JP5886472B2 - オンライン識別及び認証 - Google Patents

オンライン識別及び認証 Download PDF

Info

Publication number
JP5886472B2
JP5886472B2 JP2015504539A JP2015504539A JP5886472B2 JP 5886472 B2 JP5886472 B2 JP 5886472B2 JP 2015504539 A JP2015504539 A JP 2015504539A JP 2015504539 A JP2015504539 A JP 2015504539A JP 5886472 B2 JP5886472 B2 JP 5886472B2
Authority
JP
Japan
Prior art keywords
user
identity
hash value
authentication
contact representation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2015504539A
Other languages
English (en)
Other versions
JP2015512599A (ja
Inventor
ウォーカー、ジェシー
プラカシュ、ギャン
スタナソロヴィッチ、デーヴィッド
アール. グレッグ、ジェームズ
アール. グレッグ、ジェームズ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intel Corp
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Publication of JP2015512599A publication Critical patent/JP2015512599A/ja
Application granted granted Critical
Publication of JP5886472B2 publication Critical patent/JP5886472B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3821Electronic credentials
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3827Use of message hashing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2117User registration
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q2220/00Business processing using cryptography
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/24Key scheduling, i.e. generating round keys or sub-keys for block encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Finance (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Telephonic Communication Services (AREA)

Description

技術分野
概して、本実施形態はユーザのオンライン識別及び認証に関する。より具体的には、本実施形態は、動的に知り合いのユーザを識別し認証するための個人の複数のクレデンシャル(例えば、個人の複数の鍵ペア、複数のオンライン識別)を利用することに関する。
議論
公開鍵インフラストラクチャーは、信頼の基礎を確立するために、(例えば、認証機関(CA)によって発行される(証明書等の)クレデンシャルを利用してよい。しかしながら、公開鍵インフラストラクチャーを利用することに伴う課題は、クレデンシャルによってその認証機関に関して第1のユーザの身元を認証することはできるが、第1のユーザは自身を第2の認証機関によって発行されたクレデンシャルを有するユーザに対して認証することはできないということでありうる。 更には、もし第1のユーザが(第1の認証機関だけでなく)第2の認証機関から発行されたクレデンシャルを有しても、第1のユーザは、自身を第2のユーザへ認証することができないかもしれない。
以下の明細書および添付の特許請求の範囲を読み以下の図面を参照することによって、本願発明の実施形態の様々な利点が当業者に明らかになるであろう。
本発明の実施形態に従って、知り合いのユーザを動的に識別し認証する第1のコンピューティングシステムの実施例のブロック図である。 本発明の実施形態に従って、知り合いのユーザを動的に識別し認証する第2のコンピューティングシステムの実施例のブロック図である。 本発明の実施形態に従って、知り合いのユーザを動的に識別し認証する第3のコンピューティングシステムの実施例のブロック図である。 本発明の実施形態に従って、知り合いのユーザを動的に識別し認証する第4のコンピューティングシステムの実施例のブロック図である。 本発明の実施形態に従って、知り合いのユーザを動的に識別し認証する第1の方法の実施例のフローチャートである。 本発明の実施形態に従って、知り合いのユーザを動的に識別し認証する第2の方法の実施例のフローチャートである。 本発明の実施形態に従って、知り合いのユーザを動的に識別し認証する第3の方法の実施例のフローチャートである。
ここで図1に移ると、知り合いのユーザを動的に識別し認証するように構成されたコンピューティングシステムの実施例のブロック図が示される。コンピューティングシステム100は、第1のユーザ10によって操作される第1のユーザデバイス11、第2のユーザ20によって操作される第2のユーザデバイス21、第3のユーザ30によって操作される第3のユーザデバイス31を備える。第1のユーザデバイス11、第2のユーザデバイス21、および第3のユーザデバイス31は、インターネット等のネットワーク5に結合されてよい。本実施例において第1のユーザ10は雇用者であってよく、第2のユーザ20および第3のユーザ30を雇用してよい。
第1のユーザデバイス11、第2のユーザデバイス21および第3のユーザデバイス31は、他のユーザデバイスに結合され通信を開始し得る、いかなるデバイスであってよい。本実施例において、第1のユーザデバイス11はデスクトップコンピュータであってよく、第2のユーザデバイス21はモバイルデバイス(例えば、モバイル/スマートフォン、携帯情報端末、スマートタブレットデバイス)であってよく、第3のユーザデバイス31はノートブックコンピュータであってよい。第1のユーザデバイス11、第2のユーザデバイス21、および第3のユーザデバイス31は、様々なデータを格納するために用いられうる第1のユーザデバイスメモリ12、第2のユーザデバイスメモリ22、第3のユーザデバイスメモリ32を有してよい。また本実施例において、第1のユーザデバイス11、第2のユーザデバイス21、および第3のユーザデバイス31は有線イーサネット(登録商標)接続を介して通信を行ってよい。
概して、本願発明の本実施形態において、クレデンシャル(例えば証明書)は、とりわけ、発行する側のユーザと受信する側のユーザ(これ以降では、発行者および受信者は互いを「知り合い」のユーザとして参照してよい)との間で共有された認証コミュニケーション理由を表し、ユーザの身元を認証してよい。認証の後、特にこれらのユーザは、(安全な)通信を許可し、実装し、そして(安全な)トランザクションを行ってよい。
例えば本実施例において、第1のユーザ雇用者10は、第1のユーザ証明書13を保持し、第2のユーザ証明書23を第2のユーザ20へ、第3のユーザ証明書33を第3のユーザ30へそれぞれ発行してよい。第2のユーザ証明書23および第3のユーザ証明書33は、第2のユーザ20および第3のユーザ30が第1のユーザの従業者であることを認証する(即ち、第1の認証コミュニケーション理由)ために発行されてよい。
第1のユーザ証明書13は、第1のユーザ公開鍵15と第1のユーザプライベート鍵16とを含む第1のユーザ鍵ペア14を有してよい。第2のユーザ証明書23は、第2のユーザ公開鍵25と第2のユーザプライベート鍵26とを含む第2のユーザ鍵ペア24を有してよい。第3のユーザ証明書33は、第3のユーザ公開鍵35と第3のユーザプライベート鍵36とを含む第3のユーザ鍵ペア34を有してよい。第1のユーザ証明書13は第1のユーザデバイスメモリ12に格納されてよく、第2のユーザ証明書23は第2のユーザデバイスメモリ22に格納されてよく、第3のユーザ証明書33は第3のユーザデバイスメモリ32に格納されてよい。
第2のユーザ非雇用者20は、また、同僚(即ち、第1の認証コミュニケーション理由)として第3のユーザ非雇用者30に対し自身の関係を識別し認証するために、第3のユーザ非雇用者30と第2証明書22を取り交してよい。また例えば認証を受信すると、第2のユーザ20は、例えば、安全な通信ラインへアクセスし、第3のユーザ30へ雇用関連の秘密文書を送信してよい。証明書23、33は、また、これらが元来発行されまたは取り交わされた事情とは異なる事情で利用されてよい。即ち、証明書は、ひとたび第1の認証コミュニケーション理由に基づいて認証されると、その後は、他のいかなる認証コミュニケーション理由でその2つの当事者の間の通信を認証するのに用いられてもよい。
本願発明の実施形態において、いかなるユーザも、証明書を、特定の認証コミュニケーション理由(例えば、友人、面識がある、社交クラブ)に基づいて発行してもよく、または他のユーザから受信してよい。それぞれの新たな認証コミュニケーション理由に関するそれぞれの新たな証明書が、ユーザを識別し認証するべく利用されてよい。認証の後、複数の証明書が、知り合いのユーザとの(安全な)通信を許可し行うために利用され、そして、知り合いのユーザとの(安全な)トランザクションを実装してよい。従って、例えば、同僚として互いに認証をした後、第2のユーザ20と第3のユーザ30とは、第2の認証コミュニケーション理由(友人など)を表すために、互いに複数の証明書を発行してよい。具体的には、第2のユーザ20は第3のユーザ30に第4の証明書27を発行し、第3のユーザ30は第2のユーザ20に第5の証明書37を発行してよい。
更には、発行された証明書はいずれも、2の当事者の間で、紹介の基礎としての役目をいずれにおいても同様に果たしてよい。より具体的には、第2の当事者と共通の関係を共有し、第3の当事者と共通の関係を共有する第1の当事者は、それらの複数の共通の関係を認証しかつ紹介を行うための証明書を利用してよい。従って、例えば上で説明した実施例において第2のユーザ20は、第2のユーザ20が証明書を発行ずみの他の当事者(別の友人など)へ第3のユーザ30を紹介すべく第4の証明書27を利用してよい。
その結果、ユーザは、多くの異なる事情で使用するための多くの異なる証明書を蓄積してよい。各特有の認証コミュニケーション理由は(また、拡張により発行または受信された各証明書は)、別個の区別されたユーザの身元に対応してよい。これらの個人の複数の身元の全体が、ユーザの重複する(cumulative)身元を表してよい。本願発明の実施形態は、さらに、ユーザの重複する身元を記述する身元コンタクト表現を生成するためのアルゴリズムの使用を提供してよい。とりわけ身元コンタクト表現は、全てのコミュニケーション理由に渡って、ユーザと結びつけられた全ての証明書を、把握して、かつ組み込んでよい。生成された身元コンタクト表現は(組み込まれた複数の証明書を利用して)、共通の認証コミュニケーション理由を共有し、知り合いのユーザの身元を認証するユーザを、識別してよい。認証の後、身元コンタクト表現は、知り合いのユーザとの安全な通信のための基礎を確立し、知り合いのユーザとの安全なトランザクションを行うために用いられてよい。さらに、身元コンタクト表現の生成は、変化するユーザの重複する身元を明らかにすべく継続して再生されるという点で動的であってよい。
例えば、第1のユーザ10は、第1のユーザ身元コンタクト表現18を生成するために、第1のユーザ身元コンタクト表現アプリケーション17を利用してよい。同様に、第2のユーザ20は、第2のユーザ身元コンタクト表現29を生成すべく第2のユーザ身元コンタクト表現アプリケーション28を利用してよく、第3のユーザ30は、第3のユーザ身元コンタクト表現39を生成すべく第3のユーザ身元コンタクト表現アプリケーション38を利用してよい。身元コンタクト表現アプリケーションは、結びつけられたあらゆるデバイスからユーザデバイスへダウンロードされてよく、あるいは、ユーザデバイスの購入時に存在していてもよい。
図1に示されたブロックの配列および付番は、他の可能性を除外した動作の順序を示唆することを意図するものではない。当業者であれば、上記システムおよび方法が、様々な変形形態および変更を受けることが可能であると理解できる。
例えば、上述の実施形態において、第1のユーザデバイス10、第2のユーザデバイス21および第3のユーザデバイス31は、有線イーサネット(登録商標)接続を介して通信をしてもよい。しかしながら、他の実施形態では、これらのデバイスのうち1または複数は、環境に応じて、近距離通信プロトコルのような無線接続、無線データ接続(IEEE802.11の1999版、LAN/MAN 無線LANS(WiFi)、IEEE802.16−2004、LAN/MANブロードバンド無線LANS(WiMAX)、Bluetooth(登録商標)(IEEE802.15.1−2005、ワイヤレス・パーソナル・エリア・ ネットワーク)、Zigbee(登録商標)(IEEE 802.15.4)など)、携帯電話接続(例えば、W−CDMA(UMTS)、CDMA2000(IS−856/IS−2000)など)、有線データ接続(例えば、RS−232(電子工業会/EIA)、イーサネット(登録商標)(IEEE802.3−2005、LAN/MAN CSMA/CD Access Method)、電力線搬送通信(X10、IEEE P1675)、USB(ユニバーサルシリアルバス2.0仕様))などを介して通信してよい。
ここで図2に移ると、知り合いのユーザを動的に識別し認証するように構成されるコンピューティングシステムの実施例のブロック図が示される。本実施例において、(図1で議論された)第2のユーザ20が第2のユーザデバイス21(即ち、モバイルデバイス)を操作し、(図1で議論された)第3のユーザ30が第3のユーザデバイス31(即ち、ノートブックコンピュータ)を操作してよい。両方のデバイスは、商業施設(例えば、コーヒー店)により維持された無線ネットワーク75と結合してよい。本実施例では、予め複数の証明書(即ち、第4の証明書27、第5の証明書37)を取り交わした後に、第2のユーザ20と第3のユーザ30とが同時に商業施設を訪れてよい。
第2のユーザ20は、第3のユーザデバイス31が無線ネットワーク75上にあることを識別するために無線ネットワーク75にアクセスし、そして第3のユーザ身元コンタクト表現39にアクセスしてよい。同様に、第3のユーザ30は、無線ネットワーク75にアクセスし、第2のユーザデバイス21が無線ネットワーク75にあることを識別し、そして第2のユーザ身元コンタクト表現29にアクセスしてよい。本実施形態において、第2のユーザ身元コンタクト表現29は第5の証明書37に関する情報を含んでよく、第3のユーザ身元コンタクト表現39は第4の証明書27に関する情報を含んでよい。
上記したように、第2のユーザ20および第3のユーザ30は、既存の関係(即ち、友人)を認証するために第2のユーザ身元コンタクト表現29および第3のユーザ身元コンタクト表現39を利用してよい。さらに認証の後、2の当事者は、例えば無線ネットワーク75によって身元コンタクト表現29、39を利用してよく、これにより安全な通信(即ち、オンラインチャット)を実装し、または安全なトランザクション(文書転送)を行う。
ここで図3に移ると、知り合いのユーザを識別し、通信を送信するための身元コンタクト表現を用いるコンピューティングシステムの実施例のブロック図が示される。本システムは、無線ネットワーク85、第2のユーザ20により操作される第2のユーザデバイス21(図1で論じたモバイルデバイス)および、第3のユーザ30によって操作される第3のユーザデバイス31(図1で論じたノートブックコンピュータ)を有してよい。本実施例において、第2のユーザ20は、雇用関連の電子メールを第3のユーザ30へ送信しようとしていてよい。第3のユーザの名前は、ジョン・スミスかもしれない。
第2のユーザ20は電子メールディレクトリにアクセスしてよく、これにおりジョン・スミスという名前の人が10人いることを発見する。目標とする受信者を判断するために、第2のユーザ20は、ジョン・スミスという名前の各ユーザの身元コンタクト表現にアクセスしてよい。このようにすることで、第2のユーザ20は、これらの人々の誰と第2のユーザ20が既存の関係を有しており、またその関係がどのようなものであるか、を識別することができてよい。加えて、もし関連がある場合には、第2のユーザ20は、どのユーザが第2のユーザ20および第3のユーザ30の両者と関係を共有しているかを識別することができてよい。この情報を利用しつつ、第2のユーザは、雇用関連の電子メールを送信すべき正しいジョン・スミス氏(即ち、第3のユーザ30)を選択するための情報を使用してよい。
ここで図4に移ると、知り合いのユーザを動的に識別し認証するために、発行された証明書を用いるコンピューティングシステムの実施例のブロック図が示される。本システムは、無線ネットワーク95、第2のユーザ20により操作される第2のユーザデバイス21(図1で論じたモバイルデバイス)および、第3のユーザ30によって操作される第3のユーザデバイス31(図1で論じたノートブックコンピュータ)を有してよい。上記で論じたように、第2のユーザ20および第3のユーザ30は、第2のユーザ身元コンタクト表現29および第3のユーザ身元コンタクト表現39を利用してよい。本システムは、また、第4のユーザ40によって操作される第4のユーザデバイス41(例えば、タブレットデバイス)および第5のユーザ50によって操作される第5のユーザデバイス51(例えば、ノートブックデバイス)を有してよい。第4のユーザ40は第4のユーザ身元コンタクト表現42を利用してよく、第5のユーザ50は、第5のユーザ身元コンタクト表現52を利用してよい。
本実施例において、第2のユーザ20、第3のユーザ30、第4のユーザ40および第5のユーザ50は、全て、同じ雇用者(例えば、第1のユーザ10)の従業者であってよい。従って彼ら全員が、第1のユーザ雇用者10によって発行される複数の証明書によって表される第1の共通の認証コミュニケーション理由(即ち、共通の雇用)を有してよい。第1のユーザ雇用者10によって発行された複数の証明書は、それぞれの身元コンタクト表現の中で説明されてよい。これとは別に、第2のユーザ20および第3のユーザ30は、第2の共通の認証コミュニケーション理由(例えば、友人として)を個別に共有してよい。
そこで本実施例において、第2のユーザ20と第3のユーザ30とが仕事関係のオンラインチャットを行っている場合に、第4のユーザ40および第5のユーザ50は、(共通の認証コミュニケーション理由に基づいて)認証され、かつそのチャットへと喚起されるべき自身の身元コンタクト表現を、利用してよい。実際、いくつかの実施形態において、チャットに参加するために第4のユーザ40および第5のユーザ50は、自身の各身元コンタクト表現を利用してよい。しかしながら他方で、もし第2のユーザ20および第3のユーザ30が友人という共通の認証コミュニケーション理由に関するオンラインチャットを有する場合に、第4のユーザ40および第5のユーザ50はそのチャットへと喚起されるべき自身の各身元コンタクト表現を利用することができなくてもよい。このように動作してよい理由は、彼らは第2の共通の認証コミュニケーション理由を共有しておらず(即ち、彼らはこの理由で発行され受信された証明書を共有していない)、その結果として、この認証コミュニケーション理由では認証されないから、であってよい。
ここで図5に移ると、知り合いのユーザを動的に識別し認証する方法の実施例のフローチャートが示される。本方法は、ランダムアクセスメモリ(RAM)、読み出し専用メモリ(ROM)、プログラマブルROM(PROM)、ファームウェア、フラッシュメモリ等の、機械またはコンピュータ可読記憶媒体、例えばプログラマブル論理アレー(PLA)、フィールドプログラマブルゲートアレー(FPGA)、結合プログラマブル論理デバイス(CPLD)等の構成可能な論理、特定用途向け集積回路(ASIC)、相補型MOS(CMOS)、トランジスタ−トランジスタ論理(TTL)技術等の回路技術を用いた固定機能性論理ハードウェア、またはこれらの組み合わせに格納された、一連の論理命令として実装されてよい。例えば、本方法において示された動作を実行するためのコンピュータープログラムコードは、Java(登録商標)、Smalltalk、C++またはその他のオブジェクト指向プログラミング言語、および、Cプログラミング言語や同様のプログラミング言語等の従来の手続き型プログラミング言語を含んだ1または複数のプログラミング言語の組み合わせで書き込まれてよい。
本実施例において、雇用者である第1のユーザ(図1の第1のユーザ10等)は、第1のユーザデバイス(図1の第1のユーザデバイス11等)を利用してよい。第1のユーザデバイスは、第2のユーザデバイス(図1の第2のユーザデバイス21等)を利用して、第2のユーザ従業者(図1の第2のユーザ20等)と結びつけられてよい。第1のユーザデバイスおよび第2のユーザデバイスは、また、第3のユーザデバイス(図1の第3のユーザデバイス31等)を利用して、第3のユーザ従業者(第3のユーザ30等)と結びつけられてよい。第1のユーザデバイスは、第1の証明書(図1の第1のユーザ証明書13等)を格納してよい。処理ブロック5000で、本方法が開始する。
処理ブロック5010において第1のユーザは、従業員のそれぞれへ証明書を発行してよく、これにより第1の認証コミュニケーション理由(即ち、従業者としての)を確立し認証し、将来のトランザクションの基礎としてこれらの証明書を利用する。具体的には第1のユーザ雇用者は、第2の証明書(図1の第2証明書23等)を第2のユーザへ、第3の証明書(図1の第3証明書33等)を第3のユーザへ、発行してよい。
処理ブロック5020において、第2のユーザおよび第3のユーザは、第2の認証コミュニケーション理由(例えば、友人としての)を確立し認証するために、互いに証明書を発行してよい。具体的には第2のユーザは、第4の証明書(図1の第4証明書27等)を第3のユーザに発行することができる。同様に第3のユーザは、第5の証明書(図1の第5証明書37等)を第2のユーザに発行することができる。処理ブロック5030において、第1のユーザ、第2のユーザおよび第3のユーザのそれぞれは、個人の身元コンタクト表現(図1の第2のユーザ身元コンタクト表現29等)を生成するために、身元コンタクト表現アプリケーション(図1の第2のユーザ身元コンタクト表現アプリケーション28等)を利用してよい。
処理ブロック5040において、その後、第2のユーザは、結びつけられたデバイスを知り合いのユーザが操作しているかどうかを判断すべく、第2のユーザ身元コンタクト表現および第2のユーザ身元コンタクト表現アプリケーションのうち少なくとも1つを利用してよい。例えば第2のユーザは、第1のユーザを識別すべく第1のユーザ身元コンタクト表現を読み出し、そして第3のユーザを識別するために第3のユーザ身元コンタクト表現を読み出してよい。処理ブロック5050において、第2のユーザは、自分が1つの共通の認証コミュニケーション理由を第1のユーザ(即ち雇用者と従業者)と共有し、2つの共通の認証コミュニケーション理由を第3のユーザ(即ち、同僚および友人)と共有していると判断してよい。処理ブロック5060において、第2のユーザおよび第3のユーザは、各自の身元コンタクト表現(そして、拡張により、友人としての認証コミュニケーション理由でそれぞれ取り交わされた証明書)を利用して、それぞれを認証してよい。処理ブロック5070において、第2のユーザは、第3のユーザと安全なオンライン通信(即ち、暗号化されたオンラインチャット)を開くことを望むかもしれない。処理ブロック5090で、処理が終了してよい。
図5に示された処理ブロックの順番および付番は、他の可能性を除外した動作の順序を示唆することを意図するものではない。当業者であれば、上記システムおよび方法が、様々な変形形態および変更を受けることが可能であることが理解できる。例えば、上で説明された実施例において、第2のユーザは、第3のユーザとの安全なオンライン通信を開いてよい(処理ブロック5080)。これは、必ずしも他の実施形態では必要ではない。代わりに、第2のユーザおよび第3のユーザは、安全なトランザクション(例えば、安全な文書転送)を開始し実装してよい。
ここで図6に移ると、身元コンタクト表現を生成するための方法の実施例のフローチャートが示される。本方法は、RAM、ROM、PROM、ファームウェア、フラッシュメモリ等の、機械またはコンピュータ可読記憶媒体、PLA、FPGA、CPLD等の構成可能な論理、ASIC、CMOS、TTL技術等の回路技術を用いた固定機能性論理ハードウェア、またはこれらの組み合わせに格納された、一連の論理命令として実装されてよい。例えば、本方法において示された動作を実行するためのコンピュータープログラムコードは、Java(登録商標)、Smalltalk、C++またはその他のオブジェクト指向プログラミング言語、および、Cプログラミング言語や同様のプログラミング言語等の従来の手続き型プログラミング言語を含んだ1または複数のプログラミング言語の組み合わせで書き込まれてよい。
本実施例において、第1のユーザであるアリスさん(図1の第2のユーザ20等)は、第2のユーザデバイス(図1の第3のユーザデバイス31等)を利用しつつ、第2のユーザであるボブ氏(図1の第3のユーザ30等)と結びつけられるべき第2のユーザデバイス(図1の第2のユーザデバイス21等)を利用してよい。また本実施例において、アリスさんは自身に対して、アリスさんが彼女自身であると識別される公開鍵と身元と含んだ証明書(自己署名証明書)を発行してよい。アリスさんに対する身元コンタクト表現を生成する処理は、処理ブロック6000で開始してよい。
処理ブロック6010において、アリスさんは、第2のユーザであるボブ氏に、例えば第2証明書22(図1)のような第1の証明書を発行してよい。第1の証明書は第2のユーザ鍵ペア24(図1)のような第1の鍵ペアを有してよく、第1の鍵ペアは、第2のユーザ公開鍵25(図1)のような第1の公開鍵、および第2のユーザプライベート鍵26(図1)のような第1の秘密鍵を含んでよい。
処理ブロック6020においてボブ氏は、アリスさんへ第2の証明書を発行してよい。第2の証明書は、第2の公開鍵と第2の秘密鍵とを含む第2の鍵ペアを有してよい。処理ブロック6030において、アリスさんは、身元コンタクト表現アプリケーション28(図1)等の身元コンタクト表現アプリケーションを開いてよい。
処理ブロック6040において、アリスさんへの証明書を発行済みの各当事者(例えば、第2のユーザ)に対して、身元コンタクト表現アプリケーションは、ユーザのための公開鍵ハッシュ値を計算するためにkビットの暗号学的ハッシュ関数(kは非ゼロの正の整数)を利用してよい。この場合、発行者の公開鍵は、第2のユーザによって、アリスさんに対して発行された証明書から取得されてよい。
処理ブロック6050において、アリスさんへの証明書を発行済みの各当事者(例えば、第2のユーザ)に対して、身元コンタクト表現アプリケーションは、第2のユーザのための身元ハッシュ値を計算するためにkビットの暗号学的ハッシュ関数(kは非ゼロの正の整数)を利用する。この場合、発行者の身元は、第2のユーザによって、アリスさんに対して発行された証明書から取得されてよい。
処理ブロック6060において、身元コンタクト表現アプリケーションは、アリスさんへ証明書を発行した各ユーザに対するコンタクト・ペアを生成してよい。この場合、ボブ氏に対するコンタクト・ペアは、ボブ氏に対する公開鍵ハッシュ値および第2のユーザに対する身元ハッシュ値を備えてよい。
処理ブロック6070において、身元コンタクト表現アプリケーションは、共通の認証コミュニケーション理由を第1のユーザと共有する複数のユーザ(非ゼロの正の整数n)の全てを表す複数のコンタクト・ペアを含んだコンタクト・ペア・フィールドを、生成してよい。例えば、この場合、公開鍵ハッシュ値および身元ハッシュ値のそれぞれはkビット長であるので、コンタクト・ペア・フィールドにおける各コンタクト・ペアは、ガロア体での要素を表してよい。即ち、本実施例において、アリスさんに対するコンタクト・ペア・フィールドは、n個のコンタクト・ペアのガロア体と類似し、この場合、nはゼロよりも大きい。
処理ブロック6080において、身元コンタクト表現アプリケーションは、生成されたコンタクト・ペア・フィールドを利用して、身元コンタクト表現29(図1)のような第1のユーザ身元コンタクト表現を計算してよい。例えば、この場合、身元コンタクト表現アプリケーションは、第1のユーザに特有の身元コンタクト表現を計算するために、ラグランジュ補間法等のいかなる多項式補間法を利用してもよい。より具体的には、本実施例において、身元コンタクト表現アプリケーションは、第1のユーザの身元コンタクト表現としてn個のペアの全てを通る(n−1)次の多項式を生成してよい。とりわけ(n−1)次の多項式は、ボブ氏のための公開鍵ハッシュ値を、第2のユーザの身元ハッシュ値へマッピングしてよい。処理ブロック6090において、処理が終了してよい。
図6に示された処理ブロックの順番および付番は、他の可能性を除外した動作の順序を示唆することを意図するものではない。当業者であれば、上記システムおよび方法が、様々な変形形態および変更を受けることが可能であることが理解できる。例えば、上で説明された実施例において、身元コンタクト表現アプリケーションは、アリスさんの特有の身元コンタクト表現を計算するために、ラグランジェ補間法を利用してよい。これは、必ずしも必要ではない。他の補間法(例えば、スプライン補間)が、同様に、使用されてもよい。
ここで図7に移ると、第2のユーザのための身元コンタクト表現を利用して、知り合いのユーザを第1のユーザが識別する方法の実施例のフローチャートが示される。本方法は、RAM、ROM、PROM、ファームウェア、フラッシュメモリ等の、機械またはコンピュータ可読記憶媒体、PLA、FPGA、CPLD等の構成可能な論理、ASIC、CMOS、TTL技術等の回路技術を用いた固定機能性論理ハードウェア、またはこれらの組み合わせに格納された、一連の論理命令として実装されてよい。例えば、本方法において示された動作を実行するためのコンピュータープログラムコードは、Java(登録商標)、Smalltalk、C++またはその他のオブジェクト指向プログラミング言語、および、Cプログラミング言語や同様のプログラミング言語等の従来の手続き型プログラミング言語を含んだ1または複数のプログラミング言語の組み合わせで書き込まれてよい。
本実施例において、第1のユーザ(図1の第1のユーザ10等)は、第2のユーザデバイス(図1の第2のユーザデバイス21等)を利用しつつ、第2のユーザ(図1の第2のユーザ20等)と結びつけられるべき第1のユーザデバイス(図1の第1のユーザデバイス11等)を利用してよい。第1のユーザデバイスおよび第2のユーザデバイスは、第3のユーザデバイス(図1の第3のユーザデバイス31等)を利用して、第3のユーザ(図1の第3のユーザ30等)に結びつけられてよい。本実施例において第1のユーザは、第1のユーザ身元コンタクト表現(図1の第1のユーザ身元コンタクト表現17等)を有してよい。第2のユーザは、第2の身元コンタクト表現(図1の第2のユーザ身元コンタクト表現29等)を有してよく、第3のユーザは第3の身元コンタクト表現(図1の第3のユーザ身元コンタクト表現39)を有してよい。
本実施例において、第3のユーザは、第2のユーザおよび第3のユーザの両方が、第1のユーザと共通の認証コミュニケーション理由を有していることを判断するために、身元コンタクト表現アプリケーション(例えば第2のユーザの身元コンタクト表現アプリケーション28)および第3の身元コンタクト表現のうち少なくとも1つを利用してよい。
さらに本実施例において第1のユーザは、例えば第1のユーザ証明書13(図1)のような第1のユーザ証明書を、第2のユーザおよび第3のユーザの両方と、予め取り交わしてよく、これらは第2のユーザ身元コンタクト表現および第3のユーザ身元コンタクト表現の両方において表されていてよい。しかしながら本実施例において、第2のユーザおよび第3のユーザは証明書を取り交わさなくてもよい。処理ブロック7000において、処理が開始してよい。
処理ブロック7010において、第2のユーザおよび第3のユーザは、お互いを、通信が利用可能なものとして(例えば、商業施設の無線ネットワーク上で)識別してよい。処理ブロック7020において、第2のユーザデバイスに配置された身元コンタクト表現アプリケーションにおける互いに挨拶を交わした(meet and greet)プロトコル部分が、第3のユーザデバイスと第2のユーザ身元コンタクト表現を取り交わしてよい。同様に処理ブロック7030において、第3のユーザデバイスに配置された身元コンタクト表現アプリケーションにおける互いに挨拶を交わしたプロトコル部分が、第2のユーザデバイスと第3のユーザ身元コンタクト表現を取り交わしてよい。
処理ブロック7040において、身元コンタクト表現アプリケーションは、第1のユーザによって身元コンタクト表現アプリケーションへ発行された証明書を利用しつつ、第1の値を決定してよい。本実施例において、第1の値は、第1のユーザによって発行された証明書に含まれる公開鍵のハッシュ値に関係した第2のユーザ身元コンタクト表現の値であってよい。
処理ブロック7050において、身元コンタクト表現アプリケーションは、第1のユーザによって身元コンタクト表現アプリケーションへ発行された証明書を利用しつつ、第2の値を決定してよい。本実施例において第2の値は、第1のユーザの身元のハッシュ値の値であってよい。
処理ブロック7060において、身元コンタクト表現アプリケーションは、第1の値と第2の値とを比較してよい。第1の値と第2の値とが同じ場合、処理ブロック7070において、第2のユーザおよび第3のユーザは、共通の関係を第1のユーザと共有してよい。他方で、第1の値と第2の値とが同じはない場合、処理ブロック7080において、2人の当事者は、共通の関係を第1のユーザと共有しなくてもよい。処理ブロック7080において、処理が終了してよい。
図7に示された処理ブロックの順番および付番は、他の可能性を除外した動作の順序を示唆することを意図するものではない。この開示の便益を有する人にとって、本明細書で説明された実施形態のより広い精神と範囲から逸脱することなく、様々な変形形態および変更をこれらの実施形態に対してなし得ることが明らかである。
例えば、上記で説明した実施例において、処理ブロック7060で説明された比較は、第2のユーザおよび第3のユーザが共通の関係を第1のユーザと共有してよいかどうかを判断するために使用されてよい。しかしながら、これは、必ずしも必要ではない。他の実施形態においては、第2のユーザおよび第3のユーザが共通の認証コミュニケーション理由を共有しており、かつ予め証明書を取り交わしていたということを判断するために、身元コンタクト表現アプリケーションが、第1の値および第2の値を利用してもよい。
即ち、複数の実施形態が、共通の認証コミュニケーション理由に基づき、第1のユーザおよび第2のユーザの間の関係を表すクレデンシャルを生成する段階と、第1のユーザからの前記クレデンシャルを第2のユーザへ取り交わす段階と、クレデンシャルを利用して、第2のユーザのための公開鍵ハッシュ値を生成する段階とを備えるオンライン識別及び認証の方法を提供してよい。上記方法は、クレデンシャルを利用して、第2のユーザのための身元ハッシュ値を生成する段階と、公開鍵ハッシュ値および身元ハッシュ値を利用してコンタクト・ペアを生成する段階とを提供してよい。上記方法は、さらに、コンタクト・ペアを利用してコンタクト・ペア・フィールドを生成する段階と、コンタクト・ペア・フィールドを利用して、第1のユーザのために、重複する身元を表す身元コンタクト表現を生成する段階とを提供してよい。
一実施例において、第2のユーザのための公開鍵ハッシュ値および第2のユーザのための身元ハッシュ値は、暗号学的ハッシュ関数を利用して生成される。
一実施例において、公開鍵ハッシュ値の生成に利用される暗号学的ハッシュ関数はkビット長であり、kは非ゼロの正の整数である。
他の実施例において、身元ハッシュ値の生成に利用される暗号学的ハッシュ関数はkビット長であり、kは非ゼロの正の整数である。
一実施例において、コンタクト・ペア・フィールドは、要素数2のガロア体によって表され、公開鍵ハッシュ値および身元ハッシュ値は、この体においてkビット要素として解釈される。
さらに他の実施例において、第1のユーザのための身元コンタクト表現が、多項式補間法を利用して生成される。
さらに他の実施例において、身元コンタクト表現は、公開鍵ハッシュ値を身元ハッシュ値へマッピングする多項式である。
さらに他の実施例において、身元コンタクト表現の生成は、動的である。
複数の実施形態は、また、コンピューティング装置において実行されることに応じて、当該コンピューティング装置に上述の方法の何れかに実施例を実行させる複数の命令、を備えた少なくとも1つの機械可読媒体、デバイスメモリおよび上述の方法の何れかの実施例の方法を実行するように構成されたロジックを備えた、オンライン識別及び認証のための装置、並びに、第1のデバイスメモリ、第2のデバイスメモリ、および上述の方法の何れかの実施例を実行するように構成されたロジックを備えたオンライン識別及び認証のためのシステム、を有してよい。
他の実施形態は、共通の認証コミュニケーション理由に基づき、第1のユーザおよび第2のユーザの間の関係を表すクレデンシャルを生成する段階と、第1のユーザからのクレデンシャルを第2のユーザへ取り交わす段階とを備えるオンライン識別及び認証の方法を提供してよい。上記方法は、また、クレデンシャルを利用して第1のユーザに対して第2のユーザを識別する段階と、クレデンシャルを利用して第1のユーザと第2のユーザとの間の関係を認証する段階と、認証の後に、第1のユーザと第2のユーザの間で通信を開始する段階とを提供してよい。
一実施例において、上記方法は、認証の後に、第1のユーザと第2のユーザの間でトランザクションを行う段階を有してよい。
他の実施例において、クレデンシャルは、第1のユーザのための明確な識別を表す。
他の実施例において、あらゆる共通の認証コミュニケーション理由によって、前記第1のユーザに対して発行され、受信された複数のクレデンシャルの全体が、前記第1のユーザの重複する身元を表す。
さらに他の実施例において、上記方法は、第1のユーザの重複する身元を記述するために、第1のユーザのための身元コンタクト表現を生成する段階を有してよい。
さらに他の実施例において、身元コンタクト表現の生成は動的である。
複数の実施形態は、また、コンピューティング装置において実行されることに応じて、当該コンピューティング装置に上述の方法の何れかに実施例を実行させる複数の命令を備えた少なくとも1つの機械可読媒体、デバイスメモリおよび上述の方法の何れかの実施例を実行するように構成されたロジックを備えた、オンライン識別及び認証のための装置、並びに、第1のデバイスメモリ、第2のデバイスメモリ、および上述の方法の何れかの実施例の方法を実行するように構成されたロジックを備えたオンライン識別及び認証のためのシステムを有してよい。
さらに他の実施形態では、メモリデバイスと、共通の認証コミュニケーション理由に基づき、第1のユーザおよび第2のユーザの間の関係を表すクレデンシャルを生成するクレデンシャルモジュールと、第1のユーザからのクレデンシャルを第2のユーザへ取り交わす取り交しモジュールと、クレデンシャルを利用して、第2のユーザのための公開鍵ハッシュ値を生成する公開鍵ハッシュモジュールとを備えた装置を提供してよい。上記装置は、また、クレデンシャルを利用して、第2のユーザのための身元ハッシュ値を生成する身元ハッシュモジュールと、公開鍵ハッシュ値および身元ハッシュ値を利用してコンタクト・ペアを生成するコンタクト・ペアモジュールとを備えてよい。さらに上記装置は、コンタクト・ペアを利用してコンタクト・ペア・フィールドを生成するコンタクト・ペア・フィールドモジュールと、コンタクト・ペア・フィールドを利用して、第1のユーザのために、重複する身元を表す身元コンタクト表現を生成する身元コンタクト表現モジュールとを備えてよい。
さらに他の実施形態では、通信ネットワーク、メモリデバイスを有する第1のユーザデバイス、および、メモリデバイスを有する第2のユーザデバイスを備えるシステムを提供してよい。上記システムは、また、共通の認証コミュニケーション理由に基づき、第1のユーザおよび第2のユーザの間の関係を表すクレデンシャルを生成するクレデンシャルモジュールと、第1のユーザからのクレデンシャルを第2のユーザへ取り交わす取り交しモジュールと、クレデンシャルを利用して、第2のユーザのための公開鍵ハッシュ値を生成する公開鍵ハッシュモジュールとを備えた装置を提供してよい。上記装置は、また、クレデンシャルを利用して、第2のユーザのための身元ハッシュ値を生成する身元ハッシュモジュールと、公開鍵ハッシュ値および身元ハッシュ値を利用してコンタクト・ペアを生成するコンタクト・ペアモジュールとを備えてよい。さらに上記装置は、コンタクト・ペアを利用してコンタクト・ペア・フィールドを生成するコンタクト・ペア・フィールドモジュールと、コンタクト・ペア・フィールドを利用して、第1のユーザのために、重複する身元を表す身元コンタクト表現を生成する身元コンタクト表現モジュールとを備えてよい。
上述の記載から、当業者には、本願発明に係る本実施形態の広い技術が様々な形で実装され得ることが明らかに理解されよう。よって、本願発明に係る複数の実施形態が特定の実施例に関連して説明されてきたが、図面、明細書および以下の特許請求の範囲を読めば、他の複数の変形形態が当業者には明らかであるので、本発明の実施形態の真の範囲は、そのような実施例に限定されるべきではない。
加えて、いくつかの図面において、信号導体線は線で表される。 あるものは、構成要素としての信号経路であることを強調して示すためにより太く描かれ、構成要素としての信号経路の個数を示すために数のラベルを有し、および/または、主要な情報の流れの方向を示すために1または複数の端部で矢印を有してよい。しかしながら、このことは、限定的に解釈されるべきではない。むしろ、そのような追加された詳細は、より容易な理解を促すために1または複数の例示的な実施形態に関連して使用されうる。追加の情報の有無に関わらず、表現されたいかなる信号線も、実際には、複数の方向へと伝わることができる1または複数の信号を含んでよく、そして、例えば、差動ペアとして実装されたデジタルまたはアナログ線、光ファイバ線、および/またはシングルエンド線等の適当なタイプの信号スキームで実装されてよい。
本願発明の実施形態がそれらに限定されるというわけではないが、実施例のサイズ、モデル、値、範囲が与えられている。(リソグラフィー等の)製造技術は時間と共に成長するので、より小さいサイズのデバイスが製造され得ることが予期される。加えて、例示と議論を簡単にするため、そして本発明の実施形態の特定の態様が曖昧にならないようにするために、周知の電力/接地接続および他のコンポーネントは図面に示されて示されなくてもよい。さらに、本発明の実施形態が曖昧となるのを回避する目的で複数の配列が処理ブロックダイアグラムの形で示されてよく、また、そのようなブロック図配列の実施に関連した詳細は当該実施形態が実装されるべきプラットフォームに大きく依存するという事実を考慮すると、そうした詳細は、十分に当業者の視野の範囲内であるべきである。具体的な詳細が本発明の事例的な実施形態を記述する目的で記載された場合に、そうした本発明の実施形態が、具体的な詳細の改変を伴わずに、または、伴って実施されうることは、当業者には明らかである。これにより、本説明は、限定的ではなく例示的に取り扱われるべきである。
本明細書において、「結合される、結びつけられる」との用語は、問題とされるコンポーネント間における、直接または間接の、あらゆるタイプの関係を参照するのに使用されてよく、電気の、機械の、流体の、光の、電磁気の、電気機械のまたはその他の接続に対して適用してよい。加えて、「第1の」「第2の」等の用語は、本明細書では考察を促すためだけに使用され、特に示されない限り、特定の一時的または経時的な意味を有さない。
本願発明の実施形態のいくつかの特徴と態様とが、限定する目的ではなくただの一例として、特定の実施形態を参照して詳細に例示され説明された。当業者であれば、開示された実施形態への代替形態の実施および様々な変形形態が、本開示の範囲と意図のうちにあることが理解されよう。従って、本発明は、添付された特許請求の範囲の範囲によってのみ限定されることが意図される。

Claims (20)

  1. オンライン識別及び認証の方法であって、
    共通の認証コミュニケーション理由に基づき、第1のユーザおよび第2のユーザの間の関係を表すクレデンシャルを第1のデバイスにより生成する段階と、
    前記クレデンシャルを前記第1のデバイスから第2のデバイスへ取り交わす段階と、
    前記クレデンシャルを利用して、前記第2のユーザのための公開鍵ハッシュ値を、前記第1のデバイスの身元コンタクト表現アプリケーションにより生成する段階と、
    前記クレデンシャルを利用して、前記第2のユーザのための身元ハッシュ値を、前記第1のデバイスの前記身元コンタクト表現アプリケーションにより生成する段階と、
    前記公開鍵ハッシュ値および前記身元ハッシュ値を利用してコンタクト・ペアを、前記第1のデバイスの前記身元コンタクト表現アプリケーションにより生成する段階と、
    前記コンタクト・ペアを利用してコンタクト・ペア・フィールドを、前記第1のデバイスの前記身元コンタクト表現アプリケーションにより生成する段階と、
    前記コンタクト・ペア・フィールドを利用して、前記第1のユーザのために、重複する身元を表す身元コンタクト表現を、前記第1のデバイスの前記身元コンタクト表現アプリケーションにより生成する段階と、
    を備える、方法。
  2. 前記第2のユーザのための前記公開鍵ハッシュ値および前記第2のユーザのための前記身元ハッシュ値は、暗号学的ハッシュ関数を利用して、前記第1のデバイスの前記身元コンタクト表現アプリケーションにより生成される、請求項1に記載の方法。
  3. 前記公開鍵ハッシュ値の生成に利用される暗号学的ハッシュ関数はkビット長であり、kは非ゼロの正の整数である、請求項1または2に記載の方法。
  4. 前記身元ハッシュ値の生成に利用される暗号学的ハッシュ関数はkビット長であり、kは非ゼロの正の整数である、請求項1から3のいずれか1項に記載の方法。
  5. 前記コンタクト・ペア・フィールドは、要素数2のガロア体によって表され、前記公開鍵ハッシュ値および前記身元ハッシュ値は、この体においてkビット要素として解釈され、kは非ゼロの正の整数である、請求項1から4のいずれか1項に記載の方法。
  6. 前記第1のユーザのための前記身元コンタクト表現は多項式補間法を利用して生成される、請求項1から5のいずれか1項に記載の方法。
  7. 前記身元コンタクト表現は、前記公開鍵ハッシュ値を前記身元ハッシュ値へマッピングする多項式である、請求項6に記載の方法。
  8. 前記身元コンタクト表現の前記生成は動的である、請求項1から7のいずれか1項に記載の方法。
  9. 前記第1のデバイスに請求項1から8の何れかに1項に記載の方法を実行させる、オンライン識別及び認証のための複数の命令、を備えたプログラム。
  10. 第1のデバイスメモリと、
    請求項1から8のいずれか1項に記載の方法を実行するように構成されたロジックと、
    を備える、第1のデバイス
  11. 第1のデバイスメモリを有する前記第1のデバイスと、
    第2のデバイスメモリを有する前記第2のデバイスと、
    を備え、
    前記第1のデバイスは、請求項1から8のいずれか1項に記載の方法を実行するように構成されたロジックを有する、オンライン識別及び認証を実行するためのシステム。
  12. オンライン識別及び認証の方法であって、
    共通の認証コミュニケーション理由に基づき、第1のユーザおよび第2のユーザの間の関係を表すクレデンシャルを第1のデバイスにより生成する段階と、
    前記クレデンシャルを前記第1のデバイスら第2のデバイスへ取り交わす段階と、
    前記クレデンシャルを利用して、前記第1のデバイスにより前記第1のユーザに対して前記第2のユーザを識別する段階と、
    前記クレデンシャルを利用して、前記第1のデバイスにより前記第1のユーザと前記第2のユーザとの間の前記関係を認証する段階と、
    認証の後に、前記第1のデバイスが前記第2のデバイスとの間で通信を開始する段階と、
    を備える、方法。
  13. 認証の後に、前記第1のデバイスと前記第2のデバイスとの間でトランザクションを行う段階を有する、請求項12に記載の方法。
  14. 前記クレデンシャルが前記第1のユーザのための明確な識別を表す、請求項12または13に記載の方法。
  15. あらゆる共通の認証コミュニケーション理由に渡って、前記第1のユーザに対して発行され、前記第1のユーザによって受信された複数のクレデンシャルの全体が、前記第1のユーザの重複する身元を表す、請求項12から14のいずれか1項に記載の方法。
  16. 前記第1のユーザの前記重複する身元を記述するために、前記第1のデバイスの身元コンタクト表現アプリケーションが当該第1のユーザのための身元コンタクト表現を生成する段階を有する、請求項15に記載の方法。
  17. 前記身元コンタクト表現の前記生成は動的である、請求項16に記載の方法。
  18. 前記第1のデバイスにおいて実行されることに応じて、当該第1のデバイスに請求項12から17のいずれか1項に記載の方法を実行させる、オンライン識別及び認証のための複数の命令、を備えた、プログラム。
  19. 第1のデバイスメモリと、
    請求項12から15のいずれか1項に記載の方法を実行するように構成されたロジックと、
    を備える、第1のデバイス
  20. 第1のデバイスメモリを有する前記第1のデバイスと、
    第2のデバイスメモリを有する前記第2のデバイスと、
    を備え、
    前記第1のデバイスは、請求項12から15のいずれか1項に記載の方法を実行するように構成されたロジックを有する、オンライン識別及び認証を実行するためのシステム。
JP2015504539A 2012-04-09 2012-04-09 オンライン識別及び認証 Expired - Fee Related JP5886472B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/US2012/032754 WO2013154525A1 (en) 2012-04-09 2012-04-09 Online identification and authentication

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2016024191A Division JP6154925B2 (ja) 2016-02-10 2016-02-10 オンライン識別及び認証の方法、プログラム、デバイス、及びシステム

Publications (2)

Publication Number Publication Date
JP2015512599A JP2015512599A (ja) 2015-04-27
JP5886472B2 true JP5886472B2 (ja) 2016-03-16

Family

ID=49327955

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015504539A Expired - Fee Related JP5886472B2 (ja) 2012-04-09 2012-04-09 オンライン識別及び認証

Country Status (5)

Country Link
US (2) US9774447B2 (ja)
EP (1) EP2847925B1 (ja)
JP (1) JP5886472B2 (ja)
CN (1) CN104205720B (ja)
WO (1) WO2013154525A1 (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2847925B1 (en) 2012-04-09 2018-05-23 Intel Corporation Online identification and authentication
CN104904157A (zh) * 2012-11-09 2015-09-09 蒂莫西·莫斯伯格 实体网络翻译
JP2015201073A (ja) * 2014-04-09 2015-11-12 日本電信電話株式会社 情報アクセス制御システム、情報共有サーバ、情報アクセス制御方法及びプログラム
US9584492B2 (en) * 2014-06-23 2017-02-28 Vmware, Inc. Cryptographic proxy service
KR101637863B1 (ko) 2016-01-05 2016-07-08 주식회사 코인플러그 본인인증용 정보 보안 전송시스템 및 방법
EP3623833A1 (en) 2018-09-11 2020-03-18 Volkswagen Aktiengesellschaft Apparatus, method and computer program for a mobile transceiver and for a base station transceiver

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001188757A (ja) 1999-12-28 2001-07-10 Nippon Telegr & Teleph Corp <Ntt> 証明書を用いたサービス提供方法
US7308496B2 (en) * 2001-07-31 2007-12-11 Sun Microsystems, Inc. Representing trust in distributed peer-to-peer networks
US7299351B2 (en) 2001-09-19 2007-11-20 Microsoft Corporation Peer-to-peer name resolution protocol (PNRP) security infrastructure and method
US7478078B2 (en) * 2004-06-14 2009-01-13 Friendster, Inc. Method for sharing relationship information stored in a social network database with third party databases
US7716139B2 (en) * 2004-10-29 2010-05-11 Research In Motion Limited System and method for verifying digital signatures on certificates
CN101039182B (zh) * 2007-03-07 2010-08-11 广东南方信息安全产业基地有限公司 基于标识的公钥密码认证系统及标识证书发放方法
EP2065843A1 (en) 2007-11-30 2009-06-03 Alcatel Lucent Process for establishing a social network with an adapted network architecture comprising a reasoning server
US8412930B2 (en) * 2008-10-09 2013-04-02 Microsoft Corporation Device authentication within deployable computing environment
CN101442522B (zh) * 2008-12-25 2011-08-10 中国电子科技集团公司第五十四研究所 一种基于组合公钥的通信实体标识认证方法
WO2010096063A1 (en) * 2009-02-23 2010-08-26 Hewlett-Packard Development Company, L.P. Social networking of mobile devices
JP2011123601A (ja) * 2009-12-09 2011-06-23 Nec Corp イベント一致判定装置、イベント一致判定方法、および、イベント一致判定プログラム
EP2847925B1 (en) 2012-04-09 2018-05-23 Intel Corporation Online identification and authentication

Also Published As

Publication number Publication date
US10623177B2 (en) 2020-04-14
CN104205720A (zh) 2014-12-10
US9774447B2 (en) 2017-09-26
EP2847925B1 (en) 2018-05-23
US20180131509A1 (en) 2018-05-10
WO2013154525A1 (en) 2013-10-17
JP2015512599A (ja) 2015-04-27
EP2847925A4 (en) 2015-12-30
EP2847925A1 (en) 2015-03-18
US20150019869A1 (en) 2015-01-15
CN104205720B (zh) 2018-08-10

Similar Documents

Publication Publication Date Title
US10623177B2 (en) Online identification and authentication
CN108292402B (zh) 用于信息的安全交换的公共秘密的确定和层级确定性密钥
TWI396428B (zh) 網路評價系統及其控制方法
EP2639997B1 (en) Method and system for secure access of a first computer to a second computer
JP2023179729A (ja) コンピュータ実装されるシステムおよび方法
CN105474575B (zh) 多方安全认证系统、认证服务器、中间服务器、多方安全认证方法以及程序
CN107196926A (zh) 一种云外包隐私集合比较方法与装置
CN103546567A (zh) 一种可信云计算环境中无证书跨域认证方法
Zhou et al. EverSSDI: blockchain-based framework for verification, authorisation and recovery of self-sovereign identity using smart contracts
Zhang et al. A secure quantum group signature scheme based on Bell states
WO2019127265A1 (zh) 基于区块链智能合约的数据写入方法、装置及存储介质
Luo et al. A security communication model based on certificateless online/offline signcryption for Internet of Things
Cao et al. A quantum proxy weak blind signature scheme
Zuo Cryptanalysis of quantum blind signature scheme
JP2012527678A (ja) ポータブルなユーザー評判を可能にする方法および装置
US11170094B2 (en) System and method for securing a communication channel
Buccafurri et al. Ethereum Transactions and Smart Contracts among Secure Identities.
JP6154925B2 (ja) オンライン識別及び認証の方法、プログラム、デバイス、及びシステム
Liu et al. Quantum dual signature scheme based on coherent states with entanglement swapping
Kebede et al. Reshaping IOT Through Blockchain
JP4936370B2 (ja) 鍵交換システムおよび鍵交換方法
Khalid et al. A new hybrid online and offline multi-factor cross-domain authentication method for iot applications in the automotive industry
CN110572788A (zh) 基于非对称密钥池和隐式证书的无线传感器通信方法和系统
Wu Jr An efficient and effective decentralized anonymous voting system
Tan et al. MPCAuth: Multi-factor Authentication for Distributed-trust Systems

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20141015

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20141015

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150807

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150915

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20151215

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160112

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160210

R150 Certificate of patent or registration of utility model

Ref document number: 5886472

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees