JP2005525731A - 物理アクセス制御 - Google Patents
物理アクセス制御 Download PDFInfo
- Publication number
- JP2005525731A JP2005525731A JP2003585029A JP2003585029A JP2005525731A JP 2005525731 A JP2005525731 A JP 2005525731A JP 2003585029 A JP2003585029 A JP 2003585029A JP 2003585029 A JP2003585029 A JP 2003585029A JP 2005525731 A JP2005525731 A JP 2005525731A
- Authority
- JP
- Japan
- Prior art keywords
- certificate
- door
- user
- card
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/02—Payment architectures, schemes or protocols involving a neutral party, e.g. certification authority, notary or trusted third party [TTP]
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/20—Individual registration on entry or exit involving the use of a pass
- G07C9/22—Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder
- G07C9/23—Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder by means of a password
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/20—Individual registration on entry or exit involving the use of a pass
- G07C9/22—Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder
- G07C9/25—Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder using biometric data, e.g. fingerprints, iris scans or voice recognition
- G07C9/257—Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder using biometric data, e.g. fingerprints, iris scans or voice recognition electronically
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Human Computer Interaction (AREA)
- Computer Security & Cryptography (AREA)
- Accounting & Taxation (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Theoretical Computer Science (AREA)
- Lock And Its Accessories (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
Description
この出願は、2002年4月8日に出願された「スケーラブルな証明書検証および簡略化したPKI管理(SCALABLE CERTIFICATE VALIDATION AND SIMPLIFIED PKI MANAGEMENT)」という名称の米国仮出願第60/370,867号、2002年4月16日に出願された「クロック無し装置検証(CLOCK-LESS DEVICE VALIDATION)」という名称の米国仮出願第60/372,951号、2002年4月17日に出願された「ハッシュ・シーケンスを妨げる技術(TECHNIQUES FOR TRAVERSING HASH SEQUENCES)」という名称の米国仮出願第60/373,218号、2002年4月23日に出願された「物理アクセス制御(PHYSICAL ACCESS CONTROL)」という名称の米国仮出願第60/374,861号、2002年10月23日に出願された「セキュアな物理アクセス(SECURE PHYSICAL ACCESS)」という名称の米国仮出願第60/420,795号、2002年10月25日に出願された「OCSPを介したリアルタイム信用証明(REAL TIME CREDENTIALS OVER OCSP)」という名称の米国仮出願第60/421,197号、2002年10月28日に出願された「リアルタイム信用証明(REAL TIME CREDENTIALS)」という発明の名称を持つ米国仮出願第60/421,756号、2002年10月30日に出願された「モバイル・コンピューティング資源の保護(PROTECTING MOBILE COMPUTING RESOURCES)」という名称の米国仮出願第60/422,416号、2002年11月19日に出願された「ケルベロス(kerberos)状の設定における秘密鍵セキュア物理アクセスまたはリアルタイム信用証明(RTC)(PRIVATE KEY SECURE PHYSICAL ACCESS OR REAL TIME CREDENTIALS (RTCs) IN KERBEROS-LIKE SETTINGS)」という名称の米国仮出願第60/427,504号、2003年1月29日に出願された「リアルタイム検証による三要素認証(THREE-FACTOR AUTHENTICATION WITH REAL TIME VALIDATION)」という名称の米国仮出願第60/443,407号、及び2003年2月10日に出願された「下位カードによるRTC物理アクセス(RTC PHYSICAL ACCESS WITH LOWER-END CARDS)」という名称の米国仮出願第60/446,169号、を基にしている。これらの教示の全ては参照することによってここに包含される。
本発明は、デジタル証明書の分野に関し、特に、物理アクセスを制御するためのデジタル証明書検証の分野に関するものである。
CRLは定期的に発行される。CRLは、本質的に、取り消された証明書の一連番号の全てを含んでいる、CAが署名したリストで構成されている。電子トランザクションで提示されるデジタル証明書は、その後で、最新のCRLと比較される。与えられた証明書が期限切れではないが、リストに載せられているとすると、その証明書は有効ではなくその証明書の保持者はそのトランザクションの実行をもはや許可されていないことを、CRLからあらゆる人が知る。その他の場合は、証明書がCRLに現れないとすると、その証明書は有効である(二重否定)と推定される。
OCSPにおいては、CAが、現時点におけるCの有効性状態の、CA自身のデジタル署名を戻すことにより、証明書Cについての質問(クエリ)に答える。下記の領域ではOCSPは問題を含んでいる。
標準的な証明書フォーマットで動作するとともに、証明書Cの発行日から始まる任意の時間間隔(例えば、毎日、毎時、または毎分)ごとに各証明書Cの有効性状態を証明することを認証局(CA;certifying authority)に可能にさせるデジタル証明書有効性検証プロセス介した、物理アクセスを制御するシステムおよび方法が開示されている。Cの時間粒度(time granularity)は、全ての証明書に対して同じでなければ、証明書自体内で指定できる。例えば、全ての証明書の時間粒度を1日にして、各証明書が発行の365日後に失効するようにすることができる。CAにより与えられるある初期入力が与えられると、デジタル証明書に含まれている指定されたバイトサイズの値を計算することと、秘密に保持されていて、有効性検証プロセスにおいて使用されるその他の値を計算することとのために、一方向ハッシュ関数が利用される。
保護されている区域を権限を与えられた人のみがアクセスするように保証することは、極めて重要である(例えば、空港、軍事施設、オフィスビル等)。保護されている区域は、物理的なドア(特に、人がそれを通って入ることができるドア、または容器、金庫あるいは車両の扉)や壁によって区切ることができ、またはその他のやり方で仮想的に区切ることができる。例えば、保護されている区域は、その中に入ることによって検出器が侵入を知らせる(およびおそらくは、権限が与えられていなければ信号を送るか音を発する)ような区域よりなる。空港では、たいてい、出口レーンを通ってゲート区域に入ると、ドアや壁が破られなかった場合であっても、そのような信号の発生がひき起こされるだろう。なお、この出願を通じて、ドアというのは、従来の鍵やより最新の種類の鍵で実現できる他の種類のアクセスアクセス管理装置の全てを含むものであると解すべきである。特に、エンジンを始動するために用いられるキー機構(したがって、我々の発明は、現在、権限を与えられているユーザのみが航空機やトラックを始動したり、またはその他の有価物にアクセスしたりできるようにする新規なやり方になる)。
1. PINやパスワードを使用する。それらはドアに組合わせされているキーパッドで入力できる;
2. バイオメトリックスを使用する。それはドアに組合わされている特殊な読取器を用いてユーザが入力できる;
3. ドアに組合わされている特殊なパッドを介してユーザにより入力される通常の署名を使用する;
4. (例えば、特殊な読取器/受信器を介してPINをドアへ送る)スマートカードまたは非接触カードを使用する;
5. 例えば、スマートカード、非接触カードまたは無線装置に記録されているデジタル証明書を使用する。それはカード読取器またはその他の受信器を介して「ドアと交信」できる。
好適な実施形態では、本発明はデジタル証明書に依存し、好ましくは20バイト技術に依存する。デジタル署名(RSAなど)は、与えられたメッセージMが所与のユーザUから由来するものであることを証明するために用いられる。そのために、Uは一対の照合鍵、すなわち検証鍵PKと署名鍵SKを生成する。デジタル署名はSKを介して生成され、照合鍵PKを介して検証される。ユーザUは、(UのみがUのために署名できるように、)彼自身のSKを秘密に保つべきである。PKは、照合鍵SKの「秘密を漏らさない」、すなわち、PKについての知識は、SKの計算においてなんら実用的な利益を敵に与えないので、デジタル署名は機能する。したがって、ユーザUは、(誰でもUの署名を検証できるように、)彼自身のPKをできるだけ公開すべきである。この理由から、PKは公開鍵と呼ぶことが好ましい。メッセージMについてのUのデジタル署名をSIGU(M)で示すことにする。デジタル署名は、個人鍵(private-key)署名を含むことを意図している。その場合には、署名されたものおよび検証者(verifier)は、共通の秘密鍵(secret-key)を共用する。
ここで、Aを、1組のスマートドアを管理する権限機関(すなわちエンティティ)とし、Uを、所与のドアに対するアクセスを所与の時間だけ許されているユーザとする。
権限機関は、所与の時間間隔内にどのユーザがどのドアを通ることができるかを決定する。(例えば、意図している一般性を失うことなしに、ここで話題としている各時間間隔は日であると仮定できる。)そのために、Aは、全ての許可(パーミッション)すなわち所与の時間(または予見できる将来の日)にどのドアを通ることを誰が許可されるか、を蓄積している、A自身の私的データベースDB1を使用できる。おそらく、Aはこのデータベースを保護する。さもなければそこに蓄積されている許可を敵がその敵自身の利益のために変更できる。しかし、Aは、公開データベースPDBを、DBから次のようにして計算する。d日にドアDを通る許可を得ている各ユーザUについて、Aは、実際にそうであることを示すデジタル署名SUDdを計算する。例えばAは、SUDd=SIGA(U,D,d)を計算する。Aのみがそれらのデジタル署名を計算でき、Aの公開鍵PKAを持つ全てのものはそれらを検証できることに注目されたい。それらの署名は、Aの秘密鍵SKAを知らない何者かによって偽造可能ではなく、かついかなるやり方で(例えば、Uの許可を無権限のユーザU'に対する許可に変換することにより)署名を変更してもそれらは無効にされる。したがって、Aは、大いに気にかけることなく、それらの署名を適時に(例えば、1日の初めに)計算して蓄積場所(repository)PRへ送ることができる。蓄積場所というのは、ユーザがアクセスできる場所のことである。例えば、大規模な施設の従業員入口(空港の従業員入口など)に設置されているサーバである。Aの署名は偽造できないので、AとPRとの間の接続はセキュアである必要はない。Aはそれの署名を妥当な時間内にPRへ送り続けるだけで十分である。
カードの所有者は、有効性証明を適切な時刻に「ピックアップ」できる。例えば、作業環境では、各人は、作業を報告する際に現在の有効性証明をピックアップできる。多くの作業場所(特に、空港などのセキュリティが重要である場所)では、被用者は、作業を報告する場合に、「サインイン(到着の署名)(sign in)」をする。この「サインイン」は、20バイトの有効性すなわちSIGUDdを得ることと、それをカードに保存することと、値を得ることと、それをカードに保存することとを含む。カードは、有線接続または無線接続によって、その値を得ることができる。
カードは、例えばぺージャーネットワークなどの無線ネットワークを介して、有効性証明を得ることができる。適切な時刻に、カードがアクセスを許可されていれば、20バイト値がそれへ送られる。帯域幅の要求は最小であり、許可(認証)値は、ぺージャーネットワークにより伝送される典型的なメッセージより短いことに注目されたい。適切な時刻に、カードがアクセスを許可されていれば、SIGUDdはそれへ送られる。
ドアは、同様に、遭遇することが事前に予測されるあらゆるカードに対して、有効性証明を有線ネットワークまたは無線ネットワークを介して前もって得てもよい。
ドアは、カードがドアとのやりとりを開始すると、カードについての有効性証明を要求に応じて得ることができる。
(1) 権限機関要素が、許可を与える署名をカードに受けさせる;
(2) カードは、許可を与える署名を受け取って保存する;
(3) カードは、許可を与える署名をドアに提示し、ドアは、それを検証し、許可を与える署名が有効であり、かつその場合に限り、開く。
(1) カードは、アクセス許可を求めてそのカード自身をドアに提示する;
(2) ドアは、許可を与える署名を要求する;
(3) 権限機関要素が、ドアに、許可を与える署名を受け取らせる;
(4) ドアは、許可を与える署名を検証し、それが有効であり、かつその場合に限り、開く。
(1) カードは、権限機関要素からの許可を与える署名を要求する;
(2) 権限機関要素は、許可を与える署名をカードへ送る;
(3) カードは、許可を与える署名を受け取って保存する;
(4) カードは、許可を与える署名をドアに提示し、ドアは、それを検証し、許可を与える署名が有効であり、かつその場合に限り、開く。
(1) ドアは、(それ自身の求めまたは求めによらずに、)遭遇することが予測される複数のカードに対する許可を与える署名を、権限機関要素から前もって受け取る;
(2) カードは、アクセス許可を求めるドアに対し、自身を提示する;
(3) ドアは、カードの許可を求める署名を検証し、それが有効であり、かつその場合に限り、開く。
このシステムは、次のようにして動作できる。ユーザU(または彼のカード)が、対象とする各ドアDについてのバリデーション(有効性検証)フィールド(例えばD365)を含む証明書CERTを有する。j日にUがドアDを通ることができることについての許可は、忘却できない20バイト値X365‐jを発行ことにより示すことができる。ドアDは、j回、それにハッシュ関数を適用し(hashing)、結果がCERTのバリディティ(有効性)フィールドD365に合致するかどうかを調べることにより、許可を調べることができる。Aが複数のドア(例えば、1000のドア)を取り扱わねばならない場合には、CERTは、おのおのが異なるドアに対応する1000の異なるバリディティフィールドを含むことがあり、各ドアDjは、それの計算結果をj番目のバリディティ・フィールドと比較して調べる。この場合には、あるユーザに対する各ドアを通る許可が別々に証明されたとしても、各ユーザは、ある所与の日には、たかだか1000の証明を持つだけである。そうすると所与の日には、たかだか20Kバイトを彼のカードにロードする必要があるだけである。
(権限機関およびデータベースから)切り離されていてしかも非常にセキュアで、低コストかつ便利なスマートドアは、接続されているスマートドアにとっては好ましいが、後者は、所与のドアに対するアクセスを記録するする能力を与える。例えば、所与の日に所与のドアを誰が通ったかを知ることが重要なことがある。接続されているドアは、適切な「アクセス情報」を離れているデータベースまたは権限機関に送ることによって、それを容易に行うことができる。しかし、非接続のドアはそれを全く行うことができない。そのような情報を集めるために適切な人をドアからドアへ送ることにより、アクセス情報を集めることができる。これを行うことが常に便利であることはないかもしれない。しかし、下記のシステムは、非常に実行可能な代替技術を提供するものである。
基本システム:
図1から分かるように、CAは、そのCAが発行したがまだ失効していない証明書C1,...,Ckのおのおのについて、個々の証明書無効状態情報CRSiをディレクトリへ送る。ディレクトリは、CRSiを、その認証局の証明書一連番号「i」について尋ねた要求しているユーザへ送る。
無効の証明は偽造できない:証明書Cの無効の証明は、Cの無効ターゲットY1のH逆変換よりなる。Hは、本質的に逆演算不可能であるので、所与の20バイト値Y0が確かに無効のCの証明であることを検証者がひとたび調べると、Y0はCAから出たに違いないことを検証者は知る。実際に、CAのみがY1のH逆変換を計算できる。その理由は、CAがHを他のいずれよりもうまく逆演算できるからでなく、CAが、Y0で始まってそれをハッシュすることによりY1を計算したからである! Cが有効である限りはCAはCの無効証明を決して外に出さないので、敵は無効証明を偽造できない。
証明書Cはただ2つの付加的な20バイト値Y1,X365を含む:これは無視できるコストである。Cは、公開鍵PK(少なくとも1024ビット長)を含んでいるデータのCA署名(少なくとも2048ビット長)で既に構成されていること、およびCは、SN,PK,U,D1,D2に加えて、コメントや多数の他のデータを含むことができることを想起されたい。
証明は、証明書の総数が数百または数十億であっても、20バイト長のままである。実際に2160個もの可能な20バイト列があり、2つの証明書が共通の無効証明または有効性証明をたまたま持つ確率は無視できる。
無線環境:
本発明の実施形態は、無線による実現のために理想的である。それのスケーラビリティは極めて大きい。すなわち、それは何十億という証明書(cert)を極めて容易に取り扱うことができる。それが求める帯域幅は無視できて、質問に対してはほぼ30ビット一連番号、応答に対してはほぼ20バイトである。それが求める計算は無視できる。その理由は証明書状態質問が単一のテーブルのルックアップ(検索)で回答されて、ただちに検証されるからである。もちろん、大きなスケーラビリティと、最小の帯域幅と、些細な計算とによって、本発明は無線環境における選択される技術にされる。
本発明およびOCSPは、ともにオンデマンド・システム、すなわち、ユーザが証明書の現在の有効性についての質問を送り、偽造不能で例外なく検証できる証明を折り返し受けるシステム、である。しかし、時間確度、帯域幅、CA効率、セキュリティ、および運用費には違いがある。
証明書の有効性を証明することが所与の鍵の秘密性に依存する場合は、システム全体の一貫性を保障するために、セキュアな金庫(vault)がその鍵を守らねばならない。本発明の好適な実施形態で、またはOCSPによって、集中化した実装というのは、単一の金庫が全ての有効性に関する質問に答えるものであることを意味する。集中化した実装は、展開されている証明書の数が小さい(例えば、100Kを超えない)ならば好ましく、したがって、金庫は、短い時間間隔内にほとんど全ての証明書が用いられて、有効性についての質問をほとんど同時にトリガするものとしても、発生された質問の量を取り扱うことができる。そのような実装では、好適な実施形態は、下記のような面でOCSPにとっては好ましい。
集中化実装は、証明書の有効性(バリディティ)についてのあらゆる質問を同じ金庫へ経路指定することを求める。この結果として遅延が長くなることと、何百万というアクティブな証明書での用途におけるサービス拒否が容易に起きる。そのような混雑、遅れ、およびサービスの拒否を防止するために、バリディティ質問に対する応答の負荷を地理的に分散されているいくつかの応答サーバの間に拡げることもある。しかし、OCSPの場合には、各付加応答サーバは秘密署名鍵を持つ必要があり、したがって、金庫において主人役を努める必要があり、そのためにOCSPシステムの所有費用が非常に莫大なものとなる。金融機関の諸要求に合致する高度の金庫の経費は、構築に最低1Mドル、運用に最低1Mドルを要する。(良い金庫は装甲コンクリート、鋼鉄製のドア、バックアップ用発電機、潜在的に長時間運転する発電機用の防護された燃料貯蔵容器等を含む。それの運用には24X7X365運用のための最低4組のチームと、プラス管理監督等を含む。)ピークトラヒック時にかなり速い応答を保障するためにそのような金庫を10要する用途では、OCSPシステムを所有する費用は初期投資で10Mドルであり、運用予算は10Mドル/年であろう。より安全でない金庫および運用が用いられるとしても、何百万ドルという初期費用と運用費を依然として必要とする。
1.アレイFの準備は即時である:
各証明書(cert)についてハッシュチェーンが保存されるとすると、その後で各エントリが単なる表検索操作で計算される。他の実施形態では、それはただちに計算もできる。
それはどの証明書が依然として有効であるかおよびどれが無効にされたについての完全かつ十分な報告より成る。(CAの目標はこの秘密でない情報を最も効率的なやり方でできるだけ公開のものと確かにすることである)
3.Fをサーバへ転送することは直接的である:
これがそうである理由は、Fが秘密を含んでおらず、暗号化を要せず、セキュリティの危険を持たないからである。10M証明書(cert)は多数であるが、200Mバイトのファイルを1000のサーバへ一定の間隔で送ることは非常に行えることである。
また、各応答は暗号化、署名または時刻記録を必要としない。
送られる各値は調度20バイト長であ利、そのような各値はただちに計算され(表の検索により)、かつトラフィックを1000のサーバの間で分散できるので、少なくともシステムの合法的な使用中は、サービスの拒否は起きるはずがない。
それらはCAにより受けられた20バイト証明を転送するのみである。自己認証であるので、それらの証明は変更でききず、関連するターゲットに依然としてハッシュする。
PKI管理は些細なことではない。(例えば、S. Farrell, A. AdamsおよびW. Forward, "Internet Public Key Infrastructure, Part III: Certificate Management Protocols), Internet Draft(インターネット公開鍵基盤、第III部:証明書管理プロトコル;インターネット・ドラフト)",1996年、及び、S. Kent, J, Linn, "Privacy Enhancement for Internet Electric Mail‐Part II: Certificate‐Based Key Management(インターネット電子メールのためのプライバシー増強:第II部:証明書をベースにした鍵管理)",1989年参照)。本発明の好適な実施形態は、(1)発行される証明書の数を減らす、(2)証明書(cert)についての特別管理を可能にする、(3)登録機能を多数の独立しているCAと共用する、ことにより多くの用途でPKI管理を改善できる。
証明書を使用可能/使用不能にする(およびそれを保留する):
例7:音楽のダウンロード:
インターネット音楽販売者は、それの1000のサーバからユーザが望むいかなる歌も1日1ドルの料金で利用者がダウンロードすることを望む。これはデジタル証明書で効果的に実行できる。しかし、この例では、Uが1年のうちのほんの僅かな日数だけ音楽をダウンロードするであろうことを彼は確信しており、しかも彼はそれらの日がいつであるか、または何日間であるのかは予測できない。したがって、音楽センターは、Uが1日用証明書の発行を望んだ時はいつでもUのために異なる1日用証明書を発行する必要がある。Uはそのような証明書を求め、支払いまたは支払いの約束の後で、彼はそれを受取りその後でその日に1000の音楽サーバのいずれかで使用する。しかし、1日証明書(cert)を発行するには業者と利用者の双方に僅かではない管理費がかかる。そしてそれらの費用は利用者が別の「音楽日」を楽しむことを望むたびに必ず倍加する。
例8:セキュリティクリアランス管理:
デジタル証明書は実際に良く機能して適正なユーザのみがある資源をアクセスすることを保証する。原則として、証明書(cert)自体で特権を指定できる。例えば、国務省は10の異なるセキュリティ通過レベル、L1,...,L10を持つことができ、それは
C=SIGSD(SN,PK,U,L5,D1,D2,...)
に似た証明書Cを発行することによりセキュリティレベル5をユーザに与えたということを意味する。ここに、再びD1とD2は発行日と失効日を表す。
C’=SIGSD(SN’,PK,U,L3,D1’,D2,...)
を持つことにより多少簡単にできる。
この管理問題は、短期間有効な証明書(例えば、発行後1日で失効する証明書)が使用されるならば悪化するだけである。本発明の教示では、1日証明書(cert)国務省の雇員またはユーザUが、より高いセキュリティレベルが必要とされる会議に出席できるようにすることがある。(Uが適切な携帯端末、スマートカード、または磁気ストライプカードでさ、えにそのような証明書(cert)を有しているならば、彼は、例えば、その日の会議に出席するドアを開くためにそれを使用できる。)短期間有効な証明書の用途ははるかに広く、広い範囲まで(どの点も少なくともほとんどの用途で、24時間で失効する証明書(cert)を無効にしない)無効にすることの困難さがないので推奨されてきた。しかし、短期間有効な証明書(cert)は全ての適切なユーザのブラウザに存在するようにその証明書(cert)を発行することは、依然として管理費がかかる。
C=SIGSD(SN,PK,U,D1,D2,A365,B365,C365,D365,E365,F365,G365,H365,I365,J365,Y1,)
をユーザに発行する。
主なPKI経費はRA関数に関連させられる。確かに、ユーザUを特定するには費用がかかる個人面接と、Uが正しい秘密鍵(認証すべき公開鍵PKに対応する)を確かに知っていることを検証することを要することがある。このRA関数を多数のCAの間で共用できしかもそれらが彼等自身の証明書(cert)に対する全面的な独立の管理を保持できるようにするるならばすばらしいことであろう。
政府および巨大組織は同位の下位機関と階層的な下位機関、すなわち、部、業務単位等、で構成されている。被用者は2か所またはそれ以上の下部機関に所属させられることがある。例えば、合衆国政府では、彼はNISTと商務省で勤務することがある。そのような所属のおのおののためにデジタル証明書を発行すると証明書の総数が莫大なものになって、PKIが複雑になる結果となり、被用者が彼/彼女の所属を失ったり、付加したりするたびに、対応する証明書(cert)を向こうにしたり、新しいものを発行することが最上である。理想的には、(1)編成は被用者にただ1つの証明書(cert)を発行する、(2)各下部機関がそれの各所属ごとに別々の証明書(cert)を発行して管理する、という対立する2つの事柄を調和させるべきである。
ここに、通常のように、SNは証明書(cert)の一連番号、PKはユーザの公開鍵、Uはユーザの識別子、D1は発行日、D2は失効日、X365はバリディティ・フィールド、Y1は無効フィールドであり、そしてX365 jはCAjのバリデーション・フィールド、Z365 jはCAjの保留フィールドである。
上の例では、証明書Cは中央で無効にできるのみであったが、無効にする責任を個々の省に降ろすようにすることは容易にできる。例えば、j番目の省CAが、完全に自律的に、Cを無効およびj証明書として保留できるようにするために、Cは次のような形を取ることができる、
C=SIGGOV(SN,PK,U,D1,D2,[XN11,Y1 1,ZN1 1],...,[XNk k,Y1 1,ZNk k])。
ここにTAjはj番目のCAの時間確度、NjはD1とD2の間の時間単位の数である。(例えば、TAjが1日で、D1−D2=1年であるとするとXNj j=X365 jである。)
単一の組織内では、上記のようにして構成されて管理される証明書(cert)を発行することの大きな利点は、ユーザが1つの下部機関から別の下部機関へ移動してもその証明書(cert)がそのまま使えることができることである。しかし、上記技術は単一機関領域の外部でも応用できることを理解すべきである。確かに、政府CAは持ち主CAと見なすことができ、k個の省CAは関連しない機関(下部機関ではなくて)のために役務を行う借り手CA見ることができ、証明書をリースされた証明書(cert)と見ることができる。この用語は、「合同建設および独立管理」の利点が適用されるよりなじみのある例から借用したものである。リースされた証明書(cert)は実際に同一の床フットプリントを持つスペックビルディングに類似する。
これまでは、貸し主と借り手のCAについて説明してきたやり方は、貸し主CAが発行プロセス中はそれ自身の借り手CAと協働すること、およびしたがって、前もってそれの借り手CAとして既に特定していることを要する。しかし、例えば20の借り手の全てまたはどれかを特定することなく、それらの借り手のCAを想定してレンタル証明書(cert)を貸し主CAが発行することは実際に可能である。それよりも、将来の借り手CAは既に発行されている証明書(cert)中のスペースを借りることができるであろう。この性能は新しい証明書(cert)が可能にする用途にとって理想的である。何百万という顧客に証明書(cert)を発行するために要する経費を掛けるよりも、証明書が可能にする新商品を提供する企業は、何百万もの証明書(cert)を発行した貸し主CAに接近し、ファクスの後でそれらの中のスペースを貸し、その後で、貸し主CAユーザの対応する証明書(cert)の全てを一晩中ターンオンすることにより貸し主CAユーザの大部分を顧客として署名し(顧客特定費用やその他の発行費用なしに)、その後でそれ自身の規準に従ってそれらの管理を開始する。以下にこの機能を可能にする種々の技術について説明する。
装置バリデーション・システム:
ここで、本発明の技術を装置(例えば、携帯電話、PDA、無線周波識別トークン、PC、ラップトップ、VSR、ネットワーク装置、ルーター、ファイヤウォール、セットトップ・ボックス、CDプレイヤー、ゲームプレイヤー、DVD装置等)にどのようにして応用できるかについて説明する。
これまで見てきたように、好適な実施形態の技術は装置を有効にするために使用でき、それらの誤使用を防ぐように装置をオンまたはオフにすることにより。この用途のセキュリティは、装置が敵、おそらく装置の本当の所有者(銃撃された後で、家に依然としてある会社のラップトップから会社のデータにアクセスすることを望む被用者)によって制御できない、という事実にしばしば依存する。実際に、会社がj日のバリディティの証明をもはや発行しないとしても、かつそのようなバリディティ証明が存在しないとしても、装置はj日には動作せず、敵は、現在日がd<jであると装置に信じさせるように、装置のクロックを戻すことができ、その後でd日に正しく発行されたバリディティの証明を装置へ戻すことにより、装置をだましてj日に動作させる。
この好適な実施形態は、クロックなしすなわちクロックを持たないか、セキュアなクロックを持たない装置に対してさえも装置のバリデーションを行う技術を提供する。
この方法では、バリデータおよび装置は秘密鍵Kを共用する。鍵Kは装置の安全メモリ部に常駐することが好ましい。この鍵Kから、装置とバリデータは一連の日に対応する予測できない一連の値を発生できる(Kを持たない第三者のために)。例えば、各日1、2、...毎に一連の値はV1=H(K,1)、V2=H(K,2)、...より成る。ここにHは一方向ハッシュ関数、または各時刻に鍵Kで1,2,...を暗号化する暗号化関数である。j日に、装置がもう1日多く動作することをバリデータが望んだとすると、それは値Vj=H(K,j)を知らせる(すなわち、応答側へ送る)。ここで、d日に装置が動作させられ、その後でj日までオフにされた後で、j日に装置がオンにされると仮定する。その後で、装置は値Vd=H(K,d)またはそれが動作していた最後の日のインディケータ(例えば、d)を保持する。装置はd日の後でバリディティ証明を得るまで再び動作しない。あるいは、装置は、d日の間それが動作した時間の長さを、例えば、単一の変数で、それ自身の判断で保持し続ける。したがって、装置がオフにされると、それはdばかりでなく、例えば、6時間10分喪記憶できる。そうすると、再びオンにされると、それは15時間と50分も動作を続ける。その後で、dの後の日についてバリディティの証明を求める。ここで、装置はj>d日に実際に再びオンにされると仮定する。その後で装置はj日にバリディティの(主張された)証明Vjを得る(例えば、応答側に対する要求の後で、それはそのような証明を押し付けられ、またはその証明を受ける)。その後で装置はVjがメモリに現在ある証明Vdの後の(またはdの後の日にメモリにある証明に対する)バリディティの証明かどうかを調べようとする。例えば、装置は、値Vjが発生されるまで(または所与の総数の日を過ぎるまで、例えば、10000日の後は動作している装置についてもはや全く注意しないと考えることがある)それの秘密鍵Kを用いてVd+1、Vd+2、...を発生し続ける。もしそうならば、それは別の24時間それ自身でオンになり(すなわち、新しいVjまたはjをメモリに保持する)、24時間の連続オンに達した後で、新しい値Vj+1またはVk,k>j、我必要とされるように、適切に動作してクロックをモニタする。
この方法は、例11で述べた方法とほぼ同様に動作し、一連の日の各日(例えば、限定なしの日)に装置に知らせられるかその他のやり方で装置が利用できるようにされる予測できない値、安全でないクロック、等を用いるが、秘密鍵は装置に使用しない。例えば、装置は、Xk、すなわち、上記のように同じ変形で、初期値X0に対して1つの(または複数の)一方向関数Fをk回反復した結果、を保存する。その後でXkはファームウェアに(例えば、変更できないやり方で)書込まれ、またはメモリの保護されている部分に保存される。j日におけるバリディティの証明は、本発明の基本形におけるように、単にXk−jである。再び、停止および無効が類似のやり方で起こり得る。
雑多な環境における多数の特権管理:
頑丈な(ロバストな)アクセス管理システムはあらゆるユーザに対して2つの質問に答えねばならない。第1の質問は認証または特定についてであて、「あなたはあなたが自分がそうであるとおっしゃっている方ですか」。この質問は通常は直接に、または識別バッジ、バイオメトリックス鍵、またはパスコードを介して間接に行われる。それらは長く継続するユーザ特定のために妥当な解答を与えるが、「あなたが試みようとなさっていることをあなたは現在許されていますか」というより時間的に重要なバリデーション質問は向けない。
最初のRTCバリデーション構成は、読出し/書込みメモリアクセスを行う非接触IDカードを基にしたアクセス管理環境である。これを例として共通MIFARETM規格非接触カードを用いて説明するが、バリデーション解決技術はどのようなメモリIDカードとも同じである。
状態: カードバリッド 1バイト
開始時刻: 03年8月4日午前9時 4バイト
終了時刻: 04年8月5道午前8時59分 4バイト
権限機関: ACME Inc. 20バイト
特権: R&D labs 1〜10バイト
駐車 1〜10バイト
ロッカー53 1〜10バイト
端末装置B 1〜10バイト
デジタル署名 42バイト
総サイズ:約100バイト
(2) メモリからRTCバリデーション証明を検索する、
(3) 信託されている権限機関の既知の公開鍵とデジタル署名が合致するか検証する、
(4) 証明が現在のものであることを検証する(開始時刻と終了時刻を用いて)
(5) カードが有効であることを検証する、
(6) 証明からの特権を基にして随意のアクセス管理要求を点検する。
RTC証明書バリデーションは、全ての読取器と直接または間接に共用される秘密情報を用いてバリデーションを実行する、HIDのiクラスなどの識別カードに使用することもできる。クロックは、無作為にされている呼び掛け/応答プロトコルを使用しているカードであって、そのプロトコルがそれのIDに一致する秘密を知っていることを示すようなカードに対する認証を行う。
公開鍵デジタル署名を実行できるカードは認証セキュリティを最高度にする。これはMIEARE PRO Xチップと多数の最高位JavaCardsを基にしたカードを含む。錠は、それにいかなる感知可能な情報も要することなく問い掛け/応答プロトコルを基にしたカードを認証することができる。これは鍵の複製のおそれを大きく減少する。
Hを一方向ハッシュ関数とする。長さがnのハッシュ・チェーンは値
H(xi)=xi-1であるようなx0,x1,...,xn の集まりである。xi-1はxiから計算することが容易であるが、逆向きの計算は、Hの一方向性のために、実行できない。
x0 (H)x1 (H)... (H)xn-1 (H)xn
多くの用途(例えば、ドキュメント・バリデーションおよび特権管理サービスなど)ではハッシュ・チェーンを考察できる、すなわち、値x0,x1,...,xnを順に(上の例では左から右へ)ある時間にわたって発生する(例えば、1年の間1日に1つの値)必要がある。左から右への順序はこの問題を困難にする。その理由はHの一方向性のためである。Hを単に繰り返し適用することによってx0,x1,...,xnを順に発生および出力することは容易であるが、逆の順序はより長い時間とより多数のメモリとの少なくとも一方を要することに注目されたい。
ただ1つの値xnを保存し、xiを出力するために、Hn-1(xn)を計算する:
全ての値x0,x1,...,xnを保存し、それらが出力されるにつれてそれらを消去する:
第1の取組みは2つのハッシュ値(1つはxnに対するもの、他方はxiの計算に対するもの)と、H合計のn(n+1)/2回の計算、または、平均して、値出力当りn/2回の評価を保存することを要する。第2の取組みはn+1ハッシュ値とH合計のn回の評価、または、平均して、値出力当り1回の評価の保存を要する。
Jakobssonの方法は約log2 n個のハッシュ値の記憶を要し、それより小さい記憶装置を使用する場合は使用できない。長さが365のハッシュチェーンに対しては、これは9個の値を保存する必要があることを意味し、長さが1000000のハッシュチェーンに対しては、これは20個の値を保存する必要があることを意味することに注目されたい。我々はそれより小さい記憶装置要求を持つアルゴリズムを使用したい。さらに、我々はハッシュチェーンの長さとは独立である記憶装置要求を指定できるようにしたい。こうすると、短いチェーンと長いチェーンに対して同じ容量のメモリを必要とし、したがって、ハッシュチェーンの長さが変化しても新しいメモリを獲得する必要はない。
nでペブルを常に必要とすることは明らかである‐‐xnが保存されないとすると、それを取り戻す方法はなく、したがって、トラバースの終りに必要とされる時に、それを出力する方法はないことが明らかである。xiを出力できるようにするために、現在の位置iでペブルを常に必要とすることも明らかである。
絶対に必要な2つのペブルにちょうど1つのペブルを加えるものとすると、ステップの数を劇的に改善できることが分かる。
さらに別のペブルを利用できるとすると、ハッシュチェーンを間隔に再び分割できる。この時は、
上記の例から出る一般技術は次の通りである。c個のペブルが与えられると、ハッシュチェーンをおのおの長さn((c-2)/(c-1))のn(1/(c-1))間隔に分割する。それらの各間隔にc−1ペブルの技術を使用する。出力値当りの平均費用は((c−1)/2)n(1/(c-1))}である。
上の技術は出力値当りの平均の場合費用を低減するが、ある出力値は他のものよりも計算に長くかかる。
以下に、任意の数cが与えれた場合に、おそらく最適な総(そして出力値当りの平均)計算費用を持つアルゴリズムを得る方法について説明する。しかし、cの小さい値に対しては、このおそらく最適な解決は、上記解決と比較してステップの数を僅かだけ減少することに注意されたい。
一般に、このシナリオは多数のドアと多数のユーザを含むことがある。さらに、アクセスは多数の権限者により管理できることがある(各権限者はいくつかのドアのアクセスを管理し、種々の権限者に対するドアセットはおそらく重なり合う)。最も一般的なレベルでは、アクセスはユーザがドアに証明書を提示することにより管理される(そのような証明書の検証は、PINなどの、ユーザとドアの間の対話と、ドアとユーザらどの間のメッセージ交換を要求することがある)。ドアの場合には、最低の費用で、かつドアをネットワークまたはいかなる特定のサーバへも接続することなく、アクセスのセキュリティを支えることが特に重要である。
暗号化、署名、疑似ランダム関数:
特に、専用鍵暗号化、専用鍵署名(またの名をMACともいう),専用鍵ランダム関数は我々が使用するであろう典型的な専用鍵原理である。我々の目的の多くでは、それらの原理は互換的に使用できる。例えば、決定論敵専用鍵技術(秘密署名鍵SKを共用している2つのエンティティの間の)と、ランダム関数Fs(それの種sが2つのエンティティの間で共用される)は同等であると実際に考えられる。両方とも、対応する入力を知るかもしれないが、SKやsは知らない、第三者が予測できない出力を生ずる。例えば、秘密鍵SKを有するxのデジタル署名を戻す関数FSK(x)は、実際に、種SKを持つ十分に良い疑似ランダム関数であると考えることができる。他方、入力xで種がsである疑似ランダム関数Fのxに値を戻す関数Fs(x)は、秘密鍵sを持つ専用鍵署名アルゴリズムと考えることができる。
我々は別の基本原理も使用する。それは一方向関数Fおよび一方向ハッシュ関数Hである。要するに、関数Fは、(1)入力Xが与えられると、F(X)を効率的に計算でき、(2)F(X)、十分に予測できないようにXは十分無作為に選択されていることが好ましい、が与えられると、Xを計算することは実際には不可能である(例えば、Xに対してあまりに多すぎる値は原則として試行統べきであり、可能な候補の数を少なくする効率的な方法は存しない)。関数Hはそれが一方向であるならば一方向ハッシュ関数であり(もっとも、より長い入力をより短い入力にマッピングすること、または任意に長い入力を‐例えば、160ビット入力、にマッピングすることが好ましい)、H(X)=H(Y)であるような2つの異なる入力XとYを見付けることは困難である。
我々は専用鍵設定によって導入された新規な面そのものに的を絞り、新たなシナリオに当然適用できるそれらの共通の面(例えば、毎日の/定期的な計算の面等)は飛ばす。
Dをドア(前記メカニズムを持つ)とし、AをDへのアクセスを管理することを望む機関、Uをユーザ(おそらくAのために働いている)とする。そのユーザは適切な識別子、等が記録されているカード、CU、を再び持つ。そうするとAは秘密鍵SKをDと共有することによりDに対するアクセスを管理できる。Aがd日(時間間隔d)にUがDにアクセスすることを許可したいと望むと、それは証明PUDdを計算する。A以外の誰も(およびおそらくD)にとっても計算することは困難であるが、Dにとっては検証することは容易である。専用鍵暗号化および専用鍵署名を用いてこれをどのようにして行うことができるかを見ることにする。
例えば、DESなどのある設定されている専用鍵暗号化アルゴリズムに従って専用暗号化鍵SKで、PUDdをUおよびdを、Dもおそらく同様、指定するメッセージの暗号化、EUDd、にできる。UのカードからEUDdを受けると、Dは鍵SKでそれを解読し、その結果がUと現在の日(時間間隔)dを指定するものならば、ドアは開く。ドアはそれ自身の時間が時間間隔dに入っているかどうかを判定するためにそれ自身のクロックを使用できる。
しかし、AはEUDdをUのカードへどのようにして容易かつ安全に転送できるのであろうか。おれらは装置(サーバ端末またはコンピュータ端末/サーバにリンクできるカード読取器)である。それらの応答側は金庫したり保護したりする必要はない。そのような保護はシステムに多額の費用を負わせたり、非常に不便であるので、応答側を安全にすること無くシステムが安全に動作できるようにすることが重要である。理想的には、権限機関Aが一連の日のうちの毎日dに更新を行う。各日は時間間隔(例えば、日)を指定することが好ましい。例えば、dは日dまたは日dの始まりとすることができる。dの更新中は、AはどのユーザUにドアDにアクセスする/ドアを通る許可を与えるかを判定し、この事実をDにより検証できる証明を計算する。例えば、暗号化を基にした共用鍵システムでは、この証明は上記列EUDdとすっることができ、AがEUDdを計算するために使用した鍵SKをAがDと共用するので、検証できる。その後でそれらの証明の全ては応答側へ送られる。それらの応答側は都合の良い場所に配置することが好ましい。例えば、空港のシステムでは、応答側は空港の主出入り口に配置できる。その後で(例えば、作業に着いた時)ユーザUはドアDを通る彼自身の許可を応答側から取り出す。EUDdを受けるためにUのカードはそれ自身を応答側に対して認証できることが好ましい。これは非常に便利である。その理由は無線その他の費用のかかるシステムがないので、ユーザは、所与の日に彼が通る資格を与えられている全てのドアについての彼の毎日の許可を正面入口(それを通って彼がともかく入る)から得て、彼自身のカードをカード読取器に挿入することに似た従来の機構を使用する(彼が仕事のために現れたことを証明するため)。その後では、彼は空港の周囲を自由に歩き回ることができ、彼が通る資格を与えれている全ての保護されているドアDを、彼が得た許可EUDdを用いて容易に通ることができる。しかし、このように便利名個とと、応答側が安全でないことが好ましいという事実のために、悪意を持つユーザも正直なユーザの許可を得ることがある。したがって、(1)応答側を安全にすることなしにこれが起きることを阻止することと、(2)正直なユーザに対する許可を他の誰もが使用できないようにすること、のうちの少なくとも一方を置こう会うことが必要である。後者の場合には、すでに述べたように、ユーザがPINをドアにも入れることにより十分に強制できる。これはカードにより出された許可に確実に結び付けることが好ましい。このようにして、Uの許可EUDdを応答側から得る悪意を持つユーザVは、UのPINを知らないために、ドアのところでUに扮することはできない。前者の保護は権限機関Aに、応答側許可EUDdのカードのCUの内部の、Aに知られている鍵SKCUを暗号化した後で、EUDdを送らせる事により強制される。このゆにして、AはUのカードのみにより許可EUDdに変えられる暗号化された許可EUDd’を応答側に本質的に送って、悪意を持つVがその日の誰か他の許可をダウンロードすることを無用にする。Vが欲する彼自身のカードをなんとか製作したとしても、VはSKCUを依然として知らない。
例えば、PUDdは、AとDが知っている専用鍵SKで、ある定められた専用鍵署名アルゴリズムに従ってUとd(およびおそらくDも)を指定するメッセージの専用鍵ぎデジタル署名とすることができる。特に、Hを一方向ハッシュ関数であるとすると、PUDd=H(SK,U,d)である。Uをカードから受けると、ドアの読取器はUをそれ自身の専用鍵SKでUとdを署名でき、この計算の結果が、カードから得られた列PUDdと合致するかどうか比較する。クロックを備えているドア読取器はどれが現在の日dであるかを知ることができ、したがって、それをカードから受ける必要はないことに注意されたい。これはAがある時に1日中アクセスを許可する限り機能する。さもなければ、カードはd(または選択された時間間隔)を読取器へまた送り、その後で読取器は得たUとdをSKでデジタル署名し、その結果がPUDdと確かに等しいことを調べ、その後で現在の時刻(ドアのクロックによる)がd内であることを調べる。もしそうであればそれは開く。
2つの手法を組合わせる例として、Uはd日のための秘密鍵SKUdをAから受ける(例えば、上記機構を用いて、特に暗号化を利用する)。その後で彼は秘密鍵署名を用いて彼が本人であることと、彼の許可とのうちの少なくとも一方をドアDに「証明」できる。すなわち、ドアDはカードUにランダムなメッセージを送る。それに応答してカードUはmの署名、H(m,SKUd)、を送る。この署名の計算はPINuを要することがあることに注目されたい。その後でドアDはその署名を検証する。これはドアDがSKUd(例えば、Aからそれを直接受け、またはなにか他の情報、例えば、H(SKU,d,U)、等から計算する)を知ることを要する。あるいは、AはDと共用している鍵AでSKUdを暗号化してESKUdを得る。その後でESKUdはUに与えることができ(例えば、上記のようにして)、その後でUはそれを署名と一緒にDへ送ることができる。
これまで説明してきたように、どのユーザUが所与の時間間隔d内でDをアクセスできるかを管理するためには、機構/権限機関Aが秘密鍵SKDをドアと共用することで十分である。このプロセスは、多数の機構A、B、C、...がドアDまたはドアの集合D1、D2、D3、...へのアクセスを行えるように拡張できる。各機構Xは秘密鍵SKXDをドアDと共用し、その後で上記解決策で使用する。例えば、各機構XはSKXDを選択して、それをDの読取器に差し込むことができる。各機構Xは1つまたは複数の被用者/雇われている作業員/請負人/下請け業者の集団をドアからドアへ送らねばならないことがある。しかし多数のドアがある施設でそれを行うことは実際的ではないか無駄である。というのは他の施設が既にそれを行っているかもしれないからである。また、多数の権限機関が存在するか、存在するであろうとすると、読取器はそれらの鍵の全てを保存することが困難なことがある。また、適切な予防措置を講ずるべきである。さもないと、敵が彼自身の秘密鍵をドアの読取器に差し込むことを何者も阻止できず、その後でそれを知ると、彼自身または彼の同伴者がそのドアにアクセスすることを許可する上記方法のいずれかを使用できる。それらの理由から、我々は下記の解決策へ進む。同じ方法を単一の解決策にも同様に適用できることに注意されたい。
これまで説明してきたように、ユーザまたはユーザのカードが所与の時間間隔の間秘密鍵を共用しているとすると、彼は安全なドアを通ることができる。したがって、あるやり方でユーザとドアはセッション鍵を共用する。ケルベロス(Kerberos)およびニードハム−シュレーダー(Needham-Schroeder)プロトコルは、エンティティ対が秘密セッション鍵を共用し、全体のシステム内でここに適用できる。しかし、それらのプロトコルはオンラインの鍵配布センターを基にしており、共用されているセッション鍵を必要とする時は常に接触せねばならない。したがって、追加のより便利な方法へ進みたい。まず、ケルベロスおよびニードハム−シュレーダーを基にしたシステムを実現するためにでも、鍵をドアに配布するための中央権限機関のための方法を必要とする(それは鍵を他の権限機関に配布することより困難なことがある)。
1.ドアD1がそれの読取器内部に秘密鍵SKXD1を持ち、SAがSKXD1を権限機関Xに与えること、
2.ドアD2がそれの読取器内部に秘密鍵SKXD2を持ち、SAがSKYD2を権限機関Yに与えること、
3.SAはドアD1の鍵をYに与えず、ドアD2の鍵をXに与えない。
しかし利用できる上記諸特徴であっても、上記したものなどのシステムをいくつかの重要な面で改良できる。すなわち、
鍵保存サイズ:ドア読取器は異なるそれを管理する各機構ごとに種々の鍵を保存することが好ましいが、これは読取器が安全に保存せねばならない鍵の数を増大する。
最初に、ドア当り1つの鍵で機能するシステムを取り扱うことができる。例えば、SAは1つの鍵をドアDに保存する(もちろんこの情報を失わないようにする)。その鍵はDの識別子とSAにのみ知られている秘密種sとからSAにより決定論的に潜在的に計算でき、例えば、SKD=H(d,D)、である。その後でSAは、SKDとXから、例えば、Xで計算された種SKDを持つ疑似ランダム関数として、決定論的に選択された鍵SKXDを権限Xに与えることにより、Dに対する管理をXに与える(簡単にするために、エンティティがそれの適切な識別子と合致すると全体を通じて仮定する)。特に、我々はSKXD=H(SKD,X)を持つことができる。その後で前と同様に、権限機関XはSKXDを用いて、ユーザUにDをある時間間隔d(例えば、日)の間Dをアクセスすることを許可する。特に、SKXDを専用鍵署名技術の署名鍵として使用することにより、例えば、SKXDUd=H(SKXD,U,d)を計算し、その後でSKXDUdをUのカードに保存させることにより。UのカードがDの読取器と通信すると、カードは(a)Xと(b)SKXDUd、およびd(およびユーザUについての情報)などのおそらく他の情報を読取器に与える。この情報を受けると、読取器はH(SKD,X)を計算し、その後で結果を(SKXDに等しいといわれる)同じ専用鍵技術および署名(U,d)の署名鍵として使用する‐上記例ではそれをSKXDに組合わせた後で(U,d)をハッシングすることにより。結果がカードにより与えられた値(SKXDUdといわれる)と合致すると、時間間隔が読取器クロックに対して正しければ(かつUが正しいPINを入れ、PINが上記システム内で適切に使用されるならば)、ドアは開く。
このドア当り単一鍵システムは鍵保存の要求を最小にするばかりでなく、管理を加えるという問題を極めて簡単にする。権限機関Xが最初にドアDを管理することが必要になった時はいつでも、SAはDに物理的に到達する必要はなく、新しいD‐X鍵をDの読取器に挿入する(またはXの挿入を容易にする)。むしろ、DがSAの知っている鍵SKDを持っているとすると、SAはD‐X鍵をSKDから単に計算し(例えば、SKXD=H(SKD,X))、そのD‐X鍵をXに与える。
各ドアDと、時間間隔(例えば、日)d’の間Dを管理する資格を与えられている権限機関Xについて、SAはこの事実のそれの署名を計算して使用できるようにする。例えば、この証明書は、SAがドアDと共用する鍵SKDに対する専用鍵署名とすることができる。特に、この署名は値H(SKD,valid,X,d’)とすることができる。専用鍵署名であるとしても、署名自体は案ずることなく公開できることに注意されたい。たしかに、上記の専用鍵署名のHを基にした実現は、Hが安全な一方向ハッシュ関数であるとすると、H(SKD,valid,X,d’)からSKDを計算することは非常に困難である。したがって、ユーザUが彼のカードでその日の正しいドア管理許可を取り出すと、彼はドアDのためにSKXDUdばかりでなくH(SKD,valid,X,d’)も取り出す。ドアDの読取器はその後でSKXDUdを前のように検証し、SKD、有効、Xおよびd,を一緒にハッシングすることにより間隔d,の間Dに対する管理をXが確かに行うことをさらに確認し、カードにより保持されている同じ値が得られるかを調べ、それのクロックに従って現在の時刻がd,内であるかを調べる。実際に、SA(およびD)のみが秘密署名鍵SKDを知り、権限機関XがH(SKD,X)を知るが、H(SKD,X)とH(SKD,valid,X,d’)からSKDを計算することは非常に困難である。時間間隔dとd,は同じではないことがあることに注意されたい。例えば、週ごとにDを管理する許可をXに与えるためにSAを満足させることができるが、Xは毎日Dに対するアクセスの許可をユーザに与えることができることに注意されたい。あるいは、このシステムは上記のようなSKXDの使用の代わりにその鍵の時間に依存するもの、例えば、SKXDd=H(SKD,X,d)を使用できる。そうするとSAは、時間期間dより前に、SKXDdを各権限機関Xに供給せねばならない。管理を取り戻すために、SAはXのドアDに対する管理を否認することを決定する期間の間、SAはSKXDdを送ることを単に停止する。
ここで、スーパー権限機関SAと、多数の(なるべく切り離されている)ドアDと、多数の機構Xと、多数のユーザUとを取り扱うシステムにおいて安全な物理アクセスを行う我々の好適な実現の概略を説明する。この好適な実施形態は鍵の保存を最小にして、機構XがドアDの管理を付加したり、取り戻すことを非常に容易にする。
各d日に、SAがドアDをアクセスする許可を機構Xに与えることを望んだとすると、それは計算して秘密鍵SKXDd、すなわち、X、D、およびDにより検証できる(例えば、入力Xとdで)日dに確実に結び付けられている鍵、をXに受けさせる。
ケルベロスの手法を直接用いることは我々の安全アクセス用途では非常に良くは機能しない。全てのドアとSAを1つの部門として実現することが最も自然である(その部門ではSAを入場券交付サービス、TGS、として機能する)。そうすると各機構およびその被用者は別々の部門である。そうなると各機構の権限機関はその部門に対する認証サービス、AS、(およびおそらくそれ自身のTGS)として機能する。ケルベロスのプロトコルに従って、各ユーザは、入場券交付券、TGT、を得るそれぞれの権限機関/ASに対して認証する。このチケット(券)TGTはその後で、ユーザがアクセスする資格を与えられている各ドアに対するサービス提供券に対する要求と一緒に、ユーザによりSA/TGSへ送られる。そうするとSA/TGSはユーザの資格を検証せねばならず、かつもしユーザが‐全てが正しければ‐それらのサービス提供券を提供するならば。このプロトコルは明らかに全く困難であり、SAに負担の多くを掛ける。特に、特定のユーザにどのドアをアクセスする資格が与えられているかを検証することと、それぞれのチケットを発行することはSAの責任である。さらに、SAがオンラインであることと、リアルタイムでプロトコルを使用することをこの手法は求めている。SAへのユーザチャネルを有することは安全に対する脅威をさらに増大する。
原則として、我々はケルベロスプロトコルを「放棄」でき、チケットを使用するのみである。すなわち、全てのチケットは先に予め注文して前もって計算され、ユーザは、適切なケルベロスプロトコルの関与無しに、主ドアに入る際にそれらのチケットを受け取る。
この問題の対処を支援する1つのやり方はリアルタイム証明書、RTC、を利用することである。例えば、上記のやり方のようにしてチケットを使用できる。しかし、このやり方では、チケットを毎日発行できないことがある。その代わりに、チケットの許可データフィールドに設けられているRTCを介して短期アクセス管理を取り扱う長期チケットを使用できる。
1.管理の容易さ:
a.今は、SAは比較的たまに関与せねばならない、
b.比較的大きなチケットの代わりに、ユーザははるかに小さいRTCを取り出す必要がある、
c.RTCの発生は対応する権限機関委任できる、
d.管理の取り戻しが容易である。これは少なくともふたとおりのやり方で行うことができる。第1に、一層簡単かつ不完全である‐チケットは出た後でSAにより更新できないことがある。より精巧になったメカニズムは2種類のRTC、SAにより出されるものと、他の権限機関により出されるもの、を利用する。そうすると各日にSAは各権限機関ごとに1つのRTCを出す必要がある。それはそのままである(あるいは、各権限機関‐ドア対ごとにRTCを出さねばならないかもしれない、この場合にはRTCはドアを開く資格を与えられている)。各権限機関は各ユーザごとに、RTCをまた出す(あるいは、ユーザ‐ドア対ごとに、この場合にはユーザはドアを開く資格を与えられている)。注意、より従来のケルベロス手法はより多くのチケットを発行して、オンライン・プロトコルで次々に回されることを求める、
e.RTCは役割をはっきり分けて、管理および下部構造の多くの面を容易にする。
a.スペース:RTCは対応するチケットよりはるかに小さい、
b.時間:それらははるかに短く(そしてそれらは少なく、全体の通信の数も少ない)ので、通信ははるかに速くて、RTCを妥当なペースでピックアップしている間にユーザはドアを通ることができるようにされる、
c.負荷分散:RTCは安全でない応答者により分配できる。RTCの応答は費用も少なく、危険でもない。
a.RTCはセキュリティに敏感でなく、ひとたびそれらが発生されると、セキュリティに対する何等の脅威もなしに極めて容易に管理できる(例えば、安全ににされていない応答者により)、
b.チケットと権限機関の分離(RTCによる)によって鍵管理のセキュリティが極めて高くなる(鍵/チケットが実際に発生されて通信された時)、
c.SA分離:SAはユーザのいずれに対しても直接の通信線を引く必要は実際に決してない。
上記メカニズムは核となるケルベロスの機能から得る利益はかなり少ないことが観察できる(この理由の大きなものは、ケルベロスが種々の用途のために構成されたためである)。したがって、ここではケルベロスに直接関連していない、RTCを基にしたメカニズムをどのようにして利用できるかをさぐることにする。それらのメカニズムは上記専用鍵暗号化メカニズムおよび専用鍵署名メカニズムに類似することがある。
アクセス管理権は日ごとに劇的に変わることはしばしばはないことを観察できる。したがって、上記メカニズムのパワーの多くは利用されない。我々はRTC集合メカニズムを提案する。それはそのように比較的安定な環境において効率を一層高めるために利用できる。
例として、おのおの1000のドアをアクセスする100の機構の場合について考えることにする。したがって、100000の機構‐ドア対があり、そのためにSAが毎日発行して配布する100000のRTCADd証明書がある。さらに、各機構が約1000人の人を採用しているならば、これは100000000のRTCADd証明書を全ての機構が発行して配布することになる。
リアルタイム証明書のために多数の異なる実現が可能である。RTCのそれらの実現は多くの種々の最適化も行えるようにする。例えば、リアルタイム証明書を次のように実現することができる。x0をランダムな値、例えば、20バイト長さ、にする。xiをxi=Hash(xi)と定義する。xnを何等かのやり方で固定された(例えば、SAからドアDへ確実に伝えられる)公開値とする。そうすると、xn-dは時間期間dの間リアルタイム証明書RTCdである。それはHash()をxn-dにd回適用することにより検証でき、結果がxnに等しいことを検証する。これはほぼ、公開鍵証明書の場合にRTCがどのようにして実現できるかである‐例えば、証明書の一部としてxnを含むことができる。
ここで、デジタル証明書バリデーションのためのオープン証明書状態プロトコル(Open Certificate Status Protocol)(OCSP)を使用する環境内でのリアルタイム証明書バリデーションのために本発明の好適な実施形態の使用について説明する。これは本発明の技術がOCSP規格との互換性をどのようにして維持し、しかも従来のOCSP実現よりも質的に優れたセキュリティと大規模化の可能性を提供することを示す。
CRLは、一緒にまとめられた多数の証明書についての無効の(およびしたがって、間接的に、バリディティの)証明を提供するので、大きく成長することがある。対照的に、OCSPは個々の証明書のバリディティの証明を提供する。OCSPのサービスはOCSP応答者により通常実現される。そのような応答者はサーバであって、このサーバは所与のCAにより出された所与の証明書のバリディティについてのクライアント(依頼側ともいう)からの照会を受けると、証明書の状態と応答の時刻を示すデジタル署名された応答を提供する。これを行うためには、OCSP応答者がCAの証明書の全ての状態を知る必要がある。その理由はCA自身の証明書を無効にできるのがCAだからである。OCSP応答者がCA自体であるとすると、その知識は平凡に獲得される。さもなければ、CAの証明書の状態についてOCSP応答者を更新されたままにする何か別の態様を採用せねばならない。例えば(米国特許第5717758号、証人を基にした証明書無効システム(Witness-Based Certificate Revocation System)参照)、CAはそれの最近のCRLを応答者へ送ることができ、応答者は、対象とする証明書が現在有効であるか無効にされたかを演繹するために署名されたドキュメントを参考にし、それの署名された応答でそのように言い、時刻と次の更新の時刻を示す。(ここではこの更新時刻がCAの次のCRLの日付と一致することが自然である。その理由は異なる応答をトリガすることができるのはCRLであるからである)。
欠点1:計算量:
デジタル署名は計算集中的な操作である。各応答ごとに応答者により行われるデジタル署名は要求があった時に発生され、それはバリデーション操作の最も計算集中的な部分である。それはトランザクション時間にどこでも50ミリ秒から1秒まで容易に付加できる。
単一のバリデーションサーバがOCSPを集中化したやり方で実現すると仮定する。その後で、全ての証明書‐バリディティ照会を、最終的に、それへ選択した経路で送らねばならず、そうすると、図3に示すように、サーバはかなりの混雑と遅延をひき起こす大きな「ネットワークの隘路」となる。極めて多数の正直なユーザがサーバに突然照会したとすると、混乱を生ずる「サービスの拒否」がおそらく続く。
集中化したOCSP実現がひき起こすことがある隘路(ボトルネック)問題を阻止するために、CAはそれの証明書により発生された要求負荷をいくつかのOCSPサーバ(それが適切に証明する)に分配することにより、その負荷を分配することを考えることがある。一般に、単一のサーバの負荷を、世界中に戦略的に配置されているいくつか(例えば、100)のサーバの間に分配すると、ネットワークの混雑が軽減される。しかし、OCSPの場合には、負荷を分配するとそれが解決しようとする問題よりも悪い問題をひき起こす。それが受けた証明書照会に対するそれの応答に署名するために、100のサーバのおのおのはそれ自身の秘密署名鍵を持たねばならない。そうすると、100のサーバのいずれもうまくまとめることによってシステム全体が効果的にまとめられる。
OCSPは種々の安全領域から出された証明書バリディティ要求を処理することが困難である。図4に示されているシナリオでは、機構#1によって動作させられている応答者はCA#1からの証明書の状態についての応答を提供できるが、別の機構により動作させられている応答者は「外部の」証明書についての応答を提供するために十分な情報を持っていないことがある。例えば、認証局CA2により動作させられている応答者2AはCA1の証明書についての要求にどのように答えるかを知らない。
上記諸問題にかんがみて、我々は代わりの証明書バリデーションシステムを提供する。リアルタイム証明書(RTC)は、現在のOCSPとの互換性を保ちながら、従来のOCSPの上記諸欠点の全てを解決する。RTC技術は次の点で従来のOCSPとは異なる。
2.全てのバリディティ信頼を単一の権限機関(RTC権限機関)に集中する。さらに、
3.この1つの権限機関から照会負荷を任意の数の保護されていない応答者を通じて分配する、
4.何千もの応答者(かつそれらの応答者が保護されていないとしても)に依存している分散実現においてさえもセキュリティを減じない、
5.照会に対する応答時間を劇的に短縮する。
(1)時間間隔Tについての予め計算された応答がTの初めに(またはTに関連する他の適切な時間)に受けられたことを検証する、
(2)受けられたRTCA署名を検証する(およびおそらく適切なRTCA証明書も)、
(3)それが全ての署名を受けたかどうかを検証する(例えば、予測された署名の数より少ない、最後のトランザクションにおけるより少ない署名、等)、
(4)それが以前に告知された無効にされた証明書についてのRTCAが署名したバリディティ告知を受けたかどうかを検証する、等
ができる。何等かの問題が検出されると、それはRTCAまたはその他の適切なエンティティに知らせることがある。
RTCAはCAの現在の証明書の全てに対してデジタル署名されたバリディティ告知(証明、その告知は偽造できないので)を定期的に発生し、その後でそれらを任意の対象とする応答者に分配する。(各証明は、RTCA専用鍵により署名された、統語的に正しいOCSP応答として構成することが好ましい)。依頼者が証明書の状態について照会する、RTC応答者はそれが受けた対応する予め発生された応答を戻すことができる。依頼者はRTCAの署名を検証できる。(また、RTCAの証明書を検証して、所与のCAに対する真正なRTC権限機関を確実に取り扱えることができるようにする。)
利点1:計算:
デジタル署名は計算集約操作である。しかし、RTCシステムはこの困難を単一のサーバ(エンティティ)、RTCA、に集中する。したがって、この1つのエンティティに、求められている全てのデジタル署名を取り扱うのに十分強力なコンピュータを装備することは非常に容易で、比較的安い費用で装備できる。対照的に、RTC応答者は些細な計算のみを実行する。それらは本質的には、(1)RTCA署名を保存し、(2)依頼者の照会に応じてフェッチ‐送り操作だけを行う。したがって、それらは非常に安いハードウェアで実現できる。その結果、RTCの総費用をOCSPのそれよりも十分に低くできる!同時に、応答時間ははるかに短い。たしかに、非常に安価なRTC応答者が予め計算されたRTCA応答をフェッチして送るための時間は、依頼者の照会に応じてデジタル署名を実行せねばならないOCSP応答者が要する時間と比べて無視できる。
このRTCシステムでは、応答者は些細なハードウェアを使用でき、かつ安全である必要はない。したがって、RTC応答者は確かに非常に安く、膨大な数で配置できる。すなわち、RTCシステムを何時でも分布実現できる。したがって、短い時間内に無数のバリディティ照会が生じたとしても、この負荷は多数のRTC応答者の間に常に分散できて、出費の増大を招くことなしに混雑やサービスの慇懃な拒否が解消される。(RTCAの作業の量は証明書の数に依存し、バリディティ‐状態紹介の数により影響されることはない。したがって、膨大なkz宇野バリディティ照会が予測されたとしても単一のRTCを使用できる。)
利点3:セキュリティ:
RTCシステムではRTCAのみ(他にCA、それが異なる/異なって配置されているエンティティならば)を保護できる。実際に、応答者はいかなる秘密鍵も保存しない。それらはRTCAのデジタル署名を保存するだけであるが、全てのセキュリティ目的のために、RTCAにより計算された後では完全に公開できる。対照的に、各OCSP応答者は秘密署名鍵を有する。それはどれがシステム全体と妥協できるかを妥協する。したがって、足すの等しく重要な場所よりも1つの場所を守ることが好ましい。
それらの利点に加えて、OCSPを介したRTC(RTC-over-OCSP)手法によって、多数の機構を含んでいる多様なPKI配置に大きな融通性を持たせることができる。以下の線図はRTC‐over‐OCSPがクロスCA環境でどのようにして配置されるかを示すものである。
図7は極端な場合を示し、ここでは応答者が強化された信頼点ではなくて透明なネットワーク下部構造として取り扱われている。それはRTCの極端な場合が、多数の源からの証明書の状態についての照会を処理できる応答者の雑多な群の安全な構造を、どのようにして可能にしているかを示す。これはインターネットのDNS下部構造により提供されるサービス群に類似し、照会の有効な応答を発見およびキャッシュするために明らかに共通動作する名称サーバの異種集合を許す。
二当事者対三当事者証明書バリデーション:
Uを証明書Cuを持つ関係者とする。関係者Vとのトランザクションの一部として、UはCuをVへ送ることができ(Vがそれを既に持っていなければ)、付加タスク(Uに属しているCuにおいて証明される公開検証鍵に対してデジタル署名を示す、またはUに属しているCuにおいて証明される公開暗号化鍵を用いてVにより暗号化されるランダムな問い掛けを解読することにより特定されるなど)をおそらく実行する。トランザクションを安全にするために、VはCuの現在のバリディティを確認し、RTC応答者にバリディティ照会を行うかもしれない。応答者はこの照会に応答してほとんどの現在のRTCAが署名したCuについての告知をフェッチしかつ戻す。しかし、RTC応答者に照会すると三者を、他の場合には二者であるトランザクションにして、所望のU‐Vトランザクションの時間を長くする。
RTCシステムは個々の証明書で見出されるデータを用いて実現でき、それにより付加証明書と応答の長さとの少なくとも一方を省略できる。前に見たように、CAは、RTCA自身の証明書のバリディティについての許可応答を与えることを所与のRTCAができるようにするRTCA証明書を発生できる。そのようなRTCA証明書は、RTCAが署名した応答を検証するために使用せねばならない公開鍵を理想的に指定する。しかし、CAはこのRTCA公開鍵をそれ自身の証明書内に埋め込むことができる。すなわち、CAは(適切なフォーマット、OID等で)Cuのバリディティについてのデジタル署名された応答を検証するために使用すべき公開鍵PKも証明書Cu内に含むことができる。このようにして、依頼者は別のRTCA証明書を受ける必要はない。Cuのバリディティの最後の証明についてRTCに照会すると、それはRTCAが署名した応答のみをちょうど受けることがある(それがそう照会したので)。実際に、Cuは、Cuのバリディティの証明をを検証するために依頼者が者が使用できる公開検証鍵をCu自身内で指定する。これは伝送を大きく節約し(RTCが応答者が別々のRTCA証明書を送る必要がないかもしれず、それはRTCA応答よりもはるかに長いことがある)、および保存を大きく節約できる(Cuに依頼することの将来の苦情に対する保護として、依頼者がRTCA証明書をRTCA応答と一緒に保存する必要がないことがあるので)。
所与の証明書Cuについてのバリディティまたは一時停止のRTC証明はそれが照会する時間間隔を指定すべきであるが、無効の証明はいかなる時間間隔も指定する必要はない。時間の1つの点(例えば、実際の無効時刻)を指定するだけで十分である。バリディティおよび一時停止とは異なって、実際に、無効は無効にできないプロセスである。したがって、1つの無効時刻rtは無効にされた証明書を明らかにするのに十分である。そして、rtは任意の時間間隔Tの初めにする必要はない(例えば、それを「Tの中間の」任意の時刻にできる)。したがって、永久的な無効の場合には、RTCAはCの無効証明を全ての更新日(例えば、D1、D2等)に送る必要はない。原則として、無効証明は1回だけ(または冗長にするために数回)送ることができ、その後でRTC応答者によりキャッシュでき、その後でCについての依頼者照会が行われる時は常に戻される。
CA/RTCA/応答者/関係者/ユーザは任意のエンティティ(例えば、人、機構、サーバ、装置、コンピュータプログラム、コンピュータファイル)またはエンティティの集合とすることができる。
以下に説明するのは、関係者において連結下部構造なしで実行されるリアルタイムバリデーションおよび無効化による効率的な三要素認証である。これはドアなどの物理アクセス用途、またはファイルやアプリケーションのアクセスなどの論理用途のために機能できる。物理アクセスのシナリオを以下に説明する。その他の応用は当業者にとってはこのモデルから容易に一般化できる。
1.ユーザは無線装置(物理トークン)に保存されている証明書を有する。このトークンはデジタル署名と専用鍵を安全に保存できる性能を持つことが好ましい。また、トークンは長距離(WAN)接続法(GPRS、SMS、ページャーCDMA、GSM等など)と、短距離(PAN)接続法(ブルートゥース(Bluetooth)、IR、RF等)を有する。トークンは日の付加認証要素(PIN用のキーパッドまたはバイオメトリック読取器など)も有する。この例はトークンがブルーツゥース携帯電話であると仮定している;
2.ドアは標準PKI操作を実行できる小型CPUを有する制御パネルと、物理トークンと会話するための短距離(PAN)接続法とを有する。この例は我々の標準デモドアに類似するブルーツゥースが可能にするコンピュータを仮定している;
3.ユーザはPIN番号を携帯電話に入力すること(または、バイオメトリック読取器を利用できるならば、彼自身のバイオメトリック情報を入力する)を助言される。この助言は、ユーザがドアを通ろうと試みる最初の時に、数時間ごとに、ランダムに、特殊なSMSメッセージを受けた時に、1日に1回行うことができる。PIN(またはバイオメトリック)は認証の第2の要素として機能し、物理アクセス用途に使用するために電話の「ロックを解除する」;
4.ユーザがドアの範囲内(ブルーツゥースの場合には30フィート)に来ると、電話およびドアは相互に認識して最初の心証とバリデーション動作を開始する;
4.1(オプション)ドアはドアの証明書をブルーツゥースを介して電話へ送ることによりドアは自身を電話に対して証明書する。電話は証明書を検査し、我々の標準法のいずれかを用いてドアをバリディイトする(電話へ定期的に送られるドアのmin‐CRLが良いやり方である)。これは「悪党読み手」の問題を解決し、電話が任意の情報を明らかにする前に真正な読み手であることを確かめる;
4.2 電話はユーザのバイオメトリック詳細を含んでいるユーザ証明書を送る。電話はRTC証明の現在のバリディティを示すために、RTC証明(バリデーション‐トークン‐すなわち、バリディティの20バイト証明‐または分布されたOCSP証明)も送る。その証明はWANを介して、1997年9月9日に発行された「証明書無効化システム(Certificate Revocation System)」という名称の米国特許第5666416号に記述されているものなどの、正常なCoresStreetのやり方で既に受けられていた;
4.3 ドアはユーザの証明書を正常なRTCのやり方で認証およびバリデートする。ドアは現在範囲内(多数の被用者がドアの付近に居ることがある)にある多数の(または全ても)電話に対してそれを行うことができる;
5.ユーザがドアに達するまでに、以前のステップは終了している。ユーザは彼女の指(またはその他のバイオメトリック)を、ドアにまたはドアの近く(多分実際のドアノブ)に設置されている読取器で走査する。ドアはバイオメトリック詳細を、その範囲内のバリデートされた全ての証明書に保存されているデータと照合する。バイオメトリックが一致するとドアは開く。さもなければドアは閉じたままである。
1強力な認証(この例では三要素、もっと多くも可能である);
2.ユーザに対して明らかである(ドアのところまで歩行してそれを開くだけ、カードは不要で、PIN番号を記憶することもない);
3.リアルタイム無効化およびバリデーション;
4.どのドアにも接続下部構造がない‐これを3000フィートまたは大洋の真ん中で行う;
5.標準ハードウェア部品および標準ソフトウエア部品で構成できる。
本発明の好適な実施形態は20バイトの偽造できない、公開「証明」を基にしている。20バイト証明は、ハッシングと呼ばれる一方向関数を用いて暗号的に保護される。このプロセスは簡単で、暗号化を必要とせず、デジタル署名を使用しない。それらの特性は大規模配置(何億という規模)、帯域幅が制限される用途(例えば、無線用途)、オフライン・バリデーション(すなわち、ネットワーク接続を求められない)のためにこの技術を理想的なものにする。
ソフトウエアの除去/迂回:「管理特権」を有するならば可能であるが無効になった後は極めて困難である。選択できるBIOS/ハードウェア対策はほぼ100%の保護を行える、
ハードドライブの交換/改造:全てデータ喪失を安全にし、選択するBIPS/ハードウェアはドライブの交換を阻止するために留め金で留める、
データを読出すためにハードドライブを他のマシンへ移動する:データを暗号化できる、
無効トークンの受取り阻止:リースが失効するまでのみラップトップの操作を延長する(最悪の場合)。
Claims (21)
- 現在の時刻を決定する手段を有する少なくとも1つの非接続のドアDへの少なくとも1人のユーザUのアクセスをエンティティAが管理する方法であって、
一連の日付の各時間間隔dに対して、ユーザUが時間間隔d中にドアDをアクセスできることを示すデジタル署名SIGUDdをAが発生するステップと、
Dを通ることができるようにするために、時間間隔d中にUにSIGUDdを受け付けさせてドアDに提示するステップと、
UがSIGUDdをドアDに提示するステップと、
(i)SIGUDdが、確かに、Uが時間間隔dにドアDをアクセスできることを示すAの署名であることと、(ii)現在の時刻が確かに時間間隔d内であることと、を検証した後でDを開かせるステップと、
を備える方法。 - Uがユーザカードを有し、Dが電気機械的な錠に接続されているカード読取器を有し、UはSIGUDdを彼のカードに保存することによりSIGUDdを受け取り、Dのカード読取器により彼のカードを読み取らせることによりSIGUDdをDに提示する、請求項1に記載の方法。
- Aは、UがアクセスできるデータベースにSIGUDdを掲載することにより、時間間隔d中にSIGUDdがUに受け取られるようにする、請求項1に記載の方法。
- SIGUDdが公開鍵署名であり、DがAの公開鍵を保存する、請求項1に記載の方法。
- DがUについての識別(identity)情報も検証する請求項1に記載の方法。
- Uについての識別情報は、PINと、Dの問い掛け(チャレンジ)に対する応答との少なくとも1つで構成される、請求項1に記載の方法。
- エンティティAと、少なくとも1つの非接続のドアDと、ドアにアクセスするためにユーザカードを所有するユーザとを備えるアクセス管理システムにおける、所与のユーザUがDにアクセスすることを試みたことを、非接続のドアDがAに通知する方法であって、
UがドアDにアクセスすることを希望していることを示す情報IUをDがUから受け取るステップと、
DがIUを少なくとも一時的に保存するステップと、
少なくとも1人の引き続くユーザVに対して、エンティティAに提示するためにDがVにIUをVのカードに少なくとも一時的に保存させるステップと、
を備える方法。 - AがアクセスできるデータベースへIUを転送することにより、あるいはAに情報を送信することにより、VがIUをAへ提示する、請求項7に記載の方法。
- IUは、(i)ドアDをアクセスするためにUに供給される情報と、(ii)DをアクセスするためにUにより発生される情報と、の少なくとも1つを含む、請求項7に記載の方法。
- IUはUにより発生されるデジタル署名を含む請求項7に記載の方法。
- IUはUのデジタル署名を含む請求項7に記載の方法。
- リアルタイム信用証明体であって、固定されている第1の部分と、定期的に変更される第2の部分とを含み、前記第2の部分は前記リアルタイム信用証明体が現在通用のものであることの証明を与えるリアルタイム信用証明体を調べることと、
前記第1の部分に対してある操作を実行して、その結果を前記第2の部分と比較することにより、リアルタイム信用証明体の有効性を検証することと、
リアルタイム信用証明体が有効であると検証された場合のみに物理アクセスを行えるようにすることと、
を備える物理アクセスを管理する方法。 - 前記第1の部分が権限機関によりデジタル署名される請求項12に記載の方法。
- 権限機関が前記第2の部分を提供する請求項13に記載の方法。
- 前記第2の部分が前記権限機関以外のエンティティにより提供される請求項14に記載の方法。
- 前記リアルタイム信用証明体がスマートカード上に設けられる請求項12に記載の方法。
- ユーザは、前記リアルタイム信用証明体の前記第2の部分を第1の場所で取得する請求項12に記載の方法。
- 前記ユーザは、前記第1の場所とは異なり離れている第2の場所にアクセスすることを許される、請求項17に記載の方法。
- 前記リアルタイム信用証明体の前記第1の部分の少なくとも一部が、前記リアルタイム信用証明体の前記第2の部分の一部に複数回適用される一方向ハッシュを表す、請求項12に記載の方法。
- 前記複数回は、前記リアルタイム信用証明体の前記第1の部分が発行されてから経過した時間の量に対応する請求項19に記載の方法。
- 物理アクセスの管理は、ドアを通るアクセスを管理することを含む、請求項12に記載の方法。
Applications Claiming Priority (13)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US37086702P | 2002-04-08 | 2002-04-08 | |
US37295102P | 2002-04-16 | 2002-04-16 | |
US37321802P | 2002-04-17 | 2002-04-17 | |
US37486102P | 2002-04-23 | 2002-04-23 | |
US42079502P | 2002-10-23 | 2002-10-23 | |
US42119702P | 2002-10-25 | 2002-10-25 | |
US42175602P | 2002-10-28 | 2002-10-28 | |
US42241602P | 2002-10-30 | 2002-10-30 | |
US42750402P | 2002-11-19 | 2002-11-19 | |
US44340703P | 2003-01-29 | 2003-01-29 | |
US44614903P | 2003-02-10 | 2003-02-10 | |
US10/395,017 US7337315B2 (en) | 1995-10-02 | 2003-03-21 | Efficient certificate revocation |
PCT/US2003/010748 WO2003088166A2 (en) | 2002-04-08 | 2003-04-08 | Physical access control |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2005525731A true JP2005525731A (ja) | 2005-08-25 |
Family
ID=29255792
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003585029A Pending JP2005525731A (ja) | 2002-04-08 | 2003-04-08 | 物理アクセス制御 |
Country Status (6)
Country | Link |
---|---|
EP (1) | EP1493131A2 (ja) |
JP (1) | JP2005525731A (ja) |
CN (1) | CN100473002C (ja) |
AU (2) | AU2003228468B2 (ja) |
CA (1) | CA2479869C (ja) |
WO (1) | WO2003088166A2 (ja) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007511983A (ja) * | 2003-11-19 | 2007-05-10 | コアストリート、 リミテッド | 分散委任されたパス発見及び検証 |
JP2010540802A (ja) * | 2007-09-28 | 2010-12-24 | イロク オサケ ユキチュア | 錠管理システム |
JP2014514870A (ja) * | 2011-04-28 | 2014-06-19 | クアルコム,インコーポレイテッド | ソーシャルネットワークベースのpki認証 |
JP2015057703A (ja) * | 2013-09-16 | 2015-03-26 | アクシス アーベー | アクセス制御システムにおける分散されたイベント |
Families Citing this family (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1668617B1 (en) * | 2003-09-19 | 2009-12-09 | NTT DoCoMo, Inc. | Method and apparatus for efficient certificate revocation |
CN1998181B (zh) * | 2004-01-09 | 2012-01-04 | 科尔街有限公司 | 批处理ocsp和批处理分布式ocsp |
WO2005070116A2 (en) * | 2004-01-09 | 2005-08-04 | Corestreet, Ltd. | Communication-efficient real time credentials for ocsp and distributed ocsp |
US8166532B2 (en) | 2006-10-10 | 2012-04-24 | Honeywell International Inc. | Decentralized access control framework |
CN101241610B (zh) * | 2007-02-08 | 2011-03-23 | 黄金富 | 采用无线射频识别技术的行李查核系统和方法 |
CN104282068A (zh) * | 2012-03-15 | 2015-01-14 | 江苏省电力公司常州供电公司 | 变电所防误锁具的许可装置 |
CN107004315B (zh) * | 2014-12-02 | 2020-08-04 | 开利公司 | 利用虚拟卡数据的进入控制系统 |
EP3208777A1 (en) * | 2016-02-16 | 2017-08-23 | ILESO Engineering GmbH | Control panel, use, and process for the manufacture thereof |
EP3507939B1 (en) | 2016-09-02 | 2020-07-22 | Assa Abloy AB | Key delegation for controlling access |
WO2018154058A1 (en) | 2017-02-24 | 2018-08-30 | Assa Abloy Ab | Delegation and auxiliary condition for physical access |
US10505917B2 (en) | 2017-06-05 | 2019-12-10 | Amazon Technologies, Inc. | Secure device-to-device process for granting access to a physical space |
US11410177B1 (en) | 2017-07-21 | 2022-08-09 | Zonar Systems, Inc. | System and method for facilitating investigation of expense card fraud |
US11263711B2 (en) | 2018-03-22 | 2022-03-01 | Honeywell International Inc. | Revocable certificates for guestroom access and guestroom controls by mobile devices |
CN110086623B (zh) * | 2019-03-13 | 2022-06-03 | 捷德(中国)科技有限公司 | 一种基于安全元件的固件防伪方法及安全元件 |
CN111127706B (zh) * | 2019-11-28 | 2022-04-22 | 深圳指芯物联技术有限公司 | 智能锁控制方法、智能锁、云服务器及计算设备 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH01151673A (ja) * | 1987-09-18 | 1989-06-14 | Ntt Data Corp | 入退室管理装置 |
JPH10184129A (ja) * | 1996-12-26 | 1998-07-14 | Hochiki Corp | 入出退管理システム |
JPH11296076A (ja) * | 1998-03-23 | 1999-10-29 | Internatl Business Mach Corp <Ibm> | 小時間鍵生成の方法及びシステム |
JP2001148037A (ja) * | 1999-11-19 | 2001-05-29 | Open Loop:Kk | 電子チケット利用システム、電子チケット発券装置、電子チケット保持装置、電子チケット検札装置、電子チケット利用方法及び記録媒体 |
JP2001257668A (ja) * | 2000-03-14 | 2001-09-21 | Ntt Data Corp | 認証システム、携帯端末、認証方法及び記録媒体 |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4453074A (en) * | 1981-10-19 | 1984-06-05 | American Express Company | Protection system for intelligent cards |
US4837822A (en) * | 1986-04-08 | 1989-06-06 | Schlage Lock Company | Cryptographic based electronic lock system and method of operation |
NL9300566A (nl) * | 1993-03-31 | 1994-10-17 | Nedap Nv | Toegangsverleningssysteem met decentrale autorisaties. |
FR2722596A1 (fr) * | 1994-07-13 | 1996-01-19 | France Telecom | Systeme de controle d'acces limites a des places horaires autorisees et renouvables au moyen d'un support de memorisation portable |
EP0723251A3 (en) * | 1995-01-20 | 1998-12-30 | Tandem Computers Incorporated | Method and apparatus for user and security device authentication |
DE19611632A1 (de) * | 1996-03-25 | 1997-10-02 | Deutsche Telekom Ag | Off-Line-Datenstationen mit virtueller On-Line-Fähigkeit |
US5742035A (en) * | 1996-04-19 | 1998-04-21 | Kohut; Michael L. | Memory aiding device for credit card pin numbers |
US6038666A (en) * | 1997-12-22 | 2000-03-14 | Trw Inc. | Remote identity verification technique using a personal identification device |
FR2774833B1 (fr) * | 1998-02-09 | 2003-02-21 | France Telecom | Protocole de controle d'acces entre une cle et une serrure electroniques |
ES2236973T3 (es) * | 1999-01-28 | 2005-07-16 | International Business Machines Corporation | Metodo y sistema de control de acceso electronico. |
-
2003
- 2003-04-08 AU AU2003228468A patent/AU2003228468B2/en not_active Ceased
- 2003-04-08 EP EP03726222A patent/EP1493131A2/en not_active Ceased
- 2003-04-08 CN CNB038132664A patent/CN100473002C/zh not_active Expired - Lifetime
- 2003-04-08 WO PCT/US2003/010748 patent/WO2003088166A2/en active Application Filing
- 2003-04-08 JP JP2003585029A patent/JP2005525731A/ja active Pending
- 2003-04-08 CA CA2479869A patent/CA2479869C/en not_active Expired - Lifetime
-
2010
- 2010-01-04 AU AU2010200020A patent/AU2010200020B2/en not_active Expired
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH01151673A (ja) * | 1987-09-18 | 1989-06-14 | Ntt Data Corp | 入退室管理装置 |
JPH10184129A (ja) * | 1996-12-26 | 1998-07-14 | Hochiki Corp | 入出退管理システム |
JPH11296076A (ja) * | 1998-03-23 | 1999-10-29 | Internatl Business Mach Corp <Ibm> | 小時間鍵生成の方法及びシステム |
JP2001148037A (ja) * | 1999-11-19 | 2001-05-29 | Open Loop:Kk | 電子チケット利用システム、電子チケット発券装置、電子チケット保持装置、電子チケット検札装置、電子チケット利用方法及び記録媒体 |
JP2001257668A (ja) * | 2000-03-14 | 2001-09-21 | Ntt Data Corp | 認証システム、携帯端末、認証方法及び記録媒体 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007511983A (ja) * | 2003-11-19 | 2007-05-10 | コアストリート、 リミテッド | 分散委任されたパス発見及び検証 |
JP2010540802A (ja) * | 2007-09-28 | 2010-12-24 | イロク オサケ ユキチュア | 錠管理システム |
US8516250B2 (en) | 2007-09-28 | 2013-08-20 | Iloq Oy | Lock administration system |
JP2014514870A (ja) * | 2011-04-28 | 2014-06-19 | クアルコム,インコーポレイテッド | ソーシャルネットワークベースのpki認証 |
US9369285B2 (en) | 2011-04-28 | 2016-06-14 | Qualcomm Incorporated | Social network based PKI authentication |
JP2015057703A (ja) * | 2013-09-16 | 2015-03-26 | アクシス アーベー | アクセス制御システムにおける分散されたイベント |
Also Published As
Publication number | Publication date |
---|---|
AU2010200020A1 (en) | 2010-01-28 |
CN1659597A (zh) | 2005-08-24 |
CN100473002C (zh) | 2009-03-25 |
WO2003088166A2 (en) | 2003-10-23 |
WO2003088166A8 (en) | 2004-08-05 |
EP1493131A2 (en) | 2005-01-05 |
AU2003228468B2 (en) | 2009-10-01 |
CA2479869A1 (en) | 2003-10-23 |
WO2003088166A3 (en) | 2004-04-01 |
AU2003228468A1 (en) | 2003-10-27 |
AU2010200020B2 (en) | 2012-12-13 |
CA2479869C (en) | 2013-07-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8171524B2 (en) | Physical access control | |
US9230375B2 (en) | Physical access control | |
US7353396B2 (en) | Physical access control | |
US20210351931A1 (en) | System and method for securely processing an electronic identity | |
US8732457B2 (en) | Scalable certificate validation and simplified PKI management | |
AU2010200020B2 (en) | Physical access control | |
Micali | Scalable certificate validation and simplified pki management | |
CN100401669C (zh) | 用于数据供应、交易和电子投票的方法和系统 | |
EP1325476B1 (en) | Wireless lock system | |
CN102959559B (zh) | 用于产生证书的方法 | |
US6775782B1 (en) | System and method for suspending and resuming digital certificates in a certificate-based user authentication application system | |
CN108229962A (zh) | 基于区块链的权限管理方法及系统 | |
US20090132813A1 (en) | Apparatus and Methods for Providing Scalable, Dynamic, Individualized Credential Services Using Mobile Telephones | |
EP3395006A1 (en) | Method for managing a trusted identity | |
US20010020228A1 (en) | Umethod, system and program for managing relationships among entities to exchange encryption keys for use in providing access and authorization to resources | |
Panda et al. | A blockchain based decentralized authentication framework for resource constrained iot devices | |
KR19990022451A (ko) | 다단계 디지털 서명 방법 및 시스템 | |
WO2002006932A2 (en) | Methods and systems for authenticating business partners for secured electronic transactions | |
KR102131206B1 (ko) | 법인 관련 서비스 제공 방법, 이를 지원하는 방법, 이를 수행하는 서비스 서버 및 인증 서버 | |
CN103858377A (zh) | 用于管理和控制来自组织成结构化集合的不同身份域的数据的方法 | |
US7660770B2 (en) | System and method for providing a secure contact management system | |
Bosworth et al. | Entities, identities, identifiers and credentials—what does it all mean? | |
JP2005521970A (ja) | デジタル・オブジェクトの認証および使用 | |
CA2814254C (en) | Physical access control | |
US20230267426A1 (en) | Payment system, coin register, participant unit, transaction register, monitoring register and method for payment with electronic coin data sets |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060407 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090909 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20091209 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20091216 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100309 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20100630 |