(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2023-11-27
(54)【発明の名称】モノのインターネットのデバイスの多要素認証
(51)【国際特許分類】
G06F 21/44 20130101AFI20231117BHJP
G16Y 40/50 20200101ALI20231117BHJP
【FI】
G06F21/44
G16Y40/50
【審査請求】未請求
【予備審査請求】未請求
(21)【出願番号】P 2023524365
(86)(22)【出願日】2021-10-21
(85)【翻訳文提出日】2023-04-20
(86)【国際出願番号】 CN2021125361
(87)【国際公開番号】W WO2022083695
(87)【国際公開日】2022-04-28
(32)【優先日】2020-10-21
(33)【優先権主張国・地域又は機関】US
(81)【指定国・地域】
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
(71)【出願人】
【識別番号】390009531
【氏名又は名称】インターナショナル・ビジネス・マシーンズ・コーポレーション
【氏名又は名称原語表記】INTERNATIONAL BUSINESS MACHINES CORPORATION
【住所又は居所原語表記】New Orchard Road, Armonk, New York 10504, United States of America
(74)【代理人】
【識別番号】100112690
【氏名又は名称】太佐 種一
(74)【代理人】
【識別番号】100120710
【氏名又は名称】片岡 忠彦
(74)【復代理人】
【識別番号】100118599
【氏名又は名称】村上 博司
(74)【復代理人】
【識別番号】100160738
【氏名又は名称】加藤 由加里
(72)【発明者】
【氏名】ハワード,ジーナ レネ―
(72)【発明者】
【氏名】リンガフェルト,チャールズ スティーブン
(72)【発明者】
【氏名】ムーア,ジョン イー.,ジュニア
(72)【発明者】
【氏名】ジョーンズ,アンドリュー アール.
(57)【要約】
モノのインターネット(IoT)のデバイスを認証する為に多要素認証を利用する為の、コンピュータに実装された方法、システム及びコンピュータプログラム製品。近隣の1以上のIoTデバイスのアイデンティティ・クレデンシャルが、認証されるべきIoTデバイスによって取得される。そのアイデンティティを証明する為に要求を認証システムに提供することに応じて、該IoTデバイスは、該IoTデバイス内に埋め込まれていてもよい第1の要素クレデンシャル、例えば、ユーザ名及びパスワード、を該認証システムに提供する。該認証システムは、第1の要素クレデンシャルの正確さを確認することに応じて、該IoTデバイスが第2の要素クレデンシャルを提供するようにチャレンジする。該第2の要素クレデンシャルを提供する為にチャレンジを該認証システムから受け取った後、該IoTデバイスは、近隣の1以上のIoTデバイスからの該取得したアイデンティティ・クレデンシャルに基づいて生成された第2の要素クレデンシャルを該認証システムに返す。該受信した第2の要素クレデンシャルが、最小数の必要な近隣のIoTデバイスからのアイデンティティ・クレデンシャルを含むことを判断することに応じて、該認証システムは、認証を承認する。
【選択図】
図3
【特許請求の範囲】
【請求項1】
多要素認証を利用してモノのインターネット(IoT)のデバイスを認証する為の、コンピュータに実装された方法であって、
1以上の他のIoTデバイスからアイデンティティ・クレデンシャルを、或る期間中に前記IoTデバイスによって取得して、第2の要素クレデンシャルを生成すること;
前記IoTデバイスのアイデンティティを証明する為に要求を認証システムに提供すること;
第1の要素クレデンシャルを前記認証システムに提供すること;
前記第2の要素クレデンシャルを提供する為にチャレンジを前記認証システムから受信すること;
前記1以上の他のIoTデバイスからの前記取得された識別されたクレデンシャルに基づいて生成された前記第2の要素クレデンシャルを返すこと;及び、
前記第2の要素クレデンシャルが最小数の必要なアイデンティティ・クレデンシャルを含むことに応答して、前記IoTデバイスが該IoTデバイスの前記アイデンティティを証明したという表示を前記認証システムから受信すること
を含む、前記方法。
【請求項2】
前記アイデンティティ・クレデンシャルが、前記1以上の他のIoTデバイスの、セキュリティキー、デジタル署名、又は特性を含み、ここで、前記特性が、センサ特性、信号特性の強度、信号変調特性及び信号符号化特性のうちの1以上を含む、請求項1に記載の方法。
【請求項3】
前記IoTデバイスの前記アイデンティティを証明する為に、前記認証システムに対する前記要求が定期的に又はトリガーイベントに応答して実行される、請求項1に記載の方法。
【請求項4】
前記第2の要素クレデンシャルを生成する為に使用されるべき必要なIoTデバイスの最小数を定義すること、又は前記第2の要素クレデンシャルを生成する為に使用されるべき必要なコレクションの最小数を定義することを更に含み、ここで、前記コレクションの各々は、識別されたIoTデバイスの1組を含む、請求項1に記載の方法。
【請求項5】
前記第2の要素クレデンシャルを生成する為に使用されるべき必要なIoTデバイスの前記最小数に対応する必要なIoTデバイスのアイデンティティを定義すること、又は前記第2の要素クレデンシャルを生成する為に使用されるべきコレクションの前記必要な最小数内の必要なIoTデバイスのアイデンティティを定義することを更に含む、請求項4に記載の方法。
【請求項6】
前記第2の要素クレデンシャルを生成する為に使用されるべき前記最小数の必要なIoTデバイスに対応する前記必要なIoTデバイスからアイデンティティ・クレデンシャルを前記IoTデバイスが取得する観察期間、又は前記第2の要素クレデンシャルを生成する為に使用されるべき前記コレクションの前記必要な最小数内の前記必要なIoTデバイスからアイデンティティ・クレデンシャルを前記IoTデバイスが取得する観察期間を定義することを更に含む、請求項5に記載の方法。
【請求項7】
前記IoTデバイスが前記1以上の他のIoTデバイスとペアリングされる信頼状態を確立することを更に含み、ここで、前記IoTデバイスが前記1以上の他のIoTデバイスと常時通信する、請求項1に記載の方法。
【請求項8】
多要素認証を利用してモノのインターネット(IoT)のデバイスを認証する為の、コンピュータプログラム製品であって、前記コンピュータプログラム製品が、その中に埋め込まれたところのプログラムコードを有する1以上のコンピュータ可読記憶媒体を備えており、該プログラムコードが、
1以上の他のIoTデバイスからアイデンティティ・クレデンシャルを、或る期間中に前記IoTデバイスによって取得して、第2の要素クレデンシャルを生成すること;
前記IoTデバイスのアイデンティティを証明する為に要求を認証システムに提供すること;
第1の要素クレデンシャルを前記認証システムに提供すること;
前記第2の要素クレデンシャルを提供する為にチャレンジを前記認証システムから受信すること;
前記1以上の他のIoTデバイスからの前記取得された識別されたクレデンシャルに基づいて生成された前記第2の要素クレデンシャルを返すこと;及び、
前記第2の要素クレデンシャルが最小数の必要なアイデンティティ・クレデンシャルを含むことに応答して、前記IoTデバイスが該IoTデバイスの前記アイデンティティを証明したという表示を前記認証システムから受信すること
の為のプログラム命令を含む、前記コンピュータプログラム製品。
【請求項9】
前記アイデンティティ・クレデンシャルが、前記1以上の他のIoTデバイスの、セキュリティキー、デジタル署名、又は特性を含み、ここで、前記特性が、センサ特性、信号特性の強度、信号変調特性及び信号符号化特性のうちの1以上を含む、請求項8に記載のコンピュータプログラム製品。
【請求項10】
前記IoTデバイスの前記アイデンティティを証明する為に、前記認証システムに対する前記要求が定期的に又はトリガーイベントに応答して実行される、請求項8に記載のコンピュータプログラム製品。
【請求項11】
前記第2の要素クレデンシャルを生成する為に使用されるべき必要なIoTデバイスの最小数が定義されており、又は前記第2の要素クレデンシャルを生成する為に使用されるべき必要なコレクションの最小数が定義されており、ここで、前記コレクションの各々は、識別されたIoTデバイスの1組を含む、請求項8に記載のコンピュータプログラム製品。
【請求項12】
前記第2の要素クレデンシャルを生成する為に使用されるべき必要なIoTデバイスの前記最小数に対応する必要なIoTデバイスのアイデンティティが定義されており、又は前記第2の要素クレデンシャルを生成する為に使用されるべきコレクションの前記必要な最小数内の必要なIoTデバイスのアイデンティティが定義される、請求項11に記載のコンピュータプログラム製品。
【請求項13】
前記第2の要素クレデンシャルを生成する為に使用されるべき前記最小数の必要なIoTデバイスに対応する前記必要なIoTデバイスからアイデンティティ・クレデンシャルを前記IoTデバイスが取得する観察期間、又は前記第2の要素クレデンシャルを生成する為に使用されるべき前記コレクションの前記必要な最小数内の前記必要なIoTデバイスからアイデンティティ・クレデンシャルを前記IoTデバイスが取得する観察期間が定義される、請求項12に記載のコンピュータプログラム製品。
【請求項14】
前記IoTデバイスが前記1以上の他のIoTデバイスとペアリングされる信頼状態が確立され、ここで、前記IoTデバイスが前記1以上の他のIoTデバイスと常時通信する、請求項8に記載のコンピュータプログラム製品。
【請求項15】
モノのインターネット(IoT)のデバイスであって、該IoTデバイスは、
多要素認証を利用して前記IoTデバイスを認証する為のコンピュータプログラムを格納する為のメモリ;及び、
前記メモリに接続されたプロセッサ
を備えており、ここで、前記プロセッサは、
1以上の他のIoTデバイスからアイデンティティ・クレデンシャルを、或る期間中に前記IoTデバイスによって取得して、第2の要素クレデンシャルを生成すること;
前記IoTデバイスのアイデンティティを証明する為に要求を認証システムに提供すること;
第1の要素クレデンシャルを前記認証システムに提供すること;
前記第2の要素クレデンシャルを提供する為にチャレンジを前記認証システムから受信すること;
前記1以上の他のIoTデバイスからの前記取得された識別されたクレデンシャルに基づいて生成された前記第2の要素クレデンシャルを返すこと;及び、
前記第2の要素クレデンシャルが最小数の必要なアイデンティティ・クレデンシャルを含むことに応答して、前記IoTデバイスが該IoTデバイスの前記アイデンティティを証明したという表示を前記認証システムから受信すること
を含む前記コンピュータプログラムのプログラム命令を実行するように構成されている、
前記IoTデバイス。
【請求項16】
前記アイデンティティ・クレデンシャルが、前記1以上の他のIoTデバイスの、セキュリティキー、デジタル署名、又は特性を含み、ここで、前記特性が、センサ特性、信号特性の強度、信号変調特性及び信号符号化特性のうちの1以上を含む、請求項15に記載のIoTデバイス。
【請求項17】
前記IoTデバイスの前記アイデンティティを証明する為に、前記認証システムに対する前記要求が定期的に又はトリガーイベントに応答して実行される、請求項15に記載のIoTデバイス。
【請求項18】
前記第2の要素クレデンシャルを生成する為に使用されるべき必要なIoTデバイスの最小数が定義されており、又は前記第2の要素クレデンシャルを生成する為に使用されるべき必要なコレクションの最小数が定義されており、ここで、前記コレクションの各々は、識別されたIoTデバイスの1組を含む、請求項15に記載のIoTデバイス。
【請求項19】
前記第2の要素クレデンシャルを生成する為に使用されるべき必要なIoTデバイスの前記最小数に対応する必要なIoTデバイスのアイデンティティが定義されており、又は前記第2の要素クレデンシャルを生成する為に使用されるべきコレクションの前記必要な最小数内の必要なIoTデバイスのアイデンティティが定義される、請求項18に記載のIoTデバイス。
【請求項20】
前記第2の要素クレデンシャルを生成する為に使用されるべき前記最小数の必要なIoTデバイスに対応する前記必要なIoTデバイスからアイデンティティ・クレデンシャルを前記IoTデバイスが取得する観察期間、又は前記第2の要素クレデンシャルを生成する為に使用されるべき前記コレクションの前記必要な最小数内の前記必要なIoTデバイスからアイデンティティ・クレデンシャルを前記IoTデバイスが取得する観察期間が定義される、請求項19に記載のIoTデバイス。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は一般的に、情報セキュリティに関し、より特には、近隣の1以上のIoTデバイスからのアイデンティティ・クレデンシャルを利用して第2の要素クレデンシャルを生成することによって、モノのインターネット(IoT:Internet of Things)のデバイスを認証する為に多要素認証を利用することに関する。
【背景技術】
【0002】
情報セキュリティ(Information security)(インフォセック(infosec)と略されることもある)は、情報リスクを軽減することによって情報を保護する為の実践である。例えば、情報リスク管理の一部である情報セキュリティは、データへの無許可/不適切なアクセス、又は情報の不法使用、開示、破壊、削除、破損、変更、検査、記録若しくは価値の切り下げ(devaluation)を防止するか、又は少なくともその確率を低減しようとする。それはまた、そのような事故の悪影響を軽減する為に意図された活動を含む。
【0003】
情報セキュリティを提供する為の1つの技法は、多要素認証(multi-factor authentication)を介するものであり、それは電子認証方法であり、該電子認証方法において、例えば、コンピュータユーザは、認証メカニズムに対する2以上の証拠(又は、要素);知識(ユーザが知っている何か及びユーザのみが知っている何か)、所有(ユーザが有している何か及びユーザのみが有している何か)及び固有性(inherence)(ユーザが何であるか及びユーザのみが何であるか)を成功裡に提示した後にのみ、ウェブサイト又はアプリケーションへのアクセスを許可されうる。それは、ユーザのデータ、例えば、個人識別子の詳細又は金融資産、にアクセスしようとする未知の人物からユーザを保護する。
【0004】
二要素認証(2FA(two-factor authentication)としてまた知られている)は、多要素認証の一種又はサブセットである。それは、下記の2つの異なる要素、すなわち、1)ユーザが知っていること、2)ユーザが有していること、3)ユーザが何かということ、の組み合わせを使用することによって、ユーザの主張するアイデンティティを確認する方法である。サードパーティ認証(TPA:third-party authenticator)アプリケーションは、通常、ユーザが使用することができるランダムに生成され且つ常に更新されるコードを表示することによって、二要素認証を可能にしうる。
【0005】
多要素認証は、認証されたコンピュータユーザによるウェブサイト又はアプリケーションへのアクセスのみを許可しようとする点で情報を保護する為に利用されてきているが、モノのインターネット(IoT)のデバイスの間で格納される情報を保護することに関しては大きな進展がなかった。
【発明の概要】
【課題を解決するための手段】
【0006】
本開示の1つの実施態様において、多要素認証を利用してモノのインターネット(IoT)のデバイスを認証する為の、コンピュータに実装された方法は、1以上の他のIoTデバイスからアイデンティティ・クレデンシャルを、或る期間中に該IoTデバイスによって取得して、第2の要素クレデンシャルを生成することを含む。該方法は、該IoTデバイスのアイデンティティを証明する為に要求を認証システムに提供することを更に含む。該方法は、第1の要素クレデンシャルを該認証システムに提供することを追加的に含む。その上、該方法は、該第2の要素クレデンシャルを提供する為にチャレンジを該認証システムから受信することを含む。追加的に、該方法は、該取得された識別されたクレデンシャルに基づいて生成された該第2の要素クレデンシャルを、該1以上の他のIoTデバイスから返すことを含む。加えて、該方法は、該第2の要素クレデンシャルが最小数の必要なアイデンティティ・クレデンシャルを含むことに応答して、該IoTデバイスが該IoTデバイスの該アイデンティティを証明したという表示を該認証システムから受信することを含む。
【0007】
上述されたコンピュータに実装された方法の実施態様の他の形態は、システム中に及びコンピュータプログラム製品中にある。
【0008】
上記は、以下に続く本開示の詳細な説明がより良く理解されうるように、本開示の1以上の実施態様の特徴及び技術的利点を、寧ろ一般的に概説したものである。本明細書の以下において、本開示の請求項の主題を形成しうる、本開示の追加の特徴及び利点が説明されている。
【0009】
以下の発明の詳細な説明を添付の図面と共に考慮する場合に、本開示のより良い理解が得られることができる。
【図面の簡単な説明】
【0010】
【
図1】
図1は、本開示の1つの実施態様に従う、本開示の原理を実践する為のモノのインターネット(IoT)環境を図示する。
【
図2】
図2は、該IoTデバイスのハードウェア構成の本開示の1つの実施態様を図示する。
【
図3】
図3は、本開示を実践する為のハードウェア環境を代表する認証システムのハードウェア構成の1つの実施態様を図示する。
【
図4】
図4は、本開示の1つの実施態様に従う、セットアップ段階の間に該IoTデバイスを認証する際に該IoTデバイスによって第2の要素クレデンシャルを生成する為の要件を確立する為の方法のフローチャート図である。
【
図5】
図5は、本開示の1つの実施態様に従う、近隣の必要なIoTデバイスの最小数のアイデンティティ・クレデンシャルを使用して、第2の要素クレデンシャルを認証システムに提供するIoTデバイスによって該IoTデバイスを認証する際の実行段階の方法のフローチャート図である。
【発明を実施するための形態】
【0011】
上記の背景技術の欄において述べられているように、情報セキュリティ(インフォセック(infosec)と略されることもある)は、情報リスクを軽減することによって情報を保護する為の実践である。例えば、情報リスク管理の一部である情報セキュリティは、データへの無許可/不適切なアクセス、又は情報の不法使用、開示、破壊、削除、破損、変更、検査、記録若しくは価値の切り下げを防止するか、又は少なくともその確率を低減しようとする。それはまた、そのような事故の悪影響を軽減する為に意図された活動を含む。
【0012】
情報セキュリティを提供する為の1つの技法は、多要素認証を介するものであり、それは電子認証方法であり、該電子認証方法において、コンピュータユーザは、認証メカニズムに対する2以上の証拠(又は、要素);知識(ユーザが知っている何か及びユーザのみが知っている何か)、所有(ユーザが有している何か及びユーザのみが有している何か)及び固有性(inherence)(ユーザが何であるか及びユーザのみが何であるか)を成功裡に提示した後にのみ、ウェブサイト又はアプリケーションへのアクセスを許可されうる。それは、ユーザのデータ、例えば、個人識別子の詳細又は金融資産、にアクセスしようとする未知の人物からユーザを保護する。
【0013】
二要素認証(2FAとしてまた知られている)は、多要素認証の一種又はサブセットである。それは、下記の2つの異なる要素、すなわち、1)ユーザが知っていること、2)ユーザが有していること、3)ユーザが何かということ、の組み合わせを使用することによって、ユーザの主張するアイデンティティを確認する方法である。サードパーティ認証(TPA)アプリケーションは、通常、ユーザが使用することができるランダムに生成され且つ常に更新されるコードを表示することによって、二要素認証を可能にしうる。
【0014】
多要素認証は、認証されたコンピュータユーザによるウェブサイト又はアプリケーションへのアクセスのみを許可しようとする点で情報を保護する為に利用されてきているが、モノのインターネット(IoT)のデバイスの間で格納される情報を保護することに関しては大きな進展がなかった。
【0015】
IoTデバイスは、インターネットを介してある場所から別の場所にデータを送信する、センサを備えたハードウェアの一部である。IoTデバイスの種類は、無線センサ、ソフトウェア、アクチュエータ、及びコンピュータデバイスを包含する。例えば、IoTデバイスは、下記の分野、すなわち、コネクテッドアプリカント(connected applicants)、スマートホームセキュリティシステム、自律型農業機器、ウェアラブル健康モニタ、スマート工場機器、無線在庫トラッカー、超高速無線インターネット、生体サイバーセキュリティスキャナ、並びに輸送コンテナ及び物流追跡、において利用されうる。
【0016】
典型的には、IoTデバイスのアイデンティティを認証又は証明する為に、該IoTデバイスは慣用的なユーザ名及びパスワードを単に使用し、それは単一要素であり、並びに多要素認証のようなセキュリティレベルを提供しない。
【0017】
しかしながら、IoTデバイス上に格納されたデータについてより高いレベルのセキュリティを提供する為に、多要素認証を利用する最近の開発が幾つかある。例えば、該IoTデバイスは、時間ベースのパスワードを生成する為の秘密キーを格納する。認証されたアイデンティフィケーションデバイスがまた、同じ秘密キーを有しうる。該IoTデバイスは、無線ネットワークを通じて、該アイデンティフィケーションデバイスとのセキュアな接続を確立する。次に、該IoTデバイスは、秘密キー及び現在のアクセス時間を使用して時間ベースパスワードを生成し、そして、セキュアな接続を通じてアイデンティフィケーションデバイスから第2の時間ベースパスワードを受信する。両方の時間ベースパスワードが互いに一致する場合、該アイデンティフィケーションデバイスは認証される。
【0018】
このアプローチは、第2の要素を提供する為にRSAキーフォブ(key fobs)によって使用されるアプローチと同様のアプローチである。残念ながら、そのようなアプローチは、該IoTデバイス内の時間ソースが不正操作(unauthorized manipulation)される可能性がある。
【0019】
多要素認証を利用して、先行技術の試みよりもより安全な方法でモノのインターネット(IoT)のデバイスを認証する為の手段は現在存在しない。
【0020】
本開示の1つの実施態様は、先行技術の試みよりも安全な方法で、多要素認証を利用するIoTデバイスを認証する為の手段を提供する。
【0021】
本開示の幾つかの実施態様において、本開示は、モノのインターネット(IoT)のデバイスを認証する為に多要素認証を利用する為の、コンピュータに実装された方法、システム及びコンピュータプログラム製品を含む。本開示の1つの実施態様において、近隣の1以上のIoTデバイスのアイデンティティ・クレデンシャルが、認証されるべきIoTデバイスによって取得される。そのようなアイデンティティ・クレデンシャルは、多要素認証プロセスの間に第2の要素クレデンシャルを生成する為に利用されうる。1つの実施態様において、信頼状態の間、例えば、IoTデバイス及びその近隣のIoTデバイスが設置されているときに、認証システムは、該IoTデバイスと指定された近隣のIoTデバイスとをペアにして、常に通信状態にあるようにする。該認証システムは、該IoTデバイスによって生成される第2の要素クレデンシャルが、近隣のこれらのIoTデバイスのうち少なくとも最小数のIoTデバイスから取得されたアイデンティティ・クレデンシャルに基づくこと、又は近隣のこれらのIoTデバイスのうちの特定されたIoTデバイスから取得されることを要求しうる。1つの実施態様において、そのようなアイデンティティ・クレデンシャルは、定期的に生じてもよい指定された継続時間、例えば指定された時間間隔、に対応する「近隣観察期間」(neighbor observation period)の間に該IoTデバイスによって取得される。そのアイデンティティを証明する為に要求を該認証システムに提供することに応じて、該IoTデバイスは、該IoTデバイス内に埋め込まれていてもよい第1の要素クレデンシャル、例えば、ユーザ名及びパスワード、を認証システムに提供する。該認証システムは、例えば、該IoTデバイスに関連付けられたユーザ名及びパスワードをリストするルックアップテーブルを介して、第1の要素クレデンシャルの正確さを確認することに応じて、該IoTデバイスが該第2の要素クレデンシャルを提供するようにチャレンジする。該第2の要素クレデンシャルを提供するように該認証システムからチャレンジを受け取った後、該IoTデバイスは、近隣の1以上のIoTデバイスからの該取得したアイデンティティ・クレデンシャルに基づいて生成された第2の要素クレデンシャルを該認証システムに戻す。該受信した第2の要素クレデンシャルが、特定された近隣のIoTデバイス又は特定された最小数の近隣のIoTデバイスのアイデンティティ・クレデンシャルを含むことを判断することに応じて、該認証システムは、認証を承認する。次に、該IoTデバイスは、該IoTデバイスがそのアイデンティティを証明したという表示を該認証システムから受信する。このようにして、該IoTデバイスは、先行技術の試みよりもより安全な様式において多要素認証を利用して認証される。
【0022】
以下の説明において、多数の具体的な詳細が、本開示の完全な理解を提供する為に記載されている。しかしながら、本開示がそのような具体的な詳細無しに実施されうることが当業者には明らかであろう。他の例において、不要な詳細で本開示を不明瞭にしないようにする為に、周知の回路がブロック図の形態で示されている。ほとんどの場合、タイミング等を考慮した詳細は、そのような詳細が、本開示の完全な理解を得る為に必要ではなく、関連する技術の当業者の技術範囲内である為に省略されている。
【0023】
ここで図面を詳細に参照すると、
図1は、本開示の1つの実施態様に従って本開示の原理を実践する為の、モノのインターネット(IoT)環境100を図示する。IoT環境100は、ネットワーク103を介してIoTデバイス102A~102D(
図1において夫々、「IoTデバイスA」、「IoTデバイスB」、「IoTデバイスC」、及び「IoTデバイスD」として識別される)に接続された認証システム101を備えている。IoTデバイス102は総称して又は個別に、夫々、複数のIoTデバイス102又はIoTデバイス102と称する場合がある。
【0024】
認証システム101は、人間の相互作用無しに、IoTデバイス102のアイデンティティを認証又は証明するように構成される。1つの実施態様において、認証システム101は、IoTデバイス102のアイデンティティを認証又は証明する為に、単純なユーザ名及びパスワードを超える多要素認証を必要とする。本明細書において説明されているように、人間の相互作用無しにIoTデバイス102を認証するように変更されていてもよい認証システムの例は、HID DigitalPersona(登録商標)及びDuo Security by Cisco(登録商標)を包含する。認証システム101のハードウェア構成の説明は、
図3に関連して以下に更に提供されている。
【0025】
1つの実施態様において、認証システム101は、以下で更に説明されているように、登録されたIoTデバイス102のアイデンティティ・クレデンシャルを格納する為のデータベース104に接続される。
【0026】
1つの実施態様において、IoTデバイス102は、インターネットを介して或る場所から別の場所にデータを送信するセンサを有するハードウェアの一部である。IoTデバイス102の種類は、無線センサ、ソフトウェア、アクチュエータ、及びコンピュータデバイスを包含する。例えば、IoTデバイス102は、下記の分野、すなわち、コネクテッドアプリカント(connected applicants)、スマートホームセキュリティシステム、自律型農業機器、ウェアラブル健康モニタ、スマート工場機器、無線在庫トラッカー、超高速無線インターネット、生体サイバーセキュリティスキャナ、並びに輸送コンテナ及び物流追跡、において利用されうる。
【0027】
例示的なIoTデバイス102のハードウェア構成の説明が、
図2に関連して以下に提供される。
【0028】
図2は、本開示を実践する為のハードウェア環境の代表であるIoTデバイス102(
図1)のハードウェア構成の本開示の1つの実施態様を図示する。
【0029】
図2を参照すると、IoTデバイス102は、プロセッサ201とデータストレージデバイス202(例えば、磁気ストレージデバイス、光学ストレージデバイス、フラッシュメモリデバイス)とを備えており、該データストレージデバイス202は、ソフトウェアプログラム又はアプリケーション203、例えば軽量アプリケーション(lightweight application)、をホストし及び実行すること並びに
図1に示されているようにネットワーク103を介して、他のIoTデバイス102及び認証システム101と通信することを可能にする。本明細書において使用される「軽量アプリケーション」は、小さなメモリフットプリント及び低いCPU使用量を有し、それによってシステムリソースの全体的に低い使用量を有するように設計されているコンピュータプログラムを云う。1つの実施態様において、アプリケーション203のプログラム命令、例えば、本明細書において説明されているコンポーネントを含む上記のアプリケーション203のプログラム命令、はプロセッサ201によって実行される。
【0030】
1つの実施態様において、アプリケーション203は、様々なコンポーネント、例えば、リスナー204、ブロードキャスター205、レコーダー206、及びセンシング(sensing)/アクチュエーション(actuation)コンポーネント207、を備えていてもよい。一般的に、リスナー204は、ネットワーク103(
図1)を介してデータ又は他の入力を受信する役割を果たし、一方、ブロードキャスター205は、ネットワーク103を介してデータ又は他の出力をブロードキャストする役割を果たす。レコーダー206は、データを記録する役割を果たす。センシング/アクチュエーションコンポーネント207は、IOTデバイスに慣用的に関連付けられたセンシング及びアクチュエーションの機能を引き受ける。一般的に、センシング/アクチュエーションコンポーネント207は、デバイスのコンテキストにおいて適切でありうるように、周囲パラメータ、例えば、温度、明るさ、音等、のセンシング又は測定を引き受ける役割を果たしうる。
【0031】
1つの実施態様において、データストレージデバイス202は、ユーザ名及びパスワード208のストレージを更に備えており、それは、本明細書において説明されている多要素認証技術に関連して認証システム101に提供される第1の要素クレデンシャルとして使用される。
【0032】
図1に戻ると、ネットワーク103は、例えば、ローカルエリアネットワーク、ワイドエリアネットワーク、無線ワイドエリアネットワーク、回線交換電話ネットワーク、移動通信用グローバルシステム(GSM:Global System for Mobile Communications)のネットワーク、無線アプリケーションプロトコル(WAP:Wireless Application Protocol)ネットワーク、WiFiネットワーク、IEEE 802.11標準ネットワーク、及びそれらの様々な組み合わせ等でありうる。本明細書において簡潔さの為に説明が省略される他のネットワークがまた、本発明の範囲から逸脱すること無しに、
図1のシステム100と組み合わされて使用されうる。
【0033】
環境100は、任意の1つの特定のネットワークアーキテクチャに範囲を限定されるものではない。環境100は、任意の数の認証システム101、IoTデバイス102、及びネットワーク103を備えていてもよい。
【0034】
ここで
図3を参照すると、該
図3は、本開示を実践する為のハードウェア環境の代表である認証システム101(
図1)のハードウェア構成の本開示の1つの実施態様を図示する。
【0035】
認証システム101は、システムバス302によって他の様々なコンポーネントに接続されたプロセッサ301を有する。オペレーティングシステム303は、プロセッサ301上で実行され、
図3の様々なコンポーネントの機能を制御し及び調整することを提供する。本開示の原理に従うアプリケーション304は、オペレーティングシステム303と連動して実行され、オペレーティングシステム303に呼び出しを提供し、そこでは、該呼び出しがアプリケーション304によって実行されるべき様々な機能又はサービスを実装する。アプリケーション304は、例えば、
図4~
図5に関連して以下に更に説明されているように、多要素認証を利用して、IoTデバイス102(
図1)を認証する為のプログラム含んでいてもよい。
【0036】
再び
図3を参照すると、読み取り専用メモリ(ROM:read-only memory)305は、システムバス302に接続され、及び認証システム101の或る基本機能を制御する基本入出力システム(BIOS:basic input/output system)を備えている。ランダムアクセスメモリ(RAM:random access memory)306及びディスクアダプタ307がまた、システムバス302に接続されている。ソフトウェアコンポーネント、例えば、オペレーティングシステム303及びアプリケーション304を包含する上記のソフトウェアコンポーネント、は、実行の為に認証システム101のメインメモリであってもよいRAM 306内にロードされてもよいことに留意されるべきである。ディスクアダプタ307は、ディスクユニット308、例えばディスクドライブ、と通信する統合ドライブエレクトロニクス(IDE:integrated drive electronics)アダプタであってもよい。
図4~
図5に関連して以下に更に説明されているように、多要素認証を利用して、IoTデバイス102を認証する為のプログラムは、ディスクユニット308内に又はアプリケーション304内に常駐していてもよいことに留意されたい。
【0037】
認証システム101は、システムバス302に接続された通信アダプタ309を更に備えていてもよい。通信アダプタ309は、他のデバイス、例えばIoTデバイス102、と通信する為に、システムバス302を外部のネットワーク(例えば、
図1のネットワーク103)と相互接続する。
【0038】
本発明は、統合の在りうる任意の技術的詳細レベルで、システム、方法若しくはコンピュータプログラム製品又はそれらの組み合わせでありうる。該コンピュータプログラム製品は、プロセッサに本発明の観点を実行させる為のコンピュータ可読プログラム命令を有する1以上のコンピュータ可読記憶媒体を包含しうる。
【0039】
該コンピュータ可読記憶媒体は、命令実行デバイスによって使用する為の命令を保持且つ記憶することができる有形のデバイスであることができる。該コンピュータ可読記憶媒体は、例えば、電子ストレージデバイス、磁気ストレージデバイス、光ストレージデバイス、電磁ストレージデバイス、半導体ストレージデバイス、又はこれらの任意の適切な組み合わせでありうるが、これらに限定されない。該コンピュータ可読記憶媒体のより具体的な例の非網羅的なリストは、下記を包含する:ポータブルのコンピュータディスケット(登録商標)、ハードディスク、ランダムアクセスメモリ(RAM:random access memory)、読み取り専用メモリ(ROM:read only memory)、消去可能なプログラム可能な読み取り専用メモリ(EPROM(erasable programmable read-only memory)又はフラッシュメモリ)、スタティックランダムアクセスメモリ(SRAM:static random access memory)、ポータブル・コンパクトディスク読み取り専用メモリ(CD-ROM:compact disc read-only memory)、デジタル多用途ディスク(DVD:digital versatile disk)、メモリスティック、フロッピーディスク、機械的に符号化されたデバイス、例えば、パンチカード若しくは命令が記録されている溝内の隆起構造又はこれらの任意の適切な組み合わせ。本明細書において使用される場合、コンピュータ可読記憶媒体は、一時的な信号それ自体、例えば、電波又は他の自由に伝播する電磁波、導波管若しくは他の伝送媒体を伝播する電磁波(例えば、光ファイバケーブルを通過する光パルス)、又は電線を介して送信される電気信号、であると解釈されるべきでない。
【0040】
本明細書において記載されたコンピュータ可読プログラム命令は、コンピュータ可読記憶媒体から夫々のコンピューティングデバイス/処理デバイスに、又はネットワーク、例えば、インターネット、ローカルエリアネットワーク、ワイドエリアネットワーク若しくはワイヤレスネットワーク又はそれらの組み合わせ、を介して外部コンピュータ又は外部記憶デバイスにダウンロードされることができる。該ネットワークは、銅線伝送ケーブル、光伝送ファイバ、無線伝送、ルータ、ファイアウォール、スイッチ、ゲートウェイコンピュータ若しくはエッジサーバ又はこれらの組み合わせで構成されうる。各コンピューティングデバイス/処理デバイスにおけるネットワークアダプタカード又はネットワークインタフェースは、ネットワークからコンピュータ可読プログラム命令を受信し、そして、該コンピュータ可読プログラム命令を、夫々のコンピューティングデバイス/処理デバイス内にコンピュータ可読記憶媒体中に記憶する為に伝送する。
【0041】
本発明の動作を実行する為のコンピュータ可読プログラム命令は、アセンブラ命令、命令セットアーキテクチャ(ISA:instruction-set-architecture)命令、マシン命令、マシン依存命令、マイクロコード、ファームウェア命令、状態設定データ、集積回路の為の構成データ、又は、1以上のプログラミング言語、例えばオブジェクト指向プログラミング言語、例えば、Smalltalk、C++等、慣用的な手続き型プログラミング言語(例えば、「C」プログラミング言語又は同様のプログラミング言語)、の任意の組み合わせで書かれているソースコード又はオブジェクトコードのいずれか、でありうる。該コンピュータ可読プログラム命令は、ユーザのコンピュータ上で全体的に、ユーザのコンピュータ上で部分的に、ユーザのコンピュータ上でスタンドアロン・ソフトウェア・パッケージとして部分的に、ユーザのコンピュータ上で部分的に且つリモート・コンピュータ上で部分的に、又はリモート・コンピュータ若しくはサーバ上で全体的に、実行されうる。後者のシナリオにおいて、該リモート・コンピュータは、任意の種類のネットワーク、例えば、ローカルエリアネットワーク(LAN:local area network)若しくはワイドエリアネットワーク(WAN:wide area network)、を介してユーザのコンピュータに接続されうるか、又は該接続は(例えば、インターネットサービスプロバイダを使用したインターネットを通じて)外部コンピュータに対して行われうる。幾つかの実施態様において、電子回路、例えば、プログラム可能な論理回路、フィールドプログラム可能なゲートアレイ(FPGA:field-programmable gate arrays)又はプログラム可能なロジックアレイ(PLA:programmable logic arrays)、は、本発明の観点を実行する為に、コンピュータ可読プログラム命令の状態情報を利用することによって、電子回路をパーソナライズすることによって、コンピュータ可読プログラム命令を実行しうる。
【0042】
本発明の観点は、本発明の実施態様に従う、方法、装置(システム)及びコンピュータプログラム製品若しくはコンピュータプログラムのフローチャート図若しくはブロック図又はそれらの組み合わせを参照して本明細書において記載されている。該フローチャート図若しくは該ブロック図又はそれらの組み合わせの各ブロック、並びに該フローチャート図若しくは該ブロック図又はそれらの組み合わせにおける複数のブロックの組み合わせは、コンピュータ可読プログラム命令によって実装されることができることが理解されるであろう。
【0043】
これらのコンピュータ可読プログラム命令は、汎用コンピュータ、専用コンピュータ、又は他のプログラム可能なデータ処理装置のプロセッサに提供され、コンピュータ又は他のプログラム可能なデータ処理装置のプロセッサを介して実行される命令が、フローチャート図若しくはブロック図又はこれらの組み合わせの1以上のブロックに指定された機能/行為を実装する手段を作成するように、マシンを生成することができる。これらのコンピュータ可読プログラム命令は、コンピュータ、プログラム可能なデータ処理装置若しくは他の装置又はこれらの組み合わせに特定の方法で機能するように指示できるコンピュータ可読記憶媒体に記憶することもでき、その中に記憶された命令を有するコンピュータ可読記憶媒体は、フローチャート図若しくはブロック図又はそれらの組み合わせの1以上の指定された機能/行為の観点を実装する命令を含む製造物品を備えている。
【0044】
該コンピュータ可読プログラム命令はまた、コンピュータ上、他のプログラム可能なデータ処理装置上又は他のデバイス上で実行される命令が、該フローチャート図若しくはブロック図若しくはそれらの組み合わせの1以上のブロックにおいて特定される機能/動作を実装するように、上記のコンピュータ上、他のプログラム可能なデータ処理装置上又は他のデバイス上にロードされて、コンピュータ、他のプログラム可能な装置又は他のデバイス上で一連の操作工程を実行させて、コンピュータに実装されたプロセスを生成しうる。
【0045】
図面中のフローチャート図及びブロック図は、本発明の様々な実施態様に従う、システム、方法及びコンピュータプログラム製品若しくはコンピュータプログラムの在りうる実装の、アーキテクチャ、機能及び動作を示す。これに関連して、該フローチャート図又はブロック図における各ブロックは、命令のモジュール、セグメント、又はその一部を表し得、それは、特定された1以上の論理機能を実装する為の1以上の実行可能命令を含む。幾つかの代替の実装において、該ブロックにおいて示されている機能は、図面中に示されている順序とは異なって生じうる。例えば、連続して示されている2つのブロックは、実際には、関与する機能に依存して、同時に、実質的に同時に、部分的又は全体的に時間的に重複する様式で実行される1つの工程として達成されうるか、又は該ブロックは、逆の順序で実行されうる。該ブロック図若しくはフローチャート図又はこれらの組み合わせの各ブロック、並びに該ブロック図若しくはフローチャート図又はこれらの組み合わせの複数のブロックの組み合わせは、特定された機能又は動作を実行する特別な目的のハードウェアベースのシステムによって実装することができ、又は特別な目的のハードウェアとコンピュータ命令との組み合わせを実行することができることに留意されたい。
【0046】
上述されているように、典型的には、IoTデバイスのアイデンティティを認証又は証明する為に、該IoTデバイスは、慣用的なユーザ名及びパスワードを単に使用し、それは単一要素であり、並びに多要素認証のようなセキュリティのレベルを提供しない。しかしながら、IoTデバイス上に格納されたデータについてより高いレベルのセキュリティを提供する為に、多要素認証を利用する最近の開発が幾つかある。例えば、該IoTデバイスは、時間ベースのパスワードを生成する為の秘密キーを格納する。認証されたアイデンティフィケーションデバイスがまた、同じ秘密キーを有しうる。該IoTデバイスは、無線ネットワークを通じて、該アイデンティフィケーションデバイスとのセキュアな接続を確立する。次に、該IoTデバイスは、秘密キー及び現在のアクセス時間を使用して時間ベースパスワードを生成し、そして、セキュアな接続を通じてアイデンティフィケーションデバイスから第2の時間ベースパスワードを受信する。両方の時間ベースパスワードが互いに一致する場合、該アイデンティフィケーションデバイスは認証される。このアプローチは、第2の要素を提供する為にRSAキーフォブ(key fobs)によって使用されるアプローチと同様のアプローチである。残念ながら、そのようなアプローチは、該IoTデバイス内の時間ソースが不正操作(unauthorized manipulation)される可能性がある。多要素認証を利用して、先行技術の試みよりもより安全な方法でモノのインターネット(IoT)のデバイスを認証する為の手段は現在存在しない。
【0047】
本開示の1つの実施態様は、
図4~
図5に関連して以下に説明されているように、近隣のIoTデバイス102との相互作用を使用する先行技術の試みよりもより安全な様式で多要素認証を利用してIoTデバイス102(
図1及び
図2)を認証する為の手段を提供する。
図4は、IoTデバイス102を認証する際にIoTデバイス102によって第2の要素クレデンシャルを生成する為の要件を確立する際のセットアップ段階のフローチャート図である。
図5は、近隣のIoTデバイス102のアイデンティティ・クレデンシャルを使用して第2の要素クレデンシャルを提供するIoTデバイス102によってIoTデバイス102を認証する際の実行段階のフローチャート図である。
【0048】
図4は、本開示の1つの実施態様に従う、該セットアップ段階の間にIoTデバイス102を認証する際にIoTデバイス102によって第2の要素クレデンシャルを生成する為の要件を確立する為の方法400のフローチャート図である。
【0049】
以下の説明は、IoTデバイス102を認証する為に二要素認証を利用する認証システム101を説明するが、認証システム101は、他の複数の認証要素、例えば三要素認証、を利用してIoTデバイス102を認証しうる。当業者は、そのような実装に本開示の原理を適用することが可能であろう。更に、そのような実装に本開示の原理を適用する実施態様は、本開示の範囲内に入るであろう。
【0050】
図4を参照すると、
図1~
図3と関連して、認証システム101は、第2の要素クレデンシャルを生成する為に使用されるべき近隣の必要なIoTデバイス102の最小数を定義し、又は必要なコレクションの最小数を定義し、並びに第2の要素クレデンシャルを生成する為に使用されるべき必要なコレクションの最小数からIoTデバイスの最小数を定義する。本明細書において使用される場合に、IoTデバイス102(例えば、IoTデバイス102A)に対する「近隣」(neighbor)又は「近隣の」(neighboring)IoTデバイス102(例えば、IoTデバイス102B、IoTデバイス102C、IoTデバイス102D)は、信頼状態の間(後述される)、IoTデバイス102(例えば、IoTデバイス102A)とペアリングされているそれらのIoTデバイス102(例えば、IoTデバイス102B)のことを云う。その上、そのような「近隣の」IoTデバイス102は、そのアイデンティティが認証されるべきところのIoTデバイス102と、例えばネットワーク103を介して、通信するように十分に近接して配置されている。そのような通信は、そのアイデンティティが認証されるべきところのIoTデバイス102(例えば、IoTデバイス102A)による、近隣のIoTデバイス102(例えば、IoTデバイス102B、IoTデバイス102C、IoTデバイス102D)からアイデンティティ・クレデンシャルを取得する為の要求を含む。本明細書において使用される場合に、「アイデンティティ・クレデンシャル」は、セキュリティキー、デジタル署名、又はIoTデバイス102の特性、例えばこれらに限定されるものではないが、センサ特性(例えば、電気化学的、ジャイロスコープ、圧力、光センサ、全地球測位システム(GPS:Global Positioning System)、圧力、無線周波数識別(RFID:radio-frequency identification)等)、信号特性の強度(例えば、-60dBm、-75dBm等)、信号変調特性(例えば、2.4GHz Wi-Fi、5GHz Wi-Fi、イーサネット)、及び信号符号化特性(例えば、ASCII、HEX等)、を云う。
【0051】
1つの実施態様において、近隣のIoTデバイス102は、例えば信頼状態の間、認証システム101に登録されることが必要とされ、それは、認証システム101にそのようなアイデンティティ・クレデンシャルを提供することを伴う。1つの実施態様において、IoTデバイス102がその近隣のIoTデバイス102のアイデンティティ・クレデンシャルを取得するときに、例えば近隣観察期間の間に(後述される)、そのようなアイデンティティ・クレデンシャルが認証システム101に定期的に提供されうる。
【0052】
1つの実施態様において、これらのクレデンシャルは、ストレージデバイス(例えば、メモリ305、ディスクドライブ308)内に常駐しうるテーブル内に格納される。そのようなクレデンシャルは、例えばIoTデバイス102の識別子(例えば、オブジェクト識別子、例えばバーコード;通信識別子、例えばインターネットプロトコル(IP:Internet Protocol)アドレス;並びに、アプリケーション識別子、例えばユニフォームリソース識別子(URI:uniform resource identifier)及びユニフォームリソースロケータ(URL:uniform resource locator))によって、テーブル内の特定のIoTデバイス102に関連付けられうる。代替の実施態様において、そのようなアイデンティティ・クレデンシャル及び関連付けられたIoTデバイス識別子は、データベース、例えば、認証システム101に接続されたデータベース104、内に格納されうる。
【0053】
上述されているように、認証システム101は、第2の要素クレデンシャルを生成する為に使用されるべき近隣の必要なIoTデバイス102の最小数を定義する。例えば、認証システム101は、認証されるべきIoTデバイス102が、近隣の3つのIoTデバイスの最小数(例えば、IoTデバイス102B、IoTデバイス102C、IoTデバイス102D)からアイデンティティ・クレデンシャルを利用して、本開示の二要素認証技術において第2の要素クレデンシャルを生成する必要があることを要求しうる。
【0054】
その上、上述されているように、認証システム101は、第2の要素クレデンシャルを生成する為に使用されるべき必要なコレクションの最小数を定義する。本明細書において使用される場合に、「コレクション」は、近隣の複数のIoTデバイス102の1組を云う。例えば、コレクション(「A」)は、{A、B、C、D、及びE}の1組に対応してもよく、ここで、A、B、C、D及びEは夫々の近隣のIoTデバイス102である。認証システム101は、アイデンティティが認証されるべきIoTデバイス102によって第2の要素クレデンシャルを生成する際に使用されるべき最小数そのような1組を定義しうる。その上、認証システム101は、第2の要素クレデンシャルを生成する際に使用されるべき最小数のコレクションから、近隣のIoTデバイスの最小数を更に定義しうる。例えば、認証システム101は、本開示の二要素認証技術において、第2の要素クレデンシャルを生成する為に、最小数のコレクションから3つの近隣のIoTデバイスの最小数を定義しうる。
【0055】
工程402において、認証システム101は、第2の要素クレデンシャルを生成する為に使用されるべき必要なIoTデバイス102の最小数に対応する近隣の必要なIoTデバイス102のアイデンティティを定義するか、又は該第2の要素クレデンシャルを生成する為に使用されるべきコレクションの必要な最小数内の必要なIoTデバイス102のアイデンティティを定義する。
【0056】
例えば、認証システム101は、認証されるべきIoTデバイス102(例えば、IoTデバイス102A)が、IoTデバイス102B、IoTデバイス102C及びIoTデバイス102Dのアイデンティティ・クレデンシャルを使用して、第2の要素クレデンシャルを生成する為に使用される必要がある必要な最小数の3つの近隣のIoTデバイス102に対応する第2の要素クレデンシャルを生成することを要求しうる。本明細書において使用される場合に、第2の要素クレデンシャルを「生成する」ことは、近隣のIoTデバイス102の必要なアイデンティティ・クレデンシャルを含むクレデンシャルを生成することを云う。「生成する」ことは、近隣のIoTデバイス102の識別子(例えば、オブジェクト識別子、例えばバーコード、通信識別子、例えばインターネットプロトコル(IP)アドレス、及びアプリケーション識別子、例えば、ユニフォームリソース識別子(URI)及びユニフォームリソースロケータ(URL))をそのアイデンティティ・クレデンシャルに付加することによって実行されてもよい。その結果、該第2の要素クレデンシャルは、その関連付けられたアイデンティティ・クレデンシャルに付加された一連の識別子(近隣のIoTデバイス102の識別子)を含みうる。
【0057】
1つの実施態様において、そのような要件は、認証されるべきIoTデバイス102(例えば、IoTデバイス102A)に関連付けられたテーブル(該テーブルは、ストレージ媒体(例えば、メモリ305、ディスクドライブ308)内又はデータベース104内に格納されてもよい)内に格納される。この態様において、認証システム101が近隣のIoTデバイス102の各々のアイデンティティ・クレデンシャルにアクセスを有し並びに該第2の要素クレデンシャルを生成する為に使用することが要求されるそれらの近隣の必要なIoTデバイス102のアイデンティティ・クレデンシャルを用いて該第2の要素クレデンシャルを構築することができる故に、認証されるべきIoTデバイス102から受け取った第2の要素クレデンシャルが正しいかを認証システム101は判断できるであろう。その上、上述されているように、そのようなアイデンティティ・クレデンシャルは、例えば近隣観察期間の間(更に後述される)に、常に更新されてもよく、従って、アイデンティティ・クレデンシャルが最新である。
【0058】
他の例において、認証システム101は、認証されるべきIoTデバイス102(例えば、IoTデバイス102A)が、該定義された近隣のIoTデバイス102からなる必要な最小数のコレクション(例えば、3つのコレクション)を使用することを要求しうる。例えば、認証システム101は、コレクション「R」を、{A、B、C、D及びE}の1組を含むように定義してもよく、コレクション「S」を、{A、B、E及びF}の1組を含むように定義してもよく、並びにコレクション「T」を、{A、E、I、O及びU}の1組を含むように定義してもよく、ここで、各文字は、特定の近隣のIoTデバイス102に対応する。認証要件は、近隣の少なくとも3つのIoTデバイス102、例えば、複数の該コレクションの各々内にリストされている近隣の任意のIoTデバイス102を包含する上記の近隣の少なくとも3つのIoTデバイス102、が、第2の要素クレデンシャルを生成する為に使用される必要があることでありうる。その結果、IoTデバイスA及びEが使用される必要があり、並びに第3のIoTデバイス102は、{B、C、D、F、I、O及びU}の1組から選択される。
【0059】
結果として、工程402において、認証システム101は、認証されるべきIoTデバイス102に、第2の要素クレデンシャルの生成に関連する特定の要件を通知する。その結果、IoTデバイス102は、第2の要素クレデンシャルを生成する為にどの近隣のIoTデバイス102からそのアイデンティティ・クレデンシャルをIoTデバイス102が取得すべきかという知識を有する。近隣の必要なIoTデバイス102からのそのようなアイデンティティ・クレデンシャルは、近隣観察期間の間に取得されうる。
【0060】
工程403において、認証システム101は、認証されるべきIoTデバイス102が第2の要素クレデンシャルを生成する為に使用される近隣の必要なIoTデバイスからアイデンティティ・クレデンシャルを取得する「近隣観察期間」を定義する。1つの実施態様において、近隣観察期間は、時間の持続時間を含む。1つの実施態様において、該近隣観察期間は、例えば指定された時間間隔で、定期的に生じるように定義される。
【0061】
この期間の間、認証されるべきIoTデバイス102は、その近隣のIoTデバイス102のアイデンティティ・クレデンシャル、例えば、認証システム101によって必要とされる場合にその近隣のIoTデバイス102のアイデンティティ・クレデンシャル、を収集する。
【0062】
その上、1つの実施態様において、この期間中、それらの近隣のIoTデバイス102は、認証システム101が認証されるべきIoTデバイス102から受信されるべき第2の要素クレデンシャルを決定できるように、それらのアイデンティティ・クレデンシャルを認証システム101に送信する。前に説明されているように、そのようなアイデンティティ・クレデンシャルは、テーブル(該テーブルは、ストレージ媒体(例えば、メモリ305、ディスクドライブ308)内又はデータベース104内に存在してもよい)内に格納されてもよい。
【0063】
工程404において、認証システム101は、認証されるべきIoTデバイス102(例えば、IoTデバイス102A)が近隣のIoTデバイスとペアリングされる信頼状態を確立し、ここで、近隣のこれらのIoTデバイスの少なくともサブセットのアイデンティティ・クレデンシャルが第2の要素クレデンシャルを生成する為に使用される。1つの実施態様において、そのようなIoTデバイス102が一旦ペアリングされると、それらは常時通信を維持することになる。1つの実施態様において、そのようなIoTデバイス102は、該信頼状態の間に設置される。
【0064】
1つの実施態様において、該信頼状態の間、IoTデバイス102が第1の要素クレデンシャルとして使用するところのユーザ名及びパスワード208は、IoTデバイス102が第1の要素クレデンシャルを認証システム101に提供するときに、該第1の要素クレデンシャルの正確さを検証する為に認証システム101に提供されうる。1つの実施態様において、そのようなユーザ名及びパスワードは、関連付けられたIoTデバイス102の識別子(例えば、オブジェクト識別子、例えばバーコード、通信識別子、例えばインターネットプロトコル(IP)アドレス、及びアプリケーション識別子、例えば、ユニフォームリソース識別子(URI)及びユニフォームリソースロケータ(URL))とともにテーブル(該テーブルは、ストレージ媒体(例えば、メモリ305、ディスクドライブ308)内又はデータベース104内に存在してもよい)内に格納される。ユーザ名及びパスワードを該対応するIoTデバイス102に関連付けることにより、認証システム101は、IoTデバイス102の識別子に基づいて該テーブルにおけるルックアップを実行することによって、IoTデバイス102に関連付けられたユーザ名及びパスワードを識別することができる。
【0065】
セットアップ段階の完了に応じて、IoTデバイス102が認証システム101に近隣のIoTデバイス102の必要なアイデンティティ・クレデンシャルを使用して第2の要素クレデンシャルを提供することによってIoTデバイス102(例えば、IoTデバイス102A)を認証する際の実行段階が、
図5に関連して以下に説明されている。
【0066】
図5は、本開示の1つの実施態様に従う、近隣の必要なIoTデバイスの最小数のアイデンティティ・クレデンシャルを使用して、第2の要素クレデンシャルを認証システム101に提供するIoTデバイス102によってIoTデバイス102(例えば、IoTデバイス102A)を認証する際の実行段階の方法500を示すフローチャート図である。
【0067】
図5を参照すると、
図1~
図4と関連して、工程501において、認証されるべきIoTデバイス102は、上述されているように、該第2の要素クレデンシャルを生成する為に使用される近隣観察期間の間に近隣の必要なIoTデバイス102からアイデンティティ・クレデンシャルを取得する。
【0068】
工程502において、IoTデバイス102は、IoTデバイス102のアイデンティティを証明する為に要求を認証システム101に提供する。1つの実施態様において、該要求は、認証システム101に定期的に提供される。1つの実施態様において、該要求は、トリガーイベント(例えば、アイテムが追加され、更新され、又は削除されたときにレジストリによって生成されるイベント)に応答して、認証システム101に提供される。
【0069】
工程503において、IoTデバイス102は、第1の要素クレデンシャル(例えば、ユーザ名、パスワード)を認証システム101に提供する。1つの実施態様において、該ユーザ名及びパスワード208は、IoTデバイス102内に埋め込まれており、例えば、データストレージデバイス202内に格納されている。
【0070】
1つの実施態様において、認証システム101は、第1の要素クレデンシャルの正確さを、例えば、IoTデバイス102に関連付けられたユーザ名及びパスワードをリストするテーブルにおけるルックアップを介して確認すると、IoTデバイス102に第2の要素クレデンシャルを提供するようにチャレンジする。
【0071】
工程504において、IoTデバイス102は、第2の要素クレデンシャルを提供する為にチャレンジを認証システム101から受信する。
【0072】
工程505において、IoTデバイス102は、近隣の必要なIoTデバイス102からの上記取得されたアイデンティティ・クレデンシャルに基づいて生成された第2の要素クレデンシャルを、認証システム101に返す。例えば、認証システム101は、認証されるべきIoTデバイス102(例えば、IoTデバイス102A)がIoTデバイス102B、IoTデバイス102C及びIoTデバイス102Dのアイデンティティ・クレデンシャルを使用して、第2の要素クレデンシャルを生成する為に使用される必要がある必要な最小数の3つの近隣のIoTデバイス102に対応する第2の要素クレデンシャルを生成することを要求しうる。結果として、該第2の要素クレデンシャルは、IoTデバイス102B、IoTデバイス102C及びIoTデバイス102Dのアイデンティティ・クレデンシャルを含み、それは、認証システム101に提供される。
【0073】
他の例において、上述されているように、認証システム101は、認証されるべきIoTデバイス102(例えば、IoTデバイス102A)が近隣の該定義されたIoTデバイス102からなる必要な最小数のコレクション(例えば、3つのコレクション)を使用することを要求しうる。例えば、認証システム101は、{A、B、C、D及びE}の1組を含むようにコレクション「R」を定義してもよく、{A、B、E及びF}の1組を含むようにコレクション「S」を定義してもよく、並びに{A、E、I、O及びU}の1組を含むようにコレクション「T」を定義してもよく、ここで、各文字は、特定のIoTデバイス102に対応する。認証要件は、近隣の少なくとも3つのIoTデバイス102、例えば、複数の該コレクションの各々内にリストされている近隣の任意のIoTデバイス102を包含する上記の近隣の少なくとも3つのIoTデバイス102、が、第2の要素クレデンシャルを生成する為に使用される必要があることでありうる。その結果、IoTデバイスA及びEが使用される必要があり、並びに第3のIoTデバイス102は、{B、C、D、F、I、O及びU}の1組から選択される。その結果、IoTデバイス102は、IoTデバイスA及びBのアイデンティティ・クレデンシャル、並びにIoTデバイスC、D、E、F、I、O及びUから選択される1つを獲得する。次に、該第2の要素クレデンシャルは、そのようなアイデンティティ・クレデンシャルを用いて生成され、それは、認証システム101に提供される。
【0074】
上述されているように、本明細書において使用される場合に、第2の要素クレデンシャルを「生成する」ことは、近隣のIoTデバイス102の該必要なアイデンティティ・クレデンシャルを含むクレデンシャルを生成することを云う。「生成する」ことは、近隣のIoTデバイス102の識別子(例えば、オブジェクト識別子、例えばバーコード、通信識別子、例えばインターネットプロトコル(IP)アドレス、及びアプリケーション識別子、例えば、ユニフォームリソース識別子(URI)及びユニフォームリソースロケータ(URL))をそのアイデンティティ・クレデンシャルに付加することによって実行されてもよい。その結果、該第2の要素クレデンシャルは、その関連付けられたアイデンティティ・クレデンシャルに付加された一連の識別子(近隣のIoTデバイス102の識別子)を含みうる。
【0075】
工程506において、認証システム101は、第2の要素クレデンシャルをIoTデバイス102から受信する。
【0076】
工程507において、上記の受信した第2の要素クレデンシャルが最小数の必要なアイデンティティ・クレデンシャルを含むかどうかについての判断が認証システム101によって行われる。
【0077】
例えば、認証システム101は、認証されるべきIoTデバイス102(例えば、IoTデバイス102A)が、IoTデバイス102B、IoTデバイス102C及びIoTデバイス102Dのアイデンティティ・クレデンシャルを少なくとも使用して、該第2の要素クレデンシャルを生成することを要求する場合に、それらのアイデンティティ・クレデンシャルが該第2の要素クレデンシャル中に含まれている限り、認証システム101は認証を承認するであろう。そうでなければ、認証システム101は認証の承認をしないであろう。
【0078】
上述されているように、認証システム101は、認証されるべきIoTデバイス102(例えば、IoTデバイス102A)が、コレクションR、S及びT(コレクション「R」は{A、B、C、D及びE}の1組を含み、コレクション「S」は{A、B、E及びF}の1組を含み、コレクション「T」は{A、E、I、O及びU}の1組を含む)の各々のメンバーである近隣の少なくとも3つのIoTデバイス102、例えば、該コレクションの各々内にリストされている近隣の任意のIoTデバイス102を包含する上記の近隣の少なくとも3つのIoTデバイス102、のアイデンティティ・クレデンシャルを収集することを要求する。従って、該第2の要素クレデンシャルが、IoTデバイスA及びEのアイデンティティ・クレデンシャル、並びにIoTデバイスC、D、E、F、I、O及びUから選択されるIoTデバイス102のアイデンティティ・クレデンシャルを含む限り、認証システム101は認証を承認するであろう。そうでなければ、認証システム101は認証の承認をしないであろう。
【0079】
上記の受信した第2の要素クレデンシャルが最小数の必要なアイデンティティ・クレデンシャルを含む場合、工程508において、認証システム101は認証を承認し、そして、IoTデバイス102の認証が承認されたことを示す表示をIoTデバイス102に発行する。このようにして、IoTデバイス102は、従来技術の試みよりもより安全な様式で、多要素認証を利用して認証される。1つの実施態様において、認証された結果として、認証システム101は、例えばそれ自体と別のIoTデバイス102との間で、IoT環境100内のIoTデバイス102のセキュアな接続を確立する。
【0080】
工程509において、IoTデバイス102は、証明されたそのアイデンティティをIoTデバイス102が有するという表示を認証システム101から受信する。1つの実施態様において、そのような表示は、アラート又はメッセージの形態であってもよい。上述されているように、認証された結果として、IoTデバイス102は、例えばそれ自体と別のIoTデバイス102との間で、IoT環境100内で安全な接続を有する。その結果、IoTデバイス102内に格納されたデータは、セキュアシステム内の別のデバイス、例えば別のIoTデバイス102、に安全に送信されることが許されうる。すなわち、そのような表示を受け取ることに応じて、IoTデバイス102に格納されているデータは、セキュアなIoT環境100内の別のデバイス、例えば別のIoTデバイス102、にアクセス可能になりうる。
【0081】
しかしながら、該受信した第2の要素クレデンシャルが最小数の必要なアイデンティティ・クレデンシャルを含まない場合、工程510において、認証システム101は認証を承認せず、そして、IoTデバイス102の認証が承認されなかったという表示をIoTデバイス102に発行する。
【0082】
工程511において、IoTデバイス102は、証明されたそのアイデンティティをIoTデバイス102が有していないという表示を認証システム101から受信する。1つの実施態様において、そのような表示は、アラート又はメッセージの形態であってもよい。1つの実施態様において、そのような表示を受け取ることに応じて、IoTデバイス102内に格納されたデータは、別のデバイス、例えば別のIoTデバイス102、に送信されることが許されない場合がある。すなわち、そのような表示を受け取ることに応じて、IoTデバイス102内に記憶されたデータは、別のデバイス、例えば別のIoTデバイス102、にアクセス可能にならなくてもよい。
【0083】
上記の結果として、本開示の1つの実施態様は、先行技術の試みよりも安全な方法で多要素認証を利用してIoTデバイスを認証することによって、情報セキュリティの技術又は技術分野を改善する為の手段を提供する。
【0084】
その上、本開示は、情報セキュリティに関与する技術又は技術分野を改善する。上述されているように、情報セキュリティ(インフォセック(infosec)と略されることもある)は、情報リスクを軽減することによって情報を保護する為の実践である。例えば、情報リスク管理の一部である情報セキュリティは、データへの無許可/不適切なアクセス、又は情報の不法使用、開示、破壊、削除、破損、変更、検査、記録若しくは価値の切り下げを防止するか、又は少なくともその確率を低減しようとする。それはまた、そのような事故による悪影響を軽減する為に意図された活動を含む。情報セキュリティを提供する為の1つの技法は、多要素認証を介するものであり、それは電子認証方法であり、該電子認証方法において、コンピュータユーザは、認証メカニズムに対する2以上の証拠(又は、要素);知識(ユーザが知っている何か及びユーザのみが知っている何か)、所有(ユーザが有している何か及びユーザのみが有している何か)及び固有性(inherence)(ユーザが何であるか及びユーザのみが何であるか)を成功裡に提示した後にのみ、ウェブサイト又はアプリケーションへのアクセスを許可されうる。それは、ユーザのデータ、例えば、個人識別子の詳細又は金融資産、にアクセスしようとする未知の人物からユーザを保護する。多要素認証は、認証されたコンピュータユーザによるウェブサイト又はアプリケーションへのアクセスのみを許可しようとする点で情報を保護する為に利用されてきているが、モノのインターネット(IoT)のデバイスの間で格納される情報を保護することに関しては大きな進展がなかった。典型的には、IoTデバイスのアイデンティティを認証又は証明する為に、該IoTデバイスは慣用的なユーザ名及びパスワードを単に使用し、それは単一要素であり、並びに多要素認証のようなセキュリティレベルを提供しない。しかしながら、IoTデバイス上に格納されたデータについてより高いレベルのセキュリティを提供する為に、多要素認証を利用する最近の開発が幾つかある。例えば、該IoTデバイスは、時間ベースのパスワードを生成する為の秘密キーを格納する。認証されたアイデンティフィケーションデバイスがまた、同じ秘密キーを有しうる。該IoTデバイスは、無線ネットワークを通じて、該アイデンティフィケーションデバイスとのセキュアな接続を確立する。次に、該IoTデバイスは、秘密キー及び現在のアクセス時間を使用して時間ベースパスワードを生成し、そして、セキュアな接続を通じてアイデンティフィケーションデバイスから第2の時間ベースパスワードを受信する。両方の時間ベースパスワードが互いに一致する場合、該アイデンティフィケーションデバイスは認証される。このアプローチは、第2の要素を提供する為にRSAキーフォブ(key fobs)によって使用されるアプローチと同様のアプローチである。残念ながら、そのようなアプローチは、該IoTデバイス内の時間ソースが不正操作(unauthorized manipulation)される可能性がある。多要素認証を利用して、先行技術の試みよりもより安全な方法でモノのインターネット(IoT)のデバイスを認証する為の手段は現在存在しない。
【0085】
本開示の1つの実施態様は、近隣の1以上のIoTデバイスのアイデンティティ・クレデンシャルを、認証されるべきIoTデバイスによって取得することによってそのような技術を改善する。本開示の1つの実施態様において、近隣の1以上のIoTデバイスのアイデンティティ・クレデンシャルが、認証されるべきIoTデバイスによって取得される。そのようなアイデンティティ・クレデンシャルは、多要素認証プロセスの間に第2の要素クレデンシャルを生成する為に利用されうる。1つの実施態様において、信頼状態の間、例えば、IoTデバイス及びその近隣のIoTデバイスが設置されているときに、該認証システムは、該IoTデバイスと指定された近隣のIoTデバイスとをペアにして、常に通信状態にあるようにする。該認証システムは、該IoTデバイスによって生成される第2の要素クレデンシャルが、これらの近隣のIoTデバイスのうち少なくとも最小数のIoTデバイスから取得されたアイデンティティ・クレデンシャルに基づくこと、又はこれらの近隣のIoTデバイスのうちの特定されたIoTデバイスから取得されることを要求しうる。1つの実施態様において、そのようなアイデンティティ・クレデンシャルは、定期的に生じてもよい指定された継続時間、例えば指定された時間間隔、に対応する「近隣観察期間」(neighbor observation period)の間に該IoTデバイスによって取得される。そのアイデンティティを証明する為に要求を該認証システムに提供することに応じて、該IoTデバイスは、該IoTデバイス内に埋め込まれていてもよい第1の要素クレデンシャル、例えば、ユーザ名及びパスワード、を認証システムに提供する。該認証システムは、例えば、該IoTデバイスに関連付けられたユーザ名及びパスワードをリストするルックアップテーブルを介して、第1の要素クレデンシャルの正確さを確認することに応じて、該IoTデバイスが該第2の要素クレデンシャルを提供するようにチャレンジする。該第2の要素クレデンシャルを提供するように該認証システムからチャレンジを受け取った後、該IoTデバイスは、近隣の1以上のIoTデバイスからの該取得したアイデンティティ・クレデンシャルに基づいて生成された第2の要素クレデンシャルを該認証システムに戻す。該受信した第2の要素クレデンシャルが、特定された近隣のIoTデバイス又は特定された最小数の近隣のIoTデバイスのアイデンティティ・クレデンシャルを含むことを判断することに応じて、該認証システムは、認証を承認する。次に、該IoTデバイスは、該IoTデバイスがそのアイデンティティを証明したという表示を該認証システムから受信する。このようにして、IoTデバイスは、多要素認証により、従来よりも安全に認証される。その上、このようにして、情報セキュリティに関与する技術分野における改善がある。
【0086】
本開示によって提供される技術的解決策は、人間の頭の中で、又はペン及び紙を使用する人間によって実行されることはできない。すなわち、本開示によって提供される技術的解決策は、コンピュータを使用すること無しに、人間の頭の中で、又はペン及び紙を使用する人間によって、任意の妥当な時間内に、任意の妥当な期待通りの精度で達成することができない。
【0087】
本発明の様々な実施態様の記載は、例示の目的の為に提示されたものであり、網羅的であること又は開示された実施態様に限定されることが意図されたものでない。多くの修正及び変形が、記載された実施態様の範囲及び精神から逸脱することなしに当業者に明らかであろう。本明細書において使用される語は、実施態様の原理、実用的な用途、又は市場において見られる技術に対する技術的改善を最もよく説明する為に、又は当業者が本明細書において開示されている実施態様を理解することができるようにする為に選択された。
【手続補正書】
【提出日】2023-05-11
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【請求項1】
多要素認証を利用してモノのインターネット(IoT)のデバイスを認証する為の、コンピュータに実装された方法であって、
1以上の他のIoTデバイスからアイデンティティ・クレデンシャルを、或る期間中に前記IoTデバイスによって取得して、第2の要素クレデンシャルを生成すること;
前記IoTデバイスのアイデンティティを証明する為に要求を認証システムに提供すること;
第1の要素クレデンシャルを前記認証システムに提供すること;
前記第2の要素クレデンシャルを提供する為にチャレンジを前記認証システムから受信すること;
前記1以上の他のIoTデバイスからの前記取得された識別されたクレデンシャルに基づいて生成された前記第2の要素クレデンシャルを前記認証システムに返すこと;及び、
前記第2の要素クレデンシャルが最小数の必要なアイデンティティ・クレデンシャルを含むことに応答して、前記IoTデバイスが該IoTデバイスの前記アイデンティティを証明したという表示を前記認証システムから受信すること
を含む、前記方法。
【請求項2】
前記アイデンティティ・クレデンシャルが、前記1以上の他のIoTデバイスの、セキュリティキー、デジタル署名、又は特性を含み、ここで、前記特性が、センサ特性、信号特性の強度、信号変調特性及び信号符号化特性のうちの1以上を含む、請求項1に記載の方法。
【請求項3】
前記IoTデバイスの前記アイデンティティを証明する為に、前記認証システムに対する前記要求が定期的に又はトリガーイベントに応答して実行される、請求項1に記載の方法。
【請求項4】
前記第2の要素クレデンシャルを生成する為に使用されるべき必要なIoTデバイスの最小数を定義すること、又は前記第2の要素クレデンシャルを生成する為に使用されるべき必要なコレクションの最小数を定義することを更に含み、ここで、前記コレクションの各々は、識別されたIoTデバイスの1組を含む、請求項1に記載の方法。
【請求項5】
前記第2の要素クレデンシャルを生成する為に使用されるべき必要なIoTデバイスの前記最小数に対応する必要なIoTデバイスのアイデンティティを定義すること、又は前記第2の要素クレデンシャルを生成する為に使用されるべきコレクションの前記必要な最小数内の必要なIoTデバイスのアイデンティティを定義することを更に含む、請求項4に記載の方法。
【請求項6】
前記第2の要素クレデンシャルを生成する為に使用されるべき前記最小数の必要なIoTデバイスに対応する前記必要なIoTデバイスからアイデンティティ・クレデンシャルを前記IoTデバイスが取得する観察期間、又は前記第2の要素クレデンシャルを生成する為に使用されるべき前記コレクションの前記必要な最小数内の前記必要なIoTデバイスからアイデンティティ・クレデンシャルを前記IoTデバイスが取得する観察期間を定義することを更に含む、請求項5に記載の方法。
【請求項7】
前記IoTデバイスが前記1以上の他のIoTデバイスとペアリングされる信頼状態を確立することを更に含み、ここで、前記IoTデバイスが前記1以上の他のIoTデバイスと常時通信する、請求項1に記載の方法。
【請求項8】
多要素認証を利用してモノのインターネット(IoT)のデバイスを認証する為のコンピュータプログラムあって、
1以上の他のIoTデバイスからアイデンティティ・クレデンシャルを、或る期間中に前記IoTデバイスによって取得して、第2の要素クレデンシャルを生成すること;
前記IoTデバイスのアイデンティティを証明する為に要求を認証システムに提供すること;
第1の要素クレデンシャルを前記認証システムに提供すること;
前記第2の要素クレデンシャルを提供する為にチャレンジを前記認証システムから受信すること;
前記1以上の他のIoTデバイスからの前記取得された識別されたクレデンシャルに基づいて生成された前記第2の要素クレデンシャルを前記認証システムに返すこと;及び、
前記第2の要素クレデンシャルが最小数の必要なアイデンティティ・クレデンシャルを含むことに応答して、前記IoTデバイスが該IoTデバイスの前記アイデンティティを証明したという表示を前記認証システムから受信すること
を含む方法の各工程を1以上のプロセッサに実行させる、前記コンピュータプログラム。
【請求項9】
前記アイデンティティ・クレデンシャルが、前記1以上の他のIoTデバイスの、セキュリティキー、デジタル署名、又は特性を含み、ここで、前記特性が、センサ特性、信号特性の強度、信号変調特性及び信号符号化特性のうちの1以上を含む、請求項8に記載のコンピュータプログラム。
【請求項10】
前記IoTデバイスの前記アイデンティティを証明する為に、前記認証システムに対する前記要求が定期的に又はトリガーイベントに応答して実行される、請求項8に記載のコンピュータプログラム。
【請求項11】
前記第2の要素クレデンシャルを生成する為に使用されるべき必要なIoTデバイスの最小数が定義されており、又は前記第2の要素クレデンシャルを生成する為に使用されるべき必要なコレクションの最小数が定義されており、ここで、前記コレクションの各々は、識別されたIoTデバイスの1組を含む、請求項8に記載のコンピュータプログラム。
【請求項12】
前記第2の要素クレデンシャルを生成する為に使用されるべき必要なIoTデバイスの前記最小数に対応する必要なIoTデバイスのアイデンティティが定義されており、又は前記第2の要素クレデンシャルを生成する為に使用されるべきコレクションの前記必要な最小数内の必要なIoTデバイスのアイデンティティが定義される、請求項11に記載のコンピュータプログラム。
【請求項13】
前記第2の要素クレデンシャルを生成する為に使用されるべき前記最小数の必要なIoTデバイスに対応する前記必要なIoTデバイスからアイデンティティ・クレデンシャルを前記IoTデバイスが取得する観察期間、又は前記第2の要素クレデンシャルを生成する為に使用されるべき前記コレクションの前記必要な最小数内の前記必要なIoTデバイスからアイデンティティ・クレデンシャルを前記IoTデバイスが取得する観察期間が定義される、請求項12に記載のコンピュータプログラム。
【請求項14】
前記IoTデバイスが前記1以上の他のIoTデバイスとペアリングされる信頼状態が確立され、ここで、前記IoTデバイスが前記1以上の他のIoTデバイスと常時通信する、請求項8に記載のコンピュータプログラム。
【請求項15】
モノのインターネット(IoT)のデバイスであって、該IoTデバイスは、
多要素認証を利用して前記IoTデバイスを認証する為のコンピュータプログラムを格納する為のメモリ;及び、
前記メモリに接続されたプロセッサ
を備えており、ここで、前記プロセッサは、
1以上の他のIoTデバイスからアイデンティティ・クレデンシャルを、或る期間中に前記IoTデバイスによって取得して、第2の要素クレデンシャルを生成すること;
前記IoTデバイスのアイデンティティを証明する為に要求を認証システムに提供すること;
第1の要素クレデンシャルを前記認証システムに提供すること;
前記第2の要素クレデンシャルを提供する為にチャレンジを前記認証システムから受信すること;
前記1以上の他のIoTデバイスからの前記取得された識別されたクレデンシャルに基づいて生成された前記第2の要素クレデンシャルを前記認証システムに返すこと;及び、
前記第2の要素クレデンシャルが最小数の必要なアイデンティティ・クレデンシャルを含むことに応答して、前記IoTデバイスが該IoTデバイスの前記アイデンティティを証明したという表示を前記認証システムから受信すること
を含む前記コンピュータプログラムのプログラム命令を実行するように構成されている、
前記IoTデバイス。
【請求項16】
前記アイデンティティ・クレデンシャルが、前記1以上の他のIoTデバイスの、セキュリティキー、デジタル署名、又は特性を含み、ここで、前記特性が、センサ特性、信号特性の強度、信号変調特性及び信号符号化特性のうちの1以上を含む、請求項15に記載のIoTデバイス。
【請求項17】
前記IoTデバイスの前記アイデンティティを証明する為に、前記認証システムに対する前記要求が定期的に又はトリガーイベントに応答して実行される、請求項15に記載のIoTデバイス。
【請求項18】
前記第2の要素クレデンシャルを生成する為に使用されるべき必要なIoTデバイスの最小数が定義されており、又は前記第2の要素クレデンシャルを生成する為に使用されるべき必要なコレクションの最小数が定義されており、ここで、前記コレクションの各々は、識別されたIoTデバイスの1組を含む、請求項15に記載のIoTデバイス。
【請求項19】
前記第2の要素クレデンシャルを生成する為に使用されるべき必要なIoTデバイスの前記最小数に対応する必要なIoTデバイスのアイデンティティが定義されており、又は前記第2の要素クレデンシャルを生成する為に使用されるべきコレクションの前記必要な最小数内の必要なIoTデバイスのアイデンティティが定義される、請求項18に記載のIoTデバイス。
【請求項20】
前記第2の要素クレデンシャルを生成する為に使用されるべき前記最小数の必要なIoTデバイスに対応する前記必要なIoTデバイスからアイデンティティ・クレデンシャルを前記IoTデバイスが取得する観察期間、又は前記第2の要素クレデンシャルを生成する為に使用されるべき前記コレクションの前記必要な最小数内の前記必要なIoTデバイスからアイデンティティ・クレデンシャルを前記IoTデバイスが取得する観察期間が定義される、請求項19に記載のIoTデバイス。
【国際調査報告】