時間およびイベントベースのワンタイムパスワード
イベントの発生と時間の経過との双方に基づいて変更できる値TECに基づいて、ワンタイムパスワード(OTP)を発生させるシステムおよび方法である。OTPは、トークンで計算して、検証者に送信することができる。検証者は、トークンからの1つ以上の予測OTPを計算するために必要な正確なまたは推測されたパラメータを記憶するが、これにはTECが含まれる。値TECは、トークンと検証者との間で同期化することができる。
【発明の詳細な説明】
【関連出願】
【0001】
本出願は、2004年10月15日に出願された米国仮特許出願第60/618,600号、ならびに2005年10月17日に出願されたPCT出願第PCT/US05/37113号に関する。
【発明の分野】
【0002】
本発明の分野は、認証であり、特に、ワンタイムパスワードを用いた認証である。
【発明の背景】
【0003】
認証サービスとのみに共有されているシークレットを記憶するトークンを使用して、ユーザを認証することができる。トークンは、共有シークレットと他の値とに基づいて、それぞれ認証するためにワンタイムパスワード(「OTP」)を発生させる。認証サービスにおいてOTPが受け取られたときに、サービスが、少なくとも1つの予測されるOTP値を計算し、受け取られたOTP値と比較する。これらが整合した場合に、ユーザが認証される。そうでなければ、ユーザは認証されない。
【0004】
共有シークレットと、時間の関数として変化する値とに基づいて、自動的に周期的にOTPを発生させることができる。例えば、日付および時刻に対応している値と、共有シークレットとに基づいて、新しいOTPを自動的に分ごとに発生させることができる。トークンで使用された日付/時間値を含むことになっている日付/時間値の範囲と共有シークレットとに基づいて、認証サービスは、一連の予測されるOTPを計算する。これは、トークンとサービスとに同期外れを引き起こす、トークン上のクロックとサービスにおけるクロックとの間の何らかのドリフトを考慮に入れている。サービスにおいて計算されたOTPのうちの1つが受け取られたOTPと整合した場合に、ユーザが認証される。OTPを計算するために使用されるパラメータのうちの1つが経時的に変化することから、セキュリティが増強される。
【0005】
共有シークレットとイベントの特性とに基づいて、OTPを計算することができる。例えば、イベントの特性は、トークン上のボタンをユーザが押すごとに増分されるカウンタの値であってもよい。認証サービスは、トークンにおいて最後に知られているカウンタ値で始まるカウンタ値と共有シークレットとに基づいてOTPの範囲を計算する。これは、ボタンを押して結果的に生じたOTPがサービスに送信されなかったことを考慮に入れている。サービスにおいて計算されたOTPのうちの1つが、受け取られたOTPと整合した場合、ユーザが認証される。
【0006】
RFC4226で規定された、HOTPアルゴリズムを含むOTPを発生させるための多数のアルゴリズムが知られている。HOTPアルゴリズムを説明する際に、以下のシンボルを使用することができる。
【表1】
【0007】
HOTPアルゴリズムは、トークンおよびバリデーションサービスのみに知られている、増加するカウンタ値と静的対称キーとに基づいている。HOTP値を生成するために、RFC2104で規定されているようなHMAC−SHA−1アルゴリズムを使用するであろう。HMAC−SHA1の計算の出力が160ビットであることから、ユーザによって容易に入力できる何かにこの値を打ち切る必要がある。したがって、
HOTP(K,C)=Truncate(HMAC−SHA−1(K,C))となる。
ここで、「Truncate」は、HMAC−SHA−1値をHOTP値に変換できる関数を示している。キー(K)、カウンタ(C)およびデータ値は、最初に上位バイトをハッシュすることができる。HOTP発生器によって発生されたHOTP値をビッグエンディアンとして取り扱うことができる。
【0008】
以下の4つのステップでOTPを発生させることができる。
ステップ1:HMAC−SHA−1値を発生させる。
HS=HMAC−SHA−1(K,C)//HSは、20バイトストリングである。
ステップ2:4バイトストリング(Dynamic Truncation)を発生させる。
Sbits=DT(HS)とする。//DTは、以下で規定するが、31ビットストリングを返す。
ステップ3:HOTP値を計算
Snum=StToNum(Sbit)とする。//Sを0...2^{31}−1の数に変換する。
D=Snum mod 10^Digitを返す。//Dは、0...10^{Digit}−1の範囲の数である。
Truncate関数は、ステップ2およびステップ3、すなわち、動的な打ち切りを
し、そして10^Digitを法とした還元を行うことができる。動的オフセット打ち切り技術は、160ビット(20バイト)HMAC−SHA1の結果から、4バイトの動的なバイナリコードを取り出すことができる。
【0009】
DT(String)//String=String[0]... String[19]。
OffsetBitをString[19]の下位4ビットとする。
Offset=StToNum(OffSetBits)//0<=OffSet<=15。
P=String[OffSet]... String[OffSet+3]とする。
Pの最後の31ビットを返す。
【0010】
Pの最上位のビットをマスキングすることによって、有符号および無符号モジュロ計算間の混乱を回避することができる。異なるプロセッサがこれらの演算を別々に行い、有符号ビットをマスキングアウトすることによって、あいまい性を解消できる。
【0011】
RFC4226は、最低6桁のコードを、そして可能であれば7および8桁コードを取り出すようにインプリメンテーションに要求する。この結果はRFCに準拠しないかもしれないが、異なる状況のもとでは、この要求にそむくことができる。安全性の要求次第で、より長いHOTP値の結果を取り出すために、Digit=7またはより多くのものを考えなければならない。
【0012】
ここでの例では、Digit=6に対してこの技術を使用している。すなわち、6桁のHOTP値が、HMAC値から計算される。以下のコードの例は、hmac_resultがHMAC−SHA1の結果によるバイトアレイであることを仮定して、動的バイナリコードの取り出しを説明している。
【数1】
【0013】
最後のバイト(バイト19)は、16進値0x5aを持つ。
下位の4つのビットの値は、0xa(オフセット値)である。
オフセット値は、バイト10(0xa)である。
バイト10で始まる4バイトの値は0x50ef7f19であり、これは、動的バイナ
リコードDBC1である。
DBC1のMSBは0x50であるので、DBC2=DBC1=0x50ef7f19
である。
HOTP=10^6を法としたDBC2=872921である。
31ビット、無符号のビッグエンディアン整数として動的バイナリコードを取り扱うことができる。つまり、最初のバイトは0x7fでマスキングされる。1,000,000(10^6)を法としたこの数を用いて、6桁のHOTP値である十進法の872921を発生させることができる。
【0014】
OTPを計算するための入力としてカウンタ値を使用する短所は、長い期間にわたって、カウンタ値が同じままであり得ることである。例えば、ユーザが、数ヶ月にわたって自身のトークンを使用しない場合、カウンタ値は、使用する間の期間全体にわたって同じ値を持続するであろう。ある状況のもとでは、これによって、トークンを解析し、カウンタの正確な値または近似値を推測するための十分な時間を第三者に与えてしまい、ことによると認証システムのセキュリティが危険に曝されるかもしれない。
【詳細な説明】
【0015】
本発明の実施形態にしたがうと、時間の関数としてカウンタ値Cを変化させることができる。時間の何らかの適切な関数が使用されてもよい。イベントの発生に基づいて、また、時間の経過に基づいて変化されるカウンタCは、時間およびイベントベースカウンタ、すなわち、TECと呼ばれる。例えば、
TEC=F(X,Y,W,Z)である。
ここで、Fは何らかの適切な関数または他のマッピングであり、XはTECの時間ベース増分のサイズであり、Yは、増分XがTECに加算される頻度に関するものであり、Wは、TECのイベントベースの増分のサイズであり、Zは、TECがWだけ増分される前に生じる必要がある発生の数である。XおよびWは正または負数であってもよく、一般的なケースでは、TECは整数または他の何らかの種類の適切な数であってもよいことに留意すべきである。例えば、TECは、証明者(例えば、トークン)および検証者(例えば、認証サービス)の双方において、Y秒ごとにXだけ増分されてもよい。同様に、TECは、イベントEまたは1組のイベント{E}からのイベントのZ回の発生ごとに、Wだけ増分されてもよい。TECを増分したイベントの後に、実際のOTP値をトークンにおいて計算することができる。例えば、以下のように、TECは、バックグラウンドにおいて60秒ごとに1だけ増分されてもよい。
【表2】
【0016】
この例は、TECを増分するための線形関数を示しているが、XおよびYに対して、何らかの適切な関数またはマッピングが使用されてもよい。
【数2】
【0017】
XiおよびYjは数値または変数であってもよい。例えば、Xは、共有シークレットの関数の8を法としたものであってもよく、Yは、証明者および検証者において発生可能な擬似ランダム数の10を法としたものに等しくてもよい。Xおよび/またはYは、以前のOTP計算の中間または最終結果に基づいたものとすることができ、例えば、打ち切り前の値のような、以前のOTPに対して計算された完全値からのすべて、または最後のバイトの一部を使用することができる。例えば、この目的のために、以前のHMAC計算の最後のバイト(バイト19)をそれぞれの計算後に記憶して使用することができる。
【0018】
XおよびYはまた、他の方法で決定することができる。例えば、Yは、証明者におけるクロックの値のような、システムパラメータに基づいたものである。異なるトークンファミリは、異なる時間ステップを有する。バンクアカウントにアクセスするためのトークンは、Yに対して、より小さい値、例えば、2または3分で動作してもよいが、eメールアカウントをアクセスするためのトークンは、より大きい値、例えば、30分で動作する。
【0019】
TECは、証明者および検証者の双方における「バックグラウンドにおいて」増分されてもよい。何らかの適切なイベントによって、TECの増分およびOTPの計算がトリガーされてもよい。例えば、OTP値は、トークン上のボタンが押されたときにトークンで計算されてもよい。同様に、トークンは、移動体電話機や、PC上で実行しているアプリケーション等におけるJava(登録商標)アプレットとして実現される「ソフトトークン」であってもよい。これらのケースにおいて、OTPの計算をトリガーするイベントは、セル電話キーパッドまたはコンピュータキーボード上の所定のキーを押下したり、キーのシーケンスを押したり、特別なボタンを押したり、バイオメトリックをスキャンしたりすること等を含んでいてもよい。同じように、OTPは、スクリーン上に表示されているグラフィカルユーザインターフェースにおけるツールバー上のアイテムの選択によって、プルダウンメニュー上のアイテムの選択によって、アプリケーションプログラムのアクティブ化によって、アプリケーションプログラムの機能のアクティブ化によって、あるいは他の何らかの適切なイベントによってトリガーされてもよい。
【0020】
証明者におけるTECの初期値は、1または他の何らかの適切な値であってもよい。TECの初期値は、ユーザによって設定できたり、認証サービスによって設定できたり、アプリケーションプログラムによって設定できたり、認証された第三者等によって設定できたりする。証明者における初期値が設定されたとき、初期値(すなわち、初期値を取得するために十分な情報)を検証者に送る必要がある。この方法において、検証者は、証明者に対して、TECのその値を検証者自体におけるCの値と同期させることができる。TECの新しい何の設定がなくても、デフォルト値をTECの値に対して指定することができる。初期値は、証明者と検証者との間のようなシークレットを維持する。
【0021】
証明者および検証者を同期させ、また、ことによると再同期させる必要がある。1つの実施形態において、クロックは、トークンがアクティブ化されたときにTECを増分させることを開始できる。別の実施形態では、クロックは、トークンが製造されたときにTECを増分させることを開始できる、すなわち、バリデーションサービスによってトークンがアクティブ化されたときに再同期化パスを発生させることができる。まる5秒間ボタンを押下する、または3秒内に4回ボタンを押す等のような、クロックを開始して、値を増分し、OTP値を計算するための簡単なプロセスがある。検証者は、検証者が最後に知っている証明者値TECと、検証者によって知られている現在の時間とに基づいて、所定の証明者に対する1組の候補のOTPを計算することができる。これらの最後の知られている値の前後の範囲を使用することができる。検証者が計算したOTPが、証明者から受け取ったOTPと整合した場合、検証者は、その証明者についての、TECと時間とに対する値を更新して記憶することができる。
【0022】
本発明の実施形態にしたがうと、イベントの発生に基づいて値TECを増分し、時間の経過に基づいてこの値を増分することによって、OTPを発生させることができる。OTPは、TECに基づいて決定することができる。OTPはまた、TECと、アジャンクト値、すなわち「AV」とに基づいて計算することができる。このアジャンクト値AVは、暗号鍵、パスワード等のような、共有シークレットであってもよい。AVは、シークレットおよび公開情報に基づいたものであってもよい。このような公開情報は、チャンレンジ、質問等であってもよい。TECは、ボタンの押下、ダイアログボックスの選択、条件の一致(例えば、チャレンジに対する正確な応答)等のような、何らかの適切なイベントの発生に基づいて増分する。時間の経過は、アプリケーションごとに異なっていてもよい値Tによって測定することができる。TECは、T秒、T分等後に増分される。TECはまた、値TIだけ増分されてもよく、ここでは、TECは、T秒後にTIだけ増分されてもよい。例えば、T=60秒後に、TECはTI=1だけ増分される。TECは、値EIによって制御することができ、ここでは、各イベントEが生じた後に、TECはEIだけ増分される。例えば、ユーザがボタンを押した後、TECは、EI=3だけ増分される。1つの実施形態では、ワンタイムパスワードは、RFC4226において規定されたアルゴリズムを使用して計算される。
【0023】
本発明の実施形態にしたがって、ユーザは、アクティブ化ウェブサイトに接続することによってトークンをアクティブ化することができる。アクティブ化ウェブサイトでは、何らかの適切な技術を使用して、例えば、ユーザネームとパスワードとを要求して確認することによって、ユーザを認証することができる。ユーザはまた、トークン識別子、トークンシリアル番号、関係証明書等のような何らかの適切な付加的な情報を提供することができる。この情報は、特定のトークンをユーザが実際に持っていることを証明するために、(トークンによって発生され、アクティブ化ウェブサイトに送信された1つ以上のOTP値とともに)使用することができる。トークン(例えば、トークン識別子)は特定のユーザ(例えば、ユーザ名)にリンクすることができ、例えば、トークンクロックによって発生されたデータに基づいて、トークンにおける時間値の記憶および/または更新を始めることができる。代わりに、クロック信号はトークンの外部から発せられてもよい。時間値は、ユーザがOTP値を取得した瞬間と、OTP値が検証者において受け取られた時間との間の時間差を検証者が決定するのに役立つ。
【0024】
本発明の実施形態はまた、カウンタ(C)と、キー(K)と、アジャンクト値(AV)とに基づいてHOTP値を計算することができる。アジャンクト値AVは、プライベートシークレット(例えば、プライベートキー)に基づいて、共有シークレット(例えば、パスワード)に基づいて、あるいはシークレット(プライベートまたは共有)といくつかの公開情報とを組み合わせたものに基づいたものであってもよい。公開情報は、共有でもプライベートシークレットでもない何らかの情報である。公開情報の例は、ユーザ識別子、チャレンジ、質問に対する応答等である。
【0025】
時間ウィンドウは、トークンまたは1組のトークンに対して設定されてもよい。トークンの再同期は、(トークン上の)OTPの実際の発生と、検証者によるOTP値の受け取りとの間に経過した時間が、特定のトークンまたは1組のトークンに対して設定されている時間ウィンドウよりも長いときに生じる可能性がある。トークンが止められたとき、例えば、セル電話機、PC等上のソフトトークンが止められたときに、ソフトトークン値を検証者値と再同期させる必要がある。ソフトトークンを備えたデバイスを時間T0において切断させて、デバイスがT1において切り替えられて戻されるまで活動停止とする。EIだけTECが増分するための時間期間をtとする。例えば、値TECは、t秒ごとにEIだけ増分される。以下のように、再同期を実行することができる。
1− T=T1−T0を計算する。
【0026】
2− Count=Floor(T/t)*EIを計算する。
3− TECをカウントだけ増分する。
4− (差分Tに対して)トークンクロックを再同期する。
この再同期手順の後、TECは、通常、期間tごとにEIだけ増分される。
【0027】
別のTECベースの再同期方法は、証明者が、OTP値だけでなく、他の情報も、特にTEC値を送信するときにいつでも使用することができる。証明者は(OTP.proverと示される)自身のOTPと、(TEC.proverと示される)TEC値とを送ることができ、OTPは、TECのショートメッセージ認証コードとして機能することができる。検証者は、システムパラメータのような(TEC.boundと示される)TECの上限値によって決定された値のある範囲内で再同期させることができる。以下のものがすべて真である場合に、検証者はOTPを受け入れることができる。ここで、TEC.verifierは、証明者に関係するTECの検証者の現在の値である。
【数3】
【0028】
この再同期の手順の後、通常、TECは、経過した期間tごとにEIだけ増分される。同様に、同一のまたは類似したプロトコルを使用して、証明者におけるTEC値を再同期させることができる。
【0029】
さらに、デバイスが止められなかったとき、デバイス上のクロックは、他のクロック、例えば、検証者におけるクロックと同期が離れてドリフトする可能性がある。エンドユーザからの特定の介入なしに再同期させる1つの方法は、TECの通常値の前後で「ウィンドウ」を維持することである。例えば、トークンにおいて計算され、検証者に送信されたOTPのような、トークンからのOTPを検証者が受け取ったとき、検証者は、送信トークンに対するその記憶されたパラメータに基づいて、例えば、そのトークンに対するイベント発生の現在の数(例えば、検証者によって受け取られた、これまでのそのトークンに対するOTP検証要求の数に基づく、そのトークン上でボタンが押された回数)に基づいてや、時間等に基づいて、TECの予測された値を計算することができる。その記憶されたパラメータが、OTPを発生させるために使用されたトークンにおけるパラメータに対して、わずかに不正確であったことが認識されると、検証者は、これらのパラメータに対して予測された大きさに近いパラメータの大きさの範囲に基づいて、いくつかの候補OTPを計算することができる。例えば、検証者は、OTPをチェックすることができ、そして、正確でない場合、整合が見つかるまで、またはウィンドウのサイズが超えるまで、(例えば、予測されたCのプラスまたはマイナス10内の)C+1、C−1、C+2等に対するOTPを計算する。
【0030】
検証者は、異なるレベルのセキュリティを実現することができる。
1− このウィンドウ中のOTP値を単に受け入れる。または、
2− 別のOTPを提供するようにユーザに要求して、以前のものとは異なるOTPを発生させる(たとえ、時間スロットが同一であっても、ボタンを押す(イベントの発生を生じさせる)ことによって、カウンタ値を修正するであろうから、OTPは異なるだろう)。または、
3− いくつかのアクションに対してOTPを区別して受け入れ、他のものに対してOTPを拒絶し、最終的には、最初の2−3の再同期を受け入れて、別のOTPを要求し、トークンを置換すること、および/または特定のユーザとの再同期問題が存在することを技術サポートに通知すること等を提案する。
【0031】
本発明の実施形態にしたがったシステムを図1に示している。トークン101は、メモリ103に結合されているプロセッサ102と、ディスプレイ104と、クロック105と、ボタン106とを備えていてもよい。メモリ103は、例えば、パスワードや、パーソナル識別番号(PIN)や、暗号キー等といった共有シークレットのようなデータ107を記憶することができる。また、メモリ103は、カウンタCと公開情報に基づいた値とを記憶することができる。さらに、メモリ103は、プロセッサ102によって実行されて、本発明にしたがった方法の少なくとも一部を実行するように適合されている命令108を記憶することができる。
【0032】
プロセッサ102は、ハードウェアおよび/またはファームウェアにおいて本発明の方法の少なくとも一部を具体化する、汎用マイクロプセッサまたは特定用途向け集積回路であってもよい。汎用マイクロプロセッサの例は、カリフォルニア、Santa RosaのIntel Corporationによって製造されているペンティアム(登録商標)IVプロセッサである。ASICの例は、デジタル信号プロセッサである。
【0033】
メモリ103は、電子情報を記憶できる任意のデバイスであってもよい。メモリ103の例は、ランダムアクセスメモリ、リードオンリーメモリ、電子プログラマブルリードオンリーメモリ、フラッシュメモリ、ハードディスク、CD等を含むことができる。これらはまた、命令107およびデータ(例えば、シークレット、カウンタ値等)を記憶することができる媒体の例である。
【0034】
ボタン106は、ボタンが押下されたときに、さもなければユーザによってアクティブ化されたときに信号を送信することができる何らかのデバイスであってもよい。ボタンの例は、メンブレンスイッチ、圧力センサ、バイオメトリックリーダ、圧力スイッチ、これに類似したものを含む。
【0035】
クロック105は、時間の経過を示すように適合されている任意のデバイスであってもよい。クロックの例には、水晶が含まれ、これは、一貫した方法で経時的に変数の値を変えるベースとして使用できる、よく知られている周波数を発する。本発明のいくつかの実施形態では、トークン101はクロック105を含まず、むしろ、トークン101の外部にあるソースからのタイミング信号を受け取る。
【0036】
ディスプレイ104は、英数字の情報のような情報をユーザに表示できる任意のデバイスであってもよい。ディスプレイ104の例は、液晶ディスプレイ、TFTディスプレイ、プラズマディスプレイ等を含む。ディスプレイ104は、OTPをユーザに表示することができる。
【0037】
本発明の実施形態にしたがった方法を図2に示している。ステップ201において、値Cが初期値に割り当てられ、時間Tが0に設定される。ステップ202において、イベントEが生じることが決定された場合、ステップ203において、Cが量Bだけ増分され、ステップ204において、OTPが計算される。生じるイベントEがないことが決定された場合、ステップ205において、時間Tの量が経過したかどうか決定される。時間Tが経過した場合、ステップ206において、Cが量Bだけ増分され、ステップ207において、Tがゼロにリセットされる。
【0038】
前述の説明は、例示を意味しており、本発明の範囲を限定することを意味していない。前述の例以上の多くのバリエーションが特許請求の範囲によって含まれることを、当業者は正しく認識するであろう。
【図面の簡単な説明】
【0039】
【図1】図1は、本発明の実施形態にしたがった装置を示している。
【図2】図2は、本発明の実施形態にしたがった方法を示している。
【関連出願】
【0001】
本出願は、2004年10月15日に出願された米国仮特許出願第60/618,600号、ならびに2005年10月17日に出願されたPCT出願第PCT/US05/37113号に関する。
【発明の分野】
【0002】
本発明の分野は、認証であり、特に、ワンタイムパスワードを用いた認証である。
【発明の背景】
【0003】
認証サービスとのみに共有されているシークレットを記憶するトークンを使用して、ユーザを認証することができる。トークンは、共有シークレットと他の値とに基づいて、それぞれ認証するためにワンタイムパスワード(「OTP」)を発生させる。認証サービスにおいてOTPが受け取られたときに、サービスが、少なくとも1つの予測されるOTP値を計算し、受け取られたOTP値と比較する。これらが整合した場合に、ユーザが認証される。そうでなければ、ユーザは認証されない。
【0004】
共有シークレットと、時間の関数として変化する値とに基づいて、自動的に周期的にOTPを発生させることができる。例えば、日付および時刻に対応している値と、共有シークレットとに基づいて、新しいOTPを自動的に分ごとに発生させることができる。トークンで使用された日付/時間値を含むことになっている日付/時間値の範囲と共有シークレットとに基づいて、認証サービスは、一連の予測されるOTPを計算する。これは、トークンとサービスとに同期外れを引き起こす、トークン上のクロックとサービスにおけるクロックとの間の何らかのドリフトを考慮に入れている。サービスにおいて計算されたOTPのうちの1つが受け取られたOTPと整合した場合に、ユーザが認証される。OTPを計算するために使用されるパラメータのうちの1つが経時的に変化することから、セキュリティが増強される。
【0005】
共有シークレットとイベントの特性とに基づいて、OTPを計算することができる。例えば、イベントの特性は、トークン上のボタンをユーザが押すごとに増分されるカウンタの値であってもよい。認証サービスは、トークンにおいて最後に知られているカウンタ値で始まるカウンタ値と共有シークレットとに基づいてOTPの範囲を計算する。これは、ボタンを押して結果的に生じたOTPがサービスに送信されなかったことを考慮に入れている。サービスにおいて計算されたOTPのうちの1つが、受け取られたOTPと整合した場合、ユーザが認証される。
【0006】
RFC4226で規定された、HOTPアルゴリズムを含むOTPを発生させるための多数のアルゴリズムが知られている。HOTPアルゴリズムを説明する際に、以下のシンボルを使用することができる。
【表1】
【0007】
HOTPアルゴリズムは、トークンおよびバリデーションサービスのみに知られている、増加するカウンタ値と静的対称キーとに基づいている。HOTP値を生成するために、RFC2104で規定されているようなHMAC−SHA−1アルゴリズムを使用するであろう。HMAC−SHA1の計算の出力が160ビットであることから、ユーザによって容易に入力できる何かにこの値を打ち切る必要がある。したがって、
HOTP(K,C)=Truncate(HMAC−SHA−1(K,C))となる。
ここで、「Truncate」は、HMAC−SHA−1値をHOTP値に変換できる関数を示している。キー(K)、カウンタ(C)およびデータ値は、最初に上位バイトをハッシュすることができる。HOTP発生器によって発生されたHOTP値をビッグエンディアンとして取り扱うことができる。
【0008】
以下の4つのステップでOTPを発生させることができる。
ステップ1:HMAC−SHA−1値を発生させる。
HS=HMAC−SHA−1(K,C)//HSは、20バイトストリングである。
ステップ2:4バイトストリング(Dynamic Truncation)を発生させる。
Sbits=DT(HS)とする。//DTは、以下で規定するが、31ビットストリングを返す。
ステップ3:HOTP値を計算
Snum=StToNum(Sbit)とする。//Sを0...2^{31}−1の数に変換する。
D=Snum mod 10^Digitを返す。//Dは、0...10^{Digit}−1の範囲の数である。
Truncate関数は、ステップ2およびステップ3、すなわち、動的な打ち切りを
し、そして10^Digitを法とした還元を行うことができる。動的オフセット打ち切り技術は、160ビット(20バイト)HMAC−SHA1の結果から、4バイトの動的なバイナリコードを取り出すことができる。
【0009】
DT(String)//String=String[0]... String[19]。
OffsetBitをString[19]の下位4ビットとする。
Offset=StToNum(OffSetBits)//0<=OffSet<=15。
P=String[OffSet]... String[OffSet+3]とする。
Pの最後の31ビットを返す。
【0010】
Pの最上位のビットをマスキングすることによって、有符号および無符号モジュロ計算間の混乱を回避することができる。異なるプロセッサがこれらの演算を別々に行い、有符号ビットをマスキングアウトすることによって、あいまい性を解消できる。
【0011】
RFC4226は、最低6桁のコードを、そして可能であれば7および8桁コードを取り出すようにインプリメンテーションに要求する。この結果はRFCに準拠しないかもしれないが、異なる状況のもとでは、この要求にそむくことができる。安全性の要求次第で、より長いHOTP値の結果を取り出すために、Digit=7またはより多くのものを考えなければならない。
【0012】
ここでの例では、Digit=6に対してこの技術を使用している。すなわち、6桁のHOTP値が、HMAC値から計算される。以下のコードの例は、hmac_resultがHMAC−SHA1の結果によるバイトアレイであることを仮定して、動的バイナリコードの取り出しを説明している。
【数1】
【0013】
最後のバイト(バイト19)は、16進値0x5aを持つ。
下位の4つのビットの値は、0xa(オフセット値)である。
オフセット値は、バイト10(0xa)である。
バイト10で始まる4バイトの値は0x50ef7f19であり、これは、動的バイナ
リコードDBC1である。
DBC1のMSBは0x50であるので、DBC2=DBC1=0x50ef7f19
である。
HOTP=10^6を法としたDBC2=872921である。
31ビット、無符号のビッグエンディアン整数として動的バイナリコードを取り扱うことができる。つまり、最初のバイトは0x7fでマスキングされる。1,000,000(10^6)を法としたこの数を用いて、6桁のHOTP値である十進法の872921を発生させることができる。
【0014】
OTPを計算するための入力としてカウンタ値を使用する短所は、長い期間にわたって、カウンタ値が同じままであり得ることである。例えば、ユーザが、数ヶ月にわたって自身のトークンを使用しない場合、カウンタ値は、使用する間の期間全体にわたって同じ値を持続するであろう。ある状況のもとでは、これによって、トークンを解析し、カウンタの正確な値または近似値を推測するための十分な時間を第三者に与えてしまい、ことによると認証システムのセキュリティが危険に曝されるかもしれない。
【詳細な説明】
【0015】
本発明の実施形態にしたがうと、時間の関数としてカウンタ値Cを変化させることができる。時間の何らかの適切な関数が使用されてもよい。イベントの発生に基づいて、また、時間の経過に基づいて変化されるカウンタCは、時間およびイベントベースカウンタ、すなわち、TECと呼ばれる。例えば、
TEC=F(X,Y,W,Z)である。
ここで、Fは何らかの適切な関数または他のマッピングであり、XはTECの時間ベース増分のサイズであり、Yは、増分XがTECに加算される頻度に関するものであり、Wは、TECのイベントベースの増分のサイズであり、Zは、TECがWだけ増分される前に生じる必要がある発生の数である。XおよびWは正または負数であってもよく、一般的なケースでは、TECは整数または他の何らかの種類の適切な数であってもよいことに留意すべきである。例えば、TECは、証明者(例えば、トークン)および検証者(例えば、認証サービス)の双方において、Y秒ごとにXだけ増分されてもよい。同様に、TECは、イベントEまたは1組のイベント{E}からのイベントのZ回の発生ごとに、Wだけ増分されてもよい。TECを増分したイベントの後に、実際のOTP値をトークンにおいて計算することができる。例えば、以下のように、TECは、バックグラウンドにおいて60秒ごとに1だけ増分されてもよい。
【表2】
【0016】
この例は、TECを増分するための線形関数を示しているが、XおよびYに対して、何らかの適切な関数またはマッピングが使用されてもよい。
【数2】
【0017】
XiおよびYjは数値または変数であってもよい。例えば、Xは、共有シークレットの関数の8を法としたものであってもよく、Yは、証明者および検証者において発生可能な擬似ランダム数の10を法としたものに等しくてもよい。Xおよび/またはYは、以前のOTP計算の中間または最終結果に基づいたものとすることができ、例えば、打ち切り前の値のような、以前のOTPに対して計算された完全値からのすべて、または最後のバイトの一部を使用することができる。例えば、この目的のために、以前のHMAC計算の最後のバイト(バイト19)をそれぞれの計算後に記憶して使用することができる。
【0018】
XおよびYはまた、他の方法で決定することができる。例えば、Yは、証明者におけるクロックの値のような、システムパラメータに基づいたものである。異なるトークンファミリは、異なる時間ステップを有する。バンクアカウントにアクセスするためのトークンは、Yに対して、より小さい値、例えば、2または3分で動作してもよいが、eメールアカウントをアクセスするためのトークンは、より大きい値、例えば、30分で動作する。
【0019】
TECは、証明者および検証者の双方における「バックグラウンドにおいて」増分されてもよい。何らかの適切なイベントによって、TECの増分およびOTPの計算がトリガーされてもよい。例えば、OTP値は、トークン上のボタンが押されたときにトークンで計算されてもよい。同様に、トークンは、移動体電話機や、PC上で実行しているアプリケーション等におけるJava(登録商標)アプレットとして実現される「ソフトトークン」であってもよい。これらのケースにおいて、OTPの計算をトリガーするイベントは、セル電話キーパッドまたはコンピュータキーボード上の所定のキーを押下したり、キーのシーケンスを押したり、特別なボタンを押したり、バイオメトリックをスキャンしたりすること等を含んでいてもよい。同じように、OTPは、スクリーン上に表示されているグラフィカルユーザインターフェースにおけるツールバー上のアイテムの選択によって、プルダウンメニュー上のアイテムの選択によって、アプリケーションプログラムのアクティブ化によって、アプリケーションプログラムの機能のアクティブ化によって、あるいは他の何らかの適切なイベントによってトリガーされてもよい。
【0020】
証明者におけるTECの初期値は、1または他の何らかの適切な値であってもよい。TECの初期値は、ユーザによって設定できたり、認証サービスによって設定できたり、アプリケーションプログラムによって設定できたり、認証された第三者等によって設定できたりする。証明者における初期値が設定されたとき、初期値(すなわち、初期値を取得するために十分な情報)を検証者に送る必要がある。この方法において、検証者は、証明者に対して、TECのその値を検証者自体におけるCの値と同期させることができる。TECの新しい何の設定がなくても、デフォルト値をTECの値に対して指定することができる。初期値は、証明者と検証者との間のようなシークレットを維持する。
【0021】
証明者および検証者を同期させ、また、ことによると再同期させる必要がある。1つの実施形態において、クロックは、トークンがアクティブ化されたときにTECを増分させることを開始できる。別の実施形態では、クロックは、トークンが製造されたときにTECを増分させることを開始できる、すなわち、バリデーションサービスによってトークンがアクティブ化されたときに再同期化パスを発生させることができる。まる5秒間ボタンを押下する、または3秒内に4回ボタンを押す等のような、クロックを開始して、値を増分し、OTP値を計算するための簡単なプロセスがある。検証者は、検証者が最後に知っている証明者値TECと、検証者によって知られている現在の時間とに基づいて、所定の証明者に対する1組の候補のOTPを計算することができる。これらの最後の知られている値の前後の範囲を使用することができる。検証者が計算したOTPが、証明者から受け取ったOTPと整合した場合、検証者は、その証明者についての、TECと時間とに対する値を更新して記憶することができる。
【0022】
本発明の実施形態にしたがうと、イベントの発生に基づいて値TECを増分し、時間の経過に基づいてこの値を増分することによって、OTPを発生させることができる。OTPは、TECに基づいて決定することができる。OTPはまた、TECと、アジャンクト値、すなわち「AV」とに基づいて計算することができる。このアジャンクト値AVは、暗号鍵、パスワード等のような、共有シークレットであってもよい。AVは、シークレットおよび公開情報に基づいたものであってもよい。このような公開情報は、チャンレンジ、質問等であってもよい。TECは、ボタンの押下、ダイアログボックスの選択、条件の一致(例えば、チャレンジに対する正確な応答)等のような、何らかの適切なイベントの発生に基づいて増分する。時間の経過は、アプリケーションごとに異なっていてもよい値Tによって測定することができる。TECは、T秒、T分等後に増分される。TECはまた、値TIだけ増分されてもよく、ここでは、TECは、T秒後にTIだけ増分されてもよい。例えば、T=60秒後に、TECはTI=1だけ増分される。TECは、値EIによって制御することができ、ここでは、各イベントEが生じた後に、TECはEIだけ増分される。例えば、ユーザがボタンを押した後、TECは、EI=3だけ増分される。1つの実施形態では、ワンタイムパスワードは、RFC4226において規定されたアルゴリズムを使用して計算される。
【0023】
本発明の実施形態にしたがって、ユーザは、アクティブ化ウェブサイトに接続することによってトークンをアクティブ化することができる。アクティブ化ウェブサイトでは、何らかの適切な技術を使用して、例えば、ユーザネームとパスワードとを要求して確認することによって、ユーザを認証することができる。ユーザはまた、トークン識別子、トークンシリアル番号、関係証明書等のような何らかの適切な付加的な情報を提供することができる。この情報は、特定のトークンをユーザが実際に持っていることを証明するために、(トークンによって発生され、アクティブ化ウェブサイトに送信された1つ以上のOTP値とともに)使用することができる。トークン(例えば、トークン識別子)は特定のユーザ(例えば、ユーザ名)にリンクすることができ、例えば、トークンクロックによって発生されたデータに基づいて、トークンにおける時間値の記憶および/または更新を始めることができる。代わりに、クロック信号はトークンの外部から発せられてもよい。時間値は、ユーザがOTP値を取得した瞬間と、OTP値が検証者において受け取られた時間との間の時間差を検証者が決定するのに役立つ。
【0024】
本発明の実施形態はまた、カウンタ(C)と、キー(K)と、アジャンクト値(AV)とに基づいてHOTP値を計算することができる。アジャンクト値AVは、プライベートシークレット(例えば、プライベートキー)に基づいて、共有シークレット(例えば、パスワード)に基づいて、あるいはシークレット(プライベートまたは共有)といくつかの公開情報とを組み合わせたものに基づいたものであってもよい。公開情報は、共有でもプライベートシークレットでもない何らかの情報である。公開情報の例は、ユーザ識別子、チャレンジ、質問に対する応答等である。
【0025】
時間ウィンドウは、トークンまたは1組のトークンに対して設定されてもよい。トークンの再同期は、(トークン上の)OTPの実際の発生と、検証者によるOTP値の受け取りとの間に経過した時間が、特定のトークンまたは1組のトークンに対して設定されている時間ウィンドウよりも長いときに生じる可能性がある。トークンが止められたとき、例えば、セル電話機、PC等上のソフトトークンが止められたときに、ソフトトークン値を検証者値と再同期させる必要がある。ソフトトークンを備えたデバイスを時間T0において切断させて、デバイスがT1において切り替えられて戻されるまで活動停止とする。EIだけTECが増分するための時間期間をtとする。例えば、値TECは、t秒ごとにEIだけ増分される。以下のように、再同期を実行することができる。
1− T=T1−T0を計算する。
【0026】
2− Count=Floor(T/t)*EIを計算する。
3− TECをカウントだけ増分する。
4− (差分Tに対して)トークンクロックを再同期する。
この再同期手順の後、TECは、通常、期間tごとにEIだけ増分される。
【0027】
別のTECベースの再同期方法は、証明者が、OTP値だけでなく、他の情報も、特にTEC値を送信するときにいつでも使用することができる。証明者は(OTP.proverと示される)自身のOTPと、(TEC.proverと示される)TEC値とを送ることができ、OTPは、TECのショートメッセージ認証コードとして機能することができる。検証者は、システムパラメータのような(TEC.boundと示される)TECの上限値によって決定された値のある範囲内で再同期させることができる。以下のものがすべて真である場合に、検証者はOTPを受け入れることができる。ここで、TEC.verifierは、証明者に関係するTECの検証者の現在の値である。
【数3】
【0028】
この再同期の手順の後、通常、TECは、経過した期間tごとにEIだけ増分される。同様に、同一のまたは類似したプロトコルを使用して、証明者におけるTEC値を再同期させることができる。
【0029】
さらに、デバイスが止められなかったとき、デバイス上のクロックは、他のクロック、例えば、検証者におけるクロックと同期が離れてドリフトする可能性がある。エンドユーザからの特定の介入なしに再同期させる1つの方法は、TECの通常値の前後で「ウィンドウ」を維持することである。例えば、トークンにおいて計算され、検証者に送信されたOTPのような、トークンからのOTPを検証者が受け取ったとき、検証者は、送信トークンに対するその記憶されたパラメータに基づいて、例えば、そのトークンに対するイベント発生の現在の数(例えば、検証者によって受け取られた、これまでのそのトークンに対するOTP検証要求の数に基づく、そのトークン上でボタンが押された回数)に基づいてや、時間等に基づいて、TECの予測された値を計算することができる。その記憶されたパラメータが、OTPを発生させるために使用されたトークンにおけるパラメータに対して、わずかに不正確であったことが認識されると、検証者は、これらのパラメータに対して予測された大きさに近いパラメータの大きさの範囲に基づいて、いくつかの候補OTPを計算することができる。例えば、検証者は、OTPをチェックすることができ、そして、正確でない場合、整合が見つかるまで、またはウィンドウのサイズが超えるまで、(例えば、予測されたCのプラスまたはマイナス10内の)C+1、C−1、C+2等に対するOTPを計算する。
【0030】
検証者は、異なるレベルのセキュリティを実現することができる。
1− このウィンドウ中のOTP値を単に受け入れる。または、
2− 別のOTPを提供するようにユーザに要求して、以前のものとは異なるOTPを発生させる(たとえ、時間スロットが同一であっても、ボタンを押す(イベントの発生を生じさせる)ことによって、カウンタ値を修正するであろうから、OTPは異なるだろう)。または、
3− いくつかのアクションに対してOTPを区別して受け入れ、他のものに対してOTPを拒絶し、最終的には、最初の2−3の再同期を受け入れて、別のOTPを要求し、トークンを置換すること、および/または特定のユーザとの再同期問題が存在することを技術サポートに通知すること等を提案する。
【0031】
本発明の実施形態にしたがったシステムを図1に示している。トークン101は、メモリ103に結合されているプロセッサ102と、ディスプレイ104と、クロック105と、ボタン106とを備えていてもよい。メモリ103は、例えば、パスワードや、パーソナル識別番号(PIN)や、暗号キー等といった共有シークレットのようなデータ107を記憶することができる。また、メモリ103は、カウンタCと公開情報に基づいた値とを記憶することができる。さらに、メモリ103は、プロセッサ102によって実行されて、本発明にしたがった方法の少なくとも一部を実行するように適合されている命令108を記憶することができる。
【0032】
プロセッサ102は、ハードウェアおよび/またはファームウェアにおいて本発明の方法の少なくとも一部を具体化する、汎用マイクロプセッサまたは特定用途向け集積回路であってもよい。汎用マイクロプロセッサの例は、カリフォルニア、Santa RosaのIntel Corporationによって製造されているペンティアム(登録商標)IVプロセッサである。ASICの例は、デジタル信号プロセッサである。
【0033】
メモリ103は、電子情報を記憶できる任意のデバイスであってもよい。メモリ103の例は、ランダムアクセスメモリ、リードオンリーメモリ、電子プログラマブルリードオンリーメモリ、フラッシュメモリ、ハードディスク、CD等を含むことができる。これらはまた、命令107およびデータ(例えば、シークレット、カウンタ値等)を記憶することができる媒体の例である。
【0034】
ボタン106は、ボタンが押下されたときに、さもなければユーザによってアクティブ化されたときに信号を送信することができる何らかのデバイスであってもよい。ボタンの例は、メンブレンスイッチ、圧力センサ、バイオメトリックリーダ、圧力スイッチ、これに類似したものを含む。
【0035】
クロック105は、時間の経過を示すように適合されている任意のデバイスであってもよい。クロックの例には、水晶が含まれ、これは、一貫した方法で経時的に変数の値を変えるベースとして使用できる、よく知られている周波数を発する。本発明のいくつかの実施形態では、トークン101はクロック105を含まず、むしろ、トークン101の外部にあるソースからのタイミング信号を受け取る。
【0036】
ディスプレイ104は、英数字の情報のような情報をユーザに表示できる任意のデバイスであってもよい。ディスプレイ104の例は、液晶ディスプレイ、TFTディスプレイ、プラズマディスプレイ等を含む。ディスプレイ104は、OTPをユーザに表示することができる。
【0037】
本発明の実施形態にしたがった方法を図2に示している。ステップ201において、値Cが初期値に割り当てられ、時間Tが0に設定される。ステップ202において、イベントEが生じることが決定された場合、ステップ203において、Cが量Bだけ増分され、ステップ204において、OTPが計算される。生じるイベントEがないことが決定された場合、ステップ205において、時間Tの量が経過したかどうか決定される。時間Tが経過した場合、ステップ206において、Cが量Bだけ増分され、ステップ207において、Tがゼロにリセットされる。
【0038】
前述の説明は、例示を意味しており、本発明の範囲を限定することを意味していない。前述の例以上の多くのバリエーションが特許請求の範囲によって含まれることを、当業者は正しく認識するであろう。
【図面の簡単な説明】
【0039】
【図1】図1は、本発明の実施形態にしたがった装置を示している。
【図2】図2は、本発明の実施形態にしたがった方法を示している。
【特許請求の範囲】
【請求項1】
ワンタイムパスワードを発生させる方法において、
イベントの発生と時間の経過とに基づいて、値TECを増分することと、
TECに基づいて、前記ワンタイムパスワードを決定することとを含む方法。
【請求項2】
前記ワンタイムパスワードは、アジャンクト値に基づいてさらに決定される請求項1記載の方法。
【請求項3】
前記アジャンクト値は、共有シークレットに基づいたものである請求項2記載の方法。
【請求項4】
前記アジャンクト値は、共有シークレットと公開情報とに基づいたものである請求項2記載の方法。
【請求項5】
前記イベントは、ボタンの押下である請求項1記載の方法。
【請求項6】
前記イベントは、ダイアログボックスの選択である請求項1記載の方法。
【請求項7】
前記イベントは、条件の一致である請求項1記載の方法。
【請求項8】
TECは、T秒後に増分される請求項1記載の方法。
【請求項9】
TECは、T秒後にTIだけ増分される請求項1記載の方法。
【請求項10】
TECは、イベントEの発生後にEIだけ増分される請求項1記載の方法。
【請求項11】
前記ワンタイムパスワードは、RFC4226において規定されたアルゴリズムにしたがって計算される請求項1記載の方法。
【請求項12】
ワンタイムパスワードを発生させる装置において、
時間の経過とイベントの発生とに基づいてTECを増分して、TECに基づいてワンタイムパスワードを計算するように構成および配置されているプロセッサを具備する装置。
【請求項13】
前記プロセッサに結合されているメモリとディスプレイとをさらに具備する請求項12記載の装置。
【請求項14】
前記プロセッサは、前記ワンタイムパスワードをディスプレイに表示させるようにさらに構成および配置されている請求項13記載の装置。
【請求項15】
前記プロセッサは、T秒の経過を検出したときに、TECをTIだけ増分するように構成および配置されている請求項12記載の装置。
【請求項16】
前記プロセッサは、イベントEの発生を検出したときに、TECをEIだけ増分するように構成および配置されている請求項12記載の装置。
【請求項17】
前記プロセッサは、RFC4226に規定されたアルゴリズムにしたがって、前記ワンタイムパスワードを計算するように構成および配置されている請求項12記載の装置。
【請求項18】
プロセッサによって実行されて、イベントの発生と時間の経過とに基づいて増分された値に基づいて、ワンタイムパスワードを計算するように適合されている命令を記憶する媒体。
【請求項19】
前記ワンタイムパスワードは、アジャンクト値に基づいて計算される請求項18記載の媒体。
【請求項1】
ワンタイムパスワードを発生させる方法において、
イベントの発生と時間の経過とに基づいて、値TECを増分することと、
TECに基づいて、前記ワンタイムパスワードを決定することとを含む方法。
【請求項2】
前記ワンタイムパスワードは、アジャンクト値に基づいてさらに決定される請求項1記載の方法。
【請求項3】
前記アジャンクト値は、共有シークレットに基づいたものである請求項2記載の方法。
【請求項4】
前記アジャンクト値は、共有シークレットと公開情報とに基づいたものである請求項2記載の方法。
【請求項5】
前記イベントは、ボタンの押下である請求項1記載の方法。
【請求項6】
前記イベントは、ダイアログボックスの選択である請求項1記載の方法。
【請求項7】
前記イベントは、条件の一致である請求項1記載の方法。
【請求項8】
TECは、T秒後に増分される請求項1記載の方法。
【請求項9】
TECは、T秒後にTIだけ増分される請求項1記載の方法。
【請求項10】
TECは、イベントEの発生後にEIだけ増分される請求項1記載の方法。
【請求項11】
前記ワンタイムパスワードは、RFC4226において規定されたアルゴリズムにしたがって計算される請求項1記載の方法。
【請求項12】
ワンタイムパスワードを発生させる装置において、
時間の経過とイベントの発生とに基づいてTECを増分して、TECに基づいてワンタイムパスワードを計算するように構成および配置されているプロセッサを具備する装置。
【請求項13】
前記プロセッサに結合されているメモリとディスプレイとをさらに具備する請求項12記載の装置。
【請求項14】
前記プロセッサは、前記ワンタイムパスワードをディスプレイに表示させるようにさらに構成および配置されている請求項13記載の装置。
【請求項15】
前記プロセッサは、T秒の経過を検出したときに、TECをTIだけ増分するように構成および配置されている請求項12記載の装置。
【請求項16】
前記プロセッサは、イベントEの発生を検出したときに、TECをEIだけ増分するように構成および配置されている請求項12記載の装置。
【請求項17】
前記プロセッサは、RFC4226に規定されたアルゴリズムにしたがって、前記ワンタイムパスワードを計算するように構成および配置されている請求項12記載の装置。
【請求項18】
プロセッサによって実行されて、イベントの発生と時間の経過とに基づいて増分された値に基づいて、ワンタイムパスワードを計算するように適合されている命令を記憶する媒体。
【請求項19】
前記ワンタイムパスワードは、アジャンクト値に基づいて計算される請求項18記載の媒体。
【図1】
【図2】
【図2】
【公表番号】特表2009−534742(P2009−534742A)
【公表日】平成21年9月24日(2009.9.24)
【国際特許分類】
【出願番号】特願2009−506502(P2009−506502)
【出願日】平成19年3月27日(2007.3.27)
【国際出願番号】PCT/US2007/007483
【国際公開番号】WO2007/126763
【国際公開日】平成19年11月8日(2007.11.8)
【出願人】(502377350)ベリサイン・インコーポレイテッド (28)
【Fターム(参考)】
【公表日】平成21年9月24日(2009.9.24)
【国際特許分類】
【出願日】平成19年3月27日(2007.3.27)
【国際出願番号】PCT/US2007/007483
【国際公開番号】WO2007/126763
【国際公開日】平成19年11月8日(2007.11.8)
【出願人】(502377350)ベリサイン・インコーポレイテッド (28)
【Fターム(参考)】
[ Back to top ]