JP6307593B2 - 必要とされる認証保証レベルを達成するための多要素認証 - Google Patents
必要とされる認証保証レベルを達成するための多要素認証 Download PDFInfo
- Publication number
- JP6307593B2 JP6307593B2 JP2016510810A JP2016510810A JP6307593B2 JP 6307593 B2 JP6307593 B2 JP 6307593B2 JP 2016510810 A JP2016510810 A JP 2016510810A JP 2016510810 A JP2016510810 A JP 2016510810A JP 6307593 B2 JP6307593 B2 JP 6307593B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- user
- factor
- mfas
- assurance
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 claims description 91
- 230000004044 response Effects 0.000 claims description 46
- 238000004891 communication Methods 0.000 claims description 39
- 230000006870 function Effects 0.000 description 61
- 238000010586 diagram Methods 0.000 description 38
- 230000008569 process Effects 0.000 description 35
- 238000013507 mapping Methods 0.000 description 26
- 239000003795 chemical substances by application Substances 0.000 description 25
- 238000005516 engineering process Methods 0.000 description 22
- 230000000694 effects Effects 0.000 description 15
- 230000007246 mechanism Effects 0.000 description 13
- 230000001960 triggered effect Effects 0.000 description 12
- 230000003993 interaction Effects 0.000 description 7
- 238000007726 management method Methods 0.000 description 7
- 238000012545 processing Methods 0.000 description 7
- 230000008901 benefit Effects 0.000 description 6
- 230000003068 static effect Effects 0.000 description 6
- 230000032258 transport Effects 0.000 description 6
- 125000002066 L-histidyl group Chemical group [H]N1C([H])=NC(C([H])([H])[C@](C(=O)[*])([H])N([H])[H])=C1[H] 0.000 description 5
- 230000006399 behavior Effects 0.000 description 4
- 238000012790 confirmation Methods 0.000 description 4
- 241000760358 Enodes Species 0.000 description 3
- 230000009471 action Effects 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 230000006855 networking Effects 0.000 description 3
- 230000008520 organization Effects 0.000 description 3
- 230000002093 peripheral effect Effects 0.000 description 3
- 238000003860 storage Methods 0.000 description 3
- 230000000153 supplemental effect Effects 0.000 description 3
- 230000001360 synchronised effect Effects 0.000 description 3
- 102100022887 GTP-binding nuclear protein Ran Human genes 0.000 description 2
- 230000003542 behavioural effect Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000027455 binding Effects 0.000 description 2
- 238000009739 binding Methods 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 2
- 230000010354 integration Effects 0.000 description 2
- 229910001416 lithium ion Inorganic materials 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 230000003278 mimic effect Effects 0.000 description 2
- QELJHCBNGDEXLD-UHFFFAOYSA-N nickel zinc Chemical compound [Ni].[Zn] QELJHCBNGDEXLD-UHFFFAOYSA-N 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000009467 reduction Effects 0.000 description 2
- 230000002829 reductive effect Effects 0.000 description 2
- 238000000926 separation method Methods 0.000 description 2
- 108020001568 subdomains Proteins 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 239000013598 vector Substances 0.000 description 2
- 102100031831 Adipogenesis regulatory factor Human genes 0.000 description 1
- 101000775473 Homo sapiens Adipogenesis regulatory factor Proteins 0.000 description 1
- 108010029660 Intrinsically Disordered Proteins Proteins 0.000 description 1
- 102100037845 Isocitrate dehydrogenase [NADP], mitochondrial Human genes 0.000 description 1
- HBBGRARXTFLTSG-UHFFFAOYSA-N Lithium ion Chemical compound [Li+] HBBGRARXTFLTSG-UHFFFAOYSA-N 0.000 description 1
- 229910005813 NiMH Inorganic materials 0.000 description 1
- PXHVJJICTQNCMI-UHFFFAOYSA-N Nickel Chemical compound [Ni] PXHVJJICTQNCMI-UHFFFAOYSA-N 0.000 description 1
- 241000700159 Rattus Species 0.000 description 1
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 230000002411 adverse Effects 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- OJIJEKBXJYRIBZ-UHFFFAOYSA-N cadmium nickel Chemical compound [Ni].[Cd] OJIJEKBXJYRIBZ-UHFFFAOYSA-N 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 239000012141 concentrate Substances 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005265 energy consumption Methods 0.000 description 1
- 238000013467 fragmentation Methods 0.000 description 1
- 238000006062 fragmentation reaction Methods 0.000 description 1
- 239000000446 fuel Substances 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000000670 limiting effect Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 229910000652 nickel hydride Inorganic materials 0.000 description 1
- 230000036961 partial effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000001824 photoionisation detection Methods 0.000 description 1
- 238000003825 pressing Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 150000003839 salts Chemical class 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000010561 standard procedure Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/082—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/121—Timestamp
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/67—Risk-dependent, e.g. selecting a security level depending on risk profiles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Telephonic Communication Services (AREA)
Description
関連出願の相互参照
本出願は、その両方の開示が全体として本明細書に記載されているかのように、参照により本明細書に組み込まれている、2013年4月26日に出願された米国特許仮出願第61/816,446号明細書、および、2013年6月7日に出願された米国特許仮出願第61/832,509号明細書の利益を主張する。
本出願は、その両方の開示が全体として本明細書に記載されているかのように、参照により本明細書に組み込まれている、2013年4月26日に出願された米国特許仮出願第61/816,446号明細書、および、2013年6月7日に出願された米国特許仮出願第61/832,509号明細書の利益を主張する。
クラウドにおけるサービスおよびコンテンツにアクセスするためのモバイルデバイスの消費者使用は、近年増加している。加えて、法人による「個人所有デバイス持ち込み(bring your own device)」(BYOD)への増加傾向があり、そこでは、従業員が自分の個人のモバイルデバイスを使用して、企業サービス/データにアクセスし、企業データを自分のデバイス上でローカルに記憶することができる。モバイル支払いサービスのためのモバイルデバイスの使用もまた増加しつつある。モバイルデバイスの増加された使用の上記の例は、他の使用とともに、セキュリティのための新しい要件につながっている。例えば、単なるパスワードよりも強力である認証の形式が、サービスにアクセスするために、およびセキュアな動作を処理するために、しばしば必要とされる。
2要素認証は、ユーザの認証を強化するために使用され得る。例示的な2要素認証は、第1の認証要素としてユーザのアイデンティティ(ID)およびパスワード、ならびに、第2の認証要素としてハードウェア/ソフトウェアベースのトークンに基づいている。ユーザIDおよびパスワードは、ユーザのプレゼンスを認証し、トークンは、その上にトークン機能性が存在するデバイスのユーザの所有を確認する。多要素認証は、2以上の要素を使用する任意の認証を指す。例示的な認証要素は、ユーザの対応するパスワード、トークン、およびバイオメトリクス/行動態様とともに、ユーザアイデンティティを含む。
多要素認証への既存の手法は、柔軟ではなく、ユーザフレンドリーではない。本明細書で説明される様々な実施形態は、認証の様々な要素を組み込むための汎用アーキテクチャを含む。様々な要素は、ユーザが何を知っているかに対応する要素(例えば、パスワード)、ユーザが何であるかに対応する要素(例えば、バイオメトリクス)、または、ユーザが何を有するかに対応する要素(デバイス認証)を含み得る。例えば、バイオメトリック認証は、パスワードベースの認証と組み合わされ得る。認証は、ネットワーク上またはユーザ機器(UE)上で実施され得る。いくつかの場合には、本明細書で説明される多要素認証は、例えばOpenID(登録商標)プロトコルなど、様々なプロトコルを活用する。
例示的な実施形態では、ワイヤレス送信/受信ユニット(WTRU)またはWTRUを操作するユーザのうちの少なくとも一方、例えば両方が認証される。例えばサービスプロバイダ(SP)またはアイデンティティプロバイダ(IdP)など、ネットワークエンティティは、SPによって提供される第1のサービスにアクセスするために、SPによって必要とされる第1の認証要件を判断する。認証要件は、必要とされる第1の保証レベルを示し得る。例示的な実施形態によれば、ネットワークエンティティは、認証のために利用可能である1または複数の能力を発見する。1または複数の能力は、WTRUまたはユーザのうちの少なくとも1つに関連付けられ得る。ネットワークエンティティは、発見された1または複数の能力のうちの少なくとも1つが、第1の認証要件、例えばSPによって必要とされる認証保証レベルを達成するために十分であるか否かを判断し得る。発見された能力のうちの少なくとも1つが十分であると判断される場合、1または複数の認証要素が選択される。1または複数の認証要素は、SPによって必要とされる第1の認証保証レベルを達成し得る。その後、選択された1または複数の認証要素のうちの少なくとも1つの実施がトリガされる。1または複数の認証要素の成功した実施において、WTRUおよびユーザは、第1のサービスにアクセスすることができる。
次の詳細な説明は、例示的な実施形態を例示するために提供され、本発明の範囲、適用可能性、または構成を限定するように意図されない。様々な変更が、本発明の趣旨および範囲から逸脱することなく、エレメントおよびステップの機能および配置において行われ得る。例えば、実施形態は、ユーザフレンドリーな多要素認証を提供するために、例えば最適化されたOpenIDプロトコルなど、連携された管理技術を使用して本明細書で説明されることがあるが、同様の実施形態は、他の認証エンティティおよび機能を使用して実装され得る。
多要素認証は、2以上の要素を使用する任意の認証を指す。例示的な要素は、ユーザのユーザ識別子(ID)、パスワード、トークン、およびバイオメトリクスを含む。本明細書で説明される様々な実施形態によれば、セキュアおよびユーザフレンドリーな多要素認証の実装および展開は、例えば、ユーザが何を知っているか、ユーザが何であるか、および、ユーザが何を有するかを含む、ユーザ認証の様々な態様を査定する複数の認証要素に基づく、ユーザまたはユーザのモバイルデバイスの認証を含み得る。
図1を参照すると、例示的なシステム100は、ネットワークを介して互いと通信し得る、ユーザ機器(UE)102と、リライングパーティ(RP)104と、OpenIDサーバ106とを含む。ユーザ107は、UE102を操作し得る。ユーザ機器(UE)という用語は、以下でさらに説明されるような、任意の適切なワイヤレス送信/受信ユニット(WTRU)を含むデバイスを指すことがあることは理解されよう。例えば、WTRUは、固定またはモバイル加入者ユニット、ページャ、携帯電話、携帯情報端末(PDA)、スマートフォン、ラップトップ、タブレットコンピュータ、パーソナルコンピュータ、ワイヤレスセンサ、家庭用電化製品などを指すことがある。OpenID(OID)サーバ106は、任意の適切なアイデンティティプロバイダによって実装されることがあり、したがって、OIDサーバ106は、アイデンティティプロバイダ106と呼ばれることがあることは理解されよう。さらに、RP104は、例えばウェブサービスなど、任意のサービスプロバイダ(SP)によって実装されることがあり、したがって、RP104はまた、SP104と呼ばれることもある。例示的なシステム100は、開示される主題の説明を容易にするために簡略化され、本開示の範囲を限定するように意図されないことは諒解されよう。他のデバイス、システム、および構成が、システム100などのシステムに加えて、またはその代わりに、本明細書で開示された実施形態を実装するために使用されてよく、すべてのそのような実施形態が、本開示の範囲内として企図される。
図示された実施形態によれば、OIDサーバ106は、認証の複数の要素を協調させるか、または容易にすることができ、したがって、OIDサーバ106はまた、多要素認証レイヤ(MFAL)106またはマスタIdP106と呼ばれることもあるが、簡単のために、MFAL106およびマスタIdP106は、本明細書で多要素認証サーバ(MFAS)106と呼ばれる。例えば、MFAS106は、ネットワーク側と総称されることがある、1または複数の他のアイデンティティプロバイダからの複数の認証要素を使用し得る。MFAS106はまた、クライアント側と呼ばれることがある、UE102からの認証要素をも使用し得る。したがって、MFALは、ネットワーク側またはクライアント側からの多要素認証を可能にし得る。図示されるように、UE102は、任意の適切なブラウザであり得る、OpenIDクライアント108を含み、したがって、OpenIDクライアント108はまた、ブラウザ108と呼ばれることもある。図示されるように、UE102は、バイオメトリッククライアント112を含み、それは、例えば指紋または目スキャンなど、バイオメトリック認証要素を受信および処理するように構成され得る。図示されたUE102は、加入者アイデンティティモジュール(SIM)114またはユニバーサル集積回路カード(UICC)114をさらに含み、それは、SIM/UICC114と呼ばれることがある。UE102は、多要素認証プロキシ(MFAP)110をさらに含んでよく、それは、認証の複数の要素を協調させる論理エンティティであり得る。例えば、MFAP110は、アプリケーションプログラミングインターフェース(API)を使用してアクセスされてよく、または、MFAP110は、ブラウザ108へのプラグインとして実装されてよい。MFAP110は、拡張された機能性を有してよく、マスタIdP106のプロキシとして働き得る。
MFAP110は、様々な機能を実施し得る。例えば、MFAP110は、ユーザ107およびUE102のプロファイルを維持し得る。プロファイルは、ユーザ107またはUE102の、例えば認証能力などの能力を含み得る。MFAP110は、RP104と認証要件をネゴシエートし得る。例として、認証要件は、必要とされる認証の特定の強度を表し得る、保証レベルを指すことがある。MFAP110は、ユーザ107および/またはUE102と、認証要件をさらにネゴシエートし得る。以下でさらに説明されるように、MFAP110は、保証レベルを認証の要素に変換し得る。詳細には、MFAP110は、保証レベルを、適切な認証方法またはプロトコルの粒度の細かいレベルに変換し得る。MFAP110は、UE102またはユーザ107のアイデンティティに基づいて、適切なアイデンティティプロバイダ(IdP)を識別し得る。さらに、MFAP110は、対応するIdPまたは対応するクライアント認証エージェント(AA)を呼び出すことによって、認証の要素をトリガし得る。例示的な実施形態では、MFAP110は、認証のためのポリシー決定ポイントである。MFAP110は、各認証要素のためのフレッシュネスレベルを維持し得る。本明細書で使用されるとき、認証要素に関連付けられるフレッシュネスレベルは、その認証要素を使用する認証が実施された時間を示す。例として、SP104は、認証要素のための一定のフレッシュネスレベルを必要とし得る。さらに例として、SP104は、認証が30分前未満に行われた場合、その認証が許容できるが、それが30分よりも前に行われた場合、その認証が許容できないと判断し得る。30分という時間は、例示的なものにすぎず、フレッシュネスレベル要件は、望まれるような任意の適切な時間を規定し得る。さらに図1を参照すると、MFAP110は、複数の認証要素の結果を統合して、アサーションを作成し得る。アサーションは、それぞれ、必要とされる保証レベルおよび必要とされるフレッシュネスレベルを満たすかまたは超える、保証レベルおよびフレッシュネスレベルを含み得る。フレッシュネスレベルは、複数の認証要素のアグリゲートフレッシュネスを表す、統合されたフレッシュネスレベルであり得る。様々な認証要素の結果は、認証サーバ(AS)によってMFAS106へ通信され得る。あるいは、結果は、ローカル認証エージェントによってMFAP110へ通信されてよく、MFAP110は、次いで、結果/アサーションをMFAS106へ通信し得る。統合されたフレッシュネスレベルの代わりに、またはそれに加えて、アサーションは、複数の認証要素の各々のためのフレッシュネスレベルを含み得る。MFAP110は、複数のデバイスを使用して、認証デバイスを実施し得る。例えば、ユーザ107は、多要素認証において使用される複数のデバイスの各々を所有または操作し得る。そのようなシナリオは、分離端末シナリオ(split-terminal scenario)と呼ばれることがある。MFAP110は、ポリシーレイヤと呼ばれることもある、ポリシーエンジンとともに働き、ポリシーがUE102上でローカルに記憶され得るように、または、ポリシーが、例えばMFAS106および/もしくはRP104など、ネットワークエンティティと同期され得るようにすることができる。
引き続き図1を参照すると、クライアント側のMFAP110は、マスタIdP106が実施する機能と比較して、同様および補完的な機能を実施し得る。例えば、オンデバイスベースの認証と呼ばれることがある、ユーザ107がUE102上で認証されるシナリオでは、MFAP106は、マスタIdP106がユーザ107を認証するとき、マスタIdP106が実施する機能のうちの少なくともいくつか、例えば機能のすべてを模倣し得る。MFAP110は、UE102またはブラウザ108のユーザインターフェースを介して、ユーザ107がパスワードベースの認証を開始することを要求し得る。同様に、UE102、および詳細にはSIM/UICC114が、例えば汎用ブートストラッピングアーキテクチャ(generic bootstrapping architecture)(GBA)認証など、デバイス認証を実施するためにトリガされ得る。バイオメトリッククライアント112は、バイオメトリック認証を実施するために呼び出され得る。デバイス側の認証クライアントの各々について、関連付けられた認証サービスがネットワーク側にあり得る。例えば、図示された実施形態によれば、バイオメトリッククライアント112は、マスタIdP106の一部であり得る、バイオメトリック認証サーバ116と通信し得る。あるいは、バイオメトリック認証サーバ116は、マスタIdP106とは別個であり得るが、マスタIdP106のバイオメトリックプロキシ機能118を介して、マスタIdP106と通信可能に結合され得る。パスワードサーバ120は、UE107と通信して、パスワードを使用して、ユーザ107を認証し得る。パスワードサーバ120は、マスタIdP106の一部であり得るか、または、あるいはマスタIdP106と通信可能に結合され得る。マスタIdP106は、ブートストラッピングサーバ機能(BSF)124と対話するネットワークアプリケーション機能(NAF)122を含み、または、あるいはそれと通信可能に結合され得る。マスタIdP106は、ホーム加入者サーバ(HSS)128と対話するAAAサーバ126をさらに含み、または、あるいはそれと通信可能に結合され得る。マスタIdP106は、例えば認証要件に基づいて、デバイス側で認証クライアントに関連付けられ得る様々な認証サービスを呼び出し得る。
例示的な実施形態によれば、1または複数の認証要素が認証された後、マスタIdP106は、アサーションを作成する。アサーションは、1または複数の認証要素によって達成される保証レベルを含み得る。アサーションは、1または複数の認証要素に関連付けられるフレッシュネス情報をさらに含み得る。アサーションは、ユーザ107およびUE102が、RP104によって提供されるサービスへのアクセスを受信し得るように、RP104に提示され得る。
さらに図1を全体的に参照すると、多要素認証は、SP104によって提供されるサービスに関連付けられるポリシーなど、ポリシーによって駆動され得る。本明細書で説明されるものは、連携されたアイデンティティ管理シナリオにおける、ポリシー駆動された多要素認証をサポートする方法である。例えば、SP104は、フェデレーションサービスを使用して、多要素認証を要求し、SPがエンドユーザ107との直接的なトラスト関係を確立する必要がないようにすることができる。さらに、例えばシステム100を使用して、SP104は、SP104が複数の認証要素のためのインフラストラクチャを有することなしに、多要素認証を要求することができる。
サービスにアクセスするために、ユーザ107は、そのサービスを提供するSP104の認証要件を満たさなければならないことがある。認証要件は、様々なサービスの認証ポリシーに基づき得る。例えば、SP104のポリシーは、SP104によって提供されるサービスがアクセスされる前に、認証が、認証強度と呼ばれることもある、予め判断された保証レベルを満たすことを必要とし得る。したがって、ポリシーは、保証レベルとして表現され得る。保証レベルは、認証の強度を示すことができ、高い保証レベルは、認証の複数の要素を必要とし得る。例示的な実施形態では、保証レベルは、それにおいてユーザが認証される保証のレベルを指す。保証レベルは、どの認証プロトコルが使用されるか、認証のための要素の数、認証要素のタイプ(例えば、バイオメトリック、デバイス、ユーザ)、認証のフレッシュネス、補足条件、またはそれらの任意の適切な組合せに基づき得る。保証レベルは、外部機関によって定義され得る。例示的な実施形態では、望まれる保証レベルは、例えば、米国標準技術局(NIST)、第3世代パートナーシッププロジェクト(3GPP)、ワールドワイドウェブコンソーシアム(W3C)などを含む標準団体など、様々な外部機関によって規定される。例えば、外部機関は、例えば、アプリケーション自体のセキュリティ要件、要求されたサービスをホストする会社のセキュリティポリシーなど、様々な基準に基づいて、保証レベルを規定し得る。さらに例として、SP104は、SP104が要求されたサービスをユーザ107に提供するために必要とする保証レベルを規定し得る。
いくつかの場合には、必要とされる保証のレベルは、要求されるサービスに関連付けられたリスクに基づく。例えば、要求されたサービスが、例えば銀行口座情報を送信および受信するバンキングサービスなど、機密性の高い情報の送信および受信を含む場合、必要とされる保証レベルは高くなり得る。高い保証レベルは、多要素認証を実施することによって満足され得る。さらに例として、要求されたサービスが小さいリスクに関連付けられる、例えば、個人情報へのアクセスを有していないサービスである場合、必要とされる保証レベルは低くなり得る。例えば、低い保証レベルは、パスワード認証によって満たされ得る。したがって、例えばSP104などのサービスプロバイダは、粒度の細かいサービスを提供して、認証の強度が、サービスに関連付けられたリスクにマッチされるようにし、それによって、ユーザにとっての過度の不都合を回避することができる。
例示的な実施形態では、SP104は、UE102およびユーザ107の認証能力を発見する。発見された認証能力に基づいて、SP104は、必要とされる保証のレベルを達成するために遂行されるべきである、1または複数の認証要素を選択および規定し得る。あるいは、マスタIdP106は、UE102および107の認証能力を発見し得る。例えば、SP104は、認証能力の発見をIdP106にデリゲートし得る。したがって、発見された認証能力に基づいて、IdP106は、必要とされる保証のレベルを達成するために遂行されるべきである、1または複数の認証要素を選択および規定し得る。SP104は、SP104が提供する、要求されたサービスにアクセスするユーザ107に関連付けられたリスクを示すことによって、能力の発見をIdP106にデリゲートし得る。SP104はまた、ユーザ107がSP104によって提供されるサービスにアクセスするために必要とされる保証のレベルを示し得る。例えば、保証レベル要件は、様々な手段を使用して、MFAS106と呼ばれることがある、マスタIdP106に通信され得る。例として、単にPAPE拡張と呼ばれることがある、OpenIDプロバイダ認証ポリシー(Provider Authentication Policy)(PAPE)拡張が実装され、RP104がPAPE拡張を使用して、保証レベル要件に関する任意の必要な詳細をMFAS106に提供するようにすることができる。一般にポリシーサーバと呼ばれることがある、MFAS106の例示的な実装では、MFAS106上のインテリジェントポリシーエンジンが実装され、情報を受信すると、MFAS106が、任意の所与の保証レベルに基づいて、必要とされるポリシーを動的に生成し、生成されたポリシーを実行することができるようになる。MFAS106によってポリシーを生成するために受信され得る例示的な情報は、例として、限定としてではなく提示される、ユーザ107のポリシー、SP104のポリシー、SP104によって提供される特定のサービスにアクセスするための要件などを含む。
さらに図1を参照すると、SP104などのサービスプロバイダは、様々なサービスにアクセスするための認証強度要件を有し得る。例えば、SP104によって提供されたサービスにアクセスするために、ユーザは、認証がSP104の認証要件を満足するように、認証される必要があり得る。いくつかの場合には、認証要件は、例えばOpenID 2.0またはOpenID Connectなどの連携されたアイデンティティ管理プロトコルを使用するシナリオなど、デリゲートされた認証シナリオを含み得る。本明細書で説明される様々な例示的な実施形態は、様々な連携されたアイデンティティプロトコル(例えば、SAML、OpenID 2.0、OpenID Connect)を使用して実装され得るので、特定のプロトコルのコンテキストにおいて説明される実施形態は、そのように限定されないことは理解されよう。例えば、多要素認証は、認証が連携されないように、および、サービスプロバイダ104が、連携されたアイデンティティプロバイダ104によって実施されるとして本明細書で説明されることがある機能を実施するように、様々な実施形態において実装され得る。以下で説明されるポリシー管理機能は、アイデンティティ管理システムに追加されて、ユーザフレンドリーで柔軟な多要素認証が可能にされ得る、プラグ可能なモジュールであり得る。
上述されたように、例えばRP104などのサービスプロバイダは、ユーザの認証が認証のために複数の要素を使用することを要求し得る。RP104は、ユーザ107またはユーザのデバイス(UE102)との直接的なトラスト関係を有する必要がなく、その理由は、RP104が、他のエンティティがユーザ107またはUE102を認証することを要求することができるからである。例えば、サービスプロバイダは、サービスがそれらのアプリケーション、サービス、またはサーバにおいて認証機能を実装する必要なしに、利用可能な認証要素の任意の組合せを使用する認証を要求することができる。したがって、認証要素を実装、維持、および管理すること、ならびに、ユーザおよび認証要素のエンロールメントの負担は、システム100によってハンドリングされてよく、RP104が、それ自体の多要素認証インフラストラクチャにおける投資なしに、多要素認証を使用することができるようになる。システム100などの例示的な認証システムは、異なる要件、異なるユーザ、および異なるデバイスタイプに応じる、柔軟な多要素認証解決策を提供することができる。さらに、本明細書で説明される例示的なシステムは、多要素認証をサービス(MFAaaS)として提供し得る。
いくつかの場合には、SP104は、ユーザ107によって、および/またはユーザの現在のデバイス(UE102)によって供給され得ない認証を要求することがある。例えば、要求された認証は、特定のデバイスによって実施され得ない、例えば指紋認証などの認証要素を必要とすることがある。そのような場合、SP104は、ユーザ/デバイスの能力に基づいて、サービスアクセスをネゴシエートし得る。例えば、SP104は、UE102および/またはアイデンティティプロバイダ106によって提供され得る認証強度に従って、IdP106およびUE102とネゴシエートして、アクセスされ得るサービスを調節し得る。
例として、ユーザ107が、例えばタブレットコンピュータであり得るUE107上で、バンキングアプリケーションを使用中であり、ユーザ107が取引を行うことを望む場合を考えられたい。この例ではRP104である銀行は、バイオメトリクスを使用してユーザ107を認証する必要があり得るが、ユーザのタブレットは、バイオメトリック認証をオファーしない。その場合、バンキングアプリケーションは、ユーザが自分の残高をチェックすることを可能にし得るが、別の口座に対するいかなる取引をも可能にしないようになる。したがって、SP104は、デバイスの認証能力に基づいて、限定されたアクセスを提供し得る。限定されたアクセスは、要求されたフルアクセス未満であり得るが、それは、アクセスなしよりも大きくなり得る。
本明細書で説明されるように、サービスは、複数のタイプ、例えば2つのタイプに分類され得る。例えば、特定の要素から認証を得る必要があるサービスなど、厳密および明瞭な要件を有するサービスは、本明細書でタイプ1サービスと呼ばれることがある。必要とされる認証強度のインディケーションと呼ばれることがある、保証のレベルを含む要件を有する例示的なサービスは、タイプ2サービスと呼ばれることがある。必要とされる認証強度は、様々な認証要素、または異なる認証要素の組合せに変換され得る。タイプ1サービスを提供するサービスプロバイダは、ユーザおよびデバイス能力を要求することがあり、特定の要素を使用する認証を要求することがある。タイプ1サービスを提供するサービスプロバイダは、それら自体で異なる要素からの認証結果を評価し得る。タイプ2サービスは、満たされる必要がある特定の保証のレベルを要求することができる。必要とされる保証のレベルは、ユーザおよびデバイスの認証能力に基づいて選択され得る、1または複数の認証要素を実施することによって満たされ得る。認証要素が実施された後、認証要素の各々からの結果を組み合わせる結果が、サービスプロバイダに返され得る。
図2A〜図2Bを参照すると、タイプ2サービスのための例示的な多要素認証200が示される。例示的な実施形態では、多要素認証200は、例えばIdP106など、システム100によって実施され得る。図1および図2A〜図2Bを参照すると、図示された実施形態によれば、RP104は、必要とされる認証保証レベル202を含む。認証保証レベル202は、ユーザ107およびUEがRP104によって提供される特定のサービスにアクセスできる前に、満たされなければならない認証のレベルを表し得る。204で、IdP106が、認証保証レベル202をRP104から取得する。UE102は、その認証能力206のインディケーションを含み得る。208で、IdP106が、UE102の認証能力206を取得または発見する。210で、図示された実施形態によれば、IdP106が、発見されたUEの認証能力206が認証保証レベル202を満たすことができるか否かを判断する。UEの認証能力206が必要とされる認証保証レベル202を満たすことができる場合、IdP106は、RP104のポリシー要件に基づいて、必要とされる認証保証レベル202を達成する1または複数の認証要素を選択し得る。必要とされる認証保証レベル202はまた、第1の認証保証レベル202と呼ばれることもある。例えば、212で、IdP106が、必要とされる認証要素のリストを抽出し得る。UEの認証能力206が必要とされる認証保証レベル202を満たすことができない場合、214で、IdP106が、RP104とネゴシエートして、第2の認証保証レベルを判断し得る。第2の認証保証レベルは、第2の認証保証レベルがUE102の能力に等しくなるように、UE102の認証能力に基づき得る。例として、第2の認証保証レベルは、第1の認証保証レベル未満であり得る。認証保証レベルがネゴシエートされた後、IdP106が、212で、RP104のポリシー要件に基づいて、必要とされる認証保証レベルを達成する1または複数の認証要素を選択し得る。
図2Bを参照すると、図示された実施形態によれば、214で、IdP106が、選択された認証要素のうちの1つが実施される必要があるか否かを判断する。認証要素のうちの1つが実施される必要がある場合、216で、認証要素がリストから選択される。認証要素がリストから選択された後、218で、RP104のポリシー要件に基づいて、認証要素に関連付けられたフレッシュネスレベルが十分であるか否かが判断される。認証要素が十分なフレッシュネスに関連付けられている場合、認証要素のための認証が実施される必要がなく、220で、以前の認証情報がアサーションに追加され得る。認証要素が十分なフレッシュネスに関連付けられておらず、認証要素の認証が満了しているかまたは古いことを意味する場合、222で、認証要素のための認証が実施され、情報がアサーションに追加され得る。224で、ロギング情報(例えば、認証の時間、再試行の回数など)などの関連付けられた情報を含む認証結果が、IdP106に記憶され得る。認証結果は、例えば様々な認証が実施された時間を示すタイムスタンプなど、関連付けられたフレッシュネス情報を含み得る。所与の認証結果が記憶された後、プロセスがステップ214へ戻ってよく、そこで、別の認証要素が実施される必要があるか否かが判断される。実施するべき他の認証要素がない場合、プロセスが226へ進んでよく、そこで、統合されたアサーションが作成される。統合されたアサーションは、1または複数の認証要素の各々の実施に関連付けられる1または複数の認証結果に基づき得る。統合されたアサーションは、統合された結果と呼ばれることがあり、RP104によって必要とされる認証保証レベル、例えば第1の認証保証レベルまたは第2の認証保証レベルを達成する。228で、統合されたアサーションがRP104へ送られ、それによって、UE102および/またはユーザ107がRP104によって提供されたサービスにアクセスすることが可能にされる。
図示されるように、図2A〜図2Bは、IdPにおける認証の実行のためのフローを図示する。他の代替形態は本開示の範囲内である。例えば、以下で説明されるように、認証要素はローカルで実施され得るか、または、それらは、いくつかの要素がUE102上でローカルに実施され、他のものがIdP106上で実施されるように、分離され得る。追加として、アサーションはまた、例示的な実施形態によれば、IdP106の関与なしに、ローカルで生成され、RP104に直接供給され得る。これは、例えば、すべての認証がUE102上でローカルに協調される場合、実装され得る。
図2A〜図2Bを全体的に参照すると、多要素認証200は、個々の認証要素の順次処理を図示するが、認証要素は、望まれるように、代替的に処理され、例えば同時に処理され得る。認証の順序は、例えば、各認証要素に関連付けられた強度によって判断され得る。例えば、最も強力な認証要素は、最も弱い認証要素の前に処理され得る。別の例として、ユーザ入力を必要としない認証要素は、ユーザ入力(例えば、指紋)を必要とする認証要素の前に処理され得る。各認証要素について、認証の結果およびフレッシュネス情報が記憶され得る。示されるように、必要とされる認証要素がIdP106によって処理された後、IdP106は、要素の各々の結果を表す、組み合わされたアサーションを作成することができる。
アサーションは、タイプ1サービスおよびタイプ2サービスをカバーし得る、柔軟なデータ構造であり得る。アサーションは、多要素認証中に生成され得る。アサーションは、デバイスに基づいてテンプレートを使用し得る。以下は、例として、および限定としてではなく提示される、アサーションタイプのいくつかの例であり、汎用認証保証レベルアサーション、アカウンタビリティ/否認防止のために使用されるいくつかの識別子(例えば、IMSI)のためのアサーション、すべての要素における完全なアサーション(例えば、チャレンジ−レスポンスペア、要素バインディングの暗号アサーションを含む)、または、連鎖したアサーション、もしくは一緒にバインドされる個々のアサーションの収集物である。一緒にバインドされるアサーションは、どのように個々のアサーションが互いとともにバインドされるかのインディケーションを含み得る。アサーションは、ユーザデバイス上でローカルに生成され得る。そのようなアサーションは、ネットワーク中で生成されたアサーションと組み合わされ得る。アサーションは、汎用保証レベル(サービスプロバイダにとって軽量)を示すか、または上記で説明されたようにより詳細であり得る。
図3A〜図3Cを参照すると、例示的な多要素認証300が図示される。図示された多要素認証300の処理は、2つの部分に分割される。図示された実施形態によれば、1つの部分は、デバイス上で実行され、したがって「UE中心処理」と呼ばれることがあり、1つの部分は、ネットワークを介してデバイスと通信し得る様々なネットワークエンティティによって実行され得る。この部分は、「ネットワーク中心処理」と呼ばれることがある。図示された認証300は、本明細書で説明される多要素アーキテクチャが使用されて、デバイス上のローカル機能へのアクセス、ならびにネットワークサービスへのアクセスが認証され、可能にされ得ることを示す。302で、ユーザまたはUE上のアプリケーションが、認証要求を発行し、それが、例えばリライングパーティなどのネットワークエンティティに向けてユーザおよび/またはUEを最終的に認証し得る。304で、UEが、ネットワーク接続が利用可能であるか否かを判断する。ネットワーク接続が利用可能ではない場合、図示されたプロセスが314へ進み、そこで、UE認証プロキシ、例えばMFAP110が、ローカル認証ポリシーが要求された認証のために構成されており、認証がローカルで遂行され得るようになるか否かを判断する。304で、ネットワーク接続があると判断される場合、プロセスがステップ306へ進み、そこで、UE、および詳細にはMFAP110が、ローカル認証を実施するように構成される。314で、特定のローカル認証ポリシーが利用可能である場合、UE(MFAP)が、318で、ポリシーをフェッチし得る。特定の認証ポリシーが利用可能ではない場合、デフォルトポリシーが、316でフェッチされ得る。
引き続き図3A〜図3Cを参照すると、336で、図示された実施形態によれば、認証ポリシーが、ローカルで利用可能な認証要素を使用して実行される。338で判断される、ネットワーク接続が存在する場合、UE、および詳細にはMFAP110が、340で署名付きトークンを生成し、それを、SPからのサービスにアクセスするためにSPへ送る。署名付きトークンは、ローカル認証が成功であるか不成功であるかを示す。338で、ネットワーク接続が利用不可能である場合、UE/MFAPが、342で、成功したローカル認証についてチェックする。例えば、(例えば、336で)成功したローカル認証があった場合、344で、アクセスがデバイスリソースに対して許可され得る。ローカルデバイスリソースは、UE上で実行するアプリケーションを含み得る。例示的な実施形態によれば、ローカル認証が成功しなかった場合、346で、UEまたはUE上でホストされたリソースへのアクセスが不可能にされ得る。306で、ネットワーク側認証が可能であると判断される場合、308で、特定の認証ポリシーがルックアップされる。308で、特定の認証ポリシーがUE上で利用可能であるか否かが判断される。それが利用可能である場合、プロセスがステップ312へ進み、そこで、特定のSPに関連付けられ得る、特定のポリシーがフェッチされる。308で、ポリシーが利用不可能であると判断される場合、310で、ポリシープロビジョニングプロトコルランが、UE/MFAPとネットワーク側IdP(例えば、MFAS106)との間で試みられる。308および310のステップは、1または複数回、繰り返され得る。SPに関連付けられ得る認証ポリシーを受信またはフェッチした後、320で、様々なネットワーク側およびローカル認証要件が区切られる。322で、ローカル認証要素のみがSPによって必要とされるか否かが判断される。ローカル認証要素のみが必要とされる場合、図示された実施形態によれば、プロセスが324へ進み、そこで、ローカル要素が、336で使用された機能と実質的に同一であり得る機能によって実行される。326で、トークンチェーンが準備され得る。トークンチェーンは、ローカルで実行された要素にわたるアサーションを含有し得る。
さらに図3A〜図3Cを参照すると、図示された実施形態によれば、350で、ネットワーク支援認証が、SPによって提供される、要求されたサービスにアクセスするために必要とされるか否かが判断される。ネットワーク支援認証が必要である場合、プロセスがステップ352へ進んでよく、そこで、ローカル要素にわたるアサーションを含有する署名付きトークンが、必要とされるネットワーク支援要素の実行のために、ネットワークIdP/MFASへ送られる。ネットワーク支援要素が必要とされない場合、354で、署名付きトークンがSPへ送られ、356で、認証が成功裏に終了する。322で、SPの特定のポリシー要件により、ローカル認証が適用可能ではないと判断された場合、または、350で、ローカル認証要素(複数可)に加えて、ネットワーク支援認証が必要とされると判断された場合、328で、ネットワーク認証要素が、328/330で判断される。332で、ネットワーク認証要素がイニシエートおよび実行される。ステップ332などのステップは、例えばMFAS106およびMFAP110など、1もしくは複数のネットワークエンティティ、ならびに/または、本明細書で説明される1もしくは複数のサードパーティ認証サーバ(例えば、MNO、UICCなど)の間の対話を伴い得ることに留意されたい。334で、図示された実施形態によれば、ローカル認証アサーションを既に含有し得る、アサーショントークンチェーンが、実行された1または複数のネットワーク認証要素に対応するアサーションを追加することによって、補正される。したがって、一般に組み合わされたまたは統合されたアサーションと呼ばれることがある、完全なトークンチェーンが、348および354で、UEを介してSP/RPへ送られ、それが356で認証プロセスを終了する。
本明細書で説明されるように、UE102などのデバイスの認証容量が発見され得る。発見され得る認証能力の例は、以下を実施するための能力を含み、すなわち、(例えば、AKA、GBA、もしくはEAP−SIMを使用して)モバイルネットワークによってサポートされる認証などのUlCCベースの認証、例えばSMSを介して送られるOTPなど、2次チャネルを使用する認証、バイオメトリックリーダおよび関連付けられたバックエンドサービスを使用するバイオメトリック認証、インターネットIdP(例えば、電子メールアドレス/パスワード)とともに使用されるユーザ名/パスワードを使用する認証、暗号トークン(例えば、政府によって発行された電子アイデンティティカードのNFCチップ)を使用する認証、ユーザ行動解析学を使用する認証、または、ユーザ/UEと、例えばIdPなどの認証エンドポイントとの間で動作するチャレンジ/レスポンス機構を使用する認証である。
認証機能と呼ばれることもある、認証能力は、SPまたはIdPによって検出され得る。認証能力は、特定の認証要素を使用する認証を実施できることを指すことがある。したがって、ユーザまたはデバイスの認証要素がSPまたはIdPによって検出され得るとも言われ得る。一実施形態では、認証能力が検出されるとき、各能力と単一のユーザとの間のセキュアな関連付けが、SPまたはIdPにおいて維持される。このセキュアな関連付けは、例えば後で、特定のSPによって必要とされ得る、ユーザおよび特定の認証プロトコルに対応する保証レベルの確立を可能にし得る。さらに、認証要素が検出されるとき、各認証要素に対応する識別子は、ユーザアイデンティティまたはUEの識別子に関連付けられてよく、認証要素とユーザまたはUEとの関連付けは、ユーザ認証データベースに記憶され得る。関連付けを記憶することは、IdPとは無関係の異なるパーティによる様々な認証要素の実施を協調させることを助け得る。例えば、指紋が、あるパーティによって認証されてよく、パスワードが、別のパーティによって認証されてよい。ユーザ認証データベース(DB)は、MFAS106において存在し得る。
いくつかの場合には、1または複数の認証要素は、デバイスの製造時にデバイスアーキテクチャに組み込まれる。他の場合には、認証要素は、ソフトウェア機能である。そのような機能は、デバイスが購入されるときにプリロードされ得るか、またはデバイスの購入後にユーザによってロードされ得る。本明細書で使用される他の認証要素は、上記の組合せであり得る。したがって、認証の要素が、プラットフォーム上で実装および実行されるときに機能のセキュリティを考慮に入れて、外部オーセンティケータが認証要素の実施における保証または信頼の全体的なレベルを査定することを可能にするようにすることが、重要であることが、本明細書で認識される。例えば、デバイスは、指紋認証能力をオファーし得るが、指紋ベースの認証の実施の周囲のセキュリティが、デバイスセキュリティアーキテクチャ観点から弱い(強力ではない)場合、保証または信頼のレベルが変調され得る。例示のための例として、Apple(登録商標) iPhone(登録商標) 5Sは、指紋の取り込みから認証までのすべての機能がセキュアな方法で遂行され、メインプロセッサにとって可視ではない、指紋認証能力を有する。例示のためのさらなる例として、異なるタイプの電話デバイス(例えば、Samsung(登録商標) S5)もまた、指紋認証能力を所有し得るが、異なるものの指紋認証能力は、認証を実施するためにソフトウェアおよびハードウェアを用いて実装され得る。ソフトウェアが十分に保護されない場合、例えば、後者のプロセッサにおける保証または信頼のレベルは、Apple iPhone 5S未満であると見なされ得る。上記の例は、すべての認証能力が、それらが同じ要素(例えば、指紋)に依拠する場合でも、セキュリティ観点から同じであると見なされるべきであるとは限らないことを示す。上記の例は、両方のデバイス上で実施される特定の要素が同じタイプである場合でも、保証のレベルは、特定の認証要素についてデバイスごとに変動し得ることをさらに示す。
したがって、デバイスによってサポートされる認証要素のタイプのみでなく、認証の実施の周囲のセキュリティをもセキュアに確かめることが、重要であり得る。様々な例示的な実施形態によれば、これは、デバイスの固有の不変の識別子から始める発見プロトコルによって査定され得る。追加の情報は、トラステッドサードパーティを通して、識別子から、寄せ集められ得る。例えば、あるパーティは、独立した、トラストできる認定会社(certification house)からデバイスのための認定を取得した、デバイスのメーカーであり得る。同様に、デバイスのソフトウェア態様もまた、プラットフォーム上のソフトウェア構成要素のセキュリティと、それらの認定のレベルとを査定することを通して、査定され得る。この情報(例えば、ハードウェアおよびソフトウェア認定)は、デバイスの証明とともに含まれ得る。したがって、デバイスのプラットフォームの全体のセキュリティ状態が確かめられ得る。詳細には、例えば、デバイスの認証能力の査定が、トラストできる方法で集められて、デバイスがデバイス上で利用可能である認証の様々な要素を使用することによって達成することができる、認証保証レベルの査定が可能にされ得る。
再び図1を参照すると、デバイスまたはユーザ、例えばUE102またはユーザ107の1または複数の認証能力を発見することは、様々な例示的な実施形態によれば、セキュアに行われる。例えば、ユーザ107は、UE102を使用して、IdP106のウェブサイトを閲覧し得る。IdP106は、ユーザおよびデバイスをエンロールする、MFAS106を含み得る。セキュアチャネルが、成功裏に遂行された認証に基づいて、ユーザ107とMFAS106との間で確立される。例として、電子メールが、自分のIdP106識別子である、ユーザの電子メールアドレスへ送られ得る。電子メールは、ソフトウェアをMFAS106からUE102へ、または複数のデバイスへダウンロードするためのリンクを含有し得る。ユーザによってダウンロードされたこのソフトウェアは、MFAP110と呼ばれる、MFAS106のローカルプロキシとして作用し得る。したがって、MFAP110には、ユーザのIdPアイデンティティが備えられる。
MFAP110は、様々なローカルインターフェースとAPIとを使用して、UE102上で利用可能である認証能力、例えば認証プロトコルを判断し得る。MFAP110は、トラストできる方法で、認証能力(機能性)をさらに判断し得る。認証能力はまた、トラストできるサードパーティにとって情報が追跡可能であるように、MFAS106によって発見可能でもあり得る。例えば、UE102の認証能力は、UE102の製造中に認定され、永続的な不変のデバイスアイデンティティにバインドされ、したがって、認定された認証能力に対応する特定の認証を実施することにおいて、外部からアクセス可能な保証のレベルを提供し得る。認証の要素の少なくともいくつか、例えばすべてが確かめられるかまたは発見されると、MFAS106は、認証能力およびポリシーをMFAP110へプッシュし得る。
例示的な実施形態によれば、いくつかの場合には、MFAS106は、認証容量に関連付けられた特定の識別子を自律的に判断し得る。例えば、MFAS106は、UE102のアイデンティティ(ID)のためのIMSIを判断し得る。いくつかの場合には、MFAS106は、いくつかの識別子を判断することができないことがある。そのような場合、MFAS106は、ユーザ107に識別子(複数可)を促し得る。識別子は、サポートされた認証能力に対応する、例えばバックエンドサーバのアドレス情報など、任意の他の必要とされる特性とともに収集され得る。ユーザレコードは、例えば、MFAS106によって記憶され得る。ユーザレコードは、ユーザ107および/またはUE102に対応する様々な認証能力のための収集された識別子からなり得る。ユーザレコードは、MFAS106によって収集された補足データをさらに含み得る。
さらに図1を全体的に参照すると、UE102(またはユーザ107)と、ローカルであるかまたはネットワーク中にある、認証エンドポイントと総称されることがある、認証を実施する様々なエンティティとの間で、多要素認証の実行を可能にするために、トリガメッセージが認証エンドポイントへ送られる。各認証要素のためのトリガメッセージは、多要素認証における様々な段階で送られ得る。
いくつかの場合には、トリガメッセージのターゲットは、UE102などのモバイルデバイスである。多要素認証がOpenIDに基づく例示的なシナリオでは、UE102の方へ向けられる、OpenIDサーバ106と呼ばれることがある、IdP106から来るHTTP REDIRECTメッセージがあり得る。リダイレクトメッセージは、典型的には、ブラウザ108を認証ウェブページへリダイレクトすることは認識されよう。例示的な実施形態では、ブラウザ108を「HTTP REDIRECT http://...」という形式のウェブアドレスへリダイレクトするリダイレクトメッセージの代わりに、異なるURI方式が使用されて、UE102による送信されたURIの異なるハンドリングが求められ得る。
別の実施形態では、様々なプロトコルが、連携されないかまたは連携され得る、多要素認証を遂行するために使用され得る。例えば、OpenIDは、1つのそのようなプロトコルである。SAMLもまた、多要素認証のあるサブセットを実施するために使用され得る。組み合わされた認証の結果およびアサーションが、例えばOpenID/OpenID Connectに基づいて、またはSAMLを介して、単一のアサーションを使用してトランスポートされ得る。あるいは、プロトコルの組合せが、認証およびアサーションをトランスポートするために使用され得る。
例示的な実施形態によれば、MFAP110の機能のうちの1つは、ユーザ107の認証(ユーザ認証)をサポートするUE102の調整されたフロントエンドをサポートすることである。UE102の調整されたフロントエンドは、認証の保証を達成するために使用される必要がある認証要素の様々な組合せをサポートし得る。そのようなフロントエンドは、認証フロントエンド(AFE)によって生成され得る。
AFEは、UE102上で認証フローを導くために使用されるユーザフロントエンドを、動的に生成し得る。ユーザフロントエンドは、例えばHTML5またはJavascript(登録商標)など、様々なプロトコルを使用して生成され得る。フロントエンドは、自律的にAFEによって、またはUE102とのユーザ対話によって生成され得る。例えば、バイオメトリクス、パスワードなどの認証要素は、ユーザ対話を必要とし、組み込まれた確認を有し得る。あるいは、例えばGBAおよびEAP−SIMなど、デバイス認証のためのモバイルネットワークベースの要素は、ユーザ107がUE102と対話することなしに遂行され得る。アサーションおよび認証の、悪意のある、および隠された作成から保護するために、認証要素は、ユーザによって少なくとも確認され得る。ユーザ対話は、認証のためのユーザに関係付けられた様々なクレデンシャルの使用を可能にするための、ユーザ107からのパーミッションを受信することを含み得る。クレデンシャルは、デバイス情報、または他の記憶された情報を含み得る。例えば、ユーザパーミッションは、認証要素がトリガされる前にユーザ107が押す必要がある1または複数のボタンを介して、UE102によって受信され得る。ディスプレイなど、UE102のユーザインターフェースは、各認証が完了した後、カラー(例えば、緑色)インディケーションなど、インディケーションをレンダリングすることができる。
様々な例示的な実施形態では、ユーザ107は、使用されている要素についての情報を示す確認画面を提示される。確認画面は、そのために認証要素が使用されているウェブページまたはサービスをさらに表示し得る。ユーザ107は、自分の認証情報が使用され得ることを検証するための機会を有し得る。ユーザインターフェースは、ユーザ、デバイス、サービス、または認証に基づいて、それらが調整されるように、動的に生成され得る。この動的なユーザインターフェース生成がサービスに負担をかけないために、それは、以下で説明されるように、AFEにオフロードされ得る。
AFEによって生成され得るフロントエンドは、APIを介してMFAP110にインターフェースしてよく、MFAP110は、それらの特定のAPIを介して、様々な認証要素とインターフェースする。AFEはまた、デバイスコネクタを介してMFAP110と通信して、MFAP110がフロントエンドを生成すること、および多要素認証をローカルで実行することを可能にし得る。同様の機構もまた、MFAS106との認証の協調を容易にし得る。
以下でさらに説明されるように、認証要素は、ネットワークポリシーエンティティとともにロギングおよび同期され得る。ローカルログと呼ばれることがある、UE102上で記憶されたログは、例えば、MFAS106への接続性のとき、使用され得る。ローカルログは、接続性が利用可能になるとき、MFAS106との同期を可能にし得る。ログは、セッションハンドル、遂行された特定の認証のインディケーション、認証に関連付けられた時間、再試行の数、認証の成果などを含み得る。
いくつかの場合には、各個々の認証要素のフレッシュネスがチェックされて、認証プロセスを繰り返すことによってユーザ107に負担をかけることなしに、以前の認証結果が再使用され得るか否かが判断される。さらに、認証要求は、認証要素がフレッシュであるときに低減されてよく、それが、ネットワーク認証サーバへの負担を減少させ得る。一実施形態では、MFAS106は、フレッシュである認証要素に基づいて、望まれる保証レベルのためのアサーションを生成することになる。例示的なシナリオでは、多要素認証の個々の要素がフレッシュである場合、複数の認証された結果のうちの少なくとも1つ、例えばすべてが再使用され得る。例えば、MFAS106は、要素のうちのいくつかが古くなった後、より低い保証レベルにアサートすることができる。そのようなより低いレベルは、サービスにアクセスするために十分であり得、したがって、MFAS106は、新しい認証が実施されることをトリガする必要がないように、より低い保証レベルにアサートし得る。代替的実施形態では、MFAP110は、フレッシュネスを制御する。例えば、ユーザ107が、サービスアクセスとは無関係に(例えば、バイオメトリクスを使用して)UE102に対してローカルで認証するとき、UE102を用いたユーザ認証のフレッシュネスは、ユーザ107がUE102を用いて認証するたびに更新されてよく、更新がMFAS106にシグナリングされ得る。各アサーションは、アサーションとのフレッシュネス情報関連付けを含有し得る。
再び図1を参照すると、上記で説明されたように、SP104は、UE102およびユーザ107がSP104によって提供されるサービスにアクセスすることが可能にされる前に、認証を必要とし得る。SP104は、例えば会社ポリシーまたは法的要件に従って、ユーザ認証のための要件を設定し得る。必要とされるものはまた、アクセスされているデータまたはサービスのタイプにも基づき得る。例示的な実施形態では、サービスポリシーに従って多要素認証を可能にするために、多要素認証を遂行することにおける保証レベルおよびポリシーが、例えばRP104、UE102、およびIdP106などのエンティティ間でトランスポートされる。例えば、RP104は、RP104と、OpenIDアイデンティティプロバイダ(OP)であり得る、IdP106との間の関連付け中に、認証要件を通信してよく、したがって、IdP106はまた、OP106と呼ばれることもある。OP106は、例えば、Yadisに基づく発見プロトコルにおいて、サポートされた認証保証レベルを広告し得る。
OpenIDプロトコルランにおいてポリシー要件を出すための例示的な方法は、RP104がPAPEを使用することである。PAPEは、多要素認証および要素フレッシュネスを要求するために使用され得る総称語を含有する。PAPEは、カスタム保証レベル指定をトランスポートするために、拡張を定義するための機構をさらに含む。
MFAS106は、サービスプロバイダが、認証が実施される前に認証要素を通信するか、または認証要素をネゴシエートするための、インターフェースを含み得る。例えば、既存のOpenID 2.0またはOpenID Connect発見プロトコルに一体化され得る、例示的な発見プロトコルを使用して、SP104は、ユーザ107など、特定のユーザにとって利用可能である認証要素のリストを判断し得る。例示的な実施形態では、MFAS106の一部であり得る、保証レベルデータベースおよび論理機能は、サービスのリスク要件を、対応するフレッシュネス要件をもつ認証の要素に変換する。あるいは、サービスは、供給されたUE102の認証能力に基づいて、認証要素のセットを直接規定し得る。例えば、ユーザ107のための構成およびアイデンティティマッピングに応じて、MFAS106は、ユーザ107に関連付けられたすべてのデバイスと、ユーザ107に関連付けられたすべての要素とのリストを返すことができる。あるいは、MFAS106は、ユーザ107が使用中である現在のデバイス102のみに関連付けられる認証要素のリストを返すことができる。認証能力のリストに基づいて、SP104は、好適な認証要素、または複数の要素の組合せを選択し、選択された1または複数の要素に従って、認証を要求し得る。
さらに図1を全体的に参照すると、別の例示的なシナリオでは、SP104は、例えば、異なるユーザ/UEによってサポートされる認証の要素を確かめる負担を回避するために、必要とされるリスクプロファイルにマッチする保証レベルに、UE/ユーザが認証されることを要求し得る。例えば、SP104は、UE102がサービスにアクセスするためにそれが必要とする保証の最小(および、また、望まれる場合は最大)レベルを要求することができる。MFAS106は、次いで、認証のために使用するために、認証要素のリストをコンパイルし得る。リストは、ユーザ107がこの保証レベルを達成するための最良適合または使用しやすさに基づいて、コンパイルされ得る。
MFAS106は、異なる特性を考慮に入れて、認証要素のリストを判断することができる。例示的なパラメータは、認証のコスト、ユーザ選好、ユーザに対する最小の摩擦、プライバシー要件、認証プロセスのセキュリティ、デバイス上のエネルギー消費、ネットワークおよびバックエンド上の帯域幅負荷、法的条件、既存の認証のフレッシュネスおよび再使用可能性などを含む。これらの例示的な特性の査定に基づいて、MFAS106は、望まれる保証のレベルを達成するために使用され得る要素のリストを導出することができる。
上述されたように、特定の認証要素がSP104によって必要とされ得る。異なるサービスまたはURLドメインでは、サービスは、異なる保証レベルに関連付けられ得る。MFAS106において、例えば、静的なURLポリシーが、異なる認証要素に対してマッチされてよく、それらの認証要素が、異なるURLドメインのために呼び出され得る。
一実施形態では、MFAS106において、認証要素に対するURLサブストリングのマッピングが、静的なサービスプロバイダURLのための対応する認証要素を実行するために使用される。追加として、特定のサービスプロバイダのサブドメインもまた、異なる認証要件を要求し得る。例として、Amazon(登録商標)チェックアウトシナリオでは、URLサブストリングAmazon/cartが、必要とされる保証レベルであり得る認証要件に対してマッピングされる。「openid.return_to」がこのサブストリングを含有する場合、規定された認証要素が呼び出される。言い換えれば、RPは、RPから要求されているサービスに基づいて、対応する(例えば、より粒度の細かい)保証レベル要件を有し得る。高リスク取引は、より低いリスク取引と比較して、より高い保証レベルを必要とし得る。したがって、保証レベル要件は、RPに直接結び付かないことがあるが、代わりに、RPによってオファーされているサービスに結び付くことがある。再び図1を参照すると、望まれる認証要件は、RP104によってOP106へ動的に中継され得る。選択された認証要素に基づく認証は、MFAS106によって実施されてよく、選択された認証要素を含む認証の結果は、MFAS106からRP104へ通信され得る。
認証要素をトリガするための例示的なメッセージは、soid.scheme://<method>.<factor>/<factor−data>であり、ただし、「soid.scheme」は、認証要素をハンドリングするUE102における汎用機能を求めるためのURIスキーマである。この内部エンティティのメインタスクは、UE102内で要素認証プロセスをディスパッチすることである。例えば、ディスパッチは、認証を実施するための、UE102内の適切な機能へのコールを含み得る。異なるURIスキーマをハンドリングするための機能性は、UE102のプラットフォームオペレーティングシステム中に含有され得ることは諒解されよう。ディスパッチするために、URIのURL部分中のロケーション情報が使用され得る。例えば、これは、上記で示されたように階層的に行われてよく、ただし、<method>は、バイオメトリック要素、または、SIMカード114などのセキュアエレメント上に存在する要素など、共通の特質をもつ認証要素のサブセットを制御する、ハンドラ機能を示す。<factor>キーは、次に、認証されるべき実際の要素を示し得る。<factor−data>は、UE102上の認証機能がそのタスクを実施するために必要な任意のデータをトランスポートするために使用され得る。例えば、それは、要素がチャレンジレスポンス認証であるとき、チャレンジ値を保持し得る。<factor−data>の例は、例として、限定なしに提示される、以下を含む。
上記の「soid.scheme://soid.local/?<OpenID−parameter−set>」は、要素が、ローカルOPと呼ばれることがある、UE102上にロケートされたOpenIDプロバイダエンティティであることを示すことは諒解されよう。上記でリストされた最後の例は、パスワードがユーザ107からローカルで要求される、異なる方式である。ローカル認証エージェントは、例えば、ユーザ107によって提供されたパスワードをハッシングし、それを、saltパラメータとともに標準の暗号方法(例えば、HMACを使用する)と組み合わせ、それを、slated−digestパラメータと比較することによって、この場合はユーザ107を認証し得る。この方法は、HTTP−DIGEST認証に少なくとも部分的に類似し得る。
上記で説明されたトリガメッセージの例示的な拡張は、以下の例、すなわち、soid.scheme://soid.multi/?<multi−factor−policy>によって与えられる。UE102上のローカルエンティティは、(「soid」キーによってコールされた)そのような認証要素要求をハンドリングすることができ、ローカルエンティティは、複数の認証要素をハンドリングすることができる下位構成要素を含み得る。その下位構成要素は、この例によれば、キー「multi」によってコールされる。単一認証要素のための任意の必要なデータと、追加として、単一要素のために必要とされるフレッシュネスなど、それらのジョイント実行におけるポリシーとが、付加されたパラメータセット中に含まれ得る。
あるいは、サーバからコールされるUEローカル要素認証は、ローカル認証クライアントをイニシエートするために、ウェブページ中に挿入されたカスタムJavaScriptコード、およびその中のカスタムAPIコールからコールされ得る。そのようなコールの例は、3GPP TR33.823に記載されている。
さらに図1を全体的に参照すると、システム100の分散された、および連携された性質のために、サービスプロバイダ、詳細にはSP104は、ユーザ107によって供給され得るよりも多くの要素、またはそれよりも強力な認証を要求し得る。達成可能な、または達成された認証強度が、サービス要件にマッチしない場合、SP104は、提示された認証アサーションが要求に従っていないので、アクセスを拒否することができ、または、SP104は、受信された認証アサーションに基づいて、サービス機能性を格下げすることができる。
一実施形態では、望まれる保証のレベルが、任意の組合せの認証要素によって到達され得ない場合、IdP106は、ネットワーク/UE/ユーザ支援機構が認証強度または保証レベルを向上させることを引き起こし得る。例えば、IdP106は、SP104との入札プロセスにおける対話型プロトコルを開始してよく、そこで、MFASは、所与のユーザ107およびデバイス102にとって合理的に到達可能である最高保証レベルで応答することができる。SP104は、次いで、新しい保証レベルでの認証を要求することができ、または、SP104は、サービスがより小さい保証とともにアクセスされ得るように、サービスオファーを格下げまたは変更する。あるいは、例えばチャレンジ−レスポンスプロトコルを実施することによって、より強力な形式の認証要素が生じて、最初に要求されたサービスがアクセスされることが可能にされ得る。
UE107またはユーザ102によって達成可能である認証保証レベルを発見することの一部として、MFAS106はまた、過去の認証要素のフレッシュネスを考慮に入れて、場合によっては以前の認証を再使用することもできる。フレッシュネス要件は、認証要素ごとに、およびサービスごとに異なり得る。ネゴシエーションの一部として、サービスプロバイダは、いくつかの認証要素が、少なくとも緩和されたフレッシュネス要件とともに必要とされる、「緩和された」ポリシーモードを示し得る。認証要素に応じてフレッシュネス要件を変動させることは、異なるレートで経時的に低下し得る、測定された認証要素に配慮する。
例えば行動またはバイオメトリック解析学を使用する、連続的な認証を実施するための能力が存在する、いくつかの場合には、MFAS106は、その能力をうまく利用し、その認証要素の測定された保証レベルを適切に利用し得る。連続的な認証は、侵入なしに、または最小の対話ありで、ユーザを認証することができるという利点を有する。
異なるサービスまたはURLドメインは、異なる保証レベルに関連付けられ得る。MFASにおいて、静的なURLポリシーが、異なる認証要素に対してマッチされてよく、それらの認証要素が、異なるURLドメインのために呼び出される。一実施形態では、MFAS106において、認証要素に対するURLサブストリングの保証レベルマッピングが、静的なサービスプロバイダURLのための対応する認証要素を実行するために使用される。追加として、特定のサービスプロバイダのサブドメインもまた、異なる認証要件を要求し得る。一例として、Amazonチェックアウトシナリオでは、URLサブストリングAmazon/cartが、必要とされる認証要件に対してマッピングされ得る。「openid.return_to」がこのサブストリングを含有する場合、規定された認証保証レベルに対応する認証要素が呼び出される。
望まれる保証レベルは、RP104によってOP106へ動的に中継され得る。通信された保証レベルに基づいて、要求するユーザ107のための必要とされる認証要素が、MFAS106によって実施され、様々な例示的な実施形態によれば、達成された保証レベル、および、実施された認証のさらなる情報が、RP104へ通信される。PAPE拡張は、様々な情報を通信するために使用され得る。PAPE拡張は、URLベースであり、OP106に、必要とされる保証レベルに関係付けられた情報を提供し得る。PAPEメッセージングは、適切な要求およびレスポンスメッセージングスキーマが一貫して使用されることを必要とし得る。
例示的な実施形態では、以下のパラメータが、RP104によるOpenID認証要求中に含まれる。
・openid.ns.pape
値:http://specs.openid.net/extensions/pape/1.0
openid.pape.preferred_auth_policies:ユーザ107を認証するときにOP106が満足するべきである認証ポリシーを表す、0またはそれ以上の認証ポリシーURI。複数のポリシーが要求される場合、OP106は、それらのうちのできる限り多くを満足するべきである。ポリシーが要求されない場合、RP104は、例えば認証年数など、他の情報に関心があり得る。このパラメータは、認証ポリシーURIの区切られたリストを提供する。例は以下を含む。
値:http://specs.openid.net/extensions/pape/1.0
openid.pape.preferred_auth_policies:ユーザ107を認証するときにOP106が満足するべきである認証ポリシーを表す、0またはそれ以上の認証ポリシーURI。複数のポリシーが要求される場合、OP106は、それらのうちのできる限り多くを満足するべきである。ポリシーが要求されない場合、RP104は、例えば認証年数など、他の情報に関心があり得る。このパラメータは、認証ポリシーURIの区切られたリストを提供する。例は以下を含む。
・openid.pape.auth_level.ns.<cust>:(オプション)これは、カスタム保証レベルのための名前空間を表す。保証レベルおよびそれらの名前空間は、国もしくは業界固有の標準団体、または他のグループもしくは個人など、様々なパーティによって定義される。このパラメータは、この保証レベルを表すURLを含む。例は以下を含む。
例示的な実施形態では、上記のフィールドは、MFAS106によって定義されるカスタム保証レベル標準を定義するために使用され得る。異なる認証要素へのマッピングを規定する、保証レベルのための、MFASにおいて定義された全体的なポリシーが、基準として使用され得る。
・openid.pape.preferred_auth_level_types:(オプション)RPが、その選好の順序で、レスポンスにおいて存在することを要求する、カスタム保証レベル名前空間のための名前空間エイリアスのリスト。このパラメータは、RPの選好の順序で、名前空間エイリアスのペースで区切られたリストを含む。一例は以下の通りである。
このカスタムフィールドは、MFASにおいて解釈され得る、このユーザのための必要とされる認証レベルを送るために使用されてよく、対応する認証要素が呼び出され得る。
リライングパーティの要求に対するレスポンスにおいて、以下のパラメータが、例示的な実施形態によれば、OpenID認証レスポンス中に含まれる。レスポンスパラメータは、認証レスポンスの署名中に含まれる。この拡張をサポートするOPは、リライングパーティによって要求されない場合でも、以下のパラメータを含み得る。レスポンスパラメータは、例示的な実施形態によれば、OpenIDプロバイダとのエンドユーザの現在のセッションを記述する。例示的なレスポンスパラメータは、例として、限定なしに提示される、以下を含む。
・openid.ns.pape
値:http://specs.openid.net/extensions/pape/1.0
・openid.pape.auth_policies:エンドユーザを認証するときにOPが満足したポリシーを表す、1または複数の認証ポリシーURI。OPがレスポンスにおいて他の情報を伝達することを希望するにもかかわらず、ポリシーが満たされなかった場合、例示的な実施形態によれば、このパラメータが、http://schemas.openid.net/pape/policies/2007/06/noneの値とともに含まれる。このパラメータは、例えば以下のように、認証ポリシーURIのスペースで区切られたリストを提供し得る。
値:http://specs.openid.net/extensions/pape/1.0
・openid.pape.auth_policies:エンドユーザを認証するときにOPが満足したポリシーを表す、1または複数の認証ポリシーURI。OPがレスポンスにおいて他の情報を伝達することを希望するにもかかわらず、ポリシーが満たされなかった場合、例示的な実施形態によれば、このパラメータが、http://schemas.openid.net/pape/policies/2007/06/noneの値とともに含まれる。このパラメータは、例えば以下のように、認証ポリシーURIのスペースで区切られたリストを提供し得る。
・openid.pape.auth_time:(オプション)エンドユーザが、アサートされたポリシーに適合する方法でOPに対してアクティブに認証したときの、直近のタイムスタンプ。例示的な実施形態によれば、時間は、「Z」で示されるUTC時間帯でフォーマットされる。一例によれば、秒の小数部は含まれない。このパラメータの一例は、2005−05−15T17:11:51Zである。RPの要求が「openid.pape.max_auth_age」パラメータを含んでいた場合、例示的な実施形態によれば、OPは、「openid.pape.auth_time」をそのレスポンス中に含める。「openid.pape.max_auth_age」が要求されなかった場合、OPは、「openid.pape.auth_time」をそのレスポンス中に含めることを選定し得る。
・openid.pape.auth_level.ns.<cust>:(オプション)国もしくは業界固有の標準団体、または他のグループもしくは個人など、様々なパーティによって定義されたカスタム保証レベルのための名前空間。このパラメータは、この保証レベルを表すURLを提供し得る。例えば、以下の通りである。
・openid.pape.auth_level.<cust>:(オプション)エンドユーザを認証するときにOPによって採用された認証方法およびポリシーに対応する、上記の標準団体、グループ、または個人によって定義されるような保証レベル。カスタム保証レベル定義は、その名前空間内で表現される追加のサブパラメータ値を定義し得るが、簡単の理由のために、これは、可能な場合は回避され得る。このパラメータは、この保証レベルに従って定義されたストリングを提供し得る。例は以下を含む。
上記で説明されたPAPE拡張は、リライングパーティ104とMFAS106との間の通信を可能にし得る。openid4javaライブラリは、PAPE通信のために使用されるべきいくつかのクラスを提供する。それらのクラスは、必要とされた、および満足された保証レベルなどに関して、必要とされた情報を、OP106とリライングパーティ104との間で通信するために操作され得る。
上記で説明された動的な保証レベル機能性のために、MFAS106は、少なくともいくつか、例えばすべての、保証レベルのための可能なポリシーのマッピングを記憶し得る。例えば、保証レベルは、必要とされる数のネットワーク認証要素およびローカル認証要素に対してマッピングされ得る。MFAS106はまた、ユーザがそれらのデバイス能力に応じてそこから選定し得る、可能なネットワーク認証要素およびローカル認証要素のリストを維持し得る。ユーザ107は、登録プロセス中にポリシーまたは選好を規定することが可能にされ得る。MFAS106におけるポリシーの全体的なセット、ならびに、ユーザ107およびUE102の能力から、MFAS106は、それが認証するためにそこから選定することができるポリシーサブセットを作成し得る。
様々な例示的な実施形態によれば、保証レベルは、あるトラストできる機関によって定義されたユーザ真正性の保証のレベルの列挙を、認証プロトコルと、認証のフレッシュネスなどの補足条件とにマッピングする。望まれる保証レベルは、異なる外部機関によって決定され得る。いくつかの場合には、リライングパーティまたはサービスプロバイダは、要求されたサービスをユーザに提供するために必要とした保証レベルを判断する外部機関であり得る。外部機関は、異なるセットの基準に基づいて、これらの保証レベルを固定し得る。例示的な基準は、アプリケーションもしくはサービス自体のためのセキュリティ要件、または、要求されたサービスをホストする会社のセキュリティポリシーを含む。
望まれる保証レベルが、担う機関によって規定されると、例示的な実施形態によれば、望まれる認証を実施する必要がある、ユーザエージェントと総称されるユーザまたはUEが、そうするための能力を有するか否かが判断される。これを評価した後、「デバイスごとの認証マッピングポリシー」が、必要とされる保証レベルと問題のユーザ機器の能力とに基づいて生成され得る。マッピングポリシーは、様々な形式の認証要素のユーザ選好に基づいて、さらに生成され得る。例えば、所与のユーザは、チャレンジ−レスポンスベースの認証を許容しないことがある。さらに例として、所与のユーザは、パスワードベースの認証と比較して、バイオメトリック認証を選好することがある。
例えば、バンキングアプリケーションは、ベーキングアプリケーションによって提供された銀行口座へのフルアクセスのための、高い保証レベルおよび/またはバイオメトリック認証を要求し得る。所与のUEがバイオメトリックセキュリティ能力を提供しない場合、IdPは、RPとネゴシエートすることができる。例えば、IdPは、所与のUEの認証能力のうちの1つである、EAP−SIMデバイス認証をオファーすることができる。オファーに対するレスポンスにおいて、RPは、次いで、それが提供するサービスを格下げすることができる。例えば、銀行口座へのフルアクセスを提供する代わりに、RPは、取引額を限定するか、または、いくつかの取引タイプを制限し得る。あるいは、IdPは、チャレンジ−レスポンスプロトコルを実施して、ユーザにとっての不都合という犠牲を払って、保証レベルを望まれるレベルまで増大させ得る。それはユーザにとって不都合であり、その理由は、ユーザは、ユーザがさらに検証されるようにセキュリティ質問に答えなければならないことがあるからである(例えば、あなたの母の旧姓は何か? あなたの最初のペットの名前は何か? あなたはどこで生まれたか?など)。
保証レベルマッピングは、例示的な実施形態によれば、経時的に変化し得る。例えば、デバイスの認証能力は、機能が可能にされ、または不可能にされることに基づいて、ユーザ選好が変化することに基づいてなど、変化し得る。デバイスは、容量が変化するとき、以下で説明されるように、再エンロールされる必要があり得る。
多要素認証が終了すると、SPは、単一要素を使用する成功した認証(複数可)における単一のアサーション、または、保証レベルに従って組み合わされたアサーションを取得し得る。様々な実施形態によれば、そのようなアサーションを組み立て、トランスポートするための異なる方法がある。
署名付きアサーションを作成するための標準的な方法は、OpenID標準仕様によって規定される。それは、OpenIDプロバイダ(OP)エンティティと、ユーザの認証を要求する、リライングパーティ(RP)との間で、最初に共有キーを確立することからなる。このプロセスは、コールされた関連付けである。この場合、OPエンティティは、OPサービス機能(OPSF)とも呼ばれる、MFASシステムの一部であり、それは、認証要求がRPから受信されるとき、および、多要素認証を実行する前、共有キーを確立する。多要素認証ポリシーの成功した実行の後、MFASは、制御をOPSFエンティティに渡してよく、OPSFエンティティは、次いで、前述の共有キーを使用してOpenIDアサーションに署名する。アサーションは、標準仕様によれば、例えば文字のストリングまたはJSONウェブトークンなど、異なるフォーマットを有し得る。1つの例示的な実施形態では、アサーションはまた、例えば、実行された多要素認証の具体的な詳細、認証されたユーザアイデンティティ、または他のコンテキスト情報を表し得る、情報エレメントを表す様々なデータを含有する。有意味なアサーションをどのように組み立てるかのいくつかの例示的なオプションが、以下で詳述される。
PAPEが、保証レベルおよび/または必要とされる要素をシグナリングするために使用された、一実施形態では、次いで、ちょうどその情報が、OpenIDプロトコルランにおいて自動的に繰り越される。認証が実施された後、OpenIDプロバイダは、アサーションに署名し、そこで、署名は、任意のPAPEパラメータを含む、OpenIDアサーション要求中に含まれたパラメータを介して遂行される。すなわち、署名付きOpenIDアサーションは、認証要素に関する情報への暗黙的アサーションを含有し得る。この場合、保証レベルと含有された要素認証とを立証することは、OpenIDプロバイダの義務であり得る。
別の実施形態では、識別されたユーザについての情報が、OpenID属性交換(AX)機構を使用して交換される。OpenID AXは、OpenIDプロバイダが対象(例えば、識別されたユーザ)についての情報を記憶し、それを、要求するリライングパーティに提供するための、拡張可能な機構である。例えば、特定のSPが、MFASによって発行された汎用認証アサーションの検証を完了しており、それが、多要素認証がユーザおよびUEとともに成功裏に完了されたことを意味すると仮定され得る。例えば、OpenIDアサーションは、上記で説明されたように、PAPEフィールドを含有し得る。RP/SPは、単一要素認証についての詳細に関心があり得る。例えば、RP/SPは、法科学使用のために、単一要素認証の各々のための署名付きアサーションを望むことがある。そのような情報を取得するために、RPは、OpenID AXフェッチ要求をOPへ送り、利用可能な情報のリストを要求し得る。要求の例は以下の通りである。
上記の要求は、実際の認証のリストについての要求と、また、利用可能な情報のリストがアイデンティティプロバイダによって署名されることの要求とを含む。一例として、ユーザの本名もまた要求され得る。元のOpenIDアサーションが作成された時間を搬送するものとして定義され得る、タイムスタンプを含有することは、認証アサーションのフルネスのためにも重要であり得る。例示的なレスポンスは、以下を含む。
フェッチ要求に対する上記の例示的なレスポンスは、遂行された2つの認証のリストを含有する。この例では、署名属性行を除く、完全レスポンスが、OPによって署名される。署名は、同じ署名キーを使用してそれに署名することによって、元のOpenIDアサーションにバインドされ得る。これはまた、レスポンスを即時に検証するためのRPであり得る。
RPは、個々の認証要素の識別子を知っているので、RPは、例えば法科学または一般的なコンプライアンスの目的のために必要とされ得る、個々の要素についてのより多くの情報を要求するように続行し得る。例えば、サービスプロバイダ(RP)は、以下の情報など、EAP SIM認証の情報を要求し得る。
OPは、SPからの情報についての要求に応答し得る。例示的なレスポンスは、以下を含み得る。
上記の例示的なレスポンスを参照すると、署名は、元のアサーションのためのものと同じ署名秘密を使用して取得され得る。このレスポンスにおいて、OPは、例えばユーザプライバシーを保護するために、事業者ポリシーによりIMSIを省略し得る。受信されたSIMトリプレットは、認証のため、または認証を法科学的に再追跡するために無用であり得るが、EAP SIM認証を遂行した事業者には、レスポンス中に含有されている事業者レルムの情報によって、後に到達され得る。例えば、事業者は、トリプレットをIMSIに関連付けて、その正しさを妥当性検査し得る。
様々な例示的な実施形態では、他の属性交換が、他の認証要素のために使用される。指紋が認証のために使用される例として、属性交換は以下を含み得る。
上記で指紋例において示されたように、「機関」と呼ばれるサードパーティは、指紋を使用する認証を提供する。例えば、サードパーティは、バイオメトリック入力を処理し、それをテンプレートデータベースに対してマッチさせて、バイオメトリック認証を実施し得る。そのような場合、OPは、例示的な実施形態によれば、認証についてのデータを生じないことになる。代わりに、OPは、RPを、認証データを提供することができる機関にダイレクトし得る。したがって、そのような属性要求のためのタイプは、汎用であり、認証要素の実際の種類に依存しなくてよいが、対応する属性の名称は、上記で示されたように、指紋認証要素に固有である。したがって、上記の例を参照すると、fp_authorityは、そこからSPが、任意の後の時間に、識別子「transaction_id」を使用して認証についての詳細情報を要求することができる、適格なURLであり得る。さらに、SPは、「fp_request_protocol」などのプロトコルを要求することができる。レスポンスは、例示的な要求に従って構築され得る。上記の例は、例示的な指紋認証を例示するが、例えばパスワード認証など、他の認証要素が、望まれるように実装され得ることは理解されよう。指紋またはパスワードが認証されるいくつかの場合には、実際のクレデンシャルデータと呼ばれることがある、指紋テンプレートデータまたはパスワードは、OPまたは要素認証機関との属性交換中に含まれない。例えば、実際のクレデンシャルデータを含めることは、認証のセキュリティを低下させ得る。
次に図4を参照すると、例示的な認証システム400は、1または複数の認証エンドポイント406、例えば、第1の認証エンドポイント406aと、第2の認証エンドポイント406bと、第3の認証エンドポイント406cとを含む。システム400は、クライアント402と呼ばれることもある、RP402と、OpenIDサーバ機能(OPSF)404とをさらに含む。OPSF404、RP402、および認証エンドポイント406は、ネットワークを介して互いと通信し得る。
いくつかの場合には、OpenIDアサーションは、OPSF404によって、成功した認証後に作成され、ユーザを通して適切なリライングパーティに持ち込まれる。アサーションは、認証タイプ、認証強度などの情報を、リライングパーティ402に提供し得る。OpenID 2.0は、多数の詳細が追加されるとき、長い署名付きアサーションを使用する。OpenID Connectは、トークンを使用するその動作を通して、このプロセスを大いに簡略化する。
多要素認証では、関与する認証の各々の性質についてのより多くの情報を理解する必要があり得る。OpenID Connectは、トークンを介して、必要とされた情報を指定されたエンドポイントからフェッチするために使用され得る。例えば、法科学では、各認証要素のための個々のアサーションの情報を取得することが有益であり得る。したがって、エンドポイント406の各々は、それぞれの認証要素に対応し得る。したがって、エンドポイント406の各々は、認証プロセスにおいてその要素のために作成されたアサーションの詳細を提供し得る。例えば、図示された実施形態によれば、402で、OPSF404が、認証アサーションを取り出すための1または複数のアクセストークンをプロビジョンする。410で、RP402が、1または複数のトークンのうちの第1のアクセストークンを、第1の認証エンドポイント406aに提供する。レスポンスにおいて、412で、RP402が、第1の認証要素に関係付けられた、アサーションおよび他の情報を受信する。414で、RP402が、1または複数のトークンのうちの第2のアクセストークンを、第2の認証エンドポイント406bに提供する。レスポンスにおいて、416で、RP402が、第2の認証要素に関係付けられた、アサーションおよび他の情報を受信する。418で、RP402が、1または複数のトークンのうちの第3のアクセストークンを、第3の認証エンドポイント406cに提供する。レスポンスにおいて、420で、RP402が、第3の認証要素に関係付けられた、アサーションおよび他の情報を受信する。
図1を全体的に参照すると、認証は、シングルサインオン(SSO)サブシステム、または、ローカルOpenIDアイデンティティプロバイダ(OP)と呼ばれることもある、MFAP110を介して、UE102上でローカルに実施され得る。認証がローカルに実施され得る、いくつかの場合には、UE102の認証能力が識別子にマッピングしており、マッピングが、例えばセキュア環境において、UE上でローカルに記憶される。発見またはエンロールメントプロセス中に、ネットワークにおいて集められ、維持されるポリシー情報は、UE102、および詳細にはMFAP110上でも利用可能であり得る。例えば、ネットワークMFAS106は、MFAP110においてマッピング情報を構成し得る。責務の明瞭な区切りを維持するために、例えば、MFAP110は、利用可能な認証要素を使用して、ネットワーク側MFAS106ポリシーマッピング機能性を模倣し得る。MFAP110は、次いで、ユーザ107などの特定のユーザと、関連付けられたユーザ識別子とを、望まれるポリシー、およびしたがって認証要素とともにマッピングし得る。したがって、デバイスおよびユーザ認証能力がサードパーティに対してエクスポーズされる必要がないとき、ユーザのプライバシーは保護され得る。
また図5を参照すると、MFAS106およびMFAP110は、ネットワークおよびデバイス側の異なる認証方法が実行され得るように、様々なポリシーに従って異なる方法で機能することができる。MFAS106において、ポリシーエンジン503など、極めて機能豊富なポリシーエンジンは、異なるセキュリティ要件、ユーザ要件、およびサービスプロバイダ要件に応じ得る。例えば、あらゆるユーザおよびユーザが使用するデバイス(複数可)についての可能な認証能力のリストがあり得、ポリシーエンジン503は、ユーザがRP104からの保証レベル要件を満足するために実施することが可能である、ネットワーク認証要素およびローカル認証要素の組合せから、動的に選定し得る。簡略化された例示的なシナリオでは、MFAS106においてエンロールされるユーザの異なるデバイスのためにユーザが実施することができる、ネットワーク認証要素およびローカル認証要素の静的なリストがあり得、ポリシーエンジン503は、このネットワーク認証要素およびローカル認証要素組合せの静的なリストから選定し得る。
MFAS106およびMFAP110の責務は、様々な実施形態によれば、変動する。一実施形態では、マスタ−スレーブ関係が、MFAS106と110MFAPとの間に存在する。例えば、ユーザ107およびサービスプロバイダに関係するポリシーが、MFAS106において利用可能であり、MFAS106は、ネットワーク側とデバイス側の両方において、関連ポリシーの実行をイニシエートする。例示的な実施形態によれば、MFAP110は、ローカル認証要素を所与のシーケンスにおいて実行することによって、それがMFAS106から受信する順序に従う。したがって、一実施形態では、MFAP110にはポリシーエンジンがない。
別の実施形態では、ユーザ107がRP104からMFAS106と通信すると、MFAS106におけるポリシーエンジン503は、MFAS106によってハンドリングされることになるネットワーク側ポリシーと、それがプロキシポリシーエンジンを使用してハンドリングすることができる、デバイス102上でMFAP110においてハンドリングされるローカルポリシーとの明瞭な区切りを、動的に返す。この実施形態では、MFAP110は、ポリシープッシュ中を除いて、MFAS106によって直接制御されなくてよい。ポリシープッシュは、認証ごとに発生することがあり、または、ポリシーへの更新がある場合、後続のプッシュを含む初期ポリシープッシュとして発生することがある。
上記で説明された、例示的な実施形態では、MFAS106は、UE102の具象的なローカル認証能力を含有する情報と、構成されたポリシーおよびマッピング情報とを維持し得る。加えて、ポリシーは、認証要素への望まれる認証保証または保証レベルマッピングを達成するために使用されるべき認証要素に基づき得る。
図5を参照すると、さらに別の例示的な実施形態によれば、認証ポリシーへの保証レベルのマッピングは、MFAS106とMFAP110との間で区切られ得る。すなわち、(RP103によって)要求された保証レベル(AL)は、ローカル保証レベル(AL_loc)と、ポリシー、予め定義されたルール、およびマッピングテーブルに従って、様々なエンティティによって満たされる、ネットワーク保証レベル(AL_net)とに分離され得る。例えば、MFAS106は、分離を実行し、AL_locを認証要求においてMFAP110へ送ることができる。別の例では、MFAP110は、MFAS106と要件をネゴシエートし得る。MFAP110は、より低いAL_loc能力を示すメッセージで、ネゴシエーションに応答してよく、それにおいて、MFASは、AL_netを、それに応じて、依然として全体的なALを達成するように適合させる(例えば、それを高める)か、または、要件を満たすようにMFAPポリシーを適合させ得る。MFAP110のレスポンスは、ローカル条件、および/または、ローカルで維持されたデバイス能力情報(例えば、光条件が、現在、顔認識バイオメトリのために不十分である)に基づき得る。
さらに図5を参照すると、図示された実施形態によれば、504で、全体的なALがMFAS106に通信される。ALマッピングエンジンは、例えば、計算エンジン、データベース、または、ALマッピングエンジンおよびルックアップテーブル502と呼ばれることがあるルックアップテーブルを使用して、AL_locおよびAL_netの仮の値を導出し得る。506で、AL_locが、UE102およびMFAP110に通信される。508で、MFAP110が、次いで、UE102上のローカル条件を評価し、その現在の能力を表すAL_loc*で、MFAS106に応答し得る。ローカル保証レベルは、UE102の現在の条件に基づいており、したがって、図5では、同じものを示すためにアスタリスクとともに参照される。ローカル認証は、既に遂行されていることがあり、AL_loc*は、したがって、ローカルで達成された保証レベルを示す署名付きアサーションメッセージの一部であり得る。この場合、506におけるメッセージはまた、最小の必要とされるローカル保証レベル(AL_loc_min)を表す、下限しきい値保証レベルを含有しており、下限しきい値さえもが達成可能ではない場合、ローカル認証を遂行するか、動作を中断するかを、MFAP110に決定させるようにすることがある。508で送られる保証レベルに基づいて、MFAS106は、510で、AL_netをポリシー実行エンジン503にサブミットすることによって、ネットワークベースの認証を開始し得る。
MFAP110を使用することから導出される例示的な利益は、例えば、デバイス102がMFAS106に接続されていないときでも、ローカルMFAPによってプロビジョンされたポリシーが認証を実行し得ることである。例えば、いくつかの場合には、デバイス102がネットワークに接続されていないので、MFAS106と通信することが可能ではない。他の場合には、MFAS106への通信は、例えば、ネットワークトラフィックを低減するため、または、MFAS106上の処理負担を低減するために限定される。ローカルで施行される認証ポリシーは、ネットワークポリシー機能と同期され、経時的に更新または再同期されてよく、その理由は、例えば、能力が変化することがあり、または、保証レベルから認証の要素へのマッピングが変化し得るからである。
例示的な実施形態によれば、OPサーバは、本明細書で説明される多要素認証実施形態を実装するように拡張され得る。例えば、図6に図示された例示的なシステム600を参照すると、OPサーバ602は、OpenID仕様と競合することなしに、追加のインターフェースを含むように拡張され得る。OPサーバ602は、例示的な実施形態によれば、アサーションに署名するか否かの最終決定を有し得る。例えば、アサーションがユーザ/UE606へ送り出された後、RP604は、それが有効である場合、アサーションを受け入れ得る。OPサーバ602は、RP604およびユーザ606のためのHTTPSベースのエンドポイントを実装し得る。バイオメトリック認証は、ユーザエージェント606がそれらのプロトコルを実行することができる限り、プロプライエタリプロトコルを介することができることは理解されよう。OP602が実際の認証を実施することは必要とされないことは、さらに理解されよう。したがって、認証は、他の認証サービスによって実施され得る。他の認証サービスは、認証の結果をOP602にセキュアに返し得る。OP602および/または他の認証サービスは、例えば、様々な認証を一緒にバインドするために、認証プロセス中に含めるためのランダムナンスを生成し得る。さらに、結果を含有するメッセージは、認証のフレッシュネスのインディケーションと、OP6−2が成功/失敗メッセージを進行中のユーザログインセッションにマッピングすることができるように、セッション識別子とを含み得る。
図6を参照すると、図示された実施形態によれば、OP602は、例えばOpenID 2.0エンティティなど、任意のOpenIDアイデンティティプロバイダを指す。RP604は、例えばOpenID 2.0 RPなど、OpenIDリライングパーティを指す。UE606は、ユーザを有するモバイルデバイスなど、任意のユーザエージェントを表し得る。OP602における認証拡張インターフェース(認証XIF)608は、OP602を認証サーバ610に接続する。認証サーバ610の各々は、実際のユーザ/UE認証方法をランし得る。例えば、認証サーバ610は、ユーザ認証を実施するために必要な情報(例えば、GBAの場合、SLF)である、認証データを記憶し得る。多要素認証レイヤ611は、OP602に一体化される構成要素であってよく、それが、多要素認証が行われることを可能にする。多要素認証レイヤ611は、OP602およびポリシーレイヤ612が複数の認証要素をトリガし、異なる認証からの結果を収集/バインドするための、インターフェースをさらに提供し得る。IdPポリシーレイヤ612は、必要とされるポリシーに基づいて、どの認証方法をトリガするかを判断する、クロスレイヤ機能として働き得る。ポリシーレイヤ612はまた、複数の認証の成果を評価し、(例えば、必要とされるポリシーとのマッチングに基づいて)組み合わされた認証の結果をOP602へ戻すように伝達してよく、OP602は、次いで(組み合わされた)アサーションを作成し得る。
さらに図6を参照すると、ユーザ認証拡張インターフェース614は、OP602によって、ユーザ/UE606のための認証プロセスをイニシエートするために必要とされ得る。このインターフェースは、HTTP(S)ベースであり得るが、このインターフェースは、例えばプロプライエタリプロトコルに基づくなど、代替的なベースであり得ることは理解されよう。ユーザ認証インターフェース616は、図示された実施形態によれば、認証サーバ610によって、ユーザ認証機構をランするために使用される。例えば、インターフェース616は、GBAキーを要求する、指紋を要求する、EAP−SIMを要求するなどのために使用され得る。インターフェース616は、HTTP(S)ベースであるとして図示されるが、任意の適切なトランスポートプロトコルが、UE606と認証サーバ610との間でデータを渡すために使用され得ることは理解されよう。インターフェース618は、認証サーバ6120がそれぞれのクレデンシャルデータベース620を接続するための、内部インターフェースを表し得る。インターフェース618は、OP602、RP604、およびUE606の観点から不可視であり得る。
複数の認証要素が使用されることになる場合、追加のインターフェース608がOP602に追加され得る。例えば、図示されたシステム600は、OP602を第1の認証サーバ610aに結合する、第1のインターフェース608aを示す。システムは、OP602を第2の認証サーバ610bに結合する、第2のインターフェース608bをさらに含む。認証拡張インターフェース608は、それぞれの認証サーバ610によって提供されるライブラリ/モジュールであり得る。例えば、インターフェース608は、Webキーのためのウェブキーアプリケーションコード、GBAのためのNAFライブラリなどであり得る。例示的なシステム600は、OP602が異なる認証方法を含むための、統一されたインターフェースを提供する。OP602は、異なる認証をトリガして、それらの結果を得て、適切なアサーションメッセージを構築し、認証方法に関する様々な情報を含み得る署名付きアサーションを(例えば、PAPEを使用して)RP604へ送ることができる。RP640は、次いで、認証方法が認証強度の要求および必要とされるレベルを少なくとも満たすために十分であるか否かを、チェックすることができる。様々なライブラリがOP602と一体化され得ることは理解されよう。さらに、認証要素は、順次または互いに並列にトリガされ得る。認証XIF構成要素は、内部インターフェースを介して、例えばサーバ実装/コードへのライブラリまたはモジュールとして、OP602に一体化され得る。
上記で説明されたように、認証およびアサーションは、様々な実施形態によれば、様々な方法で遂行され得る。例えば、認証は、サーバ(ネットワーク)上で実施され、ネットワーク生成アサーションと組み合わされ得る。認証は、UE上(オンデバイスまたはローカル)で実施され、オンデバイス(ローカル)生成アサーションと組み合わされ得る。認証は、オンデバイス(ローカル)であり、ネットワーク生成アサーションと組み合わされ得る。認証は、オンデバイス(ローカル)であり、オンサーバ(ネットワーク)認証と組み合わされ得る。
次に図7A〜図7Cを参照すると、例示的な認証システム700は、1または複数の認証エージェント(AA)710、例えば、第1の認証エージェント(AA)710aと、第2のAA710bと、第3のAA710cとを含む。図7A〜図7Cは、ネットワークベースの多要素認証の一例を例示する。認証エージェントは、UE102の一部であってよく、UE102は、ユーザ107によって操作され得る。UE102、およびしたがってシステム700は、限定はしないが、ブラウザ704と呼ばれることもある、クライアントアプリケーション704を含む。クライアントアプリケーション704はまた、例えばAndriodまたはiOS(登録商標)アプリケーションなど、モバイルアプリケーションであってもよく、したがって、モバイルアプリケーションと呼ばれることもある。システム700は、マスタIdP/MFAS106と、RP/SP104と、1または複数の認証サーバ706とをさらに含む。参照番号は、便宜上、図の全体を通して繰り返され、2以上の図に現れる参照番号は、それらが現れる各図において同じまたは同様の特徴を指すことは理解されよう。3つの認証エージェントが認証システム700において図示されているが、認証システム700における認証エージェントの数が望まれるように変動し得ることは理解されよう。図示された実施形態によれば、第1の認証エージェント710aは第1の認証サーバ706aに関連付けられ、第2の認証エージェント710bは第2の認証サーバ706bに関連付けられ、第3の認証エージェント710cは第3の認証エージェント706cに関連付けられる。さらに、認証エージェント710および認証サーバは、3要素認証を可能にし、ブラウザ704が、SP104によってオファーされたサービスへのアクセスを提供され得るようにする。マスタIdP106、および認証サーバ706は、認証システム700のネットワーク側と総称されることがある。例示的な3要素認証が図7A〜図7Cに図示されているが、図7A〜図7Cに示されたコールフローは、3要素より多いまたはより少ないものを使用する認証のために拡張され得ることは理解されよう。図示された実施形態によれば、MFAP110は、SP104のポリシー要件を査定し、マスタIdP106は、ポリシーを変換して、ポリシー要件を満たすことになる認証プロトコルのパラメータを判断する。
さらに図7A〜図7Cを参照すると、図示された実施形態によれば、712で、ユーザ107が、ブラウザ704を介して(SP104によって提供された)サービスへのアクセスを要求する。ブラウザは、SP104と通信してよく、通信は、ユーザ107に関連付けられるユーザIDを含み得る。ユーザIDに基づいて、716で、SP104が発見を実施し、ユーザIDに関連付けられるマスタIdP106と関連付ける。マスタIdP106は、OpenIDアイデンティティプロバイダ(OP)またはネットワークアクセス機能(NAF)に関連付けられる機能性を実施してよく、したがって、マスタIdP106はまた、OP106またはNAF106と呼ばれることもある。714で、図示された実施形態によれば、SP104が、例えばSP104のポリシーに基づいて、ユーザ107がSP104によって提供される、要求されたサービスにアクセスするために、多要素認証が必要とされると判断する。図示された実施形態によれば、SP104は、パスワード認証およびバイオメトリック認証が、サービスにアクセスするために必要とされると判断する。SP104はまた、ユーザがSP104によって提供される、要求されたサービスにアクセスするために必要とされる、認証の保証のレベルを判断し得る。718および720で、図示された実施形態によれば、SP104が、ブラウザ704を介して、720でHTTPリダイレクト機構を使用して、その保証レベル要件をMFAS/マスタIdP106へ通信する。
図示された実施形態によれば、ブラウザ704はまた、SP104によって必要とされる保証情報をトランスポートする。722で、サービスにアクセスするために必要とされる保証のレベルに基づいて、例えば、MFAS106が、必要とされる保証レベルを達成するために実施され得る認証要素のタイプおよび強度を判断する。MFAS106は、必要とされる認証を実施することができる認証エージェントをさらに識別し得る。例えば、図示された実施形態によれば、MFAS106は、第1のAA710a、第2のAA710b、および第3のAA710cが、判断された認証要素のタイプおよび強度に関連付けられると判断する。第1の認証エージェント710aが識別された後、725で、MFAS106が、第1の認証要素の認証を実施するように、第1のAA認証エージェント710をトリガし得る。726で、MFAS106がまた、第1の認証要素の認証を実施するように、第1の認証サーバ706aをトリガし得る。例えば、MFAS106は、第1のAA710aに関連付けられる第1の認証サーバ706aと通信して、第1の認証サーバ706aが第1のAAによりイニシエートされた認証のためのコンテキストを作成することを要求し得る。724で、MFAS106が、場合によっては、第1の認証要素、または、少なくとも、第1の認証要素を準備するための機構を含む、メッセージをMFAP110へ送ることによって、第1の認証要素をイニシエートし得る。725および726で実施されるステップは、互いに並列に実施され得る。代替的実施形態では、725および726を互いに並列に実施するのではなく、726におけるメッセージのみが送られ、725における認証を実施するためのトリガが、以下で説明される728で遂行される。
引き続き図7Bを参照すると、図示された実施形態によれば、728で、第1のAA710aおよび第1の認証サーバ706aが、認証を遂行し得る。認証はまた、ユーザ107からの入力を必要とし得る。例えば、認証は、ブラウザ704のユーザ(例えば、ユーザのバイオメトリック)の、ブラウザ704の、UE102などの認証を備え得る。728で遂行された認証の成功または失敗は、728で、認証サーバ706aによってAA710aへ通信され得る。728で遂行された認証は、例えば、チャレンジ−レスポンスメッセージをも含み得る、いくつかの往復メッセージングを伴い得る。例えば第1のアサーションなどのアサーションが、成功した認証において、第1の認証サーバ706aによって生成され得る。第1のアサーションは、732で、第1の認証サーバ706aによってMFAS106へ送られ得る。第1のアサーションは、認証結果のフレッシュネスを含む認証結果を表し得る。あるいは、図示された実施形態によれば、第1のアサーションは、730で、第1のAA710aによって生成され、MFAP110へ送られ得る。それにかかわらず、認証が終了すると、第1のAA710aと第1の認証サーバ706aの両方が、認証のプルーフを有してよく、プルーフは、図7によれば、第1のアサーションと呼ばれる。加えて、MFAS106およびMFAP110は、728で遂行された第1の認証の知識およびプルーフを有し得る。
730で、725で受信されたトリガに対するレスポンスにおいて、第1のAA710aが、第1のアサーションを備えるトリガレスポンスを送り得る。トリガレスポンスは、MFAP110へ送られてよく、トリガレスポンスは、成功した認証が実施されたことを実証し得る。732で、ネットワーク側において、第1の認証サーバ706aが、第1のアサーションおよびその関連付けられたフレッシュネス(例えば、認証が遂行されたときの日付/時間)をMFAS106へ送り得る。
736で、図示された実施形態によれば、MFAS106が、第2の認証コンテキストを作成するように、第2の認証サーバ706bへトリガを送る。トリガされる第2の認証コンテキストは、第2の認証サーバ706bおよび第2のAA710bによって実施される、第2の認証要素を使用する、第2の認証に関連付けられる。734で、例えばポリシーに基づいて、MFAS106が、MFAP110を介して第2のAA710bへトリガを送ることによって、あるいはMFAP110によってトリガされた、第2の認証要素を使用する第2の認証の開始をイニシエートし得る。734および736のステップは、互いに並列に実施されてよく、または、代替的実施形態では、736で、MFAS106から第2の認証サーバ706へのトリガのみが遂行される。738で、図示された実施形態によれば、第2の要素認証が、第2のAA710bと第2の認証サーバ706bとの間で遂行される。第2の要素認証を実施するために使用される第2の要素は、ユーザのバイオメトリック、ユーザ107に関連付けられた別の要素、デバイス102に関連付けられた要素、ユーザ107の行動解析に関連付けられた要素などであり得る。あるいは、例えば、第2の要素認証は、第2のAA710bとユーザ107との間で搬送され得る。そのような認証は、例えば、バイオメトリック認証、ユーザデバイスに関連付けられた要素の認証、またはユーザの行動解析に関連付けられた要素を含み得る。第2の要素認証が終了すると、第2の認証サーバ706bは、例えば第2のアサーションなど、アサーションを生成し得る。第2のアサーションは、ランダムナンスを備えてよく、および/または、チケットが暗号的に生成され得る。第2のアサーションは、第2のAA710bへ送られ得る。あるいは、例示的な実施形態では、第2のAA710bは、第2の認証サーバ706bによって第2のチケットを生成するために使用された同様の機構を使用して第2のチケットを生成し、したがって、第2のチケットは、第2の認証サーバ706bから第2のAA710bへ送られない。740で、734で送られたトリガに対するレスポンスにおいて、第2のAA710bが、第2のアサーションと、その関連付けられたフレッシュネスとをMFAP110へ送る。同様に、742で、第2の認証サーバ706bが、第2のアサーションと、そのアサーションに関連付けられた認証のフレッシュネスとを、MFAS106へ送り得る。あるいは、例えば、ローカル認証が第2のAA710bによって遂行される場合、第2のAA710bは、第2のアサーションを生成し、第2のアサーションをMFAP110へフォワードし得る。望まれるような任意の数の認証要素は理解されよう。したがって、ステップ743および745は、第3のAA710cおよび第3の認証サーバ706cがそれぞれ第2のAA710bおよび第2の認証サーバ706bの代わりに使用されることを除いて、それぞれ、ステップ734および736のように実施され得る。さらに、ステップ747、749、および751は、それぞれ、ステップ738、740、および742を参照しながら上記で説明されたように実施され得る。
引き続き図7A〜図7Cを参照すると、図示された実施形態によれば、744で、MFAS106が、第1のアサーションと、第2のアサーションと、第3のアサーションとを統合して、複数の認証要素のための統合されたアサーションを作成する。一例では、アグリゲート保証レベルは、各認証要素に関連付けられた保証レベルを一緒に合計することによって計算される。別の例として、両方の認証要素に対応するアグリゲート保証レベルにおいて、一方の認証要素が別の認証要素と比較してより重く重み付けされるように、保証レベルが重み付けされ得る。各認証要素の年数を考慮に入れる、フレッシュネス低下関数(freshness decay function)など、追加のパラメータが、アグリゲート保証レベルを計算することにおいて考慮され得る。別の実施形態では、MFAS106は、計算されたアグリゲート保証レベルを送らない。例えば、MFAS106は、各認証の結果を送り得る。746で、ブラウザ704が、統合されたアサーションをMFAS106から受信する。748で、ブラウザ704が、アサーションをSP104へリダイレクトして送る。アグリゲート保証レベルを含有し得る、署名付きアサーションが、MFAS106によって、746でUEブラウザを介して、例えばHTTPリダイレクトメッセージを使用することによってSP104へ通信される。あるいは、アグリゲート保証レベルを含有する署名付きアサーションは、他のチャネルを使用して、MFAS106によってSP104へ直接通信され得る。送られる署名付きアサーションは、各認証要素のためのフレッシュネスレベルと、実施された多要素認証によって達成された保証レベルとを含み得る。750で、図示された実施形態によれば、SP104が、アサーション、および詳細にはアサーション署名を検証し、752で、SP104によって提供された、要求されたサービスへのアクセスを、ブラウザ704のユーザ107に提供する。
図8A〜図8Cは、認証がUE102上で実施される、図7A〜図7Cの変形形態を図示する。図8A〜図8Cに図示されているステップの大部分は、図7A〜図7Cに関して説明される。特に図8Aを参照すると、718aで、図示された実施形態によれば、SP104が、ブラウザ704を介して、その保証レベル要件をMFAS106へ通信する。あるいは、SP104は、SP104とMFAS106との間で直接確立されるチャネルを通して、その保証レベル要件を通信し得る。そのようなチャネルは、716で発生する発見および関連付けの一部として確立され得る。720aで、ブラウザ704がMFAS106へリダイレクトされ、SP104がブラウザ704を介してMFAS106のサービスを呼び出すようにされる。722で、MFAS106が、SP104によって要求された保証レベルを達成するために呼び出されなければならないことがある、認証要素のタイプおよび数を判断する。724aで、MFAS106が、ブラウザ704を介して、MFAP110へメッセージまたはトリガを送ることによって、多要素認証要素をイニシエートする。メッセージまたはトリガは、認証要素を含み得る。メッセージまたはトリガはまた、認証要素の代わりに、または認証要素に加えて送られる、必要とされる保証レベルを含み得る。MFAP110は、保証レベルを使用して、認証要素を判断し得る。802で、ブラウザ704がMFAP110へリダイレクトされるか、または、MFAP110がトリガされる。第1の認証エージェント710aが識別された後、725で、MFAS106が、第1の認証要素の認証を実施するように、第1のAA認証エージェント710aをトリガし得る。728aで、特に図8Bを参照すると、第1のAA710aおよびユーザ107が、認証を遂行し得る。ユーザ107はまた、例えばバイオメトリックリーダなど、リーダを指すこともある。728aにおける認証は、ユーザ107からの入力を必要とし得る。図示された実施形態によれば、第1のアサーションが、730で、第1のAA710aによって生成され、MFAP110へ送られ得る。同様に、738aで、第2のAA710bおよびユーザ107が、MFAP110によって第2のAA710bへ送られたトリガに対するレスポンスにおいて、認証を遂行して、第2の認証結果を作成し得る。740で、第2のAA710bが、第2の認証結果をMFAP110へ送る。さらに、747aで、第3のAA710cおよびユーザ107、および詳細にはリーダが、MFAP110によって第3のAA710cに対してイニシエートされたトリガに基づいて、認証を遂行して、第3の認証結果を作成し得る。749で、引き続き図7A〜図7Cを参照すると、図示された実施形態によれば、第3の認証の結果が、第3のAA710cによってMFAP110へ送られる。744aで、MFAP110が、第1の認証アサーションと、第2の認証アサーションと、第3の認証アサーションとを統合して、複数の認証要素のための統合されたアサーションを作成する。MFAP110は、統合されたアサーションに署名する。MFAP110は、アグリゲート達成された保証レベルおよびフレッシュネスレベルをさらに計算し得る。一例では、アグリゲート保証レベルは、各認証要素に関連付けられた保証レベルを一緒に合計することによって計算される。別の例として、両方の認証要素に対応するアグリゲート保証レベルにおいて、一方の認証要素が別の認証要素と比較してより重く重み付けされるように、保証レベルが重み付けされ得る。各認証要素の年数を考慮に入れる、フレッシュネス低下関数など、追加のパラメータが、アグリゲート保証レベルを計算することにおいて考慮され得る。別の実施形態では、MFAS106は、計算されたアグリゲート保証レベルを送らない。746aで、ブラウザ704が、統合アサーションをMFAP110から受信する。748で、ブラウザ704が、アサーションをSP104へ送る。送られるアサーションは、保証レベルと、実施された多要素認証によって達成されたフレッシュネスレベルとを含み得る。750で、図示された実施形態によれば、SP104が、アサーション、および詳細にはアサーション署名を検証し、752で、SP104によって提供された、要求されたサービスへのアクセスを、ブラウザ704のユーザ107に提供する。
図9A〜図9Cは、アサーションがネットワークによって遂行され得るが、認証がMFAP110を用いてUE102上で遂行され得る、図7A〜図7Cおよび図8A〜図8Cの変形形態を図示する。図9A〜図9Cに図示されているステップの大部分は、図7A〜図7Cおよび図8A〜図8Cに関して説明される。図9A〜図9Cを参照すると、図示された実施形態によれば、901で、MFAP110が、第1の認証結果と、第2の認証結果と、第3の認証結果とを組み合わせる。MFAP110は、ブラウザ704のために、アグリゲート達成された保証レベルおよびフレッシュネスレベルをさらに計算し得る。一例では、アグリゲート保証レベルは、各認証要素に関連付けられた保証レベルを一緒に合計することによって計算される。別の例として、両方の認証要素に対応するアグリゲート保証レベルにおいて、一方の認証要素が別の認証要素と比較してより重く重み付けされるように、保証レベルが重み付けされ得る。各認証要素の年数を考慮に入れる、フレッシュネス低下関数など、追加のパラメータが、アグリゲート保証要素を計算することにおいて考慮され得る。902および904で、MFAP110が、組み合わされた結果を関連付けられた情報とともに、ブラウザ704を介してMFAS106へ送る。744bで、MFAS106が、受信された認証結果に基づいて、署名付きアサーションを作成する。MFAS106は、図9A〜図9Cに図示された実施形態によれば、統合されたアサーションに署名する。906で、MFAS106が、ブラウザ704を使用して、署名付きアサーションを送る。ブラウザ704は、統合アサーションをMFAS106から受信する。748で、ブラウザ704が、アサーションをSP104へリダイレクトする。送られるアサーションは、保証レベルと、実施された多要素認証によって達成されたフレッシュネスレベルとを含み得る。750で、図示された実施形態によれば、SP104が、アサーション、および詳細にはアサーション署名を検証し、752で、SP104によって提供された、要求されたサービスへのアクセスを、ブラウザ704のユーザ107に提供する。上記で説明されたオンデバイス認証またはオンネットワーク認証のうちの少なくとも1つは、1または複数のポリシーに従って遂行され得ることは理解されよう。さらに、署名付きアサーションは、UE102上でMFAP110を用いて生成されてよく、または、署名付きアサーションは、IdP/MFAS106上で生成されてよい。
次に図10を参照すると、例示的なシステム1000は、第1のネットワークエンティティ1002aに折りたたまれた第1のRP104aと第1のIdP106aとを含む、サービスプロバイダ機能を含む。同様に、第2のネットワークエンティティ1002aは、第2のRP104bと第2のIdP106bとを含み、第3のネットワークエンティティ1002cは、第3のRP104cと第3のIdP106cとを含む。したがって、ネットワークエンティティ10002は、より強力な認証サービスを提供するために、それらのそれぞれのRPにおいてMFAS機能をそれぞれホストすることができる。図示された実施形態によれば、図示されたリライングパーティはまた、複数の認証要素を実施することができるIdPの役割を実施し得る。したがって、パスワードなど、認証のための1つの要素を現在使用している、例えば銀行などの所与のRPは、折りたたまれたRP/IdP内で制御されるMFAS機能をホストすることによって、多要素認証の方へ進化し得る。ネットワークエンティティ1002の構成はまた、RPが、例えばモバイルネットワーク事業者などのサードパーティによって提供される他の認証要素に接続することも可能にし得る。
さらに図10を全体的に参照すると、図示されたRP/IdP折りたたみ機能は、以下で説明されるように、プライバシーを保護し得る。例えば、OpenIDは、識別子選択動作モードとして知られるアイデンティティプライバシーのための機構を提供する。疑似アイデンティティ(PID)は、例示的な実施形態によれば、代替的な方法で達成され得る。例として、ユーザがIdPによって、MFASのサービスを使用して認証される場合、(PID)と呼ばれることがある、一時的アイデンティティが作成され得る。RPのサービスを取得することを望むユーザは、次いで、認証保証およびフレッシュネスが、アクセスされている特定のサービスのために十分であると仮定して、PIDを使用するIdPとの既存の認証を活用することによって、RPへのシームレスなアクセスを得ることができる。例示的な実施形態では、PIDは、ユーザのアイデンティティとして、サービスプロバイダ発行アイデンティティと一緒に提示され、事前認証情報が、発見を通して回復される。例えば、事前認証情報がアクセスのために十分である場合、シームレスおよび透過的なアクセスが、別の認証を実施することなしに提供される。これは、例えば、ユーザが一旦認証され、次いで、PIDが時間期間(例えば、1時間)にわたって有効であるとき、有用であり得、したがって、他のRPにアクセスするためのいかなる後続の試みも、認証がリフレッシュを必要とするように時間期間(例えば、その時間)が満了するまで、ユーザ介入なしにシームレスに提供される。
どのようにPIDが導出され得るかの一例が以下のように示され、それは、例として提示され、限定として提示されない。
sessionIDは、HTTPセッションまたはTLS−マスタ秘密に関連付けられ得る。ナンスは、MFASによって、PIDの新しい生成ごとに生成され得る。RP−IDは、RPのドメインID(例えば、www.bankofamerica.comなど、サーバ認定書内のドメイン情報)であり得る。「ストリング」は、オプションである何かであってよく、例えばPID生成など、動作のタイプを識別する。「SessionString」は、この例によれば、上記で示された様々なパラメータの連結である。
図11を参照すると、ユーザ1102と、組み合わされた機能性を有する第1のRPおよびIdPを含むネットワークエンティティ1104と、第2のRP1106とを含む例示的なシステム1100である。ネットワークエンティティ1104はまた、上記で説明されたような、MFASを含み得る。ユーザ1102は、図11において「Jane」と呼ばれる。例示的なシステム1100は、開示される主題の説明を容易にするために簡略化され、本開示の範囲を限定することは意図されないことは諒解されよう。他のデバイス、システム、および構成が、システム1100などのシステムに加えて、またはその代わりに、本明細書で開示された実施形態を実装するために使用されてよく、すべてのそのような実施形態が、本開示の範囲内として企図される。
図示された実施形態によれば、1108で、ユーザ1102が、自分のUEにおいてローカルで認証される。例えば、ユーザ1102は、バイオメトリック認証が発生するように、UEの指紋センサをスワイプし得る。バイオメトリック認証が完了すると、それは、次いで、ネットワークエンティティ1104上でMFASへのローカル認証の登録をトリガし得る。追加の認証要素は、ローカルで実施されてよく、それらは、UE1102上にロケートされるMFAP110によって容易にされてよく、または、追加の認証が、IdP1104のサービスを使用してネットワーク上で実施され得る。例えば、1110で、ネットワーク認証が、ネットワークエンティティ1104、および詳細にはMFASによって実施され得る。1110における認証に基づいて、1112で、疑似アイデンティティ(ID)(PID)であり得る一時的アイデンティティが作成される。PIDは、以前に遂行された認証に対応する、関連付けられた存続期間と保証レベルとを有し得る。1114で、PIDがユーザ1102へ送られる。1116で、PIDが、例えばトラステッドプラットフォームモジュール(TPM)またはトラステッド実行環境(TEE)など、セキュアエレメント内に記憶され、PIDがMFAP110にとってのみアクセス可能であるようになる。1118で、ユーザが、例えばユーザの銀行であり得る、第2のRP1106によって提供されたサービスにアクセスすることを望む。1120で、ユーザのUE上のMFAPが、有効な存続期間(満了していない)をもつ有効な認証があると認識する。有効な認証は、以前に遂行された認証を表す。ユーザのUE上のMFAPは、PIDを取得し、PIDを、第2のRP1106に関連付けられるユーザアイデンティティ(UID)とともに組み込む。1122で、UEが、PIDと、第2のRP1106に関連付けられたUIDとを、第2のRP1106へ送る。1124で、第2のRP1106が、場合によっては、例えばPIDとともに提供されたドメイン情報に基づいて、UIDに関連付けられるPIDを検証し得る。1126で、RP1106が、RP1/IdP1104と呼ばれることもある、ネットワークエンティティ1104を発見するために、PIDに基づいて発見プロセスを実施する。RP1106は、ユーザ(Jane)が、そのユーザが要求したサービスにアクセスするために必要とされる、保証レベル(AL)要件を判断する。1128および1130で、ユーザ1102が、RP1106によって、ネットワークエンティティ1104、および詳細にはIdP1104へリダイレクトされる。リダイレクションは、保証レベル要件を示す情報を含み得る。1132で、MFASが、そのPIDのための有効な認証があると認識した。MFASは、PIDを組み込み、場合によっては、ユーザのプロファイル情報に関連付けられるパラメータを含み得る。MFASは、IdP1104によって第2のRP1106へ送られる署名付きアサーションを作成する。1134で、ネットワークエンティティ、および詳細にはMFASが、ユーザ1102を介して(例えば、Janeのウェブブラウザを介して)、署名付きアサーションを第2のRP1106へ送る。ユーザ1102は、UEを介して、署名付きアサーションをRP1106へフォワードする。1138で、第2のRP1106が、それがUEから受信する署名付きアサーションを検証する。署名付きアサーションが有効である場合、RP1106が、成功メッセージをユーザ1102へ送り、1142で、ユーザ/UEが、RP1106によって提供されるサービスへのアクセスを受信することができる。したがって、ユーザ1102は、RP1106によって、ネットワークエンティティ1102の一部であるRPとの既存の認証を活用することによって、シームレスに認証される。
次に図12A〜図12E、およびまた図1を全体的に参照すると、例示的なシステム1200は、図12A〜図12Eにおいて「Jane」と呼ばれるユーザ107を有するUE102を含む。UE102は、ローカルバイオメトリック認証機能112と呼ばれることもある、バイオメトリッククライアント112を含む。UE102は、MFAP110とブラウザ704とをさらに含む。システム1200は、第1のRP1202と、第2のRP1204と、マスタIdP106と呼ばれることもある、MFAS106とをさらに含む。
特に図12Aを参照すると、図示された実施形態によれば、1206で、1回目に、ユーザ107が、第1のRP1202である、自分の銀行(www.bac.com)と少なくとも1つの取引を実施することを望む。1208で、ユーザ107が、自分のユーザアイデンティティ(例えば、jane@bac.com)を、第1のRP1202によって提供されたポータルの「ユーザid」フィールド内に入力する。ブラウザ704またはブラウザプラグインは、使用され得るPIDがあるか否かを判断し得る。1210で、第1のRP1202が、例えばユーザアイデンティティに基づいて、MFASに関連付ける。1212で、図示された実施形態によれば、RP1202(www.bac.com)におけるポリシーが、要求されているサービスにユーザ107がアクセスするために必要とされる保証レベルを判断する。必要とされる保証レベルは、ユーザ107に関係付けられたユーザプロファイル情報に基づいて判断され得る。例えば、MFAS106は、ユーザプロファイル情報をユーザプロファイルデータベース(DB)1203から取り出し得る。必要とされる保証レベル(AL)はまた、ポリシーDB内に記憶されたポリシーに基づいて判断され得る。ポリシーエンジンおよびDBは、マスタIdP/MFAS/OP106にロケートされ得る。1214で、RP1202が、ブラウザ704を介して、一般に認証要件と呼ばれることがある、必要とされる保証レベルと、セッションハンドルまたはチャレンジとで応答する。16で、インテントがMFAP110をコールする。
特に図12を参照すると、図示された実施形態によれば、1218で、RP1202によって必要とされたポリシーおよびALと、遂行されたフレッシュな認証とに基づいて、MFAP110が、遂行されなければならないことになる残りの認証要素を判断する。1220で、MFAP110が、パスワード(PWD)認証が遂行されなければならないと判断してよく、したがって、ユーザ107に、自分のPWDを入力するように要求する。1222で、ユーザ107が自分のPWDを入力し、PWDがMFAP110において受信される。1224で、MFAP110がパスワードをチェックし、ポリシーに基づいて、それが、ローカルバイオメトリック認証が発生するべきであると判断する。1226で、MFAP110が、バイオメトリックアプリケーション112と呼ばれることもある、ローカルバイオメトリック認証機能112を呼び出す。1228で、バイオメトリックアプリケーション112が、ユーザ107に、自分の指を指紋リーダ上にスワイプさせるように要求し得る。1230で、ユーザ107が、自分の指を指紋リーダに結合されたセンサ上に走らせ、指紋(複数可)がバイオメトリックアプリケーション112へ送られる。
特に図12Cを参照すると、図示された実施形態によれば、1232で、バイオメトリックアプリケーション112が、受信された指紋から指紋モデルを生成し、そのモデルを、指紋エンロールメントプロセス中に作成された、ローカルに記憶され、セキュアにされた指紋モデルと比較する。1234で、バイオメトリック認証の結果が、バイオメトリックアプリケーション112によってMFAP110へ送られる。1236で、上記で説明された認証要素の両方が成功裏に遂行される場合、署名付きアサーションが、RP1202によって提供されたハンドル/チャレンジを使用して作成される。署名キーは、マスタIdP/MFAS106と、RP1202と、MFAP110との間の共有秘密であり得る。あるいは、MFAP110のプライベートキーが、アサーションに署名するために使用されてよく、MFAP110の対応する公開キーが、登録プロセス中にMFAS106に登録されていてよい。署名付きアサーションは、ブラウザ704を介してRP1202へ送られ得る。加えて、例示的な実施形態によれば、1242で、PIDが生成される。例えば、PIDは、例えばHMAC−SHA−256(PIDKey,SessionString)@bac.comなどの関数に等しくなり得る。1238で、MFAP110が、署名付きアサーションをPIDとともにMFAS/マスタIdP106へ送る。1240で、MFAS106が、署名付きアサーションと、取得された保証レベルとを検証する。さらに、MFAS106が、1244で、PIDをユーザプロファイルDB1203内に登録し得る。1246で、図示された実施形態によれば、MFAS106が、PIDの登録を確認し、HTTP 200 OKメッセージをMFAP110へ送る。1248で、ブラウザ704が、UE102上のユーザDBを、以下でさらに説明される、その特定のトラストサークル(CoT)についてのPID情報で更新する。したがって、PIDは、MFAP110内に登録され、ユーザ108は、第1のRP1204(例えば、www.bac.com)によって提供されたサービスへのアクセスを有する。
特に図12Dを参照すると、1回目よりも後である2回目に、ユーザは、例えばブローカー(例えば、Merrill Lynch(登録商標))であり得る、第2のRP1204といくつかの取引を実施することを望む。第1のRPおよび第2のRPは、望まれるような任意のサービスプロバイダであり得ることは理解されよう。1242で、ユーザ107が、第2のRP1204に関連付けられる自分のid(jane@merrillynch.com)を使用して、自分のサービス要求を第2のRP1204へ送ることを試みる。1254で、ブラウザプラグイン704が、その要求が、第1のRP1202と同じCoT内に属するRP1204に対して行われると判断する。さらに、ブラウザ704は、PIDがそのユーザ107のために既に存在すると判断する。したがって、ユーザアイデンティティがPIDで置き換えられる。1256で、PID(例えば、abcl2de82...@bac.com)が、「ユーザid」としてRP1204(www.merrillynch.com)へ送られる。1258で、PIDに関連付けられたドメイン名(例えば、bac.com)に基づいて、OpenIDを使用する発見および関連付けが、MFAS106と第2のRP1204との間で遂行される。1260および1262で、HTTPメッセージがマスタIdP106(www.bac.com)へリダイレクトされ、それはまた、この例示的なシナリオではRP1204でもあり得る。1264で、図示された例によれば、IdP106が、AL要件をチェックし、ネットワークベースの認証が許容できるものであり、フレッシュなローカル認証が必要とされると判断する。
特に図12Eを参照すると、図示された実施形態によれば、MFAS106が、ハンドル/チャレンジとAL要件とを、ブラウザ704を介してMFAP110へ送る。1268で、ハンドル/チャレンジおよびAL要件が、MFAP110へ送られる。1270で、MFAP110が、要求された認証のポリシーおよびフレッシュネスに基づいて、任意のローカル認証/要素が遂行されなければならないか否かを判断する。図示された例によれば、MFAP110が、1270で署名付きアサーションを作成する。1272で、署名付きアサーションが、ブラウザ704を介してMFAS106へフォワードされる。1274で、MFAS106が、署名付きアサーションを検証し、必要とされるALが達成されたか否かを検証する。1276で、OIDプロトコルの後に続いて、例えば、署名付きアサーションを含有するリダイレクトメッセージが、第2のRP1204(www.merrillynch.com)へ送られる。1280で、アサーションがRP1204によって検証される。1282で、RPがHTTP 200 Okメッセージをユーザへ送り、ユーザ107が、第2のRP1204によって提供される、要求されたサービスにアクセスすることができる。したがって、第1の認証中に生成されるPIDは、ユーザ介入なしに、他のサービスプロバイダによって提供されたサービスへのシームレスで自動化されたアクセスを得るために、後で使用され得る。
図13および図14を参照すると、第1のトラストサークル(CoT)1302および第2のCoT1304が、UE102に関連付けられ得る。各CoTは、もう1つのリライングパーティ1306を含み得る。例示的な実施形態では、RPは、同じCoT中にあるパートナーを通して、様々なサービスを提供し得る。例えば、RPは、IdPサービスをCoT内の他のRP(パートナー)へ提供し得る。いくつかの場合には、ユーザがそれと対話する第1のRPは、CoT内のメンバーにとってIdPとして作用することができる。CoT内のユーザのためのIdPとして働き得る、単一または少数のRPのみがある可能性がある。示されているUE102は、2つのCoT、詳細には第1のCoT1302および第2のCoT1304に接続されるが、UE102が望まれるような任意の数のCoTと接続され得ることは諒解されよう。いくつかの場合には、RPは、UE/ユーザ102が関連付けられる複数のCoTに属し得る。UE102は、各CoTに関連付けられるアイデンティティを有してよく、各アイデンティティは、互いに対して一意であり得る。ユーザまたはUEが、CoT内のRPのサービスを取得することを望むとき、そのCoTに関連付けられた、関連付けられたアイデンティティが使用され得る。アイデンティティとCoTとの間の関係は、デバイス内で予め構成され得る。図14を参照すると、多要素認証であり得る認証が、UE/ユーザ102(UE@IdP1アイデンティティを使用する)と、RP1304およびIdP1/MFAS106の組み合わされたエンティティとの間で遂行された場合、その認証プロセスの一部として生成されるPIDが、CoT1302内の他のRP1306とのUE/ユーザ102による将来の認証のために使用される。例えば、PIDに関連付けられた有効性またはタイムスタンプが満了した場合、IdP1/MFAS106との再認証が遂行され得る。別の例として、有効な認証が常に利用可能であることを確実にするために、再認証が連続的に遂行され得る。
例示的な実施形態では、PIDのプライバシーは、同じCoT内のRPが、CoT内の他のRPの各々に関連付けられたユーザの永続的なアイデンティティに内々関知していないことを、確実にする。いくつかの場合には、PIDのみが、IdP(MFAS106)とともに遂行された認証を識別するために使用される。PIDと、関連付けられたCoTおよびRP情報とをセキュアに記憶するブラウザプラグインまたはアプリケーションは、以下のように提示され、例として提示されてよく、限定として提示されなくてよい。
いくつかの場合には、特定のユーザは、RP/IdPの各々に関連付けられた、対応する認証クレデンシャル(例えば、UID/PWD、トークン、公開/プライベートキーなど)をもつユーザプロファイルを有する。したがって、認証クレデンシャルは、CoT内のメンバー間で変動し得る。したがって、第1のRP/IdPとともに遂行された認証のALは、各RP/IdPが同じCoT中にあり得るとしても、第2のRP/IdPとともに遂行された認証のALとは異なり得る。さらに、メッセージおよびチャレンジ/ハンドルは、固有の署名キー(RP<−>ユーザ)を用いて署名され得るが、同時に、(ユーザ<−>IdP/RP)キーによって署名されたアサーションを有する。これは、追加のレベルのセキュリティを提供し得る。例示的なキーが表2に提示される。
上記で説明されたように構築および使用された疑似IDは、サービスへの変名のアクセスを可能にし得る。一実施形態では、PIDは、1回限りの識別子であり、したがって、それらは、ユーザが、PIDを受信するRPから個別化されたサービスを取得することを防止する。例えば、PIDは、例えば、PIDの一部である名前または他の個人識別可能な情報を有することなしに、ユーザが特定のIdPのCoTの「メンバー」であることを示す「メンバーシップカード」のようであり得る。
例示的な実施形態によれば、PIDが互いとリンク可能であり得るので、ユーザは、一貫したサービスを受信し得る。例えば、特定のシーケンスにおいて使用されるPIDは、リンク可能であり得る。例として、MFAP110は、アクセスされたRPごとの最後の使用されたPIDを記憶し、それを現在のPIDと一緒に特定のRPへ送り得る。リプレイアタックの確認および防止のために、新しいPIDが、次いで、例えば、以下のように構築され得る。
PID_new=HMAC−SHA−256(PIDKey,SessionString)
リンク可能性は、例示的な実施形態によれば、任意の時間に中断され得る。例えば、リンク可能性は、ユーザの要求によって、または、例えば、以前に使用されたPIDにリンクされないフレッシュなPIDを作成することによって中断され得る。
リンク可能性は、例示的な実施形態によれば、任意の時間に中断され得る。例えば、リンク可能性は、ユーザの要求によって、または、例えば、以前に使用されたPIDにリンクされないフレッシュなPIDを作成することによって中断され得る。
以下で使用されるように、「フェデレーションターゲット」という用語は、ネットワーク認証プロバイダ機能(例えば、OP/NAF、BSFなど)、IdP技術(OpenID、Liberty、RADIUS、LDAPなど)、ネットワーク認証セキュリティアンカー(UICC、スマートカード、NFCセキュアエレメント、トークンなど)、ユーザ認証方法(PIN、バイオメトリ、OTP、トークン、多要素など)、オンデバイスアプリケーション(ブラウザ、アプリ)などを指すことがある。様々な例示的な実施形態では、ユーザのクライアントデバイスは、典型的であるものよりも微細な、粒度の細かい構造を有し、したがって、デバイスは、それら自体がフェデレーションターゲットである、例えばセキュアエレメントおよびアプリケーションなど、別個のエンティティを含み得る。
便宜上、フェデレーションターゲットの例示的なリストが、例として、限定なしに、表3において提示される。
表3を参照すると、デバイス界およびネットワーク界は、部分的な「鏡像」対称を示し得る。いくつかの場合には、この対称は、例えばユーザと、それにユーザが登録されるアイデンティティプロバイダとの間、または、ネットワーク認証に関連付けられた物理的セキュリティアンカー間などの、トラスト関係を示し得る。他の場合には、デバイス界とネットワーク界との間の接続は、例えば多数のWiFiネットワークへのアクセスを容易にする汎用WiFiクライアントアプリケーションなど、機能的なものであってよく、その場合、このアプリケーション自体が、サービスのタイプにわたって連携するための手段の一部になり得る。
フェデレーションターゲットは、エンティティクラスとして、またはその具象インスタンス化として、以下で説明される例示的なSSOアーキテクチャにおいて現れる。それらは別として、1または複数のターゲットエンティティクラスのためのフェデレーションを達成することにおいて助けになり得る、機能的ビルディングブロックもあり得る。例えば、「SSOフレームワーク」という用語は、ユーザ認証方法、アプリケーション、およびセキュリティアンカーを連携することにおいて中心的役割を果たし得る、デバイス上の機能的ネクサスを指す。
以下の略語が、上記で導入されたエンティティクラスのために使用され得る。以下の表は、いくつかの頭字語をリストしている。本明細書で使用される他の頭字語は、よく知られていることがある。表4を参照すると、UおよびUIDは、ユーザと、識別子として実施されるそれらのアイデンティティとの間の区別を表し得る。例えば、1人のユーザは、2以上のアイデンティティを有し得る。
本明細書で使用されるとき、リライングパーティ(RP)という用語は、ユーザのためのアイデンティティアサーションを受け入れる、および/または評価する、エンティティを指すことがある。サービス(SRV)は、限定はしないが、サービスプロバイダを指すことがある。さらに、サービスはRPであり得るが、そうである必要はない。
背景として、連携されたアイデンティティ管理システムを介して、サービスプロバイダは、認証アサーションのためにサードパーティにアクセスする手段を有する。これは、彼らが複数のサービスプロバイダ(SRV)にアクセスするために思い出す必要があるクレデンシャルの数を限定することによって、認証をユーザにとってよりユーザフレンドリーにする。しかしながら、ユーザが、低価値サービスから高価値サービスまでの可変グレードサービスにアクセスするとき、認証の強度もまた、粒度の細かい形で変動し得る。ユーザに最高のグレードの認証を負わせるのではなく、本明細書では、必要なときのみ、ユーザに負担をかけることが有益であり得ることが認識される。したがって、可変グレード認証を連携されたシステムに提供することは、必要とされるとき、依然として高強度認証を提供しながら、ユーザにとっての認証経験を簡略化し得る。
さらなる背景として、IdPは、しばしば、ユーザアイデンティティ(例えば、電子メールアドレスなどの名前付きID)と、ユーザ固有のデータ(ビリングおよび出荷情報、または消費者選好など)とを一般的に提供する。しかし、IdP自体は、ユーザ名/パスワードよりも強力なユーザ認証方法を通常は提供しない。より強力な認証方法を採用するためのIdPによる様々な試みは、これまでは散在しており、プロプライエタリであり、断片化されており(2次チャネルを使用する要素としてSMS OTP、もしくは特殊な暗号トークンを採用することなど)、または、釣り合いが取れるように実装するためにコストがかかる(キーフォブなど)ままである。したがって、現在の技術は、ユーザのための認証方法を選定することが可能にされないサービスプロバイダにとって、柔軟性がない。また、認証方法技術の断片化は、スケーラビリティおよび展開コストに悪影響を及ぼす。
現在の技術は、サービスプロバイダがポリシーを記述および施行して、異なる状況におけるユーザの多要素認証を柔軟に統制すること、例えば、チェックアウトおよび支払いとは対照的にウェブショップに最初にログオンすることを可能にしない。また、サービスプロバイダは、例えば、GBAを使用する3GPPネットワーク認証など、ネットワークベースの認証方法に容易に接続して、複数の追加の認証要素にアクセスすることができない。
図15を参照すると、図示された実施形態によれば、例示的なアーキテクチャ1500は、サービス1502とIdP(IDP)1504との間、および、サービス1502とネットワーク認証エンティティ(NAE)1506との間に中間レイヤを提供する。この中間物は、フェデレーションネクサス(Federation Nexus)(FNX)1508と呼ばれることがある。FNX1508は、古典的なアイデンティティプロバイダ役割を実施することに加えて、コネクタ1510と、下位機能のクラスと見なされ得る、ブローカーとを制御する、汎用マスタIdP役割を実施し得る。FNX1508は、MFAP110またはMFAS106(図1参照)上に存在する、論理エンティティであり得る。
さらに図15を参照すると、図示された実施形態によれば、コネクタ1510は、様々な標準化された、またはプロプライエタリなネットワークベースの認証方法へのインターフェースを提供する、NAEコネクタ1510aであり得る。コネクタ1510は、IDP1506へのインターフェースを提供するIDPコネクタ1510bであってよく、IDP1506は、次にユーザ識別子およびユーザ情報をリリースし得る。コネクタ1510は、例えばAAAなど、ユーザ認証および管理のための様々なサービスへのインターフェースを提供する、サービスコネクタ1510cであり得る。
さらに図15を参照すると、例示的な実施形態によれば、保証レベルブローカー(ALB)1512は、FNX1508の必須の機能を可能にし得る、データベースおよび論理機能である。ALB1512は、上記で説明されたように、保証レベルをマッピングし得る。保証レベルは、例えば保証機関1516として、ある機関によって定義されたユーザ真正性の保証のレベルの列挙を指すことがある。したがって、ALB1512は、保証レベルを、認証方法、および、例えば認証のフレッシュネスなどの補足条件にマッピングし得る。例示的な実施形態によれば、認証フロントエンド(AFE)ブローカー(AFB)1514は、調整されたフロントエンド(例えば、javascriptまたはActiveX(登録商標)エレメントなど、ウェブページまたはアクティブウェブエレメント)を提供して、ユーザ認証をサポートする、ブローカーであり得る。AFE1514は、組み合わされた認証を表す、調整されたフロントエンドを提供し得る(例えば、EAP−SIMなどのNAE認証が、電子メールアドレスなどのIDPアイデンティティに対して認証するために使用されることをユーザに反映すること、およびユーザからの受入れを要求すること)。
次に図16を参照すると、例示的なアーキテクチャ1600は、サービス1502と「バックエンド」IdP1504との間で介在およびインターフェースする、プロキシIdP1602を含む。図示された実施形態によれば、プロキシIDP1602は、サービス1502と、一般にIDP1504およびNAE1506エンティティと呼ばれることがある、バックエンド認証およびアイデンティティサービスとの間で、中間アグリゲーションレイヤを確立し得る。プロキシIDP1602は、他のIdPへの接続を含み得る。プロキシIdP1506はまた、IdP/NAEへのカスタム接続を有し得る。
例示的なアーキテクチャ1600は、SRV1502を、例えばgoogle(登録商標)ツールキット1606またはプラグイン1608などの認証フロントエンドに接続する、認証フロントエンド(AFRO)アグリゲータ1604をさらに含む。AFROアグリゲータ1604は、AFROからプロキシIDP1602へ情報交換を提供し得る。したがって、異なるAFROが、様々なIDPおよびNAE方法をトリガするために使用され得る。また、AFROアグリゲータ1604は、例えばトリガを介して相互通信を提供することによって、複数のSRV1502を伴う使用事例を容易にし得る。
プロキシIDP1602は、例えば、EAP−SIM、GBA、AKA、AKA’など、複数の異なるNAEプロトコルへの接続を提供し得る。プロキシIDP1602は、例えば、OpenID Connectプロバイダ、SAML Authority、X.509 CA、RADIUSおよびLDAPサーバなど、異なるインターフェースを介して、IDPへの接続を提供し得る。プロキシIdP1602は、NAE認証をトリガし得る。プロキシIdPは、それ自体のマッピングデータベースを使用することによって、または、UE上に存在し得る別のエンティティによるマッピングをトリガすることによってのいずれかで、異なるアイデンティティドメイン間でUIDをマッピングすることができる。プロキシIDP1602は、例えばプロセス同期のために、AFROアグリゲータ1604と通信することができる。プロキシIDP1602は、ユーザ認証に関するポリシーを維持および施行し得る。
AFROアグリゲータ1604は、様々な機能を実施し得る。例として、AFROアグリゲータ1604は、JavaScriptコードが添付されるボタンなど、認証トリガエレメントを動的に作成し得る。アグリゲータ1604は、トリガエレメントを、サービスおよび/またはユーザデバイスへ送り得る。アグリゲータ1604は、ユーザデバイスへ送られ得るコードエレメントを動的に作成することができる。コードエレメントは、デバイスによって、例えばNAEまたはユーザ認証方法などの認証方法と対話する、例えばそれをトリガするために使用され得る。図16に図示された、いくつかのエンティティは、他のエンティティの役割とともに折りたたまれ、および/または一体化され得ることは理解されよう。例えば、NAEはIdPでもあり得る。さらに、プロキシIDPおよびAFROアグリゲータは、例示的な実施形態によれば、互いと一体化され得る。SRV1502とプロキシIDP1602との間のインターフェースは、例えばOpenIDなど、予め定義されたインターフェースであり得る。したがって、SRV1502は、プロキシIDP1602におけるOP機能に直接接続し得る。あるいは、プロキシIDP1602は、SRV選好により、多数のインターフェースを一体化し得る。
プロキシIDP1602によって可能にされる例示的な有利な機能をさらに説明するために、例示的なシナリオが以下で説明される。例として、ユーザは、大規模なインターネットIDP(例えば、google)によって提供されたアイデンティティを使用して、自分のラップトップコンピュータ上でオンラインショップにログインする。自分のバスケットが満たされると、ユーザは、チェックアウトへ進む。ショップのチェックアウト機能は、より強力な要素、この例示的な場合では、NAE(例えば、OpenID/GBAを使用する)による認証を必要とする。これを実施するために、プロキシIDP1602は、ユーザのスマートフォン上でOpenID/GBA認証をトリガする。前提条件として、プロキシIDP1602は、インターネットIDPからのユーザアイデンティティを、NAE第2の要素認証(例えば、IMSI)のために使用される識別子にマッピングする。上記で説明された例では、プライバシーが保護され得る。例えば、オンラインIDPがユーザのNAE識別子を知ることは、必要ではない。同様に、NAEは、ショップのために使用されるオンラインUIDを知る必要がない。上記で説明されたオンラインIDPおよび/またはNAEは、例えばビリングなど、追加のバックエンド機能をチェックアウトに提供し得るが、それらの間の相互接続を必要とすることはない。さらに、認証要素は、随意に、例えば要件に従って、オーケストレートおよび組み合わされ得る。
以下で説明される別の例示的なシナリオは、判断されたNAEおよび/またはユーザ認証方法を使用する、あるIDPから別のものへの、ユーザの例示的なエンロールメントを示す。例として、ユーザのデバイスは、ユーザが接続することを望む、近傍にある、以前に知られていないWiFiホットスポットネットワークを発見し得る。ホットスポットネットワークは、ユーザがビリングのためのMNO加入を示すこともできる場合に、それがユーザのGoogle Mailアイデンティティを受け入れることを告知する。プロキシIDP1602は、Google MailアイデンティティをMNOアイデンティティ(例えば、IMSI)にマッピングすること、または、そのマッピングをトリガすることによって、この例示的な使用事例を可能にし得る。プロキシIDP1602は、ユーザ選好およびホットスポットネットワーク使用ポリシーが互いに従うものであるか否かをチェックし得る。プロキシIDP1602は、AFROアグリゲータ1604を介して好適なフロントエンドに接続して、ホットスポットネットワーク契約条件をユーザに表示し、ユーザによるその受入れを取得し得る。さらに、プロキシIdPは、ホットスポットネットワークによって必要とされ得るあるユーザ情報を転送(または、その転送をトリガ)し得る。
次に図17を参照すると、FNX1508は、例えば、認証保証レベルのためのそれらのそれぞれのポリシーに基づいて、SRV1502によって要求されるような、複数の認証要素を使用する認証を可能にし得る。図示された実施形態によれば、プロキシIdP1602、例えばOpenIDプロバイダインスタンスは、技術的エンドポイントである。したがって、ポリシーネゴシエーション機能1702および多要素アサーション機能1704など、多要素認証のための追加の論理が、SRV1502とは別個であり、それから隠され得る。図示されるように、追加の論理は、多要素オーケストレータ(MFO)1706と呼ばれる、ステアリングエンティティにおいて集中される。MFO1706は、OPがフロントエンドとしてFNX1508と一体化されるときの場合に、OPを制御し得る。
多要素認証を遂行するために、OPは、全体的な認証手順をイニシエートするため、および完了するために、追加の機能を必要とし得る。例えば、OPは、ポリシーDB1708に記憶され得る、SRV1502によって出された認証の要件と、ユーザ/UEデータベース1710中に記憶され得る、各ユーザおよびUEの能力/選好との間のマッチを見つける、特定のポリシーネゴシエーション機能、この例では、ポリシーネゴシエーション機能1702を必要とし得る。
さらに図17を参照すると、多要素アサーション機能1704は、行われた多要素認証の細目を準備およびアサートし得る。示されたように、MFO、ポリシーネゴシエーション、アサーション生成、およびOPエンドポイントは、密に一体化され得るが、それらはまた、アプリケーションレイヤインターフェースによって、疎に結合および接続され得る。実際の、単一認証は、それらが多要素プロセス全体に対してそれぞれアグノスティックであるように、透過的な方法で遂行され得る。
図18を全体的に参照すると、デバイス界フェデレーションアーキテクチャは、ネットワーク界アーキテクチャと対称的に構築される。例示的な場合では、デバイスは、フェデレーションの目的で、バックエンドエンティティ、詳細には例えばMFAS106によって遠隔で制御される、パッシブエンティティと見なされ得る。このタイプのシナリオは、デバイス上へのフェデレーション技術の展開に関して、最小要件を出す。結果として、レベル1デバイス側アーキテクチャを使用する現在のフェデレーション手順は、「クラウドにおけるフェデレーション」に集中する。したがって、認証要素の組合せなど、フェデレーションのメインタスクは、ネットワーク界エンティティMFASおよびNAEによって負担され得る。
図18を参照すると、UICCにおけるEAP−SIM認証など、デバイス102上で事前に既存であり得るローカル認証機能が、ブラウザおよび他のアプリケーションによってエクスポーズされ得る。これらのプラグインエレメントは、MFAS106を通して、認証NADとネットワークバックエンドとの間でインターフェースする、簡略化された通信を実施し得る。この通信は、NAD認証をトリガする。
プラグイン1802など、様々な認証プラグインは、いくつかの認証エンドポイント1804を通して、それらのそれぞれのNADを操作し得る。例えば、認証エンドポイントは、EAP−SIMまたはAKAプロトコルスタックからなり得る。次に、認証エンドポイント1804は、予め定義されたインターフェースを介して、実際のNAD認証にアクセスし得る。いくつかの場合には、複数の認証エンドポイントおよびNADは、Android(登録商標)オペレーティングシステムからの様々なセキュアエレメントへのアクセスを可能にする、例えばOpenMobile APIなどの共通APIを通して、アクセスされ得る。
特定の認証要素は、例えばバイオメトリック要素など、ローカルユーザ認証要素を含み得る。それらの認証エンドポイントおよびNAD(バイオメトリックリーダ)は、BioKeyのWebKeyによって提供されるなど、プロプライエタリ技術からなり得る。いくつかの他の認証要素はまた、ユーザ対話および/またはローカルユーザ認証を伴い得る。いくつかの場合には、そのような対話は、ボタンを押すか、またはPINを入力することによって、認証アクションを受け入れることにまで低減される。
また図19を参照すると、例示的なアーキテクチャ1900は、サーバ側MFAS106と相互動作中であり得る、デバイス102上で、多要素認証のために使用され得る。アーキテクチャ1900は、様々な形で、上記で説明されたパッシブデバイスアーキテクチャとは異なる。例えば、アーキテクチャ1900は、デバイス102上でMFAP110を含む。
図19を参照すると、例示的な実施形態によれば、デバイス102のトラステッド実行環境(TEE)は、極めて重要なデータを改ざんすることが可能ではないように、アーキテクチャ1900における様々な機能を保護し得る。例示的なセキュリティ要件のさらなる詳細が、以下で詳述される。
例のために、多要素アーキテクチャ1900の例示的な機能が、Androidプラットフォームに基づいて説明されるが、このアーキテクチャが、望まれるように他のプラットフォームにも適用され得ることは諒解されよう。ポリシー動作は、Android OSスキーマ「soid.scheme://<method>.<factor>/<factor−data>」に登録されたAndroidアプリケーションが、ブラウザエージェント(BA)1902を使用してトリガされるとき、MFAL110と呼ばれることもある、多要素認証プロキシ110においてコールされるべき第1のアクティビティであり得る。Androidアプリケーションのこのレイヤは、多要素認証のために決定を行い、ポリシーをフィルタ除去し得る。例えば、アクセス権ポリシーに基づいて、様々な認証要素が必要とされると判断され得る。デバイス−ローカル認証のために定義されたポリシーに基づいて、異なるローカル認証要素(LAF)1904およびネットワーク認証デリゲート(NAD)1906が、認証要求を処理するためにコールされる。異なる認証要素は、Androidアプリケーションにおける異なるアクティビティの一部であり得る。
MFAL110およびローカル認証要素1904LAFの状態は、Android OSのアプリケーションシステム状態アプリケーションに更新され得る。このシステム状態アプリケーションは、可能な場合、TEEにおいてランするべきであり、その理由は、それが、認証要素の数、認証要素の状態(例えば、成功、失敗)、再試行の数、セッション情報など、認証依存情報を含有し得るからである。
いくつかの場合には、LAF19004は、認証のためにUE102のローカルエンティティのみを必要とする要素であり得る。例えば、そのような要素は、ローカルデータベースに対するローカルパスワード認証、ローカル指紋認証、ローカル虹彩スキャン、行動パターン認証などを含み得る。
ネットワーク認証デリゲート(NAD)1906は、内部/外部ネットワークのサーバと通信することを必要とし得る。例示的な認証は、MNO認証、SIMベースのデバイス認証、指紋認証などを含む。
図示されたMFAL110中に含まれるローカルアサーションエンティティ(LAE)1908は、ローカルで実行された認証に関するアサーションを発行するためのあるポイントであり得る。ローカル認証シナリオにおいても、ネットワーク上にLAEがあり得る(例えば、上記で説明された、ローカル認証+ネットワークアサートシナリオ)。LAE1908は、MFALポリシープロセッサ1912が、MFAS106から受信されるような、ローカル認証のための認証ポリシーを成功裏に実行した後、アサーションをピアMFAS1906に発行し得る。
機能、論理、およびデータを、ユーザ認証などのトラステッド機能が与えられているユーザデバイス102上に置くとき、本明細書では、セキュリティが最も重要であることが認識される。以下で説明されるものは、例示的なアーキテクチャ1900上でセキュリティを実装するいくつかの実施形態である。
一実施形態では、単一認証要素の機能が必ずしもTEE中に含まれるとは限らず、その理由は、各要素のセキュリティが別個で査定され得るからである。したがって、デバイス上でローカルに実施された認証要素は、ソフトクレデンシャルストアを使用するソフトウェアセキュリティレベルを有し得る。さらに、認証要素は、スマートカードによって提供されたハードウェアセキュリティを有し得る。別の例として、ローカル認証要素は、中間レベルを有してよく、例えば、セキュア指紋リーダは、ユーザ空間においてランしているアルゴリズムにマッチするソフトウェアと組み合わされ得る。さらに、様々な実施形態によれば、特定の認証要素は、TEEリソースを使用し得る。
認証要素NAD1906およびLAF1904からのデータパスは、TEEリソースによってセキュアにされ、例えば暗号化された/完全性保護されたメッセージングであり得る。また、ユーザへ/から、LAF/NADへのデータパスは、TEEリソースによってセキュアにされ得る。加えて、例示的な実施形態では、認証結果がMFAL110とMFAS106との間で送られるデータパスが保護される。
データベースは、必ずしもTEE保護されたストレージ中に含まれるとは限らないが、TEEリソースによって、例えば少なくとも完全性のために保護され得る。いくつかの場合には、ユーザ/UEデータを含有するDBは、プライバシーのために暗号化される。
MFAL110がローカルアサーション製作エンティティを含有する場合、例えば、その論理は、TEEの内部で保護され得る。さらに、ルートクレデンシャル、およびローカルで生成されたアサーションの実際の署名プロセスは、TEEによって、または、LAのためのSEとして図示され得る別個のセキュアエレメントによって保護され得る。SEは、長期秘密(Long Term Secret)(LTS)を有し得る。
図20を参照すると、例示的な実施形態による、例示的なサーブレットアーキテクチャ2000が示される。例示的なアーキテクチャ2000は、OpenIDサーブレット2002と、多要素オーケストレータ(MFO)1706と、個々の認証モジュール2004とからなる。構成要素はモジュラリティを維持するので、既存のベースシステムへのさらなる拡張が実装され得るようになる。実装されたモジュラーおよび疎結合された設計は、本明細書で説明されるポリシーシステムなど、追加の機能性、または追加の認証要素を、新しい認証モジュール2004として追加する可能性を提供する。開発および展開観点から、アーキテクチャ2000は、比較的最小の作業で他のシステムが既存のシステムと一体化し得るので、利益を提供する。
図示された実施形態によれば、OpenIDサーブレット2002は、OpenIDプロトコル機能性を含有する。OpenIDサーブレット2002は、RP104とのOpenID関連付けを作成すること、および、OpenID署名付きアサーションを作成することを担い得る。MFOオーケストレータ1706は、OpenIDサーブレット2002にインターフェースし、多要素認証機能性を提供する。例えば、OpenIDサーブレット2002は、MFO1706をトリガすることによって、多要素認証を呼び出し得る。これらの独立したサーブレットを有することによって、例えば、OpenIDプロトコルの機能性および多要素認証の機能性は、コード依存性を低減するために互いから隔離されたままであり得る。
MFO1706は、多要素認証のためのコア機能的構成要素であり得る。例示的な実施形態では、MFO1706は、認証要素をフェッチすること、個々の要素の処理を順序付けすること、認証モジュールのための終了条件を判断すること、および、基礎をなすポリシーに基づいて個々の認証結果を統合することを含む、様々な機能性を実施することができる。より高いレベルで、MFO1706は、OpenIDサーブレット2002と認証モジュール2004との間のゲートウェイと見なされ得る。MFO1706は、認証の主要な機能性の大部分がこのモジュールにおいて実装され得るので、既存のシステムのさらなる拡張の可能性を提供する。
図示された実施形態によれば、認証モジュール2004は、認証要素のタイプに基づいて、様々な認証構成要素を含有する(例えば、パスワード認証モジュール、Biokey認証モジュール、スマートOpenID認証モジュール)。例示的な実施形態によれば、MFO1706は、JSONオブジェクトとして記憶され得る、各ユーザのプロファイルをフェッチし、ユーザが実施することができる認証要素のタイプを判断する。さらに、MFO1706は、認証要素が遂行されるべき順序を判断し得る。対応する認証要素(例えば、Biokey、Smart OpenID、EAP SIM)を実装する認証モジュール2004は、MFO1706によってトリガされる。1つの例示的な実施形態では、1つの認証要素に固有のコードの実行が完了すると、制御がMFO1706へ戻され、MFO1706は、そのユーザのために必要とされた認証要素のすべてにわたって反復してしまうまで、同じ手順を繰り返す。したがって、多要素認証プロセスは、認証要素のうちの少なくとも1つ、例えばすべてが、ユーザによって成功裏に完了されたとき、終了し得る。
JSON txtファイル2006は、ユーザ名識別子をオブジェクトとして、および、対応するユーザデータを、JSONスニペットにおいて見られ得るキー/値としてもつ、対応するキー/値ペアをもつオブジェクトを含有し得る。一実施形態では、それは、例えば以下などの様々な情報を記憶する、ユーザデータベースであり得る。
上記の例示的なJSONスニペットを参照すると、JSONスニペットは、OpenID識別子を含むOpenIDプロトコル情報と、この特定のユーザのための認証のために使用される認証要素のタイプと、各ユーザのための認証要素の実行の順序(認証要素がJSONファイルにおいて規定される順序であり得る)と、Biokey人物IDとを含み得る。JSONスニペットはまた、例えば、フルネーム、電子メール、市など、ユーザに関連付けられた様々な情報を含有し得る。
さらに図20を参照すると、図示された認証モジュール2004は、外部モジュールではなく、MFAS110の一体部分である。いくつかの場合には、モジュール2004は、JSONユーザDB2006からの情報を使用して、それらのジョブを完了し得る。例えば、BioKeyを用いたバイオメトリック認証の場合、認証モジュール2004は、DBを使用して、返されたBioKey IDをユーザのBiokey IDにマッチさせ得る。
特定の認証要素のための再試行およびフレッシュネス情報もまた、認証結果オブジェクト内に記憶され得る。ユーザのための認証要素への保証レベルマッピングもまた、ユーザプロファイルにバインドされたままにされ得る。
図21を参照すると、一実施形態によれば、MFAS106を使用する各ユーザは、サーバ106内の内部での動作のために使用される内部DB4Oユーザレコードを有し得る。例示的な実施形態では、図21を参照すると、MFAS106は、オープンソースライブラリを利用する動作モジュールを介して、LDAP2102と対話する。したがって、MFAS106は、LDAP2102に接続し、LDAP2102からのユーザIDに基づいて、ユーザ情報をフェッチするための動作を含有し得る。例えば、通常のブラウザを使用中であるUE102は、リライングパーティのURLにヒットし、自分のOpenID識別子を入力することがある。リライングパーティは、OpenID識別子に基づいてOpenIDプロトコルを実行するように、MFAS106をトリガする。MFAS106上のDB4O動作モジュールは、LDAP2102からフェッチされるユーザプロファイル情報をポピュレートし得る。DB4O動作は、ユーザプロファイル情報を記憶し、読み出し、更新するための機能性を含有し得る。図示されるように、LDAPサーバ2102は、LDAP接続を確立することによって、MFASサーバ106によって到達可能である外部エンティティであり得る。Oracle(登録商標) Database 2104は、Biokeyセットアップの一部であり得る、外部エンティティである。Oracleデータベース2104は、Oracleデータベース接続を確立することによって、ウェブキーサーバ2106によって到達可能であり得る。
さらに図21を参照すると、図示された実施形態によれば、クライアントマシン102に、指紋エンロールメントおよび識別目的のためのドライバがインストールされる。クライアントマシン102は、HTTPを介して、RP102、MFAS106、ウェブキーサーバ2106、およびウェブキーアプリケーションサーバに到達することができる。MFASサーバ106とWebKeyサーバ2106との間の通信は、HTTPを介したものであり得る。
図22および図20を参照すると、図示された実施形態によれば、2202で、ユーザ107ユーザが、OpenID URL/ユーザ名を入力する。2204で、リライングパーティ104が、OpenIDプロバイダ106を発見し、関連付けを確立する。2206で、RP104が、ユーザ機器102をOP106へリダイレクトする。2208で、ユーザ102/107が、OpenIDプロバイダ106へのリダイレクトに従う。OpenIDプロバイダ106は、UE102の認証のために、制御をMFO1706に渡す。OpenIDサーブレット2002は、ユーザDB JSONファイル2006にアクセスして、ユーザ識別子の存在についてチェックする。多要素オーケストレーション(MFO)1706は、ユーザのための認証要素を含む、必要とされるユーザ情報をJSONファイル2006からフェッチし、個々の認証要素を処理する。MFO1706は、認証要素と実行の順序とを、ユーザのためのJSONファイルから読み出す。2209で、MFO1706が、パスワードモジュール、バイオキーモジュールEAP−SIMモジュールなど、個々の認証モジュール2004に制御を渡す。2211で、各個々の認証要素が実行された後、それが制御をMFO1706へ戻し、MFO1706が、次の認証要素をトリガする。したがって、ステップ2209および2211は、特定のユーザのためのすべての要素が完了されるまで、各認証要素について繰り返され得る。2213で、例えばすべての認証要素が処理されると、多要素オーケストレータ(MFO)1706が、個々の認証要素結果を使用して、統合された多要素ユーザ認証結果を処理する。2210で、ユーザのための多要素認証結果が成功すると、例えば、OpenIDサーブレット2002が、OpenID署名付きアサーションを作成する。2212で、HTTPリダイレクトに従うことによって、ユーザ107が、この署名付きアサーションをRP104に持ち込む。したがって、2214で、ユーザ107およびUE102が、RP104によって提供されたサービスにアクセスすることができる。
図20を参照すると、OpenIDサーブレット2002およびMFO1706は、例示的な実施形態で実装される追加の特徴のための一体化ポイントを含む。例えば、OpenIDサーブレット2002は、RPとのネゴシエーションを可能にすることができる、ポリシーネゴシエーション機能をさらに含み得る。OpenIDサーブレットはまた、それが個々の認証要素のための多要素認証アサーションを作成し、署名することができるように、アサーション作成機能を含み得る。MFO1706は、それがフレッシュネスをチェックすること、認証再試行を追跡すること、ポリシーを施行すること、および、例えばBiokey識別子など、要素から返される属性を評価することを可能にする、機能性をさらに含み得る。
次に図23を参照すると、例示的なポリシーベースの認証アーキテクチャ2300が示される。アーキテクチャ2300は、例えば、OpenID識別子、および、多要素認証において使用され得る、上記で説明された他のユーザ属性など、様々なユーザ情報を含有し得る、ユーザDB2302を含む。アーキテクチャ2300は、ポリシー情報ポイント(PIP)2306と呼ばれることもある、ポリシーストア2306と、ポリシー決定ポイント2304と呼ばれることもある、ポリシーエンジン2304とをさらに含み得る。
一実施形態では、PIP2306は、様々な内部または外部エンティティから情報を収集する情報源ポイントとして作用する。OpenIDサーブレット2002は、PIP2306に、RPとのポリシーネゴシエーションのための情報をフィードする、エンティティとして作用し得る。したがって、RPは、必要とされる認証のためのユーザデバイス能力を識別することができる。決定を行うために、ポリシーエンジン2304に影響を及ぼす、追加のエンティティがあり得る。ポリシーエンジン2304は、特定のユーザについて、またはポリシーについて、PIP2306から関連情報を収集する意志決定ポイントである。一実施形態では、ポリシーエンジン2304は、ポリシー決定を1または複数のポリシー施行ポイント(PEP)にパブリッシュし、ポリシー施行ポイント(PEP)は、ポリシーを施行するタスクを課せられる。例えば、MFO1706は、再試行の数、フレッシュネスチェックなどに基づいて、ポリシーを施行することができるPEPであり得る。
次に図24を参照すると、例示的なシステム2400は、Smart OpenIDに基づく多要素認証を実装する。図24は、UE102の例示的なアーキテクチャを示す。2402で、図示された実施形態によれば、UE102が、RP104からのサービスを要求する。2404で、RP104が、OPSF106との発見および関連付けを実施する。UE102が、2406および2408で、OPSF106へリダイレクトされる。24100で、OPSFがローカルユーザ認証をイニシエートする。認証が、UE102上で、ローカル認証エージェントのうちの1つを使用して実施され、2412で、認証結果がブラウザ704へ送られる。ブラウザ704が、2414で、認証結果を2414へ、OPSF106へフォワードする。OPSF106が、2416で、認証保証をブラウザ704に提供する。2418で、UE102が、アサーションに基づいて、RP104によって提供されたサービスへのアクセスを受信することができる。
次に図25を参照すると、例示的な多要素アプリケーション2500が示される。アプリケーションがAndroidアプリケーションとして図示されるが、多要素アプリケーションが、望まれるような代替的なプラットフォーム上で実装され得ることは諒解されよう。アプリケーション2500は、メインアクティビティ2502によって認証要素として始動され得る、1または複数のアクティビティを含む。1または複数のアクティビティは、Sim認証アクティビティ2504と、Smart OpenIDアクティビティ2506と、Biokeyアクティビティ2508とを含む。アクティビティ2504、2506、および2508の各々はまた、認証要素アクティビティと呼ばれることもある。認証要素アクティビティは、それぞれ、そのステータスを状態アプリケーション2510に対して更新することができる。ステータスの例は、認証、および非認証を含む。図示された実施形態によれば、要素の各々がデバイスの認証のために実施された後、図25に示されるように、制御に完了アクティビティが与えられる。この完了アクティビティは、図24に示されるように、認証結果をOPSF106へ送り得る。認証/完了サーブレットは、認証結果を受信し、次いでデバイスを認証し得る。
次に図26A〜図26Cを参照すると、例示的な認証システム2600は、ユーザ2602と、ウェブキークライアント2604と、ブラウザエージェント2606と、RP2610と、OP2612と、パスワードサーバ(PWD)2614と、アプリケーションサーバ2616と、ウェブキーサーバ2618とを含む。ウェブキークライアント2604およびブラウザエージェント2606は、ユーザ2602の一部であり得る。ユーザ2602、RP2610、OP2612、PWD2614、アプリサーバ2616、およびウェブキーサーバ2618は、ネットワークを介して互いと通信し得る。
また図15および図17を全体的に参照すると、パスワードベースのユーザ認証は、FNX1508を介して、指紋ベースの識別および認証と一体化され得る。例えば、バイオメトリックNAEコネクタ(例えば、ウェブキー2604)は、FNX1508とコロケートされ得る。FNX1508は、特定のユーザがサポートする認証方法を記憶するデータベースへのアクセスを有し得る。いくつかの場合には、サービスプロバイダ(RP)は、OpenID PAPE拡張を使用して、その望まれる/必要とされる認証方法をFNX1508に通信することができる。
例示的な実施形態では、RP2610が、必要とされる認証ポリシーに関する決定を行い、その理由は、例えば、RP2610は、どのような認証の強度が、それが提供するサービスのために必要とされるべきであるかを、最も良く知り得るからである。RP2610は、例えば、PAPEを使用して、この必要とされるポリシーをFNX1508に通信することができる。FNX1508は、そのポリシーに基づいて、および、ユーザ/UE2602の能力に基づいて、認証を実行し得る。例として、表5は、能力およびポリシーの例示的なマッピングを示す。表5を参照すると、4つの異なる認証画面が、4つの異なる成果をレンダリングするが、望まれるような任意の数の成果がレンダリングされ得ることは理解されよう。図示された例によれば、FNX1508は、ポリシーおよび能力に基づいて、パスワード認証が必要とされること、バイオメトリック認証が必要とされること、パスワードとバイオメトリックの両方の認証が必要とされること、または、ユーザ102がサービスにアクセスすることができないことを判断し得る。したがって、パスワードを要求する、指紋を要求する、パスワードおよび指紋を要求する、または、彼らがサービスにアクセスすることができないことをユーザに知らせる、UE102上の画面が表示され得る(表5参照)。
特に図26Aを参照すると、2620で、図示された実施形態によれば、ユーザ2602がブラウザ2608を開き、RPウェブページ2610を訪れ、自分のOpenID識別子(URL)をOpenIDログインフィールドに入力する。2622で、RP2610が、ローカルポリシーデータベースを用いてチェックし、バイオメトリック認証がこの特定のユーザのために必要とされると判断する。2624で、RP2610が、OpenID発見および関連付けステップをランし、関連付けの結果として、OP2612から共有キーを取り出す。例示的な実施形態では、OP2612は、サポートされた認証ポリシーを、Yadis発見のためのユーザのXRDSドキュメントに追加することによって、発見段階で特定の認証ポリシーのためのサポートを広告することができる。2626で、RP2610が、UE2602をOP2612へダイレクトすることによって、OpenID認証要求を開始する(間接要求)。RP2610は、例えば、PAPE拡張を使用して、現在のアサーションのための認証ポリシーのためのその選好を記述する、任意の必要なパラメータを含み得る。例えば、RP2610は、それがパスワードおよびバイオキー認証を必要とすることを示し得る。2628で、UEブラウザ2608が、RP2610から受信されたリダイレクトに従い、要求をOP2612に発行する。例示的な実施形態では、ステップ2628の後、およびステップ2630の前に、ポリシーレイヤおよび多要素認証レイヤが、上記で説明されたように、それを用いて認証をトリガするための任意の必要な認証インターフェースを判断し得る。この例では、ポリシーレイヤは、BIOkeyとパスワードの両方の認証が遂行されるべきであると判断し、ポリシーレイヤは、次いで、両方の認証方法をランするように、多要素認証レイヤをトリガする。2630で、OP2612が、ユーザデータベースと呼ばれることもある、PWD2614を用いてチェックして、ユーザがDB中に存在することを検証する。ユーザがデータベース中に存在する場合、OP2612が進み得る。そうでない場合、OPは、ユーザ(実装についてはOOS)がPWD2614に登録するための、登録/サインアップページを提示し得る。2632で、OP2612が、ユーザにパスワードのためのタスクを課す。2634で、ユーザがパスワードを入力し、パスワードのダイジェストがOP2612へ送り返される。2636で、OP2612が、パスワードデータベース2614を用いて、受信されたパスワードダイジェストをチェックして、受信されたパスワードを妥当性検査する。パスワードが正しい場合、OP2612が進み得る。OP2612は、セッション識別子を使用して、内部で現在のセッションを追跡し得る。
特に図26Bを参照すると、図示された実施形態によれば、2638で、OP2612が、例えば認証要求(ステップ2626参照)からのユーザ名に基づいて、一般にアプリサーバ2616と呼ばれる、BIOkeyバイオメトリック認証サブシステムをトリガするために、必要なキーおよび識別子を取り出すことができる。Biokey技術は、異なる識別子を内部で使用することがあり、このステップはまた、OP2612が入力されたOpenIDユーザ名をBIOkeyサブシステムユーザ名にマッピングすることを含み得るようになる。往復通信が、例えば、実装されるBIOkey技術に基づいて、2640および2642で発生し得る。したがって、UE2602上のBIOkeyクライアントは、OP2612においてアプリケーションサーバ2616からの認証を要求し得る。2643で、上記で説明されたようにOP2612の構成要素であり得る、BIOkeyアプリケーションサーバが、BIOkey認証要求をBIOkey Webkeyサーバ2618に発行する。そのような要求は、アプリケーションキー(Ka)を使用して暗号化され得る。2635で、BIOkeyウェブキーサーバが、クライアント固有のキー(Kc)を用いて構成データを暗号化してよく、アプリケーションキーKaを使用して、メッセージを暗号化してよい。図示された実施形態によれば、暗号化されたメッセージは、アプリケーションサーバ2616に返される。2644で、アプリケーションサーバ2616が、ユーザデバイス2602上でBIOkeyクライアントをトリガし、クライアントキーKcを使用して暗号化された構成データを送る。2646で、UE102上のウェブキークライアント2604が、指紋リーダデバイスと対話して、指紋画像をスキャンし得る。2648で、Webkeyクライアント2604が、指紋データをアプリケーションサーバ2618へ送り返す。2650で、アプリケーションサーバ2616が,受信された指紋データをウェブキーサーバ2618へフォワードする。
特に図26Cを参照すると、図示された実施形態によれば、2652で、ウェブキーサーバ2618が指紋をチェックし、次いで、成功したマッチがあるとき、アプリケーションサーバ2616に成功メッセージで応答する。2654で、アプリケーションサーバ2616が、成功メッセージをOP2612へフォワードする。いくつかの場合には、アサーションを作成する前、上記で説明されたポリシーレイヤおよび多要素認証レイヤは、認証が成功したと判断してよく、認証結果が必要とされるポリシーを履行するので、OP2612は、署名付きアサーションメッセージを作成するように進むことができる。2656で、OP2612が、署名付きアサーションメッセージを作成する。2658で、OP2612が、UE2602をRP2610に戻すようにリダイレクトする。2要素認証が行われたことをアサートする署名付きアサーションが、このリダイレクトメッセージ中に含まれ得る。2660で、UE2602が、RP2610へのリダイレクトに従う。2662で、RP2610が、アサーションメッセージを受信し、ステップ2624で確立された共有キーを使用して、アサーション署名を妥当性検査する。2664で、アサーションが有効である場合、ユーザ2602がRP2610において認証され、RPサービスがユーザ2602に提供され得る。一実施形態では、ステップ2626の後、OP2616は、ユーザがパスワードデータベース2614中に存在するか否かをチェックする。そうである場合、OP2612は、パスワードベースの認証を実施する。OP2612は、パスワードデータベースと通信(対話)して、パスワードダイジェストを検証してよく、パスワードが正しい場合、OP2612が、2632で、BIOkeyウェブクライアントをトリガし得る。
次に図27を参照すると、システム100aは、図1に図示されたシステム100と同様であるが、システム100aは、UE102の一部である、バイオメトリック認証モジュール2704と、記憶されたテンプレート2706とをさらに図示する。システム100aにおけるUE102は、ローカルOP2702をさらに含み、それは、UE102上でOpenIDベースの認証をローカルで実施するように構成されるモジュールである。
図28A〜図28Bを参照すると、例示的な認証システム2800は、ユーザ2802と、VSTのような機能およびキャッシュとして構成され得る、ウェブキー認証クライアント2804と、スマートOpenID(SOID)クライアント2808と、RP2810と、IdP/OPSF2812とを含む。例示的な実施形態では、SOIDクライアント2808およびウェブキークライアント2808、ならびにウェブキー認証機能は、UE2808上に存在する。したがって、SOIDクライアント2808は、図27において参照されるローカルOP2702に類似し得る。2814で、図示された実施形態によれば、ユーザ2802が、OpenIDアウェアなクライアントまたはブラウザを介して、ユーザの登録されたアイデンティティを使用して、SP2810と呼ばれることがあるRP2810に対してサービスを要求する。2816で、RP2810が、OID/OIDCプロトコルに従ってユーザのアイデンティティに関連付けられるIdP2812とともに、発見および関連付けを実施する。2818で、図示された実施形態によれば、ユーザのアイデンティティ、および/またはユーザ102によって要求されたタイプサービスに基づいて、RP2810が、多要素認証が必要とされるか否かを判断する。RP2810は、認証要件を満足する認証要素をさらに判断または選択し得る。2818で、RP2810におけるポリシーに基づいて、RP2810が、認証のために必要とされる要素のタイプを判断し、必要とされる要素をユーザ/SOIDクライアント2802に通信する。2820で、ユーザ認証およびバイオメトリック認証が必要とされる場合、SOID2808が、ローカルユーザ認証をイニシエートし、次いで、バイオメトリック認証をトリガする。2822で、成功したローカルユーザ認証において、SOID2808が、Web−キークライアント2806へのトリガ(例えば、APIコール)を使用して、バイオメトリック認証要求をイニシエートする。
特に図28Bを参照すると、図示された実施形態によれば、2824で、Web−キークライアント2806が、スマートカード内で保護され得る、ローカルで記憶されたキャッシュから、コマンドデータを取得するように要求する。2826で、コマンドデータが、キャッシュからWeb−キークライアント2806へ送られる。データは、OpenMobile APIなどの機構を使用して取得され得る。2828で、コマンドデータを使用して、ウェブ−キークライアント2806が、ユーザの指紋をスキャンするためのプロセスをイニシエートするように、リーダ/ユーザ2802に命令する。様々な例示的な要件は、必要とされる品質および番号指を含む。スキャニングのために使用されるそのような要件は、コマンドデータの一部であってよく、または、それらは、RP2810からの命令に基づいて調整され得る。2830で、スキャンされた画像がリーダ、および、したがってUE2802から読み出され、ウェブ−キークライアント2806へ送られる。2832で、ウェブ−キークライアント2806が、指紋モデルをWeb−キーサーバ2804へ送り、ユーザの指紋を認証(検証)するように、それに要求する。2834で、ローカルバイオメトリック認証が成功する場合、Web−キー2804は、関連付けられた保証情報(例えば、画像の品質、使用される指の数など)と、関連付けられたフレッシュネス情報とをもつアサーションを、Smart OIDクライアント2808へ送る。2836で、Smart OIDクライアント2808が、Web−キークライアント2806によって提供された情報と、より早く遂行されたローカルユーザ認証情報とを使用して、単一のアサーションを作成する。2838で、Smart OIDクライアント2808が、組み合わされたアサーションをRP2810へ送り、ユーザ2802が、アサーションの結果に基づいて、サービスへのアクセスを取得することができるようにする。
次に図29A〜図29Dを参照すると、例示的なシステム2900は、ネットワークを介して互いと通信する、ユーザ2902およびUE2901と、第1のRP2912と、マスタIdP/MFAS2916と、第2のRP1106とを含む。ネットワークは、PWDサーバ2918とウェブ−キーサーバ2920とをさらに含み得る。ユーザ2902は、図29A〜図29Dにおいて「Jane」と呼ばれる。UE2901は、ローカルバイオ−キークライアント2905とブラウザ2910とを含み得る。例示的なシステム2900は、開示される主題の説明を容易にするために簡略化され、本開示の範囲を限定するように意図されないことは諒解されよう。他のデバイス、システム、および構成が、システム2900などのシステムに加えて、またはその代わりに、本明細書で開示された実施形態を実装するために使用されてよく、すべてのそのような実施形態が、本開示の範囲内として企図される。さらに、第1のRP2912および第2のRP2914は、それぞれ、Facebook(登録商標)およびBank of America(登録商標)として図示されるが、この図示は例のためであり、第1のRPおよび第2のRPは、望まれるような任意の好適なサービスプロバイダであり得ることは理解されよう。
図示された実施形態によれば、2922で、ユーザ2902が、第1のRP2912に関連付けられたユーザ識別子を入力する。2924で、図示された実施形態によれば、第1のRP2912が、例えばRP2912のポリシーに基づいて、ユーザ/UEがRP2912によって提供される、要求されたサービスにアクセスするために必要とされる保証レベル(AL)を判断する。2929で、RP2912が、MFAS2916を発見し、MFAS2916と関連付ける。2928で、図示された実施形態によれば、RP2912が、その保証レベル要件をブラウザ2910に通信する。2930で、ブラウザ2910が、MFAS2916のサービスを呼び出す。2930におけるメッセージは、必要とされる保証レベルを含み得る。
2932で、サービスにアクセスするために必要とされる保証のレベルに基づいて、例えば、MFAS2916が、必要とされる保証レベルを達成するために実施され得る認証要素のタイプおよび強度を判断する。MFASは、ユーザ2902およびUE2901に関連付けられた情報(例えば、認証能力)を、ユーザプロファイルDB2929から取り出し得る。この例によれば、2932で、MFASが、パスワード認証のみが、RP2012からのサービスにアクセスするために必要とされると判断し得る。2934で、MFAS2916が、パスワードを入力するようにユーザに促すHTTPメッセージを、ユーザ2902へ送ることによって、パスワード認証をトリガし得る。2936で、ユーザがパスワードを入力する。2938で、MFAS2916が、パスワードおよびUIDをPWDサーバ2918へ、パスワード認証のために送る。PWDサーバ2918は、ユーザのための入力されたパスワードがユーザのための記憶されたパスワードにマッチすると確認することによって、パスワード認証を実施する。2940で、PWDサーバ2918が、MFAS2916に、パスワードがマッチすることを知らせる。そのようなメッセージは、認証結果と呼ばれることがある。
特に図29Bを参照すると、例えば第1のアサーションなどのアサーションが、MFAS2916によって生成され、ブラウザ2910へ送られ得る。ブラウザ2910が、アサーションをRP2912へ送ってよく、RP2912が、2946で、成功メッセージを返し得る。したがって、2948で、ユーザが、RP2912によって提供されたサービスへのアクセスを有し得る。
特に図29Cを参照すると、図示された実施形態によれば、2950で、ユーザ2902が、ユーザが第2のRP2912によって提供されたサービスにアクセスすることができるように、第2のRP2912に関連付けられたユーザ識別子を入力する。2952で、図示された実施形態によれば、第2のRP2914が、例えばRP2914のポリシーに基づいて、ユーザ/UEがRP2914によって提供される、要求されたサービスにアクセスするために、保証レベル(AL)が必要とされると判断する。2954で、図示された実施形態によれば、第2のRP2914が、その保証レベル要件をブラウザ2910に通信する。2956で、ブラウザ2910が、MFAS2916のサービスを呼び出す。2956におけるメッセージは、必要とされる保証レベルを含み得る。2958で、サービスにアクセスするために必要とされる保証のレベルに基づいて、例えば、MFAS2916が、必要とされる保証レベルを達成するために実施され得る認証要素のタイプおよび強度を判断する。この判断は、第2のRP2914のポリシーに従ってフレッシュであり得る、上記で説明された過去のパスワード認証に基づき得る。MFAS2916は、ユーザ2902およびUE2901に関連付けられた情報(例えば、認証能力)を、ユーザプロファイルDB2929から取り出し得る。この例によれば、2932で、MFASが、バイオメトリック認証が、第2のRP2014からのサービスにアクセスするために必要とされると判断し得る。2969で、MFAS2916が、メッセージをウェブ−キーサーバ2920へ送ることによって、バイオメトリック認証をイニシエートし得る。レスポンスにおいて、2962において、ウェブキーサーバ2920が、構成データをMFAS2916へ送る。2964で、MFAS2916が、HTTPSメッセージをブラウザ2910へ送ることによって、バイオメトリック認証をトリガする。2966で、ブラウザ2910が、ローカルバイオ−キークライアント2904を呼び出し、クライアント2904が、ユーザ2902に自分の指紋をスキャンさせるように促すようにする。したがって、2968で、指紋モデルがクライアント2904によって取得される。2970で、指紋モードがブラウザ2910へ送られる。2972で、指紋モデルがMFAS2916へ送られる。2974で、MFAS2916が、指紋モデルをウェブ−キーサーバ2920へ、バイオメトリック認証のために送る。サーバ2920は、ユーザからの受信された指紋モデルがユーザの記憶された指紋にマッチすることを確認することによって、バイオメトリック認証を実施する。2976で、サーバ2920が、MFAS2916に、指紋がマッチすることを知らせる。そのようなメッセージは、認証結果と呼ばれることがある。2978で、MFAS2916が、パスワード認証およびバイオメトリック認証からの認証結果に基づいて、アサーションを作成する。アサーションは、以前の(フレッシュな)パスワード認証およびバイオメトリック認証の保証レベルを含む、関連付けられた保証レベルを有し得る。2980で、関連付けられた保証レベルを含み得るアサーションが、ブラウザ2910へ送られる。2982および2984で、アサーションが、第2のRP2914にアサートされ、成功メッセージが、第2のRP2914からブラウザ2910へ送られる。したがって、2986で、ユーザ/UEが、第2のRP2914によって提供される、要求されたサービスにアクセスすることができる。さらに、フレッシュな認証要素が、第2のRPによって提供されるサービスにアクセスするために活用され、それによって、効率的な認証が容易にされる。
次に図30A〜図30Dを参照すると、例示的なシステム3000は、システム2900によって実施される多要素認証のような多要素認証を実施する。図30A〜図30Eは、同じRPが異なるサービスをオファーし、したがって、異なる保証レベルが、RPによってオファーされた異なるサービスを査定するために必要とされ得る、実施形態を示す。例えば、図30Cを参照すると、2950で、ユーザ2902が、RP2912によって提供された第1のサービスへのアクセスを受信した後(2948参照)、RP2912によって提供された第2のサービスへのアクセスを要求する。2952aで、RP2912が、例えばポリシーに基づいて、以前に取得されたよりも高い保証のレベルが、第2のサービスにアクセスするために必要とされると判断する。例えば、第2のサービスは、金銭取引を含み得るのに対して、第1のサービスは、ウェブページへのアクセスのみを含み得る。第2のサービスは、第1のサービスよりもセキュリティ観点から機密性の高いものであり得るので、より高い保証のレベルが、第2のサービスのために必要とされ得る。したがって、図30C〜図30Eを参照すると、ユーザ102は、ユーザがRP2912の第1のサービスに既にアクセスしたにもかかわらず、RP2912の第2のサービスを査定するためにバイオメトリック認証を受ける。図30A〜図30Dに図示された例示的な実施形態が、望まれるような任意の数のリライングパーティを使用して実装され得ることは理解されよう。
例示的な実施形態では、URIのURL部分におけるロケーション情報が、特定の認証要素をトリガするために使用される。例示的なURLは、以下を含む。
上記の例では、パスワードベースの認証がトリガされ、バイオメトリック認証によって後続される。
タイムスタンプを含有する認証アサーションを用いる、2要素(パスワードおよびバイオメトリック)認証のためのOpenID AXクエリレスポンスの一例は、以下を含み得る。
上記で示されたように、フェッチ要求に対するレスポンスは、遂行された2つの認証のリストを含有し得る。例えば署名属性行を除く、完全レスポンスが、OPによって署名される。署名は、同じ署名キーを使用してそれに署名することによって、元のOpenIDアサーションにバインドされ得る。これはまた、RPがレスポンスを即時に検証することを可能にし得る。
例示的な実施形態では、認証要素が、最も弱い認証要素から開始して、順次の順序でループされる。
上記で説明されたようなMFASは、認証保証のための複数の異なる要件を有するサービスプロバイダのための認証ポリシーのシームレスな実装を可能にし得る。例えば、サービスプロバイダは、それらが提供する異なるサービスに基づいて、異なる認証要件を有する。例として、電子商取引サイト(例えば、Amazon)は、ウェブサイトにログインするための第1の認証要件(ユーザ名/パスワード)と、商品を購入するための第2の認証要件(バイオメトリック)とを有し得る。現在、チェックアウトするための手法は粗雑である。例えば、しばしば、ユーザ名およびパスワードがチェックアウトにおいて単に再入力され、それが、クレデンシャルがブラウザに記憶されるなどの様々な理由のために、セキュリティ弱点を引き起こし得る。上記で説明されたMFASの例示的な実施形態によれば、ユーザは、ショッピングサイトを訪れ、カタログを閲覧し、品目をショッピングカートに追加し得る。それがチェックアウトに来るとき、ショッピングサイトページは、チェックアウトのための特定の認証ポリシーを使用するMFASを使用して、ログインをトリガし得る。
この例示的なシナリオはまた、サービスプロバイダ一体化を疎結合されたままにしながら、支払い情報を管理し、支払いを認可するためのMFASの柔軟性をデモンストレーションし得る。同じトラステッド/知られているインターフェースをユーザに提示することによって、彼は、自分の支払いがセキュアに処理されるようになることを保証され得、ストアから商品を購入する可能性がより高い。ストアは、支払いプロセスにおいて、MFASを操作し得るモバイルネットワーク事業者(MNO)と、ユーザとの間の既存のビリング関係を活用することができる。モバイルネットワーク事業者は、ストアが加入者ベースにアクセスし、合理化された支払い方法およびプロセスをオファーして、ユーザに容易に関与するための方法を提供することができる。MNOとその加入者との既存のビリング関係が活用されてよく、電子商取引プラットフォームのような、MNOにより操作されないサービスに拡張され得る。以下の表は、上記で説明された例示的なシナリオから生じ得る、いくつかの例示的な利点を示す。
別の例として、ユーザは、例えばソーシャルネットワーキングサイトなどの第1のサイトを閲覧してよく、そこで、彼は、自分のMNOによって提供されたMFASログインを使用して、例えば自分のパスワードなど、自分の通常のクレデンシャルを用いてログインする。そのサイト上のあるアクティビティの後、ユーザは、例えばAmazonなどの電子商取引サイトを用いてあるショッピングを行うように進むように決定する。そこで、彼は、自分のMNOによって提供されたMFASサービスを使用してログインするための(以前に訪問されたソーシャルネットワーキングサイト上のような)オプションを提示される。電子商取引サイトとMFASとの間で合意された認証ポリシーは、それが十分にフレッシュであるとすれば、ソーシャルネットワーキングサイトとの以前の認証をクレデンシャルとして使用することを可能にし得る。したがって、ユーザが、電子商取引サイトに関連付けられる自分のIDを入力した(ブラウザ機能またはプラグインによってしばしば自動化されるステップ)後、MNOのMFASシステムは、対応するポリシーをルックアップし、ソーシャルネットワークサイトとの以前の認証要素のフレッシュネスをチェックし、成功の場合、成功した認証を電子商取引サイトにアサートし得る。ユーザは、次いで、自分のためのいくつかのショッピング推奨を示す自分の個人ログインページにシームレスに連れて行かれる。
この例を続けると、ユーザは、自分のショッピングバスケットを満たすことができ、ある時点で、その中の商品を購入することを決定する。彼は、「チェックアウトに進む」ボタンを押す。チェックアウトのための電子商取引サイトのポリシーは、電子商取引サイトにログインするために使用されたものよりも強力な要素を使用する、別個の認証を必要とし得る。例えば、チェックアウトは、真の2要素認証として、電話SIMカード、プラス、ユーザによるバイオメトリック認証を使用する、事業者ベースの認証を必要とし得る。それはまた、少なくともバイオメトリック認証がフレッシュであるものとすることを、必要とし得る(すなわち、バイオメトリック要素を使用した以前のユーザ認証は、有効であると見なされない)。SIMカードを使用する第1の要素認証は、ユーザデバイスと事業者MFASシステムとの間で、バックグラウンドで進むが、バイオメトリック要素は、明示的なユーザ対話を必要とし、例えば、ユーザは、自分の指を電話の指紋センサ上でスワイプさせなければならない。
事業者MFASが、電子商取引サイトのチェックアウトのためのポリシーに従って、成功した組み合わされた認証をアサートした後、ユーザは、通常のチェックアウトページに連れて行かれ、そこで、彼は、自分の出荷および/または支払い詳細を確認/選択/編集することができる。上記で説明されたMFAS実施形態を使用して、そのようなユーザ詳細は、MFASまたはクライアントデバイスからショッピングサイトへアドホックに転送され得る。
電子商取引ログインサイトと電子商取引チェックアウトサイトとの間の認証ポリシーの区別は、それぞれamazon.com/loginまたはcheckout.amazon.comなど、サブドメイン名またはサイトURLを使用することによってもたらされ得る。これらのURLの各々に対して、単一のユーザが、複数のデバイスを所有および使用して、同じまたは異なるサービスにアクセスする可能性が極めて高い。すべてのデバイスが同じ認証能力を示すとは限らないことがある。しかしながら、同じユーザおよび同じユーザ識別子が、サービスに代わってFNXによって認証され得る。したがって、FNXは、上記で説明された機構をサポートして、複数のデバイスを単一のユーザにエンロールおよびマッピングし、FNXは、異なるデバイスから組み合わされるべき認証をサポートすることができる。例示のために提示された例示的なシナリオでは、ユーザは、自分のラップトップ上で自分の電子バンキングウェブサイトを閲覧し得る。ウェブサイトにログインするために、ウェブサイトは、FNXからのバイオメトリック認証を要求する。FNXは、次いで、ユーザのラップトップとのバイオメトリック認証をトリガする。ユーザが自分の指紋をスキャンした後、FNXは、バンキングウェブサイトに向けて必要なアサーションを作成し、アクセスが付与される。ユーザが次に取引を行うことを望むとき、バンキングウェブサイトは、FNXからのバイオメトリックプラスSMS認証を要求し得る。FNXは、要求を評価することができ、SMSがユーザの登録されたスマートフォンから可能であると検出する。FNXは、必要なNAEコネクタをトリガして、SMSをユーザの電話に送り得る。ユーザは、そのSMSをFNXへ送り返して、SMS認証を完了する。ポリシーによれば、最後のバイオメトリック認証は、ユーザがログインしたときにちょうど起こったので、FNXは、バイオメトリック要素を再認証する必要がなくてよい。例えば、FNXは、代わりに、フレッシュネスステートメントを、2つの認証のための組み合わされたアサーションに追加し得る。バンキング取引が、続いて遂行され得る。上記の例示的なシナリオでは、サービスが、それ自体のバイオメトリックおよびSMS認証インフラストラクチャを実装することなしに、シームレスおよび一体化された方法で認証をランすることができるのは、FNXによる両方の認証要素の知識を通してである。
上記の例示的なシナリオを可能にするために、FNXは、デバイスエンロールメント中にユーザが所有する各デバイスを構成するために使用され得る、追加のデバイスコネクタを有し得る。エンロールメントプロトコルの一部として、一実施形態によれば、ユーザは、このデバイスをFNXに登録し、デバイス固有の能力をFNXマッピングに追加する。ローカルFNXの場合、ローカルFNXは、ローカルデバイスのデバイス能力についてのみ知ることがある。しかしながら、ネットワークFNXは、デバイス情報をユーザのすべてのローカルFNXインスタンスに配信し得るので、例えば、モバイルフォンローカルFNXは、それがユーザのラップトップ上でバイオメトリック認証をトリガすることができることを知るようになる。例えば、デバイス能力を含むポリシーは、MFASにおいて対応するユーザプロファイル中に記憶され得る。
次に図31を参照すると、例示的なアーキテクチャ3200は、FIDOおよび上記で説明されたMFAS機能性を見せるアーキテクチャがどのように互いとともに働き得るかの一例を示す。
図31に示されたFIDOユーザデバイスは、FIDO可能なユーザデバイスを指し、それは、FIDO認証を行うために必要な構成要素を有するデバイスを指す。例示的な実施形態では、FIDO可能なユーザデバイスはまた、追加の多要素認証レイヤを有して、多要素認証における認証要素のうちの1つとしての、FIDOオーセンティケータの使用を可能にする。FIDOアーキテクチャの一部として、例示的なFIDOユーザデバイスは、FIDOクライアントと、認証抽象化レイヤと、FIDOオーセンティケータとからなる。
FIDOクライアントは、FIDOプロトコルのクライアント側を実装し、FIDOオーセンティケータAPIを介して、FIDOオーセンティケータ抽象化レイヤとインターフェースする。FIDOオーセンティケータ抽象化レイヤは、均一なAPIを上位レイヤに提供し、オーセンティケータベースの暗号サービスの利用を可能にする。それは、均一な下位レイヤ「オーセンティケータプラグイン」APIを提供し、マルチベンダオーセンティケータとそれらの必須のドライバとの採用を容易にする。
FIDOオーセンティケータは、FIDOユーザデバイスに付加されるか、またはFIDOユーザデバイス内に収容される、セキュアエンティティであり得る。それは、リライングパーティによってキー材料を遠隔でプロビジョンされ得ることがあり、それは次いで、暗号強力認証プロトコルに参加することが可能である。例えば、FIDOオーセンティケータは、キー材料に基づいて暗号チャレンジレスポンスを提供し、したがってそれ自体を認証することが可能であり得る。
デバイス側で、例えば、FIDOユーザデバイスは、上記で説明されたMFAPを収容してよく、それは、上記で説明されたMFASと対話し、したがって、多要素認証における認証要素のうちの1つとしての、FIDOの使用を可能にする。MFAPは、典型的にはFIDOオーセンティケータ(複数可)によって遂行される、2ステップローカル認証(複数可)の、ネットワークの認証プロトコルとのバインディング(暗号または他の手段)を容易にし得る。MFAPは、認証要素のフレッシュネス態様と、全体的な多要素認証および可変グレード認証保証を駆動するポリシーとを含む、MFAaaSサービスのフルネスを考慮に入れ得る。
例示的な実施形態では、MFAaaSサービスは、MFASの制御を有してよく、またFIDOサーバおよびFIDO証明サービスを有してもよく、または、これらのFIDO構成要素への外部接続がプロビジョンされ得る。FIDOサーバは、様々な機能性を有し得る。例えば、FIDOサーバは、FIDOプロトコルのサーバ部分を実装し、FIDO証明サービスと通信して、FIDOオーセンティケータ証明を妥当性検査し、FIDO証明サービスと通信して、FIDOオーセンティケータデータを更新し得る。FIDO証明サービスは、FIDOオーセンティケータとFIDOサーバとの間のループを閉じるために使用され得る。FIDO証明サービスの責任は、例えば、FIDOオーセンティケータを支持すること、FIDOオーセンティケータ証明を妥当性検査すること、およびFIDOオーセンティケータの取り消しデータをFIDOサーバに提供することを含み得る。
例示的な実施形態によれば、上記で説明されるMFASにおいて、FIDO要素のための認証モジュールが追加される。このモジュールが呼び出されるとき、それは、FIDOオーセンティケータに基づいて、ローカル認証を行うように、MFAPに命じてよい。この認証は、FIDOサーバによって証明サービスを使用して妥当性検査され得る。したがって、FIDO認証アーキテクチャは、例示的な実施形態によれば、MFAaaSと連動して働くように修正されてよく、ここにおいて、異なるタイプのネットワーク認証ベクトルおよびローカル認証ベクトルが、様々なリライングパーティに認証するための異なる望まれる方法で組み合わされ得る。
図32Aは、1または複数の開示された実施形態が実装され得る、例示的な通信システム50の図である。通信システム50は、音声、データ、ビデオ、メッセージング、ブロードキャストなどのコンテンツを複数のワイヤレスユーザに提供する、多重アクセスシステムであり得る。通信システム50は、ワイヤレス帯域幅を含むシステムリソースの共有を通して、複数のワイヤレスユーザがそのようなコンテンツにアクセスすることを可能にし得る。例えば、通信システム50は、符号分割多重アクセス(CDMA)、時分割多重アクセス(TDMA)、周波数分割多重アクセス(FDMA)、直交FDMA(OFDMA)、シングルキャリアFDMA(SC−FDMA)など、1または複数のチャネルアクセス方法を採用し得る。
図32Aに示されるように、通信システム50は、ワイヤレス送信/受信ユニット(WTRU)52a、52b、52c、52dと、無線アクセスネットワーク(RAN)54と、コアネットワーク56と、公衆交換電話ネットワーク(PSTN)58と、インターネット60と、他のネットワーク62とを含み得るが、開示された実施形態が任意の数のWTRU、基地局、ネットワーク、および/またはネットワークエレメントを企図することは諒解されよう。WTRU52a、52b、52c、52dの各々は、ワイヤレス環境内で動作および/または通信するように構成された任意のタイプのデバイスであり得る。例として、WTRU52a、52b、52c、52dは、ワイヤレス信号を送信および/または受信するように構成されてよく、ユーザ機器(UE)、移動局、固定またはモバイル加入者ユニット、ページャ、携帯電話、携帯情報端末(PDA)、スマートフォン、ラップトップ、ネットブック、パーソナルコンピュータ、ワイヤレスセンサ、家庭用電化製品などを含み得る。
通信システム50はまた、基地局64aと基地局64bとを含み得る。基地局64a、64bの各々は、WTRU52a、52b、52c、52dのうちの少なくとも1つとワイヤレスにインターフェースして、コアネットワーク56、インターネット60、および/またはネットワーク62など、1または複数の通信ネットワークへのアクセスを容易にするように構成された、任意のタイプのデバイスであり得る。例として、基地局64a、64bは、トランシーバ基地局(BTS)、ノードB、eノードB、ホームノードB、ホームeノードB、サイトコントローラ、アクセスポイント(AP)、ワイヤレスルータなどであり得る。基地局64a、64bは、それぞれ単一のエレメントとして示されるが、基地局64a、64bが任意の数の相互接続された基地局および/またはネットワークエレメントを含み得ることは諒解されよう。
基地局64aは、RAN54の一部であってよく、それはまた、基地局コントローラ(BSC)、無線ネットワークコントローラ(RNC)、リレーノードなど、他の基地局および/またはネットワークエレメント(図示せず)を含んでもよい。基地局64aおよび/または基地局64bは、セル(図示せず)と呼ばれることがある特定の地理的領域内で、ワイヤレス信号を送信および/または受信するように構成され得る。セルは、セルセクタにさらに分割され得る。例えば、基地局64aに関連付けられたセルは、3つのセクタに分割され得る。したがって、一実施形態では、基地局64aは3つのトランシーバを、すなわち、セルのセクタごとに1つずつ含み得る。別の実施形態では、基地局64aは、多入力多出力(MIMO)技術を採用してよく、したがって、セルのセクタごとに複数のトランシーバを利用してよい。
基地局64a、64bは、エアインターフェース66を介して、WTRU52a、52b、52c、52dのうちの1または複数と通信してよく、エアインターフェース66は、任意の好適なワイヤレス通信リンク(例えば、無線周波数(RF)、マイクロ波、赤外線(IR)、紫外線(UV)、可視光線など)であり得る。エアインターフェース66は、任意の好適な無線アクセス技術(RAT)を使用して確立され得る。
より詳細には、上述されたように、通信システム50は、多重アクセスシステムであってよく、CDMA、TDMA、FDMA、OFDMA、SC−FDMAなど、1または複数のチャネルアクセス方式を採用し得る。例えば、RAN54における基地局64a、および、WTRU52a、52b、52cは、ユニバーサルモバイル電気通信システム(UMTS)地上無線アクセス(UTRA)などの無線技術を実装してよく、それは、広帯域CDMA(WCDMA(登録商標))を使用して、エアインターフェース66を確立し得る。WCDMAは、高速パケットアクセス(HSPA)および/または発展型HSPA(HSPA+)などの通信プロトコルを含み得る。HSPAは、高速ダウンリンクパケットアクセス(HSDPA)および/または高速アップリンクパケットアクセス(HSUPA)を含み得る。
一実施形態では、基地局64aおよびWTRU52a、52b、52cは、発展型UMTS地上無線アクセス(E−UTRA)などの無線技術を実装してよく、それは、ロングタームエボリューション(LTE)および/またはLTEアドバンスト(LTE−A)を使用して、エアインターフェース66を確立し得る。
他の実施形態では、基地局64aおよびWTRU52a、52b、52cは、IEEE802.16(すなわち、ワールドワイドインターオペラビリティフォーマイクロウェーブアクセス(WiMAX))、CDMA2000、CDMA2000 1X、CDMA2000 EV−DO、暫定標準2000(IS−2000)、暫定標準95(IS−95)、暫定標準856(IS−856)、モバイル通信用グローバルシステム(GSM(登録商標))、GSM進化型高速データレート(EDGE)、GSM EDGE(GERAN)などの無線技術を実装し得る。
図32Aにおける基地局64bは、例えば、ワイヤレスルータ、ホームノードB、ホームeノードB、フェムトセル基地局、またはアクセスポイントであってよく、職場、自宅、車両、キャンパスなど、局在化されたエリア内のワイヤレス接続性を容易にするための任意の好適なRATを利用し得る。一実施形態では、基地局64bおよびWTRU52c、52dは、IEEE802.11などの無線技術を実装して、ワイヤレスローカルエリアネットワーク(WLAN)を確立し得る。一実施形態では、基地局64bおよびWTRU52c、52dは、IEEE802.15などの無線技術を実装して、ワイヤレスパーソナルエリアネットワーク(WPAN)を確立し得る。さらに別の実施形態では、基地局64bおよびWTRU52c、52dは、セルラーベースのRAT(例えば、WCDMA、CDMA2000、GSM、LTE、LTE−Aなど)を利用して、ピコセルまたはフェムトセルを確立し得る。図32Aに示されるように、基地局64bは、インターネット60への直接接続を有し得る。したがって、基地局64bは、コアネットワーク56を介してインターネット60にアクセスすることが必要とされなくてよい。
RAN54は、コアネットワーク56と通信していてよく、それは、音声、データ、アプリケーション、および/またはボイスオーバーインターネットプロトコル(VoIP)サービスを、WTRU52a、52b、52c、52dのうちの1または複数に提供するように構成された、任意のタイプのネットワークであり得る。例えば、コアネットワーク56は、呼制御、ビリングサービス、モバイルロケーションベースのサービス、プリペイド通話、インターネット接続性、ビデオ配信などを提供し、および/または、ユーザ認証などの高レベルセキュリティ機能を実施し得る。図32Aに示されていないが、RAN54および/またはコアネットワーク56は、RAN54と同じRATまたは異なるRATを採用する他のRANと、直接的または間接的に通信中であり得ることは諒解されよう。例えば、E−UTRA無線技術を利用中であり得るRAN54に接続されることに加えて、コアネットワーク56はまた、GSM無線技術を採用する別のRAN(図示せず)と通信中であり得る。
コアネットワーク56はまた、WTRU52a、52b、52c、52dがPSTN58、インターネット60、および/または他のネットワーク62にアクセスするための、ゲートウェイとしても働き得る。PSTN58は、基本電話サービス(POTS)を提供する回線交換電話ネットワークを含み得る。インターネット60は、TCP/IPインターネットプロトコルスイートにおける、送信制御プロトコル(TCP)、ユーザデータグラムプロトコル(UDP)、およびインターネットプロトコル(IP)など、共通の通信プロトコルを使用する、相互接続されたコンピュータネットワークおよびデバイスのグローバルなシステムを含み得る。ネットワーク62は、他のサービスプロバイダによって所有され、および/または動作させられる、ワイヤードまたはワイヤレス通信ネットワークを含み得る。例えば、ネットワーク62は、RAN54と同じRATまたは異なるRATを採用し得る1または複数のRANに接続された、別のコアネットワークを含み得る。
通信システム800におけるWTRU52a、52b、52c、52dの一部または全部は、マルチモード能力を含んでよく、すなわち、WTRU52a、52b、52c、52dは、異なるワイヤレスリンクを介して異なるワイヤレスネットワークと通信するための複数のトランシーバを含み得る。例えば、図32Aに示されたWTRU52cは、セルラーベースの無線技術を採用し得る基地局64aと、および、IEEE802無線技術を採用し得る基地局64bと、通信するように構成され得る。
図32Bは、例示的なWTRU52のシステム図である。図32Bに示されるように、WTRU52は、プロセッサ68と、トランシーバ70と、送信/受信エレメント72と、スピーカー/マイクロフォン74と、キーパッド76と、ディスプレイ/タッチパッド78と、非リムーバブルメモリ80と、リムーバブルメモリ82と、電源84と、全地球測位システム(GPS)チップセット86と、他の周辺機器88とを含み得る。WTRU52は、一実施形態と矛盾しないままで、前述のエレメントの任意の部分組合せを含み得ることは諒解されよう。
プロセッサ68は、汎用プロセッサ、専用プロセッサ、従来のプロセッサ、デジタル信号プロセッサ(DSP)、複数のマイクロプロセッサ、また、DSPコア、コントローラ、マイクロコントローラ、特定用途向け集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)回路、任意の他のタイプの集積回路(IC)、状態機械などに関連する、1または複数のマイクロプロセッサであり得る。プロセッサ68は、信号コーディング、データ処理、電力制御、入力/出力処理、および/または、WTRU52がワイヤレス環境において動作することを可能にする任意の他の機能性を実施し得る。プロセッサ68は、送信/受信エレメント72に結合され得るトランシーバ70に結合され得る。図32Bは、プロセッサ68およびトランシーバ70を別個の構成要素として図示するが、プロセッサ68およびトランシーバ70は、電子パッケージまたはチップにおいて一緒に統合され得ることは諒解されよう。プロセッサ68は、アプリケーションレイヤプログラム(例えば、ブラウザ)、ならびに/または無線アクセスレイヤ(RAN)プログラムおよび/もしくは通信を実施し得る。プロセッサ68は、例えば、アクセスレイヤおよび/またはアプリケーションレイヤにおいてなど、認証、セキュリティキー合意、および/または暗号動作など、セキュリティ動作を実施し得る。
送信/受信エレメント72は、エアインターフェース66を介して、基地局(例えば、基地局64a)へ信号を送信し、または、基地局から信号を受信するように構成され得る。例えば、一実施形態では、送信/受信エレメント72は、RF信号を送信および/または受信するように構成されたアンテナであり得る。一実施形態では、送信/受信エレメント72は、例えば、IR、UV、または可視光信号を送信および/または受信するように構成されたエミッタ/検出器であり得る。さらに別の実施形態では、送信/受信エレメント72は、RF信号と光信号の両方を送信および受信するように構成され得る。送信/受信エレメント72は、任意の組合せのワイヤレス信号を送信および/または受信するように構成され得ることは諒解されよう。
加えて、送信/受信エレメント72は、図32Bにおいて単一のエレメントとして図示されるが、WTRU52は、任意の数の送信/受信エレメント72を含み得る。より詳細には、WTRU52は、MIMO技術を採用し得る。したがって、一実施形態では、WTRU52は、エアインターフェース66を介してワイヤレス信号を送信および受信するための、2またはそれ以上の送信/受信エレメント72(例えば、複数のアンテナ)を含み得る。
トランシーバ70は、送信/受信エレメント72によって送信されることになる信号を変調するように、および、送信/受信エレメント72によって受信される信号を復調するように構成され得る。上述されたように、WTRU52は、マルチモード能力を有し得る。したがって、トランシーバ70は、WTRU52が、例えば、UTRAおよびIEEE802.11などの複数のRATを介して通信することを可能にするための、複数のトランシーバを含み得る。
WTRU52のプロセッサ68は、スピーカー/マイクロフォン74、キーパッド76、および/または、ディスプレイ/タッチパッド78(例えば、液晶ディスプレイ(LCD)ディスプレイユニット、もしくは有機発光ダイオード(OLED)ディスプレイユニット)に結合されてよく、それらからユーザ入力データを受信し得る。プロセッサ68はまた、ユーザデータを、スピーカー/マイクロフォン74、キーパッド76、および/または、ディスプレイ/タッチパッド78に出力し得る。加えて、プロセッサ818は、非リムーバブルメモリ80および/またはリムーバブルメモリ82など、任意のタイプの好適なメモリからの情報にアクセスし、それにデータを記憶し得る。非リムーバブルメモリ80は、ランダムアクセスメモリ(RAM)、読取り専用メモリ(ROM)、ハードディスク、または任意の他のタイプのメモリ記憶デバイスを含み得る。リムーバブルメモリ82は、加入者アイデンティティモジュール(SIM)カード、メモリスティック、セキュアデジタル(SD)メモリカードなどを含み得る。他の実施形態では、プロセッサ818は、サーバまたはホームコンピュータ(図示せず)上など、WTRU52上に物理的にロケートされないメモリからの情報にアクセスし、それにデータを記憶し得る。
プロセッサ68は、電源84から電力を受信してよく、WTRU52における他の構成要素への電力を分配および/または制御するように構成され得る。電源84は、WTRU52に電力供給するための任意の好適なデバイスであり得る。例えば、電源84は、1または複数の乾電池(例えば、ニッケルカドミウム(NiCd)、ニッケル亜鉛(NiZn)、ニッケル水素(NiMH)、リチウムイオン(Li−ion)など)、太陽電池、燃料電池などを含み得る。
プロセッサ68はまた、GPSチップセット86に結合されてもよく、それは、WTRU52の現在のロケーションに関するロケーション情報(例えば、経度および緯度)を提供するように構成され得る。GPSチップセット86からの情報に加えて、またはその代わりに、WTRU52は、エアインターフェース816を介して、基地局(例えば、基地局64a、64b)からロケーション情報を受信し、および/または、信号が2またはそれ以上の近くの基地局から受信されるタイミングに基づいて、そのロケーションを判断し得る。WTRU52は、一実施形態と矛盾しないままで、任意の好適なロケーション判断方法によってロケーション情報を獲得し得ることは諒解されよう。
プロセッサ68は、他の周辺機器88にさらに結合されてよく、それらは、追加の特徴、機能性、および/またはワイヤードもしくはワイヤレス接続性を提供する、1または複数のソフトウェアおよび/またはハードウェアモジュールを含み得る。例えば、周辺機器88は、加速度計、eコンパス、衛星トランシーバ、デジタルカメラ(写真またはビデオ用)、ユニバーサルシリアルバス(USB)ポート、振動デバイス、テレビトランシーバ、ハンズフリーヘッドセット、Bluetooth(登録商標)モジュール、周波数変調(FM)無線ユニット、デジタル音楽プレーヤ、メディアプレーヤ、ビデオゲームプレーヤモジュール、インターネットブラウザなどを含み得る。
図32Cは、一実施形態によるRAN54およびコアネットワーク806のシステム図である。上述されたように、RAN54は、UTRA無線技術を採用して、エアインターフェース66を介してWTRU52a、52b、52cと通信し得る。RAN54はまた、コアネットワーク806と通信中であり得る。図32Cに示されるように、RAN54は、ノードB90a、90b、90cを含み得るが、それらは、エアインターフェース66を介してWTRU52a、52b、52cと通信するための、1または複数のトランシーバをそれぞれ含み得る。ノードB90a、90b、90cは、それぞれ、RAN54内の特定のセル(図示せず)に関連付けられ得る。RAN54はまた、RNC92a、92bを含み得る。RAN54は、一実施形態と矛盾しないままで、任意の数のノードBおよびRNCを含み得ることは諒解されよう。
図32Cに示されるように、ノードB90a、90bは、RNC92aと通信中であり得る。追加として、ノードB90cは、RNC92bと通信中であり得る。ノードB90a、90b、90cは、Iubインターフェースを介してそれぞれのRNC92a、92bと通信し得る。RNC92a、92bは、Iurインターフェースを介して互いと通信中であり得る。RNC92a、92bの各々は、それが接続される先のそれぞれのノードB90a、90b、90cを制御するように構成され得る。加えて、RNC92a、92bの各々は、アウターループ電力制御、負荷制御、承認制御、パケットスケジューリング、ハンドオーバー制御、マクロダイバーシティ、セキュリティ機能、データ暗号化など、他の機能性を遂行および/またはサポートするように構成され得る。
図32Cに示されるコアネットワーク56は、メディアゲートウェイ(MGW)844、モバイル交換センター(MSC)96、サービングGPRSサポートノード(SGSN)98、および/またはゲートウェイGPRSサポートノード(GGSN)99を含み得る。前述のエレメントの各々は、コアネットワーク56の一部として図示されるが、これらのエレメントのいずれか1つは、コアネットワーク事業者以外のエンティティによって所有され、および/または動作させられ得ることは諒解されよう。
RAN54中のRNC92aは、IuCSインターフェースを介してコアネットワーク56中のMSC96に接続され得る。MSC96は、MSW94に接続され得る。MSC96およびMGW94は、WTRU52a、52b、52cに、PSTN58などの回線交換ネットワークへのアクセスを提供して、WTRU52a、52b、52cと従来の陸線通信デバイスとの間の通信を容易にし得る。
RAN54中のRNC92aはまた、IuPSインターフェースを介してコアネットワーク806中のSGSN98にも接続され得る。SGSN98は、GGSN99に接続され得る。SGSN98およびGGSN99は、WTRU52a、52b、52cに、インターネット60などのパケット交換ネットワークへのアクセスを提供して、WTRU52a、52b、52cとIP可能デバイスとの間の通信を容易にし得る。
上述されたように、コアネットワーク56はまた、ネットワーク62に接続されてもよく、ネットワーク62は、他のサービスプロバイダによって所有され、および/または動作させられる他のワイヤードまたはワイヤレスネットワークを含み得る。
特徴およびエレメントが、上記で特定の組合せにおいて説明されるが、各特徴またはエレメントは、単独で、または、他の特徴およびエレメントとの任意の組合せにおいて使用され得る。追加として、本明細書で説明される実施形態は、例示のためにのみ提供される。さらに、本明細書で説明される実施形態は、コンピュータまたはプロセッサによる実行のためにコンピュータ可読媒体に組み込まれた、コンピュータプログラム、ソフトウェア、またはファームウェアにおいて実装され得る。コンピュータ可読媒体の例は、(ワイヤードまたはワイヤレス接続を介して送信される)電子信号、およびコンピュータ可読記憶媒体を含む。コンピュータ可読記憶媒体の例は、それに限定されないが、読取り専用メモリ(ROM)、ランダムアクセスメモリ(RAM)、レジスタ、キャッシュメモリ、半導体メモリデバイス、内蔵ハードディスクおよびリムーバブルディスクなどの磁気媒体、光磁気媒体、ならびに、CD−ROMディスクおよびデジタル多用途ディスク(DVD)などの光媒体を含む。ソフトウェアに関連するプロセッサは、WTRU、UE、端末、基地局、RNC、または任意のホストコンピュータにおいて使用するための、無線周波数トランシーバを実装するために使用され得る。
Claims (19)
- ワイヤレス送信/受信ユニット(WTRU)または前記WTRUを操作するユーザのうちの少なくとも1つの認証を容易にする方法であって、前記WTRUは、サービスプロバイダ(SP)をさらに含む通信ネットワーク中にあり、
前記SPによって提供される第1のサービスにアクセスするために前記SPによって必要とされる第1の認証保証レベルを判断するステップと、
前記WTRUの1または複数の認証能力を発見するステップと、
前記発見された1または複数の認証能力が、前記SPによって必要とされる前記第1の認証保証レベルを満たすことができるか否かを判断するステップと、
前記発見された1または複数の認証能力が、前記SPによって必要とされる前記第1の認証保証レベルを満たすことができる場合、前記発見された1または複数の認証能力に関連付けられた1または複数の認証要素のうちの少なくとも1つを使用する実施をトリガするステップと
を備える、方法。 - 前記1または複数の認証要素の各々の前記実施に関連付けられた1または複数の認証結果に基づいて、前記SPによって必要とされる前記第1の認証保証レベルを達成する、統合された結果を作成するステップと、
前記統合された結果を前記SPへ送り、それによって、前記WTRUが前記第1のサービスにアクセスすることを可能にするステップと
をさらに備える、請求項1に記載の方法。 - 前記統合された結果は、暗号方法で一緒にバインドされた前記1または複数の認証結果を備え、前記統合された結果は、一緒にバインドされた前記1または複数の認証結果を識別する、請求項2に記載の方法。
- 前記統合された結果は、アグリゲート認証保証レベルとアグリゲート認証フレッシュネスレベルとをさらに備え、前記アグリゲート認証保証レベルおよび前記アグリゲート認証フレッシュネスレベルは、前記1または複数の認証結果に関連付けられる、請求項3に記載の方法。
- 前記統合された結果は、前記1または複数の認証要素の各々の前記実施の間に共有されるナンスによってバインドされた前記1または複数の認証結果を備える、請求項2に記載の方法。
- 前記1または複数の認証要素のうちの選択された1つに関連付けられたフレッシュネスレベルを判断するステップと、
前記SPのポリシーに基づいて、前記選択された1つの認証要素に関連付けられた前記フレッシュネスレベルがしきい値レベルを満足するか否かを判断するステップと、
前記フレッシュネスレベルが前記しきい値レベルを満足する場合、前記1つの認証要素の以前の認証結果をアサートし、それによって、前記1つの認証要素を使用する新しい認証を実施することを控えるステップと
をさらに備える、請求項1に記載の方法。 - 前記1または複数の認証要素のうちの少なくとも1つの前記実施をトリガするステップは、
チャレンジをネットワーク認証エンティティへ送るステップと、
前記チャレンジに応答して、レスポンスを前記ネットワーク認証エンティティから受信するステップと
を備える、請求項1に記載の方法。 - 前記WTRU上で動作する論理エンティティによって実施される、請求項1に記載の方法。
- 前記WTRUおよび前記SPと通信している前記通信ネットワーク中で動作する論理エンティティによって実施される、請求項1に記載の方法。
- 前記発見された1または複数の認証能力が、前記第1の認証保証レベルを満たすことができない場合、第2の認証保証レベルを達成することができる1または複数の認証要素を選択するステップと、
前記第2の認証保証レベルを達成することができる前記1または複数の認証要素の実施をトリガするステップと
をさらに備える、請求項1に記載の方法。 - 前記第2の認証保証レベルを達成することができる前記1または複数の認証要素の前記実施に関連付けられた1または複数の認証結果に基づいて、前記方法は、
前記第2の認証保証レベルを達成する、第2の統合された結果を作成するステップと、
前記第2の統合された結果を前記SPへ送り、それによって、前記WTRUが、前記SPによって提供された第2のサービスにアクセスすることを可能にするステップであって、前記第2のサービスへのアクセスは、前記第1のサービスにアクセスするために必要とされる前記第1の認証保証レベルよりも低い保証レベルを必要とする、ステップと、
をさらに備える、請求項10に記載の方法。 - 前記発見された1または複数の認証能力のいずれもが前記第1の認証保証レベルを満たすことができない場合、または、前記1または複数の認証要素を使用する前記実施が失敗する場合、通知を前記SPへ送り、少なくとも前記WTRUまたはユーザが、前記SPによって提供されたサービスへのアクセスを受信しないようにするステップ
をさらに備える、請求項1に記載の方法。 - 前記発見された1または複数の認証能力は、バイオメトリック能力を備え、前記方法は、
前記バイオメトリック能力を使用する認証が、前記第1の認証保証レベルを満たすことができると判断するステップ
をさらに備える、請求項1に記載の方法。 - 前記1または複数の認証要素のうちの1つは、バイオメトリック要素であり、前記バイオメトリック要素は、唯一の認証要素である、請求項13に記載の方法。
- 前記1または複数の認証要素のうちの第1の認証要素は、バイオメトリック要素であり、前記1または複数の認証要素のうちの第2の認証要素は、パスワード要素である、請求項1に記載の方法。
- 前記1または複数の認証能力を発見するステップは、
前記WTRUの登録中に、前記WTRUの少なくとも1つの能力を受信するステップと、
前記WTRUの前記少なくとも1つの能力を、前記WTRUの識別子とともに記憶するステップと、
前記識別子に基づいて、前記WTRUが前記第1のサービスにアクセスしようと試みるとき前記少なくとも1つの能力を取り出すステップと
を備える、請求項1に記載の方法。 - ワイヤレス送信/受信ユニット(WTRU)とサービスプロバイダ(SP)とをさらに含む通信ネットワーク中のネットワークサーバであって、
実行可能命令を備えるメモリと、
プロセッサであって、前記実行可能命令を実行するとき、
前記SPによって提供される第1のサービスにアクセスするための認証要件を判断するステップと、
前記WTRUの1または複数の認証能力を発見するステップと、
前記発見された1または複数の認証能力のうちの少なくとも1つが、前記認証要件を達成することができるか否かを判断するステップと、
前記発見された1または複数の認証能力が前記認証要件を達成することができる場合、前記認証能力に関連付けられた1または複数の認証要素のうちの少なくとも1つを使用する実施をトリガするステップと
を含む動作を実現するプロセッサと
を備える、ネットワークサーバ。 - 前記ネットワークサーバは、アイデンティティプロバイダ(IdP)であり、前記1または複数の認証要素のうちの前記少なくとも1つを使用する前記実施は、前記IdPにおいて発生する、請求項17に記載のネットワークサーバ。
- 前記SPによって提供される第1のサービスにアクセスするための認証要件を判断するステップは、
前記認証要件を前記SPから受信するステップであって、前記認証要件は、認証保証レベルを示す、ステップと、
を含む、請求項17に記載のネットワークサーバ。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201361816446P | 2013-04-26 | 2013-04-26 | |
| US61/816,446 | 2013-04-26 | ||
| US201361832509P | 2013-06-07 | 2013-06-07 | |
| US61/832,509 | 2013-06-07 | ||
| PCT/US2014/035517 WO2014176539A1 (en) | 2013-04-26 | 2014-04-25 | Multi-factor authentication to achieve required authentication assurance level |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2016525807A JP2016525807A (ja) | 2016-08-25 |
| JP6307593B2 true JP6307593B2 (ja) | 2018-04-04 |
Family
ID=50942315
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016510810A Expired - Fee Related JP6307593B2 (ja) | 2013-04-26 | 2014-04-25 | 必要とされる認証保証レベルを達成するための多要素認証 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US20160087957A1 (ja) |
| EP (1) | EP2989770A1 (ja) |
| JP (1) | JP6307593B2 (ja) |
| KR (1) | KR101924683B1 (ja) |
| CN (1) | CN105144656A (ja) |
| TW (1) | TW201541977A (ja) |
| WO (1) | WO2014176539A1 (ja) |
Families Citing this family (330)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10915296B2 (en) | 2000-11-01 | 2021-02-09 | Flexiworld Technologies, Inc. | Information apparatus that includes a touch sensitive screen interface for managing or replying to e-mails |
| US11204729B2 (en) | 2000-11-01 | 2021-12-21 | Flexiworld Technologies, Inc. | Internet based digital content services for pervasively providing protected digital content to smart devices based on having subscribed to the digital content service |
| US10860290B2 (en) | 2000-11-01 | 2020-12-08 | Flexiworld Technologies, Inc. | Mobile information apparatuses that include a digital camera, a touch sensitive screen interface, support for voice activated commands, and a wireless communication chip or chipset supporting IEEE 802.11 |
| US7609402B2 (en) | 2001-01-19 | 2009-10-27 | Flexiworld, Inc. | Methods for universal data output |
| WO2002046867A2 (en) | 2000-11-01 | 2002-06-13 | Flexiworld Technologies, Inc. | Controller and manager for device-to-device pervasive digital output |
| US20020078101A1 (en) | 2000-11-20 | 2002-06-20 | Chang William Ho | Mobile and pervasive output client device |
| US8312033B1 (en) | 2008-06-26 | 2012-11-13 | Experian Marketing Solutions, Inc. | Systems and methods for providing an integrated identifier |
| US9203835B2 (en) | 2013-03-01 | 2015-12-01 | Paypal, Inc. | Systems and methods for authenticating a user based on a biometric model associated with the user |
| US20160078430A1 (en) * | 2013-03-15 | 2016-03-17 | Capital One Financial Corporation | System and method for digital authentication |
| US9633322B1 (en) | 2013-03-15 | 2017-04-25 | Consumerinfo.Com, Inc. | Adjustment of knowledge-based authentication |
| US10706132B2 (en) | 2013-03-22 | 2020-07-07 | Nok Nok Labs, Inc. | System and method for adaptive user authentication |
| US10270748B2 (en) * | 2013-03-22 | 2019-04-23 | Nok Nok Labs, Inc. | Advanced authentication techniques and applications |
| US9887983B2 (en) | 2013-10-29 | 2018-02-06 | Nok Nok Labs, Inc. | Apparatus and method for implementing composite authenticators |
| US9961077B2 (en) | 2013-05-30 | 2018-05-01 | Nok Nok Labs, Inc. | System and method for biometric authentication with device attestation |
| US10069811B2 (en) * | 2013-10-17 | 2018-09-04 | Arm Ip Limited | Registry apparatus, agent device, application providing apparatus and corresponding methods |
| US10032008B2 (en) | 2014-02-23 | 2018-07-24 | Qualcomm Incorporated | Trust broker authentication method for mobile devices |
| US20150242605A1 (en) * | 2014-02-23 | 2015-08-27 | Qualcomm Incorporated | Continuous authentication with a mobile device |
| US10050787B1 (en) * | 2014-03-25 | 2018-08-14 | Amazon Technologies, Inc. | Authentication objects with attestation |
| US10049202B1 (en) | 2014-03-25 | 2018-08-14 | Amazon Technologies, Inc. | Strong authentication using authentication objects |
| US9680812B1 (en) * | 2014-03-27 | 2017-06-13 | EMC IP Holding Company LLC | Enrolling a user in a new authentication procdure only if trusted |
| US10069868B2 (en) * | 2014-03-28 | 2018-09-04 | Intel Corporation | Systems and methods to facilitate multi-factor authentication policy enforcement using one or more policy handlers |
| US9654469B1 (en) | 2014-05-02 | 2017-05-16 | Nok Nok Labs, Inc. | Web-based user authentication techniques and applications |
| GB201408539D0 (en) * | 2014-05-14 | 2014-06-25 | Mastercard International Inc | Improvements in mobile payment systems |
| US9264419B1 (en) * | 2014-06-26 | 2016-02-16 | Amazon Technologies, Inc. | Two factor authentication with authentication objects |
| KR102191017B1 (ko) * | 2014-07-19 | 2020-12-15 | 삼성전자주식회사 | eSIM 프로비저닝 방법과 이를 지원하는 서버 장치 |
| US9875347B2 (en) | 2014-07-31 | 2018-01-23 | Nok Nok Labs, Inc. | System and method for performing authentication using data analytics |
| US10148630B2 (en) | 2014-07-31 | 2018-12-04 | Nok Nok Labs, Inc. | System and method for implementing a hosted authentication service |
| US9749131B2 (en) | 2014-07-31 | 2017-08-29 | Nok Nok Labs, Inc. | System and method for implementing a one-time-password using asymmetric cryptography |
| US9740841B2 (en) * | 2014-09-08 | 2017-08-22 | Tessera Advanced Technologies, Inc. | Using biometric user-specific attributes |
| US10740447B2 (en) | 2014-09-08 | 2020-08-11 | Tessera Advanced Technologies, Inc. | Using biometric user-specific attributes |
| WO2016040744A1 (en) * | 2014-09-12 | 2016-03-17 | Id. Me, Inc. | Systems and methods for online third-party authentication of credentials |
| US9736154B2 (en) | 2014-09-16 | 2017-08-15 | Nok Nok Labs, Inc. | System and method for integrating an authentication service within a network architecture |
| US10560418B2 (en) * | 2014-10-02 | 2020-02-11 | Facebook, Inc. | Techniques for managing discussion sharing on a mobile platform |
| US20220116390A1 (en) * | 2014-10-13 | 2022-04-14 | Vivial Mobile Llc | Secure two-way authentication using encoded mobile image |
| US10225245B2 (en) * | 2014-11-18 | 2019-03-05 | Auth0, Inc. | Identity infrastructure as a service |
| WO2016118304A1 (en) * | 2014-12-31 | 2016-07-28 | Imageware Systems, Inc. | Cloud-based biometric enrollment, identification and verification through identity providers |
| WO2016112290A1 (en) * | 2015-01-09 | 2016-07-14 | Interdigital Technology Corporation | Scalable policy based execution of multi-factor authentication |
| CN104660416B (zh) * | 2015-02-13 | 2018-08-28 | 飞天诚信科技股份有限公司 | 一种语音认证系统和设备的工作方法 |
| US11122034B2 (en) | 2015-02-24 | 2021-09-14 | Nelson A. Cicchitto | Method and apparatus for an identity assurance score with ties to an ID-less and password-less authentication system |
| US11171941B2 (en) | 2015-02-24 | 2021-11-09 | Nelson A. Cicchitto | Mobile device enabled desktop tethered and tetherless authentication |
| US9565183B2 (en) * | 2015-03-13 | 2017-02-07 | Apollo Education Group, Inc. | Location and device based student access control |
| CN106161365B (zh) * | 2015-04-03 | 2020-02-18 | 腾讯科技(深圳)有限公司 | 一种数据处理方法、装置及终端 |
| US10298563B2 (en) | 2015-04-29 | 2019-05-21 | Hewlett Packard Enterprise Development Lp | Multi-factor authorization for IEEE 802.1x-enabled networks |
| CN106211152B (zh) * | 2015-04-30 | 2019-09-06 | 新华三技术有限公司 | 一种无线接入认证方法及装置 |
| US9866543B2 (en) | 2015-06-03 | 2018-01-09 | Paypal, Inc. | Authentication through multiple pathways based on device capabilities and user requests |
| US10009329B2 (en) * | 2015-06-23 | 2018-06-26 | Microsoft Technology Licensing, Llc | Learned roving authentication profiles |
| US10757104B1 (en) | 2015-06-29 | 2020-08-25 | Veritas Technologies Llc | System and method for authentication in a computing system |
| US9736169B2 (en) | 2015-07-02 | 2017-08-15 | International Business Machines Corporation | Managing user authentication in association with application access |
| CN106487511B (zh) * | 2015-08-27 | 2020-02-04 | 阿里巴巴集团控股有限公司 | 身份认证方法及装置 |
| JP5951094B1 (ja) * | 2015-09-07 | 2016-07-13 | ヤフー株式会社 | 生成装置、端末装置、生成方法、生成プログラム及び認証処理システム |
| US10135801B2 (en) * | 2015-09-09 | 2018-11-20 | Oath Inc. | On-line account recovery |
| JP6122924B2 (ja) | 2015-09-11 | 2017-04-26 | ヤフー株式会社 | 提供装置、端末装置、提供方法、提供プログラム及び認証処理システム |
| US9779230B2 (en) * | 2015-09-11 | 2017-10-03 | Dell Products, Lp | System and method for off-host abstraction of multifactor authentication |
| US10616196B1 (en) * | 2015-09-24 | 2020-04-07 | EMC IP Holding Company LLC | User authentication with multiple authentication sources and non-binary authentication decisions |
| US10348709B2 (en) | 2015-09-25 | 2019-07-09 | Mcafee, Llc | Cumulative authentication for step-up increased authentication factors |
| JP6505573B2 (ja) * | 2015-10-07 | 2019-04-24 | Kddi株式会社 | 認証システム、認証サーバ、事業者サーバ及び利用者端末 |
| CN105187450B (zh) * | 2015-10-08 | 2019-05-10 | 飞天诚信科技股份有限公司 | 一种基于认证设备进行认证的方法和设备 |
| ES2609836B2 (es) * | 2015-10-15 | 2018-08-16 | Universidad Rey Juan Carlos | Procedimiento y sistema para la validación de una petición de autenticación/autorización de un usuario |
| CN105472125B (zh) * | 2015-11-16 | 2019-11-26 | 联想(北京)有限公司 | 一种信息处理方法及电子设备 |
| AU2016362507A1 (en) | 2015-12-04 | 2018-06-14 | Dan CERNOCH | Systems and methods for scalable-factor authentication |
| US11232187B2 (en) * | 2016-01-13 | 2022-01-25 | American Express Travel Related Services Company, Inc. | Contextual identification and information security |
| CN108781216B (zh) * | 2016-01-25 | 2021-03-16 | 瑞典爱立信有限公司 | 用于网络接入的方法和设备 |
| US10587614B2 (en) * | 2016-02-03 | 2020-03-10 | Averon Us, Inc. | Method and apparatus for facilitating frictionless two-factor authentication |
| JP2017152947A (ja) * | 2016-02-25 | 2017-08-31 | 京セラ株式会社 | 携帯端末 |
| CN105721480A (zh) * | 2016-03-02 | 2016-06-29 | 北京九州云腾科技有限公司 | 基于fido硬件的用户操作方法及系统 |
| US10693855B1 (en) * | 2016-03-31 | 2020-06-23 | EMC IP Holding Company LLC | Fraud detection |
| US10305901B2 (en) * | 2016-05-06 | 2019-05-28 | Blackberry Limited | System and method for multi-factor authentication |
| US10673838B2 (en) * | 2016-05-13 | 2020-06-02 | MobileIron, Inc. | Unified VPN and identity based authentication to cloud-based services |
| US10523660B1 (en) | 2016-05-13 | 2019-12-31 | MobileIron, Inc. | Asserting a mobile identity to users and devices in an enterprise authentication system |
| JP6570480B2 (ja) * | 2016-06-07 | 2019-09-04 | ヤフー株式会社 | 生成装置、端末装置、生成方法、生成プログラム及び認証処理システム |
| US10447736B1 (en) * | 2016-06-09 | 2019-10-15 | Symantec Corporation | Systems and methods for providing security in smart buildings |
| US11675929B2 (en) | 2016-06-10 | 2023-06-13 | OneTrust, LLC | Data processing consent sharing systems and related methods |
| US11354435B2 (en) | 2016-06-10 | 2022-06-07 | OneTrust, LLC | Data processing systems for data testing to confirm data deletion and related methods |
| US11295316B2 (en) | 2016-06-10 | 2022-04-05 | OneTrust, LLC | Data processing systems for identity validation for consumer rights requests and related methods |
| US11651106B2 (en) | 2016-06-10 | 2023-05-16 | OneTrust, LLC | Data processing systems for fulfilling data subject access requests and related methods |
| US11586700B2 (en) | 2016-06-10 | 2023-02-21 | OneTrust, LLC | Data processing systems and methods for automatically blocking the use of tracking tools |
| US11294939B2 (en) | 2016-06-10 | 2022-04-05 | OneTrust, LLC | Data processing systems and methods for automatically detecting and documenting privacy-related aspects of computer software |
| US11727141B2 (en) | 2016-06-10 | 2023-08-15 | OneTrust, LLC | Data processing systems and methods for synching privacy-related user consent across multiple computing devices |
| US20220035945A1 (en) * | 2016-06-10 | 2022-02-03 | OneTrust, LLC | Data processing systems for fulfilling data subject access requests and related methods |
| US11625502B2 (en) | 2016-06-10 | 2023-04-11 | OneTrust, LLC | Data processing systems for identifying and modifying processes that are subject to data subject access requests |
| US12045266B2 (en) | 2016-06-10 | 2024-07-23 | OneTrust, LLC | Data processing systems for generating and populating a data inventory |
| US12052289B2 (en) | 2016-06-10 | 2024-07-30 | OneTrust, LLC | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods |
| US10997318B2 (en) | 2016-06-10 | 2021-05-04 | OneTrust, LLC | Data processing systems for generating and populating a data inventory for processing data access requests |
| US11392720B2 (en) | 2016-06-10 | 2022-07-19 | OneTrust, LLC | Data processing systems for verification of consent and notice processing and related methods |
| US11188615B2 (en) | 2016-06-10 | 2021-11-30 | OneTrust, LLC | Data processing consent capture systems and related methods |
| CA3029995A1 (en) * | 2016-07-05 | 2018-01-11 | A. David Kelts | Communication flow for verification and identification check |
| US10637853B2 (en) | 2016-08-05 | 2020-04-28 | Nok Nok Labs, Inc. | Authentication techniques including speech and/or lip movement analysis |
| US10769635B2 (en) | 2016-08-05 | 2020-09-08 | Nok Nok Labs, Inc. | Authentication techniques including speech and/or lip movement analysis |
| US11050758B2 (en) | 2016-08-23 | 2021-06-29 | Reavire, Inc. | Controlling access to a computer network using measured device location |
| US10291609B2 (en) * | 2016-08-23 | 2019-05-14 | Reavire, Inc. | Vault appliance for identity verification and secure dispatch of rights |
| US11177958B2 (en) | 2016-09-13 | 2021-11-16 | Silverfort Ltd. | Protection of authentication tokens |
| US10282537B2 (en) * | 2016-09-20 | 2019-05-07 | International Business Machines Corporation | Single prompt multiple-response user authentication method |
| US10122706B2 (en) * | 2016-10-27 | 2018-11-06 | Ca, Inc. | Authenticating identity for password changes |
| US10789386B2 (en) | 2016-11-09 | 2020-09-29 | Reavire, Inc. | Dispatching identity information from secure hardware appliance |
| US11017404B1 (en) | 2016-11-15 | 2021-05-25 | Wells Fargo Bank, N.A. | Event based authentication |
| US20180145984A1 (en) * | 2016-11-24 | 2018-05-24 | Rajender Duggal | System and method for providing security solutions to protect enterprise critical assets |
| US10027662B1 (en) * | 2016-12-06 | 2018-07-17 | Amazon Technologies, Inc. | Dynamic user authentication |
| US20180167383A1 (en) * | 2016-12-12 | 2018-06-14 | Qualcomm Incorporated | Integration of password-less authentication systems with legacy identity federation |
| US10446157B2 (en) | 2016-12-19 | 2019-10-15 | Bank Of America Corporation | Synthesized voice authentication engine |
| US10049673B2 (en) * | 2016-12-19 | 2018-08-14 | Bank Of America Corporation | Synthesized voice authentication engine |
| CN108243115B (zh) * | 2016-12-26 | 2021-06-29 | 新华三技术有限公司 | 报文处理方法及装置 |
| US11315114B2 (en) | 2016-12-28 | 2022-04-26 | Capital One Services, Llc | Dynamic transaction card protected by multi-factor authentication |
| US10237070B2 (en) | 2016-12-31 | 2019-03-19 | Nok Nok Labs, Inc. | System and method for sharing keys across authenticators |
| US10091195B2 (en) | 2016-12-31 | 2018-10-02 | Nok Nok Labs, Inc. | System and method for bootstrapping a user binding |
| DE102017000768A1 (de) | 2017-01-27 | 2018-08-02 | Giesecke+Devrient Mobile Security Gmbh | Verfahren zum Durchführen einer Zweifaktorauthentifizierung |
| US10977345B2 (en) | 2017-02-17 | 2021-04-13 | TwoSesnse, Inc. | Authentication session extension using ephemeral behavior detection |
| JP6581611B2 (ja) * | 2017-02-21 | 2019-09-25 | 日本電信電話株式会社 | 認証鍵共有システムおよび認証鍵共有方法 |
| US10565591B2 (en) * | 2017-02-23 | 2020-02-18 | Paypal, Inc. | Bridge for communicating data outside of a mobile application |
| CN107172008B (zh) * | 2017-04-01 | 2019-10-18 | 北京芯盾时代科技有限公司 | 一种在移动设备中进行多系统认证及同步的系统和方法 |
| US10630668B2 (en) * | 2017-04-28 | 2020-04-21 | Amazon Technologies, Inc. | Single sign-on registration |
| US9882918B1 (en) * | 2017-05-15 | 2018-01-30 | Forcepoint, LLC | User behavior profile in a blockchain |
| JP6759152B2 (ja) * | 2017-05-24 | 2020-09-23 | キヤノン株式会社 | 画像処理装置、方法、プログラム及びシステム |
| WO2018217204A1 (en) | 2017-05-25 | 2018-11-29 | Barclays Services Corporation | Authentication system and method |
| US10462120B2 (en) | 2017-05-25 | 2019-10-29 | Barclays Services Corporation | Authentication system and method |
| KR102413638B1 (ko) * | 2017-05-30 | 2022-06-27 | 삼성에스디에스 주식회사 | 인증 서비스 시스템 및 방법 |
| WO2018219462A1 (en) * | 2017-06-01 | 2018-12-06 | Nokia Solutions And Networks Oy | User authentication in wireless access network |
| US11544356B2 (en) * | 2017-06-19 | 2023-01-03 | Citrix Systems, Inc. | Systems and methods for dynamic flexible authentication in a cloud service |
| EP4236206B1 (en) | 2017-06-19 | 2024-05-29 | Silverfort Ltd. | Actively monitoring encrypted traffic by inspecting logs |
| CN109548411B (zh) * | 2017-07-21 | 2023-06-16 | 北京小米移动软件有限公司 | 一种控制可操控设备接入网络的方法及装置 |
| CN107483419B (zh) * | 2017-07-28 | 2020-06-09 | 深圳市优克联新技术有限公司 | 服务器认证接入终端的方法、装置、系统、服务器及计算机可读存储介质 |
| WO2019029818A1 (en) * | 2017-08-11 | 2019-02-14 | Kobil Systems Gmbh | MULTI-FACTOR AUTHENTICATION |
| US10097538B1 (en) * | 2017-08-12 | 2018-10-09 | Growpath, Inc. | User authentication systems and methods |
| US10476870B2 (en) * | 2017-08-25 | 2019-11-12 | Microsoft Technology Licensing, Llc | Local claim-based security service with cross-browser compatibility |
| CN111295633B (zh) * | 2017-08-29 | 2024-02-20 | 新加坡商欧之遥控有限公司 | 精细的用户识别 |
| CN107395644B (zh) * | 2017-09-01 | 2020-05-12 | 北京知道创宇信息技术股份有限公司 | 一种多协议认证系统及方法 |
| WO2019061514A1 (zh) * | 2017-09-30 | 2019-04-04 | 深圳大学 | 安全的无线通信物理层斜率认证方法和装置 |
| WO2019088985A1 (en) * | 2017-10-30 | 2019-05-09 | Visa International Service Association | Data security hub |
| US10764270B2 (en) * | 2017-11-20 | 2020-09-01 | Allstate Insurance Company | Cryptographically transmitting and storing identity tokens and/or activity data among spatially distributed computing devices |
| US10798103B2 (en) * | 2017-11-21 | 2020-10-06 | VWware, Inc. | Adaptive device enrollment |
| US10986078B2 (en) * | 2017-11-21 | 2021-04-20 | Vmware, Inc. | Adaptive device enrollment |
| US10972468B2 (en) * | 2017-11-21 | 2021-04-06 | Vmware, Inc. | Adaptive device enrollment |
| US10749870B2 (en) * | 2017-11-21 | 2020-08-18 | Vmware, Inc. | Adaptive device enrollment |
| JP7091057B2 (ja) * | 2017-11-22 | 2022-06-27 | キヤノン株式会社 | 情報処理装置、情報処理装置における方法、およびプログラム |
| US11868995B2 (en) | 2017-11-27 | 2024-01-09 | Nok Nok Labs, Inc. | Extending a secure key storage for transaction confirmation and cryptocurrency |
| US11349665B2 (en) * | 2017-12-22 | 2022-05-31 | Motorola Solutions, Inc. | Device attestation server and method for attesting to the integrity of a mobile device |
| EP3503492A1 (en) * | 2017-12-22 | 2019-06-26 | Deutsche Telekom AG | Techniques for establishing data communication based on user identification |
| US11831409B2 (en) | 2018-01-12 | 2023-11-28 | Nok Nok Labs, Inc. | System and method for binding verifiable claims |
| SG10201800338TA (en) * | 2018-01-15 | 2019-08-27 | Mastercard International Inc | User authentication systems and methods |
| US11367323B1 (en) | 2018-01-16 | 2022-06-21 | Secureauth Corporation | System and method for secure pair and unpair processing using a dynamic level of assurance (LOA) score |
| WO2019152592A1 (en) * | 2018-02-01 | 2019-08-08 | Equifax Inc. | Verification of access to secured electronic resources |
| US11625473B2 (en) * | 2018-02-14 | 2023-04-11 | Samsung Electronics Co., Ltd. | Method and apparatus with selective combined authentication |
| GB2573262B (en) * | 2018-03-08 | 2022-04-13 | Benefit Vantage Ltd | Mobile identification method based on SIM card and device-related parameters |
| US10911464B2 (en) * | 2018-04-27 | 2021-02-02 | Oracle International Corporation | Framework for multi-level and multi-factor inline enrollment |
| US11328115B2 (en) * | 2018-05-10 | 2022-05-10 | Microsoft Technology Licensing, Llc. | Self-asserted claims provider |
| US11303632B1 (en) * | 2018-06-08 | 2022-04-12 | Wells Fargo Bank, N.A. | Two-way authentication system and method |
| US11240220B2 (en) * | 2018-06-13 | 2022-02-01 | Paypal, Inc. | Systems and methods for user authentication based on multiple devices |
| US10546444B2 (en) | 2018-06-21 | 2020-01-28 | Capital One Services, Llc | Systems and methods for secure read-only authentication |
| US10911234B2 (en) * | 2018-06-22 | 2021-02-02 | Experian Information Solutions, Inc. | System and method for a token gateway environment |
| US11271930B2 (en) | 2018-07-02 | 2022-03-08 | Mastercard International Incorporated | System architecture and database for context-based authentication |
| CN110892379B (zh) * | 2018-07-05 | 2023-12-05 | 联发科技股份有限公司 | 用于通用集成电路卡操作的方法及用户设备 |
| US10993110B2 (en) * | 2018-07-13 | 2021-04-27 | Nvidia Corp. | Connectionless fast method for configuring Wi-Fi on displayless Wi-Fi IoT device |
| WO2020016628A1 (en) | 2018-07-17 | 2020-01-23 | Telefonaktiebolaget Lm Ericsson (Publ) | Multi-x key chaining for generic bootstrapping architecture (gba) |
| US11100204B2 (en) * | 2018-07-19 | 2021-08-24 | Motorola Mobility Llc | Methods and devices for granting increasing operational access with increasing authentication factors |
| US11778469B2 (en) | 2018-08-20 | 2023-10-03 | Telefonaktiebolaget Lm Ericsson (Publ) | First node, second node, third node, and methods performed thereby for managing data in a database in a communications network |
| US11544409B2 (en) | 2018-09-07 | 2023-01-03 | OneTrust, LLC | Data processing systems and methods for automatically protecting sensitive data within privacy management systems |
| US11216806B2 (en) | 2018-09-19 | 2022-01-04 | Capital One Services, Llc | Systems and methods for providing card interactions |
| US10592710B1 (en) | 2018-10-02 | 2020-03-17 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| US10909527B2 (en) | 2018-10-02 | 2021-02-02 | Capital One Services, Llc | Systems and methods for performing a reissue of a contactless card |
| US10582386B1 (en) | 2018-10-02 | 2020-03-03 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| US10771253B2 (en) | 2018-10-02 | 2020-09-08 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| US10565587B1 (en) | 2018-10-02 | 2020-02-18 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| KR20210069033A (ko) | 2018-10-02 | 2021-06-10 | 캐피탈 원 서비시즈, 엘엘씨 | 비접촉식 카드의 암호화 인증을 위한 시스템 및 방법 |
| US10579998B1 (en) | 2018-10-02 | 2020-03-03 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| US10554411B1 (en) | 2018-10-02 | 2020-02-04 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| US11210664B2 (en) | 2018-10-02 | 2021-12-28 | Capital One Services, Llc | Systems and methods for amplifying the strength of cryptographic algorithms |
| US10511443B1 (en) | 2018-10-02 | 2019-12-17 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| KR20210066798A (ko) | 2018-10-02 | 2021-06-07 | 캐피탈 원 서비시즈, 엘엘씨 | 비접촉식 카드의 암호화 인증을 위한 시스템 및 방법 |
| CA3115107A1 (en) | 2018-10-02 | 2020-04-09 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| US10581611B1 (en) | 2018-10-02 | 2020-03-03 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| BR112021005174A2 (pt) | 2018-10-02 | 2021-06-15 | Capital One Services, Llc | sistema de ressincronização de contador, método de ressincronização de um contador em um cartão sem contato, e, cartão sem contato |
| AU2019355878A1 (en) | 2018-10-02 | 2021-02-25 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| US10607214B1 (en) | 2018-10-02 | 2020-03-31 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| WO2020072552A1 (en) | 2018-10-02 | 2020-04-09 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| CA3115064A1 (en) | 2018-10-02 | 2020-04-09 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| US10489781B1 (en) | 2018-10-02 | 2019-11-26 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| US10949520B2 (en) * | 2018-10-02 | 2021-03-16 | Capital One Services, Llc | Systems and methods for cross coupling risk analytics and one-time-passcodes |
| US10733645B2 (en) | 2018-10-02 | 2020-08-04 | Capital One Services, Llc | Systems and methods for establishing identity for order pick up |
| US10542036B1 (en) | 2018-10-02 | 2020-01-21 | Capital One Services, Llc | Systems and methods for signaling an attack on contactless cards |
| WO2020072687A1 (en) | 2018-10-02 | 2020-04-09 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| WO2020072537A1 (en) | 2018-10-02 | 2020-04-09 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| US10797882B2 (en) | 2018-10-02 | 2020-10-06 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| AU2019355110A1 (en) | 2018-10-02 | 2021-04-08 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| US10505738B1 (en) | 2018-10-02 | 2019-12-10 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| US10771254B2 (en) | 2018-10-02 | 2020-09-08 | Capital One Services, Llc | Systems and methods for email-based card activation |
| WO2020072440A1 (en) | 2018-10-02 | 2020-04-09 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| US10783519B2 (en) | 2018-10-02 | 2020-09-22 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| US11822637B2 (en) * | 2018-10-18 | 2023-11-21 | Oracle International Corporation | Adaptive authentication in spreadsheet interface integrated with web service |
| EP3874379A4 (en) | 2018-10-30 | 2022-07-20 | Valimail Inc. | SIGNED MESSAGE HEADER WITH STORED SENDER ACCOUNT AUTHENTICATION METHOD |
| US11159517B2 (en) * | 2018-11-21 | 2021-10-26 | Citrix Systems, Inc. | Self-federation in authentication systems |
| US11227036B1 (en) * | 2018-11-27 | 2022-01-18 | Amazon Technologies, Inc. | Determination of authentication assurance via algorithmic decay |
| US11233788B1 (en) * | 2018-11-27 | 2022-01-25 | Amazon Technologies, Inc. | Determining authentication assurance from historical and runtime-provided inputs |
| US10958661B2 (en) * | 2018-11-28 | 2021-03-23 | Bank Of America Corporation | Multi-layer authentication system with selective level access control |
| US10664830B1 (en) | 2018-12-18 | 2020-05-26 | Capital One Services, Llc | Devices and methods for selective contactless communication |
| US20200220948A1 (en) * | 2019-01-04 | 2020-07-09 | Byton North America Corporation | Unique id for correlating services across regions |
| WO2020144518A1 (en) * | 2019-01-10 | 2020-07-16 | Silverfort Ltd. | Using virtual tokens to extend authentication protocols |
| US11361302B2 (en) | 2019-01-11 | 2022-06-14 | Capital One Services, Llc | Systems and methods for touch screen interface interaction using a card overlay |
| US11037136B2 (en) | 2019-01-24 | 2021-06-15 | Capital One Services, Llc | Tap to autofill card data |
| US11451532B2 (en) * | 2019-01-25 | 2022-09-20 | Dell Products L.P. | Behavioral biometrics and machine learning to secure website logins |
| US11120453B2 (en) | 2019-02-01 | 2021-09-14 | Capital One Services, Llc | Tap card to securely generate card data to copy to clipboard |
| US10510074B1 (en) | 2019-02-01 | 2019-12-17 | Capital One Services, Llc | One-tap payment using a contactless card |
| US10467622B1 (en) | 2019-02-01 | 2019-11-05 | Capital One Services, Llc | Using on-demand applications to generate virtual numbers for a contactless card to securely autofill forms |
| KR102758937B1 (ko) * | 2019-02-18 | 2025-01-23 | 삼성전자주식회사 | 생체 정보를 인증하기 위한 전자 장치 및 그의 동작 방법 |
| US10425129B1 (en) | 2019-02-27 | 2019-09-24 | Capital One Services, Llc | Techniques to reduce power consumption in near field communication systems |
| US12041039B2 (en) | 2019-02-28 | 2024-07-16 | Nok Nok Labs, Inc. | System and method for endorsing a new authenticator |
| US10523708B1 (en) | 2019-03-18 | 2019-12-31 | Capital One Services, Llc | System and method for second factor authentication of customer support calls |
| US11531736B1 (en) | 2019-03-18 | 2022-12-20 | Amazon Technologies, Inc. | User authentication as a service |
| US10535062B1 (en) | 2019-03-20 | 2020-01-14 | Capital One Services, Llc | Using a contactless card to securely share personal data stored in a blockchain |
| US10438437B1 (en) | 2019-03-20 | 2019-10-08 | Capital One Services, Llc | Tap to copy data to clipboard via NFC |
| US10643420B1 (en) | 2019-03-20 | 2020-05-05 | Capital One Services, Llc | Contextual tapping engine |
| US10984416B2 (en) | 2019-03-20 | 2021-04-20 | Capital One Services, Llc | NFC mobile currency transfer |
| US10970712B2 (en) | 2019-03-21 | 2021-04-06 | Capital One Services, Llc | Delegated administration of permissions using a contactless card |
| US10467445B1 (en) | 2019-03-28 | 2019-11-05 | Capital One Services, Llc | Devices and methods for contactless card alignment with a foldable mobile device |
| US11792024B2 (en) | 2019-03-29 | 2023-10-17 | Nok Nok Labs, Inc. | System and method for efficient challenge-response authentication |
| CN110138736B (zh) * | 2019-04-11 | 2022-05-13 | 泉州信息工程学院 | 物联网多重动态随机加密的身份认证方法和装置及设备 |
| US12022295B2 (en) * | 2019-04-29 | 2024-06-25 | Sonicwall Inc. | Streamlined creation and expansion of a wireless mesh network |
| US11521262B2 (en) | 2019-05-28 | 2022-12-06 | Capital One Services, Llc | NFC enhanced augmented reality information overlays |
| US10516447B1 (en) | 2019-06-17 | 2019-12-24 | Capital One Services, Llc | Dynamic power levels in NFC card communications |
| US11392933B2 (en) | 2019-07-03 | 2022-07-19 | Capital One Services, Llc | Systems and methods for providing online and hybridcard interactions |
| US10871958B1 (en) | 2019-07-03 | 2020-12-22 | Capital One Services, Llc | Techniques to perform applet programming |
| US11694187B2 (en) | 2019-07-03 | 2023-07-04 | Capital One Services, Llc | Constraining transactional capabilities for contactless cards |
| US12086852B2 (en) | 2019-07-08 | 2024-09-10 | Capital One Services, Llc | Authenticating voice transactions with payment card |
| US11336682B2 (en) * | 2019-07-09 | 2022-05-17 | Nice Ltd. | System and method for generating and implementing a real-time multi-factor authentication policy across multiple channels |
| US10713649B1 (en) | 2019-07-09 | 2020-07-14 | Capital One Services, Llc | System and method enabling mobile near-field communication to update display on a payment card |
| US11265305B2 (en) * | 2019-07-12 | 2022-03-01 | International Business Machines Corporation | Managing anonymous network connections |
| US10885514B1 (en) | 2019-07-15 | 2021-01-05 | Capital One Services, Llc | System and method for using image data to trigger contactless card transactions |
| US10498401B1 (en) | 2019-07-15 | 2019-12-03 | Capital One Services, Llc | System and method for guiding card positioning using phone sensors |
| US11182771B2 (en) | 2019-07-17 | 2021-11-23 | Capital One Services, Llc | System for value loading onto in-vehicle device |
| US10733601B1 (en) | 2019-07-17 | 2020-08-04 | Capital One Services, Llc | Body area network facilitated authentication or payment authorization |
| US10832271B1 (en) | 2019-07-17 | 2020-11-10 | Capital One Services, Llc | Verified reviews using a contactless card |
| US11521213B2 (en) | 2019-07-18 | 2022-12-06 | Capital One Services, Llc | Continuous authentication for digital services based on contactless card positioning |
| US10506426B1 (en) | 2019-07-19 | 2019-12-10 | Capital One Services, Llc | Techniques for call authentication |
| US10541995B1 (en) | 2019-07-23 | 2020-01-21 | Capital One Services, Llc | First factor contactless card authentication system and method |
| US10862689B1 (en) * | 2019-07-23 | 2020-12-08 | Cyberark Software Ltd. | Verification of client identities based on non-distributed data |
| WO2021019285A1 (en) * | 2019-07-31 | 2021-02-04 | Coronet Cyber Security Ltd. | Multi factor authentication |
| US11096059B1 (en) | 2019-08-04 | 2021-08-17 | Acceptto Corporation | System and method for secure touchless authentication of user paired device, behavior and identity |
| US20210056193A1 (en) * | 2019-08-20 | 2021-02-25 | Microsoft Technology Licensing, Llc | Permitted authentication types for account access |
| DE102019125959A1 (de) * | 2019-09-26 | 2021-04-01 | Bayerische Motoren Werke Aktiengesellschaft | Verfahren und System zum Bereitstellen einer Kommunikationsfunktion in einem Fortbewegungsmittel |
| CN114746913A (zh) | 2019-10-02 | 2022-07-12 | 第一资本服务有限责任公司 | 使用非接触式传统磁条数据的客户端设备认证 |
| JP7367443B2 (ja) * | 2019-10-09 | 2023-10-24 | 富士通株式会社 | 本人確認プログラム、管理装置及び本人確認方法 |
| US11171945B2 (en) | 2019-10-16 | 2021-11-09 | Capital One Services, Llc | Time-based token trust depreciation |
| US10685137B1 (en) * | 2019-10-16 | 2020-06-16 | Capital One Services, Llc | Methods and systems for leveraging existing user data to verify user credentials |
| US11722481B2 (en) * | 2019-10-31 | 2023-08-08 | Citrix Systems, Inc. | Multiple identity provider authentication system |
| US10951606B1 (en) * | 2019-12-04 | 2021-03-16 | Acceptto Corporation | Continuous authentication through orchestration and risk calculation post-authorization system and method |
| EP3840322A1 (en) * | 2019-12-20 | 2021-06-23 | Thales Dis France Sa | Method to facilitate user authenticating in a wireless network |
| US10862540B1 (en) | 2019-12-23 | 2020-12-08 | Capital One Services, Llc | Method for mapping NFC field strength and location on mobile devices |
| US11651361B2 (en) | 2019-12-23 | 2023-05-16 | Capital One Services, Llc | Secure authentication based on passport data stored in a contactless card |
| US10885410B1 (en) | 2019-12-23 | 2021-01-05 | Capital One Services, Llc | Generating barcodes utilizing cryptographic techniques |
| US10657754B1 (en) | 2019-12-23 | 2020-05-19 | Capital One Services, Llc | Contactless card and personal identification system |
| US11615395B2 (en) | 2019-12-23 | 2023-03-28 | Capital One Services, Llc | Authentication for third party digital wallet provisioning |
| US11113685B2 (en) | 2019-12-23 | 2021-09-07 | Capital One Services, Llc | Card issuing with restricted virtual numbers |
| US10733283B1 (en) | 2019-12-23 | 2020-08-04 | Capital One Services, Llc | Secure password generation and management using NFC and contactless smart cards |
| US10664941B1 (en) | 2019-12-24 | 2020-05-26 | Capital One Services, Llc | Steganographic image encoding of biometric template information on a card |
| US10853795B1 (en) | 2019-12-24 | 2020-12-01 | Capital One Services, Llc | Secure authentication based on identity data stored in a contactless card |
| US11200563B2 (en) | 2019-12-24 | 2021-12-14 | Capital One Services, Llc | Account registration using a contactless card |
| US10909544B1 (en) | 2019-12-26 | 2021-02-02 | Capital One Services, Llc | Accessing and utilizing multiple loyalty point accounts |
| US10757574B1 (en) | 2019-12-26 | 2020-08-25 | Capital One Services, Llc | Multi-factor authentication providing a credential via a contactless card for secure messaging |
| US11038688B1 (en) | 2019-12-30 | 2021-06-15 | Capital One Services, Llc | Techniques to control applets for contactless cards |
| US11455620B2 (en) | 2019-12-31 | 2022-09-27 | Capital One Services, Llc | Tapping a contactless card to a computing device to provision a virtual number |
| US10860914B1 (en) | 2019-12-31 | 2020-12-08 | Capital One Services, Llc | Contactless card and method of assembly |
| CN111091387A (zh) * | 2019-12-31 | 2020-05-01 | 中国银行股份有限公司 | 一种认证方法、装置及系统 |
| US11258779B2 (en) | 2020-01-14 | 2022-02-22 | Cisco Technology, Inc. | Wireless LAN (WLAN) public identity federation trust architecture |
| CN111404933B (zh) * | 2020-03-16 | 2022-04-15 | 维沃移动通信有限公司 | 鉴权方法、电子设备及鉴权服务器 |
| TWI768307B (zh) * | 2020-03-18 | 2022-06-21 | 傑睿資訊服務股份有限公司 | 開源軟體整合方法 |
| US11210656B2 (en) | 2020-04-13 | 2021-12-28 | Capital One Services, Llc | Determining specific terms for contactless card activation |
| US10915888B1 (en) | 2020-04-30 | 2021-02-09 | Capital One Services, Llc | Contactless card with multiple rotating security keys |
| US10861006B1 (en) | 2020-04-30 | 2020-12-08 | Capital One Services, Llc | Systems and methods for data access control using a short-range transceiver |
| US11823175B2 (en) | 2020-04-30 | 2023-11-21 | Capital One Services, Llc | Intelligent card unlock |
| US11222342B2 (en) | 2020-04-30 | 2022-01-11 | Capital One Services, Llc | Accurate images in graphical user interfaces to enable data transfer |
| US11030339B1 (en) | 2020-04-30 | 2021-06-08 | Capital One Services, Llc | Systems and methods for data access control of personal user data using a short-range transceiver |
| US10963865B1 (en) | 2020-05-12 | 2021-03-30 | Capital One Services, Llc | Augmented reality card activation experience |
| US11063979B1 (en) | 2020-05-18 | 2021-07-13 | Capital One Services, Llc | Enabling communications between applications in a mobile operating system |
| US11100511B1 (en) | 2020-05-18 | 2021-08-24 | Capital One Services, Llc | Application-based point of sale system in mobile operating systems |
| US12107970B2 (en) * | 2020-05-26 | 2024-10-01 | Motorola Solutions, Inc. | Method of establishing a future 2-way authentication between a client application and an application server |
| US20210385183A1 (en) * | 2020-06-06 | 2021-12-09 | Fortinet, Inc. | Multi-factor authentication for accessing an electronic mail |
| AU2021305185A1 (en) * | 2020-07-08 | 2023-03-09 | Cervais Inc. | Peer-to-peer secure communication system, apparatus, and method |
| US11797528B2 (en) | 2020-07-08 | 2023-10-24 | OneTrust, LLC | Systems and methods for targeted data discovery |
| US12035136B1 (en) | 2020-08-01 | 2024-07-09 | Secureauth Corporation | Bio-behavior system and method |
| TWI759968B (zh) * | 2020-08-06 | 2022-04-01 | 美商動信安全股份有限公司 | 安全金鑰裝置、安全認證系統以及安全認證方法 |
| US11062098B1 (en) | 2020-08-11 | 2021-07-13 | Capital One Services, Llc | Augmented reality information display and interaction via NFC based authentication |
| US12165149B2 (en) | 2020-08-12 | 2024-12-10 | Capital One Services, Llc | Systems and methods for user verification via short-range transceiver |
| FR3113753B1 (fr) * | 2020-08-25 | 2023-05-12 | Idemia France | Procédé de vérification d’une carte à microcircuit, procédé de personnalisation d’une carte à microcircuit, carte à microcircuit et dispositif électronique associé |
| US11329998B1 (en) | 2020-08-31 | 2022-05-10 | Secureauth Corporation | Identification (ID) proofing and risk engine integration system and method |
| US12003506B2 (en) * | 2020-10-07 | 2024-06-04 | Arris Enterprises Llc | Biometrics based access controls for network features |
| US11482312B2 (en) | 2020-10-30 | 2022-10-25 | Capital One Services, Llc | Secure verification of medical status using a contactless card |
| US11165586B1 (en) | 2020-10-30 | 2021-11-02 | Capital One Services, Llc | Call center web-based authentication using a contactless card |
| US11373169B2 (en) | 2020-11-03 | 2022-06-28 | Capital One Services, Llc | Web-based activation of contactless cards |
| US11216799B1 (en) | 2021-01-04 | 2022-01-04 | Capital One Services, Llc | Secure generation of one-time passcodes using a contactless card |
| US11687528B2 (en) | 2021-01-25 | 2023-06-27 | OneTrust, LLC | Systems and methods for discovery, classification, and indexing of data in a native computing system |
| US11682012B2 (en) | 2021-01-27 | 2023-06-20 | Capital One Services, Llc | Contactless delivery systems and methods |
| US11687930B2 (en) | 2021-01-28 | 2023-06-27 | Capital One Services, Llc | Systems and methods for authentication of access tokens |
| US11562358B2 (en) | 2021-01-28 | 2023-01-24 | Capital One Services, Llc | Systems and methods for near field contactless card communication and cryptographic authentication |
| US11792001B2 (en) | 2021-01-28 | 2023-10-17 | Capital One Services, Llc | Systems and methods for secure reprovisioning |
| US11438329B2 (en) | 2021-01-29 | 2022-09-06 | Capital One Services, Llc | Systems and methods for authenticated peer-to-peer data transfer using resource locators |
| US11777933B2 (en) | 2021-02-03 | 2023-10-03 | Capital One Services, Llc | URL-based authentication for payment cards |
| WO2022178089A1 (en) | 2021-02-17 | 2022-08-25 | OneTrust, LLC | Managing custom workflows for domain objects defined within microservices |
| US11637826B2 (en) | 2021-02-24 | 2023-04-25 | Capital One Services, Llc | Establishing authentication persistence |
| US12143515B2 (en) | 2021-03-26 | 2024-11-12 | Capital One Services, Llc | Systems and methods for transaction card-based authentication |
| US11245438B1 (en) | 2021-03-26 | 2022-02-08 | Capital One Services, Llc | Network-enabled smart apparatus and systems and methods for activating and provisioning same |
| US11621957B2 (en) | 2021-03-31 | 2023-04-04 | Cisco Technology, Inc. | Identity verification for network access |
| US12160419B2 (en) | 2021-04-15 | 2024-12-03 | Capital One Services, Llc | Authenticated messaging session with contactless card authentication |
| US11935035B2 (en) | 2021-04-20 | 2024-03-19 | Capital One Services, Llc | Techniques to utilize resource locators by a contactless card to perform a sequence of operations |
| US11961089B2 (en) | 2021-04-20 | 2024-04-16 | Capital One Services, Llc | On-demand applications to extend web services |
| US11902442B2 (en) | 2021-04-22 | 2024-02-13 | Capital One Services, Llc | Secure management of accounts on display devices using a contactless card |
| US11354555B1 (en) | 2021-05-04 | 2022-06-07 | Capital One Services, Llc | Methods, mediums, and systems for applying a display to a transaction card |
| US11855979B2 (en) | 2021-05-28 | 2023-12-26 | Microsoft Technology Licensing, Llc | Proxy configured to dynamically failover authentication traffic to a backup authentication system |
| US12069052B2 (en) * | 2021-05-28 | 2024-08-20 | Microsoft Technology Licensing, Llc | Client device capable of dynamically routing authentication requests to a backup authentication system |
| KR102577882B1 (ko) * | 2021-06-03 | 2023-09-12 | 중부대학교 산학협력단 | 쌍토큰을 이용한 tls 세션 복구 방법 |
| US12041172B2 (en) | 2021-06-25 | 2024-07-16 | Capital One Services, Llc | Cryptographic authentication to control access to storage devices |
| US11968242B2 (en) | 2021-07-01 | 2024-04-23 | Cisco Technology, Inc. | Differentiated service in a federation-based access network |
| US12061682B2 (en) | 2021-07-19 | 2024-08-13 | Capital One Services, Llc | System and method to perform digital authentication using multiple channels of communication |
| US12062258B2 (en) | 2021-09-16 | 2024-08-13 | Capital One Services, Llc | Use of a payment card to unlock a lock |
| US12126613B2 (en) | 2021-09-17 | 2024-10-22 | Nok Nok Labs, Inc. | System and method for pre-registration of FIDO authenticators |
| US20230102434A1 (en) * | 2021-09-30 | 2023-03-30 | Secfense Sp. z.o.o | Secondary authentication platform for facilitating a multi-factor authentication and methods for use therewith |
| WO2023062809A1 (ja) * | 2021-10-15 | 2023-04-20 | 富士通株式会社 | 認証プログラム、認証装置、及び認証方法 |
| US12003499B2 (en) * | 2021-11-24 | 2024-06-04 | Gerald Sindell | Universal, hierarchally-outsourced multi-phased authentication framework with a central global database |
| US12069173B2 (en) | 2021-12-15 | 2024-08-20 | Capital One Services, Llc | Key recovery based on contactless card authentication |
| US20230198973A1 (en) * | 2021-12-16 | 2023-06-22 | Microsoft Technology Licensing, Llc | Service to service authentication in computing systems |
| CN114462059A (zh) * | 2021-12-30 | 2022-05-10 | 济南超级计算技术研究院 | 一种表字段级加密及安全访问控制方法及系统 |
| US12166750B2 (en) | 2022-02-08 | 2024-12-10 | Capital One Services, Llc | Systems and methods for secure access of storage |
| CN118647994A (zh) | 2022-02-10 | 2024-09-13 | 三菱电机株式会社 | 负荷确定装置、负荷确定方法以及负荷确定程序 |
| US20230328106A1 (en) * | 2022-04-12 | 2023-10-12 | Fortinet, Inc. | Systems and methods for context based access control in a bridge server |
| KR102754739B1 (ko) * | 2022-04-19 | 2025-01-21 | 한국철도공사 | 대용량 진위확인 서비스 구현을 위한 api 최적화 방법 |
| TWI824517B (zh) * | 2022-05-12 | 2023-12-01 | 技嘉科技股份有限公司 | 身分驗證方法及身分驗證系統 |
| US20240104249A1 (en) * | 2022-09-27 | 2024-03-28 | The Toronto-Dominion Bank | System and method for providing third party access to a system |
| US20240236071A9 (en) * | 2022-10-20 | 2024-07-11 | Vmware, Inc. | System-level authentication credentials to perform data center operations |
| US12147983B2 (en) * | 2023-01-13 | 2024-11-19 | Capital One Services, Llc | Systems and methods for multi-factor authentication using device tracking and identity verification |
| US12124903B2 (en) | 2023-03-16 | 2024-10-22 | Capital One Services, Llc | Card with a time-sensitive element and systems and methods for implementing the same |
| KR20240175040A (ko) * | 2023-06-12 | 2024-12-19 | 주식회사 에어큐브 | 사용자 정보 수신 장치와 키 보안 장치가 구분되는 환경에서의 보안 시스템 동작 방법 |
| US12200135B2 (en) | 2023-06-13 | 2025-01-14 | Capital One Services, Llc | Contactless card-based authentication via web-browser |
| KR102654983B1 (ko) * | 2023-12-29 | 2024-04-05 | 한국과학기술정보연구원 | 다요소 인증 방법 및 시스템 |
Family Cites Families (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6321339B1 (en) * | 1998-05-21 | 2001-11-20 | Equifax Inc. | System and method for authentication of network users and issuing a digital certificate |
| JP2003091509A (ja) * | 2001-09-17 | 2003-03-28 | Nec Corp | 携帯通信機器の個人認証方法およびそれを記述したプログラム |
| US20030115142A1 (en) * | 2001-12-12 | 2003-06-19 | Intel Corporation | Identity authentication portfolio system |
| JP2003248661A (ja) * | 2002-02-25 | 2003-09-05 | Sony Corp | 認証処理装置および認証処理方法、情報処理装置および情報処理方法、認証処理システム、記録媒体、並びにプログラム |
| US20040039909A1 (en) * | 2002-08-22 | 2004-02-26 | David Cheng | Flexible authentication with multiple levels and factors |
| US7207058B2 (en) * | 2002-12-31 | 2007-04-17 | American Express Travel Related Services Company, Inc. | Method and system for transmitting authentication context information |
| US20050177724A1 (en) * | 2004-01-16 | 2005-08-11 | Valiuddin Ali | Authentication system and method |
| KR20060131169A (ko) * | 2005-06-15 | 2006-12-20 | 삼성전자주식회사 | 통신 시스템에서 인증 수행 시스템 및 방법 |
| JP4684100B2 (ja) * | 2005-12-26 | 2011-05-18 | 株式会社日立製作所 | 認証システムおよび認証方法 |
| US7966489B2 (en) * | 2006-08-01 | 2011-06-21 | Cisco Technology, Inc. | Method and apparatus for selecting an appropriate authentication method on a client |
| JP2008117326A (ja) * | 2006-11-08 | 2008-05-22 | Fuji Xerox Co Ltd | サービス利用認可システム、コンテンツ利用認可システム、サービス利用認可プログラム、コンテンツ利用認可プログラムおよびサービス利用認可方法 |
| CN100530213C (zh) * | 2006-11-08 | 2009-08-19 | 华为技术有限公司 | 一种确定生物认证系统的安全级别的方法和设备 |
| US8978117B2 (en) * | 2007-11-19 | 2015-03-10 | Avaya Inc. | Authentication frequency and challenge type based on environmental and physiological properties |
| US9122895B2 (en) * | 2008-06-25 | 2015-09-01 | Microsoft Technology Licensing, Llc | Authorization for transient storage devices with multiple authentication silos |
| JP2010067124A (ja) * | 2008-09-12 | 2010-03-25 | Nec Corp | 認証管理装置および認証管理方法ならびにそのプログラム |
| JP5459583B2 (ja) * | 2009-03-25 | 2014-04-02 | 日本電気株式会社 | 認証方法及びその認証システム並びにその認証処理プログラム |
| CN101853360A (zh) * | 2009-04-02 | 2010-10-06 | 同方股份有限公司 | 一种用于移动存储设备的认证系统 |
| JP2011145906A (ja) * | 2010-01-15 | 2011-07-28 | Hitachi Omron Terminal Solutions Corp | 取引処理装置および取引処理方法 |
| US8756650B2 (en) * | 2010-03-15 | 2014-06-17 | Broadcom Corporation | Dynamic authentication of a user |
| US8839346B2 (en) * | 2010-07-21 | 2014-09-16 | Citrix Systems, Inc. | Systems and methods for providing a smart group |
| WO2012149384A1 (en) * | 2011-04-28 | 2012-11-01 | Interdigital Patent Holdings, Inc. | Sso framework for multiple sso technologies |
| CN102780674A (zh) * | 2011-05-09 | 2012-11-14 | 同方股份有限公司 | 一种具有多因素认证方法的网络业务处理方法及系统 |
| WO2013003535A1 (en) * | 2011-06-28 | 2013-01-03 | Interdigital Patent Holdings, Inc. | Automated negotiation and selection of authentication protocols |
| EP2725835A1 (en) * | 2012-10-24 | 2014-04-30 | Gemalto SA | Method for authenticating a user |
| US20140157401A1 (en) * | 2012-11-30 | 2014-06-05 | Motorola Mobility Llc | Method of Dynamically Adjusting an Authentication Sensor |
| JP2016511849A (ja) * | 2012-12-12 | 2016-04-21 | インターデイジタル パテント ホールディングス インコーポレイテッド | 独立アイデンティティ管理システム |
| US9172687B2 (en) * | 2012-12-28 | 2015-10-27 | Nok Nok Labs, Inc. | Query system and method to determine authentication capabilities |
| US9219732B2 (en) * | 2012-12-28 | 2015-12-22 | Nok Nok Labs, Inc. | System and method for processing random challenges within an authentication framework |
| GB2510120A (en) * | 2013-01-24 | 2014-07-30 | Ibm | User authentication based on dynamically selected service authentication levels |
| US10270748B2 (en) * | 2013-03-22 | 2019-04-23 | Nok Nok Labs, Inc. | Advanced authentication techniques and applications |
| US9426183B2 (en) * | 2013-07-28 | 2016-08-23 | Acceptto Corporation | Authentication policy orchestration for a user device |
| US9444824B1 (en) * | 2014-02-28 | 2016-09-13 | Intuit Inc. | Methods, systems, and articles of manufacture for implementing adaptive levels of assurance in a financial management system |
-
2014
- 2014-04-25 JP JP2016510810A patent/JP6307593B2/ja not_active Expired - Fee Related
- 2014-04-25 WO PCT/US2014/035517 patent/WO2014176539A1/en active Search and Examination
- 2014-04-25 EP EP14730002.4A patent/EP2989770A1/en not_active Withdrawn
- 2014-04-25 US US14/786,688 patent/US20160087957A1/en not_active Abandoned
- 2014-04-25 KR KR1020157033829A patent/KR101924683B1/ko active IP Right Grant
- 2014-04-25 CN CN201480023683.0A patent/CN105144656A/zh active Pending
- 2014-08-29 TW TW103115148A patent/TW201541977A/zh unknown
Also Published As
| Publication number | Publication date |
|---|---|
| KR101924683B1 (ko) | 2018-12-03 |
| EP2989770A1 (en) | 2016-03-02 |
| US20160087957A1 (en) | 2016-03-24 |
| TW201541977A (zh) | 2015-11-01 |
| CN105144656A (zh) | 2015-12-09 |
| WO2014176539A1 (en) | 2014-10-30 |
| KR20160004363A (ko) | 2016-01-12 |
| JP2016525807A (ja) | 2016-08-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6307593B2 (ja) | 必要とされる認証保証レベルを達成するための多要素認証 | |
| US20170374070A1 (en) | Scalable policy based execution of multi-factor authentication | |
| US9237142B2 (en) | Client and server group SSO with local openID | |
| JP5540119B2 (ja) | トラステッド連合アイデンティティのための方法および装置 | |
| EP2702745B1 (en) | Sso framework for multiple sso technologies | |
| US20150319156A1 (en) | Independent identity management systems | |
| US10044713B2 (en) | OpenID/local openID security | |
| US20160050234A1 (en) | Seamless authentication across multiple entities | |
| US9467429B2 (en) | Identity management with generic bootstrapping architecture | |
| US20140201809A1 (en) | Characteristics of Security Associations | |
| US20180013782A1 (en) | Continuous device/uicc based authentication for lte systems | |
| JP2018525722A (ja) | リソース駆動動的承認フレームワーク | |
| TW201225697A (en) | Identity management on a wireless device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170220 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170228 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20170531 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170831 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180109 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20180208 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180312 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6307593 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |