JP2003524928A - プライベート・キー輸送機能を有するセキュリテイ・アクセス及び認証トークン - Google Patents
プライベート・キー輸送機能を有するセキュリテイ・アクセス及び認証トークンInfo
- Publication number
- JP2003524928A JP2003524928A JP2000598917A JP2000598917A JP2003524928A JP 2003524928 A JP2003524928 A JP 2003524928A JP 2000598917 A JP2000598917 A JP 2000598917A JP 2000598917 A JP2000598917 A JP 2000598917A JP 2003524928 A JP2003524928 A JP 2003524928A
- Authority
- JP
- Japan
- Prior art keywords
- private key
- value
- pkt
- otp
- token
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2211/00—Indexing scheme relating to details of data-processing equipment not covered by groups G06F3/00 - G06F13/00
- G06F2211/007—Encryption, En-/decode, En-/decipher, En-/decypher, Scramble, (De-)compress
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
(57)【要約】
【課題】 暗号化キーが不用意に露呈されることなく使用できるシステムを提供する。これにより、暗号化キーの安全性を高めることができる。
【解決手段】 安全なアクセス及び認証トークン(100)は、ホスト(101)で別のキー又は他の情報を暗号化又は復号化するのに使用できるプライベート・キー(40)を安全に輸送するためのプライベート・キー(40)輸送機能を含む。この輸送機能は、トークンにおいてプライベート・キー輸送値(70)を生成し、これをホストに送って、ホストにおいてプライベート・キー(40)に復号する。
Description
【0001】
本出願は、1999年2月10日に出願された米国仮出願番号60/119,
531、アトーニー・ドケット番号GORD1−06359US1 SRM、発
明の名称「プライベート・キー輸送機能を有するセキュリテイ・アクセス及び認
証トークン」の優先権を主張する。
531、アトーニー・ドケット番号GORD1−06359US1 SRM、発
明の名称「プライベート・キー輸送機能を有するセキュリテイ・アクセス及び認
証トークン」の優先権を主張する。
【0002】
著作権表示
この特許書類の一部は著作権保護を受けるものを含む。著作権者は、特許庁の
フアイル又は記録に表されるように特許書類又は特許開示を正確に複製すること
には異議を有さないが、その他については全ての著作権を留保する。
フアイル又は記録に表されるように特許書類又は特許開示を正確に複製すること
には異議を有さないが、その他については全ての著作権を留保する。
【0003】
発明の背景
発明の属する技術分野
本発明は、セキュリテイ・システムに関する。本発明は、より詳細には、デー
タ、パスワード、キー、及びその他の個人的なデータを安全に送信し、ユーザを
確認し、認証するための安全な輸送に関する。本発明は、コンピュータと組合せ
て使用できるセキュリテイ・システムを指向している。
タ、パスワード、キー、及びその他の個人的なデータを安全に送信し、ユーザを
確認し、認証するための安全な輸送に関する。本発明は、コンピュータと組合せ
て使用できるセキュリテイ・システムを指向している。
【0004】
従来の技術
本発明の背景は、例えば、ホスト・コンピュータに関する安全な操作のために
使用されるセキュリテイ・トークン及び同様なものを取扱う。いくつかの特許が
このようなセキュリテイ・システムに関する現在の技術水準を開示している。例
示目的のためにのみ、3つのカーギル特許及びそこに指摘される従来技術を紹介
する。これら3つのカーギル特許は、米国特許第4,599,489号「コンピ
ュータ・ソフトウェアへのアクセスを制御するためのソリッド・ステート・キー
」、米国特許第4,609,777号「コンピュータ・ソフトウェアへのアクセ
スを制御するためのソリッド・ステート・キー」、及び米国特許第4,819,
267号「コンピュータ・システム及びコンピュータ・ソフトウエアへのアクセ
スを制御し、及び/又は安全な通信するためのソリッド・ステート・キー」であ
る。
使用されるセキュリテイ・トークン及び同様なものを取扱う。いくつかの特許が
このようなセキュリテイ・システムに関する現在の技術水準を開示している。例
示目的のためにのみ、3つのカーギル特許及びそこに指摘される従来技術を紹介
する。これら3つのカーギル特許は、米国特許第4,599,489号「コンピ
ュータ・ソフトウェアへのアクセスを制御するためのソリッド・ステート・キー
」、米国特許第4,609,777号「コンピュータ・ソフトウェアへのアクセ
スを制御するためのソリッド・ステート・キー」、及び米国特許第4,819,
267号「コンピュータ・システム及びコンピュータ・ソフトウエアへのアクセ
スを制御し、及び/又は安全な通信するためのソリッド・ステート・キー」であ
る。
【0005】
発明の開示
簡単に説明すれば、プライベート・キー輸送(PKT)の特徴は、本発明のト
ークンの実施例において、アプリケーションのプライベート暗号化キーを記憶し
て必要に応じてそのキーを安全に「輸送」することを可能にする。プライベート
暗号化キーは、暗号化キーがトークンのユーザに露呈されることなく、また、ア
プリケーションへの輸送中に露呈されることなく、アプリケーションへ送られる
。一旦、ホストに受信されると、プライベート暗号化キーは、他のキー又は他の
データを暗号化し又は復号化し、ロック(施錠)し又はアンロック(開錠)する
のに使用できる。
ークンの実施例において、アプリケーションのプライベート暗号化キーを記憶し
て必要に応じてそのキーを安全に「輸送」することを可能にする。プライベート
暗号化キーは、暗号化キーがトークンのユーザに露呈されることなく、また、ア
プリケーションへの輸送中に露呈されることなく、アプリケーションへ送られる
。一旦、ホストに受信されると、プライベート暗号化キーは、他のキー又は他の
データを暗号化し又は復号化し、ロック(施錠)し又はアンロック(開錠)する
のに使用できる。
【0006】
この特徴が、プライベート・キーに基づいたアプリケーションを配備すること
に関連したリスクを大変に減少する環境が存在する。既存のシステムの弱点は、
ユーザのハード・デイスク又は可撓性デイスクに駐在するユーザの非対称プライ
ベート・キー(すなわち、RSAプライベート・キー)を復号又は開錠するため
、ユーザがユーザのパスワードを入力することに依存していることにある。パス
ワードは実際に、プライベート・キーが生成されてハードデイスク上に記憶され
る時に、プライベート・キーを暗合化する暗号化キーである。パスワードはまた
、クライアント認証又は書類/取引に署名するなどのプライベート・キー機能を
使用するために、メモリ中にプライベート・キーをロードする時、プライベート
・キーを復号し、又は開錠する。
に関連したリスクを大変に減少する環境が存在する。既存のシステムの弱点は、
ユーザのハード・デイスク又は可撓性デイスクに駐在するユーザの非対称プライ
ベート・キー(すなわち、RSAプライベート・キー)を復号又は開錠するため
、ユーザがユーザのパスワードを入力することに依存していることにある。パス
ワードは実際に、プライベート・キーが生成されてハードデイスク上に記憶され
る時に、プライベート・キーを暗合化する暗号化キーである。パスワードはまた
、クライアント認証又は書類/取引に署名するなどのプライベート・キー機能を
使用するために、メモリ中にプライベート・キーをロードする時、プライベート
・キーを復号し、又は開錠する。
【0007】
静的なパスワードの弱点は、最初に想像するより実際はより悪い。弱点のある
静的パスワードに依存する伝統的なシステムは、それらの問題をパスワード制御
を実現することにより管理する能力も有する。ウエブに基づいたプライベート・
キー実施は、この弱点を管理する能力を持たない。ウエブのユーザに対してパス
ワード変更を強制し、良いパスワードを選択し、又はユーザが忘れたら助ける方
法が無い。ブラウザーは、プライベート・キーを暗号化した暗号化キー(すなわ
ち、パスワード)を選択しそして管理することを、ユーザに依存している。従っ
て、プライベート・キーが提供する全ての利点にもかかわらず、セキュリテイの
観点からは、現在の実情は実際には後退している。
静的パスワードに依存する伝統的なシステムは、それらの問題をパスワード制御
を実現することにより管理する能力も有する。ウエブに基づいたプライベート・
キー実施は、この弱点を管理する能力を持たない。ウエブのユーザに対してパス
ワード変更を強制し、良いパスワードを選択し、又はユーザが忘れたら助ける方
法が無い。ブラウザーは、プライベート・キーを暗号化した暗号化キー(すなわ
ち、パスワード)を選択しそして管理することを、ユーザに依存している。従っ
て、プライベート・キーが提供する全ての利点にもかかわらず、セキュリテイの
観点からは、現在の実情は実際には後退している。
【0008】
以下、添付図面を参照した発明の詳細な説明により、本発明のより完全な理解
及びその効果を理解することが容易となる。
及びその効果を理解することが容易となる。
【0009】
発明の実施の形態
本発明のトークンは、好ましくは、データ暗号化標準(DES)に基づいたト
ークン装置である。このトークンの最も強力な特徴は、一時パスワード(OTP
)パラダイム−チャレンジ/応答及び応答/オンリイの両方を支援する7つの異
なる入力モード(表1を参照)まで支援できることにある。これに加えて、トー
クンはアプリケーションへプライベート・キーを安全に送信できる。
ークン装置である。このトークンの最も強力な特徴は、一時パスワード(OTP
)パラダイム−チャレンジ/応答及び応答/オンリイの両方を支援する7つの異
なる入力モード(表1を参照)まで支援できることにある。これに加えて、トー
クンはアプリケーションへプライベート・キーを安全に送信できる。
【0010】
一時パスワード生成
OTP(一時パスワード)を生成するために、全てのトークンはトークン内に
記憶された秘密のシード値を持たなければならない。これらはまた可変の追加の
情報を持たなければならない。この追加の情報が、トークンがOTPを生成する
ために使用される時、トークンに入力される。この可変入力は内的に及び/又は
外的に生成できる。下記の表は、トークンのための操作の7つの異なるOTPモ
ードを識別する。表は、また、応答又はOTPを生成するために、トークンヘ与
えられる可変入力の源を識別する。チャレンジ変数は、トークンが受取り、一時
パスワードを計算するのに使用される値である。例えば、時間変数はトークンが
使用される時間である。例えば、出来事変数はトークンが使用される回数である
。OTP生成に関するさらなる詳細は、上記のカーギル特許から得ることができ
る。
記憶された秘密のシード値を持たなければならない。これらはまた可変の追加の
情報を持たなければならない。この追加の情報が、トークンがOTPを生成する
ために使用される時、トークンに入力される。この可変入力は内的に及び/又は
外的に生成できる。下記の表は、トークンのための操作の7つの異なるOTPモ
ードを識別する。表は、また、応答又はOTPを生成するために、トークンヘ与
えられる可変入力の源を識別する。チャレンジ変数は、トークンが受取り、一時
パスワードを計算するのに使用される値である。例えば、時間変数はトークンが
使用される時間である。例えば、出来事変数はトークンが使用される回数である
。OTP生成に関するさらなる詳細は、上記のカーギル特許から得ることができ
る。
【0011】
表1
【0012】
上のモード(表1)の全ては、応答を計算するための暗号エンジンとしてDE
Sを使用する。各モードは、ANSI X9.9、3重DES、又は他のホピュ
ラーなトークンなどのさまざまな標準と互換であるようにプログラムできる能力
を有する。
Sを使用する。各モードは、ANSI X9.9、3重DES、又は他のホピュ
ラーなトークンなどのさまざまな標準と互換であるようにプログラムできる能力
を有する。
【0013】
全てのR/Oモードは、単にユーザにユニットをオンにすることを要求し、も
し必要ならば、ユニットを解錠するため彼等のパーソナルPINを入力すること
をユーザに要求する。PINが要求される時、トークンはユーザにPINを促す
全てのC/Rモードは、ユーザが彼等のモニターの前に装置を単に保持して彼等
に表示されたグラフイカル・チャレンジを読むことを可能にする、進歩したオプ
テイカル・プロトコルを使用する。もしモニターがグラフイカル・インターフエ
イスの能力が無く又はユーザが電話により認証する場合、トークンはチャレンジ
の手入力のために、高品質キーパッドを有する。
し必要ならば、ユニットを解錠するため彼等のパーソナルPINを入力すること
をユーザに要求する。PINが要求される時、トークンはユーザにPINを促す
全てのC/Rモードは、ユーザが彼等のモニターの前に装置を単に保持して彼等
に表示されたグラフイカル・チャレンジを読むことを可能にする、進歩したオプ
テイカル・プロトコルを使用する。もしモニターがグラフイカル・インターフエ
イスの能力が無く又はユーザが電話により認証する場合、トークンはチャレンジ
の手入力のために、高品質キーパッドを有する。
【0014】
プライベート/パーソナル・キー輸送
トークンのより重要な能力の1つは、プライベート・キー輸送(PKT)特徴
(暗号の専門家により「連想読取り」と呼ばれる)である。PKT特徴は、設置
者又はユーザが、暗号化アプリケーションによる使用のためプライベート・キー
をトークンに割当てることを可能にする。暗号化アプリケーションによるトーク
ンの使用はプライベート・キーを、暗号化されたアプリケーション自身を除き、
ユーザを含む誰にも開示しない。
(暗号の専門家により「連想読取り」と呼ばれる)である。PKT特徴は、設置
者又はユーザが、暗号化アプリケーションによる使用のためプライベート・キー
をトークンに割当てることを可能にする。暗号化アプリケーションによるトーク
ンの使用はプライベート・キーを、暗号化されたアプリケーション自身を除き、
ユーザを含む誰にも開示しない。
【0015】
これは、ユーザがプライベート・キーを記憶することを負わせられることを望
まないアプリケーションに対して特に有用である。これに加えて、ある設置者は
、ユーザが暗号化アプリケーションのために彼等のプライベート・キーが何であ
るかを知ることさえ望まない。ユーザが彼等のプライベートな秘密の管理を全期
間中に失敗して、キーを定期的に変更しなければならない結果を生ずる。もし、
ユーザ又は設置者がプライベート・キーをユーザのトークンに割当てると、トー
クンが通信(すなわち、表示又はネットワークを通じて)の際に、プライベート
・キーを開示する必要無く、暗号化アプリケーションへプライベート・キーを通
信することができる。従って、キーを変更する必要性は劇的に減少する。
まないアプリケーションに対して特に有用である。これに加えて、ある設置者は
、ユーザが暗号化アプリケーションのために彼等のプライベート・キーが何であ
るかを知ることさえ望まない。ユーザが彼等のプライベートな秘密の管理を全期
間中に失敗して、キーを定期的に変更しなければならない結果を生ずる。もし、
ユーザ又は設置者がプライベート・キーをユーザのトークンに割当てると、トー
クンが通信(すなわち、表示又はネットワークを通じて)の際に、プライベート
・キーを開示する必要無く、暗号化アプリケーションへプライベート・キーを通
信することができる。従って、キーを変更する必要性は劇的に減少する。
【0016】
この能力はDES及びRSA(対称及び非対称)暗号化アルゴリズムの両方に
適用されることに注目することが重要である。 この特徴の重要性を理解するために、これがどのように動作するかの概観の説
明が必要である。
適用されることに注目することが重要である。 この特徴の重要性を理解するために、これがどのように動作するかの概観の説
明が必要である。
【0017】
図1及び図2は、暗号化サービスのためにユーザのプライベート・キーの使用
が必要なアプリケーションを実行するホスト・システムと一緒に動作するトーク
ンを示す。このトークンは、上記したようにOTPを生成することが可能である
。図1は、PKT特徴と通信するOTP特徴を示す。一方、図2は、PKT特徴
を強調するために単一ブロック内でOTP特徴を示す。
が必要なアプリケーションを実行するホスト・システムと一緒に動作するトーク
ンを示す。このトークンは、上記したようにOTPを生成することが可能である
。図1は、PKT特徴と通信するOTP特徴を示す。一方、図2は、PKT特徴
を強調するために単一ブロック内でOTP特徴を示す。
【0018】
OTP又はトークン応答を生成するために使用されるモード(すなわち、操作
の7つのモードの内の1つ)は、重要でない。全てのモードが使用できる。
の7つのモードの内の1つ)は、重要でない。全てのモードが使用できる。
【0019】
アプリケーションが、ユーザに彼等のプライベート・キーを暗号化サービスへ
のアクセスのために供給することを要求する時、ユーザは認証の時(3つのカー
ギル特許に開示されている)に使用されるのと同じ方法でトークンを操作する。
操作のOTPモードに依存して、ユーザはトークン内にチャレンジを入力する必
要があるだろう。トークンは、操作のモードにより、例えば、OTPなどのトー
クン応答を生成する。しかし、トークン・スクリーン上に応答を表示する前に追
加の操作を実行する。上に示された操作は“XOR”である。OTP50及びユ
ーザのプライベート・キー40は一緒に組合せられ(XORされ)、そして結果
がプライベート・キー輸送又はPKT値70である。ユーザが暗号化されたアプ
リケーションを実行しているホスト・システムと通信するためにトークン・デイ
スプレイ上に表示されるのは、PKT70である。内部OTP50は常に異なる
から、結果として得られるPKT70もまた常に異なる。
のアクセスのために供給することを要求する時、ユーザは認証の時(3つのカー
ギル特許に開示されている)に使用されるのと同じ方法でトークンを操作する。
操作のOTPモードに依存して、ユーザはトークン内にチャレンジを入力する必
要があるだろう。トークンは、操作のモードにより、例えば、OTPなどのトー
クン応答を生成する。しかし、トークン・スクリーン上に応答を表示する前に追
加の操作を実行する。上に示された操作は“XOR”である。OTP50及びユ
ーザのプライベート・キー40は一緒に組合せられ(XORされ)、そして結果
がプライベート・キー輸送又はPKT値70である。ユーザが暗号化されたアプ
リケーションを実行しているホスト・システムと通信するためにトークン・デイ
スプレイ上に表示されるのは、PKT70である。内部OTP50は常に異なる
から、結果として得られるPKT70もまた常に異なる。
【0020】
PKT値70のみでもってユーザのプライベート・キー40を還元するのは不
可能であるから、もし、PKT70が開示されても、ユーザのプライベート・キ
ー40は開示される危険が無いことに注意すべきである。
可能であるから、もし、PKT70が開示されても、ユーザのプライベート・キ
ー40は開示される危険が無いことに注意すべきである。
【0021】
ホスト・システム101も、OTP51を生成する能力を有する。これはホス
ト・システム101がユーザを認証する必要がある時、特定のユーザが誰である
かを認証することを可能にする。しかし、PKTの場合、ホストは暗号化アプリ
ケーションにユーザのプライベート・キー40を与えることを試み、従って、P
KT70からプライベート・キー40を抽出するために同じ“XOR”操作61
を使用する。一旦、“XOR”操作が完了すると、暗号化アプリケーションは暗
号化サービスのためにプライベート・キーを使用することができる。PKTは常
に異なるけれども、生成された各PKTから抽出されたプライベート・キーは常
に同じであり、対称暗号化アルゴリズムの要件である。
ト・システム101がユーザを認証する必要がある時、特定のユーザが誰である
かを認証することを可能にする。しかし、PKTの場合、ホストは暗号化アプリ
ケーションにユーザのプライベート・キー40を与えることを試み、従って、P
KT70からプライベート・キー40を抽出するために同じ“XOR”操作61
を使用する。一旦、“XOR”操作が完了すると、暗号化アプリケーションは暗
号化サービスのためにプライベート・キーを使用することができる。PKTは常
に異なるけれども、生成された各PKTから抽出されたプライベート・キーは常
に同じであり、対称暗号化アルゴリズムの要件である。
【0022】
一旦、暗号化サービスが完了すると、アプリケーションは単にメモリからプラ
イベート・キーを消去し、これによりプライベート・キーをさらなる開示から保
護する。
イベート・キーを消去し、これによりプライベート・キーをさらなる開示から保
護する。
【0023】
注意すべき重要な点は、PKTを生成するためにトークンを使用する時、秘密
のOTPシード値は秘密に保持される必要が無いことである。この値はどんなホ
スト・システムにオープンにして配布できる。これはトークンのOTPを経由し
てユーザのものを認証するため、トークンを使用する場合とは異なる。ホスト・
システムは、欲しいだけ多くの可能なOTPを生成できるが、しかし、物理的ト
ークンがPKTを生成するためのOTPを使用するまで、プライベート・キーは
生成できない。トークンは光学的にフイールド内でプログラムできることを注意
すべきである。この特徴は所望ならば、トークン・プライベート・キーが変更さ
れることを可能にする。
のOTPシード値は秘密に保持される必要が無いことである。この値はどんなホ
スト・システムにオープンにして配布できる。これはトークンのOTPを経由し
てユーザのものを認証するため、トークンを使用する場合とは異なる。ホスト・
システムは、欲しいだけ多くの可能なOTPを生成できるが、しかし、物理的ト
ークンがPKTを生成するためのOTPを使用するまで、プライベート・キーは
生成できない。トークンは光学的にフイールド内でプログラムできることを注意
すべきである。この特徴は所望ならば、トークン・プライベート・キーが変更さ
れることを可能にする。
【0024】
図1は、OTP生成器10へのクロック20及びシード値30の入力を示す。
クロック20は、ホスト装置のクロック21と同期された(どんな予め定められ
た間隔内で)時計である。代替的に、クロックは、実行されるOTP生成の各々
又はどんな組に対して変化する数を提供するためのいかなるタイプの計数機構の
形式を取ることができる。
クロック20は、ホスト装置のクロック21と同期された(どんな予め定められ
た間隔内で)時計である。代替的に、クロックは、実行されるOTP生成の各々
又はどんな組に対して変化する数を提供するためのいかなるタイプの計数機構の
形式を取ることができる。
【0025】
PKT特徴が解決する問題はこれである。捕らえられるおそれのある静的値を
使用することなく、どのようにして静的プライベート・キーを暗号化アプリケー
ションへ通信することができるか?上述の議論は、本発明のトークンがこの問題
に対して解決を与えるかを説明する。
使用することなく、どのようにして静的プライベート・キーを暗号化アプリケー
ションへ通信することができるか?上述の議論は、本発明のトークンがこの問題
に対して解決を与えるかを説明する。
【0026】
XOR操作
【0027】
排他的OR操作(XOR)は以下の通りである。2つの値が比較される時、も
し、それらが同じであれば、結果は0である。もし、それらが異なれば、結果は
1である。コンピュータに対して可能な最も低いレベルを取扱っているため、2
つの値、0及び1、のみが可能である。以下の表が、全ての可能な組合せと排他
的ORの操作を説明する: 1+0=1 1+1=0 0+0=0
し、それらが同じであれば、結果は0である。もし、それらが異なれば、結果は
1である。コンピュータに対して可能な最も低いレベルを取扱っているため、2
つの値、0及び1、のみが可能である。以下の表が、全ての可能な組合せと排他
的ORの操作を説明する: 1+0=1 1+1=0 0+0=0
【0028】
従って、上の例では、‘1100’のトークン・プライベー・キーを選択し、
そして、‘1010’のトークン応答値を選択した。もし、これらの2つの値に
排他的OR操作を適用すると、次の結果、‘0110’を得、これがプライベー
ト・キー・輸送値である。これは次を発生する: 1+1=0 1+0=1 0+1=1 0+0=0 この値自身は、トークン・プライベート・キーについて何も教えない。‘01
10’は、決して実際のキー‘1100’を教えない。
そして、‘1010’のトークン応答値を選択した。もし、これらの2つの値に
排他的OR操作を適用すると、次の結果、‘0110’を得、これがプライベー
ト・キー・輸送値である。これは次を発生する: 1+1=0 1+0=1 0+1=1 0+0=0 この値自身は、トークン・プライベート・キーについて何も教えない。‘01
10’は、決して実際のキー‘1100’を教えない。
【0029】
しかし、排他的OR操作の性質により、この操作をPKT及び元の2つの入力
(トークン・プライベート・キー及びOTPなどのトークン応答)の内の1つを
使用して行なえば、使用されなかった入力フイールドの値が表れる。この例では
、ホストが知っている唯一の値は、トークン応答(OTP)値である。従って、
ホストは、PKT値‘0110’を取り、この値とホストで生成されたトークン
応答値‘1010’とを排他的ORの操作を行なう。これは次を発生する: 0+1=1 1+0=1 1+1=0 0+0=0 この操作の結果は、‘1100’であり、トークン・プライベート・キーに等
しい。
(トークン・プライベート・キー及びOTPなどのトークン応答)の内の1つを
使用して行なえば、使用されなかった入力フイールドの値が表れる。この例では
、ホストが知っている唯一の値は、トークン応答(OTP)値である。従って、
ホストは、PKT値‘0110’を取り、この値とホストで生成されたトークン
応答値‘1010’とを排他的ORの操作を行なう。これは次を発生する: 0+1=1 1+0=1 1+1=0 0+0=0 この操作の結果は、‘1100’であり、トークン・プライベート・キーに等
しい。
【0030】
図3は、どんなC/R及びR/Oパラダイムに対しても応答するトークン実施
例のプロセスの流れを説明する。ステップ300において、トークン・ユニット
に電源が与えられる。ユーザは、パスワード又はその他のログオン情報を入力し
て、トークンを開錠する(ステップ310)。ステップ320及び330は、ト
ークンがシステムにより質問される時に行なわれる判断を示し、そして、トーク
ンはC/R325又はR/O335処理が要求されているかどうかを決定する。
対応するプロセスが実行され、そして、トークンはさらなるアクションのために
待ち状態340を入力する。トークンの使用の完了時に、ユーザはユニットの電
源を落す(ステップ350)。
例のプロセスの流れを説明する。ステップ300において、トークン・ユニット
に電源が与えられる。ユーザは、パスワード又はその他のログオン情報を入力し
て、トークンを開錠する(ステップ310)。ステップ320及び330は、ト
ークンがシステムにより質問される時に行なわれる判断を示し、そして、トーク
ンはC/R325又はR/O335処理が要求されているかどうかを決定する。
対応するプロセスが実行され、そして、トークンはさらなるアクションのために
待ち状態340を入力する。トークンの使用の完了時に、ユーザはユニットの電
源を落す(ステップ350)。
【0031】
トークンは、ユーザにより開始できる計算機構を含む。以下に、本発明の1つ
の実施の形態による計算機構により実行されるトークンに存在する開始アプリケ
ーションにより実施されるプロセスの例を説明する。各個別ステップは、その個
別ステップを実施するアプリケーションの関連部分を有する。
の実施の形態による計算機構により実行されるトークンに存在する開始アプリケ
ーションにより実施されるプロセスの例を説明する。各個別ステップは、その個
別ステップを実施するアプリケーションの関連部分を有する。
【0032】
フェーズ1:第1回活性化:
(a)トークン・アプリケーションがユーザに選択されたテスト・トークンの
活性化コードをタイプすることを促す:12文字コード(上表を参照)を入力す
る。 (b)アプリケーションは第1チャレンジを促す:それをCP/700内に入
力し、そして、トークン応答を第1ダイナミック・キーとしてアプリケーション
内にコピーする。 (c)アプリケーションは第2チャレンジを促す:それをDP/700内に入
力し、そして、トークン応答を第2ダイナミック・キーとしてアプリケーション
内にコピーする。 (d)2つの異なるダイナミック・キーが認証される。 (e)両ダイナミック・キーは、同じ内部秘密を発生する(SecretK2
又はプライベート・キーと呼ばれる)。 (f)もし、誤りが発生しなければ、アプリケーションはPKA活性化が成功
したフラグを立てねそしてコンテキスト・フアイルuserfile.txtを
生成する。このフアイルにおいて、活性化コードは、SecretK2から導出
されたハッシュ・コードと一緒に記憶される。
活性化コードをタイプすることを促す:12文字コード(上表を参照)を入力す
る。 (b)アプリケーションは第1チャレンジを促す:それをCP/700内に入
力し、そして、トークン応答を第1ダイナミック・キーとしてアプリケーション
内にコピーする。 (c)アプリケーションは第2チャレンジを促す:それをDP/700内に入
力し、そして、トークン応答を第2ダイナミック・キーとしてアプリケーション
内にコピーする。 (d)2つの異なるダイナミック・キーが認証される。 (e)両ダイナミック・キーは、同じ内部秘密を発生する(SecretK2
又はプライベート・キーと呼ばれる)。 (f)もし、誤りが発生しなければ、アプリケーションはPKA活性化が成功
したフラグを立てねそしてコンテキスト・フアイルuserfile.txtを
生成する。このフアイルにおいて、活性化コードは、SecretK2から導出
されたハッシュ・コードと一緒に記憶される。
【0033】
フェーズ2:通常使用:
(a)アプリケーションはチャレンジを促す:それをDP700内に入力し、
そしてダイナミック・キーとしてトークン応答をアプリケーション内にコピーす
る。 (b)ダイナミック・キーの認証:もし、それがコンテキスト・フアイルus
erfile.txt内の記憶されたハッシュ・コードと異なるハッシュ・コー
ドを生ずる内部秘密(SecretK2と呼ばれる)を発生すると、エラーが発
生される。 (c)もし、エラーが発生しなければ、アプリケーションはPKA活性化が成
功したフラグを立てる。
そしてダイナミック・キーとしてトークン応答をアプリケーション内にコピーす
る。 (b)ダイナミック・キーの認証:もし、それがコンテキスト・フアイルus
erfile.txt内の記憶されたハッシュ・コードと異なるハッシュ・コー
ドを生ずる内部秘密(SecretK2と呼ばれる)を発生すると、エラーが発
生される。 (c)もし、エラーが発生しなければ、アプリケーションはPKA活性化が成
功したフラグを立てる。
【0034】
フェーズ1へのリセット:第1回活性化:
(a)プログラムは、userfile.txtと呼ばれるコンテキスト・フ
アイルを除去することによりその初期状態にリセットできる。 (b)アプリケーションは、この目的のために、「コンテキスト・フアイルを
クリア」のボタンを与える。 (c)次に「開始」ボタンが押されると、第1回活性化フェーズが開始する。
アイルを除去することによりその初期状態にリセットできる。 (b)アプリケーションは、この目的のために、「コンテキスト・フアイルを
クリア」のボタンを与える。 (c)次に「開始」ボタンが押されると、第1回活性化フェーズが開始する。
【0035】
従って、本発明は新規で、ビジネス、セキュリテイ、及び他の技術分野の広い
範囲において、データ、暗号化コード、パスワード、キー等の安全な送信のため
の産業上利用性を有する、プライベート・キー輸送特徴を提供する。そして、本
発明のその他の特徴、観点及び目的は図を参照することから得られる。
範囲において、データ、暗号化コード、パスワード、キー等の安全な送信のため
の産業上利用性を有する、プライベート・キー輸送特徴を提供する。そして、本
発明のその他の特徴、観点及び目的は図を参照することから得られる。
【0036】
本発明は、当業者には明らかなように、本発明が開示した教示に従いプログラ
ムされた通常の汎用又は専用のデジタル・コンピュータ又はマイクロプロセッサ
ーを使用して都合良く実現できる。
ムされた通常の汎用又は専用のデジタル・コンピュータ又はマイクロプロセッサ
ーを使用して都合良く実現できる。
【0037】
当業者には明らかなように、本発明が開示した教示に従い熟練したプログラマ
は容易に適当なソフトウエア・コーデイングを作成できる。本発明はまた、当業
者には明らかなように、応用専用集積回路を作成すること又は通常の部品の回路
の適当なネットワークを相互接続することにより、実現できる。
は容易に適当なソフトウエア・コーデイングを作成できる。本発明はまた、当業
者には明らかなように、応用専用集積回路を作成すること又は通常の部品の回路
の適当なネットワークを相互接続することにより、実現できる。
【0038】
本発明は、本発明のどんなプロセスを実行するためにコンピュータを制御する
のに使用できる命令をその中に/その上に記憶した記憶媒体であるコンピュータ
・プログラム製品を含む。記憶媒体は、限定的ではなく、可撓性ディスク、光デ
ィスク、DVD、CD−ROM、マイクロドライブ、及び光磁気ディスクを含む
どんなタイプのディスク、ROM、RAM、EPROM、EEPROM、DRA
M、VRAM、フラッシュ・メモリ装置、磁気又は光カード、ナノシステム(分
子メモリICを含む)、RAID装置、遠隔データ記憶/アーカイブ/ウエアハ
ウジング、又はデータ及び/又は命令を記憶するのに適したいかなるタイプの媒
体又は装置を含む。
のに使用できる命令をその中に/その上に記憶した記憶媒体であるコンピュータ
・プログラム製品を含む。記憶媒体は、限定的ではなく、可撓性ディスク、光デ
ィスク、DVD、CD−ROM、マイクロドライブ、及び光磁気ディスクを含む
どんなタイプのディスク、ROM、RAM、EPROM、EEPROM、DRA
M、VRAM、フラッシュ・メモリ装置、磁気又は光カード、ナノシステム(分
子メモリICを含む)、RAID装置、遠隔データ記憶/アーカイブ/ウエアハ
ウジング、又はデータ及び/又は命令を記憶するのに適したいかなるタイプの媒
体又は装置を含む。
【0039】
コンピュータ読取り可能媒体上に記憶された本発明は、汎用/専用コンピュー
タ又はマイクロプロセッサのハードウェア及びコンピュータ又はマイクロプロセ
ッサが本発明の結果を使用する他の機構又は人間のユーザと相互作用することを
可能にする両方を制御するソフトウェアを含む。このようなソフトウェアは限定
的ではなく、デバイス・ドライバ、オペーレーテイング・システム、及びユーザ
・アプリケーションを含む。最後に、このようなコンピュータ読取り可能媒体は
さらに上述した本発明を実行するためのソフトウェアをさらに含む。
タ又はマイクロプロセッサのハードウェア及びコンピュータ又はマイクロプロセ
ッサが本発明の結果を使用する他の機構又は人間のユーザと相互作用することを
可能にする両方を制御するソフトウェアを含む。このようなソフトウェアは限定
的ではなく、デバイス・ドライバ、オペーレーテイング・システム、及びユーザ
・アプリケーションを含む。最後に、このようなコンピュータ読取り可能媒体は
さらに上述した本発明を実行するためのソフトウェアをさらに含む。
【0040】
XOR操作、OTP生成、及び本発明のプロセスによる結果の表示、記憶、又
は通信を実行することを限定的ではなく含む、本発明の教示を実現するためのソ
フトウェア・モジュールが、汎用/専用コンピュータ又はマイクロプロセッサの
プログラミング(ソフトウエア)の中に含まれる。
は通信を実行することを限定的ではなく含む、本発明の教示を実現するためのソ
フトウェア・モジュールが、汎用/専用コンピュータ又はマイクロプロセッサの
プログラミング(ソフトウエア)の中に含まれる。
【0041】
明らかに、上述の教示に鑑みて、本発明の数多くの修正及び変形が可能である
。従って、本発明はここに特に開示された以外にも特許請求の範囲の記載内で実
施できることが理解される。
。従って、本発明はここに特に開示された以外にも特許請求の範囲の記載内で実
施できることが理解される。
【図1】
本発明の情報の流れとプロセスを示すブロック図。
【図2】
本発明の1つの実施の形態によるトークンとホスト・プロセス、相互作用及び
情報の流れを示す概略図。
情報の流れを示す概略図。
【図3】
組合せられたC/R、R/O方法を有するトークンの実施例を実行するプロセ
スを示すフローチャート。
スを示すフローチャート。
─────────────────────────────────────────────────────
フロントページの続き
(81)指定国 EP(AT,BE,CH,CY,
DE,DK,ES,FI,FR,GB,GR,IE,I
T,LU,MC,NL,PT,SE),OA(BF,BJ
,CF,CG,CI,CM,GA,GN,GW,ML,
MR,NE,SN,TD,TG),AP(GH,GM,K
E,LS,MW,SD,SL,SZ,TZ,UG,ZW
),EA(AM,AZ,BY,KG,KZ,MD,RU,
TJ,TM),AE,AL,AM,AT,AU,AZ,
BA,BB,BG,BR,BY,CA,CH,CN,C
R,CU,CZ,DE,DK,EE,ES,FI,GB
,GD,GE,GH,GM,HR,HU,ID,IL,
IN,IS,JP,KE,KG,KP,KR,KZ,L
C,LK,LR,LS,LT,LU,LV,MD,MG
,MK,MN,MW,MX,NO,NZ,PL,PT,
RO,RU,SD,SE,SG,SI,SK,SL,T
J,TM,TR,TT,UA,UG,UZ,VN,YU
,ZA,ZW
Fターム(参考) 5J104 AA16 EA04 EA17 NA02 NA05
Claims (38)
- 【請求項1】 プライベート・キー輸送値を生成するためのトークンであっ
て、 呼出されるたびにパスワードを生成するように構成された一時パスワード(O
TP)生成器と、 プライベート・キー(PK)の記憶を維持するように構成されたプライベート
・キー(PK)記憶装置と、 プライベート・キー輸送(PKT)値を生成するために、前記OTP生成器に
より生成されたパスワードと前記PK記憶装置内に記憶された前記プライベート
・キーとを組合せるように構成された組合せ装置と、 前記PKT値の通信及び表示の少なくとも1つをするように構成された輸送機
構と、 を含むトークン。 - 【請求項2】 前記OTP生成器が、クロック値を生成するように構成され
たクロック装置と、 シード値を記憶するように構成されたシード記憶機構と、 OTPを生成するため、前記クロック装置により生成されたクロック値と前記
シード値とを組合せるように構成された第2組合せ装置と、 を含む、請求項1に記載のトークン。 - 【請求項3】 前記クロック装置が、前記クロック値を所定の時間間隔で変
化させる請求項2に記載のトークン。 - 【請求項4】 前記OTP生成器が、OTP生成器が呼出されるたびに異な
るパスワードを生成する請求項1に記載のトークン。 - 【請求項5】 前記PK記憶装置が、前記プライベート・キーを記憶する不
揮発性メモリを含む請求項1に記載のトークン。 - 【請求項6】 前記組合せ装置が、XOR機構である請求項1に記載のトー
クン。 - 【請求項7】 前記輸送機構が、光プロトコル信号を送信する光学装置であ
り、前記光プロトコル信号を受信できる遠隔装置へ前記トークンからの前記PK
Tの通信を可能にする請求項1に記載のトークン。 - 【請求項8】 前記輸送機構が、前記PKTを表示するように構成された表
示装置であり、これにより、(1)ユーザが前記PKTを読みとり使用すること
、及び(2)受信装置が前記PKTを走査すること、のいずれか1つを可能にす
る請求項1に記載のトークン。 - 【請求項9】 前記OTP生成器が、前記PKTを受取るホスト装置のOT
Pと同期されている請求項1に記載のトークン。 - 【請求項10】 ユーザ及び前記トークンの設置者のいずれか1つからプラ
イベート・キーを受取るように構成されたプライベート・キー入力機構と、 前記プライベート・キー記憶装置内に受取ったプライベート・キーを記憶する
ように構成された記憶機構と、 をさらに含む請求項1に記載のトークン。 - 【請求項11】 前記プライベート・キー輸送値の生成を呼出す入力条件を
受取る入力機構をさらに含む請求項1に記載のトークン。 - 【請求項12】 前記入力条件が、チャレンジ、出来事、時間、及び(1)
出来事及び時間、(2)チャレンジ及び出来事、(3)チャレンジ及び時間、(
4)チャレンジ及び出来事及び時間を含む、チャレンジ、出来事、及び時間のど
んな組合せを含む請求項11に記載のトークン。 - 【請求項13】 前記プライベート・キー輸送値の生成が、出来事、時間、
及び出来事と時間の組合せのいずれか1つに基づいて実行される請求項1に記載
のトークン。 - 【請求項14】 前記OTP生成器は、前記PKT値を受取るホスト装置の
少なくとも1つの第2OTP生成器と同期されている請求項1に記載のトークン
。 - 【請求項15】 呼出されるたびにパスワードを生成するように構成された
一時パスワード(OTP)生成器と、 暗号化されたプライベート・キーを有するプライベート・キー(PKT)輸送
値を受取るように構成されたプライベート・キー輸送(PKT)受信機構と、 プライベート・キーを導き出すために、前記OTP生成器により生成されたパ
スワードと前記PKT値とを組合せる組合せ装置と、 を含むホスト装置。 - 【請求項16】 前記組合せ装置が、前記PKT値と前記OTPとをXOR
操作するように構成されたXOR機構である請求項15に記載のホスト装置。 - 【請求項17】 前記組合せ装置が、一続きのXORゲートであり、各ゲー
トの第1入力が前記PKT値の1つの2進値を入力し、そして各ゲートの第2入
力が前記OTPの1つの2進値を入力する請求項15に記載のホスト装置。 - 【請求項18】 前記PKT受信機構が、前記PKT値を含む光プロトコル
信号を受取るように構成された光学受信機である請求項15に記載のホスト装置
。 - 【請求項19】 前記OTP生成器が、OTP生成器が呼出されるたびに異
なるパスワードを生成する請求項15に記載のホスト装置。 - 【請求項20】 前記OTP生成器が、受取られたPKT値を生成するトー
クン装置と関連付けられたOTP生成器と同期されている請求項15に記載のホ
スト装置。 - 【請求項21】 プライベート・キーを維持して送信する方法であって、 一時パスワード(OTP)を生成し、 記憶装置からプライベート・キーを取出し、 プライベート・キー輸送(PKT)値を生成するために、前記OTPと前記プ
ライベート・キーを結合し、 前記PKT値を受信機構に送信する、 各ステップを含む方法。 - 【請求項22】 前記結合するステップが、前記プライベート・キー輸送(
PKT)値を生成するために、前記OTPと前記プライベート・キーとをXOR
操作することを含む請求項21に記載の方法。 - 【請求項23】 前記一時パスワードを生成するステップが、 記憶装置からシード値を取出し、 クロック値を生成し、 前記OTPを生成するため前記クロック値と前記シード値を結合する、 各ステップを含む請求項21に記載の方法。
- 【請求項24】 前記PKT値を復号するために使用されるOTP生成器と
前記OTPを生成するように構成されたOTP生成器とを同期させるステップを
さらに含む請求項21に記載の方法。 - 【請求項25】 プライベート・キーを受取る方法であって、 暗号化されたプライベート・キーを受取り、 一時パスワード(OTP)を生成し、 プライベート・キーを生成するために前記OTPと受取られた暗号化されたプ
ライベート・キーを結合する、 各ステップを含む方法。 - 【請求項26】 前記結合するステップは、前記プライベート・キーを生成
するために、前記OTPと前記プライベート・キーをXOR操作することを含む
請求項25に記載の方法。 - 【請求項27】 前記一時パスワードを生成するステップが、 記憶装置からシード値を取出し、 クロック値を生成し、 前記OTPを生成するために、前記クロック値と前記シード値を結合する、 ことを含む請求項25に記載の方法。
- 【請求項28】 前記暗号化されたプライベート・キーを生成するのに使用
されるOTP生成器と前記OTPを生成するように構成されたOTP生成器とを
同期させるステップをさらに含む請求項25に記載の方法。 - 【請求項29】 安全なアクセスと認証を与えるシステムであって、 プライベート・キーを安全に暗号化したプライベート・キー輸送(PKT)
値を生成するように構成されたプライベート・キー輸送(PKT)生成装置と、 (1)前記PKT値を表示する、及び(2)前記PKT値を通信するうちの
少なくとも1つを行なうように構成された輸送機構と、 を含むトークン、及び (1)前記トークンのユーザによる入力か、又は(2)前記輸送機構からの
PKT受取り装置への通信かのいずれかによる前記PKT値を、受取るように構
成されたPKT受取り装置と、 前記プライベート・キーを導き出すために前記PKT値を復号するように構成
された復号機構と、 ソフトウェア・プログラムの実行、ユーザ認証、及びフアイルへのアクセスへ
のいずれか1つ、アカウント、又は導出されたプライベート・キーに基づく他の
装置を認証するように構成された認証機構と、 を含むホスト装置、 を有するシステム。 - 【請求項30】 前記PKT生成装置が、第1の一時パスワード(OTP)
生成器と、前記PKT値を生成するために前記プライベート・キーと前記第1の
OTP生成器により生成された第1OTPとを結合する順方向アルゴリズムとを
含み、 前記復号機構が、第2のOTP生成器と、前記プライベート・キーを導き出す
ために前記PKT値と前記第2のOTP生成器により生成された第2OTPとを
結合する逆方向アルゴリズムとを含む、 請求項29に記載のシステム。 - 【請求項31】 前記順方向アルゴリズムが、前記プライベート・キーと前
記第1OTPとの間のXOR操作である請求項30に記載のシステム。 - 【請求項32】 前記逆方向アルゴリズムが、前記PKT値と前記第2OT
Pとの間のXOR操作である請求項30に記載のシステム。 - 【請求項33】 前記PKT生成装置が、 不揮発性メモリ内に記憶されたシード値と、 クロックと、 前記第1OTPを生成するために、前記クロックからのクロック値と前記シー
ド値とを結合するように構成された組合せ機構とを含み、 前記復号機構が、 第2不揮発性メモリ内に記憶された第2シード値と、 第2クロックと、 前記第2OTPを生成するために、前記第2クロックからの第2クロック値と
前記第2シード値とを結合するように構成された第2組合せ機構とを含む、 請求項30に記載のシステム。 - 【請求項34】 PKT生成装置クロックと復号機構クロックが同期されて
いる請求項33に記載のシステム。 - 【請求項35】 前記認証機構が、前記プライベート・キー内に維持された
データを、(1)前記ホスト又は接続された装置の記憶空間、又は(2)前記ホ
スト又は接続された装置の別のアプリケーションの内のいずれか1つに移送する
ことを可能にする請求項29に記載のシステム。 - 【請求項36】 複数ユーザ又はユーザのグループ及びいかなる数のユーザ
・アカウント、呼出し可能ソフトウェア・プログラム、及び/又は安全なアクセ
ス/認証を必要とする他の装置を有するシステムにおいて、前記アカウント、ソ
フトウエア・プログラム、及び/又は他の装置の各々が少なくとも1つのレベル
で前記ユーザのいかなる一人又は複数によりアクセス可能なものにおいて、前記
システムが、 前記複数のユーザの各々に対して少なくとも1つのトークンであり、各トーク
ンは、暗号化されたプライベート・キーを含んだプライベート・キー輸送(PK
T)値を生成して送信するように構成されている前記トークン、及び ユーザのトークンから送信されたPKT値を受取り、 ユーザのトークンに関連したプライベート・キーを導き出すために受取ったP
KT値を復号し、そして トークンのユーザにより要求されたファイル、プログラム、アカウント又は他
の装置へのアクセスを許可し、前記許可されたアクセスは、導き出されたプライ
ベート・キーに関して認証に従うように構成された少なくとも1つのホスト装置
を有するシステム。 - 【請求項37】 各トークン装置が、 呼出されるたびにパスワードを生成するように構成された一時パスワード(O
TP)生成器と、 プライベート・キーの記憶を維持するように構成されたプライベート・キー(
PK)記憶装置と、 前記プライベート・キー輸送(PKT)値を生成するため、前記OTP生成器
により生成されたパスワードと前記PK記憶装置内に記憶された前記プライベー
ト・キーとを結合するように構成された組合せ装置と、 前記PKT値の表示及び通信の少なくとも1つを行なうように構成された輸送
機構と、を含み、 いずれかの1つのトークンの前記PK記憶装置内に記憶されたプライベート・
キーが前記1つのトークンのユーザと関連付けられている請求項36に記載のシ
ステム。 - 【請求項38】 各ホスト装置が、 呼出されるたびにパスワードを生成するように構成された一時パスワード(O
TP)生成器と、 暗号化されたプライベート・キーを有するプライベート・キー(PKT)輸送
値を受取るように構成されたプライベート・キー輸送(PKT)受信機構と、 プライベート・キーを導き出すために、前記OTP生成器により生成されたパ
スワードと前記PKT値とを結合するように構成された組合せ装置と、を含み、 前記導き出されたプライベート・キーが、前記ユーザがアクセスすることを認
証されたいずれのアカウント、プログラム、又はその他の装置へのアクセス及び
/又は認証を与える請求項16に記載のシステム。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11953199P | 1999-02-10 | 1999-02-10 | |
| US60/119,531 | 1999-02-10 | ||
| US50055300A | 2000-02-09 | 2000-02-09 | |
| US09/500,553 | 2000-02-09 | ||
| PCT/US2000/003477 WO2000048064A1 (en) | 1999-02-10 | 2000-02-10 | Security access and authentication token with private key transport functionality |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003524928A true JP2003524928A (ja) | 2003-08-19 |
Family
ID=26817444
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000598917A Pending JP2003524928A (ja) | 1999-02-10 | 2000-02-10 | プライベート・キー輸送機能を有するセキュリテイ・アクセス及び認証トークン |
Country Status (4)
| Country | Link |
|---|---|
| EP (1) | EP1151369A1 (ja) |
| JP (1) | JP2003524928A (ja) |
| AU (1) | AU776552B2 (ja) |
| WO (1) | WO2000048064A1 (ja) |
Families Citing this family (40)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7809953B2 (en) | 2002-12-09 | 2010-10-05 | Research In Motion Limited | System and method of secure authentication information distribution |
| US20050044387A1 (en) | 2003-08-18 | 2005-02-24 | Ozolins Helmars E. | Portable access device |
| EP1628183A1 (en) | 2004-08-17 | 2006-02-22 | Research In Motion Limited | Method, system and device for authenticating a user |
| US7562218B2 (en) | 2004-08-17 | 2009-07-14 | Research In Motion Limited | Method, system and device for authenticating a user |
| US7469291B2 (en) | 2004-09-22 | 2008-12-23 | Research In Motion Limited | Apparatus and method for integrating authentication protocols in the establishment of connections between computing devices |
| US8266441B2 (en) | 2005-04-22 | 2012-09-11 | Bank Of America Corporation | One-time password credit/debit card |
| US8995653B2 (en) * | 2005-07-12 | 2015-03-31 | International Business Machines Corporation | Generating a secret key from an asymmetric private key |
| US7992203B2 (en) | 2006-05-24 | 2011-08-02 | Red Hat, Inc. | Methods and systems for secure shared smartcard access |
| US8098829B2 (en) | 2006-06-06 | 2012-01-17 | Red Hat, Inc. | Methods and systems for secure key delivery |
| US8495380B2 (en) | 2006-06-06 | 2013-07-23 | Red Hat, Inc. | Methods and systems for server-side key generation |
| US8364952B2 (en) | 2006-06-06 | 2013-01-29 | Red Hat, Inc. | Methods and system for a key recovery plan |
| US8332637B2 (en) | 2006-06-06 | 2012-12-11 | Red Hat, Inc. | Methods and systems for nonce generation in a token |
| US8180741B2 (en) | 2006-06-06 | 2012-05-15 | Red Hat, Inc. | Methods and systems for providing data objects on a token |
| US8707024B2 (en) | 2006-06-07 | 2014-04-22 | Red Hat, Inc. | Methods and systems for managing identity management security domains |
| US9769158B2 (en) | 2006-06-07 | 2017-09-19 | Red Hat, Inc. | Guided enrollment and login for token users |
| US8589695B2 (en) | 2006-06-07 | 2013-11-19 | Red Hat, Inc. | Methods and systems for entropy collection for server-side key generation |
| US8412927B2 (en) * | 2006-06-07 | 2013-04-02 | Red Hat, Inc. | Profile framework for token processing system |
| US8806219B2 (en) | 2006-08-23 | 2014-08-12 | Red Hat, Inc. | Time-based function back-off |
| US8787566B2 (en) | 2006-08-23 | 2014-07-22 | Red Hat, Inc. | Strong encryption |
| US8356342B2 (en) | 2006-08-31 | 2013-01-15 | Red Hat, Inc. | Method and system for issuing a kill sequence for a token |
| US8074265B2 (en) | 2006-08-31 | 2011-12-06 | Red Hat, Inc. | Methods and systems for verifying a location factor associated with a token |
| US8977844B2 (en) | 2006-08-31 | 2015-03-10 | Red Hat, Inc. | Smartcard formation with authentication keys |
| US9038154B2 (en) | 2006-08-31 | 2015-05-19 | Red Hat, Inc. | Token Registration |
| US9251637B2 (en) | 2006-11-15 | 2016-02-02 | Bank Of America Corporation | Method and apparatus for using at least a portion of a one-time password as a dynamic card verification value |
| US8813243B2 (en) | 2007-02-02 | 2014-08-19 | Red Hat, Inc. | Reducing a size of a security-related data object stored on a token |
| US8832453B2 (en) | 2007-02-28 | 2014-09-09 | Red Hat, Inc. | Token recycling |
| US8639940B2 (en) | 2007-02-28 | 2014-01-28 | Red Hat, Inc. | Methods and systems for assigning roles on a token |
| ITMI20070453A1 (it) * | 2007-03-07 | 2008-09-08 | Korotek S R L | Metodo e dispositivo di autenticazione dell'identita' in grado di generare codici di acesso univoci tramite la decodifica di immagini la cui luce e'inoltre utilizzata per l'alimentazione del dispositivo stesso |
| US8002193B2 (en) | 2007-03-12 | 2011-08-23 | Visa U.S.A. Inc. | Payment card dynamically receiving power from external source |
| US9081948B2 (en) | 2007-03-13 | 2015-07-14 | Red Hat, Inc. | Configurable smartcard |
| US8060750B2 (en) | 2007-06-29 | 2011-11-15 | Emc Corporation | Secure seed provisioning |
| EP2040228A1 (en) * | 2007-09-20 | 2009-03-25 | Tds Todos Data System Ab | System, method and device for enabling secure and user-friendly interaction |
| DK2043036T3 (da) * | 2007-09-20 | 2010-10-11 | Tds Todos Data System Ab | System, fremgangsmåde og indretning til at muliggøre interaktion med dynamisk sikkerhed |
| US8302167B2 (en) | 2008-03-11 | 2012-10-30 | Vasco Data Security, Inc. | Strong authentication token generating one-time passwords and signatures upon server credential verification |
| US8307210B1 (en) | 2008-05-02 | 2012-11-06 | Emc Corporation | Method and apparatus for secure validation of tokens |
| GB2513669B (en) | 2013-06-21 | 2016-07-20 | Visa Europe Ltd | Enabling access to data |
| EP3280110A1 (en) * | 2016-08-05 | 2018-02-07 | Gemalto Sa | A method for generating a modified one-time password allowing to authenticate the user for which it has been generated |
| US10574650B2 (en) | 2017-05-17 | 2020-02-25 | Bank Of America Corporation | System for electronic authentication with live user determination |
| US10387632B2 (en) | 2017-05-17 | 2019-08-20 | Bank Of America Corporation | System for provisioning and allowing secure access to a virtual credential |
| WO2022076352A1 (en) * | 2020-10-05 | 2022-04-14 | Redcom Laboratories, Inc. | zkMFA: ZERO-KNOWLEDGE BASED MULTI-FACTOR AUTHENTICATION SYSTEM |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4799258A (en) * | 1984-02-13 | 1989-01-17 | National Research Development Corporation | Apparatus and methods for granting access to computers |
| US4819267A (en) * | 1984-02-22 | 1989-04-04 | Thumbscan, Inc. | Solid state key for controlling access to computer systems and to computer software and/or for secure communications |
| US5657388A (en) * | 1993-05-25 | 1997-08-12 | Security Dynamics Technologies, Inc. | Method and apparatus for utilizing a token for resource access |
| EP0566811A1 (en) * | 1992-04-23 | 1993-10-27 | International Business Machines Corporation | Authentication method and system with a smartcard |
-
2000
- 2000-02-10 WO PCT/US2000/003477 patent/WO2000048064A1/en not_active Application Discontinuation
- 2000-02-10 AU AU33605/00A patent/AU776552B2/en not_active Ceased
- 2000-02-10 JP JP2000598917A patent/JP2003524928A/ja active Pending
- 2000-02-10 EP EP00911760A patent/EP1151369A1/en not_active Withdrawn
Also Published As
| Publication number | Publication date |
|---|---|
| WO2000048064A9 (en) | 2001-09-27 |
| WO2000048064A1 (en) | 2000-08-17 |
| EP1151369A1 (en) | 2001-11-07 |
| AU776552B2 (en) | 2004-09-16 |
| AU3360500A (en) | 2000-08-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2003524928A (ja) | プライベート・キー輸送機能を有するセキュリテイ・アクセス及び認証トークン | |
| US6230272B1 (en) | System and method for protecting a multipurpose data string used for both decrypting data and for authenticating a user | |
| EP1248190B1 (en) | Enabling and disabling software features | |
| US5768373A (en) | Method for providing a secure non-reusable one-time password | |
| US6816970B2 (en) | Security method and system for persistent storage and communications on computer network systems and computer network systems employing the same | |
| US5995624A (en) | Bilateral authentication and information encryption token system and method | |
| US7502467B2 (en) | System and method for authentication seed distribution | |
| US7058806B2 (en) | Method and apparatus for secure leveled access control | |
| US8051469B2 (en) | Securely roaming digital identities | |
| US7895443B2 (en) | Secure authentication using hardware token and computer fingerprint | |
| US7111172B1 (en) | System and methods for maintaining and distributing personal security devices | |
| CN106664200B (zh) | 用于控制对资源的访问的方法、计算设备和存储介质 | |
| US20050050330A1 (en) | Security token | |
| US7634665B2 (en) | Apparatus and method for secure field upgradability with unpredictable ciphertext | |
| WO1998045975A9 (en) | Bilateral authentication and information encryption token system and method | |
| WO2000019300A1 (en) | Automatic recovery of forgotten passwords | |
| US7131001B1 (en) | Apparatus and method for secure filed upgradability with hard wired public key | |
| JPH11306088A (ja) | Icカードおよびicカードシステム | |
| JP2003152716A (ja) | 可変認証情報を用いる資格認証方法 | |
| JP2002544690A (ja) | 安全な通信およびアクセス制御のためのシステム、デバイスおよび方法 | |
| JPH09106445A (ja) | 情報記録媒体のキー変更方法および情報記録媒体 | |
| CN113162766B (zh) | 一种密钥分量的密钥管理方法和系统 | |
| WO2023154419A2 (en) | Access control systems and methods for cryptowallets | |
| WO2001033768A2 (en) | Apparatus and method for secure field upgradability |