知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2025-01-14
(54)【発明の名称】仮想秘密鍵のシステムおよび手法
(51)【国際特許分類】
H04L 9/08 20060101AFI20250106BHJP
【FI】
H04L9/08 D
H04L9/08 F
【審査請求】未請求
【予備審査請求】未請求
(21)【出願番号】P 2023580968
(86)(22)【出願日】2022-08-02
(85)【翻訳文提出日】2024-02-27
(86)【国際出願番号】 US2022039164
(87)【国際公開番号】W WO2023278902
(87)【国際公開日】2023-01-05
(31)【優先権主張番号】17/852,923
(32)【優先日】2022-06-29
(33)【優先権主張国・地域又は機関】US
(81)【指定国・地域】
(71)【出願人】
【識別番号】524001640
【氏名又は名称】セーフムーン・ユーエス・エルエルシー
(74)【代理人】
【識別番号】100114188
【弁理士】
【氏名又は名称】小野 誠
(74)【代理人】
【識別番号】100119253
【弁理士】
【氏名又は名称】金山 賢教
(74)【代理人】
【識別番号】100124855
【弁理士】
【氏名又は名称】坪倉 道明
(74)【代理人】
【識別番号】100129713
【弁理士】
【氏名又は名称】重森 一輝
(74)【代理人】
【識別番号】100137213
【弁理士】
【氏名又は名称】安藤 健司
(74)【代理人】
【識別番号】100183519
【弁理士】
【氏名又は名称】櫻田 芳恵
(74)【代理人】
【識別番号】100196483
【弁理士】
【氏名又は名称】川嵜 洋祐
(74)【代理人】
【識別番号】100160749
【弁理士】
【氏名又は名称】飯野 陽一
(74)【代理人】
【識別番号】100160255
【弁理士】
【氏名又は名称】市川 祐輔
(74)【代理人】
【識別番号】100219265
【弁理士】
【氏名又は名称】鈴木 崇大
(74)【代理人】
【識別番号】100203208
【弁理士】
【氏名又は名称】小笠原 洋平
(74)【代理人】
【識別番号】100146318
【弁理士】
【氏名又は名称】岩瀬 吉和
(74)【代理人】
【識別番号】100127812
【弁理士】
【氏名又は名称】城山 康文
(72)【発明者】
【氏名】スプラグス,リン・ディー
(72)【発明者】
【氏名】スプラグス,ロバート・ジェイ
(57)【要約】
本開示の要約
複数のエンティティ間で信頼関係を確立するために、個人認証情報を使用して仮想秘密鍵を生成するシステムで、認証情報はリモートのセキュアなリポジトリに保存される。認証情報エンティティを公開することなく秘密鍵をセキュアに生成できるように、第三者の情報を使用せずに統合された個人の知識と一連のアルゴリズムおよび方法論からなる情報とデータを使用する。
【選択図】 図1
複数のエンティティ間で信頼関係を確立するために、個人認証情報を使用して仮想秘密鍵を生成するシステムで、認証情報はリモートのセキュアなリポジトリに保存される。認証情報エンティティを公開することなく秘密鍵をセキュアに生成できるように、第三者の情報を使用せずに統合された個人の知識と一連のアルゴリズムおよび方法論からなる情報とデータを使用する。
【選択図】 図1
【特許請求の範囲】
【請求項1】
ユーザーと単一/複数のエンティティとの間で信頼関係を確立するために使用される仮想秘密鍵を生成するためのシステムで、以下の要素から構成される。プロセッサーとメモリーを備えたユーザーデバイス
秘密鍵マイナーで構成される認証情報ファクトリー
認証情報ジェネレーター
ユーザーの要求に応じて仮想秘密鍵を生成する認証情報ファクトリーは、クレジットジェネレーターを介してユーザーの認証情報を取得する。仮想秘密鍵はオプションとしてユーザーによって保存され、クレジットファクトリーは仮想秘密鍵に紐づく公開鍵を個別に生成する。
【請求項2】
請求項1の仮想秘密鍵を生成するシステムで、認証情報ジェネレーターによって、セキュアなエスクローデータベースを備えたセキュアなエスクローサーバーに匿名化されたユーザー認証情報を送信する。
【請求項3】
請求項1の仮想秘密鍵を生成するシステムで、ユーザー認証情報を公開されていないユーザーの個人情報で構成する。
【請求項4】
請求項3の仮想秘密鍵を生成するシステムで、ユーザー認証情報および一連のアルゴリズムと方法論を用いて、ユーザー認証情報を公開することなく、ゆえに第三者の情報を必要とせずに、セキュアな秘密鍵を生成する。
【請求項5】
請求項4の仮想秘密鍵を生成するシステムで、仮想秘密鍵がニーモニックワードを導出し、さらにユーザーデバイスのRAM上に暗号化されたランダム情報を保存するためのユーザーデバイス上のデジタルウォレットを構成する。同システムは、ユーザーがシステムと連携するアルゴリズムを能動的に使用している場合にのみ、暗号化されたランダム情報を使用して仮想秘密鍵およびニーモニックワードを導出し、利用可能にする。
【請求項6】
請求項1の仮想秘密鍵を生成するシステムで、秘密鍵をいかなるデータベースにも保存せず、仮想状態でのみ維持する
秘密鍵が必要になった場合はいつでも、まず匿名化された認証情報を生成し、この認証情報を秘密鍵マイナーに渡すことによって、ユーザーの知識から秘密鍵を再生成することができる
また、秘密性を必要としない他のすべてのシステムの構成要素は通常どおりに保存できる。
【請求項7】
請求項1の仮想秘密鍵を生成するシステムを使用する方法で、以下のステップから構成される。1. 認証情報ファクトリーをユーザーデバイスのメモリーにダウンロードする
2. 認証情報ジェネレーターのインターフェースをユーザーに提供し、ユーザーが個人認証情報を入力できるようにする
3. 認証情報ファクトリーに仮想秘密鍵の作成を要求する
4. 認証情報ジェネレーターから認証情報ファクトリーに認証情報を転送する
5. 匿名化された認証情報を使用して、認証情報ファクトリーで仮想秘密鍵を生成する
6. 認証情報ファクトリーを使用して、仮想秘密鍵に紐づく公開鍵を生成する
7. 公開鍵をユーザーデバイスのストレージに保存する
8. オプションとして、仮想秘密鍵に紐づく匿名化された個人認証情報を、セキュアなエスクローサーバーとセキュアなエスクローデータベースに保存する
【発明の詳細な説明】
【技術分野】
【0001】
関連出願の相互参照
本出願は、2021年6月30日出願の米国仮出願番号第63/216,842号に対して優先権を主張するものである。
本出願は、2021年6月30日出願の米国仮出願番号第63/216,842号に対して優先権を主張するものである。
【0002】
連邦支援の研究または開発に関する声明
本発明は、連邦政府の資金を使用して研究開発されたものではない。
本発明は、連邦政府の資金を使用して研究開発されたものではない。
【0003】
共同研究契約の関係者名
該当なし。
該当なし。
【0004】
ここで言及することにより本書に組み込まれる配列表
該当なし。
該当なし。
【0005】
背景
【背景技術】
【0006】
本開示は、商業活動における仮想秘密鍵と公開鍵の使用に関するものである。
【発明の背景】
【0007】
クラウドコンピューティングとストレージは、サードパーティのデータセンターにデータを保存し、処理する機能をユーザーに提供する。ユーザーとサービスプロバイダー間のデータ通信において、プロバイダーは、すべての重要なデータ(例えばクレジットカード番号など)をマスキングまたは暗号化し、許可されたユーザーのみがデータ全体にアクセスできるようにする必要がある。さらに、デジタルIDと認証情報は、プロバイダーがクラウドでの顧客活動について収集または作成するあらゆるデータと同様に保護されなければならない。
【0008】
クラウドデータサービスに関連する数多くのセキュリティ上の脅威が存在する。これには従来型の脅威と非従来型の脅威が含まれる。従来型の脅威には、ネットワーク盗聴、不法侵入、サービス拒否攻撃などがある。クラウドコンピューティング特有の脅威としては、サイドチャネル攻撃、仮想化の脆弱性、クラウドサービスの悪用などが挙げられる。こうした脅威を軽減するために、セキュリティ管理では、多くの場合、機密性、完全性、アクセス制御性の3つの領域を監視する必要がある。本開示はアクセス制御に関するものである。
【0009】
アクセス制御性とは、データ所有者がクラウドに委託したデータへのアクセスを選択的に制限できることを意味する。合法的なユーザーは所有者からデータへのアクセスを許可されるが、それ以外のユーザーは許可なくデータにアクセスすることはできない。アクセス制御は可用性とも呼ばれることがある。不正アクセスは厳しく禁止する必要があるが、管理者用、さらには消費者用のアクセスは許可するとともに、監視する必要がある。可用性とアクセス制御によって、適切な者に適切なレベルの権限が確実に付与される。
【0010】
仮想セキュリティキーは、クラウドベースデータ、またはサービスプロバイダーによって、あるいはサービスプロバイダーに代わって保存されたデータへの仮想アクセスを個人ユーザーに与えるものとして商業市場で認知されている。セキュリティキーは、セキュアな方法で情報を交換するために使用されることがある。ユーザーは、第三者がデータを傍受して情報を復元できないように、データをセキュアに交換できることを望む場合が多い。
【0011】
そのような状況の例として、会計事務所が財務情報をクライアントに送信する必要がある場合が挙げられる。会計事務所はまずクライアントとの信頼関係を確立し、この信頼関係に基づいて情報をセキュアに送信しなければならない。
【0012】
現在、ユーザーとサービスプロバイダーが共有するデータの暗号化と復号化には、非対称鍵と対称鍵の2種類が使われている。それぞれの鍵は既知のアルゴリズムの一種であるが、非対称鍵は秘密鍵と公開鍵のペアとして具現化されるのに対し、対称鍵は暗号化と復号化の両方で同一であるという点で大きく異なる。秘密鍵は常に秘密にしておかなければならない。通常、秘密鍵は暗号化された機密情報の送信者と受信者の間で共有されない。現在、公開鍵基盤(PKI)タイプの鍵のように、大きな素数から導出される公開鍵と秘密鍵を使用するシステムでは、データの暗号化と復号化で共有される対称鍵が使用されている。
【0013】
こうしたPKIシステムでは、一方の鍵がデータの暗号化に使われ、もう一方の鍵がデータの復号化に使われる。従来から、公開鍵は共有され、データの暗号化に使われるが、秘密鍵は秘密にされ、データの復号化に使われている。問題は、暗号化できるデータ量が2つの鍵のモジュラスのサイズによって制限されてしまうことである。モジュラスが1024ビットの公開鍵は、16バイト長の文字列のみを暗号化できる。このため、PKIシステムは、任意の量のデータを暗号化するために使用できる対称鍵を共有するために使用される。したがって、システムの強度は、共有できる対象鍵の長さに比例することは明らかであり、より大きな対称鍵を生成するシステムを導入することが望ましい。対称鍵を使用する場合、暗号化と復号化の両方で同じ鍵にしなければならない。そのため、対称鍵を効果的に使うには、共有する鍵を安全に相手に転送する必要がある。PKI秘密鍵の紛失は多くの問題を引き起こすが、その大部分は公開鍵の失効が必要になることに関連する。ウェブトランザクションにおけるこの問題を軽減するため、公開鍵と秘密鍵を用いて2者間で対称鍵を共有する。対称鍵を共有する例として、セキュアソケットレイヤー(SSL)がある。
【0014】
共有する対称鍵を使えばこの制限はなくなるが、その場合、鍵を共有するために2者間に信頼関係を築く必要が生じる。原則として、対称鍵はPKI関連システムを用いて共有される。
【0015】
この仮想鍵の方法論は、2つの問題を解決するものである。第一に、信頼関係を築くことなくデータを交換できるシステム、第二に、永続的で容易に再生成できる公開鍵と秘密鍵を生成するシステムが必要とされている。この方法論は、従来の暗号化機能と少なくとも同等レベルのセキュリティを提供する一方で、認証局や失効リストの必要性など、従来のセキュリティに関連する障壁の多くを取り除く。この方法論は、許可されたユーザーのみがアクセスできるように、保存された業務データを保護する機能をシステムに提供し、従来型の侵害の試みを排除する。場合によっては、システムで使用される情報は、使用するためにデバイスに保存される代わりに、デバイスに保存された暗号化データから導出される。
【本発明の簡単な説明】
【0016】
好ましい実施形態では、ユーザーと単一または複数のエンティティとの間の信頼関係を確立するために使用される仮想秘密鍵を生成するシステムで、以下の要素から構成される。
【0017】
・プロセッサーとメモリーを備えたユーザーデバイス
・秘密鍵マイナーで構成される認証情報ファクトリー
・認証情報ジェネレーター
ユーザーの要求に応じて仮想秘密鍵を生成する認証情報ファクトリーは、クレジットジェネレーターを介してユーザーの認証情報を取得する。仮想秘密鍵はオプションとしてユーザーによって保存され、クレジットファクトリーは仮想秘密鍵に紐づく公開鍵を個別に生成する。
・秘密鍵マイナーで構成される認証情報ファクトリー
・認証情報ジェネレーター
ユーザーの要求に応じて仮想秘密鍵を生成する認証情報ファクトリーは、クレジットジェネレーターを介してユーザーの認証情報を取得する。仮想秘密鍵はオプションとしてユーザーによって保存され、クレジットファクトリーは仮想秘密鍵に紐づく公開鍵を個別に生成する。
【0018】
別の好ましい実施形態では、本書で説明する仮想秘密鍵を生成するシステムで、認証情報ジェネレーターによって、セキュアなエスクローデータベースを備えたセキュアなエスクローサーバーに匿名化されたユーザー認証情報を送信する。
【0019】
別の好ましい実施形態では、本書で説明する仮想秘密鍵を生成するシステムで、ユーザー認証情報を公開されていないユーザーの個人情報で構成する。
【0020】
別の好ましい実施形態では、本書で説明する仮想秘密鍵を生成するシステムで、ユーザー認証情報および一連のアルゴリズムと方法論を用いて、ユーザー認証情報を公開することなく、ゆえに第三者の情報を必要とせずに、セキュアな秘密鍵を生成する。
【0021】
別の好ましい実施形態では、本書で説明する仮想秘密鍵を生成するシステムで、仮想秘密鍵がニーモニックワードを導出し、さらにユーザーデバイスのRAM上に暗号化されたランダム情報を保存するためのユーザーデバイス上のデジタルウォレットを構成する。同システムは、ユーザーがシステムと連携するアルゴリズムを能動的に使用している場合にのみ、暗号化されたランダム情報を使用して仮想秘密鍵およびニーモニックワードを導出し、利用可能にする。
【0022】
別の好ましい実施形態では、本書で説明する仮想秘密鍵を生成するシステムで、秘密鍵をいかなるデータベースにも保存せず、仮想状態でのみ維持する。秘密鍵が必要になった場合はいつでも、まず匿名化された認証情報を生成し、この認証情報を秘密鍵マイナーに渡すことによって、ユーザーの知識から秘密鍵を再生成することができる。また、秘密性を必要としない他のすべてのシステムの構成要素は通常どおりに保存できる。
【0023】
別の好ましい実施形態では、本書で説明する仮想秘密鍵を生成するシステムを使用する方法で、以下のステップから構成される。
【0024】
1. 認証情報ファクトリーをユーザーデバイスのメモリーにダウンロードする
2. 認証情報ジェネレーターのインターフェースをユーザーに提供し、ユーザーが個人認証情報を入力できるようにする
3. 認証情報ファクトリーに仮想秘密鍵の作成を要求する
4. 認証情報ジェネレーターから認証情報ファクトリーに認証情報を転送する
5. 匿名化された認証情報を使用して、認証情報ファクトリーで仮想秘密鍵を生成する
6. 認証情報ファクトリーを使用して、仮想秘密鍵に紐づく公開鍵を生成する
7. 公開鍵をユーザーデバイスのストレージに保存する
8. オプションとして、仮想秘密鍵に紐づく匿名化された個人認証情報を、セキュアなエスクローサーバーとセキュアなエスクローデータベースに保存する
2. 認証情報ジェネレーターのインターフェースをユーザーに提供し、ユーザーが個人認証情報を入力できるようにする
3. 認証情報ファクトリーに仮想秘密鍵の作成を要求する
4. 認証情報ジェネレーターから認証情報ファクトリーに認証情報を転送する
5. 匿名化された認証情報を使用して、認証情報ファクトリーで仮想秘密鍵を生成する
6. 認証情報ファクトリーを使用して、仮想秘密鍵に紐づく公開鍵を生成する
7. 公開鍵をユーザーデバイスのストレージに保存する
8. オプションとして、仮想秘密鍵に紐づく匿名化された個人認証情報を、セキュアなエスクローサーバーとセキュアなエスクローデータベースに保存する
【図面の簡単な説明】
【0025】
【0026】
本発明の詳細な説明
本発明の仮想秘密鍵の生成は、一例として、複数のエンティティ間でデータを共有するために使用される。同時に、仮想秘密鍵は暗号通貨のような商業的な用途で使用することもできる。本発明の秘密鍵は個人の認証情報により設定するが、他の個人情報でソルトを付与することもできる。
本発明の仮想秘密鍵の生成は、一例として、複数のエンティティ間でデータを共有するために使用される。同時に、仮想秘密鍵は暗号通貨のような商業的な用途で使用することもできる。本発明の秘密鍵は個人の認証情報により設定するが、他の個人情報でソルトを付与することもできる。
【0027】
この方法論は、本書に記載する本発明の方法論を使用して、リモートのセキュアなリポジトリに認証情報をセキュアに保存できるようにする。開示したシステムの実施例として、ユーザーによって選択されたユーザー名やパスワードなどの認証情報エンティティを公開することなく、秘密鍵をセキュアに生成できるように統合された個人ユーザーの知識と一連のアルゴリズムおよび方法論からなる情報とデータを使用することが挙げられる。実施形態の中には、鍵の生成に第三者の情報を必要としないものもある。ユーザー認証情報は、匿名にする非可逆的な方法論を通じて渡される。現行システムでは、仮想鍵の生成と再生成のプロセスにおいて、ハッシュアルゴリズムとランダム化アルゴリズムが使用されている。
【0028】
この実施形態の一例として、ユーザーが受入可能なユーザー名とパスワードを提供しなければならないシステムへのユーザー登録が挙げられる。こうしたユーザー認証情報は擬似ランダム文字列の生成に使用され、その文字列は秘密鍵の生成に使用される。生成される秘密鍵の特性は、再生成が可能であることと、仮想鍵であることである。さらに、ユーザーの知識に基づくため、ユーザー名とパスワードをいかなるシステムにも保存する必要がない。この実施形態では、既存のシステムと互換性を持たせるため、秘密鍵は商取引で使用できるように生成される。より具体的には、秘密鍵を使用して、暗号ウォレットに対して有効な2048語のリストから選択された24語の有効なシーケンスを生成することができる。このリストを生成する方法論は他にもあるが、本発明の手法はユーザー認証情報に基づいている。ユーザー認証情報は、プロセスのリバースエンジニアリングによって取得することはできない。
【0029】
本発明は、楕円曲線の特性を利用して、適切な秘密鍵と公開鍵を生成する。こうした楕円曲線の使用はよく知られているが、本書で説明する方法論は独自かつ革新的である。この方法論では、CF内部の「マイニング」プロセスを利用し、32バイト(各8ビット)の文字列を生成し、一般的に知られている2048語のリストから24語のシーケンスを生成する。たとえば、この24語は、暗号通貨で秘密鍵を形成するための基礎ともなる。なお、この方法論によって生成することができる2つの相互排他的な公開鍵(すなわち、仮想秘密鍵から導出される公開鍵と、文字列に由来する鍵から導出される公開鍵)があることに留意されたい。これらの公開鍵のうち1つは暗号通貨に適しており、もう1つはデータ共有に適している。
【0030】
主な実施形態において、本発明のシステムは単一の他のエンティティとのデータ共有に限定されない。むしろ、複数のエンティティが情報をセキュアに共有できるようになっている。公開鍵はこの秘密鍵から導出できるため、本実施形態は秘密鍵の形成と使用に関連している。本システムの設計では、現在の公開鍵インフラを使用する必要はない。本システムは、所有者の認証情報が他のいかなる当事者にも提供されない点、秘密鍵が決して保存されず、基礎となるシステムに公開されない点、そして容易に再生成可能な仮想鍵である点で、独自かつ独創的である。便宜上、秘密鍵は強力な暗号鍵で暗号化して保存することもできる。
【0031】
本システムおよび手法の主な実施形態の1つを図1に示す。詳細については下記に述べる。この実施形態では、データへのアクセスを中止しない限り、公開鍵と秘密鍵の改ざんや偽造は不可能である。どちらかの鍵が改ざんまたは偽造された場合、鍵の間に1対1の関係がないため、情報の復号は失敗する。鍵が改ざんされた場合、暗号化されたデータへのアクセスが開始される前に、ユーザーの認証が即座に失敗するため、システム上で直ちに改ざんが検出される。このシステムでは、必要な認証情報が入力され、検証されるまで、認証情報で暗号化されたデータは本質的に保護される。この方法論は、認証情報を比較するのではなく、暗号化と復号化の成否によって認証を達成できるという独創的なステップを利用している。
【0032】
この種のシステムの利点として、重要な秘密鍵を公開することなく、効果的かつ信頼性の高いシステムを提供できることが挙げられる。ユーザーのデバイスが紛失または盗難にあった場合、ユーザーの個人認証情報を使って新しい秘密鍵と関連データを再生成することができる。認証情報は強力にすることができるが、覚えやすいものでなくてはならない。
【0033】
別の主な実施形態では、本書で説明する仮想秘密鍵を生成するシステムで、ユーザーの個人情報および一連のアルゴリズムと方法論を用いて、認証情報エンティティを公開することなく、ゆえに第三者の情報を必要とせずに、秘密鍵をセキュアに生成する。このメカニズムが実際に使われている例としては、データを保護し、誰にも公開しないことが要求される暗号通貨のウォレットがある。登録が完了すると、ウォレットに保存されている情報が数学的に計算されて秘密鍵が作られ、その秘密鍵を使ってニーモニックワードが導出される。大半のウォレットは認証のために秘密鍵、ニーモニック、パスワードをデバイスに保存し、最低限の保護を提供しているが、デバイスの紛失や盗難によってデータが流出する可能性がある。本メカニズムでは、そのような情報は一切保存されず、デバイス上のユーザーに関連する認証情報も保存されない。ウォレットの秘密鍵とニーモニックは、ウォレットに保存され、セッションの間RAMに保持される暗号化されたランダムな情報から、必要な時だけ導出される。機密情報はアクティブなセッションの間だけ、そしてユーザーが必要とする場合のみ、RAM上で利用できるため、これにより機密情報が保護される。セッションが終了すると、その機微情報はRAMから削除され、デバイスを紛失したり盗難にあったりしても、デバイスから情報を引き出すことはできなくな。本メカニズムにより、セッションが非アクティブなときはいつでも、ウォレットは侵入から保護される。
【0034】
詳細な図面の説明
図1は、本書で開示する仮想秘密鍵のシステムおよび手法の一例を概説するものであり、クライアント/ユーザーが、個人のモバイルデバイス、タブレット、パーソナルコンピュータからなるユーザーデバイス2を使用して、セキュアなトランザクションを設定するところから始まる。この図では、クライアントは自身のローカルデバイスに認証情報ファクトリー3(以下、「CF」)をインストール済みである。各CFは、下記に説明する図3のプロセスに従って動作するソフトウェアとして具現化された「マイナー」で構成される。この図で、システムの構成要素には数字、各ステップにはアルファベットが付いている。
図1は、本書で開示する仮想秘密鍵のシステムおよび手法の一例を概説するものであり、クライアント/ユーザーが、個人のモバイルデバイス、タブレット、パーソナルコンピュータからなるユーザーデバイス2を使用して、セキュアなトランザクションを設定するところから始まる。この図では、クライアントは自身のローカルデバイスに認証情報ファクトリー3(以下、「CF」)をインストール済みである。各CFは、下記に説明する図3のプロセスに従って動作するソフトウェアとして具現化された「マイナー」で構成される。この図で、システムの構成要素には数字、各ステップにはアルファベットが付いている。
【0035】
ステップAにおいて、ユーザーは、ローカルにインストールされたCF3に要求を送信し、ユーザー固有の認証情報を使用して仮想鍵を作成する。これはトランザクション設定インターフェースの一環として自動的に実行される場合もある。ステップAでは、まず認証情報ジェネレーター4(以下、「CG」)に進む。
【0036】
ステップBにおいて、CF 3サーバーは、まずユーザーデバイス2からユーザー認証情報を収集し、次にユーザーから提供された認証情報から匿名化された認証情報を作成することにより、CG4を介してユーザーから認証情報を取得する。CG4は、このユーザーのために適切な認証情報を選択するよう構成されている。認証情報は、ユーザー名、パスワード、質問に対する回答、さらにはウェアラブルデバイスやハードウェアトークンから取得した再生成可能な生体認証または情報などで構成されることがある。CF3は、匿名化された認証情報を取り込み、再生成可能な秘密鍵を生成する。なお、CG4はCF3の構成要素であるが、別の実施形態では、CG4とCF3を別個の構成要素とすることも可能である。CF3の構成要素はローカルまたはリモートに配置することができ、CG4とCF3をクライアントとサーバーの関係にすることもできる。秘密鍵は、生成に使用されるユーザー認証情報に比例した強度を持つことができる。
【0037】
ステップCにおいて、CF3は、生成した秘密鍵を仮想的にデバイスのRAM上で利用可能にするか、あるいはインターネットなどを通じて送信して、ユーザーが利用できるようにする。本実施例において、この鍵は表示または保存する必要がない。
【0038】
ステップDにおいて、CF3は、関連する公開鍵を生成し、その公開鍵を他のデータとともに、ユーザーデバイス2のストレージコンテナ/メモリーからなるストレージデバイス8に送信する。このストレージデバイス8は、ハードドライブのようなローカルディスクストレージデバイスや関連デバイス、あるいはクラウド上のリモートストレージとして具現化することができる。保存されたデータはセキュアである必要はなく、実際には一般利用を目的としている。
【0039】
ステップEにおいて、ユーザーが認証情報を生成できなくなった場合にユーザー2が認証情報を取得できるように、ユーザーの匿名化された秘密の認証情報をバックアップとして、関連するセキュアなエスクローサーバー5に送信することができる。匿名化された認証情報をユーザー認証情報に戻すことは不可能であり、エスクローにある匿名化された認証情報は関連する個人情報がなければ役に立たない。次に、セキュアなエスクローサーバー5は、オプションのステップFで、匿名化された認証情報を関連するセキュアなエスクローデータベース6に保存することができる。
【0040】
【0041】
1. 認証情報ファクトリーをユーザーデバイスのメモリーにダウンロードする
2. 認証情報ジェネレーターのインターフェースをユーザーに提供し、ユーザーが個人認証情報を入力できるようにする
3. 認証情報ファクトリーに仮想秘密鍵の作成を要求する
4. 認証情報ジェネレーター4から認証情報ファクトリー5に認証情報を転送する
5. 匿名化された認証情報を使用して、認証情報ファクトリー3で仮想秘密鍵を生成する
6. 認証情報ファクトリー3を使用して、仮想秘密鍵に紐づく公開鍵を生成する
7. 公開鍵をユーザーデバイスのストレージ8に保存する
8. オプションとして、仮想秘密鍵に紐づく匿名化された個人認証情報を、セキュアなエスクローサーバー5とセキュアなエスクローデータベース6に保存する
図3は、システムが受信したユーザー固有の匿名化された認証情報(以下、「AC」)から導出された仮想秘密鍵(以下、「VPK」)をユーザーに返すための秘密鍵マイナー3Aおよび関連する手法を示すフローチャートである。
2. 認証情報ジェネレーターのインターフェースをユーザーに提供し、ユーザーが個人認証情報を入力できるようにする
3. 認証情報ファクトリーに仮想秘密鍵の作成を要求する
4. 認証情報ジェネレーター4から認証情報ファクトリー5に認証情報を転送する
5. 匿名化された認証情報を使用して、認証情報ファクトリー3で仮想秘密鍵を生成する
6. 認証情報ファクトリー3を使用して、仮想秘密鍵に紐づく公開鍵を生成する
7. 公開鍵をユーザーデバイスのストレージ8に保存する
8. オプションとして、仮想秘密鍵に紐づく匿名化された個人認証情報を、セキュアなエスクローサーバー5とセキュアなエスクローデータベース6に保存する
図3は、システムが受信したユーザー固有の匿名化された認証情報(以下、「AC」)から導出された仮想秘密鍵(以下、「VPK」)をユーザーに返すための秘密鍵マイナー3Aおよび関連する手法を示すフローチャートである。
【0042】
ステップAでは、登録デバイスからACを受信する
ACには2バイトのエンタープライズコード(以下、「EC」)が含まれている。
ACには2バイトのエンタープライズコード(以下、「EC」)が含まれている。
【0043】
ECは登録システムを区別するために使われる。
【0044】
ステップBでは、ACを受信し、疑似ランダム文字列(以下、「PB」)を生成するプロセスに渡す。
【0045】
ジェネレーターに同じACとECを与えることにより、PBを再現することができる。
【0046】
ステップCでは、PBをハッシュ化し、ECと照合する。
【0047】
ハッシュが一致すれば、ステップFで5に進む。
【0048】
ハッシュが一致しなければ、ステップDで4に進む。
【0049】
ランダム文字列をインクリメントする。
【0050】
PBを1つ増やし、3に戻って再度チェックする。
【0051】
有効なハッシュがマッチするまでこの手順を続ける。
【0052】
ステップFでは、VPKをシステムに戻す。
【0053】
部品の索引:
1 仮想鍵システム
2 ユーザーデバイス
3 認証情報ファクトリー(CF)
3A 秘密鍵マイナー
4 認証情報ジェネレーターサーバー(CG)
5 セキュアなエスクローサーバー
6 セキュアなエスクローデータベース
7 仮想鍵
ユーザーデバイスのストレージ
当業者のレベルの教示に関連し、特許請求された発明の主題を一般人が理解するために必要な任意の開示を含むため、本書に引用された参考文献の全体が本書に組み込まれる。上述の実施形態は、本発明の範囲から逸脱することなく改変され得ること、またはわずかな変更を行うことができることは、当業者にとって明確である。したがって、本発明の範囲は以下の請求項の範囲およびその公平な同等物によって決定される。
1 仮想鍵システム
2 ユーザーデバイス
3 認証情報ファクトリー(CF)
3A 秘密鍵マイナー
4 認証情報ジェネレーターサーバー(CG)
5 セキュアなエスクローサーバー
6 セキュアなエスクローデータベース
7 仮想鍵
ユーザーデバイスのストレージ
当業者のレベルの教示に関連し、特許請求された発明の主題を一般人が理解するために必要な任意の開示を含むため、本書に引用された参考文献の全体が本書に組み込まれる。上述の実施形態は、本発明の範囲から逸脱することなく改変され得ること、またはわずかな変更を行うことができることは、当業者にとって明確である。したがって、本発明の範囲は以下の請求項の範囲およびその公平な同等物によって決定される。
【図1】
【図2】
【図3】
【国際調査報告】