JP2005269656A - コンピューティングシステムの効率的かつセキュアな認証 - Google Patents

コンピューティングシステムの効率的かつセキュアな認証 Download PDF

Info

Publication number
JP2005269656A
JP2005269656A JP2005080088A JP2005080088A JP2005269656A JP 2005269656 A JP2005269656 A JP 2005269656A JP 2005080088 A JP2005080088 A JP 2005080088A JP 2005080088 A JP2005080088 A JP 2005080088A JP 2005269656 A JP2005269656 A JP 2005269656A
Authority
JP
Japan
Prior art keywords
authentication
computing system
client
certificate
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2005080088A
Other languages
English (en)
Other versions
JP4746333B2 (ja
Inventor
Bernard D Adoba
デー.アボバ ベルナルド
Daniel R Simon
アール.サイモン ダニエル
Timothy M Moore
エム.ムーア ティモシー
Trevor William Freeman
ウィリアム フリーマン トレボール
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Corp
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of JP2005269656A publication Critical patent/JP2005269656A/ja
Application granted granted Critical
Publication of JP4746333B2 publication Critical patent/JP4746333B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0846Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Information Transfer Between Computers (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Computer And Data Communications (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】 コンピューティングシステムをより効率的かつセキュアに認証するシステムを提供すること。
【解決手段】 クライアントは限定使用(例えば単一使用)証明書を受信し、セキュアリンクを介してサーバに限定使用証明書を発信する。サーバは、(後続の認証のために)追加の証明書をプロビジョニング(提供)し、セキュアリンクを介してクライアントに追加の証明書を送信する。他の実施形態では、コンピューティングシステムは、拡張可能プロトコルを使用して、自動的に認証方法をネゴシエートする。相互に配置される認証方法が選択され、セキュア認証が、クライアントとサーバの間で転送される認証コンテンツを暗号化する(かつそのその後で暗号化解除する)のに使用されるトンネルキーで実施される。トンネルキーは、共有秘密鍵(例えばセッション鍵)およびナンスから導出される。
【選択図】 図1

Description

本発明は、拡張可能な認証および証明書のプロビジョニングに関する。より詳細には、本発明は、認証メカニズムの自動ネゴシエーションと、追加の証明書をプロビジョニングするのに使用することができる限定使用証明書とに関する。
コンピュータシステムおよび関連技術は社会の多くの面に影響を及ぼす。実際、情報を処理するコンピュータシステムの能力により、我々の生活様式および労働様式が一変した。現在、コンピュータシステムは一般に、コンピュータシステムの出現以前には手動で実施されていた作業(例えばワードプロセッシング、スケジューリング、およびデータベース管理)のホストを実施する。さらに最近では、コンピュータシステムが互いに結合されてコンピュータネットワークが形成されており、そのコンピュータネットワークを介して、コンピュータシステムは電子的に通信してデータを共有することができる。その結果、コンピュータシステムで実施される作業の多く(例えば電子メールへのアクセスやウェブブラウジング)は、コンピュータネットワーク(例えばインターネット)を介した1つまたは複数の他のコンピュータシステムとの電子通信を含む。
あるコンピュータシステムが別のコンピュータシステムと電子的に通信するためには、コンピュータシステムならびに対応するコンピュータシステムユーザが、他のコンピュータシステム(または他のコンピュータシステムへのアクセスを許可するコンピュータシステム)との間で認証を受ける(すなわち、その識別を他のコンピュータシステムに対して証明する)必要のある可能性がある。環境に応じて、例えばケルベロス、セキュアソケットレイヤ(「SSL」)、NT LANマネージャ(「NTLM」)、および/またはダイジェスト認証などの多種多様なコンピュータ化認証メカニズムのいずれかを使用することができる。
一部の認証メカニズムは対話式ログオンを含む。例えば、コンピュータシステムがインターネット上で電子的に通信することができるようになる前に、コンピュータシステムのユーザはしばしば、インターネットへのアクセスを許可することができるインターネットサービスプロバイダ(以後「ISP」と呼ぶ)にログインすることを求められる。ISPへのログインは通常、コンピュータシステムからISPへのユーザ証明書(例えばユーザ名およびパスワード)の提出を含む。証明書を受信した際に、ISPは、証明書を証明書データベースと比較し、証明書が適切である場合、コンピュータシステムはインターネットと通信することを許可される。
遺憾ながら、無許可ユーザが許可ユーザの証明書を得て、証明書を使用し、許可ユーザを装うことについて何らかの危険が常に存在する。許可ユーザの証明書は本質的に、特定のシステム上の許可ユーザ資源(例えば、ファイル、電子メッセージ、パーソナルデータ、金銭データなど)のすべてに対するフルアクセスを可能にするので、証明書が何らかの形で損なわれることにより、許可ユーザの資源をコピーおよび破壊する能力が無許可ユーザに与えられる可能性がある。具体的には、パスワードは、例えば辞書中の各語をパスワードとして順次発信するプログラムによるゲシングアタック(guessing attack,注.一般には「辞書アタック」と呼ばれる)に対して脆弱である。
他の認証メカニズムは対話式ログオンを含まず、したがって取得することのできるユーザ証明書が存在しない。例えば、ウェブサーバは、SSLを使用してその識別をウェブクライアントに対して証明することができる。ウェブクライアントがウェブサーバのセキュアなウェブページ(例えば「https:」で始まるページ)と連絡するとき、ウェブサーバは応答し、ウェブサーバを認証するデジタル証明書を自動的に送信する。ウェブクライアントは、固有セッション鍵を生成して、ウェブサーバとのすべての通信を暗号化する。ウェブクライアントは、ウェブサーバだけがセッション鍵を読み取ることができるように、(例えば証明書中で参照される)ウェブサーバの公開鍵でセッションを暗号化する。したがって、ユーザアクションを何ら必要とせずにセキュアセッションが確立される。
対話式認証メカニズムおよび非対話式認証メカニズムの例を述べたが、対話式認証および非対話式認証の実装は、ネットワークおよびコンピュータシステムによって変化する可能性があることを理解されたい。例えば、あるネットワークはケルベロス認証を使用するように構成されることがあるが、別のネットワークは、何らかの他の対話式認証メカニズムを使用するように構成される。さらに、特定の認証メカニズムは、認証メカニズムを異なる方式で動作させる様々な構成オプションを有することができる。例えば、SSLのある実装は、セキュアセッションを確立するとき、異なる暗号化アルゴリズムを選択することを可能にする。
遺憾ながら、コンピュータシステムまたはネットワークが配置している認証メカニズムおよび/または構成オプションを判定することが難しいことがあり、さらには不可能であることがある。したがって、あるコンピューティングシステムは、別のコンピュータシステムで配置されない認証メカニズムおよび/または構成オプションを使用してその別のコンピュータシステムとの間で認証を受けることを試みる可能性がある。その結果、認証が失敗し、コンピューティングシステムの通信が妨げられる可能性がある。
分散システムでは、未配置の認証メカニズムを使用して認証を試みる可能性が特に高い。分散システムの様々な部分が異なるエンティティの制御下にある場合、分散システムはしばしば、いくつかの相互接続されたコンピュータシステムおよびネットワークを含む。こうした異なるエンティティはそれぞれ異なる認証メカニズムを配置する可能性があり、配置する認証メカニズムの表示を必ずしも公示または公表しない可能性がある。したがって、分散システムの第1構成要素が、分散システムの第2構成要素で配置される認証メカニズムを知らない(判定する手段を持たない可能性がある)ので、第1構成要素が第2構成要素との間で認証を受けることを妨げられる可能性がある。
他の認証問題が、ワイヤレス環境で生じる可能性がある。例えば、混合有線/ワイヤレスネットワークとの間で装置がワイヤレスに認証を受けるためには、装置はネットワークに対応する証明書を有することが必要となる可能性がある。しかし、ネットワークは、認証された装置だけが証明書にアクセスすることを許可するように構成される可能性がある。したがって、装置が当初は有線接続を介してネットワークに接続することが必要となる可能性がある。証明書にアクセスするために有線接続を必要とすることは、ユーザの負担となる可能性があり(例えば、ユーザはネットワークタップの位置を見つける必要がある可能性がある)、ある環境ではそれが困難である可能性があり(例えば、ネットワークタップが制限されたアクセス位置にある可能性がある)、さらには不可能である可能性がある(例えば、一部の装置は有線ネットワークアクセス向けに構成されていない)。したがって、許可ユーザであってもネットワークにワイヤレスにアクセスすることが妨げられる可能性がある。
したがって、自動ネゴシエーティング認証方法のためのメカニズムおよびよりセキュアな証明書のプロビジョニング(提供、provision)があれば有利なはずである。
従来の現況技術に伴う上述の問題は、本発明の原理によって克服される。本発明は、コンピューティングシステムをより効率的かつセキュアに認証することを対象とする。ある実施形態では、クライアントコンピューティングシステムが限定使用証明書を受信する。クライアントコンピューティングシステムとサーバコンピューティングシステムは、互いの間でセキュアリンクを確立する。クライアントコンピューティングシステムは、確立したセキュアリンクを介してサーバコンピューティングシステムに限定使用証明書を発信する。
サーバコンピューティングシステムは、確立したセキュアリンクを介してクライアントコンピューティングシステムから限定使用証明書を受信する。サーバコンピューティングシステムは、受信した限定ユーザ証明書に基づいてクライアントコンピューティングシステムに対して追加の証明書をプロビジョニングする。サーバコンピューティングシステムは、確立したセキュアリンクを介してクライアントコンピューティングシステムに追加の証明書を送信する。クライアントコンピューティングシステムは、サーバコンピューティングシステムから追加の証明書を受信する。任意選択で、クライアントコンピューティングシステムはその後で、受信した追加の証明書を使用してサーバコンピューティングシステムとの間で認証を受ける。
他の実施形態では、サーバが、サーバコンピューティングシステムで配置された認証メカニズムを少なくとも含む第1要求を送信する。クライアントは、第1要求を受信し、クライアントコンピューティングシステムで配置された認証メカニズムを少なくとも含む第1応答を送信する。クライアントおよびサーバは、クライアントコンピューティングシステムとサーバコンピューティングシステムとの間で転送されるコンテンツを暗号化するのに使用することができるトンネルキーを識別する。
サーバは、相互に配置された認証メカニズムを示す(トンネルキーで暗号化された)暗号化認証コンテンツを含む第2要求を送信する。クライアントは、第2要求を受信し、トンネルキーを用いて暗号化認証コンテンツを暗号化解除し、非暗号化認証コンテンツを明らかにする。非暗号化認証コンテンツは、相互に配置された認証メカニズムを示す。クライアントは、非暗号化認証コンテンツに対する応答である暗号化応答データを含む第2応答を送信する。暗号化応答データは、相互に配置された認証メカニズムに従ってサーバとの間で認証を受けるための情報を含む。サーバは、相互に配置された認証メカニズムに従ってサーバとの間で認証を受けるための情報を含む暗号化応答データを含む第2応答を受信する。
以下の説明で本発明の追加の特徴および利点を説明する。本発明の追加の特徴および利点の一部はその説明から明らかとなり、または本発明を実施することによって理解することができよう。本発明の特徴および利点は、添付の特許請求の範囲で具体的に指摘される各機器と、各機器の組合せによって実現し、得ることができる。本発明の上記およびその他の特徴は、以下の説明と添付の特許請求の範囲からより完全に明らかとなり、または下記で説明する本発明を実施することによって理解することができよう。
本発明の上記で列挙した利点および特徴ならびにその他の利点および特徴を得る方法を説明するために、添付の図面に示される本発明の特定の実施形態を参照しながら、上記で簡潔に説明した本発明のより具体的な説明を行う。これらの図面は本発明の典型的な実施形態だけを示しており、したがって本発明の範囲を限定するものとみなすべきでないことを理解した上で、添付の図面を使用することにより、本発明をさらに具体的かつ詳細に説明する。
本発明の原理は、コンピューティングシステムをより効率的かつセキュアに認証するシステム、方法、およびコンピュータプログラム製品に関する。本発明の範囲内の実施形態には、コンピュータ実行可能命令またはデータ構造を担持または格納するコンピュータ可読媒体が含まれる。このようなコンピュータ可読媒体は、汎用または特殊目的コンピューティングシステムでアクセス可能な、入手可能などんな媒体でもよい。例えば、限定はしないが、このようなコンピュータ可読媒体は、RAM、ROM、EPROM、CD−ROM、またはその他の光ディスクストレージ、磁気ディスクストレージまたはその他の磁気記憶装置などの物理記憶媒体、あるいはコンピュータ実行可能命令、コンピュータ可読命令、またはデータ構造の形態の所望のプログラムコード手段を担持または格納するのに使用することができ、汎用または特殊目的コンピューティングシステムでアクセスすることのできるその他のどんな媒体も含むことができる。
この説明および頭記の特許請求の範囲では、「ネットワーク」とは、コンピューティングシステムおよび/またはモジュール間で電子データの移送を可能にする1つまたは複数のデータリンクと定義される。情報がネットワークまたは別の通信接続(ハードワイヤード、ワイヤレス、またはハードワイヤードとワイヤレスの組合せ)を介してコンピューティングシステムに転送または供給されるとき、その接続をコンピュータ可読媒体とみなすのは適切である。したがって、そのようなどんな接続もコンピュータ可読媒体と呼ぶことは適切である。上記の組合せもまた、コンピュータ可読媒体の範囲内に含まれるべきである。コンピュータ実行可能命令は、例えば、ある機能または1群の機能を汎用コンピューティングシステムまたは特殊目的コンピューティングシステムに実行させる命令およびデータを含む。コンピュータ実行可能命令は、例えばバイナリ命令、アセンブリ言語などの中間フォーマット命令、さらにはソースコードでよい。
この説明および頭記の特許請求の範囲において、「コンピューティングシステム」とは、一緒に働いて電子データに対するオペレーションを実行する1つまたは複数のソフトウェアモジュール、1つまたは複数のハードウェアモジュール、またはそれらの組合せと定義される。例えば、コンピューティングシステムの定義は、パーソナルコンピュータのハードウェア構成要素、ならびにパーソナルコンピュータのオペレーティングシステムなどのソフトウェアモジュールを含む。モジュールの物理レイアウトは重要ではない。コンピューティングシステムは、ネットワークを介して結合された1つまたは複数のコンピュータを含むことができる。同様に、コンピューティングシステムは、内部モジュール(メモリやプロセッサなど)が一緒に働いて電子データに対するオペレーションを実行する単一の物理装置(携帯電話や携帯情報端末「PDA」など)を含むことができる。
本明細書では、「モジュール」または「構成要素」という語は、コンピューティングシステム上で実行されるソフトウェアオブジェクトまたはルーチンを指すことがある。本明細書で述べる様々な構成要素、モジュール、エンジン、およびサービスは、コンピューティングシステム上で実行されるオブジェクトまたはプロセスとして(例えば別々のスレッドとして)実装される可能性がある。本明細書で述べるシステムおよび方法は、ソフトウェアで実装されることが好ましいが、ソフトウェアおよびハードウェアまたはハードウェアとしての実装も可能であり、その実装も企図される。
パーソナルコンピュータ、ラップトップコンピュータ、ハンドヘルド装置、マルチプロセッサシステム、マイクロプロセッサベースの、またはプログラム可能な消費者向け電子機器、ネットワークPC、ミニコンピュータ、メインフレームコンピュータ、携帯電話、PDA、ページャなどを含む多くのタイプのコンピュータシステム構成を用いてネットワークコンピューティング環境で本発明を実施できることを当業者は理解されよう。本発明は、(ハードワイヤードデータリンク、ワイヤレスリンク、またはハードワイヤードデータリンクとワイヤレスデータリンクの組合せによって)ネットワークを介してリンクされるローカル/リモートコンピューティングシステムが共にタスクを実行する分散コンピューティング環境でも実施することができる。分散システム環境では、プログラムモジュールは、ローカルメモリ記憶装置とリモートメモリ記憶装置のどちらにも位置することができる。
図1に、本発明によるコンピューティングシステムのより効率的かつセキュアな認証を実施する例示的コンピュータアーキテクチャ100を示す。コンピュータアーキテクチャ100で示すように、クライアントコンピューティングシステム101は鍵ペア103を含む。鍵ペア103は、公開鍵104および対応する秘密鍵106、例えばDiffie−Hellman鍵ペアを含む。サーバコンピューティングシステム111は、証明書プロビジョニングモジュール112および鍵ペア113を含む。証明書プロビジョニングモジュール112は、例えば限定使用証明書などの第1タイプの証明書を受信し、第1タイプの証明書に基づいて、例えばより永続的な証明書などの第2タイプの証明書をプロビジョニングするように構成することができる。鍵ペア103と同様に、鍵ペア113は、公開鍵114および対応する秘密鍵116、例えばDiffie−Hellman鍵ペアを含む。
図2に、本発明による証明書をプロビジョニングする例示的方法200の流れ図を示す。コンピュータアーキテクチャ100のコンピューティングシステムおよびモジュールに関して方法200を説明する。方法200は、限定使用証明書を受信する動作(動作201)を含む。例えば、クライアントコンピューティングシステム101が限定使用証明書102を受信することができる。
限定使用証明書の使用を多くの方式で限定することができる。例えば、限定使用証明書を、指定の使用回数、指定の期間、または指定のイベントの発生まで有効にすることができる。限定使用証明書を、適用可能なセキュリティポリシーに基づいて、任意の有効使用回数(例えば3回使用)に限定することができる。1度だけの認証に有効な限定使用証明書は「単一使用証明書」と呼ばれることがある。指定の使用回数の後、限定使用証明書はもはや有効な証明書として受諾されない。
限定使用証明書を、適用可能なセキュリティポリシーに基づいて、指定の任意の時間枠(例えば5分)に限定することができる。指定の時間枠が満了した後、限定使用証明書はもはや有効な証明書として受諾されない。指定の任意のイベントが、適用可能セキュリティポリシーに基づいて限定使用証明書の使用を限定することができる。例えば、限定使用証明書を、より永続的な証明書がプロビジョニングされた後に拒絶することができる。
例えば電話通信やメールなどの通信方法を介して帯域外で限定使用証明書を受信することができる。あるいは、トラステッドコンピュータ化通信方法を使用して限定使用証明書を受信することもできる(例えば、電子メールメッセージ内の限定使用証明書を暗号化する)。
方法200は、クライアント側がセキュアリンクを確立する動作(動作202)と、サーバ側がセキュアリンクを確立する動作(動作205)とを含む。例えば、クライアントコンピューティングシステム101とサーバコンピューティングシステム111はセキュアリンク122を確立することができる。セキュアリンクの確立は、クライアントコンピューティングシステム101とサーバコンピューティングシステム111が公開鍵を交換してセッション鍵を確立することを含むことができる。例えば、公開鍵104および公開鍵114を交換してセッション鍵131を確立することができる。ある実施形態では、例えば、クライアントコンピューティングシステム101とサーバコンピューティングシステム111が静的Diffie−Hellman鍵で構成されるときなど、セッション鍵の確立が後続の認証に十分であることがある。
代わりに、他の鍵を導出して他の証拠を提供することもできる。例えば、サーバコンピュータシステムからのチャレンジに応答して、クライアントコンピューティングシステムは、Diffie−Hellmanセッション鍵およびパスワードから導出された暗号鍵を使用してパスワードを暗号化し、暗号鍵をサーバコンピュータシステムに送信することができる。したがって、サーバコンピューティングシステムが暗号化パスワードを受信したとき、サーバコンピューティングシステムは、パスワードを暗号化解除し、パスワードを証明書データベースと比較して、パスワードが有効であるかどうかを判定することができる。
同様に、クライアントコンピューティングシステムは、共有秘密鍵およびDiffie−Hellmanセッション鍵から導出された暗号鍵を使用してトラストアンカを暗号化し、暗号化トラストアンカをサーバコンピューティングシステムに送信することができる。したがって、サーバコンピューティングシステムが暗号化トラストアンカを受信したとき、サーバコンピューティングシステムは、トラストアンカを暗号化解除および妥当性検査することができる。トラストアンカは、例えば証明書(例えばX.509証明書)、セキュリティトークン(例えばWSセキュリティトークン)、ハッシュ(例えばSHA−1)、および証明書のユニフォームリソース識別子(「URI」)(例えばユニフォームリソースロケータ(「URL」)、あるいはセキュリティトークンのハッシュおよびURIなどの認証関係のデータを含むことができる。
同様に、クライアントコンピューティングシステムは、以前に確立したトラストアンカのダイジェストで署名され、またはそれを含む新しいトラストアンカを送信することができる。したがって、サーバコンピューティングシステムは、以前に確立したトラストアンカの署名およびハッシュに基づいて、新しいトラストアンカを妥当性検査することができる。
図2に戻ると、方法200は、確立したセキュアリンクを介して限定使用証明書を発信する動作(動作203)を含む。例えば、クライアントコンピューティングシステム101は、セキュアリンク122を介してサーバコンピュータシステム111に限定使用証明書102を発信することができる。前述のように、Diffie−Hellmanセッション鍵およびパスワードから導出された暗号鍵を使用して、パスワードを暗号化することができる。したがって、限定使用証明書102が、セッション鍵131および限定使用証明書102から導出された暗号鍵を使用して暗号化されることがある。
方法200は、確立したセキュアリンクを介して限定使用証明書を受信する動作(動作206)を含むことができる。例えば、サーバコンピューティングシステム111は、セキュアリンク122を介してクライアントコンピューティングシステム101から限定使用証明書102を受信することができる。さらに、以前の要求に応答して、サーバコンピューティングシステム111は、クライアントコンピューティングシステム101から(例えば限定使用証明書102を暗号化するのに使用された)暗号鍵を受信することができる。
方法200は、受信した限定使用証明書に基づいてクライアントに対して追加の証明書をプロビジョニングする動作(動作207)を含む。例えば、証明書プロビジョニングモジュール112が、限定使用証明書102に基づいてクライアントコンピューティングシステム101に対してより永続的な証明書をプロビジョニングすることができる。適切なら、サーバコンピューティングシステム111は、以前に受信した暗号鍵を使用して限定使用証明書102を暗号化解除することができる。
証明書プロビジョニングモジュール112は、限定使用証明書102を証明書データベースと比較し、限定使用証明書102が有効であるかどうかを判定する。限定使用証明書102が無効であるとき、サーバコンピューティングシステム111は、限定使用証明書102の処理を終了することができる。セキュリティポリシーに応じて、サーバコンピューティングシステム111は、限定使用証明書102の処理が終了したことをクライアントコンピューティングシステム101に通知することがあり、または通知しないことがある。一方、限定使用証明書102が有効であるとき、クライアントコンピューティングシステム101の識別の信頼性が高まる。したがって、サーバコンピューティングシステムは、クライアントコンピューティングシステム101に対してより永続的な証明書を生成することができる。例えば、証明書プロビジョニングモジュール112は、追加の証明書117を生成することができる。
追加の証明書117は、限定使用証明書102と同じタイプの証明書でよい。例えば、適切な単一使用パスワードを受信したことに応答して、サーバコンピューティングシステム111は、より永続的なパスワードを発行することができる。あるいは、追加の証明書117は異なるタイプの証明書でもよい。例えば、適切な単一使用パスワードを受信したことに応答して、サーバコンピューティングシステム111は、証明書、トークン(例えば、WSセキュリティトークンまたはケルベロストークン)、証明書のハッシュおよびURI、あるいはトークンのハッシュおよびURIを発行することができる。
証明書チェーン、証明書取消しリスト、オンライン証明書ステータスプロトコル応答、WSセキュリティトークン、交換と関連付けるべきメタデータなどのデータをサポートする他の証明書も識別することができる。識別されるメタデータは、拡張可能マークアップ言語(「XML」)命令を含むことができる。
方法200は、追加の証明書を送信する動作(動作208)を含む。例えば、サーバコンピューティングシステム111は、追加の証明書117をクライアントコンピューティングシステム101に送信することができる。方法200は、追加の証明書を受信する動作(動作204)を含む。例えば、クライアントコンピューティングシステム101は、サーバコンピューティングシステム111から追加の証明書117を受信することができる。
したがって、本発明の実施形態は、普通ならアクセスが妨げられるときにネットワークへのアクセスを実施することができる。例えば、限定使用(または単一使用)証明書をワイヤレスコンピューティングシステムで使用して、ネットワークにワイヤレスにアクセスするのに使用される証明書へのアクセスを実施することができる。さらに、限定使用証明書は、辞書アタックに対するコンピューティングシステムの脆弱性を低減することができる。例えば、限定使用証明書は、悪意のあるユーザが限定使用証明書を最終的にクラッキングした時点でもはや有効ではないようにすることができる。具体的には、単一使用証明書は、それが1度使用された後は無効となるので、単一使用証明書は、辞書アタックに対する脆弱性を著しく低減することができる。
図3に、ネゴシエーション認証メカニズムに関するメッセージ交換300を示す。メッセージ交換300は、認証中の他のメッセージの交換前または交換後に行えることを理解されたい。例えば、クライアントコンピューティングシステムおよびサーバコンピューティングシステムは、クライアントコンピューティングシステムとサーバコンピューティングシステムを互いに予備的に識別する1つまたは複数の拡張可能認証プロトコル(「EAP」)要求/応答ペアを交換することができる。
メッセージ交換300に示す要求および応答は、認証プロトコルのメッセージでよい。各メッセージは、(例えばサポートされるペイロードタイプを表す)認証プロトコルのバージョン番号、メッセージ本文、およびメッセージ本文の一部のハッシュドメッセージ認証コード(「HMAC」)を含むことができる。HMACは、例えばMD5、SHA−1などの任意の暗号ハッシュ機能を使用して生成することができる。認証プロトコルのメッセージはEAPメッセージ内に埋め込むことができる。
サーバ側360は、クライアント側350にサーバ要求301を送信することができる。サーバ要求301は、以前のパケットID302、ナンス303、および認証方法304を含む。以前のパケットID302は、クライアント側350とサーバ側360の間で交換された最後のパケットに対応するパケットID(例えば、前の要求/応答交換におけるパケットのパケットID)を示すことができる。ナンス303は、サーバ側360で生成されたランダムデータでよい。認証方法305は、サーバ側360でサポートされる、提案される認証メカニズムを含むことができる。サーバ側は、任意の数の異なる認証メカニズム(例えば、前述のチャレンジおよび応答、MS−CHAP v2、MD5を用いた認証、ジェネリックトークンカードを用いた認証、ケルベロスを用いた認証、X.509を用いた認証、およびWSセキュリティを用いた認証)をサポートすることができる。
サーバ要求301に応答して、クライアント側350は、サーバ側360にクライアント応答306を送信することができる。クライアント応答306は、以前のパケットID307、ナンス308、セキュリティアソシエーション309、公開鍵311、および認証方法312を含むことができる。以前のパケットID307は、サーバ要求301に対応するパケットIDを示すことができる。ナンス308は、クライアント側360で生成されたランダムデータでよい。セキュリティアソシエーション309は、クライアント側350でサポートされる、提案されるセキュリティアソシエーションを含むことができる。表1に、サポートすることのできるセキュリティアソシエーションの一部を示す。
Figure 2005269656
公開鍵311は1つまたは複数の公開鍵を含むことができる。公開鍵311は、サポートされる各セキュリティアソシエーションについて適切な長さ(例えば1024ビット、2048ビットなど)の鍵を含むことができる。公開鍵311は、例えば公開鍵104を含む、1つまたは複数のDiffie−Hellman公開鍵でよい。認証方法312は、クライアント側350でサポートされ、認証方法304に含まれる認証メカニズムの中から選ばれる認証メカニズムを含むことができる。
クライアント応答306に応答して、サーバ側360はサーバ要求313を送信することができる。サーバ要求313は、以前のパケットID314、セキュリティアソシエーション316、公開鍵317、および認証方法に基づくその他の認証データを含むことができる。前のパケットID314は、クライアント応答306に対応するパケットIDを示すことができる。セキュリティアソシエーション316は、サーバ側360でサポートされ、セキュリティアソシエーション309に含まれる認証方法の中から選ばれるセキュリティアソシエーションを示すことができる。公開鍵317は、セキュリティアソシエーション316で示されるセキュリティアソシエーションに対して適切な長さの鍵でよい。公開鍵317は、例えば公開鍵114などのDiffie−Hellman公開鍵でよい。
したがって、公開鍵311および公開鍵317からの適切な長さの鍵に基づいて、クライアント側350とサーバ側360の間でセキュアリンクを確立することができる。
一般に、クライアント側350とサーバ側360の間で送信される暗号化データは、トンネルキーを使用して暗号化される。トンネルキーは、Diffie−Hellman共有秘密鍵(例えばセッション鍵131)とクライアントナンスおよびサーバナンスとの連結をハッシングすることによって導出することができる。例えば、トンネルキーは、以下の式に従って導出することができる。
Tunnel Key=HASH[DHSS+N+N
トンネルキーは対称鍵でよい。すなわち、トンネルキーを使用して暗号化された暗号化データを暗号化解除するのにトンネルキーを使用することができる。したがって、クライアント側350は、サーバ側360に送信すべきデータをトンネルキーで暗号化することができ、サーバ側360から受信したコンテンツをトンネルキーで暗号化解除することができる。同様にサーバ側360は、クライアント側350に送信すべきデータをトンネルキーで暗号化することができ、クライアント側350から受信されるコンテンツをトンネルキーで暗号化解除することができる。
クライアント側350とサーバ側360がネゴシエーションを実施しているとき、サーバ要求313は、ネゴシエーション暗号化コンテンツ318を含むことができる。ネゴシエーション暗号化コンテンツ318は、チャレンジ319、認証方法321、およびトラストアンカ322を含むことができる。チャレンジ319は、共有秘密鍵(セッション鍵131)を用いた前のパケットID(例えば前のパケットID314)のHMACでよい。例えば、チャレンジ319は、以下の式に従って構成することができる。
Challenge=HMACSS[PPid]
サーバ側360は、チャレンジに対する適切な応答を維持することができる。例えば、適切な応答は、共有秘密鍵を用いたチャレンジのHMACでよい。適切な応答は、以下の式に従って構成することができる。
Response=HMACSS[Challenge]
認証方法321は、クライアント側350およびサーバ側360で相互にサポートされる認証方法を示すことができる。トラストアンカ322は前述のトラストアンカでよい。
クライアント側350がサーバ側360との間で再認証を受けているとき(例えばネゴシエーション後のある時に認証を受けているとき)、サーバ要求313は、別法として再認証暗号化コンテンツ328を含むこともできる。再認証暗号化コンテンツは、認証シグニチャ329および識別証明書331を含むことができる。認証シグニチャ329は、シグニチャIDタイプ(例えばSHA−1(キーID長=20オクテット)またはSHA256(キーID長=32オクテット))、シグニチャキーID、およびシグニチャタイプ(例えばHMAC、RSA PKCS#1、RSA PSS、またはDSA)を含むことができる。識別証明書331は、例えばX.509証明書、ケルベロストークン、WSセキュリティトークン、生公開鍵、X.509証明書のハッシュおよびURL、WSセキュリティトークンのハッシュおよびURL、生公開鍵のハッシュおよびURLを含むことができる。
あるいは、(ネゴシエーション暗号化コンテンツ318または再認証暗号化コンテンツ328の代わりに)他のタイプの暗号化認証コンテンツをサーバ要求313に含めることもできることを理解されたい。例えば、既存のユーザ名およびパスワードを使用してクライアントをブートストラッピングするとき、サーバ要求313は、認証シグニチャ、識別証明書、および認証方法を含む暗号化コンテンツを有することができる。
X.509証明書で新しいクライアントをブートストラッピングするとき、サーバ要求313は、チャレンジ、トラストアンカ、認証方法、登録要求を含む暗号化コンテンツを有することができる。登録要求は、要求タイプ(例えば、ケルベロスTGT要求、ケルベロスAS要求、PCKS#10要求、またはCMC要求)、キータイプ(例えば、RSAシグニチャ、DSA、ECDSA、またはDH+ECDH)、キーサブタイプ(例えば、PSAシグニチャキーまたはDH+ECDHキー)、およびキーサイズ(例えば1024ビット)を含むことができる。X.509証明書で認証するとき、要求313は、認証シグニチャ、識別証明書、および認証方法を含む暗号化コンテンツを有することができる。
新しいクライアントをケルベロスチケットでブートストラッピングするとき、サーバ要求313は、チャレンジおよび登録要求を含む暗号化コンテンツを有することができる。
サーバ要求313に応答して、クライアント側350は、クライアント応答332を送信することができる。クライアント応答332は、以前のパケットID333、およびサーバ要求313に含まれる暗号化コンテンツに応答するデータを含むことができる。以前のパケットID333は、サーバ要求313に対応するパケットIDを示すことができる。クライアント側350およびサーバ側360がネゴシエーションを実施しているとき、クライアント応答332は、(トンネルキーで暗号化された)暗号化応答334を含むことができる。暗号化応答334は、チャレンジ319に対する応答でよい。
クライアント側350は、チャレンジ319に対する適切な応答を生成することができる。例えば、適切な応答は、共有秘密鍵を用いたチャレンジ119のHMACでよい。適切な応答は、以下の式に従って構成することができる。
Response=HMACSS[Challenge]
クライアント側350がサーバ側360との間で再認証を受けているとき、クライアント応答332は認証シグニチャ336を含むことができる。
あるいは、(暗号化応答334または認証シグニチャ336の代わりに)暗号化認証コンテンツに応答する他のタイプのデータをクライアント応答332に含めることができることを理解されたい。例えば、既存のユーザ名およびパスワードを使用してクライアントをブートストラッピングするとき、クライアント応答332は、チャレンジ、エンドユーザ識別ペイロード、ドメイン識別ペイロードを含む暗号化応答データを有することができる。エンドユーザ識別ペイロードおよびドメイン識別ペイロードは、名前タイプ(例えば、完全修飾DNS名、Eメールアドレス、IPv4アドレス、IPv6アドレス、DER符号化X.500識別名、または領域名)を含むことができる。
X.509証明書で新しいクライアントをブートストラッピングするとき、クライアント応答332は、応答および証明書要求を含む暗号化応答データを有することができる。X.509証明書で認証するとき、クライアント応答332は、認証シグニチャおよび識別証明書を含む暗号化応答データを有することができる。ケルベロスチケットで新しいクライアントをブートストラッピングするとき、クライアント応答332は、応答および証明書要求を含む暗号化応答データを有することができる。
本発明の実施形態は、いくつかの異なる認証メカニズムの中からのネゴシエーティング認証メカニズムを実施する。クライアントコンピューティングシステムおよびサーバコンピューティングシステムは、相互にサポートされる認証メカニズムを識別することができ、識別したメカニズムを認証のために使用することができる。自動ネゴシエーションは、ネットワークに関して配置される可能性のある認証メカニズムをユーザが認識している必要を軽減する。したがって、認証をより効率的に実施することができる。
図4および以下の議論では、本発明を実施することのできる適切なコンピューティング環境の簡潔な一般的説明を与えることが意図される。必須ではないが、コンピュータシステムによって実行されるプログラムモジュールなどのコンピュータ実行可能命令の一般的状況で本発明を説明する。一般に、プログラムモジュールは、特定のタスクを実行し、または特定の抽象データタイプを実装するルーチン、プログラム、オブジェクト、コンポーネント、データ構造などを含む。コンピュータ実行可能命令、関連するデータ構造、およびプログラムモジュールは、本明細書で開示される方法の動作を実行するプログラムコード手段の例を表す。
図4を参照すると、本発明を実施する例示的システムは、処理装置421と、システムメモリ422と、システムメモリ422を含む様々なシステム構成要素を処理装置421に結合するシステムバス423とを含む、コンピュータシステム420の形態の汎用コンピューティング装置を含む。処理装置421は、本発明の機能を含む、コンピュータシステム420の機能を実施するように設計されたコンピュータ実行可能命令を実行することができる。システムバス423は、様々なバスアーキテクチャのいずれかを使用するメモリバスまたはメモリコントローラ、周辺バス、およびローカルバスを含むいくつかのタイプのバス構造のいずれでもよい。システムメモリは、読取り専用メモリ(「ROM」)424およびランダムアクセスメモリ(「RAM」)425を含む。起動中などにコンピュータシステム420内の要素間で情報を転送する助けになる基本ルーチンを含む基本入出力システム(「BIOS」)426を、ROM424に格納することができる。
コンピュータシステム420はまた、磁気ハードディスク439を読み書きする磁気ハードディスクドライブ427と、取外し可能磁気ディスク429を読み書きする磁気ディスクドライブ428と、例えばCD−ROMやその他の光媒体などの取外し可能光ディスク431を読み書きする光ディスクドライブ430とを含むことができる。磁気ハードディスクドライブ427、磁気ディスクドライブ428、および光ディスクドライブ430は、それぞれハードディスクドライブインターフェース432、磁気ディスクドライブインターフェース433、および光ドライブインターフェース434によってシステムバス423に接続される。ドライブおよびその関連するコンピュータ可能媒体は、コンピュータシステム420に関するコンピュータ実行可能命令、データ構造、プログラムモジュール、およびその他のデータの不揮発性記憶を実現する。本明細書で説明する例示的環境は磁気ハードディスク439、取外し可能磁気ディスク429、および取外し可能光ディスク431を利用するが、磁気カセット、フラッシュメモリカード、デジタルバーサタイルディスク、ベルヌーイカートリッジ、RAM、ROMなどを含む、データを格納するためのその他のタイプのコンピュータ可読媒体も使用することができる。ストレージ132は、記載のタイプのコンピュータ可読媒体の1つの一部でよい。
オペレーティングシステム435、1つまたは複数のアプリケーションプログラム436、他のプログラムモジュール437、およびプログラムデータ438を含む1つまたは複数のプログラムモジュールを有するプログラムコード手段を、ハードディスク439、磁気ディスク429、光ディスク431、ROM424、またはRAM425上に格納することができる。ユーザは、キーボード440、ポインティングデバイス442、あるいはマイクロフォン、ジョイスティック、ゲームパッド、スキャナなどのその他の入力装置(図示せず)を介してコンピュータシステム420にコマンドおよび情報を入力することができる。上記およびその他の入力装置は、システムバス423に結合された入出力インターフェース446を介して処理装置421に接続することができる。入出力インターフェース446は、シリアルポートインターフェース、PS/2インターフェース、パラレルポートインターフェース、ユニバーサルシリアルバス(「USB」)インターフェース、米国電気電子学会(「IEEE」)1394インターフェース(すなわちFireWireインターフェース)などの多種多様な可能なインターフェースのいずれかを論理的に表し、さらには異なるインターフェースの組合せを論理的に表すことができる。
モニタ447または他のディスプレイ装置もビデオインターフェース448を介してシステムバス423に接続される。モニタ447は、コンピュータシステム420で生成された、テキストを含むモノクロームおよび/またはカラーグラフィカルオブジェクトを表示することができる。例えばスピーカ、プリンタ、スキャナなどの他の周辺装置(図示せず)もコンピュータシステム420に接続することができる。コンピュータシステム447に接続されたプリンタは、コンピュータシステム420で生成された、テキストを含むモノクロームおよび/またはカラーグラフィカルオブジェクトを印刷することができる。
コンピュータシステム420は、例えば、オフィス全体または企業全体のコンピュータネットワーク、ホームネットワーク、イントラネット、および/またはインターネットなどのネットワークに接続可能である。コンピュータシステム420は、そのようなネットワークを介して、例えばリモートコンピュータシステム、リモートアプリケーション、および/またはリモートデータベースなどの外部ソースとデータを交換することができる。
コンピュータシステム420は、コンピュータシステム420がそれを介して外部ソースからデータを受信し、かつ/または外部ソースにデータを送信するネットワークインターフェース453を含む。図4に示すように、ネットワークインターフェース453は、リンク451を介してリモートコンピュータシステム483とのデータの交換を実施する。ネットワークインターフェース453は、例えばネットワークインターフェースカードおよび対応するネットワークドライバインターフェース仕様(「NDIS」)スタックなどの1つまたは複数のソフトウェアおよび/またはハードウェアモジュールを論理的に表すことができる。リンク451は、ネットワークの一部(例えばイーサネット(登録商標)セグメント)を表し、リモートコンピュータシステム483は、ネットワークのノードを表す。
同様に、コンピュータシステム420は入出力インターフェース446を含み、コンピュータシステム420は、その入出力インターフェース446を介して外部ソースからデータを受信し、かつ/または外部ソースにデータを送信する。入出力インターフェース446はモデム454(例えば標準モデム、ケーブルモデム、またはデジタル加入者線(「DSL」)モデム)に結合され、コンピュータシステム420は、そのモデム454を介して外部ソースからデータを受信し、かつ/または外部ソースにデータを送信する。図4に示すように、入出力インターフェース446およびモデム454は、リンク452を介してリモートコンピュータシステム493とのデータの交換を実施する。リンク452はネットワークの一部を表し、リモートコンピュータシステム493はネットワークのノードを表す。
図4は、本発明の適切な動作環境を表すが、必要なら適切な修正を行うことによって本発明の原理を実施することができるどんなシステムでも本発明の原理を利用することができる。図4に示す環境は単なる例であり、本発明の原理を実施することができる多種多様な環境の小部分さえも表しているというわけではない。
本発明によれば、例えば証明書プロビジョニングモジュール112などのモジュール、ならびに例えば限定使用証明書102、鍵ペア103および113、サーバ要求301および313、クライアント応答306および332などの関連するプログラムデータを、コンピュータシステム420に関連するコンピュータ可読媒体のいずれかに格納することができ、そこからアクセスすることができる。例えば、このようなモジュールの部分および関連するプログラムデータの部分を、システムメモリ422に格納するためにオペレーティングシステム435、アプリケーションプログラム436、プログラムモジュール437、および/またはプログラムデータ438に含めることができる。
例えば磁気ハードディスク439などの大容量記憶装置がコンピュータシステム420に結合されるとき、このようなモジュールおよび関連するプログラムデータを大容量記憶装置に格納することもできる。ネットワーク環境では、コンピュータシステム420に関して示したプログラムモジュールまたはその部分を、リモートコンピュータシステム483および/またはリモートコンピュータシステム493に関連するシステムメモリおよび/または大容量記憶装置などのリモートメモリ記憶装置に格納することができる。このようなモジュールの実行を分散環境で実行することができる。
本発明の精神および本質的な特徴から逸脱することなく、本発明を他の特定の形態で実施することができる。記載の実施形態は、すべての点で、限定的なものでなく例示的なものとみなすべきである。したがって本発明の範囲は、上記の説明ではなく添付の特許請求の範囲によって示される。特許請求の範囲の均等の意味および範囲内のすべての変更はその範囲内に包含されるべきである。
本発明によるコンピューティングシステムのより効率的かつセキュアな認証を実施する例示的コンピュータアーキテクチャを示す図である。 本発明による証明書をプロビジョニングする例示的方法を示す流れ図である。 自動ネゴシエーティング認証方法に関するメッセージ交換を示す図である。 本発明の原理を実施する適切なオペレーティング環境を示す図である。
符号の説明
101 クライアントコンピューティングシステム
102 限定使用証明書
103 鍵ペア
104 公開鍵
106 秘密鍵
111 サーバコンピューティングシステム
112 証明書プロビジョニングモジュール
113 鍵ペア
114 公開鍵
116 秘密鍵
117 追加の証明書
122 セキュアリンク
131 セッション鍵

Claims (28)

  1. クライアントコンピューティングシステムにおいて、サーバコンピューティングシステムとの間で認証を受けるのに使用することのできる証明書を受信する方法であって、
    限定使用証明書を受信する動作と、
    前記クライアントコンピューティングシステムと前記サーバコンピューティングシステムとの間でセキュアリンクを確立する動作と、
    確立した前記セキュアリンクを介して前記サーバコンピューティングシステムに前記限定使用証明書を発信する動作と、
    前記サーバコンピューティングシステムとの後続の認証に使用することができる追加の証明書を受信する動作であって、前記追加の証明書が、前記限定使用証明書に基づいて前記サーバコンピューティングシステムでプロビジョニングされる動作と
    を含むことを特徴とする方法。
  2. 前記限定使用証明書は単一使用パスワードであることを特徴とする請求項1に記載の方法。
  3. 前記クライアントコンピューティングシステムと前記サーバコンピューティングシステムとの間でセキュアリンクを確立することは、前記クライアントコンピューティングシステムおよび前記サーバコンピューティングシステムのDiffie−Hellman公開鍵に基づいてセッション鍵を生成することを含むことを特徴とする請求項1に記載の方法。
  4. 前記サーバコンピューティングシステムとの後続の認証に使用することができる追加の証明書を受信する動作は、ワイヤレスネットワークにアクセスするのに使用することができる証明書を受信する動作を含むことを特徴とする請求項1に記載の方法。
  5. サーバコンピューティングシステムにおいて、クライアントコンピューティングシステムに証明書を提供する方法であって、
    前記サーバコンピューティングシステムと前記クライアントコンピューティングシステムとの間でセキュアリンクを確立する動作と、
    確立した前記セキュアリンクを介して前記クライアントコンピューティングシステムから限定使用証明書を受信する動作であって、前記限定使用証明書は前記クライアントコンピューティングシステムを認証する動作と、
    受信した前記限定ユーザ証明書に基づいて、前記クライアントコンピューティングシステムに対して、前記クライアントコンピューティングシステムをその後で認証するための追加の証明書をプロビジョニングする動作と、
    確立した前記セキュアリンクを介して前記クライアントコンピューティングシステムに前記追加の証明書を送信する動作と
    を含むことを特徴とする方法。
  6. 前記サーバコンピューティングシステムと前記クライアントコンピューティングシステムとの間でセキュアリンクを確立することは、前記サーバコンピューティングシステムおよび前記クライアントコンピューティングシステムのDiffie−Hellman公開鍵に基づいてセッション鍵を生成することを含むことを特徴とする請求項5に記載の方法。
  7. 前記限定使用証明書は単一使用パスワードであることを特徴とする請求項5に記載の方法。
  8. 受信した前記限定ユーザ証明書に基づいて、前記クライアントコンピューティングシステムに対して追加の証明書をプロビジョニングする前記動作は、ワイヤレスネットワークにアクセスするのに使用することができる証明書をプロビジョニングすることを含むことを特徴とする請求項5に記載の方法。
  9. クライアントコンピューティングシステムにおいて、サーバコンピューティングシステムとの間の認証に参加する方法であって、
    前記サーバコンピューティングシステムで配置された認証メカニズムを少なくとも含む第1サーバ要求を受信する動作と、
    前記クライアントコンピューティングシステムで配置された認証メカニズムを少なくとも含む第1応答を送信する動作と、
    前記クライアントコンピューティングシステムとサーバコンピューティングシステムの間で転送されるコンテンツを暗号化するのに使用することができるトンネルキーを識別する動作と、
    前記トンネルキーで暗号化される暗号化認証コンテンツを含む第2サーバ要求を受信する動作と、
    前記暗号化認証コンテンツを前記トンネルキーで暗号化解除して非暗号化認証コンテンツを明らかにする動作であって、前記非暗号化認証コンテンツは、相互に配置された認証メカニズムを示す動作と、
    非暗号化認証コンテンツに応答する暗号化応答データを含む第2応答を送信する動作であって、前記暗号化応答データは、前記相互に配置された認証メカニズムに従って前記サーバコンピューティングシステムとの間で認証を受けるためのものである動作と
    を含むことを特徴とする方法。
  10. 前記第1サーバ要求は、前記サーバコンピューティングシステムで配置された認証メカニズム、以前のパケットID、およびナンスを含むことを特徴とする請求項9に記載の方法。
  11. 前記サーバコンピューティングシステムで配置された認証メカニズムは、MS−CHAP v2、MD5を用いた認証、ジェネリックトークンカードを用いた認証、ケルベロスを用いた認証、X.509を用いた認証、およびWSセキュリティを用いた認証の中から選択された1つまたは複数の認証メカニズムを含むことを特徴とする請求項9に記載の方法。
  12. 前記クライアントコンピューティングシステムで配置された認証メカニズムは、MS−CHAP v2、MD5を用いた認証、ジェネリックトークンカードを用いた認証、ケルベロスを用いた認証、X.509を用いた認証、およびWSセキュリティを用いた認証の中から選択された1つまたは複数の認証メカニズムを含むことを特徴とする請求項9に記載の方法。
  13. 前記第1応答は、前記クライアントコンピューティングシステムで配置された認証メカニズム、以前のパケットID、ナンス、1つまたは複数のセキュリティアソシエーション、および1つまたは複数の公開鍵を含むことを特徴とする請求項9に記載の方法。
  14. トンネルキーを識別する前記動作は、共有秘密鍵、クライアント側ナンス、およびサーバ側ナンスに基づいてトンネルキーを導出することを含むことを特徴とする請求項9に記載の方法。
  15. 前記第2サーバ要求を受信する動作は、認証方法のネゴシエーティング、再認証、既存のユーザ名およびパスワードでのクライアントのブートストラッピング、X.509証明書でのクライアントのブートストラッピング、X.509証明書での認証、ケルベロストークンでの新しいクライアントのブートストラッピングの中から選択された認証方法に対応する暗号化認証コンテンツを受信することを含むことを特徴とする請求項9に記載の方法。
  16. 前記第2サーバ要求は、暗号化認証コンテンツ、以前のパケットID、セキュリティアソシエーション、および公開鍵を含むことを特徴とする請求項9に記載の方法。
  17. 前記第2応答を送信する動作は、認証方法のネゴシエーティング、再認証、既存のユーザ名およびパスワードでのクライアントのブートストラッピング、X.509証明書でのクライアントのブートストラッピング、X.509証明書での認証、ケルベロストークンでの新しいクライアントのブートストラッピングの中から選択された認証方法に関する暗号化応答データを送信することを含むことを特徴とする請求項9に記載の方法。
  18. 前記第2応答は、暗号化応答データおよび以前のパケットIDを含むことを特徴とする請求項9に記載の方法。
  19. サーバコンピューティングシステムにおいて、クライアントコンピューティングシステムとの間の認証に参加する方法であって、
    前記サーバコンピューティングシステムで配置された認証メカニズムを少なくとも含む第1要求を送信する動作と、
    前記クライアントコンピューティングシステムで配置された認証メカニズムを少なくとも含む第1クライアント応答を受信する動作と、
    前記クライアントコンピューティングシステムとサーバコンピューティングシステムの間で転送されるコンテンツを暗号化するのに使用することができるトンネルキーを識別する動作と、
    暗号化認証コンテンツを含む第2要求を送信する動作であって、前記暗号化認証コンテンツが前記トンネルキーで暗号化され、前記暗号化認証コンテンツは、相互に配置された認証メカニズムを示す動作と、
    前記暗号化認証コンテンツに応答する暗号化応答データを含む第2クライアント応答を受信する動作であって、前記暗号化応答データは、前記相互に配置された認証メカニズムに従って前記サーバコンピューティングシステムとの間で認証を受けるためのものである動作と
    を含むことを特徴とする方法。
  20. 前記第1要求は、前記サーバコンピューティングシステムで配置された認証メカニズム、以前のパケットID、およびナンスを含むことを特徴とする請求項19に記載の方法。
  21. 前記サーバコンピューティングシステムで配置された認証メカニズムは、MS−CHAP v2、MD5を用いた認証、ジェネリックトークンカードを用いた認証、ケルベロスを用いた認証、X.509を用いた認証、およびWSセキュリティを用いた認証の中から選択された1つまたは複数の認証メカニズムを含むことを特徴とする請求項19に記載の方法。
  22. 前記クライアントコンピューティングシステムで配置された認証メカニズムは、MS−CHAP v2、MD5を用いた認証、ジェネリックトークンカードを用いた認証、ケルベロスを用いた認証、X.509を用いた認証、およびWSセキュリティを用いた認証の中から選択された1つまたは複数の認証メカニズムを含むことを特徴とする請求項19に記載の方法。
  23. 前記第1クライアント応答は、前記クライアントコンピューティングシステムで配置された認証メカニズム、以前のパケットID、ナンス、1つまたは複数のセキュリティアソシエーション、および1つまたは複数の公開鍵を含むことを特徴とする請求項19に記載の方法。
  24. トンネルキーを識別する前記動作は、共有秘密鍵、クライアント側ナンス、およびサーバ側ナンスに基づいてトンネルキーを導出することを含むことを特徴とする請求項19に記載の方法。
  25. 第2要求を送信する前記動作は、認証方法のネゴシエーティング、再認証、既存のユーザ名およびパスワードでのクライアントのブートストラッピング、X.509証明書でのクライアントのブートストラッピング、X.509証明書での認証、ケルベロストークンでの新しいクライアントのブートストラッピングの中から選択された認証方法に対応する暗号化認証コンテンツを送信することを含むことを特徴とする請求項19に記載の方法。
  26. 前記第2要求は、暗号化認証コンテンツ、以前のパケットID、セキュリティアソシエーション、および公開鍵を含むことを特徴とする請求項19に記載の方法。
  27. 第2クライアント応答を受信する前記動作は、認証方法のネゴシエーティング、再認証、既存のユーザ名およびパスワードでのクライアントのブートストラッピング、X.509証明書でのクライアントのブートストラッピング、X.509証明書での認証、ケルベロストークンでの新しいクライアントのブートストラッピングの中から選択された認証方法に関する暗号化応答データを受信することを含むことを特徴とする請求項19に記載の方法。
  28. 前記第2クライアント応答は、暗号化応答データおよび以前のパケットIDを含むことを特徴とする請求項19に記載の方法。
JP2005080088A 2004-03-19 2005-03-18 コンピューティングシステムの効率的かつセキュアな認証 Expired - Fee Related JP4746333B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/804,591 US7549048B2 (en) 2004-03-19 2004-03-19 Efficient and secure authentication of computing systems
US10/804,591 2004-03-19

Publications (2)

Publication Number Publication Date
JP2005269656A true JP2005269656A (ja) 2005-09-29
JP4746333B2 JP4746333B2 (ja) 2011-08-10

Family

ID=34838939

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005080088A Expired - Fee Related JP4746333B2 (ja) 2004-03-19 2005-03-18 コンピューティングシステムの効率的かつセキュアな認証

Country Status (6)

Country Link
US (1) US7549048B2 (ja)
EP (2) EP2105819B1 (ja)
JP (1) JP4746333B2 (ja)
KR (1) KR101130356B1 (ja)
CN (2) CN1722658A (ja)
ES (1) ES2595105T3 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010539839A (ja) * 2007-09-18 2010-12-16 韓國電子通信研究院 サーバ基盤移動インターネットプロトコルシステムにおけるセキュリティ方法
JP2014509151A (ja) * 2011-03-10 2014-04-10 ドイツ連邦共和国 認証方法、rfチップドキュメント、rfチップリーダー、及びコンピュータプログラム製品
JP2022553249A (ja) * 2019-10-17 2022-12-22 華為技術有限公司 結合デバイスおよび関連デバイスのためのリモートアテステーションモードネゴシエーション方法

Families Citing this family (113)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7370212B2 (en) 2003-02-25 2008-05-06 Microsoft Corporation Issuing a publisher use license off-line in a digital rights management (DRM) system
CN100592678C (zh) * 2004-02-11 2010-02-24 艾利森电话股份有限公司 用于网络元件的密钥管理
US8074287B2 (en) * 2004-04-30 2011-12-06 Microsoft Corporation Renewable and individualizable elements of a protected environment
US20060242406A1 (en) 2005-04-22 2006-10-26 Microsoft Corporation Protected computing environment
US20060026268A1 (en) * 2004-06-28 2006-02-02 Sanda Frank S Systems and methods for enhancing and optimizing a user's experience on an electronic device
WO2006012044A1 (en) * 2004-06-28 2006-02-02 Japan Communications, Inc. Methods and systems for encrypting, transmitting, and storing electronic information and files
US7760882B2 (en) * 2004-06-28 2010-07-20 Japan Communications, Inc. Systems and methods for mutual authentication of network nodes
US7603700B2 (en) * 2004-08-31 2009-10-13 Aol Llc Authenticating a client using linked authentication credentials
US8347078B2 (en) 2004-10-18 2013-01-01 Microsoft Corporation Device certificate individualization
US8117452B2 (en) * 2004-11-03 2012-02-14 Cisco Technology, Inc. System and method for establishing a secure association between a dedicated appliance and a computing platform
US8336085B2 (en) 2004-11-15 2012-12-18 Microsoft Corporation Tuning product policy using observed evidence of customer behavior
US7114648B2 (en) * 2005-01-31 2006-10-03 Stratitec, Inc. Networked time-keeping system
JP2008530879A (ja) * 2005-02-11 2008-08-07 ノキア コーポレイション 通信ネットワークにおいてブートストラッピング手順を提供する方法及び装置
US8438645B2 (en) 2005-04-27 2013-05-07 Microsoft Corporation Secure clock with grace periods
US7640430B2 (en) * 2005-04-04 2009-12-29 Cisco Technology, Inc. System and method for achieving machine authentication without maintaining additional credentials
US7975140B2 (en) * 2005-04-08 2011-07-05 Nortel Networks Limited Key negotiation and management for third party access to a secure communication session
US8725646B2 (en) 2005-04-15 2014-05-13 Microsoft Corporation Output protection levels
US9363481B2 (en) 2005-04-22 2016-06-07 Microsoft Technology Licensing, Llc Protected media pipeline
US9436804B2 (en) 2005-04-22 2016-09-06 Microsoft Technology Licensing, Llc Establishing a unique session key using a hardware functionality scan
US7739505B2 (en) * 2005-04-22 2010-06-15 Microsoft Corporation Linking Diffie Hellman with HFS authentication by using a seed
US20060265758A1 (en) 2005-05-20 2006-11-23 Microsoft Corporation Extensible media rights
US8181232B2 (en) * 2005-07-29 2012-05-15 Citicorp Development Center, Inc. Methods and systems for secure user authentication
US20070050630A1 (en) * 2005-08-24 2007-03-01 Samsung Electronics Co., Ltd. Authentication method and system for asynchronous eventing over the internet
US20070067780A1 (en) * 2005-08-24 2007-03-22 Samsung Electronics Co., Ltd. Method and system for asynchronous eventing over the internet
US7904946B1 (en) 2005-12-09 2011-03-08 Citicorp Development Center, Inc. Methods and systems for secure user authentication
US9768963B2 (en) 2005-12-09 2017-09-19 Citicorp Credit Services, Inc. (Usa) Methods and systems for secure user authentication
US9002750B1 (en) 2005-12-09 2015-04-07 Citicorp Credit Services, Inc. (Usa) Methods and systems for secure user authentication
US8091120B2 (en) * 2005-12-21 2012-01-03 At&T Intellectual Property I, L.P. Adaptive authentication methods, systems, devices, and computer program products
CN101009919A (zh) * 2006-01-24 2007-08-01 华为技术有限公司 一种基于移动网络端到端通信的认证方法
KR101009330B1 (ko) * 2006-01-24 2011-01-18 후아웨이 테크놀러지 컴퍼니 리미티드 모바일 네트워크를 기반으로 하는 엔드 투 엔드 통신에서의 인증을 위한 방법, 시스템 및 인증 센터
CN101060406B (zh) * 2006-04-20 2010-05-12 华为技术有限公司 一种端到端通信认证的方法及装置
US20070220598A1 (en) * 2006-03-06 2007-09-20 Cisco Systems, Inc. Proactive credential distribution
CN101051898B (zh) * 2006-04-05 2010-04-21 华为技术有限公司 无线网络端到端通信认证方法及其装置
US7565539B2 (en) * 2006-07-03 2009-07-21 Viasat Inc. Method and apparatus for secure communications
CN101102180B (zh) * 2006-07-03 2010-08-25 联想(北京)有限公司 基于硬件安全单元的系统间绑定及平台完整性验证方法
US7958368B2 (en) * 2006-07-14 2011-06-07 Microsoft Corporation Password-authenticated groups
US7865727B2 (en) * 2006-08-24 2011-01-04 Cisco Technology, Inc. Authentication for devices located in cable networks
US20080072292A1 (en) * 2006-09-01 2008-03-20 Narjala Ranjit S Secure device introduction with capabilities assessment
US8707416B2 (en) * 2007-01-19 2014-04-22 Toshiba America Research, Inc. Bootstrapping kerberos from EAP (BKE)
US7827405B2 (en) * 2007-01-19 2010-11-02 Microsoft Corporation Mechanism for utilizing kerberos features by an NTLM compliant entity
US8307411B2 (en) * 2007-02-09 2012-11-06 Microsoft Corporation Generic framework for EAP
US8817990B2 (en) * 2007-03-01 2014-08-26 Toshiba America Research, Inc. Kerberized handover keying improvements
EP1965558B1 (en) * 2007-03-01 2011-10-19 Mitsubishi Electric Corporation Method, apparatuses and computer program product for robust digest authentication using two types of nonce values
US8381268B2 (en) * 2007-05-11 2013-02-19 Cisco Technology, Inc. Network authorization status notification
US8539233B2 (en) * 2007-05-24 2013-09-17 Microsoft Corporation Binding content licenses to portable storage devices
CN101340281B (zh) * 2007-07-02 2010-12-22 联想(北京)有限公司 针对在网络上进行安全登录输入的方法和系统
US8094812B1 (en) 2007-09-28 2012-01-10 Juniper Networks, Inc. Updating stored passwords
CN101431413B (zh) * 2007-11-08 2012-04-25 华为技术有限公司 进行认证的方法、系统、服务器及终端
US8347374B2 (en) * 2007-11-15 2013-01-01 Red Hat, Inc. Adding client authentication to networked communications
ES2589112T3 (es) * 2007-11-30 2016-11-10 Telefonaktiebolaget Lm Ericsson (Publ) Gestión de claves para comunicación segura
US8503679B2 (en) * 2008-01-23 2013-08-06 The Boeing Company Short message encryption
US8943560B2 (en) * 2008-05-28 2015-01-27 Microsoft Corporation Techniques to provision and manage a digital telephone to authenticate with a network
US8181861B2 (en) 2008-10-13 2012-05-22 Miri Systems, Llc Electronic transaction security system and method
JP5270694B2 (ja) * 2008-11-28 2013-08-21 インターナショナル・ビジネス・マシーンズ・コーポレーション 機密ファイルを保護するためのクライアント・コンピュータ、及びそのサーバ・コンピュータ、並びにその方法及びコンピュータ・プログラム
WO2010099352A1 (en) * 2009-02-25 2010-09-02 Miri Systems, Llc Payment system and method
US8230231B2 (en) * 2009-04-14 2012-07-24 Microsoft Corporation One time password key ring for mobile computing device
WO2011044161A1 (en) * 2009-10-05 2011-04-14 Miri Systems, Llc Electronic transaction security system and method
US8606234B2 (en) * 2009-12-31 2013-12-10 Symantec Corporation Methods and apparatus for provisioning devices with secrets
US8856509B2 (en) * 2010-08-10 2014-10-07 Motorola Mobility Llc System and method for cognizant transport layer security (CTLS)
US9645992B2 (en) 2010-08-21 2017-05-09 Oracle International Corporation Methods and apparatuses for interaction with web applications and web application data
CN102025748B (zh) * 2011-01-04 2013-01-23 深信服网络科技(深圳)有限公司 获取Kerberos认证方式的用户名的方法、装置和系统
US8793780B2 (en) * 2011-04-11 2014-07-29 Blackberry Limited Mitigation of application-level distributed denial-of-service attacks
WO2013003535A1 (en) * 2011-06-28 2013-01-03 Interdigital Patent Holdings, Inc. Automated negotiation and selection of authentication protocols
US9280377B2 (en) 2013-03-29 2016-03-08 Citrix Systems, Inc. Application with multiple operation modes
US9378359B2 (en) 2011-10-11 2016-06-28 Citrix Systems, Inc. Gateway for controlling mobile device access to enterprise resources
WO2013115792A1 (en) * 2012-01-31 2013-08-08 Hewlett-Packard Development Company, L.P. Selection of a configuration link to receive activation data
US9722972B2 (en) 2012-02-26 2017-08-01 Oracle International Corporation Methods and apparatuses for secure communication
US9031050B2 (en) * 2012-04-17 2015-05-12 Qualcomm Incorporated Using a mobile device to enable another device to connect to a wireless network
US8997193B2 (en) * 2012-05-14 2015-03-31 Sap Se Single sign-on for disparate servers
US8613070B1 (en) 2012-10-12 2013-12-17 Citrix Systems, Inc. Single sign-on access in an orchestration framework for connected devices
US9774658B2 (en) 2012-10-12 2017-09-26 Citrix Systems, Inc. Orchestration framework for connected devices
US8910239B2 (en) 2012-10-15 2014-12-09 Citrix Systems, Inc. Providing virtualized private network tunnels
US20140109176A1 (en) * 2012-10-15 2014-04-17 Citrix Systems, Inc. Configuring and providing profiles that manage execution of mobile applications
US20140108793A1 (en) 2012-10-16 2014-04-17 Citrix Systems, Inc. Controlling mobile device access to secure data
EP2909715B1 (en) 2012-10-16 2022-12-14 Citrix Systems, Inc. Application wrapping for application management framework
US9971585B2 (en) 2012-10-16 2018-05-15 Citrix Systems, Inc. Wrapping unmanaged applications on a mobile device
US9166969B2 (en) * 2012-12-06 2015-10-20 Cisco Technology, Inc. Session certificates
US10051467B2 (en) 2013-01-23 2018-08-14 Microsoft Technology Licensing, Llc Restricted-use authentication codes
WO2014144961A1 (en) 2013-03-15 2014-09-18 Oracle International Corporation Establishing trust between applications on a computer
US9129112B2 (en) * 2013-03-15 2015-09-08 Oracle International Corporation Methods, systems and machine-readable media for providing security services
US9344422B2 (en) 2013-03-15 2016-05-17 Oracle International Corporation Method to modify android application life cycle to control its execution in a containerized workspace environment
EP2979420B1 (en) * 2013-03-28 2019-07-03 InterDigital CE Patent Holdings Network system comprising a security management server and a home network, and method for including a device in the network system
US9369449B2 (en) 2013-03-29 2016-06-14 Citrix Systems, Inc. Providing an enterprise application store
US9355223B2 (en) 2013-03-29 2016-05-31 Citrix Systems, Inc. Providing a managed browser
US9985850B2 (en) 2013-03-29 2018-05-29 Citrix Systems, Inc. Providing mobile device management functionalities
US10284627B2 (en) 2013-03-29 2019-05-07 Citrix Systems, Inc. Data management for an application with multiple operation modes
US9225516B1 (en) * 2013-10-03 2015-12-29 Whatsapp Inc. Combined authentication and encryption
US20150134966A1 (en) 2013-11-10 2015-05-14 Sypris Electronics, Llc Authentication System
JP6622795B2 (ja) * 2014-05-22 2019-12-18 アナログ ディヴァイスィズ インク 動的鍵生成を用いるネットワーク認証システム
CN106663018B (zh) 2014-09-24 2020-09-15 甲骨文国际公司 修改移动设备应用生命周期的系统、方法、介质和设备
US9998449B2 (en) * 2014-09-26 2018-06-12 Qualcomm Incorporated On-demand serving network authentication
US9760501B2 (en) 2014-11-05 2017-09-12 Google Inc. In-field smart device updates
US20160128104A1 (en) * 2014-11-05 2016-05-05 Google Inc. In-field smart device updates
CN104660583B (zh) * 2014-12-29 2018-05-29 国家电网公司 一种基于Web加密服务的加密服务方法
US9565172B2 (en) 2015-06-17 2017-02-07 Telefonaktiebolaget Lm Ericsson (Publ) Method for enabling a secure provisioning of a credential, and related wireless devices and servers
EP3318003B1 (en) * 2015-06-30 2022-03-23 Visa International Service Association Confidential authentication and provisioning
CN108028829A (zh) 2015-07-02 2018-05-11 瑞典爱立信有限公司 用于获得对网络的初始接入的方法以及相关的无线设备和网络节点
KR101693249B1 (ko) * 2015-09-08 2017-01-06 충북대학교 산학협력단 어플리케이션 관리 시스템 및 방법
US10575273B2 (en) * 2016-03-31 2020-02-25 Intel Corporation Registration of devices in secure domain
US10142323B2 (en) * 2016-04-11 2018-11-27 Huawei Technologies Co., Ltd. Activation of mobile devices in enterprise mobile management
US10742625B2 (en) * 2016-09-30 2020-08-11 Panasonic Avionics Corporation Automated delivery of security credentials to scheduled crew
DK3334185T3 (da) 2016-12-08 2021-09-13 Gn Hearing As Hearing system, devices and method of securing communication for a user application
EP3334188B1 (en) * 2016-12-08 2021-03-24 GN Hearing A/S Hearing device, user application, and method of creating a trusted bond between hearing device and user application
US10574445B2 (en) * 2016-12-21 2020-02-25 Intel IP Corporation Range constrained device configuration
US11216571B2 (en) * 2017-02-13 2022-01-04 Hewlett-Packard Development Company, L.P. Credentialed encryption
US11075906B2 (en) * 2017-12-28 2021-07-27 Shoppertrak Rct Corporation Method and system for securing communications between a lead device and a secondary device
CN112997449A (zh) * 2018-07-29 2021-06-18 诺文公司 用于数据通信网络的安全方法
US10791462B2 (en) * 2018-10-15 2020-09-29 Cisco Technology, Inc. Flexible device onboarding via bootstrap keys
TWI690820B (zh) * 2019-01-15 2020-04-11 臺灣網路認證股份有限公司 以嵌入式瀏覽器模組管理憑證之系統及方法
EP4203394A1 (en) * 2019-09-17 2023-06-28 Mastercard International Incorporated Techniques for repeat authentication
US11870768B1 (en) 2020-04-10 2024-01-09 Cisco Technology, Inc. Certificate-based techniques to securely onboard a radio interface unit
US20240111418A1 (en) 2021-01-25 2024-04-04 Volumez Technologies Ltd. Consistency Group Distributed Snapshot Method And System
CN113378141A (zh) * 2021-08-12 2021-09-10 明品云(北京)数据科技有限公司 一种文本数据传输方法、系统、设备及介质

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0515422A (ja) * 1991-07-12 1993-01-26 Matsushita Seiko Co Ltd 調理装置
JPH06261033A (ja) * 1993-03-08 1994-09-16 Nippon Telegr & Teleph Corp <Ntt> 認証制御方式
JP2002041474A (ja) * 2000-07-31 2002-02-08 Oki Electric Ind Co Ltd 認証方法
JP2002223312A (ja) * 2001-01-26 2002-08-09 Osaka Gas Co Ltd 認証方法、認証システム、通信装置、プログラム、及び記録媒体
JP2003108527A (ja) * 2001-06-14 2003-04-11 Microsoft Corp クライアント・プロキシ認証のためにセッションイニシエーションプロトコルリクエストメッセージにセキュリティ機構を組み込むための方法およびシステム
JP2004048679A (ja) * 2002-05-15 2004-02-12 Microsoft Corp セッションキー・セキュリティプロトコル
JP2004287492A (ja) * 2003-03-19 2004-10-14 Ricoh Co Ltd 通信装置
JP2005130452A (ja) * 2003-07-25 2005-05-19 Ricoh Co Ltd 通信装置、通信システム、証明書送信方法及びプログラム
JP2005259111A (ja) * 2004-01-26 2005-09-22 Ricoh Co Ltd ユーザ情報取扱い装置、ユーザ情報取扱いプログラム及び記録媒体
JP2006526184A (ja) * 2003-05-12 2006-11-16 株式会社エヌ・ティ・ティ・ドコモ ネットワークセキュリティ方法およびネットワークセキュリティシステム

Family Cites Families (62)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH04245818A (ja) * 1991-01-31 1992-09-02 Pioneer Electron Corp 情報伝送システム
US7136903B1 (en) * 1996-11-22 2006-11-14 Mangosoft Intellectual Property, Inc. Internet-based shared file service with native PC client access and semantics and distributed access control
US7756986B2 (en) * 1998-06-30 2010-07-13 Emc Corporation Method and apparatus for providing data management for a storage system coupled to a network
US6182142B1 (en) * 1998-07-10 2001-01-30 Encommerce, Inc. Distributed access management of information resources
US6304973B1 (en) * 1998-08-06 2001-10-16 Cryptek Secure Communications, Llc Multi-level security network system
US6845395B1 (en) * 1999-06-30 2005-01-18 Emc Corporation Method and apparatus for identifying network devices on a storage network
US6892307B1 (en) * 1999-08-05 2005-05-10 Sun Microsystems, Inc. Single sign-on framework with trust-level mapping to authentication requirements
US6609198B1 (en) * 1999-08-05 2003-08-19 Sun Microsystems, Inc. Log-on service providing credential level change without loss of session continuity
US6668322B1 (en) 1999-08-05 2003-12-23 Sun Microsystems, Inc. Access management system and method employing secure credentials
US6782412B2 (en) * 1999-08-24 2004-08-24 Verizon Laboratories Inc. Systems and methods for providing unified multimedia communication services
US7085931B1 (en) * 1999-09-03 2006-08-01 Secure Computing Corporation Virtual smart card system and method
GB2364477B (en) * 2000-01-18 2003-11-05 Ericsson Telefon Ab L M Virtual private networks
JP3437990B2 (ja) * 2000-03-17 2003-08-18 インターナショナル・ビジネス・マシーンズ・コーポレーション 通信方法、通信端末、無線アドホックネットワークおよび携帯電話
US6907546B1 (en) * 2000-03-27 2005-06-14 Accenture Llp Language-driven interface for an automated testing framework
US6636966B1 (en) * 2000-04-03 2003-10-21 Dphi Acquisitions, Inc. Digital rights management within an embedded storage device
US7257836B1 (en) * 2000-04-24 2007-08-14 Microsoft Corporation Security link management in dynamic networks
WO2001084761A1 (en) * 2000-04-28 2001-11-08 Swisscom Mobile Ag Method for securing communications between a terminal and an additional user equipment
AU2001258103A1 (en) * 2000-05-10 2001-11-20 Tech Link International Entertainment Ltd. Security system for high level transactions between devices
FR2812504B1 (fr) * 2000-07-31 2003-01-24 At Sky Systeme de cryptage/decryptage "a la volee" pour la diffusion de donnees
WO2002023463A1 (en) * 2000-09-11 2002-03-21 David Edgar System, method, and computer program product for optimization and acceleration of data transport and processing
US6807569B1 (en) * 2000-09-12 2004-10-19 Science Applications International Corporation Trusted and anonymous system and method for sharing threat data to industry assets
US20020116611A1 (en) * 2000-10-31 2002-08-22 Cornell Research Foundation, Inc. Secure distributed on-line certification authority
KR100353731B1 (ko) * 2000-11-01 2002-09-28 (주)니트 젠 일회성 지문템플릿을 이용한 사용자 인증시스템 및 방법
JP2002152317A (ja) * 2000-11-10 2002-05-24 Fujitsu Ltd 試験装置
SE0004338L (sv) * 2000-11-24 2002-05-25 Columbitech Ab Datanätbaserat system
US7114080B2 (en) * 2000-12-14 2006-09-26 Matsushita Electric Industrial Co., Ltd. Architecture for secure remote access and transmission using a generalized password scheme with biometric features
US6983381B2 (en) * 2001-01-17 2006-01-03 Arcot Systems, Inc. Methods for pre-authentication of users using one-time passwords
US7181762B2 (en) * 2001-01-17 2007-02-20 Arcot Systems, Inc. Apparatus for pre-authentication of users using one-time passwords
US20020161826A1 (en) * 2001-01-25 2002-10-31 Carlos Arteaga System and method for remote communication transactions
US6944678B2 (en) 2001-06-18 2005-09-13 Transtech Networks Usa, Inc. Content-aware application switch and methods thereof
US6954792B2 (en) * 2001-06-29 2005-10-11 Sun Microsystems, Inc. Pluggable authentication and access control for a messaging system
US20040107360A1 (en) * 2002-12-02 2004-06-03 Zone Labs, Inc. System and Methodology for Policy Enforcement
US8200818B2 (en) * 2001-07-06 2012-06-12 Check Point Software Technologies, Inc. System providing internet access management with router-based policy enforcement
GB2381423B (en) * 2001-10-26 2004-09-15 Ericsson Telefon Ab L M Addressing mechanisms in mobile IP
US7085840B2 (en) * 2001-10-29 2006-08-01 Sun Microsystems, Inc. Enhanced quality of identification in a data communications network
US20030084171A1 (en) 2001-10-29 2003-05-01 Sun Microsystems, Inc., A Delaware Corporation User access control to distributed resources on a data communications network
JP2003150735A (ja) * 2001-11-13 2003-05-23 Hitachi Ltd 電子証明書システム
KR100420265B1 (ko) * 2001-11-15 2004-03-02 한국전자통신연구원 무선 인터넷 망간 접속 방법
US6996714B1 (en) * 2001-12-14 2006-02-07 Cisco Technology, Inc. Wireless authentication protocol
US7313816B2 (en) * 2001-12-17 2007-12-25 One Touch Systems, Inc. Method and system for authenticating a user in a web-based environment
US7996888B2 (en) * 2002-01-11 2011-08-09 Nokia Corporation Virtual identity apparatus and method for using same
US8184603B2 (en) * 2002-01-31 2012-05-22 Lgc Wireless, Llc Communication system having a community wireless local area network for voice and high speed data communication
US20030177390A1 (en) * 2002-03-15 2003-09-18 Rakesh Radhakrishnan Securing applications based on application infrastructure security techniques
US6993683B2 (en) * 2002-05-10 2006-01-31 Microsoft Corporation Analysis of pipelined networks
US7529933B2 (en) * 2002-05-30 2009-05-05 Microsoft Corporation TLS tunneling
US7275156B2 (en) * 2002-08-30 2007-09-25 Xerox Corporation Method and apparatus for establishing and using a secure credential infrastructure
KR100480258B1 (ko) * 2002-10-15 2005-04-07 삼성전자주식회사 무선 근거리 네트워크에서 고속 핸드오버를 위한 인증방법
US7313618B2 (en) * 2002-10-31 2007-12-25 Sap Aktiengesellschaft Network architecture using firewalls
US7458095B2 (en) * 2002-11-18 2008-11-25 Nokia Siemens Networks Oy Faster authentication with parallel message processing
US7587598B2 (en) * 2002-11-19 2009-09-08 Toshiba America Research, Inc. Interlayer fast authentication or re-authentication for network communication
US8387106B2 (en) * 2002-12-11 2013-02-26 Broadcom Corporation Method and system for secure linking with authentication and authorization in a media exchange network
US7685295B2 (en) * 2002-12-19 2010-03-23 Chantry Networks Inc. Wireless local area communication network system and method
US7103772B2 (en) * 2003-05-02 2006-09-05 Giritech A/S Pervasive, user-centric network security enabled by dynamic datagram switch and an on-demand authentication and encryption scheme through mobile intelligent data carriers
US7275157B2 (en) * 2003-05-27 2007-09-25 Cisco Technology, Inc. Facilitating 802.11 roaming by pre-establishing session keys
US7519989B2 (en) * 2003-07-17 2009-04-14 Av Thenex Inc. Token device that generates and displays one-time passwords and that couples to a computer for inputting or receiving data for generating and outputting one-time passwords and other functions
US20050114713A1 (en) * 2003-11-25 2005-05-26 Shawn Beckman Automated subscription and purchasing service for a data computing device
US20050120213A1 (en) * 2003-12-01 2005-06-02 Cisco Technology, Inc. System and method for provisioning and authenticating via a network
US7181493B2 (en) * 2003-12-23 2007-02-20 Unisys Corporation Platform independent model-based framework for exchanging information in the justice system
JP3918827B2 (ja) * 2004-01-21 2007-05-23 株式会社日立製作所 セキュアリモートアクセスシステム
US7860978B2 (en) * 2004-01-22 2010-12-28 Toshiba America Research, Inc. Establishing a secure tunnel to access router
US20050188211A1 (en) * 2004-02-19 2005-08-25 Scott Steven J. IP for switch based ACL's
US20060067272A1 (en) * 2004-09-30 2006-03-30 Wang Huayan A Method and system for fast roaming of a mobile unit in a wireless network

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0515422A (ja) * 1991-07-12 1993-01-26 Matsushita Seiko Co Ltd 調理装置
JPH06261033A (ja) * 1993-03-08 1994-09-16 Nippon Telegr & Teleph Corp <Ntt> 認証制御方式
JP2002041474A (ja) * 2000-07-31 2002-02-08 Oki Electric Ind Co Ltd 認証方法
JP2002223312A (ja) * 2001-01-26 2002-08-09 Osaka Gas Co Ltd 認証方法、認証システム、通信装置、プログラム、及び記録媒体
JP2003108527A (ja) * 2001-06-14 2003-04-11 Microsoft Corp クライアント・プロキシ認証のためにセッションイニシエーションプロトコルリクエストメッセージにセキュリティ機構を組み込むための方法およびシステム
JP2004048679A (ja) * 2002-05-15 2004-02-12 Microsoft Corp セッションキー・セキュリティプロトコル
JP2004287492A (ja) * 2003-03-19 2004-10-14 Ricoh Co Ltd 通信装置
JP2006526184A (ja) * 2003-05-12 2006-11-16 株式会社エヌ・ティ・ティ・ドコモ ネットワークセキュリティ方法およびネットワークセキュリティシステム
JP2005130452A (ja) * 2003-07-25 2005-05-19 Ricoh Co Ltd 通信装置、通信システム、証明書送信方法及びプログラム
JP2005259111A (ja) * 2004-01-26 2005-09-22 Ricoh Co Ltd ユーザ情報取扱い装置、ユーザ情報取扱いプログラム及び記録媒体

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010539839A (ja) * 2007-09-18 2010-12-16 韓國電子通信研究院 サーバ基盤移動インターネットプロトコルシステムにおけるセキュリティ方法
US8925048B2 (en) 2007-09-18 2014-12-30 Electronics And Telecommunications Research Institute Security method of mobile internet protocol based server
JP2014509151A (ja) * 2011-03-10 2014-04-10 ドイツ連邦共和国 認証方法、rfチップドキュメント、rfチップリーダー、及びコンピュータプログラム製品
JP2022553249A (ja) * 2019-10-17 2022-12-22 華為技術有限公司 結合デバイスおよび関連デバイスのためのリモートアテステーションモードネゴシエーション方法
JP7451696B2 (ja) 2019-10-17 2024-03-18 華為技術有限公司 結合デバイスおよび関連デバイスのためのリモートアテステーションモードネゴシエーション方法

Also Published As

Publication number Publication date
KR20060044410A (ko) 2006-05-16
EP1577736A3 (en) 2006-12-27
EP1577736A2 (en) 2005-09-21
EP2105819A1 (en) 2009-09-30
EP1577736B1 (en) 2018-04-25
ES2595105T3 (es) 2016-12-27
EP2105819B1 (en) 2016-07-13
KR101130356B1 (ko) 2012-03-28
CN1722658A (zh) 2006-01-18
US20050210252A1 (en) 2005-09-22
CN101764803A (zh) 2010-06-30
JP4746333B2 (ja) 2011-08-10
CN101764803B (zh) 2013-02-27
US7549048B2 (en) 2009-06-16

Similar Documents

Publication Publication Date Title
JP4746333B2 (ja) コンピューティングシステムの効率的かつセキュアな認証
CN109088889B (zh) 一种ssl加解密方法、系统及计算机可读存储介质
US7900247B2 (en) Trusted third party authentication for web services
US7039713B1 (en) System and method of user authentication for network communication through a policy agent
Housley et al. Guidance for authentication, authorization, and accounting (AAA) key management
KR100990320B1 (ko) 공용 서버로부터 콘텐츠를 요청할 때 클라이언트프라이버시를 제공하는 방법 및 시스템
EP1959368B1 (en) Security link management in dynamic networks
US7496755B2 (en) Method and system for a single-sign-on operation providing grid access and network access
US20090113537A1 (en) Proxy authentication server
EP4096147A1 (en) Secure enclave implementation of proxied cryptographic keys
EP4096160A1 (en) Shared secret implementation of proxied cryptographic keys
WO2022143935A1 (zh) 基于区块链的sdp访问控制方法及系统
CN114765551A (zh) 基于区块链的sdp访问控制方法及装置
JP2009239496A (ja) 鍵暗号方式を用いたデータ通信方法、データ通信プログラム、データ通信プログラム記憶媒体、データ通信システム
Singh et al. Survey and analysis of Modern Authentication system
Cam-Winget et al. Dynamic Provisioning Using Flexible Authentication via Secure Tunneling Extensible Authentication Protocol (EAP-FAST)
Housley et al. RFC 4962: Guidance for Authentication, Authorization, and Accounting (AAA) Key Management
Sriramulu et al. A Secure Network Communication Based on Kerberos & MD5
Gurbanova Review of the operations over the digital certificates in various cases
Cam-Winget et al. RFC 5422: Dynamic Provisioning Using Flexible Authentication via Secure Tunneling Extensible Authentication Protocol (EAP-FAST)

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080318

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110118

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110418

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110510

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110513

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140520

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4746333

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees