図面 (/)

技術 フェデレーテッドブロックチェーンのアイデンティティモデル及びRCSのための個人的に識別可能な安全な情報データ送信モデル

出願人 アバイアインコーポレーテッド
発明者 ジョンエー.ヤング
出願日 2019年7月2日 (2年4ヶ月経過) 出願番号 2019-123410
公開日 2020年1月16日 (1年10ヶ月経過) 公開番号 2020-010332
状態 特許登録済
技術分野 オンライン・システムの機密保護 暗号化・復号化装置及び秘密通信
主要キーワード 加速ユニット ブロックチェーン 頒布媒体 部分的組合せ 専用測定 伝搬データ ハード配線 例示的実施
関連する未来課題
重要な関連分野

この項目の情報は公開日時点(2020年1月16日)のものです。
また、この項目は機械的に抽出しているため、正しく解析できていない場合があります

図面 (8)

課題

ユーザ認証の方法及びシステムを提供する。

解決手段

アイデンティティサーバは、プルーフオブアイデンティティ(POI)情報を安全なストアにおけるリッチコミュニケーションサービス(RCS)ネットワークのユーザに対するアイデンティティ記録、及びアイデンティティ請求トークンハッシュをアイデンティティ管理ブロックチェーン登録し、受信するユーザ認証リクエストに応じ、ユーザに対する暗号化されたアイデンティティ情報を提供する。暗号化されたアイデンティティ請求トークンは、証明当局証明書を備え、復号及びハッシュ化されると、ユーザが真正な場合にはアイデンティティ管理ブロックチェーンにおけるアイデンティティ請求トークンのハッシュと一致する。受信されたユーザの生体認証データ及びデバイスデータベースライン生体認証及びデバイスデータのセットに一致する度合いを示す認証スコアは、リクエストに応じ提供される。

概要

背景

リッチコミュニケーションサービス(RCS)は、産業エコシステム内でオペレータモバイルサービス配備を促進するグローバル構想である。それは、モバイルキャリア間及び電話機とモバイルキャリアの間での使用のための通信プロトコルである。それは、旧来的なSMSメッセージングを、より豊富でかつコールマルチメディアを送信できる次世代テキストメッセージング機能に置き換えることを目的とする。RCSの出現モバイルオペレータ競合的状況と戦うことによる反応であり、これにより「オーバーザトッププロバイダが高い価値のサービスを現在のキャリアネットワークに提供していた。RCS構成設定は、スタンドアロンメッセージング一対一チャットグループチャット、ファイル転送コンテンツ共有ソーシャルプレゼンス情報、IPボイスコール、ベストエフォートビデオコール地理位置交換オーディオメッセージング、ネットワークベースブラックリスト、及びプレゼンス又はSIPOPTIONSに基づく機能交換を含む。VoLTE(ボイスオーバーロングタームエボリューション)は、基本的に、リッチコミュニケーションサービス(RCS)が配備可能な基礎となる無線ネットワークインフラを提供する。

しかし、RCSネットワークには、多数の認知されたセキュリティ脆弱性がある。例えば、個々のデバイス上のRCSサービスにおける認証は、現在のところユーザ名/パスワードの組合せに基づくソリューションで行われる。それらの証明書マルウェアアプリケーションによってハイジャックされてアイデンティティスプーフィングするのに使用され得るというリスクがある。

他の例では、ユーザ認証は、アプリケーションとピアネットワークアプリケーションとの間で交換された証明書(ユーザ名及びパスワード)に基づく基本的又は摘要アクセス認証を介して実行される。証明書の自動プロビジョニングは、デバイスプロビジョニングを介して適用される。摘要手順自体は、攻撃に対して安全かつ堅牢である。しかし、それは、アプリケーションのキーストアへのアクセスを介して証明書を発見する攻撃又は証明書管理手順に基づくスプーフィング攻撃(例えば、クライアント真正であることが確認されないRCSアプリケーションに偽装するマルウェア)に対して脆弱である。

RCSはまた、実際にはベアラセッション内でサービスの使用のためのベアラセットアップ時にユーザの認証を長引かせるシングルサインオンSSO)となるネットワークベースのユーザ識別を(例えば、「ヘッダ強化」を介して)サポートする。3GPPネットワークにおけるベアラセットアップは、通常、SIMベースの認証及び鍵合意プロトコルに基づく。ベアラセットアップ時に割り当てられたIPアドレスは、既存のベアラセッション内でユーザを識別する基準として用いられる。RCSサービスプロバイダは、信用あるネットワークアクセス安全化して不正なIPアドレス申請を防止する際にプリコーションを必要とする。攻撃者は一度ユーザの代理としてベアラセッションを使用する許可を得るとネットワークサービスへの不正アクセスを獲得可能となるので、このメカニズムは安全ではない。

RCSは、ワンタイムパスワード(OTP)を介してユーザベースの認証を利用し、それにより、ユーザ又はデバイスは、このアイデンティティのための認証コンテキスト、例えば、他のデバイスへのショートメッセージサービス又は外部の安全なトークンサービスとのチャネルを介したシグナリングトランザクションを介してチャレンジされるアイデンティティを申請する。ワンタイム認証に基づいて、ロングターム認証コンテキストが、後続認証トランザクションの必要性を防止するように生成され得る(SSO)。このセキュリティ対策は、例えば、ほとんどの場合にユーザに影響がある2要因認証の原理に基づいて、他の認証メカニズムの追加の対策として使用され得る。OPTを介した単一のトークン交換自体は安全である。しかし、それは、アクセスを認証するのに用いられるトークンへのアクセスを獲得するスプーフィング攻撃には脆弱である。OTP認証のためのSMSメッセージの使用は、潜在的に安全ではない。

したがって、第三者アプリケーションがユーザデータを回収すること又はユーザの代理として通信サービスを利用することができるという危険が残る。主なRCS脆弱性は、弱いセキュリティ対策のデバイス管理技術を介してユーザ識別及び認証データが消費者利用可能となるということから起こる。それゆえ、RCSネットワーク又はサービスのユーザを認証するための改善された方法及びシステムに対するニーズがある。

概要

ユーザ認証の方法及びシステムを提供する。アイデンティティサーバは、プルーフオブアイデンティティ(POI)情報を安全なストアにおけるリッチコミュニケーションサービス(RCS)ネットワークのユーザに対するアイデンティティ記録、及びアイデンティティ請求トークンのハッシュをアイデンティティ管理ブロックチェーン登録し、受信するユーザ認証リクエストに応じ、ユーザに対する暗号化されたアイデンティティ情報を提供する。暗号化されたアイデンティティ請求トークンは、証明当局の証明書を備え、復号及びハッシュ化されると、ユーザが真正な場合にはアイデンティティ管理ブロックチェーンにおけるアイデンティティ請求トークンのハッシュと一致する。受信されたユーザの生体認証データ及びデバイスデータベースライン生体認証及びデバイスデータのセットに一致する度合いを示す認証スコアは、リクエストに応じ提供される。

目的

それは、旧来的なSMSメッセージングを、より豊富でかつコール内マルチメディアを送信できる次世代テキストメッセージング機能に置き換えることを目的とする

効果

実績

技術文献被引用数
0件
牽制数
0件

この技術が所属する分野

ライセンス契約や譲渡などの可能性がある特許掲載中! 開放特許随時追加・更新中 詳しくはこちら

請求項1

アイデンティティ認証を提供するための方法であって、アイデンティティサーバによって、プルーフオブアイデンティティ(POI)情報を安全なストアにおけるリッチコミュニケーションサービス(RCS)ネットワークのユーザに対するアイデンティティ記録に、及び前記ユーザに対するアイデンティティ請求トークンハッシュをアイデンティティ管理ブロックチェーン登録するステップと、前記アイデンティティサーバによって、前記ユーザを認証するリクエストを受信するステップと、前記アイデンティティサーバによって、前記リクエストに応じて、ユーザに対する暗号化されたアイデンティティ情報を提供するステップであって、該暗号化されたアイデンティティ情報が前記ユーザに対するアイデンティティ請求トークンを備えるステップとを備える方法。

請求項2

前記POI情報を前記ユーザに対するアイデンティティ記録に登録するステップが、前記アイデンティティサーバによって、前記ユーザのデバイスから、前記ユーザの前記デバイスを一意識別するデバイス情報を受信するステップと、前記アイデンティティサーバによって、前記ユーザの前記デバイスから、前記ユーザに対する前記POI情報を受信するステップと、前記アイデンティティサーバによって、前記デバイス情報及び前記ユーザに対する前記PIIPOI情報を暗号化された形式で前記ユーザに対する前記アイデンティティ情報に記憶するステップと、前記アイデンティティサーバによって、前記ユーザに対する前記アイデンティティ請求トークンの前記ハッシュを生成するステップと、前記アイデンティティサーバによって、前記ユーザに対する前記アイデンティティ請求トークンの前記ハッシュを前記アイデンティティ管理ブロックチェーンに書き込むステップとをさらに備える、請求項1に記載の方法。

請求項3

前記アイデンティティサーバによって、前記アイデンティティ請求トークンを証明当局から取得するステップをさらに備える請求項2に記載の方法。

請求項4

前記アイデンティティサーバによって、前記ユーザの前記デバイスから前記ユーザに対するベースライン生体認証データのセットを受信するステップと、前記アイデンティティサーバによって、前記ユーザに対する前記ベースライン生体認証データのセットを暗号化された形式で記憶するステップとをさらに備える請求項2に記載の方法。

請求項5

前記ユーザに対する暗号化されたアイデンティティ請求トークンを提供するステップが、前記受信されたリクエストに応じて前記ユーザに対する前記暗号化されたアイデンティティ請求トークンを提供するステップが、前記受信された生体認証データ及びデバイスデータが前記ユーザに対する前記アイデンティティ記録に記憶された前記ユーザに対するベースライン生体認証データ及び前記デバイス情報の前記セットにおけるデータに一致する度合いを示す認証スコアを生成し、前記リクエストに応じて前記認証スコアを提供するステップをさらに備え、前記ユーザに対する暗号化されたアイデンティティ請求トークンを提供するステップがさらに、前記アイデンティティサーバによって、前記ユーザの前記デバイスから生体認証データ及びデバイスデータを受信するステップと、前記アイデンティティサーバによって、前記受信された生体認証データ及びデバイスデータが前記ユーザに対する前記アイデンティティ記録に記憶された前記ユーザに対するベースライン生体認証データ及び前記デバイス情報の前記セットにおけるデータに一致するか否かを判定するステップと、前記アイデンティティサーバによって、前記受信された生体認証データ及びデバイスデータが前記ユーザに対する前記アイデンティティ記録に記憶された前記ユーザに対するベースライン生体認証データ及び前記デバイス情報の前記セットにおけるデータに一致することに応じて、前記アイデンティティサーバによって、前記ユーザに対する前記アイデンティティ記録をロック解除するステップとをさらに備える、請求項4に記載の方法。

請求項6

ユーザを認証するための方法であって、モバイルキャリアステムによって、前記ユーザのデバイスからサービスのリクエストを受信するステップと、前記モバイルキャリアシステムによって、前記ユーザの前記デバイスに前記サービスのリクエストに応じて認証チャレンジを提供するステップと、前記モバイルキャリアシステムによって、前記ユーザの前記デバイスから、前記認証チャレンジに応じて、アイデンティティ管理ブロックチェーンのアドレス対称鍵及びアイデンティティサーバのアドレスを受信するステップとを備える方法。

請求項7

前記モバイルキャリアシステムによって、前記ユーザの前記デバイスから受信された前記アドレスにおける前記アイデンティティサーバに、前記ユーザに対する暗号化されたアイデンティティ請求トークンを要求するステップと、前記モバイルキャリアシステムによって、前記アイデンティティサーバから、前記リクエストに応じて前記ユーザに対する前記暗号化されたアイデンティティ請求トークンを受信するステップと、前記モバイルキャリアシステムによって、前記ユーザの前記デバイスから受信された前記対称鍵を用いて前記受信された暗号化されたアイデンティティ請求トークンを復号するステップと、前記モバイルキャリアシステムによって、前記復号されたアイデンティティ請求トークンのハッシュを生成するステップと、前記モバイルキャリアシステムによって、前記復号されたアイデンティティ請求トークンの前記生成されたハッシュが前記アイデンティティ管理ブロックチェーンにおける前記ユーザに対する前記アイデンティティ請求トークンの前記ハッシュに一致するか否かを判定するステップと、前記モバイルキャリアシステムによって、前記復号されたアイデンティティ情報の前記生成されたハッシュが前記アイデンティティ管理ブロックチェーンにおける前記ユーザに対する前記アイデンティティ請求トークンの前記ハッシュに一致したことに応じて前記要求されたサービスを前記ユーザのデバイスに提供するステップとをさらに備える請求項6に記載の方法。

請求項8

前記モバイルキャリアシステムはモバイルキャリアネットワークのシステムを備え、前記ユーザの前記デバイスはモバイルデバイスを備え、前記サービスのリクエストはリッチコミュニケーションサービス(RCS)ネットワークのアクセスのリクエストを備え、前記モバイルキャリアシステムによって、前記ユーザの前記デバイスからのデバイス情報及び前記ユーザに対する現在の生体認証情報の現在のセットと、以前に登録されたデバイス情報及び生体認証情報との比較に基づいて、前記アイデンティティサーバによって生成された認証スコアを前記アイデンティティサーバから受信するステップと、前記モバイルキャリアシステムによって、前記認証スコアに対する閾値を規定する1以上のセキュリティポリシーを適用するステップであって、前記要求されたサービスを提供するステップは前記1以上のセキュリティポリシーを適用した結果にさらに基づく、ステップとをさらに備える請求項7に記載の方法。

請求項9

システムであって、プロセッサ、及び該プロセッサに結合されるとともに該プロセッサによって読出し可能なメモリであって、前記プロセッサによって実行されると、プルーフオブアイデンティティ(POI)情報を安全なストアにおけるリッチコミュニケーションサービス(RCS)ネットワークのユーザに対するアイデンティティ記録に、及び前記ユーザに対するアイデンティティ請求トークンのハッシュをアイデンティティ管理ブロックチェーンに登録することによって、前記プロセッサにアイデンティティ認証を提供させる命令のセットをそこに記憶するメモリを備えるアイデンティティサーバと、プロセッサ、及び該プロセッサに結合されるとともに該プロセッサによって読出し可能なメモリであって、前記プロセッサによって実行されると、前記ユーザのデバイスからサービスのリクエストを受信し、前記サービスのリクエストに応じて認証チャレンジを前記ユーザの前記デバイスに提供し、前記ユーザの前記デバイスから、前記認証チャレンジに応じて、前記アイデンティティ管理ブロックチェーンのアドレス、対称鍵及び前記アイデンティティサーバのアドレスを受信し、前記ユーザの前記デバイスから受信された前記アドレスにおける前記アイデンティティサーバに前記ユーザに対するアイデンティティ情報を要求することによって、サービスを要求する場合に前記プロセッサに前記ユーザを認証させる命令のセットをそこに記憶するメモリを備えるモバイルキャリアシステムとを備えるシステム。

請求項10

前記アイデンティティサーバの前記プロセッサによって実行される前記命令がさらに、前記プロセッサに、前記モバイルキャリアシステムから、前記ユーザの前記アイデンティティ情報のリクエストを受信させ、前記リクエストに応じて、前記ユーザに対する暗号化されたアイデンティティ請求トークンを前記モバイルキャリアシステムに提供させ、前記モバイルキャリアシステムの前記プロセッサによって実行される前記命令がさらに、前記プロセッサに、前記リクエストに応じて前記ユーザに対する前記暗号化されたアイデンティティ請求トークンを前記アイデンティティサーバから受信させ、前記ユーザの前記デバイスから受信された前記対称鍵を用いて、前記受信された暗号化されたアイデンティティ請求トークンを復号させ、前記復号されたアイデンティティ請求トークンのハッシュを生成させ、前記復号されたアイデンティティ請求トークンの前記生成されたハッシュが前記アイデンティティ管理ブロックチェーンにおける前記ユーザに対する前記アイデンティティ請求トークンの前記ハッシュに一致するか否かを判定させ、前記復号されたアイデンティティ請求トークンの前記生成されたハッシュが前記アイデンティティ管理ブロックチェーンにおける前記ユーザに対する前記アイデンティティ請求トークンの前記ハッシュに一致することに応じて前記要求されたサービスを前記ユーザの前記デバイスに提供させる、請求項9に記載のシステム。

技術分野

0001

本開示の実施形態は、概略としてユーザを認証するための方法及びシステムに関し、より具体的には、アイデンティティ管理ブロックチェーン及び個人的に識別可能な安全な情報用いてリッチコミュニケーションサービス(RCS)ネットワークにおいてユーザを認証することに関する。

背景技術

0002

リッチコミュニケーションサービス(RCS)は、産業エコシステム内でオペレータモバイルサービス配備を促進するグローバル構想である。それは、モバイルキャリア間及び電話機とモバイルキャリアの間での使用のための通信プロトコルである。それは、旧来的なSMSメッセージングを、より豊富でかつコールマルチメディアを送信できる次世代テキストメッセージング機能に置き換えることを目的とする。RCSの出現モバイルオペレータ競合的状況と戦うことによる反応であり、これにより「オーバーザトッププロバイダが高い価値のサービスを現在のキャリアネットワークに提供していた。RCS構成設定は、スタンドアロンメッセージング一対一チャットグループチャット、ファイル転送コンテンツ共有ソーシャルプレゼンス情報、IPボイスコール、ベストエフォートビデオコール地理位置交換オーディオメッセージング、ネットワークベースブラックリスト、及びプレゼンス又はSIPOPTIONSに基づく機能交換を含む。VoLTE(ボイスオーバーロングタームエボリューション)は、基本的に、リッチコミュニケーションサービス(RCS)が配備可能な基礎となる無線ネットワークインフラを提供する。

0003

しかし、RCSネットワークには、多数の認知されたセキュリティ脆弱性がある。例えば、個々のデバイス上のRCSサービスにおける認証は、現在のところユーザ名/パスワードの組合せに基づくソリューションで行われる。それらの証明書マルウェアアプリケーションによってハイジャックされてアイデンティティをスプーフィングするのに使用され得るというリスクがある。

0004

他の例では、ユーザ認証は、アプリケーションとピアネットワークアプリケーションとの間で交換された証明書(ユーザ名及びパスワード)に基づく基本的又は摘要アクセス認証を介して実行される。証明書の自動プロビジョニングは、デバイスプロビジョニングを介して適用される。摘要手順自体は、攻撃に対して安全かつ堅牢である。しかし、それは、アプリケーションのキーストアへのアクセスを介して証明書を発見する攻撃又は証明書管理手順に基づくスプーフィング攻撃(例えば、クライアント真正であることが確認されないRCSアプリケーションに偽装するマルウェア)に対して脆弱である。

0005

RCSはまた、実際にはベアラセッション内でサービスの使用のためのベアラセットアップ時にユーザの認証を長引かせるシングルサインオンSSO)となるネットワークベースのユーザ識別を(例えば、「ヘッダ強化」を介して)サポートする。3GPPネットワークにおけるベアラセットアップは、通常、SIMベースの認証及び鍵合意プロトコルに基づく。ベアラセットアップ時に割り当てられたIPアドレスは、既存のベアラセッション内でユーザを識別する基準として用いられる。RCSサービスプロバイダは、信用あるネットワークアクセス安全化して不正なIPアドレス申請を防止する際にプリコーションを必要とする。攻撃者は一度ユーザの代理としてベアラセッションを使用する許可を得るとネットワークサービスへの不正アクセスを獲得可能となるので、このメカニズムは安全ではない。

0006

RCSは、ワンタイムパスワード(OTP)を介してユーザベースの認証を利用し、それにより、ユーザ又はデバイスは、このアイデンティティのための認証コンテキスト、例えば、他のデバイスへのショートメッセージサービス又は外部の安全なトークンサービスとのチャネルを介したシグナリングトランザクションを介してチャレンジされるアイデンティティを申請する。ワンタイム認証に基づいて、ロングターム認証コンテキストが、後続認証トランザクションの必要性を防止するように生成され得る(SSO)。このセキュリティ対策は、例えば、ほとんどの場合にユーザに影響がある2要因認証の原理に基づいて、他の認証メカニズムの追加の対策として使用され得る。OPTを介した単一のトークン交換自体は安全である。しかし、それは、アクセスを認証するのに用いられるトークンへのアクセスを獲得するスプーフィング攻撃には脆弱である。OTP認証のためのSMSメッセージの使用は、潜在的に安全ではない。

0007

したがって、第三者アプリケーションがユーザデータを回収すること又はユーザの代理として通信サービスを利用することができるという危険が残る。主なRCS脆弱性は、弱いセキュリティ対策のデバイス管理技術を介してユーザ識別及び認証データが消費者利用可能となるということから起こる。それゆえ、RCSネットワーク又はサービスのユーザを認証するための改善された方法及びシステムに対するニーズがある。

0008

開示の実施形態は、アイデンティティ管理ブロックチェーン及び個人的に識別可能な安全な情報を用いてリッチコミュニケーションサービス(RCS)ネットワークにおけるユーザを認証するシステム及び方法を提供する。そのようなモデルは、RCSモバイルプロバイダのエコシステムの中でRCS認証サービスの配備及び相互運用性を大幅に改善することができる。参入RCSモバイルプロバイダの全ては、各RCSユーザに対して一意に存在する同一不変の「プルーフオブアイデンティティ」情報への共通アクセスを獲得することができる。

0009

一実施形態によると、アイデンティティ認証を提供するための方法は、アイデンティティサーバによって、プルーフオブアイデンティティ(POI)情報を安全なストアにおけるリッチコミュニケーションサービス(RCS)ネットワークのユーザに対するアイデンティティ記録に、及びユーザに対するアイデンティティ請求トークンのハッシュをアイデンティティ管理ブロックチェーンに登録するステップを備え得る。POI情報をユーザに対するアイデンティティ記録に登録するステップは、アイデンティティサーバによって、ユーザのデバイスから1以上のRCSネットワーク証明書、1以上のアイデンティティ請求、ユーザのデバイスを一意に識別するデバイス情報及び/又はユーザに対する個人的に識別可能な情報(PII)を受信するステップを備え得る。ユーザに対するPOI情報は、暗号化された形式でユーザのアイデンティティ記録に記憶され得る。ユーザからのアイデンティティ請求の証明書は、証明当局からアイデンティティサーバによって取得され得る。追加的又は代替的に、ユーザに対するベースライン生体認証データのセットは、ユーザのデバイスからアイデンティティサーバによって受信され得る。ユーザに対するベースライン生体認証データのセットも、暗号化された形式で記憶され得る。そして、証明当局から受信され、ユーザに対するアイデンティティ請求への証明当局の証明書を表すアイデンティティ請求トークンのハッシュはアイデンティティサーバによって生成可能であり、ユーザに対するアイデンティティ請求トークンのハッシュはアイデンティティサーバによってアイデンティティ管理ブロックチェーンに書き込み可能となる。

0010

そして、ユーザを認証するリクエストは、アイデンティティサーバによって受信され得る。リクエストに応じて、アイデンティティサーバは、ユーザに対するアイデンティティ情報を提供することができる。アイデンティティ情報は、ユーザに対する1以上の暗号化されたアイデンティティ請求トークンを備え得る。一実施形態によると、ユーザに対する1以上の暗号化されたアイデンティティ請求トークンを提供するステップは、ユーザのデバイスから生体認証データ及びデバイスデータを受信するステップと、受信された生体認証データ及びデバイスデータがユーザに対するアイデンティティ記録に記憶されたユーザに対するベースライン生体認証データ及びデバイス情報のセットにおけるデータに一致するか否かを判定するステップと、受信された生体認証データ及びデバイスデータがユーザに対するアイデンティティ記録に記憶されたユーザに対するベースライン生体認証データ及びデバイス情報のセットにおけるデータに一致することに応じて、アイデンティティサーバによって、1以上の暗号化されたアイデンティティ請求トークン及び/又はユーザに対する暗号化されたPIIをロック解除するステップとをさらに備え得る。追加的又は代替的に、1以上の暗号化されたアイデンティティ請求トークン及び/又はユーザに対する暗号化されたPIIを提供するステップは、受信された生体認証データ及びデバイスデータがユーザに対するアイデンティティ記録に記憶されたユーザに対するベースライン生体認証データ及びデバイス情報のセットにおけるデータに一致する度合いを示す認証スコアを生成するステップと、リクエストに応じて認証スコアを提供するステップとを備え得る。

0011

他の実施形態によると、ユーザを認証するための方法は、モバイルキャリアシステムによってユーザのデバイスからサービスのリクエストを受信するステップと、モバイルキャリアシステムによってユーザのデバイスからサービスのリクエストに応じて認証チャレンジをユーザのデバイスに提供するステップと、モバイルキャリアシステムによってユーザのデバイスから、認証チャレンジに応じて、ユーザに対するアイデンティティ請求トークンのハッシュを備えるアイデンティティ管理ブロックチェーンのアドレス対称鍵、及び1以上の暗号化されたアイデンティティトークンを回収可能なアイデンティティサーバのアドレス、並びに/又は暗号化されたPIIデータを回収可能な1以上のアドレスを受信するステップとを備え得る。そして、モバイルキャリアシステムは、ユーザに対するアイデンティティ請求トークンをユーザのデバイスから受信されたアドレスのアイデンティティサーバに要求することができる。

0012

ユーザに対する暗号化されたアイデンティティ請求トークンは、リクエストに応じて、モバイルキャリアシステムによってアイデンティティサーバから受信され得る。ユーザのデバイスから受信された対称鍵を用いて、モバイルキャリアシステムは、受信された暗号化されたアイデンティティ請求トークンを復号し、対称鍵を用いて、暗号化されたアイデンティティ請求トークン及び/又はもしあればPIIデータを復号し、復号されたアイデンティティ請求トークンのハッシュがアイデンティティ管理ブロックチェーンにおけるユーザに対するアイデンティティ請求トークンのハッシュに一致するか否かを判定することができる。復号されたアイデンティティ請求トークンのハッシュがアイデンティティ管理ブロックチェーンにおけるユーザに対するアイデンティティ請求トークンのハッシュに一致することに応じて、モバイルキャリアシステムは要求されたサービスをユーザのデバイスに提供することができる。場合によっては、モバイルキャリアシステムは、ユーザのデバイスからのデバイス情報及びユーザに対する現在の生体認証情報の現在のセットと、以前に登録されたデバイス情報及び生体認証情報との比較に基づいてアイデンティティサーバによって生成された認証スコアをアイデンティティサーバから受信することができる。このような場合、モバイルキャリアシステムは、閾値を規定する1以上のセキュリティポリシーを認証スコアに適用することができ、要求されたサービスを提供することは1以上のセキュリティポリシーを適用する結果にさらに基づき得る。

0013

さらに他の実施形態によると、システムは、プロセッサ、及びプロセッサに結合されるとともにプロセッサによって読出し可能なメモリであって、プロセッサによって実行されると、プルーフオブアイデンティティ(POI)情報を安全なストアにおけるリッチコミュニケーションサービス(RCS)ネットワークのユーザに対するアイデンティティ記録に、及びユーザに対するアイデンティティ請求トークンのハッシュをアイデンティティ管理ブロックチェーンに登録することによって、プロセッサにアイデンティティ認証を提供させる命令のセットをそこに記憶するメモリを備えるアイデンティティサーバを備え得る。システムはまた、プロセッサ、及びプロセッサに結合されるとともにプロセッサによって読出し可能なメモリであって、プロセッサによって実行されると、ユーザのデバイスからサービスのリクエストを受信し、サービスのリクエストに応じて認証チャレンジをユーザのデバイスに提供し、ユーザのデバイスから、認証チャレンジに応じて、アイデンティティ管理ブロックチェーンのアドレス、対称鍵及びアイデンティティサーバのアドレスを受信し、ユーザのデバイスから受信されたアドレスにおけるアイデンティティサーバにユーザに対するアイデンティティ情報を要求することによって、サービスを要求する場合にプロセッサにユーザを認証させる命令のセットをそこに記憶するメモリを備える。

0014

アイデンティティサーバのプロセッサによって実行される命令はさらに、プロセッサに、モバイルキャリアシステムから、ユーザのアイデンティティ請求トークンのリクエストを受信させ、リクエストに応じて、ユーザに対する暗号化されたアイデンティティ請求トークンをモバイルキャリアシステムに提供させることができる。暗号化されたアイデンティティ請求トークンは、ユーザによるアイデンティティ請求に対する証明当局の証明書を備え得る。

0015

モバイルキャリアシステムのプロセッサによって実行される命令はさらに、プロセッサに、リクエストに応じてユーザに対する暗号化されたアイデンティティ請求トークンをアイデンティティサーバから受信させ、ユーザのデバイスから受信された対称鍵を用いて、受信された暗号化されたアイデンティティ請求トークンを復号させ、復号されたアイデンティティ請求トークンのハッシュをユーザのデバイスから受信された対称鍵を用いて生成させ、復号されたアイデンティティ請求トークンの生成されたハッシュがアイデンティティ管理ブロックチェーンにおけるユーザに対するアイデンティティ請求トークンのハッシュに一致するか否かを判定させ、復号されたアイデンティティ請求トークンの生成されたハッシュがアイデンティティ管理ブロックチェーンにおけるユーザに対するアイデンティティ請求トークンのハッシュに一致することに応じて要求されたサービスをユーザのデバイスに提供させることができる。

0016

POI情報をユーザに対するアイデンティティ記録に登録することは、ユーザのデバイスから1以上のRCSネットワーク証明書、1以上のアイデンティティ請求、デバイスを一意に識別するデバイス情報及び/又はユーザに対する個人的に識別可能な情報(PII)を受信すること、及びユーザに対するPOI情報をユーザに対するアイデンティティ記録に暗号化された形式で記憶することをさらに備え得る。アイデンティティサーバのプロセッサによって実行される命令はさらに、プロセッサに、証明当局からユーザによって提供されたアイデンティティ請求の証明書を取得させることができる。追加的又は代替的に、アイデンティティサーバのプロセッサによって実行される命令はさらに、プロセッサに、ユーザのデバイスから、ユーザに対するベースライン生体認証データのセットを受信させ、ユーザに対するベースライン生体認証データのセットを暗号化された形式で記憶させることができる。

0017

アイデンティティサーバのプロセッサによって実行される命令はさらに、ユーザに対する暗号化されたアイデンティティ請求トークンをモバイルキャリアシステムに提供する前に、プロセッサに、ユーザのデバイスから生体認証データ及びデバイスデータを受信させ、受信された生体認証データ及びデバイスデータがユーザに対するアイデンティティ記録に記憶されたユーザに対するベースライン生体認証データ及びデバイス情報のセットにおけるデータに一致するか否かを判定させ、受信された生体認証データ及びデバイスデータがユーザに対するアイデンティティ記録に記憶されたユーザに対するベースライン生体認証データ及びデバイス情報のセットにおけるデータに一致することに応じて、ユーザに対するアイデンティティ記録をロック解除させることができる。場合によっては、受信されたリクエストに応じてユーザに対する暗号化されたアイデンティティ請求トークンを提供することは、受信された生体認証データ及びデバイスデータがユーザに対するアイデンティティ記録に記憶されたユーザに対するベースライン生体認証データ及びデバイス情報のセットにおけるデータに一致する度合いを示す認証スコアを生成し、リクエストに応じて認証スコアを提供することをさらに備え得る。そのような場合、モバイルキャリアシステムのプロセッサによって実行される命令はさらに、プロセッサに、ユーザのデバイスからのデバイス情報及びユーザに対する現在の生体認証情報の現在のセットと、以前に登録されたデバイス情報及び生体認証情報との比較に基づいてアイデンティティサーバによって生成された認証スコアをアイデンティティサーバから受信させ、認証スコアに対する閾値を規定する1以上のセキュリティポリシーを適用させることができ、要求されたサービスを提供することは1以上のセキュリティポリシーを適用した結果にさらに基づく。一実施例では、モバイルキャリアシステムはモバイルキャリアネットワークのシステムを備え、ユーザのデバイスはモバイルデバイスを備え、サービスのリクエストはRCSネットワークのアクセスのリクエストを備える。

図面の簡単な説明

0018

図1は、本開示の実施形態が実施され得る例示的コンピューティング環境の要素を示すブロック図である。
図2は、本開示の実施形態が実施され得る例示的コンピューティングデバイスの要素を示すブロック図である。
図3は、本開示の一実施形態によるアイデンティティを登録するためのシステムの要素を示すブロック図である。
図4は、本開示の一実施形態によるアイデンティティを認証するためのシステムの要素を示すブロック図である。
図5は、本開示の他の実施形態によるアイデンティティを認証するためのシステムの要素を示すブロック図である。
図6は、本開示の一実施形態によるアイデンティティを登録するための例示的処理を示すフローチャートである。
図7は、本開示の一実施形態によるアイデンティティを認証するための例示的処理を示すフローチャートである。

実施例

0019

添付図面において、同様の構成要素及び/又は構成は、同じ符号を有し得る。また、同じ種類の種々の構成要素は、同様の構成要素間を区別する文字を符号に付すことによって区別され得る。第1の符号のみが明細書において用いられる場合、その説明は第2の符号とは無関係に同じ第1の符号を有する同様の構成要素のいずれか一つに適用可能である。

0020

以下の説明において、説明の目的のため、ここに開示される種々の実施形態の完全な理解を与えるために、多数の具体的詳細を説明する。ただし、本開示の種々の実施形態はこれらの具体的詳細の一部なしに実施され得ることは、当業者には明らかとなる。以降の説明は、例示的実施形態のみを与え、開示の範囲又は適用可能性を限定するものではない。またさらに、本開示を無用不明瞭とすることを回避するため、先行する説明は、多数の周知の構造及びデバイスを省略している。この省略は、特許請求の範囲の限定として解釈されてはならない。以降の例示的実施形態の説明はむしろ、例示的実施形態を実施するための有効な説明を当業者に与えるものである。ただし、本開示はここに説明する具体的詳細を超えて種々の態様において実施され得ることが理解されるべきである。

0021

ここに説明する例示の態様、実施形態及び/又は機器構成は共配置されるシステムの種々の構成要素を示すが、システムの特定の構成要素はLAN及び/又はインターネットなどの分散ネットワークの離れた部分において又は専用システム内で遠隔に配置されてもよい。したがって、システムの構成要素は1以上のデバイスに組み合わされ、アナログ及び/又はデジタル電気通信ネットワークパケット交換ネットワーク又は回路交換ネットワークのような分散ネットワークの特定のノードにおいて共配置され得ることが理解されるべきである。以降の説明から、及び計算効率の理由のために、システムの構成要素はシステムの動作に影響を与えることなく構成要素の分散ネットワーク内の任意の位置において配置され得ることが分かるはずである。

0022

またさらに、要素を接続する種々のリンク有線若しくは無線リンク又はその任意の組合せ、又は接続された構成要素に並びに構成要素からデータを供給及び/若しくは通信することができる他の任意の周知の若しくは後に開発される要素であればよいことが理解されるべきである。これらの有線又は無線リンクは、安全なリンクであってもよく、暗号化された情報を通信することができる。リンクとして使用される伝送メディアは、例えば、同軸ケーブル銅配線及びファイバ光学系を含む、電気信号に対する任意の適切なキャリアであればよく、電磁波及赤外線データ通信中に生成されるものなどの音響又は光波の形式を採り得る。

0023

ここで使用するように、文言「少なくとも1つ」、「1以上」、「又は(若しくは)」及び「及び/又は」は、用法において接続的かつ離接的なオープンエンド表現である。例えば、「A、B及びCの少なくとも1つ」、「A、B又はCの少なくとも1つ」、「A、B及びCの1以上」、「A、B又はCの1以上」、「A、B及び/又はC」及び「A、B又はC」という表現の各々は、Aのみ、Bのみ、Cのみ、A及びBの双方、A及びCの双方、B及びCの双方、又はA、B及びCの全てを意味する。

0024

用語「a」又は「an」エンティティは、そのエンティティの1以上をいう。このように、用語「a」(又は「an」)、「1以上」及び「少なくとも1つ」は、ここでは互換可能に使用され得る。また、用語「備える」、「含む」及び「有する」も互換可能に使用され得ることを注記する。

0025

ここで使用する用語「自動的」及びその変化形とは、その処理又は動作が実行されると実質的な人間の入力なしに行われる任意の処理又は動作をいう。ただし、処理又は動作の実行が実質的又は非実質的な人間の入力を用いるとしても、その入力がその処理又は動作の実行前に受信される場合にはその処理又は動作は自動的となり得る。人間の入力は、どのようにして処理又は動作が実行されるかにその入力が影響を与える場合に実質的であるとみなされる。処理又は動作の実行に同意する人間の入力は、「実質的」とはみなされない。

0026

ここで使用する用語「コンピュータ可読媒体」とは、命令をプロセッサに与えて実行することに関与する任意の有体記憶及び/又は伝送媒体をいう。そのような媒体は、これに限定されないが、不揮発性媒体揮発性媒体及び伝送媒体を含む多数の形態をとり得る。不揮発性媒体は、例えば、NVRAM又は磁気若しくは光学ディスクを含む。揮発性媒体は、主メモリなどのダイナミックメモリを含む。コンピュータ可読媒体の一般的形態は、例えば、フロッピーディスクフレキシブルディスクハードディスク磁気テープ又は他の任意の磁気媒体光磁気媒体CD−ROM、他の任意の光学媒体パンチカード、紙のテープ、孔のパターンを有する他の任意の物理媒体、RAM、PROM及びEPROMフラッシュEPROM、メモリカード、他の任意のメモリチップ若しくはカートリッジのような固体媒体、以降に説明する搬送波、又はコンピュータが読み取ることができる他の任意の媒体を含む。eメールへのデジタルファイル添付又は他の自己包含情報アーカイブ若しくはアーカイブのセットは、有体記憶媒体と同等の頒布媒体とみなされる。コンピュータ可読媒体がデータベースとして構成される場合、データベースは関係、階層、オブジェクト指向などのような任意のタイプのデータベースとなり得ることが理解されるべきである。したがって、開示は、本開示のソフトウェアの実施例が記憶される有体記憶媒体又は頒布媒体及び従来技術として認識される同等及び後継の媒体を含むものとみなされる。

0027

「コンピュータ可読信号」媒体は、例えば、ベースバンドにおいて又は搬送波の一部としてここに具現化されるコンピュータ可読プログラムコードを有する伝搬データ信号を含み得る。そのような伝搬信号は、これに限定されないが、電磁気、光又はこれらの任意の適切な組合せを含む種々の形態のいずれかをとり得る。コンピュータ可読信号媒体は、コンピュータ可読記憶媒体ではなく、命令実行システム、装置若しくはデバイスによって又はそれとの接続において使用するためにプログラムを通信、伝搬又は搬送することができる任意のコンピュータ可読媒体であり得る。コンピュータ可読媒体上で具現化されるプログラムコードは、これに限定されないが、無線、有線、光ファイバケーブル、RFなど又は上記の任意の適切な組合せを含む任意の適切な媒体を用いて送信され得る。

0028

ここで使用される用語「判定する/決定する」、「算出する」及び「計算する」並びにその変化形は、互換可能に使用され、任意のタイプの方法、処理、数学演算又は技術を含む。

0029

ここで使用される用語「手段」は米国特許法第112条、第6項によるその最も広い可能な解釈で与えられるべきであることが理解されるべきである。したがって、用語「手段」を含む請求項は、全ての構造物、材料又はここに説明する動作及びその均等物の全てを包含するものである。また、構造物、材料又は動作及びその均等物は、開示の概要、図面の簡単な説明、詳細な説明、要約書及び特許請求の範囲自体に記載される全てのものを含むものである。

0030

本開示の態様は、ここでは全て一般に「回路」、「モジュール」又は「システム」ともいう全体的にハードウェアの実施形態、全体的にソフトウェアの実施形態(ファームウェア常駐ソフトウェアマイクロコードなどを含む)又はソフトウェア及びハードウェアの態様を組み合わせた実施形態の形式を採り得る。1以上のコンピュータ可読媒体の任意の組合せが利用され得る。コンピュータ可読媒体は、コンピュータ可読信号媒体又はコンピュータ可読記憶媒体であり得る。

0031

さらに他の実施形態では、この開示のシステム及び方法は、専用コンピュータ、プログラムされたマイクロプロセッサ又はマイクロコントローラ及び周辺集積回路素子ASIC又は他の集積回路デジタル信号プロセッサディスクリート素子回路などのハード配線電子又は論理回路PLD、PLA、FPGA、PALなどのプログラマブル論理デバイス又はゲートアレイ、専用コンピュータ、任意の比較手段などとの関連において実施可能である。一般に、ここに説明する方法を実施することができる任意のデバイス又は手段は、この開示の種々の態様を実施するのに使用され得る。本開示の実施形態、機器構成及び態様に使用され得る例示のハードウェアは、コンピュータ、ハンドヘルドデバイス、電話機(例えば、携帯、インターネット可能な、デジタル、アナログ、ハイブリッド及びその他)及び当技術で周知の他のハードウェアを含む。これらのデバイスの一部は、プロセッサ(例えば、単一又は複数のマイクロプロセッサ)、メモリ、不揮発性ストレージ入力デバイス及び出力デバイスを含む。またさらに、ただし限定することなく、分散処理又はコンポーネントオブジェクト分散処理、並列処理又は仮想機械処理を含む代替のソフトウェア実施例も、ここに記載される方法を実施するのに構築され得る。

0032

ここに記載されるプロセッサの例は、これに限定されないが、Qualcomm(登録商標)Snapdragon(登録商標)800及び801、4GLTEIntegration及び64ビットコンピューティングでのQualcomm(登録商標)Snapdragon(登録商標)610及び615、64ビットアーキテクチャでのApple(登録商標)A7プロセッサ、Apple(登録商標)M7モーションコプロセッサ、Samsung(登録商標)Exynos(登録商標)シリーズ、Intel(登録商標)Core(登録商標)ファミリのプロセッサ、Intel(登録商標)Xeon(登録商標)ファミリのプロセッサ、Intel(登録商標)Atom(登録商標)ファミリのプロセッサ、Intel Itanium(登録商標)ファミリのプロセッサ、Intel(登録商標)Core(登録商標)i5−4670K及びi7−4770K 22nm Haswell、Intel(登録商標)Core(登録商標)i5−3570K 22nm Ivy Bridge、AMD(登録商標)FX(登録商標)ファミリのプロセッサ、AMD(登録商標)FX−4300、FX−6300及びFX−8350 32nm Vishera、AMD(登録商標)Kaveriプロセッサ、Texas Instruments(登録商標)Jacinto C6000(登録商標)車載インフォテイメントプロセッサ、Texas Instruments(登録商標)OMAP(登録商標)車載グレードモバイルプロセッサ、ARM(登録商標)Cortex(登録商標)−Mプロセッサ、ARM(登録商標)Cortex−A及びARM926EJ−S(登録商標)プロセッサ、その他工業用の同等のプロセッサの少なくとも1つを含み得るものであり、いずれかの周知又は将来開発される標準命令セットライブラリ及び/又はアーキテクチャを用いる計算機能を実行し得る。

0033

さらに他の実施形態では、開示の方法は、様々なコンピュータ又はワークステーションプラットフォームにおいて使用され得る可搬ソースコードを提供するオブジェクトを用いるソフトウェア又はオブジェクト指向ソフトウェア開発環境との関連で直ちに実施され得る。代替的に、開示のシステムは、標準論理回路又はVLSI設計を用いるハードウェアにおいて部分的又は全体的に実施され得る。この開示によるシステムを実施するのにソフトウェア又はハードウェアのいずれが用いられるのかは、利用されているシステムの速度及び/又は効率要件、特定の機能並びに特定のソフトウェア若しくはハードウェアシステム又はマイクロプロセッサ若しくはマイクロコンピュータシステムに応じる。

0034

さらに他の実施形態では、開示の方法は、記憶媒体に記憶され、プログラムされた汎用コンピュータにおいてコントローラ及びメモリ、専用コンピュータ、マイクロプロセッサなどの協働によって実行され得るソフトウェアにおいて部分的に実施され得る。これらのインスタンスにおいて、この開示のシステム及び方法は、アプレット、JAVA(登録商標)又はCGIスクリプトのようなパーソナルコンピュータに組み込まれたプログラムとして、サーバ又はコンピュータワークステーション常駐するリソースとして、専用測定システム、システムコンポーネントなどに組み込まれたルーチンとして実施され得る。システムはまた、システム及び/又は方法をソフトウェア及び/又はハードウェアシステムに物理的に含むことによって実施され得る。

0035

本開示は特定の標準及びプロトコルを参照して態様、実施形態及び/又は機器構成において実施される構成要素及び機能を説明するが、態様、実施形態及び/又は機器構成はそのような標準及びプロトコルに限定されない。ここに言及されない他の類似の標準及びプロトコルが存在しており、本開示に含まれるものとみなされる。さらに、ここに言及される標準及びプロトコル並びにここに言及されない他の類似の標準及びプロトコルは、本質的に同じ機能を有するより速い又はより有効な均等物によって定期的に代替される。そのような同じ機能を有する代替の標準及びプロトコルは、本開示に含まれる均等物とみなされる。

0036

図面を参照して本開示の実施形態の種々の追加の詳細を以下に説明する。フローチャートがイベントの特定の順序の関連で記載及び説明されるが、この順序に対する変化、付加及び省略は、開示の実施形態、機器構成及び態様の動作に実質的に影響を与えることなく起こり得る。

0037

図1は、本開示の実施形態が実施され得る例示的コンピューティング環境の要素を示すブロック図である。より具体的には、本例は、ここに提供及び記載されるサーバ、ユーザコンピュータ又は他のシステムとして機能し得るコンピューティング環境100を示す。環境100は、コンピューティングデバイス104、通信デバイス108及び/又は更なるデバイス112のような1以上のユーザコンピュータ又はコンピューティングデバイスを含む。コンピューティングデバイス104、108及び112は、汎用パーソナルコンピュータ(単なる例示として、種々のバージョンのMicrosoft社のWindows(登録商標)及び/又はApple社のMacintosh(登録商標)オペレーティングシステム稼働させるパーソナルコンピュータ及び/又はラップトップコンピュータを含む)及び/又は様々な市販のUNIX(登録商標)又はUNIXのようなオペレーティングシステムのいずれかを稼働させるワークステーションコンピュータを含み得る。これらのコンピューティングデバイス104、108及び112はまた、例えば、データベースクライアント及び/又はサーバアプリケーション並びにウェブブラウザアプリケーションを含む様々なアプリケーションのいずれかを有し得る。あるいは、コンピューティングデバイス104、108及び112は、ネットワーク110を介して通信し並びに/又はウェブページ若しくは他のタイプの電子書類を表示及び誘導することができるシンクライアントコンピュータ、インターネット可能な携帯電話及び/又はパーソナルデジタルアシスタントのような任意の他の電子デバイスであり得る。例示的コンピュータ環境100が2つのコンピューティングデバイスで示されるが、任意数のユーザコンピュータ又はコンピューティングデバイスがサポートされ得る。

0038

環境100は、ネットワーク110をさらに含む。ネットワーク110は、限定することなく、SIP、TCP/IP、SNAIPX、AppleTalkなどを含む種々の市販のプロトコルのいずれかを用いるデータ通信をサポートすることができる、当業者には周知の任意のタイプのネットワークであればよい。単なる例示として、ネットワーク110は、イーサネットネットワークトークンリングネットワークなどのローカルエリアネットワーク(「LAN」)、ワイドエリアネットワーク、限定することなく仮想プライベートネットワーク(「VPN」)を含む仮想ネットワーク、インターネット、イントラネットエクストラネット公衆交換電話網(「PSTN」)、赤外線ネットワーク、無線ネットワーク(例えば、IEEE802.9系のプロトコルのいずれかの下で動作するネットワーク、本技術で周知のBluetooth(登録商標)プロトコル及び/又は他のいずれかの無線プロトコル)並びに/又はこれら及び/若しくは他のネットワークの任意の組合せであればよい。

0039

システムはまた、1以上のサーバ114及び116を含み得る。本例では、サーバ114はウェブサーバとして示され、サーバ116はアプリケーションサーバとして示される。ウェブサーバ114は、コンピューティングデバイス104、108及び112からのウェブページ又は他の電子書類のリクエストを処理するのに使用され得る。ウェブサーバ114は、上記のものその他市販のサーバオペレーティングシステムのいずれかを含むオペレーティングシステムを稼働させていればよい。ウェブサーバ114はまた、SIP(セッション開始プロトコル)サーバ、HTTPサーバFTPサーバCGIサーバデータベースサーバ、Javaサーバなどを含む様々なサーバアプリケーションを稼働させることができる。ある事例では、ウェブサーバ114は、利用可能な動作を1以上のウェブサービスとして公表し得る。

0040

環境100はまた、コンピューティングデバイス104、108及び112の1以上で稼働するクライアントによってアクセス可能な1以上のアプリケーションをオペレーティングシステムに加えて含み得る1以上のファイル及び/又はアプリケーションサーバ116を含み得る。サーバ116及び/又は114は、コンピューティングデバイス104、108及び112に応じてプログラム又はスクリプトを実行することができる1以上の汎用コンピュータであり得る。一例として、サーバ116又は114は、1以上のウェブアプリケーションを実行し得る。ウェブアプリケーションは、Java(商標)、C、C#(登録商標)若しくはC++のような任意のプログラミング言語及び/又はPerl、Python若しくはTCLのような任意のスクリティング言語、その他任意のプログラミング/スクリプティング言語で記述された1以上のスクリプト又はプログラムとして実施され得る。アプリケーションサーバ116はまた、限定することなく、Oracle(登録商標)、Microsoft(登録商標)、Sybase(登録商標)、IBM(登録商標)などから市販されるものを含むデータベースサーバを含んでいてもよく、それらはコンピューティングデバイス104、108又は112上で稼働するデータベースクライアントからのリクエストを処理することができる。

0041

サーバ114及び/又は116によって作成されたウェブページは、ウェブ(ファイル)サーバ114又は116を介してコンピューティングデバイス104、108又は112に転送され得る。同様に、ウェブサーバ114は、ウェブページリクエスト、ウェブサービス呼出し及び/又は入力データをコンピューティングデバイス104、108又は112(例えば、ユーザコンピュータなど)から受信することができ、ウェブページリクエスト及び/又は入力データをウェブ(アプリケーション)サーバ116に転送することができる。更なる実施形態では、サーバ116は、ファイルサーバとして機能し得る。説明の容易化のため、図1別個のウェブサーバ114及びファイル/アプリケーションサーバ116を示しているが、当業者であればサーバ114及び116に関して説明する機能は実施に特有のニーズ及びパラメータに応じて単一のサーバ及び/又は複数の特化したサーバによって実行され得ることを認識するはずである。コンピュータシステム104、108及び112、ウェブ(ファイル)サーバ114及び/又はウェブ(アプリケーション)サーバ116は、ここに記載するシステム、デバイス又は構成要素として機能し得る。

0042

環境100はまた、データベース118を含み得る。データベース118は、様々な場所に存在し得る。例として、データベース118は、コンピュータ104、108、112、114及び116の1以上に対してローカルな(及び/又はそこに常駐する)記憶媒体上に存在し得る。あるいは、コンピュータ104、108、112、114及び116のいずれか又は全てから遠隔にあってもよいし、それらの1以上と(例えば、ネットワーク110を介して)通信状態にあってもよい。データベース118は、当業者には周知のストレージエリアネットワーク(「SAN」)に存在していてもよい。同様に、コンピュータ104、108、112、114及び116に由来する機能を実行するために必要な任意のファイルは、それぞれのコンピュータにローカルに及び/又は遠隔に適宜記憶され得る。データベース118は、SQLフォーマットされたコマンドに応じてデータを記憶、更新及び回収するように適合されたOracle20i(登録商標)などのリレーショナルデータベースであり得る。

0043

図2は、本開示の実施形態が実施され得る例示的コンピューティングデバイスの要素を示すブロック図である。より具体的には、本例は、サーバ、ユーザコンピュータ、コンピューティングデバイス、又は上述の他のシステム若しくは構成要素が配備又は実行され得るコンピュータシステム200の一実施形態を示す。コンピュータシステム200は、バス204を介して電気的に結合され得るハードウェア要素を備えて示される。ハードウェア要素は、1以上の中央処理装置(CPU)208、1以上の入力デバイス212(例えば、マウスキーボードなど)及び1以上の出力デバイス216(例えば、表示デバイスプリンタなど)を含み得る。コンピュータシステム200はまた、1以上の記憶デバイス220を含み得る。例として、記憶デバイス220は、プログラム可能、フラッシュ更新可能などとなり得るディスクドライブ光学記憶デバイス、ランダムアクセスメモリ(RAM)及び/又は読み出し専用メモリ(ROM)などの固体記憶デバイスであり得る。

0044

コンピュータシステム200は、コンピュータ可読記憶媒体リーダ224、通信システム228(例えば、モデムネットワークカード(無線又は有線)、赤外通信デバイスなど)並びに上述のRAM及びROMデバイスを含み得るワーキングメモリ236をさらに含み得る。コンピュータシステム200はまた、DSP、特定用途プロセッサなどを含み得る処理加速ユニット232を含み得る。

0045

コンピュータ可読記憶媒体リーダ224は、遠隔、ローカル、固定及び/又は取り外し可能な記憶デバイスに、コンピュータ可読情報を一時的及び/又は永久的に含む記憶媒体を加えたものをともに(選択的に、記憶デバイス220との組合せにおいて)包括的に表すコンピュータ可読記憶媒体にさらに接続可能である。通信システム228は、ここに記載されるコンピュータ環境に関して上述したネットワーク及び/又は任意の他のコンピュータとデータが交換されることを可能とし得る。さらに、ここに開示するように、用語「記憶媒体」は、読み出し専用メモリ(ROM)、ランダムアクセスメモリ(RAM)、磁気RAM、コアメモリ磁気ディスク記憶媒体、光学記憶媒体フラッシュメモリデバイス及び/又は情報を記憶するための他の機械可読媒体を含む、データを記憶するための1以上のデバイスを表し得る。

0046

コンピュータシステム200はまた、オペレーティングシステム240及び/又は他のコード244を含むワーキングメモリ236内に現在位置するものとして示されるソフトウェア要素を備え得る。コンピュータシステム200の代替実施形態が上述のものからの多数のバリエーションを有し得ることが理解されるべきである。例えば、カスタマイズされたハードウェアが使用されてもよいし、及び/又は特定の要素がハードウェア、ソフトウェア(アプレットなどの可搬ソフトウェアを含む)又はその双方において実施されてもよい。また、ネットワーク入力/出力デバイスのような他のコンピューティングデバイスへの接続も採用され得る。

0047

ここに記載されるプロセッサ208の例は、これに限定されないが、Qualcomm(登録商標)Snapdragon(登録商標)800及び801、4GLTEIntegration及び64ビットコンピューティングでのQualcomm(登録商標)Snapdragon(登録商標)620及び615、64ビットアーキテクチャでのApple(登録商標)A7プロセッサ、Apple(登録商標)M7モーション・コプロセッサ、Samsung(登録商標)Exynos(登録商標)シリーズ、Intel(登録商標)Core(登録商標)ファミリのプロセッサ、Intel(登録商標)Xeon(登録商標)ファミリのプロセッサ、Intel(登録商標)Atom(登録商標)ファミリのプロセッサ、Intel Itanium(登録商標)ファミリのプロセッサ、Intel(登録商標)Core(登録商標)i5−4670K及びi7−4770K 22nm Haswell、Intel(登録商標)Core(登録商標)i5−3570K 22nm Ivy Bridge、AMD(登録商標)FX(登録商標)ファミリのプロセッサ、AMD(登録商標)FX−4300、FX−6300及びFX−8350 32nm Vishera、AMD(登録商標)Kaveriプロセッサ、Texas Instruments(登録商標)Jacinto C6000(登録商標)車載インフォテイメントプロセッサ、Texas Instruments(登録商標)OMAP(登録商標)車載グレードモバイルプロセッサ、ARM(登録商標)Cortex(登録商標)−Mプロセッサ、ARM(登録商標)Cortex−A及びARM926EJ−S(登録商標)プロセッサ、その他工業用の同等のプロセッサの少なくとも1つを含み得るものであり、いずれかの周知又は将来開発される標準、命令セット、ライブラリ及び/又はアーキテクチャを用いる計算機能を実行し得る。

0048

一実施形態によると、上述のシステム及びデバイスは、リッチコミュニケーションサービス(RCS)ネットワークを実施するのに使用可能である。ブロックチェーン技術は、RCSネットワークユーザについて分散されかつ高度に安全なアイデンティティモデルを実現するように配備可能である。ブロックチェーンは、各RCSネットワークユーザに対して永久的、透明かつ安全なプルーフオブアイデンティティ(POI)モデルをサポートすることができる。この同じモデルは、ユーザがデジタルトランザクションを行おうとする相手へのRCSユーザのネットワーク証明書の安全なデジタル送信をサポートすることができる。そのようなモデルは、RCSモバイルプロバイダのエコシステムの中のRCS認証サービスの配備及び相互運用性を大幅に向上することができる。参入RCSモバイルプロバイダの全ては、各RCSユーザに対して一意に存在する同一不変の「プルーフオブアイデンティティ」情報への共通のアクセスを獲得することができる。

0049

当技術分野では周知のように、ブロックチェーンは、順序付けられたブロックの連続的に成長するリストを維持する分散データベース元帳技術である。分散元帳は、ネットワークにおける全てのメンバーの中で共有、複製及び同期されるデータベースの一種である。ネットワークにおける参加者は、元帳への更新を同意によって統制及び合意する。中央化当局は、含まれない。ブロックチェーンは、通常、元のトランザクションの情報ではなくトランザクションのデータの数学的ハッシュ(例えば、SHA−256)を記憶する。ハッシュ化されたトランザクション記録は、ブロックチェーンに不変/永久に記憶される個々のブロックを形成するようにともにグループ化される。ブロックは、以前のブロックのコンテンツ改竄する僅かな試みさえもハッシュの全てを無効化することになるように、ともに密接にリンクされる。

0050

一実施形態によると、そして以下により詳細に説明するように、そのようなモデルを用いるアイデンティティ認証を与えることは、アイデンティティサーバによって、プルーフオブアイデンティティ(POI)情報を安全なストアにおけるRCSネットワークのユーザについてのアイデンティティ記録に、及びユーザについてのアイデンティティ請求トークンのハッシュをアイデンティティ管理ブロックチェーンに登録することを備え得る。アイデンティティサーバは、ユーザを認証するリクエストを受信し、リクエストに応じて、ユーザに対する暗号化されたアイデンティティ情報を提供することができる。暗号化されたアイデンティティ情報は、ユーザに対する1以上の暗号化されたアイデンティティ請求トークンを備え得る。そして、認証局は、以前に合意したハッシュ化アルゴリズム又はアイデンティティサーバによる認証局に対して識別されたものを用いてアイデンティティサーバによって提供されたアイデンティティ請求トークンを復号及びハッシュ化することができる。この復号されたアイデンティティ請求トークンのハッシュは、ユーザが真正な場合にアイデンティティ管理ブロックチェーンにおけるアイデンティティ請求トークンのハッシュと一致することになる。

0051

図3は、本開示の一実施形態によるアイデンティティを登録するためのシステムの要素を示すブロック図である。本例に示すように、システム300は、モバイルデバイスなどのユーザデバイス305、及び上述したような1以上のサーバ又は他のコンピュータを備えるRCSアイデンティティサービスを備え得る。ユーザデバイス305及びアイデンティティサービス310は、上述のようなモバイルネットワーク、インターネット及び/又は他のネットワークのような1以上のネットワーク(ここでは不図示)を介して通信することができる。

0052

一実施形態によると、各RCSユーザは登録処理を通過することになり、それにより、性質幾らか選択的な複数タイプPOIデータ315が、ユーザの「プルーフオブアイデンティティ」の基礎を形成するように、ユーザデバイス305を介してアイデンティティサービス310のアイデンティティサーバ345に提供され得る(325)。例えば、この情報は、これに限定されないが、ユーザ名及びパスワード、ユーザ識別データ、特別な質問回答などを含み得る。一般に、提供されるPOI情報315は、異なる組織/企業とのダウンストリームインタラクション中にユーザが使用することを意図する情報となり得る。デバイスデータ320はまた、アイデンティティサーバ345に提供され得る(325)。デバイスデータ320は、例えば、デバイスシリアル番号、SIMデータ、及び/又はRCSユーザのデバイス305を一意に識別するデバイス「フィンガープリント」として使用され得る1以上の他のタイプのデータを備え得る。

0053

一実施形態によると、ユーザについての生体認証データ330も、ユーザデバイス305を介して収集され得る。収集される場合、そのような情報は、指紋、声サンプル、顔認識サンプル及び/又は他の生体認証サンプルを備え得る。この情報330は、アイデンティティサービス310の生体認証エンジン340に提供され得る(335)。提供される場合、この生体認証情報330は、以下に説明するようにユーザがサービスにアクセスを引き続き試みる場合に、ユーザから収集される生体認証サンプルとの比較のためのベースラインとして使用され得る。

0054

一実施形態によると、アイデンティティサーバ345によって収集されたPOI情報は、1以上の認識された証明当局355によって独立して証明され得る(350)。本技術において周知のように、証明当局は、車両局(DMV)、社会保障局及び/又は他の政府若しくは民間の当局のような1以上の公的又は民間のソースからなり得る。取得されると、POI情報データの証明書は、ユーザのアイデンティティ及び提供されたPOI情報の確認を与える。

0055

そして、アイデンティティサーバ345は、収集されたPOI情報及び証明されたアイデンティティ請求をトークン化することができる。トークン化は、POI情報の不要な共有を最小化するのに使用され得る。例えば、米国市民の証明として彼らの自宅住所を提供することをRCSユーザに要求するのではなく、この事実を証明するトークンが提供可能である。そのようなトークンは、信用及び許可された当局によって独立して証明されていることになる。これを達成するために、ハッシュ化されていないプルーフオブアイデンティティ(POI)情報は、ユーザのデバイス305における暗号化されたフォーマットで、安全なアイデンティティサーバ345に保持されたユーザに対するアイデンティティ記録内に記憶され得る。したがって、RCSユーザは、彼らのアイデンティティ情報及び相手方によるそれへのアクセスを介して制御を保持することになる。証明当局355から取得された証明書又は他のアイデンティティ請求トークンのハッシュはまた、以下に説明するようにユーザを認証するのに引き続き使用され得るアイデンティティ管理ブロックチェーン365に書き込まれ得る(360)。

0056

異なるアイデンティティ情報に対する複数のアイデンティティ請求トークンは、数学的にハッシュ化され、永久/不変のプルーフオブアイデンティティとして作用するアイデンティティ管理ブロックチェーンに書き込まれ得る。個々のPOIアイデンティティハッシュは、これに限定されないが、
IDH1−RCSネットワーク証明書のデジタルシグネチャのハッシュ
IDH2−ユーザの運転免許に対するアイデンティティ証明書のハッシュ
IDH3−ユーザの身分証明書に対するアイデンティティ証明書のハッシュ
IDH4−ユーザのパスポートに対するアイデンティティ証明書のハッシュ
を含み得る。

0057

プルーフオブアイデンティティ(POI)記録は、個々のアイデンティティハッシュ:
POI=IDH1+IDH2+IDH3+IDH4+タイムスタンプ
からなり得る。

0058

個々のIDHxハッシュは、アイデンティティ管理ブロックチェーンに安全に書き込み可能であり、ブロックチェーンにおける全ての当事者による不変かつ公的な審査可能な記録として残存可能である。

0059

図4は、本開示の一実施形態によるアイデンティティを認証するためのシステムの要素を示すブロック図である。より具体的には、本例は、ユーザデバイス305によるモバイルキャリアネットワーク405のアクセスを示す。この処理を開始するために、ユーザデバイス及びモバイルキャリアシステム405は、認証チャレンジ410を交換することができる。ユーザデバイス305はまた、現在の生体認証サンプル及び現在のデバイスフィンガープリントデータをアイデンティティサービスに提供することができる(415)。RCSユーザがネットワーク認証を通過する場合、そのネットワークのポリシーは実際のユーザによって提供されなければならない特定の情報を規定することができる。基本的形態の認証は、1以上の生体認証を提供することを伴うだけであってもよい。このサンプルは、アイデンティティサービスの生体認証エンジン340によって維持されるベースラインサンプルと比較され得る。モバイルデバイスフィンガープリントの新たなサンプルはそのデバイスから回収されてから、登録処理中に当初取得されたデバイスフィンガープリントと比較される。生体認証サンプル及びデバイスフィンガープリント情報ベースライン情報に一致する場合、ユーザのアイデンティティ記録がロック解除可能となる(420)。

0060

RCSユーザは、アイデンティティサーバに記憶されたプルーフオブアイデンティティ情報が暗号化解除可能となるように対称暗号鍵をモバイルキャリアに、ユーザのデバイス305を介して、提供することができる(425)。場合によっては、モバイルデバイスは、ユーザに対するアイデンティティ請求トークンのハッシュを生成するために使用されるハッシュ化アルゴリズムを示してもよい。ユーザデバイスは、アイデンティティ管理ブロックチェーンアドレス、及びアイデンティティサーバ345へのアドレス、例えば、ユーザのアイデンティティ記録へのアドレスを提供することもできる(425)。そして、モバイルキャリア405は、アイデンティティサーバ345から、暗号化されたRCSユーザ名、パスワード、任意の追加のPOI(プルーフオブアイデンティティ)記録証明書及びユーザに対するアイデンティティ請求トークンを取得することができる。そして、モバイルキャリア405は、例えば、識別されたアルゴリズムを用いて、アイデンティティサーバ345から取得されたアイデンティティ請求トークンを復号及びハッシュ化し、それらをアイデンティティ管理ブロックチェーン365から回収された対応するハッシュと比較することができる。肯定的な一致は完全に認証されたアイデンティティを表し、ユーザはRCSサービスを使用することを進めることを許可される。

0061

図5は、本開示の他の実施形態によるアイデンティティを認証するためのシステムの要素を示すブロック図である。より具体的には、本例は、カスタマトゥビジネス(C2B)の実施例のようなユーザデバイス305による企業システム505のアクセスを示す。この処理を開始するために、ユーザデバイス305及び企業システム505は、認証チャレンジ510を交換することができる。ユーザデバイス305はまた、現在の生体認証サンプル及び現在のデバイスフィンガープリントデータをアイデンティティサービスに提供することができる(515)。このサンプルは、アイデンティティサービスの生体認証エンジン340によって保持されるベースラインサンプルと比較され得る。モバイルデバイスフィンガープリントの新たなサンプルはそのデバイスから回収されてから、登録処理中に当初取得されたデバイスフィンガープリントと比較される。生体認証サンプル及びデバイスフィンガープリント情報がベースライン情報に一致する場合、ユーザのアイデンティティ記録がロック解除可能となる(520)。

0062

RCSユーザは、アイデンティティサーバ345に記憶されたプルーフオブアイデンティティ情報が暗号化解除可能となるように、対称暗号鍵を企業システム505にユーザのデバイス305を介して提供することができる(525)。場合によっては、モバイルデバイスは、ユーザに対するアイデンティティ請求トークンのハッシュを生成するために使用されるハッシュ化アルゴリズムを示してもよい。ユーザデバイスは、アイデンティティ管理ブロックチェーンアドレス、及びアイデンティティサーバ345へのアドレス、例えば、ユーザのアイデンティティ記録へのアドレスを提供することもできる(525)。そして、企業システム505は、アイデンティティサーバ345から、暗号化されたRCS証明書及びアイデンティティ請求トークンを取得することができる。そして、企業システム505は、例えば、識別されたアルゴリズムを用いて、アイデンティティサーバ345から取得されたアイデンティティ請求トークンを復号及びハッシュ化し、それらをアイデンティティ管理ブロックチェーン365から回収された対応するハッシュと比較することができる。肯定的な一致は完全に認証されたアイデンティティを表し、ユーザは企業のサービスにアクセスすることを進めることを許可される。

0063

図6は、本開示の一実施形態によるアイデンティティを登録するための例示的処理を示すフローチャートである。本例に示すように、ユーザに対するPOI情報を登録することは、ユーザのデバイスから、デバイスを一意に識別するデバイス情報を受信すること(605)によって開始し得る。この情報は、これに限定されないが、デバイスのシリアル番号、デバイスに対するユニバーサルユニーク識別子(UUID)、デバイス上で実行しているウェブブラウザ属性、そのような識別子の組合せ、及び/又はデバイスを一意に識別するのに使用され得る他の識別情報を含み得る。

0064

ユーザに対するPOI情報はまた、ユーザのデバイスから受信可能である(610)。POI情報は、モバイルキャリア又は他のサービスプロバイダに提供し又は提供することを選択するようにユーザが要求され得る任意の情報を備え得る。例えば、POI情報は、これに限定されないが、ユーザのネットワークユーザ名及び/又はパスワード、ユーザの自宅住所、ユーザの生年月日、社会保障番号、運転免許証番号銀行口座情報などを含み得る。そして、受信されたデバイス情報及びユーザに対するPOI情報が記憶され得る(615)。一実施形態によると、ユーザに対するデバイス情報及びPOI情報は、ユーザに対するアイデンティティ記録に暗号化された形式で記憶され得る。

0065

場合によっては、そして一実施形態によると、ユーザに対するベースライン生体認証データのセットも、登録処理の一部として受信及び記憶され得る(620)。そのような生体認証情報は、これに限定されないが、1以上の指紋、音声サンプル、顔写真若しくは他の顔認識サンプル、虹彩スキャン網膜スキャン及び/又はユーザデバイスによって取得され得る他の一意に識別可能な生体認証サンプルを含み得る。ベースライン生体認証データのセットは、存在する場合には、暗号化された形式で記憶され得る(625)。

0066

ユーザに対するPOI情報の証明書は、証明当局から取得され得る(630)。すなわち、ユーザのデバイスから提供されるPOI情報は、その正確さ及び/又は有効性を確認するように公的及び/又は民間の記録に対してチェックされ得る。例えば、車両局(DMV)、社会保障局及び/又は他の政府のソースが、身分証明書又は他のアイデンティティ請求トークンを戻すことによってユーザのデバイスを介してユーザによって提供されたPOI情報を確認又は証明するのに使用され得る。

0067

そして、ユーザに対するアイデンティティ請求トークンのハッシュが生成され得る(635)。すなわち、POI情報のトークン化は、POI情報の不要な共有を最小化するのに使用され得る。例えば、ユーザに彼らの自宅住所又は他の識別情報を提供することを要するのではなく、このことを証明するトークンが提供され得る。そして、ユーザに対するアイデンティティ請求トークンのハッシュは、アイデンティティ管理ブロックチェーンに書き込まれ得る(640)。このように、複数のアイデンティティ情報源が、数学的にハッシュ化され、永久/不変のプルーフオブアイデンティティとして作用するアイデンティティ管理ブロックチェーンに書き込まれ得る。

0068

図7は、本開示の一実施形態によるアイデンティティを認証するための例示的処理を示すフローチャートである。本例に示すように、処理は、ユーザがユーザデバイスを介してサービスを要求すること(705)によって開始し得る。モバイルキャリアシステムは、ユーザのデバイスからサービスのリクエストを受信し(710)、それに応じて、認証チャレンジをユーザのデバイスに提供することができる(715)。認証チャレンジは、例えば、ユーザ名及びパスワード並びに/又は他のPOI情報のような何らかの識別情報のリクエストを備え得る。

0069

ユーザデバイスは、モバイルキャリアシステムから認証チャレンジを受信することができ(720)、アイデンティティ管理ブロックチェーンアドレス、対称鍵及びアイデンティティサーバのアドレスを提供すること(720)によって応答することができる。場合によっては、モバイルデバイスは、ユーザに対するアイデンティティ請求トークンのハッシュを生成するために使用されるハッシュ化アルゴリズムを示していてもよい。さらに、ユーザデバイスは、生体認証データサンプル及び/又は現在のデバイスデータをアイデンティティサーバに提供することができる(725)。

0070

アイデンティティサーバは、生体認証データサンプル及び現在のデバイスデータをユーザのデバイスから受信し(730)、受信された生体認証データサンプル及び現在のデバイスデータがユーザに対するベースライン生体認証データ及びユーザに対するアイデンティティ記録に記憶されたデバイス情報のセットにおけるデータに一致するか否かについての判定(735)を行うことができる。受信された生体認証データサンプル及び現在のデバイスデータがユーザに対するベースライン生体認証データ及びユーザに対するアイデンティティ記録に記憶されたデバイス情報のセットにおけるデータに一致するものと判定すること(735)に応じて、アイデンティティサーバはユーザに対するアイデンティティ記録をロック解除することができる。

0071

その間、モバイルキャリアシステムは、ユーザのデバイスから、認証チャレンジに応じて、アイデンティティ管理ブロックチェーンアドレス、対称鍵及びアイデンティティサーバのアドレスを受信することができる(745)。モバイルキャリアシステムは、ユーザのデバイスから受信されたアドレスを用いて、アイデンティティサーバによって保持されるユーザに対するアイデンティティ情報にアクセスすることを要求(750)又は試行することができる。

0072

アイデンティティサーバは、次にモバイルキャリアシステムからユーザのアイデンティティ情報のリクエスト又は試行されたアクセスを受信することができる(755)。アイデンティティ記録が上述のようにロック解除(740)された場合、アイデンティティサーバはモバイルキャリアシステムへのアクセスを許可し、ユーザに対する暗号化されたアイデンティティ情報を提供することができる(760)。暗号化されたアイデンティティ情報は、ユーザに対する1以上のアイデンティティ請求トークンを備え得る。一実施形態によると、アイデンティティサーバはまた、受信された生体認証データサンプル及び現在のデバイスデータがユーザに対するベースライン生体認証データ及びユーザに対するアイデンティティ記録に記憶されたデバイス情報のセットにおけるデータに一致する度合いを示す認証スコアを生成し、リクエストに応じて認証スコアを提供することができる。このような場合、生成された認証スコアはまた、暗号化されたアイデンティティ情報とともにモバイルキャリアシステムに提供され得る(760)。

0073

モバイルキャリアシステムは、アイデンティティサーバからユーザに対する暗号化されたアイデンティティ請求トークンを受信することができる(765)。モバイルキャリアシステムは、ユーザのデバイスから受信された対称鍵を用いて、受信された暗号化アイデンティティ請求トークンをその後に復号し(770)、復号されたアイデンティティ請求トークンのハッシュを生成することができる。このハッシュは、例えば、対称鍵、アイデンティティサーバアドレス及びアイデンティティ管理ブロックチェーンアドレスが共有されている場合に、モバイルサービス又は他の認証局に識別されたハッシュ化アルゴリズムを用いて生成され得る。モバイルキャリアシステムは、復号されたアイデンティティ請求トークンの生成されたハッシュがアイデンティティ管理ブロックチェーンにおけるユーザに対するアイデンティティ請求トークンのハッシュに一致するか否かを判定することができる(775)。復号されたアイデンティティ請求トークンの生成されたハッシュがアイデンティティ管理ブロックチェーンにおけるユーザに対するアイデンティティ請求トークンのハッシュに一致することに応じて、モバイルキャリアシステムは要求されたサービスへのアクセスを与えることができる(780)。モバイルキャリアシステムはまた、アイデンティティサーバによって生成された認証スコア(存在する場合には)を受信し得る。そのような場合、その後、モバイルキャリアシステムは、認証スコアに対する閾値を規定する1以上のセキュリティポリシーを適用し、1以上のセキュリティポリシーを適用する結果にさらに基づいて、要求されたサービスを提供することができる(780)。

0074

本開示は、種々の態様、実施形態及び/又は機器構成において、種々の態様、実施形態、機器構成実施形態、部分的組合せ及び/又はその部分集合を含む、ここに実質的に図示及び記載する構成要素、方法、処理、システム及び/又は装置を含む。当業者は、本開示を理解すれば、開示された態様、実施形態及び/又は機器構成をどのように製造及び使用するかを理解するはずである。本開示は、種々の態様、実施形態及び/又は機器構成において、例えば、性能を向上し、容易性を実現し、及び/又は実施のコストを低減するために従来のデバイス又は処理において使用されてきたようなアイテムがないことを含み、ここに図示及び/若しくは記載されていないアイテムがなくても、又はその種々の態様、実施形態及び/若しくは機器構成において、デバイス及び処理を提供することを含む。

0075

以上の記載は、説明及び図示の目的で提示されてきた。上記は、ここに開示される単数又は複数の形態に開示を限定することを意図するものではない。以上の詳細な説明では、例えば、開示の種々の構成が、開示の合理化の目的で1以上の態様、実施形態及び/又は機器構成においてともにグループ化されている。開示の態様、実施形態及び/又は機器構成の構成は、上述したもの以外の代替の態様、実施形態及び/又は機器構成と組み合わせられ得る。この開示の方法は、請求項が、各請求項に明示的に記載されるよりも多くの構成を要件とする意図を反映するものとして解釈されてはならない。そうではなく、以降の特許請求の範囲が反映するように、進歩的な態様は上記の単一の開示の態様、実施形態及び/又は機器構成の全ての構成よりも少ないものに存在する。したがって、以降の特許請求の範囲は、独立した開示の好ましい実施形態として各請求項がそれ自体で成立する状態でこの詳細な説明に含まれる。

0076

さらに、説明は1以上の態様、実施形態及び/又は機器構成並びに特定のバリエーション及び変形例の記載を含んでいるが、他のバリエーション、組合せ及び変形例は、例えば、本開示を理解した後に当業者の技術及び知識内となるように、開示の範囲内となる。いずれの特許可能な事項も公に特化させることを意図することなく、そのような代替の、互換可能な及び/又は均等の構造、機能、範囲若しくはステップがここに開示されるか否かにかかわらず、請求項に記載されるものに対する代替の、互換可能な及び/又は均等の構造、機能、範囲若しくはステップを含み、許可される程度で代替の態様、実施形態及び/又は機器構成を含む権利を取得することが意図されている。

ページトップへ

この技術を出願した法人

この技術を発明した人物

ページトップへ

関連する挑戦したい社会課題

関連する公募課題

ページトップへ

技術視点だけで見ていませんか?

この技術の活用可能性がある分野

分野別動向を把握したい方- 事業化視点で見る -

(分野番号表示ON)※整理標準化データをもとに当社作成

ページトップへ

おススメ サービス

おススメ astavisionコンテンツ

新着 最近 公開された関連が強い技術

この 技術と関連性が強い技術

関連性が強い 技術一覧

この 技術と関連性が強い人物

関連性が強い人物一覧

この 技術と関連する社会課題

関連する挑戦したい社会課題一覧

この 技術と関連する公募課題

関連する公募課題一覧

astavision 新着記事

サイト情報について

本サービスは、国が公開している情報(公開特許公報、特許整理標準化データ等)を元に構成されています。出典元のデータには一部間違いやノイズがあり、情報の正確さについては保証致しかねます。また一時的に、各データの収録範囲や更新周期によって、一部の情報が正しく表示されないことがございます。当サイトの情報を元にした諸問題、不利益等について当方は何ら責任を負いかねることを予めご承知おきのほど宜しくお願い申し上げます。

主たる情報の出典

特許情報…特許整理標準化データ(XML編)、公開特許公報、特許公報、審決公報、Patent Map Guidance System データ