CN103416020B - 受控的安全域 - Google Patents

受控的安全域 Download PDF

Info

Publication number
CN103416020B
CN103416020B CN201280006590.8A CN201280006590A CN103416020B CN 103416020 B CN103416020 B CN 103416020B CN 201280006590 A CN201280006590 A CN 201280006590A CN 103416020 B CN103416020 B CN 103416020B
Authority
CN
China
Prior art keywords
token
security domain
security
subscriber
series
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201280006590.8A
Other languages
English (en)
Other versions
CN103416020A (zh
Inventor
D.埃弗雷特
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Royal Canadian Mint
Original Assignee
Royal Canadian Mint
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Royal Canadian Mint filed Critical Royal Canadian Mint
Publication of CN103416020A publication Critical patent/CN103416020A/zh
Application granted granted Critical
Publication of CN103416020B publication Critical patent/CN103416020B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/002Countermeasures against attacks on cryptographic mechanisms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/006Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0827Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • H04L9/16Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms the keys or algorithms being changed during operation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

一种安全域控制方法包含:定义安全域的顺序系列;将其中一个安全域指定为当前域;在当前安全域下生成多个安全令牌,每个安全令牌配置成使一方能够与正在持有如下项中任一项的另一方交换密码保护的消息:在当前安全域下生成的令牌、在系列中至少一个接下来的安全域下生成的令牌和在系列中至少一个前面的安全域下生成的令牌;以及随后将系列中的安全域中接下来的安全域指定为当前域。

Description

受控的安全域
技术领域
本公开涉及用于在不可信环境内控制安全域的系统和方法。
背景技术
为了本描述的目的,“不可信环境”将被理解成意味着攻击者有可能修改消息、删除消息乃至添加或重放消息的任何通信或连网环境。公共因特网是不可信环境的常见示例,因为不可能禁止攻击者修改、删除、添加或重放消息。有线和卫星电视分配网络也可能在如下意义上不可信:一旦机顶盒接收器/解码器单元被分配给最终用户,他们就可能“被侵入(hacked)”以允许未授权地访问节目编排内容。
为了允许在不可信环境中进行安全通信,通常应用密码算法和机制来检测消息由于一个或多个前面的原因而无效。这种密码技术要求参与者都拥有适当的密码密钥。常见的是,服务提供商或运营商实现安全域,其中一组密码密钥被分配给经授权方。这些密钥然后可用于促进那些方之间的安全通信。例如,在有线和卫星电视分配网络中,惯例是,运营商使用私用密码密钥加密他们的节目编排内容。互补公共密钥被分发给经授权订户作为安全令牌,该安全令牌使用户能够解密和观看节目编排内容。通常也将私用/公共密钥用于在公共因特网中实现安全域(例如以虚拟私用网(VPN)的形式)。
众所周知,在上述类型的密码安全系统中,有必要以及时方式更新密钥(并且还频繁更新算法)以确保系统安全保持不受黑客团体所取得进展的影响。一般而言,安全系统的运营商可选择改变密钥,并且可能甚至以规则间隔增大它们的大小。在一些安全系统中,可能甚至期望改变算法。这例如对于是黑客首要目标的卫星TV有条件访问系统而言是常见问题。
运营商的问题是,规则地改变密码分量的开销和风险可能是不可接受的,并且可劝服他们允许密钥改变之间的时段比期望的更长。这种密钥管理系统的复杂性是众所周知的。
在一些系统(诸如VPN和卫星电视分配网络)中,更新密钥的任务简化,某种程度上是由于如下事实:用户在某一时间必须连接到安全(可信)资源。例如,在VPN中,远程用户必须登录到安全服务器上以便访问VPN的服务。在有线和卫星电视分配网络中,用户的机顶盒接收器/解码器单元必须连接到安全内容服务器以便接收节目编排内容。在任一情况下,到安全资源的连接都提供了可用来确定存储在用户的远程装置上的安全令牌的年龄(age)并根据需要更新所分配令牌的手段。
然而,在一些系统中,用户可能仅不频繁地登录到安全资源中,或从未登录到安全资源中。这种类型的情形可发生在一些电子商务系统中,例如在其中用户可与其它用户交互作用但只很少(如果曾经的话)登录到系统的中央服务器中的电子商务系统中。在这种情况下,与存储在用户的装置中的密钥相关联的日期和时间信息可能不可信,并且因此不能用于确定那些密钥的年龄以及更新它们的需要。而且,缺乏对用户的密钥进行更新的可靠机制。
发明内容
本公开阐明以提供一种实际方式,安全系统的运营商可以通过该实际方式以如下这种方式改变安全令牌的密码参数:可纯粹通过发布新令牌进入循环使较老令牌无效,并且无需参考与当前使用的任何令牌相关联的日期和时间信息。系统运营商可任意选择何时改变这些参数,例如根据当前的威胁和感到的脆弱。
从而,本发明的一方面提供一种安全域控制方法,该方法包含:定义安全域的顺序系列;将其中一个所述安全域指定为当前域;在当前安全域下生成多个安全令牌,每个安全令牌配置成使一方能够与正在持有以下项中任一项的另一方交换密码保护的消息:在当前安全域下生成的令牌、在系列中至少一个接下来的安全域下生成的令牌和在系列中至少一个前面的安全域下生成的令牌;以及随后将系列中的安全域中接下来的安全域指定为当前域。
附图说明
本发明的另外特征和优点根据结合附图获取的如下详细描述将变得显而易见,附图中:
图1是示出实现根据本发明相应实施例的方法的安全系统的框图;
图2是例证图1系统中的可能消息交换事务的框图;
图3是例证图1系统中的消息交换事务的消息流程图;以及
图4是例证根据本发明第二实施例的系统中的可能消息交换事务的框图。
将注意到,在全部附图中,相似的特征由相似的附图标记标识。
具体实施方式
为了本公开的目的,设想在不可信环境中不能实施与安全令牌相关联的到期日期,因为没有与安全令牌相关联的可信任实时时钟。信任不受控终端(例如订户的通信装置)的日期和时间参考是不可接受的,因为黑客轻易能够修改这种日期和时间参考。
本发明提供了可在其中通过实施废弃的过程实现老安全令牌到期的系统。
从而,服务提供商根据安全域的顺序系列生成安全令牌。每个安全域可通过标识其在系列内的位置的域ID来参考。预期每个安全域可包括在那个安全域内发布的密钥的相应证书颁发机构(CA)以及相应密码特征(包含算法),它们中的任一个都可与系列内其它安全域的相应证书颁发机构(CA)以及相应密码特征相同或者不同。在给定安全域下发布的每个安全令牌配置成使一方能够与具有在同一安全域下或在系列内至少两个相邻安全域中任一个安全域下发布的安全令牌的另一方交换可信消息。
用这种设置,服务提供商可在他们认为适当时实现新安全域。在实现每个新安全域时,接收在当前安全域下发布的令牌的各方能够与持有在当前域下、在紧接的前面的域下和在系列中接下来的域下发布的令牌的各方交换可信消息。这提供了接连安全域之间的互操作性,而同时确保了在较老域下发布的令牌的有用性逐渐减小,因为持有较老令牌的各方不能与在当前域下发布的令牌的持有者交换安全消息。作为结果,甚至在未迫使各方登录到可迫使令牌更新的中央服务器中的环境下,各方也具有如下动机:将他们的令牌更新到当前安全域,以避免废弃以及随后无能力与安全系统中的其它方交换消息传递。
在一些实施例中,可使用本领域已知的方法生成令牌并将令牌下载到订户的通信装置。在这种情况下,可不时地更新订户的一个或多个令牌,例如当订户使用他们的令牌登录到安全服务器中时。在其它实施例中,令牌可嵌入在随后被分配给用户的物理装置(例如智能卡等)内。在这种情况下,服务提供商可提供服务,由此订户可更新嵌入在他们装置内的一个或多个令牌或者备选地使用户能够将老装置换成新的。
图1和2例证了实现本发明的方面的安全系统。将注意到,所例证的系统基于公共密钥密码学,但在本领域的技术人员将理解,相同原理可适用于对称算法的使用。
参考图1,安全系统包括主机服务器(在此情况下由服务提供商维护)和多个订户(例证了其中4个),它们中的每个都通过不可信数据网络(诸如公共因特网)连接以便通信。主机服务器保持安全域的顺序系列,其中一个被指定为“当前域”。
在所例证实施例中,每个安全域由相应域系列ID参考,并且包含那个安全域的指定证书颁发机构(CA)以及由那个安全域的指定证书颁发机构发布的公共密钥(PK)。预期,在大多数情况下,可为系列中的每个安全域指定相同的证书颁发机构,但这不是必要的。原则上,系列中的每个安全域可具有不同的证书颁发机构(如果期望的话)。然而,在所有情况下,由为系列中每个安全域指定的证书颁发机构发布的公共密钥(PK)必须是独特的,至少在系列中的安全域之间是独特的。
在操作中,新令牌在指定的当前域下发布,并且包含:相应独特令牌ID、对那个令牌独特的相应秘密和公共密钥(SKx和PKx)、由那个安全域的指定CA发布的令牌公共密钥证书、和当前安全域以及系列中紧接的前面的安全域和后续安全域中每一个安全域的公共密钥[PK(nx)]。在一些实施例中,令牌ID可包含已经在其下发布令牌的域系列ID。在一些实施例中,公共密钥[PK(nx)]可以公共密钥证书的形式存储。在图1和2的示例中,例证了4个代表性订户(A-D),其中仅订户D持有在目前指定的当前域(n4)下发布的令牌。订户A-C中的每一个都持有较老令牌,它们是当系列的相应较早域被指定为当前域时发布的。因而,订户A已经接收到了在安全域“n1”下发布的令牌,其包含域系列ID(n1)、由安全域n1的CA发布的证书[CA(n1)发布的Pka]和安全域n1以及安全域n0和n2的公共密钥[PK(n0),PK(n1),PK(n2)]。订户B已经接收到了在安全域“n2”下发布的令牌,其包含域系列ID(n2)、由安全域n2的CA发布的证书[CA(n2)发布的Pkb]和安全域n2以及安全域n1和n3的公共密钥[PK(n1),PK(n2),PK(n3)]。订户C已经接收到了在安全域“n3”下发布的令牌,其包含域系列ID(n3)、由安全域n3的CA发布的证书[CA(n3)发布的Pkc]和安全域n3以及安全域n2和n4的公共密钥[PK(n2),PK(n3),PK(n4)]。订户D已经接收到了在安全域“n4”(指定的当前域)下发布的令牌,其包含域系列ID(n4)、由安全域n4的CA发布的证书[CA(n4)发布的Pkd]和安全域n4以及安全域n3和n5的公共密钥[PK(n3),PK(n4),PK(n5)]。
用这种设置,订户A和B可交换消息,因为每个令牌中的CA公共密钥的交叠集合使订户A的n1域令牌能够使从订户B接收的消息生效,并且订户B的n2域令牌可使从订户A接收的消息生效。订户B可与订户A和订户C交换消息,再次因为每个订户的令牌中的CA公共密钥的交叠集合。类似地,订户C可与订户B和订户D交换消息。然而,订户B不能够与订户D交换消息,并且订户A不能够与订户C或订户D交换消息。这样,因为系列中每个接连安全域都成为当前的,因此在较老安全域下发布的令牌变得逐渐不那么有用了,并且最终变成废弃的。
图3例证了订户A与B之间的可能消息交换情形。在此情形下,期望将可信消息从订户A发送到订户B。因而,订户A的通信装置发送询问(challenge)消息,该询问消息含有订户A的令牌的域系列ID的指示。在一些实施例中,域系列ID可包括订户A的令牌ID的一部分,但这不是必要的。在接收到询问消息时,订户B的通信装置可检查其令牌中含有的公共密钥集合,以确定它是否具有订户A的安全域(n1)的公共密钥。在此情况下,这个验证检查的结果为“是”,因此订户B的通信装置将对应的确认(OK)消息返回给订户A。在接收到确认(OK)消息时,订户A的通信装置可使用其令牌来生成密码保护的消息并将密码保护的消息发送到订户B,所述密码保护的消息包含订户A的证书。在接收到保护的消息时,订户B的通信装置可使用其令牌来获得订户A的安全域的公共密钥[PK(n1)],并验证所接收消息中含有的证书。
上面参考图3描述的询问器/响应情形受到限制,因为在发送方与接收方之间必须建立实时连接,否则在缺乏实时连接时需要复杂的延迟转移协议来处置消息转移。如上面提到的,在一些实施例中,令牌ID可设计成包含在其下发布令牌的域的域系列ID。例如,在一个可能的实施例中,令牌ID可格式化为15位数据字段,其中的前11位独特标识令牌,并且末尾4位包括域系列ID。其它适当格式将是本领域普通技术人员容易明白的,并且可根据需要使用。用这种方式将域系列ID嵌入到令牌ID中提供了如下优点:接收方(在上面示例中是订户B)没有必要如上面参考图3所描述的那样向发送方发送询问消息。所需要的只是,发送方知道预计接收方的令牌ID。这个信息可通过各种手段中的任一种传送到发送方,并且因此避免了对两方之间的实时连接的需要(这在询问/响应事务中暗含了)。
图4例证了备选实施例,其中在给定当前域下发布的每个新令牌包含:对那个令牌独特的相应秘密和公共密钥(SKx和PKx)、由那个安全域的指定CA发布的证书以及当前安全域、接下来的安全域和前两个安全域二者的公共密钥[PK(nx)]。因而,例如,订户C的令牌包含域系列ID(n3)、由安全域n3的CA发布的证书[CA(n3)发布的Pkc],与图1和2实施例中一样,但现在具有安全域n1-n4的4个公共密钥[PK(n1),PK(n2),PK(n3),PK(n4)]。类似地,订户D的令牌具有域系列ID(n4)、由安全域n4的CA发布的证书[CA(n4)发布的Pkd],与图1和2实施例中一样,但现在具有安全域n2-n5的4个公共密钥[PK(n2),PK(n3),PK(n4),PK(n5)]。用这种设置,订户A能够向订户C发送消息,因为订户C的令牌包含订户A的安全域的公共密钥[PK(n1)],但订户A不能够从订户C接收消息,因为订户A的令牌未含有订户C的安全域的公共密钥[PK(n3)],并且因此不能识别订户C的证书。类似地,订户B能够向订户D发送消息,但不能从订户D接收消息。这种设置是有用的,因为它在较老令牌的有用性方面提供了更逐渐的降级,因为持有较老令牌的各方经历了与持有在当前安全域下发布的令牌的各方通信的能力的减小,而不是完全切断。
如上面提到的,可通过用在当前安全域下发布的新令牌替换他们的一个或多个老令牌来更新用户的一个或多个安全令牌。然而,服务提供商可选择在当前域下更新安全令牌;也就是说,无需实现系列中的下一安全域。例如,当订户登录到安全服务器中时,可通过添加或删除CA公共密钥来修改用户的安全令牌,并由此更改用户与持有在其它安全域下发布的令牌的用户交换可信消息传递的能力。
在一些实施例中,控制处理器10的固件可配置成传送对其它令牌的令牌更新。例如,如上面提到的,可更新或修改用户的安全令牌,无需改变安全域。在这种情况下,处理器的固件可操作以传递有关具有相同域系列ID的其它令牌的改变的信息(例如在嵌入在内容转移消息内的加密字段中)。在接收到内容转移消息时,处理器10可解密该字段,以提取令牌改变信息,并且如果适当的话,相应地更新它自己令牌的内容。
上面描述的本发明实施例打算只是示范性的。因此,本发明的范围打算仅由所附权利要求的范围限制。

Claims (6)

1.一种控制安全域的方法,所述方法包括:
定义安全域的顺序系列;
将所述安全域中的一个安全域指定为当前域;
在所述当前安全域下生成多个安全令牌,每个安全令牌配置成使一方能够与正在持有如下项中任一项的另一方交换密码保护的消息:在所述当前安全域下生成的令牌、在所述系列中接下来的安全域下生成的令牌以及在所述系列中前面的安全域下生成的令牌;以及
随后将所述系列中接下来的安全域指定为当前域。
2.如权利要求1所述的方法,其中每个安全令牌配置成使一方能够与正在持有在所述系列中两个前面的安全域下所生成令牌的另一方交换密码保护的消息。
3.如权利要求1所述的方法,其中每个安全域使用公共密钥基础设施(PKI)来定义,并且包括相应公共密钥。
4.如权利要求3所述的方法,其中每个安全令牌包括所述当前安全域、所述系列中所述接下来的安全域和所述系列中所述前面的安全域中每一个安全域的相应公共密钥。
5.如权利要求4所述的方法,其中每个安全令牌还包括所述系列中第二前面的安全域的相应公共密钥。
6.如权利要求1所述的方法,还包括:当用户登录到安全服务器中时自动更新所述用户的安全令牌。
CN201280006590.8A 2011-01-28 2012-01-27 受控的安全域 Expired - Fee Related CN103416020B (zh)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US201161437147P 2011-01-28 2011-01-28
US61/437,147 2011-01-28
US61/437147 2011-01-28
PCT/CA2012/050043 WO2012100352A1 (en) 2011-01-28 2012-01-27 Controlled security domains

Publications (2)

Publication Number Publication Date
CN103416020A CN103416020A (zh) 2013-11-27
CN103416020B true CN103416020B (zh) 2015-12-23

Family

ID=46580160

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201280006590.8A Expired - Fee Related CN103416020B (zh) 2011-01-28 2012-01-27 受控的安全域

Country Status (8)

Country Link
US (1) US8699710B2 (zh)
EP (1) EP2668737A4 (zh)
JP (1) JP6175600B2 (zh)
KR (1) KR101690093B1 (zh)
CN (1) CN103416020B (zh)
AU (1) AU2012210978B2 (zh)
CA (1) CA2824696A1 (zh)
WO (1) WO2012100352A1 (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2831802B1 (en) * 2012-03-26 2020-04-22 Assa Abloy Ab Field revisions for a personal security device
US10897360B2 (en) * 2017-01-26 2021-01-19 Microsoft Technology Licensing, Llc Addressing a trusted execution environment using clean room provisioning
US11838284B2 (en) * 2020-02-03 2023-12-05 T-Mobile Usa, Inc. Cross-domain proof-of-possession

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1765078A (zh) * 2003-04-16 2006-04-26 艾利森电话股份有限公司 认证方法
US7065210B1 (en) * 1999-01-25 2006-06-20 Murata Kikai Kabushiki Kaisha Secret key generation method, encryption method, cryptographic communications method, common key generator, cryptographic communications system, and recording media
CN1805341A (zh) * 2006-01-11 2006-07-19 西安电子科技大学 跨安全域的网络认证和密钥分配方法

Family Cites Families (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020062451A1 (en) * 1998-09-01 2002-05-23 Scheidt Edward M. System and method of providing communication security
US7103784B1 (en) * 2000-05-05 2006-09-05 Microsoft Corporation Group types for administration of networks
US20020031230A1 (en) * 2000-08-15 2002-03-14 Sweet William B. Method and apparatus for a web-based application service model for security management
JP3588042B2 (ja) * 2000-08-30 2004-11-10 株式会社日立製作所 証明書の有効性確認方法および装置
US20020071563A1 (en) * 2000-12-12 2002-06-13 Kurn David Michael Method and apparatus for cryptographic key rollover during operation
JP2001242785A (ja) * 2001-04-20 2001-09-07 Ntt Data Corp ディジタル署名システム
US7568218B2 (en) * 2002-10-31 2009-07-28 Microsoft Corporation Selective cross-realm authentication
US6886096B2 (en) * 2002-11-14 2005-04-26 Voltage Security, Inc. Identity-based encryption system
JP2004166154A (ja) * 2002-11-15 2004-06-10 Nec Corp マルチキャスト配信のための鍵管理方式
US20040123152A1 (en) * 2002-12-18 2004-06-24 Eric Le Saint Uniform framework for security tokens
JP3894181B2 (ja) * 2003-10-10 2007-03-14 株式会社日立製作所 公開鍵証明書検証の高速化方法、および装置
EP1676281B1 (en) * 2003-10-14 2018-03-14 Selander, Göran Efficient management of cryptographic key generations
US7711120B2 (en) * 2004-07-29 2010-05-04 Infoassure, Inc. Cryptographic key management
US7130998B2 (en) * 2004-10-14 2006-10-31 Palo Alto Research Center, Inc. Using a portable security token to facilitate cross-certification between certification authorities
US20060218628A1 (en) * 2005-03-22 2006-09-28 Hinton Heather M Method and system for enhanced federated single logout
US7620187B1 (en) * 2005-03-30 2009-11-17 Rockwell Collins, Inc. Method and apparatus for ad hoc cryptographic key transfer
US7788484B2 (en) * 2005-11-30 2010-08-31 Microsoft Corporation Using hierarchical identity based cryptography for authenticating outbound mail
JP4635855B2 (ja) 2005-12-13 2011-02-23 株式会社日立製作所 データ通信方法およびシステム
JP4270219B2 (ja) * 2006-03-31 2009-05-27 ブラザー工業株式会社 通信システム、サーバ装置、及び、プログラム
US8538028B2 (en) * 2006-11-20 2013-09-17 Toposis Corporation System and method for secure electronic communication services
EP1976220A1 (en) * 2007-03-30 2008-10-01 British Telecommunications Public Limited Company Computer network
JP4594962B2 (ja) * 2007-06-04 2010-12-08 株式会社日立製作所 検証サーバ、プログラム及び検証方法
US8037298B2 (en) * 2008-01-31 2011-10-11 Park Avenue Capital LLC System and method for providing security via a top level domain
JP5077186B2 (ja) * 2008-10-17 2012-11-21 富士通株式会社 通信装置、通信方法及び通信プログラム
JP5329184B2 (ja) * 2008-11-12 2013-10-30 株式会社日立製作所 公開鍵証明書の検証方法及び検証サーバ
US8990562B2 (en) * 2010-10-08 2015-03-24 Microsoft Technology Licensing, Llc Secure deployment of provable identity for dynamic application environments

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7065210B1 (en) * 1999-01-25 2006-06-20 Murata Kikai Kabushiki Kaisha Secret key generation method, encryption method, cryptographic communications method, common key generator, cryptographic communications system, and recording media
CN1765078A (zh) * 2003-04-16 2006-04-26 艾利森电话股份有限公司 认证方法
CN1805341A (zh) * 2006-01-11 2006-07-19 西安电子科技大学 跨安全域的网络认证和密钥分配方法

Also Published As

Publication number Publication date
KR101690093B1 (ko) 2016-12-27
JP2014504120A (ja) 2014-02-13
AU2012210978A1 (en) 2013-08-01
CN103416020A (zh) 2013-11-27
US20120257751A1 (en) 2012-10-11
JP6175600B2 (ja) 2017-08-09
KR20140004703A (ko) 2014-01-13
WO2012100352A1 (en) 2012-08-02
EP2668737A4 (en) 2016-01-06
EP2668737A1 (en) 2013-12-04
AU2012210978B2 (en) 2015-11-26
CA2824696A1 (en) 2012-08-02
US8699710B2 (en) 2014-04-15

Similar Documents

Publication Publication Date Title
EP3742696B1 (en) Identity management method, equipment, communication network, and storage medium
US7707405B1 (en) Secure installation activation
US8761401B2 (en) System and method for secure key distribution to manufactured products
CN100517297C (zh) 使用证书撤销列表进行数字权限管理的方法和设备
CN102982257B (zh) 在re和te间执行平台完整性和drm软件完整性检查的方法
CN103067333B (zh) 验证机顶盒接入身份的方法和认证服务器
CN113691560B (zh) 数据传送方法、控制数据使用的方法以及密码设备
US20120173637A1 (en) Method and system for remote activation and management of personal security devices
US9124561B2 (en) Method of transferring the control of a security module from a first entity to a second entity
EP1389752A2 (en) System and method for privilege delegation and control
CN110852745B (zh) 一种区块链分布式动态网络密钥自动更新方法
KR102450811B1 (ko) 차량 내부 네트워크의 키 관리 시스템
US20050235152A1 (en) Encryption key sharing scheme for automatically updating shared key
US20090136042A1 (en) Application layer authorization token and method
US20050257058A1 (en) Communication apparatus and authentication apparatus
GB2401293A (en) Secure data transmission links
CN102833593A (zh) 一种智能电视应用的授权方法、系统及智能电视
CN101841525A (zh) 安全接入方法、系统及客户端
CN101605137A (zh) 安全分布式文件系统
CN108270739A (zh) 一种管理加密信息的方法及装置
CN112187826A (zh) 区块链网络中数据授权及数据访问方法及系统
CN103416020B (zh) 受控的安全域
CN109039615A (zh) 利用ssl vpn协议获取量子密钥的方法及相应设备和存储介质
CN107409043B (zh) 基于中央加密的存储数据对产品的分布式处理
CN110120866B (zh) 现场设备的用户管理方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20151223

Termination date: 20180127