JP2016129062A - Authentication from network via device-specific one-time password - Google Patents
Authentication from network via device-specific one-time password Download PDFInfo
- Publication number
- JP2016129062A JP2016129062A JP2016041496A JP2016041496A JP2016129062A JP 2016129062 A JP2016129062 A JP 2016129062A JP 2016041496 A JP2016041496 A JP 2016041496A JP 2016041496 A JP2016041496 A JP 2016041496A JP 2016129062 A JP2016129062 A JP 2016129062A
- Authority
- JP
- Japan
- Prior art keywords
- otp
- client device
- session
- authenticator
- private network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
Description
本開示はネットワークからの認証に関し、より詳細には、デバイス固有のワンタイムパスワードによるネットワークからの認証に関する。 The present disclosure relates to authentication from a network, and more particularly to authentication from a network with a device specific one-time password.
多くの企業が私設ネットワークを有する。私設ネットワークはローカル・エリア・ネットワーク(LAN)および/またはエンタープライズネットワークを含みうる。従業員はこれらの私設ネットワークに、インターネットといった公衆ネットワークを介してリモートでアクセスしようとする場合がある。公衆ネットワーク上で私設ネットワークへのアクセスを提供し、公衆ネットワーク上でユーザのコンピューティング機器と私設ネットワークとの間のセキュアな暗号化されたメッセージおよびデータの伝送を提供するための技術が存在する。そうした技法の1つが仮想私設ネットワーク(VPN)である。 Many companies have private networks. Private networks can include local area networks (LANs) and / or enterprise networks. Employees may attempt to access these private networks remotely over public networks such as the Internet. Techniques exist for providing access to a private network over a public network and providing secure encrypted message and data transmission between the user's computing device and the private network over the public network. One such technique is virtual private network (VPN).
私設ネットワークは、無許可のユーザが私設ネットワークにアクセスすることを妨げ、許可されたユーザだけに私設ネットワークおよび/または私設ネットワークに記憶された情報へのアクセスを許可するように構成されうる。そうした許可されたユーザの認知は、通常、ユーザの識別情報の検証、すなわち、ネットワークに対するユーザの認証に依拠する。通常、私設ネットワークから認証を受け、私設ネットワークにアクセスするために、ユーザは、ユーザ名およびパスワードを提供するよう求められうる。状況によっては、ユーザは、パスコードといった追加的な認証を提供するよう求められる場合もある。 The private network may be configured to prevent unauthorized users from accessing the private network and allow only authorized users to access the private network and / or information stored in the private network. Such authorized user perception typically relies on verification of the user's identity, i.e. authentication of the user against the network. Typically, to authenticate from a private network and access the private network, the user can be asked to provide a username and password. In some situations, the user may be required to provide additional authentication such as a passcode.
コンピューティング機器で私設ネットワークにアクセスしようとするユーザは、ユーザ名およびパスワードを用いてコンピューティング機器から認証を受け、次いで、別のパスワードおよびおそらくは別のユーザ名で私設ネットワークから認証を受けるよう要求されうる。セキュリティを確保するために、パスワードは比較的頻繁に変更されるべきである。ユーザは、その場合、パスワードを覚え、または後で取得するためにパスワードを記録しなければならない。どちらの技法もあまり確実ではなく、記録されたパスワードがユーザ以外の誰かによって取得され、セキュリティを損なう可能性もある。 A user attempting to access a private network with a computing device is required to authenticate from the computing device with a username and password, and then be authenticated from the private network with a different password and possibly another username. sell. To ensure security, passwords should be changed relatively frequently. The user must then remember the password or record the password for later retrieval. Neither technique is very reliable, and the recorded password can be obtained by someone other than the user, compromising security.
特許請求される主題の実施形態の特徴および利点は、以下の詳細な説明が進むに従って、図面を参照すれば明らかになるはずであり、図面において類似の符号は類似の部分を示す。 The features and advantages of embodiments of the claimed subject matter should become apparent with reference to the drawings as the following detailed description proceeds, wherein like reference numerals indicate like parts.
以下の詳細な説明は例示的な実施形態を参照しながら進めるが、当業者にはこれらの実施形態の多くの代替形態、改変形態および変形形態が明らかになるであろう。 The following detailed description proceeds with reference to exemplary embodiments, but many alternatives, modifications, and variations of these embodiments will be apparent to those skilled in the art.
一般に、本開示では、ワンタイムパスワード(OTP)を用いて私設ネットワークから認証を受けるための方法およびシステムを記載する。クライアントデバイスは、少なくとも一部はデバイス属性に基づいてワンタイムパスワードを生成するように構成されている。デバイス属性には、それだけに限らないが、ファイルシステム属性、デバイス設定(ソフトウェアとハードウェアの両方)、ハードウェア特徴およびデバイス(ユーザ)コンテキストが含まれうる。 In general, this disclosure describes a method and system for authenticating from a private network using a one-time password (OTP). The client device is configured to generate a one-time password based at least in part on the device attributes. Device attributes may include, but are not limited to, file system attributes, device settings (both software and hardware), hardware features, and device (user) context.
デバイス属性は、通常、デバイス固有であり、別のデバイス上では複製されえない。OTPを生成するのに使用される固有のデバイス属性は、例えば、本明細書に記載するように、システム管理者によって選択可能としてよい。OTPは、クライアントデバイスが私設ネットワークに接続されるセッションの間にクライアントデバイスによって生成されてよい。OTPは、次いで、クライアントデバイス上に保存され、私設ネットワークと関連付けられたオーセンティケータに提供されてよい。OTPは、次いで、次のセッションで私設ネットワークに対してクライアントデバイスを認証するのに使用されてよい。よって、クライアントデバイスは、別のデバイス上で複製されえないデバイス属性に基づく、潜在的に一意のランダムなOTPを用いて私設ネットワークに対して認証されうる。ユーザは、その場合、そうしたパスワードを覚えなくてもよい。ユーザはクライアントデバイスから認証され、クライアントデバイスは、次いで、私設ネットワークから認証されうる。 Device attributes are typically device specific and cannot be replicated on another device. The unique device attributes used to generate the OTP may be selectable by a system administrator, for example, as described herein. The OTP may be generated by the client device during a session where the client device is connected to a private network. The OTP may then be stored on the client device and provided to an authenticator associated with the private network. The OTP may then be used to authenticate the client device to the private network in the next session. Thus, a client device can be authenticated to a private network using a potentially unique random OTP based on device attributes that cannot be replicated on another device. In that case, the user does not have to remember such a password. The user can be authenticated from the client device, which can then be authenticated from the private network.
セッションOTPは、私設ネットワークに対してクライアントデバイスを認証するのに使用されてよい。セッションOTPは、同様に、私設ネットワークに含まれる保護されたコンテンツへのアクセスを制御するのにも使用されてよい。コンテンツは、情報、データおよび/またはアプリケーションを含んでいてよい。セッションOTPを用いて私設ネットワークから認証を受けたクライアントデバイスは、保護されたコンテンツにアクセスするためにさらなる認証を提供するよう構成されていてよい。さらなる認証は、本明細書に記載するように、静的セッションOTPおよび/または第2の(動的)セッションOTPを含んでいてよい。 Session OTP may be used to authenticate client devices to a private network. Session OTP may also be used to control access to protected content contained in a private network. Content may include information, data and / or applications. Client devices that have been authenticated from the private network using session OTP may be configured to provide further authentication to access the protected content. Further authentication may include a static session OTP and / or a second (dynamic) session OTP, as described herein.
一実施形態では、第2の認証が実行されてよい。この実施形態では、クライアントデバイスは、認証時に、デバイス属性に基づいて第2の(動的)OTPを生成ように構成されていてよい。オーセンティケータは、第2のOTPが、前のセッションの間にクライアントデバイスによって提供された保存されたOTPの予め定められた許容差内である場合に認証成功と判断するように構成されていてよい。第2の認証は、記憶されたセッションOTPを生成したクライアントデバイスが、第2の認証を試みているクライアントデバイスであることを検証するように構成されている。 In one embodiment, a second authentication may be performed. In this embodiment, the client device may be configured to generate a second (dynamic) OTP based on device attributes upon authentication. The authenticator is configured to determine successful authentication if the second OTP is within a predetermined tolerance of the stored OTP provided by the client device during the previous session. Good. The second authentication is configured to verify that the client device that generated the stored session OTP is the client device attempting the second authentication.
例えば、選択されるファイルシステム属性が、デバイス固有のセッションOTPを生成するのに使用されてもよい。ファイルシステム属性は、例えば、システム管理者によって定義された予め定められた規則に基づいて選択されてもよい。この例では、選択されるファイルシステム属性は、クライアントデバイスに含まれるハードディスクの指定の1もしくは複数の領域に対応してよい。選択される領域は、静的であってもよく、比較的低頻度で変化するように構成されてもよい。選択される領域はスキャンされてよく、スキャンされた領域に記憶されたデータが取り込まれてよい。取り込まれたデータは、次いで、デバイス固有のOTPを生成するように処理されてよい。例えば、取り込まれたデータは、所望のサイズのOTPを提供するように構成された暗号学的ハッシュ関数を用いて処理されてよい。よって、デバイス固有のOTPが、デバイス固有のデバイス属性に基づいて生成されうる。 For example, the selected file system attribute may be used to generate a device specific session OTP. The file system attribute may be selected based on, for example, a predetermined rule defined by the system administrator. In this example, the selected file system attribute may correspond to one or more specified areas of the hard disk included in the client device. The selected region may be static or configured to change relatively infrequently. The selected area may be scanned and data stored in the scanned area may be captured. The captured data may then be processed to generate a device specific OTP. For example, the captured data may be processed using a cryptographic hash function configured to provide an OTP of a desired size. Thus, a device-specific OTP can be generated based on device-specific device attributes.
図1に、本開示の様々な実施形態と一致するデバイス固有のワンタイムパスワード認証システム100を示す。システム100は、一般に、クライアントデバイス102と、私設ネットワーク104と、ネットワーク106とを含む。私設ネットワーク104は、一般に、認証サーバ「オーセンティケータ」108と、1つまたは複数のサーバ140と、1つまたは複数の記憶装置142とを含む。1つまたは複数の記憶装置142は、本明細書に記載するように、(1つまたは複数の)ハード・ディスク・ドライブおよび/または他の記憶媒体を含んでいてよい。オーセンティケータ108は、私設ネットワーク104に含まれていてよく、かつ/または私設ネットワーク104と関連付けられていてよい(ゲートウェイなど)。ユーザは、クライアントデバイス102を使用し、ネットワーク106を介して私設ネットワーク104にアクセスしてよい。ネットワーク106は、インターネットなどの公衆ネットワークとしてよい。
FIG. 1 illustrates a device-specific one-time
クライアントデバイス102は、セキュアなストレージ110と、プロセッサ「CPU」112と、メモリ114と、1つまたは複数の記憶装置116と、通信モジュール118とを含んでいてよい。「クライアントデバイス」は、本明細書で使用する場合、任意のコンピューティング機器を意味し、それだけに限らないが、移動電話、スマートフォン、タブレットコンピュータ、ノートブックコンピュータ、デスクトップコンピュータ、ウルトラポータブルコンピュータ、ウルトラモバイルコンピュータ、ネットブックコンピュータ、サブノートブックコンピュータ、個人向け携帯情報端末、企業向け携帯情報端末、モバイル・インターネット・デバイス、および類似のデバイスを含む。CPU112は、クライアントデバイス102内のアプリケーションおよび/またはモジュールと関連付けられた動作を実行するように構成されている。メモリ114は、クライアントデバイス102のためのアプリケーションおよび/またはデータを記憶するように構成されている。1つまたは複数の記憶装置116は、本明細書に記載するように、ハード・ディスク・ドライブ、取り外し可能記憶装置、および/または他の記憶媒体を含んでいてよい。通信モジュール118は、クライアントデバイス102のためのネットワーク接続を提供するように構成されている。通信モジュール118は、1つまたは複数の通信プロトコルを用いて、有線または無線で、ネットワーク106に接続するように構成されていてよい。
Client device 102 may include a secure storage 110, a processor “CPU” 112, a
セキュアなストレージ110は、セキュアなストレージ110内に含まれる要素へのアクセスを制限するように構成されている。セキュアなストレージ110は、セキュリティエンジン120と、セッションOTP生成モジュール122と、セッションOTP123を含みうるローカルセッションOTPストア124と、セッションOTP規則126とを含み、動的セッションOTP128を含んでいてよい。セキュリティエンジン120は、セキュアなストレージ110を管理し、セキュアなストレージ110へのアクセスを制御するように構成されており、暗号化操作および/またはハッシュ化操作を実行するように構成されていてよい。
Secure storage 110 is configured to restrict access to elements contained within secure storage 110. The secure storage 110 includes a
セッションOTP生成モジュール122は、デバイス属性130およびセッションOTP規則126に基づいて第1の(静的)セッションOTP123を生成するように構成されている。セッションOTP生成モジュール122は、本明細書に記載するように、第2の(動的)セッションOTP128を生成するようにさらに構成されていてよい。静的セッションOTP123は、現在のセッションが終了する直前に生成されてよい。静的セッションOTP123は、次いで、次のセッションで私設ネットワーク104に対してクライアントデバイス102を認証するのに利用されてよい。ある実施形態では、静的セッションOTP123は、静的セッションOTP123の失効日付を含むように構成された日付フィールドを含んでいてよい。
The session OTP generation module 122 is configured to generate a first (static)
セッションOTP生成モジュール122は、クライアントデバイス102をスキャンし、セッションOTP規則126に基づいて複数のデバイス属性を選択するように構成されている。選択された複数のデバイス属性は、次いで、少なくとも一部はセッションOTP規則126に基づいて、セッションOTP生成モジュール122によって選択的に組み合わされ、暗号化され、かつ/またはハッシュ化されてよい。ハッシュ化は、所望の長さ(サイズ)のセッションOTPを提供するように構成されている。結果は、次いで、ローカルの静的セッションOTPストア124に記憶され、後で使用するために記憶されるようにオーセンティケータ108に提供されてよい。
Session OTP generation module 122 is configured to scan client device 102 and select a plurality of device attributes based on session OTP rules 126. The selected device attributes may then be selectively combined, encrypted, and / or hashed by the session OTP generation module 122 based at least in part on the session OTP rules 126. Hashing is configured to provide a session OTP of a desired length (size). The results may then be stored in the local static
デバイス属性130は、それだけに限らないが、ファイルシステム属性、ハードウェア特徴、ソフトウェア構成設定、およびユーザコンテキストを含む。ファイルシステム属性は、ディレクトリ(フォルダ)、サブディレクトリ(サブフォルダ)、ファイルおよびファイル固有の情報(ファイル位置、ファイル名、著者、タイムスタンプ、ファイルサイズ、ファイルタイプ、ファイル内のストリング、ファイル統計および/もしくは他のファイル固有の情報)ならびに/または他のファイルシステム属性を含む。ハードウェア特徴は、メモリサイズ、MACアドレス、記憶装置ストリング、グラフィック特性および/または他のハードウェア特徴を含む。ユーザコンテキストは、ユーザ(クライアントデバイス102)位置、ユーザプロフィール、ユーザ・バイオメトリクス・データおよび/または他のユーザコンテキストデータを含む。デバイス属性130は、任意のデバイス固有の属性を含んでいてよい。よって、デバイス固有の属性は、別のデバイス上で複製されえない複数のデバイス固有のデータを含む。
Device attributes 130 include, but are not limited to, file system attributes, hardware features, software configuration settings, and user context. File system attributes include directory (folder), subdirectory (subfolder), file and file specific information (file location, file name, author, timestamp, file size, file type, string in file, file statistics and / or Other file specific information) and / or other file system attributes. Hardware features include memory size, MAC address, storage string, graphic characteristics and / or other hardware features. The user context includes user (client device 102) location, user profile, user biometric data and / or other user context data. The
セッションOTP規則126は、どのデバイス属性が選択されるか、選択されるデバイス属性の数を定義するように構成されており、ハッシュ化パラメータを定義するように構成されていてよい。セッションOTP規則126は、例えば、私設ネットワーク104と関連付けられたシステム管理者によって決定されてよい。選択される固有のデバイス属性および選択されるデバイス属性の数は、求められるセキュリティのレベルに基づくものとしてよい。例えば、より多数のデバイス属性を選択すれば、より少数のデバイス属性を選択する場合と比べて、一意のOTPがもたらされる可能性が高くなる。セッションOTP規則126は、比較的低頻度で変化する少なくともいくつかのデバイス属性を選択することを含んでいてよい。セッションOTP規則126は、少なくとも若干のランダム機能を含んでいてよい。ランダム機能は、生成される各OTPが、以前にされたOTPまたは後で生成されるOTPに対して固有である可能性が高いことを確保するように構成されていてよい。例えば、固有のデバイス属性はランダムに選択されてよい。別の例では、選択されるデバイス属性の数は、ランダムとしてよく、閾値数より大きくなるように制約されてよい。よって、概ね一意のOTPが、複数のデバイス属性に基づいて生成されうる。
例えば、選択されるデバイス属性がアプリケーションのための構成設定を含む場合には、(1つまたは複数の)ユーザプロフィール属性ストリングがセッションOTPを生成するのに使用されてよい。(1つまたは複数の)ユーザプロフィール属性ストリングは、スキャンされ、取り込まれてよい。取り込まれたデータは、セッションOTPを生成するようにハッシュ化されてよい。ハッシュ化パラメータは、指定のサイズのセッションOTPを提供するように構成されてよい。 For example, if the selected device attributes include configuration settings for the application, the user profile attribute string (s) may be used to generate the session OTP. User profile attribute string (s) may be scanned and captured. The captured data may be hashed to generate a session OTP. The hashing parameter may be configured to provide a specified size session OTP.
生成された第1のセッションOTP123は、クライアントデバイス102上でローカルセッションOTPストア124に記憶されてよく、オーセンティケータ108に提供されてよい。オーセンティケータ108は、私設ネットワーク104のための認証サービスを提供するように構成されている。オーセンティケータ108は、クライアントセッションOTP検査モジュール150と、クライアントセッションOTPストア152とを含み、動的セッションOTP検査モジュール154とOTP検査規則156とを含んでいてよい。
The generated
クライアントセッションOTP検査モジュール150は、クライアントデバイス102からセッションOTP、例えば第1のセッションOTP123を受け取り、クライアントセッションOTPの検査を管理するように構成されている。第1のセッションOTP123は、本明細書に記載するように、次のセッションでクライアントデバイス102を認証するのに使用されるように構成されている。オーセンティケータ108は、受け取った第1のセッションOTP123を、後で使用するためにクライアントセッションOTPストア152に記憶するように構成されている。よって、セッションOTPがクライアントデバイス102によって生成されると、生成された第1のセッションOTP123は、クライアントデバイス102のローカルセッションOTPストア124と、オーセンティケータ108のクライアントセッションOTPストア152とに記憶されうる。
The client session OTP inspection module 150 is configured to receive a session OTP, eg, the
ユーザがクライアントデバイス102を用いて私設ネットワーク104にアクセスしようとするとき、ユーザはクライアントデバイス102からユーザ自身の認証を受けてよく、クライアントデバイス102は、次いで、私設ネットワーク104から認証を受けようと試みてよい。ローカルセッションOTPストア124に記憶されたセッションOTP(「ローカルセッションOTP」)は、認証プロセスの一部としてオーセンティケータ108に提供されてよい。クライアントセッションOTP検査モジュール150は、ローカルセッションOTPを受け取り、受け取ったローカルセッションOTPをクライアントセッションOTPストア152に記憶されたセッションOTP(「クライアントセッションOTP」)と比較するように構成されている。ローカルセッションOTPがクライアントセッションOTPに対応する場合には、クライアントデバイス102は私設ネットワーク104に対して認証されてよく、アクセスが許可されてよい。 When a user attempts to access the private network 104 using the client device 102, the user may receive his own authentication from the client device 102, and the client device 102 then attempts to authenticate from the private network 104. It's okay. The session OTP stored in the local session OTP store 124 (“local session OTP”) may be provided to the authenticator 108 as part of the authentication process. The client session OTP inspection module 150 is configured to receive a local session OTP and compare the received local session OTP with a session OTP stored in the client session OTP store 152 (“client session OTP”). If the local session OTP corresponds to the client session OTP, the client device 102 may be authenticated to the private network 104 and access may be permitted.
クライアントデバイス102が、セッションが終了するという指示を受け取ると、セッションOTP生成モジュール122は、新しいセッションOTPを生成し、新しいセッションOTPをローカルセッションOTPストア124に記憶し、新しいセッションOTPをオーセンティケータ108に提供するように構成される。オーセンティケータ108は、次いで、受け取った新しいセッションOTPを、次のセッションで使用するために、クライアントセッションOTPストア152に記憶してよい。
When the client device 102 receives an indication that the session is to be terminated, the session OTP generation module 122 generates a new session OTP, stores the new session OTP in the local
よって、一意のデバイス固有のセッションOTPが生成され、次のセッションで私設ネットワーク104に対してクライアントデバイス102を認証するために現在のセッションの間に記憶されうる。一意のデバイス固有のセッションOTPまたは別のデバイス固有のセッションOTPが、私設ネットワーク内の保護されたコンテンツへのアクセスのためにクライアントデバイス102を認証するのに利用されてよい。セッションOTPは、クライアントデバイス属性130およびセッションOTP規則126に基づいて生成されてよい。ユーザは、私設ネットワーク104にアクセスするための頻繁に変更されるパスワードを覚えなくてもよい。セッションOTPは、クライアントデバイス102と私設ネットワーク104との間の共有される秘密に対応する。 Thus, a unique device-specific session OTP can be generated and stored during the current session to authenticate the client device 102 to the private network 104 in the next session. A unique device-specific session OTP or another device-specific session OTP may be utilized to authenticate the client device 102 for access to protected content in the private network. Session OTP may be generated based on client device attributes 130 and session OTP rules 126. The user may not remember a frequently changed password for accessing the private network 104. The session OTP corresponds to a shared secret between the client device 102 and the private network 104.
状況によっては、私設ネットワーク104および/または私設ネットワーク104内の保護されたコンテンツにアクセスするための第2の認証を要求することが望ましい場合もある。そうした第2の認証は、第1の認証だけで利用できるレベルより相対的に高いレベルのセキュリティを提供するように構成される。第2の認証は、認証を受けようとするデバイスが、前のセッションで第1のセッションOTP123を提供したクライアントデバイス102であることを確認するように構成されている。第1の認証は、本明細書に記載するように、第1の(静的)セッションOTPを用いて実行されてよい。第2の認証は、次いで、第2の(動的)セッションOTPを用いて実行されてよい。第1のセッションOTPは、本明細書に記載するように、クライアントデバイス102によって生成され、クライアントデバイス102に記憶され、次のセッションで使用するために記憶されるようにオーセンティケータ108に提供されてよい。第1のセッションOTPは、よって、次のセッションの前にクライアントデバイス102に存在する。第2の(動的)セッションOTPは、前のセッションの間ではなく認証試行時に生成されるように構成されている。よって、第2のセッションOTPは、認証時のデバイス属性に基づいて生成される。第2の認証は、私設ネットワークから認証を受けようとするデバイスが、オーセンティケータ108に記憶された第1のセッションOTP123を提供したクライアントデバイス102であることを確認するように構成されている。
In some situations, it may be desirable to require a second authentication to access private network 104 and / or protected content within private network 104. Such second authentication is configured to provide a relatively higher level of security than is available with only the first authentication. The second authentication is configured to confirm that the device to be authenticated is the client device 102 that provided the
第2の(動的)認証が(ポリシーに基づいて)要求される場合、第2の動的セッションOTP128が、デバイス属性130およびセッションOTP規則126に基づいて生成されてよい。第2の(動的)セッションOTP128を生成するのに使用されるセッションOTP規則126は、第1の(静的)セッションOTP123を生成するのに使用されるセッションOTP規則126に対応する。言い換えると、同じ規則が、第1のセッションOTP123と第2のセッションOTP128の両方を生成するのに使用されてよい。同様に、同じデバイス属性130が、第1のセッションOTP123と第2のセッションOTP128の両方を生成するのに使用されてよい。しかし、デバイス属性と関連付けられた値は、第1のセッションOTP123の生成と第2のセッションOTP128の生成との間に変化している可能性もある。例えば、ファイルが編集されている場合もある。別の例として、デバイス設定が変化している場合もある。別の例として、デバイスコンテキスト、例えば位置が変化している場合もある。よって、第2のセッションOTP128が第1のセッションOTP123に対応するかどうか評価するときに、許容差(すなわち範囲)が利用されてよい。第2のセッションOTP128が第1のセッションOTP123の許容差内である場合には、第2の認証に成功したとみなされてよい。
If a second (dynamic) authentication is requested (based on policy), a second
動的セッションOTP検査モジュール154は、少なくとも一部はOTP検査規則156に基づいて第2の認証を実行するように構成されている。OTP検査規則156は、第2の検査に利用されるべき(1つまたは複数の)許容差パラメータを含んでいてよい。第2の(動的)セッションOTP128は、第2の認証を求める要求に応答して生成されてよい。第2のセッションOTP128は、セッションOTP生成モジュール122によって生成され、オーセンティケータ108に提供されてよい。動的セッションOTP検査モジュール154は、第2のセッションOTP128を受け取り、第2のセッションOTP128をクライアントセッションOTPストア152からの第1の(静的)セッションOTP123と比較し、OTP検査規則156に基づいて第2のセッションOTP128が第1の(静的)セッションOTP123に対応するかどうか判定するように構成されている。
The dynamic session OTP inspection module 154 is configured to perform the second authentication based at least in part on the OTP inspection rules 156. The
例えば、セッションOTPを生成するための基礎として選択されるデバイス属性は、ファイルシステム属性を含んでいてよい。ファイルシステムはスキャンされ、予め定められた範囲内の複数のランダムな位置でデータが取り込まれてよい。次いで、セッションOTPを生成するために、スキャンされた(取り込まれた)属性にセキュアなハッシュが適用されてよい。セキュアなハッシュは、所望のサイズのセッションOTPをもたらすように構成されていてよい。セッションOTPは、次いで、オーセンティケータ108に提供されてよい。オーセンティケータ108は、セッションOTPを記憶してよく、記憶されたセッションOTPと共にタイムスタンプを含めてよい。第2の認証が要求される場合、ファイルシステムは、同じ範囲内の複数の位置においてスキャンされてよい。取り込まれたスキャン結果は、第2の(動的)OTPを生成するようにハッシュ化されてよい。第2のOTPは、オーセンティケータ108に提供されてよい。オーセンティケータ108は、次いで、記憶されたセッションOTPを動的OTPと比較してよい。ファイルシステム属性は、第1のセッションOTPの生成と第2のセッションOTPの生成との間に変化している可能性があるため、クライアントデバイスは、第2のセッションOTPが予め定められたパーセンテージ(例えば90%)内で第1のセッションOTPに対応する場合に妥当と認められてよい。 For example, the device attributes selected as the basis for generating the session OTP may include file system attributes. The file system may be scanned and data captured at a plurality of random locations within a predetermined range. A secure hash may then be applied to the scanned (captured) attributes to generate a session OTP. The secure hash may be configured to yield a desired size session OTP. The session OTP may then be provided to the authenticator 108. Authenticator 108 may store a session OTP and may include a time stamp with the stored session OTP. If second authentication is required, the file system may be scanned at multiple locations within the same range. The captured scan result may be hashed to generate a second (dynamic) OTP. The second OTP may be provided to the authenticator 108. The authenticator 108 may then compare the stored session OTP with the dynamic OTP. Since the file system attribute may have changed between the generation of the first session OTP and the generation of the second session OTP, the client device may determine that the second session OTP has a predetermined percentage ( (For example, 90%) may be considered valid when corresponding to the first session OTP.
別の例では、デバイス属性はタイムスタンプを含んでいてよい。この例では、第1のセッションOTPおよび第2のセッションOTPを生成するのにハードウェア属性が利用されてよい。この例では、予め定められた時間間隔にわたる閾値を下回るハードウェア属性変化は検査成功をもたらし、予め定められた時間間隔にわたる閾値を上回るハードウェア属性変化は検査失敗をもたらしうる。 In another example, the device attribute may include a time stamp. In this example, hardware attributes may be utilized to generate the first session OTP and the second session OTP. In this example, a hardware attribute change below a threshold over a predetermined time interval can result in a test success, and a hardware attribute change above a threshold over a predetermined time interval can result in a test failure.
図2に、本開示の様々な実施形態と一致するデバイス固有のOTP認証システムの例示的動作のフローチャート200を示す。フローチャート200の動作は、クライアントデバイス、例えばクライアントデバイス102、および/またはオーセンティケータ、例えばオーセンティケータ108によって実行されてよい。特に、フローチャート200には、本開示と一致する、デバイス固有のOTPを用いて、私設ネットワークに対してクライアントデバイスを認証するように構成された例示的動作が示されている。
FIG. 2 shows a
フローチャート200の動作は、ユーザのクライアントデバイスへのログイン202から開始してよい。動作204で、私設ネットワークアクセス要求が開始されてよい。動作206で、有効なクライアントセッションOTPがオーセンティケータに存在するかどうかが判定されてよい。有効なクライアントセッションOTPがオーセンティケータに存在しない場合、動作208で標準ユーザ認証が実行されてよい。動作210で、標準認証に成功したかどうかが判定されてよい。標準認証に成功しない場合、動作212で、接続が打ち切られてよい。標準認証に成功した場合、プログラムフローは、本明細書に記載するように、動作218に進んでよい。
The operations of
動作206に戻って、有効なクライアントセッションOTPがオーセンティケータに存在する場合、動作214で、ローカルセッションOTPがクライアントデバイスに要求されてよい。動作216で、受け取ったローカルセッションOTPがオーセンティケータに記憶されたクライアントセッションOTPに対応するかどうか判定されてよい。受け取ったローカルセッションOTPが記憶されたクライアントセッションOTPに対応しない場合、動作208で、標準ユーザ認証が実行されてよい。ローカルセッションOTPが記憶されたクライアントセッションOTPに対応する場合、動作218で、アクセスが許可されてよく、かつ/または第2の(動的)ユーザ認証が、ポリシーに応じて、要求されてよい。動作220で、セッションが終了するかどうかが判定されてよい。セッションが終了する場合、動作222で、新しいセッションOTPがクライアントデバイスによって生成され、オーセンティケータに提供されてよい。動作224で、新しいセッションOTPが、オーセンティケータによって、クライアントセッションOTPとして記憶されてよい。次いで動作226で、セッションは終了してよい。
Returning to
図3に、本開示の一実施形態と一致する、デバイス固有のセッションOTPを生成するように構成されたクライアントデバイスの例示的動作のフローチャート300を示す。フローチャート300の動作は、クライアントデバイス、例えばクライアントデバイス102によって実行されてよく、図2の動作222に対応する。特に、フローチャート300には、次のセッションでクライアントデバイスを認証するのに使用されることになるオーセンティケータに提供されるべきセッションOTPを生成するように構成された例示的動作が示されている。プログラムフローは、セッションが終了するという指示302から開始してよい。動作304は、選択されたデバイス属性を取得する(取り込む)ことを含む。取り込まれる固有のデバイス属性は、セッションOTP規則に基づくものとしてよい。動作306で、少なくとも一部は選択されたデバイス属性およびセッションOTP規則に基づいて、新しいセッションOTPが生成されてよい。動作308は、新しいセッションOTPをクライアントデバイス上のローカルセッションOTPに記憶すること、および新しいセッションOTPをオーセンティケータに提供することを含む。次いで動作310で、セッションは終了してよい。
FIG. 3 illustrates a
図4に、本開示の様々な実施形態と一致する、第2の認証を提供するように構成されたデバイス固有のOTP認証システムの例示的動作の別のフローチャート400を示す。フローチャート400の動作は、クライアントデバイス、例えばクライアントデバイス102、および/またはオーセンティケータ、例えばオーセンティケータ108によって実行されてよい。特に、フローチャート400には、デバイス属性に基づいて認証時に生成される第2の(動的)OTPを用いて第2の認証を実行するように構成された例示的動作が示されている。フローチャート400の動作は、図2の動作218に含まれうる。フローチャート400の動作は、第2のユーザ認証を求める要求402から開始してよい。動作404は、少なくとも一部は選択されたデバイス属性およびセッションOTP規則に基づいて、第2の(動的)セッションOTPを生成することを含んでいてよい。動作406で、第2の(動的)セッションOTPがオーセンティケータに提供されてよい。動作408で、動的セッションOTPが予め定められた許容差内で記憶されたクライアントセッションOTPに対応するかどうかが判定されてよい。動的セッションOTPが記憶されたクライアントセッションOTPに予め定められた許容差で対応しない場合、動作410で、動的認証に失敗し、動作412で、セッションは終了してよい。動的セッションOTPが記憶されたクライアントセッションOTPに予め定められた許容差で対応する場合、動作414で、動的認証に成功し、動作416で、セッションは続行してよい。
FIG. 4 illustrates another
よって、クライアントデバイスは、複数のデバイス属性およびセッションOTP規則に基づいて生成されたセッションOTPを用いて、私設ネットワークおよび/または保護されたコンテンツに対して認証されうる。複数のデバイス属性は、デバイス固有の、デバイス「指紋」に対応するものである。デバイス属性は、時間の経過とともに変化する可能性があり、セッションOTPを生成するために選択されるデバイス属性も変化しうる。よって、生成される各セッションOTPは、実質的に一意で、概ねランダムなものとなりうる。セッションOTPは、次のセッションでの認証に使用するために現在のセッションの間に生成されてよい。よって、セッションOTPは、クライアントデバイスとオーセンティケータとの間の共有される秘密に対応しうる。 Thus, a client device can be authenticated against a private network and / or protected content using a session OTP generated based on multiple device attributes and session OTP rules. The plurality of device attributes correspond to a device “fingerprint” unique to the device. Device attributes can change over time, and the device attributes selected to generate the session OTP can also change. Thus, each session OTP generated can be substantially unique and generally random. The session OTP may be generated during the current session for use in authentication in the next session. Thus, the session OTP can correspond to a shared secret between the client device and the authenticator.
ある実施形態では、第2の動的認証は、認証試行の前に生成される第1のセッションOTPおよび認証試行の間に生成される第2のセッションOTPを用いて実行されてよい。第2のセッションOTPは、クライアントデバイスの識別情報を、より高い信用度で検証するように構成されている。第2のセッションOTPは認証時に生成され、クライアントデバイス上に記憶されないため、第2のセッションOTPは相対的によりセキュアである。デバイス属性は、第1のセッションOTPの生成と第2のセッションOTPの生成との間に変化している可能性があるため、第1のセッションOTPの生成と第2のセッションOTPの生成との間で若干の変動が予期されうる。よって、この変動を見込むために許容差および/または閾値が使用されうる。 In some embodiments, the second dynamic authentication may be performed using a first session OTP that is generated prior to the authentication attempt and a second session OTP that is generated during the authentication attempt. The second session OTP is configured to verify the identification information of the client device with higher reliability. Since the second session OTP is generated upon authentication and is not stored on the client device, the second session OTP is relatively more secure. Since the device attribute may change between the generation of the first session OTP and the generation of the second session OTP, the generation of the first session OTP and the generation of the second session OTP Some variation between them can be expected. Thus, tolerances and / or thresholds can be used to allow for this variation.
図2から図4には一実施形態による様々な動作が示されているが、図2から図4に示すすべての動作が他の実施形態にも必要であると限らないことを理解すべきである。実際、本明細書では、本開示の他の実施形態では、図2から図4に示す動作および/または本明細書に記載する他の動作は、図面のいずれにも具体的に示されていないが、にもかかわらず本開示と十分に整合性を有する方法で組み合わされうることが十分に企図されている。よって、ある図面に厳密に示されていない特徴および/または動作を対象とする請求項が、本開示の範囲および趣意の範囲内とみなされる。 Although FIGS. 2-4 illustrate various operations according to one embodiment, it should be understood that not all operations illustrated in FIGS. 2-4 may be required for other embodiments. is there. Indeed, in other embodiments of the present disclosure, the operations illustrated in FIGS. 2-4 and / or other operations described herein are not specifically illustrated in any of the drawings herein. However, it is well contemplated that it can nevertheless be combined in a manner that is sufficiently consistent with the present disclosure. Thus, claims directed to features and / or actions not explicitly shown in certain drawings are considered within the scope and spirit of this disclosure.
本明細書に記載する動作のいずれも、1つまたは複数のプロセッサによって実行されると各方法を実行する命令を、個別に、または組み合わせとして記憶している1つまたは複数の記憶媒体を含むシステムにおいて実装されてよい。ここで、プロセッサは、例えば、クライアントデバイスCPU、サーバCPU、および/または他のプログラマブル回路を含んでいてよい。また、本明細書に記載する動作は、複数の異なる物理的位置にある処理構造といった、複数の物理デバイスにまたがって分散されてよいことも意図されている。記憶媒体は任意の種類の有形媒体、例えば、ハードディスク、フロッピー(登録商標)ディスク、光ディスク、コンパクトディスク読取り専用メモリ(CD−ROM)、書換え型コンパクトディスク(CD−RW)、および光磁気ディスクを含む任意の種類のディスク、読取り専用メモリ(ROM)、ダイナミックRAMおよびスタティックRAMといったランダム・アクセス・メモリ(RAM)、消去書込み可能読取り専用メモリ(EPROM)、電気的消去書込み可能読取り専用メモリ(EEPROM)、フラッシュメモリ、ソリッド・ステート・ディスク(SSD)などの半導体デバイス、磁気カードもしくは光カード、または電子命令を記憶するのに適した任意の種類の媒体を含んでいてよい。他の実施形態は、プログラマブル制御デバイスによって実行されるソフトウェアモジュールとして実装されてよい。記憶媒体は非一時的であってよい。 A system that includes one or more storage media storing instructions, individually or in combination, that perform each method when performed by one or more processors, any of the operations described herein May be implemented. Here, the processor may include, for example, a client device CPU, a server CPU, and / or other programmable circuits. It is also contemplated that the operations described herein may be distributed across multiple physical devices, such as processing structures at multiple different physical locations. The storage medium includes any kind of tangible medium, such as a hard disk, floppy disk, optical disk, compact disk read only memory (CD-ROM), rewritable compact disk (CD-RW), and magneto-optical disk. Any type of disk, read only memory (ROM), random access memory (RAM) such as dynamic RAM and static RAM, erasable writable read only memory (EPROM), electrically erasable writable read only memory (EEPROM), It may include a flash memory, a semiconductor device such as a solid state disk (SSD), a magnetic or optical card, or any type of medium suitable for storing electronic instructions. Other embodiments may be implemented as software modules that are executed by a programmable control device. The storage medium may be non-transitory.
以上は例示的システムアーキテクチャおよび方法論として提供するものであるが、本開示への改変も可能である。例えば、クライアント・デバイス・メモリ114、オーセンティケータメモリおよび/またはサーバメモリなどのメモリは、以下の種類のメモリのうちの1つまたは複数を含んでいてよい。半導体ファイアウォールメモリ、プログラマブルメモリ、不揮発性メモリ、読取り専用メモリ、電気的書込み可能メモリ、ランダム・アクセス・メモリ、フラッシュメモリ、磁気ディスクメモリ、および/または光ディスクメモリ。加えて、または代替として、クライアント・デバイス・メモリ114、オーセンティケータメモリおよび/またはサーバメモリは、他の種類および/または後で開発される種類のコンピュータ可読メモリを含んでいてもよい。
While the above is provided as an exemplary system architecture and methodology, modifications to the present disclosure are possible. For example, memory such as
クライアントデバイス102は、様々な通信プロトコルを用いてネットワーク106および/または私設ネットワーク104と通信するように構成されてよい。通信プロトコルは、それだけに限らないが、Wi−Fi、3G、4G、および/または他の通信プロトコルといった無線通信プロトコルを含んでいてよい。通信プロトコルは、他の関連したインターネット技術標準化委員会(IETF:Internet Engineering Task Force)規格に準拠し、かつ/または適合していてよい。
Client device 102 may be configured to communicate with
Wi−Fiプロトコルは、2007年3月8日付で公開された、「IEEE 802.11−2007 Standard,IEEE Standard for Information Technology−Telecommunications and Information Exchange Between Systems−Local and Metropolitan Area Networks−Specific Requirements − Part 11:Wireless LAN Medium Access Control(MAC)and Physical Layer(PHY)Specifications」という名称の、米国電気電子技術者協会(IEEE:Institute of Electrical and Electronics Engineers)によって発行された802.11規格、および/またはこの規格の新しいバージョンに準拠し、または適合していてよい。 Wi-Fi protocol, published by the date 8 March 2007, "IEEE 802.11-2007 Standard, IEEE Standard for Information Technology-Telecommunications and Information Exchange Between Systems-Local and Metropolitan Area Networks-Specific Requirements - Part 11 : Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications ”, the Institute of Electrical and Electronics Engineers (IEEE) ctrical and Electronics Engineers) issued by the 802.11 standard, and / or compliant with a new version of this standard, or may conform.
3Gプロトコルは、2000年に公開された、「IMT−2000」という名称の、国際電気通信連合(ITU:International Telecommunication Union)によって発行された国際移動通信(IMT:International Mobile Telecommunications)規格および/またはこの規格の新しいバージョンに準拠し、または適合していてよい。4Gプロトコルは、2008年に公開された、「IMT−Advanced」という名称の、ITUによって発行されたIMT規格および/またはこの規格の新しいバージョンに準拠し、または適合していてよい。 The 3G protocol is an International Mobile Telecommunications (IMT) standard published by the International Telecommunications Union (ITU) published in 2000 and named “IMT-2000” and / or It may conform to or conform to a new version of the standard. The 4G protocol may comply with or be compatible with the IMT standard published by 2008 and named “IMT-Advanced” and / or new versions of this standard.
クライアントデバイス102は、選択されたパケット交換ネットワーク通信プロトコルを用いてネットワーク106および/または私設ネットワーク104と通信することができてよい。一例示的通信プロトコルは、伝送制御プロトコル/インターネットプロトコル(TCP/IP:Transmission Control Protocol/Internet Protocol)を用いた通信を可能としうるイーサネット(登録商標)通信プロトコルを含んでいてよい。イーサネット(登録商標)プロトコルは、2002年3月に公開された、「IEEE 802.3 Standard」という名称の、米国電気電子技術者協会(IEEE)によって発行されたイーサネット(登録商標)規格および/またはこの規格の新しいバージョンに準拠し、または適合していてよい。代替として、または加えて、クライアントデバイス102は、X.25通信プロトコルを用いてネットワーク106および/または私設ネットワーク104と通信することができてもよい。X.25通信プロトコルは、国際電気通信連合電気通信標準化部門(ITU−T:International Telecommunication Union−Telecommunication Standardization Sector)によって公表された規格に準拠し、または適合していてよい。代替として、または加えて、クライアントデバイス102は、フレームリレー通信プロトコルを用いてネットワーク106および/または私設ネットワーク104と通信することができてもよい。フレームリレー通信プロトコルは、国際電信電話諮問委員会(CCITT:Consultative Committee for International Telegraph and Telephone)および/または米国規格協会(ANSI:American National Standards Institute)によって公表された規格に準拠し、または適合していてよい。代替として、または加えて、クライアントデバイス102は、非同期転送モード(ATM:Asynchronous Transfer Mode)通信プロトコルを用いてネットワーク106および/または私設ネットワーク104と通信することができてもよい。ATM通信プロトコルは、2001年8月に公開された、「ATM−MPLS Network Interworking 1.0」という名称の、ATMフォーラムによって発行されたATM規格および/またはこの規格の新しいバージョンに準拠し、または適合していてよい。当然ながら、本明細書では、異なる、かつ/または後で開発される接続指向のネットワーク通信プロトコルも等しく企図されている。
Client device 102 may be able to communicate with
「回路」は、本明細書のいずれかの実施形態で使用する場合、例えば、単独で、または任意の組み合わせとして、配線回路、プログラマブル回路、状態機械回路、および/またはプログラマブル回路によって実行される命令を記憶するファームウェアを含んでいてよい。アプリケーションおよび/またはモジュールは、本明細書のいずれかの実施形態で使用する場合、回路として具現化されてよい。回路は、集積回路チップといった集積回路として具現化されてよい。 "Circuit" as used in any embodiment herein, for example, instructions executed by a wiring circuit, a programmable circuit, a state machine circuit, and / or a programmable circuit, either alone or in any combination Firmware may be included. An application and / or module may be embodied as a circuit when used in any of the embodiments herein. The circuit may be embodied as an integrated circuit such as an integrated circuit chip.
以上、デバイス固有のセッションOTPを用いて私設ネットワークから認証を受けるための方法およびシステムを説明した。クライアントデバイスは、少なくとも一部はデバイス属性に基づいてセッションOTPを生成するように構成される。セッションOTPは、クライアントデバイスが私設ネットワークに接続されるセッションの間にクライアントデバイスによって生成されてよい。セッションOTPは、次いで、クライアントデバイス上に記憶され、私設ネットワークと関連付けられたオーセンティケータに提供されてよい。セッションOTPは、次いで、次のセッションで私設ネットワークに対してクライアントデバイスを認証するのに使用されてよい。一実施形態では、第2の認証が実行されてよい。この実施形態では、クライアントデバイスは、認証時に、デバイス属性に基づいて第2の(動的)OTPを生成ように構成されていてよい。この実施形態では、オーセンティケータは、第2のOTPが、前のセッションの間にクライアントデバイスによって提供された保存されたOTPの予め定められた許容差内である場合に認証成功と判断するように構成されていてよい。 The method and system for receiving authentication from the private network using the device-specific session OTP has been described above. The client device is configured to generate a session OTP based at least in part on the device attributes. A session OTP may be generated by a client device during a session in which the client device is connected to a private network. The session OTP may then be stored on the client device and provided to an authenticator associated with the private network. The session OTP may then be used to authenticate the client device to the private network in the next session. In one embodiment, a second authentication may be performed. In this embodiment, the client device may be configured to generate a second (dynamic) OTP based on device attributes upon authentication. In this embodiment, the authenticator determines that the authentication is successful if the second OTP is within a predetermined tolerance of the stored OTP provided by the client device during the previous session. It may be configured.
よって、クライアントデバイスは、デバイス属性に基づく、潜在的に一意のランダムなOTPを用いて私設ネットワークに対して認証されうる。ユーザは、その場合、そうしたパスワードを覚えなくてもよい。ユーザはクライアントデバイスから認証され、クライアントデバイスは、次いで、私設ネットワークから認証されうる。第2の認証は、クライアントデバイス上に記憶されたセッションOTPに依拠しない相対的によりロバストな認証を提供するように構成されている。 Thus, the client device can be authenticated to the private network using a potentially unique random OTP based on device attributes. In that case, the user does not have to remember such a password. The user can be authenticated from the client device, which can then be authenticated from the private network. The second authentication is configured to provide a relatively more robust authentication that does not rely on the session OTP stored on the client device.
一態様によれば、方法が提供される。方法は、少なくとも一部は複数のクライアントデバイス属性に基づいて第1のワンタイムパスワード(OTP)を生成するステップと、第1のOTPを、第1のセッションの間に私設ネットワークと関連付けられたオーセンティケータに提供するステップとを含んでいてよく、オーセンティケータは、提供される第1のOTPに基づき、第1のセッションに続く第2のセッションのために、私設ネットワークおよび私設ネットワークに含まれる保護されたコンテンツのうちの少なくとも1つに対してクライアントデバイスを認証するように構成されている。 According to one aspect, a method is provided. A method generates a first one-time password (OTP) based at least in part on a plurality of client device attributes, and the first OTP is associated with a private network during the first session. The authenticator is included in the private network and the private network for a second session following the first session, based on the provided first OTP. The client device is configured to authenticate against at least one of the protected content.
別の態様によれば、システムが提供される。システムは、クライアントデバイスとオーセンティケータとを含んでいてよい。クライアントデバイスは、少なくとも一部は複数のクライアントデバイス属性に基づいて第1のワンタイムパスワード(OTP)を生成し、第1のOTPを、第1のセッションの間に私設ネットワークと関連付けられたオーセンティケータに提供するように構成されており、オーセンティケータは、提供される第1のOTPに基づき、第1のセッションに続く第2のセッションのために、私設ネットワークおよび私設ネットワークに含まれる保護されたコンテンツのうちの少なくとも1つに対してクライアントデバイスを認証するように構成されている。 According to another aspect, a system is provided. The system may include a client device and an authenticator. The client device generates a first one-time password (OTP) based at least in part on a plurality of client device attributes, and the first OTP is associated with the private network during the first session. Based on the first OTP that is provided, the authenticator is protected in private and private networks for the second session following the first session. Configured to authenticate the client device for at least one of the stored content.
別の態様によれば、システムが提供される。システムは、1つまたは複数のプロセッサによって実行されると以下の動作を生じさせる命令を、個別に、または組み合わせとして記憶している1つまたは複数の記憶媒体を含んでいてよく、動作は、少なくとも一部は複数のクライアントデバイス属性に基づいて第1のワンタイムパスワード(OTP)を生成する動作と、第1のOTPを、第1のセッションの間に私設ネットワークと関連付けられたオーセンティケータに提供する動作とを含み、オーセンティケータは、提供される第1のOTPに基づき、第1のセッションに続く第2のセッションのために、私設ネットワークおよび私設ネットワークに含まれる保護されたコンテンツのうちの少なくとも1つに対してクライアントデバイスを認証するように構成されている。 According to another aspect, a system is provided. The system may include one or more storage media that store instructions that, when executed by one or more processors, cause the following operations individually or in combination, the operations comprising at least Some generate the first one-time password (OTP) based on multiple client device attributes and provide the first OTP to the authenticator associated with the private network during the first session The authenticator, based on the provided first OTP, for the second session following the first session, of the protected content included in the private network and the private network The client device is configured to authenticate to at least one.
本明細書で用いられている用語および表現は、制限ではなく説明としての用語であり、そうした用語および表現の使用に際しては、図示し、説明する特徴(または該特徴の部分)のいかなる均等物を除外することも意図されておらず、特許請求の範囲内で様々な改変が可能であることが認められるものである。したがって、特許請求の範囲はそうしたすべての均等物を包含すべきものと意図されている。 The terms and expressions used herein are words of description rather than limitation, and any equivalents of the features (or portions of the features) illustrated and described may be used when using such terms and phrases. It is not intended to be excluded, but it will be appreciated that various modifications are possible within the scope of the claims. Accordingly, the claims are intended to cover all such equivalents.
Claims (15)
前記第1のOTPを、第1のセッションの間に私設ネットワークと関連付けられたオーセンティケータに提供するステップと
を含み、
前記オーセンティケータは、前記提供される第1のOTPに基づき、前記第1のセッションに続く第2のセッションのために、前記私設ネットワークおよび前記私設ネットワークに含まれる保護されたコンテンツのうちの少なくとも1つに対してクライアントデバイスを認証する、方法。 Generating a first one-time password (first OTP) based at least in part on a plurality of client device attributes;
Providing the first OTP to an authenticator associated with a private network during a first session;
The authenticator is configured to, based on the provided first OTP, for at least one of the private content and the protected content included in the private network for a second session following the first session. A method of authenticating a client device against one.
前記第2のOTPは、前記クライアントデバイスが前記第2のセッションのために前記私設ネットワークに対して認証を受けているときに生成され、前記第2のOTPは2次認証を提供する、請求項1に記載の方法。 Generating a second OTP based at least in part on the plurality of client device attributes;
The second OTP is generated when the client device is authenticated to the private network for the second session, and the second OTP provides secondary authentication. The method according to 1.
前記記憶された第1のOTPを前記オーセンティケータに提供された前記第1のOTPと比較するステップとをさらに含み、
前記クライアントデバイスは、前記記憶された第1のOTPが前記オーセンティケータに提供された前記第1のOTPに対応する場合に前記私設ネットワークに対して認証される、請求項1に記載の方法。 Storing the first OTP in the client device;
Comparing the stored first OTP with the first OTP provided to the authenticator;
The method of claim 1, wherein the client device is authenticated to the private network if the stored first OTP corresponds to the first OTP provided to the authenticator.
前記クライアントデバイスは、前記第1のOTPが前記第2のOTPの許容差内である場合に前記私設ネットワークに対して認証される、請求項2に記載の方法。 Further comprising comparing the first OTP to the second OTP;
The method of claim 2, wherein the client device is authenticated to the private network if the first OTP is within a tolerance of the second OTP.
をさらに含む、請求項1に記載の方法。 The method of claim 1, further comprising selecting the plurality of client device attributes based on predetermined OTP rules.
オーセンティケータと
を備え、
前記クライアントデバイスは、少なくとも一部は複数のクライアントデバイス属性に基づいて第1のワンタイムパスワード(第1のOTP)を生成し、前記第1のOTPを、第1のセッションの間に私設ネットワークと関連付けられた前記オーセンティケータに提供し、前記オーセンティケータは、前記提供される第1のOTPに基づき、前記第1のセッションに続く第2のセッションのために、前記私設ネットワークおよび前記私設ネットワークに含まれる保護されたコンテンツのうちの少なくとも1つに対して前記クライアントデバイスを認証するシステム。 A client device;
With an authenticator,
The client device generates a first one-time password (first OTP) based at least in part on a plurality of client device attributes, and the first OTP is exchanged with a private network during a first session. Providing the associated authenticator, the authenticator based on the provided first OTP for the second session following the first session for the private network and the private network A system for authenticating the client device against at least one of the protected content contained in
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016041496A JP6131354B2 (en) | 2016-03-03 | 2016-03-03 | Authentication from the network with a device-specific one-time password |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016041496A JP6131354B2 (en) | 2016-03-03 | 2016-03-03 | Authentication from the network with a device-specific one-time password |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014550248A Division JP6248329B2 (en) | 2011-12-27 | 2011-12-27 | Authentication from the network with a device-specific one-time password |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2016129062A true JP2016129062A (en) | 2016-07-14 |
JP6131354B2 JP6131354B2 (en) | 2017-05-17 |
Family
ID=56384440
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016041496A Active JP6131354B2 (en) | 2016-03-03 | 2016-03-03 | Authentication from the network with a device-specific one-time password |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6131354B2 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117556404A (en) * | 2023-12-11 | 2024-02-13 | 广西远方创客数据咨询有限公司 | Business management system based on SaaS |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000194657A (en) * | 1998-12-28 | 2000-07-14 | Fujitsu Ltd | Connecting device and recording medium |
JP2003338814A (en) * | 2002-05-20 | 2003-11-28 | Canon Inc | Communication system, administrative server, control method therefor and program |
JP2005025610A (en) * | 2003-07-04 | 2005-01-27 | Fujitsu Support & Service Kk | Security method and security system for system |
JP2007018140A (en) * | 2005-07-06 | 2007-01-25 | Matsushita Electric Ind Co Ltd | Communication apparatus, and password changing method and program |
US20080263362A1 (en) * | 2007-04-17 | 2008-10-23 | Chen Xuemin Sherman | Method and apparatus of secure authentication for system on chip (soc) |
JP2009211448A (en) * | 2008-03-05 | 2009-09-17 | Hitachi Ltd | Product certification system |
JP2010502068A (en) * | 2006-08-22 | 2010-01-21 | ノキア シーメンス ネットワークス ゲゼルシャフト ミット ベシュレンクテル ハフツング ウント コンパニー コマンディトゲゼルシャフト | Authentication method |
US20100318881A1 (en) * | 2008-02-20 | 2010-12-16 | Andreas Limber | Flexible Node Identity for Telecom Nodes |
-
2016
- 2016-03-03 JP JP2016041496A patent/JP6131354B2/en active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000194657A (en) * | 1998-12-28 | 2000-07-14 | Fujitsu Ltd | Connecting device and recording medium |
JP2003338814A (en) * | 2002-05-20 | 2003-11-28 | Canon Inc | Communication system, administrative server, control method therefor and program |
JP2005025610A (en) * | 2003-07-04 | 2005-01-27 | Fujitsu Support & Service Kk | Security method and security system for system |
JP2007018140A (en) * | 2005-07-06 | 2007-01-25 | Matsushita Electric Ind Co Ltd | Communication apparatus, and password changing method and program |
JP2010502068A (en) * | 2006-08-22 | 2010-01-21 | ノキア シーメンス ネットワークス ゲゼルシャフト ミット ベシュレンクテル ハフツング ウント コンパニー コマンディトゲゼルシャフト | Authentication method |
US20080263362A1 (en) * | 2007-04-17 | 2008-10-23 | Chen Xuemin Sherman | Method and apparatus of secure authentication for system on chip (soc) |
US20100318881A1 (en) * | 2008-02-20 | 2010-12-16 | Andreas Limber | Flexible Node Identity for Telecom Nodes |
JP2009211448A (en) * | 2008-03-05 | 2009-09-17 | Hitachi Ltd | Product certification system |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117556404A (en) * | 2023-12-11 | 2024-02-13 | 广西远方创客数据咨询有限公司 | Business management system based on SaaS |
Also Published As
Publication number | Publication date |
---|---|
JP6131354B2 (en) | 2017-05-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6248329B2 (en) | Authentication from the network with a device-specific one-time password | |
US20200162255A1 (en) | System for improved identification and authentication | |
US10009340B2 (en) | Secure, automatic second factor user authentication using push services | |
US10110585B2 (en) | Multi-party authentication in a zero-trust distributed system | |
US8868915B2 (en) | Secure authentication for client application access to protected resources | |
US20190281028A1 (en) | System and method for decentralized authentication using a distributed transaction-based state machine | |
KR101414312B1 (en) | Policy driven, credntial delegat10n for single sign on and secure access to network resources | |
US20160337131A1 (en) | Biometric pki authentication | |
US11792179B2 (en) | Computer readable storage media for legacy integration and methods and systems for utilizing same | |
US10250589B2 (en) | System and method for protecting access to authentication systems | |
US20120102546A1 (en) | Method And System For Authenticating Network Device | |
EP4320812A1 (en) | End-to-end verifiable multi-factor authentication service | |
WO2022042198A1 (en) | Identity authentication method and apparatus, computer device, and storage medium | |
JP6131354B2 (en) | Authentication from the network with a device-specific one-time password | |
TWI673622B (en) | System and method of pairing and authentication | |
AU2015258292A1 (en) | System and method for protecting access to authentication systems | |
Abuhasan et al. | ABastion MOBILEID-BASED AUTHENTICATION TECHNIQUE (BMBAT) |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170214 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20170316 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170417 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6131354 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |