トークン共有システムおよび方法
小売商、銀行、販売業者、他の消費者等のような多様な組の認証要求を持つエンティティに対して、消費者のようなエンティティを認証するスケーラブルなシステムおよび方法である。トークンのような認証信用証明書は、信用証明書の所有者を認証する方法として、いくつかのリソースの間で共有することができる。
【発明の詳細な説明】
【関連出願の相互参照】
【0001】
本出願は、2005年5月6日に出願された米国仮特許出願シリアル番号第60/678,214号の利益を主張している。この特許出願の開示は、その全体が参照によりここに組み込まれている。
【発明の分野】
【0002】
本発明の分野は、コンピュータの安全性、特に、認証である。
【本発明の背景】
【0003】
企業は、自身のデータおよび情報技術の機密性、完全性および保証されたサービスを保護するために強力な認証技術を使用していることで知られている。この認証技術は、デジタル証明書を各従業員に発行することや、トークンを各従業員に提供すること等を含むさまざまな方法を使用して実現されている。企業向けの強力な認証は、比較的、実現しやすい。その理由は、一般的に、単一性のエンティティが存在し、制御されるグループのユーザが、単一性のエンティティに対して、ユーザ自身、すなわち企業自身を認証しなければならないからである。
【0004】
消費者適用に対して強力な認証技術を適用することは困難である。デジタル証明書およびトークンは、小売商のような他のエンティティと消費者との対話に対する妨げであると認識されていたり、消費者も他のエンティティも自発的に負担しようとしない費用であったりする。しかしながら、識別子の盗用、フィッシング、中間者攻撃、およびクレジットカードの盗難のような、ハッカーによってもたらされる脅威がますます巧妙化し、与えられる損害が大きくなる観点から、いくつかの強力な認証技術を積極的に取り入れようとする消費者の意向は、増すものと予期することができる。これは、オンラインで行われる商取引および他の活動の量が年々増加することによってさらに強まる。
【0005】
実際には、危険に対する未解決の脅威および不愉快な出来事の結果として生じた蓄積そのものが、消費者活動のオンライン環境への継続的移行に対する現代の障害であると考えられる。より強力な認証が消費者に対して必要であるが、ある既知の解決策を実現することは困難である。例えば、大部分の企業のクライアントとは異なった方法で、消費者は、幅広いさまざまなエンティティに対して消費者自体を認証しなければならない。消費者は、一般的に、異なるエンティティに関係付けられている異なる認証証明書を常に監視することを望まない。例えば、多くの消費者は、銀行、クレジットカード、サービスプロバイダ、医療および役所の複数の口座を持っている。消費者による強力な認証から、これらのそれぞれの口座は利益を得る。このケースでは、口座ごとに1つの認証デバイスが消費者に発行される場合、消費者のポケットまたはキーリングがデバイスでいっぱいになる。これは、消費者にとって望ましくないことである。
【0006】
必要とされるものは、幅広い企業に対して消費者自体を認証するために、消費者によって使用することが可能な共有トークンを使用して、動作可能である認証システムおよび方法である。多くのサイトにわたって単一のトークンを共有できる場合、消費者は、セル電話機、車のキーまたはクレジットカードとほとんど同じように、必要なパーソナルツールとしてこれらを携帯し始める可能性が非常に高い。
【詳細な説明】
【0007】
ここで用いているような「識別子の共有」は、トークンの保持者のパーソナル識別子を認証する能力を共有することを意味している。「第2の要素の共有」は、トークンに関係付けられているエリアスを認証する能力を共有することを意味している。例えば、2要素認証システムは、パーソナル識別番号(「PIN」、すなわち「第1の要素」)とワンタイムパスワード(「OTP」、すなわち「第2の要素」)とを含んでいてもよい。PINは、トークンの個人保持者と認証システムとの間で共有されるシークレットである。特定のOTPは、一連の数字のうちの1つであってもよく、一連の数字は、所定のトークンによってのみに一意的に発生されたり、認証システムによってチェックすることができる。認証システムがPINをユーザから受け取って確認したとき、そのユーザはその特定のPINと相関付けられているので、システムはユーザを認証することができる。同様に、認証システムがOTPをトークンから受け取って確認したとき、そのトークンはその特定のOTPと相関付けられているので、認証システムはトークンを認証することができる。識別子共有システムにおいて、いくつかのエンティティのうちの何らかのものが、例えば、PINに基づいて、またはPINとOTPとに基づいて、ユーザの識別子を認証することができる。第2の要素の共有システムにおいて、いくつかのエンティティのうちの何らかのものが、OTPを使用して、トークン自体を認証することができる。例として、2要素認証デバイスを使用して、識別子および第2の要素の共有について説明しているが、本発明にしたがうと、あらゆる認証スキームを使用することができる。例えば、デジタル証明書および/またはチャンレンジ−応答スキームを第2の要素の共有に使用することができる。
【0008】
中央トークンサービスモデル
本発明の実施形態にしたがった中央トークンサービスインフラストラクチャは、例えば、ハードウェアトークン上に記憶および/またはハードウェアトークンによって実現される、証明書またはOTPのような、第2の要素の信用証明書を提供したり妥当性確認をしたりするために使用される。第2の要素を実現するトークンは、さまざまなアプリケーションおよび/またはウェブサイトのうちの任意のものにおいてアクティブ化されてもよい。アプリケーション自体のユーザデータベースにおいて、ユーザ名およびパスワードのような第1の要素をアプリケーションが管理することができる。トークンのアクティブ化の一部分として、アプリケーションは、ローカルユーザ名と、トークンシリアル番号のような共有される第2の要素のトークン識別子との間のマッピングを記憶することができる。
【0009】
妥当性確認のために、ユーザは、ユーザ名およびパスワードのような第1の要素と、トークンからのOTPまたはトークン上に記憶されている証明書のような第2の要素とを入力することができる。アプリケーションは、ローカル的に、第1の要素の妥当性確認をすることができる。妥当性確認が成功したとき、アプリケーションは、第1の要素に関係付けられているトークンシリアル番号を取り出し、例えば、インターネット、仮想私設ネットワーク等のようなネットワークを通して、中央バリデーションサービスに妥当性確認要求を送ることによって、第2の要素の妥当性確認をすることができる。第2の妥当性確認を実現するために、アプリケーションをホスト管理している企業は、バリデーションプロキシ(「認証エージェント」)を中央バリデーションサービスに配備してもよい。
【0010】
図1は、本発明の実施形態にしたがった中央バリデーションサービスを示している。インターネットサービスプロバイダ(「ISP」)101および銀行102は、ネットワーク104を通して中央バリデーションサービス103に結合されている。ISP101は、ISPアプリケーション105と、ISP認証エージェント106と、ISPユーザ記憶装置107とを備えていてもよい。ISPユーザ記憶装置は、第1の要素を、(ISP顧客、アドミニストレータ、従業員等の識別子のような)ユーザの識別子と相関付ける、1つ以上の第1の要素およびユーザ識別子のデータベースであってもよい。銀行102は、銀行業務アプリケーション108と、銀行認証エージェント109と、銀行ユーザ記憶装置110とを備えていてもよい。銀行ユーザ記憶装置110は、第1の要素を、(銀行口座保持者、銀行行員、銀行ITアドミニストレータ、銀行の従業員等のような)ユーザの識別子と相関付けるデータベースであってもよい。エンドユーザ111は、共有されているトークンをアクティブ化することができ、そして、トークンは、この例では、ISP101と銀行102との間で共有される。ISP101に対してユーザ自身を認証するために、エンドユーザ111は、ユーザ自身のISPユーザ名を入力してもよく、このケースでは、ユーザ名は、自身のeメールアドレス、例えば、joe@isp.com.である。また、エンドユーザ111は、自身の関係するパスワード(例えば、「rolf362」)と自身のトークンからのOTPとを入力することができる。ISPは、ISPユーザ記憶装置107を調べることによって、エンドユーザ111によって提供されたユーザ名およびパスワードの妥当性確認をする。ユーザ記憶装置107中のレコードの例は、ユーザ名と、ユーザパスワードと、デバイス識別子とを含む。例えば、(joe@isp.com、「rolf362」、27582343)がある。ISP101は、エンドユーザ111から受け取ったOTPとユーザ記憶装置から取り出されたトークン識別子とを含む要求を中央バリデーションサービス103に送ることができる。中央バリデーションサービス103は、トークンバリデーションアプリケーション112とトークン記憶装置113とを備えていてもよい。トークン記憶装置113は、データベースであってもよく、このデータベースは、トークン識別子を、予め計算されたOTPと、および/またはトークン識別子に関係付けられているトークン中に記憶されている1つ以上のシークレットと、および/またはトークンからのOTPを確認するのに必要とされる他の情報と相関付けるものである。バリデーションアプリケーション112は、受け取ったOTPをトークン記憶装置113から獲得された1つ以上のOTPと比較することができ、および/またはトークン記憶装置113から獲得されたデータに基づいて、受け取ったOTPとの比較のためのOTPを計算することができる。中央バリデーションサービス103は、OTPの妥当性確認が成功したか、または成功しなかったことを示す応答メッセージをISP101に送ることができる。エンドユーザ111からのユーザ名/パスワードおよびOTPの双方の妥当性確認が成功した場合、ISP101が、インターネットサービスをエンドユーザ111に提供することができる。
【0011】
同様に、エンドユーザ111は、ユーザ名(例えば、jsmith@bank.com)とパスワードとを銀行102に提供することができ、銀行102は、銀行ユーザ記憶装置110を使用して、ユーザ名およびパスワードの妥当性確認をすることができる。銀行102は、エンドユーザ111から受け取ったOTPとトークン識別子とを中央バリデーションサービス103に送ることができ、中央バリデーションサービス103がこのOTPおよびトークン識別子の有効性確認をし、応答メッセージを銀行に送ることができる。ユーザ名およびパスワードとOTPとの双方の妥当性確認が成功した場合、銀行102は、エンドユーザ111口座情報と銀行業務サービスに対するアクセスをエンドユーザ111に提供することができる。
【0012】
この例では、エンドユーザ111が、最初に、ISP101、銀行102、または中央バリデーションサービス103のいずれかのものからのトークンを獲得することができる。各アプリケーションは、トランザクションに対する認証サービスおよび商品を当事者に提供する中央バリデーションサービスおよびトークン発行者に支払うことができる。
【0013】
分散型バリデーションシステム
本発明の別の実施形態にしたがった分散型アーキテクチャを使用して、第2の要素の妥当性確認をすることができる。図2は、分散型バリデーションアーキテクチャの実施形態を示している。ISP204および銀行102は、インターネットのようなネットワーク104を通して、トークンルックアップサービス201に結合されている。ISP204はトークン記憶装置203を備えていてもよく、トークン記憶装置203はデータベースであってもよい。これは、トークン識別子を、予め計算されたOTPと、および/またはトークン識別子に関係付けられているトークン中に記憶されている1つ以上のシークレットと、および/またはトークンからのOTPを確認するのに必要とされる他の情報と相関付けるものである。この相関付けは、ISP204におけるワンタイムパスワードバリデーションサーバ205において実現されてもよい。
【0014】
トークンルックアップサービス201は、トークンマッピング記憶装置202を備えていてもよい。トークンマッピング記憶装置202は、トークンシリアル番号を、バリデーションサーバ205のネットワークアドレス(例えば、IPアドレス)と相関付けるレコードを含むデータベースであってもよく、バリデーションサーバ205は、トークンからの第2の要素の証明書の妥当性確認をすることができる。このようなバリデーションサーバは、そのトークンシリアル番号に対する認証バリデーションノード(AVN)である。いくつかのAVNは、分散型バリデーションサーバのネットワークを備えていてもよい。トークンマッピング記憶装置において記憶されているレコードの例は、(IP−アドレス、Token_Identifier)、例えば、(123.21.3.156,1453422207)であってもよい。この例では、123.21.3.156は、ワンタイムパスワードバリデーションサーバ205のネットワークアドレスであってもよく、1453422207は、ワンタイムパスワードがサーバ205によって妥当性確認されるべきトークンの識別子であってもよい。
【0015】
図1中に示している例では、ISP101は、トークンシリアル番号のリストまたは配列をトークンルックアップサービス201に登録することによって、トークン発行者として機能することができる。シリアル番号のリストまたは配列は、トークンマッピング記憶装置202中に記憶されていてもよく、トークンマッピング記憶装置202が、シリアル番号をISP101のIPアドレスと相関付ける。銀行102は、信頼性のある当事者として機能する。銀行102によって提供される情報およびサービスに対するアクセスをエンドユーザ111が要求した(銀行が、トークンのユーザによってアクセスが試された「リソース」である)とき、エンドユーザ111が、第1および第2の認証要素とエンドユーザ111トークンのシリアル番号とを銀行102に提供する。銀行102は、銀行ユーザ記憶装置110を使用して、(ユーザ名およびパスワードのような)第1の要素の妥当性確認をすることができる。これは、銀行102、例えば、認証エージェント109が実現されるサーバにおいて、リソースバリデーションサーバを使用して実現されてもよい。リソースバリデーションサーバは、ジョーのユーザ名とトークンシリアル番号との間のマッピングをローカルユーザ記憶装置中に記憶することができる。また、リソースバリデーションサーバは、トークンのAVN情報をローカル的にキャッシュすることができる。リソースバリデーションサーバはDNSキャッシングに対して実現されるとき、キャッシングが実現されてもよい。
【0016】
また、銀行102は、エンドユーザ111によって提供されるトークンシリアル番号を含む要求をトークンルックアップサービス201に送ることができる。トークンマッピング記憶装置202は、トークンシリアル番号をAVN IPアドレスと相関付け、この例では、AVN IPアドレスはISP101のIPアドレスである。トークンルックアップサービス201はAVN(ISP101)のIPアドレスを銀行102に返すことができる。ISP101は、トークン記憶装置203とトークンバリデーションアプリケーション205を備えていてもよい。銀行102は妥当性確認要求をISP101に送ることができ、ISP101は、トークンバリデーションアプリケーション205とトークン記憶装置203とを使用して、第2の要素の妥当性確認をすることができる。ISP101は、応答メッセージにおいて、妥当性確認の結果を銀行102に送ることができる。
【0017】
図2中に示されている例では、エンドユーザ111は、自身のユーザ名(joe@isp.com)、自身の関係するパスワード(「rolf362」)および自身のトークンからのOTPを使用して、自身のISPに対して認証することができる。ISPおよび銀行の双方は分散型バリデーションサービスを実現するので、エンドユーザ111は、自身のユーザ名(jsmith@bank.com)、関係するパスワード(「Rolf362」)および自身のISP発行トークンからのOTPを利用して、銀行102において自身のオンライン銀行業務アプリケーションにログインすることができる。
【0018】
トークン発行者、信頼性のある当事者およびトークンルックアップサービス201は、必要に応じて、互いに自身を認証することができる。このことは、第2の要素の妥当性確認に対する認証機能および請求機能を当事者が取り入れることを可能にし、1組の豊富なビジネスモデルが可能になる。
【0019】
クレデンシャルウォレット
本発明の別の実施形態にしたがうと、Java(登録商標)セル電話機のような次世代移動体デバイス、ならびに、記憶およびアプリケーション能力を備えているPDA、ならびに、証明書を管理する何らかの形態のグラフィックインターフェイスに対して、クレデンシャルウォレットモデルに影響を及ぼす。この実施形態では、移動体デバイスは、第2の要素の信用証明書の複数のインスタンスを含むことが可能な「ウォレット」であってもよい。強力な認証を必要とする各サイトに対して、適切な1つまたは複数の信用証明書にアクセスすることができる。
【0020】
図3中に示されている例では、(示されていない)エンドユーザ111の移動体電話機が、異なるアプリケーションおよび/またはサイトに対して提供されている異なるOTP信用証明書を持っていてもよい。エンドユーザ111は、自身のISPユーザ名(例えば、joe@isp.com)、関係するパスワード(「rolf362」)およびISP301に対する適切なOTP値を使用することによって、ISP301にログインすることができる。ISP301に対する第2の要素は、ISPバリデーションアプリケーション303およびトークン記憶装置203を使用して、妥当性確認することができる。エンドユーザ111は、図4中に示しているように、ISP301に対する適切なOTP値を獲得することができる。エンドユーザ111は、セル電話機403のディスプレイスクリーン402上に示されている適切なアイコンにカーソル401をスクロールすることができる。エンドユーザ111にPIN404を入力するように依頼し、PINは、セル電話機403によって妥当性確認をすることができる。PINの妥当性確認が成功すると、OTP値405がスクリーン402上に表示される。
【0021】
エンドユーザ111は、自身のユーザ名(例えば、jsmith@bank.com)、関係するパスワード(「rolf32」)、およびエンドユーザ111のセル電話機によって発生されるような、自身の銀行のOTPトークンからのOTP値を使用することによって、自身のオンライン銀行口座にログオンすることができる。銀行302に対する第2の要素は、銀行バリデーションアプリケーション304およびトークン記憶装置305を使用して、妥当性確認をすることができる。
【0022】
このクレデンシャルウォレットの実施形態では、各エンティティは、各エンティティ自体の第1および第2の要素の認証インフラストラクチャを配備することができる。トークン自体が共有されていないので、外部認証/妥当性確認の当事者による依存性はない。むしろ、適切なソフトウェアを備えているセル電話機のような、共通のトークンを発生させるデバイスをさまざまなトークンが「共有」している。
【0023】
先に説明した実施形態のそれぞれは、共存することが可能であり、そして同一の認証ネットワークに参加できるように組み込むことが可能である。各実施形態は、共通の目的状態に向けた進化的プロセスの一部分として、単独で配備することができ、各実施形態は、信頼されて、フレキシブルで、経済的で、使用しやすい、消費者アプリケーション向けの認証システムである。
【0024】
本発明の実施形態は、信用証明書の識別子を使用している複数のシステムにわたって、さまざまなデバイスのユーザおよび/または信用証明書を関係付けて認証することができる。信用証明書の識別子は、(名前またはEメールアドレスのような)ユーザの識別子であってもよく、また、(数字のような)匿名の識別子であってもよい。匿名の識別子は、(ユーザ名および/またはトークン識別子のハッシング、信用証明書の照会のような)1組のユーザ識別子の一方向変換の結果のような内部(opaque)識別子である。
【0025】
本発明の実施形態は、内部識別子を真の識別子から発生させるアノニマイザサービスをサポートすることができる。さらに、信頼性のある異なる当事者によって、同一のデバイスに対して、異なった信用証明書の識別子を同一のユーザに使用することができる。信用証明書は、プライバシーを保護する方法で、例えば、ランダム化(純粋なランダム化、ランダム暗号化等)またはユーザの追跡を回避する何らかの適したプロセスを使用することによって送信されてもよい。
【0026】
本発明の実施形態にしたがった方法は、トークンID、すなわちトークンルックアップサービスに基づいて、正確な妥当性確認ノードを見つけるサービスを説明することができる。トークンルックアップサービスは、トークンバリデーションノードに対してトークン識別子をマッピングするリストを管理することができる。各トークンに対して、1つより多いトークン識別子があってもよい。認証された当事者は、トークンルックアップサービスに問い合わせて、正確な妥当性確認ノードをサービスごとに決定することができる。本発明は、複数のデバイスおよび複数の認証アルゴリズムによってワークを動作させることができる。本発明は、デスクトップPC上のソフトウェア、移動体デバイス上のソフトウェア、専用ハードウェア、あるいは他の何らかの適切なプラットフォームで実現されてもよい。
【0027】
本発明は、信用証明書および認証アルゴリズムに基づいて、ワンタイムパスワード、チャレンジ/応答およびPKI(デジタル証明書)を使用することができる。匿名のデバイスおよび信用証明書、ならびにパーソナル識別子を含んでいるデバイスおよび信用証明書を使用することができる。
【0028】
本発明の実施形態は中央サービスを含んでおり、この中央サービスによって、複数の信頼性のある当事者が、同一の認証デバイスまたは信用証明書に対する妥当性確認要求を送ることが可能になる。
【0029】
本発明の実施形態は、「トークンウォレット」に使用されてもよい。これらのウォレットには、異なるサービスに対する複数の信用証明書が含まれていてもよい。ウォレットにおける各信用証明書は、複数のサービスによって使用することができる。ウォレットは、1つより多い共有されている信用証明書、共有されていない信用証明書、ならびにOTP信用証明書、デジタル証明書、チャレンジおよび応答の信用証明書等のような複数のタイプの信用証明書を含んでいてもよい。ウォレットには、1つより多い各タイプの信用証明書が含まれていてもよく、または、何らかのタイプの信用証明書がまったく含まれていなくてもよい。
【0030】
本発明の実施形態は、中央メンテナンス機能を備えていてもよい。信用証明書が紛失されたり、壊されたり、盗用された場合、すべてのアプリケーションにわたって、トークンを単一の動作でディセーブルすることができる。信用証明書が無効にされたり、または悪用された場合、アドミニストレータが、すべてのアプリケーションまたは指定されたサブセットのアプリケーションにわたって信用証明書をディセーブルすることができる。これもまた単一の動作で実行することができる。
【0031】
前述のものは、本発明の例示を意味しており、本発明の範囲を限定するものではないことを意味している。上記に明示的に記述されていない他の実施形態は、当業者によって正しく認識されるように特許請求の範囲によって含まれている。
【図面の簡単な説明】
【0032】
【図1】図1は、本発明の実施形態にしたがった中央バリデーションサービスを示している。
【図2】図2は、本発明の実施形態にしたがった分散型バリデーションサービスを示している。
【図3】図3は、本発明の実施形態にしたがったクレデンシャルウォレットアーキテクチャを示している。
【図4】図4は、本発明の実施形態にしたがって、複数のトークンを発生させることができる単一のデバイスのセル電話機のインプリメンテーションを示している。
【関連出願の相互参照】
【0001】
本出願は、2005年5月6日に出願された米国仮特許出願シリアル番号第60/678,214号の利益を主張している。この特許出願の開示は、その全体が参照によりここに組み込まれている。
【発明の分野】
【0002】
本発明の分野は、コンピュータの安全性、特に、認証である。
【本発明の背景】
【0003】
企業は、自身のデータおよび情報技術の機密性、完全性および保証されたサービスを保護するために強力な認証技術を使用していることで知られている。この認証技術は、デジタル証明書を各従業員に発行することや、トークンを各従業員に提供すること等を含むさまざまな方法を使用して実現されている。企業向けの強力な認証は、比較的、実現しやすい。その理由は、一般的に、単一性のエンティティが存在し、制御されるグループのユーザが、単一性のエンティティに対して、ユーザ自身、すなわち企業自身を認証しなければならないからである。
【0004】
消費者適用に対して強力な認証技術を適用することは困難である。デジタル証明書およびトークンは、小売商のような他のエンティティと消費者との対話に対する妨げであると認識されていたり、消費者も他のエンティティも自発的に負担しようとしない費用であったりする。しかしながら、識別子の盗用、フィッシング、中間者攻撃、およびクレジットカードの盗難のような、ハッカーによってもたらされる脅威がますます巧妙化し、与えられる損害が大きくなる観点から、いくつかの強力な認証技術を積極的に取り入れようとする消費者の意向は、増すものと予期することができる。これは、オンラインで行われる商取引および他の活動の量が年々増加することによってさらに強まる。
【0005】
実際には、危険に対する未解決の脅威および不愉快な出来事の結果として生じた蓄積そのものが、消費者活動のオンライン環境への継続的移行に対する現代の障害であると考えられる。より強力な認証が消費者に対して必要であるが、ある既知の解決策を実現することは困難である。例えば、大部分の企業のクライアントとは異なった方法で、消費者は、幅広いさまざまなエンティティに対して消費者自体を認証しなければならない。消費者は、一般的に、異なるエンティティに関係付けられている異なる認証証明書を常に監視することを望まない。例えば、多くの消費者は、銀行、クレジットカード、サービスプロバイダ、医療および役所の複数の口座を持っている。消費者による強力な認証から、これらのそれぞれの口座は利益を得る。このケースでは、口座ごとに1つの認証デバイスが消費者に発行される場合、消費者のポケットまたはキーリングがデバイスでいっぱいになる。これは、消費者にとって望ましくないことである。
【0006】
必要とされるものは、幅広い企業に対して消費者自体を認証するために、消費者によって使用することが可能な共有トークンを使用して、動作可能である認証システムおよび方法である。多くのサイトにわたって単一のトークンを共有できる場合、消費者は、セル電話機、車のキーまたはクレジットカードとほとんど同じように、必要なパーソナルツールとしてこれらを携帯し始める可能性が非常に高い。
【詳細な説明】
【0007】
ここで用いているような「識別子の共有」は、トークンの保持者のパーソナル識別子を認証する能力を共有することを意味している。「第2の要素の共有」は、トークンに関係付けられているエリアスを認証する能力を共有することを意味している。例えば、2要素認証システムは、パーソナル識別番号(「PIN」、すなわち「第1の要素」)とワンタイムパスワード(「OTP」、すなわち「第2の要素」)とを含んでいてもよい。PINは、トークンの個人保持者と認証システムとの間で共有されるシークレットである。特定のOTPは、一連の数字のうちの1つであってもよく、一連の数字は、所定のトークンによってのみに一意的に発生されたり、認証システムによってチェックすることができる。認証システムがPINをユーザから受け取って確認したとき、そのユーザはその特定のPINと相関付けられているので、システムはユーザを認証することができる。同様に、認証システムがOTPをトークンから受け取って確認したとき、そのトークンはその特定のOTPと相関付けられているので、認証システムはトークンを認証することができる。識別子共有システムにおいて、いくつかのエンティティのうちの何らかのものが、例えば、PINに基づいて、またはPINとOTPとに基づいて、ユーザの識別子を認証することができる。第2の要素の共有システムにおいて、いくつかのエンティティのうちの何らかのものが、OTPを使用して、トークン自体を認証することができる。例として、2要素認証デバイスを使用して、識別子および第2の要素の共有について説明しているが、本発明にしたがうと、あらゆる認証スキームを使用することができる。例えば、デジタル証明書および/またはチャンレンジ−応答スキームを第2の要素の共有に使用することができる。
【0008】
中央トークンサービスモデル
本発明の実施形態にしたがった中央トークンサービスインフラストラクチャは、例えば、ハードウェアトークン上に記憶および/またはハードウェアトークンによって実現される、証明書またはOTPのような、第2の要素の信用証明書を提供したり妥当性確認をしたりするために使用される。第2の要素を実現するトークンは、さまざまなアプリケーションおよび/またはウェブサイトのうちの任意のものにおいてアクティブ化されてもよい。アプリケーション自体のユーザデータベースにおいて、ユーザ名およびパスワードのような第1の要素をアプリケーションが管理することができる。トークンのアクティブ化の一部分として、アプリケーションは、ローカルユーザ名と、トークンシリアル番号のような共有される第2の要素のトークン識別子との間のマッピングを記憶することができる。
【0009】
妥当性確認のために、ユーザは、ユーザ名およびパスワードのような第1の要素と、トークンからのOTPまたはトークン上に記憶されている証明書のような第2の要素とを入力することができる。アプリケーションは、ローカル的に、第1の要素の妥当性確認をすることができる。妥当性確認が成功したとき、アプリケーションは、第1の要素に関係付けられているトークンシリアル番号を取り出し、例えば、インターネット、仮想私設ネットワーク等のようなネットワークを通して、中央バリデーションサービスに妥当性確認要求を送ることによって、第2の要素の妥当性確認をすることができる。第2の妥当性確認を実現するために、アプリケーションをホスト管理している企業は、バリデーションプロキシ(「認証エージェント」)を中央バリデーションサービスに配備してもよい。
【0010】
図1は、本発明の実施形態にしたがった中央バリデーションサービスを示している。インターネットサービスプロバイダ(「ISP」)101および銀行102は、ネットワーク104を通して中央バリデーションサービス103に結合されている。ISP101は、ISPアプリケーション105と、ISP認証エージェント106と、ISPユーザ記憶装置107とを備えていてもよい。ISPユーザ記憶装置は、第1の要素を、(ISP顧客、アドミニストレータ、従業員等の識別子のような)ユーザの識別子と相関付ける、1つ以上の第1の要素およびユーザ識別子のデータベースであってもよい。銀行102は、銀行業務アプリケーション108と、銀行認証エージェント109と、銀行ユーザ記憶装置110とを備えていてもよい。銀行ユーザ記憶装置110は、第1の要素を、(銀行口座保持者、銀行行員、銀行ITアドミニストレータ、銀行の従業員等のような)ユーザの識別子と相関付けるデータベースであってもよい。エンドユーザ111は、共有されているトークンをアクティブ化することができ、そして、トークンは、この例では、ISP101と銀行102との間で共有される。ISP101に対してユーザ自身を認証するために、エンドユーザ111は、ユーザ自身のISPユーザ名を入力してもよく、このケースでは、ユーザ名は、自身のeメールアドレス、例えば、joe@isp.com.である。また、エンドユーザ111は、自身の関係するパスワード(例えば、「rolf362」)と自身のトークンからのOTPとを入力することができる。ISPは、ISPユーザ記憶装置107を調べることによって、エンドユーザ111によって提供されたユーザ名およびパスワードの妥当性確認をする。ユーザ記憶装置107中のレコードの例は、ユーザ名と、ユーザパスワードと、デバイス識別子とを含む。例えば、(joe@isp.com、「rolf362」、27582343)がある。ISP101は、エンドユーザ111から受け取ったOTPとユーザ記憶装置から取り出されたトークン識別子とを含む要求を中央バリデーションサービス103に送ることができる。中央バリデーションサービス103は、トークンバリデーションアプリケーション112とトークン記憶装置113とを備えていてもよい。トークン記憶装置113は、データベースであってもよく、このデータベースは、トークン識別子を、予め計算されたOTPと、および/またはトークン識別子に関係付けられているトークン中に記憶されている1つ以上のシークレットと、および/またはトークンからのOTPを確認するのに必要とされる他の情報と相関付けるものである。バリデーションアプリケーション112は、受け取ったOTPをトークン記憶装置113から獲得された1つ以上のOTPと比較することができ、および/またはトークン記憶装置113から獲得されたデータに基づいて、受け取ったOTPとの比較のためのOTPを計算することができる。中央バリデーションサービス103は、OTPの妥当性確認が成功したか、または成功しなかったことを示す応答メッセージをISP101に送ることができる。エンドユーザ111からのユーザ名/パスワードおよびOTPの双方の妥当性確認が成功した場合、ISP101が、インターネットサービスをエンドユーザ111に提供することができる。
【0011】
同様に、エンドユーザ111は、ユーザ名(例えば、jsmith@bank.com)とパスワードとを銀行102に提供することができ、銀行102は、銀行ユーザ記憶装置110を使用して、ユーザ名およびパスワードの妥当性確認をすることができる。銀行102は、エンドユーザ111から受け取ったOTPとトークン識別子とを中央バリデーションサービス103に送ることができ、中央バリデーションサービス103がこのOTPおよびトークン識別子の有効性確認をし、応答メッセージを銀行に送ることができる。ユーザ名およびパスワードとOTPとの双方の妥当性確認が成功した場合、銀行102は、エンドユーザ111口座情報と銀行業務サービスに対するアクセスをエンドユーザ111に提供することができる。
【0012】
この例では、エンドユーザ111が、最初に、ISP101、銀行102、または中央バリデーションサービス103のいずれかのものからのトークンを獲得することができる。各アプリケーションは、トランザクションに対する認証サービスおよび商品を当事者に提供する中央バリデーションサービスおよびトークン発行者に支払うことができる。
【0013】
分散型バリデーションシステム
本発明の別の実施形態にしたがった分散型アーキテクチャを使用して、第2の要素の妥当性確認をすることができる。図2は、分散型バリデーションアーキテクチャの実施形態を示している。ISP204および銀行102は、インターネットのようなネットワーク104を通して、トークンルックアップサービス201に結合されている。ISP204はトークン記憶装置203を備えていてもよく、トークン記憶装置203はデータベースであってもよい。これは、トークン識別子を、予め計算されたOTPと、および/またはトークン識別子に関係付けられているトークン中に記憶されている1つ以上のシークレットと、および/またはトークンからのOTPを確認するのに必要とされる他の情報と相関付けるものである。この相関付けは、ISP204におけるワンタイムパスワードバリデーションサーバ205において実現されてもよい。
【0014】
トークンルックアップサービス201は、トークンマッピング記憶装置202を備えていてもよい。トークンマッピング記憶装置202は、トークンシリアル番号を、バリデーションサーバ205のネットワークアドレス(例えば、IPアドレス)と相関付けるレコードを含むデータベースであってもよく、バリデーションサーバ205は、トークンからの第2の要素の証明書の妥当性確認をすることができる。このようなバリデーションサーバは、そのトークンシリアル番号に対する認証バリデーションノード(AVN)である。いくつかのAVNは、分散型バリデーションサーバのネットワークを備えていてもよい。トークンマッピング記憶装置において記憶されているレコードの例は、(IP−アドレス、Token_Identifier)、例えば、(123.21.3.156,1453422207)であってもよい。この例では、123.21.3.156は、ワンタイムパスワードバリデーションサーバ205のネットワークアドレスであってもよく、1453422207は、ワンタイムパスワードがサーバ205によって妥当性確認されるべきトークンの識別子であってもよい。
【0015】
図1中に示している例では、ISP101は、トークンシリアル番号のリストまたは配列をトークンルックアップサービス201に登録することによって、トークン発行者として機能することができる。シリアル番号のリストまたは配列は、トークンマッピング記憶装置202中に記憶されていてもよく、トークンマッピング記憶装置202が、シリアル番号をISP101のIPアドレスと相関付ける。銀行102は、信頼性のある当事者として機能する。銀行102によって提供される情報およびサービスに対するアクセスをエンドユーザ111が要求した(銀行が、トークンのユーザによってアクセスが試された「リソース」である)とき、エンドユーザ111が、第1および第2の認証要素とエンドユーザ111トークンのシリアル番号とを銀行102に提供する。銀行102は、銀行ユーザ記憶装置110を使用して、(ユーザ名およびパスワードのような)第1の要素の妥当性確認をすることができる。これは、銀行102、例えば、認証エージェント109が実現されるサーバにおいて、リソースバリデーションサーバを使用して実現されてもよい。リソースバリデーションサーバは、ジョーのユーザ名とトークンシリアル番号との間のマッピングをローカルユーザ記憶装置中に記憶することができる。また、リソースバリデーションサーバは、トークンのAVN情報をローカル的にキャッシュすることができる。リソースバリデーションサーバはDNSキャッシングに対して実現されるとき、キャッシングが実現されてもよい。
【0016】
また、銀行102は、エンドユーザ111によって提供されるトークンシリアル番号を含む要求をトークンルックアップサービス201に送ることができる。トークンマッピング記憶装置202は、トークンシリアル番号をAVN IPアドレスと相関付け、この例では、AVN IPアドレスはISP101のIPアドレスである。トークンルックアップサービス201はAVN(ISP101)のIPアドレスを銀行102に返すことができる。ISP101は、トークン記憶装置203とトークンバリデーションアプリケーション205を備えていてもよい。銀行102は妥当性確認要求をISP101に送ることができ、ISP101は、トークンバリデーションアプリケーション205とトークン記憶装置203とを使用して、第2の要素の妥当性確認をすることができる。ISP101は、応答メッセージにおいて、妥当性確認の結果を銀行102に送ることができる。
【0017】
図2中に示されている例では、エンドユーザ111は、自身のユーザ名(joe@isp.com)、自身の関係するパスワード(「rolf362」)および自身のトークンからのOTPを使用して、自身のISPに対して認証することができる。ISPおよび銀行の双方は分散型バリデーションサービスを実現するので、エンドユーザ111は、自身のユーザ名(jsmith@bank.com)、関係するパスワード(「Rolf362」)および自身のISP発行トークンからのOTPを利用して、銀行102において自身のオンライン銀行業務アプリケーションにログインすることができる。
【0018】
トークン発行者、信頼性のある当事者およびトークンルックアップサービス201は、必要に応じて、互いに自身を認証することができる。このことは、第2の要素の妥当性確認に対する認証機能および請求機能を当事者が取り入れることを可能にし、1組の豊富なビジネスモデルが可能になる。
【0019】
クレデンシャルウォレット
本発明の別の実施形態にしたがうと、Java(登録商標)セル電話機のような次世代移動体デバイス、ならびに、記憶およびアプリケーション能力を備えているPDA、ならびに、証明書を管理する何らかの形態のグラフィックインターフェイスに対して、クレデンシャルウォレットモデルに影響を及ぼす。この実施形態では、移動体デバイスは、第2の要素の信用証明書の複数のインスタンスを含むことが可能な「ウォレット」であってもよい。強力な認証を必要とする各サイトに対して、適切な1つまたは複数の信用証明書にアクセスすることができる。
【0020】
図3中に示されている例では、(示されていない)エンドユーザ111の移動体電話機が、異なるアプリケーションおよび/またはサイトに対して提供されている異なるOTP信用証明書を持っていてもよい。エンドユーザ111は、自身のISPユーザ名(例えば、joe@isp.com)、関係するパスワード(「rolf362」)およびISP301に対する適切なOTP値を使用することによって、ISP301にログインすることができる。ISP301に対する第2の要素は、ISPバリデーションアプリケーション303およびトークン記憶装置203を使用して、妥当性確認することができる。エンドユーザ111は、図4中に示しているように、ISP301に対する適切なOTP値を獲得することができる。エンドユーザ111は、セル電話機403のディスプレイスクリーン402上に示されている適切なアイコンにカーソル401をスクロールすることができる。エンドユーザ111にPIN404を入力するように依頼し、PINは、セル電話機403によって妥当性確認をすることができる。PINの妥当性確認が成功すると、OTP値405がスクリーン402上に表示される。
【0021】
エンドユーザ111は、自身のユーザ名(例えば、jsmith@bank.com)、関係するパスワード(「rolf32」)、およびエンドユーザ111のセル電話機によって発生されるような、自身の銀行のOTPトークンからのOTP値を使用することによって、自身のオンライン銀行口座にログオンすることができる。銀行302に対する第2の要素は、銀行バリデーションアプリケーション304およびトークン記憶装置305を使用して、妥当性確認をすることができる。
【0022】
このクレデンシャルウォレットの実施形態では、各エンティティは、各エンティティ自体の第1および第2の要素の認証インフラストラクチャを配備することができる。トークン自体が共有されていないので、外部認証/妥当性確認の当事者による依存性はない。むしろ、適切なソフトウェアを備えているセル電話機のような、共通のトークンを発生させるデバイスをさまざまなトークンが「共有」している。
【0023】
先に説明した実施形態のそれぞれは、共存することが可能であり、そして同一の認証ネットワークに参加できるように組み込むことが可能である。各実施形態は、共通の目的状態に向けた進化的プロセスの一部分として、単独で配備することができ、各実施形態は、信頼されて、フレキシブルで、経済的で、使用しやすい、消費者アプリケーション向けの認証システムである。
【0024】
本発明の実施形態は、信用証明書の識別子を使用している複数のシステムにわたって、さまざまなデバイスのユーザおよび/または信用証明書を関係付けて認証することができる。信用証明書の識別子は、(名前またはEメールアドレスのような)ユーザの識別子であってもよく、また、(数字のような)匿名の識別子であってもよい。匿名の識別子は、(ユーザ名および/またはトークン識別子のハッシング、信用証明書の照会のような)1組のユーザ識別子の一方向変換の結果のような内部(opaque)識別子である。
【0025】
本発明の実施形態は、内部識別子を真の識別子から発生させるアノニマイザサービスをサポートすることができる。さらに、信頼性のある異なる当事者によって、同一のデバイスに対して、異なった信用証明書の識別子を同一のユーザに使用することができる。信用証明書は、プライバシーを保護する方法で、例えば、ランダム化(純粋なランダム化、ランダム暗号化等)またはユーザの追跡を回避する何らかの適したプロセスを使用することによって送信されてもよい。
【0026】
本発明の実施形態にしたがった方法は、トークンID、すなわちトークンルックアップサービスに基づいて、正確な妥当性確認ノードを見つけるサービスを説明することができる。トークンルックアップサービスは、トークンバリデーションノードに対してトークン識別子をマッピングするリストを管理することができる。各トークンに対して、1つより多いトークン識別子があってもよい。認証された当事者は、トークンルックアップサービスに問い合わせて、正確な妥当性確認ノードをサービスごとに決定することができる。本発明は、複数のデバイスおよび複数の認証アルゴリズムによってワークを動作させることができる。本発明は、デスクトップPC上のソフトウェア、移動体デバイス上のソフトウェア、専用ハードウェア、あるいは他の何らかの適切なプラットフォームで実現されてもよい。
【0027】
本発明は、信用証明書および認証アルゴリズムに基づいて、ワンタイムパスワード、チャレンジ/応答およびPKI(デジタル証明書)を使用することができる。匿名のデバイスおよび信用証明書、ならびにパーソナル識別子を含んでいるデバイスおよび信用証明書を使用することができる。
【0028】
本発明の実施形態は中央サービスを含んでおり、この中央サービスによって、複数の信頼性のある当事者が、同一の認証デバイスまたは信用証明書に対する妥当性確認要求を送ることが可能になる。
【0029】
本発明の実施形態は、「トークンウォレット」に使用されてもよい。これらのウォレットには、異なるサービスに対する複数の信用証明書が含まれていてもよい。ウォレットにおける各信用証明書は、複数のサービスによって使用することができる。ウォレットは、1つより多い共有されている信用証明書、共有されていない信用証明書、ならびにOTP信用証明書、デジタル証明書、チャレンジおよび応答の信用証明書等のような複数のタイプの信用証明書を含んでいてもよい。ウォレットには、1つより多い各タイプの信用証明書が含まれていてもよく、または、何らかのタイプの信用証明書がまったく含まれていなくてもよい。
【0030】
本発明の実施形態は、中央メンテナンス機能を備えていてもよい。信用証明書が紛失されたり、壊されたり、盗用された場合、すべてのアプリケーションにわたって、トークンを単一の動作でディセーブルすることができる。信用証明書が無効にされたり、または悪用された場合、アドミニストレータが、すべてのアプリケーションまたは指定されたサブセットのアプリケーションにわたって信用証明書をディセーブルすることができる。これもまた単一の動作で実行することができる。
【0031】
前述のものは、本発明の例示を意味しており、本発明の範囲を限定するものではないことを意味している。上記に明示的に記述されていない他の実施形態は、当業者によって正しく認識されるように特許請求の範囲によって含まれている。
【図面の簡単な説明】
【0032】
【図1】図1は、本発明の実施形態にしたがった中央バリデーションサービスを示している。
【図2】図2は、本発明の実施形態にしたがった分散型バリデーションサービスを示している。
【図3】図3は、本発明の実施形態にしたがったクレデンシャルウォレットアーキテクチャを示している。
【図4】図4は、本発明の実施形態にしたがって、複数のトークンを発生させることができる単一のデバイスのセル電話機のインプリメンテーションを示している。
【特許請求の範囲】
【請求項1】
認証システムにおいて、
識別子を有し、ワンタイムパスワードを発生させるように構成および配置されているトークンと、
トークンによって発生されたワンタイムパスワードの妥当性確認をするように構成および配置され、ネットワークアドレスを有しているワンタイムパスワードバリデーションサーバと、
トークン識別子をバリデーションサーバのネットワークのロケーションと相関付けるように構成および配置されているトークンルックアップサービスと、
トークンのユーザによって提供された少なくとも第1の認証要素の妥当性確認をし、第1の要素の妥当性確認が成功した場合、ワンタイムパスワードバリデーションサーバのロケーションに対する要求をトークンルックアップサーバに送り、ワンタイムパスワードバリデーション要求をワンタイムパスワードバリデーションサーバに送るように構成および配置されているリソースバリデーションサーバとを具備する認証システム。
【請求項2】
トークンのユーザによって提供された第1の認証要素は、ユーザ名を含む請求項1記載のシステム。
【請求項3】
トークンのユーザによって提供された第1の認証要素は、トークンのユーザとリソースバリデーションサービスとの間で共有されるシークレットを含む請求項1記載のシステム。
【請求項4】
プロセッサと、
プロセッサに結合されているメモリとを具備し、
プロセッサおよびメモリは、ワンタイムパスワードバリデーションサーバのネットワークアドレスとトークン識別子とを記憶するように構成および配置され、
ワンタイムパスワードバリデーションサーバは、トークン識別子に対応しているトークンによって発生されるワンタイムパスワードの妥当性確認をするように構成および配置されているトークンルックアップサーバ。
【請求項5】
プロセッサおよびメモリは、
トークンのワンタイムパスワードバリデーションサーバのネットワークアドレスに対する要求であって、トークンに対応しているトークン識別子を含む要求を受け取り、
受け取ったトークン識別子に対応するネットワークアドレスを決定し、
要求に応答して、決定されたネットワークアドレスを送るようにさらに構成および適合されている請求項4記載のトークンルックアップサーバ。
【請求項6】
認証する方法において、
トークンルックアップサービスにおいて、ワンタイムパスワードバリデーションサーバのネットワークアドレスに対する要求であって、トークン識別子を含む要求を受け取ることと、
ワンタイムパスワードバリデーションサーバと受け取ったトークン識別子とに対応しているネットワークアドレスを決定することと、
要求に応答して、ネットワークアドレスを送ることとを含む方法。
【請求項1】
認証システムにおいて、
識別子を有し、ワンタイムパスワードを発生させるように構成および配置されているトークンと、
トークンによって発生されたワンタイムパスワードの妥当性確認をするように構成および配置され、ネットワークアドレスを有しているワンタイムパスワードバリデーションサーバと、
トークン識別子をバリデーションサーバのネットワークのロケーションと相関付けるように構成および配置されているトークンルックアップサービスと、
トークンのユーザによって提供された少なくとも第1の認証要素の妥当性確認をし、第1の要素の妥当性確認が成功した場合、ワンタイムパスワードバリデーションサーバのロケーションに対する要求をトークンルックアップサーバに送り、ワンタイムパスワードバリデーション要求をワンタイムパスワードバリデーションサーバに送るように構成および配置されているリソースバリデーションサーバとを具備する認証システム。
【請求項2】
トークンのユーザによって提供された第1の認証要素は、ユーザ名を含む請求項1記載のシステム。
【請求項3】
トークンのユーザによって提供された第1の認証要素は、トークンのユーザとリソースバリデーションサービスとの間で共有されるシークレットを含む請求項1記載のシステム。
【請求項4】
プロセッサと、
プロセッサに結合されているメモリとを具備し、
プロセッサおよびメモリは、ワンタイムパスワードバリデーションサーバのネットワークアドレスとトークン識別子とを記憶するように構成および配置され、
ワンタイムパスワードバリデーションサーバは、トークン識別子に対応しているトークンによって発生されるワンタイムパスワードの妥当性確認をするように構成および配置されているトークンルックアップサーバ。
【請求項5】
プロセッサおよびメモリは、
トークンのワンタイムパスワードバリデーションサーバのネットワークアドレスに対する要求であって、トークンに対応しているトークン識別子を含む要求を受け取り、
受け取ったトークン識別子に対応するネットワークアドレスを決定し、
要求に応答して、決定されたネットワークアドレスを送るようにさらに構成および適合されている請求項4記載のトークンルックアップサーバ。
【請求項6】
認証する方法において、
トークンルックアップサービスにおいて、ワンタイムパスワードバリデーションサーバのネットワークアドレスに対する要求であって、トークン識別子を含む要求を受け取ることと、
ワンタイムパスワードバリデーションサーバと受け取ったトークン識別子とに対応しているネットワークアドレスを決定することと、
要求に応答して、ネットワークアドレスを送ることとを含む方法。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公表番号】特表2008−541242(P2008−541242A)
【公表日】平成20年11月20日(2008.11.20)
【国際特許分類】
【出願番号】特願2008−510256(P2008−510256)
【出願日】平成18年5月5日(2006.5.5)
【国際出願番号】PCT/US2006/017404
【国際公開番号】WO2006/121854
【国際公開日】平成18年11月16日(2006.11.16)
【出願人】(502377350)ベリサイン・インコーポレイテッド (28)
【Fターム(参考)】
【公表日】平成20年11月20日(2008.11.20)
【国際特許分類】
【出願日】平成18年5月5日(2006.5.5)
【国際出願番号】PCT/US2006/017404
【国際公開番号】WO2006/121854
【国際公開日】平成18年11月16日(2006.11.16)
【出願人】(502377350)ベリサイン・インコーポレイテッド (28)
【Fターム(参考)】
[ Back to top ]