的なバイナリコードを取り出すことである。

あらゆるワンタイムパスワードアルゴリズムは、ワンタイムパスワードアルゴリズムを実現するアプリケーションおよび認証プロトコルと同じ程度の安全性であるにすぎない。パラメータＴおよびｓは、安全性に対して重大な影響を与えることがある。ＨＭＡＣ−ＳＨＡ−１値をより短い値に切り捨てることは、総当り攻撃を可能にする。それゆえ、認証サーバは、総当り攻撃を検出して阻止すべきである。ワンタイムパスワードの妥当性確認の実行可能な試行の最大数を規定するスロットルパラメータＴは、適切な小さい数に設定すべきである。バリデーションサーバは、何らかの失敗した試行に気付くために、ＨＯＴＰデバイス毎に個々のカウンタを管理できる。特に、サーバ上で使用される再同期化の方法がウィンドウベースである場合に、そして、ウィンドウサイズが大きい場合に、Ｔを大きすぎるものとすべきではない。Ｔは、ユーザビリティにあまり悪影響を及ばさない限り、できるだけ低く設定すべきである。

ここで、
−Ｓｅｃは、敵対者の成功の確率である。
−ｓは、ルックアヘッド同期化ウィンドウのサイズを表す。
−ｖは、妥当性確認試行の数を表す。
−Digitは、ＨＯＴＰ値の桁数を表す。

／**
* この方法は、所定の組のパラメータに対して
* ＯＴＰ値を発生させる。
*
* ＠param secret 共有シークレット
* ＠param movingFactor 使用ベースで変化する
* カウンタ、時間、または他の値
* ＠param codeDigit もしあれば、
* チェックサムを含まないＯＴＰの桁数
* ＠param addCheksum チェックサムの数字をＯＴＰに
* 追加すべきか否かを示すフラグ
* ＠param truncationOffset 切り捨てを開始するために
* ＭＡＣ結果に入れるオフセット
* この値が０．．．１５の範囲外である場合、
* 動的切り捨てが使用される。
* ＭＡＣの最後のバイトの最後の４ビットが
* 開始オフセットを決定するために
* 使用されるときに動的切り捨てである。
* ＠throws NoSuchAlgorithmException プロバイダが、ＨｍａｃＳＨＡ１または
* ＨＭＡＣ−ＳＨ１ダイジェストアルゴリズム
* のいずれも利用可能にしない場合
* ＠throws InvalidKeyException
* 提供されたシークレットが、
* 有効なＨＭＡＣ−ＳＨＡ１キーでなかった。

Claims

認証システムにおいて、
トークンメモリに結合され、前記トークンメモリは、共有シークレットキーＫとトークンカウンタ値Ｃとを記憶し、前記トークンメモリは、トークンプロセッサによって実行され、ワンタイムパスワードを発生させるように適合されている命令をさらに記憶するトークンプロセッサと、
バリデーションサーバメモリに結合され、前記バリデーションサーバメモリは、共有シークレットキーＫとバリデーションサーバカウンタ値Ｃ’とを記憶するバリデーションサーバとを具備し、
前記トークンプロセッサは、キーＫおよびカウンタ値Ｃに基づいてＨＭＡＣ−ＳＨＡ−１値を発生させ、ＨＭＡＣ−ＳＨＡ−１値の下位４ビットに基づいてストリング値を発生させ、発生されたストリング値の最上位ビットをマスキングし、Digitがワンタイムパスワードの桁数である、１０＾Digitを法として、マスキングされた値を切り捨てることによって、ワンタイムパスワードを計算するとともに、妥当性確認のために、ワンタイムパスワードをバリデーションサーバに送る、認証システム。
前記バリデーションサーバメモリは、ルックアヘッドウィンドウパラメータｓをさらに記憶し、前記バリデーションサーバメモリの命令は、バリデーションサーバプロセッサによって実行され、前記バリデーションサーバによって計算されたワンタイムパスワードが、トークンから受け取ったワンタイムパスワードと整合するまで、すなわち、ｎが１からｓの整数である、ｎ＝ｓとなるまで、ＫおよびＣ’＋ｎに基づいて、ワンタイムパスワードを計算する請求項１記載のシステム。
受け取ったワンタイムパスワードと計算されたワンタイムパスワードとの間に整合がない場合に、失敗した妥当性確認試行を示す信号をトークンプロセッサに送る請求項２記載のシステム。
受け取ったワンタイムパスワードと計算されたワンタイムパスワードとの間に整合がある場合に、前記バリデーションサーバプロセッサが妥当性確認の成功を示す信号をトークンプロセッサに送る請求項２記載のシステム。
前記バリデーションサーバメモリは、スロットルパラメータＴをさらに記憶し、失敗した妥当性確認試行の数がＴと等しい場合にスロットル信号がトークンプロセッサに送られる請求項３記載のシステム。
前記バリデーションサーバメモリは、スロットルパラメータＴをさらに記憶し、失敗した妥当性確認試行の数がＴと等しい場合にさらなる妥当性確認試行が中止される請求項１記載のシステム。
バリデーションサーバにおいて、
プロセッサと、
前記プロセッサに結合されているメモリとを具備し、
前記メモリは、
共有シークレットキーＫと、バリデーションサーバカウンタ値Ｃ’と、命令とを記憶し、
前記命令は、
前記プロセッサによって実行され、ワンタイムパスワードをトークンから受け取り、キーＫおよびカウンタ値Ｃ’に基づいてＨＭＡＣ−ＳＨＡ−１値を発生させ、ＨＭＡＣ−ＳＨＡ−１値の下位４ビットに基づいてストリング値を発生させ、発生されたストリング値の最上位ビットをマスキングし、Digitがワンタイムパスワードの桁数である、１０＾Digitを法として、マスキングされた値を切り捨てることによって、ワンタイムパスワードを計算して、計算されたワンタイムパスワードをトークンから受け取ったワンタイムパスワードと比較するとともに、比較結果を示す信号をトークンに送るように適合されているバリデーションサーバ。
前記メモリはルックアヘッドウィンドウパラメータｓをさらに記憶し、前記計算されたワンタイムパスワードが前記トークンから受け取ったワンタイムパスワードと整合しない場合に、前記バリデーションサーバは、ｎが１からｓの整数である、カウンタ値Ｃ’＋ｎおよびキーＫに基づいてワンタイムパスワードを計算する請求項７記載のバリデーションサーバ。
前記受け取ったワンタイムパスワードが前記計算されたワンタイムパスワードと整合しない場合に、失敗した妥当性確認試行を示す信号をトークンに送る請求項８記載のバリデーションサーバ。
前記受け取ったワンタイムパスワードが前記計算されたワンタイムパスワードと整合しない場合に、妥当性確認の成功を示す信号をトークンに送る請求項８記載のバリデーションサーバ。
前記メモリは、スロットルパラメータＴを記憶し、Ｔ回失敗した妥当性確認試行の後にトークンからのさらなる妥当性確認試行が中止される請求項８記載のバリデーションサーバ。
キーＫおよびカウンタ値Ｃに基づいてＨＭＡＣ−ＳＨＡ−１値を発生させ、ＨＭＡＣ−ＳＨＡ−１値の下位４ビットに基づいてストリング値を発生させ、発生されたストリング値の最上位ビットをマスキングし、Digitがワンタイムパスワードの桁数である、１０＾Digitを法として、マスキングされた値を切り捨てることによって、トークンによって生成されたワンタイムパスワードを確認する方法において、
キーＫおよびカウンタ値Ｃ’に基づいてＨＭＡＣ−ＳＨＡ−１値を発生させることによって、受け取ったワンタイムパスワードと比較するワンタイムパスワードを計算することと、
ＨＭＡＣ−ＳＨＡ−１値の下位４ビットに基づいてストリング値を発生させることと、
発生されたストリング値の最上位ビットをマスキングすることと、
Digitがワンタイムパスワードの桁数である、１０＾Digitを法として、マスキングされた値を切り捨てることと、
前記計算されたワンタイムパスワードを前記受け取ったワンタイムパスワードと比較して整合しない場合に、Ｃ’を１だけ増加させ、ワンタイムパスワードを再計算し、それでもなお、整合しない場合に、Ｃ’＝Ｃ’＋ｓとなるまで、Ｃ’を増加させることを続行し、ワンタイムパスワードを再計算して、再計算されたワンタイムパスワードを前記受け取ったワンタイムパスワードと比較し、ｓはルックアヘッドウィンドウパラメータであることとを含む方法。
前記計算された、または再計算されたワンタイムパスワードが、前記受け取ったパスワードと整合する場合に、妥当性確認の成功を示す信号をトークンに送る請求項１２記載の方法。
前記計算された、または再計算されたワンタイムパスワードが、前記受け取ったパスワードと整合する場合に、失敗した妥当性確認試行を示す信号をトークンに送る請求項１２記載の方法。
失敗した妥当性確認試行がスロットルパラメータＴを超えた場合に、妥当性確認試行を中止することをさらに含む請求項１４記載の方法。