ホーム > 特許ランキング > ASSA ABLOY AB
知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-01-12
(54)【発明の名称】セキュアリレーを備えた物理アクセス制御システム
(51)【国際特許分類】
G06F 21/33 20130101AFI20240104BHJP
G06F 21/35 20130101ALI20240104BHJP
G06F 21/60 20130101ALI20240104BHJP
G06F 21/64 20130101ALI20240104BHJP
【FI】
G06F21/33
G06F21/35
G06F21/60 360
G06F21/64
【審査請求】未請求
【予備審査請求】未請求
(21)【出願番号】P 2023540086
(86)(22)【出願日】2021-09-14
(85)【翻訳文提出日】2023-07-20
(86)【国際出願番号】 EP2021075234
(87)【国際公開番号】W WO2022144100
(87)【国際公開日】2022-07-07
(31)【優先権主張番号】63/132,947
(32)【優先日】2020-12-31
(33)【優先権主張国・地域又は機関】US
(81)【指定国・地域】
(71)【出願人】
【識別番号】501427157
【氏名又は名称】アッサ アブロイ アーベー
【氏名又は名称原語表記】ASSA ABLOY AB
(74)【代理人】
【識別番号】100105957
【弁理士】
【氏名又は名称】恩田 誠
(74)【代理人】
【識別番号】100068755
【弁理士】
【氏名又は名称】恩田 博宣
(74)【代理人】
【識別番号】100142907
【弁理士】
【氏名又は名称】本田 淳
(72)【発明者】
【氏名】ムハ、マトヴェイ
(57)【要約】
アクセス制御システムを動作させる方法は、モバイルデバイスが物理アクセスポータルの識別情報を受信するステップと、モバイルデバイスの検証アプリケーションを使用して、モバイルデバイスに保存されたアクセス資格証明情報を検証するステップと、物理アクセスポータルに関連付けられたセキュアリレーデバイスとのセキュア通信チャネルを確立するステップと、モバイルデバイスに保存された暗号化されたアクセストークンをセキュアリレーデバイスに送信するステップと、セキュアリレーデバイスが暗号化されたアクセストークンに従って物理アクセスポータルへのアクセスを許可するステップとを含む。
【特許請求の範囲】
【請求項1】
アクセス制御システムを動作させる方法であって、モバイルデバイスが、物理アクセスポータルの識別情報を受信するステップと、
前記物理アクセスポータルに関連付けられたセキュアリレーデバイスとのセキュア通信チャネルを確立するステップと、
前記モバイルデバイスに保存された暗号化されたアクセストークンを前記セキュアリレーデバイスに送信するステップと、
前記セキュアリレーデバイスが、前記暗号化されたアクセストークンに保存された情報に従って前記物理アクセスポータルへのアクセスを許可するステップと、を含む方法。
【請求項2】
前記暗号化されたアクセストークンは、アクセストークン識別子と、モバイルデバイス識別子、セキュアリレーデバイス識別子、前記物理アクセスポータルに対するアクセス開始時間、および前記物理アクセスポータルに対するアクセス満了時間のうちの1つまたは複数とに対して付加された暗号署名を含む、請求項1に記載の方法。
【請求項3】
前記モバイルデバイスの検証アプリケーションが、ユーザのアクセス資格証明情報に関する検証デバイスへのステータスの要求を開始するステップと、前記要求に対する応答を受信するステップと、
前記要求に対する前記応答を前記アクセス資格証明情報に含ませるステップとを含む、請求項1または2に記載の方法。
【請求項4】
前記物理アクセスポータルの前記識別情報を受信するステップは、前記物理アクセスポータルを識別する近距離無線通信(以下、NFCとする)タグから暗号的に保護された情報を読み取ることを含む、請求項1乃至3のいずれか一項に記載の方法。
【請求項5】
前記モバイルデバイスの検証アプリケーションは、前記NFCタグから前記暗号的に保護された情報を読み取ることに応答して実行を開始する、請求項4に記載の方法。
【請求項6】
前記モバイルデバイスの表示画面上にアプリケーションの通知を提示するステップと、前記表示画面への接触を検出したことに応答して、前記アプリケーションの実行を開始するステップと、
前記アプリケーションが開始された後に、前記NFCタグから前記暗号的に保護された情報を読み取るステップとを含む、請求項4または5に記載の方法。
【請求項7】
前記物理アクセスポータルの前記識別情報を受信するステップは、ビーコン信号において前記物理アクセスポータルの前記識別情報を受信することを含む、請求項1乃至6のいずれか一項に記載の方法。
【請求項8】
前記セキュアリレーデバイスと時間サーバとの間にセキュア通信チャネルを確立するステップと、前記セキュア通信チャネルを使用して、前記セキュアリレーデバイスのリアルタイムクロック回路を前記時間サーバと同期させるステップと、
前記セキュアリレーデバイスが、時間ポリシーと、前記リアルタイムクロック回路によって決定された時間とに従って、前記物理アクセスポータルへのアクセスをさらに許可するステップとを含む、請求項1乃至7のいずれか一項に記載の方法。
【請求項9】
アクセス制御システムのセキュアリレーデバイスであって、情報を無線で受信するように構成された物理層回路と、
前記物理層回路に動作可能に結合された処理回路であって、
モバイルデバイスから無線で受信した第1の認証情報を復号化し、
前記モバイルデバイスに送信するための第2の認証情報を符号化し、
前記第2の認証情報に応答して前記モバイルデバイスから受信されたアクセストークンを暗号化解除し、
前記アクセストークンの有効性を判定し、
暗号化解除されたアクセス情報に従って物理アクセスポータルへのアクセスを許可するように構成された前記処理回路と、を備えるデバイス。
【請求項10】
1つまたは複数の暗号鍵を保存するように構成されたセキュアエレメントを含む、請求項9に記載のデバイス。
【請求項11】
前記処理回路に結合されたリアルタイムクロック回路を含み、前記処理回路は、
時間サーバとのセキュア通信チャネルを確立し、
前記セキュア通信チャネルを介して前記リアルタイムクロック回路を前記時間サーバと同期させ、
前記暗号化解除されたアクセス資格証明情報と、時間ポリシーと、前記リアルタイムクロック回路によって決定された時間とに従って、前記セキュアリレーデバイスによる前記物理アクセスポータルへのアクセスを許可するように構成される、請求項9または10に記載のデバイス。
【請求項12】
リアルタイムクロック回路に結合され、前記リアルタイムクロック回路に電力供給するスーパーキャパシタを含む、請求項9乃至11のいずれか一項に記載のデバイス。
【請求項13】
前記物理層回路は、前記モバイルデバイスによって読み取り可能なビーコン信号を送信するように構成される、請求項9乃至12のいずれか一項に記載のデバイス。
【請求項14】
前記処理回路は、アクセストークン識別子、モバイルデバイス識別子、およびセキュアリレーデバイス識別子を含むトークンを暗号化解除してアクセスするように構成される、請求項9乃至13のいずれか一項に記載のデバイス。
【請求項15】
命令を含むマシン可読記憶媒体であって、前記命令は、モバイルデバイスの処理回路による実行時に、前記モバイルデバイスに、物理アクセスポータルの識別情報を受信すること、
前記物理アクセスポータルのセキュアリレーデバイスと認証情報を交換して、前記セキュアリレーデバイスとセキュアチャネルを確立すること、
セキュア通信チャネルを使用して、前記モバイルデバイスに保存された暗号化されたアクセストークンを前記セキュアリレーデバイスに送信することを含む動作を実行させる、マシン可読記憶媒体。
【請求項16】
ユーザのアクセス資格証明情報に関する検証デバイスへの要求を開始すること、前記要求に応答して受信された前記アクセス資格証明情報を復号化することを含む動作を前記モバイルデバイスに実行させる命令をさらに含む、請求項15に記載のマシン可読記憶媒体。
【請求項17】
前記物理アクセスポータルの前記識別情報をブルートゥース(登録商標)低エネルギー(BLE)信号で受信することを含む動作を前記モバイルデバイスに実行させる命令をさらに含む、請求項15または16に記載のマシン可読記憶媒体。
【請求項18】
近距離無線通信(NFC)を使用して受信された暗号化された情報において前記物理アクセスポータルの前記識別情報を受信することを含む動作を前記モバイルデバイスに実行させる命令をさらに含む、請求項15乃至17のいずれか一項に記載のマシン可読記憶媒体。
【請求項19】
前記モバイルデバイスに保存された前記物理アクセスポータルに対する前記アクセストークンを無効なアクセストークンの失効リストと比較することを含む動作を前記モバイルデバイスに実行させる命令をさらに含む、請求項18に記載のマシン可読記憶媒体。
【請求項20】
検証アプリケーションの通知を前記モバイルデバイスの表示画面上に提示すること、ここで、前記検証アプリケーションは、前記暗号化されたアクセストークンを前記セキュアリレーデバイスに送信することを開始するものであり、前記表示画面を用いて検出された接触に応答して、アプリケーションの実行を開始すること、
前記検証アプリケーションを使用して前記物理アクセスポータルの前記識別情報に関する要求を開始することを含む動作を前記モバイルデバイスに実行させる命令をさらに含む、請求項18または19に記載のマシン可読記憶媒体。
【請求項21】
前記モバイルデバイスのセキュアエレメントまたは信頼可能な実行環境から暗号鍵を取得することを含む動作を前記モバイルデバイスの前記処理回路に実行させる命令をさらに含む、請求項15乃至20のいずれか一項に記載のマシン可読記憶媒体。
【発明の詳細な説明】
【技術分野】
【0001】
本明細書で例示および説明される実施形態は、概して、セキュアリソースへのアクセスのためにユーザを認証する自動アイデンティティ認証システム、およびアイデンティティ認証システムのためのシステムアーキテクチャに関する。
【背景技術】
【0002】
物理アクセス制御(PAC:physical access control)システムは、制御されたポータルを介して承認されたユーザに物理アクセスを許可する。通常、アクセス承認は、カードリーダでアクセスカードを入力またはスワイプすること、あるいは個人識別番号(PIN:personal identification number)またはパスワードを入力することなど、ユーザにとって煩わしいアクションを伴う。PACシステムは、人がセキュリティ保護されたドアなどの物理アクセスポイントを通過することを認証および承認する。無線技術、スマートフォン、セキュアアクセスポイント、およびクラウドインフラストラクチャの間の革新的な相互作用を有する、PACシステムに対する改善が本明細書で説明される。
【図面の簡単な説明】
【0003】
【図1】セキュアアクセス制御システムの一部の例を示す図である。
【図2】アクセス制御システムを動作させる方法の一例のフロー図である。
【図3】モバイルデバイスの表示画面の一例を示す図である。
【図4】セキュアリレーデバイスの一部の例を示すブロック図である。
【図5】アクセス制御システムの検証およびオープニングシーケンスのフロー図である。
【図6】モバイルデバイスの例の一部の概略的なブロック図である。
【発明を実施するための形態】
【0004】
検証可能なアイデンティティ情報に基づく個人のアイデンティティの自動認証は、高速かつ安全であることが望ましい。図1は、アクセス制御システムを示す図である。システムは、モバイルデバイス105、セキュアリレーデバイス(secure relay device)110、および管理サーバ115を含む。モバイルデバイス105のいくつかの例は、モバイルフォン(例えば、スマートフォン)、ウェアラブルコンピューティングデバイス(例えば、スマートウォッチ)、タブレットコンピュータ、または任意の他のポータブルコンピューティングデバイスである。モバイルデバイス105は、物理アクセスポータルへのユーザのアクセスを制御するアクセス資格証明情報を保存する。セキュアリレーデバイス110は、モバイルデバイス105によって提供されたアクセス資格証明情報に基づいてアクセスを許可する。セキュアリレーデバイス110は、物理ポータル120(例えば、ドア)への実際の物理アクセスを制御するが、システムバックエンドサーバまたはシステムアクセス制御サーバへのアクセスを必要としない比較的簡単なデバイスである。セキュアリレーデバイス110は、セルラーネットワークとは異なる帯域外(OOB:out of band)シグナリング(例えば、ブルートゥース(Bluetooth(登録商標))低エネルギー(BLE:Bluetooth Low Energy))シグナリング)を使用して、モバイルデバイス105から情報を受信し、物理ポータル120をオープンすることを開始することのみが必要とされる。セキュアリレーデバイス110は、信号または他の指示を、物理アクセスポータル120をセキュリティ保護する自動ロック125に送信し得るか、または自動ロック125は、セキュアリレーデバイス110と一体化され得る。自動ロック125は、電子式、機械式、もしくは磁気式のロック装置、またはそれらの組み合わせであり得る。
【0005】
本明細書でより詳細に説明されるように、物理ポータル120へのアクセスを得るために、モバイルデバイス105は、セキュアリレーデバイス110によって送信されたビーコン信号を使用して物理アクセスポータル120を識別し得る。モバイルデバイス105は、セキュアリレーデバイス110とのセキュア通信を開始し、ポータルに対するアクセストークンをセキュアリレーデバイス110にプッシュする。セキュアリレーデバイス110は、アクセストークン内の情報をチェックして、アクセスを許可するかどうかを決定する。代替的に、近距離無線通信(NFC:Near Field Communication)タグ130は、ポータルにおいて配備され、かつモバイルデバイスがセキュアリレーデバイス110を識別し、セキュアリレーデバイス110とのセキュア通信を開始するために使用され得る(「タップされ得る」)。モバイルデバイス105とセキュアリレーデバイス110とのインタラクションの一例を以下に説明する。
【0006】
図2は、図1に示すアクセス制御システムなどのアクセス制御システムを動作させる方法200の一例のフロー図である。ブロック205において、物理アクセスポータル120の識別情報がモバイルデバイス105によって受信される。モバイルデバイス105は、セキュアリレーデバイス110によって送信されたビーコン信号から識別情報を受信し得る。セキュアリレーデバイス110は、物理アクセスポータル120の近傍に位置し、かつビーコン信号をブロードキャストし得る。ビーコン信号は、低エネルギーBLEビーコン信号であり得る。いくつかの例では、ビーコン信号は超広帯域(UWB:ultra-wide band)ビーコン信号である。
【0007】
UWBは、広信号帯域幅を使用する無線通信方法である。広帯域幅は、通常、信号の中心周波数の20%より大きい-10デシベル(-10dB)帯域幅、または絶対値で500メガヘルツ(500MHz)より大きい帯域幅のいずれかとして定義される。商用UWBシステムは、住居、オフィス、または産業用屋内エリアなどの複雑な環境で使用されることが想定されている。これらの環境では、信号の反射および回折が重要な役割を果たす。アンテナによって受信される信号は、送信信号の減衰され、遅延され、場合によっては重複したバージョンの合計であり、(受信機/送信機の動きまたは環境の変化に起因して)時間とともに変化し得る。送信信号のこれらの異なるバージョンは、典型的にはマルチパス成分と呼ばれる。UWBシステムの広帯域幅は、狭帯域技術の性能を制限し得る影響である周波数選択性フェージングに対する高レベルの耐性を提供する。UWB対応モバイルデバイス105によって検出される、UWB対応セキュアリレーデバイス110からのUWBシグナリングの存在は、物理アクセスポータル120の近傍のユーザの存在を検出するために使用され得る。
【0008】
UWBシグナリングの正確な測距能力は、ユーザの意図(例えば、物理アクセスポータルに向かう動き)を判定することを可能にする。この位置特定に基づくユーザの意図は、UWB対応モバイルデバイス105とUWB対応セキュアリレーデバイス110との間の距離の変化によって、およびモバイルデバイス105とセキュアリレーデバイス110との間の角度の変化によって推測され得る。いくつかの例では、モバイルデバイス105は、飛行時間(TOF:Time-of-Flight)双方向測距(TWR:Two Way Ranging)を使用して測距を実行し得る。TWRでは、モバイルデバイス105とセキュアリレーデバイス110との間で無線パケットが交換される。モバイルデバイス105とセキュアリレーデバイス110との間のパケットの送信および受信に対するタイミング差を使用して、距離および角度の一方または両方の変化などの測距情報を算出して、物理アクセスポータル120へのアクセスを得るためのユーザの意図を判定することができる。次いで、検出された物理アクセスポータル120は、物理アクセスポータルからのモバイルデバイスの距離、物理アクセスポータルに対するモバイルデバイスの位置、および物理アクセスポータルに対するモバイルデバイスの動きのうちの1つまたは複数に従ってソートされ、表示され得る。位置特定に基づく意図の手法の例は、同時係属中の米国特許出願第16/828,001号、および同時係属中の特許協力条約(PCT)出願PCT/EP2020/058197、PCT/EP2020/076428、およびPCT/EP2020/058199、PCT/EP2020/058216に見出すことができ、それらの各々は、参照によりその全体が本明細書に組み込まれる。モバイルデバイス105のセキュアリレーデバイス110への近接度およびセキュアリレーデバイスに対するモバイルデバイスの動きの一方または両方を使用して、モバイルデバイス105のユーザが物理アクセスポータル120へのアクセスを得るための意図を推測することができる。ユーザの近接度および意図は、モバイルデバイスがUWBシグナリングまたはBLE相対信号強度インジケータ(BLE RSSI: BLE Relative Signal Strength Indicator)を使用して決定することができる。
【0009】
ブロック210において、モバイルデバイス105の検証アプリケーションは、ユーザがアクセスに対する承認を有していることを検証するプロセスを開始する。承認を検証するために、検証アプリケーションは、モバイルデバイス105に保存されているユーザのアクセス資格証明情報をセキュアリレーデバイス110に送信する。いくつかの例では、アクセス資格証明情報は、物理ポータルへのアクセスに対する承認を示すアクセストークンである。
【0010】
アクセストークンは、モバイルデバイス105によってユーザの承認が確認されたときに、ポータルへのアクセスを許可するために、モバイルデバイス105によってセキュアリレーデバイス110に提示される。アクセストークンは、モバイルデバイス105がアクセス権を有していることを証明する。アクセストークンは、アクセストークンID、モバイルデバイスID、リレーID、任意の追加のアクセス制御情報、アクセスに対する開始時間(start time)、アクセスに対する満了時間(expiration time)、および暗号署名のうちの1つまたは複数を含むことができる。アクセストークンIDは、トークンの一意の識別子である。モバイルデバイスIDおよびリレーIDは、このモバイルデバイス105がセキュアリレーデバイスによってセキュリティ保護されたポータルをオープンすることができることを確立する。追加のアクセス制御情報は、追加のアクセス制御規則(例えば、アクセスが許可される時刻)を含むことができる。開始時間および満了時間は、アクセストークンが有効である有効期間(例えば、1日、1週間など)を決定する。暗号署名は、セキュアリレーデバイス110によってチェックされ、かつ署名は、アクセストークンの全てのフィールドに対して付加され(taken over)、かつアクセストークンのための秘密鍵を使用して生成される。
【0011】
アクセストークンは、管理サーバ115によって生成され、かつ対応するモバイルデバイスIDを有するモバイルデバイス105に周期的にプッシュされる。また、管理サーバは、セキュアリレーデバイス毎にアクセス失効リストを保持する。各リストは、セキュアリレーにとって現在無効であるアクセストークンIDを含む。新たな失効リストが利用可能になると、管理サーバは、新たな失効リストを、セキュアリレーデバイス110へのアクセスを現在有する全てのモバイルデバイスにプッシュする。モバイルデバイス105は、ドアオープニングシーケンス中に、管理サーバから受信した失効リストをセキュアリレーデバイス110にプッシュし、失効リストはセキュアリレーデバイス110に保存される。
【0012】
特定のセキュアリレーデバイス110へのモバイルデバイス所有者のアクセスを検証するために、セキュアリレーデバイス110は、アクセストークンをアクセストークンIDの失効リストと比較する。ブロック215において、アクセス資格証明情報をセキュアリレーデバイス1109に送信する前に、モバイルデバイス105とセキュアリレーデバイス110との間に相互認証されたセキュアチャネル(secure channel)が確立される。デバイス認証情報は、モバイルデバイス105からセキュアリレーデバイス110に送信される。認証情報は、証明書およびモバイルデバイス識別子(ID:identifier)を含むことができる。また、モバイルデバイス105は、セキュアリレーデバイス110を認証し得る。セキュアリレーデバイス110は、モバイルデバイス105がセキュアリレーデバイス110を認証するために使用する認証情報(例えば、証明書およびリレーID)をモバイルデバイス105に送信し得る。セキュアチャネルが確立された後、モバイルデバイス105は、暗号化されたアクセス資格証明情報をセキュアチャネルを介して送信する。アクセス制御システムにおける暗号化は、公開鍵インフラストラクチャ(PKI:public key infrastructure)に基づくものであり得る。
【0013】
ブロック220において、モバイルデバイス105は、デバイス認証が完了すると、アクセス資格証明情報をセキュアリレーデバイス110に送信する。アクセス資格証明情報は暗号化され、かつ完全性が保護される。ブロック225において、セキュアリレーデバイス110は、アクセス資格証明情報を検証し、アクセス資格証明情報に基づいて物理アクセスポータル120へのアクセスを許可する。モバイルデバイス105は、物理アクセスポータル120のオープン状態を表示し得る。アクセス資格証明情報がアクセストークンである場合、セキュアリレーデバイス110は、署名、開始時間および満了時間、ならびに追加のアクセス情報をチェックして、物理ポータルがオープンされるべきかどうかを決定し得る。
【0014】
図1に戻ると、モバイルデバイス105は、説明された検証および認証機能を実行するためにオンラインであり得るが、オンラインである必要はなく、機能をオフラインで実行し得る。モバイルデバイス105は、ネットワーク(例えば、インターネットまたは携帯電話ネットワーク)に時々接続して、管理サーバ115からプッシュされる更新されたアクセス資格証明情報を受信し得る。加えて、検証アプリケーションは、管理サーバ115またはユーザのアクセス資格証明情報に関する他の検証デバイスへのステータスの要求(例えば、オンライン証明書ステータスプロトコル(OCSP:Online Certificate Status Protocol)要求)の送信を周期的に開始して、要求に対する応答(例えば、OCSP応答)を受信して保存し得る。OCSP応答は、モバイルデバイス105がアクセス制御システムに含まれていることを証明する。認証プロセスの一部として、モバイルデバイス105は、セキュアリレーデバイス110にその応答をアクセス資格証明情報の一部としてプッシュし得る。セキュアリレーデバイス110は、応答をチェックし、応答が有効でない場合、接続を閉じる。
【0015】
モバイルデバイス105がアクセス制御システムに導入されると、モバイルデバイス105は、検証アプリケーションおよび管理サーバ115によってパーソナライズされる。モバイルデバイス105は、管理サーバ115との安全な接続を確立し、パスワード、招待コード等を提供することなどによってユーザを認証する。検証アプリケーションは、管理サーバ115に送信される鍵ペアを生成する。管理サーバ115は、鍵ペアの公開鍵に対する証明書を発行し、証明書をルートとするモバイルデバイスIDを発行する。次いで、このパーソナライゼーション情報は、モバイルデバイス105に送信される。パーソナライゼーション情報は、モバイルデバイス105およびセキュアリレーデバイス110に対する認証局(certificate authority)からの証明書(CA証明書)を含む。また、モバイルデバイスは、最新のアクセストークンおよび失効リストを受信し、それらをその長期メモリに保存し得る。ステータス要求(例えば、OCSP要求)は、パーソナライゼーションの一部として送信され得る。
【0016】
パーソナライゼーション情報は、モバイルデバイス105のセキュアエレメント(SE:secure element)またはセキュアエンクレーブ(secure enclave)に格納され得る。SEは、鍵マネージャを含むセキュアプロセッサまたはコプロセッサを含み得る。SEとアプリケーションプロセッサとの間の通信は、例えば、割込み駆動型のメールボックスに通信を分離することなどによって、厳密に制御される。いくつかの例では、情報は、モバイルデバイスの信頼可能な実行環境(TEE:trusted execution environment)に含まれる。パーソナライゼーション情報は、管理サーバ115によってモバイルデバイスにプッシュされることによって周期的に更新され得る。また、SEに保存される情報は管理サーバ115に送信された要求に対する現在の応答およびCA証明書を含み得る。
【0017】
本明細書で前に説明したように、モバイルデバイスは、セキュアリレーデバイス110によってブロードキャストされたビーコン信号から物理アクセスポータル120を識別し得る。いくつかの例では、モバイルデバイス105は、NFCタグ130を使用して物理アクセスポータルを識別する。NFCタグ130は、物理アクセスポータルの近傍に配置される。NFCタグ130は、スマートカード(例えば、ジャバカード(JavaCard(登録商標))対応スマートカード)を含み得る。ユーザは、モバイルデバイス105をNFCタグ130に近づけることができ(例えば、モバイルデバイスを用いてNFCタグを「タップ」することができ)、モバイルデバイス105はNFCタグ130を認証する。NFCタグから読み取られた情報は、暗号化するか、または他の方法で暗号的に保護することができる。
【0018】
NFCタグ130とモバイルデバイス105との間の通信は安全である。モバイルデバイス105は、NFCタグ130を認証し、いくつかの例では、非対称暗号化が認証のために使用される。いくつかの例では、対称暗号化が使用されるが、対称暗号化は、より多くの電力を使用し、モバイルデバイス105の検証アプリケーションによるより複雑な鍵管理を必要とし得る。NFCタグ130は、タグ秘密鍵およびタグIDを含むことができる。NFCタグ130は、管理サーバ115によってパーソナライズされる。管理サーバは、タグIDを選択し、かつカード上の鍵ペアを生成し、鍵ペアの公開鍵が読み出される。管理者は公開鍵に対する証明書を発行し、タグ認証局(Tag CA)をルートとするタグIDが発行される。その後、NFCタグ130は、さらなる変更がロックされ得る。モバイルデバイス105は、NFCタグを認証するためのタグ証明書を保存し得る。証明書は、モバイルデバイス105のパーソナライゼーションの一部として受信され得る。
【0019】
NFCタグ130を認証した後、モバイルデバイス105は、例えば、BLEシグナリング135などを介して、セキュアリレーデバイス110に無線で接続する。次いで、モバイルデバイス105およびセキュアリレーデバイス110は、本明細書で前述したように、互いを認証する。このようにして、モバイルデバイス105の検証アプリケーションは、常に実行する必要はない。検証アプリケーションは、NFCタグ130を読み取ることに応答して自動的にオープンし得る。いくつかの例では、検証アプリケーションを自動的に起動するために、ユーザは、NFCタグ130を「タップ」する前に、モバイルデバイスをロック解除する必要があり得る。いくつかの例では、iOS(登録商標)を採用するモバイルデバイスなどの場合、ユーザは、タグを「タップ」してセキュアリレーデバイスとの通信を開始する前に、モバイルデバイス105をロック解除して、検証アプリケーションを起動する必要があり得る。いくつかの例では、iOSを採用するモバイルデバイスなどの場合、モバイルデバイス105は、モバイルデバイス105の表示画面上に検証アプリケーションの通知(例えば、アイコン)を提示し得る。
【0020】
物理アクセス制御システムにおいてNFCタグを使用することは、物理アクセスポータルからのビーコンをスキャンするためにモバイルデバイス105を使用するよりも便利であり得る。検証アプリケーションが、タッピングに応答してモバイルデバイス105(例えば、アンドロイド(Android(登録商標))モバイルデバイス)において自動的に起動する場合、ユーザは、特に、モバイルデバイス105を用いてNFCタグ130をタッピングすればよいことをより直感的または便利に見つけることができる。NFCタグを使用しない場合、ユーザがオープンすることを所望するポータルの前にユーザが実際に立っている可能性が低くなり得る。スキャン手法では、許可されていないユーザが、モバイルデバイスから物理的に遠く離れたドアをオープンしようとする可能性がある。NFCタグ130は、物理アクセスポータルにおけるユーザの位置の証明を提供する。
【0021】
図3は、モバイルデバイス105によって提示される通知の例である。ユーザは、表示画面上の通知を押すか、または他の方法で接触することによって、検証アプリケーションを起動する。アプリケーションが起動されると、ユーザは、モバイルデバイス105を用いてNFCタグ130を「タップ」することができる。検証アプリケーションは、検証アプリケーションの起動後、NFCタグ130から暗号化された情報を読み取る。
【0022】
図4は、アクセス制御システムのセキュアリレーデバイス410(例えば、図1のセキュアリレーデバイス110)の一例のブロック図である。セキュアリレーデバイス410は、物理層回路440および処理回路を含む。処理回路は、マイクロプロセッサまたはマイクロコントローラ445を含むことができる。セキュアリレーデバイス410は、例えば、図2の方法に関して説明される機能等の、本明細書に説明されるセキュアリレーデバイスの機能または動作のいずれかを実行するための実行可能命令を含む、マイクロコントローラ445とは別個の、またはマイクロコントローラ445と一体のメモリを含むことができる。処理回路は、OOBシグナリング(例えば、BLE通信)、スマートリレーデバイスのパーソナライゼーション、モバイルデバイスから受信したコマンドの処理、失効リストおよびパーソナライゼーションパラメータの保存、およびトランスポート層セキュリティ(TLS:transport layer security)の機能の実施を担当する。
【0023】
物理層回路440は、無線で情報を送受信する。物理層回路440は、セキュアリレーデバイス410を識別するための、モバイルデバイスによって読み取り可能なビーコン信号をブロードキャストし得るか、または物理層回路440は、ビーコン機能を提供するための別個の回路(ビーコンモジュール442)を含み得る。ビーコン信号は、BLE信号であり得、セキュアリレーデバイスは、周辺デバイスとしてのモバイルデバイスと通信するためのBLE中央デバイスとして機能する。ビーコンモジュール442は、アイビーコン(iBeacon(登録商標))デバイスとして機能し得る。ビーコンモジュール442は、ビーコン機能のために使用される別個のプロセッサを含み得る。ビーコンモジュール442は、集積回路間(I2C:inter-integrated circuit)プロトコルを使用してメインマイクロコントローラ445に接続され得る。起動時に、メインマイクロコントローラ445は、ビーコンがアドバタイズすべきリレーIDをビーコンモジュール442に送信する。ビーコンモジュール442は、アドバタイズデータのメジャーバージョンフィールドおよびマイナーバージョンフィールドにリレーIDを保存し、帯域外シグナリングを使用してリレーIDのアドバタイズを開始し得る。
【0024】
本明細書で前に説明したように、セキュアリレーデバイス410は、モバイルデバイスを認証し、認証情報をモバイルデバイスに提供する。処理回路は、トランスポート層セキュリティまたはTLS(例えば、TLS1.2)を実装し得る。本明細書で説明されるように、鍵マテリアルは、セキュアリレーデバイスのセキュアエレメントに保存され得る。帯域外シグナリングがBLEである場合、最初に、全ての着信BLEデータがTLSハンドシェイク手順を使用して転送され、応答がBLEを使用して送り返される。TLSハンドシェイク中に、モバイルIDが(例えば、ピア証明書のシリアル番号から)抽出され、かつセッション全体にわたって使用される。ハンドシェイクが完了すると、全てのBLEトラフィックが最初にTLSアンラップされる。完全なTLSフレームが受信されると、フレームに保存されたコマンドが処理回路によって処理され、コマンドに対する応答がラップされて、モバイルデバイスに送信される。BLE切断または一般的エラーの場合、TLSハンドシェイクはリセットされ、ハンドシェイクは再度完了される必要がある。セキュアリレーデバイス410の処理回路は、モバイルデバイスから受信した認証情報を復号化し、モバイルデバイスに送信するためにその認証情報を符号化する。デバイスが認証されると、セキュアリレーデバイス410は、モバイルデバイスから暗号化されたアクセス情報を受信し、処理回路は、アクセス情報を暗号化解除して、ユーザへのアクセスを許可または拒否する。リレー回路455は、アクセスが許可されたときに有効にされ、リレー回路は、自動ロック(例えば、図1の自動ロック125)に物理アクセスポータル(例えば、図1の物理アクセスポータル120)をロック解除させ得る。
【0025】
セキュアリレーデバイス410は、有効なアクセストークンとともにモバイルデバイスから受信した「オープン」コマンドに応答して、物理アクセスポータルをオープンし得る。セキュアリレーデバイス410は、オープンコマンドに応答して、以下のシーケンスを実行し得る。セキュアリレーデバイス410は、現在のTLSセッション内で「OCSPデータをプッシュ(Push OCSP data)」コマンドが正常に実行されたことをチェックし、オープンコマンドで供給されたアクセストークンを解析し、アクセストークンの署名およびアクセストークンの有効性をチェックし、アクセストークンが失効リストに含まれていないことを検証し、アクセストークンが有効であり、かつ失効リストにない場合、ドアをオープンする。「OCSPデータをプッシュ」は、モバイルデバイスから受信した有効なOCSP応答に対する応答であり、かつ以下のシーケンスを含む。セキュアリレーデバイス410は、OCSP応答を解析し、OCSP応答署名およびOCSP応答の有効性をチェックし、OCSP応答が有効である場合、失効リスト情報をモバイルデバイスに返送する。
【0026】
セキュアリレーデバイス410は、モバイルデバイスの検証アプリケーションが「失効リストをプッシュ(Push revocation list)」コマンドを実行するときに、失効リストを受信し得る。セキュアリレーデバイス410は、現在のTLSセッション内で「OCSPデータをプッシュ」コマンドが実行されたかどうかをチェックする。コマンドが実行された場合、セキュアリレーデバイス410は、失効リストを解析し、失効リスト署名および有効性をチェックする。セキュアリレーデバイス410によって現在保存されている失効リストが以前のバージョンである場合、セキュアリレーデバイス410は、後にプッシュされたバージョンの失効リストを保存する。
【0027】
セキュアリレーデバイス410は、セキュアリレーデバイス410の動作のための1つまたは複数の暗号鍵を保存するためのセキュアエレメント450を含むことができる。セキュアエレメント450は、リレー秘密鍵、リレー証明書、リレーID、モバイルデバイスのCA証明書、およびモバイルデバイスの証明書の応答の公開鍵のうちの1つまたは複数を保存し得る。アクセス情報はアクセストークンを含み得、セキュアエレメント450は、アクセストークンの暗号化解除のためのアクセストークンの秘密鍵を保存し得る。また、セキュアリレーデバイス410は、アクセストークン失効リストを保存し得る。本明細書で前に説明したように、セキュアエレメント450は、鍵マネージャを含むセキュアプロセッサまたはコプロセッサを含み得る。いくつかの例では、セキュアエレメント450は、暗号処理を実行する。セキュアエレメント450は、I2Cを使用してメインマイクロコントローラ445と通信し得る。
【0028】
セキュアリレーデバイス410が必要とする任意のポリシーまたは失効リストまたは他の更新データなどのデータは、セキュアリレーデバイス410にプッシュされる。具体的には、管理サーバ115は、そのような情報をいくつかまたは全てのモバイルデバイス105にプッシュし、そのようなモバイルデバイス105が所与のセキュアリレーデバイス410とインタラクションするときに、更新データがセキュアリレーデバイス410にプッシュされる。従って、ポリシーおよび失効リストは、セキュアリレーデバイス410がオフラインであっても、セキュアリレーデバイス510において更新される。
【0029】
本明細書で前に説明したように、アクセストークンは、ユーザによるアクセスに対する開始時間およびアクセスに対する満了時間を含み得、セキュアリレーデバイス410は、時間ポリシーに従ってアクセスを許可し得る。時間を管理するために、セキュアリレーデバイス410は、リアルタイムクロック(RTC)回路460を含むことができる。セキュアリレーデバイスが正確に動作できるように、RTCが正確であることが重要である。アクセス制御システムは、多くのセキュアリレーデバイス410を含む場合があり、セキュアリレーデバイス410のRTCは、最終的に、互いにかつ/またはリアルタイムからずれる可能性がある。RTCを互いにかつ/またはリアルタイムに同期させるために、セキュアリレーデバイス410は、管理サーバと同じであり得るか、または異なり得る外部時間サーバと反復的に通信し得る。しかしながら、時間サーバとの通信は安全でなければならない。RTCを同期させる時刻が到来すると、セキュアリレーデバイス410の処理回路は、セキュア時間サーバとのセキュア通信チャネルを確立し、リアルタイムクロック値を読み出して、セキュアリレーデバイス410のRTCを外部のセキュア時間サーバのRTCに同期させる。いくつかの例では、セキュアリレーデバイス410と時間サーバとの間の通信は、ネットワークゲートウェイとして機能するモバイルデバイスを介する。
【0030】
セキュアリレーデバイス410は、電源が遮断された場合でも時間が遅れないようにする。バッテリバックアップは、RTC回路460にバックアップ電力を提供するために使用することができるが、バッテリは、定期的にチェックおよび交換する必要がある。RTCに電力バックアップを提供するために、セキュアリレーデバイス410は、スーパーキャパシタ465を含むことができる。ウルトラキャパシタと呼ばれることもあるスーパーキャパシタ465は、従来のキャパシタとは異なる誘電体材料(例えば、非固体誘電体材料)を有し、かつ電解キャパシタのエネルギー密度よりもはるかに大きい(例えば、10,000倍)エネルギー密度を有するキャパシタを指す。スーパーキャパシタ465は、数日間にわたってRTC回路に電力を供給することができる。
【0031】
図5は、NFCタグ130およびアクセストークンを使用するアクセス制御システムの検証およびオープニングシーケンス500のフロー図である。ブロック505において、モバイルデバイス105は、ランダムチャレンジを生成し、ランダムチャレンジをNFCタグ130に送信する。ブロック510において、モバイルデバイス105は、タグ署名およびタグIDを受信する。モバイルデバイス105は、その長期ストレージ内のタグIDに対応するタグ証明書を取得し得る。
【0032】
ブロック515において、モバイルデバイス105は、そのOOBサービス(例えば、BLEサービス)のアドバタイズを開始し、セキュアリレーデバイス110が接続するのを待機する。通常の動作では、モバイルデバイス105はアドバタイズせず、アドバタイズは、検証およびオープニングシーケンスの一部としてのみ実行され得る。ブロック520において、モバイルデバイス105は、セキュアリレーデバイス110が接続したときにアドバタイズを停止する。ブロック525において、モバイルデバイス105は、OOBシグナリングを使用してセキュアリレーデバイスとのTLSハンドシェイクを実行する。530において、モバイルデバイス105は、セキュアリレーデバイス110からリレーIDを受信する。
【0033】
ブロック535において、モバイルデバイス105は、長期ストレージからその現在のOCSP応答を取得して、OCSP応答データをセキュアリレーデバイス110にプッシュする。ブロック540において、セキュアリレーデバイス110は、セキュアリレーデバイス110が現在保存しているアクセストークン失効リストのバージョン、または失効リストが保存されていないという指示を返信する。ブロック545において、モバイルデバイス105は、その失効リストのバージョンがセキュアリレーデバイス110の失効リストよりも大きい(即ち、後である)かどうか、またはセキュアリレーデバイス110に現在失効リストが保存されていないかどうかを判定する。
【0034】
ブロック550において、セキュアリレーデバイス110が以前のバージョンを有する場合、またはセキュアリレーデバイス110が保存された失効リストを有していない場合、モバイルデバイス105のアクセストークン失効リストのバージョンをプッシュする。ブロック555において、モバイルデバイス105は、オープンコマンドを有するアクセストークンをセキュアリレーデバイスに送信する。セキュアリレーデバイス110は、アクセストークンおよび失効リスト内の情報に基づいてアクセスを許可または拒否する。モバイルデバイス105は、物理アクセスポータル120のオープニングのステータスをユーザに提示し得る。
【0035】
管理サーバ115は、1組のコマンドラインスクリプト(例えば、パイソンスクリプト)として実施されることができ、かつグラフィカルユーザインタフェース(GUI)を含み得る。一組のコマンドラインスクリプトは、サーバ初期化スクリプト、アクセストークン生成スクリプト、失効リスト生成スクリプト、セキュアリレーデバイスのパーソナライゼーションスクリプト、NFCタグ130のパーソナライゼーションスクリプト、およびモバイルデバイスプロビジョニングスクリプトを含むことができる。
【0036】
サーバ初期化は、鍵、証明書、およびファイルシステム設定を生成し、初期化は、以下のシーケンスを含むことができる。モバイルデバイスに対してCA鍵ペアおよび証明書が生成され、セキュアリレーデバイスに対してCA鍵ペアおよび証明書が生成され、タグCA鍵ペアおよび証明書が生成され、アクセストークン署名鍵ペアが生成され得、失効リスト署名鍵ペアが生成され得る。これらの鍵ペアおよび証明書は、各物理アクセスポータル120に対して生成される。さらに、OCSP応答は、モバイルデバイスのCA鍵ペアによって署名される。
【0037】
管理サーバ115によってアクセストークンを生成することは、モバイルデバイスID、リレーID、開始時間、および終了時間をアクセストークン生成スクリプトに提供することを含むことができる。スクリプトは、提供された情報を使用してアクセストークンを作成し、アクセストークン署名秘密鍵を使用してアクセストークンに署名し、新たなアクセストークンをサーバデータベースに書き込む。スクリプトは、現在のアクセストークンIDをデータベース内に維持し、生成されたアクセストークン毎にアクセストークンIDをインクリメントし得る。
【0038】
サーバによって失効リストを生成することは、リレーIDおよびアクセストークンIDを失効リスト生成スクリプトに提供することを含むことができる。スクリプトは、この情報を用いて失効リストを作成し、失効リスト公開鍵を使用して失効リストに署名し、新たな失効リストをサーバデータベースに書き込む。失効リスト生成スクリプトは、セキュアリレーデバイス毎に失効リストを維持し、セキュアリレーデバイスの新たな失効リストを生成するたびに失効リストバージョンをインクリメントし得る。
【0039】
セキュアリレーデバイス110のパーソナライゼーションスクリプトは、リレーIDを入力として受け取り、かつ以下のシーケンスを実行する。現在時刻およびリレーIDが、セキュアリレーデバイスに送信される。モバイルデバイス証明書、アクセストークン公開鍵、OCSP鍵、および失効公開鍵が、セキュアリレーデバイスに送信される。スクリプトは、セキュアリレーデバイス上での鍵ペア生成をトリガする。管理サーバ115は、鍵ペアの公開鍵を受信し、CA証明書をセキュアリレーデバイス110に送信し、かつ証明書をサーバデータベースに保存する。セキュアリレーデバイス110は、セキュアリレーデバイス110のNFCインタフェースを使用してパーソナライズされ得る。
【0040】
NFCタグ130のパーソナライゼーションスクリプトは、NFCタグIDを入力として受け取り、かつ以下のシーケンスを実行する。スクリプトは、タグIDをNFCタグ130に送信し、鍵ペア生成をトリガする。管理サーバ115は、鍵ペアの公開鍵を受信し、CA証明書をNFCタグに送信し、かつ証明書をサーバデータベースに保存する。
【0041】
従来の物理アクセス制御システムは、ユーザのアクセス資格証明を保持するクレデンシャルデバイスと、資格証明をチェックするリーダデバイスと、物理アクセスを許可するコントローラデバイスとを含む。クレデンシャルデバイスは、リーダデバイスに提示されるアクセス資格証明を保存し、リーダデバイスは、アクセス資格証明を受信して認証する。リーダデバイスがアクセスを許可した場合、リーダデバイスは、アクセスコントローラに物理アクセスポータルをオープンするための通知(例えば、信号またはメッセージ)を送信し得る。リーダデバイスおよびアクセスコントローラは、1つのデバイスに組み込むことができる。リーダデバイスおよびアクセスコントローラは、アクセス制御システムのバックエンドシステム(例えば、バックエンドサーバ)と通信し得る。アクセス資格証明は、バックエンドシステムの認証エンジンによって認証される。本明細書で説明される本システム、デバイス、および方法は、リーダデバイス、アクセスコントローラデバイス、およびバックエンドサーバの役割がモバイルデバイス105およびセキュアリレーデバイス110によって実行される、セキュアアクセス制御システムを提供する。セキュアリレーデバイス110とモバイルデバイス105との間に安全に認証された接続が確立され、アクセス資格証明は、本明細書で説明する複数の方法のいずれかを使用してモバイルデバイス105とセキュアリレーデバイス110との間で安全に転送される。この転送は、セキュアリレーデバイス110およびモバイルデバイス105がアクセス制御システムバックエンドからオフラインである間に行われ得る。モバイルデバイス105は、デバイスがバックエンドシステムからオフラインである間に、更新された情報(例えば、失効リスト)をセキュアリレーデバイス110に再度提供する。このように、モバイルデバイス105およびセキュアリレーデバイス110の各々は、従来のアクセス制御システムのバックエンドシステムの役割の一部を果たす。これは、物理ポータルへのアクセスの検証および許可の複雑さを低減し、それによって、物理アクセスポータルごとに(例えば、ドアごとに)必要とされる1つまたは複数のデバイスの複雑さを低減する。
【0042】
図6は、本明細書で説明および図示されるデバイスアーキテクチャをサポートするためのデバイス600の様々な例示的なコンポーネントの概略的なブロック図である。図6のデバイス600は、例えば、デバイスの所有者の権限、ステータス、権利、および/または特権に対する資格の資格証明情報を認証するモバイルデバイス(例えば、図1のモバイルデバイス105)であり得る。デバイス600は、ユーザのアクセス資格証明を保持するとともに、アクセス資格証明を認証する検証アプリケーションを実行する。
【0043】
特に図6を参照すると、本明細書で説明および図示されるデバイスアーキテクチャをサポートするためのデバイス600の追加の例は、概して、メモリ602、プロセッサ604などの処理回路、1つまたは複数のアンテナ606、通信ポートまたは通信モジュール608、ネットワークインタフェースデバイス610、ユーザインタフェース612、および電源614または電源供給装置のうちの1つまたは複数を含み得る。
【0044】
メモリ602は、処理回路によるアプリケーションプログラミングまたは命令の実行に関連して、プログラム命令または命令セット616および/または資格証明データ、資格証明承認データ、またはアクセス制御データもしくは命令などの承認データ618、ならびに上述のデバイスアーキテクチャをサポートするために必要とされるかまたは所望される任意のデータ、データ構造、および/またはコンピュータ実行可能命令の一時的または長期的な保存のために使用され得る。例えば、メモリ602は、処理回路のプロセッサ604が、デバイス600の他のコンポーネントを実行するため、資格証明または承認データ618を通信するための暗号鍵を計算するため、かつ/または例えば図2の方法に関して説明されたモバイルデバイスの動作としての機能などの、本明細書で説明される機能または動作のいずれかを実行するために使用される実行可能命令616を含むことができる。
【0045】
メモリ602は、データ、プログラムコード、または例えば検証アプリケーションのための命令などの、デバイス600によって、またはデバイス600に関連して使用するための命令を含み、保存し、通信し、または搬送することができる任意の媒体であり得るコンピュータ可読媒体を備えることができる。メモリは、モバイルデバイスのセキュアエレメントに含まれるメモリを含むことができる。コンピュータ可読媒体は、例えば、電子、磁気、光学、電磁気、赤外線、または半導体のシステム、装置、またはデバイスとすることができるが、これらに限定されない。適切なコンピュータ可読媒体のより具体的な例は、1つまたは複数のワイヤを有する電気接続、またはポータブルコンピュータディスケット、ハードディスク、ランダムアクセスメモリ(RAM)、読取り専用メモリ(ROM)、消去可能プログラマブル読取り専用メモリ(EPROMまたはフラッシュメモリ)、ダイナミックRAM(DRAM)、任意のソリッドステート記憶デバイス、一般的に、コンパクトディスク読取り専用メモリ(CD-ROM)、または他の光学もしくは磁気記憶デバイスなどの有形記憶媒体を含むが、これらに限定されない。コンピュータ可読媒体は、コンピュータ可読記憶媒体を含むが、コンピュータ可読記憶媒体と混同されるべきではなく、コンピュータ可読記憶媒体は、コンピュータ可読媒体の全ての物理的な、非一時的な、または同様の実施形態をカバーすることが意図される。
【0046】
デバイス600の処理回路は、本明細書で説明されるモバイルデバイスの機能を実行するように(例えば、ファームウェアによって)構成される。その機能は、例えば、図2の方法に関して説明したモバイルデバイスの機能および動作などである。処理回路は、1つまたは複数のコンピュータ処理デバイスまたはリソースに対応することができる。例えば、プロセッサ604は、シリコン、フィールドプログラマブルゲートアレイ(FPGA:Field Programmable Gate Array)、特定用途向け集積回路(ASIC:Application-Specific Integrated Circuit)、任意の他のタイプの集積回路(IC:Integrated Circuit)チップ、ICチップの集合などとして提供され得る。より具体的な例として、プロセッサ604は、マイクロプロセッサ、中央処理装置(CPU:Central Processing Unit)、または内部メモリ620および/もしくはメモリ602に保存された命令セットを実行するように構成された複数のマイクロプロセッサもしくはCPUとして提供され得る。処理回路は、モバイルデバイスのセキュアエレメント内のプロセッサを含むことができる。
【0047】
アンテナ606は、1つまたは複数のアンテナに対応することができ、かつデバイス600と別のデバイスとの間の無線通信を提供するように構成され得る。アンテナ606は、IEEE802.15.1、ブルートゥース(Bluetooth(登録商標))、ブルートゥース低エネルギー(BLE:Bluetooth Low Energy)、近距離無線通信(NFC:near field communications)、ZigBee(登録商標)、GSM(登録商標)、CDMA、Wi-Fi、RF、超広帯域(UWB)などを含むがこれらに限定されない1つまたは複数の無線通信プロトコルおよび動作周波数を使用して動作するために、1つまたは複数の物理(PHY)層624を備える物理層回路に動作可能に結合され得る。一例では、アンテナ606は、帯域内アクティビティ/通信のためにUWBを使用し、帯域外(OOB)アクティビティ/通信のためにブルートゥース(Bluetooth(登録商標))(例えば、BLE)を使用して動作するための、1つまたは複数の物理層624に結合された1つまたは複数のアンテナを含み得る。しかしながら、IEEE502.15.1、近距離無線通信(NFC)、ZigBee、GSM、CDMA、Wi-Fiなどの任意のRFIDまたはパーソナルエリアネットワーク(PAN:personal area network)技術が、代替的または追加的に、本明細書で説明されるOOBアクティビティ/通信のために使用され得る。
【0048】
デバイス600は、通信モジュール608および/またはネットワークインタフェースデバイス610をさらに含み得る。通信モジュール608は、任意の適切な通信プロトコルに従って、デバイス600に対してリモートまたはローカルの1つまたは複数の異なるシステムまたはデバイスと通信するように構成することができる。ネットワークインタフェースデバイス610は、いくつかの転送プロトコル(例えば、フレームリレー、インターネットプロトコル(IP:internet protocol)、伝送制御プロトコル(TCP:transmission control protocol)、ユーザデータグラムプロトコル(UDP:user datagram protocol)、ハイパーテキスト転送プロトコル(HTTP:hypertext transfer protocol)など)のうちのいずれか1つを利用して、通信ネットワーク上で他のデバイスとの通信を可能にするためのハードウェアを含む。例示的な通信ネットワークは、とりわけ、ローカルエリアネットワーク(LAN:local area network)、ワイドエリアネットワーク(WAN:wide area network)、パケットデータネットワーク(例えば、インターネット)、モバイルフォンネットワーク(例えば、セルラーネットワーク)、基本電話サービス(POTS:Plain Old Telephone)ネットワーク、無線データネットワーク(例えば、Wi-Fiとして知られるIEEE802.11規格ファミリー、WiMAXとして知られるIEEE802.16規格ファミリー)、IEEE802.15.4規格ファミリー、およびピアツーピア(P2P)ネットワークを含むことができる。いくつかの例では、ネットワークインタフェースデバイス610は、イーサネット(登録商標)ポートまたは他の物理的ジャック、Wi-Fiカード、ネットワークインタフェースカード(NIC:Network Interface Card)、セルラーインタフェース(例えば、アンテナ、フィルタ、および関連する回路)などを含むことができる。いくつかの例では、ネットワークインタフェースデバイス610は、単一入力複数出力(SIMO:single-input multiple-output)技法、複数入力複数出力(MIMO:multiple-input multiple-output)技法、または複数入力単一出力(MISO:multiple-input single-output)技法のうちの少なくとも1つを使用して無線通信するための複数のアンテナを含むことができる。いくつかの例示的な実施形態では、アンテナ606、通信モジュール608、および/もしくはネットワークインタフェースデバイス610またはそのサブコンポーネントのうちの1つまたは複数は、単一のモジュールもしくはデバイスとして統合されてもよく、それらが単一のモジュールもしくはデバイスであるかのように機能もしくは動作し得、またはそれらの間で共有される要素を備え得る。
【0049】
ユーザインタフェース612は、1つまたは複数の入力デバイスおよび/またはディスプレイデバイスを含むことができる。ユーザインタフェース612に含まれ得る適切なユーザ入力デバイスの例は、1つまたは複数のボタン、キーボード、マウス、タッチセンサ式表面、スタイラス、カメラ、マイクロフォンなどを含むが、これらに限定されない。ユーザインタフェース612に含まれ得る適切なユーザ出力デバイスの例は、1つまたは複数のLED、LCDパネル、表示画面、タッチ画面、1つまたは複数のライト、スピーカなどを含むが、これらに限定されない。また、ユーザインタフェース612は、タッチセンサ式ディスプレイなどの組み合わされたユーザ入力およびユーザ出力デバイスを含むことができることを理解されたい。
【0050】
電源614は、バッテリ、容量性電源、または同様のタイプの電荷蓄積デバイスなどの任意の適切な内部電源とすることができ、かつ/または外部電力をデバイス600のコンポーネントに適切な電力に変換(例えば、外部供給AC電力のDC電力への変換)するのに適した1つまたは複数の電力変換回路を含むことができる。また、デバイス600は、デバイスの様々なハードウェアコンポーネント間で通信を伝送するように動作可能な1つまたは複数のインタリンクまたはバス622を含むことができる。システムバス622は、市販のいくつかのタイプのバス構造またはバスアーキテクチャのいずれかとすることができる。
【0051】
さらなる開示および例
例1は、モバイルデバイスが物理アクセスポータルの識別情報を受信するステップと、物理アクセスポータルに関連付けられたセキュアリレーデバイスとのセキュア通信チャネルを確立するステップと、モバイルデバイスに保存された暗号化されたアクセストークンをセキュアリレーデバイスに送信するステップと、セキュアリレーデバイスが暗号化されたアクセストークンに保存された情報に従って物理アクセスポータルへのアクセスを許可するステップとを含む主題(アクセス制御システムを動作させる方法など)を含む。
例1は、モバイルデバイスが物理アクセスポータルの識別情報を受信するステップと、物理アクセスポータルに関連付けられたセキュアリレーデバイスとのセキュア通信チャネルを確立するステップと、モバイルデバイスに保存された暗号化されたアクセストークンをセキュアリレーデバイスに送信するステップと、セキュアリレーデバイスが暗号化されたアクセストークンに保存された情報に従って物理アクセスポータルへのアクセスを許可するステップとを含む主題(アクセス制御システムを動作させる方法など)を含む。
【0052】
例2において、例1の主題は、アクセストークン識別子と、モバイルデバイス識別子、セキュアリレーデバイス識別子、物理アクセスポータルに対するアクセス開始時間、および物理アクセスポータルに対するアクセス満了時間のうちの1つまたは複数とに対して付加された暗号署名を含む暗号化されたアクセストークンを送信することを任意選択的に含む。
【0053】
例3において、例1および2の一方または両方の主題は、モバイルデバイスの検証アプリケーションが、ユーザのアクセス資格証明情報に関する検証デバイスへのステータスの要求を開始するステップと、要求に対する応答を受信するステップと、要求に対する応答をアクセス資格証明情報に含ませるステップとを任意選択的に含む。
【0054】
例4において、例1~3のうちの1つまたは任意の組み合わせの主題は、物理アクセスポータルを識別する近距離無線通信(NFC)タグから暗号的に保護された情報を読み取ることを任意選択的に含む。
【0055】
例5において、例4の主題は、モバイルデバイスの検証アプリケーションは、NFCタグから暗号的に保護された情報を読み取ることに応答して実行を開始することを任意選択的に含む。
【0056】
例6において、例4の主題は、モバイルデバイスの表示画面上にアプリケーションの通知を提示するステップと、表示画面との接触を検出したことに応答してアプリケーションの実行を開始するステップと、アプリケーションが開始された後に、NFCタグから暗号的に保護された情報を読み取るステップを任意選択的に含む。
【0057】
例7において、例1~6のうちの1つまたは任意の組み合わせの主題は、ブルートゥース(登録商標)低エネルギー(BLE)信号において物理アクセスポータルの識別情報を受信することを任意選択的に含む。
【0058】
例8において、例1~7のうちの1つまたは任意の組み合わせの主題は、セキュアリレーデバイスと時間サーバとの間にセキュア通信チャネルを確立するステップと、セキュア通信チャネルを使用してセキュアリレーデバイスのリアルタイムクロック回路を時間サーバと同期させるステップと、セキュアリレーデバイスが、時間ポリシーと、リアルタイムクロック回路によって決定された時間にと従って物理アクセスポータルへのアクセスをさらに許可するステップとを任意選択的に含む。
【0059】
例9は、物理層回路と、物理層回路に動作可能に結合された処理回路とを備える主題(アクセス制御システムのセキュアリレーデバイスなど)を含むことができるか、またはそのような主題を含むように例1~8のうちの1つまたは任意の組み合わせと任意選択的に組み合わせことができる。物理層回路は、情報を無線で受信するように構成される。処理回路は、モバイルデバイスから無線で受信された第1の認証情報を復号化し、モバイルデバイスに送信するための第2の認証情報を符号化し、第2の認証情報に応答してモバイルデバイスから受信したアクセストークンを暗号化解除し、アクセストークンの有効性を判定し、暗号化解除されたアクセス情報に従って物理アクセスポータルへのアクセスを許可するように構成される。
【0060】
例10において、例9の主題は、1つまたは複数の暗号鍵を保存するように構成されたセキュアエレメントを任意選択的に含む。
例11において、例9および10の一方または両方の主題は、処理回路に結合されたリアルタイムクロック回路と、処理回路であって、時間サーバとのセキュア通信チャネルを確立し、セキュア通信チャネルを介してリアルタイムクロック回路を時間サーバと同期させ、暗号化解除されたアクセス資格証明情報と、時間ポリシーと、リアルタイムクロック回路によって決定された時間とに従って、セキュアリレーデバイスによる物理アクセスポータルへのアクセスを許可するように構成された処理回路とを任意選択的に含む。
例11において、例9および10の一方または両方の主題は、処理回路に結合されたリアルタイムクロック回路と、処理回路であって、時間サーバとのセキュア通信チャネルを確立し、セキュア通信チャネルを介してリアルタイムクロック回路を時間サーバと同期させ、暗号化解除されたアクセス資格証明情報と、時間ポリシーと、リアルタイムクロック回路によって決定された時間とに従って、セキュアリレーデバイスによる物理アクセスポータルへのアクセスを許可するように構成された処理回路とを任意選択的に含む。
【0061】
例12において、例9~11のうちの1つまたは任意の組み合わせの主題は、リアルタイムクロック回路に結合され、リアルタイムクロック回路に電力を供給するスーパーキャパシタを任意選択的に含む。
【0062】
例13において、例9~12の1つまたは任意の組み合わせの主題は、モバイルデバイスによって読み取り可能なビーコン信号を送信するように構成された物理層回路を任意選択的に含む。
【0063】
例14において、例9~13のうちの1つまたは任意の組み合わせの主題は、アクセストークン識別子、モバイルデバイス識別子、およびセキュアリレーデバイス識別子を含むアクセストークンを暗号化解除するように構成された処理回路を任意選択的に含む。
【0064】
例15は、モバイルデバイスの処理回路による実行時に、物理アクセスポータルの識別情報を受信すること、物理アクセスポータルのセキュアリレーデバイスと認証情報を交換すること、セキュアリレーデバイスとセキュアチャネルを確立すること、セキュア通信チャネルを使用してモバイルデバイスに保存された暗号化アクセストークンをセキュアリレーデバイスに送信することを含む動作をモバイルデバイスに実行させる命令を含むマシン可読記憶媒体などの主題を含む(または、そのような主題を含むように例1~14のうちの1つまたは任意の組合せと任意選択的に組み合わせることができる)。
【0065】
例16において、例15の主題は、ユーザのアクセス資格証明情報に関する検証デバイスへの要求を開始すること、要求に応答して受信したアクセス資格証明情報を復号化することを含む動作をモバイルデバイスに実行させる命令を含むマシン可読記憶媒体を任意選択的に含む。
【0066】
例17において、例14および15の一方又は両方の主題は、ブルートゥース(登録商標)低エネルギー(BLE)信号において物理アクセスポータルの識別情報を受信することを含む動作をモバイルデバイスに実行させる命令を含むマシン可読記憶媒体を任意選択的に含む。
【0067】
例18において、例15~17のうちの1つまたは任意の組み合わせの主題は、近距離無線通信(NFC)を使用して受信された暗号化された情報において物理アクセスポータルの識別情報を受信することを含む動作をモバイルデバイスに実行させる命令を含むマシン可読記憶媒体を任意選択的に含む。
【0068】
例19において、例18の主題は、モバイルデバイスに保存された物理アクセスポータルに対するアクセストークンを無効なアクセストークンの失効リストと比較することを含む動作をモバイルデバイスに実行させる命令を含むマシン可読記憶媒体を任意選択的に含む。
【0069】
例20において、例18および19の一方または両方の主題は、モバイルデバイスの表示画面上に検証アプリケーションの通知を提示するステップと、ここで、検証アプリケーションは、暗号化されたアクセストークンのセキュアリレーデバイスへの送信を開始するものであり、表示画面を使用して検出された接触に応答してアプリケーションの実行を開始するステップと、検証アプリケーションを使用して物理アクセスポータルの識別情報に関する要求を開始するステップとを含む動作をモバイルデバイスに実行させる命令を含むマシン可読記憶媒体を任意選択的に含む。
【0070】
例21において、例15~20のうちの1つまたは任意の組み合わせの主題は、モバイルデバイスのセキュアエレメントまたは信頼可能な実行環境から暗号鍵を取得することを含む動作をモバイルデバイスに実行させる命令を含むマシン可読記憶媒体を任意選択的に含む。
【0071】
これらの非限定的な例は、任意の順列または組み合わせで組み合わせることができる。上記の詳細な説明は、詳細な説明の一部を形成する添付図面への参照を含む。図面は、例示を目的として、本発明を実施することができる特定の実施形態を示す。上記の説明は、例示を意図したものであって、限定的なものではない。例えば、上述した例(又はその1つまたは複数の態様)は、互いに組み合わせて使用され得る。他の実施形態は、例えば、上記の説明を検討した当業者によって使用することができる。要約書は、読者が技術的開示の内容を迅速に確認することを可能にする目的で提供されている。要約書は、特許請求の範囲または意味を解釈または限定するために使用されないという理解の下で提出されている。上記の詳細な説明では、様々な特徴が本開示を簡素化するために共にグループ化され得る。これは、特許請求されていない開示された特徴が任意の請求項に必須であることを意図するものとして解釈されるべきではない。むしろ、主題は、特定の開示された実施形態の全ての特徴よりも少ない特徴に存在し得る。従って、以下の特許請求の範囲は、各請求項が別個の実施形態として独立している状態で、本明細書の詳細な説明に組み込まれ、そのような実施形態は、様々な組合せまたは置換において互いに組み合わせることができることが企図される。範囲は、添付の特許請求の範囲を参照して、そのような特許請求の範囲が権利を与えられる均等物の全範囲とともに決定されるべきである。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【手続補正書】
【提出日】2023-09-27
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【請求項1】
アクセス制御システムを動作させる方法であって、モバイルデバイスが、物理アクセスポータルの識別情報を受信するステップと、
前記モバイルデバイスの検証アプリケーションが、前記物理アクセスポータルに関連付けられたセキュアリレーデバイスとのセキュア通信チャネルを確立するステップと、
前記モバイルデバイスの前記検証アプリケーションが、前記モバイルデバイスに保存された暗号化されたアクセストークンを前記セキュアリレーデバイスに送信するステップと、
前記セキュアリレーデバイスが、前記暗号化されたアクセストークンに保存された情報に従って前記物理アクセスポータルへのアクセスを許可するステップと、を備える方法。
【請求項2】
前記暗号化されたアクセストークンは、アクセストークン識別子と、モバイルデバイス識別子、セキュアリレーデバイス識別子、前記物理アクセスポータルに対するアクセス開始時間、および前記物理アクセスポータルに対するアクセス満了時間のうちの1つまたは複数とに対して付加された暗号署名を備える、請求項1に記載の方法。
【請求項3】
前記モバイルデバイスの検証アプリケーションが、前記モバイルデバイスのユーザのアクセス資格証明情報に関する検証デバイスへのステータスの要求を開始するステップと、前記要求に対する応答を受信するステップと、
前記要求に対する前記応答を前記暗号化されたアクセストークンに保存された情報に含ませるステップとを備える、請求項1に記載の方法。
【請求項4】
前記物理アクセスポータルの前記識別情報を受信するステップは、前記物理アクセスポータルを識別する近距離無線通信(以下、NFCとする)タグから暗号的に保護された情報を読み取ることを備える、請求項1乃至3のいずれか一項に記載の方法。
【請求項5】
前記モバイルデバイスの検証アプリケーションは、前記NFCタグから前記暗号的に保護された情報を読み取ることに応答して実行を開始する、請求項4に記載の方法。
【請求項6】
前記モバイルデバイスの表示画面上に前記検証アプリケーションの通知を提示するステップと、前記表示画面への接触を検出したことに応答して、前記検証アプリケーションの実行を開始するステップと、
前記検証アプリケーションが開始された後に、前記NFCタグから前記暗号的に保護された情報を読み取るステップとを備える、請求項4に記載の方法。
【請求項7】
前記物理アクセスポータルの前記識別情報を受信するステップは、ビーコン信号において前記物理アクセスポータルの前記識別情報を受信することを備える、請求項1乃至3のいずれか一項に記載の方法。
【請求項8】
前記セキュアリレーデバイスと時間サーバとの間にセキュア通信チャネルを確立するステップと、前記セキュア通信チャネルを使用して、前記セキュアリレーデバイスのリアルタイムクロック回路を前記時間サーバと同期させるステップと、
前記セキュアリレーデバイスが、時間ポリシーと、前記リアルタイムクロック回路によって決定された時間とにさらに従って、前記物理アクセスポータルへのアクセスを許可するステップとを備える、請求項1乃至3のいずれか一項に記載の方法。
【請求項9】
アクセス制御システムのセキュアリレーデバイスであって、情報を無線で受信するように構成された物理層回路と、
前記物理層回路に動作可能に結合された処理回路であって、
モバイルデバイスから無線で受信した第1の認証情報を復号化し、
前記モバイルデバイスに送信するための第2の認証情報を符号化し、
前記第2の認証情報に応答して前記モバイルデバイスから受信されたアクセストークンを暗号化解除し、
前記アクセストークンの有効性を判定し、
前記アクセストークンに従って物理アクセスポータルへのアクセスを許可するように構成された前記処理回路と、を備えるデバイス。
【請求項10】
1つまたは複数の暗号鍵を保存するように構成されたセキュアエレメントを備える、請求項9に記載のデバイス。
【請求項11】
前記処理回路に結合されたリアルタイムクロック回路を備え、前記処理回路は、
時間サーバとのセキュア通信チャネルを確立し、
前記セキュア通信チャネルを介して前記リアルタイムクロック回路を前記時間サーバと同期させ、
前記アクセストークンと、時間ポリシーと、前記リアルタイムクロック回路によって決定された時間とに従って、前記セキュアリレーデバイスによる前記物理アクセスポータルへのアクセスを許可するように構成される、請求項9に記載のデバイス。
【請求項12】
リアルタイムクロック回路に結合され、前記リアルタイムクロック回路に電力供給するスーパーキャパシタを備える、請求項11に記載のデバイス。
【請求項13】
前記物理層回路は、前記モバイルデバイスによって読み取り可能なビーコン信号を送信するように構成される、請求項11に記載のデバイス。
【請求項14】
前記アクセストークンは、アクセストークン識別子、モバイルデバイス識別子、およびセキュアリレーデバイス識別子を備える、請求項9乃至13のいずれか一項に記載のデバイス。
【請求項15】
命令を備えるマシン可読記憶媒体であって、前記命令は、モバイルデバイスの処理回路による実行時に、前記モバイルデバイスに、物理アクセスポータルの識別情報を受信すること、
前記物理アクセスポータルのセキュアリレーデバイスと認証情報を交換して、前記セキュアリレーデバイスとセキュアチャネルを確立すること、
セキュア通信チャネルを使用して、前記モバイルデバイスに保存された暗号化されたアクセストークンを前記セキュアリレーデバイスに送信することを備える動作を実行させる、マシン可読記憶媒体。
【請求項16】
ユーザのアクセス資格証明情報に関する検証デバイスへの要求を開始すること、前記要求に応答して受信された前記アクセス資格証明情報を復号化することを備える動作を前記モバイルデバイスに実行させる命令をさらに備える、請求項15に記載のマシン可読記憶媒体。
【請求項17】
前記物理アクセスポータルの前記識別情報をブルートゥース(登録商標)低エネルギー(BLE)信号で受信することを備える動作を前記モバイルデバイスに実行させる命令をさらに備える、請求項15に記載のマシン可読記憶媒体。
【請求項18】
近距離無線通信(NFC)を使用して受信された暗号化された情報において前記物理アクセスポータルの前記識別情報を受信することを備える動作を前記モバイルデバイスに実行させる命令をさらに備える、請求項15に記載のマシン可読記憶媒体。
【請求項19】
前記モバイルデバイスに保存された前記物理アクセスポータルに対する前記アクセストークンを無効なアクセストークンの失効リストと比較することを備える動作を前記モバイルデバイスに実行させる命令をさらに備える、請求項18に記載のマシン可読記憶媒体。
【請求項20】
検証アプリケーションの通知を前記モバイルデバイスの表示画面上に提示すること、ここで、前記検証アプリケーションは、前記暗号化されたアクセストークンを前記セキュアリレーデバイスに送信することを開始するものであり、前記表示画面を用いて検出された接触に応答して、アプリケーションの実行を開始すること、
前記検証アプリケーションを使用して前記物理アクセスポータルの前記識別情報に関する要求を開始することを備える動作を前記モバイルデバイスに実行させる命令をさらに備える、請求項18または19に記載のマシン可読記憶媒体。
【請求項21】
前記モバイルデバイスのセキュアエレメントまたは信頼可能な実行環境から暗号鍵を取得することを備える動作を前記モバイルデバイスの前記処理回路に実行させる命令をさらに備える、請求項15乃至19のいずれか一項に記載のマシン可読記憶媒体。
【国際調査報告】