JP2007503646A - セキュリティートークン - Google Patents

セキュリティートークン Download PDF

Info

Publication number
JP2007503646A
JP2007503646A JP2006524523A JP2006524523A JP2007503646A JP 2007503646 A JP2007503646 A JP 2007503646A JP 2006524523 A JP2006524523 A JP 2006524523A JP 2006524523 A JP2006524523 A JP 2006524523A JP 2007503646 A JP2007503646 A JP 2007503646A
Authority
JP
Japan
Prior art keywords
security token
host
public key
value
time
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006524523A
Other languages
English (en)
Inventor
リードール アガム
ヤンキ マルガリート
ダニー マルガリート
Original Assignee
アラジン ノゥリッジ システムズ リミテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by アラジン ノゥリッジ システムズ リミテッド filed Critical アラジン ノゥリッジ システムズ リミテッド
Publication of JP2007503646A publication Critical patent/JP2007503646A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1016Devices or methods for securing the PIN and other transaction-data, e.g. by encryption
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/409Device specific authentication in transaction processing
    • G06Q20/4097Device specific authentication in transaction processing using mutual authentication between devices and transaction partners
    • G06Q20/40975Device specific authentication in transaction processing using mutual authentication between devices and transaction partners using encryption therefor
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1025Identification of user by a PIN code
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1025Identification of user by a PIN code
    • G07F7/1083Counting of PIN attempts

Landscapes

  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • General Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Strategic Management (AREA)
  • Computer Security & Cryptography (AREA)
  • Finance (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Storage Device Security (AREA)
  • Telephone Function (AREA)
  • Lock And Its Accessories (AREA)

Abstract

セキュリティートークン、セキュリティーシステム、およびクライアントを認証する方法を開示する。前記セキュリティートークンは、ワンタイムパスワード機能を提供するワンタイムパスワードメカニズムと;前記ワンタイムパスワード機能に対する公開鍵機能を提供する公開鍵メカニズムと;ホストとの有線通信手段であって、前記ホストに前記セキュリティートークンを接続するとともに、少なくとも前記公開鍵メカニズムを動作させるために必要な電源を前記セキュリティートークンに供給する、前記ホストとの有線通信手段と;を含み、それらにより、ワンタイムパスワード機能および公開鍵機能またはそのいずれか一方が、前記セキュリティートークンにより提供可能である。

Description

本発明は、セキュリティートークンの分野に関する。より詳細には、本発明は、OTPとPKIの両機能、およびそれらの組み合わせを可能にするセキュリティートークンに関する。
ワンタイムパスワードの頭字語であるOTPは、従来技術では一回のセッションでのみ有効なパスワード、即ち、要求または生成されるたびに異なるパスワードを示す。OTP法を使用した場合、ネットワーク上での盗聴によってパスワードが盗用されると、そのパスワードは、実際に使用できなくなる。そのため、OTPは、ユーザーがサーバーに対して認証を受けなければならないセキュリティーシステムで使用されるのが一般的である。
例えば、RSASecurIDは、1分毎に擬似ランダムのストリングを生成し、内蔵のディスプレー上にそれを表示する携帯機器である。ユーザーは、システムにパスワードを入力するよう要求される際は常に、RSASecurIDセキュリティートークンの前記ディスプレーに表示されたパスワードをタイプする。
OTPトークンの一般的な操作方法は、次の通りである:トークン上の内蔵のディスプレーにワンタイムパスワードが表示される。ユーザーは、OTPトークン上にその瞬間に表示されたパスワードと自分のPINとをホストに供給しなければならない。このことは、通常ホストに接続されたキーボードでデータをタイプすることによって実行される。OTPトークンには、OTPトークンがそれ自体の電源、即ちバッテリーを使用することで、適宜バッテリーを取り替える必要があり、不便さが伴うという別の問題もある。
現在のOTPトークンでは、トークン側とサーバー側の両方で同一の鍵(「対称鍵」)を用いるため、複数のアプリケーションに対して同じ鍵を使用することは、危険である。
セキュリティートークンの分野で開発中の別の技術は、例えばRSAおよびECC等のPKI(公開鍵基盤)トークン技術である。OTPの実行方法、即ちOTPが対称鍵に基づいて実行されるのに対し、PKI技術は、非対称鍵に基づくものである。PKI技術によれば、トークンを認証機器としてだけではなく、暗号化、復号化、デジタル署名等の多様なセキュリティー関連機能を実行する機器であるセキュリティー装置としても使用することができる。
実用面においては、PKIは、OTPよりも遥かに大きな処理能力を必要とする。1024ビット鍵以上、例えば2048ビット鍵を扱う場合に、この問題は、極めて深刻となる。このようなことから、PKIトークンが別の機器にプラグで接続されて外部の電源に接続されるのが一般的であるのに対し、OTPトークンは、モバイル機器として容易に実行できる。
用途の面においては、OTPトークンを使用する用途は、極めて限られているため、OTPトークンは、主に遠隔アクセス、ネットワークログオン等に使用される。前記PKIトークン技術は、種々の認証方法、デジタル署名、暗号化および復号化、セキュア電子メール等、多様な実行に対して使用できる。
その目的のために、OTPトークンを既に使用しており、PKIトークンを追加することで使用の拡大を意図する組織は、次の2つの主要な問題:2つの独立したデータベースを保持する等、サーバー側から見た各種手配の問題および、ユーザーが少なくとも2つのトークン、即ちOTPトークンとPKIトークンとを保有する必要があるため、非常に多くの不都合が生じる、というユーザー側から見た問題と、を処理しなければならない。
従って、本発明の目的は、OTPトークン技術とPKI技術の両技術に対応するとともに、それらの組み合わせによって、OTP機能とPKI機能の両機能を得るとともに、それらの機能の組み合わせを得るセキュリティートークンを供給することである。
本発明の別の目的は、各技術を別々に備えた場合よりも、より良いセキュリティーレベルを達成するセキュリティートークンを供給することである。
本発明のさらなる目的は、OTPトークンおよびPKIトークンよりもユーザーにとって使い勝手の良いセキュリティートークンを供給することである。
本発明のまた別の目的は、OTP機能とPKI機能の両機能に対して同一の鍵のデータベースを使用できるセキュリティーシステムを供給することである。
本発明の他の目的と利点は、以下の説明から明らかとなろう。
本件に関し、SecurIDは、有名な公開鍵アルゴリズムを発明したRSAという会社名を伴うが、RSA社は、OTP値を生成する公開鍵を使用するいずれのセキュリティートークンの製造も行っていなければ、オフラインモードでPKI技術をOTP技術と組み合わせる機器、即ちPCに接続されていない時にLCD上にOTP値を表示する機器の製造も行ってはいないことに言及しておく。
本発明の一態様は、セキュリティートークンに関し、かかるセキュリティートークンは:ワンタイムパスワードの機能を提供するワンタイムパスワードメカニズムと;前記ワンタイムパスワード機能に対する公開鍵機能を提供する公開鍵メカニズムと;ホストにセキュリティートークンを接続するとともに、少なくとも前記公開鍵メカニズムの動作に必要な電源を前記セキュリティートークンに供給する、ホストとの有線通信手段と;を含み、それらにより、ワンタイムパスワード機能および公開鍵機能またはそのいずれか一方を提供することが可能である。
本発明の第2の態様は、ワンタイム(例えば、実時間、カウンター値、乱数表等)値をホストシステムに安全に供給するためのOTPセキュリティートークンに関し、かかるOTPセキュリティートークンは:前記ワンタイム値を生成する手段と;前記ワンタイム値に対する公開鍵機能を実行するPKIメカニズムと;前記暗号化されたワンタイム値を前記ホストに供給する、前記ホストとの通信手段と;を含む。
本発明の第3の態様は、セキュリティーシステムに関し、かかるセキュリティーシステムは、1つ以上のセキュリティートークンを含み、セキュリティートークンの各々は:ワンタイムパスワード機能を提供するワンタイムパスワードメカニズムと;前記ワンタイムパスワード機能に対する公開鍵機能を提供する公開鍵メカニズムと;セキュリティートークンをホストに接続し、少なくとも公開鍵メカニズムの動作に必要な電源をセキュリティートークンに供給する、ホストとの有線通信手段と;を含む。前記システムは、ホストシステムを含み、該ホストシステムは:ワンタイムパスワード機能を提供する、セキュリティートークンのワンタイムパスワードメカニズムに対応したワンタイムパスワードメカニズムと;公開鍵機能を提供する、セキュリティートークンの公開鍵メカニズムに対応した公開鍵メカニズムと;セキュリティートークンと通信し、セキュリティートークンの少なくとも前記公開鍵メカニズムを操作するために必要な電源をトークンに供給する、セキュリティートークンの通信手段に対応する通信手段と;を含む。
本発明の第4の態様は、ホストシステムによりクライアントを認証する方法に関し、かかる方法は、クライアント側において:(a)第1のワンタイム値を生成するステップと;(b)前記ワンタイム値に対する公開鍵機能を実行するステップと;(c)ホストシステムに前記値を供給するステップと;を含む。前記方法は、ホストシステム側において:(d)前記供給された値を用いて、ステップ(b)で実行された公開鍵機能に対応する公開鍵機能を実行するステップと;(e)前記第1のワンタイム値の生成と略同じように第2のワンタイム値を生成するステップと;第2の値が第1の値に一致することによりクライアントを認証するステップと;を含み、それらにより、クライアント認証においてより良いセキュリティーレベルが得られる。
以下図面を参照することで、本発明は、より良く理解されるであろう。
図1は、従来技術によるOTPトークンで実行される認証プロセスを概略的に示す。
トークン側:プロセス53がワンタイム値51(実時間時計によって示される)と対称鍵52を使用し、ワンタイムパスワード54を生成する。トークンに内蔵されたディスプレーにワンタイムパスワード54が表示される。ホストに接続されたキーパッド等の入力手段でその内容をタイプすることにより、ワンタイムパスワードが前記ホストに供給される。
ホスト側:ワンタイム値61(ワンタイム値51に一致すべきもの)と対称鍵62(鍵52と同一であるべきもの)をプロセス63(プロセス53と同一であるべきもの)が使用し、ワンタイムパスワード64を生成する。生成されたワンタイムパスワード64がトークンの生成したワンタイムパスワード54に一致すれば、認証は正とみなされる。
図2は、本発明の好適な実施形態によるOTPトークンにより実行される認証プロセスを概略的に示す。
トークン側:PKIモジュール56が非対称鍵55を用いてワンタイム値51(実時間時計で示される)を暗号化する。このようにして暗号化されたワンタイム値57が生成され、ホストに供給される。
ホスト側:トークンから受け付けたワンタイム値57をPKIモジュール66が非対称鍵65(非対称鍵55に相当する)により復号化することで、ワンタイム値67が得られる。ワンタイム値67が予想値に一致すれば、認証は正とみなされる。
当業者は、ここに記載した認証方法のほかに、OTPとPKIを組み合わせた他の認証方法も存在し得ることを理解するであろう。ここに記載する方法は、OTP技術をPKI技術と組み合わせることによって広がる多様な可能性のうちの一例にすぎない。例えば、図2に示すように、ワンタイム値を暗号化して復号化する代わりに、暗号化を用いなくてもデジタル署名(あるいはデジタル証明書)をワンタイム値57に付加することができる。このように、モジュール56は、ワンタイム値のセキュリティーに関係する何らかのPKI関連アクティビティーを実行し、モジュール66は、モジュール56のPKI関連アクティビティーに対応する何らかのPKI関連アクティビティーを実行する。
なお、供給される値は、必ずしも予想値に等しいとは限らないとしても、予想値に相当する値であるべきである。例えば、ワンタイム値が実時間であって、値57と値67との差が、例えば1分未満である場合には、認証は、正とみなすことができる。また、トークンの時計が正確にホストの時計に合っているとは限らないため、ホストの時間とトークンによって供給される時間とにわずかな差が生じることを考慮すべきである。
当該技術で公知の、別のワンタイムメカニズムは、カウンターである。パスワードが供給されるたびに、カウンターの値は1もしくは別の所定値だけ増加するが、必ずしも線形増加であるとは限らない。当然のことながら、このような目的のために、例えば、乱数表等の他のワンタイムメカニズムを実行してもよい。
カウンターメカニズムは、トークンに取り付けられたボタンによって実行されてもよい。ユーザーがボタンをクリックするたびに、カウンターの値が増分され、新しいワンタイム値が生成されてディスプレー上に表示される。ユーザーが無意識にボタンを押す可能性もあるため、トークンのカウンターの値とホストのカウンターの値は、等しくならない可能性もあるが、大体において一致する、すなわち、その差を例えば10未満とする。従って、ホストは、カウンターの現在値だけではなく、次に生成される10の値もチェックする。
発明の好適な実施形態によれば、鍵55はホストの公開鍵であり、他方、鍵65は対応する秘密鍵である。本発明の別の好適な実施形態では、鍵55はトークンの秘密鍵であり、鍵65が対応する公開鍵である。
一層複雑化した暗号化/復号化方法を使用できることは、明らかである。例えば、対称鍵でワンタイム値を暗号化し、その値を秘密鍵で暗号化する。
図3は、発明の一実施形態によるセキュリティーシステムを概略的に示す。OTP/PKIトークン10(クライアント)は、有線通信30によりホストシステム20(サーバー)に接続される。
トークン10は、以下のものを含む:
− PKI機能とOTP機能を実行し、トークンの動作を制御/管理する制御モジュール11。前記制御モジュールは、CPU、メモリ、および適切なソフトウェアとして具現化できる。
− OTP/PKI機能に対する1つ以上の鍵12。
− ワンタイム値生成器13。例えば、実時間時計、カウンター、またはアクセスされる毎に値を変化させてワンタイム値を生成する別の要素(例えば乱数表)。
− ホスト20と通信するための有線通信インターフェース14。
− ワンタイムパスワードを表示するディスプレー15。
− トークンを動作させるための電力を供給するバッテリー等の電源16。
本発明の好適な実施形態によれば、少なくとも鍵12は、比較的セキュリティーレベルの高いスマートカード17に格納できる。典型的に、スマートカードは、メモリと連結される処理装置でもあるため、例えば制御モジュール11、PKI等の機能など、他の機能も実行することができる。
ホスト20は、以下のものを含む:
− PKI/OTP機能を実行する制御モジュール21。前記制御モジュール21の機能は、ホスト20で実行されるアプリケーション等により、ホスト20のオペレーティングシステムの一部として実行できる。
− OTP/PKIに関連する鍵、認証されるユーザーのユーザーID等を格納するデータベース22。
− ワンタイム値生成器23。例えば、実時間時計、カウンター、乱数表、または別の素子のように、トークン10のワンタイム値生成器13に対応して、アクセスされる毎に異なる値を供給するもの。
− トークン10の有線通信14に対応した有線通信インターフェース24。
図4は、本発明の好適な実施形態によるセキュリティートークンを視覚的に示す。トークン10のディスプレー19は、従来技術と同じくワンタイムパスワードを表示する。ワンタイムパスワードを供給する従来の方法は、例えばキーパッド等のホスト20の入力手段に表示された値をタイプすることによるものである。本発明の好適な実施形態によれば、パスワードをタイプするのではなく、ユーザーがホストの対応するソケットにコネクター18(例えばUSBプラグ)を差し込むと、トークンが通信チャンネル30(有線でも無線でも可)を介してホストと交信し、ワンタイムパスワードを供給する。
当業者には、本発明の範囲を逸脱することなく他の形式および方法によって本発明を実施できることが明らかであろう。ここに記載した実施形態は例示であって、本発明を限定するものではない。
従来技術によるOTPトークンで実行される認証プロセスの概略説明図。 本発明の好適な実施形態によるOTPトークンで実行される認証プロセスの概略説明図。 本発明の一実施形態によるセキュリティーシステムの概略図。 本発明の好適な実施形態によるセキュリティートークンを視覚的に示す図。
符号の説明
10 トークン、11、21 制御モジュール、12 鍵、13、23 ワンタイム値生成器、14、24 有線通信インターフェース、15、19 ディスプレー、16 電源、17 スマートカード、18 コネクター、20 ホスト、22 データベース、51、61 ワンタイム値、52、62 対称鍵、53、63 プロセス、54、64 ワンタイムパスワード、55、65 非対称鍵、56、66 PKIモジュール

Claims (22)

  1. セキュリティートークンであって:
    − ワンタイムパスワード機能を提供するワンタイムパスワードメカニズムと;
    − 前記ワンタイムパスワード機能に対する公開鍵機能を提供する公開鍵メカニズムと;
    − ホストとの有線通信手段であって、前記ホストに前記セキュリティートークンを接続するとともに、少なくとも前記公開鍵メカニズムを動作させるために必要な電源を前記セキュリティートークンに供給する、前記ホストとの有線通信手段と;
    を含み、
    それらにより、前記セキュリティートークンによるより良いセキュリティー性能が達成されるセキュリティートークン。
  2. 前記ワンタイムパスワードおよび任意の他の情報またはそのいずれか一方を表示するディスプレーをさらに含む、請求項1に記載のセキュリティートークン。
  3. 鍵を安全に格納するとともに、セキュリティーに関連した機能を提供するスマートカードチップをさらに含む、請求項1に記載のセキュリティートークン。
  4. 前記ワンタイムパスワードメカニズムは、ワンタイム値を生成する手段を含み、前記生成する手段が、実時間時計およびカウンターを含む群から選択される、請求項1に記載のセキュリティートークン。
  5. 前記パスワードを表示して、その後前記表示された値をホストに手動で供給するためのディスプレーと、ホストとの有線通信手段と、ホストとの無線通信手段と、を含む群から前記通信手段が選択される、請求項1に記載のセキュリティートークン。
  6. 前記有線通信手段は、電源の供給をさらに含み、前記セキュリティートークンに電源を供給する、請求項5に記載のセキュリティートークン。
  7. 前記通信手段を介して供給される電力によって充電される充電可能な電源をさらに含み、前記ホストに接続されなくても、前記セキュリティートークンを動作させる電力が供給される、請求項5に記載のセキュリティートークン。
  8. ホストシステムにワンタイム値を安全に供給するOTPセキュリティートークンであって、前記OTPセキュリティートークンは、
    − 前記ワンタイム値を生成する手段と、
    − 前記ワンタイム値に対する公開鍵機能を実行するPKIメカニズムと、
    − 暗号化された前記ワンタイム値を前記ホストに供給する前記ホストとの通信手段と、
    を含む、OTPセキュリティートークン。
  9. 前記公開鍵機能により前記ワンタイム値を暗号化することと、前記ワンタイムパスワードをデジタル署名することとを含む群から、前記ワンタイム値に対する前記公開鍵機能が選択される、請求項8に記載のOTPセキュリティートークン。
  10. 暗号化された前記ワンタイム値と他の情報を表示するディスプレーをさらに含む、請求項8に記載のOTPセキュリティートークン。
  11. セキュリティーに関連した機能を提供するスマートカードチップをさらに含む、請求項8に記載のOTPセキュリティートークン。
  12. 前記ワンタイム値は、前記実時間、前記カウンター値、および乱数グループを含む群から選択される、請求項8に記載のOTPセキュリティートークン。
  13. 前記通信手段は、前記パスワードを表示し、その後前記表示された値を前記ホストに手動で供給するためのディスプレーと、前記ホストとの有線通信手段と、前記ホストとの無線通信手段と、を含む群から選択される、請求項8に記載のOTPセキュリティートークン。
  14. 前記有線通信手段は、電源を供給することをさらに含み、前記セキュリティートークンに電源を供給する、請求項11に記載のOTPセキュリティートークン。
  15. 前記通信手段によって供給される電力によって充電される充電可能な電源をさらに含み、前記ホストに接続されなくても、前記セキュリティートークンを動作させる電力が供給される、請求項8に記載のOTPセキュリティートークン。
  16. セキュリティーシステムであって、
    − 少なくとも1つのセキュリティートークンであって:ワンタイムパスワード機能を提供するワンタイムパスワードメカニズムと;前記ワンタイムパスワードに対する公開鍵機能を提供する公開鍵メカニズムと;前記ホストに前記セキュリティートークンを接続し、少なくとも前記公開鍵メカニズムを動作させるために必要な電源を前記セキュリティートークンに供給する、ホストとの有線通信手段と;を含む前記少なくとも1つのセキュリティートークンと、
    − ホストシステムであって:ワンタイムパスワード機能を提供する、前記少なくとも1つのセキュリティートークンの前記ワンタイムパスワードメカニズムに対応するワンタイムパスワードメカニズムと;公開鍵機能を提供する、前記少なくとも1つのセキュリティートークンの前記公開鍵メカニズムに対応する公開鍵メカニズムと;前記少なくとも1つのセキュリティートークンと通信するとともに、少なくとも前記セキュリティートークンの前記公開鍵メカニズムを動作させるために必要な電源を前記トークンに供給する、前記少なくとも1つのセキュリティートークンの前記通信手段に対応する通信手段と;を含む前記ホストシステムと、
    を含むセキュリティーシステム。
  17. 前記パスワードを表示し、その後前記表示されたパスワードを前記ホストに手動で供給するための、前記少なくとも1つのセキュリティートークンの各々に内蔵されたディスプレーと、公開鍵操作を実行するために必要な電源を前記少なくとも1つのセキュリティートークンに供給できる有線通信手段と、を含む群から前記通信手段が選択される、請求項16に記載のシステム。
  18. 前記少なくとも1つのセキュリティートークンは、充電可能な電源をさらに含み、前記充電可能な電源が、前記通信手段により供給される電源を介して充電され、前記ホストに接続されずに前記少なくとも1つのプロセッサーを動作させるための電力を供給し、それにより、外部電源がなくても前記セキュリティートークンを動作させることができる、請求項16に記載のシステム。
  19. ホストシステムによりクライアントを認証する方法であって、
    前記クライアント側において:
    (a)第1のワンタイム値を生成するステップと、
    (b)前記ワンタイム値に対する公開鍵機能を実行するステップと;
    (c)前記ホストシステムに前記値を供給するステップと;
    前記ホストシステム側において:
    (d)前記供給された値を用いて前記ステップ(b)で実行された前記公開鍵機能に対応する公開鍵機能を実行するステップと;
    (e)前記第1のワンタイム値の生成と略同じように第2のワンタイム値を生成するステップと;
    前記第2の値が前記第1の値に一致することにより、前記クライアントを認証するステップと;
    を含み、
    それらにより、前記クライアント認証においてより良いセキュリティーレベルが得られる、方法。
  20. 前記ワンタイム値に対する前記公開鍵機能は、前記ワンタイム値を暗号化することと、前記ワンタイム値をデジタル署名することとを含む群から選択される、請求項19に記載の方法。
  21. 前記クライアントは、セキュリティートークンである、請求項19に記載の方法。
  22. 前記クライアント側に前記暗号化された値を表示し、その後前記表示された値を前記ホストに手動で供給することと、前記クライアントと前記ホストとの間の有線通信手段と、前記クライアントと前記ホストとの間の無線通信手段と、を含む群の部材により、前記ホストに前記暗号化された値の供給が実行される、請求項19に記載の方法。
JP2006524523A 2003-08-27 2004-07-13 セキュリティートークン Pending JP2007503646A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/649,169 US20050050330A1 (en) 2003-08-27 2003-08-27 Security token
PCT/IL2004/000628 WO2005022288A2 (en) 2003-08-27 2004-07-13 Security token

Publications (1)

Publication Number Publication Date
JP2007503646A true JP2007503646A (ja) 2007-02-22

Family

ID=34216886

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006524523A Pending JP2007503646A (ja) 2003-08-27 2004-07-13 セキュリティートークン

Country Status (6)

Country Link
US (1) US20050050330A1 (ja)
EP (1) EP1658695A2 (ja)
JP (1) JP2007503646A (ja)
CN (1) CN1864364A (ja)
RU (1) RU2346396C2 (ja)
WO (1) WO2005022288A2 (ja)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008160325A (ja) * 2006-12-21 2008-07-10 Lenovo Singapore Pte Ltd リムーバブル・デバイスを用いたユーザの認証方法およびコンピュータ
JP2008263548A (ja) * 2007-04-13 2008-10-30 Toshiba Corp 通信端末装置、情報管理システムおよび情報管理方法
JP2009534742A (ja) * 2006-04-21 2009-09-24 ベリサイン・インコーポレイテッド 時間およびイベントベースのワンタイムパスワード
JP2010257422A (ja) * 2009-04-28 2010-11-11 Dainippon Printing Co Ltd カード型ワンタイムパスワード生成器及び初期発行方法
JP2010257101A (ja) * 2009-04-23 2010-11-11 Dainippon Printing Co Ltd ユーザ認証システム,方法,スクラッチ媒体及びスクラッチ媒体の製造方法
JP2011197985A (ja) * 2010-03-19 2011-10-06 Dainippon Printing Co Ltd ロイヤリティ管理システム,ロイヤリティ管理方法及びトークン
JP2014026476A (ja) * 2012-07-27 2014-02-06 Dainippon Printing Co Ltd 回収収容体およびそれを用いた認証システム
JP2017502549A (ja) * 2013-10-29 2017-01-19 クリプトマティック リミテッドCryptomathic Ltd セキュア・モバイル・ユーザ・インターフェースおよびモバイル装置ケース

Families Citing this family (58)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7762470B2 (en) 2003-11-17 2010-07-27 Dpd Patent Trust Ltd. RFID token with multiple interface controller
US7597250B2 (en) 2003-11-17 2009-10-06 Dpd Patent Trust Ltd. RFID reader with multiple interfaces
US9281945B2 (en) 2003-12-30 2016-03-08 Entrust, Inc. Offline methods for authentication in a client/server authentication system
US8966579B2 (en) * 2003-12-30 2015-02-24 Entrust, Inc. Method and apparatus for providing authentication between a sending unit and a recipient based on challenge usage data
US8612757B2 (en) * 2003-12-30 2013-12-17 Entrust, Inc. Method and apparatus for securely providing identification information using translucent identification member
US9191215B2 (en) * 2003-12-30 2015-11-17 Entrust, Inc. Method and apparatus for providing authentication using policy-controlled authentication articles and techniques
US8060915B2 (en) * 2003-12-30 2011-11-15 Entrust, Inc. Method and apparatus for providing electronic message authentication
US8230486B2 (en) * 2003-12-30 2012-07-24 Entrust, Inc. Method and apparatus for providing mutual authentication between a sending unit and a recipient
US20050154923A1 (en) * 2004-01-09 2005-07-14 Simon Lok Single use secure token appliance
US10140596B2 (en) * 2004-07-16 2018-11-27 Bryan S. M. Chua Third party authentication of an electronic transaction
FR2874295B1 (fr) * 2004-08-10 2006-11-24 Jean Luc Leleu Procede d'authentification securisee pour la mise en oeuvre de services sur un reseau de transmission de donnees
US20060136739A1 (en) * 2004-12-18 2006-06-22 Christian Brock Method and apparatus for generating one-time password on hand-held mobile device
US8321686B2 (en) * 2005-02-07 2012-11-27 Sandisk Technologies Inc. Secure memory card with life cycle phases
US8423788B2 (en) * 2005-02-07 2013-04-16 Sandisk Technologies Inc. Secure memory card with life cycle phases
US8108691B2 (en) * 2005-02-07 2012-01-31 Sandisk Technologies Inc. Methods used in a secure memory card with life cycle phases
US8266441B2 (en) * 2005-04-22 2012-09-11 Bank Of America Corporation One-time password credit/debit card
WO2006119184A2 (en) * 2005-05-04 2006-11-09 Tricipher, Inc. Protecting one-time-passwords against man-in-the-middle attacks
US7748031B2 (en) 2005-07-08 2010-06-29 Sandisk Corporation Mass storage device with automated credentials loading
KR100752393B1 (ko) 2005-07-22 2007-08-28 주식회사 엘립시스 개인용 인증토큰 및 인증방법
US8181232B2 (en) * 2005-07-29 2012-05-15 Citicorp Development Center, Inc. Methods and systems for secure user authentication
US8127142B2 (en) * 2005-09-09 2012-02-28 University Of South Florida Method of authenticating a user on a network
US7934049B2 (en) * 2005-09-14 2011-04-26 Sandisk Corporation Methods used in a secure yet flexible system architecture for secure devices with flash mass storage memory
US8966284B2 (en) * 2005-09-14 2015-02-24 Sandisk Technologies Inc. Hardware driver integrity check of memory card controller firmware
US9002750B1 (en) 2005-12-09 2015-04-07 Citicorp Credit Services, Inc. (Usa) Methods and systems for secure user authentication
US9768963B2 (en) * 2005-12-09 2017-09-19 Citicorp Credit Services, Inc. (Usa) Methods and systems for secure user authentication
US7904946B1 (en) 2005-12-09 2011-03-08 Citicorp Development Center, Inc. Methods and systems for secure user authentication
US20080052524A1 (en) * 2006-08-24 2008-02-28 Yoram Cedar Reader for one time password generating device
US20080072058A1 (en) * 2006-08-24 2008-03-20 Yoram Cedar Methods in a reader for one time password generating device
KR100875952B1 (ko) * 2006-09-22 2008-12-26 소프트픽셀(주) 전자카드 및 그 제조방법
WO2008053279A1 (en) * 2006-11-01 2008-05-08 Danske Bank A/S Logging on a user device to a server
US9251637B2 (en) 2006-11-15 2016-02-02 Bank Of America Corporation Method and apparatus for using at least a portion of a one-time password as a dynamic card verification value
GB0624582D0 (en) 2006-12-08 2007-01-17 Visible Computing Ltd USB autorun devices
US8423794B2 (en) * 2006-12-28 2013-04-16 Sandisk Technologies Inc. Method and apparatus for upgrading a memory card that has security mechanisms for preventing copying of secure content and applications
EP2034458A3 (en) * 2007-03-09 2009-09-02 ActivIdentity, Inc. One-time passwords
US8002193B2 (en) 2007-03-12 2011-08-23 Visa U.S.A. Inc. Payment card dynamically receiving power from external source
US8667285B2 (en) * 2007-05-31 2014-03-04 Vasco Data Security, Inc. Remote authentication and transaction signatures
US7930554B2 (en) 2007-05-31 2011-04-19 Vasco Data Security,Inc. Remote authentication and transaction signatures
EP2073176A1 (fr) * 2007-12-20 2009-06-24 Gemalto SA Système électronique portable avec contrôle d'une consommation d'énergie d'un élément du système
KR20080012389A (ko) * 2008-01-17 2008-02-11 임병렬 전자상거래에서 거래 최종 확인 시스템 및 방법
CA2731031A1 (en) * 2008-07-18 2010-01-21 Lifescan, Inc. Analyte measurement and management device and associated methods
BRPI0917510A2 (pt) * 2008-08-20 2015-11-17 Wherepro Llc gerador de pacotes de dados para geração de códigos
US20100319058A1 (en) * 2009-06-16 2010-12-16 Chia-Hong Chen Method using electronic chip for authentication and configuring one time password
US8683562B2 (en) * 2011-02-03 2014-03-25 Imprivata, Inc. Secure authentication using one-time passwords
US20140040622A1 (en) * 2011-03-21 2014-02-06 Mocana Corporation Secure unlocking and recovery of a locked wrapped app on a mobile device
US9396325B2 (en) 2011-03-21 2016-07-19 Mocana Corporation Provisioning an app on a device and implementing a keystore
CN102739403A (zh) * 2012-06-19 2012-10-17 深圳市文鼎创数据科技有限公司 动态令牌的身份认证方法及装置
EP2763370B1 (en) 2013-01-31 2016-12-21 Nxp B.V. Security token and service access system
WO2014141263A1 (en) * 2013-03-13 2014-09-18 Biothent Security Ltd. Asymmetric otp authentication system
EP2782074B1 (en) * 2013-03-19 2019-06-26 Nxp B.V. Control system with security token and control method
US10129248B2 (en) * 2013-07-08 2018-11-13 Assa Abloy Ab One-time-password generated on reader device using key read from personal security device
US20180095500A1 (en) * 2016-09-30 2018-04-05 Intel Corporation Tap-to-dock
US10574650B2 (en) 2017-05-17 2020-02-25 Bank Of America Corporation System for electronic authentication with live user determination
US10387632B2 (en) 2017-05-17 2019-08-20 Bank Of America Corporation System for provisioning and allowing secure access to a virtual credential
US10318957B2 (en) * 2017-10-23 2019-06-11 Capital One Services, Llc Customer identification verification process
US11469903B2 (en) * 2019-02-28 2022-10-11 Microsoft Technology Licensing, Llc Autonomous signing management operations for a key distribution service
US11483147B2 (en) 2020-01-23 2022-10-25 Bank Of America Corporation Intelligent encryption based on user and data properties
US11425143B2 (en) 2020-01-23 2022-08-23 Bank Of America Corporation Sleeper keys
US11102005B2 (en) 2020-01-23 2021-08-24 Bank Of America Corporation Intelligent decryption based on user and data profiling

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100213188B1 (ko) * 1996-10-05 1999-08-02 윤종용 사용자 인증 장치 및 방법
US5953422A (en) * 1996-12-31 1999-09-14 Compaq Computer Corporation Secure two-piece user authentication in a computer network
US6173400B1 (en) * 1998-07-31 2001-01-09 Sun Microsystems, Inc. Methods and systems for establishing a shared secret using an authentication token
US6668322B1 (en) * 1999-08-05 2003-12-23 Sun Microsystems, Inc. Access management system and method employing secure credentials
US7085931B1 (en) * 1999-09-03 2006-08-01 Secure Computing Corporation Virtual smart card system and method
WO2004051585A2 (en) * 2002-11-27 2004-06-17 Rsa Security Inc Identity authentication system and method
US7519989B2 (en) * 2003-07-17 2009-04-14 Av Thenex Inc. Token device that generates and displays one-time passwords and that couples to a computer for inputting or receiving data for generating and outputting one-time passwords and other functions

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009534742A (ja) * 2006-04-21 2009-09-24 ベリサイン・インコーポレイテッド 時間およびイベントベースのワンタイムパスワード
US9258124B2 (en) 2006-04-21 2016-02-09 Symantec Corporation Time and event based one time password
JP2008160325A (ja) * 2006-12-21 2008-07-10 Lenovo Singapore Pte Ltd リムーバブル・デバイスを用いたユーザの認証方法およびコンピュータ
JP4724107B2 (ja) * 2006-12-21 2011-07-13 レノボ・シンガポール・プライベート・リミテッド リムーバブル・デバイスを用いたユーザの認証方法およびコンピュータ
JP2008263548A (ja) * 2007-04-13 2008-10-30 Toshiba Corp 通信端末装置、情報管理システムおよび情報管理方法
JP2010257101A (ja) * 2009-04-23 2010-11-11 Dainippon Printing Co Ltd ユーザ認証システム,方法,スクラッチ媒体及びスクラッチ媒体の製造方法
JP2010257422A (ja) * 2009-04-28 2010-11-11 Dainippon Printing Co Ltd カード型ワンタイムパスワード生成器及び初期発行方法
JP2011197985A (ja) * 2010-03-19 2011-10-06 Dainippon Printing Co Ltd ロイヤリティ管理システム,ロイヤリティ管理方法及びトークン
JP2014026476A (ja) * 2012-07-27 2014-02-06 Dainippon Printing Co Ltd 回収収容体およびそれを用いた認証システム
JP2017502549A (ja) * 2013-10-29 2017-01-19 クリプトマティック リミテッドCryptomathic Ltd セキュア・モバイル・ユーザ・インターフェースおよびモバイル装置ケース
US10719831B2 (en) 2013-10-29 2020-07-21 Cryptomathic Ltd. Secure mobile user interface

Also Published As

Publication number Publication date
WO2005022288A2 (en) 2005-03-10
RU2006109501A (ru) 2007-10-20
WO2005022288A3 (en) 2005-05-19
CN1864364A (zh) 2006-11-15
US20050050330A1 (en) 2005-03-03
RU2346396C2 (ru) 2009-02-10
EP1658695A2 (en) 2006-05-24

Similar Documents

Publication Publication Date Title
JP2007503646A (ja) セキュリティートークン
CN108377190B (zh) 一种认证设备及其工作方法
US9467430B2 (en) Device, method, and system for secure trust anchor provisioning and protection using tamper-resistant hardware
US8966269B2 (en) Integrity protected smart card transaction
US8386796B2 (en) Information processing apparatus and information management method
WO2006043904A1 (en) One time passcode system
US20120124378A1 (en) Method for personal identity authentication utilizing a personal cryptographic device
US20090210720A1 (en) Method for generating one-time password
KR20000024445A (ko) 전자서명을 이용한 사용자 인증기법과 무선 전자서명을이용한사용자 인증기법 및 휴대형 처리 도구
JP2011505034A (ja) 使い捨て用仮想秘密情報認証システムおよび認証方法
JP2006522507A (ja) セキュア通信システム及びセキュア通信方法
US11386429B2 (en) Cryptocurrency securing method and device thereof
US11924337B2 (en) Sensitive data management system
KR101271464B1 (ko) 이중 인증 시스템의 비밀키 암호화 방법
JP2007150780A (ja) 暗号化方法及び装置並びにプログラム
JP2004320229A (ja) 相互認証方法
JP6165044B2 (ja) 利用者認証装置、システム、方法及びプログラム
CN115103356A (zh) 计算机安全验证系统、方法、移动终端及可读存储介质
JP2021040278A (ja) 鍵管理システム、署名装置、鍵管理方法及びプログラム
CN112784237A (zh) 一种电子文档的认证处理方法、认证授权方法及相关设备
CN113162766A (zh) 一种密钥分量的密钥管理方法和系统
KR20100120835A (ko) 보안 입력 장치 및 이를 이용한 보안 방법
KR20040042728A (ko) 스마트 카드를 이용한 네트워크 전용장치의 환경설정 및인증방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070614

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090421

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20090929