JP2007535827A - プロキシミティトークンに基づくアプリケーションサービスへの安全なアクセス - Google Patents
プロキシミティトークンに基づくアプリケーションサービスへの安全なアクセス Download PDFInfo
- Publication number
- JP2007535827A JP2007535827A JP2006508250A JP2006508250A JP2007535827A JP 2007535827 A JP2007535827 A JP 2007535827A JP 2006508250 A JP2006508250 A JP 2006508250A JP 2006508250 A JP2006508250 A JP 2006508250A JP 2007535827 A JP2007535827 A JP 2007535827A
- Authority
- JP
- Japan
- Prior art keywords
- token
- proximity
- application service
- security
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 claims abstract description 90
- 238000005516 engineering process Methods 0.000 claims abstract description 24
- 238000000034 method Methods 0.000 claims description 135
- 238000004590 computer program Methods 0.000 claims description 17
- 238000012795 verification Methods 0.000 claims description 6
- 230000000295 complement effect Effects 0.000 claims description 4
- 238000012790 confirmation Methods 0.000 claims description 3
- 230000008929 regeneration Effects 0.000 claims description 3
- 238000011069 regeneration method Methods 0.000 claims description 3
- 230000001172 regenerating effect Effects 0.000 claims 2
- 230000008569 process Effects 0.000 description 21
- 238000007726 management method Methods 0.000 description 15
- 238000010586 diagram Methods 0.000 description 13
- 230000006870 function Effects 0.000 description 10
- 230000007246 mechanism Effects 0.000 description 8
- 230000004044 response Effects 0.000 description 5
- 238000013478 data encryption standard Methods 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 238000013439 planning Methods 0.000 description 2
- 230000026676 system process Effects 0.000 description 2
- KJLPSBMDOIVXSN-UHFFFAOYSA-N 4-[4-[2-[4-(3,4-dicarboxyphenoxy)phenyl]propan-2-yl]phenoxy]phthalic acid Chemical compound C=1C=C(OC=2C=C(C(C(O)=O)=CC=2)C(O)=O)C=CC=1C(C)(C)C(C=C1)=CC=C1OC1=CC=C(C(O)=O)C(C(O)=O)=C1 KJLPSBMDOIVXSN-UHFFFAOYSA-N 0.000 description 1
- 241001441724 Tetraodontidae Species 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 239000012141 concentrate Substances 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 229920001690 polydopamine Polymers 0.000 description 1
- 238000012384 transportation and delivery Methods 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
- G06F21/35—User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/20—Individual registration on entry or exit involving the use of a pass
- G07C9/22—Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/63—Location-dependent; Proximity-dependent
- H04W12/64—Location-dependent; Proximity-dependent using geofenced areas
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
アプリケーションサービス(105)への安全にされたアクセスを提供するシステムは、アプリケーションサービス(105)に結合するセキュリティトークン(110)を含む。セキュリティトークン(110)は、例えば暗号または暗号解読などの暗号技術の第1の要素を実行する。セキュリティトークン(110)に関連付けられたプロキシミティトークン(115)が提供される。プロキシミティトークン(115)は、アプリケーションサービス(105)とセキュリティトークン(110)との間の通信を有効にするために、暗号技術の第2の要素を実行する。プロキシミティトークン(115)は、プロキシミティトークンが、セキュリティトークン(110)またはアプリケーションサービス(105)から所定の有効距離(R)内に位置するときだけ、通信を有効にするために動作可能である。システムは、プロキシミティトークン(115)が通信を有効にしたときに、アプリケーションサービス(105)への安全にされたアクセスを提供し、かつプロキシミティトークン(115)が通信を有効にしないときに、アプリケーションサービス(105)への安全にされたアクセスを妨げるように構成されることができる。
Description
本開示は、アプリケーションサービスへの安全なアクセスに関する。
携帯電話または他のベアラ(bearer)デバイスは、スマートカードの所有者を認証するために、スマートカードなどのセキュリティトークンを使用して安全にされることができる。スマートカードが、所有者を認証するために作動される前に、スマートカードは、スマートカードと所有者との間で共有される個人識別番号(personal identification number、PIN)などのシークレットを通信することを所有者に要求することがある。所有者に負担を負わせることを避けるために、スマートカードは、所定の延長された間隔でPINを与えることだけを所有者に要求することがある。多くの場合、スマートカードは、数時間、数週間、または数ヶ月さえ作動されたままであることがある。
スマートカードが作動されている間に、ベアラデバイスが盗まれたなら、盗んだ者は、自身を所有者として認証するために作動されたスマートカードを使用して、セキュア(secure)サービスにアクセスしまたは課金するために盗んだベアラデバイスを使用することがある。
全般的な態様において、アプリケーションサービスへ安全にされたアクセスを提供するためのシステムは、アプリケーションサービスと通信するセキュリティトークンを含む。セキュリティトークンは、暗号技術の第1の要素を実行する。セキュリティトークンに関連付けられたプロキシミティ(proximity)トークンが提供される。プロキシミティトークンは、アプリケーションサービスとセキュリティトークンとの間の通信を有効にするために、暗号技術の第2の要素を実行する。プロキシミティトークンは、プロキシミティトークンが、セキュリティトークンまたはアプリケーションサービスから所定の有効距離内に位置するときだけ、通信を有効にするために動作可能である。
実装は、1つ以上の以下の特徴を含むことができる。例えば、セキュリティトークンは、プロキシミティトークンが、アプリケーションサービスとセキュリティトークンとの間の通信を有効にしたことを確認するために、暗号技術の第1の要素を使用することができる。暗号技術は、対称および/または非対称の暗号方法を含むことができる。暗号技術の第1および第2の要素は、相補的であることができ、例えば暗号化および/または暗号解読技術であることができる。暗号技術は、デジタル署名技術および/またはデジタルエンベロープ技術を含むこともできる。
通信を有効にするために、プロキシミティトークンは、セキュリティトークンと直接通信することができる。システムは、プロキシミティトークンが通信を有効にしたときに、アプリケーションサービスへの安全にされたアクセスを提供し、かつプロキシミティトークンが通信を有効にしないときに、アプリケーションサービスへの安全にされたアクセスを妨げるように構成されることができる。
プロキシミティトークンは、暗号技術の第2の要素を使用してプロキシミティメッセージを生成するために、メッセージ生成回路を含むことができる。メッセージ生成回路は、通信を有効にするためにプロキシミティメッセージをブロードキャストすることができ、ブロードキャストの範囲は、プロキシミティトークンが、アプリケーションサービスまたはセキュリティトークンから所定の有効距離内であるときだけに、メッセージが受信されるような範囲であることができる。
通信回路は、プロキシミティトークンが所定の有効距離内に位置するときに、通信を有効にするために、アプリケーションサービスとセキュリティトークンとの間の通信のコンジットとしてプロキシミティトークンと関係することができる。例えば、セキュリティトークンの安全にされた出力回路は、安全にされた出力を生成するために暗号を使用することができる。通信回路は、アプリケーションサービスまたはセキュリティトークンに通信される有効にされた出力を生成するために、再生回路を使用して安全にされた出力を暗号解読することができる。
代わりに、通信回路の有効にされたコマンド回路は、有効にされたコマンドを生成するために、セキュリティトークンに対するアプリケーションサービスのコマンドを暗号化することができる。セキュリティトークンは、有効にされたコマンドを暗号解読することによってコマンドを再生するためのコマンド再生回路を含むことができる。再び有効にするために、通信回路は、プロキシミティトークンが、アプリケーションサービスまたはセキュリティトークンから所定の有効距離内であるときだけに、受信のためにコマンドおよび有効にされたコマンドの両方を通信する。
セキュリティトークンは、セキュア実行回路およびセキュア格納回路を有するスマートカードを含むことができる。セキュア実行回路は、暗号技術の態様を実行し、セキュア格納回路は、例えば暗号技術の暗号鍵を格納する。
プロキシミティトークンは、移動デバイスまたは固定デバイスを含むことができる。さらに、プロキシミティトークン自体は、例えばスマートカードなどのセキュリティトークンを含むことができる。プロキシミティトークンは、短距離無線技術を使用してアプリケーションサービスと通信するために、無線通信回路を使用することができる。さらにアプリケーションサービスは、例えばベアラデバイス(例えば携帯電話)および外部サービス(例えば携帯電話ネットワーク)などの物理的に別個の部品を含むことができる。
これらの全般的なおよび特定の態様は、方法、システム、またはコンピュータプログラム、またはシステム、方法、またはコンピュータプログラムの組み合わせを使用して実装されることができる。他の特徴は、図面を含む以下の記載および請求項から明らかである。
様々な図面における同様の参照符号は、同様の要素を示す。
図1を参照して、全体的なシステム100は、セキュリティトークン110およびプロキシミティトークン115を使用するアプリケーションサービス105への安全にされたアクセスを提供する。プロキシミティトークン115は、アプリケーションサービス105へのアクセスを安全にするために、アプリケーションサービス105とセキュリティトークン110との間の通信を有効にする。セキュリティトークン110は、アプリケーションサービス105へのアクセスが提供される前に、有効化を確認することができる。システム100の例示的な構成要素は、より詳細に以下に記載される。
アプリケーションサービス105は、一般的に、セキュア格納および/またはセキュア実行の機能を提供するためにセキュリティトークン(例えばセキュリティトークン110)による、デバイス、システム、および/または1つのコードを含むことができる。例えば、アプリケーションサービス105は、携帯電話、携帯情報端末(PDA)、ペンベースのコンピュータ、またはノートコンピュータなどの移動デバイスを含むことができる。アプリケーションサービス105は、デスクトップコンピュータ、ワークステーション、自動支払い機(ATM)、またはビルセキュリティシステムなどの固定デバイスを含むこともできる。アプリケーションサービス105は、企業クライアント、Webブラウザ(例えば、セキュリティトークン110のGiesecke & Devrient STARSIMブラウザシステムと統合するように構成されたSIM(加入者識別モジュール)ツールキットブラウザ)、電子メールクライアント、同期化クライアント(例えば、カレンダ同期化クライアントまたはタスクリスト同期化クライアント)、電子パスまたはウオレット、インスタントメッセージング(IM)クライアント、ビジネス生産性アプリケーション(例えばワードプロセッサまたは表計算プログラム)、および/または移動デバイスにあるオペレーティングシステムまたはオペレーティングシステムカーネルを含むことができる。
アプリケーションサービス105は、さらなるサービスを含むまたはさらなるサービスにアクセスすることができる。例えばアプリケーションサービス105は、例えば信頼性があるデータベース管理システム(RDBMS)またはSAP R/3システムなどのデータベースサービスと通信するように構成された、アプリケーションサーバ(例えば、SAP WASバージョン6.20などのウエブアプリケーションサーバ(WAS))を含むまたはアプリケーションサーバにアクセスすることができる。データベースサービスは、例えば、企業サービス、ユーザ、および/または顧客に関連する企業情報を含むことができる。さらに、アプリケーションサービス105は、CRMサービス、企業リソースプランニング(ERP)サービス、電子メールサービス、会計サービス、リソース管理サービス、同期化サービス(例えば、カレンダ同期化サービス、タスクリスト同期化サービス)、プリントサービス、ファイルアクセスサービス、インスタントメッセージング(IM)サービス、オペレーティングシステム、オペレーティングシステムカーネル、認証サービス、許可サービス、および/またはこれらまたは他のサービスの任意の組み合わせを含むことができる。
アプリケーションサービス105は、さらに、音声および/または非音声データ、例えば、ショートメッセージサービス(SMS)、無線アプリケーションプロトコル(WAP)、トランスポート接続プロトコル(TCP)、インターネットプロトコル(IP)、ワールドワイドウエブ、1つ以上のローカルエリアネットワーク(LAN)、1つ以上の無線LAN(WLAN)、および/または1つ以上のワイドエリアネットワーク(WAN)などを配信するための様々な機構を含むことができる。アプリケーションサービス105は、また、アナログまたはデジタルの有線および無線の電話ネットワーク、例えば、公衆交換電話ネットワーク(PSTN)、統合サービスデジタルネットワーク(ISDN)、様々なタイプのデジタル加入者ライン(xDSL)、アドバンス携帯電話サービス(AMPS)、移動通信のためのグローバルシステム(GSM)、ジェネラルパケット無線サービス(GPRS)、符号分割マルチアクセス(CDMA)、ワイドバンドCDMA(WCDMA)、ユニバーサル移動通信システム(UMTS)、無線、ケーブル、衛星、および/または音声または非音声データを搬送するための配信機構を含むことができる。
セキュリティトークン110は、一般的にセキュア格納機能およびセキュア実行機能を実行することができる。セキュリティトークン110のセキュア格納機能およびセキュア実行機能は、例えば、機密性、ユーザ認証、アプリケーション認証、取引認証、および/または非拒絶を提供するために使用されることができる。セキュリティトークン110は、アプリケーションサービス105との通信がプロキシミティトークンによって有効されたことを確認することによって、アプリケーションサービス105へのアクセスを制御することができる。例えば、セキュリティトークン110は、基本データ暗号化、デジタル署名、および/またはデジタルエンベロープを使用することを含むデータ暗号技術に基づき、セキュアメッセージ(例えば、プロキシミティトークン115によって有効にされたセキュアメッセージ)を確認し、生成し、または解釈することができる。セキュリティトークン110のセキュア格納およびセキュア実行機能を使用して、シークレット暗号鍵は、トークン内に完全に格納されかつ使用されることができる。結果として、第三者の盗み聞きする者は、シークレット暗号鍵を横取りするために、セキュリティトークン110の通信を聞くことを妨げられる。
追加のセキュリティのために、セキュリティトークン110は、ユーザが、セキュリティトークン110を可能にするアクセストークン(例えば、個人識別番号(PIN)、パスワード、またはバイオメトリックインジケータ)を提供することを要求することができる。盗みからの増大したセキュリティを提供するために、セキュリティトークン110は、所定数の失敗したアクセスの試みの後で、自体をロックダウンするように構成されることができる。セキュリティトークンは、また内部クロックを含むことができ、所定の時間期間内に所定数の失敗したアクセスの試みの後で、例えばロックダウンするように構成されることができる。
セキュリティトークン110は、アプリケーションサービス105との全ての通信またはいくつかだけの通信の有効性を要求するように構成されることができる。例えば、アプリケーションサービス105は、安全にされたおよび安全にされていないサービスの両方を提供するように構成されることができ、特定の通信のタイプが、互いに関連付けられることができる。安全にされていないサービスは、例えば、911などの緊急電話番号へのアクセス、またはユーザが課金されないサービスへのアクセスを含むことがある。セキュリティトークン110は、アプリケーションサービス105の安全にされていないサービスと関連付けられたタイプの通信の有効化を要求しないように構成されることがある。
セキュリティトークン110は、また受信されたコマンドの新鮮さを保証するために、1つ以上のプロトコルを用いるように構成されることができる。例えば、再生カウンタ技術は、盗み聞きする者が有効にされたコマンドを横取りし、その後アプリケーションサービス105にアクセスするために、セキュリティトークン110に有効であるがもはや新鮮ではないコマンドを提示することを防ぐために使用されることができる。
セキュア格納およびセキュア実行を提供するために、セキュリティトークン110は、アプリケーションサービス105とは別である物理的識別を有することができる特定のセキュリティハードウエアおよびソフトウエアを含むことができる。例えば、セキュリティトークン110は、安全にされた物理的ケーシング内に自身のメモリおよびプロセッサを含むことができる。安全にされたソフトウエアおよびデータ(例えば、暗号アルゴリズムおよび暗号鍵および確証)は、盗み聞きする者による観察または修正を防ぐために、物理的ケーシング内で安全にされたメモリおよびプロセッサを使用して格納および実行されることができる。セキュリティトークン110は、例えば、アプリケーションサービス105のSIMツールキットブラウザと統合することができる、Giesecke & Devrient STARSIMブラウザシステムを含むことができる。セキュリティトークン110は、また、ランダム数生成器(RNG)および/または内部クロック機構を含むことができる。
1つのそのような実装において、セキュリティトークン110は、スマートカード、またはセキュア格納およびセキュア実行を提供することができる他の適切なプロセッサおよび/またはメモリカード(例えば、ユニバーサルシリアルバス(USB)トークン、GSM SIM、および/またはUMTS SIM(USIM))を含む。スマートカードは、例えば、国際標準化機構(ISO)7816-X、ISOおよび国際電気標準会議(IEC)14443-1仕様、GSM SIMに関する欧州通信標準協会仕様、および/または支払いシステムに関するEuropay International、Master Card International、Visa International(EMV)仕様などの標準によって規定されることができる。スマートカードは、出て行くセキュアメッセージを形成するために、受信したセキュアメッセージ、暗号要求、または応答を暗号解読することができ、セキュアメッセージを使用してアプリケーションサービス105と通信することができる。セキュアメッセージは、音声および/または非音声データを含むことができる。
他の態様において、セキュリティトークン110は、アプリケーションサービス105の一部として組み込まれることができ、観察および修正に対して抵抗するタンパ抵抗ソフトウエア(TRS)を介して、アプリケーションサービスのリソースを使用して実装されることができる。TRSは、そのオペレーションのインターリーブを用いることができ、TSR符号は、自己暗号、自己暗号解読、および/または自己修正されることができる。TRSは、複数のメモリ構造を介して分散されたシークレットを格納し、かつ複数のオペレーションを介してだけこれらシークレットを処理するように構成されることができる。各TSR実装は、独特の符号シーケンスおよび/または暗号鍵を含むことができ、TSR符号シーケンスの正しい性能は、多くの他のTSR符号シーケンスの相互に正しい実行に応じることができる。
セキュリティトークン110は、例えば認証、または有効性を確認するために有用であることができる一方向暗号方法(すなわち、暗号にされた出力は暗号解読されることができない)を用いることができる。一方向暗号機能は、さらにハッシュ値から入力をコンピュータで決定することが実行できない任意の長さの入力に関して、固定サイズの数(例えばハッシュ値)を生成する。一方向暗号機能とわずかに異なる入力は、一般に実質的に異なる出力を生成する。一方向暗号機能は、例えば、ハッシュアルゴリズム(例えば、SHA-1またはSHA-256)およびメッセージダイジェストアルゴリズム(例えば、MD4、MD5、またはRipe-MD)を含む。
セキュリティトークン110は、また、対称および/または非対称である二方向暗号方法(すなわち、暗号にされた出力は暗号解読されることができる)を用いることができる。対称暗号方法において、共有される鍵が用いられ、メッセージを暗号にするためおよび暗号解読するための両方に使用される。共有される鍵は、所定メッセージを安全にするために一度使用されかつ破棄されることができ、または、セキュリティトークン110は、繰り返し使用のために共有される鍵を格納することができる。いずれの場合でも、共有される鍵は、従来の鍵交換方法を使用して、アプリケーションサービス110に通信されることができる。対称暗号方法は、例えば、データ暗号基準(DES)、3DES(トリプルDES)、Blowfish暗号アルゴリズム、国際データ暗号アルゴリズム(IDEA)、および/または高度暗号基準(AES)を含む。
非対称暗号方法(例えば、Rivest、Shamir、およびAdelman(RSA)方法、楕円曲線クリプトグラフィ(ECC)、デジタル署名アルゴリズム(DSA)、またはElgamalクリプトグラフィ)において、鍵のペアは、メッセージを暗号化するためおよび暗号解読するために使用される。鍵のペアは、メッセージを暗号化する(しかし暗号解読の利点を提供しない)公開鍵、およびメッセージを暗号解読するための関連付けられる秘密鍵を含む。非対称暗号方法は、デジタル署名を作るためにも使用されることができる。デジタル署名は、メッセージ作者が、実際にメッセージ作者が主張する人物またはデバイスであること、およびメッセージは送信された後に修正されないことを認証することができる。暗号化に類似して、秘密鍵は、デジタル署名を生成するために使用され、一方、メッセージ受信者は、デジタル的に署名されたメッセージを認証するために関連付けられる公開鍵を使用する。セキュリティトークン110は、秘密鍵を維持することができるが、例えば、公開鍵を、公開を介してアプリケーションサービス105に利用可能にすることができる。公開鍵インフラストラクチャ(PKI)は、メッセージに関連付けられた公開鍵が、メッセージによって主張されるソースに対応するアプリケーションサービス105を確証することができる。PKIは、紙の文書の署名者の正しい識別を立証する公証人のルールに類似する役割を満たす。PKIは、例えば確証権限または信頼のウエブを含むことができる。
プロキシミティトークン115は、一般に、プロキシミティトークンの所定距離内で発生するアプリケーションサービス105とセキュリティトークン110との間の通信を有効にするように構成された、例えば任意のデバイス、システム、および/または1つのコードを含むことができる。所定距離内の有効性を提供するために、プロキシミティトークン115は、アプリケーションサービス105および/またはセキュリティトークン110と通信するために、短距離無線技術を使用するように構成されることができる。アプリケーションサービス105および/またはセキュリティトークン110は、また、短距離無線技術を使用して通信するように構成されることができる。短距離無線技術は、例えば、Bluetooth、IEEE 802.11、ウルトラワイドバンド(UWB)、共有無線アクセスプロトコル(SWAP)、デジタル強化コードレス通信(DECT)、GSM、UMTS、CDMA、WCDMA、IrDA(赤外線データアソシエーション)プロトコル、CDMA2000、時分割CDMA(TD-CDMA)、HiperLAN2、HomeRF、またはワイドバンド周波数ホッピング(WBFH)を含む。使用されるプロトコルに応じて、短距離無線技術は、例えば、約10メートルまたは約100メートルの有効通信範囲を提供することができる。プロキシミティトークン115は、移動可能または静止であることができ、アプリケーションサービス105またはセキュリティトークン110と直接通信することができまたは通信することができない。
いずれにしても、プロキシミティトークン115は、上述されたセキュリティトークン110のセキュア実行および/またはセキュア格納機能に全般的に類似する、セキュア実行および/またはセキュア格納機能を提供する。さらに、プロキシミティトークン115は、例えばセキュア格納およびセキュア実行を提供するためのセキュリティトークンを含むことができる。したがって簡潔さのために、セキュリティトークン110の記載は、ここでは繰り返されないが、参照によって組み込まれる。プロキシミティトークン115は、対称および/または非対称データ暗号方法を使用して、アプリケーションサービス105とセキュリティトークン110との間の通信を有効にする。プロキシミティトークン115の暗号方法は、セキュリティトークン110の暗号方法とシームレスに動作するために選択されることができる。
アプリケーションサービス105とセキュリティトークン110との間の通信を有効にするために、プロキシミティトークン105は、その通信における参加者として関係付けられることができる。プロキシミティトークン115は、自体に関する外側距離(例えば、有効距離R)を決定することができ、外側距離で、有効にされた通信が発生することができ、その距離を越えて通信を有効にすることを拒絶することができる。例えば、プロキシミティトークン115は、プロキシミティトークン115がブロードキャストするパワーを調節することによって、有効距離を決定することができる。加えてまたは代替として、プロキシミティトークン115は、アプリケーションサービス105とセキュリティトークン110との間の通信の受信されたパワーに基づき有効距離Rを決定することができる。
1つ以上の他のサービスは、システム100の構成要素に含まれることができ、これら構成要素(以降、システムサービス)は、1つ以上の他のサービスの一部として含まれることができる。例えばシステムサービスは、汎用または特定目的のコンピュータ(例えば、パーソナルコンピュータ、PDA、または所定のタスクを実行するために特にプログラムされたデバイス)、ローカルエリアネットワーク(LAN)、および/またはワイドエリアネットワーク(WAN)を含む、またはそれらに含まれることができる。任意のまたは全てのシステムサービスによって受信される指示の応答および指示の実行は、本明細書に記載されるように相互作用および動作するために無関係にまたは集合的して指示するための、プログラム、1つのコード、指示、デバイス、コンピュータシステム、またはそれらの組み合わせによって制御されることができる。
図2は、例えば図1のシステムによって実装されるシステムプロセス200を示す。アプリケーションサービス105およびセキュリティトークン110は、アプリケーションサービス105のアクセスに関連する通信に関係されることができる(ステップ205)。一般的に任意の数の暗号技術は、アプリケーションサービス105とセキュリティトークン110との間の通信を有効にするために関係することができる。プロキシミティトークン115は、プロキシミティトークン115の所定距離内の通信を有効にするために、任意の適切な暗号技術または暗号技術の組み合わせを使用することができる(ステップ210)。アクセスは、次に、アプリケーションサービス105とセキュリティトークン110との間の有効にされた通信に基づき、アプリケーションサービス105に提供されることができる(ステップ215)。
図3を参照して、全般的なシステム300は、スマートカード310およびプロキシミティトークン315を使用してアプリケーションサービス305へのアクセスを安全にする。一般的に、システム300は、図1のシステム100に類似する。アプリケーションサービス305は、ともに通信するように構成されたベアラデバイス307および外部サービス309を含むように示される。システム300は、また、セキュリティインフラストラクチャの1つ以上の態様を管理するように構成された管理サービス320を含むことができる。簡潔さのために、この記載は、システム300のこれら追加の態様の記載に集中する。システム300の例示的な構成要素は、以下により詳細に記載される。
アプリケーションサービス305は、図1のアプリケーションサービス105に類似する。しかしながらアプリケーションサービス305は、ベアラデバイス307および外部サービス309を含むように示される。ベアラデバイス307は、移動デバイスまたは固定デバイスを含むことができる。例えば、ベアラデバイス307は、電話、ペンでイネーブルにされるコンピュータ、PDAまたは携帯電話、ノートブックコンピュータ、および/またはデスクトップコンピュータなどのデバイスを含むことができる。ベアラデバイス307は、スマートカード310を受信しかつスマートカード310と通信するように物理的に構成されたハードウエアデバイスを含むことができる。ベアラデバイス307は、また、例えばWebブラウザ、電子メールクライアント、同期化クライアント(例えば、カレンダ同期化クライアントまたはタスクリスト同期化クライアント)、IMクライアント、ビジネス生産性アプリケーション(例えばワードプロセッサまたは表計算プログラム)、オペレーティングシステムまたはオペレーティングシステムカーネル、および/または仮想プライベートネットワーク(VPN)(例えば、IPセキュリティ(IPsec)プロトコルに基づく)を含むことができる。
外部サービス309は、音声および/または非音声データでベアラデバイス307と通信するための様々な機構を含むことができる。これらの機構は、例えば、アナログまたはデジタル有線および無線電話ネットワーク(例えば、PSTN、ISDN、xDSL、AMPS、GSM、GPRS、CDMA、WCDMA、およびUMTS)、無線、ケーブル、衛星、および/または音声または非音声データを搬送するための他の配信機構を含むことができる。その他の機構は、SMS、WAP、TCP、IP、ワールドワイドウエブ、1つ以上のLAN(例えば、WLAN)、および/または1つ以上のWANを含むことができる。
外部サービス309は、ベアラデバイス307に、バックエンドサービスおよび/または他のローカルアプリケーションサービスへのアクセスを提供するために、上述の通信機構を用いることができる。例えば、外部サービス309は、例えば信頼性のあるデータベース管理システム(RDBMS)またはSAP R/3システムなどのデータベースシステムと通信するように構成された、ウエブアプリケーションサーバ(WAS)(例えば、SAP WASバージョン6.20)を含むまたはそれにアクセスすることができる。データベースシステムは、例えば、企業サービス、ユーザ、および/または顧客に関連する企業情報を含むことができる。外部サービス309は、CRMシステム、企業リソースプランニング(ERP)システム、電子メールサービス、ビジネスプロセスシステム(例えば、ワークフロー管理システムまたは企業/雇用者ポータル)、会計サービス、リソース管理サービス、同期化サービス(例えば、カレンダ同期化サービスまたはタスクリスト同期化サービス)、プリントサービス、ファイルアクセスサービス、インスタントメッセージング(IM)サービス、オペレーティングシステム、オペレーティングシステムカーネル、認証サービス、許可サービス、および/またはこれらまたは他のサービスの任意の組み合わせを含むことができる。さらにまたは代わりに、外部サービス309は、他の移動デバイスのユーザとの通信を提供するように構成されることができる。
アプリケーションサービス305は、例えば、1つ以上のLAN、WLAN、および/または1つ以上のWANなどの1つ以上の他のシステム内で、または1つ以上の他のシステムと協力して動作するように構成されることができる。
管理サービス320は、アプリケーションサービス305へのアクセスを安全にすることに関する1つ以上の態様を管理することができる。管理サービス320は、例えば、エンドツーエンドの安全にされた通信を使用して、システム300の1つ以上のデバイスと通信するように構成されたセキュリティ管理サービスを含むことができる。セキュリティ管理サービスは、システム300によって使用される確証または暗号鍵などのセキュリティ適性を格納し、変更し、有効にし、無効にし、または生成することができる。セキュリティ管理サービスは、通信に関連付けられる公開鍵が、通信の可能性があるソースに対応することを確証するように構成された公開鍵インフラストラクチャ(PKI)を含むことができる。管理サービス320は、また、セキュリティに関連するポリシー(例えば、企業システムのセキュリティに関連するポリシー)における変化に基づき、システム300のデバイスにおける状態変化を引き起こすように構成されたポリシー管理サービスを含むことができる。
1つ以上の他のサービスは、管理サービス320の構成要素に含まれることができ、および/またはこれら構成要素(以降、システムサービス)は、1つ以上の他のサービスの一部として含まれることができる。例えば、システムサービスは、汎用または特定目的のコンピュータ(例えば、パーソナルコンピュータ、移動デバイス、または所定のタスクを実行するために特にプログラムされたデバイス)、少なくとも1つのローカルエリアネットワーク(LAN)、および/または少なくとも1つのワイドエリアネットワーク(WAN)を含む、またはそれらに含まれることができる。いずれにしても、任意のまたは全てのシステムサービスによって受信された指示に応答および指示の実行は、本明細書に記載されるように相互作用および動作するために無関係にまたは集合的にサービスを指示するための、プログラム、1つのコード、指示、デバイス、コンピュータシステム、またはそれらの組み合わせによって制御されることができる。
図4および図5は、図3のシステムに全般的に類似するシステムを示す。簡潔さのために、図4および図5のシステムは、過剰に類似する詳細を省略して記載される。
図4を参照すると、ローカルアプリケーションサービスが、携帯電話407を含み、遠隔アプリケーションサービスが、携帯電話ネットワーク409を含むシステム400が提供される。携帯電話407は、スマートカード410に基づき機能するように構成される。システム400のプロキシミティトークン415は、例えば鍵チェーンに取り付け可能な小さな移動デバイスとして構成される。プロキシミティトークン415の小さなサイズのために、携帯電話407の所有者は、ポケットまたは他の場所にプロキシミティトークン415を搬送することができる。したがって、携帯電話407およびスマートカード410は、ユーザが携帯電話407を使用することを望むとき、プロキシミティトークン415の有効距離内にあることを確実にされる。他方、携帯電話407およびスマートカード410を盗んだ者は、プロキシミティトークン415の有効距離を越えてそれらを取り除こうとする。したがって、盗んだ者は、携帯電話407を使用して所有者に呼を請求することはできず、あるいはスマートカードの所有者として携帯電話ネットワーク409にアクセスすることができない。
図5は、アプリケーションサービスが、固定ATM 505を含み、スマートカード510が、ATMカードまたは電子パスとして使用されることができるシステム500を示す。プロキシミティトークン515は、システム500に追加され、例えば、スマートカード510を盗み、かつ関連するパスワードまたはPINを得ることができる盗んだ者によって、ATMの許可されていないアクセスに対するセキュリティを提供する。
図6を参照すると、プロキシミティトークン615が、移動ではなくむしろ固定されるシステム600を示す。システム600は、アプリケーションサービス(例えばコンピュータ605)へのアクセスが得られることができる地理的領域をさらに限定するように構成される。例えば、ユーザは、ユーザが、固定されたプロキシミティトークン615の有効範囲によって画定される地理的領域内の秘密の暗号にされた文書へアクセスするときだけ、コンピュータ605に格納された秘密の暗号にされた文書へのアクセスを提供されることができる。固定されたプロキシミティトークン615の有効範囲は、固定されたプロキシミティトークン615を含む建物または部屋(例えば、秘密の文書を閲覧する部屋)を電磁的に遮蔽することによって、さらに制限されることができる。
固定されたプロキシミティトークン615は、コンピュータ605が、是認された共同の設備またはキャンパスから企業システムへアクセスするために使用される例において、感受性のあるシステム(例えば、共同企業システム)へのアクセスを有効にするために使用されることもできる。しかしながら、ユーザは、固定されたプロキシミティトークン615の有効範囲を超えて、その共同設備またはキャンパスからはずれるなら、感受性のある共同の企業システムへのアクセスは、有効にされず、かつ否定される。
図7〜図10は、図3〜図6のシステムの実装に使用されることができるプロセスを示すデータ流れ図を示す。これらの図は、アプリケーションサービスとスマートカードとの間の通信に対するコンジットとしてプロキシミティトークンを示す。
図7を参照すると、ユーザが、アプリケーションサービスに対する指示Iを提供することができるプロセス700が示される(ステップ705)。アプリケーションサービスは、Iに基づき、代わりにそれ自体の主導権でまたはいくつかの他の入力に基づきコマンドCを生成することができ、コマンドCをプロキシミティトークンに通信することができる(ステップ710)。プロキシミティトークンは、C'を生成するために暗号技術を使用してコマンドCを変換することができる。例えば、プロキシミティトークンは、コマンドCにデジタル的に署名することができ、コマンドCを暗号化することができ、かつ/またはコマンドCに対するハッシングアルゴリズムを加えることができる。このように、プロキシミティトークンは、通信を有効にし、アプリケーションサービスに変換されたコマンドC'を戻す(ステップ715)。アプリケーションサービスは、次に、スマートカードへ変換されたコマンドC'を提供することができる(ステップ720)。スマートカードは、元のコマンドCを得るために変換されたコマンドC'に暗号技術を用いることができ(例えば、プロキシミティトークンによって共有される暗号鍵、またはプロキシミティトークンの公開鍵を用いて)、このようにプロキシミティトークンが通信を有効にしたことを確認する。元のコマンドCを再生した後、スマートカードは、結果Rを生成するためにコマンドCを実行することができ、結果Rは、次にアプリケーションサービスに提供される(ステップ725)。
図8のプロセスは、類似するが、プロキシミティトークンへのスマートカードを認証するようにも構成される追加のステップを有する。再び、ユーザは、アプリケーションサービスへの指示Iを提供する(ステップ805)。アプリケーションサービスは、入力Iに基づき、代わりにそれ自体の主導権でまたはいくつかの他の入力に基づきコマンドCを生成し、コマンドCをスマートカードに通信する(ステップ810)。スマートカードは、C'を生成するために暗号技術を使用してコマンドCを変換し、アプリケーションサービスに修正されたコマンドC'を通信する(ステップ815)。アプリケーションサービスは、スマートカードによって共有された暗号鍵またはスマートカードの公開鍵を使用してスマートカードの参加を有効にする、プロキシミティトークンに修正されたコマンドC'を提供することができる(ステップ820)。通信を有効にするために、プロキシミティトークンは、暗号技術を使用してC'をC"に変換し、C"をアプリケーションサービスに通信する(ステップ825)。アプリケーションサービスは、C"をスマートカードに通信する(ステップ830)。スマートカードは、C'を得るために変換されたコマンドC"に暗号技術を用い、したがって、プロキシミティトークンが通信を有効にしたことを確認する(例えば、プロキシミティトークンによって共有された暗号鍵、またはプロキシミティトークンの公開鍵を使用する)。CからC'を形成したのは、初期的にスマートカードであるので、スマートカードは、プロセスを逆転することができ、それ自体の暗号鍵を使用してC'からCを再生する。元のコマンドCを再生した後、スマートカードは、スマートカードがアプリケーションサービスを提供する結果Rを生成するためにコマンドCを実行する(ステップ835)。
図9のプロセスは、ユーザが、アプリケーションサービスへの指示Iを提供することができるプロセス900を示す(ステップ905)。アプリケーションサービスは、指示Iに基づき、または代わりにそれ自体の主導権でまたはいくつかの他の入力に基づきコマンドCを生成し、コマンドCをスマートカードに通信する(ステップ910)。スマートカードは、コマンドCを実行し、スマートカードがアプリケーションサービスに通信する暗号技術を使用してRから修正された応答R'を生成する(ステップ915)。アプリケーションサービスは、プロキシミティトークンにR'を通信する(ステップ920)。R'を受信したとき、プロキシミティトークンは、通信を有効にし、かつR"をアプリケーションサービスに通信するように、R"を得るために(例えば、スマートカードによって共有された暗号鍵、またはスマートカードの公開鍵を使用して)、修正された結果R'に暗号技術を用いる(ステップ925)。アプリケーションサービスは、次に、スマートカードにR"を通信する(ステップ930)。スマートカードは、R'を得るためにR"に暗号技術を用い、したがって、プロキシミティトークンが通信を有効にしたことを確認する(例えば、プロキシミティトークンによって共有された暗号鍵、またはプロキシミティトークンの公開鍵を使用する)。RからR'を形成したのは、初期的にスマートカードであるので、スマートカードは、プロセスを逆転することができ、それ自体の暗号鍵を使用してR'からRを再生する。Rを再生した後、スマートカードは、アプリケーションサービスにRを提供する(ステップ935)。
図10を参照すると、アプリケーションサービスが、ベアラデバイスおよび外部サービスを含むプロセス1000が示される。ユーザは、ベアラデバイスに指示Iを提供する(1005)。ベアラデバイスは、指示Iに基づき、代わりにそれ自体の主導権でまたはいくつかの他の入力に基づきコマンドCを生成し、コマンドCをスマートカードに通信する(ステップ1010)。スマートカードは、コマンドCを実行し、暗号技術を使用して修正された応答R'を生成し、スマートカードは、ベアラデバイスに通信する(ステップ1015)。ベアラデバイスは、プロキシミティトークンにR'を通信する(ステップ1020)。R'を受信したとき、プロキシミティトークンは、R"を得るために(例えば、スマートカードによって共有された暗号鍵、またはスマートカードの公開鍵を使用して)、修正された結果R'に暗号技術を用い、したがって、通信を有効にし、ベアラデバイスにR"を通信する(ステップ1025)。
ベアラデバイスは、次に、スマートカードにR"を通信する(ステップ1030)。スマートカードは、R'を得るためにR"に暗号技術を用い、したがって、プロキシミティトークンが通信を有効にしたことを確認する(例えば、プロキシミティトークンによって共有された暗号鍵、またはプロキシミティトークンの公開鍵を使用する)。RからR'を形成したのは、初期的にスマートカードであるので、スマートカードは、プロセスを逆転することができ、それ自体の暗号鍵を使用してR'からRを再生する。Rを再生した後、スマートカードは、ベアラデバイスにRを提供する(ステップ1035)。ベアラデバイスは、恐らくその通信を安全にするために暗号技術を使用して、外部サービスにRを通信する。さらにまたは代わりに、R自体は、例えば外部サービスによってセキュリティおよび/または認証の他の層を提供することができる暗号にされたメッセージを既に示すことができる。
図11は、ユーザが、アプリケーションサービスへの指示Iを提供することができるプロセス1100を示す(ステップ1105)。アプリケーションサービスは、指示Iに基づき、代わりにそれ自体の主導権でまたはいくつかの他の入力に基づきコマンドCを生成し、コマンドCをスマートカードに通信する(ステップ1110)。スマートカードは、コマンドCを実行し、スマートカードがプロキシミティトークンに通信する暗号技術を使用してRから修正された応答R'を生成する(ステップ1115)。R'を受信したとき、プロキシミティトークンは、R"を得るために(例えば、スマートカードによって共有された暗号鍵、またはスマートカードの公開鍵を使用して)、修正された結果R'に暗号技術を用い、したがって、通信を有効にし、R"をスマートカードに戻して通信する(ステップ1120)。スマートカードは、R'を得るためにR"に暗号技術を用い、したがって、プロキシミティトークンが通信を有効にしたことを確認する(例えば、プロキシミティトークンによって共有された暗号鍵、またはプロキシミティトークンの公開鍵を使用する)。RからR'を形成したのは、スマートカードであるので、スマートカードは、プロセスを逆転することができ、それ自体の暗号鍵を使用してR'からRを再生する。Rを再生した後、スマートカードは、アプリケーションサービスにRを提供する(ステップ1125)。
全般的に、任意の数の方法が、プロキシミティトークンがアプリケーションサービスとセキュリティトークンとの間の通信を有効にすることによって用いられることができる。例えば、図12は、図3〜図6のシステムを使用して実装されることができる方法1200を示し、プロキシミティトークンが、プロキシミティメッセージを周期的に生成しかつブロードキャストすることによって、アプリケーションサービスへのアクセスを有効にする。より詳細には、プロキシミティトークンは、初期的に暗号技術を使用してプロキシミティメッセージを生成する(ステップ1205)。プロキシミティトークンは、所定の周期的間隔に(例えば、5秒毎または30秒毎)プロキシミティメッセージを生成することができる。プロキシミティメッセージが生成された後、プロキシミティトークンは、有効化の領域を制限するために短距離無線技術を使用してプロキシミティメッセージをブロードキャストする(ステップ1210)。アプリケーションサービスは、プロキシミティメッセージを受信し、スマートカードにプロキシミティメッセージを提供する(ステップ1215)。スマートカードは、プロキシミティメッセージのソースとしてプロキシミティトークンを確認するために、暗号技術(例えば、プロキシミティトークンによって共有された暗号鍵、またはプロキシミティトークンの公開鍵を使用する)を使用する(ステップ1220)。
無関係に、アプリケーションサービスは、スマートカードが、安全にされたサービスを提供することを要求する(ステップ1225)。要求を受信したとき、スマートカードは、それが、アプリケーションサービスの要求を受信する所定の期間内に認証されたプロキシミティメッセージを受信したかどうかを決定する(ステップ1230)。スマートカードが、認証されたプロキシミティメッセージが、所定の時間内に受信されたことを確認すれば(ステップ1235)、スマートカードは、要求された安全にされたサービスを提供する(ステップ1240)。そうでなければ、スマートカードは、要求された安全にされたサービスを否定する(ステップ1245)。
他の実施も、請求項の範囲内である。
100、300、400、500、600 システム
105、305 アプリケーションサービス
110 セキュリティトークン
115、315、415、515、615 プロキシミティトークン
200 システムプロセス
307 ベアラデバイス
309 外部サービス
310、410、510 スマートカード
320 管理サービス
407 携帯電話
409 携帯電話ネットワーク
505 固定ATM
605 コンピュータ
700、900、1000、1100 プロセス
1200 方法
105、305 アプリケーションサービス
110 セキュリティトークン
115、315、415、515、615 プロキシミティトークン
200 システムプロセス
307 ベアラデバイス
309 外部サービス
310、410、510 スマートカード
320 管理サービス
407 携帯電話
409 携帯電話ネットワーク
505 固定ATM
605 コンピュータ
700、900、1000、1100 プロセス
1200 方法
Claims (47)
- アプリケーションサービスへ安全にされたアクセスを提供するためのシステムであって、
前記アプリケーションサービスと通信し、かつ暗号技術の第1の要素を実行するように構成されたセキュリティトークンと、
前記セキュリティトークンに関連付けられ、かつ前記アプリケーションサービスと前記セキュリティトークンとの間の通信を有効にするために、前記暗号技術の第2の要素を実行するように構成されたプロキシミティトークンとを備え、前記プロキシミティトークンは、前記プロキシミティトークンが、前記セキュリティトークンまたは前記アプリケーションサービスから所定の有効距離内に位置するときだけ、前記通信を有効にするために動作可能であるシステム。 - 前記アプリケーションサービスは、携帯電話を含む請求項1に記載のシステム。
- 前記暗号技術の前記第1および第2の要素は相補的である請求項1または2に記載のシステム。
- 前記システムは、前記プロキシミティトークンが前記通信を有効にしたときに、前記アプリケーションサービスへの安全にされたアクセスを提供し、かつ前記プロキシミティトークンが前記通信を有効にしないときに、前記アプリケーションサービスへの安全にされたアクセスを妨げるように構成される請求項1から3のいずれか一項に記載のシステム。
- 前記セキュリティトークンは、前記プロキシミティトークンが、前記アプリケーションサービスと前記セキュリティトークンとの間の通信を有効にしたことを確認するように構成された確認回路を備える請求項1から4のいずれか一項に記載のシステム。
- 前記プロキシミティトークンは、メッセージ生成回路を備え、前記メッセージ生成回路は、前記暗号技術の前記第2の要素を使用してプロキシミティメッセージを生成し、かつ、前記所定の有効距離内の前記アプリケーションサービスと前記セキュリティトークンとの間の通信を有効にするために、前記所定の有効距離内の前記プロキシミティメッセージをブロードキャストするように構成される請求項1から5のいずれか一項に記載のシステム。
- 前記プロキシミティトークンは、通信回路を備え、前記通信回路は、前記所定の有効距離内の前記アプリケーションサービスと前記セキュリティトークンとの間の通信を有効にするために、前記所定の有効距離内の前記アプリケーションサービスと前記セキュリティトークンとの間の通信に対するコンジットとして、前記プロキシミティトークンに関係するように構成される請求項1から6のいずれか一項に記載のシステム。
- 前記暗号技術の前記第1の要素は、暗号技術を含み、前記暗号技術の前記第2の要素は、関連付けられる暗号解読技術を含み、
前記セキュリティトークンは、前記暗号技術を使用する安全にされた出力を生成するように構成された安全にされた出力回路を備え、
前記通信回路は、再生回路を備え、前記再生回路は、前記安全にされた出力から有効にされた出力を再生し、かつ前記所定の有効距離内だけに前記安全にされた出力と前記有効にされた出力との両方を通信する暗号解読技術を実行するように構成される請求項7に記載のシステム。 - 前記暗号技術の前記第1の要素は、暗号解読技術を含み、前記暗号技術の前記第2の要素は、関連付けられる暗号技術を含み、
前記通信回路は、前記セキュリティトークンに対する前記アプリケーションサービスのコマンドに基づき有効にされたコマンドを生成するために、前記暗号技術を使用するように構成された有効にされたコマンド回路を備え、
前記通信回路は、さらに、記所定の有効距離内だけに前記コマンドと前記有効にされたコマンドとの両方を通信するように構成され、
前記セキュリティトークンは、前記有効にされたコマンドから前記コマンドを再生するために前記暗号解読技術を実行することによって、前記有効にされたコマンドを確認するように構成された確認回路を備える請求項7に記載のシステム。 - 前記セキュリティトークンは、セキュア格納回路およびセキュア実行回路を備える請求項1から9のいずれか一項に記載のシステム。
- 前記セキュリティトークンは、スマートカードをさらに備える請求項1から10のいずれか一項に記載のシステム。
- 前記セキュア実行回路は、前記暗号技術の前記第1の要素を実行するように構成される請求項10に記載のシステム。
- 前記セキュア格納回路は、前記暗号技術の前記第1の要素の暗号鍵を格納するように構成される請求項12に記載のシステム。
- 前記プロキシミティトークンは、第2のセキュリティトークンを含む請求項1から13のいずれか一項に記載のシステム。
- 前記第2のセキュリティトークンは、スマートカードを含む請求項14に記載のシステム。
- 前記プロキシミティトークンは、移動デバイスを含む請求項1から15のいずれか一項に記載のシステム。
- 前記プロキシミティトークンは、固定デバイスを含む請求項1から15のいずれか一項に記載のシステム。
- 前記プロキシミティトークンは、短距離無線技術を使用して前記アプリケーションサービスと通信するように構成された無線通信回路を備える請求項1から17のいずれか一項に記載のシステム。
- 前記短距離無線技術は、約10メートルの有効通信範囲を提供する請求項18に記載のシステム。
- 前記短距離無線技術は、約100メートルの有効通信範囲を提供する請求項18に記載のシステム。
- 前記暗号技術は、デジタル署名技術を含む請求項1から20のいずれか一項に記載のシステム。
- 前記暗号技術は、デジタルエンベロープ技術を含む請求項1から21のいずれか一項に記載のシステム。
- 前記暗号技術は、対称暗号技術を含む請求項1から22のいずれか一項に記載のシステム。
- 前記暗号技術は、非対称暗号技術を含む請求項1から22のいずれか一項に記載のシステム。
- 前記アプリケーションサービスは、ベアラデバイスおよび外部サービスを含む請求項1から24のいずれか一項に記載のシステム。
- アプリケーションサービスへ安全にされたアクセスを提供するためのコンピュータプログラムであって、
セキュリティコンピュータに前記アプリケーションサービスと通信させ、かつ前記セキュリティコンピュータに暗号技術の第1の要素を実行させるように構成されたセキュリティトークン符号セグメントと、
前記セキュリティトークン符号セグメントに関連付けられ、かつプロキシミティコンピュータに前記セキュリティコンピュータと前記アプリケーションサービスとの間の通信を有効にするために、前記暗号技術の第2の要素を実行させるように構成されたプロキシミティトークン符号セグメントとを備え、前記プロキシミティトークン符号セグメントは、前記プロキシミティコンピュータが、前記セキュリティコンピュータまたは前記アプリケーションサービスから所定の有効距離内に位置するときだけ、前記プロキシミティコンピュータに前記通信を有効にさせるように動作可能であるコンピュータプログラム。 - 前記アプリケーションサービスは、携帯電話を含む請求項26に記載のコンピュータプログラム。
- 前記暗号技術の前記第1および第2の要素は相補的である請求項26または27に記載のコンピュータプログラム。
- 前記コンピュータプログラムは、前記プロキシミティコンピュータが前記通信を有効にしたときに、前記アプリケーションサービスへの安全にされたアクセスを提供し、かつ前記プロキシミティコンピュータが前記通信を有効にしないときに、前記アプリケーションサービスへの安全にされたアクセスを妨げるように構成される請求項26から28のいずれか一項に記載のコンピュータプログラム。
- 前記セキュリティトークン符号セグメントは、確認符号セグメントを備え、前記確認符号セグメントは、前記プロキシミティトークンが前記アプリケーションサービスと前記セキュリティトークンとの間の通信を有効にしたことを、前記セキュリティコンピュータに確認させるように構成される請求項26から29のいずれか一項に記載のコンピュータプログラム。
- 前記プロキシミティトークン符号セグメントは、メッセージ生成符号セグメントを備え、前記メッセージ生成符号セグメントは、前記プロキシミティコンピュータに、前記暗号技術の前記第2の要素を使用してプロキシミティメッセージを生成させ、かつ、前記所定の有効距離内の前記アプリケーションサービスと前記セキュリティコンピュータとの間の通信を有効にするために、前記所定の有効距離内の前記プロキシミティメッセージをブロードキャストさせるように構成される請求項26から30のいずれか一項に記載のコンピュータプログラム。
- 前記プロキシミティトークン符号セグメントは、通信符号セグメントを備え、前記通信符号セグメントは、前記プロキシミティコンピュータに、前記所定の有効距離内の前記アプリケーションサービスと前記セキュリティコンピュータとの間の通信を有効にするために、前記所定の有効距離内の前記アプリケーションサービスと前記セキュリティコンピュータとの間の通信に対するコンジットとして、関係させるように構成される請求項26から31のいずれか一項に記載のコンピュータプログラム。
- 前記暗号技術の前記第1の要素は、暗号技術を含み、前記暗号技術の前記第2の要素は、関連付けられる暗号解読技術を含み、
前記セキュリティトークン符号セグメントは、セキュア符号セグメントを備え、前記セキュア符号セグメントは、前記セキュリティコンピュータに前記暗号技術を使用して安全にされた出力を生成させるように構成され、
前記通信符号セグメントは、再生符号セグメントを備え、前記再生符号セグメントは、前記プロキシミティコンピュータに、前記安全にされた出力から有効にされた出力を再生し、かつ前記所定の有効距離内だけに前記安全にされた出力と前記有効にされた出力との両方を通信するように前記暗号解読技術を使用させるように構成される請求項32に記載のコンピュータプログラム。 - 前記暗号技術の前記第1の要素は、暗号解読技術を含み、前記暗号技術の前記第2の要素は、関連付けられる暗号技術を含み、
前記通信符号セグメントは、有効にされたコマンド符号セグメントを備え、前記有効にされたコマンド符号セグメントは、前記プロキシミティコンピュータに、前記セキュリティコンピュータに対する前記アプリケーションサービスのコマンドに基づき有効にされたコマンドを生成させ、前記所定の有効距離内だけに前記コマンドと前記有効にされたコマンドとの両方を通信するために暗号技術を使用させるように構成され、
前記セキュリティトークン符号セグメントは、確認符号セグメントを備え、前記確認符号セグメントは、前記セキュリティコンピュータに、前記有効にされたコマンドから前記コマンドを再生するために前記暗号解読技術を使用することによって、前記有効にされたコマンドを確認させるように構成される請求項32に記載のコンピュータプログラム。 - 前記セキュリティトークン符号セグメントは、前記セキュリティコンピュータにセキュア格納を提供させるように構成されたセキュア格納符号セグメントと、前記セキュリティコンピュータにセキュア実行を提供させるように構成されたセキュア実行符号セグメントと備える請求項26から34のいずれか一項に記載のコンピュータプログラム。
- 前記セキュア実行符号セグメントは、前記セキュリティコンピュータに前記暗号技術の前記第1の要素を実行させるように構成された請求項35に記載のコンピュータプログラム。
- 前記セキュア格納符号セグメントは、前記セキュリティコンピュータに前記暗号技術の前記第1の要素の暗号鍵を格納させるように構成される請求項36に記載のコンピュータプログラム。
- アプリケーションサービスへ安全にされたアクセスを提供するための方法であって、
前記アプリケーションサービスと通信し、かつ暗号技術の第1の要素を実行するようにセキュリティトークンを構成することと、
前記プロキシミティトークンが、前記セキュリティトークンまたは前記アプリケーションサービスから所定の有効距離内に位置するときだけ、通信を有効にするように前記プロキシミティトークンを構成することを含む、前記セキュリティトークンと前記アプリケーションサービスとの間の通信を有効にするために、前記暗号技術の第2の要素を実行するように、前記セキュリティトークンに関連付けられたプロキシミティトークンを構成することとを含む方法。 - 前記アプリケーションサービスは、携帯電話を含む請求項38に記載の方法。
- 前記暗号技術の前記第1および第2の要素は相補的である請求項38または39に記載の方法。
- 前記方法は、前記プロキシミティトークンが、前記アプリケーションサービスと前記セキュリティトークンとの間の通信を有効にしたことを確認するように前記セキュリティトークンを構成することをさらに含む請求項38から40のいずれか一項に記載の方法。
- 前記方法は、前記暗号技術の前記第2の要素を使用してプロキシミティメッセージを生成し、かつ、前記所定の有効距離内の前記アプリケーションサービスと前記セキュリティトークンとの間の通信を有効にするために、前記所定の有効距離内の前記プロキシミティメッセージをブロードキャストするように、前記プロキシミティトークンを構成することをさらに含む請求項38から41のいずれか一項に記載の方法。
- 前記方法は、前記所定の有効距離内の前記アプリケーションサービスと前記セキュリティトークンとの間の通信を有効にするために、前記所定の有効距離内の前記アプリケーションサービスと前記セキュリティトークンとの間の通信に対するコンジットとして関係するように、前記プロキシミティトークンを構成することをさらに含む請求項38から42のいずれか一項に記載の方法。
- 前記暗号技術の前記第1の要素は、暗号技術を含み、前記暗号技術の前記第2の要素は、関連付けられる暗号解読技術を含み、前記方法は、
前記暗号技術を使用して安全にされた出力を生成するように前記セキュリティトークンを構成することと、
前記安全にされた出力から有効にされた出力を再生するために前記暗号解読技術を使用し、かつ前記所定の有効距離内だけに前記安全にされた出力と前記有効にされた出力との両方に通信するように、前記プロキシミティトークンを構成することとをさらに含む請求項43に記載の方法。 - 前記暗号技術の前記第1の要素は、暗号解読技術を含み、前記暗号技術の前記第2の要素は、関連付けられる暗号技術を含み、前記方法は、
前記セキュリティトークンに対する前記アプリケーションサービスのコマンドに基づき有効にされたコマンドを生成するために前記暗号技術を使用し、かつ記所定の有効距離内だけに前記コマンドと前記有効にされたコマンドとの両方を通信するように、前記プロキシミティトークンを構成することと、
前記有効にされたコマンドから前記コマンドを再生するために前記暗号解読技術を使用することによって前記有効にされたコマンドを確認するように、前記セキュリティトークンを構成することとをさらに含む請求項43に記載の方法。 - 前記方法は、セキュア格納機能およびセキュア実行機能を提供するように、前記セキュリティトークンを構成することをさらに含む請求項38から45のいずれか一項に記載の方法。
- 前記方法は、前記暗号技術の前記第1の要素を実行するために前記セキュア実行機能を使用し、かつ前記暗号技術の前記第1の要素の暗号鍵を格納するために前記セキュア格納機能を使用するように、前記セキュリティトークンを構成することをさらに含む請求項46に記載の方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/454,824 US7269732B2 (en) | 2003-06-05 | 2003-06-05 | Securing access to an application service based on a proximity token |
| PCT/EP2004/005946 WO2004109481A1 (en) | 2003-06-05 | 2004-06-02 | Securing access to an application service based on a proximity token |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007535827A true JP2007535827A (ja) | 2007-12-06 |
| JP4205751B2 JP4205751B2 (ja) | 2009-01-07 |
Family
ID=33489801
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006508250A Active JP4205751B2 (ja) | 2003-06-05 | 2004-06-02 | プロキシミティトークンに基づくアプリケーションサービスへの安全なアクセス |
Country Status (5)
| Country | Link |
|---|---|
| US (2) | US7269732B2 (ja) |
| EP (1) | EP1634139A1 (ja) |
| JP (1) | JP4205751B2 (ja) |
| CN (1) | CN100374971C (ja) |
| WO (1) | WO2004109481A1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2016054483A (ja) * | 2014-09-02 | 2016-04-14 | アップル インコーポレイテッド | ある装置を使用して別の装置をアンロックする方法 |
Families Citing this family (134)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6120627A (en) * | 1995-11-17 | 2000-09-19 | The Ensign-Bickford Company | Explosive with bioremediating capacity |
| US8209753B2 (en) * | 2001-06-15 | 2012-06-26 | Activcard, Inc. | Universal secure messaging for remote security tokens |
| US20040218762A1 (en) | 2003-04-29 | 2004-11-04 | Eric Le Saint | Universal secure messaging for cryptographic modules |
| US7203967B2 (en) * | 2003-09-10 | 2007-04-10 | Qualcomm Incorporated | Methods and apparatus for content protection in a wireless network |
| EP2937805B1 (en) | 2003-09-30 | 2022-01-05 | Nxp B.V. | Proximity authentication system |
| EP1530392A1 (fr) * | 2003-11-04 | 2005-05-11 | Nagracard S.A. | Méthode de gestion de la sécurité d'applications avec un module de sécurité |
| EP1536606A1 (fr) | 2003-11-27 | 2005-06-01 | Nagracard S.A. | Méthode d'authentification d'applications |
| WO2005086802A2 (en) | 2004-03-08 | 2005-09-22 | Proxense, Llc | Linked account system using personal digital key (pdk-las) |
| EP1751945B1 (en) * | 2004-05-31 | 2018-02-21 | Telecom Italia S.p.A. | Method and system for a secure connection in communication networks |
| US7464862B2 (en) | 2004-06-15 | 2008-12-16 | Quickvault, Inc. | Apparatus & method for POS processing |
| JP2006023957A (ja) * | 2004-07-07 | 2006-01-26 | Sony Corp | 半導体集積回路及び情報処理装置 |
| US7434252B2 (en) * | 2004-07-14 | 2008-10-07 | Microsoft Corporation | Role-based authorization of network services using diversified security tokens |
| CN101002212B (zh) * | 2004-08-10 | 2012-12-12 | 皇家飞利浦电子股份有限公司 | 用于复合验证注册控制的方法和系统 |
| US20060136717A1 (en) | 2004-12-20 | 2006-06-22 | Mark Buer | System and method for authentication via a proximate device |
| JP2006189999A (ja) * | 2005-01-04 | 2006-07-20 | Fujitsu Ltd | セキュリティ管理方法、プログラム及び情報機器 |
| US7810153B2 (en) * | 2005-01-28 | 2010-10-05 | Microsoft Corporation | Controlling execution of computer applications |
| US7802294B2 (en) * | 2005-01-28 | 2010-09-21 | Microsoft Corporation | Controlling computer applications' access to data |
| US8341371B2 (en) * | 2005-01-31 | 2012-12-25 | Sandisk Il Ltd | Method of managing copy operations in flash memories |
| EP1872510A4 (en) * | 2005-04-18 | 2008-06-18 | Research In Motion Ltd | SYSTEM TOPOLOGY FOR SAFE END-TO-END COMMUNICATIONS BETWEEN A WIRELESS DEVICE AND AN APPLICATION DATA SOURCE |
| US20060240855A1 (en) * | 2005-04-22 | 2006-10-26 | Amit Kalhan | Systems and methods for updating presence in a mobile communication network |
| JP2008541289A (ja) * | 2005-05-20 | 2008-11-20 | エヌエックスピー ビー ヴィ | トランスポンダからデータを安全に読み取る方法 |
| EP1752937A1 (en) * | 2005-07-29 | 2007-02-14 | Research In Motion Limited | System and method for encrypted smart card PIN entry |
| US20070088789A1 (en) * | 2005-10-18 | 2007-04-19 | Reuben Berman | Method and system for indicating an email sender as spammer |
| US8433919B2 (en) | 2005-11-30 | 2013-04-30 | Proxense, Llc | Two-level authentication for secure transactions |
| WO2007072264A2 (en) | 2005-12-21 | 2007-06-28 | Koninklijke Philips Electronics N.V. | Collaborating rfid devices |
| US20070150736A1 (en) * | 2005-12-22 | 2007-06-28 | Cukier Johnas I | Token-enabled authentication for securing mobile devices |
| US8036152B2 (en) | 2006-01-06 | 2011-10-11 | Proxense, Llc | Integrated power management of a client device via system time slot assignment |
| US11206664B2 (en) | 2006-01-06 | 2021-12-21 | Proxense, Llc | Wireless network synchronization of cells and client devices on a network |
| US9137012B2 (en) * | 2006-02-03 | 2015-09-15 | Emc Corporation | Wireless authentication methods and apparatus |
| US20070255958A1 (en) * | 2006-05-01 | 2007-11-01 | Microsoft Corporation | Claim transformations for trust relationships |
| US20080005426A1 (en) * | 2006-05-31 | 2008-01-03 | Bacastow Steven V | Apparatus and method for securing portable USB storage devices |
| US20080005359A1 (en) * | 2006-06-30 | 2008-01-03 | Khosravi Hormuzd M | Method and apparatus for OS independent platform based network access control |
| US8011013B2 (en) | 2006-07-19 | 2011-08-30 | Quickvault, Inc. | Method for securing and controlling USB ports |
| CN101589400B (zh) * | 2007-01-26 | 2012-06-20 | 日本电气株式会社 | 权限管理方法及系统、该系统中使用的服务器和信息设备终端 |
| CN101321332B (zh) * | 2007-06-08 | 2012-01-25 | 鹏智科技(深圳)有限公司 | 手持通讯设备及其短信息保密方法 |
| US20080313707A1 (en) * | 2007-06-18 | 2008-12-18 | Techporch, Inc. | Token-based system and method for secure authentication to a service provider |
| EP2009605A1 (en) * | 2007-06-28 | 2008-12-31 | Gemplus | Method of interaction with physical elements forming the content of a machine |
| US8341083B1 (en) * | 2007-09-12 | 2012-12-25 | Devicefidelity, Inc. | Wirelessly executing financial transactions |
| KR101387537B1 (ko) * | 2007-09-20 | 2014-04-21 | 엘지전자 주식회사 | 성공적으로 수신했으나 헤더 압축 복원에 실패한 패킷의 처리 방법 |
| US8893284B2 (en) | 2007-10-03 | 2014-11-18 | Motorola Mobility Llc | Method and system for providing extended authentication |
| WO2009052634A1 (en) | 2007-10-24 | 2009-04-30 | Securekey Technologies Inc. | Method and system for effecting secure communication over a network |
| WO2009062194A1 (en) * | 2007-11-09 | 2009-05-14 | Proxense, Llc | Proximity-sensor supporting multiple application services |
| US8171528B1 (en) | 2007-12-06 | 2012-05-01 | Proxense, Llc | Hybrid device having a personal digital key and receiver-decoder circuit and methods of use |
| EP2071486A1 (en) * | 2007-12-12 | 2009-06-17 | MeDier Oy | Method and arrangement for managing sensitive personal data |
| US20090157473A1 (en) * | 2007-12-18 | 2009-06-18 | Att Knowledge Ventures L.P. | System and method for sending targeted marketing data using proximity data |
| US9251332B2 (en) | 2007-12-19 | 2016-02-02 | Proxense, Llc | Security system and method for controlling access to computing resources |
| US20090183264A1 (en) * | 2008-01-14 | 2009-07-16 | Qualcomm Incorporated | System and method for protecting content in a wireless network |
| US8571604B2 (en) * | 2008-01-18 | 2013-10-29 | Hewlett-Packard Development Company, L.P. | Subscriber identity module (SIM) card access system and method |
| US9264231B2 (en) * | 2008-01-24 | 2016-02-16 | Intermec Ip Corp. | System and method of using RFID tag proximity to grant security access to a computer |
| US20090193507A1 (en) * | 2008-01-28 | 2009-07-30 | Wael Ibrahim | Authentication messaging service |
| US9135620B2 (en) * | 2008-02-08 | 2015-09-15 | Microsoft Technology Licensing, Llc | Mobile device security using wearable security tokens |
| WO2009102979A2 (en) | 2008-02-14 | 2009-08-20 | Proxense, Llc | Proximity-based healthcare management system with automatic access to private information |
| US20090239503A1 (en) * | 2008-03-20 | 2009-09-24 | Bernard Smeets | System and Method for Securely Issuing Subscription Credentials to Communication Devices |
| WO2009126732A2 (en) | 2008-04-08 | 2009-10-15 | Proxense, Llc | Automated service-based order processing |
| US8086688B1 (en) | 2008-05-16 | 2011-12-27 | Quick Vault, Inc. | Method and system for mobile data security |
| US20100031349A1 (en) * | 2008-07-29 | 2010-02-04 | White Electronic Designs Corporation | Method and Apparatus for Secure Data Storage System |
| US8862872B2 (en) * | 2008-09-12 | 2014-10-14 | Qualcomm Incorporated | Ticket-based spectrum authorization and access control |
| US8732859B2 (en) * | 2008-10-03 | 2014-05-20 | At&T Intellectual Property I, L.P. | Apparatus and method for monitoring network equipment |
| US9185109B2 (en) | 2008-10-13 | 2015-11-10 | Microsoft Technology Licensing, Llc | Simple protocol for tangible security |
| US8112066B2 (en) | 2009-06-22 | 2012-02-07 | Mourad Ben Ayed | System for NFC authentication based on BLUETOOTH proximity |
| US8190129B2 (en) | 2009-06-22 | 2012-05-29 | Mourad Ben Ayed | Systems for three factor authentication |
| US8260262B2 (en) | 2009-06-22 | 2012-09-04 | Mourad Ben Ayed | Systems for three factor authentication challenge |
| US8498618B2 (en) | 2009-06-22 | 2013-07-30 | Mourad Ben Ayed | Systems for intelligent authentication based on proximity |
| US9081958B2 (en) * | 2009-08-13 | 2015-07-14 | Symantec Corporation | Using confidence about user intent in a reputation system |
| US8621654B2 (en) * | 2009-09-15 | 2013-12-31 | Symantec Corporation | Using metadata in security tokens to prevent coordinated gaming in a reputation system |
| US9119076B1 (en) | 2009-12-11 | 2015-08-25 | Emc Corporation | System and method for authentication using a mobile communication device |
| US20120033591A1 (en) * | 2010-02-11 | 2012-02-09 | Daigle Mark R | Data Packet Generator With Isolation Link |
| US9418205B2 (en) | 2010-03-15 | 2016-08-16 | Proxense, Llc | Proximity-based system for automatic application or data access and item tracking |
| JP5458990B2 (ja) | 2010-03-16 | 2014-04-02 | 株式会社リコー | 通信装置、無線通信システムおよびアソシエーション情報設定方法 |
| US9443071B2 (en) * | 2010-06-18 | 2016-09-13 | At&T Intellectual Property I, L.P. | Proximity based device security |
| US8918854B1 (en) | 2010-07-15 | 2014-12-23 | Proxense, Llc | Proximity-based system for automatic application initialization |
| EP2673716B1 (en) * | 2011-02-10 | 2017-09-13 | Trilliant Holdings, Inc. | Device and method for facilitating secure communications for utility-related data over a cellular network |
| US9265450B1 (en) | 2011-02-21 | 2016-02-23 | Proxense, Llc | Proximity-based system for object tracking and automatic application initialization |
| US9576046B2 (en) | 2011-11-16 | 2017-02-21 | Ptc Inc. | Methods for integrating semantic search, query, and analysis across heterogeneous data types and devices thereof |
| US8909641B2 (en) | 2011-11-16 | 2014-12-09 | Ptc Inc. | Method for analyzing time series activity streams and devices thereof |
| US9098312B2 (en) | 2011-11-16 | 2015-08-04 | Ptc Inc. | Methods for dynamically generating an application interface for a modeled entity and devices thereof |
| CA2860987C (en) | 2012-02-29 | 2015-11-24 | Mobeewave, Inc. | Method, device and secure element for conducting a secured financial transaction on a device |
| US8769657B2 (en) * | 2012-08-10 | 2014-07-01 | Kaspersky Lab Zao | System and method for controlling user's access to protected resources using multi-level authentication |
| US8898769B2 (en) | 2012-11-16 | 2014-11-25 | At&T Intellectual Property I, Lp | Methods for provisioning universal integrated circuit cards |
| US8959331B2 (en) | 2012-11-19 | 2015-02-17 | At&T Intellectual Property I, Lp | Systems for provisioning universal integrated circuit cards |
| CN103856323B (zh) * | 2012-11-28 | 2018-12-11 | 卡巴斯克 | 借由使用者位置检验身份的网络安全验证方法 |
| GB2509495A (en) * | 2013-01-02 | 2014-07-09 | Knightsbridge Portable Comm Sp | Device and system for user authentication to permit access to an electronic device |
| US10135823B2 (en) * | 2013-01-07 | 2018-11-20 | Dell Products L.P. | Input redirection with a cloud client device |
| US20140229375A1 (en) * | 2013-02-11 | 2014-08-14 | Groupon, Inc. | Consumer device payment token management |
| US9294454B2 (en) * | 2013-03-15 | 2016-03-22 | Microsoft Technology Licensing, Llc | Actively federated mobile authentication |
| WO2014141024A1 (en) * | 2013-03-15 | 2014-09-18 | Ologn Technologies Ag | Ensuring the proximity of a communication device to its partner device |
| JP6285010B2 (ja) | 2013-03-15 | 2018-02-28 | ピーティーシー インコーポレイテッド | 意味論的モデル化およびタグ付けを使用してアプリケーションを管理する方法およびその装置 |
| US10177915B2 (en) | 2013-03-15 | 2019-01-08 | Ologn Technologies Ag | Systems, methods and apparatuses for device attestation based on speed of computation |
| US9456344B2 (en) | 2013-03-15 | 2016-09-27 | Ologn Technologies Ag | Systems, methods and apparatuses for ensuring proximity of communication device |
| US9698991B2 (en) | 2013-03-15 | 2017-07-04 | Ologn Technologies Ag | Systems, methods and apparatuses for device attestation based on speed of computation |
| WO2014183106A2 (en) | 2013-05-10 | 2014-11-13 | Proxense, Llc | Secure element as a digital pocket |
| CA3122954C (en) | 2013-05-10 | 2023-03-07 | Ologn Technologies Ag | Ensuring proximity of wifi communication devices |
| US9058503B2 (en) | 2013-05-10 | 2015-06-16 | Successfactors, Inc. | Systems and methods for secure storage on a mobile device |
| US9444629B2 (en) | 2013-05-24 | 2016-09-13 | Sap Se | Dual layer transport security configuration |
| US20150007311A1 (en) * | 2013-07-01 | 2015-01-01 | International Business Machines Corporation | Security Key for a Computing Device |
| WO2015009765A1 (en) * | 2013-07-15 | 2015-01-22 | Visa International Service Association | Secure remote payment transaction processing |
| KR102552606B1 (ko) | 2013-08-15 | 2023-07-06 | 비자 인터네셔널 서비스 어소시에이션 | 보안 요소를 이용한 보안 원격 지불 거래 처리 |
| US9036820B2 (en) | 2013-09-11 | 2015-05-19 | At&T Intellectual Property I, Lp | System and methods for UICC-based secure communication |
| US9455998B2 (en) | 2013-09-17 | 2016-09-27 | Ologn Technologies Ag | Systems, methods and apparatuses for prevention of relay attacks |
| US20150088760A1 (en) * | 2013-09-20 | 2015-03-26 | Nuance Communications, Inc. | Automatic injection of security confirmation |
| RU2663476C2 (ru) | 2013-09-20 | 2018-08-06 | Виза Интернэшнл Сервис Ассосиэйшн | Защищенная обработка удаленных платежных транзакций, включающая в себя аутентификацию потребителей |
| US9124573B2 (en) | 2013-10-04 | 2015-09-01 | At&T Intellectual Property I, Lp | Apparatus and method for managing use of secure tokens |
| US9208300B2 (en) | 2013-10-23 | 2015-12-08 | At&T Intellectual Property I, Lp | Apparatus and method for secure authentication of a communication device |
| US9240994B2 (en) | 2013-10-28 | 2016-01-19 | At&T Intellectual Property I, Lp | Apparatus and method for securely managing the accessibility to content and applications |
| US9313660B2 (en) | 2013-11-01 | 2016-04-12 | At&T Intellectual Property I, Lp | Apparatus and method for secure provisioning of a communication device |
| US9240989B2 (en) | 2013-11-01 | 2016-01-19 | At&T Intellectual Property I, Lp | Apparatus and method for secure over the air programming of a communication device |
| JP6268942B2 (ja) * | 2013-11-06 | 2018-01-31 | 株式会社リコー | 認証システム、認証管理装置、認証方法およびプログラム |
| US9413759B2 (en) | 2013-11-27 | 2016-08-09 | At&T Intellectual Property I, Lp | Apparatus and method for secure delivery of data from a communication device |
| US20150172920A1 (en) * | 2013-12-16 | 2015-06-18 | Mourad Ben Ayed | System for proximity based encryption and decryption |
| US9680841B2 (en) | 2014-02-24 | 2017-06-13 | Keypasco Ab | Network authentication method for secure user identity verification using user positioning information |
| PL2916510T3 (pl) * | 2014-03-03 | 2018-07-31 | Keypasco Ab | Sposób uwierzytelniania sieciowego dla bezpiecznej weryfikacji tożsamości użytkownika z wykorzystaniem informacji pozycjonowania użytkownika |
| US9762637B2 (en) | 2014-03-21 | 2017-09-12 | Ptc Inc. | System and method of using binary dynamic rest messages |
| US10313410B2 (en) | 2014-03-21 | 2019-06-04 | Ptc Inc. | Systems and methods using binary dynamic rest messages |
| US9350791B2 (en) | 2014-03-21 | 2016-05-24 | Ptc Inc. | System and method of injecting states into message routing in a distributed computing environment |
| US9961058B2 (en) | 2014-03-21 | 2018-05-01 | Ptc Inc. | System and method of message routing via connection servers in a distributed computing environment |
| US9350812B2 (en) | 2014-03-21 | 2016-05-24 | Ptc Inc. | System and method of message routing using name-based identifier in a distributed computing environment |
| US9462085B2 (en) | 2014-03-21 | 2016-10-04 | Ptc Inc. | Chunk-based communication of binary dynamic rest messages |
| US9467533B2 (en) | 2014-03-21 | 2016-10-11 | Ptc Inc. | System and method for developing real-time web-service objects |
| US10025942B2 (en) | 2014-03-21 | 2018-07-17 | Ptc Inc. | System and method of establishing permission for multi-tenancy storage using organization matrices |
| US9560170B2 (en) | 2014-03-21 | 2017-01-31 | Ptc Inc. | System and method of abstracting communication protocol using self-describing messages |
| US10338896B2 (en) | 2014-03-21 | 2019-07-02 | Ptc Inc. | Systems and methods for developing and using real-time data applications |
| US9713006B2 (en) | 2014-05-01 | 2017-07-18 | At&T Intellectual Property I, Lp | Apparatus and method for managing security domains for a universal integrated circuit card |
| GB2529812A (en) * | 2014-08-28 | 2016-03-09 | Kopper Mountain Ltd | Method and system for mobile data and communications security |
| US9565200B2 (en) | 2014-09-12 | 2017-02-07 | Quick Vault, Inc. | Method and system for forensic data tracking |
| US20160189151A1 (en) * | 2014-12-31 | 2016-06-30 | Ebay Enterprise, Inc. | Distributed authentication for mobile devices |
| CN107564134A (zh) * | 2016-07-01 | 2018-01-09 | 深圳会当科技有限公司 | 一种安全锁系统 |
| JP6798169B2 (ja) * | 2016-07-13 | 2020-12-09 | コニカミノルタ株式会社 | 認証システム、制御方法およびプログラム |
| US10486646B2 (en) * | 2017-09-29 | 2019-11-26 | Apple Inc. | Mobile device for communicating and ranging with access control system for automatic functionality |
| SG10201806602VA (en) * | 2018-08-02 | 2020-03-30 | Mastercard International Inc | Methods and systems for identification of breach attempts in a client-server communication using access tokens |
| US11372958B1 (en) * | 2018-10-04 | 2022-06-28 | United Services Automobile Association (Usaa) | Multi-channel authentication using smart cards |
| WO2020089484A1 (en) | 2018-11-02 | 2020-05-07 | Assa Abloy Ab | Systems, methods, and devices for access control |
| EP3928299A1 (en) | 2019-03-25 | 2021-12-29 | Assa Abloy Ab | Ultra-wide band device for access control reader system |
| WO2020193577A1 (en) | 2019-03-25 | 2020-10-01 | Assa Abloy Ab | Physical access control systems with localization-based intent detection |
| AU2022246182A1 (en) * | 2021-03-26 | 2023-10-12 | Broadridge Financial Solutions, Inc. | Computer network systems for cryptographically-secured, token-based operations and methods of use thereof |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5638444A (en) * | 1995-06-02 | 1997-06-10 | Software Security, Inc. | Secure computer communication method and system |
| US6088450A (en) * | 1996-04-17 | 2000-07-11 | Intel Corporation | Authentication system based on periodic challenge/response protocol |
| US6175922B1 (en) * | 1996-12-04 | 2001-01-16 | Esign, Inc. | Electronic transaction systems and methods therefor |
| US6570610B1 (en) | 1997-09-15 | 2003-05-27 | Alan Kipust | Security system with proximity sensing for an electronic device |
| US7107246B2 (en) * | 1998-04-27 | 2006-09-12 | Esignx Corporation | Methods of exchanging secure messages |
| JP2000003336A (ja) | 1998-06-16 | 2000-01-07 | Nec Corp | 携帯型データ通信端末装置におけるユーザ認証方法及びユーザ認証システム |
| JP2003516600A (ja) * | 1999-12-07 | 2003-05-13 | サン マイクロシステムズ インコーポレイテッド | 読取を制御するためのマイクロプロセッサを有するコンピュータ読取可能媒体及びこのような媒体と通信を行う構成とされたコンピュータ |
| EP1283474A4 (en) | 2000-03-23 | 2007-04-04 | Tietech Co Ltd | METHOD AND DEVICE FOR PERSONAL IDENTIFICATION |
| US7302571B2 (en) * | 2001-04-12 | 2007-11-27 | The Regents Of The University Of Michigan | Method and system to maintain portable computer data secure and authentication token for use therein |
| JP4242657B2 (ja) | 2001-05-08 | 2009-03-25 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 安全な遠隔加入モジュールアクセス |
| US7216237B2 (en) | 2001-07-16 | 2007-05-08 | Certicom Corp. | System and method for trusted communication |
| US6999589B2 (en) * | 2001-08-29 | 2006-02-14 | International Business Machines Corporation | Method and system for automatic brokered transactions |
| US7899187B2 (en) * | 2002-11-27 | 2011-03-01 | Motorola Mobility, Inc. | Domain-based digital-rights management system with easy and secure device enrollment |
| JP2004220402A (ja) | 2003-01-16 | 2004-08-05 | Nec Corp | Eコマース認証システムおよび方法 |
-
2003
- 2003-06-05 US US10/454,824 patent/US7269732B2/en active Active
-
2004
- 2004-06-02 WO PCT/EP2004/005946 patent/WO2004109481A1/en active Application Filing
- 2004-06-02 EP EP04739526A patent/EP1634139A1/en not_active Ceased
- 2004-06-02 JP JP2006508250A patent/JP4205751B2/ja active Active
- 2004-06-02 CN CNB2004800155632A patent/CN100374971C/zh active Active
-
2007
- 2007-08-08 US US11/835,938 patent/US7865731B2/en not_active Expired - Fee Related
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2016054483A (ja) * | 2014-09-02 | 2016-04-14 | アップル インコーポレイテッド | ある装置を使用して別の装置をアンロックする方法 |
| JP2017034700A (ja) * | 2014-09-02 | 2017-02-09 | アップル インコーポレイテッド | ある装置を使用して別の装置をアンロックする方法 |
| JP2018201217A (ja) * | 2014-09-02 | 2018-12-20 | アップル インコーポレイテッドApple Inc. | ある装置を使用して別の装置をアンロックする方法 |
| US11329827B2 (en) | 2014-09-02 | 2022-05-10 | Apple Inc. | Method of using one device to unlock another device |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2004109481A1 (en) | 2004-12-16 |
| US7865731B2 (en) | 2011-01-04 |
| EP1634139A1 (en) | 2006-03-15 |
| JP4205751B2 (ja) | 2009-01-07 |
| US20080046734A1 (en) | 2008-02-21 |
| CN1799018A (zh) | 2006-07-05 |
| CN100374971C (zh) | 2008-03-12 |
| US7269732B2 (en) | 2007-09-11 |
| US20040250074A1 (en) | 2004-12-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4205751B2 (ja) | プロキシミティトークンに基づくアプリケーションサービスへの安全なアクセス | |
| US10595201B2 (en) | Secure short message service (SMS) communications | |
| US8639940B2 (en) | Methods and systems for assigning roles on a token | |
| US7673141B2 (en) | Client authentication using a challenge provider | |
| EP1801721B1 (en) | Computer implemented method for securely acquiring a binding key for a token device and a secured memory device and system for securely binding a token device and a secured memory device | |
| US7373509B2 (en) | Multi-authentication for a computing device connecting to a network | |
| EP2204008B1 (en) | Credential provisioning | |
| US20030236983A1 (en) | Secure data transfer in mobile terminals and methods therefor | |
| EP2095288B1 (en) | Method for the secure storing of program state data in an electronic device | |
| Nambiar et al. | Analysis of payment transaction security in mobile commerce | |
| US20060218397A1 (en) | Apparatus and methods for sharing cryptography information | |
| US20070079142A1 (en) | Method and system for the cipher key controlled exploitation of data resources, related network and computer program products | |
| GB2404535A (en) | Secure transmission of data via an intermediary which cannot access the data | |
| US20020018570A1 (en) | System and method for secure comparison of a common secret of communicating devices | |
| CN112632574A (zh) | 基于联盟链的多机构数据处理方法、装置及相关设备 | |
| JP2008535427A (ja) | データ処理デバイスとセキュリティモジュールとの間のセキュア通信 | |
| JP2005122567A (ja) | デバイス間において認証用情報を委譲する情報処理方法及び情報処理システム | |
| EP1601153B1 (en) | Client authentication using a challenge provider | |
| Fourar-Laidi | A smart card based framework for securing e-business transactions in distributed systems | |
| Urien et al. | The OpenEapSmartcard platform | |
| EP1705854A1 (en) | Method and apparatus for sharing cryptographic information in a mobile communication system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080618 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080624 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080902 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080924 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20081016 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111024 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4205751 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111024 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121024 Year of fee payment: 4 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121024 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131024 Year of fee payment: 5 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |