図面 (/)

この項目の情報は公開日時点(2020年9月24日)のものです。
また、この項目は機械的に抽出しているため、正しく解析できていない場合があります

図面 (8)

課題

ハードソフトトークン検証を介したブロックチェーン認証のための方法、装置、コンピュータプログラム及びコンピュータ可読ストレージ媒体を提供する。

解決手段

例示的動作は、ユーザプロファイルと関連付けられた公開鍵及び対応する1又は複数のアドレスをブロックチェーンに格納すること、公開鍵に基づいてユーザプロファイルに対する証明書を作成すること、証明書を1又は複数のアドレスに転送すること、ユーザプロファイルと関連付けられたユーザデバイスからサイトへのアクセス要求を受け取ること、及び1又は複数のアドレスに基づいてブロックチェーンから証明書を取り出すこと、のうちの1つ又は複数を含むことができる。

概要

背景

ブロックチェーンは、単一の組織又はエンティティではなく、多くの異なる組織又はエンティティにより制御されるピアツーピア型分散型共有及び複製される)データベース又は台帳(ledger)を可能にする1つのタイプのコンピューティングアーキテクチャである。この構成は、独立マシンネットワークにわたって、ノードがシステム内の情報の状態を確実に追跡し、保持することを可能にする。その際に、ブロックチェーンは、制御の中心点を必要とせずに、ビジネスネットワークを高い費用対効果で作成することを可能にする。この構成は、独立したパーティが、それぞれのシステムの記録を保持し、不十分かつ時として複雑な組織間プロセスで互いに更新を照合するという、独立した信頼できるサードパーティ管理者のサービスを必要とする、伝統的データベース指向システムとは対照的に動作する。

二要素認証(two-factor authentication)は、国防省(Department of Defense、DoD)などの主要政府機関により承認されたデフクト・タイプの認証である。二要素認証は、共通アクセスカード(CAC、Common Access Card)、及び/又はセキュリティ識別キーフォブ(fob)」などのハードウェアドングルを用いて実行される。CACは、カード内に存在するID/EDIPI番号を検証するために用いられる集中型サーバに依存する。ハードウェアトークンは、システムにアクセスするためにワンタイムコード(例えば、ワンタイムパスワード)を生成するのに必要とされる必要コンポーネントを有するので、バックエンドサーバ通信する必要がない。バックエンドシステムはユーザにより提供されるトークン合致することを検証する必要があるので、こうしたトークンは、検証される必要がある。

二要素認証は、種々のコンピューティングシステム及びネットワークに適用される周知のタイプのセキュリティ手順である。ソーシャルメディアイト及び電子メールプロバイダは、モバイルデバイスを、第2の形態の認証として使用する(例えば、パスワード+携帯電話に送られるアクセス・コード)。DoDは、全てのDoDネットワークを、CACにより保護する必要があると規定している。CACを使用するためには、システムは、DoDPKIをサポートする必要がある。このDoD PKIは、デジタル証明書(digital certificate)の作成、管理、配布、使用、格納及び取り消しを行うと共に公開鍵暗号を管理するのに必要とされる、役割ポリシー及び手順のセットである。PKIは、システムがDoDネットワーク内にあるという仮定の下で動作する。これは、DoDネットワークへのアクセス権がないユーザ(例えば、戦術的環境)の認証を試みるときに問題となる。DoD/DoJは、ブリッジを用いてCACカード及びそれぞれのPKIを介してユーザを相互認証することができる。こうしたインフラストラクチャディプロイすることは、複雑になることがある。ハードウェアトークンは、そのほとんどが改ざん防止されているので、モバイルデバイスよりも信頼できることが多いが、それらのデバイスの管理は別の問題である。

従来の認証機構において、認証プロセスは、CACカード又はハードウェアトークンのいずれかを用いることができる。この手法により、プライベートネットワーク内のユーザは、その内部ユーザがネットワーク内にいることで、CACカードを用いて認証することができる。プライベートネットワーク外のユーザは、有効なCACを有してプライベートネットワークに関連するサードパーティサイトへの登録を試みることができるが、外部ユーザはプライベートネットワーク内にいないので、要求は拒絶され、プライベートネットワークへのアクセスが拒否される。

概要

ハードソフトトークン検証を介したブロックチェーン認証のための方法、装置、コンピュータプログラム及びコンピュータ可読ストレージ媒体を提供する。 例示的動作は、ユーザプロファイルと関連付けられた公開鍵及び対応する1又は複数のアドレスをブロックチェーンに格納すること、公開鍵に基づいてユーザプロファイルに対する証明書を作成すること、証明書を1又は複数のアドレスに転送すること、ユーザプロファイルと関連付けられたユーザデバイスからサイトへのアクセス要求を受け取ること、及び1又は複数のアドレスに基づいてブロックチェーンから証明書を取り出すこと、のうちの1つ又は複数を含むことができる。

目的

ハード/ソフトトークン検証を介したブロックチェーン認証のための方法、装置及び非一時的コンピュータ可読ストレージ媒体を提供する

効果

実績

技術文献被引用数
0件
牽制数
0件

この技術が所属する分野

ライセンス契約や譲渡などの可能性がある特許掲載中! 開放特許随時追加・更新中 詳しくはこちら

請求項1

ユーザプロファイルと関連付けられた公開鍵及び対応する1又は複数のアドレスブロックチェーンに格納することと、前記公開鍵に基づいて前記ユーザプロファイルに対する証明書を作成することと、前記証明書を前記1又は複数のアドレスに転送することと、前記ユーザプロファイルと関連付けられたユーザデバイスからサイトへのアクセス要求を受け取ることと、前記1又は複数のアドレスに基づいて前記ブロックチェーンから前記証明書を取り出すことと、を含む、方法。

請求項2

前記証明書は、アクセス制御リスト(ACL)である、請求項1に記載の方法。

請求項3

前記証明書は、限定された時間ウィンドウ内に作成される、請求項1に記載の方法。

請求項4

前記1又は複数のアドレスは、複数のアクセス試行の反復の間の複数の証明書に対応する複数のアドレス位置を含む、請求項3に記載の方法。

請求項5

前記要求は、前記複数のアドレス位置を含む、請求項4に記載の方法。

請求項6

前記要求を受け取ることに応答して、暗号化メッセージを前記ユーザデバイスに伝送することと、前記暗号化メッセージに基づいて復号メッセージを受け取ることと、をさらに含む、請求項1に記載の方法。

請求項7

前記復号メッセージの復号メッセージコンテンツを、前記暗号化の暗号化メッセージコンテンツと比較することと、前記復号メッセージコンテンツが前記暗号化メッセージコンテンツと合致する場合、前記証明書が有効であるかどうかを検証し、前記証明書が有効である場合、前記ユーザデバイスへアクセス権を与えることと、をさらに含む、請求項6に記載の方法。

請求項8

装置であって、ユーザプロファイルと関連付けられた公開鍵及び対応する1又は複数のアドレスをブロックチェーンに格納し、前記公開鍵に基づいて前記ユーザプロファイルに対する証明書を作成し、前記証明書を前記1又は複数のアドレスに転送する、ように構成されたプロセッサと、前記ユーザプロファイルと関連付けられたユーザデバイスからサイトへのアクセス要求を受け取るように構成された受信機と、を含み、前記プロセッサは、前記ブロックチェーンからの前記1又は複数のアドレスに基づいて前記証明書を取り出すようにさらに構成される、装置。

請求項9

前記証明書は、アクセス制御リスト(ACL)である、請求項8に記載の装置。

請求項10

前記証明書は、限定された時間ウィンドウ内に作成される、請求項8に記載の装置。

請求項11

前記1又は複数のアドレスは、複数のアクセス試行の反復の間の複数の証明書に対応する複数のアドレス位置を含む、請求項10に記載の装置。

請求項12

前記要求は、前記複数のアドレス位置を含む、請求項11に記載の装置。

請求項13

前記プロセッサは、前記要求を受け取ることに応答して、暗号化メッセージを前記ユーザデバイスに転送するようにさらに構成され、前記受信機は、前記暗号化メッセージに基づいて復号メッセージを受け取るようにさらに構成される、請求項8に記載の装置。

請求項14

前記プロセッサは、前記復号メッセージの復号メッセージコンテンツを前記暗号化の暗号化メッセージコンテンツと比較し、前記復号メッセージコンテンツが前記暗号化メッセージコンテンツと合致する場合、前記証明書が有効であるかどうかを検証し、前記証明書が有効である場合、前記ユーザデバイスへアクセス権を与える、ようにさらに構成される、請求項13に記載の装置。

請求項15

実行されるとき、プロセッサに、ユーザプロファイルと関連付けられた公開鍵及び対応する1又は複数のアドレスをブロックチェーンに格納することと、前記公開鍵に基づいて前記ユーザプロファイルに対する証明書を作成することと、前記証明書を前記1又は複数のアドレスに転送することと、前記ユーザプロファイルと関連付けられたユーザデバイスからサイトへのアクセス要求を受け取ることと、前記ブロックチェーンからの前記1又は複数のアドレスに基づいて前記証明書を取り出すことと、を行わせる命令を格納するように構成された、非一時的コンピュータ可読ストレージ媒体

請求項16

前記証明書は、アクセス制御リスト(ACL)である、請求項15に記載の非一時的コンピュータ可読ストレージ媒体。

請求項17

前記証明書は、限定された時間ウィンドウ内に作成される、請求項15に記載の非一時的コンピュータ可読ストレージ媒体。

請求項18

前記1又は複数のアドレスは、複数のアクセス試行の反復の間の複数の証明書に対応する複数のアドレス位置を含む、請求項17に記載の非一時的コンピュータ可読ストレージ媒体。

請求項19

前記要求は、前記複数のアドレス位置を含む、請求項18に記載の非一時的コンピュータ可読ストレージ媒体。

請求項20

前記プロセッサは、前記要求を受け取ることに応答して、暗号化メッセージを前記ユーザデバイスに伝送することと、前記暗号化メッセージに基づいて復号メッセージを受け取ることと、前記復号メッセージの復号メッセージコンテンツが前記暗号化メッセージコンテンツと合致する場合、前記証明書が有効であるかどうかを検証し、前記証明書が有効である場合、前記ユーザデバイスへアクセス権を与えることと、を行わせるようにさらに構成される、請求項15に記載の非一時的コンピュータ可読ストレージ媒体。

技術分野

0001

本出願は、一般に、認可(authorization)アクセス管理に関し、より特定的には、ハードソフトトークン検証を介したブロックチェーン認証に関する。

背景技術

0002

ブロックチェーンは、単一の組織又はエンティティではなく、多くの異なる組織又はエンティティにより制御されるピアツーピア型分散型共有及び複製される)データベース又は台帳(ledger)を可能にする1つのタイプのコンピューティングアーキテクチャである。この構成は、独立マシンネットワークにわたって、ノードがシステム内の情報の状態を確実に追跡し、保持することを可能にする。その際に、ブロックチェーンは、制御の中心点を必要とせずに、ビジネスネットワークを高い費用対効果で作成することを可能にする。この構成は、独立したパーティが、それぞれのシステムの記録を保持し、不十分かつ時として複雑な組織間プロセスで互いに更新を照合するという、独立した信頼できるサードパーティ管理者のサービスを必要とする、伝統的データベース指向システムとは対照的に動作する。

0003

二要素認証(two-factor authentication)は、国防省(Department of Defense、DoD)などの主要政府機関により承認されたデフクト・タイプの認証である。二要素認証は、共通アクセスカード(CAC、Common Access Card)、及び/又はセキュリティ識別キーフォブ(fob)」などのハードウェアドングルを用いて実行される。CACは、カード内に存在するID/EDIPI番号を検証するために用いられる集中型サーバに依存する。ハードウェアトークンは、システムにアクセスするためにワンタイムコード(例えば、ワンタイムパスワード)を生成するのに必要とされる必要コンポーネントを有するので、バックエンドサーバ通信する必要がない。バックエンドシステムはユーザにより提供されるトークン合致することを検証する必要があるので、こうしたトークンは、検証される必要がある。

0004

二要素認証は、種々のコンピューティングシステム及びネットワークに適用される周知のタイプのセキュリティ手順である。ソーシャルメディアイト及び電子メールプロバイダは、モバイルデバイスを、第2の形態の認証として使用する(例えば、パスワード+携帯電話に送られるアクセス・コード)。DoDは、全てのDoDネットワークを、CACにより保護する必要があると規定している。CACを使用するためには、システムは、DoDPKIをサポートする必要がある。このDoD PKIは、デジタル証明書(digital certificate)の作成、管理、配布、使用、格納及び取り消しを行うと共に公開鍵暗号を管理するのに必要とされる、役割ポリシー及び手順のセットである。PKIは、システムがDoDネットワーク内にあるという仮定の下で動作する。これは、DoDネットワークへのアクセス権がないユーザ(例えば、戦術的環境)の認証を試みるときに問題となる。DoD/DoJは、ブリッジを用いてCACカード及びそれぞれのPKIを介してユーザを相互認証することができる。こうしたインフラストラクチャディプロイすることは、複雑になることがある。ハードウェアトークンは、そのほとんどが改ざん防止されているので、モバイルデバイスよりも信頼できることが多いが、それらのデバイスの管理は別の問題である。

0005

従来の認証機構において、認証プロセスは、CACカード又はハードウェアトークンのいずれかを用いることができる。この手法により、プライベートネットワーク内のユーザは、その内部ユーザがネットワーク内にいることで、CACカードを用いて認証することができる。プライベートネットワーク外のユーザは、有効なCACを有してプライベートネットワークに関連するサードパーティサイトへの登録を試みることができるが、外部ユーザはプライベートネットワーク内にいないので、要求は拒絶され、プライベートネットワークへのアクセスが拒否される。

発明が解決しようとする課題

0006

ハード/ソフトトークン検証を介したブロックチェーン認証のための方法、装置及び非一時的コンピュータ可読ストレージ媒体を提供する。

課題を解決するための手段

0007

1つの例示的実施形態は、ユーザプロファイルと関連付けられた公開鍵及び対応するアドレスをブロックチェーンに格納すること、公開鍵に基づいてユーザプロファイルに対する証明書(credential)を作成すること、証明書を1又は複数のアドレスに転送すること、ユーザプロファイルと関連付けられたユーザデバイスからサイトへのアクセス要求を受け取ること、及び1又は複数のアドレスに基づいてブロックチェーンから証明書を取り出すこと、のうちの1つ又は複数を提供する方法を含むことができる。このプロセスは、セキュリティを向上させるためにランダム化することができ、及び要素を要求するポリシーは、システム管理者により定義することができる。

0008

別の例示的実施形態は、ユーザプロファイルと関連付けられた公開鍵及び1又は複数の対応するアドレスをブロックチェーンに格納し、公開鍵に基づいてユーザプロファイルに対する証明書を作成し、証明書を1又は複数のアドレスに転送することのうちの1つ又は複数を実行するように構成されたプロセッサと、ユーザプロファイルと関連付けられたユーザデバイスからサイトへのアクセス要求を受け取るように構成された受信機とを含み、プロセッサは、1又は複数のアドレスに基づいてブロックチェーンから証明書を取り出すようにさらに構成される、装置を含むことができる。

0009

さらに別の例示的実施形態は、実行されるとき、プロセッサに、ユーザプロファイルと関連付けられた公開鍵及び対応するアドレスをブロックチェーンに格納すること、公開鍵に基づいてユーザプロファイルに対する証明書を作成すること、証明書を1又は複数のアドレスに転送すること、ユーザプロファイルと関連付けられたユーザデバイスからサイトへのアクセス要求を受け取ること、及び1又は複数のアドレスに基づいてブロックチェーンから証明書を取り出すこと、のうちの1つ又は複数を行わせる命令を格納するように構成された非一時的コンピュータ可読ストレージ媒体を含むことができる。このプロセスは、セキュリティを向上させるためにランダム化することができ、及び要素を要求するポリシーは、システム管理者により定義することができる。

0010

ここで、添付図面を参照して、本発明の実施形態を単なる例として説明する。

図面の簡単な説明

0011

例示的実施形態による、ブロックチェーンを用いる鍵生成手順を示す。
例示的実施形態による、ブロックチェーンシステム構成を用いる公開アドレス認証スキームを示す。
例示的実施形態による、ブロックチェーンアーキテクチャ構成を示す。
例示的実施形態による、ユーザデバイス、セキュリティエンティティ、及びブロックチェーンの間の相互作用システムメッセージング図を示す。
例示的実施形態による、ブロックチェーンにおける認証を管理する例示的方法フロー図を示す。
例示的実施形態による、ブロックチェーンにおける認証を管理する例示的方法の別のフロー図を示す。
例示的実施形態の1つ又は複数をサポートするように構成された例示的ネットワークエンティティを示す。

実施例

0012

本明細書で一般的に説明され、図示されるように、本出願のコンポーネントは、多様な異なる構成で配置及び設計することができることが、容易に理解されるであろう。従って、添付図面に示されるように、方法、装置、非一時的コンピュータ可読媒体、及びシステムのうちの少なくとも1つの実施形態の以下の詳細な説明は、特許請求されているような本出願の範囲を限定することを意図せず、選択された実施形態を表しているに過ぎない。

0013

本明細書全体を通して記載される本出願の特徴、構造、又は特性は、1つ又は複数の実施形態において任意の適切な方法で組み合わせることができる。例えば、本明細書全体を通じて、「例示的実施形態」、「幾つかの実施形態」という語句、又は他の同様の言葉の使用は、その実施形態に関連して記載されている特定の特徴、構造、又は特性が、少なくとも1つの実施形態に含まれ得ることを指す。従って、本明細書全体を通じて、「例示的実施形態」、「幾つかの実施形態において」、「他の実施形態において」という語句、又は他の同様の言葉の出現は、必ずしも全てが実施形態の同じグループを指すとは限らず、記載されている特徴、構造、又は特性を、1つ又は複数の実施形態において任意の適切な方法で組み合わせることができる。

0014

さらに、実施形態の説明において「メッセージ」という用語が使用されることがあるが、本出願は、パケットフレームデータグラムなどの多くのタイプのネットワーク・データに応用できる。「メッセージ」という用語は、パケット、フレーム、データグラム、及びこれらのあらゆる同等物も含む。また、例示的実施形態において特定のタイプのメッセージ及びシグナリング(signaling)が示されることがあるが、それらは、特定のタイプのメッセージに限定されず、また、本出願は特定のタイプのシグナリングに限定されない。

0015

本出願は、一実施形態では、認可アクセスの管理に関し、別の実施形態では、ハード/ソフトトークン検証を介して実行されるブロックチェーン認証のためのソフトウェア及びハードウェアトークン検証を含む分散型多要素認証(multi-factor authentication)プロセスに基づいて、認可されたパーティによるデータへのアクセスを管理することに関する。

0016

例示的実施形態は、分散型多要素認証をサポートしてパスワードを検証し、CACシステム、ハードウェアトークン、及び/又はソフトトークンの発行を介したバイオメトリクス(biometrics)の使用、をサポートするために、ブロックチェーンを使用することを提供する。ブロックチェーン技術を用いて多要素認証を行うことにより検証プロトコルに対するサポートを提供し、それにより分散型の検証認可(verification authority)が可能になる。この手法は、高可用性、高い耐障害性、高い冗長性等をサポートするので、インフラストラクチャはサイバー攻撃に耐えることができる。

0017

ソフトウェアトークンの発行は、ブロックチェーン技術を介してプライベート情報所有権を証明する方法を与える。この手法は、異なる組織/ブロックチェーンにわたり検証トークンを発行することを可能にし、分散型構成で動作する戦術的クラウドアクセス制御配備をサポートする。他の特徴として、ブロックチェーン内の公開鍵を用いたプライベートデータの所有権証明書(proof-of-ownership)を介する、パスワード、EPID、ハードウェアトークンコード、バイオメトリクスからのブロックチェーンアドレス及び鍵の導出、及び/又は他のタイプの認証が挙げられる。

0018

例示的実施形態によると、ソフトウェアトークン検証は、ブロックチェーンを分散インフラストラクチャとして用いてハードウェアトークンと組み合わせて使用される。この手法は、ブロックチェーンを介するトークンの発行/アクセス制御を可能にしながら、バックエンドDoDPKI(例えば、プライベートPKIシステム)にアクセスする必要なしに異なる組織間のユーザの認証を可能にする。これは、CACカードの基本論理拡張して、ブロックチェーンアドレス/公開鍵を提供し、次に、ブロックチェーンアドレス/公開鍵をブロックチェーンにプッシュし、これを用いてカードのユーザを確認しかつ署名を検証することにより実行される。同様に、各ユーザは、専用アドレスセットを有し、ここではハードウェアトークンが生成されるのと同じレートでソフトウェアトークンが生成される。ソフトウェアトークンがアドレスに送られ、トークンの所有権を証明する。各トークンは、ユーザを認証するためにサービスが必要とするアクセス制御規則の形態である。ブロックチェーン内のデータを用いてハードウェアトークンコードを検証することにより、集中型バックエンドサーバが認証プロセスを管理する必要はない。ブロックチェーン手法により与えられる検証は、集中型権限者(central authority)なしのバイオメトリクス情報の検証、集中型権限者なしのCACカードの検証、ハードウェアトークンの検証、及び/又はパブリックネットワークにおけるプライベートネットワークアクセス制御リスト(ACL)の発行に対するサポートを提供する。1つの手法は、合計「M」個の認証要素から任意のランダムな「N」個の認証要素を使用するものである。例えば、パスワード、PIN、ピクチャパスワード、指紋、及びCACという、この例では合計5個の認証要素を含むシステムを検討する。この構成は、要素と関連付けられた公開鍵をブロックチェーン検証サービスに登録することにより、5個の要素全ての登録を可能にする。ユーザの認証が必要になると、認証サービスは、m個のうちn個(n-of-m)の認証要素(n−要素)への回答を要求することによってユーザを確認する。例えば、上記の5個の要素がある場合、システムは、5個のうち3個の要素を要求して認証する。これにより、ユーザは、要素が失われた又は危険にさらされた場合、要求に応じて認証要素を付加/除去できる。

0019

図1は、例示的実施形態による、ブロックチェーンを利用する鍵生成手順を示す。図1を参照すると、構成100は、CAC112、バイオメトリクス114、及び/又はハードウェア(HW)トークン116を含む、認証のための1つより多い選択肢を含む。鍵生成は、このソースの何れからでもよい。鍵は、秘密鍵SK1、公開鍵PK1、及び情報が格納されるブロックチェーンアドレスA1を含むことができる。このn要素認証スキーム100において、使用されるプライベートデータ項目の各々について、公開プライベート鍵の対が生成される(SK、PK)。例えば、EPID、ハードウェアトークンコード、又は何らかのバイオ情報データは、暗号化プロセスの一部とすることができる。一例によると、「n」個の操作の任意の組み合わせを用いることができる。例えば、多要素認証プロバイダをイネーブルにするために、パスワードを所有し、「シード」として使用して、公開/プライベート鍵の対を生成する必要がある。次に、公開鍵が発行され、認証に使用される。また、ブロックチェーンアドレスを公開鍵から導出し、それにより、誰もがACL/ソフトウェアトークンを送ることを可能にし、これを用いて、確立されたアドレスを介して、そのデバイスを集中型権限者(例えば、企業PKI 120)に登録することができ、次に、集中型権限者がACL又はアクセストークンを生成し、ブロックチェーン140内の特定のアドレス130に送る。アクセス制御は、静的又は動的とすることができ、スマートコントラクトチェーンコードを用いて実施される。例えば、ACLの代わりに、スマートコントラクトハッシュを、ブロックチェーンファブリックにおいてスマートコントラクトを実行するのに必要とされる必要パラメータと共に送ってもよい。

0020

図2は、例示的実施形態によるブロックチェーンシステム構成を用いる公開アドレス認証スキームを示す。図2を参照すると、構成150は、ブロックチェーン内の公開アドレスを使用してユーザデバイスの認証を行う。任意の所与の時間に、ユーザ「A」152が認証してネットワークシステムにアクセスしたい場合、ユーザが自らの公開鍵/アドレスを登録し、それがブロックチェーン140内で発行されると、ACLも生成され、ブロックチェーンのユーザAのアドレスに送られる。ハードウェアトークンの場合、ACLは要求される時間ウィンドウに従って発行され、トークンコードはユーザAの次のアドレスを導出するために用いられ、従来のインフラストラクチャは、ハードウェアトークンがホームサーバと同期したままにさせるので、トークンコードをシステムに登録する必要はない。

0021

認証操作により、ユーザA152がモバイルデバイス又は他のコンピューティングデバイスから要求172をサブミットしてサイト170へのアクセスを試みることができる。この要求は、A1、A2、Aiなど、デバイスと関連付けられた種々のアドレスを含むことができ、ここで「i」は、ハードウェアトークンの最新の反復である。次に、ウェブサイト170が、ブロックチェーン140からこのデータを要求する。ウェブサイトは、ナンスを用いてユーザデバイスに確認を送り(174)、n個のランダムな認証手段のうちの1つを選択する。例えば、ユーザデバイスのCACカードに属するPK1が選択された場合、デバイスは、暗号文受け取り、プライベート鍵(SK1)を用いて復号する。このプロセスでは、ユーザA152はPIN又は他の秘密の語若しくは語句を入力する必要があり、これによりSKがそのEPIDから導出されるか、又は既にユーザデバイスのCACカード内に格納されている。次に、カードは、SKを用いて暗号文を復号し(176)、ナンス2を回収する。サイト170は、ナンス1==ナンス2であるかを検証する(182)。次に、上記の確認の結果、問題がなかった場合、次の操作でユーザAが所有するACLを検証する。ACLが有効であれば(例えば、ユーザAが適正な権限を有する)(184)、アクセス権を与え(186)、有効でなければ、ユーザAの認可は拒絶される。同様の手法が、バイオメトリクスデータ及びハードウェアトークンに対して用いられる。一つ異なるのは、バイオメトリクスデータは、バイオメトリクスを提供するよう、ユーザAに求め、そこから鍵の対がその場で(on the fly)生成される。次いで、バイオメトリクス論理は、鍵の対を用いてデータを署名/暗号化/復号する。バイオメトリクスの場合、2つの実施形態が有り得る。1つは、ランダムな公開/プライベート鍵の対の使用であり、鍵の対は、バイオメトリクスを用いてロック解除して、信頼できるデバイスで認証する(例えば、モバイルデバイスでの登録(enrollment)/認証)。第2の実施形態は、バイオメトリクス信号の抽出(例えば、テンプレート抽出)並びにシードを生成するための量子化の利用であり、シードは、ランダムソルトと組み合わせると、公開/プライベート鍵の対を導出するのに用いることができる。このスキームは、メッセージに署名し、否認防止(non-repudiation)を与えることができるので、認証より優れている。

0022

図3は、例示的実施形態によるブロックチェーンシステム構成を示す。ブロックチェーンシステム200は、ブロックチェーントランザクション追加及び検証プロセスコンセンサス)に参加する及び/又はブロックチェーンへのアクセスを有する、割り当てられたブロックチェーンピアノード282〜285のグループ280など、特定の共通ブロックチェーン要素を含むことができる。ブロックチェーンピアノード280の何れかは、新しいトランザクションを開始し、ブロックチェーンの不変台帳272に書き込みを試みることがあり、台帳のコピーは、基盤物理インフラストラクチャ271上に格納される。この構成において、カスタマイズされたブロックチェーン構成は、1又は複数のアプリケーション277を含み、このアプリケーション277は、格納されたプログラムアプリケーションコード(例えば、チェーンコード及び/又はスマートコントラクト)275にアクセスして実行するためにAPI276にリンクされている。アプリケーションコードは、参加者が求めるカスタマイズされた構成に従って作成され、自らの状態を保持し、所有アセットを制御し、外部情報を受け取ることができる。このコードは、トランザクションとしてディプロイされ、分散型台帳への追加(append)により、全てのブロックチェーンピアノード上にインストールされ得る。

0023

ブロックチェーンベース270は、種々の層のブロックチェーンデータと、サービス(例えば、暗号化信頼サービス仮想実行環境)と、新しいトランザクションを受け取って格納し、データエントリにアクセスを試みる監査員(auditor)にアクセスを提供するのに必要な基盤の物理コンピュータインフラストラクチャと、を含む。ブロックチェーン層272は、プログラムコードを処理し、物理プラットフォーム271に関与するのに必要な仮想実行環境へのアクセスを提供するインターフェース提示する。暗号化信頼サービス273は、トランザクションを検証し、情報をプライベートに保つために用いられる。例示的実施形態によると、ブロックチェーン台帳は、種々のユーザデバイスに関する、トークン278など、アドレス情報及び他のデータを格納することができる。このトークン及び他の認証データは、これらのデバイスがサードパーティのセキュアサイトにアクセスを試みる際に、そのデバイスを認証するために用いることができる。図3のブロックチェーン構成は、提示されたインターフェースによってプログラム/アプリケーションコードを処理し、実行することができる(275)。そして、ブロックチェーンプラットフォーム270により、サービスが提供される。コードは、ブロックチェーンアセットを制御できる。例えば、コードは、データを格納及び転送することができ、スマートコントラクトの形態でブロックチェーンにより実行され得る。これは、条件付きチェーンコード又はその実行対象の他のコード要素を含む。

0024

図4は、ソフトウェア、ハードウェア、又はそれら両方の組み合わせを含み得る多数のコンポーネント又はモジュール間の相互作用のシステムメッセージング図300を示す。例示的実施形態によると、コンポーネントは、ユーザデバイスなどの第1のコンポーネント、PKIなどの第2のコンポーネント、及びブロックチェーンなどの第3のコンポーネントを含むことができる。図4を参照すると、ユーザデバイス310は、ブロックチェーン330内に格納された種々のユーザプロファイル情報へのアクセスを試みることがある。アクセスを得るために、プロセスは、鍵及び鍵を格納するための一意のアドレスを作成すること(312)を含むことができる。公開鍵313は、PKI320を介して作られた鍵に基づいて格納され、ブロックチェーン330内に格納されてもよい(314)。ユーザデバイスを登録し(316)、その後アクセスを試みると(318)、格納された証明書をブロックチェーンから取り出し(322)、暗号化メッセージとして転送する(324)ことができる。復号メッセージ応答326は、適切な証明書を示しており、これが検証されると(328)、アクセスが与えられる(332)。

0025

一実施形態において、第1のコンポーネント、第2のコンポーネント及び第3のコンポーネントは、サーバ、コンピュータ、若しくは他の計算デバイスなどの別個のデバイスとすることができ、又は単一のデバイスとすることができる。他の実施形態において、第1のコンポーネント及び第2のコンポーネントは、単一のデバイスとしてまとめられ、又は単一のデバイスとして動作することができ、第1のコンポーネント及び第3のコンポーネントは、単一のデバイスとしてまとめられ、又は単一のデバイスとして動作することができ、第2のコンポーネント及び第3のコンポーネントは、単一のデバイスとしてまとめられ、又は単一のデバイスとして動作することができる。コンポーネント、つまりデバイス310、320及び330は、有線又は無線方式で、直接接続又は互いに通信可能に結合し、ローカル及び/又は遠隔常駐することができる。

0026

図5は、例示的実施形態による、ブロックチェーンにおける認証を管理する例示的方法の流れ図400を示す。図5を参照すると、方法は、ユーザプロファイルと関連付けられた公開鍵及び1又は複数の対応するアドレスをブロックチェーンに格納すること(412)と、公開鍵に基づいてユーザプロファイルに対する証明書を作成すること(414)と、証明書を1又は複数のアドレスに転送すること(416)と、ユーザプロファイルと関連付けられたユーザデバイスから、サイトへのアクセス要求を受け取ること(418)と、1又は複数のアドレスに基づいてブロックチェーンから証明書を取り出すこと(420)とを含むことができる。

0027

証明書は、アクセス制御リスト(ACL)である。証明書は、限定された時間ウィンドウ内に作成される。1又は複数のアドレスは、複数のアクセス試行の反復の間の複数の証明書に対応する複数のアドレス位置を含む。要求は、複数のアドレス位置を含む。また、方法、要求を受け取ることに応答して、暗号化メッセージをユーザデバイスに伝送することと、暗号化メッセージに基づいて復号メッセージを受け取ることとを含むこともできる。また、方法は、復号メッセージの復号メッセージコンテンツを、暗号化の暗号化メッセージコンテンツと比較することと、復号メッセージコンテンツが暗号化メッセージコンテンツと合致する場合、証明書が有効であることを検証し、証明書が有効であれば、ユーザデバイスへアクセス権を与えることとを含むこともできる。

0028

図6は、例示的実施形態による、ブロックチェーンにおける認証を管理する例示的方法の別のフロー図450を示す。図6を参照すると、方法は、ユーザプロファイルと関連付けられた公開鍵及び1又は複数の対応するアドレスをブロックチェーンに格納すること(452)と、ユーザプロファイルと関連したバイオメトリックデータサンプルを受け取ること(454)と、バイオメトリックデータサンプルから1つ又は複数のバイオメトリック要素を抽出すること(456)と、公開鍵及び1つ又は複数のバイオメトリック要素に基づいてユーザプロファイルに対する証明書を作成すること(458)と、証明書をブロックチェーンに格納すること(462)と、ユーザプロファイルと関連付けられたユーザデバイスから、サイトへのアクセス要求を受け取ること(464)と、ブロックチェーンから証明書を取り出すこと(466)と、サイトへのアクセス要求を認可すること(468)とを含むことができる。

0029

登録プロセスは、公開鍵及びプライベート鍵を含む公開/プライベート鍵の対の生成から始まる。実際のところ、非対称暗号化システムが作成され、公開鍵は、コントリビュータ(contributor)以外の人に対して一般的に既知及び/又は利用可能であるように意図され、一方、プライベート鍵は、プライベートのままにされ、コントリビュータのみが知っているように意図される。プライベート鍵は、登録プロセスで用いて識別子を作成した後、セキュアストレージ・デバイスに格納するか、破棄するか、又は他の方法で秘密にしておく必要がある。公開/プライベート鍵の対を用いて、トランザクション要求修正及び暗号化する。トランザクション要求は、トランザクションメッセージ、又はトランザクション台帳内の他の暗号化エントリとすることができる。次に、バイオメトリックサンプルを、PIN又はパスワード、又は他の何らかのタイプのセキュアデータと共に受け取る。バイオメトリック抽出を用いて、バイオメトリックサンプルからバイオメトリック特徴を導出することができる。バイオメトリック要素、プライベート鍵、及び随意的に他のデータを用いて入力を組み合わせ、組み込み関数を出力し、次に組み込み関数は、暗号の一方向性関数を通じて変換され、外部パーティにより容易に再作成できない組み合わせ識別子を出力する。

0030

上記の実施形態は、ハードウェア、プロセッサにより実行されるコンピュータプログラムファームウェア、又は上記の組み合わせで実装することができる。コンピュータプログラムは、ストレージ媒体などのコンピュータ可読媒体上に具体化され得る。例えば、コンピュータプログラムは、ランダムアクセスメモリ(「RAM」)、フラッシュメモリ読み取り専用メモリ(「ROM」)、消去可プログラム可能読み取り専用メモリ(「EPROM」)、電気的消去可能プログラム可能読み取り専用メモリ(「EEPROM」)、レジスタハードディスク、取り外し可能ディスクコンパクト・ディス読み取り専用メモリ(「CD−ROM」)、又は当技術分野において周知の他の任意の形態のストレージ媒体に常駐し得る。

0031

例示的ストレージ媒体は、プロセッサに結合して、プロセッサがストレージ媒体から情報を読み取り、情報をストレージに書き込むようにすることができる。代替的に、プロセッサ及びストレージ媒体は、プロセッサと一体であってもよい。プロセッサ及びストレージ媒体は、特定用途向け集積回路(「ASIC」)内に常駐できる。代替的に、プロセッサ及びストレージ媒体は、個別コンポーネントとして常駐できる。例えば、図7は、例示的ネットワーク要素500を示し、これは上述のコンポーネント等のいずれかを表すこと、又はそこに統合することができる。

0032

図7に示されるように、メモリ510及びプロセッサ520は、本明細書で説明されるアプリケーション又は操作のセットを実行するために用いられるネットワークエンティティ500の個別コンポーネントとすることができる。アプリケーションは、プロセッサ520が理解するコンピュータ言語でソフトウェアにコード化し、メモリ510などのコンピュータ可読媒体に格納することができる。コンピュータ可読媒体は、ソフトウェアを格納できる、メモリなどの有形のハードウェア・コンポーネントを含む非一時的コンピュータ可読媒体とすることができる。さらに、ソフトウェアモジュール530は、ネットワークエンティティ500の一部であり、本明細書で説明される機能の1つ又は複数を実施するために、プロセッサ520により実行され得るソフトウェア命令を含む、別の個別エンティティとすることができる。ネットワークエンティティ500の上述のコンポーネントに加えて、ネットワークエンティティ500は、通信信号(図示せず)を受送信するように構成された送信機及び受信機の対を含むこともできる。

0033

システム、方法、及び非一時的コンピュータ可読媒体の少なくとも1つの例示的実施形態が添付図面に示され、前述の詳細な説明で説明されたが、本出願は開示された実施形態に限定されず、以下の特許請求の範囲によって示され、定義されるように、非常に多くの再配置、修正、及び置換を行い得ることが理解されるであろう。例えば、様々な図のシステムの能力は、本明細書で説明される、又は分散アーキテクチャ内の、モジュール又はコンポーネントの1つ又は複数によって実施することができ、送信機、受信機、又はその両方の対を含むことができる。例えば、個別のモジュールによって実施される機能の全て又は一部は、これらのモジュールの1つ又は複数により実施され得る。さらに、本明細書で説明される機能は、様々な時間に、及びモジュール又はコンポーネントの内部又は外部の種々のイベントに関連して実施され得る。また、種々のモジュール間で送られる情報は、データネットワークインターネット音声ネットワーク、インターネット・プロトコル・ネットワーク、無線デバイス有線デバイスのうちの少なくとも1つを介して、及び/又は複数のプロトコルを介して、モジュール間で送ることができる。また、モジュールのいずれかにより受送信されるメッセージは、直接的に及び/又は他のモジュールのうちの1つ又は複数を介して、受送信され得る。

0034

業者であれば、「システム」は、パーソナルコンピュータ、サーバ、コンソール携帯情報端末(PDA)、携帯電話、タブレットコンピューティングデバイス、スマートフォン、又は他の任意の適切なコンピューティングデバイス、又はデバイスの組み合わせとして具体化され得ることを理解するであろう。「システム」によって実施されるような上述の機能を提示することは、何らかの方式で本出願の範囲を限定することを意図するものではなく、多くの実施形態の1つの例を提供することを意図するものである。実際は、本明細書で開示される方法、システム、及び装置は、コンピューティング技術と一致する局所化され、分散された形で実装され得る。

0035

本明細書で説明されるシステムの特徴の幾つかは、これらの実施の独立性を特に強調するためにモジュールとして提示されていることに留意されたい。例えば、モジュールは、カスタムの超大規模集積VLSI回路又はゲートアレイを含むハードウェア回路ロジックチップトランジスタなどの市販の半導体、又は他の個別コンポーネントとして実装することができる。モジュールは、フィールドプログラマブルゲートアレイプログラム可能アレイ論理、プログラム可能論理デバイスグラフィックス処理ユニット等などのプログラム可能ハードウェアデバイスに実装することができる。

0036

モジュールは、種々のタイプのプロセッサによって実行するために、ソフトウェアに少なくとも部分的に実装され得る。実行可能コードの識別単位は、例えば、オブジェクト、手順、又は関数として組織化され得る、例えば、コンピュータ命令の1つ又は複数の物理ブロック若しくは論理ブロックを含むことができる。それにもかかわらず、識別されたモジュールの実行ファイルは、物理的に一緒に配置する必要はなく、論理的に一緒に結合されるとき、モジュールを含み、モジュールに対する表明された目的を達成する異なる場所に格納された完全に異なる命令を含むことができる。さらに、モジュールは、コンピュータ可読媒体に格納することができ、このコンピュータ可読媒体は、例えば、ハードディスクドライブフラッシュデバイス、ランダムアクセスメモリ(RAM)、テープ、又はデータを格納するために用いられる他のこうした媒体とすることができる。

0037

実際は、実行可能コードのモジュールは、単一の命令、又は多くの命令とすることができ、幾つかの異なるコードセグメントにわたって、異なるプログラムの間に、及び幾つかのメモリ・デバイスにわたって分散させることさえ可能である。同様に、動作データは、モジュール内に本明細書で識別され、示されることがあり、任意の適切な形で具体化され、任意の適切なタイプのデータ構造内で組織化することが可能である。動作データは、単一のデータ・セットとして収集すること、又は異なるストレージ・デバイスを含む異なる場所にわたって分散することが可能であり、単にシステム又はネットワーク上の電子信号として、少なくとも部分的に存在し得る。

0038

本出願のコンポーネントは、本明細書の図に全体的に説明され、示されるように、様々な異なる構成で配置し、設計できることが容易に理解されるであろう。従って、実施形態の詳細な説明は、特許請求されるような本出願の範囲を限定することを意図するものではなく、本出願の選択された実施形態を表すにすぎない。

0039

当業者であれば、上記は、異なる順序のステップで、及び/又は開示されたものとは異なる構成のハードウェア要素で、実施され得ることを容易に理解するであろう。従って、本出願は、これらの好ましい実施形態に基づいて説明されたが、特定の修正、変形、及び代替的な構造が明白であることが当業者には明らかであろう。

0040

本出願の好ましい実施形態が説明されたが、説明された実施形態は例示的なものにすぎず、本出願の範囲は、全ての範囲の均等物及びその修正(例えば、プロトコル、ハードウェアデバイス、ソフトウェアプラットフォーム等)を考慮するとき、添付の特許請求の範囲によってのみ定義されるべきであることを理解されたい。

0041

100、150:構成
112:共通アクセス・カード(CAC)
114:バイオメトリックス
116:ハードウェア(HW)トークン
140、330:ブロックチェーン
152:ユーザA
170:サイト
172:要求
174:ナンス
175、275:プログラム/アプリケーションコード
200:ブロックチェーンシステム
270:ブロックチェーンベース
271:物理プラットフォーム
272:ブロックチェーン層
274:暗号信頼サービス
277:アプリケーション
278:トークン
280:ブロックチェーンピアノードのグループ
282〜285:ブロックチェーンピアノード
300:システムメッセージング図
310:ユーザデバイス
450:流れ図

ページトップへ

この技術を出願した法人

この技術を発明した人物

ページトップへ

関連する挑戦したい社会課題

関連する公募課題

ページトップへ

技術視点だけで見ていませんか?

この技術の活用可能性がある分野

分野別動向を把握したい方- 事業化視点で見る -

(分野番号表示ON)※整理標準化データをもとに当社作成

ページトップへ

おススメ サービス

おススメ astavisionコンテンツ

新着 最近 公開された関連が強い技術

この 技術と関連性が強い技術

関連性が強い 技術一覧

この 技術と関連性が強い人物

関連性が強い人物一覧

この 技術と関連する社会課題

関連する挑戦したい社会課題一覧

この 技術と関連する公募課題

関連する公募課題一覧

astavision 新着記事

サイト情報について

本サービスは、国が公開している情報(公開特許公報、特許整理標準化データ等)を元に構成されています。出典元のデータには一部間違いやノイズがあり、情報の正確さについては保証致しかねます。また一時的に、各データの収録範囲や更新周期によって、一部の情報が正しく表示されないことがございます。当サイトの情報を元にした諸問題、不利益等について当方は何ら責任を負いかねることを予めご承知おきのほど宜しくお願い申し上げます。

主たる情報の出典

特許情報…特許整理標準化データ(XML編)、公開特許公報、特許公報、審決公報、Patent Map Guidance System データ