JP7196174B2 - 委任アイデンティティを使用した認証方法、システム、プログラム - Google Patents
委任アイデンティティを使用した認証方法、システム、プログラム Download PDFInfo
- Publication number
- JP7196174B2 JP7196174B2 JP2020527823A JP2020527823A JP7196174B2 JP 7196174 B2 JP7196174 B2 JP 7196174B2 JP 2020527823 A JP2020527823 A JP 2020527823A JP 2020527823 A JP2020527823 A JP 2020527823A JP 7196174 B2 JP7196174 B2 JP 7196174B2
- Authority
- JP
- Japan
- Prior art keywords
- identity
- user
- authentication
- root
- delegation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Storage Device Security (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Description
1.暗号化によりセキュリティ保護されたレジスタを使用するユーザ認証のためのコンピュータ実装方法であって、暗号化によりセキュリティ保護された上記レジスタは、ユーザのルート・アイデンティティを含み、上記ルート・アイデンティティは、ルート識別子と上記ユーザを認証するために上記ルート識別子に割り当てられたクレデンシャルとを含み、暗号化によりセキュリティ保護された上記レジスタは、上記ルート・アイデンティティに割り当てられた1つまたは複数の委任アイデンティティをさらに含み、上記委任アイデンティティのそれぞれが、委任識別子を含み、認証コンテキストに割り当てられ、上記方法は、
・上記ユーザを認証することを求める認証要求を受け取ることと、
・上記ユーザの上記ルート・アイデンティティを使用して上記ユーザを認証することであって、成功裏の認証が上記ユーザの上記ルート・アイデンティティの上記ルート識別子に割り当てられた上記クレデンシャルを受け取ることを求める、上記認証することと、
・要求された上記認証の認証コンテキストを識別することと、
・上記ユーザの上記ルート・アイデンティティに割り当てられ、識別された上記認証コンテキストに割り当てられた、上記1つまたは複数の委任アイデンティティのうちの1つを、暗号化によりセキュリティ保護された上記レジスタを使用して識別することと、
・上記ルート・アイデンティティを使用した上記ユーザの成功裏の認証に応答して、上記成功裏のユーザ認証を確認するとともに識別された上記委任アイデンティティの上記委任識別子によって上記成功裏に認証されたユーザを識別する、認証トークンを発行することとを含む、コンピュータ実装方法。
2.上記方法は、上記ユーザの上記ルート・アイデンティティを使用して、各自の上記ルート・アイデンティティに割り当てられたすべての委任アイデンティティについてシングル・サイン・オンを行う、項目1に記載の方法。
3.上記ルート・アイデンティティは上記ルート・アイデンティティに割り当てられた複数の委任アイデンティティを含み、上記複数の委任アイデンティティは、上記複数の委任アイデンティティのうちの少なくとも第1の1つの委任アイデンティティが上記複数の委任アイデンティティのうちの少なくとも第2の1つの委任アイデンティティを介して上記ルート・アイデンティティに割り当てられた、木構造の形態で、て上記ルート・アイデンティティに割り当てられる、上記項目のいずれかに記載の方法。
4.暗号化によりセキュリティ保護された上記レジスタは、コンピュータ可読プログラム・コードを含み、認証側コンピュータ・システムのプロセッサによる上記コンピュータ可読プログラム・コードの実行が、上記ユーザ認証の実行と上記認証トークンの発行とを行うように上記プロセッサに上記認証側コンピュータ・システムを制御させる、上記項目のいずれかに記載の方法。
5.上記レジスタの暗号化によるセキュリティは、格納された上記ルート・アイデンティティおよび格納された上記1つまたは複数の委任アイデンティティの少なくとも一部のハッシュ化と、署名と、暗号化とのうちの1つまたは複数を含む、上記項目のいずれかに記載の方法。
6.暗号化によりセキュリティ保護された上記レジスタは分散レジスタであり、上記分散レジスタのコピーが複数のコンピュータ・システムに分散される、上記項目のいずれかに記載の方法。
7.上記分散レジスタの暗号化による上記セキュリティは、上記ルート・アイデンティティと上記1つまたは複数の委任アイデンティティとを、上記分散レジスタの各コピーに含まれる、ブロックチェーンの複数のブロックに格納することを含む、項目6に記載の方法。
8.暗号化によりセキュリティ保護された上記レジスタが中央データベースによって提供される、項目1ないし5のいずれかに記載の方法。
9.上記認証に使用された上記ルート・アイデンティティまたは識別された上記委任アイデンティティが無効な場合、上記認証トークンの上記発行が拒否される、上記項目のいずれかに記載の方法。
10.上記要求は認証に使用される上記ルート・アイデンティティの上記ルート識別子を含む、上記項目のいずれかに記載の方法。
11.上記要求は、上記ユーザの認証に使用される上記ルート・アイデンティティに割り当てられ、識別された上記認証コンテキストに割り当てられた上記委任識別子を含む、項目1ないし9のいずれかに記載の方法。
12.上記認証要求は、暗号化によりセキュリティ保護された上記レジスタにアクセスすることができるアイデンティティ・プロバイダ・コンピュータ・システムによって受け取られ、上記アイデンティティ・プロバイダ・コンピュータ・システムは、上記ユーザの上記認証と、識別された上記委任アイデンティティの上記委任識別子によって成功裏に認証された上記ユーザを識別する上記認証トークンの発行とを行う、上記項目のいずれかに記載の方法。
13.上記認証要求は、サービス・プロバイダ・コンピュータ・システムから受け取られ、上記ユーザを認証するために使用される上記クレデンシャルはユーザ・コンピュータ・システムから受け取られる、項目12に記載の方法。
14.上記1つまたは複数の委任アイデンティティは、それぞれ、上記それぞれの委任アイデンティティの有効性が満了する有効期限日を示す標識を含む、上記項目のいずれかに記載の方法。
15.上記それぞれの委任アイデンティティが上記認証のために使用される上記ルート・アイデンティティに割り当てられており、識別された上記認証コンテキストに割り当てられていると識別された上記委任アイデンティティである場合、上記1つまたは複数の委任アイデンティティのうちの少なくとも1つが、成功裏の認証のための追加の認証要件を含む、上記項目のいずれかに記載の方法。
16.・第1のアイデンティティ要求者から、上記ルート・アイデンティティに割り当てられたすべての委任アイデンティティを提供することを求める要求を受け取ることと、
・上記第1のアイデンティティ要求者が各自の上記ルート・アイデンティティを使用して成功裏に認証された場合、上記ルート・アイデンティティに割り当てられた上記1つまたは複数の委任アイデンティティをすべて提供することとをさらに含む、上記項目のいずれかに記載の方法。
17.上記ルート・アイデンティティに追加の委任アイデンティティを割り当てることをさらに含み、上記追加の委任アイデンティティは、追加の委任識別子を含み、追加の認証コンテキストに割り当てられ、上記追加の認証コンテキストは、さらなるルート・アイデンティティに依存し、上記割り当てることは、
・上記追加の委任アイデンティティを割り当てることを求める要求を受け取ることと、
・上記追加の委任アイデンティティの上記追加の認証コンテキストを調べることと、
・上記追加の認証コンテキストが上記さらなるルート・アイデンティティに依存する場合、上記追加の認証コンテキストが依存する上記さらなるルート・アイデンティティを使用して成功裏に認証されたさらなるユーザから上記追加の委任アイデンティティの承認を受け取ることに応答して、上記ルート・アイデンティティに割り当てられた上記追加の委任アイデンティティを、暗号化によりセキュリティ保護された上記レジスタに格納することとを含む、上記項目のいずれかに記載の方法。
18.上記追加の認証コンテキストは、さらなるルート・アイデンティティに割り当てられた1つまたは複数のさらなる委任アイデンティティを介して上記さらなるルート・アイデンティティに依存する、項目17に記載の方法。
19.上記追加の委任アイデンティティの依存関係は、上記さらなるルート・アイデンティティの上記さらなるルート識別子または上記さらなるルート・アイデンティティに割り当てられたさらなる委任アイデンティティのさらなる委任識別子を含む上記追加の委任アイデンティティの上記認証コンテキストによって実装される、項目17および18のいずれかに記載の方法。
20.・上記さらなるルート・アイデンティティに依存するすべての委任アイデンティティの提供を求める要求を第2のアイデンティティ要求者から受け取ることと、
・上記第2のアイデンティティ要求者が上記さらなるルート・アイデンティティを使用して成功裏に認証された場合、上記さらなるルート・アイデンティティに依存するすべての委任アイデンティティを提供することと、
をさらに含む、項目17ないし19のいずれかに記載の方法。
21.暗号化によりセキュリティ保護された上記レジスタが、さらなるコンピュータ可読プログラム・コードを含み、割り当て側コンピュータ・システムのプロセッサによる上記さらなるコンピュータ可読プログラム・コードの実行によって、上記ルート・アイデンティティへの上記追加の委任アイデンティティの割り当てを実行するように上記プロセッサに上記割り当て側コンピュータ・システムを制御させる、項目17ないし20のいずれかに記載の方法。
22.失効により、割り当てられた上記追加の委任アイデンティティを無効にすることをさらに含み、上記失効は、
・失効要求者から上記追加の委任アイデンティティの失効を求める要求を受け取ることと、
・上記失効要求者を認証することと、
・上記失効要求者が、上記追加の認証コンテキストが依存する上記さらなるルート・アイデンティティを使用して成功裏に認証された上記さらなるユーザである場合、暗号化によりセキュリティ保護された上記レジスタに、上記追加の委任アイデンティティの上記失効を示す失効標識を追加することとを含む、項目17ないし21のいずれかに記載の方法。
23.コンピュータ可読プログラム・コードが実現された不揮発性コンピュータ可読記憶媒体を含むコンピュータ・プログラム製品であって、上記コンピュータ可読プログラム・コードは、暗号化によりセキュリティ保護されたレジスタを使用するユーザ認証のための方法を実装するように構成され、暗号化によりセキュリティ保護された上記レジスタは、ユーザのルート・アイデンティティを含み、上記ルート・アイデンティティは、ルート識別子と上記ユーザを認証するために上記ルート識別子に割り当てられたクレデンシャルとを含み、暗号化によりセキュリティ保護された上記レジスタは、上記ルート・アイデンティティに割り当てられた1つまたは複数の委任アイデンティティをさらに含み、上記委任アイデンティティのそれぞれが、委任識別子を含み、認証コンテキストに割り当てられ、上記方法は、
・上記ユーザを認証することを求める認証要求を受け取ることと、
・上記ユーザの上記ルート・アイデンティティを使用して上記ユーザを認証することであって、成功裏の認証が上記ユーザの上記ルート・アイデンティティの上記ルート識別子に割り当てられた上記クレデンシャルを受け取ることを求める、上記認証することと、
・要求された上記認証の認証コンテキストを識別することと、
・上記ユーザの上記ルート・アイデンティティに割り当てられ、識別された上記認証コンテキストに割り当てられた、上記1つまたは複数の委任アイデンティティのうちの1つを、暗号化によりセキュリティ保護された上記レジスタを使用して識別することと、
・上記ルート・アイデンティティを使用した上記ユーザの成功裏の認証に応答して、上記成功裏のユーザ認証を確認するとともに識別された上記委任アイデンティティの上記委任識別子によって上記成功裏に認証されたユーザを識別する、認証トークンを発行することとを含む、コンピュータ・プログラム製品。
24.暗号化によりセキュリティ保護された上記レジスタは、不揮発性コンピュータ可読記憶媒体を使用して実現され、上記コンピュータ可読プログラム・コードは、暗号化によりセキュリティ保護された上記レジスタに含まれる、項目23に記載のコンピュータ・プログラム製品。
25.暗号化によりセキュリティ保護されたレジスタを使用するユーザ認証のためのコンピュータ・システムであって、暗号化によりセキュリティ保護された上記レジスタは、ユーザのルート・アイデンティティを含み、上記ルート・アイデンティティは、ルート識別子と上記ユーザを認証するために上記ルート識別子に割り当てられたクレデンシャルとを含み、暗号化によりセキュリティ保護された上記レジスタは、上記ルート・アイデンティティに割り当てられた1つまたは複数の委任アイデンティティをさらに含み、上記委任アイデンティティのそれぞれが、委任識別子を含み、認証コンテキストに割り当てられ、上記コンピュータ・システムは、
・上記ユーザを認証することを求める認証要求を受け取り、
・上記ユーザの上記ルート・アイデンティティを使用して上記ユーザを認証することであって、成功裏の認証が上記ユーザの上記ルート・アイデンティティの上記ルート識別子に割り当てられた上記クレデンシャルを受け取ることを求める、上記認証を行い、
・要求された上記認証の認証コンテキストを識別し、
・上記ユーザの上記ルート・アイデンティティに割り当てられ、識別された上記認証コンテキストに割り当てられた、上記1つまたは複数の委任アイデンティティのうちの1つを、暗号化によりセキュリティ保護された上記レジスタを使用して識別し、
・上記ルート・アイデンティティを使用した上記ユーザの成功裏の認証に応答して、上記成功裏のユーザ認証を確認するとともに識別された上記委任アイデンティティの上記委任識別子によって上記成功裏に認証されたユーザを識別する、認証トークンを発行するように構成された、コンピュータ・システム。
Claims (20)
- 暗号化によりセキュリティ保護されたレジスタを使用するユーザ認証のためのコンピュータ実装方法であって、
暗号化によりセキュリティ保護された前記レジスタは、ユーザのルート・アイデンティティを含み、前記ルート・アイデンティティは、ルート識別子と、前記ユーザを認証するために前記ルート識別子に割り当てられたクレデンシャルとを含み、暗号化によりセキュリティ保護された前記レジスタは、前記ルート・アイデンティティに割り当てられた1つまたは複数の委任アイデンティティをさらに含み、前記委任アイデンティティのそれぞれが、委任識別子を含み、認証コンテキストに割り当てられ、
前記方法は、コンピュータが、
アイデンティティ・プロバイダとして前記ユーザを認証することを求める認証要求を受け取ることと、
前記ユーザの前記ルート・アイデンティティを使用して前記ユーザを認証することであって、成功裏の認証が前記ユーザの前記ルート・アイデンティティの前記ルート識別子に割り当てられた前記クレデンシャルを受け取ることを求める、前記認証することと、
要求された前記認証の認証コンテキストを識別することと、
前記ユーザの前記ルート・アイデンティティに割り当てられ、識別された前記認証コンテキストに割り当てられた、前記1つまたは複数の委任アイデンティティのうちの1つを、暗号化によりセキュリティ保護された前記レジスタを使用して識別することと、
前記ルート・アイデンティティを使用した前記ユーザの成功裏の認証に応答して、前記成功裏のユーザ認証を証明するとともに識別された前記委任アイデンティティの前記委任識別子によって成功裏に認証された前記ユーザを識別する認証トークンを発行することと
を実行する、コンピュータ実装方法。 - 暗号化によりセキュリティ保護されたレジスタを使用するユーザ認証のためのコンピュータ実装方法であって、
暗号化によりセキュリティ保護された前記レジスタは、ユーザのルート・アイデンティティを含み、前記ルート・アイデンティティは、ルート識別子と、前記ユーザを認証するために前記ルート識別子に割り当てられたクレデンシャルとを含み、暗号化によりセキュリティ保護された前記レジスタは、前記ルート・アイデンティティに割り当てられた1つまたは複数の委任アイデンティティをさらに含み、前記委任アイデンティティのそれぞれが、委任識別子を含み、認証コンテキストに割り当てられ、
前記方法は、コンピュータが、
前記ユーザを認証することを求める認証要求を受け取ることと、
前記ユーザの前記ルート・アイデンティティを使用して前記ユーザを認証することであって、成功裏の認証が前記ユーザの前記ルート・アイデンティティの前記ルート識別子に割り当てられた前記クレデンシャルを受け取ることを求める、前記認証することと、
要求された前記認証の認証コンテキストを識別することと、
前記ユーザの前記ルート・アイデンティティに割り当てられ、識別された前記認証コンテキストに割り当てられた、前記1つまたは複数の委任アイデンティティのうちの1つを、暗号化によりセキュリティ保護された前記レジスタを使用して識別することと、
前記ルート・アイデンティティを使用した前記ユーザの成功裏の認証に応答して、前記成功裏のユーザ認証を確認するとともに識別された前記委任アイデンティティの前記委任識別子によって認証された前記ユーザを識別する、認証トークンを発行することと
を実行し、前記ルート・アイデンティティは、前記ルート・アイデンティティに割り当てられた複数の委任アイデンティティを含み、前記複数の委任アイデンティティは、前記複数の委任アイデンティティのうちの少なくとも第1の1つの委任アイデンティティが前記複数の委任アイデンティティのうちの少なくとも第2の1つの委任アイデンティティを介して前記ルート・アイデンティティに割り当てられた、木構造の形態で、前記ルート・アイデンティティに割り当てられる、コンピュータ実装方法。 - 前記方法は、コンピュータが、前記ユーザの前記ルート・アイデンティティを使用して、各自の前記ルート・アイデンティティに割り当てられたすべての委任アイデンティティについてシングル・サイン・オンを行う、請求項1または2に記載の方法。
- 暗号化によりセキュリティ保護された前記レジスタは、コンピュータ可読プログラム・コードを含み、認証側コンピュータ・システムのプロセッサによる前記コンピュータ可読プログラム・コードの実行が、前記ユーザ認証の実行と前記認証トークンの発行とを行うように前記プロセッサに前記認証側コンピュータ・システムを制御させる、請求項1ないし3のいずれかに記載の方法。
- 前記レジスタの暗号化によるセキュリティは、格納された前記ルート・アイデンティティおよび格納された前記1つまたは複数の委任アイデンティティの少なくとも一部のハッシュ化と、署名と、暗号化とのうちの1つまたは複数を含む、請求項1ないし4のいずれかに記載の方法。
- 暗号化によりセキュリティ保護された前記レジスタは分散レジスタであり、前記分散レジスタのコピーが複数のコンピュータ・システムに分散される、請求項1ないし5のいずれかに記載の方法。
- 前記分散レジスタの暗号化によるセキュリティは、前記ルート・アイデンティティと前記1つまたは複数の委任アイデンティティとを、前記分散レジスタの各コピーに含まれる、ブロックチェーンの複数のブロックに格納することを含む、請求項6に記載の方法。
- 暗号化によりセキュリティ保護された前記レジスタが中央データベースによって提供される、請求項1ないし5のいずれかに記載の方法。
- 前記認証に使用された前記ルート・アイデンティティまたは識別された前記委任アイデンティティが無効な場合、前記認証トークンの前記発行が拒否される、請求項1ないし8のいずれかに記載の方法。
- 前記認証要求は、認証に使用される前記ルート・アイデンティティの前記ルート識別子を含むか、または、前記ユーザの認証に使用される前記ルート・アイデンティティに割り当てられ、識別された前記認証コンテキストに割り当てられた前記委任識別子を含む、請求項1ないし9のいずれかに記載の方法。
- 前記認証要求は、暗号化によりセキュリティ保護された前記レジスタにアクセスすることができるアイデンティティ・プロバイダ・コンピュータ・システムによって受け取られ、前記アイデンティティ・プロバイダ・コンピュータ・システムは、前記ユーザの前記認証と、識別された前記委任アイデンティティの前記委任識別子によって成功裏に認証された前記ユーザを識別する前記認証トークンの前記発行とを行う、請求項1ないし10のいずれかに記載の方法。
- 前記認証要求は、サービス・プロバイダ・コンピュータ・システムから受け取られ、前記ユーザを認証するために使用される前記クレデンシャルはユーザ・コンピュータ・システムから受け取られる、請求項11に記載の方法。
- 前記1つまたは複数の委任アイデンティティは、それぞれ、前記それぞれの委任アイデンティティの有効性が満了する有効期限日を示す標識を含む、請求項1ないし12のいずれかに記載の方法。
- 前記それぞれの委任アイデンティティが、前記認証のために使用される前記ルート・アイデンティティに割り当てられており、識別された前記認証コンテキストに割り当てられていると識別された前記委任アイデンティティである場合、前記1つまたは複数の委任アイデンティティのうちの少なくとも1つが、成功裏の認証のための追加の認証要件を含む、請求項1ないし13のいずれかに記載の方法。
- コンピュータが、
第1のアイデンティティ要求者から、前記ルート・アイデンティティに割り当てられたすべての委任アイデンティティを提供することを求める要求を受け取ることと、
前記第1のアイデンティティ要求者が各自の前記ルート・アイデンティティを使用して成功裏に認証された場合、前記ルート・アイデンティティに割り当てられた前記1つまたは複数の委任アイデンティティをすべて提供することと
をさらに実行する、請求項1ないし14のいずれかに記載の方法。 - 前記ルート・アイデンティティに追加の委任アイデンティティを割り当てることをさらに含み、前記追加の委任アイデンティティは、追加の委任識別子を含み、追加の認証コンテキストに割り当てられ、前記追加の認証コンテキストは、さらなるルート・アイデンティティに依存し、前記割り当てることは、コンピュータが、
前記追加の委任アイデンティティを割り当てることを求める要求を受け取ることと、
前記追加の委任アイデンティティの前記追加の認証コンテキストを調べることと、
前記追加の認証コンテキストが前記さらなるルート・アイデンティティに依存する場合、前記追加の認証コンテキストが依存する前記さらなるルート・アイデンティティを使用して成功裏に認証されたさらなるユーザから前記追加の委任アイデンティティの承認を受け取ることに応答して、前記ルート・アイデンティティに割り当てられた前記追加の委任アイデンティティを、暗号化によりセキュリティ保護された前記レジスタに格納することとを含む、請求項1ないし15のいずれかに記載の方法。 - コンピュータ可読プログラム・コードが実現されたコンピュータ・プログラムであって、前記コンピュータ可読プログラム・コードは、暗号化によりセキュリティ保護されたレジスタを使用するユーザ認証のための方法を実装するように構成され、暗号化によりセキュリティ保護された前記レジスタは、ユーザのルート・アイデンティティを含み、前記ルート・アイデンティティは、ルート識別子と前記ユーザを認証するために前記ルート識別子に割り当てられたクレデンシャルとを含み、暗号化によりセキュリティ保護された前記レジスタは、前記ルート・アイデンティティに割り当てられた1つまたは複数の委任アイデンティティをさらに含み、前記委任アイデンティティのそれぞれが、委任識別子を含み、認証コンテキストに割り当てられ、
前記コンピュータ・プログラムは、コンピュータに、
アイデンティティ・プロバイダとして前記ユーザを認証することを求める認証要求を受け取ることと、
前記ユーザの前記ルート・アイデンティティを使用して前記ユーザを認証することであって、成功裏の認証が前記ユーザの前記ルート・アイデンティティの前記ルート識別子に割り当てられた前記クレデンシャルを受け取ることを求める、前記認証することと、
要求された前記認証の認証コンテキストを識別することと、
前記ユーザの前記ルート・アイデンティティに割り当てられ、識別された前記認証コンテキストに割り当てられた、前記1つまたは複数の委任アイデンティティのうちの1つを、暗号化によりセキュリティ保護された前記レジスタを使用して識別することと、
前記ルート・アイデンティティを使用した前記ユーザの成功裏の認証に応答して、前記成功裏のユーザ認証を証明するとともに識別された前記委任アイデンティティの前記委任識別子によって成功裏に認証された前記ユーザを識別する認証トークンを発行することと
を実行させるためのコンピュータ・プログラム。 - コンピュータ可読プログラム・コードが実現されたコンピュータ・プログラムであって、前記コンピュータ可読プログラム・コードは、暗号化によりセキュリティ保護されたレジスタを使用するユーザ認証のための方法を実装するように構成され、暗号化によりセキュリティ保護された前記レジスタは、ユーザのルート・アイデンティティを含み、前記ルート・アイデンティティは、ルート識別子と前記ユーザを認証するために前記ルート識別子に割り当てられたクレデンシャルとを含み、暗号化によりセキュリティ保護された前記レジスタは、前記ルート・アイデンティティに割り当てられた1つまたは複数の委任アイデンティティをさらに含み、前記委任アイデンティティのそれぞれが、委任識別子を含み、認証コンテキストに割り当てられ、
前記コンピュータ・プログラムは、コンピュータに、
前記ユーザを認証することを求める認証要求を受け取ることと、
前記ユーザの前記ルート・アイデンティティを使用して前記ユーザを認証することであって、成功裏の認証が前記ユーザの前記ルート・アイデンティティの前記ルート識別子に割り当てられた前記クレデンシャルを受け取ることを求める、前記認証することと、
要求された前記認証の認証コンテキストを識別することと、
前記ユーザの前記ルート・アイデンティティに割り当てられ、識別された前記認証コンテキストに割り当てられた、前記1つまたは複数の委任アイデンティティのうちの1つを、暗号化によりセキュリティ保護された前記レジスタを使用して識別することと、
前記ルート・アイデンティティを使用した前記ユーザの成功裏の認証に応答して、前記成功裏のユーザ認証を確認するとともに識別された前記委任アイデンティティの前記委任識別子によって認証された前記ユーザを識別する、認証トークンを発行することと
を実行させるためのコンピュータ・プログラムであって、前記ルート・アイデンティティは、前記ルート・アイデンティティに割り当てられた複数の委任アイデンティティを含み、前記複数の委任アイデンティティは、前記複数の委任アイデンティティのうちの少なくとも第1の1つの委任アイデンティティが前記複数の委任アイデンティティのうちの少なくとも第2の1つの委任アイデンティティを介して前記ルート・アイデンティティに割り当てられた、木構造の形態で、前記ルート・アイデンティティに割り当てられる、コンピュータ・プログラム。 - 暗号化によりセキュリティ保護されたレジスタを使用するユーザ認証のためのコンピュータ・システムであって、暗号化によりセキュリティ保護された前記レジスタは、ユーザのルート・アイデンティティを含み、前記ルート・アイデンティティは、ルート識別子と前記ユーザを認証するために前記ルート識別子に割り当てられたクレデンシャルとを含み、暗号化によりセキュリティ保護された前記レジスタは、前記ルート・アイデンティティに割り当てられた1つまたは複数の委任アイデンティティをさらに含み、前記委任アイデンティティのそれぞれが、委任識別子を含み、認証コンテキストに割り当てられ、
前記コンピュータ・システムは、
アイデンティティ・プロバイダとして前記ユーザを認証することを求める認証要求を受け取り、
前記ユーザの前記ルート・アイデンティティを使用して前記ユーザを認証することであって、成功裏の認証が前記ユーザの前記ルート・アイデンティティの前記ルート識別子に割り当てられた前記クレデンシャルを受け取ることを求める、前記認証を行い、
要求された前記認証の認証コンテキストを識別し、
前記ユーザの前記ルート・アイデンティティに割り当てられ、識別された前記認証コンテキストに割り当てられた、前記1つまたは複数の委任アイデンティティのうちの1つを、暗号化によりセキュリティ保護された前記レジスタを使用して識別し、
前記ルート・アイデンティティを使用した前記ユーザの成功裏の認証に応答して、前記成功裏のユーザ認証を証明するとともに識別された前記委任アイデンティティの前記委任識別子によって成功裏に認証された前記ユーザを識別する認証トークンを発行するように構成された、コンピュータ・システム。 - 暗号化によりセキュリティ保護されたレジスタを使用するユーザ認証のためのコンピュータ・システムであって、暗号化によりセキュリティ保護された前記レジスタは、ユーザのルート・アイデンティティを含み、前記ルート・アイデンティティは、ルート識別子と前記ユーザを認証するために前記ルート識別子に割り当てられたクレデンシャルとを含み、暗号化によりセキュリティ保護された前記レジスタは、前記ルート・アイデンティティに割り当てられた1つまたは複数の委任アイデンティティをさらに含み、前記委任アイデンティティのそれぞれが、委任識別子を含み、認証コンテキストに割り当てられ、
前記コンピュータ・システムは、
前記ユーザを認証することを求める認証要求を受け取り、
前記ユーザの前記ルート・アイデンティティを使用して前記ユーザを認証することであって、成功裏の認証が前記ユーザの前記ルート・アイデンティティの前記ルート識別子に割り当てられた前記クレデンシャルを受け取ることを求める、前記認証を行い、
要求された前記認証の認証コンテキストを識別し、
前記ユーザの前記ルート・アイデンティティに割り当てられ、識別された前記認証コンテキストに割り当てられた、前記1つまたは複数の委任アイデンティティのうちの1つを、暗号化によりセキュリティ保護された前記レジスタを使用して識別し、
前記ルート・アイデンティティを使用した前記ユーザの成功裏の認証に応答して、前記成功裏のユーザ認証を確認するとともに識別された前記委任アイデンティティの前記委任識別子によって認証された前記ユーザを識別する、認証トークンを発行するように構成され、前記ルート・アイデンティティは、前記ルート・アイデンティティに割り当てられた複数の委任アイデンティティを含み、前記複数の委任アイデンティティは、前記複数の委任アイデンティティのうちの少なくとも第1の1つの委任アイデンティティが前記複数の委任アイデンティティのうちの少なくとも第2の1つの委任アイデンティティを介して前記ルート・アイデンティティに割り当てられた、木構造の形態で、前記ルート・アイデンティティに割り当てられる、コンピュータ・システム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US15/817,424 US10628566B2 (en) | 2017-11-20 | 2017-11-20 | Authentication using delegated identities |
US15/817,424 | 2017-11-20 | ||
PCT/EP2018/081710 WO2019097046A1 (en) | 2017-11-20 | 2018-11-19 | Authentication using delegated identities |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2021503667A JP2021503667A (ja) | 2021-02-12 |
JP7196174B2 true JP7196174B2 (ja) | 2022-12-26 |
Family
ID=65033550
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020527823A Active JP7196174B2 (ja) | 2017-11-20 | 2018-11-19 | 委任アイデンティティを使用した認証方法、システム、プログラム |
Country Status (6)
Country | Link |
---|---|
US (2) | US10628566B2 (ja) |
JP (1) | JP7196174B2 (ja) |
CN (1) | CN111316267B (ja) |
DE (1) | DE112018005203T5 (ja) |
GB (1) | GB2583252B (ja) |
WO (1) | WO2019097046A1 (ja) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111989892B (zh) * | 2018-04-09 | 2023-07-18 | 三菱电机株式会社 | 认证系统及计算机可读取的记录介质 |
US10931438B2 (en) * | 2018-08-13 | 2021-02-23 | International Business Machines Corporation | Generating a representative article |
GB201813458D0 (en) * | 2018-08-17 | 2018-10-03 | Yoti Holding Ltd | Blockchain autonomous agents |
US11641363B2 (en) * | 2019-01-14 | 2023-05-02 | Qatar Foundation For Education, Science And Community Development | Methods and systems for verifying the authenticity of a remote service |
CN112398799A (zh) * | 2019-08-19 | 2021-02-23 | 北京国双科技有限公司 | 一种单点登录方法、装置及系统 |
CA3105899A1 (en) * | 2020-01-15 | 2021-07-15 | IDENTOS Inc. | Computer-implemented systems for distributed authorization and federated privacy exchange |
US11799639B2 (en) | 2021-01-05 | 2023-10-24 | Bank Of America Corporation | Systems and methods using distributed ledgers to correct for missing one time passwords in event processing |
CN113434836A (zh) * | 2021-05-31 | 2021-09-24 | 深信服科技股份有限公司 | 一种身份认证方法、装置、设备及介质 |
US11899685B1 (en) | 2021-12-10 | 2024-02-13 | Amazon Technologies, Inc. | Dividing authorization between a control plane and a data plane for sharing database data |
CN114500049B (zh) * | 2022-01-26 | 2022-11-11 | 北京邮电大学 | 物联网系统内的可移动终端设备身份认证方法和系统 |
CN114640475B (zh) * | 2022-05-19 | 2022-09-06 | 广东省绿算技术有限公司 | 去中心化的身份认证方法、装置、计算机设备及存储介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030005299A1 (en) | 2001-06-29 | 2003-01-02 | International Business Machines Corporation | User authorization management system using a meta-password and method for same |
US20070234417A1 (en) | 2002-12-31 | 2007-10-04 | International Business Machines Corporation | Method and system for native authentication protocols in a heterogeneous federated environment |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060282681A1 (en) | 2005-05-27 | 2006-12-14 | Scheidt Edward M | Cryptographic configuration control |
CN103188248A (zh) * | 2011-12-31 | 2013-07-03 | 卓望数码技术(深圳)有限公司 | 基于单点登录的身份认证系统及方法 |
US20170149560A1 (en) | 2012-02-02 | 2017-05-25 | Netspective Communications Llc | Digital blockchain authentication |
US20140365781A1 (en) * | 2013-06-07 | 2014-12-11 | Technische Universitaet Darmstadt | Receiving a Delegated Token, Issuing a Delegated Token, Authenticating a Delegated User, and Issuing a User-Specific Token for a Resource |
US20150242609A1 (en) * | 2014-02-24 | 2015-08-27 | Google Inc. | Universal Authenticator Across Web and Mobile |
US10402792B2 (en) | 2015-08-13 | 2019-09-03 | The Toronto-Dominion Bank | Systems and method for tracking enterprise events using hybrid public-private blockchain ledgers |
CA3002034A1 (en) | 2015-10-14 | 2017-04-20 | Cambridge Blockchain, LLC | Systems and methods for managing digital identities |
US20180374097A1 (en) | 2015-11-09 | 2018-12-27 | Roger Hanna | A distributed user profile identity verification system for e-commerce transaction security |
WO2017127564A1 (en) * | 2016-01-19 | 2017-07-27 | Priv8Pay, Inc. | Network node authentication |
CA3039031C (en) | 2016-10-06 | 2022-06-21 | Mastercard International Incorporated | Method and system for identity and credential protection and verification via blockchain |
-
2017
- 2017-11-20 US US15/817,424 patent/US10628566B2/en not_active Expired - Fee Related
-
2018
- 2018-11-19 WO PCT/EP2018/081710 patent/WO2019097046A1/en active Application Filing
- 2018-11-19 JP JP2020527823A patent/JP7196174B2/ja active Active
- 2018-11-19 GB GB2009236.7A patent/GB2583252B/en active Active
- 2018-11-19 CN CN201880071962.2A patent/CN111316267B/zh active Active
- 2018-11-19 DE DE112018005203.6T patent/DE112018005203T5/de not_active Ceased
-
2019
- 2019-04-23 US US16/391,597 patent/US10664577B2/en active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030005299A1 (en) | 2001-06-29 | 2003-01-02 | International Business Machines Corporation | User authorization management system using a meta-password and method for same |
US20070234417A1 (en) | 2002-12-31 | 2007-10-04 | International Business Machines Corporation | Method and system for native authentication protocols in a heterogeneous federated environment |
Also Published As
Publication number | Publication date |
---|---|
JP2021503667A (ja) | 2021-02-12 |
WO2019097046A1 (en) | 2019-05-23 |
US20190156000A1 (en) | 2019-05-23 |
GB2583252A (en) | 2020-10-21 |
GB2583252B (en) | 2022-08-24 |
US20190251235A1 (en) | 2019-08-15 |
US10628566B2 (en) | 2020-04-21 |
DE112018005203T5 (de) | 2020-06-18 |
CN111316267A (zh) | 2020-06-19 |
GB202009236D0 (en) | 2020-07-29 |
CN111316267B (zh) | 2023-09-12 |
US10664577B2 (en) | 2020-05-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7196174B2 (ja) | 委任アイデンティティを使用した認証方法、システム、プログラム | |
CA2975843C (en) | Apparatus, system, and methods for a blockchain identity translator | |
EP2689372B1 (en) | User to user delegation service in a federated identity management environment | |
US11563581B2 (en) | Shared registration system | |
Chadwick et al. | Role-based access control with X. 509 attribute certificates | |
US8898457B2 (en) | Automatically generating a certificate operation request | |
O’Malley et al. | Hadoop security design | |
US9225525B2 (en) | Identity management certificate operations | |
US10250609B2 (en) | Privileged access to target services | |
US8468359B2 (en) | Credentials for blinded intended audiences | |
US20080263644A1 (en) | Federated authorization for distributed computing | |
US11870766B2 (en) | Integration of legacy authentication with cloud-based authentication | |
Bazaz et al. | A review on single sign on enabling technologies and protocols | |
CN115191104A (zh) | 由去中心化标识符锚定的去中心化标识 | |
Chandersekaran et al. | Claims-based enterprise-wide access control | |
JP2009205223A (ja) | シングルサインオンによるグループ内サービス認可方法と、その方法を用いたグループ内サービス提供システムと、それを構成する各サーバ | |
Piger et al. | A comprehensive approach to self-restricted delegation of rights in grids | |
Lampson | Practical principles for computer security | |
Rawal et al. | Integrate Identity as a Third-Party Service | |
Kivinen | OpenID Connect Provider Certification | |
Lakhe et al. | Open Source Authentication in Hadoop | |
WO2023069062A1 (en) | Blockchain-based certificate lifecycle management | |
Lu | User-to-user delegation in a federated identity environment' | |
Simpson et al. | Claims-Based Authentication for an Enterprise that Uses Web Services |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200526 |
|
RD12 | Notification of acceptance of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7432 Effective date: 20200930 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210423 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20220209 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220315 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20220502 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20220614 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220803 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20221206 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20221214 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7196174 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
RD14 | Notification of resignation of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7434 Effective date: 20221216 |