IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > Capital One Services, LLC

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ キャピタル・ワン・サービシーズ・リミテッド・ライアビリティ・カンパニーの特許一覧

特表2024-506833アクセストークンを認証するシステムと方法
<>
  • 特表-アクセストークンを認証するシステムと方法 図1
  • 特表-アクセストークンを認証するシステムと方法 図2A
  • 特表-アクセストークンを認証するシステムと方法 図2B
  • 特表-アクセストークンを認証するシステムと方法 図3
  • 特表-アクセストークンを認証するシステムと方法 図4
  • 特表-アクセストークンを認証するシステムと方法 図5
  • 特表-アクセストークンを認証するシステムと方法 図6
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-02-15
(54)【発明の名称】アクセストークンを認証するシステムと方法
(51)【国際特許分類】
   G06F 21/33 20130101AFI20240207BHJP
   G06K 19/073 20060101ALI20240207BHJP
   G06F 21/34 20130101ALI20240207BHJP
【FI】
G06F21/33
G06K19/073
G06F21/34
【審査請求】未請求
【予備審査請求】未請求
(21)【出願番号】P 2023545870
(86)(22)【出願日】2022-01-26
(85)【翻訳文提出日】2023-09-26
(86)【国際出願番号】 US2022013893
(87)【国際公開番号】W WO2022164898
(87)【国際公開日】2022-08-04
(31)【優先権主張番号】17/161,488
(32)【優先日】2021-01-28
(33)【優先権主張国・地域又は機関】US
(81)【指定国・地域】
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.JAVA
(71)【出願人】
【識別番号】519111877
【氏名又は名称】キャピタル・ワン・サービシーズ・リミテッド・ライアビリティ・カンパニー
【氏名又は名称原語表記】Capital One Services, LLC
(74)【代理人】
【識別番号】100145403
【弁理士】
【氏名又は名称】山尾 憲人
(74)【代理人】
【識別番号】100135703
【弁理士】
【氏名又は名称】岡部 英隆
(74)【代理人】
【識別番号】100163902
【弁理士】
【氏名又は名称】市川 奈月
(72)【発明者】
【氏名】ルール,ジェフリー
(72)【発明者】
【氏名】ニューマン,ケイトリン
(72)【発明者】
【氏名】イリンチック,ライコ
(57)【要約】
認証のシステム及び方法は、メモリ、通信インターフェースおよび1つ以上のプロセッサを備える第1のデバイスを含む。メモリは、カウンタ値、送信データおよび少なくとも1つのキーを含む。1つ以上のプロセッサは、メモリおよび1つ以上のプロセッサと通信する。1つ以上のプロセッサは、少なくとも1のキーおよびカウンタ値を使用して、カウンタ値と送信データを含む暗号文を生成し、通信インターフェースを介して暗号文を送信し、暗号文の送信後にカウンタ値を更新し、通信インターフェースを介して暗号化されたアクセストークンを受信し、暗号化されたアクセストークンを復号し、復号されたアクセストークンをメモリに格納し、通信インターフェースが通信フィールドに入った後、1つ以上のリソースにアクセスするため、通信インターフェースを介して、暗号化されたアクセストークンを送信してもよい。
【特許請求の範囲】
【請求項1】
カウンタ値、送信データ、および少なくとも1つのキーを含むメモリと、
通信インターフェースと、
メモリおよび通信インターフェースと通信する1つ以上のプロセッサを備え、
前記1つ以上のプロセッサは、
前記少なくとも1つのキーとカウンタ値を使用して、前記カウンタ値と前記送信データを含む暗号文を生成し、
前記通信インターフェースを介して、前記暗号文を送信し、
前記暗号文の送信後に、前記カウンタ値を更新し、
前記通信インターフェースを介して、暗号化されたアクセストークンを受信し、
前記暗号化されたアクセストークンを復号し、
前記復号されたアクセストークンをメモリに格納し、
前記通信インターフェースが通信フィールドに入った後(エントリした後)、1つ以上のリソースにアクセスするため、通信インターフェースを介して、暗号化されたアクセストークンを送信する、
第1のデバイス。
【請求項2】
前記1つ以上のプロセッサは、さらに、前記通信インターフェースを介して、公開鍵および暗号化されたテストを含む、チャレンジを受信する、
請求項1に記載の第1のデバイス。
【請求項3】
前記1つ以上のプロセッサは、さらに、前記チャレンジに応答して、前記通信インターフェースを介して、チャレンジ応答を送信する、
請求項2に記載の第1のデバイス。
【請求項4】
前記1つ以上のプロセッサは、さらに、前記暗号化されたテストを復号して、復号されたテストを生成する、
請求項2に記載の第1のデバイス。
【請求項5】
前記1つ以上のプロセッサは、さらに、前記通信インターフェースを介して送信されるチャレンジ応答に、前記復号されたテストを含める、
請求項4に記載の第1のデバイス。
【請求項6】
前記1つ以上のプロセッサは、さらに、前記公開鍵を使用して、前記アクセストークンを暗号化する、
請求項2に記載の第1のデバイス。
【請求項7】
前記暗号化されたアクセストークンは、秘密鍵を使用して復号される、
請求項6に記載の第1のデバイス。
【請求項8】
前記通信フィールドへの前記通信インターフェースの各エントリがチャレンジを生成する、
請求項1に記載の第1のデバイス。
【請求項9】
前記アクセストークンは、使用制限付きトークンを含む、
請求項1に記載の第1のデバイス。
【請求項10】
前記アクセストークンはアクセス識別子を含む、
請求項1に記載の第1のデバイス。
【請求項11】
少なくとも1つのキーおよびカウンタ値を使用して、カウンタ値および送信データを含む暗号文を生成し、
通信インターフェースを介して、前記暗号文を送信し、
前記カウンタ値を更新し、
前記通信インターフェースを介して、暗号化されたアクセストークンを受信し、
前記暗号化されたアクセストークンを復号し、
前記復号されたアクセストークンをメモリに格納し、
前記通信インターフェースが通信フィールドに入った後(エントリした後)、1つ以上のリソースへのアクセスを受信するため、通信インターフェースを介して、暗号化されたアクセストークンを送信する、
認証方法。
【請求項12】
さらに、前記通信インターフェースを介して、公開鍵および暗号化されたテストを含むチャレンジを受信する、
請求項11に記載の認証方法。
【請求項13】
さらに、前記チャレンジに応答して、前記通信インターフェースを介して、チャレンジ応答を送信する、
請求項12に記載の認証方法。
【請求項14】
さらに、前記暗号化されたテストを復号して、復号されたテストを生成する、
請求項12に記載の認証方法。
【請求項15】
さらに、前記通信インターフェースを介して送信されるチャレンジ応答は、前記復号されたテストを含む、
請求項14に記載の認証方法。
【請求項16】
さらに、前記公開鍵を使用して、前記アクセストークンを暗号化する、
請求項12に記載の認証方法。
【請求項17】
前記暗号化されたアクセストークンは、秘密鍵を用いて復号される、
請求項16に記載の認証方法。
【請求項18】
さらに、前記通信フィールドへの前記通信インターフェースの各エントリに基づいて、チャレンジを受信する、
請求項11に記載の認証方法。
【請求項19】
さらに、所定の期間の経過後、前記アクセストークンを無効にする、
請求項11に記載の認証方法。
【請求項20】
プロセッサによって実行されると、前記プロセッサに、
1つ以上のキーおよびカウンタ値を使用して、前記カウンタ値および送信データを含む暗号文の生成、
前記暗号文の送信、
前記カウンタ値の更新、
暗号化されたアクセストークンの受信、
前記暗号化されたアクセストークンの復号、
通信インターフェースが通信フィールドに入った後、前記通信インターフェースを介した、暗号化されたアクセストークンの送信、
前記アクセストークンの認証後、1つ以上のリソースへのアクセスの受信、
を含む動作を実行させる命令を格納する非一時的なコンピュータ可読媒体。
【発明の詳細な説明】
【技術分野】
【0001】
本出願は、2021年1月28日に出願された米国特許出願第17/161,488号に対する優先権を主張し、その開示内容全体が参照により本明細書に援用される。
【0002】
本開示は、アクセストークンを認証するシステムおよび方法に関する。
【背景技術】
【0003】
カードベースの取引はますます一般的になってきている。これらの取引には、多くの場合、POSデバイス、サーバ、またはその他のデバイスと通信するカードの使用が必要となる。このような通信は傍受や不正アクセスから保護する必要がある。しかしながら、平文でのデータ送信、つまり暗号化やその他の保護なしでのデータ送信は、フィッシング攻撃やリプレイ攻撃の影響を受けやすく、その結果、セキュリティリスクが増大し、アカウントやカードの悪用が発生する。これらのリスクは、他のデバイスと無線で通信する非接触カードの使用によって増大し得る。
【0004】
これらおよび他の欠陥が存在する。したがって、これらの欠陥を克服し、通信を傍受や不正アクセスから保護することにより、安全かつ信頼性の高い方法で1つ以上のリソースへのアクセスを提供する、アクセストークンを認証するシステムおよび方法が必要とされる。
【発明の概要】
【0005】
本開示の実施形態は、以下を含む第1のデバイスを提供する。第1のデバイスは、カウンタ値、送信データ、および少なくとも1つのキーを含むメモリを含むことができる。第1のデバイスは、通信インターフェースを含むことができる。第1のデバイスは、メモリおよび通信インターフェースと通信する1つ以上のプロセッサを含むことができる。1つ以上のプロセッサは、少なくとも1つのキーおよびカウンタ値を使用して、カウンタ値および送信データを含む暗号文を生成してもよい。1つ以上のプロセッサは、通信インターフェースを介して、暗号文を送信してもよい。1つ以上のプロセッサは、暗号文の送信後に、カウンタ値を更新してもよい。1つ以上のプロセッサは、通信インターフェースを介して、暗号化されたアクセストークンを受信してもよい。1つ以上のプロセッサは、暗号化されたアクセストークンを復号してもよい。1つ以上のプロセッサは、復号されたアクセストークンをメモリに格納してもよい。1つ以上のプロセッサは、通信インターフェースが通信フィールドに入った後、1つ以上のリソースにアクセスするため、通信インターフェースを介して暗号化されたアクセストークンを送信してもよい。
【0006】
本開示の実施形態は、認証方法を提供する。方法は、少なくとも1つのキーおよびカウンタ値を使用して、カウンタ値および送信データを含む暗号文を生成してもよい。方法は、通信インターフェースを介して、暗号文を送信してもよい。方法は、カウンタ値を更新してもよい。方法は、通信インターフェースを介して、暗号化されたアクセストークンを受信してもよい。方法は、暗号化されたアクセストークンを復号してもよい。方法は、復号されたアクセストークンをメモリへ格納してもよい。方法は、通信インターフェースが通信フィールドへ入った後、1つ以上のリソースへのアクセスを受信するため、通信インターフェースを介して、暗号化されたアクセストークンを送信してもよい。
【0007】
本開示の実施形態は、プロセッサによって実行されると、プロセッサおよびコンピュータに、動作を実行させる命令を格納する非一時的なコンピュータ可読媒体を提供する。動作は、1つ以上のキーおよびカウンタ値を使用して、カウンタ値と送信データ暗号文の生成を含む、暗号文の送信する、カウンタ値の更新、暗号化されたアクセストークンの受信、暗号化されたアクセストークンの復号、通信インターフェースが通信フィールドに入った後の、通信インターフェースを介した、暗号化されたアクセストークンの送信、アクセストークンの認証後の、1つ以上のリソースへのアクセスの受信を含む。
【0008】
本開示の様々な実施形態は、さらなる目的および利点とともに、添付の図面と併せて以下の説明を参照してよく理解され得る。
【図面の簡単な説明】
【0009】
図1図1は、実施形態に係る認証システムの一例を示す。
図2A図2Aは、実施形態に係る非接触カード一例を示す。
図2B図2Bは、実施形態に係る非接触カードの接触パッドの一例を示す。
図3図3は、実施形態に係る認証方法の一例を示す。
図4図4は、実施形態に係る認証プロセスのシーケンス図の一例を示す。
図5図5は、実施形態に係る認証システムの一例を示す。
図6図6は、実施形態に係る認証方法の一例を示す。
【発明を実施するための形態】
【0010】
以下の実施形態の説明は、参照番号を参照しながら非限定的な代表的な例を提供し、本発明のさまざまな態様の特徴および教示を特に説明する。説明された実施形態は、実施形態の説明から、別個に、または他の実施形態と組み合わせて実施可能であると認識されるであろう。実施形態の説明を検討する当業者は、説明される本発明のさまざまな態様を学び、理解することができるであろう。実施形態の説明は、具体的にはカバーされていないが、実施形態の説明を読んだ当業者の知識の範囲内にある他の実装が、本発明の適用と一致すると理解されるであろう程度まで、本発明の理解を容易にするものでなければならない。
【0011】
本明細書に開示されるシステムおよび方法の利点には、通信を傍受および不正アクセスから保護することによって、1つ以上のリソースへのアクセスを提供するセキュリティの向上を含む。本明細書に開示されるシステムおよび方法は、暗号化されたデータ通信および平文でデータを送信する必要性の除去を通じて、フィッシング攻撃の回避およびリプレイ攻撃の防止を可能にする。さらに、アクセストークンおよびチャレンジレスポンスを生成および認証することにより、カードを収集したり再発行用に各カードをプログラムしたりするのではなく、アクセストークンおよびカードを安全に発行、検証、再発行できるため、セキュリティリスクが軽減され、ユーザエクスペリエンスが向上し、トランザクション効率が向上する。したがって、本明細書に開示されるシステムおよび方法は、カードまたはカードに関連付けられたアカウントの悪用などの不正行為のリスクを軽減する。
【0012】
図1は、認証システム100を示す。システム100は、第1のデバイス105、第2のデバイス112、第3のデバイス117、ネットワーク120、サーバ125、およびデータベース130を含むことができる。図1は、システム100の要素の一例を示すが、システム100は任意の数の要素を含むことができる。
【0013】
システム100は、第1のデバイス105を含むことができる。第1のデバイス105は、非接触カード、接触型カード、または本明細書に記載される他のデバイスを含むことができる。以下でさらに図2A~2Bを参照して説明するように、第1のデバイス105は、1つ以上のプロセッサ102およびメモリ104を含むことができる。メモリ104は、1つ以上のアプレット106および1つ以上のカウンタ108を含むことができる。各カウンタ108は、カウンタ値を含むことができる。メモリ104は、カウンタ値、送信データ、および少なくとも1つのキーを含むことができる。
【0014】
第1のデバイス105は、通信インターフェース107を含むことができる。通信インターフェース107は、物理インターフェースおよび非接触インターフェースを備えた通信機能を備えることができる。例えば、通信インターフェース107は、カードスワイプインターフェースを介してスワイプすることにより、または、現金自動預払機(ATM)または物理インターフェースを介して通信する他のデバイス上にあるカードチップリーダーに挿入することにより、物理インターフェースと通信することができる。他の例では、通信インターフェース107は、NFC、Bluetooth(登録商標)、Wi-Fi、RFID、および他の形態の非接触通信などの近距離無線通信方法を介して、カード読み取り装置との非接触通信を確立され得る。図1に示すように、通信インターフェース107は、ネットワーク120を介して、第2のデバイス112、第3のデバイス117、サーバ125、および/またはデータベース130と直接通信し得る。
【0015】
第1のデバイス105は、システム100の任意の数の要素とデータ通信することができる。例えば、第1のデバイス105は、ネットワーク120を介してデータを第2のデバイス112、第3のデバイス117、および/またはサーバ125に送信することができる。第1のデバイス105は、ネットワーク120を介してデータをデータベース130に送信することができる。いくつかの例では、第1のデバイス105は、任意のデバイスの1つ以上の通信フィールドに入った(エントリした)後、ネットワーク120を介してデータを送信することができる。限定されないが、各エントリは、タップ、スワイプ、ウェーブ、および/またはそれらの任意の組み合わせに関連付けることができる。
【0016】
システム100は、第2のデバイス112を含むことができる。第2のデバイス112は、1つ以上のプロセッサ113、およびメモリ114を含むことができる。メモリ114は、第1のアプリケーション110および第2のアプリケーション111を含むがこれらに限定されない、1つ以上のアプリケーションを含むことができる。第2のデバイス112は、システム100の任意の数の要素とデータ通信することができる。例えば、第2のデバイス112は、ネットワーク120を介してサーバ125にデータを送信することができる。第2のデバイス112は、ネットワーク120を介してデータベース130にデータを送信することができる。限定されないが、デバイス112は、ネットワーク対応コンピュータであってもよい。本明細書で言及されるように、ネットワーク対応コンピュータは、サーバ、ネットワーク機器、パーソナルコンピュータ、ワークステーション、電話機、ハンドヘルドPC、携帯情報端末、非接触カード、シンクライアント、ファットクライアント、インターネットブラウザ、キオスク、タブレット、端末、またはその他のデバイスなどを含むコンピュータ装置または通信装置が含むが、これらに限定されない。第2のデバイス112は、モバイルデバイスであってもよい。たとえば、モバイルデバイスには、Apple(登録商標)のiPhone(登録商標)、iPod(登録商標)、iPad(登録商標)、またはAppleの iOS(登録商標)オペレーティングシステムを実行するその他のモバイルデバイス、Microsoft(登録商標)のWindows(登録商標)モバイルオペレーティングシステムを実行する任意のデバイス、Google(登録商標)のAndroid(登録商標)オペレーティングシステムを実行する任意のデバイス、または他のスマートフォン、タブレット、または同様のウェアラブルモバイルデバイスを含む。
【0017】
第2のデバイス112は、処理回路を含むことができ、本明細書で記載される機能を実行するために必要に応じて、プロセッサ、メモリ、エラーおよびパリティ/CRCチェッカー、データエンコーダ、衝突防止アルゴリズム、コントローラ、コマンドデコーダ、セキュリティプリミティブ、および改ざん防止ハードウェアを含む追加の要素を含むことができる。第2のデバイス112は、ディスプレイおよび入力装置をさらに含むことができる。ディスプレイは、コンピュータモニタ、フラットパネルディスプレイ、液晶ディスプレイ、発光ダイオードディスプレイ、プラズマパネル、陰極線管ディスプレイを含むモバイルデバイス画面など、視覚情報を提示する任意のタイプのデバイスであり得る。入力デバイスは、タッチスクリーン、キーボード、マウス、カーソル制御デバイス、タッチスクリーン、マイク、デジタルカメラ、ビデオレコーダまたはカムコーダなど、ユーザのデバイスで利用可能およびサポートされている、ユーザのデバイスに情報を入力する任意のデバイスを含むことができる。これらのデバイスは、情報を入力し、本明細書で説明するソフトウェアおよび他のデバイスとの対話に使用できる。
【0018】
システム100は、第3のデバイス117を含むことができる。第3のデバイス117は、1つ以上のプロセッサ116およびメモリ118を含むことができる。メモリ118は、アプリケーション115などの1つ以上のアプリケーションを含むことができる。第3のデバイス117は、システム100の任意の数の要素とデータ通信を行うことができる。例えば、第3のデバイス117は、ネットワーク120を介してサーバ125にデータを送信することができる。第3のデバイス117は、ネットワーク120を介してデータベース130にデータを送信することができる。限定されないが、第3のデバイス117は、ネットワーク対応コンピュータであってもよい。本明細書で言及されるように、ネットワーク対応コンピュータは、サーバ、ネットワーク機器、パーソナルコンピュータ、ワークステーション、電話機、ハンドヘルドPC、携帯情報端末、非接触カード、シンクライアント、ファットクライアント、インターネットブラウザ、キオスク、タブレット、端末、リーダー、またはその他のデバイスなどを含むコンピュータ装置または通信装置を含むが、これらに限定されない。第3のデバイス117は、モバイルデバイスであってもよい。たとえば、モバイルデバイスは、AppleのiPhone(登録商標)、iPod(登録商標)、iPad(登録商標)、またはAppleのiOS(登録商標)オペレーティングシステムを実行するその他のモバイルデバイス、Microsoftの Windowsモバイルオペレーティングシステムを実行する任意のデバイス、GoogleのAndroidオペレーティングシステムを実行する任意のデバイス、または他のスマートフォン、タブレット、または同様のウェアラブルモバイルデバイスを含む。
【0019】
第3のデバイス117は、処理回路を含むことができ、本明細書で説明される機能を実行するために必要に応じて、プロセッサ、メモリ、エラーおよびパリティ/CRCチェッカー、データエンコーダ、衝突防止アルゴリズム、コントローラ、コマンドデコーダ、セキュリティプリミティブ、および改ざん防止ハードウェアを含む追加の要素を含むことができる。第3のデバイス117は、ディスプレイおよび入力デバイスをさらに含むことができる。ディスプレイは、コンピュータモニタ、フラットパネルディスプレイ、液晶ディスプレイ、発光ダイオードディスプレイ、プラズマパネル、陰極線管ディスプレイを含むモバイルデバイス画面など、視覚情報を提示する任意のタイプのデバイスであり得る。入力デバイスは、タッチスクリーン、キーボード、マウス、カーソル制御デバイス、タッチスクリーン、マイク、デジタルカメラ、ビデオレコーダまたはカムコーダなど、ユーザのデバイスで利用可能およびサポートされる、ユーザのデバイスに情報を入力する任意のデバイスを含み得る。これらのデバイスは、情報を入力し、本明細書で説明するソフトウェアおよび他のデバイスとの対話に使用できる。
【0020】
システム100は、ネットワーク120を含むことができる。いくつかの例では、ネットワーク120は、無線ネットワーク、有線ネットワーク、または無線ネットワークと有線ネットワークの任意の組み合わせのうちの1つ以上であり得、システム100の要素のいずれか1つに接続し得る。例えば、第1のデバイス105は、ネットワーク120を介してサーバ125に接続されてもよい。いくつかの例では、ネットワーク120は、光ファイバネットワーク、受動光ネットワーク、ケーブルネットワーク、インターネットネットワーク、衛星ネットワーク、無線ローカルエリアネットワーク(LAN)、移動通信用グローバルシステム、パーソナル通信サービス、パーソナルエリアネットワーク、無線アプリケーションプロトコル、マルチメディアメッセージングサービス、拡張メッセージングサービス、ショートメッセージサービス、時分割多重ベースのシステム、符号分割多元接続ベースのシステム、D-AMPS、Wi-Fi、固定無線データ、IEEE 802.11b、802.15.1、802.11nおよび802.11g、Bluetooth、NFC、無線周波数識別(RFID)、Wi-Fiなどのうちの1つ以上を含み得る。
【0021】
さらに、ネットワーク120は、限定されないが、電話回線、光ファイバ、IEEEイーサネット902.3、ワイドエリアネットワーク、無線パーソナルエリアネットワーク、LAN、またはインターネットなどのグローバルネットワークを含むことができる。さらに、ネットワーク120は、インターネットネットワーク、無線通信ネットワーク、セルラーネットワークなど、またはそれらの任意の組み合わせをサポートすることができる。ネットワーク120はさらに、1つのネットワーク、または上述の例示的なタイプのネットワークの任意の数を含むことができ、スタンドアロンネットワークとして、または相互に連携して動作することができる。ネットワーク120は、それらが通信可能に結合されている1つ以上のネットワーク要素の1つ以上のプロトコルを利用することができる。ネットワーク120は、他のプロトコルからネットワークデバイスの1つ以上のプロトコルに変換することができる。ネットワーク120は単一のネットワークとして示されているが、1つ以上の例によれば、ネットワーク120は、例えば、インターネット、サービスプロバイダのネットワーク、ケーブルテレビネットワーク、クレジットカード協会のネットワークなどの企業ネットワーク、およびホームネットワークなど、相互接続された複数のネットワークを含み得ることが理解されるであろう。
【0022】
システム100は、1つ以上のサーバ125を含むことができる。いくつかの例では、サーバ125は、メモリ129に結合された1つ以上のプロセッサ127を含むことができる。サーバ125は、複数のワークフローアクションを異なる時間に実行するため、様々なデータを制御し呼び出す中央システム、サーバ、またはプラットフォームとして構成され得る。サーバ125は、第1のデバイス105に接続されてもよい。サーバ125は、アプレット106、アプリケーション110、アプリケーション111、および/またはアプリケーション115とデータ通信し得る。例えば、サーバ125は、アプレット106とデータ通信し得る。第1のデバイス105は、1つ以上のネットワーク120を介して1つ以上のサーバ125と通信することができ、サーバ125とのそれぞれのフロントエンド対バックエンドのペアとして動作することができる。第1のデバイス105は、例えば、その上で実行するアプレット106から、サーバ125への1つ以上の要求を送信することができる。1つ以上の要求は、サーバ125からのデータの取得に関連付けることができる。サーバ125は、第1のデバイス105から1つ以上の要求を受信することができる。アプレット106からの1つ以上のリクエストに基づいて、サーバ125は、リクエストされたデータを取得してもよい。サーバ125は、受信したデータをアプレット106に送信し、受信したデータは1つ以上要求に応答してもよい。
【0023】
いくつかの例では、サーバ125は、ブレードサーバなどの専用サーバコンピュータであってもよいし、パーソナルコンピュータ、ラップトップコンピュータ、ノートブックコンピュータ、パームトップコンピュータ、ネットワークコンピュータ、モバイルデバイス、ウェアラブルデバイス、または、システム100をサポートすることができる任意のプロセッサに制御されるデバイスであってもよい。図1は単一のサーバ125を示しているが、他の実施形態では、ユーザをサポートするために必要に応じてまたは所望に応じて複数のサーバまたは複数のコンピュータシステムを使用することができ、また、特定のサーバに障害が発生した場合のネットワークのダウンタイムを防ぐためにバックアップまたは冗長サーバを使用することもできることが理解されるであろう。
【0024】
サーバ125は、サーバ125上で実行する命令を含むアプリケーションを含むことができる。例えば、アプリケーションは、サーバ125上で実行する命令を含むことができる。アプリケーションは、システム100の任意の要素と通信することができる。例えば、サーバ125は、例えば、システム100の1つ以上の要素とのネットワークおよび/またはデータ通信を可能にし、データを送信および/または受信する1つ以上のアプリケーションを実行することができる。限定されないが、サーバ125はネットワーク対応コンピュータであってもよい。本明細書で言及されるように、ネットワーク対応コンピュータは、サーバ、ネットワーク機器、パーソナルコンピュータ、ワークステーション、電話機、ハンドヘルドPC、携帯情報端末、非接触カード、シンクライアント、ファットクライアント、インターネットブラウザ、またはその他のデバイスなどを含むコンピュータ装置または通信装置を含むが、これらに限定されない。サーバ125はモバイルデバイスであってもよい。たとえば、モバイルデバイスは、AppleのiPhone(登録商標)、iPod(登録商標)、iPad(登録商標)、または AppleのiOS(登録商標)オペレーティングシステムを実行するその他のモバイルデバイス、Microsoft のWindowsモバイルオペレーティングシステムを実行する任意のデバイス、GoogleのAndroidオペレーティングシステムを実行する任意のデバイスまたは他のスマートフォン、タブレット、または同様のウェアラブルモバイルデバイスを含む。
【0025】
サーバ125は、処理回路を含むことができ、また、本明細書で説明する機能を実行するため、必要に応じて、プロセッサ、メモリ、エラーおよびパリティ/CRCチェッカー、データエンコーダ、衝突防止アルゴリズム、コントローラ、コマンドデコーダ、セキュリティプリミティブ、および改ざん防止ハードウェアを含む追加の要素を含むことができる。サーバ125は、ディスプレイおよび入力装置をさらに含むことができる。ディスプレイは、コンピュータモニタ、フラットパネルディスプレイ、液晶ディスプレイ、発光ダイオードディスプレイ、プラズマパネル、陰極線管ディスプレイを含むモバイルデバイス画面など、視覚情報を提示する任意のタイプのデバイスであってよい。入力デバイスは、タッチスクリーン、キーボード、マウス、カーソル制御デバイス、タッチスクリーン、マイク、デジタルカメラ、ビデオレコーダまたはカムコーダなど、ユーザのデバイスで利用可能およびサポートされる、ユーザのデバイスに情報を入力する任意のデバイスを含むことができる。これらのデバイスは、情報を入力し、本明細書で説明するソフトウェアおよび他のデバイスとの対話に使用できる。
【0026】
システム100は、1つ以上のデータベース130を含むことができる。データベース130は、複数のリレーショナルデータベースおよび非リレーショナルデータベースを含む、リレーショナルデータベース、非リレーショナルデータベース、または他のデータベース実装、およびそれらの任意の組み合わせを含むことができる。いくつかの例では、データベース130は、デスクトップデータベース、モバイルデータベース、またはインメモリデータベースを含み得る。さらに、データベース130は、第1のデバイス105またはサーバ125などのシステム100の任意の要素によって内部でホストされてもよい。または、データベース130は、クラウドベースのプラットフォームによって、第1のデバイス105またはサーバなどのシステム100の任意の要素の外部で、または、第1のデバイス105およびサーバ125とデータ通信する任意の記憶装置内でホストされてもよい。いくつかの例では、データベース130は、システム100の任意の数の要素とデータ通信することができる。例えば、サーバ125は、アプレット106によって送信される要求されたデータをデータベース130から取得してもよい。サーバ125は、ネットワーク120を介してデータベース130からアプレット106に受信データを送信してもよく、受信データは、送信されたデータに応答する1つ以上のリクエストに応答する。他の例では、アプレット106は、ネットワーク120を介してデータベース130からの要求されたデータに対する1つ以上の要求を送信してもよい。
【0027】
いくつかの例では、本明細書に記載される本開示による例示的な手順は、処理装置および/またはコンピューティング装置(例えば、コンピュータハードウェア装置)によって実行され得る。このような処理/コンピューティング装置は、限定されないが、例えば、1つ以上のマイクロプロセッサを含む、コンピュータ/プロセッサの全部であり、一部であり、または含むことができ、コンピュータアクセス可能な媒体(例えば、RAM、ROM、ハードドライブ、またはその他の記憶装置)が格納する命令を利用することができる。例えば、コンピュータがアクセス可能な媒体は、第1のデバイス105、サーバ125、および/またはデータベース130のメモリ、または他のコンピュータハードウェア装置の一部であってもよい。
【0028】
いくつかの例では、コンピュータアクセス可能な媒体(例えば、本明細書で上述したように、ハードディスク、フロッピーディスク、メモリスティック、CD-ROM、RAM、ROMなどの記憶装置、またはそれらの組み合わせ)を(例えば、処理装置と通信して)提供することができる。コンピュータがアクセス可能な媒体には、実行可能な命令を含めることができる。加えて、または代わりに、記憶装置は、コンピュータアクセス可能な媒体とは別に提供することができ、記憶装置は、例えば、本明細書で上述したような特定の例示的な手順、プロセス、および方法を実行するように処理装置に命令を提供することができる。
【0029】
1つ以上のプロセッサ102は、少なくとも1つのキーおよびカウンタ値を使用して暗号文を生成してもよい。暗号文は、カウンタ値と送信データが含んでもよい。1つ以上のプロセッサ102は、通信インターフェース107を介して、暗号文を送信してもよい。例えば、1つ以上のプロセッサ102は、暗号文を1つ以上のアプリケーションに送信してもよい。いくつかの例では、1つ以上のプロセッサ102は、第2のデバイス112上で実行する命令を含む暗号文を第1のアプリケーション110に送信してもよい。1つ以上のプロセッサ102は、暗号文の送信後にカウンタ値を更新してもよい。1つ以上のプロセッサ102は、通信インターフェース107を介してアクセストークンを受信してもよい。例えば、1つ以上のプロセッサ102は、第1のアプリケーション110からアクセストークンを受信してもよい。いくつかの例では、アクセストークンは、第1アプリケーション110に生成および/または暗号化される。いくつかの例では、アクセストークンは、ユーザが第1の又はプライマリシステムへの認証をするときに生成されてもよい。第1の又はプライマリシステムは、アプリケーション又はネットワークログインを含み得る。アプリケーションは、第2のデバイス112上で実行される命令を含む第1のアプリケーション110を含むがこれに限定されない。ネットワークログインは、ネットワーク120に関連付けられるログインを含むがこれに限定されない。その時点で、限定されないが、ユーザ名および/またはパスワード、モバイルデバイス番号、アカウント番号、カード番号、および生体認証(顔スキャン、網膜スキャン、指紋、指紋、音声認識のための音声など)の群から選択される少なくとも1つを含む1つ以上の資格情報の提示を通じて確立されたセキュリティID(security identity)をカプセル化するアクセストークンが生成されてもよい。データベース130などの、最初に認証されるデータベースは、トークンを生成し得る。このモデルでは、アクセストークンは暗号化され、安全に保管するために第1のデバイス105に送信される。ユーザが第2のシステムにアクセスしたい場合、第1のデバイス105が提示され、第2のシステムはそれを問い合わせてもよい。アクセストークンがまだ有効であり、第1と第2のシステムが相互に尊重している限り、OAuthやSecurity Assertion Markup Language(SAML)などのプロトコルを通じて、ユーザはセカンダリシステムにアクセスできる。いくつかの例では、アクセストークンは送信前に暗号化されてもよい。例えば、第1のアプリケーション110は、第1のデバイス105の1つ以上のプロセッサ102に送信する前にアクセストークンを暗号化してもよい。
【0030】
1つ以上のプロセッサ102は、アクセストークンを復号してもよい。1つ以上のプロセッサ102は、アクセストークンをメモリ104に格納してもよい。1つ以上のプロセッサ102は、通信インターフェース107の1つ以上のエントリが、任意のデバイスの通信フィールドに入った後、アクセストークンを送信してもよい。1つ以上のエントリは、タップ、スワイプ、ウェーブ、および/またはそれらの任意の組み合わせの群から選択される少なくとも1つに関連付けることができる。例えば、1つ以上のプロセッサ102は、アクセストークンを第1のアプリケーション110に送信してもよい。アクセストークンは、近距離無線通信(NFC)を介して送信され得る。限定されないが、アクセストークンは、Bluetooth、Wi-Fi、RFIDを介して送信することができる。
【0031】
他の例では、1つ以上のプロセッサ102は、第2のデバイス112上で実行する命令を含む第2のアプリケーション111にアクセストークンを送信してもよい。1つ以上のプロセッサ102は、通信インターフェース107の1つ以上のエントリが、第2のデバイス112の通信フィールドに入った後、アクセストークンを送信してもよい。1つ以上のエントリは、タップ、スワイプ、ウェーブ、および/またはそれらの任意の組み合わせの群から選択される少なくとも1つに関連付けることができる。例えば、1つ以上のプロセッサ102は、アクセストークンを第2のアプリケーション111に送信してもよい。アクセストークンは、近距離無線通信(NFC)を介して送信され得る。限定されないが、アクセストークンは、Bluetooth、Wi-Fi、RFIDを介して送信することができる。
【0032】
他の例では、1つ以上のプロセッサ102は、第3のデバイス117上で実行する命令を含むアプリケーション115にアクセストークンを送信してもよい。1つ以上のプロセッサ102は、通信インターフェース107の1つ以上のエントリが、第3のデバイス117の通信フィールドに入った後、アクセストークンを送信してもよい。1つ以上のエントリは、タップ、スワイプ、ウェーブ、および/またはそれらの任意の組み合わせの群から選択される少なくとも1つに関連付けることができる。アクセストークンは、近距離無線通信(NFC)を介して送信され得る。限定されないが、アクセストークンは、Bluetooth、Wi-Fi、RFIDを介して送信することができる。
【0033】
アクセストークンは、1つ以上のリソースへのアクセスを提供する前に、検証のために送信されてもよい。例えば、第3のデバイス117上で実行する命令を含むアプリケーション115は、1つ以上のプロセッサ102からアクセストークンを受信し、1つ以上のリクエストを1つ以上のサーバ125に送信することによってアクセストークンを検証してもよい。1つ以上のサーバ125は、第3のデバイス117上で実行する命令を含む1つ以上のリクエストをアプリケーション115から受信してもよい。1つ以上のリクエストは、アクセストークンを含むことができる。1つ以上のサーバ125は、参照アクセストークンとの比較によってアクセストークンを検証し、一致が成功したか決定してもよい。いくつかの例では、サーバ125は、アクセストークンを検証してもよい。アクセストークンと参照アクセストークンの比較で一致が得られた場合、アクセストークンが検証され、1つ以上のリソースへのアクセスが提供される。アクセストークンと参照アクセストークンの比較で一致が得られなかった場合、1つ以上のリソースへのアクセスは次の方法でさらに続行できる。たとえば、不成功の一致の決定に基づいて、1つ以上のリソースへのアクセスが拒否され得る。他の例では、1つ以上のリソースへのアクセスは、1つ以上のリソースへのアクセスを拒否する前に、アクセストークンを再送および再受信することによって、所定の閾値回数を含む回数まで再試行され得る。このようにして、以下でさらに説明するように、トークンの使用後に、1つ以上のリソースへのアクセスが拒否され、および/または、許可特権が取り消され得る。
【0034】
いくつかの例では、データベース130は、アクセストークンを検証してもよい。例えば、1つ以上のサーバ125は、1つ以上のリクエストをデータベース130に送信して、アクセストークンを検証してもよい。1つ以上のリクエストは、アクセストークンを含んでもよい。データベース130は、1つ以上のサーバ125から1つ以上のリクエストを受信してもよい。データベース130は、参照アクセストークンとの比較によってアクセストークンを検証し、一致が成功したか決定してもよい。アクセストークンと参照アクセストークンの比較で一致が得られた場合、アクセストークンが検証され、1つ以上のリソースへのアクセスが提供される。アクセストークンと参照アクセストークンの比較で一致が得られなかった場合、1つ以上のリソースへのアクセスは次の方法でさらに続行できる。いくつかの例では、不成功の一致の決定に基づいて、1つ以上のリソースへのアクセスが拒否され得る。他の例では、1つ以上のリソースへのアクセス要求は、1つ以上のリソースへのアクセスを拒否する前に、アクセストークンを再送および再受信することによって、所定の閾値回数まで再試行されてもよい。このようにして、以下でさらに説明するように、トークンの使用後に、1つ以上のリソースへのアクセスが拒否され、および/または、許可特権が取り消され得る。
【0035】
アクセストークンは、使用制限付きトークンを含むことができる。アクセストークンは、アクセス識別子などの1つ以上の要素を含むことができる。アクセス識別子は、第1のシステムと第2のシステムなどの複数のシステムにわたってユーザを識別し得る。アクセス識別子は、ユーザに固有のもの、ログインセッションに関連付けられるもの、および/またはそれらの組み合わせであり得る。いくつかの例では、アクセス識別子は、ユーザを1つ以上のアクセスグループに属することを示し得る識別子の群を含み得る。いくつかの例では、トークンは、使い捨てトークンを含み得る。他の例では、トークンは、時間毎のトークンを含み得る。例えば、トークンは、秒、分、時間、日、週、月、年、および/またはそれらの任意の組み合わせの群から選択される少なくとも1つなど、所定の期間の使用に制限され得る。トークンが使用された後、例えば1回限りの使用後、および/または所定の期間の使用が終了した後、トークンは無効化され、使用できなくなり得る。
【0036】
いくつかの例では、第2のデバイス112上で実行する命令を含む第1のアプリケーション110は、第2のデバイス112上で実行する命令を含む第2のアプリケーション111とは異なるアプリケーションであってもよい。いくつかの例では、第2のデバイスは、第3のデバイス117とは異なっていてもよい。いくつかの例では、第3のデバイス117は、第2のデバイス112の外部にあってもよい。例えば、第3のデバイス117は、第2のデバイス112の一部でなくてもよい。いくつかの例では、第3のデバイス117は、第2のデバイス112と一体であってもよい。例えば、第3のデバイス117は、第2のデバイス112の一部または内部であってもよい。第3のデバイス117は、カードリーダーなどのリーダーを備えてもよい。いくつかの例では、カードリーダーは、物理空間へのアクセスを提供してもよい。いくつかの例では、カードリーダーは、デジタル体験へのアクセスを提供してもよい。いくつかの例では、カードリーダーは、チケット発行されたイベントへのアクセスを提供してもよい。いくつかの例では、カードリーダーは貸金庫へのアクセスを提供してもよい。いくつかの例では、カードリーダーは、ネットワーク対応コンピュータなどの別のデバイスへのアクセスを提供してもよい。
【0037】
他の例では、1つ以上のプロセッサ102は、第2のデバイス112上で実行する命令を含む1つ以上のチャレンジを、通信インターフェース107を介して第1のアプリケーション110から受信してもよい。チャレンジは、公開鍵および暗号化されたテストを含み得る。1つ以上のプロセッサ102は、通信インターフェース107を介して、1つ以上のチャレンジに応答する1つ以上の応答を送信してもよい。例えば、1つ以上のプロセッサ102は、第2のデバイス112上で実行する命令を含む、第1のアプリケーション110へのチャレンジ応答を、通信インターフェース107を介して、送信してもよい。
【0038】
他の例では、1つ以上のプロセッサ102は、通信インターフェース107を介して1つ以上のチャレンジを受信してもよい。例えば、1つ以上のプロセッサ102は、第3のデバイス117上で実行される命令を含むアプリケーション115からチャレンジを受信することができる。チャレンジは、公開鍵および暗号化されたテストを含み得る。1つ以上のプロセッサ102は、通信インターフェース107を介して、1つ以上のチャレンジに応答する1つ以上の応答を送信することができる。例えば、1つ以上のプロセッサ102は、通信インターフェース107を介して、第3のデバイス117上で実行される命令を含むアプリケーション115へのチャレンジ応答を送信することができる。
【0039】
1つ以上のプロセッサ102は、暗号化されたテストを復号することができる。例えば、1つ以上のプロセッサ102は、秘密鍵を使用して暗号化されたテストを復号し、復号されたテストを生成してもよい。いくつかの例では、1つ以上のプロセッサ102は、通信インターフェース107を介して送信されるチャレンジレスポンスに復号されたテストを含めてもよい。いくつかの例では、1つ以上のプロセッサ102は、通信インターフェース107を介して、第2のデバイス112上で実行する命令を含む、復号されたテストを含むチャレンジ応答を第1のアプリケーション110へ送信してもよい。他の例では、1つ以上のプロセッサ102は、通信インターフェース107を介して、第2のデバイス112上で実行される命令を含む、復号されたテストを含むチャレンジ応答を第2のアプリケーション111へ送信してもよい。他の例では、1つ以上のプロセッサ102は、通信インターフェース107を介して、第3のデバイス117上で実行する命令を含む、復号されたテストを含むチャレンジ応答をアプリケーション115に送信してもよい。
【0040】
第2のデバイス112および/または第3のデバイス117は、1つ以上のサーバ125および/または1つ以上のデータベース130とデータ通信することができる。いくつかの例では、第2のデバイス112上で実行する命令を含む第1のアプリケーション110および第2のアプリケーション111は、ネットワーク120を介して、1つ以上のサーバ125および/または1つ以上のデータベース130とデータ通信することができる。第3のデバイス117上で実行する命令を含むアプリケーション115は、ネットワーク120を介して、1つ以上のサーバ125および/または1つ以上のデータベース130とデータ通信することができる。サーバ125は、第3のデバイス117上で実行する命令を含む1つ以上のチャレンジを、第3のデバイス117上で実行される命令を含むアプリケーション115から受信することができる。アプリケーション115は、第3のデバイス117上で実行する命令を含むみ、1つ以上のチャレンジをサーバ125に送信してもよい。チャレンジは、公開鍵および暗号化されたテストを含み得る。サーバ125は、第3のデバイス117上で実行する命令を含み、1つ以上のチャレンジに応答する1つ以上の応答をアプリケーション115に送信することができる。サーバ125は、秘密鍵を使用して暗号化されたテストを復号することにより、復号されたテストを生成してもよい。さらに、サーバ125は、チャレンジ応答に復号されたテストを含めてもよい。
【0041】
いくつかの例では、カードリーダーは、物理空間などの1つ以上のリソースへのアクセスを提供できる。上述したように、カードリーダーは、第2のデバイス112の内部にあってもよい。他の例では、カードリーダーは、第3のデバイス117の一部など、第2のデバイス112の外部にあってもよい。例えば、アクセスは、トークンの認証が成功した後に提供され得る。いくつかの例では、カードリーダーは、カードリーダーに関連付けられたデバイス112またはデバイス117などのデバイスの、通信フィールドへの通信インターフェース107の1つ以上のエントリの後に、物理空間へのアクセスを提供してもよい。限定されないが、物理空間は、トークン検証の一部である1つ以上のエントリを介して、カードリーダーがアクセスを許可する建物、学校、店舗、企業、政府機関、部屋、エレベーター、廊下、ガレージなどの任意の空間を含むことができる。いくつかの例では、物理空間は、クラウドサーバ施設、政府施設、またはその他の安全な施設など、携帯電話機、タブレット、ラップトップ、ユニバーサルシリアルバスデバイスなどのモバイルデバイスが制限または禁止されている任意の空間または場所も含むことができる。いくつかの例では、物理空間は、文書、商品、および他の物品などのアイテムを保管する、倉庫、保管室、クローゼット、ロッカー、またはキャビネットなどの保管施設も含むことができる。いくつかの例では、物理空間は、実験室、生物材料保管庫、化学薬品保管庫、または工具や危険機器を含む部屋などの危険区域または危険物容器も含むことができる。
【0042】
いくつかの例では、カードリーダーは、デジタル体験へのアクセスを提供してもよい。上述したように、カードリーダーは、第2のデバイス112の内部にあってもよい。他の例では、カードリーダーは、第3のデバイス117の一部など、第2のデバイス112の外部にあってもよい。例えば、トークンの認証が成功した後、アクセスが提供されてもよい。いくつかの例では、カードリーダーは、カードリーダーに関連付けられたデバイス112またはデバイス117などのデバイスの通信フィールドへの通信インターフェース107の1つ以上のエントリの後に、デジタル体験へのアクセスを提供してもよい。限定されないが、デジタル体験は、任意のデバイス、仮想現実プログラム、モバイルまたはウェブブラウザ、電子メールクライアント、ゲームなどで実行する命令を含む任意のアプリケーションに関連付けることができる。
【0043】
いくつかの例では、カードリーダーは、チケット発行されたイベントへのアクセスを提供してもよい。上述したように、カードリーダーは、第2のデバイス112の内部にあってもよい。他の例では、カードリーダーは、第3のデバイス117の一部など、第2のデバイス112の外部にあってもよい。例えば、アクセスは、トークンの認証が成功した後に提供され得る。いくつかの例では、カードリーダーは、カードリーダーに関連付けられたデバイス112またはデバイス117などのデバイスの通信フィールドへの通信インターフェース107の1つ以上のエントリの後に、チケット発行されたイベントへのアクセスを提供することができる。限定されないが、チケット発行されたイベントは、学校イベント、スポーツイベント、コンサートイベント、プライベートイベント、政府イベント、音楽イベントなどに関連付けることができる。
【0044】
いくつかの例では、カードリーダーは貸金庫へのアクセスを提供してもよい。上述したように、カードリーダーは、第2のデバイス112の内部にあってもよい。他の例では、カードリーダーは、第3のデバイス117の一部など、第2のデバイス112の外部にあってもよい。例えば、アクセスは、トークンの認証が成功した後、提供され得る。いくつかの例では、カードリーダーは、カードリーダーに関連付けられたデバイス112またはデバイス117などのデバイスの通信フィールドへの通信インターフェース107の1つ以上のエントリの後に、貸金庫へのアクセスを提供してもよい。いくつかの例では、カードリーダーは貸金庫の外部にあってもよい。他の例では、カードリーダーは貸金庫の内部にあってもよい。いくつかの例では、貸金庫は、取り出し可能な1つ以上の品目へのアクセスに利用可能な、製品または食料品などの1つ以上の品目を保管する保管筐体を備えてもよい。
【0045】
いくつかの例では、カードリーダーは、ネットワーク対応コンピュータなどの別のデバイスへのアクセスを提供してもよい。他の例では、カードリーダーは、カードリーダーとのみ通信する安全なコンピュータまたはオフラインコンピュータへのアクセスを提供してもよい。カードリーダーは、第1のデバイス105からアクセストークンを読み取り、それをリーダーに渡してもよい。カードリーダーは、アクセストークンを認証システム100と共有するか、認証システム100にアクセスできるようにしてもよい。前述したように、認証システム100がOAuthまたはSAMLなどのプロトコルを通じてアクセストークンを尊重する限り、ユーザは認証システム100にアクセスできる。
【0046】
図2Aは、1つ以上の第1のデバイス200を示す。第1のデバイス200は、図1に関して上で説明したように、第1のデバイス105と同一または類似の要素を参照することができる。図2Aおよび2Bは、第1のデバイス200の要素の単一の例を示すが、任意の数の要素を利用することができる。
【0047】
第1のデバイス200は、システム100の1つ以上の要素と通信するように構成され得る。第1のデバイス200は、カード200の前面または背面に表示されるサービスプロバイダ205によって発行された、クレジットカード、デビットカード、ギフトカードなどの支払いカードを含み得る、接触型カードまたは非接触カードを含み得る。いくつかの例では、非接触カード200は、支払いカードとは関連しておらず、限定されないが、身分証明書、会員証、交通カードを含むことができる。いくつかの例では、支払いカードは、デュアルインターフェース非接触型支払いカードを備え得る。非接触カード200は、プラスチック、金属、および他の材料からなる単一層または1つ以上の積層層を含むことができる基板210を備えることができる。基板材料の一例には、ポリ塩化ビニル、酢酸ポリ塩化ビニル、アクリロニトリルブタジエンスチレン、ポリカーボネート、ポリエステル、陽極酸化チタン、パラジウム、金、カーボン、紙、および生分解性材料を含む。いくつかの例では、非接触カード200は、ISO/IEC 7810規格のID-1フォーマットに準拠する物理的特性を有してもよく、また、非接触カードは、ISO/IEC 14443規格に準拠してもよい。しかしながら、本開示による非接触カード200は異なる特性を有することができ、本開示は非接触カードが支払いカードに実装されることを必要としないことが理解される。
【0048】
非接触カード200は、カードの前面および/または背面に表示される識別情報215と、接触パッド220とを含むこともできる。接触パッド220は、限定されないが、ユーザデバイス、スマートフォン、ラップトップ、デスクトップ、またはタブレットコンピュータを含む別の通信デバイスとの接触を確立してもよい。非接触カード200は、処理回路、アンテナ、および図2Aには示されていない他の要素も含むことができる。これらの要素は、接触パッド220の裏側、または基板210上の他の場所に配置されてもよい。非接触カード200はまた、カードの裏面に配置されてもよい磁気ストリップまたは磁気テープを含んでもよい(図2Aに図示せず)。
【0049】
図2Bに示すように、図2Aの接触パッド220は、マイクロプロセッサなどのプロセッサ230およびメモリ235を含み、情報を記憶および処理する処理回路225を含むことができる。処理回路225は、ここで説明する機能を実行するために必要な、プロセッサ、メモリ、エラーおよびパリティ/CRCチェッカー、データ エンコーダー、衝突防止アルゴリズム、コントローラ、コマンド デコーダー、セキュリティ プリミティブ、および改ざん防止ハードウェアを含む追加の要素を含んでよいことが理解されるであろう。
【0050】
メモリ235は、読み出し専用メモリ、一回書き込み複数回読み出しメモリ、または読み出し/書き込みメモリ、例えば、RAM、ROM、およびEEPROMであってもよく、非接触カード200は、これらのメモリのうちの1つ以上を含んでもよい。読み出し専用メモリは、工場出荷時に読み取り専用としてプログラム可能であるか、または1回だけプログラム可能である場合がある。ワンタイムプログラマビリティにより、1回書き込んで複数回読み出すことができる。一回書き込み複数回読み出しメモリは、工場出荷後のある時点でプログラムされる場合がある。メモリは1回プログラムされると書き換えることはできないが、複数回読み出すことができる。読み出し/書き込みメモリは、工場出荷後に複数回プログラムされ、再プログラムされる場合がある。また、複数回読み出すこともある。
【0051】
メモリ235は、1つ以上のアプレット240、1つ以上のカウンタ245、および顧客識別子250を格納してもよい。1つ以上のアプレット240は、Java Cardアプレットなどの1つ以上の非接触カード上で実行する1つ以上のソフトウェアアプリケーションを含むことができる。しかしながら、アプレット240はJava Cardアプレットに限定されず、非接触カードまたは限られたメモリを有する他のデバイス上で動作可能な任意のソフトウェアアプリケーションであってもよいことが理解されるであろう。1つ以上のカウンタ245は、整数を格納するのに十分な数値カウンタを備え得る。顧客識別子250は、非接触カード200のユーザに割り当てられた一意の英数字識別子を含み得、この識別子は、非接触カードのユーザを他の非接触カードユーザから区別することができる。いくつかの例では、顧客識別子250は、顧客とその顧客に割り当てられたアカウントの両方を識別することができ、さらに、顧客のアカウントに関連付けられた非接触カードを識別することもできる。
【0052】
前述の例示的な実施形態のプロセッサおよびメモリ要素は、接触パッドを参照して説明されているが、本開示はそれに限定されない。これらの要素は、パッド220の外側に実装されてもよいし、パッド220から完全に分離されて実装されてもよいし、あるいは、接触パッド220内に位置するプロセッサ230要素およびメモリ235要素に加えてさらなる要素として実装されてもよいことが理解されるであろう。
【0053】
いくつかの例では、非接触カード200は、1つ以上のアンテナ255を備えてもよい。1つ以上のアンテナ255は、非接触カード200内および接触パッド220の処理回路225の周囲に配置されてもよい。1つ以上のアンテナ255は処理回路225と一体であってもよく、1つ以上のアンテナ255は外部ブースタコイルとともに使用されてもよい。他の例として、1つ以上のアンテナ255は、接触パッド220および処理回路225の外部にあってもよい。
【0054】
一実施形態では、非接触カード200のコイルは、空芯変圧器の二次側として機能することができる。端末は、電力または振幅変調を遮断することによって非接触カード200と通信することができる。非接触カード200は、非接触カードの電源接続のギャップを使用して、端末から送信されたデータを推測することができ、これは、1つ以上のコンデンサによって機能的に維持され得る。非接触カード200は、非接触カードのコイルの負荷または負荷変調を切り替えることによって通信を返すことができる。干渉により端末のコイルで負荷変調が検出される場合がある。
【0055】
図3は、認証の方法300を示す。図3は、システム100と、図2Aおよび図2Bに示す第1のデバイス200と、同一または類似の要素を参照し得る。
【0056】
ブロック305で、方法300は、少なくとも1つのキーおよびカウンタ値を使用して暗号文を生成することを含むことができる。例えば、第1のデバイスの1つ以上のプロセッサは、少なくとも1つのキーおよびカウンタ値を使用して暗号文を生成してもよい。暗号文は、カウンタ値と送信データが含まれてもよい。第1のデバイスは、少なくとも1つのキー、カウンタ値、および送信データを含む1つ以上のキーを含むメモリを含むことができる。第1のデバイスは通信インターフェースをさらに含むことができる。
【0057】
ブロック310で、方法300は、暗号文を送信することを含むことができる。例えば、1つ以上のプロセッサは、通信インターフェースを介して暗号文を送信してもよい。例えば、1つ以上のプロセッサは、暗号文を1つ以上のアプリケーションに送信してもよい。いくつかの例では、1つ以上のプロセッサは、第2のデバイス上で実行する命令を含む第1のアプリケーションに暗号文を送信してもよい。
【0058】
ブロック315で、方法300は、カウンタ値の更新を含むことができる。例えば、1つ以上のプロセッサは、暗号文の送信後にカウンタ値を更新してもよい。
【0059】
ブロック320で、方法300は、通信インターフェースを介して、暗号化されたアクセストークンを受信することを含むことができる。例えば、1つ以上のプロセッサは、通信インターフェースを介してアクセストークンを受信してみよい。いくつかの例では、1つ以上のプロセッサは、第1のアプリケーションからアクセストークンを受信してもよい。いくつかの例では、アクセストークンは、第1のアプリケーションによって生成および/または暗号化されてもよい。いくつかの例では、アクセストークンは、ユーザが第1の又はプライマリシステムへの認証をするときに生成されてもよい。第1の又はプライマリシステムは、アプリケーション又はネットワークログインを含み得る。アプリケーションは、第2のデバイス上で実行される命令を含む第1のアプリケーションを含むが、これに限定されない。その時点で、限定されないが、ユーザ名および/またはパスワード、モバイルデバイス番号、口座番号、カード番号、および生体認証(顔スキャン、網膜スキャン、指紋、音声認識のための音声入力など)の群から選択された少なくとも1つを含む、1つ以上の資格情報を提示することによって確立されたセキュリティIDをカプセル化するアクセストークンが生成され得る。最初に認証されるデータベースは、トークンを生成し得る。このモデルでは、アクセストークンが暗号化されて最初のデバイスに送信され、安全に格納される。ユーザが第2のシステムにアクセスしたい場合、第1のデバイスが提示され、第2のシステムがそれを問い合わせてもよい。アクセストークンがまだ有効であり、第1および第2のシステムが相互に尊重している限り、ユーザはOAuthやSAMLなどのプロトコルを通じてセカンダリシステムにアクセスしてもよい。いくつかの例では、アクセストークンは送信前に暗号化されてもよい。例えば、第1のアプリケーションは、第1のデバイスの1つ以上のプロセッサに送信する前にアクセストークンを暗号化してもよい。
【0060】
ブロック325で、方法300は、暗号化されたアクセストークンの復号を含むことができる。例えば、1つ以上のプロセッサは、アクセストークンを復号してもよい。
【0061】
ブロック330で、方法300は、復号されたアクセストークンを格納することを含むことができる。例えば、1つ以上のプロセッサは、アクセストークンをメモリに格納してもよい。
【0062】
ブロック335において、方法300は、通信インターフェースが通信フィールドに入った(エントリした)後、1つ以上のリソースへのアクセスを受信する認証のためのアクセストークンの送信を含むことができる。例えば、1つ以上のプロセッサは、任意のデバイスの通信フィールドへの通信インターフェースの1つ以上のエントリの後に、アクセストークンを送信してもよい。1つ以上のエントリは、タップ、スワイプ、ウェーブ、および/またはそれらの任意の組み合わせの群から選択される少なくとも1つに関連付けることができる。例えば、1つ以上のプロセッサは、アクセストークンを第1のアプリケーションに送信してもよい。アクセストークンは、近距離無線通信(NFC)を介して送信されてもよい。限定されないが、アクセストークンはBluetooth、Wi-Fi、RFIDを介して送信できる。
【0063】
他の例では、1つ以上のプロセッサは、第2のデバイス上で実行する命令を含む第2のアプリケーションにアクセストークンを送信してもよい。1つ以上のプロセッサは、第2のデバイスの通信フィールドへの通信インターフェースの1つ以上のエントリの後に、アクセストークンを送信してもよい。1つ以上のエントリは、タップ、スワイプ、ウェーブ、および/またはそれらの任意の組み合わせの群から選択される少なくとも1つに関連付けることができる。例えば、1つ以上のプロセッサは、アクセストークンを第2のアプリケーションに送信してもよい。アクセストークンは、近距離無線通信(NFC)を介して送信されてもよい。限定されないが、アクセストークンはBluetooth、Wi-Fi、RFIDを介して送信できる。
【0064】
他の例では、1つ以上のプロセッサは、第3のデバイス上で実行する命令を含むアプリケーションにアクセストークンを送信してもよい。1つ以上のプロセッサは、通信インターフェースが第3のデバイスの通信フィールドに1つ以上入力した後、アクセストークンを送信してもよい。1つ以上のエントリは、タップ、スワイプ、ウェーブ、および/またはそれらの任意の組み合わせの群から選択される少なくとも1つに関連付けることができる。アクセストークンは、近距離無線通信(NFC)を介して送信されてもよい。限定されないが、アクセストークンはBluetooth、Wi-Fi、RFIDを介して送信できる。
【0065】
アクセストークンは、1つ以上のリソースへのアクセスを提供する前に、検証のために送信されてもよい。例えば、第3のデバイス上で実行する命令を含むアプリケーションは、1つ以上のプロセッサからアクセストークンを受信し、1つ以上のリクエストを1つ以上のサーバに送信することによってアクセストークンを検証してもよい。1つ以上のサーバは、第3のデバイス上で実行する命令を含むアプリケーションから1つ以上の要求を受信してもよい。1つ以上のリクエストは、アクセストークンをみ得る。1つ以上のサーバは、参照アクセストークンとの比較によってアクセストークンを検証し、一致が成功したか決定してもよい。いくつかの例では、サーバはアクセストークンを検証してもよい。アクセストークンと参照アクセストークンの比較で一致が得られた場合、アクセストークンが検証され、1つ以上のリソースへのアクセスが提供される。アクセストークンと参照アクセストークンの比較で一致が得られなかった場合、1つ以上のリソースへのアクセスは次の方法でさらに続行される。たとえば、不成功の一致の決定に基づいて、1つ以上のリソースへのアクセスが拒否され得る。他の例では、1つ以上のリソースへのアクセスは、1つ以上のリソースへのアクセスを拒否する前に、アクセストークンを再送および再受信することによって、所定の閾値回数を含む回数まで再試行され得る。このようにして、以下でさらに説明するように、トークンの使用後に、1つ以上のリソースへのアクセスが拒否され、および/または、許可特権が取り消され得る。
【0066】
いくつかの例では、データベースは、アクセストークンを検証してもよい。例えば、1つ以上のサーバは、1つ以上のリクエストをデータベースに送信することによってアクセストークンを検証してもよい。1つ以上のリクエストは、アクセストークンを含み得る。データベースは、1つ以上のサーバから1つ以上の要求を受信してもよい。データベースは、参照アクセストークンとの比較によってアクセストークンを検証し、一致が成功したか決定してもよい。アクセストークンと参照アクセストークンの比較で一致が得られた場合、アクセストークンが検証され、1つ以上のリソースへのアクセスが提供される。アクセストークンと参照アクセストークンの比較で一致が得られなかった場合、1つ以上のリソースへのアクセスは次の方法でさらに続行できる。いくつかの例では、不成功の一致の決定に基づいて、1つ以上のリソースへのアクセスが拒否され得る。他の例では、1つ以上のリソースへのアクセス要求は、1つ以上のリソースへのアクセスを拒否する前に、アクセストークンを再送および再受信することによって、所定の閾値回数まで再試行されてもよい。このようにして、以下でさらに説明するように、トークンの使用後に、1つ以上のリソースへのアクセスが拒否され、および/または、許可特権が取り消され得る。
【0067】
アクセストークンは、使用制限付きトークンを含むことができる。アクセストークンは、アクセス識別子などの1つ以上の要素を含み得る。アクセス識別子は、第1のシステムと第2のシステムなどの複数のシステムにわたってユーザを識別できてもよい。アクセス識別子は、ユーザに固有のもの、ログインセッションに関連づけられるもの、および/または、それらの組み合わせであり得る。いくつかの例では、アクセス識別子は、ユーザを1つ以上のアクセスグループに属することを示し得る識別子の群を含み得る。いくつかの例では、トークンは、使い捨てトークンを含み得る。他の例では、トークンは、時間毎のトークンを含み得る。例えば、トークンは、秒、分、時間、日、週、月、年、および/またはそれらの任意の組み合わせの群から選択される少なくとも1つなど、所定の期間の使用に制限され得る。トークンが使用された後、例えば1回限りの使用後、および/または所定の期間の使用が終了した後、トークンは無効化され、使用できなくなり得る。
【0068】
いくつかの例では、第2のデバイス上で実行する命令を含む第1のアプリケーションは、第2のデバイス上で実行する命令を含む第2のアプリケーションとは異なるアプリケーションであってもよい。いくつかの例では、第2のデバイスは、第3のデバイスとは異なるデバイスであってもよい。いくつかの例では、第3のデバイスは第2のデバイスの外部にあってもよい。たとえば、第3のデバイスは第3のデバイスの一部ではなくてもよい。いくつかの例では、第3のデバイスは第2のデバイスと一体であってもよい。例えば、第3のデバイスは、第2のデバイスの一部であっても、第2のデバイスの内部であってもよい。第3のデバイスは、カードリーダーなどのリーダーを備えてもよい。いくつかの例では、カードリーダーは、物理空間へのアクセスを提供してもよい。いくつかの例では、カードリーダーは、デジタル体験へのアクセスを提供してもよい。いくつかの例では、カードリーダーは、チケット発行されたイベントへのアクセスを提供してもよい。いくつかの例では、カードリーダーは貸金庫へのアクセスを提供してもよい。
【0069】
他の例では、1つ以上のプロセッサは、第2のデバイス上で実行する命令を含む1つ以上のチャレンジを、第1のアプリケーションから通信インターフェースを介して受信してもよい。チャレンジは、公開鍵と暗号化されたテストを含み得る。1つ以上のプロセッサは、通信インターフェースを介して、1つ以上のチャレンジに応答する1つ以上の応答を送信してもよい。例えば、1つ以上のプロセッサは、通信インターフェースを介して、第2のデバイス上で実行する命令を含むチャレンジ応答を第1のアプリケーションに送信してもよい。
【0070】
他の例では、1つ以上のプロセッサは、通信インターフェースを介して1つ以上のチャレンジを受信してもよい。例えば、1つ以上のプロセッサは、第3のデバイス上で実行する命令を含むチャレンジをアプリケーションから受信してもよい。チャレンジは、公開鍵と暗号化されたテストを含み得る。1つ以上のプロセッサは、通信インターフェースを介して、1つ以上のチャレンジに応答する1つ以上の応答を送信してもよい。例えば、1つ以上のプロセッサは、通信インターフェースを介して、第3のデバイス上で実行する命令を含むチャレンジ応答をアプリケーションに送信してもよい。
【0071】
1つ以上のプロセッサは、暗号化されたテストを復号してもよい。例えば、1つ以上のプロセッサは、秘密鍵を使用して暗号化されたテストを復号し、復号されたテストを生成してもよい。いくつかの例では、1つ以上のプロセッサは、通信インターフェースを介して送信されるチャレンジ応答に復号されたテストを含めることができる。いくつかの例では、1つ以上のプロセッサは、通信インターフェースを介して、復号されたテストを含むチャレンジレスポンスを、第2のデバイス上で実行する命令を含む第1のアプリケーションに送信してもよい。他の例では、1つ以上のプロセッサは、通信インターフェースを介して、復号されたテストを含むチャレンジレスポンスを、第2のデバイス上で実行する命令を含む第2のアプリケーションに送信してもよい。他の例では、1つ以上のプロセッサは、通信インターフェースを介して、復号されたテストを含むチャレンジレスポンスを、第3のデバイス上で実行する命令を含むアプリケーションに送信してもよい。
【0072】
第2のデバイスおよび/または第3のデバイスは、1つ以上のサーバおよび/または1つ以上のデータベースとデータ通信することができる。いくつかの例では、第2のデバイス上で実行する命令を含む第1のアプリケーションおよび第2のアプリケーションは、1つ以上のサーバおよび/または1つ以上のデータベースとデータ通信することができる。第3のデバイス上で実行する命令を含むアプリケーションは、1つ以上のサーバおよび/または1つ以上のデータベースとデータ通信することができる。サーバは、第3のデバイス上で実行する命令を含む1つ以上のチャレンジをアプリケーションから受信してもよい。第3のデバイス上で実行する命令を含むアプリケーションは、1つ以上のチャレンジをサーバに送信してもよい。チャレンジは、公開鍵と暗号化されたテストを含み得る。サーバは、第3のデバイス上で実行する命令を含み、1つ以上のチャレンジに応答する1つ以上の応答をアプリケーションに送信してもよい。サーバは、秘密鍵を使用して暗号化されたテストを復号することによって、復号されたテストを生成してもよい。さらに、サーバは、復号されたテストをチャレンジ応答に含めてもよい。
【0073】
いくつかの例では、カードリーダーは、物理空間などの1つ以上のリソースへのアクセスを提供してもよい。上述したように、カードリーダーは第2のデバイスの内部にあってもよい。他の例では、カードリーダーは、第3のデバイスの一部など、第2のデバイスの外部にあってもよい。たとえば、トークンの認証が成功した後、アクセスが提供されてもよい。いくつかの例では、カードリーダーは、カードリーダーに関連付けられたデバイスの通信フィールドへの通信インターフェースの1つ以上のエントリの後に、物理空間へのアクセスを提供してもよい。限定されないが、物理空間は、トークン検証の一部である1つ以上のエントリを介して、カードリーダーがアクセスを許可する建物、学校、店舗、企業、政府機関、部屋、エレベーター、廊下、ガレージなどの任意の空間を含むことができる。いくつかの例では、物理空間は、クラウドサーバ施設、政府施設、またはその他の安全な施設など、携帯電話機、タブレット、ラップトップ、ユニバーサルシリアルバスデバイスなどのモバイルデバイスが制限または禁止されている任意の空間または場所も含むことができる。いくつかの例では、物理空間には、文書、商品、および他の物品などのアイテムを保管する、倉庫、保管室、クローゼット、ロッカー、またはキャビネットなどの保管施設も含むことができる。いくつかの例では、物理空間には、実験室、生物材料保管庫、化学薬品保管庫、または工具や危険機器を含む部屋などの危険区域または危険物容器も含むことができる。
【0074】
いくつかの例では、カードリーダーは、デジタル体験へのアクセスを提供してもよい。上述したように、カードリーダーは第2のデバイスの内部にあってもよい。他の例では、カードリーダーは、第3のデバイスの一部など、第2のデバイスの外部にあってもよい。たとえば、トークンの認証が成功した後にアクセスが提供されてもよい。いくつかの例では、カードリーダーは、カードリーダーに関連付けられたデバイスの通信フィールドへの通信インターフェースの1つ以上のエントリの後に、デジタル体験へのアクセスを提供してもよい。限定されないが、デジタル体験は、任意のデバイス、仮想現実プログラム、モバイルまたはウェブブラウザ、電子メールクライアント、ゲームなどで実行する命令を含む任意のアプリケーションに関連付けることができる。
【0075】
いくつかの例では、カードリーダーは、チケット発行されたイベントへのアクセスを提供してもよい。上述したように、カードリーダーは第2のデバイスの内部にあってもよい。他の例では、カードリーダーは、第3のデバイスの一部など、第2のデバイスの外部にあってもよい。たとえば、トークンの認証が成功した後にアクセスが提供されてもよい。いくつかの例では、カードリーダーは、カードリーダーに関連付けられたデバイスの通信フィールドへの通信インターフェースの1つ以上のエントリの後に、チケット発行されたイベントへのアクセスを提供してもよい。限定されないが、チケット発行されたイベントは、学校イベント、スポーツイベント、コンサートイベント、プライベートイベント、政府イベント、音楽イベントなどに関連付けることができる。
【0076】
いくつかの例では、カードリーダーは貸金庫へのアクセスを提供してもよい。上述したように、カードリーダーは第2のデバイスの内部にあってもよい。他の例では、カードリーダーは、第3のデバイスの一部など、第2のデバイスの外部にあってもよい。たとえば、トークンの認証が成功した後、アクセスが提供されてもよい。いくつかの例では、カードリーダーは、カードリーダーに関連付けられたデバイスの通信フィールドへの通信インターフェースの1つ以上のエントリの後に貸金庫へのアクセスを提供してもよい。いくつかの例では、カードリーダーは貸金庫の外部にあってもよい。他の例では、カードリーダーは貸金庫の内部にあってもよい。いくつかの例では、貸金庫は、取り出し可能な1つ以上の品目へのアクセスに利用可能な、製品または食料品などの1つ以上の品目を保管する保管筐体を備え得る。
【0077】
図4は、実施形態に係る認証プロセスのシーケンス図400の一例を示す。図4は、図1のシステム100と、図2Aおよび図2Bの第1のデバイス200と、図3の方法300と同一または類似の要素を参照し得る。
【0078】
ステップ405で、1つ以上のプロセッサは、通信インターフェースを介して暗号文を送信してもよい。例えば、第1のデバイスの1つ以上のプロセッサは、少なくとも1つのキーおよびカウンタ値を使用して暗号文を生成してもよい。暗号文は、カウンタ値と送信データが含まれてもよい。第1のデバイスは、少なくとも1つのキー、カウンタ値、および送信データを含む1つ以上のキーを含むメモリを含むことができる。第1のデバイスは通信インターフェースをさらに含むことができる。例えば、1つ以上のプロセッサは、通信インターフェースを介して暗号文を送信してもよい。例えば、1つ以上のプロセッサは、ユーザデバイスまたは第2のデバイスの1つ以上のアプリケーションに暗号文を送信してもよい。いくつかの例では、1つ以上のプロセッサは、第2のデバイス上で実行する命令を含む第1のアプリケーションに暗号文を送信してもよい。
【0079】
ステップ410で、ユーザデバイスまたは第2のデバイスのアプリケーションは、暗号化された第1のトークンを送信してもよい。例えば、ユーザデバイスのアプリケーションは、暗号文の検証後に、通信インターフェースを介して、暗号化された第1のトークンを送信してもよい。暗号化された第1のトークンは、暗号化されたアクセストークンを含んでもよい。いくつかの例では、アクセストークンは、第1のアプリケーションによって生成および/または暗号化されてもよい。いくつかの例では、アクセストークンは、第2のデバイス上で実行する命令を含む第1のアプリケーション、またはネットワークログインを含むがこれらに限定されないアプリケーションを含み得る、第1のシステムまたはプライマリシステムに対してユーザが認証するときに生成されてもよい。その時点で、限定されないが、ユーザ名および/またはパスワード、モバイルデバイス番号、口座番号、カード番号、および生体認証(顔スキャン、網膜スキャン、指紋、音声認識のための音声入力など)の群から選択された少なくとも1つを含む、1つ以上の資格情報を提示することによって確立されたセキュリティIDをカプセル化するアクセストークンが生成されてもよい。最初に認証されるデータベースは、トークンを生成し得る。このモデルでは、アクセストークンが暗号化されて最初のデバイスに送信され、安全に格納される。ユーザが第2のシステムにアクセスしたい場合、第1のデバイスが提示され、第2のシステムがそれを問い合わせてもよい。アクセストークンがまだ有効であり、第1と第2のシステムが相互に尊重している限り、ユーザはOAuthやSAMLなどのプロトコルを通じてセカンダリシステムにアクセスできる。いくつかの例では、アクセストークンは送信前に暗号化されてもよい。例えば、第1のアプリケーションは、第1のデバイスの1つ以上のプロセッサに送信する前にアクセストークンを暗号化してもよい。
【0080】
第1のトークンは、使用制限付きトークンを含むことができる。アクセストークンは、アクセス識別子などの1つ以上の要素を含み得る。アクセス識別子は、第1のシステムと第2のシステムなどの複数のシステムにわたってユーザを識別し得る。アクセス識別子は、ユーザに固有のもの、ログインセッションに関連づけられるもの、および/またはそれらの組み合わせであり得る。いくつかの例では、アクセス識別子は、ユーザを1つ以上のアクセスグループに属することを示し得る識別子の群を含み得る。いくつかの例では、トークンは、使い捨てトークンを含み得る。他の例では、トークンは時間ベースのトークンを含み得る。例えば、トークンは、秒、分、時間、日、週、月、年、および/またはそれらの任意の組み合わせの群から選択される少なくとも1つなど、所定の期間の使用に制限され得る。トークンが使用された後、例えば1回の使用後、および/または所定の期間の使用が終了した後、トークンは無効化され、使用できなくなる場合がある。
【0081】
ステップ415で、1つ以上のプロセッサは、暗号化された第1のトークンを復号してメモリに格納してもよい。例えば、1つ以上のプロセッサは、通信インターフェースを介してユーザデバイスのアプリケーションから暗号化された第1のトークンを受信してもよい。復号された第1のトークンは、第1のデバイスのメモリに格納され得る。
【0082】
ステップ420で、1つ以上のプロセッサは、通信インターフェースがリーダーの通信フィールドにエントリした後、第1のトークンをリーダーに送信してもよい。前述したように、リーダーはユーザデバイスの外部にあってもよい。他の例では、リーダーはユーザデバイスの内部にあってもよい。リーダーはユーザのデバイスとは異なるデバイスであってもよい。リーダーは、ユーザデバイス上で実行する命令を含むアプリケーションとは異なる実行する命令を含むアプリケーションを含むことができる。リーダーは、第1のデバイスからNFCタグなどのタグから1つ以上のメッセージを読み取ってもよい。
【0083】
1つ以上のプロセッサは、リーダーなどの第3のデバイス上で実行する命令を含むアプリケーションに第1のトークンを送信してもよい。1つ以上のプロセッサは、通信インターフェースが第3のデバイスの通信フィールドに1つ以上エントリした後、アクセストークンを送信してもよい。1つ以上のエントリは、タップ、スワイプ、ウェーブ、および/またはそれらの任意の組み合わせの群から選択される少なくとも1つに関連付けることができる。アクセストークンは、近距離無線通信(NFC)を介して送信されてもよい。限定されないが、アクセストークンはBluetooth、Wi-Fi、RFIDを介して送信できる。
【0084】
ステップ425で、リーダーは、1つ以上のプロセッサに1つ以上のチャレンジを送信してもよい。例えば、1つ以上のプロセッサは、通信インターフェースを介してリーダーから1つ以上のチャレンジを受信してもよい。例えば、1つ以上のプロセッサは、第3のデバイス上で実行する命令を含むチャレンジをアプリケーションから受信してもよい。チャレンジは、公開鍵と暗号化されたテストを含み得る。
【0085】
ステップ430で、1つ以上のプロセッサは、1つ以上のチャレンジに応答して、1つ以上のチャレンジ応答をリーダーに送信してもよい。例えば、1つ以上のプロセッサは、1つ以上のチャレンジに応答する1つ以上の応答を、通信インターフェースを介してリーダーに送信してもよい。例えば、1つ以上のプロセッサは、通信インターフェースを介して、第3のデバイス上で実行する命令を含むチャレンジ応答をアプリケーションに送信してもよい。1つ以上のプロセッサは、暗号化されたテストを復号してもよい。例えば、1つ以上のプロセッサは、秘密鍵を使用して暗号化されたテストを復号し、復号されたテストを生成してもよい。いくつかの例では、1つ以上のプロセッサは、通信インターフェースを介して送信されるチャレンジ応答に復号されたテストを含めることができる。例えば、1つ以上のプロセッサは、通信インターフェースを介して、復号されたテストを含むチャレンジレスポンスを、第3のデバイス上で実行する命令を含むアプリケーションに送信してもよい。
【0086】
ステップ435で、リーダーは、1つ以上のリソースへのアクセスを許可するために、1つ以上のチャレンジ応答を認証してもよい。いくつかの例では、カードリーダーは、物理空間へのアクセスを提供してもよい。いくつかの例では、カードリーダーは、デジタル体験へのアクセスを提供してもよい。いくつかの例では、カードリーダーは、チケット発行されたイベントへのアクセスを提供してもよい。いくつかの例では、カードリーダーは貸金庫へのアクセスを提供してもよい。
【0087】
いくつかの例では、カードリーダーは、物理空間などの1つ以上のリソースへのアクセスを提供してもよい。上述したように、カードリーダーは第2のデバイスの内部にあってもよい。他の例では、カードリーダーは、第3のデバイスの一部など、第2のデバイスの外部にあってもよい。たとえば、トークンの認証が成功した後にアクセスが提供され得る。いくつかの例では、カードリーダーは、カードリーダーに関連付けられたデバイスの通信フィールドへの通信インターフェースの1つ以上エントリした後に、物理空間へのアクセスを提供してもよい。限定されないが、物理空間は、トークン検証の一部である1つ以上のエントリを介して、カードリーダーがアクセスを許可する建物、学校、店舗、企業、政府機関、部屋、エレベーター、廊下、ガレージなどの任意の空間を含むことができる。いくつかの例では、物理空間は、クラウドサーバ施設、政府施設、またはその他の安全な施設など、携帯電話機、タブレット、ラップトップ、ユニバーサルシリアルバスデバイスなどのモバイルデバイスが制限または禁止されている任意の空間または場所も含むことができる。いくつかの例では、物理空間には、文書、商品、および他の物品などのアイテムを保管する、倉庫、保管室、クローゼット、ロッカー、またはキャビネットなどの保管施設も含むことができる。いくつかの例では、物理空間には、実験室、生物材料保管庫、化学薬品保管庫、または工具や危険機器を含む部屋などの危険区域または危険物容器も含むことができる。
【0088】
いくつかの例では、カードリーダーは、デジタル体験へのアクセスを提供してもよい。上述したように、カードリーダーは第2のデバイスの内部にあってもよい。他の例では、カードリーダーは、第3のデバイスの一部など、第2のデバイスの外部にあってもよい。たとえば、トークンの認証が成功した後に、アクセスが提供されてもよい。いくつかの例では、カードリーダーは、カードリーダーに関連付けられたデバイスの通信フィールドへの通信インターフェースの1つ以上の入力後に、デジタル体験へのアクセスを提供してもよい。限定されないが、デジタル体験は、任意のデバイス、仮想現実プログラム、モバイルまたはウェブブラウザ、電子メールクライアント、ゲームなどで実行する命令を含む任意のアプリケーションに関連付けることができる。
【0089】
いくつかの例では、カードリーダーは、チケット発行されたイベントへのアクセスを提供してもよい。上述したように、カードリーダーは第2のデバイスの内部にあってもよい。他の例では、カードリーダーは、第3のデバイスの一部など、第2のデバイスの外部にあってもよい。たとえば、トークンの認証が成功した後にアクセスが提供されてもよい。いくつかの例では、カードリーダーは、カードリーダーに関連付けられたデバイスの通信フィールドへの通信インターフェースの1つ以上のエントリの後に、チケット発行されたイベントへのアクセスを提供してもよい。限定されないが、チケット発行されたイベントは、学校イベント、スポーツイベント、コンサートイベント、プライベートイベント、政府イベント、音楽イベントなどに関連付けることができる。
【0090】
いくつかの例では、カードリーダーは貸金庫へのアクセスを提供してもよい。上述したように、カードリーダーは第2のデバイスの内部にあってもよい。他の例では、カードリーダーは、第3のデバイスの一部など、第2のデバイスの外部にあってもよい。たとえば、トークンの認証が成功した後にアクセスが提供されてもよい。いくつかの例では、カードリーダーは、カードリーダーに関連付けられたデバイスの通信フィールドへの通信インターフェースの1つ以上のエントリの後に、貸金庫へのアクセスを提供してもよい。いくつかの例では、カードリーダーは貸金庫の外部にあってもよい。他の例では、カードリーダーは貸金庫の内部にあってもよい。いくつかの例では、貸金庫は、取り出し可能な1つ以上の品目へのアクセスに利用可能な、製品または食料品などの1つ以上の品目を保管する保管筐体を備え得る。
【0091】
図5は、実施形態に係る認証システム500の一例を示す。図5は、システム100と、図2Aおよび図2Bの第1のデバイス200と、図3の方法300と、図4のシーケンス図400と同一または類似の要素を参照し得る。認証システム500は、第1のデバイス505、第2のデバイス510、およびネットワーク515を含み得る。図5は、システム500の要素の単一の例を示すが、システム500は、任意の数の要素を含み得る。
【0092】
システム500は、第1のデバイス505を含み得る。第1のデバイス505は、非接触カード、接触型カード、または本明細書に記載される他のデバイスを含み得る。前に説明したように、第1のデバイス505は、1つ以上のプロセッサ502およびメモリ504を含むことができる。メモリ504は、1つ以上のアプレット506および1つ以上のカウンタ508を含むことができる。各カウンタ508は、カウンタ値を含むことができる。メモリ504は、カウンタ値、送信データ、および少なくとも1つのキーを含むことができる。
【0093】
第1のデバイス505は、通信インターフェース507を含むことができる。通信インターフェース507は、物理インターフェースおよび非接触インターフェースとの通信機能を備えることができる。例えば、通信インターフェース507は、カードスワイプインターフェースを介してスワイプすることによって、または、現金自動預払機(ATM)または物理インターフェースを介して通信する他のデバイス上にあるカードチップリーダーに挿入することにより、物理インターフェースと通信することができる。他の例では、通信インターフェース507は、NFC、Bluetooth、Wi-Fi、RFID、および他の形態の非接触通信などの近距離無線通信方法を介して、カード読み取り装置との非接触通信を確立するように構成され得る。図5に示すように、通信インターフェース507は、ネットワーク515を介して第2のデバイス510と直接通信し得る。
【0094】
第1のデバイス505は、システム100の任意の数の要素とデータ通信することができる。例えば、第1のデバイス505は、ネットワーク515を介して第2のデバイス510にデータを送信することができる。第1のデバイス505は、ネットワーク515を介してデータを送信および/または受信することができる。いくつかの例では、第1のデバイス505は、任意のデバイスの1つ以上の通信フィールドに通信インターフェース507が入った(エントリした)後、ネットワーク515を介してデータを送信してもよい。限定されないが、各エントリは、タップ、スワイプ、ウェーブ、および/またはそれらの任意の組み合わせに関連付けることができる。
【0095】
システム500は、第2のデバイス510を含むことができる。第2のデバイス510は、1つ以上のプロセッサ512、メモリ514、およびリーダー519を含むことができる。メモリ514は、1つ以上のアプリケーションを含むことができ、限定されないが、第1のアプリケーション516および第2のアプリケーション518を含むことができる。リーダー519は、第1のデバイス505からのNFCタグなどのタグから1つ以上のメッセージを読み取ることができる。第2のデバイス510は、システム500の任意の数の要素とデータ通信し得る。例えば、第2のデバイス510は、ネットワーク515を介して第1のデバイス505との間でデータを送信および/または受信することができる。限定されないが、第2のデバイス510はネットワーク対応コンピュータであってもよい。本明細書で言及されるように、ネットワーク対応コンピュータは、サーバ、ネットワーク機器、パーソナルコンピュータ、ワークステーション、電話機、ハンドヘルドPC、携帯情報端末、非接触カード、シンクライアント、ファットクライアント、インターネットブラウザ、キオスク、タブレット、端末、またはその他のデバイスなどを含むコンピュータ装置または通信装置が含むが、これらに限定されない。第2のデバイス510は、モバイルデバイスであってもよい。たとえば、モバイルデバイスには、Apple(登録商標)のiPhone(登録商標)、iPod(登録商標)、iPad(登録商標)、またはAppleの iOS(登録商標)オペレーティングシステムを実行するその他のモバイルデバイス、Microsoft(登録商標)のWindows(登録商標)モバイルオペレーティングシステムを実行する任意のデバイス、Google(登録商標)のAndroid(登録商標)オペレーティングシステムを実行する任意のデバイス、または他のスマートフォン、タブレット、または同様のウェアラブルモバイルデバイスを含む。
【0096】
第2のデバイス510は、処理回路を含むことができ、本明細書で記載される機能を実行するために必要に応じて、プロセッサ、メモリ、エラーおよびパリティ/CRCチェッカー、データエンコーダ、衝突防止アルゴリズム、コントローラ、コマンドデコーダ、セキュリティプリミティブ、および改ざん防止ハードウェアを含む追加の要素を含むことができる。第2のデバイス510は、ディスプレイ装置及び入力装置をさらに含むことができる。ディスプレイは、コンピュータモニタ、フラットパネルディスプレイ、液晶ディスプレイ、発光ダイオードディスプレイ、プラズマパネル、陰極線管ディスプレイを含むモバイルデバイス画面など、視覚情報を提示する任意のタイプのデバイスであってもよい。入力デバイスは、タッチスクリーン、キーボード、マウス、カーソル制御デバイス、タッチスクリーン、マイク、デジタルカメラ、ビデオレコーダまたはカムコーダなど、ユーザのデバイスで利用可能およびサポートされている、ユーザのデバイスに情報を入力する任意のデバイスを含むことができる。これらのデバイスは、情報を入力し、本明細書で説明するソフトウェアおよび他のデバイスとの対話に使用できる。
【0097】
システム500は、ネットワーク515を含むことができる。いくつかの例では、ネットワーク515は、無線ネットワーク、有線ネットワーク、または無線ネットワークと有線ネットワークの任意の組み合わせのうちの1つ以上であり得、システム500の要素のうちのいずれか1つに接続され得る。例えば、第1のデバイス505は、ネットワーク515を介してデバイス510に接続され得る。いくつかの例では、ネットワーク515は、光ファイバネットワーク、受動光ネットワーク、ケーブルネットワーク、インターネットネットワーク、衛星ネットワーク、無線ローカルエリアネットワーク(LAN)、移動通信用グローバルシステム、パーソナル通信サービス、パーソナルエリアネットワーク、無線アプリケーションプロトコル、マルチメディアメッセージングサービス、拡張メッセージングサービス、ショートメッセージサービス、時分割多重ベースのシステム、符号分割多元接続ベースのシステム、D-AMPS、Wi-Fi、固定無線データ、IEEE 802.11b、802.15.1、802.11nおよび802.11g、Bluetooth、NFC、無線周波数識別(RFID)、Wi-Fiなどのうちの1つ以上を含み得る。
【0098】
さらに、ネットワーク515は、限定されないが、電話回線、光ファイバ、IEEEイーサネット902.3、広域ネットワーク、無線パーソナルエリアネットワーク、LAN、またはインターネットなどのグローバルネットワークを含むことができる。さらに、ネットワーク515は、インターネットネットワーク、無線通信ネットワーク、セルラーネットワークなど、またはそれらの任意の組み合わせをサポートすることができる。ネットワーク515はさらに、スタンドアロンネットワークとして、または相互に連携して動作する、1つのネットワーク、または上述の例示的な種類のネットワークの任意の数を含むことができる。ネットワーク515は、それらが通信可能に結合されている1つ以上のネットワーク要素の1つ以上のプロトコルを利用することができる。ネットワーク515は、他のプロトコルからネットワークデバイスの1つ以上のプロトコルに変換することができる。ネットワーク515は単一のネットワークとして示されているが、1つ以上の例によれば、ネットワーク515は、例えば、インターネット、サービスプロバイダのネットワーク、ケーブルテレビネットワーク、クレジットカード協会のネットワークなどの企業ネットワーク、およびホームネットワークなど、相互接続された複数のネットワークを含み得ることが理解されるであろう。
【0099】
いくつかの例では、本明細書に記載の本開示による例示的な手順は、処理装置および/またはコンピューティング装置(例えば、コンピュータハードウェア装置)によって実行することができる。このような処理/コンピューティング装置は、限定されないが、例えば、1つ以上のマイクロプロセッサを含む、コンピュータ/プロセッサの全部であり、一部であり、または含むことができ、コンピュータアクセス可能な媒体(例えば、RAM、ROM、ハードドライブ、またはその他の記憶装置)が格納する命令を利用することができる。例えば、コンピュータアクセス可能な媒体は、第1のデバイス505のメモリ、または他のコンピュータハードウェア構成の一部であってもよい。
【0100】
いくつかの例では、コンピュータアクセス可能な媒体(例えば、本明細書で上述したように、ハードディスク、フロッピーディスク、メモリスティック、CD-ROM、RAM、ROMなどの記憶装置、またはそれらの組み合わせ)を(例えば、処理装置と通信して)提供することができる。コンピュータアクセス可能な媒体には、実行可能な命令を含めることができる。加えて、または代わりに、記憶装置は、コンピュータアクセス可能な媒体とは別に提供することができ、記憶装置は、本明細書で上述したような特定の例示的な手順、プロセス、および方法を実行するように処理装置に命令を提供することができる。
【0101】
1つ以上のプロセッサ502は、少なくとも1つのキーおよびカウンタ値を使用して暗号文を生成してもよい。暗号文は、カウンタ値と送信データを含んでもよい。1つ以上のプロセッサ502は、通信インターフェース507を介して暗号文を送信してもよい。例えば、1つ以上のプロセッサ502は、検証のために暗号文を1つ以上のアプリケーションに送信してもよい。いくつかの例では、1つ以上のプロセッサ502は、第1のアプリケーション516に第2のデバイス510上で実行する命令を含む暗号文を送信してもよい。1つ以上のプロセッサ502は、送信および検証後にカウンタ値を更新してもよい。暗号文の。1つ以上のプロセッサ502は、暗号文の検証後に通信インターフェース507を介してアクセストークンを受信してもよい。例えば、1つ以上のプロセッサ502は、第1のアプリケーション516からアクセストークンを受信してもよい。いくつかの例では、アクセストークンは、第1のアプリケーション516によって生成および/または暗号化され得る。いくつかの例では、アクセストークンは、限定されないが、第1のデバイス510上で実行する命令を含む第1のアプリケーション516、または、限定されないが、ネットワーク515と関連付けられるネットワークログイン、を含むが第1のシステムまたはプライマリシステムにユーザが認証するときに生成されてもよい。その時点で、限定されないが、ユーザ名および/またはパスワード、モバイルデバイス番号、アカウント番号、カード番号、および生体認証(顔スキャン、網膜スキャン、指紋、音声認識のための音声入力など)の群から選択される少なくとも1つを含む1つ以上の資格情報を通じて確立されたセキュリティIDをカプセル化するようアクセストークンが生成されてもよい。データベースもシステム500に含まれていてもよく、最初に認証され、トークンを生成してもよい。このモデルでは、アクセストークンは暗号化され、安全に保管するために第1のデバイス505に送信される。ユーザが第2のシステムにアクセスしたい場合、第1のデバイス505が提示され、第2のシステムはそれを問い合わせてもよい。アクセストークンがまだ有効であり、OAuthやSAMなどのプロトコルを通じて第1と第2のシステムが相互に尊重している限り、ユーザはセカンダリシステムにアクセスできる。いくつかの例では、アクセストークンは送信前に暗号化されてもよい。例えば、第1のアプリケーション516は、第1のデバイス505の1つ以上のプロセッサ502に送信する前にアクセストークンを暗号化してもよい。
【0102】
1つ以上のプロセッサ502は、アクセストークンを復号してもよい。1つ以上のプロセッサ502は、アクセストークンをメモリ504に格納してもよい。1つ以上のプロセッサ502は、通信インターフェース507の1つ以上のエントリを任意のデバイスの通信フィールドに送信した後、アクセストークンを送信してもよい。アクセストークン。1つ以上のエントリは、タップ、スワイプ、ウェーブ、および/またはそれらの任意の組み合わせの群から選択される少なくとも1つに関連付けることができる。例えば、1つ以上のプロセッサ502は、アクセストークンを第1のアプリケーション516に送信してもよい。アクセストークンは、近距離無線通信(NFC)を介して送信され得る。限定されないが、アクセストークンはBluetooth、Wi-Fi、RFIDを介して送信できる。
【0103】
1つ以上のプロセッサ502は、第2のデバイス510上で実行する命令を含む第2のアプリケーション518にアクセストークンを送信してもよい。1つ以上のプロセッサ502は、アクセストークンの1つ以上のエントリの後に送信してもよい。通信インターフェース507を介して第2のデバイス510の通信フィールドにアクセストークンが送信される。1つ以上のエントリは、タップ、スワイプ、ウェーブ、および/またはそれらの任意の組み合わせの群から選択される少なくとも1つに関連付けることができる。例えば、1つ以上のプロセッサ102は、アクセストークンを第2のアプリケーション518に送信してもよい。アクセストークンは、近距離無線通信(NFC)を介して送信され得る。限定されないが、アクセストークンはBluetooth、Wi-Fi、RFIDを介して送信できる。前述したように、アクセストークンは、1つ以上のリソースへのアクセスを提供する前に検証のために送信されてもよい。
【0104】
アクセストークンは、使用制限付きトークンを含むことができる。アクセストークンには、アクセス識別子などの1つ以上の要素が含むことができる。アクセス識別子は、第1のシステムと第2のシステムなどの複数のシステムにわたってユーザを識別してもよい。アクセス識別子は、ユーザに固有のもの、ログインセッションに関連付けられるもの、および/またはそれらの組み合わせであり得る。いくつかの例では、アクセス識別子は、ユーザを1つ以上のアクセスグループに属することを示し得る識別子の群を含み得る。いくつかの例では、トークンは、使い捨てトークンを含み得る。他の例では、トークンは、時間毎のトークンを含み得る。例えば、トークンは、秒、分、時間、日、週、月、年、および/またはそれらの任意の組み合わせの群から選択される少なくとも1つなど、所定の期間の使用に制限され得る。トークンが使用された後、例えば1回限りの使用後、および/または所定の期間の使用が終了した後、トークンは無効化され、使用できなくなり得る。
【0105】
いくつかの例では、第2のデバイス510上で実行する命令を含む第1のアプリケーション516は、第2のデバイス510上で実行する命令を含む第2のアプリケーション518とは異なるアプリケーションであってもよい。いくつかの例では、カードリーダー519は、物理空間へのアクセスを提供してもよい。いくつかの例では、カードリーダー519は、デジタル体験へのアクセスを提供してもよい。いくつかの例では、カードリーダー519は、チケット発行されたイベントへのアクセスを提供してもよい。いくつかの例では、カードリーダー519は、貸金庫へのアクセスを提供してもよい。
【0106】
他の例では、1つ以上のプロセッサ502は、第2のデバイス510上で実行する命令を含む1つ以上のチャレンジを、通信インターフェース507を介して第1のアプリケーション516または第2のアプリケーション518から受信してもよい。公開鍵と暗号化されたテスト。1つ以上のプロセッサ502は、通信インターフェース507を介して、1つ以上のチャレンジに応答する1つ以上の応答を送信してもよい。例えば、1つ以上のプロセッサ502は、通信インターフェース507を介して、第1のアプリケーション516または第2のアプリケーション518へ第2のデバイス510上で実行する命令を含むチャレンジ応答を送信してもよい。
【0107】
1つ以上のプロセッサ502は、暗号化されたテストを復号してもよい。例えば、1つ以上のプロセッサ502は、秘密鍵を使用して暗号化されたテストを復号し、復号されたテストを生成してもよい。いくつかの例では、1つ以上のプロセッサ502は、通信インターフェース507を介して送信されるチャレンジ応答に復号されたテストを含めてもよい。いくつかの例では、1つ以上のプロセッサ502は、通信インターフェース507を介して、第2のデバイス510上で実行する命令を含む第1のアプリケーション516または第2のアプリケーション518に対する復号されたテストを含むチャレンジ応答を送信してもよい。
【0108】
いくつかの例では、カードリーダー519は、物理空間などの1つ以上のリソースへのアクセスを提供してもよい。上述したように、カードリーダーは第2のデバイス510の内部にあってもよい。例えば、トークンの認証が成功した後にアクセスが提供されてもよい。いくつかの例では、カードリーダー519は、カードリーダー519に関連付けられたデバイス510などのデバイスの通信フィールドへの通信インターフェース507の1つ以上のエントリの後に、物理空間へのアクセスを提供してもよい。限定されないが、物理空間は、トークン検証の一部である1つ以上のエントリを介して、カードリーダーがアクセスを許可する建物、学校、店舗、企業、政府機関、部屋、エレベーター、廊下、ガレージなどの任意の空間を含むことができる。いくつかの例では、物理空間は、クラウドサーバ施設、政府施設、またはその他の安全な施設など、携帯電話機、タブレット、ラップトップ、ユニバーサルシリアルバスデバイスなどのモバイルデバイスが制限または禁止されている任意の空間または場所も含むことができる。いくつかの例では、物理空間は、文書、商品、および他の物品などのアイテムを保管する、倉庫、保管室、クローゼット、ロッカー、またはキャビネットなどの保管施設も含むことができる。いくつかの例では、物理空間は、実験室、生物材料保管庫、化学薬品保管庫、または工具や危険機器を含む部屋などの危険区域または危険物容器も含むことができる。
【0109】
いくつかの例では、カードリーダー519は、デジタル体験へのアクセスを提供してもよい。上述したように、カードリーダーは第2のデバイス510の内部にあってもよい。例えば、トークンの認証が成功した後にアクセスが提供されてもよい。いくつかの例では、カードリーダー519は、カードリーダー519に関連付けられたデバイス510などのデバイスの通信フィールドへの通信インターフェース507の1つ以上の入力後に、デジタル体験へのアクセスを提供してもよい。例えば、デジタル体験は、任意のデバイス、仮想現実プログラム、モバイルまたはウェブブラウザ、電子メールクライアント、ゲームなどで実行する命令を含む任意のアプリケーションに関連付けることができる。いくつかの例では、第1のアプリケーション516は、アクセストークンを生成して第1のデバイス505に送信してもよく、第2のアプリケーション518は、デジタル体験に関連付けられ得る。
【0110】
いくつかの例では、カードリーダー519は、チケット発行されたイベントへのアクセスを提供してもよい。上述したように、カードリーダーは第2のデバイス510の内部にあってもよい。例えば、トークンの認証が成功した後にアクセスが提供されてもよい。いくつかの例では、カードリーダー519は、カードリーダー519に関連付けられたデバイス510などのデバイスの通信フィールドへの通信インターフェース507の1つ以上のエントリ後に、チケット発行されたイベントへのアクセスを提供してもよい。例えば、チケット発行されたイベントは、学校イベント、スポーツイベント、コンサートイベント、プライベートイベント、政府イベント、音楽イベントなどに関連付けることができる。
【0111】
いくつかの例では、カードリーダー519は、貸金庫へのアクセスを提供してもよい。上述したように、カードリーダー519は、第2のデバイス510の内部にあってもよい。例えば、アクセスは、トークンの認証が成功した後に提供されてもよい。いくつかの例では、カードリーダー519は、カードリーダー519に関連付けられたデバイス510などのデバイスの通信フィールドへの通信インターフェース507の1つ以上の入力後に貸金庫へのアクセスを提供してもよい。例によっては、カードリーダーが貸金庫の外部にあってもよい。いくつかの例では、貸金庫は、取り出し可能な1つ以上の品目へのアクセスに利用可能な、製品または食料品などの1つ以上の品目を保管する保管筐体を備え得る。
【0112】
図6は、実施形態に係る認証の方法600の一例を示す。図6は、図1のシステム100と、図2Aおよび図2Bの第1のデバイス200と、図3の方法300と、図4のシーケンス図400と、図5のシステム500と、同一または類似の要素を参照する場合がある。
【0113】
ブロック605で、方法600は、公開鍵および暗号化されたテストを含むチャレンジを送信することを含むことができる。例えば、クライアントデバイスまたはカードリーダーなどのデバイス上で実行する命令を含むアプリケーションは、第1のデバイスの通信インターフェースを介して1つ以上のチャレンジを送信してもよい。第1のデバイスの1つ以上のプロセッサは、デバイス上で実行する命令を含むアプリケーションから通信インターフェースを介して1つ以上のチャレンジを受信し得る。チャレンジは、公開鍵と暗号化されたテストを含み得る。いくつかの例では、上で説明したように、トークンの認証後にチャレンジが送信されてもよい。
【0114】
ブロック610で、方法600は、復号されたテストを生成することを含むことができる。例えば、1つ以上のプロセッサは、暗号化されたテストを復号してもよい。例えば、1つ以上のプロセッサは、秘密鍵を使用して暗号化されたテストを復号し、復号されたテストを生成してもよい。
【0115】
ブロック615で、方法600は、復号されたテストをチャレンジ応答に含めることを含むことができる。例えば、1つ以上のプロセッサは、通信インターフェースを介して送信されるチャレンジ応答に復号されたテストを含めることができる。
【0116】
ブロック620で、方法600は、チャレンジ応答を送信することを含むことができる。例えば、1つ以上のプロセッサは、通信インターフェースを介して、1つ以上のチャレンジに応答する1つ以上の応答を送信してもよい。例えば、1つ以上のプロセッサは、通信インターフェースを介して、クライアントデバイスまたはカードリーダーなどのデバイス上で実行する命令を含むチャレンジレスポンスをアプリケーションに送信してもよい。
【0117】
ブロック625で、方法600は、チャレンジ応答を認証することを含むことができる。例えば、クライアントデバイスまたはカードリーダーなどのデバイス上で実行する命令を含むアプリケーションは、1つ以上のプロセッサから受信したチャレンジ応答を認証してもよい。いくつかの例では、アプリケーションは、1つ以上の応答が暗号化されたテストの復号を示すか決定してもよい。例えば、1つ以上の応答が、暗号化されたテストの復号の成功を示す場合、その応答は認証されたとみなされてもよい。1つ以上の応答が暗号化テストの復号の失敗を示している場合、応答は認証されていない可能性がある。いくつかの例では、1つ以上のプロセッサは、暗号化されたテストの復号の成功を含む1つ以上の応答を再送信してもよい。1つ以上の応答の再送信は、認証プロセスがタイムアウトする前に、クライアントデバイスまたはカードリーダーなどのデバイスの1つ以上の通信フィールドへの第1のデバイスの通信インターフェースの1つ以上のエントリなど、所定の閾値の試行回数が含まれ得る。他の例では、1つ以上の応答の再送信は、認証プロセスがタイムアウトする前に、クライアントデバイスまたはカードリーダーなどのデバイスの1つ以上の通信フィールドへの通信インターフェースの1つ以上のエントリなど、所定の閾値期間の試行の対象であり得る。所定の閾値期間は、秒、分、時間、日、週、月、年などの群から選択される少なくとも1つ、および/またはそれらの任意の組み合わせを含み得る。
【0118】
いくつかの例では、アプリケーションは、秘密鍵を使用して応答を復号することによってチャレンジ応答を認証してもよい。他の例では、アプリケーションは、1つ以上のリクエストを1つ以上のサーバおよび/または1つ以上のデータベースに送信することによってチャレンジレスポンスを認証してもよい。例えば、1つ以上のサーバは、アプリケーションから1つ以上の認証要求を受信してもよい。1つ以上のサーバは、秘密鍵を介してチャレンジレスポンスを復号してもよい。他の例では、1つ以上のデータベースは、1つ以上のサーバから1つ以上の認証要求を受信してもよい。1つ以上のデータベースは、秘密鍵を介してチャレンジ応答を復号してもよい。
【0119】
ブロック630で、方法600は、1つ以上のリソースへのアクセスを提供することを含むことができる。例えば、1つ以上のリソースへのアクセスは、チャレンジレスポンスの認証に関連する結果の決定を条件とすることができる。このようにして、認証されたチャレンジ応答の決定に基づいて、1つ以上のリソースへのアクセスを拒否または許可することができる。いくつかの例では、カードリーダーは、物理空間などの1つ以上のリソースへのアクセスを提供してもよい。上で説明したように、カードリーダーはクライアントデバイスの内部にあってもよい。他の例では、カードリーダーは、第3のデバイスの一部など、クライアントデバイスの外部にあってもよい。たとえば、アクセスは、チャレンジ応答の認証に成功した後に提供されてもよい。いくつかの例では、カードリーダーは、カードリーダーに関連付けられたデバイスの通信フィールドへの通信インターフェースの1つ以上のエントリの後に、物理空間へのアクセスを提供してもよい。限定されないが、物理空間は、トークン検証の一部である1つ以上のエントリを介して、カードリーダーがアクセスを許可する建物、学校、店舗、企業、政府機関、部屋、エレベーター、廊下、ガレージなどの任意の空間を含むことができる。いくつかの例では、物理空間は、クラウドサーバ施設、政府施設、またはその他の安全な施設など、携帯電話機、タブレット、ラップトップ、ユニバーサルシリアルバスデバイスなどのモバイルデバイスが制限または禁止されている任意の空間または場所も含むことができる。いくつかの例では、物理空間は、文書、商品、および他の物品などのアイテムを保管する、倉庫、保管室、クローゼット、ロッカー、またはキャビネットなどの保管施設も含むことができる。いくつかの例では、物理空間は、実験室、生物材料保管庫、化学薬品保管庫、または工具や危険機器を含む部屋などの危険区域または危険物容器も含むことができる。
【0120】
いくつかの例では、カードリーダーは、デジタル体験へのアクセスを提供してもよい。上で説明したように、カードリーダーはクライアントデバイスの内部にあってもよい。他の例では、カードリーダーは、第3のデバイスの一部など、クライアントデバイスの外部にあってもよい。たとえば、アクセスは、チャレンジ応答の認証に成功した後に提供されてもよい。いくつかの例では、カードリーダーは、カードリーダーに関連付けられたデバイスの通信フィールドへの通信インターフェースの1つ以上の入力後に、デジタル体験へのアクセスを提供してもよい。限定されないが、デジタル体験は、任意のデバイス、仮想現実プログラム、モバイルまたはウェブブラウザ、電子メールクライアント、ゲームなどで実行する命令を含む任意のアプリケーションに関連付けることができる。
【0121】
いくつかの例では、カードリーダーは、チケット発行されたイベントへのアクセスを提供してもよい。上で説明したように、カードリーダーはクライアント デバイスの内部にあってもよい。他の例では、カードリーダーは、第3のデバイスの一部など、クライアントデバイスの外部にあってもよい。たとえば、アクセスは、チャレンジ応答の認証に成功した後に提供されてもよい。いくつかの例では、カードリーダーは、カードリーダーに関連付けられたデバイスの通信フィールドへの通信インターフェースの1つ以上の入力後に、チケット発行されたイベントへのアクセスを提供してもよい。限定されないが、チケット発行されたイベントは、学校イベント、スポーツイベント、コンサートイベント、プライベートイベント、政府イベント、音楽イベントなどに関連付けることができる。
【0122】
いくつかの例では、カードリーダーは貸金庫へのアクセスを提供してもよい。上述したように、カードリーダーはクライアントデバイスの内部にあってもよい。他の例では、カードリーダーは、第3のデバイスの一部など、クライアントデバイスの外部にあってもよい。たとえば、アクセスは、チャレンジ応答の認証に成功した後に提供されてもよい。いくつかの例では、カードリーダーは、カードリーダーに関連付けられたデバイスの通信フィールドへの通信インターフェースの1つ以上の入力後に貸金庫へのアクセスを提供してもよい。いくつかの例では、カードリーダーは貸金庫の外部にあってもよい。他の例では、カードリーダーは貸金庫の内部にあってもよい。いくつかの例では、貸金庫は、取り出し可能な1つ以上の品目へのアクセスに利用可能な、製品または食料品などの1つ以上の品目を保管する保管筐体を備え得る。
【0123】
さらに、本明細書で説明されるシステムおよび方法は、限定されないが、コンパクトディスク(CD)、デジタル多用途ディスク(DVD)、フロッピーディスク、ハードドライブ、読み取り専用メモリ(ROM)、ランダムアクセスメモリ(RAM)、およびデータを格納できるその他の物理メディアなどの、1つ以上の物理媒体で具体的に具体化され得ることに留意されたい。例えば、データ記憶装置は、データ、情報、およびコンピュータプログラム命令にアクセスして格納するランダムアクセスメモリ(RAM)および読み取り専用メモリ(ROM)を含み得る。データ記憶装置は、また、オペレーティングシステム、例えばWebブラウザアプリケーション、電子メールアプリケーションおよび/またはその他のアプリケーションを含むアプリケーションプログラム、および、データファイルを含むファイルが格納され得る記憶媒体または他の適切なタイプのメモリ(例えば、RAM、ROM、プログラマブル読み取り専用メモリ(PROM)、消去可能プログラマブル読み取り専用メモリ(EPROM)、電気的に消去可能なプログラマブル読み取り専用メモリ(EEPROM)、磁気ディスク、光ディスク、フロッピーディスク、ハードディスク、リムーバブルカートリッジ、フラッシュドライブ、あらゆる種類の有形および非一時的な記憶媒体)を含むことができる。ネットワーク使用可能コンピュータシステムのデータ記憶装置は、さまざまな方法で保存された電子情報、ファイル、文書を含むことができ、例えば、フラットファイル、インデックス付きファイル、階層型データベース、リレーショナルデータベース(例えば、Oracle(登録商標) Corporationのソフトウェア、Microsoft Excelファイル、Microsoft Accessファイル、ソリッドステートストレージデバイス(フラッシュアレイ、ハイブリッドアレイ、またはサーバ側製品を含む)、エンタープライズストレージ(オンラインまたはクラウドストレージを含む)、またはその他のストレージメカニズムを含むことができる。さらに、図は、さまざまな構成要素(例えば、サーバ、コンピュータ、プロセッサ等)を個別に示す。さまざまな構成要素で実行されと説明された機能は、他の構成要素で実行されてもよく、また、さまざまな構成要素は結合または分離されてもよい。他の変更も可能である。
【0124】
前述の明細書では、添付の図面を参照してさまざまな実施形態を説明した。しかしながら、特許請求の範囲に記載される本発明のより広い範囲から逸脱することなく、様々な修正および変更が可能であり、追加の実施形態が実施され得ることは明らかである。したがって、明細書および図面は、限定的な意味ではなく、例示的な意味としてみなされるべきである。
図1
図2A
図2B
図3
図4
図5
図6
【国際調査報告】
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.