JP2003521154A - 電子識別情報を発行する方法 - Google Patents
電子識別情報を発行する方法Info
- Publication number
- JP2003521154A JP2003521154A JP2001553713A JP2001553713A JP2003521154A JP 2003521154 A JP2003521154 A JP 2003521154A JP 2001553713 A JP2001553713 A JP 2001553713A JP 2001553713 A JP2001553713 A JP 2001553713A JP 2003521154 A JP2003521154 A JP 2003521154A
- Authority
- JP
- Japan
- Prior art keywords
- identification
- identification information
- identified
- information
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/42—Anonymization, e.g. involving pseudonyms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/56—Financial cryptography, e.g. electronic payment or e-cash
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
Abstract
(57)【要約】
以前に証明された電子識別情報に基づいて電子識別情報を発行する方法である。これは、以前に証明された識別情報を用いて、同じ識別情報について別の表象的形式を作成する方法を提供する。この方法により、証明書の保持者は、彼又は彼女の既に証明された識別情報を他の用途のために拡張することができる。該以前に証明された識別情報は、例えば所謂「移動性識別情報」と成り得るものであり、移動電話の如き個人の移動端末に割り当てられる。該個人は、移動端末におけるデジタル署名形状を用いることで彼又は彼女自身の証明書を示すことができる。
Description
【0001】
本発明は、電子識別情報技術及び方法に関する。特に、本発明は、以前に証明
された電子識別情報に基づいて電子識別情報を要求し且つ発行するための新しい
且つ改良された方法及びシステムに関する。
された電子識別情報に基づいて電子識別情報を要求し且つ発行するための新しい
且つ改良された方法及びシステムに関する。
【0002】
通信の機密保持に関連して、被識別体(entity)は、しばしば、サービス利用
又はトランザクション実行に先立って自分自身の電子的な認証が要求される。こ
の認証は、使用者名及びパスワードの組み合わせ又は証明書の形式で具現され得
る。この芸当をなすためには、これらの被識別体が最初に彼ら自身の物理上又は
事実上の存在性を登録しなければならず、これにより彼らは識別情報の証拠を受
領できる。
又はトランザクション実行に先立って自分自身の電子的な認証が要求される。こ
の認証は、使用者名及びパスワードの組み合わせ又は証明書の形式で具現され得
る。この芸当をなすためには、これらの被識別体が最初に彼ら自身の物理上又は
事実上の存在性を登録しなければならず、これにより彼らは識別情報の証拠を受
領できる。
【0003】
利用者名及びパスワードの組み合わせの如き証拠を提供することで実際の認証
を実行する。以上の単純な方式は、残念ながら全く状況固有のものであり、利用
者名及びパスワードに基づく識別は、他の全ての環境においては総体として不十
分である。更に、かかる証拠は、異なる被識別体の反証を許すことなく区別する
ものではない。デジタル証明書により証明される電子識別情報は、インターネッ
トの如きネットワークに亘って一意に人と資源を識別するのに用いられる。デジ
タル証明書の助けにより、2つの当事者間で安全な機密通信をなすことが可能と
なる。人が他の国に旅行する際には、彼/彼女のパスポートがその者の識別を確
立し入国するための共通的な方法を提供している。デジタル証明書は同様の識別
を提供する。証明書は、証明処理認証担当部署(CA)の如き信頼できる第三者
機関(TTP)により発行される。パスポート事務者の役割と同様に、該信頼で
きる第三者機関の役割は、証明書所持人の識別を法的に有効にし該証明書に「署
名」をなすことで、かかる証明書が偽造又は改ざんされないようにすることであ
る。TTPが証明書に署名をなしたなら、その所持人は自身の証明書を他人、ウ
ェブサイト及びネットワーク資源に対して提示することができ、自身の識別を立
証して暗号化を施すことで機密通信を確立することができる。
を実行する。以上の単純な方式は、残念ながら全く状況固有のものであり、利用
者名及びパスワードに基づく識別は、他の全ての環境においては総体として不十
分である。更に、かかる証拠は、異なる被識別体の反証を許すことなく区別する
ものではない。デジタル証明書により証明される電子識別情報は、インターネッ
トの如きネットワークに亘って一意に人と資源を識別するのに用いられる。デジ
タル証明書の助けにより、2つの当事者間で安全な機密通信をなすことが可能と
なる。人が他の国に旅行する際には、彼/彼女のパスポートがその者の識別を確
立し入国するための共通的な方法を提供している。デジタル証明書は同様の識別
を提供する。証明書は、証明処理認証担当部署(CA)の如き信頼できる第三者
機関(TTP)により発行される。パスポート事務者の役割と同様に、該信頼で
きる第三者機関の役割は、証明書所持人の識別を法的に有効にし該証明書に「署
名」をなすことで、かかる証明書が偽造又は改ざんされないようにすることであ
る。TTPが証明書に署名をなしたなら、その所持人は自身の証明書を他人、ウ
ェブサイト及びネットワーク資源に対して提示することができ、自身の識別を立
証して暗号化を施すことで機密通信を確立することができる。
【0004】
証明書は、通常、その所持人及びこれを発行するTTPに属する多様な情報を
含む。この情報としては、例えば、所持人の名称及び他の識別情報、証明書を用
いるウェブサーバのURL、個人のEメールアドレス或いは所持人の公開鍵の如
き情報が該所持人を一意に識別するために要求される。公開鍵は、証明書の所持
人についての重要な情報と、該証明書を発行する認証担当部署の名称と、一意の
識別子と、証明書の有効(即ち存続)期間(開始日時及び終了日時)とを暗号化
するのに用いられ得る。
含む。この情報としては、例えば、所持人の名称及び他の識別情報、証明書を用
いるウェブサーバのURL、個人のEメールアドレス或いは所持人の公開鍵の如
き情報が該所持人を一意に識別するために要求される。公開鍵は、証明書の所持
人についての重要な情報と、該証明書を発行する認証担当部署の名称と、一意の
識別子と、証明書の有効(即ち存続)期間(開始日時及び終了日時)とを暗号化
するのに用いられ得る。
【0005】
証明書を作成する上において、この情報は、発行TTPによりデジタル的に署
名される。TTPの証明書上の署名は、内容の改ざんが容易に検出される錠剤瓶
の改ざん検出シールと同様のものである。デジタル証明書は、通常、暗号化及び
復号化のための一対の鍵を用いる公開鍵暗号技術に基づく。公開鍵暗号技術によ
り、適合する「公開」及び「個人」鍵の対にて鍵が働く。暗号技術システムにお
いて用語としての鍵とは、情報を改変するアルゴリズムにより用いられる数値を
意味し、当該情報を機密化して対応する鍵を持っている個人のみが見ることがで
きるようにして当該情報を回復する。
名される。TTPの証明書上の署名は、内容の改ざんが容易に検出される錠剤瓶
の改ざん検出シールと同様のものである。デジタル証明書は、通常、暗号化及び
復号化のための一対の鍵を用いる公開鍵暗号技術に基づく。公開鍵暗号技術によ
り、適合する「公開」及び「個人」鍵の対にて鍵が働く。暗号技術システムにお
いて用語としての鍵とは、情報を改変するアルゴリズムにより用いられる数値を
意味し、当該情報を機密化して対応する鍵を持っている個人のみが見ることがで
きるようにして当該情報を回復する。
【0006】
公開鍵は、その所持人によって機密が維持されるべき個人鍵を含むこと無く、
自由に配布することができる。これらの鍵は対でのみ働くことから、公開鍵によ
りなされる(例えば暗号化)動作は、その対応する個人鍵によってだけでは(復
号化)なされ得ないし、このことは反対にも言える。デジタル証明書は、信頼さ
れる第三者(CA)により検証されることで、その者の識別情報とその者の公開
鍵を秘密裏に結びつける。
自由に配布することができる。これらの鍵は対でのみ働くことから、公開鍵によ
りなされる(例えば暗号化)動作は、その対応する個人鍵によってだけでは(復
号化)なされ得ないし、このことは反対にも言える。デジタル証明書は、信頼さ
れる第三者(CA)により検証されることで、その者の識別情報とその者の公開
鍵を秘密裏に結びつける。
【0007】
CA証明書は、証明認証担当部署を識別する証明書である。CA証明書は、自
己により署名されていること以外は他のデジタル証明書と同じものである。CA
証明書は、により発行された証明書が信頼できるか否かを判定するのに用いられ
る。 パスポートの場合、パスポート統括者は、その者のパスポートの有効性とその
認証性とを検証し、その者の入国を許可するか否かを決定する。同様に、CA証
明書は、認証をなしてウェブサーバの証明書を有効化するのに用いられる。ウェ
ブサーバの証明書がブラウザに与えられたとき、該ブラウザは、証明書を用いて
、該ウェブサーバの証明書が信頼できるか否かを決定する。もしサーバの証明書
が有効である場合には、機密保持セッションに移行する。もしサーバの証明書が
有効でない場合には、該サーバの証明書は拒否され、機密保持セッションは停止
される。
己により署名されていること以外は他のデジタル証明書と同じものである。CA
証明書は、により発行された証明書が信頼できるか否かを判定するのに用いられ
る。 パスポートの場合、パスポート統括者は、その者のパスポートの有効性とその
認証性とを検証し、その者の入国を許可するか否かを決定する。同様に、CA証
明書は、認証をなしてウェブサーバの証明書を有効化するのに用いられる。ウェ
ブサーバの証明書がブラウザに与えられたとき、該ブラウザは、証明書を用いて
、該ウェブサーバの証明書が信頼できるか否かを決定する。もしサーバの証明書
が有効である場合には、機密保持セッションに移行する。もしサーバの証明書が
有効でない場合には、該サーバの証明書は拒否され、機密保持セッションは停止
される。
【0008】
デジタル処理環境において、身元証明書の現代的な等価物は、証明書、即ち被
識別体を区別する識別情報の確認された証拠である。証明書は、通常、その対象
物の属性を確認するだけのこと以上のことをなしている。(公開鍵)証明書の最
も普通の使い方は、被識別体の公開鍵をその識別情報に結びつけることである。
これらの公開鍵は、認証、公証、極秘化、整合化、或いは非拒絶性を提供する如
き多様な目的のために用いられ得る。
識別体を区別する識別情報の確認された証拠である。証明書は、通常、その対象
物の属性を確認するだけのこと以上のことをなしている。(公開鍵)証明書の最
も普通の使い方は、被識別体の公開鍵をその識別情報に結びつけることである。
これらの公開鍵は、認証、公証、極秘化、整合化、或いは非拒絶性を提供する如
き多様な目的のために用いられ得る。
【0009】
理論的に、証明書は状況固有のものではないが、実際上、異なる使用が異なる
証明書を要求している。例えば、標準規格X.509の証明書は、機密性の電子
メール(例えば、PGP又はS/MIME)において要求されるEメールアドレ
ス情報を含むものではない。同様に、アプリケーション自体がそれ自身の独占的
な属性情報を証明書内に含むことを求めるかもしれない。この属性情報の包含は
、本質的に問題を含むものではないが、新たな証明書の作成を必要としている。
証明書を要求している。例えば、標準規格X.509の証明書は、機密性の電子
メール(例えば、PGP又はS/MIME)において要求されるEメールアドレ
ス情報を含むものではない。同様に、アプリケーション自体がそれ自身の独占的
な属性情報を証明書内に含むことを求めるかもしれない。この属性情報の包含は
、本質的に問題を含むものではないが、新たな証明書の作成を必要としている。
【0010】
米国特許第5,982,898号は、以前の証明書を既に持っている人に対す
る短期間の証明書を発行する方法を説明している。この新しい証明書は、該以前
の証明書の所有権限の有効化処理の後に発行される。該有効化は、識別情報検証
業務と証明発行業務とを分離することよりなされ、その人物と彼/彼女の公開/
個人鍵との間の長期の結びつきを解き放すことを可能とする。これは、一度人物
の真正さが満足されたならば、当該人物にパスワードを発行することで登録認証
担当部署によりなされる。
る短期間の証明書を発行する方法を説明している。この新しい証明書は、該以前
の証明書の所有権限の有効化処理の後に発行される。該有効化は、識別情報検証
業務と証明発行業務とを分離することよりなされ、その人物と彼/彼女の公開/
個人鍵との間の長期の結びつきを解き放すことを可能とする。これは、一度人物
の真正さが満足されたならば、当該人物にパスワードを発行することで登録認証
担当部署によりなされる。
【0011】
それ後、該人物が新しい証明書、即ち新しい電子識別情報を持ちたいと望む場
合には、該人物は何時でも証明認証担当部署に接触し、自分自身をパスワードで
識別して証明書を取得する。該証明書は、通常、人物の名前と平板なテキスト状
の公開鍵と署名とを含む。該署名は、該証明書の平板なテキスト部分をハッシン
グ(hashing)して値を取得し、該値をCAの個人鍵で暗号化することにより導
出される。
合には、該人物は何時でも証明認証担当部署に接触し、自分自身をパスワードで
識別して証明書を取得する。該証明書は、通常、人物の名前と平板なテキスト状
の公開鍵と署名とを含む。該署名は、該証明書の平板なテキスト部分をハッシン
グ(hashing)して値を取得し、該値をCAの個人鍵で暗号化することにより導
出される。
【0012】
証明書又は何らかの他の電子的証拠を得るためには、目的対象がその存在を何
らかの認証者に対して証明及び登録しなければならない。もし同じ識別情報が異
なる使用のために幾つかの証拠を必要とするならば、これは繰り返されて、登録
手続きは全く不便なものとなる。
らかの認証者に対して証明及び登録しなければならない。もし同じ識別情報が異
なる使用のために幾つかの証拠を必要とするならば、これは繰り返されて、登録
手続きは全く不便なものとなる。
【0013】
この発明は、上記の目的において、被識別体(entity)に対して電子識別情報
を識別情報の登録認証担当部署(Registration Authority)から発行する方法に
関する。最初に、本発明の方法においては、第1の電子識別情報が該被識別体に
対して発行される。この第1の識別情報は、更なる識別情報を発行する間におい
て「基礎」識別情報として用いられる。更なる発行の方法は次の各ステップ、即
ち、その識別子を含む該被識別体に対する第2の識別情報の発行リクエストを作
成するステップと、該リクエストを該識別登録認証担当部署に送信するステップ
と、該リクエストに応じて識別処理レスポンスを作成するステップと、を含む。
該被識別体に対して第2の証明書を発行するためのリクエストは、第三者によっ
ても起動され得る。
を識別情報の登録認証担当部署(Registration Authority)から発行する方法に
関する。最初に、本発明の方法においては、第1の電子識別情報が該被識別体に
対して発行される。この第1の識別情報は、更なる識別情報を発行する間におい
て「基礎」識別情報として用いられる。更なる発行の方法は次の各ステップ、即
ち、その識別子を含む該被識別体に対する第2の識別情報の発行リクエストを作
成するステップと、該リクエストを該識別登録認証担当部署に送信するステップ
と、該リクエストに応じて識別処理レスポンスを作成するステップと、を含む。
該被識別体に対して第2の証明書を発行するためのリクエストは、第三者によっ
ても起動され得る。
【0014】
該識別処理レスポンスは、該第2の電子識別情報のリクエストを起動した被識
別体に送信され、そして、該識別処理レスポンスの受領可能性が該被識別体によ
り検証される。該検証に応じて、該識別処理レスポンスが受領可能であれば、該
被識別体は該識別処理レスポンスにデジタル的に署名する。該署名手続きは、又
、該第1の被識別体の所有下にある第2の被識別体によりなされ得る。該第2の
被識別体は、次の集合、即ち、移動端末、移動電話、パーソナルコンピュータ、
セットトップボックス、スマートカード、耐改ざんカード、機密保持トークン、
ソフトウェアエージェント、ページャ、端末装置、及びパーソナルデジタルアシ
スタント(PDA)からなる集合のうちの1つで有り得る。該署名されたレスポ
ンスは、該識別登録認証担当部署に送信され、該署名されたレスポンス中の該デ
ジタル署名及び識別処理レスポンスの有効性が検証される。該検証に応じて、も
し該デジタル署名及び識別処理レスポンスが有効であるならば、該認証者は、該
第1の識別情報に基づいて第2の識別情報を発行する。もし、該確認レスポンス
が所定時間内に受信されなかった場合には、該第2の電子識別情報の発行が取り
消される。
別体に送信され、そして、該識別処理レスポンスの受領可能性が該被識別体によ
り検証される。該検証に応じて、該識別処理レスポンスが受領可能であれば、該
被識別体は該識別処理レスポンスにデジタル的に署名する。該署名手続きは、又
、該第1の被識別体の所有下にある第2の被識別体によりなされ得る。該第2の
被識別体は、次の集合、即ち、移動端末、移動電話、パーソナルコンピュータ、
セットトップボックス、スマートカード、耐改ざんカード、機密保持トークン、
ソフトウェアエージェント、ページャ、端末装置、及びパーソナルデジタルアシ
スタント(PDA)からなる集合のうちの1つで有り得る。該署名されたレスポ
ンスは、該識別登録認証担当部署に送信され、該署名されたレスポンス中の該デ
ジタル署名及び識別処理レスポンスの有効性が検証される。該検証に応じて、も
し該デジタル署名及び識別処理レスポンスが有効であるならば、該認証者は、該
第1の識別情報に基づいて第2の識別情報を発行する。もし、該確認レスポンス
が所定時間内に受信されなかった場合には、該第2の電子識別情報の発行が取り
消される。
【0015】
後に、該発行された第2の識別情報は、該識別登録認証担当部署のデータベー
スに保存される。又、該第1及び第2の電子識別情報を組み合わせて、組み合わ
せ電子識別情報を形成し、該組み合わせ電子識別情報を該データベースに保存す
ることも可能である。該発行された第2の識別情報は、該被識別体に送信される
。もし要求があれば、該発行された第2の識別情報が第三者に送信される。
スに保存される。又、該第1及び第2の電子識別情報を組み合わせて、組み合わ
せ電子識別情報を形成し、該組み合わせ電子識別情報を該データベースに保存す
ることも可能である。該発行された第2の識別情報は、該被識別体に送信される
。もし要求があれば、該発行された第2の識別情報が第三者に送信される。
【0016】
本発明の1つの実施例において、該第2の被識別体の情報が該識別子を用いて
入手可能であるか否かが判定され、該判定に応じて、もし該情報が入手可能であ
れば該第1の被識別体から該第2の被識別体の情報を問い合わせる。利点的には
、該第2の被識別体の情報は、該第2の被識別体の一意のアドレスと、該第2の
被識別体の所持人の名称と、該第2の被識別体の以前の識別情報又は識別情報片
と、からなる集合のうちから1つ以上を含む。
入手可能であるか否かが判定され、該判定に応じて、もし該情報が入手可能であ
れば該第1の被識別体から該第2の被識別体の情報を問い合わせる。利点的には
、該第2の被識別体の情報は、該第2の被識別体の一意のアドレスと、該第2の
被識別体の所持人の名称と、該第2の被識別体の以前の識別情報又は識別情報片
と、からなる集合のうちから1つ以上を含む。
【0017】
本発明の1つの実施例において、該第1の被識別体と該識別登録認証担当部署
との間に通信チャネルが確立されて暗号処理が施されて、それらの間に機密通信
を保証する。 更なる機密保持のために、該第2の識別情報を発行する前に、追加的な保証が
該第1の識別情報の有効性を保証するために取得されるべきか否かの判定がなさ
れる。該判定に応じて、追加的な保証が必要とされた場合には、これらの追加的
な保証が、例えば、該第1の識別情報又は信頼される第三者から取得され得る。
との間に通信チャネルが確立されて暗号処理が施されて、それらの間に機密通信
を保証する。 更なる機密保持のために、該第2の識別情報を発行する前に、追加的な保証が
該第1の識別情報の有効性を保証するために取得されるべきか否かの判定がなさ
れる。該判定に応じて、追加的な保証が必要とされた場合には、これらの追加的
な保証が、例えば、該第1の識別情報又は信頼される第三者から取得され得る。
【0018】
本発明の1つの実施例において、タイムスタンプ及び/又は公証情報が該発行
された第2の識別情報に追加され得る。タイムスタンプが施された第2の識別情
報は、該登録認証担当部署のデータベースに保存される。また該タイムスタンプ
には、該第2の電子識別情報の有効日付が加えられ得る。また、該発行された第
2の識別情報にも加えられ得る。
された第2の識別情報に追加され得る。タイムスタンプが施された第2の識別情
報は、該登録認証担当部署のデータベースに保存される。また該タイムスタンプ
には、該第2の電子識別情報の有効日付が加えられ得る。また、該発行された第
2の識別情報にも加えられ得る。
【0019】
本発明の1つの実施例において、更なる識別子コードが問い合わせされて該署
名された識別処理レスポンスに加えられる。該識別子コードは、該登録認証担当
部署において受信され、該識別子コードの有効性が検証される。該識別子コード
は、該第1の被識別体の生体情報コード、所定の文字例、被識別体の公開鍵の指
紋、乱数、証明書、或いは該第1の被識別体と該登録認証担当部署との間の共有
秘密裏のハッシュコードで有り得る。該第2の電子識別情報の発行プロセスを間
に全てのトランザクションのログを収集記録することも可能である。
名された識別処理レスポンスに加えられる。該識別子コードは、該登録認証担当
部署において受信され、該識別子コードの有効性が検証される。該識別子コード
は、該第1の被識別体の生体情報コード、所定の文字例、被識別体の公開鍵の指
紋、乱数、証明書、或いは該第1の被識別体と該登録認証担当部署との間の共有
秘密裏のハッシュコードで有り得る。該第2の電子識別情報の発行プロセスを間
に全てのトランザクションのログを収集記録することも可能である。
【0020】
本発明の目的は、以前に証明された識別情報を用いて、同一の識別情報に対し
て別の表象的書式を作成する手段を提供することである。この表象的な書式は、
電子識別情報、証明書、或いはサービス又はサーバに対する証明されたアクセス
として表現され得る。このやり方により、電子識別情報若しくは証明書の受領者
、又は証明書の所持人として定義される被識別体は、彼/彼女の既に検証された
識別情報を他の利用に拡張することができる。該以前に証明された識別情報は、
例えば、所謂、移動性識別情報で有り得る。これは、移動電話の如き人の移動端
末に割り当てられる。人は、移動端末のデジタル署名形状を用いて彼/彼女自身
であることの証明を示すことができる。
て別の表象的書式を作成する手段を提供することである。この表象的な書式は、
電子識別情報、証明書、或いはサービス又はサーバに対する証明されたアクセス
として表現され得る。このやり方により、電子識別情報若しくは証明書の受領者
、又は証明書の所持人として定義される被識別体は、彼/彼女の既に検証された
識別情報を他の利用に拡張することができる。該以前に証明された識別情報は、
例えば、所謂、移動性識別情報で有り得る。これは、移動電話の如き人の移動端
末に割り当てられる。人は、移動端末のデジタル署名形状を用いて彼/彼女自身
であることの証明を示すことができる。
【0021】
本発明による識別情報拡張プロセスのステップの例が引き続いて示される。か
かるプロセスの説明における内容及び装置は、それらの役割により列挙され、実
施上の実装において別の物であってもよいことを注記する。 被識別体は、以前に確認された識別情報を有しない状況においても認証される
ことが必要である。該被識別体又は公認された代表者は、該被識別体の移動性識
別情報を知る登録認証担当部署により提供される検証済み事実に添えられる付加
的な情報を提供する。
かるプロセスの説明における内容及び装置は、それらの役割により列挙され、実
施上の実装において別の物であってもよいことを注記する。 被識別体は、以前に確認された識別情報を有しない状況においても認証される
ことが必要である。該被識別体又は公認された代表者は、該被識別体の移動性識
別情報を知る登録認証担当部署により提供される検証済み事実に添えられる付加
的な情報を提供する。
【0022】
この情報及び識別処理リクエストは、識別処理の受信者へのルーティング情報
と共に識別登録認証担当部署に送信され、また、鍵に署名をなすことで以前に確
認された移動識別情報を立証する手段を含む端末装置に送信される。識別処理リ
クエストタイプに基づいて、登録認証担当部署は、送信者により供給された付加
的な属性を、自身が所持していた検証済みデータに添付し、これらを指定された
端末装置に転送する。もし、該識別情報が該端末ルーティング情報により解決さ
れ得ない場合には、プロセスは終結される。
と共に識別登録認証担当部署に送信され、また、鍵に署名をなすことで以前に確
認された移動識別情報を立証する手段を含む端末装置に送信される。識別処理リ
クエストタイプに基づいて、登録認証担当部署は、送信者により供給された付加
的な属性を、自身が所持していた検証済みデータに添付し、これらを指定された
端末装置に転送する。もし、該識別情報が該端末ルーティング情報により解決さ
れ得ない場合には、プロセスは終結される。
【0023】
被識別体又は公認された代表者は、識別処理レスポンスの正確さを該端末装置
において検査し、もし彼/彼女又はその者がこれに満足した場合には、該レスポ
ンスにデジタル的に署名する。これは、後に登録認証担当部署に返送される。も
し識別処理タイプが追加的な保証、例えば証明処理を要求している場合には、登
録認証担当部署は、それらのサービス提供者から適切な確認を取得する。確認さ
れた識別情報は、元々の識別処理リクエストに指定されていた受信者アドレスに
向けて送信される。
において検査し、もし彼/彼女又はその者がこれに満足した場合には、該レスポ
ンスにデジタル的に署名する。これは、後に登録認証担当部署に返送される。も
し識別処理タイプが追加的な保証、例えば証明処理を要求している場合には、登
録認証担当部署は、それらのサービス提供者から適切な確認を取得する。確認さ
れた識別情報は、元々の識別処理リクエストに指定されていた受信者アドレスに
向けて送信される。
【0024】
従来の登録及び証明方式に比べて、その最も明確な利点は、地域的な登録事務
者がその物理的及び他の制約無しに提供し得る信用と同一の量の信用を本発明が
提供し得ることである。信用の等価性は、登録認証担当部署か所持するか或いは
対応する情報へのアクセスを有すること、即ち、その個人的なデータベース或い
はフィンランド人口登録センタの如き他の公認者のデータベースへのアクセスを
有するという条件に立脚している。他方、あるEメールアドレスへのアクセスの
如く、事前に記録されてはいない場合にさえ事実上の手段により確認され得る属
性も存在する。
者がその物理的及び他の制約無しに提供し得る信用と同一の量の信用を本発明が
提供し得ることである。信用の等価性は、登録認証担当部署か所持するか或いは
対応する情報へのアクセスを有すること、即ち、その個人的なデータベース或い
はフィンランド人口登録センタの如き他の公認者のデータベースへのアクセスを
有するという条件に立脚している。他方、あるEメールアドレスへのアクセスの
如く、事前に記録されてはいない場合にさえ事実上の手段により確認され得る属
性も存在する。
【0025】
例えば、スマートカードリーダが備え付けられた端末の代わりに、移動性識別
情報及び装置が用いられた場合には、本発明による解決策は、総体的に場所に独
立している。被識別体は、その識別情報を確認し、新しい識別情報を何時でも且
つ要求された時は何時でも取得することができ、受領者が確認を受信可能とする
ために提供される入手可能なハードウェア及びソフトウェアにより制限されない
。かかる解決策は、公共の移動端末(即ち、誰かの電話)の使用を許さないもの
であるが、識別処理レスポンスの公認に用いるのに最も可能性のある端末は、被
識別体の自身の端末である。従って、被識別体が分散された装置に署名PINを
入力する如き影響のある操作を実行することは要求されない。
情報及び装置が用いられた場合には、本発明による解決策は、総体的に場所に独
立している。被識別体は、その識別情報を確認し、新しい識別情報を何時でも且
つ要求された時は何時でも取得することができ、受領者が確認を受信可能とする
ために提供される入手可能なハードウェア及びソフトウェアにより制限されない
。かかる解決策は、公共の移動端末(即ち、誰かの電話)の使用を許さないもの
であるが、識別処理レスポンスの公認に用いるのに最も可能性のある端末は、被
識別体の自身の端末である。従って、被識別体が分散された装置に署名PINを
入力する如き影響のある操作を実行することは要求されない。
【0026】
本質的に、本発明は、既存の移動性の証明書及び他の検証され且つ確認された
事実に基づいて被識別体の識別情報を拡張することが意図される。最も明確且つ
実践的な機能は、この情報を用いて、機密化Eメール、PGP又はS/MIME
の如き多様な利用のために新しい証明書を発行することである。しかし、該解決
方法の移動性の変容は制限されるべきものではない。被識別体についての確認さ
れた事実を提供する能力が総体的に移動性のものであるから、ある状況において
は証明書が要の問題ではない。言うならば、もし移動性の識別登録認証担当部署
がフィンランド人口登録センタのデータベースへのアクセスを有するものであれ
ば、確認された住所、夫婦状況、或いは要求があれば何でも提供することが可能
である。
事実に基づいて被識別体の識別情報を拡張することが意図される。最も明確且つ
実践的な機能は、この情報を用いて、機密化Eメール、PGP又はS/MIME
の如き多様な利用のために新しい証明書を発行することである。しかし、該解決
方法の移動性の変容は制限されるべきものではない。被識別体についての確認さ
れた事実を提供する能力が総体的に移動性のものであるから、ある状況において
は証明書が要の問題ではない。言うならば、もし移動性の識別登録認証担当部署
がフィンランド人口登録センタのデータベースへのアクセスを有するものであれ
ば、確認された住所、夫婦状況、或いは要求があれば何でも提供することが可能
である。
【0027】
本発明の特徴、目的及び利点は、以下の詳細な説明から添付の図面と結びつけ
られることで明らかである。
られることで明らかである。
【0028】
図1は、本発明による好ましいシステムの1例を示している。図1のシステム
は移動局MSを含み、これは通信ネットワークCNを介して証明書認証者CAサ
ーバに接続される。また、該システムは、例えばウェブブラウザを含む端末を含
む。該端末は、通信ネットワークCNを介してCAのサーバに接続される。また
、図1のシステムは、サービス提供者のサーバ、又は他の等価な装置SERVI
CEを含み、これは通信ネットワークCNに接続される。このサービスは、例え
ばEメールサービスであることができ、通信ネットワークCNを介して提供され
る。該移動局は、メッセージ即ち文字例にデジタル署名をなす手段を含む。デジ
タル署名手段は、少なくとも1つの証明書により証明され、これは利用者が更な
る証明書を認証することを可能とする。この以前の証明書は、上記した移動性証
明書で有り得る。
は移動局MSを含み、これは通信ネットワークCNを介して証明書認証者CAサ
ーバに接続される。また、該システムは、例えばウェブブラウザを含む端末を含
む。該端末は、通信ネットワークCNを介してCAのサーバに接続される。また
、図1のシステムは、サービス提供者のサーバ、又は他の等価な装置SERVI
CEを含み、これは通信ネットワークCNに接続される。このサービスは、例え
ばEメールサービスであることができ、通信ネットワークCNを介して提供され
る。該移動局は、メッセージ即ち文字例にデジタル署名をなす手段を含む。デジ
タル署名手段は、少なくとも1つの証明書により証明され、これは利用者が更な
る証明書を認証することを可能とする。この以前の証明書は、上記した移動性証
明書で有り得る。
【0029】
更に図1を参照すると、本発明の1つの好ましい解決策が示されている。この
解決策は、新しいPGP鍵の対を証明する状況において説明される。 この解決策において、以下の仮定がなされる。移動電話のSIMカード署名が
なされたPGP鍵パケットのみが該システムにおいて短い期間(2、3秒の間)
「生きている」のであって、後には破棄される。もしログが取られるとすると、
これは、発行プロセスにおけるトランザクションを記録保存するために用いられ
得る。また、おそらく、エラーの行跡を保存するためにログがなされる。このパ
ケットが永久的に保留されるべきならば(法的又は他の目的のために)、何らか
の既存のフォーマットに変換されて、後にアクセスされても正しく解釈がなされ
得るように保証される。
解決策は、新しいPGP鍵の対を証明する状況において説明される。 この解決策において、以下の仮定がなされる。移動電話のSIMカード署名が
なされたPGP鍵パケットのみが該システムにおいて短い期間(2、3秒の間)
「生きている」のであって、後には破棄される。もしログが取られるとすると、
これは、発行プロセスにおけるトランザクションを記録保存するために用いられ
得る。また、おそらく、エラーの行跡を保存するためにログがなされる。このパ
ケットが永久的に保留されるべきならば(法的又は他の目的のために)、何らか
の既存のフォーマットに変換されて、後にアクセスされても正しく解釈がなされ
得るように保証される。
【0030】
ここで説明されるように、電話署名されたPGP鍵は、既存の標準には合致し
ない。もし必要があれば、基準フォーマットが設計され、SIMカードソフトウ
ェアがこの書式における署名を作成するのに要求される。利用者は、ここで説明
される動作を実行するため用いられるPC及び対応するPGP個人鍵の占有(物
理的機密保持)を有する。CAは、公衆アクセス可能である、CAが署名した全
てのPGP鍵を有するPGP鍵サーバを運用する。
ない。もし必要があれば、基準フォーマットが設計され、SIMカードソフトウ
ェアがこの書式における署名を作成するのに要求される。利用者は、ここで説明
される動作を実行するため用いられるPC及び対応するPGP個人鍵の占有(物
理的機密保持)を有する。CAは、公衆アクセス可能である、CAが署名した全
てのPGP鍵を有するPGP鍵サーバを運用する。
【0031】
ここで、申込者スマート署名システムを使用して機密保持の下でPGP鍵に署
名をなすのに従う各ステップを説明する。スマート署名は、SIMカードにおけ
る公開鍵のインフラストラクチャであり、これは本発明の譲受人に譲渡されてい
る。PGP鍵は、WPKI CA(WPKI、即ち無線公開鍵インフラストラク
チャ)により署名され、利用者のスマート署名SIMカードを用いてWPKI地
域登録認証担当部署に提示された識別情報の証拠に戻って、該署名を関連付ける
。このプロセスは、利用者のSIMカードネットワークID(NID、即ち、ネ
ットワーク識別子)の匿名性を損なうことなく実行される。ここで説明されるよ
うに、該プロセスは、CAの端において非従属のものであり、複雑性を低減して
CAに対するプロトコルの弾力性を高めている。
名をなすのに従う各ステップを説明する。スマート署名は、SIMカードにおけ
る公開鍵のインフラストラクチャであり、これは本発明の譲受人に譲渡されてい
る。PGP鍵は、WPKI CA(WPKI、即ち無線公開鍵インフラストラク
チャ)により署名され、利用者のスマート署名SIMカードを用いてWPKI地
域登録認証担当部署に提示された識別情報の証拠に戻って、該署名を関連付ける
。このプロセスは、利用者のSIMカードネットワークID(NID、即ち、ネ
ットワーク識別子)の匿名性を損なうことなく実行される。ここで説明されるよ
うに、該プロセスは、CAの端において非従属のものであり、複雑性を低減して
CAに対するプロトコルの弾力性を高めている。
【0032】
最初に、PC上でPGPを用いるソフトウェアは、PCスクリーン上で証明さ
れるべき利用者の名前とPGP鍵指紋と表示する。また、PCディスプレイ上に
、移動電話の表示に4桁の数字を入力するように入力プロンプトが表示される。 PGP鍵指紋は、暗号図形処理技術の上で鍵の強力なハッシュである。PGP
利用者は、鍵指紋を比較することによる鍵の検証に慣れていることで、PC電話
リンクの信頼性を検証するのをより容易にし、電話署名されるべく偽のメッセー
ジを挿入する侵入者による攻撃が無いようにする。後者は、当該リンクの物理的
な機密性を仮定すれば、対抗して保護をなす必要はおそらくない。しかし、該リ
ンクは必然的に機密保持されるものではない。
れるべき利用者の名前とPGP鍵指紋と表示する。また、PCディスプレイ上に
、移動電話の表示に4桁の数字を入力するように入力プロンプトが表示される。 PGP鍵指紋は、暗号図形処理技術の上で鍵の強力なハッシュである。PGP
利用者は、鍵指紋を比較することによる鍵の検証に慣れていることで、PC電話
リンクの信頼性を検証するのをより容易にし、電話署名されるべく偽のメッセー
ジを挿入する侵入者による攻撃が無いようにする。後者は、当該リンクの物理的
な機密性を仮定すれば、対抗して保護をなす必要はおそらくない。しかし、該リ
ンクは必然的に機密保持されるものではない。
【0033】
PCソフトウェアは、有線若しくは無線のインタフェース又は適切なインタフ
ェースを介して電話と通信し、PGP鍵署名プロセスを開始する旨のコマンドを
含むメッセージパケット(TBD)を受け渡す。電話は4桁の乱数を生成し、も
し利用者が彼のPGP鍵を彼の電話で署名しようとしたい場合には、この番号を
PCにタイプ入力を指示するプロンプトを共に表示する。
ェースを介して電話と通信し、PGP鍵署名プロセスを開始する旨のコマンドを
含むメッセージパケット(TBD)を受け渡す。電話は4桁の乱数を生成し、も
し利用者が彼のPGP鍵を彼の電話で署名しようとしたい場合には、この番号を
PCにタイプ入力を指示するプロンプトを共に表示する。
【0034】
電話は、PCのキーボードで手動入力されるべき4桁の乱数を表示する。これ
は、該電話と通信をなしてNIDの匿名性と折り合うために用いられる「私の名
前は何ですか?」のメッセージに署名するように欺こうと試みる敵対するデバイ
スからの大胆な(高い検出確率)攻撃を防ぐものである。 次に、利用者は、スクリーン上のプロンプトで要求されるように電話上の表示
から該PCに4桁の番号をタイプ入力する。
は、該電話と通信をなしてNIDの匿名性と折り合うために用いられる「私の名
前は何ですか?」のメッセージに署名するように欺こうと試みる敵対するデバイ
スからの大胆な(高い検出確率)攻撃を防ぐものである。 次に、利用者は、スクリーン上のプロンプトで要求されるように電話上の表示
から該PCに4桁の番号をタイプ入力する。
【0035】
PC上において、該ソフトウェアは、利用者により入力された4桁の乱数を取
り込み、メッセージを付けて送信する。これは、CAに送信されることが意図さ
れ、該リクエストを署名した電話NIDについて利用者IDの参照を(CAから
)要求する。他方、「私の名前は何ですか?」が要求する。 電話は、「私の名前は何ですか?」と共に送られた乱数を比較し、もし適合す
るならば、これはその鍵でPGP鍵を署名することに関するものである旨の警告
を表示する。
り込み、メッセージを付けて送信する。これは、CAに送信されることが意図さ
れ、該リクエストを署名した電話NIDについて利用者IDの参照を(CAから
)要求する。他方、「私の名前は何ですか?」が要求する。 電話は、「私の名前は何ですか?」と共に送られた乱数を比較し、もし適合す
るならば、これはその鍵でPGP鍵を署名することに関するものである旨の警告
を表示する。
【0036】
PCは、長い法的注意事項を利用者に表示し、利用者が彼れらのPGP鍵を電
話の鍵で署名しようとしていること、もし彼が両方の鍵の所有者であれば、この
署名を作出するだけの契約上の義務を負わされることを警告する。再び、乱数が
適合したならば、「私の名前は何ですか?」のメッセージが電話により署名され
、シリアルインタフェースを介してPCに戻され、CAへの伝送のために保存さ
れる。PCソフトウェアは、CAへの伝送が意図される他のメッセージを生成す
る。このメッセージは、もし指紋が適合するならば、鍵指紋と、添付された鍵の
署名を要求するためのCAへのリクエストを含む。これは、「この利用者IDと
鍵とに署名して下さい」というメッセージである。この「この利用者IDと鍵と
に署名して下さい」のメッセージは、次いで、シリアルインタフェースを介して
、該電話が該パケットを署名する旨の要求と共に、そのSIMカード個人鍵を用
いて該電話に受け渡される。
話の鍵で署名しようとしていること、もし彼が両方の鍵の所有者であれば、この
署名を作出するだけの契約上の義務を負わされることを警告する。再び、乱数が
適合したならば、「私の名前は何ですか?」のメッセージが電話により署名され
、シリアルインタフェースを介してPCに戻され、CAへの伝送のために保存さ
れる。PCソフトウェアは、CAへの伝送が意図される他のメッセージを生成す
る。このメッセージは、もし指紋が適合するならば、鍵指紋と、添付された鍵の
署名を要求するためのCAへのリクエストを含む。これは、「この利用者IDと
鍵とに署名して下さい」というメッセージである。この「この利用者IDと鍵と
に署名して下さい」のメッセージは、次いで、シリアルインタフェースを介して
、該電話が該パケットを署名する旨の要求と共に、そのSIMカード個人鍵を用
いて該電話に受け渡される。
【0037】
PGP鍵指紋は、この時点で電話上に表示され、PCスクリーン上のPGP鍵
指紋と符号するか利用者により検証される。該指紋が合致する場合には、利用者
は署名にOKするように促される。該利用者の電話は、署名された「この利用者
IDと鍵とに署名して下さい」のパケットがシリアルインタフェースを介してP
Cに(これに署名した電話鍵IDと共に)返送される。後のCAへの伝送のため
にPC上に保存する。PCと電話との接続は、この時点でもはや必要ではなく切
断される。
指紋と符号するか利用者により検証される。該指紋が合致する場合には、利用者
は署名にOKするように促される。該利用者の電話は、署名された「この利用者
IDと鍵とに署名して下さい」のパケットがシリアルインタフェースを介してP
Cに(これに署名した電話鍵IDと共に)返送される。後のCAへの伝送のため
にPC上に保存する。PCと電話との接続は、この時点でもはや必要ではなく切
断される。
【0038】
要求があれば、上記の僅か複数のステップが、該電話からの1つの署名された
メッセージだけで達成され得る。このメッセージは、PGP鍵指紋の署名を含む
。該1つのメッセージは、2つの異なる意味合いで用いられるものであり、その
1つ目は「私の利用者IDは何ですか?」とCAに尋ねるもの、2つ目は「この
鍵と利用者IDとに署名して下さい」と指示するものである。その第1の場合に
おいては、どの名前がCAから要求されたかを指定するのに電話のNIDのみが
必要であることから、PGP鍵指紋は無視される。
メッセージだけで達成され得る。このメッセージは、PGP鍵指紋の署名を含む
。該1つのメッセージは、2つの異なる意味合いで用いられるものであり、その
1つ目は「私の利用者IDは何ですか?」とCAに尋ねるもの、2つ目は「この
鍵と利用者IDとに署名して下さい」と指示するものである。その第1の場合に
おいては、どの名前がCAから要求されたかを指定するのに電話のNIDのみが
必要であることから、PGP鍵指紋は無視される。
【0039】
PCは、該識別認証者への機密チャネルを(TLSを用いて)開設する。PC
は、該機密リンクを経てCAに対して利用者ID(「私の利用者IDと名前は何
ですか?」の検索に対するSIM署名済みリクエストを送信する。 該リクエストに応じて、CAは機密データベースにある電話所有者を参照し、
該電話の利用者IDをリクエストに応じてPCに返送する。これは、電話の所有
者がLRAにおいて証明したWPKI利用者IDである。この情報をPCに送信
することは、該リンクが暗号化され且つ該電話の所有者が該リクエストを作成し
た者であることから、NIDの匿名性を損なうことはない。
は、該機密リンクを経てCAに対して利用者ID(「私の利用者IDと名前は何
ですか?」の検索に対するSIM署名済みリクエストを送信する。 該リクエストに応じて、CAは機密データベースにある電話所有者を参照し、
該電話の利用者IDをリクエストに応じてPCに返送する。これは、電話の所有
者がLRAにおいて証明したWPKI利用者IDである。この情報をPCに送信
することは、該リンクが暗号化され且つ該電話の所有者が該リクエストを作成し
た者であることから、NIDの匿名性を損なうことはない。
【0040】
PCは、該戻されたWPKI利用者IDが利用者のPGP鍵に存在するか否か
を調べる判定を行う。もし存在するのであれば、該プロセスは次のステップに自
動的に進む。もし該戻されたWPKI利用者IDがPGP鍵に存在しない場合に
は、該利用者IDが処理を進める前にPGP鍵に追加される。 もし、WPKI利用者IDがPGP鍵に追加されるべきときは、この時点で分
岐し、新しい利用者IDをその者の鍵連環に追加する通常のPGP手続きに従う
。CAにより提供される利用者IDにはEメールアドレスが含まれていないこと
から、該利用者はこの利用者IDに対してEメールアドレスを提供しなければな
らない。
を調べる判定を行う。もし存在するのであれば、該プロセスは次のステップに自
動的に進む。もし該戻されたWPKI利用者IDがPGP鍵に存在しない場合に
は、該利用者IDが処理を進める前にPGP鍵に追加される。 もし、WPKI利用者IDがPGP鍵に追加されるべきときは、この時点で分
岐し、新しい利用者IDをその者の鍵連環に追加する通常のPGP手続きに従う
。CAにより提供される利用者IDにはEメールアドレスが含まれていないこと
から、該利用者はこの利用者IDに対してEメールアドレスを提供しなければな
らない。
【0041】
このプロセスの最終的な結果が署名された鍵の公開鍵サーバにおける公開とな
ることから、該利用者IDは自己署名されなければならない。PGP利用者ID
は、それらが鍵の所有者により署名されたときのみ公開が適切である。 次に、PCは、CAに対する「この鍵に署名して下さい」のリクエストに利用
者のPGP個人鍵を用いて署名する(このリクエストはCAに対して該電話所有
者PGP鍵の署名をなすように依頼していることを参照)。このリクエストは、
該電話のSIMカードにより先に署名されている。
ることから、該利用者IDは自己署名されなければならない。PGP利用者ID
は、それらが鍵の所有者により署名されたときのみ公開が適切である。 次に、PCは、CAに対する「この鍵に署名して下さい」のリクエストに利用
者のPGP個人鍵を用いて署名する(このリクエストはCAに対して該電話所有
者PGP鍵の署名をなすように依頼していることを参照)。このリクエストは、
該電話のSIMカードにより先に署名されている。
【0042】
この署名は、該要求者が該PGP個人鍵コンポーネントを支配している者であ
り、識別処理のために誰か他の者の鍵を送信している訳ではないことをCAに対
して示している。 PCは、該PGP及び電話署名された「この利用者IDと鍵とに署名して下さ
い」の要求パケットを対応するPGP鍵と共にCAに確立されたTLSリンクを
介して送信する。再び、このパケットは、該電話所有者(おそらく匿名)のNI
Dと公開PGP識別情報とを関連付けることで、該チャネルが暗号化されなけれ
ばならない。
り、識別処理のために誰か他の者の鍵を送信している訳ではないことをCAに対
して示している。 PCは、該PGP及び電話署名された「この利用者IDと鍵とに署名して下さ
い」の要求パケットを対応するPGP鍵と共にCAに確立されたTLSリンクを
介して送信する。再び、このパケットは、該電話所有者(おそらく匿名)のNI
Dと公開PGP識別情報とを関連付けることで、該チャネルが暗号化されなけれ
ばならない。
【0043】
CAは該PGP署名を判定する。CAは電話鍵を判定する。CAは、次いで、
「この鍵に署名して下さい」のリクエストに署名した電話に割り当てられた利用
者IDをその機密データベースで判定する。発信されたPGP利用者ID(名前
の部分)は、CAの利用者名と適合しなければならない。これは、CAによりN
IDに対して返却された該ユーザIDを、該メッセージに付加したPGP鍵にま
さに追加したという理由が妥当する場合である。
「この鍵に署名して下さい」のリクエストに署名した電話に割り当てられた利用
者IDをその機密データベースで判定する。発信されたPGP利用者ID(名前
の部分)は、CAの利用者名と適合しなければならない。これは、CAによりN
IDに対して返却された該ユーザIDを、該メッセージに付加したPGP鍵にま
さに追加したという理由が妥当する場合である。
【0044】
もし、この電話に対して発信された利用者IDがCAの機密データベースに見
い出されない場合には、該リクエストは否認され、エラーメッセージがPCに返
信される。暗号化チャネルにて運用を行っていることから、このエラーメッセー
ジには正しい利用者IDをデバッグの目的で含み得るものである。該利用者は、
PC上に表示されるエラーメッセージを介してその問題について通知される。も
し、該利用者IDの名前部分が適合する場合には、鍵で該PGP鍵を署名し、該
電話NIDを伴う「この鍵に署名して下さい」のリクエストを破棄する。次いで
、CAは、この情報を機密データベースに挿入する。CA署名されたPGP鍵は
、CA上の「保留PGP証明書」データベースに追加される。
い出されない場合には、該リクエストは否認され、エラーメッセージがPCに返
信される。暗号化チャネルにて運用を行っていることから、このエラーメッセー
ジには正しい利用者IDをデバッグの目的で含み得るものである。該利用者は、
PC上に表示されるエラーメッセージを介してその問題について通知される。も
し、該利用者IDの名前部分が適合する場合には、鍵で該PGP鍵を署名し、該
電話NIDを伴う「この鍵に署名して下さい」のリクエストを破棄する。次いで
、CAは、この情報を機密データベースに挿入する。CA署名されたPGP鍵は
、CA上の「保留PGP証明書」データベースに追加される。
【0045】
CAは、次いで、署名されたPGP鍵を、CAにより署名された所有者IDの
利用者により指定されたEメールアドレスにメール送信する。これは該Eメール
アドレスが正しいかの判定を与える。この証明書は、当該利用者の公開暗号化鍵
により暗号化される。このやり方では、もしEメールアドレスが誤っているもの
であって、鍵が誤ってルーティングされた場合には、これは誰によっても復号さ
れることはない。
利用者により指定されたEメールアドレスにメール送信する。これは該Eメール
アドレスが正しいかの判定を与える。この証明書は、当該利用者の公開暗号化鍵
により暗号化される。このやり方では、もしEメールアドレスが誤っているもの
であって、鍵が誤ってルーティングされた場合には、これは誰によっても復号さ
れることはない。
【0046】
CAは、該利用者が署名された鍵を復号してCAに再アップロートすることを
期待することで、該Eメールアドレスが正しいことと、当該Eメールアドレスに
て居る人が当該鍵を復号する能力を有することとを立証する。CAがこの鍵を該
利用者から戻されて受信したとき、CAは、これを保留PGP証明書データベー
スから削除する。Eメール配信問題を克服するために、CAは該利用者が応答す
る迄或いはCAが断念を決定する迄、従前のステップを周期的に繰り返す。
期待することで、該Eメールアドレスが正しいことと、当該Eメールアドレスに
て居る人が当該鍵を復号する能力を有することとを立証する。CAがこの鍵を該
利用者から戻されて受信したとき、CAは、これを保留PGP証明書データベー
スから削除する。Eメール配信問題を克服するために、CAは該利用者が応答す
る迄或いはCAが断念を決定する迄、従前のステップを周期的に繰り返す。
【0047】
CAが該利用者から戻ってこの鍵を受信したとき、CAは、最終的に署名され
たPGP鍵をそのPGP鍵サーバ上で公開する。当然に、該PGP鍵はLRA検
証済み利用者IDによってのみ署名される。利用者が彼のPGP鍵上に有してい
た他の利用者IDの何れもがによっては署名されない。電話NIDはPGP鍵の
1部分ではないこと、のみならずPGP鍵と共に公開されないものであり、なお
利用者のNIDに関する匿名性を保護する。
たPGP鍵をそのPGP鍵サーバ上で公開する。当然に、該PGP鍵はLRA検
証済み利用者IDによってのみ署名される。利用者が彼のPGP鍵上に有してい
た他の利用者IDの何れもがによっては署名されない。電話NIDはPGP鍵の
1部分ではないこと、のみならずPGP鍵と共に公開されないものであり、なお
利用者のNIDに関する匿名性を保護する。
【0048】
図2は、本発明のフローチャートの1例を示している。最初に、追加的なデー
タの必要性が判定される(ステップ21)。該追加的なデータは、ユーザの現在
の若しくは以前の発行された証明書、又は利用者の名前とかEメールアドレスと
かの他の何らかの情報で有り得る。もし、追加的な情報が必要な場合には、該利
用者はこれを提供する(ステップ22)。次いで、識別処理に対するリクエスト
が登録認証担当部署CAに送信される(ステップ23)。この識別情報に従って
、何らかの以前の識別情報の存在が検索される(ステップ24)。この検索は、
該登録認証担当部署の個人データベース又は他の認証者のデータベースにおいて
なされ得る。もし何らかの以前の識別情報が見いだされた場合には、レスポンス
が作成されて指定された端末に送信される(ステップ26)。もし何らかの以前
の識別情報が見いだされない場合には、必要な情報が該利用者から取得される。
もし該利用者が該レスポンスを受領する場合には、彼又は彼女はこれをデジタル
的に署名して該登録認証担当部署に戻るように送信する(ステップ27及び28
)。もし何らかの追加的な保証が要求される場合には、それらは適切な認証者か
ら取得され得る(ステップ29及び210)。最後に、確認された識別情報が指
定された受信者に送信される(ステップ211)。
タの必要性が判定される(ステップ21)。該追加的なデータは、ユーザの現在
の若しくは以前の発行された証明書、又は利用者の名前とかEメールアドレスと
かの他の何らかの情報で有り得る。もし、追加的な情報が必要な場合には、該利
用者はこれを提供する(ステップ22)。次いで、識別処理に対するリクエスト
が登録認証担当部署CAに送信される(ステップ23)。この識別情報に従って
、何らかの以前の識別情報の存在が検索される(ステップ24)。この検索は、
該登録認証担当部署の個人データベース又は他の認証者のデータベースにおいて
なされ得る。もし何らかの以前の識別情報が見いだされた場合には、レスポンス
が作成されて指定された端末に送信される(ステップ26)。もし何らかの以前
の識別情報が見いだされない場合には、必要な情報が該利用者から取得される。
もし該利用者が該レスポンスを受領する場合には、彼又は彼女はこれをデジタル
的に署名して該登録認証担当部署に戻るように送信する(ステップ27及び28
)。もし何らかの追加的な保証が要求される場合には、それらは適切な認証者か
ら取得され得る(ステップ29及び210)。最後に、確認された識別情報が指
定された受信者に送信される(ステップ211)。
【0049】
図3は、本発明の証明書の1つの例を与えている。該証明書は、識別処理のた
めに要求される幾つかの情報を含む。通常、かかる情報は、証明書識別処理番号
、利用者名、利用者Eメールアドレス、RSA/DSS鍵、署名の指紋又は証明
書それ自身の指紋、許可段階のハッシュ、その署名、及び該証明書の有効日付で
ある。
めに要求される幾つかの情報を含む。通常、かかる情報は、証明書識別処理番号
、利用者名、利用者Eメールアドレス、RSA/DSS鍵、署名の指紋又は証明
書それ自身の指紋、許可段階のハッシュ、その署名、及び該証明書の有効日付で
ある。
【0050】
好ましい実施例の上記の説明は、当業者が本発明を実施又は利用することを可
能とするために提供される。これらの実施例に対して多様な改変が当業者によっ
て直ちに明らかであり、ここで画定される包括的な原理は他の実施例に発明的な
技量なくして適用され得る。従って、本発明はここで示された実施例に限定され
ず、ここで開示された原理と新しい特徴に整合する最も広い範囲と合致されるべ
きものと意図される。
能とするために提供される。これらの実施例に対して多様な改変が当業者によっ
て直ちに明らかであり、ここで画定される包括的な原理は他の実施例に発明的な
技量なくして適用され得る。従って、本発明はここで示された実施例に限定され
ず、ここで開示された原理と新しい特徴に整合する最も広い範囲と合致されるべ
きものと意図される。
【図1】本発明によるシステムのブロック図である。
【図2】本発明の1つの実施例におけるフローチャートである。
【図3】本発明の1つの実施例における第2のフローチャートである。
【手続補正書】特許協力条約第34条補正の翻訳文提出書
【提出日】平成14年1月31日(2002.1.31)
【手続補正1】
【補正対象書類名】明細書
【補正対象項目名】請求項1
【補正方法】変更
【補正の内容】
【手続補正2】
【補正対象書類名】明細書
【補正対象項目名】請求項3
【補正方法】変更
【補正の内容】
─────────────────────────────────────────────────────
フロントページの続き
(51)Int.Cl.7 識別記号 FI テーマコート゛(参考)
H04Q 7/38 H04L 9/00 675B
H04B 7/26 109R
H04L 9/00 675Z
(81)指定国 EP(AT,BE,CH,CY,
DE,DK,ES,FI,FR,GB,GR,IE,I
T,LU,MC,NL,PT,SE,TR),OA(BF
,BJ,CF,CG,CI,CM,GA,GN,GW,
ML,MR,NE,SN,TD,TG),AP(GH,G
M,KE,LS,MW,MZ,SD,SL,SZ,TZ
,UG,ZW),EA(AM,AZ,BY,KG,KZ,
MD,RU,TJ,TM),AE,AG,AL,AM,
AT,AU,AZ,BA,BB,BG,BR,BY,B
Z,CA,CH,CN,CR,CU,CZ,DE,DK
,DM,DZ,EE,ES,FI,GB,GD,GE,
GH,GM,HR,HU,ID,IL,IN,IS,J
P,KE,KG,KP,KR,KZ,LC,LK,LR
,LS,LT,LU,LV,MA,MD,MG,MK,
MN,MW,MX,MZ,NO,NZ,PL,PT,R
O,RU,SD,SE,SG,SI,SK,SL,TJ
,TM,TR,TT,TZ,UA,UG,US,UZ,
VN,YU,ZA,ZW
(72)発明者 サロ サク
フィンランド国 ヘルシンキ エフアイエ
ヌ−00100 アウロランクトゥ 15 シー
32
(72)発明者 オトラネン ジャリ
フィンランド国 ヴァンター エフアイエ
ヌ−01370 ターカクジャ 5 エフ 80
(72)発明者 リウッコネン ジュッカ
フィンランド国 ヘルシンキ エフアイエ
ヌ−00630 マニコティエ 9 ジー 53
(72)発明者 マトー ミッコ
フィンランド国 エスポー エフアイエヌ
−02150 ジャメランタイヴァル 5 ビ
ー 216
(72)発明者 サーリネン ジェニファー
フィンランド国 エスポー エフアイエヌ
−02150 セルヴィン−マイジャン ティ
10 ジー 101
Fターム(参考) 5B085 AE02 AE23
5J104 AA07 JA21 KA05 KA06 KA14
KA21 MA01 NA02 NA12 NA33
5K067 AA30 BB04 BB21 DD17 DD51
EE02 HH23 HH24 HH36
Claims (26)
- 【請求項1】被識別体(entity)に対して識別登録認証担当部署から電子識
別情報を発行する方法であって、 a)前記被識別体に対して第1の電子識別情報を発行するステップと、 b)前記被識別体に対する第2の電子識別情報を要求する、前記被識別体の識
別子を含むリクエストを作成するステップと、 c)前記リクエストを前記識別登録認証担当部署に送信するステップと、 d)前記リクエストに応じて識別処理レスポンスを作成するステップと、 e)前記識別処理レスポンスを前記被識別体に送信するステップと、 f)前記識別処理レスポンスの受領可能性を前記被識別体により検証するステ
ップと、 g)前記識別処理レスポンスを前記被識別体によりデジタル的に署名するステ
ップであり、前記検証に応じて、前記識別処理レスポンスが受領可能である場合
になすステップと、 h)前記署名されたレスポンスを前記識別登録認証担当部署に送信するステッ
プと、 i)前記署名されたレスポンスにおける前記デジタル署名及び前記識別処理レ
スポンスを検証するステップと、 j)前記検証に応じて、前記デジタル署名及び識別処理レスポンスが有効であ
る場合に、前記第1の識別情報に基づいて第2の識別情報を発行するステップと
、 を含むことを特徴とする方法。 - 【請求項2】請求項1記載の方法であって、第2の被識別体を含み、前記第
2の被識別体により前記第1の被識別体は、前記識別処理レスポンスをデジタル
的に署名することを特徴とする方法。 - 【請求項3】請求項1又は2記載の方法であって、 前記第2の被識別体の情報が前記識別子を用いて入手可能か否かを判定するス
テップと、 前記判定応じて、前記情報が入手不可能である場合に、前記第1の被識別体か
ら前記第2の被識別体の情報を検索するステップと、 を更に含むことを特徴とする方法。 - 【請求項4】請求項2又は3記載の方法であって、前記第2の被識別体が前
記第1の被識別体の制御下にあることを特徴とする方法。 - 【請求項5】請求項3記載の方法であって、前記第2の被識別体の情報は、
前記第2の被識別体の一意のアドレスと、前記第2の被識別体の保持者の名称と
、前記第2の被識別体の以前の識別情報又は識別情報片と、を含む集合のなかか
ら1つ以上含むことを特徴とする方法。 - 【請求項6】請求項1記載の方法であって、 前記第1の被識別体と前記識別登録認証担当部署との間の通信チャネルを確立
して暗号化を施すことで、それらの間に機密通信を保証するステップを更に含む
ことを特徴とするする方法。 - 【請求項7】請求項1記載の方法であって、 前記発行された第2の識別情報を前記識別登録認証担当部署のデータベースに
保存するステップを更に含むことを特徴とするする方法。 - 【請求項8】請求項1記載の方法であって、 前記発行された第2の識別情報を前記第1の電子識別情報の発行者のデータベ
ースに保存するステップを更に含むことを特徴とするする方法。 - 【請求項9】請求項1記載の方法であって、 前記第1及び第2の電子識別情報を組み合わせて、組み合わせ電子識別情報を
形成するステップと、前記組み合わせ電子識別情報をデータベースに保存するス
テップと、更に含むことを特徴とする方法。 - 【請求項10】請求項1記載の方法であって、 前記発行された第2の識別情報を前記被識別体に送信するステップを更に含む
ことを特徴とする方法。 - 【請求項11】請求項1記載の方法であって、 前記発行された識別情報を第三者に送信するステップを更に含むことを特徴と
する方法。 - 【請求項12】請求項1記載の方法であって、前記第2の識別情報を発行す
るステップを実行する前に、 該第1の識別情報の有効性を保証する追加的な保証が取得されるべきか否かを
判定するステップと、 前記判定に応じて、前記追加的な保証が必要な場合に、追加的な保証を取得す
るステップと、 を更に含むことを特徴とするする方法。 - 【請求項13】請求項1記載の方法であって、 前記発行された第2の識別情報にタイムスタンプを付するステップと、 前記タイムスタンプを付した第2の識別情報を前記登録認証担当部署のデータ
ベースに保存するステップと、 を更に含むことを特徴とする方法。 - 【請求項14】請求項1記載の方法であって、 前記第2の電子識別情報の有効期間を前記タイムスタンプ内に追加するステッ
プを更に含むことを特徴とする方法。 - 【請求項15】請求項1記載の方法であって、 前記発行された第2の識別情報に公証情報を追加するステップと、 前記公証情報を追加された第2の識別情報を前記登録認証担当部署のデータベ
ースに保存するステップと、 を更に含むことを特徴とする方法。 - 【請求項16】請求項1記載の方法であって、 前記署名された識別処理レスポンスに追加されるべき更なる識別子コードを検
索するステップと、 前記登録認証担当部署において前記識別子コードを受信するステップと、 前記登録認証担当部署において前記識別子コードの有効性を検証するステップ
と、 を更に含むことを特徴とする方法。 - 【請求項17】請求項16記載の方法であって、前記識別子コードは、前記
第1の被識別体の生体コードと、所定の文字例と、前記被識別体の公開鍵の指紋
と、乱数と、証明書と、前記第1の被識別体と前記登録認証担当部署との間で共
有される秘密のハッシュコードと、を含む集合のうちから1つ以上含むことを特
徴とする方法。 - 【請求項18】請求項1記載の方法であって、 登録認証担当部署において前記識別情報リクエストから第1のハッシュコード
を作成するステップと、 前記第1のハッシュコードを前記第2の被識別体に送信するステップと、 前記識別情報リクエストから第2のハッシュコードを前記第2の被識別体によ
り作成するステップと、 前記レスポンスに対する署名の前に、前記第1のハッシュコードを前記第2の
ハッシュコードとの比較により検証するステップと、 を更に含むことを特徴とする方法。 - 【請求項19】請求項1又は2記載の方法であって、前記発行するステップ
を実行する前に、 前記被識別体の追加的情報にて指定されたアドレスに向けて確認メッセージを
送信するステップと、 前記登録認証担当部署において、前記確認メッセージに対する確認レスポンス
を受信するステップと、 前記確認レスポンスの有効性を検証するステップと、 を更に含むことを特徴とする方法。 - 【請求項20】請求項19記載の方法であって、前記発行するステップを実
行する前に、 前記確認レスポンスが所定の時間内に受信されなかった場合に、前記第2の電
子識別情報の前記発行を取り消すステップと、 を更に含むことを特徴とする方法。 - 【請求項21】請求項1記載の方法であって、前記被識別体に対して前記第
2の証明書を発行する前記リクエストは、前記第三者により起動されることを特
徴とする方法。 - 【請求項22】請求項1記載の方法であって、前記被識別体に対する前記第
2の証明書を発行する前記リクエストは、前記第2の被識別体により起動される
ことを特徴とする方法。 - 【請求項23】請求項2記載の方法であって、前記リクエストは、前記リク
エストを送信する前に前記第1の被識別体によりデジタル的に署名されることを
特徴とする方法。 - 【請求項24】請求項2記載の方法であって、前記リクエストは、前記リク
エストを送信する前に暗号化されることを特徴とする方法。 - 【請求項25】請求項1記載の方法であって、前記第2の電子識別情報の発
行プロセスの間に全てのトランザクションのログを記録するステップを更に含む
ことを特徴とする方法。 - 【請求項26】請求項2記載の方法であって、前記第2の被識別体は、モバ
イルターミナルと、移動電話と、パーソナルコンピュータと、セットトップボッ
クスと、スマートカードと、耐改ざんデバイスと、機密保持トークン(token)
、ソフトウェアエージェントと、ページャーと、端末装置と、パーソナルデジタ
ルアシスタント(PDA)とを含む集合うちの1つであることを特徴とする方法
。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US09/489,328 | 2000-01-21 | ||
| US09/489,328 US7020778B1 (en) | 2000-01-21 | 2000-01-21 | Method for issuing an electronic identity |
| PCT/FI2001/000052 WO2001054346A1 (en) | 2000-01-21 | 2001-01-22 | Method for issuing an electronic identity |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003521154A true JP2003521154A (ja) | 2003-07-08 |
Family
ID=23943390
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001553713A Pending JP2003521154A (ja) | 2000-01-21 | 2001-01-22 | 電子識別情報を発行する方法 |
Country Status (9)
| Country | Link |
|---|---|
| US (1) | US7020778B1 (ja) |
| EP (1) | EP1249095B1 (ja) |
| JP (1) | JP2003521154A (ja) |
| KR (1) | KR20020081269A (ja) |
| CN (1) | CN1224213C (ja) |
| AT (1) | ATE310346T1 (ja) |
| AU (1) | AU2001230277A1 (ja) |
| DE (1) | DE60114986T2 (ja) |
| WO (1) | WO2001054346A1 (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004013830A (ja) * | 2002-06-11 | 2004-01-15 | Canon Inc | 情報処理装置、情報処理システム、情報処理方法、記憶媒体、及びプログラム |
| JP2011091868A (ja) * | 2003-10-28 | 2011-05-06 | Certicom Corp | 公開鍵を検証可能に生成する方法及び装置 |
| JP2013524263A (ja) * | 2010-03-31 | 2013-06-17 | イルデト カナダ コーポレーション | ホワイトボックス攻撃から暗号化資産を保護するためのシステムと方法 |
Families Citing this family (66)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB9923804D0 (en) | 1999-10-08 | 1999-12-08 | Hewlett Packard Co | Electronic commerce system |
| US7934251B2 (en) * | 1999-12-02 | 2011-04-26 | Western Digital Technologies, Inc. | Managed peer-to-peer applications, systems and methods for distributed data access and storage |
| US9191443B2 (en) * | 1999-12-02 | 2015-11-17 | Western Digital Technologies, Inc. | Managed peer-to-peer applications, systems and methods for distributed data access and storage |
| US7917628B2 (en) * | 1999-12-02 | 2011-03-29 | Western Digital Technologies, Inc. | Managed peer-to-peer applications, systems and methods for distributed data access and storage |
| US7587467B2 (en) * | 1999-12-02 | 2009-09-08 | Western Digital Technologies, Inc. | Managed peer-to-peer applications, systems and methods for distributed data access and storage |
| ATE396577T1 (de) | 1999-12-02 | 2008-06-15 | Western Digital Tech Inc | System zum fernaufnehmen von fernsehprogrammen |
| US8688797B2 (en) | 1999-12-02 | 2014-04-01 | Western Digital Technologies, Inc. | Managed peer-to-peer applications, systems and methods for distributed data access and storage |
| US7120692B2 (en) * | 1999-12-02 | 2006-10-10 | Senvid, Inc. | Access and control system for network-enabled devices |
| US7409543B1 (en) * | 2000-03-30 | 2008-08-05 | Digitalpersona, Inc. | Method and apparatus for using a third party authentication server |
| EP1282024A1 (en) | 2001-07-30 | 2003-02-05 | Hewlett-Packard Company | Trusted identities on a trusted computing platform |
| GB2379829A (en) * | 2001-09-13 | 2003-03-19 | Hewlett Packard Co | Method and apparatus for identifying a voice caller |
| DE10149129A1 (de) * | 2001-10-05 | 2003-04-24 | Deutsche Telekom Ag | Verfahren zum Erzeugen eines authentischen elektronischen Zertifikats |
| JP3890959B2 (ja) * | 2001-11-22 | 2007-03-07 | 株式会社日立製作所 | 公開鍵証明書の生成システム及び検証システム |
| NO314379B1 (no) * | 2001-11-28 | 2003-03-10 | Telenor Asa | Registrering og aktivering av elektroniske sertifikater |
| US7359333B1 (en) * | 2002-06-10 | 2008-04-15 | Cisco Technology, Inc. | Approach for managing internet protocol telephony devices in networks |
| NL1020903C2 (nl) | 2002-06-19 | 2003-12-22 | Enschede Sdu Bv | Systeem en werkwijze voor het automatisch verifieren van de houder van een autorisatiedocument en het automatisch vaststellen van de authenticiteit en geldigheid van het autorisatiedocument. |
| US8180051B1 (en) * | 2002-10-07 | 2012-05-15 | Cisco Technology, Inc | Methods and apparatus for securing communications of a user operated device |
| US20040085360A1 (en) * | 2002-10-31 | 2004-05-06 | Hallmark Interactive, Llc | Icon-based graphical user interface for text messaging |
| KR20040094098A (ko) * | 2003-05-01 | 2004-11-09 | 삼성전자주식회사 | 인증 방법 및 그 장치 |
| KR100985784B1 (ko) * | 2003-05-02 | 2010-10-06 | 엘지전자 주식회사 | 대화형 광디스크의 인증 방법 |
| WO2005020129A2 (en) * | 2003-08-19 | 2005-03-03 | Bandalong Entertainment | Customizable avatar and differentiated instant messaging environment |
| EP1751745B1 (en) * | 2003-11-14 | 2019-07-10 | Western Digital Technologies, Inc. | Managed peer-to-peer applications, systems and methods for distributed data access and storage |
| US9331990B2 (en) * | 2003-12-22 | 2016-05-03 | Assa Abloy Ab | Trusted and unsupervised digital certificate generation using a security token |
| KR100484094B1 (ko) * | 2004-02-21 | 2005-04-19 | 이철수 | 전자명품증서비스방법 |
| US7380129B2 (en) * | 2004-04-22 | 2008-05-27 | International Business Machines Corporation | Method and apparatus for detecting grid intrusions |
| WO2006012216A2 (en) * | 2004-06-25 | 2006-02-02 | Passmark Security, Inc. | Method and apparatus for validating e-mail messages |
| US7543147B2 (en) * | 2004-10-28 | 2009-06-02 | International Business Machines Corporation | Method, system, and storage medium for creating a proof of possession confirmation for inclusion into an attribute certificate |
| CN1996831B (zh) * | 2005-12-31 | 2011-09-28 | 财团法人工业技术研究院 | 凭证申请方法 |
| US8117459B2 (en) * | 2006-02-24 | 2012-02-14 | Microsoft Corporation | Personal identification information schemas |
| US8104074B2 (en) * | 2006-02-24 | 2012-01-24 | Microsoft Corporation | Identity providers in digital identity system |
| US20070203852A1 (en) * | 2006-02-24 | 2007-08-30 | Microsoft Corporation | Identity information including reputation information |
| CN101098230B (zh) * | 2006-06-29 | 2010-12-08 | 联想(北京)有限公司 | 一种对用户设备操作申请进行验证的方法和系统 |
| US8078880B2 (en) * | 2006-07-28 | 2011-12-13 | Microsoft Corporation | Portable personal identity information |
| US20090010401A1 (en) * | 2006-11-09 | 2009-01-08 | Nicholas Zazza | Methods for providing anonymous web based calling |
| WO2009054859A1 (en) * | 2006-11-01 | 2009-04-30 | Nicholas Zazza | Systems and methods for providing anonymous calling |
| US20080279356A1 (en) * | 2006-11-01 | 2008-11-13 | Nicholas Zazza | Systems for providing anonymous calling |
| US8538028B2 (en) * | 2006-11-20 | 2013-09-17 | Toposis Corporation | System and method for secure electronic communication services |
| EP2092685A4 (en) * | 2006-11-20 | 2012-02-22 | Tet Hin Yeap | SYSTEM AND METHOD FOR SECURE ELECTRONIC COMMUNICATIONS SERVICES |
| US8087072B2 (en) * | 2007-01-18 | 2011-12-27 | Microsoft Corporation | Provisioning of digital identity representations |
| US8407767B2 (en) * | 2007-01-18 | 2013-03-26 | Microsoft Corporation | Provisioning of digital identity representations |
| US8689296B2 (en) * | 2007-01-26 | 2014-04-01 | Microsoft Corporation | Remote access of digital identities |
| US20090279676A1 (en) * | 2007-10-23 | 2009-11-12 | Nicholas Zazza | Systems and methods for delivering computer implemented voicemails |
| US20090103706A1 (en) * | 2007-10-23 | 2009-04-23 | Nicholas Zazza | Systems and methods for providing keyword calling |
| CN101686125A (zh) * | 2008-09-25 | 2010-03-31 | 韩燕� | 一种电话签名认证的方法及其系统 |
| DE102009031817A1 (de) * | 2009-07-03 | 2011-01-05 | Charismathics Gmbh | Verfahren zur Ausstellung, Überprüfung und Verteilung von digitalen Zertifikaten für die Nutzung in Public-Key-Infrastrukturen |
| EP2290876A1 (fr) * | 2009-08-24 | 2011-03-02 | Gemalto SA | Procédé d'établissement d'une autorisation électronique pour un utilisateur porteur d'un document d'identité électronique et procédé de contrôle de ladite autorisation |
| WO2011094869A1 (en) * | 2010-02-05 | 2011-08-11 | Lipso Systèmes Inc. | Secure authentication system and method |
| FR2958101A1 (fr) * | 2010-03-26 | 2011-09-30 | Ntx Res | Infrastructure de gestion de bi-cles de securite de personnes physiques (igcp/pki) |
| US8751306B2 (en) | 2011-06-20 | 2014-06-10 | Microsoft Corporation | Virtual identity manager |
| CN102420834A (zh) * | 2011-12-29 | 2012-04-18 | 公安部第三研究所 | 网络电子身份证中网络身份标识码的生成和校验控制方法 |
| US20140317713A1 (en) * | 2012-09-02 | 2014-10-23 | Mpayme Ltd. | Method and System of User Authentication Using an Out-of-band Channel |
| DE102012222995B3 (de) * | 2012-12-12 | 2013-10-02 | Deutsche Post Ag | Verfahren für die sichere Übertragung einer digitalen Nachricht |
| US8924259B2 (en) | 2013-03-14 | 2014-12-30 | Square, Inc. | Mobile device payments |
| US9741026B1 (en) | 2014-09-30 | 2017-08-22 | Square, Inc. | Payment by use of identifier |
| US10924264B2 (en) * | 2015-07-08 | 2021-02-16 | Barclays Execution Services Limited | Data validation and storage |
| US9519901B1 (en) | 2015-09-16 | 2016-12-13 | Square, Inc. | Biometric payment technology |
| US10033536B2 (en) * | 2016-03-25 | 2018-07-24 | Credly, Inc. | Generation, management, and tracking of digital credentials |
| CN107945080A (zh) * | 2016-10-13 | 2018-04-20 | 杭州悉尔科技有限公司 | 一种基于生物识别技术的电子身份卡颁发方法与系统 |
| US10062074B1 (en) | 2016-11-30 | 2018-08-28 | Square, Inc. | System for improving card on file transactions |
| CN106790070B (zh) * | 2016-12-21 | 2018-03-23 | 杨宪国 | 基于鉴权装置的电子身份证认证服务系统 |
| CN110278084B (zh) * | 2018-03-16 | 2021-10-15 | 华为技术有限公司 | eID建立方法、相关设备及系统 |
| JP6952661B2 (ja) * | 2018-08-30 | 2021-10-20 | 株式会社東芝 | 情報処理装置、通信機器、情報処理システム、情報処理方法、および情報処理プログラム |
| US10878402B1 (en) | 2018-08-31 | 2020-12-29 | Square, Inc. | Temporarily provisioning payment functionality to alternate payment instrument |
| US10997583B1 (en) | 2018-08-31 | 2021-05-04 | Square, Inc. | Temporarily provisioning card on file payment functionality to proximate merchants |
| US20220385481A1 (en) * | 2021-06-01 | 2022-12-01 | International Business Machines Corporation | Certificate-based multi-factor authentication |
| DE102022107718A1 (de) | 2022-03-31 | 2023-10-05 | Bundesdruckerei Gmbh | Ausstellen eines digitalen Credentials für eine Entität |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE4008971A1 (de) * | 1990-03-20 | 1991-09-26 | Siemens Nixdorf Inf Syst | Verfahren zur authentifizierung eines eine datenstation benutzenden anwenders |
| US5241599A (en) * | 1991-10-02 | 1993-08-31 | At&T Bell Laboratories | Cryptographic protocol for secure communications |
| US5339361A (en) * | 1992-12-04 | 1994-08-16 | Texas Instruments Incorporated | System and method for authenticating transmission and receipt of electronic information |
| CA2176032A1 (en) * | 1994-01-13 | 1995-07-20 | Bankers Trust Company | Cryptographic system and method with key escrow feature |
| BR9509131A (pt) * | 1994-10-28 | 1997-09-02 | Surety Technologies Inc | Processo de registro de primeiro documento digital para autentificação processo para autentificação de documento digital processo para denominação de primeiro documento digital represetação digital de autentificação de certificado de documento e processo de relógio-carimbo para primeiro documento digital para autentificação |
| US6367013B1 (en) * | 1995-01-17 | 2002-04-02 | Eoriginal Inc. | System and method for electronic transmission, storage, and retrieval of authenticated electronic original documents |
| US5657389A (en) * | 1995-05-08 | 1997-08-12 | Image Data, Llc | Positive identification system and method |
| US5745574A (en) * | 1995-12-15 | 1998-04-28 | Entegrity Solutions Corporation | Security infrastructure for electronic transactions |
| US6028938A (en) * | 1996-04-30 | 2000-02-22 | Shana Corporation | Secure electronic forms permitting layout revision |
| US5982898A (en) * | 1997-03-07 | 1999-11-09 | At&T Corp. | Certification process |
| GB9709136D0 (en) * | 1997-05-02 | 1997-06-25 | Certicom Corp | A log-on verification protocol |
| US6263446B1 (en) * | 1997-12-23 | 2001-07-17 | Arcot Systems, Inc. | Method and apparatus for secure distribution of authentication credentials to roaming users |
| US6167518A (en) * | 1998-07-28 | 2000-12-26 | Commercial Electronics, Llc | Digital signature providing non-repudiation based on biological indicia |
| US6327578B1 (en) * | 1998-12-29 | 2001-12-04 | International Business Machines Corporation | Four-party credit/debit payment protocol |
| US6496851B1 (en) * | 1999-08-04 | 2002-12-17 | America Online, Inc. | Managing negotiations between users of a computer network by automatically engaging in proposed activity using parameters of counterproposal of other user |
-
2000
- 2000-01-21 US US09/489,328 patent/US7020778B1/en not_active Expired - Lifetime
-
2001
- 2001-01-22 AU AU2001230277A patent/AU2001230277A1/en not_active Abandoned
- 2001-01-22 AT AT01902444T patent/ATE310346T1/de not_active IP Right Cessation
- 2001-01-22 KR KR1020027009376A patent/KR20020081269A/ko not_active Application Discontinuation
- 2001-01-22 JP JP2001553713A patent/JP2003521154A/ja active Pending
- 2001-01-22 WO PCT/FI2001/000052 patent/WO2001054346A1/en active IP Right Grant
- 2001-01-22 CN CNB018039553A patent/CN1224213C/zh not_active Expired - Lifetime
- 2001-01-22 DE DE60114986T patent/DE60114986T2/de not_active Expired - Lifetime
- 2001-01-22 EP EP01902444A patent/EP1249095B1/en not_active Expired - Lifetime
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004013830A (ja) * | 2002-06-11 | 2004-01-15 | Canon Inc | 情報処理装置、情報処理システム、情報処理方法、記憶媒体、及びプログラム |
| JP2011091868A (ja) * | 2003-10-28 | 2011-05-06 | Certicom Corp | 公開鍵を検証可能に生成する方法及び装置 |
| US8713321B2 (en) | 2003-10-28 | 2014-04-29 | Certicom Corp. | Method and apparatus for verifiable generation of public keys |
| US9160530B2 (en) | 2003-10-28 | 2015-10-13 | Certicom Corp. | Method and apparatus for verifiable generation of public keys |
| US9240884B2 (en) | 2003-10-28 | 2016-01-19 | Certicom Corp. | Method and apparatus for verifiable generation of public keys |
| US9967239B2 (en) | 2003-10-28 | 2018-05-08 | Certicom Corp. | Method and apparatus for verifiable generation of public keys |
| JP2013524263A (ja) * | 2010-03-31 | 2013-06-17 | イルデト カナダ コーポレーション | ホワイトボックス攻撃から暗号化資産を保護するためのシステムと方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| ATE310346T1 (de) | 2005-12-15 |
| US7020778B1 (en) | 2006-03-28 |
| AU2001230277A1 (en) | 2001-07-31 |
| DE60114986D1 (de) | 2005-12-22 |
| CN1395776A (zh) | 2003-02-05 |
| CN1224213C (zh) | 2005-10-19 |
| EP1249095B1 (en) | 2005-11-16 |
| WO2001054346A1 (en) | 2001-07-26 |
| KR20020081269A (ko) | 2002-10-26 |
| EP1249095A1 (en) | 2002-10-16 |
| DE60114986T2 (de) | 2006-08-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2003521154A (ja) | 電子識別情報を発行する方法 | |
| US10142114B2 (en) | ID system and program, and ID method | |
| US8689300B2 (en) | Method and system for generating digital fingerprint | |
| US6993652B2 (en) | Method and system for providing client privacy when requesting content from a public server | |
| KR102177848B1 (ko) | 액세스 요청을 검증하기 위한 방법 및 시스템 | |
| US7366904B2 (en) | Method for modifying validity of a certificate using biometric information in public key infrastructure-based authentication system | |
| US7308574B2 (en) | Method and system for key certification | |
| EP1191743B1 (en) | Method and device for performing secure transactions | |
| US20080034216A1 (en) | Mutual authentication and secure channel establishment between two parties using consecutive one-time passwords | |
| KR20180054530A (ko) | 중계 서버를 이용하는 본인인증 시스템 및 이에 의한 본인인증 방법 | |
| US20020004800A1 (en) | Electronic notary method and system | |
| JPH10336169A (ja) | 認証方法、認証装置、記憶媒体、認証サーバ及び認証端末装置 | |
| US20030126085A1 (en) | Dynamic authentication of electronic messages using a reference to a certificate | |
| US20030221104A1 (en) | Cryptographic security method and electronic devices suitable therefor | |
| JP2002271312A (ja) | 公開鍵管理方法 | |
| CN111130798B (zh) | 一种请求鉴权方法及相关设备 | |
| KR100315387B1 (ko) | 개인키 및 사용자 인증서 관리 시스템 및 그 관리 방법 | |
| US20030076961A1 (en) | Method for issuing a certificate using biometric information in public key infrastructure-based authentication system | |
| JP2005513955A (ja) | 電子署名方法 | |
| US20030221109A1 (en) | Method of and apparatus for digital signatures | |
| JP2002297551A (ja) | 認証システム | |
| US20090319778A1 (en) | User authentication system and method without password | |
| KR100750214B1 (ko) | 공인 인증서를 이용한 로그인 방법 | |
| KR101256114B1 (ko) | 다수의 mac검증서버에 의한 메시지인증코드 검증 방법 및 시스템 | |
| EP1323259B1 (en) | Secured identity chain |