JP2005537559A - トランザクションの安全な記録 - Google Patents

トランザクションの安全な記録 Download PDF

Info

Publication number
JP2005537559A
JP2005537559A JP2004532382A JP2004532382A JP2005537559A JP 2005537559 A JP2005537559 A JP 2005537559A JP 2004532382 A JP2004532382 A JP 2004532382A JP 2004532382 A JP2004532382 A JP 2004532382A JP 2005537559 A JP2005537559 A JP 2005537559A
Authority
JP
Japan
Prior art keywords
record
data
transaction
signed
partial
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004532382A
Other languages
English (en)
Inventor
ポール アール シモンズ
デイヴィド シー ユレ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Koninklijke Philips NV
Original Assignee
Koninklijke Philips Electronics NV
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Koninklijke Philips Electronics NV filed Critical Koninklijke Philips Electronics NV
Publication of JP2005537559A publication Critical patent/JP2005537559A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Debugging And Monitoring (AREA)
  • Storage Device Security (AREA)

Abstract

第1データ処理装置(10)と第2データ処理装置(20)との間で確立されたトランザクションのデータを記録した安全なトランザクション記録を発生する方法である。当該トランザクション記録は、第1装置から導出され、第2装置によりデジタル的に署名され、次いで第1装置によりデジタル的に再署名されたトランザクションデータを含み、コピーが両装置にローカルに記憶される。何れかの装置による、又はこれら装置間のデータの伝送の間における当該データの如何なる妨害も、両装置にとり明らかとなる。上記トランザクションデータは、信頼される第三者としての独立した第三者により受信され署名されたデータを含むことができる。

Description

本発明は、2以上のデータ処理装置間のトランザクションの記録(ロギング)に関し、特には斯かる装置間の各トランザクションに関する安全な記録を行う方法に関する。
第1当事者と第2当事者との間で伝送されるデータの正真さ及び完全さの検証を可能にするために、公開キー(public key)暗号方式を用いたデジタル署名を使用することは良く知られている。
通常使用される方法は、第1当事者が、第2当事者に伝送されるべきデータに一方向ハッシュ関数を適用するものである。結果としてのハッシュコードは、次いで、第1当事者の秘密キー(private key)を用いて暗号化することができ、第2当事者に対して元のデータと一緒に“署名”として送信される。第2当事者は、元のデータに同一のハッシュ関数を適用することができ、第1当事者の公開キーを知っているので、該第1当事者の公開キーを用いて上記の暗号化されたハッシュコード(上記“署名”)を解読することができる。当該ハッシュコードの上記2つのバージョンが一致したら、第2当事者は、(i)当該データは確かに第1当事者から来た(即ち、正真さは検証された)及び(ii)当該データは途中で妨害され又は壊れていない(即ち、データの完全さが検証された)、と確信することができる。
コンピュータネットワークに接続されたアクセス制御装置が、第三者装置による特定の機能へのアクセスの安全な制御を提供するような、多くのアプリケーション及びシステムが存在する。斯かる制御は、通常は、第三者装置が上記制御装置に対して識別及び他のデータ(時には暗号化される)を供給し、該制御装置が斯かるデータから当該機能の使用は許可されているか又は許可されていないかを判定することにより実行される。
このようなシステムの典型的な例は、“スマートカード”又は“カードキー”を用いた大きな建物への物理的アクセス制御のためのものである。このシステムにおいては、当該建物へのアクセスを要する人は、各々、カードキーを携帯し、該カードキーは当該建物の各アクセス制御点(例えば、外部及び内部アクセス扉の両方)に設置された入力点アクセス制御装置(例えば、電子錠)に識別パスワード(キー)を供給する。次いで、上記アクセス制御装置は、受信されたパスワードキーに基づいて、アクセスを許可(例えば、扉を開錠)すべきかを判定する。
上記カードキー及びアクセス制御装置のような、2つの装置間の全てのトランザクションを記録し、結果としてのトランザクション記録を誰が当該建物へ、何のアクセス点で、何時アクセスを得たかを立証するために使用することができるようにすることが、時には必要となり、又は非常に望ましい。一般的に、アクセス制御装置は中央制御コンピュータに接続され、該コンピュータにおいてトランザクション記録が記憶される。
更に、上記トランザクション記録は、両当事者の検証された素性のみならず、合意又は検証されたタイムスタンプも記録することが時には望ましい。
本発明の目的は、トランザクション記録を当該トランザクションに対して当事者となる両装置により正真性及びデータ完全性に関して検証することができるような安全なトランザクション記録システムを提供することにある。このようにして、上記トランザクション記録は、当該トランザクションに対して当事者であった両装置により検証されたトランザクションデータを含むことができる。
本発明の他の目的は、当該トランザクション記録を、トランザクションに対して当事者であった装置の公開キーを知っている第三者により正真性及びデータの完全性に関して検証することができるような安全なトランザクション記録システムを提供することにある。
本発明の更なる目的は、当該トランザクションに関連するデータ(例えば、タイムスタンプデータ)を両当事者により検証されて別個に且つ安全に記録することができるような安全なトランザクション記録システムを提供することにある。
このようにして、中央制御コンピュータに送信される際のデータへの又は何れかの装置への妨害を検出することができる。更に、無許可の装置上で使用するためのパスワードデータの窃取、又はトランザクションデータの破損も検出することができる。
一態様によれば、本発明は、第1処理装置と第2処理装置との間で確立されたトランザクションデータを記録した安全なトランザクション記録を発生する方法であって、
上記第1装置が上記第2装置に部分的トランザクション記録を送出するステップであって、該部分的トランザクション記録が当該トランザクションに関連する識別データ及びイベントデータを含むようなステップと、
上記部分的トランザクション記録に応答して、第2装置が第1装置に対し、第2装置に固有な第1デジタル署名により保証(secure)された、前記識別データ及びイベントデータを含むような署名された完全な記録を送出するステップと、
該署名された完全な記録に応答して第1装置が、該第1装置に固有な第2デジタル署名により保証された、前記識別データ、前記イベントデータ及び前記第1デジタル署名を含むような再署名された完全な記録を送出するステップと、
を有するような方法を提供する。
他の態様によれば、本発明は、アクセス制御装置を動作させて、第1処理装置と該アクセス制御装置との間で確立されたトランザクションデータを記録した安全なトランザクション記録を発生させる方法であって、
上記第1装置から部分的トランザクション記録を受信するステップであって、該部分的トランザクション記録が当該トランザクションに関連する識別データ及びイベントデータを含むようなステップと、
上記部分的トランザクション記録に応答して、第1装置に対し、当該アクセス制御装置に固有な第1デジタル署名により保証された、前記識別データ及びイベントデータを含むような署名された完全な記録を送出するステップと、
第1装置から、該署名された完全な記録に応答して、該第1装置に固有な第2デジタル署名により保証された、前記識別データ、前記イベントデータ及び前記第1デジタル署名を含むような再署名された完全な記録を受信するステップと、
を有するような方法を提供する。
また、他の態様によれば、本発明は、第1データ処理装置を動作させて、該第1装置と第2データ処理装置との間で確立されたトランザクションデータを記録した安全なトランザクション記録を発生させる方法であって、
上記第2装置に対し部分的トランザクション記録を送出するステップであって、該部分的トランザクション記録が当該トランザクションに関連する識別データ及びイベントデータを含むようなステップと、
第2装置から、上記部分的トランザクション記録に応答して、該第2装置に固有な第1デジタル署名により保証された、前記識別データ及びイベントデータを含むような署名された完全な記録を受信するステップと、
該署名された完全な記録に応答して、当該第1装置に固有な第2デジタル署名により保証された、前記識別データ、前記イベントデータ及び前記第1デジタル署名を含むような再署名された完全な記録を送出するステップと、
を有するような方法を提供する。
また、他の態様によれば、本発明は第1データ処理装置と第2データ処理装置との間で確立されたトランザクションデータを記録した安全なトランザクション記録を発生する装置であって、
部分的トランザクション記録を前記第2装置に送出する前記第1装置における手段であって、該部分的トランザクション記録が当該トランザクションに関連する識別データ及びイベントデータを含むような手段と、
上記部分的トランザクション記録に応答して、第1装置に対し第2装置に固有な第1デジタル署名により保証(secure)された、前記識別データ及びイベントデータを含むような署名された完全な記録を送出する前記第2装置における手段と、
該署名された完全な記録に応答して、第1装置に固有な第2デジタル署名により保証された、前記識別データ、前記イベントデータ及び前記第1デジタル署名を含むような再署名された完全な記録を送出する前記第1装置における手段と、
を有するような装置を提供する。
また、他の態様によれば、本発明は自身と第1装置との間で確立されたトランザクションデータを記録した安全なトランザクション記録を発生するように構成されたアクセス制御装置であって、
上記第1装置から、当該トランザクションに関連する識別データ及びイベントデータを含むような部分的トランザクション記録を受信する手段と、
上記部分的トランザクション記録に応答して、第1装置に対し当該アクセス制御装置に固有な第1デジタル署名により保証された、前記識別データ及びイベントデータを含むような署名された完全な記録を送出する手段と、
第1装置から、該署名された完全な記録に応答して、該第1装置に固有な第2デジタル署名により保証された、前記識別データ、前記イベントデータ及び前記第1デジタル署名を含むような再署名された完全な記録を受信する手段と、
を有するような装置を提供する。
また、他の態様によれば、本発明は自身と第2データ処理装置との間で確立されたトランザクションデータを記録した安全なトランザクション記録を発生するように構成されたデータ処理装置であって、
上記第2装置に対し、当該トランザクションに関連する識別データ及びイベントデータを含むような部分的トランザクション記録を送出する手段と、
第2装置から、上記部分的トランザクション記録に応答して、該第2装置に固有な第1デジタル署名により保証された、前記識別データ及びイベントデータを含むような署名された完全な記録を受信する手段と、
該署名された完全な記録に応答して、当該データ処理装置に固有な第2デジタル署名により保証された、前記識別データ、前記イベントデータ及び前記第1デジタル署名を含むような再署名された完全な記録を送出する手段と、
を有するような装置を提供する。
以下、本発明の実施例を、添付図面を参照して例示として説明する。
図1を参照して、少なくとも2つの装置10及び20の間の安全なトランザクション記録処理を実施するのに適した装置を説明する。
第1装置10は、プロセッサ11とメモリ12とを含んでいる。プロセッサ11は、第1装置10に固有なデジタル署名の第2装置20に送信されるべきデータに対する適用を含む、第1装置と第2装置との間のデータ処理トランザクションを処理するように特別に構成されている。従って、プロセッサ11は特定の暗号エンジンを含むことができるか、又は斯かる暗号機能を汎用プロセッサにより実行することもできる。
如何なる好適なタイプ又は複数のタイプのものとすることが可能なメモリ12は、第2装置20又は他の装置(図示略)とのデータ処理トランザクションを処理するために要する記憶容量を含む。特に、メモリ12は好ましくは識別データを記憶する識別データレジスタ13を含み、この識別データにより装置10を識別することができ、該データは暗号化されない又は暗号化された形態とすることができる。更に、メモリ12は好ましくはキーレジスタ14を含み、該レジスタは装置10が通信をする必要がある全ての他の装置の、デジタル署名及び/又はそれらの暗号化された通信を解読するための公開キー(public keys)を格納する。また、キーレジスタ14は、当該装置から出力するメッセージに署名するための、該装置10に固有の秘密キー(private key)を含むことができる。
また、メモリ12は好ましくは、他の装置20との全ての関係するトランザクションの記録を保持するトランザクション記録レジスタ15も含む。
また、第1装置はリアルタイム又は他のクロック16も含む。一般的に、“クロック”なる該表現は、当該第1装置の時間ドメインにおける時間的に隔たったイベントを印す如何なるトランザクションカウンタ又は機構も含むことを意図するものである。
第2装置20も、プロセッサ21及びメモリ22を含む。プロセッサ21も、第2装置20に固有なデジタル署名の第1装置10に送信されるデータへの適用を含む、第1装置と第2装置との間のデータ処理トランザクションを処理するように特別に構成されている。従って、プロセッサ21は特定の暗号エンジンを含むことができるか、又は斯かる暗号機能を汎用プロセッサにより実行することもできる。
如何なる好適なタイプ又は複数のタイプのものとすることが可能なメモリ22は、第1装置10又は他の装置(図示略)とのデータ処理トランザクションを処理するために要する記憶容量を含む。特に、メモリ22は好ましくは識別データを記憶する識別データレジスタ23を含み、この識別データにより装置20を識別することができ、該データは暗号化されない又は暗号化された形態とすることができる。更に、メモリ22は好ましくはキーレジスタ24を含み、該レジスタは装置20が通信をする必要がある全ての他の装置の、それらのデジタル署名を解読するための公開キーを含む。また、キーレジスタ24は、当該装置から出力するメッセージに署名するための、該装置20に固有の秘密キーも含むことができる。
また、メモリ22は好ましくは、他の装置10との全ての関係するトランザクションの記録を保持するトランザクション記録レジスタ25も含む。
また、第2装置はリアルタイム又は他のクロック26も含む。一般的に、“クロック”なる該表現は、当該第2装置の時間ドメインにおける時間的に隔たったイベントを印す如何なるトランザクションカウンタ又は機構も含むことを意図するものである。
2つの装置10及び20しか図示されていないが、当該トランザクション記録処理の原理は、一群の装置における如何なる2以上の装置間にも当てはめることができると理解される。
装置10及び20は、如何なる好適な通信チャンネル30を介しても互いに通信するようになっている。
例えば、通信チャンネル30は、当該装置間の永久的又は一時的な直接電気接続とすることもでき、又は、例えば一方の装置10がカードキーであり他方の装置20が電子ドア錠であるような場合、光、赤外線、RF、電磁又は誘導リンクとすることもできる。一方、通信チャンネル30は、当該装置がネットワーク可能なコンピュータシステムであるような場合、永久的又は一時的なネットワーク接続とすることもできる。
他の実施例においては、第2装置20は第2通信チャンネル31を介してサーバ40に接続することができ、該サーバは第1装置10と第2装置20との間のトランザクション記録内に第三者データを挿入するために使用することができる。該通信チャンネル31は、データを伝送する如何なる好適な手段、好ましくはネットワーク、更に好ましくはインターネットとすることができる。
第1装置10及び第2装置20に関連して前述したのと同様に、サーバ40は好ましくはプロセッサ41及びメモリ42を含む。プロセッサ41は、第2装置に送信されるデータを保証するための当該サーバに固有なデジタル署名の適用を含む、第2(又は他の)装置とのデータ処理トランザクションを処理するように特別に構成されている。従って、プロセッサ41は特定の暗号エンジンを含むことができるか、又は斯かる暗号機能を汎用プロセッサにより実行することもできる。
如何なる好適なタイプ又は複数のタイプのものとすることも可能なメモリ42は、第2装置20又は他の装置(図示略)とのデータ処理トランザクションを処理するために要する記憶容量を含む。特に、メモリ42は好ましくは識別データを記憶する識別データレジスタ43を含み、この識別データによりサーバ40を識別することができ、該データは暗号化されない又は暗号化された形態とすることができる。更に、メモリ42は好ましくはキーレジスタ44を含み、該レジスタはサーバ40が通信をする必要がある全ての他の装置の、それらのデジタル署名を解読するための公開キーを含む。また、キーレジスタ44は、当該サーバから出力するメッセージに署名するための、該サーバ40に固有の秘密キーも含むことができる。
また、メモリ42は好ましくは、他の装置10及び20との全ての関係するトランザクションの記録を保持するトランザクション記録レジスタ45も含む。
また、サーバ40はリアルタイム又は他のクロック46も含む。一般的に、“クロック”なる該表現は、当該サーバの時間ドメインにおける時間的に隔たったイベントを印す如何なるトランザクションカウンタ又は機構も含むことを意図するものであり、当該サーバの上記時間ドメインは第1及び第2装置の何れか又は両者の時間ドメインとは独立とすることができる。
好ましい実施例においては、第1装置10は、建物、制限区域又はコンピュータ資源等の設備、構内又は資源へのユーザのアクセスを許可する携帯カードキー型装置とすることができる。このような場合、第2装置20は、電子ドア錠、門の錠、装置制御システム又はコンピュータシステムのようなアクセス制御装置であり得る。
一般的態様においては、上記アクセス制御装置は第1装置に対してトランザクションサービスを効果的に提供する如何なる装置とすることもでき、斯かるサービスはデータ、プログラムコード、計算資源又は金銭的サービス等の仮想的主体又は物理的主体に対するアクセスを含むことができる。サーバ40は、全体の建物、施設又は資源に対するアクセス制御を実行する中央制御コンピュータであり得る。好ましい構成においては、サーバ40は、独立した監査部、目撃部、時間管理部又は記録管理部である。該サーバは、第2装置のものと同一のシステムの一部を形成することもできる。該サーバは、第1及び第2装置の所有者及び/又は運用者とは完全に独立した信頼のおける第三者組織により運用及び/又は所有され得る。
他の実施例において、第1装置10はスマートカード、クレジットカード又はデビットカード等の携帯型ユーザ識別装置とすることができ、第2装置20は販売機、小売り販売点端末又は他の商業トランザクション記録装置とすることができる。サーバ40は、クレジット認可コンピュータシステムとすることができる。
他の実施例においては、第1装置10は、データベース又はサーバであり得る第2装置からデータを検索しようとするコンピュータ又はデータ処理装置であり得る。
図2を参照して、第1トランザクション手順50を説明する。
第1ステップにおいて、第1装置10は第2装置20に対してリクエスト51を送出して、当該2つの装置間のトランザクションを開始する。該リクエストは、トランザクション型式指定子(要求されたトランザクションの型式を示す)及び送信元装置10を識別する識別データを含むことができる。
第2ステップにおいて、第2及び第1装置は、一般的に、要求されたトランザクションの性質及びこれにとり必須の全てのデータを決定するのに必要な程度に通信を行い、所要の認証及び必要に応じた全ての他の通信を確立することができる。便宜のために、このステップは全体として認証/交渉段階52と称するが、これは、実施される情報の流れに対する如何なる制限を意味するものでもない。
当該トランザクションのこの段階は、何れかの装置により必要な全てのデータの処理を含むことができ、当該装置間で伝送されるデータは暗号化され、暗号化されず、又は両者の組み合わせとすることができる。斯かるデータには、所望なら、送り手装置のデジタル署名が伴うことができる。本発明の目的にとり、当該トランザクションの正確な詳細は必須ではないと理解されるであろう。
第3ステップにおいて、第1装置10は第2装置20に送信するための部分記録メッセージ53を発生する。該部分記録メッセージ53は、当該トランザクションの詳細をトランザクション記録に充分に記録するために要する全てのデータを有効に含むが、特に第1装置を識別するデータ及び当該トランザクションに関係するイベントデータを含む。部分記録53は第2装置20に暗号化された及び/又は署名された形態で送信することができるが、必ずしもそのようにする必要はない。
第4ステップにおいて、第2装置20は、第1装置10から上記部分記録メッセージ53を受信し、当該トランザクションの詳細の正しい表現として該内容に満足するかを検証する。
もし必要なら、第2装置は、上記部分記録53に未だ存在しない場合には、他の識別データ(例えば、自身の素性)及び/又は当該トランザクションに関係する他のイベントデータを追加することもできる。
もし必要なら、第2装置は、第1装置により供給された上記部分記録メッセージ53の内容に満足しない場合には、第1装置により供給された情報を変更することもできる。
これにより、第2装置は第1装置に送信するための完全な記録のメッセージ54を発生する。この完全記録メッセージを送信する前に、第2装置は該完全記録メッセージにデジタル署名を付加し、これにより、該完全記録メッセージの保全を保証すると共に、当該内容の承認を示す。
署名の上記適用が全体のメッセージの暗号化を含むことができると、理解されるであろう。しかしながら、一般的な態様では、上記の署名された完全記録は、第2装置20にとり固有である第1デジタル署名により保証された当該トランザクションに関する識別データ及びイベントデータを含む。これは、第1装置により受信される上記の署名された完全記録54が、認証及びデータの完全性のために検証することができることを保証する。
上記の署名された完全記録54を受信すると、第1装置10は該署名された完全記録の完全さを上記デジタル署名を用いて検証し、次いで、該完全記録54に再署名して、第2装置に送信されるべき再署名された完全記録55を発生する。
署名された完全記録54の検証において、第1装置は、該完全記録に再署名して上記の再署名された完全記録55を発生する前に、第2装置によりなされた部分記録53に対する如何なる追加/削除/変更にも同意するかをチェックすべきであることが理解されるであろう。
該第1装置による第2デジタル署名の適用は全体のメッセージの暗号化を含むことができると理解されるであろう。しかしながら、一般的態様においては、再署名された完全記録55は、第2装置20に固有な第1デジタル署名により保証され、次いで第1装置10に固有な第2デジタル署名により保証された、当該トランザクションに関する元の識別データ及びイベントデータを含む。これは、第2装置により受信される再署名された完全記録55が、第2装置により真正であり且つデータの完全性を有すると検証することができることを保証する。
再署名された完全記録55は、第2装置によりメモリ25に記憶される。再署名された完全記録55又は署名された完全記録54の何れかが、第1装置によりメモリ15に記憶される。
この時点で、第1装置10及び第2装置20の両者は、両当事者により当該トランザクションの真の記録(account)として検証されたトランザクション記録55、56のコピーを有することが分かるであろう。当該トランザクションに署名した又は再署名した何れかの装置にとり破壊が明らかにならないで、このデータを何れかの当事者又は独立した第三者により破壊又は妨害することは不可能である。
典型的な実施例においては、実行されているトランザクション(例えば、第1装置による資源へのアクセスの獲得)は、第2装置が再署名された完全記録55を受信するような時点まで、完了することを禁止することができる。上記の再署名された完全記録が受信されると、第2装置はトランザクション56を完了するような所要の動作を許可することができる。
当該トランザクションがアクセス制御に関係する場合、再署名されたトランザクション記録55は、アクセス側及び制御側を識別する識別データと、制限された資源へのアクセスの場所、該アクセスの時間及び日付、該アクセスに対して使用された許可レベル並びに何らかの他の重要なトランザクション情報を示すイベントデータとを含むことができる。
当該トランザクションが販売機又は販売点(POS)端末の何れかからの商品の購入に関係する場合、上記の再署名されたトランザクション記録は、当該トランザクションの両当事者を識別する識別データと、販売の場所、販売の量及び/又は購入された商品を示すイベントデータとを含むことができる。
好ましくは、上記の署名された記録及び/又は再署名された記録は、参照することが可能な固有の識別コードを含む。
図2の手順の変更例においては、第1装置10は署名された完全記録54の内容に同意しないことができる。これは、第2装置20により部分記録53に対してなされた追加、変更又は削除の結果であり得るか、又は第1装置が上記の署名された完全記録に対し第2装置により適用されたデジタル署名の真正さを検証することができない故であり得る。
この例では、第1装置は、上記第1の部分記録と同一であり得る他の部分記録、又は、好ましくは、第2装置から受信されたデータの結果としての変更を署名された完全記録54に組み込んだような改訂された部分記録を送出することができる。いずれにせよ、この手順は、第2装置による第2の署名された完全記録54を発生する更なるステップを開始させるであろう。部分記録53及び署名された完全記録54を発生するステップを、第1及び第2装置が記録に同意しようと試みる交渉処理の間において繰り返すことができる回数に対しては、実際的制限は存在しない。
第1装置と第2装置との間で不一致が生じた場合に、どの様にして合意に到るかを決定するプロトコルを実施することができる。同様に、合意に到る試みを何時中止して当該トランザクションを放棄するかを決定するプロトコルを実施することもできる。
図3を参照して、より複雑な第2トランザクション手順60を説明する。
前記第1のトランザクション手順50と同様に、第1ステップにおいて、第1装置10は第2装置20に対してリクエスト61を送出して、当該2つの装置間のトランザクションを開始する。
ここでも、第1トランザクション手順50と同様に、第2ステップにおいて、第2及び第1装置は、一般的に、要求されたトランザクションの性質及びこれにとり必須の全てのデータを決定するのに必要な程度に通信を行い、所要の認証及び必要に応じた全ての他の通信を確立することができる。便宜のために、このステップはここでも認証/交渉段階62と称するが、これは、実施される情報の流れに対する如何なる制限を意味するものでもない。
当該トランザクションのこの段階は、何れかの装置により必要な全てのデータの処理を含むことができ、当該装置間で伝送されるデータは暗号化され、暗号化されず、又は両者の組み合わせとすることができる。斯かるデータには、所望なら、送り手装置のデジタル署名が伴うことができる。本発明の目的にとり、当該トランザクションの正確な詳細は必須ではないと理解されるであろう。
第3ステップにおいて、第1装置10は第2装置20に送信するための部分記録メッセージ63を発生する。該部分記録メッセージ63は、当該トランザクションの詳細をトランザクション記録に充分に記録するために要する全てのデータを有効に含むが、特に第1装置を識別するデータ及び当該トランザクションに関係するイベントデータを含む。部分記録63は第2装置20に暗号化された及び/又は署名された形態で送信することができるが、必ずしもそのようにする必要はない。
装置20は、該部分記録を調べ、必要に応じて当該記録のデータを追加し、削除し又は編集することができる。例えば、装置20は自身の装置識別子、タイミング情報等を追加することができる。
この時点で当該手順は図2のものとは逸脱する。第4ステップにおいて、第2装置20は第三者のサーバ40に対して記録充填リクエスト64を発生する。該記録充填リクエストは、通常は、部分記録63の内容(装置20により編集され得る)及び当該トランザクション記録に含める第三者データの要求を含む。
記録充填リクエスト64は、当該トランザクションを検証するためにタイムスタンプが重要である場合は、信頼のおける第三者からの独立した検証されたタイムスタンプの要求を含むことができる。これは、当該トランザクションの実行の間における第1及び第2装置10、20の何れか一方又は両方の内部クロックへの干渉の証拠を保証するために望ましい。
記録充填リクエスト64は、サーバ40からの許可コードの要求を含むことができる。例えば、当該トランザクションがクレジットカードによる商品の購入に関係する場合、上記許可コードは、当該トランザクションの間に確立されたクレジット金額に対する当該クレジットカード提供者のトランザクション許可であり得る。一般的に態様においては、上記記録充填リクエストは、第2装置からサーバ又は第3装置への部分記録リクエストと等価であると考えることができることが分かるであろう。
第5ステップにおいて、サーバ40は第2装置20に署名された記録65を返送するが、該署名された記録は該サーバからの上記要求された情報を含む。該情報(例えば、信頼される第三者のタイムスタンプ又はトランザクション許可コード)は、第2装置へ返送される記録に当該サーバのデジタル署名を付加することにより保証される。該署名された記録は、サーバ40を識別する識別データを含むことができる。該署名された記録65は暗号化されても又は暗号化されなくてもよい。上記サーバは、通常は、署名された記録65を発生する前に、記録充填リクエスト64におけるデータを追加し、減じ又は変更することができる。
第6ステップにおいて、第2装置20は、サーバ40から上記の署名された記録メッセージ65を受信し、当該トランザクションの詳細を正しく表すものとして内容に満足するかを検証すると共に、当該メッセージが真正であるかを上記サーバからのデジタル署名を用いて検証する。もし必要なら、第2装置は他の識別データ(例えば、自身の素性)及び/又は当該トランザクションに関係するイベントデータを追加することもできる。但し、これが上記サーバにより署名された当該記録の如何なる部分も妨害しないものとする。何故なら、これは、上記サーバにより署名された当該記録の如何なる斯様な部分も無効化し得るからである。これにより、第2装置20は第1装置10に送信するための完全記録メッセージ66を発生する。この完全記録メッセージを送信する前に、第2装置は該完全記録メッセージにデジタル署名を付加し、これにより該完全記録メッセージ66の安全性を保証すると共に、当該内容の承認を示す。
しかしながら、第2装置は、サーバ40から供給されるデータを、該データに同意するなら妨害してはならない。サーバにより供給されたデータの完全さ及び正真さを第1装置により検証することができることが必要である。第2装置が、サーバ40により供給された署名された記録65におけるデータに同意しないなら、該第2装置は、何らかの適切に規定されたプロトコルに従い、記録充填リクエスト64を繰り返し、当該トランザクションを放棄し、又は当該トランザクションの再スタートを開始することができる。
署名の上記適用は全体のメッセージの暗号化を含むことができることが分かるであろう。しかしながら、一般的態様においては、署名された完全記録メッセージ66は、サーバ40に固有なデジタル署名により保証され、更に第2装置20に固有なデジタル署名により保証された、当該トランザクションに関するイベントデータ及び識別データを含む。これは、第1装置により受信される署名された完全記録が、前記サーバから及び第2装置から発した両データ成分に対し真正であり且つデータの完全性を有すると検証することができることを保証する。
上記の署名された完全記録66を受信すると、第1装置10は該署名された完全記録の完全さを上記デジタル署名を用いて検証すると共に、当該記録の内容に同意するかチェックする。第1装置は、次いで、該完全記録に再署名して、第2装置20に送信されるべき再署名された完全記録67を発生する。
該第1装置10による上記デジタル署名の適用は全体のメッセージの暗号化を含むことができると理解されるであろう。しかしながら、一般的態様においては、再署名された完全記録67は、サーバ40に固有なデジタル署名、第2装置20に固有なデジタル署名及び第1装置10に固有なデジタル署名により保証された、当該トランザクションに関する元の識別データ及びイベントデータを含む。
再署名された完全記録67は、第2装置によりメモリ25に記憶される。好ましくは、上記の再署名された完全記録67、又は可能性としては署名された完全記録66が、第1装置によりメモリ15に記憶される。しかしながら、署名された完全記録66のみが第1装置により記憶される場合、これは、第1装置における記憶された存在による以外では、最終記録が同意されたという当該第1装置のドメインにおける後の証拠を提供することにはならない。
この時点で、第1及び第2装置10、20の両者は、これも両当事者によりトランザクションの真の記録として検証された第三者の信頼される情報(もっと一般的には、サーバ情報)を含むようなトランザクション記録66、67のコピーを有することが分かるであろう。破壊が当該トランザクション記録に署名又は再署名した何れかの装置にとり明らかにならずに、このデータを何れかの当事者又は独立した第三者により破壊又は妨害することは不可能である。
そのようにすることが必要である又は望ましい場合、再署名された完全記録67をサーバ40にも送り、当該トランザクションの独立した安全な記録を維持することもできる。
他の点では、上記第2のトランザクション手順60は前記第1のトランザクション手順と同様である。
典型的な実施例においては、実行されているトランザクション(例えば、第1装置による資源へのアクセスの獲得)は、第2装置が再署名された完全記録67を受信するような時点まで、完了することを禁止することができる。上記の再署名された完全記録が受信されると、第2装置はトランザクション68を完了する所要の動作を許可することができる。
署名された完全記録を発生する際に第2装置によりなされた追加、修正又は削除に第1装置が同意しない場合、図3の手順の変形を、図2に関連して既述したものと同様の態様で実行することができることが分かるであろう。第1装置は改訂された部分記録63を再送出することができ、第3、第4、第5及び第6ステップが繰り返される。勿論、サーバ40のより供給された署名された完全記録の内容が問題でない場合は、第4及び第5ステップ(記録充填リクエストメッセージ64及び署名された記録メッセージ65)は繰り返す必要はなく、単に第3及び第6ステップを繰り返せばよい。
何らかの非常に単純なトランザクションにおいては、最初のリクエスト51、61は部分記録メッセージ53、63に組み込むことができることが分かる。この例では、認証/交渉段階52も部分記録メッセージ53、63及び署名された完全記録54、66に効果的に組み込むことができる。
好ましい実施例において、部分記録メッセージ53、63は、第1装置10の固有の装置識別子;装置10の許可レベルの指示子;第1トランザクション識別子;トランザクション型式の明細;第1装置の時間ドメイン内のクロックによるトランザクションの時間;及び当該トランザクションに固有の何らかの他のデータのうちの1以上を含むことができる。
好ましい実施例において、署名された完全記録54、66は、上記部分記録メッセージの情報;第2装置20の固有の装置識別子;第2トランザクション識別子;第2装置の時間ドメイン内のクロックによるトランザクションの時間;及び当該トランザクションに固有な何らかの他のデータのうちの1以上を含むことができる。
好ましい実施例において、署名された完全記録メッセージ66は、前記サーバの時間ドメインによる独立した時間及び/又はデータ情報;トランザクション識別子;許可コード;及び当該トランザクションに固有な何らかの他のデータのうちの1以上を含む、サーバ40からの保証されたデータを含むこともできる。
或る状況においては、アクセスが許可(grant)される正確な時間、即ち当該トランザクションが完了する時間を通知することが望ましいかも知れない。これは、保証された又は保証されないデータを用いて第2装置により発行される別のメッセージにより実行することができる。
図4を参照を参照すると、ホームセキュリティに使用するための或る好ましい実施例において、第1装置10は建物へのアクセスのためのカードキーであり得、第2装置20は電子錠であり得、サーバ40は第2装置に及び好ましくはインターネットにも結合されたコンピュータであり得る。キー10と錠20との間の通信チャンネル30は、直接的電気通信であり得る。電子錠20とコンピュータ40との間の通信チャンネル31は、無線(ブルートゥース)リンクとすることができる。
カードキー10は、庭師又は家庭内補助者等の許可された人により使用され得る。電子錠20は、当該人に対する構内へのアクセスが受け付けられるかを決定する。第1の構成においては、斯かるアクセスは上記電子錠により自律的に許可することができ、当該トランザクション(当該人の上記建物への入場)の記録は上記電子錠及びカードキーの両方に記録される。電子錠20は当該トランザクションをコンピュータ40にも通知することができ、該コンピュータはインターネットを介してホーム所有者45又は建物管理者に遠隔的にアクセスすることができる。
第2の構成においては、電子錠20はアクセスを自律的に許可することはできず、サーバ40からのトランザクション認可を得る必要がある。この認可は当該コンピュータ(該コンピュータはインターネットを介して遠隔的にコンフィギュレーション可能である)により許可され得るか、又は該認可はホーム所有者45又は建物管理者からのリアルタイムな承認を必要とし得る。この例において、上記コンピュータ40は、ホーム所有者45と、インターネットのeメイル、携帯電話又はテキストメッセージングにより通信することができる。
本発明の原理が、例えば3以上の装置がトランザクションの当事者になるような、より多くの装置まで拡張することができることは理解されるであろう。この場合、各装置は、当該トランザクションの当事者である他の装置の各々からの当該トランザクション記録のデジタル的に署名されたコピーを検証する機会を有する。
例として、図3を再び参照して、複数当事者を使用するような或る構成を説明する。記録充填リクエスト64を受信し、当該部分記録に必要とされる何らかの情報を追加した後、サーバ40は、この部分記録を第2サーバに受け渡す(即ち、更なる記録充填リクエスト64を行う)ことができる。この第2サーバは上記記録に自身の情報を追加し、該記録に署名し、該記録を第1サーバ40に対して署名された記録66として返送する。この場合、第1サーバ40は第2サーバからの上記署名された記録を認可し、該記録に自身で署名し、該記録を第2装置20に返送する。これは、第1及び第2装置10及び20の視点からは、全体の処理には影響を与えるものではない。この処理は如何なる数の入れ子にされた第三者に対しても繰り返すことができる。
複数当事者構成は、図2の実施例を拡張する第1、第2及び第3(又はそれ以上の)装置に関しても実施することができる。例えば、1つの斯様な装置(例えば、第2装置20)は複数の並列な部分記録を検証及び署名のために他の当事者に供給し、他の各当事者から受信された全ての署名された記録を1つの署名された完全な記録66にまとめ、第1装置に返送することができる。この並列方法は、上記当事者のうちの2つによる(他の当事者ではなく)全体の記録の合致を保証するであろう。
全ての当事者による当該記録の完全な合致は、N装置トランザクションにおいてメッセージ群に対する直列方法により実施することができる。第1装置は部分記録を第2装置に送出し、この部分記録は修正又は追加のために各他の装置へ連続して順方向1…Nに受け渡される。該連鎖の終端において、N番目の装置は当該記録に署名し、該完全な記録をN−1個の装置の各々に連続して逆方向に返送する。1番目の装置が全ての当事者により署名された完全な記録を受信したら、該装置は再署名された記録67を上記連鎖に沿って戻るように順方向に受け渡すことができる。
他の実施例も、添付請求項の範囲内であることを意図するものである。
図1は、本明細書で説明したトランザクション記録手順の実施化に適した装置の概略ブロック図である。 図2は、2つの装置間の安全なトランザクション記録手順の概略流れ図である。 図3は、3つの装置間の安全なトランザクション記録手順の概略流れ図である。 図4は、図2の安全なトランザクション記録処理の一応用例のための装置の概要図である。

Claims (33)

  1. 第1データ処理装置と第2データ処理装置との間で確立されたトランザクションのデータを記録した安全なトランザクション記録を発生する方法において、
    前記第1装置が前記第2装置に部分トランザクション記録を送出するステップであって、該部分トランザクション記録が、当該トランザクションに関連する識別データ及びイベントデータを含むようなステップと、
    前記部分トランザクション記録に応答して、前記第2装置が前記第1装置に署名された完全記録を送出するステップであって、該署名された完全記録が前記第2装置に固有な第1デジタル署名により保証された前記識別データ及びイベントデータを含むようなステップと、
    前記署名された完全記録に応答して、前記第1装置が、該第1装置に固有な第2デジタル署名により保証された前記識別データ、前記イベントデータ及び前記第1デジタル署名を含む再署名された完全記録を送出するステップと、
    を有することを特徴とする方法。
  2. 請求項1に記載の方法において、前記部分トランザクション記録を送出するステップより前に、前記第1装置と前記第2装置との間の通信を確立して、トランザクションを実行すると共に該トランザクションに関連するデータを発生するステップであって、前記発生されたデータのうちの少なくとも幾らかが前記部分トランザクション記録における前記イベントデータとして使用されるようなステップを更に含んでいることを特徴とする方法。
  3. 請求項2に記載の方法において、前記トランザクションが前記装置のうちの少なくとも1つの素性の認証を含むことを特徴とする方法。
  4. 請求項1に記載の方法において、前記イベントデータが、前記第1装置及び第2装置の少なくとも一方から導出されたタイムスタンプ情報を含んでいることを特徴とする方法。
  5. 請求項1に記載の方法において、前記イベントデータ及び他のイベントデータが前記第1装置及び前記第2装置の両者から導出されたタイムスタンプ情報を含んでいることを特徴とする方法。
  6. 請求項1に記載の方法において、前記識別データが前記第1装置及び/又は前記第2装置を固有に識別するデータを含んでいることを特徴とする方法。
  7. 請求項1に記載の方法において、前記署名された完全記録が前記第2装置により追加された他のイベントデータを含んでいることを特徴とする方法。
  8. 請求項1に記載の方法において、前記部分記録、前記署名されたトランザクション記録及び前記再署名されたトランザクション記録のうちの少なくとも1つ又はそれ以上が、前記第1及び第2装置の間の伝送の間において暗号化されることを特徴とする方法。
  9. 請求項1に記載の方法において、前記第1デジタル署名は前記第2装置の秘密キーを用いて適用され、対応する公開キーが前記第1装置にアクセス可能であることを特徴とする方法。
  10. 請求項1又は請求項9に記載の方法において、前記第2デジタル署名は前記第1装置の秘密キーを用いて適用され、対応する公開キーが前記第2装置にアクセス可能であることを特徴とする方法。
  11. 請求項1に記載の方法において、
    前記第1装置から前記部分トランザクション記録を受信した後に、前記第2装置により第3装置にデータリクエストを送出するステップと、
    前記第2装置により、前記第3装置から前記データリクエストに応答して第三者イベントデータを受信するステップと、
    前記第三者イベントデータを、前記第1装置に送出される前記署名された完全記録に含めるステップと、
    を更に含むことを特徴とする方法。
  12. 請求項11に記載の方法において、前記第三者イベントデータが前記第3装置に固有な第3デジタル署名により保証されることを特徴とする方法。
  13. 請求項11に記載の方法において、前記第三者イベントデータが、前記第1及び第2装置とは独立したタイムスタンプ情報を含んでいることを特徴とする方法。
  14. 請求項11に記載の方法において、前記第三者イベントデータが、トランザクション許可データを含んでいることを特徴とする方法。
  15. 請求項12に記載の方法において、前記第3デジタル署名は前記第3装置の秘密キーを用いて適用され、対応する公開キーは前記第1及び第2装置にアクセス可能であることを特徴とする方法。
  16. 請求項1に記載の方法において、前記第1装置は携帯型識別装置であり、前記第2装置は建物、設備又は資源へのアクセスを制御するアクセス制御装置であることを特徴とする方法。
  17. 請求項1又は請求項11に記載の方法において、前記署名された完全記録が、前記第2装置により修正された前記部分トランザクション記録の内容を含んでいることを特徴とする方法。
  18. 請求項1又は請求項11に記載の方法において、
    前記第1装置が、前記署名された完全記録を受信した後に、改訂された部分記録を前記第2装置に送出するステップであって、該改訂された部分記録が、前記第1装置により修正された前記署名された完全記録の内容を有するようなステップと、
    前記第2装置が、前記改訂された部分記録に応答して、前記第1装置に対し当該第2装置に固有なデジタル署名により保証された改訂され且つ署名された完全記録を送出するステップと、
    を更に含むことを特徴とする方法。
  19. 請求項18に記載の方法において、前記第1及び第2装置の両者が当該トランザクション記録の内容に同意するまで、前記改訂された部分記録を送出するステップ及び前記改訂され且つ署名された完全記録を送出するステップを繰り返すステップを更に含むことを特徴とする方法。
  20. アクセス制御装置を動作させて、第1装置と前記アクセス制御装置との間で確立されたトランザクションのデータを記録した安全なトランザクション記録を発生する方法において、
    前記第1装置から部分トランザクション記録を受信するステップであって、該部分トランザクション記録が、当該トランザクションに関連する識別データ及びイベントデータを含むようなステップと、
    前記部分トランザクション記録に応答して、前記第1装置に対して署名された完全記録を送出するステップであって、該署名された完全記録が当該アクセス制御装置に固有な第1デジタル署名により保証された前記識別データ及びイベントデータを含むようなステップと、
    前記署名された完全記録に応答して、前記第1装置から、該第1装置に固有な第2デジタル署名により保証された前記識別データ、前記イベントデータ及び前記第1デジタル署名を含む再署名された完全記録を受信するステップと、
    を有することを特徴とする方法。
  21. 請求項20に記載の方法において、
    前記第1装置から前記部分トランザクション記録を受信した後に、第3装置にデータリクエストを送出するステップと、
    前記第3装置から前記データリクエストに応答して第三者イベントデータを受信するステップと、
    前記第三者イベントデータを、前記第1装置に送出される前記署名された完全記録に含めるステップと、
    を更に含むことを特徴とする方法。
  22. 請求項20又は請求項21に記載の方法において、前記署名された完全記録が、前記第2装置により修正された前記部分トランザクション記録の内容を含んでいることを特徴とする方法。
  23. 請求項20又は請求項21に記載の方法において、
    前記第1装置が、前記署名された完全記録を受信した後に、改訂された部分トランザクション記録を前記第2装置に送出するステップであって、該改訂された部分トランザクション記録が、前記第1装置により修正された前記署名された完全記録の内容を有するようなステップと、
    前記第2装置が、前記改訂された部分トランザクション記録に応答して、前記第1装置に対し当該第2装置に固有なデジタル署名により保証された、改訂され且つ署名された完全記録を送出するステップと、
    を更に含むことを特徴とする方法。
  24. 請求項23に記載の方法において、前記第1及び第2装置の両者が当該トランザクション記録の内容に同意するまで、前記改訂された部分トランザクション記録を送出するステップ及び前記改訂され且つ署名された完全記録を送出するステップを繰り返すステップを更に含むことを特徴とする方法。
  25. 請求項20に記載の方法において、前記再署名された完全記録の正真さ及び完全さを前記第1装置の公開キーを用いて検証するステップを更に含んでいることを特徴とする方法。
  26. 請求項20又は請求項21に記載の方法において、前記アクセス制御装置が電子ドア錠、電子ゲート錠、装置制御システム、コンピュータシステム、データ処理若しくは検索システム、販売点端末又は販売機の何れかであり、前記第1装置が電子キー又はクレジット若しくはデビットカードの何れかであることを特徴とする方法。
  27. 請求項20に記載の方法において、前記第1装置が所定の資源にアクセスするのを前記アクセス制御装置により、該アクセス制御装置による前記再署名された完全記録の受信後にのみ許可するステップを更に含んでいることを特徴とする方法。
  28. 第1データ処理装置を動作させて、該第1装置と第2データ処理装置との間で確立されたトランザクションのデータを記録した安全なトランザクション記録を発生する方法において、
    前記第2装置に部分トランザクション記録を送出するステップであって、該部分トランザクション記録が、当該トランザクションに関連する識別データ及びイベントデータを含むようなステップと、
    前記第2装置から、前記部分トランザクション記録に応答して、署名された完全記録を受信するステップであって、該署名された完全記録が前記第2装置に固有な第1デジタル署名により保証された前記識別データ及びイベントデータを含むようなステップと、
    前記署名された完全記録に応答して、当該第1装置に固有な第2デジタル署名により保証された前記識別データ、前記イベントデータ及び前記第1デジタル署名を含む再署名された完全記録を送出するステップと、
    を有することを特徴とする方法。
  29. 請求項28に記載の方法において、前記署名された完全記録の正真さ及び完全さを前記第2装置の公開キーを用いて検証するステップを更に含んでいることを特徴とする方法。
  30. コンピュータプログラムコード手段を備えたコンピュータ読み取り可能な媒体を有するコンピュータプログラムであって、前記コンピュータプログラムコード手段は、前記プログラムがコンピュータにロードされた場合に、該コンピュータに請求項20ないし29の何れか一項に記載の方法を実行させることを特徴とするコンピュータプログラム。
  31. 第1データ処理装置と第2データ処理装置との間で確立されたトランザクションのデータを記録した安全なトランザクション記録を発生する装置において、
    前記第2装置に部分トランザクション記録を送出する前記第1装置の手段であって、該部分トランザクション記録が、当該トランザクションに関連する識別データ及びイベントデータを含むような手段と、
    前記部分トランザクション記録に応答して、前記第1装置に署名された完全記録を送出する前記第2装置の手段であって、該署名された完全記録が前記第2装置に固有な第1デジタル署名により保証された前記識別データ及びイベントデータを含むような手段と、
    前記署名された完全記録に応答して、前記第1装置に固有な第2デジタル署名により保証された前記識別データ、前記イベントデータ及び前記第1デジタル署名を含む再署名された完全記録を送出する前記第1装置の手段と、
    を有することを特徴とする装置。
  32. 第1装置と自身との間で確立されたトランザクションのデータを記録した安全なトランザクション記録を発生するように構成されたアクセス制御装置において、
    前記第1装置から部分トランザクション記録を受信する手段であって、該部分トランザクション記録が、当該トランザクションに関連する識別データ及びイベントデータを含むような手段と、
    前記部分トランザクション記録に応答して、前記第1装置に対して署名された完全記録を送出する手段であって、該署名された完全記録が当該アクセス制御装置に固有な第1デジタル署名により保証された前記識別データ及びイベントデータを含むような手段と、
    前記署名された完全記録に応答して、前記第1装置から、該第1装置に固有な第2デジタル署名により保証された前記識別データ、前記イベントデータ及び前記第1デジタル署名を含む再署名された完全記録を受信する手段と、
    を有することを特徴とするアクセス制御装置。
  33. 自身と第2データ処理装置との間で確立されたトランザクションのデータを記録した安全なトランザクション記録を発生するように構成されたデータ処理装置において、
    前記第2装置に部分トランザクション記録を送出する手段であって、該部分トランザクション記録が、当該トランザクションに関連する識別データ及びイベントデータを含むような手段と、
    前記第2装置から、前記部分トランザクション記録に応答して、署名された完全記録を受信する手段であって、該署名された完全記録が前記第2装置に固有な第1デジタル署名により保証された前記識別データ及びイベントデータを含むような手段と、
    前記署名された完全記録に応答して、当該データ処理装置に固有な第2デジタル署名により保証された前記識別データ、前記イベントデータ及び前記第1デジタル署名を含む再署名された完全記録を送出する手段と、
    を有することを特徴とするデータ処理装置。
JP2004532382A 2002-08-28 2003-08-06 トランザクションの安全な記録 Pending JP2005537559A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
GBGB0219909.9A GB0219909D0 (en) 2002-08-28 2002-08-28 Secure logging of transactions
PCT/IB2003/003490 WO2004021667A2 (en) 2002-08-28 2003-08-06 Secure logging of transactions

Publications (1)

Publication Number Publication Date
JP2005537559A true JP2005537559A (ja) 2005-12-08

Family

ID=9943032

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004532382A Pending JP2005537559A (ja) 2002-08-28 2003-08-06 トランザクションの安全な記録

Country Status (8)

Country Link
US (1) US20050232421A1 (ja)
EP (1) EP1537713A2 (ja)
JP (1) JP2005537559A (ja)
KR (1) KR20050057081A (ja)
CN (1) CN1736078A (ja)
AU (1) AU2003250459A1 (ja)
GB (1) GB0219909D0 (ja)
WO (1) WO2004021667A2 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006109455A (ja) * 2004-10-06 2006-04-20 Sharp Corp 少人数グループ用プライベートネットワークのための最小限コンフィギュレーション
JP2007249569A (ja) * 2006-03-15 2007-09-27 Nippon Telegr & Teleph Corp <Ntt> トランザクション認証方法、ファイル送受信システム、クライアント装置、サーバ装置、および記録媒体
KR20160095720A (ko) * 2015-02-03 2016-08-12 한양대학교 에리카산학협력단 암호화 화폐의 거래를 보호하는 방법 및 장치

Families Citing this family (48)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7457867B2 (en) * 2003-10-15 2008-11-25 Alcatel Lucent Reliable non-repudiable Syslog signing and acknowledgement
DE102005041627A1 (de) * 2005-09-01 2007-03-15 Siemens Ag Automatische Protokollierung von Parametern einer medizinischen Untersuchung
US9258125B2 (en) * 2005-10-06 2016-02-09 International Business Machines Corporation Generating evidence of web services transactions
JP4783112B2 (ja) * 2005-10-11 2011-09-28 株式会社日立製作所 署名履歴保管装置
US7647624B2 (en) * 2005-11-30 2010-01-12 Novell, Inc. Techniques for preserving and managing identities in an audit log
US7734962B2 (en) * 2007-05-02 2010-06-08 Novell, Inc. Secure problem resolution techniques for complex data response networks
WO2009037663A2 (en) * 2007-09-21 2009-03-26 Koninklijke Philips Electronics N.V. Method and a system for managing adaptations of digital content
JP4872875B2 (ja) * 2007-09-28 2012-02-08 ブラザー工業株式会社 ログ管理装置、及びログ管理プログラム
US8310336B2 (en) 2008-10-10 2012-11-13 Masimo Corporation Systems and methods for storing, analyzing, retrieving and displaying streaming medical data
US20090290714A1 (en) * 2008-05-20 2009-11-26 Microsoft Corporation Protocol for Verifying Integrity of Remote Data
US20100088520A1 (en) * 2008-10-02 2010-04-08 Microsoft Corporation Protocol for determining availability of peers in a peer-to-peer storage system
US10007758B2 (en) 2009-03-04 2018-06-26 Masimo Corporation Medical monitoring system
US9218454B2 (en) 2009-03-04 2015-12-22 Masimo Corporation Medical monitoring system
US10032002B2 (en) * 2009-03-04 2018-07-24 Masimo Corporation Medical monitoring system
US9323894B2 (en) 2011-08-19 2016-04-26 Masimo Corporation Health care sanitation monitoring system
US8818960B2 (en) 2011-03-18 2014-08-26 Microsoft Corporation Tracking redo completion at a page level
CN103595537A (zh) * 2013-11-19 2014-02-19 宁波致祥网络技术服务有限公司 一种双平台同步登录的方法
US10019724B2 (en) 2015-01-30 2018-07-10 PayRange Inc. Method and system for providing offers for automated retail machines via mobile devices
US11481781B2 (en) 2013-12-18 2022-10-25 PayRange Inc. Processing interrupted transaction over non-persistent network connections
US11966895B2 (en) 2013-12-18 2024-04-23 PayRange Inc. Refund centers for processing and dispensing vending machine refunds via an MDB router
US11983692B2 (en) 2013-12-18 2024-05-14 PayRange Inc. Mobile payment module with dual function radio transmitter
US9659296B2 (en) 2013-12-18 2017-05-23 PayRange Inc. Method and system for presenting representations of payment accepting unit events
US11205163B2 (en) 2013-12-18 2021-12-21 PayRange Inc. Systems and methods for determining electric pulses to provide to an unattended machine based on remotely-configured options
US11481780B2 (en) 2013-12-18 2022-10-25 PayRange Inc. Method and system for asynchronous mobile payments for multiple in-person transactions conducted in parallel
US20150170136A1 (en) * 2013-12-18 2015-06-18 PayRange Inc. Method and System for Performing Mobile Device-To-Machine Payments
US8856045B1 (en) 2013-12-18 2014-10-07 PayRange Inc. Mobile-device-to-machine payment systems
US12093962B2 (en) 2013-12-18 2024-09-17 PayRange Inc. Intermediary communications over non-persistent network connections
US11475454B2 (en) 2013-12-18 2022-10-18 PayRange Inc. Intermediary communications over non-persistent network connections
US12086811B2 (en) 2013-12-18 2024-09-10 PayRange Inc. Processing interrupted transactions over non-persistent network connections
US11074580B2 (en) 2013-12-18 2021-07-27 PayRange Inc. Device and method for providing external access to multi-drop bus peripheral devices
US11966926B2 (en) 2013-12-18 2024-04-23 PayRange Inc. Method and system for asynchronous mobile payments for multiple in-person transactions conducted in parallel
USD755183S1 (en) 2013-12-18 2016-05-03 Payrange, Inc. In-line dongle
US9875473B2 (en) 2013-12-18 2018-01-23 PayRange Inc. Method and system for retrofitting an offline-payment operated machine to accept electronic payments
USD773508S1 (en) 2015-01-30 2016-12-06 PayRange Inc. Display screen or portion thereof with a graphical user interface
USD763888S1 (en) 2015-01-30 2016-08-16 PayRange Inc. Display screen or portion thereof with graphical user interface
USD862501S1 (en) 2015-01-30 2019-10-08 PayRange Inc. Display screen or portion thereof with a graphical user interface
USD764532S1 (en) 2015-01-30 2016-08-23 PayRange Inc. Display screen or portion thereof with animated graphical user interface
USD763905S1 (en) 2015-01-30 2016-08-16 PayRange Inc. Display screen or portion thereof with animated graphical user interface
USD836118S1 (en) 2015-01-30 2018-12-18 Payrange, Inc. Display screen or portion thereof with an animated graphical user interface
CN106296196A (zh) * 2015-06-05 2017-01-04 地气股份有限公司 数字货币交易签章方法与系统及其数字货币交易装置
CN105245616B (zh) * 2015-10-27 2018-09-18 成都卫士通信息产业股份有限公司 一种与密码介质通信实现日志签名的方法
US10387275B2 (en) * 2016-07-26 2019-08-20 Hewlett Packard Enterprise Development Lp Resume host access based on transaction logs
KR102032266B1 (ko) * 2017-07-05 2019-10-15 도담에너시스 주식회사 센서 데이터 전송 방법, 단말기 및 시스템
CN108809942A (zh) * 2018-05-10 2018-11-13 山东恒云信息科技有限公司 云服务环境中对日志取证实现数据完整性验证的方法
US11163909B2 (en) * 2018-11-15 2021-11-02 International Business Machines Corporation Using multiple signatures on a signed log
CN109901799B (zh) * 2019-02-28 2022-08-19 新华三信息安全技术有限公司 一种日志读写方法及装置
US11295031B2 (en) * 2019-10-08 2022-04-05 International Business Machines Corporation Event log tamper resistance
US11392348B2 (en) 2020-02-13 2022-07-19 International Business Machines Corporation Ordering records for timed meta-data generation in a blocked record environment

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10187836A (ja) * 1996-10-30 1998-07-21 Fujitsu Ltd ネットワーク環境における取り引き証明装置および方法
US5978475A (en) * 1997-07-18 1999-11-02 Counterpane Internet Security, Inc. Event auditing system
WO2000025245A1 (en) * 1998-10-27 2000-05-04 Receipt.Com, Inc. Mechanism for multiple party notarization of electronic transactions
JP2000207466A (ja) * 1999-01-18 2000-07-28 Nippon Telegr & Teleph Corp <Ntt> 電子商取引文書を媒介とした電子商取引方法および電子商取引手段、ならびにプログラムを記録した記録媒体。
JP2000353204A (ja) * 1999-06-10 2000-12-19 Nec Kofu Ltd 電子データ管理装置、方法及び記録媒体
JP2002133328A (ja) * 2000-10-23 2002-05-10 Plus Corp 契約締結方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2720209B1 (fr) * 1994-05-20 1996-06-21 France Telecom Procédé de réalisation d'une transaction électronique sécurisée.
US7904722B2 (en) * 1994-07-19 2011-03-08 Certco, Llc Method for securely using digital signatures in a commercial cryptographic system
AU3844900A (en) * 1999-09-22 2001-04-24 Ba Cards And Security B.V. (Bacs) Method and system for performing a transaction between a client and a server over a network

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10187836A (ja) * 1996-10-30 1998-07-21 Fujitsu Ltd ネットワーク環境における取り引き証明装置および方法
US5978475A (en) * 1997-07-18 1999-11-02 Counterpane Internet Security, Inc. Event auditing system
WO2000025245A1 (en) * 1998-10-27 2000-05-04 Receipt.Com, Inc. Mechanism for multiple party notarization of electronic transactions
JP2000207466A (ja) * 1999-01-18 2000-07-28 Nippon Telegr & Teleph Corp <Ntt> 電子商取引文書を媒介とした電子商取引方法および電子商取引手段、ならびにプログラムを記録した記録媒体。
JP2000353204A (ja) * 1999-06-10 2000-12-19 Nec Kofu Ltd 電子データ管理装置、方法及び記録媒体
JP2002133328A (ja) * 2000-10-23 2002-05-10 Plus Corp 契約締結方法

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006109455A (ja) * 2004-10-06 2006-04-20 Sharp Corp 少人数グループ用プライベートネットワークのための最小限コンフィギュレーション
JP2007249569A (ja) * 2006-03-15 2007-09-27 Nippon Telegr & Teleph Corp <Ntt> トランザクション認証方法、ファイル送受信システム、クライアント装置、サーバ装置、および記録媒体
JP4668099B2 (ja) * 2006-03-15 2011-04-13 日本電信電話株式会社 トランザクション認証方法、ファイル送受信システム、クライアント装置、サーバ装置、および記録媒体
KR20160095720A (ko) * 2015-02-03 2016-08-12 한양대학교 에리카산학협력단 암호화 화폐의 거래를 보호하는 방법 및 장치
KR101660627B1 (ko) * 2015-02-03 2016-09-28 한양대학교 에리카산학협력단 암호화 화폐의 거래를 보호하는 방법 및 장치

Also Published As

Publication number Publication date
EP1537713A2 (en) 2005-06-08
WO2004021667A3 (en) 2004-04-22
WO2004021667A2 (en) 2004-03-11
GB0219909D0 (en) 2002-10-02
AU2003250459A1 (en) 2004-03-19
AU2003250459A8 (en) 2004-03-19
CN1736078A (zh) 2006-02-15
US20050232421A1 (en) 2005-10-20
KR20050057081A (ko) 2005-06-16

Similar Documents

Publication Publication Date Title
JP2005537559A (ja) トランザクションの安全な記録
US10673632B2 (en) Method for managing a trusted identity
US8051469B2 (en) Securely roaming digital identities
CA2341784C (en) Method to deploy a pki transaction in a web browser
US7568114B1 (en) Secure transaction processor
US6430688B1 (en) Architecture for web-based on-line-off-line digital certificate authority
KR100912276B1 (ko) 하드웨어 식별에 기초한 디지털권 관리 방법을 이용한 전자소프트웨어 배포 방법 및 시스템
US7526649B2 (en) Session key exchange
US8499147B2 (en) Account management system, root-account management apparatus, derived-account management apparatus, and program
US20020073309A1 (en) Centralized cryptographic key administration scheme for enabling secure context-free application operation
JP2005328574A (ja) キー寄託機能付き暗号システムおよび方法
CN105103119A (zh) 数据安全服务系统
EP1364268A2 (en) Methods and systems for authenticating business partners for secured electronic transactions
JP2004304304A (ja) 電子署名生成方法,電子署名検証方法,電子署名生成依頼プログラム,及び電子署名検証依頼プログラム
US20130173923A1 (en) Method and system for digital content security cooperation
CA3184856A1 (en) Method, participatant unit, transaction register, and payment system for managing transaction data sets
CN111625815B (zh) 一种基于可信执行环境的数据交易方法及装置
JPH1124916A (ja) ソフトウェアライセンス管理装置および方法
JPH1165443A (ja) 個人認証情報の管理方式
US20230267426A1 (en) Payment system, coin register, participant unit, transaction register, monitoring register and method for payment with electronic coin data sets
TWI766171B (zh) 帳戶資料處理方法及帳戶資料處理系統
JP2002132145A (ja) 認証方法、認証システム、記録媒体及び情報処理装置
JPH1013402A (ja) 公開鍵暗号の秘密鍵管理方法および装置
JP2002217895A (ja) データ・アプリケーション格納方法及び、コマンド実行方法及びシステム及びデータ・アプリケーション格納プログラム及びデータ・アプリケーション格納プログラムを格納した記憶媒体及びコマンド実行プログラム及びコマンド実行プログラムを格納した記憶媒体
JP4626001B2 (ja) 暗号化通信システム及び暗号化通信方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060804

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20091217

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100513