知財求人 - 知財ポータルサイト「IP Force」
▶ アリババ・グループ・ホールディング・リミテッドの特許一覧
特許6856626マルチユーザクラスタアイデンティティ認証のための方法および装置
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6856626
(24)【登録日】2021年3月22日
(45)【発行日】2021年4月7日
(54)【発明の名称】マルチユーザクラスタアイデンティティ認証のための方法および装置
(51)【国際特許分類】
H04L 9/08 20060101AFI20210329BHJP
H04L 9/32 20060101ALI20210329BHJP
H04L 9/14 20060101ALI20210329BHJP
G09C 1/00 20060101ALI20210329BHJP
【FI】
H04L9/00 601B
H04L9/00 675B
H04L9/00 601F
H04L9/00 641
G09C1/00 640E
【請求項の数】17
【全頁数】15
(21)【出願番号】特願2018-510780(P2018-510780)
(86)(22)【出願日】2016年8月25日
(65)【公表番号】特表2018-528691(P2018-528691A)
(43)【公表日】2018年9月27日
(86)【国際出願番号】US2016048648
(87)【国際公開番号】WO2017035333
(87)【国際公開日】20170302
【審査請求日】2019年8月16日
(31)【優先権主張番号】201510526904.2
(32)【優先日】2015年8月25日
(33)【優先権主張国】CN
(31)【優先権主張番号】15/245,690
(32)【優先日】2016年8月24日
(33)【優先権主張国】US
(73)【特許権者】
【識別番号】510330264
【氏名又は名称】アリババ・グループ・ホールディング・リミテッド
【氏名又は名称原語表記】ALIBABA GROUP HOLDING LIMITED
(74)【代理人】
【識別番号】110001243
【氏名又は名称】特許業務法人 谷・阿部特許事務所
(72)【発明者】
【氏名】カイゴー アン
(72)【発明者】
【氏名】イエチー イン
(72)【発明者】
【氏名】イージュン ルー
【審査官】
松平 英
(56)【参考文献】
【文献】
特開平03−162152(JP,A)
【文献】
特開2006−311425(JP,A)
【文献】
特開2003−242414(JP,A)
【文献】
特開2011−160210(JP,A)
【文献】
Bruce Schneier,E−Mailセキュリティ,株式会社オーム社,1995年 5月25日,第1版,pp. 198-202,ISBN: 4-274-06117-5
(58)【調査した分野】(Int.Cl.,DB名)
G06F12/14
19/00
21/00−21/88
G06Q10/00−10/10
30/00−30/08
50/00−50/20
50/26−99/00
G09C 1/00−5/00
H04K 1/00−3/00
H04L 9/00−9/38
(57)【特許請求の範囲】
【請求項1】
鍵管理装置によって実行される、マルチユーザクラスタアイデンティティ認証の方法であって、前記方法は、
鍵セットおよび前記鍵セットに対応する識別コードをユーザクラスタデバイスに配布することであって、前記鍵セットは、公開鍵および秘密鍵の複数のペアを備える、ことと、
サービスデバイスによって送信される認証要求を取得することと、
前記認証要求内の前記ユーザクラスタデバイスのデジタル署名に基づいて前記ユーザクラスタデバイスに対してアイデンティティ認証を行うことであって、前記デジタル署名は、前記ユーザクラスタデバイスの識別コードと、前記秘密鍵を用いて暗号化されたクラスタ検証情報とを備え、前記アイデンティティ認証を行うことは、前記デジタル署名内の前記識別コードを用いて前記ユーザクラスタデバイスの第1の公開鍵を検索することを備える、ことと、
認証結果を前記サービスデバイスに返すことと、
を備える方法。
鍵セットおよび前記鍵セットに対応する識別コードをユーザクラスタデバイスに配布することであって、前記鍵セットは、公開鍵および秘密鍵の複数のペアを備える、ことと、
サービスデバイスによって送信される認証要求を取得することと、
前記認証要求内の前記ユーザクラスタデバイスのデジタル署名に基づいて前記ユーザクラスタデバイスに対してアイデンティティ認証を行うことであって、前記デジタル署名は、前記ユーザクラスタデバイスの識別コードと、前記秘密鍵を用いて暗号化されたクラスタ検証情報とを備え、前記アイデンティティ認証を行うことは、前記デジタル署名内の前記識別コードを用いて前記ユーザクラスタデバイスの第1の公開鍵を検索することを備える、ことと、
認証結果を前記サービスデバイスに返すことと、
を備える方法。
【請求項2】
前記認証要求内の前記ユーザクラスタデバイスのデジタル署名に基づいて前記ユーザクラスタデバイスに対してアイデンティティ認証を行うことは、
前記第1の公開鍵を用いて前記クラスタ検証情報を復号することと、
前記クラスタ検証情報を認証することと
をさらに備える、請求項1の方法。
前記第1の公開鍵を用いて前記クラスタ検証情報を復号することと、
前記クラスタ検証情報を認証することと
をさらに備える、請求項1の方法。
【請求項3】
前記認証要求は、前記サービスデバイスに格納された前記ユーザクラスタデバイスの公開鍵のリストをさらに備え、前記公開鍵のリストは、前記ユーザクラスタデバイスの第2の公開鍵と第2の識別コードとを含み、前記ユーザクラスタデバイスは、前記サービスデバイスにアクセスするためのアクセス要求を行っており、
前記認証要求内の前記ユーザクラスタデバイスのデジタル署名に基づいて前記ユーザクラスタデバイスに対してアイデンティティ認証を行うことは、
前記デジタル署名内の前記識別コードに従って、前記公開鍵のリスト内の前記ユーザクラスタデバイスの前記第2の公開鍵を検索することと、
前記第2の公開鍵を用いて前記クラスタ検証情報を復号することと
を備える、請求項2の方法。
前記認証要求内の前記ユーザクラスタデバイスのデジタル署名に基づいて前記ユーザクラスタデバイスに対してアイデンティティ認証を行うことは、
前記デジタル署名内の前記識別コードに従って、前記公開鍵のリスト内の前記ユーザクラスタデバイスの前記第2の公開鍵を検索することと、
前記第2の公開鍵を用いて前記クラスタ検証情報を復号することと
を備える、請求項2の方法。
【請求項4】
前記認証結果を前記サービスデバイスに返すことは、
前記公開鍵のリストを更新するために前記ユーザクラスタデバイスの前記第2の公開鍵および前記第2の識別コードを前記サービスデバイスに送信することをさらに備える、請求項3の方法。
前記公開鍵のリストを更新するために前記ユーザクラスタデバイスの前記第2の公開鍵および前記第2の識別コードを前記サービスデバイスに送信することをさらに備える、請求項3の方法。
【請求項5】
前記鍵セットおよび前記鍵セットに対応する前記識別コードを前記ユーザクラスタデバイスに配布することは、
前記鍵セットおよび前記識別コードを更新することと、
更新された前記鍵セットおよび前記識別コードを前記ユーザクラスタデバイスに配布することであって、前記識別コードは増分的に更新される、ことと
を備える、請求項4の方法。
前記鍵セットおよび前記識別コードを更新することと、
更新された前記鍵セットおよび前記識別コードを前記ユーザクラスタデバイスに配布することであって、前記識別コードは増分的に更新される、ことと
を備える、請求項4の方法。
【請求項6】
前記鍵セットおよび前記識別コードを更新した後で、
対応するユーザクラスタデバイスからの要求に応答して、更新された前記鍵セットおよび前記識別コードを用いて前記対応するユーザクラスタデバイスについてデジタル署名を生成することと、
生成した前記デジタル署名を前記対応するユーザクラスタデバイスに送信することと
をさらに備える、請求項5の方法。
対応するユーザクラスタデバイスからの要求に応答して、更新された前記鍵セットおよび前記識別コードを用いて前記対応するユーザクラスタデバイスについてデジタル署名を生成することと、
生成した前記デジタル署名を前記対応するユーザクラスタデバイスに送信することと
をさらに備える、請求項5の方法。
【請求項7】
前記クラスタ検証情報は、クラスタ名、クラスタ生成時間、前記公開鍵および前記秘密鍵の生成時間、並びに前記公開鍵および前記秘密鍵の有効期限の少なくとも1つを含む、請求項6の方法。
【請求項8】
前記鍵セットおよび前記識別コードは、セキュアなチャネルを用いて配布される、請求項7の方法。
【請求項9】
サービスデバイスによって実行される、マルチユーザクラスタアイデンティティ認証の方法であって、前記方法は、
アクセス要求をユーザクラスタデバイスから取得することであって、前記アクセス要求は、前記ユーザクラスタデバイスのデジタル署名を備え、前記デジタル署名は、識別コードと、秘密鍵を用いて暗号化されたクラスタ検証情報とを含む、ことと、
前記アクセス要求に従って、認証要求を鍵管理装置に送信することであって、前記認証要求は、前記ユーザクラスタデバイスの前記デジタル署名を備える、ことと、
前記認証要求に基づいて前記鍵管理装置によって返される前記ユーザクラスタデバイスの認証結果を取得することと、
公開鍵のリストを生成することと、
前記認証結果を取得した後で、第1のユーザクラスタデバイスの第1の公開鍵および第1の識別コードを取得することであって、前記第1のユーザクラスタデバイスは、前記鍵管理装置を用いて、アクセスするための要求をした、ことと、
前記第1の公開鍵および前記第1の識別コードを前記公開鍵のリストに格納することと
を備える方法。
アクセス要求をユーザクラスタデバイスから取得することであって、前記アクセス要求は、前記ユーザクラスタデバイスのデジタル署名を備え、前記デジタル署名は、識別コードと、秘密鍵を用いて暗号化されたクラスタ検証情報とを含む、ことと、
前記アクセス要求に従って、認証要求を鍵管理装置に送信することであって、前記認証要求は、前記ユーザクラスタデバイスの前記デジタル署名を備える、ことと、
前記認証要求に基づいて前記鍵管理装置によって返される前記ユーザクラスタデバイスの認証結果を取得することと、
公開鍵のリストを生成することと、
前記認証結果を取得した後で、第1のユーザクラスタデバイスの第1の公開鍵および第1の識別コードを取得することであって、前記第1のユーザクラスタデバイスは、前記鍵管理装置を用いて、アクセスするための要求をした、ことと、
前記第1の公開鍵および前記第1の識別コードを前記公開鍵のリストに格納することと
を備える方法。
【請求項10】
マルチユーザクラスタアイデンティティ認証を行う鍵管理装置であって、前記鍵管理装置は、
メインメモリと、
前記メインメモリと通信可能に結合されたプロセッサと
を備え、
前記プロセッサは、
公開鍵および秘密鍵の複数のペアを備える鍵セットおよび前記鍵セットに対応する識別コードをユーザクラスタデバイスに配布し、
前記ユーザクラスタデバイスのデジタル署名を含む認証要求を取得し、
前記デジタル署名を用いて前記ユーザクラスタデバイスに対してアイデンティティ認証を行い、
認証結果をサービスデバイスに返し、
前記デジタル署名は、前記ユーザクラスタデバイスの識別コードと、前記秘密鍵を用いて暗号化されたクラスタ検証情報とを含み、前記プロセッサは、前記デジタル署名内の前記識別コードに従って前記ユーザクラスタデバイスの第1の公開鍵を検索する、鍵管理装置。
メインメモリと、
前記メインメモリと通信可能に結合されたプロセッサと
を備え、
前記プロセッサは、
公開鍵および秘密鍵の複数のペアを備える鍵セットおよび前記鍵セットに対応する識別コードをユーザクラスタデバイスに配布し、
前記ユーザクラスタデバイスのデジタル署名を含む認証要求を取得し、
前記デジタル署名を用いて前記ユーザクラスタデバイスに対してアイデンティティ認証を行い、
認証結果をサービスデバイスに返し、
前記デジタル署名は、前記ユーザクラスタデバイスの識別コードと、前記秘密鍵を用いて暗号化されたクラスタ検証情報とを含み、前記プロセッサは、前記デジタル署名内の前記識別コードに従って前記ユーザクラスタデバイスの第1の公開鍵を検索する、鍵管理装置。
【請求項11】
前記プロセッサは、前記第1の公開鍵を用いて前記クラスタ検証情報を復号し、前記クラスタ検証情報を認証する、請求項10の鍵管理装置。
【請求項12】
前記認証要求は、前記ユーザクラスタデバイスの公開鍵のリストをさらに備え、
前記公開鍵のリストは、前記サービスデバイスにアクセスする要求をした第2のユーザクラスタデバイスの第2の公開鍵および第2の識別コードを含み、
前記プロセッサは、前記デジタル署名内の前記識別コードに従って、前記公開鍵のリストにおいて前記第2のユーザクラスタデバイスの前記第2の公開鍵を検索し、前記第2の公開鍵を用いて前記第2のユーザクラスタデバイスによって暗号化されたクラスタ検証情報を復号する、
請求項11の鍵管理装置。
前記公開鍵のリストは、前記サービスデバイスにアクセスする要求をした第2のユーザクラスタデバイスの第2の公開鍵および第2の識別コードを含み、
前記プロセッサは、前記デジタル署名内の前記識別コードに従って、前記公開鍵のリストにおいて前記第2のユーザクラスタデバイスの前記第2の公開鍵を検索し、前記第2の公開鍵を用いて前記第2のユーザクラスタデバイスによって暗号化されたクラスタ検証情報を復号する、
請求項11の鍵管理装置。
【請求項13】
前記プロセッサは、前記第2のユーザクラスタデバイスの前記第2の公開鍵および前記第2の識別コードを前記サービスデバイスに送信し、前記サービスデバイスは、前記第2の公開鍵および前記第2の識別コードを用いて前記公開鍵のリストを更新する、請求項12の鍵管理装置。
【請求項14】
前記プロセッサは、前記第2の公開鍵および前記第2の識別コードを更新し、前記第2の公開鍵および前記第2の識別コードを前記第2のユーザクラスタデバイスに配布し、前記識別コードは増分的に更新される、請求項13の鍵管理装置。
【請求項15】
前記プロセッサは、前記第2のユーザクラスタデバイスからの第2の要求に従って、前記第2の公開鍵および前記第2の識別コードを用いて前記第2のユーザクラスタデバイスについてデジタル署名を生成し、生成された前記デジタル署名を前記第2のユーザクラスタデバイスに送信する、請求項14の鍵管理装置。
【請求項16】
前記クラスタ検証情報は、クラスタ名、クラスタ生成時間、前記公開鍵および前記秘密鍵の生成時間、並びに前記公開鍵および前記秘密鍵の有効期限の少なくとも1つを含む、請求項15の鍵管理装置。
【請求項17】
前記プロセッサは、前記鍵セットおよび前記識別コードをセキュアなチャネルを用いて配布する、請求項16の鍵管理装置。
【発明の詳細な説明】
【技術分野】
【0001】
[関連出願への相互参照]この出願は、2015年8月25日出願に係る中国特許出願第201510526904.2号による優先権を主張し、その内容は全体として参照により本明細書に編入される。
【0002】
本出願の実施形態は、情報セキュリティの分野に関し、特に、マルチユーザアイデンティティ認証を提供する方法および装置に関する。
【背景技術】
【0003】
クラウドコンピューティングの進歩に伴い、サービス指向のプロセスも徐々に拡大しつつある。特にクラウドサービスが一度に幾つかのサービス指向のプロセスを提供する場合、複数のユーザのサービス指向のアクセス許可を管理することが技術的な課題である。
【0004】
現在、各ユーザクラスタが専用のサービスモジュールを有する場合、サービスモジュールのアクションスコープがユーザを識別するために使用される。しかしながら、この方法は現在のクラスタについてのみ有効である。
【0005】
アクセス許可を検証するための既存のアプローチは、主として、サーバに鍵を提供すること、および対応する識別情報をもつ要求をサービス指向型ノード(例えば、サービスを提供するデバイス)に送信することを含む。鍵が処理され、サービス指向型ノードがアクセスを完結/認証する。
【0006】
しかしながら、様々なモジュールのサービス指向の利用が進んでくると、複数のユーザクラスタが1つのサービスモジュールを共有することがある。さらに、アクセスの署名情報がネットワーク伝送の間に傍受されるかもしれず、ユーザの署名情報が解読されまたは漏洩するかもしれない。場合によっては、ユーザアイデンティティ認証情報は長い間変更されないままになるかもしれず、これは高い漏洩リスクにつながる。OpenSSL(Open Secure Sockets Layer)プロトコルにおける検証プロセスの効率性は大規模分散環境においては高くなく、サービス指向型ノードを用いて認証を行うことはサービス指向型ノードの負荷を増大させる。
【0007】
従って、複数のユーザクラスタのアクセスを支援するために、複数のユーザクラスタに対する同じサービス指向型ノードの認証を完結させることができることについて大きなニーズがある。
【発明の概要】
【0008】
本発明の実施形態は、1つまたは複数のユーザクラスタからのサービスデバイスにアクセスする要求に応答して当該ユーザクラスタまたは複数のユーザクラスタに対してアイデンティティ認証を行う方法および装置を説明する。
【0009】
一実施形態によれば、鍵管理装置を用いたマルチユーザクラスタアイデンティティ認証の方法が説明される。この方法は、公開鍵と秘密鍵とからなる複数のペアで構成される鍵セットおよびこの鍵セットに対応する識別コードをユーザクラスタデバイスに配布し、サービスデバイスによって送信された認証要求を取得し、認証要求内のユーザクラスタデバイスのデジタル署名に基づいてユーザクラスタデバイスに対してアイデンティティ認証を行い、認証結果をサービスデバイスに返すことを含み、デジタル署名はユーザクラスタデバイスの識別コードと、秘密鍵を用いて暗号化されたクラスタ検証情報とを含む。
【0010】
別の実施形態によれば、マルチユーザクラスタアイデンティティ認証の方法が開示される。この方法は、アクセス要求をユーザクラスタデバイスから取得し、アクセス要求は、ユーザクラスタデバイスのデジタル署名を含み、デジタル署名は、識別コードと、鍵セットの秘密鍵を用いて暗号化されたクラスタ検証情報とを含み、このアクセス要求に従って、ユーザクラスタデバイスのデジタル署名を含む認証要求を鍵管理装置に送信し、認証要求に基づいて鍵管理装置によって返されるユーザクラスタデバイスの認証結果を取得することを含む。
【0011】
追加的な実施形態によれば、マルチユーザクラスタアイデンティティ認証を行うための鍵管理装置が開示される。この装置は、メインメモリと、メインメモリと通信可能に結合されたプロセッサとを備え、このプロセッサは、公開鍵と秘密鍵とのペアで構成される鍵セットと鍵に対応する識別コードとをユーザクラスタデバイスに配布し、ユーザクラスタデバイスのデジタル署名を含む認証要求を取得し、デジタル署名を用いてユーザクラスタデバイスに対してアイデンティティ認証を行い、認証結果をサービスデバイスに返す。デジタル署名は、ユーザクラスタデバイスの識別コードと、秘密鍵を用いて暗号化されたクラスタ検証情報とを含む。
【図面の簡単な説明】
【0012】
本出願の他の特徴、目的および利点は、以下の添付図面を参照しつつ非限定的な実施形態についてする詳細な説明の読解によって、より一層明らかになるであろう。【図1】本発明の実施形態に従って記載されたマルチユーザクラスタアイデンティティ認証を行うための例示的システムを示した図である。
【図2】本発明の実施形態に従って記載されたマルチユーザクラスタアイデンティティ認証をサポートするための例示的鍵管理装置、例示的サービスデバイスおよび例示的ユーザクラスタデバイスを示した図である。
【図3】本発明の実施形態に係るマルチユーザクラスタアイデンティティ認証をサポートするための例示的鍵管理装置、例示的サービスデバイスおよび例示的ユーザクラスタデバイスを記載した図である。
【図4】本発明の実施形態に係るマルチユーザクラスタアイデンティティ認証方法を行うためのコンピュータで実装されたステップの例示的順序を記載した流れ図である。
【図5】本発明の実施形態に係るマルチユーザクラスタアイデンティティ認証方法を行うためのコンピュータで実装されたステップの例示的順序を記載した流れ図である。
【0013】
図中の同一または類似の参照符号は、同一または類似の構成要素を表す。
【発明を実施するための形態】
【0014】
本出願について、添付図面を参照しながら以下でさらに詳細に説明する。
【0015】
図1に関して、マルチユーザクラスタアイデンティティ認証を行うための例示的システムが本発明の実施形態に従って記載されている。このシステムは、鍵管理装置1と、複数のサービスデバイス2と、複数のユーザクラスタデバイス3とを備える。鍵管理装置1は、ユーザクラスタデバイス3がサービスデバイス2にアクセスする要求を行ったときに、鍵(例えば、鍵セットまたは鍵のリスト)および当該鍵セットに対応する識別コードをユーザクラスタデバイス3に配布し、サービスデバイス2はユーザクラスタデバイス3のデジタル署名を含む認証要求を鍵管理装置1に送信し、鍵管理装置1はユーザクラスタデバイス3に対するアイデンティティ認証を行い、認証結果をサービスデバイス2に返す。
【0016】
鍵管理装置1は、ネットワークデバイスであってもよく、またはネットワークデバイス上で実行されるスクリプト/プログラムであってもよい。サービスデバイス2は、限定されるものではないが、ユーザデバイスを含んでもよく、またはネットワークデバイス上で動作するネットワークサービスまたはスクリプト/プログラムを介してユーザデバイスとネットワークデバイスとを一体化することにより形成されたデバイスを含んでもよい。ユーザクラスタデバイス3はまた、限定されるものではないが、ユーザデバイスを含んでもよく、またはネットワークデバイス上で動作するネットワークサービスまたはスクリプト/プログラムを介してユーザデバイスとネットワークデバイスとを一体化することにより形成されたたデバイスであってもよい。
【0017】
ユーザクラスタデバイス3は、一般に同じクラスタ内の1つまたは複数のデバイスをいい、ユーザクラスタデバイス3と鍵管理装置1とがネットワーク105を介して相互に接続されていてもよく、サービスデバイス2と鍵管理装置1とがネットワーク105を介して接続され、または同じネットワークデバイス内に配置されていてもよい。また、サービスデバイス2とユーザクラスタデバイス3とはまた、ネットワーク105を介して接続され、または同じデバイスクラスタ内に配置されていてもよい。1つのクラスタデバイスは他のユーザクラスタデバイスに対してサービスを提供するサービスデバイスとして機能してもよく、他のサービスデバイスからサービスを取得するための要求を行うユーザクラスタデバイスとして機能してもよい。
【0018】
ネットワーク105は、限定されるものではないが、WCDMA(登録商標)、CDMA2000、TD−SCDMA、GSM(登録商標)、CDMA1x、WIFI、WAPI、WiMax、アドホックネットワーク等を使用してもよい。ネットワークデバイスは、例えば、命令セットを使用して数値計算および情報処理を自動的に行うことができる電子デバイスを含んでもよく、その構成要素は、限定されるものではないが、マイクロプロセッサ、特定用途向け集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)、デジタル信号プロセッサ(DSP)、エンベデッドデバイス等を含んでもよい。ネットワーク105は、インターネット、ワイドエリアネットワーク、メトロポリタンエリアネットワーク、ローカルエリアネットワーク、VPNネットワークおよびアドホックネットワーク等を含んでもよいが、これらに限定されない。ネットワークデバイスは、単一のサーバまたはローカルエリアネットワークもしくはインターネットを介して接続される複数のサーバを含んでもよい。また、ネットワーク105は、複数のサーバからなるクラウドを含んでもよい。クラウドは、多数のコンピュータまたはクラウドコンピューティングに基づくネットワークサーバを含んでもよく、クラウドコンピューティングは、疎結合のコンピュータセットのグループからなる仮想コンピュータを含む分散コンピューティングを含んでもよい。ユーザデバイスは、タッチパッド、例えば、スマートフォン、PDA等、を介してユーザとヒューマン−コンピュータインタラクションを実行することができるモバイル電子デバイスを含んでもよいが、これらに限定されず、モバイル電子デバイスは、任意のオペレーティングシステム、例えば、アンドロイドオペレーティングシステム、iOSオペレーティングシステム等を用いてもよい。
【0019】
当業者は、ネットワークおよび通信モードのほか、前述した鍵管理装置1、サービスデバイス2およびユーザクラスタデバイス3が単に説明のためのものであること、および、鍵管理装置1、サービスデバイス2およびユーザクラスタデバイス3の他のインスタンスが用いられてもよいことを理解するであろう。さらに、当業者は、鍵管理装置1が複数のサービスデバイス2および複数のユーザクラスタデバイス3とやり取りを行い、当該複数のユーザクラスタデバイス3に対して鍵および識別コードを配布し、および、1つまたは複数のサービスデバイス2からリアルタイムで、同時に認証要求を受信してもよいことを理解するであろう。さらに、サービスデバイス2は、複数のユーザクラスタデバイス3とやり取りを行い、当該複数のユーザクラスタデバイス3からのアクセス要求に従って、鍵管理装置1への認証要求を開始し、そして、認証結果を取得後、認証結果に基づいて、当該複数のユーザクラスタデバイス3に対して対応するサービスを提供してもよい。
【0020】
図2は、本発明の実施形態に係るマルチユーザクラスタアイデンティティ認証を行うための例示的鍵管理装置、例示的サービスデバイスおよび例示的ユーザクラスタデバイスを記載する。鍵管理装置1は、鍵配布装置11とアイデンティティ認証装置12とを備えている。サービスデバイス2は、アクセス要求取得装置21と、認証要求装置22と、認証結果取得装置23とを備えている。ユーザクラスタデバイス3は、鍵取得装置31とアクセス要求開始装置32とを備えている。
【0021】
鍵配布装置11は、鍵およびこの鍵に対応する識別コードをユーザクラスタデバイスに配布し、ここで鍵は公開鍵および秘密鍵のペアを含む。アイデンティティ認証装置12は、サービスデバイスによって送信される認証要求を取得し、認証要求内のユーザクラスタデバイスのデジタル署名に基づいてユーザクラスタデバイスに対してアイデンティティ認証を行い、認証結果をサービスデバイスに返し、ここでデジタル署名はユーザクラスタデバイスの識別コードと、秘密鍵を用いて暗号化されたクラスタ検証情報とを含む。
【0022】
アクセス要求取得装置21はアクセス要求をユーザクラスタデバイスから取得し、ここでアクセス要求は、ユーザクラスタデバイスのデジタル署名を含み、デジタル署名は、ユーザクラスタデバイスの識別コードと、秘密鍵を用いて暗号化されたクラスタ検証情報とを含む。認証要求装置22は、アクセス要求に従って鍵管理装置に認証要求を送信し、ここで認証要求はユーザクラスタデバイスのデジタル署名を含む。認証結果取得装置23は、鍵管理装置によって返されるユーザクラスタデバイスに対するアイデンティティ認証の認証結果を取得する。
【0023】
鍵取得装置31は、鍵管理装置によって送信された鍵セットと当該鍵セットに対応する識別コードとを取得し、この鍵セットは公開鍵/秘密鍵ペアを含む。アクセス要求開始装置32は、サービスデバイスへのアクセス要求を開始し、ここでアクセス要求はデジタル署名を含み、デジタル署名は、識別コードと、秘密鍵を用いて暗号化されたクラスタ検証情報とを含む。
【0024】
鍵配布装置11が鍵セットをユーザクラスタデバイスに対して配布すると、鍵が配布される際に当該鍵に一意的に対応する識別コード(ID)が増大され/インクリメントされる。アイデンティティ認証装置12がアイデンティティ認証を行うと、アイデンティティ認証は、識別コードを有するデジタル署名に従ってユーザクラスタデバイスに対して行われてもよく、複数のユーザクラスタデバイスを検証することができる。従って、サービスは同じサービスデバイス上で複数のユーザクラスタデバイスに対して提供される。
【0025】
鍵配布装置11は、鍵セットと鍵に対応する識別コードとをユーザクラスタデバイスに配布し、ここで鍵セットは公開鍵/秘密鍵ペアを含む。
【0026】
鍵と識別コードとの間には一対一の関係があり、対応する鍵はその識別コードを用いて問い合わせることができる。例えば、対応する鍵の公開鍵を問い合わせ、識別コードは16バイトのフィールドであってもよく、単一のサービスデバイスが216のユーザクラスタデバイスに対してサービスを提供することができるように、鍵に対応する識別コード(例えば、0〜216)は増分的に再利用されてもよい。
【0027】
鍵配布装置11は、鍵セットを対応するユーザクラスタデバイス3に配布する。さらに、鍵配布装置11は、署名の漏洩を回避し鍵を発行する際の効率性を増大させるために、セキュアなチャネルを用いて鍵を配布する。
【0028】
アイデンティティ認証装置12は、サービスデバイスによって送信された認証要求を取得し、認証要求内のユーザクラスタデバイスのデジタル署名に基づいてユーザクラスタデバイスに対してアイデンティティ認証を行い、認証結果をサービスデバイスに返す。ここでデジタル署名は、ユーザクラスタデバイスの識別コードと、秘密鍵を用いて暗号化されたクラスタ検証情報とを含む。
【0029】
クラスタ検証情報は、クラスタ名、クラスタ生成時間、公開鍵および秘密鍵の生成時間並びに公開鍵および秘密鍵の有効期限を含んでもよく、クラスタを検証するのに用いることができるその他の関連情報もまたクラスタ検証情報として用いてもよい。
【0030】
ユーザクラスタデバイスがあるサービスデバイスにアクセスする要求を行うと、サービスデバイスは、認証要求として、当該アクセス要求に関連する情報を鍵管理装置1に送信し、鍵管理装置1はユーザクラスタデバイスに対するアイデンティティ認証を行う。鍵管理装置1のアイデンティティ認証装置12はデジタル署名内の識別コードに従ってユーザクラスタデバイスの公開鍵を検索し、特定された公開鍵を用いてクラスタ検証情報を復号し、クラスタ検証情報を認証する。
【0031】
認証効率性を改善するために、サービスデバイスは、ユーザクラスタデバイスを永続的に格納するために用いられる公開鍵のリストを生成してもよく、この公開鍵のリストは、サービスデバイスにアクセスする要求を行ったユーザクラスタデバイスの公開鍵および識別コードを格納するために用いられる。鍵管理装置1によって取得されるサービスデバイスの認証要求は、サービスデバイスによって格納されたユーザクラスタデバイスの公開鍵のリストをさらに含んでもよく、アイデンティティ認証装置12は、アクセス要求内のデジタル署名に含まれた識別コードを用いて、識別コードに対応する公開鍵を公開鍵のリストから検索し、識別された公開鍵を用いてクラスタ検証情報を復号し、クラスタ検証情報を認証してもよい。
【0032】
ユーザクラスタデバイスがサービスデバイスにアクセスする要求を初めて行うとき、またはユーザクラスタデバイスの鍵および識別コードが更新されてアイデンティティ認証装置12が対応する識別コードおよび公開鍵を公開鍵のリストから見つけることができないとき、アイデンティティ認証装置12は、対応する識別コード(例えば、鍵配布装置11が鍵および識別コードを配布した際に保存しておいた情報)に関連する公開鍵を取得し、この公開鍵を用いてユーザクラスタデバイスに対してアイデンティティ認証を行う。サービスデバイスが公開鍵および識別コードを公開鍵のリスト内にて更新する際に、アイデンティティ認証装置12は、後の時点でアクセス要求を行うまたはアイデンティティ認証を行うときにユーザクラスタデバイスによって用いられる、公開鍵のリスト内に存在しないユーザクラスタデバイスの公開鍵および識別コードをサービスデバイスに送信し、これにより認証効率性を改善する。
【0033】
図3は、本発明の実施形態に係る、マルチユーザクラスタアイデンティティ認証をサポートするための例示的鍵管理装置、例示的サービスデバイス2および例示的ユーザクラスタデバイス3を記載する。鍵管理装置1’は、鍵配布装置11’と、アイデンティティ認証装置12’と、デジタル署名発行装置13’とを備えている。鍵配布装置11’は、ポーリングメカニズムを用いて、鍵および識別コードを配布し、ここで公開鍵と秘密鍵とのペアおよび識別コードが規則的に更新される。更新された鍵および識別コードは、ユーザクラスタデバイスに配布され、ここで識別コードは増分的に更新される。アイデンティティ認証装置12’は概ね図2に示すアイデンティティ認証装置12と同じである。鍵および識別コードが更新された後で、デジタル署名発行装置13’は、ユーザクラスタデバイス3からの要求の更新された鍵および識別コードを用いて対応するユーザクラスタデバイスについてデジタル署名を生成し、生成されたデジタル署名をユーザクラスタデバイス3に送信する。幾つかの実施形態によれば、デジタル署名発行装置13’は、セキュリティを強化するためセキュアなチャネルを用いて、生成されたデジタル署名をユーザクラスタデバイス3に送信する。鍵配布装置11’が鍵および識別コードを更新するたびに、デジタル署名発行装置13’は、更新された鍵および識別コードに基づいて、更新されたデジタル署名を生成し、鍵が変更されるのに応じて鍵ポーリングメカニズムがユーザクラスタデバイス上のデジタル署名を変化させることによりセキュリティが強化される。
【0034】
サービスデバイス2’は、アクセス要求取得装置21’と、認証要求装置22’と、認証結果取得装置23’と、公開鍵リスト管理装置24’とを備えている。公開鍵リスト管理装置24’は、公開鍵のリストを生成し、ユーザクラスタデバイスに対するアイデンティティ認証が認証に合格したことを示す認証結果を鍵管理装置が返した後、アクセスの要求を行うユーザクラスタデバイスの公開鍵および識別コードを鍵管理装置から取得する。公開鍵リスト管理装置24’は、公開鍵および識別コードを公開鍵のリストに格納する。公開鍵のリストは、サービスデバイス2’にアクセスしたユーザクラスタデバイス3’であって鍵管理装置1’によって認証された当該ユーザクラスタデバイス3’の公開鍵と、この公開鍵に対応する識別コードとを含む。公開鍵のリストは、クォーラムディレクトリ(例えば、処理ディレクトリ)に永続的に格納されてもよい。認証要求装置22’によって鍵管理装置に送信される認証要求においては、認証要求は、公開鍵のリストをさらに含み、鍵管理装置1’がユーザクラスタデバイス3’に対してアイデンティティ認証を行うと、公開鍵のリストは、復号のために用いられてもよく、それにより認証効率性を改善する。アクセス要求取得装置21’および認証結果取得装置23’は、概ね図2に示すアクセス要求取得装置21および認証結果取得装置23と同じものである。
【0035】
ユーザクラスタデバイス3’は、鍵取得装置31’と、アクセス要求開始装置32’と、デジタル署名生成装置33’とを備えており、デジタル署名生成装置33’は、鍵および識別コードに従ってデジタル署名を生成するために用いられる。鍵および識別コードは、一対一の関係を有し、対応する鍵は識別コードを用いて、例えば、対応する鍵の公開鍵を用いて、問い合わせることができる。鍵が更新されるたびに、対応する識別コードが増分的に更新される。例えば、0〜216の値を有する識別コードの16バイトフィールドが更新されるたびに、識別コードは1だけ大きくなる。識別コードを大きくする態様は逐次的増分に限らず、例えばランダムな増加を含んでもよい。さらには、識別コードが最大値(例えば、216)に達すると、識別コードは更新され0から再開する。
【0036】
クラスタ検証情報は、クラスタ名、クラスタ生成時間、公開鍵および秘密鍵の生成時間並びに公開鍵および秘密鍵の有効期限を含んでもよく、クラスタを検証するのに用いることができるその他の関連情報もまたクラスタ検証情報として用いられてもよい。
【0037】
幾つかの実施形態によれば、ユーザクラスタデバイス3は、デジタル署名生成装置33’に展開開始時にデジタル署名を生成させてもよく、または、デジタル署名発行装置13’から更新を取得してもよい。
【0038】
図4は、本発明の実施形態に係るマルチユーザクラスタアイデンティティ認証方法を行うためのコンピュータで実装されたステップの例示的順序を記載する。
【0039】
ステップS11は、公開鍵/秘密鍵ペアを含む鍵セットおよびこの鍵セットの識別コードをユーザクラスタデバイスに配布することを含む。
【0040】
ステップS12は、サービスデバイス2へのアクセス要求を開始することを含み、このアクセス要求はデジタル署名を含み、このデジタル署名は識別コードおよび秘密鍵を用いて暗号化されたクラスタ検証情報を含む。
【0041】
ステップS13は、アクセス要求に従って認証要求を鍵管理装置1に送信することを含み、この認証要求はユーザクラスタデバイス3のデジタル署名を含む。
【0042】
ステップS14は、サービスデバイス2によって送信される認証要求を取得し、認証要求内のユーザクラスタデバイス3のデジタル署名に基づいて、鍵管理装置1を用いてユーザクラスタデバイス3に対してアイデンティティ認証を行うことを含む。
【0043】
ステップS15は、認証結果をサービスデバイス2に返すことを含む。
【0044】
ステップS16は、認証結果に従ってユーザクラスタデバイス3に対して対応するサービスを提供することを含む。
【0045】
ステップS11において、鍵配布装置11は、鍵をセキュアなチャネルで対応するユーザクラスタデバイス3に配布し、これは署名の漏洩を回避し、鍵ネゴシエーションプロセスを節減し、鍵発行効率を改善する。ステップS14において、鍵管理装置1がアイデンティティ認証を行うと、アイデンティティ認証は、複数のユーザクラスタデバイス3が検証されるように、識別コードを有するデジタル署名に従ってユーザクラスタデバイス3に対して行われてもよい。このようにして、同じサービスデバイス2上で複数のユーザクラスタデバイス3に対してサービスが提供される。
【0046】
幾つかの実施形態によれば、鍵と識別コードとは一対一で対応し、対応する鍵は、識別コードを用いて問い合わせ/配置することができる。例えば、対応する鍵の公開鍵が問い合わせられると、識別コードは、16バイトのフィールドであってもよく、全ての鍵に対応する識別コードは、単一のサービスデバイスが216のユーザクラスタデバイスに対してサービスを提供することができるように、0〜216の範囲で増分的に用いられてもよい。クラスタ検証情報は、クラスタ名、クラスタ生成時間、公開鍵および秘密鍵の生成時間および公開鍵および秘密鍵の有効期限を含んでもよく、クラスタを検証するのに用いることができるその他の関連情報もまたクラスタ検証情報として用いられてもよい。
【0047】
ステップS14においては、鍵管理装置1はユーザクラスタデバイス3に対してアイデンティティ認証を行い、鍵管理装置1はデジタル署名内の識別コードに従ってユーザクラスタデバイス3の公開鍵を検索し、特定された公開鍵を用いてクラスタ検証情報を復号し、クラスタ検証情報を認証する。
【0048】
図5は、本発明の実施形態に係る鍵管理装置側においてユーザクラスタデバイスを検証する方法を記載する。
【0049】
ステップS11’は、図3に示すステップS11と類似のものであり、ここで鍵管理装置1は、ポーリングメカニズムを用いて鍵および識別コードを配布する。公開鍵/秘密鍵ペアおよび識別コードは、規則的に更新されてユーザクラスタデバイスに配布され、ここで識別コードは、使用に応じて増分的に更新される。
【0050】
ステップS17’において、鍵管理装置1は、更新された鍵および識別コードを用いてユーザクラスタデバイス3についてデジタル署名を生成し、生成されたデジタル署名を更新して、更新された生成されたデジタル署名を対応するユーザクラスタデバイス3に送信する。鍵および識別コードが更新された後で、ユーザクラスタデバイス1の要求または呼び出しに基づいて、デジタル署名は、更新された鍵および識別コードを用いて対応するユーザクラスタデバイスについて生成され、生成されたデジタル署名はユーザクラスタデバイスに送信される。幾つかの実施形態によれば、鍵管理装置1は、セキュリティを強化するためにセキュアなチャネルを用いて、生成されたデジタル署名をユーザクラスタデバイス3に送信する。鍵および識別コードがステップS11’において更新されると、ステップS17’において、更新された鍵および識別コードに従って、更新されたデジタル署名が生成され、更新されたデジタル署名は、ユーザクラスタデバイス3に送信される。
【0051】
ステップS12’は、図3に示すステップS12と同じまたは基本的に同じであり、これは、簡略化のため参照によりここに編入される。
【0052】
ステップS13’は、図3に示すステップS13と類似のものである。認証要求はアクセス要求に従って鍵管理装置1’に送信され、ここで、認証要求は、ユーザクラスタデバイス3’のデジタル署名を含む。認証要求は、サービスデバイス2’によって格納された公開鍵のリストを含む。公開鍵のリストは、サービスデバイス2’にアクセスし、かつ鍵管理装置1’によって認証されたユーザクラスタデバイス3の公開鍵と、この公開鍵に対応する識別コードを含む。幾つかの実施形態によれば、公開鍵のリストは、永続的にクォーラムディレクトリ(例えば、処理ディレクトリ)に格納される。
【0053】
認証効率性を増大させるため、サービスデバイスは、公開鍵のリストを生成し、サービスデバイスにアクセスする要求を行ったユーザクラスタデバイスの公開鍵のリストおよび識別コードを格納してもよい。鍵管理装置1によって取得されたサービスデバイスの認証要求は、サービスデバイスによって永続的に格納されたユーザクラスタデバイスの公開鍵のリストをさらに含んでもよく、公開鍵のリストは、アクセス要求内のデジタル署名の識別コードを用いて識別コードに対応する公開鍵を見つけるために検索されてもよい。クラスタ検証情報は、クラスタ検証情報を認証すべく、特定された公開鍵を用いて復号されてもよい。
【0054】
幾つかの実施形態によれば、ユーザクラスタデバイスがサービスデバイスにアクセスする要求を初めて行うとき、またはユーザクラスタデバイスの鍵および識別コードが更新されて対応する識別コードおよび公開鍵が公開鍵のリストから見つけることができないとき、識別コードに対応する公開鍵は、格納された情報(例えば、鍵および識別コードが配布された際に保存された情報)から取得される。アイデンティティ認証は、公開鍵を用いてユーザクラスタデバイスに対して行われる。公開鍵のリストにもともと存在していなかったユーザクラスタデバイスの公開鍵および識別コードは、ユーザクラスタデバイスがアクセスのための要求を行う際にユーザクラスタデバイスによって用いるため、および、次回サービスデバイスが公開鍵のリストを更新した際にアイデンティティ認証を行うために、サービスデバイスに送信される。
【0055】
ステップS14’は、図3に示すステップS14と同様のものである。ユーザクラスタデバイス3の公開鍵は、デジタル署名内の識別コードに従って、ステップS13’において提供された公開鍵のリストから特定される。より具体的には、公開鍵のリスト内の識別コードは、デジタル署名内の識別コードに従って発見され、公開鍵のリストにおいて発見された識別コードに従って、対応する公開鍵が検索され、そして、対応する公開鍵が公開鍵のリストから発見された場合、ユーザクラスタデバイス3によって暗号化されたクラスタ検証情報は当該特定された公開鍵を用いることにより復号される。
【0056】
加えて、対応する公開鍵が公開鍵のリストから発見され、ユーザクラスタデバイス3がアクセスする要求を行い、またはユーザクラスタデバイス3の鍵および識別コードが更新された場合、鍵管理装置1は、自装置の鍵のリストおよび識別コードから識別コードに対応する公開鍵を見つけ、この公開鍵を用いてクラスタ検証情報を復号する。
【0057】
ステップS18’において、ユーザクラスタデバイス3の公開鍵および識別コードがサービスデバイス2に送信される。
【0058】
ステップS19’において、サービスデバイス2’は、公開鍵および取得された識別コードを公開鍵のリスト内へ更新する。
【0059】
ステップS15’およびステップS16’は、概ね図3に示すステップS15およびステップS16の内容と同じであり、これは、簡略化のため参照によりここに編入される。
【0060】
幾つかの実施形態によれば、ユーザクラスタデバイスの鍵セットが鍵管理装置を用いて管理され、鍵および鍵セットの識別コードが鍵ネゴシエーションを必要とすることなくユーザクラスタデバイスに対して発行される。ユーザクラスタデバイスがあるサービスデバイスにアクセスする要求を行うと、サービスデバイスは、ユーザクラスタデバイスのデジタル署名を含む認証要求を鍵管理装置に送信し、鍵管理装置は、ユーザクラスタデバイスに対してアイデンティティ認証を行う。
【0061】
さらに、鍵管理装置は、ポーリングメカニズムを用いて鍵セットと鍵セットの識別コードとを規則的に更新し、鍵セットと識別コードとをユーザクラスタデバイスに配布することができる。ユーザクラスタデバイスは、更新された鍵セットと識別コードとを用いてデジタル署名を更新し、漏洩リスクを含めセキュリティが改善される。
【0062】
さらに、サービスデバイスは、認証効率性を改善すべく公開鍵および鍵セットの識別コードを永続的な態様で格納することができる。
【0063】
本出願の趣旨および範囲から逸脱することなく本出願に様々な変更および変形がなされ得ることは当業者には明らかであろう。このようにして、本出願は、本出願の変更および変形を含むことが意図されている。
【0064】
本出願は、ソフトウェアおよび/またはソフトウェアとハードウェアとの組み合わせで実装することができることに留意すべきである。例えば、本出願は、特定用途向け集積回路(ASIC)、汎用コンピュータ、または任意の他の同様のハードウェア装置を使用することによって実装することができる。幾つかの実施形態によれば、本出願のソフトウェアプログラムは、上述のステップまたは機能を実装するためにプロセッサによって実行されてもよい。同様に、本出願のソフトウェアプログラム(関連するデータ構造を含む)は、コンピュータ読み取り可能な記録媒体、例えば、RAMメモリ、磁気もしくは光学ドライブ、またはフロッピーディスクまたは同様の装置に格納することができる。さらに、本出願の幾つかのステップまたは機能は、ハードウェア、例えば、各ステップまたは機能を実行するためにプロセッサと協働する回路によって実装することができる。
【0065】
加えて、本出願の部分は、コンピュータプログラム製品、例えばコンピュータプログラム命令として実装されてもよく、コンピュータによって命令が実行される場合、本出願による方法および/または技術的解決策は、コンピュータの動作によって呼び出されまたは提供されることができる。本出願の方法を呼び出すプログラム命令は、固定または取り外し可能な記録媒体に格納され、および/または他の信号収入媒体のブロードキャストまたはデータストリームを介して送信され、および/またはプログラム命令に従って実行されるコンピュータ装置のワーキングメモリに格納されてもよい。本願の幾つかの実施形態は装置を含み、この装置は、コンピュータプログラム命令を記憶するために用いられるメモリと、プログラム命令を実行するために用いられるプロセッサとを備えており、コンピュータプログラム命令がプロセッサによって実行されると、本出願に係る複数の実施形態に基づく方法および/または技術的解決策を実行するためにこの装置が起動される。
【0066】
当業者であれば、本出願が上記例示的な実施形態の細部に限定されるものではなく、本出願の趣旨またはその基本的構成から逸脱することなく他の具体的形態において実装することができることは明らかである。従って、これらの実施形態はあらゆる観点において例示的かつ非限定的なものとみなされるべきであり、本出願の範囲は、上記の説明に代えて添付の請求項によって画定され、従って各請求項の均等な要素の意味および範囲に包含される全ての変更が含まれることを意図している。特許請求の範囲内のいかなる参照符号も、関係する請求項の限定事項とみなすことは不適切である。加えて、用語「含む」は、他のユニットまたはステップを排除せず、単数形は複数形を排除しない。装置クレームに記載された複数のユニットまたは装置は、ソフトウェアまたはハードウェアを介して1つのユニットまたは装置によって実装されてもよい。「第1」や「第2」といった単語は名称を指示するために用いられるが特定の順序を何ら示唆するものではない。