JP6131354B2 - デバイス固有のワンタイムパスワードによるネットワークからの認証 - Google Patents

デバイス固有のワンタイムパスワードによるネットワークからの認証 Download PDF

Info

Publication number
JP6131354B2
JP6131354B2 JP2016041496A JP2016041496A JP6131354B2 JP 6131354 B2 JP6131354 B2 JP 6131354B2 JP 2016041496 A JP2016041496 A JP 2016041496A JP 2016041496 A JP2016041496 A JP 2016041496A JP 6131354 B2 JP6131354 B2 JP 6131354B2
Authority
JP
Japan
Prior art keywords
otp
session
client device
private network
authenticator
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016041496A
Other languages
English (en)
Other versions
JP2016129062A (ja
Inventor
エス. ヴァカ、ジム
エス. ヴァカ、ジム
リ、ホン
エム. コーレンバーグ、トビアス
エム. コーレンバーグ、トビアス
スタナソロヴィッチ、デーヴィッド
エイチ. プライス、マーク
エイチ. プライス、マーク
ジェイ. ビルケル、スティーブン
ジェイ. ビルケル、スティーブン
ダブリュー. リーセ、ケネス
ダブリュー. リーセ、ケネス
タフォヤ、ロナルド
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intel Corp
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Priority to JP2016041496A priority Critical patent/JP6131354B2/ja
Publication of JP2016129062A publication Critical patent/JP2016129062A/ja
Application granted granted Critical
Publication of JP6131354B2 publication Critical patent/JP6131354B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Description

本開示はネットワークからの認証に関し、より詳細には、デバイス固有のワンタイムパスワードによるネットワークからの認証に関する。
多くの企業が私設ネットワークを有する。私設ネットワークはローカル・エリア・ネットワーク(LAN)および/またはエンタープライズネットワークを含みうる。従業員はこれらの私設ネットワークに、インターネットといった公衆ネットワークを介してリモートでアクセスしようとする場合がある。公衆ネットワーク上で私設ネットワークへのアクセスを提供し、公衆ネットワーク上でユーザのコンピューティング機器と私設ネットワークとの間のセキュアな暗号化されたメッセージおよびデータの伝送を提供するための技術が存在する。そうした技法の1つが仮想私設ネットワーク(VPN)である。
私設ネットワークは、無許可のユーザが私設ネットワークにアクセスすることを妨げ、許可されたユーザだけに私設ネットワークおよび/または私設ネットワークに記憶された情報へのアクセスを許可するように構成されうる。そうした許可されたユーザの認知は、通常、ユーザの識別情報の検証、すなわち、ネットワークに対するユーザの認証に依拠する。通常、私設ネットワークから認証を受け、私設ネットワークにアクセスするために、ユーザは、ユーザ名およびパスワードを提供するよう求められうる。状況によっては、ユーザは、パスコードといった追加的な認証を提供するよう求められる場合もある。
コンピューティング機器で私設ネットワークにアクセスしようとするユーザは、ユーザ名およびパスワードを用いてコンピューティング機器から認証を受け、次いで、別のパスワードおよびおそらくは別のユーザ名で私設ネットワークから認証を受けるよう要求されうる。セキュリティを確保するために、パスワードは比較的頻繁に変更されるべきである。ユーザは、その場合、パスワードを覚え、または後で取得するためにパスワードを記録しなければならない。どちらの技法もあまり確実ではなく、記録されたパスワードがユーザ以外の誰かによって取得され、セキュリティを損なう可能性もある。
特許請求される主題の実施形態の特徴および利点は、以下の詳細な説明が進むに従って、図面を参照すれば明らかになるはずであり、図面において類似の符号は類似の部分を示す。
本開示の様々な実施形態と一致するデバイス固有のワンタイムパスワード認証システムを示す図である。 本開示の様々な実施形態と一致するデバイス固有のワンタイムパスワード認証システムの例示的動作を示すフローチャートである。 本開示の一実施形態と一致するワンタイムパスワードを生成するように構成されたクライアントデバイスの例示的動作を示すフローチャートである。 本開示の様々な実施形態と一致する第2の認証を提供するように構成されたデバイス固有のワンタイムパスワード認証システムの例示的動作を示す別のフローチャートである。
以下の詳細な説明は例示的な実施形態を参照しながら進めるが、当業者にはこれらの実施形態の多くの代替形態、改変形態および変形形態が明らかになるであろう。
一般に、本開示では、ワンタイムパスワード(OTP)を用いて私設ネットワークから認証を受けるための方法およびシステムを記載する。クライアントデバイスは、少なくとも一部はデバイス属性に基づいてワンタイムパスワードを生成するように構成されている。デバイス属性には、それだけに限らないが、ファイルシステム属性、デバイス設定(ソフトウェアとハードウェアの両方)、ハードウェア特徴およびデバイス(ユーザ)コンテキストが含まれうる。
デバイス属性は、通常、デバイス固有であり、別のデバイス上では複製されえない。OTPを生成するのに使用される固有のデバイス属性は、例えば、本明細書に記載するように、システム管理者によって選択可能としてよい。OTPは、クライアントデバイスが私設ネットワークに接続されるセッションの間にクライアントデバイスによって生成されてよい。OTPは、次いで、クライアントデバイス上に保存され、私設ネットワークと関連付けられたオーセンティケータに提供されてよい。OTPは、次いで、次のセッションで私設ネットワークに対してクライアントデバイスを認証するのに使用されてよい。よって、クライアントデバイスは、別のデバイス上で複製されえないデバイス属性に基づく、潜在的に一意のランダムなOTPを用いて私設ネットワークに対して認証されうる。ユーザは、その場合、そうしたパスワードを覚えなくてもよい。ユーザはクライアントデバイスから認証され、クライアントデバイスは、次いで、私設ネットワークから認証されうる。
セッションOTPは、私設ネットワークに対してクライアントデバイスを認証するのに使用されてよい。セッションOTPは、同様に、私設ネットワークに含まれる保護されたコンテンツへのアクセスを制御するのにも使用されてよい。コンテンツは、情報、データおよび/またはアプリケーションを含んでいてよい。セッションOTPを用いて私設ネットワークから認証を受けたクライアントデバイスは、保護されたコンテンツにアクセスするためにさらなる認証を提供するよう構成されていてよい。さらなる認証は、本明細書に記載するように、静的セッションOTPおよび/または第2の(動的)セッションOTPを含んでいてよい。
一実施形態では、第2の認証が実行されてよい。この実施形態では、クライアントデバイスは、認証時に、デバイス属性に基づいて第2の(動的)OTPを生成ように構成されていてよい。オーセンティケータは、第2のOTPが、前のセッションの間にクライアントデバイスによって提供された保存されたOTPの予め定められた許容差内である場合に認証成功と判断するように構成されていてよい。第2の認証は、記憶されたセッションOTPを生成したクライアントデバイスが、第2の認証を試みているクライアントデバイスであることを検証するように構成されている。
例えば、選択されるファイルシステム属性が、デバイス固有のセッションOTPを生成するのに使用されてもよい。ファイルシステム属性は、例えば、システム管理者によって定義された予め定められた規則に基づいて選択されてもよい。この例では、選択されるファイルシステム属性は、クライアントデバイスに含まれるハードディスクの指定の1もしくは複数の領域に対応してよい。選択される領域は、静的であってもよく、比較的低頻度で変化するように構成されてもよい。選択される領域はスキャンされてよく、スキャンされた領域に記憶されたデータが取り込まれてよい。取り込まれたデータは、次いで、デバイス固有のOTPを生成するように処理されてよい。例えば、取り込まれたデータは、所望のサイズのOTPを提供するように構成された暗号学的ハッシュ関数を用いて処理されてよい。よって、デバイス固有のOTPが、デバイス固有のデバイス属性に基づいて生成されうる。
図1に、本開示の様々な実施形態と一致するデバイス固有のワンタイムパスワード認証システム100を示す。システム100は、一般に、クライアントデバイス102と、私設ネットワーク104と、ネットワーク106とを含む。私設ネットワーク104は、一般に、認証サーバ「オーセンティケータ」108と、1つまたは複数のサーバ140と、1つまたは複数の記憶装置142とを含む。1つまたは複数の記憶装置142は、本明細書に記載するように、(1つまたは複数の)ハード・ディスク・ドライブおよび/または他の記憶媒体を含んでいてよい。オーセンティケータ108は、私設ネットワーク104に含まれていてよく、かつ/または私設ネットワーク104と関連付けられていてよい(ゲートウェイなど)。ユーザは、クライアントデバイス102を使用し、ネットワーク106を介して私設ネットワーク104にアクセスしてよい。ネットワーク106は、インターネットなどの公衆ネットワークとしてよい。
クライアントデバイス102は、セキュアなストレージ110と、プロセッサ「CPU」112と、メモリ114と、1つまたは複数の記憶装置116と、通信モジュール118とを含んでいてよい。「クライアントデバイス」は、本明細書で使用する場合、任意のコンピューティング機器を意味し、それだけに限らないが、移動電話、スマートフォン、タブレットコンピュータ、ノートブックコンピュータ、デスクトップコンピュータ、ウルトラポータブルコンピュータ、ウルトラモバイルコンピュータ、ネットブックコンピュータ、サブノートブックコンピュータ、個人向け携帯情報端末、企業向け携帯情報端末、モバイル・インターネット・デバイス、および類似のデバイスを含む。CPU112は、クライアントデバイス102内のアプリケーションおよび/またはモジュールと関連付けられた動作を実行するように構成されている。メモリ114は、クライアントデバイス102のためのアプリケーションおよび/またはデータを記憶するように構成されている。1つまたは複数の記憶装置116は、本明細書に記載するように、ハード・ディスク・ドライブ、取り外し可能記憶装置、および/または他の記憶媒体を含んでいてよい。通信モジュール118は、クライアントデバイス102のためのネットワーク接続を提供するように構成されている。通信モジュール118は、1つまたは複数の通信プロトコルを用いて、有線または無線で、ネットワーク106に接続するように構成されていてよい。
セキュアなストレージ110は、セキュアなストレージ110内に含まれる要素へのアクセスを制限するように構成されている。セキュアなストレージ110は、セキュリティエンジン120と、セッションOTP生成モジュール122と、セッションOTP123を含みうるローカルセッションOTPストア124と、セッションOTP規則126とを含み、動的セッションOTP128を含んでいてよい。セキュリティエンジン120は、セキュアなストレージ110を管理し、セキュアなストレージ110へのアクセスを制御するように構成されており、暗号化操作および/またはハッシュ化操作を実行するように構成されていてよい。
セッションOTP生成モジュール122は、デバイス属性130およびセッションOTP規則126に基づいて第1の(静的)セッションOTP123を生成するように構成されている。セッションOTP生成モジュール122は、本明細書に記載するように、第2の(動的)セッションOTP128を生成するようにさらに構成されていてよい。静的セッションOTP123は、現在のセッションが終了する直前に生成されてよい。静的セッションOTP123は、次いで、次のセッションで私設ネットワーク104に対してクライアントデバイス102を認証するのに利用されてよい。ある実施形態では、静的セッションOTP123は、静的セッションOTP123の失効日付を含むように構成された日付フィールドを含んでいてよい。
セッションOTP生成モジュール122は、クライアントデバイス102をスキャンし、セッションOTP規則126に基づいて複数のデバイス属性を選択するように構成されている。選択された複数のデバイス属性は、次いで、少なくとも一部はセッションOTP規則126に基づいて、セッションOTP生成モジュール122によって選択的に組み合わされ、暗号化され、かつ/またはハッシュ化されてよい。ハッシュ化は、所望の長さ(サイズ)のセッションOTPを提供するように構成されている。結果は、次いで、ローカルの静的セッションOTPストア124に記憶され、後で使用するために記憶されるようにオーセンティケータ108に提供されてよい。
デバイス属性130は、それだけに限らないが、ファイルシステム属性、ハードウェア特徴、ソフトウェア構成設定、およびユーザコンテキストを含む。ファイルシステム属性は、ディレクトリ(フォルダ)、サブディレクトリ(サブフォルダ)、ファイルおよびファイル固有の情報(ファイル位置、ファイル名、著者、タイムスタンプ、ファイルサイズ、ファイルタイプ、ファイル内のストリング、ファイル統計および/もしくは他のファイル固有の情報)ならびに/または他のファイルシステム属性を含む。ハードウェア特徴は、メモリサイズ、MACアドレス、記憶装置ストリング、グラフィック特性および/または他のハードウェア特徴を含む。ユーザコンテキストは、ユーザ(クライアントデバイス102)位置、ユーザプロフィール、ユーザ・バイオメトリクス・データおよび/または他のユーザコンテキストデータを含む。デバイス属性130は、任意のデバイス固有の属性を含んでいてよい。よって、デバイス固有の属性は、別のデバイス上で複製されえない複数のデバイス固有のデータを含む。
セッションOTP規則126は、どのデバイス属性が選択されるか、選択されるデバイス属性の数を定義するように構成されており、ハッシュ化パラメータを定義するように構成されていてよい。セッションOTP規則126は、例えば、私設ネットワーク104と関連付けられたシステム管理者によって決定されてよい。選択される固有のデバイス属性および選択されるデバイス属性の数は、求められるセキュリティのレベルに基づくものとしてよい。例えば、より多数のデバイス属性を選択すれば、より少数のデバイス属性を選択する場合と比べて、一意のOTPがもたらされる可能性が高くなる。セッションOTP規則126は、比較的低頻度で変化する少なくともいくつかのデバイス属性を選択することを含んでいてよい。セッションOTP規則126は、少なくとも若干のランダム機能を含んでいてよい。ランダム機能は、生成される各OTPが、以前にされたOTPまたは後で生成されるOTPに対して固有である可能性が高いことを確保するように構成されていてよい。例えば、固有のデバイス属性はランダムに選択されてよい。別の例では、選択されるデバイス属性の数は、ランダムとしてよく、閾値数より大きくなるように制約されてよい。よって、概ね一意のOTPが、複数のデバイス属性に基づいて生成されうる。
例えば、選択されるデバイス属性がアプリケーションのための構成設定を含む場合には、(1つまたは複数の)ユーザプロフィール属性ストリングがセッションOTPを生成するのに使用されてよい。(1つまたは複数の)ユーザプロフィール属性ストリングは、スキャンされ、取り込まれてよい。取り込まれたデータは、セッションOTPを生成するようにハッシュ化されてよい。ハッシュ化パラメータは、指定のサイズのセッションOTPを提供するように構成されてよい。
生成された第1のセッションOTP123は、クライアントデバイス102上でローカルセッションOTPストア124に記憶されてよく、オーセンティケータ108に提供されてよい。オーセンティケータ108は、私設ネットワーク104のための認証サービスを提供するように構成されている。オーセンティケータ108は、クライアントセッションOTP検査モジュール150と、クライアントセッションOTPストア152とを含み、動的セッションOTP検査モジュール154とOTP検査規則156とを含んでいてよい。
クライアントセッションOTP検査モジュール150は、クライアントデバイス102からセッションOTP、例えば第1のセッションOTP123を受け取り、クライアントセッションOTPの検査を管理するように構成されている。第1のセッションOTP123は、本明細書に記載するように、次のセッションでクライアントデバイス102を認証するのに使用されるように構成されている。オーセンティケータ108は、受け取った第1のセッションOTP123を、後で使用するためにクライアントセッションOTPストア152に記憶するように構成されている。よって、セッションOTPがクライアントデバイス102によって生成されると、生成された第1のセッションOTP123は、クライアントデバイス102のローカルセッションOTPストア124と、オーセンティケータ108のクライアントセッションOTPストア152とに記憶されうる。
ユーザがクライアントデバイス102を用いて私設ネットワーク104にアクセスしようとするとき、ユーザはクライアントデバイス102からユーザ自身の認証を受けてよく、クライアントデバイス102は、次いで、私設ネットワーク104から認証を受けようと試みてよい。ローカルセッションOTPストア124に記憶されたセッションOTP(「ローカルセッションOTP」)は、認証プロセスの一部としてオーセンティケータ108に提供されてよい。クライアントセッションOTP検査モジュール150は、ローカルセッションOTPを受け取り、受け取ったローカルセッションOTPをクライアントセッションOTPストア152に記憶されたセッションOTP(「クライアントセッションOTP」)と比較するように構成されている。ローカルセッションOTPがクライアントセッションOTPに対応する場合には、クライアントデバイス102は私設ネットワーク104に対して認証されてよく、アクセスが許可されてよい。
クライアントデバイス102が、セッションが終了するという指示を受け取ると、セッションOTP生成モジュール122は、新しいセッションOTPを生成し、新しいセッションOTPをローカルセッションOTPストア124に記憶し、新しいセッションOTPをオーセンティケータ108に提供するように構成される。オーセンティケータ108は、次いで、受け取った新しいセッションOTPを、次のセッションで使用するために、クライアントセッションOTPストア152に記憶してよい。
よって、一意のデバイス固有のセッションOTPが生成され、次のセッションで私設ネットワーク104に対してクライアントデバイス102を認証するために現在のセッションの間に記憶されうる。一意のデバイス固有のセッションOTPまたは別のデバイス固有のセッションOTPが、私設ネットワーク内の保護されたコンテンツへのアクセスのためにクライアントデバイス102を認証するのに利用されてよい。セッションOTPは、クライアントデバイス属性130およびセッションOTP規則126に基づいて生成されてよい。ユーザは、私設ネットワーク104にアクセスするための頻繁に変更されるパスワードを覚えなくてもよい。セッションOTPは、クライアントデバイス102と私設ネットワーク104との間の共有される秘密に対応する。
状況によっては、私設ネットワーク104および/または私設ネットワーク104内の保護されたコンテンツにアクセスするための第2の認証を要求することが望ましい場合もある。そうした第2の認証は、第1の認証だけで利用できるレベルより相対的に高いレベルのセキュリティを提供するように構成される。第2の認証は、認証を受けようとするデバイスが、前のセッションで第1のセッションOTP123を提供したクライアントデバイス102であることを確認するように構成されている。第1の認証は、本明細書に記載するように、第1の(静的)セッションOTPを用いて実行されてよい。第2の認証は、次いで、第2の(動的)セッションOTPを用いて実行されてよい。第1のセッションOTPは、本明細書に記載するように、クライアントデバイス102によって生成され、クライアントデバイス102に記憶され、次のセッションで使用するために記憶されるようにオーセンティケータ108に提供されてよい。第1のセッションOTPは、よって、次のセッションの前にクライアントデバイス102に存在する。第2の(動的)セッションOTPは、前のセッションの間ではなく認証試行時に生成されるように構成されている。よって、第2のセッションOTPは、認証時のデバイス属性に基づいて生成される。第2の認証は、私設ネットワークから認証を受けようとするデバイスが、オーセンティケータ108に記憶された第1のセッションOTP123を提供したクライアントデバイス102であることを確認するように構成されている。
第2の(動的)認証が(ポリシーに基づいて)要求される場合、第2の動的セッションOTP128が、デバイス属性130およびセッションOTP規則126に基づいて生成されてよい。第2の(動的)セッションOTP128を生成するのに使用されるセッションOTP規則126は、第1の(静的)セッションOTP123を生成するのに使用されるセッションOTP規則126に対応する。言い換えると、同じ規則が、第1のセッションOTP123と第2のセッションOTP128の両方を生成するのに使用されてよい。同様に、同じデバイス属性130が、第1のセッションOTP123と第2のセッションOTP128の両方を生成するのに使用されてよい。しかし、デバイス属性と関連付けられた値は、第1のセッションOTP123の生成と第2のセッションOTP128の生成との間に変化している可能性もある。例えば、ファイルが編集されている場合もある。別の例として、デバイス設定が変化している場合もある。別の例として、デバイスコンテキスト、例えば位置が変化している場合もある。よって、第2のセッションOTP128が第1のセッションOTP123に対応するかどうか評価するときに、許容差(すなわち範囲)が利用されてよい。第2のセッションOTP128が第1のセッションOTP123の許容差内である場合には、第2の認証に成功したとみなされてよい。
動的セッションOTP検査モジュール154は、少なくとも一部はOTP検査規則156に基づいて第2の認証を実行するように構成されている。OTP検査規則156は、第2の検査に利用されるべき(1つまたは複数の)許容差パラメータを含んでいてよい。第2の(動的)セッションOTP128は、第2の認証を求める要求に応答して生成されてよい。第2のセッションOTP128は、セッションOTP生成モジュール122によって生成され、オーセンティケータ108に提供されてよい。動的セッションOTP検査モジュール154は、第2のセッションOTP128を受け取り、第2のセッションOTP128をクライアントセッションOTPストア152からの第1の(静的)セッションOTP123と比較し、OTP検査規則156に基づいて第2のセッションOTP128が第1の(静的)セッションOTP123に対応するかどうか判定するように構成されている。
例えば、セッションOTPを生成するための基礎として選択されるデバイス属性は、ファイルシステム属性を含んでいてよい。ファイルシステムはスキャンされ、予め定められた範囲内の複数のランダムな位置でデータが取り込まれてよい。次いで、セッションOTPを生成するために、スキャンされた(取り込まれた)属性にセキュアなハッシュが適用されてよい。セキュアなハッシュは、所望のサイズのセッションOTPをもたらすように構成されていてよい。セッションOTPは、次いで、オーセンティケータ108に提供されてよい。オーセンティケータ108は、セッションOTPを記憶してよく、記憶されたセッションOTPと共にタイムスタンプを含めてよい。第2の認証が要求される場合、ファイルシステムは、同じ範囲内の複数の位置においてスキャンされてよい。取り込まれたスキャン結果は、第2の(動的)OTPを生成するようにハッシュ化されてよい。第2のOTPは、オーセンティケータ108に提供されてよい。オーセンティケータ108は、次いで、記憶されたセッションOTPを動的OTPと比較してよい。ファイルシステム属性は、第1のセッションOTPの生成と第2のセッションOTPの生成との間に変化している可能性があるため、クライアントデバイスは、第2のセッションOTPが予め定められたパーセンテージ(例えば90%)内で第1のセッションOTPに対応する場合に妥当と認められてよい。
別の例では、デバイス属性はタイムスタンプを含んでいてよい。この例では、第1のセッションOTPおよび第2のセッションOTPを生成するのにハードウェア属性が利用されてよい。この例では、予め定められた時間間隔にわたる閾値を下回るハードウェア属性変化は検査成功をもたらし、予め定められた時間間隔にわたる閾値を上回るハードウェア属性変化は検査失敗をもたらしうる。
図2に、本開示の様々な実施形態と一致するデバイス固有のOTP認証システムの例示的動作のフローチャート200を示す。フローチャート200の動作は、クライアントデバイス、例えばクライアントデバイス102、および/またはオーセンティケータ、例えばオーセンティケータ108によって実行されてよい。特に、フローチャート200には、本開示と一致する、デバイス固有のOTPを用いて、私設ネットワークに対してクライアントデバイスを認証するように構成された例示的動作が示されている。
フローチャート200の動作は、ユーザのクライアントデバイスへのログイン202から開始してよい。動作204で、私設ネットワークアクセス要求が開始されてよい。動作206で、有効なクライアントセッションOTPがオーセンティケータに存在するかどうかが判定されてよい。有効なクライアントセッションOTPがオーセンティケータに存在しない場合、動作208で標準ユーザ認証が実行されてよい。動作210で、標準認証に成功したかどうかが判定されてよい。標準認証に成功しない場合、動作212で、接続が打ち切られてよい。標準認証に成功した場合、プログラムフローは、本明細書に記載するように、動作218に進んでよい。
動作206に戻って、有効なクライアントセッションOTPがオーセンティケータに存在する場合、動作214で、ローカルセッションOTPがクライアントデバイスに要求されてよい。動作216で、受け取ったローカルセッションOTPがオーセンティケータに記憶されたクライアントセッションOTPに対応するかどうか判定されてよい。受け取ったローカルセッションOTPが記憶されたクライアントセッションOTPに対応しない場合、動作208で、標準ユーザ認証が実行されてよい。ローカルセッションOTPが記憶されたクライアントセッションOTPに対応する場合、動作218で、アクセスが許可されてよく、かつ/または第2の(動的)ユーザ認証が、ポリシーに応じて、要求されてよい。動作220で、セッションが終了するかどうかが判定されてよい。セッションが終了する場合、動作222で、新しいセッションOTPがクライアントデバイスによって生成され、オーセンティケータに提供されてよい。動作224で、新しいセッションOTPが、オーセンティケータによって、クライアントセッションOTPとして記憶されてよい。次いで動作226で、セッションは終了してよい。
図3に、本開示の一実施形態と一致する、デバイス固有のセッションOTPを生成するように構成されたクライアントデバイスの例示的動作のフローチャート300を示す。フローチャート300の動作は、クライアントデバイス、例えばクライアントデバイス102によって実行されてよく、図2の動作222に対応する。特に、フローチャート300には、次のセッションでクライアントデバイスを認証するのに使用されることになるオーセンティケータに提供されるべきセッションOTPを生成するように構成された例示的動作が示されている。プログラムフローは、セッションが終了するという指示302から開始してよい。動作304は、選択されたデバイス属性を取得する(取り込む)ことを含む。取り込まれる固有のデバイス属性は、セッションOTP規則に基づくものとしてよい。動作306で、少なくとも一部は選択されたデバイス属性およびセッションOTP規則に基づいて、新しいセッションOTPが生成されてよい。動作308は、新しいセッションOTPをクライアントデバイス上のローカルセッションOTPに記憶すること、および新しいセッションOTPをオーセンティケータに提供することを含む。次いで動作310で、セッションは終了してよい。
図4に、本開示の様々な実施形態と一致する、第2の認証を提供するように構成されたデバイス固有のOTP認証システムの例示的動作の別のフローチャート400を示す。フローチャート400の動作は、クライアントデバイス、例えばクライアントデバイス102、および/またはオーセンティケータ、例えばオーセンティケータ108によって実行されてよい。特に、フローチャート400には、デバイス属性に基づいて認証時に生成される第2の(動的)OTPを用いて第2の認証を実行するように構成された例示的動作が示されている。フローチャート400の動作は、図2の動作218に含まれうる。フローチャート400の動作は、第2のユーザ認証を求める要求402から開始してよい。動作404は、少なくとも一部は選択されたデバイス属性およびセッションOTP規則に基づいて、第2の(動的)セッションOTPを生成することを含んでいてよい。動作406で、第2の(動的)セッションOTPがオーセンティケータに提供されてよい。動作408で、動的セッションOTPが予め定められた許容差内で記憶されたクライアントセッションOTPに対応するかどうかが判定されてよい。動的セッションOTPが記憶されたクライアントセッションOTPに予め定められた許容差で対応しない場合、動作410で、動的認証に失敗し、動作412で、セッションは終了してよい。動的セッションOTPが記憶されたクライアントセッションOTPに予め定められた許容差で対応する場合、動作414で、動的認証に成功し、動作416で、セッションは続行してよい。
よって、クライアントデバイスは、複数のデバイス属性およびセッションOTP規則に基づいて生成されたセッションOTPを用いて、私設ネットワークおよび/または保護されたコンテンツに対して認証されうる。複数のデバイス属性は、デバイス固有の、デバイス「指紋」に対応するものである。デバイス属性は、時間の経過とともに変化する可能性があり、セッションOTPを生成するために選択されるデバイス属性も変化しうる。よって、生成される各セッションOTPは、実質的に一意で、概ねランダムなものとなりうる。セッションOTPは、次のセッションでの認証に使用するために現在のセッションの間に生成されてよい。よって、セッションOTPは、クライアントデバイスとオーセンティケータとの間の共有される秘密に対応しうる。
ある実施形態では、第2の動的認証は、認証試行の前に生成される第1のセッションOTPおよび認証試行の間に生成される第2のセッションOTPを用いて実行されてよい。第2のセッションOTPは、クライアントデバイスの識別情報を、より高い信用度で検証するように構成されている。第2のセッションOTPは認証時に生成され、クライアントデバイス上に記憶されないため、第2のセッションOTPは相対的によりセキュアである。デバイス属性は、第1のセッションOTPの生成と第2のセッションOTPの生成との間に変化している可能性があるため、第1のセッションOTPの生成と第2のセッションOTPの生成との間で若干の変動が予期されうる。よって、この変動を見込むために許容差および/または閾値が使用されうる。
図2から図4には一実施形態による様々な動作が示されているが、図2から図4に示すすべての動作が他の実施形態にも必要であると限らないことを理解すべきである。実際、本明細書では、本開示の他の実施形態では、図2から図4に示す動作および/または本明細書に記載する他の動作は、図面のいずれにも具体的に示されていないが、にもかかわらず本開示と十分に整合性を有する方法で組み合わされうることが十分に企図されている。よって、ある図面に厳密に示されていない特徴および/または動作を対象とする請求項が、本開示の範囲および趣意の範囲内とみなされる。
本明細書に記載する動作のいずれも、1つまたは複数のプロセッサによって実行されると各方法を実行する命令を、個別に、または組み合わせとして記憶している1つまたは複数の記憶媒体を含むシステムにおいて実装されてよい。ここで、プロセッサは、例えば、クライアントデバイスCPU、サーバCPU、および/または他のプログラマブル回路を含んでいてよい。また、本明細書に記載する動作は、複数の異なる物理的位置にある処理構造といった、複数の物理デバイスにまたがって分散されてよいことも意図されている。記憶媒体は任意の種類の有形媒体、例えば、ハードディスク、フロッピー(登録商標)ディスク、光ディスク、コンパクトディスク読取り専用メモリ(CD−ROM)、書換え型コンパクトディスク(CD−RW)、および光磁気ディスクを含む任意の種類のディスク、読取り専用メモリ(ROM)、ダイナミックRAMおよびスタティックRAMといったランダム・アクセス・メモリ(RAM)、消去書込み可能読取り専用メモリ(EPROM)、電気的消去書込み可能読取り専用メモリ(EEPROM)、フラッシュメモリ、ソリッド・ステート・ディスク(SSD)などの半導体デバイス、磁気カードもしくは光カード、または電子命令を記憶するのに適した任意の種類の媒体を含んでいてよい。他の実施形態は、プログラマブル制御デバイスによって実行されるソフトウェアモジュールとして実装されてよい。記憶媒体は非一時的であってよい。
以上は例示的システムアーキテクチャおよび方法論として提供するものであるが、本開示への改変も可能である。例えば、クライアント・デバイス・メモリ114、オーセンティケータメモリおよび/またはサーバメモリなどのメモリは、以下の種類のメモリのうちの1つまたは複数を含んでいてよい。半導体ファイアウォールメモリ、プログラマブルメモリ、不揮発性メモリ、読取り専用メモリ、電気的書込み可能メモリ、ランダム・アクセス・メモリ、フラッシュメモリ、磁気ディスクメモリ、および/または光ディスクメモリ。加えて、または代替として、クライアント・デバイス・メモリ114、オーセンティケータメモリおよび/またはサーバメモリは、他の種類および/または後で開発される種類のコンピュータ可読メモリを含んでいてもよい。
クライアントデバイス102は、様々な通信プロトコルを用いてネットワーク106および/または私設ネットワーク104と通信するように構成されてよい。通信プロトコルは、それだけに限らないが、Wi−Fi、3G、4G、および/または他の通信プロトコルといった無線通信プロトコルを含んでいてよい。通信プロトコルは、他の関連したインターネット技術標準化委員会(IETF:Internet Engineering Task Force)規格に準拠し、かつ/または適合していてよい。
Wi−Fiプロトコルは、2007年3月8日付で公開された、「IEEE 802.11−2007 Standard,IEEE Standard for Information Technology−Telecommunications and Information Exchange Between Systems−Local and Metropolitan Area Networks−Specific Requirements − Part 11:Wireless LAN Medium Access Control(MAC)and Physical Layer(PHY)Specifications」という名称の、米国電気電子技術者協会(IEEE:Institute of Electrical and Electronics Engineers)によって発行された802.11規格、および/またはこの規格の新しいバージョンに準拠し、または適合していてよい。
3Gプロトコルは、2000年に公開された、「IMT−2000」という名称の、国際電気通信連合(ITU:International Telecommunication Union)によって発行された国際移動通信(IMT:International Mobile Telecommunications)規格および/またはこの規格の新しいバージョンに準拠し、または適合していてよい。4Gプロトコルは、2008年に公開された、「IMT−Advanced」という名称の、ITUによって発行されたIMT規格および/またはこの規格の新しいバージョンに準拠し、または適合していてよい。
クライアントデバイス102は、選択されたパケット交換ネットワーク通信プロトコルを用いてネットワーク106および/または私設ネットワーク104と通信することができてよい。一例示的通信プロトコルは、伝送制御プロトコル/インターネットプロトコル(TCP/IP:Transmission Control Protocol/Internet Protocol)を用いた通信を可能としうるイーサネット(登録商標)通信プロトコルを含んでいてよい。イーサネット(登録商標)プロトコルは、2002年3月に公開された、「IEEE 802.3 Standard」という名称の、米国電気電子技術者協会(IEEE)によって発行されたイーサネット(登録商標)規格および/またはこの規格の新しいバージョンに準拠し、または適合していてよい。代替として、または加えて、クライアントデバイス102は、X.25通信プロトコルを用いてネットワーク106および/または私設ネットワーク104と通信することができてもよい。X.25通信プロトコルは、国際電気通信連合電気通信標準化部門(ITU−T:International Telecommunication Union−Telecommunication Standardization Sector)によって公表された規格に準拠し、または適合していてよい。代替として、または加えて、クライアントデバイス102は、フレームリレー通信プロトコルを用いてネットワーク106および/または私設ネットワーク104と通信することができてもよい。フレームリレー通信プロトコルは、国際電信電話諮問委員会(CCITT:Consultative Committee for International Telegraph and Telephone)および/または米国規格協会(ANSI:American National Standards Institute)によって公表された規格に準拠し、または適合していてよい。代替として、または加えて、クライアントデバイス102は、非同期転送モード(ATM:Asynchronous Transfer Mode)通信プロトコルを用いてネットワーク106および/または私設ネットワーク104と通信することができてもよい。ATM通信プロトコルは、2001年8月に公開された、「ATM−MPLS Network Interworking 1.0」という名称の、ATMフォーラムによって発行されたATM規格および/またはこの規格の新しいバージョンに準拠し、または適合していてよい。当然ながら、本明細書では、異なる、かつ/または後で開発される接続指向のネットワーク通信プロトコルも等しく企図されている。
「回路」は、本明細書のいずれかの実施形態で使用する場合、例えば、単独で、または任意の組み合わせとして、配線回路、プログラマブル回路、状態機械回路、および/またはプログラマブル回路によって実行される命令を記憶するファームウェアを含んでいてよい。アプリケーションおよび/またはモジュールは、本明細書のいずれかの実施形態で使用する場合、回路として具現化されてよい。回路は、集積回路チップといった集積回路として具現化されてよい。
以上、デバイス固有のセッションOTPを用いて私設ネットワークから認証を受けるための方法およびシステムを説明した。クライアントデバイスは、少なくとも一部はデバイス属性に基づいてセッションOTPを生成するように構成される。セッションOTPは、クライアントデバイスが私設ネットワークに接続されるセッションの間にクライアントデバイスによって生成されてよい。セッションOTPは、次いで、クライアントデバイス上に記憶され、私設ネットワークと関連付けられたオーセンティケータに提供されてよい。セッションOTPは、次いで、次のセッションで私設ネットワークに対してクライアントデバイスを認証するのに使用されてよい。一実施形態では、第2の認証が実行されてよい。この実施形態では、クライアントデバイスは、認証時に、デバイス属性に基づいて第2の(動的)OTPを生成ように構成されていてよい。この実施形態では、オーセンティケータは、第2のOTPが、前のセッションの間にクライアントデバイスによって提供された保存されたOTPの予め定められた許容差内である場合に認証成功と判断するように構成されていてよい。
よって、クライアントデバイスは、デバイス属性に基づく、潜在的に一意のランダムなOTPを用いて私設ネットワークに対して認証されうる。ユーザは、その場合、そうしたパスワードを覚えなくてもよい。ユーザはクライアントデバイスから認証され、クライアントデバイスは、次いで、私設ネットワークから認証されうる。第2の認証は、クライアントデバイス上に記憶されたセッションOTPに依拠しない相対的によりロバストな認証を提供するように構成されている。
一態様によれば、方法が提供される。方法は、少なくとも一部は複数のクライアントデバイス属性に基づいて第1のワンタイムパスワード(OTP)を生成するステップと、第1のOTPを、第1のセッションの間に私設ネットワークと関連付けられたオーセンティケータに提供するステップとを含んでいてよく、オーセンティケータは、提供される第1のOTPに基づき、第1のセッションに続く第2のセッションのために、私設ネットワークおよび私設ネットワークに含まれる保護されたコンテンツのうちの少なくとも1つに対してクライアントデバイスを認証するように構成されている。
別の態様によれば、システムが提供される。システムは、クライアントデバイスとオーセンティケータとを含んでいてよい。クライアントデバイスは、少なくとも一部は複数のクライアントデバイス属性に基づいて第1のワンタイムパスワード(OTP)を生成し、第1のOTPを、第1のセッションの間に私設ネットワークと関連付けられたオーセンティケータに提供するように構成されており、オーセンティケータは、提供される第1のOTPに基づき、第1のセッションに続く第2のセッションのために、私設ネットワークおよび私設ネットワークに含まれる保護されたコンテンツのうちの少なくとも1つに対してクライアントデバイスを認証するように構成されている。
別の態様によれば、システムが提供される。システムは、1つまたは複数のプロセッサによって実行されると以下の動作を生じさせる命令を、個別に、または組み合わせとして記憶している1つまたは複数の記憶媒体を含んでいてよく、動作は、少なくとも一部は複数のクライアントデバイス属性に基づいて第1のワンタイムパスワード(OTP)を生成する動作と、第1のOTPを、第1のセッションの間に私設ネットワークと関連付けられたオーセンティケータに提供する動作とを含み、オーセンティケータは、提供される第1のOTPに基づき、第1のセッションに続く第2のセッションのために、私設ネットワークおよび私設ネットワークに含まれる保護されたコンテンツのうちの少なくとも1つに対してクライアントデバイスを認証するように構成されている。
本明細書で用いられている用語および表現は、制限ではなく説明としての用語であり、そうした用語および表現の使用に際しては、図示し、説明する特徴(または該特徴の部分)のいかなる均等物を除外することも意図されておらず、特許請求の範囲内で様々な改変が可能であることが認められるものである。したがって、特許請求の範囲はそうしたすべての均等物を包含すべきものと意図されている。

Claims (10)

  1. 予め定められたOTP規則およびクライアントデバイス属性に基づいて第1のワンタイムパスワード(第1のOTP)を生成するステップと、
    前記第1のOTPを、第1のセッションの間に私設ネットワークと関連付けられたオーセンティケータに提供するステップと
    前記第1のOTPをクライアントデバイスに記憶するステップと、
    前記クライアントデバイスが前記第1のセッションに続く第2のセッションのために前記私設ネットワークに対して認証を受けているときに、前記記憶された第1のOTPが前記認証の間に前記オーセンティケータに提供された前記第1のOTPに対応することに応じて、前記予め定められたOTP規則および前記クライアントデバイス属性に基づいて第2のOTPを生成するステップと
    を含み、
    前記オーセンティケータは、前記第2のセッションのために、前記第1のOTPが前記第2のOTPの許容差内である場合に前記私設ネットワークおよび前記私設ネットワークに含まれる保護されたコンテンツのうちの少なくとも1つに対して前記クライアントデバイスを認証する、方法。
  2. 記クライアントデバイス属性を前記予め定められたOTP規則に基づいて選択するステップ
    をさらに含む、請求項1に記載の方法。
  3. 記クライアントデバイス属性は、ファイルシステム属性、ハードウェア特徴、ソフトウェア構成設定、およびユーザコンテキストのうちの少なくとも1つを含む、請求項1または2に記載の方法。
  4. 請求項1から3のいずれか1つに記載の方法に含まれる各ステップをコンピュータに実行させるためのプログラム。
  5. 請求項4に記載のプログラムを格納するコンピュータ可読記憶媒体。
  6. クライアントデバイスと、
    オーセンティケータと
    を備え、
    前記クライアントデバイスは、予め定められたOTP規則およびクライアントデバイス属性に基づいて第1のワンタイムパスワード(第1のOTP)を生成し、前記第1のOTPを、第1のセッションの間に私設ネットワークと関連付けられた前記オーセンティケータに提供し、前記第1のOTPを記憶し、
    前記オーセンティケータは、前記第1のセッションに続く第2のセッションの間に、前記クライアントデバイスに記憶された前記第1のOTPを、前記オーセンティケータに提供された前記第1のOTPと比較し、
    前記クライアントデバイスが前記第2のセッションのために前記私設ネットワークに対して認証を受けているときに、前記記憶された第1のOTPが前記認証の間に前記オーセンティケータに提供された前記第1のOTPに対応することに応じて、前記クライアントデバイスは、前記予め定められたOTP規則および前記クライアントデバイス属性に基づいて第2のOTPを生成し、
    前記オーセンティケータは、前記第2のセッションのために、前記第1のOTPが前記第2のOTPの許容差内である場合に前記私設ネットワークおよび前記私設ネットワークに含まれる保護されたコンテンツのうちの少なくとも1つに対して前記クライアントデバイスを認証するシステム。
  7. 前記クライアントデバイスは、さらに、前記予め定められたOTP規則に基づいて前記クライアントデバイス属性を選択する、請求項に記載のシステム。
  8. 記クライアントデバイス属性は、ファイルシステム属性、ハードウェア特徴、ソフトウェア構成設定、およびユーザコンテキストのうちの少なくとも1つを含む、請求項6または7に記載のシステム。
  9. 予め定められたOPT規則およびクライアントデバイス属性に基づいて第1のワンタイムパスワード(第1のOTP)を生成し、
    前記第1のOTPを、第1のセッションの間に私設ネットワークと関連付けられたオーセンティケータに提供し、
    前記第1のOTPを記憶し、
    前記第1のセッションに続く第2のセッションのために前記私設ネットワークに対して認証を受けているときに、前記記憶された第1のOTPが前記認証の間に前記オーセンティケータに提供された前記第1のOTPに対応することに応じて、前記予め定められたOTP規則および前記クライアントデバイス属性に基づいて第2のOTPを生成し、
    前記第2のセッションのために、前記第1のOTPが前記第2のOTPの許容差内である場合に前記私設ネットワークおよび前記私設ネットワークに含まれる保護されたコンテンツのうちの少なくとも1つに対して前記オーセンティケータにより認証される、クライアントデバイス。
  10. 私設ネットワークと関連付けられたオーセンティケータであって、
    第1のセッションの間に予め定められたOTP規則およびクライアントデバイス属性に基づいてクライアントデバイスにより生成された第1のワンタイムパスワード(第1のOTP)を受け取り、
    前記クライアントデバイスが前記第1のセッションに続く第2のセッションのために前記私設ネットワークに対して認証を受けているときに、前記第1のセッションの間に前記オーセンティケータに提供された前記第1のOTPが前記認証の間に前記オーセンティケータに提供された前記第1のOTPに対応することに応じて、前記予め定められたOTP規則および前記クライアントデバイス属性に基づいて前記クライアントデバイスにより生成された第2のOTPを受け取り、
    前記第2のセッションのために、前記第1のOTPが前記第2のOTPの許容差内である場合に前記私設ネットワークおよび前記私設ネットワークに含まれる保護されたコンテンツのうちの少なくとも1つに対して前記クライアントデバイスを認証する、オーセンティケータ。
JP2016041496A 2016-03-03 2016-03-03 デバイス固有のワンタイムパスワードによるネットワークからの認証 Active JP6131354B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016041496A JP6131354B2 (ja) 2016-03-03 2016-03-03 デバイス固有のワンタイムパスワードによるネットワークからの認証

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016041496A JP6131354B2 (ja) 2016-03-03 2016-03-03 デバイス固有のワンタイムパスワードによるネットワークからの認証

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2014550248A Division JP6248329B2 (ja) 2011-12-27 2011-12-27 デバイス固有のワンタイムパスワードによるネットワークからの認証

Publications (2)

Publication Number Publication Date
JP2016129062A JP2016129062A (ja) 2016-07-14
JP6131354B2 true JP6131354B2 (ja) 2017-05-17

Family

ID=56384440

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016041496A Active JP6131354B2 (ja) 2016-03-03 2016-03-03 デバイス固有のワンタイムパスワードによるネットワークからの認証

Country Status (1)

Country Link
JP (1) JP6131354B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117556404A (zh) * 2023-12-11 2024-02-13 广西远方创客数据咨询有限公司 一种基于SaaS的业务管理系统

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4020520B2 (ja) * 1998-12-28 2007-12-12 富士通株式会社 接続装置
JP2003338814A (ja) * 2002-05-20 2003-11-28 Canon Inc 通信システム、管理サーバおよびその制御方法ならびにプログラム
JP2005025610A (ja) * 2003-07-04 2005-01-27 Fujitsu Support & Service Kk システムのセキュリティ方法及びセキュリティシステム
JP2007018140A (ja) * 2005-07-06 2007-01-25 Matsushita Electric Ind Co Ltd 通信装置、パスワード変更方法、およびパスワード変更プログラム
DE102006039327B4 (de) * 2006-08-22 2008-06-26 Nokia Siemens Networks Gmbh & Co.Kg Verfahren zur Authentifizierung
US9767319B2 (en) * 2007-04-17 2017-09-19 Avago Technologies General Ip (Singapore) Pte. Ltd. Method and apparatus of secure authentication for system on chip (SoC)
EP2260427A4 (en) * 2008-02-20 2016-11-16 Ericsson Telefon Ab L M FLEXIBLE NODEIDENTITY FOR TELECOM NODES
JP2009211448A (ja) * 2008-03-05 2009-09-17 Hitachi Ltd 製品認証システム

Also Published As

Publication number Publication date
JP2016129062A (ja) 2016-07-14

Similar Documents

Publication Publication Date Title
JP6248329B2 (ja) デバイス固有のワンタイムパスワードによるネットワークからの認証
US10009340B2 (en) Secure, automatic second factor user authentication using push services
US10110585B2 (en) Multi-party authentication in a zero-trust distributed system
US8868915B2 (en) Secure authentication for client application access to protected resources
US9692603B2 (en) Biometric PKI authentication
KR101414312B1 (ko) 클라이언트로부터 서버로 사용자 자격 증명들을 위임하는 방법, 애플리케이션 프로그래밍 인터페이스, 및 클라이언트컴퓨팅 장치
US10250589B2 (en) System and method for protecting access to authentication systems
US11451959B2 (en) Authenticating client devices in a wireless communication network with client-specific pre-shared keys
US11792179B2 (en) Computer readable storage media for legacy integration and methods and systems for utilizing same
US8555347B2 (en) Dynamic host configuration protocol (DHCP) authentication using challenge handshake authentication protocol (CHAP) challenge
EP4320812A1 (en) End-to-end verifiable multi-factor authentication service
WO2022042198A1 (zh) 身份验证方法、装置、计算机设备和存储介质
JP6131354B2 (ja) デバイス固有のワンタイムパスワードによるネットワークからの認証
TWI673622B (zh) 配對認證系統及方法
Bundalo et al. Increasing desktop application and user data protection using smartphone
AU2015258292A1 (en) System and method for protecting access to authentication systems

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170214

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20170316

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170417

R150 Certificate of patent or registration of utility model

Ref document number: 6131354

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150