JP2018523444A - 多用途ロングストリング認証キー - Google Patents

多用途ロングストリング認証キー Download PDF

Info

Publication number
JP2018523444A
JP2018523444A JP2018526612A JP2018526612A JP2018523444A JP 2018523444 A JP2018523444 A JP 2018523444A JP 2018526612 A JP2018526612 A JP 2018526612A JP 2018526612 A JP2018526612 A JP 2018526612A JP 2018523444 A JP2018523444 A JP 2018523444A
Authority
JP
Japan
Prior art keywords
authentication
key
digital signature
client device
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2018526612A
Other languages
English (en)
Inventor
エル. デイビス,テリー
エル. デイビス,テリー
Original Assignee
エーティーエフ サイバー,インコーポレイテッド
エーティーエフ サイバー,インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by エーティーエフ サイバー,インコーポレイテッド, エーティーエフ サイバー,インコーポレイテッド filed Critical エーティーエフ サイバー,インコーポレイテッド
Publication of JP2018523444A publication Critical patent/JP2018523444A/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0872Generation of secret information including derivation or calculation of cryptographic keys or passwords using geo-location information, e.g. location data, time, relative position or proximity to other entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3825Use of electronic signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3829Payment protocols; Details thereof insuring higher security of transaction involving key management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Power Engineering (AREA)
  • Finance (AREA)
  • Strategic Management (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Lock And Its Accessories (AREA)
  • Telephonic Communication Services (AREA)

Abstract

保護資源へのアクセスをクライアントデバイスに認証するために多用途ロングストリング認証キーを使用する認証システムが提示される。認証システムは、ロングストリング認証キーの共有知識に基づく。認証キーは、保護資源へのアクセスのためにデジタル署名を引き出すためのプラットフォームとして使用される。1つまたは複数の認証パラメータは、デジタル署名を引き出すかまたはその有効性確認を行うために、認証キーと組み合わせて使用することができる。1つまたは複数の認証パラメータは、キーインデックスパラメータ、キーオフセットパラメータおよびキー長パラメータを含み得る。認証キーから引き出されたデジタル署名は、デジタルハウス、車両のフォブキー、リモートガレージドアオープナ、ホテルの部屋のカードキー、クレジットもしくはデビットカード磁気ストリップもしくはチップ、オンライン金融口座、コンピュータもしくは制御システム、または、ウェブサイト認証など、保護資源への様々なタイプのアクセスを制御するために使用することができる。

Description

歴史を通して、キーは、建物、車両、コンテナ、金庫および同様のものなどの物理的資産への、不完全ではあるが、安価なアクセス制御方法を提供してきた。物理キーは、特有の認証ジオメトリを使用して、1つの特異的に対をなすロックまたは少数の特異的に対をなすロックを操作する。キー認証ジオメトリを生成する現在の方法は、個々のキーソリューションの製作、管理および格納に重点を置く効率要件によって管理されている。しかし、アクセス制御を必要とする私物の大規模な拡散は、意図せぬキー重複に対する懸念を引き起こす。つい最近では、フォブキーの出現により、それらの懸念が多少和らいだ。フォブキーは、内蔵デジタル署名を使用する小型のセキュリティハードウェアデバイスを含む。しかし、デジタル署名を生成する方法論は、それらの前身技術と同じ理由で、すなわち、個々のキーソリューションの製作、管理および格納のための効率的な手段を可能にするために、開発されている。その結果、アクセス制御を必要とする物理的なアイテムの数が増え続けることで、デジタル署名の意図せぬ重複に対する懸念がより多く見られるようになっている。
この開示は、多用途ロングストリング認証キーを使用して認証技法を実装するためのシステムおよび方法について説明する。多用途ロングストリング認証キー(以下、「認証キー」)は、保護資源へのアクセスを認証するための演算的に効率的な方法を提供することができる。認証技法は、認証キーの共有知識に基づく。認証キーは、保護資源へのアクセスのためにクライアントデバイスを認証するデジタル署名を引き出すためのプラットフォームとして使用される。デジタル署名の文字の長さは、認証の必要性、要求されるセキュリティレベル、デバイスサイズおよび/または認証キーのサイズに対応するように設計することができる。認証キーは、長さ数ビットから数テラバイトまたは数ペタバイトまで、サイズが異なり得る。認証キーから引き出されるデジタル署名は、これらに限定されないが、居住用もしくは商業用の建物のためのデジタルアクセスメカニズム、車両のフォブキー、リモートガレージドアオープナ、ホテルの部屋のカードキー、クレジットもしくはデビットカード磁気ストリップもしくはチップ、オンライン金融口座、コンピュータもしくは制御システム、または、ウェブサイト認証など、保護資源への様々なタイプのアクセスを制御するために使用することができる。様々な例では、保護資源は、アクセスを制御することができるいかなる「物理資源」または「デジタル資源」でも構成することができる。
この概要は、詳細な説明において以下でさらに説明される簡略化した形態の色々な概念を紹介するために提供される。この概要は、特許請求される対象物の主要な特徴を識別することを意図せず、対象物の範囲を決定する際に補助として使用することも意図しない。例えば、「技法」という用語は、上記でおよび文書全体を通じて説明される文脈で認められているような、システム、方法、コンピュータ可読命令、モジュール、アルゴリズム、ハードウェア論理および/または動作を指し得る。
詳細な説明は、添付の図を参照して説明する。図中、参照番号の左端の数字は、参照番号が最初に現れる図を識別する。異なる図の同じ参照番号は、同様のまたは同一のアイテムを示す。
多用途ロングストリング認証キーを使用して保護資源へのアクセスを要求するクライアントデバイスの例示的な実装形態を示す。クライアントデバイスは、認証システムを含む保護資源に認証要求を送信する。 多用途ロングストリング認証キーを使用して保護資源へのアクセスを要求するクライアントデバイスの例示的な実装形態を示す。クライアントデバイスは、保護資源から独立した認証システムに認証要求を送信する。 認証キーからデジタル署名を引き出すために使用される認証技法を示す。デジタル署名は、キーインデックスパラメータおよびキー長パラメータを含む認証キーおよび認証パラメータを使用して引き出される。 認証キーからデジタル署名を引き出すために使用される認証技法を示す。デジタル署名は、キーインデックスパラメータ、キー長パラメータおよびキーオフセットパラメータを含む認証キーおよび認証パラメータを使用して引き出される。 保護資源へのアクセスを制御する認証システムの例示的なアーキテクチャを示す。 多用途ロングストリング認証キーを使用して保護資源へのアクセスを要求するクライアントデバイスの例示的なアーキテクチャを示す。 クライアントデバイス識別子、第1のデジタル署名、1つまたは複数の認証パラメータおよび特定のタイプのアクセス要求を含むアクセス要求をクライアントデバイスから受信することに応答して、保護資源へのアクセスを与えるためのプロセスの例示的なフローを示す。 クライアントデバイス識別子および1つまたは複数の認証パラメータを含むアクセス要求をクライアントデバイスから受信することに応答して、保護資源へのアクセスを与えるためのプロセスの例示的なフローを示す。さらに、キーインデックステーブルを使用してアクセス特権を決定することについて説明する。 クライアントデバイスおよび特定のタイプのアクセス要求を含むアクセス要求をクライアントデバイスから受信することに応答して、保護資源へのアクセスを与えるためのプロセスの例示的なフローを示す。
この開示は、保護資源へのアクセスをクライアントデバイスに提供する多用途デジタル認証スキームを提供する。認証スキームは、認証システムとクライアントデバイスとの間のロングストリング認証キーの共有知識に基づく。認証キーは、保護資源へのアクセスのために個々のクライアントデバイスを認証するデジタル署名を引き出すためのプラットフォームとして使用される。いくつかの例では、デジタル署名は、保護資源への制限されたタイプのアクセスと関連付けることができる。他の例では、デジタル署名は、保護資源への無制限のアクセスと関連付けることができる。
認証キーは、ランダム文字のロングストリングを生成することができるいかなる方法でも生成することができる。「ロングストリング」という用語は、本明細書で使用される場合は、デジタル署名と関連付けられた文字の数以上の認証キーの特定の数の文字を説明する。すなわち、非限定的な例として、デジタル署名は、長さ5文字または5ビットで構成することができる。この実例では、対応する「ロングストリング」認証キーは、6文字または6ビットを構成する。本明細書で説明されるように、ロングストリングは、特定の数の文字または特定の数のビットによって定義することができる。いくつかの例では、認証キーは、最初にクライアントデバイスによって引き出され、認証システムと共有される。他の例では、認証キーは、認証システムによって引き出され、クライアントデバイスと共有される。様々な例では、認証キーは、数学的ランダム数字生成器を使用して生成することができる。他の例では、認証キーは、これらに限定されないが、背景放射線、特定の地理的場所(すなわち、交通量の多い通り)からの背景雑音、物理的なベースバンドスペクトル雑音および太陽光波長などの環境データをコード化することによって生成することができる。他の例では、クライアントデバイスの個々のユーザは、特定のデジタル写真の個々の画素、特定の刊行物からの特定のテキスト、または、特定のコンポジションもしくはデジタル記録から抜粋された音声をコード化することによって、認証キーを生成することができる。言い換えれば、認証キーは、ある瞬間、環境条件または個々のユーザに特有の文字のロングストリングをデジタル符号化するいかなる手段によっても生成することができる。
認証キーを生成することに応答して、認証キーは、保護資源へのアクセスを要求するクライアントデバイスと保護資源へのアクセスを制御する認証システムとの間で共有することができる。そうすることにより、認証キーは、1つまたは複数の特有のデジタル署名を引き出すことができる共通のプラットフォームになる。
様々な例では、特定の認証キーは、複数の保護資源に対する特有のデジタル署名を引き出すための共通のプラットフォームとして使用することができる。非限定的な例として、単一の認証キーは、クライアントデバイスと関連付けることができ、認証キーは、これらに限定されないが、商業用または居住用の建物アクセス、車両アクセスおよび運用、ならびに、金融資産へのアクセスなど、広範な保護資源に対するデジタル署名を引き出すために使用することができる。他の例では、特定の認証キーは、1つの保護資源と関連付けることができ、複数の認証キーを使用して、対応する複数の保護資源にアクセスすることができる。
様々な例では、保護資源へのアクセスを求める要求には、クライアントデバイス識別子が付随する。クライアントデバイス識別子は、認証システムによって、クライアントデバイスに対応する認証キーを識別するために使用することができる。いくつかの例では、認証システムには、数百万とはいかないまでも、いくつかのユーザのアクセスを認証するタスクを課すことができる。この実例では、クライアントデバイス識別子は、複数(例えば、数百万)の認証キーから特定の認証キーを効率的に識別することができ、従って、認証プロセスを効率化する。同じクライアントデバイスは複数の認証キーを認証システムと共有できることに留意されたい。従って、延長線上で考えると、同じクライアントデバイスは、複数のクライアントデバイス識別子を有し得る。これは、各認証キーが特定のクライアントデバイスを特定の保護資源と関連付けるためである。クライアントデバイスが複数の保護資源にアクセスする場合は、各保護資源は、それ自体の特有の認証キーを有する可能性が高くなる。従って、クライアントデバイスは、特定の保護資源に対応する特定の認証キーを識別するために、複数のクライアントデバイス識別子を保持している可能性が高い。
様々な例では、保護資源へのアクセスを求める要求は、異なるアクセス特権を行使することを求める要求も含み得る。例えば、1つまたは複数のデジタル署名は、単一の保護資源と関連付けることができ、各デジタル署名は、異なるアクセス特権に対応する。非限定的な例では、金融機関が受信するアクセス要求について考慮する。アクセス要求は、金融機関内で保持される金融資産の残高情報にアクセスすることに関与し得る。あるいは、アクセス要求は、それらの同じ金融資産を使用して金融取引を実行することに関与し得る。この例では、残高情報へのアクセスと金融取引の実行とを別々に提供するために、2つの異なるデジタル署名を金融機関と関連付けることができる。別の例では、保護資源は、ホテルの部屋に対応し得る。この例では、異なるデジタル署名は、ホテル客、客室清掃係、フロントマネージャおよびホテル支配人などの異なるエンティティと関連付けることができる。従って、特定のアクセス特権は、ホテル客、客室清掃係、フロントマネージャおよびホテル支配人の各々と関連付けることができる。例えば、デジタル署名は、特定の勤務時間の間にホテルの部屋へのアクセスを客室清掃係と関連付けることができる。
別の例では、保護資源は、車両に対応し得、異なるデジタル署名は、異なるレベルの車両アクセスと関連付けることができる。例えば、第1のデジタル署名は、日中の車両アクセスを与え、第2のデジタル署名は、無制限の車両アクセスを可能にすることができる。
他の例では、保護資源は、居住用の建物、商業用の建物、または、パワーグリッド変電所などのコンビナートに対応し得る。それに従って、異なるデジタル署名は、保守要員、保安要員および建物の居住者と関連付けることができる。それに従って、各デジタル署名は、異なるレベルのアクセスと関連付けることができる。例えば、保守要員および保安要員には、時間的な建物アクセスを与えることができ、建物の居住者には、無制限のアクセスを与えることができる。
別の例では、保護資源は、航空機または無人航空機(UAV)に対応し得、異なるデジタル署名は、航空機またはUAVの制御を行う異なるエンティティに対応し得る。これらのエンティティは、管制塔、連邦航空局(FAA)および保守要員を含み得る。それに従って、異なるデジタル署名は、エンティティの各々に対する航空機システムの異なるレベルの制御と関連付けることができる。
さらなる別の例では、保護資源は、ビジネス、政府、または、私的もしくは公的コンピューティングシステムに対応し得る。それに従って、異なるデジタル署名は、従業員、顧客、パートナーなどと関連付けられたアクセス特権と関連付けることができる。
様々な例では、保護資源へのアクセスを求める要求は、1つまたは複数の認証パラメータも含み得る。1つまたは複数の認証パラメータは、認証キーからデジタル署名を引き出すかまたはその有効性確認を行うために使用することができる。1つまたは複数の認証パラメータは、これらに限定されないが、キーインデックスパラメータ、キーオフセットパラメータおよびキー長パラメータを含み得る。1つまたは複数の認証パラメータは、以下の図2でさらに詳細に説明する。
様々な例では、保護資源へのアクセスを求める要求は、情報の異なる組合せを含み得る。非限定的な一例では、アクセス要求は、クライアントデバイス識別子、1つまたは複数の認証パラメータ、デジタル署名および特定のタイプのアクセス要求を含み得る。この例では、認証システムは、クライアントデバイス識別子を使用して、認証システム内に格納された対応する認証キーを識別することができる。次いで、1つまたは複数の認証パラメータを使用して、識別した認証キーからデジタル署名を引き出すことができる。また、認証システムは、引き出したデジタル署名が、要求に付随するデジタル署名と整合するかを検証することもできる。両方のデジタル署名の整合を検証することに応答して、認証システムは、要求されたアクセスのタイプに基づいて、保護資源へのアクセスをクライアントデバイスに与えることができる。この例示的な認証スキームのフローチャートは、図5でさらに詳細に説明する。
別の例では、保護資源へのアクセスを求める要求は、クライアントデバイス識別子および1つまたは複数の認証パラメータを含み得る。この例では、認証システムは、クライアントデバイス識別子を使用して、認証システム内に格納された対応する認証キーを識別することができる。次いで、1つまたは複数の認証パラメータを使用して、識別した認証キーからデジタル署名を引き出すことができる。また、認証システムは、引き出したデジタル署名を、認証システム内に格納されたデジタル署名のインデックステーブルと比較することもできる。そうすることにより、認証システムは、引き出したデジタル署名の真正性確認を行い、デジタル署名と関連付けられた対応するアクセス要求(例えば、車両ドアを開けるまたは車両エンジンを始動させる)を識別することができる。この例示的な認証スキームのフローチャートは、図6でさらに詳細に説明する。
いくつかの例では、認証キーからデジタル署名を引き出すために1つまたは複数の認証パラメータを使用するよりむしろ、認証キー全体がそれ自体でデジタル署名を構成することができる。この実例では、保護資源へのアクセスを求める要求は、クライアントデバイス識別子および認証キーを含むだけでよい。ここでは、認証システムは、クライアントデバイス識別子を使用して、認証システム内に格納された対応する認証キーを識別することができる。次いで、保護資源へのアクセスは、アクセス要求で提供された認証キーと認証システム内に格納された対応する認証キーとの比較に基づく。
いくつかの例では、保護資源へのアクセスを求める要求は、クライアントデバイス識別子および特定のタイプのアクセスを求める要求を含み得る。この例では、認証システムは、クライアントデバイス識別子を使用して、認証システム内に格納された対応する認証キーを識別することができる。また、認証システムは、1つまたは複数の認証パラメータを決定し、1つまたは複数の認証パラメータに基づいてデジタル署名を引き出すこともできる。そうすることにより、認証システムは、1つまたは複数の認証パラメータに基づいてデジタル署名を要求する表示をクライアントデバイスに送信することができる。それに応答して、クライアントデバイスは、引き出したデジタル署名で答えることができ、それに対し、認証システムは、保護資源へのアクセスを与えるかどうかを判断することができる。この例示的な認証スキームのフローは、図7でさらに詳細に説明する。
認証キーおよび1つまたは複数の認証パラメータを使用して認証を実行する技術上の利点は、可能な認証の組合せの数が、デジタル認証を実行する従来のメカニズムより無限に大きいことである。さらに、本明細書で開示される認証プロセスにより、クライアントデバイスまたは認証システムのいずれの当事者も、デジタル署名のセキュリティが含まれているとその当事者が確信した場合は、デジタル署名を変更することができる。例えば、クライアントデバイスと認証システムは両方とも同じ認証キーを共有するため、各当事者が同じ認証パラメータを使用するならば、各当事者は、認証キーから同じデジタル署名を引き出す同じ能力を有する。従って、いずれの当事者も、デジタル署名を変更することを選ぶことができ、新しいデジタル署名に対応する1つまたは複数の認証パラメータを他方の当事者に提供するだけでよい。従って、セキュリティ手段が含まれている状況では、影響を受けた当事者は、他方の当事者がデジタル署名を変更するのを待つ必要はない。
その上、本明細書で開示される認証技法の追加の利点は、認証キーが、クライアントデバイスと認証システムのみで共有される機械可読データとして、ランダムデータ(すなわち、ランダム数字、環境データまたは個人データ)から符号化されることである。そうすることにより、認証キーの重複が演算上実行不可能であるため、保護資源には追加のレベルの保護が提供される。
様々な例では、本明細書で説明される認証技法は、制限なく、居住用もしくは商業用の建物のためのデジタルアクセスメカニズム、車両のフォブキー、リモートガレージドアオープナ、ホテルの部屋のキー、クレジットもしくはデビット金融口座を含む、保護資源に対するアクセス制御を容易にすることができる。他の例は、制御システム、ソフトウェアアプリケーション、ウェブサイトベースのアプリケーション、または、デジタル認証に依存する他の任意のコンピューティングシステムもしくはアプリケーションを含む。
図1Aは、保護資源104へのアクセスを要求するクライアントデバイス102の例示的な実装形態を示す。いくつかの例では、保護資源104は、これらに限定されないが、車両、建物、ガレージドア、銀行の金融口座およびコンピューティングシステムアプリケーションを含み得る。
示される例では、図1Aは、保護資源104と統合される認証システム108を描写する。認証システム108は、認証キー格納モジュール112、認証パラメータモジュール114、デジタル署名処理モジュール116、キーインデックステーブル118などの1つまたは複数のモジュールを含み得る。認証キー格納モジュール112は、関連付けられたクライアント識別子と共に1つまたは複数の認証キーを格納することができる。各認証キーおよび関連付けられたクライアント識別子は、異なるクライアントデバイス102に対応し得る。認証パラメータモジュール114は、デジタル署名を提供することをクライアントデバイス102に求める要求の一部としてクライアントデバイス102に送信することができる1つまたは複数の認証パラメータを格納することができる。デジタル署名処理モジュール116は、アクセス要求120で提供される1つまたは複数の認証パラメータを使用して、格納された認証キーからデジタル署名を引き出すことができる。キーインデックステーブル118は、保護資源104と関連付けられたアクセス特権と引き出したデジタル署名を相関させるために使用することができる。認証システム108の上記で言及されるモジュールは、図3を参照して以下でさらに詳細に説明する。
示される例では、図1Aは、ラップトップコンピュータ、タブレットコンピュータまたは携帯電話などの多種多様なクライアントデバイス102を描写しているが、クライアントデバイス102は、特定のタイプのデバイスに限定されない。クライアントデバイス102は、コンピュータ可読媒体122をさらに含み、コンピュータ可読媒体122は、これらに限定されないが、認証キー格納モジュール124、認証パラメータモジュール126およびデジタル署名処理モジュール128を含む1つまたは複数のモジュールを含む。認証キー格納モジュール124は、保護資源104などの異なる保護資源と関連付けられた1つまたは複数の認証キーを格納することができる。認証パラメータモジュール126は、認証システム108へのアクセス要求120の一部を形成することができる1つまたは複数の認証パラメータを格納することができる。デジタル署名処理モジュール128は、1つまたは複数の認証パラメータを使用して、格納された認証キーからデジタル署名を引き出すことができる。クライアントデバイス102の上記で言及されるモジュールは、図4を参照して以下でさらに詳細に説明する。
クライアントデバイス102および認証システム108は、1つまたは複数のネットワーク110を介して通信することができる。1つまたは複数のネットワーク110は、インターネットなどのパブリックネットワーク、組織および/または個人のイントラネットなどのプライベートネットワーク、あるいは、プライベートネットワークとパブリックネットワークの何らかの組合せを含み得る。ネットワークは、いかなるタイプの有線または無線ネットワークも含み得、これらに限定されないが、ローカルエリアネットワーク(LAN)、広域ネットワーク(WAN)、衛星ネットワーク、ケーブルネットワーク、Wi−Fiネットワーク、WiMaxネットワーク、モバイル通信ネットワーク(例えば、3G、4Gなど)、Bluetooth(登録商標)もしくは近距離無線通信(NFC)ネットワーク、または、それらの任意の組合せを含む。
図1Bは、保護資源104から独立して動作する認証システム108を示す。認証システム108は、1つまたは複数のネットワーク(110)を介してクライアントデバイス102および保護資源104と通信することができる。この例では、認証システム108は、1つまたは複数のネットワーク110を介してクライアントデバイス102からアクセス要求120を受信する。認証システム108がアクセス要求120の真正性を検証した時点で、認証システム108は、クライアントデバイス102に認証トークン130を送信することができる。次いで、クライアントデバイス102は、認証トークン130を使用して、保護資源104にアクセスすることができる。いくつかの例では、認証トークン130は、保護資源104の識別子、認証システム108の識別子またはクライアントデバイス102の識別子などの暗号化データを含み得る。保護資源104は、暗号キーでトークンを暗号解読し、提供されるように対応する識別子を検証することによって、認証トークン130を認証することができる。
図2Aおよび2Bは、認証キー204からデジタル署名202を引き出すための1つまたは複数の認証パラメータの使用を示す。認証キー204は、ランダム文字のロングストリングを生成することができるいかなる方法によっても生成することができる。前に述べたように、「ロングストリング」は、本明細書で使用される場合は、デジタル署名と関連付けられた文字の数以上の認証キーを定義する特定の数の文字を説明する。認証キー204は、これらに限定されないが、ビット、バイト、16進、ASCIIおよびユニコードなど、いかなるフォーマットでも作成して使用することができる。認証キー204の長さは、数ビットおよび数バイトから数テラバイト、数ペタバイトおよびそれ以上まで、異なり得る。非限定的な例として、4バイト認証キー204は、40億の潜在的な組合せを有し、演算的に厄介な様々なデジタル署名の組合せに取り組もうという試みをしらみつぶしに行う。いくつかの例では、認証システムは、2秒以上の時間遅延を引き起こすこともでき、それにより、潜在的な試みの回数が1日あたり45,000回未満まで低減される。さらに、認証キー204の長さは、設計者のセキュリティ要件およびシステム能力に基づき得る。いくつかの例では、認証キー204は、固定サイズのものであり得る。他の例では、認証キー204は、認証システムのセキュリティ要件に基づいて可変長のものであり得る。
様々な例では、機械可読データを含む認証キー204は、数学的ランダム数字/文字生成器によって英数字コード化することによって生成することができる。他の例では、機械可読データを含む認証キー204は、これらに限定されないが、背景放射線、特定の地理的場所(すなわち、交通量の多い通り)からの背景雑音、物理的なベースバンドスペクトル雑音および太陽光波長などの環境データを英数字コード化することによって生成することができる。他の例では、認証キー204は、特定のデジタル写真の個々の画素、特定の刊行物からの特定のテキスト、または、特定のコンポジションもしくはデジタル記録から抜粋された音声をコード化することによって生成することができる。言い換えれば、文字の認証キー204は、ある瞬間、環境条件または個々のユーザに特有の文字のロングストリングをデジタルコード化するいかなる手段によっても生成することができる。いくつかの例では、認証キー204は、クライアントデバイスによって引き出され、認証システムと共有される。他の例では、認証キー204は、認証システムによって引き出され、クライアントデバイスと共有される。認証キー204は、クライアントデバイスまたは認証システムと関連付けられた1つまたは複数のハードウェアセンサによって引き出すことができる。ハードウェアセンサは、これらに限定されないが、マイクロフォン、全地球測位システム、光センサおよび放射線センサを含み得る。
示される例では、デジタル署名202は、1つまたは複数の認証パラメータを使用して認証キー204から引き出すことができる。デジタル署名202は、1つまたは複数の認証パラメータを使用して、認証キー204の機械可読データを処理することによって引き出される。1つまたは複数の認証パラメータは、キー長パラメータ206、キーインデックスパラメータ208、キーオフセットパラメータ210を含み得、より複雑で高度なセキュリティの実装形態が必要であるいくつかの事例では、ランダマイザパラメータ212も含み得る。
示される例では、キー長パラメータ206は、デジタル署名202を組成する文字の数を示す数値を含み得る。例えば、300のキー長パラメータ206は、300文字のデジタル署名202を反映する。キー長パラメータ206は、認証キー204の文字の長さ以下のいかなる数値も含み得る。いくつかの例では、キー長パラメータ206は、デジタル署名202の予想される総使用回数によって決定することができる。例えば、車両のフォブキーの一部として実装されるデジタル署名202について考える。デジタル署名202の設計者は、車両へのアクセスが20年間で1日あたりおよそ8回と決定することができる。4バイトの文字の長さを有するデジタル署名202が車両のフォブキーに割り当てられる場合は、233,600バイト(すなわち、1日あたり4バイト×8回の使用×1年365日×20年)の長さの認証キー204が必要とされる。現在の演算技術は、233kbの格納要件を十分に満たすことができる。図2Aでは、示されるキー長パラメータ206は6バイトであり、これは、デジタル署名202の文字の長さが6文字であり、「1j3le0」であることを意味する。
示される例では、キーインデックスパラメータ208は、デジタル署名202の第1の文字に対応する認証キー204内の文字位置を識別する。示される例では、キーインデックスパラメータ208は6である。従って、デジタル署名202の第1の文字は、認証キー204の6番目の文字である。
様々な例では、キーインデックスパラメータ208は、既定の時間の後にデジタル署名202を変更するために使用することができる。いくつかの例では、キーインデックスパラメータ208の変更は、クライアントデバイスと認証システムとの間で共有されるアルゴリズムに基づき得る。非限定的な例として、たった1日の認証のために日常的に変更するデジタル署名について考える。この例では、日々の新しいデジタル署名の決定は、独立パラメータによってキーインデックスパラメータ208を修正することによって実装することができる。一例では、独立パラメータは現在の日付であり得る。例えば、2015年8月7日の日付は、「872015」のキーインデックスパラメータ208としてコード化することができ、これは、デジタル署名202の第1の文字が認証キー204の872,015のインデックス位置に位置することを意味する。他の例では、キーインデックスパラメータ208は、整数(すなわち、1〜n)によって決定することも、クライアントデバイスと認証システムとの間で共有されるインデックスキーテーブルにおいてアルゴリズム的に決定することもできる。設計上の必要性に応じて、クライアントデバイスまたは認証システムは、キーインデックスパラメータ208を提供することができる。
図2Bでは、示される例は、キーオフセットパラメータ210を含む。キーオフセットパラメータは、認証キー204内のデジタル署名202の次の文字を識別する数値を含み得る。示される例では、キーオフセットパラメータ210は、「2」に対応する。この例では、デジタル署名202における後続の文字は、認証キー204内の最後に識別された文字位置から2文字位置分だけオフセットされるものとして識別される。従って、キー長パラメータ206およびキーインデックスパラメータ208と組み合わせると、図2Bのデジタル署名は、「13e,m0」に対応する。
他の例では、キーオフセットパラメータ210は、後続の文字位置を識別する公式によって決定することができる。非限定的な例として、「2x」のキーオフセット公式について考える。式中、xは、認証システムによってアクセス要求が受信されたその日の「時刻」である。この例では、午前9時に受信されたアクセス要求は、「18」(すなわち、2×9)のキーオフセットパラメータ210を決定するために使用することができる。いくつかの例では、キーオフセットパラメータ210は、整数(すなわち、1〜n)によって決定することも、クライアントデバイスと認証システムとの間で共有されるキーオフセットパラメータ210インデックステーブルからアルゴリズム的に決定することもできる。設計上の必要性に応じて、クライアントデバイスまたは認証システムは、キーオフセットパラメータ210を提供することができる。
様々な例では、追加のランダマイザパラメータを含めることができる。高度なセキュリティの実装形態の様々な例では、クライアントデバイスは、デジタル署名202を認証システムに送信する前に、デジタル署名202をシャッフルするためのランダマイザ変数または関数を使用することができる。そうすることにより、認証システムは、相補的ランダマイザ変数または関数を使用してデジタル署名202を並べ替えることができる。この例では、クライアントデバイスと認証システムとの間の送信の間に認証プロセスが危険にさらされている場合は、危険にさらす側の当事者は、デジタル署名202を判別するために、依然として、ランダマイザ変数または関数を必要とする。
様々な例では、ランダマイザ変数または関数の使用により、銀行によって実行されるものなど、複雑で高度なセキュリティの実装形態に対する追加のセキュリティ手段を提供することができる。この例では、金融資産をデビットまたはクレジット決済する電子マネーによる支払いを送金することを求める要求には、ランダマイザ変数または関数を付随させることができる。同様に、ランダマイザ変数または関数は、発電機を送電網に接続するかまたは接続しないパワーグリッドコントロール変電所や、送電網の遮断器を開くかまたは閉じるパワーグリッドコントロール変電所の文脈において使用することができる。
様々な例では、クライアントデバイスまたは認証システムのいずれか1つは、いずれかの時点でデジタル署名202を変更することができる。デジタル署名202の変更は、認証パラメータのいずれか1つまたは複数を変更することによって実行することができる。一旦クライアントデバイスまたは認証システムがデジタル署名202を変更すると、クライアントデバイスまたは認証システムは、変化させた認証パラメータを伝達するだけでよい。そうすることにより、変更したデジタル署名202は、変化させたデジタル署名自体を伝達する必要なく、変化させた認証パラメータを使用して再生することができる。
いくつかの例では、デジタル署名202の変更は、認証キー204自体を変更することによって実行することもできる。そうすることにより、認証キー204の変更を引き起こしたクライアントデバイスまたは認証システムは、変更した認証キー204を他方の当事者に伝達することができる。
図3は、保護資源へのアクセスを制御する認証システム302の例示的なアーキテクチャを示す。いくつかの例では、認証システム302は、保護資源から独立して動作し、1つまたは複数のネットワークを介して保護資源と通信することができる。他の例では、認証システム302は、保護資源の一部として含めることができる。
様々な例では、認証システム302は、コンピュータ可読媒体306に動作可能に接続された1つまたは複数のプロセッサ304を含み得る。また、認証システム302は、クライアントデバイスなどの他のネットワーク接続デバイスとの通信を可能にする1つまたは複数のインタフェース308も含み得る。1つまたは複数のネットワークは、インターネットなどのパブリックネットワーク、組織および/または個人のイントラネットなどのプライベートネットワーク、あるいは、プライベートネットワークとパブリックネットワークの何らかの組合せを含み得る。また、ネットワークは、いかなるタイプの有線および/または無線ネットワークも含み得、これらに限定されないが、ローカルエリアネットワーク(LAN)、広域ネットワーク(WAN)、衛星ネットワーク、ケーブルネットワーク、Wi−Fiネットワーク、WiMaxネットワーク、モバイル通信ネットワーク(例えば、3G、4Gなど)、Bluetooth(登録商標)もしくは近距離無線通信(NFC)ネットワーク、または、それらの任意の組合せを含む。
コンピュータ可読媒体306は、コンピュータ可読命令、データ構造、プログラムモジュールまたは他のデータなどの情報の格納のために任意の方法または技術で実装された、揮発性メモリ(RAMなど)、不揮発性メモリおよび/または取り外し不可能メモリを含み得る。コンピュータ可読媒体に含めることができる格納媒体のいくつかの例は、これらに限定されないが、ランダムアクセスメモリ(RAM)、読み取り専用メモリ(ROM)、電気的消去型プログラム可能読み取り専用メモリ(EEPROM)、フラッシュメモリもしくは他のメモリ技術、コンパクトディスク(CD−ROM)、デジタル多用途ディスク(DVD)もしくは他の光学記憶装置、磁気カセット、磁気テープ、磁気ディスク記憶装置もしくは他の磁気記憶装置、または、所望の情報を格納するために使用でき、コンピューティングデバイスによるアクセスが可能な他の任意の媒体を含む。
コンピュータ可読媒体306とは対照的に、通信媒体は、変調データ信号(搬送波など)または他の送信メカニズムにおいて、コンピュータ可読命令、データ構造、プログラムモジュールまたは他のデータを具体化することができる。本明細書で定義されるように、コンピュータ可読媒体306は、通信媒体を含まない。すなわち、コンピュータ可読媒体306は、それ自体が単に変調データ信号、搬送波または伝播信号からなる通信媒体を含まない。
いくつかの実施形態では、コンピュータ可読媒体306は、認証キー格納モジュール310、キーインデックスモジュール314およびデジタル署名処理モジュール316を含み得る。
様々な例では、認証キー格納モジュール310は、多数のクライアントデバイスに対応する認証キーを格納することができる。各認証キーは、クライアントデバイス識別子によって識別することができる。いくつかの例では、クライアントデバイスからアクセス要求を受信することに応答して、認証システム302は、アクセス要求に付随するクライアントデバイス識別子を使用して、クライアントデバイスと関連付けられた認証キーを識別することができる。
様々な例では、認証システム302は、クライアントデバイスに1つまたは複数の認証パラメータを送信し、引き換えにデジタル署名を要求することによって、アクセス要求を認証することができる。1つまたは複数の認証パラメータは、認証システム302内の認証パラメータモジュール312内に格納することができる。認証パラメータモジュール312は、キーインデックスパラメータ、キーオフセットパラメータ、キー長パラメータ、および、ランダマイザ変数または関数などの認証パラメータを格納することができる。この例では、認証システム302は、戻されたデジタル署名を処理して、保護資源へのアクセスをクライアントデバイスに与えるかどうかを判断することができる。認証システム302とクライアントデバイスは同じ認証キーを共有するため、認証システム302は、認証パラメータモジュール312から1つまたは複数の認証パラメータをクライアントデバイスに提供するだけでよい。このタイプの認証プロセスの利点は、認証システム302が、クライアントデバイスとの相互作用を必要とすることなく、デジタル署名をいつでも変更できることである。
様々な例では、アクセス要求の認証は、キーインデックスモジュール314を使用して実行することができる。キーインデックスモジュール314は、1つまたは複数のデジタル署名を保護資源と関連付けるキーインデックステーブルを格納することができる。また、キーインデックステーブルは、特定のタイプのアクセスを保護資源と関連付けることもできる。図3で示される例では、デジタル署名「12q0jrfdh」は、車両B(すなわち、保護資源)と関連付けられ、「エンジンを始動させる」に対応するアクセスのタイプを提供する。また、図3は、別の例も示し、その例では、異なるデジタル署名「20djh4h5」は、同じ車両Bと関連付けられるが、アクセスは、「ドアを開ける」のみに制限される。非限定的な例では、認証システムは、アクセス要求と関連付けられたデジタル署名を検証し、次いで、キーインデックステーブルを使用して、関連保護資源および許可されている関連付けられたアクセスタイプを識別することができる。
様々な例では、デジタル署名処理モジュール316は、認証キーおよび1つまたは複数の認証パラメータを使用してデジタル署名を引き出すことができる。いくつかの例では、デジタル署名処理モジュール316は、引き出したデジタル署名をアクセス要求で受信されたデジタル署名と比較することができる。いくつかの例では、デジタル署名処理モジュール316は、引き出したデジタル署名をキーインデックスモジュール314内に格納されたデジタル署名と比較することができる。他の例では、デジタル署名処理モジュール316は、引き出したデジタル署名をアクセス要求に付随するデジタル署名と比較することと、キーインデックスモジュール314内に格納されたデジタル署名と比較することとを組み合わせて実行することができる。
図4は、認証キーを使用して保護資源へのアクセスを要求するクライアントデバイス402の例示的なアーキテクチャを示す。様々な例では、クライアントデバイス402は、コンピュータ可読媒体406に動作可能に接続された1つまたは複数のプロセッサ404を含み得る。また、クライアントデバイス402は、保護資源または認証システムなどの他のネットワーク接続デバイスとの通信を可能にする1つまたは複数のインタフェース408も含み得る。1つまたは複数のネットワークは、インターネットなどのパブリックネットワーク、組織および/または個人のイントラネットなどのプライベートネットワーク、あるいは、プライベートネットワークとパブリックネットワークの何らかの組合せを含み得る。また、ネットワークは、いかなるタイプの有線および/または無線ネットワークも含み得、これらに限定されないが、ローカルエリアネットワーク(LAN)、広域ネットワーク(WAN)、衛星ネットワーク、ケーブルネットワーク、Wi−Fiネットワーク、WiMaxネットワーク、モバイル通信ネットワーク(例えば、3G、4Gなど)、Bluetooth(登録商標)もしくは近距離無線通信(NFC)ネットワーク、または、それらの任意の組合せを含む。
コンピュータ可読媒体406は、コンピュータ可読命令、データ構造、プログラムモジュールまたは他のデータなどの情報の格納のために任意の方法または技術で実装された、揮発性メモリ(RAMなど)、不揮発性メモリおよび/または取り外し不可能メモリを含み得る。コンピュータ可読媒体に含めることができる格納媒体のいくつかの例は、これらに限定されないが、ランダムアクセスメモリ(RAM)、読み取り専用メモリ(ROM)、電気的消去型プログラム可能読み取り専用メモリ(EEPROM)、フラッシュメモリもしくは他のメモリ技術、コンパクトディスク(CD−ROM)、デジタル多用途ディスク(DVD)もしくは他の光学記憶装置、磁気カセット、磁気テープ、磁気ディスク記憶装置もしくは他の磁気記憶装置、または、所望の情報を格納するために使用でき、コンピューティングデバイスによるアクセスが可能な他の任意の媒体を含む。
コンピュータ可読媒体406とは対照的に、通信媒体は、変調データ信号(搬送波など)または他の送信メカニズムにおいて、コンピュータ可読命令、データ構造、プログラムモジュールまたは他のデータを具体化することができる。本明細書で定義されるように、コンピュータ可読媒体は、通信媒体を含まない。すなわち、コンピュータ可読媒体は、それ自体が単に変調データ信号、搬送波または伝播信号からなる通信媒体を含まない。
いくつかの実施形態では、コンピュータ可読媒体406は、認証キー格納モジュール410、認証パラメータモジュール412およびデジタル署名処理モジュール414を含み得る。
認証キー格納モジュール410は、多数の保護資源に対応する認証キーを格納することができる。各認証キーは、クライアントデバイス402に特有のクライアントデバイス識別子によって識別することができる。いくつかの例では、クライアントデバイス識別子と認証キーとの関連付けは、認証キー格納モジュール410内で実行される。他の例では、関連付けは、認証システムとの相互通信の一部として実行される。
認証パラメータモジュール412は、認証システム302の認証パラメータモジュール312に対応し得る。認証パラメータモジュール412は、キーインデックスパラメータ、キーオフセットパラメータ、キー長パラメータ、および、ランダマイザ変数または関数などの認証パラメータを格納することができる。様々な例では、認証システムは、クライアントデバイス402の認証パラメータモジュール412から送信された1つまたは複数の認証パラメータに基づくデジタル署名を引き出すことによってアクセス要求を認証することができる。
デジタル署名処理モジュール414は、認証システム302のデジタル署名処理モジュール316に対応し得る。いくつかの例では、デジタル署名処理モジュール414は、1つまたは複数の認証パラメータを使用してデジタル署名を引き出すことができる。いくつかの例では、1つまたは複数の認証パラメータは、クライアントデバイス402の認証パラメータモジュール412によって提供される。他の例では、1つまたは複数の認証パラメータは、認証システム302の認証パラメータモジュール312によって提供される。
図5は、クライアントデバイス識別子、第1のデジタル署名、1つまたは複数の認証パラメータおよび特定のタイプのアクセス要求を含むアクセス要求をクライアントデバイスから受信することに応答して、保護資源へのアクセスを与える認証システムの例示的なフローを示す。
502では、認証システムは、クライアントデバイスからアクセス要求を受信する。アクセス要求は、クライアントデバイス識別子、第1のデジタル署名、1つまたは複数の認証パラメータおよび特定のタイプのアクセスを求める要求を含み得る。この例では、認証システムは、アクセス要求からの1つまたは複数の認証パラメータを使用して、アクセス要求で提供された第1のデジタル署名を引き出し、その有効性確認を行うことができる。さらに、特定のタイプのアクセスは、保護資源へのアクセスにおける時間的な制限または保護資源へのアクセスにおける機能的な制限を含み得る。非限定的な例では、特定のタイプのアクセスを求める要求は、勤務時間の間の商業用の建物へのアクセスに関与し得る。別の非限定的な例では、特定のタイプのアクセスは、金融資産の残高情報へのアクセスまたは金融資産を使用した金融取引の実行に関与し得る。他の例では、特定のタイプのアクセスを求めるアクセス要求は、保護資源への無制限のアクセスを含み得る。
504では、認証システムは、クライアントデバイス識別子に対応する共有された認証キーを識別する。様々な例では、認証システムは、数百万とはいかないまでも、いくつかのクライアントデバイスと関連付けられた認証キーを格納することができる。従って、クライアント識別子は、特定のクライアントデバイスと関連付けられた特定の認証キーを効率的に識別することができる。同じクライアントデバイスは複数の認証キーを認証システムと共有できることに留意されたい。従って、延長線上で考えると、同じクライアントデバイスは、複数のクライアントデバイス識別子を有し得、これは、各認証キーが特定のクライアントデバイスを特定の保護資源と関連付けるためである。クライアントデバイスが複数の保護資源にアクセスする場合は、各保護資源は、それ自体の特有の認証キーを有する可能性が高くなる。従って、認証システムは、特定の保護資源に対する特定の共有された認証キーを識別するために、クライアントデバイス識別子を使用する。
506では、認証システムは、識別した認証キーおよびアクセス要求で提供された1つまたは複数の認証パラメータを使用して第2のデジタル署名を引き出す。1つまたは複数の認証パラメータは、キーインデックスパラメータ、キーオフセットパラメータ、キー長パラメータ、または、ランダマイザ変数もしくは関数を含み得る。
508では、認証システムは、アクセス要求で受信した第1のデジタル署名を認証システムが引き出した第2のデジタル署名と比較する。
510では、第1のデジタル署名が第2のデジタル署名と整合するかを認証システムが検証することに応答して、認証システムは、アクセス要求に含まれる特定のタイプのアクセスに少なくとも部分的に基づいて、保護資源へのアクセスをクライアントデバイスに与えることができる。いくつかの例では、認証システムは、保護資源の統合部分であり得る。従って、認証システムは、単に保護資源へのアクセスをクライアントデバイスに与えるだけでよい。他の例では、認証システムは、保護資源から独立して動作することができる。ここでは、認証システムは、アクセス要求において識別された特定のタイプのアクセスに対応するデジタルトークンをクライアントデバイスに提供することができる。
512では、アクセス要求で提供された第1のデジタル署名が、認証システムが引き出した第2のデジタル署名と整合しないと認証システムが判断した場合は、認証システムは、保護資源へのアクセスが拒否されたことを示す表示をクライアントデバイスに送信することができる。
図6は、クライアントデバイス識別子および1つまたは複数の認証パラメータを含むアクセス要求をクライアントデバイスから受信することに応答して、保護資源へのアクセスを与える認証システムの例示的なフローを示す。図6は、キーインデックステーブルを使用したアクセス特権の決定についてさらに説明する。
602では、認証システムは、クライアントデバイスからアクセス要求を受信する。アクセス要求は、クライアントデバイス識別子および1つまたは複数の認証パラメータを含み得る。この例では、認証システムは、クライアントデバイス識別子を使用して、クライアントデバイスと認証システムとの間で共有される認証キーを識別することができる。さらに、1つまたは複数の認証パラメータは、認証キーと組み合わせて使用する際に、デジタル署名を引き出し、その有効性確認を行うために使用することができる。1つまたは複数の認証パラメータは、キーインデックスパラメータ、キーオフセットパラメータ、キー長パラメータ、または、ランダマイザ変数もしくは関数を含み得る。
604では、認証システムは、クライアントデバイス識別子に対応する認証キーを識別することができる。いくつかの事例では、同じクライアントデバイスは、複数のクライアントデバイス識別子を有し得、これは、クライアントデバイスが複数の保護資源へのアクセスを要求することができるためである。これらの事例では、各保護資源は、それ自体の特有の認証キーを有する可能性が高くなる。従って、認証システムは、特定の保護資源に対する特定の共有された認証キーを識別するために、クライアントデバイス識別子を使用する。
606では、認証システムは、識別した認証キーおよび1つまたは複数の認証パラメータを使用してデジタル署名を引き出す。1つまたは複数の認証パラメータは、キーインデックスパラメータ、キーオフセットパラメータ、キー長パラメータ、または、ランダマイザ変数もしくは関数を含み得る。
608では、認証システムは、引き出したデジタル署名を認証システムのキーインデックステーブル内に格納されたデジタル署名と比較する。キーインデックステーブルは、保護資源と関連付けられたアクセス特権と引き出したデジタル署名を相関させるために使用することができる。様々な例では、キーインデックステーブルは、1つまたは複数のデジタル署名を保護資源と関連付けることができる。また、キーインデックステーブルは、特定のタイプのアクセスを保護資源と関連付けることもできる。非限定的な例として、図3に示されるように、「23|e<sdh」というデジタル署名は、建物C(すなわち、保護資源)と関連付けられ、「共通エリアへのアクセスのみ」に対応するアクセスを提供する。別の例では、「904−hjf03」という異なるデジタル署名は、同じ建物Cと関連付けられるが、アクセスは、「午前8時から午前9時までの正面玄関アクセス」に制限される。
610では、引き出したデジタル署名がキーインデックステーブル内のデジタル署名と整合するかを認証システムが検証することに応答して、認証システムは、キーインデックステーブルにおいて識別されたアクセスのタイプに基づいてクライアントデバイスに与えることができる。いくつかの例では、認証システムは、保護資源の統合部分であり得る。従って、認証システムは、単に保護資源へのアクセスをクライアントデバイスに与えるだけでよい。他の例では、認証システムは、保護資源から独立して動作することができる。ここでは、認証システムは、キーインデックステーブルにおいて識別された特定のタイプのアクセスに対応するデジタルトークンをクライアントデバイスに提供することができる。
612では、引き出したデジタル署名がキーインデックステーブルにリストされるデジタル署名と整合しないと認証システムが判断した場合は、認証システムは、保護資源へのアクセスが拒否されたことを示す表示をクライアントデバイスに送信することができる。
図7は、クライアントデバイスおよび特定のタイプのアクセス要求を含むアクセス要求をクライアントデバイスから受信することに応答して、保護資源へのアクセスを与える認証システムの例示的なフローを示す。
702では、認証システムは、クライアントデバイスからアクセス要求を受信する。アクセス要求は、クライアントデバイス識別子および特定のタイプのアクセスを求める要求を含み得る。非限定的な例では、特定のタイプのアクセスを求める要求は、保護資源への制限されたアクセスを含み得る。例えば、特定のタイプのアクセスは、車両をロック解除できることを含むが、車両エンジンを始動できることは含まない。別の非限定的な例では、特定のタイプのアクセスを求める要求は、保護資源への無制限のアクセスを含み得る。
704では、認証システムは、クライアントデバイス識別子に対応する共有された認証キーを識別する。いくつかの例では、同じクライアントデバイスは、複数のクライアントデバイス識別子を有し得、これは、クライアントデバイスが複数の保護資源へのアクセスを要求することができるためである。これらの例では、各保護資源は、それ自体の特有の認証キーを有する可能性が高くなる。従って、認証システムは、特定の保護資源に対する特定の共有された認証キーを識別するために、クライアントデバイス識別子を使用する。
706では、認証システムは、識別した認証キーおよび1つまたは複数の格納された認証パラメータを使用して第1のデジタル署名を生成することができる。1つまたは複数の認証パラメータは、キーインデックスパラメータ、キーオフセットパラメータ、キー長パラメータ、または、ランダマイザ変数もしくは関数を含み得る。
708では、認証システムは、第2のデジタル署名を要求する表示をクライアントデバイスに送信することができる。要求は、第1のデジタル署名を生成するために認証システムによって使用される1つまたは複数の格納された認証パラメータを含み得る。このタイプの認証プロセスの利点は、認証システムが、クライアントデバイスとの相互作用を必要とすることなく、デジタル署名をいつでも変更できることである。例えば、デジタル署名を変更するため、認証システムは、異なる認証パラメータをクライアントデバイスに送信し、異なる認証パラメータに対応するデジタル署名を要求することができる。
710では、認証システムは、クライアントデバイスから第2のデジタル署名を受信し、認証システムが引き出した第1のデジタル署名をクライアントデバイスから受信した第2のデジタル署名と比較する。
712では、第1のデジタル署名が第2のデジタル署名と整合するかを認証システムが検証することに応答して、認証システムは、アクセス要求に含まれる特定のタイプのアクセスに少なくとも部分的に基づいて、保護資源へのアクセスをクライアントデバイスに与えることができる。いくつかの例では、認証システムは、保護資源の統合部分であり得る。従って、認証システムは、単に保護資源へのアクセスをクライアントデバイスに与えるだけでよい。他の例では、認証システムは、保護資源から独立して動作することができる。ここでは、認証システムは、アクセス要求において識別された特定のタイプのアクセスに対応するデジタルトークンをクライアントデバイスに提供することができる。
714では、認証システムが引き出した第1のデジタル署名がクライアントデバイスから受信した第2のデジタル署名と整合しないと認証システムが判断した場合は、認証システムは、保護資源へのアクセスが拒否されたことを示す表示をクライアントデバイスに送信することができる。
[実施例の項]
実施例A、1つまたは複数のプロセッサと、1つまたは複数のプロセッサに結合されたメモリとを含むシステムであって、メモリが、1つまたは複数のモジュールを含み、1つまたは複数のモジュールが、クライアントデバイスから、保護資源へのアクセスを求める要求を受信することであって、要求が、クライアントデバイス識別子および1つまたは複数の認証パラメータを少なくとも含む、受信することと、多数の認証キーからクライアントデバイス識別子に対応する認証キーを識別することと、認証キーおよび1つまたは複数の認証パラメータに少なくとも部分的に基づいて第1のデジタル署名を決定することと、第1のデジタル署名が保護資源と関連付けられた第2のデジタル署名と整合するかを検証することと、保護資源へのアクセスをクライアントデバイスに与えることとを行うように1つまたは複数のプロセッサによって実行可能である、システム。
実施例B、保護資源へのアクセスを求める要求が、保護資源と関連付けられた第2のデジタル署名をさらに含む、実施例Aのシステム。
実施例C、1つまたは複数のモジュールが、キーインデックステーブルを使用して、第2のデジタル署名と、第1のデジタル署名と関連付けられた特定のタイプのアクセスとを識別するように1つまたは複数のプロセッサによってさらに実行可能であり、保護資源へのアクセスをクライアントデバイスに与えることが、第1のデジタル署名と関連付けられた特定のタイプのアクセスに少なくとも部分的に基づく、実施例Aのシステム。
実施例D、キーインデックステーブルが、個々のデジタル署名を個々の保護資源および特定のタイプのアクセスと関連付ける、実施例Cのシステム。
実施例E、特定のタイプのアクセスが、保護資源へのアクセスの時間的な制限または保護資源へのアクセスの機能的な制限の少なくとも1つを含む、実施例Cまたは実施例Dのシステム。
実施例F、1つまたは複数のモジュールが、クライアントデバイスのクライアントデバイス識別子と関連付けるために認証キーを生成することと、クライアントデバイスから保護資源へのアクセスを求める要求を受信する前に、認証キーをクライアントデバイスに送信することとを行うように1つまたは複数のプロセッサによってさらに実行可能である、実施例A〜実施例Eのシステム。
実施例G、認証キーが、特定の地理的場所における環境データの英数字コード化を含み、環境データが、背景放射線、背景雑音、物理的なベースバンドスペクトル雑音または太陽光波長の少なくとも1つを含む、実施例A〜実施例Fのシステム。
実施例H、1つまたは複数の認証パラメータが、第1のデジタル署名の第1の文字に対応する認証キー内の文字位置を識別する数値に対応するキーインデックスパラメータと、認証キー内の現在の文字位置から認証キー内の次の文字位置までのオフセットを識別する数値に対応するキーオフセットパラメータであって、次の文字位置の文字が、第1のデジタル署名の次の文字に対応する、キーオフセットパラメータと、第1のデジタル署名と関連付けられた文字の数を識別する整数に対応するキー長パラメータとを含む、実施例A〜実施例Gのシステム。
実施例I、1つまたは複数の認証パラメータが、キーインデックスパラメータおよびキー長パラメータを含み、認証キーおよび1つまたは複数の認証パラメータに少なくとも部分的に基づいて第1のデジタル署名を決定することが、キーインデックスパラメータおよび認証キーに少なくとも部分的に基づいて、第1のデジタル署名の第1の文字を第1の識別文字として識別することと、キー長パラメータおよび認証キーに少なくとも部分的に基づいて、第1の識別文字から始まる多くの連続文字として第1のデジタル署名を決定することとを含む、実施例Hのシステム。
実施例J、1つまたは複数の認証パラメータが、キーインデックスパラメータおよびキー長パラメータを含み、認証キーおよび1つまたは複数の認証パラメータに少なくとも部分的に基づいて第1のデジタル署名を決定することが、キーインデックスパラメータおよび認証キーに少なくとも部分的に基づいて、第1のデジタル署名の第1の文字を第1の識別文字として識別することと、第1の識別文字から始まる認証キー内の特定の文字を識別することによって、第1のデジタル署名を決定することであって、特定の文字が、キーオフセットパラメータおよびキー長パラメータに少なくとも部分的に基づく、決定することとを含む、実施例Hのシステム。
実施例A〜実施例Jはシステムに関して説明しているが、この文書の文脈において、実施例A〜実施例Jの内容は、方法、デバイスおよび/またはコンピュータ格納媒体を介して実装することもできることが理解されている。
実施例K、1つまたは複数のプロセッサの制御の下、クライアントデバイスから保護資源へのアクセスを求める要求を受信することであって、要求が、クライアントデバイス識別子を少なくとも含む、受信することと、多数の認証キーからクライアントデバイス識別子に対応する認証キーを識別することと、認証キーと関連付けるために1つまたは複数の認証パラメータを生成することと、認証キーおよび1つまたは複数の認証パラメータに少なくとも部分的に基づいて第1のデジタル署名を決定することと、1つまたは複数の認証パラメータを含む表示をクライアントデバイスに送信することであって、表示が、1つまたは複数の認証パラメータに基づく第2のデジタル署名をさらに要求する、送信することと、クライアントデバイスから第2のデジタル署名を受信することと、第1のデジタル署名が第2のデジタル署名と整合するかを検証することに応答して、保護資源へのアクセスをクライアントデバイスに与えることとを含む、コンピュータ実装方法。
実施例L、1つまたは複数の認証パラメータが、独立パラメータの数字コード化に少なくとも部分的に基づき、独立パラメータが、現在の日付または現在の時刻の少なくとも1つを含む、実施例Kのコンピュータ実装方法。
実施例M、保護資源へのアクセスを求める要求が、保護資源への特定のタイプのアクセスを求める要求をさらに含み、保護資源へのアクセスをクライアントデバイスに与えることが、アクセスを求める要求に含まれる特定のタイプのアクセスに少なくとも部分的に基づき、特定のタイプのアクセスが、保護資源へのアクセスの時間的な制限または保護資源へのアクセスの機能的な制限の少なくとも1つに対応する、実施例Kまたは実施例Lのコンピュータ実装方法。
実施例N、1つまたは複数の認証パラメータが、第1のデジタル署名の第1の文字に対応する認証キー内の文字位置を識別する数値に対応するキーインデックスパラメータと、認証キー内の現在の文字位置から認証キー内の次の文字位置までのオフセットを識別する数値に対応するキーオフセットパラメータであって、次の文字位置の文字が、第1のデジタル署名の次の文字に対応する、キーオフセットパラメータと、第1のデジタル署名と関連付けられた文字の数を識別する整数に対応するキー長パラメータとを含む、実施例K〜実施例Mのコンピュータ実装方法。
実施例O、認証キーおよび1つまたは複数の認証パラメータに少なくとも部分的に基づいて第1のデジタル署名を決定することが、キーインデックスパラメータおよび認証キーに少なくとも部分的に基づいて、第1のデジタル署名の第1の文字を第1の識別文字として識別することと、第1の識別文字から始まる認証キー内の特定の文字を識別することによって、第1のデジタル署名を決定することであって、特定の文字が、キーオフセットパラメータおよびキー長パラメータに少なくとも部分的に基づく、決定することとをさらに含む、実施例Nのコンピュータ実装方法。
実施例K〜実施例Oはコンピュータ実装方法に関して説明しているが、この文書の文脈において、実施例K〜実施例Oの内容は、システム、デバイスおよび/またはコンピュータ格納媒体を介して実装することもできることが理解されている。
実施例P、1つまたは複数のプロセッサの制御の下、クライアントデバイスによって、保護資源と関連付けられた認証システムに、保護資源へのアクセスを求める要求を送信することであって、要求が、クライアントデバイス識別子を少なくとも含む、送信することと、クライアントデバイスによって、認証システムから、1つまたは複数の認証パラメータ、および、保護資源へのアクセスを求める要求に対応するデジタル署名を求める要求を受信することと、クライアントデバイスによって、多数の認証キーから保護資源に対応する認証キーを識別することと、クライアントデバイスによって、認証キーおよび1つまたは複数の認証パラメータに少なくとも部分的に基づいてデジタル署名を決定することと、クライアントデバイスによって、認証システムに、デジタル署名を含む表示を送信することと、認証システムによるデジタル署名の検証に応答して、クライアントデバイスによって、保護資源へのアクセスの付与を受信することとを含む、コンピュータ実装方法。
実施例Q、認証システムが、保護資源から独立しており、クライアントデバイスによって、保護資源へのアクセスの付与を受信することが、クライアントデバイスによって、保護資源へのアクセスを認可する安全なトークンを受信することをさらに含む、実施例Pのコンピュータ実装方法。
実施例R、多数の認証キーの個々のものが、多数の保護資源の個々のものに対応し、クライアントデバイス識別子が、クライアントデバイスを認証キーおよび保護資源と関連付ける、実施例Pまたは実施例Qのコンピュータ実装方法。
実施例S、クライアントデバイスによって、クライアントデバイス識別子および保護資源と関連付けるために認証キーを生成することと、保護資源へのアクセスを求める要求を認証システムに送信する前に、認証キーを認証システムに送信することとをさらに含む、実施例P〜実施例Rのコンピュータ実装方法。
実施例T、認証キーが、クライアントデバイスによる、特定のデジタル写真の個々の画素、特定の刊行物からのテキスト部分、または、特定のデジタル記録から抜粋された音声の少なくとも1つの英数字コード化を含む、実施例P〜実施例Sのコンピュータ実装方法。
実施例P〜実施例Tはコンピュータ実装方法に関して説明しているが、この文書の文脈において、実施例P〜実施例Tの内容は、システム、デバイスおよび/またはコンピュータ格納媒体を介して実装することもできることが理解されている。
[結論]
構造上の特徴および/または方法論的な行為に特有の言語で対象物について説明してきたが、添付の請求項で定義される対象物は必ずしも本明細書で説明される特定の特徴または行為に限定されるとは限らないことを理解されたい。むしろ、特定の特徴および行為は、請求項を実装するための例示的な形態として開示される。

Claims (15)

  1. 1つまたは複数のプロセッサと、
    前記1つまたは複数のプロセッサに結合されたメモリとを含むシステムであって、
    前記メモリが、1つまたは複数のモジュールを含み、前記1つまたは複数のモジュールが、
    クライアントデバイスから、保護資源へのアクセスを求める要求を受信することであって、前記要求が、クライアントデバイス識別子および1つまたは複数の認証パラメータを少なくとも含む、受信することと、
    多数の認証キーから前記クライアントデバイス識別子に対応する認証キーを識別することと、
    前記認証キーおよび前記1つまたは複数の認証パラメータに少なくとも部分的に基づいて第1のデジタル署名を決定することと、
    前記第1のデジタル署名が前記保護資源と関連付けられた第2のデジタル署名と整合するかを検証することと、
    前記保護資源へのアクセスを前記クライアントデバイスに与えることと
    を行うように前記1つまたは複数のプロセッサによって実行可能である、システム。
  2. 前記1つまたは複数のモジュールが、キーインデックステーブルを使用して、前記第2のデジタル署名と、前記第1のデジタル署名と関連付けられた特定のタイプのアクセスとを識別するように前記1つまたは複数のプロセッサによってさらに実行可能であり、
    前記保護資源へのアクセスを前記クライアントデバイスに与えることが、前記第1のデジタル署名と関連付けられた前記特定のタイプのアクセスに少なくとも部分的に基づく、請求項1に記載のシステム。
  3. 前記1つまたは複数のモジュールが、
    前記クライアントデバイスの前記クライアントデバイス識別子と関連付けるために認証キーを生成することと、
    前記クライアントデバイスから前記保護資源へのアクセスを求める前記要求を受信する前に、前記認証キーを前記クライアントデバイスに送信することと
    を行うように前記1つまたは複数のプロセッサによってさらに実行可能である、請求項1に記載のシステム。
  4. 前記認証キーが、特定の地理的場所における環境データの英数字コード化を含み、前記環境データが、背景放射線、背景雑音、物理的なベースバンドスペクトル雑音または太陽光波長の少なくとも1つを含む、請求項1に記載のシステム。
  5. 前記1つまたは複数の認証パラメータが、
    前記第1のデジタル署名の第1の文字に対応する前記認証キー内の文字位置を識別する数値に対応するキーインデックスパラメータと、
    前記認証キー内の現在の文字位置から前記認証キー内の次の文字位置までのオフセットを識別する数値に対応するキーオフセットパラメータであって、前記次の文字位置の文字が、前記第1のデジタル署名の次の文字に対応する、キーオフセットパラメータと、
    前記第1のデジタル署名と関連付けられた文字の数を識別する整数に対応するキー長パラメータと
    を含む、請求項1に記載のシステム。
  6. 前記1つまたは複数の認証パラメータが、キーインデックスパラメータおよびキー長パラメータを含み、前記認証キーおよび前記1つまたは複数の認証パラメータに少なくとも部分的に基づいて前記第1のデジタル署名を決定することが、
    前記キーインデックスパラメータおよび前記認証キーに少なくとも部分的に基づいて、前記第1のデジタル署名の第1の文字を第1の識別文字として識別することと、
    前記キー長パラメータおよび前記認証キーに少なくとも部分的に基づいて、前記第1の識別文字から始まる多くの連続文字として前記第1のデジタル署名を決定することと
    を含む、請求項5に記載のシステム。
  7. 前記1つまたは複数の認証パラメータが、キーインデックスパラメータおよびキー長パラメータを含み、前記認証キーおよび前記1つまたは複数の認証パラメータに少なくとも部分的に基づいて前記第1のデジタル署名を決定することが、
    前記キーインデックスパラメータおよび前記認証キーに少なくとも部分的に基づいて、前記第1のデジタル署名の第1の文字を第1の識別文字として識別することと、
    前記第1の識別文字から始まる前記認証キー内の特定の文字を識別することによって、前記第1のデジタル署名を決定することであって、前記特定の文字が、前記キーオフセットパラメータおよび前記キー長パラメータに少なくとも部分的に基づく、決定することと
    を含む、請求項5に記載のシステム。
  8. 1つまたは複数のプロセッサの制御の下、
    クライアントデバイスから保護資源へのアクセスを求める要求を受信することであって、前記要求が、クライアントデバイス識別子を少なくとも含む、受信することと、
    多数の認証キーから前記クライアントデバイス識別子に対応する認証キーを識別することと、
    前記認証キーと関連付けるために1つまたは複数の認証パラメータを生成することと、
    前記認証キーおよび前記1つまたは複数の認証パラメータに少なくとも部分的に基づいて第1のデジタル署名を決定することと、
    前記1つまたは複数の認証パラメータを含む表示を前記クライアントデバイスに送信することであって、前記表示が、前記1つまたは複数の認証パラメータに基づく第2のデジタル署名をさらに要求する、送信することと、
    前記クライアントデバイスから前記第2のデジタル署名を受信することと、
    前記第1のデジタル署名が前記第2のデジタル署名と整合するかを検証することに応答して、前記保護資源へのアクセスを前記クライアントデバイスに与えることと
    を含む、コンピュータ実装方法。
  9. 前記1つまたは複数の認証パラメータが、独立パラメータの数字コード化に少なくとも部分的に基づき、前記独立パラメータが、現在の日付または現在の時刻の少なくとも1つを含む、請求項8に記載のコンピュータ実装方法。
  10. 前記保護資源へのアクセスを求める前記要求が、前記保護資源への特定のタイプのアクセスを求める要求をさらに含み、
    前記保護資源へのアクセスを前記クライアントデバイスに与えることが、アクセスを求める前記要求に含まれる前記特定のタイプのアクセスに少なくとも部分的に基づき、前記特定のタイプのアクセスが、前記保護資源へのアクセスの時間的な制限または前記保護資源へのアクセスの機能的な制限の少なくとも1つに対応する、請求項8に記載のコンピュータ実装方法。
  11. 前記1つまたは複数の認証パラメータが、
    前記第1のデジタル署名の第1の文字に対応する前記認証キー内の文字位置を識別する数値に対応するキーインデックスパラメータと、
    前記認証キー内の現在の文字位置から前記認証キー内の次の文字位置までのオフセットを識別する数値に対応するキーオフセットパラメータであって、前記次の文字位置の文字が、前記第1のデジタル署名の次の文字に対応する、キーオフセットパラメータと、
    前記第1のデジタル署名と関連付けられた文字の数を識別する整数に対応するキー長パラメータと
    を含む、請求項8に記載のコンピュータ実装方法。
  12. 前記認証キーおよび前記1つまたは複数の認証パラメータに少なくとも部分的に基づいて前記第1のデジタル署名を決定することが、
    前記キーインデックスパラメータおよび前記認証キーに少なくとも部分的に基づいて、前記第1のデジタル署名の第1の文字を第1の識別文字として識別することと、
    前記第1の識別文字から始まる前記認証キー内の特定の文字を識別することによって、前記第1のデジタル署名を決定することであって、前記特定の文字が、前記キーオフセットパラメータおよび前記キー長パラメータに少なくとも部分的に基づく、決定することと
    をさらに含む、請求項11に記載のコンピュータ実装方法。
  13. 1つまたは複数のプロセッサの制御の下、
    クライアントデバイスによって、保護資源と関連付けられた認証システムに、前記保護資源へのアクセスを求める要求を送信することであって、前記要求が、クライアントデバイス識別子を少なくとも含む、送信することと、
    前記クライアントデバイスによって、前記認証システムから、1つまたは複数の認証パラメータ、および、前記保護資源へのアクセスを求める前記要求に対応するデジタル署名を求める要求を受信することと、
    前記クライアントデバイスによって、多数の認証キーから前記保護資源に対応する認証キーを識別することと、
    前記クライアントデバイスによって、前記認証キーおよび前記1つまたは複数の認証パラメータに少なくとも部分的に基づいて前記デジタル署名を決定することと、
    前記クライアントデバイスによって、前記認証システムに、前記デジタル署名を含む表示を送信することと、
    前記認証システムによる前記デジタル署名の検証に応答して、前記クライアントデバイスによって、前記保護資源へのアクセスの付与を受信することと
    を含む、コンピュータ実装方法。
  14. 前記クライアントデバイスによって、前記クライアントデバイス識別子および前記保護資源と関連付けるために前記認証キーを生成することと、
    前記保護資源へのアクセスを求める前記要求を前記認証システムに送信する前に、前記認証キーを前記認証システムに送信することと
    をさらに含む、請求項13に記載のコンピュータ実装方法。
  15. 前記認証キーが、前記クライアントデバイスによる、特定のデジタル写真の個々の画素、特定の刊行物からのテキスト部分、または、特定のデジタル記録から抜粋された音声の少なくとも1つの英数字コード化を含む、請求項13に記載のコンピュータ実装方法。
JP2018526612A 2015-08-07 2016-08-05 多用途ロングストリング認証キー Pending JP2018523444A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US14/821,610 2015-08-07
US14/821,610 US9692598B2 (en) 2015-08-07 2015-08-07 Multi-use long string authentication keys
PCT/US2016/045762 WO2017027374A1 (en) 2015-08-07 2016-08-05 Multi-use long string authentication keys

Publications (1)

Publication Number Publication Date
JP2018523444A true JP2018523444A (ja) 2018-08-16

Family

ID=57984602

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018526612A Pending JP2018523444A (ja) 2015-08-07 2016-08-05 多用途ロングストリング認証キー

Country Status (5)

Country Link
US (2) US9692598B2 (ja)
EP (1) EP3332380A4 (ja)
JP (1) JP2018523444A (ja)
KR (1) KR20180039670A (ja)
WO (1) WO2017027374A1 (ja)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10614804B2 (en) * 2017-01-24 2020-04-07 Honeywell International Inc. Voice control of integrated room automation system
CN109548411B (zh) * 2017-07-21 2023-06-16 北京小米移动软件有限公司 一种控制可操控设备接入网络的方法及装置
US11263711B2 (en) * 2018-03-22 2022-03-01 Honeywell International Inc. Revocable certificates for guestroom access and guestroom controls by mobile devices
US10462112B1 (en) * 2019-01-09 2019-10-29 Cyberark Software Ltd. Secure distributed authentication data
US10623446B1 (en) * 2019-09-09 2020-04-14 Cyberark Software Ltd. Multi-factor authentication for applications and virtual instance identities
CN112511569B (zh) * 2021-02-07 2021-05-11 杭州筋斗腾云科技有限公司 网络资源访问请求的处理方法、系统及计算机设备
US11218317B1 (en) * 2021-05-28 2022-01-04 Garantir LLC Secure enclave implementation of proxied cryptographic keys
CN115037507B (zh) * 2022-04-22 2024-04-05 京东科技控股股份有限公司 用户访问管理的方法、装置和系统
US11750615B1 (en) * 2022-09-30 2023-09-05 Cyberark Software Ltd. Securing development and operations pipelines

Family Cites Families (36)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6094487A (en) * 1998-03-04 2000-07-25 At&T Corporation Apparatus and method for encryption key generation
US6813710B1 (en) * 2000-08-10 2004-11-02 Chung Shan Institute Of Science And Technology Invisible electronic signature
US7003108B2 (en) * 2001-02-02 2006-02-21 Asier Technology Corporation Data encryption methodology
EP1253500A1 (en) 2001-04-26 2002-10-30 Nokia Corporation Method and device for authenticating a user on a remote server
US7627761B2 (en) 2002-07-22 2009-12-01 Xerox Corporation System for authentication of JPEG image data
US7729688B2 (en) 2003-12-08 2010-06-01 Ipventure, Inc. Systems and processes to manage multiple modes of communication
JP4736398B2 (ja) * 2004-10-22 2011-07-27 日本電気株式会社 近接する端末間における認証方法、秘匿情報の配送方法、装置、システム、及び、プログラム
WO2006049424A1 (en) * 2004-11-02 2006-05-11 Yong-Seok Jeong Method and apparatus for requesting service using access code
US8050405B2 (en) * 2005-09-30 2011-11-01 Sony Ericsson Mobile Communications Ab Shared key encryption using long keypads
US8504537B2 (en) * 2006-03-24 2013-08-06 Mcafee, Inc. Signature distribution in a document registration system
CN102209395B (zh) * 2006-06-15 2014-04-02 知识产权之桥一号有限责任公司 发送装置、发送方法和接收装置
US20080165965A1 (en) * 2007-01-05 2008-07-10 John Almeida Method of two strings private key (symmetric) encryption and decryption algorithm
US8301912B2 (en) * 2007-12-31 2012-10-30 Sandisk Technologies Inc. System, method and memory device providing data scrambling compatible with on-chip copy operation
US9009796B2 (en) 2010-11-18 2015-04-14 The Boeing Company Spot beam based authentication
US8837716B2 (en) * 2009-02-02 2014-09-16 Apple Inc. Sensor derived authentication for establishing peer-to-peer networks
US20110145572A1 (en) * 2009-12-15 2011-06-16 Christensen Kenneth J Apparatus and method for protecting packet-switched networks from unauthorized traffic
CN102111759A (zh) * 2009-12-28 2011-06-29 中国移动通信集团公司 一种认证方法、系统和装置
US8695104B2 (en) * 2010-04-23 2014-04-08 Dell Products, Lp System and method for creating conditional immutable objects in a storage device
WO2012025987A1 (ja) * 2010-08-24 2012-03-01 三菱電機株式会社 通信端末、通信システム、通信方法及び通信プログラム
US8868915B2 (en) * 2010-12-06 2014-10-21 Verizon Patent And Licensing Inc. Secure authentication for client application access to protected resources
WO2012144849A2 (en) * 2011-04-20 2012-10-26 Innodis Co. Ltd Access authentication method for multiple devices and platforms
US8671458B2 (en) * 2011-04-22 2014-03-11 Google Inc. Transcoding content based on verification of ownership of the content
WO2012174427A2 (en) 2011-06-16 2012-12-20 OneID Inc. Method and system for determining authentication levels in transactions
US8650622B2 (en) * 2011-07-01 2014-02-11 Telefonaktiebolaget Lm Ericsson (Publ) Methods and arrangements for authorizing and authentication interworking
US9075710B2 (en) * 2012-04-17 2015-07-07 SanDisk Technologies, Inc. Non-volatile key-value store
US8744078B2 (en) 2012-06-05 2014-06-03 Secure Channels Sa System and method for securing multiple data segments having different lengths using pattern keys having multiple different strengths
US20150188701A1 (en) 2012-08-24 2015-07-02 Los Alamos National Security, Llc Scalable software architecture for quantum cryptographic key management
JP2014081779A (ja) * 2012-10-16 2014-05-08 Canon Inc 機器管理システム、周辺機器、及びその制御方法。
US10270748B2 (en) 2013-03-22 2019-04-23 Nok Nok Labs, Inc. Advanced authentication techniques and applications
JP6141076B2 (ja) * 2013-04-04 2017-06-07 キヤノン株式会社 システムおよびその制御方法、アクセス管理サービスシステムおよびその制御方法、並びにプログラム
US9432357B2 (en) * 2013-08-28 2016-08-30 Chung Jong Lee Computer network security management system and method
KR20150033895A (ko) * 2013-09-25 2015-04-02 삼성전자주식회사 소모품 유닛에 탑재 가능한 crum 칩과 이를 인증하는 화상형성장치 및 그 인증 방법
US10212143B2 (en) * 2014-01-31 2019-02-19 Dropbox, Inc. Authorizing an untrusted client device for access on a content management system
US10057240B2 (en) * 2014-08-25 2018-08-21 Sap Se Single sign-on to web applications from mobile devices
SE542460C2 (en) * 2014-10-09 2020-05-12 Kelisec Ab Improved security through authenticaton tokens
US10050784B2 (en) 2014-11-13 2018-08-14 Secure Channels Inc. System and method for generating a cryptographic key

Also Published As

Publication number Publication date
EP3332380A1 (en) 2018-06-13
US9692598B2 (en) 2017-06-27
US10243740B2 (en) 2019-03-26
KR20180039670A (ko) 2018-04-18
US20170041146A1 (en) 2017-02-09
EP3332380A4 (en) 2019-04-24
WO2017027374A1 (en) 2017-02-16
US20170257217A1 (en) 2017-09-07

Similar Documents

Publication Publication Date Title
JP2018523444A (ja) 多用途ロングストリング認証キー
US11438169B2 (en) Time-bound secure access
US10089801B1 (en) Universal access control device
US11187013B1 (en) Smart lock box
US8485438B2 (en) Mobile computing device authentication using scannable images
US8220034B2 (en) User authentication based on authentication credentials and location information
AU2019204723C1 (en) Cryptographic key management based on identity information
US10491588B2 (en) Local and remote access apparatus and system for password storage and management
US20180359635A1 (en) Securitization of Temporal Digital Communications Via Authentication and Validation for Wireless User and Access Devices
US9223949B1 (en) Secure transformable password generation
WO2011091558A1 (zh) 网络业务
US11356243B2 (en) Information management system with blockchain authentication
EP4011031B1 (en) Secure identity card using unclonable functions
AU2019204710B2 (en) Managing cryptographic keys based on identity information
US11606696B2 (en) Security mechanism for wireless authentication devices
KR102209481B1 (ko) 계정 키 페어 기반 계정 인증 서비스를 운영하는 방법과 시스템 및 이 방법을 기록한 컴퓨터로 읽을 수 있는 기록 매체
Gujar et al. STEP-2 user authentication for cloud computing
US20180227125A1 (en) Multi-use long string anti-tampering authentication system
RU2817514C1 (ru) Способ и система предоставления доступа к инфраструктурным услугам и сервисам
US20240143719A1 (en) System and method for provisioning a physical security token
US11860992B1 (en) Authentication and authorization for access to soft and hard assets
CN111931197A (zh) 一种基于区块链的电子门禁出入管理方法、设备及介质
Khalkar et al. A Survey on Smart Employee Locker System

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20180420

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20180420