JP2021507580A - コンピューティング・デバイス、データを保護する方法、およびコンピュータ・プログラム - Google Patents

コンピューティング・デバイス、データを保護する方法、およびコンピュータ・プログラム Download PDF

Info

Publication number
JP2021507580A
JP2021507580A JP2020531723A JP2020531723A JP2021507580A JP 2021507580 A JP2021507580 A JP 2021507580A JP 2020531723 A JP2020531723 A JP 2020531723A JP 2020531723 A JP2020531723 A JP 2020531723A JP 2021507580 A JP2021507580 A JP 2021507580A
Authority
JP
Japan
Prior art keywords
discrete logarithm
user device
pass code
computing device
predetermined number
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2020531723A
Other languages
English (en)
Other versions
JP7300800B2 (ja
Inventor
チェン、イーチュン
チー、ウェイ、ピン
ハン、シャオ、ユアン
ワン、ティン、イー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JP2021507580A publication Critical patent/JP2021507580A/ja
Application granted granted Critical
Publication of JP7300800B2 publication Critical patent/JP7300800B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3215Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a plurality of channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2103Challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】ユーザを認証する方法およびシステムを提供する。【解決手段】リソースの要求は、ユーザ・デバイスから受信される。事前に定められた数字が受信される。第1の数字および第2の数字が作成される。第1の数字および事前に定められた数字に基づいた第1の離散対数が決定され、第2の数字と一緒にユーザ・デバイスに送信される。第2の離散対数は、ユーザ・デバイスから受信される。第1のパス・コードは、第2の離散対数、第1の数字、および事前に定められた数字に基づいて、第3の離散対数を介して計算される。第2のパス・コードは、第1の離散対数、第3の数字、および事前に定められた数字に基づいて、第4の離散対数を介して受信される。第1のパス・コードが第2のパス・コードと同一であると決定すると、ユーザ・デバイスは、コンピューティング・デバイスと関連付けられたリソースへアクセスすることを許可される。【選択図】図4

Description

本開示は、概して電子通信に関し、より詳細には、電子通信を介して伝送されるデータを保護することに関する。
近年、デジタル・データにおけるセキュリティの懸案が増加している。影響を受ける産業の一部には、銀行業、医療、政府組織、教育機関、ソーシャル・メディアなどが含まれる。多くの従来システムは、ユーザの身元を確認するために静的パスワードに依存し、これは時には、ソーシャル・エンジニアリング戦略を通じた推測または決定が容易である。
改善されたセキュリティ戦略は、2要素認証に基づく。例えば、ウェブサイトは、ユーザに自分のユーザ名または携帯電話番号を入力させ得る。ユーザ名または携帯電話番号が登録されている場合、ウェブサイトは、ユーザのユーザ・デバイスに、ユーザがウェブサイトに手動で提供することを促されるパスワードの入った、ショート・メッセージ・サービス(SMS)テキスト・メッセージなどのテキスト・メッセージを送信する。次いで、ウェブサイトは、ユーザ・デバイスに送信したパスワードを、ユーザが入力したパスワードと比較する。それらが一致した場合、ユーザは、認証されていると見なされ、ログインされる。
SMSを使用する既存のシステムにはいくつかの欠点がある。2要素認証はセキュリティを向上させるために使用されるが、大半のユーザ・デバイスは、ハッキングおよびマルウェアに対して適切に保護されていないことが近年判明している。例えば、本明細書ではまとめて悪意のある者と称される、脅威行為者、ハッカー、または攻撃者は、対象とするユーザに気付かれることなくSMS通信を傍受または盗聴することができる。異なる言い方をすると、SMSは、サーバとユーザ・デバイスとの間のアクティブ・トランザクションに依存しており、これは傍受される得るため、ユーザをセキュリティ・リスクにさらす。したがって、まさにユーザを安全に守ることを意図したメッセージが、脆弱性の源になり得る。本開示は、これらの懸案および他の懸案に関して記載されている。
したがって、前述の問題に対処する必要性が当該技術分野にはある。
本発明は、ユーザを認証する方法およびシステムを提供することを目的とする。
第1の態様から見ると、本発明は、プロセッサと、ネットワークを介した通信を可能にするためにプロセッサに結合されるネットワーク・インターフェースと、プロセッサに結合される記憶デバイスと、記憶デバイスに記憶されるセキュリティ・エージェント・ソフトウェアとを備える、コンピューティング・デバイスであって、プロセッサによるソフトウェアの実行が、ユーザ・デバイスからリソースの要求を受信することと、ユーザ・デバイスから事前に定められた数字(p)を受信することと、第1の数字(c)および第2の数字(g)を作成することと、第1の数字(c)および事前に定められた数字(p)に基づいて第1の離散対数を決定することと、第1の離散対数および第2の数字(g)をユーザ・デバイスに送信することと、ユーザ・デバイスから、ユーザ・デバイスによって生成される第3の数字(s)、事前に定められた数字(p)、および第2の数字(g)に基づいて、第2の離散対数を受信することと、第2の離散対数、第1の数字(c)、および事前に定められた数字(p)に基づいて、第3の離散対数を介した第1のパス・コード(R)を計算することと、第1の離散対数、第3の数字(s)、および事前に定められた数字(p)に基づいて、第4の離散対数を介した第2のパス・コード(R)をユーザ・デバイスから受信することと、第1のパス・コード(R)を第2のパス・コード(R)と比較することと、第1のパス・コード(R)が第2のパス・コード(R)と同一であると決定すると、ユーザ・デバイスが前記リソースにアクセスすることを許可することと、を含む行為を実施するようにコンピューティング・デバイスを構成する、コンピューティング・デバイスを提供する。
さらなる態様から見ると、本発明は、プロセッサと、ネットワークを介した通信を可能にするためにプロセッサに結合されるネットワーク・インターフェースと、プロセッサに結合される記憶デバイスと、記憶デバイスに記憶されるセキュリティ・エージェント・ソフトウェアとを備える、コンピューティング・デバイスであって、プロセッサによるソフトウェアの実行が、コンピューティング・デバイスからサーバへ、リソースの要求を送信することと、事前に定められた数字(p)をサーバに送信することと、(i)第1の数字(c)および事前に定められた数字(p)に基づいた第1の離散対数ならびに(ii)第2の数字(g)をサーバから受信することと、第3の数字(s)を生成することと、第3の数字(s)、事前に定められた数字(p)、および第2の数字(g)に基づいて第2の離散対数を決定することと、第2の離散対数をサーバに送信することと、第1の離散対数、第3の数字(s)、および事前に定められた数字(p)に基づいて、第4の離散対数を介した第2のパス・コード(R)を計算することと、第2のパス・コード(R)を、第2の離散対数、第1の数字(c)、および事前に定められた数字(p)に基づいた第1のパス・コード(R)との比較のためにサーバに送信することと、第2のパス・コード(R)が第1のパス・コード(R)と同一であると、安全なリソースへのアクセスを受信することと、を含む行為を実施するようにコンピューティング・デバイスを構成する、コンピューティング・デバイスを提供する。
さらなる態様から見ると、本発明は、データを保護するための方法であって、ユーザ・デバイスからリソースの要求を受信することと、ユーザ・デバイスから事前に定められた数字(p)を受信することと、第1の数字(c)および第2の数字(g)を作成することと、第1の数字(c)および事前に定められた数字(p)に基づいて第1の離散対数を決定することと、第1の離散対数および第2の数字(g)をユーザ・デバイスに送信することと、ユーザ・デバイスから、ユーザ・デバイスによって生成される第3の数字(s)、事前に定められた数字(p)、および第2の数字(g)に基づいて、第2の離散対数を受信することと、第2の離散対数、第1の数字(c)、および事前に定められた数字(p)に基づいて、第3の離散対数を介した第1のパス・コード(R)を計算することと、第1の離散対数、第3の数字(s)、および事前に定められた数字(p)に基づいて、第4の離散対数を介した第2のパス・コード(R)をユーザ・デバイスから受信することと、第1のパス・コード(R)を第2のパス・コード(R)と比較することと、第1のパス・コード(R)が第2のパス・コード(R)と同一であると決定すると、ユーザ・デバイスがリソースにアクセスすることを許可することと、を含む、方法を提供する。
さらなる態様から見ると、本発明は、プロセッシング回路によって読み取り可能であり、本発明のステップを実施するための方法を実施するためのプロセッシング回路による実行のための命令を記憶する、コンピュータ可読記憶媒体を備える、データを保護するためのコンピュータ・プログラム製品を提供する。
さらなる態様から見ると、本発明は、コンピュータ可読媒体に記憶され、デジタル・コンピュータの内部メモリ内へ読み込み可能であるコンピュータ・プログラムであって、プログラムがコンピュータ上で実行されるとき、本発明のステップを実施するためのソフトウェア・コード部分を含む、コンピュータ・プログラムを提供する。
様々な実施形態によると、コンピューティング・デバイス、非一過性のコンピュータ可読記憶媒体、および方法は、ユーザを認証するために提供される。リソースの要求は、ユーザ・デバイスから受信される。事前に定められた数字(p)が、ユーザ・デバイスから受信される。第1の数字(c)および第2の数字(g)が作成される。第1の離散対数は、第1の数字(c)および事前に定められた数字(p)に基づいて決定される。第1の離散対数および第2の数字(g)は、ユーザ・デバイスに送信される。第2の離散対数は、ユーザ・デバイスから、ユーザ・デバイスによって生成される第3の数字(s)、事前に定められた数字(p)、および第2の数字(g)に基づいて、ユーザ・デバイスから受信される。第1のパス・コード(R)は、第2の離散対数、第1の数字(c)、および事前に定められた数字(p)に基づいて、第3の離散対数を介して計算される。第2のパス・コード(R)は、第1の離散対数、第3の数字(s)、および事前に定められた数字(p)に基づいて、第4の離散対数を介して、ユーザ・デバイスから受信される。第1のパス・コード(R)は、第2のパス・コード(R)と比較される。第1のパス・コード(R)が第2のパス・コード(R)と同一であると決定すると、ユーザ・デバイスは、リソースにアクセスすることが許可される。
1つの実施形態において、コンピューティング・デバイスによる事前に定められた数字(p)の受信は、第1の離散対数および第2の数字(g)をユーザ・デバイスに送信するチャネルとは異なるチャネルを介する。
1つの実施形態において、第1の離散対数は、(g mod p)に基づき、第2の離散対数は、(g mod p)に基づき、第3の離散対数は、((g mod p) mod p)に基づき、第4の離散対数は、((g mod p) mod p)に基づく。
様々な実施形態によると、コンピューティング・デバイス、非一過性のコンピュータ可読記憶媒体、および方法は、ユーザを認証するために提供される。リソースの要求は、コンピューティング・デバイスからサーバへ送信される。事前に定められた数字(p)は、サーバに送信される。以下:(i)第1の数字(c)および事前に定められた数字(p)に基づいた第1の離散対数ならびに(ii)第2の数字(g)は、サーバから受信される。第3の数字(s)は、コンピューティング・デバイスによって生成される。第2の離散対数は、第3の数字(s)、事前に定められた数字(p)、および第2の数字(g)に基づいて決定される。第2の離散対数は、サーバに送信される。第2のパス・コード(R)は、第1の離散対数、第3の数字(s)、および事前に定められた数字(p)に基づいて、第4の離散対数を介して計算される。第2のパス・コード(R)は、第2の離散対数、第1の数字(c)、および事前に定められた数字(p)に基づいた第1のパス・コード(R)との比較のためにサーバに送信される。第2のパス・コード(R)が第1のパス・コード(R)と同一であると、コンピューティング・デバイスは、安全なリソースへのアクセスを受信する。
1つの実施形態において、コンピューティング・デバイスによる事前に定められた数字(p)の送信は、サーバから第1の離散対数および第2の数字(g)を受信するチャネルとは異なるチャネルを介する。
1つの実施形態において、第1の離散対数は、(g mod p)に基づき、第2の離散対数は、(g mod p)に基づき、第3の離散対数は、((g mod p) mod p)に基づき、第4の離散対数は、((g mod p) mod p)に基づく。
図面は、例示的な実施形態のものである。それらは、すべての実施形態を例示するわけではない。他の実施形態が、追加で、または代わりに、使用され得る。明白または不必要であり得る詳細事項は、スペースを節約するため、またはより効果的な例示のために、省略され得る。いくつかの実施形態は、追加の構成要素もしくはステップを用いて、または例示されるすべての構成要素もしくはステップなしに、あるいはその両方で実践され得る。同じ番号が異なる図面に登場する場合、それは、同じまたは同様の構成要素またはステップを指す。
安全な多要素認証を提供するための例となる構造100を例示する図である。 例示的なユーザ・デバイスの様々な構成要素を高レベルで示すブロック図である。 チャレンジ・レスポンス・モードの状況での、セキュリティ・サーバのセキュリティ・エージェントとユーザ・デバイスとの間の例となるコール・フローを示す図である。 インタラクティブ・モードの状況での、セキュリティ・サーバのセキュリティ・エージェントとユーザ・デバイスとの間の例となるコール・フローを示す図である。 コンピュータ・ハードウェア・プラットフォームの機能ブロック図解である。
以下の詳細説明において、多数の特定の詳細事項は、関連教示の徹底的な理解を提供するために例として明記される。しかしながら、本教示は、そのような詳細事項がなくとも実践され得ることは明白であるものとする。他の場合では、周知の方法、手順、構成要素、または回路あるいはその組合せは、本教示の態様を不必要に不明瞭にすることを避けるために、詳細事項なしに、比較的高レベルで説明されている。
本開示は、電子通信を介して伝送されるデータを保護することに関する。データは、認証プロセス中のデータの脆弱性を、認証中の電子通信が悪意のある者によって傍受される場合でさえも低減する多要素認証により保護される。保護されるべきデータを記憶するサーバ、ならびに保護されたデータを求めるユーザ・デバイスの両方は、認証プロセス中にデジタル通信を通じて伝送されるメッセージが、保護されるべきデータのセキュリティを危険にさらさないとしても、同じパス・コードを決定することができる。そのため、認証を実施するサーバは、要求者ユーザのユーザ・デバイスにパス・コードを送信しない。むしろ、サーバによって知られている認証に関連したパラメータの少なくとも部分は、サーバにより秘密が保たれ、ユーザ・デバイスによって知られている認証に関連したパラメータの少なくとも部分は、ユーザ側で秘密が保たれる。本明細書内で論じられる概念のおかげで、パス・コードは、サーバとユーザ・デバイスとの間の通信が悪意のある第三者によって傍受されるとしても保護される。これより、添付の図面に例示され、以下に論じられる例について詳細に言及する。
例となる構造
図1は、安全な多要素認証を提供するための例となる構造100を例示する。構造100は、ネットワーク106を含み、このネットワーク106は、様々なユーザ・デバイス102(1)〜102(n)が、互いに、および、ユーザが保護しようとする情報を記憶するために使用され得る、銀行、政府組織、医療ポータル、教育機関、ソーシャル・メディア・ポータルなどを含む、ネットワーク106に接続され得る任意の他のリソースと、通信することを可能にする。これらの機関およびポータルは、本明細書では、セキュリティ・サーバ120を有するプライベート・ネットワーク108として表される。
ネットワーク106は、限定することなく、ローカル・エリア・ネットワーク(「LAN」)、仮想プライベート・ネットワーク(「VPN」)、セルラ・ネットワーク、公衆交換電話網(PTSN)、インターネット、またはそれらの組合せであり得る。例えば、ネットワーク106は、様々なアプリケーション・ストア、ライブラリ、およびインターネットとの通信など、様々な付随的なサービスを提供するプライベート・ネットワークに通信可能に結合されるモバイル・ネットワークを含み得る。本議論を促進するため、ネットワーク106は、制限としてではなく、単に例として、広範なモバイル通信サービスおよび付帯サービスまたは特徴をその加入者顧客および関連モバイル・デバイス・ユーザに提供するためにキャリアまたはサービス・プロバイダによって運営され得るような、モバイル・ネットワークとして説明される。
ネットワーク106は、1人または複数のユーザ101(1)〜101(n)が、それぞれそのユーザ・デバイス(UD)102(1)〜102(n)を通じて、安全にプライベート・ネットワークから情報を取得する、またはそこに情報を記憶するために、1つまたは複数のプライベート・ネットワーク108と通信することを可能にする。上で述べたように、これらのプライベート・ネットワーク108は、ユーザが加入中であり得る異なる機関およびポータルのネットワークを表し得る。プライベート・ネットワーク108は、セキュリティ・エージェント103によって表される、セキュリティ・サーバ120を含み、このセキュリティ・サーバ120は、この上で実行するソフトウェア・アプリケーションを有する。1つの実施形態において、プライベート・ネットワークは、プライベート・ネットワーク108を使用することが認証されているユーザの申込み、支払い状況情報、パスワード情報、識別情報など、およびユーザのそれぞれの保護データ113を含み得るプロファイル・データベース110を含む。1つの実施形態において、セキュリティ・エージェント103は、ユーザ・デバイスの識別(ID)番号などの事前に定められた数字111Aを、プロファイル・データベース110に記憶し得る。記憶された情報は、次いで、認証プロセス中にプロファイル・データベース110から取得111Bされ得る。
後の議論の目的のため、いくつかのユーザ・デバイスは、プライベート・ネットワーク108との通信を開始するために使用され得るデバイスのうちのいくつかの例を表すために図面に登場する。今日では、ユーザ・デバイスは、典型的には、携帯用ハンドセット、スマートフォン、タブレット・コンピュータ、パーソナル・デジタル・アシスタント(PDA)、仮想現実(VR)デバイス、拡張現実(AR)デバイス、およびスマート・ウォッチの形態をとるが、それらは、コンシューマ・デバイスおよび商用電子デバイスを含む、他の形態因子で実装されてもよい。ユーザ・デバイス(例えば、102(1))は、セキュリティ・サーバ120と関連付けられたレポジトリ112内の保護データ113を取得すること、およびそこに保護データ113を記憶することを含め、プライベート・ネットワーク108によって提供される1つまたは複数のリソースを受信するために、ネットワーク106を通じてプライベート・ネットワーク108と対話するために使用され得る。
いくつかのシナリオにおいて、ユーザ101(n)およびそれらの対応するユーザ・デバイス102(n)によって図1に表される悪意のある者は、認証されたユーザ(例えば、101(1)または101(2))間の通信を不正行為により傍受しようとし得、これは、ネットワーク106などを通じて通信を電子的に傍受して、認証されたユーザ101(2)のユーザ・デバイス102(2)上の通信を盗聴することのように単純であり得る。構造100は、悪意のある者102(n)による傍受にもかかわらず、保護されることが意図されるデータ113のセキュリティを維持するように構成される。
そのために、セキュリティ・エージェント103は、データ・レポジトリ112内の保護データ113と1人または複数のユーザ101(1)〜101(n)との間のゲートウェイとなるように動作する。例えば、セキュリティ・エージェント103は、ユーザから、それらのそれぞれのユーザ・デバイスを介して、プライベート・ネットワーク108内(例えば、データ・レポジトリ112内)に記憶された(または記憶されることが意図される)データの要求を受信するように構成される。セキュリティ・エージェント103はまた、そのユーザが、後でより詳細に論じられる認証プロセスを介してプライベート・ネットワーク108と通信することを認証されているかどうかを決定するように構成される。様々な実施形態において、セキュリティ・エージェントによって実施される認証プロセスは、ユーザ・デバイス(例えば、102(1))にパス・コードを送信すること、およびそこからパス・コードを受信することを含み得る。例えば、セキュリティ・エージェント103は、ユーザ・デバイス102(1)から事前に定められた数字を受信し得、これは後に、本明細書では離散対数と称される、モジュラ指数に基づいたデータ難読化のために使用され得る。
離散対数は、巡回性である乗法群のコンテキスト内での対数である。例えば、Gが乗法巡回群であり、gがGのジェネレータである場合、巡回群の定義から、G内のすべての要素hは、何らかのxについてはgと書かれ得る。群G内のhの底gに対する離散対数は、xであると定義される。離散対数は、既知のパラメータに基づいて計算され得る一方、ルート・パラメータは、難読化されて、離散対数の固有のパラメータを、解読するのを計算的に困難にする。
いくつかの実施形態において、プライベート・ネットワーク108の情報にアクセスすることを試みているユーザが認証されていないことを決定すると、セキュリティ・アラーム(すなわち、警告通知)が発せられ、1つまたは複数の適切な受信者アカウントに送信され得る。適切な受信者は、保護データ113のアカウント保持者(すなわち、ユーザ)、プライベート・ネットワーク108のITアドミニストレータ、プライベート・ネットワーク108のセキュリティ・エージェントなどであり得る。警告通知は、ショート・メッセージ・サービス(SMS)を使用する共通ショート・コード(CSC)、マルチメディア・メッセージ・サービス(MMS)、Eメール、電話、ソーシャル・メディアなど、様々なやり方で送信され得る。
セキュリティ・サーバ120、プロファイル・データベース110、およびデータ・レポジトリ112は、異なるプラットフォーム上にあるように例として例示されるが、様々な実施形態において、セキュリティ・サーバ120、プロファイル・データベース110、およびデータ・レポジトリ112は、様々な組合せで組み合わされ得ることを理解されたい。他の実施形態において、これらのコンピューティング・プラットフォームは、クラウド内でホストされる仮想マシンまたはソフトウェア・コンテナの形態で仮想コンピューティング・デバイスによって実装され得、それにより処理および記憶のための融通性のある構造を提供する。
例となるユーザ・デバイス
図1の状況において論じられるように、構造100のデータ・セキュリティ・システムは、異なるタイプのユーザ・デバイスを含み得る。そのため、図2は、例示的なユーザ・デバイス200の様々な構成要素を高レベルで示すブロック図を例示する。議論の目的のため、例示は、ユーザ・デバイス200をワイヤレス・コンピューティング・デバイスの形態で示すが、他のコンピューティング・デバイスも同様に企図されることを理解されたい。
ユーザ・デバイス200は、1つまたは複数のアンテナ202;セルラ、Wi−Fi(登録商標)通信、近距離通信技術、または有線通信あるいはその組合せのためのトランシーバ204;ユーザ・インターフェース206;1つまたは複数のプロセッサ208;ハードウェア210;およびメモリ216を含み得る。いくつかの実施形態において、アンテナ202は、基地局に無線信号を送信するアップリンク・アンテナ、および基地局から無線信号を受信するダウンリンク・アンテナを含み得る。いくつかの他の実施形態において、単一のアンテナが、無線信号の送信および受信の両方を行い得る。同じまたは他のアンテナが、Wi−Fi(登録商標)通信のために使用され得る。これらの信号は、デジタル・データを受信および伝送するように構成される、時としてまとめてネットワーク・インターフェースと称されるトランシーバ204によって処理され得る。1つの実施形態において、ユーザ・デバイス200は、アンテナ202を含まず、外部構成要素との通信は、有線通信を介する。
1つの実施形態において、ユーザ・デバイス200は、ユーザが入力を提供し、ユーザ・デバイス200からの出力を受信することを可能にするユーザ・インターフェース206を含む。例えば、ユーザ・インターフェース206は、セキュリティ・サーバ120のセキュリティ・エージェント103からの通知を通信するために使用され得るデータ出力デバイス(例えば、視覚的なディスプレイ、音声スピーカ、ハプティック・デバイスなど)を含み得る。
ユーザ・インターフェース206は、1つまたは複数のデータ入力デバイスも含み得る。データ入力デバイスは、限定されるものではないが、キーパッド、キーボード、マウス・デバイス、タッチ・スクリーン、マイクロフォン、発話認識パッケージ、および任意の他の好適なデバイス、または他の電子/ソフトウェア選択インターフェースのうちの1つまたは複数の組合せを含み得る。例えば、データ入力デバイスは、ユーザがセキュリティ・サーバのセキュリティ・エージェントに通信される要求およびコードを入力するために使用され得る。
ユーザ・デバイス200は、1つまたは複数のプロセッサ208を含み得、これは、シングルコア・プロセッサ、マルチコア・プロセッサ、複合命令セット・コンピューティング(CISC)プロセッサ、または別のタイプのプロセッサであり得る。
ハードウェア210は、電源、およびシングルコアまたはマルチコア・プロセッサを含み得るデジタル信号プロセッサ(DSP)を含み得る。ハードウェア210は、周辺構成要素と対話する通信インターフェースを含む、高速通信インターフェースを管理するネットワーク・プロセッサも含み得る。ネットワーク・プロセッサおよび周辺構成要素は、スイッチング・ファブリックによって繋がれ得る。ハードウェア210は、ハードウェア・デコーダおよびエンコーダ、ネットワーク・インターフェース・コントローラ、またはUSBコントローラあるいはその組合せをさらに含み得る。
メモリ216は、コンピュータ記憶媒体などのコンピュータ可読媒体を使用して実装され得る。記憶媒体は、コンピュータ可読命令、データ構造、プログラム・モジュール、または他のデータなどの情報の記憶のための任意の方法または技術において実装される揮発性および不揮発性のリムーバルおよび非リムーバル媒体を含む。コンピュータ記憶媒体は、限定されるものではないが、RAM、ROM、EEPROM、フラッシュ・メモリもしくは他のメモリ技術、CD−ROM、デジタル多用途ディスク(DVD)、高精細ビデオ記憶ディスク、もしくは他の光学記憶装置、磁気カセット、磁気テープ、磁気ディスク記憶装置、もしくは他の磁気記憶デバイス、またはコンピューティング・デバイスによるアクセスのための情報を記憶するために使用され得る任意の他の非伝送媒体を含む。
メモリ216は、ユーザ・デバイス200のプロセッサ208およびコントローラによって実行可能またはアクセス可能である様々なソフトウェア構成要素またはモジュールを記憶し得る。メモリ216の様々な構成要素は、ソフトウェア218およびオペレーティング・システム250を含み得る。ソフトウェア218は、様々なアプリケーション220を含み得る。ソフトウェア218は、いくつかのモジュールを有するセキュリティ・アプリケーション240も含み得る。各モジュールは、タスクを実施する、または抽象データ・タイプを実装するルーチン、プログラム命令、オブジェクト、またはデータ構造あるいはその組合せを含み得る。
例えば、ユーザ・デバイス200のセキュリティ・アプリケーション240は、後により詳細に論じられる、ユーザ・デバイスによって知られているパラメータに基づいて離散型アルゴリズムを決定するように動作する計算モジュール242を含み得る。セキュリティ・エージェント103と通信するために使用されるユーザ・デバイスの識別コードを決定するように動作するコード識別モジュール244が存在してもよい。ユーザ・デバイス200がセキュリティ・エージェント103とデータを交換するように動作する対話モジュール248が存在してもよい。
オペレーティング・システム250は、ユーザ・デバイス200が、様々なインターフェース(例えば、ユーザ制御、通信インターフェース、またはメモリ入力/出力デバイスあるいはその組合せ)を介してデータを受信することおよび伝送すること、ならびにプロセッサ208を使用してデータを処理して出力を生成することを可能にする構成要素を含み得る。オペレーティング・システム250は、出力を提示する(例えば、ユーザ・デバイス200の電子ディスプレイ上にデータを表示する、メモリ216にデータを記憶する、別の電子デバイスにデータを伝送するなど)提示構成要素を含み得る。加えて、オペレーティング・システム250は、オペレーティング・システム250と概して関連付けられた様々な追加機能を実施する他の構成要素を含み得る。
例となるプロセス
構造100および例となるユーザ・デバイス200の前述の概観と共に、コール・フローの形態にある例となるプロセスの高レベルの議論をこれより検討することが有用であり得る。そのために、図3および図4は、セキュリティ・サーバ120のセキュリティ・エージェントとユーザ・デバイス102との間の例示的なコール・フロー300および400をそれぞれ提示する。具体的には、コール・フロー300は、チャレンジ・レスポンス・モードを説明し、コール・フロー400は、例示的な実施形態と一致する、セキュリティ・サーバとユーザ・デバイスとの間のインタラクティブ・モードを説明する。
コール・フロー300および400は、ハードウェア、ソフトウェア、またはその組合せで実装され得る一連の動作を表す、論理フローチャートにおけるプロセスの集合として例示される。ソフトウェアのコンテキストでは、本プロセスは、1つまたは複数のプロセッサによって実行されるとき、列挙された動作を実施するコンピュータ実行可能命令を表す。一般的に、コンピュータ実行可能命令は、機能を実施する、または抽象データ・タイプを実装するルーチン、プログラム、オブジェクト、構成要素、データ構造、および同様のものを含み得る。動作が説明される順序は、制限として解釈されることは意図されず、任意の数の説明された動作は、任意の順序で組み合わされる、またはプロセスを実行するために並行して実施される、あるいはその両方であり得る。議論の目的のため、プロセス300および400は、図1の構造100を参照して説明される。
コール・フロー300では、ユーザ(例えば、ユーザ・デバイス102のオペレータ)は、セキュリティ・サーバ120によって保護されるリソースへのアクセスを得るためにセキュリティ・サーバ120と対話する。例えば、ユーザ・デバイス102は、セキュリティ・サーバ120から安全なデータを取得する、またはそこに安全なデータを記憶することができ、このデータは、ハードウェアまたはソフトウェアに記憶され得る。セキュリティ・サーバ120によって保護されるリソースへのアクセスを提供するため、ユーザ・デバイス102は、以下に説明されるチャンレンジ・レスポンス・プロセスにより、セキュリティ・サーバによって認証される。
ステップ312において、ユーザ・デバイス102は、事前に定められた数字(s)をセキュリティ・サーバ120に送信し、これは、セキュリティ・サーバ120によって好適なメモリに記憶され得る。様々な実施形態において、事前に定められた数字は、ユーザ・デバイス102の識別番号(例えば、コード)であり得る。1つの実施形態において、ステップ312における通信は、PSTNを介さないチャネルを介する。PSTNは、典型的には、電話サービスに関連し、電話線、マイクロ波伝送リンク、セルラ・ネットワークなどを含む。PSTNの代わりに、インターネット・プロトコル電話および伝送制御プロトコル/インターネット・プロトコル(TCP/IP)などの技術が使用される。TCP/IPチャネルは、PC、タブレット、IOT、および他のデバイスのための共通インターネット・プロトコルである。したがって、通信は、ウェブサイトを介してセキュリティ・サーバ120によって受信され得る。
例えば、事前に定められた数字(s)は、ユーザ・デバイス102の識別番号、またはユーザの生体識別子あるいはその両方であり得る(それによりハードウェア保護の層を提供する)。1つの実施形態において、本明細書では時にはパラメータ(s)と称される事前に定められた数字(s)は、銀行などのプライベート・ネットワーク108の地方支店に直接訪れて、ユーザ・デバイス102の識別番号を第1のパラメータ(s)として提供することによってセキュリティ・サーバ120に登録される。例えば、ユーザは、セキュリティ・サーバ120のプライベート・ネットワーク108の地方支店にある端末を介してパラメータ(s)を手動で入力し得る。他のシナリオでは、ユーザは、ブルートゥース(登録商標)、Wi−Fi(登録商標)、近接通信(NFC)、または他の好適な十分に安全な通信技術などの、近距離通信技術を介して自らの情報を伝送するために自らのユーザ・デバイス102を使用し得る。1つの実施形態において、セキュリティ・サーバ120は、事前に定められた数字(s)をプロファイル・データベース110に記憶して、後にユーザの第1の要素認証を提供するために、プロファイル・データベース110と対話する。
ステップ313において、セキュリティ・サーバ120は、プライベート・ネットワーク108のリソースの要求を受信する。例えば、ユーザ・デバイス102のオペレータは、プライベート・ネットワーク108のデータ・レポジトリ112に情報を記憶する、またはそこから情報を取得することを望み得る。
ステップ314において、セキュリティ・サーバ120は、本明細書では時には第1のチャレンジ・コードと称される第1の数字(p)、および第2の数字(g)を作成する。1つの実施形態において、第1の数字(p)は、素数である。第1の数字(p)は、ユーザ・デバイス102からの認証要求に応答してユーザ・デバイス102に送信される。1つの実施形態において、第1の数字(p)は、PSTNチャネルを介して、またはhttps(または別のウェブ・プロトコル)を介して送信される。
ステップ316において、セキュリティ・サーバ120は、第2の数字(g)を作成する。1つの実施形態において、第2の数字(g)は、第1の数字(p)よりも小さい(例えば、2または5)。第2の数字(パラメータ)gは、コンピューティング・デバイスの計算能力によって制限され得ることに留意されたい。異なる言い方をすると、gが大きすぎる場合、本明細書に提供される等式から結果を計算することは困難である(そうでないとしても不可能に近い)。1つの実施形態において、gは、素数である。計算能力が増大すると、パラメータpは、5よりも大きい素数になり得る。セキュリティ・サーバ120はまた、本明細書では時には第2のチャレンジ・コードと称されるチャレンジ・コード(c)を作成する。1つの実施形態において、チャレンジ・コード(c)は、第2の数字(g)よりも大きい数字である。1つの実施形態において、チャレンジ・コード(c)は、ユーザ・デバイス102の検証の成功の度に変化する。
セキュリティ・サーバ120は、チャレンジ・コード(c)および第1の数字(p)に基づいて第1の離散対数を決定する。第1の離散対数は、以下の表現によって提供される。
上の表現に基づいた第1の離散対数は、ステップ314における第1の数字(p)の伝送とは異なるチャネルを介してユーザ・デバイス102に送信される。例えば、パラメータpは、SMSによって転送され得る。したがって、ブロック330によって示されるように、セキュリティ・サーバ120は、このとき、パラメータs、p、g、およびcを知っている。パラメータgおよびcは、ユーザ・デバイス102に明示的に伝送されない。したがって、ブロック332に示されるように、ユーザ・デバイス102は、パラメータsおよびpのみを知っている。
ステップ318および320において、それぞれセキュリティ・サーバ120およびユーザ・デバイス102の両方が、第1の離散対数、事前に定められた数字(s)、および第1の数字(p)に基づいて第2の離散対数を介した第1のパス・コードRをそれぞれ計算する。様々な実施形態において、計算は、セキュリティ・サーバ120およびユーザ・デバイス102によって、同時に(例えば、時間を節約するため)、または連続的に実施され得る。1つの実施形態において、第2の離散対数は、以下の表現によって提供される。
したがって、セキュリティ・サーバ120は、これが第2の離散型アルゴリズムのすべての関連パラメータ(すなわち、s、p、g、およびc)を有することが理由で、パス・コードR(すなわち、第1のパス・コードRとして)を計算することができる。ユーザ・デバイス102は、以前にセキュリティ・サーバ120から第1の離散対数を受信しており、パラメータsおよびpを知っているため、ユーザ・デバイス102は、パス・コードR(すなわち、第2のパス・コードRとして)を決定することができる。
ステップ322において、セキュリティ・サーバ120は、ユーザ・デバイス102から第2のパス・コードRを受信し、それを、セキュリティ・サーバ120が計算した第1のパス・コードRと比較する。第1のパス・コードRが第2のパス・コードRと同一であると決定すると、セキュリティ・サーバ120は、セキュリティ・サーバ120の要求されたリソースへのアクセスをユーザ・デバイス102に提供する。例えば、セキュリティ・サーバ120は、このとき、データ・レポジトリ112から保護データを取得し、それを、ネットワーク106を通じてユーザ・デバイス102に送信することができる。
第1のパス・コードRが第2のパス・コードRと同一でないと決定すると、セキュリティ・サーバ120は、ユーザ・デバイス102を認証されていないと識別する。1つの実施形態において、セキュリティ・サーバ120は、適切な受信者に警告通知を送信する。
したがって、プロセス300のチャレンジ・レスポンス・モードでは、パラメータgおよびcは、セキュリティ・サーバ120によって秘密が保たれる。パス・コードRは、3つすべてのパラメータp、s、およびcが不正アクセスされない限りは、悪意のある者から安全に守られる。さらに、異なる通信チャネルが、認証プロセス中のパラメータのうちのいくつかの転送のために使用され得る。そのような手法は、悪意のある者が構造100のシステムに不正アクセスすることの難度を劇的に増大させる。
これより、例示的な実施形態と一致する、セキュリティ・サーバ120とユーザ・デバイス102との間のインタラクティブ・モードのコンテキストにおけるコール・フロー400を例示する図4について言及する。コール・フロー400では、ユーザは、セキュリティ・サーバ120によって保護されるリソースへのアクセスを得るためにセキュリティ・サーバ120と対話する。セキュリティ・サーバ120によって保護されるリソースへのアクセスを提供するため、ユーザ・デバイス102は、以下に説明されるインタラクティブ・モード・プロセスにより、セキュリティ・サーバによって認証される。
ステップ410において、ユーザ・デバイス102は、事前に定められた数字(p)をセキュリティ・サーバ120に送信し、これは、セキュリティ・サーバ120によってプライベート・ネットワーク108の好適なメモリに記憶され得る。1つの実施形態において、ステップ412における通信は、PSTNを介さないチャネルを介する。例えば、TCP/IPなどの技術が、データ・セキュリティの理由から使用される。したがって、通信は、ウェブサイトを介してセキュリティ・サーバ120によって受信され得る。他の実施形態において、事前に定められた数字(p)は、ユーザ・デバイス102の識別番号、またはユーザの生体識別子あるいはその両方であり得る(それによりハードウェア保護の層を提供する)。
1つの実施形態において、本明細書では時には第1のパラメータ(p)と称される事前に定められた数字(p)は、銀行などのプライベート・ネットワーク108の地方支店に直接訪れて、ユーザ・デバイス102の識別番号を第1のパラメータ(p)として提供することによってセキュリティ・サーバ120に登録される。例えば、ユーザは、セキュリティ・サーバ120のプライベート・ネットワーク108の地方支店にある端末を介してパラメータ(p)を手動で入力し得る。他のシナリオでは、ユーザは、ブルートゥース(登録商標)、Wi−Fi(登録商標)、NFCなどの近距離通信技術を介して自らの事前に定められた数字(p)情報を伝送するために自らのユーザ・デバイス102を使用し得る。
ステップ412において、セキュリティ・サーバ120は、プライベート・ネットワーク108のリソースの要求を受信する。例えば、ユーザ・デバイス102のオペレータは、プライベート・ネットワーク108のデータ・レポジトリ112に情報を記憶する、またはそこから情報を取得することを望み得る。
ステップ414において、セキュリティ・サーバ120は、第1の数字(c)および第2の数字(g)を作成する。1つの実施形態において、第1の数字(c)は、第2の数字(g)よりも大きい。セキュリティ・サーバ120は、第1の数字(c)、第2の数字(g)、および事前に定められた大きい数字(p)に基づいて第1の離散対数を決定する。第1の離散対数は、以下の表現によって提供される。
第2の数字(g)および第1の離散対数は、ユーザ・デバイス102からのプライベート・ネットワーク108のリソースの要求に応答して、ユーザ・デバイス102に送信される。1つの実施形態において、第2の数字(g)および第1の離散対数は共に、PSTNチャネルを介して、またはhttps(または別のウェブ・プロトコル)を介して、同じデジタル・データ・パケット内で送信される。
ステップ416において、ユーザ・デバイス102は、第3の数字(s)を生成する。1つの実施形態において、第3の数字(s)は、第2の数字(g)よりも大きい。ユーザ・デバイス102はまた、受信した第2の数字(g)、生成した第3の数字(s)、および事前に定められた数字(p)に基づいて第2の離散対数を決定する。第2の離散対数は、以下の表現によって提供される。
上の表現に基づいた第2の離散対数は、ユーザ・デバイス102からセキュリティ・サーバ120によって受信される。
ステップ418および420において、セキュリティ・サーバ120およびユーザ・デバイス102は、それぞれ第1のパス・コードRおよび第2のパス・コードRを計算する。セキュリティ・サーバ120によって決定される第1のパス・コードRは、第2の離散対数(ステップ416において、ユーザ・デバイス102から受信される)、第1の数字(c)、およびステップ410において受信される事前に定められた数字(p)に基づく。第2のパス・コード内で固有なのは、第2の離散対数によって隠されるパラメータ(s)である。1つの実施形態において、第1のパス・コードRは、以下に提供される第3の離散対数の表現によって提供される。
対照的に、ユーザ・デバイス102によって決定される第2のパス・コードRは、第1の離散対数(ステップ414において、セキュリティ・サーバ120から受信される)、第3の数字(s)、および事前に定められた数字(p)に基づく。1つの実施形態において、第2のパス・コードRは、以下に提供される第4の離散対数の表現に基づく。
ステップ422において、セキュリティ・サーバ120は、ユーザ・デバイス102から第2のパス・コードRを受信し、それを、セキュリティ・サーバ120が以前に計算した第1のパス・コードRと比較する。第1のパス・コードRが第2のパス・コードRと同一であると決定すると、セキュリティ・サーバ120は、プライベート・ネットワーク108の要求されたリソースへのアクセスをユーザ・デバイス102に提供する。例えば、セキュリティ・サーバ120は、このとき、データ・レポジトリ112から保護データを取得し、それを、ネットワーク106を通じてユーザ・デバイス102に送信することができる。
第1のパス・コードRが第2のパス・コードRと同一でないと決定すると、セキュリティ・サーバ120は、ユーザ・デバイス102を認証されていないと識別する。1つの実施形態において、セキュリティ・サーバ120は、適切な受信者に警告通知を送信する。
したがって、プロセス400のインタラクティブ・モードでは、パラメータcは、セキュリティ・サーバ120によって秘密が保たれる。第1および第2のパス・コードRおよびRは、悪意のある者から安全が守られる。さらに、異なる通信チャネルが、認証プロセス中のパラメータのうちのいくつかの転送のために使用され得、悪意のある者が構造100のシステムに不正アクセスすることの難度が劇的に増大される。
例となるコンピュータ・プラットフォーム
上で論じられるように、安全な多要素認証を提供することに関連した機能は、図1に示されるように、ならびに図3および図4のコール・フロー300および400に従って、ワイヤレスまたは有線通信を介してデータ通信のために接続される1つまたは複数のコンピューティング・デバイスの使用により実施され得る。ユーザ・デバイス200の形態にある例示的なコンピューティング・デバイスが、図2に関して上で論じられている。図5は、安全な多要素認証を提供することができるコンピュータ・ハードウェア・プラットフォームの機能ブロック図解を提供する。具体的には、図5は、図1のセキュリティ・サーバ120などのサーバを実装するために使用され得るような、ネットワークまたはホスト・コンピュータ・プラットフォーム500を例示する。
コンピュータ・プラットフォーム500は、システム・バス502に接続される、中央処理装置(CPU)504、ハード・ディスク・ドライブ(HDD)506、ランダム・アクセス・メモリ(RAM)または読み取り専用メモリ(ROM)508あるいはその両方、キーボード510、マウス512、ディスプレイ514、および通信インターフェース516を含み得る。
1つの実施形態において、HDD506は、本明細書に説明される様式で、セキュリティ・エージェント540などの、様々なプロセスを実行することができるプログラムを記憶することを含む能力を有する。セキュリティ・エージェント540は、異なる機能を実施するように構成される様々なモジュールを有し得る。
例えば、ユーザ・デバイスからプライベート・ネットワークのリソースの要求を受信するように動作する対話モジュール542が存在してもよい。対話モジュール542はまた、ユーザ・デバイスから様々なパラメータを受信すること、およびそこにパラメータを送信することができる。対話モジュール542はまた、多要素認証プロセス内の第1のステップとしてユーザのプロファイル情報を取得するためにプロファイル・データベースと対話し得る。保護されるべきデータが別個のデータ・レポジトリ内にある実施形態において、対話モジュール542は、そのようなレポジトリと通信して、データ・レポジトリから関連データを取得し、ユーザが認証されていると確認すると、それを対応するユーザに送信することができる。
1つの実施形態において、認証プロセス中に様々な離散対数およびパス・コードを計算するように動作する計算モジュール546が存在する。計算モジュール546はまた、第1のパス・コードRが第2のパス・コードRと同一であるかどうかを決定するために使用され得る。
1つの実施形態において、認証プロセス中に使用され得る様々なチャレンジ・コードを生成するように動作するチャレンジ・コード・モジュール548が存在する。1つの実施形態において、チャレンジ・コードは、認証されたユーザとのトランザクションの度に変化する。異なる言い方をすると、チャレンジ・コードは、認証されたユーザとの対話の成功の度に使い尽くされる。
1つの実施形態において、ユーザ・デバイスによって提供されるパス・コードが、セキュリティ・エージェントによって計算されるパス・コードに対応すると決定すると、ユーザ・デバイスのオペレータがプライベート・ネットワーク108のリソースを受信することを許可するように動作する認証モジュール550が存在する。
1つの実施形態において、プライベート・ネットワークへのアクセスを要求しているユーザが認証されていないと決定すると、適切な受信者に警告するように動作する通知モジュール556が存在する。適切な受信者は、アカウント保持者(すなわち、ユーザ)、プライベート・ネットワークのITアドミニストレータ、プライベート・ネットワークのセキュリティ・エージェントなどであり得る。
1つの実施形態において、Apache(登録商標)などのプログラムが、ウェブ・サーバなどのシステムを動作させるために記憶され得る。1つの実施形態において、HDD506は、JVM(Java(登録商標)仮想マシン)を実現するためのJava(登録商標)Runtime Environmentプログラムのためのものなど、1つまたは複数のライブラリ・ソフトウェア・モジュールを含む実行アプリケーションを記憶することができる。
結論
本教示の様々な実施形態の説明は、例示の目的のために提示されているが、徹底的であること、または開示される実施形態に限定されることは意図されない。多くの修正形態および変異形態が、説明された実施形態の範囲から逸脱することなく、当業者には明らかであるものとする。本明細書に使用される用語は、実施形態の原理、実践的応用、もしくは市場で見られる技術に勝る技術的改善を最もよく説明するため、または当業者が本明細書に開示される実施形態を理解することを可能にするために選択された。
前述は、最良の状態または他の例あるいはその両方であると見なされることを説明しているが、様々な修正がそこで行われ得ること、ならびに本明細書に開示される主題が様々な形態および例で実施され得ること、ならびに本教示が、様々な応用において適用され得、それらの一部のみが本明細書に説明されていることを理解されたい。以下の特許請求項によって、本教示の真の範囲内に入るありとあらゆる応用、修正形態、および変異形態を特許請求することが意図される。
本明細書で論じられている構成要素、ステップ、特徴、物体、利益、および利点は、単に例示にすぎない。それらのいずれも、またはそれらに関連する議論も、保護の範囲を制限することは意図されない。様々な利点が本明細書で論じられているが、すべての実施形態が必ずしもすべての利点を含むとは限らないということを理解されたい。別途記載のない限り、以下に続く特許請求項を含む本明細書内に明記されるすべての測定値、値、評点、位置、大きさ、サイズ、および他の仕様は、おおよそであり、厳密ではない。それらは、それらが関連する機能と、およびそれらに関連する分野において慣習となっていることと一致する妥当な範囲を有することが意図される。
多数の他の実施形態もまた、企図される。それらは、より少ない、追加の、または異なるあるいはその組合せの、構成要素、ステップ、特徴、物体、利益、および利点を有する実施形態を含む。これらはまた、構成要素またはステップあるいはその両方が、異なって配置される、または順序付けされる、あるいはその両方である実施形態を含む。
本開示の態様は、本開示の実施形態に従う方法、装置(システム)、およびコンピュータ・プログラム製品のフローチャート図解またはブロック図あるいはその両方を参照して本明細書に説明される。フローチャート図解またはブロック図あるいはその両方の各ブロック、およびフローチャート図解またはブロック図あるいはその両方におけるブロックの組合せは、コンピュータ可読プログラム命令によって実施され得ることを理解されたい。
これらのコンピュータ可読プログラム命令は、コンピュータまたは他のプログラム可能なデータ・プロセッシング装置のプロセッサを介して実行する命令が、フローチャートまたはブロック図あるいはその両方のブロックにおいて指定される機能/行為を実施するための手段を作成するべく、マシンを生み出すために、汎用コンピュータ、専用コンピュータ、または他のプログラム可能なデータ・プロセッシング装置のプロセッサに提供され得る。これらのコンピュータ可読プログラム命令はまた、コンピュータ可読記憶媒体に記憶され得、コンピュータ、プログラム可能なデータ・プロセッシング装置、または他のデバイスあるいはその組合せに、命令が記憶されているコンピュータ可読記憶媒体が、フローチャートまたはブロック図あるいはその両方のブロックにおいて指定される機能/行為の態様を実施する命令を含む製品を備えるべく、ある様式で機能するように指示することができる。
コンピュータ可読プログラム命令はまた、コンピュータ、他のプログラム可能なデータ・プロセッシング装置、または他のデバイス上に読み込まれて、コンピュータ、他のプログラム可能な装置、または他のデバイス上で実行する命令が、フローチャートまたはブロック図あるいはその両方のブロックにおいて指定される機能/行為を実施するべく、コンピュータ、他のプログラム可能な装置、または他のデバイス上で実施されるべき一連の動作ステップにコンピュータ実装プロセスを生み出させ得る。
本明細書の図内のフローチャートおよびブロック図は、本開示の様々な実施形態に従うシステム、方法、およびコンピュータ・プログラム製品の考えられ得る実装形態の構造、機能性、および動作を例示する。この点に関して、フローチャートまたはブロック図内の各ブロックは、指定された論理機能を実装するための1つまたは複数の実行可能な命令を含む、モジュール、セグメント、または命令の部分を表し得る。いくつかの代替的な実装形態において、ブロック内に記される機能は、図に記される順序から外れて発生し得る。例えば、連続して示される2つのブロックは、実際には、実質的に同時に実行され得、または、これらのブロックは、時には、関与する機能性に応じて、逆の順序で実行され得る。ブロック図またはフローチャート図解あるいはその両方の各ブロック、およびブロック図またはフローチャート図解あるいはその両方におけるブロックの組合せは、指定された機能もしくは行為を実施する、または専用ハードウェアおよびコンピュータ命令の組合せを実行する専用ハードウェア・ベースのシステムによって実施され得ることにも留意されたい。
前述は、例示的な実施形態と併せて説明されているが、用語「例示的」は、最良または最適ではなく、単に例を意味するということを理解されたい。直前で述べた場合を除き、記載または例示されていることは、任意の構成要素、ステップ、特徴、物体、利益、利点、または等価物について、それが特許請求項内に列挙される、されないにかかわらず、それらの発明の開放を引き起こすことは意図されない、またはそのように解釈されるべきではない。
本明細書で使用される用語および表現は、特定の意味が本明細書内に別途明記されている場合を除き、探究および研究のそれらの対応するそれぞれの分野に関してそのような用語および表現にふさわしい、そのままの通常の意味を有するということを理解されたい。第1の、および第2の、などの関係性の用語は、単に1つのエンティティまたは行動を別のものから区別するために、そのようなエンティティまたは行動間の任意の実際のそのような関係または順序を必ずしも要求または示唆することなく、使用され得る。用語「備える(comprise)」、「備えること(comprising)」、またはその任意の他の変異形は、要素のリストを含むプロセス、方法、物品、または装置が、それらの要素だけを含むのではなく、そのようなプロセス、方法、物品、または装置に明示的に列挙されない、またはそれらに固有でない他の要素も含み得るように、非排他的な包含を網羅することが意図される。「1つの(a)」または「1つの(an)」の後に続く要素は、さらなる制約なしに、その要素を含むプロセス、方法、物品、または装置内の追加の同一要素の存在を除外しない。
本開示の要約は、読者が本技術開示の性質を素早く解明することを可能にするために提供される。これは、特許請求の範囲または意味を解釈または制限するために使用されるものではないという理解のもとに提出される。加えて、前述の発明を実施するための形態においては、本開示を簡素化する目的で、様々な特徴が、様々な実施形態内にまとめられることが分かる。このような開示の方法は、特許請求される実施形態が、各特許請求項内に明白に列挙されるよりも多くの特徴を有するという意図を反映するものとして解釈されるべきではない。むしろ、以下の特許請求項が示すとき、発明の主題は、単一の開示された実施形態のすべての特徴よりも少なくなっている。したがって、これによって以下の特許請求項の範囲は、各請求項が別個に特許請求される主題として自立した状態で、発明を実施するための形態に組み込まれる。

Claims (27)

  1. プロセッサと、
    ネットワークを介した通信を可能にするために前記プロセッサに結合されるネットワーク・インターフェースと、
    前記プロセッサに結合される記憶デバイスと、
    前記記憶デバイスに記憶されるセキュリティ・エージェント・ソフトウェアと、を備える、コンピューティング・デバイスであって、前記プロセッサによる前記ソフトウェアの実行が、
    ユーザ・デバイスからリソースの要求を受信することと、
    前記ユーザ・デバイスから事前に定められた数字(p)を受信することと、
    第1の数字(c)および第2の数字(g)を作成することと、
    前記第1の数字(c)および前記事前に定められた数字(p)に基づいて第1の離散対数を決定することと、
    前記第1の離散対数および前記第2の数字(g)を前記ユーザ・デバイスに送信することと、
    前記ユーザ・デバイスから、前記ユーザ・デバイスによって生成される第3の数字(s)、前記事前に定められた数字(p)、および前記第2の数字(g)に基づいて、第2の離散対数を受信することと、
    前記第2の離散対数、前記第1の数字(c)、および前記事前に定められた数字(p)に基づいて、第3の離散対数を介した第1のパス・コード(R)を計算することと、
    前記第1の離散対数、前記第3の数字(s)、および前記事前に定められた数字(p)に基づいて、第4の離散対数を介した第2のパス・コード(R)を前記ユーザ・デバイスから受信することと、
    前記第1のパス・コード(R)を前記第2のパス・コード(R)と比較することと、
    前記第1のパス・コード(R)が前記第2のパス・コード(R)と同一であると決定すると、前記ユーザ・デバイスが前記リソースにアクセスすることを許可することと、を含む行為を実施するように前記コンピューティング・デバイスを構成する、コンピューティング・デバイス。
  2. 前記事前に定められた数字(p)が、前記ユーザ・デバイスの識別(ID)番号である、請求項1に記載のコンピューティング・デバイス。
  3. 前記事前に定められた数字(p)が、ハイパーテキスト転送プロトコル・セキュア(HTTPS)チャネルを通じて受信される、請求項1または2のいずれかに記載のコンピューティング・デバイス。
  4. 前記ユーザ・デバイスに送信される前記第1の離散対数および前記第2の数字(g)が、公衆交換電話網(PSTN)チャネルを介する、請求項1ないし3のいずれかに記載のコンピューティング・デバイス。
  5. 前記コンピューティング・デバイスによる前記事前に定められた数字(p)の受信が、前記第1の離散対数および前記第2の数字(g)を前記ユーザ・デバイスに送信するチャネルとは異なるチャネルを介する、請求項1ないし4のいずれかに記載のコンピューティング・デバイス。
  6. 前記第1の離散対数が(g mod p)に基づく、請求項1ないし5のいずれかに記載のコンピューティング・デバイス。
  7. 前記第2の離散対数が、(g mod p)に基づく、請求項6に記載のコンピューティング・デバイス。
  8. 前記第3の離散対数が、((g mod p) mod p)に基づく、請求項7に記載のコンピューティング・デバイス。
  9. 前記第4の離散対数が、((g mod p) mod p)に基づく、請求項8に記載のコンピューティング・デバイス。
  10. 前記プロセッサによる前記セキュリティ・エージェントの実行が、
    前記第1のパス・コード(R)が前記第2のパス・コード(R)と同一ではないと決定すると、前記要求されたリソースと関連付けられたユーザのアカウントに警告を送信することを含む行為を実施するように前記コンピューティング・デバイスをさらに構成する、請求項1ないし9のいずれかに記載のコンピューティング・デバイス。
  11. 前記プロセッサによる前記セキュリティ・エージェントの実行が、
    前記第1のパス・コード(R)が前記第2のパス・コード(R)と同一であると決定すると、チャレンジ・コードを変更することを含む行為を実施するように前記コンピューティング・デバイスをさらに構成する、請求項1ないし10のいずれかに記載のコンピューティング・デバイス。
  12. プロセッサと、
    ネットワークを介した通信を可能にするために前記プロセッサに結合されるネットワーク・インターフェースと、
    前記プロセッサに結合される記憶デバイスと、
    前記記憶デバイスに記憶されるセキュリティ・エージェント・ソフトウェアと、を備える、コンピューティング・デバイスであって、前記プロセッサによる前記ソフトウェアの実行が、
    前記コンピューティング・デバイスからサーバへ、リソースの要求を送信することと、
    事前に定められた数字(p)を前記サーバに送信することと、
    (i)前記第1の数字(c)および前記事前に定められた数字(p)に基づいた第1の離散対数ならびに(ii)前記第2の数字(g)を前記サーバから受信することと、
    第3の数字(s)を生成することと、
    前記第3の数字(s)、前記事前に定められた数字(p)、および前記第2の数字(g)に基づいて第2の離散対数を決定することと、
    前記第2の離散対数を前記サーバに送信することと、
    前記第1の離散対数、前記第3の数字(s)、および前記事前に定められた数字(p)に基づいて、第4の離散対数を介した第2のパス・コード(R)を計算することと、
    前記第2のパス・コード(R)を、前記第2の離散対数、前記第1の数字(c)、および前記事前に定められた数字(p)に基づいた第1のパス・コード(R)との比較のために前記サーバに送信することと、
    前記第2のパス・コード(R)が前記第1のパス・コード(R)と同一であると、前記安全なリソースへのアクセスを受信することと、を含む行為を実施するようにコンピューティング・デバイスを構成する、コンピューティング・デバイス。
  13. 前記事前に定められた数字(p)が、前記ユーザ・デバイスの識別(ID)番号である、請求項12に記載のコンピューティング・デバイス。
  14. 前記コンピューティング・デバイスによる前記事前に定められた数字(p)の送信が、前記サーバから前記第1の離散対数および前記第2の数字(g)を受信するチャネルとは異なるチャネルを介する、請求項12または13のいずれかに記載のコンピューティング・デバイス。
  15. 前記第1の離散対数が、(g mod p)に基づき、
    前記第2の離散対数が、(g mod p)に基づき、
    前記第3の離散対数が、((g mod p) mod p)に基づき、
    前記第4の離散対数が、((g mod p) mod p)に基づく、請求項12ないし14のいずれかに記載のコンピューティング・デバイス。
  16. データを保護するための方法であって、
    ユーザ・デバイスからリソースの要求を受信することと、
    前記ユーザ・デバイスから事前に定められた数字(p)を受信することと、
    第1の数字(c)および第2の数字(g)を作成することと、
    前記第1の数字(c)および前記事前に定められた数字(p)に基づいて第1の離散対数を決定することと、
    前記第1の離散対数および前記第2の数字(g)を前記ユーザ・デバイスに送信することと、
    前記ユーザ・デバイスによって生成される第3の数字(s)、前記事前に定められた数字(p)、および前記第2の数字(g)に基づいた第2の離散対数を前記ユーザ・デバイスから受信することと、
    前記第2の離散対数、前記第1の数字(c)、および前記事前に定められた数字(p)に基づいて、第3の離散対数を介した第1のパス・コード(R)を計算することと、
    前記第1の離散対数、前記第3の数字(s)、および前記事前に定められた数字(p)に基づいて、第4の離散対数を介した第2のパス・コード(R)を前記ユーザ・デバイスから受信することと、
    前記第1のパス・コード(R)を前記第2のパス・コード(R)と比較することと、
    前記第1のパス・コード(R)が前記第2のパス・コード(R)と同一であると決定すると、前記ユーザ・デバイスが前記リソースにアクセスすることを許可することと、を含む、方法。
  17. 前記事前に定められた数字(p)が、前記ユーザ・デバイスの識別(ID)番号である、請求項16に記載の方法。
  18. 前記事前に定められた数字(p)が、ハイパーテキスト転送プロトコル・セキュア(HTTPS)チャネルを通じて受信される、請求項16または17のいずれかに記載の方法。
  19. 前記ユーザ・デバイスに送信される前記第1の離散対数および前記第2の数字(g)が、公衆交換電話網(PSTN)チャネルを介する、請求項16ないし18のいずれかに記載の方法。
  20. 前記コンピューティング・デバイスによる前記事前に定められた数字(p)の受信が、前記第1の離散対数および前記第2の数字(g)を前記ユーザ・デバイスに送信するチャネルとは異なるチャネルを介する、請求項16ないし19のいずれかに記載の方法。
  21. 前記第1の離散対数が(g mod p)に基づく、請求項16ないし20のいずれかに記載の方法。
  22. 前記第2の離散対数が、(g mod p)に基づく、請求項21に記載の方法。
  23. 前記第3の離散対数が、((g mod p) mod p)に基づく、請求項22に記載の方法。
  24. 前記第4の離散対数が、((g mod p) mod p)に基づく、請求項23に記載の方法。
  25. 前記第1のパス・コード(R)が前記第2のパス・コード(R)と同一ではないと決定すると、前記要求されたリソースと関連付けられたユーザのアカウントに警告を送信することをさらに含む、請求項16ないし24のいずれかに記載の方法。
  26. 前記第1のパス・コード(R)が前記第2のパス・コード(R)と同一であると決定すると、チャレンジ・コードを変更することをさらに含む、請求項16ないし25のいずれかに記載の方法。
  27. コンピュータ可読媒体に記憶され、デジタル・コンピュータの内部メモリ内へ読み込み可能であるコンピュータ・プログラムであって、前記プログラムがコンピュータ上で実行されるとき、請求項16ないし25のいずれかに記載の方法を実施するためのソフトウェア・コード部分を含む、コンピュータ・プログラム。
JP2020531723A 2017-12-19 2018-12-18 コンピューティング・デバイス、データを保護する方法、およびコンピュータ・プログラム Active JP7300800B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US15/847,884 2017-12-19
US15/847,884 US11012435B2 (en) 2017-12-19 2017-12-19 Multi factor authentication
PCT/IB2018/060253 WO2019123248A1 (en) 2017-12-19 2018-12-18 Multifactor authentication

Publications (2)

Publication Number Publication Date
JP2021507580A true JP2021507580A (ja) 2021-02-22
JP7300800B2 JP7300800B2 (ja) 2023-06-30

Family

ID=66816611

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020531723A Active JP7300800B2 (ja) 2017-12-19 2018-12-18 コンピューティング・デバイス、データを保護する方法、およびコンピュータ・プログラム

Country Status (6)

Country Link
US (1) US11012435B2 (ja)
JP (1) JP7300800B2 (ja)
CN (1) CN111492614B (ja)
DE (1) DE112018006451T5 (ja)
GB (1) GB2582878A (ja)
WO (1) WO2019123248A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11720660B2 (en) * 2019-01-28 2023-08-08 EMC IP Holding Company LLC Temporary partial authentication value provisioning for offline authentication
JP7322732B2 (ja) * 2020-02-03 2023-08-08 トヨタ自動車株式会社 認証システム

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001313634A (ja) * 2000-03-17 2001-11-09 Lucent Technol Inc 通信方法
JP2005086330A (ja) * 2003-09-05 2005-03-31 Canon Inc データ共有方法、プログラム、及び、装置
US20150319149A1 (en) * 2014-04-30 2015-11-05 Thamir Alshammari Cryptographic method and system for secure authentication and key exchange
JP2016111660A (ja) * 2014-11-27 2016-06-20 パナソニックIpマネジメント株式会社 認証サーバ、端末及び認証方法

Family Cites Families (50)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6850252B1 (en) 1999-10-05 2005-02-01 Steven M. Hoffberg Intelligent electronic appliance system and method
US5497423A (en) 1993-06-18 1996-03-05 Matsushita Electric Industrial Co., Ltd. Method of implementing elliptic curve cryptosystems in digital signatures or verification and privacy communication
NL9301348A (nl) 1993-08-02 1995-03-01 Stefanus Alfonsus Brands Elektronisch betalingssysteem.
EP0792044B1 (en) 1996-02-23 2001-05-02 Fuji Xerox Co., Ltd. Device and method for authenticating user's access rights to resources according to the Challenge-Response principle
US5987134A (en) 1996-02-23 1999-11-16 Fuji Xerox Co., Ltd. Device and method for authenticating user's access rights to resources
US6226383B1 (en) 1996-04-17 2001-05-01 Integrity Sciences, Inc. Cryptographic methods for remote authentication
US6282295B1 (en) 1997-10-28 2001-08-28 Adam Lucas Young Auto-recoverable and auto-certifiable cryptostem using zero-knowledge proofs for key escrow in general exponential ciphers
US6754820B1 (en) 2001-01-30 2004-06-22 Tecsec, Inc. Multiple level access system
JP2001066989A (ja) 1999-08-31 2001-03-16 Fuji Xerox Co Ltd 一方向性関数生成方法,一方向性関数値生成装置,証明装置,認証方法および認証装置
US6718467B1 (en) 1999-10-28 2004-04-06 Cisco Technology, Inc. Password based protocol for secure communications
US20020025046A1 (en) * 2000-05-12 2002-02-28 Hung-Yu Lin Controlled proxy secure end to end communication
US7218734B2 (en) 2001-05-02 2007-05-15 Nciper Corporation Limited Ring arithmetic method, system, and apparatus
JP4774650B2 (ja) 2001-08-07 2011-09-14 日本電気株式会社 離散対数の一致または不一致を示すゼロ知識証明システム及び方法
US7296156B2 (en) 2002-06-20 2007-11-13 International Business Machines Corporation System and method for SMS authentication
CN1809984A (zh) 2003-06-17 2006-07-26 皇家飞利浦电子股份有限公司 改进的保密验证信道
US7398550B2 (en) 2003-06-18 2008-07-08 Microsoft Corporation Enhanced shared secret provisioning protocol
JP4457651B2 (ja) 2003-11-27 2010-04-28 日本電気株式会社 証明装置及び証明方法並びにプログラム
GB0424052D0 (en) 2004-10-29 2004-12-01 Nortel Networks Ltd Improvements in or relating to internet protocol (IP) location, privacy and presence
US20060126848A1 (en) 2004-12-15 2006-06-15 Electronics And Telecommunications Research Institute Key authentication/service system and method using one-time authentication code
US20060215837A1 (en) 2004-12-18 2006-09-28 Hewlett-Packard Development Company, L.P. Method and apparatus for generating an identifier-based public/private key pair
US7747865B2 (en) 2005-02-10 2010-06-29 International Business Machines Corporation Method and structure for challenge-response signatures and high-performance secure Diffie-Hellman protocols
US20070107050A1 (en) 2005-11-07 2007-05-10 Jexp, Inc. Simple two-factor authentication
US8280039B2 (en) * 2005-12-28 2012-10-02 Panasonic Corporation Signature generating device, signature generating method and signature generating program
EP2229750B1 (en) 2008-01-02 2019-04-10 National University of Ireland, Galway A method and apparatus for authenticating a user
US8543091B2 (en) 2008-06-06 2013-09-24 Ebay Inc. Secure short message service (SMS) communications
US8156334B2 (en) 2008-08-12 2012-04-10 Texas Instruments Incorporated Public key out-of-band transfer for mutual authentication
IES20090506A2 (en) 2009-07-02 2009-12-09 Newbay Res Ltd A challenge-response system and method
CN101662465B (zh) 2009-08-26 2013-03-27 深圳市腾讯计算机系统有限公司 一种动态口令验证的方法及装置
CN102025507B (zh) * 2010-12-24 2013-05-15 暨南大学 一种保护数字内容消费者隐私的数字版权管理方法
US20120204242A1 (en) 2011-02-03 2012-08-09 Activepath Ltd. Protecting web authentication using external module
ES2691046T3 (es) 2011-11-11 2018-11-23 Soprano Design Limited Mensajería segura
FR2985127A1 (fr) 2011-12-22 2013-06-28 France Telecom Procede d'authentification entre un lecteur et une etiquette radio
US8799165B2 (en) 2012-01-11 2014-08-05 Rawllin International Inc. Electronic signature security algorithms
US10778659B2 (en) 2012-05-24 2020-09-15 Smart Security Systems Llc System and method for protecting communications
US9203832B2 (en) 2013-03-12 2015-12-01 Cable Television Laboratories, Inc. DTCP certificate authentication over TLS protocol
US9313198B2 (en) 2013-03-27 2016-04-12 Oracle International Corporation Multi-factor authentication using an authentication device
GB201309702D0 (en) 2013-05-30 2013-07-17 Certivox Ltd Security
US9106644B2 (en) * 2013-05-30 2015-08-11 CertiVox Ltd. Authentication
CN104243157A (zh) 2013-06-24 2014-12-24 阿里巴巴集团控股有限公司 一种用于用户身份认证的方法和装置
US20150134966A1 (en) 2013-11-10 2015-05-14 Sypris Electronics, Llc Authentication System
US10432409B2 (en) 2014-05-05 2019-10-01 Analog Devices, Inc. Authentication system and device including physical unclonable function and threshold cryptography
KR101599144B1 (ko) * 2014-07-23 2016-03-02 삼성에스디에스 주식회사 키 생성 장치 및 방법
US10375063B2 (en) 2014-07-29 2019-08-06 Lexisnexis Risk Solutions Inc. Systems and methods for combined OTP and KBA identity authentication utilizing academic publication data
GB2533095A (en) 2014-12-08 2016-06-15 Cryptomathic Ltd System and method
SG10201601937TA (en) 2015-03-12 2016-10-28 18 Degrees Lab Pte Ltd Method and system for facilitating authentication
CN105260673A (zh) 2015-09-18 2016-01-20 小米科技有限责任公司 短信读取方法及装置
US10225283B2 (en) 2015-10-22 2019-03-05 Oracle International Corporation Protection against end user account locking denial of service (DOS)
US10785210B2 (en) 2016-01-23 2020-09-22 Verizon Patent And Licensing Inc. User-enabled, two-factor authentication service
KR102549272B1 (ko) * 2016-05-17 2023-06-30 한국전자통신연구원 패스워드와 id 기반 서명을 이용한 인증 키 합의 방법 및 장치
US10425224B1 (en) 2017-06-30 2019-09-24 Salesforce.Com, Inc. Identity confirmation using private keys

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001313634A (ja) * 2000-03-17 2001-11-09 Lucent Technol Inc 通信方法
JP2005086330A (ja) * 2003-09-05 2005-03-31 Canon Inc データ共有方法、プログラム、及び、装置
US20150319149A1 (en) * 2014-04-30 2015-11-05 Thamir Alshammari Cryptographic method and system for secure authentication and key exchange
JP2016111660A (ja) * 2014-11-27 2016-06-20 パナソニックIpマネジメント株式会社 認証サーバ、端末及び認証方法

Also Published As

Publication number Publication date
US20190190904A1 (en) 2019-06-20
CN111492614B (zh) 2023-09-01
JP7300800B2 (ja) 2023-06-30
WO2019123248A1 (en) 2019-06-27
CN111492614A (zh) 2020-08-04
GB202010539D0 (en) 2020-08-26
DE112018006451T5 (de) 2020-09-03
US11012435B2 (en) 2021-05-18
GB2582878A (en) 2020-10-07

Similar Documents

Publication Publication Date Title
JP7403020B2 (ja) 顧客サポート呼の第2の要素認証のためのシステムおよび方法
US10904234B2 (en) Systems and methods of device based customer authentication and authorization
KR102671176B1 (ko) 제1 요인 비접촉식 카드 인증 시스템 및 방법
CN111295861B (zh) 多因素认证
US9275218B1 (en) Methods and apparatus for verification of a user at a first device based on input received from a second device
US9258294B2 (en) Remote authentication method with single sign on credentials
CA2731462C (en) System and method for in- and out-of-band multi-factor server-to-user authentication
EP3230917B1 (en) System and method for enabling secure authentication
US20190026456A1 (en) Methods and Apparatus for Authentication of Joint Account Login
US9344896B2 (en) Method and system for delivering a command to a mobile device
CN110430167B (zh) 临时账户的管理方法、电子设备、管理终端及存储介质
CN112968892B (zh) 信息的验证方法、装置、计算设备和介质
CN111492614B (zh) 多因素认证
Huseynov et al. Context-aware multifactor authentication survey
KR102054424B1 (ko) 사용자 단말과의 복수 채널 인증을 지원하는 보안 서비스 제공 시스템 및 방법, 그리고 컴퓨터 프로그램이 기록된 비휘발성 기록매체
Igor et al. Security Software Green Head for Mobile Devices Providing Comprehensive Protection from Malware and Illegal Activities of Cyber Criminals.
US20080263189A1 (en) Secure identification of intranet network
Chang et al. Secure intra-device communication protocol between applications on a smart device
Ikhalia A new social media security model (SMSM)
EP2860935B1 (en) A computer implemented method to prevent attacks against authorization systems and computer programs products thereof
US20220400108A1 (en) Tokenizing authentication information
KR102054421B1 (ko) 복수 채널 인증을 지원하는 보안 서비스 제공 시스템 및 방법, 그리고 컴퓨터 프로그램이 기록된 비휘발성 기록매체
EP2860934A1 (en) A computer implemented method to prevent attacks against authorization systems and computer programs products thereof

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200708

RD12 Notification of acceptance of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7432

Effective date: 20200825

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210525

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20220323

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20220502

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220510

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20220808

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220819

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20221220

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20230315

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230512

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230530

RD14 Notification of resignation of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7434

Effective date: 20230530

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230616

R150 Certificate of patent or registration of utility model

Ref document number: 7300800

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150