CN100374971C - 基于接近令牌单元对应用服务的安全访问 - Google Patents
基于接近令牌单元对应用服务的安全访问 Download PDFInfo
- Publication number
- CN100374971C CN100374971C CNB2004800155632A CN200480015563A CN100374971C CN 100374971 C CN100374971 C CN 100374971C CN B2004800155632 A CNB2004800155632 A CN B2004800155632A CN 200480015563 A CN200480015563 A CN 200480015563A CN 100374971 C CN100374971 C CN 100374971C
- Authority
- CN
- China
- Prior art keywords
- token
- application service
- service
- security token
- cryptographic technique
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000004891 communication Methods 0.000 claims abstract description 66
- 238000000034 method Methods 0.000 claims abstract description 61
- 238000005516 engineering process Methods 0.000 claims description 32
- 238000003860 storage Methods 0.000 claims description 15
- 238000012790 confirmation Methods 0.000 claims description 6
- 238000010200 validation analysis Methods 0.000 abstract description 3
- 238000007726 management method Methods 0.000 description 15
- 230000006870 function Effects 0.000 description 10
- 238000012545 processing Methods 0.000 description 9
- 230000007246 mechanism Effects 0.000 description 8
- 238000006243 chemical reaction Methods 0.000 description 6
- 230000008859 change Effects 0.000 description 5
- 230000004044 response Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 238000011084 recovery Methods 0.000 description 4
- 230000001360 synchronised effect Effects 0.000 description 4
- 238000013478 data encryption standard Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000003213 activating effect Effects 0.000 description 2
- 238000013475 authorization Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000012384 transportation and delivery Methods 0.000 description 2
- 241001441724 Tetraodontidae Species 0.000 description 1
- 238000010960 commercial process Methods 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 239000012141 concentrate Substances 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000001953 sensory effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
- G06F21/35—User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/20—Individual registration on entry or exit involving the use of a pass
- G07C9/22—Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/63—Location-dependent; Proximity-dependent
- H04W12/64—Location-dependent; Proximity-dependent using geofenced areas
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
一种提供对应用服务(105)的安全访问的系统包括耦合到应用服务(105)的安全令牌单元(110)。安全令牌单元(110)执行密码技术的第一元素,诸如,例如,加密或解密。接近令牌单元(115)被提供与安全令牌单元(110)相关联。接近令牌单元(115)执行密码技术的第二元素,以确认在应用服务(105)和安全令牌单元(110)之间的通信的有效性。接近令牌单元(115)只在接近令牌单元位于到安全令牌单元(110)或应用服务(105)的预定有效距离内时才被操作以确认所述通信的有效性。该系统可被配置来在接近令牌单元(115)确认所述通信有效性时提供对应用服务(105)的安全访问,并在接近令牌单元(115)没有确认所述通信的有效性时防止对应用服务(105)的安全访问。
Description
技术领域
本发明涉及对应用服务的安全访问。
背景技术
利用诸如智能卡的安全令牌单元来鉴别该智能卡的所有者,能够保护移动电话和其它承载设备的安全。在智能卡被激活以鉴别所有者之前,智能卡可能需要所有者通信一个秘密,诸如在智能卡和所有者之间共享的一个个人识别号码(PIN)。为了避免麻烦所有者,智能卡可能只要求所有者在一定延长的时间间隔提供PIN。在许多情况下,智能卡可以数小时、数周、甚至数月地保持激活。如果智能卡在激活时,承载设备被盗窃了,则盗贼就可以通过使用激活的智能卡将他自己鉴别为所有者,从而使用盗窃的承载设备访问或支付(charge)保密的服务(secure service)。
发明内容
在一个一般方面,一种提供对应用服务(application service)的安全访问的系统包括与应用服务通信的安全令牌单元(security token)。所述安全令牌单元执行密码技术的第一元素(first element)。与安全令牌单元相关联地还提供了接近令牌单元(proximity token)。接近令牌单元执行密码技术的第二元素,以便确认在应用服务和安全令牌单元之间的通信的有效性(validate)。只有在接近令牌单元位于到安全令牌单元或应用服务的预定有效距离内时,接近令牌单元才被操作以确认所述通信的有效性。
本发明的实施可以包括以下特征的一个或多个。例如,安全令牌单元可以使用密码技术的第一元素来检验所述接近令牌单元已确认了在应用服务和安全令牌单元之间的通信的有效性。密码技术可以包括对称的和/或不对称的密码方法。密码技术的第一和第二元素可以是互补的,例如加密和/或解密技术。密码技术还可以包括数字签名技术和/或数字信封技术。
为了确认所述通信的有效性,接近令牌单元可以直接与安全令牌单元通信。所述系统被配置,以便在接近令牌单元确认所述通信的有效性时提供对应用服务的安全访问,并在接近令牌单元没有确认所述通信的有效性时防止对应用服务的安全访问。
接近令牌单元可以包括消息产生电路以利用密码技术的第二元素产生接近消息。消息产生电路可以广播接近消息以确认所述通信的有效性,而广播的范围可以是这样的以至于该消息只在接近令牌单元处于到应用服务或安全令牌单元的预定有效距离内时被接收。
通信电路可以将接近令牌单元用作(engage)在应用服务和安全令牌单元之间通信的渠道(conduit),以便在接近令牌单元处于预定有效距离内时确认所述通信的有效性。例如,安全令牌单元的安全输出电路可以使用加密产生一个安全输出。通信电路可以利用恢复电路解密所述安全输出,以产生通信到应用服务或安全令牌单元的有效的(validated)输出。
或者,通信电路的有效命令电路可以将应用服务的命令加密到安全令牌单元,以产生有效的命令。安全令牌单元可以包括命令恢复电路,通过解密有效的命令来恢复所述命令。再次,为了进行有效性确认,只有在接近令牌单元位于到应用服务或安全令牌单元的预定有效距离内时,通信电路才通信所述命令和用于接收的有效的命令。
安全令牌单元可以包括具有安全执行电路和安全存储电路的智能卡。安全执行电路执行密码技术的方面,而安全存储电路则存储例如密码技术的密钥。
接近令牌单元可以包括预定移动设备或固定设备。并且,接近令牌单元自身可以包括安全令牌单元,诸如,例如,智能卡。接近令牌单元可以使用无线通信电路与使用短程无线技术的应用服务通信。此外,应用服务可以包括物理上分离的部分,诸如,例如,承载设备(例如,移动电话)和外部服务(例如,移动电话网络)。
安全令牌单元和接近令牌单元的一般和具体方面可以利用一种方法、一种系统或一种计算机程序,或者系统、方法和计算机程序的任意组合来实施。通过下面结合附图的描述,以及从权利要求书中,其它特征也将更加清楚。
附图说明
图1是一种利用接近令牌单元提供对应用服务的安全访问的系统的示意图。
图2是说明一个可由图1的系统实施的处理的流程图。
图3-6是说明利用接近令牌单元提供对应用服务的安全访问的示范性系统的示意图。
图7-11是说明可由图3-6的系统实施的多个处理的数据流程图。
图12是说明可由图3-6的系统实施的一个处理的流程图。
在各个附图中,相同的附图标记表示相同的元件。
具体实施方式
参考图1,一般化的系统(generalized system)100利用安全令牌单元110和接近令牌单元115提供对应用服务105的安全访问。接近令牌单元115确认在应用服务105和安全令牌单元110之间的通信的有效性,以便安全访问应用服务105。在提供对应用服务105的访问之前,安全令牌单元110可以检验所述有效性。下面对系统100的示范性部件进行更具体地描述。
应用服务105一般包括依赖安全令牌单元(例如,安全令牌单元110)以提供安全存储和/或安全执行功能的设备、系统和/或一段代码。例如,应用服务105可以包括诸如移动电话的移动设备、个人数字助理(PDA)、手写计算机(pen-based computer)、或笔记本计算机。应用服务105还可以包括固定设备,诸如,例如,桌上计算机、工作站、自动取款机(ATM)、或建筑物(building)安全系统。应用服务105可以包括企业客户端(client)、网络浏览器(例如,被配置以集成到安全令牌单元110的Giesecke & DevrientSTARSIM浏览器系统的SIM(订户识别模块)工具箱浏览器)、电子邮件客户端、同步客户端(例如,日历同步客户端或任务列表同步客户端)、电子钱包或电子钱夹、即时消息(IM)客户端、商业生产应用(例如,文字处理器或电子报表程序)、和/或操作系统或驻留在移动设备上的操作系统内核。
应用服务105还可以包括或访问(access)其它附加的服务。例如,应用服务105可以包括或访问被配置来与数据库服务通信的应用服务器(例如,诸如SAP WAS版本6.20的网络应用服务器(WAS)),所述数据库服务诸如,例如,可靠数据库管理系统(reliable database management system,RDBMS)或SAP R/3系统。数据库服务可以包括,例如,与企业服务、用户和/或客户相关的企业信息。此外,应用服务105可以包括CRM服务、企业资源计划(ERP)服务、电子邮件服务、会计服务、资源管理服务、同步服务(例如,日历同步服务、任务列表同步服务)、打印服务、文件存取服务、即时消息(IM)服务、操作系统、操作系统内核、鉴别服务、授权服务、和/或这些或其它服务的任意组合。
应用服务105还可以包括用于递送(delivering)有声和/或无声数据的各种机制,诸如,例如,短消息服务(SMS)、无线应用协议(WAP)、传输连接协议(transport connection protocol,TCP)、英特网协议(IP)、万维网、一个或多个局域网(LAN)、一个或多个无线局域网(WLAN)、和/或一个或多个广域网(WAN)。应用服务105还可以包括模拟或数字有线和无线电话网络,例如,公共交换电话网络(PSTN)、综合服务数字网(ISDN)、各种类型的数字订户线路(various types of digital subscriber lines,xDSL)、高级移动电话服务(AMPS)、全球移动通信系统(GSM)、通用分组无线业务(GPRS)、码分多址(CDMA)、宽带CDMA(WCDMA)、通用移动电信系统(UMTS)、无线电、电缆、卫星、和/或用于携载有声或无声数据的递送机制。
安全令牌单元110一般可以执行安全存储功能和安全执行功能。安全令牌单元110的安全存储和安全执行功能可以被用来提供,例如,机密性、用户鉴别、应用鉴别、交易(transaction)鉴别、和/或认可。安全令牌单元110可以通过检验与应用服务105的通信被接近令牌单元确认有效,来控制对应用服务105的访问。例如,安全令牌单元110可以基于数据密码技术,包括使用基本数据加密、数字签名、和/或数字信封,来检验、产生、或解译安全消息(例如,由接近令牌单元115确认有效的安全消息)。利用安全令牌单元110的安全存储和安全执行功能,可以完全在该令牌单元内存储和使用密码密钥。结果,防止了第三方窃听者听到安全令牌单元110的通信以截获该密码密钥。
为了附加的安全性,安全令牌单元110可以要求用户提供访问令牌(access token)(例如,个人识别号码(PIN)、口令、或生物测定指示器)来使能(enable)安全令牌单元10。为了提供针对窃贼的增强的安全性,安全令牌单元110可以被配置为在一定次数的失败的访问尝试之后自己锁闭(lockitself down)。安全令牌单元还可以包括一个内部时钟,并可以被配置为,例如,在预定的周期内、在一定次数的失败的访问尝试之后锁闭。
安全令牌单元110还可以被配置为要求确认与应用服务105的所有通信或仅仅是一些通信的有效性。例如,应用服务105可以被配置为提供安全的和非安全的服务两者,以及与其中每种服务相关联的特定通信类型。非安全的服务可以包括,例如,访问紧急电话号码,诸如911,或者访问不对用户进行收费的服务。安全令牌单元110可以被配置为不要求确认与应用服务105的非安全服务相关联的通信类型的有效性。
安全令牌单元110还可以被配置为采用一种或多种协议来保证所接收命令的新近程度(freshness)。例如,重放计数器技术可以被用来防止窃听者截取有效的命令,然后提交该有效的、但不是新近的命令到安全令牌单元110,以访问应用服务105。
为了提供安全存储和安全执行,安全令牌单元110可以包括具有与应用服务105分离的物理标识的专门的安全硬件和软件。例如,安全令牌单元110可以在一个安全的物理外壳中包括自己的存储器和处理器。安全的软件和数据(例如,密码算法和密钥和证书)可以利用所述安全的物理外壳中的存储器和处理器被存储和执行,以防止被窃听者观察或更改。安全令牌单元110可以包括,例如,集成了应用服务105的SIM工具箱浏览器的Giesecke &Devrient STARSIM浏览器系统。安全令牌单元110还可以包括随机数产生器(RNG)和/或内部时钟机制。
在一个这样实施方式中,安全令牌单元110包括能够提供安全存储和安全执行的智能卡或其它适合的处理器和/或存储卡(例如,通用串行总线(USB)令牌单元,GSM SIM,和/或UMTS SIM(USIM))。智能卡可以利用以下标准来定义,例如,诸如国际标准化组织(ISO)7816-X、ISO和国际电工委员会(IEC)14443-1规范、欧洲电信标准协会针对GSM SIM的规范、和/或Europay International、Master Card International,以及Visa CardInternational(EMV)针对付费系统的规范。智能卡可以解密所接收的安全消息,加密请求或答复以形成输出的安全消息,并可以使用安全消息与应用服务105通信。安全消息可以包括有声和/或无声数据。
在另一个方面,安全令牌单元110可以作为应用服务105的一部分被包括,并通过对观察和更改有抵抗力的防篡改软件(TRS)来使用应用服务的资源进行实施。TRS可以使用其操作的交织存取(interleaving),而TRS代码可以是自身加密、自身解密、和/或自身更改的。TRS可以被配置为通过多个存储器结构分散地存储秘密,并且只通过多个操作处理那些秘密。每个TRS实施可以包括一个唯一的代码序列和/或密码密钥,而TRS代码序列的正确执行会依赖于许多其它TRS代码序列的相互的正确执行。
安全令牌单元110可以使用单向的(one-way)加密方法(即,加密的输出不能被解密),例如,这对鉴别或检验有效性非常有用。对于任意长度的输入,单向的加密功能产生了的固定尺寸的数(例如,散列值),此外,从所述散列值来确定输入在计算上是不能实行的。对单向加密功能的略微不同的输入典型地会产生具有显著区别的输出。单向加密功能包括,例如,安全散列值算法(例如,SHA-1,或SHA-256)和报文摘译算法(例如,MD4、MD5或Ripe-MD)。
安全令牌单元110还可以使用双向的(two-way)加密方法(即,加密的输出能够被解密),这可以是对称和/或非对称的。在对称加密方法中,共享密钥被用来对消息进行加密和解密。共享密钥可以为给出的消息提供安全性而只使用一次,也可以由安全令牌单元110存储该共享密钥以重复使用。在任一情况下,共享密钥可以使用传统密钥交换方法与应用服务105通信。对称加密方法包括,例如,数据加密标准(DES)、3DES(triple DES,三重DES)、Blowfish加密算法、国际数据加密算法(IDEA)、和/或先进加密标准(AES)。
在非对称加密方法中(例如,Rivest、Shamir、和Adelman(RSA)方法,椭圆曲线加密(ECC),数字签名算法,或Elgamal加密),一个密钥对被用来对消息进行加密和解密。密钥对包括用于对消息进行加密的公共密钥(但是不提供解密作用),和用于对消息进行解密的相关联的私人密钥(privatekey)。非对称加密方法还被用于创建数字签名。数字签名可以鉴别一个消息的作者实际上就是该消息作者声称的人或设备,并且该消息在被发送之后没有被更改过。与加密类似,私人密钥被用于创建数字签名,而消息接收者则使用相关联的公共密钥鉴别该数字签名的消息。安全令牌单元110可以保留该私人密钥,但是,例如,可以通过公布来使公共密钥对应用服务105可用。公共密钥基础设施(PKI)可以向应用服务105证明与该消息相关联的公共密钥和该消息所声称的来源是相对应的。PKI扮演了一个类似于公证人的角色,其见证了纸文档(paper document)的签名者的正确标识。PKI可以包括,例如,认证授权或信托网络(web of trust)。
接近令牌单元115一般包括,例如,任何配置来确认在应用服务105和出现在接近令牌单元的预定距离内的安全令牌单元110之间的通信的有效性的设备、系统、和/或一段代码。为了在预定距离内提供有效性确认,接近令牌单元115可以被配置为使用短程无线技术与应用服务105和/或安全令牌单元110进行通信。应用服务105和/或安全令牌单元110也可以被配置来利用短程无线技术进行通信。短程无线技术包括,例如,蓝芽、IEEE802.11、超宽带(UWB)、共享无线访问协议(SWAP)、数字增强型无绳通讯(DECT)、GSM、UMTS、CDMA、WCDMA、IrDA(红外数据协会)协议、CDMA2000、时分CDMA(TD-CDMA)、HipperLAN2、HomeRF、或宽频带跳频(WBFH)。根据所使用的协议,短程无线技术可以提供,例如,大约10米到大约100米的有效通信范围。接近令牌单元115可以是可移动的或固定的,并且可以或可以不与应用服务105或安全令牌单元110进行直接通信。
在任意情况下,接近令牌单元115提供与所述安全令牌单元110相类似的安全执行和/或安全存储功能。而且,接近令牌单元115可以包括一个安全令牌单元,例如,来提供安全存储和安全执行。为了简短,因此,在这里将不重复对安全令牌单元110的描述,而是结合在这里作为参照。接近令牌单元115利用对称和/或非对称数据加密方法,确认在应用服务105和安全令牌单元110之间的通信的有效性。接近令牌单元115的加密方法可以选择来与安全令牌单元110的加密方法进行无缝操作。
为了对应用服务105和安全令牌单元110之间的通信的有效性进行确认,接近令牌单元115可以在该通信中担任一个参与者。接近令牌单元115可以自己确定一个外界距离(outer distance)(例如,有效距离R),在该距离内可以进行有效的通信,而拒绝对在此距离之外的通信的有效性进行确认。例如,接近令牌单元115可以通过调整接近令牌单元115进行广播的功率来确定有效距离。此外,或者作为一种替代方案,接近令牌单元115可以基于在应用服务105和安全令牌单元110之间的通信的接收功率来确定该有效距离R。
一个或多个其它服务可以被包括在系统100的部件中,而这些部件(以下称为系统服务)可以作为一个或多个其它服务的部分。例如,系统服务可以包括或被包括在通用或专用计算机(例如,个人计算机、PDA、或被专门编程以执行特定任务的设备)、局域网(LAN)、和/或广域网(WAN)中。被任意或所有系统服务接收的指令的响应和执行会受到,例如,程序、一段代码、指令、设备、计算机系统、或它们的组合的控制,用于独立地或共同地指示服务进行如上所述的相互作用或操作。
图2说明了例如由图1的系统实施的系统性处理200。应用服务105和安全令牌单元110可以从事与应用服务105的访问相关的通信(步骤205)。通常,可以设想任何数量的密码技术来确认在应用服务105和安全令牌单元110之间的通信的有效性。接近令牌单元115可以使用任何适当的密码技术或许多技术的组合来确认在接近令牌单元115的预定距离内的通信的有效性(步骤210)。然后,基于在应用服务105和安全令牌单元110之间已确认的通信,可以提供对应用服务105的访问(步骤215)。
参考图3,一般化的系统300利用智能卡310和接近令牌单元315为对应用服务305的访问提供安全。一般而言,系统300类似于图1的系统100。应用服务305被示出包括了承载设备307和外部服务309,它们被配置来共同通信。系统300还可以包括管理(administrative)服务320,其被配置来管理安全基础设施的一个或多个方面。为了简洁的目的,这里的描述集中在描述系统300的附加的方面。下面具体描述系统300的示范性部件。
应用服务305类似于图1的应用服务105。然而,应用服务305被示出包括了承载设备307和外部服务309。承载设备307可以包括移动设备或固定设备。例如,承载设备307可以包括以下设备,诸如电话、手写计算机、PDA或移动电话、笔记本计算机、和/或桌上计算机。承载设备307可以包括被配置来在物理上接收智能卡310并与智能卡310进行通信的硬件设备。承载设备307还可以包括,例如,网页浏览器、电子邮件客户端、同步客户端(例如,日历同步客户端或任务列表同步客户端)、IM客户端、商业生产应用(例如,文字处理器或电子报表程序)、操作系统或操作系统核心、和/或虚拟个人网络(VPN)(例如,基于IP安全(IPsec)协议)。
外部服务309可以包括各种机制,用于与承载设备307通信有声和/或无声数据。那些机制可以包括,例如,模拟或数字有线和无线电话网络(例如,PSTN、ISDN、xDSL、AMPS、GSM、GPRS、CDMA、WCDMA、和UMTS)、无线电、电缆、卫星、和/或用于携载有声或无声数据的递送机制。其它机制可以包括SMS、WAP、TCP、IP、万维网、一个或多个LAN(WLAN)和/或一个或多个WAN。
外部设备309可以采用上述通信机制向承载设备307提供到后端服务、和/或其它本地应用服务的访问。例如,外部服务309可以包括或访问网络应用服务器(WAS)(例如,SAP WAS版本6.20),其被配置来与数据库系统进行通信,诸如,可靠数据库管理系统(RDBMS)或SAP R/3系统。数据库服务可以包括,例如,与企业服务、用户和/或客户相关的企业信息。外部服务309可以包括CRM系统、企业资源计划(ERP)系统、电子邮件服务、商业处理系统(例如,工作流程管理系统或企业/雇员门户)、会计服务、资源管理服务、同步服务(例如,日历同步服务、任务列表同步服务)、打印服务、文档存取服务、即时消息(IM)服务、操作系统、操作系统内核、鉴别服务、授权服务、和/或这些或其它服务的任意组合。此外,或者作为替代方案,外部服务309可以被配置为提供与另一个移动设备的用户进行通信。
应用服务305可以被安排在一个或多个其它系统中,或与一个或多个其它系统相呼应地进行操作,诸如,例如,一个或多个LAN、WLAN、和/或一个或多个WAN。
管理服务320可以管理一个或多个与对应用服务305的安全访问有关的面。管理服务320可以包括,例如,被配置为利用端到端(end to end)安全通信与系统300的一个或多个设备进行通信的安全管理服务。安全管理服务可以存储、改变、使生效、撤回、或产生安全凭证,诸如系统300所使用的证书或密码密钥。安全管理服务可以包括公共密钥基础设施(PKI),其被配置来证明与通信相关联的公共密钥与通信的声称的来源相对应。管理服务320还可以包括政策管理服务,被配置来基于安全相关策略(例如,企业系统的安全相关政策)中的改变以实行在系统300的设备中的状态改变。
一个或多个其它服务可以被包括在管理服务320的部件中,和/或这些部件(以下称为系统服务)可以作为一个或多个其它服务的一部分被包括。例如,系统服务可以包括或被包括在通用或专用计算机(例如,个人计算机、移动设备、或被专门编程以执行特定任务的设备)、至少一个局域网(LAN)、和/或至少一个广域网(WAN)中。不管何种方式,被任意或所有系统服务接收的指令的响应和执行会受到,例如,程序、一段代码、指令、设备、计算机系统、或它们的组合的控制,用于独立地或共同地指示服务进行如上所述的相互作用或操作。
图4和5说明了与图3的系统大致类似的系统。为了简短,对图4和5进行了描述而忽略了它们与图3非常相似的细节。
参考图4,提供了系统400,其中本地应用服务包括移动电话407,而远程应用服务则包括移动电话网络409。移动电话407被配置为基于智能卡410运行(function)。系统400的接近令牌单元415被构成为可附加的小移动设备,例如,钥匙链。因为接近令牌单元415具有很小的尺寸,移动电话407的所有者可以在口袋或其它地方携带这样的接近令牌单元415。因此,当用户希望使用移动电话407时,移动电话407和智能卡410可以被保证处于接近令牌单元415的有效距离之内。另一方面,盗窃移动电话407和智能卡410的盗贼很可能会将它们移开而超出接近令牌单元415的有效距离。从而,盗贼将不能使用移动电话407而将呼叫费用转嫁所有者(charge calls to theowner),或者作为该智能卡的所有者访问移动电话网络409。
图5说明了系统500,其中应用服务包括固定ATM 505,而智能卡可以被用作ATM卡或电子钱包。接近令牌单元515被添加到系统500,以提供对于ATM的未经授权的访问的安全性,例如,针对盗窃了智能卡510的盗贼,以及获得相关口令或PIN的人。
参考图6,说明了系统600,其中接近令牌单元615为固定、而非移动的。系统600被配置为进一步限制在可以获得对应用服务(例如,计算机605)的访问的地理区域中。例如,只有在用户访问在由固定接近令牌单元615的有效范围定义的地理区域中的机密文档时,才向用户提供存储在计算机605上的机密加密文件的访问。固定接近令牌单元615的有效范围可以还受到电磁屏蔽包括该固定接近令牌单元615的建筑物或房间(例如,机密文档阅览室)的约束。
在计算机605被用来从被认可的公司设施或校园访问企业的情况下,固定接近令牌单元615还可以被用来确认对敏感系统(例如,企业系统)的访问的有效性。然而,如果用户偏离了所述公司设施或校园,并超出了固定接近令牌单元615的有效范围,则对敏感企业系统的访问将不被确认为有效的,并将被拒绝。
图7-10说明了表示可以用来实施图3-6的系统的处理的数据流程图。这些附图将接近令牌单元说明为在应用服务和智能卡之间进行通信的渠道。
参考图7,说明了处理700,其中用户可以提供一个指令I给应用服务(步骤705)。应用服务可以基于I产生命令C,或者,基于自己的主动性或其它输入产生命令C,并可以将命令C通信给接近令牌单元(步骤710)。接近令牌单元可以利用密码技术对命令C进行变换以产生C′。例如,接近令牌单元可以对命令C进行数字签名,可以对命令C进行加密,和/或对命令C施加一种散列值算法。以这种方式,接近令牌单元确认了该通信的有效性,然后将变换的命令C′传递回应用服务(步骤715)。应用服务然后可以提供变换的命令C′给智能卡(步骤720)。智能卡可以对所述变换的命令C′采用密码技术,以获得原始的命令C(例如,使用与接近令牌单元共享的密钥或接近令牌单元的公共密钥),因此检验出接近令牌单元已确认了通信的有效性。在恢复了原始命令C之后,智能卡可以执行命令C以产生结果R,然后提供将该结果R给应用服务(步骤725)。
图8的处理类似,但是还包括附加的步骤用来向接近令牌单元鉴别所述智能卡。用户仍然提供指令I给应用服务(步骤805)。应用服务基于输入I产生命令C,或者,基于自己的主动性或其它输入产生命令C,并可以将命令C通信给智能卡(步骤810)。智能卡利用密码技术对命令C进行变换以产生C′,并将修改后的命令C′通信给应用服务(步骤815)。应用服务将修改后的命令C′提供给接近令牌单元,其使用与智能卡共享的密钥或智能卡的公共密钥来确认智能卡的参与的有效性(步骤820)。为了确认该通信的有效性,接近令牌单元使用密码技术将C′变换为C″,并将C″通信给应用服务(步骤825)。应用服务将C″通信给智能卡(步骤830)。智能卡对变换的命令C″采用密码技术以获得C′,因此检验出接近令牌单元已确认了通信的有效性(例如,使用与接近令牌单元共享的密钥或接近令牌单元的公共密钥)。由于是智能卡最初从C形成的C′,所以智能卡能够逆转(reverse)该处理,利用其自己的密码密钥从C′恢复C。在恢复原始命令C之后,智能卡执行命令C以产生结果R,然后智能卡将该结果R提供给应用服务(步骤835)。
参考图9,说明了处理900,其中用户提供指令I给应用服务(步骤905)。应用服务基于指令I产生命令C,或者作为替代,基于自己的主动性或某些其它输入产生命令C,并将命令C通信给智能卡(步骤910)。智能卡执行该命令C并产生利用加密技术从R修改得到的响应R′,智能卡将该响应通信给应用服务(步骤915)。应用服务将R′通信给接近令牌单元(步骤920)。一旦接收到R′,接近令牌单元对修改的结果R′采用密码技术以获得R″(例如,使用与智能卡共享的密钥或智能卡的公共密钥),以便确认通信的有效性,并将R″通信给应用服务(步骤925)。应用服务依次将R″通信给智能卡(步骤930)。智能卡对R″采用密码技术以获得R′,因此检验出接近令牌单元已确认了通信的有效性(例如,使用与接近令牌单元共享的密钥或接近令牌单元的公共密钥)。由于是智能卡从R形成了R′,所以智能卡能够逆转该处理,利用其自己的密码密钥从R′恢复R。在恢复R之后,智能卡将R提供给应用服务(步骤935)。
参考图10,说明了处理1000,其中应用服务包括承载设备和外部服务。用户提供指令I给承载设备(步骤1005)。承载设备基于指令I产生命令C,或者作为替代,基于自己的主动性或某些其它输入产生命令C,并将命令C通信给智能卡(步骤1010)。智能卡执行命令C并成生已经使用加密技术从R修改得到的响应R′,并且智能卡将该响应通信给承载设备(步骤1015)。承载设备将R′通信给接近令牌单元(步骤1020)。一旦接收到R′,接近令牌单元就对修改的结果R′采用密码技术以获得R″(例如,使用与智能卡共享的密钥或智能卡的公共密钥),因此确认通信的有效性,并将R″通信给承载设备(步骤1025)。
承载设备然后将R″通信给智能卡(步骤1030)。智能卡对R″采用密码技术以获得R′,因此检验出接近令牌单元已确认了通信的有效性(例如,使用与接近令牌单元共享的密钥或接近令牌单元的公共密钥)。由于是智能卡从R形成了R′,所以智能卡也能够逆转该处理,利用其自己的密钥从R′恢复R。在恢复R之后,智能卡将R提供给承载设备(步骤1035)。承载设备然后将R通信给外部服务,可能使用加密技术以保证该通信的安全性(1040)。此外,或者作为替代,R本身可以代表一个已经由外部服务加密的消息,提供另一层的安全和/或鉴别。
图11说明处理1100,其中用户可以提供指令I给应用服务(步骤1105)。应用服务基于指令I产生命令C,或者作为替代,基于自己的主动性或某些其它输入产生命令C,并将C通信给智能卡(步骤1110)。智能卡执行命令C并产生使用加密技术从R修改得到的响应R′,然后智能卡将该响应R′通信给接近令牌单元(步骤1115)。一旦接收到R′,接近令牌单元就对修改的结果R′采用密码技术以获得R″(例如,使用与智能卡共享的密钥或智能卡的公共密钥),因此确认通信的有效性,并将R″通信回智能卡(步骤1120)。智能卡对R″采用秘密技术以获得R′,因此检验出接近令牌单元确认了该通信的有效性(例如,使用与接近令牌单元共享的密钥或接近令牌单元的公共密钥)。由于是智能卡从R形成了R′,所以智能卡也能够逆转该处理,利用其自己的密钥从R′恢复R。在恢复R之后,智能卡将R提供给应用服务(步骤1125)。
一般,接近令牌单元确认在应用服务和安全令牌单元之间的通信的有效性可以采用任意数量的方法。例如,图12说明了利用图3-6的系统实施的方法1200,其中接近令牌单元通过周期性地产生和广播一个接近消息来确认对应用服务的访问的有效性。更具体地讲,接近令牌单元最初使用密码技术产生接近消息(步骤1205)。接近令牌单元可以在预定的周期间隔产生接近消息(例如,每5秒种或每30秒种)。在产生接近消息之后,接近令牌单元使用短程无线技术来广播接近消息,以限制有效区域(步骤1210)。应用服务接收接近消息,并提供接近消息给智能卡(步骤1215)。智能卡使用密码技术(例如,使用与接近令牌单元共享的密钥或接近令牌单元的公共密钥)以检验接近令牌单元为接近消息的来源(步骤1220)。
独立地,应用服务请求智能卡提供安全的服务(步骤1225)。一旦接收到请求,智能卡确定是否在应用服务的接收请求的预定周期内接收到鉴别的接近消息(步骤1230)。如果智能卡证明在预定时间内已经接收到鉴别的接近消息(步骤1235),则智能卡提供所请求的安全的服务(步骤1240)。否则,智能卡拒绝所请求的安全的服务(步骤1245)。
其它实施方式也在下面权利要求书的范围之内。
Claims (18)
1.一种提供对应用服务的安全访问的系统,该系统包括:
安全令牌单元,其被配置来与应用服务进行通信,并执行密码技术的第一元素;以及
接近令牌单元,与所述安全令牌单元相关联,并被配置来执行密码技术的第二元素,以便确认在应用服务和安全令牌单元之间的通信的有效性,只有在接近令牌单元位于到安全令牌单元或应用服务的预定有效距离内时,接近令牌单元才被操作以确认所述通信的有效性。
2.如权利要求1所述的系统,其中所述密码技术的第一和第二元素是相互补充的。
3.如任一前述权利要求所述的系统,其中,当接近令牌单元确认所述通信的有效性时,所述系统被配置来提供对应用服务的安全访问,而在接近令牌单元没有确认所述通信的有效性时,防止对应用服务的安全访问。
4.如权利要求1所述的系统,其中所述安全令牌单元包括检验电路,该检验电路被配置来检验所述接近令牌单元已经确认在应用服务和安全令牌单元之间的通信的有效性。
5.如权利要求1所述的系统,其中所述接近令牌单元包括消息产生电路,该消息产生电路被配置来利用密码技术的第二元素产生接近消息,并在预定的有效距离内广播接近消息,以便在该预定的有效距离内确认在应用服务和安全令牌单元之间的通信的有效性。
6.如权利要求1所述的系统,其中所述接近令牌单元包括通信电路,该通信电路被配置来将接近令牌单元用作在预定有效距离内、在应用服务和安全令牌单元之间通信的渠道,以便确认在预定有效距离内、在应用服务和安全令牌单元之间通信的有效性。
7.如权利要求6所述的系统,其中:
密码技术的第一元素包括加密技术,而密码技术的第二元素包括相关联的解密技术;
安全令牌单元包括安全输出电路,其被配置来利用加密技术产生安全输出;以及
通信电路包括恢复电路,其被配置来执行加密技术以便从安全输出中恢复有效的输出,并只在预定有效距离内通信所述安全输出和有效的输出。
8.如权利要求6所述的系统,其中:
密码技术的第一元素包括解密技术,而密码技术的第二元素包括相关联的加密技术;
通信电路包括有效命令电路,其被配置来基于应用服务的命令利用加密技术产生有效命令到安全令牌单元;
通信电路还被配置来只在预定有效距离内通信所述命令和有效命令两者;以及
安全令牌单元包括检验电路,其被配置来通过执行解密技术检验有效命令,以便从有效命令恢复该命令。
9.如权利要求1所述的系统,其中所述安全令牌单元包括安全存储电路和安全执行电路。
10.如权利要求9所述的系统,其中所述安全执行电路被配置来执行密码技术的第一元素。
11.如权利要求10所述的系统,其中所述安全存储电路被配置来存储密码技术的第一元素的密码密钥。
12.如权利要求1所述的系统,其中所述接近令牌单元包括第二安全令牌单元。
13.如权利要求1所述的系统,其中所述密码技术包括数字签名技术。
14.如权利要求1所述的系统,其中所述密码技术包括数字信封技术。
15.如权利要求1所述的系统,其中所述密码技术包括对称密码技术。
16.如权利要求1所述的系统,其中所述密码技术包括非对称密码技术。
17.如权利要求1所述的系统,其中所述应用服务包括承载设备和外部服务。
18.一种提供对应用服务的安全访问的方法,该方法包括:
提供安全令牌单元以便与应用服务通信,并执行密码技术的第一元素;和
提供与安全令牌单元相关联的接近令牌单元以执行密码技术的第二元素,以便确认在安全令牌单元和应用服务之间通信的有效性,包括提供接近令牌单元,使得其只在接近令牌单元位于到安全令牌单元或应用服务的预定有效距离内时确认所述通信的有效性。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US10/454,824 US7269732B2 (en) | 2003-06-05 | 2003-06-05 | Securing access to an application service based on a proximity token |
US10/454,824 | 2003-06-05 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1799018A CN1799018A (zh) | 2006-07-05 |
CN100374971C true CN100374971C (zh) | 2008-03-12 |
Family
ID=33489801
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB2004800155632A Expired - Lifetime CN100374971C (zh) | 2003-06-05 | 2004-06-02 | 基于接近令牌单元对应用服务的安全访问 |
Country Status (5)
Country | Link |
---|---|
US (2) | US7269732B2 (zh) |
EP (1) | EP1634139A1 (zh) |
JP (1) | JP4205751B2 (zh) |
CN (1) | CN100374971C (zh) |
WO (1) | WO2004109481A1 (zh) |
Families Citing this family (135)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6120627A (en) * | 1995-11-17 | 2000-09-19 | The Ensign-Bickford Company | Explosive with bioremediating capacity |
US8209753B2 (en) * | 2001-06-15 | 2012-06-26 | Activcard, Inc. | Universal secure messaging for remote security tokens |
US20040218762A1 (en) | 2003-04-29 | 2004-11-04 | Eric Le Saint | Universal secure messaging for cryptographic modules |
US7203967B2 (en) | 2003-09-10 | 2007-04-10 | Qualcomm Incorporated | Methods and apparatus for content protection in a wireless network |
EP3023899B1 (en) | 2003-09-30 | 2020-09-16 | Nxp B.V. | Proximity authentication system |
EP1530392A1 (fr) * | 2003-11-04 | 2005-05-11 | Nagracard S.A. | Méthode de gestion de la sécurité d'applications avec un module de sécurité |
EP1536606A1 (fr) | 2003-11-27 | 2005-06-01 | Nagracard S.A. | Méthode d'authentification d'applications |
US9020854B2 (en) | 2004-03-08 | 2015-04-28 | Proxense, Llc | Linked account system using personal digital key (PDK-LAS) |
WO2005120007A1 (en) * | 2004-05-31 | 2005-12-15 | Telecom Italia S.P.A. | Method and system for a secure connection in communication networks |
US7464862B2 (en) * | 2004-06-15 | 2008-12-16 | Quickvault, Inc. | Apparatus & method for POS processing |
JP2006023957A (ja) * | 2004-07-07 | 2006-01-26 | Sony Corp | 半導体集積回路及び情報処理装置 |
US7434252B2 (en) * | 2004-07-14 | 2008-10-07 | Microsoft Corporation | Role-based authorization of network services using diversified security tokens |
CN101002212B (zh) * | 2004-08-10 | 2012-12-12 | 皇家飞利浦电子股份有限公司 | 用于复合验证注册控制的方法和系统 |
US20060136717A1 (en) | 2004-12-20 | 2006-06-22 | Mark Buer | System and method for authentication via a proximate device |
JP2006189999A (ja) * | 2005-01-04 | 2006-07-20 | Fujitsu Ltd | セキュリティ管理方法、プログラム及び情報機器 |
US7802294B2 (en) * | 2005-01-28 | 2010-09-21 | Microsoft Corporation | Controlling computer applications' access to data |
US7810153B2 (en) * | 2005-01-28 | 2010-10-05 | Microsoft Corporation | Controlling execution of computer applications |
US8341371B2 (en) * | 2005-01-31 | 2012-12-25 | Sandisk Il Ltd | Method of managing copy operations in flash memories |
US20070094273A1 (en) * | 2005-04-18 | 2007-04-26 | Brindusa Fritsch | System topology for secure end-to-end communications between wireless device and application data source |
US20060240855A1 (en) * | 2005-04-22 | 2006-10-26 | Amit Kalhan | Systems and methods for updating presence in a mobile communication network |
EP1886260B1 (en) * | 2005-05-20 | 2010-07-28 | Nxp B.V. | Method of securely reading data from a transponder |
EP1752937A1 (en) * | 2005-07-29 | 2007-02-14 | Research In Motion Limited | System and method for encrypted smart card PIN entry |
US20070088789A1 (en) * | 2005-10-18 | 2007-04-19 | Reuben Berman | Method and system for indicating an email sender as spammer |
US8433919B2 (en) | 2005-11-30 | 2013-04-30 | Proxense, Llc | Two-level authentication for secure transactions |
CN101346728B (zh) | 2005-12-21 | 2012-04-11 | 皇家飞利浦电子股份有限公司 | 协作的rfid设备 |
US20070150736A1 (en) * | 2005-12-22 | 2007-06-28 | Cukier Johnas I | Token-enabled authentication for securing mobile devices |
US11206664B2 (en) | 2006-01-06 | 2021-12-21 | Proxense, Llc | Wireless network synchronization of cells and client devices on a network |
US9113464B2 (en) | 2006-01-06 | 2015-08-18 | Proxense, Llc | Dynamic cell size variation via wireless link parameter adjustment |
US9137012B2 (en) * | 2006-02-03 | 2015-09-15 | Emc Corporation | Wireless authentication methods and apparatus |
US20070255958A1 (en) * | 2006-05-01 | 2007-11-01 | Microsoft Corporation | Claim transformations for trust relationships |
US20080005426A1 (en) * | 2006-05-31 | 2008-01-03 | Bacastow Steven V | Apparatus and method for securing portable USB storage devices |
US20080005359A1 (en) * | 2006-06-30 | 2008-01-03 | Khosravi Hormuzd M | Method and apparatus for OS independent platform based network access control |
US8011013B2 (en) | 2006-07-19 | 2011-08-30 | Quickvault, Inc. | Method for securing and controlling USB ports |
WO2008090779A1 (ja) * | 2007-01-26 | 2008-07-31 | Nec Corporation | 権限管理方法、そのシステム並びにそのシステムで利用されるサーバ装置及び情報機器端末 |
CN101321332B (zh) * | 2007-06-08 | 2012-01-25 | 鹏智科技(深圳)有限公司 | 手持通讯设备及其短信息保密方法 |
US20080313707A1 (en) * | 2007-06-18 | 2008-12-18 | Techporch, Inc. | Token-based system and method for secure authentication to a service provider |
EP2009605A1 (en) * | 2007-06-28 | 2008-12-31 | Gemplus | Method of interaction with physical elements forming the content of a machine |
US20090070691A1 (en) * | 2007-09-12 | 2009-03-12 | Devicefidelity, Inc. | Presenting web pages through mobile host devices |
KR101387537B1 (ko) * | 2007-09-20 | 2014-04-21 | 엘지전자 주식회사 | 성공적으로 수신했으나 헤더 압축 복원에 실패한 패킷의 처리 방법 |
US8893284B2 (en) | 2007-10-03 | 2014-11-18 | Motorola Mobility Llc | Method and system for providing extended authentication |
US9094213B2 (en) | 2007-10-24 | 2015-07-28 | Securekey Technologies Inc. | Method and system for effecting secure communication over a network |
WO2009062194A1 (en) * | 2007-11-09 | 2009-05-14 | Proxense, Llc | Proximity-sensor supporting multiple application services |
US8171528B1 (en) | 2007-12-06 | 2012-05-01 | Proxense, Llc | Hybrid device having a personal digital key and receiver-decoder circuit and methods of use |
EP2071486A1 (en) * | 2007-12-12 | 2009-06-17 | MeDier Oy | Method and arrangement for managing sensitive personal data |
US20090157473A1 (en) * | 2007-12-18 | 2009-06-18 | Att Knowledge Ventures L.P. | System and method for sending targeted marketing data using proximity data |
WO2009079666A1 (en) | 2007-12-19 | 2009-06-25 | Proxense, Llc | Security system and method for controlling access to computing resources |
US20090183264A1 (en) * | 2008-01-14 | 2009-07-16 | Qualcomm Incorporated | System and method for protecting content in a wireless network |
US8571604B2 (en) * | 2008-01-18 | 2013-10-29 | Hewlett-Packard Development Company, L.P. | Subscriber identity module (SIM) card access system and method |
US9264231B2 (en) * | 2008-01-24 | 2016-02-16 | Intermec Ip Corp. | System and method of using RFID tag proximity to grant security access to a computer |
US20090193507A1 (en) * | 2008-01-28 | 2009-07-30 | Wael Ibrahim | Authentication messaging service |
US9135620B2 (en) | 2008-02-08 | 2015-09-15 | Microsoft Technology Licensing, Llc | Mobile device security using wearable security tokens |
US8508336B2 (en) | 2008-02-14 | 2013-08-13 | Proxense, Llc | Proximity-based healthcare management system with automatic access to private information |
US20090239503A1 (en) * | 2008-03-20 | 2009-09-24 | Bernard Smeets | System and Method for Securely Issuing Subscription Credentials to Communication Devices |
US11120449B2 (en) | 2008-04-08 | 2021-09-14 | Proxense, Llc | Automated service-based order processing |
US8086688B1 (en) | 2008-05-16 | 2011-12-27 | Quick Vault, Inc. | Method and system for mobile data security |
US20100031349A1 (en) * | 2008-07-29 | 2010-02-04 | White Electronic Designs Corporation | Method and Apparatus for Secure Data Storage System |
US8862872B2 (en) * | 2008-09-12 | 2014-10-14 | Qualcomm Incorporated | Ticket-based spectrum authorization and access control |
US8732859B2 (en) * | 2008-10-03 | 2014-05-20 | At&T Intellectual Property I, L.P. | Apparatus and method for monitoring network equipment |
US9185109B2 (en) * | 2008-10-13 | 2015-11-10 | Microsoft Technology Licensing, Llc | Simple protocol for tangible security |
US8260262B2 (en) | 2009-06-22 | 2012-09-04 | Mourad Ben Ayed | Systems for three factor authentication challenge |
US8190129B2 (en) | 2009-06-22 | 2012-05-29 | Mourad Ben Ayed | Systems for three factor authentication |
US8112066B2 (en) | 2009-06-22 | 2012-02-07 | Mourad Ben Ayed | System for NFC authentication based on BLUETOOTH proximity |
US8498618B2 (en) | 2009-06-22 | 2013-07-30 | Mourad Ben Ayed | Systems for intelligent authentication based on proximity |
US9081958B2 (en) * | 2009-08-13 | 2015-07-14 | Symantec Corporation | Using confidence about user intent in a reputation system |
US8621654B2 (en) * | 2009-09-15 | 2013-12-31 | Symantec Corporation | Using metadata in security tokens to prevent coordinated gaming in a reputation system |
US9119076B1 (en) | 2009-12-11 | 2015-08-25 | Emc Corporation | System and method for authentication using a mobile communication device |
WO2011100560A2 (en) * | 2010-02-11 | 2011-08-18 | Wherepro, Llc | Data packet generator with isolation link |
US9418205B2 (en) | 2010-03-15 | 2016-08-16 | Proxense, Llc | Proximity-based system for automatic application or data access and item tracking |
JP5458990B2 (ja) | 2010-03-16 | 2014-04-02 | 株式会社リコー | 通信装置、無線通信システムおよびアソシエーション情報設定方法 |
US9443071B2 (en) * | 2010-06-18 | 2016-09-13 | At&T Intellectual Property I, L.P. | Proximity based device security |
US8918854B1 (en) | 2010-07-15 | 2014-12-23 | Proxense, Llc | Proximity-based system for automatic application initialization |
EP3285459B1 (en) * | 2011-02-10 | 2022-10-26 | Trilliant Holdings, Inc. | Device and method for coordinating firmware updates |
US8857716B1 (en) | 2011-02-21 | 2014-10-14 | Proxense, Llc | Implementation of a proximity-based system for object tracking and automatic application initialization |
US8909641B2 (en) | 2011-11-16 | 2014-12-09 | Ptc Inc. | Method for analyzing time series activity streams and devices thereof |
US9576046B2 (en) | 2011-11-16 | 2017-02-21 | Ptc Inc. | Methods for integrating semantic search, query, and analysis across heterogeneous data types and devices thereof |
US9098312B2 (en) | 2011-11-16 | 2015-08-04 | Ptc Inc. | Methods for dynamically generating an application interface for a modeled entity and devices thereof |
CA2881429C (en) | 2012-02-29 | 2017-05-02 | Mobeewave, Inc. | Method, device and secure element for conducting a secured financial transaction on a device |
US8769657B2 (en) * | 2012-08-10 | 2014-07-01 | Kaspersky Lab Zao | System and method for controlling user's access to protected resources using multi-level authentication |
US8898769B2 (en) | 2012-11-16 | 2014-11-25 | At&T Intellectual Property I, Lp | Methods for provisioning universal integrated circuit cards |
US8959331B2 (en) | 2012-11-19 | 2015-02-17 | At&T Intellectual Property I, Lp | Systems for provisioning universal integrated circuit cards |
CN103856323B (zh) * | 2012-11-28 | 2018-12-11 | 卡巴斯克 | 借由使用者位置检验身份的网络安全验证方法 |
GB2509495A (en) * | 2013-01-02 | 2014-07-09 | Knightsbridge Portable Comm Sp | Device and system for user authentication to permit access to an electronic device |
US20140196117A1 (en) * | 2013-01-07 | 2014-07-10 | Curtis John Schwebke | Recovery or upgrade of a cloud client device |
US20140229375A1 (en) * | 2013-02-11 | 2014-08-14 | Groupon, Inc. | Consumer device payment token management |
US9698991B2 (en) | 2013-03-15 | 2017-07-04 | Ologn Technologies Ag | Systems, methods and apparatuses for device attestation based on speed of computation |
US10177915B2 (en) | 2013-03-15 | 2019-01-08 | Ologn Technologies Ag | Systems, methods and apparatuses for device attestation based on speed of computation |
WO2014141024A1 (en) * | 2013-03-15 | 2014-09-18 | Ologn Technologies Ag | Ensuring the proximity of a communication device to its partner device |
WO2014145084A1 (en) | 2013-03-15 | 2014-09-18 | Ptc Inc. | Methods for managing applications using semantic modeling and tagging and devices thereof |
US9294454B2 (en) * | 2013-03-15 | 2016-03-22 | Microsoft Technology Licensing, Llc | Actively federated mobile authentication |
US9456344B2 (en) | 2013-03-15 | 2016-09-27 | Ologn Technologies Ag | Systems, methods and apparatuses for ensuring proximity of communication device |
EP2995061B1 (en) | 2013-05-10 | 2018-04-18 | OLogN Technologies AG | Ensuring proximity of wifi communication devices |
WO2014183106A2 (en) | 2013-05-10 | 2014-11-13 | Proxense, Llc | Secure element as a digital pocket |
US9058503B2 (en) | 2013-05-10 | 2015-06-16 | Successfactors, Inc. | Systems and methods for secure storage on a mobile device |
US9444629B2 (en) | 2013-05-24 | 2016-09-13 | Sap Se | Dual layer transport security configuration |
US20150007311A1 (en) * | 2013-07-01 | 2015-01-01 | International Business Machines Corporation | Security Key for a Computing Device |
KR102119895B1 (ko) * | 2013-07-15 | 2020-06-17 | 비자 인터네셔널 서비스 어소시에이션 | 보안 원격 지불 거래 처리 |
KR102222230B1 (ko) | 2013-08-15 | 2021-03-05 | 비자 인터네셔널 서비스 어소시에이션 | 보안 요소를 이용한 보안 원격 지불 거래 처리 |
US9036820B2 (en) | 2013-09-11 | 2015-05-19 | At&T Intellectual Property I, Lp | System and methods for UICC-based secure communication |
US9455998B2 (en) | 2013-09-17 | 2016-09-27 | Ologn Technologies Ag | Systems, methods and apparatuses for prevention of relay attacks |
US20150088760A1 (en) * | 2013-09-20 | 2015-03-26 | Nuance Communications, Inc. | Automatic injection of security confirmation |
SG11201602093TA (en) | 2013-09-20 | 2016-04-28 | Visa Int Service Ass | Secure remote payment transaction processing including consumer authentication |
US9124573B2 (en) | 2013-10-04 | 2015-09-01 | At&T Intellectual Property I, Lp | Apparatus and method for managing use of secure tokens |
US9208300B2 (en) | 2013-10-23 | 2015-12-08 | At&T Intellectual Property I, Lp | Apparatus and method for secure authentication of a communication device |
US9240994B2 (en) | 2013-10-28 | 2016-01-19 | At&T Intellectual Property I, Lp | Apparatus and method for securely managing the accessibility to content and applications |
US9313660B2 (en) | 2013-11-01 | 2016-04-12 | At&T Intellectual Property I, Lp | Apparatus and method for secure provisioning of a communication device |
US9240989B2 (en) | 2013-11-01 | 2016-01-19 | At&T Intellectual Property I, Lp | Apparatus and method for secure over the air programming of a communication device |
JP6268942B2 (ja) * | 2013-11-06 | 2018-01-31 | 株式会社リコー | 認証システム、認証管理装置、認証方法およびプログラム |
US9413759B2 (en) | 2013-11-27 | 2016-08-09 | At&T Intellectual Property I, Lp | Apparatus and method for secure delivery of data from a communication device |
US20150172920A1 (en) * | 2013-12-16 | 2015-06-18 | Mourad Ben Ayed | System for proximity based encryption and decryption |
US9680841B2 (en) | 2014-02-24 | 2017-06-13 | Keypasco Ab | Network authentication method for secure user identity verification using user positioning information |
EP2916510B1 (en) * | 2014-03-03 | 2018-01-31 | Keypasco AB | Network authentication method for secure user identity verification using user positioning information |
US9961058B2 (en) | 2014-03-21 | 2018-05-01 | Ptc Inc. | System and method of message routing via connection servers in a distributed computing environment |
US9462085B2 (en) | 2014-03-21 | 2016-10-04 | Ptc Inc. | Chunk-based communication of binary dynamic rest messages |
US10025942B2 (en) | 2014-03-21 | 2018-07-17 | Ptc Inc. | System and method of establishing permission for multi-tenancy storage using organization matrices |
US9350791B2 (en) | 2014-03-21 | 2016-05-24 | Ptc Inc. | System and method of injecting states into message routing in a distributed computing environment |
US9762637B2 (en) | 2014-03-21 | 2017-09-12 | Ptc Inc. | System and method of using binary dynamic rest messages |
US10313410B2 (en) | 2014-03-21 | 2019-06-04 | Ptc Inc. | Systems and methods using binary dynamic rest messages |
US9467533B2 (en) | 2014-03-21 | 2016-10-11 | Ptc Inc. | System and method for developing real-time web-service objects |
US9350812B2 (en) | 2014-03-21 | 2016-05-24 | Ptc Inc. | System and method of message routing using name-based identifier in a distributed computing environment |
US9560170B2 (en) | 2014-03-21 | 2017-01-31 | Ptc Inc. | System and method of abstracting communication protocol using self-describing messages |
WO2015143416A1 (en) | 2014-03-21 | 2015-09-24 | Ptc Inc. | Systems and methods for developing and using real-time data applications |
US9713006B2 (en) | 2014-05-01 | 2017-07-18 | At&T Intellectual Property I, Lp | Apparatus and method for managing security domains for a universal integrated circuit card |
GB2529812A (en) * | 2014-08-28 | 2016-03-09 | Kopper Mountain Ltd | Method and system for mobile data and communications security |
US20160065374A1 (en) * | 2014-09-02 | 2016-03-03 | Apple Inc. | Method of using one device to unlock another device |
WO2016040942A1 (en) | 2014-09-12 | 2016-03-17 | Quickvault, Inc. | Method and system for forensic data tracking |
US20160189151A1 (en) * | 2014-12-31 | 2016-06-30 | Ebay Enterprise, Inc. | Distributed authentication for mobile devices |
CN107564134A (zh) * | 2016-07-01 | 2018-01-09 | 深圳会当科技有限公司 | 一种安全锁系统 |
JP6798169B2 (ja) * | 2016-07-13 | 2020-12-09 | コニカミノルタ株式会社 | 認証システム、制御方法およびプログラム |
US10486646B2 (en) * | 2017-09-29 | 2019-11-26 | Apple Inc. | Mobile device for communicating and ranging with access control system for automatic functionality |
SG10201806602VA (en) * | 2018-08-02 | 2020-03-30 | Mastercard International Inc | Methods and systems for identification of breach attempts in a client-server communication using access tokens |
US11372958B1 (en) * | 2018-10-04 | 2022-06-28 | United Services Automobile Association (Usaa) | Multi-channel authentication using smart cards |
AU2019373730B2 (en) | 2018-11-02 | 2023-01-12 | Assa Abloy Ab | Systems, methods, and devices for access control |
KR102592842B1 (ko) | 2019-03-25 | 2023-10-20 | 아싸 아브로이 에이비 | 액세스 제어 판독기 시스템을 위한 초광대역 디바이스 |
US11770708B2 (en) | 2019-03-25 | 2023-09-26 | Assa Abloy Ab | Physical access control systems with localization-based intent detection |
CN117356071A (zh) * | 2021-03-26 | 2024-01-05 | 布罗德里奇金融解决方案公司 | 用于加密安全的、基于令牌的操作的计算机网络系统及其使用方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6088450A (en) * | 1996-04-17 | 2000-07-11 | Intel Corporation | Authentication system based on periodic challenge/response protocol |
EP1283474A1 (en) * | 2000-03-23 | 2003-02-12 | Tietech Co., Ltd | Method and apparatus for personal identification |
CN1398401A (zh) * | 1999-12-07 | 2003-02-19 | 太阳微系统公司 | 具有控制读取之微处理器的计算机可读介质和与该介质通信的计算机 |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5638444A (en) * | 1995-06-02 | 1997-06-10 | Software Security, Inc. | Secure computer communication method and system |
US6175922B1 (en) * | 1996-12-04 | 2001-01-16 | Esign, Inc. | Electronic transaction systems and methods therefor |
US6570610B1 (en) * | 1997-09-15 | 2003-05-27 | Alan Kipust | Security system with proximity sensing for an electronic device |
US7107246B2 (en) * | 1998-04-27 | 2006-09-12 | Esignx Corporation | Methods of exchanging secure messages |
JP2000003336A (ja) | 1998-06-16 | 2000-01-07 | Nec Corp | 携帯型データ通信端末装置におけるユーザ認証方法及びユーザ認証システム |
US7302571B2 (en) * | 2001-04-12 | 2007-11-27 | The Regents Of The University Of Michigan | Method and system to maintain portable computer data secure and authentication token for use therein |
AU2002315269A1 (en) | 2001-05-08 | 2002-11-18 | Telefonaktiebolaget L M Ericsson (Publ) | Secure remote subscription module access |
US7216237B2 (en) | 2001-07-16 | 2007-05-08 | Certicom Corp. | System and method for trusted communication |
US6999589B2 (en) * | 2001-08-29 | 2006-02-14 | International Business Machines Corporation | Method and system for automatic brokered transactions |
US7899187B2 (en) * | 2002-11-27 | 2011-03-01 | Motorola Mobility, Inc. | Domain-based digital-rights management system with easy and secure device enrollment |
JP2004220402A (ja) | 2003-01-16 | 2004-08-05 | Nec Corp | Eコマース認証システムおよび方法 |
-
2003
- 2003-06-05 US US10/454,824 patent/US7269732B2/en active Active
-
2004
- 2004-06-02 JP JP2006508250A patent/JP4205751B2/ja not_active Expired - Lifetime
- 2004-06-02 CN CNB2004800155632A patent/CN100374971C/zh not_active Expired - Lifetime
- 2004-06-02 WO PCT/EP2004/005946 patent/WO2004109481A1/en active Application Filing
- 2004-06-02 EP EP04739526A patent/EP1634139A1/en not_active Ceased
-
2007
- 2007-08-08 US US11/835,938 patent/US7865731B2/en not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6088450A (en) * | 1996-04-17 | 2000-07-11 | Intel Corporation | Authentication system based on periodic challenge/response protocol |
CN1398401A (zh) * | 1999-12-07 | 2003-02-19 | 太阳微系统公司 | 具有控制读取之微处理器的计算机可读介质和与该介质通信的计算机 |
EP1283474A1 (en) * | 2000-03-23 | 2003-02-12 | Tietech Co., Ltd | Method and apparatus for personal identification |
Also Published As
Publication number | Publication date |
---|---|
CN1799018A (zh) | 2006-07-05 |
JP4205751B2 (ja) | 2009-01-07 |
US7269732B2 (en) | 2007-09-11 |
US20080046734A1 (en) | 2008-02-21 |
US20040250074A1 (en) | 2004-12-09 |
WO2004109481A1 (en) | 2004-12-16 |
EP1634139A1 (en) | 2006-03-15 |
JP2007535827A (ja) | 2007-12-06 |
US7865731B2 (en) | 2011-01-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN100374971C (zh) | 基于接近令牌单元对应用服务的安全访问 | |
US11622265B2 (en) | Security system for handheld wireless devices using time-variable encryption keys | |
US10595201B2 (en) | Secure short message service (SMS) communications | |
CN100518411C (zh) | 一种基于移动通信终端的动态密码系统及方法 | |
US8639940B2 (en) | Methods and systems for assigning roles on a token | |
CN1926802B (zh) | 安全数据传输 | |
CN1689297B (zh) | 使用密钥基防止未经授权分发和使用电子密钥的方法 | |
CN101300808B (zh) | 安全认证的方法和设置 | |
US20060072745A1 (en) | Encryption system using device authentication keys | |
US20060280297A1 (en) | Cipher communication system using device authentication keys | |
Nambiar et al. | Analysis of payment transaction security in mobile commerce | |
CN1910531B (zh) | 数据资源的密钥控制使用的方法和系统以及相关网络 | |
US20230259899A1 (en) | Method, participant unit, transaction register and payment system for managing transaction data sets | |
CN103853672A (zh) | 具有多重数据保护功能的移动安全存储设备 | |
CN101859453A (zh) | 一种基于短信的智能卡挂失方法及系统 | |
KR100349888B1 (ko) | 이동 단말에서 마이크로 익스플로워를 이용한 공개키인증시스템 및 인증방법 | |
Oliveira | Dynamic QR codes for Ticketing Systems | |
CN111222150A (zh) | 一种基于身份认证的数据传输云端加密方式 | |
Snare | Information technology security standards—An Australian perspective |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CX01 | Expiry of patent term |
Granted publication date: 20080312 |