JP6701364B2 - パスワードなしのコンピュータログインのサービス支援モバイルペアリングのためのシステム及び方法 - Google Patents

パスワードなしのコンピュータログインのサービス支援モバイルペアリングのためのシステム及び方法 Download PDF

Info

Publication number
JP6701364B2
JP6701364B2 JP2018542782A JP2018542782A JP6701364B2 JP 6701364 B2 JP6701364 B2 JP 6701364B2 JP 2018542782 A JP2018542782 A JP 2018542782A JP 2018542782 A JP2018542782 A JP 2018542782A JP 6701364 B2 JP6701364 B2 JP 6701364B2
Authority
JP
Japan
Prior art keywords
computer
pairing
mobile device
key
mobile
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018542782A
Other languages
English (en)
Other versions
JP2019508972A (ja
Inventor
ペイ・ミングリヤン
ガッタニ・シャンタヌ
ジョリ アントニラッジ・ローザリン
ジョリ アントニラッジ・ローザリン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NortonLifeLock Inc
Original Assignee
Symantec Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Symantec Corp filed Critical Symantec Corp
Publication of JP2019508972A publication Critical patent/JP2019508972A/ja
Application granted granted Critical
Publication of JP6701364B2 publication Critical patent/JP6701364B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09CCIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
    • G09C5/00Ciphering apparatus or methods not provided for in the preceding groups, e.g. involving the concealment or deformation of graphic data such as designs, written or printed messages
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/50Secure pairing of devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/062Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying encryption of the keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/77Graphical identity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Description

パスワード及びユーザ特権に関する様々なコンピュータネットワーキング要件の急増を考えると、パスワード及びユーザ名を使用するコンピューティングデバイス上のユーザの認証は一般に、最大の難度を提起する。例えば、ユーザは、様々な異なるコンピューティングデバイス上で様々なアカウントを有することができ、いずれも英数字と特殊文字との組み合わせを必要とする異なるユーザ名及びパスワードを有する。具体的には、それぞれのアカウントは、パスワードが数字、アルファベット、及び特殊文字を含む、特定の数の文字を保有することを必要とし得る。これらのパスワード及びユーザ名の全てによって、ユーザは、あまりにも多くのデータを記憶し、思い出すことを求められる。加えて、キーストローク追跡機構を有する悪意のあるコードがマシン上に存在する場合、ログイン試行時にパスワードの使用に関するセキュリティ上の問題が存在する可能性がある。一部のユーザは、パスワードベースの認証をハッカーの盗み見に対して脆弱にしてしまう、この悪意のあるコードをダウンロードするようにそそのかされる場合がある。更に、偽造マーケティングリンクを介してユーザ名及びパスワードを明らかにするようにユーザをそそのかす、フィッシングメールの試みも、ユーザのパスワード及びユーザ名をハッカーに晒す場合がある。
パスワードベース認証のソリューションとして、コンピュータにおけるユーザに関連付けられたモバイルパーソナルデバイスの近位検出の機能は、パスワードなしのログイン機構をよりセキュアにし得る。特に、ユーザは、コンピュータにログインしようとする間にモバイルデバイスを携帯する可能性が高いという事実を考えると、コンピュータに関連付けられたモバイルデバイスは自然認証器として使用されてもよい。つまり、一部のコンピューティング環境は、ユーザログイン時に、同じユーザのモバイルデバイスをコンピューティングデバイスとペアリングするために、近位検出機構を使用し得る。パスワードなしのコンピュータログインを容易にする試みがされてきており、このログインでは、ユーザは、電話又はウェアラブルデバイスなどのユーザ登録されたモバイルデバイスでの承認クリックを使用して、ログイン試行を承認することができる。しかしながら、かかるソリューションは典型的に、Bluetooth(登録商標、以下同じ) Low Energy(BLE)の使用によるモバイルデバイスの近位検出を活用する。つまり、一部のコンピューティング環境は、BLEプロトコルを使用するモバイルデバイスとペアリングされ得る。しかしながら、多くのコンピューティング環境には、BLE機構は存在しない。それにより、現在の1つの課題は、BLE検出機能を有しない、混合タイプのコンピュータモデルを用いたEnterprise(登録商標)の展開など、全てのコンピューティングデバイス及び環境をサポートすることである。例えば、Windows(登録商標)のバージョン7(BLE検出を保有しない)を有するマシンは、現在一般に使用されている環境である。一部のベンダは、ユーザがこの問題を解決するためにインストールするよう、BLEドングルを提供している。しかし、BLEドングルは、時間及びコンピューティングリソースを更に費やすものに過ぎないため、パスワードなしのログインをはるかに厄介なものにしている。これは、実施形態が生まれる文脈内にある。
ネットワークサービスを使用したパスワードなしのログインのためにモバイルデバイスをコンピューティングデバイスとセキュアにペアリングするシステム及び方法の実施形態が提供される。本実施形態は、プロセス、装置、システム、デバイス、又は方法などの多数のやり方で実行され得ることを理解すべきである。いくつかの本発明の実施形態を下に記載する。
いくつかの実施形態では、データ通信のためのシステム及び方法が提供される。この方法は、コンピューティングデバイスからネットワークサーバにペアリング要求を送信することを含み得、ペアリング要求は、コンピュータ認証データ及びコンピュータの公開鍵を含む。この方法は、ペアリング要求に応答した、ネットワークサーバを使用するモバイルデバイスとコンピューティングデバイスとのペアリングを更に含み得る。例えば、デバイスのペアリング時に、コンピューティングデバイスは、ペアリング秘密鍵及び関連するQR画像を生成し得、ユーザは、モバイルデバイスを使用してスキャンするようにプロンプトで指示される。モバイルデバイス内のペアリングエージェントは、コンピュータ認証データを読み取り、そこからコンピュータの公開鍵を解析し得る。ペアリングエージェントはまた、スキャンされたQR画像からペアリング秘密鍵を抽出してペアリング要求を検証し、コンピューティングデバイス上でユーザログインパスワードを暗号化するのに使用されるパスワード暗号鍵を生成し得る。この方法は、非対称暗号化を実行することができ、これにより、パスワード暗号鍵はモバイル側に記憶され得、ログインパスワードはコンピュータ側で暗号化バージョンとして記憶される。パスワード暗号鍵は、コンピュータの公開鍵により暗号化された形式でコンピュータ側に送られる。コンピュータは、暗号鍵を使用して、登録時にログインパスワードを暗号化することができる、又はログイン時に暗号化されたパスワードを復号することができる。
いくつかの実施形態では、データ通信システムが提供される。データ通信システムは、コンピューティングデバイスからネットワークサーバへペアリング要求を送信するように動作可能なコンピューティングデバイスを含み得、ペアリング要求は、コンピュータ認証データ及びコンピュータの公開鍵を含む。ネットワークサーバは、メモリが連結されたプロセッサを含み得、プロセッサは、ペアリング要求に応答して、モバイルデバイスをコンピューティングデバイスとペアリングするように動作可能である。モバイルデバイスは、コンピュータの公開鍵に基づいてパスワード暗号鍵を暗号化し、暗号化されたパスワード暗号鍵及びモバイル認証データをコンピューティングデバイスに転送するように動作可能な第2のプロセッサを含んでもよい。コンピューティングデバイスは、コンピュータの公開鍵を使用して暗号化されたパスワード暗号鍵を復号するように、更に動作可能であってもよい。更に、コンピューティングデバイスは、パスワード暗号鍵を使用してログインパスワードを暗号化し、この暗号化バージョンのログインパスワードを記憶すると同時に、パスワード暗号鍵を削除するように、動作可能であってもよい。
いくつかの実施形態では、有形の非一時的コンピュータ可読媒体が命令を有し、その命令は、プロセッサによって実行されると、本明細書に記載されるデータ通信方法をプロセッサに実行させる。この方法は、コンピューティングデバイスからネットワークサーバにペアリング要求を送信することを含み得、ペアリング要求は、コンピュータ認証データ及びコンピュータの公開鍵を含む。この方法は、ペアリング要求に応答した、ネットワークサーバを使用するモバイルデバイスとコンピューティングデバイスとのペアリングを更に含み得る。モバイルデバイスにおいて、この方法は、モバイルデバイスによって、コンピュータの公開鍵に基づくパスワード暗号鍵を暗号化することを含み得る。このパスワード暗号鍵は、モバイル認証データと共にコンピューティングデバイスに転送されてもよく、コンピューティングデバイスは、モバイル認証データを認証する。この方法は、検証されたデータに応答して、コンピュータの公開鍵を使用して暗号化されたパスワード暗号鍵を復号することと、パスワード暗号鍵でログインパスワードを暗号化することと、を更に含み得る。この暗号化されたログインパスワードは記憶され得、パスワード暗号鍵は削除される。
実施形態の他の態様及び利点は、例えば、記載した実施形態の原理を示す添付図面と関連して行われる以下の詳細な説明から明白になるであろう。
説明した実施形態及びその利点は、添付図面と関連して行われる以下の説明を参照して最もよく理解され得る。これらの図面は、記載された実施形態の趣旨と範囲から逸脱することなく、記載された実施形態に対して当業者によって行われる形態と詳細のいかなる変更も制限しない。
いくつかの実施形態による、ネットワークサービスを使用して、パスワードなしのログイン用にモバイルデバイスをコンピュータとセキュアにペアリングするためのデータ通信システムの斜視図である。
いくつかの実施形態による、ネットワークサービスを使用して、パスワードなしのログイン用にモバイルデバイスをコンピュータとセキュアにペアリングするためのデータ通信システムの実装例である。 いくつかの実施形態による、ネットワークサービスを使用して、パスワードなしのログイン用にモバイルデバイスをコンピュータとセキュアにペアリングするためのデータ通信システムの実装例である。
いくつかの実施形態において、ペアリング要求を受信した後に、図2Aのモバイルデバイスのうちの1つ又は2つ以上で使用される、データ通信システムのモバイル側のグラフィカルユーザインターフェース(GUI)例の図である。
いくつかの実施形態において、ペアリング要求を検証するために、図2Aのウェアラブルモバイルデバイスのうちの1つ又は2つ以上で使用される、データ通信システムのモバイル側のGUI例の別の図である。
いくつかの実施形態による、パスワードなしのコンピュータログインのための通信及び/又は動作アーキテクチャを示す。
いくつかの実施形態による、BLEフロー最適化を有するパスワードなしのコンピュータログインのための通信及び/又は動作アーキテクチャを示す。
いくつかの実施形態による、データ通信システムのペアリングプロトコルを示すブロック図である。
いくつかの実施形態による、データ通信システムのための第2のペアリングプロトコルを示すブロック図である。
いくつかの実施形態による、ネットワークサービスを使用して、パスワードなしのログイン用にモバイルデバイスをコンピュータとセキュアにペアリングするための方法のフロー図である。
いくつかの実施形態による、ネットワークサービスを介したパスワードなしのログインを使用して、コンピュータにログインするための方法660のフロー図である。
本明細書に記載される実施形態を実装し得る、例示的なコンピューティングデバイスを示す図である。
以下の実施形態は、ネットワークサービスを使用して、パスワードなしのログイン用にモバイルデバイスをコンピュータとセキュアにペアリングするためのデータ通信システム及び方法を記載する。この実施形態は、これらの特定の詳細の一部又は全てを必要とせずに実施され得ることを、当業者は理解できる。他の事例では、よく知られているプロセス動作については、実施形態を不必要にあいまいにしないため、詳細に記載していない。
データ通信のためのシステム及び方法は、コンピューティングデバイスからネットワークサーバへペアリング要求を送信することを含み得、ペアリング要求は、コンピュータ認証データ及びコンピュータの公開鍵を含む。この方法は、ペアリング要求に応答して、ネットワークサーバを使用したモバイルデバイスとコンピューティングデバイスとのペアリングを更に含み得る。例えば、デバイスのペアリング時に、コンピューティングデバイスは、ペアリング秘密鍵及び関連するQR画像を生成し得、ユーザは、モバイルデバイスを使用してスキャンするようにプロンプトで指示される。モバイルデバイス内のペアリングエージェントは、コンピュータ認証データを読み取り、そこからコンピュータの公開鍵を解析し得る。ペアリングエージェントはまた、スキャンされたQR画像からペアリング秘密鍵を抽出してペアリング要求を検証し、コンピューティングデバイス上でユーザログインパスワードを暗号化するのに使用されるパスワード暗号鍵を生成し得る。この方法は、非対称暗号化を実行することができ、これにより、ログインパスワード(又はパスワード暗号鍵)はモバイル側に記憶され得、ログインパスワードはコンピュータ側で暗号化バージョンとして記憶される。それにより、コンピュータのみがコンピュータの公開鍵を有するため、コンピュータのみがパスワードを復号することができる。
データ通信のためのこのシステム及び方法は、クラウドコンピューティングサービスがいずれのクライアントにもなりすますことのできないように、エンドツーエンドのセキュリティを保証する、ペアリングされたモバイルデバイスを介する改訂されたコンピュータログインプロトコルを含む。更に、改訂されたコンピュータログインプロトコルは、コンピューティングデバイスとモバイルデバイスとのペアリングにおけるユーザログインを保護する、企業がホストする別個のゲートウェイユーティリティの必要性を排除し、それにより、コンピュータデバイスからクラウドコンピューティングサービスに送信されるコンピュータ認証クレデンシャルの必要性も排除する。むしろ、データ通信のためのこのシステム及び方法の認証スキームは、コンピュータ側で表示され、モバイル側に入力又はスキャンされるペアリングPINの使用を実行し、この機構を有効にする。例えば、一実施形態では、ペアリングPINは、ランダムに生成された6〜10桁の数字列とすることができる。更に、長い秘密、又はQR画像に直接埋め込まれたコンピュータの公開鍵を使用して、この機構を有効にすることができる。ローカル認証及びペアリングのためのQR画像のスキャンは、より良い使用可能性、より強いセキュリティ、及びユーザフレンドリーなアプリケーションを促進する。
データ通信のためのこのシステム及び方法は、特定のクレデンシャルプロバイダに限定されない、クラウドサービスのような、ネットワークサービスを介した任意の2つのクライアントコンポーネント間の信頼及び秘密の交換を確立するプロトコルを定義する。データ通信のためのこのシステム及び方法は、公開鍵のようなデータオブジェクトを使用するばかりでなく、デバイス間の信頼を確立する。このような基本交換は、送信元の認証が欠落することにより、「介入者」攻撃を受ける場合がある。特に、データ通信システムは、クラウドサービスを使用して、コンピューティングデバイスとモバイルデバイスとのペアリングを支援し得る。コンピューティングデバイスとモバイルデバイスとの間で交換されたデータは、排他的に既知であり、ネットワークサーバではなく、これらのデバイス上に記憶され得る。それにより、コンピュータのセキュリティを高めるために、ネットワークサーバは、デバイスのペアリングに参加しても、メッセージを暗号化し、暗号化されたパスワード鍵を復号することも、交換されたデータを検出することもできない。このため、第三者が、ネットワークサーバ、又は2つのデバイスのうちのいずれかの役割及び権限を装うことができる、「介入者」攻撃が防御される。実施形態は、権限なくデバイスをコンピュータとペアリングすること又はコンピュータをモバイルデバイスとペアリングすることを防止する。具体的には、ペアリング段階で、ネットワークサービスは、ペアリング要求に応答して、コンピューティングデバイスをモバイルデバイスとペアリングする際の連絡役として機能し得る。
いくつかの実施形態では、コンピューティングデバイス及びモバイルデバイスが、近位範囲内にあり、Bluetooth Low Energy(BLE)などの近位検出プロトコルを使用して直接接続する能力を有する場合、本システム及び方法は、登録及び中央管理の目的でネットワークサーバを使用する。この実施形態では、ネットワークサーバは、デバイスをペアリングするための媒介としては機能しない。むしろ、ネットワークサーバは、コンピュータ及びモバイルデバイスの両方を、サービス消費の追跡及び監視などの管理目的で中央ネットワークサービスに登録する。これにより、例えば電話機が紛失又は盗難された場合に、サービスプロバイダのシステム管理者がペアリング機構をオフにすることができる。一方、中央ネットワークサービスは、いずれのデバイスにもなりすますことはできない。更に、ネットワークサーバは、アカウント証明書などの特別な顧客アカウントクレデンシャルを使用することなく、顧客アカウントでコンピューティングデバイスを識別し、追跡することができ得る。データ通信のためのこのシステム及び方法は、コンピューティングデバイス及びモバイルデバイスの近位検出機構を利用し得るが、近位検出機構の存在は、本明細書に開示されるデータ通信のためのシステム及び方法の正常な実装には必要とされない。これにより、本明細書に記載されるシステムは、企業展開に対応するより幅広いレガシーコンピュータに適用可能になる。
以下の説明で、多数の詳細について説明する。しかしながら、本発明はこれらの特定の詳細を伴わずに実施されてもよいことが、当業者には明白となるであろう。いくつかの例では、本発明が不明瞭になるのを回避するため、周知の構造及びデバイスについては、詳細ではなくブロック図の形態で示される。
以下の詳細な説明の一部は、コンピュータメモリ内のデータビットでの動作のアルゴリズム及び記号表現に関して与えられる。これらのアルゴリズム的記述及び表現は、データ処理分野の当業者が、他の当業者に対して仕事の内容を最も効果的に伝達するために使用する手段である。アルゴリズムは、本明細書では、また一般に、所望の結果に結び付く工程の首尾一貫したシーケンスとして想到される。工程は、物理量の物理的操作を要するものである。必須ではないものの、通常、これらの量は、記憶し、転送し、組み合わせ、比較し、また別の形で操作することができる、電気信号又は磁気信号の形態を採る。これらの信号をビット、値、要素、記号、文字、用語、数値などと称することが、主に一般的な用法の理由から時には好都合であることが判明している。
しかしながら、これら及び同様の用語の全てが、適切な物理量と関連付けられるものであり、これらの量に適用される好都合なラベルに過ぎないことに留意すべきある。以下の考察から明白であるように、別の形で具体的に提示されない限り、明細書全体を通して、「提供する」、「生成する」、「インストールする」、「モニタリングする」、「実施する」、「受信する」、「ログに記録する」、「妨害する」などの用語を利用した考察は、コンピュータシステムのレジスタ及びメモリ内の物理(電子)量として表されるデータを操作し、コンピュータシステムのメモリ若しくはレジスタ、又は他のかかる情報の記憶、伝達、若しくは表示デバイス内の物理量として同様に表される、他のデータへと変換する、コンピュータシステム又は類似の電子コンピューティングデバイスのアクション及びプロセスを指すことを理解されたい。
本発明はまた、本明細書の動作を行うための装置に関する。この装置は、要求される目的に合わせて特別に構築されてもよく、又はコンピュータに記憶されたコンピュータプログラムによって選択的に活性化若しくは再構成される汎用コンピュータを備えてもよい。かかるコンピュータプログラムは、フロッピーディスク、光ディスク、CD−ROM、及び光磁気ディスクを含む任意の種類のディスク、読み取り専用メモリ(ROM)、ランダムアクセスメモリ(RAM)、EPROM、EEPROM、磁気若しくは光カード、又は電子命令を記憶するのに好適な任意の種類の媒体などが挙げられるが、これらに限定されない、コンピュータ可読記憶媒体に記憶されてもよく、それぞれがコンピュータシステムバスに接続される。
本明細書における「一実施形態」又は「ある実施形態」に対する言及は、実施形態と関連して記載される特定の特徴、構造、又は特性が、本発明の少なくとも1つの実施形態に含まれることを意味する。本明細書の様々な位置にある「一実施形態では」という句は、必ずしも同じ実施形態を指さない。図面の説明全体を通して、同様の参照番号は、同様の要素を意味する。
図1を参照すると、ネットワークサービスを使用して、パスワードなしのログイン用にモバイルデバイスをコンピューティングデバイスとセキュアにペアリングするためのシステム及び方法の例示的な実施形態が示されている。本システムは、ネットワークサービスコンピューティング環境150内の少なくとも1つのクライアントコンピューティングデバイス110と、少なくとも1つのモバイルデバイス120と、少なくとも1つのネットワークサーバ140と、を含む。コンピューティングデバイス110及びモバイルデバイス120は共に、ネットワークサーバ140に連結し得る。コンピューティングデバイス110、ネットワークサーバ140、及びモバイルデバイス120は、同じLAN上に存在してもよく、又はインターネットを介して連結されるが、ファイアウォール、ルータ、及び/若しくは他のネットワークデバイスによって分離され得る、異なるLAN上に存在してもよい。一実施形態では、コンピューティングデバイス110は、モバイル通信ネットワークを介してネットワーク150に連結し得る。同様に、モバイルデバイス120は、モバイル通信ネットワークを介してネットワーク150に連結し得る。別の実施形態では、コンピューティングデバイス110、ネットワークサーバ140、及びモバイルデバイス120は、異なるネットワーク上に存在してもよい。
それぞれのコンピューティングデバイス110は、クライアントペアリングエージェント112と、メモリ114と、プロセッサ116と、を含み得る。図示されていないが、それぞれのコンピューティングデバイス110は、コンピューティングデバイスとモバイルデバイスとのペアリング段階で、コンピューティングデバイスに関連付けられたQR画像又はPINを表示するためのモニタを含み得る。例えば、ローカル認証プロセスは、QR画像に直接埋め込まれたペアリングPIN、長い秘密、及び/又はコンピュータの公開鍵の使用を介して実施され得る。コンピューティングデバイス110の例としては、限定するものではないが、パーソナルコンピュータ、ラップトップ、PDA、携帯電話、ネットワーク機器などが挙げられる。クライアントペアリングエージェント110は、ユーザによって開始されるコンピュータ認証データ及びコンピュータの公開鍵を含む、ペアリング要求を生成するように機能し得る(以下に、ネットワークサーバを使用してペアリングする方法を参照しながら更なる詳細を論じる)。クライアントペアリングエージェント110はまた、ネットワークサーバ140を介してこれらの要求をモバイルデバイス120に間接的に通信するようにも機能し得る。モバイル通知サービスを介したプロンプトを表示するときに、クライアントペアリングエージェント110は、ペアリング段階でコンピューティングデバイス110に関連付けられたQR画像又はPINの表示を開始し得る。更に、クライアントペアリングエージェント110は、メモリ114及びプロセッサ116と連結して、ペアリング要求に応答して送信される、モバイルデバイス120によって生成されたパスワード暗号鍵を復号し得る(後述のペアリングの方法に、更なる詳細が提供される)。クライアントペアリングエージェント100は、QRコード(登録商標、以下同じ)への代替チャネルを使用して、ペアリングPINを近位にあるモバイルデバイスに送信することができ、例えば、BLEの使用は、コンピューティングデバイスがかかる機能を有する場合の1つの選択肢となる。
いくつかの実施形態では、モバイルデバイス120は、モバイルペアリングエージェント122と、メモリ124と、プロセッサ126と、を含んでもよい。モバイルペアリングエージェント122は、ネットワークサーバ140を介して、コンピューティングデバイス110とのペアリング承認を間接的に通信するように機能し得る。モバイルペアリングエージェント122は、モバイルデバイスとのペアリングを要求するコンピュータの公開鍵に基づいて、パスワード暗号鍵を生成し、暗号化し得る。いくつかの実施形態では、エージェント122はまた、QRコードをスキャンするか、又はクライアントペアリングエージェント112が送信したBLEメッセージを受信することができる。図示されていないが、様々な実施形態では、モバイルデバイス120は、ネットワーク機器、携帯電話、スマートフォン、ページャ、無線周波数(RF)デバイス、赤外線(IR)デバイス、携帯情報端末(PDA)、セットトップボックス、カメラ、これらのデバイスのうちの少なくとも2つを組み合わせた集積デバイスなどであってもよい。
一実施形態では、ネットワークサーバ140は、ペアリングモジュール142、メモリ144、及びプロセッサ146を含んでもよい。一実施形態では、データ通信システム100は、クラウドサービスを使用して、コンピューティング110とモバイルデバイス120とのペアリングを支援し得る。コンピューティングデバイスとモバイルデバイスとの間で交換されたデータは、排他的に既知であり、ネットワークサーバ140ではなく、デバイス(110、120)上に記憶され得る。それにより、ネットワークサーバ140は、デバイス(110、120)のペアリングに参加しても、暗号化されたパスワード鍵を復号することも、交換されたデータを検出することもできない。具体的には、ペアリングの段階で、ペアリングモジュール142は、ペアリング要求に応答して、コンピューティングデバイス110をモバイルデバイス120とペアリングする際の連絡役として機能し得る。例えば、コンピューティングデバイス110がペアリング要求を送信すると、ペアリングモジュール142は、ペアリング要求が開始されたことを示すモバイルプッシュ通知をモバイルデバイス120に送信し、モバイルデバイス120でユーザからの応答を求め得る。ペアリングモジュール142はまた、モバイルペアリングエージェントがインストールされるときに、モバイルデバイス120を登録してもよく、それによって、ネットワークサーバ140は、ペアリング要求を完了させる前に、モバイルデバイスが登録されているか否かを検出し得る。つまり、いくつかの実施形態では、モバイルデバイス120の登録がない場合、ペアリングモジュール142は、コンピューティングデバイス110によって送信されるペアリング要求を拒否し得る。登録がある場合、ネットワークサービスは、モバイルデバイス120との接触を開始して、クレデンシャル識別子、ユーザ識別子、及びワンタイムパスワード又は所有証明の署名などといった既存のモバイルクレデンシャルを使用して、モバイルデバイスから送られるデータを検査することができ得る。このように、ペアリングモジュール142は、ペアリングサービスの使用を追跡できるようになる。更に、ペアリングモジュール142は、ペアリングモジュール142が、エンティティプロバイダによる検証に基づいてペアリング要求を認証し、その使用を追跡することができるように、Enterprise(登録商標)サービスの使用権利付与に対して検出されたEnterprise(登録商標)エンティティプロバイダからの応答を求め得る。代替方法では、ペアリングモジュール142は、SMS、音声通話などを使用して、モバイルデバイスからの応答を求めてもよい。この実施形態では、ユーザは、コンピューティングデバイスのモニタに表示されるPINを入力することを選択してよく、そのモニタに表示されるQR画像をスキャンしてもよい。別の実施形態では、コンピューティングデバイス110は、ペアリング秘密鍵を生成し、その鍵をQR画像と関連付けて、コンピューティングデバイス110に関連付けられたモニタに表示してもよい。更に別の実施形態では、コンピューティングデバイス110がBLE機能を有する場合、コンピューティングデバイスは、BLEを使用して、ペアリング秘密鍵をBLE経由でモバイルデバイスにサイレントモードで送信してもよい。
ネットワークサービスコンピューティング環境150は、例えば、サーバコンピュータ140、又はコンピューティング機能を提供する任意の他のシステムを含んでもよい。あるいは、ネットワークサービスコンピューティング環境150は、例えば、1つ若しくは2つ以上のサーババンク又はコンピュータバンク又は他の構成に配置された複数のコンピューティングデバイスを使用してもよい。このようなコンピューティングデバイスは、単一の設置内に位置してもよく、多数の異なる地理的位置の間で分散されてもよい。例えば、ネットワークサービスコンピューティング環境150は、クラウドコンピューティングリソース、グリッドコンピューティングリソース、及び/又は任意の他の分散コンピューティング構成を一緒に含み得る、複数のコンピューティングデバイスを含んでもよい。場合によっては、ネットワークサービスコンピューティング環境150は、処理、ネットワーク、ストレージ、又は他のコンピューティング関連リソースの割り当てられた容量が時間と共に変化し得る、弾性コンピューティングリソースに対応し得る。
一実施形態では、モバイルデバイス120とコンピューティングデバイス110とがペアリングされた後、ペアリングモジュール142は、モバイルデバイス120へのモバイルプッシュ通知をアサートすることにより、パスワードなしのログイン要求に応答することも支援し得る。このパスワードなしのログイン時に、モバイルペアリングエージェント122は、要求側のコンピューティングデバイス110からコンピュータの公開鍵を抽出し、それに応答して、モバイルデバイスとコンピューティングデバイスとの間にペアリングが存在するか否かを検出し得る。モバイルペアリングエージェントは更に、パスワード暗号鍵を暗号化してクライアントコンピューティングデバイス110に送信し得、クライアントコンピュータデバイス110は、そのパスワード暗号鍵を復号することができる。このパスワード暗号鍵は、ユーザログインパスワードを暗号化及び復号するために使用され得る。パスワードなしのログイン時に、クライアントペアリングエージェントは、モバイルデバイス120とコンピューティングデバイス110とのペアリング段階で以前に記憶された、暗号化されたユーザログインパスワードを復号することが可能になり得る。
図2A−1及び図2A−2は、いくつかの実施形態により、ネットワークサービスを使用して、パスワードなしのログイン用にモバイルデバイスとコンピュータとをセキュアにペアリングするためのデータ通信システムの実装例である。図2A−1に示すように、QR画像は、ペアリング要求に応答して、コンピューティングデバイスモニタに表示される。モバイルデバイスがQR画像をスキャンした後、ユーザは、ペアリング後にペアリングプロトコル及びログインプロトコルに従って(図4〜図6Aを参照しながら詳細を後述)、コンピューティングデバイスにログインされる。図2A−2では、以下に更に記載されるように、PIN(個人識別番号)が、コンピュータによって表示され、ユーザによって相互認証データの検証用にモバイルデバイスに入力され得る。図2Bは、いくつかの実施形態において、ペアリング要求を受信した後、図1、図2A−1、及び図2A−2のモバイルデバイス120のうちの1つ又は2つ以上に使用される、データ通信システムのモバイル側のグラフィカルユーザインターフェース(GUI)例の図を示している。クラウドサービス150は、コンピューティングデバイスの通知、関連するユーザクレデンシャル(電子メールアドレスなど)、及びクレデンシャル識別子を含む、示されているような(図2B)モバイルデバイス120aへのモバイルプッシュ通知をアサートし得る。モバイルデバイス120aのユーザは、図示のように、ボタンを選択することによって、ペアリング要求を承認又は拒否するか否かを選択することができる。図2Cは、いくつかの実施形態において、ペアリング要求を検証するために、図2Aのウェアラブルモバイルデバイス120bのうちの1つ又は2つ以上に使用される、データ通信システムのモバイル側のGUI例を示す別の図である。腕時計であるモバイルデバイス120bを着用したユーザは、タッチ感応型ユーザ画面にタッチすることによりペアリング要求を確認することができる。例えば、1本の指で上にスワイプすることで承認を表すことができ、1本の指で下にスワイプすることで拒否を表すことができる。モバイルデバイス120は、モバイルプッシュ通知に応答してなされる様々なハンドジェスチャを感知するように構成され得、これには、ジェスチャをする指の数、及びスワイプの方向、タップ、又は指によって作られる形状を検出することが含まれる。
図3Aは、いくつかの実施形態により、パスワードなしのコンピュータログインのための通信及び/又は動作アーキテクチャを示している。図示のように、コンピューティングデバイス110は、プッシュサービス機構を有するネットワークサーバ140によって実行されるクラウドサービスを介して、モバイルデバイス120とペアリングされる。プッシュサービスは、クラウドサービスの外部であっても、ネットワークサーバ140の内部に位置していてもよい。第1のアクションとして、モバイルデバイスとコンピューティングデバイスとのペアリングは、BLEなどの近位検出サービスを介して、又はクラウド支援サービスを介して間接的に、行われ得る。第2に、コンピューティングデバイスは、公開鍵、及び任意追加的に、例えば、あるエンティティが別のエンティティに関して行う主張のセットであり、ユーザに関するステートメントを伝送する、セキュリティアサーションマークアップランゲージ(SAML)などの企業トークンを送信し得る。更に、図示のように、クラウドサービス支援のペアリングが行われ得、公開鍵及びトークンを使用してペアリング要求が検証され、モバイルプッシュサービスを介してモバイルデバイスにプロンプトが表示される。次に、コンピュータデバイスは、QR画像に直接埋め込まれたPIN、長い秘密、及び/又はコンピュータの公開鍵を表示し得る。これに応答して、モバイルデバイスのユーザは、PIN及び/又は長い秘密を入力することができる。代替方法では、モバイルデバイスのユーザは、QR画像をスキャンするように選択することができる。別の代替方法では、コンピュータが生成する長い秘密は表示されず、2つのデバイスの間にかかる機能が存在する場合には、ごく近接するBLEペアデバイスにサイレントモードで送信される。更に、モバイルデバイスは、モバイル公開鍵(M_pub)及びパスワード暗号鍵を生成し得る。モバイルデバイスは、パスワード暗号鍵を暗号化し、ワンタイムパスワード(OTP)トークン証明、及び2つのデバイス間でローカルに送信されたペアリングPIN又は秘密から生成される認証データと共に、ネットワークサーバ140によって実行されるクラウドサービスにこの暗号化された鍵を送信し得る。最後に、コンピューティングデバイスは、モバイルデバイスの公開鍵と共に、ラップされた(暗号化された)パスワード暗号鍵を取得し得る。図示のように、モバイルデバイス鍵ペア(M_KP)及びパスワード暗号鍵は、モバイルデバイスに記憶されたままであり、コンピュータ交換鍵ペア(C_KP)及び暗号化されたパスワードはコンピューティングデバイスに記憶されたままである。これにより、鍵ペアは、セキュアなエンドツーエンドのデータ交換のために使用され得る。それぞれの側で、初期プロビジョニング交換後に、他方の側の公開鍵が保持される。一方の側で、将来的に他方の側にデータを送信する必要がある場合には、他方の側の公開鍵を使用してデータを暗号化することになる。このようにして、意図されたターゲット側のみが受信したデータを復号することができる。したがって、モバイル鍵ペア(M_KP)及びコンピュータ鍵ペア(C_KP)は、将来のセキュアなデータ交換のために使用され得る。例えば、交換鍵ペアは、いくつかの実施形態において、将来の課金及び管理目的に使用され得る。
図3Bは、いくつかの実施形態による、BLEフロー最適化を有する、パスワードなしのコンピュータログインのための通信及び/又は動作アーキテクチャを示している。いくつかの実施形態では、コンピューティングデバイス110及びモバイルデバイス120が、BLEなどの近位検出を有する場合、データ通信のためのシステム及び方法は、デバイスとセキュリティユーティリティとのペアリングを強化するために使用され得る。第1のアクションとして、モバイルデバイスとコンピューティングデバイスとのペアリングは、BLEなどの近位検出サービスを介して行われ得る。第2に、コンピューティングデバイスは、公開鍵、及び例えば、あるエンティティが別のエンティティに関して行う主張のセットであり、ステートメントを伝送する、セキュリティアサーションマークアップランゲージ(SAML)などの企業トークンを送信し得る。更に、コンピュータデバイスは、PINを任意追加的に表示すると同時に、BLEを介してPINを目視確認のためにモバイルデバイス120にサイレントモードで送信し得る。これに応答して、モバイルデバイスのユーザは、目視による一致検査で任意追加的にPINを承認し、モバイル交換鍵ペア(M_KP)とコンピュータ交換鍵ペア(C_KP)との間での鍵交換を開始することができる。モバイルデバイスは、コンピュータの公開鍵を用いてパスワード暗号鍵(ラップされた鍵)を暗号化し、この暗号化された鍵を、以前にサービスに登録されたモバイルクレデンシャル及びPINで生成された認証データから、任意追加的にワンタイムパスワード(OTP)を伴って、クラウドサービスに送信し得る。これに応答して、クラウドサービスは、サービス消費の監視と共にそれぞれのモバイルデバイス及びコンピューティングデバイスの追跡が行われる、ペアリング及びアカウント管理に対する支援を実行し得る。最後に、コンピューティングデバイスは、モバイル認証データ並びにモバイルデバイスの公開鍵と共に、ラップされた(暗号化された)パスワード暗号鍵を取得し得る。
図4は、いくつかの実施形態による、データ通信システムのためのペアリングプロトコルを示すブロック図である。データ通信システム100は、図1に示すように、コンピューティングデバイス110内(メモリ114内)に記憶され、プロセッサ116によって実行されるペアリングコンピュータアプリケーション(C_PA)を含んでもよい。更に、システム100は、図1に示すように、モバイルデバイス120内(メモリ124内)に記憶され、プロセッサ126によって実行されるペアリングモバイルアプリケーション(M_PA)を含んでもよい。モバイルデバイス120は、ペアリング通信及び/又はQR読み取り機能のためのデバイスを含み得る。システム100は更に、モバイルデバイスとコンピュータとの間の通信を容易にするクラウドサービスと、クラウドサービスに代わってユーザのモバイルデバイスに通知を送信するモバイルプッシュサービスと、を更に含んでもよい。
セキュアペアリング及びパスワード交換フローは、コンピューティングデバイス110を使用してペアリング鍵及びデータ交換鍵を生成することを含み得る。例えば、コンピュータペアリングアプリケーションC_PAは、ローカルの1回使用のペアリング秘密(C_LPS)と持続データ交換鍵ペアC_KPと、を生成し得る。ペアリング秘密C_LPSは、ペアリング要求の開始時にQRコードとしてコンピューティングデバイスの画面に表示され得る(図示のように、プロトコルのステップ1)。任意追加的に、モバイルキーボードに適したPINである明示的な秘密値が、コンピューティングデバイスによって表示されてもよい。QR画像はまた、ユーザ名などのユーザ情報を含んでもよい。また、QR画像は、C_PAの公開鍵値を含んでもよいが、これにより、密になりすぎて認識できなくなる場合がある。したがって、QR画像の好ましいレンダリングは、QRに適した短いペアリング鍵のものである。
第2に、コンピューティングデバイス110は、ペアリングを要求し得る。例えば、ペアリングコンピュータアプリケーション(C_PA)は、クラウドサービスにペアリング要求を送信し、モバイルプッシュを使用して、ユーザが登録したモバイルデバイスを通知するようにクラウドサービスに指示し得る。一実施形態では、要求は、そのプライベート鍵の所有権証明(proof of possession)(POP)だけではなく、クライアントの公開鍵(C_Pub)に関してペアリング秘密から導出されるコンピュータ認証データ(C_AuthData)も含み得る(図示のように、プロトコルのステップ2)。例えば、コンピューティングデバイスは、コンピュータ認証データを生成するために、メッセージ認証のための鍵付きハッシング(keyed−hash messaging authentication code)(HMAC)などのハッシングアルゴリズム関数を使用し得る。
C_AuthData=HMAC(KDF(C_LPS),ContextData|C_Pub) [1]
ContextData=Username|C_KeyID [2]
ここで、KDFは、擬似ランダム関数を用いてマスタ鍵、パスワード、パスフレーズなどの秘密値から1つ又は2つ以上の秘密鍵を導出する鍵導出関数である。一実施形態では、秘密鍵は、C_LPSから導出され得る。コンテキストデータ(ContextData)は、ユーザ名又はコンピュータ鍵識別子(C_KeyID)であってもよい。このフォーマットを使用して、データの受信側(ネットワークサーバ又はモバイルデバイスか否か)は、そのデータが元のソースからのものであるかどうかを検査することができ、それによって、「介入者」が実行したあらゆる変更が検出され得る。
任意追加的に、この要求はまた、Enterprise(登録商標)関連付け機構を含んでもよい。一実施形態では、この要求は、コンピューティングデバイスのEnterprise(登録商標)サービスの使用権利付与の証明をクラウドサービスに提供する、Enterprise(登録商標)関連付けデータを含んでもよい。Enterprise(登録商標)環境に対する委任されたアイデンティティプロバイダは、このプロセス時にコンピューティングデバイス及び関連するユーザを、そのログインユーザ名及びパスワード又は他の認証方法を使用して検証することができる。検査されたユーザに応答して、委任されたアイデンティティプロバイダは、認証されたユーザの証明として、その認可アサーション(例えば、SAML)をクラウドサービスに送信することができる。
次に、クラウドペアリングサービスは、モバイルデバイス登録を検査し、検証された登録に応答して、モバイルアプリケーションの実行をトリガし得る。一実施形態では、クラウドサービスは、登録されたモバイルデバイスのデータベースの中から、ペアリングするように要求されたモバイルデバイスを検索し得る(図示のように、プロトコルのステップ3)。一致が発生すると、クラウドペアリングサービスは、モバイルプッシュ通知をトランザクションIDと共にユーザモバイルデバイスに送信する、プッシュサービスのアクションを開始し得る(図示のように、プロトコルのステップ4)。いくつかの実施形態では、元のペアリング要求メッセージは、ファイルサイズ要件及びプライバシーの考慮により、プッシュ通知内に含むことはできない。
更に、モバイルペアリングセキュリティの処理が行われる。ユーザは、任意追加的に、QR機能が制限される場合の予備として、コンピューティングデバイスのモニタに表示される明示的なPINを入力するか、QR画像をスキャンすることができる。ユーザがピンの入力を選択した場合、ペアリングモバイルアプリケーション(M_PA)は、クラウドペアリングサービス上に位置する初期ペアリング要求のペイロードからコンピュータ認証データを読み取ることができる(図示のように、プロトコルのステップ5及び6)。代替方法では、ユーザは、コンピューティングデバイスのモニタに表示されるQRコード画像をスキャンし、読み取るように、ペアリングモバイルアプリケーション(M_PA)によってプロンプトで指示されてもよい(図示のように、プロトコルのステップ6)。その他、BLE機能が使用可能である場合には、モバイルデバイスは、QRスキャンを使用せずに、BLEチャネルを介してペアリング秘密(C_LPS)をサイレントモードで受信し得る。モバイルアプリケーションは、ペアリング要求を検証し、コンピューティングデバイスの公開鍵(C_Pub)を記憶する。
PINの入力又はQR画像のスキャン又はBLEベースのC_LPS取得後に、モバイルパスワード暗号鍵交換が行われ得る。一実施形態では、ペアリングモバイルアプリケーション(M_PA)は、それ自体のデータ交換鍵ペア(M_KP)及びパスワード暗号鍵K_PWDを生成してもよい。アプリケーション(M_PA)は、要求側のコンピュータの公開鍵C_Pubをその認証データと共に使用して、パスワード暗号鍵K_PWDを暗号化してもよい。更に、この暗号化された鍵K_PWD(又はK_enc)は、モバイルアプリケーション(M_PA)をクラウドペアリングサービスにペアリングすることによって送信されてもよい(図示のように、プロトコルのステップ7)。いくつかの実施形態では、モバイルアプリケーションは、コンピュータ認証データを生成するために使用されるものと同様に、近位でローカルに受信されたC_LPSと共にハッシングアルゴリズム関数(HMAC)を使用して、導出された所有権証明(POP)及びモバイル認証データを送信し得る。このデータ交換はまた、モバイル公開鍵(M_pub)と、ペアリングされたモバイルデバイス鍵識別子(M_KID)と、を含み得る。例えば、ペアリングモバイルアプリケーション(M_PA)は、HMACアルゴリズムを使用して、モバイル認証データを生成し得る。
CipherData=暗号化(K_PWD、C_Pub) [3]
M_POP=署名付き(CipherData、M_Priv) [4]
M_AuthData=HMAC(KDF(C_LPS)、M_KID|ユーザ名|CipherData|POP)[5]
ここで、解読データ(CipherData)は、要求側のコンピュータの公開鍵C_Pubに基づくパスワード暗号鍵K_PWDの暗号化バージョンである。解読データ(CipherData)及びモバイルのプライベート鍵(M_Priv)の署名付き関数を使用して、所有権証明(M_POP)が生成されてもよい。更に、モバイル認証データ(M_AuthData)は、秘密鍵、ペアリングされたモバイルデバイスの鍵識別子(M_KID)、ユーザ名、解読データ(CipherData)、及び所有権証明(M_POP)をハッシュ化する、鍵付きハッシュ関数、HMACを使用して生成されてもよい。上記と同様に、秘密鍵は、コンピュータデバイスに知られているC_LPSを使用した鍵導出関数から導出されてもよい。
コンピュータデバイスとモバイルデバイスとのペアリングが完了すると、クラウドペアリングサービスは、それぞれのペアリング変数の多くを記憶すると共にデバイスを登録し得る(図示のように、プロトコルのステップ8)。この時点で、コンピューティングデバイスは、モバイルデバイスに関連する、クラウドサービスから受信した応答データを検証し得る(図示のように、プロトコルのステップ10)。例えば、モバイルデバイスは、コンピュータのプライベートペアリング秘密、C_LPSを使用して検証され得る。ここで、ペアリングコンピュータアプリケーション(C_PA)は、データがペアリング秘密に基づいた認証データと共にモバイルデバイスから送信されることを検証し得る。このとき、コンピューティングデバイスは、ペアリングされたモバイルデバイスの鍵識別子(M_KID)、モバイルの公開鍵(M_Pub)を記憶し、パスワード暗号鍵(K_PWD)を使用してそのコンピュータログインパスワードを暗号化し得る。ペアリングコンピュータアプリケーション(C_PA)は、暗号化パスワードを記憶し、暗号化後に暗号鍵を破棄し得る。更に、ペアリング及び登録は、コンピューティングデバイスとクラウドサービスとの間で確認され得る(図示のように、プロトコルのステップ11及び12)。
コンピュータデバイスとモバイルデバイスとのペアリング後、パスワードなしのコンピュータログインは、パスワード暗号鍵の検索のためにモバイルデバイスへのモバイルプッシュを実行するよう、コンピュータアプリケーション(C_PA)からクラウドサービスへの要求を含み得る。この要求は、コンピュータのデータ交換鍵識別子と、そのプライベート鍵の所有権証明(POP)と、を含み得る。これに応答して、モバイルアプリケーション(M_PA)は、ログイン要求を承認するためのユーザ承認を求め得る。要求側が以前にモバイルデバイスとペアリングされたことを検証した後、モバイルアプリケーション(M_PA)はまた、要求側の公開鍵(C_Pub)を使用して暗号化された形式でパスワード暗号鍵(K_PWD)を送信し得る。以前にペアリングされたコンピューティングデバイスは、暗号化されたパスワード暗号鍵(K_PWD)を復号し、ユーザのパスワードを取得し、標準ログインユーティリティを使用してそのアカウントにログインできるようになる。
いくつかの実施形態では、コンピューティングデバイスアプリケーションC_PAが、ペアリング要求メッセージをクラウドペアリングサービスに送信するときに、認証クレデンシャルが使用される必要はない。これはまた、ネットワークサービスに対する匿名要求であってもよい。
一実施形態では、QR画像を使用して、ネットワークサービスを介することなく、コンピュータの公開鍵(C_pub)をM_PAに移送することで、「介入者」シナリオを解決することができる。QR画像が使用される場合、モバイルアプリケーションM_PAでは、コンピューティングデバイスによって送信されるペアリング要求を取得する動作が不要になる。しかし、QRデータは、密であり過ぎる場合があり、それによって、QRコードのスキャンにより時間がかかり得る。
いくつかの実施形態では、ユーザが複数のモバイルデバイスを有している場合、関連する全てのプッシュ対応デバイスへのモバイルプッシュブロードキャストが実行されてもよい。プッシュブロードキャストは、いくつかの実施形態では、ペアリング要求識別子のみを含み得る。実際の要求メッセージは、プッシュブロードキャスト時に直接送信される必要はない。これにより、より大きいサイズの要求データが許容され得るが、モバイルプッシュブロードキャストは、より多くの時間量を必要とし得る。
いくつかの実施形態では、ネットワークサービスへのスパムを軽減するため、コンピュータアプリケーションC_PAからの要求において、ワンタイムパスワード又は他の以前に既知であったクレデンシャルをクラウドサービスと共に使用することができる。
ペアリング要求に対するモバイルデバイスの応答時に、モバイルアプリケーションM_PAは、ペアリング要求メッセージを取得し、応答するようにトリガされ得る。ユーザがPINを入力することを選択した場合、モバイルアプリケーションM_PAは、クラウドサービスを呼び出して、実際のメッセージを取得する。モバイルアプリケーションM_PAはまた、プッシュメッセージからの要求トランザクションIDを送信してもよい。更に、モバイルアプリケーションM_PAは、そのモバイルプッシュクレデンシャルを使用して、クラウドサービスに認証データを送信してもよい。これにより、モバイルアプリケーションM_PAは、クラウドサービスからペアリング要求データを受信する。ユーザがQRコードをスキャンすることを選択すると、モバイルアプリケーションM_PAは、QR画像からC_LPS、及び任意追加的にC_Pubを抽出する。
この実施例では、所定のデータのペアリング要求がC_LPSに基づいて検証された後、モバイルの公開鍵M_Pub、モバイルのプライベート鍵M_Priv、及びデバイス識別子(M_ID)を含む、モバイルデバイス側からの鍵ペアが生成され得る。モバイルペアリングアプリケーションは、ランダムデータ暗号鍵M_DKを生成し、コンピュータ識別子(C_ID)、公開鍵(C_Pub)、ユーザ識別子(userid)、デバイス識別子(M_ID)、モバイル公開鍵(M_Pub)、モバイルのプライベート鍵(M_Priv)、データ暗号鍵(M_DK)を記憶し得る。モバイルペアリングアプリケーションは、これに応答して、コンピューティングデバイスのポーリング用にクラウドネットワークサービスに戻すメッセージを構築し得る。特に、モバイルペアリングアプリケーションM_PAは、クラウドサービスにペアリング応答メッセージ(pairingResp)を送信し得、モバイルプッシュクレデンシャルが、クラウドサービスへの認証に使用される。
ペアリング応答(pairingResp)の処理時に、クラウドサービスは、モバイルクレデンシャルを使用してモバイルデバイスを認証し得る。クラウドサービスは、ペアリング識別子(C_ID、M_ID、ユーザ名、企業ID)を登録し、応答メッセージからのデータを記憶し得る。クラウドサービスは、メッセージ「pairingResp」を送信することによって、ペアリング応答を得るためのコンピューティングデバイスのポーリング要求に応答し得る。ポーリング要求は、C_ID及びトランザクションIDが、クラウドサービスが記憶したものと一致した場合に受け入れられ得る。このチェックは、追加されるセキュリティには任意である。
ペアリング応答の処理時に、コンピューティングデバイスは、C_LPSからの同一の鍵導出アルゴリズムによって導出された鍵を伴う認証データと、モバイル認証データM_POPと、を検証する。コンピューティングデバイスは、CipherDataを復号して、データ鍵「M_DK」をそのプライベート鍵C_Privと共に取得し得る。また、コンピューティングデバイスは、モバイルデバイス識別子(M_ID)と、モバイルデバイスの公開鍵M_Pubと、を将来の使用のためにセキュアに記憶し得る。この時点で、2つのデバイス(コンピューティングデバイスC_PA及びモバイルデバイスM_PA)は、交換を行い、エンドツーエンドのセキュアなデータ交換を行うことができる信頼関係を確立している。
確立されたペアリングは、パスワードなしのコンピュータログインを補助するために使用され得る。この使用例では、コンピューティングデバイスは、パスワードを暗号化するため、暗号鍵M_DKを更に使用し得る。セキュリティ上の目的により、パスワード暗号鍵M_DKは記憶されない。
いくつかの実施形態では、コンピュータデバイスは、ペアリングを承認するための確認メッセージをクラウドサービスに及び任意追加的にモバイルデバイスに返信する。同時に、この確認は、将来の課金及び管理目的に使用されてもよく、コンピューティングデバイスは、登録された正当なデバイスとして確認される。
クラウドペアリングサービスが将来の検証通信用にコンピューティングデバイスを登録すると、ネットワークサービスは、メッセージの検証を行い、コンピュータ及びモバイルデバイスの識別子C_IDとM_IDとの間のペアリングをサービスデータベースに登録し得る。
図5は、企業管理者によるペアリング管理のため、企業ユーザIDがクラウドに登録されるいくつかの実施形態による、データ通信システムに対する第2のペアリングプロトコルを示すブロック図である。図4のプロトコルと同様に、コンピューティングデバイスC_PAは、ネットワークサーバ140が実行するクラウドサービスを使用して、モバイルデバイスM_PAとペアリングされ得る。図4のプロトコルと図5のプロトコルとの間の区別として、第2のペアリングプロトコルは、クラウドサービスへの企業ユーザIDアサーションを取得するステップを含み、それによって、クラウドサービスは、ユーザを企業管理用デバイスと結合することが可能になる。
図6Aは、いくつかの実施形態による、ネットワークサービスを使用して、パスワードなしのログイン用にモバイルデバイスをコンピュータとセキュアにペアリングするための方法600のフロー図である。アクション610において、モバイルデバイスは、クラウドペアリングサービスに登録される。また、モバイルデバイスは、Enterpriseサービスプロバイダに登録されてもよい。例えば、モバイルデバイスは、ネットワークサーバに登録されてもよく、モバイルデバイスに関連付けられたユーザ識別子及び電話番号を含む、モバイルクレデンシャルデータが生成されてもよい。後に、追加のセキュリティのための初期モバイルプッシュ通知は、モバイルのOTPクレデンシャルに基づき得る。
アクション612では、コンピューティングデバイスは、要求をネットワークサーバに送信することによってペアリング要求を開始し得る。ペアリング要求は、コンピューティングデバイスの認証データ、コンピュータの公開鍵、及び所有権証明鍵を含み得る。コンピュータデバイスはまた、ペアリング鍵及びデータ交換鍵を生成し得る。例えば、コンピューティングデバイス内のコンピュータペアリングアプリケーションC_PAは、ローカルの1回使用のペアリング秘密(C_LPS)と、持続データ交換鍵ペアC_KPと、を生成し得る。データ交換鍵ペアC_KPは、検証の目的で将来使用されてもよい。
決定アクション614では、ネットワークサーバは、ペアリング要求に対応するモバイルデバイスが登録されているか否かを検査し得る。モバイルデバイスが登録されていない場合、アクション638に示すように、ネットワークサーバはペアリング要求を拒否することができる。モバイルデバイスが登録されている場合、アクション616において、コンピューティングデバイスは、コンピュータの公開鍵及び秘密ペアリング鍵(C_LPS)に対応するPIN又はQR画像を表示し得る。コンピューティングデバイスは、QR画像の表示に先立ってそれを生成する。PINは、あらかじめ選択された英数字コードであってもよく、ペアリング要求の開始前又はその最中に、コンピューティングデバイスによってランダムに生成されてもよい。あるいは、アクション616は、モバイルデバイス登録の検出に先立って行われてもよく、その場合、コンピューティングデバイスは、ペアリング要求を開始した後に、PIN又はQR画像を直接表示する。BLE機能が使用可能である場合、コンピューティングデバイスは、BLEを使用して、QRスキャンを使用せずにBLEとローカルにペアリングされ得るモバイルデバイスに、C_LPSを送信し得る。
アクション618では、ユーザは、モバイルデバイスにおいて、C_LPSを取得するためにPINを入力するか、又はQR画像をスキャンするようにプロンプトで指示される。いくつかの実施形態では、ネットワークサーバは、トランザクション識別子を有するモバイルプッシュ通知を開始し得、モバイルプッシュ通知はまた、コンピュータ認証データを含む。コンピュータ認証データは、コンピューティングデバイスによるペアリング要求の開始に先立って生成され得る。コンピュータ認証データは、ペアリング秘密鍵に基づき得る。更に、アクション619において、ネットワークサーバは、コンピュータ認証データを受信し得る。
決定アクション620では、モバイルデバイスアプリケーションM_PAは、モバイルデバイスユーザにより入力されたPINがコンピューティングデバイスからの要求を検証できるか否かの判断を行い得る。あるいは、モバイルデバイスは、スキャンされたQR画像又はBLEで受信されたC_LPSが、ペアリング要求に提供された認証データを検証できるか否かの判断を行い得る。いずれのケースでも一致が存在しないときは、アクション638において、モバイルデバイスはペアリング要求を拒否し得る。図示されてないが、モバイルデバイスユーザは、正しいPINを入力するか、又はQR画像を再スキャンする若しくはC_LPSのBLE送信を再試行する、複数回の機会を与えられ得る。具体的には、プロセスは、アクション618に戻ることになる。PIN若しくはQR画像として、又はBLEチャネル経由でC_LPSを取得する、この反復の試行は、特定の試行回数にあらかじめ設定されてもよく、アクション640において、ペアリング要求は最終的に拒否され、プロセスが終了する。しかしながら、一致が生じている場合、モバイルデバイスは、コンピュータの公開鍵の抽出に移行し得る。代替方法では、(図示されていないが)モバイルデバイスは、ネットワークサーバから同じ情報を要求し得る。
アクション624において、モバイルデバイスは、パスワード暗号鍵を生成し、パスワード暗号鍵を暗号化し得る。代替方法では、モバイルデバイスは、メモリからパスワード暗号鍵を取得してもよい。パスワード暗号鍵の暗号化は、ペアリング開始要求で送信されたコンピュータの公開鍵を使用して実行され得る。暗号化されたパスワード暗号鍵は、アクション626において、コンピューティングデバイスに転送され得る。加えて、モバイルデバイスは、同じアクション626において、モバイル認証データを生成し、転送してもよい。特に、暗号化された鍵は、ネットワークサーバに転送されてもよく、そこからコンピューティングデバイスに転送される。
暗号化された鍵及びモバイル認証データを受信すると、決定アクション628において、コンピューティングデバイスは、モバイル認証データが有効であるか否かを検出し得る。モバイル認証データが有効でない場合、アクション638において、コンピューティングデバイスは、ネットワークサーバを介して間接的にペアリング要求を拒否し得る。一方、モバイル認証データが有効である場合、アクション630において、コンピューティングデバイスは、コンピュータのプライベート鍵を使用して暗号化された鍵を復号し得る。
アクション632において、コンピューティングデバイスは、パスワード暗号鍵を使用して、そのユーザアカウントに関連付けられたログインパスワードを暗号化し得る。この暗号化されたログインパスワードは、アクション634において、パスワードなしのログイン中に将来の使用のためにコンピューティングデバイスによって記憶されてもよい。更に、アクション636において、パスワード暗号鍵はユーザのセキュリティの目的で削除されてもよい。
図6Bは、いくつかの実施形態による、ネットワークサービスを介したパスワードなしのログインを使用して、コンピュータにログインするための方法660のフロー図である。アクション662において、要求側のコンピューティングデバイスは、特定のコンピューティングデバイスへのパスワードなしのログインアクセスを要求し得る。特に、要求は、ネットワークサーバに送信されてもよく、ネットワークサーバはこれに応答して、決定アクション664において、コンピューティングデバイス及びモバイルデバイスが以前にペアリングされたか否かを検出する。以前のペアリングが存在しない場合は、アクション668において、パスワードなしのログインアクセスが拒否される。以前のペアリングが存在する場合、アクション666において、ネットワークサーバは、モバイルデバイスにモバイルプッシュ通知をアサートする。モバイルプッシュは、パスワードなしのログイン要求をモバイルデバイスユーザに警告する。図示されていないが、ユーザはこのとき、ログイン要求を拒否する機会を与えられ得る。代替方法では、アクション670に示すように、モバイルデバイスは、パスワードなしのログイン要求のデータペイロードを取得し、ログイン要求からコンピュータ認証データ及び公開鍵を抽出し得る。代替方法では、ネットワークサーバが、コンピュータ認証データ及び公開鍵を抽出し、それをモバイルデバイスに転送してもよい。
アクション672において、モバイルデバイスは、コンピュータの公開鍵を使用してパスワード鍵を暗号化し得る。この暗号化されたパスワード鍵は、アクション674においてコンピューティングデバイスに転送され得、アクション676において、コンピューティングデバイスは、そのコンピュータの公開鍵を使用して暗号化されたパスワード鍵を復号する。更に、アクション678において、コンピューティングデバイスは、ペアリング段階で以前に記憶された、暗号化されたログインパスワードを復号し得る。最後に、アクション680において、コンピュータデバイスは、ログインパスワードを使用してログインを実行し得る。
本明細書に記載の方法が、従来の汎用コンピュータシステムなどのデジタル処理システムで実行されてもよいことを理解されたい。あるいは、1つの機能のみを実行するように設計又はプログラムされた専用コンピュータが使用されてもよい。図7は、本明細書に記載される実施形態を実行し得る、例示的なコンピューティングデバイスを示す図である。図7のコンピューティングデバイス700は、いくつかの実施形態により、ネットワークサービスを使用して、パスワードなしのログイン用にモバイルデバイスをコンピュータとセキュアにペアリングする方法を実行する機能の実施形態を実行するために使用され得る。コンピューティングデバイス700は、バス706を介してメモリ704に連結された中央処理装置(CPU)702と、大容量記憶デバイス708と、を含む。大容量記憶デバイス708は、フロッピーディスクドライブ又は固定ディスクドライブなどの永続的データ記憶デバイスを表し、いくつかの実施形態では、これらはローカルであってもリモートであってもよい。いくつかの実施形態では、大容量記憶デバイス708は、バックアップ記憶を実行することができる。メモリ704としては、読み取り専用メモリ、ランダムアクセスメモリなどが挙げられ得る。コンピューティングデバイスに存在するアプリケーションは、いくつかの実施形態では、メモリ704又は大容量記憶デバイス708などのコンピュータ可読媒体を介して記憶されるか又はアクセスされ得る。アプリケーションは、また、コンピューティングデバイスのネットワークモデム又は他のネットワークインタフェースによってアクセスされる、変調された変調電子信号の形でもよい。いくつかの実施形態では、CPU 702が、汎用プロセッサ、専用プロセッサ、又は特別にプログラムされた論理デバイスで具現化されてもよいことを理解されたい。
ディスプレイ712は、バス706を介して、CPU 702、メモリ704、及び大容量記憶デバイス708と通信する。ディスプレイ712は、本明細書に記載のシステムと関連付けられた任意の視覚化ツール又はレポートを表示するように構成されている。入出力デバイス710は、バス706に連結されて、コマンド選択における情報をCPU 702に通信する。外部デバイスとの間のデータが入出力デバイス710を介して通信されてもよいことを理解されたい。CPU 702は、図1〜図6Bに関して記載された機能を有効にするために、本明細書に記載されている機能を実行するように規定され得る。いくつかの実施形態では、この機能を具現化するコードは、CPU 702などのプロセッサによって実行するためにメモリ704又は大容量記憶デバイス708内に記憶されてもよい。コンピューティングデバイス上のオペレーティングシステムは、iOS(商標)、MS−WINDOWS(商標)、OS/2(商標)、UNIX(商標)、LINUX(商標)又は他の既知のオペレーティングシステムであってよい。本明細書に記載の実施形態が、仮想化コンピューティングシステムと一体化されてもよいことを理解されたい。
上述の説明で、多数の詳細について説明している。しかしながら、本発明はこれらの特定の詳細を伴わずに実施されてもよいことが、当業者には明白となるであろう。いくつかの例では、本発明が不明瞭になるのを回避するため、周知の構造及びデバイスについては、詳細ではなくブロック図の形態で示される。
上述の説明は限定ではなく例示を意図したものであることを理解されたい。上述の説明を読み理解することで、他の多くの実施形態が当業者には明白となるであろう。特定の例示的実施形態を参照して本発明について記載してきたが、本発明は記載した実施形態に限定されず、添付の請求項の趣旨及び範囲内の修正及び変更と共に実施できることが認識されるであろう。したがって、明細書及び図面は、限定的な意味ではなく例示的な意味で考慮されるべきである。したがって、本発明の範囲は、添付の請求項が享受する等価物の全範囲と共に、かかる請求項を参照して決定されるべきである。
詳細な説明的な実施形態は、本明細書に開示される。しかしながら、本明細書に開示された特定の機能的詳細は、実施形態を記載するための代表に過ぎない。しかしながら、実施形態は、多くの代替形態で具現化されてもよく、本明細書で説明された実施形態のみに限定されるように解釈されるべきでない。
第1、第2などの用語は、本明細書では、様々な工程又は計算を説明するために使用されることがあり、そのような工程又は計算は、これらの用語によって限定されるべきでないことを理解されたい。これらの用語は、ある工程又は計算を別のものと区別するためにのみ使用される。例えば、本開示の範囲から逸脱せずに、第1の計算を第2の計算と呼ぶことができ、同様に第2の工程を第1の工程と呼ぶことができる。本明細書で使用されるとき、「及び/又は(and/or)」という用語と「/」という記号は、関連したリスト項目のいずれか及び1つ以上の全ての組み合わせを含む。本明細書で使用されるとき、「a」、「an」、及び「the」という単数形は、文脈で特に明示されない限り、複数形も含むように意図される。更に、「備える」、「備えること」、「含む」、及び/又は「含むこと」という用語が、本明細書で使用されるとき、述べられた特徴、整数、工程、動作、要素、及び/又は構成要素の存在を明示するが、1つ以上の他の特徴、整数、工程、動作、要素、構成要素、及び/又はそのグループの存在又は追加を除外しないことを理解されよう。したがって、本明細書で使用される用語は、特定の実施形態を説明するためだけのものであり、限定するものではない。
また、一部の代替実施態様では、示された機能/行為は、図に示された順序以外で行われてもよいことに注意されたい。例えば、連続的に示された2つの図が、実際には、含まれる機能/行為に応じて、実質的に同時に実行されてもよく、逆の順序で実行されてもよい。上記の実施形態を考慮すると、実施形態が、コンピュータシステムに記憶されたデータに関係する様々なコンピュータ実施動作を用いることがあることを理解されたい。これらの動作は、物理量の物理的操作を必要とするものである。必須ではないものの、通常、これらの量は、記憶し、転送し、組み合わせ、比較し、また別の形で操作することができる、電気信号又は磁気信号の形態を採る。更に、行われる操作は、作成、識別、判定、比較などの用語で言及されることがある。実施形態の一部を構成する本明細書に記載された動作はいずれも、有用な機械動作である。実施形態は、これらの動作を行うためのデバイス又は装置にも関する。装置は、必要とされる目的のために特別に構成されてもよく、又は装置は、コンピュータに記憶されたコンピュータプログラムによって選択的に起動又は構成される汎用コンピュータでもよい。具体的には、本明細書の教示に従って記述されたコンピュータプログラムと共に様々な汎用マシンを使用することができ、必要な動作を実行するためにより特殊な装置を構成することがより好都合であることがある。
モジュール、アプリケーション、レイヤ、エージェント、又は他の方法で実行可能なエンティティは、ハードウェア、プロセッサ実行ソフトウェア、又はこれらの組み合わせとして実現されてもよい。ソフトウェアベースの実施形態が本明細書に開示される場合、ソフトウェアが、コントローラなどの物理的マシンで具現化されてもよいことを理解されたい。例えば、コントローラは、第1のモジュール及び第2のモジュールを含んでもよい。コントローラは、例えば、方法、アプリケーション、レイヤ、又はエージェントの様々な動作を実行するように構成されていてもよい。
また、実施形態は、非一時的コンピュータ可読媒体上のコンピュータ可読コードとして実施されてもよい。コンピュータ可読媒体は、後でコンピュータシステムが読み取ることができるデータを記憶することができる任意のデータ記憶デバイスである。コンピュータ可読媒体の例としては、ハードディスク、ネットワーク接続ストレージ(NAS)、読み取り専用メモリ、ランダムアクセスメモリ、CD−ROM、CD−R、CD−RW、磁気テープ、フラッシュメモリデバイス、並びに他の光学及び非光学データ記憶デバイスが挙げられる。コンピュータ可読媒体は、コンピュータ可読コードが分散式に記憶され実行されるように、ネットワーク接続されたコンピュータシステムに分散されてもよい。本明細書に記載された実施形態は、携帯端末デバイス、タブレット、マイクロプロセッサシステム、マイクロプロセサベース又はプログラム可能な民生用電子機器、ミニコンピュータ、メインフレームコンピュータなどを含む様々なコンピュータシステム構成で実施されてもよい。実施形態は、また、有線又は無線ネットワークによって連結されたリモート処理デバイスによってタスクが実行される分散コンピューティング環境で実施され得る。
方法動作を特定の順序で記載しているが、記載された動作の間に他の動作を行ってもよく、記載された動作が、わずかに異なる時間で行われるように調整されてもよく、記載された動作が、処理と関連付けられた様々な間隔で処理動作を行うことを可能にするシステム内で分散されてもよいことを理解されたい。
様々な実施形態において、本明細書に記載される方法及び機構の1つ以上の部分は、クラウドコンピューティング環境の一部をなし得る。そのような実施形態では、リソースが、1つ以上の様々なモデルによるサービスとしてインターネットを介して提供され得る。そのようなモデルとしては、サービスとしてのインフラストラクチャ(Infrastructure as a Service)(IaaS)、サービスとしてのプラットフォーム(Platform as a Service)(PaaS)、及びサービスとしてのソフトウェア(Software as a Service)(SaaS)を挙げることができる。IaaSでは、コンピュータインフラストラクチャは、サービスとして送達される。そのような場合には、コンピューティング機器は、通常、サービスプロバイダによって所有され、操作されている。PaaSモデルでは、開発者がソフトウェアソリューション開発に使用するソフトウェアツール及び基本機器は、サービスとして提供され、サービスプロバイダによってホストされ得る。SaaSは、典型的に、サービスプロバイダライセンシングソフトウェアをオンデマンドサービスとして含んでいる。サービスプロバイダは、ソフトウェアをホストし得るか、又はソフトウェアを所定の期間の間顧客に展開し得る。上述のモデルの多数の組み合わせが可能であり、かつ企図される。
様々なユニット、回路、又は他の構成要素が、タスク(1つ又は複数)を行う「ように構成される」として記載又は特許請求され得る。そのような文脈において、「ように構成される」とは、ユニット/回路/構成要素が、動作中にタスク(1つ又は複数)を行う構造(例えば、回路機構)を含むと示すことにより、構造を含んで使用される。そのため、ユニット/回路/構成要素は、指定されたユニット/回路/構成要素が現在動作中でない(例えば、電源が入っていない)場合であっても、タスクを行うように構成されると言うことができる。「ように構成される」という文言と共に使用されるユニット/回路/構成要素には、ハードウェア例えば、動作を実装するように実行可能なプログラム命令を格納する回路、メモリが含まれる。ユニット/回路/構成要素が1つ以上のタスクを行う「ように構成される」ことへの言及は、そのユニット/回路/構成要素に関して、米国特許法112条第6項を行使しないことが明示的に意図される。更に、「ように構成される」には、ソフトウェア及び/又はファームウェア(例えば、FPGA又はソフトウェアを実行する汎用プロセッサ)によって問題のタスク(複数可)を行うことができる様式で動作するように操作される一般的な構造(例えば、一般的な回路機構)が含まれ得る。「ように構成される」には、1つ以上のタスクを実装又は実行するように適合されるデバイス(例えば、集積回路)を製造するように、生産プロセス(例えば、半導体製造設備)を適合することも含む。
以上の説明は、説明のために、特定の実施形態を参照して記載されている。しかしながら、上述の例示的な考察は、包括的であること、又は本発明を開示される正確な形態に限定することを意図するものではない。上述の教示を考慮して、多くの修正及び変形が可能である。実施形態は、実施形態の原理及びその実際の用途を最も良く説明するために選択かつ記載され、それにより、他の当業者が、企図される特定の用途に好適であり得る実施形態と様々な修正を最大限に利用することを可能にする。したがって、この実施形態は、説明的であり非限定的なものとして解釈されるべきであり、本発明が本明細書に示された詳細に限定されないが、添付の特許請求の範囲及び等価物内で修正され得る。

Claims (12)

  1. システムにおけるデータ通信の方法であって、
    コンピュータからネットワークサーバを介してモバイルデバイスにペアリング要求を送信することであって、前記ペアリング要求が前記コンピュータのコンピュータ認証データと、前記コンピュータのコンピュータ公開鍵と、を含前記モバイルデバイスと前記コンピュータと前記ネットワークサーバとは互いに異なる装置である、ことと、
    前記コンピュータにて前記ネットワークサーバから、前記モバイルデバイスが前記コンピュータとペアリング登録されることの標示を受信することと、
    前記コンピュータによって、前記ペアリング要求と前記標示とに応答して、前記ネットワークサーバを使用して前記モバイルデバイスを前記コンピュータとペアリングすることと、
    前記モバイルデバイスから前記ネットワークサーバを介して、前記モバイルデバイスのモバイル公開鍵と前記モバイルデバイスのモバイル認証データと前記コンピュータ公開鍵を使用して前記モバイルデバイスによって暗号化されたパスワード暗号鍵とを前記コンピュータにて受信することであって、前記ネットワークサーバは、コンピュータプライベート鍵が前記コンピュータ上に排他的に格納されて前記ネットワークサーバ上に格納されないことによって、前記暗号化されたパスワード暗号鍵を復号できない、ことと、
    前記コンピュータによって、前記コンピュータ認証データを使用して、前記モバイル認証データを検証することと、
    前記コンピュータによって、前記検証されたモバイル認証データに応答して、前記コンピュータの前記コンピュータプライベート鍵を使用して前記暗号化されたパスワード暗号鍵を復号することと、
    前記コンピュータによって、前記復号されたパスワード暗号鍵を用いてログインパスワードを暗号化することであって、前記ログインパスワードはユーザが前記コンピュータへのパスワードなしログインで使用するよう構成される、ことと、を含む方法。
  2. 前記ペアリング要求を送信することが、
    ペアリング秘密鍵と、前記コンピュータ公開鍵及び前記コンピュータプライベート鍵を含む、前記コンピュータの交換鍵ペアと、を前記コンピュータによって生成することと、
    前記ペアリング秘密鍵及びコンピュータのプライベート鍵から前記コンピュータ認証データを前記コンピュータによって生成することと、
    前記コンピュータ認証データを含む前記ペアリング要求を前記コンピュータによって生成することと、
    前記コンピュータから前記ネットワークサーバに前記ペアリング要求を送信することと、を含む、請求項1に記載の方法。
  3. 前記ペアリングすることが、
    前記コンピュータによって前記コンピュータのディスプレイ上にクイックレスポンス(QR)画像を表示することと、
    前記モバイルデバイスが前記ネットワークサーバに登録されたか否かを前記ネットワークサーバが検出することに応答して、前記コンピュータによって、トランザクション識別子を有するモバイルプッシュ通知を開始することであって、前記モバイルプッシュ通知が、ペアリング秘密鍵に基づいた前記コンピュータ認証データを含む、ことと、
    前記復号されたパスワード暗号鍵を用いて前記ログインパスワードを前記コンピュータによって暗号化することと、
    前記コンピュータによって、前記暗号化されたログインパスワード記憶することと、を含む、請求項1に記載の方法。
  4. 前記ペアリング要求を送信することが、
    ペアリング秘密鍵と、前記コンピュータ公開鍵及び前記コンピュータプライベート鍵を含む、前記コンピュータの交換鍵ペアと、を前記コンピュータによって生成することと、
    前記コンピュータによって、前記ペアリング秘密鍵及び前記コンピュータプライベート鍵から前記コンピュータ認証データを生成することと、
    前記コンピュータによって、前記コンピュータ認証データを含む前記ペアリング要求を生成することと、
    前記モバイルデバイスが前記コンピュータの近位にあるとき、前記コンピュータからBluetooth経由で前記モバイルデバイスへ前記ペアリング秘密鍵を転送することと、
    前記コンピュータから前記ネットワークサーバに前記ペアリング要求を送信することと、を含む、請求項1に記載の方法。
  5. ログイン要求を前記コンピュータから前記ネットワークサーバへ送信することであって、前記ログイン要求が、前記コンピュータ公開鍵に関連付けられたコンピュータデータ交換鍵識別子と、プライベート鍵の所有権証明とを含む、ことと、
    前記プライベート鍵の所有権証明から前記モバイルデバイスが前記コンピュータ公開鍵を抽出したことに基づいて前記コンピュータと前記モバイルデバイスとの間にペアリングが存在することの標示を、前記モバイルデバイスから前記コンピュータにて受信することと、
    を更に含む、請求項1に記載の方法。
  6. 前記コンピュータによって、前記コンピュータと前記モバイルデバイスとの間で完了したそれぞれのデバイスペアリングを監視することと、
    完了したそれぞれのデバイスペアリングを前記コンピュータによって記憶することと、
    複数の記憶されている完了したデバイスペアリングに基づいて、それぞれの後続のペアリングサービス要求を前記コンピュータによって認証することと、を更に含む、請求項1に記載の方法。
  7. 方法を実行するためのコードを含む非一時的コンピュータ可読媒体であって、前記方法が、
    コンピュータからネットワークサーバを介してモバイルデバイスにペアリング要求を送信することであって、前記ペアリング要求が前記コンピュータのコンピュータ認証データと、前記コンピュータのコンピュータ公開鍵と、を含み、前記モバイルデバイスと前記コンピュータと前記ネットワークサーバとは互いに異なる装置である、ことと、
    前記コンピュータにて前記ネットワークサーバから、前記モバイルデバイスが前記コンピュータとペアリング登録されることの標示を受信することと、
    前記コンピュータによって、前記ペアリング要求と前記標示とに応答して、前記ネットワークサーバを使用して前記モバイルデバイスを前記コンピュータとペアリングすることと、
    前記モバイルデバイスから前記ネットワークサーバを介して、前記モバイルデバイスのモバイル公開鍵と前記モバイルデバイスのモバイル認証データと前記コンピュータ公開鍵を使用して前記モバイルデバイスによって暗号化されたパスワード暗号鍵とを前記コンピュータにて受信することであって、前記ネットワークサーバは、コンピュータプライベート鍵が前記コンピュータ上に排他的に格納されて前記ネットワークサーバ上に格納されないことによって、前記暗号化されたパスワード暗号鍵を復号できない、ことと、
    前記コンピュータによって、前記コンピュータ認証データを使用して、前記モバイル認証データを検証することと、
    前記コンピュータによって、前記検証されたモバイル認証データに応答して、前記コンピュータの前記コンピュータプライベート鍵を使用して前記暗号化されたパスワード暗号鍵を復号することと、
    前記コンピュータによって、前記復号されたパスワード暗号鍵を用いてログインパスワードを暗号化することであって、前記ログインパスワードはユーザが前記コンピュータへのパスワードなしログインで使用するよう構成される、ことと、を含む、コンピュータ可読媒体。
  8. 前記ペアリング要求を送信することが、
    ペアリング秘密鍵と、前記コンピュータ公開鍵及び前記コンピュータプライベート鍵を含む、前記コンピュータの交換鍵ペアと、を前記コンピュータによって生成することと、
    前記ペアリング秘密鍵及びコンピュータのプライベート鍵から前記コンピュータ認証データを生成することと、
    前記コンピュータ認証データを含む前記ペアリング要求を前記コンピュータによって生成することと、
    前記コンピュータから前記ネットワークサーバに前記ペアリング要求を送信することと、を含む、請求項に記載のコンピュータ可読媒体。
  9. 前記ペアリングすることが、
    前記コンピュータによって前記コンピュータのディスプレイ上にクイックレスポンス(QR)画像を表示することと、
    前記モバイルデバイスが登録されたか否かを前記ネットワークサーバが検出することに応答して、前記コンピュータによって、トランザクション識別子を有するモバイルプッシュ通知を開始することであって、前記モバイルプッシュ通知が、ペアリング秘密鍵に基づいた前記コンピュータ認証データを含む、ことと、
    前記復号されたパスワード暗号鍵を用いて前記ログインパスワードを前記コンピュータによって暗号化することと、
    前記コンピュータによって、前記暗号化されたログインパスワードを格納することと、
    を含む、請求項7に記載のコンピュータ可読媒体。
  10. ログイン要求を前記コンピュータから前記ネットワークサーバへ送信することであって、前記ログイン要求が、前記コンピュータ公開鍵に関連付けられたコンピュータデータ交換鍵識別子と、プライベート鍵の所有権証明とを含む、ことと、
    前記プライベート鍵の所有権証明から前記モバイルデバイスが前記コンピュータ公開鍵を抽出したことに基づいて、前記コンピュータと前記モバイルデバイスとの間にペアリングが存在することの標示を、前記モバイルデバイスから前記コンピュータにて受信することと、を更に含む、請求項7に記載のコンピュータ可読媒体。
  11. 委任されたエンティティプロバイダからのEnterpriseサービス使用の権利付与を前記コンピュータによって要求することと、
    前記委任されたエンティティプロバイダからEnterprise検証データを前記コンピュータによって受信することと、
    前記コンピュータによって、Enterprise検証データを処理して、前記ペアリング要求を検証することと、を更に含む、請求項に記載のコンピュータ可読媒体。
  12. 前記コンピュータと前記モバイルデバイスとの間で完了したそれぞれのデバイスペアリングを前記コンピュータによって監視することと、
    完了したそれぞれのデバイスペアリングを前記コンピュータによって記憶することと、
    複数の記憶されている完了したデバイスペアリングに基づいて、それぞれの後続のペアリングサービス要求を前記コンピュータによって認証することと、を更に含む、請求項に記載のコンピュータ可読媒体。
JP2018542782A 2016-02-26 2017-02-23 パスワードなしのコンピュータログインのサービス支援モバイルペアリングのためのシステム及び方法 Active JP6701364B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201662300472P 2016-02-26 2016-02-26
US62/300,472 2016-02-26
US15/418,344 US10666642B2 (en) 2016-02-26 2017-01-27 System and method for service assisted mobile pairing of password-less computer login
US15/418,344 2017-01-27
PCT/US2017/019213 WO2017147346A1 (en) 2016-02-26 2017-02-23 System and method for service assisted mobile pairing of password-less computer login

Publications (2)

Publication Number Publication Date
JP2019508972A JP2019508972A (ja) 2019-03-28
JP6701364B2 true JP6701364B2 (ja) 2020-05-27

Family

ID=59679057

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018542782A Active JP6701364B2 (ja) 2016-02-26 2017-02-23 パスワードなしのコンピュータログインのサービス支援モバイルペアリングのためのシステム及び方法

Country Status (5)

Country Link
US (1) US10666642B2 (ja)
EP (1) EP3420677B1 (ja)
JP (1) JP6701364B2 (ja)
CN (1) CN108781163B (ja)
WO (1) WO2017147346A1 (ja)

Families Citing this family (41)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9560019B2 (en) * 2013-04-10 2017-01-31 International Business Machines Corporation Method and system for managing security in a computing environment
FR3028639B1 (fr) * 2014-11-17 2016-12-23 Oberthur Technologies Procede de securisation d'un jeton de paiement
KR101652625B1 (ko) 2015-02-11 2016-08-30 주식회사 이베이코리아 온라인 웹사이트의 회원 로그인을 위한 보안인증 시스템 및 그 방법
US10154017B2 (en) * 2015-04-30 2018-12-11 Mcafee, Llc Device pairing in a local network
JP6639430B2 (ja) * 2017-01-31 2020-02-05 キヤノン株式会社 情報処理装置、制御方法およびプログラム
US10691788B2 (en) * 2017-02-03 2020-06-23 Ademco Inc. Systems and methods for provisioning a camera with a dynamic QR code and a BLE connection
WO2018155920A1 (en) 2017-02-22 2018-08-30 Samsung Electronics Co., Ltd. Method and apparatus for authenticating users in internet of things environment
US20200302077A1 (en) * 2017-09-13 2020-09-24 Jessie Cortez System and method for securing access to electronic data
US10511446B2 (en) * 2017-09-22 2019-12-17 Cisco Technology, Inc. Methods and apparatus for secure device pairing for secure network communication including cybersecurity
CN107819751A (zh) * 2017-10-27 2018-03-20 浙江码博士防伪科技有限公司 一种安全的自动登录管理系统
CN111656376B (zh) * 2017-11-30 2023-10-31 建筑开发技术公司 信息处理装置、信息处理方法、信息处理系统以及程序
CA3087150A1 (en) * 2018-01-05 2019-07-11 Xirgo Technologies, Llc Secured pairing of video capture device and mobile device
US20190356652A1 (en) * 2018-05-15 2019-11-21 Centre For Development Of Telematics Secure Interoperable Set Top Box Through Reverse OTP
US10924289B2 (en) 2018-07-13 2021-02-16 Visa International Service Association Public-private key pair account login and key manager
US10848304B2 (en) * 2018-07-17 2020-11-24 Visa International Service Association Public-private key pair protected password manager
US11005971B2 (en) * 2018-08-02 2021-05-11 Paul Swengler System and method for user device authentication or identity validation without passwords or matching tokens
US10893043B1 (en) * 2018-09-12 2021-01-12 Massachusetts Mutual Life Insurance Company Systems and methods for secure display of data on computing devices
KR102050823B1 (ko) * 2018-11-26 2019-12-03 주식회사 두빛나래소프트 Qr 코드를 이용한 정보 송수신 방법, 장치 및 시스템
TWI709097B (zh) * 2018-12-14 2020-11-01 兆豐國際商業銀行股份有限公司 網路銀行登入系統與方法
EP3672306A1 (en) * 2018-12-20 2020-06-24 Baintex Technologies, S.L. Method for linking a plurality of devices through bluetooth low energy protocol
US10491734B1 (en) * 2019-01-04 2019-11-26 Faraday&Future Inc. User-friendly vehicle bluetooth pairing scheme
US10666431B1 (en) * 2019-03-11 2020-05-26 Capital One Services, Llc Systems and methods for enhancing web security
US11070980B1 (en) * 2019-03-25 2021-07-20 Sprint Communications Company L.P. Secondary device authentication proxied from authenticated primary device
US11000759B2 (en) * 2019-03-29 2021-05-11 Valve Corporation Game controller operable in bluetooth low energy (BLE) mode
US11316849B1 (en) * 2019-04-04 2022-04-26 United Services Automobile Association (Usaa) Mutual authentication system
SG10201906806XA (en) * 2019-07-23 2021-02-25 Mastercard International Inc Methods and computing devices for auto-submission of user authentication credential
US11277373B2 (en) * 2019-07-24 2022-03-15 Lookout, Inc. Security during domain name resolution and browsing
US11336639B1 (en) * 2019-09-19 2022-05-17 Ca, Inc. Systems and methods for managing a need-to-know domain name system
US11184736B2 (en) * 2019-10-08 2021-11-23 International Business Machines Corporation Digital person and digital persona verification
CN110995416A (zh) * 2019-10-12 2020-04-10 武汉信安珞珈科技有限公司 一种将移动端与客户端关联的方法
WO2021113034A1 (en) * 2019-12-05 2021-06-10 Identité, Inc. Full-duplex password-less authentication
US11323283B2 (en) * 2020-02-27 2022-05-03 Haier Us Appliance Solutions, Inc. Domestic appliance commissioning
US11537701B2 (en) * 2020-04-01 2022-12-27 Toyota Motor North America, Inc. Transport related n-factor authentication
CN111885201B (zh) * 2020-07-31 2022-11-08 中国工商银行股份有限公司 数据传输方法、装置、设备及介质
WO2022066415A1 (en) * 2020-09-28 2022-03-31 Jamf Software, Llc Passwordless authentication
WO2022069056A1 (en) * 2020-10-02 2022-04-07 Huawei Technologies Co., Ltd. Protection of sensitive user data in communication networks
US20220191027A1 (en) * 2020-12-16 2022-06-16 Kyndryl, Inc. Mutual multi-factor authentication technology
CN113726807B (zh) * 2021-09-03 2023-07-14 烟台艾睿光电科技有限公司 一种网络摄像机访问方法、设备、系统及存储介质
CN117917086A (zh) * 2021-09-09 2024-04-19 皇家飞利浦有限公司 检查设备的位置
CN114866251B (zh) * 2022-04-25 2023-07-07 中国银联股份有限公司 一种设备互联安全认证系统、方法、装置、服务器及介质
WO2024031103A1 (en) * 2022-08-05 2024-02-08 Scramble Id, Inc. Systems methods and devices for dynamic authentication and identification

Family Cites Families (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11110350A (ja) * 1997-09-30 1999-04-23 Mitsubishi Materials Corp コンピュータとパスワード管理方法並びにパスワード管理プログラムを記憶したコンピュータに読み取り可能な記録媒体及びパスワード管理データを記憶したコンピュータに読み取り可能な記録媒体
JP2003108519A (ja) * 2001-09-27 2003-04-11 Hitachi Ltd ファイル転送システム及びプログラム
US7463861B2 (en) * 2005-03-07 2008-12-09 Broadcom Corporation Automatic data encryption and access control based on bluetooth device proximity
ATE411694T1 (de) * 2006-07-17 2008-10-15 Research In Motion Ltd Automatische verwaltung von sicherheitsinformationen für eine vorrichtung mit sicherheitstokenzugang und mehrfachen anschlüssen
US8103247B2 (en) * 2006-10-31 2012-01-24 Microsoft Corporation Automated secure pairing for wireless devices
CN101345622B (zh) * 2007-07-10 2012-07-25 北京紫贝龙科技有限责任公司 可以明确装置持有者权力的信息安全装置
US8850031B2 (en) * 2007-11-07 2014-09-30 Nec Corporation Pairing system, pairing management device, pairing method, and program
JP2009135688A (ja) * 2007-11-29 2009-06-18 Fujitsu Ten Ltd 認証方法、認証システムおよび車載装置
US20100278345A1 (en) * 2009-05-04 2010-11-04 Thomas Matthieu Alsina Method and apparatus for proximity based pairing of mobile devices
US8875180B2 (en) 2010-12-10 2014-10-28 Rogers Communications Inc. Method and device for controlling a video receiver
GB2488766A (en) * 2011-03-04 2012-09-12 Intercede Ltd Securely transferring data to a mobile device
EP2509275A1 (en) * 2011-04-04 2012-10-10 Buntinx Method and system for authenticating entities by means of mobile terminals
JP5624510B2 (ja) * 2011-04-08 2014-11-12 株式会社東芝 記憶装置、記憶システム及び認証方法
KR101853813B1 (ko) 2011-04-22 2018-05-03 삼성전자주식회사 디바이스들간의 보안 연결 생성 방법 및 그 장치
US8458494B1 (en) * 2012-03-26 2013-06-04 Symantec Corporation Systems and methods for secure third-party data storage
US9378356B2 (en) * 2012-04-13 2016-06-28 Paypal, Inc. Two factor authentication using a one-time password
US9106721B2 (en) * 2012-10-02 2015-08-11 Nextbit Systems Application state synchronization across multiple devices
US9412283B2 (en) * 2012-12-31 2016-08-09 Piyush Bhatnagar System, design and process for easy to use credentials management for online accounts using out-of-band authentication
CA2836297A1 (en) * 2013-01-22 2014-07-22 Quantera Group, Inc. Dba Push Science System and method for managing, controlling and enabling data transmission from a first device to at least one other second device, wherein the first and second devices are on different networks
US9998969B2 (en) * 2013-03-15 2018-06-12 Facebook, Inc. Portable platform for networked computing
KR102092731B1 (ko) 2013-05-30 2020-03-24 주식회사 알티캐스트 페어링 서비스 제공 방법 및 장치
GB2533727B (en) * 2013-10-17 2021-06-23 Arm Ip Ltd Registry apparatus, agent device, application providing apparatus and corresponding methods
US9703981B1 (en) * 2013-11-04 2017-07-11 Mobile Iron, Inc. Mobile device data encryption
US9639710B2 (en) * 2013-12-23 2017-05-02 Symantec Corporation Device-based PIN authentication process to protect encrypted data
US9621645B2 (en) * 2013-12-30 2017-04-11 Google Inc. Device pairing via a cloud server
US9537661B2 (en) 2014-02-28 2017-01-03 Verizon Patent And Licensing Inc. Password-less authentication service
US20150304851A1 (en) * 2014-04-22 2015-10-22 Broadcom Corporation Portable authorization device
US9032498B1 (en) * 2014-05-25 2015-05-12 Mourad Ben Ayed Method for changing authentication for a legacy access interface
US9264423B2 (en) 2014-06-12 2016-02-16 Nadapass, Inc. Password-less authentication system and method
EP3158680B1 (en) * 2014-06-18 2021-02-24 Visa International Service Association Efficient methods for authenticated communication
WO2016018028A1 (en) * 2014-07-31 2016-02-04 Samsung Electronics Co., Ltd. Device and method of setting or removing security on content
US9197414B1 (en) * 2014-08-18 2015-11-24 Nymi Inc. Cryptographic protocol for portable devices
SG11201702277UA (en) * 2014-10-10 2017-04-27 Visa Int Service Ass Methods and systems for partial personalization during mobile application update
US9413757B1 (en) * 2015-01-15 2016-08-09 International Business Machines Corporation Secure identity authentication in an electronic transaction
US10162978B2 (en) * 2015-09-22 2018-12-25 Mastercard International Incorporated Secure computer cluster with encryption
JP6558577B2 (ja) * 2015-12-03 2019-08-14 リコーイメージング株式会社 電力情報管理装置及び電力情報管理システム
US10754968B2 (en) * 2016-06-10 2020-08-25 Digital 14 Llc Peer-to-peer security protocol apparatus, computer program, and method

Also Published As

Publication number Publication date
CN108781163B (zh) 2021-06-18
EP3420677A4 (en) 2019-10-09
CN108781163A (zh) 2018-11-09
JP2019508972A (ja) 2019-03-28
WO2017147346A1 (en) 2017-08-31
US10666642B2 (en) 2020-05-26
EP3420677B1 (en) 2021-08-11
EP3420677A1 (en) 2019-01-02
US20170250974A1 (en) 2017-08-31

Similar Documents

Publication Publication Date Title
JP6701364B2 (ja) パスワードなしのコンピュータログインのサービス支援モバイルペアリングのためのシステム及び方法
US10904234B2 (en) Systems and methods of device based customer authentication and authorization
US11881937B2 (en) System, method and computer program product for credential provisioning in a mobile device platform
CN106575326B (zh) 利用非对称加密实施一次性密码的系统和方法
US9807610B2 (en) Method and apparatus for seamless out-of-band authentication
US9779224B2 (en) Methods and systems for client-enhanced challenge-response authentication
US9185096B2 (en) Identity verification
US9628282B2 (en) Universal anonymous cross-site authentication
US20160125180A1 (en) Near Field Communication Authentication Mechanism
US20170034141A1 (en) Method for key rotation
US20180091487A1 (en) Electronic device, server and communication system for securely transmitting information
US20180062863A1 (en) Method and system for facilitating authentication
US10764294B1 (en) Data exfiltration control
US8397281B2 (en) Service assisted secret provisioning
US11489828B2 (en) Tenant aware mutual TLS authentication
US20220029796A1 (en) Authentication using key agreement
KR102139589B1 (ko) 사물 인터넷 환경에서 디지털 인감을 이용한 인증 및 키 설정 프로토콜
US20240106816A1 (en) Secure endpoint authentication credential control
Kreshan THREE-FACTOR AUTHENTICATION USING SMART PHONE
Shukla et al. A Passwordless MFA Utlizing Biometrics, Proximity and Contactless Communication

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180812

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180812

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20180816

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190625

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190806

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191106

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200407

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200501

R150 Certificate of patent or registration of utility model

Ref document number: 6701364

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250