IP Force 特許公報掲載プロジェクト 2022.1.31 β版

知財求人 - 知財ポータルサイト「IP Force」

▶ ケラルト・インコーポレーテッドの特許一覧

特許7083892デジタル証明書のモバイル認証相互運用性
<>
  • 特許-デジタル証明書のモバイル認証相互運用性 図1
  • 特許-デジタル証明書のモバイル認証相互運用性 図2
  • 特許-デジタル証明書のモバイル認証相互運用性 図3
  • 特許-デジタル証明書のモバイル認証相互運用性 図4
  • 特許-デジタル証明書のモバイル認証相互運用性 図5
  • 特許-デジタル証明書のモバイル認証相互運用性 図6
  • 特許-デジタル証明書のモバイル認証相互運用性 図7
  • 特許-デジタル証明書のモバイル認証相互運用性 図8
  • 特許-デジタル証明書のモバイル認証相互運用性 図9
  • 特許-デジタル証明書のモバイル認証相互運用性 図10
  • 特許-デジタル証明書のモバイル認証相互運用性 図11
  • 特許-デジタル証明書のモバイル認証相互運用性 図12
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-06-03
(45)【発行日】2022-06-13
(54)【発明の名称】デジタル証明書のモバイル認証相互運用性
(51)【国際特許分類】
   G06F 21/33 20130101AFI20220606BHJP
【FI】
G06F21/33
【請求項の数】 26
(21)【出願番号】P 2020515930
(86)(22)【出願日】2018-10-05
(65)【公表番号】
(43)【公表日】2020-12-17
(86)【国際出願番号】 US2018054670
(87)【国際公開番号】W WO2019103794
(87)【国際公開日】2019-05-31
【審査請求日】2020-04-07
(31)【優先権主張番号】15/819,605
(32)【優先日】2017-11-21
(33)【優先権主張国・地域又は機関】US
(73)【特許権者】
【識別番号】520087011
【氏名又は名称】ケラルト・インコーポレーテッド
(74)【代理人】
【識別番号】100108453
【弁理士】
【氏名又は名称】村山 靖彦
(74)【代理人】
【識別番号】100110364
【弁理士】
【氏名又は名称】実広 信哉
(74)【代理人】
【識別番号】100133400
【弁理士】
【氏名又は名称】阿部 達彦
(72)【発明者】
【氏名】マイケル・ケラルト
(72)【発明者】
【氏名】ジョン・ダブリュー・トルバート
【審査官】平井 誠
(56)【参考文献】
【文献】特開2009-020783(JP,A)
【文献】特開2005-149341(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/30-46
H04L 9/32
(57)【特許請求の範囲】
【請求項1】
ユーザおよびモバイルデバイスに関する信頼できる情報に基づいてネットワーク接続を介した、オンラインサービスサーバへの前記モバイルデバイスを有する前記ユーザのピアツーピア認証のためのシステムであって、前記システムは、
メモリおよびプロセッサと、
ネットワーク接続を介して前記オンラインサービスサーバに認証要求を送信する、前記モバイルデバイス上で動作するソフトウェアと、
前記ネットワーク接続を介してファストアイデンティティオンライン(FIDO)認証システムに前記認証要求に関連付けられたデータを送信する、前記オンラインサービスサーバと、
前記ネットワーク接続を介して前記FIDO認証システムからFIDO認証要求を受信する、前記モバイルデバイス上で動作する前記ソフトウェアと、
前記ユーザに関連付けられたデータを含み、かつ、前記モバイルデバイス上に記憶された、デジタル文書に関連する情報を取り出す、前記モバイルデバイス上で動作する前記ソフトウェアであって、前記デジタル文書は、ユーザ検証システムを介して生成され、
前記取り出される情報は、前記デジタル文書からのフィールド、ユーザ検証システムデジタル署名、ユーザ名、電子メールアドレス、有効期限、前記デジタル文書に関連付けられた権利および用途に関するデータ、前記デジタル文書を生成した前記検証システムの名前、前記デジタル文書に署名するために使用されたアルゴリズムを識別するアルゴリズム識別子、およびそれらの組合せからなるグループから選択される、ソフトウェアと、
前記デジタル文書の完全性を検査するための前記モバイルデバイス上で動作する前記ソフトウェアと、
前記取り出される情報の少なくとも一部を認証メッセージに挿入し、前記認証メッセージを前記FIDO認証システムに送信する、前記モバイルデバイス上で動作する前記ソフトウェアと
を含む、システム。
【請求項2】
前記ユーザ検証システムは、公開鍵基盤(PKI)である、請求項1に記載のシステム。
【請求項3】
前記デジタル文書は、x.509証明書を含む、請求項2に記載のシステム。
【請求項4】
前記取り出される情報を前記ユーザ検証システムに送信する、前記モバイルデバイス上で動作する前記ソフトウェアと、
前記取り出される情報が検証されたという検証を、前記モバイルデバイスに送信する、前記ユーザ検証システムと
をさらに含む、請求項3に記載のシステム。
【請求項5】
前記ユーザ検証システムは、認証局を含む、請求項4に記載のシステム。
【請求項6】
前記認証メッセージは、前記デジタル文書の前記完全性の前記検査に関連付けられた情報を含む、請求項1に記載のシステム。
【請求項7】
前記認証メッセージの前記送信は、前記デジタル文書の前記完全性の検査の成功を条件とする、請求項6に記載のシステム。
【請求項8】
前記デジタル文書の前記完全性の検査は、公開鍵、または有効日、または検証可能なタイムスタンプ、または証明書署名アルゴリズム、または前記デジタル文書のデジタル署名、またはそれらの組合せの分析を含む、請求項1に記載のシステム。
【請求項9】
前記認証メッセージの前記送信は、前記デジタル文書の前記完全性の前記検査を条件とする、請求項1に記載のシステム。
【請求項10】
前記デジタル文書の前記完全性の前記検査は、前記デジタル文書が、変更または侵害されたか否かを決定することを含む、請求項9に記載のシステム。
【請求項11】
前記デジタル文書の前記完全性を検査するための前記ソフトウェアは、前記デジタル文書が変更されたか否かを決定するために、または前記デジタル文書が変更されたか否かを決定するための前記ユーザ検証システムに前記デジタル文書を送信するために、または前記デジタル文書内に含まれる前記データが有効であるか否かを決定するための前記ユーザ検証システムに前記デジタル文書またはその一部を送信するために、およびそれらの組合せのために提供される、請求項1に記載のシステム。
【請求項12】
前記システムではさらに、
前記モバイルデバイスからの前記認証要求は、前記モバイルデバイスを前記オンラインサービスサーバに登録するための登録要求を含み、
前記オンラインサービスサーバから前記FIDO認証システムに送信された前記データは、前記登録要求に関連付けられたデータを含み、
前記FIDO認証要求は、公開鍵と秘密鍵のペアに基づくFIDO登録要求を含み、
前記認証メッセージは、前記公開鍵と秘密鍵のペアに基づく登録メッセージを含む、
請求項1に記載のシステム。
【請求項13】
前記FIDO認証システムは、登録結果を前記オンラインサービスサーバに送信し、前記オンラインサービスサーバは、成功裏の登録メッセージを前記モバイルデバイスに送信する、請求項12に記載のシステム。
【請求項14】
ユーザおよびモバイルデバイスに関する信頼できる情報に基づいてネットワーク接続を介した、オンラインサービスサーバへのユーザおよびモバイルデバイスのピアツーピア認証の方法であって、前記方法は、
ネットワーク接続を介して前記モバイルデバイスからユーザ検証システムに前記ユーザに関する情報を送信するステップと、
前記モバイルデバイスにおいて、ユーザ検証システムを介して生成され、かつ、前記ユーザに関する情報を含むデジタル文書を、前記ユーザ検証システムから受信するステップと、
ネットワーク接続を介して、前記モバイルデバイスから前記オンラインサービスサーバへ認証要求を送信するステップと、
ネットワーク接続を介して、前記オンラインサービスサーバからファストアイデンティティオンライン(FIDO)認証システムへ、前記認証要求に関連付けられたデータを送信するステップと、
前記モバイルデバイスにおいて、前記FIDO認証システムからFIDO認証要求を受信するステップと、
前記モバイルデバイス上に記憶された前記デジタル文書から前記ユーザに関連する情報を取り出すステップと、
前記取り出される情報は、前記デジタル文書からのフィールド、ユーザ検証システム署名、ユーザ名、電子メールアドレス、有効期限、前記デジタル文書に関連付けられた権利および用途に関するデータ、前記デジタル文書を生成した前記検証システムの名前、前記デジタル文書に署名するために使用されたアルゴリズムを識別するアルゴリズム識別子、およびそれらの組合せからなるグループから選択され、
前記デジタル文書の完全性を検査するステップと、
前記取り出される情報の少なくとも一部を認証メッセージに挿入し、前記認証メッセージを前記FIDO認証システムに送信するステップと
を含む、方法。
【請求項15】
前記ユーザ検証システムは、公開鍵基盤(PKI)である、請求項14に記載の方法。
【請求項16】
前記デジタル文書は、x.509証明書である、請求項15に記載の方法。
【請求項17】
前記モバイルデバイスから前記ユーザ検証システムに前記取り出される情報を送信するステップと、
前記取り出される情報が検証されたという検証を、前記ユーザ検証システムから前記モバイルデバイスに送信するステップと
をさらに含む、請求項16に記載の方法。
【請求項18】
前記ユーザ検証システムは、認証局を含む、請求項17に記載の方法。
【請求項19】
前記認証メッセージは、前記デジタル文書の前記完全性の前記検査に関連付けられた情報を含む、請求項14に記載の方法。
【請求項20】
前記認証メッセージを送信する前記ステップは、前記デジタル文書の前記完全性を検査する前記ステップが成功であることを条件とする、請求項19に記載の方法。
【請求項21】
前記デジタル文書の前記完全性を検査する前記ステップは、公開鍵、または有効日、または検証可能なタイムスタンプ、または証明書署名アルゴリズム、またはそれらの組合せを分析するステップを含む、請求項14に記載の方法。
【請求項22】
前記認証メッセージを送信する前記ステップは、前記デジタル文書の前記完全性を検査する前記ステップを条件とする、請求項14に記載の方法。
【請求項23】
前記デジタル文書の前記完全性の前記検査は、前記デジタル文書が、変更または侵害されたか否かを決定するステップを含む、請求項22に記載の方法。
【請求項24】
前記デジタル文書の前記完全性を検査する前記ステップは、前記デジタル文書が変更されたか否かを決定するステップ、または前記デジタル文書が変更されたか否かを決定するための前記ユーザ検証システムに前記デジタル文書を送信するステップ、または前記デジタル文書内に含まれる前記データが有効であるか否かを決定するための前記ユーザ検証システムに前記デジタル文書またはその一部を送信するステップ、およびそれらの組合せをさらに含む、請求項14に記載の方法。
【請求項25】
前記モバイルデバイスからの前記認証要求は、前記モバイルデバイスを前記オンラインサービスサーバに登録するための登録要求を含み、前記オンラインサービスサーバから前記FIDO認証システムに送信された前記データは、前記登録要求に関連付けられたデータを含み、
前記FIDO認証要求は、公開鍵と秘密鍵のペアに基づくFIDO登録要求を含み、
前記認証メッセージは、前記公開鍵と秘密鍵のペアに基づく登録メッセージを含む、
請求項14に記載の方法。
【請求項26】
前記FIDO認証システムから前記オンラインサービスサーバに登録結果を送信するステップと、
前記オンラインサービスサーバから前記モバイルデバイスに成功裏の登録メッセージを送信するステップと
をさらに含む、請求項25に記載の方法。
【発明の詳細な説明】
【技術分野】
【0001】
本出願は、モバイルデバイスにおいて処理されるリソースのセキュリティを対象とする。特に、モバイルデバイス上の機密データを安全に処理するための認証システムを対象とする。
【背景技術】
【0002】
認証システムは、長い間広く使用されてきた。最も初期の認証システムのうちのいくつかは、コンピュータのユーザに関連付けることができる単純なパスワードの使用を含む。ユーザは、自分自身を識別し、パスワードを入力し、次いで、個人に適切に関連付けられた情報へのアクセスが与えられる。人によってアクセスレベルが異なる可能性があることを理解されたい。
【0003】
このタイプのシステムの主な問題は、セキュリティに関してはパスワードが信頼できないことで有名なことである。人がコンピュータを開いているかどうかを視覚的に識別するための撮像ソフトウェアの使用、または人を識別するための生体認証の使用(たとえば、指紋、アイスキャンなど)を含む、ユーザ認証のための他の多くの手法がある。パスワードベースのシステムで観察されるまたさらに別の問題には、日常のデバイスにおいてデフォルトのパスワードを悪用するモノのインターネット(IoT)ボットネットによって実行される壊滅的なサービス拒否攻撃がある。
【0004】
厳しく検査されたクレデンシャルが必要であるとき、公開鍵基盤(PKI)が効果的に使用されてきた。PKIは、以下の重要な構成要素をそのアーキテクチャに利用することによって、識別の強力な証明を提供する。
【0005】
1.デジタル証明書。ユーザおよびマシンを識別する信頼できるサードパーティによって発行されたデジタル「識別」。これらは、ウォレットまたはディレクトリに安全に記憶され得る。
【0006】
2.公開鍵および秘密鍵。これらは、機密の秘密鍵および数学的に関連した公開鍵に基づいて、安全な通信のためのPKIの基礎を形成する。
【0007】
3.認証局(CA)。デジタル証明書の信頼できる独立したプロバイダとして機能する。
【0008】
PKIは、非常に厳しく検査されたクレデンシャルを提供することができる階層システムとして説明することができる。PKIは、そのような強力な標準であるので、個人、組織、およびマシンを含む複数のエリアに識別認証を配信するために、情報セキュリティエリアにおいて広く使用されている。識別にバインドされた公開鍵を使用し、証明書を作成した組織に関する情報にアクセスできるようにするためのメカニズムを提供し、個人がその秘密鍵を制御できるようにすることによって、PKIは、任意のリライングパーティ(relying party)アプリケーションが識別の発信元に戻る機能を提供する。この階層的手法は、リライングパーティに、提示された識別の所有者に対する高いレベルの信頼を提供し、これは、発信元が妥当性検査され、信頼できるエンティティ(米国政府など)であるときに強化される。
【0009】
問題を複雑にするために、経済のすべてのセクタにおいて、利便性、柔軟性、およびアクセス可能性のために、固定のコンピュータがモバイルデバイスに置き換えられるという強い傾向が見られている。さらに、多様な識別管理エコシステムが開発されており、認証局がアプリケーションプロバイダから切り離され、ユーザがモバイルであり、誰がシステムにアクセスしているかを企業が理解するのに苦労している。モビリティ、すなわち、物理的な仕事場に束縛されていないことは、非常に効率的であり、慎重に実施すれば、雇用主と従業員に同様に利益をもたらす。モバイルコンピューティングは、新しいアーキテクチャを導入し、部門の垣根を取り払い、複数の識別とそのようなトランザクションを実行するために信頼に依存する無関係な当事者との間のピアツーピアトランザクションを導入している。モバイルコンピューティングは、人々が働き、仕事をする方法を変えている。たとえば、以前は、人が非常に安全なドキュメントにアクセスしたい場合、端末に座って、個人がその情報にアクセスすることができることを確認する一連の操作を介してログインする必要があった。しかしながら、モバイルデバイスの進歩によって、はるかに多くの作業を実行できるようになり、個人がモバイルデバイスを使用して非常に機密性の高い情報にアクセスできるようにするために、圧力がかかっていた。
【0010】
モバイルデバイスは、多要素認証、ネイティブ機能(すなわちアプリ)、およびウェブブラウジングの急速な収束をもたらした。最近の最も重要な進歩の1つは、第2の要素としての電話である。すなわち、携帯電話は「あなたが持っているもの」である。明白な物理的要因は、個人識別番号(PIN)またはパスワード(知っているもの)、または次第に、統合型生体認証によって活性化される。
【0011】
しかし、これまで、個人識別検証(PIV)のような強力な識別証明ソリューションは、主にスマートカードに配備されてきた。古典的に、PIVクレデンシャルは、安全な秘密鍵を含むスマートカードで運ばれる。同様に、これまで、PIVクレデンシャルの相互運用性には、クライアント側ソフトウェアコンポーネントおよびバックエンドCAの特定のPKI統合が必要であった。政府は、とりわけ、ほとんどのモバイルデバイスには従来のスマートカードリーダーがないのでモバイルデバイスでPIVカードを使用するのに苦労しており、モバイル認証にNFCを活用する取組みは苦労してきた。一部、これらの課題のため、米国政府は、PKIのセキュリティモデルをモバイルデバイスに拡張することに焦点を当てた派生PIVクレデンシャル(Derived PIV Credential:DPC)イニシアチブを作成した。DPCは、2014年に開始されたが、まだ早期導入モードであり、展開が非常に複雑であることがわかっている。実際には、これは、米国政府にわたる何百万ものモバイルデバイスが強力な認証で保護されていないことを意味する。
【0012】
民間部門企業は、様々な米国政府機関と同様の要求に直面して、ユーザのモバイルデバイスからコンテンツを保護するためのアクセスをオープンにする。一例として、航空宇宙および防衛産業を検討する。この業界のすべての企業は、ユーザ、サプライヤ、および場合によっては顧客にさえも、厳しく検査されたx.509識別クレデンシャルを提供するために、スマートカード技術に多額の金銭的投資を行ってきた。
【0013】
X.509は、デジタル証明書および公開鍵暗号化、ならびにウェブおよび電子メール通信を保護するために使用されるトランスポートレイヤセキュリティプロトコルの鍵部分を管理するためのPKIの標準である。X.509証明書は、国際X.509 PKI標準を使用して、公開鍵が証明書内に含まれるユーザ、コンピュータ、またはサービス識別に属していることを検証するデジタル証明書である。
【0014】
モバイルデバイスを使用して機密データにアクセスするこれらの民間部門企業ユーザは、日々の業務を遂行するためにスマートフォンおよびタブレットにますます依存するようになった。しかしながら、これらの組織のデータ所有者は、(認証で開始する)セキュリティ問題のため、モバイルデバイスから機密情報へのアクセスを提供することにためらっていた。
【0015】
このすべてのモバイルデバイスの利用の結果は、非階層認証システムの急増であった。これらの非階層認証システムは、モバイルデバイスおよび新しいコンピューティング技法の主要な機能を活用して、モバイルデバイスとリライングパーティ(または個人、デバイスなどにサービスを提供する組織)との間でよりユーザフレンドリーで摩擦のない認証プロセスを提供することができるという利点を提供する。
【0016】
セキュリティ要素と広範なネイティブ暗号との強力な組合せによって、Fast Identity Online(FIDO)Allianceは、本質的にあらゆるモバイルデバイスからの認証を変換するようになった。FIDOは、業界標準の、テストされ、入念に検査された暗号アルゴリズムを使用して強力な認証標準に取り組んでいる識別管理ベンダー、製品会社、およびサービスプロバイダのコンソーシアムである。FIDO標準によって、多要素認証の新しいパラダイムが可能になり、ひとたび個人が個人のモバイルデバイスを認証すると、そのデバイスを使用して、次いで、他のデジタルサービスを認証できるようになる。
【0017】
NIST SP 800-63-3 DIGITAL IDENTITY GUIDELINESの最近の公報では、オープンネットワークを介して政府のITシステムと連携する、従業員、請負業者、私人、および商業団体などのユーザの識別証明および認証の顕著な変更について概説している。https://pages.nist.gov/800-63-3/sp800-63-3.htmlを参照されたい。このドキュメントで概説されている2つの重要な変更は、(1)認証者保証からの識別保証の分離、および(2)最高レベル、すなわち認証者保証レベル3(AAL3)以内のFIDO U2FおよびUAFなどの技術の認識である。
【0018】
結果として、FIDOプロトコルは、認証のための非対称公開鍵(PK)暗号化に関する政府のガイドラインを満たしているので、現在、実行可能なオプションと考えられている。これは、以前はPKIで実現するのが難しかった、および/または高価であったFIDO対応のレガシーならびにクラウドベースのアプリケーションおよびリソースに対する強力なモバイル認証につながる。
【0019】
FIDOの制限のうちの1つは、PKIと直接統合できないことであり、PKIは、PIVクレデンシャルを安全に管理し、認証の前に信頼できる当事者に戻ってユーザの識別を検証する階層システムである。これによって、FIDOによって提供されるAA3レベルの認証で政府標準の識別クレデンシャルを直接使用できなくなる。
【0020】
たとえば、FIDO Allianceによって発行された「FIDO Alliance White Paper: Leveraging FIDO Standards to Extend the PKI Security Model in United States Government Agencies」というタイトルの記事は、FIDOが米国政府認証エコシステムの拡大においてPKIをどうやったら補完できるかを記載している。https://fidoalliance.org/wp-content/uploads/White-Paper-Leveraging-FIDO-Standards-to-Extend-the-PKI-Security-Model-in-US-Govt-Agencies.pdf。この論文では、PKIの課題および欠点について詳しく説明しているが、PIVは、米国政府の選択した資格として継続する必要があることを認めている。
【0021】
2017年3月17日付のSecureID Newsによって、「Merging FIDO and PIV could help feds achieve strong authentication goals」というタイトルの別の記事が提供されている。https://www.secureidnews.com/news-item/merging-fido-and-piv-could-help-feds-achieve-strong-authentication-goals/。この記事は、上記のホワイトペーパーを要約する。一部の主な抜粋は以下のとおりである。「レガシーと新規の両方のアプリケーションを可能にするPKIは、簡単なプロセスではない」および「本格的なPIVカードの提示が実行可能であれば、それが優先ルートになる。しかし、これが不可能な場合、PIVが派生したクレデンシャルの次にFIDOが派生したクレデンシャルが続く」。言い換えれば、現在、階層PKIシステムを非階層FIDOの世界と完全に統合することはできない。
【先行技術文献】
【非特許文献】
【0022】
【文献】NIST SP 800-63-3 DIGITAL IDENTITY GUIDELINEShttps://pages.nist.gov/800-63-3/sp800-63-3.html
【文献】FIDO Alliance White Paper: Leveraging FIDO Standards to Extend the PKI Security Model in United States Government Agencieshttps://fidoalliance.org/wp-content/uploads/White-Paper-Leveraging-FIDO-Standards-to-Extend-the-PKI-Security-Model-in-US-Govt-Agencies.pdf
【文献】2017年3月17日付のSecureID News、Merging FIDO and PIV could help feds achieve strong authentication goalshttps://www.secureidnews.com/news-item/merging-fido-and-piv-could-help-feds-achieve-strong-authentication-goals/
【発明の概要】
【発明が解決しようとする課題】
【0023】
したがって、これは、業界が現在取り扱っている問題であり、すなわち、PKIなど、システムによって提供される厳しく検査されたクレデンシャルを、FIDOなど、業界標準の、テストされ、検査された暗号アルゴリズムを使用した強力な認証標準とともに利用する方法である。上記の記事で述べたように、まだ達成されている効果的な解決策はない。
【課題を解決するための手段】
【0024】
したがって、モバイルデバイスを使用するユーザに強力な認証を提供するシステムおよび方法が望まれる。
【0025】
さらに、階層認証システムと非階層認証システムとの間を橋渡しするシステムおよび方法を提供することが望ましい。
【0026】
またさらに、モバイルデバイス上のデジタルクレデンシャルを階層認証システムで検査し、その後、同じ識別を、階層認証システムの検査を利用する非階層認証システムで検査できるようにするシステムおよび方法を提供することが望ましい。
【0027】
また、FIDO認証システムがPKI認証システムによって提供される識別の妥当性検査および検証を使用し、それに依存するように、モバイルデバイス用のPKI認証システムとFIDO認証システムとの間を橋渡しするシステムおよび方法を提供することが望ましい。
【0028】
したがって、一構成では、非階層の形式のFIDO公開鍵暗号化を認証局ベースの形式のPKIと橋渡しするシステムが提供される。
【0029】
PKIの主な利点は、個人、組織、およびマシンを含む複数のエリアに識別認証を配信するために、情報セキュリティエリアにおいて広く使用されている強力な標準を含むことである。PKIは、識別にバインドされた公開鍵を使用するので、非常に強力な標準と見なされる。さらに、PKIは、証明書を作成した組織に関する情報にアクセスするメカニズムを提供する。またさらに、PKIによって、個人はその秘密鍵を制御することができる。したがって、PKIによって、リライングパーティアプリケーションは、連続したチェーンを通じて識別の発信元に「戻る」ことができる。これは、階層認証システムの一例である。この階層的手法は、リライングパーティに、提示された識別の所有者に対する非常に高いレベルの信頼を提供し、これは、発信元が妥当性検査され、大いに信頼できるエンティティであるときに強化される。
【0030】
PKI手法の重要な構成要素は、x.509形式の妥当性検査されたデジタル証明書であり、通常、(たとえば、ソフトまたはハードトークンなど)多くの方法で識別所有者に提供することができる以下の情報属性を含み、通常、1)証明書のユーザの名前、2)有効期限、3)CAによって証明書に割り当てられた一意のシリアル番号、4)ユーザの公開鍵、5)証明書に関連付けられた権利および用途に関する情報、6)証明書を発行した認証局の名前、7)CAの署名、および8)証明書の署名に使用されたアルゴリズムを識別するアルゴリズム識別子のコア情報を含む。
【0031】
証明書は、証明書を所有する個人またはデバイスの識別を妥当性検査するために使用され得る電子文書になり、リライングパーティに信頼性の高い応答を配信する(すなわち、階層的であるので、発信元に戻る連続したチェーンを追跡することが可能である)。しかしながら、このタイプのシステムをモバイルデバイスに拡張するという大きい課題がある。これは、比較的高いコンピューティング要件、ならびに証明書およびその情報へのアクセスを得る際に、ユーザおよび個人情報をリライングパーティと共有するPKIの傾向によるものである。
【0032】
一方、FIDOプロトコルは、(たとえば、オンラインサービス)デバイスとリライングパーティとの間の堅牢な認証を提供するために、標準公開鍵暗号技法を使用する。FIDO UAFプロトコルは、1)登録、2)認証、3)トランザクションの確認、および4)登録解除を含む。
【0033】
FIDO登録プロセスは、典型的には以下のように進行する。
【0034】
第1に、ユーザは、オンラインサービスの受け入れポリシーに一致する利用可能なFIDOオーセンティケータを選択するよう求められる。
【0035】
第2に、ユーザは、指紋リーダーをスワイプするなど何らかのユーザジェスチャーを使用して、PINを安全に入力して、または何らかの他の信頼できる方法を使用してFIDOオーセンティケータをロック解除する。
【0036】
第3に、ユーザのオーセンティケータは、オーセンティケータ、オンラインサービス、およびユーザのアカウントに一意の新しい公開/秘密鍵ペアを作成する。
【0037】
第4に、公開鍵がオンラインサービスに送信され、ユーザのアカウントに関連付けられる。秘密鍵およびローカル認証方法に関する任意の情報は、ローカルデバイスから決して離れないことに留意されたい。
【0038】
重要な利点は、FIDOにより、代行機関および商業的なリライングパーティアプリケーションが、従来の費用のかかるCAモデルなしで公開鍵暗号化のセキュリティ上の利点を達成できることである。
【0039】
しかしながら、FIDO登録および認証プロセスの制限は、オーセンティケータの所有者の識別を知るために事前の識別バインディングステップを前提とすることである。言い換えれば、それは登録プロセス以降の識別の前提と同様であるにすぎない(たとえば、システムは登録を超えてさかのぼらない)。PKIはこの脆弱性に対処するので(たとえば、信頼性の高い発信元にまでさかのぼることができる)、PKIとFIDOの両方を利用して、下位CAの必要なしに、モバイルデバイスを使用してデータにアクセスしようとしているユーザを識別することが良いことになる。デジタル証明書のモバイル認証相互運用性(MAIDC)システムはまさにこれを行う。
【0040】
MAIDCシステムは、証明書クレデンシャルをFIDO対応のバックエンドサービスに結合する。MAIDCシステムは、ユーザのモバイルデバイス(たとえば、電話、タブレットなど)における派生PIVクレデンシャル(DPC)へのアクセスおよび使用を制御するモバイル認証アプリを含む。システムは、電子リソースへのアクセスを取得するために利用されるFIDO UAF(ユニバーサル認証フレームワーク)認証方法も提供する。
【0041】
特に、FIDO認定の派生クレデンシャル(x.509)オーセンティケータは、認証局によって発行され、FIDO UAFプロトコルを介して、ユーザのモバイルデバイス上に安全に記憶されたクレデンシャルと企業Webリソースとの間の橋渡しとして機能する。
【0042】
FIDOプロトコルが商業用および政府のサーバによってますます受け入れられるようになり、信頼できる識別を使用するオーセンティケータは、たとえば、個人のプライバシーを保護し、様々な範囲の認証アクティビティにおいて使用されるようにクレデンシャルの価値を拡張しながら、緊急応答管理パートナー、エネルギーユーティリティ、医療施設、および金融機関へのファーストレスポンダーにIAL3識別を利用するNIST SP 800-63-3 AAL3モバイル認証を有効にすることができる。
【0043】
MAIDCは、互換性のあるモバイルデバイスにミラーリングされるPIV証明書を提供するDPCを利用する。これは、互換性のあるモバイルデバイスに正確なコピーが保存されるのではなく、並列識別証明書が使用されることを意味する。そのため、証明書はカード自体からコピーされるのではなく、別の場所からコピーされ、これは、発行者の値は、異なるが、標準化された方法でその情報を伝えるためにデジタル証明書を使用する同様のデータ(たとえば、同じ電子メール、同じ名前など)を含むことを意味する。アクセス制御設定では、デジタル証明書がサーバに提示され、解析され、属性が受信アプリケーションによって取り出され、消費される。これによって、派生クレデンシャルからのPIV属性をFIDO属性にマッピングする新しい変換機能およびリソースが可能になる。
【0044】
本出願では、以下の用語および定義が適用されるものとする。
【0045】
本明細書で使用する「データ」という用語は、表示、信号、マーク、シンボル、ドメイン、シンボルセット、表現、および永続的か一時的か、可視、可聴、音響、電気、磁気、電磁気、またはその他の形で現れるかにかかわらず、情報を表す任意の他の物理的形式を意味する。ある物理的形式で所定の情報を表すために使用される「データ」という用語は、異なる物理的形式での同じ所定の情報のありとあらゆる表現を包含すると見なされるものとする。
【0046】
本明細書で使用される「デバイス」という用語は、電子通信を容易にする任意のシステムを意味する。これは、たとえば、モバイル電話、ページャ、電子メールシステム、コンピュータ、タブレット、アプリ、スマートフォン、パーソナルスマートデバイス、ウェアラブル技術、ラップトップ、モノのインターネット(IoT)などの機械知能を含み得る。多くの場合、通信媒体は、デバイス上のアプリケーションに関連する。
【0047】
「ユーザ」という用語は、単独でまたは1つもしくは複数のグループで、同じ場所もしくは様々な場所において、および同時にまたは様々な異なる時間に、それぞれ任意の方法でデータにアクセスする人、マシン、またはプログラムを意味する。
【0048】
本明細書で使用される「ネットワーク」という用語は、インターネットを含むあらゆる種類のネットワークとインターネットワークの両方を含み、任意の特定のネットワークまたはインターネットワークに限定されない。
【0049】
「第1」および「第2」という用語は、1つの要素、セット、データ、オブジェクト、または物を他と区別するために使用され、相対的な位置または時間の配置の指定には使用されない。
【0050】
本明細書で使用される「結合される」、「に結合される」、「と結合される」、「接続される」、「に接続される」、「と接続される」、および「接続」という用語は各々、(a)直接、あるいは1つもしくは複数の他のデバイス、装置、ファイル、プログラム、アプリケーション、メディア、コンポーネント、ネットワーク、システム、サブシステム、または手段を介した接続、(b)直接、あるいは1つもしくは複数の他のデバイス、装置、ファイル、プログラム、アプリケーション、メディア、コンポーネント、ネットワーク、システム、サブシステム、または手段を介した通信関係、および/あるいは(c)任意の1つもしくは複数のデバイス、装置、ファイル、プログラム、アプリケーション、メディア、コンポーネント、ネットワーク、システム、サブシステム、または手段の動作が、全体的または部分的に、その任意の1つまたは複数の他の動作に依存する機能的関係のうちの任意の1つまたは複数を構成する、2つ以上のデバイス、装置、ファイル、プログラム、アプリケーション、メディア、コンポーネント、ネットワーク、システム、サブシステム、および/または手段の間の関係を意味する。
【0051】
本明細書で使用される「プロセス」および「処理」という用語は各々、たとえば、限定はしないが、連続または非連続、同期または非同期の、データのルーティング、データの変更、データのフォーマットおよび/または変換、データのタグ付けまたは注釈付け、データの測定、比較および/またはレビューを含むアクションまたは一連のアクションを意味し、プログラムを含んでいても含んでいなくてもよい。
【0052】
本明細書で使用される「公開鍵基盤」および「PKI」という用語は、デジタル証明書を作成し、管理し、配布し、使用し、記憶し、および無効化し、公開鍵暗号化を管理するために必要な役割、ポリシー、および手順のセットである。
【0053】
ここで使用される「Fast Identity On Line Alliance」および「FIDO」という用語は、標準公開鍵暗号技法を使用してデバイスとリライングパーティとの間の認証を提供するプロトコルであり、登録、認証、トランザクションの確認、および登録解除を含む。
【0054】
一例では、ネットワーク接続を介してオンラインサービスのサーバにアクセスしようとし、第1の認証サーバおよび第2の認証サーバから認証を求めるモバイルデバイスを認証するためのシステムが提供され、システムは、モバイルデバイス上のストレージに記憶されたオンラインサービスに関連付けられたモバイルアプリを含む。システムは、モバイルアプリが開かれると、オンラインサービスにアクセスする旨の要求が生成され、要求は、モバイルデバイスに関連付けられたデータを含み、モバイルデバイスは、オンラインサービスに関連付けられたオンラインサービスサーバに要求を送信するように提供される。システムはさらに、オンラインサービスサーバがオンラインサービスにアクセスする旨の要求を受信し、第1の認証サーバに送信される第1の認証要求を生成するように提供され、第1の認証要求は、モバイルデバイスに関連付けられたデータを含む。またさらに、システムは、第1の認証サーバが第1の認証要求を受信し、モバイルデバイスに関連付けられたデータに部分的に基づいて第1の認証を生成し、第1の認証サーバがオンラインサービスサーバに第1の認証を送信するように提供される。システムはまた、オンラインサービスサーバが、モバイルデバイスに送信される識別要求の証明を生成することを提供し、モバイルデバイスは、第2の認証サーバに送信される第2の認証要求を生成し、第2の認証要求は、モバイルデバイスのユーザに関連付けられたデータを含む。システムはさらに、第2の認証サーバが第2の認証要求を受信することを促進し、モバイルデバイスのユーザに関連付けられたデータに部分的に基づいて第2の認証を生成し、第2の認証サーバは、モバイルデバイスに第2の認証を送信する。モバイルデバイスは、オンラインサービスサーバに第2の認証を送信し、オンラインサービスサーバは、モバイルデバイスが第1の認証および第2の認証に基づいてオンラインサービスサーバを介してオンラインサービスにアクセスすることを可能にする。
【0055】
別の例では、モバイルアプリを介してオンラインサービスのサーバにアクセスしようとするネットワーク接続を有するユーザおよびモバイルデバイスを認証するための方法が提供され、オンラインサービスサーバは、第1の認証サーバおよび第2の認証サーバから認証を求める。この方法は、モバイルアプリを開き、オンラインサービスサーバにアクセスする旨の要求を生成するステップであり、要求は、モバイルデバイスに関連付けられたデータを含む、ステップと、ネットワーク接続を介して、オンラインサービスに関連付けられたオンラインサービスサーバに要求を送信するステップとを含む。方法は、モバイルデバイスに関連付けられたデータを含む第1の認証要求を生成するステップと、第1の認証要求をオンラインサービスサーバから第1の認証サーバに送信するステップと、モバイルデバイスに関連付けられたデータに部分的に基づいて第1の認証を生成するステップと、第1の認証を第1の認証サーバからオンラインサービスサーバに送信するステップとをさらに含む。方法は、識別要求の証明を生成するステップと、識別要求の証明をオンラインサービスサーバからモバイルデバイスに送信するステップと、モバイルデバイスのユーザに関連付けられたデータを含む第2の認証要求を生成するステップと、第2の認証要求をモバイルデバイスから第2の認証サーバに送信するステップとをまたさらに含む。最後に、この方法は、モバイルデバイスのユーザに関連付けられたデータに部分的に基づいて第2の認証を生成するステップと、第2の認証を第2の認証サーバからモバイルデバイスに送信するステップと、第2の認証をモバイルデバイスからオンラインサービスサーバに送信するステップと、オンラインサービスへのアクセスがオンラインサービスサーバを介してモバイルデバイスに提供されるように、第1および第2の認証を処理するステップとを含む。
【0056】
さらに別の例では、ネットワーク接続を有するユーザおよびモバイルデバイスを登録するための方法であって、ユーザがモバイルデバイス上のストレージに記憶されたアプリに関連付けられたオンラインサービスへのアクセスを求める、方法が提供される。この方法は、モバイルデバイス上でアプリを起動するステップと、ユーザに関連付けられた識別情報を入力するようユーザに促すステップと、識別情報を検証するステップとを含む。この方法は、登録要求をモバイルデバイスから第1の認証サーバに送信するステップと、登録通知をアプリからオンラインサービスに関連付けられたオンラインサービスサーバに送信するステップと、登録信号をオンラインサービスサーバからモバイルデバイスに送信するステップであり、登録信号がオンラインサービスに関連付けられたデータを含む、ステップとをさらに含む。この方法はまた、検証要求をアプリから第2の認証サーバに送信するステップであり、検証要求が、モバイルデバイスおよびユーザに関連付けられたデータを含む、ステップと、検証データを第2の認証サーバから、検証要求に含まれるデータを検証し、第2の認証サーバに関連付けられたデータを含むアプリに送信するステップと、検証データをアプリからオンラインサービスサーバおよび第1の認証サーバに送信するステップとを含む。最後に、この方法は、検証データの少なくとも一部を第1の認証サーバに関連付けられたストレージに記憶するステップと、検証結果をアプリに送信するステップと、ユーザに登録結果を通知するステップとを含む。
【0057】
本発明の他の目的およびその特定の特徴および利点は、以下の図面の考察からより明らかになるであろう。
【図面の簡単な説明】
【0058】
図1】システムの一例による、システムと対話するFIDOユーザデバイスのブロック図である。
図2】派生個人識別検証クレデンシャルを取得することを示すブロック図である。
図3】証明書妥当性検査プロセスを示すブロック図である。
図4】認証システムによるモバイルデバイスのFIDO UAF登録のワークフロープロセスを示す図である。
図5】認証システムによるモバイルデバイスのOCSP妥当性検査のワークフロープロセスを示す図である。
図6】認証システムによるモバイルデバイスのFIDO UAF認証のワークフロープロセスを示す図である。
図7】FIDO x.509ステップアップ認証を示すブロック図である。
図8】オーセンティケータ固有のモジュール機能を示すフロー図である。
図9】オーセンティケータモジュール機能を示すフロー図である。
図10】証明書妥当性検査プロセスを示すフロー図である。
図11】登録プロセスを示すフロー図である。
図12】認証プロセスを示すフロー図である。
【発明を実施するための形態】
【0059】
次に図面を参照すると、同様の参照番号は、図面を通じて対応する構造を示す。
【0060】
図1は、オンラインサービスにアクセスするためのブラウザ/アプリ102を含む任意のタイプのモバイルデバイスを含むことができるFIDOユーザデバイス100を含む。アプリ102は、たとえば、リライングパーティウェブサーバ106によって受信されるUAFプロトコル104を有する要求を送信するために起動することができる。UAFプロトコル104は、TLSプロトコルを含むことができ、リライングパーティウェブサーバ106は、TLS鍵を含むことができる。
【0061】
次いで、リライングパーティウェブサーバ106は、FIDOサーバ108に認証を要求することができ、これは次に、FIDO要件への準拠を証明するFIDOメタデータサービス110を送信することができる。
【0062】
また、図1に示されているのは、ブラウザ/アプリ102がFIDOクライアント112、オーセンティケータ固有モジュール114、およびFIDO認証モジュール116を含むことである。
【0063】
FIDO認証モジュール116は、この例では、証明書妥当性検査のためにOCSPサーバ118と通信するように示されている。随意に、これは、PIVクレデンシャルのプロビジョニングをさらに含み得る。
【0064】
FIDO認定のDPCオーセンティケータは、厳しく検査されたクレデンシャルからFIDO対応の企業サーバ側リソースへの重要な橋渡しを形成することを、当業者は理解されよう。前に説明したように、現在まで、PIVクレデンシャルの相互運用性には、クライアント側ソフトウェアコンポーネントおよびバックエンドCAの特定のPKI統合が必要であった。提案されているFIDO DPCオーセンティケータは、この統合を合理化する。DPCの実装は、限定はしないが、たとえば、NIST SP 800-157およびNIST SP 800-63-3 AAL3レベルによって要求される政府の基準を満たす、承認されたモバイルデバイスのデジタル証明書を作成し、限定はしないが、たとえば、NIST SP 800-57およびNIST.SP 800-63-3によって要求される政府の基準を満たす、モバイルデバイスからのIAL3識別を利用するAAL3認証を有効にする。
【0065】
図2は、最初のFIDOオーセンティケータ登録プロセス200を示す。特に、このプロセスは、派生PIVクレデンシャルプロビジョニングのオプションのステップをさらに含む。
【0066】
この例では、管理者がユーザに招待202を送信する。次いで、204で登録要求がリライングパーティアプリ206に送信され、これは次いで、FIDO UAFサーバ/登録ポータル214に送信され、したがって、FIDO x.509オーセンティケータが208でユーザデバイスにダウンロードされる。
【0067】
次いで、ユーザデバイスは、210で、リライングパーティアプリ206に登録要求を送信し、これは、212で、リライングパーティアプリ206からFIDO UAFサーバ/登録ポータル214に対して登録要求をトリガする。次いで、FIDO UAFサーバ/登録ポータル214は、リライングパーティアプリ206と通信し、したがって、PIN初期化216のためにユーザデバイスに連絡し、キーペア生成218が行われる。
【0068】
この時点から、認証証明識別(Authentication Attestation Identification: AAID)、公開鍵、認証暗号、およびユーザ名を含む鍵登録データ(KRD)オブジェクトがリライングパーティアプリ206に送信される。次いで、リライングパーティアプリ206は、220で公開鍵を妥当性検査し、記憶するためにFIDO UAFサーバ/登録ポータル214と通信する。
【0069】
図3は、認証システム300の一例である。この例では、302でアクセス要求がアプリ301によって生成され、モバイルデバイスからFIDO対応のリライングパーティアプリケーション304に送信される。
【0070】
これは、次に、306でFIDO UAFサーバ308に対して認証要求の生成をトリガする。認証要求は、リライングパーティアプリケーション304を介してユーザデバイス310に送信される。アプリ301は、証明書妥当性検査要求312をオンライン証明書ステータスプロトコル(OCSP)サーバ314に送信し、妥当性検査を受信する。次いで、妥当性検査または署名付きアサーション316がFIDO対応のリライングパーティアプリケーション304に送信される。次いで、FIDO対応のリライングパーティアプリケーション304は、318でFIDO UAFサーバで結果を検証し、ひとたび検証されると、320で、アプリ301がFIDO対応のリライングパーティアプリケーション304にアクセスできるようになる。
【0071】
様々な機能および方法が一連のステップで説明され、提示されているが、シーケンスは、単に1つの有利な実施形態の例示として提供されており、これらの機能を示されている特定の順序で実行する必要がないことに留意されたい。さらに、これらのステップのいずれかが他のステップのいずれかに対して移動され、および/または結合され得ることが企図される。加えて、用途に応じて、本明細書に記載の機能のすべてまたは一部を利用することが有利であり得ることがまたさらに企図される。
【0072】
次に図4を参照すると、FIDO UAF登録400プロセスの一例が示されている。ユーザ402がリライングパーティモバイルアプリ406を404で開く場合を含む、登録の様々なステップが示されている。モバイルアプリ406は、408でPIN、および410でサブミットされるべきユーザ名およびPINについてユーザ402に要求する。次いで、モバイルアプリ406は412でログインを検証し、414でUAF登録要求をFIDOサーバ416に対してトリガし、FIDOサーバ416は、418でUAF登録要求をリライングパーティモバイルアプリ406に返す。
【0073】
次いで、モバイルアプリ406は、420でアプリケーション識別およびトランジットレイヤセキュリティ(TLS)バインディングとともにUAF登録要求をFIDOクライアント422に送信し、FIDOクライアント422は、424でアプリケーション識別によって識別されるファセット識別リストをリライングパーティモバイルアプリ406に送信する。リライングパーティモバイルアプリ406は、426でファセット識別リストをFIDOクライアント422に返し、FIDOクライアント422は、428でポリシーに基づいてオーセンティケータを選択する。これによって、次に、430でFIDOクライアント422からオーセンティケータ固有モジュール432に対して登録がトリガされる。オーセンティケータ固有モジュール432は、434でオーセンティケータ436へのKHアクセストークンを含む登録をトリガする。オーセンティケータ436は、ユーザ402がPINを入力し、440で証明書検証および妥当性検査をPKIプロセス442に送信するように、438で、ユーザ402へのユーザ検証をトリガする。
【0074】
PKIプロセス442は、444でユーザを検証し、446でのアプリケーション識別および認証識別のためのキーペアの生成のためにオーセンティケータ436に送り返される。
【0075】
オーセンティケータ436は、448で証明および公開鍵を含むKRDオブジェクトをオーセンティケータ固有モジュール432に返し、オーセンティケータ固有モジュール432は、次に、450でKRDをFIDOクライアント422に返す。FIDOクライアント422は、452でKRDを含むUAF登録応答をリライングパーティモバイルアプリ406に返し、リライングパーティモバイルアプリ406は、次に、454でKRDを含むUAF登録応答をFIDOサーバ416に送信する。次いで、FIDOサーバ416は、456で検証結果をリライングパーティモバイルアプリ406に返し、リライングパーティモバイルアプリ406は、次に、458でユーザ402に成功した登録を示す。
【0076】
次に図5を参照すると、OCSP妥当性検査プロセス500の一例が提示されている。ユーザ502がリライングパーティモバイルアプリ506を504で開く場合を含む、妥当性検査の様々なステップが示されている。モバイルアプリ506は、508でPINの入力をユーザ502に要求する。ユーザ502は、510でユーザ名およびPINを入力し、オーセンティケータ512によって受信される。次いで、オーセンティケータ512は、514でログインを検証し、516で、キーストア518で日付の有効性をチェックする。キーストア518が520で有効性を確認した場合、次いで、制御はオーセンティケータ512に戻される。
【0077】
次いで、オーセンティケータ512は、522で、キーストアが524でOCSPクエリを構築する証明書から発行者、シリアル番号およびサブジェクトを解析する。オーセンティケータ512は、次いで、526でOCSPクエリをOCSPサーバ528にサブミットする。次いで、OCSPサーバ528は、530で認証局532にすべての証明書を要求する。次いで、認証局532は、534でOCSPサーバ528による評価のために証明書を送信する。最後に、OCSPサーバ528が、証明書が有効であると判定した場合、次いで、536で、FIDO UAFプロセスを開始するためにオーセンティケータに制御が戻る。
【0078】
次に図6を参照すると、FIDO UAF認証プロセス600の一例が示されている。ユーザ602がリライングパーティモバイルアプリ606を604で開くことを含む、認証のための様々なステップが示されている。モバイルアプリ606は、608で、FIDOサーバ610に送信されるUAF認証要求をトリガする。612で一般的な認証要求が生成され、614で、UAF認証要求がリライングパーティモバイルアプリ606に戻される。次いで、リライングパーティモバイルアプリ606は、616でアプリケーション識別およびTLSバインディングとともにUAF認証要求をFIDOクライアント618に送信する。
【0079】
FIDOクライアント618は、620でアプリケーション識別によって識別されるファセット識別リストを取り出そうとし、要求がリライングパーティモバイルアプリ606に送信される。次いで、リライングパーティモバイルアプリ606は、622でファセット識別リストをFIDOクライアント618に返す。次いで、FIDOクライアント618は、624でポリシーに基づいてオーセンティケータを選択し、626でオーセンティケータ固有モジュール628に対して認証をトリガする。
【0080】
次いで、オーセンティケータ固有モジュール628は、630でオーセンティケータ632によるキーハンドル(KH)アクセストークンを含む認証をトリガする。これによって、634でユーザ検証がトリガされ、ユーザ602が自身を識別すると、636で証明書検証および妥当性検査要求がPKIプロセス638に送信されるようになる。次いで、PKIプロセス638は、640でユーザ認証をオーセンティケータ632に送り返すことになる。
【0081】
次いで、オーセンティケータ632は、642でユーザ認証をロック解除し、認証結果を計算し、644で署名済みデータをオーセンティケータ固有モジュール628に送信し、オーセンティケータ固有モジュール628は、次に、646で署名済みデータをFIDOクライアント618に送信する。FIDOクライアント618は、648で署名済みデータを含むUAF認証応答をリライングパーティモバイルアプリ606に送信する。
【0082】
リライングパーティモバイルアプリ606は、650でUAF認証応答をFIDOサーバ610に送信し、FIDOサーバ610は、652でUAF認証応答を検証する。次いで、654で検証結果がリライングパーティモバイルアプリ606に送信され、リライングパーティモバイルアプリ606は、次に、656でログイン情報をユーザ602に提供する。
【0083】
図7は、FIDO x.509ステップアップ認証のためのシステムを提供する。ブロック図は、図3に関連して説明され、図3に示されたものと類似しているが、このシステム700は、すべての用途により高いレベルのセキュリティが必要となる可能性があることを企図する。この例では、702でアクセス要求がアプリ701によって生成され、モバイルデバイスからFIDO対応のリライングパーティアプリケーション704に送信される。
【0084】
これは、次に、706で、FIDO UAFサーバ708に対して認証要求の生成をトリガする。認証要求は、710でリライングパーティアプリケーション704を介してユーザデバイスに送信される。この例では、ユーザは、712で顔認識などの生体認証を入力する必要がある。次いで、714で署名済みアサーション、および716でアクセスが、リライングパーティアプリケーション704に送信される。さらに、718で、機密アクセス要求が機密リライングパーティアプリケーション720に送信される。
【0085】
これは、722で、FIDO UAFサーバ708に対して機密機関要求の生成をトリガする。さらに、724でx.509認証要求がアプリ701に送信され、アプリ701は、726で、OCSPサーバ728に証明書妥当性検査を要求する。ひとたび証明書妥当性検査がOSCPサーバ728から戻されると、730で、署名済みアサーションが機密リライングパーティアプリケーション720に送信される。
【0086】
次いで、機密リライングパーティアプリケーション720は、732で、FIDO UAFサーバ708により戻された結果を検証し、その後、プロセスが結果を妥当性検査する場合、734で機密リライングパーティアプリケーション720へのアクセスを許可する。
【0087】
図8は、オーセンティケータ固有のモジュール機能を示すフロー図である。プロセス800は、804でオーセンティケータを見つけるためのFIDOクライアントからの要求802のプロセスを示している。
【0088】
次いで、プロセスは、認証要求806に移動し、システムは、808でユーザがオーセンティケータに登録されているかどうかを判定する。いいえの場合、プロセスは、ユーザ登録プロセス810に移動し、はいの場合、プロセスは、認証プロセス812に移動する。
【0089】
認証プロセス812の後、プロセスは移動して、814でユーザが識別情報を入力する。これは、ユーザを識別するために提供される任意のタイプの識別とすることができることに留意されたい。ひとたび情報が入力されると、プロセスは816の検証に進む。識別情報が有効でなかった場合、プロセスはループバックして、814でユーザが識別情報を入力し、これによって、プロセスが終了する前に限られた回数の試行のみが許可される。識別情報が有効であった場合、プロセスは、x.509妥当性検査プロセス818に移動する。
【0090】
ここから、プロセスは、820でx.509妥当性検査に合格したか不合格になったかを判定する。妥当性検査に合格した場合、プロセスは、822で肯定応答を作成することに移動するが、妥当性検査に不合格になった場合、プロセスは、824で不合格応答を作成することに移動する。肯定または不合格応答のいずれかから、プロセスは、次いで、826でFIDOクライアントに応答を返すことに移動する。最後に、プロセスは、FIDOクライアント肯定応答828に進む。
【0091】
図9は、オーセンティケータモジュール機能を示すフロー図である。プロセス900は、902でオーセンティケータ固有モジュールから受信された要求を示している。登録要求904が受信されると、プロセスは、906でキーストア妥当性検査から証明書を抽出することに進む。次いで、プロセスは、証明書妥当性検査プロセス908に移動する。
【0092】
認証要求910が受信された場合、プロセスは、912でローカル妥当性検査のためにASMからのユーザ名に基づいて証明書を検索することに進む。次いで、プロセスは、証明書妥当性検査プロセス908に移動する。
【0093】
証明書妥当性検査プロセス908から、914で結果が判定される。結果が妥当性検査で認証されない場合、916でプロセスが終了する。プロセスが妥当性検査で認証されると、プロセスは、918で対応する応答を作成することに進み、次いで、920でASMに戻る。
【0094】
図10は、証明書妥当性検査プロセスを示すフロー図である。プロセス1000は、1002で証明書を発見することから始まり、次いで、1004で、たとえば数字6~8とすることができるPINをユーザが入力することに移動する。一例としてPINが使用されているが、任意のタイプのセキュリティを効果的に使用できることに留意されたい。
【0095】
次いで、プロセスは、1006で入力された情報が正しいかどうかを判定する。そうでない場合、1008で、たとえば6回の試行に制限されるなど、正しい情報を入力するための限られた回数の試行がユーザに与えられる。限られた回数の試行内に正しい情報が入力されない場合、プロセスは1010で終了する。正しい情報が入力されると、プロセスは1012でキーストアをロック解除することに移動する。
【0096】
キーストアがロック解除された後、プロセスは、1014で証明書の完全性をチェックすることに進む。証明書の完全性をチェックする際、プロセスは、1016で、たとえば公開鍵を使用して署名をチェックし、発行者の署名を検証する。
【0097】
証明書の完全性が有効でないと判定された場合、プロセスは1018で終了する。証明書の完全性が有効であると判定された場合、次いで、プロセスは、1020で、証明書の有効期間をチェックすることに移動する。証明書の有効期間をチェックする際、プロセスは、1022で、たとえば有効日をチェックする。
【0098】
証明書の完全性が有効でないと判定された場合、プロセスは1024で終了する。証明書の完全性が有効であると判定された場合、次いで、プロセスは、1026で、証明書署名アルゴリズムをチェックすることに移動する。署名アルゴリズムをチェックする際、プロセスは、非対称暗号アルゴリズムまたは楕円曲線デジタル署名アルゴリズム(ECDSA)1030であるRivest-Shamir-Adleman(RSA)1028をチェックしている可能性がある。
【0099】
ひとたび証明書署名アルゴリズムのチェックが完了すると、次いで、プロセスは、証明書妥当性検査プロセス1032を実行する。証明書妥当性検査プロセス、これは、サーバベースの証明書妥当性検査(SCVP)1034またはオンライン証明書ステータスプロトコル(OCSP)1036の妥当性検査を含み得る。
【0100】
次いで、プロセスは、1038で証明書が有効であるかどうかを判定する。証明書が有効でないと判定された場合、プロセスは1040で終了する。証明書が有効であると判定された場合、次いで、プロセスは、この例ではFIDO UAFプロセス1042に移動する。
【0101】
図11は、登録プロセスを示すフロー図である。プロセス1100は、1102でリライングパーティが使用するオーセンティケータを識別することから始まる。そこから、プロセスは、1104でオーセンティケータを選択し、次いで、1106でオーセンティケータが見つかったかどうかを判定することに移動する。
【0102】
オーセンティケータが見つからなかった場合、プロセスは1108で終了する。オーセンティケータが見つかった場合、プロセスは、1110でアプリケーション識別をチェックし、API鍵を生成することに移動する。ひとたびこれが完了すると、プロセスは、ユーザ検証プロセス1112に移動し、次いで、プロセスは、1114でこれが成功するかどうかを判定する。検証プロセスが成功しない場合、プロセスは1108で終了する。検証プロセスが成功する場合、プロセスは、1116でサブジェクトの別名をユーザ名にバインドすることに移動する。
【0103】
次いで、プロセスは、1118で鍵を生成することに移動し、これは、一例では、ユーザ名、API鍵、個人識別、および発呼者識別を含み得る。次いで、プロセスは、1120で証明証明書(attestation certificate)を作成し、これは1122でリライングパーティ1124に送信される。
【0104】
図12は、認証プロセスを示すフロー図である。プロセス1200は、1202のリライングパーティから始まり、1202のポリシーに基づくオーセンティケータの選択に進み、これは、アプリケーション識別を含み、tbDataを取得し、キーハンドルおよびアクセスキーを調べ得る。
【0105】
次いで、プロセスは、証明書妥当性検査プロセス1204に移動し、システムは、1206で妥当性検査が成功したかどうかを判定する。そうでない場合、プロセスは、1207で終了する。妥当性検査が成功する場合、プロセスは、1208のオーセンティケータ通知の生成に移動する。
【0106】
次いで、プロセスは、1210で最終チャレンジパラメータ(fcp)、結果n(はいまたはいいえ)、カウンタ(cntr)、署名(s)をリライングパーティ1212に送信する。
【0107】
本システムを既知の従来技術と比較すると、MAIDCの多くの利点のいくつかは、以下を含む。
【0108】
1)DPC値および使用の増加。このシステムは、モバイルデバイスを、FIDO DPCオーセンティケータを介して企業リソースに接続する機能を提供する。このシステムはまた、DPCの使用を商業活動に拡張し、これは、プライバシーおよび証明書情報を保護する機能を果たす。
【0109】
2)セキュリティおよびプライバシーの強化。システムは、弱いユーザ名/パスワード認証メカニズムの使用を低減または排除する。また、認証イベントから個人情報を分離することによって、証明書の強度を失うことなく匿名認証を提供する。システムは、パスワードリセット要求を介したソーシャルエンジニアリング攻撃の可能性をさらに低下させる。
【0110】
3)より低い運用コスト。現在のシステムは、PIV認証プロセスに対する現在の投資をモバイルデバイスに拡張するように機能する。パスワードの使用を低減することによって、ヘルプデスクへのパスワードリセット呼び出しの回数を低減するという点で、セキュリティ運用コストを低減する。
【0111】
またさらに、提案されたFIDO DPCオーセンティケータは、政府および民間部門システムへのモバイル認証の迅速な開発および統合を促進する。FIDOの制限のうちの1つは、PKIと直接統合できないことであり、PKIは、PIVクレデンシャルを安全に管理し、認証の前に信頼できる当事者に戻ってユーザの識別を検証する階層システムである。これによって、FIDOによって提供されるAA3レベルの認証で政府標準の識別クレデンシャルを直接使用できなくなる。しかしながら、MAIDCは、モバイルデバイスの証明書クレデンシャルをFIDO対応のバックエンドサービスに結合する唯一のシステムであるので、この問題を解決する。
【0112】
本発明は、部分、特徴などの特定の配置を参照して説明されたが、これらはすべての可能な配置または特徴を使い果たすことを意図するものではなく、実際、多くの他の修正および変形が当業者には確認可能である。
【符号の説明】
【0113】
100 FIDOユーザデバイス
102 ブラウザ/アプリ
104 UAFプロトコル
106 リライングパーティウェブサーバ
108 FIDOサーバ
110 FIDOメタデータサービス
112 FIDOクライアント
114 オーセンティケータ固有モジュール
116 FIDO認証モジュール
118 OCSPサーバ
202 招待
204 登録要求
206 リライングパーティアプリ
210 登録要求
212 登録要求
214 FIDO UAFサーバ/登録ポータル
216 PIN初期化
218 キーペア生成
220 公開鍵
300 認証システム
301 アプリ
302 アクセス要求
304 リライングパーティアプリケーション
306 認証要求の生成
308 FIDO UAFサーバ
310 ユーザデバイス
312 証明書妥当性検査要求
314 オンライン証明書ステータスプロトコル(OCSP)サーバ
316 妥当性検査または署名付きアサーション
318 結果
400 FIDO UAF登録
406 リライングパーティモバイルアプリ
416 FIDOサーバ
422 FIDOクライアント
432 オーセンティケータ固有モジュール
436 オーセンティケータ
440 証明書検証および妥当性検査
442 PKIプロセス
500 OCSP妥当性検査プロセス
506 リライングパーティモバイルアプリ
512 オーセンティケータ
518 キーストア
528 OCSPサーバ
532 認証局
600 FIDO UAF認証プロセス
606 リライングパーティモバイルアプリ
610 FIDOサーバ
618 FIDOクライアント
628 オーセンティケータ固有モジュール
632 オーセンティケータ
638 PKIプロセス
700 システム
701 アプリ
704 リライングパーティアプリケーション
708 FIDO UAFサーバ
720 機密リライングパーティアプリケーション
728 OCSPサーバ
802 FIDOクライアントからの要求
806 認証要求
810 ユーザ登録プロセス
812 認証プロセス
818 x.509妥当性検査プロセス
828 FIDOクライアント肯定応答
904 登録要求
908 証明書妥当性検査プロセス
910 認証要求
1000 プロセス
1028 Rivest-Shamir-Adleman(RSA)
1030 楕円曲線デジタル署名アルゴリズム(ECDSA)
1032 証明書妥当性検査プロセス
1034 サーバベースの証明書妥当性検査(SCVP)
1036 オンライン証明書ステータスプロトコル(OCSP)
1124 リライングパーティ
1200 プロセス
1202 リライングパーティ
1204 証明書妥当性検査プロセス
1212 リライングパーティ
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
図11
図12