JP2018528504A - 動的パスワードを使用する認証のための方法及びデバイス - Google Patents

動的パスワードを使用する認証のための方法及びデバイス Download PDF

Info

Publication number
JP2018528504A
JP2018528504A JP2017566863A JP2017566863A JP2018528504A JP 2018528504 A JP2018528504 A JP 2018528504A JP 2017566863 A JP2017566863 A JP 2017566863A JP 2017566863 A JP2017566863 A JP 2017566863A JP 2018528504 A JP2018528504 A JP 2018528504A
Authority
JP
Japan
Prior art keywords
terminal
dynamic password
server
code
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2017566863A
Other languages
English (en)
Inventor
リー・ゼヤン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alibaba Group Holding Ltd
Original Assignee
Alibaba Group Holding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alibaba Group Holding Ltd filed Critical Alibaba Group Holding Ltd
Priority claimed from PCT/US2016/040997 external-priority patent/WO2017007767A1/en
Publication of JP2018528504A publication Critical patent/JP2018528504A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • G06F21/46Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/067Network architectures or network communication protocols for network security for supporting key management in a packet data network using one-time keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0846Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/71Hardware identity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Telephonic Communication Services (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

【解決手段】 本出願の実施形態は、認証処理のための方法及びデバイスに関する。方法は、端末を一意に識別する機器コードを取得し、該機器コードと、カウンタの出力値とに少なくとも部分的に基づいて、サーバによる端末の認証のための基準である動的パスワードを生成し、該動的パスワードをサーバに送信し、サーバは、動的パスワードを認証する、ことを含む。
【選択図】 図2

Description

[関連技術の相互参照]
本出願は、2015年7月8日に出願され名称を「A TERMINAL AUTHENTICATION PROCESSING,AUTHENTICATION METHODS AND DEVICE,SYSTEM(端末認証処理、認証の方法、デバイス、及びシステム)」とする中国特許出願第201510397391.X号に基づく優先権を主張する。この出願は、あらゆる目的のために、参照によって本明細書に組み込まれる。
本出願は、認証の分野に関する。特に、本出願は、動的パスワードを使用する方法、デバイス、及びシステムに関する。
動的パスワードは、専用アルゴリズムに基づいて一定の間隔で生成される、時間に関連付けられた予測不能な乱数の組み合わせである。総じて、各パスワードは、動的パスワードを使用して認証を実施するシステムにおいて、一度のみ使用できる。取引及びログオン認証のセキュリティを効果的に保護する能力によって、認証システムとの関連での動的パスワードの使用は、パスワードを定期的に変更する必要をなくし、それによって、セキュリティ上の懸念を軽減している。動的パスワードの使用は、企業内環境において、とりわけ効果的である。動的パスワードは、専用ハードウェア上で及び/又はソフトウェアによって実現できる。
動的パスワードを使用する従来の認証システムにしたがうと、ユーザがログインするときに、そのユーザは、ログオン認証を完了するために、ユーザインターフェースに動的パスワードを入力することを求められる。しかしながら、このような従来の動的パスワード認証方法は、幾つかの欠点を有する。すなわち、このような方法は、比較的費用がかさみ且つ紛失しやすい追加のハードウェアデバイスの持ち運びを必要とすること、動的パスワードが手動で入力されなければならず、そうすることによって入力ミスの可能性を生じること、及びソフトウェアヴァージョンシステム時刻がアップデートするときに、そのアップデートの結果として検証が失敗すること、という欠点を有する。
したがって、認証のために動的パスワードを使用する、より効果的な認証の方法、デバイス、及びシステムが必要とされている。
本発明の様々な実施形態が、以下の詳細な説明及び添付の図面において開示される。
ここで説明される図面は、本発明の理解を深めること及び本出願の一部を構成することを意図している。本発明の代表的な実施形態及びそれらの説明は、本発明を説明することを意図しており、本発明に対する不適切な制限にはならない。
本開示の様々な実施形態にしたがう認証処理のためのデバイスのブロック図である。
本開示の様々な実施形態にしたがう認証処理のための方法のフローチャートである。
本開示の様々な実施形態にしたがう認証処理のための方法のフローチャートである。
本開示の様々な実施形態にしたがう認証処理のための方法のフローチャートである。
本開示の様々な実施形態にしたがう認証処理のためのデバイスのブロック図である。
本開示の様々な実施形態にしたがう認証処理のためのデバイスのブロック図である。
本開示の様々な実施形態にしたがう認証処理のための方法のフローチャートである。
本開示の様々な実施形態にしたがう認証処理のためのデバイスのブロック図である。
本開示の様々な実施形態にしたがう認証処理のためのデバイスのブロック図である。
本開示の様々な実施形態にしたがう認証処理のためのシステムの構造説明図である。
本開示の様々な実施形態にしたがう認証処理のためのシステムの構造説明図である。
本開示の様々な実施形態にしたがう認証処理のためのコンピュータ端末のブロック図である。
本開示の様々な実施形態にしたがう認証処理のためのコンピュータシステムの機能図である。
図中の同じ又は類似の符合は、同じ又は類似の構成要素を表している。
本発明は、プロセス、装置、システム、合成物、コンピュータ読み取り可能ストレージ媒体に実装されたコンピュータプログラム製品、並びに/又は接続先のメモリに格納された命令及び/若しくは接続先のメモリによって提供される命令を実行するように構成されたプロセッサなどのプロセッサを含む、数々の形態で実現できる。本明細書では、これらの実現形態、又は本発明がとりえるその他のあらゆる形態が、技術と称されてよい。総じて、開示されるプロセスのステップの順番は、発明の範囲内で変更されてよい。別途明記されない限り、タスクを実施するように構成されるものとして説明されるプロセッサ又はメモリなどのコンポーネントは、所定時にタスクを実施するように一時的に構成される汎用コンポーネントとして、又はタスクを実施するように製造された特殊コンポーネントとして実現されてよい。本書で使用される「プロセッサ」という用語は、コンピュータプログラム命令などのデータを処理するように構成された1つ以上のデバイス、回路、及び/又は処理コアを言う。
本発明の原理を例示した添付の図面とともに、以下で、本発明の1つ以上の実施形態の詳細な説明が提供される。本発明は、このような実施形態との関連で説明されるが、いずれの実施形態にも限定されない。本発明の範囲は、特許請求の範囲によってのみ限定され、本発明は、数々の代替形態、変更形態、及び等価物を包含している。以下の説明では、本発明の完全な理解を与えるために、数々の具体的詳細が明記されている。これらの詳細は、例示を目的として提供されるものであり、本発明は、これらの詳細の一部又は全部を伴わずとも特許請求の範囲にしたがって実施されてよい。明瞭を期するために、本発明に関連する技術分野で知られる技術要素は、本発明が不必要に不明瞭にならないように、詳細な説明を省略されている。
本書で使用される端末という表現は、総じて、ネットワークシステム内において1つ以上のサーバと通信するために(例えばユーザによって)使用されるデバイスを指している。本開示の様々な実施形態にしたがうと、端末は、通信機能に対応したコンポーネントを含む。例えば、端末は、スマートフォン、タブレットデバイス、携帯電話、ビデオ電話、電子ブックリーダ、デスクトップコンピュータ、ラップトップコンピュータ、ネットブックコンピュータ、携帯情報端末(PDA)、携帯型マルチメディアプレーヤ(PMP)、mp3プレーヤ、モバイル医療機器、カメラ、ウェアラブルデバイス(例えば、頭部装着型デバイス(HMD)、電子衣服、電子ブリッジ、電子ネックレス、電子アクセサリ、電子タトゥ、又はスマートウォッチ)、スマートホーム用電化製品などであることができる。一部の実施形態では、ウェブブラウザ及び/又はスタンドアロンアプリケーションが、各端末にインストールされ、1つ以上のサーバによって運営されているサービス(例えば電子商取引ウェブサイト)にユーザがアクセスすることを可能にしている。
認証処理が説明される。認証処理は、例えば、コンピュータによって実行可能なコマンド群を使用してコンピュータシステム上で実行できる。論理的順序が、図2のプロセス200、図3Aのプロセス300、図3Bのプロセス350、及び図6のプロセス600に示されているが、特定の状況下では、図示及び説明されたこのような方法の要素は、図2、図3A、図3B,及び図6で例示される順序とは異なる順序で実行できる。
図1は、本開示の様々な実施形態にしたがう、認証処理のためのデバイスのブロック図である。
図1を参照すると、デバイス100は、図2のプロセス200又は図3Aのプロセス300との関連で実現できる。デバイス100は、図10のシステム1000、図11のコンピュータ端末1100、又は図12のコンピュータシステム1200との関連で実現できる。デバイス100は、モバイル端末、コンピュータ端末、又は同様の操作機器に含める又はそれ以外の形で対応することができる。
図1に例示されるように、デバイス100は、プロセッサ110と、メモリ120と、通信インターフェース130とを含むことができる。
プロセッサ110は、1つ以上のコンピュータプロセッサを含むことができる。プロセッサ110としては、中央演算処理装置(CPU)、マイクロプロセッサ(MCU)、フィールドプログラマブルロジックデバイス(FPGA)、特殊用途向け集積回路(ASIC)などの処理機器が挙げられ、ただし、これらに限定はされない。
メモリ120は、データを格納するように構成される。一部の実施形態では、メモリ120は、例えば様々な実施形態にしたがう認証処理方法に対応するプログラムコマンド/モジュールのための、アプリケーションソフトウェアのソフトウェアプログラム及びモジュールを格納することができる。例えば、メモリ120は、図2のプロセス200、図3Aのプロセス300、又は図3Bのプロセス350を含むソフトウェアプログラム又は命令を格納することができる。プロセッサ110は、動作の過程でソフトウェアコード及びモジュールをメモリに格納し、それに応じて様々な機能的アプリケーション及びデータ処理を実行し、そうして上記アプリケーションプログラムの脆弱性検出を実現することができる。メモリ120は、ランダムアクセスメモリを含むことができる。メモリ120は、1つ以上の磁気ストレージデバイス、フラッシュメモリ、又はその他の不揮発性ソリッドステートメモリなどの、不揮発性メモリを含むこともできる。一部の実施形態では、メモリ120は、プロセッサ110に対してリモートに配置されたメモリであることができる、又はそうでなければそのように配置されたメモリを含むことができる。例えば、このようなリモートメモリは、ネットワークを通じてプロセッサ110(例えばデバイス100)に接続できる。上記ネットワークの例は、インターネット、企業イントラネット、ローカルエリアネットワーク、広域ネットワーク、モバイル通信ネットワーク、及びこれらの組み合わせを含み、ただし、これらに限定はされない。
通信インターフェース130は、ネットワークを通じてデータを通信する(例えば、データを受信及び/又は伝送する)ために使用される。上記ネットワークの具体例として、デバイス100のための通信プロバイダによって提供されるワイヤレスネットワークが挙げられる。一部の実施形態では、通信インターフェース130は、ネットワークインターフェースコントローラ(NIC)を含み、これは、基地局を通じて他のネットワーク機器にリンクし、それによってインターネットと通信することができる。一部の実施形態では、通信インターフェース130は、ワイヤレス方式で1つ以上の他のデバイスやインターネットなどと通信することができる無線周波数(RF)モジュールである。
図2は、本開示の様々な実施形態にしたがう認証処理のための方法のフローチャートである。
図2を参照すると、認証処理のためのプロセス200が提供される。プロセス200は、例えば、図1のデバイス100、図9のシステム900、図10のシステム1000、又は図12のコンピュータシステム1200によって実行できる。
210では、機器コードが取得される。機器コードは、デバイス又は端末を一意に識別することができる。一部の実施形態では、端末は、端末を一意に識別するために使用される機器コードを読み出す。一部の実施形態では、デバイス100が、それに関係付けられた機器コードを取得することができる。機器コードは、メーカによって設定されてメモリ(例えばメモリ120)に格納でき、特別なアプリケーションプログラミングインターフェース(API)呼び出し又はその他の適切な関数呼び出しを使用して読み出せる。一部の実施形態では、機器コードは、既定の機器コード決定プロセスにしたがって、機器自体の何らかの特性パラメータを使用することによって生成できる。一部の実施形態では、機器コードは、例えば、機器のメモリ又はストレージに格納できる。
機器コードは、端末シリアル番号、国際移動体装置識別番号(IMEI)、国際移動体加入者識別番号(IMSI)、メディアアクセス制御(MAC)アドレス、又はオペレーティングシステムIDのうちの1つ以上に相当する、又はそれに少なくとも部分的に基づいて生成される。一部の実施形態では、機器コードは、端末の特性パラメータに少なくとも部分的に基づいて、所定のプロセスにしたがって生成できる。例えば、機器コードの生成のために少なくとも部分的に基づくことができる特性パラメータは、端末のブランド、端末のモデル番号、端末シリアル番号、国際移動体装置識別番号(IMEI)、国際移動体加入者識別番号(IMSI)、メディアアクセス制御(MAC)アドレス、又はオペレーティングシステム識別子(ID)などのうちの1つ以上を含むことができる。
一部の実施形態では、端末の特性パラメータに少なくとも部分的に基づく機器コードの生成との関連で使用される所定の技術は、関連技術の中の既知の技術を含むことができる。例えば、端末を一意に識別するために使用される機器コードが端末自体の何らかの特性パラメータ又は特性フィールドに基づいて生成できる限り、任意の技術が使用できる。例えば、端末のブランド、端末のモデル番号、端末シリアル番号、IMEI、IMSI、MACアドレス、及びオペレーティングシステムIDを含む特性パラメータが、機器コードを生成するための技術によって使用されるときに、その技術は、deviceId=Hash(C0+C1+C2+C3+C4+C5+C6)であるハッシュ関数に相当することができる。ここで、deviceIdは、機器コードを表し、C0は、ブランドを表し、C1は、モデル番号を表し、C2は、IMEIを表し、C3は、IMSIを表し、C4は、MACアドレス(mac_address)を表し、C5は、端末シリアル番号(serial_num)を表し、C6は、オペレーティングシステムIDを表す。機器コードの生成には、その他の様々な技術が使用できる。C0〜C6は、数値、文字列、又はHash関数によって必要とされるその他の適切なフォーマットをとることができる。Hash()は、SHAやMD5などの暗号学的ハッシュ関数であることができる。
220では、機器コードと、カウンタからの出力値とに少なくとも部分的に基づいて、パスワードが生成される。例えば、端末は、機器コードと、ローカルカウンタの出力値とに基づいて、動的パスワードを生成する。一部の実施形態では、動的パスワードは、端末又は端末に関係付けられたユーザの検証のための基準としてサーバによって使用される。一部の実施形態では、カウンタは、ローカルに伝送された指定イベントの頻度を入力又は特定のパラメータの値として使用するローカルカウンタである。一部の実施形態では、指定イベントの頻度は、期間内における1つ以上のウェブサイトへのアクセス要求の送信時刻に相当することができる。例えば、端末時刻が、ローカルカウンタへの入力として使用できる。例えば、端末時刻2016−06−01−10:05:30は、カウンタ値20160601100530になる。一部の実施形態では、カウンタは、端末との関係でリモートであり、したがって、端末は、機器コードをカウンタ(例えば、カウンタを又はカウンタ値に関係付けられたサービスを運営しているサーバ)に通信し、カウンタは、端末からのこの通信を受けて、出力値又は動的パスワードを戻す。
一部の実施形態では、機器コード(例えば、機器コード自体として、機器コードのハッシュ値としてなどの)に少なくとも部分的に基づいて、種鍵が生成でき、動的パスワードは、種鍵と、カウンタの出力値とに少なくとも部分的に基づいて生成できる。例えば、機器コードと、端末の認証に関係付けられたサーバによって端末に割り当てられたセッションIDと、端末(又は端末に関係付けられたユーザ)に割り当てられたユーザ識別子(UID)とに基づいて、(例えば、プレーンテキストとしてフォーマットされた入力に対する暗号化及び復号化を実施するために送信側と受信側とが同じ鍵を使用する)鍵生成プロセスにしたがって対称鍵が生成でき、端末は、対称鍵と、出力値とに基づいて、パスワード生成プロセスにしたがって動的パスワードを生成することができる。一部の実施形態では、セッションID及び/又はUIDは、サーバによって関係付けできる。セッションID及び/又はUIDは、セッションID及びUIDがセッション及びユーザをそれぞれ一意に識別するために使用できることを保証するために、乱数によって生成できる。一部の実施形態では、セッションID及び/又はUIDは、ユーザアカウントに識別子を対応付けるマッピングに格納できる。一部の実施形態では、セッションID及び/又はUIDは、(例えば、対応する識別子がいつリクエストされる又は必要とされるに基づいて、)動的に生成できる。
一部の実施形態では、(例えば、対称鍵を生成するための)第1の既定の鍵生成プロセスは、機器コードと、セッションIDと、UIDとを組み合わせること、又は関連技術の中の所定の技術を使用して暗号化を実施して鍵を生成することとして表せる。例えば、データ暗号化規格(DES)、トリプルDES(例えば3DES)又はトリプルデータ暗号化アルゴリズム(TDEA)、国際データ暗号化アルゴリズム(IDEA)などの技術が使用できる。
様々な実施形態にしたがうと、動的パスワードは、様々な方法を使用して生成できる。例えば、パスワード生成プロセスには、多岐にわたる表現形態があってよい。一例として、動的パスワードは、技術:code=HMAC_SHA1(K,C)を使用して生成できる。ここで、codeは、動的パスワードを表し、HMAC_SHA1()は、鍵に関連付けられたハッシュ関数であり、HMACは、鍵に関連付けられた、ハッシュに基づくメッセージ認証コードを表し、SHA1(Secure Hash Algorithm 1)は、セキュアなハッシュ関数を表し、Kは、対称鍵を表し、Cは、出力値を表す。その他の動的パスワード生成プロセスが使用できる。
一部の実施形態では、HMAC_SHA1()は、HMAC−SHA1()又はHMAC(SHA1)()としても記述でき、これは、ハッシュに基づくメッセージ認証コード(HMAC)として使用されている、鍵を制御されたハッシュ関数である。HMACプロセスは、鍵をメッセージデータと混ぜ合わせ、混ぜ合わされた結果に対し、ハッシュ関数を使用してハッシュ計算を実施し、次いで、ハッシュ関数を再適用する。HMAC_SHA1()は、任意のサイズの鍵を受信し、長さが160桁のハッシュ列を生成する。メッセージデータは、出力値を含む又はそれ以外の形で出力値に対応することができる。HMAC_SHA1()の実装は、(例えば、ライブラリコードとして)公開されている。
230では、動的パスワードは、サーバに送信される。サーバは、端末又は端末に関係付けられたユーザの認証との関連で動的パスワードを使用することができる。動的パスワードは、1つ以上のその他の信用(例えばユーザIDなど)の通信との関連でサーバに送信できる。一部の実施形態では、端末は、動的パスワードをサーバに伝送する。サーバは、動的パスワードに少なくとも部分的に基づいて認証を実施することができる。動的パスワードは、端末を認証するか否かを決定するために、認証プロセスに関係付けられたサーバによって生成できる。例えば、サーバは、端末と同じ動作を実行して動的パスワードを生成し、生成された動的パスワードを、端末から伝送されて受信された動的パスワードと比較することができる。動的パスワードは、種鍵と、サーバに対してローカルなカウンタとに少なくとも部分的に基づいて生成できる。一部の実施形態では、ローカルカウンタの出力値は、端末からサーバに通信できる。サーバが端末から受信する動的パスワードが、(端末からのログイン又は認証リクエストを受けてなど、端末の認証との関連で)サーバによって生成された動的パスワードに一致する場合、端末は、認証に通ったと決定できる。反対に、サーバが端末から受信する動的パスワードが、サーバによって生成された動的パスワードに一致しない場合、端末は、認証に失敗したと決定できる。
様々な実施形態は、動的パスワードの手動入力を必要としない。例えば、動的パスワードは、認証プロセス全体を通してユーザから不可視であることができる。様々な実施形態は、動的パスワードの手動入力を必要としないので、手動入力の結果としてもたらされるエラーの問題が回避できる。更に、動的パスワードを生成するために端末の特性パラメータが使用できるので、更なるハードウェア機器が不要であり、費用が抑えられる。また、様々な実施形態は、システム時刻のアップデートの結果としてもたらされる、ソフトウェアによって認識される動的パスワードの検証失敗の問題を回避する。更に、端末識別子(例えば、端末が携帯電話であるときは、端末識別子は携帯電話番号である)がユーザIDとして使用でき、ユーザは、パスワードを記憶する必要がなく、端末の機器コードと、端末識別子(例えば、端末が携帯電話である場合、端末識別子は携帯電話番号である)とによって、1つのデバイスが一意に突き止められ、これは、再インストール及びクライアントエンドアプリケーションのログオンの際に変わることはない。更に、ログオンされたログ解析中に、その時刻における現鍵に基づいて、携帯電話機器が突き止められる。
図3Aは、本開示の様々な実施形態にしたがう認証処理のための方法のフローチャートである。
図3Aを参照すると、認証処理のためのプロセス300が提供される。プロセス300は、例えば、図1のデバイス100、図9のシステム900、図10のシステム1000、又は図12のコンピュータシステム1200によって実行できる。
305では、登録リクエストが受信される。登録リクエストは、端末によってサーバに送信される。一部の実施形態では、登録リクエストは、検証コードと、機器コードと、通信番号とを含む。一部の実施形態では、通信番号は、電話番号、ユーザ識別子、アカウント識別子などに相当することができる。一部の実施形態では、端末は、登録リクエストをサーバに送信することができる。例えば、登録リクエストに含まれる通信番号は、端末に関係付けられた通信番号であることができる。通信番号は、(例えば、ログインリクエストとの関連で)サーバによってリクエストされる番号であることができる。一部の実施形態では、サーバは、登録リクエストが受信される前に、通信番号をリクエストする(又はそれ以外のやり方で通信番号を取得する)ことができる。
携帯電話の例では、ユーザは、携帯電話番号を使用してサーバにログオンし、サーバは、(例えば、検証リクエストと等価である)テキストメッセージ又はショートメッセージサービス(SMS)を通じて検証コードを携帯電話番号に伝送し、ユーザは、携帯電話を使用して検証コード、機器コード、及び携帯電話番号(例えば、まとめて登録リクエスト)をサーバにサブミットする。一部の実施形態では、機器コードは、端末の特性パラメータに少なくとも部分的に基づいて、所定のプロセスにしたがって生成できる。機器コードは、携帯電話上でユーザに表示できる。一部の実施形態では、検証コード、機器コード、及び携帯電話番号(例えば、まとめて登録リクエスト)を取得して、サブミットコマンドに相当する入力をユーザが入力することを受けて検証コード、機器コード、及び携帯電話番号をサーバにサブミットするように、アプリケーションが構成できる。一部の実施形態では、検証コード、機器コード、及び携帯電話番号は、ユーザ主導でユーザによってサブミットできる、又はユーザは、サーバから受信されたメッセージを受けて検証コード、機器コード、及び携帯電話番号をサブミットすることができる。
310では、登録リクエストが承認されるか否かが決定される。例えば、サーバは、検証コード、機器コード、及び通信番号を端末、又は端末に関係付けられたユーザに対応付けるマッピングを格納している検証データベースに格納された情報に少なくとも部分的に基づいて、登録リクエストに含められて通信された検証コード、機器コード、及び通信番号が承認されるか否かを決定する。
登録リクエストが承認されない場合、プロセス300は315に進み、認証は失敗する。一部の実施形態では、認証が失敗すると見なされるときに、端末によるログインが拒絶できる、及び/又は認証の失敗の表示がサーバによって端末に通信できる。
登録リクエストが承認される場合は、プロセス300は320に進み、セッションID及びUIDが取得される。セッションID及び/又はUIDは、認証プロセスとの関連でサーバによって割り当てできる。端末は、サーバによって端末に割り当てられたセッションID及びUIDを受信する。一部の実施形態では、端末は、サーバとの通信リンクを維持する。通信リンクは、長期間接続又は短期間接続として表せるが、ただし、これらの表現形式に限定はされない。一部の実施形態では、短期間接続は、送信側と受信側との間のリンクが同送信側と同受信側との間でデータが送受信された後に切断される接続に相当する。一部の実施形態では、長期間接続は、送信側と受信側との間のリンクがデータの送受信後も維持される接続に相当する(例えば、リンクは、同送信側と同受信側との間でデータが送受信された際に切断されない)。
携帯電話の例を使用すると、サーバ検証が通った後、セッション(セッションIDとして表される)及びUIDが端末に割り当てられ、ローカルに保存される。すなわち、セッション及びUIDの受信の際に、端末は、その後の使用を容易にするために、それらのセッションID及びUIDをローカルにも保存する。セッションID及びUIDは、乱数として生成できる。
325では、認証リクエストが通信される。例えば、サーバは、認証リクエストを端末に送信することができる。例えば、サーバは、ログインリクエストを受けて、又はそうでなければ認証プロセスとの関連で、認証リクエストを端末に通信することができる。端末は、認証リクエストの検証を実施することができる。例えば、認証リクエストは、認証リクエストに含められて運ばれるパラメータ(例えば、ユーザIDやセッションIDなど)と、サーバに格納されたパラメータ(例えば、ユーザIDやセッションIDなど)との比較に基づいて検証される。比較結果がパラメータの一致を示す場合、認証リクエストは承認される。認証リクエストが承認されたことを受けて、動的パスワードが生成できる。
携帯電話の例を使用すると、何らかのネットワーク又はシステムにユーザがログオンする必要があるときに、登録リクエストの検証が成功すると、サーバは、認証リクエストを携帯電話上のクライアントに伝送する(例えば、端末は、サーバによって伝送された検証リクエストを受信する)。一部の実施形態では、認証リクエストは、HTTP応答である。一部の実施形態では、認証リクエストは、HTTPリクエストである。
330では、動的パスワードが通信される。例えば、サーバは、端末から動的パスワードを受信することができる。サーバは、端末の認証との関連で動的パスワードを使用することができる。端末からの動的パスワードの受信を受けて、サーバは、動的パスワードを生成し、該生成された動的パスワードを、サーバから受信された動的パスワードと比較し、このような比較に基づいて、端末が認証されるか否かを決定することができる。
図3Bは、本開示の様々な実施形態にしたがう、認証処理のための方法のフローチャートである。
図3Bを参照すると、認証処理のためのプロセス350が提供される。プロセス350は、例えば、図4のデバイス400、図5のデバイス500、図9のシステム900、図10のシステム1000、又は図12のコンピュータシステム1200によって実行できる。プロセス350は、図3Aのプロセス300との関連で実施できる。
355では、登録リクエストが送信される。例えば、端末が、(例えば、認証プロセスとの関連で)登録リクエストをサーバに送信することができる。登録リクエストは、検証コードと、機器コードと、通信番号とを含む。通信番号は、電話番号、アカウント識別子、ユーザ識別子などであることができる。例えば、登録リクエストに含まれる通信番号は、端末に関係付けられた通信番号であることができる。通信番号は、(例えば、ログインリクエストとの関連で)サーバによってリクエストされる番号であることができる。
携帯電話の例では、ユーザは、携帯電話番号を使用してサーバにログオンし、サーバは、(例えば、検証リクエストと等価である)テキストメッセージ又はショートメッセージサービス(SMS)を通じて検証コードを携帯電話番号に伝送し、ユーザは、携帯電話を使用して、検証コード、機器コード、及び携帯電話番号(例えば、まとめて登録リクエスト)をサーバにサブミットする。
360では、セッションID及びUIDが取得される。端末は、サーバからセッションID及びUIDを受信することができる。セッションID及びUIDの受信を受けて、端末は、サーバとの接続を確立若しくは維持することができる、又はそうでなければサーバとの通信との関連でセッションID及びUIDを使用することができる。セッションID及びUIDを受信すると、端末は、その後の使用を容易にするために、セッションID及びUIDをローカルにも保存する。セッションID及びUIDは、乱数として生成できる。一部の実施形態では、端末は、サーバとの通信リンクを維持する。通信リンクは、長期間接続又は短期間接続として表せるが、ただし、これらの表現形式に限定はされない。
365では、認証リクエストが受信される。端末は、認証プロセスとの関連で、サーバから認証リクエストを受信することができる。認証リクエストの受信を受けて、端末は、認証リクエストの検証を実施することができる。例えば、一部の実施形態では、端末は、認証リクエストの検証を実施し、認証リクエストが検証に通った場合に370に進むことができる。
370では、機器コードが取得される。端末は、認証リクエストの受信を受けて、又は認証リクエストの検証を受けて、機器コードを読み出すことができる。機器コードは、関係付けられた端末を一意に識別する番号又はその他の識別子に相当することができる。端末は、ストレージ(例えば、ローカルストレージ又はリモートストレージ)から機器コードを取得することができる。一部の実施形態では、端末は、端末に関係付けられた又はそれ以外の形で端末に対応する情報から機器コードを導出することができる。例えば、端末は、機器コードを導出するために、所定のプロセス又は技術を使用することができる。
375では、動的パスワードが生成される。端末は、動的パスワードを生成することができる。例えば、端末は、機器コードに少なくとも部分的に基づいて、動的パスワードを生成することができる。例えば、認証リクエストの受信を受けて、端末は、動的パスワードを生成することができる。一部の実施形態では、端末は、認証リクエストが承認されたとの決定を受けて、動的パスワードを生成する。一部の実施形態では、動的パスワードは、上述された機器コードと、ローカルカウンタの出力値とに少なくとも部分的に基づいて生成される。動的パスワードは、サーバによる端末の検証のための基準として使用できる。
携帯電話の例を使用すると、ユーザ(例えば端末)によってサーバに送信された認証リクエストが検証に通った後、携帯電話上のクライアントは、機器コード、セッションID、及びUIDを使用し、所定の技術(例えば加算)にしたがって対称鍵Kを生成し、加算カウンタの出力値Cとしてクライアント時刻(すなわち端末時刻)を使用して動的パスワードを生成する。
380では、動的パスワードが通信される。端末は、動的パスワードをサーバに送信することができる。例えば、端末は、認証プロセスとの関連でサーバに動的パスワードを送信することができる。一部の実施形態では、サーバは、端末(又はそのユーザ)の認証との関連で動的パスワードを使用することができる。端末は、動的パスワードをその他の情報とともに送信することができる。例えば、端末は、(端末に関係付けられたカウンタの)出力値に関連して動的パスワードをサーバに送信することができる。
一部の実施形態では、図3Bのプロセス350の370、375、及び/又は380は、図2のプロセス200の210、220、及び/又は230を含むことができる。
上述された方法実施形態は、全て、説明を簡単にするために、一連の行為の組み合わせとして提示されていることに留意せよ。しかしながら、当業者ならば、本発明が、説明されている行為順序によって制限されないことを知っているべきである。なぜならば、一部のステップは、本発明にしたがって、別の順序を活用しえる又は同時に実行されえるからである。更に、当業者ならば、本書で説明される実施形態が、実施形態であること、並びにそれらに伴う行為及びモジュールが、その他の様々な実施形態に必ずしも必要ではないことも知っているべきである。
図4は、本開示の様々な実施形態にしたがう認証処理のためのデバイスのブロック図である。
図4を参照すると、デバイス400は、図2のプロセス200、図3Aのプロセス300、図3Bのプロセス350、又は図6のプロセス600との関連で実現できる。デバイス400は、図10のシステム1000、図11のコンピュータ端末1100、又は図12のコンピュータシステム1200との関連で実現できる。デバイス400は、モバイル端末、コンピュータ端末、又は同様の操作機器に含める又はそれ以外の形で対応することができる。一部の実施形態では、デバイス400は、端末として実現される。一部の実施形態では、デバイス400は、サーバとして実現される。
図4に例示されるように、デバイス400は、読み出しモジュール410と、生成モジュール420と、通信インターフェース430とを含むことができる。
一部の実施形態では、読み出しモジュール410は、端末を一意に識別するために使用される機器コードを読み出すように構成される。読み出しモジュール410は、機器コードをストレージから取得することができる。機器コードの取得元であるストレージは、端末(例えばデバイス400)との関係でローカル又はリモートであることができる。一部の実施形態では、機器コードは、図1の110との関連で説明されるように、端末の特性パラメータに少なくとも部分的に基づいて計算される。機器コードは、(例えば、対応する特性パラメータを読み出しモジュール410が読み出した後に)読み出しモジュール410によって計算できる、又は機器コードは、読み出しモジュール410による機器コードの読み出しに先立って計算及び格納できる。
様々な実施形態にしたがうと、読み出しモジュール410は、機器コードを生成するように構成される。読み出しモジュール410は、端末の特性パラメータに少なくとも部分的に基づいて、機器コードを生成することができる。特性パラメータは、端末のブランド、端末のモデル番号、端末シリアル番号、IMEI、IMSI、MACアドレス、オペレーティングシステムIDなどのうちの1つ以上を含む。
生成モジュール420は、機器コードと、ローカルカウンタの出力値とに基づいて動的パスワードを生成するように構成できる。一部の実施形態では、動的パスワードは、端末(例えばデバイス400)検証のための基準としてサーバによって使用できる。
通信インターフェース430は、動的パスワードをサーバに送信するように構成される。通信インターフェースは、生成モジュール420に接続できる。一部の実施形態では、通信インターフェース430は、(例えばセッション中に)通信リンク又はチャンネルを通じて動的パスワードをサーバに通信するように構成される。
図5は、本開示の様々な実施形態にしたがう認証処理のためのデバイスのブロック図である。
図5を参照すると、デバイス500は、図2のプロセス200、図3Aのプロセス300、図3Bのプロセス350、又は図6のプロセス600との関連で実現できる。デバイス500は、図10のシステム1000、図11のコンピュータ端末1100、又は図12のコンピュータシステム1200との関連で実現できる。デバイス500は、モバイル端末、コンピュータ端末、又は同様の操作機器に含める又はそれ以外の形で対応することができる。一部の実施形態では、デバイス500は、端末として実現される。一部の実施形態では、デバイス500は、サーバとして実現される。
図5に例示されるように、デバイス500は、読み出しモジュール510と、生成モジュール520と、通信モジュール530とを含むことができる。
読み出しモジュール510は、端末を一意に識別するために使用される機器コードを読み出すように構成される。読み出しモジュール510は、図4のデバイス400の読み出しモジュール410に相当することができる。
生成モジュール520は、機器コードと、ローカルカウンタの出力値とに基づいて動的パスワードを生成するように構成される。一例として、生成モジュール520は、図4のデバイス400の生成モジュール420に相当することができる。また、生成モジュール520は、第1の生成サブモジュール522と、第2の生成サブモジュール524とを含むことができる。
生成モジュール520は、動的パスワードを生成するように構成できる。第1の生成サブモジュール522は、機器コードと、サーバによって上記端末に割り当てられた上記セッションIDと、サーバによって端末に割り当てられたUIDとに基づいて、既定の識別子割り当てプロセスにしたがって対称鍵を生成するように構成される。第2の生成サブモジュール524は、第1の生成サブモジュール522に接続でき、対称鍵と出力値とに少なくとも部分的に基づいて、パスワード生成プロセスにしたがって動的パスワードを生成するように構成できる。一部の実施形態では、既定の識別子割り当てプロセスは、機器コードと、セッションIDと、UIDとを組み合わせること、又は関連技術の中の既定の技術を使用して暗号化を実施して鍵を生成することとして表せる。例えば、暗号化を実施して鍵を生成するための技術として、DES、3DES(TDEA)、IDEAなどの技術が使用できる。対称鍵を生成するために、その他の様々な技術が使用できる。動的パスワードは、多岐にわたる方法で生成できる(例えば、パスワード生成プロセスには、多岐にわたる表現形式があってよい)。例えば、動的パスワードは、関数:Code=HMAC_SHA1(K,C)を使用して生成でき、ここでは、codeは、上記動的パスワードを表し、HMAC_SHA1()は、鍵に関連付けられたハッシュ関数であり、HMACは、鍵に関連付けられた、ハッシュに基づくメッセージ認証コードを表し、SHA1は、セキュアなハッシュ関数を表し、Kは、対称鍵を表し、Cは、出力値を表す。
様々な実施形態にしたがうと、モジュール又はサブモジュールは、ソフトウェア又はハードウェアの形式で実装できる。一部の実施形態では、読み出しモジュール510、生成モジュール520、及び通信モジュール530は、同じプロセッサ上に配置される。一部の実施形態では、読み出しモジュール510、生成モジュール520、及び通信モジュール530は、それぞれ異なるプロセス上に配置される、又は読み出しモジュール510、生成モジュール520、及び通信モジュール530のうちの任意の2つが、同じプロセッサ上に配置され、残りのモジュールが、別のプロセッサ上に配置される。
様々な実施形態にしたがうと、追加の機器への非依存、並びに手動入力及びシステム時刻への非依存が実現される。例えば、動的パスワードは、端末自身の特性パラメータに基づいて生成され、そうして、費用増を招くのが一般的である追加機器を必要とする従来の技術に存在する技術上の問題が解決される。別の例として、端末自身の特性パラメータに基づいて生成される動的パスワードは、動的パスワードの手動入力の必要性に関係した技術上の問題を解決する。このような技術上の問題が解決されないと、入力エラー又はソフトウェアシステム時刻アップデートの可能性が高くなり、検証が失敗しやすくなる。
図6は、本開示の様々な実施形態にしたがう認証処理のための方法のフローチャートである。
図6を参照すると、認証処理のためのプロセス600が提供される。プロセス600は、例えば、図7のデバイス700、図8のデバイス800、図9のシステム900、図10のシステム1000、又は図12のコンピュータシステム1200によって実行できる。
様々な実施形態にしたがうと、認証プロセスが、サーバ上で実行できる。一例として、サーバの構造は、図1のデバイス100の構造を使用して実現できる。
610では、第1の動的パスワードが受信される。サーバは、端末によって伝送された第1の動的パスワードを受信することができる。第1の動的パスワードは、端末によって生成される動的パスワードに相当することができる。端末は、ローカルカウンタ(例えば、端末の中のカウンタ)の出力値と、端末を一意に識別するために使用される機器コードとに基づいて、第1の動的パスワードを生成することができる。サーバは、認証プロセスに関係付けられたその他の情報を受信することができる。例えば、サーバは、第1の動的パスワードとともに端末によって通信された出力値を受信することができる。
機器コードの生成には、様々な方法が使用できる。一部の実施形態では、端末は、端末の特性パラメータのうちの1つ以上に少なくとも部分的に基づいて、所定の技術を使用して上記機器コードを生成する。1つ以上の特性パラメータは、端末のブランド、端末のモデル番号、端末シリアル番号、IMEI、IMSI、MACアドレス、オペレーティングシステムIDなどのうちの1つ以上を含むことができる。
620では、第2の動的パスワードが生成される。一部の実施形態では、サーバは、第2の動的パスワードを生成する。サーバは、事前に読み出された機器コードに少なくとも部分的に基づいて、第2の動的パスワードを生成することができる。例えば、サーバは、機器コードを端末に又はユーザに対応付けるマッピングを格納しているストレージ(例えばデータベース)から、端末に関係付けられた機器コードを読み出すことができる。サーバは、第2の動的パスワードの生成との関連で、端末から又は情報を端末に対応付けるマッピングを格納しているストレージから取得されたその他の情報などのその他の情報を使用することができる。例えば、サーバは、端末から出力値を受信し、このような出力値を第2の動的パスワードの生成に使用することができる。サーバは、端末を認証するために、第1の動的パスワードを第2の動的パスワードと比較することができる。例えば、サーバは、第1の動的パスワードと第2の動的パスワードとが一致するか否かを決定することができる。一部の実施形態では、端末又はサーバは、機器コードと、サーバによって端末に割り当てられたセッションIDと、サーバによって端末に割り当てられたUIDとに基づいて、既定の識別子割り当てプロセスにしたがって対称鍵を生成し、端末又はサーバは、対称鍵と出力値とに基づいて、第1の動的パスワード又は第2の動的パスワードを生成する。
一部の実施形態では、ステップ620の前に、サーバは、その後の認証プロセスに予め備えるために、事前に機器コードを読み出して保存することができる。例えば、サーバは、事前に読み出された機器コードに基づいて第2の動的パスワードを生成する前に、上記端末に検証リクエストを伝送することができ、サーバは、検証リクエストに少なくとも部分的に基づいて(例えば、検証リクエストを受けて)上記端末によって伝送された検証コードと上記機器コードとを受信する。
630では、端末は、第1の動的パスワード及び第2の動的パスワードに少なくとも部分的に基づいて認証される。一部の実施形態では、サーバは、第1の動的パスワードと第2の動的パスワードとの比較の結果に基づいて、上記端末の認証を実施する。比較の結果が、第1の動的パスワードと第2の動的パスワードとの一致を示す場合、端末は、認証に通ったと決定される。反対に、比較の結果が、第1の動的パスワードと第2の動的パスワードとの不一致を示す場合、端末は、認証に失敗したと決定される。端末が認証された後、ユーザは、端末の使用に進み、サーバによって提供されるサービスにアクセスすることができる。
第1の動的パスワード及び第2の動的パスワードは、同じ方法を使用して生成できる。例えば、第1の動的パスワード及び第2の動的パスワードは、以下の方法、すなわち、端末又はサーバが、機器コードと、サーバによって端末に割り当てられたセッションIDと、サーバによって端末に割り当てられたUIDとに基づいて、既定の識別子割り当てプロセスにしたがって対称鍵を生成し、端末又はサーバが、上記対称鍵と、出力値とに少なくとも部分的に基づいて、上記第1の動的パスワード又は上記第2の動的パスワードを生成する、方法を使用して生成できる。
図7は、本開示の様々な実施形態にしたがう認証処理のためのデバイスのブロック図である。
図7を参照すると、デバイス700は、図2のプロセス200、図3Aのプロセス300、図3Bのプロセス350、又は図6のプロセス600との関連で実現できる。デバイ700は、図10のシステム1000、図11のコンピュータ端末1100、又は図12のコンピュータシステム1200との関連で実現できる。デバイス700は、モバイル端末、コンピュータ端末、又は同様の操作機器に含める又はそれ以外の形で対応することができる。
図7に例示されるように、デバイス700は、第1の受信モジュール710と、生成モジュール720と、認証モジュール730とを含むことができる。
第1の受信モジュール710は、端末によって伝送された第1の動的パスワードを受信するように構成できる。第1の動的パスワードは、ローカルカウンタの出力値と、端末を一意に識別するために使用される機器コードとに基づいて端末によって生成される動的パスワードである。第1の受信モジュール710は、インターネットなどのネットワークを通じて端末から第1の動的パスワードを受信することができる。第1の受信モジュール710は、図6のプロセス600の610を実現することができる。
生成モジュール720は、第1の受信モジュール710に接続できる。生成モジュール720は、端末に関係付けられた機器コードに少なくとも部分的に基づいて第2の動的パスワードを生成するように構成できる。端末に関係付けられた機器コードは、事前に読み出される。生成モジュール720は、更に、第1の動的パスワードと第2の動的パスワードとが一致するか否かの決定との関連で第1の動的パスワードと第2の動的パスワードとを比較するように構成できる。生成モジュール720は、図6のプロセス600の620を実現することができる。
認証モジュール730は、生成モジュール720に接続できる。認証モジュール730は、第1の動的パスワード及び第2の動的パスワードに少なくとも部分的に基づいて端末の認証を実施するように構成できる。例えば、認証モジュールは、端末が認証されるか否かを決定するために、第1の動的パスワードと第2の動的パスワードとの比較の結果を使用することができる。比較の結果が、第1の動的パスワードと第2の動的パスワードとの一致を示す場合、端末は、認証に通ったと決定される。反対に、比較の結果が、第1の動的パスワードと第2の動的パスワードとの不一致を示す場合、端末は、認証に失敗したと決定される。認証モジュール730は、図6のプロセス600の630を実現することができる。
図8は、本開示の様々な実施形態にしたがう認証処理のためのデバイスのブロック図である。
図8を参照すると、デバイス800は、図2のプロセス200、図3Aのプロセス300、図3Bのプロセス350、又は図6のプロセス600との関連で実現できる。デバイス800は、図10のシステム1000、図11のコンピュータ端末1100、又は図12のコンピュータシステム1200との関連で実現できる。デバイス800は、モバイル端末、コンピュータ端末、又は同様の操作機器に含める又はそれ以外の形で対応することができる。
図8に例示されるように、デバイス800は、第1の受信モジュール810と、生成モジュール820と、認証モジュール830と、伝送モジュール840と、第2の受信モジュール850とを含むことができる。
一部の実施形態では、第1の受信モジュール810は、図7のデバイス700の第1の受信モジュール710によって実現できる。
一部の実施形態では、生成モジュール820は、図7のデバイス700の生成モジュール720によって実現できる。
一部の実施形態では、認証モジュール830は、図7のデバイス700の認証モジュール730によって実現できる。
伝送モジュール840は、検証リクエストを上記端末に伝送するように構成できる。伝送モジュールは、事前に読み出された機器コードに基づく第2の動的パスワードの生成の前に、検証リクエストを伝送することができる。
第2の受信モジュール850は、伝送モジュール840に接続できる。第2の受信モジュール850は、検証リクエストに少なくとも部分的に基づいて(例えば、検証リクエストを受けて)端末によって伝送された検証コードと機器コードとを受信するように構成できる。
一部の実施形態では、機器コードは、端末が端末の特性パラメータのうちの1つ以上に基づいて所定の技術にしたがって機器コードを生成することに少なくとも部分的に基づいて決定できる。特性パラメータは、端末のブランド、端末のモデル番号、端末シリアル番号、IMEI、IMSI、MACアドレス、オペレーティングシステムIDなどのうちの1つ以上を含むことができる。一部の実施形態では、所定の技術は、ハッシュ関数に相当する又はそうでなければハッシュ関数を含む。
生成モジュール820は、上記機器コードと、サーバによって上記端末に割り当てられた上記セッションIDと、サーバによって端末に割り当てられたUIDとに基づいて、既定の識別子割り当てプロセスにしたがって対称鍵を生成し、対称鍵と出力値とに少なくとも部分的に基づいて、パスワード生成プロセスにしたがって第2の動的パスワードを生成することによって、第2の動的パスワードを生成するように構成できる。第1の既定の識別子割り当てプロセスは、機器コードと、セッションIDと、UIDとを組み合わせることを含むことができ、ただし、それに限定はされない。パスワード生成プロセスは、関数:Code=HMAC_SHA1(K,C)にしたがう第2の動的パスワードの生成を含むことができ、ただし、それに限定はされない。ここで、codeは、第2の動的パスワードを表し、HMAC_SHA1()は、鍵に関連付けられたハッシュ関数であり、HMACは、鍵に関連付けられた、ハッシュに基づくメッセージ認証コードを表し、上記SHA1は、セキュアなハッシュ関数を表し、Kは、対称鍵を表し、Cは、出力値を表す。
図9は、本開示の様々な実施形態にしたがう認証処理のためのシステムの構造説明図である。
図9を参照すると、システム900は、図2のプロセス200、図3Aのプロセス300、図3Bのプロセス350、又は図6のプロセス600との関連で実現できる。システム900は、図1のデバイス100、図5のデバイス500、及び/又は図7のデバイス700を実現することができる。システム900は、図10のシステム1000、図11のコンピュータ端末1100、又は図12のコンピュータシステム1200との関連で実現できる。
図9に例示されるように、システム900は、端末910と、サーバ920とを含むことができる。システム900は、更に、端末910とサーバ920とが通信するネットワーク930を含むことができる。
端末910は、サーバ920による端末910の認証との関連でサーバ920によって使用される動的パスワードを生成することができる。例えば、サーバ920は、サーバ920が端末910から受信する動的パスワードを、サーバ920によって生成された動的パスワードと比較することができる。サーバ920は、端末910によって生成された動的パスワード(例えば第1の動的パスワード)と、サーバ920によって生成された動的パスワード(例えば第2の動的パスワード)との比較に少なくとも部分的に基づいて、端末910を認証することができる。
端末910は、図1のデバイス100を含むことができる。サーバ920は、図4のデバイス400を含むことができる。
図10は、本開示の様々な実施形態にしたがう認証処理のためのシステムの構造説明図である。
図10を参照すると、システム1000は、図2のプロセス200、図3Aのプロセス300、図3Bのプロセス350、又は図6のプロセス600との関連で実現できる。システム1000は、図1のデバイス100、図5のデバイス500、及び/又は図7のデバイス700を実現することができる。システム1000は、図9のシステム900、図11のコンピュータ端末1100、又は図12のコンピュータシステム1200との関連で実現できる。
図10に例示されるように、システム1000は、端末1010(例えば携帯電話)と、サーバ1020とを含むことができる。端末1010及びサーバ1020は、サーバ1020による端末1010の認証との関連で互いに通信することができる。
1030では、ユーザが、端末1010の携帯電話番号を使用してサーバ1020にログオンする。サーバ1020は、端末1010に関係付けられた携帯電話番号に検証メッセージ(例えば、SMSメッセージやテキストメッセージなど)を伝送し、ユーザは、携帯電話1010を通じて検証コード、デバイスID、及び携帯電話番号をサーバ1020にサブミットする。一部の実施形態では、ユーザは、端末1010によって提供されるインターフェースを通じて検証コード、デバイスID、及び携帯電話番号をサブミットすることができる。一部の実施形態では、検証コード、デバイスID、及び携帯電話番号は、デバイス上に格納でき、ユーザは、端末1010上でユーザに表示されるインターフェース上に提供されたサブミット/送信ボタンを選択することによって、検証コード、デバイスID、及び携帯電話番号をサーバ1020にサブミットすることを選択することができる。ユーザに表示されるインターフェースは、スタンドアロンソフトウェアアプリケーションや、ブラウザをベースにしたアプリケーションなどとの関連で表示できる。例えば、スタンドアロンソフトウェアアプリケーションが、認証プロセスとの関連で端末にインストールされて端末によって実行できる。別の例として、認証プロセスは、ブラウザをベースにしたアプリケーションを使用して、ユーザにインターフェースを表示することができる。サーバ1020は、検証コード、デバイスID、及び携帯電話番号の検証を実施することができる。検証コード、デバイスID、及び携帯電話番号が検証に通ったとの決定を受けて、サーバ1020は、セッションID及びUIDを保存して割り当て、その後の使用に備えてこれらのセッションID及びUIDを保存する。サーバ1020は、セッションID及びUIDを端末1010に送信し、端末1010は、その後の使用に備えてセッションID及びUIDを格納する。
1040では、端末1010及びサーバ1020は、互いとの通信セッション(例えばHTTPセッション)を維持する。
1050では、ユーザが、何らかのシステム又はネットワークにログオンするときに、サーバ1020が、認証リクエストを端末1010に(例えば、携帯電話上のクライアントに)伝送する。ユーザ(又は端末)は、認証リクエストを検証する。端末1010上のクライアントは、デバイスIDと、セッションIDと、UIDとを組み合わせて対称鍵Kを形成し、加算カウンタCとしてクライアント時刻を使用し、動的パスワードコードを生成する。端末1010上のクライアントは、動的パスワードをサーバ1020に伝送し、サーバ1020は、動的パスワードコードを生成する同じ動作を実施し、動的パスワードの比較を行う。すると、動的パスワード(例えば、端末1010によってサーバ1020に通信された動的パスワードと、サーバ側で生成された動的パスワードと)の比較の結果に基づいて、認証動作が完了する。
一部の実施形態では、端末は、コンピュータ端末であることができ、コンピュータネットワークの中の複数のネットワーク機器のうちの少なくとも1つのネットワーク機器上に位置することができる。
コンピュータ端末は、端末認証処理方法におけるステップのためにプログラムコードを実行することができる。例えば、コンピュータ端末は、端末が、端末を一意に識別するために使用される機器コードを読み出すこと、端末が、機器コードと、ローカルカウンタの出力値とに基づいて、サーバによる端末の検証の基準である動的パスワードを生成すること、及び端末が、動的パスワードをサーバに伝送すること、に関係付けられたプログラムコードを実行することができる。
図11は、本開示の様々な実施形態にしたがう認証処理のためのコンピュータ端末のブロック図である。
図11を参照すると、コンピュータ端末1100は、図2のプロセス200、図3Aのプロセス300、図3Bのプロセス350、又は図6のプロセス600との関連で実現できる。コンピュータ端末1100は、図1のデバイス100、図5のデバイス500、及び/又は図7のデバイス700を実現することができる。コンピュータ端末1100は、図9のシステム900、図10のシステム1000、又は図12のコンピュータシステム1200との関連で実現できる。
図11に例示されるように、コンピュータ端末1100は、1つ以上のプロセッサ1110と、メモリ1120と、1130とを含むことができる。
メモリ1120は、様々な実施形態にしたがう端末認証処理の方法又はデバイスに対応するプログラムコマンド/モジュールなどの、ソフトウェアプログラム及びモジュールを格納するために使用できる。メモリ1120に格納されたソフトウェアプログラム及びモジュールを走らせ、それによって、プロセッサ1110は、様々な機能的アプリケーション及びデータ処理を実行し、そうして、上記システムの脆弱性検出の方法を実現する。メモリ1120は、高速ランダムメモリを含むことができ、また、1つ以上の磁気ストレージディスク又はその他の不揮発性ソリッドステートメモリデバイスなどの、不揮発性メモリも含んでいてよい。一部の実施形態では、メモリ1120は、プロセッサ1110に対してリモートに配置されたメモリデバイスも含むことができ、このようなリモートメモリデバイスは、ネットワークを通じてコンピュータ端末1110に接続することができる。上記ネットワークの例として、インターネット、企業イントラネット、ローカルエリアネットワーク、広域ネットワーク、モバイル通信ネットワーク、及びこれらの組み合わせが挙げられ、ただし、これらに限定はされない。
通信インターフェース1130は、ネットワークを通じてデータを受信又は伝送するために使用できる。上記ネットワークの具体例として、ケーブルネットワーク及びワイヤレスネットワークが挙げられる。一例では、通信インターフェース1130は、ネットワークインターフェースコントローラ(NIC)を含み、これは、ケーブル及びその他のネットワーク機器を通じてルータに接続でき、それによって、インターネット又はローカルエリアネットワークと通信することができる。一例では、通信インターフェース1130は、インターネットとワイヤレス方式で通信するために使用される無線周波数(RF)モジュールである。
一部の実施形態では、メモリ1120は、アプリケーションプログラムはもちろん、既定の行為条件及び既定の承認されたユーザ情報を格納するために使用される。
プロセッサ1110は、コンピュータ端末1100を一意に識別するために使用される機器コードをコンピュータ端末1100が読み出すステップ、機器コードと、ローカルカウンタの出力値とに基づいて、サーバによるコンピュータ端末1100の検証の基準である動的パスワードをコンピュータ端末1100が生成するステップ、及び上記動的パスワードをコンピュータ端末1100がサーバに伝送するステップを実行するために、メモリ1120に格納された情報及びアプリケーションプログラムを呼び出すことができる。
一部の実施形態では、プロセッサ1110は、コンピュータ端末1100がコンピュータ端末1100の特性パラメータに基づいて既定の技術にしたがって機器コードを生成するステップのためのプログラムコードを実行することができ、ここで、特性パラメータは、コンピュータ端末1100のブランド、コンピュータ端末1100のモデル番号、端末シリアル番号、IMEI、IMS、MACアドレス、オペレーティングシステムIDなどのうちの1つ以上を含む。
一部の実施形態では、プロセッサ1110は、コンピュータ端末1100が、上記機器コードと、サーバによってコンピュータ端末1100に割り当てられたセッションIDと、サーバによってコンピュータ端末1100に割り当てられたUIDとに基づいて、第1の既定の識別子割り当てプロセスにしたがって対称鍵を生成するステップ、及びコンピュータ端末1100が、対称鍵と、出力値とに基づいて、第2の既定のパスワード生成プロセスにしたがって動的パスワードを生成するステップのための、プログラムコードを実行することができる。
一部の実施形態では、プロセッサ1110は、コンピュータ端末1100が、検証コードと、機器コードと、サーバによってリクエストされたコンピュータ端末1100からの該端末の通信番号とを含む登録リクエストをサーバに伝送するステップ、及び登録リクエストが検証に通った後に、コンピュータ端末1100が、サーバによってコンピュータ端末1100に割り当てられた上記セッションIDと上記UIDとを受信し、サーバとの通信リンクを維持するステップのための、プログラムコードを実行することもできる。
一部の実施形態では、プロセッサ1110は、コンピュータ端末1100がサーバから認証リクエストを受信するステップのためのプログラムコードを実行することができ、ここで、認証リクエストが検証に通るときに、コンピュータ端末1100は、上記動的パスワードを生成させられる。
様々な実施形態で提供された上記技術方式を使用することによって、追加のハードウェア機器の必要性に起因する費用高、手動入力の必要性に起因する入力エラー、及びソフトウェアヴァージョンシステムアップデートに起因する検証の失敗という、従来技術の技術的問題が解決される。
図11に示された構造は、例示に過ぎない。コンピュータ端末1100は、スマートフォン(AndroidフォンやiOSフォン等など)、タブレット、手持ちサイズのコンピュータ、すなわちモバイルインターネットデバイス(MID)、PAD、又はその他の端末機器であることもできる。図11は、上記電子機器の構造に対する制限を成すものではない。例えば、コンピュータ端末1100は、図11に示されるよりも多くの若しくは少ないコンポーネントを含むこともできる、又は図11に示されるものとは異なる構成を有していてよい。
当業者ならば、上記実施形態における様々な方法のステップの一部又は全部が、端末機器に関係するハードウェアに指示するプログラムを使用して実現できることが理解できるだろう。このようなプログラムは、1つのコンピュータ読み取り可能ストレージ媒体に格納されてよく、該ストレージ媒体として、フラッシュドライブ、読み出し専用メモリ(ROM)、ランダムアクセスメモリ(RAM)、磁気ディスク、又は光ディスクが挙げられる。
様々な実施形態は、ストレージ媒体を含む。ストレージ媒体は、図2のプロセス200の端末認証処理方法又は図1のデバイス100によって実行されるプログラムコードを保存するために使用できる。
一部の実施形態では、ストレージ媒体は、コンピュータネットワークにおけるコンピュータ端末群の中の任意のコンピュータ端末内に配置される、又はモバイル端末群の中の任意のモバイル端末内に配置される。
一部の実施形態では、ストレージ媒体は、端末が、機器コードと、ローカルカウンタの出力値とに基づいて、サーバによる端末の検証のための基準である動的パスワードを生成するステップ、及び端末が、動的パスワードをサーバに伝送するステップ、を実行するために使用されるプログラムコードを格納するように構成される。ストレージ媒体は、図2のプロセス200の構成要素を実行するために使用されるプログラムコードを格納するようにも構成できる。
ここで、上記コンピュータ端末群の中のいずれのコンピュータも、ネットワークサーバ及びスキャナとの間に通信関係を確立できること、並びにスキャナは、コンピュータ端末上のphp又はスクリプトによって実行されるウェブアプリケーションの値コマンドをスキャンできることが、留意されるべきである。
様々な実施形態にしたがうと、図6のプロセス600を実行するコンピュータ端末が提供できる。
様々な実施形態にしたがうと、コンピュータ端末は、コンピュータネットワークにおける複数のネットワーク機器のうちの少なくとも1つのネットワーク機器上に配置できる。
一部の実施形態では、コンピュータ端末は、端末認証方法における以下のステップ、すなわち、サーバが、出力値と、端末を一意に識別するために使用される機器コードとに基づいて生成された、端末によって伝送された第1の動的パスワードを受信するステップ、サーバが、事前に読み出された機器コードに基づいて第2の動的パスワードを生成し、第1の動的パスワードと第2の動的パスワードとが一致するか否かを決定するために第1の動的パスワードを第2の動的パスワードに照らして比較するステップ、サーバが、比較結果に基づいて端末の認証を実施し、比較結果が一致を示す場合、端末は認証に通ったと決定され、そうでなければ、端末は認証に失敗したと決定されるステップのための、プログラムコードを実行することができる。
プロセッサ1110は、以下のステップ、すなわち、サーバが、出力値と、端末を一意に識別するために使用される機器コードとに基づいて生成された、端末によって伝送された第1の動的パスワードを受信するステップ、サーバが、事前に読み出された機器コードに基づいて第2の動的パスワードを生成し、第1の動的パスワードと第2の動的パスワードとが一致するか否かを決定するために第1の動的パスワードを第2の動的パスワードに照らして比較するステップ、サーバが、比較結果に基づいて端末の認証を実施し、比較結果が一致を示す場合、端末は認証に通ったと決定され、そうでなければ、端末は認証に失敗したと決定されるステップを実行するために、通信インターフェース1130を使用して、メモリ1120に格納された情報及びアプリケーションを読み出すことができる。
一部の実施形態では、プロセッサ1110は、サーバが、検証リクエストを端末に伝送するステップ、及びサーバが、検証リクエストに基づいて端末によって伝送された検証コードと機器コードとを受信するステップのための、プログラムコードを実行することもできる。
様々な実施形態にしたがうと、図6のプロセス600によって実行されるプログラムコードを保存するために使用されるストレージ媒体が提供できる。
ストレージ媒体は、コンピュータネットワークにおけるコンピュータ端末群の中の任意のコンピュータ端末内に配置されてよい、又はモバイル端末群の中の任意のモバイル端末内に配置されてよい。
一部の実施形態では、ストレージ媒体は、サーバが、出力値と、端末を一意に識別するために使用される機器コードとに基づいて生成された、端末によって伝送された第1の動的パスワードを受信するステップ、サーバが、事前に読み出された機器コードに基づいて第2の動的パスワードを生成し、第1の動的パスワードと第2の動的パスワードとが一致するか否かを決定するために第1の動的パスワードを第2の動的パスワードに照らして比較するステップ、サーバが、比較結果に基づいて端末の認証を実施し、比較結果が一致を示す場合、端末は認証に通ったと決定され、そうでなければ、端末は認証に失敗したと決定されるステップ、を実行するために使用されるプログラムコードを格納するように設定される。ストレージ媒体は図6の処理600を実行するために用いられるステップを格納し得る。
図12は、本開示の様々な実施形態にしたがう認証処理のためのコンピュータシステムの機能図である。
図12を参照すると、認証処理のためのコンピュータシステム1200が表示されている。コンピュータシステム1200は、図2のプロセス200、図3Aのプロセス300、図3Bのプロセス350、又は図6のプロセス600を実現することができる。コンピュータシステム1200は、図1のデバイス100、図4のデバイス400、図5のデバイス500、図7のデバイス700、又は図8のデバイス800を実現することができる。表示インターフェースを実装するために、その他のコンピュータシステムアーキテクチャ及びコンピュータシステム構成が使用できることが明らかである。後述のような様々なサブシステムを含むコンピュータシステム1200は、少なくとも1つのマイクロプロセッササブシステム(プロセッサ又は中央演算処理装置(CPU)とも呼ばれる)1202を含む。例えば、プロセッサ1202は、シングルチッププロセッサによって又は複数のプロセッサによって実現できる。一部の実施形態では、プロセッサ1202は、コンピュータシステム1200の動作を制御する汎用デジタルプロセッサである。メモリ1210から取り出された命令を使用して、プロセッサ1202は、入力データの受信及び操作、並びに出力デバイス(例えばディスプレイ1218)へのデータの出力及び表示を制御する。
プロセッサ1202は、メモリ1210に双方向に接続され、メモリ1210は、通常はランダムアクセスメモリ(RAM)である第1の一次ストレージと、通常は読み出し専用メモリ(ROM)である第2の一次ストレージエリアとを含むことができる。当該分野で周知のように、一次ストレージは、汎用ストレージエリアとして及びスクラッチパッドメモリとして使用でき、入力データ及び処理済みデータを格納するためにも使用できる。一次ストレージは、プログラミング命令及びデータも、プロセッサ1202上で起きるプロセスのためのその他のデータ及び命令に加えてデータオブジェクト及びテキストオブジェクトの形態で格納することができる。やはり当該分野で周知のように、一次ストレージは、通常は、プロセッサ1202がその機能(例えば、プログラムされた命令)を実施するために使用する基本的な動作命令、プログラムコード、データ、及びオブジェクトを含む。例えば、メモリ1210は、例えば、データアクセスが双方向又は単方向のいずれである必要があるかに応じて、後述される任意の適切なコンピュータ読み取り可能ストレージ媒体を含むことができる。例えば、プロセッサ1202は、頻繁に必要とされるデータを直接的に且つ非常に迅速に取り出してキャッシュメモリ(不図示)に格納することもできる。メモリは、非一時的なコンピュータ読み取り可能ストレージ媒体であることができる。
着脱式大容量ストレージデバイス1212が、コンピュータシステム1200のための追加のデータストレージ容量を提供し、双方向(読み出し/書き込み)又は単方向(読み出しのみ)のいずれかでプロセッサ1202に接続される。例えば、ストレージ1212は、磁気テープ、フラッシュメモリ、PCカード、携帯型大容量ストレージデバイス、ホログラフィックストレージデバイス、及びその他のストレージデバイスなどの、コンピュータ読み取り可能媒体を含むこともできる。例えば、固定大容量ストレージ1220も、追加のデータストレージ容量を提供することができる。大容量ストレージ1220として最も一般的な例は、ハードディスクドライブである。大容量ストレージデバイス1212及び固定大容量ストレージ1220は、一般に、プロセッサ1202によって通常は能動的に使用されていない追加のプログラミング命令やデータなどを格納する。大容量ストレージデバイス1212及び固定大容量ストレージ1220に保持される情報は、必要に応じて、仮想メモリとしてメモリ1210(例えばRAM)の一部として標準的に組み込めることがわかる。
バス1214は、プロセッサ1202に、ストレージサブシステムへのアクセスを提供することに加えて、その他のサブシステム及びデバイスへのアクセスを提供するためにも使用できる。図に示されるように、これらは、ディスプレイモニタ1218、ネットワークインターフェース1216、キーボード1204、及びポインティングデバイス1206はもちろん、必要に応じて、補助入出力デバイスインターフェース、サウンドカード、スピーカ、及びその他のサブシステムを含むことができる。例えば、ポインティングデバイス1206は、マウス、スタイラス、トラックボール、又はタブレットであることができ、グラフィカルユーザインターフェースとのやり取りに有用である。
ネットワークインターフェース1216は、図に示されるようにネットワーク接続を使用してプロセッサ1202が別のコンピュータ、コンピュータネットワーク、又は電気通信ネットワークに接続されることを可能にする。例えば、ネットワークインターフェース1216を通じて、プロセッサ1202は、方法/プロセスのステップを実施する過程で別のネットワークから情報(例えばデータオブジェクト若しくはプログラム命令)を受信する又は別のネットワークに情報を出力することができる。情報は、プロセッサ上で実行される一連の命令として表されることが多く、別のネットワークから受信できる又は別のネットワークに出力できる。コンピュータシステム1200を外部ネットワークに接続するために及びデータを標準プロトコルにしたがって転送するために、インターフェースカード又は類似のデバイス、及びプロセッサ1202によって実装される(例えば、プロセッサ1202上で実行される/実施される)適切なソフトウェアが使用できる。例えば、本書で開示される様々なプロセス実施形態は、プロセッサ1202上で実行できる、又は処理の一部を共有するリモートプロセッサと協働してインターネット、イントラネットネットワーク、若しくはローカルエリアネットワークなどのネットワークで実施できる。プロセッサ1202には、ネットワークインターフェース1216を通じて追加の大容量ストレージデバイス(不図示)も接続できる。
コンピュータシステム1200と協働して、補助入出力デバイスインターフェース(不図示)が使用できる。補助入出力デバイスインターフェースは、プロセッサ1202が、マイク、タッチセンサ式ディスプレイ、トランスデューサカードリーダ、テープリーダ、音声又は手書き認識装置、生体認証リーダ、カメラ、携帯型大容量ストレージデバイス、及びその他のコンピュータなどの他のデバイスにデータを送信することを、及び更に一般的にはこれらの他のデバイスからデータを受信することを可能にする、汎用並びに専用のインターフェースを含むことができる。
図12に示されるコンピュータシステムは、本書で開示される様々な実施形態との使用に適したコンピュータシステムの一例に過ぎない。このような使用に適したその他のコンピュータシステムは、更に多い又は少ないサブシステムを含むことができる。また、バス1214は、サブシステムをリンクする働きをする任意の相互接続方式を例示したものである。異なるサブシステム構成を有するその他のコンピュータアーキテクチャも利用できる。
上で提供された幾つかの実施形態で開示されたデバイス及び方法は、その他のやり方でも実現できることが理解されるべきである。例えば、上述されたデバイス実施形態は、例示的なものに過ぎない。例えば、ユニットの描写は、局所的な機能にしたがう描写に過ぎない。描写は、実際の実装形態中に異なる形態をとることができる。
別々のコンポーネントとして説明されたモジュールは、物理的に別々であっても又はそうでなくてもよく、モジュールとして表示されたコンポーネントは、物理的なモジュールであっても又はそうでなくてもよい。これらは、一か所に配置できる、又は複数のネットワークモジュールにわたって分散できる。本実施形態の実施形態方式は、実際のニーズに応じてモジュールの一部又は全部を選択することによって実現できる。
更に、本発明の様々な実施形態における機能的モジュールは、1つのプロセッサに統合できる、又は各モジュールが、独立して物理的に存在することができる、又は2つ以上のモジュールが、統合によって1つのモジュールにできる。上述された統合されたモジュールは、ハードウェアの形態をとることができる、又はソフトウェア機能モジュールと組み合わされたハードウェアの形態をとることができる。
ソフトウェア機能モジュールが統合されてなる上述されたモジュールは、コンピュータ読み取り可能ストレージ媒体に格納できる。上述されたソフトウェア機能モジュールは、ストレージ媒体に格納され、本発明の様々な実施形態で説明された方法のステップの一部をコンピュータ機器(パソコン、サーバ、若しくはネットワークコンピュータであることができる)又はプロセッサに実行させることを目的とする幾つかのコマンドを含む。上述されたストレージ媒体は、USBフラッシュドライブ、モバイルハードドライブ、読み出し専用メモリ(ROM)、ランダムアクセスメモリ(RAM)、磁気ディスク、光ディスク、又はプログラムコードを格納することができるその他の様々な媒体を範囲に含む。
本出願で提供される幾つかの実施形態では、開示された端末がその他の方法によって実現できることが理解されるべきである。ここでは、上述されたデバイス実施形態は、代表的なものに過ぎず、例えば、上記ユニット又はモジュールの区分は、その1つの論理的機能区分に過ぎず、上記ユニット又はモジュールは、実際の実装形態では別の形で区分けされてよい。例えば、複数のユニット又はモジュールが組み合わせできる、又は別のシステムに統合できる、又は一部の特性が省略されてよい若しくは実行されなくてよい。また、表示又は議論された、介在する結合部、又は直接的な結合部若しくは通信接続は、一部のインターフェース、ユニット、又はモジュールを通る非直接的な結合部又は通信リンクであってよい。これらは、電気的なものであってよい又は別の形態をとってよい。
別々のコンポーネントとして説明されたユニット又はモジュールは、物理的に別々であっても又はそうでなくてもよく、ユニット又はモジュールとして示されたコンポーネントは、物理的なユニット若しくは物理的なモジュールであっても又はそうでなくてもよい。これらは、一か所に配置されてよい、又は複数のネットワークユニットにわたって分散されてよい。本実施形態の実施形態方式の目的は、実際のニーズに応じてユニット又はモジュールの一部又は全部を選択することによって実現できる。
更に、本発明の様々な実施形態における機能的なユニット又はモジュールは、1つの処理ユニット若しくは処理モジュールに統合できる、又は各ユニット若しくはモジュールが、独立して物理的に存在することができる、又は2つ以上のユニット若しくはモジュールが、統合によって1つのユニット若しくはモジュールにできる。上述された統合されたユニット又はモジュールは、ハードウェアの形態をとってもよい、又はソフトウェア機能ユニット若しくはソフトウェア機能モジュールの形態をとってよい。
上記の統合されたユニット又はモジュールが、ソフトウェア機能ユニット又はソフトウェア機能モジュールの形態で実現され、独立した製品として販売又は使用される場合、それらは、コンピュータ読み取り可能ストレージ媒体に格納できる。このような理解に基づいて、本発明の技術的方式の本質、又は先行技術に寄与する部分、又はこの技術的方式の全部若しくは一部は、ソフトウェア製品の形態で顕現でき、このコンピュータソフトウェア製品は、ストレージ媒体に格納され、本発明の実施形態のうちの各実施形態における上記方法のステップの全部又は一部を一式の端末機器(パソコン、サーバ、又はネットワークコンピュータであることができる)に実行させる幾つかのコマンドを含む。上述されたストレージ媒体は、Uディスク、読み出し専用メモリ(ROM)、ランダムアクセスメモリ(RAM)、携帯型ハードドライブ、磁気ディスク、光ディスク、又はプログラムコードを格納することができるその他の様々な媒体を範囲に含む。
上記の説明は、本発明の好ましい実装形態に過ぎない。当業者ならば、本発明の原理から逸脱することなく改良及び装飾が成せることが、留意されるべきであり、このような改良及び装飾も、本発明の保護範囲内にあるものとされる。
以上の実施形態は、理解を明瞭にする目的で幾らか詳細に説明されてきたが、本発明は、提供された詳細に限定されない。本発明を実現するためには、多くの代替的手法がある。開示された実施形態は、例示的なものであり、制限的なものではない。
以上の実施形態は、理解を明瞭にする目的で幾らか詳細に説明されてきたが、本発明は、提供された詳細に限定されない。本発明を実現するためには、多くの代替的手法がある。開示された実施形態は、例示的なものであり、制限的なものではない。
適用例1:方法であって、
端末によって、前記端末を一意に識別する機器コードを取得し、
前記端末によって、前記機器コードと、カウンタの出力値とに少なくとも部分的に基づいて、サーバによる前記端末の認証のための基準である動的パスワードを生成し、
前記端末によって、前記動的パスワードを前記動的パスワードを認証する前記サーバに送信する、
ことを備える方法。
適用例2:適用例1に記載の方法であって、
前記機器コードを取得することは、前記端末によって、前記端末の1つ以上の特性パラメータに少なくとも部分的に基づいて、前記機器コードを生成することを含む、方法。
適用例3:適用例2に記載の方法であって、
前記1つ以上の特性パラメータは、前記端末のブランド、前記端末のモデル番号、前記端末のシリアル番号、前記端末の国際移動体装置識別番号(IMEI)、前記端末の国際移動体加入者識別番号(IMSI)、前記端末のメディアアクセス制御(MAC)アドレス、及び/又は前記端末にロードされたオペレーティングシステムのオペレーティングシステム識別子(ID)のうちの1つ以上を含む、方法。
適用例4:適用例1に記載の方法であって、
前記機器コードと、前記カウンタの前記出力値とに少なくとも部分的に基づいて、前記動的パスワードを生成することは、
前記機器コードと、前記サーバによって前記端末に割り当てられたセッション識別子(ID)と、前記サーバによって前記端末に割り当てられたユーザID(UID)とに少なくとも部分的に基づいて、鍵生成プロセスにしたがって、対称鍵を生成し、
前記対称鍵と、前記出力値とに少なくとも部分的に基づいて、パスワード生成プロセスにしたがって、前記動的パスワードを生成する、
ことを含む、方法。
適用例5:適用例1に記載の方法であって、
前記機器コードと、前記カウンタの前記出力値とに少なくとも部分的に基づいて、前記動的パスワードを生成することは、
前記機器コードと、前記サーバによって前記端末に割り当てられたセッション識別子(ID)と、前記サーバによって前記端末に割り当てられたユーザID(UID)とに少なくとも部分的に基づいて、鍵生成プロセスにしたがって、対称鍵を生成し、前記鍵生成プロセスは、前記機器コードと、前記セッションIDと、前記UIDとを組み合わせることを含み、
前記対称鍵と、前記出力値とに少なくとも部分的に基づいて、パスワード生成プロセスにしたがって、前記動的パスワードを生成する、
ことを含む、方法。
適用例6:適用例1に記載の方法であって、
前記機器コードと、前記カウンタの前記出力値とに少なくとも部分的に基づいて、前記動的パスワードを生成することは、
前記機器コードと、前記サーバによって前記端末に割り当てられたセッション識別子(ID)と、前記サーバによって前記端末に割り当てられたユーザID(UID)とに少なくとも部分的に基づいて、鍵生成プロセスにしたがって、対称鍵を生成し、
前記対称鍵と、前記出力値とに少なくとも部分的に基づいて、パスワード生成プロセスにしたがって、前記動的パスワードを生成し、前記パスワード生成プロセスは、前記動的パスワードをHMAC_SHA1(K,C)に設定することを含み、HMAC_SHA1()は、前記対称鍵に関連付けられたハッシュ関数であり、Kは、前記対称鍵を表し、Cは、前記出力値を表す、
ことを含む、方法。
適用例7:適用例1に記載の方法であって、更に、
前記端末によって、前記サーバに登録リクエストを伝送し、前記登録リクエストは、前記サーバによって送信された検証コードと、前記機器コードと、前記端末に関係付けられた通信コードとを含み、前記登録リクエストは、認証リクエストの前に受信され、前記端末は、前記登録リクエストに少なくとも部分的に基づいて、前記動的パスワードを前記サーバに送信し、
前記登録リクエストが検証に通った後、
前記端末によって、前記サーバによって前記端末に割り当てられたセッション識別子(ID)と、前記サーバによって前記端末に割り当てられたユーザID(UID)とを受信し、前記動的パスワードは、前記セッションIDと、前記UIDとに少なくとも部分的に基づいて生成され、
前記端末の認証との関連で、前記サーバとの通信リンクを維持する、
ことを備える方法。
適用例8:適用例1に記載の方法であって、更に、
前記端末によって、前記サーバから認証リクエストを受信し、前記端末は、前記動的パスワードを生成する前に前記認証リクエストを受信し、前記端末は、前記認証リクエストが検証に通ったと決定された場合に前記動的パスワードを生成する、ことを備える方法。
適用例9:適用例1に記載の方法であって、
前記カウンタの前記出力値は、前記端末の時刻に相当する、方法。
適用例10:方法であって、
サーバによって、第1の動的パスワードを端末から受信し、前記第1の動的パスワードは、前記端末のカウンタの出力値と、前記端末を一意に識別する機器コードとに少なくとも部分的に基づいて、前記端末によって生成されるパスワードに相当し、
前記サーバによって、読み出された機器コードに少なくとも部分的に基づいて第2の動的パスワードを生成し、
前記第1の動的パスワードが前記第2の動的パスワードに一致するか否かを決定し、
前記サーバによって、前記第1の動的パスワードが前記第2の動的パスワードに一致するか否かに少なくとも部分的に基づいて前記端末の認証を実施する、
ことを備える方法。
適用例11:適用例10に記載の方法であって、更に、
前記サーバによって、前記端末に検証リクエストを伝送し、前記サーバは、前記サーバが前記第2の動的パスワードを生成する前に、前記端末に前記検証リクエストを伝送し、
前記サーバによって、前記検証リクエストに少なくとも部分的に基づいて前記端末によって伝送された検証コードと前記機器コードとを受信する、
ことを備える方法。
適用例12:適用例10に記載の方法であって、
前記機器コードは、前記端末の1つ以上の特性パラメータに少なくとも部分的に基づいて、既定のアルゴリズムにしたがって決定される、方法。
適用例13:適用例12に記載の方法であって、
前記1つ以上の特性パラメータは、前記端末のブランド、前記端末のモデル番号、前記端末のシリアル番号、前記端末の国際移動体装置識別番号(IMEI)、前記端末の国際移動体加入者識別番号(IMSI)、前記端末のメディアアクセス制御(MAC)アドレス、及び前記端末にロードされたオペレーティングシステムのオペレーティングシステム識別子(ID)のうちの1つ以上を含む、方法。
適用例14:適用例10に記載の方法であって、
前記第1の動的パスワード及び前記第2の動的パスワードの少なくとも1つを生成することは、
前記機器コードと、前記サーバによって前記端末に割り当てられたセッション識別子(ID)と、前記サーバによって前記端末に割り当てられたユーザID(UID)とに少なくとも部分的に基づいて、鍵生成プロセスにしたがって、対称鍵を生成し、
前記対称鍵と、前記出力値とに少なくとも部分的に基づいて、パスワード生成プロセスにしたがって、前記第1の動的パスワード及び前記第2の動的パスワードのうちの少なくとも1つを生成する、
ことを含む、方法。
適用例15:デバイスであって、
1つ以上のプロセッサであって、
前記デバイスを一意に識別する機器コードを取得し、
前記機器コードと、カウンタの出力値とに少なくとも部分的に基づいて、サーバによる前記デバイスの認証のための基準である動的パスワードを生成し、
前記動的パスワードを前記動的パスワードを認証する前記サーバに送信する、
ように構成されている1つ以上のプロセッサと、
前記1つ以上のプロセッサに接続され、前記1つ以上のプロセッサに命令を提供するように構成されているメモリと、
を備える、デバイス。
適用例16:適用例15に記載のデバイスであって、
前記1つ以上のプロセッサは、更に、前記デバイスの1つ以上の特性パラメータに少なくとも部分的に基づいて、前記機器コードを生成するように構成されている、デバイス。
適用例17: デバイスであって、
1つ以上のプロセッサであって、
第1の動的パスワードを端末から受信し、前記第1の動的パスワードは、前記端末のカウンタの出力値と、前記端末を一意に識別する機器コードとに少なくとも部分的に基づいて、前記端末によって生成されるパスワードに相当し、
読み出された機器コードに少なくとも部分的に基づいて、第2の動的パスワードを生成し、
前記第1の動的パスワードが前記第2の動的パスワードに一致するか否かを決定し、
前記第1の動的パスワードが前記第2の動的パスワードに一致するか否かに少なくとも部分的に基づいて、前記端末の認証を実施する、
ように構成されている1つ以上のプロセッサと、
前記1つ以上のプロセッサに接続され、前記1つ以上のプロセッサに命令を提供するように構成されているメモリと、を備える、デバイス。
適用例18:適用例17に記載のデバイスであって、
前記機器コードは、前記端末の1つ以上の特性パラメータに少なくとも部分的に基づいて生成される、デバイス。
適用例19:非一時的なコンピュータ読み取り可能ストレージ媒体に実装されたコンピュータプログラム製品であって、
端末を一意に識別する機器コードを取得するためのコンピュータ命令と、
前記機器コードと、カウンタの出力値とに少なくとも部分的に基づいて、サーバによる前記端末の認証のための基準である動的パスワードを生成するためのコンピュータ命令と、
前記動的パスワードを前記動的パスワードを認証する前記サーバに送信するためのコンピュータ命令と、
を備えるコンピュータプログラム製品。
適用例20:非一時的なコンピュータ読み取り可能ストレージ媒体に実装されたコンピュータプログラム製品であって、
サーバによって、第1の動的パスワードを端末から受信するためのコンピュータ命令であって、前記第1の動的パスワードは、前記端末のカウンタの出力値と、前記端末を一意に識別する機器コードとに少なくとも部分的に基づいて、前記端末によって生成されるパスワードに相当し、
前記サーバによって、読み出された機器コードに少なくとも部分的に基づいて、第2の動的パスワードを生成するためのコンピュータ命令と、
前記第1の動的パスワードが前記第2の動的パスワードに一致するか否かを決定するためのコンピュータ命令と、
前記サーバによって、前記第1の動的パスワードが前記第2の動的パスワードに一致するか否かに少なくとも部分的に基づいて、前記端末の認証を実施するためのコンピュータ命令と、
を備えるコンピュータプログラム製品。

Claims (20)

  1. 方法であって、
    端末によって、前記端末を一意に識別する機器コードを取得し、
    前記端末によって、前記機器コードと、カウンタの出力値とに少なくとも部分的に基づいて、サーバによる前記端末の認証のための基準である動的パスワードを生成し、
    前記端末によって、前記動的パスワードを前記サーバに送信し、前記サーバは、前記動的パスワードを認証する、
    ことを備える方法。
  2. 請求項1に記載の方法であって、
    前記機器コードを取得することは、前記端末によって、前記端末の1つ以上の特性パラメータに少なくとも部分的に基づいて、前記機器コードを生成することを含む、方法。
  3. 請求項2に記載の方法であって、
    前記1つ以上の特性パラメータは、前記端末のブランド、前記端末のモデル番号、前記端末のシリアル番号、前記端末の国際移動体装置識別番号(IMEI)、前記端末の国際移動体加入者識別番号(IMSI)、前記端末のメディアアクセス制御(MAC)アドレス、及び/又は前記端末にロードされたオペレーティングシステムのオペレーティングシステム識別子(ID)のうちの1つ以上を含む、方法。
  4. 請求項1に記載の方法であって、
    前記機器コードと、前記カウンタの前記出力値とに少なくとも部分的に基づいて、前記動的パスワードを生成することは、
    前記機器コードと、前記サーバによって前記端末に割り当てられたセッション識別子(ID)と、前記サーバによって前記端末に割り当てられたユーザID(UID)とに少なくとも部分的に基づいて、鍵生成プロセスにしたがって、対称鍵を生成し、
    前記対称鍵と、前記出力値とに少なくとも部分的に基づいて、パスワード生成プロセスにしたがって、前記動的パスワードを生成する、
    ことを含む、方法。
  5. 請求項1に記載の方法であって、
    前記機器コードと、前記カウンタの前記出力値とに少なくとも部分的に基づいて、前記動的パスワードを生成することは、
    前記機器コードと、前記サーバによって前記端末に割り当てられたセッション識別子(ID)と、前記サーバによって前記端末に割り当てられたユーザID(UID)とに少なくとも部分的に基づいて、鍵生成プロセスにしたがって、対称鍵を生成し、前記鍵生成プロセスは、前記機器コードと、前記セッションIDと、前記UIDとを組み合わせることを含み、
    前記対称鍵と、前記出力値とに少なくとも部分的に基づいて、パスワード生成プロセスにしたがって、前記動的パスワードを生成する、
    ことを含む、方法。
  6. 請求項1に記載の方法であって、
    前記機器コードと、前記カウンタの前記出力値とに少なくとも部分的に基づいて、前記動的パスワードを生成することは、
    前記機器コードと、前記サーバによって前記端末に割り当てられたセッション識別子(ID)と、前記サーバによって前記端末に割り当てられたユーザID(UID)とに少なくとも部分的に基づいて、鍵生成プロセスにしたがって、対称鍵を生成し、
    前記対称鍵と、前記出力値とに少なくとも部分的に基づいて、パスワード生成プロセスにしたがって、前記動的パスワードを生成し、前記パスワード生成プロセスは、前記動的パスワードをHMAC_SHA1(K,C)に設定することを含み、HMAC_SHA1()は、前記対称鍵に関連付けられたハッシュ関数であり、Kは、前記対称鍵を表し、Cは、前記出力値を表す、
    ことを含む、方法。
  7. 請求項1に記載の方法であって、更に、
    前記端末によって、前記サーバに登録リクエストを伝送し、前記登録リクエストは、前記サーバによって送信された検証コードと、前記機器コードと、前記端末に関係付けられた通信コードとを含み、前記登録リクエストは、認証リクエストの前に受信され、前記端末は、前記登録リクエストに少なくとも部分的に基づいて、前記動的パスワードを前記サーバに送信し、
    前記登録リクエストが検証に通った後、
    前記端末によって、前記サーバによって前記端末に割り当てられたセッション識別子(ID)と、前記サーバによって前記端末に割り当てられたユーザID(UID)とを受信し、前記動的パスワードは、前記セッションIDと、前記UIDとに少なくとも部分的に基づいて生成され、
    前記端末の認証との関連で、前記サーバとの通信リンクを維持する、
    ことを備える方法。
  8. 請求項1に記載の方法であって、更に、
    前記端末によって、前記サーバから認証リクエストを受信し、前記端末は、前記動的パスワードを生成する前に前記認証リクエストを受信し、前記端末は、前記認証リクエストが検証に通ったと決定された場合に前記動的パスワードを生成する、ことを備える方法。
  9. 請求項1に記載の方法であって、
    前記カウンタの前記出力値は、前記端末の時刻に相当する、方法。
  10. 方法であって、
    サーバによって、第1の動的パスワードを端末から受信し、前記第1の動的パスワードは、前記端末のカウンタの出力値と、前記端末を一意に識別する機器コードとに少なくとも部分的に基づいて、前記端末によって生成されるパスワードに相当し、
    前記サーバによって、読み出された機器コードに少なくとも部分的に基づいて第2の動的パスワードを生成し、
    前記第1の動的パスワードが前記第2の動的パスワードに一致するか否かを決定し、
    前記サーバによって、前記第1の動的パスワードが前記第2の動的パスワードに一致するか否かに少なくとも部分的に基づいて前記端末の認証を実施する、
    ことを備える方法。
  11. 請求項10に記載の方法であって、更に、
    前記サーバによって、前記端末に検証リクエストを伝送し、前記サーバは、前記サーバが前記第2の動的パスワードを生成する前に、前記端末に前記検証リクエストを伝送し、
    前記サーバによって、前記検証リクエストに少なくとも部分的に基づいて前記端末によって伝送された検証コードと前記機器コードとを受信する、
    ことを備える方法。
  12. 請求項10に記載の方法であって、
    前記機器コードは、前記端末の1つ以上の特性パラメータに少なくとも部分的に基づいて、既定のアルゴリズムにしたがって決定される、方法。
  13. 請求項12に記載の方法であって、
    前記1つ以上の特性パラメータは、前記端末のブランド、前記端末のモデル番号、前記端末のシリアル番号、前記端末の国際移動体装置識別番号(IMEI)、前記端末の国際移動体加入者識別番号(IMSI)、前記端末のメディアアクセス制御(MAC)アドレス、及び前記端末にロードされたオペレーティングシステムのオペレーティングシステム識別子(ID)のうちの1つ以上を含む、方法。
  14. 請求項10に記載の方法であって、
    前記第1の動的パスワード及び前記第2の動的パスワードの少なくとも1つを生成することは、
    前記機器コードと、前記サーバによって前記端末に割り当てられたセッション識別子(ID)と、前記サーバによって前記端末に割り当てられたユーザID(UID)とに少なくとも部分的に基づいて、鍵生成プロセスにしたがって、対称鍵を生成し、
    前記対称鍵と、前記出力値とに少なくとも部分的に基づいて、パスワード生成プロセスにしたがって、前記第1の動的パスワード及び前記第2の動的パスワードのうちの少なくとも1つを生成する、
    ことを含む、方法。
  15. デバイスであって、
    1つ以上のプロセッサであって、
    前記デバイスを一意に識別する機器コードを取得し、
    前記機器コードと、カウンタの出力値とに少なくとも部分的に基づいて、サーバによる前記デバイスの認証のための基準である動的パスワードを生成し、
    前記動的パスワードを前記サーバに送信し、前記サーバは、前記動的パスワードを認証する、
    ように構成されている1つ以上のプロセッサと、
    前記1つ以上のプロセッサに接続され、前記1つ以上のプロセッサに命令を提供するように構成されているメモリと、
    を備える、デバイス。
  16. 請求項15に記載のデバイスであって、
    前記1つ以上のプロセッサは、更に、前記デバイスの1つ以上の特性パラメータに少なくとも部分的に基づいて、前記機器コードを生成するように構成されている、デバイス。
  17. デバイスであって、
    1つ以上のプロセッサであって、
    第1の動的パスワードを端末から受信し、前記第1の動的パスワードは、前記端末のカウンタの出力値と、前記端末を一意に識別する機器コードとに少なくとも部分的に基づいて、前記端末によって生成されるパスワードに相当し、
    読み出された機器コードに少なくとも部分的に基づいて、第2の動的パスワードを生成し、
    前記第1の動的パスワードが前記第2の動的パスワードに一致するか否かを決定し、
    前記第1の動的パスワードが前記第2の動的パスワードに一致するか否かに少なくとも部分的に基づいて、前記端末の認証を実施する、
    ように構成されている1つ以上のプロセッサと、
    前記1つ以上のプロセッサに接続され、前記1つ以上のプロセッサに命令を提供するように構成されているメモリと、を備える、 、デバイス。
  18. 請求項17に記載のデバイスであって、
    前記機器コードは、前記端末の1つ以上の特性パラメータに少なくとも部分的に基づいて生成される、デバイス。
  19. 非一時的なコンピュータ読み取り可能ストレージ媒体に実装されたコンピュータプログラム製品であって、
    端末を一意に識別する機器コードを取得するためのコンピュータ命令と、
    前記機器コードと、カウンタの出力値とに少なくとも部分的に基づいて、サーバによる前記端末の認証のための基準である動的パスワードを生成するためのコンピュータ命令と、
    前記動的パスワードを前記サーバに送信するためのコンピュータ命令であって、前記サーバは、前記動的パスワードを認証する、コンピュータ命令と、
    を備えるコンピュータプログラム製品。
  20. 非一時的なコンピュータ読み取り可能ストレージ媒体に実装されたコンピュータプログラム製品であって、
    サーバによって、第1の動的パスワードを端末から受信するためのコンピュータ命令であって、前記第1の動的パスワードは、前記端末のカウンタの出力値と、前記端末を一意に識別する機器コードとに少なくとも部分的に基づいて、前記端末によって生成されるパスワードに相当する、コンピュータ命令と、
    前記サーバによって、読み出された機器コードに少なくとも部分的に基づいて、第2の動的パスワードを生成するためのコンピュータ命令と、
    前記第1の動的パスワードが前記第2の動的パスワードに一致するか否かを決定するためのコンピュータ命令と、
    前記サーバによって、前記第1の動的パスワードが前記第2の動的パスワードに一致するか否かに少なくとも部分的に基づいて、前記端末の認証を実施するためのコンピュータ命令と、
    を備えるコンピュータプログラム製品。
JP2017566863A 2015-07-08 2016-07-05 動的パスワードを使用する認証のための方法及びデバイス Pending JP2018528504A (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
CN201510397391.X 2015-07-08
CN201510397391.XA CN106341372A (zh) 2015-07-08 2015-07-08 终端的认证处理、认证方法及装置、系统
US15/201,084 2016-07-01
US15/201,084 US10523664B2 (en) 2015-07-08 2016-07-01 Method and device for authentication using dynamic passwords
PCT/US2016/040997 WO2017007767A1 (en) 2015-07-08 2016-07-05 Method and device for authentication using dynamic passwords

Publications (1)

Publication Number Publication Date
JP2018528504A true JP2018528504A (ja) 2018-09-27

Family

ID=57731500

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017566863A Pending JP2018528504A (ja) 2015-07-08 2016-07-05 動的パスワードを使用する認証のための方法及びデバイス

Country Status (6)

Country Link
US (1) US10523664B2 (ja)
EP (1) EP3320523B1 (ja)
JP (1) JP2018528504A (ja)
KR (1) KR102039316B1 (ja)
CN (1) CN106341372A (ja)
TW (1) TWI705349B (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020187746A (ja) * 2019-05-10 2020-11-19 ベイジン バイドゥ ネットコム サイエンス アンド テクノロジー カンパニー リミテッド モノのインターネット機器及びその認証方法、クラウドサーバ、処理機器、並びに読取可能な媒体
WO2021065650A1 (ja) * 2019-09-30 2021-04-08 積水メディカル株式会社 正規品自動認証方法

Families Citing this family (39)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10333923B2 (en) 2012-08-19 2019-06-25 Rajul Johri Authentication based on visual memory
US9769157B2 (en) * 2015-09-21 2017-09-19 American Express Travel Related Services Company, Inc. Systems and methods for secure one-time password validation
SE540668C2 (en) * 2016-08-30 2018-10-09 No Common Payment Ab Generation and verification of a temporary card security code for use in card based transactions
US20180145957A1 (en) * 2016-11-22 2018-05-24 Ca, Inc. User-defined dynamic password
US10333913B2 (en) * 2017-05-15 2019-06-25 International Business Machines Corporation Dynamic object passwords
CN107360132B (zh) * 2017-06-02 2021-03-09 台州市吉吉知识产权运营有限公司 一种防止会话重演的方法及系统
US10681037B2 (en) * 2017-06-29 2020-06-09 Amadeus S.A.S. Terminal authentication
CN109286932B (zh) * 2017-07-20 2021-10-19 阿里巴巴集团控股有限公司 入网认证方法、装置及系统
US11240240B1 (en) 2017-08-09 2022-02-01 Sailpoint Technologies, Inc. Identity defined secure connect
US11303633B1 (en) 2017-08-09 2022-04-12 Sailpoint Technologies, Inc. Identity security gateway agent
CN108023873B (zh) * 2017-11-08 2020-12-11 深圳市文鼎创数据科技有限公司 信道建立方法及终端设备
CN107888383B (zh) * 2017-11-27 2020-10-09 新华三技术有限公司 登录认证方法及装置
CN108024249B (zh) * 2017-11-30 2021-08-06 郑州云海信息技术有限公司 一种防止wifi暴力破解的方法及系统
CN109962878B (zh) * 2017-12-14 2021-04-16 大唐移动通信设备有限公司 一种ims用户的注册方法及装置
US11463426B1 (en) * 2018-01-25 2022-10-04 Sailpoint Technologies, Inc. Vaultless authentication
CN108306883A (zh) * 2018-01-31 2018-07-20 苏州锦佰安信息技术有限公司 一种身份验证方法和装置
CN107995229A (zh) * 2018-01-31 2018-05-04 苏州锦佰安信息技术有限公司 一种身份验证方法和装置
RU2697953C2 (ru) 2018-02-06 2019-08-21 Акционерное общество "Лаборатория Касперского" Система и способ вынесения решения о компрометации данных
TWI753102B (zh) * 2018-02-09 2022-01-21 劉根田 實名認證服務系統及實名認證服務方法
CN108446400A (zh) * 2018-03-29 2018-08-24 京东方科技集团股份有限公司 增强现实装置、服务器、增强现实系统和共享方法
CN109684799B (zh) * 2018-08-21 2023-12-26 Tcl金融科技(深圳)有限公司 账户登录方法、登录装置、账户登录设备及存储介质
CN110932858B (zh) * 2018-09-19 2023-05-02 阿里巴巴集团控股有限公司 认证方法和系统
CN109510702B (zh) * 2018-10-27 2023-05-16 福建福诺移动通信技术有限公司 一种基于计算机特征码的密钥存储及使用的方法
CN109547217B (zh) * 2019-01-11 2021-10-22 北京中实信达科技有限公司 基于动态口令的一对多身份认证系统和方法
CN110048834A (zh) * 2019-03-12 2019-07-23 深圳壹账通智能科技有限公司 动态密码发送方法、装置及计算机可读存储介质
CN109920114B (zh) * 2019-03-13 2021-08-03 深圳市利成兴科技有限公司 一种基于地理位置的门锁控制方法及系统
CN111723362B (zh) * 2019-03-22 2023-09-08 倪晓 一种权限密码生成方法、系统、装置及终端设备
US10541995B1 (en) * 2019-07-23 2020-01-21 Capital One Services, Llc First factor contactless card authentication system and method
CN110659522B (zh) * 2019-09-04 2020-11-10 广西电网有限责任公司防城港供电局 存储介质安全认证方法、装置、计算机设备和存储介质
SE545872C2 (en) 2019-09-27 2024-02-27 No Common Payment Ab Generation and verification of a temporary authentication value for use in a secure transmission
CN111432405A (zh) * 2020-03-31 2020-07-17 中电四川数据服务有限公司 一种用于电子病历的授权认证方法及系统
CN111953481A (zh) * 2020-07-28 2020-11-17 麒麟软件有限公司 一种基于pam的动态密码认证方法
US10965665B1 (en) 2020-09-16 2021-03-30 Sailpoint Technologies, Inc Passwordless privilege access
CN112217632B (zh) * 2020-10-12 2023-09-08 国网数字科技控股有限公司 一种基于智能合约和哈希链的身份认证方法及装置
CN113256910A (zh) * 2020-12-31 2021-08-13 深圳怡化电脑股份有限公司 金融自助终端的验证方法、装置、计算机设备及存储介质
US20220343004A1 (en) * 2021-04-27 2022-10-27 Spotify Ab Access control for on-device machine learning models
CN113507368A (zh) * 2021-06-17 2021-10-15 北京惠而特科技有限公司 基于动态口令的工业控制设备身份认证方法及装置
US11570180B1 (en) * 2021-12-23 2023-01-31 Eque Corporation Systems configured for validation with a dynamic cryptographic code and methods thereof
CN114500098A (zh) * 2022-03-03 2022-05-13 广州市智荟环保有限公司 一种验证方法、装置和计算机设备及可读存储介质

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001067320A (ja) * 1999-08-25 2001-03-16 Railway Technical Res Inst 情報提供支援方法及びその手順を記録した記録媒体
JP2002297547A (ja) * 2001-04-03 2002-10-11 Sony Corp 情報処理装置および方法、情報処理システム、記録媒体、並びにプログラム
JP2008517384A (ja) * 2004-10-15 2008-05-22 ベリサイン・インコーポレイテッド ワンタイムパスワード
JP2009508189A (ja) * 2005-08-11 2009-02-26 サンディスク アイエル リミテッド 拡張ワンタイム・パスワード方法および装置
CN101778381A (zh) * 2009-12-31 2010-07-14 卓望数码技术(深圳)有限公司 数字证书生成方法、用户密钥获取方法、移动终端及设备
JP2014096101A (ja) * 2012-11-12 2014-05-22 Bank Of Tokyo-Mitsubishi Ufj Ltd ユーザ認証装置及びユーザ認証プログラム
JP2015507266A (ja) * 2011-12-27 2015-03-05 インテル・コーポレーション デバイス固有のワンタイムパスワードによるネットワークからの認証
JP2015072511A (ja) * 2013-10-01 2015-04-16 さくら情報システム株式会社 ワンタイムパスワード装置、方法及びプログラム

Family Cites Families (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1142653C (zh) 2000-04-28 2004-03-17 杨宏伟 动态口令认证系统及方法
US6591098B1 (en) 2000-11-07 2003-07-08 At&T Wireless Services, Inc. System and method for using a temporary electronic serial number for over-the-air activation of a mobile device
EP1484690A1 (en) 2002-02-14 2004-12-08 Hironori Wakayama Authenticating method
AU2003212638A1 (en) * 2002-03-13 2003-09-22 Adjungo Networks Ltd. Accessing cellular networks from non-native local networks
US20030204732A1 (en) 2002-04-30 2003-10-30 Yves Audebert System and method for storage and retrieval of a cryptographic secret from a plurality of network enabled clients
AU2003293125A1 (en) 2002-11-27 2004-06-23 Rsa Security Inc Identity authentication system and method
US20040181696A1 (en) 2003-03-11 2004-09-16 Walker William T. Temporary password login
US7474894B2 (en) * 2004-07-07 2009-01-06 At&T Mobility Ii Llc System and method for IMEI detection and alerting
CN100505927C (zh) 2004-10-22 2009-06-24 北京握奇数据系统有限公司 动态口令认证方法
WO2006119184A2 (en) * 2005-05-04 2006-11-09 Tricipher, Inc. Protecting one-time-passwords against man-in-the-middle attacks
US20070260556A1 (en) * 2005-06-06 2007-11-08 Michael Pousti System and method for verification of identity for transactions
US7757275B2 (en) * 2005-06-15 2010-07-13 Microsoft Corporation One time password integration with Kerberos
US20070186115A1 (en) * 2005-10-20 2007-08-09 Beijing Watch Data System Co., Ltd. Dynamic Password Authentication System and Method thereof
US20070165582A1 (en) * 2006-01-18 2007-07-19 Puneet Batta System and method for authenticating a wireless computing device
US20090045253A1 (en) * 2006-03-10 2009-02-19 Min Gyu Han System and method for providing virtual discernment information
EP3457307B1 (en) * 2006-04-24 2019-08-14 Yubico Ab Device for identification and authentication
US9002018B2 (en) 2006-05-09 2015-04-07 Sync Up Technologies Corporation Encryption key exchange system and method
US8117458B2 (en) 2006-05-24 2012-02-14 Vidoop Llc Methods and systems for graphical image authentication
ATE552685T1 (de) * 2006-11-15 2012-04-15 Research In Motion Ltd Sicheres, auf kundenberechtigungsnachweis basierendes sitzungsauthentifizierungsverfahren und vorrichtung
EP2206277A4 (en) * 2007-10-22 2013-02-13 Microlatch Pty Ltd TRANSMITTER FOR SENDING A SECURED ACCESS SIGNAL
US8756661B2 (en) 2009-08-24 2014-06-17 Ufp Identity, Inc. Dynamic user authentication for access to online services
US20120185398A1 (en) 2009-09-17 2012-07-19 Meir Weis Mobile payment system with two-point authentication
US8549594B2 (en) 2009-09-18 2013-10-01 Chung-Yu Lin Method of identity authentication and fraudulent phone call verification that utilizes an identification code of a communication device and a dynamic password
KR101198120B1 (ko) * 2010-05-28 2012-11-12 남궁종 홍채정보를 이용한 양방향 상호 인증 전자금융거래시스템과 이에 따른 운영방법
US8312519B1 (en) * 2010-09-30 2012-11-13 Daniel V Bailey Agile OTP generation
US20140156531A1 (en) * 2010-12-14 2014-06-05 Salt Technology Inc. System and Method for Authenticating Transactions Through a Mobile Device
US8838973B1 (en) * 2011-02-28 2014-09-16 Google Inc. User authentication method
TWI465094B (zh) 2011-04-26 2014-12-11 Telepaq Technology Inc User identification methods and systems for Internet transactions
US9292670B2 (en) 2012-02-29 2016-03-22 Infosys Limited Systems and methods for generating and authenticating one time dynamic password based on context information
CN102684878A (zh) * 2012-04-05 2012-09-19 苏州佳世达电通有限公司 一种基于imei和定位技术的认证系统及方法
TW201349824A (zh) * 2012-05-17 2013-12-01 Gamania Digital Entertainment Co Ltd 使用裝置識別碼的身份驗證方法及其系統
US9654466B1 (en) * 2012-05-29 2017-05-16 Citigroup Technology, Inc. Methods and systems for electronic transactions using dynamic password authentication
WO2014022778A1 (en) * 2012-08-03 2014-02-06 Vasco Data Security, Inc. User-convenient authentication method and apparatus using a mobile authentication application
CN103023876B (zh) * 2012-11-22 2016-05-04 中国科学院声学研究所 一种网络终端及其安全认证、注册激活方法,服务器
CN103888938A (zh) * 2012-12-19 2014-06-25 深圳市华营数字商业有限公司 一种基于参数的动态生成密钥的pki私钥保护方法
GB2510120A (en) 2013-01-24 2014-07-30 Ibm User authentication based on dynamically selected service authentication levels
US9208335B2 (en) * 2013-09-17 2015-12-08 Auburn University Space-time separated and jointly evolving relationship-based network access and data protection system

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001067320A (ja) * 1999-08-25 2001-03-16 Railway Technical Res Inst 情報提供支援方法及びその手順を記録した記録媒体
JP2002297547A (ja) * 2001-04-03 2002-10-11 Sony Corp 情報処理装置および方法、情報処理システム、記録媒体、並びにプログラム
JP2008517384A (ja) * 2004-10-15 2008-05-22 ベリサイン・インコーポレイテッド ワンタイムパスワード
JP2009508189A (ja) * 2005-08-11 2009-02-26 サンディスク アイエル リミテッド 拡張ワンタイム・パスワード方法および装置
CN101778381A (zh) * 2009-12-31 2010-07-14 卓望数码技术(深圳)有限公司 数字证书生成方法、用户密钥获取方法、移动终端及设备
JP2015507266A (ja) * 2011-12-27 2015-03-05 インテル・コーポレーション デバイス固有のワンタイムパスワードによるネットワークからの認証
JP2014096101A (ja) * 2012-11-12 2014-05-22 Bank Of Tokyo-Mitsubishi Ufj Ltd ユーザ認証装置及びユーザ認証プログラム
JP2015072511A (ja) * 2013-10-01 2015-04-16 さくら情報システム株式会社 ワンタイムパスワード装置、方法及びプログラム

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020187746A (ja) * 2019-05-10 2020-11-19 ベイジン バイドゥ ネットコム サイエンス アンド テクノロジー カンパニー リミテッド モノのインターネット機器及びその認証方法、クラウドサーバ、処理機器、並びに読取可能な媒体
JP7000495B2 (ja) 2019-05-10 2022-01-19 ベイジン バイドゥ ネットコム サイエンス テクノロジー カンパニー リミテッド モノのインターネット機器及びその認証方法、クラウドサーバ、処理機器、並びに読取可能な媒体
US11522854B2 (en) 2019-05-10 2022-12-06 Beijing Baidu Netcom Science And Technology Co., Ltd. IoT device and authentication method thereof, cloud server, processing device and readable medium
WO2021065650A1 (ja) * 2019-09-30 2021-04-08 積水メディカル株式会社 正規品自動認証方法
JPWO2021065650A1 (ja) * 2019-09-30 2021-04-08
JP7153807B2 (ja) 2019-09-30 2022-10-14 積水メディカル株式会社 正規品自動認証方法

Also Published As

Publication number Publication date
EP3320523A1 (en) 2018-05-16
EP3320523B1 (en) 2021-09-01
TWI705349B (zh) 2020-09-21
EP3320523A4 (en) 2019-02-27
KR102039316B1 (ko) 2019-11-01
TW201706900A (zh) 2017-02-16
US20170012969A1 (en) 2017-01-12
US10523664B2 (en) 2019-12-31
KR20180011226A (ko) 2018-01-31
CN106341372A (zh) 2017-01-18

Similar Documents

Publication Publication Date Title
JP2018528504A (ja) 動的パスワードを使用する認証のための方法及びデバイス
AU2019275598B2 (en) Systems and methods for authenticating an online user using a secure authorizaton server
US11956230B2 (en) First factor contactless card authentication system and method
US9491155B1 (en) Account generation based on external credentials
US9727715B2 (en) Authentication method and system using password as the authentication key
US9747434B1 (en) Authenticating with an external device by providing a message having message fields arranged in a particular message field order
US10484372B1 (en) Automatic replacement of passwords with secure claims
US9124571B1 (en) Network authentication method for secure user identity verification
WO2017007767A1 (en) Method and device for authentication using dynamic passwords
US11777942B2 (en) Transfer of trust between authentication devices
WO2020163223A1 (en) Methods, systems, and media for authenticating users using blockchains
CN111901303A (zh) 设备认证方法和装置、存储介质及电子装置
US11921840B2 (en) Systems and methods for password managers
KR20210074299A (ko) 사용자 크리덴셜을 관리하기 위한 시스템, 방법 및 매체
EP2916509B1 (en) Network authentication method for secure user identity verification
JP5793593B2 (ja) ユーザ識別情報を安全に検証するためのネットワーク認証方法
US11153312B2 (en) User authentication method, evaluation device, non-transitory computer-readable storage medium, and user authentication system
KR102671176B1 (ko) 제1 요인 비접촉식 카드 인증 시스템 및 방법
US20230362158A1 (en) Information processing apparatus, authenticator, method therefor, and storage medium
JP6571018B2 (ja) 情報処理装置、認証処理方法及びプログラム
AU2014101079A4 (en) Secure communication method

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180220

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180215

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190130

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190205

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190425

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20190806