JP2016521932A - 端末識別方法、ならびにマシン識別コードを登録する方法、システム及び装置 - Google Patents

端末識別方法、ならびにマシン識別コードを登録する方法、システム及び装置 Download PDF

Info

Publication number
JP2016521932A
JP2016521932A JP2016516736A JP2016516736A JP2016521932A JP 2016521932 A JP2016521932 A JP 2016521932A JP 2016516736 A JP2016516736 A JP 2016516736A JP 2016516736 A JP2016516736 A JP 2016516736A JP 2016521932 A JP2016521932 A JP 2016521932A
Authority
JP
Japan
Prior art keywords
identification code
terminal
machine identification
request
signature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016516736A
Other languages
English (en)
Other versions
JP6574168B2 (ja
Inventor
フー インフォン
フー インフォン
ジャン ユードン
ジャン ユードン
ジャン ジェンユエン
ジャン ジェンユエン
リウ ジエン
リウ ジエン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alibaba Group Holding Ltd
Original Assignee
Alibaba Group Holding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alibaba Group Holding Ltd filed Critical Alibaba Group Holding Ltd
Publication of JP2016521932A publication Critical patent/JP2016521932A/ja
Application granted granted Critical
Publication of JP6574168B2 publication Critical patent/JP6574168B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Power Engineering (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

端末識別方法、マシン識別コード登録方法、ならびに関連したシステム及び装置が開示される。第1の要求であって、その第1の要求のために署名または証明書検証が実行されることになる、第1の要求を端末から受信した後、サービスネットワークが、端末のマシン識別コード識別子のために信頼できる機関の署名または証明書を第1の要求から取得し、マシン識別コード識別子は、信頼できる機関によって端末のマシン識別コードに割り当てられた識別子である。サービスネットワークは、取得された署名または証明書を検証して、検証結果が正当性を示す場合、署名または証明書から取得されたマシン識別コード識別子を使用して端末を識別する。本開示は、信頼できる機関と、信頼できる機関によってマシン識別コードを登録する方法と、を更に提供する。本スキームは、端末識別を効率的に実現することができて、より少数のリソースを占有し得、より良いプライバシ保護を容易にし得る。

Description

関連出願の相互参照
この出願は、2013年5月27日に出願され、「Terminal Identification Method,and Method,System and Apparatus of Registering Machine Identification Code」と題された中国特許出願第201310200130.5号に対する外国優先権を主張するものであり、それは、それの全体が参照によって本明細書に組み込まれる。
本開示は、端末識別技術に関するものであり、特に、マシン識別コードに基づいて端末を識別する方法及び関連したネットワークに関するものである。
社会の継続的な開発と共に、インターネットが、急速に開発されており、我々の日々の生活の不可欠な部分になってきている。何千もの人間が、日々、オンライン購入をしたり、ニュースを閲覧したりしている。既存のコンピュータネットワークにおいて、ユーザは、ウェブサイト上で多くの異なるIDを登録し得、異なるタスクを実行するために異なるサービスネットワークにログインし得る。どの端末がログインのためにこれらのIDによって使用されるかを決定することは、事業管理、ユーザ管理、リスク管理、及び商業用知的分析を効率的に実行するために非常に重要である。
したがって、多数の端末識別技術が、既存の技術において現れている。既存の識別技術は、基本的には、ユーザがサービスネットワーク(例えばウェブサイトまたはプラットフォームなど)にアクセスするときに、ユーザによって使用された端末と関連付けられたデータを収集して、ネットワークにおけるサーバまたはコンピュータを使用して、このデータに基づいて、端末であって、その端末からそのデータが発生する、端末を決定する。それの最も広く採用されたものは、識別を達成するためにMACアドレスを取得するブラウザと関連付けられた制御構成要素を使用することである。しかしながら、MACアドレスは、登録リストから取得されて、人間による改ざんや偽造を受け易い。したがって、そのように取得されたMACアドレスの不正確さまたは虚偽性の問題が存在する。
公開番号CN103024090A号を有する中国特許公報は、端末識別のための異なる方法及びシステムを開示する。この方法は、ブラウザと関連付けられたソフトウェア情報または端末のハードウェアIO層から取得されたハードウェア情報を端末のマシン識別コードとして使用して、このマシン識別コードに基づいて端末を識別する。識別の間に、端末は、サービスネットワークに送信するためにそれのマシン識別コードをフェッチする。サービスネットワークは、データベースに記憶される異なる端末と関連付けられたデータ情報にマシン識別コードをマッチングさせて、最も良くマッチングした端末を識別された端末と見なす。
このマシン識別コードをベースとする端末識別方法は、ハードウェアIO層からハードウェア情報を取得して、それは、MACアドレスと比べると、より正確であり、かつ妨害されたり改ざんされたりすることがより困難である。しかしながら、端末は、各要求の間にマシン識別コードをフェッチする必要があるので、サービスネットワークは、識別の間にデータベース内の端末のデータ情報とのマシン識別コードのマッチングの度合いを計算する必要があり、この方法は、大量の通信及び計算リソースを消費して、それ故、ユーザ経験を悪化させる。その上、フェッチされたマシン識別コードは、伝送や記憶の処理の間に逆コンパイル、妨害及び違反を受け易く、それ故、ユーザマシンの識別コードのプライバシ保護に好ましくない。
この発明の概要は、発明を実施するための形態において以下に更に説明される簡略化された形態で概念の選択を導入するために提供される。この発明の概要は、特許請求された主題の全ての重要な特徴または本質的な特徴を特定することを意図されるものではないし、特許請求された主題の範囲を決定する際の助けとして単独で使用されることを意図されるものでもない。用語「技法」は、上記文脈によって及び本開示全体を通して許容されるような、例えば、(複数の)デバイス、(複数の)システム、(複数の)方法及び/またはコンピュータで読み取り可能な命令のことを指し得る。
本開示によって解決されることになる技術的問題は、より少数のリソースを占有する、かつ、より良いプライバシ保護を容易にする端末識別方法、関連したサービスネットワーク、及び端末を提供することである。
この問題を解決するために、本開示は、端末識別方法であって、
サービスネットワークが、端末から、第1の要求であって、その第1の要求のために署名または証明書検証が実行されることになる、第1の要求を受信することと、
サービスネットワークが、第1の要求から端末のマシン識別コード識別子のために信頼できる機関の署名または証明書を取得することであって、マシン識別コード識別子が、信頼できる機関によって端末のマシン識別コードに割り当てられた識別子である、取得することと、
サービスネットワークが、取得された署名または証明書を検証して、検証結果が正当性を示す場合、署名または証明書から取得されたマシン識別コード識別子を使用して端末を識別することと、を含む、端末識別方法を提供する。
一実施形態において、第1の要求が、匿名ログイン要求及び/または実名ログイン要求を含む。
いくつかの実施形態において、サービスネットワークが、署名または証明書から取得されたマシン識別コード識別子を使用して端末を識別した後、本方法は、
サービスネットワークが、端末がログインすることを可能にして、端末とのセッションを確立する場合、サービスネットワークが、セッションとマシン識別コード識別子との相関関係を記録することと、
サービスネットワークが、マシン識別コード識別子の端末から送信された要求としてセッション経由で受信される後続の要求を識別することと、を更に含む。
一実施形態において、サービスネットワークが、第1の要求から署名または証明書を取得しない場合、サービスネットワークが、以下のアプローチに従って、端末マシン識別コードのための登録処理を開始する。
サービスネットワークが、端末にそれのマシン識別コードを報告することを通知して、端末によって報告されたマシン識別コードを登録のために信頼できる機関に提示して、信頼できる機関によって発行された署名または証明書を記憶のために端末に送信する。
あるいは、サービスネットワークが、ネットワークによって提供されるマシン識別コード登録のインターフェースを通して登録のために信頼できる機関にそれのマシン識別コードを提示するように端末を促して、信頼できる機関によって発行された署名または証明書を取得して記憶する。
いくつかの実施形態において、端末マシン識別コードの登録処理は、
端末が、直接的にまたはサービスネットワーク経由で登録のために信頼できる機関にユーザのユーザ情報及びそれのマシン識別コードを提示することを更に含み、信頼できる機関によって発行された署名または証明書が、署名と関連付けられた情報としてユーザのユーザ識別子及び端末のマシン識別コード識別子を含む。
一実施形態において、サービスネットワークまたは信頼できる機関が、記憶のために署名または証明書を端末に送信することは、
端末によってサービスネットワークに送信された要求に含まれることになるパラメータとして、記憶のために署名または証明書を端末に送信することを含む。
更に、端末識別方法が、
端末のマシン識別コード識別子及び対応するマシン識別コードまたはそれの派生コードをデータベース内に記憶することと、
サービスネットワークが、端末から、第2の要求であって、その第2の要求のためにマシン識別コードの検証が実行されることになる、第2の要求を受信することと、
サービスネットワークが、第2の要求から端末のマシン識別コード及び署名または証明書を取得して、署名または証明書が正当であることを検証した後、署名または証明書から取得されたマシン識別コード識別子に基づいて、データベース内の対応するマシン識別コードまたは派生コードを照会することと、
第2の要求から取得されたマシン識別コードまたは派生コードが、照会において見付けられるマシン識別コードまたは派生コードとは異なる場合、要求を断ることと、を更に含む。
一実施形態において、端末から送信された各要求が、第2の要求であり、または第2の要求が、以下の要求、すなわち、
実名ログイン要求、
匿名ログイン要求、
所定のセキュリティレベルより高いセキュリティレベルを有する要求、
マシン識別コードが、無作為化アルゴリズムに基づく検証のために設定されるという要求、及び
マシン識別コードが、テストサイクルに従う検証のために設定されるという要求のうちの1以上を含む。
それに応じて、本開示は、サービスネットワークの端末識別システムであって、
端末から要求を受信するために使用される受信モジュールと、
受信モジュールが、第1の要求であって、その第1の要求のために署名または証明書検証が実行されることになる、第1の要求を端末から受信した後、第1の要求から端末のマシン識別コード識別子のために信頼できる機関の署名または証明書を取得して検証するために使用される第1の検証モジュールであって、マシン識別コード識別子が、信頼できる機関によって端末のマシン識別コードに割り当てられた識別子である、第1の検証モジュールと、
第1の検証モジュールの検証結果が正当性を示すときに、署名または証明書から取得されたマシン識別コード識別子を使用して端末を識別するために使用される識別モジュールと、を含む、端末識別システムを更に提供する。
一実施形態において、受信モジュールによって受信される第1の要求が、匿名登録要求及び/または実名登録要求を含む。
いくつかの実施形態において、識別モジュールが、署名または証明書から取得されたマシン識別コード識別子を使用して端末を識別した後に、端末が、成功裏にログインしてサービスネットワークとのセッションを確立する場合、セッションとマシン識別コード識別子との相関関係が記録されて、セッション経由で受信される後続の要求が、マシン識別コード識別子を有する端末から送信された要求として識別される。
一実施形態において、システムは、第1の検証モジュールが、以下のアプローチに従って、第1の要求から署名または証明書を取得しないときに、端末マシン識別コードの登録処理を初期化するために使用される登録初期化モジュールを更に含む。すなわち、
端末にそれのマシン識別コードを報告することを通知して、端末によって報告されたマシン識別コードを登録のために信頼できる機関に提示して、信頼できる機関によって発行された署名または証明書を記憶のために端末に送信すること、あるいは
端末に、ネットワークによって提供されるマシン識別コード登録のインターフェースを通して登録のために信頼できる機関にそれのマシン識別コードを提示して、記憶のために信頼できる機関によって発行された署名または証明書を取得することを促すこと。
いくつかの実施形態において、登録開始モジュールが、信頼できる機関によって発行された署名または証明書を記憶のために端末に送信することが、サービスネットワークに端末によって送信された要求に含まれることになるパラメータとして、署名または証明書を記憶のために端末に送信することを含む。
一実施形態において、第1の検証モジュールは、受信モジュールが、第2の要求であって、その第2の要求のためにマシン識別コード検証が実行されることになる、第2の要求を端末から受信した後に、それの署名または証明書を検証するために更に使用される。
端末識別システムが、
端末のマシン識別コード識別子及び対応するマシン識別コードまたはそれの派生コードを記憶するために使用されるデータベースと、
第1の検証モジュールが、第2の要求における署名または証明書が正当であることを確認するときに、署名または証明書から取得されたマシン識別コード識別子に従って、データベース内の対応するマシン識別コードまたは派生コードを照会して、第2の要求から取得されたマシン識別コードまたは派生コードが、照会において見付けられたマシン識別コードまたは派生コードと同じであるかどうかを決定して、同じである場合には正当性あるいはその他の場合には非正当性を示すマシン識別コードの検証結果を設定するために使用される第2の検証モジュールと、
第2の検証モジュールの決定結果が相違を示すときに、要求を拒否するために使用されるアクセス制御モジュールと、を更に含む。
一実施形態において、端末によって送信された各要求が第2の要求であり、または第2の要求が、以下の要求、すなわち、
実名ログイン要求、
匿名ログイン要求、
所定のセキュリティレベルより高いセキュリティレベルを有する要求、
マシン識別コードが、無作為化アルゴリズムに基づく検証のために設定されるという要求、及び
マシン識別コードが、テストサイクルに従う検証のために設定されるという要求のうちの1以上を含む。
前述のスキームにおいて、サービスネットワークは、マッチングを実行する必要なく、端末によって報告される署名または証明書におけるマシン識別コード識別子に基づいて、端末を識別する。その上、端末は、マシン識別コードを毎回フェッチして伝送する必要がなく、それ故、マシン識別コードの偽造を回避して、通信及び計算上のリソースを節約する。加えて、(サービスネットワークだけが知る)マシン識別コード識別子は、マシン識別コードの代わりに、端末が記憶して伝送するものであるので、ユーザマシン識別コードのためのプライバシ保護が強化される。
本開示によって解決されることになる別の技術的問題は、端末のマシン識別コードの登録方法及び対応する信頼できる機関を提供することである。
この問題を解決するために、本開示は、信頼できる機関における適用のための、端末のマシン識別コードの登録方法であって、
端末のマシン識別コードを含む登録要求を受信することと、
マシン識別コードを検証して、正当であることが検証される場合、マシン識別コード識別子をマシン識別コードに割り当てることと、
マシン識別コード識別子を含む情報のための署名を行って、署名またはその署名を含む証明書を登録要求の要求元に送信することと、を含む方法を提供する。
一実施形態において、登録要求が、端末を使用するユーザのユーザ情報を更に含む。
方法は、
ユーザ情報を検証して、正当であることが検証される場合、ユーザ識別子及びマシン識別コード識別子のための署名を共に行うことを更に含み、ユーザ識別子が、ユーザ情報から取得されるか、あるいはユーザ情報に従って割り当てられる。
それに応じて、本開示は、
端末のマシン識別コードを含む登録要求を受信するように構成された受信モジュールと、
マシン識別コードを検証するように構成された検証モジュールと、
検証モジュールの検証結果が正当性を示すときに、マシン識別コード識別子をマシン識別コードに割り当てるように構成された割り当てモジュールと、
マシン識別コード識別子を含有する情報のための署名を行って、登録要求の要求元に署名またはその署名を含有する証明書を送信するように構成された発行モジュールと、を含む、信頼できる機関を更に提供する。
一実施形態において、受信モジュールによって受信される登録要求が、端末を使用するユーザのユーザ情報を更に含む。
検証モジュールが、ユーザ情報とマシン識別コードを同時に検証する。
発行モジュールが、ユーザ識別子及びマシン識別コード識別子のための署名を行って、ユーザ識別子が、ユーザ情報から取得されるか、あるいはユーザ情報に従って割り当てられる。
前述のスキームは、端末のマシン識別コード識別子の割り当て及び対応する署名または証明書の発行を実現して、それは、端末のマシン識別コード識別子が本物であることを証明するために適用され得る。端末のマシン識別コードの検証は、非正当な端末の登録を拒否し得、端末の信頼性を向上し得る。
本開示の第1の実施形態に従う端末識別の方法のフローチャートである。 本開示の第1の実施形態に従う端末識別のシステムの機能図である。 本開示の第1の実施形態に従う端末のマシン識別コードの登録方法のフローチャートである。 本開示の第1の実施形態に従う信頼できる機関の機能図である。 本開示の第2の実施形態に従うマシン識別コードの検証方法のフローチャートである。 図2において説明されるようなシステムの実施例の構造図である。 図4において説明されるような信頼できる機関の実施例の構造図である。
目的をより良く理解するために、本開示の技術的スキーム、利益及び実施形態が、添付の図面を参照にして詳細に説明されることになる。本開示の実施形態及び実施形態における特徴は、矛盾が存在しないときに、互いにかつ自由裁量によって組み合わされ得ることに留意するべきである。
本開示の典型的な構成において、端末、サービスネットワークと関連付けられた装置、及び信頼できる機関は、中央処理装置(CPU)、入出力インターフェース、ネットワークインターフェース、及び内部記憶装置のうちの1以上を含み得る。
内部記憶装置は、コンピュータで読み取り可能な媒体、例えば、非永続的な記憶デバイス、ランダムアクセスメモリ(RAM)、及び/または不揮発性内部記憶装置、例えば、読み取り専用メモリ(ROM)もしくはフラッシュRAMなどの形態を含み得る。内部記憶装置は、コンピュータで読み取り可能な媒体の実施例である。
コンピュータで読み取り可能な媒体は、永続的または非永続的な種類の、取り外し可能あるいは取り外し不可能な媒体を含み得、それは、任意の方法または技術を使用して情報の記憶を達成し得る。情報は、コンピュータで読み取り可能なコマンド、データ構造、プログラムモジュール、または他のデータを含み得る。コンピュータ記憶媒体の実施例は、限定されるものではないが、相変化メモリ(PRAM)、静的ランダムアクセスメモリ(SRAM)、動的ランダムアクセスメモリ(DRAM)、他の種類のランダムアクセスメモリ(RAM)、読み取り専用メモリ(ROM)、電子的に消去可能でプログラム可能な読み取り専用メモリ(EEPROM)、高速フラッシュメモリまたは他の内部記憶技術、コンパクトディスク読み取り専用メモリ(CD−ROM)、デジタル多用途ディスク(DVD)または他の光記憶装置、磁気カセットテープ、磁気ディスク記憶装置または他の磁気記憶デバイス、あるいは任意の他の非伝送媒体を含み、それらは、コンピューティングデバイスによってアクセスされ得る情報を記憶するために使用され得る。本明細書において定義される際、コンピュータで読み取り可能な媒体は、一時的な媒体、例えば変調データ信号及び搬送波などを含まない。
第1の実施形態
この実施形態のシステムは、端末、サービスネットワーク及び信頼できる機関を含む。端末は、ユーザデバイス、例えば、PC、スマートホン、PDA等であり得る。サービスネットワークは、ネットワークサービスを端末に提供するために使用されて、例えば、ウェブサイトシステムまたはネットワークプラットフォームのうちの1以上を含み得る。サービスネットワークは、要求を送信した端末を識別し得る。信頼できる機関が、マシン識別コード識別子を端末のマシン識別コードに割り当てて、署名または証明書を発行するために使用される。信頼できる機関が、サービスネットワークにおけるノード、またはサービスネットワークの外側のノードであり得ることに留意するべきである。
図1に示されるように、本実施形態における端末識別の方法が、以下を含む。
ブロック110で、サービスネットワークが、署名または証明書検証が実行されることになるという第1の要求を端末から受信する。
署名または証明書検証が実行されることになるという第1の要求が、サービスネットワークによって定義されて、例えば、匿名ログイン要求及び/または実名ログイン要求を含み得、ならびに、この開示において限定されない他の要求もまた含み得る。第1の要求が匿名ログイン要求を含むとき、サービスネットワークは、ユーザが匿名でログインするときに端末を識別して、それ故、匿名のログインの状況下で端末と関連付けられた活動についての統計を計算する。
ブロック120で、サービスネットワークは、第1の要求から端末のマシン識別コード識別子のために信頼できる機関の署名または証明書を取得する。マシン識別コード識別子が、信頼できる機関によって端末のマシン識別コードに割り当てられた識別子である。
この実施形態におけるマシン識別コードが、端末を一意的に識別できるハードウェア及び/またはソフトウェア情報を含む。ハードウェア情報は、例えば、端末のハードウェアIO層から取得されるハードウェア情報を含み得、ソフトウェア情報は、例えば、端末のブラウザのソフトウェア情報等を含み得る。
端末のマシン識別コード識別子のための署名は、例えばマシン識別コード識別子などの情報のために信頼できる機関の秘密鍵によって生成された署名に対応しており、sigCA(UMIC_id)として表わされ得、ここで、「CA」は、信頼できる機関を表わし、UMIC_idは、端末のマシン識別コード識別子を表わす。署名と関連付けられた情報は、限定されるものではないが、マシン識別コードを含み、他の情報、例えばユーザ識別子等を更に含み得る。ユーザ識別を含む署名は、sigCA(UMIC_id||User_id)として表わされ得、ここで、「User_id」は、ユーザ識別子を表わす。
証明書は、署名を含む証明書である。署名の情報がUMIC_id及びUser_idを含むとき、証明書は、
として表わされ得る。
注釈:上記表は、証明書に含まれる情報の一部だけを示す。証明書は、X.509標準に従い得るが、それに限定されるものではない。
ブロック130で、決定が、署名または証明書が取得されるかどうかについてなされる。取得された場合、ブロック150が実行される。その他の場合には、ブロック140が実行される。
ブロック140で、端末のマシン識別コードの登録処理が開始される。処理が終了する。
この実施形態において、サービスネットワークが第1の要求から署名または証明書を取得しない場合、端末マシン識別コードの登録処理が、以下のアプローチに従って開始される。すなわち、サービスネットワークが、端末にそれのマシン識別コードを報告することを通知して、端末によって報告されたマシン識別コードを登録のために信頼できる機関に提示して、信頼できる機関によって発行された署名または証明書を記憶のために端末に送信する。他の実施形態において、サービスネットワークが、端末に、ネットワークによって提供されるマシン識別コード登録のインターフェースを通して登録のために信頼できる機関にそれ自体のマシン識別コードを提示するように、ならびに信頼できる機関によって発行された署名または証明書を取得して記憶するように、促し得る。
一実施形態において、登録処理では、サービスネットワークまたは信頼できる機関が、端末からサービスネットワークに送信された要求に含まれることになるパラメータとして、記憶のために署名または証明書を端末に送信し得、例えば、クッキー(Cookie)におけるパラメータとして、端末に送信する。
本開示は、端末のマシン識別コードの登録をどのように開始するかについて限定がないことに留意するべきである。上記2つのアプローチ以外で、端末は、要求が署名または証明書を含まないときにサービスネットワークが登録を開始する必要なく、そのような署名または証明書が取得されていないときに信頼できる機関に自発的に登録し得る。
ブロック150で、検証が、署名または証明書のために実行される。検証結果が正当性を示す場合、ブロック170が実行される。その他の場合には、ブロック160が実行される。
このブロックにおいて、サービスネットワークは、信頼できる機関の公開鍵を使用して署名を復号して、署名の検証を達成する。証明書の検証は、既存の証明書検証方法、例えば、証明書の有効期間についての検証を追加すること、あるいは証明書が証明書データベースに存在するかどうかを利用し得る。
署名または証明書の検証が、マシン識別コード識別子が信頼できる機関によって実際に割り当てられたマシン識別コード識別子であることを確保して、非正当なユーザが、マシン識別コードを偽造または改ざんすることを効果的に防ぐ。
ブロック160で、第1の要求が拒否される。処理が終了する。
署名または証明書の検証結果が、非正当性を示す場合には、端末が、信頼できる機関から正当の署名または証明書を取得していないことを示しており、第1の要求は、この時に拒否され得る。第1の要求を拒否するとき、ブロック140で端末のマシン識別コードの登録処理が、設計ニーズに基づいて開始され得る。
ブロック170で、端末が、署名または証明書から取得されたマシン識別コード識別子を使用して識別される。
端末を識別するためにマシン識別コード識別子を使用することは、同じマシン識別コード識別子を有する端末が、同じ端末として識別されることを暗示する。したがって、同じ端末によって送信された要求と関連付けられた時間及び回数の統計が、正しく計算され得、それは、端末がネットワークサービスにアクセスすることを許可されるかどうかを決めるために使用され得る。
第1の要求以外の要求の場合、サービスネットワークは、端末識別を実行してもよいし、または実行しなくてもよい。一実施形態例において、1つのセッションにおいて端末が変えられることは困難であるので、セッションとマシン識別コード識別子との相関関係は、サービスネットワークが、端末がブロック170の後にログインすることを可能にして端末とのセッションを確立する場合に、記録され得る。セッション経由で受信される後続の要求が、マシン識別コード識別子を有する端末によって送信された要求として識別されて、それ故、計算上のリソースを節約する。あるいは、別の実施形態において、端末から送信された各要求が、第1の要求として取り扱われ得、より信頼できる識別を達成するために、その第1の要求から署名または証明書が検証のために取得される。
サービスネットワークは、上記端末識別方法を実装するために、図2に示されるような端末識別システムを利用し得る。識別システムは、以下を含む。
受信モジュール11は、端末から要求を受信するために使用される。
第1の検証モジュール12は、受信モジュールが、第1の要求であって、その第1の要求のために署名または証明書検証が実行されることになる、第1の要求を端末から受信した後、第1の要求から端末のマシン識別コード識別子のために信頼できる機関から署名または証明書を取得して検証するために使用される。ここで、マシン識別コード識別子は、端末のマシン識別コードに信頼できる機関によって割り当てられた識別子である。一実施形態において、受信モジュールによって受信される第1の要求が、匿名ログイン要求及び/または実名ログイン要求を含む。
識別モジュール13は、第1の検証モジュールの検証結果が正当性を示すときに、署名または証明書から取得されたマシン識別コード識別子を使用して端末を識別するために使用される。端末が、成功裏にログインしてサービスネットワークとのセッションを確立した後、識別モジュールは、セッションとマシン識別コード識別子との相関関係を記録し得、マシン識別コード識別子を有する端末から送信された要求として、セッション経由で受信される後続の要求を取り扱い得る。
(任意選択的である)登録開始モジュール14は、以下のアプローチ、すなわち、端末にそれのマシン識別コードを報告するために通知して、端末によって報告されたマシン識別コードを登録のために信頼できる機関に提示して、信頼できる機関によって発行された署名または証明書を記憶のために端末に送信することであって、署名または証明書が、一実施形態において、端末からサービスネットワークに送信された要求に含まれることになるパラメータとして、記憶のために端末に送信される、当該アプローチを使用して、第1の検証モジュールが第1の要求から署名または証明書を取得しないときに、端末マシン識別コードの登録処理を開始すること、あるいはネットワークによって提供されるマシン識別コード登録のインターフェースを通して登録のために信頼できる機関にそれのマシン識別コードを提示するように、ならびに信頼できる機関によって発行された署名または証明書を取得して記憶するように、端末を促すことのために使用される。
実装の間に、上記モジュールが、異なる実体に分散されてもよいし、または同じ実体内に分散されてもよい。
それに応じて、図3に示されるように、信頼できる機関によって端末のマシン識別コードを登録する方法は、以下を含む。
ブロック210は、端末のマシン識別コードを含む登録要求を受信する。
ブロック220は、マシン識別コードを検証して、正当であることが検証される場合、マシン識別コード識別子をマシン識別コードに割り当てる。
ここで、マシン識別コードの検証は、例えば、汎用装置の正当性を検査すること、例えば、ハードディスクが現実の製造業者の装置であるかどうかを、連続番号等を通してチェックすることなどであり得る。この場所における検証は、端末識別のために任意選択的であることに留意するべきである。しかしながら、追加的な検証が、非正当な端末の登録を拒否し得、それ故、端末の信頼性を上げる。
ブロック230は、マシン識別コード識別子を含有する情報のための署名を行って、署名またはその署名を含有する証明書を登録要求元に送信する。
図4に示されるように、信頼できる機関が、
端末のマシン識別コードを含む登録要求を受信するように構成された受信モジュール21、
マシン識別コードを検証するように構成された検証モジュール22、
検証モジュールの検証結果が正当性を示すときに、マシン識別コード識別子をマシン識別コードに割り当てるように構成された割り当てモジュール23、ならびに
マシン識別コード識別子を含有する情報にサインするように、及び署名またはその署名を含有する証明書を登録要求元に送信するように構成された発行モジュール24を含む。
受信された登録要求が、端末を使用するユーザのユーザ情報を更に含むとき、検証モジュールが、ユーザ情報とマシン識別コードの両方のために検証を実行する。発行モジュールは、ユーザ識別子とマシン識別コード識別子の両方のために署名を行う。ここで、ユーザ識別子が、ユーザ情報から取得されるか、またはユーザ情報に従って割り当てられる。
同様に、上記検証モジュールは、任意選択的である。検証モジュールが含まれない時の状況下で、割り当てモジュールは、登録要求に含まれるマシン識別コードにマシン識別コード識別子を直接的に割り当て得る。その上、信頼できる機関に含まれる上記モジュールが、1つの実体に位置してもよく、あるいは様々な実体に分散されてもよいことに留意するべきである。信頼できる機関は、これらの機能を実装するモジュールで構成された論理実体である。
上記実施形態において、マシン識別コードは、ユーザ識別子に縛られず、また、マシン識別コードを取り替える攻撃を受け易い。例えば、第2の端末が、ユーザ間で第1の端末及び第3の端末を用いてセキュリティチャネルを別個に確立した後、第2の端末は、第1の端末から受信されたマシン識別コードをそれ自体のマシン識別コードとして第3の端末に送信して、第3の端末は、第2の端末から送信されたこのマシン識別コードが、第2の端末のマシンコードではないことを識別することができない。したがって、上記実施形態に基づいて、端末は、一実施形態において、端末マシン識別コードの登録処理の間に登録のために信頼できる機関に直接的にまたはサービスネットワークを通してユーザのユーザ情報及びそれ自体のマシン識別コードを提示し得る。ここで、ユーザ情報は、ユーザによって入力され得、あるいはローカルに記憶され得る。登録要求がユーザ情報を含むとき、信頼できる機関は、登録の間にユーザ情報を検証し得る。検証が正当性を示す場合、ユーザ識別子及びマシン識別コード識別子が、署名を行うためにサインされることになる情報として見なされる。ユーザ識別子は、ユーザ情報から取得され得、あるいはユーザ情報に従って割り当てられ得る。そのように、ユーザ識別子及びマシン識別コード識別子は、署名または証明書において共に縛られて、それ故、マシン識別コードを取り替える上記攻撃を効果的に回避する。
第2の実施形態
第1の実施形態におけるサービスネットワークが、端末の識別子としてマシン識別コード識別子を取り扱い、端末の識別を実現する。しかしながら、非正当なユーザは、多数のジャンク署名または証明書を記憶する既存のジャンクアカウントに類似して、信頼できる機関によって発行された多数の署名または証明書を同じマシン内に記憶し得、相違点は、既存のジャンクアカウントの登録と比べて高い費用である。要求は、悪意のあるプログラムを通してサービスネットワークに送信されて、異なる署名または証明書が、異なる要求において使用される。この場合において、サービスネットワークは、端末の効果的な識別を実現することができない。したがって、本実施形態が、第1の実施形態の先頭上にマシン識別コードの検証処理を追加する。
この実施形態において、マシン識別コード識別子及び対応するマシン識別コードまたはそれの派生コードが、データベース内に記憶されることを必要とされる。具体的には、信頼できる機関は、割り当てられた端末のマシン識別コード及びマシン識別コード識別子をそれによってそれに応じてデータベース内に記憶し得、維持し得る。あるいは、信頼できる機関は、端末のマシン識別コード及びマシン識別コード識別子をデータベース内への記憶とサービスネットワークによる保守のためにサービスネットワークに送信し得る。端末のマシン識別コードのプライバシをより良い手法で保護するために、マシン識別コードの派生コードは、マシン識別コードの代用になり得、代わりにデータベース内に記憶され得る。マシン識別コードの派生コードは、マシン識別コードのために実行された計算に基づいて取得されたコードのことを指す。例えば、マシン識別コードが、Nビットハードウェア情報及び/またはMビットブラウザソフトウェア情報を含むとき、Nビットハードウェア情報及び/またはMビットブラウザソフトウェア情報のハッシュ値が、そのマシン識別コードの派生コードとして見なされ得る。
図5に示されるように、この実施形態においてマシン識別コードを検証する処理は、以下を含む。
ブロック310は、サービスネットワークによって端末から送信された要求を受信する。
ブロック320は、受信された要求が、マシン識別コード検証を必要とする第2の要求であるかどうかを決定する。そうではない場合、ブロック330が実行される。その他の場合には、ブロック340が実行される。
この実施形態において、マシン識別コード検証を必要とする第2の要求が、サービスネットワーク及び端末によって前もって合意されて、あるいは他の実施形態において、サービスネットワークまたは端末によって設定され得る。第2の要求が端末によって設定されるとき、サービスネットワークは、要求が、端末のマシン識別コード及び署名/証明書を含むかどうかを検査することによって、要求が第2の要求であるかどうかを決定し得る。第2の要求がサービスネットワークによって設定されるとき、サービスネットワークは、マシン識別コード及び署名/証明書を報告することを端末に通知し得る。本開示は、どのような要求が第2の要求として見なされるかに関して限定がない。
例えば、高いセキュリティ要件を有するサービスネットワークのために、端末から送信された全要求が、端末の信頼性を確保する及びネットワークサービスのセキュリティレベルを向上するための第2の要求として設定され得る。
別の実施例として、以下の1以上の種類の要求が、第2の要求として見なされ得る。
実名登録要求、
匿名登録要求、
所定のセキュリティレベルより高いセキュリティレベルを有する要求、例えば、アカウント間の支払いや振替を含む要求など、
マシン識別コードが、無作為化アルゴリズム、例えば、端末が、特定の要求を第2の要求として無作為に決定し得ることに基づく検証のために設定されるという要求、
マシン識別コードが、テストサイクル、例えば、1つのテストを完了した後、端末が、所定の時間区分内、すなわち、テストサイクル内に、テストを再び実行しないことに従う検証のために設定されるという要求、ならびにこのテストサイクルが第2の要求として決定された後に送信された要求。
一実施形態において、データセキュリティのための要件が低いというシナリオにおいて、この実施形態におけるマシン識別コードの検証が、飛ばされ得る。
ブロック330は、他の要求のための処理方法に従う処理を実行する。処理が終了する。
要求が第1の要求である場合、署名または証明書の検証が、端末を識別するためにこの時に実行され得る。他の要求の場合、端末の識別は、実行される必要がなくてもよく、または端末は、マシン識別コード識別子とセッションとの記録された相関関係に基づいて識別され得る。
ブロック340は、第2の要求から端末のマシン識別コード及び署名または証明書を取得して、署名または証明書が、正当であることが検証される場合、署名または証明書から取得されるマシン識別コード識別子に基づいて、データベースから対応するマシン識別コードあるいはそれの派生コードを照会する。
ブロック350は、取得されるマシン識別コードまたは派生コードが、見付けられるマシン識別コードまたは派生コードと同じであるかどうかを決定する。そうではない場合、ブロック360が実行される。その他の場合には、ブロック370が実行される。
データベースがマシン識別コードを記憶する場合、サービスネットワークは、データベース内の対応するマシン識別コードと取得されたマシン識別コードを比較する必要だけがある。データベースがマシン識別コードの派生コードを記憶する場合、サービスネットワークは、最初に同じアルゴリズムに従って取得されたマシン識別コードから派生コードを計算して取得する必要があり、データベース内の対応する派生コードとその派生コードを比較する。
ブロック360は、この要求を拒否する。処理が終了する。
要求を拒否した後、他の処理は実行され得ず、またはユーザは、マシン識別コードの登録を再び実行することを促され得る。あるいは、マシン識別コード識別子が、無効または非正当として設定され得、それぞれの署名または証明書においてこのマシン識別コード識別子を含む後続の受信される要求が、全て拒否され得る。
ブロック370は、ネットワークサービスのアクセスに関して別の決定を実行することを進める。
ここで、ネットワークサービスのアクセスに関して別の決定が、例えば、端末から送信された要求の間隔及び回数についての統計を計算して、端末の要求が、悪意のあるコンピュータプログラム等から送信されたかどうかを決定することであり得る。
第2の要求がまた第1の要求である場合、第1の要求のための他の処理、例えば、署名または証明書におけるマシン識別コード識別子に基づいて端末を識別することが、完了される必要があることに留意するべきである。
この実施形態において、サービスネットワークにおける端末識別システムが、第1の実施形態の先頭上に、以下の機能及び機能モジュールを追加する。すなわち、
第1の検証モジュールは、受信モジュールが、マシン識別コードが端末から検証される必要があるという第2の要求を受信するときに、署名または証明書の検証を実行するように更に構成される。
その上、端末識別システムが、
端末のマシン識別コード識別子及び対応するマシン識別コードまたはそれの派生コードを記憶するように構成されたデータベースと、
第1の検証モジュールが、第2の要求における署名または証明書が正当であることを検証したときに、署名または証明書において取得されたマシン識別コード識別子に従って、データベース内の対応するマシン識別コードまたは派生コードを照会して、第2の要求から取得されたマシン識別コードまたは派生コードが、照会から見付けられるマシン識別コードまたは派生コードと同じであるかどうかを決定して、同じである場合には正当あるいはその他の場合には非正当としてマシン識別コードのための検証結果を設定するように構成された、第2の検証モジュールと、
第2の検証モジュールの検証結果が非正当として設定されるときに、要求を拒否するように構成されたアクセス制御モジュールと、を更に含む。
図6は、システムの実施例600、例えば、上記したようなシステムなどをより詳細に例示する。一実施形態において、システム600は、限定されるものではないが、1以上のプロセッサ601、ネットワークインターフェース602、メモリ603、及び入出力インターフェース604を含むことができる。
メモリ603は、揮発性メモリ、例えばランダムアクセスメモリ(RAM)など、及び/または不揮発性メモリ、例えば読み取り専用メモリ(ROM)もしくはフラッシュRAMなどの形態で、コンピュータで読み取り可能な媒体を含み得る。メモリ603は、コンピュータで読み取り可能な媒体の実施例である。
コンピュータで読み取り可能な媒体が、例えばコンピュータで読み取り可能な命令、データ構造、プログラムモジュール、もしくは他のデータなどの情報の記憶のために任意の方法または技術において実装された揮発性及び不揮発性の、取り外し可能なならびに取り外し不可能な媒体を含む。コンピュータ記憶媒体の実施例は、限定されるものではないが、相変化メモリ(PRAM)、静的ランダムアクセスメモリ(SRAM)、動的ランダムアクセスメモリ(DRAM)、他の種類のランダムアクセスメモリ(RAM)、読み取り専用メモリ(ROM)、電気的に消去可能でプログラム可能な読み取り専用メモリ(EEPROM)、フラッシュメモリまたは他のメモリ技術、コンパクトディスク読み取り専用メモリ(CD−ROM)、デジタル多用途ディスク(DVD)または他の光記憶装置、磁気カセット、磁気テープ、磁気ディスク記憶装置または他の磁気記憶デバイス、あるいはコンピューティングデバイスによるアクセスのための情報を記憶するために使用され得る任意の他の非伝送媒体を含む。本明細書において定義される際、コンピュータで読み取り可能な媒体が、一時的な媒体、例えば変調データ信号及び搬送波などを含まない。
メモリ603は、プログラムモジュール605及びプログラムデータ606を含み得る。一実施形態において、プログラムモジュール605は、受信モジュール607、第1の検証モジュール608、第2の検証モジュール609、識別モジュール610、登録モジュール611、及びアクセス制御モジュール612を含み得る。いくつかの実施形態において、メモリ603が、データベース613を更に含んでもよい。これらのプログラムモジュールについての詳細は、上記した前述の実施形態において見付けられ得る。
図7は、信頼できる機関の実施例700、例えば上記したような信頼できる機関などをより詳細に例示する。一実施形態において、信頼できる機関700は、限定されるものではないが、1以上のプロセッサ701、ネットワークインターフェース702、メモリ703、及び入出力インターフェース704を含むことができる。メモリ703は、揮発性メモリ、例えばランダムアクセスメモリ(RAM)など、及び/または不揮発性メモリ、例えば読み取り専用メモリ(ROM)もしくはフラッシュRAMなどの形態で、コンピュータで読み取り可能な媒体を含み得る。メモリ703は、コンピュータで読み取り可能な媒体の実施例である。
メモリ703は、プログラムモジュール705及びプログラムデータ706を含み得る。一実施形態において、プログラムモジュール705は、受信モジュール707、検証モジュール708、割り当てモジュール709、及び発行モジュール710を含み得る。これらのプログラムモジュールについての詳細は、上記した前述の実施形態において見付けられ得る。
当業者は、前述の方法の全てまたは一部が、関連のあるハードウェア構成要素に命令するプログラムによって実行され得ることを理解することができる。プログラムは、コンピュータで読み取り可能な記憶媒体、例えば、読み取り専用メモリ、磁気ディスク、または光ディスクなどの中に記憶され得る。任意選択的に、前述の実施形態の全てまたは一部が、1以上の集積回路を使用して実装され得る。したがって、前述の実施形態の各モジュール/ユニットは、ハードウェアまたはソフトウェア機能モジュールの形態で実装され得る。本開示は、ハードウェアとソフトウェアの組み合わせの任意の特定の形態に限定されない。
上記したものは、本開示の単に好適な実施形態に過ぎず、本開示の限定として解釈されるべきではない。当業者のために、開示された方法及びシステムが、種々の変更や修正に適応できる。本開示の趣旨及び原理内にある任意の変更、等価物及び改善等が、本開示の保護の下で包含される。

Claims (20)

  1. 第1の要求であって、その第1の要求について署名または証明書検証が実行されることになる、第1の要求を端末からサービスネットワークによって受信することと、
    前記第1の要求から前記端末のマシン識別コード識別子のための信頼できる機関の署名または証明書を前記サービスネットワークによって取得することであって、前記マシン識別コード識別子が、前記信頼できる機関によって前記端末の前記マシン識別コードに割り当てられた識別子である、取得することと、
    前記サービスネットワークが、前記取得された署名または証明書を検証して、前記取得された署名または証明書が正当であることが検証される場合、前記署名または証明書から取得された前記マシン識別コード識別子を使用して前記端末を識別することと、を含む、端末識別方法。
  2. 前記第1の要求が、匿名登録要求及び/または実名登録要求を備える、請求項1に記載の前記方法。
  3. 前記サービスネットワークが、前記署名または証明書から取得された前記マシン識別コード識別子を使用して前記端末を識別した後、前記方法が、
    前記サービスネットワークが、前記端末がログインすることを可能にして前記端末とのセッションを確立する場合、前記サービスネットワークが、前記セッションと前記マシン識別コード識別子との相関関係を記録することと、
    前記サービスネットワークが、前記マシン識別コード識別子の前記端末から送信された要求として前記セッション経由で受信される後続の要求を識別することと、を更に含む、請求項2に記載の前記方法。
  4. 前記サービスネットワークが前記第1の要求から前記署名または証明書を取得しない場合、
    前記サービスネットワークが、前記端末にそれの前記マシン識別コードを報告することを通知して、前記端末によって報告された前記マシン識別コードを登録のために前記信頼できる機関に提示して、前記信頼できる機関によって発行された署名または証明書を記憶のために前記端末に送信すること、あるいは
    前記サービスネットワークが、前記端末に、前記ネットワークによって提供されるマシン識別コード登録のインターフェースを通して登録のために前記信頼できる機関にそれの前記マシン識別コードを提示して、前記信頼できる機関によって発行された前記署名または証明書を取得して記憶するように促すことによって、前記サービスネットワークが、前記端末マシン識別コードの登録処理を開始する、請求項1に記載の前記方法。
  5. 前記端末マシン識別コードの前記登録処理が、
    前記端末が、直接的にまたは前記サービスネットワーク経由で登録のために前記信頼できる機関にユーザのユーザ情報及びそれの前記マシン識別コードを提示することを更に含み、前記信頼できる機関によって発行された前記署名または証明書が、前記署名と関連付けられた情報として前記ユーザのユーザ識別子及び前記端末の前記マシン識別コード識別子を含む、請求項4に記載の前記方法。
  6. 前記サービスネットワークまたは前記信頼できる機関が、前記信頼できる機関によって発行された署名または証明書を記憶のために前記端末に送信することが、
    前記サービスネットワークに前記端末によって送信された要求に含まれることになるパラメータとして、記憶のために前記端末に前記署名または証明書を送信することを含む、請求項4に記載の前記方法。
  7. 前記端末の前記マシン識別コード識別子及び対応するマシン識別コードまたはそれの派生コードをデータベース内に記憶することと、
    前記サービスネットワークが、前記端末から、マシン識別コード検証が実行されるという第2の要求を受信することと、
    前記サービスネットワークが、前記第2の要求から前記端末の前記マシン識別コード及び署名または証明書を取得して、前記署名または証明書が正当であることを検証した後、前記署名または証明書から取得された前記マシン識別コード識別子に基づいて、前記データベース内の前記対応するマシン識別コードあるいは前記派生コードを照会することと、
    前記第2の要求から取得された前記マシン識別コードまたは派生コードが、照会において見付けられる前記マシン識別コードまたは前記派生コードとは異なる場合、前記要求を断ることと、を更に含む、請求項1に記載の前記方法。
  8. 前記端末から送信された各要求が前記第2の要求であり、または前記第2の要求が、
    実名登録要求、
    匿名ログイン要求、
    所定のセキュリティレベルより高いセキュリティレベルを有する要求、
    マシン識別コードが、無作為化アルゴリズムに基づく検証のために設定されるという要求、及び
    マシン識別コードが、テストサイクルに従う検証のために設定されるという要求のうちの1以上を含む、請求項7に記載の前記方法。
  9. 端末マシン識別コードを登録する方法であって、
    端末のマシン識別コードを含む登録要求を受信することと、
    前記マシン識別コードを検証することと、
    前記マシン識別コードが正当であることが検証される場合、マシン識別コード識別子を前記マシン識別コードに割り当てることと、
    前記マシン識別コード識別子を含む情報のための署名を行うことと、
    前記登録要求の元に前記署名を含む前記署名または証明書を送信することと、を含む、前記方法。
  10. 前記登録要求が、前記端末を使用するユーザのユーザ情報を更に含み、前記方法が、
    前記ユーザ情報を検証することと、
    前記ユーザ情報が正当であることが検証される場合、ユーザ識別子及び前記マシン識別コード識別子のための前記署名を共に行うことであって、前記ユーザ識別子が、前記ユーザ情報から取得されるか、または前記ユーザ情報に従って割り当てられる、行うことと、を更に含む、請求項9に記載の前記方法。
  11. 端末から要求を受信するために使用される受信モジュールと、
    前記受信モジュールが、第1の要求であって、その第1の要求のために署名または証明書検証が実行されることになる、第1の要求を前記端末から受信した後、前記第1の要求から前記端末のマシン識別コード識別子のために信頼できる機関の署名または証明書を取得して検証するために使用される第1の検証モジュールであって、前記マシン識別コード識別子が、前記信頼できる機関によって前記端末の前記マシン識別コードに割り当てられた識別子である、第1の検証モジュールと、
    前記第1の検証モジュールが、前記署名または証明書が正当であることを検証した後、前記署名または証明書から取得された前記マシン識別コード識別子を使用して前記端末を識別するために使用される、識別モジュールと、を備える、端末識別システム。
  12. 前記受信モジュールによって受信される前記第1の要求が、匿名登録要求及び/または実名登録要求を備える、請求項11に記載の前記端末識別システム。
  13. 前記識別モジュールが、前記署名または証明書から取得された前記マシン識別コード識別子を使用して前記端末を識別した後、前記端末が、成功裏にログインして前記サービスネットワークとのセッションを確立する場合、前記セッションと前記マシン識別コード識別子との相関関係が記録されて、前記セッション経由で受信される後続の要求が、前記マシン識別コード識別子を有する前記端末から送信された要求として識別される、請求項12に記載の前記端末識別システム。
  14. 前記第1の検証モジュールが、前記第1の要求から前記署名または証明書を取得しないときに、
    前記端末にそれの前記マシン識別コードを報告することを通知して、前記端末によって報告された前記マシン識別コードを登録のために前記信頼できる機関に提示して、前記信頼できる機関によって発行された署名または証明書を記憶のために前記端末に送信すること、あるいは
    前記端末に、前記ネットワークによって提供されたマシン識別コード登録のインターフェースを通して登録のために前記信頼できる機関にそれの前記マシン識別コードを提示して、記憶のために前記信頼できる機関によって発行された前記署名または証明書を取得するように促すことによって、前記端末マシン識別コードの登録処理を初期化するために使用される、登録初期化モジュールを更に備える、請求項11に記載の前記端末識別システム。
  15. 前記登録開始モジュールが、記憶のために前記端末に前記信頼できる機関によって発行された前記署名または証明書を送信することが、前記サービスネットワークに前記端末によって送信された前記要求に含まれることになるパラメータとして、記憶のために前記端末に前記署名または証明書を送信することを含む、請求項14に記載の前記端末識別システム。
  16. 前記受信モジュールが、第2の要求であって、その第2の要求のためにマシン識別コード検証が実行されることになる、第2の要求を前記端末から受信した後に、前記第1の検証モジュールが、それの署名または証明書を検証するために更に使用されて、前記端末識別システムが、
    前記端末の前記マシン識別コード識別子及び対応するマシン識別コードまたはそれの派生コードを記憶するために使用される、データベースと、
    前記第1の検証モジュールが、前記第2の要求における前記署名または証明書が正当であることを確認するときに、前記署名または証明書から取得された前記マシン識別コード識別子に従って、前記データベース内の前記対応するマシン識別コードまたは前記派生コードを照会して、前記第2の要求から取得された前記マシン識別コードまたは前記派生コードが、照会において見付けられる前記マシン識別コードまたは前記派生コードと同じであるかどうかを決定して、同じである場合には正当性あるいはその他の場合には非正当性を示す前記マシン識別コードの検証結果を設定するために使用される、第2の検証モジュールと、
    前記第2の検証モジュールの決定結果が相違を示すときに、前記要求を拒否するために使用される、アクセス制御モジュールと、を更に備える、請求項11に記載の前記端末識別システム。
  17. 前記端末から送信された各要求が前記第2の要求であり、または前記第2の要求が、
    実名登録要求、
    匿名登録要求、
    所定のセキュリティレベルより高いセキュリティレベルを有する要求、
    マシン識別コードが、無作為化アルゴリズムに基づく検証のために設定されるという要求、及び
    マシン識別コードが、テストサイクルに従う検証のために設定されるという要求のうちの1以上を含む、請求項16に記載の前記端末識別システム。
  18. 端末のマシン識別コードを含む登録要求を受信するように構成された受信モジュールと、
    前記マシン識別コードを検証するように構成された検証モジュールと、
    前記検証モジュールが、前記マシン識別コードが正当であることを検証するときに、マシン識別コード識別子を前記マシン識別コードに割り当てるように構成された割り当てモジュールと、
    前記マシン識別コード識別子を含有する情報のための署名を行って、前記署名または前記署名を含有する証明書を前記登録要求の要求元に送信するように構成された発行モジュールと、を備える、信頼できる機関。
  19. 前記受信モジュールによって受信される前記登録要求が、前記端末を使用するユーザのユーザ情報を更に含み、
    前記検証モジュールが、前記ユーザ情報及び前記マシン識別コードを同時に検証して、
    前記発行モジュールが、ユーザ識別子及び前記マシン識別コード識別子のための前記署名を行って、前記ユーザ識別子が、前記ユーザ情報から取得されるか、あるいは前記ユーザ情報に従って割り当てられる、請求項18に記載の前記信頼できる機関。
  20. 前記要求元が、前記端末、あるいはネットワークサービスが前記端末によってアクセスされることを要求されるというサービスネットワークを備える、請求項18に記載の前記信頼できる機関。
JP2016516736A 2013-05-27 2014-05-27 端末識別方法、ならびにマシン識別コードを登録する方法、システム及び装置 Active JP6574168B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201310200130.5A CN104184713B (zh) 2013-05-27 2013-05-27 终端识别方法、机器识别码注册方法及相应系统、设备
CN201310200130.5 2013-05-27
PCT/US2014/039590 WO2014193841A1 (en) 2013-05-27 2014-05-27 Terminal identification method, and method, system and apparatus of registering machine identification code

Publications (2)

Publication Number Publication Date
JP2016521932A true JP2016521932A (ja) 2016-07-25
JP6574168B2 JP6574168B2 (ja) 2019-09-11

Family

ID=51023108

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016516736A Active JP6574168B2 (ja) 2013-05-27 2014-05-27 端末識別方法、ならびにマシン識別コードを登録する方法、システム及び装置

Country Status (7)

Country Link
US (2) US9648008B2 (ja)
EP (1) EP3005648B1 (ja)
JP (1) JP6574168B2 (ja)
CN (1) CN104184713B (ja)
HK (1) HK1202728A1 (ja)
TW (1) TWI633775B (ja)
WO (1) WO2014193841A1 (ja)

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9923719B2 (en) * 2014-12-09 2018-03-20 Cryptography Research, Inc. Location aware cryptography
CN105763521B (zh) * 2014-12-18 2019-09-20 阿里巴巴集团控股有限公司 一种设备验证方法及装置
US10149159B1 (en) * 2015-03-19 2018-12-04 Proxidyne, Inc. Trusted beacon system and method
CN106209744B (zh) * 2015-05-07 2019-08-06 阿里巴巴集团控股有限公司 用户登录会话管控方法、装置及服务器
JP6250595B2 (ja) * 2015-07-01 2017-12-20 e−Janネットワークス株式会社 通信システム及びプログラム
CN106407203A (zh) * 2015-07-29 2017-02-15 阿里巴巴集团控股有限公司 一种对目标终端进行识别的方法和设备
CN106714075B (zh) * 2015-08-10 2020-06-26 华为技术有限公司 一种处理授权的方法和设备
CN105573893B (zh) * 2015-12-25 2018-03-02 珠海国芯云科技有限公司 一种软件监控方法和装置
CN106846562B (zh) * 2016-12-26 2020-01-07 努比亚技术有限公司 一种验证装置以及发送验证信息的方法
CN107360001B (zh) * 2017-07-26 2021-12-14 创新先进技术有限公司 一种数字证书管理方法、装置和系统
CN108986267A (zh) * 2018-06-29 2018-12-11 江苏恒宝智能系统技术有限公司 一种应用于电子密码锁控制的用户注册方法和系统
IL283346B2 (en) * 2018-11-26 2024-04-01 Forticode Ltd Mutual authentication of computer systems on an insecure network
CN110516581A (zh) * 2019-08-21 2019-11-29 新疆丝路大道信息科技有限责任公司 汽车租赁平台用户信息安全识别方法、系统及电子设备
CN112448930A (zh) * 2019-09-02 2021-03-05 北京车和家信息技术有限公司 账号注册方法、装置、服务器及计算机可读存储介质
EP4049164A4 (en) * 2019-10-21 2022-12-07 Universal Electronics Inc. CONSENT MANAGEMENT SYSTEM WITH REGISTRATION AND SYNCHRONIZATION PROCESS
CN111680334B (zh) * 2020-06-11 2023-05-09 深圳市网心科技有限公司 一种磁盘安全访问方法、装置、设备、介质
CN112270161A (zh) * 2020-10-10 2021-01-26 中国信息通信研究院 一种支持自定义编码规则的可信标识符的方法和装置
CN112422709B (zh) * 2020-11-05 2023-06-20 中国联合网络通信集团有限公司 标识管理方法、终端设备、标识解析二级节点及介质
CN113348454A (zh) * 2021-06-25 2021-09-03 商汤国际私人有限公司 一种集群管理方法、装置、电子设备及存储介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008234606A (ja) * 2007-03-23 2008-10-02 Nec Corp 認証連携システム、中継装置、認証連携方法および認証連携プログラム

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050013585A (ko) 2002-06-17 2005-02-04 코닌클리케 필립스 일렉트로닉스 엔.브이. 디바이스들간의 인증 방법
JP4397675B2 (ja) * 2003-11-12 2010-01-13 株式会社日立製作所 計算機システム
US7809949B2 (en) 2005-07-26 2010-10-05 Apple Inc. Configuration of a computing device in a secure manner
WO2007012583A1 (fr) * 2005-07-26 2007-02-01 France Telecom Procede de controle de transactions securisees mettant en oeuvre un dispositif physique unique, dispositif physique, systeme, et programme d'ordinateur correspondants
CN101093566A (zh) * 2006-06-23 2007-12-26 联想(北京)有限公司 一种安全的移动支付系统、设备及方法
US8689300B2 (en) 2007-01-30 2014-04-01 The Boeing Company Method and system for generating digital fingerprint
CN101711383B (zh) * 2007-04-17 2016-06-08 维萨美国股份有限公司 用于认证交易方的方法和系统
CN101312453B (zh) * 2007-05-21 2011-11-02 联想(北京)有限公司 用户终端及其登录网络服务系统的方法
WO2009002804A2 (en) * 2007-06-22 2008-12-31 Chumby Industries, Inc. Systems and methods for device registration
US9043896B2 (en) 2007-08-31 2015-05-26 International Business Machines Corporation Device certificate based appliance configuration
JP5104188B2 (ja) * 2007-10-15 2012-12-19 ソニー株式会社 サービス提供システム及び通信端末装置
WO2010121020A1 (en) 2009-04-15 2010-10-21 Interdigital Patent Holdings, Inc. Validation and/or authentication of a device for communication with a network
US9135424B2 (en) 2009-05-29 2015-09-15 Paypal, Inc. Secure identity binding (SIB)
US9112905B2 (en) 2010-10-22 2015-08-18 Qualcomm Incorporated Authentication of access terminal identities in roaming networks
JP2012216183A (ja) * 2011-03-30 2012-11-08 Sony Corp サーバ装置およびサービス提供方法
US8683232B2 (en) * 2011-05-18 2014-03-25 Cpo Technologies Corporation Secure user/host authentication
CN103024090B (zh) 2011-09-20 2015-07-01 阿里巴巴集团控股有限公司 一种识别用户终端的方法和系统
EP2786607A1 (en) * 2011-12-02 2014-10-08 Entersect Technologies (Pty) Ltd. Mutually authenticated communication
US20130147511A1 (en) 2011-12-07 2013-06-13 Patrick Koeberl Offline Device Authentication and Anti-Counterfeiting Using Physically Unclonable Functions
US9130837B2 (en) * 2012-05-22 2015-09-08 Cisco Technology, Inc. System and method for enabling unconfigured devices to join an autonomic network in a secure manner
US8938792B2 (en) 2012-12-28 2015-01-20 Intel Corporation Device authentication using a physically unclonable functions based key generation system
CN105051699A (zh) * 2013-03-28 2015-11-11 爱迪德技术有限公司 生成标识符

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008234606A (ja) * 2007-03-23 2008-10-02 Nec Corp 認証連携システム、中継装置、認証連携方法および認証連携プログラム

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"国内No. 1のデバイス証明書発行管理サービス 端末識別情報を基に証明書を安全に登録", BUSINESS COMMUNICATION, vol. Vol. 50, No. 5, JPN6018016067, 1 May 2013 (2013-05-01), pages pp. 96-97 *

Also Published As

Publication number Publication date
TWI633775B (zh) 2018-08-21
EP3005648B1 (en) 2020-02-19
HK1202728A1 (en) 2015-10-02
US20170201516A1 (en) 2017-07-13
US9648008B2 (en) 2017-05-09
CN104184713A (zh) 2014-12-03
EP3005648A1 (en) 2016-04-13
US20140351912A1 (en) 2014-11-27
CN104184713B (zh) 2018-03-27
JP6574168B2 (ja) 2019-09-11
TW201445956A (zh) 2014-12-01
WO2014193841A1 (en) 2014-12-04

Similar Documents

Publication Publication Date Title
JP6574168B2 (ja) 端末識別方法、ならびにマシン識別コードを登録する方法、システム及び装置
JP7222036B2 (ja) モデルトレーニングシステムおよび方法および記憶媒体
US10325090B2 (en) Digital identity system
US11055802B2 (en) Methods and apparatus for implementing identity and asset sharing management
WO2020134942A1 (zh) 身份核实方法及其系统
CN108259438B (zh) 一种基于区块链技术的认证的方法和装置
JP6703539B2 (ja) 装置検証方法及び機器
US9785764B2 (en) Digital identity
US9648496B2 (en) Authentication of web content
US20210006410A1 (en) Method for providing virtual asset service based on decentralized identifier and virtual asset service providing server using them
AU2020419017B2 (en) Secure online access control to prevent identification information misuse
TWI587672B (zh) Login authentication method, client, server and system
CN102438013B (zh) 基于硬件的证书分发
US11539526B2 (en) Method and apparatus for managing user authentication in a blockchain network
US20160241531A1 (en) Confidence values
US20190141048A1 (en) Blockchain identification system
US20140157368A1 (en) Software authentication
CN110599342B (zh) 基于区块链的身份信息的授权方法及装置
US10439809B2 (en) Method and apparatus for managing application identifier
CN112000951A (zh) 一种访问方法、装置、系统、电子设备及存储介质
US20230403154A1 (en) Verifier credential determination by a registrant
US20230403254A1 (en) Decentralized identifier determination by a registry operator or registrar
KR101936941B1 (ko) 생체인증을 이용한 전자결재 시스템, 방법 및 프로그램
TWI670990B (zh) 自動連線安全無線網路的方法與系統
WO2023287435A1 (en) Blockchain for digital certificate transactions

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170517

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180327

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180508

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180710

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190108

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190312

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190806

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190815

R150 Certificate of patent or registration of utility model

Ref document number: 6574168

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250