JP6248329B2 - デバイス固有のワンタイムパスワードによるネットワークからの認証 - Google Patents

デバイス固有のワンタイムパスワードによるネットワークからの認証 Download PDF

Info

Publication number
JP6248329B2
JP6248329B2 JP2014550248A JP2014550248A JP6248329B2 JP 6248329 B2 JP6248329 B2 JP 6248329B2 JP 2014550248 A JP2014550248 A JP 2014550248A JP 2014550248 A JP2014550248 A JP 2014550248A JP 6248329 B2 JP6248329 B2 JP 6248329B2
Authority
JP
Japan
Prior art keywords
otp
session
client device
private network
authenticator
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2014550248A
Other languages
English (en)
Other versions
JP2015507266A (ja
Inventor
エス. ヴァカ、ジム
エス. ヴァカ、ジム
リ、ホン
エム. コーレンバーグ、トビアス
エム. コーレンバーグ、トビアス
スタナソロヴィッチ、デーヴィッド
エイチ. プライス、マーク
エイチ. プライス、マーク
ジェイ. ビルケル、スティーブン
ジェイ. ビルケル、スティーブン
ダブリュー. リーセ、ケネス
ダブリュー. リーセ、ケネス
タフォヤ、ロナルド
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intel Corp
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Publication of JP2015507266A publication Critical patent/JP2015507266A/ja
Application granted granted Critical
Publication of JP6248329B2 publication Critical patent/JP6248329B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Health & Medical Sciences (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Description

本開示はネットワークからの認証に関し、より詳細には、デバイス固有のワンタイムパスワードによるネットワークからの認証に関する。
多くの企業が私設ネットワークを有する。私設ネットワークはローカル・エリア・ネットワーク(LAN)および/またはエンタープライズネットワークを含みうる。従業員はこれらの私設ネットワークに、インターネットといった公衆ネットワークを介してリモートでアクセスしようとする場合がある。公衆ネットワーク上で私設ネットワークへのアクセスを提供し、公衆ネットワーク上でユーザのコンピューティング機器と私設ネットワークとの間のセキュアな暗号化されたメッセージおよびデータの伝送を提供するための技術が存在する。そうした技法の1つが仮想私設ネットワーク(VPN)である。
私設ネットワークは、無許可のユーザが私設ネットワークにアクセスすることを妨げ、許可されたユーザだけに私設ネットワークおよび/または私設ネットワークに記憶された情報へのアクセスを許可するように構成されうる。そうした許可されたユーザの認知は、通常、ユーザの識別情報の検証、すなわち、ネットワークに対するユーザの認証に依拠する。通常、私設ネットワークから認証を受け、私設ネットワークにアクセスするために、ユーザは、ユーザ名およびパスワードを提供するよう求められうる。状況によっては、ユーザは、パスコードといった追加的な認証を提供するよう求められる場合もある。
コンピューティング機器で私設ネットワークにアクセスしようとするユーザは、ユーザ名およびパスワードを用いてコンピューティング機器から認証を受け、次いで、別のパスワードおよびおそらくは別のユーザ名で私設ネットワークから認証を受けるよう要求されうる。セキュリティを確保するために、パスワードは比較的頻繁に変更されるべきである。ユーザは、その場合、パスワードを覚え、または後で取得するためにパスワードを記録しなければならない。どちらの技法もあまり確実ではなく、記録されたパスワードがユーザ以外の誰かによって取得され、セキュリティを損なう可能性もある。
特許請求される主題の実施形態の特徴および利点は、以下の詳細な説明が進むに従って、図面を参照すれば明らかになるはずであり、図面において類似の符号は類似の部分を示す。
本開示の様々な実施形態と一致するデバイス固有のワンタイムパスワード認証システムを示す図である。 本開示の様々な実施形態と一致するデバイス固有のワンタイムパスワード認証システムの例示的動作を示すフローチャートである。 本開示の一実施形態と一致するワンタイムパスワードを生成するように構成されたクライアントデバイスの例示的動作を示すフローチャートである。 本開示の様々な実施形態と一致する第2の認証を提供するように構成されたデバイス固有のワンタイムパスワード認証システムの例示的動作を示す別のフローチャートである。
以下の詳細な説明は例示的な実施形態を参照しながら進めるが、当業者にはこれらの実施形態の多くの代替形態、改変形態および変形形態が明らかになるであろう。
一般に、本開示では、ワンタイムパスワード(OTP)を用いて私設ネットワークから認証を受けるための方法およびシステムを記載する。クライアントデバイスは、少なくとも一部はデバイス属性に基づいてワンタイムパスワードを生成するように構成されている。デバイス属性には、それだけに限らないが、ファイルシステム属性、デバイス設定(ソフトウェアとハードウェアの両方)、ハードウェア特徴およびデバイス(ユーザ)コンテキストが含まれうる。
デバイス属性は、通常、デバイス固有であり、別のデバイス上では複製されえない。OTPを生成するのに使用される固有のデバイス属性は、例えば、本明細書に記載するように、システム管理者によって選択可能としてよい。OTPは、クライアントデバイスが私設ネットワークに接続されるセッションの間にクライアントデバイスによって生成されてよい。OTPは、次いで、クライアントデバイス上に保存され、私設ネットワークと関連付けられたオーセンティケータに提供されてよい。OTPは、次いで、次のセッションで私設ネットワークに対してクライアントデバイスを認証するのに使用されてよい。よって、クライアントデバイスは、別のデバイス上で複製されえないデバイス属性に基づく、潜在的に一意のランダムなOTPを用いて私設ネットワークに対して認証されうる。ユーザは、その場合、そうしたパスワードを覚えなくてもよい。ユーザはクライアントデバイスから認証され、クライアントデバイスは、次いで、私設ネットワークから認証されうる。
セッションOTPは、私設ネットワークに対してクライアントデバイスを認証するのに使用されてよい。セッションOTPは、同様に、私設ネットワークに含まれる保護されたコンテンツへのアクセスを制御するのにも使用されてよい。コンテンツは、情報、データおよび/またはアプリケーションを含んでいてよい。セッションOTPを用いて私設ネットワークから認証を受けたクライアントデバイスは、保護されたコンテンツにアクセスするためにさらなる認証を提供するよう構成されていてよい。さらなる認証は、本明細書に記載するように、静的セッションOTPおよび/または第2の(動的)セッションOTPを含んでいてよい。
一実施形態では、第2の認証が実行されてよい。この実施形態では、クライアントデバイスは、認証時に、デバイス属性に基づいて第2の(動的)OTPを生成ように構成されていてよい。オーセンティケータは、第2のOTPが、前のセッションの間にクライアントデバイスによって提供された保存されたOTPの予め定められた許容差内である場合に認証成功と判断するように構成されていてよい。第2の認証は、記憶されたセッションOTPを生成したクライアントデバイスが、第2の認証を試みているクライアントデバイスであることを検証するように構成されている。
例えば、選択されるファイルシステム属性が、デバイス固有のセッションOTPを生成するのに使用されてもよい。ファイルシステム属性は、例えば、システム管理者によって定義された予め定められた規則に基づいて選択されてもよい。この例では、選択されるファイルシステム属性は、クライアントデバイスに含まれるハードディスクの指定の1もしくは複数の領域に対応してよい。選択される領域は、静的であってもよく、比較的低頻度で変化するように構成されてもよい。選択される領域はスキャンされてよく、スキャンされた領域に記憶されたデータが取り込まれてよい。取り込まれたデータは、次いで、デバイス固有のOTPを生成するように処理されてよい。例えば、取り込まれたデータは、所望のサイズのOTPを提供するように構成された暗号学的ハッシュ関数を用いて処理されてよい。よって、デバイス固有のOTPが、デバイス固有のデバイス属性に基づいて生成されうる。
図1に、本開示の様々な実施形態と一致するデバイス固有のワンタイムパスワード認証システム100を示す。システム100は、一般に、クライアントデバイス102と、私設ネットワーク104と、ネットワーク106とを含む。私設ネットワーク104は、一般に、認証サーバ「オーセンティケータ」108と、1つまたは複数のサーバ140と、1つまたは複数の記憶装置142とを含む。1つまたは複数の記憶装置142は、本明細書に記載するように、(1つまたは複数の)ハード・ディスク・ドライブおよび/または他の記憶媒体を含んでいてよい。オーセンティケータ108は、私設ネットワーク104に含まれていてよく、かつ/または私設ネットワーク104と関連付けられていてよい(ゲートウェイなど)。ユーザは、クライアントデバイス102を使用し、ネットワーク106を介して私設ネットワーク104にアクセスしてよい。ネットワーク106は、インターネットなどの公衆ネットワークとしてよい。
クライアントデバイス102は、セキュアなストレージ110と、プロセッサ「CPU」112と、メモリ114と、1つまたは複数の記憶装置116と、通信モジュール118とを含んでいてよい。「クライアントデバイス」は、本明細書で使用する場合、任意のコンピューティング機器を意味し、それだけに限らないが、移動電話、スマートフォン、タブレットコンピュータ、ノートブックコンピュータ、デスクトップコンピュータ、ウルトラポータブルコンピュータ、ウルトラモバイルコンピュータ、ネットブックコンピュータ、サブノートブックコンピュータ、個人向け携帯情報端末、企業向け携帯情報端末、モバイル・インターネット・デバイス、および類似のデバイスを含む。CPU112は、クライアントデバイス102内のアプリケーションおよび/またはモジュールと関連付けられた動作を実行するように構成されている。メモリ114は、クライアントデバイス102のためのアプリケーションおよび/またはデータを記憶するように構成されている。1つまたは複数の記憶装置116は、本明細書に記載するように、ハード・ディスク・ドライブ、取り外し可能記憶装置、および/または他の記憶媒体を含んでいてよい。通信モジュール118は、クライアントデバイス102のためのネットワーク接続を提供するように構成されている。通信モジュール118は、1つまたは複数の通信プロトコルを用いて、有線または無線で、ネットワーク106に接続するように構成されていてよい。
セキュアなストレージ110は、セキュアなストレージ110内に含まれる要素へのアクセスを制限するように構成されている。セキュアなストレージ110は、セキュリティエンジン120と、セッションOTP生成モジュール122と、セッションOTP123を含みうるローカルセッションOTPストア124と、セッションOTP規則126とを含み、動的セッションOTP128を含んでいてよい。セキュリティエンジン120は、セキュアなストレージ110を管理し、セキュアなストレージ110へのアクセスを制御するように構成されており、暗号化操作および/またはハッシュ化操作を実行するように構成されていてよい。
セッションOTP生成モジュール122は、デバイス属性130およびセッションOTP規則126に基づいて第1の(静的)セッションOTP123を生成するように構成されている。セッションOTP生成モジュール122は、本明細書に記載するように、第2の(動的)セッションOTP128を生成するようにさらに構成されていてよい。静的セッションOTP123は、現在のセッションが終了する直前に生成されてよい。静的セッションOTP123は、次いで、次のセッションで私設ネットワーク104に対してクライアントデバイス102を認証するのに利用されてよい。ある実施形態では、静的セッションOTP123は、静的セッションOTP123の失効日付を含むように構成された日付フィールドを含んでいてよい。
セッションOTP生成モジュール122は、クライアントデバイス102をスキャンし、セッションOTP規則126に基づいて複数のデバイス属性を選択するように構成されている。選択された複数のデバイス属性は、次いで、少なくとも一部はセッションOTP規則126に基づいて、セッションOTP生成モジュール122によって選択的に組み合わされ、暗号化され、かつ/またはハッシュ化されてよい。ハッシュ化は、所望の長さ(サイズ)のセッションOTPを提供するように構成されている。結果は、次いで、ローカルの静的セッションOTPストア124に記憶され、後で使用するために記憶されるようにオーセンティケータ108に提供されてよい。
デバイス属性130は、それだけに限らないが、ファイルシステム属性、ハードウェア特徴、ソフトウェア構成設定、およびユーザコンテキストを含む。ファイルシステム属性は、ディレクトリ(フォルダ)、サブディレクトリ(サブフォルダ)、ファイルおよびファイル固有の情報(ファイル位置、ファイル名、著者、タイムスタンプ、ファイルサイズ、ファイルタイプ、ファイル内のストリング、ファイル統計および/もしくは他のファイル固有の情報)ならびに/または他のファイルシステム属性を含む。ハードウェア特徴は、メモリサイズ、MACアドレス、記憶装置ストリング、グラフィック特性および/または他のハードウェア特徴を含む。ユーザコンテキストは、ユーザ(クライアントデバイス102)位置、ユーザプロフィール、ユーザ・バイオメトリクス・データおよび/または他のユーザコンテキストデータを含む。デバイス属性130は、任意のデバイス固有の属性を含んでいてよい。よって、デバイス固有の属性は、別のデバイス上で複製されえない複数のデバイス固有のデータを含む。
セッションOTP規則126は、どのデバイス属性が選択されるか、選択されるデバイス属性の数を定義するように構成されており、ハッシュ化パラメータを定義するように構成されていてよい。セッションOTP規則126は、例えば、私設ネットワーク104と関連付けられたシステム管理者によって決定されてよい。選択される固有のデバイス属性および選択されるデバイス属性の数は、求められるセキュリティのレベルに基づくものとしてよい。例えば、より多数のデバイス属性を選択すれば、より少数のデバイス属性を選択する場合と比べて、一意のOTPがもたらされる可能性が高くなる。セッションOTP規則126は、比較的低頻度で変化する少なくともいくつかのデバイス属性を選択することを含んでいてよい。セッションOTP規則126は、少なくとも若干のランダム機能を含んでいてよい。ランダム機能は、生成される各OTPが、以前にされたOTPまたは後で生成されるOTPに対して固有である可能性が高いことを確保するように構成されていてよい。例えば、固有のデバイス属性はランダムに選択されてよい。別の例では、選択されるデバイス属性の数は、ランダムとしてよく、閾値数より大きくなるように制約されてよい。よって、概ね一意のOTPが、複数のデバイス属性に基づいて生成されうる。
例えば、選択されるデバイス属性がアプリケーションのための構成設定を含む場合には、(1つまたは複数の)ユーザプロフィール属性ストリングがセッションOTPを生成するのに使用されてよい。(1つまたは複数の)ユーザプロフィール属性ストリングは、スキャンされ、取り込まれてよい。取り込まれたデータは、セッションOTPを生成するようにハッシュ化されてよい。ハッシュ化パラメータは、指定のサイズのセッションOTPを提供するように構成されてよい。
生成された第1のセッションOTP123は、クライアントデバイス102上でローカルセッションOTPストア124に記憶されてよく、オーセンティケータ108に提供されてよい。オーセンティケータ108は、私設ネットワーク104のための認証サービスを提供するように構成されている。オーセンティケータ108は、クライアントセッションOTP検査モジュール150と、クライアントセッションOTPストア152とを含み、動的セッションOTP検査モジュール154とOTP検査規則156とを含んでいてよい。
クライアントセッションOTP検査モジュール150は、クライアントデバイス102からセッションOTP、例えば第1のセッションOTP123を受け取り、クライアントセッションOTPの検査を管理するように構成されている。第1のセッションOTP123は、本明細書に記載するように、次のセッションでクライアントデバイス102を認証するのに使用されるように構成されている。オーセンティケータ108は、受け取った第1のセッションOTP123を、後で使用するためにクライアントセッションOTPストア152に記憶するように構成されている。よって、セッションOTPがクライアントデバイス102によって生成されると、生成された第1のセッションOTP123は、クライアントデバイス102のローカルセッションOTPストア124と、オーセンティケータ108のクライアントセッションOTPストア152とに記憶されうる。
ユーザがクライアントデバイス102を用いて私設ネットワーク104にアクセスしようとするとき、ユーザはクライアントデバイス102からユーザ自身の認証を受けてよく、クライアントデバイス102は、次いで、私設ネットワーク104から認証を受けようと試みてよい。ローカルセッションOTPストア124に記憶されたセッションOTP(「ローカルセッションOTP」)は、認証プロセスの一部としてオーセンティケータ108に提供されてよい。クライアントセッションOTP検査モジュール150は、ローカルセッションOTPを受け取り、受け取ったローカルセッションOTPをクライアントセッションOTPストア152に記憶されたセッションOTP(「クライアントセッションOTP」)と比較するように構成されている。ローカルセッションOTPがクライアントセッションOTPに対応する場合には、クライアントデバイス102は私設ネットワーク104に対して認証されてよく、アクセスが許可されてよい。
クライアントデバイス102が、セッションが終了するという指示を受け取ると、セッションOTP生成モジュール122は、新しいセッションOTPを生成し、新しいセッションOTPをローカルセッションOTPストア124に記憶し、新しいセッションOTPをオーセンティケータ108に提供するように構成される。オーセンティケータ108は、次いで、受け取った新しいセッションOTPを、次のセッションで使用するために、クライアントセッションOTPストア152に記憶してよい。
よって、一意のデバイス固有のセッションOTPが生成され、次のセッションで私設ネットワーク104に対してクライアントデバイス102を認証するために現在のセッションの間に記憶されうる。一意のデバイス固有のセッションOTPまたは別のデバイス固有のセッションOTPが、私設ネットワーク内の保護されたコンテンツへのアクセスのためにクライアントデバイス102を認証するのに利用されてよい。セッションOTPは、クライアントデバイス属性130およびセッションOTP規則126に基づいて生成されてよい。ユーザは、私設ネットワーク104にアクセスするための頻繁に変更されるパスワードを覚えなくてもよい。セッションOTPは、クライアントデバイス102と私設ネットワーク104との間の共有される秘密に対応する。
状況によっては、私設ネットワーク104および/または私設ネットワーク104内の保護されたコンテンツにアクセスするための第2の認証を要求することが望ましい場合もある。そうした第2の認証は、第1の認証だけで利用できるレベルより相対的に高いレベルのセキュリティを提供するように構成される。第2の認証は、認証を受けようとするデバイスが、前のセッションで第1のセッションOTP123を提供したクライアントデバイス102であることを確認するように構成されている。第1の認証は、本明細書に記載するように、第1の(静的)セッションOTPを用いて実行されてよい。第2の認証は、次いで、第2の(動的)セッションOTPを用いて実行されてよい。第1のセッションOTPは、本明細書に記載するように、クライアントデバイス102によって生成され、クライアントデバイス102に記憶され、次のセッションで使用するために記憶されるようにオーセンティケータ108に提供されてよい。第1のセッションOTPは、よって、次のセッションの前にクライアントデバイス102に存在する。第2の(動的)セッションOTPは、前のセッションの間ではなく認証試行時に生成されるように構成されている。よって、第2のセッションOTPは、認証時のデバイス属性に基づいて生成される。第2の認証は、私設ネットワークから認証を受けようとするデバイスが、オーセンティケータ108に記憶された第1のセッションOTP123を提供したクライアントデバイス102であることを確認するように構成されている。
第2の(動的)認証が(ポリシーに基づいて)要求される場合、第2の動的セッションOTP128が、デバイス属性130およびセッションOTP規則126に基づいて生成されてよい。第2の(動的)セッションOTP128を生成するのに使用されるセッションOTP規則126は、第1の(静的)セッションOTP123を生成するのに使用されるセッションOTP規則126に対応する。言い換えると、同じ規則が、第1のセッションOTP123と第2のセッションOTP128の両方を生成するのに使用されてよい。同様に、同じデバイス属性130が、第1のセッションOTP123と第2のセッションOTP128の両方を生成するのに使用されてよい。しかし、デバイス属性と関連付けられた値は、第1のセッションOTP123の生成と第2のセッションOTP128の生成との間に変化している可能性もある。例えば、ファイルが編集されている場合もある。別の例として、デバイス設定が変化している場合もある。別の例として、デバイスコンテキスト、例えば位置が変化している場合もある。よって、第2のセッションOTP128が第1のセッションOTP123に対応するかどうか評価するときに、許容差(すなわち範囲)が利用されてよい。第2のセッションOTP128が第1のセッションOTP123の許容差内である場合には、第2の認証に成功したとみなされてよい。
動的セッションOTP検査モジュール154は、少なくとも一部はOTP検査規則156に基づいて第2の認証を実行するように構成されている。OTP検査規則156は、第2の検査に利用されるべき(1つまたは複数の)許容差パラメータを含んでいてよい。第2の(動的)セッションOTP128は、第2の認証を求める要求に応答して生成されてよい。第2のセッションOTP128は、セッションOTP生成モジュール122によって生成され、オーセンティケータ108に提供されてよい。動的セッションOTP検査モジュール154は、第2のセッションOTP128を受け取り、第2のセッションOTP128をクライアントセッションOTPストア152からの第1の(静的)セッションOTP123と比較し、OTP検査規則156に基づいて第2のセッションOTP128が第1の(静的)セッションOTP123に対応するかどうか判定するように構成されている。
例えば、セッションOTPを生成するための基礎として選択されるデバイス属性は、ファイルシステム属性を含んでいてよい。ファイルシステムはスキャンされ、予め定められた範囲内の複数のランダムな位置でデータが取り込まれてよい。次いで、セッションOTPを生成するために、スキャンされた(取り込まれた)属性にセキュアなハッシュが適用されてよい。セキュアなハッシュは、所望のサイズのセッションOTPをもたらすように構成されていてよい。セッションOTPは、次いで、オーセンティケータ108に提供されてよい。オーセンティケータ108は、セッションOTPを記憶してよく、記憶されたセッションOTPと共にタイムスタンプを含めてよい。第2の認証が要求される場合、ファイルシステムは、同じ範囲内の複数の位置においてスキャンされてよい。取り込まれたスキャン結果は、第2の(動的)OTPを生成するようにハッシュ化されてよい。第2のOTPは、オーセンティケータ108に提供されてよい。オーセンティケータ108は、次いで、記憶されたセッションOTPを動的OTPと比較してよい。ファイルシステム属性は、第1のセッションOTPの生成と第2のセッションOTPの生成との間に変化している可能性があるため、クライアントデバイスは、第2のセッションOTPが予め定められたパーセンテージ(例えば90%)内で第1のセッションOTPに対応する場合に妥当と認められてよい。
別の例では、デバイス属性はタイムスタンプを含んでいてよい。この例では、第1のセッションOTPおよび第2のセッションOTPを生成するのにハードウェア属性が利用されてよい。この例では、予め定められた時間間隔にわたる閾値を下回るハードウェア属性変化は検査成功をもたらし、予め定められた時間間隔にわたる閾値を上回るハードウェア属性変化は検査失敗をもたらしうる。
図2に、本開示の様々な実施形態と一致するデバイス固有のOTP認証システムの例示的動作のフローチャート200を示す。フローチャート200の動作は、クライアントデバイス、例えばクライアントデバイス102、および/またはオーセンティケータ、例えばオーセンティケータ108によって実行されてよい。特に、フローチャート200には、本開示と一致する、デバイス固有のOTPを用いて、私設ネットワークに対してクライアントデバイスを認証するように構成された例示的動作が示されている。
フローチャート200の動作は、ユーザのクライアントデバイスへのログイン202から開始してよい。動作204で、私設ネットワークアクセス要求が開始されてよい。動作206で、有効なクライアントセッションOTPがオーセンティケータに存在するかどうかが判定されてよい。有効なクライアントセッションOTPがオーセンティケータに存在しない場合、動作208で標準ユーザ認証が実行されてよい。動作210で、標準認証に成功したかどうかが判定されてよい。標準認証に成功しない場合、動作212で、接続が打ち切られてよい。標準認証に成功した場合、プログラムフローは、本明細書に記載するように、動作218に進んでよい。
動作206に戻って、有効なクライアントセッションOTPがオーセンティケータに存在する場合、動作214で、ローカルセッションOTPがクライアントデバイスに要求されてよい。動作216で、受け取ったローカルセッションOTPがオーセンティケータに記憶されたクライアントセッションOTPに対応するかどうか判定されてよい。受け取ったローカルセッションOTPが記憶されたクライアントセッションOTPに対応しない場合、動作208で、標準ユーザ認証が実行されてよい。ローカルセッションOTPが記憶されたクライアントセッションOTPに対応する場合、動作218で、アクセスが許可されてよく、かつ/または第2の(動的)ユーザ認証が、ポリシーに応じて、要求されてよい。動作220で、セッションが終了するかどうかが判定されてよい。セッションが終了する場合、動作222で、新しいセッションOTPがクライアントデバイスによって生成され、オーセンティケータに提供されてよい。動作224で、新しいセッションOTPが、オーセンティケータによって、クライアントセッションOTPとして記憶されてよい。次いで動作226で、セッションは終了してよい。
図3に、本開示の一実施形態と一致する、デバイス固有のセッションOTPを生成するように構成されたクライアントデバイスの例示的動作のフローチャート300を示す。フローチャート300の動作は、クライアントデバイス、例えばクライアントデバイス102によって実行されてよく、図2の動作222に対応する。特に、フローチャート300には、次のセッションでクライアントデバイスを認証するのに使用されることになるオーセンティケータに提供されるべきセッションOTPを生成するように構成された例示的動作が示されている。プログラムフローは、セッションが終了するという指示302から開始してよい。動作304は、選択されたデバイス属性を取得する(取り込む)ことを含む。取り込まれる固有のデバイス属性は、セッションOTP規則に基づくものとしてよい。動作306で、少なくとも一部は選択されたデバイス属性およびセッションOTP規則に基づいて、新しいセッションOTPが生成されてよい。動作308は、新しいセッションOTPをクライアントデバイス上のローカルセッションOTPに記憶すること、および新しいセッションOTPをオーセンティケータに提供することを含む。次いで動作310で、セッションは終了してよい。
図4に、本開示の様々な実施形態と一致する、第2の認証を提供するように構成されたデバイス固有のOTP認証システムの例示的動作の別のフローチャート400を示す。フローチャート400の動作は、クライアントデバイス、例えばクライアントデバイス102、および/またはオーセンティケータ、例えばオーセンティケータ108によって実行されてよい。特に、フローチャート400には、デバイス属性に基づいて認証時に生成される第2の(動的)OTPを用いて第2の認証を実行するように構成された例示的動作が示されている。フローチャート400の動作は、図2の動作218に含まれうる。フローチャート400の動作は、第2のユーザ認証を求める要求402から開始してよい。動作404は、少なくとも一部は選択されたデバイス属性およびセッションOTP規則に基づいて、第2の(動的)セッションOTPを生成することを含んでいてよい。動作406で、第2の(動的)セッションOTPがオーセンティケータに提供されてよい。動作408で、動的セッションOTPが予め定められた許容差内で記憶されたクライアントセッションOTPに対応するかどうかが判定されてよい。動的セッションOTPが記憶されたクライアントセッションOTPに予め定められた許容差で対応しない場合、動作410で、動的認証に失敗し、動作412で、セッションは終了してよい。動的セッションOTPが記憶されたクライアントセッションOTPに予め定められた許容差で対応する場合、動作414で、動的認証に成功し、動作416で、セッションは続行してよい。
よって、クライアントデバイスは、複数のデバイス属性およびセッションOTP規則に基づいて生成されたセッションOTPを用いて、私設ネットワークおよび/または保護されたコンテンツに対して認証されうる。複数のデバイス属性は、デバイス固有の、デバイス「指紋」に対応するものである。デバイス属性は、時間の経過とともに変化する可能性があり、セッションOTPを生成するために選択されるデバイス属性も変化しうる。よって、生成される各セッションOTPは、実質的に一意で、概ねランダムなものとなりうる。セッションOTPは、次のセッションでの認証に使用するために現在のセッションの間に生成されてよい。よって、セッションOTPは、クライアントデバイスとオーセンティケータとの間の共有される秘密に対応しうる。
ある実施形態では、第2の動的認証は、認証試行の前に生成される第1のセッションOTPおよび認証試行の間に生成される第2のセッションOTPを用いて実行されてよい。第2のセッションOTPは、クライアントデバイスの識別情報を、より高い信用度で検証するように構成されている。第2のセッションOTPは認証時に生成され、クライアントデバイス上に記憶されないため、第2のセッションOTPは相対的によりセキュアである。デバイス属性は、第1のセッションOTPの生成と第2のセッションOTPの生成との間に変化している可能性があるため、第1のセッションOTPの生成と第2のセッションOTPの生成との間で若干の変動が予期されうる。よって、この変動を見込むために許容差および/または閾値が使用されうる。
図2から図4には一実施形態による様々な動作が示されているが、図2から図4に示すすべての動作が他の実施形態にも必要であると限らないことを理解すべきである。実際、本明細書では、本開示の他の実施形態では、図2から図4に示す動作および/または本明細書に記載する他の動作は、図面のいずれにも具体的に示されていないが、にもかかわらず本開示と十分に整合性を有する方法で組み合わされうることが十分に企図されている。よって、ある図面に厳密に示されていない特徴および/または動作を対象とする請求項が、本開示の範囲および趣意の範囲内とみなされる。
本明細書に記載する動作のいずれも、1つまたは複数のプロセッサによって実行されると各方法を実行する命令を、個別に、または組み合わせとして記憶している1つまたは複数の記憶媒体を含むシステムにおいて実装されてよい。ここで、プロセッサは、例えば、クライアントデバイスCPU、サーバCPU、および/または他のプログラマブル回路を含んでいてよい。また、本明細書に記載する動作は、複数の異なる物理的位置にある処理構造といった、複数の物理デバイスにまたがって分散されてよいことも意図されている。記憶媒体は任意の種類の有形媒体、例えば、ハードディスク、フロッピー(登録商標)ディスク、光ディスク、コンパクトディスク読取り専用メモリ(CD−ROM)、書換え型コンパクトディスク(CD−RW)、および光磁気ディスクを含む任意の種類のディスク、読取り専用メモリ(ROM)、ダイナミックRAMおよびスタティックRAMといったランダム・アクセス・メモリ(RAM)、消去書込み可能読取り専用メモリ(EPROM)、電気的消去書込み可能読取り専用メモリ(EEPROM)、フラッシュメモリ、ソリッド・ステート・ディスク(SSD)などの半導体デバイス、磁気カードもしくは光カード、または電子命令を記憶するのに適した任意の種類の媒体を含んでいてよい。他の実施形態は、プログラマブル制御デバイスによって実行されるソフトウェアモジュールとして実装されてよい。記憶媒体は非一時的であってよい。
以上は例示的システムアーキテクチャおよび方法論として提供するものであるが、本開示への改変も可能である。例えば、クライアント・デバイス・メモリ114、オーセンティケータメモリおよび/またはサーバメモリなどのメモリは、以下の種類のメモリのうちの1つまたは複数を含んでいてよい。半導体ファイアウォールメモリ、プログラマブルメモリ、不揮発性メモリ、読取り専用メモリ、電気的書込み可能メモリ、ランダム・アクセス・メモリ、フラッシュメモリ、磁気ディスクメモリ、および/または光ディスクメモリ。加えて、または代替として、クライアント・デバイス・メモリ114、オーセンティケータメモリおよび/またはサーバメモリは、他の種類および/または後で開発される種類のコンピュータ可読メモリを含んでいてもよい。
クライアントデバイス102は、様々な通信プロトコルを用いてネットワーク106および/または私設ネットワーク104と通信するように構成されてよい。通信プロトコルは、それだけに限らないが、Wi−Fi、3G、4G、および/または他の通信プロトコルといった無線通信プロトコルを含んでいてよい。通信プロトコルは、他の関連したインターネット技術標準化委員会(IETF:Internet Engineering Task Force)規格に準拠し、かつ/または適合していてよい。
Wi−Fiプロトコルは、2007年3月8日付で公開された、「IEEE 802.11−2007 Standard,IEEE Standard for Information Technology−Telecommunications and Information Exchange Between Systems−Local and Metropolitan Area Networks−Specific Requirements − Part 11:Wireless LAN Medium Access Control(MAC)and Physical Layer(PHY)Specifications」という名称の、米国電気電子技術者協会(IEEE:Institute of Electrical and Electronics Engineers)によって発行された802.11規格、および/またはこの規格の新しいバージョンに準拠し、または適合していてよい。
3Gプロトコルは、2000年に公開された、「IMT−2000」という名称の、国際電気通信連合(ITU:International Telecommunication Union)によって発行された国際移動通信(IMT:International Mobile Telecommunications)規格および/またはこの規格の新しいバージョンに準拠し、または適合していてよい。4Gプロトコルは、2008年に公開された、「IMT−Advanced」という名称の、ITUによって発行されたIMT規格および/またはこの規格の新しいバージョンに準拠し、または適合していてよい。
クライアントデバイス102は、選択されたパケット交換ネットワーク通信プロトコルを用いてネットワーク106および/または私設ネットワーク104と通信することができてよい。一例示的通信プロトコルは、伝送制御プロトコル/インターネットプロトコル(TCP/IP:Transmission Control Protocol/Internet Protocol)を用いた通信を可能としうるイーサネット(登録商標)通信プロトコルを含んでいてよい。イーサネット(登録商標)プロトコルは、2002年3月に公開された、「IEEE 802.3 Standard」という名称の、米国電気電子技術者協会(IEEE)によって発行されたイーサネット(登録商標)規格および/またはこの規格の新しいバージョンに準拠し、または適合していてよい。代替として、または加えて、クライアントデバイス102は、X.25通信プロトコルを用いてネットワーク106および/または私設ネットワーク104と通信することができてもよい。X.25通信プロトコルは、国際電気通信連合電気通信標準化部門(ITU−T:International Telecommunication Union−Telecommunication Standardization Sector)によって公表された規格に準拠し、または適合していてよい。代替として、または加えて、クライアントデバイス102は、フレームリレー通信プロトコルを用いてネットワーク106および/または私設ネットワーク104と通信することができてもよい。フレームリレー通信プロトコルは、国際電信電話諮問委員会(CCITT:Consultative Committee for International Telegraph and Telephone)および/または米国規格協会(ANSI:American National Standards Institute)によって公表された規格に準拠し、または適合していてよい。代替として、または加えて、クライアントデバイス102は、非同期転送モード(ATM:Asynchronous Transfer Mode)通信プロトコルを用いてネットワーク106および/または私設ネットワーク104と通信することができてもよい。ATM通信プロトコルは、2001年8月に公開された、「ATM−MPLS Network Interworking 1.0」という名称の、ATMフォーラムによって発行されたATM規格および/またはこの規格の新しいバージョンに準拠し、または適合していてよい。当然ながら、本明細書では、異なる、かつ/または後で開発される接続指向のネットワーク通信プロトコルも等しく企図されている。
「回路」は、本明細書のいずれかの実施形態で使用する場合、例えば、単独で、または任意の組み合わせとして、配線回路、プログラマブル回路、状態機械回路、および/またはプログラマブル回路によって実行される命令を記憶するファームウェアを含んでいてよい。アプリケーションおよび/またはモジュールは、本明細書のいずれかの実施形態で使用する場合、回路として具現化されてよい。回路は、集積回路チップといった集積回路として具現化されてよい。
以上、デバイス固有のセッションOTPを用いて私設ネットワークから認証を受けるための方法およびシステムを説明した。クライアントデバイスは、少なくとも一部はデバイス属性に基づいてセッションOTPを生成するように構成される。セッションOTPは、クライアントデバイスが私設ネットワークに接続されるセッションの間にクライアントデバイスによって生成されてよい。セッションOTPは、次いで、クライアントデバイス上に記憶され、私設ネットワークと関連付けられたオーセンティケータに提供されてよい。セッションOTPは、次いで、次のセッションで私設ネットワークに対してクライアントデバイスを認証するのに使用されてよい。一実施形態では、第2の認証が実行されてよい。この実施形態では、クライアントデバイスは、認証時に、デバイス属性に基づいて第2の(動的)OTPを生成ように構成されていてよい。この実施形態では、オーセンティケータは、第2のOTPが、前のセッションの間にクライアントデバイスによって提供された保存されたOTPの予め定められた許容差内である場合に認証成功と判断するように構成されていてよい。
よって、クライアントデバイスは、デバイス属性に基づく、潜在的に一意のランダムなOTPを用いて私設ネットワークに対して認証されうる。ユーザは、その場合、そうしたパスワードを覚えなくてもよい。ユーザはクライアントデバイスから認証され、クライアントデバイスは、次いで、私設ネットワークから認証されうる。第2の認証は、クライアントデバイス上に記憶されたセッションOTPに依拠しない相対的によりロバストな認証を提供するように構成されている。
一態様によれば、方法が提供される。方法は、少なくとも一部は複数のクライアントデバイス属性に基づいて第1のワンタイムパスワード(OTP)を生成するステップと、第1のOTPを、第1のセッションの間に私設ネットワークと関連付けられたオーセンティケータに提供するステップとを含んでいてよく、オーセンティケータは、提供される第1のOTPに基づき、第1のセッションに続く第2のセッションのために、私設ネットワークおよび私設ネットワークに含まれる保護されたコンテンツのうちの少なくとも1つに対してクライアントデバイスを認証するように構成されている。
別の態様によれば、システムが提供される。システムは、クライアントデバイスとオーセンティケータとを含んでいてよい。クライアントデバイスは、少なくとも一部は複数のクライアントデバイス属性に基づいて第1のワンタイムパスワード(OTP)を生成し、第1のOTPを、第1のセッションの間に私設ネットワークと関連付けられたオーセンティケータに提供するように構成されており、オーセンティケータは、提供される第1のOTPに基づき、第1のセッションに続く第2のセッションのために、私設ネットワークおよび私設ネットワークに含まれる保護されたコンテンツのうちの少なくとも1つに対してクライアントデバイスを認証するように構成されている。
別の態様によれば、システムが提供される。システムは、1つまたは複数のプロセッサによって実行されると以下の動作を生じさせる命令を、個別に、または組み合わせとして記憶している1つまたは複数の記憶媒体を含んでいてよく、動作は、少なくとも一部は複数のクライアントデバイス属性に基づいて第1のワンタイムパスワード(OTP)を生成する動作と、第1のOTPを、第1のセッションの間に私設ネットワークと関連付けられたオーセンティケータに提供する動作とを含み、オーセンティケータは、提供される第1のOTPに基づき、第1のセッションに続く第2のセッションのために、私設ネットワークおよび私設ネットワークに含まれる保護されたコンテンツのうちの少なくとも1つに対してクライアントデバイスを認証するように構成されている。
本明細書で用いられている用語および表現は、制限ではなく説明としての用語であり、そうした用語および表現の使用に際しては、図示し、説明する特徴(または該特徴の部分)のいかなる均等物を除外することも意図されておらず、特許請求の範囲内で様々な改変が可能であることが認められるものである。したがって、特許請求の範囲はそうしたすべての均等物を包含すべきものと意図されている。

Claims (10)

  1. 複数のクライアントデバイス属性にハッシュを適用することにより第1のワンタイムパスワード(第1のOTP)を生成するステップと、
    前記第1のOTPを、第1のセッションの間に私設ネットワークと関連付けられたオーセンティケータに提供するステップと、
    前記第1のOTPをクライアントデバイスに記憶するステップと、
    前記クライアントデバイスが前記第1のセッションに続く第2のセッションのために前記私設ネットワークに対して認証を受けているときに、前記記憶された第1のOTP前記オーセンティケータに提供された前記第1のOTPに一致するかを判定し、一致する場合に前記認証の時点の前記複数のクライアントデバイス属性に前記ハッシュを適用することにより前記認証を受けている間に第2のOTPを生成するステップと、を含み、
    前記オーセンティケータは、前記第2のセッションのために、前記第1のOTPが前記第2のOTPの許容差内である場合に前記私設ネットワークおよび前記私設ネットワークに含まれる保護されたコンテンツのうちの少なくとも1つに対して前記クライアントデバイスを認証する、方法。
  2. 前記複数のクライアントデバイス属性を予め定められたOTP規則に基づいて選択するステップ
    をさらに含む、請求項1に記載の方法。
  3. 前記複数のクライアントデバイス属性は、ファイルシステム属性、ハードウェア特徴、ソフトウェア構成設定、およびユーザコンテキストのうちの少なくとも1つを含む、請求項1または2に記載の方法。
  4. 第1のセッションの間にクライアントデバイスが複数のクライアントデバイス属性にハッシュを適用することにより生成された第1のワンタイムパスワード(第1のOTP)を、私設ネットワークと関連付けられたオーセンティケータが受け取るステップと、
    前記クライアントデバイスが前記第1のセッションに続く第2のセッションのために前記私設ネットワークに対して認証を受けているときに前記オーセンティケータは前記第1のOTPを受け取り、受け取った前記第1のOTPが前記第1のセッションの間に前記オーセンティケータが受け取った前記第1のOTPに一致するかを判定し、一致する場合、前記オーセンティケータは、前記認証の時点の前記複数のクライアントデバイス属性に前記ハッシュを適用することにより前記クライアントデバイスにより生成された第2のOTPを、前記認証を受けている間に受け取るステップと、
    前記オーセンティケータが、前記第1のOTPが前記第2のOTPの許容差内である場合に前記私設ネットワークおよび前記私設ネットワークに含まれる保護されたコンテンツのうちの少なくとも1つに対して前記クライアントデバイスを、前記第2のセッションのために認証するステップと
    を含む、方法。
  5. 請求項1から4のいずれか一項に記載の方法に含まれる各ステップをコンピュータに実行させるためのプログラム。
  6. クライアントデバイスと、
    オーセンティケータと
    を備え、
    前記クライアントデバイスは、複数のクライアントデバイス属性にハッシュを適用することにより第1のワンタイムパスワード(第1のOTP)を生成し、前記第1のOTPを、第1のセッションの間に私設ネットワークと関連付けられた前記オーセンティケータに提供し、
    前記クライアントデバイスは前記第1のOTPを記憶し、
    前記オーセンティケータは、前記クライアントデバイスが前記第1のセッションに続く第2のセッションのために前記私設ネットワークに対して認証を受けているときに、前記クライアントデバイスに記憶された前記第1のOTP前記オーセンティケータに提供された前記第1のOTPに一致するかを判定し
    一致する場合に、前記クライアントデバイスは、前記認証の時点の前記複数のクライアントデバイス属性に前記ハッシュを適用することにより前記認証を受けている間に第2のOTPを生成し、
    前記オーセンティケータは、前記第1のOTPが前記第2のOTPの許容差内である場合に前記私設ネットワークおよび前記私設ネットワークに含まれる保護されたコンテンツのうちの少なくとも1つに対して前記クライアントデバイスを、前記第2のセッションのために認証するシステム。
  7. 前記クライアントデバイスは、予め定められたOTP規則に基づいて前記複数のクライアントデバイス属性を選択する、請求項6に記載のシステム。
  8. 前記複数のクライアントデバイス属性は、ファイルシステム属性、ハードウェア特徴、ソフトウェア構成設定、およびユーザコンテキストのうちの少なくとも1つを含む、請求項6または7に記載のシステム。
  9. 複数のクライアントデバイス属性にハッシュを適用することにより第1のワンタイムパスワード(第1のOTP)を生成し、
    前記第1のOTPを、第1のセッションの間に私設ネットワークと関連付けられたオーセンティケータに提供し、
    前記第1のOTPを記憶し、
    前記第1のセッションに続く第2のセッションのために前記私設ネットワークに対して認証を受けているときに、前記記憶された第1のOTPが前記オーセンティケータに提供された前記第1のOTPに一致すると前記オーセンティケータが判定した場合前記認証の時点の前記複数のクライアントデバイス属性に前記ハッシュを適用することにより前記認証を受けている間に第2のOTPを生成し、
    前記第2のセッションのために、前記第1のOTPが前記第2のOTPの許容差内である場合に前記私設ネットワークおよび前記私設ネットワークに含まれる保護されたコンテンツのうちの少なくとも1つに対して前記オーセンティケータにより認証される、クライアントデバイス。
  10. 私設ネットワークと関連付けられたオーセンティケータであって、
    第1のセッションの間に複数のクライアントデバイス属性にハッシュを適用することでクライアントデバイスにより生成された第1のワンタイムパスワード(第1のOTP)を受け取り、
    前記クライアントデバイスが前記第1のセッションに続く第2のセッションのために前記私設ネットワークに対して認証を受けているときに前記第1のOTPを受け取り、受け取った前記第1のOTPが前記第1のセッションの間に前記オーセンティケータが受け取った前記第1のOTPに一致するかを判定し一致する場合、前記認証の時点の前記複数のクライアントデバイス属性に前記ハッシュを適用することにより前記クライアントデバイスにより前記認証を受けている間に生成された第2のOTPを受け取り、
    前記第1のOTPが前記第2のOTPの許容差内である場合に前記私設ネットワークおよび前記私設ネットワークに含まれる保護されたコンテンツのうちの少なくとも1つに対して前記クライアントデバイスを前記第2のセッションのために認証する、オーセンティケータ。
JP2014550248A 2011-12-27 2011-12-27 デバイス固有のワンタイムパスワードによるネットワークからの認証 Expired - Fee Related JP6248329B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/US2011/067437 WO2013100918A1 (en) 2011-12-27 2011-12-27 Authenticating to a network via a device-specific one time password

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2016041496A Division JP6131354B2 (ja) 2016-03-03 2016-03-03 デバイス固有のワンタイムパスワードによるネットワークからの認証

Publications (2)

Publication Number Publication Date
JP2015507266A JP2015507266A (ja) 2015-03-05
JP6248329B2 true JP6248329B2 (ja) 2017-12-20

Family

ID=48698162

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014550248A Expired - Fee Related JP6248329B2 (ja) 2011-12-27 2011-12-27 デバイス固有のワンタイムパスワードによるネットワークからの認証

Country Status (6)

Country Link
US (3) US9380026B2 (ja)
EP (2) EP3576343A1 (ja)
JP (1) JP6248329B2 (ja)
KR (2) KR101615572B1 (ja)
CN (1) CN104025504B (ja)
WO (1) WO2013100918A1 (ja)

Families Citing this family (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2795914A4 (en) * 2011-12-22 2015-08-12 Intel Corp COLLABORATIVE ENTERTAINMENT PLATFORM
CN104025503B (zh) * 2011-12-28 2017-07-28 英特尔公司 使用客户端平台信任根的网页认证
US9292670B2 (en) * 2012-02-29 2016-03-22 Infosys Limited Systems and methods for generating and authenticating one time dynamic password based on context information
US9203818B1 (en) * 2012-08-23 2015-12-01 Amazon Technologies, Inc. Adaptive timeouts for security credentials
US20140304789A1 (en) * 2013-04-05 2014-10-09 International Business Machines Corporation Convenient one-time password
AU2015219267A1 (en) 2014-02-18 2016-09-22 Secureauth Corporation Fingerprint based authentication for single sign on
US20150261948A1 (en) * 2014-03-12 2015-09-17 Cognitas Technologies, Inc. Two-factor authentication methods and systems
JP6181588B2 (ja) * 2014-03-28 2017-08-16 株式会社Nttドコモ 情報通信システム及び情報通信方法
US9836594B2 (en) * 2014-05-19 2017-12-05 Bank Of America Corporation Service channel authentication token
WO2016007785A1 (en) 2014-07-11 2016-01-14 Cryptography Research, Inc. Secure data provisioning
US10250594B2 (en) * 2015-03-27 2019-04-02 Oracle International Corporation Declarative techniques for transaction-specific authentication
CN106341372A (zh) 2015-07-08 2017-01-18 阿里巴巴集团控股有限公司 终端的认证处理、认证方法及装置、系统
US9769157B2 (en) 2015-09-21 2017-09-19 American Express Travel Related Services Company, Inc. Systems and methods for secure one-time password validation
US10181020B2 (en) 2015-09-21 2019-01-15 American Express Travel Related Services Company, Inc. Systems and methods for gesture based biometric security
US10257205B2 (en) 2015-10-22 2019-04-09 Oracle International Corporation Techniques for authentication level step-down
US10225283B2 (en) 2015-10-22 2019-03-05 Oracle International Corporation Protection against end user account locking denial of service (DOS)
US10164971B2 (en) 2015-10-22 2018-12-25 Oracle International Corporation End user initiated access server authenticity check
CN113918914A (zh) 2015-10-23 2022-01-11 甲骨文国际公司 用于访问管理的无密码认证
US20170148009A1 (en) * 2015-11-20 2017-05-25 Afirma Consulting & Technologies, S.L. Dynamic multilayer security for internet mobile-related transactions
US10461932B2 (en) * 2016-03-08 2019-10-29 Oath Inc. Method and system for digital signature-based adjustable one-time passwords
US10009340B2 (en) * 2016-03-25 2018-06-26 Fortinet, Inc. Secure, automatic second factor user authentication using push services
CN113014568B (zh) 2016-10-10 2023-06-30 创新先进技术有限公司 账户登录方法、设备和服务器
US10878218B2 (en) * 2018-06-18 2020-12-29 Salesforce.Com, Inc. Device fingerprinting, tracking, and management
US11283793B2 (en) 2018-10-18 2022-03-22 Oracle International Corporation Securing user sessions
US11463433B1 (en) * 2018-12-28 2022-10-04 Arpitha Chiruvolu Secure bearer-sensitive authentication and digital object transmission system and method for spoof prevention
EP4091312A1 (en) * 2020-01-15 2022-11-23 Arcanum Technology LLC Fraud resistant passcode entry system
CN111817851B (zh) * 2020-09-10 2020-12-08 北京深思数盾科技股份有限公司 Otp生成方法、验证方法、终端、服务器、芯片和介质
US11924198B2 (en) * 2021-04-27 2024-03-05 Mastercard Technologies Canada ULC Behavioral one-time-passcode (OTP) generation
KR102486480B1 (ko) * 2022-08-17 2023-01-09 주식회사 에스케어 Vpn 접속을 처리하기 위한 방법, 장치, 시스템 및 컴퓨터 판독가능 저장매체

Family Cites Families (44)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4020520B2 (ja) * 1998-12-28 2007-12-12 富士通株式会社 接続装置
US6715082B1 (en) * 1999-01-14 2004-03-30 Cisco Technology, Inc. Security server token caching
US8484710B2 (en) * 2001-02-14 2013-07-09 Pass Protect Technology, Llc System and method for securely sending a network one-time-password utilizing a mobile computing device
US8020199B2 (en) * 2001-02-14 2011-09-13 5th Fleet, L.L.C. Single sign-on system, method, and access device
US20030163694A1 (en) * 2002-02-25 2003-08-28 Chaing Chen Method and system to deliver authentication authority web services using non-reusable and non-reversible one-time identity codes
JP2003338814A (ja) * 2002-05-20 2003-11-28 Canon Inc 通信システム、管理サーバおよびその制御方法ならびにプログラム
JP4260116B2 (ja) * 2003-05-22 2009-04-30 富士通株式会社 安全な仮想プライベート・ネットワーク
JP2005025610A (ja) * 2003-07-04 2005-01-27 Fujitsu Support & Service Kk システムのセキュリティ方法及びセキュリティシステム
US7886345B2 (en) * 2004-07-02 2011-02-08 Emc Corporation Password-protection module
CA2583741C (en) * 2004-10-15 2014-10-14 Verisign, Inc. An algorithm to create and validate a one time password
US20060136739A1 (en) * 2004-12-18 2006-06-22 Christian Brock Method and apparatus for generating one-time password on hand-held mobile device
US9185108B2 (en) * 2005-05-06 2015-11-10 Symantec Corporation Token sharing system and method
JP2007018140A (ja) * 2005-07-06 2007-01-25 Matsushita Electric Ind Co Ltd 通信装置、パスワード変更方法、およびパスワード変更プログラム
US7752450B1 (en) * 2005-09-14 2010-07-06 Juniper Networks, Inc. Local caching of one-time user passwords
TWI308692B (en) * 2005-10-26 2009-04-11 Sunplus Technology Co Ltd Programmable memory and accessing method of the same
US7849323B2 (en) * 2005-11-09 2010-12-07 Emc Corporation Password presentation for multimedia devices
US20070130474A1 (en) * 2005-12-05 2007-06-07 Tri-D Systems, Inc. Creating multiple one-time passcodes
EP1898333A4 (en) * 2005-12-09 2009-09-23 Hitachi Software Eng AUTHENTICATION SYSTEM AND AUTHENTICATION PROCESS
KR100645401B1 (ko) * 2006-05-01 2006-11-15 주식회사 미래테크놀로지 휴대폰에서의 시간동기 방식 오티피 발생장치와 방법
US20080034216A1 (en) * 2006-08-03 2008-02-07 Eric Chun Wah Law Mutual authentication and secure channel establishment between two parties using consecutive one-time passwords
JP4936819B2 (ja) * 2006-08-08 2012-05-23 ソフトバンクモバイル株式会社 携帯端末、パスコード生成プログラムおよびパスコード生成方法
JP4983197B2 (ja) * 2006-10-19 2012-07-25 富士ゼロックス株式会社 認証システム、認証サービス提供装置、および認証サービス提供プログラム
US8543829B2 (en) 2007-01-05 2013-09-24 Ebay Inc. Token device re-synchronization through a network solution
US20090125997A1 (en) * 2007-04-03 2009-05-14 Debra L Cook Network node with one-time-password generator functionality
US8935762B2 (en) * 2007-06-26 2015-01-13 G3-Vision Limited Authentication system and method
US8788835B2 (en) * 2007-08-28 2014-07-22 Alcatel Lucent Methods for selectively capturing and replicating one-time password generator functionality from device to device
US8565723B2 (en) * 2007-10-17 2013-10-22 First Data Corporation Onetime passwords for mobile wallets
JP5045417B2 (ja) * 2007-12-19 2012-10-10 ソニー株式会社 ネットワークシステム及びダイレクトアクセス方法
US8438618B2 (en) * 2007-12-21 2013-05-07 Intel Corporation Provisioning active management technology (AMT) in computer systems
US20090172402A1 (en) * 2007-12-31 2009-07-02 Nguyen Tho Tran Multi-factor authentication and certification system for electronic transactions
EP2260427A4 (en) * 2008-02-20 2016-11-16 Ericsson Telefon Ab L M FLEXIBLE NODEIDENTITY FOR TELECOM NODES
US20080208758A1 (en) * 2008-03-03 2008-08-28 Spiker Norman S Method and apparatus for secure transactions
JP2010015541A (ja) * 2008-06-04 2010-01-21 Fujitsu Ltd 認証システム、端末装置、パスワード発行装置及び認証方法
TWI366376B (en) * 2008-06-11 2012-06-11 Chunghwa Telecom Co Ltd System and method identity verification applicable to exclusive simulation network
CN102273239A (zh) 2008-12-31 2011-12-07 诺基亚(中国)投资有限公司 用于在通信网络中标识合法用户设备的解决方案
JP2011164837A (ja) * 2010-02-08 2011-08-25 Nomura Research Institute Ltd 認証システムおよび認証方法
US8683564B2 (en) * 2010-06-27 2014-03-25 King Saud University One-time password authentication with infinite nested hash claims
US8627424B1 (en) * 2010-06-30 2014-01-07 Emc Corporation Device bound OTP generation
US8370899B2 (en) * 2010-08-11 2013-02-05 Emc Corporation Disposable browser for commercial banking
US8640206B2 (en) * 2010-08-20 2014-01-28 Regis J. Betsch System and method for controlling access to information stored at plurality of sites
CN102026195B (zh) * 2010-12-17 2013-05-15 北京交通大学 基于一次性口令的移动终端身份认证方法和系统
US8832788B1 (en) * 2011-11-01 2014-09-09 Symantec Corporation Automated human assisted authentication
US20130139222A1 (en) * 2011-11-29 2013-05-30 Rawllin International Inc. Authentication of mobile device
US20130159195A1 (en) * 2011-12-16 2013-06-20 Rawllin International Inc. Authentication of devices

Also Published As

Publication number Publication date
CN104025504A (zh) 2014-09-03
EP2798775A4 (en) 2015-10-14
US20180375854A1 (en) 2018-12-27
KR101615572B1 (ko) 2016-04-26
US20140250490A1 (en) 2014-09-04
US9380026B2 (en) 2016-06-28
CN104025504B (zh) 2018-07-31
US20160301688A1 (en) 2016-10-13
EP3576343A1 (en) 2019-12-04
US10574649B2 (en) 2020-02-25
EP2798775B1 (en) 2019-06-19
EP2798775A1 (en) 2014-11-05
US10075434B2 (en) 2018-09-11
KR20150089090A (ko) 2015-08-04
WO2013100918A1 (en) 2013-07-04
KR20140105498A (ko) 2014-09-01
JP2015507266A (ja) 2015-03-05
KR101716221B1 (ko) 2017-03-14

Similar Documents

Publication Publication Date Title
JP6248329B2 (ja) デバイス固有のワンタイムパスワードによるネットワークからの認証
US10009340B2 (en) Secure, automatic second factor user authentication using push services
US8868915B2 (en) Secure authentication for client application access to protected resources
US9692603B2 (en) Biometric PKI authentication
KR101414312B1 (ko) 클라이언트로부터 서버로 사용자 자격 증명들을 위임하는 방법, 애플리케이션 프로그래밍 인터페이스, 및 클라이언트컴퓨팅 장치
US20190068570A1 (en) Multi-party authentication in a zero-trust distributed system
US8266683B2 (en) Automated security privilege setting for remote system users
CA3035817A1 (en) System and method for decentralized authentication using a distributed transaction-based state machine
US11451959B2 (en) Authenticating client devices in a wireless communication network with client-specific pre-shared keys
US11792179B2 (en) Computer readable storage media for legacy integration and methods and systems for utilizing same
US10250589B2 (en) System and method for protecting access to authentication systems
CN101764788A (zh) 基于扩展802.1x认证系统的安全接入方法
JP6131354B2 (ja) デバイス固有のワンタイムパスワードによるネットワークからの認証
US20080060060A1 (en) Automated Security privilege setting for remote system users
TWI673622B (zh) 配對認證系統及方法
EP2442519A1 (en) Method and system for authenticating network device
WO2008025137A1 (en) Automated security privilege setting for remote system users
AU2015258292A1 (en) System and method for protecting access to authentication systems

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150626

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150721

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150914

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20151104

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170906

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20171031

R150 Certificate of patent or registration of utility model

Ref document number: 6248329

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees