ホーム > 特許ランキング > インテル コーポレイション
知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】5980961
(24)【登録日】2016年8月5日
(45)【発行日】2016年8月31日
(54)【発明の名称】マルチファクタ認証局
(51)【国際特許分類】
H04L 9/32 20060101AFI20160818BHJP
G06F 21/64 20130101ALI20160818BHJP
【FI】
H04L9/00 675D
G06F21/64 350
【請求項の数】24
【全頁数】19
(21)【出願番号】特願2014-559877(P2014-559877)
(86)(22)【出願日】2012年3月8日
(65)【公表番号】特表2015-510370(P2015-510370A)
(43)【公表日】2015年4月2日
(86)【国際出願番号】US2012028321
(87)【国際公開番号】WO2013133840
(87)【国際公開日】20130912
【審査請求日】2014年9月2日
【前置審査】
(73)【特許権者】
【識別番号】593096712
【氏名又は名称】インテル コーポレイション
(74)【代理人】
【識別番号】100107766
【弁理士】
【氏名又は名称】伊東 忠重
(74)【代理人】
【識別番号】100070150
【弁理士】
【氏名又は名称】伊東 忠彦
(74)【代理人】
【識別番号】100091214
【弁理士】
【氏名又は名称】大貫 進介
(72)【発明者】
【氏名】ベン−シャローム,オメール
(72)【発明者】
【氏名】ネイシュタット,アレックス
【審査官】
脇岡 剛
(56)【参考文献】
【文献】
特開2005−351994(JP,A)
【文献】
特表2011−522327(JP,A)
【文献】
特開2002−073573(JP,A)
【文献】
米国特許出願公開第2002/0026581(US,A1)
【文献】
米国特許出願公開第2011/0247055(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 9/32
G06F 21/64
(57)【特許請求の範囲】
【請求項1】
複数の命令を有するコンピュータプログラムであって、前記複数の命令は、認証局の認証局サーバに、該認証局サーバのプロセッサによる前記複数の命令の実行に応答して、
マルチファクタデジタルセキュリティ証明書を提供するように証明書要求を受信する動作であり、前記証明書要求は、複数のファクタと暗号化キーとを含み、前記複数のファクタの第1のファクタは機器の識別子であり、前記複数のファクタの第2のファクタは前記機器のユーザの識別子である、動作と、
前記証明書要求をデジタル署名し、前記暗号化キーを前記複数のファクタに関連付けて前記マルチファクタデジタルセキュリティ証明書を生成する動作であり、前記マルチファクタデジタルセキュリティ証明書における前記複数のファクタと前記暗号化キーとの共存が、前記複数のファクタを互いに、及び前記暗号化キーに結び付ける、動作と、
前記証明書要求に応答するように前記マルチファクタデジタルセキュリティ証明書を発行する動作と、
前記マルチファクタデジタルセキュリティ証明書が前記認証局により発行されたかの問い合わせに応答する動作と、
を実行させるように構成され、
前記複数のファクタは、前記マルチファクタデジタルセキュリティ証明書によって前記機器に関連付けられた別のユーザの識別子である第3のファクタをさらに含む、
コンピュータプログラム。
マルチファクタデジタルセキュリティ証明書を提供するように証明書要求を受信する動作であり、前記証明書要求は、複数のファクタと暗号化キーとを含み、前記複数のファクタの第1のファクタは機器の識別子であり、前記複数のファクタの第2のファクタは前記機器のユーザの識別子である、動作と、
前記証明書要求をデジタル署名し、前記暗号化キーを前記複数のファクタに関連付けて前記マルチファクタデジタルセキュリティ証明書を生成する動作であり、前記マルチファクタデジタルセキュリティ証明書における前記複数のファクタと前記暗号化キーとの共存が、前記複数のファクタを互いに、及び前記暗号化キーに結び付ける、動作と、
前記証明書要求に応答するように前記マルチファクタデジタルセキュリティ証明書を発行する動作と、
前記マルチファクタデジタルセキュリティ証明書が前記認証局により発行されたかの問い合わせに応答する動作と、
を実行させるように構成され、
前記複数のファクタは、前記マルチファクタデジタルセキュリティ証明書によって前記機器に関連付けられた別のユーザの識別子である第3のファクタをさらに含む、
コンピュータプログラム。
【請求項2】
前記複数のファクタは、前記マルチファクタデジタルセキュリティ証明書によって前記ユーザに関連付けられた別の機器の識別子である第4のファクタをさらに含む、請求項1に記載のコンピュータプログラム。
【請求項3】
前記ユーザの識別子はユーザ名とパスワードとを含む、請求項1又は2に記載のコンピュータプログラム。
【請求項4】
前記ユーザの識別子は電子メールアドレスである、請求項1又は2に記載のコンピュータプログラム。
【請求項5】
前記認証局サーバに前記マルチファクタデジタルセキュリティ証明書を発行する動作を実行させるように構成される前記複数の命令は、前記認証局のデジタル署名を用いて、前記証明書要求をデジタル署名して前記マルチファクタデジタルセキュリティ証明書を生成する動作であり、前記デジタル署名は前記認証局の暗号化キーに基づく、動作を前記認証局サーバに実行させるための命令をさらに含む、請求項1乃至4のうちいずれか1項に記載のコンピュータプログラム。
【請求項6】
前記認証局サーバに前記マルチファクタデジタルセキュリティ証明書を発行する動作を実行させるように構成される前記複数の命令は、前記マルチファクタデジタルセキュリティ証明書が前記機器によって保存され、使用されることを可能にするように、前記マルチファクタデジタルセキュリティ証明書を前記機器に送信する動作を前記認証局サーバに実行させるための命令をさらに含む、請求項1乃至5のうちいずれか1項に記載のコンピュータプログラム。
【請求項7】
認証局サーバが、マルチファクタデジタルセキュリティ証明書を提供するように証明書要求を受信するステップであり、前記証明書要求は、複数のファクタと暗号化キーとを含み、前記複数のファクタの第1のファクタは機器の識別子であり、前記複数のファクタの第2のファクタは前記機器のユーザの識別子である、ステップと、
前記認証局サーバが、前記証明書要求をデジタル署名し、前記暗号化キーを前記複数のファクタに関連付けて前記マルチファクタデジタルセキュリティ証明書を生成するステップであり、前記マルチファクタデジタルセキュリティ証明書における前記複数のファクタと前記暗号化キーとの共存が、前記複数のファクタを互いに、及び前記暗号化キーに結び付ける、ステップと、
前記認証局サーバが、前記証明書要求に応答するように前記マルチファクタデジタルセキュリティ証明書を発行するステップと、
前記認証局サーバが、前記マルチファクタデジタルセキュリティ証明書が前記認証局サーバにより発行されたかの問い合わせに応答するステップと、
を含み、
前記複数のファクタは、別のユーザの識別子である第3のファクタをさらに含む、
方法。
前記認証局サーバが、前記証明書要求をデジタル署名し、前記暗号化キーを前記複数のファクタに関連付けて前記マルチファクタデジタルセキュリティ証明書を生成するステップであり、前記マルチファクタデジタルセキュリティ証明書における前記複数のファクタと前記暗号化キーとの共存が、前記複数のファクタを互いに、及び前記暗号化キーに結び付ける、ステップと、
前記認証局サーバが、前記証明書要求に応答するように前記マルチファクタデジタルセキュリティ証明書を発行するステップと、
前記認証局サーバが、前記マルチファクタデジタルセキュリティ証明書が前記認証局サーバにより発行されたかの問い合わせに応答するステップと、
を含み、
前記複数のファクタは、別のユーザの識別子である第3のファクタをさらに含む、
方法。
【請求項8】
前記マルチファクタデジタルセキュリティ証明書を発行するステップは、認証局のデジタル署名を用いて前記マルチファクタデジタルセキュリティ証明書をデジタル署名するステップであり、前記デジタル署名は前記認証局の暗号化キーに基づく、ステップを含む、請求項7に記載の方法。
【請求項9】
前記機器は、ラップトップ、ネットブック、携帯電話、デスクトップコンピュータ、スマートフォン及びパーソナルデジタルアシスタントのうちの1つである、請求項8に記載の方法。
【請求項10】
装置であって、
ネットワークインタフェースと、
前記ネットワークインタフェースに通信可能に結合されたプロセッサと、
を含み、
前記プロセッサは、
マルチファクタデジタルセキュリティ証明書を提供するように証明書要求を受信することであって、前記証明書要求は、複数のファクタと暗号化キーとを含み、前記複数のファクタの第1のファクタは機器の識別子であり、前記複数のファクタの第2のファクタは前記機器のユーザの識別子であり、
前記証明書要求をデジタル署名し、前記暗号化キーを前記複数のファクタに関連付けて前記マルチファクタデジタルセキュリティ証明書を生成することであって、前記マルチファクタデジタルセキュリティ証明書における前記複数のファクタと前記暗号化キーとの共存が、前記複数のファクタを互いに、及び前記暗号化キーに結び付け、
前記証明書要求に応答するように前記マルチファクタデジタルセキュリティ証明書を発行し、
前記マルチファクタデジタルセキュリティ証明書が当該装置により発行されたかの問い合わせに応答する
ように構成され、
前記複数のファクタは、別のユーザの識別子である第3のファクタをさらに含む、
装置。
ネットワークインタフェースと、
前記ネットワークインタフェースに通信可能に結合されたプロセッサと、
を含み、
前記プロセッサは、
マルチファクタデジタルセキュリティ証明書を提供するように証明書要求を受信することであって、前記証明書要求は、複数のファクタと暗号化キーとを含み、前記複数のファクタの第1のファクタは機器の識別子であり、前記複数のファクタの第2のファクタは前記機器のユーザの識別子であり、
前記証明書要求をデジタル署名し、前記暗号化キーを前記複数のファクタに関連付けて前記マルチファクタデジタルセキュリティ証明書を生成することであって、前記マルチファクタデジタルセキュリティ証明書における前記複数のファクタと前記暗号化キーとの共存が、前記複数のファクタを互いに、及び前記暗号化キーに結び付け、
前記証明書要求に応答するように前記マルチファクタデジタルセキュリティ証明書を発行し、
前記マルチファクタデジタルセキュリティ証明書が当該装置により発行されたかの問い合わせに応答する
ように構成され、
前記複数のファクタは、別のユーザの識別子である第3のファクタをさらに含む、
装置。
【請求項11】
前記プロセッサは、前記ユーザの識別子及び前記別のユーザの識別子を前記機器に関連付けるようにさらに構成される、請求項10に記載の装置。
【請求項12】
複数の命令を有するコンピュータプログラムであって、前記複数の命令は、サーバに、該サーバのプロセッサによる前記複数の命令の実行に応答して、
マルチファクタデジタルセキュリティ証明書を受信する動作であり、前記マルチファクタデジタルセキュリティ証明書は、複数のファクタと暗号化キーと認証局の署名とを含み、前記複数のファクタの第1のファクタは機器の識別子であり、前記複数のファクタの第2のファクタは前記機器のユーザの識別子である、動作と、
前記マルチファクタデジタルセキュリティ証明書を認証する動作であり、前記マルチファクタデジタルセキュリティ証明書における前記複数のファクタと前記暗号化キーとの共存が、前記複数のファクタを互いに、及び前記暗号化キーに結び付ける、動作と、
前記暗号化キーに基づいて前記機器との接続を確立する動作と、
を実行させるように構成され、
前記認証する動作は、前記マルチファクタデジタルセキュリティ証明書が前記認証局により発行されたかを前記認証局に問い合わせる動作を含み、
前記複数のファクタは、別のユーザの識別子である第3のファクタをさらに含む、
コンピュータプログラム。
マルチファクタデジタルセキュリティ証明書を受信する動作であり、前記マルチファクタデジタルセキュリティ証明書は、複数のファクタと暗号化キーと認証局の署名とを含み、前記複数のファクタの第1のファクタは機器の識別子であり、前記複数のファクタの第2のファクタは前記機器のユーザの識別子である、動作と、
前記マルチファクタデジタルセキュリティ証明書を認証する動作であり、前記マルチファクタデジタルセキュリティ証明書における前記複数のファクタと前記暗号化キーとの共存が、前記複数のファクタを互いに、及び前記暗号化キーに結び付ける、動作と、
前記暗号化キーに基づいて前記機器との接続を確立する動作と、
を実行させるように構成され、
前記認証する動作は、前記マルチファクタデジタルセキュリティ証明書が前記認証局により発行されたかを前記認証局に問い合わせる動作を含み、
前記複数のファクタは、別のユーザの識別子である第3のファクタをさらに含む、
コンピュータプログラム。
【請求項13】
前記認証する動作は、前記認証局の識別子が前記サーバによりアクセス可能な信頼された認証局のリストに存在することを検証する動作を含む、請求項12に記載のコンピュータプログラム。
【請求項14】
前記認証する動作は、前記機器が前記暗号化キーに対応する秘密鍵を所有することを検証する動作を含み、前記暗号化キーは、公開鍵である、請求項12に記載のコンピュータプログラム。
【請求項15】
前記サーバは、コンテンツサーバに対するアクセスを制御するように構成されたゲートウェイサーバである、請求項12乃至14のうちいずれか1項に記載のコンピュータプログラム。
【請求項16】
複数の命令を有するコンピュータプログラムであって、前記複数の命令は、電子機器に、該電子機器のプロセッサによる前記複数の命令の実行に応答して、
ユーザによるマルチファクタデジタルセキュリティ証明書の使用を許可する動作であり、前記マルチファクタデジタルセキュリティ証明書は、複数のファクタと暗号化キーと認証局の署名とを含み、前記複数のファクタの第1のファクタは前記電子機器の識別子であり、前記複数のファクタの第2のファクタは前記電子機器の前記ユーザの識別子である、動作と、
前記電子機器とサーバとの間のセキュアな接続を確立するように前記マルチファクタデジタルセキュリティ証明書を前記サーバに送信する動作と、
を実行させるように構成され、
前記マルチファクタデジタルセキュリティ証明書は、該マルチファクタデジタルセキュリティ証明書が前記認証局により発行されたかを前記サーバが前記認証局に問い合わせることによって検証され、
前記複数のファクタは、別のユーザの識別子である第3のファクタをさらに含む、
コンピュータプログラム。
ユーザによるマルチファクタデジタルセキュリティ証明書の使用を許可する動作であり、前記マルチファクタデジタルセキュリティ証明書は、複数のファクタと暗号化キーと認証局の署名とを含み、前記複数のファクタの第1のファクタは前記電子機器の識別子であり、前記複数のファクタの第2のファクタは前記電子機器の前記ユーザの識別子である、動作と、
前記電子機器とサーバとの間のセキュアな接続を確立するように前記マルチファクタデジタルセキュリティ証明書を前記サーバに送信する動作と、
を実行させるように構成され、
前記マルチファクタデジタルセキュリティ証明書は、該マルチファクタデジタルセキュリティ証明書が前記認証局により発行されたかを前記サーバが前記認証局に問い合わせることによって検証され、
前記複数のファクタは、別のユーザの識別子である第3のファクタをさらに含む、
コンピュータプログラム。
【請求項17】
前記複数の命令は、前記マルチファクタデジタルセキュリティ証明書の使用が前記電子機器により許可される場合に、前記マルチファクタデジタルセキュリティ証明書を送信する動作を前記電子機器に実行させるように構成される、請求項16に記載のコンピュータプログラム。
【請求項18】
前記許可する動作は、前記複数のファクタの前記第2のファクタが前記電子機器に対するアクセス制御に合致することを検証する動作を含む、請求項16又は17に記載のコンピュータプログラム。
【請求項19】
前記電子機器は、スマートフォン、パーソナルコンピュータ、コンピューティングタブレット、パーソナルデジタルアシスタント、ネットブック、ラップトップ及びゲーム用コンソールのうちの1つである、請求項16乃至18のうちいずれか1項に記載のコンピュータプログラム。
【請求項20】
電子機器によって、ユーザによるマルチファクタデジタルセキュリティ証明書の使用を許可するステップであり、前記マルチファクタデジタルセキュリティ証明書は、複数のファクタと暗号化キーと認証局の署名とを含み、前記複数のファクタの第1のファクタは前記電子機器の識別子を含み、前記複数のファクタの第2のファクタは前記電子機器の前記ユーザの識別子を含む、ステップと、
前記電子機器によって、前記電子機器とサーバとの間のセキュアな接続の確立を可能にするように前記マルチファクタデジタルセキュリティ証明書を前記サーバに送信するステップであり、前記マルチファクタデジタルセキュリティ証明書における前記複数のファクタと前記暗号化キーとの共存が、前記複数のファクタを互いに、及び前記暗号化キーに結び付ける、ステップと、
を含み、
前記マルチファクタデジタルセキュリティ証明書は、該マルチファクタデジタルセキュリティ証明書が前記認証局により発行されたかを前記サーバが前記認証局に問い合わせることによって検証され、
前記複数のファクタは、別のユーザの識別子である第3のファクタをさらに含む、
方法。
前記電子機器によって、前記電子機器とサーバとの間のセキュアな接続の確立を可能にするように前記マルチファクタデジタルセキュリティ証明書を前記サーバに送信するステップであり、前記マルチファクタデジタルセキュリティ証明書における前記複数のファクタと前記暗号化キーとの共存が、前記複数のファクタを互いに、及び前記暗号化キーに結び付ける、ステップと、
を含み、
前記マルチファクタデジタルセキュリティ証明書は、該マルチファクタデジタルセキュリティ証明書が前記認証局により発行されたかを前記サーバが前記認証局に問い合わせることによって検証され、
前記複数のファクタは、別のユーザの識別子である第3のファクタをさらに含む、
方法。
【請求項21】
前記電子機器による前記送信するステップは、前記マルチファクタデジタルセキュリティ証明書の使用が前記電子機器により許可される場合に生じる、請求項20に記載の方法。
【請求項22】
装置であって、
ネットワークインタフェースと、
メモリと、
前記ネットワークインタフェース及び前記メモリに通信可能に結合されたプロセッサと、
を含み、
前記プロセッサは、
前記メモリにマルチファクタデジタルセキュリティ証明書を記憶することであって、前記マルチファクタデジタルセキュリティ証明書は、複数のファクタと暗号化キーとを含み、前記複数のファクタの第1のファクタは当該装置の識別子を含み、前記複数のファクタの第2のファクタは当該装置のユーザの識別子を含み、
前記ネットワークインタフェースを介して、当該装置の前記ユーザと当該装置とが情報の要求の間に一緒に使用されることを許可されていると示すように前記マルチファクタデジタルセキュリティ証明書を認証サーバに送信することであって、前記マルチファクタデジタルセキュリティ証明書における前記複数のファクタと前記暗号化キーとの共存が、前記複数のファクタを互いに、及び前記暗号化キーに結び付ける
ように構成され、
前記マルチファクタデジタルセキュリティ証明書は、該マルチファクタデジタルセキュリティ証明書が認証局により発行されたかを前記認証サーバが前記認証局に問い合わせることによって検証され、
前記複数のファクタは、別のユーザの識別子である第3のファクタをさらに含む、
装置。
ネットワークインタフェースと、
メモリと、
前記ネットワークインタフェース及び前記メモリに通信可能に結合されたプロセッサと、
を含み、
前記プロセッサは、
前記メモリにマルチファクタデジタルセキュリティ証明書を記憶することであって、前記マルチファクタデジタルセキュリティ証明書は、複数のファクタと暗号化キーとを含み、前記複数のファクタの第1のファクタは当該装置の識別子を含み、前記複数のファクタの第2のファクタは当該装置のユーザの識別子を含み、
前記ネットワークインタフェースを介して、当該装置の前記ユーザと当該装置とが情報の要求の間に一緒に使用されることを許可されていると示すように前記マルチファクタデジタルセキュリティ証明書を認証サーバに送信することであって、前記マルチファクタデジタルセキュリティ証明書における前記複数のファクタと前記暗号化キーとの共存が、前記複数のファクタを互いに、及び前記暗号化キーに結び付ける
ように構成され、
前記マルチファクタデジタルセキュリティ証明書は、該マルチファクタデジタルセキュリティ証明書が認証局により発行されたかを前記認証サーバが前記認証局に問い合わせることによって検証され、
前記複数のファクタは、別のユーザの識別子である第3のファクタをさらに含む、
装置。
【請求項23】
前記プロセッサは、当該装置が当該装置の前記ユーザによる当該装置の使用を許可された後、情報の要求の間に前記マルチファクタデジタルセキュリティ証明書を送信するように構成される、請求項22に記載の装置。
【請求項24】
請求項1乃至6又は12乃至19のうちいずれか1項に記載のコンピュータプログラムを記憶したコンピュータ読取可能記憶媒体。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、概して、通信セキュリティの技術分野に関する。より詳細には、本開示は、マルチファクタデジタルセキュリティ証明書を通じたネットワークベースのデータ処理においてセキュリティ機能を高めることに関する。
【背景技術】
【0002】
本明細書において提供される背景説明は、本開示の文脈を概して提示する目的のためのものである。本明細書に他の方法で示されていない限り、本セクションに説明される内容は、本出願の特許請求の範囲に対する先行技術ではなく、本セクションに含まれることによって先行技術であると認められるものではない。
【0003】
電子機器の数が増加し続けるにつれ、電子機器間で送信されるデータのセキュリティが絶えず懸念されている。結果として、2つのファクタの認証が、例えば、電子商取引アプリケーションとリモートアクセスアプリケーションとにおいて、しばしば所望される。既存のアプローチでは、2つのファクタの認証は、通常、別個に実行される。
【0004】
例えば、デジタル証明書は、最初、認証の第1のファクタに対して使用されることがある。認証局が、電子機器に対してデジタル証明書を発行して、電子機器と暗号化キー又はコードとの関連付けを認めることができる。この電子機器からのデータの受信者は、デジタル証明書を使用して、データを送信した機器のアイデンティティを検証し、データが送信の間に変更されていないことを検証することができる。その後、認証の第2のファクタが、例えば、データベースに問い合わせてユーザのアイデンティティ又は他の関連する属性を検証することによって、別個に実行されることがある。
【発明の概要】
【発明が解決しようとする課題】
【0005】
これは、特別な実施可能化(enablement)なしに、現在のアプローチの下で、任意の妥当な機器と任意の妥当なユーザとが電子商取引又はリモートアクセスアプリケーションにおいてペアとして受け入れられることになることを意味する。上記を回避するために、この2つのファクタ間の結び付きが確認されることがある。しかしながら、第1のファクタと第2のファクタとの間の結び付きを確認するアプリケーションは、通常、別の検証を通過する必要があり、この別の検証は、各接続において行われる必要がある。このアプローチはさらに、ユーザと機器との関係のデータベースを必要とし、このことは、ソリューションに対して複雑さを加え、性能及びコストに影響する。2つのファクタ間の結び付きを確認しないというリスクは、攻撃者が任意の盗んだユーザアイデンティティを用いて任意の盗んだ機器を使用することを可能にするおそれがある。
【0006】
この2段階のアプローチは複雑であり、かつコストがかかり、2つのファクタの認証に基づいて結び付けられた証明書は、セキュリティの恩恵が増すにもかかわらず、この産業において今日ほとんど使用されていない。
【課題を解決するための手段】
【0007】
1つの実施形態に従い、コンピュータ読取可能媒体が複数命令を有することができ、この複数命令は、認証局の認証局サーバが、認証局サーバのプロセッサによる命令の実行に応答して、証明書要求を受信し、応答において、マルチファクタデジタルセキュリティ証明書を提供することを可能にするように構成される。供給することには、認証局サーバが証明書要求をデジタル署名することを含み、この証明書要求には、識別された複数のアイデンティティと暗号化キーとを有することができる。複数ファクタの第1のファクタは、機器の識別子とすることができ、複数ファクタの第2のファクタは、機器のユーザの識別子とすることができる。暗号化キーは、複数ファクタに関連付けられることができる。デジタルセキュリティ証明書における複数ファクタと暗号化キーとの共存が、複数ファクタを暗号化キーに結び付ける。
【図面の簡単な説明】
【0008】
本発明の実施形態が、限定としてではなく例として、添付図面の図に示されている。図面において、同様の参照番号が同様の要素を示す。【図1】本開示の種々の実施形態の実施に使用することに適したコンピューティングネットワークのブロック図である。
【図2】本開示の種々の実施形態の実施に使用することに適した証明書の部分を示す図である。
【図4】本開示の種々の実施形態に従う、マルチファクタ認証処理を示すスイムレーン図である。
【図5】本開示の種々の実施形態の実施に使用することに適したコンピューティング機器のブロック図である。
【発明を実施するための形態】
【0009】
本開示の実施形態は、認証局がマルチファクタ証明書を作成することに関し得る。実施形態において、マルチファクタ証明書の要求を、認証局サーバが受信することができる。認証局サーバは、認証局に関連付けられることができ、マルチファクタデジタル証明書を作成し、発行し、あるいは許可するように構成されることができる。証明書の1つのファクタは、証明書が関連付けられ得る機器のアイデンティティとすることができる。証明書の別のファクタは、証明書が関連付けられ得る機器のユーザとすることができる。マルチファクタ証明書を発行することによって、認証局は、マルチファクタ証明書の認証においてではなく供給時において、複数のファクタを一緒に結び付けることができる。以下でより詳細に説明されるとおり、機器によるマルチファクタ証明書の可用性と使用とは、有利なことに、情報に対する許可されていないアクセスの可能性を低減することができる。
【0010】
1つの実施形態に従い、コンピュータ読取可能媒体が複数命令を有することができ、この複数命令は、認証局の認証局サーバが、認証局サーバのプロセッサによる命令の実行に応答して、証明書要求を受信し、応答において、マルチファクタデジタルセキュリティ証明書を提供することを可能にするように構成される。供給することには、認証局サーバが証明書要求をデジタル署名することを含み、この証明書要求には、識別された複数のアイデンティティと暗号化キーとを有することができる。複数ファクタの第1のファクタは、機器の識別子とすることができ、複数ファクタの第2のファクタは、機器のユーザの識別子とすることができる。暗号化キーは、複数ファクタに関連付けられることができる。デジタルセキュリティ証明書における複数ファクタと暗号化キーとの共存が、複数ファクタを暗号化キーに結び付ける。
【0011】
例示的な実施形態の種々の態様が、当業者の作業の内容を他の当業者に伝えるために当業者に一般に採用される用語を用いて説明される。しかしながら、説明される態様の部分を用いて何らかの代替的な実施形態が実施され得ることが、当業者には明らかとなろう。例示的な実施形態の完全な理解を提供するために、説明の目的で、特定の数字、材料及び構成が説明される。しかしながら、この代替的な実施形態は特定の詳細なしに実施され得ることが、当業者には明らかとなろう。他の例として、例示的な実施形態を分かりにくくしないように、周知の機能が省略され、あるいは簡素化されている。
【0012】
さらに、種々のオペレーションが、例示的な実施形態を理解するのに最も役立つように、順に、複数の個別のオペレーションとして説明される。しかしながら、説明の順序は、これらのオペレーションが必ず順序依存であることを示すものと見なされるべきではない。具体的には、これらのオペレーションは、提示の順序で実行される必要はない。
【0013】
「1つの実施形態において」というフレーズが、繰り返し使用される。このフレーズは、通常、同一の実施形態を指すものではない。しかしながら、そうであってもよい。「含む」「有する」「含んでいる」といった用語は、文脈がその他の方法で指示しない限り、同義である。「A/B」というフレーズは、「A又はB」を意味する。「A及び/又はB」というフレーズは、「(A)、(B)又は(A及びB)」を意味する。「A、B及びCのうち少なくとも1つ」というフレーズは、「(A)、(B)、(C)、(A及びB)、(A及びC)、(B及びC)又は(A、B及びC)」を意味する。「(A)B」というフレーズは、「(B)又は(A B)」を意味し、すなわち、Aは任意的である。
【0014】
図1は、本開示の実施形態の実施に適したコンピューティングネットワーク100を示す。以下でより詳細に説明されるとおり、コンピューティングネットワーク100は、マルチファクタデジタル証明書を作成及び使用して単一の手順においてマルチファクタ認証を可能にするように構成されることができる。マルチファクタ認証は、コンピューティングネットワーク100の中の情報セキュリティを高めることができる。図示されるとおり、コンピューティングネットワーク100には、ネットワーキングファブリック104を介して互いに結合された、クライアント機器102とサーバ106とを含むことができる。
【0015】
クライアント機器102は、ユーザとインタフェースをとるように構成された電子機器とすることができる。クライアント機器102は、パーソナルコンピュータ、ラップトップ、コンピューティングタブレット、セルフォン、スマートフォン、パーソナルデジタルアシスタント、ゲーム用コンソール、テレビジョン、乗り物のコンピューティングシステム、又は同様のものとすることができる。ユーザは、クライアント機器102と対話してサーバ106からの情報を要求することができる。例えば、クライアント機器102は、スマートフォンとすることができ、サーバ106は、ユーザが購入を行うことができる電子商取引ウェブサイトをホストすることができる。
【0016】
クライアント機器102は、クライアント機器102に由来するトランザクションがマルチファクタ認証を用いて行われることをサーバ106が求めることを可能にすることによって、クライアント機器102とサーバ106との間のトランザクションのセキュリティを高めるように構成されることができる。したがって、実施形態において、クライアント機器102には、マルチファクタデジタルセキュリティ証明書108を含むことができる。マルチファクタ証明書108は、クライアント機器102のアイデンティティなどの第1のファクタとユーザのアイデンティティなどの第2のファクタとを結び付け、あるいは関連付けるデジタルファイルとすることができる。マルチファクタ証明書108はさらに、第1のファクタ及び第2のファクタと暗号化暗号キー又はコードとを関連付けることができる。実施形態において、マルチファクタ証明書108は、公開鍵基盤(PKI)に基づくことができ、認証局110によって発行されることができる。マルチファクタデジタル証明書の発行周りの詳細は、後に図3を参照してさらに説明される。
【0017】
実施形態において、クライアント機器102は、サーバ106からの情報又はサービスのための要求を送信しながら、マルチファクタ証明書108をサーバ106に送信することができる。追加的に、クライアント機器102は、マルチファクタ証明書108に関連付けられた暗号化キー及び/又はコードを用いて、この要求の全部又は一部を暗号化することができる。クライアント機器102はさらに、固有の機器ベースの許可が検証されるまで、マルチファクタ証明書108の使用又は送信を禁止するように構成されることができる。例えば、マルチファクタ証明書108が、userX_at_addressYとして識別される第2の(ユーザアイデンティティ)ファクタを、deviceP_at_addressQとして識別されるクライアント機器102に結び付ける場合、クライアント機器102は、クライアント機器102がユーザ名userX_at_addressYとユーザ名に関連付けられたアクセス制御(例えば、パスワード)とに関連付けられるまで、マルチファクタ証明書108の使用又は送信を禁止することができる。この証明書制御方法を通じて、許可されていないマルチファクタ証明書108の使用が、クライアント機器102へのアクセスと第2のファクタによって識別されるユーザに関連付けられたユーザ名及びアクセス制御とを得ることができる泥棒又は攻撃者に限定されることができる。
【0018】
ネットワーキングファブリック104は、クライアント機器102をサーバ106に通信可能に結合することができる。ネットワーキングファブリック104には、クライアント機器102とサーバ106との間の通信を可能にする様々なソフトウェア、ファームウェア及びハードウェアを含むことができる。例えば、ネットワーキングファブリック104には、ネットワークスイッチ、電気ケーブル、光ファイバケーブル、無線送信機及び受信器、インターネットサービスプロバイダサーバ、ドメインネームサービスサーバ及び同様のものを含むことができる。
【0019】
サーバ106は、クライアント機器102から受ける要求、アクセス、トランザクションに対してマルチファクタ認証を求めるように構成されることができる。上記で論じられたとおり、サーバ106は、クライアント機器102との接続を確立してクライアント機器にサーバ106上に記憶された情報に対するリモートアクセスを提供し、あるいはサーバ106を用いたトランザクションに従事するように構成されることができる。実施形態において、サーバ106は、クライアント機器102に電子商取引サービスを提供するように構成されることができる。例えば、サーバ106は、eBay(登録商標)又はAmazon(登録商標)などのインターネットストアをホストすることができる。別法として、サーバ106は、クライアント機器102との接続を確立してクライアント機器にサーバ上の情報へのリモートアクセスを提供し、あるいはサーバを用いたトランザクションに従事するように構成されることができ、このアクセスは、サーバ106によって規制され、あるいはゲート制御される(gated)。例えば、これらの実施形態について、サーバ106は、カリフォルニア州のCISCO(登録商標)システムズ及びJuniper(登録商標)ネットワークス又はワシントン州のF5ネットワークスが提供するアクセスサーバとすることができる。
【0020】
サーバ106には、マルチファクタ証明書認証ロジック112を含むことができる。マルチファクタ証明書認証ロジック112は、サーバ106がクライアント機器102から受信し得る情報及び/又は要求の信頼性を検証することを可能にすることができる。例えば、マルチファクタ証明書認証ロジック112は、サーバ106に、クライアント機器102からの情報及び/又は要求をマルチファクタ証明書108を用いて認証させることができる。追加的に、マルチファクタ証明書認証ロジック112は、サーバ106が認証局110に問い合わせることによってマルチファクタ証明書108の正当性を検証することを、可能にすることができる。実施形態において、認証局110は、クライアント機器とユーザとのアイデンティティを結び付ける、事前に発行されたマルチファクタ証明書108を有することができる。別法として、マルチファクタ証明書認証ロジック112は、サーバ106が登録局サーバ114に問い合わせることによってマルチファクタ証明書108の正当性を検証することを、可能にすることができる。認証局サーバ110と登録局サーバ114とのうち1又は複数が、マルチファクタ証明書108に含まれる情報の検証に失敗した場合、マルチファクタ証明書認証局ロジック112は、サーバ106がクライアント機器102に由来する情報の要求を拒否することを、可能にすることができる。
【0021】
図2は、本開示の種々の実施形態の実施に使用することに適した証明書を示すダイアログボックス200を示す。実施形態において、ダイアログボックス200には、マルチファクタ証明書108に関連する情報を含むことができる。具体的に、ダイアログボックス200は、「サブジェクトの別名(Subject Alternative Name)」というフィールド名に「他の名前(Other Name)」という値を割り当てることによって複数ファクタがマルチファクタ証明書108に割り当てられ、記述され、あるいは指定されることができることを、示し得る。具体的に、「他の名前」という値は、機器識別子、機器名又はドメインネームサービス(DNS)名を有する第1のファクタを割り当てられることができる。「他の名前」という値は、ユーザ名、ユーザの識別子、プリンシパル名(principal name)又は電子メールアドレスを有する第2のファクタを割り当てられることができる。1つの実施形態に従い、機器名はdeviceP_at_addressQとすることができ、ユーザ名はuserX_at_addressYとすることができる。
【0022】
他の実施形態に従い、マルチファクタ証明書108は3つ以上のファクタを含むことができ、この3つ以上のファクタは、証明書の中に少なくともこれらが共存することによって明示的に結び付けられる。例えば、マルチファクタ証明書108には、同一の暗号化暗号キー又はコード、例えば秘密/公開鍵ペアを共有する機器の数を含むことができる。別の例として、マルチファクタ証明書108には、単一の機器に関連付けられているユーザ名の数を含むことができる。さらに別の例として、マルチファクタ証明書108は、特定のドメイン名を有する任意の電子メールアドレスに対して有効であるように作成されることができる。
【0023】
マルチファクタ証明書108はさらに、ユーザの識別子又は機器の識別子以外の、ファクタを含むことができる。例えば、マルチファクタ証明書108のファクタは、マルチファクタ証明書108が、1日のうち限られた時間の間、例えば午前9時から午後5時まで有効であるものとすることができる。別の例として、マルチファクタ証明書108のファクタは、マルチファクタ証明書108が、限られた地理的位置、例えば、フランスのパリ又は米国カリフォルニア州のサンタクララからもともと送信された場合に有効であるものとすることができる。したがって、マルチファクタ証明書108は、電子データ又は情報のセキュアな送信及び受信の間中を考慮して、いくつかのファクタ、特徴又は基準を一緒に関連付けることができる。
【0025】
302において、コンピューティング機器308は、ユーザのクレデンシャル、クライアント機器のクレデンシャル、及び公開鍵を受信することができる。コンピューティング機器308は、ユーザのクレデンシャル、クライアントのクレデンシャル、及び公開鍵を、マルチファクタ証明書要求304に入れることができる。コンピューティング機器308は、例えば、これまでに説明されたクライアント機器102とすることができる。上記で論じられたとおり、ユーザクレデンシャルは、ユーザの識別子、クライアント機器102へのログインのためのユーザ名、又は/及びユーザの電子メールアドレスとすることができる。クライアント機器102のクレデンシャルは、クライアント機器102に割り当てられた任意の名前又はアドレスとすることができ、ネットワーク又はインターネット接続を通じてアクセス可能であり得るなどする。公開鍵は、PKIの秘密/公開鍵ペアの公開鍵とすることができる。別法として、公開鍵は、クライアント機器102によって暗号化された情報の解読を可能にすることに有用な別の暗号化キー又はコードとすることができる。公開鍵は、クライアント機器102によってデータ要求又は送信の間に証明書と共に広められることができる。
【0026】
306において、コンピューティング機器308は、承認及び発行のため、マルチファクタ証明書要求304を認証局サーバ110に提出することができる。
【0027】
310において、認証局サーバ110は、マルチファクタ証明書要求304を受信することができる。認証局サーバ110は、電子メールサーバ及び/又は公開HTTPSサーバに対してデジタル証明書を発行する商業的な認証局に属し得る。認証局サーバ110は、私的な認証局というビジネスの範囲内での使用のため、私的な認証局、例えば半導体チップ製造業などに属し得る。認証局サーバ110は、ユーザクレデンシャルと機器クレデンシャルとを検証することができる。
【0028】
312において、アクティブディレクトリサーバ314が、認証局サーバ110から要求を受信して証明書要求304のユーザクレデンシャルと機器クレデンシャルとを検証することができる。アクティブディレクトリサーバ314は、ユーザクレデンシャル及び/又は機器クレデンシャルにおいて識別され得る1又は複数のドメイン名に電子メールを送信することによってクレデンシャルを検証することができる。
【0029】
316において、認証局サーバ110は、クライアント機器102にマルチファクタ証明書108を発行することができる。認証局サーバ110は、マルチファクタ証明書108に対してシリアル番号を割り当て、記録することによって、マルチファクタ証明書108を発行することができる。認証局サーバ110はさらに、マルチファクタ証明書108に発行認証局の署名を追加することができ、この認証局が証明書要求304の申込者のクレデンシャルを検証したことを公に示すことができる。
【0030】
マルチファクタ証明書108を受信すると、クライアント機器102は、マルチファクタ証明書108を不揮発性メモリに記憶することができる。この不揮発性メモリは、保護されることができる。1つの実施形態に従い、クライアント機器102は、任意の1つの機器又は機器がクライアント機器102からマルチファクタ証明書108をコピーすることを阻止するような方法で、マルチファクタ証明書108を記憶することができる。
【0031】
図4は、複数アイデンティティを含む複数ファクタを用いてマルチファクタ証明書を認証する検証シーケンス400を示す。
【0032】
402において、クライアント機器102は、サーバ106と通信を開始することができる。1つの実施形態に従い、クライアント機器102は、セキュアソケットレイヤ(SSL)ハンドシェイクを送信することによってサーバ106と通信を開始することができる。別の実施形態に従い、クライアント機器102は、パケットデータプロトコル(PDP)を用いてサーバ106と通信することができる。
【0033】
404において、サーバ106は、クライアント機器102にサーバアイデンティティ証明書を提供することができる。1つの実施形態に従い、サーバ106はゲートウェイ(GW)サーバとすることができる。
【0034】
406において、クライアント機器102は、サーバ106にマルチファクタクライアントアイデンティティ証明書を提供することができる。マルチファクタクライアントアイデンティティ証明書には、複数アイデンティティを含む複数ファクタを含むことができる。実施形態において、クライアント機器102により提供されるマルチファクタクライアントアイデンティティ証明書は、マルチファクタ証明書108とすることができる。実施形態において、クライアント機器102がサーバ106にマルチファクタ証明書を提供するとき、クライアント機器102はさらに、ユーザのアイデンティティと機器のアイデンティティとを提供することができ、これらアイデンティティは双方ともPKI公開鍵などの暗号化キーに関連付けられる。さらに、クライアント機器102は、404においてサーバ106により提供された証明書を用いて、マルチファクタ証明書及び/又は追加的な情報を暗号化することができる。
【0035】
408において、サーバ106は、クライアント機器102から受信したマルチファクタ証明書を検証することができる。例えば、サーバ106は、マルチファクタ証明書を発行した認証局に問い合わせて、マルチファクタ証明書のシリアル番号がその認証局によって発行されたものであることを検証することができる。別の例として、サーバ106は、暗号コード、解読コード、ハッシュ関数及び同様のものを使用して、クライアント機器102から受信したメッセージの他の内容を検証することができる。
【0036】
有利なことに、サーバ106は、マルチファクタ証明書に含まれる認証局のデジタル署名に依存して、クライアント機器102に関連付けられた複数ファクタ又は複数アイデンティティが認証局によって証明され、あるいは認められていると信頼することができる。サーバ106はさらに、認証局のデジタル署名に依存して、複数ファクタ又は複数アイデンティティがクライアント機器102から送信された暗号化キー又はコードに関連付けられることを許可されていると信頼することができる。例えば、サーバ106は、2つのファクタの認証としてのマルチファクタ証明書において、特定のユーザ名とクライアント機器102との結び付けに依存することができる。上記で論じられたとおり、いくつかの電子商取引及びリモートアクセスアプリケーションは、2つのファクタの認証を求めるが、認証プロセスの間に追加的なデータベースクエリに依存してユーザ名と他のユーザアイデンティティとが特定の機器アイデンティティと一緒に使用され得ることを検証する。本開示の1つの実施形態に従い、2つのファクタ又はマルチファクタの認証が、さらなる機器に対して問い合わせること無しに、機器を認証することによって達成されることができる。このプロセスは、外部のデータベースと対照してユーザと機器との結び付きを明示的に確認する必要はない。というのは、証明書が、ユーザに割り当てられており、かつユーザにより証明書を使用され得る承認された機器のアイデンティティを含むという単純な事実によって、この結び付きは暗黙的に有効であるからである。1つの実施形態に従い、クライアント機器102にログインしたユーザのアイデンティティがマルチファクタ証明書の少なくともファクタに合致するまで、クライアント機器102は証明書の使用を禁止することができる。
【0037】
場合により、410において、サーバ106は、許可機器412に問い合わせてクライアント機器102を許可することができる。1つの実施形態に従い、サーバ106は、ライトウェイトディレクトリアクセスプロトコル(LDAP)クエリを実行してクライアント機器102を許可する。許可機器412は、認証局サーバ、登録局サーバ、又はデジタル証明書の中に識別される機器のアイデンティティを検証するように構成された他のコンピューティング機器とすることができる。
【0038】
414において、許可機器412は、サーバ106からの付加的な問い合わせに、クライアント機器102に関する追加情報と共に返答することができる。許可機器412は、ルックアップテーブル、データベース、又はデータを体系化して記憶するように構成された他の電子的構造を通じて、クライアント機器102のアイデンティティを使用することができる。1つの実施形態に従い、許可機器412は、クライアント機器102によって使用されているマルチファクタ証明書を発行した認証局サーバ110とすることができる。
【0039】
場合により、416において、サーバ106は、許可機器412に問い合わせてユーザのアイデンティティを検証することができる。1つの実施形態に従い、サーバ106は、許可機器412のLDAPクエリを実行してユーザのアクセス権を検証することができる。
【0040】
418において、許可機器412は、サーバ106からの付加的な問い合わせに、ユーザに関する追加情報と共に返答することができる。
【0041】
420において、サーバ106は、クライアント機器に、マルチファクタ証明書が検証されている及び/又は認証されていることを示すハンドシェイクと共に応答することができる。1つの実施形態に従い、サーバ106は、クライアント機器102に応答してSSLハンドシェイクを進めることができる。
【0042】
結果として、検証シーケンス400は、マルチファクタ証明書が、クライアント機器によりなされた問い合わせが許可されたサーバに、より大きなレベルの信頼を与えることを示す。1つの実施形態に従い、許可プロセスの一部としてマルチファクタデジタル証明書を使用する開示された方法は、複数のファクタ間の関係の正確さの外部的な確認を回避することができる。
【0043】
図5は、本開示の種々の実施形態に従う、クライアント機器102、サーバ106、認証局サーバ110及び/又は登録局サーバ114として使用することに適した一例示的なコンピューティング機器を示す。図示されるとおり、コンピューティング機器500には、複数のプロセッサ又はプロセッサコア502と、プロセッサ読取可能及びプロセッサ実行可能命令506を内部に記憶したシステムメモリ504と、通信インタフェース508とを含むことができる。特許請求の範囲を含め、本出願を目的として、「プロセッサ」及び「プロセッサコア」という用語は、文脈が明らかにその他の方法を求めていない限り、同義と見なされ得る。
【0044】
大容量記憶装置510には、有形の非一時的なコンピュータ読取可能記憶装置(ディスケット、ハードドライブ、コンパクトディスク読取専用メモリ(CDROM)、ハードウェア記憶ユニットなど)を含むことができる。大容量記憶装置510は、図3及び図4に示された処理又は処理の部分をプロセッサコア502に実行させる命令516を含むことができる。コンピューティング機器500はさらに、入力/出力機器512(キーボード、ディスプレイ画面、カーソル制御など)を含むことができる。
【0045】
図5の種々の要素が、1又は複数のバスを表すシステムバス514を介して互いに結合されることができる。複数バスの場合、これらは1又は複数のバスブリッジ(図示せず)によってブリッジされることができる。データが、プロセッサ504によってシステムバス514を通過することができる。
【0046】
システムメモリ504を採用して、1又は複数のオペレーティングシステム、ファームウェアモジュール又はドライバ、アプリケーションなどを実施する、本明細書において集合的に506で表されるプログラミング命令の、作業用コピーと永続的コピーとを記憶することができる。具体的に、モジュール又はドライバのいくつかが、図3及び図4のプロセス(又はその部分)を実施するように構成されることができる。プログラミング命令の永続的コピーは、例えばコンパクトディスク(CD)などの配布媒体(図示せず)を通じて、又は通信インタフェース508を通じて(配布サーバ(図示せず)から)、工場内又は作業場内で永続的記憶装置に配置されることができる。1つの実施形態では、命令506とプログラミング命令516とが、重複する命令セットを含む。
【0047】
種々の実施形態において、コンピューティング機器500の描かれたコンポーネント及び/又は(1若しくは複数の)他の要素のうち1又は複数には、キーボード、LCD画面、不揮発性メモリポート、複数アンテナ、グラフィックスプロセッサ、アプリケーションプロセッサ、スピーカ、又はカメラを含む他の関連するモバイル機器要素を含むことができる。
【0048】
1つの実施形態に従い、コンピューティング機器500のコンポーネントは、能力を調整され、認証局サーバ110として使用するように構成されることができる。これまでに説明されたとおり、認証局サーバ110は、図3と関連して説明されたプロセスに従ってマルチファクタデジタルセキュリティ証明書を発行するように構成されることができる。別の実施形態に従い、コンピューティング機器500のコンポーネントは、能力を調整され、クライアント機器102として使用するように構成されることができる。これまでに説明されたとおり、クライアント機器102は、図1、図2、図3及び/又は図4の実施形態に従ってマルチファクタデジタルセキュリティ証明書を記憶し、使用するように構成されることができる。別の実施形態に従い、コンピューティング機器500のコンポーネントは、サーバ106として使用するように構成されることができる。これまでに説明されたとおり、サーバ106は、マルチファクタデジタルセキュリティ証明書を受信し、認証又は検証するように構成されることができる。
【0049】
コンピューティング機器500の種々の要素の残りの構成は知られているものであり、したがって、さらにより詳細には説明されない。
【0050】
上記で論じられた実施形態の各々は、上記で論じられた各々の他の実施形態の全部又は一部と完全に又は部分的に組み合わせられてさらなる実施形態を作り出すことができる。
【0051】
本開示の実施形態のさらなる例が、以下に論じられる。
【0052】
1つの実施形態に従うコンピュータ読取可能媒体が、複数の命令を有することができ、この複数の命令は、認証局の認証局サーバが、プロセッサによる命令の実行に応答して、証明書要求を受信し、応答においてマルチファクタデジタルセキュリティ証明書を提供することを可能にするように構成される。マルチファクタデジタルセキュリティ証明書の供給には、複数のファクタと暗号化キーとを有する証明書要求をデジタル署名することを含むことができる。複数のファクタの第1のファクタは機器の識別子とすることができ、複数のファクタの第2のファクタは機器のユーザの識別子とすることができる。複数の命令はさらに、認証局サーバが暗号化キーを複数のファクタに関連付け、証明書要求に基づいてデジタルセキュリティ証明書を発行することを、可能にすることができる。複数のファクタのうち少なくとも2つは、デジタルセキュリティ証明書によって機器に関連付けられるものである複数ユーザの識別子とすることができる。複数のファクタのうち少なくとも2つは、複数機器の識別子とすることができ、複数機器の各一方が複数機器の各他方とは異なってよい。ユーザの識別子には、ユーザ名とパスワードとを含むことができる。ユーザ識別子は、電子メールアドレスとすることができる。複数の命令にはさらに、認証局サーバが認証局のデジタル署名を用いてデジタルセキュリティ証明書をデジタル署名することを可能にする命令を含むことができる。デジタル署名は、認証局の暗号化キーに基づくことができる。認証局サーバがデジタルセキュリティ証明書を発行することを可能にするように構成され得る複数の命令にはさらに、証明書が機器により保存されることを可能にするように、認証局サーバが証明書を送信することを可能にする命令を、含むことができる。
【0053】
別の実施形態に従う方法が、認証局サーバが証明書要求を受信するステップと、応答においてマルチファクタデジタルセキュリティ証明書を提供するステップとを含むことができる。マルチファクタデジタルセキュリティ証明書の供給には、複数のファクタと暗号化キーとを有する証明書要求をデジタル署名するステップを含むことができる。複数のファクタの第1のファクタは機器の識別子とすることができ、複数のファクタの第2のファクタは機器のユーザの識別子とすることができる。本方法はさらに、認証局サーバが暗号化キーを複数のファクタに関連付けるステップと、認証局サーバが証明書要求に基づいてデジタルセキュリティ証明書を発行するステップとを含むことができる。デジタルセキュリティ証明書を発行するステップには、認証局のデジタル署名を用いてデジタルセキュリティ証明書をデジタル署名するステップであり、このデジタル署名は認証局の暗号化キーに基づく、ステップを含むことができる。機器は、ラップトップ、ネットブック、コンピューティングタブレット、携帯電話及びパーソナルデジタルアシスタントのうちの1つとすることができる。複数のファクタには、少なくとも2つのユーザの識別子を含むことができ、複数ユーザの各一方は複数ユーザの各他方とは異なってよい。
【0054】
別の実施形態に従う装置が、ネットワークインタフェースと、ネットワークインタフェースに通信可能に結合され得るプロセッサとを含むことができる。プロセッサは、証明書要求を受信し、応答においてマルチファクタデジタルセキュリティ証明書を提供するように構成されることができる。マルチファクタデジタルセキュリティ証明書の供給には、複数のファクタと暗号化キーとを有する証明書要求をデジタル署名することを含むことができる。複数のファクタの第1のファクタは機器の識別子とすることができ、複数のファクタの第2のファクタは機器のユーザの識別子とすることができる。プロセッサはさらに、暗号化キーを複数のファクタに関連付け、証明書要求に基づいてデジタルセキュリティ証明書を発行するように構成されることができる。複数のファクタには少なくとも2つのユーザの識別子を含むことができ、プロセッサはこの少なくとも2つのユーザの識別子を機器に関連付けるようにさらに構成されることができる。
【0055】
別の実施形態に従うコンピュータ読取可能媒体が、複数の命令を含むことができ、この複数の命令は、認証局の認証局サーバが、認証局サーバのプロセッサによる命令の実行に応答して、マルチファクタデジタルセキュリティ証明書を提供するように証明書要求を受信することを可能にするように構成される。証明書要求には、複数のファクタと暗号化キーとを含むことができ、複数のファクタのうち第1のファクタは機器の識別子とすることができる。ファクタのうち第2のファクタは機器のユーザの識別子とすることができる。命令は、認証局の認証局サーバが証明書要求をデジタル署名し、暗号化キーをファクタに関連付けてデジタルセキュリティ証明書を生成することを可能にするように構成されることができる。デジタルセキュリティ証明書におけるファクタと暗号化キーとの共存が、暗黙的に、ファクタを互いに結び付け、ファクタと暗号化キーとを結び付けることができる。認証局は、証明書要求に応答するようにデジタルセキュリティ証明書を発行することができる。ファクタにはさらに、デジタルセキュリティ証明書によって機器に関連付けられることになる別のユーザの識別子である第3のファクタを含むことができる。ファクタにはさらに、デジタルセキュリティ証明書によってユーザに関連付けられることになる別の機器の識別子であり得る第3のファクタを含むことができる。ユーザの識別子には、ユーザ名とパスワードとを含むことができる。ユーザ識別子は、電子メールアドレスとすることができる。命令は、認証局サーバがデジタルセキュリティ証明書を発行することを可能にするように構成され、命令には、認証局のデジタル署名を用いて、認証局サーバが証明書要求をデジタル署名してデジタルセキュリティ証明書を生成することを可能にする命令をさらに含むことができる。デジタル署名は、認証局の暗号化キーに基づくことができる。命令は、認証局サーバがデジタルセキュリティ証明書を発行することを可能にするように構成されることができ、命令には、デジタルセキュリティ証明書が機器によって保存及び使用されることを可能にするように、認証局サーバがデジタルセキュリティ証明書を機器に送信することを可能にする命令をさらに含むことができる。
【0056】
別の実施形態に従う方法が、認証局サーバがマルチファクタデジタルセキュリティ証明書を提供するように証明書要求を受信するステップを含むことができる。証明書要求には、複数のファクタと暗号化キーとを含むことができる。ファクタのうち第1のファクタは機器の識別子とすることができ、ファクタのうち第2のファクタは機器のユーザの識別子とすることができる。本方法には、認証局サーバが証明書要求をデジタル署名するステップと、暗号化キーをファクタに関連付けてデジタルセキュリティ証明書を生成するステップとを含むことができる。デジタルセキュリティ証明書におけるファクタと暗号化キーとの共存が、暗黙的に、ファクタを互いに結び付け、ファクタと暗号化キーとを結び付けることができる。本方法は、認証局サーバが証明書要求に応答するようにデジタルセキュリティ証明書を発行するステップを含むことができる。デジタルセキュリティ証明書を発行するステップには、認証局のデジタル署名を用いてデジタルセキュリティ証明書をデジタル署名するステップを含むことができる。デジタル署名は、認証局の暗号化キーに基づくことができる。機器は、ラップトップ、ネットブック、携帯電話、デスクトップコンピュータ、スマートフォン及びパーソナルデジタルアシスタントのうちの1つとすることができる。ファクタにはさらに、別のユーザの識別子である第3のファクタを含むことができる。
【0057】
別の実施形態に従う装置が、ネットワークインタフェースと、ネットワークインタフェースに通信可能に結合されたプロセッサとを含むことができる。プロセッサは、マルチファクタデジタルセキュリティ証明書を提供するように証明書要求を受信するように構成されることができる。証明書要求には、複数のファクタと暗号化キーとを含むことができる。ファクタのうち第1のファクタは機器の識別子とすることができ、ファクタのうち第2のファクタは機器のユーザの識別子とすることができる。プロセッサは、証明書要求をデジタル署名し、暗号化キーをファクタに関連付けてデジタルセキュリティ証明書を生成するように構成されることができる。デジタルセキュリティ証明書におけるファクタと暗号化キーとの共存が、暗黙的に、ファクタを互いに結び付け、ファクタと暗号化キーとを結び付けることができる。プロセッサは、証明書要求に応答するようにデジタルセキュリティ証明書を発行するように構成されることができる。ファクタにはさらに、別のユーザの識別子である第3のファクタを含むことができ、プロセッサは、複数ユーザの識別子を機器に関連付けるように構成されることができる。
【0058】
1つの実施形態に従うコンピュータ読取可能媒体が、複数の命令を有することができ、この複数の命令は、サーバが、サーバのプロセッサによる命令の実行に応答して、マルチファクタデジタルセキュリティ証明書を受信することを可能にするように構成される。マルチファクタデジタルセキュリティ証明書には、複数のファクタと暗号化キーと認証局の署名とを含むことができる。ファクタのうち第1のファクタは機器の識別子とすることができ、ファクタのうち第2のファクタは機器のユーザの識別子とすることができる。命令は、サーバがマルチファクタデジタルセキュリティ証明書を認証することを可能にすることができる。デジタルセキュリティ証明書におけるファクタと暗号化キーとの共存が、暗黙的に、ファクタを互いに結び付け、ファクタと暗号化キーとを結び付けることができる。命令は、サーバが暗号化キーに基づいて機器との接続を確立することを可能にすることができる。認証には、認証局の識別子がサーバによりアクセス可能な信頼された認証局のリストの中に存在することの検証を含むことができる。認証には、機器が暗号化キーに対応する秘密鍵を所有することの検証を含むことができる。暗号化キーは公開鍵とすることができる。サーバは、コンテンツサーバへのアクセスを制御するように構成されたゲートウェイサーバとすることができる。
【0059】
1つの実施形態に従うコンピュータ読取可能媒体が、複数の命令を含むことができ、この複数の命令は、電子機器が、電子機器のプロセッサによる命令の実行に応答して、ユーザによるマルチファクタデジタルセキュリティ証明書の利用を許可することを可能にするように構成される。マルチファクタデジタルセキュリティ証明書には、複数のファクタと暗号化キーと認証局の署名とを含むことができる。ファクタのうち第1のファクタは電子機器の識別子とすることができ、ファクタのうち第2のファクタは電子機器のユーザの識別子とすることができる。命令は、電子機器がマルチファクタデジタルセキュリティ証明書をサーバに送信して電子機器とサーバとの間のセキュアな接続を確立することを可能にすることができる。命令は、マルチファクタデジタルセキュリティ証明書の使用が電子機器により許可されている場合に電子機器がマルチファクタデジタルセキュリティ証明書を送信することを可能にするように構成されることができる。許可には、ファクタのうち第2のファクタが電子機器に対するアクセス制御に合致することの検証を含むことができる。電子機器は、スマートフォン、パーソナルコンピュータ、コンピューティングタブレット、パーソナルデジタルアシスタント、ネットブック、ラップトップ及びゲーム用コンソールのうちの1つとすることができる。
【0060】
別の実施形態に従う方法が、電子機器を用いて、ユーザによるマルチファクタデジタルセキュリティ証明書の使用を許可するステップを含むことができる。マルチファクタデジタルセキュリティ証明書には、複数のファクタと暗号化キーと認証局の署名とを含むことができる。ファクタのうち第1のファクタには電子機器の識別子を含むことができ、ファクタのうち第2のファクタには電子機器のユーザの識別子を含むことができる。本方法には、電子機器とサーバとの間のセキュアな接続の確立を可能にするために、電子機器を用いて、マルチファクタデジタルセキュリティ証明書をサーバに送信するステップを含むことができる。デジタルセキュリティ証明書におけるファクタと暗号化キーとの共存が、暗黙的に、ファクタを互いに結び付け、ファクタと暗号化キーとを結び付けることができる。電子機器を用いた送信するステップは、マルチファクタデジタルセキュリティ証明書の使用が電子機器によって許可されている場合に生じさせることができる。
【0061】
別の実施形態に従う装置が、ネットワークインタフェースと、メモリと、ネットワークインタフェースとメモリとに通信可能に結合されたプロセッサとを含むことができる。プロセッサは、デジタルセキュリティ証明書をメモリに記憶するように構成されることができる。証明書には、複数のファクタと暗号化キーとを含むことができる。複数のファクタのうち第1のファクタには装置の識別子を含むことができ、複数のファクタのうち第2のファクタには装置のユーザの識別子を含むことができる。プロセッサは、装置のユーザと装置とが情報の要求の間に一緒に使用されることを許可されていることを示すために、ネットワークインタフェースを介して、マルチファクタデジタルセキュリティ証明書を認証サーバに送信するように構成されることができる。デジタルセキュリティ証明書におけるファクタと暗号化キーとの共存が、暗黙的に、ファクタを互いに結び付け、ファクタと暗号化キーとを結び付けることができる。プロセッサは、装置が装置のユーザによる装置の使用を許可した後、情報の要求の間にマルチファクタデジタルセキュリティ証明書を送信するように構成されることができる。