トークン認証システムおよび方法
【課題】ワン・タイム・パスワードを計算する方法を提供すること。
【解決手段】ワン・タイム・パスワードを計算する方法に関する。シークレットはカウントと連結され、シークレットは特有にトークンに割当てられる。シークレットは私設キーでもよく、或いは共有されたシークレット対称キーでもよい。カウントはトークンにおいて単調に増加する数であり、トークンにおいて発生さたれたワン・タイム・パスワードの番号を有している。そのカウントはまた認証サーバにおいて追跡され、認証サーバにおけるワン・タイム・パスワードの各計算により単調に増加する。OTPは連結されたシークレットとカウントをハッシュすることによって計算されることができる。その結果は切捨てることができる。
【解決手段】ワン・タイム・パスワードを計算する方法に関する。シークレットはカウントと連結され、シークレットは特有にトークンに割当てられる。シークレットは私設キーでもよく、或いは共有されたシークレット対称キーでもよい。カウントはトークンにおいて単調に増加する数であり、トークンにおいて発生さたれたワン・タイム・パスワードの番号を有している。そのカウントはまた認証サーバにおいて追跡され、認証サーバにおけるワン・タイム・パスワードの各計算により単調に増加する。OTPは連結されたシークレットとカウントをハッシュすることによって計算されることができる。その結果は切捨てることができる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、認証に関し、特にハードウエア装置を使用する認証に関する。
【背景技術】
【0002】
ネットワーク中においてデータまたはサービスにアクセスするリクエストを許可するか否かを決定する通常のステップはリクエストしているユーザを識別して認証することである。認証はユーザのアイデンティティを確認するプロセスを含んでいる。既知の識別および認証システムはユーザ識別子(“ユーザid”)とユーザに対するシークレット(“パスワード”)との関係を含んでいる。パスワードはユーザと認証サービス機関との間で共有されているシークレットである。ユーザは自己のユーザidとパスワードを認証サービス機関に提示し、その認証サービス機関はそれらをそのサービス機関に記憶されているユーザidおよび関連するパスワードと比較する。それらが整合している場合には、ユーザは認証されたとされる。整合しない場合には、ユーザは認証されないとされる。
【0003】
トークンはユーザを認証するために使用されることのできる装置である。それは1以上のシークレットを含むことができ、それらのシークレットの幾つかは確認センターと共有されることができる。例えば、トークンはワン・タイム・パスワード(OTP)を計算するベースとして使用されることのできるシークレットキーを記憶することができる。OTPはかって生成され、その後は再使用されていない番号(またはアルファベット列)であってもよい。トークンはOTPを発生してそれを特有のトークン通し番号と共に認証サーバへ送る。認証サーバは受信された通し番号によりそのトークンに対するそのシークレットキーのコピーを使用してOTPを計算することができる。OTPが整合する場合には、ユーザは認証されるべきであるとされる。ユーザからトークンへのリンクをさらに強力にするために、ユーザはトークンのロックを解除することにより入力されなければならないトークンと共有されたシークレット個人識別番号(PIN)を設定することができる。その代りにPINはユーザと、トークンと、認証サーバとの間で共有されることができ、OTPを生成するための他のファクタと共に使用されることができる。トークンは典型的に許可されていない開示からそのシークレットを保護するために盗用に対する抵抗力の高い手段を具えている。
【発明の概要】
【発明が解決しようとする課題】
【0004】
本発明の目的は、ワン・タイム・パスワードを計算する方法を提供することである。
【課題を解決するための手段】
【0005】
シークレットはカウントと連結され、シークレットは特有にトークンに割当てられる。シークレットは私設キーであってもよく、或いは共有されたシークレット対称キーであってもよい。カウントはトークンにおいて単調に増加する数であり、トークンにおいて発生さたれたワン・タイム・パスワードの番号を有している。そのカウントはまた認証サーバにおいて追跡され、それにおいて認証サーバにおけるワン・タイム・パスワードの各計算と共に単調に増加する。OTPは連結されたシークレットとカウントとをハッシュすることによって計算されることができる。その結果は切捨てることができる。
【0006】
本発明の1実施形態では、ハードウエア装置においてワン・タイム・パスワード(OTP)を発生するためのプロトコルを含んでおり、それはユーザを認証するために使用される。OTPはトークンにより発生され、そのトークンは、それが含まれているソフトウエアおよび情報の許可されない変更や、開放を阻止して、その適切な機能を確保するためのメカニズムを含んでいる物理的な装置であることができる。
【0007】
このプロトコルの1実施形態は、シーケンスベースであることができ、2ファクタ、例えばユーザの知識(個人識別番号、ユーザと認証サービス機関との間で共有されるシークレットのようなもの)およびユーザが所有している例えばトークンのような特別の特性を有する物理的装置(例えば私設キーまたは共有された対称キーのような特有のシークレットキー)である。
【0008】
OTPを発生するためのプロトコルはカウンタに基づくことが可能であり、例えばOTPがトークンからリクエストされる回数に基づいた単調に増加する数である。OTPの値はトークン上に表示されることができ、例えばネットワークに結合されているコンピュータに結合されているキーボードを介してユーザにより容易に読取られ、入力されることができる。OTPはRADIUSシステムによって転送されることができる。
【図面の簡単な説明】
【0009】
【図1】本発明の1実施形態による認証手順のフロー図。
【図2】本発明の別の実施形態による認証手順のフロー図。
【発明を実施するための形態】
【0010】
本発明によるプロトコルの1実施形態は、増加するカウンタ値と、トークンおよび認証サービス機関(“強力な認証”サービス)に対してのみ知られている静的対称キーとに基づくことができる。OTP値はRFC2104に規定されているようなHMAC−SHA1アルゴリズムまたは任意の他の適当なハッシュアルゴリズムを使用して生成されることができる。このハッシュされたMACアルゴリズムはSHA−1の強度を有しているが、出力の計算中のシークレットの付加を許容する。
【0011】
HMAC−SHA1アルゴリズムによる計算の出力は160ビットである。しかしながら、この値はユーザにより容易に入力されることができるような長さに切り捨てられることができる。
OTP=切捨て(HMAC−SHA1(カウント,シークレット))
クライアントおよび認証サーバの両者はOTP値を計算することができる。サーバにより受信された値がそのサーバにより計算された値と一致するならば、ユーザは認証されるべきであるとされる。サーバで認証が生じた場合には、そのサーバはカウンタ値を1だけインクリメントする。
【0012】
サーバのカウンタ値は成功したOTP認証後にインクリメントされることができるが、トークンにおけるカウンタはボタンが押される都度インクリメントされることができる。このため、サーバとトークンのカウンタ値はしばしば同期が外れる可能性がある。事実、ユーザ環境与えられたサーバとトークンが常に同期が外れているチャンスがある(例えばユーザが必要がないのにボタンを押すとき、ボタンが偶発的に押されるとき、ユーザがOTPをミスタイプするとき等)。
【0013】
サーバのカウンタは有効なOTPが与えられたときにのみインクリメントするため、トークンにおけるサーバのカウンタ値はトークンにおけるカウンタ値よりも常に少ないことが予測される。再同期がユーザまたは企業のIT部門のいずれかの負担とならないことが確実にされることを確認することが重要である。
【0014】
このようなシナリオにおけるカウンタの同期は、次のn個のOTP値をサーバが計算して(nは整数)、一致していることを決定することによって達成される。トークンにおけるカウントとサーバおけるカウントとの間の差が50であると仮定した場合には、強力な認証サーバの構成に応じて、そのサーバは最大で次の50のOTP値を計算しなければならない。したがって、例えば正確なOTPがn+12の値にあることが発見された場合には、サーバはそのユーザを認証し、その後、カウンタを12だけインクリメントする。
【0015】
サーバにより容易に計算されることのできるnに対する値を注意深く選択することが重要である。サーバがOTP値を永久に検査しないことを確実にして、それにより10進サービスアタックに屈伏する上限が必要である。
【0016】
HMAC−SHA1値を6文字値に切捨てることによって、特に数字だけが使用されている場合にマウントに対して容易にアタックする強力な力を与える可能性がある。このため、このようなアタックは強力な認証サーバにおいて検出されて停止されることができる。サーバが妥当でないOTPを計算するたびにこれを記録して、例えば幾つかのポイントで同じソースからの確認に対して将来のリクエストを拒否して被害を受けることを阻止する手段を構成する。その代りに、ユーザは確認の試みの間の長時間の待機を強制されることができる。
【0017】
ユーザがロックアウトされると、そのユーザは、例えばシーケンス中の多数のOTPに入るためにユーザを必要とするウエブインターフェースを提供することによって“自己ロック解除”することができて、それらかトークンを有することが証明される。
【0018】
共有されたシークレットがカウンタと組合わされると、160ビット(20バイト)のHMAC−SHA1結果が得られる。1実施形態では、我々のOTPに対してこの情報の最大で4バイトである。HMACRFC(RFC2104-HMAC:メッセージ認証に対するキードハッシング)はさらにセクション5のHMAC結果の半分以上を使用しなければならないと警告している。切捨てられた出力は:
HMACのアプリケーションがHMAC計算の左側のtビットを出力することによってHMACの出力の切捨てを選択することが可能であり、…出力長tはハッシュ出力の長さの半分より小さくないことを推奨しており、…80ビット(アタッカにより予測されるのに必要なビット数に付いての適当な低い限度)より少なくはない。
【0019】
したがって、HMACまたはSHA1のいずれも弱めることのない方法でHMAC結果の4バイトまたはさらに少ないバイトだけを選択する別の方法が必要である。
【0020】
[ダイナミックオフセット切捨て]
この技術の目的は、HMAC−SHA1結果から4バイトのダイナミック2進コードを抽出し、その一方でMACの暗号の強さの大部分を維持することである。
【0021】
1.最後のバイト(バイト19)を取り、
2.オフセット値として低いオーダーの4ビットをマスクして除去し、
3.オフセット値を使用してHMAC−SHA1結果のバイト中へインデックスし、
4.ダイナミック2進コードとして後続する4バイトを戻す。
【0022】
以下のコード例は、hmac resultはHMAC−SHA1結果を有するバイトアレイを与えるダイナミック2進コードの抽出を記載したものである。
【0023】
【数1】
【0024】
以下はこの技術の使用例である。
【0025】
【数2】
【0026】
1.最後のバイト(バイト19)は6値0×5aを有する。
2.下位の4ビットの値は0×aである(オフセット値)。
3.オフセット値はバイト10(10×a)である。
4.バイト10で始まる4バイトの値は0×50ef7f19であり、それはダイナミックに2進コードである。
我々は31ビットの、符号のない、ビッグエンド(big endian)の整数として2進コードを処理し、その第1のバイトは0×7fでマークされる。
【0027】
所定のシークレットのためのOTPおよびムービングファクタは、3つのパラメータ、すなわち、エンコードベース、コードデジット、ハズチェックサムに基づいて変化することができる。エンコードベースとして10、真(TRUE)へセットされたコードデジットおよびバスチェックサムとして7により、上記の例を継続する。
・6値0×50ef7f19を1357872921ベース10に変換する。
・最後の7デジットは7872921である。
・コードデジットのクレジットカードチェックサムは7をチェックサムとして計算する。10-((5+8+5+2+9+2+2)mod10)=10-(33mod10)=10-3=7
・以下のOTP:78729217が得られる。
【0028】
以下はこのアプリケーションで使用される用語集である。
チェックサムデジット;コードデジットに対してクレジットカードチェックサムアルゴリズムを適用した結果である。このデジットは随意である。このチェックは任意の単一の順序変更または任意の単一のミスタイプされた文字を捕捉しなければならない。
【0029】
コードデジット;このパラメータは2進コードから得られるデジットの数である。2進コードをエンコードベースに変換し、少なくともコードデジットである0をパッドし、右側(下位)デジットを採用することにより計算される。エンコードベースとして10により9を越えないコードデジットが31ビットの2進コードによりサポートされることができる。
【0030】
クレジットカードチェックサムアルゴリズム;このチェックサムアルゴリズムは任意の単一のミスタイプされたデジットまたは任意の単一の隣接する2つのデジットの順序変更を捕捉できる利点を有している。これらは最も普通のタイプのユーザエラーである。
【0031】
エンコードベース;このパラメータはパスワードに使用されるもののベースを示している。ベース10は数値パッドで入力されることができるので好ましいベースである。
【0032】
ハズチェックサムデジット;このブールパラメータはチェックサムデジットがOTPを生成するために付加されなければならないか否かを示す。チェックサムデジットが存在しないならば、そのコードデジットがOTPとして使用される。チェックサムデジットが存在すれば、クレジットカードチェックサムアルゴリズムへの入力としてそのコードデジットを使用してそれが計算される。
【0033】
OTP;ワン・タイム・パスワード。この値は、存在するものがあれば、コードデジットの右にチェックサムデジットを付加することにより構成される。チェックサムデジットが存在しなければ、OTPはコードデジットと同じである。
ワン・タイムの数値はハッシュビット中で第1のシフトを行い、その後同期ビットをシフトし、その後、前の中間値のチェック関数()の結果をシフトすることにより計算される。
【0034】
2進値はその後、適当な文字値に変換される。パスワードの3つの類似した文字表示、すなわち10進数、6進数、アルファベットおよび数字が存在する。
【0035】
【数3】
【0036】
10進数
トークンはダイナミック2進コードを10進数に変換し、それから最後のコードデジットプラス随意のチェックサムを表示することができる。例えば、チェックサムがない6デジットに対して、10進数トークンは2進コードを10進数に変換し、最後の6デジットを表示する。
【0037】
6進数
トークンはダイナミック2進コードを6進数に変換し、それから最後のコードデジットプラス随意のチェックサムを表示することができる。例えば、チェックサムがない6デジットに対して、6進数トークンは2進コードを6進数に変換し、最後の6デジットを表示する。
【0038】
アルファベットおよび数字
トークンはダイナミック2進コードをベース32に変換し、それから最後のコードデジットプラス随意のチェックサムを表示することができる。例えば、チェックサムがない6デジットに対して、ベース32のトークンは2進コードをベース32に変換し、最後の6デジットを表示する。
【0039】
PIN
真の2ファクタ認証トークンのために、OTPの“あなたの有しているもの”の値に“あなたの知っているもの”の値を付加することができる。この値は通常静的なPINまたはユーザだけに知られているパスワードである。このセクションでは、本発明による静的PINを確認するために3つの別のアーキテクチャについて説明する。
クラウド中のPIN確認
クラウド中のPIN確認を可能にするために、単一のPINは単一のトークンに結合されることができる。PINは暴露されないことを確実にするためにワイヤ上で保護されなければならない。PINの管理(設定、変更)は強力な認証サービスによって行われなければならない。
【0040】
企業におけるPIN確認
クラウド中のPIN確認を可能にすることは単一のトークンに対する多数のPIN確認を意味している。
PINは企業のセキュリティワールドに残されてはならない。PINの管理は企業によって行われることができる。
【0041】
トークンにおけるPIN確認
この実施形態はトークンにおけるキーパッドを使用して構成されることができる。PINは絶対にワイヤで送ってはならず、OTPアルゴリズムに対するシードとして使用されることができる。PINは単にトークンのロックを解除するために使用されることができる。
【0042】
[データフローの例]
このセクションでは2つのデータフローのシナリオについて説明する。第1のシナリオでは、強力な認証サービスがトークンと関係するユーザ名を知らないと仮定する。このシナリオでは、PINの管理動作はそれらのユーザ名の代りにそれらのトークンSNを入力するようにユーザに要求すると仮定している。
【0043】
第2のシナリオは、トークンSNの代りにユーザ名が強力な認証サービス中へのキーであることを除いては第1のシナリオに非常によく類似している。この場合について幾つかの論点がある。第1に、ユーザ名はサービス機関に知られており、第2に、ユーザ名からトークンSNへの特有のマップを確実に行う方式が得られなければならない。
【0044】
図1は、本発明の1実施形態による認証手順を示している。それにおいて以下のことが仮定されている。
・トークンSNとSは強力な認証サービスへ分配され、
・カストマアカウントは各トークンに関連され、
・PINは特定のトークンに関連され、
・強力な認証サービスはDB中のPINのSHA−1ハッシュのみを保存し、
・トークンSNは企業におけるユーザアカウントに対する属性として付加され、プラグインによりユーザ名をSNへマップする。
【0045】
強力な認証サーバ110と、企業の認証サーバ120と、クライアント130とは、例えばネットワーク(図示せず)により結合されている。図1に示されているように、クライアント130に位置するユーザは企業のサーバ120に保護されたリソースへアクセスするためのリクエストを送信する。そのサーバはリソースへのアクセスが認証を必要とするか否かを決定する。認証を必要とする場合には、そのサーバ120は“認証を必要とされる”のメッセージをクライアント130に送る。ユーザはユーザ名とパスワードの提示を促される。ユーザはそのユーザのトークンのボタン(図示せず)を押してOTPを得ることができる。OTPは上述のように、例えばトークンシークレットと、トークンに記憶されているカウントに対する現在の値の組み合わせをハッシュすることによって発生される。その後、ユーザはそのユーザ名と,トークンにより与えられたOTPに連結された個人的識別番号(PIN)を入力する。この情報は企業のサーバ120に送られる。企業のサーバ120はユーザ名に基づいてトークンの通し番号を探して、その通し番号とPIN+OTPを認証サーバ110に送る。認証サーバ110は通し番号に基づいて記録を探してPINのローカルにハッシュされた値とシークレットと目的とされているカウントとを得る。これは、トークンのシークレットが特有に割当てられているトークンと認証サーバ110との間で共有されることができるために可能である。それから、認証サーバ110はトークンに対するシークレットと認証サーバに記憶されているそのトークンに対するカウントの現在値とに基づいてOTPを計算する。計算されたOTPが受信されたOTPと整合していれば、認証サーバ110におけるカウントの値が1だけインクリメントされる。そうでなければ、認証サーバは、トークンに対するカウントをインクリメントし、トークンに対するシークレットと共にそれをハッシュすることによってOTPを計算しようと再度試みる。これは、上述したように、認証サーバ110におけるカウント値がトークンにおけるカウント値とは異なっていてもよい(図示せず)ために行われることができる。この手順は、トークンにおけるカウント値にカウント値が追いつくことが可能な合理的な回数で反復されることができる。1実施形態では、認証サーバにおけるトークンの認証を試みるそのような反復の回数は予め定められた同じ回数、例えば12回の反復後に終了される。トークンが認証サーバ110によって認証されることが成功できない場合には、認証サーバ110は“認証されず”のメッセージを企業のサーバ120に送る。トークンが認証されることに成功した場合には、認証サーバ110は“認証された”のメッセージを企業のサーバ120に送る。認証サーバ110から得られた結果に基づいて、企業のサーバは、クライアントからのリソースをアクセスするためにリクエストされた許可をそれぞれ拒否または承認する。
【0046】
図2は、本発明の別の実施形態による認証手順を示している。それにおいて以下のことが仮定されている。
・トークンSNとSは強力な認証サービスへ分配され、
・カストマアカウントは各トークンに関連され、
・PINは特定のトークンに関連され、
・強力な認証サービスはDB中のPINのSHA−1ハッシュのみを保存し、
・ユーザ名は企業の認証サーバから強力な認証サーバへ転送される。
【0047】
図2の認証手順は、ユーザ名とPIN+OTPがクライアント130から企業のサーバ120に送られる直後までは図1と同じである。しかしながら、ユーザ名に基づいてトークン通し番号を探すのではなく、企業のサーバ120は認証リクエスト(ユーザ名とPIN+OTPを含んでいる)を認証サーバ110に送信する。認証サーバ110はユーザ名に基づいて記録を探してPINを認証し、その後プロセスの残りに対しては図1に示されているのと同じ手順にしたかって処理が行われる。
【符号の説明】
【0048】
110 強力な認証サービス
120 企業の認証サーバ
130 クライアント
【技術分野】
【0001】
本発明は、認証に関し、特にハードウエア装置を使用する認証に関する。
【背景技術】
【0002】
ネットワーク中においてデータまたはサービスにアクセスするリクエストを許可するか否かを決定する通常のステップはリクエストしているユーザを識別して認証することである。認証はユーザのアイデンティティを確認するプロセスを含んでいる。既知の識別および認証システムはユーザ識別子(“ユーザid”)とユーザに対するシークレット(“パスワード”)との関係を含んでいる。パスワードはユーザと認証サービス機関との間で共有されているシークレットである。ユーザは自己のユーザidとパスワードを認証サービス機関に提示し、その認証サービス機関はそれらをそのサービス機関に記憶されているユーザidおよび関連するパスワードと比較する。それらが整合している場合には、ユーザは認証されたとされる。整合しない場合には、ユーザは認証されないとされる。
【0003】
トークンはユーザを認証するために使用されることのできる装置である。それは1以上のシークレットを含むことができ、それらのシークレットの幾つかは確認センターと共有されることができる。例えば、トークンはワン・タイム・パスワード(OTP)を計算するベースとして使用されることのできるシークレットキーを記憶することができる。OTPはかって生成され、その後は再使用されていない番号(またはアルファベット列)であってもよい。トークンはOTPを発生してそれを特有のトークン通し番号と共に認証サーバへ送る。認証サーバは受信された通し番号によりそのトークンに対するそのシークレットキーのコピーを使用してOTPを計算することができる。OTPが整合する場合には、ユーザは認証されるべきであるとされる。ユーザからトークンへのリンクをさらに強力にするために、ユーザはトークンのロックを解除することにより入力されなければならないトークンと共有されたシークレット個人識別番号(PIN)を設定することができる。その代りにPINはユーザと、トークンと、認証サーバとの間で共有されることができ、OTPを生成するための他のファクタと共に使用されることができる。トークンは典型的に許可されていない開示からそのシークレットを保護するために盗用に対する抵抗力の高い手段を具えている。
【発明の概要】
【発明が解決しようとする課題】
【0004】
本発明の目的は、ワン・タイム・パスワードを計算する方法を提供することである。
【課題を解決するための手段】
【0005】
シークレットはカウントと連結され、シークレットは特有にトークンに割当てられる。シークレットは私設キーであってもよく、或いは共有されたシークレット対称キーであってもよい。カウントはトークンにおいて単調に増加する数であり、トークンにおいて発生さたれたワン・タイム・パスワードの番号を有している。そのカウントはまた認証サーバにおいて追跡され、それにおいて認証サーバにおけるワン・タイム・パスワードの各計算と共に単調に増加する。OTPは連結されたシークレットとカウントとをハッシュすることによって計算されることができる。その結果は切捨てることができる。
【0006】
本発明の1実施形態では、ハードウエア装置においてワン・タイム・パスワード(OTP)を発生するためのプロトコルを含んでおり、それはユーザを認証するために使用される。OTPはトークンにより発生され、そのトークンは、それが含まれているソフトウエアおよび情報の許可されない変更や、開放を阻止して、その適切な機能を確保するためのメカニズムを含んでいる物理的な装置であることができる。
【0007】
このプロトコルの1実施形態は、シーケンスベースであることができ、2ファクタ、例えばユーザの知識(個人識別番号、ユーザと認証サービス機関との間で共有されるシークレットのようなもの)およびユーザが所有している例えばトークンのような特別の特性を有する物理的装置(例えば私設キーまたは共有された対称キーのような特有のシークレットキー)である。
【0008】
OTPを発生するためのプロトコルはカウンタに基づくことが可能であり、例えばOTPがトークンからリクエストされる回数に基づいた単調に増加する数である。OTPの値はトークン上に表示されることができ、例えばネットワークに結合されているコンピュータに結合されているキーボードを介してユーザにより容易に読取られ、入力されることができる。OTPはRADIUSシステムによって転送されることができる。
【図面の簡単な説明】
【0009】
【図1】本発明の1実施形態による認証手順のフロー図。
【図2】本発明の別の実施形態による認証手順のフロー図。
【発明を実施するための形態】
【0010】
本発明によるプロトコルの1実施形態は、増加するカウンタ値と、トークンおよび認証サービス機関(“強力な認証”サービス)に対してのみ知られている静的対称キーとに基づくことができる。OTP値はRFC2104に規定されているようなHMAC−SHA1アルゴリズムまたは任意の他の適当なハッシュアルゴリズムを使用して生成されることができる。このハッシュされたMACアルゴリズムはSHA−1の強度を有しているが、出力の計算中のシークレットの付加を許容する。
【0011】
HMAC−SHA1アルゴリズムによる計算の出力は160ビットである。しかしながら、この値はユーザにより容易に入力されることができるような長さに切り捨てられることができる。
OTP=切捨て(HMAC−SHA1(カウント,シークレット))
クライアントおよび認証サーバの両者はOTP値を計算することができる。サーバにより受信された値がそのサーバにより計算された値と一致するならば、ユーザは認証されるべきであるとされる。サーバで認証が生じた場合には、そのサーバはカウンタ値を1だけインクリメントする。
【0012】
サーバのカウンタ値は成功したOTP認証後にインクリメントされることができるが、トークンにおけるカウンタはボタンが押される都度インクリメントされることができる。このため、サーバとトークンのカウンタ値はしばしば同期が外れる可能性がある。事実、ユーザ環境与えられたサーバとトークンが常に同期が外れているチャンスがある(例えばユーザが必要がないのにボタンを押すとき、ボタンが偶発的に押されるとき、ユーザがOTPをミスタイプするとき等)。
【0013】
サーバのカウンタは有効なOTPが与えられたときにのみインクリメントするため、トークンにおけるサーバのカウンタ値はトークンにおけるカウンタ値よりも常に少ないことが予測される。再同期がユーザまたは企業のIT部門のいずれかの負担とならないことが確実にされることを確認することが重要である。
【0014】
このようなシナリオにおけるカウンタの同期は、次のn個のOTP値をサーバが計算して(nは整数)、一致していることを決定することによって達成される。トークンにおけるカウントとサーバおけるカウントとの間の差が50であると仮定した場合には、強力な認証サーバの構成に応じて、そのサーバは最大で次の50のOTP値を計算しなければならない。したがって、例えば正確なOTPがn+12の値にあることが発見された場合には、サーバはそのユーザを認証し、その後、カウンタを12だけインクリメントする。
【0015】
サーバにより容易に計算されることのできるnに対する値を注意深く選択することが重要である。サーバがOTP値を永久に検査しないことを確実にして、それにより10進サービスアタックに屈伏する上限が必要である。
【0016】
HMAC−SHA1値を6文字値に切捨てることによって、特に数字だけが使用されている場合にマウントに対して容易にアタックする強力な力を与える可能性がある。このため、このようなアタックは強力な認証サーバにおいて検出されて停止されることができる。サーバが妥当でないOTPを計算するたびにこれを記録して、例えば幾つかのポイントで同じソースからの確認に対して将来のリクエストを拒否して被害を受けることを阻止する手段を構成する。その代りに、ユーザは確認の試みの間の長時間の待機を強制されることができる。
【0017】
ユーザがロックアウトされると、そのユーザは、例えばシーケンス中の多数のOTPに入るためにユーザを必要とするウエブインターフェースを提供することによって“自己ロック解除”することができて、それらかトークンを有することが証明される。
【0018】
共有されたシークレットがカウンタと組合わされると、160ビット(20バイト)のHMAC−SHA1結果が得られる。1実施形態では、我々のOTPに対してこの情報の最大で4バイトである。HMACRFC(RFC2104-HMAC:メッセージ認証に対するキードハッシング)はさらにセクション5のHMAC結果の半分以上を使用しなければならないと警告している。切捨てられた出力は:
HMACのアプリケーションがHMAC計算の左側のtビットを出力することによってHMACの出力の切捨てを選択することが可能であり、…出力長tはハッシュ出力の長さの半分より小さくないことを推奨しており、…80ビット(アタッカにより予測されるのに必要なビット数に付いての適当な低い限度)より少なくはない。
【0019】
したがって、HMACまたはSHA1のいずれも弱めることのない方法でHMAC結果の4バイトまたはさらに少ないバイトだけを選択する別の方法が必要である。
【0020】
[ダイナミックオフセット切捨て]
この技術の目的は、HMAC−SHA1結果から4バイトのダイナミック2進コードを抽出し、その一方でMACの暗号の強さの大部分を維持することである。
【0021】
1.最後のバイト(バイト19)を取り、
2.オフセット値として低いオーダーの4ビットをマスクして除去し、
3.オフセット値を使用してHMAC−SHA1結果のバイト中へインデックスし、
4.ダイナミック2進コードとして後続する4バイトを戻す。
【0022】
以下のコード例は、hmac resultはHMAC−SHA1結果を有するバイトアレイを与えるダイナミック2進コードの抽出を記載したものである。
【0023】
【数1】
【0024】
以下はこの技術の使用例である。
【0025】
【数2】
【0026】
1.最後のバイト(バイト19)は6値0×5aを有する。
2.下位の4ビットの値は0×aである(オフセット値)。
3.オフセット値はバイト10(10×a)である。
4.バイト10で始まる4バイトの値は0×50ef7f19であり、それはダイナミックに2進コードである。
我々は31ビットの、符号のない、ビッグエンド(big endian)の整数として2進コードを処理し、その第1のバイトは0×7fでマークされる。
【0027】
所定のシークレットのためのOTPおよびムービングファクタは、3つのパラメータ、すなわち、エンコードベース、コードデジット、ハズチェックサムに基づいて変化することができる。エンコードベースとして10、真(TRUE)へセットされたコードデジットおよびバスチェックサムとして7により、上記の例を継続する。
・6値0×50ef7f19を1357872921ベース10に変換する。
・最後の7デジットは7872921である。
・コードデジットのクレジットカードチェックサムは7をチェックサムとして計算する。10-((5+8+5+2+9+2+2)mod10)=10-(33mod10)=10-3=7
・以下のOTP:78729217が得られる。
【0028】
以下はこのアプリケーションで使用される用語集である。
チェックサムデジット;コードデジットに対してクレジットカードチェックサムアルゴリズムを適用した結果である。このデジットは随意である。このチェックは任意の単一の順序変更または任意の単一のミスタイプされた文字を捕捉しなければならない。
【0029】
コードデジット;このパラメータは2進コードから得られるデジットの数である。2進コードをエンコードベースに変換し、少なくともコードデジットである0をパッドし、右側(下位)デジットを採用することにより計算される。エンコードベースとして10により9を越えないコードデジットが31ビットの2進コードによりサポートされることができる。
【0030】
クレジットカードチェックサムアルゴリズム;このチェックサムアルゴリズムは任意の単一のミスタイプされたデジットまたは任意の単一の隣接する2つのデジットの順序変更を捕捉できる利点を有している。これらは最も普通のタイプのユーザエラーである。
【0031】
エンコードベース;このパラメータはパスワードに使用されるもののベースを示している。ベース10は数値パッドで入力されることができるので好ましいベースである。
【0032】
ハズチェックサムデジット;このブールパラメータはチェックサムデジットがOTPを生成するために付加されなければならないか否かを示す。チェックサムデジットが存在しないならば、そのコードデジットがOTPとして使用される。チェックサムデジットが存在すれば、クレジットカードチェックサムアルゴリズムへの入力としてそのコードデジットを使用してそれが計算される。
【0033】
OTP;ワン・タイム・パスワード。この値は、存在するものがあれば、コードデジットの右にチェックサムデジットを付加することにより構成される。チェックサムデジットが存在しなければ、OTPはコードデジットと同じである。
ワン・タイムの数値はハッシュビット中で第1のシフトを行い、その後同期ビットをシフトし、その後、前の中間値のチェック関数()の結果をシフトすることにより計算される。
【0034】
2進値はその後、適当な文字値に変換される。パスワードの3つの類似した文字表示、すなわち10進数、6進数、アルファベットおよび数字が存在する。
【0035】
【数3】
【0036】
10進数
トークンはダイナミック2進コードを10進数に変換し、それから最後のコードデジットプラス随意のチェックサムを表示することができる。例えば、チェックサムがない6デジットに対して、10進数トークンは2進コードを10進数に変換し、最後の6デジットを表示する。
【0037】
6進数
トークンはダイナミック2進コードを6進数に変換し、それから最後のコードデジットプラス随意のチェックサムを表示することができる。例えば、チェックサムがない6デジットに対して、6進数トークンは2進コードを6進数に変換し、最後の6デジットを表示する。
【0038】
アルファベットおよび数字
トークンはダイナミック2進コードをベース32に変換し、それから最後のコードデジットプラス随意のチェックサムを表示することができる。例えば、チェックサムがない6デジットに対して、ベース32のトークンは2進コードをベース32に変換し、最後の6デジットを表示する。
【0039】
PIN
真の2ファクタ認証トークンのために、OTPの“あなたの有しているもの”の値に“あなたの知っているもの”の値を付加することができる。この値は通常静的なPINまたはユーザだけに知られているパスワードである。このセクションでは、本発明による静的PINを確認するために3つの別のアーキテクチャについて説明する。
クラウド中のPIN確認
クラウド中のPIN確認を可能にするために、単一のPINは単一のトークンに結合されることができる。PINは暴露されないことを確実にするためにワイヤ上で保護されなければならない。PINの管理(設定、変更)は強力な認証サービスによって行われなければならない。
【0040】
企業におけるPIN確認
クラウド中のPIN確認を可能にすることは単一のトークンに対する多数のPIN確認を意味している。
PINは企業のセキュリティワールドに残されてはならない。PINの管理は企業によって行われることができる。
【0041】
トークンにおけるPIN確認
この実施形態はトークンにおけるキーパッドを使用して構成されることができる。PINは絶対にワイヤで送ってはならず、OTPアルゴリズムに対するシードとして使用されることができる。PINは単にトークンのロックを解除するために使用されることができる。
【0042】
[データフローの例]
このセクションでは2つのデータフローのシナリオについて説明する。第1のシナリオでは、強力な認証サービスがトークンと関係するユーザ名を知らないと仮定する。このシナリオでは、PINの管理動作はそれらのユーザ名の代りにそれらのトークンSNを入力するようにユーザに要求すると仮定している。
【0043】
第2のシナリオは、トークンSNの代りにユーザ名が強力な認証サービス中へのキーであることを除いては第1のシナリオに非常によく類似している。この場合について幾つかの論点がある。第1に、ユーザ名はサービス機関に知られており、第2に、ユーザ名からトークンSNへの特有のマップを確実に行う方式が得られなければならない。
【0044】
図1は、本発明の1実施形態による認証手順を示している。それにおいて以下のことが仮定されている。
・トークンSNとSは強力な認証サービスへ分配され、
・カストマアカウントは各トークンに関連され、
・PINは特定のトークンに関連され、
・強力な認証サービスはDB中のPINのSHA−1ハッシュのみを保存し、
・トークンSNは企業におけるユーザアカウントに対する属性として付加され、プラグインによりユーザ名をSNへマップする。
【0045】
強力な認証サーバ110と、企業の認証サーバ120と、クライアント130とは、例えばネットワーク(図示せず)により結合されている。図1に示されているように、クライアント130に位置するユーザは企業のサーバ120に保護されたリソースへアクセスするためのリクエストを送信する。そのサーバはリソースへのアクセスが認証を必要とするか否かを決定する。認証を必要とする場合には、そのサーバ120は“認証を必要とされる”のメッセージをクライアント130に送る。ユーザはユーザ名とパスワードの提示を促される。ユーザはそのユーザのトークンのボタン(図示せず)を押してOTPを得ることができる。OTPは上述のように、例えばトークンシークレットと、トークンに記憶されているカウントに対する現在の値の組み合わせをハッシュすることによって発生される。その後、ユーザはそのユーザ名と,トークンにより与えられたOTPに連結された個人的識別番号(PIN)を入力する。この情報は企業のサーバ120に送られる。企業のサーバ120はユーザ名に基づいてトークンの通し番号を探して、その通し番号とPIN+OTPを認証サーバ110に送る。認証サーバ110は通し番号に基づいて記録を探してPINのローカルにハッシュされた値とシークレットと目的とされているカウントとを得る。これは、トークンのシークレットが特有に割当てられているトークンと認証サーバ110との間で共有されることができるために可能である。それから、認証サーバ110はトークンに対するシークレットと認証サーバに記憶されているそのトークンに対するカウントの現在値とに基づいてOTPを計算する。計算されたOTPが受信されたOTPと整合していれば、認証サーバ110におけるカウントの値が1だけインクリメントされる。そうでなければ、認証サーバは、トークンに対するカウントをインクリメントし、トークンに対するシークレットと共にそれをハッシュすることによってOTPを計算しようと再度試みる。これは、上述したように、認証サーバ110におけるカウント値がトークンにおけるカウント値とは異なっていてもよい(図示せず)ために行われることができる。この手順は、トークンにおけるカウント値にカウント値が追いつくことが可能な合理的な回数で反復されることができる。1実施形態では、認証サーバにおけるトークンの認証を試みるそのような反復の回数は予め定められた同じ回数、例えば12回の反復後に終了される。トークンが認証サーバ110によって認証されることが成功できない場合には、認証サーバ110は“認証されず”のメッセージを企業のサーバ120に送る。トークンが認証されることに成功した場合には、認証サーバ110は“認証された”のメッセージを企業のサーバ120に送る。認証サーバ110から得られた結果に基づいて、企業のサーバは、クライアントからのリソースをアクセスするためにリクエストされた許可をそれぞれ拒否または承認する。
【0046】
図2は、本発明の別の実施形態による認証手順を示している。それにおいて以下のことが仮定されている。
・トークンSNとSは強力な認証サービスへ分配され、
・カストマアカウントは各トークンに関連され、
・PINは特定のトークンに関連され、
・強力な認証サービスはDB中のPINのSHA−1ハッシュのみを保存し、
・ユーザ名は企業の認証サーバから強力な認証サーバへ転送される。
【0047】
図2の認証手順は、ユーザ名とPIN+OTPがクライアント130から企業のサーバ120に送られる直後までは図1と同じである。しかしながら、ユーザ名に基づいてトークン通し番号を探すのではなく、企業のサーバ120は認証リクエスト(ユーザ名とPIN+OTPを含んでいる)を認証サーバ110に送信する。認証サーバ110はユーザ名に基づいて記録を探してPINを認証し、その後プロセスの残りに対しては図1に示されているのと同じ手順にしたかって処理が行われる。
【符号の説明】
【0048】
110 強力な認証サービス
120 企業の認証サーバ
130 クライアント
【特許請求の範囲】
【請求項1】
エンタープライズ認証サーバに保護されているリソースへクライアントがアクセスするためのリクエストを、内部にカウンタを有するトークンを使用して、前記トークンと対応するように関連付けられているカウンタを有するワン・タイム・パスワードの強力な認証サーバを介して認証する方法において、
クライアントを認証するためのリクエストを前記エンタープライズ認証サーバにおいて受信するステップを具備し、
前記リクエストは、ユーザ名と、前記ユーザに関する個人識別番号と、トークンにより生成される第1ワン・タイム・パスワードと、を含み、
前記第1ワン・タイム・パスワードは、前記トークンにおけるカウンタの値と、前記トークンと前記エンタープライズ認証サーバとの間で共有されているシークレットと、に基づいて生成され、
前記エンタープライズ認証サーバは、該サーバに接続されている記憶装置から前記ユーザ名に基づきトークンの通し番号を検索し、該通し番号と、前記ユーザに関する個人識別番号と、前記トークンにより生成される第1ワン・タイム・パスワードと、を前記強力な認証サーバに送信し、
前記方法はさらに、前記強力な認証サーバにおいて、
前記通し番号に基づいて前記トークンに対応する前記カウンタの値を前記強力な認証サーバに接続されている記憶装置から検索するステップと、
前記通し番号に基づいて前記トークンに対応する前記共有されているシークレットを前記記憶装置から検索するステップと、
検索された前記カウンタの値および前記トークンに対応する前記シークレットに基づいて第2ワン・タイム・パスワードを計算するステップと、
前記第2ワン・タイム・パスワードを第1ワン・タイム・パスワードと比較するステップと、
を具備し、
前記第2ワン・タイム・パスワードが前記第1ワン・タイム・パスワードと同じである場合には、前記クライアントシステムは認証され、
前記第2ワン・タイム・パスワードが前記第1ワン・タイム・パスワードと同じでない場合には、前記強力な認証サーバにおいて、
前記認証サーバにおける前記カウンタの値をインクリメントして、そのインクリメントされたカウンタと前記シークレットとに基づいて第3ワン・タイム・パスワードを計算するステップと、
前記第3ワン・タイム・パスワードを前記第1ワン・タイム・パスワードと比較するステップと、
を具備し、
前記第3ワン・タイム・パスワードが前記第1ワン・タイム・パスワードと一致しない場合には、前記カウンタのインクリメントとワン・タイム・パスワードの再計算とが所定の回数、または前記再計算されたワン・タイム・パスワードが前記第1ワン・タイム・パスワードと一致するまで繰り返されることを特徴とする認証方法。
【請求項2】
シークレットは対称暗号キーであることを特徴とする請求項1に記載の方法。
【請求項3】
再計算されたワン・タイム・パスワードが、前記所定の回数の終了までに、受信されたワン・タイム・パスワードと一致しない場合には、前記クライアントシステムの認証は否定されることを特徴とする請求項1に記載の方法。
【請求項4】
エンタープライズ認証サーバに保護されているリソースへクライアントがアクセスするためのリクエストを、内部にカウンタを有するトークンを使用して、前記トークンと対応するように関連付けられているカウンタを有するワン・タイム・パスワードの強力な認証サーバを介して認証する方法において、
クライアントを認証するためのリクエストを前記エンタープライズ認証サーバにおいて受信するステップを具備し、
前記リクエストは、ユーザ名と、前記ユーザに関する個人識別番号と、トークンにおいて生成される第1ワン・タイム・パスワードと、を含み、
前記第1ワン・タイム・パスワードは、前記トークンにおけるカウンタの値と、前記トークンと前記エンタープライズ認証サーバとの間で共有されているシークレットと、に基づいて生成され、
前記エンタープライズ認証サーバは、前記受信したリクエストの前記ユーザ名と、前記ユーザに関する個人識別番号と、前記トークンにより生成される第1ワン・タイム・パスワードと、を前記強力な認証サーバに転送し、
前記方法はさらに、前記強力な認証サーバにおいて、
前記ユーザ名に基づいて、前記トークンに対応する前記カウンタの値を前記強力な認証サーバに接続されている記憶装置から検索するステップと、
前記ユーザ名に基づいて、前記トークンに対応する前記シークレットを、前記記憶装置から検索するステップと、
前記検索されたカウンタの値および前記トークンに対応する前記シークレットに基づいて、第2ワン・タイム・パスワードの値を計算するステップと、
前記第2ワン・タイム・パスワードを前記第1ワン・タイム・パスワードと比較するステップと、
を具備し、
前記第2ワン・タイム・パスワードが前記第1ワン・タイム・パスワードに一致している場合には、前記クライアントが前記リソースへアクセスするためのリクエストは認証され、
前記第2ワン・タイム・パスワードが前記第1パスワードに一致していない場合には、前記強力な認証サーバにおいて、
認証サーバにおける前記カウンタの値をインクリメントするステップと、
前記インクリメントされたカウンタおよび前記シークレットに基づいて第3ワン・タイム・パスワードを計算するステップと、
前記第3ワン・タイム・パスワードを前記第1ワン・タイム・パスワードと比較するステップと、
を具備し、
前記第3ワン・タイム・パスワードが前記第1ワン・タイム・パスワードと一致しない場合には、前記カウンタのインクリメントとワン・タイム・パスワードの再計算とが、所定の回数、または前記計算されたワン・タイム・パスワードが前記第1ワン・タイム・パスワードと一致するまで繰返されることを特徴とする認証方法。
【請求項5】
シークレットは対称暗号キーであることを特徴とする請求項4に記載の方法。
【請求項6】
前記カウンタのインクリメントおよび前記パスワードの再計算は所定の回数繰り返され、前記所定の回数の終了までに、前記再計算されたパスワードのいずれもが前記第1パスワードと一致しない場合には、前記リソースへアクセスするための前記リクエストは否認されることを特徴とする請求項4に記載の方法。
【請求項1】
エンタープライズ認証サーバに保護されているリソースへクライアントがアクセスするためのリクエストを、内部にカウンタを有するトークンを使用して、前記トークンと対応するように関連付けられているカウンタを有するワン・タイム・パスワードの強力な認証サーバを介して認証する方法において、
クライアントを認証するためのリクエストを前記エンタープライズ認証サーバにおいて受信するステップを具備し、
前記リクエストは、ユーザ名と、前記ユーザに関する個人識別番号と、トークンにより生成される第1ワン・タイム・パスワードと、を含み、
前記第1ワン・タイム・パスワードは、前記トークンにおけるカウンタの値と、前記トークンと前記エンタープライズ認証サーバとの間で共有されているシークレットと、に基づいて生成され、
前記エンタープライズ認証サーバは、該サーバに接続されている記憶装置から前記ユーザ名に基づきトークンの通し番号を検索し、該通し番号と、前記ユーザに関する個人識別番号と、前記トークンにより生成される第1ワン・タイム・パスワードと、を前記強力な認証サーバに送信し、
前記方法はさらに、前記強力な認証サーバにおいて、
前記通し番号に基づいて前記トークンに対応する前記カウンタの値を前記強力な認証サーバに接続されている記憶装置から検索するステップと、
前記通し番号に基づいて前記トークンに対応する前記共有されているシークレットを前記記憶装置から検索するステップと、
検索された前記カウンタの値および前記トークンに対応する前記シークレットに基づいて第2ワン・タイム・パスワードを計算するステップと、
前記第2ワン・タイム・パスワードを第1ワン・タイム・パスワードと比較するステップと、
を具備し、
前記第2ワン・タイム・パスワードが前記第1ワン・タイム・パスワードと同じである場合には、前記クライアントシステムは認証され、
前記第2ワン・タイム・パスワードが前記第1ワン・タイム・パスワードと同じでない場合には、前記強力な認証サーバにおいて、
前記認証サーバにおける前記カウンタの値をインクリメントして、そのインクリメントされたカウンタと前記シークレットとに基づいて第3ワン・タイム・パスワードを計算するステップと、
前記第3ワン・タイム・パスワードを前記第1ワン・タイム・パスワードと比較するステップと、
を具備し、
前記第3ワン・タイム・パスワードが前記第1ワン・タイム・パスワードと一致しない場合には、前記カウンタのインクリメントとワン・タイム・パスワードの再計算とが所定の回数、または前記再計算されたワン・タイム・パスワードが前記第1ワン・タイム・パスワードと一致するまで繰り返されることを特徴とする認証方法。
【請求項2】
シークレットは対称暗号キーであることを特徴とする請求項1に記載の方法。
【請求項3】
再計算されたワン・タイム・パスワードが、前記所定の回数の終了までに、受信されたワン・タイム・パスワードと一致しない場合には、前記クライアントシステムの認証は否定されることを特徴とする請求項1に記載の方法。
【請求項4】
エンタープライズ認証サーバに保護されているリソースへクライアントがアクセスするためのリクエストを、内部にカウンタを有するトークンを使用して、前記トークンと対応するように関連付けられているカウンタを有するワン・タイム・パスワードの強力な認証サーバを介して認証する方法において、
クライアントを認証するためのリクエストを前記エンタープライズ認証サーバにおいて受信するステップを具備し、
前記リクエストは、ユーザ名と、前記ユーザに関する個人識別番号と、トークンにおいて生成される第1ワン・タイム・パスワードと、を含み、
前記第1ワン・タイム・パスワードは、前記トークンにおけるカウンタの値と、前記トークンと前記エンタープライズ認証サーバとの間で共有されているシークレットと、に基づいて生成され、
前記エンタープライズ認証サーバは、前記受信したリクエストの前記ユーザ名と、前記ユーザに関する個人識別番号と、前記トークンにより生成される第1ワン・タイム・パスワードと、を前記強力な認証サーバに転送し、
前記方法はさらに、前記強力な認証サーバにおいて、
前記ユーザ名に基づいて、前記トークンに対応する前記カウンタの値を前記強力な認証サーバに接続されている記憶装置から検索するステップと、
前記ユーザ名に基づいて、前記トークンに対応する前記シークレットを、前記記憶装置から検索するステップと、
前記検索されたカウンタの値および前記トークンに対応する前記シークレットに基づいて、第2ワン・タイム・パスワードの値を計算するステップと、
前記第2ワン・タイム・パスワードを前記第1ワン・タイム・パスワードと比較するステップと、
を具備し、
前記第2ワン・タイム・パスワードが前記第1ワン・タイム・パスワードに一致している場合には、前記クライアントが前記リソースへアクセスするためのリクエストは認証され、
前記第2ワン・タイム・パスワードが前記第1パスワードに一致していない場合には、前記強力な認証サーバにおいて、
認証サーバにおける前記カウンタの値をインクリメントするステップと、
前記インクリメントされたカウンタおよび前記シークレットに基づいて第3ワン・タイム・パスワードを計算するステップと、
前記第3ワン・タイム・パスワードを前記第1ワン・タイム・パスワードと比較するステップと、
を具備し、
前記第3ワン・タイム・パスワードが前記第1ワン・タイム・パスワードと一致しない場合には、前記カウンタのインクリメントとワン・タイム・パスワードの再計算とが、所定の回数、または前記計算されたワン・タイム・パスワードが前記第1ワン・タイム・パスワードと一致するまで繰返されることを特徴とする認証方法。
【請求項5】
シークレットは対称暗号キーであることを特徴とする請求項4に記載の方法。
【請求項6】
前記カウンタのインクリメントおよび前記パスワードの再計算は所定の回数繰り返され、前記所定の回数の終了までに、前記再計算されたパスワードのいずれもが前記第1パスワードと一致しない場合には、前記リソースへアクセスするための前記リクエストは否認されることを特徴とする請求項4に記載の方法。
【図1】
【図2】
【図2】
【公開番号】特開2011−192310(P2011−192310A)
【公開日】平成23年9月29日(2011.9.29)
【国際特許分類】
【出願番号】特願2011−138155(P2011−138155)
【出願日】平成23年6月22日(2011.6.22)
【分割の表示】特願2007−500913(P2007−500913)の分割
【原出願日】平成17年2月23日(2005.2.23)
【出願人】(502377350)ベリサイン・インコーポレイテッド (28)
【Fターム(参考)】
【公開日】平成23年9月29日(2011.9.29)
【国際特許分類】
【出願日】平成23年6月22日(2011.6.22)
【分割の表示】特願2007−500913(P2007−500913)の分割
【原出願日】平成17年2月23日(2005.2.23)
【出願人】(502377350)ベリサイン・インコーポレイテッド (28)
【Fターム(参考)】
[ Back to top ]