IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > INTERNATIONAL BUSINESS MACHINES CORPORATION

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ インターナショナル・ビジネス・マシーンズ・コーポレーションの特許一覧

<>
  • 特表-接続回復力のある多要素認証 図1
  • 特表-接続回復力のある多要素認証 図2
  • 特表-接続回復力のある多要素認証 図3
  • 特表-接続回復力のある多要素認証 図4A
  • 特表-接続回復力のある多要素認証 図4B
  • 特表-接続回復力のある多要素認証 図4C
  • 特表-接続回復力のある多要素認証 図4D
  • 特表-接続回復力のある多要素認証 図4E
  • 特表-接続回復力のある多要素認証 図4F
  • 特表-接続回復力のある多要素認証 図4G
  • 特表-接続回復力のある多要素認証 図5
  • 特表-接続回復力のある多要素認証 図6
  • 特表-接続回復力のある多要素認証 図7
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-03-07
(54)【発明の名称】接続回復力のある多要素認証
(51)【国際特許分類】
   G06F 21/31 20130101AFI20240229BHJP
   G06F 21/60 20130101ALI20240229BHJP
【FI】
G06F21/31
G06F21/60 360
【審査請求】未請求
【予備審査請求】未請求
(21)【出願番号】P 2023556772
(86)(22)【出願日】2022-02-16
(85)【翻訳文提出日】2023-09-14
(86)【国際出願番号】 CN2022076483
(87)【国際公開番号】W WO2022206203
(87)【国際公開日】2022-10-06
(31)【優先権主張番号】17/214,817
(32)【優先日】2021-03-27
(33)【優先権主張国・地域又は機関】US
(81)【指定国・地域】
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.ブルートゥース
2.BLUETOOTH
3.ウィンドウズ
(71)【出願人】
【識別番号】390009531
【氏名又は名称】インターナショナル・ビジネス・マシーンズ・コーポレーション
【氏名又は名称原語表記】INTERNATIONAL BUSINESS MACHINES CORPORATION
【住所又は居所原語表記】New Orchard Road, Armonk, New York 10504, United States of America
(74)【代理人】
【識別番号】100112690
【弁理士】
【氏名又は名称】太佐 種一
(74)【代理人】
【識別番号】100120710
【弁理士】
【氏名又は名称】片岡 忠彦
(74)【復代理人】
【識別番号】100118599
【弁理士】
【氏名又は名称】村上 博司
(74)【復代理人】
【識別番号】100160738
【弁理士】
【氏名又は名称】加藤 由加里
(72)【発明者】
【氏名】ムーア,デビッド
(72)【発明者】
【氏名】ファレル,レオ マイケル
(72)【発明者】
【氏名】ナイ,フィリップ アラン ジョン
(57)【要約】
第1のオーセンティケータランダム値を含む第1のオーセンティケータペイロードが取得される。第1のオーセンティケータ暗号化ファイルが、クライアントオーセンティケータアプリケーションに関連付けられているオーセンティケータ公開鍵を用いて生成される。該第1のオーセンティケータ暗号化ファイルが、第1の暗号化アルゴリズムに基づいて生成される。該第1のオーセンティケータ暗号化ファイルは、該第1のオーセンティケータペイロードを含む。第1のターゲットランダム値を含む第1のターゲットペイロードが取得される。第1のターゲット暗号化ファイルが、該第1のオーセンティケータランダム値を用いて生成される。該第1のターゲット暗号化ファイルは、第2の暗号化アルゴリズムに基づいて生成される。該第1のターゲット暗号化ファイルは、該第1のターゲットペイロードを含む。
【選択図】図5
【特許請求の範囲】
【請求項1】
第1のオーセンティケータランダム値を含む第1のオーセンティケータペイロードを取得すること;
第1の暗号化アルゴリズムに基づいて及びオーセンティケータ公開鍵を用いて、第1のオーセンティケータ暗号化ファイルを生成すること、ここで、前記第1のオーセンティケータ暗号化ファイルは前記第1のオーセンティケータペイロードを含み、前記オーセンティケータ公開鍵はクライアントオーセンティケータアプリケーションに関連付けられている;
第1のターゲットランダム値を含む第1のターゲットペイロードを取得すること;並びに、
第2の暗号化アルゴリズムに基づいて及び前記第1のオーセンティケータランダム値を用いて、第1のターゲット暗号化ファイルを生成すること、ここで、前記第1のターゲット暗号化ファイルは前記第1のターゲットペイロードを含む、
を含む、方法。
【請求項2】
前記クライアントオーセンティケータアプリケーションとのオーセンティケータネットワーク接続を、認証サーバによって識別すること;
前記オーセンティケータネットワーク接続に応答して、前記第1のオーセンティケータ暗号化ファイルを前記クライアントオーセンティケータアプリケーションに、前記認証サーバによって送信すること;
ターゲットマシンとのターゲットネットワーク接続を、前記認証サーバによって識別すること;及び、
前記ターゲットネットワーク接続に応答して、前記第1のターゲット暗号化ファイルを前記ターゲットマシンに、前記認証サーバによって送信すること
を更に含む、請求項1に記載の方法。
【請求項3】
前記ターゲットネットワーク接続が、前記オーセンティケータネットワーク接続の前記識別することと同時に識別される、請求項2に記載の方法。
【請求項4】
ログイン要求を、前記ターゲットマシンによって受信すること、
ここで、前記ログイン要求は有効な識別子を含む;及び、
前記ログイン要求は有効なパスワードを含む;
ネットワーク障害を、前記ターゲットマシンによって決定すること、ここで、前記ネットワーク障害は、前記ターゲットマシンが前記認証サーバと通信することができないことを含む;並びに、
前記第1のターゲット暗号化ファイルの第1のコピーを前記クライアントオーセンティケータアプリケーションに、前記ターゲットマシンによって提供すること
を更に含む、請求項2に記載の方法。
【請求項5】
前記第1のターゲット暗号化ファイルが、ターゲットマシン公開鍵の第1のターゲットマシン公開鍵コピーを含み、前記第1のターゲット暗号化ファイルの前記第1のコピーを提供することが、
前記ターゲットマシン公開鍵の第2のターゲットマシン公開鍵コピーを前記クライアントオーセンティケータアプリケーションに、前記ターゲットマシンによって提供すること
を含み、
ここで、前記第1のターゲット暗号化ファイルの復号に応じて、前記クライアントオーセンティケータアプリケーションが、ターゲットマシン公開鍵の前記第1のターゲットマシン公開鍵コピーと前記ターゲットマシン公開鍵の第2のターゲットマシン公開鍵コピーとを比較するように構成されている、
請求項4に記載の方法。
【請求項6】
前記第1のターゲット暗号化ファイルの前記第1のコピーを、前記クライアントオーセンティケータアプリケーションによって受信すること;
オーセンティケータ秘密鍵に基づいて、第1のオーセンティケータ暗号化ファイルに対して第1の復号操作を、前記クライアントオーセンティケータアプリケーションによって実行すること、ここで、前記オーセンティケータ秘密鍵は前記オーセンティケータ公開鍵に対応する;
前記第1の復号操作に基づいて、前記第1のオーセンティケータランダム値を、前記クライアントオーセンティケータアプリケーションによって決定すること;
前記第1のオーセンティケータランダム値に基づいて、前記第1のターゲット暗号化ファイルの前記第1のコピーに対して第2の復号操作を、前記クライアントオーセンティケータアプリケーションによって実行すること;
前記第2の復号操作に基づいて、前記ターゲット暗号化ファイルの前記第1のコピーの前記第1のターゲットランダム値を、前記クライアントオーセンティケータアプリケーションによって決定すること;並びに、
前記第1のターゲット暗号化ファイルの前記第1のコピーの前記第1のオーセンティケータランダム値及び前記第1のターゲットランダム値を、前記クライアントオーセンティケータアプリケーションによって用意すること
を更に含む、請求項4に記載の方法。
【請求項7】
前記クライアントオーセンティケータアプリケーションが、情報をユーザに表示するように構成されたスクリーンを備えており、ここで、前記第1のオーセンティケータランダム値及び前記第1のターゲットランダム値を提供することが、
前記第1のオーセンティケータランダム値及び前記第1のターゲットランダム値を、前記スクリーンによって表示すること
を含む、
請求項6に記載の方法。
【請求項8】
前記第1のターゲット暗号化ファイルの前記第1のコピーの前記第1のオーセンティケータランダム値及び前記第1のターゲットランダム値を前記クライアントオーセンティケータアプリケーションから、前記ターゲットマシンによって受信すること;
前記第1のオーセンティケータランダム値に基づいて、前記第1のターゲット暗号化ファイルに対して第3の復号操作を、前記ターゲットマシンによって実行すること;
前記第3の復号操作に基づいて、前記第1のターゲット暗号化ファイルの前記第1のターゲットランダム値を、前記ターゲットマシンによって決定すること;並びに、
前記第1のターゲット暗号化ファイルの前記第1のターゲットランダム値と前記第1のターゲット暗号化ファイルの前記第1のコピーの前記第1のターゲットランダム値とを比較することによって、前記ターゲットマシンによって検証操作を実行すること
を更に含む、請求項6に記載の方法。
【請求項9】
前記検証操作が、前記第1のターゲット暗号化ファイルの前記第1のターゲットランダム値が前記第1のターゲット暗号化ファイルの前記第1のコピーの第1のターゲットランダム値と一致することを判定することを含み、前記方法が、
前記ログイン要求に基づいて及び前記検証操作に基づいて、前記ターゲットマシンを、前記ターゲットマシンによってロック解除すること
を含む、
請求項8に記載の方法。
【請求項10】
前記第1のターゲット暗号化ファイルが第1の有効期限値を含み、及び前記検証操作が、
前記第1の有効期限値に基づいて、前記第1のターゲット暗号化ファイルの有効期限ステータスを、前記ターゲットマシンによって決定すること
を含む、
請求項8に記載の方法。
【請求項11】
前記第1の有効期限値が、前記第1のターゲットペイロードの一部であり、及び前記第1のターゲット暗号化ファイルの前記有効期限ステータスを決定することが、前記第3の復号操作の後に生じる、請求項9に記載の方法。
【請求項12】
前記第1の暗号化アルゴリズムが、前記第2の暗号化アルゴリズムと同じである、請求項1に記載の方法。
【請求項13】
前記第1のオーセンティケータペイロードを取得することが、オンラインの多要素認証の為の要求をターゲットマシンから受信することに応答する、請求項1に記載の方法。
【請求項14】
前記第1のオーセンティケータ暗号化ファイルを前記クライアントオーセンティケータアプリケーションに、認証サーバによって通知することを更に含む、請求項13に記載の方法。
【請求項15】
第2のオーセンティケータランダム値を含む第2のオーセンティケータペイロードを取得すること;
前記第2の暗号化アルゴリズムに基づいて及び前記オーセンティケータ公開鍵を用いて、第2のオーセンティケータ暗号化ファイルを生成すること、ここで、前記第2のオーセンティケータ暗号化ファイルは、前記第2のオーセンティケータペイロードを含む;
第2のターゲットランダム値を含む第2のターゲットペイロードを取得すること;並びに、
前記第2の暗号化アルゴリズムに基づいて及び前記第2のオーセンティケータランダム値を用いて、第2のターゲット暗号化ファイルを生成すること、ここで、前記第2のターゲット暗号化ファイルが前記第2のターゲットペイロードを含む、
を更に含む、請求項1に記載の方法。
【請求項16】
前記クライアントオーセンティケータアプリケーションとのオーセンティケータネットワーク接続を、前記認証サーバによって識別すること;
前記オーセンティケータネットワーク接続に応答して、前記第1のオーセンティケータ暗号化ファイル及び前記第2のオーセンティケータ暗号化ファイルを前記クライアントオーセンティケータアプリケーションに、前記認証サーバによって送信すること;
ターゲットマシンとのターゲットネットワーク接続を、前記認証サーバによって識別すること;並びに、
前記ターゲットネットワーク接続に応答して、前記第1のターゲット暗号化ファイル及び前記第2のターゲット暗号化ファイルを前記ターゲットマシンに、前記認証サーバによって送信すること
を更に含む、請求項15に記載の方法。
【請求項17】
システムであって、該システムが、
1以上の命令を含むメモリ;及び、
前記メモリに通信可能に接続されたプロセッサ
を備えており、該プロセッサは、前記1以上の命令を読み込むことに応答して、
第1のオーセンティケータランダム値を含む第1のオーセンティケータペイロードを取得し;
第1の暗号化アルゴリズムに基づいて及びオーセンティケータ公開鍵を用いて、第1のオーセンティケータ暗号化ファイルを生成し、ここで、前記第1のオーセンティケータ暗号化ファイルは前記第1のオーセンティケータペイロードを含み、前記オーセンティケータ公開鍵はクライアントオーセンティケータアプリケーションに関連付けられている;
第1のターゲットランダム値を含む第1のターゲットペイロードを取得し;並びに、
第2の暗号化アルゴリズムに基づいて及び前記第1のオーセンティケータランダム値を用いて、第1のターゲット暗号化ファイルを生成する、ここで、前記第1のターゲット暗号化ファイルは前記第1のターゲットペイロードを含む、
ように構成されている、
前記システム。
【請求項18】
前記第1のオーセンティケータペイロードを取得することが、オンラインの多要素認証の為の要求をターゲットマシンから受信することに応答する、請求項17に記載のシステム。
【請求項19】
コンピュータプログラム製品であって、該コンピュータプログラム製品が、
1以上のコンピュータ可読ストレージ媒体;及び、
前記1以上のコンピュータ可読ストレージ媒体上に集合的に記憶されたプログラム命令
を備えており、該プログラム命令が、
第1のオーセンティケータランダム値を含む第1のオーセンティケータペイロードを取得し;
第1の暗号化アルゴリズムに基づいて及びオーセンティケータ公開鍵を用いて、第1のオーセンティケータ暗号化ファイルを生成し、ここで、前記第1のオーセンティケータ暗号化ファイルは前記第1のオーセンティケータペイロードを含み、前記オーセンティケータ公開鍵はクライアントオーセンティケータアプリケーションに関連付けられている;
第1のターゲットランダム値を含む第1のターゲットペイロードを取得し;並びに、
第2の暗号化アルゴリズムに基づいて及び前記第1のオーセンティケータランダム値を用いて、第1のターゲット暗号化ファイルを生成する、ここで、前記第1のターゲット暗号化ファイルは前記第1のターゲットペイロードを含む、
ように構成されている、
前記コンピュータプログラム製品。
【請求項20】
前記第1のオーセンティケータペイロードを取得することが、オンラインの多要素認証の為の要求をターゲットマシンから受信することに応答する、請求項19に記載のコンピュータプログラム製品。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、データセキュリティに関し、より具体的には、ネットワーク可用性が変動する間のターゲットマシンの認証に関する。
【背景技術】
【0002】
ログイン資格証明書(login credential)を提供することを通じてコンピュータシステムを認証することは、該コンピュータシステムのセキュリティを提供する為の1つの方法でありうる。ログイン資格証明書は、コンピュータシステムのセキュリティを高める為に、追加の要素と組み合わせられうる。該追加の要素は、成功の為に、ネットワーク可用性に依存しうる。
【発明の概要】
【課題を解決するための手段】
【0003】
本発明の実施態様に従うと、方法、システム及びコンピュータプログラム製品が開示される。
【0004】
第1のオーセンティケータランダム値(authenticator random value)を含む第1のオーセンティケータペイロード(authenticator payload)が取得される。第1のオーセンティケータ暗号化ファイル(authenticator encrypted file)が、クライアントオーセンティケータアプリケーション(client authenticator application)に関連付けられているオーセンティケータ公開鍵(authenticator public key)を用いて生成される。該第1のオーセンティケータ暗号化ファイルが、第1の暗号化アルゴリズムに基づいて生成される。該第1のオーセンティケータ暗号化ファイルは、該第1のオーセンティケータペイロードを含む。第1のターゲットランダム値を含む第1のターゲットペイロード(target payload)が取得される。第1のターゲット暗号化ファイル(target encrypted file)が、該第1のオーセンティケータランダム値を用いて生成される。該第1のターゲット暗号化ファイルは、第2の暗号化アルゴリズムに基づいて生成される。該第1のターゲット暗号化ファイルは、該第1のターゲットペイロードを含む。
【0005】
上記の概要は、例示された各実施態様又は本開示の全ての実装を説明することが意図されていない。
【0006】
本願に含まれている図面は、本明細書内に組み込まれ、そして、本明細書の一部を構成する。該図面は、本開示の実施態様を例示し、並びに説明とともに、本開示の原理を説明する為に役立つ。該図面は、或る実施態様を例示するに過ぎず、本開示を限定するものでない。
【図面の簡単な説明】
【0007】
図1図1は、本開示の幾つかの実施態様に従う、使用されうる例示的なコンピュータシステムの代表的な主要コンポーネントを図示する。
図2図2は、本発明の実施態様に従うクラウドコンピューティング環境を図示する。
図3図3は、本発明の1つの実施態様に従う抽象化モデル層を図示する。
図4A図4Aは、本開示の幾つかの実施態様と一致する、ネットワーク可用性が変動する間に多要素認証を実行するように構成された例示的なシステムを図示する。
図4B図4Bは、本開示の幾つかの実施態様と一致する、ネットワーク可用性以外の多要素認証を実行する例示的なシステムを図示する。
図4C図4Cは、本開示の幾つかの実施態様と一致する、ネットワーク可用性以外の多要素認証を実行する例示的なシステムを図示する。
図4D図4Dは、本開示の幾つかの実施態様と一致する、ネットワーク可用性以外の多要素認証を実行する例示的なシステムを図示する。
図4E図4Eは、本開示の幾つかの実施態様と一致する、ネットワーク可用性以外の多要素認証を実行する例示的なシステムを図示する。
図4F図4Fは、本開示の幾つかの実施態様と一致する、ネットワーク可用性以外の多要素認証を実行する例示的なシステムを図示する。
図4G図4Gは、本開示の幾つかの実施態様と一致する、ネットワーク可用性以外の多要素認証を実行する例示的なシステムを図示する。
図5図5は、本開示の幾つかの実施態様と一致する、認証サーバ(authentication server)による多要素認証の例示的な方法を図示する。
図6図6は、本開示の幾つかの実施態様と一致する、ターゲットマシンによる多要素認証の例示的な方法を図示する。
図7図7は、本開示の幾つかの実施態様と一致する、認証アプリケーション(authentication application)による多要素認証の例示的な方法を図示する。
【発明を実施するための形態】
【0008】
本発明は、様々な変更及び代替的な形態に変更することができるが、それらの具体的な内容は、図面において例として示されており、並びに詳細に記載されるであろう。しかしながら、その意図は、本発明を記載された特定の実施態様に限定することでないことが理解されるべきである。寧ろ、その意図は、本発明の範囲内に入る全ての変更、等価物、及び代替物を網羅することである。
【0009】
本開示の観点は、データセキュリティに関し、より特定の観点は、ネットワーク可用性が変動する間のターゲットマシンの認証に関する。本開示は必ずしもそのような用途に限定されるものでないが、本開示の様々な観点は、この文脈を用いた様々な例の議論を通じて理解されうる。
【0010】
現代のコンピュータシステムは、データの作成、消費、記憶及び共有の目的の為のツールとして、ますます普及している。例えば、個人は、コンピュータシステムによって保存され、共有され、又はその他の方法でアクセスされるデータ(例えば、銀行口座情報、プライベートな会話、医療情報)を有する場合がある。別の例において、組織体(例えば、金融機関、病院、政府機関)は、データを生成し、収集し、記憶し、又は安全保護することに責任を負う場合がある。様々な個人の生活は、適切なデータセキュリティに依存する場合がある。例えば、データが秘密にされなくなり、又は他の方法で適切に保護されない場合、組織体又は個人は大きな金銭的又はその他の損失を被る場合がある。
【0011】
コンピュータシステムがデータセキュリティを実行しようとする方法の1つは、単一要素認証(single-factor authentication)である。例えば、オペレーティングシステム(例えば、macOS登録商標、Unix登録商標、Windows登録商標)は、特定のスキーム、チャレンジ、又はコンピュータ操作の1組を制定して、単一要素認証を実行しうる。そのようなコンピュータ操作において、エンティティ(例えば、クライアントデバイス、ユーザコンピュータ、ユーザ)には、アイデンティティ(identity)の為の要求と、そのアイデンティティを検証する為の第1の要素の為の要求とが提示されうる。該アイデンティティは、ユーザに関連付けられたユーザ名又はシリアル番号であってもよい。該第1の要素は、該エンティティによって知られている情報の一部、例えば、パスワード又はパスフレーズ(passphrase)、でありうる。別の第1の要素は、該エンティティそれ自体を説明する情報又は該エンティティに関連する情報の一部、例えば、生体データ(例えば、ユーザの指紋、ユーザの3次元モデル)又は機械データ(例えば、コンピュータシステムのシリアル番号、コンピュータシステムにインストールされているメモリの量)、であってもよい。
【0012】
セキュリティを高める為に、コンピュータは多要素認証(MFA:multi-factor authentication)を利用しうる。MFAは、第2の要素又は追加の要素、情報、又は課題を要求することを含みうる。MFAの追加要素は、全ての要素が提供された場合(例えば、ユーザ名、パスワード、及び第2の要素を一緒に提供する)にのみコンピュータシステムが応答する点でセキュリティを高めうる。MFAは、追加要素を別のデバイス上に記憶させることによって改善されうる。例えば、MFAによって保護されたコンピュータシステム(以下、「ターゲットマシン」)は、第2のクライアントデバイス(second client device)(例えば、ユーザのスマートフォン)によって記憶され又は提供される要素を要求しうる。第2の要素のこれらのデバイスは、「オーセンティケータ」(authenticator)と名付けられうる。MFAの様々な例は、時間ベースのワンタイムパスワード(TOTP:time-based one-time password)及びプッシュ認証(push authentication)を包含する。
【0013】
多くのMFA構成において、様々な要素が、アクセスされるデバイス(以下、「ターゲットマシン」)(例えば、ユーザがログインしようとするコンピュータ)と第2のMFAデバイスとのうちの一方又は両方によって実行されてもよく、ここで、該ターゲットマシン及び該第2のMFAデバイスの各々が、第3の外部検証サービス(external verification service)、例えば、中央又は遠隔の認証/検証サーバ(以下、「認証サーバ」(authentication server))、と連携しうる。ほとんどのMFA構成において、セキュリティ慣行は、ターゲットマシンがネットワーク通信(例えば、認証サーバ)を介して信頼できる外部認証サービス(trusted external authentication service)からそのMFA検証結果を取得することを優先しうる。詳細には、ユーザは、他のコンピュータ(例えば、インターネット)とのネットワーク接続上にあるターゲットマシンにログインしようとする。該ユーザは、ユーザ名及びパスワードを該ターゲットマシンに提供する。該ターゲットマシンは、外部マシン、例えば認証サーバ、と通信する為に、デプロイされた認証モジュール又はライブラリのスィート(suite)(例えば、ウィンドウズ・クレデンシャル・プロバイダ(Windows Credential Provider)、Unixプラグ可能な認証モジュール(Unix Pluggable Authentication Modules))を含むことができる。いくらか同時期に、ユーザのセカンダリコンピュータ(secondary computer)(例えば、スマートフォン、パーソナルラップトップ)には第2の要素が提供され、及び該ターゲットマシンにはまた該ネットワーク接続を通じて該第2の要素が提供される。該ユーザは、該セカンダリコンピュータから受け取った該第2の要素をターゲットマシンに提供してもよい。該ターゲットマシンは、該第1の要素と該第2の要素とを用いてアイデンティティを検証しうる。
【0014】
多くのMFA技術は幾つかの欠点を有する。欠点の1つは、オンライン接続の必要性でありうる。具体的には、幾つかのMFA操作は、ネットワーク接続に依存している。これらのオンラインベースのMFA技術は、オンライン接続の時間中に適切に動作しうる。しかしながら、オンラインベースのMFAは、ターゲットマシンと認証サーバとの間の接続が利用できない期間中には完了することができない。更に、オンラインベースのMFAの為のフォールバック動作がまた、理想的でない場合がある。フォールバックの1つは、該ターゲットマシンへのアクセス拒否を含む。該ターゲットマシンへのアクセスを拒否する方がより安全かもしれないが、それは現実的でなくなったり、又は許容できない技術的なハードルが生じたりする可能性がある。例えば、ダウンタイム中又は保守点検中、何らかの管理を実行する為にターゲットマシンがアクセスされる必要がある場合がある。このダウンタイムがネットワークの利用不能と重なる場合に、該ターゲットマシンにアクセスしたり又はログインしたりすることができなくなる場合がある。別のフォールバックには、ネットワーク停止の間又はダウンタイムの間に、MFA操作をスキップし、そしてアクセスを許可する場合がある。このことは、セキュリティ上の問題となり、第三者によるセキュリティの回避に使用される場合があるという問題がある。例えば、悪意のあるユーザは、ターゲットマシンがネットワーク接続にアクセスできないようにして、該ターゲットマシンにMFA操作をスキップさせ、そして、単一の要素に基づいてアクセスを許可させうる。
【0015】
他の欠点は、MFAチェーン(MFA chain)内のいずれかのデバイスが侵害された場合に、共有された秘密に潜在的にアクセス可能であることである。具体的には、TOTP MFAは、最初は静的である第2の要素を共有することによって動作する場合がある。例えば、特定の静的値が、認証サーバ、ターゲットマシン、若しくはMFAの為に使用されるセカンダリコンピュータ又はそれらの組み合わせの間で共有される。次に、該静的値は、全てのデバイス間で値が定期的に(例えば、30秒毎に)変化するように、時間ベースのアルゴリズムに配置される。TOTPに参加する各デバイスは、初期の該静的値、並びに予め定義された定期的な間隔で該静的値を更新する為のアルゴリズムを必要とする。1つのデバイスが侵害された場合に、その第2の要素(すなわち、該静的値及びTOTPアルゴリズム)は、第三者によって取得される場合がある。次に、該第2の要素を入手した第三者は、TOTP MFAのセカンダリコンピュータになりすまし、ターゲットマシンにアクセスしうる。
【0016】
接続回復力のある多要素認証(CRMFA:Connection resilient multi-factor authentication)は、他のセキュリティ技術を緩めるように動作する場合がある。CRMFAは、認証サーバ、ターゲットマシン、及びセカンダリコンピュータ上で動作するオーセンティケータアプリケーション(以下、「オーセンティケータアプリ」(authenticator app))の間でMFAスキームを実施しうる。CRMFAは、ネットワークが不安定な間又はネットワークが停止の間においてでさえも、サーバ、ターゲットマシン、オーセンティケータアプリの間のMFAの安全性若しくはアクセス問題又はそれらの組み合わせを緩めうる。CRMFAは、様々なMFAデバイスのペアリング(例えば、暗号化ペアリング)を活用しうる。該MFAデバイスは、該ターゲットマシン、該認証サーバ、及び該オーセンティケータアプリを備えていてもよい。CRMFAを活用する該MFAデバイスは、TOTP操作に対する利点、例えば、共有秘密(shared secret)を共有しない、を有しうる。秘密を共有しないことによって、該MFAデバイスのうちの1つが侵害されるか、又は悪意のあるエンティティによって他の方法でアクセスされた場合であっても、CRMFAは安全でありうる。
【0017】
CRMFAは、オンライン接続中(例えば、ネットワーク接続中、オンラインMFA中)に、認証サーバから他のMFAデバイスに暗号化された値を共有することによって動作してもよい。該暗号化された値は、他のMFAデバイスの各々についての異なる暗号化された値であってもよい。具体的には、該ターゲットマシンは、ターゲットランダム値を含む1以上のターゲット暗号化ファイルを受信してもよい。該ターゲットマシンは、該暗号化ファイルを初期に復号できない場合がある。例えば、該ターゲットマシンは、該ターゲット暗号化ファイルを受信し、そして記憶しうるが、単独において、該ターゲットランダム値を取得し、復号し、又は他の方法でアクセスすることができない場合がある。該オーセンティケータアプリは場合によっては、別のコンピューティングデバイス上で実行され、オーセンティケータランダム値を含む1以上のオーセンティケータ暗号化ファイルを受信しうる。該オーセンティケータ暗号化ファイルは、該オーセンティケータアプリによってアクセス可能でありうる。例えば、(公開鍵/秘密鍵ペアの一部である)公開鍵は、例えば登録セレモニー(registration ceremony)の間、該オーセンティケータアプリによって中央オーセンティケータサービス(central authentication service)に与えられる。該中央オーセンティケータサービスは、該オーセンティケータ暗号化ファイルを該公開鍵で暗号化しうる。該オーセンティケータアプリは、該オーセンティケータ暗号化ファイルを該秘密鍵で復号して、オーセンティケータランダム値を取得しうる。次に、該オーセンティケータアプリは、該ターゲット暗号化ファイルをロック解除する為の鍵であるオーセンティケータランダム値を保有しうる。その結果、ターゲットマシンは、復号の為に該ターゲット暗号化ファイルを該オーセンティケータアプリに提供することによって、該ターゲット暗号化ファイルのコンテンツをCRMFAの一部として検証することしかできない場合がある。
【0018】
CRMFAはまた、オフライン攻撃に対して回復力がある場合がある。具体的には、該認証サーバは、ランダム値を含む限られた数の暗号化ファイルのみを他のMFAデバイスの各々に提供しうる。例えば、該オーセンティケータアプリ及び該ターゲットマシンは、暗号化ファイル、所与のオーセンティケータ暗号化ファイル及び所与のターゲット暗号化ファイルを、1回だけ使用するように構成されていてもよい。一回の試みの後、該オーセンティケータアプリ若しくはターゲットマシン又はそれらの組み合わせは、暗号化ファイルを削除するように構成されていてもよく、従って、オフラインでMFAを実行する今後の試みが不可能である場合がある。CRMFAはまた、自己期限切れ(self-expirable)になるように構成されていてもよく、従って、各暗号化ファイルがまたCRMFAの一部として期限切れになる。具体的には、各ターゲット暗号化ファイル及びオーセンティケータ暗号化ファイルは、有効期限値(expiration value)を含んでいてもよく、並びに、該ターゲットマシン若しくはオーセンティケータアプリ又はそれらの組み合わせは、有効期限がまだ切れていないランダム値に基づいて動作するようにのみ構成されていてもよい。暗号化ファイルが期限切れである場合、オーセンティケータアプリ若しくはターゲットマシン又はそれらの組み合わせは、該暗号化ファイルに関連付けられた全てのデータを無効化若しくは削除又は無効化且つ削除するように構成されていてもよい。その後、中央認証サーバに対するネットワーク可用性が回復したときに、CRMFAは、(例えば、別のネットワーク停止又は使用不能が発生する前に)積極的に暗号化ファイルの新しい1組を生成しうる。
【0019】
図1は、本開示の幾つかの実施態様に従う、使用されうる例示的なコンピュータシステム100(代替的に、コンピュータ)の代表的な主要コンポーネントを図示する。個々のコンポーネントは、複雑さ、数、タイプ若しくは構成又はそれらの組み合わせにおいて変化しうることが理解される。開示された特定の例は、例示のみを目的とするものであり、必ずしも唯一のそのような変形例でない。コンピュータシステム100は、プロセッサ110、メモリ120、入力/出力インタフェース(本明細書において、I/O又はI/Oインタフェース)130、メインバス140を備えていてもよい。メインバス140は、コンピュータシステム100の他のコンポーネントの為の通信経路を提供しうる。幾つかの実施態様において、メインバス140は、他のコンポーネント、例えば、コンポーネント専用のデジタル信号プロセッサ(図示されていない)、に接続しうる。
【0020】
コンピュータシステム100のプロセッサ110は、1以上のコア112A、112B、112C、112D(総称して、コア112)で構成されていてもよい。プロセッサ110は、コア112の為の命令及びデータの一時的な記憶を提供する1以上のメモリバッファ又はキャッシュ(図示されていない)を更に備えていてもよい。コア112は、キャッシュから又はメモリ120から提供される入力に対して命令を実行し、そして、その結果をキャッシュ又はメモリに出力しうる。コア112は、本開示の実施態様と一致する1以上の方法を実行するように構成された1以上の回路で構成されていてもよい。幾つかの実施態様において、コンピュータシステム100は、複数のプロセッサ110を備えていてもよい。幾つかの実施態様において、コンピュータシステム100は、単一のコア112を有する単一のプロセッサ110であってもよい。
【0021】
コンピュータシステム100のメモリ120は、メモリコントローラ122を備えていてもよい。幾つかの実施態様において、メモリ120は、データ及びプログラムを記憶する為のランダムアクセス半導体メモリ、記憶装置、又は記憶媒体(揮発性又は不揮発性のいずれか)を包含しうる。幾つかの実施態様において、該メモリは、モジュール(例えば、デュアルインラインメモリモジュール)の態様であってもよい。メモリコントローラ122は、プロセッサ110と通信して、メモリ120における情報の記憶及び取り出しを容易にしうる。メモリコントローラ122は、I/Oインタフェース130と通信し、メモリ120における入力又は出力の記憶及び取り出しを容易にしうる。
【0022】
I/Oインタフェース130は、I/Oバス150、端末インタフェース152、ストレージインタフェース154、I/Oデバイスインタフェース156、及びネットワークインタフェース158を備えていてもよい。I/Oインタフェース130は、メインバス140をI/Oバス150に接続しうる。I/Oインタフェース130は、プロセッサ110及びメモリ120からの命令及びデータを、I/Oバス150の様々なインタフェースに指示しうる。I/Oインタフェース130はまた、I/Oバス150の各種インタフェースからの命令及びデータを、プロセッサ110及びメモリ120に指示しうる。該様々なインタフェースは、端末インタフェース152、ストレージインタフェース154、I/Oデバイスインタフェース156、及びネットワークインタフェース158を包含しうる。幾つかの実施態様において、該様々なインタフェースは、前述されたインタフェースのサブセットを備えうる(例えば、産業用途における組み込みコンピュータシステムは、端末インタフェース152及びストレージインタフェース154を備えていなくてもよい)。
【0023】
コンピュータシステム100全体の論理モジュール(メモリ120、プロセッサ110、及びI/Oインタフェース130を包含するが、これらに限定されない)は、1以上のコンポーネントに対する障害及び変更をハイパーバイザ又はオペレーティングシステム(図示されていない)に伝達しうる。該ハイパーバイザ又は該オペレーティングシステムは、コンピュータシステム100において利用可能な様々なリソースを割り当て、そして、メモリ120内のデータの位置及び様々なコア112に割り当てられたプロセスの位置を追跡しうる。要素を組み合わせたり又は再配置したりする実施態様において、該論理モジュールの観点及び能力が組み合わされたり又は再分配されたりしてもよい。これらの変形は、当業者に明らかであろう。
【0024】
本開示はクラウドコンピューティングに関する詳細な説明を含むが、本明細書に列挙される教示の実装はクラウドコンピューティング環境に限定されないことが理解されるべきである。寧ろ、本発明の実施態様は、現在知られている又は後に開発される任意の他のタイプのコンピューティング環境と組み合わされて実装されることができる。
【0025】
クラウドコンピューティングは、最小限の管理労力又はサービスのプロバイダとの相互作用で迅速にプロビジョニングされ且つ解放されることができる構成可能なコンピューティングリソース(例えば、ネットワーク、ネットワーク帯域幅、サーバ、処理(processing)、メモリ、ストレージ、アプリケーション、仮想マシン、及びサービス)の共有プールへの便利なオンデマンドネットワークアクセスを可能にする為のサービス提供のモデルである。このクラウドモデルは、少なくとも5つの特徴、少なくとも3つのサービスモデル、及び少なくとも4つのデプロイメントモデル(deployment model)を含みうる。
【0026】
特徴は下記の通りである。
【0027】
オンデマンドセルフサービス(On-demand self-service):クラウドコンシューマ(cloud consumer)は、サービスのプロバイダとのヒューマンインターラクション(human interaction)を必要とせずに、必要に応じて、コンピューティング機能、例えばサーバ時間及びネットワークストレージ、を一方的にプロビジョニングすることができる。
【0028】
ブロードネットワークアクセス:機能は、ネットワークを介して利用可能であり、及び異種のシン(thin)クライアント・プラットフォーム又はシック(thick)クライアント・プラットフォーム(例えば、携帯電話、ラップトップ、及びPDA)による使用を促進する標準的なメカニズムを介してアクセスされる。
【0029】
リソースのプーリング:プロバイダのコンピューティングリソースは、マルチテナントモデルを使用して複数のコンシューマにサービスを提供する為にプールされ、及び様々な物理リソースと仮想リソースが需要に従って動的に割り当てられ及び再割り当てされる。コンシューマは一般的に、提供されたリソースの正確な場所についての制御又は知識を有していないが、より高いレベルの抽象化での場所(例えば、国、州又はデータセンター)を特定できうるという点で、場所に依存しないといえる。
【0030】
迅速な順応性:機能は、迅速且つ弾力的にプロビジョニングされ、場合によっては自動的に、迅速にスケールアウトされ、迅速にリリースされて迅速にスケールインされうる。コンシューマにとって、プロビジョニングに利用可能な機能はしばしば、無制限であり及びいつでも任意の量で購入されることができる。
【0031】
測定されたサービス:クラウド・システムは、サービスのタイプ(例えば、ストレージ、処理、帯域幅、及びアクティブなユーザアカウント)に適した何らかの抽象化レベルでの計量機能を用いることによって、リソースの使用を自動的に制御し及び最適化する。リソース使用は監視され、制御され、及び報告され、利用されるサービスのプロバイダ及びコンシューマの両方についての透明性を提供することができる。
【0032】
サービスモデルは下記の通りである。
【0033】
サービスとしてのソフトウェア(SaaS:Software as a Service):クラウドインフラストラクチャにおいて実行しているプロバイダのアプリケーションを使用する為に、コンシューマに提供される機能である。該アプリケーションは、シン・クライアント・インタフェース、例えばウェブブラウザ(例えば、ウェブ・ベースの電子メール)、を通じて、様々なクライアントデバイスからアクセス可能である。該コンシューマは、制限されたユーザ固有のアプリケーション構成設定のありうる例外として、基礎をなすクラウドインフラストラクチャ、例えば、ネットワーク、サーバ、オペレーティングシステム、ストレージ、又は個々のアプリケーション機能さえも包含する基礎をなすクラウドインフラストラクチャ、を管理又は制御しない。
【0034】
サービスとしてのプラットフォーム(PaaS:Platform as a Service):プロバイダによってサポートされるプログラミング言語及びツールを用いて生成された、コンシューマが生成した又は取得したアプリケーションを、クラウドインフラストラクチャ上にデプロイする為に、該コンシューマに提供される機能である。該コンシューマは、基礎をなすクラウドインフラストラクチャ、例えば、ネットワーク、サーバ、オペレーティングシステム、又はストレージを包含する基礎をなすクラウドインフラストラクチャ、を管理又は制御しないが、デプロイされたアプリケーション、及び場合によってはアプリケーション・ホスティング環境構成に対して制御を有する。
【0035】
サービスとしてのインフラストラクチャ(IaaS:Infrastructure as a Service):コンシューマが、オペレーティングシステム及びアプリケーションを含むことができる任意のソフトウェアをデプロイ及び実行することができる、処理、ストレージ、ネットワーク、及び他の基本的なコンピューティングリソースをプロビジョニングする為に、該コンシューマに提供される機能である。該コンシューマは、基礎をなすクラウドインフラストラクチャを管理又は制御しないが、オペレーティングシステム、ストレージ、デプロイされたアプリケーションに対する制御、及び場合によっては、ネットワーク・コンポーネント(例えば、ホストのファイアウォール)を選択することの制限された制御を有する。
【0036】
デプロイメントモデル(Deployment Models)は下記の通りである。
【0037】
プライベートクラウド:クラウドインフラストラクチャは、ある組織の為のみに運営される。該クラウドインフラストラクチャは、該組織又は第三者によって管理され得、及びオンプレミス(on-premises)又はオフプレミス(off-premises)に存在しうる。
【0038】
コミュニティクラウド:クラウドインフラストラクチャは、幾つかの組織によって共有され、及び共通の関心事項(例えば、ミッション、セキュリティ要件、ポリシー、及びコンプライアンス考慮事項)を有する特定のコミュニティをサポートする。該クラウドインフラストラクチャは、該組織又は第三者によって管理され得、及びオンプレミス又はオフプレミスに存在しうる。
【0039】
パブリッククラウド:クラウドインフラストラクチャは、一般公衆又は大規模な業界グループに対して利用可能であり、及びクラウドサービスを販売する組織によって所有される。
【0040】
ハイブリッドクラウド:クラウドインフラストラクチャは、固有のエンティティのままであるが、データ及びアプリケーションの移行性を可能にする標準化された又は専用の技術(例えば、クラウド間の負荷分散の為のクラウド・バースティング)によって一緒にされる2以上のクラウド(プライベート、コミュニティ、又はパブリック)の混成物である。
【0041】
クラウドコンピューティング環境は、無国籍性(statelessness)、低結合性、モジュール性、及びセマンティック相互運用性(semantic interoperability)に焦点を有する指向されたサービスである。クラウドコンピューティングの中核(heart)は、相互接続されたノードのネットワークを含むインフラストラクチャである。
【0042】
ここで図2を参照すると、例示的なクラウドコンピューティング環境50が図示されている。図示されている通り、クラウドコンピューティング環境50は、1以上のクラウドコンピューティングノード10を備えており、クラウドコンシューマによって使用されるローカルコンピューティング装置、例えば、パーソナルデジタルアシスタント(PDA:personal digital assistant)又は携帯電話54A、デスクトップコンピュータ54B、ラップトップコンピュータ54C若しくは自動車用コンピュータシステム54N又はそれらの組み合わせ、が通信しうる。ノード10は互いに通信しうる。該ノード10は、物理的又は仮想的に、1以上のネットワーク、例えば本明細書において前述されているプライベートクラウド、コミュニティクラウド、パブリッククラウド若しくはハイブリッドクラウド又はそれらの組み合わせ、にグループ化されうる(図示せず)。
【0043】
このことは、クラウドコンシューマがローカルコンピューティング装置においてリソースを維持する必要がないサービスとして、インフラストラクチャ、プラットフォーム若しくはソフトウェア又はそれらの組み合わせをクラウドコンピューティング環境50が提供することを可能にする。図2に示されているコンピューティング装置54A~54Nのタイプは、例示のみであることが意図されていること、並びにクラウドコンピューティングノード10及びクラウドコンピューティング環境50は、任意のタイプのネットワーク若しくはネットワークアドレス可能接続又はそれらの組み合わせを介して(例えば、ウェブブラウザを使用して)任意のタイプのコンピュータ化された装置と通信することができることが理解される。
【0044】
ここで図3を参照すると、クラウドコンピューティング環境50(図2)によって提供される機能的抽象化層の1組が示されている。図3に示されているコンポーネント、層及び機能は、単に例示であることが意図されていること、並びに本開示の実施態様はそれらに限定されないことが理解されるべきである。図示されている通り、下記の複数の層及び対応する複数の機能が提供される。
【0045】
ハードウェア及びソフトウェア層60は、ハードウェアコンポーネント及びソフトウェアコンポーネントを包含する。ハードウェアコンポーネントの例は、メインフレーム61、RISC(Reduced Instruction Set Computer(縮小命令セット・コンピュータ))アーキテクチャ・ベースのサーバ62;サーバ63;ブレード・サーバ64;ストレージデバイス65;並びに、ネットワーク及びネットワーキング・コンポーネント66を包含する。幾つかの実施態様において、ソフトウェアコンポーネントは、ネットワーク・アプリケーション・サーバ・ソフトウェア67及びデータベース・ソフトウェア68を包含する。
【0046】
仮想化層70は、抽象化層を提供し、この抽象化層から、仮想エンティティの下記の例が提供されうる:すなわち、仮想サーバ71;仮想ストレージ72;仮想ネットワーク73、例えば仮想プライベートネットワークを包含する該仮想ネットワーク73;仮想アプリケーション及びオペレーティングシステム74;並びに、仮想クライアント75。
【0047】
1つの例において、管理層80は、以下で説明される複数の機能を提供しうる。リソース・プロビジョニング81は、クラウドコンピューティング環境内でタスクを実行する為に利用されるコンピューティングリソース及び他のリソースの動的な調達を提供する。計量及び価格決定82は、リソースがクラウドコンピューティング環境内で利用される場合のコスト追跡と、これらのリソースの消費についての課金又は請求とを提供する。1つの例において、これらのリソースは、アプリケーション・ソフトウェア・ライセンスを包含しうる。セキュリティは、クラウドコンシューマ及びタスクに対する識別検証と、データ及び他のリソースに対する保護とを提供する。ユーザ・ポータル83は、コンシューマ及びシステム管理者の為に、クラウドコンピューティング環境へのアクセスを提供する。サービス・レベル管理84は、要求されるサービス・レベルが満たされるように、クラウド・コンピューティング・リソースの割り当て及び管理を提供する。サービス・レベル・アグリーメント(SLA:Service Level Agreement)の計画及び履行85は、将来の要件がSLAに従って予測されるクラウド・コンピューティング・リソースの為の事前配置及びその調達を提供する。
【0048】
ワークロード層90は、クラウドコンピューティング環境が利用されうる複数の機能の例を提供する。この層から提供されうる複数のワークロード及び複数の機能の例は、マッピング及びナビゲーション91;ソフトウェア開発及びライフサイクル管理92;仮想教室教育の提供93;データ解析処理94;トランザクション処理95;並びに、CRMFA 96のうちの1つを包含する。
【0049】
図4A図4Gは、本開示の幾つかの実施態様と一致する、多要素認証の例示的なシステム400を図示する。システム400は、ネットワーク可用性が変動する間に多要素認証を可能にする為にCRMFAを実行するように構成されうる。例えば、CRMFAは、ネットワークが利用できない時間の間に様々なMFAデバイスが動作することを可能にしうる、MFAの為に使用される暗号化されたランダム値を提供しうる。システム400は、認証サーバ410;1以上ネットワーク、例えば、ネットワーク420-1及び420-2(まとめて、「ネットワーク420」)を包含する上記の1以上のネットワーク;オーセンティケータアプリ(authenticator app)430;及びターゲットマシン440のうちの1以上を備えていてもよい。
【0050】
認証サーバ410は、1以上のCRMFA操作を実行するように構成されたコンピュータシステムであってもよい。認証サーバ410は、I/O、メモリ及び処理を備えている単体のコンピュータ、例えばコンピュータシステム100、であってもよい。認証サーバ410は、複数のコンピュータ、例えばクラウドコンピューティング環境50、に基づく抽象化されたリソースであってもよい。認証サーバ410は、MFAの1以上の操作を処理するように構成されていてもよい。具体的には、認証サーバ410は、関連する暗号化アルゴリズムを実行して、様々な暗号化ファイル(例えば、安全なハッシュアルゴリズム、暗号ハッシュ関数、RIPEMD関数)を生成することによって動作してもよい。認証サーバ410はまた、1以上のランダム値(例えば、ランダム文字列、ランダム文字、乱数)を生成するように構成されていてもよい。
【0051】
ネットワーク420は、単一のネットワーク(singular network)、例えば、ローカルエリアネットワーク、ワイドエリアネットワーク、又は別の関連するネットワーク、として構成されていてもよい。ネットワーク420は、有線ネットワーク(例えば、IEEE 802.3)として構成されていてもよい。ネットワーク420は、無線ネットワーク(例えば、IEEE 802.11)として構成されていてもよい。ネットワーク420は、複数の別個のネットワーク、例えば、システム400の異なるMFAデバイスに使用されるネットワーク420-1及び420-2、を包含しうる。例えば、オーセンティケータアプリ430は、ネットワーク420-1を介して通信してもよく、及びネットワーク420-1は、セルラーネットワークであってもよい。例を続けると、ターゲットマシン440はネットワーク420-2を介して通信してもよく、及びネットワーク420-2は有線ネットワークであってもよい。その結果、オーセンティケータアプリ430及びターゲットマシン440は、パフォーマンスオンラインMFA(performance online MFA)の間に互いに直接通信しない場合があり、例えば、通信は認証サーバ410を通じて間接的に実行される場合がある。
【0052】
オーセンティケータアプリ430は、セカンダリコンピューティングデバイス上で動作する、アプリケーション、サービス、ソフトウェア、ハードウェア、又は他の組み合わせであってもよい。オーセンティケータアプリ430は、コンピュータシステム、例えば、ラップトップPC、スマートフォン、タブレットコンピュータ、又は他の関連コンピュータ(例えば、コンピュータシステム100)、の一部であってもよい。オーセンティケータアプリ430は、オンラインMFA操作の追加要素をユーザに提供するように構成されていてもよい。例えば、オーセンティケータアプリ430は、認証サーバ410から第2の要素を受信し、そして、これに応じて、ユーザがターゲットマシン440に提供する為のディスプレイ(図示せず)を通じて該第2の要素を提示してもよい。オーセンティケータアプリ430は、公開鍵暗号又は非対称暗号を実行するように構成されていてもよい。例えば、オーセンティケータアプリ430は、公開鍵432及び秘密鍵434を含んでいてもよく、及びオーセンティケータアプリ430は、秘密鍵434を用いて後に復号されうるデータを暗号化する際に用いる為に、公開鍵432を他のコンピューティングデバイスに提供してもよい。
【0053】
ターゲットマシン440は、コンピュータシステム、例えば、サーバ、ラップトップPC、デスクトップコンピュータ、又は安全性が保証された他のコンピュータシステム(例えば、ユーザ名及びパスワードで保護されたコンピュータ)、でありうる。ターゲットマシン440は、第1の要素(例えば、ユーザ名及びパスワード)によって保護されることに加えて、1以上のMFA技術を実行するように構成されていてもよい。具体的には、ターゲットマシン440は、認証サーバ410から第2の要素(例えば、第2の要素チャレンジ(second factor challenge))を受信してもよく、及びターゲットマシン440は、(例えば、ユーザ、セカンダリコンピュータに)該第2の要素を促すように構成されていてもよい。ターゲットマシン440は、該第2の要素を受信し、そして、アクセスを認証する為に該第2の要素を比較するように構成されていてもよい。幾つかの実施態様において、ターゲットマシン440は、第2の要素を受信し、そして、それを検証の為に認証サーバ410に送信するように構成されていてもよい。認証サーバ410がターゲットマシン440に成功応答を返した場合、該第2の要素認証アクセスが成功しうる。ターゲットマシン440は、公開鍵暗号又は非対称暗号を実行するように構成されていてもよい。例えば、ターゲットマシン440は、公開鍵442及び秘密鍵444を含んでいてもよく、及びターゲットマシン440は、秘密鍵444を用いて後に復号されてもよいデータを暗号化する際に使用する為の公開鍵442を他のコンピューティングデバイスに提供してもよい。公開鍵442はまた、データ署名、例えば、ターゲットマシン440によって秘密鍵444を用いて暗号的に署名されたデータ、を検証する為に他のコンピューティングデバイスによって使用されてもよい。
【0054】
システム400はまた、ネットワーク停止中にMFAを提供する為にCRMFAを実行するように構成されていてもよい。幾つかの実施態様において、CRMFAは、任意のユーザインタラクション無しで実行されてもよい。具体的には、システム400は、ユーザを促すこと無しに、又はオフラインMFAの目的の為に何らかの情報が交換されていることをユーザが知ること無しに、動作してもよい。例えば、ネットワーク420が完全に動作している間に、オフラインMFAの為に様々な情報が交換されてもよい。
【0055】
図4Aは、本開示の幾つかの実施態様と一致する、ネットワーク可用性が変動する間に多要素認証を実行するように構成された例示的なシステム400を図示する。時間間隔470において、オーセンティケータアプリ430及びターゲットマシン440は、認証サーバ410とのネットワーク接続を有しうる。時間間隔470は、アクティブなネットワーク通信、例えば、ターゲットマシン440若しくはオーセンティケータアプリ430又はそれらの組み合わせが認証サーバ410に(又は、認証サーバ410から)ネットワークパケットを送信する(又は、受信する)アクティブなネットワーク通信、と一致する時間でありうる。時間間隔470は、複数のMFAデバイスの各々について別個であってもよい。例えば、時間間隔470は、ターゲットマシン440が認証サーバ410に可用性を伝達することによって開始されてもよい。その後、開始後の時刻に、認証サーバ410は、オンラインターゲットステータス通信(online target status communication)をオーセンティケータアプリ430に送信してもよい。例えば、可用性ステータス(availability status)をターゲットマシン440から受信した後、認証サーバ410は、オンラインターゲットステータス(online target status)をオーセンティケータアプリ430に送信してもよい。時間間隔470において、オーセンティケータアプリ430はまた、公開鍵432を認証サーバ410に送信してもよく;認証サーバ410は、公開鍵432を利用して、オーセンティケータアプリ430のみが(例えば、秘密鍵434を使用して)復号されることができる暗号化ファイルを生成してもよい。時間間隔470において、ターゲットマシン440は、公開鍵442を認証サーバ410に送信してもよく;認証サーバ410は、公開鍵442を利用して、ターゲットマシン440のみが(例えば、秘密鍵444を使用して)復号されることができる暗号化ファイルを生成してもよい。
【0056】
オンラインMFA操作は、時間間隔470で実行されてもよい。例えば、時間間隔470は、ターゲットマシン440がログインの為の要求(例えば、ユーザ名及びパスワードを受信すること、及び該ユーザ名及び該パスワードを検証することを含む)を受信することによって開始してもよい。該要求の受信に応答して、ターゲットマシン440は、第2の要素要求を認証サーバ410に送信するように構成されていてもよい。該第2の要素要求を受信することに応答して、認証サーバ410は、該第2の要素をターゲットマシン440に送信し、そしてまた、オーセンティケータアプリ430に送信してもよい。
【0057】
時間間隔472において、認証サーバ410は、ランダム値を生成し、そして、該ランダム値を暗号化するように構成されていてもよい。具体的には、認証サーバ410は、オーセンティケータランダム値450-1、450-2、そして450-Nまでの1組(まとめて、「オーセンティケータランダム値450」)を生成するように、及び1以上のターゲットランダム値460-1、460-2、そして460-Nまでの1組(まとめて、「ターゲットランダム値460」)を生成するように構成されていてもよい。幾つかの実施態様において、該ランダム値(例えば、オーセンティケータランダム値450若しくはターゲットランダム値460又はそれらの組み合わせ)は、ユーザにとって記憶に残りうる又は重要でありうるパスフレーズの形式であってもよい。例えば、オーセンティケータランダム値450-1は、パスフレーズ、例えば、「David has two dogs Jinx and Whisper」、「Leo-enjoys-security-puzzles」、又は「Philip|once|hiked|a|mountain」、又は別の一連の表音文字(letters)、数字、全ての文字(characters)、又は単語、でありうる。更に、認証サーバ410は、1以上の暗号化アルゴリズムを使用して、ランダム値を含む暗号化ファイルを生成することによって、該ランダム値を暗号化するように構成されていてもよい。具体的には、認証サーバ410は、1以上のオーセンティケータ暗号化ファイル(authenticator encrypted file)452-1、452-2、そして452-Nまでの1組(まとめて、「オーセンティケータ暗号化ファイル452」)を生成するように、及び1以上のターゲット暗号化ファイル462-1、462-2、そして462-Nまでの1組(まとめて、「ターゲット暗号化ファイル462」)を生成するように構成されていてもよい。
【0058】
暗号化ファイルは、予め定義されたフォーマット(例えば、JavaScript Object Notation Web Token(「JWT」))であってもよい。該予め定義されたフォーマットは、暗号化された情報(例えば、ペイロード)と、暗号化されていない情報とを含んでいてもよい。図4A~4Gにおいて、暗号化された部分は点線で示されている場合があり、及び暗号化されていない部分は実線で示されている場合がある。
【0059】
具体的には、オーセンティケータ暗号化ファイル452は、暗号化されていないヘッダ454を含んでいてもよい。ヘッダ454は、特定のオーセンティケータ暗号化ファイル452を識別する為の一意の識別子又はインデックスを含んでいてもよく、例えば、オーセンティケータ暗号化ファイル452-1はインデックス「001」を有するヘッダ454-1を含んでいてもよく、オーセンティケータ暗号化ファイル452-2はインデックス「002」を有するヘッダ454-2を含んでいてもよい、等である。オーセンティケータ暗号化ファイル452の暗号化された部分は、オーセンティケータランダム値450を含んでいてもよく、例えば、オーセンティケータ暗号化ファイル452-1はオーセンティケータランダム値450-1を含んでいてもよく、オーセンティケータ暗号化ファイル452-2はオーセンティケータランダム値450-2を含んでいてもよい、等である。該暗号化された部分はまた、有効期限値、例えば、オーセンティケータ暗号化ファイル452-1において暗号化された有効期限値456-1、を含んでいてもよい。
【0060】
同様に、ターゲット暗号化ファイル462は、暗号化されていないヘッダ464を含んでいてもよい。ヘッダ464は、特定のターゲット暗号化ファイル462を識別する為の一意の識別子又はインデックスを含んでいてもよく、例えば、ターゲット暗号化ファイル462-1は、インデックス「001」を有するヘッダ464-1を含んでいてもよく、ターゲット暗号化ファイル462-2は、インデックス「002」を有するヘッダ464-2を含んでいてもよい、等である。ヘッダ464は、所与のヘッダ464が所与のヘッダ454と同じインデックス又は値を有するように、ヘッダ454に対応してもよい。ターゲット暗号化ファイル462の暗号化された部分は、ターゲットランダム値460を含んでいてもよく、例えば、ターゲット暗号化ファイル462-1はターゲットランダム値460-1を含んでいてもよく、ターゲット暗号化ファイル462-2はターゲットランダム値460-2を含んでいてもよい、等である。ターゲット暗号化ファイル462の暗号化された部分はまた、有効期限値、例えば、オーセンティケータ暗号化ファイル452-1内に暗号化された有効期限値466-1、を含んでいてもよい。ターゲット暗号化ファイル462の暗号化された部分はまた、ターゲットマシン公開鍵(target machine public key)442を含んでいてもよい。
【0061】
オーセンティケータ暗号化ファイル452及びターゲット暗号化ファイル462は、異なる暗号化アルゴリズムを使用して暗号化されてもよい。例えば、オーセンティケータアプリ430は、第1の暗号化アルゴリズムを使用して暗号化された暗号化ファイルのみを復号するように構成されていてもよく、及びターゲットマシン440は、第2の暗号化アルゴリズムを使用して暗号化された暗号化ファイルのみを復号するように構成されていてもよい。オーセンティケータアプリ430とターゲットマシン440との互換性に基づいて、オーセンティケータ暗号化ファイル452夫々は該第1の暗号化アルゴリズムを使用して暗号化され、そして、ターゲット暗号化ファイル462夫々は該第2の暗号化アルゴリズムを使用して暗号化されてもよい。
【0062】
該暗号化ファイルの各々は、値を用いて暗号化されてもよい。具体的には、各オーセンティケータ暗号化ファイル452は、オーセンティケータ公開鍵(authenticator public key)432で暗号化されてもよい。更に、各ターゲット暗号化ファイル462は、対応するオーセンティケータランダム値450で暗号化されてもよく、例えば、ターゲット暗号化ファイル462-1はオーセンティケータランダム値450-1で暗号化されてもよく、ターゲット暗号化ファイル462-2はオーセンティケータランダム値450-2で暗号化されてもよい、等である。
【0063】
時間間隔474において、該暗号化ファイルは、他のMFAデバイスに送信されてもよい。時間間隔474は、時間間隔472の一部であってもよい。具体的には、認証サーバ410は、時間間隔472で生成されたオーセンティケータ暗号化ファイル452をネットワーク420-1を通じてオーセンティケータアプリ430に送信してもよい。幾つかの実施態様において、認証サーバ410は、ターゲットマシン440の公開鍵442を、ネットワーク420-1を通じてオーセンティケータアプリ430に送信してもよい。更に、認証サーバ410は、ターゲット暗号化ファイル462を、ネットワーク420-2を通じてターゲットマシン440に送信してもよい。
【0064】
図4B図4Gは、ネットワーク可用性以外の多要素認証の性能を図示しうる。例えば、図4B図4Gは、認証サーバ410と通信すること無しに、例えば、ネットワーク420が動作していない期間又は利用できない期間、オーセンティケータアプリ430とターゲットマシン440との間の多要素認証を図示しうる。図4B図4Gは、連続的又は同時期であってもよい時間間隔480、482、484、486、488及び490を図示しうる(例えば、時間間隔480は時間間隔482の前に生じてもよく、時間間隔484及び時間間隔488は部分的に又はほぼ同時期に生じてもよい)。
【0065】
図4Bは、本開示の幾つかの実施態様と一致する、ネットワーク可用性以外の多要素認証を実行する例示的なシステム400を図示する。図4Bは、時間間隔470、例えば、認証サーバ410がオーセンティケータ暗号化ファイル452をオーセンティケータアプリ430に提供した後の時間間隔、及び認証サーバ410がターゲット暗号化ファイル462をターゲットマシン440に提供した後の時間間隔、の後に生じうる。時間間隔480において、ターゲットマシン440は、認証サーバ410と通信することを試みてもよく、例えばネットワークの停止又は利用不能に起因して、失敗する場合がある。ターゲットマシン440は、時間間隔480で、有効なログイン及びパスワード(又は、他の有効な第1の要素)を受信することに応答して、認証サーバ410との通信を試みてもよい。
【0066】
図4Cは、本開示の幾つかの実施態様と一致する、ネットワーク可用性以外の多要素認証を実行する例示的なシステム400を図示する。時間間隔482において、ターゲットマシン440は、ターゲット暗号化ファイル462-1のコピーをオーセンティケータアプリ430に提供しうる。幾つかの実施態様において、ターゲット暗号化ファイル462-1のコピーを提供することはまた、該コピーに暗号的に署名することを含みうる。例えば、ターゲットマシン440は、秘密鍵444でターゲット暗号化ファイル462-1の該コピーに暗号的に署名しうる。幾つかの実施態様において、時間間隔482において、ターゲットマシン440はまた、ターゲットマシン公開鍵442のコピーをオーセンティケータアプリ430に提供しうる。ターゲットマシン440によって提供することは、セカンダリネットワーク(図示されていない)、例えば、ローカルネットワーク、無線ネットワーク、パーソナルエリアネットワーク、又は他の関連ネットワーク、を通じて実行されうる。ターゲットマシン440によって提供することは、視覚的に実行されてもよい。例えば、ターゲットマシン440は、ユーザにグラフィカルユーザインタフェース(GUI:graphical user interface)を提供することが可能であるディスプレイ(図示されていない)を備えていてもよい。ターゲットマシン440は、ターゲット暗号化ファイル462-1若しくはターゲットマシン公開鍵442又はそれらの組み合わせを表す機械可読画像(例えば、バーコード、二次元バーコード、マトリクスバーコード、クイックレスポンスコード)を生成してもよい。該機械可読画像は、オーセンティケータアプリ430を実行する付属のデジタルカメラ(図示されていない)を有するセカンダリコンピュータがターゲット暗号化ファイル462-1若しくはターゲットマシン公開鍵442又はそれらの組み合わせをキャプチャしうるように、ターゲットマシン440のディスプレイを通じて表示されてもよい。
【0067】
図4Dは、本開示の幾つかの実施態様と一致する、ネットワーク可用性以外の多要素認証を実行する例示的なシステム400を図示する。時間間隔484において、オーセンティケータアプリ430は、オーセンティケータの秘密鍵434を使用して、オーセンティケータ暗号化ファイル452-1を復号しうる。オーセンティケータアプリ430は、受信したターゲット暗号化ファイル462-1に基づいて、復号する為にオーセンティケータ暗号化ファイル452-1を選択してもよい。例えば、オーセンティケータアプリ430は、ターゲット暗号化ファイル462-1中のヘッダ464-1内のインデックス値を識別してもよく、そして、該インデックス値をオーセンティケータ暗号化ファイル452-1中のヘッダ454-1内の対応するインデックス値と照合してもよい。オーセンティケータ暗号化ファイル452-1を復号することに応じて、オーセンティケータアプリ430は、オーセンティケータランダム値450-1及び有効期限値456-1へのアクセスを有しうる。オーセンティケータアプリ430は、有効期限値456-1を時間値(例えば、オーセンティケータアプリ430を実行するコンピュータシステムのシステム時間)と比較することによって、オーセンティケータ暗号化ファイル452-1が期限切れであるかを判定するように構成されていてもよい。有効期限値456-1が時間値より小さい場合に、オーセンティケータアプリ430はCRMFAを継続してもよい。有効期限値456-1が該時間値と等しいか又は該時間値よりも大きい場合に、オーセンティケータアプリ430はCRMFAを継続しなくてもよい。有効期限値456-1が該時間値と等しいか又は該時間値よりも大きい場合に、オーセンティケータアプリ430は、ターゲットマシン440から新しいターゲット暗号化ファイル462を要求してもよい。
【0068】
図4Eは、本開示の幾つかの実施態様と一致する、ネットワーク可用性以外の多要素認証を実行する例示的なシステム400を図示する。時間間隔486において、オーセンティケータアプリ430は、オーセンティケータランダム値450-1を使用して、ターゲット暗号化ファイル462-1を復号しうる。更に、オーセンティケータアプリ430は、ターゲット暗号化ファイル462-1を検証してもよい。具体的には、オーセンティケータアプリ430は、時間間隔482で受信したターゲットマシン公開鍵442と、時間間隔486で復号されたターゲットマシン公開鍵442とを比較してもよい(例えば、該ターゲット公開鍵が一致する場合、オーセンティケータアプリ430は、認証サーバ410によって提供されてからターゲット暗号化ファイル462-1は変更されていないと決定してもよい)。幾つかの実施態様において、オーセンティケータアプリ430は、デジタル署名アルゴリズム(例えば、RSA、DSA)を使用してターゲット暗号化ファイル462-1を検証してもよい。例えば、オーセンティケータアプリ430は、認証サーバ410から受信した公開鍵442を使用してターゲット暗号化ファイル462-1の暗号検証を行うように構成されていてもよい。ターゲット暗号化ファイル462-1を復号することに応じて、オーセンティケータアプリ430は、ターゲットランダム値460-1へのアクセスを有しうる。
【0069】
図4Fは、本開示の幾つかの実施態様と一致する、ネットワーク可用性以外の多要素認証を実行する例示的なシステム400を図示する。時間間隔488において、オーセンティケータアプリ430は、ランダム値をターゲットマシン440に提供しうる。具体的には、オーセンティケータアプリ430は、オーセンティケータランダム値450-1及びターゲットランダム値460-1をターゲットマシン440に直接送信してもよい。例えば、オーセンティケータアプリ430は、該ランダム値の送信の為に、ターゲットマシン440とのネットワーク接続、例えば無線ネットワーク接続、を確立してもよい。オーセンティケータアプリ430は、オーセンティケータランダム値450-1及びターゲットランダム値460-1をターゲットマシン440に間接的に提供してもよい。具体的には、オーセンティケータアプリ430は、ユーザのクライアントデバイス(例えば、スマートフォン)上で動作してもよい。オーセンティケータアプリ430は、オーセンティケータランダム値450-1及びターゲットランダム値460-1の両方を該クライアントデバイスのディスプレイ(図示されていない)上にレンダリングしてもよい。該ユーザは、該クライアントデバイスの該ディスプレイを読み、ターゲットマシン440のキーボード(図示されていない)にオーセンティケータランダム値450-1及びターゲットランダム値460-1を入力しうる。
【0070】
図4Gは、本開示の幾つかの実施態様と一致する、ネットワーク可用性以外の多要素認証を実行する例示的なシステム400を図示する。時間間隔490において、ターゲットマシン440は、ターゲット暗号化ファイル462-1を復号する為にオーセンティケータランダム値450-1を利用してもよい。該ターゲットマシンは、復号されたターゲット暗号化ファイル462-1を利用して、有効期限値466-1を取得し、そして、ターゲット暗号化ファイル462-1が期限切れであるか(例えば、有効期限値466-1が現在の時刻よりも前の日付/タイムスタンプであるか)判定してもよい。ターゲット暗号化ファイル462-1が期限切れでない場合に、ターゲットマシン440は、ターゲットランダム値460-1の提供されたバージョン(オーセンティケータアプリ430によって提供された)をターゲットランダム値460-1の復号されたバージョンと比較することによって第2の要素を認証しうる。ターゲットランダム値460-1の該提供されたバージョンとターゲットランダム値460-1の該復号されたバージョンが一致する場合、ターゲットマシン440は、ログイン要求を検証し、そして、その結果、ターゲットマシン440をロック解除しうる(例えば、該ログイン要求を許可しうる)。
【0071】
図5は、本開示の幾つかの実施態様と一致する、認証サーバによる多要素認証の例示的な方法500を図示する。方法500は一般的に、固定された機能ハードウェア、構成可能な論理、論理命令等、又はそれらの任意の組み合わせで実装されうる。例えば、該論理命令は、アセンブラ命令、ISA命令、マシン命令、マシン依存命令、マイクロコード、状態設定データ、集積回路の為の構成データ、電子回路をパーソナライズする状態情報、若しくはハードウェア(例えば、ホストプロセッサ、中央処理装置/CPU(central processing unit)、マイクロコントローラ等)、又はそれらの組み合わせに固有である他の構造コンポーネントを含んでいてもよい。方法500は、認証サーバ、例えば認証サーバ410、によって実行されてもよい。
【0072】
工程505から開始し、工程510でオーセンティケータペイロードが取得されうる。該オーセンティケータペイロードは、オーセンティケータランダム値を乱数発生器から受信することによって取得されうる。該オーセンティケータペイロードは、ランダム値を直接的に生成することによって取得されうる。該オーセンティケータペイロードは、他の値をオーセンティケータランダム値、例えば有効期限値、に付加することによって取得されうる。幾つかの実施態様において、複数のオーセンティケータペイロードが取得されてもよく、ここで、各ペイロードは、異なるオーセンティケータランダム値を有する。該オーセンティケータペイロードは、オンラインMFAの実行の為の要求を受信すること、例えば、オーセンティケータアプリ若しくはターゲットマシン又はそれらの組み合わせから第2の要素の為の要求を受信すること、に応答して取得されうる。
【0073】
工程520において、オーセンティケータ暗号化ファイルが生成されうる。該オーセンティケータ暗号化ファイルは、暗号化アルゴリズム、例えばハッシュアルゴリズム、を実行することによって生成されうる。該オーセンティケータペイロードは、該暗号化アルゴリズムへの入力として提供されうる。その結果、該オーセンティケータ暗号化ファイルは、該オーセンティケータペイロードを含みうる。該オーセンティケータペイロードは、公開鍵アルゴリズムを使用して暗号化されうる。具体的には、該オーセンティケータペイロードは、公開鍵で暗号化されてもよく、及び、対応する秘密鍵で復号されることができる場合がある。該公開鍵は、オーセンティケータアプリケーションに関連していてもよい(例えば、オーセンティケータアプリケーションの公開鍵であり、及び該オーセンティケータアプリケーションが保有する対応する秘密鍵によって復号可能である)。幾つかの実施態様において、複数のオーセンティケータ暗号化ファイルが生成されてもよく、ここで、各オーセンティケータ暗号化ファイルは異なるオーセンティケータペイロードを暗号化する為のものである。
【0074】
工程530において、ターゲットペイロードが取得されうる。該ターゲットペイロードは、ターゲットランダム値を乱数発生器から受信することによって取得されうる。該ターゲットペイロードは、ランダム値を直接的に生成することによって取得されうる。幾つかの実施態様において、複数のターゲットペイロードが取得されてもよく、ここで、各ペイロードは異なるターゲットランダム値を有する。該ターゲットペイロードは、他の値を該ターゲットランダム値、例えば有効期限値、に付加することによって取得されうる。該ターゲットランダム値に付加される該有効期限値は、オーセンティケータランダム値に付加される有効期限値と同一であってもよい。該ターゲットペイロードは、オンラインMFAの実行の為の要求を受信すること、例えば、オーセンティケータアプリ若しくはターゲットマシン又はそれらの組み合わせから第2の要素の為の要求を受信すること、に応答して取得されうる。
【0075】
工程540において、ターゲット暗号化ファイルが生成されうる。該ターゲット暗号化ファイルは、暗号化アルゴリズム、例えばハッシュアルゴリズム、を実行することによって生成されてもよい。工程540における生成の一部である該暗号化アルゴリズムは、工程520における生成の一部である該暗号化アルゴリズムと同じであってもよい。該ターゲットペイロードは、該暗号化アルゴリズムに入力として提供されてもよい。その結果、該ターゲット暗号化ファイルは、該ターゲットペイロードを含んでいてもよい。該ターゲットペイロードは、工程510で取得されたランダム値を使用して暗号化されてもよい。例えば、該ターゲット暗号化ファイルは、オーセンティケータランダム値を用いて暗号化されてもよい。幾つかの実施態様において、複数のターゲット暗号化ファイルが生成されてもよく、ここで、各ターゲット暗号化ファイルは、異なるターゲットペイロードを暗号化する為のものである。
【0076】
工程550において、ネットワーク接続が識別されうる。ネットワーク接続は、オーセンティケータアプリケーションからのものであってもよく、例えば、オーセンティケータネットワークを接続する為の要求をクライアントデバイスから受信するセルラーネットワーク(例えば、オーセンティケータネットワーク接続)、でありうる。ネットワーク接続は、ターゲットマシンからのもの、例えば、ターゲットネットワークを接続する為の要求をターゲットマシンから受信するネットワーク(例えば、ターゲットネットワーク接続)、でありうる。該ネットワーク接続は、認証サーバと1以上の他のMFAデバイス(例えば、オーセンティケータアプリ、ターゲットマシン)との間の通信を促進するものであってもよい。該ネットワーク接続は、他のネットワーク接続と同時であってもよく、例えば、他のMFAデバイスとの別のネットワーク接続がアクティブである間でありうる。該ネットワーク接続が識別される場合に(工程550の「はい」)、暗号化ファイルが工程560で送信されうる。暗号化ファイルの送信後、工程560において、方法500は、ネットワーク接続を識別する為に監視することによって続行しうる。識別されたネットワーク接続がない場合に(工程550の「いいえ」)、方法500は工程595で終了しうる。
【0077】
図6は、本開示の幾つかの実施態様と一致する、ターゲットマシンによる多要素認証の例示的な方法600を図示する。方法600は一般的に、固定された機能ハードウェア、構成可能な論理、論理命令等、又はそれらの任意の組み合わせで実装されうる。例えば、該論理命令は、アセンブラ命令、ISA命令、マシン命令、マシン依存命令、マイクロコード、状態設定データ、集積回路の為の構成データ、電子回路をパーソナライズする状態情報、若しくはハードウェア(例えば、ホストプロセッサ、中央処理装置/CPU、マイクロコントローラ等)、又はそれらの組み合わせに固有である他の構造コンポーネントを含んでいてもよい。方法600は、ターゲットマシン、例えばターゲットマシン440、によって実行されてもよい。
【0078】
工程605から開始し、工程610でログイン要求が受信されうる。該ログイン要求は、第1の要素、例えば、識別子及びパスワード、を含みうる。該ログイン要求は、ユーザからのもの、例えば、ユーザがターゲットマシンによって提供されるログインプロンプトにユーザ名及びパスワードを入力するもの、であってもよい。該ログイン要求は、セカンダリコンピュータからのものであってもよい。例えば、スマートフォンは、ローカルエリアネットワーク又はパーソナルエリアネットワークを介してアクセス要求をターゲットマシンに送信することによって動作しうる。該第1の要素が、例えば、ユーザ名及びパスワードの検証を行うことで、検証されうる。
【0079】
工程620において、ネットワーク障害が判定されうる。該ネットワーク障害は、ターゲットマシンが認証サーバと通信することができない場合があってもよい。具体的には、ターゲットマシンは、認証サーバに接続することを試みてもよい。例えば、該ターゲットマシンは、該ログイン要求に応答して、オンラインMFA操作を実行する為に、第2の要素を要求する目的で、該認証サーバとのネットワーク接続を確立することを試みてもよい。該ネットワーク障害は、該ターゲットマシンが応答を該認証サーバから受信しないことであってもよく、例えば、該認証サーバが一時的にオフラインである。該ネットワーク障害は、該ターゲットマシンが通信を認証サーバに送信することができない場合があり、例えば、該ターゲットマシンがネットワークアクセスを有しないことであり、又は該ターゲットマシンがネットワークパケットを認証サーバに送信できないことである。
【0080】
ネットワーク障害がない場合に(工程630の「いいえ」)、方法600は工程695で終了しうる。ネットワーク障害がある場合に(工程630の「はい」)、工程640において、方法600は、ターゲット暗号化ファイルコピーをオーセンティケータアプリケーションに提供することによって続行しうる。該ターゲット暗号化ファイルの該コピーを提供することは、セカンダリクライアントデバイス(secondary client device)(例えば、ユーザのラップトップコンピュータ)上で実行されているクライアントアプリ(例えば、オーセンティケータアプリ)とのネットワーク接続を確立することを含んでいてもよい。該ターゲット暗号化ファイルの該コピーを提供することは、アクセス若しくはログイン要求又はそれらの組み合わせのソースであったローカルエリアネットワーク(例えば、ワイファイ(Wi-Fi)接続、ブルートゥース(Bluetooth)接続)を通じて該コピーを送信することを含んでいてもよい。該ターゲット暗号化ファイルの該コピーを提供することは、該ターゲットマシン上に記憶されたターゲット暗号化ファイルの1組からターゲット暗号化ファイルを選択することを含みうる。該選択は、ターゲット暗号化ファイルの暗号化されていない部分、例えばインデックス、に基づいていてもよい。該ターゲット暗号化ファイルコピーを提供することは、ターゲットマシン公開鍵(例えば、公開鍵暗号化通信を実行する為に他のコンピューティングデバイスに提供される該ターゲットマシン公開鍵)を提供することを含んでいてもよい。ターゲット暗号化ファイルコピーをオーセンティケータアプリケーションに提供することは、該オーセンティケータアプリを操作しているクライアントコンピュータによるキャプチャを容易にする為に、該ターゲット暗号化ファイルのクイックレスポンスコード(又は、他の視覚表現)をレンダリングすることを含んでいてもよい。
【0081】
工程650において、ターゲットマシンは、応答を監視しうる。応答の為の監視は、オーセンティケータアプリとのネットワーク接続を通じたものであってもよい。応答の為の監視は、該ターゲットマシンの入力デバイスからの入力(例えば、マウスの動き、キーボードのキーストローク、タッチスクリーン入力)の為のモニタリングであってもよい。応答の監視は、ランダム値、例えば、オーセンティケータランダム値及び対象ランダム値、を含む応答の監視を含んでいてもよい。応答の種類は、CRMFAアプリケーションプログラミングインタフェース(API:application programming interface)に基づいて予め決定されていてもよい。例えば、第1のAPIは、第1の文字列又は一連の値がオーセンティケータランダム値であり、及び第2の文字列又は一連の値がターゲットランダム値であることを指定してもよい。第1のAPIはまた、所定の文字又は文字列が区切り文字、例えば、ピリオド又はカンマ、として使用されることを指定してもよい。第1のAPIはまた、様々なランダム値の為に使用されるべき特定の文字長を指定してもよい。ランダム値を含まない応答が受信された場合に(工程660の「いいえ」)、方法600は工程695で終了しうる。
【0082】
ランダム値を含む応答が受信された場合に(工程660の「はい」)、方法600は、復号操作を実行することによって、工程670に続行しうる。該復号操作は、オーセンティケータアプリから受信したランダム値(例えば、オーセンティケータランダム値)を使用して実行されてもよい。該復号操作は、ターゲット暗号化ファイルに対して実行されてもよい。該ターゲット暗号化ファイルのペイロード(ターゲットペイロード)は、該復号操作を実行することに基づいて取得されてもよい。該ターゲットペイロードは、該ターゲットランダム値を含んでいてもよい。工程680において、検証操作が実行されてもよい。該検証操作は、受信したターゲットランダム値を、該ターゲット暗号化ファイルにおいて暗号化されたターゲットランダム値と比較することを含んでいてもよい。該検証操作はまた、該ターゲットマシンをロック解除することも含んでいてもよい。具体的には、該ターゲットランダム値の2つのコピーが同じであることに基づいて、該ターゲットマシンをロック解除することである。工程680で該検証操作を実行した後、方法600は、工程695で終了しうる。
【0083】
図7は、本開示の幾つかの実施態様と一致する、認証アプリケーション(authentication application)による多要素認証の例示的な方法700を図示する。方法700は一般的に、固定された機能ハードウェア、構成可能な論理、論理命令等、又はそれらの任意の組み合わせで実装されうる。例えば、該論理命令は、アセンブラ命令、ISA命令、マシン命令、マシン依存命令、マイクロコード、状態設定データ、集積回路の為の構成データ、電子回路をパーソナライズする状態情報、若しくはハードウェア(例えば、ホストプロセッサ、中央処理装置/CPU、マイクロコントローラ等)、又はそれらの組み合わせに固有である他の構造コンポーネントを含んでいてもよい。方法700は、クライアントデバイスによって実行されてもよく、特に、認証を実行するように構成されたアプリケーション、例えば、CRMFA(例えば、オーセンティケータアプリ430)、によって実行されうる。
【0084】
工程705から開始し、工程710で、暗号化ファイルコピー(以下、「ファイルコピー」)は、オーセンティケータアプリによって受信されうる。例えば、ターゲットマシンは、ログイン要求に応答して、オーセンティケータアプリを実行するように構成されたクライアントデバイスに該ファイルコピーを送信してもよい。該ファイルコピーは、ネットワークを通じて受信されてもよい。例えば、該ファイルコピーは、該ターゲットマシンと該オーセンティケータアプリとの間のネットワーク接続を通じて送信されてもよい。該ファイルコピーは、ネットワーク接続無しに受信されてもよい。例えば、該暗号化ファイルコピーを構成するデータのビットは、該ターゲットマシンのディスプレイによってレンダリングされてもよく、及び該クライアントデバイスに通信可能に接続されたカメラは、データの該ビットをキャプチャしてもよい。
【0085】
工程720において、オーセンティケータ暗号化ファイルが復号されうる。具体的には、オーセンティケータアプリを実行するクライアントデバイスによって保存されたオーセンティケータ暗号化ファイルを復号する為に、復号アルゴリズムが使用されうる。該オーセンティケータ暗号化ファイルは、公開鍵復号(例えば、復号アルゴリズムが、オーセンティケータアプリによって記憶された秘密鍵を使用してもよい)を使用して復号されてもよい。該オーセンティケータ暗号化ファイルは、受信した該ファイルコピーの復号において使用する為のオーセンティケータランダム値を決定する為に復号されうる。具体的には、該オーセンティケータ暗号化ファイルは、ターゲット暗号化ファイル(及び結果として、該ターゲット暗号化ファイルコピー)を暗号化する為に認証サーバによって使用されたオーセンティケータランダム値を含んでいてもよい。オーセンティケータランダム値が決定されない場合に(工程730の「いいえ」)、方法700は、工程795で終了しうる。
【0086】
オーセンティケータランダム値が決定された場合に(工程730の「はい」)、工程740で、該ファイルコピーが復号されうる。具体的には、ターゲット暗号化ファイルコピーを正常に復号する為に、復号操作が実行されてもよい。該ターゲット暗号化ファイルコピーの鍵は、該オーセンティケータランダム値であってもよく、及び該オーセンティケータアプリは、該ターゲット暗号化ファイルコピー及び該オーセンティケータランダム値を復号アルゴリズムへの入力として提供することによって該復号アルゴリズムを利用してもよい。該ファイルコピーの該復号は、ターゲットランダム値を決定することを含んでいてもよい。具体的には、該ターゲット暗号化ファイルコピーを復号することに基づいて、ターゲットランダム値を含むターゲットペイロードが取得されてもよい。該ターゲットランダム値が決定されない場合に(工程750の「いいえ」)、方法700は工程795で終了しうる。
【0087】
ターゲットランダム値が決定された場合に(工程750の「はい」)、方法700は、工程760で、ランダム値をターゲットマシンに提供することによって続行しうる。該ランダム値を提供することは、文字列又は他のデータ構造を生成することを含んでいてもよい。具体的には、予め定義されたAPIは、ランダム値を提示する為の特定のデータ構造又は他の関連する形式を指定してもよい。例えば、「3470234」のオーセンティケータランダム値及び「HE0O923N」のターゲットランダム値が与えられた場合に、「3470234.HE0O923N」の値は、該ターゲットマシンに提供する為の準拠フォーマットであってもよい。該ランダム値を提供することは、該ランダム値をユーザに提供すること、例えば、オーセンティケータアプリを実行する該クライアントデバイスのディスプレイ上に該ランダム値を表示すること、を含んでいてもよい。該ランダム値を提供することは、予め定義された順序で2つの別個のメッセージを送信することを含んでいてもよい。例えば、ターゲットマシンとオーセンティケータアプリケーションは、該オーセンティケータランダム値を含む第1のネットワーク送信、及び該ターゲットランダム値を含む第2のネットワーク送信(second network transmission)、又はその逆の送信を指定するネットワーク通信のスキームに合意してもよい。工程760において、該ランダム値がオーセンティケータアプリによって提供された後、方法700は工程795で終了しうる。
【0088】
本発明は、統合のありうる任意の技術的詳細レベルでの、システム、方法若しくはコンピュータプログラム製品若しくはコンピュータプログラム、又はそれらの組み合わせでありうる。該コンピュータプログラム製品は、プロセッサに本発明の観点を実行させる為のコンピュータ可読プログラム命令を有する1以上のコンピュータ可読記憶媒体を包含しうる。
【0089】
該コンピュータ可読記憶媒体は、命令実行デバイスによって使用する為の命令を保持且つ記憶することができる有形のデバイスであることができる。該コンピュータ可読記憶媒体は、例えば、電子ストレージデバイス、磁気ストレージデバイス、光ストレージデバイス、電磁ストレージデバイス、半導体ストレージデバイス、又はこれらの任意の適切な組み合わせでありうるが、これらに限定されない。該コンピュータ可読記憶媒体のより具体的な例の非網羅的なリストは、下記を包含する:ポータブルのコンピュータディスケット登録商標、ハードディスク、ランダムアクセスメモリ(RAM:random access memory)、読み取り専用メモリ(ROM:read only memory)、消去可能なプログラム可能な読み取り専用メモリ(EPROM(erasable programmable read-only memory)又はフラッシュメモリ)、スタティックランダムアクセスメモリ(SRAM:static random access memory)、ポータブル・コンパクトディスク読み取り専用メモリ(CD-ROM:compact disc read-only memory)、デジタル多用途ディスク(DVD:digital versatile disk)、メモリスティック、フロッピーディスク、機械的に符号化されたデバイス、例えばパンチカード若しくは命令が記録されている溝内の隆起構造又はこれらの任意の適切な組み合わせ。本明細書において使用される場合、コンピュータ可読記憶媒体は、一時的な信号それ自体、例えば電波又は他の自由に伝播する電磁波、導波管若しくは他の伝送媒体を伝播する電磁波(例えば、光ファイバケーブルを通過する光パルス)、又は電線を介して送信される電気信号、であると解釈されるべきでない。
【0090】
本明細書において記載されたコンピュータ可読プログラム命令は、コンピュータ可読記憶媒体から個々のコンピューティングデバイス/処理デバイスに、又はネットワーク、例えば、インターネット、ローカルエリアネットワーク、ワイドエリアネットワーク若しくはワイヤレスネットワーク又はそれらの組み合わせ、を介して外部コンピュータ又は外部記憶デバイスにダウンロードされることができる。該ネットワークは、銅線伝送ケーブル、光伝送ファイバ、無線伝送、ルータ、ファイアウォール、スイッチ、ゲートウェイコンピュータ若しくはエッジサーバ又はそれらの組み合わせで構成されうる。各コンピューティングデバイス/処理デバイスにおけるネットワークアダプタカード又はネットワークインタフェースは、ネットワークからコンピュータ可読プログラム命令を受信し、そして、該コンピュータ可読プログラム命令を、個々のコンピューティングデバイス/処理デバイス内にコンピュータ可読記憶媒体中に記憶する為に転送する。
【0091】
本発明の動作を実行する為のコンピュータ可読プログラム命令は、アセンブラ命令、命令セットアーキテクチャ(ISA:instruction-set-architecture)命令、マシン命令、マシン依存命令、マイクロコード、ファームウェア命令、状態設定データ、集積回路の為の構成データ、又は、1以上のプログラミング言語、例えばオブジェクト指向プログラミング言語、例えば、Smalltalk、C++等、慣用的な手続き型プログラミング言語(例えば、「C」プログラミング言語又は同様のプログラミング言語)、の任意の組み合わせで書かれているソースコード又はオブジェクトコードのいずれか、でありうる。該コンピュータ可読プログラム命令は、ユーザのコンピュータ上で全体的に、ユーザのコンピュータ上で部分的に、ユーザのコンピュータ上でスタンドアロン・ソフトウェア・パッケージとして部分的に、ユーザのコンピュータ上で部分的に且つリモート・コンピュータ上で部分的に、又はリモート・コンピュータ若しくはサーバ上で全体的に、実行されうる。後者のシナリオにおいて、該リモート・コンピュータは、任意の種類のネットワーク、例えばローカルエリアネットワーク(LAN:local area network)若しくはワイドエリアネットワーク(WAN:wide area network)、を介してユーザのコンピュータに接続されうるか、又は該接続は(例えば、インターネットサービスプロバイダを使用したインターネットを通じて)外部コンピュータに対して行われうる。幾つかの実施態様において、電子回路、例えばプログラム可能な論理回路、フィールドプログラム可能なゲートアレイ(FPGA:field-programmable gate arrays)又はプログラム可能なロジックアレイ(PLA:programmable logic arrays)、は、本発明の観点を実行する為に、コンピュータ可読プログラム命令の状態情報を利用することによって、電子回路をパーソナライズすることによって、コンピュータ可読プログラム命令を実行しうる。
【0092】
本発明の観点は、本発明の実施態様に従う、方法、装置(システム)及びコンピュータプログラム製品若しくはコンピュータプログラムのフローチャート図若しくは該ブロック図又はそれらの組み合わせを参照して本明細書において記載されている。該フローチャート図若しくは該ブロック図又はそれらの組み合わせの各ブロック、並びに該フローチャート図若しくは該ブロック図又はそれらの組み合わせにおける複数のブロックの組み合わせは、コンピュータ可読プログラム命令によって実装されることができることが理解されるであろう。
【0093】
これらのコンピュータ可読プログラム命令は、該コンピュータ又は他のプログラム可能なデータ処理装置のプロセッサを介して実行する命令が該フローチャート図若しくは該ブロック図又はそれらの組み合わせの1以上のブロックにおいて特定された機能/動作を実装する為の手段を作成するように、コンピュータのプロセッサ又は他のプログラム可能なデータ処理装置に提供されて、マシンを作り出しうる。記憶された命令を有するコンピュータ可読記憶媒体が該フローチャート図若しくは該ブロック図又はそれらの組み合わせの1以上のブロックにおいて特定される機能/動作の観点を実装する命令を含む製造品を含むように、これらのコンピュータ可読プログラム命令はまた、コンピュータプログラム可能なデータ処理装置若しくは他のデバイス又はそれらの組み合わせに特定の様式で機能するように指示することができるコンピュータ可読記憶媒体中に記憶されうる。
【0094】
該コンピュータ可読プログラム命令はまた、コンピュータ上、他のプログラム可能なデータ処理装置上又は他のデバイス上で実行される命令が、該フローチャート図若しくは該ブロック図又はそれらの組み合わせの1以上のブロックにおいて特定される機能/動作を実装するように、上記のコンピュータ上、他のプログラム可能なデータ処理装置上又は他のデバイス上にロードされて、コンピュータ、他のプログラム可能な装置又は他のデバイス上で一連の操作工程を実行させて、コンピュータに実装されたプロセスを生成しうる。
【0095】
図面中のフローチャート図及びブロック図は、本発明の様々な実施態様に従う、システム、方法及びコンピュータプログラム製品若しくはコンピュータプログラムのありうる実装の、アーキテクチャ、機能及び動作を示す。これに関連して、該フローチャート図又は該ブロック図における各ブロックは、命令のモジュール、セグメント、又はその一部を表し得、それは、特定された1以上の論理機能を実装する為の1以上の実行可能命令を含む。幾つかの代替の実装において、該ブロックにおいて示されている機能は、図面中に示されている順序とは異なって生じうる。例えば、連続して示されている2つのブロックは、実際には、関与する機能に依存して、同時に、実質的に同時に、部分的又は全体的に時間的に重複する様式で実行される1つの工程として達成されうるか、又は該ブロックは、逆の順序で実行されうる。該ブロック図若しくは該フローチャート図又はそれらの組み合わせの各ブロック、並びに該ブロック図若しくは該フローチャート図又はそれらの組み合わせの複数のブロックの組み合わせは、特定された機能又は動作を実行する特別な目的のハードウェアベースのシステムによって実装することができ、又は特別な目的のハードウェアとコンピュータ命令との組み合わせを実行することができることに留意されたい。
【0096】
本開示の様々な実施態様の記載は、例示の目的の為に提示されたものであり、網羅的であること又は開示された実施態様に限定されることが意図されたものでない。多くの修正及び変形が、記載された実施態様の範囲及び精神から逸脱することなしに当業者に明らかであろう。本明細書において使用される語は、実施態様の原理、実用的な用途、又は市場において見られる技術に対する技術的改善を最もよく説明する為に、又は当業者が本明細書において開示されている実施態様を理解することができるようにする為に選択された。
図1
図2
図3
図4A
図4B
図4C
図4D
図4E
図4F
図4G
図5
図6
図7
【手続補正書】
【提出日】2023-10-06
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【請求項1】
第1のオーセンティケータランダム値を含む第1のオーセンティケータペイロードを取得すること;
第1の暗号化アルゴリズムに基づいて及びオーセンティケータ公開鍵を用いて、第1のオーセンティケータ暗号化ファイルを生成すること、ここで、前記第1のオーセンティケータ暗号化ファイルは前記第1のオーセンティケータペイロードを含み、前記オーセンティケータ公開鍵はクライアントオーセンティケータアプリケーションに関連付けられている;
第1のターゲットランダム値を含む第1のターゲットペイロードを取得すること;並びに、
第2の暗号化アルゴリズムに基づいて及び前記第1のオーセンティケータランダム値を用いて、第1のターゲット暗号化ファイルを生成すること、ここで、前記第1のターゲット暗号化ファイルは前記第1のターゲットペイロードを含む、
を含む、方法。
【請求項2】
前記クライアントオーセンティケータアプリケーションとのオーセンティケータネットワーク接続を、認証サーバによって識別すること;
前記オーセンティケータネットワーク接続に応答して、前記第1のオーセンティケータ暗号化ファイルを前記クライアントオーセンティケータアプリケーションに、前記認証サーバによって送信すること;
ターゲットマシンとのターゲットネットワーク接続を、前記認証サーバによって識別すること;及び、
前記ターゲットネットワーク接続に応答して、前記第1のターゲット暗号化ファイルを前記ターゲットマシンに、前記認証サーバによって送信すること
を更に含む、請求項1に記載の方法。
【請求項3】
前記ターゲットネットワーク接続が、前記オーセンティケータネットワーク接続の前記識別することと同時に識別される、請求項2に記載の方法。
【請求項4】
ログイン要求を、前記ターゲットマシンによって受信すること、
ここで、前記ログイン要求は有効な識別子を含む;及び、
前記ログイン要求は有効なパスワードを含む;
ネットワーク障害を、前記ターゲットマシンによって決定すること、ここで、前記ネットワーク障害は、前記ターゲットマシンが前記認証サーバと通信することができないことを含む;並びに、
前記第1のターゲット暗号化ファイルの第1のコピーを前記クライアントオーセンティケータアプリケーションに、前記ターゲットマシンによって提供すること
を更に含む、請求項2に記載の方法。
【請求項5】
前記第1のターゲット暗号化ファイルが、ターゲットマシン公開鍵の第1のターゲットマシン公開鍵コピーを含み、前記第1のターゲット暗号化ファイルの前記第1のコピーを提供することが、
前記ターゲットマシン公開鍵の第2のターゲットマシン公開鍵コピーを前記クライアントオーセンティケータアプリケーションに、前記ターゲットマシンによって提供すること
を含み、
ここで、前記第1のターゲット暗号化ファイルの復号に応じて、前記クライアントオーセンティケータアプリケーションが、ターゲットマシン公開鍵の前記第1のターゲットマシン公開鍵コピーと前記ターゲットマシン公開鍵の第2のターゲットマシン公開鍵コピーとを比較するように構成されている、
請求項4に記載の方法。
【請求項6】
前記第1のターゲット暗号化ファイルの前記第1のコピーを、前記クライアントオーセンティケータアプリケーションによって受信すること;
オーセンティケータ秘密鍵に基づいて、第1のオーセンティケータ暗号化ファイルに対して第1の復号操作を、前記クライアントオーセンティケータアプリケーションによって実行すること、ここで、前記オーセンティケータ秘密鍵は前記オーセンティケータ公開鍵に対応する;
前記第1の復号操作に基づいて、前記第1のオーセンティケータランダム値を、前記クライアントオーセンティケータアプリケーションによって決定すること;
前記第1のオーセンティケータランダム値に基づいて、前記第1のターゲット暗号化ファイルの前記第1のコピーに対して第2の復号操作を、前記クライアントオーセンティケータアプリケーションによって実行すること;
前記第2の復号操作に基づいて、前記ターゲット暗号化ファイルの前記第1のコピーの前記第1のターゲットランダム値を、前記クライアントオーセンティケータアプリケーションによって決定すること;並びに、
前記第1のターゲット暗号化ファイルの前記第1のコピーの前記第1のオーセンティケータランダム値及び前記第1のターゲットランダム値を、前記クライアントオーセンティケータアプリケーションによって用意すること
を更に含む、請求項4に記載の方法。
【請求項7】
前記クライアントオーセンティケータアプリケーションが、情報をユーザに表示するように構成されたスクリーンを備えており、ここで、前記第1のオーセンティケータランダム値及び前記第1のターゲットランダム値を提供することが、
前記第1のオーセンティケータランダム値及び前記第1のターゲットランダム値を、前記スクリーンによって表示すること
を含む、
請求項6に記載の方法。
【請求項8】
前記第1のターゲット暗号化ファイルの前記第1のコピーの前記第1のオーセンティケータランダム値及び前記第1のターゲットランダム値を前記クライアントオーセンティケータアプリケーションから、前記ターゲットマシンによって受信すること;
前記第1のオーセンティケータランダム値に基づいて、前記第1のターゲット暗号化ファイルに対して第3の復号操作を、前記ターゲットマシンによって実行すること;
前記第3の復号操作に基づいて、前記第1のターゲット暗号化ファイルの前記第1のターゲットランダム値を、前記ターゲットマシンによって決定すること;並びに、
前記第1のターゲット暗号化ファイルの前記第1のターゲットランダム値と前記第1のターゲット暗号化ファイルの前記第1のコピーの前記第1のターゲットランダム値とを比較することによって、前記ターゲットマシンによって検証操作を実行すること
を更に含む、請求項6に記載の方法。
【請求項9】
前記検証操作が、前記第1のターゲット暗号化ファイルの前記第1のターゲットランダム値が前記第1のターゲット暗号化ファイルの前記第1のコピーの第1のターゲットランダム値と一致することを判定することを含み、前記方法が、
前記ログイン要求に基づいて及び前記検証操作に基づいて、前記ターゲットマシンを、前記ターゲットマシンによってロック解除すること
を含む、
請求項8に記載の方法。
【請求項10】
前記第1のターゲット暗号化ファイルが第1の有効期限値を含み、及び前記検証操作が、
前記第1の有効期限値に基づいて、前記第1のターゲット暗号化ファイルの有効期限ステータスを、前記ターゲットマシンによって決定すること
を含む、
請求項8に記載の方法。
【請求項11】
前記第1の有効期限値が、前記第1のターゲットペイロードの一部であり、及び前記第1のターゲット暗号化ファイルの前記有効期限ステータスを決定することが、前記第3の復号操作の後に生じる、請求項9に記載の方法。
【請求項12】
前記第1の暗号化アルゴリズムが、前記第2の暗号化アルゴリズムと同じである、請求項1に記載の方法。
【請求項13】
前記第1のオーセンティケータペイロードを取得することが、オンラインの多要素認証の為の要求をターゲットマシンから受信することに応答する、請求項1に記載の方法。
【請求項14】
前記第1のオーセンティケータ暗号化ファイルを前記クライアントオーセンティケータアプリケーションに、認証サーバによって通知することを更に含む、請求項13に記載の方法。
【請求項15】
第2のオーセンティケータランダム値を含む第2のオーセンティケータペイロードを取得すること;
前記第2の暗号化アルゴリズムに基づいて及び前記オーセンティケータ公開鍵を用いて、第2のオーセンティケータ暗号化ファイルを生成すること、ここで、前記第2のオーセンティケータ暗号化ファイルは、前記第2のオーセンティケータペイロードを含む;
第2のターゲットランダム値を含む第2のターゲットペイロードを取得すること;並びに、
前記第2の暗号化アルゴリズムに基づいて及び前記第2のオーセンティケータランダム値を用いて、第2のターゲット暗号化ファイルを生成すること、ここで、前記第2のターゲット暗号化ファイルが前記第2のターゲットペイロードを含む、
を更に含む、請求項1に記載の方法。
【請求項16】
前記クライアントオーセンティケータアプリケーションとのオーセンティケータネットワーク接続を、前記認証サーバによって識別すること;
前記オーセンティケータネットワーク接続に応答して、前記第1のオーセンティケータ暗号化ファイル及び前記第2のオーセンティケータ暗号化ファイルを前記クライアントオーセンティケータアプリケーションに、前記認証サーバによって送信すること;
ターゲットマシンとのターゲットネットワーク接続を、前記認証サーバによって識別すること;並びに、
前記ターゲットネットワーク接続に応答して、前記第1のターゲット暗号化ファイル及び前記第2のターゲット暗号化ファイルを前記ターゲットマシンに、前記認証サーバによって送信すること
を更に含む、請求項15に記載の方法。
【請求項17】
システムであって、該システムが、
1以上の命令を含むメモリ;及び、
前記メモリに通信可能に接続されたプロセッサ
を備えており、該プロセッサは、前記1以上の命令を読み込むことに応答して、
第1のオーセンティケータランダム値を含む第1のオーセンティケータペイロードを取得し;
第1の暗号化アルゴリズムに基づいて及びオーセンティケータ公開鍵を用いて、第1のオーセンティケータ暗号化ファイルを生成し、ここで、前記第1のオーセンティケータ暗号化ファイルは前記第1のオーセンティケータペイロードを含み、前記オーセンティケータ公開鍵はクライアントオーセンティケータアプリケーションに関連付けられている;
第1のターゲットランダム値を含む第1のターゲットペイロードを取得し;並びに、
第2の暗号化アルゴリズムに基づいて及び前記第1のオーセンティケータランダム値を用いて、第1のターゲット暗号化ファイルを生成する、ここで、前記第1のターゲット暗号化ファイルは前記第1のターゲットペイロードを含む、
ように構成されている、
前記システム。
【請求項18】
前記第1のオーセンティケータペイロードを取得することが、オンラインの多要素認証の為の要求をターゲットマシンから受信することに応答する、請求項17に記載のシステム。
【請求項19】
コンピュータプログラムであって、
第1のオーセンティケータランダム値を含む第1のオーセンティケータペイロードを取得すること;
第1の暗号化アルゴリズムに基づいて及びオーセンティケータ公開鍵を用いて、第1のオーセンティケータ暗号化ファイルを生成すること、ここで、前記第1のオーセンティケータ暗号化ファイルは前記第1のオーセンティケータペイロードを含み、前記オーセンティケータ公開鍵はクライアントオーセンティケータアプリケーションに関連付けられている;
第1のターゲットランダム値を含む第1のターゲットペイロードを取得すること;並びに、
第2の暗号化アルゴリズムに基づいて及び前記第1のオーセンティケータランダム値を用いて、第1のターゲット暗号化ファイルを生成すること、ここで、前記第1のターゲット暗号化ファイルは前記第1のターゲットペイロードを含む、
を含む方法の各工程をコンピュータに実行させる、前記コンピュータプログラム。
【請求項20】
前記第1のオーセンティケータペイロードを取得することが、オンラインの多要素認証の為の要求をターゲットマシンから受信することに応答する、請求項19に記載のコンピュータプログラム。
【国際調査報告】
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.