JP2005516268A - コンピュータシステムを動作させる方法 - Google Patents

コンピュータシステムを動作させる方法 Download PDF

Info

Publication number
JP2005516268A
JP2005516268A JP2003509409A JP2003509409A JP2005516268A JP 2005516268 A JP2005516268 A JP 2005516268A JP 2003509409 A JP2003509409 A JP 2003509409A JP 2003509409 A JP2003509409 A JP 2003509409A JP 2005516268 A JP2005516268 A JP 2005516268A
Authority
JP
Japan
Prior art keywords
badge
individual
computer
volatile memory
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003509409A
Other languages
English (en)
Other versions
JP2005516268A5 (ja
Inventor
セロウッシ、ガディエル
パターソン、ケネス・ジー
マオ、ウェンボ
スミス、マーク・ティ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
HP Inc
Original Assignee
Hewlett Packard Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hewlett Packard Co filed Critical Hewlett Packard Co
Publication of JP2005516268A publication Critical patent/JP2005516268A/ja
Publication of JP2005516268A5 publication Critical patent/JP2005516268A5/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • G06F21/35User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/22Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder
    • G07C9/25Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder using biometric data, e.g. fingerprints, iris scans or voice recognition
    • G07C9/257Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder using biometric data, e.g. fingerprints, iris scans or voice recognition electronically

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Human Computer Interaction (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

バッジを装着することが許可された人からバッジが取外された場合に非動作状態になる耐タンパ性バッジに基づくセキュリティシステムである。バッジは、装着者に関連するセキュリティクリアランス情報を格納する揮発性メモリと、暗号化通信を実行するために十分な電力を有するプロセッサとを有する。バッジはまた、バッジが装着者から取外された場合にセキュリティクリアランス情報をリセットする取付センサも有する。バッジを利用するセキュアデータ処理システムは、管理コンピュータAと、クライアントコンピュータCとを有する。コンピュータAは、バッジが装着者に取付けられた後に、バッジを有する個人のアイデンティティを認証しクリアランス情報を揮発性メモリにロードする、アイデンティティ確認システムを有する。Cコンピュータは、バッジの揮発性メモリの情報にアクセスすることにより、揮発性メモリにおいて指定されたアクセスレベルで装着者に対するアクセスを提供する。

Description

本発明は、セキュアエリアへのアクセスを統制するセキュリティシステムに関し、詳細には、許可された人に取付けられる鍵システムに基づいてアクセスを提供する改良された方法に関する。
以下の論考を簡単にするために、本発明を、コンピュータ等にアクセスする際に使用するセキュリティシステムに関して説明するが、以下の論考から、本発明を他のセキュリティシステムで利用してもよいということが明らかとなろう。
ネットワークにアクセスすることができるコンピュータシステムは、通常、何らかの形態のアクセス制御を利用して、無許可の個人が機密情報にアクセスすることができず、またはネットワークおよび/またはそれに接続されたコンピュータに損害を与えないことを確実にする。セキュアアクセスプロトコルでは、しばしばユーザは、複数のパスワードとプロトコルとを記憶する必要がある。たとえば、ユーザは、ネットワークの端末にログオンするための第1のパスワードと、ネットワークにおける種々のサーバかまたはサーバ内のセキュアディレクトリに対応する異なるパスワードのセットと、種々のソフトウェアプログラムおよび関連ファイルに関するさらに別のパスワードのセットと、を必要とする場合がある。
ログオンおよびアクセス制御プロセスを自動化するために、電子識別カードが使用されてきた。かかるシステムは、ユーザによって提示される個人識別情報を検知する。カードは、コンピュータ端末によってリモートに検知される無線周波数識別(RFID)カードかまたはユーザがリーダを通過させるカードの形態であってもよい。
かかるカードを、ログオンプロセスを自動化するために使用することができるが、それらは、多くのシステムの必要を満足するために十分なセキュリティを提供しない。原理上、カードの信頼性を、カードに問合せるシステムによって確認することができるが、かかるシステムは、必ずしもカードを提示している人を識別することはできない。かかるカードを制御するようになった無許可な人も、システムにアクセスすることができる。
原理上、コンピュータ端末には、カードを提示している人を認証することも可能にするハードウェアを備えることができる。実際に、直接人を識別することができる場合、識別カードは不要である。本技術分野では、網膜スキャン、声紋および指紋に基づく識別システムが既知である。このハードウェアは、端末の各々に存在する必要がある。各端末にかかるハードウェアを設けるコストは、しばしば非常に高い。
各端末に識別ハードウェアを設ける状況においてでさえ、システムはまだ、ユーザが短時間端末を離れる場合に発生する割込みに対処しなければならない。何らかの形態の個人識別情報システムを使用して端末にログオンしたユーザの場合を考慮する。ユーザがログオフすることなく端末を離れる場合、無許可のユーザが、オープンした端末を通してシステムにアクセスすることができる。このため、端末は、ログオン後に許可されたユーザが端末に居続けていることを確定する何らかの方法を有していなければならない。たとえば、ユーザが装着するRFIDカードに周期的に問合せることにより、ユーザがまだ端末にいることを確定することができる。
許可されたユーザが端末との接触を断つと、端末はそれ自体を使用禁止にする必要がある。ユーザが短時間端末を離れたり、または監視システムが周期的問合せのうちの1つにおいてその人を検出することができなかったからである。ユーザが再び端末との接触を開始すると、ログオンプロセスが繰返されなければならない。指紋、網膜スキャン等を通してユーザのアイデンティティ(identity、本人であること)を確認するログオンプロセスには、比較的長い手続きが必要である。このため、コンピュータから離れるかまたは文書を取りに部屋を横切るユーザに対し全ログオンプロトコルを繰返させる可能性があるため、かかるシステムは使用するのにフラストレーションを引起す。
概して、本発明の目的は、改良されたセキュリティシステムを提供することである。
本発明のさらなる目的は、各ワークステーションにおいて費用のかかる個人識別情報ハードウェアを必要とすることなくユーザを認証することができるセキュリティシステムを提供することである。
本発明のさらなる目的は、ユーザが端末を離れたことを検出し、長々とした個人識別情報プロトコルを繰返す必要なくそのユーザを再ログオンすることができるセキュリティシステムを提供することである。
本発明のこれらおよび他の目的は、本発明の以下の詳細な説明と添付図面から当業者には明らかとなろう。
本発明は、バッジを装着することが許可されたユーザからそのバッジが取外された場合に非動作状態になる耐タンパバッジに基づくセキュリティシステムである。バッジは、不揮発性メモリと、揮発性メモリと、プロセッサが生成した信号を送信しバッジによって実行される動作を指定する信号を受信する送受信機と、取付センサと、を備えたデータプロセッサを有する。取付センサは、バッジを装着している人からバッジが取外されたことを検出し、その取外しを検出した場合に、揮発性メモリに格納された情報が読取不能となるようにする。揮発性メモリに格納された情報は、バッジを装着している人に関するセキュリティクリアランスを確定する情報を格納する。また、バッジは、バッジを開く等、バッジにおける無許可な改変を検出するタンパセンサ(tamper sensor)を有してもよい。タンパセンサは、同様に、かかる改変を検出すると、バッジのデータを読取不能にする。バッジは、予測不能な乱数シーケンスを生成するために使用される環境変数を検知するセンサを含む、乱数発生器を有してもよい。この発生器によって生成される乱数を、バッジとデータ処理システムにおける種々のコンピュータとの間のセキュアな通信チャネルを提供するために利用することができる。本発明によるバッジの一実施形態では、バッジは、所定の入来信号が検出されるまで電力を利用する他のアクティビティを縮小しながら入来信号に対して送受信機を監視する、低電力モードを有する。
本発明のバッジを利用するセキュアデータ処理システムは、管理コンピュータAとクライアントコンピュータCとを有する。許可された個人には、その個人に対して固定される本発明によるバッジを提供することにより、Cに対するアクセスを可能にする。コンピュータAは、バッジと通信する送受信機と、バッジが取付けられた個人のアイデンティティを認証するアイデンティティ確認システムと、を有する。コンピュータAは、アイデンティティ確認システムがその個人を認証するのに応答して、その個人に取付けられたバッジの揮発性メモリに情報をロードする。情報は、許可された個人に対して権利が与えられるコンピュータシステムへのアクセスのレベルを指定する。情報を、好ましくは、公開鍵暗号化システムに基づくデータ暗号化を利用してAとバッジとの間で確立されるセキュア通信チャネルによりロードする。バッジにアクセスデータがロードされると、バッジを取外そうとするかまたはバッジを改ざんしようとするいかなる試みによっても、アクセス情報が喪失することになり、バッジがCへのアクセスを提供することができなくなる。Cコンピュータとバッジとは、バッジを装着している人がCコンピュータに近づくと好ましくはセキュアな通信チャネルを確立する。そして、Cコンピュータとバッジとは、Cコンピュータがバッジの揮発性メモリにおける情報にアクセスすることができるようになる前に、互いに認証する。そして、Cコンピュータは、揮発性メモリにおいて指定されたアクセスレベルで、バッジを装着している人へのアクセスを提供する。バッジ装着者がCコンピュータを介して情報にアクセスしている間、Cは、バッジに符号化トランザクションを送信しおよびバッジから符号化トランザクションを受信することにより、バッジの存在を周期的に確認する。
本発明がその利点を提供する方法は、図1を参照してより容易に理解することができる。図1は、11および12で示す端末を有するコンピュータシステムへのアクセスをセキュアにするシステムの概略図である。システムへのアクセスは、アクセスしたいと望むユーザ20が装着するバッジ21によって提供される。バッジ21を、取付けられたバッジが取外されたことをバッジによって検出することができる方法で、ユーザに取付ける。たとえば、バッジ21を、留め金23を含むひも22を介してユーザ20の首の周りに配置することができる。ひも22は、留め金23をはずすかまたはひも22を切断しければ装着者の首から取外すことができないことを確実にするために十分短い。バッジ21は、留め金23を開くかまたはひも22を切断したことを検出するセンサを有する。たとえば、ひも22は、バッジ21によって連続状態が検知される導電ファイバを有してもよい。留め金23が開かれると、この導電経路が切断される。
コンピュータシステムにアクセスするために、ユーザ20は、バッジ21を装着して端末11に近づく。端末11は、ユーザがネットワークの他のワークステーションのうちの1つまたは複数にアクセスするために必要な情報を、バッジ21にロードする。端末11は、ユーザ20のアイデンティティを確認するために利用されるユーザ識別システム14を含む。識別システム14は、声紋、網膜スキャンまたは指紋スキャンを行うために必要なもの等の物理センサを含むことができる。また、識別システムは、ユーザ20にのみ既知の情報を有するデータベースを含むことができ、それは、ユーザ20のみが回答の仕方を知る問合せを生成する際に利用することができる。
端末11によりユーザ20のアイデンティティが確立すると、端末11は、システムの他の端末と後に通信する際にバッジ21が利用する情報を、バッジ21にロードする。以下簡単にするために、種々の端末が、15〜16で示す送受信機によって送受信される赤外線信号を介してバッジ21と通信する、と想定する。後により詳細に説明するように、この情報を、暗号化システムを使用してロードする。これによりシステムの種々の端末と通信することができるように格納された情報に、傍受者がアクセスすることはできなくなる。
ユーザ20に関連する種々のクリアランスをロードすることに加えて、「デイシークレット(day secret)」もバッジ21にロードする。デイシークレットは、毎日変化するコードであり、ワークステーションのすべてに既知である。コードが毎日変化するため、ユーザ21に与えられる許可は、実際には毎日満了する。
バッジ21に、ユーザ20に割当てられる種々のセキュリティクリアランスがロードされると、ユーザ20は、端末12等、ユーザ20にサービスするように許可される端末に近づくことができ、それにアクセスすることができる。各端末は、識別バッジに問合せする送受信機を有する。端末は、その端末を使用する許可を有する有効なバッジを検出すると、ユーザに対し、その端末にログオンすることを可能にし、ユーザの種々のクリアランスをシステム内のサーバに通信する。
当該端末は、バッジ21に周期的に問合せることにより、ユーザがまだ端末にいることを保証する。端末は、バッジとの連絡が途絶えると、ディスプレイのいずれかの材料を「スクリーンセイバー」表示でカバーし、第1のロックモードに入る。このモード中、端末は、周期的に問合せ信号を送信する。バッジが戻ると、端末は短縮されたログオンダイアログを利用してユーザを確認し、ディスプレイを、最初に通信が途絶えた時点の状態に戻す。
ユーザが、第1の所定時間より長く不在となると、端末は、ユーザに制御を戻すためにより詳細なログオンプロトコルを必要とする第2のロックモードに入る。これらの2つの異なるロックモードがある理由については、後により詳細に説明する。ユーザが第2の所定時間より長く不在である場合、端末はシステムからユーザをログオフする。
本発明によるセキュリティシステムの動作の上記概略を提供したが、ここで、バッジの動作と通信プロトコルのより詳細な説明をする。ここで、本発明によるバッジ21の一実施形態のブロック図である、図2を参照する。バッジ21は、プロセッサ31を含み、プロセッサ31は、そのプロセッサによって利用されるオペレーティングシステムを格納するために使用される不揮発性メモリ32を含む。バッジ21はまた、ユーザに対して与えられた「許可」と端末に対してアクセスしそのアクセスを維持するために必要な他の情報とを格納するために使用される、ユーザ証明(certificate)揮発性メモリ33も含む。バッジ21はまた、バッジの不揮発性メモリに格納される識別番号を保持するものとする。
バッジ21は、送受信機34を利用して、種々のコンピュータ端末と通信する。送受信機34は、システムのコンピュータ端末と通信するためにいかなる形態の通信リンクを利用してもよい。本発明の好ましい実施形態では、送受信機34は赤外線リンクを利用するが、無線周波数信号または超音波に基づく通信リンクを利用してもよい。赤外線またはRFリンクは、通常、バッテリによって電力が供給されるバッジ21に対して課す電力要件が最も低いため好ましい。
さらに、バッジ21は、ひも22の連続性の切断を検出するセンサ35を有する。センサ36がひも22の切断を検出すると、メモリ33の内容がプロセッサ31によって消去される。同様に、電源が切れると、メモリ33の内容は喪失する。またバッジ21には、誰かがバッジを開くかまたは他の方法でIDメモリ33の内容にアクセスしようとする場合に、メモリ33の内容を喪失されるようにする、センサ38などの他の形態の「タンパ(改ざん)」センサを備えることができる。このため、バッジ21が取外されるか、電源が切れるかまたは改ざんされる場合はいつでも、バッジ21を自動的にリセットする。
バッジが端末11によってロードされる前にバッジをユーザに取付けられたことを、すべてのユーザが端末11に達する前に通過しなければならない場所に配置されたセキュリティ要員が確認することができる。かかる確認により、ユーザが、バッジを取付けていない時に留め金23を閉じ、その後ユーザ自身とバッジとをロードのために端末11に提示することが防止される。
上述したように、種々の端末とバッジ21との間の通信を、傍受から保護しなければならない。かかる通信をセキュアにするデータ暗号化プロトコルは、当業者には既知であり、したがってここでは詳細には論考しない。この論考の目的で、端末11と各バッジとが、それらが、端末11と当該特定のバッジとにのみ既知である、「k」で示す「シークレット」を生成することができるようにするプロトコルを有すると想定する。たとえば、かかるシークレットを生成するために、Diffie-Hellmanプロトコルの楕円曲線バージョンを利用してもよい。種々の暗号法アルゴリズムのより詳細な論考のためには、Menezes、van Oorschotおよび VanstoneによるHandbook of Applied Cryptography (CRC Press、1997)と、Blake、 SeroussiおよびSmartによるElliptic Curves in Cryptography (Cambridge University Press、2000)と、を参照されたい。
上述のように、本発明の識別バッジにはバッテリによって電力を供給するのが好ましい。その他本発明によるバッジを、バッジと対話するコンピュータ端末からの入射光、RFまたは聴覚信号から電源が切れるようにできる。いずれの場合も、電力は高価であり、そのためバッジにおけるプロセッサの計算速度は極めて制限される。Diffie-Hellmanプロトコル等のセキュリティプロトコルは計算を要し、そのため、ログオンプロセスとそれに続くバッジ21とユーザ端末との間のデータ転送とには、数秒または場合によっては数分必要な場合がある。この大きさの一時的な遅延は、ユーザが最初に識別バッジをロードするかまたはバッジを使用して端末にログオンする場合には許容可能であるが、バッジと端末との間の通信が途切れる度に発生するこの大きさの繰返される遅延は、許容不可能である。
本発明の好ましい実施形態では、一旦ユーザがよりセキュアなコードシステムを使用して認証されると、端末におけるユーザの存在を確認する第2のそれほど計算を要さないアルゴリズムを使用することにより、これらの遅延を回避する。このプロトコルを、バッジのプロセッサのレベルによってずっと高速に実行することができ、したがって、上述した許容不可能な遅延が回避される。
端末とバッジとの間で情報が交換される方法を概説したが、ここで好ましい通信プロトコルをより詳細に説明する。以下の論考を簡略化するために、通信プロトコルを、特定の暗号化手続きおよびコンピュータ構成を参照して説明するが、本発明の教示から逸脱することなく他の符号化システムを利用してもよい。
ここで、病院での設定を考える。ここでは、患者治療レコード等の機密レコードに対する制御されたアクセスを臨床医に提供し、その一方で患者治療レコードの機密性を保護する。各臨床医は、上述したものと同様のバッジを装着する。バッジには、以下の論考においてCredとして示す臨床医アイデンティティ情報が書き込まれている。この情報を、上述したようにバッジの揮発性メモリに格納する。特に、バッジは、割当てられている臨床医から取外されるとすぐに自動的にCredを消去し非動作状態になる。
バッジを、臨床医に物理的に取付け、バッジと上述した端末11等の管理コンピュータとの間の認証プロトコルを実行するという動作により、起動する。起動プロトコル中、管理コンピュータは、臨床医の網膜をスキャンすることによって臨床医のアイデンティティを確認する。認証プロトコルの最後に、バッジにCredをロードし、それによってバッジを起動する。
バッジは、動作状態である(すなわち臨床医が装着した状態の)間、臨床医のコンピュータのうちの1つまたは複数(Cと示す)と、臨床医がコンピュータに向いCとバッジとのポートから構成される赤外線通信リンクの範囲内にある時はいつでも、それらとの通信のセキュアなセッションを確立することができる。バッジとCとの間のこれらのセキュアな通信のセッションは、第2のプロトコルの一部であり、「レコード」プロトコルと呼ぶ。
上述したように、バッジ電源は非常に制限されており、そのため、システムを、好ましくは、バッジ電源に対する需要を最小化するようにセットアップする。後述する種々のプロトコルを実行することに加えて、バッジは、管理コンピュータとCコンピュータとの存在を検出できなければならない。さらに、バッジは、これらのコンピュータとのやりとり中にそれらに対しその連続した存在を通知することができなければならない。本発明の好ましい実施形態では、バッジは、通信リンク上の信号を待機する「休止」状態を有し、応答を必要とする信号が検出された場合に「ウェークアップ」する。この待機アクティビティと揮発性メモリおよび改ざん検出回路への電力の供給等の他の管理維持機能とを除き、休止状態ではバッジの他の電力消費機能はオフとなる。
バッジは、ユーザに取付けられた後、休止状態に入る。管理コンピュータを、その送受信機が、バッジを起動する用意ができていることを示す周期的ログイン信号を送信するように、プログラムされる。このログイン信号は、バッジを、休止状態にある時に検出するようにプログラムされた信号のうちの1つである。装着者がコンピュータに近づくと、装着者のバッジは、ログイン信号を検出し、装着者がCコンピュータにログオンすることができるようにバッジにCredがロードされ起動される起動プロトコルのために、ウェークアップする。起動プロトコルが完了すると、バッジは再び休止状態に戻る。
Cコンピュータの各々はまた、新たなユーザを自由にログインすることができそのようにする用意ができると、周期的ログイン信号を送信する。この第2のログイン信号はまた、休止状態のバッジによって検出される信号のうちの1つである。バッジ装着者がCコンピュータに近づくと、バッジは、ログイン信号を検出し、休止状態から切替って後述するログインプロトコルに携わる。
Cコンピュータ送受信機を、Cコンピュータログインプロトコルの最後に、休止状態のバッジによって認識される第3の信号を送信するようにプログラムする。この信号を、ユーザがまだ端末にいることを確認するために使用する。バッジを、特定の肯定応答信号を返すことによりこの信号に応答するようにプログラムする。この通信は、休止状態動作の一部かまたは第2の低電力状態の一部であってもよい。
バッジが上述した確認信号に肯定応答しない場合、Cコンピュータは、休止または低電力状態のバッジによって認識される第4の信号を送信することにより、再ログイン手続きを開始する。この信号を、バッジがそれに応じて応答するかまたは所定時間が経過するまで繰返す。バッジが後述するプロトコルに従って応答すると、Cコンピュータは、確認信号を再開する。バッジが適当に応答しない場合、ユーザを端末からログオフし、Cコンピュータは、Cコンピュータログイン信号を送信するモードに入る。
本発明の好ましい実施形態で使用するプロトコルは、以下の仮定に基づく。第一に、バッジは、シーケンスを予測することができない、適当な自然法則に従う乱数源を有する。バッジは、楕円曲線点乗算等のそれほど計算集約的でない公開鍵暗号化動作を実行し、官報において発表されているようなSecure Hash Standard(セキュアハッシュ標準)で利用されるハッシュ関数SHA−1を生成することができる。
第二に、管理コンピュータは、物理的にセキュア(secure)な場所(たとえば、病院の入口)にある。Cコンピュータは、プライベートな部屋にあるワークステーションである。このプライベートな部屋は、警備に調べられることなく偽物に置換えることができるという点でセキュアではない。管理コンピュータとCコンピュータとは、ネットワークによって接続される。このネットワークにより、管理コンピュータとCコンピュータが、AとCとをリンクするセキュリティドメインを共有することができ、Aがセキュアな手段を介してDSとして示す「デイシークレット」を共有することができる。従来のネットワークオペレーティングシステムは、この種のセキュリティを提供する。従って本発明のこの態様について、ここではこれ以上論考しない。セキュリティドメインに管理コンピュータの複数のコピーがある場合、これらの管理コンピュータは、Cに伝播する前のDSに一致する。
第三に、管理コンピュータとバッジとの間で実施される認証プロトコルにおいて、管理コンピュータは、セキュアであると想定される。したがって別のコンピュータに置換えられた可能性はないので、Bに対してそれ自体を認証する必要はない。このように仮定すると、管理コンピュータを認証する(たとえば、管理コンピュータの証明書および署名を確認することによる)ための処理能力が制限されたバッジに対して計算負荷が減る。しかしながら、バッジは常に、管理コンピュータとCコンピュータとに対して、それ自体を認証する必要がある。さらに、各Cコンピュータは、臨床医の個人部屋にあるワークステーションである可能性があり偽物と容易に置換えることができるので、バッジに対してそれ自体を認証しなければならない。
最後に、不正な臨床医が医療レコードを無許可な方法で開示したいと望んでも、システムは、開始される攻撃を防止しようとはしない。かかる臨床医は、現医療レコードシステムにおいて不法な使用のために医療レコードを盗用することができる。
各バッジは、IDで示す公開された「ユーザ名」を有する。バッジの不揮発性メモリには、PWDで示す、対応する非公開の「パスワード」を格納する。本発明の好ましい実施形態では、ID=SHA−1(PWD)であり、ここでSHA−1は、セキュアなハッシュ関数を示す。PWDが、IDを生成するためにすべてのあり得るPWDを探索するように意図された辞書攻撃を実行不可能にするために十分大きいものと想定する。
管理コンピュータとCコンピュータとはともに、許可されたバッジのIDのリストを含む「バッジファイル」を有する。
認証プロトコル中、後述するように、「KEY」と示す鍵を定義する。その鍵に基づく後続する暗号化通信を以下のように実行する。暗号化されるメッセージMを、固定長ブロックM(I=0、1、…)に分割する。各ブロックのビットの数を、鍵のサイズによって確定する。ブロックMのビットを、同じサイズの暗号化シーケンスK(K=SHA−1(KEY+1))のものと排他的論理和をとる。結果としてのビットストリームを、E(KEY,M)で示す。KEYを知る者は、SHA−1計算の同じシーケンスを生成しXOR演算の同じシーケンスを適用することによってE(KEY,M)を復号化することができる。
ここで、バッジとコンピュータとの両方によってKEYが導出される方法を、より詳細に説明する。Cコンピュータとバッジとの間では、管理コンピュータとバッジコンピュータとの間と同じ手続きを利用する。バッジと種々のコンピュータとの両方が、楕円曲線とその曲線に基づく算術演算とを指定するパラメータを格納する。鍵生成プロトコルは、バッジが乱数「n」を生成し、暗号化されていないその数を、以下の論考ではAで示す管理コンピュータであってもコンピュータCであってもよい、受取側コンピュータXに送信することによって開始する。
バッジ→X: (n)
X=Aである場合、これは主に「私はここにいる」という信号を送ることであるが、X=Cである場合、それはチャレンジとして扱われる。次に、Xは、符号化していないシーケンスを以下のようにバッジに返信することによって応答する。
X→バッジ:
X=Aの場合 (P,[a]P)
X=Cの場合 (P,[a]P,SHA−1(DS,n,[a]P)
ここで、SHA−1(S1,S2,…,SN)は、任意の正の数の文字列に対し文字列S1、S2、…SNの連結に適用されたSHA−1を示し、Pは、楕円曲線における乱数ベース点である。ここで、「a」は、Xによって生成された乱数であり、[a]Pは、従来の楕円Diffie-Hellman暗号化アルゴリズムにおいて定義されるような点Pを[a]倍したものに対応する、楕円曲線上の点を示す。次に、バッジは乱数bを生成し、鍵KEY=x([b][a]P)(x(Q)は点Qのx座標を示す)を計算する。
X=Cである場合、バッジはまた、第2段階においてSHA−1(DS,n,[a]P)の正しい値が返されたか否かを検査する。バッジは、起動された時にAからダウンロードされたDSを有することに留意すべきである。正しい値が受取られない場合、バッジは、臨床医にエラーを通知し、プロトコルを中止する。すべてが正しい場合、バッジは、シーケンス([b]P,ID,T=E(KEY,PWD))を送信する。この時点でバッジがKEYを知っていることに留意しなければならない。それは、バッジが、[a]Pを受取りbを生成した後、KEY=[b][a]pを計算したためである。本発明の好ましい実施形態では、伝送において[b]PがTに先行するため、バッジの送信後、Xもまた鍵を生成しT=E(KEY,…)を復号化することができ、Xはまた、IDとそれらの対応するパスワードとのテーブルを使用して、IDの妥当性とPWDがIDに一致することと、を確認する。
Xが管理コンピュータAである場合、管理コンピュータが臨床医のアイデンティティを確認しその臨床医に関連する信用情報を確定した後、鍵生成手続きが実行される。Aがこの情報を確認しAおよびバッジがKEYに関して合意すると、Aは、シーケンスE(KEY+1,Cred)とE(KEY+2,DS)とをバッジに送信する。そして、バッジは、CredとDSとを復号化し、それらをバッジの揮発性メモリに格納する。この時点でバッジが起動される。
起動されたバッジをもつ臨床医がCコンピュータのうちの1つに近づくと、バッジとCコンピュータとは、上述したプロトコルを使用して、鍵KEY’で一致する。そしてBはそのCredをCにシーケンスE(KEY‘+1,Cred)で送信する。コンピュータCは、このシーケンスを解読してCredを取得する。有効である場合、臨床医はアクセスできる。
上述したように、臨床医のバッジとCとの間のリンクが中断された場合、バッジおよびCもまた、チャレンジ−レスポンスを実行する迅速な方法が必要になる。臨床医が画面から移動するかまたは自身の椅子を回転させることにより、赤外線リンクが失なわれるからである。以下のアルゴリズムは、バッジの計算上の制約が与えられる許容可能な時間に達成することができるかかるチャレンジ−レスポンスメカニズムを提供する。
バッジBは、そのCとのログオン交換を完了すると、以下のシーケンスを実行する。
i=1を設定
=KEY’+2
Bは乱数rを生成する。
BはCにメッセージSHA−1(r,r)を送信する。
Cは、メッセージを受信し、カウンタj=1を初期化し、r=KEY’+2を計算する。そして、Cは、肯定応答メッセージAckをBに送信する。BがAckを受信すると、CとBとの両方の観点からログインが完了する。
そして、CおよびBは、コネクション検知モードに入る。ここで、Cはチャレンジ信号を送信しBが応答する。チャレンジ−レスポンスは、電力を節約するための簡単な非暗号化信号であり得る。Cは、所定時間内にそのチャレンジのうちの1つに対する応答を検出しない場合、第2のチャレンジ信号を繰返し送信する。Cが適当なレスポンスを後述するように受信するかまたは所定時間が経過するまで続く。時間が経過すると、Cは臨床医を端末からログオフし、バッジからのログイン要求を待機するレディモードに入る。
Bは、第2のチャレンジ信号のうちの1つを検出すると、以下のシーケンスを実行する。
Bはiをインクリメントする、すなわちi=i+1
Bは乱数rを生成する
BはCにメッセージ(r_{i−1},SHA−1(r,r))を送信する。
Bは、このメッセージの肯定応答を受信すると、そのコネクション検知モードに戻る。Bは、別の第2のチャレンジ信号を受信すると、メッセージを繰返す。
Cは、第2のチャレンジ信号を発行すると、Bからのレスポンスを待機する。j=1である場合、Cは、Cからのメッセージの受信時に以下のシーケンスを実行する。
=KEY’+2
SHA−1(r,r)を受信
jをインクリメント
メッセージの受信に肯定応答しメッセージを格納する。
j=2である場合、Cは、(r,SHA−1(r、r))を受信し、最後のステップからのメッセージが実際にSHA−1(r,r)に等しかったか否かをチェックする。等しかった場合、Cはメッセージに肯定応答し、新たに受信したメッセージを格納し、コネクション検知モードに戻る。
j>2である場合、Cは、以下のアルゴリズムを実行する。
jをインクリメント、すなわちj=j+1
(r_{i−1},SHA−1(r,r))を受信
Cは、ラウンドj−1におけるメッセージの第2の部分がSHA−1(r_{i−1},r)に等しいか否かをチェックする。メッセージが正しい場合、Cは、Bに対して肯定応答を送信し、新たに受信したメッセージを格納し、コネクションモードに戻る。バッジはCから肯定応答を受信しなければiをインクリメントせず、Cはかかる肯定応答をバッジに送信しなければjをインクリメントしないため、iおよびjの値のシーケンスが同期したままである、ということに留意しなければならない。
上記実施例は、特定の通信プロトコルと暗号化技術を利用するが、当業者には、先の論考から、他のプロトコルおよび暗号化技術を利用してもよい、ということが明らかとなろう。概して、本発明では、バッジおよび装着者が管理コンピュータによって認証されること、バッジが、取外しの検出を可能にする改ざん検知メカニズムにより装着者に取付けられること、とが必要である。これらの要素が認証されると、管理コンピュータはバッジに装着者の信用情報をロードし、後のいかなる改ざんによっても、ロードされた情報が消去される。
管理コンピュータとバッジ装着者との間のやり取りに必要なセキュリティのレベルは、管理コンピュータを包囲するセキュリティのレベルとバッジ装着者の誠実さの程度とによって決まる。たとえば、バッジ装着者が誠実であると想定することができる場合、システムは、装着者が交換を記録することを防止する必要はない。これにより、第三者がバッジと端末との間の交換において傍受する可能性のみが残る。管理コンピュータが、かかる傍受に関してセキュアな場所にある場合、交換を暗号化する必要はまったくない。
一方、バッジ装着者を信用することができない場合、傍受される心配のない暗号化プロトコルを利用しなければならない。この場合、コンピュータおよびバッジにより、メッセージを暗号化するために後に使用する鍵を生み出すために、いかなる適当な公開または秘密鍵暗号化システムを使用してもよい。秘密鍵システムを利用する場合、システムを、鍵をバッジから抽出することができないことを確実にするように構成しなければならない。たとえば、バッジは、改ざんが検出された場合に鍵情報を消去するタンパセンサを有してもよい。
同様に、Cコンピュータとバッジとの間の交換に必要なセキュリティのレベルは、情報の価値と装着者の信頼性とによって決まる。概して、Cコンピュータはセキュアではないと想定されるため、バッジとCコンピュータとは、互いに認証する必要がある。しかしながら、Cコンピュータがセキュアである場合、バッジのみをCコンピュータによって認証すればよい。バッジとCコンピュータとの間の通信に関するプライバシーを保証するために必要なセキュリティのレベルもまた、これらの通信を監視することができる容易さによって決まる。傍受の可能性がある場合、認証の交換において適当な公開または秘密鍵暗号化システムを利用しなければならない。同様に、バッジとの喪失したリンクを再確立するためにCコンピュータにおいて利用される二次プロトコルを、バッジ装着者とCとの間のセッションを開始するために使用されるログインプロトコルより計算集約的でないいかなる適当なセキュアプロトコルによって置換えてもよい。
上述したように、システムは、いかなるタイプの送受信機を使用してバッジと関連するコンピュータ端末との間の通信リンクを生成してもよい。しかしながら、赤外線センサが、必要な電力が比較的小さく、RFリンク等の他のタイプの通信リンクと比べて高いセキュリティを提供するため、好ましい。傍受者は、バッジおよび端末が動作している小部屋または部屋の外の場所からRF信号を監視することができる。一方、光ベースのシステムでは、傍受者は、端末の送受信機とバッジの送受信機との両方に対する妨害のない見通し線を有することが必要である。
本発明の上述した実施形態は、システムをさらにセキュアにするためにデイシークレットDSを利用した。しかしながら、この機能のために、そのコードの知識を無用にするのに十分な間隔で周期的に変更されるいかなるコードを利用してもよい。
本発明の上述した実施形態は、人間の体からのバッジの取外しを検出するために取付ひもにおいてセンサを利用した。しかしながら、当業者には、先の論考から、この機能のために他の形態の検知を利用してもよい、ということが明らかとなろう。たとえば、バッジは、バッジがまだ許可された個人の体に装着されていることを確かめるために、何らかの形態の生物測定学的な測定を利用してもよい。この機能のために、体熱または脈を検出するセンサを利用してもよい。
本発明のバッジは、特定の個人には永久的には関連せず、したがって、従業員は自身のバッジを家に持って帰る必要はない。バッジを、必要な場合に部署Aに近い大きいかごから取出し、一日の終りにそのかごに戻すことができる。このため、バッジを紛失するかまたは破損することに関連するコストおよび不便が大幅に低減される。
当業者には、上述した説明と添付図面とから本発明の種々の変更が明らかとなろう。したがって、本発明は、添付の特許請求項の範囲によってのみ限定されるものである。
複数の端末を有するコンピュータシステムへのアクセスをセキュアにするシステムの概略図。 本発明によるバッジ21の一実施形態のブロック図。

Claims (12)

  1. ネットワークによって接続された管理コンピュータAおよびクライアントコンピュータCを有する複数のコンピュータを含むコンピュータシステムを動作させる方法であって、
    不揮発性メモリと、揮発性メモリと、該バッジによって利用される信号を送受信する送受信機と、該バッジが前記個人から取外されたことを検出する取付センサとを有するデータ処理システムを含むバッジを、許可された個人に提供するステップを含み、前記取付センサは、前記取外しを検出した場合に、前記揮発性メモリに格納された情報を読取不可能にするよう構成されており、
    前記管理コンピュータAに、前記バッジのうちの1つと通信する送受信機および該個人のアイデンティティを認証するアイデンティティ確認システムを提供するステップと、
    前記管理コンピュータAに、前記個人を認証する前記アイデンティティ確認システムに応答して、該個人に取付けられた前記バッジの前記揮発性メモリに情報をロードさせるステップを含み、該情報は、前記許可された個人が権利を与えられている前記コンピュータシステムに対するアクセスのレベルを特定する、前記方法。
  2. 前記Aに対し情報をロードさせるステップは、
    Aと該バッジとの前記送受信機によって送受信される信号を暗号化することによって、Aと前記バッジとの間のセキュア通信チャネルを確立するステップと、
    前記情報を前記セキュア通信チャネルで送信するステップと、
    を含む、請求項1に記載の方法。
  3. 前記アイデンティティ確認システムは、前記個人の網膜を、該個人の網膜に対する先の測定から導出されたデータと比較する、請求項1に記載の方法。
  4. 前記アイデンティティ確認システムは、前記個人の指紋を、該個人の指紋に対する前の測定から導出されたデータと比較する、請求項1に記載の方法。
  5. 前記アイデンティティ確認システムは、前記個人の声を、該個人の声に対する前の測定から導出されたデータと比較する、請求項1に記載の方法。
  6. 前記アイデンティティ確認システムは、前記個人に対してポストされた問合せに対する回答を、該個人によって先に提供されたデータと比較する、請求項1に記載の方法。
  7. Cに対し、前記個人に取付けられた前記バッジと通信する送受信機を提供するステップと、
    前記バッジの前記揮発性メモリにAによって格納されたデータから導出されるデータを受信することにより、該バッジの信頼性を、Cに確認させるステップと、
    前記個人に前記ネットワークへのアクセスを、Cに提供させるステップを含み、該アクセスは、前記バッジに格納された前記データに依存する、請求項1に記載の方法。
  8. Cは、前記バッジとの間で信号を送受信することにより、前記個人の存在を周期的に確認する、請求項7に記載の方法。
  9. Cは、前記確認ステップ中に第1のセキュアコードを利用して前記バッジとデータを交換する、請求項8に記載の方法。
  10. Cは、第2のセキュアコードを利用して前記個人の存在を確認し、該第2のセキュアコードは、前記第1のセキュアコードより必要な計算資源が少ない、請求項9に記載の方法。
  11. 前記第2のセキュアコードは、前記第1のセキュアコードによって決まり、Cが前記個人の存在を確認する度に変化する、請求項10に記載の方法。
  12. Aによって前記バッジにロードされた前記情報には、周期的に変更されるコードが含まれる、請求項1に記載の方法。

JP2003509409A 2001-06-29 2002-06-27 コンピュータシステムを動作させる方法 Pending JP2005516268A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US09/896,796 US6836843B2 (en) 2001-06-29 2001-06-29 Access control through secure channel using personal identification system
PCT/US2002/020577 WO2003003315A2 (en) 2001-06-29 2002-06-27 Access control through secure channel using personal identification system

Publications (2)

Publication Number Publication Date
JP2005516268A true JP2005516268A (ja) 2005-06-02
JP2005516268A5 JP2005516268A5 (ja) 2006-01-12

Family

ID=25406859

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003509409A Pending JP2005516268A (ja) 2001-06-29 2002-06-27 コンピュータシステムを動作させる方法

Country Status (4)

Country Link
US (1) US6836843B2 (ja)
EP (1) EP1399895A2 (ja)
JP (1) JP2005516268A (ja)
WO (1) WO2003003315A2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009145980A (ja) * 2007-12-11 2009-07-02 Toshiba Tec Corp ワークスケジュール管理装置

Families Citing this family (78)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001041032A1 (en) 1999-11-30 2001-06-07 David Russell Methods, systems, and apparatuses for secure interactions
US7069444B2 (en) * 2002-01-25 2006-06-27 Brent A. Lowensohn Portable wireless access to computer-based systems
US7590861B2 (en) 2002-08-06 2009-09-15 Privaris, Inc. Methods for secure enrollment and backup of personal identity credentials into electronic devices
JP4111810B2 (ja) * 2002-11-28 2008-07-02 富士通株式会社 個人認証端末、個人認証方法及びコンピュータプログラム
JP2004234331A (ja) * 2003-01-30 2004-08-19 Toshiba Corp 情報処理装置および同装置で使用されるユーザ操作制限方法
US8281374B2 (en) * 2005-09-14 2012-10-02 Oracle International Corporation Attested identities
US9781154B1 (en) 2003-04-01 2017-10-03 Oracle International Corporation Systems and methods for supporting information security and sub-system operational protocol conformance
US10063523B2 (en) * 2005-09-14 2018-08-28 Oracle International Corporation Crafted identities
US10275723B2 (en) 2005-09-14 2019-04-30 Oracle International Corporation Policy enforcement via attestations
EP1629460B1 (en) 2003-05-30 2015-05-13 Apple Inc. An electronic device, a method and a computer-readable storage medium
US8468330B1 (en) 2003-06-30 2013-06-18 Oracle International Corporation Methods, systems, and data structures for loading and authenticating a module
CN101115072B (zh) 2003-07-28 2012-11-14 索尼株式会社 信息处理设备和方法
US20050044505A1 (en) * 2003-08-19 2005-02-24 Laney Clifton W. Creating an opaque graphical user interface window when a display unit is in an off state
TWI227400B (en) * 2003-10-28 2005-02-01 Primax Electronics Ltd Security system and method for protecting computer system
US7463142B2 (en) * 2003-12-30 2008-12-09 Kimberly-Clark Worldwide, Inc. RFID system and method for tracking environmental data
US7613842B2 (en) * 2004-02-17 2009-11-03 Microsoft Corporation Modular, attachable objects with tags as intuitive physical interface facilitating user interaction with a computer
US20050204144A1 (en) * 2004-03-10 2005-09-15 Kabushiki Kaisha Toshiba Image processing apparatus and personal information management program
JP2005309844A (ja) * 2004-04-22 2005-11-04 Ntt Docomo Inc 管理システム及び管理方法
WO2005119608A1 (en) * 2004-06-03 2005-12-15 Tyfone, Inc. System and method for securing financial transactions
US20050269402A1 (en) * 2004-06-03 2005-12-08 Tyfone, Inc. System and method for securing financial transactions
US7464862B2 (en) 2004-06-15 2008-12-16 Quickvault, Inc. Apparatus & method for POS processing
US7142119B2 (en) * 2004-06-30 2006-11-28 Sap Ag Monitoring and alarm system
US20060015752A1 (en) * 2004-07-16 2006-01-19 Promega Corporation Memory having RFID tag, decryption technique for use with the memory, and memory reader or writer for use with the memory
US7460692B2 (en) * 2004-09-10 2008-12-02 Kabushiki Kaisha Toshiba Image forming apparatus
US7613927B2 (en) * 2004-11-12 2009-11-03 Raritan Americas, Inc. System for providing secure access to KVM switch and other server management systems
US7696883B2 (en) * 2005-01-17 2010-04-13 Canon Kabushiki Kaisha Resonance tag, method of reversibly changing resonance characteristics of resonance circuit, and capacitive element
US20060202824A1 (en) * 2005-02-04 2006-09-14 Container Security Inc. Electronic seal and method of shipping container tracking
US7581678B2 (en) * 2005-02-22 2009-09-01 Tyfone, Inc. Electronic transaction card
US7213768B2 (en) * 2005-03-16 2007-05-08 Cisco Technology, Inc. Multiple device and/or user association
CA2592749C (en) 2005-03-24 2015-02-24 Privaris, Inc. Biometric identification device with smartcard capabilities
US20060226217A1 (en) * 2005-04-07 2006-10-12 Tyfone, Inc. Sleeve for electronic transaction card
US20070143529A1 (en) * 2005-04-28 2007-06-21 Bacastow Steven V Apparatus and method for PC security and access control
US7913900B2 (en) * 2005-05-31 2011-03-29 Catalina Marketing Corporation System of performing a retrospective drug profile review of de-identified patients
US7309001B2 (en) * 2005-05-31 2007-12-18 Catalina Marketing Corporation System to provide specific messages to patients
US20070006298A1 (en) * 2005-06-30 2007-01-04 Malone Christopher G Controlling access to a workstation system via wireless communication
US7607014B2 (en) * 2005-06-30 2009-10-20 Hewlett-Packard Development Company, L.P. Authenticating maintenance access to an electronics unit via wireless communication
US7805615B2 (en) * 2005-07-15 2010-09-28 Tyfone, Inc. Asymmetric cryptography with user authentication
US8189788B2 (en) * 2005-07-15 2012-05-29 Tyfone, Inc. Hybrid symmetric/asymmetric cryptography with user authentication
US8477940B2 (en) * 2005-07-15 2013-07-02 Tyfone, Inc. Symmetric cryptography with user authentication
US8127142B2 (en) * 2005-09-09 2012-02-28 University Of South Florida Method of authenticating a user on a network
CA2640261A1 (en) 2006-01-26 2007-08-09 Imprivata, Inc. Systems and methods for multi-factor authentication
US8011013B2 (en) 2006-07-19 2011-08-30 Quickvault, Inc. Method for securing and controlling USB ports
US7991158B2 (en) * 2006-12-13 2011-08-02 Tyfone, Inc. Secure messaging
ATE517406T1 (de) * 2007-05-22 2011-08-15 Skidata Ag Verfahren zur zutrittskontrolle zu einer sportanlage
US8799020B2 (en) * 2007-06-06 2014-08-05 Catalina Marketing Corporation POS printing triggered by pharmacy prescription orders
US20090006846A1 (en) * 2007-06-27 2009-01-01 Apple Inc. Bluetooth device as security access key
US10664815B2 (en) * 2007-09-17 2020-05-26 Catalina Marketing Corporation Secure customer relationship marketing system and method
US8782775B2 (en) 2007-09-24 2014-07-15 Apple Inc. Embedded authentication systems in an electronic device
US9741027B2 (en) 2007-12-14 2017-08-22 Tyfone, Inc. Memory card based contactless devices
US8826037B2 (en) * 2008-03-13 2014-09-02 Cyberlink Corp. Method for decrypting an encrypted instruction and system thereof
US8086688B1 (en) 2008-05-16 2011-12-27 Quick Vault, Inc. Method and system for mobile data security
US8451122B2 (en) 2008-08-08 2013-05-28 Tyfone, Inc. Smartcard performance enhancement circuits and systems
US7961101B2 (en) 2008-08-08 2011-06-14 Tyfone, Inc. Small RFID card with integrated inductive element
WO2010099093A1 (en) 2009-02-24 2010-09-02 Tyfone, Inc. Contactless device with miniaturized antenna
US8836530B1 (en) * 2011-06-21 2014-09-16 Google Inc. Proximity wakeup
WO2013058781A1 (en) * 2011-10-18 2013-04-25 Intel Corporation Methods, systems and apparatus to facilitate client-based authentication
US20130127615A1 (en) * 2011-11-14 2013-05-23 Ultraclenz, Llc Sanitization compliance monitoring system with security enhancements
CN106133748B (zh) 2012-05-18 2020-01-31 苹果公司 用于基于指纹传感器输入来操纵用户界面的设备、方法和图形用户界面
US9722999B2 (en) 2013-02-25 2017-08-01 Assa Abloy Ab Secure access to secure access module-enabled machine using personal security device
DE102013205729A1 (de) * 2013-03-28 2014-10-02 Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V. Vorrichtung und Verfahren mit einem Träger mit Schaltungsstrukturen
US9134794B2 (en) * 2013-08-20 2015-09-15 Kabushiki Kaisha Toshiba System to identify user and device the user is intending to operate
US20150287295A1 (en) 2014-04-02 2015-10-08 Tyco Fire & Security Gmbh Smart Emergency Exit Signs
WO2016040942A1 (en) 2014-09-12 2016-03-17 Quickvault, Inc. Method and system for forensic data tracking
WO2016068978A1 (en) 2014-10-31 2016-05-06 Hewlett-Packard Development Company, L.P. Power-loss protection
US9831724B2 (en) 2014-12-02 2017-11-28 Tyco Fire & Security Gmbh Access control system using a wearable access sensory implementing an energy harvesting technique
US9697657B2 (en) * 2014-12-24 2017-07-04 Intel Corporation Techniques for access control using wearable devices
WO2016178085A1 (en) * 2015-05-01 2016-11-10 Assa Abloy Ab Invisible indication of duress via wearable
US11140171B1 (en) 2015-06-05 2021-10-05 Apple Inc. Establishing and verifying identity using action sequences while protecting user privacy
US10868672B1 (en) 2015-06-05 2020-12-15 Apple Inc. Establishing and verifying identity using biometrics while protecting user privacy
WO2017052643A1 (en) 2015-09-25 2017-03-30 Hewlett Packard Enterprise Development Lp Associations among data records in a security information sharing platform
WO2017062038A1 (en) 2015-10-09 2017-04-13 Hewlett Packard Enterprise Development Lp Privacy preservation
WO2017062037A1 (en) * 2015-10-09 2017-04-13 Hewlett Packard Enterprise Development Lp Performance tracking in a security information sharing platform
US9710978B1 (en) * 2016-03-15 2017-07-18 Tyco Fire & Security Gmbh Access control system using optical communication protocol
US9824559B2 (en) 2016-04-07 2017-11-21 Tyco Fire & Security Gmbh Security sensing method and apparatus
EP3550475A1 (en) 2018-04-06 2019-10-09 Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V. Puf-film and method for producing the same
EP3550623B1 (en) 2018-04-06 2020-07-29 Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V. Puf-film and method for producing the same
EP3550466B1 (en) 2018-04-06 2023-08-02 Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V. Puf-film and method for producing the same
FR3080533A1 (fr) 2018-04-27 2019-11-01 Enterosys Utilisation de l'il-6 pour le traitement du diabete

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE2740849A1 (de) 1977-09-10 1979-03-22 Bayer Ag Verfahren zur herstellung von halogenvinylsubstituierten tetrahydrofuran-2-onen
US5202550A (en) * 1986-10-23 1993-04-13 Skidata Computer Gesellschaft M.B.H. Device for machine communication in data transmission
US4980679A (en) * 1987-07-17 1990-12-25 Klaubert Earl C Time varying identification badge
US5130519A (en) * 1990-01-16 1992-07-14 George Bush Portable pin card
DE4015482C1 (en) * 1990-05-14 1991-07-25 Competence Center Informatik Gmbh, 4470 Meppen, De User authenticating system for data processing terminal - contactlessly interrogates identification disc worn by user
JP2690229B2 (ja) * 1991-11-26 1997-12-10 三菱電機株式会社 非接触icカード
US5621384A (en) * 1993-07-26 1997-04-15 K And M Electronics, Inc. Infrared communicating device
US6011858A (en) * 1996-05-10 2000-01-04 Biometric Tracking, L.L.C. Memory card having a biometric template stored thereon and system for using same
US5796827A (en) * 1996-11-14 1998-08-18 International Business Machines Corporation System and method for near-field human-body coupling for encrypted communication with identification cards
US6346886B1 (en) * 1996-12-20 2002-02-12 Carlos De La Huerga Electronic identification apparatus
DE19706494C2 (de) 1997-02-19 2000-09-14 Mobiltrading & Financing Ansta Berührungsloses Anmeldesystem für Computer
US5960085A (en) * 1997-04-14 1999-09-28 De La Huerga; Carlos Security badge for automated access control and secure data gathering
US6104913A (en) * 1998-03-11 2000-08-15 Bell Atlantic Network Services, Inc. Personal area network for personal telephone services
DE19832671C2 (de) * 1998-07-21 2001-11-29 Skidata Ag Elektronischer Datenträger
ATE344948T1 (de) * 1999-09-28 2006-11-15 Swatch Ag Verfahren zur zugangsberechtigung zu rechneranwendungen
JP2001144661A (ja) * 1999-11-17 2001-05-25 Sony Corp データ送信装置およびデータ受信装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009145980A (ja) * 2007-12-11 2009-07-02 Toshiba Tec Corp ワークスケジュール管理装置

Also Published As

Publication number Publication date
US6836843B2 (en) 2004-12-28
WO2003003315A2 (en) 2003-01-09
WO2003003315A3 (en) 2003-06-05
US20030005193A1 (en) 2003-01-02
EP1399895A2 (en) 2004-03-24

Similar Documents

Publication Publication Date Title
US6836843B2 (en) Access control through secure channel using personal identification system
US6778066B2 (en) Personal identification badge that resets on the removal of the badge from the wearer
KR101198120B1 (ko) 홍채정보를 이용한 양방향 상호 인증 전자금융거래시스템과 이에 따른 운영방법
US9923884B2 (en) In-circuit security system and methods for controlling access to and use of sensitive data
US9160732B2 (en) System and methods for online authentication
US8511552B2 (en) Card credential method and system
US6073237A (en) Tamper resistant method and apparatus
EP0986209B1 (en) Remote authentication system
JP2004518229A (ja) コンピュータ・ネットワークのセキュリティを保障する方法およびシステム、並びにネットワーク・コンポーネントへのアクセスを制御するために同システム内で用いられる個人識別装置
WO2019170025A1 (zh) 基于可穿戴设备的身份认证方法及系统
JPH09167098A (ja) 携帯装置用通信システム
WO1997039553A1 (en) An authentication system based on periodic challenge/response protocol
KR20190122655A (ko) 생체인식 데이터 템플레이트의 업데이트
US10742410B2 (en) Updating biometric template protection keys
KR20180069669A (ko) 바이오정보를 이용한 패스워드 없는 전자서명 시스템
US20050250472A1 (en) User authentication using a wireless device
EP2192513B1 (en) Authentication using stored biometric data
CN112565265A (zh) 物联网终端设备间的认证方法、认证系统及通讯方法
KR102160656B1 (ko) 장정맥을 이용한 로그인 방법
WO2007001237A2 (en) Encryption system for confidential data transmission
WO2010048350A1 (en) Card credential method and system
JP2001236325A (ja) 個人識別システムおよびその使用方法
Fu et al. POKs based low energy authentication scheme for implantable medical devices
CN101123506B (zh) 敏感信息监控及自动恢复的系统和方法
KR20100064292A (ko) 보안 모드에 따른 수동형 rfid 보안 방법

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050513

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050513

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050606

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20071207

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080108

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20080402

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20080409

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20081007