JP5850382B2 - ウェブ認証を用いるクライアントプラットフォームの信頼のルート - Google Patents
ウェブ認証を用いるクライアントプラットフォームの信頼のルート Download PDFInfo
- Publication number
- JP5850382B2 JP5850382B2 JP2014550250A JP2014550250A JP5850382B2 JP 5850382 B2 JP5850382 B2 JP 5850382B2 JP 2014550250 A JP2014550250 A JP 2014550250A JP 2014550250 A JP2014550250 A JP 2014550250A JP 5850382 B2 JP5850382 B2 JP 5850382B2
- Authority
- JP
- Japan
- Prior art keywords
- server
- website
- resource identifier
- web address
- unified resource
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000013475 authorization Methods 0.000 claims description 61
- 238000000034 method Methods 0.000 claims description 45
- 230000004044 response Effects 0.000 claims description 14
- 238000012795 verification Methods 0.000 claims description 6
- 230000000977 initiatory effect Effects 0.000 claims description 2
- 238000004891 communication Methods 0.000 description 10
- 230000008569 process Effects 0.000 description 6
- 230000009471 action Effects 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 238000009313 farming Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000003068 static effect Effects 0.000 description 3
- 230000001413 cellular effect Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 235000015429 Mirabilis expansa Nutrition 0.000 description 1
- 244000294411 Mirabilis expansa Species 0.000 description 1
- 241001168730 Simo Species 0.000 description 1
- 230000003213 activating effect Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000007274 generation of a signal involved in cell-cell signaling Effects 0.000 description 1
- 235000013536 miso Nutrition 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2129—Authenticate client device independently of the user
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Power Engineering (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
Description
オンラインで個人情報にアクセスすることは、自分自身の業務を管理する上で便利かつ効率的な方法になったことから、ますます身近なものになった。例えば、ユーザはオンラインで銀行口座にアクセスして残高および取引額の確認、送金、支払い、その他を行うことが可能である。そのような情報にアクセスできることで便利にはなるが、機密情報に対する安全上の脅威になる可能性も高まる。
個人情報に対する脅威の一例はフィッシング攻撃である。この攻撃では、ユーザ名、パスワード、社会保障番号、生年月日、クレジットカード情報等の個人情報を集めることを目的としてユーザが偽のウェブサイトに案内または転送される可能性がある。例えば、人気のあるソーシャルウェブサイト、オークションサイト、オンライン決済プロセッサ等からであるとされる通信は、無防備なユーザから個人情報を引き出すために用いられる可能性がある。
個人情報に対する脅威の別の例はファーミング攻撃である。この攻撃では、ユーザは偽のドメインネームサービス(DNS)記録によって偽のウェブサイトに転送され、目的のウェブサイトから偽のウェブサイトへのトラフィックに実際にリダイレクトされる可能性がある。例えば、このことは、DNSサーバに違反した後にDNSホストファイルを変更することによって実行される可能性がある。
これらの攻撃を防ぐためのいくつかの技術には、ブラウザプラグインを介して行われるブラウザベースのウェブサイト検証が含まれる場合がある。しかし、これらの検証技術は、ファーミング攻撃を防ぐことができない可能性がある。場合によっては、フィッシングの回避は、強力な公開鍵基盤(PKI)暗号化(例えば、公開鍵証明書を使用)によるセキュアソケットレイヤ(SSL)またはトランスポートレイヤセキュリティ(TLS)を用いることによって可能であり、ウェブサイトのユニフォームリソースアイデンティファイヤ(URI)(例えばユニフォームリソースロケータ(URL))が識別子として用いられる。一般に、SSLまたはTLSおよび証明書を用いたセキュア認証は、接続が認証モードであることを示すこと、どのウェブサイトにユーザが接続しているかを示すこと、どのオーソリティ(例えば、認証局)がそのウェブサイトの身元を示すかということを含み得る。しかし、この認証処理は、認証がユーザによって通常確認されるので、簡単に回避される可能性があり、ユーザエラーを発生することになる。さらに、攻撃を防ぐためのこれらの現在の技術が純粋にソフトウェアに基づくものなので、個人情報に対するいくつかの脅威(例えば、ユーザ自身のコンピュータが危険にさらされている場合)に対しては効果が無いかもしれない。
以下の詳細な説明および図面は、特定の実施形態を当業者が実施可能にするべく、これらの実施形態を十分に説明する。他の実施形態は、構造的変更、論理的変更、電気的変更、処理変更、および他の変更を取り入れたものであってもよい。いくつかの実施形態の部分または特徴が、他の実施形態の部分または特徴に取り入れられてもよく、またはそれらと置き換えられてもよい。請求項に記載される実施形態はすべてこれらの請求項の利用可能な均等物をすべて包含する。
本明細書中で説明される実施形態のいくつかのものは、クライアントプラットフォームの信頼のルートを用いて、ウェブ認証技術を提供する。ユーザが該ユーザの個人情報を有するウェブサイトへのアクセスを要求する場合、このウェブサイトのサーバは、アクセスを許可する前にユーザの認証を行うことが可能である。このウェブサイトは、ユーザが用いて個人情報にアクセスし得る、いかなるウェブサイトであってもよい。例えば、このウェブサイトは、アカウント情報にアクセスするための銀行ウェブサイトであってもよい。認証には、ウェブサイトへアクセスするべく用いられる特定のユーザデバイスを認証することが含まれてもよい。一実施形態では、ユーザデバイスの認証をユーザデバイス上でセキュア実行環境を用いて行うことが可能である。セキュア実行環境は、ウェブ認証が生じ得るユーザデバイス上の隠し環境(例えば、ユーザ、オペレーティングシステム、またはユーザデバイス上で実行される他のアプリケーションからは、全体的または部分的に、不可視または直接アクセス不可)であってもよい。
特定のユーザデバイスを用いるウェブ認証が、ウェブサイトのサーバにより認証される特定のユーザデバイスをプロビジョニングすることにより行われてもよい。ユーザデバイスをプロビジョニングする場合、ユーザはウェブサイトへログインするべくクレデンシャルを提供することが可能である。ウェブサイトへのログインに用いられるクレデンシャルは、ユーザの身元を検証する際に役立ち得る任意のクレデンシャルであってもよい。クレデンシャルの例は、以下のもののいずれか1つまたは複数であってもよい。すなわち、ユーザ名、パスワード、社会保障番号、アカウント番号、生年月日、クレジットカード情報、請求先、電話番号、その他である。さらに、サーバは、デバイスがユーザ所有のものかを判断することが可能である。例えば、サーバは、デバイスまたはユーザに関連した特定の地理的領域(例えば、住所、建物、都市、国、全地球測位システム(GPS)座標、その他)にあるかを判断することによって、ユーザがそのデバイスを所有しているかを検証することが可能である。検証が成功した後、サーバはユーザデバイスに固有のデバイス固有URI(例えば、ウェブアドレス)を生成することが可能である。このデバイス固有URIは、ユーザデバイスのセキュア実行環境およびサーバの両方で記憶されてもよい。記憶されたデバイス固有URIをウェブ認証に用いることが可能である。
ユーザがウェブサイトへのアクセスをそのウェブサイト用にプロビジョニングされたユーザデバイスを用いて行う場合、ユーザはセキュア実行環境に記憶されたデバイス固有URIを用いて安全にウェブサイトへアクセスすることが可能である。サーバは、デバイスのセキュア実行環境からデバイス固有URIを受信してもよく、そのURIがウェブサイトへのアクセスに用いられているデバイスに有効であることを検証することが可能である。デバイス固有許可モジュールを有しているウェブ認証は、ユーザ情報にアクセスするエンティティがそのように認証されるのを保証することで、セキュリティを高める。
さらに、サーバはデバイス固有URIをユーザデバイスへ送信してもよく、デバイス上のセキュア実行環境は、アクセスされるウェブサイトが目的のウェブサイトであり、かつユーザがリダイレクトされる可能性がある偽のウェブサイトではないことを、検証することが可能である。
例えば、図1は、セキュア実行環境160を用いるためのシステム100の一例を示す。このシステム100は、ネットワーク105を介して、コンテンツウェブサーバ115および許可サーバ120と通信しているユーザデバイス110を含んでもよい。一実施形態では、許可サーバ120は、許可サーバ120の許可動作のいずれか1つまたは複数を実行するべく配置された許可モジュールを含んでもよい。ネットワーク105は、エンティティ間の通信のための、任意の通信ネットワーク(例えばインターネット、ローカルエリアネットワーク、その他)であってもよい。
ユーザデバイス110は、ウェブサイトにアクセスするべく配置された(例えば、構成された)任意のユーザデバイスであってもよい。ユーザデバイス110の例として、限定されるものではないが、以下のものが挙げられる。すなわち、モバイルデバイス(例えばスマートフォン、携帯情報端末(PDA)、タブレットコンピュータ)、デスクトップコンピュータ、ラップトップコンピュータ、テレビ、セットトップボックス、メディアコンソール、その他である。ユーザデバイス110はメモリ135と通信状態にある1つまたは複数のプロセッサ125を有するものであってもよい。このメモリ135は、ユーザデバイス110の1つまたは複数のプロセッサ125、アプリケーション、またはオペレーティングシステムによって実行可能な命令を記憶するべく、任意の種類のメモリを有するものであってもよい。また、メモリ135は、データをファイルシステム等(例えば、ファイルを記憶するべく配置された1つまたは複数のデータ構造)に記憶することも可能である。ユーザデバイス110は、1つまたは複数の通信モジュール130(例えば、アンテナ、Wi−Fi(登録商標)、Wi−Max(登録商標)、または移動体通信を可能にするべく配置された回路、その他)、ユーザに対して情報を表示するべく配置されたディスプレイモジュール140(例えば、処理ハードウェア、スクリーン、その他)、写真および/またはビデオを撮像するためのカメラモジュール145、ならびに、ユーザからの入力を受信するべく配置された1つまたは複数の入力モジュール150(例えば、マイクロフォン、キーパッド、その他)を有するものであてもよい。ユーザデバイス110はプラットフォームセンサハブ155を有するものであってもよく、このプラットフォームセンサハブ155は、慣性センサ、圧力センサ、周囲光センサ、近接センサ、全地球測位システム(GPS)デバイス等に接続されたもの、またはそれらを有するものであってもよい。
ユーザデバイス110は、セキュア実行環境160を有していてもよい。セキュア実行環境160は、ホスト非依存型のタンパー防止セキュアコンピューティングおよびストレージ能力を実行すべく配置されてもよい。セキュア実行環境160は、ウェブサイトに対するユーザデバイス110の認証を行なうべく配置された、1つまたは複数のプロセッサと機械(例えば、コンピュータ)可読媒体上の命令とを有するものであってもよい。例えば、セキュア実行環境160は、ユーザデバイス110にプロビジョニングされたデバイス固有URIを記憶してもよい。一実施形態では、セキュア実行環境160は、デバイス固有URL署名ハッシュ等のデバイス固有URIの暗号化バージョンを記憶し得る。デバイス固有URIの暗号化バージョンは任意のタイプの暗号化機構を用いて暗号化されてもよい。
ユーザデバイス110のコンポーネントは、1つまたは複数のチップとしてユーザデバイス110内に含まれていてもよい。実施形態では、ユーザデバイス110は、1つまたは複数のプロセッサを有するものであってもよく、該プロセッサとして、マルチコアプロセッサ、メインコアプロセッサ、または超低消費電力コアプロセッサ等が挙げられる。
コンテンツウェブサーバ115は、エンティティに1つまたは複数のウェブサイトへのアクセスを提供すべく配置された任意のウェブサーバであってもよい。例えば、コンテンツウェブサーバ115は、例えば、個人情報、ユーザアカウント等のコンテンツに対するアクセスを提供するものであってもよい。
許可サーバ120は、ユーザデバイス110の許可(例えば、許可モジュールによる)を実行するべく配置された任意のウェブサーバであってもよい。許可サーバ120は、タンパレジスタントソフトウェア(TRS)、デバイス固有URI、暗号鍵等のユーザデバイス情報を記憶し得る。一実施形態では、許可サーバ120は、任意の数のエンティティから任意の数のコンテンツウェブサーバの許可を実行すべく配置されたサードパーティサーバであってもよい。一実施形態では、コンテンツウェブサーバ115および許可サーバ120によって実行された動作を、同一のサーバ(例えば、コンピュータ)で実行することが可能である。
図2は、ウェブサイトへ安全にアクセスするべくユーザデバイス110をプロビジョニングするための方法200の一例を示す。動作205では、許可サーバ120は、ウェブサイトに安全にアクセスするユーザデバイス110をプロビジョニングする要求を受信し得る。要求の受信には、ユーザからのユーザクレデンシャルの受信が含まれてもよい。受信されたユーザクレデンシャルは、ユーザの身元を検証するための任意のクレデンシャル(例えば、ユーザ名、パスワード等)であってもよい。
動作210では、許可サーバ120はクレデンシャルが有効かを判断し得る。このことは、そのクレデンシャルがウェブサイトの特定ユーザアカウントと一致するかを判断することが含まれてもよい。クレデンシャルが有効でない場合、動作215では、デバイスをプロビジョニングする要求を拒否し得る。動作220では、クレデンシャルが有効な場合、許可サーバ120はデバイスが有効かどうか判断してもよい。一実施形態では、このことはプロビジョニングされるデバイスがユーザ所有のものであるかを判断することを含んでもよい。例えば、許可サーバ120は、デバイスの地理的場所がユーザの所在地またはユーザがサービスを受ける位置と一致するかを判断してもよい。動作215では、デバイスが有効でない場合、デバイスをプロビジョニングする要求を拒否し得る。
動作225では、デバイスが有効な場合、許可サーバ120はウェブサイトにアクセスすべくデバイス固有URIを生成し得る。デバイス固有URIは、特定のデバイスに固有のURIを生成するための任意のメカニズム、例えば乱数発生器、ユーザデバイス110の識別子のハッシュ等を使用して、生成されたものであってもよい。一実施形態では、デバイス固有URIは任意のタイプの暗号化を用いて、ユーザデバイス110に固有の暗号化されたウェブアドレスである。動作230では、許可サーバ120はこのデバイス固有URIを記憶し得る。一実施形態では、許可サーバ120は、ユーザデバイス110のウェブ認証を目的として、暗号鍵、ユーザの識別子、ユーザデバイス110の識別子、信頼されるTRSベースのルート等の1つまたは複数を記憶することが可能である。
動作235では、許可サーバ120は、ユーザデバイス110のセキュア実行環境160へデバイス固有URIおよび任意の暗号鍵も送信し得る。動作240では、セキュア実行環境160は、ウェブサイトによるウェブ認証のためのデバイス固有URIおよび任意の暗号鍵を記憶し得る。このデバイス固有URIは、その特定ユーザデバイスのみがデバイス固有URIのURI署名を安全に受信し得るように、ユーザデバイスの公開鍵で暗号化されてもよい。
図3は、セキュア実行環境160でデバイス固有URIおよび任意の暗号鍵を記憶するプロビジョニングされたユーザデバイス110を用いて、ウェブサイトに安全にアクセスするための方法300の一例を示す。動作305では、セキュア実行環境160は、ウェブサイトへのアクセス要求を許可サーバ120へ送信してもよい。一実施形態では、この要求はハイパーテキスト転送プロトコル(HTTP)ヘッダハンドシェイクを有し得る。その要求は、デバイス固有認証の拡張セキュリティがヘッダに含まれることを示すデバイス固有認証インジケータ(例えばフラグ)を含んでもよい。例えば、ユーザは、銀行に関する汎用ウェブサイト(例えば、http://www.bankname.com)を訪問する要求をすることが可能である。その要求には、デバイス固有認証の拡張セキュリティが用いられるべきであることを示すデバイス固有認証インジケータが含まれてもよい。
動作310では、許可サーバ120は、要求がヘッダに有効なデバイス固有認証インジケータを有するかどうか判断してもよい。動作315では、ヘッダにデバイス固有認証インジケータが適切に含まれていない場合、許可サーバ120は、プロビジョニングされていないデバイスのクレデンシャルチェック(例えば、TLSを用いて)を進めるべく、ユーザに対して指示することが可能である。例えば、ユーザは、非拡張セキュリティ認証(ユーザデバイス110に基づかない認証)用のクレデンシャルを用いて、ウェブサイトでアカウントにログインしてもよい。一実施形態では、ヘッダにデバイス固有認証インジケータが適切に含まれていない場合、許可サーバ120はプロビジョニング処理(例えば、上述のように)を開始してもよい。一実施形態では、ヘッダにデバイス固有認証インジケータが適切に含まれていない場合、許可サーバ120はウェブサイトへのアクセスを拒否してもよい。
ヘッダにそのインジケータが適切に含まれていると許可サーバ120が判断する場合、動作320では、セキュア実行環境160は許可サーバ120からデバイス固有URI(例えば、http://www.bankname.com/deviceURL012345)の要求を受信し得る。動作325では、セキュア実行環境160は、動作320の要求に応答して、デバイスに記憶されたデバイス固有URIを許可サーバ120に送信してもよい。一実施形態では、暗号化されたデバイス固有URI(例えばURL署名ハッシュ)が許可サーバ120に送信されてもよい。
動作330では、セキュア実行環境160は、サーバに記憶されたデバイス固有URIを許可サーバ120から受信してもよい。これは、アクセスされるウェブサイトが目的のウェブサイトであることおよびユーザが別のウェブサイトにリダイレクトされていないこと(例えば、ファーミング攻撃において見られるようなもの)をセキュア実行環境160が検証し得るように、受信されてもよい。
動作335では、許可サーバ120は、デバイス保存URIが有効か判断し得る。デバイス保存URIは、許可サーバ120で記憶されたデバイス固有URIと一致する場合、有効であり得る。許可サーバ120は、許可サーバ120で記憶された暗号鍵を用いて、受信されたデバイス保存URIを復号することが可能である。復号されたデバイス保存URIが許可サーバ120で記憶されたURIと一致する場合、デバイス保存URIを有効と判断してもよい。デバイス保存URIが無効であると判断された場合、動作340では、許可サーバ120はデバイス固有ウェブ認証に基づくウェブサイトへのアクセスを拒否してもよい。一実施形態では、ユーザは、非拡張セキュリティ認証クレデンシャルチェック(例えば、動作315に述べた通りに)を行なうように、指示されてもよい。
デバイス保存URIが有効であると判断された場合、動作345では、セキュア実行環境160は受信したサーバ保存URIが有効か判断し得る。セキュア実行環境160は、セキュア実行環境160で記憶された暗号鍵を用いて、受信したサーバ保存URIを復号することが可能である。復号されたサーバ保存URIがセキュア実行環境160で記憶されたURIと一致する場合、サーバ保存URIを有効と判断してもよい。このことは、ユーザが別のウェブサイト(例えば悪意のあるウェブサイト)へリダイレクトされていないことを保証し得る。サーバ保存URIが無効であると判断された場合、動作350では、セキュア実行環境160はデバイス固有ウェブ認証に基づくウェブサイトへのアクセスを拒否してもよい。一実施形態では、ユーザは、ウェブサイトへのアクセスが拒否される代わりに、非拡張セキュリティ認証クレデンシャルチェック(例えば、動作315に述べた通りに)を進めてもよい。
サーバ保存URIが有効であると判断された場合、動作355では、ユーザデバイス110はウェブサイトに安全にアクセスすることが可能である。一実施形態では、ユーザからの追加情報を要求することなく自動的にアクセスが行われてもよい。一実施形態では、要求された任意のユーザクレデンシャルをユーザが入力した後に、アクセスが提供されてもよい。一実施形態では、デバイス固有認証はSSLまたはTLSに対する拡張であってよい。一実施形態では、ワンタイムパスワード(OTP)処理に基づいて、ウェブサイトへのアクセスを許可してもよい。例えば、許可サーバ120は、特定の(例えば、所定の、一時的な等の)期間にわたってウェブサイトにアクセスすることが有効なURIを送信し得る。URI(例えば、特定の期間にわたるウェブサイトアクセスを提供するOTP URI)は、ユーザデバイス識別子を付加することおよびウェブサイトのアドレスに付属した認証時間のタイムスタンプよって、許可サーバ120により生成され得る。一実施形態では、OTP URIは、特定の期間にわたってウェブサイトにアクセスすることのみにURIが使用し得るように、ユーザデバイス識別子とOTPアルゴリズムに基づいたタイムスタンプを含んでもよい。
図4は、本明細書に記載される複数の技術(例えば、方法論)のいずれか1つまたは複数が実行され得る機械400の一例のブロック図を示す。他の実施例では、機械400はスタンドアロンのデバイスとして動作してもよいし、または他の機械に接続されてもよい(例えば、ネットワーク化)。ネットワーク展開では、機械400は、サーバ機械、クライアント機械、または両方のキャパシティ内で、サーバクライアントネットワーク環境で動作し得る。一実施例では、機械400はピアツーピア(P2P)(または他の分散型)ネットワーク環境でピア機械として働くものであってよい。この機械400は、パーソナルコンピュータ(PC)、タブレットPC、セットトップボックス(STB)、携帯情報端末(PDA)、自動車電話、ウェブアプライアンス、ネットワークルータ、スイッチ、またはブリッジ、あるいはその機械によって講じられるアクションを指定する命令を実行(連続的または不連続的)することができる任意の機械であってもよい。さらに、単一の機械のみが説明されているとはいえ、用語「機械」には、本明細書中で議論される方法論、(例えばクラウドコンピューティング、サービス型ソフトウェア(SaaS)、他のコンピュータクラスタ構成)の任意の1つまたは複数を実行すべく一セット(または多数のセット)の命令を個々に、または一緒になって実行する複数の機械の任意の集合も含まれるものとする。
実施例は、本明細書中で説明されるように、論理回路またはいくつかのコンポーネント、モジュール、あるいはメカニズムを含むものであってもよく、あるいはそれらで動作するものであってもよい。モジュールは、特定の動作を実行することができる具体的なエンティティであってもよく、かつ一定の方法で構成または配置され得る。一実施例では、回路はモジュールとして特定の方法で配置(例えば、内部に、または他の回路等の外部エンティティに対して)されるものであってもよい。一実施例では、1つまたは複数のコンピュータシステム(例えば、スタンドアロン、クライアント、またはサーバコンピュータシステム)の全体または一部あるいは1つまたは複数のハードウェアプロセッサの全体または一部は、特定の動作を実行するべく動作するモジュールとして、ファームウェアまたはソフトウェア(例えば、命令、アプリケーション部分、またはアプリケーション)によって構成されてもよい。一実施例では、ソフトウェアは(1)非一時的機械可読媒体上または(2)伝送信号内に存在し得る。一実施例では、ソフトウェアは、モジュールの基盤となるハードウェアによって実行される際、このハードウェアに特定の動作を行わせる。
したがって、用語「モジュール」は、特定の方法で動作するべく、または本明細書中で説明される任意の動作の一部またはすべてを実行するべく、物理的に構築、具体的に構成(例えば、ハードワイヤード)、または一時的に(例えば、一過性に)構成(例えば、プログラム化)されているエンティティであって、具体的なエンティティを包含すると理解される。モジュールが一時的に構成される例を考えれば、モジュールの各々がいかなる時でも具体例を挙げて説明される必要はない。例えば、モジュールがソフトウェアを用いて構成される汎用のハードウェアプロセッサを含む場合には、この汎用ハードウェアプロセッサは異なる時点で個別に異なるモジュールとして構成されてもよい。したがって、ソフトウェアは、例えば、ある時間のインスタンスで特定のモジュールを構成し、かつ別の時間のインスタンスで異なるモジュールを構成するべく、ハードウェアプロセッサを構成してもよい。
機械(例えば、コンピュータシステム)400は、少なくとも1つのハードウェアプロセッサ402(例えば、中央処理装置(CPU)、グラフィック処理装置(GPU)、ハードウェアプロセッサコア、またそれらの任意の組み合わせ)、メインメモリ404、およびスタティックメモリ406を有するものであってもよく、それらの一部またはすべてがインターリンク408(例えば、リンクまたはバス)を介して互いに通信することが可能である。機械400は、さらに、ディスプレイデバイス410、入力デバイス412(例えば、キーボード)、およびユーザインターフェース(UI)ナビゲーションデバイス414(例えば、マウス)を有してもよい。一実施例では、ディスプレイデバイス410、入力デバイス412、およびUIナビゲーションデバイス414は、タッチスクリーンディスプレイであってもよい。機械400は、さらに、大容量記憶装置(例えば、ドライブユニット)416、信号発生デバイス418(例えば、スピーカ)、ネットワークインターフェースデバイス420、および全地球測位システム(GPS)センサ、コンパス、加速度計等の1つまたは複数のセンサ421、あるいは他のセンサを有してもよい。機械400は、1つまたは複数の周辺機器(例えば、プリンタ、カードリーダ等)と通信またはそれらを制御するべく、シリアル(例えば、ユニバーサルシリアルバス(USB))、パラレル、または他の有線もしくは無線(例えば、赤外線(IR))接続等の出力コントローラ428を有していてもよい。
大容量記憶装置416は、機械可読記憶媒体422を有してもよく、この機械可読記憶媒体422には、本明細書中で説明される技術または機能のいずれか1つまたは複数に具現化される、あるいは利用されるデータ構造または命令424(例えば、ソフトウェア)の1つまたは複数のセットが記憶される。 さらに、命令424は、機械400によってそれが実行されている間、完全または少なくとも部分的に、メインメモリ404の中、スタティックメモリ406の中、またはハードウェアプロセッサ402の中に存在してもよい。一実施例では、ハードウェアプロセッサ402、メインメモリ404、スタティックメモリ406、または大容量記憶装置416の1つまたはそれらの任意の組み合わせが機械可読媒体を構成してもよい。
機械可読記憶媒体422が単一の媒体として説明されているとはいえ、用語「機械可読媒体」は、1つまたは複数の命令424を記憶するべく構成された単一の媒体または多数の媒体(例えば、集中型もしくは分散型データベース、および/または関連したキャッシュおよびサーバ)を含み得る。
用語「機械可読記憶媒体」は具体的な媒体を含むことが可能であり、この媒体は機械400による実行のための命令を記憶、符号化、または搬送することができ、かつ本開示の技術の任意の1つまたは複数を機械400に実行させ、あるいはそのような命令によって使用または命令に関連するデータ構造を記憶、符号化、もしくは搬送することができる。非限定的な機械可読媒体の例として、ソリッドステートメモリならびに光学および磁気媒体を挙げることが可能である。機械可読媒体の具体例として、半導体メモリデバイス(例えば、電気的プログラマブル読み取り専用メモリ(EPROM)、電気的消去可能プログラマブル読み取り専用メモリ(EEPROM))、およびフラッシュメモリデバイス等の不揮発性メモリと、内部ハードディスクおよび取外し可能ディス等の磁気ディスクと、光磁気ディスクと、CD−ROMおよびDVD−ROMディスクとが挙げられる。
命令424は、いくつかの転送プロトコル(例えば、フレームリレー、インターネットプロトコル(IP)、伝送制御プロトコル(TCP)、ユーザデータグラムプロトコル(UDP)、ハイパーテキスト転送プロトコル(HTTP)等)の任意の1つを用いて、ネットワークインターフェースデバイス420を介して伝送媒体を用いて、通信ネットワーク426上でさらに送受信されてもよい。通信ネットワークの例として、とりわけ、ローカルエリアネットワーク(LAN)、広域ネットワーク(WAN)、パケットデータネットワーク(例えば、インターネット)、携帯電話ネットワーク(例えば、セルラネットワーク)、プレインオールドテレフォン(POTS)ネットワーク、および無線データネットワーク(例えば、Wi−Fi(登録商標)として知られている規格の米国電気電子学会(IEEE)802.11ファミリー、WiMax(登録商標)として知られている規格のIEEE 802.16ファミリー)、ピアツーピア(P2P)ネットワークを挙げることが可能である。実施例では、ネットワークインターフェースデバイス420は、通信ネットワーク426に接続するべく、1つまたは複数の物理ジャック(例えば、イーサーネット(登録商標)、同軸ケーブル、または電話ジャック)あるいは1つまたは複数のアンテナを有することが可能である。一実施例では、ネットワークインターフェースデバイス420は、1入力多出力(SIMO)、多入力多出力(MIMO)、または多入力1出力(MISO)の少なくとも1つを用いてワイヤレスで通信するべく、複数のアンテナを有することが可能である。用語「伝送媒体」は、機械400による実行のための命令を記憶、符号化、または搬送することができる任意の無形の媒体を含むものとし、そのようなソフトウェアの通信を促進するべくデジタルもしくはアナログ通信信号または他の無形の媒体を含む。付記および実施例
実施例1は、少なくとも1つのプロセッサとセキュア実行環境とを含む主題(例えば、装置、デバイス、機械、ターゲット機械、またはシステム)を有することが可能である。少なくとも1つのプロセッサは、ウェブサイトを要求し、かつサーバ上の許可モジュールからのウェブサイトアクセス開始に応答してウェブサイトにアクセスするべく、配置されてもよい。セキュア実行環境は、デバイス保存統一リソース識別子を記憶し、許可モジュールへデバイス保存統一リソース識別子を送信し、許可モジュールからサーバ保存統一リソース識別子を受信し、さらに、セキュア実行環境によるサーバ保存統一リソース識別子の検証に応じて許可モジュールに妥当性判断を送信し、この妥当性判断に基づいてウェブサイトアクセス開始が行われるべく、配置されてもよい。
実施例2において、実施例1の主題は、デバイス保存統一リソース識別子を送信することがデバイス保存統一リソース識別子の暗号化を送信するべく配置されたセキュア実行環境を含むことを、任意に含んでもよい。
実施例3において、実施例1〜2の1つまたはいずれかの主題は、サーバ保存統一リソース識別子の検証がサーバ保存統一リソース識別子をデバイス保存統一リソース識別子と比較し、それらが一致する場合に有効であると妥当性判断を行い、さもなければ無効であると判断するべく配置されたサーバ実行環境を含むことを、任意に含んでもよい。
実施例4において、実施例1〜3の1つまたはいずれかの主題は、サーバ保存統一リソース識別子を受信することがサーバ保存統一リソース識別子の暗号化を受信するべく配置されたサーバ実行環境を含むことを、任意に含んでもよい。
実施例5において、実施例1〜4の1つまたはいずれかの主題は、ウェブサイトにアクセスすることがデバイスのユーザのアカウントに関連したアカウント情報にアクセスするべく配置されたプロセッサを含むことを、任意に含んでもよい。
実施例6において、実施例1〜5の1つまたはいずれかの主題は、ウェブサイトに安全にアクセスするようにデバイスを構成するべく、ウェブサイトに関連したアカウントを有するユーザのクレデンシャルを含むプロビジョニング要求を許可モジュールへ送信し、かつクレデンシャルが有効であることおよびデバイスがユーザと関連していることを許可モジュールが判断した後にデバイス保存統一リソース識別子を受信するべく、セキュア実行環境がさらに配置されていることを、任意に含んでもよい。
実施例7において、実施例1〜6の1つまたはいずれかの主題は、要求にはデバイス固有認証を用いることを目的としたインジケータが含まれ、該インジケータに基づいて許可モジュールがサーバ保存統一リソース識別子を送信することを、任意に含んでもよい。
実施例8において、実施例1〜7の1つまたはいずれかの主題は、特定の期間にわたるウェブサイトへのアクセスを提供するべく、デバイス保存統一リソース識別子が配置されていることを、任意に含んでもよい。
実施例9において、実施例1〜8の1つまたはいずれかの主題は、プロセッサによるウェブサイトへのアクセスを拒否するべく、セキュア実行環境が配置されていることを、任意に含んでもよい。
実施例10は、主題(例えば、方法、行為を実行するための手段、または機械により実行される場合に機械に行為を実行させる命令を含む機械可読媒体)が、セキュア実行環境を有するデバイスであってクライアントプラットフォームの信頼のルートを用いるべく配置されたデバイスを用いてウェブサイトにアクセスする要求に応答して、セキュア実行環境で記憶されたデバイス保存ウェブアドレスであってデバイスに固有であるデバイス保存ウェブアドレスをサーバへ送信すること、サーバに記憶されたサーバ保存ウェブアドレスであってデバイスに固有であるサーバ保存ウェブアドレスをデバイス上のセキュア実行環境で受信すること、セキュア実行環境を介して、サーバ保存ウェブアドレスが有効であるかを判断すること、ならびにサーバ保存ウェブアドレスが有効である場合およびサーバによってデバイス保存ウェブアドレスが有効であると判断された場合にウェブサイトへのアクセスを開始すること、を備える主題を含むべく、実施例1〜9のいずれか1つまたは組み合わせの主題を含むが、当該手段と組み合わせられるとしてよい。
実施例11において、実施例10の主題は、ウェブサイトへアクセスすることが、ユーザのアカウントに関連するアカウント情報へのアクセスを含むことを、任意に含んでもよい。
実施例12において、実施例10〜11の1つまたはいずれかの主題は、サーバ保存ウェブアドレスがデバイス保存ウェブアドレスと一致する場合、サーバ保存ウェブアドレスは有効であることを、任意に含んでもよい。
実施例13において、実施例10〜12の1つまたはいずれかの主題は、デバイス保存ウェブアドレスを送信することにデバイス保存ウェブアドレスの暗号化の送信が含まれることを、任意に含んでもよい。
実施例14において、実施例10〜13の1つまたはいずれかの主題は、サーバ保存ウェブアドレスを受信することにサーバ保存ウェブアドレスの暗号化の受信が含まれることを、任意に含んでもよい。
実施例15において、実施例10〜14の1つまたはいずれかの主題は、ウェブサイトに関連したアカウントを持つユーザのクレデンシャルを送信することを含み、ウェブサイトに安全にアクセスするべくデバイスを構成する要求をサーバに送信すること、クレデンシャルが有効であり、かつデバイスがユーザに関連しているとサーバが判断した後に、セキュア実行環境でデバイス保存ウェブアドレスを受信すること、ならびにセキュア実行環境でデバイス保存ウェブアドレスを記憶することを、任意に含んでもよい。
実施例16において、実施例10〜15の1つまたはいずれかの主題は、ウェブサイトへのアクセス要求にはインジケータが含まれ、該インジケータはセキュア実行環境がデバイス保存ウェブアドレスに記憶することを示し、サーバ保存ウェブアドレスがインジケータに基づいて受信されることを、任意に含んでもよい。
実施例17において、実施例10〜16の1つまたはいずれかの主題は、ウェブサイトへのアクセスが一定期間にわたりサーバによって提供されることを、任意に含んでもよい。
実施例18において、実施例10〜17の1つまたはいずれかの主題は、サーバ保存ウェブアドレスが無効である場合に、セキュア実行環境を介して、ウェブサイトへのアクセスを拒否することを任意に含んでもよい。
実施例19は、デバイス固有ウェブ認証用の許可モジュールを有する主題(例えば、装置、デバイス、機械、またはシステム)を含んでもよく、あるいはそれを含むべく実施例1〜18の1つまたは任意の組み合わせの主題と任意に組み合わせられてもよい。許可モジュールは、セキュア実行環境を有するデバイスからウェブサイトへのアクセス要求を受信するべく、セキュア実行環境に記憶されているデバイス記憶統一リソース識別子をデバイスから受信するべく、サーバ保存統一リソース識別子をセキュア実行環境へ送信するべく、さらに、デバイス保存統一リソース識別子は有効であるという判断に応じて、かつサーバ保存統一リソース識別子が有効であるというセキュア実行環境による判断に応じて、ウェブサイトへのアクセスを提供するべく、配置されてもよい。
実施例20おいて、実施例19の主題は、ウェブサイトがユーザのアカウントに関連するアカウント情報を有することを、任意に含んでもよい。
実施例21において、実施例19〜20の1つまたはいずれかの主題は、前記デバイス保存統一リソース識別子が有効であるという判断には、デバイス保存統一リソース識別子をサーバ保存統一リソース識別子と比較し、それらが一致する場合に有効であると判断し、さもなければ無効であると判断するべく配置された許可モジュールが含まれることを、任意に含んでもよい。
実施例22において、実施例19〜21の1つまたはいずれかの主題は、デバイス保存統一リソース識別子を受信することには、デバイス保存統一リソース識別子の暗号化を受信するべく配置された許可モジュールが含まれることを、任意に含んでもよい。
実施例23において、実施例19〜22の1つまたはいずれかの主題は、サーバ保存統一リソース識別子を送信することには、サーバ保存統一リソース識別子の暗号化を送信するべく配置された許可モジュールが含まれることを、任意に含んでもよい。
実施例24において、実施例19〜23の1つまたはいずれかの主題は、ウェブサイトに安全にアクセスするべくデバイスを構成するプロビジョニング要求であってウェブサイトに関連したアカウントを持つユーザのクレデンシャル含むプロビジョニング要求を、デバイスから受信するべく、クレデンシャルが有効であり、かつデバイスがユーザに関連しているという判断に応じて、デバイス保存統一リソース識別子を生成するべく、さらに、セキュア実行環境にデバイス保存統一リソース識別子を送信するべく、許可モジュールがさらに配置されることを、任意に含んであってもよい。
実施例25において、実施例19〜24の1つまたはいずれかの主題は、ワンタイムパスワードアルゴリズムに基づいてデバイス保存統一リソース識別子を生成することには、デバイス保存統一リソース識別子の暗号化を生成するべく配置された許可モジュールが含まれることを、任意に含んでもよい。
実施例26において、実施例19〜25の1つまたはいずれかの主題は、ウェブサイトへのアクセス要求にはデバイス固有認証を用いるインジケータが含まれること、および、インジケータに応じてサーバ保存統一リソース識別子をセキュア実行環境へ送信するべく許可モジュールが配置されていることを、任意に含んでもよい。
実施例27において、実施例19〜26の1つまたはいずれかの主題は、ウェブサイトへのアクセスを提供することには特定の期間にわたるウェブサイトへのアクセスを提供するべく配置された許可モジュールが含まれることを、任意に含んでもよい。
実施例28は、主題(例えば、方法、行為を実行するための手段、または機械により実行される場合に機械に行為を実行させる命令を含む機械可読媒体)は、セキュア実行環境で記憶されたデバイス保存ウェブアドレスであってクライアントプラットフォームの信頼のルートを用いるべく配置されたデバイスに固有のウェブアドレスであるデバイス保存ウェブアドレスを、サーバで受信すること、サーバで記憶されたサーバ保存ウェブアドレスをサーバからデバイス上のセキュア実行環境へ送信すること、サーバを介して、デバイス保存ウェブアドレスが有効であるかを判断すること、ならびに、デバイス保存ウェブアドレスが有効である場合およびデバイスのセキュア実行環境によりサーバ保存ウェブアドレスが有効であると判断した場合にウェブサイトへのアクセスを提供すること、を含んでもよく、あるいはそれを含むべく実施例1〜27の1つまたは任意の組み合わせの主題と任意に組み合わせられてもよい。
実施例29おいて、実施例28の主題は、ウェブサイトへのアクセスを提供することにはユーザのアカウントに関連するアカウント情報へのアクセスの提供が含まれることを、任意に含んでもよい。
実施例30において、実施例28〜29の1つまたはいずれかの主題は、デバイス保存ウェブアドレスがサーバ保存ウェブアドレスと一致する場合にデバイス保存ウェブアドレスが有効であることを、任意に含んでもよい。
実施例31において、実施例28〜30の1つまたはいずれかの主題は、サーバ保存ウェブアドレスを送信することにサーバ保存ウェブアドレスの暗号化の送信が含まれることを、任意に含んでもよい。
実施例32において、実施例28〜31の1つまたはいずれかの主題は、デバイス保存ウェブアドレスを受信することにデバイス保存ウェブアドレスの暗号化の受信が含まれることを、任意に含んでもよい。
実施例33において、実施例28〜32の1つまたはいずれかの主題は、ウェブサイトに関連したアカウントを持つユーザのクレデンシャルを受信することが含まれる、ウェブサイトに安全にアクセスするべくデバイスを構成する要求をサーバから受信すること、クレデンシャルが有効であるか、かつデバイスがユーザに関連しているかを判断すること、クレデンシャルが有効な場合およびデバイスがユーザに関連している場合に、デバイス保存ウェブアドレスを生成すること、ならびに、セキュア実行環境にデバイス保存ウェブアドレスを送信することを任意に含んでもよく、デバイス保存ウェブアドレスがセキュア実行環境で記憶される。
実施例34において、実施例28〜33の1つまたはいずれかの主題は、ウェブサイトへのアクセス要求にはインジケータが含まれ、該インジケータはセキュア実行環境がデバイス保存ウェブアドレスに記憶することを示し、サーバ保存ウェブアドレスがインジケータに基づいて送信されることを、任意に含んでもよい。
実施例35において、実施例28〜34の1つまたはいずれかの主題は、ウェブサイトへのアクセスの提供には一定期間にわたりウェブサイトへのアクセスの提供が含まれることを、任意に含んでもよい。
実施例36において、実施例28〜35の1つまたはいずれかの主題は、デバイス保存ウェブアドレスが無効の場合に、サーバを介して、ウェブサイトへのアクセスを拒否することを、任意に含んでもよい。
上記の詳細な説明には添付図面を参照することが含まれており、これらの図面は詳細な説明の一部をなす。図面は、説明を目的として、本発明が実施し得る特定の実施形態を示す。これらの実施形態も本明細書中では「実施例」と呼ばれる。そのような実施例には、示されたものや説明されたもの以外の構成要素も含まれると考える。しかし、本発明者らは、示された構成要素または説明された構成要素のみが提供される実施例も検討する。さらに、本発明者らは、特定の実施例(またはその1もしくは複数の側面)に関して、あるいは本明細書中に示された、または説明された他の実施例(またはその1もしくは複数の側面)に関して、これらの示された構成要素または説明された構成要素(あるいはその1つまたは複数の側面)の任意の組み合わせまたは置き換えを用いて、実施例の検討も行う。
この明細書中、用語「1つ(a)」または「1つ(an)」が用いられているが、特許文献では一般的であるように、「少なくとも1つ(at least one)」または「1つまたは複数(one or more)」のインスタンスまたは使用法とは無関係に、1または1よりも多いことが含まれている。この明細書中、用語「または(or)」は、非排他的であることを言及するべく、あるいは「AまたはB」が「AしかしBではない」、「BしかしAではない」、および「AおよびB」を含むように、用いられる。添付された特許請求の範囲で、用語「含む、有する」(「including」および「in which」)は、用語「含む、有する」(「comprising」、「wherein」)のそれぞれの平易な英語の等価物として使用される。また、以下の特許請求の範囲において、用語「含む、有する」(「including」および「comprising」)はオープンエンド形式であり、すなわち、システム、デバイス、物品、または処理は、請求項におけるそのような用語の後に列挙されたもの以外の構成要素を含むものでも、依然としてその請求項の範囲内にあるとみなされる。さらに、以下の特許請求の範囲において、用語「第1」、「第2」、および「第3」等は、単に標識として使用され、それらの対象物に数的必要条件を課することを意図していない。
上記の説明は例示を意図したものであり、制限的なものではない。例えば、上記実施例(あるいはその1つまたは複数の側面)を互いに組み合わせて用いてもよい。例えば、当業者が上記の説明を検討することで他の実施形態を用いることが可能である。
要約は、読み手が技術的開示の本質を素早く確認することが可能となるよう、米国特許法施行規則§1.72(b)に従うべく提供される。それは、特許請求の範囲の適用範囲または意味を解釈または限定することを目的として使用されるものではないことを理解した上で、提出される。さらに、上記の詳細な説明では、開示を簡素化するべく、様々な特徴をひとまとめにされていると考えられる。このことは、未請求の開示された特徴が任意の請求項にとって不可欠であることを意図するものとして解釈されるべきではない。むしろ、本発明の主題は、開示された特定の一実施形態のすべての特徴よりも少なくてもよい。したがって、以下の特許請求の範囲は、各々の請求項が別個の実施形態として独立して、本明細書によって詳細な説明に取り込まれている。本発明の範囲は、そのような特許請求の範囲が権利を与えられるものと等価な物の範囲とともに、添付の特許請求の範囲を参照して決定されるべきである。
Claims (40)
- デバイス固有ウェブ認証のためのデバイスであって、
少なくとも1つのプロセッサとセキュア実行環境を備え、
前記少なくとも1つのプロセッサは、
ウェブサイトを要求し、かつサーバの許可モジュールからのウェブサイトアクセス開始に応じて前記ウェブサイトにアクセスし、
前記セキュア実行環境は、デバイス保存統一リソース識別子を記憶し、
前記許可モジュールにデバイス保存統一リソース識別子を送信し、
前記許可モジュールからサーバ保存統一リソース識別子を受信し、
前記セキュア実行環境による前記サーバ保存統一リソース識別子の検証に応じて、前記許可モジュールに、前記ウェブサイトアクセス開始が基づいている妥当性判断を送信する、
デバイス。 - 前記デバイス保存統一リソース識別子を送信することは、前記デバイス保存統一リソース識別子の暗号化を送信する前記セキュア実行環境を有する、請求項1に記載のデバイス。
- 前記サーバ保存統一リソース識別子の検証は、前記サーバ保存統一リソース識別子を前記デバイス保存統一リソース識別子と比較し、前記サーバ保存統一リソース識別子と前記デバイス保存統一リソース識別子とが一致する場合に前記サーバ保存統一リソース識別子を前記妥当性判断で有効とし、さもなければ無効とする、請求項1に記載のデバイス。
- 前記サーバ保存統一リソース識別子を受信することは、前記サーバ保存統一リソース識別子の暗号化を受信する前記セキュア実行環境を有する、請求項1に記載のデバイス。
- 前記ウェブサイトにアクセスすることは、前記デバイスのユーザのアカウントに関連したアカウント情報にアクセスする前記プロセッサを有する、請求項1に記載のデバイス。
- 前記セキュア実行環境は、
安全に前記ウェブサイトにアクセスするように前記デバイスを構成するべく、前記ウェブサイトに関連したアカウントを有するユーザのクレデンシャルを含むプロビジョニング要求を前記許可モジュールへ送信し、および、
前記クレデンシャルが有効であることおよび前記デバイスが前記ユーザと関連していることを前記許可モジュールが判断した後に前記デバイス保存統一リソース識別子を受信する、請求項1に記載のデバイス。 - 前記要求はデバイス固有認証を用いることを目的としたインジケータを含み、前記インジケータに基づいて前記許可モジュールが前記サーバ保存統一リソース識別子を送信する、請求項1に記載のデバイス。
- 前記デバイス保存統一リソース識別子は、特定の期間にわたる前記ウェブサイトへのアクセスを提供する、請求項1に記載のデバイス。
- 前記セキュア実行環境は、前記プロセッサによる前記ウェブサイトへのアクセスを拒否する、請求項1〜8のいずれか一項に記載のデバイス。
- ウェブ認証の方法であって、
セキュア実行環境を有するデバイスであってクライアントプラットフォームの信頼のルートを用いるデバイスを用いてウェブサイトへアクセスする要求に応答して、
前記セキュア実行環境で記憶されたデバイス保存ウェブアドレスであって前記デバイスに固有であるデバイス保存ウェブアドレスをサーバへ送信する段階と、
前記サーバに記憶されたサーバ保存ウェブアドレスであって前記デバイスに固有であるサーバ保存ウェブアドレスを前記デバイス上の前記セキュア実行環境で受信する段階と、
前記セキュア実行環境を介して、前記サーバ保存ウェブアドレスが有効であるかを判断する段階と、
前記サーバ保存ウェブアドレスが有効である場合および前記サーバによって前記デバイス保存ウェブアドレスが有効であると判断された場合に前記ウェブサイトへのアクセスを開始する段階と
を備える、方法。 - 前記ウェブサイトへアクセスする段階は、ユーザのアカウントに関連するアカウント情報へのアクセスする段階を有する、請求項10に記載の方法。
- 前記サーバ保存ウェブアドレスが前記デバイス保存ウェブアドレスと一致する場合、前記サーバ保存ウェブアドレスは有効である、請求項10に記載の方法。
- 前記デバイス保存ウェブアドレスを送信する段階は、前記デバイス保存ウェブアドレスの暗号化の送信する段階を有する、請求項10に記載の方法。
- 前記サーバ保存ウェブアドレスを受信する段階は、前記サーバ保存ウェブアドレスの暗号化の受信を有する、請求項10に記載の方法。
- 前記ウェブサイトに関連したアカウントを持つユーザのクレデンシャルを送信することを含み、安全に前記ウェブサイトに前記デバイスをアクセスさせる要求を前記サーバに送信する段階と、
前記クレデンシャルが有効であり、かつ前記デバイスが前記ユーザに関連していると前記サーバが判断した後に、前記セキュア実行環境で前記デバイス保存ウェブアドレスを受信する段階と、
前記セキュア実行環境で前記デバイス保存ウェブアドレスを記憶する段階と
をさらに備える、請求項10に記載の方法。 - 前記ウェブサイトへのアクセスを求める前記要求はインジケータを含み、前記インジケータは前記セキュア実行環境が前記デバイス保存ウェブアドレスを記憶することを示し、前記サーバ保存ウェブアドレスは前記インジケータに基づいて受信される、請求項10に記載の方法。
- 前記ウェブサイトへの前記アクセスが、一定期間にわたり前記サーバによって提供される、請求項10に記載の方法。
- 前記サーバ保存ウェブアドレスが無効である場合に、前記セキュア実行環境を介して、前記ウェブサイトへのアクセスを拒否する段階をさらに備える、請求項10に記載の方法。
- コンピューティングデバイスに請求項10から18のいずれか一項に係る方法を実行させるための、プログラム。
- 請求項10から18のいずれか一項に係る方法を実行する、少なくとも1つのプロセッサを備える、装置。
- デバイス固有ウェブ認証のための許可モジュールであって、
セキュア実行環境を有するデバイスからウェブサイトへのアクセス要求を受信し、
前記セキュア実行環境に記憶されているデバイス保存統一リソース識別子を前記デバイスから受信し、
サーバ保存統一リソース識別子を前記セキュア実行環境へ送信し、
前記デバイス保存統一リソース識別子は有効であるという判断に応じて、かつ前記サーバ保存統一リソース識別子が有効であるという前記セキュア実行環境による判断に応じて、前記ウェブサイトへのアクセスを提供する、許可モジュール。 - 前記ウェブサイトはユーザのアカウントに関連する情報を有する、請求項21に記載の許可モジュール。
- 前記許可モジュールが、前記デバイス保存統一リソース識別子が有効であると判断することは、前記デバイス保存統一リソース識別子を前記サーバ保存統一リソース識別子と比較し、前記デバイス保存統一リソース識別子と前記サーバ保存統一リソース識別子とが一致する場合に前記デバイス保存統一リソース識別子が有効であると判断し、さもなければ無効であると判断することを含む、請求項21に記載の許可モジュール。
- 前記許可モジュールが前記デバイス保存統一リソース識別子を受信することは、前記デバイス保存統一リソース識別子の暗号化を受信することを含む、請求項21に記載の許可モジュール。
- 前記サーバ保存統一リソース識別子を送信することは、前記サーバ保存統一リソース識別子の暗号化を送信する前記許可モジュールを有する、請求項21に記載の許可モジュール。
- 安全に前記ウェブサイトに前記デバイスをアクセスさせるプロビジョニング要求であって、前記ウェブサイトに関連したアカウントを持つユーザのクレデンシャル含むプロビジョニング要求を、前記デバイスから受信し、
前記クレデンシャルが有効であり、かつ前記デバイスが前記ユーザに関連しているという判断に応じて、前記デバイス保存統一リソース識別子を生成し、および、
前記セキュア実行環境に前記デバイス保存統一リソース識別子を送信する、請求項21に記載の許可モジュール。 - 前記許可モジュールが前記デバイス保存統一リソース識別子を生成することは、ワンタイムパスワードアルゴリズムに基づいて前記デバイス保存統一リソース識別子を生成することを含む、請求項26に記載の許可モジュール。
- 前記ウェブサイトへのアクセス要求がデバイス固有認証を用いるインジケータを含み、および、前記許可モジュールが前記インジケータに応じて前記サーバ保存統一リソース識別子を前記セキュア実行環境へ送信する、請求項21に記載の許可モジュール。
- 前記許可モジュールが前記ウェブサイトへのアクセスを提供することは、特定の期間にわたる前記ウェブサイトへのアクセスを提供することを含む、請求項21から28のいずれか一項に記載の許可モジュール。
- ウェブ認証のための方法であって、
セキュア実行環境で保存されたデバイス保存ウェブアドレスであってクライアントプラットフォームの信頼のルートを用いるデバイスに固有であるデバイス保存ウェブアドレスを、サーバで受信する段階と、
前記サーバで記憶されたサーバ保存ウェブアドレスを前記サーバから前記デバイス上の前記セキュア実行環境へ送信する段階と、
前記サーバを介して、前記デバイス保存ウェブアドレスが有効であるかを判断する段階と、
前記デバイス保存ウェブアドレスが有効である場合および前記デバイスの前記セキュア実行環境が前記サーバ保存ウェブアドレスを有効であると判断した場合にウェブサイトへのアクセスを提供する段階と
を備える、方法。 - 前記ウェブサイトへのアクセスを提供する段階が、ユーザのアカウントに関連するアカウント情報を提供する段階を有する、請求項30に記載の方法。
- 前記デバイス保存ウェブアドレスが前記サーバ保存ウェブアドレスと一致する場合に前記デバイス保存ウェブアドレスが有効である、請求項30に記載の方法。
- 前記サーバ保存ウェブアドレスを送信する段階は、前記サーバ保存ウェブアドレスの暗号化を送信する段階を有する、請求項30に記載の方法。
- 前記デバイス保存ウェブアドレスを受信する段階は、前記デバイス保存ウェブアドレスの暗号化を受信する段階を有する、請求項30に記載の方法。
- 前記ウェブサイトに関連したアカウントを持つユーザのクレデンシャルを受信することが含まれる、安全に前記ウェブサイトに前記デバイスをアクセスさせる要求を前記サーバにおいて受信する段階と、
前記クレデンシャルが有効であるか、および前記デバイスが前記ユーザに関連しているかを判断する段階と、
前記クレデンシャルが有効であり、かつ前記デバイスが前記ユーザに関連している場合に、前記デバイス保存ウェブアドレスを生成する段階と、
前記セキュア実行環境に前記デバイス保存ウェブアドレスを送信する段階とをさらに備え、
前記デバイス保存ウェブアドレスが前記セキュア実行環境で記憶されている、請求項30に記載の方法。 - 前記ウェブサイトへのアクセス要求にはインジケータが含まれ、前記インジケータはセキュア実行環境が前記デバイス保存ウェブアドレスを記憶することを示し、前記サーバ保存ウェブアドレスが前記インジケータに基づいて送信される、請求項30に記載の方法。
- 前記ウェブサイトへアクセスを提供する段階には一定期間にわたり前記ウェブサイトへのアクセスを提供する段階を有する、請求項30に記載の方法。
- 前記デバイス保存ウェブアドレスが無効の場合に、前記サーバを介して、前記ウェブサイトへのアクセスを拒否する段階をさらに備える、請求項30に記載の方法。
- コンピューティングデバイスに請求項30から38のいずれか一項に係る方法を実行させる、プログラム。
- 請求項30から38のいずれか一項に係る方法を実行する少なくとも1つのプロセッサを備える、装置。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/US2011/067592 WO2013100967A1 (en) | 2011-12-28 | 2011-12-28 | Web authentication using client platform root of trust |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2015503792A JP2015503792A (ja) | 2015-02-02 |
| JP5850382B2 true JP5850382B2 (ja) | 2016-02-03 |
Family
ID=48698210
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014550250A Expired - Fee Related JP5850382B2 (ja) | 2011-12-28 | 2011-12-28 | ウェブ認証を用いるクライアントプラットフォームの信頼のルート |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US9887997B2 (ja) |
| EP (1) | EP2798772A4 (ja) |
| JP (1) | JP5850382B2 (ja) |
| CN (1) | CN104025503B (ja) |
| TW (1) | TWI477137B (ja) |
| WO (1) | WO2013100967A1 (ja) |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9887997B2 (en) | 2011-12-28 | 2018-02-06 | Intel Corporation | Web authentication using client platform root of trust |
| US9444872B2 (en) * | 2012-12-14 | 2016-09-13 | Tencent Technology (Shenzhen) Company Limited | Method, server and system for data sharing |
| US9722801B2 (en) * | 2013-09-30 | 2017-08-01 | Juniper Networks, Inc. | Detecting and preventing man-in-the-middle attacks on an encrypted connection |
| US9224030B2 (en) * | 2014-01-10 | 2015-12-29 | Qualcomm Incorporated | Sensor identification |
| CN105376203B (zh) * | 2014-08-26 | 2019-11-05 | 阿里巴巴集团控股有限公司 | 交互信息的处理方法、装置及系统 |
| US10110754B2 (en) * | 2014-09-25 | 2018-10-23 | Verizon Patent And Licensing Inc. | Provisioning a trial service to a mobile device |
| US9760501B2 (en) * | 2014-11-05 | 2017-09-12 | Google Inc. | In-field smart device updates |
| WO2016153431A1 (en) * | 2015-03-26 | 2016-09-29 | Einnovations Holdings Pte. Ltd. | System and method for facilitating remittance |
| US9800580B2 (en) | 2015-11-16 | 2017-10-24 | Mastercard International Incorporated | Systems and methods for authenticating an online user using a secure authorization server |
| KR101792862B1 (ko) * | 2015-12-23 | 2017-11-20 | 주식회사 케이티 | 생체 정보 기반 인증 장치, 이와 연동하는 제어 서버, 그리고 이들의 생체 정보 기반 로그인 방법 |
| CN107104993A (zh) * | 2016-02-19 | 2017-08-29 | 中国移动通信集团公司 | 一种统一资源标识符的传输、获得方法及装置 |
| CN107666469B (zh) * | 2016-07-29 | 2020-12-25 | 华为终端有限公司 | 验证码短信的处理方法及终端 |
| US9747378B1 (en) * | 2016-08-09 | 2017-08-29 | Afilias Plc | Linked web presence pages associated with a top level domain |
| TWI615734B (zh) * | 2016-12-12 | 2018-02-21 | Chunghwa Telecom Co Ltd | 虛擬智慧卡應用於行動裝置之金鑰管控方法 |
| KR102441023B1 (ko) * | 2016-12-30 | 2022-09-06 | 주식회사 케이티 | 일회용 웹 서비스 제공 시스템 및 방법 |
| GB2561822B (en) * | 2017-04-13 | 2020-02-19 | Arm Ip Ltd | Reduced bandwidth handshake communication |
| CN110770695B (zh) * | 2017-06-16 | 2024-01-30 | 密码研究公司 | 物联网(iot)设备管理 |
| US11290466B2 (en) * | 2017-08-16 | 2022-03-29 | Cable Television Laboratories, Inc. | Systems and methods for network access granting |
| US11132457B2 (en) | 2019-03-21 | 2021-09-28 | Microsoft Technology Licensing, Llc | Editing using secure temporary session-based permission model in a file storage system |
Family Cites Families (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7107610B2 (en) | 2001-05-11 | 2006-09-12 | Intel Corporation | Resource authorization |
| US7698389B2 (en) * | 2001-05-16 | 2010-04-13 | Hewlett-Packard Development Company, L.P. | Device configuration in a distributed environment |
| US7362698B2 (en) | 2004-01-22 | 2008-04-22 | International Business Machines Corporation | Method, system and service for achieving synchronous communication responsive to dynamic status |
| JP4698239B2 (ja) * | 2005-01-31 | 2011-06-08 | エヌ・ティ・ティ・ソフトウェア株式会社 | Webサイトの成りすまし検出方法及びプログラム |
| JP2006221242A (ja) * | 2005-02-08 | 2006-08-24 | Fujitsu Ltd | 認証情報詐取防止システム、プログラム及び方法 |
| US20070174630A1 (en) * | 2005-02-21 | 2007-07-26 | Marvin Shannon | System and Method of Mobile Anti-Pharming and Improving Two Factor Usage |
| US8095967B2 (en) | 2006-07-27 | 2012-01-10 | White Sky, Inc. | Secure web site authentication using web site characteristics, secure user credentials and private browser |
| US8060916B2 (en) * | 2006-11-06 | 2011-11-15 | Symantec Corporation | System and method for website authentication using a shared secret |
| WO2008064403A1 (en) | 2006-11-27 | 2008-06-05 | Emue Holdings Pty Ltd | Remote service authentication method |
| JP5012044B2 (ja) * | 2007-01-26 | 2012-08-29 | 日本電気株式会社 | コンテンツ配信システム、コンテンツ配信方法及びプログラム |
| JP5044784B2 (ja) * | 2007-01-30 | 2012-10-10 | ヤフー株式会社 | ユーザを認証する方法及びサーバ |
| US8352743B2 (en) | 2007-02-07 | 2013-01-08 | Nippon Telegraph And Telephone Corporation | Client device, key device, service providing apparatus, user authentication system, user authentication method, program, and recording medium |
| JP4942101B2 (ja) * | 2007-04-17 | 2012-05-30 | 株式会社セキュアブレイン | 認証システム及び認証プログラム |
| US20080270571A1 (en) * | 2007-04-30 | 2008-10-30 | Walker Philip M | Method and system of verifying permission for a remote computer system to access a web page |
| US7979899B2 (en) * | 2008-06-02 | 2011-07-12 | Microsoft Corporation | Trusted device-specific authentication |
| JP5258422B2 (ja) | 2008-07-01 | 2013-08-07 | Kddi株式会社 | 相互認証システム、相互認証方法およびプログラム |
| JP5341481B2 (ja) * | 2008-11-13 | 2013-11-13 | 三菱電機ビルテクノサービス株式会社 | Webページへのアクセス認証装置 |
| US8510811B2 (en) * | 2009-02-03 | 2013-08-13 | InBay Technologies, Inc. | Network transaction verification and authentication |
| US8468582B2 (en) * | 2009-02-03 | 2013-06-18 | Inbay Technologies Inc. | Method and system for securing electronic transactions |
| US20100241865A1 (en) * | 2009-03-19 | 2010-09-23 | Chunghwa Telecom Co., Ltd | One-Time Password System Capable of Defending Against Phishing Attacks |
| JP2011076195A (ja) * | 2009-09-29 | 2011-04-14 | Triworks Corp Japan | ユニークなurl情報が記載された会員証と携帯電話端末とを用いた会員管理サーバ装置及びシステム |
| US9112863B2 (en) * | 2009-12-14 | 2015-08-18 | International Business Machines Corporation | Method, program product and server for controlling a resource access to an electronic resource stored within a protected data environment |
| US8776169B2 (en) * | 2010-03-30 | 2014-07-08 | Authentic8, Inc. | Disposable browsers and authentication techniques for a secure online user environment |
| KR101581606B1 (ko) * | 2011-12-16 | 2015-12-30 | 인텔 코포레이션 | 원격 서버에 대한 안전한 사용자 증명 및 인증 |
| US9380026B2 (en) * | 2011-12-27 | 2016-06-28 | Intel Corporation | Authenticating to a network via a device-specific one time password |
| US9887997B2 (en) | 2011-12-28 | 2018-02-06 | Intel Corporation | Web authentication using client platform root of trust |
| US8893255B1 (en) * | 2013-10-23 | 2014-11-18 | Iboss, Inc. | Device authentication using device-specific proxy addresses |
-
2011
- 2011-12-28 US US13/992,811 patent/US9887997B2/en active Active
- 2011-12-28 JP JP2014550250A patent/JP5850382B2/ja not_active Expired - Fee Related
- 2011-12-28 EP EP11878354.7A patent/EP2798772A4/en not_active Withdrawn
- 2011-12-28 WO PCT/US2011/067592 patent/WO2013100967A1/en active Application Filing
- 2011-12-28 CN CN201180075948.8A patent/CN104025503B/zh not_active Expired - Fee Related
-
2012
- 2012-12-18 TW TW101148119A patent/TWI477137B/zh not_active IP Right Cessation
Also Published As
| Publication number | Publication date |
|---|---|
| US9887997B2 (en) | 2018-02-06 |
| TW201347499A (zh) | 2013-11-16 |
| EP2798772A1 (en) | 2014-11-05 |
| CN104025503A (zh) | 2014-09-03 |
| JP2015503792A (ja) | 2015-02-02 |
| CN104025503B (zh) | 2017-07-28 |
| US20140289831A1 (en) | 2014-09-25 |
| TWI477137B (zh) | 2015-03-11 |
| WO2013100967A1 (en) | 2013-07-04 |
| EP2798772A4 (en) | 2015-10-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5850382B2 (ja) | ウェブ認証を用いるクライアントプラットフォームの信頼のルート | |
| KR102563795B1 (ko) | 자원 구동 동적 권한부여 프레임워크 | |
| US20210004453A1 (en) | Device-specific authentication credentials | |
| EP2854365B1 (en) | Detecting and preventing man-in-the-middle attacks on an encrypted connection | |
| US9547756B2 (en) | Registration of devices in a digital rights management environment | |
| US8532620B2 (en) | Trusted mobile device based security | |
| EP2609722B1 (en) | Securely accessing an advertised service | |
| US8893255B1 (en) | Device authentication using device-specific proxy addresses | |
| US20140282992A1 (en) | Systems and methods for securing the boot process of a device using credentials stored on an authentication token | |
| US10911485B2 (en) | Providing cross site request forgery protection at an edge server | |
| WO2014182865A1 (en) | Authentication and authorization with a bundled token | |
| CN103067338A (zh) | 第三方应用的集中式安全管理方法和系统及相应通信系统 | |
| JP2015535362A (ja) | ウェブサービスに安全にアクセスするための方法および装置 | |
| JP2015194879A (ja) | 認証システム、方法、及び提供装置 | |
| CN113615144A (zh) | 用于验证虚拟会话请求的系统和方法 | |
| Abdelrazig Abubakar et al. | Blockchain-based identity and authentication scheme for MQTT protocol | |
| US9621546B2 (en) | Method of generating one-time password and apparatus for performing the same | |
| US20130091355A1 (en) | Techniques to Prevent Mapping of Internal Services in a Federated Environment | |
| KR101619928B1 (ko) | 이동단말기의 원격제어시스템 | |
| Tiwari et al. | Design and Implementation of Enhanced Security Algorithm for Hybrid Cloud using Kerberos | |
| KR20180028751A (ko) | Fido 2.0에서 인증서를 이용한 사용자 인증 방법 및 장치 | |
| KR102534012B1 (ko) | 컨텐츠 제공자의 보안등급을 인증하는 시스템 및 그 방법 | |
| JP2016071542A (ja) | 端末装置、認証サーバ、認証システム、認証方法及び認証プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150624 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150728 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20151013 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20151104 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20151120 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5850382 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |