JP2005533438A - ネットワークに付随する暗号化 - Google Patents

ネットワークに付随する暗号化 Download PDF

Info

Publication number
JP2005533438A
JP2005533438A JP2004521666A JP2004521666A JP2005533438A JP 2005533438 A JP2005533438 A JP 2005533438A JP 2004521666 A JP2004521666 A JP 2004521666A JP 2004521666 A JP2004521666 A JP 2004521666A JP 2005533438 A JP2005533438 A JP 2005533438A
Authority
JP
Japan
Prior art keywords
encryption
service
cryptographic
key
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004521666A
Other languages
English (en)
Other versions
JP2005533438A5 (ja
Inventor
トーマス ファウンテン
アラン フリンデル
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ingrian Networks Inc
Original Assignee
Ingrian Networks Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ingrian Networks Inc filed Critical Ingrian Networks Inc
Publication of JP2005533438A publication Critical patent/JP2005533438A/ja
Publication of JP2005533438A5 publication Critical patent/JP2005533438A5/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09CCIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
    • G09C3/00Typewriters for ciphering or deciphering cryptographic text
    • G09C3/04Typewriters for ciphering or deciphering cryptographic text wherein the operative connections between the keys and the type-bars are automatically and continuously permuted, during operation, by a coding or key member
    • G09C3/08Typewriters for ciphering or deciphering cryptographic text wherein the operative connections between the keys and the type-bars are automatically and continuously permuted, during operation, by a coding or key member the connections being electrical
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Abstract

サーバ又は他のコンピュータ環境において暗号キーを管理し且つ暗号化サービスを実行するための方法、及び、装置を提供する。アプライアンスは、暗号キーを保護し、ネットワークサービスとして暗号化操作を提供するための暗号キーサーバとして機能する。

Description

本発明は、一般に、データセキュリティの分野に関し、より詳しくは、暗号化ネットワークサービスを提供し、ネットワーク環境において暗号キーを保護することに関する。
機密的な内容を取り扱うコンピュータシステムにおいては、ネットワーク送信中及びローカルの記憶装置の両方において、この機密的な内容を保護することを目指している。例えば、eコマース(電子商取引)のウェブサイトでは、送信の間、ユーザクレジットカード番号及びユーザパスワードを保護するために、様々な手段が用いられている。多くの場合、これらのサイトでは、利用者のコンピュータ及びウェブサイトの間で送信される間、全ての機密データを保護するために、周知のセキュアソケットレイヤー(SSL)プロトコル又はトランスポートレイヤーセキュリティ(TLS)プロトコルなどが用いられている。
SSL及びTLSは、ウェブサーバ及びクライアントコンピュータのみが知っているセッションキー(即ち、暗号キー)を用いてデータを暗号化することにより、送信される間、データを保護している。これらのプロトコルに従い、該データは、受信側のウェブサーバに到着すると、復号化される。受信側サーバは、該データの処理(例えば、クレジットカード番号の認証など)を行い、多くの場合、サーバデータベースにその機密的なデータを保存する。
ウェブクライアント及び内部ウェブサーバ間のSSL接続を構成するために用いられる暗号キーは、同じ内部ウェブサーバに保存される。同様に、バックエンドアプリケーションサーバ及びデータベースに保存されるデータが暗号化される場合、暗号キーは、同じバックエンドアプリケーションサーバに保存されるが、それらは通常安全でないプラットフォームである。従って、同じウェブサーバ又はバックエンドアプリケーションサーバに保存される暗号キーは、盗用されやすい。暗号化データは、該暗号化データを保護する暗号キーと同程度に安全であるに過ぎない。
暗号化操作が直接実行されるウェブサーバ及びアプリケーションサーバは、暗号化操作の要求の処理が原因で、性能が低下する。一つの取り組みとして、サーバの性能を改善するために、暗号化アクセラレータカードなどの高価なハードウェアが、かかるサーバ上で用いられている。しかし、高価な暗号化アクセラレータをウェブ/アプリケーションサーバごとに組み込むことは、桁違いの費用がかかるものである。
暗号化サービスを要するウェブ/アプリケーションサーバごとに高価な暗号化アクセラレータを組み込むことなく暗号化操作の性能を改善する、というためだけでなく、暗号キーを保護するためにも、異なるアーキテクチャ(構造)が必要である。
添付の図面は、権利を要求する発明の具体例を図示する。
図1は、本発明の一実施形態に係るネットワーク化された暗号化サービスを提供するコンピュータサーバ環境10を示す。
図2は、本発明の一実施形態に係るソフトウェアアーキテクチャを図示するものである。
図3Aは、本発明の一実施形態に係るネットワーク化された暗号キーサーバに適したハードウェアアーキテクチャを図示するものである。
図3Bは、本発明のある実施形態に係るグループキーのk-out-of-n秘密共有(シークレットシェアリング)をサポートする暗号化サーバに関してプライベートキーをバックアップしリストア(復旧)するための操作150を図示するものである。
図4は、本発明の一実施形態に従って、ネットワーク化された暗号キーサーバが暗号化サービスを提供し得るコンピュータ実行方法を図示するフローチャートである。
図5は、本発明の一側面に係る暗号化の要求を認証及び認可する分析を行うコンピュータ実行方法を図示するフローチャートである。
図6は、標準暗号化APIを介して遠隔の及びローカルの暗号化サービスにアクセスするために、アプリケーションサーバ上にアプリケーションをインスタンス生成可能なコンピュータ実行方法を図示するフローチャートである。
図7は、本発明のある実施形態に係る分配型の暗号化サービスコンピューティング環境を示す。
図8は、本発明のある実施形態に係る、ネットワークセキュリティアプライアンスがネットワーク化された暗号キーサービスを提供するシステムアーキテクチャを示す。
図9は、透過的(トランスピアレント)な暗号化ネットワークセキュリティアプライアンス及び暗号キーサーバを含むネットワークアーキテクチャを示すブロックダイアグラムである。
図面においては、同一の参照番号は、同一又は実質的に同様の要素又は動作を示す。ここで用いられる表題は、便利のためのみに用いられるものであり、クレームされた発明の範囲又は意義に影響を与えるものではない。
図1は、本発明の一実施形態に係るネットワーク化された暗号化サービスを提供するコンピュータサーバ環境10を示す。該コンピュータサーバ環境10は、複数のクライアント12、アプリケーションサーバ14及び暗号キーサーバ16を含み、それら全ては、コンピュータネットワーク18を介して双方向で連結される。コンピュータネットワーク18は、インターネット又はローカルエリアネットワークなどの、任意の適当な形式を採り得る。アプリケーションサーバ14は、ネットワークデータベース20と双方向で連結される。アプリケーションサーバ14は、コンピュータネットワーク18を介して要求されたサービスをクライアント12に提供する。クライアント12に要求されたサービスは、明確に暗号化サービスを含む場合や、又は、暗号化サービスの必要を生じさせる場合があり得る。例えば、サービスを要求したクライアントが、ネットワークデータベース20上に機密データの保存を要求する場合や、又は、ネットワークデータベース20から暗号化されたデータのレトリーバル(retrieval)を要求する場合もあり得る。暗号キーサーバ16は、暗号化サービスを実行するために、アプリケーションサーバ14が利用可能であり、従って、アプリケーションサーバ14は、暗号化サービスの演算処理から開放される。
ここで述べた暗号キーサーバは、ネットワーク接続された暗号化装置としても知られている。そのような機能を実行する種々の機構だけでなく、暗号化サービスの性質についても、以下により詳細に説明する。
図2は、本発明の一実施形態に従うアプリケーションサーバ52及び暗号キーサーバ54のためのソフトウェアアーキテクチャ50を図示する。図2のソフトウェアアーキテクチャは、アプリケーションサーバに限定されるものではなく、実装によって異なる。コンピュータ装置及びシステムがいくつであっても、暗号キーサーバ54のクライアントとなり得る。好ましい実施形態においては、アプリケーションサーバ52及び暗号キーサーバ54は、安全なネットワークコミュニケーションチャンネル(伝達経路)56を介して双方向で連結されている。安全なネットワークチャンネル56は、安全なコミュニケーションプロトコルSSLやTLSなどの、任意の適当な安全なコミュニケーション技術によって達成し得る。また、安全なチャンネルは、直接の物理的なリンク又は当業者にとって公知の任意の手段によって達成され得る。ソフトウェアベースのアプリケーションサーバ52は、暗号キーサーバの暗号化サービスを必要とするクライアントの一例に過ぎない。
図2のアプリケーションサーバ52は、複数のアプリケーション60と、暗号化アプリケーションプログラムインターフェース(API)62と、安全なネットワークインターフェースエンジン64とを備える。アプリケーション60は、アプリケーションサーバ52上でインスタンス生成され、実行するソフトウェアプログラムである。
これらのアプリケーション60は、アプリケーションサーバ52のローカルユーザに対してサービスを提供し得るし、ネットワーク接続を介して遠隔のクライアントにネットワークサービスを提供し得る。
暗号化API62は、複数のアプリケーション60が複数の暗号化サービスを呼び出すことができる一連の標準を提供する。本発明によると、この複数の暗号化サービスの少なくとも一つが、暗号キーサーバ54によって遠隔的に実行される。ネットワーク化された暗号キーサービスを達成するために、暗号化API62は、安全なネットワークインターフェースエンジン64を、暗号化サービスを要求すべく活用するために、遠隔の暗号化サービスの要求に反応する。
暗号化API62は、好ましくは、アプリケーション開発者が彼らのソフトウェアに簡単に統合することができる、標準化された暗号化APIであることが好ましい。従って、暗号化API62は、基礎をなすコンピューティング環境に関して特定の形式を採り得る。基礎をなすコンピューティング環境には、JAVA、Microsoft、PKCS#11/Cryptoki Provider、Oracle9iなどが含まれ得る。これらの中の幾つかについては、以下により詳細に説明する。
JAVAのコンピューティング環境では、暗号化API62は、JAVA暗号拡大(JCE)としてアプリケーションにエクスポーズ(expose)され得る。JCEは、JAVAサーバページ(JSP)、JAVAサーブレット又はエンタープライズJAVAビーン(EJB)などを含む種々のソースに利用されるか、又は、呼び出され得る。JCEを利用可能なJAVAアプリケーションは、同じく、アクティブサーバページ(ASP)に呼び出され得る。本発明の他の実施形態においては、アプリケーション60は、暗号化API62の助けを借りることなく、暗号キーサーバ54に直接アクセスし得る。
Microsoft.NETなどのASPコンピューティング環境では、暗号化機能は、使用するMicrosoft暗号化API(MS-CAPI)と連絡する暗号化サービスプロバイダ(CSP)を介して、例えば、使用するビジュアルベーシックスクリプト(VBスクリプト)にエクスポーズされ得る。この場合、CSP又は暗号化APIは、アプリケーション60に多数の暗号化操作をエクスポーズする動的リンクライブラリとして実行される。上では、暗号化機能及び暗号化APIに関して、ウェブアプリケーションサーバとの関連で記載した。
しかし、暗号化機能及び暗号化APIは、同様に、例えばJCEを用いるウェブベースでないJAVAアプリケーションや、MS-CAPIを呼び出すウェブベースでないWindowsアプリケーションなど、ウェブベースでないアプリケーションサーバに適用可能である。
安全なネットワークインターフェースエンジン64は、遠隔の暗号キーサーバ54と、安全なネットワークコミュニケーションチャンネル56を確立する。同様に、遠隔の暗号キーサーバ54は、安全なネットワークインターフェースエンジン64と、安全なネットワークコミュニケーションチャンネル56を確立する。アプリケーションサーバ52と遠隔の暗号キーサーバ54との間で安全なネットワークコミュニケーションチャンネル56が確立されると、安全なネットワークインターフェースエンジンは、例えば、遠隔の暗号キーサーバ54に対して暗号化サービスの安全な要求をマーシャルして送信し、暗号化サービスの要求に対する安全な応答を受信してアンマーシャルし、暗号化API62に対してかかる応答を送り返す。同様に、暗号化API62は、要求するアプリケーション60に対して応答を与える。
安全なネットワークインターフェースエンジン64は、アプリケーションサーバ52のクライアントとアプリケーション60との間に安全なコミュニケーションチャンネルを提供するために、アプリケーション60に安全なネットワークサービスをエクスポーズすることが意図される。図2においては、暗号化API62及び安全なネットワークインターフェースエンジン64は、明確に区別できる二つのプロセスとして現れており、それぞれは、アプリケーションサーバ52上でインスタンス生成される。このことにより、それぞれのプロセスは、別個に変更することができる。しかし、本発明のその他の実施形態では、暗号化API62の機能及び安全なネットワークインターフェースエンジン64の機能は、単一のプロセスとして提供されるか、又は、一つのアプリケーション60に含まれる。
図2をさらに参照すると、遠隔の暗号キーサーバ54は、暗号化サービスエンジン70と、安全なネットワークインターフェースエンジン72と、プライベートキーエンジン74とを備えている。遠隔の暗号キーサーバ54は、該暗号キーサーバと安全なネットワークコミュニケーションチャンネル56を介して連結されるアプリケーションサーバ52に対して暗号化サービスを提供するのに適している。安全なネットワークインターフェースエンジン72は、アプリケーションサーバ52と安全なネットワークコミュニケーションチャンネル56を確立する。同様に、アプリケーションサーバ52は、安全なネットワークインターフェースエンジン72と安全なネットワークコミュニケーションチャンネル56を確立する。また、安全なネットワークインターフェースエンジン72は、アプリケーションサーバ52から受信した保護された暗号化サービス要求をアンマーシャルし、安全な暗号化サービス応答をマーシャルして該アプリケーションサーバ52に送信する。
遠隔の暗号キーサーバ54上で実行する暗号化サービスエンジン70は、安全なネットワークインターフェースエンジン72と双方向で連結される。暗号化サービスエンジン70は、安全なネットワークインターフェースエンジン72を介して、アプリケーションサーバ52に要求された暗号化サービスを提供する。暗号化サービスは、RSA及びDSAのように、1)ハッシュ操作と、2)署名及び検証操作とを含み得る。
アプリケーション60にエクスポーズされる暗号化機能は、遠隔のクライアントに最も要望され得るこれらを含み得る。これら暗号化機能は、暗号化サービスを実行することの負担からアプリケーションサーバ52を開放するために、アプリケーションサーバ52又はより好ましくは遠隔の暗号キーサーバ54のいずれにおいても実行されなければならない。従って、暗号化サービスエンジン70は、アプリケーションサーバ52で提供されない任意のエクスポーズされる暗号化サービスを実行可能であることが好ましい。典型的なエクスポーズされる機能は、暗号化及び復号化(例えば、DES、3DES、AES、RSA、DSA、ECCなど)や、署名及び検証(例えば、RSA、DSAなど)や、ハッシュ及び検証(例えば、SHA-1、HMACなど)などであるが、これらに限定されるものではない。
一般的に、暗号化及び復号化機能は、
対称ブロック暗号文と、
一般的な暗号文モードと、
ストリーム暗号文モードと、
公開鍵暗号と、
公開鍵システムのためのパディングスキームと、
キー協定スキームと、
楕円曲線暗号システムと、
一方向ハッシュ機能と、
メッセージ認証コードと、
ハッシュ機能に基づく暗号構成と、
擬似乱数生成器と、
キー派生機能に基づくパスワードと、
シャミルの秘密共有スキーム及びラビンの情報拡散アルゴリズム(IDA)と、
gzip(RFC1952)及びzlib(RFC1950)形式をサポートするデフレート(RFC1951)圧縮/復元と、
高速多倍精度整数(bignum)及び多項式操作と、
(GF(p)及びGF(2n)を含む有限体計算と、
素数生成及び検証と、を含む。
このように、プライベートキーエンジン74は、暗号化操作を実行するのに必要なプライベートキーを、暗号化サービスエンジン70に提供する。かかるプライベートキーは、本発明によって考えられた数々の方法によってだけでなく、種々の従来の機構によっても生成され、また、保存される。一実施形態として、プライベートキーを生成し、取り扱う好ましい実施形態を図3に示す。
図2において、暗号化サービスエンジン70及び安全なネットワークインターフェースエンジン72は、それぞれ暗号化サービスエンジン70でインスタンス生成される二つの明確に区別できるプロセスとして現れる。これにより、これらプロセスのそれぞれは、別々に変更することが可能となる。しかし、本発明の他の実施形態においては、暗号化サービスエンジン70及び安全なネットワークインターフェースエンジン72の機能は、単一のプロセスとして与えられる。
図3Aは、本発明の一実施形態に係る、図2の暗号キーサーバ54のようなネットワーク化された暗号キーサーバに適したハードウェアアーキテクチャ100を示す。ハードウェアアーキテクチャ100は、中央演算処理装置(CPU)104と、ハードディスクなどの持続的記憶装置106と、ランダムアクセスメモリー(RAM)などの一時記憶装置108と、ネットワーク入出力装置110と、暗号化アクセラレータカードなどの暗号化装置112と、ハードウェアセキュリティーモジュール(HSM)114と、スマートカードインターフェース116とを含み、これらすべては、データバス102を介して双方向で連結される。他の付加的なコンポーネントは、ハードウェアアーキテクチャ100の一部となろう。
図3Aに係る一実施形態によると、プライベートキー120は、HSM114にロードされ、暗号化された形式で保存される。より好ましい実施形態においては、HSM114は、耐タンパー性の(不正操作防止)装置である。プライベートキー120は、ごく一部の、所定の暗号キーサーバのグループにしか知られていないグループキーを用いて暗号化される。これらグループキーは、スマートカードによって保護される。暗号化サーバの所定のグループの一つでバックアップ操作が行われると、元の暗号キーの暗号化された形式が、バックアップファイルとして生成される。装置の所定のグループの一部の暗号化サーバのみが、別の暗号キーを用いて暗号キーを復号することができる。
一実施形態においては、暗号化サーバは、さらに安全性を高めるために、グループキーのk-out-of-n秘密共有にも対応している。即ち、暗号キーサーバは、プライベートキーをバックアップしリストアするために、スマートカードを要求する。例えば、グループキー情報が五つのスマートカード(n)のグループに亘って分配された場合には、スマートカードリーダ116に三つのスマートカード(k)を挿入した後にしか、グループデータにアクセスできないように選択を設定できる。三つより少ないスマートカードでデータにアクセスしようと試みても、失敗する。k of nスキーマを用いることで、データの安全性が確保される。仮に、一つのカードが盗難にあっても、盗難者が上記のk of n基準に適合するのに足る数のカードを所持していないために、HSM114に記憶された設定データにアクセスすることは不可能である。図3Bは、ある実施形態に従って、グループキーのk-out-of-n秘密共有に対応する暗号化サーバに関し、プライベートキーのバックアップ及びリストアのための操作150を図示する。ステップ152においては、プライベートキーのバックアップ及びリストアの要求を受信する。ステップ154では、バックアップの要求を受けて、バックアップの要求がなされた暗号化サーバに関連したスマートカードインターフェース装置にk-out-of-nのスマートカードが挿入されたか否かについて、判断がなされる。少なくともk-out-of-nのスマートカードが挿入されていないと判断された場合には、ステップ156で、バックアップ及びリストアの要求が拒絶される。少なくともk-out-of-nのスマートカードが挿入されたと判断された場合には、ステップ158で、バックアップ及びリストアの要求が許可される。
図4を参照し、暗号キーサーバ16又は54などのネットワーク化された暗号キーサーバが本発明の一実施形態に係る暗号化サービスを提供し得る、コンピュータ実行方法200について説明する。最初のステップ202では、ネットワーク化されたキーサーバ上で一連のプライベートキーが確立される。これらプライベートキーは、任意の適当なメカニズムに従って生成され、維持される。好ましい実施形態においては、プライベートキーは、耐タンパー性のハードウェア内に保存され、ネットワークを通じて分配されず、図3のHSM114を参照して上述したようなプロセスによって管理される。ネットワーク化されたキーサーバ上で一連のプライベートキーが既に確立された所定のアプリケーションサーバによる暗号化サービスに対する次の要求には、ステップ202は含まれない。
次の最初のステップ204では、アプリケーションサーバ及び暗号キーサーバの間で、安全なネットワークコミュニケーションチャンネルが確立される。ある実施形態においては、クライアントによる何らかの特定の暗号化サービスの要求に先立って、アプリケーションサーバ及びキーサーバの間でコネクションプール(接続プール)が確立される。コネクションプールは、無期限に維持されるか、又は、動作が無いことに従って閉鎖される。安全なコネクションを確立することは、処理を激しいものとするものである。よって、一度安全なコネクションが確立された場合には、安全なコネクションを維持するのが有効である。安全なチャンネルは、SSL若しくはTLS、又は、任意の適当な従来の手段で確立され得る。多くの場合、サーバ及びクライアントの認証に、HTTPSが用いられ得る。また、ステップ204において、要求の実体(entity)のアイデンティティ(identity)が検証、即ち、認証される。これには、アプリケーションサーバのアイデンティティの検証や、アプリケーションサーバ上で実行するアプリケーションのアイデンティティの検証や、適切な場合には、アプリケーションサーバのサービスを要求するクライアントの身元の確認(identification)が含まれ得る。要求された実体の認証が失敗すると、暗号化サービスの要求は拒絶される。さらに、ある実施形態においては、要求の実体の認証が失敗した場合には、以下で説明するように、プロセスコントロールは、失敗したサービスの要求に関連付けられた準備機能(ハウスキーピング機能)を実行するステップ216に移行する。
一旦プライベートキーがステップ202において確立され、安全なネットワークコミュニケーションチャンネルがステップ204において確立され、認証プロセスが完了すると、暗号キーサーバは、暗号化サービスを提供するために使用され得る。
従って、ステップ206では、キーサーバは、安全なチャンネルを介して暗号化サービスの要求を受信する。暗号化サービス要求を受信すると、キーサーバは、暗号化されたネットワーク形式から要求を復号化する。図2を参照して上述したように、ある実施形態においては、これは、安全なネットワークインターフェースエンジンによって実行され得る。ステップ208においては、キーサーバは、暗号化サービス要求の許可分析を実行する。このステップ208の許可分析は、要求されたサービスが要求しているクライアントに提供されるべきか否かを判断する。ステップ208の一実施形態は、図4を参照して、以下でより詳細に説明する。
ステップ208で、要求が実行されてよいと判断した場合には、プロセスコントロールは、ステップ208から、要求されたサービスを実行するステップ210に移行する。例えば、アプリケーションサーバは、あるデータを暗号化する又は復号化する要求をし得る。ステップ212においては、暗号キーサーバは、安全なチャンネルを介してアプリケーションサーバに応答する。これには、ネットワークを通じて送信を行うために、データを安全な形式にマーシャルすることが含まれる。次のステップ214では、認可された要求の履行に関連した種々のハウスキーピング機能が実行される。ある実施形態では、これらには、暗号化の要求(時間、クライアントアイデンティティ、要求されたサービス、充分な完了等)に関連付けてデータベースを維持することが含まれる。
認証ステップ208の失敗によって要求が実行されなかったとステップ208が判断した場合には、サービスの要求の失敗に関連付けられたステップ216がハウスキーピング機能を実行する。ある実施形態では、これには、暗号化要求(時間、クライアントアイデンティティ、要求されたサービス等)に関連付けてデータベースを維持することが含まれる。このデータベースは、取り組みが行われているのか否か、又は、システム中のエラーを判断するために用いられ得る。
次の図5を参照し、本発明の一側面に係る暗号化要求の認証分析を実行するためのコンピュータ実行方法208について、以下により詳細に説明する。図4を参照して上述したように、遠隔のアプリケーションサーバが、該アプリケーションサーバのために、おそらくアプリケーションサーバのクライアントのために、ある暗号化機能を実行することを要求する場合に、該方法208が呼び出される。最初のステップ250では、アプリケーションサーバ、アプリケーション及びクライアントに与えられる許可特権が判断される。アプリケーションサーバ、アプリケーション及びクライアントに与えられる許可特権を判断できない場合には、ステップ250の許可テストが失敗したとみなされる。ステップ250の許可テストが失敗した場合には、ステップ252で要求が拒絶される。ステップ252での許可テストが成功した場合には、ステップ254は、具体的な要求が、要求する実体の権利の範囲内であるか否かを判断する。例えば、あるアプリケーションサーバ上で稼動するアプリケーションには、データを暗号化する権利を与えられていたとしても、当該アプリケーションには、あるデータを復号化する権利を与えられていない、又は、単に、いかなるデータをも復号化する権利が全く与えられていない場合がある。いずれにしても、要求が、要求する実体の権利の範囲外であるときは、その要求は、ステップ252で拒絶される。その要求が、要求する実体の権利の範囲内であるときは、該要求は、ステップ256で承認され、プロセスコントロールは、暗号化サービスを実行することを続行する。
図6を参照して、アプリケーションサーバ上でインスタンス生成されたアプリケーションが、標準暗号化APIを介して遠隔の及びローカルの暗号化サービスにアクセスすることを可能とするためのコンピュータ実行方法300について説明する。ステップ302及び304は、暗号化サービスをアプリケーションに利用可能とするための初期ステップである。ステップ302では、標準化されたソフトウェア暗号化APIは、アプリケーションサーバ内に統合される。図2を参照して上でより詳細に検討したように、暗号化APIは、特定のコンピューティング環境(JAVA、microsoftなど)のために、設計され得る。ステップ304では、暗号化サービスは、実行されるアプリケーションの範囲内でサービス要求がなされるように、アプリケーションサーバ上でインスタンス生成されたアプリケーションにエクスポーズされる。暗号化プロバイダーは、プログラマーに、暗号化APIによって利用可能となる標準暗号を利用してアプリケーションソフトウェアを開発させる。
ステップ306では、アプリケーションは、暗号化機能を呼び出し、暗号化APIは、サービスの要求を受信する。この要求は、要求が遠隔の暗号化サーバに向けてパスされるべきかを判断すべく暗号化APIによって処理される。又は、この要求は、ローカルで実行され、若しくは、暗号化サービスの要求をパスすることを許可するのに先立って、おそらく、アプリケーションサーバが認証及び許可をローカルで実行する。要求が遠隔の暗号化サーバに送信される場合には、ステップ308は、該要求をマーシャルして送信するように注意を払う。好ましい実施形態では、マーシャル及び送信は、予め確立された安全なネットワーク送信チャンネルを介して、安全なネットワークインターフェースエンジンによって行われる。ステップ310では、アプリケーションサーバは、暗号化サービス要求に対する応答を受信し、アンマーシャルを行う。好ましい実施形態では、応答の受信及びアンマーシャルは、予め確立された安全なネットワーク送信チャンネルを介して、安全なネットワークインターフェースエンジンによって行われる。応答は、暗号化APIに与えられ、暗号化APIは、ステップ312において、要求するアプリケーションに対して、適当な形式で、応答を与える。
図7は、本発明のある実施形態に係る分配型の暗号化サービスコンピューティング環境400を示す。コンピューティング環境400は、複数の暗号キーサーバ402と、複数のアプリケーションサーバ404と、複数のクライアント406とを含み、これら全てはインターネット等の広域ネットワーク408によって双方向で連結される。暗号キーサーバ402及びアプリケーションサーバ404は、任意の適当な形式を採り得る。例えば、図1〜3を参照して上述した実施形態が適当である。
分配型の暗号化サービスコンピューティング環境400の操作を実行するために、種々の方法が意図される。例えば、複数の暗号キーサーバ402は、独立した方法で操作され、それぞれは、独立した方法でサービスを提供し得る。また、特定の暗号キーサーバ402は、全てのサービスの管理者としての機能を果たし、所定のロードバランス構造に基づいて、アプリケーションサーバ404から他の暗号キーサーバ402に対して、全ての要求を命令する。
図8は、ネットワークセキュリティアプライアンスがネットワーク化された暗号キーサービスを提供する、システムアーキテクチャ500のブロックダイアグラムを示す。システムアーキテクチャ500は、複数のクライアント502と、インターネットなどの広域ネットワーク504と、ネットワークセキュリティアプライアンス506と、アプリケーションサーバ508とを含む。ネットワークセキュリティアプライアンス506を例外として、図8に示される他の全ての要素は、図1〜7の上の記述を参照することにより、直ちに理解することができる。
ネットワークセキュリティアプライアンス506は、アプリケーションサーバ508とネットワーク504との間に物理的に存在する。当業者は、ネットワークセキュリティアプライアンス及びそれらの一般的な操作に精通している。ネットワークセキュリティアプライアンス506によって提供されるサービスには、クライアント502及びアプリケーションサーバ508間での安全な送信や、アプリケーションサーバ508上の負担を軽減してユーザに対する応答時間を改善する安全なキャッシングや、SSL及びTLSアクセラレーションや、透過的な暗号化サービスや、クライアント認証などが含まれる。
図8の実施形態によると、ネットワークセキュリティアプライアンス506は、さらに、アプリケーションサーバ508に対して暗号キーサービスを提供する。ネットワークセキュリティアプライアンス506は、図2の暗号キーサーバ54との参照で述べたようなソフトウェアアーキテクチャを有し得る。同様に、ネットワークセキュリティアプライアンス506は、図3の暗号キーサーバを参照して述べたようなハードウェアアーキテクチャ100を有し得る。図4〜6を参照して上述した方法は、ネットワークセキュリティアプライアンス506及びアプリケーションサーバ508の操作に上手く適用し得る。
図9は、ネットワークアーキテクチャ600を示すブロックダイアグラムであり、該ネットワークアーキテクチャ600は、複数のクライアント602と、インターネットなどの広域ネットワーク604と、透過的な暗号化アプライアンス606と、複数のアプリケーションサーバ608と、ローカルエリアネットワーク610と、少なくとも一つの暗号キーサーバ612と、二つ以上のネットワークデータベース614と、複数のバックエンドサーバ616とを含む。関連する特許出願の中で述べたように、透過的な暗号化アプライアンス606は、ネットワーク604を介してサイトに入力される全ての要求を検査するように設定され、インストールされたプライベートキー120の一つを用いて機密データを暗号化する。透過的な暗号化アプライアンス606及び暗号キーサーバ612は、グループキーを共有するTEアプライアンスの所定のグループのどちらのメンバーでもあり、同じプライベートキー120がロードされる。複数のアプリケーションサーバ608は、ローカルエリアネットワーク610を介して暗号キーサーバ612から暗号化サービスを要求することができ、バックエンドサーバ616も同様である。
説明のために、クライアント602は、インターネット上の金融機関に登録することを前提とする。この例では、アプリケーションサーバ608は、ウェブサーバであり、クライアント602は、安全なセッションを介して、ネットワーク604を通じて、ウェブサーバ608にクレジットカード番号を提供する。TEアプライアンス606は、クレジットカード番号が機密的な情報であると検知し、ウェブサーバ608がクリアな状態で機密情報を管理することがないよう、インストールされたプライベートキー120のうちの一つを用いて、このデータを暗号化する。同様に、クレジットカード番号は、暗号化された形式のみでネットワークデータベース614に記憶される。バックエンドサーバ616は、アカウント情報をレトリーブする(retrieve)ためにクライアントクレジットカード番号にアクセスする必要があり、暗号キーサーバ612に、クレジットカード番号を復号するよう要求する。この例では、バックエンドサーバ616は、クライアントクレジットカード番号にアクセスするのを許可され、従って、暗号キーサーバ612は、要求されたようにクレジットカード番号を復号する。
ここでの図面及び説明は、本発明の特徴を実行できる適当なコンピューティング環境の大まかな、一般的な説明を与えるものである。必要ではないが、発明の具体物は、汎用コンピュータ(例えば、サーバ又はパソコン)によって実行されるルーチンなど、コンピュータが実行可能な指示からなる一般的な内容で書かれる。当業者であれば、この発明の側面は、インターネットアプライアンスや、携帯端末や、ウェアラブルコンピュータや、携帯電話や、マルチプロセッサシステムや、マルチプロセッサを基礎とした若しくはプログラム可能な家庭用電化製品や、セットトップボックスや、ネットワークPCや、ミニコンピュータや、大型コンピュータなどを含む、他のコンピュータシステムの形態で実践され得ることを認識し得る。
この発明の側面は、以下で詳細に説明するように、コンピュータ実施可能な指示の一つ又はそれ以上を実行するために具体的にプログラムされ、設計され若しくは構築された特殊用途コンピュータ又はデータプロセッサにおいて具体化され得る。実際、ここで一般的に用いられる「コンピュータ」という用語は、任意のデータプロセッサと同様に、上述の任意の装置を指す。さらに、ここで一般的に用いられる「プロセッサ」という用語は、例えば、一つ以上の中央演算装置(CPU)や、デジタルシグナルプロセッサ(DSP)や、特定用途向け集積回路(ASIC)など、任意の論理処理ユニットを指す。
上記においては、この発明の実施形態は、実装によって異なる多くの具体的な詳細を参照して記述した。
このように、発明が何であるかの唯一及び排他的な表示であって出願人によって発明であると意図されたものは、後の補正を含み特許請求の範囲が公表する具体的な形式で記載された、この出願に由来する一連の特許請求の範囲である。ここに示した特許請求の範囲に含まれる用語の明示的な定義は、特許請求の範囲で用いられるかかる用語の意義を規定する。
従って、特許請求の範囲で明示的に列挙されない限定、要素、特性、特徴、利点、属性は、いずれにしても、そのような特許請求の範囲を限定するものではない。従って、明細書及び図面は、限定的な意味ではなく、説明に役立つ意味に考慮されるべきものである。
ここで参照した全ての参考文献及び米国特許又は米国出願は、参照により、ここに組み込まれる。発明の側面は、必要ならば、ここで記載された種々の特許及び出願のシステム、機能及び概念を用いることにより、さらなる発明の実施形態を与えるために、修正され得る。この発明に対するこれら及びその他の変更は、ここに記載された詳細な説明を考慮に入れてなされ得る。
発明のある側面は、特定の請求項の形式で以下に示されたものであるが、発明者は、あらゆる請求項の形式の発明の種々の側面を熟慮する。例えば、発明の一側面のみが、コンピュータが読取可能な媒体で具体化されるとして説明される場合には、他の側面も、同様に、コンピュータが読取可能な媒体で具体化される。従って、発明者は、発明の他の側面に対するさらなる請求項を追求するために、出願書類を提出した後に、さらに特許請求の範囲を追加する権利を留保する。
本発明の一実施形態に係るネットワーク化された暗号化サービスを提供するコンピュータサーバ環境を示す。 本発明の一実施形態に係るソフトウェアアーキテクチャを示す。 本発明の一実施形態に係るネットワーク化された暗号キーサーバに適したハードウェアアーキテクチャを示す。 本発明のある実施形態に係るグループキーのk-out-of-n秘密共有をサポートする暗号化サーバに関してプライベートキーをバックアップしリストアするための操作を示す。 本発明の一実施形態に従って、ネットワーク化された暗号キーサーバが暗号化サービスを提供し得るコンピュータ実行方法のフローチャートを示す。 本発明の一側面に係る暗号化の要求を認証及び認可する分析を行うコンピュータ実行方法のフローチャートを示す。 標準暗号化APIを介して遠隔の及びローカルの暗号化サービスにアクセスするために、アプリケーションサーバ上にアプリケーションをインスタンス生成可能なコンピュータ実行方法のフローチャートを示す。 本発明のある実施形態に係る分配型の暗号化サービスコンピューティング環境を示す。 本発明のある実施形態に係る、ネットワークセキュリティアプライアンスがネットワーク化された暗号キーサービスを提供するシステムアーキテクチャを示す。 透過的な暗号化ネットワークセキュリティアプライアンス及び暗号キーサーバを含むネットワークアーキテクチャを示すブロックダイアグラムを示す。

Claims (53)

  1. ネットワークを介して遠隔の装置に連結され、該遠隔の装置に対して暗号化サービスを提供するのに適した暗号キーサーバであって、
    前記暗号キーサーバ上で実行する安全なネットワークインターフェースエンジンであって、
    少なくとも一つの遠隔の装置と安全なネットワークコミュニケーションチャンネルを確立し、
    前記少なくとも一つの遠隔装置から受信した、保護された暗号化サービス要求をアンマーシャルし、
    前記少なくとも一つの遠隔装置に対して、安全な暗号化サービス応答をマーシャルして送信する安全なネットワークインターフェースエンジンと、
    前記暗号キーサーバ上で実行する暗号化サービスエンジンであって、前記安全なネットワークインターフェースエンジンと双方向で連絡し、前記少なくとも一つの安全なネットワークインターフェースエンジンによって要求される暗号化サービスを提供する暗号化サービスエンジンと、
    からなる暗号キーサーバ。
  2. 前記少なくとも一つの遠隔の装置は、アプリケーションサーバである請求項1に記載の暗号キーサーバ。
  3. 前記安全なネットワークインターフェースエンジンは、セキュアソケットレイヤー(SSL)プロトコルに従って前記安全なネットワークコミュニケーションチャンネルが確立されるように配置される請求項1に記載の暗号キーサーバ。
  4. 前記安全なネットワークインターフェースエンジンは、トランスポートレイヤーセキュリティ(TLS)プロトコルに従って前記安全なネットワークコミュニケーションチャンネルが確立されるように配置される請求項1に記載の暗号キーサーバ。
  5. 前記安全なネットワークインターフェースエンジンは、セキュアソケットレイヤー(SSL)プロトコル及びトランスポートレイヤーセキュリティ(TLS)プロトコルを含む多重コミュニケーションプロトコルに対応し、前記安全なネットワークインターフェースエンジンは、前記安全なネットワークコミュニケーションチャンネルを確立すべく、前記少なくとも一つの装置によって選択されるプロトコルに従って、前記少なくとも一つの装置に応答する請求項1に記載の暗号キーサーバ。
  6. 前記暗号化サービスエンジン及び前記安全なネットワークインターフェースエンジンは、前記暗号キーサーバ上で実行する単一のプロセスのコンポーネントである請求項1に記載の暗号キーサーバ。
  7. 前記暗号化サービスエンジンは、暗号化及び復号化機能を実行する請求項1に記載の暗号キーサーバ。
  8. 前記暗号化及び復号化機能は、
    対称ブロック暗号文と、
    一般的な暗号文モードと、
    ストリーム暗号文モードと、
    公開鍵暗号と、
    公開鍵システムのためのパディングスキームと、
    キー協定スキームと、
    楕円曲線暗号システムと、
    一方向ハッシュ機能と、
    メッセージ認証コードと、
    ハッシュ機能に基づく暗号構成と、
    擬似乱数生成器と、
    キー派生機能に基づくパスワードと、
    シャミルの秘密共有スキーム及びラビンの情報拡散アルゴリズム(IDA)と、
    gzip(RFC1952)及びzlib(RFC1950)形式をサポートするデフレート(RFC1951)圧縮/復元と、
    高速多倍精度整数(bignum)及び多項式操作と、
    (GF(p)及びGF(2n)を含む有限体計算と、
    素数生成及び検証と、
    からなる請求項7に記載の暗号キーサーバ。
  9. 前記暗号化及び復号化機能は、
    DES、3DES、AES、RSA、DSA、ECC、RC6、MARS、トゥーフィッシュ、サーペント、CAST-256、DESX、RC2、RC5、ブローフィッシュ、ダイアモンド2、TEA、SAFER、3-WAY、Gost、SHARK、CAST- 128、Square、Shipjack、ECB、CBC、CTS、CFB、OFB、counter mode (CTR)、Panama、ARC4、SEAL、WAKE、Wake-OFB、Blumblumshub、エルガマル、Nyberg- Rueppel (NR)、Rabin、Rabin-Williams (RW)、LUC、LUCELG、DLIES (DHAESの改良型)、ESIGN公開鍵システムのためのパディングスキーム: PKCS#1 v2.0、OAEP、PSSR、IEE P1363 EMSA2、Diffie-Hellman (DH)、Unified Diffie-Hellman (DH2)、Menezes-Qu-Vanstone (MQV)、LUCDIF、XTR-DH、ECDSA、ECNR、ECIES、ECDH、ECMQV、SHA1、MD2、MD4、MD5、HAVAL、RIPEMD-160、Tiger、SHA-2 (SHA-256、SHA-384及びSHA-512)、Panama、MD5-MAC、HMAC、XOR-MAC、CBC-MAC、DMAC、Luby-Rackoff、MDC、ANSI X9.17 appendix C、PGP's RandPool、PBKDF1及びPBKDF2 from PKCS#5からなる請求項7に記載の暗号キーサーバ。
  10. 前記暗号化サービスエンジンは、署名及び検証の機能を実行する請求項1に記載の暗号キーサーバ。
  11. 前記署名及び検証の操作は、RSA及びDSAを含む請求項10に記載の暗号キーサーバ。
  12. 前記暗号化サービスエンジンは、ハッシュ操作を実行する請求項1に記載の暗号キーサーバ。
  13. 前記ハッシュ操作は、HMAC with SHA-1を含む請求項10に記載の暗号キーサーバ。
  14. 前記暗号化サービスエンジンは、前記暗号化サービスに先立って、該暗号化サービスを実行する条件として、さらに、認証し、且つ、暗号化サービスの要求の許可を判断する請求項1に記載の暗号キーサーバ。
  15. 暗号化サービスの要求の認証には、
    暗号化サービスを要求するクライアントと、
    前記クライアントが暗号化サービスを要求する前記少なくとも一つの遠隔の装置と、
    前記少なくとも一つの遠隔の装置上で実行される機能又はプログラムと、
    からなる一つ以上の組のアイデンティティを検証することを含む請求項14に記載の暗号キーサーバ。
  16. 暗号化サービスの要求の許可の判断には、
    暗号化サービスを要求するクライアントと、
    前記クライアントが暗号化サービスを要求する前記少なくとも一つの遠隔の装置と、
    前記少なくとも一つの遠隔の装置上で実行する機能又はプログラムと、
    からなる一つ以上の組に与えられる許可特権を判断することを含む請求項14に記載の暗号キーサーバ。
  17. 暗号化サービスの要求の許可を判断する操作には、さらに、暗号化サービスの前記要求が、暗号化サービスの前記要求に関係する要求元の特権の範囲内であるかを判断することを含む請求項16に記載の暗号キーサーバ。
  18. 前記暗号化サービスエンジンは、暗号化サービスの要求を探知する請求項1に記載の暗号キーサーバ。
  19. 前記暗号キーサーバは、さらにプライベートキーエンジンを含み、
    前記プライベートキーエンジンは、暗号化サービスを実行する際に、前記暗号化サービスエンジンによって使用されるプライベートキーを提供する請求項1に記載の暗号キーサーバ。
  20. 前記暗号キーサーバは、ネットワークセキュリティアプライアンスである請求項1に記載の暗号キーサーバ。
  21. 前記暗号化サービスエンジン及び前記安全なネットワークインターフェースエンジンをサポートするコンピュータハードウェアアーキテクチャを有し、
    前記コンピュータハードウェアアーキテクチャは、
    データバスと、
    前記データバスに双方向で連結される中央処理装置と、
    前記データバスに双方向で連結される持続的記憶装置と、
    前記データバスに双方向で連結される一時記憶装置と、
    前記データバスに双方向で連結されるネットワーク入出力装置と、
    前記データバスに双方向で連結される暗号化アクセラレ−タカードと、
    前記データバスに双方向で連結され、プライベートキーを保存するのに適したハードウェアセキュリティモジュールと、
    スマートカードインターフェース装置と、
    からなる請求項1に記載の暗号キーサーバ。
  22. 前記ハードウェアセキュリティモジュールは、耐タンパー装置である請求項21に記載の暗号キーサーバ。
  23. 前記プライベートキーは、前記ハードウェアセキュリティモジュールにロードされ、暗号形式で保存される請求項21に記載の暗号キーサーバ。
  24. 前記プライベートキーは、前記暗号化されたプライベートキーを保存するスマートカードを介して前記ハードウェアセキュリティモジュールにロードされる請求項21に記載の暗号キーサーバ。
  25. 前記プライベートキーは、k個のスマートカードが挿入された場合にのみ前記暗号キーサーバによってアクセスされ得るように、k-out-of-n秘密共有をサポートする請求項24に記載の暗号キーサーバ。
  26. ネットワークを介して遠隔の装置に連結され、該遠隔の装置に対して暗号化サービスを提供するのに適した暗号キーサーバであって、
    前記暗号キーサーバは、
    データバスに双方向で連結される暗号化アクセラレータカードと、
    スマートカードインターフェース装置と、
    前記データバスに双方向で連結され、安全なデータに適したハードウェアセキュリティモジュールと、からなり、
    前記安全なデータは、スマートカードインターフェース装置にk-out-of-nスマートカードが挿入された場合にのみアクセス可能である暗号キーサーバ。
  27. 複数のアプリケーションをホスト可能であり、ネットワークを介して複数のクライアントに対してサービスを提供可能なアプリケーションサーバであって、
    前記複数のアプリケーションが複数の暗号化サービスを呼び出すことができる一連の標準を提供し、遠隔の暗号キーサーバによって前記複数の暗号化サービスの少なくとも一つが実行される、暗号化アプリケーションプログラムインターフェース(API)と、
    遠隔の暗号キーサーバと安全なネットワークコミュニケーションチャンネルを確立する安全なネットワークインターフェースエンジンと、
    からなるアプリケーションサーバ。
  28. 前記暗号化APIは、遠隔の暗号化サービスを要求するために前記安全なネットワークインターフェースエンジンを利用する請求項27に記載のアプリケーションサーバ。
  29. 前記暗号化APIは、前記複数のアプリケーションに対してJAVA暗号拡張(JCE)としてエクスポーズされる請求項27に記載のアプリケーションサーバ。
  30. 前記暗号化APIは、暗号化サービスプロバイダ(CSP)を介してエクスポーズされ、前記暗号化APIは、動的リンクライブラリとして実行される請求項27に記載のアプリケーションサーバ。
  31. 前記暗号化APIは、MS-CAPIを介してエクスポーズされる請求項27に記載のアプリケーションサーバ。
  32. 複数の機能及びプログラムを実行可能な装置であって、
    前記装置で実行される安全なネットワークインターフェースエンジンであって、少なくとも一つの遠隔の暗号キーサーバと安全なネットワークコミュニケーションチャンネルを確立し、前記少なくとも一つの遠隔の暗号キーサーバに対して暗号化サービスの安全な要求をマーシャルして送信し、暗号化サービスの要求に対する安全な応答を受信してアンマーシャルする安全なネットワークインターフェースエンジンと、
    前記装置で実行され、前記安全なネットワークインターフェースエンジンと双方向で連結される暗号化アプリケーションプログラムインターフェース(API)であって、前記複数の機能及びプログラムが対応する複数の暗号化サービスを呼び出すことができる一連の標準を提供して、前記複数の暗号化サービスの少なくとも一つが前記少なくとも一つの暗号キーサーバによって遠隔で実行される暗号化APIであり、前記暗号化サービスを要求すべく安全なネットワークインターフェースエンジンを利用するために、前記少なくとも一つの遠隔の暗号化サービスの要求に対して応答する暗号化APIと、
    からなる装置。
  33. 暗号キーサービスを提供するコンピュータ実行方法であって、
    ネットワーク化されたキーサーバ上に一組のプライベートキーを確立する動作と、
    ネットワーク化された装置と前記ネットワーク化されたキーサーバとの間に安全なネットワークコミュニケーションチャンネルを確立する動作と、
    暗号キーサービスの要求を、前記ネットワーク化された装置から、前記安全なネットワークコミュニケーションチャンネルを介して、前記ネットワーク化されたキーサーバにおいて受信する動作と、
    暗号キーサービスの前記要求を認証する動作と、
    暗号キーサービスの前記要求の許可を判断する動作と、
    前記要求が許可されると、前記プライベートキーを利用して、暗号キーサービスの要求を、前記ネットワーク化されたキーサーバにおいて実行する動作と、
    からなる暗号キーサービスを提供するコンピュータ実行方法。
  34. プライベートキーをネットワーク化されたサーバ上に確立する前記動作は、前記一組のプライベートキーを暗号化する動作を含む請求項33に記載の暗号キーサービスを提供するコンピュータ実行方法。
  35. 前記一組のプライベートキーを暗号化する前記動作は、k-out-of-n秘密共有技術を用いて実行される請求項33に記載の暗号キーサービスを提供するコンピュータ実行方法。
  36. 安全なネットワークコミュニケーションチャンネルを確立する前記動作には、SSLプロトコルの使用が含まれる請求項33に記載の暗号キーサービスを提供するコンピュータ実行方法。
  37. 安全なネットワークコミュニケーションチャンネルを確立する前記動作には、TLSプロトコルの使用が含まれる請求項33に記載の暗号キーサービスを提供するコンピュータ実行方法。
  38. 前記要求を認証する前記動作には、
    暗号化サービスを要求するクライアントと、
    前記クライアントが暗号化サービスを要求する前記ネットワーク化された装置と、
    前記ネットワーク化された装置上で実行される機能又はプログラムと、
    からなる一つ以上の組のアイデンティティを認証する動作を含む請求項33に記載の暗号キーサービスを提供するコンピュータ実行方法。
  39. 前記要求の許可を判断する動作には、
    暗号化サービスを要求するクライアントと、
    前記クライアントが暗号化サービスを要求する前記ネットワーク化された装置と、
    前記ネットワーク化された装置上で実行する機能又はプログラムと、
    からなる一つ以上の組に与えられる許可特権を判断する動作を含む請求項33に記載の暗号キーサービスを提供するコンピュータ実行方法。
  40. 前記要求の許可を判断する動作には、前記要求が、前記暗号化サービスの要求に関連付けられる要求元の権利の範囲内であるかについて判断する動作を含む請求項38に記載の暗号キーサービスを提供するコンピュータ実行方法。
  41. 暗号化サービスの要求の全てを探知する動作をさらに含む請求項33に記載の暗号キーサービスを提供するコンピュータ実行方法。
  42. ネットワーク化された暗号キーサービスを提供するコンピュータ実行方法であって、
    暗号化APIをアプリケーションサーバ内で統合する動作と、
    前記アプリケーションサーバ上で実行する複数のアプリケーションに、前記暗号化APIを介して暗号化サービスをエクスポーズする動作と、
    前記アプリケーションサーバ及び遠隔の暗号キーサーバとの間で安全なネットワークコミュニケーションチャンネルを確立する動作と、
    前記暗号化APIにおいてアプリケーションから暗号化サービスの要求を受信する動作と、
    暗号化サービスの前記要求を、前記暗号キーサーバに対して送信するために、マーシャルする動作と、
    前記マーシャルされた暗号化サービスの要求を、前記安全なネットワークコミュニケーションチャンネルを介して、前記暗号キーサーバに送信する動作と、
    前記要求に対する応答を、前記安全なネットワークコミュニケーションチャンネルを介して受信する動作と、
    前記応答をアンマーシャルする動作と、
    前記暗号化APIを介して前記要求するアプリケーションに対して有効な応答を与える動作と、
    からなるネットワーク化された暗号キーサービスを提供するコンピュータ実行方法。
  43. サーバシステム内の暗号キーを保護する方法であって、
    データの暗号化に用いられる暗号キーをキーサーバに保存するコンピュータ実行動作を含み、
    前記キーサーバは、安全なコミュニケーションチャンネルを利用して、前記サーバシステムの少なくとも一つのコンポーネントと連絡するサーバシステム内の暗号キーを保護する方法。
  44. ネットワークシステム内の暗号キーを保護する方法であって、
    データの暗号化に用いられる暗号キーをキーサーバに保存するコンピュータ実行動作を含み、
    前記キーサーバは、前記ネットワークシステムの少なくとも一つのコンポーネントのために暗号化操作を行う専用のネットワークアプライアンスであるネットワークシステム内の暗号キーを保護する方法。
  45. 前記暗号化操作は、セキュアソケットレイヤー(SSL)プロトコルに基づく操作を含む請求項44に記載のネットワークシステム内の暗号キーを保護する方法。
  46. 前記暗号化操作は、トランスポートレイヤーセキュリティ(TLS)プロトコルに基づく操作を含む請求項44に記載のネットワークシステム内の暗号キーを保護する方法。
  47. 機密データは、暗号化された形式のみで、前記ネットワークシステム内に保存される請求項44に記載のネットワークシステム内の暗号キーを保護する方法。
  48. 前記暗号キーサーバは、暗号キーを保存し、前記記憶された暗号キーへのアクセスをコントロールする、ネットワークシステム内の暗号キーを保護する暗号キーサーバアプライアンス。
  49. 前記アクセスは、暗号化操作のために単独で保存される前記暗号キーの少なくとも一つを利用することを含む請求項48に記載の暗号キーサーバアプライアンス。
  50. 前記アクセスは、復号化操作のために単独で保存される前記暗号キーの少なくとも一つを利用することを含む請求項48に記載の暗号キーサーバアプライアンス。
  51. 機密情報をサーバシステム内で保護する暗号化アプライアンスであって、
    データコミュニケーションバスと、
    前記データコミュニケーションバスと双方向で連結される中央処理装置と、
    前記データコミュニケーションバスと双方向で連結される一時的記憶装置と、
    前記データコミュニケーションバスと双方向で連結される持続的記憶装置と、
    前記データコミュニケーションバスと双方向で連結されるネットワーク入出力装置と、
    前記データコミュニケーションバスと双方向で連結される暗号化アクセラレータ装置と、
    ハードウェアセキュリティモジュールと、
    前記データコミュニケーションバスと連結されるスマートカードインターフェースと、
    からなる暗号化アプライアンス。
  52. 暗号化サービスをネットワークシステムに提供するコンピュータ実行方法であって、
    暗号キーをキーサーバに安全にロードする動作と、
    前記ネットワークシステムの第一のコンポーネントと前記キーサーバとの間に安全なトランスポートセッションを確立する動作と、
    前記第一のコンポーネントを含む前記ネットワークの一つ以上のコンポーネントを、前記キーサーバに対して認証する動作と、
    前記第一のコンポーネントを含む前記ネットワークの一つ以上のコンポーネントを、前記キーサーバに対して許可することを判断する動作と、
    暗号操作の要求を前記第一のコンポーネントから前記キーサーバに対して行う動作と、
    前記要求が、認証及び許可の判断の動作と関連する結果に基づいて、前記キーサーバによって実行されるべきかを判断する動作と、
    前記要求が許可された場合には、前記要求された暗号操作を、前記キーサーバ上で行う動作と、
    要求された暗号操作の結果を、前記安全なトランスポートセッションを介して、前記キーサーバから前記第一コンポーネントに与える動作と、
    からなるコンピュータ実行方法。
  53. ネットワークシステム内のデータを保護するコンピュータ実行方法であって、
    前記コンピュータ実行方法は、ネットワーク装置に対して、アプリケーションサーバへの途中のデータの傍受及び検査を与える動作を含み、
    前記ネットワーク装置は、グループキーを共有する暗号化サーバの所定のグループの一部であるとともに、
    前記データが機密データであるかを判断し、
    前記データが機密的である場合には、暗号データを形成するために前記データを暗号化し、その暗号化の動作には、暗号サーバの前記所定のグループに共有されるグループキーの使用が含まれ、
    前記暗号化データを前記アプリケーションサーバに転送し、
    且つ、前記コンピュータ実行方法は、前記暗号化データを、前記アプリケーションサーバと関連付けられる記憶媒体に保存する動作を含み、
    さらに、前記コンピュータ実行方法は、前記データに前記一つ以上のバックエンドアプリケーションサーバがアクセスすることを許可される場合には、前記記憶媒体から前記暗号化データをレトリーブして復号化するために、暗号化サーバの前記所定のグループの一つを採用させる動作を含む、ネットワークシステム内のデータを保護するコンピュータ実行方法。
JP2004521666A 2002-07-12 2003-07-11 ネットワークに付随する暗号化 Pending JP2005533438A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US39568502P 2002-07-12 2002-07-12
PCT/US2003/021695 WO2004008676A2 (en) 2002-07-12 2003-07-11 Network attached encryption

Publications (2)

Publication Number Publication Date
JP2005533438A true JP2005533438A (ja) 2005-11-04
JP2005533438A5 JP2005533438A5 (ja) 2008-05-01

Family

ID=30115910

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004521666A Pending JP2005533438A (ja) 2002-07-12 2003-07-11 ネットワークに付随する暗号化

Country Status (6)

Country Link
EP (1) EP1540628A4 (ja)
JP (1) JP2005533438A (ja)
KR (1) KR20050026478A (ja)
CN (1) CN1679066B (ja)
AU (1) AU2003251853A1 (ja)
WO (1) WO2004008676A2 (ja)

Cited By (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006352834A (ja) * 2005-05-20 2006-12-28 Hitachi Ltd 暗号化通信方法及びシステム
JP2010146169A (ja) * 2008-12-17 2010-07-01 Nippon Telegr & Teleph Corp <Ntt> Webシステムおよびリクエスト処理方法
US20140229739A1 (en) 2013-02-12 2014-08-14 Amazon Technologies, Inc. Delayed data access
JP2015146548A (ja) * 2014-02-04 2015-08-13 日本電気株式会社 情報処理装置及び情報処理方法、情報処理システム、並びにコンピュータ・プログラム
CN105103119A (zh) * 2013-02-12 2015-11-25 亚马逊技术股份有限公司 数据安全服务系统
JP2016038916A (ja) * 2014-08-07 2016-03-22 キヤノンマーケティングジャパン株式会社 アプリケーションサーバ、認証システム、認証サーバと、その処理方法及びプログラム
KR101610182B1 (ko) 2015-06-18 2016-04-08 (주)가바플러스 원격서비스 시스템의 클라이언트 단말기 보안장치 및 그 방법
US9608813B1 (en) 2013-06-13 2017-03-28 Amazon Technologies, Inc. Key rotation techniques
US9705674B2 (en) 2013-02-12 2017-07-11 Amazon Technologies, Inc. Federated key management
US9866392B1 (en) 2014-09-15 2018-01-09 Amazon Technologies, Inc. Distributed system web of trust provisioning
US9942036B2 (en) 2014-06-27 2018-04-10 Amazon Technologies, Inc. Supporting a fixed transaction rate with a variably-backed logical cryptographic key
US10055594B2 (en) 2012-06-07 2018-08-21 Amazon Technologies, Inc. Virtual service provider zones
US10075471B2 (en) 2012-06-07 2018-09-11 Amazon Technologies, Inc. Data loss prevention techniques
US10075295B2 (en) 2013-02-12 2018-09-11 Amazon Technologies, Inc. Probabilistic key rotation
US10084818B1 (en) 2012-06-07 2018-09-25 Amazon Technologies, Inc. Flexibly configurable data modification services
US10211977B1 (en) 2013-02-12 2019-02-19 Amazon Technologies, Inc. Secure management of information using a security module
US10467422B1 (en) 2013-02-12 2019-11-05 Amazon Technologies, Inc. Automatic key rotation
US10721075B2 (en) 2014-05-21 2020-07-21 Amazon Technologies, Inc. Web of trust management in a distributed system
JP2021027402A (ja) * 2019-07-31 2021-02-22 株式会社Sbi Bits 秘密鍵を再製するためのシステム
US11036869B2 (en) 2013-02-12 2021-06-15 Amazon Technologies, Inc. Data security with a security module

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101141251B (zh) * 2006-09-08 2012-05-23 华为技术有限公司 通信系统中消息加密签名的方法及系统和设备
US20080178010A1 (en) 2007-01-18 2008-07-24 Vaterlaus Robert K Cryptographic web service
US9118665B2 (en) 2007-04-18 2015-08-25 Imation Corp. Authentication system and method
KR101008896B1 (ko) * 2009-04-16 2011-01-17 동서대학교산학협력단 에이티에이 기반 가상 저장 시스템을 위한 안전한 데이터 전송 방법
JP2012064995A (ja) 2010-09-14 2012-03-29 Hitachi Ltd 暗号装置管理方法、暗号装置管理サーバ、プログラム及び記憶媒体
US9197407B2 (en) 2011-07-19 2015-11-24 Cyberlink Corp. Method and system for providing secret-less application framework
US20130179676A1 (en) * 2011-12-29 2013-07-11 Imation Corp. Cloud-based hardware security modules
CN105409159B (zh) * 2013-07-18 2019-09-06 日本电信电话株式会社 密钥保管装置、密钥保管方法、以及其记录介质
EP3021518B1 (en) * 2013-08-22 2018-04-18 Nippon Telegraph And Telephone Corporation Multi-party secure authentication system, authentication server, intermediate server, multi-party secure authentication method, and program
CN103532964B (zh) * 2013-10-22 2016-09-07 邱文乔 一种验证tcp连接安全性的方法
CN104717195A (zh) * 2013-12-17 2015-06-17 中国移动通信集团福建有限公司 业务系统密码管理方法和装置
CN103916233B (zh) * 2014-03-28 2018-05-29 小米科技有限责任公司 一种信息加密方法及装置
CN105991622A (zh) * 2015-03-05 2016-10-05 阿里巴巴集团控股有限公司 一种报文验证方法及设备
CN106157028B (zh) * 2015-04-15 2021-03-26 航天信息股份有限公司 一种基于可信平台的金融ic卡多次发卡系统及方法
KR101693249B1 (ko) * 2015-09-08 2017-01-06 충북대학교 산학협력단 어플리케이션 관리 시스템 및 방법
CN105516083A (zh) * 2015-11-25 2016-04-20 上海华为技术有限公司 一种数据安全管理的方法、装置及系统
CN105704148A (zh) * 2016-03-24 2016-06-22 广州三星通信技术研究有限公司 安全传输信息的方法和设备
CN106027646B (zh) * 2016-05-19 2019-06-21 北京云钥网络科技有限公司 一种加速https的方法及装置
EP3382612A1 (de) * 2017-03-31 2018-10-03 Siemens Aktiengesellschaft Verfahren und vorrichtung zum rechnergestützten bereitstellen sicherheitsgeschützter satellitennavigationsdatensätze
CN109005187A (zh) * 2018-08-21 2018-12-14 广州飞硕信息科技股份有限公司 一种通信信息保护方法及装置
CN110912852B (zh) * 2018-09-14 2022-04-08 阿里巴巴集团控股有限公司 获取密钥的方法、装置和系统,存储介质和计算机终端

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07170280A (ja) * 1993-12-15 1995-07-04 Ricoh Co Ltd ローカルエリアネットワーク
JPH1188321A (ja) * 1997-09-02 1999-03-30 Kiyadeitsukusu:Kk ディジタル署名生成サーバ

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5828832A (en) * 1996-07-30 1998-10-27 Itt Industries, Inc. Mixed enclave operation in a computer network with multi-level network security
US6397330B1 (en) * 1997-06-30 2002-05-28 Taher Elgamal Cryptographic policy filters and policy control method and apparatus
US6202157B1 (en) * 1997-12-08 2001-03-13 Entrust Technologies Limited Computer network security system and method having unilateral enforceable security policy provision
US6073242A (en) * 1998-03-19 2000-06-06 Agorics, Inc. Electronic authority server
US6484259B1 (en) * 1999-07-23 2002-11-19 Microsoft Corporation Methods and arrangements for mapping widely disparate portable tokens to a static machine concentric cryptographic environment
EP1230777B1 (en) * 1999-11-10 2008-10-22 Unisys Corporation Method and apparatus for providing redundant and resilient cryptographic services
US7373656B2 (en) * 2000-10-27 2008-05-13 Sandisk Il Ltd. Automatic configuration for portable devices

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07170280A (ja) * 1993-12-15 1995-07-04 Ricoh Co Ltd ローカルエリアネットワーク
JPH1188321A (ja) * 1997-09-02 1999-03-30 Kiyadeitsukusu:Kk ディジタル署名生成サーバ

Cited By (40)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006352834A (ja) * 2005-05-20 2006-12-28 Hitachi Ltd 暗号化通信方法及びシステム
JP2010146169A (ja) * 2008-12-17 2010-07-01 Nippon Telegr & Teleph Corp <Ntt> Webシステムおよびリクエスト処理方法
US10834139B2 (en) 2012-06-07 2020-11-10 Amazon Technologies, Inc. Flexibly configurable data modification services
US10474829B2 (en) 2012-06-07 2019-11-12 Amazon Technologies, Inc. Virtual service provider zones
US10084818B1 (en) 2012-06-07 2018-09-25 Amazon Technologies, Inc. Flexibly configurable data modification services
US10075471B2 (en) 2012-06-07 2018-09-11 Amazon Technologies, Inc. Data loss prevention techniques
US10055594B2 (en) 2012-06-07 2018-08-21 Amazon Technologies, Inc. Virtual service provider zones
US9705674B2 (en) 2013-02-12 2017-07-11 Amazon Technologies, Inc. Federated key management
US11036869B2 (en) 2013-02-12 2021-06-15 Amazon Technologies, Inc. Data security with a security module
US11695555B2 (en) 2013-02-12 2023-07-04 Amazon Technologies, Inc. Federated key management
US11372993B2 (en) 2013-02-12 2022-06-28 Amazon Technologies, Inc. Automatic key rotation
JP2016511995A (ja) * 2013-02-12 2016-04-21 アマゾン テクノロジーズ インコーポレイテッド 遅延データアクセス
US20140229739A1 (en) 2013-02-12 2014-08-14 Amazon Technologies, Inc. Delayed data access
US10666436B2 (en) 2013-02-12 2020-05-26 Amazon Technologies, Inc. Federated key management
JP2016508643A (ja) * 2013-02-12 2016-03-22 アマゾン テクノロジーズ インコーポレイテッド データセキュリティサービス
CN105103119B (zh) * 2013-02-12 2020-01-17 亚马逊技术股份有限公司 数据安全服务系统
US10075295B2 (en) 2013-02-12 2018-09-11 Amazon Technologies, Inc. Probabilistic key rotation
CN105103119A (zh) * 2013-02-12 2015-11-25 亚马逊技术股份有限公司 数据安全服务系统
US10211977B1 (en) 2013-02-12 2019-02-19 Amazon Technologies, Inc. Secure management of information using a security module
US10210341B2 (en) 2013-02-12 2019-02-19 Amazon Technologies, Inc. Delayed data access
US10467422B1 (en) 2013-02-12 2019-11-05 Amazon Technologies, Inc. Automatic key rotation
US10382200B2 (en) 2013-02-12 2019-08-13 Amazon Technologies, Inc. Probabilistic key rotation
US10404670B2 (en) 2013-02-12 2019-09-03 Amazon Technologies, Inc. Data security service
US9832171B1 (en) 2013-06-13 2017-11-28 Amazon Technologies, Inc. Negotiating a session with a cryptographic domain
US9608813B1 (en) 2013-06-13 2017-03-28 Amazon Technologies, Inc. Key rotation techniques
US11470054B2 (en) 2013-06-13 2022-10-11 Amazon Technologies, Inc. Key rotation techniques
US10601789B2 (en) 2013-06-13 2020-03-24 Amazon Technologies, Inc. Session negotiations
US10313312B2 (en) 2013-06-13 2019-06-04 Amazon Technologies, Inc. Key rotation techniques
US11323479B2 (en) 2013-07-01 2022-05-03 Amazon Technologies, Inc. Data loss prevention techniques
JP2015146548A (ja) * 2014-02-04 2015-08-13 日本電気株式会社 情報処理装置及び情報処理方法、情報処理システム、並びにコンピュータ・プログラム
US10721075B2 (en) 2014-05-21 2020-07-21 Amazon Technologies, Inc. Web of trust management in a distributed system
US11368300B2 (en) 2014-06-27 2022-06-21 Amazon Technologies, Inc. Supporting a fixed transaction rate with a variably-backed logical cryptographic key
US9942036B2 (en) 2014-06-27 2018-04-10 Amazon Technologies, Inc. Supporting a fixed transaction rate with a variably-backed logical cryptographic key
US10587405B2 (en) 2014-06-27 2020-03-10 Amazon Technologies, Inc. Supporting a fixed transaction rate with a variably-backed logical cryptographic key
JP2016038916A (ja) * 2014-08-07 2016-03-22 キヤノンマーケティングジャパン株式会社 アプリケーションサーバ、認証システム、認証サーバと、その処理方法及びプログラム
US9866392B1 (en) 2014-09-15 2018-01-09 Amazon Technologies, Inc. Distributed system web of trust provisioning
US11626996B2 (en) 2014-09-15 2023-04-11 Amazon Technologies, Inc. Distributed system web of trust provisioning
KR101610182B1 (ko) 2015-06-18 2016-04-08 (주)가바플러스 원격서비스 시스템의 클라이언트 단말기 보안장치 및 그 방법
JP2021027402A (ja) * 2019-07-31 2021-02-22 株式会社Sbi Bits 秘密鍵を再製するためのシステム
JP7041650B2 (ja) 2019-07-31 2022-03-24 株式会社Sbi Bits 秘密鍵を再製するためのシステム

Also Published As

Publication number Publication date
WO2004008676A2 (en) 2004-01-22
AU2003251853A1 (en) 2004-02-02
EP1540628A4 (en) 2010-08-04
EP1540628A2 (en) 2005-06-15
WO2004008676A3 (en) 2004-04-01
KR20050026478A (ko) 2005-03-15
CN1679066B (zh) 2011-08-31
AU2003251853A8 (en) 2004-02-02
CN1679066A (zh) 2005-10-05

Similar Documents

Publication Publication Date Title
JP2005533438A (ja) ネットワークに付随する暗号化
US20060149962A1 (en) Network attached encryption
US11671425B2 (en) Cross-region requests
CN111066286B (zh) 使用高可用性的可信执行环境检索区块链网络的公共数据
JP6462103B2 (ja) 特権的コンピューティングオペレーションの結果の保護
US9584517B1 (en) Transforms within secure execution environments
US10412059B2 (en) Resource locators with keys
US9946895B1 (en) Data obfuscation
US10680827B2 (en) Asymmetric session credentials
US10037428B2 (en) Data security using request-supplied keys
US10110579B2 (en) Stateless and secure authentication
US10313112B2 (en) Browser security module
US10182044B1 (en) Personalizing global session identifiers
US20160373414A1 (en) Handshake offload
US10277569B1 (en) Cross-region cache of regional sessions
US10122689B2 (en) Load balancing with handshake offload
US20210083873A1 (en) Secure authorization for sensitive information
EP4020276A1 (en) Scalabe attestation for trusted execution environments
US9053297B1 (en) Filtering communications
US11671251B1 (en) Application programming interface to generate data key pairs
US11768948B1 (en) Enclave-based cryptography services in edge computing environments
Sarhan et al. Secure android-based mobile banking scheme
WO2022212396A1 (en) Systems and methods of protecting secrets in use with containerized applications
US11626985B1 (en) Data reencryption techniques
WO2003067850A1 (en) Verifying digital content integrity

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060705

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080314

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20080623

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20090325

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20090325

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100108

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20100407

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20100414

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20100507

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20100514

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20100608

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20100615

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100917