JP2016146208A - ネットワークアクセスに関連したアプリケーションのための認証 - Google Patents

ネットワークアクセスに関連したアプリケーションのための認証 Download PDF

Info

Publication number
JP2016146208A
JP2016146208A JP2016076908A JP2016076908A JP2016146208A JP 2016146208 A JP2016146208 A JP 2016146208A JP 2016076908 A JP2016076908 A JP 2016076908A JP 2016076908 A JP2016076908 A JP 2016076908A JP 2016146208 A JP2016146208 A JP 2016146208A
Authority
JP
Japan
Prior art keywords
controller
input signal
electronic device
response
login
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016076908A
Other languages
English (en)
Other versions
JP6172549B2 (ja
Inventor
バクシ、サンジェイ
Sanjay Bakshi
スミス、ネッド
Ned Smith
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intel Corp
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Priority to JP2016076908A priority Critical patent/JP6172549B2/ja
Publication of JP2016146208A publication Critical patent/JP2016146208A/ja
Application granted granted Critical
Publication of JP6172549B2 publication Critical patent/JP6172549B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

【課題】電子デバイスにおいて、ネットワークアクセスのための認証を実現するシステム及び方法を提供する。
【解決手段】電子デバイスは、近接場通信(NFC)通信リンクを介して第三者識別パケットを受信し515、受信した第三者識別パケットを署名およびラッピングして525、認証サーバへ転送する530。認証サーバから許可応答を受信した電子デバイスは545、許可応答がログインを許可されたことを示す場合には550、ユーザのためのログイン情報を検索し560、ログイン情報をホストプロキシへ送る565。ホストプロキシは、適切なバックエンドサービスへの接続を確立してクレデンシャルを供給し、ノーマルログイン手順が実現される570。
【選択図】図5

Description

本明細書に説明される主題は、一般的に、ネットワークアクセスの分野に関し、より詳細には、ネットワークアクセスのための認証プロトロコルを実現するためにリモート認証プロバイダが動作させる第三者認証システムを利用することを電子デバイスに可能にさせるシステムおよび方法に関する。
大企業のネットワークは多くの場合、許可されたユーザによるネットワークへのアクセスを可能にする一方で無許可の従業員によるネットワークへのアクセスを禁止または防止する認証技術により、保護されている。中小企業環境は、企業ネットワークの安全化における、より困難な問題に直面する。ビジネスクラスの認証技術は、高価かつ複雑であり、中小企業の経済力および技術力を超えることが多い。
したがって、コンピューティング環境を安全にするための認証手法を提供するためのシステムおよび手法は、特に中小企業環境において、有用性を見出し得る。
詳細な説明が、添付図面を参照して説明される。
いくつかの実施形態に係る、ネットワークアクセスのための認証を実現するためのインフラストラクチャを含むように適合し得る例示的な電子デバイスの模式図である。 いくつかの実施形態に係る、ネットワークアクセスのための認証のための例示的なアーキテクチャのハイレベルな模式図である。 いくつかの実施形態に係る、ネットワークアクセスのための認証のための例示的なアーキテクチャの模式図である。 いくつかの実施形態に係る、ネットワークアクセスのための認証のための例示的なシステムの模式図である。 いくつかの実施形態に係る、ネットワークアクセスのための認証を実現するための方法における動作を示すフローチャートである。
本明細書に説明されるのは、電子デバイスにおいてネットワークアクセスのための認証を実現するための例示的なシステムおよび方法である。本明細書に説明されるシステムおよび方法のいくつかの実施形態は、ネットワークセキュリティのコンテキストで、また、特に中小企業環境において、有用性を見出し得る。本明細書に説明されるいくつかの実施形態は、第三者によって提供されるさまざまな認証プラットフォームの活用を中小企業に可能にさせることができるので、第三者がリモート認証プロバイダとして機能する。例として、システムのユーザは、第三者または当事者によって発行されたクレデンシャルを含み得る識別パケットを割り当てられ得る。識別パケットは、適切な記憶場所、例えば、磁気ストリップカード、スマートカード、または、電子デバイスに関連づけられたメモリモジュールに記憶され得る。
ネットワークへのアクセスを望むユーザが、電子デバイスを介してログイン手順を開始し得る。ログイン手順中、識別パケットは、電子デバイスからリモート認証プロバイダに、安全な通信チャネルを通じて送信され得る。リモート認証プロバイダは、識別パケット中のデータを使用して1つ又は複数の認証ルーチンを実現することができ、ユーザがネットワークアクセスを許可されることを確定する、または、拒否する、のいずれかである応答を戻し得る。応答に基づいて、電子デバイスは次に、ネットワークへのログイン手順を、完了する、または、中止する、のいずれかである。
本明細書は、ネットワークアクセスのための認証が実現され得るハードウェアおよびソフトウェア環境の説明、およびネットワークアクセスのための認証を実現するための例示的な動作の説明を提供する。以下の説明では、多数の特定の詳細が、さまざまな実施形態の完全な理解を提供するために説明される。しかしながら、さまざまな実施形態が特定の詳細なしに実現され得ることが、当業者によって理解されるだろう。他の例では、周知の方法、手順、コンポーネント、および回路は、特定の実施形態を曖昧にしないように、詳細に例示または説明されない。
図1は、いくつかの実施形態に係る、ネットワークアクセスのための認証を実現するように適合し得る例示的な電子デバイス110の模式図である。図1に示すように、電子デバイス110は、携帯電話、タブレットコンピュータ、ポータブルコンピュータ、または携帯情報端末(PDA)といった、従来のモバイルデバイスとして具体化され得る。
いくつかの実施形態において、電子デバイスは、信頼できる実行環境を含むことができ、それはまた、信頼できる実行エンジン、または時に、安全なエレメントまたは管理容易性エンジンとも呼ばれ得る。信頼できる実行環境は、信頼できない実行環境と時に呼ばれる一次実行環境から分離された、1つ又は複数のコントローラを備え得る。分離は、信頼できる実行環境が信頼できない実行環境から物理的に分離され得るという意味で、物理的であり得る。あるいは、信頼できる実行環境は、信頼できる実行環境が、信頼できない実行環境をホストする同一のチップまたはチップセット上でホストされ得るが、信頼できる実行環境が安全であるようにシリコンレベルで分離され得る、という意味で、論理的であり得る。
さまざまな実施形態において、電子デバイス110は、ディスプレイ、1つ又は複数のスピーカー、キーボード、1つ又は複数の他のI/Oデバイス、マウス、等を含む1つ又は複数の付属の入力/出力デバイスを含むことができ、または、これらに結合されることができる。例示的なI/Oデバイスは、タッチスクリーン、音声起動入力デバイス、トラックボール、ジオロケーションデバイス、加速度計/ジャイロスコープ、バイオメトリックフィーチャー入力デバイス、および、ユーザからの入力を受信することを電子デバイス110に可能にさせる任意の他のデバイスを含み得る。
電子デバイス110は、システムハードウェア120と、ランダムアクセスメモリおよび/または読み出し専用メモリとして実現され得るメモリ140と、を含む。ファイルストアが、コンピューティングデバイス110に通信可能に結合され得る。ファイルストアは、例えば、eMMC、SSD、1つ又は複数のハードドライブ、または他のタイプのストレージデバイスのように、コンピューティングデバイス110の内部にあり得る。ファイルストア180はまた、例えば、1つ又は複数の外部のハードドライブ、ネットワーク接続ストレージ、または分離したストレージネットワークのように、コンピュータ110の外部にあり得る。
システムハードウェア120は、1つ又は複数のプロセッサ122、グラフィックスプロセッサ124、ネットワークインターフェース126、およびバス構造128を含み得る。一実施形態において、プロセッサ122は、Intel Corporation,Santa Clara,California,USAから入手可能な、Intel(登録商標)Atom(登録商標)プロセッサ、Intel(登録商標)Atom(登録商標)ベースのシステムオンチップ(SOC)、またはIntel(登録商標)Core2 Duo(登録商標)プロセッサとして、具体化され得る。本明細書において使用される場合、「プロセッサ」という用語は、マイクロプロセッサ、マイクロコントローラ、複数命令セットコンピューティング(CISC)マイクロプロセッサ、縮小命令セットコンピュータ(RISC)マイクロプロセッサ、超長命令語(VLIW)マイクロプロセッサ、または任意の他のタイプのプロセッサまたは処理回路といった、しかしこれらに限定されない、任意のタイプの計算エレメントを意味する。
グラフィックスプロセッサ124は、グラフィックスおよび/またはビデオ動作を管理する付加的なプロセッサとして機能し得る。グラフィックスプロセッサ124は、電子デバイス110のマザーボード上に組み込まれることができ、または、マザーボード上に拡張スロットを介して結合され得る。
一実施形態において、ネットワークインターフェース126は、イーサネット(登録商標)インターフェースのような有線インターフェース(例えば、Institute of Electrical and Electronics Engineers/IEEE 802.3−2002を参照)、または、IEEE802.11a、b、またはgに準拠したインターフェースのようなワイヤレスインターフェース(例えば、IEEE Standard for IT−Telecommunications and information exchange between systems LAN/MAN−−Part II:Wireless LAN Medium Access Control(MAC)and Physical Layer(PHY)specifications Amendment 4:Further Higher Data Rate Extension in the 2.4GHz Band,802.11G−2003を参照)であり得る。ワイヤレスインターフェースの別の例は、汎用パケット無線サービス(GPRS)インターフェース(例えば、Guidelines on GPRS Handset Requirements,Global System for Mobile Communications/GSM(登録商標) Association,Ver.3.0.1,December 2002を参照)であろう。
バス構造128は、システムハードウェア120のさまざまなコンポーネントを接続する。一実施形態において、バス構造128は、11ビットバス、業界標準アーキテクチャ(ISA)、マイクロチャネルアーキテクチャ(MSA)、拡張ISA(EISA)、インテリジェントドライブエレクトロニクス(IDE)、VESAローカルバス(VLB)、ペリフェラルコンポーネントインターコネクト(PCI)、ユニバーサルシリアルバス(USB)、アドバンストグラフィックスポート(AGP)、パーソナルコンピュータメモリカード国際協会バス(PCMCIA)、および小型コンピュータシステムインターフェース(SCSI)、高速同期シリアルインターフェース(HSI)、シリアル低電力チップ間メディアバス(SLIMbus(登録商標))、等を含むがこれらに限定されない、任意のさまざまな利用可能なバスアーキテクチャを使用する、メモリバス、ペリフェラルバス、または外部バス、および/または、ローカルバスを含む、いくつかのタイプのバス構造の1つ又は複数であり得る。
電子デバイス110は、RF信号を送受信するためのRFトランシーバ130と、近接場通信(NFC)ラジオ134と、RFトランシーバ130によって受信された信号を処理するためのシグナルプロセッシングモジュール132と、を含み得る。RFトランシーバは、例えば、Bluetooth(登録商標)または802.11X、IEEE802.11a、b、またはgに準拠したインターフェース(例えば、IEEE Standard for IT−Telecommunications and information exchange between systems LAN/MAN−−Part II:Wireless LAN Medium Access Control(MAC)and Phyiscal Layer(PHY)specifications Amendment 4:Further Higher Data Rate Extension in the 2.4GHz Band,802.11G−2003を参照)といったプロトコルを介したローカルワイヤレス接続を実現し得る。ワイヤレスインターフェースの別の例は、WCDMA、LTE、汎用パケット無線サービス(GPRS)インターフェース(例えば、Guidelines on GPRS Handset Requirements,Global System for Mobile Communications/GSM(登録商標) Association,Ver.3.0.1,December 2002を参照)であろう。
電子デバイス110はさらに、例えばキーパッド136およびディスプレイ138のような、1つ又は複数の入力/出力インターフェースを含み得る。いくつかの実施形態において、電子デバイス110は入力のために、キーパッドを有さずにタッチパネルを使用し得る。
メモリ140は、コンピューティングデバイス110の動作を管理するためのオペレーティングシステム142を含み得る。一実施形態において、オペレーティングシステム142は、システムハードウェア120へのインターフェースを提供するハードウェアインターフェースモジュール154を含む。加えて、オペレーティングシステム142は、コンピューティングデバイス110の動作において使用されるファイルを管理するファイルシステム150と、コンピューティングデバイス110上で実行する処理を管理する処理制御サブシステム152と、を含み得る。
オペレーティングシステム142は、リモートソースからのデータパケットおよび/またはデータストリームを送受信するためにシステムハードウェア120と共に動作し得る1つ又は複数の通信インターフェース146を含み(または管理し)得る。オペレーティングシステム142はさらに、オペレーティングシステム142とメモリ140に常駐している1つ又は複数のアプリケーションモジュールとの間のインターフェースを提供する、システム呼び出しインターフェースモジュール144を含み得る。オペレーティングシステム142は、UNIX(登録商標)オペレーティングシステムまたはその任意の派生物(例えば、Linux(登録商標)、Android、等)として、または、Windows(登録商標)ブランドのオペレーティングシステムまたは他のオペレーティングシステムとして、具体化され得る。
電子デバイス110は、信頼できる実行エンジン170を備え得る。いくつかの実施形態では、信頼できる実行エンジン170は、電子デバイス110のマザーボード上に存在する独立した集積回路として実装されることができ、その一方で他の実施形態では、信頼できる実行エンジン170は、同一のSOCチップ上の専用プロセッサブロックとして実装されることができ、その一方で他の実施形態では、信頼できる実行エンジンは、HW強制メカニズムを使用してプロセッサの他の部分から隔離されたプロセッサ122の一部分に実装されることができる。
図1に示す実施形態において、信頼できる実行エンジン170は、プロセッサ172、メモリモジュール174、1つ又は複数の認証モジュール176、およびI/Oモジュール178、近接場通信(NFC)モジュール、what you see is what you sign(WYSIWYS)モジュール182、エンハンストプライバシー識別(EPID)モジュール184、および1つ又は複数のアプリケーションプロキシ186を備える。いくつかの実施形態において、メモリモジュール174は、永続的なフラッシュメモリモジュールを備えることができ、さまざまな機能モジュールが、永続的なメモリモジュールにおいて符号化された論理命令、例えばファームウェアまたはソフトウェア、として実現されることができる。I/Oモジュール178は、シリアルI/OモジュールまたはパラレルI/Oモジュールを備え得る。信頼できる実行エンジン170はメインプロセッサ122およびオペレーティングシステム142から分離されているので、信頼できる実行エンジン170は、安全にされることができ、すなわち、典型的にホストプロセッサ122からSW攻撃を展開するハッカーにアクセス不可能にされることができる。
いくつかの実施形態において、信頼できる実行エンジンは、ネットワークアクセス手順のための認証が実現され得るホスト電子デバイスにおいて、信頼できる実行環境を定義し得る。図2は、いくつかの実施形態に係る、ネットワークアクセスのための認証のための例示的なアーキテクチャのハイレベルな模式図である。図2を参照すると、ホストデバイス210は、信頼できない実行環境と信頼できる実行環境とを有するものとして特徴づけられ得る。ホストデバイス210が電子デバイス110として具体化される場合、信頼できる実行環境が、信頼できる実行エンジン170によって実現され得る一方で、信頼できない実行環境は、システム100のメインプロセッサ122およびオペレーティングシステム142によって実現され得る。図2に示すように、図2において発行者230として識別されているクレデンシャルを発行するリモートエンティティが、クレデンシャルを供給し、それは、ホストデバイス210の信頼できる実行環境において記憶される。使用において、発行されたクレデンシャルおよび1つ又は複数のユーザクレデンシャル224が、1つ又は複数の認証アルゴリズム222に入力として提供されることができ、1つ又は複数の認証アルゴリズム222は、クレデンシャルを処理してトークンを生成し、トークンが、1つ又は複数の信用できる当事者240に提供されることができる。信頼できる実行環境の完全性は、信頼できる実行環境とクレデンシャルを220に発行することが可能なエンティティとの間の、または、コンテンツのライフサイクル管理235と信頼できる実行環境のアルゴリズム222との間の、排他的かつ暗号で保護された関係を通して、維持されることができる。
図3は、いくつかの実施形態に係る販売トランザクションの仮想ポイントのための例示的なアーキテクチャのより詳細な模式図である。図3に示す実施形態では、信頼できる実行レイヤは、プロビジョニングおよびライフサイクル管理モジュール310、プラットフォームセンサクレデンシャルモジュール320、およびクレデンシャルリポジトリ340のセット、を備える。トークンアクセス管理モジュール352は、信頼できる実行レイヤにおいて記憶された1つ又は複数のトークンアクセス方法および規則350を入力として受理する。
図3に示す実施形態において、プラットフォームセンサクレデンシャルは、安全にされたキーボード入力経路クレデンシャル322、GPSロケーションクレデンシャル、バイオメトリッククレデンシャル326、加速度計またはジャイロスコープクレデンシャル328、またはマルウェアの傍受に耐性のある安全な画面入力メカニズムクレデンシャル330、の1つ又は複数を備え得る。クレデンシャルリポジトリ340は、NFC入力デバイス342、1つ又は複数の安全なエレメント344、およびクラウドクレデンシャルストアアクセスメカニズム346、を備え得る。
信頼できない実行レイヤ(すなわち、ホストオペレーティングシステムレイヤ)は、信頼できる実行レイヤのコンポーネントとの通信を容易にするために、1つ又は複数のプロキシを実現する。したがって、信頼できない実行レイヤは、プロビジョニングおよびライフサイクル管理モジュール310と、クレデンシャルのリモート発行者230と、信頼できる実行レイヤを安全に管理することを任せられたエンティティ235と、の間の通信を容易にするために、ライフサイクル管理プロキシ360を維持する。同様に、ホストプロキシ362が、信頼できない実行レイヤにおいて実行する1つ又は複数のクライアントアプリケーション380とトークンアクセス管理352との間の通信を容易にする。永続性プロキシ364が、トークンアクセス管理352とプラットフォームデータストア366との間の通信リンクを提供する。クラウドプロキシ370が、クラウドクレデンシャルストア250とクラウドストアアクセスメカニズム346との間の通信リンクを提供する。
使用において、システムは、さまざまなソースからクレデンシャルを得ることができる。例えば、発行者230は、LCMプロキシ360を介してシステムにクレデンシャルを発行することができる。発行されたクレデンシャルは、動的なワンタイムパスワード(OTP)生成シード、ユーザ証明書(例えば、公開/秘密鍵のペアを有するx509証明書)、金融情報(例えば、クレジットカード情報)、銀行カード情報、等を含み得る。発行されたクレデンシャルは、クレデンシャルリポジトリ340の1つ又は複数において記憶され得る。対照的に、プラットフォームセンサクレデンシャル320は、信用できる当事者からの要求に応答して、認証処理中にリアルタイムでまたは前もってのいずれかで、ユーザから得られることができる。当業者は、プラットフォームセンサクレデンシャルが、以下に説明するように、信用できる当事者が他のクレデンシャルを求めた結果として間接的に、または、信用できる当事者によって直接的にも、要求され得ることを認識するだろう。例として、バイオメトリック署名が、ユーザのためにカタログに登録されることができ、集中実行型の認証確認システムを可能にする。本明細書に説明される実施形態を使用して、信用できる当事者は、指紋クレデンシャルをプラットフォームに求め得る。プラットフォームは、その指紋収集ハードウェアを使用してこのクレデンシャルを得て、要求している/信用できる当事者にこの情報を戻すだろう。
図4は、いくつかの実施形態に係るネットワークアクセスのための認証のためのシステムの模式図である。図4を参照すると、電子デバイス110は、ネットワーク440を介して、1つ又は複数のネットワークリソース420に、および1つ又は複数の認証サーバ430に、結合され得る。電子デバイス110は、リモートデバイス、例えば、デビット/クレジットまたはIDカード410とのワイヤレス通信を可能にする、近接場通信(NFC)インターフェースを備え得る。いくつかの実施形態において、電子デバイス110は、電子デバイス110に関連して上述したように、携帯電話、タブレット、PDA、または他のモバイルコンピューティングデバイスとして具体化され得る。ネットワーク440は、例えばインターネットのような公衆通信ネットワークとして、またはプライベートな通信ネットワークとして、またはその組み合わせで、具体化され得る。デビット/クレジットまたはIDカード410は、ユーザを識別する磁気ストリップデータを備え得る。いくつかの実施形態において、磁気ストライプデータは、暗号鍵を使用してラッピングされ得る。
認証サーバ430は、コンピュータシステムとして具体化され得る。いくつかの実施形態において、サーバ430は、認証サーバとして具体化されることができ、ベンダーによって、または、安全なプラットフォームを動作させる第三者によって、管理され得る。認証サーバ430は、ベンダーによって、または、例えばトランザクション手形交換サービスまたはクレジットカードサービスといった、第三者支払いシステムによって、動作させられ得る。
ネットワークアクセスのための認証のためのシステムのさまざまな構造を説明してきたが、そのようなシステムの動作態様が、いくつかの実施形態に係るネットワークアクセスのための認証を実現するための方法における動作を示すフローチャートである、図5を参照して説明される。いくつかの実施形態において、図5のフローチャートに示す動作は、図1に示した信頼できる実行エンジン170のさまざまなモジュール176により、単独で、または、電子デバイスのオペレーティングシステム上で実行し得るソフトウェアモジュールとの組み合わせで、実現され得る。
図5を参照すると、いくつかの実施形態において、図5に示す動作は、ユーザに、認証サーバ430によって提供される第三者認証能力を活用することによってネットワークアクセスのための認証を実現することを可能にさせる。いくつかの実施形態において、電子デバイスは、図1〜5に示す信頼できる実行エンジンを備えるハンドヘルドコンピューティングデバイスとして具体化されることができる。同様に、認証サーバは、図1〜5に示す信頼できる実行エンジンを備えるコンピューティングデバイスとして具体化されることができる。図5を参照すると、動作510で、認証要求が電子デバイスによって受信される。例として、いくつかの実施形態において、認証要求は、ユーザが、例えば、電子デバイス110上で磁気ストライプデータカードをタップすること、またはそうでなければ、認証アプリケーションを起動することによって、ログインシーケンスを開始することにより、開始され得る。認証要求に応答して、信頼できる実行エンジン170のプロセッサ172は、認証モジュール176を起動する。
動作515で、電子デバイスは、近接場通信(NFC)通信リンクを介して第三者識別パケットを受信する。例として、いくつかの実施形態において、認証モジュール176は、NFCモジュール180を呼び出して安全な通信リンクを開始し、信頼できる実行エンジン上のI/Oインターフェースを介して、磁気ストライプデータカード上の磁気ストライプデータ上に符号化された識別パケットを検索する。I/O動作が信頼できる実行エンジンから実行されるため、磁気ストライプカードから検索されたデータは、決して電子デバイスのオペレーティングシステムにさらされず、したがって、悪意のあるアクセスから安全である。
動作520で、電子デバイスは、ログイン許可を受信する。例として、いくつかの実施形態において、WYSIWYSモジュール182が、電子デバイスのディスプレイ上に安全なウィンドウを開き、そのウィンドウ上に許可要求を提示する。電子デバイスのユーザは、安全なウィンドウ中に入力を入力することによって許可要求に応答し、それは、ログイン要求を許可する。WYSIWYSモジュール182は、入力に関連づけられたピンを生成する。
動作525で、識別パケットは、リモート認証プロバイダへのトランスポートのために、署名およびラッピングされる。例として、いくつかの実施形態において、認証モジュール176は、EPIDモジュールを呼び出し、EPIDモジュールは、識別パケットをラッピングし、パケットがNFC通信リンクによって安全に得られたこと、WYSピンがWYSIWYSモジュールを使用して安全に得られたこと、を証明する署名を適用する。
動作530で、電子デバイス110は、ラッピングされた識別パケットをリモート認証サーバ430に転送し、リモート認証サーバ430が動作535でパケットを受信する。例として、いくつかの実施形態において、認証モジュール176は、識別パケット中のデータを使用してリモート認証サーバ430との安全なエンドツーエンドセッションを確立し、リモート認証プロバイダ430によってユーザのアカウント情報を得る。
動作540で、リモート認証プロバイダ430は、識別パケットによって提供されたデータを使用して、ユーザを認証および許可する。例として、いくつかの実施形態において、リモート認証プロバイダ430は、ユーザが認証であることを確認し、識別パケット中のデータの不正使用を検出および/または禁止するための1つ又は複数のアンチ不正処理を実行し得る。リモート認証サーバ430は、電子デバイス110に許可応答を戻す。
動作545で、電子デバイス110は、許可応答を受信する。例として、いくつかの実施形態において、応答は、信頼できる実行エンジン170におけるI/Oインターフェース178を介して受信されるので、電子デバイス110の信頼できない動作環境にとってアクセス可能ではない。
動作550で、認証モジュール176は、リモート認証プロバイダからの応答を綿密に調べる。動作550で、リモート認証サーバ430からの応答が、ログインが許可されなかったことを示す場合には、制御は動作555に進み、ログイン手順は中止され、アクセスは拒否される。対照的に、動作550で、リモート認証サーバ430からの応答が、ログインが許可されたことを示す場合には、制御は動作560に進み、ユーザのためのログイン情報が検索される。例として、いくつかの実施形態において、認証モジュール176は、識別パケット中のデータに関連づけられたアカウント情報へのネットワークユーザおよびドメインからのマッピングを含むローカルデータベースを探索する。
動作565で、ログイン情報は、認証モジュール176からホストプロキシに送られる。ログイン情報の特定の形態は、要求されたログインのタイプに応じたものであり得る。例として、ローカルログインが要求された場合には、ローカルログインクレデンシャルが戻される。対照的に、ドメインログインが要求された場合には、ドメインログインクレデンシャルが戻される。同様に、ウェブログインが要求された場合には、ウェブクレデンシャルが戻される。ホストプロキシは、適切なバックエンドサービスへの接続を確立してクレデンシャルを供給し、動作570で、ノーマルログイン手順が実現され得る。
いくつかの実施形態において、サービスプロバイダ430は、認証サービスを提供する第三者サービスプロバイダによって管理され得る。例として、いくつかの実施形態において、クレジットカード410は、VISAによって発行されることができ、VISAネットワークが、認証および不正検出サービスを提供するために利用され得る。当業者は、代替のサービスプロバイダが利用され得ることを認識するだろう。
このように、本明細書には、電子デバイスにおいてネットワークアクセスのための認証を実現するためのアーキテクチャおよび関連づけられた方法が説明されている。いくつかの実施形態において、アーキテクチャは、トランザクションが許可された個人によって行われているという保証を、トランザクションを許可する当事者に提供するために、電子デバイスのプラットフォームに組み込まれたハードウェア能力を使用する。本明細書に説明された実施形態において、認証および永続性は、ホストオペレーティングシステムから分離された、信頼できる環境内で行われる処理に基づいている。実行環境は、信頼できる実行エンジンにおいて実現されることができ、信頼できる実行エンジンは、ユーザ識別を得て確認し、次に識別確認のプルーフを提供し、トランザクション要件を満足するために要求される他のエレメントを提供し得る。結果は、信用できる当事者に対し、要求されたこれらのエレメントの履行を表す、プラットフォーム発行のトークンである。いくつかの実施形態において、信頼できる実行エンジンは、リモートまたは取り付け可能なデバイス、例えばドングル、に実装されることができる。
本明細書で言及される「論理命令」という用語は、1つ又は複数の論理演算を実行するための1つ又は複数の機械によって理解され得る式に関する。例えば、論理命令は、1つ又は複数のデータオブジェクトに対し1つ又は複数の演算を実行するためのプロセッサコンパイラによって解釈可能な命令を備え得る。しかしながら、これは単に機械可読命令の例にすぎず、実施形態はこの点について限定されない。
本明細書で言及される「コンピュータ可読媒体」という用語は、1つ又は複数の機械によって認知可能な式を維持することができる媒体に関する。例えば、コンピュータ可読媒体は、コンピュータ可読命令またはデータを記憶するための1つ又は複数のストレージデバイスを備え得る。そのようなストレージデバイスは、例えば、光学、磁気、または半導体記憶媒体といった、記憶媒体を備え得る。しかしながら、これは単にコンピュータ可読媒体の例にすぎず、実施形態はこの点について限定されない。
本明細書で言及される「論理」という用語は、1つ以上の論理演算を実行するための構造に関する。例えば、論理は、1つ又は複数の入力信号に基づいて1つ又は複数の出力信号を提供する回路を備え得る。そのような回路は、デジタル入力を受信してデジタル出力を提供する有限状態機械、または、1つ又は複数のアナログ入力信号に応答して1つ又は複数のアナログ出力信号を提供する回路、を備え得る。そのような回路は、特定用途向け集積回路(ASIC)またはフィールドプログラマブルゲートアレイ(FPGA)において提供され得る。また、論理は、機械可読命令を備えることができ、機械可読命令は、そのような機械可読命令を実行するための処理回路との組み合わせでメモリに記憶される。しかしながら、これらは単に論理を提供し得る構造の例にすぎず、実施形態はこの点について限定されない。
本明細書に説明された方法のいくつかは、コンピュータ可読媒体上の論理命令として具体化され得る。プロセッサ上で実行された場合、論理命令は、プロセッサが、説明された方法を実現する専用機械としてプログラムされるようにする。プロセッサは、本明細書に説明された方法を実行するように論理命令によって構成された場合、説明された方法を実行するための構造を構成する。あるいは、本明細書に説明された方法は、例えば、フィールドプログラマブルゲートアレイ(FPGA)、特定用途向け集積回路(ASIC)、等での論理に縮小されることができる。
説明および請求項において、「結合された」および「接続された」という用語が、それらの派生物と共に使用され得る。特定の実施形態において、「接続された」は、2つ以上のエレメントが互いに、直接的に物理的に接触しているか、または電気的に接触していることを示すために使用され得る。「結合された」は、2つ以上のエレメントが直接的に物理的に接触しているか、または電気的に接触していることを意味し得る。しかしながら、「結合された」もまた、2つ以上のエレメントが、互いに直接的に接触していないが、それでも互いに協調またはインタラクトし得ることを意味し得る。
本明細書における「一実施形態」または「いくつかの実施形態」への言及は、実施形態に関連して説明された特定の特徴、構造、または特色が、少なくとも実現に含まれることを意味する。本明細書におけるさまざまな箇所での「一実施形態において」というフレーズの登場は、すべてが同一の実施形態への言及であることもできるし、またはそうでないこともできる。
実施形態が構造的な特徴および/または方法の動作に固有の表現で説明されたが、特許請求される主題が説明された特定の特徴または動作に限定され得ないことが理解されるべきである。むしろ、特定の特徴および動作は、特許請求される主題を実現する例示的な形態として開示されている。

Claims (28)

  1. コントローラであって、
    当該コントローラのユーザによる操作に応じて認証要求のための入力信号を受け、
    前記認証要求のための入力信号に応じて、リモート認証プロバイダによって生成された識別パケットを、近接場通信リンクを介して受信し、
    当該コントローラに結合された電子デバイス上に安全なウィンドウを表示させ、
    前記ウィンドウ内での前記ユーザの操作に応じてログイン許可のための入力信号を受け、
    前記ログイン許可のための入力信号に応じて前記識別パケットに電子署名を関連づけ、
    前記リモート認証プロバイダに前記識別パケットを送信し、
    前記リモート認証プロバイダから許可を受信し、
    前記識別パケットに関連づけられたログイン情報を受信し、
    前記ログイン情報を使用してログイン手順を開始する
    ための論理を備えるコントローラ。
  2. 前記論理は、リモートデバイスと通信するための近接場ワイヤレス通信インターフェースを備える、請求項1に記載のコントローラ。
  3. 開始入力信号を検出するための論理をさらに備える、請求項1または2に記載のコントローラ。
  4. 前記識別パケットは、前記リモート認証プロバイダによって発行されたカードに関連づけられたデータを備え、
    前記開始入力信号は、前記カードが当該コントローラの所定の物理的近傍内にあることに応答して生成される、
    請求項3に記載のコントローラ。
  5. 当該コントローラと前記リモート認証プロバイダとの間に安全な通信チャネルを作成するための論理をさらに備える、請求項1から4のいずれか1項に記載のコントローラ。
  6. 前記ユーザからトランザクション許可を得るための論理をさらに備える、請求項1から5のいずれか1項に記載のコントローラ。
  7. 前記電子デバイスにログインクレデンシャルを提供するための論理をさらに備える、請求項1から6のいずれか1項に記載のコントローラ。
  8. 電子デバイスであって、
    信頼できないコンピューティング環境を実現するオペレーティングシステムを実行するプロセッサと、
    コントローラと
    を備え、前記コントローラは、
    メモリと、
    論理と
    を備え、前記論理は、
    当該電子デバイスのユーザによる操作に応じて認証要求のための入力信号を受け、
    前記認証要求のための入力信号に応じて、リモート認証プロバイダによって生成された識別パケットを、近接場通信リンクを介して受信し、
    当該電子デバイス上に安全なウィンドウを表示させ、
    前記ウィンドウ内での前記ユーザの操作に応じてログイン許可のための入力信号を受け、
    前記ログイン許可のための入力信号に応じて前記識別パケットに電子署名を関連づけ、
    前記リモート認証プロバイダに前記識別パケットを送信し、
    前記リモート認証プロバイダから許可を受信し、
    前記識別パケットに関連づけられたログイン情報を受信し、
    前記ログイン情報を使用してログイン手順を開始する
    ためのものである、電子デバイス。
  9. 前記論理は、リモートデバイスと通信するための近接場ワイヤレス通信インターフェースを備える、請求項8に記載の電子デバイス。
  10. 開始入力信号を検出するための論理をさらに備える、請求項8または9に記載の電子デバイス。
  11. 前記識別パケットは、前記リモート認証プロバイダによって発行されたカードに関連づけられたデータを備え、
    前記開始入力信号は、前記カードが前記コントローラの所定の物理的近傍内にあることに応答して生成される、
    請求項10に記載の電子デバイス。
  12. 前記コントローラと前記リモート認証プロバイダとの間に安全な通信チャネルを作成するための論理をさらに備える、請求項8から11のいずれか1項に記載の電子デバイス。
  13. 前記ユーザからトランザクション許可を得るための論理をさらに備える、請求項8から12のいずれか1項に記載の電子デバイス。
  14. 当該電子デバイスにログインクレデンシャルを提供するための論理をさらに備える、請求項8から13のいずれか1項に記載の電子デバイス。
  15. 方法であって、
    コントローラが、前記コントローラのユーザによる操作に応じて認証要求のための入力信号を受けることと、
    前記認証要求のための入力信号に応じて、リモート認証プロバイダによって生成された識別パケットを、近接場通信リンクを介して前記コントローラが受信することと、
    前記コントローラが、前記コントローラに結合された電子デバイス上に安全なウィンドウを表示させることと、
    前記コントローラが前記ウィンドウ内での前記ユーザの操作に応じてログイン許可のための入力信号を受けることと、
    前記ログイン許可のための入力信号に応じて前記コントローラが前記識別パケットに電子署名を関連づけることと、
    前記コントローラが前記リモート認証プロバイダに前記識別パケットを送信することと、
    前記コントローラが前記リモート認証プロバイダから許可を受信することと、
    前記コントローラが、前記識別パケットに関連づけられたログイン情報を受信することと、
    前記コントローラが前記ログイン情報を使用してログイン手順を開始することと
    を備える方法。
  16. 前記コントローラが開始入力信号を検出することをさらに備える、請求項15に記載の方法。
  17. 前記識別パケットは、前記リモート認証プロバイダによって発行されたカードに関連づけられたデータを備え、
    前記開始入力信号は、前記カードが前記コントローラの所定の物理的近傍内にあることに応答して生成される、
    請求項16に記載の方法。
  18. 前記コントローラが前記コントローラと前記リモート認証プロバイダとの間に安全な通信チャネルを作成することをさらに備える、請求項15から17のいずれか1項に記載の方法。
  19. 前記コントローラが前記ユーザからトランザクション許可を得ることをさらに備える、請求項15から18のいずれか1項に記載の方法。
  20. 前記コントローラが前記電子デバイスにログインクレデンシャルを提供することをさらに備える、請求項15から19のいずれか1項に記載の方法。
  21. 非一時的なコンピュータ可読媒体に記憶された論理命令を備えるコンピュータプログラムであって、前記論理命令は、コントローラのプロセッサによって実行された場合に前記プロセッサを、
    前記コントローラのユーザによる操作に応じて認証要求のための入力信号を受け、
    前記認証要求のための入力信号に応じて、リモート認証プロバイダによって生成された識別パケットを、近接場通信リンクを介して受信し、
    前記コントローラに結合された電子デバイス上に安全なウィンドウを表示させ、
    前記ウィンドウ内での前記ユーザの操作に応じてログイン許可のための入力信号を受け、
    前記ログイン許可のための入力信号に応じて前記識別パケットに電子署名を関連づけ、
    前記リモート認証プロバイダに前記識別パケットを送信し、
    前記リモート認証プロバイダから許可を受信し、
    前記識別パケットに関連づけられたログイン情報を受信し、
    前記ログイン情報を使用してログイン手順を開始する
    ように構成する、コンピュータプログラム。
  22. リモートデバイスと通信するための近接場ワイヤレス通信インターフェースを実現するための、非一時的なコンピュータ可読媒体に記憶された論理命令をさらに備える、請求項21に記載のコンピュータプログラム。
  23. 開始入力信号を検出するための、非一時的なコンピュータ可読媒体に記憶された論理命令をさらに備える、請求項21または22に記載のコンピュータプログラム。
  24. 前記識別パケットは、前記リモート認証プロバイダによって発行されたカードに関連づけられたデータを備え、
    前記開始入力信号は、前記カードが前記コントローラの所定の物理的近傍内にあることに応答して生成される、
    請求項23に記載のコンピュータプログラム。
  25. 前記コントローラと前記リモート認証プロバイダとの間に安全な通信チャネルを作成するための、非一時的なコンピュータ可読媒体に記憶された論理命令をさらに備える、請求項21から24のいずれか1項に記載のコンピュータプログラム。
  26. 前記ユーザからトランザクション許可を得るための、非一時的なコンピュータ可読媒体に記憶された論理命令をさらに備える、請求項21から25のいずれか1項に記載のコンピュータプログラム。
  27. 前記電子デバイスにログインクレデンシャルを提供するための、非一時的なコンピュータ可読媒体に記憶された論理命令をさらに備える、請求項21から26のいずれか1項に記載のコンピュータプログラム。
  28. 請求項21から27の何れか1項に記載のコンピュータプログラムを格納した、コンピュータ可読媒体。
JP2016076908A 2016-04-06 2016-04-06 ネットワークアクセスに関連したアプリケーションのための認証 Active JP6172549B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016076908A JP6172549B2 (ja) 2016-04-06 2016-04-06 ネットワークアクセスに関連したアプリケーションのための認証

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016076908A JP6172549B2 (ja) 2016-04-06 2016-04-06 ネットワークアクセスに関連したアプリケーションのための認証

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2014550249A Division JP5927681B2 (ja) 2011-12-28 2011-12-28 ネットワークアクセスに関連したアプリケーションのための認証

Publications (2)

Publication Number Publication Date
JP2016146208A true JP2016146208A (ja) 2016-08-12
JP6172549B2 JP6172549B2 (ja) 2017-08-02

Family

ID=56686360

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016076908A Active JP6172549B2 (ja) 2016-04-06 2016-04-06 ネットワークアクセスに関連したアプリケーションのための認証

Country Status (1)

Country Link
JP (1) JP6172549B2 (ja)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006277199A (ja) * 2005-03-29 2006-10-12 Fujitsu Ltd 配達物管理システムおよび配達物保管庫
JP2007241590A (ja) * 2006-03-08 2007-09-20 Mitsubishi Electric Information Systems Corp 複数端末利用者認証システム、認証サーバ及び認証統合端末
JP2008217626A (ja) * 2007-03-07 2008-09-18 Fuji Xerox Co Ltd サービス提供システム及びサービス提供プログラム
JP2010198341A (ja) * 2009-02-25 2010-09-09 Fujitsu Fsas Inc 認証処理プログラム及び装置
JP2010238090A (ja) * 2009-03-31 2010-10-21 West Japan Railway Co 認証システム及び認証方法
JP2011511355A (ja) * 2008-02-01 2011-04-07 アイティーアイ スコットランド リミテッド セキュアな分割

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006277199A (ja) * 2005-03-29 2006-10-12 Fujitsu Ltd 配達物管理システムおよび配達物保管庫
JP2007241590A (ja) * 2006-03-08 2007-09-20 Mitsubishi Electric Information Systems Corp 複数端末利用者認証システム、認証サーバ及び認証統合端末
JP2008217626A (ja) * 2007-03-07 2008-09-18 Fuji Xerox Co Ltd サービス提供システム及びサービス提供プログラム
JP2011511355A (ja) * 2008-02-01 2011-04-07 アイティーアイ スコットランド リミテッド セキュアな分割
JP2010198341A (ja) * 2009-02-25 2010-09-09 Fujitsu Fsas Inc 認証処理プログラム及び装置
JP2010238090A (ja) * 2009-03-31 2010-10-21 West Japan Railway Co 認証システム及び認証方法

Also Published As

Publication number Publication date
JP6172549B2 (ja) 2017-08-02

Similar Documents

Publication Publication Date Title
JP5927681B2 (ja) ネットワークアクセスに関連したアプリケーションのための認証
KR101614643B1 (ko) 확장성 보안 실행
KR101938445B1 (ko) 신뢰성 있는 서비스 상호작용
KR101805476B1 (ko) 가상의 판매시점관리
US8656455B1 (en) Managing data loss prevention policies
WO2021009644A1 (en) System and method for proximity-based authentication
US20120167194A1 (en) Client hardware authenticated transactions
JP6172549B2 (ja) ネットワークアクセスに関連したアプリケーションのための認証
JP6274678B2 (ja) 信用できるサービスインタラクション

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170606

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170621

R150 Certificate of patent or registration of utility model

Ref document number: 6172549

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250