JP2020509625A - 乱数に基づくデータメッセージ認証 - Google Patents

乱数に基づくデータメッセージ認証 Download PDF

Info

Publication number
JP2020509625A
JP2020509625A JP2019536541A JP2019536541A JP2020509625A JP 2020509625 A JP2020509625 A JP 2020509625A JP 2019536541 A JP2019536541 A JP 2019536541A JP 2019536541 A JP2019536541 A JP 2019536541A JP 2020509625 A JP2020509625 A JP 2020509625A
Authority
JP
Japan
Prior art keywords
data
electronic device
random number
message
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2019536541A
Other languages
English (en)
Inventor
ベッカー,インゴルフ
シフマン,ジョシュア・セラテリ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hewlett Packard Development Co LP
Original Assignee
Hewlett Packard Development Co LP
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hewlett Packard Development Co LP filed Critical Hewlett Packard Development Co LP
Publication of JP2020509625A publication Critical patent/JP2020509625A/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/07User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail characterised by the inclusion of specific contents
    • H04L51/18Commands or executable codes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2129Authenticate client device independently of the user

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Power Engineering (AREA)
  • Databases & Information Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Information Transfer Between Computers (AREA)
  • Storage Device Security (AREA)

Abstract

本出願に記載される例は、乱数に基づいてデータメッセージを認証することに関する。一実施態様では、第1の電子デバイスが、データトランザクションメッセージと関連する第1の乱数を生成し、この第1の乱数を、データトランザクションメッセージの送信者として識別された第2の電子デバイスに送信する。第1の電子デバイスは、受信した認証メッセージを第1の乱数と比較して、データトランザクションメッセージの送信者を認証する。認証された場合、第1の電子デバイスは、データトランザクションメッセージに基づいて、データアクセス及びデータ更新のうちの少なくとも一方を含むデータ操作を実行する。【選択図】図1A

Description

認証方法は、ユーザ、ソフトウェアアプリケーション、及び/又は電子デバイスの同一性を検証するのに用いることができる。例えば、データ、ハードウェア、又はアプリケーションへのアクセス許可は、認証後に付与することができる。認証方法は、例えば、パスワード又はバイオメトリック情報を解析することができる。認証は、データ記憶アプリケーション及び検索アプリケーション等の種々のタイプのアプリケーションに用いることができる。
図面は、例示の実施形態を描写している。以下の詳細な説明は図面を参照する。
乱数に基づいてデータメッセージを認証する電子デバイスの1つの例を示すブロック図である。 乱数に基づいてデータ更新要求を認証するコンピューティングシステムの1つの例を示すブロック図である。 乱数に基づいてデータアクセス受信を認証するコンピューティングシステムの1つの例を示すブロック図である。 乱数に基づいてデータメッセージを認証する方法の1つの例を示すフローチャートである。 乱数に基づいてデータ記憶要求を認証する方法の1つの例を示すフローチャートである。 電子デバイスの間で通信して、データを更新するデータメッセージを乱数に基づいて認証する方法の1つの例を示す図である。 乱数に基づいてデータアクセス受信を認証する方法の1つの例を示すフローチャートである。 電子デバイスの間で通信して、データにアクセスするデータメッセージを乱数に基づいて認証する方法の1つの例を示す図である。
1つの実施態様では、電子デバイスは、乱数ノンスに基づいてデータトランザクションメッセージを認証する。例えば、データ更新要求、又はデータアクセス要求に対する応答を含むメッセージ等のデータトランザクションメッセージを送信するデバイスの同一性は、送信デバイスと受信デバイスとの間で送信された乱数を用いて認証することができる。1つの実施態様では、匿名メッセージングメールボックス等からのデータトランザクションメッセージにアクセスする第1の電子デバイスは、このデータトランザクションメッセージの送信者であると示された第2のデバイスを、示された送信デバイスに関連付けられたアドレスに送信された乱数と、この送信デバイスからの応答との比較に基づいて認証することができる。例えば、第1の電子デバイスは、データトランザクションメッセージに関連する第1の乱数を生成し、この第1の乱数を第2のデバイスに送信することができる。第1の電子デバイスは、乱数を含む受信認証メッセージを第1の乱数と比較して、第2の電子デバイスを認証することができる。認証された場合、第1の電子デバイスは、受信データトランザクションメッセージ内の命令に基づいて、データにアクセスする操作又はデータを更新する操作等のデータ操作を実行することができる。
データメッセージの送信者を認証する方法は、アプリケーションが互いに隔離され、匿名メールボックスシステムを介して通信するサンドボックス環境において通信のセキュリティを改善することができる。匿名メールボックスシステムは、双方向通信チャネルも長寿命通信チャネルも確立しないものとすることができ、アプリケーション識別子にアドレス指定可能な送信メッセージに依拠することができる。例えば、データメッセージの送信者の認証は、匿名メールボックスシステムにおけるアプリケーションのなりすましを検出するのに用いることができる。データの記憶及び/又は取り出しに関係したメッセージの送信元の認証は、データサービスプロバイダが複数のエンティティ及びユーザのアカウント又はデータベースを保持する場合にエンティティのデータを保護することができる。例えば、ユーザは、第1のアカウントに関連付けられているが第2のアカウントに関連付けられていないデータを記憶する許可又はこのデータにアクセスする許可を得ることができるが、第2のアカウントに関連付けられているデータを記憶する許可又はこのデータにアクセスする許可は得ることができない。
乱数を用いてデータトランザクションメッセージの送信元を検証することによって、データ更新のセキュリティの強化及びアクセスデータの信頼性の向上を図ることができる。乱数によって、データ関連メッセージの認証を、種々のタイプのメッセージングシステム及びプロトコルに追加することができる便利な方法でトランザクションごとに可能にすることができる。
図1Aは、乱数に基づいてデータメッセージを認証する電子デバイスの1つの例を示すブロック図である。電子デバイス101は、乱数に基づいて、データを更新し及び/又はデータにアクセスするデータ操作に関係したデータメッセージを認証することができる。電子デバイス101は、乱数に関係した情報を、データトランザクションメッセージの識別された送信元に関連付けられたメッセージングシステムに送信することができる。電子デバイス101は、送信した乱数に対する応答に基づいてデータトランザクションメッセージを認証することができる。電子デバイス101は、データアプリケーションを実行するクライアントに関連付けられた電子デバイス又はデータ記憶装置に対してデータの記憶及び/又は取り出しを行うデータサービスプロバイダ電子デバイス等の任意の適した電子デバイスとすることができる。電子デバイス101は、データをローカルに記憶及び処理することもできるし、データ記憶用の第2の電子デバイスとネットワーク等を介して通信することもできる。例えば、電子デバイス101は、データを管理するクラウドサービスの一部とすることもできるし、クラウドサービスと通信するクライアントデバイスとすることもできる。
1つの実施態様では、電子デバイス101は、匿名メールボックスシステム環境において動作する。例えば、各アプリケーションは、一意のアドレスを有することができ、メッセージは、一意のアドレスにアドレス指定されることによってアプリケーション間で受け渡すことができる。一例として、電子デバイス101は、受信者情報を有するメッセージを含む匿名メッセージングメールボックスからデータトランザクションメッセージを取り出すことができる。
電子デバイス101は、プロセッサ102及び機械可読記憶媒体103を備える。プロセッサ102は、中央処理装置(CPU)、半導体ベースのマイクロプロセッサ、又は命令の取り出し及び実行に適した他の任意のデバイスとすることができる。命令のフェッチ、デコード、及び実行の代わりに又はこれらに加えて、プロセッサ102は、以下で説明する機能を実行する複数の電子構成要素を備える1つ以上の集積回路(IC)又は他の電子回路を備えることができる。以下で説明する機能は、複数のプロセッサによって実行することができる。
プロセッサ102は、機械可読記憶媒体103と通信することができる。機械可読記憶媒体103は、実行可能命令又は他のデータを記憶する電子記憶デバイス、磁気記憶デバイス、光記憶デバイス、又は他の物理記憶デバイス等の任意の適した機械可読媒体(例えば、ハードディスクドライブ、ランダムアクセスメモリ、フラッシュメモリ等)とすることができる。機械可読記憶媒体103は、例えば、コンピュータ可読非一時的媒体とすることができる。機械可読記憶媒体103は、データトランザクション乱数生成命令104、乱数送信命令105、乱数比較に基づく認証命令106、及びデータ操作実行命令107を含むことができる。
データトランザクション乱数生成命令104は、データトランザクションメッセージと関連する第1の乱数を生成する命令を含むことができる。この乱数は、データトランザクションメッセージと関連する任意の適した予測不能な識別子とすることができる。データトランザクションメッセージは、任意の適した方法で第2の電子デバイスから受信することができる。データトランザクションメッセージは、データの記憶、削除、変更、及び/又はアクセスを行う要求等の任意の適した情報を含むことができる。
乱数送信命令105は、データトランザクションメッセージの送信者として識別された第2の電子デバイスに第1の乱数を送信する命令を含むことができる。例えば、電子デバイス101は、乱数を含むメッセージを、ネットワーク等を介して匿名メールボックスに送信することができる。第2の電子デバイスは、クライアントアプリケーションを実行するデバイス及び/又はデータサービスプロバイダに関連付けられたデバイス等の任意の適した電子デバイスとすることができる。第2の電子デバイスは、データを記憶若しくは送信し、及び/又は、データを更新若しくは受信する要求を送信する電子デバイスとすることができる。
乱数比較に基づく認証命令106は、受信した認証メッセージを第1の乱数と比較して、データトランザクションメッセージの送信者を認証する命令を含むことができる。電子デバイス101は、認証メッセージと乱数との比較に基づいて、データトランザクションメッセージの送信元を認証することができる。例えば、認証メッセージは、第2の電子デバイスに送信された第1の乱数と同じ乱数、又は、同じではないが第1の乱数と相関する乱数を含むことができる。
データ操作実行命令107は、認証動作が成功した場合に、データトランザクションメッセージに基づいてデータ操作を実行する命令を含むことができる。データ操作は、例えば、データトランザクションメッセージ内に含まれる情報を用いたデータアクセス及び/又はデータ更新とすることができる。
図1Bは、乱数に基づいてデータ更新要求を認証するコンピューティングシステム111の1つの例を示すブロック図である。コンピューティングシステム111は、第2の電子デバイス108からのデータトランザクションメッセージを認証する図1Aからの電子デバイス101を備える。例えば、電子デバイス101は、データサービスプロバイダとすることができ、第2の電子デバイス108は、データサービスプロバイダとのデータ記憶アカウントを有するクライアントデバイスとすることができる。1つの実施態様では、複数のエンティティに関連付けられたデータが、電子デバイス101に関連付けられたデータ記憶装置に記憶されるように、電子デバイス101は、複数の電子デバイスと通信するデータサービスプロバイダに関連付けられる。コンピューティングシステム111は、電子デバイス101、ネットワーク110、及びクライアント電子デバイス108を備えることができる。第2の電子デバイス108は、電子デバイス101によって記憶されたデータにアクセスし、及びこのデータを更新するクライアントアプリケーション109を備えることができる。クライアントアプリケーション109は、データを電子デバイスに送信して記憶し、及び/又はデータを電子デバイスから受信してこのデータにアクセスするアプリケーションとすることができる。電子デバイス101は、電子デバイス101と第2の電子デバイス108との間で交換される乱数に基づいて、第2の電子デバイス108からのデータ更新要求を認証することができる。
1つの実施態様では、第2の電子デバイス108は乱数ジェネレータを備える。例えば、第2の電子デバイス108は、第2の乱数を生成し、この第2の乱数を、電子デバイス101に関連付けられたアドレスに送信することができる。要求したデータ更新操作が実行されたことを第2の電子デバイス108が確かめることができるように、第2の認証メッセージを第2の乱数と比較し、電子デバイス101を認証することができる。
図1Cは、乱数に基づいてデータアクセス受信を認証するコンピューティングシステムの1つの例を示すブロック図である。コンピューティングシステム115は、第2の電子デバイス112からのデータトランザクションメッセージを認証する図1Aからの電子デバイス101を備える。例えば、電子デバイス101は、データサービスプロバイダを用いて、電子デバイス101上で動作しているクライアントアプリケーションに関係したデータを記憶するデバイスとすることができる。コンピューティングシステム115は、電子デバイス101、ネットワーク114、及び第2の電子デバイス112を備えることができる。第2の電子デバイス112は、データサービスプロバイダに関連付けることができ、データ記憶装置113を備えることもできるし、そうでない場合には、データ記憶装置113と通信することもできる。データ記憶装置113は、複数のエンティティ及び/又は電子デバイスに関連付けられたデータを記憶することができる。第2の電子デバイス112は、データをデータ記憶装置113に記憶し、データ記憶装置113から取り出すプロセッサを備えることができる。電子デバイス101は、電子デバイス101と第2の電子デバイス112との間で交換される乱数に基づいて、第2の電子デバイス112からのデータアクセスに対する応答を認証することができる。
1つの実施態様では、同じデバイスが、データ記憶機能及びデータアクセス機能を実行することができる。この電子デバイスは、第1のタイプのデータについてデータ記憶サービスを提供し、第2のタイプのデータについてリモートデータ記憶サービスを利用することができる。例えば、同じ電子デバイス101は、特定のデータトランザクションの状況に応じて、コンピューティングシステム111内に存在するように機能することができ、コンピューティングシステム115内に存在するように機能することができる。
図2は、乱数に基づいてデータメッセージを認証する方法の1つの例を示すフローチャートである。例えば、本方法は、データ記憶装置に対してデータの記憶及び取り出しを行う電子デバイスによって実施することができる。この電子デバイスは、記憶データの追加、削除、又は編集等によってデータ記憶装置内の情報を更新する要求に関係した情報を含むデータメッセージの送信元を認証することができる。1つの実施態様では、本方法は、電子デバイスがデータ記憶クラウドサービスを利用するエンティティに関連付けられている場合等には、記憶データにアクセスする要求に対する応答を受信する電子デバイスによって実施される。本方法は、例えば、図1A、図1B、及び/又は図1Cのコンピューティングシステムによって実施することができる。
200から開始して、電子デバイスは、データトランザクションメッセージと関連する第1の乱数を生成する。この乱数は、データトランザクションに関連付けられる任意の適した乱数とすることができる。電子デバイスは、この乱数を暗号化又は別の方法で処理することができる。プロセッサは、この乱数を後の認証に用いるために記憶することができる。
電子デバイスは、データトランザクションとともにメッセージを受信し又は取り出し、このデータトランザクションメッセージの送信元を認証するのに用いられる乱数を生成することができる。このメッセージは、データ操作の要求又はその後のデータトランザクションメッセージのデバイス送信元を示す通信の要求を含むことができる。1つの実施態様では、プロセッサは、匿名メールボックスからのメッセージの取り出しに応答して乱数を生成する。このメッセージは、送信クライアントアプリケーションデバイスについての情報を含むことができる。例えば、識別子、及び/又は、この識別子を求めるために用いることができる情報を含めることができる。
1つの実施態様では、電子デバイスは、アプリケーションの間で通信するための一意の識別子を決定し、ここで、識別子は、デバイス又はユーザに一意である。例えば、電子デバイスは、グローバル一意IDを作成して、種々のユーザに関連付けられたアプリケーションが互いになりすますことを防止することができる。電子デバイスは、メッセージ受信者のデバイス一意アプリケーション識別子を用い、このデバイス一意アプリケーション識別子を受信者デバイスの公開署名鍵のハッシュを用いて増強することでグローバル一意識別子を作成することができる。
201に進んで、電子デバイスは、データトランザクションメッセージの送信者として識別された第2の電子デバイスに第1の乱数を送信する。例えば、電子デバイスは、第2の電子デバイスに関連付けられた匿名メールボックスにメッセージを送信することができる。電子デバイスは、データトランザクションメッセージを送信したクライアントアプリケーション及び/又はデバイスの同一性を含むメッセージに付随した情報に基づいて第2の電子デバイスの同一性を判断することができる。
202に進んで、電子デバイスは、受信した認証メッセージを第1の乱数と比較して、データトランザクションメッセージの送信者を認証する。この認証メッセージは、電子デバイスから受信した乱数を含むことができる。例えば、電子デバイスは、乱数と、第2の電子デバイスへのリターン認証メッセージのアドレスについての情報とを送信することができる。電子デバイスは、第1の乱数と認証メッセージに含まれる第2の乱数とが同じである場合又は同じではないが相関する場合に、第2の電子デバイスを認証することができる。幾つかの実施態様では、電子デバイスは、比較に先立ち、第2の乱数及び/又は認証メッセージを解読し、又はこれらに対して他の処理を実行する。
203に進んで、第2の電子デバイスが認証された場合、本方法は204に進む。204において、電子デバイスは、データトランザクションメッセージに基づいて、データアクセス及び/又はデータ更新を含むデータ操作を実行する。1つの実施態様では、プロセッサは、データ記憶プロバイダに関連付けられており、データ操作は、第2の電子デバイスの更新許可によって、アカウントに関連付けられた記憶データを更新することを伴う。1つの実施態様では、プロセッサは、共有データ記憶装置を利用するエンティティに関連付けられており、データ操作は、データアクセス要求に対する応答にアクセスすることを伴う。
1つの実施態様では、第2の電子デバイスは、電子デバイスから受信したデータを認証する。例えば、電子デバイスは、第2の電子デバイスから第2の乱数を受信し、この第2の乱数に関する認証メッセージを、第2の電子デバイスに関連付けられたアドレスに送信することができる。第2の電子デバイスは、電子デバイスに送信した乱数を、受信した認証メッセージと比較して、データを送信し及び/又はステータス情報を提供した電子デバイスが正しいデバイスであると判断することができる。
図3は、乱数に基づいてデータ記憶要求を認証する方法の1つの例を示すフローチャートである。本方法は、図1Bのコンピューティングシステム内におけるような図1の電子デバイス101によって実施することができる。本方法は、データをデータ記憶装置に記憶する電子デバイスによって実施することができる。この電子デバイスは、他の複数の電子デバイスがこの電子デバイスにデータを送信し、この電子デバイスにデータを要求するようなクラウドサービスを提供することができる。この電子デバイスは、当該電子デバイスによって生成されて、データメッセージの送信者として識別された第2の電子デバイスに関連付けられた識別子に送信された乱数に基づいて、データトランザクションメッセージを認証することができる。第2の電子デバイスの認証は、データを記憶、更新、及び/又は削除する操作等の要求されたデータ操作を実行する前に行うことができる。
1つの実施態様では、更新を要求する第2の電子デバイスは、第2の乱数を電子デバイスに送信し、これに応答した認証メッセージをこの電子デバイスから受信する。第2の電子デバイスは、第2の乱数を用いて、電子デバイスからの、データ要求に対する応答を認証することができる。
トランザクションごとに乱数を用いてデータ要求を認証することによって、幾つかのサイバ攻撃の可能性を防止及び/又は削減することができる。例えば、この認証方法は、クライアントアカウントIDに取って代わって、認可されていないデータの更新及び/又は取り出しを実行する攻撃を防止することができる。
300から開始して、電子デバイスは、データ記憶更新要求及びアプリケーション識別情報を受信する。データ記憶更新要求は、データにアクセスする要求及び/又はデータを記憶、削除、若しくは変更する要求を含むことができる。この要求は、送信電子デバイス及びこの電子デバイスが直接通信する能力を有しないような場合に、この電子デバイスに関連付けられたメールボックスから受信することができる。例えば、メッセージを受信するメールボックスは、メッセージングシステムのセキュリティを改善することができる。データ記憶更新要求は、データ操作情報を後の時点に送信することができるように、操作要求を通信する要求及び/又は通信プロセスを開始する要求を含むことができる。
301に進んで、電子デバイスは、データ記憶更新要求と関連する第1の乱数を生成する。この乱数は、任意の適した方法で生成することができる。この乱数は、データ記憶更新要求を含むデータトランザクションメッセージの受信に応答して生成することができる。
302に進んで、電子デバイスは、アプリケーション識別情報に基づいて第1の乱数を第2の電子デバイスに送信する。例えば、アプリケーション識別情報は、直接用いることもできるし、受信者識別子情報を取り出すのに用いることもできる。1つの実施態様では、電子デバイスは、第1の乱数を含むメッセージをアプリケーションに関連付けられたメールボックスに送信する。
303に進んで、電子デバイスは、第1の乱数と受信した認証メッセージとの比較に基づいて第2の電子デバイスを認証する。例えば、電子デバイスは、第1の乱数と、認証メッセージの乱数又は他のコンテンツとが同じであるか否か、又は、同じではないが相関するか否かを判断することができる。電子デバイスは、アプリケーション識別情報を許可情報と比較して、規定されたユーザ及び/又はクライアントアプリケーションが要求されたデータ操作を実行する許可を有することを検証することができる。
304に進んで、第2の電子デバイスが認証された場合、本方法は305に進む。305において、電子デバイスは、要求に従ってデータ記憶更新操作を実行する。
1つの実施態様では、電子デバイスは、第2の乱数を含む第2のメッセージを第2の電子デバイスから受信する。電子デバイスは、要求されたデータ又はステータス更新を含むメッセージ内にあるような第2のメッセージのコンテンツを第2の電子デバイスに送信することができる。第2の電子デバイスは、受信した情報を用いて、電子デバイスの同一性を検証することができる。例えば、第2の電子デバイスは、電子デバイスが認証されない場合には、本方法を終了し及び/又はエラーメッセージを送信することができる。
図4は、電子デバイスの間で通信し、データを更新するデータメッセージを乱数に基づいて認証する方法の1つの例を示す図である。この図は、データサービスプロバイダデバイス401及びクライアントデバイス402の活動を含む。データサービスプロバイダデバイス401及びクライアントデバイス402は、匿名メールボックスシステムを用いて互いに通信することができる。
403から開始して、クライアントデバイス402は乱数Aを生成する。データ更新要求と関連する乱数Aを生成することができる。データ更新要求の受信者を認証する乱数Aを生成することもできる。
404に進んで、クライアントデバイス402は、生成した乱数Aと、クライアントデバイスに関連付けられた識別子と、データ操作要求メッセージとを送信する。データ操作要求は、データサービスプロバイダデバイス401によって管理されるデータ記憶装置においてデータを記憶、更新、及び/又は削除する要求を含むことができる。クライアントデバイス402は、この情報を、データサービスプロバイダデバイス401に関連付けられた匿名メールボックスに送信することができる。
405に進んで、データサービスプロバイダデバイス401は乱数Bを生成する。データサービスプロバイダデバイス401は、データ記憶要求を送信したデバイスの認証に用いるために乱数Bを生成することができる。
406に進んで、データサービスプロバイダ401は、乱数A及び乱数Bを、匿名メールボックスシステム等を介してクライアントデバイス402に送信する。データサービスプロバイダ401は、受信した乱数A及び生成した乱数Bを後の送信のために記憶することができる。データサービスプロバイダ401は、この情報を、クライアント識別子に基づいて求められた宛先に送信することができる。
407に進んで、クライアントデバイス402は、送信した乱数Aと乱数Aを含む受信した認証メッセージとの比較に基づいて、データサービスプロバイダデバイス401を認証することができる。
408に進んで、クライアントデバイス402は、受信した乱数Bを、データサービスプロバイダデバイス401に関連付けられたメールボックスを用いてデータサービスプロバイダデバイス401に送信する。例えば、クライアントデバイス402は、乱数A及び乱数Bを送信したデータサービスプロバイダ401の明示された同一性に基づいて求められたアドレスに乱数Bを送信することができる。
409に進んで、データサービスプロバイダデバイス401は、受信した乱数Bと、送信及び記憶した乱数Bとの比較に基づいて、クライアントデバイス402を認証する。1つの実施態様では、データサービスプロバイダデバイス401は、デバイス402が認証されない場合に、本方法を終了する。例えば、データサービスプロバイダデバイス401は、クライアントデバイス402が想定されたデバイスでないと判断することができる。
410に進んで、データサービスプロバイダデバイス401は、クライアント電子デバイス402が認証された場合に、クライアントデバイス402から受信した要求に基づいてデータ操作を実行する。この操作は、例えば、データを記憶すること及び/又は削除することを含むことができる。
図5は、乱数に基づいてデータアクセス受信を認証する方法の1つの例を示すフローチャートである。本方法は、記憶されたデータにアクセスする要求等のデータ操作の要求を行うデバイスによって実施することができる。このデバイスは、データ送信元が認証された場合に、受信したデータにアクセスし、このデータを利用することができる。幾つかの場合に、データ受信を認証する方法が、これよりも少ないステップを含むことができる。なぜならば、データプロバイダが、許可情報を判断し、データの送信を、要求されたデータのデータ許可に関連付けられた識別子を有するデバイスに制限することができる。本方法は、正当なデータサービスプロバイダになりすまして偽のデータを送信するデバイスに関係したサイバ攻撃の可能性を防止及び/又は低減することができる。本方法は、図1Cのコンピューティングシステム内におけるような図1の電子デバイス101によって実施することができる。
500から開始して、電子デバイスは、データアクセス要求と関連する乱数を生成する。例えば、データ要求と関連する乱数を生成することができる。電子デバイスは、この乱数を、受信したメッセージを認証するのに用いることができるように記憶することができる。
501に進んで、電子デバイスは、この乱数、データアクセス要求、及びアプリケーション識別情報を第2の電子デバイスに送信する。データアクセス要求は、データの特定のサブセットにアクセスする要求とすることができる。アプリケーション識別情報は、クライアント名又は他の情報を含むことができる。アプリケーション識別情報は、データアクセス許可及び取り出されたデータ宛先情報を特定するのに用いることができる。1つの実施態様では、電子デバイスは、メッセージを匿名メッセージングシステムに送信する。例えば、上記情報を含むデータメッセージを、対象のデータ送信元のデータサービスプロバイダに関連付けられたメールボックスに送信することができる。
502に進んで、電子デバイスは、データアクセス要求に関連付けられた認証メッセージ及びデータを受信する。例えば、電子デバイスは、この電子デバイスに関連付けられたメールボックスから認証メッセージ及びデータを取り出すことができる。
503に進んで、電子デバイスは、受信した認証メッセージを送信した乱数と比較することによって、受信したデータの送信者を認証する。認証メッセージが、送信した乱数と同じ乱数を含む場合、又は、同じではないが送信した乱数と相関する場合には、電子デバイスは、データアクセス要求に関連付けられた受信したデータが明示された送信者からのものであると判断することができる。
504に進んで、第2の電子デバイスが認証された場合には、本方法は505に進む。505において、電子デバイスは、データアクセス要求に関連付けられた受信したデータにアクセスする。例えば、クライアントデバイスは、第2の電子デバイスから受信したデータを記憶又は使用することもできるし、受信したデータを含むメッセージを読み取ることもできる。
図6は、電子デバイスの間で通信し、データにアクセスするデータメッセージを乱数に基づいて認証する方法の1つの例を示す図である。例えば、方法600は、データ記憶装置からのデータアクセスに関係したメッセージを認証するのに用いることができる。方法600は、データサービスプロバイダデバイス601及びクライアントデバイス602によって実行することができる。
603から開始して、クライアントデバイス602は乱数Aを生成する。乱数Aは、受信した応答の真正性が検証されるように、要求に応答してデータを提供するデータサービスプロバイダを認証するのに用いることができる。
604に進んで、クライアントデバイス602は、上記乱数と、データ要求と、クライアント識別子とをデータサービスプロバイダデバイス601に送信する。これらの情報は、任意の組み合わせ及び任意の順序等の任意の適した方法で送信することができる。
605に進んで、データサービスプロバイダデバイス601は、クライアント識別子を認証する。例えば、データサービスプロバイダデバイス601は、クライアントに関連付けられたエンティティが、要求されたデータにアクセスする許可を有するか否かを判断することができる。
606に進んで、データサービスプロバイダデバイス601は、クライアントデバイス602が要求されたデータにアクセスする許可を有すると判断された場合に、要求されたデータ及び乱数Aをクライアントデバイス602に送信する。
607に進んで、クライアントデバイス602は、受信した乱数Aを送信した乱数Aと比較することによって、受信したデータを認証する。例えば、これらの乱数が同じ場合、又は、同じではないが相関する場合、クライアントデバイス602は、受信したデータが、予想された送信元からのものであると判断することができる。
608に進んで、クライアントデバイス602は、受信したデータにアクセスする。例えば、クライアントデバイス602は、受信したデータを利用することができる。乱数を用いてデータトランザクション要求及び/又は応答を認証することによって、データ通信のセキュリティ及び信頼性を改善することができる。

Claims (15)

  1. 第1の電子デバイスを備えるコンピューティングシステムであって、
    前記第1の電子デバイスは、
    データトランザクションメッセージと関連する第1の乱数を生成し、
    前記データトランザクションメッセージの送信者として識別された第2の電子デバイスに前記第1の乱数を送信し、
    受信した認証メッセージを前記第1の乱数と比較して、前記データトランザクションメッセージの前記送信者を認証し、
    認証された場合に、前記データトランザクションメッセージに基づいて、データアクセス及びデータ更新のうちの少なくとも一方を含むデータ操作を実行する
    ものである、コンピューティングシステム。
  2. 前記第1の電子デバイスは、データ記憶プロバイダに関連付けられ、前記データ操作を実行することは、記憶されたデータを更新することを含む、請求項1に記載のコンピューティングシステム。
  3. 前記第1の電子デバイスは、
    第2の乱数を受信し、
    前記第2の乱数を前記第2の電子デバイスに送信する
    ことを更に行う、請求項2に記載のコンピューティングシステム。
  4. 前記データトランザクションメッセージは、データアクセス要求に対する応答を含み、前記データ操作を実行することは、データ記憶装置から取り出されたデータにアクセスすることを含む、請求項1に記載のコンピューティングシステム。
  5. 前記認証メッセージを受信することは、前記第1の電子デバイスに関連付けられた匿名メッセージングメールボックスにアクセスすることを含む、請求項1に記載のコンピューティングシステム。
  6. 前記第1の電子デバイスは、アプリケーション識別情報を前記第2の電子デバイスに送信することを更に行う、請求項1に記載のコンピューティングシステム。
  7. 前記第1の電子デバイスは、前記第1の電子デバイスに関連付けられたデバイス識別子とアプリケーション識別子とを集約したものに基づいて、アプリケーション識別情報を作成することを更に行う、請求項1に記載のコンピューティングシステム。
  8. 第1の電子デバイスによって、データ記憶更新要求及びアプリケーション識別情報を受信するステップと、
    前記データ記憶更新要求と関連する第1の乱数を生成するステップと、
    前記アプリケーション識別情報に基づいて、前記第1の乱数を第2の電子デバイスに送信するステップと、
    前記第1の乱数と受信した認証メッセージとの比較に基づいて、前記第2の電子デバイスを認証するステップと、
    認証された場合に、前記要求に従ってデータ記憶更新操作を実行するステップと
    を含んでなる方法。
  9. 第2の乱数を含む第2の認証メッセージを受信するステップと、
    前記アプリケーション識別情報に基づいて、前記第2の乱数を含む前記第2の認証メッセージを前記第2の電子デバイスに送信するステップと
    を更に含む、請求項8に記載の方法。
  10. 前記第2の電子デバイスは、
    前記第2の認証メッセージを受信し、
    前記第2の認証メッセージを前記第2の乱数と比較し、
    前記第2の認証メッセージを送信するか否かを前記比較に基づいて判断する
    ものである、請求項9に記載の方法。
  11. 前記アプリケーション識別情報と比較される前記データ記憶更新に関連付けられた許可情報を求めるステップを更に含む、請求項8に記載の方法。
  12. 前記データ記憶更新要求を受信するステップは、匿名メールボックスにアクセスすることを含む、請求項8に記載の方法。
  13. 第1の電子デバイスのプロセッサによって実行可能な命令を含む機械可読非一時的記憶媒体であって、
    データアクセス要求と関連する乱数を生成する命令と、
    前記乱数、前記データアクセス要求、及びアプリケーション識別情報を第2の電子デバイスに送信する命令と、
    前記データアクセス要求に関連付けられた認証メッセージ及びデータを受信する命令と、
    前記受信した認証メッセージを前記送信した乱数と比較することによって、前記受信したデータの送信者を認証する命令と、
    認証された場合に、前記データアクセス要求に関連付けられた前記受信したデータにアクセスする命令と
    を含むものである、機械可読非一時的記憶媒体。
  14. 前記送信者を認証する命令は、前記第1の電子デバイスに関連付けられたアカウントを用いてデータ記憶プロバイダを認証することを含む、請求項13に記載の機械可読非一時的記憶媒体。
  15. 前記第1の電子デバイスに送信する命令は、匿名メッセージングシステムを用いて送信する命令を含む、請求項13に記載の機械可読非一時的記憶媒体。
JP2019536541A 2017-03-07 2017-03-07 乱数に基づくデータメッセージ認証 Pending JP2020509625A (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/US2017/021171 WO2018164673A1 (en) 2017-03-07 2017-03-07 Data message authentication based on a random number

Publications (1)

Publication Number Publication Date
JP2020509625A true JP2020509625A (ja) 2020-03-26

Family

ID=63448023

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019536541A Pending JP2020509625A (ja) 2017-03-07 2017-03-07 乱数に基づくデータメッセージ認証

Country Status (7)

Country Link
US (1) US20210203650A1 (ja)
EP (1) EP3545457A4 (ja)
JP (1) JP2020509625A (ja)
KR (1) KR102228744B1 (ja)
CN (1) CN110168550A (ja)
BR (1) BR112019014039A2 (ja)
WO (1) WO2018164673A1 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US12014740B2 (en) 2019-01-08 2024-06-18 Fidelity Information Services, Llc Systems and methods for contactless authentication using voice recognition
US12021864B2 (en) * 2019-01-08 2024-06-25 Fidelity Information Services, Llc. Systems and methods for contactless authentication using voice recognition
US11171904B1 (en) 2020-05-06 2021-11-09 International Business Machines Corporation Message authentication using generative adversarial networks

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0652109A (ja) * 1992-07-29 1994-02-25 Toshiba Corp メッセージ通信のセキュリティ方式
JP2006155074A (ja) * 2004-11-26 2006-06-15 Hitachi Ltd アクセス制御システム
JP2007080058A (ja) * 2005-09-15 2007-03-29 Ntt Docomo Inc 外部メモリ管理装置、及び外部メモリ管理方法
JP2011215688A (ja) * 2010-03-31 2011-10-27 Mizuho Information & Research Institute Inc データベースアクセスシステム及び方法
JP2016099765A (ja) * 2014-11-20 2016-05-30 アプリックスIpホールディングス株式会社 アプリケーション認証システム、無線通信システム、管理サーバ、および、認証情報発行方法

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100954636B1 (ko) * 2001-10-30 2010-04-27 파나소닉 주식회사 상호인증 및 콘텐츠 보호를 위한 방법, 시스템 및 장치
AU2003244310A1 (en) * 2002-06-19 2004-03-11 Advanced Computer Systems, Inc. Inter-authentication method and device
JP2005065192A (ja) * 2003-08-20 2005-03-10 Nippon Telegr & Teleph Corp <Ntt> 端末間の相互認証方法及び端末
US9191215B2 (en) * 2003-12-30 2015-11-17 Entrust, Inc. Method and apparatus for providing authentication using policy-controlled authentication articles and techniques
US8060915B2 (en) * 2003-12-30 2011-11-15 Entrust, Inc. Method and apparatus for providing electronic message authentication
US7721093B2 (en) * 2004-04-02 2010-05-18 Microsoft Corporation Authenticated exchange of public information using electronic mail
US8245270B2 (en) * 2005-09-01 2012-08-14 Microsoft Corporation Resource based dynamic security authorization
NO324315B1 (no) * 2005-10-03 2007-09-24 Encap As Metode og system for sikker brukerautentisering ved personlig dataterminal
US20070299920A1 (en) * 2006-06-27 2007-12-27 Crespo Arturo E Anonymous Email Address Management
CN101431413B (zh) * 2007-11-08 2012-04-25 华为技术有限公司 进行认证的方法、系统、服务器及终端
JP2009276916A (ja) * 2008-05-13 2009-11-26 Sony Corp 通信装置、通信方法、リーダライタ及び通信システム
US8752153B2 (en) * 2009-02-05 2014-06-10 Wwpass Corporation Accessing data based on authenticated user, provider and system
JP5822078B2 (ja) * 2010-06-25 2015-11-24 日本電気株式会社 機密情報漏洩防止システム、機密情報漏洩防止方法及び機密情報漏洩防止プログラム
US8850595B2 (en) * 2012-07-05 2014-09-30 Reliance Communications, Inc. Private anonymous electronic messaging
KR101938332B1 (ko) * 2012-07-11 2019-01-14 캠프모바일 주식회사 이동통신 단말기 인증 방법, 이를 수행하는 서비스 서버, 이동통신 단말기 및 컴퓨터로 판독 가능한 기록매체
US20150081476A1 (en) * 2013-09-17 2015-03-19 Geoff Rego Anonymizing buyer identity during comprehensive product evaluations and vendor research
CN106512398B (zh) * 2016-12-06 2021-06-18 腾讯科技(深圳)有限公司 虚拟场景中的提醒方法及相关装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0652109A (ja) * 1992-07-29 1994-02-25 Toshiba Corp メッセージ通信のセキュリティ方式
JP2006155074A (ja) * 2004-11-26 2006-06-15 Hitachi Ltd アクセス制御システム
JP2007080058A (ja) * 2005-09-15 2007-03-29 Ntt Docomo Inc 外部メモリ管理装置、及び外部メモリ管理方法
JP2011215688A (ja) * 2010-03-31 2011-10-27 Mizuho Information & Research Institute Inc データベースアクセスシステム及び方法
JP2016099765A (ja) * 2014-11-20 2016-05-30 アプリックスIpホールディングス株式会社 アプリケーション認証システム、無線通信システム、管理サーバ、および、認証情報発行方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
DAVIES, D. W. AND PRICE, W. L., ネットワーク・セキュリティ, JPN6020042261, 5 December 1985 (1985-12-05), pages 128 - 129, ISSN: 0004532469 *

Also Published As

Publication number Publication date
EP3545457A4 (en) 2020-07-29
EP3545457A1 (en) 2019-10-02
WO2018164673A1 (en) 2018-09-13
US20210203650A1 (en) 2021-07-01
CN110168550A (zh) 2019-08-23
BR112019014039A2 (pt) 2020-02-04
KR20190091511A (ko) 2019-08-06
KR102228744B1 (ko) 2021-03-16

Similar Documents

Publication Publication Date Title
US11303449B2 (en) User device validation at an application server
US20230224167A1 (en) Access control method based on zero-trust security, device, and storage medium
US10911438B2 (en) Secure detection and management of compromised credentials using a salt and a set model
US9692743B2 (en) Securing organizational computing assets over a network using virtual domains
US10324774B2 (en) Kernel program including relational database, and method and apparatus for executing said program
US8196186B2 (en) Security architecture for peer-to-peer storage system
WO2017036310A1 (zh) 验证信息的更新方法及装置
US20080010673A1 (en) System, apparatus, and method for user authentication
JP2015525932A (ja) ログイン検証の方法、クライアント、サーバ、およびシステム
KR102137122B1 (ko) 보안 체크 방법, 장치, 단말기 및 서버
CN112688773A (zh) 一种令牌的生成和校验方法及装置
US11757877B1 (en) Decentralized application authentication
WO2016188335A1 (zh) 用户数据的访问控制方法、装置及系统
US7234060B1 (en) Generation and use of digital signatures
US10904243B2 (en) Authenticate a first device based on a push message to a second device
CN115473655B (zh) 接入网络的终端认证方法、装置及存储介质
KR102228744B1 (ko) 난수에 기초한 데이터 메시지 인증
JP2022534677A (ja) ブロックチェーンを使用するオンラインアプリケーションおよびウェブページの保護
US20060200667A1 (en) Method and system for consistent recognition of ongoing digital relationships
WO2022193494A1 (zh) 权限控制方法及服务器、终端、存储介质和计算机程序
CN112565156B (zh) 信息注册方法、装置和系统
CN117157623A (zh) 结合容器化应用程序使用时保护秘密的系统和方法
CN116506190A (zh) 一种登录认证方法、系统、装置及计算机存储介质
CN115150831A (zh) 入网请求的处理方法、装置、服务器及介质
CN116232648A (zh) 认证方法、装置、网关设备及计算机可读存储介质

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190826

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200930

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20201105

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210114

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20210401

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210629

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210906

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20220301