JP2006014325A - ポータブルセキュリティトークンを使用して、ネットワークにおけるデバイス群に関する公開鍵証明を円滑にするための方法及び装置 - Google Patents
ポータブルセキュリティトークンを使用して、ネットワークにおけるデバイス群に関する公開鍵証明を円滑にするための方法及び装置 Download PDFInfo
- Publication number
- JP2006014325A JP2006014325A JP2005181650A JP2005181650A JP2006014325A JP 2006014325 A JP2006014325 A JP 2006014325A JP 2005181650 A JP2005181650 A JP 2005181650A JP 2005181650 A JP2005181650 A JP 2005181650A JP 2006014325 A JP2006014325 A JP 2006014325A
- Authority
- JP
- Japan
- Prior art keywords
- target device
- security token
- portable security
- ticket
- public key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
- G06F21/35—User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2111—Location-sensitive, e.g. geographical location, GPS
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2115—Third party
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2129—Authenticate client device independently of the user
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
Abstract
【課題】ポータブルセキュリティトークンを使用して、ネットワークにおける目標デバイスに関する公開鍵証明を円滑にするシステムを提供する。
【解決手段】ポータブルセキュリティトークン102を目標デバイス104に物理的に非常に近接させて、ポータブルセキュリティトークン102が、場所限定の通信チャネルを介して目標デバイス104と通信する。ポータブルセキュリティトークン102が場所限定の通信チャネルを介して目標デバイス104に関する認証符号を受信して、ポータブルセキュリティトークン102と証明機関(CA)106によって前もって合意された鍵を使用して認証符号にデジタル署名することにより、チケットを形成し、チケットを目標デバイス104に送信する。目標デバイス104が、チケットをCA106に後に提示して、目標デバイス104がCA106から資格情報を受け取ることを許可されていると証明する。
【選択図】図1
【解決手段】ポータブルセキュリティトークン102を目標デバイス104に物理的に非常に近接させて、ポータブルセキュリティトークン102が、場所限定の通信チャネルを介して目標デバイス104と通信する。ポータブルセキュリティトークン102が場所限定の通信チャネルを介して目標デバイス104に関する認証符号を受信して、ポータブルセキュリティトークン102と証明機関(CA)106によって前もって合意された鍵を使用して認証符号にデジタル署名することにより、チケットを形成し、チケットを目標デバイス104に送信する。目標デバイス104が、チケットをCA106に後に提示して、目標デバイス104がCA106から資格情報を受け取ることを許可されていると証明する。
【選択図】図1
Description
本発明は、分散コンピューティングシステムにおいてセキュリティを提供するための機構に関する。より具体的には、本発明は、ポータブルセキュリティトークンを使用して、ネットワークにおけるデバイス群に関する公開鍵証明を円滑にする方法および装置に関する。
公開鍵暗号方式は、データを暗号化することとデジタル署名を認証することの両方に使用することができる強力なツールを提供する。ただし、公開鍵暗号方式を広く使用できるようになるにはまず、公開鍵を信頼される(認証された)形で公開鍵の所有者に関連付ける問題に対する実際的で、信頼できる問題解決法が存在しなければならない。
この問題に対する1つの問題解決法は、公開鍵インフラストラクチャ(PKI)を構築することである。PKIは、場合により、階層の形に編成することができる周知の信頼される公開鍵の集合をサポートする。PKIにおいて、信頼される鍵の所有者は、通常、「証明機関」または「CA」と呼ばれる。CAは、CAの信頼される公開鍵に対応する秘密鍵を使用して、メンバ用の鍵に署名し、「デジタル証明書」を作成することにより、PKIにおける他のメンバ(ユーザおよびデバイス)の鍵を認証することができる。デジタル証明書は、通常、誰が鍵を所有するか(身元証明書)、または何のために鍵が使用されることが許されるか(属性証明書)、または最低限、対応する秘密鍵の所持者が、その特定のPKI、または他の信頼システムの有効なメンバであることを示す情報に、公開鍵を結び付ける。PKIの存在により、鍵管理問題が単純になる。というのは、信頼されるネットワークの全メンバに関して鍵を交換する必要がなく、信頼される公開鍵だけが交換されればよいからである。
残念ながら、PKIを作成することに関わる操作、PKIを管理すること、および証明書を配信することは、実際に実行するのが極めて困難であることが判明している。1つの組織内の1つのアプリケーションに関する公開鍵暗号方式の使用をサポートする小型の特殊用途PKIを確立することさえ、一般に、あまりにも費用がかかり、困難なため、引き合わないと考えられる。これの1つの理由は、既存のソフトウェアツールが複雑で、高価であり、標準および暗号方式の広範な知識を要することである。この結果、公開鍵暗号方式の使用が、多くの通信プロトコルのセキュリティを劇的に高める(例えば、パスワードベースの代替策と比べて)という事実にも関わらず、プロトコル設計者は、通常、PKIを確立することの「負担」を伴わないセキュリティのより低い代替策を使用する。同様に、PKIを確立することのこの費用が、組み込みデバイス(セル電話機やプリンタなどの)における公開鍵暗号方式の大規模な使用を考慮することから個人を遠ざけている。というのは、それらのデバイスのそれぞれに、デジタル証明書が備えられていなければならないからである。
無線ネットワークに関して派生的な問題が存在する。無線ネットワークは、見識のあるネットワーク管理者にさえ、セキュリティで保護された形で構成するのが困難であることがよく知られている。したがって、多くの無線ネットワークは、十分なセキュリティを提供しない。それらのネットワークは、情報およびネットワークリソースを単に部外者にさらしたままにして、ネットワーク上のマシンを攻撃に対して脆弱にしている。標準化団体が、無線ネットワークをセキュリティで保護することができる新たな技術の仕様を定めることを始めているが、それらの新たな技術は、複雑であり、既存の技術よりも構成し、管理するのがさらに困難である。
このため、必要とされているのは、PKIのようなセキュリティで保護された資格情報インフラストラクチャを作成するための、それほど複雑でない機構であり、特に、無線ネットワークにおいて使用するのに実際的な機構である。
本発明は、ポータブルセキュリティトークンを使用して、ネットワークにおける目標デバイスに関する公開鍵証明を円滑にするシステムを提供することを目的とする。
本発明の一実施形態は、ポータブルセキュリティトークンを使用して、ネットワークにおける目標デバイスに関する公開鍵証明を円滑にするシステムを提供する。システム動作中、ポータブルセキュリティトークンは、目標デバイスに物理的に非常に近接して配置され、ポータブルセキュリティトークンが、場所限定の通信チャネル(Location-limited channel(LLC))を介して目標デバイスと通信することができるようにする。この通信中、ポータブルセキュリティトークンは、目標デバイスの認証符号を受信し、ポータブルセキュリティトークンと証明機関(CA)が前もって合意している鍵を使用して、その認証符号にデジタル署名することにより、チケットを形成する。次に、ポータブルセキュリティトークンは、チケットを目標デバイスに送信し、これにより、目標デバイスは、後に、そのチケットをCAに提示して、目標デバイスがCAから資格情報を受け取ることを許可されていると証明することができる。
この実施形態の変種では、目標デバイスは、目標デバイスが、認証符号を提供したデバイスであり、資格情報を受け取るべきであると証明するのに必要な情報をCAに提示することに留意されたい。これは、トンネル内でハッシュされた秘密認証符号のプレイメージ(pre-image)を明らかにすること、またはトークンがチケット内で署名した対応する公開鍵を有する秘密鍵で何かに署名することによって達せられる。厳密に言って、発行される資格情報が、公開鍵署名に依存する公開の資格情報(例えば、公開鍵証明書)である場合、不正な者の手にわたっても、秘密鍵保持者以外の誰も使用することができず、目標デバイスは、CAが証明書を作成するのが妥当であるのに、実際に秘密鍵の「所有を証明する」必要がない。しかし、目標デバイスが秘密鍵の保持者ではない(例えば、チケットを手に入れたばかりの誰かである)場合、提案の使用シナリオでは、不正な者は、本当の目標が有効な形で発行された証明書を獲得しづらくすることにより、正当な目標を困難にする可能性がある。
資格情報は、秘密に保たれる必要がある資格情報である場合、トンネル内で配信される必要があり、トンネルのそれぞれの終端が正しい当事者、すなわち、CA(目標デバイスに提供されたCAの公開鍵に対応する秘密鍵の保持者)と認証符号値を裏付ける秘密(秘密ハッシュまたは秘密鍵のプレイメージ)の保持者であることを、両方の関係者が注意深く確実にする。
また、ポータブルセキュリティトークンと目標デバイスに第2の通信チャネルが利用可能であるケースでは、ポータブルセキュリティトークンと目標デバイスは、その第2のチャネルを介して、その通信の一部を実行することが可能であることにも留意されたい。ポータブルセキュリティトークンが、2つのチャネルを介して完全な交換(LLC(場所限定の通信チャネル)を介して公開鍵のハッシュだけを交換し、第2のリンクを介してSSLまたは他のトンネルを確立し、そのリンクを介して残りを送信する)を実行するだけ十分に強力ではない場合、ポータブルセキュリティトークンと目標デバイスは、アドレス指定情報とともに、LLCを介して認証符号値およびCAキーハッシュを交換し、次に、第2のチャネルを介してチケットおよびサポート情報を交換することが可能である。
この実施形態の変種では、認証符号は、目標デバイスの公開鍵のハッシュ、目標デバイスだけが知っている秘密のハッシュ、目標デバイスの公開鍵、またはデバイスに既に属する証明書またはデータのハッシュを含むことが可能である。
この実施形態の変種では、ポータブルセキュリティトークンとCAが前もって合意する鍵は、ポータブルセキュリティトークンおよびCAだけが知っている秘密対称鍵(secret symmetric key)、またはポータブルセキュリティトークンに属する秘密鍵であることが可能である。(CAとポータブルセキュリティトークンは、実際には、この秘密鍵に対応する公開鍵について合意し、CAは、秘密鍵を直接見ることは決してないことに留意されたい。CAとポータブルセキュリティトークンは、秘密鍵についても暗黙に合意するが、これは秘密鍵と公開鍵の間の数学的関係のためである。)
この実施形態の変種では、資格情報は、CAによって署名された、目標デバイスに関する公開鍵証明書である。
この実施形態の変種では、ポータブルセキュリティトークンは、目標デバイスと通信する前に、CAと最初に通信する。この初期通信中、CAとポータブルセキュリティトークンは、チケットに署名するために使用される鍵について合意する。CAはまた、CAの公開鍵のハッシュ、およびCAに関するアドレス指定情報もポータブルセキュリティトークンにも通信する。(CAとポータブルセキュリティトークンは、CAに関する完全な公開鍵も通信することができ、この鍵をポータブルセキュリティトークンは、そのまま目標に与えるか、または縮小してハッシュにするかあるいは、完全な証明書、または証明書のハッシュにすることなどが可能であることに留意されたい。)
この実施形態の変種では、ポータブルセキュリティトークンにおいて認証符号を受信するのに先立って、ポータブルセキュリティトークンは、認証符号を求める要求を目標デバイスに送信する。
この実施形態の変種では、ポータブルセキュリティトークンは、CAの公開鍵(またはCAの公開鍵のハッシュ)を目標デバイスにさらに送信して、目標デバイスがCAを認証することができるようにする。
この実施形態の変種では、ポータブルセキュリティトークンは、CAに関するアドレス指定情報を目標デバイスにさらに送信して、目標デバイスがCAと通信することができるようにする。
この実施形態の変種では、チケットは、認証符号に加えて、CAの識別子、ポータブルセキュリティトークンの識別子、およびチケットの目的の標識も含むことが可能である。
この実施形態の変種では、目標デバイスは、チケットを受け取った後、それに続いて、CAと通信する。これを行う際、目標デバイスはまず、ポータブルセキュリティトークンによって目標デバイスに与えられたCAの公開鍵(またはCAの公開鍵のハッシュ)を使用して、CAを認証する。
この実施形態の変種では、目標デバイスは、CAを認証した後、チケット、認証符号のプレイメージ(存在する場合)、ならびにチケットを検証するのにCAが必要とする他のあらゆる情報をCAに送信する。(認証符号のプレイメージが、目標デバイスだけが知っている秘密である場合、プレイメージは、セキュリティで保護されたトンネルを介してCAに送信されることに留意されたい。)
この実施形態の変種では、CAは、その後、チケット、認証符号のプレイメージ(存在する場合)、ならびにポータブルセキュリティトークンとCAが前もって合意している鍵を使用して、目標デバイスを認証しようと試みる。次に、目標デバイスが認証された場合、CAは、資格情報を目標デバイスに送信する。
この実施形態の変種では、ポータブルセキュリティトークンは、ハードウェアが制約され、したがって、限られた計算能力を有する。したがって、ポータブルセキュリティトークンは、公開鍵演算を実行することができない可能性がある。
以下の説明は、いずれの当業者も、本発明を実施し、使用することができるようにするために提示し、特定の応用例、およびその応用例の要件の文脈で提供する。開示する諸実施形態の様々な変形が、当業者には容易に明白となり、本願で定義する一般的な原理は、本発明の趣旨および範囲を逸脱することなく、他の実施形態および応用例にも適用することができる。このため、本発明は、示す諸実施形態に限定されず、本願で開示する原理および特徴と整合性のある最も広い範囲を与えられるものとする。
この詳細な説明で説明するデータ構造およびコードは、通常、コンピュータ可読記憶媒体上に格納され、この媒体は、コンピュータシステムが使用するためのコードおよび/またはデータを格納することができる任意のデバイスまたは媒体であることが可能である。これには、ディスクドライブ、磁気テープ、CD(コンパクトディスク)、およびDVD(デジタルバーサタイルディスク)などの磁気記憶装置および光記憶装置、伝送媒体(信号が変調された搬送波を伴う、または伴わない)で実体化されたコンピュータ命令信号が含まれるが、以上には限定されない。例えば、伝送媒体には、インターネットなどの通信ネットワークが含まれることが可能である。
図1は、本発明の実施形態によるポータブルセキュリティトークン102、目標デバイス104、および証明機関(CA)106を含む分散コンピューティングシステム100を示す。
目標デバイス104は、資格情報を利用することができる任意の計算デバイスまたは計算機器を含むことが可能である。図1に示した本発明の実施形態では、目標デバイス104は、無線ネットワークを介して通信することができる、計算能力を有するテレビセットである。
CA106は、証明機関機能を実行することができる任意の計算デバイスを含むことが可能である。図1に示した本発明の実施形態では、CA106は、インテリジェント無線アクセスポイント内部に配置され、無線アクセスポイントは、無線アクセスポイントが提供する無線ネットワーク上のデバイス群に関する証明書の発行および検査をそれぞれ行うCAおよび認証サーバを含む。テレビセット(目標デバイス104として図示する)は、そのようなネットワークに追加することができるデバイスを典型的に示す。
ポータブルセキュリティトークン102は、場所限定の通信チャネルを介してネットワークデバイス群と通信することができる任意のタイプのポータブルデバイスを含むことが可能である。例えば、ポータブルセキュリティトークン102には、携帯電話機、スマートカード、パーソナルデジタルアシスタント(PDA)、ラップトップコンピュータ、またはハンドヘルド遠隔制御デバイスが含まれることが可能であるが、以上には限定されない。ポータブルセキュリティトークン102は、限られた計算能力を有する可能性があり、したがって、公開鍵演算を実行することができない可能性があることに留意されたい。さらに、ポータブルセキュリティトークン102は、目標デバイスを登録することができるための目標デバイスとのLLCベースの通信を超えて、CAと(または他の誰とも)同時に通信することができる必要はない。
ポータブルセキュリティトークン102、目標デバイス104、およびCA106の間の対話を、図2〜4を参照して以下により詳細に説明する。
ポータブルセキュリティトークンとCAの間の初期設定動作
図2は、本発明の実施形態による、ポータブルセキュリティトークン102が、CAとどのように初期に対話するかを示す流れ図を提示する。第1に、ポータブルセキュリティトークン102とCA106は、互いに通信することを始める(ステップ202)。この通信は、いくつかの形で行われることが可能である。例えば、ポータブルセキュリティトークン102とCA106は、互いに非常に近接させて、ポータブルセキュリティトークン102とCA106が、場所限定の通信チャネルを介して通信できるようにすることができる。代替として、ポータブルセキュリティトークン102とCA106は、直接配線接続を介して通信することも可能であり、あるいはポータブルセキュリティトークン102が、公共ネットワークを介してCA106と通信することも可能である。
図2は、本発明の実施形態による、ポータブルセキュリティトークン102が、CAとどのように初期に対話するかを示す流れ図を提示する。第1に、ポータブルセキュリティトークン102とCA106は、互いに通信することを始める(ステップ202)。この通信は、いくつかの形で行われることが可能である。例えば、ポータブルセキュリティトークン102とCA106は、互いに非常に近接させて、ポータブルセキュリティトークン102とCA106が、場所限定の通信チャネルを介して通信できるようにすることができる。代替として、ポータブルセキュリティトークン102とCA106は、直接配線接続を介して通信することも可能であり、あるいはポータブルセキュリティトークン102が、公共ネットワークを介してCA106と通信することも可能である。
ポータブルセキュリティトークン102とCA106は、次に、互いを(オプションとして)認証してから、先に進むことができる。次に、CA106とポータブルセキュリティトークン102は、ネットワークデバイス群のためのチケットに署名するのにポータブルセキュリティトークン102が後に使用する鍵について合意する(ステップ204)。本発明の一実施形態では、この鍵は、CA106およびポータブルセキュリティトークン102だけが知っている秘密対称鍵である。別の実施形態では、ポータブルセキュリティトークン102は、CA106によって発行されたデジタル証明書を受け取り、ポータブルセキュリティトークン102は、そのデジタル証明書に関連している対応する秘密鍵を使用して、チケットに署名する。
これは、CAが、認定するのではなく、単に憶えているポータブルセキュリティトークンの公開鍵(認定されていない)に過ぎないこともありうる。使用される鍵が共有の秘密鍵である場合、CAは、その鍵を憶えていなければならない。鍵が公開鍵である場合、CAは、鍵全体(周囲の証明書を伴い、または伴わずに、鍵のハッシュだけでなく)を憶えていなければならないか、またはCAは、チケットの集合、ならびにCAが検証しなければならないその他の材料とともに鍵全体のコピーを受け取らなければならず、同時に、その鍵が正当なトークンに属しており、要求を通知することを可能にすることを検証する手段を有さなければならない。鍵が正当なトークンに属することの検証は、トークンの公開鍵のハッシュをCAに憶えさせること、または前述したとおり、CAが証明書を発行するようにさせることによって行うことができ、CAが証明書を発行するようにさせる場合、証明書全体が、署名済みのチケットとともに目標によって提示されなければならない。LLCが、低帯域幅である場合、最良のオプションは、おそらく、トークンの公開鍵(チケットに署名をすることができる鍵としてマークが付けられた)をCAに単に憶えさせることであるが、証明書経路は、証明書の受け渡しが適切に行われる限り、問題なく機能する(CAは、証明書を憶えていることもできるが、これは、公開鍵を憶えていることと同形であり、その場合、証明書は、鍵が、チケットに署名をすることができる公開鍵であるという「マーク」の役割だけをする)。
CA106は、CA106の公開鍵(またはCA106の公開鍵のハッシュ)もポータブルセキュリティトークン102に送信するとともに(ステップ206)、アドレス指定情報(CAのインターネットプロトコル(IP)アドレスなどの)も送信する(ステップ208)。ポータブルセキュリティトークン102が、その後、CA106の公開鍵およびアドレス指定情報をネットワークデバイス群に送信して、ネットワークデバイス群が、CA106と通信し、CA106を認証することができるようにする。
この時点で、ポータブルセキュリティトークン102は、チケットを発行する準備ができている。
ポータブルセキュリティトークンが、どのようにチケットを目標デバイスに発行するか
図3は、本発明の実施形態による、ポータブルセキュリティトークン102が、どのようにチケットを目標デバイス104に発行するかを示す流れ図を提示する。ポータブルセキュリティトークン102は、最初、目標デバイス104に物理的に非常に近接して置かれる(ステップ302)。これにより、ポータブルセキュリティトークン102が、場所限定の通信チャネルを介して目標デバイス104と通信することが可能になる。
図3は、本発明の実施形態による、ポータブルセキュリティトークン102が、どのようにチケットを目標デバイス104に発行するかを示す流れ図を提示する。ポータブルセキュリティトークン102は、最初、目標デバイス104に物理的に非常に近接して置かれる(ステップ302)。これにより、ポータブルセキュリティトークン102が、場所限定の通信チャネルを介して目標デバイス104と通信することが可能になる。
この場所限定の通信チャネルには、赤外線通信チャネルなどの、可視または不可視の電磁放射通信を使用する通信チャネル、短い電線を介する通信チャネル、オーディオ通信チャネル(可聴、または可聴でない)、物理電気接続、短距離RFチャネル、近接場シグナルチャネル、ならびにリムーバブルディスク、USB記憶装置、フラッシュメモリペン、またはその他の実体のあるデータキャリアなどの、物理的コンピュータ可読媒体を介して1つのデバイスから別のデバイスに情報を送ることで機能する通信チャネルが含まれることが可能である。
この場所限定の通信チャネルは、理想的には、「明示的な識別プロパティ」を有し、これは、いずれのデバイス群がそのチャネルを介して互いに通信しているかを人間の操作者が認識していることを意味し、これにより、そのチャネル上で攻撃が行われている場合に、人間の操作者が容易にそれを検出することができるようになる。
また、この場所限定の通信チャネルは、理想的には、「真正性プロパティ」も有し、これは、攻撃者が、通信の正当な関係者によって検出されることなしに、チャネルを介して伝送すること、またはチャネルを介して送信されるメッセージを改ざんすることが不可能、または困難であることを意味する。チャネルが機密性を提供することは必要ないことに留意されたい。このため、攻撃者は、攻撃者が、検出されずにチャネル上で伝送を行うことができない以上、チャネル上の伝送を監視することができる。
チャネルが場所限定の性質であるため、攻撃者が、検出されずにチャネル上で伝送するのが困難であることは言うまでもなく、チャネルを監視するのも困難であることに留意されたい。さらに、検出は、人間の参加者が、そのチャネルを介して通信している参加者(デバイス)の数を知っていることだけしか要さない。
本発明の一実施形態では、ポータブルセキュリティトークン102は、赤外線テレビリモコンのように機能する。この実施形態では、目標デバイス104に非常に近接して位置する人間の操作者が、ポータブルセキュリティトークン102を目標デバイス104に向け、ボタンを押して、ポータブルセキュリティトークン102と目標デバイス104の間の通信を開始する。
これらの通信中、ポータブルセキュリティトークン102は、初期要求を目標デバイス104に送信する(ステップ304)。この初期要求(または、場合により、後続のメッセージ)は、CA106の公開鍵(またはCA106の公開鍵のハッシュ)、およびCA106に関するアドレス指定情報を含み、目標デバイス104が、CA106と後に通信し、CA106を認証することができるようにすることが可能である。
この要求に応答して、目標デバイス104は、認証符号をポータブルセキュリティトークン102に戻す(ステップ306)。この認証符号は、目標デバイス104とCA106の間の後のプロトコルにおいて使用されることが可能な暗号トークンであり、暗号トークンが目標デバイス104を送信元としていることを証明する。例えば、認証符号は、目標デバイス104の公開鍵、目標デバイス104の公開鍵のハッシュ、または目標デバイス104だけが知っている秘密のハッシュであることが可能である。
次に、ポータブルセキュリティトークン102は、認証符号にデジタル署名することにより、チケットを形成する(ステップ308)。認証符号に加え、チケットは、CA106の識別子、ポータブルセキュリティトークン102の識別子、およびチケットの目的の標識も含むことが可能であることに留意されたい。さらに、このデジタル署名プロセスには、ポータブルセキュリティトークン102とCA106の間で前もって合意された鍵を使用することが関わる。
最後に、チケットが形成され、署名された後、ポータブルセキュリティトークン102は、チケットを目標デバイス104に送信する(ステップ310)。目標デバイス104は、そのチケットを後にCA106に提示して、目標デバイス104が、CA106から資格情報を受け取ることを許可されていると証明することができる。このプロセスを以下により詳細に説明する。
目標デバイスが、どのようにCAから資格情報を獲得するか
図4は、本発明の実施形態による、目標デバイス104が、どのようにCA106と後に対話して資格情報を受け取るかを示す流れ図を提示する。このプロセスの開始時に、目標デバイス104とCA106は、いくつかの通信チャネルのいずれか1つを介して互いに通信することを始める(ステップ402)。例えば、目標デバイス104は、CA106に関するアドレス指定情報(ポータブルセキュリティトークン102から獲得された)を使用して、ネットワークを介してCA106との通信を始めることができる。
図4は、本発明の実施形態による、目標デバイス104が、どのようにCA106と後に対話して資格情報を受け取るかを示す流れ図を提示する。このプロセスの開始時に、目標デバイス104とCA106は、いくつかの通信チャネルのいずれか1つを介して互いに通信することを始める(ステップ402)。例えば、目標デバイス104は、CA106に関するアドレス指定情報(ポータブルセキュリティトークン102から獲得された)を使用して、ネットワークを介してCA106との通信を始めることができる。
次に、目標デバイス104は、ポータブルセキュリティトークン102から前もって獲得されているCA106の公開鍵(またはCA106の公開鍵のハッシュ)を使用して、CA106を認証する(ステップ404)。これは、周知の認証技術を使用して達せられることが可能である。例えば、目標デバイス104は、CA106が、CA106の秘密鍵を使用していくらかの情報に署名するようにさせることができる。目標デバイス104は、CA106の公開鍵を使用して、情報がCA106の秘密鍵によって署名されていることを検証することができる。目標デバイス104は、CA106の公開鍵のハッシュだけを所有している場合、CA106からCA106の公開鍵をまず獲得しなければならないことに留意されたい。
目標デバイス104は、CA106を認証すると、チケット、ならびにチケットを検証するのに必要とされる他の情報をCA106に送信する(ステップ406)。チケットを検証するのに必要とされるこの他の情報には、認証符号のプレイメージ(存在する場合)が含まれることが可能である。例えば、認証符号が、目標デバイス104の公開鍵のハッシュである場合、プレイメージは、目標デバイス104のハッシュされていない形態の公開鍵である。
同様に、認証符号が、目標デバイス104だけに知られている秘密SのハッシュH(S)である場合、プレイメージは、秘密Sである。この場合、秘密Sは、理想的には、目標デバイス104とCA106の間で確立される、SSL接続などの、セキュリティで保護された、暗号化されたトンネルを介してCAに送信される。
次に、CA106が、チケット、認証符号のプレイメージ(存在する場合)、および前もって合意済みの鍵を使用して、目標デバイス104を認証しようと試みる(ステップ408)。これには、チケットが、前もって合意済みの鍵で署名されていることを検証することが関わり、認証符号のプレイメージ(存在する場合)が、認証符号と矛盾しないことを検証することも関わる。
目標デバイス104の認証が成功した場合、CA106は、資格情報を構築し、目標デバイス104に送信する(ステップ410)。本発明の一実施形態では、この資格情報は、CA106によって署名された(CA106の秘密鍵を使用して)、目標デバイス104の公開鍵に関するデジタル証明書である。この証明書は、証明書の使用に関する制限を含むことが可能であることに留意されたい。例えば、デジタル証明書は、目標デバイス104がセキュリティで保護されたネットワークに参加することだけを可能にするように制限されることが可能である。
本発明の他の諸実施形態では、共有秘密(shared secret)(セキュリティで保護されたトンネルを介して目標に与えられなければならない)、特定のタイプの証明書(X.509、SPKI、WTLSなど)、あるいはデジタルキャッシュから匿名の資格情報、さらなるチケット(ケルベロスチケット、さらに他の資格情報、映画などのためのチケットのようなチケット)まで、他のタイプの公開鍵ベースの暗号資格情報などの、他の資格情報が使用されることが可能であることに留意されたい。
本発明の諸実施形態の以上の説明は、単に例示および説明の目的で提示した。以上の説明は、網羅的であること、または本発明を開示した形態に限定することを意図していない。したがって、多数の変形および変種が、当業者には明白であろう。さらに、以上の開示は、本発明を限定することを意図していない。本発明の範囲は、添付の特許請求の範囲によって定義される。
100 分散コンピューティングシステム、 102 ポータブルセキュリティトークン、 104 目標デバイス、 106 証明機関(CA)。
Claims (5)
- ポータブルセキュリティトークンを使用して、ネットワークにおける目標デバイスに関する公開鍵証明を円滑にするための方法であって、
前記ポータブルセキュリティトークンを前記目標デバイスに物理的に非常に近接させて、前記ポータブルセキュリティトークンが、場所限定の通信チャネルを介して前記目標デバイスと通信することができるようにするステップと、
前記場所限定の通信チャネルを介して前記ポータブルセキュリティトークンにおいて前記目標デバイスに関する認証符号を受信するステップと、
前記ポータブルセキュリティトークンと証明機関(CA)によって前もって合意された鍵を使用して前記認証符号にデジタル署名することにより、チケットを形成するステップと、
前記チケットを前記目標デバイスに送信して、前記目標デバイスが、前記チケットを前記CAに後に提示して、前記目標デバイスが前記CAから資格情報を受け取ることを許可されていると証明することができるようにするステップとを含むことを特徴とする方法。 - 前記目標デバイスが、前記チケットを受信した後、前記目標デバイスが、前記CAと後に通信し、該通信を行う際、前記ポータブルセキュリティトークンによって前記目標デバイスに提供された前記CAの公開鍵(または前記CAの公開鍵のハッシュ)を使用して、前記CAをまず認証することを特徴とする請求項1に記載の方法。
- 前記目標デバイスが、前記CAを認証した後、前記目標デバイスが、
前記チケット、
前記認証符号のプレイメージが存在する場合には該プレイメージ、および
前記チケットを検証するのに前記CAが必要とする他の任意の情報
を前記CAに送信することを特徴とする請求項2に記載の方法。 - 前記CAが、前記チケット、前記認証符号の前記プレイメージが存在する場合には該プレイメージ、および前記ポータブルセキュリティトークンと前記CAによって前もって合意されている前記鍵を使用して、前記目標デバイスを認証しようと後に試み、
前記目標デバイスが認証された場合、前記CAが、前記資格情報を前記目標デバイスに送信することを特徴とする請求項3に記載の方法。 - ポータブルセキュリティトークンを使用して、ネットワークにおける目標デバイスに関する公開鍵証明を円滑にする装置であって、
前記目標デバイスに物理的に非常に近接して配置して、前記ポータブルセキュリティトークンが、場所限定の通信チャネルを介して前記目標デバイスと通信できるようにすることが可能な前記ポータブルセキュリティトークンと、
前記場所限定の通信チャネルを介して前記目標デバイスに関する認証符号を受信するように構成された前記ポータブルセキュリティトークン内部の受信機構と、
前記ポータブルセキュリティトークンと認証機関(CA)によって前もって合意された鍵を使用して前記認証符号にデジタル署名することにより、チケットを形成するように構成された前記ポータブルセキュリティトークン内部のチケット形成機構と、
前記チケットを前記目標デバイスに送信して、前記目標デバイスが、前記チケットを前記CAに後に送信して、前記目標デバイスが前記CAから資格情報を受け取ることを許可されていると証明することができるようにするように構成された前記ポータブルセキュリティトークン内部の送信機構とを含むことを特徴とする装置。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/877,477 US7552322B2 (en) | 2004-06-24 | 2004-06-24 | Using a portable security token to facilitate public key certification for devices in a network |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2006014325A true JP2006014325A (ja) | 2006-01-12 |
Family
ID=34940233
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005181650A Pending JP2006014325A (ja) | 2004-06-24 | 2005-06-22 | ポータブルセキュリティトークンを使用して、ネットワークにおけるデバイス群に関する公開鍵証明を円滑にするための方法及び装置 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US7552322B2 (ja) |
| EP (1) | EP1610202B1 (ja) |
| JP (1) | JP2006014325A (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007099608A1 (ja) * | 2006-02-28 | 2007-09-07 | Matsushita Electric Industrial Co., Ltd. | 認証システム、ce機器、携帯端末、鍵証明発行局および鍵証明取得方法 |
| WO2007108114A1 (ja) * | 2006-03-22 | 2007-09-27 | Matsushita Electric Industrial Co., Ltd. | ドメイン参加方法、属性証明書選択方法、通信端末、icカード、ce機器、属性証明書発行局およびコンテンツサーバ |
| JP2019029917A (ja) * | 2017-08-02 | 2019-02-21 | 日本電信電話株式会社 | 認証鍵共有システム及び端末機新規登録方法 |
Families Citing this family (34)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9020854B2 (en) | 2004-03-08 | 2015-04-28 | Proxense, Llc | Linked account system using personal digital key (PDK-LAS) |
| JP4036838B2 (ja) * | 2004-03-12 | 2008-01-23 | インターナショナル・ビジネス・マシーンズ・コーポレーション | セキュリティ装置、情報処理装置、セキュリティ装置が実行する方法、情報処理装置が実行する方法、該方法を実行させるための装置実行可能なプログラムおよびチケット・システム |
| KR20060077808A (ko) * | 2004-12-31 | 2006-07-05 | 삼성전자주식회사 | 비밀정보 송수신 시스템 및 방법 그리고 그에 적용되는디바이스 및 근거리 무선통신장치 |
| US7698556B2 (en) * | 2005-02-25 | 2010-04-13 | Hewlett-Packard Development Company, L.P. | Secure spontaneous associations between networkable devices |
| US8191161B2 (en) * | 2005-12-13 | 2012-05-29 | Microsoft Corporation | Wireless authentication |
| US7814538B2 (en) * | 2005-12-13 | 2010-10-12 | Microsoft Corporation | Two-way authentication using a combined code |
| US8036152B2 (en) | 2006-01-06 | 2011-10-11 | Proxense, Llc | Integrated power management of a client device via system time slot assignment |
| US11206664B2 (en) | 2006-01-06 | 2021-12-21 | Proxense, Llc | Wireless network synchronization of cells and client devices on a network |
| KR100791291B1 (ko) * | 2006-02-10 | 2008-01-04 | 삼성전자주식회사 | 디바이스에서 drm 컨텐츠를 로밍하여 사용하는 방법 및장치 |
| KR100703805B1 (ko) * | 2006-02-15 | 2007-04-09 | 삼성전자주식회사 | 원격 도메인의 디바이스에서 drm 컨텐츠를 로밍하여사용하는 방법 및 장치 |
| US7904718B2 (en) | 2006-05-05 | 2011-03-08 | Proxense, Llc | Personal digital key differentiation for secure transactions |
| KR100772534B1 (ko) * | 2006-10-24 | 2007-11-01 | 한국전자통신연구원 | 공개키 기반 디바이스 인증 시스템 및 그 방법 |
| GB0622623D0 (en) * | 2006-11-13 | 2006-12-20 | Global Silicon Ltd | Network set-up device |
| US8613044B2 (en) * | 2007-06-22 | 2013-12-17 | 4Dk Technologies, Inc. | Delegating or transferring of access to resources between multiple devices |
| US8392702B2 (en) * | 2007-07-27 | 2013-03-05 | General Instrument Corporation | Token-based management system for PKI personalization process |
| US20090036096A1 (en) * | 2007-07-30 | 2009-02-05 | Ibrahim Wael M | Using an authentication ticket to initialize a computer |
| US8659427B2 (en) * | 2007-11-09 | 2014-02-25 | Proxense, Llc | Proximity-sensor supporting multiple application services |
| US8171528B1 (en) | 2007-12-06 | 2012-05-01 | Proxense, Llc | Hybrid device having a personal digital key and receiver-decoder circuit and methods of use |
| WO2009079666A1 (en) | 2007-12-19 | 2009-06-25 | Proxense, Llc | Security system and method for controlling access to computing resources |
| US8508336B2 (en) | 2008-02-14 | 2013-08-13 | Proxense, Llc | Proximity-based healthcare management system with automatic access to private information |
| WO2009126732A2 (en) | 2008-04-08 | 2009-10-15 | Proxense, Llc | Automated service-based order processing |
| US20100079250A1 (en) * | 2008-09-26 | 2010-04-01 | Toshiba Tec Kabushiki Kaisha | Information-Processing Device and System For Restricting Use of the Device |
| US9185109B2 (en) | 2008-10-13 | 2015-11-10 | Microsoft Technology Licensing, Llc | Simple protocol for tangible security |
| US9418205B2 (en) | 2010-03-15 | 2016-08-16 | Proxense, Llc | Proximity-based system for automatic application or data access and item tracking |
| US9270663B2 (en) * | 2010-04-30 | 2016-02-23 | T-Central, Inc. | System and method to enable PKI- and PMI-based distributed locking of content and distributed unlocking of protected content and/or scoring of users and/or scoring of end-entity access means—added |
| US20230132554A1 (en) * | 2010-04-30 | 2023-05-04 | T-Central, Inc. | System and method to enable pki- and pmi-based distributed locking of content and distributed unlocking of protected content and/or scoring of users and/or scoring of end-entity access means - added |
| US8918854B1 (en) | 2010-07-15 | 2014-12-23 | Proxense, Llc | Proximity-based system for automatic application initialization |
| US9265450B1 (en) | 2011-02-21 | 2016-02-23 | Proxense, Llc | Proximity-based system for object tracking and automatic application initialization |
| TWI528766B (zh) * | 2012-02-05 | 2016-04-01 | 財團法人資訊工業策進會 | 直接通訊系統及其探索互動方法 |
| US9398448B2 (en) * | 2012-12-14 | 2016-07-19 | Intel Corporation | Enhanced wireless communication security |
| US9405898B2 (en) | 2013-05-10 | 2016-08-02 | Proxense, Llc | Secure element as a digital pocket |
| US11425143B2 (en) | 2020-01-23 | 2022-08-23 | Bank Of America Corporation | Sleeper keys |
| US11483147B2 (en) | 2020-01-23 | 2022-10-25 | Bank Of America Corporation | Intelligent encryption based on user and data properties |
| US11102005B2 (en) | 2020-01-23 | 2021-08-24 | Bank Of America Corporation | Intelligent decryption based on user and data profiling |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH07160198A (ja) * | 1993-12-03 | 1995-06-23 | Fujitsu Ltd | 暗号通信における公開鍵登録方法および公開鍵証明書の発行局 |
| JP2003022253A (ja) * | 2001-06-26 | 2003-01-24 | Internatl Business Mach Corp <Ibm> | サーバ、情報処理装置及びそのアクセス制御システム並びにその方法 |
| JP2004096755A (ja) * | 2002-08-30 | 2004-03-25 | Xerox Corp | 安全通信装置及び方法 |
Family Cites Families (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH05199342A (ja) * | 1991-05-20 | 1993-08-06 | Xerox Corp | 無声の手書きによる携帯式通信装置および方法 |
| CA2169449A1 (en) * | 1993-08-13 | 1995-02-23 | Frank Thomson Leighton | Secret key exchange |
| EP0658021B1 (en) * | 1993-12-08 | 2001-03-28 | International Business Machines Corporation | A method and system for key distribution and authentication in a data communication network |
| DE19514084C1 (de) * | 1995-04-13 | 1996-07-11 | Siemens Ag | Verfahren zum rechnergestützten Austausch kryptographischer Schlüssel zwischen einer Benutzercomputereinheit U und einer Netzcomputereinheit N |
| US6243373B1 (en) * | 1995-11-01 | 2001-06-05 | Telecom Internet Ltd. | Method and apparatus for implementing a computer network/internet telephone system |
| US5781723A (en) * | 1996-06-03 | 1998-07-14 | Microsoft Corporation | System and method for self-identifying a portable information device to a computing unit |
| US5784463A (en) * | 1996-12-04 | 1998-07-21 | V-One Corporation | Token distribution, registration, and dynamic configuration of user entitlement for an application level security system and method |
| US6243772B1 (en) * | 1997-01-31 | 2001-06-05 | Sharewave, Inc. | Method and system for coupling a personal computer with an appliance unit via a wireless communication link to provide an output display presentation |
| US6075860A (en) * | 1997-02-19 | 2000-06-13 | 3Com Corporation | Apparatus and method for authentication and encryption of a remote terminal over a wireless link |
| US6105133A (en) * | 1997-03-10 | 2000-08-15 | The Pacid Group | Bilateral authentication and encryption system |
| US20020159598A1 (en) * | 1997-10-31 | 2002-10-31 | Keygen Corporation | System and method of dynamic key generation for digital communications |
| US6901241B2 (en) | 1998-02-11 | 2005-05-31 | Telefonaktiebolaget L M Ericsson (Publ) | System, method and apparatus for secure transmission of confidential information |
| US6366654B1 (en) * | 1998-07-06 | 2002-04-02 | Nortel Networks Limited | Method and system for conducting a multimedia phone cell |
| EP1024626A1 (en) * | 1999-01-27 | 2000-08-02 | International Business Machines Corporation | Method, apparatus, and communication system for exchange of information in pervasive environments |
| US6601171B1 (en) * | 1999-02-18 | 2003-07-29 | Novell, Inc. | Deputization in a distributed computing system |
| JP3585422B2 (ja) * | 2000-06-01 | 2004-11-04 | シャープ株式会社 | アクセスポイント装置及びその認証処理方法 |
| JP3628250B2 (ja) * | 2000-11-17 | 2005-03-09 | 株式会社東芝 | 無線通信システムで用いられる登録・認証方法 |
| US20020065065A1 (en) * | 2000-11-30 | 2002-05-30 | E. Michael Lunsford | Method and system for applying line of sight IR selection of a receiver to implement secure transmission of data to a mobile computing device via an RF link |
| US7440572B2 (en) * | 2001-01-16 | 2008-10-21 | Harris Corportation | Secure wireless LAN device and associated methods |
| US7047405B2 (en) * | 2001-04-05 | 2006-05-16 | Qualcomm, Inc. | Method and apparatus for providing secure processing and data storage for a wireless communication device |
| US7231521B2 (en) * | 2001-07-05 | 2007-06-12 | Lucent Technologies Inc. | Scheme for authentication and dynamic key exchange |
| US8140845B2 (en) * | 2001-09-13 | 2012-03-20 | Alcatel Lucent | Scheme for authentication and dynamic key exchange |
| US7321784B2 (en) * | 2001-10-24 | 2008-01-22 | Texas Instruments Incorporated | Method for physically updating configuration information for devices in a wireless network |
| US6688745B2 (en) * | 2001-10-25 | 2004-02-10 | Johnson & Johnson Vision Care, Inc. | Subjective refinement of wavefront measurements |
| US7688975B2 (en) | 2001-10-26 | 2010-03-30 | Authenex, Inc. | Method and apparatus for dynamic generation of symmetric encryption keys and exchange of dynamic symmetric key infrastructure |
| US7475250B2 (en) * | 2001-12-19 | 2009-01-06 | Northrop Grumman Corporation | Assignment of user certificates/private keys in token enabled public key infrastructure system |
| JP3792154B2 (ja) * | 2001-12-26 | 2006-07-05 | インターナショナル・ビジネス・マシーンズ・コーポレーション | ネットワークセキュリティシステム、コンピュータ装置、アクセスポイントの認識処理方法、アクセスポイントのチェック方法、プログラムおよび記憶媒体 |
| US20030149874A1 (en) * | 2002-02-06 | 2003-08-07 | Xerox Corporation | Systems and methods for authenticating communications in a network medium |
| US7523490B2 (en) | 2002-05-15 | 2009-04-21 | Microsoft Corporation | Session key security protocol |
| US7904720B2 (en) * | 2002-11-06 | 2011-03-08 | Palo Alto Research Center Incorporated | System and method for providing secure resource management |
| US7549047B2 (en) * | 2002-11-21 | 2009-06-16 | Xerox Corporation | Method and system for securely sharing files |
-
2004
- 2004-06-24 US US10/877,477 patent/US7552322B2/en active Active
-
2005
- 2005-06-22 JP JP2005181650A patent/JP2006014325A/ja active Pending
- 2005-06-24 EP EP05105665.3A patent/EP1610202B1/en not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH07160198A (ja) * | 1993-12-03 | 1995-06-23 | Fujitsu Ltd | 暗号通信における公開鍵登録方法および公開鍵証明書の発行局 |
| JP2003022253A (ja) * | 2001-06-26 | 2003-01-24 | Internatl Business Mach Corp <Ibm> | サーバ、情報処理装置及びそのアクセス制御システム並びにその方法 |
| JP2004096755A (ja) * | 2002-08-30 | 2004-03-25 | Xerox Corp | 安全通信装置及び方法 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007099608A1 (ja) * | 2006-02-28 | 2007-09-07 | Matsushita Electric Industrial Co., Ltd. | 認証システム、ce機器、携帯端末、鍵証明発行局および鍵証明取得方法 |
| JP4800377B2 (ja) * | 2006-02-28 | 2011-10-26 | パナソニック株式会社 | 認証システム、ce機器、携帯端末、鍵証明発行局および鍵証明取得方法 |
| WO2007108114A1 (ja) * | 2006-03-22 | 2007-09-27 | Matsushita Electric Industrial Co., Ltd. | ドメイン参加方法、属性証明書選択方法、通信端末、icカード、ce機器、属性証明書発行局およびコンテンツサーバ |
| JP2019029917A (ja) * | 2017-08-02 | 2019-02-21 | 日本電信電話株式会社 | 認証鍵共有システム及び端末機新規登録方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1610202A1 (en) | 2005-12-28 |
| US20050287985A1 (en) | 2005-12-29 |
| US7552322B2 (en) | 2009-06-23 |
| EP1610202B1 (en) | 2015-09-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1610202B1 (en) | Using a portable security token to facilitate public key certification for devices in a network | |
| US7130998B2 (en) | Using a portable security token to facilitate cross-certification between certification authorities | |
| CN102017578B (zh) | 用于在令牌与验证器之间进行认证的网络助手 | |
| US8621210B2 (en) | Ad-hoc trust establishment using visual verification | |
| US8719952B1 (en) | Systems and methods using passwords for secure storage of private keys on mobile devices | |
| CN1832394B (zh) | 用于非对称密钥安全的方法和系统 | |
| US7409552B2 (en) | Method for securing communications between a terminal and an additional user equipment | |
| US8112787B2 (en) | System and method for securing a credential via user and server verification | |
| US20100042848A1 (en) | Personalized I/O Device as Trusted Data Source | |
| ES2250771T3 (es) | Procdedidmientos para cambiar una contraseña de comunicaciones a distancia. | |
| US8595501B2 (en) | Network helper for authentication between a token and verifiers | |
| US7480939B1 (en) | Enhancement to authentication protocol that uses a key lease | |
| US20100266128A1 (en) | Credential provisioning | |
| JP2000357156A (ja) | 認証シード配布のためのシステムおよび方法 | |
| JP2002026899A (ja) | アドホック無線通信用検証システム | |
| CN102577301A (zh) | 用于可信认证和登录的方法和装置 | |
| US20110162053A1 (en) | Service assisted secret provisioning | |
| CN109981287A (zh) | 一种代码签名方法及其存储介质 | |
| CN111065081A (zh) | 一种基于蓝牙的信息交互方法及其装置 | |
| KR100984275B1 (ko) | 안전하지 않은 통신 채널에서 비인증서 공개키를 사용한 보안키 생성 방법 | |
| KR100970552B1 (ko) | 비인증서 공개키를 사용하는 보안키 생성 방법 | |
| CN111224965A (zh) | 一种信息交互方法及其装置 | |
| CN111147501A (zh) | 一种蓝牙钥匙查询方法及其装置 | |
| JP2002330125A (ja) | 暗号通信路の確立方法、プログラム及びプログラム媒体、並びに、暗号通信システム | |
| WO2008004174A2 (en) | Establishing a secure authenticated channel |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080617 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110412 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110707 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110726 |