▶ ジェーエーエムエフ ソフトウェア,エルエルシーの特許一覧
&c=P_P1&t=1659288908)
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2023-10-31
(54)【発明の名称】パスワードレス認証
(51)【国際特許分類】
H04L 9/32 20060101AFI20231024BHJP
G06F 21/32 20130101ALI20231024BHJP
H04L 9/08 20060101ALI20231024BHJP
【FI】
H04L9/32 200D
G06F21/32
H04L9/08 C
H04L9/08 F
【審査請求】未請求
【予備審査請求】未請求
(21)【出願番号】P 2023509714
(86)(22)【出願日】2021-09-08
(85)【翻訳文提出日】2023-04-05
(86)【国際出願番号】 US2021049501
(87)【国際公開番号】W WO2022066415
(87)【国際公開日】2022-03-31
(31)【優先権主張番号】63/084,449
(32)【優先日】2020-09-28
(33)【優先権主張国・地域又は機関】US
(81)【指定国・地域】
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.BLUETOOTH
(71)【出願人】
【識別番号】521177832
【氏名又は名称】ジェーエーエムエフ ソフトウェア,エルエルシー
【氏名又は名称原語表記】JAMF SOFTWARE, LLC
【住所又は居所原語表記】100 Wahington Square,100 S.Washington Avenue,Suite 1100,Minneapolis,Minnesota 55401(US)
(74)【代理人】
【識別番号】100109634
【弁理士】
【氏名又は名称】舛谷 威志
(74)【代理人】
【識別番号】100129263
【弁理士】
【氏名又は名称】中尾 洋之
(72)【発明者】
【氏名】レンニッヒ,ジョエル
(72)【発明者】
【氏名】ワイゼンベイカー,ジョシュ
(72)【発明者】
【氏名】ハモンド,カイル ウェインライト
(57)【要約】
ユーザの携帯装置を用いて、副次的装置及び副次的サービスに対してユーザのパスワードレス認証を可能にする方法を提供する。方法は、携帯装置のユーザに関連付けられた暗号化済み公開キーを含む暗号化済みキーのペアを、携帯装置で生成する。方法は、携帯装置のユーザに関連付けられた暗号化済み公開キーの署名付き証明書を、携帯装置で受信する。方法は、ユーザの副次的装置に入力されたユーザに関連付けられた識別データが受信されたことに応答して、暗号化済み公開キーの署名付き証明書に関連付けられたユーザのローカルアカウントを、副次的装置で生成する。
【選択図】図1
【選択図】図1
【特許請求の範囲】
【請求項1】
携帯装置のユーザに関連付けられた暗号化済み公開キーを含む暗号化済みキーのペアを、前記携帯装置で生成することと、前記携帯装置の前記ユーザに関連付けられた前記暗号化済み公開キーの署名付き証明書を、前記携帯装置で受信することと、
前記ユーザの副次的装置に入力された前記ユーザに関連付けられた識別データが受信されたことに応答して、前記暗号化済み公開キーの前記署名付き証明書に関連付けられた前記ユーザのローカルアカウントを、前記副次的装置で生成することと、
前記ローカルアカウントが生成されたことに応答して、前記ユーザの認証情報の入力を、前記ユーザの前記携帯装置で受け取ることと、
前記ユーザの前記認証情報の入力が有効であるとの判断に基づいて、前記副次的装置における承認済み操作の実行を許可する指示の送信を、前記副次的装置で行わせることと、を含む、ことを特徴とする、コンピュータにより実施される方法。
【請求項2】
前記携帯装置の前記ユーザに関連付けられた前記公開キーの前記署名付き証明書の公示を、前記携帯装置にワイヤレスで行わせること、をさらに含む、ことを特徴とする請求項1に記載のコンピュータにより実施される方法。
【請求項3】
前記ユーザに関連付けられた前記識別データは、個人識別番号である、ことを特徴とする請求項1に記載のコンピュータにより実施される方法。
【請求項4】
前記個人識別番号は、前記携帯装置においてローテーション的に生成される、ことを特徴とする請求項3に記載のコンピュータにより実施される方法。
【請求項5】
前記携帯装置の前記ユーザに関連付けられた前記公開キーの前記署名付き証明書は、証明書署名要求に応答して認証局によって署名されたものである、ことを特徴とする請求項1に記載のコンピュータにより実施される方法。
【請求項6】
前記暗号化済みキーのペアは、前記携帯装置のコプロセッサによって生成される、ことを特徴とする請求項1に記載のコンピュータにより実施される方法。
【請求項7】
前記暗号化済みキーのペアは、楕円曲線暗号によって生成される、ことを特徴とする請求項7に記載のコンピュータにより実施される方法。
【請求項8】
前記認証情報の入力は、前記ユーザの生体情報である、ことを特徴とする請求項1に記載のコンピュータにより実施される方法。
【請求項9】
前記ユーザの前記生体情報は、前記ユーザの顔の特徴に基づく、ことを特徴とする請求項8に記載のコンピュータにより実施される方法。
【請求項10】
前記ユーザの前記生体情報は、前記ユーザの指紋に基づく、ことを特徴とする請求項8に記載のコンピュータにより実施される方法。
【請求項11】
指示を含むメモリと、前記指示を実行するように構成されたプロセッサと、を備え、前記指示が実行されると、前記プロセッサに、
携帯装置のユーザに関連付けられた暗号化済み公開キーを含む暗号化済みキーのペアを、前記携帯装置で生成することと、
前記携帯装置の前記ユーザに関連付けられた前記暗号化済み公開キーの署名付き証明書を、前記携帯装置で受信することと、
前記携帯装置の前記ユーザに関連付けられた前記公開キーの前記署名付き証明書の公示を、前記携帯装置にワイヤレスで行わせることと、
前記ユーザの副次的装置に入力された前記ユーザに関連付けられた識別データが受信されたことに応答して、前記暗号化済み公開キーの前記署名付き証明書に関連付けられた前記ユーザのローカルアカウントを、前記副次的装置で生成することと、
前記ローカルアカウントが生成されたことに応答して、前記ユーザの認証情報の入力を、前記ユーザの前記携帯装置で受け取ることと、
前記ユーザの前記認証情報の入力が有効であるとの判断に基づいて、前記副次的装置における承認済み操作の実行を許可する指示の送信を、前記副次的装置で行わせることと、を行わせる、ことを特徴とするシステム。
【請求項12】
前記ユーザに関連付けられた前記識別データは、個人識別番号である、ことを特徴とする請求項11に記載のシステム。
【請求項13】
前記個人識別番号は、前記携帯装置においてローテーション的に生成される、ことを特徴とする請求項12に記載のシステム。
【請求項14】
前記携帯装置の前記ユーザに関連付けられた前記公開キーの前記署名付き証明書は、証明書署名要求に応答して認証局によって署名されたものである、ことを特徴とする請求項11に記載のシステム。
【請求項15】
前記暗号化済みキーのペアは、楕円曲線暗号によって生成される、ことを特徴とする請求項11に記載のシステム。
【請求項16】
前記認証情報の入力は、前記ユーザの生体情報である、ことを特徴とする請求項11に記載のシステム。
【請求項17】
機械可読指示を含む非一時的な機械可読記憶媒体であって、前記機械可読指示を実行すると、プロセッサに、携帯装置のユーザに関連付けられた暗号化済み公開キーを含む暗号化済みキーのペアを、前記携帯装置で生成することと、
前記携帯装置の前記ユーザに関連付けられた前記暗号化済み公開キーの署名付き証明書を、前記携帯装置で受信することと、
前記ユーザの副次的装置に入力された前記ユーザに関連付けられた識別データが受信されたことに応答して、前記暗号化済み公開キーの前記署名付き証明書に関連付けられた前記ユーザのローカルアカウントを、前記副次的装置で生成することと、
前記ローカルアカウントが生成されたことに応答して、前記ユーザの生体情報を、前記ユーザの前記携帯装置で受け取ることと、
前記ユーザの前記生体情報が有効であるとの判断に基づいて、前記副次的装置における承認済み操作の実行を許可する指示の送信を、前記副次的装置で行わせることと、を含む方法を実行させる、ことを特徴とする非一時的な機械可読記憶媒体。
【請求項18】
前記プロセッサに前記方法を実行させる指示をさらに含む請求項18に記載の非一時的な機械可読記憶媒体であって、前記方法は、前記携帯装置の前記ユーザに関連付けられた前記公開キーの前記署名付き証明書の公示を、前記携帯装置にワイヤレスで行わせること、を含む、ことを特徴とする非一時的な機械可読記憶媒体。
【請求項19】
前記ユーザに関連付けられた前記識別データは、個人識別番号である、ことを特徴とする請求項18に記載の非一時的な機械可読記憶媒体。
【請求項20】
前記個人識別番号は、前記携帯装置においてローテーション的に生成される、ことを特徴とする請求項19に記載の非一時的な機械可読記憶媒体。【発明の詳細な説明】
【関連出願との相互参照】
【0001】
本国際出願は、2020年9月28日に出願された「Passwordless Authentication」と題する米国仮特許出願第63/084,449に基づく優先権と利益を主張するものであり、その内容全体をここに参照により援用するものとする。
【技術分野】
【0002】
本開示は、一般的にコンピュータシステムに関するものであり、より具体的には、携帯装置を利用して、副次的装置及び副次的サービスでのパスワードレス認証を行うためのセキュリティ機能に関する。
【背景技術】
【0003】
パスワードは、組織内の様々な装置やアプリケーション、サービスに対するユーザ認証で、増々利用されるようになっている。ユーザのパスワードの管理や入力は、煩雑なユーザエクスペリエンスとなる傾向にある。従来のシングルサインオン技術によって、ユーザがパスワードを入力する回数を削減できるが、依然改善の余地が残されている。
【0004】
さらに、パスワードは本質的に安全ではない。強力なパスワードを作成することもできるが、ユーザがそれを記憶することは一般的に困難である。また、一人のユーザが、同一の強固で覚えにくいパスワードを、複数の製品やプラットフォームで使用することもあり、侵害の影響を受けやすくなる。
【0005】
背景技術のセクションにおける記載は、当該背景技術のセクションで言及されるか、又は関連付けられるという理由で、先行技術であると仮定されるべきではない。背景技術のセクションは、主題技術の一以上の態様について説明する情報が含まれることもある。
【発明の概要】
【0006】
特定の態様において、本開示は、ユーザの携帯装置を活用して、当該ユーザの副次的装置及びサービスに対するパスワードレス認証を可能にするシステム及び方法を提供する。
【0007】
本開示の特定の態様によれば、コンピュータにより実施される方法が提供される。前記方法は、携帯装置のユーザに関連付けられた暗号化済み公開キーを含む暗号化済みキーのペアを、前記携帯装置で生成する。前記方法は、前記携帯装置の前記ユーザに関連付けられた前記暗号化済み公開キーの署名付き証明書を、前記携帯装置で受信する。前記方法は、前記ユーザの副次的装置に入力された前記ユーザに関連付けられた識別データが受信されたことに応答して、前記暗号化済み公開キーの前記署名付き証明書に関連付けられた前記ユーザのローカルアカウントを、前記副次的装置で生成する。前記方法は、前記ローカルアカウントが生成されたことに応答して、前記ユーザの認証情報の入力を、前記ユーザの前記携帯装置で受け取る。前記方法は、前記ユーザの前記認証情報の入力が有効であるとの判断に基づいて、前記副次的装置における承認済み操作の実行を許可する指示の送信を、前記副次的装置で行わせる。
【0008】
本開示の他の態様によれば、システムが提供される。前記システムは、指示を含むメモリと、前記指示を実行するように構成されたプロセッサとを備え、前記指示が実行されると、前記プロセッサに、前記管理装置にて、少なくとも1つの被管理装置を含むデータを受信させる。前記プロセッサは、前記指示を実行するように構成され、前記指示は実行されると、前記プロセッサに、携帯装置のユーザに関連付けられた暗号化済み公開キーを含む暗号化済みキーのペアを、前記携帯装置で生成することを行わせる。前記プロセッサは、前記指示を実行するように構成され、前記指示は実行されると、前記プロセッサに、前記携帯装置の前記ユーザに関連付けられた前記暗号化済み公開キーの署名付き証明書を、前記携帯装置で受信することを行わせる。前記プロセッサは、前記指示を実行するように構成され、前記指示は実行されると、前記プロセッサに、前記携帯装置の前記ユーザに関連付けられた前記公開キーの前記署名付き証明書の公示を、前記携帯装置にワイヤレスで行わせる。前記プロセッサは、前記指示を実行するように構成され、前記指示は実行されると、前記プロセッサに、前記ユーザの副次的装置に入力された前記ユーザに関連付けられた識別データが受信されたことに応答して、前記暗号化済み公開キーの前記署名付き証明書に関連付けられた前記ユーザのローカルアカウントを、前記副次的装置で生成することを行わせる。前記プロセッサは、前記指示を実行するように構成され、前記指示は実行されると、前記プロセッサに、前記ローカルアカウントが生成されたことに応答して、前記ユーザの認証情報の入力を、前記ユーザの前記携帯装置で受け取ることを行わせる。前記プロセッサは、前記指示を実行するように構成され、前記指示は実行されると、前記プロセッサに、前記ユーザの前記認証情報の入力が有効であるとの判断に基づいて、前記副次的装置における承認済み操作の実行を許可する指示の送信を、前記副次的装置で行わせる。
【0009】
本開示の他の態様によれば、機械可読指示を含む非一時的な機械可読記憶媒体であって、前記機械可読指示を実行すると、プロセッサに方法を実行させる非一時的な機械可読記憶媒体が提供される。前記方法は、携帯装置のユーザに関連付けられた暗号化済み公開キーを含む暗号化済みキーのペアを、前記携帯装置で生成する。前記方法は、前記携帯装置の前記ユーザに関連付けられた前記暗号化済み公開キーの署名付き証明書を、前記携帯装置で受信する。前記方法は、前記ユーザの副次的装置に入力された前記ユーザに関連付けられた識別データが受信されたことに応答して、前記暗号化済み公開キーの前記署名付き証明書に関連付けられた前記ユーザのローカルアカウントを、前記副次的装置で生成する。前記方法は、前記ローカルアカウントが生成されたことを受けて、前記ユーザの前記携帯装置で、前記ユーザの生体情報を受け取る。前記方法は、前記副次的装置で、前記ユーザの前記生体情報の入力が有効であるとの判断に基づいて、前記副次的装置で承認済み操作を実行できるようにする指示を送信する。
【0010】
当業者であれば、主題技術について種々の構成を図示によって示す以下の詳細な記載に基づいて、当該主題技術のその他の構成が容易に明確となることが理解できる。本主題技術は、他の異なる構成が可能であり、その詳細については、本主題技術の範囲を逸脱することなく、他の様々な観点で変更することができると認識できるであろう。本明細書では、様々な態様を教育的又は医療的状況に関して説明することができるが、これらは、例えば、限定するものではなく、例であることに留意されたい。本開示における教示は、住宅環境、小売業環境等を含む他の携帯装置環境に適用することができるが、適用可能範囲はこれらに限定されない。したがって、図面及び詳細な説明は、本質的に例示的なものとみなされ、制限的なものではないとみなされるべきである。
【図面の簡単な説明】
【0011】
本明細書に組み込まれ、一部をなす以下の添付の図面は理解をさらに深めるために提供され、開示される実施の形態を図示するとともに、記載とともに開示される実施の形態の原理の説明を支援する。
【0012】
【図1】携帯装置を使用して副次的装置及び副次的サービスに対してパスワードレス認証を可能にする例示的なアーキテクチャを示す図である。
【0013】
【0014】
【0015】
【0016】
【0017】
1つ以上の実装形態において、各図の全てのコンポーネントが必須となるわけではなく、1つ以上の実装形態が図示されないさらなるコンポーネントを含んでいてもよい。各コンポーネントの配置や種類は、本開示の範囲から逸脱することなく、様々な変形が可能である。本開示の範囲内において、追加のコンポーネント、異なるコンポーネント、又はより少ない数のコンポーネントが利用可能である。
【発明を実施するための形態】
【0018】
以下に示す詳細な説明は、様々な実装形態の説明として意図されており、主題技術を実施することができる唯一の実装形態を表すことを意図していない。当業者であれば理解し得るように、記載された実装形態は、全て本開示の範囲から逸脱することなく、様々な異なる方法で変更することができる。したがって、図面及び説明は、本質的に例示的なものとみなされ、制限的なものではないとみなされるべきである。
【0019】
本開示の方法及びシステムは、携帯装置を使用して副次的装置及び副次的サービスに対してパスワードレス認証を可能にする。例えば、携帯電話等、携帯装置のユーザは、携帯装置の生体認証機能を拡張して、他の副次的装置(例えば、ワークステーション)やサービスへの認証に使用することができる。これにより、ユーザがパスワードを記憶したり、入力したりする必要がなくなり、ユーザにより良いエクスペリエンスを提供することができる。また、生体情報は、パスワードと比較して模倣/複製が困難なため、より安全なエクスペリエンスを提供することができる。
【0020】
開示される方法及びシステムは、コンピュータ技術に関連し、携帯装置管理の分野で生じる技術的課題、すなわち、複数の装置及びサービスでのパスワードの管理、入力、及び認証する技術的課題に対処する。開示される方法及びシステムは、ユーザの携帯装置が、当該ユーザの副次的装置及びサービスを安全に認証できるようにすることで、上記技術的課題を解決する。
【0021】
図1は、携帯装置を使用して副次的装置及び副次的サービスに対してパスワードレス認証を可能にする例示的なアーキテクチャ100を示す図である。例えば、アーキテクチャ100は、全てネットワーク22を介して接続された、携帯装置10と、少なくとも1つの副次的装置12と、携帯装置管理サーバ14と、プッシュ通知サービス16と、認証サービス18と、認証局サービス20とを含む。特定の態様において、携帯装置管理サーバ14は、別のネットワークを介してプッシュ通知サービス16に接続されてもよい。
【0022】
携帯装置管理サーバ14は、携帯装置10、副次的装置12、及びプッシュ通知サービス16と通信するための適切なプロセッサ、メモリ、及び通信機能を有する任意の装置とすることができる。携帯装置管理サーバ14は、負荷を分散させるために複数のサーバを含んでもよい。プッシュ通知サービス16は、携帯装置管理サーバ14、携帯装置10、及び副次的装置12と通信するための適切なプロセッサ、メモリ、及び通信機能を有する任意の装置とすることができる。認証サービス18は、携帯装置10と通信するための適切なプロセッサ、メモリ、及び通信機能を有する任意の装置とすることができる。認証局サービス20は、携帯装置10と通信するための適切なプロセッサ、メモリ、及び通信機能を有する任意の装置とすることができる。
【0023】
携帯装置管理サーバ14がネットワーク22を介して通信する携帯装置10は、例えば、携帯電話、タブレット型コンピュータ、携帯型コンピュータ、ノート型コンピュータ、携帯型メディアプレーヤ、電子書籍(eBook)リーダ、又は適切なプロセッサ、メモリ及び通信機能を有する他の任意の装置が挙げられる。携帯装置管理サーバ14が、プッシュ通知サービス16及びネットワーク22を介して通信する副次的装置12は、例えば、ワークステーション、タブレット型コンピュータ、携帯電話、携帯型コンピュータ、ノート型コンピュータ、携帯型メディアプレーヤ、電子書籍(eBook)リーダ、又は適切なプロセッサ、メモリ及び通信機能を有する他の任意の装置が挙げられる。特定の態様において、携帯装置管理サーバ14、プッシュ通知サービス16、認証サービス18、及び認証局サービス20は、PaaS(Platform-as-a-Service)とSaaS(Software-as-a-Service)サービスをサポート可能なIaaS(Infrastructure-as-a-Service)のクラウドコンピューティングサーバとすることができる。
【0024】
図1には、1つの携帯装置10と少なくとも1つの副次的装置12が示されているが、本開示は、如何なる特定の構成又は装置の数にも限定されないことに留意されたい。特定の態様において、異なる数の携帯装置及び/又は副次的装置が存在してもよい。
【0025】
ネットワーク22は、例えば、パーソナル・エリア・ネットワーク(PAN:Personal Area Network)、ローカル・エリア・ネットワーク(LAN:Local Area Network)、キャンパス・エリア・ネットワーク(CAN:Campus Area Network)、メトロポリタン・エリア・ネットワーク(MAN:Metropolitan Area Network)、広域ネットワーク(WAN:Wide Area Network)、ブロードバンド・ネットワーク(BBN:Broadband Network)、インターネット等のいずれか1つ以上を含むことができる。さらに、ネットワーク22は、バスネットワーク、スターネットワーク、リングネットワーク、メッシュネットワーク、スターバスネットワーク、ツリーネットワーク又は階層型ネットワーク等のネットワークトポロジーのうち、いずれか1つ以上を含むことができるが、これらに限定されるものではない。
【0026】
図2は、本開示の特定の態様による、図1のアーキテクチャの例示的な携帯装置10、副次的装置12、携帯装置管理サーバ14、プッシュ通知サービス16、認証サービス18、及び認証局サービス20を示すブロック図である。
【0027】
携帯装置10、副次的装置12、携帯装置管理サーバ14、プッシュ通知サービス16、認証サービス18、及び認証局サービス20は、それぞれの通信モジュール24、26、28、30、32、34、及びネットワーク22を介して接続されている。通信モジュール24、26、28、30、32、34は、ネットワーク22とのインターフェースとして、ネットワーク22上の他の装置とデータ、要求、応答、コマンド等の情報を送受信するように構成されている。通信モジュール24、26、28、30、32、34は、例えば、モデムやイーサネットカードとすることができる。
【0028】
携帯装置管理サーバ14は、プロセッサ36と、通信モジュール28と、管理プラットフォーム40を含むメモリ38とを含む。携帯装置管理サーバ14のプロセッサ36は、プロセッサ36に物理的にコード化された指示、メモリ38内のソフトウェアから受信した指示、又はその両方の組み合わせ等の指示を実行するように構成される。
【0029】
プッシュ通知サービス16は、プロセッサ42と、通信モジュール30と、メモリ44とを含む。プッシュ通知サービス16のプロセッサ42は、プロセッサ42に物理的にコード化された指示、メモリ44内のソフトウェアから受信した指示、又はその両方の組み合わせ等の指示を実行するように構成される。
【0030】
認証サービス18は、プロセッサ46と、通信モジュール32と、メモリ48とを含む。プロセッサ認証サービス18のプロセッサ46は、プロセッサ46に物理的にコード化された指示、メモリ48内のソフトウェアから受信した指示、又はその両方の組み合わせ等の指示を実行するように構成される。
【0031】
認証局サービス20は、プロセッサ50と、通信モジュール34と、メモリ52とを含む。認証局サービス20のプロセッサ50は、プロセッサ50に物理的にコード化された指示、メモリ52内のソフトウェアから受信した指示、又はその両方の組み合わせ等の指示を実行するように構成される。
【0032】
副次的装置12は、プロセッサ54と、通信モジュール26と、接続ドライバ及びデーモン55を含むメモリ56とを含む。副次的装置12のプロセッサ40は、プロセッサ54に物理的にコード化された指示、メモリ56内のソフトウェアから受信した指示、又はその両方の組み合わせ等の指示を実行するように構成される。接続ドライバ及びデーモン55は、プレインストールするか、アプリストア経由でインストールするか、携帯装置管理サーバ14を通じて直接又はプッシュ通知サービス16経由でインストールするか、業界で公知の他の方法によってインストールすることができる。
【0033】
携帯装置10は、プロセッサ58と、コプロセッサ59と、通信モジュール24と、接続アプリケーション62を含むメモリ60とを含む。管理装置10のプロセッサ58は、プロセッサ58に物理的にコード化された指示、メモリ60内のソフトウェアから受信した指示、又はその両方の組み合わせ等の指示を実行するように構成される。特定の態様において、コプロセッサ59は、プロセッサ58からフィルタリングされ、メモリ60の暗号化された部分にアクセスするように構成される。このような態様において、コプロセッサ59は、キーや生体情報等の他の情報を取り扱うように構成される。接続アプリケーション62は、携帯装置10のユーザ64が、携帯装置10のユーザ64に関連付けられた少なくとも1つの副次的装置12及び他のサービスに対してパスワードレス認証を有効にすることを可能にする。
【0034】
携帯装置管理サーバ14は、携帯装置管理機能を実装するハードウェア及び/又はソフトウェアに対応してもよい。例えば、組織での状況において、携帯装置管理サーバ14は、従業員の装置を管理することができる。携帯装置管理サーバ14は、登録/グループ化データ66を記憶(又は、これにアクセス)してもよい。登録/グループ化データ66は、携帯装置10や副次的装置12に関連付けられるデータ等、携帯装置管理サーバ14によって管理されるすべての携帯装置を識別する登録者データを含んでいてもよい。
【0035】
なお、本明細書における各実施の形態は、組織での設定を参照して説明するが、これらはあくまでも例示であり、限定的に解釈されるべきものではないことに留意されたい。本開示における教示は、企業環境、娯楽環境、住宅環境、教育環境、小売業環境、医療環境、政府環境、及び他の環境を含む携帯装置環境に適用することができるが、適用可能範囲はこれらに限定されない。
【0036】
携帯装置10は、メモリ60に記憶されたパスコード68を含んでもよい。例えば、パスコード68は、携帯装置10へのアクセスを確保するために使用されてもよい。ユーザ64(例えば、従業員)が携帯装置10の操作を試みると、ユーザ64にパスコードの入力が求められ、入力されたパスコードが第1のパスコード68と一致しない限り、携帯装置10へのアクセスが有効とならないようにしてもよい。また、携帯装置10は、1つ以上のアプリを含んでもよい。アプリは、プリインストールされていてもよいし、(例えば、アプリストアを介して)ダウンロード後にインストールされてもよい。企業における設定例に対応する図2の例において、アプリには、プレインストールするか、アプリストア経由でインストールするか、携帯装置管理サーバ14を通じて直接又はプッシュ通知サービス16経由でインストールするか、業界で公知の他の方法によってインストールすることが可能な接続アプリケーション62が含まれてもよい。
【0037】
図3には、携帯装置10、副次的装置12、携帯装置管理サーバ14、プッシュ通知サービス16、認証サービス18、及び認証局サービス20を利用する例示的な処理300が示されている。図3は、図2を参照して説明されているが、図3の処理ステップは他のシステムによって実行されてもよいことが理解されるであろう。
【0038】
処理は、携帯装置10のプロセッサ58が、携帯装置10のユーザ64に関連付けられた公開キーを含む暗号化済みキーのペア70を生成するステップ310を行うことによって開始する。ステップ312で示されるように、管理装置10のプロセッサ58は、携帯装置10のユーザ64に関連付けられた暗号化済み公開キーの署名付き証明書72を受信する。ステップ314において、副次的装置12に入力されるユーザ64に関連付けられた識別データ74を受信すると、接続ドライバ及びデーモン55は、副次的装置12のコプロセッサ59に、暗号化済み公開キーの署名付き証明書72に関連付けられた当該ユーザのローカルアカウント76を生成させる。ステップ316進み、ローカルアカウント76が生成されると、携帯装置10のプロセッサ58は、ユーザ64の認証情報の入力78(例えば、生体情報)を受信する。
【0039】
ステップ318で示されるように、接続ドライバ及びデーモン55は、ユーザ64の認証情報の入力78が有効であるとの判断に基づいて、副次的装置10における承認済み操作80の実行を許可する指示を副次的装置12に送信する。
【0040】
次に、図2の処理例300と図4のフロー図例400とを参照して、ワークフローの例について説明する。接続アプリケーション62は、携帯装置10にインストールされる。携帯装置10で接続アプリケーション62を開くと、ユーザ64の身元を証明するために、ユーザ64が認証サービス18等のクラウド認証サービスに対する認証を促す表示が行われる。ユーザ64の身元が認証された後、携帯装置10のコプロセッサ59を介して、暗号化キーのペア70が生成される。暗号化済みキーのペア70は、楕円曲線暗号キーのペアとすることができる。暗号化済みキーのペア70は、暗号化済み公開キーを含み、証明書署名要求の生成に利用される。証明書署名要求は、認証局(例えば、認証局サービス20)に送信されて署名され、署名付き証明書74が携帯装置10に返信される(例えば、受信される)。この例において、証明書が1枚の場合について説明したが、確立できる証明書の枚数は限定されないことに留意されたい。署名付き証明書74が携帯装置10に設定されると、その旨をワイヤレスで公示されることになる。特定の態様において、署名付き証明書74は、Bluetoothを介してワイヤレスで公示することができる。
【0041】
組織の従業員となり得るユーザ64は、接続ドライバ及びデーモン55がインストール済みの副次的装置12等のワークステーションで認証が求められる場合がある。副次的装置12のログイン画面には、クラウド認証ダイアログボックスが表示される。ユーザ64は、接続アプリケーション62に関連付けられたパスワードレス認証、認証アプリケーション、FIDO2、プッシュ通知、SMS等、業界で公知の認証方法を選択できるようになる。尚、認証方法は、これらに限定されない。認証後、ユーザ64に関連付けられたアカウントの追加認証機関として、副次的装置12の接続ドライバ及びデーモン55を介して、署名付き証明書74を用いて、ユーザ64に関連付けられたローカルアカウント76が作成される。但し、接続アプリケーション62にパスワードは必要ないが、ローカルアカウントには関連付けられたパスワードがあり得ることに留意されたい。
【0042】
その後、副次的装置12のログイン画面におけるユーザ64の個人識別番号プロンプトの表示に進む。特定の態様において、ユーザ64は、副次的装置12において識別データ74を入力する。このような態様において、識別データ74は、携帯装置10においてローテーション的に生成することができる。他の態様では、個人識別番号が要求されなくてもよく、代わりに、ユーザ64はEnterをクリックして進むことができる。識別データ74が副次的装置12に入力された後、ユーザ64は、認証情報の入力78等の生体情報の入力が求められ、ユーザ64は携帯装置10で入力することになる。有効な認証情報の入力78に応答して、ユーザ64は、副次的装置12の使用が承認される。
【0043】
いくつかの例では、ユーザ64は、副次的装置12上の承認済み操作80へのアクセスが求められる場合がある。以降の承認済み操作80の認証について、ユーザ64は上述と同様のフローを経ることになる。携帯装置10が起動しており、接続アプリケーション62が実行されている場合、ユーザが気づかないうちに認証情報の入力78が認証されることもある。
【0044】
図5は、図2の携帯装置10、副次的装置12、携帯装置管理サーバ14、プッシュ通知サービス16、認証サービス18、及び認証局サービス20が実装可能なコンピュータシステム500の一例を示すブロック図である。特定の態様において、コンピュータシステム500は、専用サーバ、又は他の実体に統合された、又は複数の実体に分散された、ハードウェア又はソフトウェアとハードウェアの組み合わせを使用して実装することができる。
【0045】
コンピュータシステム500(例えば、携帯装置10、副次的装置12、携帯装置管理サーバ14、プッシュ通知サービス16、認証サービス18、及び認証局サービス20)は、バス508、又は情報通信用の他の通信機構と、情報処理用にバス508に接続されたプロセッサ502(例えば、プロセッサ36、42、46、50、54、58)とを含んでいる。一態様によれば、コンピュータシステム500は、PaaS及びSaaSサービスをサポート可能なIaaSのクラウドコンピューティングサーバとすることができる。
【0046】
コンピュータシステム500は、ハードウェアに加えて、例えば、プロセッサファームウェア、プロトコルスタック、データベース管理システム、オペレーティングシステム、又はこれらの1つ以上の組み合わせ等、コンピュータプログラムの実行環境を構築するコードを含むことができる。当該コードは、ランダムアクセスメモリ(RAM)、フラッシュメモリ、リードオンリーメモリ(ROM)、プログラマブルリードオンリーメモリ(PROM)、消去可能PROM(EPROM)、レジスタ、ハードディスク、リムーバブルディスク、CD-ROM、DVD、又は、バス508に接続され、情報及びプロセッサ502により実行される指示を記憶する他の任意の適切な記憶装置等、内含されるメモリ504(例えば、メモリ38、44、48、52、56、60)に記憶される。プロセッサ502及びメモリ504は、特殊用途の論理回路で補完するか、これに組み込むことができる。
【0047】
指示は、メモリ504に記憶され、1つ以上のコンピュータプログラム製品に実装されるものであってもよく、例えば、コンピュータ可読媒体上に符号化され、コンピュータシステム500によって実行される、又はコンピュータシステム500の動作を制御する、1つ以上のコンピュータプログラム指示のモジュールであってもよい。
【0048】
本明細書において記載するコンピュータプログラムは、必ずしもファイルシステム内のファイルに対応するものではない。プログラムは、他のプログラム又はデータ(例えば、マークアップ言語の文書で記憶される1つ以上のスクリプト)を保持するファイルの一部、当該プログラム専用の単一のファイル、又は、複数の連携ファイル(例えば、1つ以上のモジュール、サブプログラム、コードの一部を記憶するファイル)に記憶することができる。コンピュータプログラムは、1台のコンピュータ、同一の場所に位置する複数のコンピュータ、又はクラウドコンピューティング環境等のように複数の場所に分散し、通信ネットワークによって相互接続された複数のコンピュータにおいて実行できるように展開することができる。本明細書に記載された処理及び論理フローは、1つ以上のプログラマブルプロセッサが1つ以上のコンピュータプログラムを実行し、入力データを処理して出力を生成して機能を果たすことにより行うことができる。
【0049】
コンピュータシステム500は、バス508に結合され情報及び指示を記憶する、磁気ディスク又は光ディスク等のデータ記憶装置506をさらに含む。コンピュータシステム500は、入出力モジュール510を介して様々な装置に接続できる。入出力モジュール510は、任意の入出力モジュールとすることができる。入出力モジュール510の例としては、USBポート等のデータポートが挙げられる。さらに、入出力モジュール510は、コンピュータシステム500が他の装置と近距離通信を行えるように、プロセッサ502と通信可能に設けられていてもよい。入出力モジュール510は、例えば、ある実装形態では有線通信を提供し、他の実装形態ではワイヤレス通信を提供してもよく、複数のインターフェースが用いられてもよい。入出力モジュール510は、通信モジュール512に接続するように構成されている。通信モジュール512(例えば、通信モジュール24、26、28、30、32、34)の例としては、イーサネットカード等のネットワークインターフェースカードやモデム等が含まれる。
【0050】
特定の態様において、入出力モジュール510は、入力装置514及び/又は出力装置516等の複数の装置に接続するように構成される。入力装置514の例として、キーボード及びポインティング装置(例えば、マウス又はトラックボール)が挙げられ、これによりユーザはコンピュータシステム500に入力を行うことができる。触覚入力装置、視覚入力装置、音声入力装置、又は脳コンピュータインターフェースデバイス等、他の入力装置514を用いてユーザとの相互作用を可能にすることもできる。
【0051】
本開示の一態様によれば、携帯装置10、副次的装置12、携帯装置管理サーバ14、プッシュ通知サービス16、認証サービス18、認証局サービス20は、コンピュータシステム500を用いて、プロセッサ502によって、メモリ504に含まれる1つ以上の指示の1つ以上のシーケンスが実行されたことを受けて実施することができる。このような指示は、データ記憶装置506等の別の機械可読媒体からメモリ504に読み込まれてもよい。主メモリ504に含まれる指示シーケンスの実行は、プロセッサ502に本明細書に記載される処理ステップを実行させる。また、マルチプロセッシング構成の一以上のプロセッサを使用して、メモリ504に含まれる指示シーケンスを実行してもよい。プロセッサ502は、例えば、実行可能指示、及び/又は、データ構造をリモートサーバから通信モジュール512(例えば、クラウドコンピューティング環境のように)を介してダウンロードすることによってコンピュータプログラム製品にリモートアクセスすることによって、実行可能指示、及び/又は、データ構造を処理してもよい。代替的な態様では、本開示の様々な態様を実施するソフトウェア指示に代えて、又はこれと組み合わせてハード配線回路が用いられてもよい。したがって、本開示の態様は、ハードウェア回路とソフトウェアとの特定の組み合わせに限定されるものではない。
【0052】
本明細書に記載する主題の様々な態様は、バックエンドコンポーネント(例えば、データサーバ)、ミドルウェアコンポーネント(例えば、アプリケーションサーバ)、フロントエンドコンポーネント(例えば、本明細書に記載する主題の実装形態とユーザとの相互作用を可能にするグラフィカルユーザインターフェース又はウェブブラウザを有するクライアントコンピュータ)、又は、これらバックエンドコンポーネント、ミドルウェアコンポーネント、フロントエンドコンポーネントの1つ以上の任意の組み合わせを含むコンピューティングシステムにおいて実装することができる。例えば、本明細書に記載する主題のいくつかの態様は、クラウドコンピューティング環境上で実行されてもよい。したがって、特定の態様において、本明細書に記載されるシステム及び方法のユーザは、ネットワーク接続を介してクラウドサーバにアクセスすることによって、ステップの少なくとも一部を行ってもよい。また、本開示によって得られるデータファイル、回路図、性能仕様等は、クラウドコンピューティング環境のデータベースサーバに記憶されてもよくクラウドコンピューティング環境からプライベート記憶装置にダウンロードされてもよい。
【0053】
本明細書で使用される「機械可読記憶媒体」又は「コンピュータ可読媒体」という用語は、実行用にプロセッサ502への指示又はデータの提供に寄与する任意の単一の又は複数の媒体を指す。本明細書で使用する「記憶媒体」という用語は、機械を特定の方法で動作させるデータ及び/又は指示を記憶する任意の非一時的な媒体を指す。このような媒体としては様々な形態が可能であり、不揮発性媒体、揮発性媒体、伝送媒体等が挙げられるが、これらに限定されない。
【0054】
本願明細書において、「単一のコンピュータ可読記憶媒体」及び「複数のコンピュータ可読媒体」という用語は、全体的にコンピュータによって読み取り可能な形態で情報を記憶する有形で物理的な物体に限定される。これらの用語は、ワイヤレス信号、有線ダウンロード信号及びその他の一時的な信号を除外する。記憶媒体は、伝送媒体とは異なるが、伝送媒体と組み合わせて使用してもよい。伝送媒体は、記憶媒体間の情報伝達に関与する。伝送媒体には、例えば、同軸ケーブル、銅線、光ファイバ等があり、バス508を構成する電線も含まれる。伝送媒体は、電波や赤外線データ通信で発生するような音響波や光波の形態をとることもできる。さらに、本願明細書において、「コンピュータ」、「サーバ」、「プロセッサ」、「メモリ」という用語は、いずれも電子装置又はその他の技術的装置を指すものである。これらの用語は、人々や人々のグループを除外する。本明細書において、表示又は表示するという用語は、電子装置上に表示することを意味する。
【0055】
一態様において、方法とは動作、指示、機能であってもよく、その逆も然りである。一態様において、文節又は請求項は、1つ以上の文節、1つ以上の文言、1つ以上の文、1つ以上のフレーズ、1つ以上の段落、及び/又は、1つ以上の請求項のいずれかにおいて言及される文言(例えば、指示、動作、機能、コンポーネント)の一部又は全体を含むように補正される場合がある。
【0056】
ハードウェアとソフトウェアとの互換性を例示するために、様々な例示的なブロック、モジュール、コンポーネント、方法、動作、指示、アルゴリズム等の項目は、一般的にその機能性の観点で記載されている。このような機能をハードウェアで実装するか、ソフトウェアで実装するか、又はハードウェアとソフトウェアの組み合わせで実装するかは、特定の用途とシステム全体の設計上の制約に依存する。当業者であれば、特定の用途ごとに様々な方法で、記載された機能を実装することができる。
【0057】
本明細書で使用されるように、一連の項目の前にある「少なくとも1つの」という表現は、項目のいずれかを区切る用語「及び」又は「又は」とともに、羅列される各メンバ(例えば、各項目)ではなく、羅列全体を修飾する。「少なくとも1つの」という表現は、少なくとも1つの項目を選択することを求めるのではなく、寧ろ、項目のいずれか少なくとも1つ、及び/又は、各項目のあらゆる組み合わせの少なくとも1つ、及び/又は、各項目の少なくとも1つという意味を包含する。例として、「A、B、及びCの少なくとも1つ」又は「A、B、又はCの少なくとも1つ」という表現はそれぞれ、Aのみ、Bのみ、又はCのみ、A、B、及びCの任意の組み合わせ、及び/又は、A、B、及びC各々の少なくとも1つを意味する。
【0058】
本明細書では、「例示的」という用語は、「例、実例、又は、例示としての役割を果たす」ことを意味するために使用される。本明細書において「例示的」として記載される任意の実施の形態は、必ずしも他の実施の形態よりも好ましい又は有利であると解釈されるものではない。一態様、本態様、別の態様、いくつかの態様、1つ以上の態様、実装形態、本実装形態、別の実装形態、いくつかの実装形態、1つ以上の実装形態、一実施の形態、本実施の形態、別の実施の形態、いくつかの実施の形態、1つ以上の実施の形態、一構成、本構成、別の構成、いくつかの構成、1つ以上の構成、主題技術、開示、本開示といった表現、これら表現の他のバリエーション等は、便宜上のものであり、そのような表現に関する開示が主題技術に不可欠であること、またはそのような開示が主題技術のすべての構成に適用されることを意味するものではない。このような表現に関連する開示は、すべての構成に適用されてもよく、一以上の構成に適用されてもよい。このような表現に関連する開示は、一以上の例を提供してもよい。一態様やいくつかの態様といった表現は、1つ以上の態様を指すことがあり、その逆もまた然りで、これは前述した他の表現についても同様である。
【0059】
単数形の要素への言及は、特に断りのない限り、「唯一無二」という意味ではなく、「1つ以上」という意味を意図してる。なお、「いくつかの」とは、1つ以上のものをいう。下線が付された、及び/又は、斜字体の見出し及び小見出しは便宜上のものであり、主題技術を限定するものではなく、主題技術の記載の解釈に関連して参照されるものではない。「第1の」及び「第2の」等の関係を示す用語は、1つの実体または行為を別の実体または行為から区別するために使用されている場合があるが、これら実体または行為間の実際の関係または順序を必ずしも要求または暗示するものではない。本開示を通じて説明される様々な構成要素に対する、当業者に既知であるか又は後に既知となる全ての構造的及び機能的等価物は、参照により本明細書に明示的に組み込まれ、主題技術に包含されることを意図している。さらに、本明細書に開示されたものは、そのような開示が上記の説明で明示的に述べられているか否かにかかわらず、一般に公開されることを意図したものではない。請求項の要素は、その要素が「~する手段」という文言を用いて明示的に記載されるか、方法クレームの場合に「~するステップ」という文言を用いて記載されない限り、米国特許法(35 U.S.C.)第112条第6項の規定に基づいて解釈されることはない。
【0060】
本明細書は多くの具体的な内容を含んでいるものの、これらは特許請求の範囲を制限するものではなく、寧ろ主題の特定の実装形態を説明するものと解釈されるべきである。個々の実施の形態に関して本明細書に記載される特定の特徴も、単一の実施の形態において組み合わせて実施することができる。一方、単一の実施の形態に関して説明される様々な特徴も、複数の実施の形態において別々に、又は任意の適切な下位組合せで実施することができる。さらに、特徴は特定の組み合わせで作用するものとして上述される場合があり、そのようなものとして当初主張されていたとしても、主張された組み合わせからの一以上の特徴は、場合によっては、組み合わせから除去されてもよく、主張された組み合わせは、下位組み合わせ又は下位組み合わせの変形に適用されてもよい。
【0061】
特定の態様の観点から本明細書の主題についてしたが、他の態様も実施可能であり、以下の特許請求の範囲内となる。例えば、動作は特定の順序で図面に示されるが、所望する結果を達成するために、これら動作を、図示された特定の順序又は連続した順序で実行される必要はないこと、又は図示されたすべての動作が実行される必要がないと理解されるべきである。特許請求の範囲に記載された動作は、異なる順序で実行されることがあるが、依然として望ましい結果を達成することができる。一例として、添付の図に示された処理は、望ましい結果を得るために、必ずしも図示されるような特定の順序、又は連続した順序を必要としない。状況によっては、マルチタスクや並列処理が有利となる場合がある。さらに、上述の態様における様々なシステム構成要素の分離は、全ての態様においてそのような分離を必要とするものとして理解されるべきではなく、記載されたプログラム、コンポーネント、及びシステムは、一般的に単一のソフトウェア製品においてともに統合されてもよく、又は複数のソフトウェア製品にパッケージ化されてもよいことが理解されるべきである。
【0062】
発明の名称、背景技術、図面の簡単な説明、要約書、及び図面は、本開示に組み込まれ、制限的な記述としてではなく、本開示の例示として提供されるものである。特許請求の範囲または意味を制限することを目的としないことを理解されるものとする。さらに、発明の詳細な説明において、例示的な実施例が記載され、様々な実装形態において、様々な特徴がグループ化されているが、これらは円滑な開示を目的としたものである。開示の方法は、特許請求される主題が、各請求項において明示的に言及される特徴以外にさらに多くの特徴を必要とするという意図が反映されていると解釈されるべきではない。寧ろ、以下の特許請求の範囲に反映されているように、発明の主題は、開示される単一の構成又は動作よりも少ない。特許請求の範囲の記載は、各請求項がそれ自体別個に請求される主題として独立したまま、本詳細な説明に組み込まれる。
【0063】
特許請求の範囲は、本明細書に記載された態様に限定することを意図したものではなく、請求項の文言に合致する全範囲が与えられ、すべての法的均等物を包含するものである。但し、いずれの請求項も、適用される特許法の要件を満たさない主題を包含することを意図しておらず、またそのように解釈されるべきではない。
【図1】
【図2】
【図2(Continued)】
【図3】
【図4】
【図5】
【国際調査報告】