JP2019531567A - 装置認証のシステム及び方法 - Google Patents

装置認証のシステム及び方法 Download PDF

Info

Publication number
JP2019531567A
JP2019531567A JP2019535192A JP2019535192A JP2019531567A JP 2019531567 A JP2019531567 A JP 2019531567A JP 2019535192 A JP2019535192 A JP 2019535192A JP 2019535192 A JP2019535192 A JP 2019535192A JP 2019531567 A JP2019531567 A JP 2019531567A
Authority
JP
Japan
Prior art keywords
computing device
processor
identity information
temporary identity
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2019535192A
Other languages
English (en)
Other versions
JP2019531567A5 (ja
Inventor
ジョン エリンソン,
ジョン エリンソン,
チャールズ オットソン,トーマス
トーマス チャールズ オットソン,
Original Assignee
インフォサイ, エル エル シー
インフォサイ, エル エル シー
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by インフォサイ, エル エル シー, インフォサイ, エル エル シー filed Critical インフォサイ, エル エル シー
Publication of JP2019531567A publication Critical patent/JP2019531567A/ja
Publication of JP2019531567A5 publication Critical patent/JP2019531567A5/ja
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/951Indexing; Web crawling techniques
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/12Transmitting and receiving encryption devices synchronised or initially set up in a particular manner
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/50Secure pairing of devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/75Temporary identity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Power Engineering (AREA)
  • Software Systems (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Collating Specific Patterns (AREA)

Abstract

実施形態は、方法、システム、及び計算装置を認証する方法を実装するように構成された計算装置を含む。第1計算装置のプロセッサは、一時的同一性情報を取得し、当該一時的同一性情報を第2計算装置及び第3計算装置に送信する。第2計算装置のプロセッサは、第1計算装置の認証リクエストと共に当該一時的同一性情報を第3計算装置に送信する。第3計算装置のプロセッサは、第1計算装置から受信した一時的同一性情報が第2計算装置から受信した一時的同一性情報と一致することを示す情報に応じて第1計算装置の同一性を認証する。【選択図】図3B

Description

共有秘密及び付随する信頼の概念は、トロイが崩壊する前からセキュリティパラダイムのコアであった。歴史的に、共有秘密は、信頼の尺度として互いに識別するために二者が使用することができるパスワードであった。これらの共有秘密は、時々刻々と変化する可能性があるが、それらは共有されてから使用されるまで、十分な耐久性を有していた。当該パスワードは、それらの者が秘密を保持している場合にしか機能しない。秘密を共有した当事者は、典型的には何らかの方法で互いに知られている、または保証されていた。チャレンジおよび応答パスワードの使用は、秘密に、又は、信頼され共有された秘密の使用を通じて、信頼される当事者を識別可能にする。認証された秘密の共有によって、他人に信頼を付与することができる。
近年、デジタル環境の開発によって、とりわけ、高速通信及び情報取引が大幅に拡大した。従来の共有秘密のパラダイムは、ユーザとシステムとの間の通信を保護するために、ユーザ名及びパスワードから多くの方法でデジタル環境に組み込まれてきた。例えば、この概念は、セキュアソケットレイヤ(Secure Socket Layer;SSL)及び認証局情報セキュリティインフラストラクチャ(Certificate Authority information security infrastructure)の基礎となっている。
しかし、デジタル環境では、短い期間を超えて秘密を維持することが困難であり、一旦秘密が失われると、以前は、秘密情報が急速かつ完全な忠実度で増加してしまっていた。デジタル環境は、多くの「秘密」(例えば、パスワード、デジタル証明、個人情報、及びその他のタイプの認証情報)が闇市場で自由に取引される商品に変換される「ハッキング」やデジタル交換を保護するための秘密のような利益の破壊の対象になってしまう。さらに、デジタル環境の基礎となるセキュリティメカニズムは、しばしば不正を受けてしまうが、秘密が維持されるものとした動作に依存する。共有秘密パラダイムの不具合の新しいダイナミクス及びそれに依存する信頼は、動作の仮定において根本的な変化を必要とする。
様々な実施形態は、第1計算装置と第2計算装置との間の相互作用を第3計算装置のサポートを用いて認証する方法を含む。様々な実施形態は、前記第1計算装置で第1の一時的同一性情報を取得し、前記第2計算装置及び前記第3計算装置に前記第1の一時的同一性情報を送信し、前記第2計算装置において、前記第1計算装置からの前記第1の一時的同一性情報を受信し、前記第2計算装置で第2の一時的同一性情報を取得し、前記第2計算装置から前記第1計算装置及び前記第3計算装置に前記第2の一時的同一性情報を送信し、前記第1計算装置において、前記第2計算装置から前記第2の一時的同一性情報を受信し、前記第1計算装置から前記第3計算装置に、前記第2の一時的同一性情報を含む認証クエリを送信し、前記第2計算装置から前記第3計算装置に、前記第1の一時的同一性情報を含む認証クエリを送信し、前記第3計算装置において、前記第1計算装置からの前記第1の一時的同一性情報を受信し、前記第3計算装置において、前記第1の一時的同一性情報を含む認証クエリを前記第2計算装置から受信し、前記第3計算装置において、前記第1計算装置からの前記第1の一時的同一性情報が前記第2計算装置からの前記第1の一時的同一性情報に一致するか否かを判定し、前記第3計算装置によって、前記第1計算装置からの前記第1の一時的同一性情報が前記第2計算装置からの前記第1の一時的同一性情報に一致するか否か判定に基づいて、前記第1計算装置が認証されたか否かを示す情報を前記第2計算装置に送信し、前記第3計算装置において、前記第2計算装置からの前記第2の一時的同一性情報を受信し、前記第3計算装置において、前記第1計算装置からの前記第2の一時的同一性情報を含む前記認証クエリを受信し、前記第3計算装置によって、前記第1計算装置からの前記第2の一時的同一性情報が前記第2計算装置からの前記第2の一時的同一性情報に一致するか否かを判定し、前記第3計算装置によって、前記第1計算装置からの前記第2の一時的同一性情報が前記第2計算装置からの前記第2の一時的同一性情報に一致するか否かの判定に基づいて、前記第2計算装置が認証されたか否かを示す情報を前記第1計算装置に送信し、前記第1計算装置において、前記第2計算装置が認証されたか否かを示す情報を前記第3計算装置から受信し、前記第2計算装置において、前記第1計算装置が認証されたか否かを示す情報を前記第3計算装置から受信することを含む。
様々な実施形態は、上記で要約された方法の動作を実行するために、プロセッサ実行可能命令を伴って構成された計算装置をさらに含む。様々な実施形態は、第1計算装置、第2計算装置、及び第3計算装置が全て上記のように要約された方法の動作を実行するように構成される。
本明細書に組み込まれ、本明細書の一部を構成する添付の図面は、本発明の例示的な実施形態を示し、後述する詳細な説明とともに、本発明の特徴を説明するためのものである。
様々な実施形態における使用に適した通信システムのコンポーネントブロック図である。 様々な実施形態における使用に適した通信システムのコンポーネントブロック図である。 様々な実施形態における使用に適した通信システムのコンポーネントブロック図である。 様々な実施形態における使用に適した通信装置の構成ブロック図である。 様々な実施形態において、ある計算装置を別の計算装置に認証する方法を示すプロセスフロー図である。 様々な実施形態において、ある計算装置を別の計算装置に認証する別の方法を示すメッセージフロー図である。 方法300の一部として第1計算装置によって実行される動作の方法300aを示す図である。 方法300の一部として第2計算装置によって実行される動作の方法300bを示す図である。 方法300の一部として第3計算装置によって実行される動作の方法300cを示す図である。 様々な実施形態において、ある計算装置を別の計算装置に認証し、2つの装置間の情報取引を認証する方法を示すプロセスフロー図である。 方法400の一部として第1計算装置によって実行される動作の方法400aを示す図である。 方法400の一部として第2計算装置によって実行される動作の方法400bを示す図である。 方法400の一部として第3計算装置によって実行される動作の方法400cを示す図である。 様々な実施形態において、非認証の対象者による指示のイベントにおける2つの装置間の通信を保護する方法を示すプロセスフロー図である。 方法500の一部として第3計算装置によって実行される動作の方法500aを示す図である。 様々な実施形態において、ある計算装置を別の計算装置に認証する方法を示すプロセスフロー図である。 方法600の一部として第1計算装置によって実行される動作の方法600aを示す図である。 方法600の一部として第2計算装置によって実行される動作の方法600bを示す図である。 方法600の一部として第3計算装置によって実行される動作の方法600cを示す図である。 様々な実施形態を実装するのに適したモバイル無線計算装置の構成ブロック図である。 様々な実施形態を実装するのに適したポータブル無線通信装置の構成ブロック図である。 様々な実施形態を実装するのに適したサーバ装置の構成ブロック図である。
発明を実施するための最良の形態について、図面を参照して、本発明の実施の形態について詳細に説明する。可能な限り、同一または類似の部品を参照するために、図面全体にわたって同一の参照番号を使用する。特定の例及び実施例に対する参照は例示のためのものであり、本発明の範囲を限定することを意図するものではなく、本発明の範囲を制限することを意図するものではない。
様々な実施形態は、方法及び方法を実現するように構成された計算装置(又は、その他のデジタル装置又はプログラム可能な装置)を提供する。これらは、共有秘密及び静的情報のパラダイムに依存しない計算装置の動的情報に基づいて、通信システムにおける他の計算装置へのある計算装置の認証を可能にする。各計算装置の一時的な同一性は周期的又は非周期的に変化し、各計算装置は他の計算装置と周期的又は非周期的(同期的または非同期的)に新しい一時的な同一性を送信及び/又は受信するので、様々な実施形態は、通信のセキュリティを改善することによって、任意の通信ネットワーク又は任意の電子通信システムの機能を改善する。様々な実施形態はまた、共有秘密のようにアクセス及び/又はコピーによる攻撃に対して脆弱な静的な同一性情報に依存することなく、参加する計算装置の同一性を信頼できるように認証することによって任意の通信ネットワークの機能を改善する。
「計算装置」という用語は、様々な実施形態の方法を実行するためにプログラム可能な命令で構成することができる任意のプログラム可能なコンピュータまたはプロセッサを指す。計算装置は、パーソナルコンピュータ、ラップトップコンピュータ、タブレットコンピュータ、携帯電話、スマートフォン、インターネット対応携帯電話、Wi−Fi(登録商標)対応電子機器、パーソナルデータアシスタント(PDAs)、ウェアラブル計算装置(スマートウォッチ、ネックレス、メダリオン、及び、着用可能に、着用可能なアイテムに取り付けられ、又は着用可能なアイテムに埋め込まれるように構成された計算装置を含む)、無線付属装置、無線周辺装置、モノのインターネット(IoT)装置、サーバ、ルータ、ゲートウェイなどのネットワーク構成要素(いわゆる「クラウド」計算装置を含む)、短距離無線通信(例えば、ブルートゥース(Bluetooth)(登録商標)、ピーナッツ(Peanut)(登録商標)、ジグビー(ZigBee)(登録商標)、及び/又はWi−Fi無線など)及び/又はワイドエリアネットワーク接続(例えば、ワイヤレスワイドエリアネットワークトランシーバを使用して通信するために1つまたは複数のセルラー無線アクセス技術を使用すること、または通信ネットワークへの有線接続を使用すること)を備えた類似の電子装置のうちの1つ又はすべてを含むことができる。
本明細書で使用される「情報取引」という用語は、参加する装置の同一性が認証された任意の通信又はその他の情報交換を指す。いくつかの実施形態において、本明細書に記載の方法を実施するように構成された方法及び計算装置は、ヘルスケア記録管理、機密性通信(例えば、政府、ビジネス、機密通信など)、公共記録管理システム、投票システム、金融サービスシステム、セキュリティ仲介システム、および多くの他のシステムのような、参加する装置の同一性が認証されたさまざまなコンテキスト(contexts)で実装することができる。いくつかの実施形態では、本明細書に記載された方法を実施するように構成された方法及び計算装置は、IoT装置、又は、ルータ、サーバ、IoTハブ、または他の類似の装置のような、IoT装置の一部及びIoT装置コントローラに実装することができる。特に、IoT環境で実施される場合、様々な実施形態は、人間の介入なしに、分散サービス拒否(DDoS)攻撃を防止するのに使用することができる。いくつかの実施形態では、方法及び当該方法を実行するように構成された計算装置は、情報取引における計算装置の参加を認証することができる。いくつかの実施形態では、方法及び当該方法を実施するように構成された計算装置は、特定の計算装置の参加を認証し、参加者が後の(例えば、カードが存在しない金融取引のような)取引への参加の拒否をできなくするため、商取引のコンテキストで実施することができ、拒否不能な商取引の実行を可能にする。
「コンポーネント」、「システム」などの用語は、これらに限定されるものではないが、特定の動作又は機能を実行するように構成されたハードウェア、ファームウェア、ハードウェア及びソフトウェアの組み合わせ、ソフトウェア、実行中のソフトウェアのような、コンピュータ関連の実体を含むことが意図される。例えば、コンポーネントは、これらに限定されないが、プロセッサ上で実行されるプロセス、プロセッサ、オブジェクト、実行ファイル、実行スレッド、プログラム、及び/又はコンピュータを含む。例として、無線デバイス上で動作するアプリケーション及び無線デバイス自体の両方をコンポーネントと呼ぶことができる。1つ又は複数のコンポーネントは、プロセス及び/又は実行スレッド内に存在し、コンポーネントは、1つのプロセッサ又はコア上にローカライズされてもよく、及び/又は2つ以上のプロセッサ又はコア間に分散されてもよい。さらに、これらのコンポーネントは、様々な命令及び/又はデータ構造が記憶された様々な非一時的なコンピュータ読み取り可能な記録媒体から実行することができる。コンポーネントは、ローカル及び/又はリモートプロセス、機能又はプロシージャコール、電子信号、データパケット、メモリ読み出し/書き込み、及びその他の既知のコンピュータ、プロセッサ、及び/又はプロセス関連通信方法によって通信することができる。
デジタル環境は、とりわけ、グローバルスケールでの急速な通信及び情報取引を可能にする。しかしながら、現在のデジタル環境は、古い静的な共有秘密のパラダイムである不安定なセキュリティ基盤上に置かれている。数千年にわたって行われてきた純粋な人間の環境と今日行われているデジタル環境との間には、多くの根本的な差異が存在する。
50年前、商取引及び通信は、しばしば対面的に、ローカルに、互いに知る者同士の間で行われた。今日では、商取引及び通信は、リモートで、グローバルに、互いに知らないだけでなく今後も会うことがないような者同士の間、すなわちデジタル環境は、ローカルでよく知った間よりも、典型的には匿名かつリモートで行われる。さらに、多くの現代のデジタル通信は、任意の人間の相互作用または知識とは独立して動作する計算装置間で行われる。対面的な取引は、互いの視覚的な認識により、自然に認証ステップを含む。相互に完全に未知であって互いに離れた者同士の間の取引を可能にすることにより、既知の当事者間のやり取りを含むアナログ環境から、認識されていないことが多いが、当事者の認証において情報漏洩の可能性があるコンピュータ仲介方法を含むという固有の脆弱性を組み込んだデジタル環境に遷移する。
さらに、デジタル環境では、短い期間を超えて秘密を維持することが困難なものである。一旦機密が失われると、以前は、秘密情報が急速かつ完全な忠実度で増加してしまっていた。結果として大量のデータ破損をもたらす、デジタルシステムセキュリティにおけるブレークダウンは、一般的になってきており、その発生の頻度は加速されている。
破損事故の大部分では、信用の侵害又は共有秘密(例えば、信用証明書)の誤用が、セキュリティ障害の根本にある。特定のケースでは、特定のセキュリティ障害は、信頼性およびセキュリティを提供するために使用される技術における強度不足に起因し、一般に、様々な技術配備を用いた多種多様な産業において、デジタル環境におけるセキュリティ障害が発生している。セキュリティ障害は、ボード全体にわたって発生し、特定の配備された技術だけに起因するものではなく、そのアプリケーション及びその使用に固有の実行及び手順にも起因することがある。このように、デジタル環境におけるセキュリティの不具合は、共有秘密の信頼パラダイムの根本的戦略における、より多くの根本的及びある地域に特有の条件に起因するものである。
デジタルセキュリティの現在のパラダイムは、少なくとも以下の3つの根本的な理由のために不具合を生じる。
(1)現在のパラダイムは信頼に基づくものであり、信頼は不具合を生じるものである
(2)現在のパラダイムは、安定したまたは静的な共有秘密に基づいている、しかし秘密は秘密のままではない
(3)情報トランザクションの大多数は匿名の当事者間で行われる。
したがって、「信頼されたシステム(trusted systems)」は、それらが見抜かれやすい(透過性)かつ脆弱であるので、最終的には用いられない。さらに、現在の「信頼されたシステム」は、時間(又は持続時間)とともに変化しない、静的又は高耐久性の情報の使用による大部分において、侵入(penetration)及び利用(exploitation)に対して脆弱である。
例えば、現在のデジタルセキュリティパラダイムは、認証局又は静的なデジタル証明書(又は、他の類似のデータ)を発行する類似の機関に依存する。デジタル証明書は、当該証明書の名付けられた対象によって公開鍵の所有権を証明し、表示面上では他の当事者が、証明された公開鍵(パブリックキー)に対応する秘密鍵(プライベートキー)に対してなされた署名又は主張を信頼できるようにすることができる。このセキュリティパラダイムの一例は、計算装置上のウェブブラウザとリモートウェブサーバとの間のような、計算装置間の通信を安全にするために広く使用されるセキュリティプロトコルである。SSLは、公開鍵および秘密鍵を使用して、計算装置とウェブサイトとの間で送信される情報を暗号化する暗号システムを採用している。SSLセキュリティのコアは、事業者が認証局によって検証された後に、企業のサーバにインストールされることを特徴とする、認証局によって提供される証明書に依存する。信頼関係のこのモデルにおいて、認証局は、証明書の所有者と証明書に依存する他の当事者との両方に依存する第三者である。
このセキュリティパラダイムにおける主な弱点は、証明書及び認証局を含む。計算装置上の証明書が不正アクセスされた場合、その計算装置からの又はその計算装置への通信のセキュリティが失われる。認証局が不正アクセスされると、システム全体のセキュリティが失われ、不正アクセスされた認証局を信頼する全てのエンティティを潜在的に不正アクセスされる可能性がある。不正アクセスされた認証局から証明書にアクセスする攻撃者は、認証局によって示された信頼されたユーザになりすますことができる。したがって、静的証明書の使用は、破滅的なセキュリティ違反の可能性を作り出してしまう。
別の例として、多くの個々のデバイスは、認証情報が取得された方法によらず、同一の認証情報を用いるサービス又はシステムにログインしようと試みるが、1つのデバイス又はシステムだけを認証情報の正当な保持者のログインを正当に認証する。この原理を利用するための多くの戦略があるが、それらは、攻撃者によって盗まれ使用される可能性がある情報に基づいて認証ステップが行われる、という共通の脆弱性を共有しているので、すべて不具合を生じる。典型的には、ログイン認証情報はユーザ名とパスワードとからなる。ワンタイム使用及びマルチファクタ使用のように、認証情報をより複雑にしてログイン認証情報を確保するための多数の手段が存在するが、難読化やログイン認証情報を複雑に作成する使用方法のすべては、インフラストラクチャ自体が脆弱であれば、脆弱になってしまう。マルチファクタ認証ステップ及びマルチファクタ認証パスの存在そのもの及び使用は、セキュリティを提供するタスクに対してユーザ名−パスワードの組み合わせが不適切であることが認められている。
本出願に開示された様々な実施形態は、デジタルシステムのセキュリティ脆弱性を解決し、デバイス間通信のための電子セキュリティ及び強化されたユーザ認証を提供する。様々な実施形態は、デジタル証明書の連続的なリフレッシュ及び変更を提供するため、コンピュータに実装された方法を提供する。様々な実施形態は、そのようなシステムが透過性かつ脆弱なので、信頼されたシステムが潜在的に安全でないという仮定を組み込んでいる。様々な実施形態は、少なくともデジタル環境が本質的に信頼できないため、様々なネットワーク要素間で信頼を有しないデジタル通信システムを提供する。
様々な実施形態は、攻撃者が効果的に使用することができないような制限された期間の認証情報を生成し、共有することによって、ネットワーク上の装置の認証を変更する。様々な実施形態では、認証情報が使用され得る持続時間は、数分間の持続時間のように、比較的短い持続時間であってもよい。これは、従来の認証局(CA)からの証明書の有効期間との対比であり、場合によっては数十年までの持続時間を有してもよい。いくつかの実施形態では、認証情報の持続時間は、攻撃者が情報を取得し、利用するのに要する時間よりも短くするものとして決定することができる。様々な実施形態は、認証情報が潜在的に脆弱であり、攻撃者によって取得され得るという仮定に基づき、認証情報の有効期間は、攻撃者がそれを発見し、利用することが可能になる前に、認証のための有用性が満了するように決定されてもよい。例えば、当該技術分野の計算機能の状態に基づいて、一般に使用される暗号化ハッシュを解読するために必要な時間量(例えば、SHA256)のような総当たり力を使用することを決定することができる。様々な実施形態では、計算技術における進歩によって、そのような情報を発見し解読するのに要する時間が短縮することに伴い、認証情報の有効期間が変化する。いくつかの実施形態では、システムは、暗号化された情報を解読するために必要とされる決定された時間よりも短い認証情報のための有効期間を決定することができる。
認証情報の比較的に短い有用な持続時間は、アクセスされ、又は「ハッキング」された後、システムを攻撃する手段として使用される、そのような認証情報が推測される可能性を桁で小さくする。このような認証情報を使用することにより、システムは、このような不正な装置が、従来では許容されたユーザ名及びパスワード、証明書、又はその他のアクセス認証情報を提示した場合であっても、所望の装置のみを許可し、無許可装置へのアクセスを拒否することができる。正当なユーザログイン証明書の完全なコピーを取得した攻撃者によるデバイス又はシステムへのアクセスを、既存のセキュリティ技術及びコンポーネントによって除外することを可能にさせることができる。様々な実施形態は、モノのインターネット(IoT)装置を含む広範囲な装置において、クラウドセキュリティのようなワンタイムパスワードを利用した他のセキュリティアプリケーションに適用することができる。様々な実施形態は、分散サービス拒否(DDoS)攻撃の実行における攻撃又は従属のターゲットになり得る計算装置のように、様々な装置の間の通信の認証に適用することができる。
様々な実施形態における計算装置は、各計算装置が周期的に(又は非周期的に)計算装置の動的及び/又は静的な状態の態様(単独又は組み合わせ)を用いて、一時的(ephemeral)な「同一性情報(identity)」を生成する、双方向性の三方向認証を実行する。一時的同一性情報は、2つ(又はそれ以上)の他の計算装置によって交換され、認証され得る計算装置の各々によって生成される。一時的同一性情報は、ハッシング技術(hashing techniques)、更新型キーストン(updated keystones)、更新型トラストアンカ(updated Trust Anchors)、クライアント証明書マッピング(Client Certificate Mapping)、アクティブディレクトリ(Active Directory)、インターネット情報サービス(IIS)クライアント証明書マッピング(Internet Information Services Client Certificate Mapping)、デジタル証明書、信頼できる第三者、及び他のセキュリティメカニズムを含む既存のセキュリティ方法と共に使用することができる。様々な実施形態は、認証されたユーザの証明書を所有する不正なユーザによって、コンピュータネットワーク又はオンライン環境にログインしようとするような、認証された計算装置へのなりすましをしようとする試みを無効にすることができる。様々な実施形態は、任意のネットワーク上の任意の種類のデジタル装置間における安全な通信を提供することもできる。したがって、様々な実施形態は、従来の認証技術の共通の脆弱性を排除した通信ネットワーク上の計算装置間の、安全な、信頼できる、及び認証された通信を提供する。
様々な実施形態では、一時的同一性情報は、当該一時的同一性情報を生成する計算装置の1つ以上の変化状態又は動的状態、又は当該計算装置(例えば、カメラ、マイクロフォン、加速度計等)内のセンサによって取得された動的情報の少なくとも一部に基づいて動的に生成することができる。いくつかの実施形態では、計算装置は、それ自身の一時的同一性情報を生成することができる。いくつかの実施形態では、認証サーバのような別の計算装置は、計算装置の一時的同一性情報を生成することができ、一時的同一性情報は、当該計算装置にプッシュされてもよく、又は計算装置によってサーバから引き出されてもよい。
いくつかの実施形態では、与えられた一時的同一性情報は一度だけ使用することができる。そのような実施形態では、使用された一時的同一性情報は、その後使用できなくてもよい。
様々な実施形態では、時間は一時的同一性情報の重要な要素である。例えば、一時的同一性情報の期限は、秘密が維持されることが期待される妥当な時間長に制限される。様々な実施形態では、計算装置は、安全なネットワークセキュリティ又は安全な取引の完了へのアクセスのような有効な攻撃において、攻撃者が一時的同一性情報を推測又は要求し、それを用いるために要求された時間よりも短い、一時的同一性情報が使用される時間長のような、一時的同一性情報の時間限界又は持続時間を決定することができる。時間限界又は持続時間を超えて、一時的同一性情報は、任意の計算装置の認証に使用できない場合がある。一時的同一性情報の持続時間は、与えられた通信セッション(例えば、VPNセッション又はインターネットショッピング及び購入セッション)の持続時間より短くてもよい。そのような状況では、新しい一時的同一性情報が、通信セッションの間に計算装置に対して生成され、古い一時的同一性情報の期限の後の通信セッションの間のデータ交換の安全を維持するために用いられる。
いくつかの実施形態では、一時的同一性情報を生成する際に使用される、計算装置の生成の動的な態様は、各々の一時的同一性情報が異なる(すなわち変化する)データに基づくように、頻繁に又は連続的に変化する。このような実施形態では、生成された各々の一時的同一性情報は、当該一時的同一性情報が生成された時点において計算装置を生成する動的状態の「スナップショット」を表す、固有の(データのストリングによって表され得る)データを含む。様々な実施形態は、固有の動的な証明書を生成するための基礎として、何度も変化する1つ以上の条件を参照して生成された固有のデータ(又は固有のデータストリング)を用いる。その結果、攻撃者に、一時的同一性情報の生成を基礎として偽造同一性情報を生成させないようにすることができる。
いくつかの実施形態では、計算装置は、情報を交換することができ、又は、各計算装置が新しい一時的同一性情報を生成するタイミングを取り決めすることができる。いくつかの実施形態では、ある計算装置(例えば、サーバ)が他の計算装置(例えば、ユーザ装置)に新しい一時的同一性情報を生成させるように命令することができる。新しい一時的同一性情報の生成が一致することは、拡張されたデジタル通信セッション中において、一時的同一性情報を頻繁に変化させることができる。
いくつかの実施形態では、計算装置は、静的な情報の小さな単位を記憶することができる一時的同一性モジュールのようなモジュールを含むことができる。その情報は、テキスト、画像、生体情報などを含むことができる。いくつかの実施形態では、計算装置は、静的情報と動的情報とを結合して、一時的同一性情報を生成することができる。静的情報に動的情報を追加することにより、小さな構成要素を変更することによって、ストリング情報全体を変更することができる。さらに、結合された動的情報及び静的情報のハッシュは、静的情報単独のハッシュとは異なり、データ集合全体の変更を必要とせずに済む可能性がある。
いくつかの実施形態では、通信システムに参加する各々の計算装置は、一時的同一性情報を生成することができる。参加する通信装置の各々は、生成された一時的同一性情報のリアルタイムの格納場所として機能する認証サーバに送信することができる。例えば、第1計算装置及び第2計算装置は、それぞれ、一時的同一性情報を生成し、生成された一時的同一性情報を相互に、及び認証サーバに送信することができる。いくつかの実施形態では、第1計算装置は、第1計算装置が第2計算装置から受信した一時的同一性情報であって、第2計算装置の一時的同一性情報を認証することを要求する認証サーバにクエリを送信する。第3計算装置は、第2計算装置及び第1計算装置の両方から受信した第2計算装置の一時的同一性情報を比較する。一時的同一性情報が一致するという判定に応じて、第3計算装置は、第2計算装置の認証成功を示す情報を第1計算装置に送信することができる。いくつかの実施形態では、認証成功を示す情報は、中間者攻撃を無効にするように構成された方法を用いた第3計算装置によって送信される。様々な実施形態では、第3計算装置は、これらに限定されないが、金融サービスシステム、セキュリティ仲介システム、ヘルスケア記録管理システム、ビジネス、政府、インテリジェンスコミュニティのための機密性通信システム、公共記録システム(例えば、火器登録、自動車の部門など)、投票システム、及びモノのインターネット装置を含む様々なアプリケーションにおける格納場所として機能することができる。
一時的同一性情報が一致しないという判定に応じて、第3計算装置は、第2計算装置の認証失敗を示す情報を第1計算装置に送信することができる。いくつかの実施形態では、認証失敗を示す情報は、中間者攻撃を無効にするように構成された方法を用いて、第3計算装置によって送信され得る。
いくつかの実施形態では、認証サーバは、一時的同一性情報を生成し、第3計算装置の一時的同一性情報を第1計算装置及び第2計算装置に送信することができる。第1計算装置及び第2計算装置は、第3計算装置の一時的同一性情報との比較によって、第1計算装置及び第2計算装置の各々と第3計算装置との同一性を認証することができる。
いくつかの実施形態では、第3計算装置は、その一時的同一性情報と共に又はその一時的同一性情報とは個別に、他の計算装置(例えば、第1計算装置及び第2計算装置)に新しい一時的同一性情報を生成する命令を送信することができる。様々な実施形態では、通信システムに参加する各計算装置は、新しい一時的同一性情報を周期的に又は非周期的に生成することができる。進行中の通信セッション中に、2つの計算装置及び3つの計算装置を、当該通信セッションが新しい同一性によって中断されずに確保され続けるように新しい一時的同一性情報の交換及び認証を完了させるための、当該通信セッションのセキュリティを確保する1つ以上の現在の一時的同一性情報の期限よりも前に、そのような新しい一時的同一性情報が十分に生成されてもよい。いくつかの実施形態では、各々の新しい一時的同一性情報は、一時的同一性情報を他の計算装置から受信した各々の計算装置が、受信した一時的同一性情報が使用できなくなった後に、一時的同一性情報を1回だけ使用(認証、プロセス、ハッシュなどとの相互作用)することができるように、単一の使用のために設定されてもよい。ライフタイムは、攻撃者が一時的同一性情報を取得し、使用する時間の周期よりも短い持続期間に対する新しい一時的同一性情報を設定することができる。
様々な実施形態は、有効な攻撃の後にセキュリティを迅速に再構成するように動作することができる。様々な実施形態では、任意の未処理の信用証明情報が、悪用される前にすべて期限終了するので、攻撃者に対して永続的な価値を有しないため、認証サーバ又はシステムに参加する他の装置に対する有効な攻撃は、任意の時間の間、システムのセキュリティが侵害されることはない。したがって、認証システムは、認証サーバへの攻撃によって危険にさらされない。様々な実施形態は、耐久性及び持続性があり、かつ、任意の又は全ての構成要素が有効な攻撃をし、不正アクセスをしようとする環境において有効に動作する。
いくつかの実施形態では、第1計算装置及び第2計算装置は、過去に共有されたデータハッシュ(例えば、MD5、SHA1、又はSHA2のようなハッシングアルゴリズムの使用)に基づく信頼された関係を確立することができる。過去に共有されたデータハッシュは、例えば、記憶され、共有された時間ベースのワンタイムパスワードアルゴリズム(例えば、インターネットエンジニアリングタスクフォースRFC6238)、一時的ワンタイムパスワード(TOTP)等から作成することができる。このような過去に共有されたデータハッシュは、第1計算装置及び/又は第2計算装置上のメモリに格納することができる。いくつかの実施形態では、第2計算装置は、アカウント又はセッションの識別子に関連するユーザ名及びパスワードのようなログインデータを、第2計算装置が第1計算装置から受信したときに、情報取引セッション又は通信セッションのようなセッションを開始することができる。このような実施形態では、ログインデータがアカウント又はセッションを特定するために用いられるが、当該ログインデータは、任意の計算装置又はユーザの通信セキュリティ又は認証の目的としては用いられない。
いくつかの実施形態では、第1計算装置は、一時的同一性情報を生成し、当該同一性情報をログインデータと共に、又はログインデータとは別に、第2装置に送信する。第1計算装置は、第1計算装置によって決定された動的及び/又は静的な態様に基づいて、一時的同一性情報を生成することができる。いくつかの実施形態では、第1計算装置の動的な態様は、クロック時間、チップ状態、レジスタ状態、計算装置のセンサ(例えば、加速度センサ、光学センサ、温度計、湿度計など)によって受信又は検出された情報、全地球測位システム(GPS)からの位置情報、Wi−Fi信号、又はその他の第1計算装置の動的な態様に基づくソースのように、相対的に迅速に変化する第1計算装置の態様を含むことができる。いくつかの実施形態では、第1計算装置によって決定された動的な態様は、カメラによって取り込まれた画像またはビデオクリップ、マイクロフォンによってキャプチャされた周囲音のサウンドクリップ、カメラ及びマイクロフォンによってキャプチャされたオーディオビデオクリップ、または、第1計算装置の周囲又は周囲条件に関する他の任意の情報を含むことができる。いくつかの実施形態では、動的な態様は、外部センサ及び外部ソースのようなランダム情報のように、ランダムに頻繁に変化する他のソースから取得することができる。
第2計算装置は、認証サーバ又は認証局として機能する第3計算装置に認証クエリを送信することができる。
いくつかの実施形態では、認証クエリは、第1計算装置によって生成された一時的同一性情報を含むことができる。いくつかの実施形態では、認証サーバは、第1計算装置の一時的同一性情報を格納することができる
第2計算装置からの認証クエリに基づいて、第3計算装置は、認証クエリを第1計算装置に送信することができる。前記第3計算装置からの前記認証クエリに応じて、第1計算装置は、第1計算装置の一時的同一性情報を第3計算装置に送信することができる。いくつかの実施形態では、第1計算装置は、第1計算装置の一時的同一性情報のハッシュを生成することができ、生成された第1計算装置の一時的同一性情報のハッシュを第3計算装置に送信することができる。
いくつかの実施形態では、第3計算装置は、第2計算装置から受信した第1計算装置の一時的同一性情報と、第1計算装置から受信した第1計算装置の一時的同一性情報とを比較する。受信した2つの一時的同一性情報が一致するという判定に応じて、第3計算装置は、第1計算装置の認証成功を示す情報を第2計算装置に送信する。受信した2つの一時的同一性情報が一致しないという判定に応じて、第3計算装置は、第1計算装置の認証失敗を示す情報を第2計算装置に送信する。
いくつかの実施形態では、第3計算装置は、成功したログイン試行及び失敗したログイン試行の監査証跡を維持することができる。いくつかの実施形態では、監査証跡は、例えば各々の試行時間、第1計算装置と第2計算装置(及び、その他の参加する計算装置)との同一性、使用の頻度、認証失敗の頻度、及びその他の詳細な事項を識別するメタデータを含むことができる。監査証跡は、リスク分析に用いられ、ダッシュボード又はその他の報告機構を介して表示及び/又はアクセスすることができる。様々な実施形態では、関与する計算装置のいずれも監査証跡を保持することができる。いくつかの実施形態では、一時的同一性情報のコピーは、監査証跡の一部として記憶され得る。このような保存された一時的同一性情報は、認証のために使用されなくてもよく、特定の計算装置による特定の情報取引への参加を確認することができるようにしてもよい。いくつかの実施形態では、監査証跡に格納された情報を使用して、例えば、何らかの方法で攻撃の対象となった計算装置を識別することができる。
様々な実施形態は、従来の共有秘密及び静的情報のパラダイムとは対照的に、各々の計算装置の一時的な及び/又は動的な情報に基づいて、通信システム内の計算装置のアイデンティティを認証することができるシステムを提供する。様々な実施形態では、参加する計算装置は、第2計算装置及び第3計算装置(例えば、認証サーバ)から受信した、一時的な一時的同一性情報を用いて、第2計算装置の同一性を認証することができる。様々な実施形態は、静的な証明書のように、情報の静的なユニットを秘密に保つことに基づく従来のセキュリティパラダイムとは対照的である。各々の計算装置の一時的同一性情報は頻繁に変化し、各々の計算装置は、他の計算装置との周期的(又は非周期的)な通信において新しい一時的同一性情報を送信及び/又は受信し、様々な実施形態は通信セキュリティを改善することで通信ネットワーク又は電子通信システムの機能を改善する。攻撃者は、例えば第1計算装置と第2計算装置との間、第1計算装置と第3計算装置との間、及び第2計算装置と第3計算装置との間で、2つの通信装置の間の通信に不正アクセスために同時にかつ同期して、(最小で)3つの通信経路に侵入することが要求される。
様々な実施形態は、任意の既存のインフラストラクチャの実質的な変更または変更を必要とすることなく、様々なコンピューティングデバイス及び/又は通信ネットワーク又はシステムを使用して実施することができる。様々な実施形態は、アクセス及び/又はコピーによる攻撃に対して脆弱である共有秘密のような、静的な同一性情報に依存することなく、参加する計算装置の同一性を確実に認証することによって、任意の通信ネットワークの機能を改善する。
様々な実施形態では、様々な方法を実行するように構成された計算装置は、計算装置の盗難又はクローニングの際にシステムにアクセスすることを認証しない又は阻止するように構成されている。
様々な実施形態は、様々な通信システム150内で実施することができ、その一例が図1Aに示されている。通信システム150は、IoTネットワーク154、法律事務所156、軍事産業158、下請事業体160、銀行162、ヘルスケア事業体164、オンライン商取引事業体166、及び電話事業体168のような、通信ネットワークを用いて通信をすることができる様々な事業体を含む。事業体154〜168の各々は、認証局152と通信を行うことができる。認証局152は、以下に示すような計算装置の同一性の認証を実行するように構成された1つ以上の計算装置を含む。事業体154〜168は単に例示的なものであり、通信ネットワーク150は、ヘルスケア記録を取り扱う事業体、(ビジネス又は政府機関のための)機密性通信、公共記録、投票システム、金融サービス、セキュリティ仲介システム、IoT通信、商取引、及び他の広範囲の他のコンテキストのような多種多様な事業体を含むことができる。
様々な実施形態は、様々な通信システム100内で実施することができ、その一例が図1Bに示されている。図1A及び図1Bを参照して、通信システム100の構成要素は、事業体154〜168のいずれかにおいて用いられる。通信システム100は、計算装置102、104、106、108を含むことができる。いくつかの実施形態では、計算装置102、104は、スマートフォン、ラップトップコンピュータ、デスクトップコンピュータなどのように、ユーザによって直接使用される計算装置を含むことができる。いくつかの実施形態では、ユーザは、計算装置102、104のように2つ以上のそのような計算装置を動作させることができると理解される。計算装置102、104は、1つ以上のIoTデバイスを含む。IoTデバイスの非限定的な例には、パーソナル又はモバイルのマルチメディアプレーヤ、ゲームシステム及びコントローラ、スマートテレビ、セットトップボックス、スマート厨房機器、スマートライト及び照明システム、スマート電気メータ、スマート暖房、換気及び空調(HVAC)システム、スマートサーモスタット、ドア及びウィンドウのロックを含むビルディングセキュリティシステム、車両用娯楽システム、車両用診断及び監視システム、機械間装置、無線通信経路を確立し、無線通信経路を介してデータを送受信するためのプログラム可能なプロセッサおよびメモリおよび回路を含む同様の装置が挙げられる。計算装置102、104は、無人に、自律的な、半自律的な、又はロボット式の、陸海空の空間上での移動が可能な車両を含んでもよい。計算装置102、104は、スマート火器若しくは別のプロセッサ装備兵器又は兵器システムをさらに含むことができる。
いくつかの実施形態では、計算装置106、108は、サーバのようなバックエンド計算装置を含むことができる。いくつかの実施形態では、計算装置108は、通信リンク130を介して電子セキュリティシステム114と通信することができる。計算装置106、108(及び、場合によっては計算装置114)は、1つの事業体によって操作されてもよい。例えば、ヘルスケア事業体164又は電話事業体168は、1つ以上の計算装置106、108、及び/又は114を動作させることができる。いくつかの実施形態では、計算装置106、108、及び114は、複数の事業体によって操作されてもよい。
計算装置102、104、106、及び108の各々、並びに電子セキュリティシステム114は、それぞれの通信リンク120、122、124、126、128、及び130を介して通信ネットワーク112と通信することができる。通信リンク120、122、124、126、128、及び130は、有線または無線通信リンクを含み、計算装置102、104、106、及び108と、電子セキュリティシステム114と、通信ネットワーク112との間の通信を容易にする追加のデバイスをさらに含むことができる。このような追加の装置の例として、光ファイババックホールリンク、マイクロ波バックホールリンク、及び他の適切な通信リンクを含むバックホール通信リンクと同様に、アクセスポイント、基地局、ルータ、ゲートウェイ、有線及び/又は無線通信装置を含むことができる。
いくつかの実施形態では、計算装置106は、様々なコンテキストにおける情報取引に関連する動作を実行するように構成することができ、限定するものではないが、ヘルスケア記録管理、機密性通信、公共記録管理システム、投票システム、金融サービスシステム、セキュリティ仲介システム、IoTデバイスコントローラとして、商取引を実行するために、並びに他のコンテキストを実行するように構成されている。いくつかの実施形態では、計算装置108は、一時的同一性情報の生成及び/又は取得に関連する動作を実行するように構成することができ、以下にさらに説明するように、1つ以上の計算装置102、104、及び106のような計算装置の同一性の認証を含む。
いくつかの実施形態では、電子セキュリティシステム114は、ネットワーク監視システム、キーロギングシステム、又はその他の同様のシステムのような、ネットワーク監視又はネットワークセキュリティ機能を実行するように構成することができる。いくつかの実施形態では、電子セキュリティシステム114は、通信ネットワーク112を使用する又は通信ネットワーク112にアクセスする不正ユーザ又は電子侵入者を検出することができ、不正ユーザ又は電子侵入者を検出したことを示す情報を計算装置108に送信することができる。いくつかの実施形態では、電子セキュリティシステム114は、システム、メモリ、ネットワーク要素、又は他の認証されたユーザ(例えば、「内部」脅威)からのネットワーク構成要素の認証されていないアクセスを監視及び/又は検出するように構成することができる。いくつかの実施形態では、電子セキュリティシステム114は、計算装置が通信システムへのアクセスから許可されるべきであることを示すコマンド又は指示を受信するように構成することができる。例えば、電子セキュリティシステム114は、ネットワーク認証システム、ヒューマンリソースシステム、通信システムの認可されたユーザのリストを提供するシステム、又は他の類似したシステムであってもよい。そのような実施形態では、電子セキュリティシステムは、計算装置の認証が除去されるか又はブロックされるべきであることを示すコマンド又は別のメッセージを受信する。いくつかの実施形態では、認証されていないユーザ又は電子侵入者が検出されたことを示す情報、計算装置の認可が除去されるか又はブロックされるべきであることを示す情報、若しくは別の類似の情報に応じて、計算装置108は、以下に示すような新しい一時的同一性情報を取得するために、1つ以上の計算装置102、104、及び106に指示を送信することができる。
通信ネットワークは、事業体又は企業内の通信ネットワーク、外部通信ネットワーク、公に利用可能な通信ネットワーク、及びインターネットを含むネットワーク間の相互接続と同等のネットワークの組み合わせなどの、様々な通信ネットワークを含むことができる。通信ネットワーク112は、1つ以上の有線及び無線通信プロトコルを使用して通信をサポートすることができる。通信リンク120、122、124、及び126の各々は、双方向の有線又は無線の通信リンクであってもよい。無線通信プロトコルは、1つ以上の無線アクセス技術(RATs)を含むことができる。無線RATsの例は、3GPPロングタームエボリューション(LTE)、WiMAX(Worldwide Interoperability for Microwave Access)、符号分割多重接続(CDMA)、時分割多元接続(TDMA)である)、広帯域CDMA(WCDMA(登録商標))、Global System for Mobility(GSM(登録商標))、及び他のRATsを含む。RATsの例は、Wi−Fi、ブルートゥース、ジグビー、LTE in Unlicensed spectrum(LTE−U)、License Assisted Access(LAA)、及びMuLTEfire(免許不要のキャリア帯のLTEを用いたシステム)を含む。有線通信プロトコルは、イーサネット(登録商標)、Point To Pointプロトコル、ハイレベルデータリンク制御(HDLC)、アドバンスドデータ通信制御(ADCCP)、トランスミッションコントロールプロトコル/インターネットプロトコル(TCP/IP)のような1つ以上の有線通信プロトコルを用いた様々な有線ネットワーク(例えば、イーサネット(登録商標)、TVケーブル、電話、光ファイバ、及び物理ネットワーク接続の他の形態)を用いることができる。
通信リンク120、122、124は単一のリンクとして示されている。各通信リンクは、複数の理論チャネルを含む複数の周波数又は周波数帯域のような、複数の有線又は無線リンクを含むことができる。さらに、様々な通信リンク120、122、124の各々は、複数の通信プロトコルを利用することができる。
計算装置108は、メモリデバイス、データベース、サーバ装置、又はデータを記憶することができる他の装置のようなデータストア110と通信することができる。いくつかの実装形態では、データストア110は、監査証跡及び関連するメタデータを格納することができる。
様々な実施形態は、例えば図1Cに示すように、様々な通信システム180内で実施することができる。図1A〜図1Cを参照すると、通信システム150の構成要素は、事業体154〜168のいずれかにおいて用いられてもよい。通信システム180は、計算装置184、186、188、190、192、194、及び196を含むことができる。計算装置190〜196は、ファイルサーバ、データベース、又は他の同様なネットワークアクセス可能なデータソースのようなネットワーク構成要素を含むことができる。計算装置184及び186は、任意の形態のユーザが操作可能なネットワーク端末を含むことができ、計算装置102及び104と同様であってもよい。計算装置186〜196は、通信ネットワーク182内の構成要素であってもよく、それらへのアクセスは、ファイアウォール198のように通信ネットワーク182への電子アクセスを保護するように構成された装置によって保護することができる。
ファイアウォール198のような従来の通信セキュリティ実装は、計算装置184のような外部装置による攻撃又は侵略に対してネットワーク182を保護することができる。しかし、ファイアウォール198は、計算装置186のようなファイアウォール198内のデバイスからの攻撃又は探索に対して、ネットワーク182を保護することができない。
様々な実施形態は、一時的同一性情報及び1つ以上の計算装置184、186、190、192、194、及び196のような計算装置の同一性の認証を、生成及び/又は取得することに関連した動作を実行するように構成された計算装置188(第3計算装置108に類似してもよい)を含むことができる。
様々な実施形態では、ファイアウォール198は、トラフィック監視、ゲートウェイ機能、ルーティング、及び他の同様の機能のようなネットワーク動作を実行するために用いられる。ファイアウォール198は、セキュリティ機能又は計算装置184及び186のような装置の認証を実行しなくてもよい。むしろ、通信システム180において、計算装置184及び186は、計算装置188と、及び/又は互いに通信し、いくつかの実施形態において計算装置188の同一性と同様に、計算装置184及び186の各々の同一性の認証を可能にしてもよい。同様に、通信システム180は、ユーザと称されるもの又はユーザアカウントへのポインタとして識別するために、ユーザ名及びパスワードのような、計算装置184又は186において受信された入力を使用することができる。通信システム180は、セキュリティの目的又は認証の目的のために、ユーザ名及びパスワードのような証明書を使用しないことがある。むしろ、通信システム180は、以下に示すように、各々の計算装置の一時的な及び/又は動的な情報に基づいて、計算装置184及び186の同一性を認証することができる。
図2は、様々な実施形態を実装するのに適した計算装置の構成ブロック図である。図1及び図2の様々な実施形態を参照すると、計算装置200は、計算装置102、104、106、及び108と同様であってもよい。
計算装置200は、プロセッサを含むことができる。プロセッサ202は、様々な実施形態の動作を実行するためのプロセッサ実行可能命令、モデムプロセッサのような専用プロセッサと共に構成可能であり、主機能に加えて様々な実施形態の動作を実行するためのプロセッサ可能命令、専用ハードウェア(すなわち「ファームウェア」)回路、又は専用ハードウェア/ファームウェアとプログラム可能なプロセッサとの組み合わせと共に構成可能であってもよい。
プロセッサ202は、プロセッサ実行可能命令を記憶する非一時的なコンピュータ読み取り可能な記録媒体であるメモリ204に接続することができる。メモリ204は、ユーザアプリケーションソフトウェア及び実行可能命令と同様にオペレーティングシステムを格納することができる。メモリ204はまた、アレイデータ構造などのアプリケーションデータを記憶することができる。メモリ204は、1つ以上のキャッシュ、読み取り専用メモリ(ROM)、ランダムアクセスメモリ(RAM)、電気的消去可能プログラム可能なROM(EEPROM)、スタティックRAM(SRAM)、ダイナミックRAM(DRAM)、または他の種類のメモリを含んでもよい。プロセッサ202は、メモリ204との間で情報を読み書きすることができる。メモリ204は、1つ以上のプロトコルスタックに関連する命令を記憶することもできる。一般的にプロトコルスタックは、無線アクセスプロトコルまたは通信プロトコルを使用した通信を可能にするためのコンピュータ実行可能命令を含む。
プロセッサ202は、以下に説明するように、さまざまな操作を実行するように構成されたユニットに対する様々なモジュールを通信する。例えば、プロセッサ202は、通信インターフェース206、認証モジュール208、ハッシュモジュール210、一時的同一性情報モジュール212、ハッシュ記憶モジュール214、および取引モジュール216と通信することができる。モジュール/ユニット206〜216は、ソフトウェア、ハードウェア、またはハードウェアとソフトウェアとの組み合わせで、計算装置200上に実装することができる。様々な実施形態の動作を実行するように構成された、ファームウェア、チップ、システムオンチップ(SOC)、専用ハードウェア(すなわち「ファームウェア」)回路、または専用ハードウェア/ファームウェアとプログラム可能なプロセッサとの組み合わせでもよい。プロセッサ202、メモリ204、及び様々なモジュール/ユニット206〜216は、通信バス若しくはその他の通信回路又はインターフェースを介して通信することができる。
通信インターフェース206は、通信ネットワーク(例えば、通信ネットワーク112)への通信を可能にするネットワークインターフェースを含むことができる。通信インターフェース206は、イーサネット接続、光ファイバ接続、ブロードバンドケーブル接続、電話回線接続、または他の種類の有線通信接続などの接続を介する1つ以上の入出力(I/O)ポートを含んでもよい。通信インターフェース206はまた、無線周波数通信を可能にし得る無線ユニットを含むことができる。
認証モジュール208は、1つ以上の入力装置と通信して、計算装置200へログインするユーザからの入力を受け取ることができる。入力装置は、1つ以上のボタン、スライダ、タッチパッド、キーボード、生体情報入力装置、カメラ、指紋読取装置、および他の同様の入力装置を含む。
一時的同一性情報モジュール212は、計算装置200の一時的同一性情報を生成することができる。当該一時的同一性情報は、計算装置200の1つ以上の動的な態様を単独に、又は他の動的な又は静的な情報との組み合わせに基づいてもよい。計算装置200の動的な態様は、第1計算装置の動的態様に基づいて、クロック時間、チップ状態、レジスタ状態、または任意の他のデータソースなど、比較的急速に変化する第1計算装置の態様を含んでもよい。
ハッシュモジュール210は、ハッシュモジュール210によって生成された一時的同一性情報のハッシュを生成する。ハッシュ記憶モジュール214は、又は一時的同一性情報モジュール212によって生成された一時的同一性情報を格納するためにメモリ204と通信を行うメモリデバイスを含み、及び/又はハッシュモジュール210によって生成された一時的同一性情報のハッシュを含むことができる。
取引モジュール216は、取引(又は他の通信)に関連する、別の計算装置との(例えば、計算装置102と106との間の)通信可能にすることができる。いくつかの実装形態では、取引モジュール216は、合理化された通信及び/又は取引プロセスを取引サーバに提供するように構成されたハードウェア及び/又はソフトウェア含むことができる。いくつかの実装形態では、取引モジュールは、いわゆる「1クリック」サービスまたは別の合理化された通信/取引プロセスのように、特定のサービスプロバイダに関連する合理化された通信を提供するように構成されるハードウェア及び/又はソフトウェアを含んでもよい。
図3A及び図3Bは、第1計算装置(例えば、図1B〜図2の計算装置102、104、184、186、及び200)の第2計算装置(例えば、図1B〜図2の計算装置106、190〜196、及び200)への認証、及びその逆の認証を、いくつかの実施形態における第3計算装置(例えば、図1B〜図2の108、188、及び200)との相互作用を介して行うシステムの方法300を示す。図3Cは、方法300の一部として第1計算装置によって実行される動作の方法300aを示す。図3Dは、方法300の一部として第2計算装置によって実行される動作の方法300bを示す。図3Eは、方法300の一部として第3計算装置によって実行される動作の方法300cを示す。図1A〜図3Eを参照すると、方法300は、(例えばデバイスプロセッサなどの)第1計算装置のプロセッサ(例えばプロセッサ202等)、第2計算装置のプロセッサ、及び第3計算装置のプロセッサによって実行することができる。
様々な実施形態では、従来の方法300の一部として、第1計算装置(例えば、計算装置102又は104)及び第2計算装置(例えば、計算装置106)は、認証サーバとして機能することができる第3計算装置とのアカウントを確立することができる。様々な実施形態において、第1計算装置および第2計算装置は、各計算装置が方法300(例えばモジュール206〜216)の動作を実行することを可能にする1つまたは複数のモジュールで構成(例えば、初期化、設定、インストールなど)されてもよい。
いくつかの実施形態において、第3計算装置とのアカウントの確立は、第3計算装置と第2計算装置/第1の計算装置との間の通信経路の決定及び/又は交渉含むことができる。いくつかの実施形態では、第1計算装置および第2計算装置のそれぞれは、1つ以上の態様において異なる第3計算装置との通信経路を交渉または決定することができる。例えば、各計算装置ペアは、異なる暗号化方法またはプロトコル、通信プロトコルまたはアプリケーション(例えば、ハイパーテキストマークアップ言語(HTML)、ショートメッセージサービス(SMS)テキストメッセージ)などを使用することができる。様々な実施形態において、ユーザは、制限なしに複数の認証サーバを用いて複数のアカウントを確立することができる。
様々な実施形態は、第1計算装置、第2計算装置、および第3計算装置のうちのいずれか2つの間の通信の浸入および不正アクセスに対する防御を提供することができる。例えば、中間者(MITM)攻撃を行う攻撃者は、2つのネットワーク装置間の通信をひそかに中継することができ、それらの通信を監視および/または変更することができる。様々な実施形態は、攻撃者が次の3つの通信経路をほぼ同時に同時に不正アクセスすることを必要とする。
・第1計算装置と第2計算装置との間の第1通信経路
・第2計算装置と第3計算装置との間の第2通信経路
・第3計算装置と第1計算装置との間の第3通信経路
一時的同一性情報は動的に頻繁に変化するため、攻撃者は、3つの通信経路を用いて送信された一時的同一性情報を極めて急速に解読して盗む又は妨害する必要がある。この潜在的な脆弱性は、3つの別々の通信経路を介して3つの計算装置間で交換されるさまざまな認証情報の有効期間が短いために無効化される。
方法300および方法300aのブロック302において、第1計算装置(例えば、計算装置102または104)のプロセッサは、第1の一時的同一性情報を取得することができる。いくつかの実施形態では、第1計算装置のプロセッサが、第1の一時的同一性情報を生成することによって(例えば、動作302a)、当該第1の一時的同一性情報を取得することができる。いくつかの実施形態では、第1計算装置のプロセッサは、第3計算装置(例えば、計算装置108)から、生成された第1の一時的同一性情報を取得することができる(例えば、動作302b)。いくつかの実施形態では、第3計算装置のプロセッサは、生成された第1の一時的同一性情報を第1計算装置にプッシュしてもよい(例えば、第3計算装置は、第1計算装置からの要求なしに、生成された一時的同一性情報を第1計算装置に送ってもよい)。いくつかの実施形態では、第1計算装置のプロセッサは、第3計算装置から第1の一時的同一性情報を引き出すことができる。例えば、第1計算装置は一時的同一性情報の要求(リクエスト)を第3計算装置に送信することができ、第3計算装置は、リクエストに応じて一時的同一性情報を第1計算装置に送信することができる。
方法300および方法300bのブロック304において、第2計算装置(例えば、計算装置106)のプロセッサは、第2の一時的同一性情報を生成してもよい(例えば、動作304a)。いくつかの実施形態では、第2計算装置のプロセッサが、第2の一時的同一性情報を生成することによって、第1の一時的同一性情報を取得することができる。いくつかの実施形態では、第2計算装置のプロセッサは、第3計算装置から第2の一時的同一性情報を取得することができる(例えば、動作304b)。いくつかの実施形態では、第3計算装置のプロセッサは、第2の一時的同一性情報を第2計算装置にプッシュすることができる。いくつかの実施形態では、第2計算装置のプロセッサは、第3計算装置から、生成された第2の一時的同一性情報を引き出すことができる。
方法300および300cのブロック306において、第3計算装置のプロセッサ(例えば、計算装置108)は、第3の一時的同一性情報を生成することができる。
方法300及び方法300aのブロック308において、第1計算装置のプロセッサは、第2計算装置及び第3計算装置に第1の一時的同一性情報を送信することができる。第2計算装置への第1の一時的同一性情報の送信は、第1計算装置と第2計算装置との間で確立されたプロセスにおける通信リンクのような、任意のオープン通信リンクを介して行われてもよい。いくつかの実施形態では、通信は暗号化されてもよく、したがって送信は初期暗号化のキーが交換された後に行われてもよい。いくつかの実施形態では、通信リンクは開いている(すなわち、暗号化されていない)ので、計算装置は、暗号化のキーを交換する前に様々な実施形態を介して互いに認証することができる。第3計算装置への第1の一時的同一性情報の送信は、暗号化された又は暗号化されていない別の通信リンクを介して行われてもよい。いくつかの実施形態では、この送信はインターネットなどの公衆ネットワークを介して行われてもよい。いくつかの実施形態では、この送信はプライベートまたは専用の通信リンクを介して行われてもよい。
方法300および方法300bのブロック310において、第2計算装置のプロセッサは、第1計算装置及び第3計算装置に第2の一時的同一性情報を送信することができる。第1計算装置への第2の一時的同一性情報の送信は、第2計算装置が第1の一時的同一性情報を受信することによって、第1計算装置と第2計算装置との間で確立されたプロセスにおける通信リンクのような、任意のオープン通信リンクを介して行われてもよい。いくつかの実施形態では、通信は暗号化されてもよく、したがって送信は初期暗号化のキーが交換された後に行われてもよい。いくつかの実施形態では、通信リンクは開いている(すなわち、暗号化されていない)ので、計算装置は、暗号化のキーを交換する前に様々な実施形態を介して互いに認証することができる。第3計算装置への第2の一時的同一性情報の送信は、暗号化された又は暗号化されていない別の通信リンクを介して行われてもよい。いくつかの実施形態では、この送信はインターネットなどの公衆ネットワークを介して行われてもよい。いくつかの実施形態では、この送信はプライベートまたは専用の通信リンクを介して行われてもよい。
方法300及び方法300cの任意ブロック312において、第3計算装置のプロセッサは、第1計算装置及び第2計算装置に第3の一時的同一性情報を送信することができる。第1計算装置及び第2計算装置への第3の一時的同一性情報の送信は、第3計算装置が第1の一時的同一性情報及び第2の一時的同一性情報を受信したのと同じ通信リンクを介して行われてもよい。そのような通信リンクは暗号化されていてもよく、暗号化されていなくてもよい。いくつかの実施形態では、この送信はインターネットなどの公衆ネットワークを介して行われてもよい。いくつかの実施形態では、この送信はプライベートまたは専用の通信リンクを介して行われてもよい。
方法300及び方法300aのブロック314において、第1計算装置のプロセッサは、第2の一時的同一性情報を含む認証クエリを第3計算装置に送信してもよい。いくつかの実施形態では、第1計算装置は、バックグラウンドなどで認証クエリを自動的に送信することができる。いくつかの実施形態では、第1計算装置は、コマンドに応じて認証クエリを送信することができる。いくつかの実施形態では、認証要求は、テキスト、画像、生体情報、または他の容易に個人化することができる情報などを、第1計算装置に格納され得る小さな単位の情報を含むことができる。いくつかの実施形態では、第1計算装置は、認証要求内または認証要求とともに、小さい単位の情報を含むことができる。
方法300および方法300bのブロック316において、第2計算装置のプロセッサは、第1の一時的同一性情報を含む認証クエリを第3計算装置に送信してもよい。
方法300及び方法300cの判定ブロック318において、第3計算装置のプロセッサは、第1計算装置からの第2の一時的同一性情報が第2計算装置からの第2の一時的同一性情報と一致するか否かを判定することができる。いくつかの実施形態では、第3計算装置は、受信された2つの一時的同一性情報(例えば、減算および剰余の確認)を直接比較することによってこの演算を実行することができる。いくつかの実施形態では、第3計算装置は、受信した一時的同一性情報の一方または両方に対してハッシュ関数を実行し、その2つがハッシュ関数の結果を比較することによって一致するかどうかを判定してもよい。
第1計算装置からの第2の一時的同一性情報が第2計算装置からの第2の一時的同一性情報と一致しないという判定に応じて(すなわち、判定ブロック318=「No」)、第3計算装置のプロセッサは、ブロック322において、第2計算装置の認証失敗を示す情報を、第1計算装置及び/又は第2計算装置に送信してもよい。
第1計算装置からの第2の一時的同一性情報が第2計算装置からの第2の一時的同一性情報と一致するという判定に応じて(すなわち、判定ブロック318=「Yes」)、第3計算装置のプロセッサは、ブロック326において、第2計算装置の認証成功を示す情報を、第1計算装置及び/又は第2計算装置に送信してもよい。
方法300及び方法300cの判定ブロック320において、第3計算装置のプロセッサは、第2計算装置からの第1の一時的同一性情報が第1計算装置からの第1の一時的同一性情報と一致するか否かを判定してもよい。
第2計算装置からの第1の一時的同一性情報が第1計算装置からの第1の一時的同一性情報と一致しないという判定に応じて(すなわち、判定ブロック320=「No」)、第3計算装置のプロセッサは、ブロック324において、第1計算装置の認証失敗を示す情報を、第1計算装置及び/又は第2計算装置に送信してもよい。
第2計算装置からの第1の一時的同一性情報が第1計算装置からの第1の一時的同一性情報と一致するという判定に応じて(すなわち、判定ブロック320=「Yes」)、第3計算装置のプロセッサは、ブロック328において、第2計算装置の認証成功を示す情報を、第1計算装置及び/又は第2計算装置に送信してもよい。
いくつかの実装形態では、認証失敗または認証成功を示す情報は、非常に短いメッセージまたはデータ構造を含み、いくつかの実装では、この情報は、認証失敗または認証成功を示す「0」又は「1」のようなシングルビットを含むことができる。
方法300及び方法300cのブロック326及び/又はブロック328の動作に続いて、第3計算装置のプロセッサは、ブロック330において、新しい一時的同一性情報を取得するために第1計算装置及び第2計算装置に指示を送信してもよい。いくつかの実施形態では、当該指示は、それぞれ第1計算装置および第2計算装置において新しい一時的同一性情報を生成するための指示を含むことができる。いくつかの実施形態では、当該指示は、第3計算装置から新しい一時的同一性情報を取得するための、第1計算装置および第2計算装置のそれぞれへの指示を含むことができる。いくつかの実施形態では、第3計算装置は、第1計算装置および第2計算装置からの要求がなくても、第1計算装置および第2計算装置の各々に対する新しい一時的同一性情報を生成してもよい。
第1計算装置、第2計算装置、及び第3計算装置のプロセッサは、それぞれ方法300、300a、300b、及び300cのブロック302、304、及び306の動作を実行することができる。第1計算装置、第2計算装置、及び第3計算装置は、連続的で周期的な他の計算装置のバックグラウンド認証を実行するために方法300、300a、300b、および300cの動作を周期的に繰り返すことができる。いくつかの実施形態では、第1計算装置、第2計算装置、及び第3計算装置のプロセッサは、別の第1計算装置、第2計算装置、及び第3計算装置からの指示又は他のメッセージの有無にかかわらず、方法300、300a、300b、および300cを周期的に繰り返すことができる。デバイス認証の動的システムを用いることにより、方法300、300a、300b、および300cは、一時的同一性情報が妨害される又は計算装置の1つに不正アクセスするために使用される可能性を実質的に低減することができる。
いくつかの実施形態では、第3計算装置は、第1計算装置及び/又は第2計算装置332の認証失敗のイベントにおけるブロック330及び300cの動作を実行することができる。例えば、第3計算装置は、参加する計算装置又はシステムの不正アクセス又は未遂の不正アクセスを示す情報として、計算装置の認証失敗に応答することができる。いくつかの実施形態では、起こり得る違反またはシステムの通信の実際の違反に対する応答として、第3の計算装置は、参加するすべての計算装置に新しい一時的同一性情報を取得するように指示することができる。システムに参加するように構成されている計算装置だけが新しい一時的同一性情報を取得できるので、サイバー侵入者や他の敵対者など、そのように構成されていない計算装置は新しい一時的同一性情報を取得できないため、当該システムを使用したさらなる通信から効果的にブロックすることができる。
いくつかの実施形態では、第1計算装置、第2計算装置、及び第3計算装置のプロセッサは、攻撃者が第1の一時的同一性情報及び/又は第2の一時的同一性情報を取得し、使用するために必要な決められた時間より短い周波数で各々の動作を繰り返す。例えば、いくつかの実施形態では、第1の一時的同一性情報、第2の一時的同一性情報、及び/又は第3の一時的同一性情報の持続期間(「有効期間」)は、攻撃者が1つ以上の一時的同一性情報を取得し、利用するのに必要な時間よりも短くなるように設定することができる。いくつかの実施形態では、第1計算装置、第2計算装置、及び第3計算装置のプロセッサは、第1の一時的同一性情報及び/又は第2の一時的同一性情報の有効期間が終了したという判定に応じて、新しい一時的同一性情報を取得することができる。いくつかの実施形態では、第3計算装置のプロセッサは、第1の一時的同一性情報及び/又は第2の一時的同一性情報の有効期間が終了したという判定に応じて、第1計算装置、第2計算装置、及び第3計算装置のための新しい一時的同一性情報を生成することができる。
図3Cは、方法300の一部として第1計算装置によって実行される動作の方法300aを示す。図1A〜図3Eを参照すると、方法300aは、プロセッサ(例えば、プロセッサ202等)によって実現されてもよい。ブロック302、308、および314において、第1計算装置のプロセッサは、方法300の同じ番号のブロックの動作を実行することができる。
判定ブロック333において、第1計算装置のプロセッサは、第3計算装置から受信する又は受信した情報が、認証成功を示す情報か認証失敗を示す情報かを判定することができる。いくつかの任意選択の実施形態では、プロセッサは、指示が第3の計算装置から受信されていないかどうかを判定することもできる。
認証失敗を示す情報が受信される又は既に受信済みであることの判定(すなわち、判定ブロック333=「Failure(失敗)」)に応じて、また付加的に上記の情報が受信されない場合(すなわち、判定ブロック333=「No indication(指示無し)」)に、ブロック334において、第1計算装置のプロセッサは、認証失敗を示す情報を記憶することができる。
ブロック336において、第1計算装置のプロセッサは、セキュリティアクションを実行することができる。例えば、第1計算装置のプロセッサは、第2計算装置との情報取引の実行を停止してもよい。第1計算装置のプロセッサはまた、第2計算装置とのさらなる通信をブロックしてもよい。
認証成功を示す情報が受信される又は既に受信済みであることの判定(すなわち、判定ブロック333=「Success(成功)」)に応じて、ブロック338において、第1計算装置のプロセッサは、認証成功を示す情報を記憶することができる。
ブロック340において、第1計算装置のプロセッサは、第2計算装置と情報取引を行うことができる。第1計算装置のプロセッサは、ブロック302において新しい一時的同一性情報を取得することができる。例えば、第1計算装置のプロセッサは、一時的同一性情報の有効期間が終了したことを判定することができ、一時的同一性情報の有効期間が終了したという判定に応じて、ブロック302において第1計算装置のプロセッサは新しい一時的同一性情報を取得することができる。
任意ブロック342において、第1計算装置のプロセッサは、新しい一時的同一性情報を取得するために、第3計算装置から指示を受信することができる。第1計算装置のプロセッサは、ブロック302の動作を実行することができる。
図3Dは、方法300の一部として第2計算装置によって実行される動作の方法300bを示す。図1A〜図3Eを参照すると、方法300bは、プロセッサ(例えば、プロセッサ202等)によって実現されてもよい。ブロック304、310、および316において、第2計算装置のプロセッサは、方法300の同じ番号のブロックの動作を実行することができる。
判定ブロック344において、第2計算装置のプロセッサは、第3計算装置から受信する又は受信した情報が、認証成功を示す情報か認証失敗を示す情報かを判定することができる。いくつかの任意選択の実施形態では、プロセッサは、指示が第3の計算装置から受信されていないかどうかを判定することもできる。
認証失敗を示す情報が受信される又は既に受信済みであることの判定(すなわち、判定ブロック344=「Failure(失敗)」)に応じて、また付加的に上記の情報が受信されない場合(すなわち、判定ブロック344=「No indication(指示無し)」)に、ブロック346において、第2計算装置のプロセッサは、認証失敗を示す情報を記憶することができる。
ブロック348において、第2計算装置のプロセッサは、セキュリティアクションを実行することができる。例えば、第2計算装置のプロセッサは、第1計算装置との情報取引の実行を停止してもよい。第2計算装置のプロセッサはまた、第1計算装置とのさらなる通信をブロックしてもよい。
プロセッサが認証成功を示す情報を受信したという判定(すなわち、判定ブロック344=「Success(成功)」)に応じて、ブロック350において、第2計算装置のプロセッサは、認証成功を示す情報を記憶することができる。
ブロック352において、第2計算装置のプロセッサは第1計算装置と情報取引を行うことができる。
第2計算装置のプロセッサは、ブロック304において、新しい一時的同一性情報を取得することができる。例えば、第2計算装置のプロセッサは、第2の一時的同一性情報の有効期間が終了したことを判定することができ、第2の一時的同一性情報の有効期間が終了したという判定に応じて、ブロック304において第2計算装置のプロセッサは新しい一時的同一性情報を取得することができる。
任意ブロック354において、第2計算装置のプロセッサは、新しい一時的同一性情報を取得するために、第3計算装置から指示を受信することができる。第2計算装置のプロセッサは、ブロック304の動作を実行することができる。
図3Eは、方法300の一部として第3計算装置によって実行される動作の方法300cを示す。図1A〜図3Eを参照すると、方法300cは、プロセッサ(例えば、プロセッサ202等)によって実現されてもよい。ブロック306〜330において、第3計算装置のデバイスプロセッサは、方法300の同じ番号のブロックの動作を実行することができる。
ブロック360において、第3計算装置のプロセッサは、第1計算装置から認証クエリを受信することができる。判定ブロック318において、第3計算装置のプロセッサは、上述のように、第1計算装置からの第2の一時的同一性情報が第2計算装置からの第2の一時的同一性情報と一致するかどうかを判定することができる。
ブロック362において、第3計算装置のプロセッサは、第2計算装置から認証クエリを受信することができる。判定ブロック320において、第3計算装置のプロセッサは、上述のように、第2計算装置からの第1の一時的同一性情報が第1計算装置からの第1の一時的同一性情報と一致するかどうかを判定することができる。
図4Aは、計算装置の認証、第1計算装置(例えば、図1B〜図2の計算装置102、104、184、186、及び200)の第2計算装置(例えば、図1B〜図2の計算装置106、190〜196、及び200)への情報取引の認証、及びその逆の認証を、いくつかの実施形態における第3計算装置(例えば、図1B〜図2の108、188、及び200)との相互作用を介して行うシステムの方法400を示す。図4Bは、方法400の一部として第1計算装置によって実行される動作の方法300aを示す。図4Cは、方法400の一部として第2計算装置によって実行される動作の方法400bを示す。図4Dは、方法400の一部として第3計算装置によって実行される動作の方法400cを示す。図1A〜図4Dを参照すると、方法400は、(例えばデバイスプロセッサなどの)計算装置のプロセッサ(例えばプロセッサ202等)によって実行することができる。
任意ブロック402では、第1計算装置(例えば、計算装置102および104)のプロセッサは、第2計算装置(例えば、計算装置106)に対するユーザアカウントの識別をする情報を送信することができる。
任意ブロック404では、第2計算装置のプロセッサは、第1計算装置のアカウントを特定する情報の相関を確認することができる。いくつかの実施形態において、第2計算装置は第1計算装置を確認することを示すメッセージを送信する。
いくつかの実施形態において、ブロック402で用いられた同一性情報は、ごく最近使用された又は最後に使用された一時的同一性情報のように、第2計算装置との通信に以前使用された、第1計算装置と第2計算装置との間の通信に用いられる、一時的同一性情報を含んでもよい。そのような実施形態では、以前に使用された一時的同一性情報は、最初の識別目的のためだけに使用されてもよく、第1通信デバイスの同一性を認証するために使用されなくてもよい。いくつかの実施形態では、以前に使用された一時的な同一性情報を使用することによって、同一性を主張する第1計算装置の同一性の確認(ただし、認証ではない)の機能強化を可能にすることができる。いくつかの実施形態では、第2計算装置が以前に使用された一時的同一性情報を以前に受信しているので、以前に使用された一時的同一性情報は第1計算装置の2ファクター(またはマルチファクター)に用いられる。さらに、以前に使用された一時的同一性情報は第1計算装置のユーザに表示または提示されなくてもよいので、第1計算装置から取得することは極めて困難であるため、以前に使用された一時的同一性情報を第1計算装置の最初の識別に用いることは、ユーザ名及びパスワードよりも安全に、第1計算装置の表示によって提示することができる。いくつかの実施形態では、以前に使用された一時的同一性情報は、以前の通信状態(例えば、閲覧されていたウェブサイト、読まれていたメッセージ、見られていた画像など)を急速に回復するために用いることができる。いくつかの実施形態では、そのような状態情報は一時的同一性情報の中でエンコードされる。
いくつかの実施形態において、同一性情報は、従来のユーザ名及びパスワード、または他の従来の同一性情報を含むことができる。そのような実施形態では、当該同一性情報は、第1の通信装置の同一性と称されるものを識別することを目的としてのみ使用され、第1計算装置または第2計算装置の認証には使用されない。
ブロックにおいて、第1計算装置のプロセッサは、情報取引を実行するために第2計算装置に要求(リクエスト)を送信することができる。いくつかの実施形態では、情報取引は、電子健康記録サービスまたは公共記録サービス、投票者登録データベースまたは投票システム、オンライン購入、銀行取引、若しくは他の同様の情報または電子取引の交換への情報の提供を含むことができる。
ブロック408において、第2計算装置のプロセッサは、第1計算装置の同一性を確認するために、第3の計算装置にリクエストを送信してもよい。
ブロック410において、第2計算装置のプロセッサは、第1計算装置に一時的同一性情報のリクエストを送信することができる。いくつかの実装形態では、当該リクエストは、第1計算装置による新しい一時的同一性情報を生成するための命令、または生成のトリガとなる命令を含んでもよい。いくつかの実施形態では、当該リクエストは、第3計算装置から新しい一時的同一性情報を取得するための命令を含んでもよい。この一時的同一性情報の送信は、方法300を参照して説明した通信チャネルおよび方法のうちのいずれかによって、またはそれを使用して達成することができる。
ブロック412において、第1計算装置のプロセッサは、第1計算装置から第2計算装置及び第3計算装置に一時的同一性情報を送信することができる。この一時的同一性情報の送信は、方法300を参照して説明した通信チャネルおよび方法のうちのいずれかによって、またはそれを使用して達成することができる。
ブロック414において、第2計算装置は、第1計算装置から受信した一時的同一性情報を第3計算装置に送信することができる。第3計算装置は、第1計算装置によって生成された一時的同一性情報を第1計算装置から受信し、分離された独立の通信経路で、第1計算装置の一時的同一性情報を第2計算装置から受信してもよい。この一時的同一性情報の送信は、方法300を参照して説明した通信チャネルおよび方法のうちのいずれかによって、またはそれを使用して達成することができる。
ブロック416において、第3計算装置のプロセッサは、第1計算装置から受信した第1計算装置の一時的同一性情報と第2計算装置から受信した第1計算装置の一時的同一性情報とを比較することができる。
判定ブロック418において、第3計算装置のプロセッサは、一時的同一性情報が一致するか否かを判定することができる。
一時的同一性情報が一致しないという判定(すなわち、判定ブロック418=「No」)に応じて、第3計算装置のプロセッサは、ブロック420において、第1計算装置の確認失敗を示す情報を送信することができる。確認失敗を示す情報の送信は、方法300の類似の送信を参照して、通信チャネルおよび方法のうちのいずれかによって、またはそれを使用して達成することができる。いくつかの実施形態では、第3計算装置のプロセッサは、第2計算装置に失敗通知を送信することができる。いくつかの実施形態では、第3計算装置のプロセッサは、情報セキュリティ担当者の計算装置のような第三者に失敗通知を送信することができる。
ブロック421では、第3計算装置は、第1計算装置の確認失敗に基づいてアクションを実行することができる。いくつかの実施形態では、第3計算装置のプロセッサは、第1計算装置の潜在的な不正アクセスの可能性を通知するために、第1計算装置の登録ユーザに対して、失敗通知を第1計算装置に関連する記録上のEメールで送信することができる。いくつかの実施形態では、第3計算装置のプロセッサは、第1計算装置であることを主張する1つ以上の計算装置であるか否かを判定することができる。第1計算装置であることを主張する1つ以上の計算装置の検出は、第1計算装置が複製された又はその他の方法でコピー(クローン/コピー)されていることを示すことができる。いくつかの実施形態では、第3計算装置のプロセッサがクローン/コピーされた計算装置が検出されると、第3計算装置は警告を送信し、第1計算装置がシステムに参加することを許可せず、第1計算装置を当該システムの外にロックし、および/または第1計算装置を非アクティブにするコマンドを送信することができる。
一時的同一性情報が一致するという判定(すなわち、判定ブロック418=「Yes」)に応じて、第3の計算装置のプロセッサは、ブロック422において、第1計算装置の確認成功を示す情報を送信することができる。確認成功を示す情報の送信は、方法300の類似の送信を参照して、通信チャネルおよび方法のうちのいずれかによって、またはそれを使用して達成することができる。いくつかの実施形態では、第3計算装置のプロセッサは、確認成功を示す情報を第2計算装置及び第3計算装置に送信することができる。
様々な実施形態では、第1計算装置の同一性の確認の後に、参加する計算装置が1つ以上の参加する計算装置(例えば、第1計算装置、第2計算装置など)の参加の認証を可能にする動作を実行することができる。いくつかの実施形態では、1つ以上の参加する計算装置の参加の認証は、情報取引を拒否できないようにすることができる。いくつかの実施形態では、1つ以上の参加する計算装置の参加の認証を可能にする動作は、情報取引において計算装置の(又はユーザの)参加を認証する、署名の取得、パスワード又はコードの入力要求、追加ユーザ相互作用(例えば、確認ボタンの「クリック」)の要求のような従来の動作に対する代用としての機能を果たす。
ブロック424において、第1計算装置のプロセッサは、テキストストリング、及びテキストストリングの暗号化されたバージョンを生成することができる。
ブロック426において、第1計算装置は、第2計算装置に暗号化されていない生成されたテキストストリングを送信することができる。この送信は、方法300を参照して説明した通信チャネルおよび方法のうちのいずれかによって、またはそれを使用して達成することができる。
ブロック428において、第1計算装置のプロセッサは、第3計算装置に暗号化されたテキストストリングを送信することができる。この送信は、方法300を参照して説明した通信チャネルおよび方法のうちのいずれかによって、またはそれを使用して達成することができる。
ブロック430において、第3計算装置のプロセッサは、第1の通信装置から受信した暗号化されたテキストストリングを復号化することができる。
ブロック432において、第3計算装置のプロセッサは、復号化されたテキストストリングを再暗号化してもよく、第2計算装置に再暗号化されたテキストストリングを送信してもよい。この送信は、方法300を参照して説明した通信チャネルおよび方法のうちのいずれかによって、またはそれを使用して達成することができる。様々な実施形態において、第3計算装置によって受信された暗号化されたテキストストリングは、第1計算装置と第3計算装置との間で交渉または合意された暗号化方法またはプロトコルに従って暗号化されてもよい。さらに、第3計算装置は、第2計算装置と第3のコンピュータ装置との間で交渉または合意された暗号化方法またはプロトコルに従ってテキストストストリングを再暗号化してもよい。
ブロック434において、第2計算装置のプロセッサは、第3計算装置から受信した再暗号化されたテキストストリングを復号化することができる。様々な実施形態において、第2計算装置のプロセッサは、第1計算装置から直接暗号化されていないテキストストリングを受信し、第3計算装置から再暗号化された第1計算装置のテキストストリングを受信する。
ブロック436において、第2装置のプロセッサは、第1計算装置からのテキストストリングと第3計算装置からのテキストストリングとを比較することができる。
判定ブロック438において、第2計算装置のプロセッサは、テキストストリングが一致するか否かを判定することができる。
テキストストリングが一致しないという判定(すなわち、判定ブロック438=「No」)に応じて、第2計算装置のプロセッサは、ブロック440において、情報取引における参加する第1計算装置が認証されないことを示す情報を送信することができる。この送信は、方法300の類似の送信を参照して、通信チャネルおよび方法のうちのいずれかによって、またはそれを使用して達成することができる。いくつかの実施形態では、ブロック440の動作は、テキストストリングが一致しないという判定に応じて、情報取引における第1計算装置の参加が認証されないという判定、及び情報取引における第1計算装置の参加が認証されないという判定を含むことができる。いくつかの実施形態では、第2計算装置は、第1計算装置の参加が認証されないことを示す情報を監査証跡の一部として記憶することができる。いくつかの実施形態では、第3計算装置は、第1計算装置の参加が認証されないことを示す情報を監査証跡の一部として記憶することができる。
ブロック442では、第2計算装置のプロセッサは、情報取引の実行を阻止することができる。いくつかの実施形態では、第2計算装置のプロセッサは、情報取引の1つ以上の動作の完了を阻止することができる。
テキストストリングが一致するという判定(すなわち、判定ブロック438=「Yes」)に応じて、第2計算装置のプロセッサは、ブロック444において、情報取引における参加する第1計算装置が認証されたことを示す情報を送信することができる。この送信は、方法300の類似の送信を参照して、通信チャネルおよび方法のうちのいずれかによって、またはそれを使用して達成することができる。いくつかの実施形態では、ブロック444の動作は、テキストストリングが一致するという判定に応じて、情報取引における第1計算装置の参加が認証されたという判定、及び情報取引における第1計算装置の参加が認証されたという判定を含むことができる。いくつかの実施形態では、第2計算装置は、第1計算装置の参加が認証されないことを示す情報を監査証跡の一部として記憶することができる。いくつかの実施形態では、第3計算装置は、第1計算装置の参加が認証されないことを示す情報を監査証跡の一部として記憶することができる。
ブロック446では、第2計算装置のプロセッサは、情報取引の実行を可能にすることができる。いくつかの実施形態では、第2計算装置のプロセッサは、情報取引の1つ以上の動作を完了することができる。
図4Bは、方法400の一部として第1計算装置によって実行される動作の方法400aを示す。図1A〜図4Dを参照すると、方法400aは、プロセッサ(例えば、プロセッサ202等)によって実現されてもよい。ブロック402、406、412、424、426、及び428において、第1計算装置のプロセッサは、方法400の同じ番号のブロックの動作を実行することができる。
任意ブロック445において、第1計算装置のプロセッサは、第1計算装置のアカウントを特定する情報の相関の第2計算装置から確認を受信することができる。
ブロック447において、第1計算装置のプロセッサは、第2計算装置から第1計算装置の一時的同一性情報のリクエストを受信することができる。
判定ブロック448において、第1計算装置のプロセッサは、確認成功を示す情報又は確認失敗を示す情報が受信される又は既に受信済みであるかを判定してもよい。確認失敗を示す情報が受信される又は既に受信済みであることの判定(すなわち、判定ブロック448=「Failure(失敗)」)に応じて、ブロック450において、当該プロセッサは、方法400及び400aの動作の実行を停止してもよい。
プロセッサが確認成功を示す情報が受信される又は既に受信済みであることの判定(すなわち、判定ブロック448=「Success(成功)」)に応じて、当該プロセッサはブロック424〜428の動作を実行してもよい。
判定ブロック452において、第1計算装置のプロセッサは、第1計算装置が認証されたこと又は認証されていないことを示す情報が受信される又は既に受信済みであるか否かを判定することができる。第1計算装置が認証されていないことを示す情報を当該プロセッサが受信したという判定(すなわち、判定ブロック452=「Not authenticated(認証されていない)」)に応じて、ブロック454で、プロセッサは方法400および400aの動作の実行を停止してもよい。
第1計算装置が認証されたことを示す情報を当該プロセッサが受信したという判定(すなわち、判定ブロック452=「Authenticated(認証された)」)に応じて、ブロック456で、プロセッサは情報取引を実行してもよい。
図4Cは、方法400の一部として第2計算装置によって実行される動作の方法400bを示す。図1A〜図4Dを参照すると、方法400aは、プロセッサ(例えば、プロセッサ202等)によって実現されてもよい。ブロック404、408、410、414、426、及び436〜442において、第2計算装置のプロセッサは、方法400の同じ番号のブロックの動作を実行することができる。
ブロック458において、第2計算装置のプロセッサは、第1計算装置からユーザアカウントを特定する情報を受信することができる。
ブロック459において、第2計算装置のプロセッサは、第1計算装置から情報取引を実行するリクエストを受信することができる。
ブロック460において、第2計算装置のプロセッサは、第1計算装置から一時的同一性情報(すなわち、第1装置の一時的同一性情報)を受信することができる。
判定ブロック462において、第2計算装置のプロセッサは、第1計算装置の確認成功を示す情報又は第1計算装置の確認失敗を示す情報が受信される又は既に受信済みであるかを判定してもよい。
第1計算装置の確認失敗を示す情報が受信される又は既に受信済みであることの判定(すなわち、判定ブロック462=「Failure(失敗)」)に応じて、ブロック464において、当該プロセッサは、方法400及び400bの動作の実行を停止してもよい。
第1計算装置の確認成功を示す情報が受信される又は既に受信済みであることの判定(すなわち、判定ブロック462=「Success(成功)」)に応じて、ブロック464において、当該プロセッサは情報取引を進めてもよい。
判定ブロック466において、プロセッサは第1計算装置から暗号化されていないテキストストリングを受信してもよい。
判定ブロック468において、プロセッサは第3計算装置から再暗号化されたテキストストリングを受信してもよい。
ブロック436において、第2装置のプロセッサは、第1計算装置からのテキストストリングと第3計算装置からのテキストストリングとを比較することができる。様々な実施形態において、第2計算装置のプロセッサは、第3計算装置から受信した再暗号化されたテキストストリングを復号化することができる。判定ブロック438において、第2計算装置のプロセッサは、テキストストリングが一致するか否か(すなわち、第1計算装置からのテキストストリングと第3計算装置からのテキストストリングとが一致するか否か)を判定することができる。
テキストストリングが一致しないという判定(すなわち、判定ブロック438=「No」)に応じて、第2計算装置のプロセッサは、ブロック440において、情報取引における参加する第1計算装置が認証されないことを示す情報を送信することができる。
ブロック442では、第2計算装置のプロセッサは、情報取引の実行を阻止することができる。いくつかの実施形態では、第2計算装置のプロセッサは、情報取引の1つ以上の動作の完了を阻止することができる。
テキストストリングが一致するという判定(すなわち、判定ブロック438=「Yes」)に応じて、第2計算装置のプロセッサは、ブロック444において、情報取引における参加する第1計算装置が認証されたことを示す情報を送信することができる。
ブロック446では、第2計算装置は、情報取引の実行を可能にすることができる。いくつかの実施形態では、第2計算装置は、情報取引の1つ以上の動作を完了することができる。
図4Dは、方法400の一部として第3計算装置によって実行される動作の方法400cを示す。図1A〜図4Dを参照すると、方法400cは、プロセッサ(例えば、プロセッサ202等)によって実現されてもよい。ブロック416〜422、430、及び432において、第3計算装置のプロセッサは、方法400の同じ番号のブロックの動作を実行することができる。
ブロック470において、第3計算装置のプロセッサは、第1計算装置から、第1計算装置の一時的同一性情報を受信することができる。
ブロック472において、第3計算装置のプロセッサは、第2計算装置から、第1計算装置の一時的同一性情報を受信することができる。
ブロック416において、第3計算装置のプロセッサは、第1計算装置から受信した第1計算装置の一時的同一性情報と第2計算装置から受信した第1計算装置の一時的同一性情報とを比較することができる。
ブロック474において、第3計算装置のプロセッサは、第1計算装置から暗号化されたテキストストリングを受信することができる。
判定ブロック476において、第3計算装置のプロセッサは、情報取引における第1計算装置の参加が認証されたまたは認証されていないかを判断することができる。
情報取引における第1計算装置の参加が認証されていないという判定(すなわち、判定ブロック476=「Not authenticated(認証されていない)」)に応じて、ブロック478で、第3計算装置のプロセッサが認証失敗を示す情報を保存してもよい。
情報取引における第1計算装置の参加が認証されているという判定(すなわち、判定ブロック476=「Authenticated(認証された)」)に応じて、ブロック480で、第3計算装置のプロセッサが認証成功を示す情報を保存してもよい。
図5Aは、第1計算装置(例えば、図1B〜図2の計算装置102、104、184、186、及び200)の第2計算装置(例えば、図1B〜図2の計算装置106、190〜196、及び200)への認証、及びその逆の認証を、いくつかの実施形態における第3計算装置(例えば、図1B〜図2の108、188、及び200)との相互作用を介して行うシステムの方法500を示す。図1A〜図5Bを参照すると、方法500は、(例えばデバイスプロセッサなどの)計算装置のプロセッサ(例えばプロセッサ202等)によって実行することができる。ブロック302および304において、デバイスプロセッサは、方法300の番号付けされたブロックと同様の動作を実行することができる。
ブロック502において、電子セキュリティシステムのプロセッサ(例えば、電子セキュリティシステム114)は、通信システムを監視することができる。例えば、電子セキュリティシステムは、ネットワーク監視、キーロギング、侵入検知、トラフィック分析、またはネットワーク監視またはセキュリティ機能を実行するための他の動作を実行することができる。
判定ブロック502において、電子セキュリティシステムのプロセッサは、電子的侵入者または認証されていないユーザが検出されたか否かを判定することができる。電子的侵入者または認証されていないユーザが検出されていないという判定に応じて(すなわち、判定ブロック504=「No」)、電子セキュリティシステムのプロセッサは、ブロック502において、通信システムを監視し続けることができる。
電子的侵入者または認証されていないユーザが検出されたという判定に応じて(すなわち、判定ブロック504=「Yes」)、電子セキュリティシステムのプロセッサは、電子的侵入者または認証されていないユーザを示す情報を第3計算装置(例えば、第3計算装置108)に送信する。
第3計算装置のプロセッサは、電子セキュリティシステムから電子的侵入者または認証されていないユーザを示す情報を受信することができる。電子セキュリティシステムからの電子的侵入者または認証されていないユーザを示す情報に応じて、第3計算装置のプロセッサは、ブロック330において新しい一時的同一性情報を取得するために、第1計算装置(例えば、計算装置102及び104)並びに第2計算装置(例えば、計算装置106)指示を送信することができる。第1計算装置及び第2計算装置のプロセッサは、ブロック302及び304を実行することができる。
いくつかの実施形態では、第3計算装置は、バックグラウンドにおいて第1計算装置および第2計算装置に指示を送信することができ、任意のエンドユーザに対して透過的である(例えば、第1計算装置又は第2計算装置が各々のユーザに、第3計算装置からの指示を受信したことを示す情報を提示しない)。そのような実施形態では、電子的侵入者または認証されていないユーザの検出に基づいて、第3の計算装置は、第1計算装置および第2計算装置にもシステムに参加する他の計算装置にも、新しい一時的同一性情報を取得するために指示を出し、侵入者または認証されていないユーザが通信システムにアクセスすることを阻止することができる「グローバルリセット」を実行することができる。様々な実施形態では、第3の計算装置が、新しい一時的同一性情報を取得するために、様々な計算装置に指示を送信する速度、及び様々な計算装置が、それぞれの新しい一時的同一性情報を取得する速度は、各計算装置の動作速度および任意のネットワーク通信遅延(例えば、通信待ち時間)によってのみ制限され得る。第1計算装置および第2計算装置に指示を送信するために必要な時間量と、新しい一時的同一性情報を取得するための第1計算装置および第2計算装置に必要な時間量とが、例えば、従来の認証局が、全ての参加ユーザに新たな証明書を発行するのに要する時間よりも短い。さらに、方法500は、パスワードのリセット等のような第1計算装置または第2計算装置のユーザによる手動操作を必要としない。実際、上述したように、第1計算装置または第2計算装置のユーザは、既存の証明書がユーザの特定に用いられても認証目的に用いられなくてもよいので、セキュリティ違反の後でも、ユーザ名およびパスワードのような既存の証明書を使用し続けることができる。
いくつかの実施形態では、電子セキュリティシステムは、計算装置が通信システムへのアクセスから認証解除されるべきであるというコマンドまたは指示を受信するように構成されてもよい。例えば、電子セキュリティシステムは、ネットワーク認証システム、人的資源システム、通信システムの認証されたユーザのリストを提供するシステム、または他の同様のシステムの構成要素または部品であってもよい。そのような実施形態では、電子セキュリティシステムは、計算装置の認証が削除またはブロックされるべきであることを示すコマンドまたは別のメッセージを受信することができる。いくつかの実施形態では、認証されていないユーザまたは電子的侵入者が検出されたことを示す情報、計算装置の認証が削除またはブロックされるべきであることを示す情報、または別の類似の情報の受信に応じて、第3の計算装置が、新しい一時的同一性情報を取得するために、第1計算装置および/または第2計算装置に指示を送信してもよい。
図5Bは、方法500の一部として第3計算装置によって実行される動作の方法500aを示す。図1A〜図5Bを参照すると、方法500aは、プロセッサ(例えば、プロセッサ202等)によって実現されてもよい。
ブロック508において、第3計算装置のプロセッサは、電子的侵入者又は認証されていないユーザを示す情報を、電子セキュリティシステムから受信することができる。
ブロック510において、第3計算装置のプロセッサは、新しい一時的同一性情報を取得するために、第1計算装置(例えば、計算装置102および104)に指示を送信することができる。第1計算装置のプロセッサは、方法300のブロック302(図3A〜図3C)に進むことができる。
ブロック512において、第3計算装置のプロセッサは、新しい一時的同一性情報を取得するために、第2計算装置(例えば、計算装置106)に指示を送信することができる。第2計算装置のプロセッサは、方法300のブロック304(図3A、図3B、及び図3C)に進むことができる。
図6Aは、第1計算装置(例えば、図1B〜図2の計算装置102、104、184、186、及び200)の第2計算装置(例えば、図1B〜図2の計算装置106、190〜196、及び200)への認証、及びその逆の認証を、いくつかの実施形態における第3計算装置(例えば、図1B〜図2の108、188、及び200)との相互作用を介して行うシステムの方法600を示す。図6Bは、方法600の一部として第1計算装置のプロセッサによって実行される動作の方法600aを示す。図6Cは、方法600の一部として第2計算装置のプロセッサによって実行される動作の方法600bを示す。図6Dは、方法600の一部として第3計算装置のプロセッサによって実行される動作の方法600cを示す。
ブロック602において、第1計算装置のプロセッサは、小さい単位の静的情報を第3計算装置に送信することができる。小さい単位の静的情報は、例えば、画像、アイコン、音、リズムまたはリズムパターン、触覚フィードバック指示、又は計算装置によって提示可能な別の類似の単位の情報のような、人間が知覚可能なインジケータを含むことができる。
ブロック604において、第3計算装置のプロセッサは、小さい単位の静的情報を第2計算装置に送信することができる。第3計算装置は、小さい単位の静的情報を、ブロック328において第3計算装置が第2計算装置に送信する、第1計算装置の認証成功を示す情報と同時に、並行して、その前に、またはその後に送信することができる。
ブロック606において、第2計算装置のプロセッサは、小さい単位の静的情報を第1計算装置に送信することができる。
ブロック608において、第1計算装置のプロセッサは、小さい単位の静的情報を提示することができる。いくつかの実施形態では、小さい単位の静的情報を提示することは、人間が知覚可能な指示を提示することを含むことができ、その指示は小さい単位の静的情報に含まれる。人間が知覚可能な指示は、写真(画像、アイコン、絵文字など)、音(音楽、警告音、リズムまたはリズムパターンなど)、振動(触覚フィードバック装置など)、または他の人間が知覚できる指示を含んでもよい。いくつかの実施形態において、小さい単位の静的情報を提示することは、前述のうちの2つ以上の組合せを含んでもよい。いくつかの実施形態では、小さい単位の静的情報は、第1計算装置によって提示された場合に容易に認識可能である小さい単位の静的情報のように、第1計算装置のユーザによって選択され、生成され、パーソナライズ(個人化)されてもよい。
人間が知覚可能な指示の提示は、第2計算装置が第3計算装置から小さい単位の静的情報を受信したことを容易に知覚可能にすることを提供することができる。したがって、第1計算装置による人間が知覚可能な指示の提示は、第2計算装置による小さい単位の静的情報の受信を第3計算装置から検証することにより、第2計算装置の同一性の第1計算装置に追加の指示を供給することができる。
いくつかの実施形態では、第2計算装置は、第3の計算装置から小さい単位の静的情報を受信することができ、第2計算装置は、第2計算装置が通信における認証された参加者であることを示すために、小さい単位の静的情報を第1計算装置に直接送信することができる。第1計算装置から受信した小さい画像を有し、認証された第2計算装置を有する第3計算装置は、当該小さい画像を第2計算装置に送信することができる。第2計算装置は、第1計算装置に当該画像を送信することができ、例えば第1計算装置によって表示されるように、第2計算装置の認証の視覚的表示を提供するように構成されている。様々な実施形態では、第2計算装置の認証を示す情報を提供するための、このような小さい単位の静的情報の使用は、スピアフィッシング攻撃、中間者攻撃、及び通信の傍受や計算装置のなりすましを含むその他の類似の通信攻撃を軽減するのに役立つ。
例えば、電子商取引(「eコマース」)の実行中において、電子商取引サーバは、第1計算装置(例えば、ユーザ装置)から第3計算装置によって受信された小さな画像ファイルを、第3計算装置(例えば、認証サーバとして機能するもの)から受信することができる。次いで、電子商取引サーバは、電子商取引サービスのウェブサイトに含まれるように、当該小さな画像ファイルを第1計算装置に送信する、又は第2計算装置の認証の第1計算装置に表示された他の何らかの視覚的表示を提供するように構成されている。当該小さい画像ファイルによって符号化された画像は、第1演算装置のユーザによって個人化され、容易に認識されてもよい。したがって、いくつかの従来のシステムは、ネットワークサービスが安全であるという単純な視覚的表示(例えば、SSL「南京錠」アイコン)を使用するものであるが、ネットワークサービスの実際の認証は、検証することが困難または不可能である可能性がある。さらに、フィッシングサイトのような偽造や悪意のあるサービスにおいて、容易に複製及び使用される単純な視覚的表示のように、単純な視覚的表示は典型的な一般的なものである。様々な実施形態において、小さい単位の静的情報の表示は、様々な実施形態における情報の小静的ユニットの提示は、第2計算装置が第3計算装置から小さい単位の静的情報を受信したことを容易に認識し且つ個人化した表示を提供することにより、現在のセキュリティシステムを改善する。これは、第2計算装置が第3計算装置によって認証される又は既に認証済みであることを第1計算装置のユーザに追加の指示を提供する。
図6Bは、方法600の一部として第1計算装置によって実行される動作の方法600aを示す。図1A〜図6Dを参照すると、方法600aは、プロセッサ(例えば、プロセッサ202等)によって実現されてもよい。ブロック302、308、314、332〜338、340、及び任意ブロック342において、第1計算装置のプロセッサは、方法300及び300aの同じ番号のブロックの動作を実行することができる。
ブロック610において、第1計算装置のプロセッサは、第3計算装置に小さい単位の静的情報を送信することができる。
ブロック612において、第1計算装置のプロセッサは、小さい単位の静的情報を受信することができる。
ブロック614において、第1計算装置のプロセッサは、小さい単位の静的情報を提示することができる。第1計算装置のプロセッサは、説明したようにブロック340および任意ブロック342の動作を実行することができる。
図6Cは、方法600の一部として第2計算装置によって実行される動作の方法600bを示す。図1A〜図6Dを参照すると、方法600bは、プロセッサ(例えば、プロセッサ202等)によって実現されてもよい。ブロック304、310、316、344〜350、352、及び任意ブロック354において、第2計算装置のプロセッサは、方法300及び300bの同じ番号のブロックの動作を実行することができる。
ブロック620において、第2計算装置のプロセッサは、第3計算装置から小さい単位の静的情報を受信することができる。
ブロック622において、第2計算装置のプロセッサは、第1計算装置に小さい単位の静的情報を送信することができる。当該プロセッサは、説明したようにブロック352および任意選択のブロック354の動作を実行することができる。
図6Dは、方法600の一部として第3計算装置によって実行される動作の方法600cを示す。図1A〜図6Dを参照すると、方法600cは、プロセッサ(例えば、プロセッサ202等)によって実現されてもよい。ブロック306、312、318〜330、360、及び362において、第3計算装置のプロセッサは、方法300及び300dの同じ番号のブロックの動作を実行することができる。
ブロック630において、第3計算装置のプロセッサは、第1計算装置から小さい単位の静的情報を受信することができる。
ブロック632において、第3計算装置のプロセッサは、第3計算装置から第2計算装置に小さい単位の静的情報を送信することができる。
様々な実施形態は、共有秘密および静的情報の現在のパラダイムとは対照的に、各計算装置の動的情報に基づいて通信システム内の計算装置の同一性を認証することができるシステムを提供する。様々な実施形態は、参加する計算装置間の通信のセキュリティを劇的に改善することによって、参加する各計算装置の動作を改善する。さらに、各計算装置の一時的同一性情報が周期的に変化し、各計算装置が、新しい一時的同一性情報を送信および/または受信する他の計算装置と周期的に通信するため、様々な実施形態は、通信のセキュリティを向上させることにより、通信ネットワークや電子通信システムの機能を向上させる。また、アクセス及び/又はコピーによる攻撃に対して脆弱な共有秘密のような静的な同一性情報に依存することなく、参加する計算装置の同一性を確実に認証することによって、任意の通信ネットワークの機能を改善することができる。
様々な実施形態は、参加する通信装置の認証を可能にすることにより、参加する各通信装置の機能及び通信システム全体を改善することができる。様々な実施形態は、広範囲の通信および/または情報取引コンテキストにおいて参加する各計算装置の機能を改善し、機密性通信(例えば、政府、ビジネス、機密通信など)、公共記録管理システム、投票システム、金融サービスシステム、セキュリティ仲介システム、および多くの他のシステムを含む。様々な実施形態は、特にモノのインターネット、並びに、様々なIoT装置の間の通信、又はIoT装置及とルータ、サーバ、IoTハブ、又は他の類似の装置のようなIoT装置コントローラとの通信の機能を改善することができる。特に、IoT環境で実施される場合における様々な実施形態は、人間の介入なしに、分散サービス拒否(DDoS)攻撃を防止するのに使用することができる。様々な実施形態は、通信システムにおける拒否不能な情報取引の実行を可能にすることによって、通信システムの機能を改善することができる。特定の計算装置の参加を認証することができ、当該認証手順は、参加者が実際に情報取引に参加したという推定を形成する証拠を生成することができる。
例示および説明された様々な実施形態は、単に、特許請求の範囲の様々な特徴を例示するための例として提供される。しかし、任意の所与の実施形態に関して示され説明された特徴は、必ずしも関連する実施形態に限定されるものではなく、図示および説明されている他の実施形態と組み合わせて使用することもできる。さらに、特許請求の範囲は、任意の一実施形態によって限定されることを意図するものではない。例えば、方法300、300a、300b、300c、400、400a、400b、400c、500、500a、600、600a、600b、600cの1つ以上の動作は、方法300、300a、300b、300c、400、400a、400b、400c、500、500a、600、600a、600b、600cの1つ以上の動作の置換又は結合であってもよい。
図7は、様々な実施形態を実装するのに適したモバイル無線通信装置700の構成ブロック図である。図1A〜図7を参照すると、モバイル無線通信装置700は、タッチスクリーンコントローラ706に接続されたプロセッサ702及び内部メモリ704を含む。プロセッサ702は、一般または特定の処理タスクのために指定された1つ以上のマルチコア集積回路であってもよい。内部メモリ704は、揮発性または不揮発性のメモリであってもよく、安全なおよび/または暗号化されたメモリ、若しくは安全ではないおよび/または暗号化されていないメモリ、若しくは、それらの任意の組み合わせであってもよい。タッチスクリーンコントローラ706およびプロセッサ702は、抵抗感知タッチスクリーン、静電容量感知タッチスクリーン、赤外線感知のように、タッチスクリーンパネル712に接続されるものであってもよい。さらに、モバイル無線通信装置700のディスプレイはタッチスクリーン機能を有する必要はない。
モバイル無線通信装置700は、2つ以上の、送受信するために互いに又はプロセッサ702と接続された、無線信号トランシーバ708(例えば、ピーナッツ(Peanut)、ブルートゥース(Bluetooth)、ジグビー(ZigBee)、無線周波数(RF)等)及びアンテナ710を有する。トランシーバ708及びアンテナ710は、上述の回路と共に使用されて、様々な無線伝送プロトコルスタック及びインターフェースを実装することができる。モバイル無線通信装置700は、プロセッサ及び2つ以上の無線アクセス技術を介して2つ以上のセルラーネットワークを介して通信を可能にするアンテナ710と接続された、1つ以上のセルラーネットワーク無線モデムチップ716を含むことができる。
モバイル無線通信装置700は、プロセッサ702に接続された周辺無線デバイス接続インターフェース718を含むことができる。周辺無線デバイス接続インターフェース718は、あるタイプの接続を受け入れるように単独で構成されてもよく、USB、ファイヤワイヤ(Fire Wire)、サンダーボルト(Thunderbolt)又はPCIeのような、一般的な又は独自の、様々なタイプの物理的かつ通信接続を受け入れるように構成されてもよい。周辺無線デバイス接続インターフェース718は、類似の周辺無線デバイス接続ポート(図示せず)に接続されてもよい。
モバイル無線通信装置700は、オーディオ出力を提供するためのスピーカ714を含むこともできる。モバイル無線通信装置700は、本明細書に記載された構成要素のすべてまたは一部を収容するための、プラスチック、金属、または材料の組合せから構成される筐体720を含むこともできる。モバイル無線通信装置700は、使い捨て又は再充電可能なバッテリーのような、プロセッサ702に接続された電源722を含むことができる。再充電可能なバッテリーは、外部ソースからモバイル無線通信装置700にチャージされた電流を受信するために、周辺無線デバイス接続ポートに接続されてもよい。モバイル無線通信装置700は、ユーザ入力を受信するための物理ボタン724を含むこともできる。モバイル無線通信装置700は、モバイル無線通信装置700をオンおよびオフするための電源ボタン726を含むこともできる。
計算装置の他の形態も、様々な態様からメリットを得ることができる。そのような計算装置は、典型的には、例示的なラップトップコンピュータを示す図8に示された構成要素を含む。図1A〜図8を参照すると、コンピュータ800は、一般的に、揮発性メモリ802およびディスクドライブ803のような大容量の不揮発性メモリに接続されたプロセッサ801を含んでもよい。コンピュータ800は、プロセッサ801に接続されたコンパクトディスク(CD)及び/又はDVDドライブ804を含んでもよい。コンピュータ800は、データ接続を確立するか、または外部メモリデバイスを受信するために、プロセッサ801をネットワークに接続するためのネットワーク接続回路805のような、プロセッサ801に接続された多数のコネクタポートを含むことができる。コンピュータ800は、ディスプレイ807、キーボード808、トラックパッド810などのポインティングデバイス、及び他の同様のデバイスを含んでもよい。
様々な実施形態は、通信ネットワークのネットワーク構成要素として計算装置を使用することができる。そのようなネットワーク構成要素は、典型的には、ネットワーク構成要素の一例であるサーバ装置900を示す図9に示された構成要素を少なくとも含むことができる。図1A〜図9を参照すると、サーバ装置900は、典型的には、揮発性メモリ902およびディスクドライブ903のような大容量の不揮発性メモリに接続されたプロセッサ901を含んでもよい。サーバ装置900は、フロッピー(登録商標)ディスクドライブのような周辺メモリアクセス装置、プロセッサ901に接続されたコンパクトディスク(CD)又はデジタルビデオディスク(DVD)ドライブ906を含んでもよい。サーバ装置900は、他のシステムコンピュータおよびサーバに接続されたインターネットおよび/またはローカルエリアネットワークのようなネットワークとのデータ接続を確立するためのプロセッサ901に接続されたネットワークアクセスポート904(またはインターフェース)を含むことができる。同様に、サーバ装置900は、周辺機器、外部メモリ、又は他の装置に接続するためのUSB、ファイヤワイヤ(Fire Wire)、サンダーボルト(Thunderbolt)などのような追加のアクセスポートを含んでもよい。
プロセッサ702、801、901は、任意のプログラム可能なマイクロプロセッサ、マイクロコンピュータ、マルチプロセッサチップ、又は以下に説明する様々な態様の機能を含む様々な機能を実行するためのソフトウェア指示(アプリケーション)によって構成されるチップであってもよい。いくつかのモバイル装置では、無線通信機能専用のプロセッサ及びアプリケーションを実行するための専用のプロセッサのようなマルチプロセッサ702が提供されてもよい。典型的には、ソフトウェアアプリケーションは、プロセッサ702、801、901にアクセスされ読み込まれる前に、内部メモリ704、802、902に格納される。プロセッサ702、801、901は、アプリケーションソフトウェア指示を格納するのに十分な内部メモリを含むことができる。
様々な実施形態は、任意の数のシングルまたはマルチプロセッサシステムで実施することができる。一般に、プロセスは、マルチプロセスがシングルプロセッサ上で同時に実行されるように見えるような短いタイムスライスで、プロセッサ上において実行される。タイムスライスの終了時にプロセッサからプロセスが除去される場合、現在の処理の動作状態に関する情報がメモリに記憶され、プロセスがプロセッサ上で実行に戻るとき、当該プロセスはその動作をシームレスに再開することができる。この動作状態データは、プロセスのアドレス空間、スタック空間、仮想アドレス空間、レジスタ設定画像(例えば、プログラムカウンタ、スタックポインタ、指示レジスタ、プログラムステータスワードなど)、課金情報、許可、アクセス制限、および状態情報を含んでもよい。
1のプロセスは他のプロセスを生成することができ、生成されたプロセス(すなわち、子プロセス)は、生成プロセス(すなわち、親プロセス)の許可およびアクセス制限(すなわち、コンテキスト)のいくつかを継承することができる。プロセスは、それらのコンテキスト(例えば、アドレス空間、スタック、許可および/またはアクセス制限)の全部又は一部を、他のプロセス/スレッドと共に共有するプロセスである複数の軽量プロセスまたはスレッドを含む重重みプロセスであってもよい。したがって、シングルプロセスは、シングルコンテキスト(すなわち、プロセッサのコンテキスト)内で共有、アクセス、及び/又は動作する複数の軽量プロセスまたはスレッドを含むことができる。
前述の方法の説明およびプロセスフロー図は、単に例示として提供されたものであり、様々な実施形態のブロックが、提示された順序で実行されなければならないということを要求または暗示するものではない。当業者には理解されるように、前記実施形態におけるブロックの順序は、任意の順序で実行することができる。「その後」、「そのとき」、「次に」のような単語は、ブロックの順序を制限することを意図するものではない。これらの単語は、単に、方法の記述を通して読者を誘導するために使用される。さらに、例えば、複数形で記載されていない要素を単数形に限定するものとして解釈されるべきではない。
様々な例示的な論理ブロック、モジュール、回路、本明細書に開示された実施形態に関連して説明されたアルゴリズムブロックは、電子ハードウェア、コンピュータソフトウェア、または両方の組み合わせとして実装することができる。ハードウェアとソフトウェアとの互換性を明確に説明するために、様々な例示的な構成要素、ブロック、モジュール、回路、およびブロックは、それらの機能に関して一般的な表現で記載される。そのような機能がハードウェアとして実施されるか、またはソフトウェアとして実施されるかは、特定のアプリケーションおよび設計に依存する。当業者は、説明された機能を特定の各用途について様々な方法で実施することができるが、そのような実施の決定は特許請求の範囲からの逸脱を引き起こすと解釈されるべきではない。
本明細書に開示された実施形態に関連して説明された、様々な例示的なロジック、論理ブロック、モジュール、及び回路を実装するために使用されるハードウェアは、汎用プロセッサ、デジタル信号プロセッサ(DSP)、特定用途向け集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)または他のプログラマブルロジックデバイス、ディスクリートゲートまたはトランジスタロジック、ディスクリートハードウェアコンポーネント、若しくは本明細書に記載された機能を実行するように設計されたそれらの任意の組み合わせを用いて実装または実行することができる。汎用プロセッサは、マイクロプロセッサであってもよいが、代替として、当該プロセッサは、任意の従来のプロセッサ、コントローラ、マイクロコントローラ、またはステートマシンであってもよい。プロセッサは、例えば、DSPとマイクロプロセッサとの組み合わせ、複数のマイクロプロセッサ、DSPコアと関連した1つ以上のマイクロプロセッサ、または任意の他の構成が、通信デバイスの組合せとして実装されてもよい。あるいは、いくつかのブロックまたは方法は、所与の機能に特有の回路によって実行されてもよい。
様々な実施形態では、説明された機能は、ハードウェア、ソフトウェア、ファームウェア、またはそれらの任意の組み合わせで実施することができる。ソフトウェアで実施される場合、機能は、非一時的なコンピュータ読み取り可能な記録媒体または非一時的なプロセッサ読み取り可能な記録媒体上で1つ以上の指示またはコードとして記憶され得る。本明細書に開示された方法またはアルゴリズムの動作は、非一時的なコンピュータ読み取り可能な記録媒体または非一時的なプロセッサ読み取り可能な記録媒体上に存在するプロセッサ実行可能ソフトウェアモジュールにおいて実施することができる。非一時的なコンピュータ読み取り可能な記録媒体または非一時的なプロセッサ読み取り可能な記録媒体は、コンピュータまたはプロセッサによってアクセスされ得る任意の記憶媒体であってもよい。限定ではなく一例として、そのような非一時的なコンピュータ読み取り可能な記録媒体または非一時的なプロセッサ読み取り可能な記録媒体は、RAM、ROM、EEPROM、フラッシュメモリ、CD−ROMまたは他の光ディスク記憶装置、磁気ディスク記憶装置または他の磁気記憶装置、または命令またはデータ構造の形態で所望のプログラムを含むことができ、指示又はデータ構造の形式において要求されるプログラムコードを記憶するために用いられ、コンピュータによってアクセスされ得る。本明細書で使用されるディスク(Disk)およびディスク(disk)は、コンパクトディスク(CD)、レーザディスク、光ディスク、デジタル多用途ディスク(DVD)、フロッピー(登録商標)ディスク、及びブルーレイディスクを含み、当該ディスクは、通常、データを磁気的に再生する、あるいはレーザを用いてデータを光学的に再生する。上記の組合せも、非一時的なコンピュータ読み取り可能な記録媒体または非一時的なプロセッサ読み取り可能な記録媒体の範囲内に含まれる。さらに、方法またはアルゴリズムの動作は、プログラム製品に組み込むことができる非一時的なコンピュータ読み取り可能な記録媒体または非一時的なプロセッサ読み取り可能な記録媒体上のコードおよび/または指示の1つ若しくは任意の組み合わせ又はセットとして存在してもよい。
開示された実施形態の前述の説明は、当業者が請求項を作成または使用することを可能にするために提供される。これらの実施形態に対する様々な変更は、当業者には容易に明らかであり、本明細書で定義された一般的な原理は、特許請求の範囲から逸脱することなく、他の実施形態に適用することができる。したがって、本開示は、本明細書に示された実施形態に限定されることを意図するものではなく、以下の特許請求の範囲および本明細書に開示された原理および新規な特徴と一致する最も広い範囲を与えられるべきである。

Claims (40)

  1. 第3計算装置との相互作用を介して、第2計算装置が第1計算装置を認証するためのシステムであって、
    前記第1計算装置は、
    第1通信インターフェースと、
    前記通信インターフェースに接続され、前記第1計算装置において一時的(ephemeral)な第1の一時的同一性情報(transitory identiry)を取得し、前記第2計算装置及び前記第3計算装置に前記第1の一時的同一性情報を送信し、前記第2計算装置から一時的な第2の一時的同一性情報を受信し、前記第3計算装置に前記第2の一時的同一性情報を含む第1認証クエリを送信し、前記第3計算装置から前記第2計算装置が認証されているか否かの情報を受信することを含む操作を実行するためのプロセッサ実行可能命令を伴って構成された第1プロセッサと、を含み、
    前記第2計算装置は、
    第2通信インターフェースと、
    前記通信インターフェースに接続され、前記第2計算装置において前記第2の一時的同一性情報を取得し、前記第1計算装置及び前記第3計算装置に前記第2の一時的同一性情報を送信し、前記第1計算装置から前記第1の一時的同一性情報を受信し、前記第3計算装置に前記第1の一時的同一性情報を含む第2認証クエリを送信し、前記第3計算装置から前記第1計算装置が認証されているか否かの情報を受信することを含む操作を実行するためのプロセッサ実行可能命令を伴って構成された第2プロセッサと、を含み、
    前記第3計算装置は、
    第3通信インターフェースと、
    前記通信インターフェースに接続され、前記第1計算装置から前記第1の一時的同一性情報を受信し、前記第2認証クエリを受信し、前記第1計算装置からの前記第1の一時的同一性情報が前記第2計算装置からの前記第1の一時的同一性情報に一致するか否かを判定し、前記第1計算装置からの前記第1の一時的同一性情報が前記第2計算装置からの前記第1の一時的同一性情報に一致するか否かの判定に基づいて前記第1計算装置が認証されているか否かの情報を前記第2計算装置に送信し、前記第2計算装置から前記第2の一時的同一性情報を受信し、前記第1の一時的同一性情報を受信し、前記第1計算装置からの前記第2の一時的同一性情報が前記第2計算装置からの前記第2の一時的同一性情報に一致するか否かを判定し、前記第1計算装置からの前記第2の一時的同一性情報が前記第2計算装置からの前記第2の一時的同一性情報に一致するか否かの判定に基づいて前記第2計算装置が認証されているか否かの情報を前記第1計算装置に送信することを含む操作を実行するためのプロセッサ実行可能命令を伴って構成された第3プロセッサと、を含むシステム。
  2. 前記第3計算装置のプロセッサは、前記第1計算装置及び前記第2計算装置の各々に、一時的な新しい一時的同一性情報を取得するための指示を送信することをさらに含む操作を実行するためのプロセッサ実行可能命令を伴って構成された、請求項1に記載のシステム。
  3. 前記第3計算装置のプロセッサは、前記第1計算装置及び前記第2計算装置の各々に、前記第2計算装置からの前記第1の一時的同一性情報が前記第1計算装置からの前記第1の一時的同一性情報に一致しないという判定に応じて、前記第1計算装置及び前記第2計算装置の各々に、前記新しい一時的同一性情報を取得するための指示を送信する操作を実行するためのプロセッサ実行可能命令を伴って構成された、請求項2に記載のシステム。
  4. 前記第3計算装置のプロセッサは、前記第1計算装置及び前記第2計算装置の各々に、前記第1計算装置からの前記第2の一時的同一性情報が前記第2計算装置からの前記第2の一時的同一性情報に一致しないという判定に応じて、前記第1計算装置及び前記第2計算装置の各々に、前記新しい一時的同一性情報を取得するための指示を送信する操作を実行するためのプロセッサ実行可能命令を伴って構成された、請求項2に記載のシステム。
  5. 前記第1計算装置のプロセッサ、前記第2計算装置のプロセッサ、及び前記第3計算装置のプロセッサは、アタッカーが前記第1の一時的同一性情報及び前記第2の一時的同一性情報を取得し、使用するために必要とされる決定された時間間隔よりも小さい周波数でそれぞれの動作を繰り返すためのプロセッサ実行可能命令を伴って構成された、請求項1に記載のシステム。
  6. 前記第1計算装置のプロセッサ、前記第2計算装置のプロセッサ、及び前記第3計算装置のプロセッサは、前記第1、第2、及び第3の一時的同一性情報を取得し、使用するためにアタッカーが必要とする決定された時間よりも小さい周波数でそれぞれの動作を繰り返すためのプロセッサ実行可能命令を伴って構成された、請求項1に記載のシステム。
  7. 前記第1計算装置のプロセッサは、
    テキストストリング及び前記テキストストリングの暗号化されたバージョンを生成し、
    前記第2計算装置に、生成された前記テキストストリングを送信し、
    前記第3計算装置に、生成され前記暗号化されたテキストストリングを送信し、
    前記第2計算装置から、前記第2計算装置に送信された前記テキストストリング及び前記第3計算装置に送信された前記暗号化されたテキストストリングに基づいて、前記第1計算装置が認証されているか否かの情報を受信することをさらに含む操作を実行するためのプロセッサ実行可能命令を伴って構成された、請求項1に記載のシステム。
  8. 前記第1計算装置のプロセッサは、前記第2計算装置から前記第1計算装置が認証されたことを示す情報を受信することに応じて、前記第2計算装置との情報取引を実行することをさらに含む操作を実行するためのプロセッサ実行可能命令を伴って構成された、請求項7に記載のシステム。
  9. 前記第1計算装置のプロセッサは、
    前記第1計算装置からの暗号化された前記テキストストリングを復号化し、
    復号化された前記テキストストリングを再暗号化し、前記第2計算装置が前記再暗号化されたテキストストリングと前記第1計算装置から前記第2計算装置に送信された前記テキストストリングとを比較することができるように、前記再暗号化されたテキストストリングを前記第2計算装置に送信することをさらに含む操作を実行するためのプロセッサ実行可能命令を伴って構成された、請求項7に記載のシステム。
  10. 前記第2計算装置のプロセッサは、
    前記第1計算装置から前記テキストストリングを受信し、
    前記第3計算装置から再暗号化されたテキストストリングを受信し、
    前記第1計算装置からの前記テキストストリングと前記第3計算装置からの前記再暗号化されたテキストストリングとが一致するか否かを判定し、
    前記第1計算装置及び前記第3計算装置の少なくともいずれかに、前記第3計算装置からの前記再暗号化されたテキストストリングと前記第1計算装置からの前記テキストストリングとが一致するか否かの判定に応じて、前記第1計算装置の参加が認証されたか否かを示す情報を送信することをさらに含む操作を実行するためのプロセッサ実行可能命令を伴って構成された、請求項7に記載のシステム。
  11. 前記第3計算装置のプロセッサは、
    前記第1計算装置の前記参加が認証されたか否かを示す情報を受信し、
    前記第1計算装置の前記参加が認証されたか否かを示す情報を保存することをさらに含む操作を実行するためのプロセッサ実行可能命令を伴って構成された、請求項10に記載のシステム。
  12. 前記第1計算装置のプロセッサは、
    前記第3計算装置に静的情報の単位を送信し、
    前記第2計算装置から、前記第2計算装置からの前記第1の一時的同一性情報が前記第1計算装置からの前記第1の一時的同一性情報に一致するという判定に基づく前記静的情報の単位を受信し、
    前記第1計算装置で前記静的情報の単位を提示することをさらに含む操作を実行するためのプロセッサ実行可能命令を伴って構成された、請求項1に記載のシステム。
  13. 前記第1計算装置のプロセッサは、前記静的情報の単位は人間が知覚できる表示器を含むように操作を実行するためのプロセッサ実行可能命令を伴って構成された、請求項12に記載のシステム。
  14. 前記第2計算装置のプロセッサは、
    前記第1計算装置からの静的情報の単位を前記第3計算装置から受信し、
    前記第2計算装置からの前記第1の一時的同一性情報が前記第1計算装置からの前記第1の一時的同一性情報に一致するという判定に基づいて、前記第1計算装置に前記静的情報の単位を送信することをさらに含む操作を実行するためのプロセッサ実行可能命令を伴って構成された、請求項1に記載のシステム。
  15. 前記第3計算装置のプロセッサは、
    前記第1計算装置から静的情報の単位受信し、
    前記第2計算装置からの前記第1の一時的同一性情報が前記第1計算装置からの前記第1の一時的同一性情報に一致するという判定に基づいて、前記第2計算装置に前記静的情報の単位を送信することをさらに含む操作を実行するためのプロセッサ実行可能命令を伴って構成された、請求項1に記載のシステム。
  16. 前記第1計算装置はモノのインターネット(IoT)装置を含む、請求項1に記載のシステム。
  17. 通信インターフェースと、
    前記通信インターフェースに接続され、一時的な第1の一時的同一性情報を取得し、第2計算装置及び第3計算装置に前記第1の一時的同一性情報を送信し、前記第2計算装置から一時的な第2の一時的同一性情報を受信し、前記第3計算装置に前記第2の一時的同一性情報を含む認証クエリを送信し、前記第3計算装置から認証が成功したことを示す情報又は認証が失敗したことを示す情報が受信されたか否かを判定し、認証が成功したことを示す情報が受信されたという判定に応じて、前記第2計算装置との情報取引を実行することを含む操作を実行するためのプロセッサ実行可能命令を伴って構成されたプロセッサと、を含み、
    前記プロセッサは、アタッカーが前記第1の一時的同一性情報及び前記第2の一時的同一性情報を取得し、使用するために必要とされる決定された時間間隔よりも小さい周波数で動作を繰り返すためのプロセッサ実行可能命令を伴って構成された、第1計算装置。
  18. 前記プロセッサは、
    新しい一時的同一性情報を取得するために前記第3計算装置から指示を受信し、
    前記指示に基づいて一時的な新しい一時的同一性情報を取得することをさらに含む操作を実行するためのプロセッサ実行可能命令を伴って構成された、請求項17に記載の第1計算装置。
  19. 前記プロセッサは、
    前記第1の一時的同一性情報の持続期間が終了することを判定し、
    前記第1の一時的同一性情報の持続期間が終了したという判定に基づいて、一時的な新しい第1の一時的同一性情報を取得することをさらに含む操作を実行するためのプロセッサ実行可能命令を伴って構成された、請求項17に記載の第1計算装置。
  20. 前記プロセッサは、認証失敗を示す情報が受信されたという判定に応じてセキュリティアクションを実行することをさらに含む操作を実行するためのプロセッサ実行可能命令を伴って構成された、請求項17に記載の第1計算装置。
  21. 前記第1計算装置の前記プロセッサは、
    前記第2計算装置に情報取引を実行するためのリクエストを送信し、
    前記第2計算装置から、前記第1計算装置が認証されたか否かを示す情報を受信し、
    前記第1計算装置が認証されたという情報の受信に応じて前記情報取引を実行することをさらに含む操作を実行するためのプロセッサ実行可能命令を伴って構成された、請求項17に記載の第1計算装置。
  22. 前記第1計算装置の前記プロセッサは、前記情報取引を実行するための前記リクエストに基づいて、前記第1の一時的同一性情報に対する前記第2計算装置からリクエストを受信することをさらに含む操作を実行するためのプロセッサ実行可能命令を伴って構成され、
    前記第1の一時的同一性情報を前記第2計算装置及び前記第3計算装置に送信することは、前記第1の一時的同一性情報に対する前記第2計算装置からの前記リクエストに基づく、請求項21に記載の第1計算装置。
  23. 前記第1計算装置の前記プロセッサは、
    テキストストリング及び前記テキストストリングの暗号化されたバージョンを生成し、
    前記第2計算装置に、生成された前記テキストストリングを送信し、
    前記第3計算装置に、生成され前記暗号化されたテキストストリングを送信し、
    前記第2計算装置から、前記第2計算装置に送信された前記テキストストリング及び前記第3計算装置に送信された前記暗号化されたテキストストリングに基づいて、前記第1計算装置が認証されているか否かの情報を受信することをさらに含む操作を実行するためのプロセッサ実行可能命令を伴って構成された、請求項21に記載の第1計算装置。
  24. 前記第1計算装置はモノのインターネット(IoT)装置を含む、請求項17に記載の第1計算装置。
  25. 通信インターフェースと、
    前記通信インターフェースに接続され、第1の他の計算装置から、情報取引を実行するためのリクエストを受信し、前記第1の他の計算装置から、前記第1の他の計算装置の一時的な一時的同一性情報を受信し、前記第1の他の計算装置の同一性を確認するための第2の他の計算装置に、前記一時的同一性情報を含むリクエストを送信し、前記第2の他の計算装置に、前記第1の他の計算装置の前記同一性が確認されたか否かを示す情報を受信し、前記第1の他の計算装置の前記同一性が確認されたか否かを示す情報に基づいて、前記情報取引の実行を有効にするか否かを示す情報を送信することを含む操作を実行するためのプロセッサ実行可能命令を伴って構成されたプロセッサと、を含み、
    前記プロセッサは、アタッカーが前記一時的同一性情報を取得し、使用するために必要とされる決定された時間間隔よりも小さい周波数で動作を繰り返すためのプロセッサ実行可能命令を伴って構成された、計算装置。
  26. 前記プロセッサは、前記情報取引を実行するための前記リクエストに基づいて、前記第1の他の計算装置の前記一時的同一性情報に対する前記第1の他の計算装置にリクエストを送信することをさらに含む操作を実行するためのプロセッサ実行可能命令を伴って構成された、請求項25に記載の計算装置。
  27. 前記プロセッサは、
    前記第1の他の計算装置からテキストストリングを受信し、
    前記第2の他の計算装置から再暗号化されたテキストストリングを受信し、
    前記第1の他の計算装置からの前記テキストストリングと前記第2の他の計算装置からの前記再暗号化されたテキストストリングとが一致するか否かを判定し、
    前記第1の他の計算装置及び前記第2の他の計算装置の少なくともいずれかに、前記第1の他の計算装置からの前記テキストストリングと前記第2の他の計算装置からの前記再暗号化されたテキストストリングとが一致するか否かの判定に応じて、前記第1の他の計算装置の参加が認証されたか否かを示す情報を送信することをさらに含む操作を実行するためのプロセッサ実行可能命令を伴って構成された、請求項25に記載の計算装置。
  28. 前記プロセッサは、前記第1の他の計算装置からの前記テキストストリングと前記第2の他の計算装置からの前記再暗号化されたテキストストリングとが一致するという判定に基づいて前記情報取引の実行を有効にすることをさらに含む操作を実行するためのプロセッサ実行可能命令を伴って構成された、請求項27に記載の計算装置。
  29. 第1の他の計算装置及び第2の他の計算装置との通信を構成する計算装置であって、
    通信インターフェースと、
    前記通信インターフェースに結合され、前記第1の他の計算装置から一時的な第1の一時的同一性情報を受信し、前記第2の他の計算装置から前記第1の一時的同一性情報を含む認証クエリを受信し、前記第1の他の計算装置からの前記第1の一時的同一性情報が前記第2の他の計算装置からの前記第1の一時的同一性情報に一致するか否かを判定し、前記第2の他の計算装置に、前記第1の他の計算装置からの前記第1の一時的同一性情報が前記第2の他の計算装置からの前記第1の一時的同一性情報に一致するか否かの判定に基づいて、前記第1の他の計算装置が認証されたか否かを示す情報を送信することを含む操作を実行するためのプロセッサ実行可能命令を伴って構成されたプロセッサと、を含み、
    前記プロセッサは、アタッカーが前記第1の一時的同一性情報を取得し、使用するために必要とされる決定された時間間隔よりも小さい周波数で動作を繰り返すためのプロセッサ実行可能命令を伴って構成された、計算装置。
  30. 前記プロセッサは、
    前記第2の他の計算装置から一時的な第2の一時的同一性情報を受信し、
    前記第1の他の計算装置からの前記第2の一時的同一性情報を含む認証クエリを受信し、
    前記第2の他の計算装置からの前記第2の一時的同一性情報が前記第1の他の計算装置からの前記第2の一時的同一性情報に一致するか否かを判定し、
    前記第1の他の計算装置に、前記第2の他の計算装置からの前記第2の一時的同一性情報が前記第1の他の計算装置からの前記第2の一時的同一性情報に一致するか否かの判定に基づいて、前記第2の他の計算装置が認証されたか否かを示す情報を送信することをさらに含む操作を実行するためのプロセッサ実行可能命令を伴って構成された、請求項29に記載の計算装置。
  31. 前記プロセッサは、前記第1の他の計算装置に、前記第2の他の計算装置からの前記第2の一時的同一性情報が前記第1の他の計算装置からの前記第2の一時的同一性情報に一致するという判定に応じて、前記第2の他の計算装置の認証成功を示す情報を送信することをさらに含む操作を実行するためのプロセッサ実行可能命令を伴って構成された、請求項30に記載の計算装置。
  32. 前記プロセッサは、前記第1の他の計算装置に、前記第2の他の計算装置からの前記第2の一時的同一性情報が前記第1の他の計算装置からの前記第2の一時的同一性情報に一致しないという判定に応じて、前記第2の他の計算装置の認証失敗を示す情報を送信することをさらに含む操作を実行するためのプロセッサ実行可能命令を伴って構成された、請求項31に記載の計算装置。
  33. 前記プロセッサは、前記第2の他の計算装置に、前記第1の他の計算装置からの前記第1の一時的同一性情報が前記第2の他の計算装置からの前記第1の一時的同一性情報に一致するという判定に応じて、前記第1の他の計算装置の認証成功を示す情報を送信
    することをさらに含む操作を実行するためのプロセッサ実行可能命令を伴って構成された、請求項29に記載の計算装置。
  34. 前記プロセッサは、前記第2の他の計算装置に、前記第1の他の計算装置からの前記第1の一時的同一性情報が前記第2の他の計算装置からの前記第1の一時的同一性情報に一致しないという判定に応じて、前記第1の他の計算装置の認証失敗を示す情報を送信することをさらに含む操作を実行するためのプロセッサ実行可能命令を伴って構成された、請求項29に記載の計算装置。
  35. 前記プロセッサは、
    前記第1の一時的同一性情報の持続期間が終了することを判定し、
    前記第1の一時的同一性情報の前記持続期間が終了したという判定に応じて、新しい一時的同一性情報を取得するために、前記第1の他の計算装置に指示を送信することをさらに含む操作を実行するためのプロセッサ実行可能命令を伴って構成された、請求項29に記載の計算装置。
  36. 前記プロセッサは、
    前記第2の一時的同一性情報の持続期間が終了することを判定し、
    前記第2の一時的同一性情報の前記持続期間が終了したという判定に応じて、新しい一時的同一性情報を取得するために、前記第2の他の計算装置に指示を送信することをさらに含む操作を実行するためのプロセッサ実行可能命令を伴って構成された、請求項29に記載の計算装置。
  37. 前記プロセッサは、
    電子セキュリティシステムから非認証ユーザの情報を受信し、
    前記非認証ユーザの情報に応じて、一時的な新しい一時的同一性情報を取得するために前記第1の他の計算装置及び前記第2の計算装置の少なくともいずれかに指示を送信することをさらに含む操作を実行するためのプロセッサ実行可能命令を伴って構成された、請求項29に記載の計算装置。
  38. 前記プロセッサは、
    前記第1の他の計算装置から暗号化されたテキストストリングを受信して、前記暗号化されたテキストストリングを復号化し、
    前記復号化されたテキストストリングを再暗号化して、前記再暗号化されたテキストストリングを前記第2の他の計算装置に送信し、
    前記第2の他の計算装置から、前記第1の他の計算装置の参加が認証されたか否かを示す情報を受信し、
    前記第1の他の計算装置の前記参加が認証されたか否かを示す情報を保存することをさらに含む操作を実行するためのプロセッサ実行可能命令を伴って構成された、請求項29に記載の計算装置。
  39. 第1計算装置と第2計算装置との間の相互作用を第3計算装置のサポートを用いて認証する方法であって、
    前記第1計算装置で一時的な第1の一時的同一性情報を取得し、
    前記第2計算装置及び前記第3計算装置に前記第1の一時的同一性情報を送信し、
    前記第2計算装置において、前記第1計算装置からの前記第1の一時的同一性情報を受信し、
    前記第2計算装置で一時的な第2の一時的同一性情報を取得し、
    前記第2計算装置から前記第1計算装置及び前記第3計算装置に前記第2の一時的同一性情報を送信し、
    前記第1計算装置において、前記第2計算装置から前記第2の一時的同一性情報を受信し、
    前記第1計算装置から前記第3計算装置に、前記第2の一時的同一性情報を含む第1認証クエリを送信し、
    前記第2計算装置から前記第3計算装置に、前記第1の一時的同一性情報を含む第2認証クエリを送信し、
    前記第3計算装置において、前記第1計算装置からの前記第1の一時的同一性情報を受信し、
    前記第3計算装置において受信し、
    前記第3計算装置において、前記第1計算装置からの前記第1の一時的同一性情報が前記第2計算装置からの前記第1の一時的同一性情報に一致するか否かを判定し、
    前記第3計算装置によって、前記第1計算装置からの前記第1の一時的同一性情報が前記第2計算装置からの前記第1の一時的同一性情報に一致するか否か判定に基づいて、前記第1計算装置が認証されたか否かを示す情報を前記第2計算装置に送信し、
    前記第3計算装置において、前記第2計算装置からの前記第2の一時的同一性情報を受信し、
    前記第3計算装置において、前記第1認証クエリを受信し、
    前記第3計算装置によって、前記第1計算装置からの前記第2の一時的同一性情報が前記第2計算装置からの前記第2の一時的同一性情報に一致するか否かを判定し、
    前記第3計算装置によって、前記第1計算装置からの前記第2の一時的同一性情報が前記第2計算装置からの前記第2の一時的同一性情報に一致するか否かの判定に基づいて、前記第2計算装置が認証されたか否かを示す情報を前記第1計算装置に送信し、
    前記第1計算装置において、前記第2計算装置が認証されたか否かを示す情報を前記第3計算装置から受信し、
    前記第2計算装置において、前記第1計算装置が認証されたか否かを示す情報を前記第3計算装置から受信する方法。
  40. 前記第1計算装置はモノのインターネット(IoT)装置を含む、請求項39に記載の方法。
JP2019535192A 2016-09-12 2017-09-08 装置認証のシステム及び方法 Withdrawn JP2019531567A (ja)

Applications Claiming Priority (9)

Application Number Priority Date Filing Date Title
US201662393438P 2016-09-12 2016-09-12
US62/393,438 2016-09-12
US201662423593P 2016-11-17 2016-11-17
US62/423,593 2016-11-17
US15/395,336 2016-12-30
US15/395,336 US9722803B1 (en) 2016-09-12 2016-12-30 Systems and methods for device authentication
US15/634,265 US10021100B2 (en) 2016-09-12 2017-06-27 Systems and methods for device authentication
US15/634,265 2017-06-27
PCT/US2017/050614 WO2018049116A1 (en) 2016-09-12 2017-09-08 Systems and methods for device authentication

Publications (2)

Publication Number Publication Date
JP2019531567A true JP2019531567A (ja) 2019-10-31
JP2019531567A5 JP2019531567A5 (ja) 2020-10-22

Family

ID=59382821

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019535192A Withdrawn JP2019531567A (ja) 2016-09-12 2017-09-08 装置認証のシステム及び方法

Country Status (10)

Country Link
US (3) US9722803B1 (ja)
EP (1) EP3510723A4 (ja)
JP (1) JP2019531567A (ja)
KR (1) KR102390745B1 (ja)
CN (1) CN110169011A (ja)
AU (1) AU2017323547A1 (ja)
CA (1) CA3035921A1 (ja)
EA (1) EA036987B1 (ja)
MX (1) MX2019002625A (ja)
WO (1) WO2018049116A1 (ja)

Families Citing this family (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10517021B2 (en) 2016-06-30 2019-12-24 Evolve Cellular Inc. Long term evolution-primary WiFi (LTE-PW)
US9722803B1 (en) 2016-09-12 2017-08-01 InfoSci, LLC Systems and methods for device authentication
US10419226B2 (en) 2016-09-12 2019-09-17 InfoSci, LLC Systems and methods for device authentication
US10356096B2 (en) * 2017-02-17 2019-07-16 At&T Intellectual Property I, L.P. Authentication using credentials submitted via a user premises device
US11463439B2 (en) 2017-04-21 2022-10-04 Qwerx Inc. Systems and methods for device authentication and protection of communication on a system on chip
US10499246B2 (en) 2017-05-17 2019-12-03 Verizon Patent And Licensing Inc. Hardware identification-based security authentication service for IoT devices
US11089059B2 (en) * 2017-09-15 2021-08-10 Cable Television Laboratories, Inc. Cloned device detection
US11147459B2 (en) * 2018-01-05 2021-10-19 CareBand Inc. Wearable electronic device and system for tracking location and identifying changes in salient indicators of patient health
US10729211B2 (en) 2018-04-12 2020-08-04 CareBand Inc. Wristband locking mechanism, wristband, wearable electronic device and method of securing an article to a person
CN108833337B (zh) * 2018-04-20 2022-06-03 南京时代大数据网络安全技术与发展战略研究院有限公司 一种基于光通信的数据传输系统及方法
GB2574628B (en) * 2018-06-13 2020-12-09 Arm Ip Ltd Attestation of processing
US10967190B2 (en) * 2018-11-02 2021-04-06 Advanced Neuromodulation Systems, Inc. Methods of operating a system for management of implantable medical devices (IMDs) using reconciliation operations and revocation data
US11173311B2 (en) 2018-11-02 2021-11-16 Advanced Neuromodulation Systems, Inc. Methods for programming an implantable medical device and related systems and devices
US11090496B2 (en) 2018-11-02 2021-08-17 Advanced Neuromodulation Systems, Inc. Implantable medical device using permanent and temporary keys for therapeutic settings and related methods of operation
US11083900B2 (en) 2018-11-02 2021-08-10 Advanced Neuromodulation Systems, Inc. Methods for operating a system for management of implantable medical devices and related systems
US11173313B2 (en) 2018-11-02 2021-11-16 Advanced Neuromodulation Systems, Inc. Implantable medical device with offline programming limitations and related methods of operations
US11741196B2 (en) 2018-11-15 2023-08-29 The Research Foundation For The State University Of New York Detecting and preventing exploits of software vulnerability using instruction tags
JP7213366B2 (ja) * 2019-03-04 2023-01-26 ヒタチ ヴァンタラ エルエルシー 分散システムにおける多方向信頼形成
US11444919B2 (en) * 2019-05-20 2022-09-13 Woodward, Inc. Mission critical security zone
US11449821B2 (en) 2019-07-16 2022-09-20 Mastercard International Incorporated Systems and methods for use in facilitating verified deliveries
US11140156B2 (en) * 2019-07-16 2021-10-05 Mastercard International Incorporated Systems and methods for use in binding internet of things devices with identities associated with users
US11218494B2 (en) * 2019-07-26 2022-01-04 Raise Marketplace, Llc Predictive fraud analysis system for data transactions
US11165817B2 (en) * 2019-10-24 2021-11-02 Arbor Networks, Inc. Mitigation of network denial of service attacks using IP location services
EP3825880B1 (de) * 2019-11-20 2022-10-05 Siemens Energy Global GmbH & Co. KG Geschütztes rücksetzen eines iot-geräts
US11503434B2 (en) * 2020-04-22 2022-11-15 CareBand Inc. Method and system for connectivity between a personal area network and an internet protocol network via low power wide area network wearable electronic device
US11606347B2 (en) 2020-08-27 2023-03-14 Cisco Technology, Inc. Determining session duration for device authentication
US20220141658A1 (en) * 2020-11-05 2022-05-05 Visa International Service Association One-time wireless authentication of an internet-of-things device

Family Cites Families (65)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5729608A (en) * 1993-07-27 1998-03-17 International Business Machines Corp. Method and system for providing secure key distribution in a communication system
US5651064A (en) * 1995-03-08 1997-07-22 544483 Alberta Ltd. System for preventing piracy of recorded media
US6055637A (en) 1996-09-27 2000-04-25 Electronic Data Systems Corporation System and method for accessing enterprise-wide resources by presenting to the resource a temporary credential
JP2002247029A (ja) * 2000-02-02 2002-08-30 Sony Corp 認証装置、認証システムおよびその方法、処理装置、通信装置、通信制御装置、通信システムおよびその方法、情報記録方法およびその装置、情報復元方法およびその装置、その記録媒体
US20010044786A1 (en) * 2000-03-14 2001-11-22 Yoshihito Ishibashi Content usage management system and method, and program providing medium therefor
JP3678417B2 (ja) * 2002-04-26 2005-08-03 正幸 糸井 個人認証方法及びシステム
US7225342B2 (en) * 2002-07-23 2007-05-29 Matsushita Electric Industrial Co., Ltd. Terminal apparatus, communication method, and communication system
JP4599852B2 (ja) * 2004-02-23 2010-12-15 ソニー株式会社 データ通信装置および方法、並びにプログラム
JP2005267433A (ja) * 2004-03-19 2005-09-29 Fujitsu Ltd 利用者仮識別子を用いるネットワークサービスシステム
JP2005276122A (ja) * 2004-03-26 2005-10-06 Fujitsu Ltd アクセス元認証方法及びシステム
US8151110B2 (en) * 2004-08-05 2012-04-03 Digital Keystone, Inc. Methods and apparatuses for configuring products
CN101032117B (zh) * 2004-09-30 2012-06-13 皇家飞利浦电子股份有限公司 基于多项式的认证方法、系统和用于示证者设备的方法
US7613919B2 (en) * 2004-10-12 2009-11-03 Bagley Brian B Single-use password authentication
US7974234B2 (en) * 2004-10-22 2011-07-05 Alcatel Lucent Method of authenticating a mobile network node in establishing a peer-to-peer secure context between a pair of communicating mobile network nodes
JP4551202B2 (ja) * 2004-12-07 2010-09-22 株式会社日立製作所 アドホックネットワークの認証方法、および、その無線通信端末
CA2571814C (en) * 2004-12-30 2012-06-19 Bce Inc. System and method for secure access
US20070256118A1 (en) * 2005-05-11 2007-11-01 Takashi Nomura Server Device, Device-Correlated Registration Method, Program, and Recording Medium
WO2006132597A1 (en) * 2005-06-07 2006-12-14 Matsushita Electric Industrial Co., Ltd. Systems, methods and computer program products for authorising ad-hoc access
US20070186115A1 (en) 2005-10-20 2007-08-09 Beijing Watch Data System Co., Ltd. Dynamic Password Authentication System and Method thereof
EP1871065A1 (en) * 2006-06-19 2007-12-26 Nederlandse Organisatie voor Toegepast-Natuuurwetenschappelijk Onderzoek TNO Methods, arrangement and systems for controlling access to a network
US7949867B2 (en) * 2006-07-19 2011-05-24 Rel-Id Technologies, Inc. Secure communications
US8412947B2 (en) * 2006-10-05 2013-04-02 Ceelox Patents, LLC System and method of secure encryption for electronic data transfer
US9350716B2 (en) * 2007-03-20 2016-05-24 At&T Intellectual Property I, Lp System and method for authentication of a communication device
US7809785B2 (en) * 2007-05-28 2010-10-05 Google Inc. System using router in a web browser for inter-domain communication
US8010778B2 (en) * 2007-06-13 2011-08-30 Intel Corporation Apparatus and methods for negotiating a capability in establishing a peer-to-peer communication link
JP2008312048A (ja) * 2007-06-15 2008-12-25 Ripplex Inc 情報端末の認証方法
CN100488099C (zh) * 2007-11-08 2009-05-13 西安西电捷通无线网络通信有限公司 一种双向接入认证方法
JP5100368B2 (ja) * 2007-12-28 2012-12-19 パナソニック株式会社 無線通信端末および端末認識方法
CN101247223B (zh) 2008-03-06 2010-06-09 西安西电捷通无线网络通信有限公司 一种基于可信第三方的实体双向鉴别方法
US8209744B2 (en) * 2008-05-16 2012-06-26 Microsoft Corporation Mobile device assisted secure computer network communication
CN102077542B (zh) * 2008-07-04 2014-12-10 Dts指导委员会有限责任公司 安全数字通信
US8321670B2 (en) 2008-07-11 2012-11-27 Bridgewater Systems Corp. Securing dynamic authorization messages
US8862877B2 (en) * 2008-08-12 2014-10-14 Tivo Inc. Data anonymity system
US8090616B2 (en) * 2008-09-08 2012-01-03 Proctor Jr James Arthur Visual identification information used as confirmation in a wireless communication
CN102171969B (zh) * 2008-10-06 2014-12-03 皇家飞利浦电子股份有限公司 用于操作网络的方法,用于其的系统管理设备、网络和计算机程序
KR20120034755A (ko) * 2009-03-06 2012-04-12 인터디지탈 패튼 홀딩스, 인크 무선 장치들의 플랫폼 입증 및 관리
JP5293284B2 (ja) * 2009-03-09 2013-09-18 沖電気工業株式会社 通信方法、メッシュ型ネットワークシステム及び通信端末
EP2448170A4 (en) * 2009-06-23 2015-06-24 Panasonic Ip Man Co Ltd CLEF-CRYPTOGRAM DISTRIBUTION SYSTEM
CN102215474B (zh) * 2010-04-12 2014-11-05 华为技术有限公司 对通信设备进行认证的方法和装置
TW201215070A (en) * 2010-06-14 2012-04-01 Revere Security Corp Key Management Systems and methods for shared secret ciphers
DE102010044517A1 (de) 2010-09-07 2012-03-08 Siemens Aktiengesellschaft Verfahren zur Zertifikats-basierten Authentisierung
CN101984577B (zh) * 2010-11-12 2013-05-01 西安西电捷通无线网络通信股份有限公司 匿名实体鉴别方法及系统
US8839357B2 (en) * 2010-12-22 2014-09-16 Canon U.S.A., Inc. Method, system, and computer-readable storage medium for authenticating a computing device
WO2012092399A2 (en) * 2010-12-29 2012-07-05 Secureall Corporation Cryptographic communication with mobile devices
FR2970135A1 (fr) 2010-12-30 2012-07-06 France Telecom Procede d'authentification d'une premiere et d'une deuxieme entites aupres d'une troisieme entite
US8701169B2 (en) * 2011-02-11 2014-04-15 Certicom Corp. Using a single certificate request to generate credentials with multiple ECQV certificates
US9166778B2 (en) * 2011-07-15 2015-10-20 Alcatel Lucent Secure group messaging
CN103312672A (zh) * 2012-03-12 2013-09-18 西安西电捷通无线网络通信股份有限公司 身份认证方法及系统
US9258275B2 (en) 2012-04-11 2016-02-09 Varmour Networks, Inc. System and method for dynamic security insertion in network virtualization
US8855312B1 (en) 2012-06-29 2014-10-07 Emc Corporation Mobile trust broker
US20140013108A1 (en) * 2012-07-06 2014-01-09 Jani Pellikka On-Demand Identity Attribute Verification and Certification For Services
US9386003B2 (en) * 2012-08-16 2016-07-05 Tango Mobile, LLC System and method for secure transactions
CN103714017B (zh) * 2012-10-09 2017-06-30 中兴通讯股份有限公司 一种认证方法、认证装置及认证设备
US9237133B2 (en) * 2012-12-12 2016-01-12 Empire Technology Development Llc. Detecting matched cloud infrastructure connections for secure off-channel secret generation
US9883388B2 (en) * 2012-12-12 2018-01-30 Intel Corporation Ephemeral identity for device and service discovery
US9460272B2 (en) * 2013-03-14 2016-10-04 Arris Enterprises, Inc. Method and apparatus for group licensing of device features
US9699185B2 (en) * 2014-01-31 2017-07-04 Panasonic Intellectual Property Management Co., Ltd. Unauthorized device detection method, unauthorized device detection server, and unauthorized device detection system
US9602486B2 (en) * 2014-03-31 2017-03-21 EXILANT Technologies Private Limited Increased communication security
US10552827B2 (en) 2014-09-02 2020-02-04 Google Llc Dynamic digital certificate updating
US9331989B2 (en) * 2014-10-06 2016-05-03 Micron Technology, Inc. Secure shared key sharing systems and methods
US20160156614A1 (en) 2014-11-28 2016-06-02 Hcl Technologies Limited Provisioning a device over an internet of things
US9635021B2 (en) * 2014-12-18 2017-04-25 Intel Corporation Trusted ephemeral identifier to create a group for a service and/or to provide the service
US10149156B1 (en) * 2015-12-18 2018-12-04 Amazon Technologies, Inc. Trusted caller identification
US10419226B2 (en) 2016-09-12 2019-09-17 InfoSci, LLC Systems and methods for device authentication
US9722803B1 (en) 2016-09-12 2017-08-01 InfoSci, LLC Systems and methods for device authentication

Also Published As

Publication number Publication date
EA036987B1 (ru) 2021-01-25
KR102390745B1 (ko) 2022-04-25
WO2018049116A1 (en) 2018-03-15
EA201990708A1 (ru) 2019-10-31
EP3510723A4 (en) 2020-06-17
US10021100B2 (en) 2018-07-10
CA3035921A1 (en) 2018-03-15
AU2017323547A1 (en) 2019-05-02
MX2019002625A (es) 2019-11-25
CN110169011A (zh) 2019-08-23
US10542002B2 (en) 2020-01-21
EP3510723A1 (en) 2019-07-17
US9722803B1 (en) 2017-08-01
KR20190067803A (ko) 2019-06-17
US20180077156A1 (en) 2018-03-15
US20180367533A1 (en) 2018-12-20

Similar Documents

Publication Publication Date Title
US10542002B2 (en) Systems and methods for device authentication
US20210350013A1 (en) Security systems and methods for continuous authorized access to restricted access locations
US10057269B1 (en) Systems and methods for device verification and authentication
US10419226B2 (en) Systems and methods for device authentication
US10057282B2 (en) Detecting and reacting to malicious activity in decrypted application data
US10367817B2 (en) Systems and methods for challengeless coauthentication
US10666642B2 (en) System and method for service assisted mobile pairing of password-less computer login
EP3258374B1 (en) Systems and methods for detecting and reacting to malicious activity in computer networks
CA2968051C (en) Systems and methods for authentication using multiple devices
US9197420B2 (en) Using information in a digital certificate to authenticate a network of a wireless access point
US20160125180A1 (en) Near Field Communication Authentication Mechanism
WO2016188335A1 (zh) 用户数据的访问控制方法、装置及系统
US20170257364A1 (en) Systems and methods for authentication using authentication votes
WO2019045914A1 (en) DEVICE AUTHENTICATION SYSTEMS AND METHODS
US20230308433A1 (en) Early termination of secure handshakes
CN118233193A (zh) 物联网设备的身份认证方法、密钥存储方法及装置

Legal Events

Date Code Title Description
RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7426

Effective date: 20200413

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200908

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200908

A761 Written withdrawal of application

Free format text: JAPANESE INTERMEDIATE CODE: A761

Effective date: 20210325