[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP2022162998A - 非接続デバイス内のユーザを認証する2要素認証 - Google Patents

非接続デバイス内のユーザを認証する2要素認証 Download PDF

Info

Publication number
JP2022162998A
JP2022162998A JP2022065574A JP2022065574A JP2022162998A JP 2022162998 A JP2022162998 A JP 2022162998A JP 2022065574 A JP2022065574 A JP 2022065574A JP 2022065574 A JP2022065574 A JP 2022065574A JP 2022162998 A JP2022162998 A JP 2022162998A
Authority
JP
Japan
Prior art keywords
public key
response
digital signature
storage device
mobile storage
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2022065574A
Other languages
English (en)
Inventor
エリヤフ・ラブナ
Ravuna Eliyahu
シュロモ・アム-シャレム
Am-Shalem Shlomo
シュムエル・コーエン
Cohen Shmuel
フエ・グエン
Nguyen Hue
オー・ヤコボビッチ
Yaacobovich Or
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Biosense Webster Israel Ltd
Original Assignee
Biosense Webster Israel Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Biosense Webster Israel Ltd filed Critical Biosense Webster Israel Ltd
Publication of JP2022162998A publication Critical patent/JP2022162998A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • G06F21/35User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • H04L2209/805Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/88Medical equipments
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Strategic Management (AREA)
  • Human Resources & Organizations (AREA)
  • General Physics & Mathematics (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Economics (AREA)
  • Physics & Mathematics (AREA)
  • Game Theory and Decision Science (AREA)
  • General Business, Economics & Management (AREA)
  • Tourism & Hospitality (AREA)
  • Quality & Reliability (AREA)
  • Operations Research (AREA)
  • Marketing (AREA)
  • Educational Administration (AREA)
  • Development Economics (AREA)
  • Software Systems (AREA)
  • Storage Device Security (AREA)
  • Communication Control (AREA)
  • Small-Scale Networks (AREA)

Abstract

【課題】2要素認証及びモバイル(例えば、携帯型)記憶デバイスを使用して、ユーザを認証する方法及びシステムを提供する。【解決手段】ユーザを認証する方法は、少なくともユーザ名及び有効期限値を含むログイン詳細の有効期限値及びデジタル署名を記憶するモバイルストレージデバイスに接続することと、モバイルストレージデバイスからデジタル署名及び有効期限値を受信することと、個人識別コードのユーザ入力を受信することと、有効期限値及びユーザ名に応答してデジタル署名を検証して、有効期限値及びユーザ名を認証することと、有効期限値が期限切れでないことを確認することと、有効期限値及びユーザ名が認証されていることと、有効期限値が期限切れでないことと、個人識別コードとに応答して、ユーザ名の下でログインされたコンピューティングリソースへのアクセスを提供することと、を含む。【選択図】図5

Description

本開示は、コンピューティングデバイスに関し、特に、限定はしないが、ユーザ認証に関する。
技術者は、医療センターなどの異なる場所を訪れて、ローカルデバイス、例えば、カリフォルニア州アーバインのBiosense Webster Inc.のCARTO(登録商標)3 Systemなどの医療システム上でメンテナンスタスクを実行することがある。ローカルデバイスは、インターネットに接続されない場合があり、このことは、技術者がローカルデバイスにアクセスし、どの技術者がどのローカルデバイスにログインしたかを追跡するという課題を提起する。
Gantmanらの米国特許第8,046,587号は、オフラインのリソースが制限されたモバイルデバイスへ認証されたアクセスを付与する方法について記載している。公開-秘密鍵ペアは、サービスプロバイダによって生成され、公開鍵は、ユーザ名及び(場合によっては)アクセス権限にデジタル署名して、技術者のパスワードを取得するために使用される。公開鍵は、モバイルデバイスに安全に配布される。オフラインのとき、モバイルデバイスは、技術者によってモバイルデバイスの制限された機能へのアクセスを認証し得る。技術者は、ユーザ名、アクセス権限、及びパスワードをモバイルデバイスに提供する。次いで、モバイルデバイスは、公開鍵、ユーザ名、及びアクセス権限を使用して、パスワードを検証する。古いユーザ名及びパスワードを無効にするために、サービスプロバイダは、公開-秘密鍵ペアを新しい公開-秘密鍵ペアに置き換える。
BartucciらのPCT公開第WO2013/123453号は、携帯型電子メモリデバイス(例えば、USBフラッシュドライブ)について記載している。例示的な態様は、キーパッド、暗号化ハードウェア、及び特別なドライバを受信システムにインストールする必要なく、遠隔コンピューティングシステムのための認証ツールを暗号化、復号化、又は機能させる能力を有する携帯型電子メモリデバイスを含む。
Corrionの米国特許第9,118,662号は、分散型ログオンサービスをオフラインコンピューティングデバイスに拡張するための方法及びシステムを記載しており、オフラインコンピューティングデバイス上で、ワンタイムパスワード(OTP)、ノンス、及び一意の識別子を暗号化して認証要求メッセージを生成することを含む。モバイルデバイスをプロキシとして使用して、認証のために、認証要求メッセージをアクセス制御サーバに転送する。認証応答メッセージを復号化して、ノンスを取得する。ノンスを再暗号化して、認証応答メッセージを生成する。モバイルデバイスをプロキシとして使用して、認証応答メッセージをオフラインコンピューティングデバイスに転送する。認証応答メッセージを復号化して、ノンスを取得する。認証応答メッセージから取得されたノンスを元のノンスと比較する。コンピューティングデバイスは、認証応答メッセージから取得されたノンスを元のノンスと比較する結果としてアクセスを許可又は拒否する。
Bokareらの米国特許第10,326,733号は、複数のデバイスの単一のサインオンを容易にするためのコンピュータ実装方法を記載しており、この方法は、(1)ユーザアカウントのログインセッションを確立することと、(2)ログインセッションを確立することに応答して、ユーザアカウントに関連付けられたデバイスに、ユーザアカウントのセッショントークンを提供することと、(3)少なくとも1つのクライアントから、ユーザアカウントと関連付けられたリソースにアクセスする要求を受信することと、(4)関連付けられたデバイスがユーザアカウントのセッショントークンを保有していると判定することと、(5)関連付けられたデバイスがセッショントークンを保有していると判定したことに応答して、クライアントに、ユーザアカウントと関連付けられたリソースへのアクセスを提供することと、を含む。
Aabveらの米国特許公開第2015/0220917号は、限定的な使用証明書を使用してトークンを検証するための方法、デバイス、及びシステムを記載している。例えば、ユーザデバイスは、トークン要求をトークンプロバイダコンピュータに送信し、それに応答してトークン及びトークンに関連付けられたトークン証明書を受信することができる。トークン証明書は、例えば、トークンのハッシュと、トークンプロバイダコンピュータ又は別の信頼できるエンティティによるデジタル署名とを含んでもよい。ユーザデバイスは、トークン及びトークン証明書をアクセスデバイスに提供することができる。アクセスデバイスは、トークン証明書を使用してトークンを検証し、デジタル署名を使用してトークン証明書を検証することができる。場合によっては、トークン及びトークン証明書はオフラインで検証され得る。次に、アクセスデバイスは、トークンを使用してトランザクションを行うことができる。
Jevansの米国特許第8,321,953号は、ユーザからオフラインでユーザコードを受信して、記憶されたデータへのアクセスを許可するように構成されたユーザインターフェースと、ユーザコードに少なくとも部分的に基づいて、記憶されたデータへのアクセスを認証して、記憶されたデータへのアクセスを提供するように構成された回路と、記憶されたデータを記憶するように構成されたストレージシステムと、を備える保護データストレージへのアクセスを認証するシステムを記載している。
セキュリティアサーションマークアップ言語(SAML)は、当事者間、特にアイデンティティプロバイダとサービスプロバイダとの間で、認証及び認証データを交換するためのオープン標準である。SAMLは、en.wikipedia.org/wiki/Security_Assertion_Markup_Languageにより詳細に記載されている。
本開示は、添付の図面と併せて、以下の詳細な説明から理解されよう。
本開示の例示的な態様により構築され、動作する2要素認証システムの部分描写図、部分ブロック図である。 図1のシステムにおいて使用するための認証ファイルを生成する方法における工程を含むフローチャートである。 ユーザによって使用されて、図1のシステムの認証ファイルを生成するユーザインターフェース画面の概略図である。 図1のシステムと共に使用するための認証ファイルがその中に記憶されたモバイルストレージデバイスの概略図である。 認証ファイルを検証して、図1のシステム内のコンピューティングリソースへのアクセスを提供する方法における工程を含むフローチャートである。 ユーザによって使用されて、図1のシステムのコンピューティングリソースにログインするユーザインターフェース画面の概略図である。 図1のシステムにおいて使用するための認証ファイルを生成する別の方法における工程を含むフローチャートである。 認証ファイルを検証して、図1のシステム内のコンピューティングリソースへのアクセスを提供する別の方法における工程を含むフローチャートである。 図1のシステムと共に使用するためのより多くのデータを有する認証ファイルがその中に記憶された図4のモバイルストレージデバイスの概略図である。 認証ファイルを検証して、図1のシステム内のコンピューティングリソースへのアクセスを提供して、ユーザ取り消しリスト及び/又は公開鍵リストを置き換える別の方法における工程を含むフローチャートである。
概論
前述したように、技術者は、医療センターなどの様々な場所を訪れて、ローカルデバイス、例えば、カリフォルニア州アーバインのBiosense Webster Inc.のCARTO(登録商標)3 Systemなどの医療システム上でメンテナンスタスクを実行することがある。
ローカルデバイスは、インターネットに、又は任意の適切なネットワークを介して接続され得ないことがあり、このことは、技術者がローカルデバイスにアクセスし、どの技術者がどのローカルデバイスにログインしたかを追跡する課題を提起する。
1つの解決策は、全てのローカルデバイス上の全ての技術者に対して同じハードコードされたパスワードを使用することである。しかしながら、これは、低レベルのセキュリティを提供し、個々の技術者を一意に識別しない。また、技術者がローカルデバイスを保守するためにもはや雇用されていない場合でも、技術者は依然としてローカルデバイスにアクセスできる。
本開示の例示的な態様は、2要素認証及びモバイル(例えば、携帯型)記憶デバイスを使用して、認証ファイルを記憶し、異なる非接続処理デバイスでコンピューティングリソースを使用するために個々のユーザ(例えば、技術者)を認証することによって、上記の問題を解決する。
技術者は、オンライン認証アプリケーション(例えば、ウェブアプリケーション)から認証ファイルを受信する。次いで、認証ファイルは、フラッシュディスク、CD、DVD、又はSDカードなどのモバイルストレージデバイスに記憶される。認証ファイルにより、技術者は、異なる非接続処理デバイスのコンピューティングリソースにアクセスすることができる。次いで、技術者は、モバイルストレージデバイスを非接続処理デバイスのうちの1つに取り込み、モバイルストレージデバイスに記憶された認証ファイルを検証することに応答して処理デバイスへのアクセスが提供される。ここで、認証ファイルを提供し、認証ファイルを使用するプロセスをより詳細に説明する。
技術者は、サーバ上で実行されるオンライン認証アプリケーション(例えば、ウェブサーバによってホストされるウェブアプリケーション)、又はネットワーク(例えば、インターネット又はイントラネット)内の複数の場所からアクセスされ得る任意の適切なアプリケーションにログインする。オンラインアプリケーションへのログインは、技術者が、アプリケーションによって認証されたユーザ名及びパスワードを供給することを含み得る。ユーザ名及びパスワードが認証された後、認証アプリケーションは、数字及び/又は文字及び/又は記号を含み得る個人識別コード(PIC)を入力するように技術者に促す。PICは、典型的には、技術者によって選択される。あるいは、PICは、認証アプリケーションによって提供され得る。認証アプリケーションは、任意の好適な値であり得る有効期限値(例えば、有効期限日)を生成する。例えば、有効期限値は、現在の時刻/日の後の所与の数の時間、日、週、又は月の場合であってもよい。認証アプリケーションは、有効期限値及びユーザ名を含むログイン詳細のデジタル署名を生成する。ログイン詳細はまた、技術者がアクセスを許可される機能、例えば、ユーザの許可、アクセスレベル、又は種類を決定する1つ以上のアクセス権を含み得る。デジタル署名は、典型的には、(例えば、秘密鍵を含む証明書に基づいて)技術者の雇用者などの認証団体の秘密鍵を使用する非対称暗号化を使用して生成される。次いで、認証アプリケーションは、(例えば、PICに基づく鍵を使用する対称暗号化を使用して)デジタル署名、有効期限値、及びユーザ名を暗号化する。デジタル署名、有効期限値、及びユーザ名は、単一の暗号化項目として、又は別個の暗号化項目として暗号化され得る。次に、認証アプリケーションは、暗号化されたデジタル署名、有効期限値、及びユーザ名(例えば、暗号化された認証ファイル)を、技術者のモバイルストレージデバイス内の認証ファイルに記憶する。いくつかの例示的な態様では、有効期限値は、平文で(すなわち、暗号化されずに)残されて、モバイルストレージデバイス内に平文で記憶され得る。
いったん認証ファイル又は関連値がモバイルストレージデバイスに記憶されると、技術者は、非接続処理デバイスのいずれかにモバイルストレージデバイスを取り込み得る。選択された非接続処理デバイスのうちの1つでは、技術者は、その処理デバイス上で実行される認証アプリケーションによってレンダリングされたユーザインターフェース画面内にPICを入力し、技術者は、モバイルストレージデバイスに記憶された認証ファイルの開くことを要求する。認証アプリケーションは、認証ファイルを受信し、(例えば、PICに基づくキーに応答して対称復号化を使用して)認証ファイルを復号化する。次いで、認証アプリケーションは、認証ファイルに記憶されたユーザ名及び有効期限値に応答してデジタル署名を検証する。デジタル署名は、典型的には、(例えば、公開鍵を含む証明書に基づいて)技術者の雇用者などの認証団体の公開鍵を使用する非対称暗号化を使用して検証される。有効期限値が確認されて、期限切れでないことを保証する。任意選択的に、ログイン詳細に含まれるアクセス権(複数可)(例えば、ユーザの許可、アクセスレベル、又は種類)が確認されて、技術者が要求された機能にアクセスすることを認証されているかどうか、又は検証されたアクセス権(複数可)に基づいて機能を許可及び/又は解除するかを検証する。認証アプリケーションは、デジタル署名及び有効期限値を認証したことに応答して、ユーザ名の下でログインされたコンピューティングリソースへの技術者アクセスを提供する。
上記のようにして、技術者には、異なる非接続処理デバイスでのコンピューティングリソースへの時刻/日付が制限されたアクセスが提供され得る。アクセスは、デジタル署名及びPICを使用して保護されることによって、2要素セキュリティを提供して、(PICに基づいて)個々の技術者のコンピューティングリソースの使用を制限し、(ユーザ名に基づいて)各技術者がコンピューティングリソースにログインした各技術者を識別する。
いくつかの例示的な態様では、認証アプリケーションは、有効期限値、ユーザ名、及びPICの署名を含むように認証ファイルを生成する。これらの例示的な態様では、有効期限値は、モバイルストレージデバイスに平文で記憶され得、PICは、一般に、暗号化鍵を形成するために使用されない。これらの例示的な態様では、非接続処理デバイスのうちの1つにおいて、技術者は、(ユーザ名がモバイルストレージデバイスに記憶されていない場合)PIC及びユーザ名を入力するように促される。次いで、認証アプリケーションは、デジタル署名を検証する(それにより、ユーザ名、有効期限値、及びPICを認証し、有効期限値を確認する)。認証アプリケーションは、デジタル署名及び有効期限値を認証したことに応答して、ユーザ名の下でログインされたコンピューティングリソースへの技術者アクセスを提供する。
いくつかの例示的な態様では、認証ファイルはまた、ユーザ取り消しリストを含み得る。ユーザ取り消しリストは、取り消されたが期限切れではない認証ファイル又は取り消しされたが期限切れではない認証ファイルのユーザをリスト化し得る。例えば、Eve及びMalloryなどの技術者は退職しているが、彼らのモバイルストレージデバイス上の認証ファイルは、更に数週間、依然として有効である。したがって、Eve及びMalloryは、各自のモバイルストレージデバイスを使用してコンピューティングリソースに不正にアクセスすることができる。現在雇用されている技術者のAliceが、この期間中に新しい認証ファイルを要求する場合、Eve及びMalloryの両方をリスト化するユーザ取り消しリスト(例えば、彼らのために生成された認証ファイルの詳細などの電子メール、ユーザ名、及び/又は他の識別詳細など)を新しい認証ファイルに追加することができ、それにより、Aliceが異なるデバイスにログインするときにユーザ取り消しリストをそれぞれのデバイスにコピーすることができるため、EveとMalloryが彼らのデバイスにログインしようとすると、EveとMalloryはユーザ取り消しリストに基づいてブロックされる。したがって、認証ファイルを要求し、認証ファイルに基づいてデバイスにログインするプロセスの結果として、ユーザ取り消しリストが、ログインされているデバイスにコピーされる。ユーザ取り消しリストは、認証ファイルに含まれ、デジタル署名はまた、ユーザがデバイスにログインするときにユーザ取り消しリストの真正性を確認することができるように、ユーザ取り消しリストに署名する。
いくつかの例示的な態様では、ユーザ取り消しリストは、バージョン識別情報(ID)(例えば、バージョン番号及び/又は日付)を含み得る。バージョン識別情報は、リストを認証するデバイスによって使用されて、以前に記憶されたユーザ取り消しリストが、ログインしている現在のユーザの認証ファイルに含まれるユーザ取り消しリストによって置き換えられるべきかどうかを判定することができる。例えば、Aliceが医療デバイスにログインすると、医療デバイスは、Aliceの認証ファイルに含まれるユーザ取り消しリストのバージョン識別情報(例えば、日付)が、医療デバイスのメモリに記憶されたユーザ取り消しリストのバージョン識別情報よりも新しいかどうかを確認する。実際に新しい場合、医療デバイスは、記憶されたユーザ取り消しリストを、Aliceの認証ファイルで発見されるリストに置き換える。
異なる非接続処理デバイスにおける各コンピューティングリソースに、署名を検証するための少なくとも1つの公開鍵などがロードされているが、公開鍵は期限切れであるか、又は秘密-公開鍵ペアが危険にさらされている場合がある。したがって、1つ以上の予備の秘密-公開鍵ペアを生成し、デバイス上に少なくとも1つの予備公開鍵をロードすることが重要である。しかしながら、これは、デバイスがネットワークを介して接続され得ないことがあるため、問題となる。新しい秘密鍵は、その公開鍵の片割れが現場内の全てのデバイスに分配されるまで使用することができないことに留意されたい。移行を容易にするために、以下でより詳細に説明するように、認証ファイルを使用して、予備公開鍵(複数可)を分配することができる。
したがって、いくつかの例示的な態様では、認証ファイルは、少なくとも1つの予備公開鍵も含み得る。例えば、Aliceが、新しい認証ファイルを要求する場合、1つ以上の予備公開鍵を新しい認証ファイルに追加することができ、それにより、Aliceが異なるデバイスにログインするとき、予備公開鍵(複数可)は、後で使用するためにそれぞれのデバイスにコピーされ得る。したがって、認証ファイルを要求し、認証ファイルに基づいてデバイスにログインするプロセスの結果として、予備公開鍵(複数可)がそのデバイスにコピーされる。予備公開鍵(複数可)は、認証ファイルに含まれ得、デジタル署名はまた、ユーザがデバイスにログインするときに予備公開鍵(複数可)の真正性を確認することができるように、予備公開鍵(複数可)に署名し得る。
いくつかの例示的な態様では、予備公開鍵(複数可)が、認証ファイル内の公開鍵リストに記憶され得る。公開鍵リストはまた、システムによって現在使用されている公開鍵を含み得る。公開鍵リストは、バージョン識別情報(ID)(例えば、バージョン番号及び/又は日付)を含み得る。バージョン識別情報は、デバイスによって使用されて、以前に記憶された公開鍵リストが、ログインしている現在のユーザの認証ファイルに含まれる公開鍵リストによって置き換えられるべきかどうかを判定することができる。例えば、Aliceが医療デバイスにログインすると、医療デバイスは、Aliceの認証ファイルに含まれる公開鍵リストのバージョン識別情報(例えば、日付)が、医療デバイスのメモリに記憶された公開鍵リストのバージョン識別情報よりも新しいかどうかを確認する。実際に新しい場合、医療デバイスは、記憶された公開鍵リストを、Aliceの認証ファイルで発見されるリストに置き換える。次いで、新しい公開鍵リスト内の公開鍵がデバイスによって使用されて、デバイスに提示されたデジタル署名を確認することができる。
いったん全ての非接続デバイスが新しい公開鍵(複数可)を学習すると、新しい認証ファイルが新しい公開鍵の秘密鍵で署名され得る。その後、認証ファイルに記憶された公開鍵リストは、古い公開鍵を含む必要はなく、最終的には、全ての非接続デバイスは、公開鍵リストがそれらのデバイスにおいて置き換えられるときに古い公開鍵を忘れる。
本開示は、「技術者」という用語は単なる例として使用する。「技術者」という用語は、単に技術者としての役割を果たす人ではなく、任意の好適なユーザの動作を説明するものとして理解されるべきである。
システムの説明
ここで、本開示の典型的な実施形態に基づいて構築され、動作する2要素認証システム10の部分描写図、部分ブロック図である図1を参照する。
2要素認証システム10は、技術者12又は任意の適切なユーザを認証して、異なる非接続処理デバイス16(簡略化のために1つのみが示されている)の非接続コンピューティングリソース14(簡略化のために1つのみが示される)を使用するように構成される。
2要素認証システム10は、任意の適切なネットワーク20(例えば、インターネット)を介してサーバ18(例えば、ウェブサーバ)上で実行されるオンライン認証アプリケーション(例えば、ウェブアプリケーション)を含む。技術者12は、モバイルストレージデバイス22(例えば、フラッシュディスク、CD、DVD、又はSDカード)をコンピューティングデバイス24(例えば、パーソナルコンピュータ、ラップトップコンピュータ、携帯電話、又はタブレットコンピューティングデバイス)に接続し、コンピューティングデバイスは、ネットワーク20を介してサーバ18に接続される。技術者12は、ユーザ入力デバイス26(例えば、キーボード及び/又はマウス、又はタッチスクリーン)を介して、ユーザ名、パスワード、及び個人識別コード(PIC)を入力する。認証アプリケーションは、図2~図4を参照してより詳細に説明されるように、ユーザ名、パスワード、及びPICを処理し、モバイルストレージデバイス22に記憶するための認証ファイル28を提供する。同様に、他の技術者は、個人用に設定された認証ファイルを受信することができる。
2要素認証システム10はまた、図5及び図6を参照してより詳細に説明されるように、認証ファイルを認証するために、非接続処理デバイス16のそれぞれのデバイスで実行される認証アプリケーションを含む。各処理デバイス16は、(ログイン詳細(例えば、有効期限値、ユーザ名、及び任意選択的に1つ以上のアクセス権、例えば、ユーザの許可、アクセスレベル、又は種類)、及び典型的には暗号化形式のログイン詳細のデジタル署名を記憶する)モバイルストレージデバイス22に接続するように構成されたデータインターフェース30を含み得る。各処理デバイス16は、ユーザ入力デバイス32及び処理回路34を含み得る。
実際には、コンピューティングデバイス24と処理回路34の機能のうちの一部又は全てが、単一の物理的な構成要素内に組み合わされ得るか、又は、代替的に、複数の物理的な構成要素を使用して実装され得る。これらの物理的構成要素は、ハードワイヤード装置若しくはプログラマブル装置、又はこれら2つの組み合わせを備え得る。いくつかの典型的な実施形態では、コンピューティングデバイス24と処理回路34の機能のうちの少なくともいくつかは、好適なソフトウェアの制御下にあるプログラム可能なプロセッサによって実行されてもよい。このソフトウェアは、例えば、ネットワークを介して電子的形態で装置にダウンロードされ得る。代替的に又は追加的に、このソフトウェアは、光学的メモリ、磁気的メモリ又は電子的メモリなどの有形の非一時的なコンピュータ可読媒体に記憶され得る。
ここで、図1のシステム10において使用するための認証ファイル28を生成する方法における工程を含むフローチャート200である図2を参照する。図1も参照されたい。
技術者12は、モバイルストレージデバイス22をコンピューティングデバイス24と動作可能に接続する。例えば、技術者12は、モバイルストレージデバイス22をコンピューティングデバイス24のデータインターフェースに挿入する。サーバ18上で実行される認証アプリケーションは、モバイルストレージデバイス22に接続するように構成される(ブロック202)。
サーバ18上で実行される認証アプリケーションは、技術者12のユーザ名、及びそのユーザ名に関連付けられたパスワードのユーザ入力を受信するように構成される(ブロック204)。サーバ18上で実行される認証アプリケーションは、ユーザ名とパスワードを検証するように構成される(ブロック206)。ユーザ名とパスワードが認証された場合、サーバ18上で実行される認証アプリケーションは、典型的には、技術者12によって選択される個人識別コード(PIC)を促すように構成される(ブロック208)。いくつかの例示的な態様では、PICは、認証アプリケーションによって生成され得る。サーバ18は、入力されたPICを受信するように構成される。
サーバ18上で実行される認証アプリケーションは、任意の好適な値であり得る有効期限値(例えば、有効期限日)を生成するように構成される(ブロック210)。例えば、有効期限値は、現在の時間/日後の所与の数の時間、日数、週間、又は月の場合であり得る。
サーバ18上で実行される認証アプリケーションは、ユーザ名及び有効期限値、及び任意選択的にアクセス権(複数可)を含むログイン詳細のデジタル署名を生成するように構成される(ブロック212)。いくつかの例示的な態様では、サーバ18上で実行される認証アプリケーションは、公開鍵基盤の秘密鍵に応答して(例えば、秘密鍵を含む証明書に基づいて)、技術者の雇用者などの認証団体のデジタル署名を生成するように構成される。
サーバ18上で実行される認証アプリケーションは、PICに基づくキーに応答して、有効期限値及び/又はユーザ名及び/又はデジタル署名及び/又はアクセス権(複数可)を(例えば、対称暗号化を使用して)暗号化するように構成される(ブロック214)。いくつかの例示的な態様では、有効期限値、ユーザ名、デジタル署名、及び任意選択的にアクセス権(複数可)は、単一の項目として暗号化される。いくつかの例示的な態様では、有効期限値、ユーザ名、デジタル署名、及び任意選択的にアクセス権(複数可)は、個々に又は任意の好適な組み合わせで暗号化される。暗号化された有効期限値、ユーザ名、デジタル署名、及び任意選択的にアクセス権は、認証ファイル28に記憶される。
サーバ18上で実行される認証アプリケーションは、パスワードを認証したことに応答して(暗号化された有効期限値、パスワード、ログイン詳細のデジタル署名、及び任意選択的にアクセス権(複数可)を含む)認証ファイル28をモバイルストレージデバイス22に記憶するように構成される(ブロック216)。いくつかの例示的な態様では、サーバ18上で実行される認証アプリケーションは、コンピューティングデバイス24上で実行しているブラウザに認証ファイル28を提供するように構成され、それにより、技術者12は、認証ファイル28をモバイルストレージデバイス22に記憶するように選択することができる。
いくつかの例示的な態様では、有効期限値、及び/又はユーザ名、及び/又はデジタル署名は、モバイルストレージデバイス22内の認証ファイル28内に平文で記憶され得る。
ここで、図1のシステム10内の認証ファイル28を生成するために技術者12によって使用されるユーザインターフェース画面300の概略図である図3を参照する。ユーザインターフェース画面300は、ユーザ名及びパスワードを入力するためのフィールド302、及びサーバ18へのログインを要求するボタン304を含む。ユーザインターフェース画面300は、PICの入力を可能にするフィールド306、及び図2に記載されるように、認証ファイル28の生成を要求するボタン308を含む。ダウンロードされた認証ファイル28へのリンク310は、ユーザインターフェース画面300の底部に示されており、これにより、技術者12が、認証ファイル28をモバイルストレージデバイス22に記憶することが可能になる。
ここで、図1のシステム10で使用するために認証ファイル28が記憶されたモバイルストレージデバイス22の概略図である図4を参照する。図示されるように、認証ファイル28は、PICに基づく鍵を使用する適切な暗号化アルゴリズムによって保護された(ブロック406)、有効期限値(ブロック400)、ユーザ名(ブロック402)、デジタル署名(ブロック404)、及び任意選択的にアクセス権(複数可)を含む(ブロック408)。
ここで、認証ファイルを検証して、図1のシステム10内のコンピューティングリソース14へのアクセスを提供する方法における工程を含むフローチャート500である図5を参照する。図1も参照されたい。
いったん認証ファイル28又は関連値がモバイルストレージデバイス22に記憶されると、技術者12は、非接続処理デバイス16のいずれかにモバイルストレージデバイス22を取り込み得る。選択された非接続処理デバイス16のうちの1つでは、技術者12は、モバイルストレージデバイス22を処理デバイス16のデータインターフェース30に動作可能に接続する。例えば、技術者12は、モバイルストレージデバイス22を処理デバイス16のデータインターフェース30に挿入する。処理回路34上で実行される認証アプリケーションは、モバイルストレージデバイス22に接続するように構成される(ブロック502)。
ここで、図1のシステム10のコンピューティングリソース14にログインするため技術者12によって使用されるユーザインターフェース画面600の概略図である図6を参照する。処理回路34上で実行される認証アプリケーションは、技術者12がPICを入力するフィールド602と、モバイルストレージデバイス22に記憶された認証ファイル28を開くことを要求するボタン604と、を含むユーザインターフェース画面600を表示デバイス上に提示するように構成される。技術者12は、ユーザインターフェース画面600にPICを入力し、モバイルストレージデバイス22に記憶された認証ファイル28を開くことを要求する。
再び図1及び図5を参照する。処理回路34上で実行される認証アプリケーションは、ユーザ入力デバイス32を介して、PIC及び認証ファイル28を開く要求のユーザ入力を受信するように構成されている(ブロック504)。処理回路34上で実行される認証アプリケーションは、デジタル署名、有効期限値、ユーザ名、及び任意選択的に(暗号化形式で)アクセス権(複数可)を含む暗号化された認証ファイル28を、モバイルストレージデバイス22から受信するように構成される(ブロック506)。いくつかの例示的な態様では、処理回路34上で実行される認証アプリケーションは、受信された個人識別コードに基づく鍵に応答して認証ファイル28に含まれる以下のうちのいずれか1つ以上:有効期限値;ユーザ名;デジタル署名;及び任意選択的にアクセス権(複数可)、を対称復号化するように構成される(ブロック508)。
処理回路34上で実行される認証アプリケーションは、有効期限値、ユーザ名、及び任意選択的にアクセス権(複数可)に応答してデジタル署名を検証し、有効期限値、ユーザ名、及び任意選択的にアクセス権(複数可)を認証するように構成される(ブロック510)。いくつかの例示的な態様では、処理回路34は、公開鍵基盤の公開鍵に応答してデジタル署名を検証するように構成されている。
処理回路34上で実行される認証アプリケーションは、有効期限値が期限切れでないことを確認するように構成される(ブロック512)。任意選択的に、処理回路34は、ログイン詳細に含まれるアクセス権(複数可)(例えば、ユーザの許可、アクセスレベル、又は種類)を確認して、技術者が要求された機能にアクセスすることを認証されているかどうか、又は検証されたアクセス権(複数可)に基づいて機能を許可及び/又は解除するかを検証するように構成される。処理回路34上で実行される認証アプリケーションは、(デジタル署名で)有効期限値とユーザ名が認証されていること、及び有効期限値が期限切れでないことに応答して、ユーザ名の下でログインされた(任意選択的に、検証されたアクセス権(複数可)に従って)コンピューティングリソース14にアクセスを提供するように構成される(ブロック514)。デジタル署名の認証は、次に、正しい個人識別コードが、上述のように、技術者12によって入力されて、認証ファイル28を復号化するために使用されていることに依存する。
ここで、図1のシステム10において使用するための認証ファイルを生成する別の方法における工程を含むフローチャート700である図7を参照する。ブロック702~710の工程は、実質的に、図2を参照して上述したブロック202~210の工程に対応する。サーバ18上で実行される認証アプリケーションは、入力された個人識別コード、ユーザ名、生成された有効期限値、及び任意選択的にアクセス権(複数可)を含むログイン詳細のデジタル署名を生成するように構成される(ブロック712)。サーバ18上で実行される認証アプリケーションは、デジタル署名(典型的には、平文)、有効ファイル(典型的には、平文)、及びアクセス権(複数可)(典型的には、平文)を認証ファイルとしてモバイルストレージデバイス22に記憶するように構成される(ブロック714)。
ここで、認証ファイルを検証して、図1のシステム10内のコンピューティングリソース14へのアクセスを提供するため別の方法における工程を含むフローチャート800である図8を参照する。ブロック802~806の工程は、実質的に、図5を参照して上述したブロック502~506の工程に対応する。
処理回路34上で実行される認証アプリケーションは、(モバイルストレージデバイス22内の認証ファイルに記憶されている)有効期限値、(ブロック804の工程で任意選択的に、技術者12によって入力される)ユーザ名、(ブロック804の工程で入力された)PIC、及び任意選択的にアクセス権(複数可)に応答してデジタル署名を検証し(ブロック808)、有効期限値、ユーザ名、PIC、及び任意選択的にアクセス権(複数可)を認証するように構成される。いくつかの例示的な態様では、処理回路34は、公開鍵基盤の公開鍵に応答してデジタル署名を検証するように構成されている。
処理回路34上で実行される認証アプリケーションは、(モバイルストレージデバイス22内の認証ファイルに記憶された)有効期限値が期限切れでないことを確認するように構成される(ブロック810)。任意選択的に、処理回路34は、ログイン詳細に含まれるアクセス権(複数可)(例えば、ユーザの許可、アクセスレベル、又は種類)を確認して、技術者が要求された機能にアクセスすることを認証されているかどうか、又は検証されたアクセス権(複数可)に基づいて機能を許可及び/又は解除するかを検証するように構成される。処理回路34上で実行される認証アプリケーションは、有効期限値、ユーザ名、(デジタル署名で)PICが認証されていること、及び有効期限値が期限切れでないことに応答して、ユーザ名の下でログインされた(任意選択的に、検証されたアクセス権(複数可)に従って)コンピューティングリソース14にアクセスを提供するように構成される(ブロック812)。
ここで、図1のシステム10で使用するためにより多くのデータを備えた認証ファイル28が記憶された図4のモバイルストレージデバイス22の概略図である図9を参照する。図9に示す認証ファイル28は、他のデータ中のユーザ取り消しリスト900及び/又は公開鍵リスト902を含み得る。
いくつかの例示的な態様では、認証ファイル28はまた、取り消しされているが期限切れでない認証ファイル及び/又は取り消しされているが期限切れでない認証ファイルのユーザをリスト化するユーザ取り消しリスト900も含み得る。例えば、Eve及びMalloryなどの技術者は退職しているが、彼らのモバイルストレージデバイス22上の認証ファイル28は、更に数週間、依然として有効である。したがって、Eve及びMalloryは、各自のモバイルストレージデバイス22を使用してコンピューティングリソース14に不正にアクセスすることができる。現在雇用されている技術者のAliceが、この期間中に新しい認証ファイルを要求する場合、Eve及びMalloryの両方をリスト化するユーザ取り消しリスト900(例えば、彼らのために生成された期限切れでない認証ファイルの詳細などの電子メール、ユーザ名、及び/又は他の識別詳細など)を新しい認証ファイル28に追加することができ、それにより、Aliceが異なるデバイスにログインするときにユーザ取り消しリスト900をそれぞれのデバイスにコピーすることができるため、EveとMalloryが彼らのデバイスにログインしようとすると、EveとMalloryはユーザ取り消しリストに基づいてブロックされる。したがって、認証ファイルを要求し、認証ファイルに基づいてデバイスにログインするプロセスの結果として、ユーザ取り消しリスト900がデバイスにコピーされる。ユーザ取り消しリスト900は認証ファイル28に含まれており、デジタル署名(ブロック404)はまた、ユーザがデバイスにログインするときにユーザ取り消しリスト900の真正性を確認することができるように、ユーザ取り消しリスト900に(例えば、現在の秘密鍵で)デジタル署名する。
認証ファイル28はまた、ユーザ取り消しリスト900のバージョンを識別するバージョン識別情報904を含み得る。バージョン識別情報904は、図10を参照してより詳細に説明されるように、ユーザ取り消しリスト900の最新バージョンを追跡するために使用されるバージョン番号及び/又は日付を含み得る。例えば、Aliceが医療デバイスにログインすると、医療デバイスは、Aliceの認証ファイル28に含まれるユーザ取り消しリスト900のバージョン識別情報904(例えば、日付)が、医療デバイスのメモリに記憶されたユーザ取り消しリストのバージョン識別情報よりも新しいかどうかを確認する。実際に新しい場合、医療デバイスは、記憶されたユーザ取り消しリストを、Aliceの認証ファイルで発見されるリストに置き換える。
ユーザ取り消しリスト900は、2要素認証システム10内のデバイスに接続することがもはや認証されていないユーザ、例えば、コンピューティングリソース14にサービスを提供する会社のためにもはや働いていない技術者のリストを含み得る。ユーザ取り消しリスト900は、2要素認証システム10内のデバイスに接続することがもはや認証されていないが、期限切れでない認証ファイル28へのアクセスを依然として有するユーザのリストを含み得る。ユーザ取り消しリスト900は、ユーザ、ユーザ名、ユーザの電子メールアドレス、及び/又は取り消しされたユーザに割り当てられた認証ファイル28などの他の識別情報のリストを含み得る。
異なる非接続処理デバイスにおける各コンピューティングリソースに、署名を検証するための少なくとも1つの公開鍵などがロードされているが、公開鍵は期限切れであるか、又は秘密-公開鍵ペアが危険にさらされている場合がある。したがって、1つ以上の予備の秘密-公開鍵ペアを生成し、デバイス上に少なくとも1つの予備公開鍵をロードすることが重要である。しかしながら、これは、デバイスがネットワークを介して接続され得ないことがあるため、問題となる。新しい秘密鍵は、その公開鍵の片割れが現場内の全てのデバイスに分配されるまで使用することができないことに留意されたい。移行を容易にするために、以下でより詳細に説明するように、認証ファイル28を使用して、予備公開鍵(複数可)を分配することができる。
したがって、いくつかの例示的な態様では、認証ファイル28は、少なくとも1つの予備公開鍵も含み得る。例えば、Aliceが、新しい認証ファイルを要求する場合、1つ以上の予備公開鍵を新しい認証ファイル28に追加することができ、それにより、Aliceが異なるデバイスにログインするとき、予備公開鍵(複数可)は、後で使用するためにそれぞれのデバイスにコピーされ得る。したがって、認証ファイルを要求し、認証ファイル28に基づいてデバイスにログインするプロセスの結果として、予備公開鍵(複数可)がそのデバイスにコピーされる。予備公開鍵(複数可)は、認証ファイル28に含まれ得、デジタル署名(ブロック404)はまた、ユーザがデバイスにログインするときに、予備公開鍵(複数可)の真正性を確認することができるように、(例えば、現在の秘密鍵で)予備公開鍵(複数可)にデジタル署名する。
認証ファイル28はまた、公開鍵リスト902のバージョンを識別するバージョン識別情報906を含み得る。バージョン識別情報906は、図10を参照してより詳細に説明されるように、公開鍵リスト902の最新バージョンを追跡するために使用されるバージョン番号及び/又は日付を含み得る。公開鍵リスト902は、例えば、現在使用されている公開鍵(例えば、PK1)が期限切れであるとき、又は現在使用されている公開鍵と関連付けられた秘密鍵が何かしら危険にさらされている場合、2要素認証システム10における将来の使用のために確保される1つ以上の予備公開鍵(例えば、PK2)を含み得る。公開鍵リスト902はまた、現在使用されている公開鍵(例えば、PK1)を含み得る。例えば、Aliceが医療デバイスにログインすると、医療デバイスは、Aliceの認証ファイル28に含まれる公開鍵リスト902のバージョン識別情報906(例えば、日付)が、医療デバイスのメモリに記憶された公開鍵リストのバージョン識別情報よりも新しいかどうかを確認する。実際に新しい場合、医療デバイスは、記憶された公開鍵リストを、Aliceの認証ファイル28で発見されるリストに置き換える。
デジタル署名(ブロック404)は、現在使用されている公開鍵(例えば、PK1)に応答して検証のために現在使用されている秘密鍵(例えば、PK1に対応する秘密鍵)を使用して、(例えば、サーバ18及び/又はコンピューティングデバイス24によって)生成され得、ログイン詳細(有効期限値(ブロック400)、ユーザ名(ブロック402)、アクセス権(複数可)(ブロック408))、並びにユーザ取り消しリスト900及び公開鍵リスト902のうちの1つ以上にデジタル署名する。したがって、認証ファイル28を記憶するモバイルストレージデバイス22は、ユーザ取り消しリスト900、公開鍵リスト902、ユーザ取り消しリスト900のバージョン識別情報904、及び/又は公開鍵リスト902のバージョン識別情報906のうちの1つ以上を記憶する。認証ファイル28は、暗号化され得る(ブロック406)。
ここで、認証ファイル28を検証して、コンピューティングリソース14へのアクセスを提供し、図1のシステム10における古いユーザ取り消しリスト及び/又は古い公開鍵リストを置き換える別の方法における工程を含むフローチャート1000である図10を参照する。
データインターフェース30は、モバイルストレージデバイス22に接続するように構成され(ブロック1002)、モバイルストレージデバイス22は、(ログイン詳細、ユーザ取り消しリスト900、バージョン識別情報904、公開鍵リスト902(例えば、予備公開鍵PK2を含む)、及び/又はバージョン識別情報906のうちの1つ以上をデジタル署名する)デジタル署名(図9のブロック404);ユーザ取り消しリスト900;公開鍵リスト902;バージョン識別情報904;バージョン識別情報906;及びログイン詳細(有効期限値、ユーザ名、アクセス権など)のうちの1つ以上を記憶する。
処理回路34は、ユーザ名及びPICなどのログインデータのユーザ入力を受信するように任意選択的に構成される(ブロック1004)。処理回路34は、モバイルストレージデバイス22から、デジタル署名(ブロック404);ユーザ取り消しリスト900;公開鍵リスト902(予備公開鍵(複数可)、例えば、PK2を含む);バージョン識別情報904;バージョン識別情報906;及び任意選択的にログイン詳細(ブロック1006)のうちのいずれか1つ以上を受信するように構成される。
処理回路34は、現在の公開鍵(例えば、PK1)を使用して、(認証ファイル28のログイン詳細に含まれる、又はブロック1004の工程でユーザによって入力される)ログインデータ;ユーザ取り消しリスト900;公開鍵リスト902;バージョン識別情報904;バージョン識別情報906、のうちの1つ以上に応答して、受信されたデジタル署名を検証して、ログインデータ;公開鍵リスト902に含まれる予備公開鍵(複数可);ユーザ取り消しリスト900;バージョン識別情報904;及び/又はバージョン識別情報906(ブロック1008)、のうちの1つ以上を認証するように構成される。処理回路34は、例えば、認証ファイル28の有効期限値が依然として有効であることを確認するために、図1~図8を参照して上述した他の確認を実行するように構成され得る(ブロック1010)。処理回路34は、認証されたログインデータに応答してコンピューティングリソース14のうちの1つへのアクセスを提供するように構成され(ブロック1012)、他の確認が実行される。
いくつかの例示的な態様では、処理回路34は、認証されたユーザ取り消しリスト900のバージョン識別情報904が、認証されたユーザ取り消しリスト900が古いユーザ取り消しリストよりも新しいことを示すことに応答して、(現在アクセスされている処理デバイス16によって記憶及び使用される)古いユーザ取り消しリストの使用を、(モバイルストレージデバイス22の認証ファイル28に記憶されている)認証されたユーザ取り消しリスト900に置き換えるように構成される(ブロック1014)。いくつかの例示的な態様では、処理回路34は、新しい公開鍵リスト902が古い公開鍵リストより新しいことを、新しい公開鍵リスト902のバージョン識別情報906が示すことに応答して、(現在アクセスされている処理デバイス16によって記憶及び使用される)古い公開鍵リストの使用を、新しい公開鍵リスト902に置き換えるように構成される。古いユーザ取り消しリスト900及び/又は古い公開鍵リスト902は、削除され得る、又は処理デバイス16によって記憶され得るが、使用されないことに留意されたい。
処理デバイス16内の処理回路34は、認証されたユーザ取り消しリスト900に応答して、コンピューティングリソース14へのアクセスを拒否するように構成される(ブロック1016)。例えば、ユーザ取り消しリスト900上のユーザが処理デバイス16のコンピューティングリソース14にアクセスしようとする場合、アクセスは拒否される。
処理デバイス16内の処理回路34は、予備公開鍵が認証されている(すなわち、公開鍵リスト902が認証されたとき)ことに応答して、予備公開鍵(例えば、PK2)で追加のデジタル署名(例えば、処理デバイス16への異なるログの場合)を検証するように構成される(ブロック1018)。
いったん全ての非接続デバイス16が新しい公開鍵(複数可)を学習すると、新しい認証ファイル28が新しい公開鍵の秘密鍵で署名され得る。その後、認証ファイル28に記憶された公開鍵リスト902は、古い公開鍵を含む必要はなく、最終的には、全ての非接続デバイス16は、公開鍵リスト902がそれらのデバイス16において置き換えられるときに古い公開鍵を忘れる。
実施例1:ユーザを認証する方法であって、ログイン詳細の有効期限値(400)及びデジタル署名(404)を記憶するモバイルストレージデバイス(22)に接続することであって、ログイン詳細が、少なくともユーザ名(402)及び有効期限値を含む、接続することと、モバイルストレージデバイスからデジタル署名及び有効期限値を受信することと、個人識別コードのユーザ入力を受信することと、有効期限値及びユーザ名に応答してデジタル署名を検証して、有効期限値及びユーザ名を認証することと、有効期限値が期限切れでないことを確認することと、有効期限値及びユーザ名が認証されていることと、有効期限値が期限切れでないことと、個人識別コードと、に応答してユーザ名の下でログインされたコンピューティングリソース(14)へのアクセスを提供することと、を含む方法。
実施例2:ログイン詳細が、少なくとも1つのアクセス権を含み(408)、検証することが、有効期限値、ユーザ名、及び少なくとも1つのアクセス権に応答してデジタル署名を検証して、有効期限値、ユーザ名、及び少なくとも1つのアクセス権を認証することを含み、確認することが、少なくとも1つのアクセス権を確認して機能へのアクセスが認証されているかどうかを検証することを含み、アクセスを提供することが、検証された少なくとも1つのアクセス権に従って、コンピューティングリソースへのアクセスを提供することを含む、実施例1に記載の方法。
実施例3:モバイルストレージデバイスが、暗号化形式で有効期限値を記憶し、方法が、個人識別コードに応答して有効期限値を復号化することを更に含む、実施例1又は2に記載の方法。
実施例4:モバイルストレージデバイスが、ユーザ名を暗号化形式で記憶し、方法が、個人識別コードに応答してユーザ名を復号化することを更に含む、実施例1~3のいずれか1つに記載の方法。
実施例5:モバイルストレージデバイスが、暗号化形式でデジタル署名を記憶し、方法が、個人識別コードに応答してデジタル署名を復号化することを更に含む、実施例1~4のいずれか1つに記載の方法。
実施例6:個人識別コードに応答して有効期限値、ユーザ名、及びデジタル署名のうちの少なくとも1つを対称復号化することを更に含む、実施例1~5のいずれか1つに記載の方法。
実施例7:デジタル署名が、公開鍵基盤の秘密鍵及び公開鍵にそれぞれ応答して生成及び検証される、実施例1~6のいずれか1つに記載の方法。
実施例8:ユーザ名のユーザ入力を受信することと、有効期限値、ユーザ名、及び個人識別コードに応答してデジタル署名を検証して、有効期限値、ユーザ名、及び個人識別コードを認証することと、を更に含む、実施例1~7のいずれか1つに記載の方法。
実施例9:ウェブサーバをモバイルストレージデバイスに接続することと、ウェブサーバによってユーザ名、パスワード、及び個人識別コードのユーザ入力を受信することと、ウェブサーバによって有効期限値を生成することと、ログイン詳細のデジタル署名を生成することと、パスワードを認証したことに応答してログイン詳細の有効期限値及びデジタル署名をモバイルストレージデバイスに記憶することと、を更に含む、実施例1~8のいずれか1つに記載の方法。
実施例10:個人識別コードに応答して有効期限値を暗号化することを更に含み、記憶することが、暗号化された有効期限値をモバイルストレージデバイスに記憶することを含む、実施例9に記載の方法。
実施例11:個人識別コードに応答してユーザ名を暗号化することを更に含み、記憶することが、暗号化されたユーザ名をモバイルストレージデバイスに記憶することを含む、実施例9又は10に記載の方法。
実施例12:個人識別コードに応答してデジタル署名を暗号化することを更に含み、記憶することが、暗号化されたデジタル署名をモバイルストレージデバイスに記憶することを含む、実施例9~11のいずれか1つに記載の方法。
実施例13:ログイン詳細が、個人識別コードを含む、実施例9~12のいずれかに記載の方法。
実施例14:モバイルストレージデバイスが、ユーザ取り消しリストを記憶し、デジタル署名が、ログイン詳細及びユーザ取り消しリストにデジタル署名し、方法が、モバイルストレージデバイスからユーザ取り消しリストを受信することと、ユーザ取り消しリストに応答してデジタル署名を検証して、ユーザ取り消しリストを認証することと、認証されたユーザ取り消しリストに応答して、コンピューティングリソースへのアクセスを拒否することと、を更に含む、実施例1~13のいずれか1つに記載の方法。
実施例15:モバイルストレージデバイスが、ユーザ取り消しリストのバージョン識別情報を記憶し、方法が、認証されたユーザ取り消しリストが古いユーザ取り消しリストよりも新しいことを、認証されたユーザ取り消しリストのバージョン識別情報が示すことに応答して、古いユーザ取り消しリストの使用を認証されたユーザ取り消しリストに置き換えることを更に含む、実施例14に記載の方法。
実施例16:デジタル署名が、公開鍵基盤の第1の秘密鍵及び第1の公開鍵にそれぞれ応答して生成及び検証され、モバイルストレージデバイスが、第2の公開鍵を記憶し、デジタル署名が、ログイン詳細及び第2の公開鍵にデジタル署名し、方法が、モバイルストレージデバイスから第2の公開鍵を受信することと、第1の公開鍵に応答してデジタル署名を検証して、第2の公開鍵を認証することと、第2の公開鍵が認証されていることに応答して、第2の公開鍵で追加のデジタル署名を検証することと、を更に含む、実施例1~15のいずれか1つに記載の方法。
実施例17:モバイルストレージデバイスが、第1の公開鍵及び第2の公開鍵を含む新しい公開鍵リストと、新しい公開鍵リストのバージョン識別情報と、を記憶し、方法が、新しい公開鍵リストが古い公開鍵リストよりも新しいことを、新しい公開鍵リストのバージョン識別情報が示すことに応答して古い公開鍵リストの使用を新しい公開鍵リストに置き換えることを更に含む、実施例16に記載の方法。
実施例18:ユーザを認証する方法であって、ユーザ取り消しリスト(900)と、ログイン詳細及びユーザ取り消しリストのデジタル署名(404)とを記憶する、モバイルストレージデバイス(22)に接続することと、モバイルストレージデバイスからデジタル署名及びユーザ取り消しリストを受信することと、ユーザ取り消しリスト及びログインデータに応答してデジタル署名を検証して、ログイン詳細に含まれるユーザ取り消しリスト及びログインデータを認証することと、認証されたログインデータに応答して、コンピューティングリソース(12)へのアクセスを提供することと、認証されたユーザ取り消しリストに応答して、コンピューティングリソースへのアクセスを拒否することと、を含む、方法。
実施例19:モバイルストレージデバイスが、ユーザ取り消しリストのバージョン識別情報(904)を記憶し、方法が、認証されたユーザ取り消しリストが古いユーザ取り消しリストよりも新しいことを、認証されたユーザ取り消しリストのバージョン識別情報が示すことに応答して、古いユーザ取り消しリストの使用を認証されたユーザ取り消しリストに置き換えることを更に含む、実施例18に記載の方法。
実施例20:ユーザを認証する方法であって、第1の公開鍵、第2の公開鍵に応答して検証のための第1の秘密鍵に応答して生成されたデジタル署名(404)を記憶するモバイルストレージデバイス(22)に接続することであって、デジタル署名がログイン詳細及び第2の公開鍵にデジタル署名する、接続することと、モバイルストレージデバイスからデジタル署名及び第2の公開鍵を受信することと、第1の公開鍵に応答してデジタル署名を検証して、ログイン詳細に含まれる第2の公開鍵及びログインデータを認証することと、認証されたログインデータに応答して、コンピューティングリソース(12)へのアクセスを提供することと、第2の公開鍵が認証されていることに応答して第2の公開鍵で追加のデジタル署名を検証することと、を含む、方法。
実施例21:モバイルストレージデバイスが、第1の公開鍵及び第2の公開鍵を含む新しい公開鍵リスト(902)と、新しい公開鍵リストのバージョン識別情報(906)と、を記憶し、方法が、新しい公開鍵リストが古い公開鍵リストよりも新しいことを、新しい公開鍵リストのバージョン識別情報が示すことに応答して古い公開鍵リストの使用を新しい公開鍵リストに置き換えることを更に含む、実施例20に記載の方法。
実施例22:ユーザを認証するシステムであって、ログイン詳細の有効期限値(400)及びデジタル署名(404)を記憶するモバイルストレージデバイス(22)に接続するように構成されたデータインターフェース(30)を含む処理デバイス(16)であって、ログイン詳細が、少なくともユーザ名(402)及び有効期限値を含む、処理デバイスと、ユーザ入力デバイス(32)と、処理回路(34)であって、モバイルストレージデバイスからデジタル署名及び有効期限値を受信し、ユーザ入力デバイスを介して、個人識別コードのユーザ入力を受信し、有効期限値及びユーザ名に応答してデジタル署名を検証して、有効期限値及びユーザ名を認証し、有効期限値が期限切れでないことを確認し、有効期限値及びユーザ名が認証されていることと、有効期限値が期限切れでないことと、個人識別コードと、に応答してユーザ名の下でログインされたコンピューティングリソース(12)へのアクセスを提供するように構成された、処理回路と、
を備える、システム。
実施例23:ログイン詳細が、少なくとも1つのアクセス権を含み(408)、処理回路が、有効期限値、ユーザ名、及び少なくとも1つのアクセス権に応答してデジタル署名を検証して、有効期限値、ユーザ名、及び少なくとも1つのアクセス権を認証し、少なくとも1つのアクセス権を確認して、機能へのアクセスが認証されているかどうかを検証し、検証された少なくとも1つのアクセス権に従って、コンピューティングリソースへのアクセスを提供するように構成されている、実施例22に記載のシステム。
実施例24:モバイルストレージデバイスが、暗号化形式で有効期限値を記憶するように構成され、処理回路が、個人識別コードに応答して有効期限値を復号化するように構成されている、実施例22又は23に記載のシステム。
実施例25:モバイルストレージデバイスが、暗号化形式でユーザ名を記憶するように構成され、処理回路が、個人識別コードに応答してユーザ名を復号化するように構成されている、実施例22~24のいずれか1つに記載のシステム。
実施例26:モバイルストレージデバイスが、暗号化形式でデジタル署名を記憶するように構成され、処理回路が、個人識別コードに応答してデジタル署名を復号化するように構成されている、実施例22~25のいずれか1つに記載のシステム。
実施例27:処理回路が、個人識別コードに応答して有効期限値、ユーザ名、及びデジタル署名のうちの少なくとも1つを対称復号化するように構成されている、実施例22~26のいずれか1つに記載のシステム。
実施例28:処理回路が、公開鍵基盤の公開鍵に応答してデジタル署名を検証するように構成されている、実施例22~27のいずれか1つに記載のシステム。
実施例29:処理回路が、ユーザ名のユーザ入力を受信し、有効期限値、ユーザ名、及び個人識別コードに応答してデジタル署名を検証して、有効期限値、ユーザ名、及び個人識別コードを認証するように構成されている、実施例22~28のいずれか1つに記載のシステム。
実施例30:モバイルストレージデバイスに接続し、ユーザ名、パスワード、及び個人識別コードのユーザ入力を受信し、有効期限値を生成し、ログイン詳細のデジタル署名を生成し、パスワードを認証したことに応答してログイン詳細の有効期限値及びデジタル署名をモバイルストレージデバイスに記憶する、ように構成されているサーバを更に備える、実施例22~29いずれか1つに記載のシステム。
実施例31:サーバが、公開鍵基盤の秘密鍵に応答して、デジタル署名を生成するように構成されている、実施例30に記載のシステム。
実施例32:サーバが、個人識別コードに応答して有効期限値を暗号化し、暗号化された有効期限値をモバイルストレージデバイスに記憶するように構成されている、実施例30又は31に記載のシステム。
実施例33:サーバが、個人識別コードに応答してユーザ名を暗号化し、暗号化されたユーザ名をモバイルストレージデバイスに記憶するように構成されている、実施例30~32のいずれか1つに記載のシステム。
実施例34:サーバが、個人識別コードに応答してデジタル署名を暗号化し、暗号化されたデジタル署名をモバイルストレージデバイスに記憶するように構成されている、実施例30~33のいずれか1つに記載のシステム。
実施例35:ログイン詳細が、個人識別コードを含む、実施例30~34のいずれか1つに記載のシステム。
実施例36:モバイルストレージデバイスが、ユーザ取り消しリストを記憶し、デジタル署名が、ログイン詳細及びユーザ取り消しリストにデジタル署名し、処理回路が、モバイルストレージデバイスからユーザ取り消しリストを受信し、ユーザ取り消しリストに応答してデジタル署名を検証して、ユーザ取り消しリストを認証し、認証されたユーザ取り消しリストに応答して、コンピューティングリソースへのアクセスを拒否するように構成されている、実施例22~35のいずれか1つに記載のシステム。
実施例37:モバイルストレージデバイスが、ユーザ取り消しリストのバージョン識別情報を記憶し、処理回路が、認証されたユーザ取り消しリストが古いユーザ取り消しリストよりも新しいことを、認証されたユーザ取り消しリストのバージョン識別情報が示すことに応答して、古いユーザ取り消しリストの使用を認証されたユーザ取り消しリストに置き換えるように構成されている、実施例36に記載のシステム。
実施例38:デジタル署名が、公開鍵基盤の第1の秘密鍵及び第1の公開鍵にそれぞれ応答して生成及び検証され、モバイルストレージデバイスが、第2の公開鍵を記憶し、デジタル署名が、ログイン詳細及び第2の公開鍵にデジタル署名し、処理回路が、モバイルストレージデバイスから第2の公開鍵を受信し、第1の公開鍵に応答してデジタル署名を検証して、第2の公開鍵を認証し、第2の公開鍵が認証されていることに応答して、第2の公開鍵で追加のデジタル署名を検証するように構成されている、実施例22~37のいずれか1つに記載のシステム。
実施例39:モバイルストレージデバイスが、第1の公開鍵及び第2の公開鍵を含む新しい公開鍵リストと、新しい公開鍵リストのバージョン識別情報と、を記憶し、処理回路が、新しい公開鍵リストが古い公開鍵リストよりも新しいことを、新しい公開鍵リストのバージョン識別情報が示すことに応答して古い公開鍵リストの使用を新しい公開鍵リストに置き換えるように構成されている、実施例38に記載のシステム。
実施例40:ユーザを認証するシステムであって、ユーザ取り消しリスト(900)と、ログイン詳細及びユーザ取り消しリストにデジタル署名するデジタル署名(404)と、を記憶するモバイルストレージデバイス(22)に接続するように構成されたデータインターフェース(30)と、処理回路(34)であって、モバイルストレージデバイスからデジタル署名及びユーザ取り消しリストを受信し、ユーザ取り消しリスト及びログインデータに応答してデジタル署名を検証して、ログイン詳細に含まれるユーザ取り消しリスト及びログインデータを認証し、認証されたログインデータに応答して、コンピューティングリソース(12)へのアクセスを提供し、認証されたユーザ取り消しリストに応答して、コンピューティングリソースへのアクセスを拒否するように構成されている処理回路と、を備えるシステム。
実施例41:モバイルストレージデバイスが、ユーザ取り消しリストのバージョン識別情報(904)を記憶し、処理回路が、認証されたユーザ取り消しリストが古いユーザ取り消しリストよりも新しいことを、認証されたユーザ取り消しリストのバージョン識別情報が示すことに応答して、古いユーザ取り消しリストの使用を認証されたユーザ取り消しリストに置き換えるように構成されている、実施例40に記載のシステム。
実施例42:ユーザを認証するシステムであって、第1の公開鍵、第2の公開鍵に応答して検証のための第1の秘密鍵に応答して生成された、ログイン詳細及び第2の公開鍵にデジタル署名するデジタル署名(404)を記憶するモバイルストレージデバイス(22)に接続するように構成されたデータインターフェース(30)と、処理回路(36)であって、モバイルストレージデバイスからデジタル署名及び第2の公開鍵を受信し、第1の公開鍵に応答してデジタル署名を検証して、ログイン詳細に含まれる第2の公開鍵及びログインデータを認証し、認証されたログインデータに応答してコンピューティングリソースへのアクセスを提供し、第2の公開鍵が認証されていることに応答して第2の公開鍵で追加のデジタル署名を検証するように構成されている、処理回路と、を備えるシステム。
実施例43:モバイルストレージデバイスが、第1の公開鍵及び第2の公開鍵を含む新しい公開鍵リスト(902)と、新しい公開鍵リストのバージョン識別情報(906)と、を記憶し、処理回路が、新しい公開鍵リストが古い公開鍵リストよりも新しいことを、新しい公開鍵リストのバージョン識別情報が示すことに応答して古い公開鍵リストの使用を新しい公開鍵リストに置き換えるように構成されている、実施例42に記載のシステム。
本開示の様々な特徴が、明確性のために別個の例示的な態様の文脈において記載されているが、これらが単一の例示的な態様に組み合わされて提供されてもよい。逆に、簡潔にするために単一の例示的な態様の文脈において記載されている本開示の様々な特徴が、別々に又は任意の好適な部分的組み合わせで提供されてもよい。
上に述べた例示的な態様は例として挙げたものであり、本開示は上記に具体的に示し説明したものに限定されない。むしろ本開示の範囲は、上記の明細書で説明される様々な特徴の組み合わせ及びその部分的組み合わせの両方、並びに上述の説明を読むことで当業者に想到されるであろう、従来技術において開示されていないそれらの変形例及び修正例を含むものである。
〔実施の態様〕
(1) ユーザを認証する方法であって、
ログイン詳細の有効期限値及びデジタル署名を記憶するモバイルストレージデバイスに接続することであって、前記ログイン詳細が、少なくともユーザ名及び前記有効期限値を含む、接続することと、
前記モバイルストレージデバイスから前記デジタル署名及び前記有効期限値を受信することと、
個人識別コードのユーザ入力を受信することと、
前記有効期限値及び前記ユーザ名に応答して前記デジタル署名を検証して、前記有効期限値及び前記ユーザ名を認証することと、
前記有効期限値が期限切れではないことを確認することと、
前記有効期限値及び前記ユーザ名が認証されていることと、前記有効期限値が期限切れではないことと、前記個人識別コードと、に応答して前記ユーザ名の下でログインされたコンピューティングリソースへのアクセスを提供することと、を含む方法。
(2) 前記ログイン詳細が、少なくとも1つのアクセス権を含み、
前記検証することが、前記有効期限値、前記ユーザ名、及び前記少なくとも1つのアクセス権に応答して前記デジタル署名を検証して、前記有効期限値、前記ユーザ名、及び前記少なくとも1つのアクセス権を認証することを含み、
前記確認することが、前記少なくとも1つのアクセス権を確認して、機能へのアクセスが認証されているかどうかを検証することを含み、
前記アクセスを提供することが、検証された前記少なくとも1つのアクセス権に従って、前記コンピューティングリソースへのアクセスを提供することを含む、実施態様1に記載の方法。
(3) 前記モバイルストレージデバイスが、暗号化形式で前記有効期限値を記憶し、前記方法が、前記個人識別コードに応答して前記有効期限値を復号化することを更に含む、実施態様1に記載の方法。
(4) 前記モバイルストレージデバイスが、前記ユーザ名を暗号化形式で記憶し、前記方法が、前記個人識別コードに応答して前記ユーザ名を復号化することを更に含む、実施態様3に記載の方法。
(5) 前記モバイルストレージデバイスが、暗号化形式で前記デジタル署名を記憶し、前記方法が、前記個人識別コードに応答して前記デジタル署名を復号化することを更に含む、実施態様1に記載の方法。
(6) 前記個人識別コードに応答して前記有効期限値、前記ユーザ名、及び前記デジタル署名のうちの少なくとも1つを対称復号化することを更に含む、実施態様1に記載の方法。
(7) 前記デジタル署名が、公開鍵基盤の秘密鍵及び公開鍵にそれぞれ応答して生成及び検証される、実施態様1に記載の方法。
(8) 前記ユーザ名のユーザ入力を受信することと、
前記有効期限値、前記ユーザ名、及び前記個人識別コードに応答して前記デジタル署名を検証して、前記有効期限値、前記ユーザ名、及び前記個人識別コードを認証することと、を更に含む、実施態様1に記載の方法。
(9) ウェブサーバを前記モバイルストレージデバイスに接続することと、
前記ウェブサーバによって前記ユーザ名、パスワード、及び前記個人識別コードのユーザ入力を受信することと、
前記ウェブサーバによって前記有効期限値を生成することと、
前記ログイン詳細の前記デジタル署名を生成することと、
前記パスワードを認証したことに応答して前記ログイン詳細の前記有効期限値及び前記デジタル署名を前記モバイルストレージデバイスに記憶することと、を更に含む、実施態様1に記載の方法。
(10) 前記個人識別コードに応答して前記有効期限値を暗号化することを更に含み、前記記憶することが、暗号化された前記有効期限値を前記モバイルストレージデバイスに記憶することを含む、実施態様9に記載の方法。
(11) 前記個人識別コードに応答して前記ユーザ名を暗号化することを更に含み、前記記憶することが、暗号化された前記ユーザ名を前記モバイルストレージデバイスに記憶することを含む、実施態様10に記載の方法。
(12) 前記個人識別コードに応答して前記デジタル署名を暗号化することを更に含み、前記記憶することが、暗号化された前記デジタル署名を前記モバイルストレージデバイスに記憶することを含む、実施態様9に記載の方法。
(13) 前記ログイン詳細が、前記個人識別コードを含む、実施態様9に記載の方法。
(14) 前記モバイルストレージデバイスが、ユーザ取り消しリストを記憶し、前記デジタル署名が、前記ログイン詳細及び前記ユーザ取り消しリストにデジタル署名し、前記方法が、
前記モバイルストレージデバイスから前記ユーザ取り消しリストを受信することと、
前記ユーザ取り消しリストに応答して前記デジタル署名を検証して、前記ユーザ取り消しリストを認証することと、
認証された前記ユーザ取り消しリストに応答して前記コンピューティングリソースへのアクセスを拒否することと、を更に含む、実施態様1に記載の方法。
(15) 前記モバイルストレージデバイスが、前記ユーザ取り消しリストのバージョン識別情報を記憶し、前記方法が、認証された前記ユーザ取り消しリストが古いユーザ取り消しリストよりも新しいことを、認証された前記ユーザ取り消しリストの前記バージョン識別情報が示すことに応答して、前記古いユーザ取り消しリストの使用を認証された前記ユーザ取り消しリストに置き換えることを更に含む、実施態様14に記載の方法。
(16) 前記デジタル署名が、公開鍵基盤の第1の秘密鍵及び第1の公開鍵にそれぞれ応答して生成及び検証され、
前記モバイルストレージデバイスが、第2の公開鍵を記憶し、前記デジタル署名が、前記ログイン詳細及び前記第2の公開鍵にデジタル署名し、前記方法が、
前記モバイルストレージデバイスから前記第2の公開鍵を受信することと、
前記第1の公開鍵に応答して前記デジタル署名を検証して、前記第2の公開鍵を認証することと、
前記第2の公開鍵が認証されていることに応答して前記第2の公開鍵で追加のデジタル署名を検証することと、を更に含む、実施態様1に記載の方法。
(17) 前記モバイルストレージデバイスが、前記第1の公開鍵及び前記第2の公開鍵を含む新しい公開鍵リストと、前記新しい公開鍵リストのバージョン識別情報と、を記憶し、前記方法が、前記新しい公開鍵リストが古い公開鍵リストよりも新しいことを、前記新しい公開鍵リストの前記バージョン識別情報が示すことに応答して、前記古い公開鍵リストの使用を前記新しい公開鍵リストに置き換えることを更に含む、実施態様16に記載の方法。
(18) ユーザを認証する方法であって、
ユーザ取り消しリストと、ログイン詳細及び前記ユーザ取り消しリストのデジタル署名とを記憶する、モバイルストレージデバイスに接続することと、
前記モバイルストレージデバイスから前記デジタル署名及び前記ユーザ取り消しリストを受信することと、
前記ユーザ取り消しリスト及びログインデータに応答して前記デジタル署名を検証して、前記ログイン詳細に含まれる前記ユーザ取り消しリスト及び前記ログインデータを認証することと、
認証された前記ログインデータに応答してコンピューティングリソースへのアクセスを提供することと、
認証された前記ユーザ取り消しリストに応答して前記コンピューティングリソースへのアクセスを拒否することと、を含む、方法。
(19) 前記モバイルストレージデバイスが、前記ユーザ取り消しリストのバージョン識別情報を記憶し、前記方法が、認証された前記ユーザ取り消しリストが古いユーザ取り消しリストよりも新しいことを、認証された前記ユーザ取り消しリストの前記バージョン識別情報が示すことに応答して、前記古いユーザ取り消しリストの使用を認証された前記ユーザ取り消しリストに置き換えることを更に含む、実施態様18に記載の方法。
(20) ユーザを認証する方法であって、
第1の公開鍵、第2の公開鍵に応答して検証のための第1の秘密鍵に応答して生成されたデジタル署名を記憶するモバイルストレージデバイスに接続することであって、前記デジタル署名がログイン詳細及び前記第2の公開鍵にデジタル署名する、接続することと、
前記モバイルストレージデバイスから前記デジタル署名及び前記第2の公開鍵を受信することと、
前記第1の公開鍵に応答して前記デジタル署名を検証して、前記ログイン詳細に含まれる前記第2の公開鍵及びログインデータを認証することと、
認証された前記ログインデータに応答してコンピューティングリソースへのアクセスを提供することと、
前記第2の公開鍵が認証されていることに応答して前記第2の公開鍵で追加のデジタル署名を検証することと、を含む、方法。
(21) 前記モバイルストレージデバイスが、前記第1の公開鍵及び前記第2の公開鍵を含む新しい公開鍵リストと、前記新しい公開鍵リストのバージョン識別情報と、を記憶し、前記方法が、前記新しい公開鍵リストが古い公開鍵リストよりも新しいことを、前記新しい公開鍵リストの前記バージョン識別情報が示すことに応答して、前記古い公開鍵リストの使用を前記新しい公開鍵リストに置き換えることを更に含む、実施態様20に記載の方法。
(22) 処理デバイスを備えるユーザを認証するためのシステムであって、前記処理デバイスが、
ログイン詳細の有効期限値及びデジタル署名を記憶するモバイルストレージデバイスに接続するように構成されたデータインターフェースであって、前記ログイン詳細が、少なくともユーザ名及び前記有効期限値を含む、データインターフェースと、
ユーザ入力デバイスと、
処理回路であって、前記モバイルストレージデバイスから前記デジタル署名及び前記有効期限値を受信し、前記ユーザ入力デバイスを介して個人識別コードのユーザ入力を受信し、前記有効期限値及び前記ユーザ名に応答して前記デジタル署名を検証して、前記有効期限値及び前記ユーザ名を認証し、前記有効期限値が期限切れでないことを確認し、前記有効期限値及び前記ユーザ名が認証されていることと、前記有効期限値が期限切れでないことと、前記個人識別コードと、に応答して前記ユーザ名の下でログインされたコンピューティングリソースへのアクセスを提供する、
ように構成された、処理回路と、
を備える、システム。
(23) 前記ログイン詳細が、少なくとも1つのアクセス権を含み、
前記処理回路が、
前記有効期限値、前記ユーザ名、及び前記少なくとも1つのアクセス権に応答して前記デジタル署名を検証して、前記有効期限値、前記ユーザ名、及び前記少なくとも1つのアクセス権を認証し、
前記少なくとも1つのアクセス権を確認して、機能へのアクセスが認証されているかどうかを検証し、
検証された前記少なくとも1つのアクセス権に従って、前記コンピューティングリソースへのアクセスを提供する
ように構成されている、実施態様22に記載のシステム。
(24) 前記モバイルストレージデバイスが、暗号化形式で前記有効期限値を記憶するように構成され、
前記処理回路が、前記個人識別コードに応答して前記有効期限値を復号化するように構成されている、実施態様22に記載のシステム。
(25) 前記モバイルストレージデバイスが、暗号化形式で前記ユーザ名を記憶するように構成され、
前記処理回路が、前記個人識別コードに応答して前記ユーザ名を復号化するように構成されている、実施態様24に記載のシステム。
(26) 前記モバイルストレージデバイスが、暗号化形式で前記デジタル署名を記憶するように構成され、
前記処理回路が、前記個人識別コードに応答して前記デジタル署名を復号化するように構成されている、実施態様22に記載のシステム。
(27) 前記処理回路が、前記個人識別コードに応答して前記有効期限値、前記ユーザ名、及び前記デジタル署名のうちの少なくとも1つを対称復号化するように構成されている、実施態様22に記載のシステム。
(28) 前記処理回路が、公開鍵基盤の公開鍵に応答して前記デジタル署名を検証するように構成されている、実施態様22に記載のシステム。
(29) 前記処理回路が、
前記ユーザ名のユーザ入力を受信し、
前記有効期限値、前記ユーザ名、及び前記個人識別コードに応答して前記デジタル署名を検証して、前記有効期限値、前記ユーザ名、及び前記個人識別コードを認証する、
ように構成されている、実施態様22に記載のシステム。
(30) サーバを更に備え、前記サーバが、
前記モバイルストレージデバイスに接続し、
前記ユーザ名、パスワード、及び前記個人識別コードのユーザ入力を受信し、
前記有効期限値を生成し、
前記ログイン詳細の前記デジタル署名を生成し、
前記パスワードを認証したことに応答して、前記ログイン詳細の前記有効期限値及び前記デジタル署名を前記モバイルストレージデバイスに記憶する、
ように構成されている、実施態様22に記載のシステム。
(31) 前記サーバが、公開鍵基盤の秘密鍵に応答して前記デジタル署名を生成するように構成されている、実施態様30に記載のシステム。
(32) 前記サーバが、
前記個人識別コードに応答して前記有効期限値を暗号化し、
暗号化された前記有効期限値を前記モバイルストレージデバイスに記憶する、
ように構成されている、実施態様30に記載のシステム。
(33) 前記サーバが、
前記個人識別コードに応答して前記ユーザ名を暗号化し、
暗号化された前記ユーザ名を前記モバイルストレージデバイスに記憶する、
ように構成されている、実施態様32に記載のシステム。
(34) 前記サーバが、
前記個人識別コードに応答して前記デジタル署名を暗号化し、
暗号化された前記デジタル署名を前記モバイルストレージデバイスに記憶する、
ように構成されている、実施態様30に記載のシステム。
(35) 前記ログイン詳細が、前記個人識別コードを含む、実施態様30に記載のシステム。
(36) 前記モバイルストレージデバイスが、ユーザ取り消しリストを記憶し、前記デジタル署名が、前記ログイン詳細及び前記ユーザ取り消しリストにデジタル署名し、
前記処理回路が、
前記モバイルストレージデバイスから前記ユーザ取り消しリストを受信し、
前記ユーザ取り消しリストに応答して前記デジタル署名を検証して、前記ユーザ取り消しリストを認証し、
認証された前記ユーザ取り消しリストに応答して前記コンピューティングリソースへのアクセスを拒否する、
ように構成されている、実施態様22に記載のシステム。
(37) 前記モバイルストレージデバイスが、前記ユーザ取り消しリストのバージョン識別情報を記憶し、
前記処理回路が、認証された前記ユーザ取り消しリストが古いユーザ取り消しリストよりも新しいことを、認証された前記ユーザ取り消しリストの前記バージョン識別情報が示すことに応答して、前記古いユーザ取り消しリストの使用を認証された前記ユーザ取り消しリストに置き換えるように構成されている、実施態様36に記載のシステム。
(38) 前記デジタル署名が、公開鍵基盤の第1の秘密鍵及び第1の公開鍵にそれぞれ応答して生成及び検証され、
前記モバイルストレージデバイスが、第2の公開鍵を記憶し、前記デジタル署名が、前記ログイン詳細及び前記第2の公開鍵にデジタル署名し、
前記処理回路が、
前記モバイルストレージデバイスから前記第2の公開鍵を受信し、
前記第1の公開鍵に応答して前記デジタル署名を検証して、前記第2の公開鍵を認証し、
前記第2の公開鍵が認証されていることに応答して前記第2の公開鍵で追加のデジタル署名を検証する
ように構成されている、実施態様22に記載のシステム。
(39) 前記モバイルストレージデバイスが、前記第1の公開鍵及び前記第2の公開鍵を含む新しい公開鍵リストと、前記新しい公開鍵リストのバージョン識別情報と、を記憶し、
前記処理回路が、前記新しい公開鍵リストが古い公開鍵リストより新しいことを、前記新しい公開鍵リストの前記バージョン識別情報が示すことに応答して、前記古い公開鍵リストの使用を前記新しい公開鍵リストに置き換えるように構成されている、実施態様38に記載のシステム。
(40) ユーザを認証するためのシステムであって、
ユーザ取り消しリストと、ログイン詳細及び前記ユーザ取り消しリストにデジタル署名するデジタル署名と、を記憶するモバイルストレージデバイスに接続するように構成されたデータインターフェースと、
処理回路であって、
前記モバイルストレージデバイスから前記デジタル署名及び前記ユーザ取り消しリストを受信し、
前記ユーザ取り消しリスト及びログインデータに応答して前記デジタル署名を検証して、前記ログイン詳細に含まれる前記ユーザ取り消しリスト及び前記ログインデータを認証し、
認証された前記ログインデータに応答してコンピューティングリソースへのアクセスを提供し、
認証された前記ユーザ取り消しリストに応答して前記コンピューティングリソースへのアクセスを拒否する
ように構成されている、処理回路と、
を備えるシステム。
(41) 前記モバイルストレージデバイスが、前記ユーザ取り消しリストのバージョン識別情報を記憶し、
前記処理回路が、認証された前記ユーザ取り消しリストが古いユーザ取り消しリストよりも新しいことを、認証された前記ユーザ取り消しリストの前記バージョン識別情報が示すことに応答して、前記古いユーザ取り消しリストの使用を認証された前記ユーザ取り消しリストに置き換えるように構成されている、実施態様40に記載のシステム。
(42) ユーザを認証するためのシステムであって、
第1の公開鍵、第2の公開鍵に応答して検証のための第1の秘密鍵に応答して生成されたデジタル署名を記憶するモバイルストレージデバイスに接続するように構成されたデータインターフェースであって、前記デジタル署名がログイン詳細及び前記第2の公開鍵にデジタル署名する、データインターフェースと、
処理回路であって、
前記モバイルストレージデバイスから前記デジタル署名及び前記第2の公開鍵を受信し、
前記第1の公開鍵に応答して前記デジタル署名を検証して、前記ログイン詳細に含まれる前記第2の公開鍵及びログインデータを認証し、
認証された前記ログインデータに応答してコンピューティングリソースへのアクセスを提供し、
前記第2の公開鍵が認証されていることに応答して前記第2の公開鍵で追加のデジタル署名を検証する
ように構成されている、処理回路と、
を備えるシステム。
(43) 前記モバイルストレージデバイスが、前記第1の公開鍵及び前記第2の公開鍵を含む新しい公開鍵リストと、前記新しい公開鍵リストのバージョン識別情報と、を記憶し、
前記処理回路が、前記新しい公開鍵リストが古い公開鍵リストより新しいことを、前記新しい公開鍵リストの前記バージョン識別情報が示すことに応答して、前記古い公開鍵リストの使用を前記新しい公開鍵リストに置き換えるように構成されている、実施態様42に記載のシステム。

Claims (43)

  1. ユーザを認証する方法であって、
    ログイン詳細の有効期限値及びデジタル署名を記憶するモバイルストレージデバイスに接続することであって、前記ログイン詳細が、少なくともユーザ名及び前記有効期限値を含む、接続することと、
    前記モバイルストレージデバイスから前記デジタル署名及び前記有効期限値を受信することと、
    個人識別コードのユーザ入力を受信することと、
    前記有効期限値及び前記ユーザ名に応答して前記デジタル署名を検証して、前記有効期限値及び前記ユーザ名を認証することと、
    前記有効期限値が期限切れではないことを確認することと、
    前記有効期限値及び前記ユーザ名が認証されていることと、前記有効期限値が期限切れではないことと、前記個人識別コードと、に応答して前記ユーザ名の下でログインされたコンピューティングリソースへのアクセスを提供することと、を含む方法。
  2. 前記ログイン詳細が、少なくとも1つのアクセス権を含み、
    前記検証することが、前記有効期限値、前記ユーザ名、及び前記少なくとも1つのアクセス権に応答して前記デジタル署名を検証して、前記有効期限値、前記ユーザ名、及び前記少なくとも1つのアクセス権を認証することを含み、
    前記確認することが、前記少なくとも1つのアクセス権を確認して、機能へのアクセスが認証されているかどうかを検証することを含み、
    前記アクセスを提供することが、検証された前記少なくとも1つのアクセス権に従って、前記コンピューティングリソースへのアクセスを提供することを含む、請求項1に記載の方法。
  3. 前記モバイルストレージデバイスが、暗号化形式で前記有効期限値を記憶し、前記方法が、前記個人識別コードに応答して前記有効期限値を復号化することを更に含む、請求項1に記載の方法。
  4. 前記モバイルストレージデバイスが、前記ユーザ名を暗号化形式で記憶し、前記方法が、前記個人識別コードに応答して前記ユーザ名を復号化することを更に含む、請求項3に記載の方法。
  5. 前記モバイルストレージデバイスが、暗号化形式で前記デジタル署名を記憶し、前記方法が、前記個人識別コードに応答して前記デジタル署名を復号化することを更に含む、請求項1に記載の方法。
  6. 前記個人識別コードに応答して前記有効期限値、前記ユーザ名、及び前記デジタル署名のうちの少なくとも1つを対称復号化することを更に含む、請求項1に記載の方法。
  7. 前記デジタル署名が、公開鍵基盤の秘密鍵及び公開鍵にそれぞれ応答して生成及び検証される、請求項1に記載の方法。
  8. 前記ユーザ名のユーザ入力を受信することと、
    前記有効期限値、前記ユーザ名、及び前記個人識別コードに応答して前記デジタル署名を検証して、前記有効期限値、前記ユーザ名、及び前記個人識別コードを認証することと、を更に含む、請求項1に記載の方法。
  9. ウェブサーバを前記モバイルストレージデバイスに接続することと、
    前記ウェブサーバによって前記ユーザ名、パスワード、及び前記個人識別コードのユーザ入力を受信することと、
    前記ウェブサーバによって前記有効期限値を生成することと、
    前記ログイン詳細の前記デジタル署名を生成することと、
    前記パスワードを認証したことに応答して前記ログイン詳細の前記有効期限値及び前記デジタル署名を前記モバイルストレージデバイスに記憶することと、を更に含む、請求項1に記載の方法。
  10. 前記個人識別コードに応答して前記有効期限値を暗号化することを更に含み、前記記憶することが、暗号化された前記有効期限値を前記モバイルストレージデバイスに記憶することを含む、請求項9に記載の方法。
  11. 前記個人識別コードに応答して前記ユーザ名を暗号化することを更に含み、前記記憶することが、暗号化された前記ユーザ名を前記モバイルストレージデバイスに記憶することを含む、請求項10に記載の方法。
  12. 前記個人識別コードに応答して前記デジタル署名を暗号化することを更に含み、前記記憶することが、暗号化された前記デジタル署名を前記モバイルストレージデバイスに記憶することを含む、請求項9に記載の方法。
  13. 前記ログイン詳細が、前記個人識別コードを含む、請求項9に記載の方法。
  14. 前記モバイルストレージデバイスが、ユーザ取り消しリストを記憶し、前記デジタル署名が、前記ログイン詳細及び前記ユーザ取り消しリストにデジタル署名し、前記方法が、
    前記モバイルストレージデバイスから前記ユーザ取り消しリストを受信することと、
    前記ユーザ取り消しリストに応答して前記デジタル署名を検証して、前記ユーザ取り消しリストを認証することと、
    認証された前記ユーザ取り消しリストに応答して前記コンピューティングリソースへのアクセスを拒否することと、を更に含む、請求項1に記載の方法。
  15. 前記モバイルストレージデバイスが、前記ユーザ取り消しリストのバージョン識別情報を記憶し、前記方法が、認証された前記ユーザ取り消しリストが古いユーザ取り消しリストよりも新しいことを、認証された前記ユーザ取り消しリストの前記バージョン識別情報が示すことに応答して、前記古いユーザ取り消しリストの使用を認証された前記ユーザ取り消しリストに置き換えることを更に含む、請求項14に記載の方法。
  16. 前記デジタル署名が、公開鍵基盤の第1の秘密鍵及び第1の公開鍵にそれぞれ応答して生成及び検証され、
    前記モバイルストレージデバイスが、第2の公開鍵を記憶し、前記デジタル署名が、前記ログイン詳細及び前記第2の公開鍵にデジタル署名し、前記方法が、
    前記モバイルストレージデバイスから前記第2の公開鍵を受信することと、
    前記第1の公開鍵に応答して前記デジタル署名を検証して、前記第2の公開鍵を認証することと、
    前記第2の公開鍵が認証されていることに応答して前記第2の公開鍵で追加のデジタル署名を検証することと、を更に含む、請求項1に記載の方法。
  17. 前記モバイルストレージデバイスが、前記第1の公開鍵及び前記第2の公開鍵を含む新しい公開鍵リストと、前記新しい公開鍵リストのバージョン識別情報と、を記憶し、前記方法が、前記新しい公開鍵リストが古い公開鍵リストよりも新しいことを、前記新しい公開鍵リストの前記バージョン識別情報が示すことに応答して、前記古い公開鍵リストの使用を前記新しい公開鍵リストに置き換えることを更に含む、請求項16に記載の方法。
  18. ユーザを認証する方法であって、
    ユーザ取り消しリストと、ログイン詳細及び前記ユーザ取り消しリストのデジタル署名とを記憶する、モバイルストレージデバイスに接続することと、
    前記モバイルストレージデバイスから前記デジタル署名及び前記ユーザ取り消しリストを受信することと、
    前記ユーザ取り消しリスト及びログインデータに応答して前記デジタル署名を検証して、前記ログイン詳細に含まれる前記ユーザ取り消しリスト及び前記ログインデータを認証することと、
    認証された前記ログインデータに応答してコンピューティングリソースへのアクセスを提供することと、
    認証された前記ユーザ取り消しリストに応答して前記コンピューティングリソースへのアクセスを拒否することと、を含む、方法。
  19. 前記モバイルストレージデバイスが、前記ユーザ取り消しリストのバージョン識別情報を記憶し、前記方法が、認証された前記ユーザ取り消しリストが古いユーザ取り消しリストよりも新しいことを、認証された前記ユーザ取り消しリストの前記バージョン識別情報が示すことに応答して、前記古いユーザ取り消しリストの使用を認証された前記ユーザ取り消しリストに置き換えることを更に含む、請求項18に記載の方法。
  20. ユーザを認証する方法であって、
    第1の公開鍵、第2の公開鍵に応答して検証のための第1の秘密鍵に応答して生成されたデジタル署名を記憶するモバイルストレージデバイスに接続することであって、前記デジタル署名がログイン詳細及び前記第2の公開鍵にデジタル署名する、接続することと、
    前記モバイルストレージデバイスから前記デジタル署名及び前記第2の公開鍵を受信することと、
    前記第1の公開鍵に応答して前記デジタル署名を検証して、前記ログイン詳細に含まれる前記第2の公開鍵及びログインデータを認証することと、
    認証された前記ログインデータに応答してコンピューティングリソースへのアクセスを提供することと、
    前記第2の公開鍵が認証されていることに応答して前記第2の公開鍵で追加のデジタル署名を検証することと、を含む、方法。
  21. 前記モバイルストレージデバイスが、前記第1の公開鍵及び前記第2の公開鍵を含む新しい公開鍵リストと、前記新しい公開鍵リストのバージョン識別情報と、を記憶し、前記方法が、前記新しい公開鍵リストが古い公開鍵リストよりも新しいことを、前記新しい公開鍵リストの前記バージョン識別情報が示すことに応答して、前記古い公開鍵リストの使用を前記新しい公開鍵リストに置き換えることを更に含む、請求項20に記載の方法。
  22. 処理デバイスを備えるユーザを認証するためのシステムであって、前記処理デバイスが、
    ログイン詳細の有効期限値及びデジタル署名を記憶するモバイルストレージデバイスに接続するように構成されたデータインターフェースであって、前記ログイン詳細が、少なくともユーザ名及び前記有効期限値を含む、データインターフェースと、
    ユーザ入力デバイスと、
    処理回路であって、前記モバイルストレージデバイスから前記デジタル署名及び前記有効期限値を受信し、前記ユーザ入力デバイスを介して個人識別コードのユーザ入力を受信し、前記有効期限値及び前記ユーザ名に応答して前記デジタル署名を検証して、前記有効期限値及び前記ユーザ名を認証し、前記有効期限値が期限切れでないことを確認し、前記有効期限値及び前記ユーザ名が認証されていることと、前記有効期限値が期限切れでないことと、前記個人識別コードと、に応答して前記ユーザ名の下でログインされたコンピューティングリソースへのアクセスを提供する、
    ように構成された、処理回路と、
    を備える、システム。
  23. 前記ログイン詳細が、少なくとも1つのアクセス権を含み、
    前記処理回路が、
    前記有効期限値、前記ユーザ名、及び前記少なくとも1つのアクセス権に応答して前記デジタル署名を検証して、前記有効期限値、前記ユーザ名、及び前記少なくとも1つのアクセス権を認証し、
    前記少なくとも1つのアクセス権を確認して、機能へのアクセスが認証されているかどうかを検証し、
    検証された前記少なくとも1つのアクセス権に従って、前記コンピューティングリソースへのアクセスを提供する
    ように構成されている、請求項22に記載のシステム。
  24. 前記モバイルストレージデバイスが、暗号化形式で前記有効期限値を記憶するように構成され、
    前記処理回路が、前記個人識別コードに応答して前記有効期限値を復号化するように構成されている、請求項22に記載のシステム。
  25. 前記モバイルストレージデバイスが、暗号化形式で前記ユーザ名を記憶するように構成され、
    前記処理回路が、前記個人識別コードに応答して前記ユーザ名を復号化するように構成されている、請求項24に記載のシステム。
  26. 前記モバイルストレージデバイスが、暗号化形式で前記デジタル署名を記憶するように構成され、
    前記処理回路が、前記個人識別コードに応答して前記デジタル署名を復号化するように構成されている、請求項22に記載のシステム。
  27. 前記処理回路が、前記個人識別コードに応答して前記有効期限値、前記ユーザ名、及び前記デジタル署名のうちの少なくとも1つを対称復号化するように構成されている、請求項22に記載のシステム。
  28. 前記処理回路が、公開鍵基盤の公開鍵に応答して前記デジタル署名を検証するように構成されている、請求項22に記載のシステム。
  29. 前記処理回路が、
    前記ユーザ名のユーザ入力を受信し、
    前記有効期限値、前記ユーザ名、及び前記個人識別コードに応答して前記デジタル署名を検証して、前記有効期限値、前記ユーザ名、及び前記個人識別コードを認証する、
    ように構成されている、請求項22に記載のシステム。
  30. サーバを更に備え、前記サーバが、
    前記モバイルストレージデバイスに接続し、
    前記ユーザ名、パスワード、及び前記個人識別コードのユーザ入力を受信し、
    前記有効期限値を生成し、
    前記ログイン詳細の前記デジタル署名を生成し、
    前記パスワードを認証したことに応答して、前記ログイン詳細の前記有効期限値及び前記デジタル署名を前記モバイルストレージデバイスに記憶する、
    ように構成されている、請求項22に記載のシステム。
  31. 前記サーバが、公開鍵基盤の秘密鍵に応答して前記デジタル署名を生成するように構成されている、請求項30に記載のシステム。
  32. 前記サーバが、
    前記個人識別コードに応答して前記有効期限値を暗号化し、
    暗号化された前記有効期限値を前記モバイルストレージデバイスに記憶する、
    ように構成されている、請求項30に記載のシステム。
  33. 前記サーバが、
    前記個人識別コードに応答して前記ユーザ名を暗号化し、
    暗号化された前記ユーザ名を前記モバイルストレージデバイスに記憶する、
    ように構成されている、請求項32に記載のシステム。
  34. 前記サーバが、
    前記個人識別コードに応答して前記デジタル署名を暗号化し、
    暗号化された前記デジタル署名を前記モバイルストレージデバイスに記憶する、
    ように構成されている、請求項30に記載のシステム。
  35. 前記ログイン詳細が、前記個人識別コードを含む、請求項30に記載のシステム。
  36. 前記モバイルストレージデバイスが、ユーザ取り消しリストを記憶し、前記デジタル署名が、前記ログイン詳細及び前記ユーザ取り消しリストにデジタル署名し、
    前記処理回路が、
    前記モバイルストレージデバイスから前記ユーザ取り消しリストを受信し、
    前記ユーザ取り消しリストに応答して前記デジタル署名を検証して、前記ユーザ取り消しリストを認証し、
    認証された前記ユーザ取り消しリストに応答して前記コンピューティングリソースへのアクセスを拒否する、
    ように構成されている、請求項22に記載のシステム。
  37. 前記モバイルストレージデバイスが、前記ユーザ取り消しリストのバージョン識別情報を記憶し、
    前記処理回路が、認証された前記ユーザ取り消しリストが古いユーザ取り消しリストよりも新しいことを、認証された前記ユーザ取り消しリストの前記バージョン識別情報が示すことに応答して、前記古いユーザ取り消しリストの使用を認証された前記ユーザ取り消しリストに置き換えるように構成されている、請求項36に記載のシステム。
  38. 前記デジタル署名が、公開鍵基盤の第1の秘密鍵及び第1の公開鍵にそれぞれ応答して生成及び検証され、
    前記モバイルストレージデバイスが、第2の公開鍵を記憶し、前記デジタル署名が、前記ログイン詳細及び前記第2の公開鍵にデジタル署名し、
    前記処理回路が、
    前記モバイルストレージデバイスから前記第2の公開鍵を受信し、
    前記第1の公開鍵に応答して前記デジタル署名を検証して、前記第2の公開鍵を認証し、
    前記第2の公開鍵が認証されていることに応答して前記第2の公開鍵で追加のデジタル署名を検証する
    ように構成されている、請求項22に記載のシステム。
  39. 前記モバイルストレージデバイスが、前記第1の公開鍵及び前記第2の公開鍵を含む新しい公開鍵リストと、前記新しい公開鍵リストのバージョン識別情報と、を記憶し、
    前記処理回路が、前記新しい公開鍵リストが古い公開鍵リストより新しいことを、前記新しい公開鍵リストの前記バージョン識別情報が示すことに応答して、前記古い公開鍵リストの使用を前記新しい公開鍵リストに置き換えるように構成されている、請求項38に記載のシステム。
  40. ユーザを認証するためのシステムであって、
    ユーザ取り消しリストと、ログイン詳細及び前記ユーザ取り消しリストにデジタル署名するデジタル署名と、を記憶するモバイルストレージデバイスに接続するように構成されたデータインターフェースと、
    処理回路であって、
    前記モバイルストレージデバイスから前記デジタル署名及び前記ユーザ取り消しリストを受信し、
    前記ユーザ取り消しリスト及びログインデータに応答して前記デジタル署名を検証して、前記ログイン詳細に含まれる前記ユーザ取り消しリスト及び前記ログインデータを認証し、
    認証された前記ログインデータに応答してコンピューティングリソースへのアクセスを提供し、
    認証された前記ユーザ取り消しリストに応答して前記コンピューティングリソースへのアクセスを拒否する
    ように構成されている、処理回路と、
    を備えるシステム。
  41. 前記モバイルストレージデバイスが、前記ユーザ取り消しリストのバージョン識別情報を記憶し、
    前記処理回路が、認証された前記ユーザ取り消しリストが古いユーザ取り消しリストよりも新しいことを、認証された前記ユーザ取り消しリストの前記バージョン識別情報が示すことに応答して、前記古いユーザ取り消しリストの使用を認証された前記ユーザ取り消しリストに置き換えるように構成されている、請求項40に記載のシステム。
  42. ユーザを認証するためのシステムであって、
    第1の公開鍵、第2の公開鍵に応答して検証のための第1の秘密鍵に応答して生成されたデジタル署名を記憶するモバイルストレージデバイスに接続するように構成されたデータインターフェースであって、前記デジタル署名がログイン詳細及び前記第2の公開鍵にデジタル署名する、データインターフェースと、
    処理回路であって、
    前記モバイルストレージデバイスから前記デジタル署名及び前記第2の公開鍵を受信し、
    前記第1の公開鍵に応答して前記デジタル署名を検証して、前記ログイン詳細に含まれる前記第2の公開鍵及びログインデータを認証し、
    認証された前記ログインデータに応答してコンピューティングリソースへのアクセスを提供し、
    前記第2の公開鍵が認証されていることに応答して前記第2の公開鍵で追加のデジタル署名を検証する
    ように構成されている、処理回路と、
    を備えるシステム。
  43. 前記モバイルストレージデバイスが、前記第1の公開鍵及び前記第2の公開鍵を含む新しい公開鍵リストと、前記新しい公開鍵リストのバージョン識別情報と、を記憶し、
    前記処理回路が、前記新しい公開鍵リストが古い公開鍵リストより新しいことを、前記新しい公開鍵リストの前記バージョン識別情報が示すことに応答して、前記古い公開鍵リストの使用を前記新しい公開鍵リストに置き換えるように構成されている、請求項42に記載のシステム。
JP2022065574A 2021-04-13 2022-04-12 非接続デバイス内のユーザを認証する2要素認証 Pending JP2022162998A (ja)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US202163174269P 2021-04-13 2021-04-13
US63/174,269 2021-04-13
US17/665,384 US20220329577A1 (en) 2021-04-13 2022-02-04 Two-Factor Authentication to Authenticate Users in Unconnected Devices
US17/665,384 2022-02-04

Publications (1)

Publication Number Publication Date
JP2022162998A true JP2022162998A (ja) 2022-10-25

Family

ID=81325729

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022065574A Pending JP2022162998A (ja) 2021-04-13 2022-04-12 非接続デバイス内のユーザを認証する2要素認証

Country Status (5)

Country Link
US (1) US20220329577A1 (ja)
EP (1) EP4075725A1 (ja)
JP (1) JP2022162998A (ja)
CN (1) CN115208559A (ja)
IL (1) IL291811A (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115941360A (zh) * 2023-02-10 2023-04-07 杭州堃博生物科技有限公司 数据交互的安全验证方法、装置、存储介质以及电子设备

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100401669C (zh) * 2001-11-06 2008-07-09 国际商业机器公司 用于数据供应、交易和电子投票的方法和系统
US7440571B2 (en) * 2002-12-03 2008-10-21 Nagravision S.A. Method for securing software updates
JP4509611B2 (ja) * 2004-03-18 2010-07-21 東芝ソリューション株式会社 電子署名保証システム、プログラム及び装置
US7565527B2 (en) * 2005-02-14 2009-07-21 Tricipher, Inc. Technique for asymmetric crypto-key generation
US8321953B2 (en) 2005-07-14 2012-11-27 Imation Corp. Secure storage device with offline code entry
US8046587B2 (en) * 2005-12-12 2011-10-25 Qualcomm Incorporated Method off-line authentication on a limited-resource device
US20080010452A1 (en) * 2006-07-07 2008-01-10 Michael Holtzman Content Control System Using Certificate Revocation Lists
US7958540B2 (en) * 2006-12-11 2011-06-07 Infosys Technologies Ltd. Method for conducting real-time execution of transactions in a network
US20090038007A1 (en) * 2007-07-31 2009-02-05 Samsung Electronics Co., Ltd. Method and apparatus for managing client revocation list
EP2037651A1 (en) * 2007-09-12 2009-03-18 ABB Technology AG Method and system for accessing devices in a secure manner
US8635442B2 (en) * 2009-04-28 2014-01-21 Adobe Systems Incorporated System and method for long-term digital signature verification utilizing light weight digital signatures
US9009800B2 (en) * 2010-06-24 2015-04-14 Infosys Limited Systems and methods of authentication in a disconnected environment
US8756706B2 (en) * 2010-10-12 2014-06-17 Blackberry Limited Method for securing credentials in a remote repository
WO2013100905A1 (en) 2011-12-27 2013-07-04 Intel Corporation Method and system for distributed off-line logon using one-time passwords
WO2013123453A1 (en) 2012-02-16 2013-08-22 Master Lock Company Data storage devices, systems, and methods
EP3103084A4 (en) 2014-02-04 2016-12-14 Visa Int Service Ass CHECKING TOKEN USING LIMITED-USE CERTIFICATES
US9654463B2 (en) * 2014-05-20 2017-05-16 Airwatch Llc Application specific certificate management
US9450760B2 (en) * 2014-07-31 2016-09-20 Nok Nok Labs, Inc. System and method for authenticating a client to a device
CN106487743B (zh) * 2015-08-25 2020-02-21 阿里巴巴集团控股有限公司 用于支持多用户集群身份验证的方法和设备
US10326733B2 (en) 2015-12-30 2019-06-18 Symantec Corporation Systems and methods for facilitating single sign-on for multiple devices

Also Published As

Publication number Publication date
CN115208559A (zh) 2022-10-18
US20220329577A1 (en) 2022-10-13
IL291811A (en) 2022-11-01
EP4075725A1 (en) 2022-10-19

Similar Documents

Publication Publication Date Title
US11606352B2 (en) Time-based one time password (TOTP) for network authentication
US11223614B2 (en) Single sign on with multiple authentication factors
US8392702B2 (en) Token-based management system for PKI personalization process
US10523441B2 (en) Authentication of access request of a device and protecting confidential information
JP5695120B2 (ja) システム間シングルサインオン
US20130219473A1 (en) Controlling access
US20100268942A1 (en) Systems and Methods for Using Cryptographic Keys
US20110179284A1 (en) Information processing apparatus and information managing method
JP2009519557A (ja) 資源が限られている装置におけるオフライン認証方法
JPWO2008035413A1 (ja) 情報処理装置および情報管理方法
Fugkeaw Achieving decentralized and dynamic SSO-identity access management system for multi-application outsourced in cloud
US11310343B2 (en) User and user device registration and authentication
Rountree Security for Microsoft Windows system administrators: introduction to key information security concepts
US11764979B2 (en) Customer-controlled authentication
US20220329577A1 (en) Two-Factor Authentication to Authenticate Users in Unconnected Devices
US11461451B2 (en) Document signing system for mobile devices
JP2004140636A (ja) 電子文書の署名委任システム、署名委任サーバ及び署名委任プログラム
US20220353073A1 (en) Method for authenticating an end-user account, method for single authenticating within a cluster of hsm, and method for implementing access control
CN114978771B (zh) 一种基于区块链技术的数据安全共享方法及系统
Akhras BACHELOR PAPER

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20250130

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20250210