JP2011507363A - エンティティ双方向認証の方法およびシステム - Google Patents

エンティティ双方向認証の方法およびシステム Download PDF

Info

Publication number
JP2011507363A
JP2011507363A JP2010537240A JP2010537240A JP2011507363A JP 2011507363 A JP2011507363 A JP 2011507363A JP 2010537240 A JP2010537240 A JP 2010537240A JP 2010537240 A JP2010537240 A JP 2010537240A JP 2011507363 A JP2011507363 A JP 2011507363A
Authority
JP
Japan
Prior art keywords
entity
message
time
signature
valid
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2010537240A
Other languages
English (en)
Other versions
JP5323857B2 (ja
Inventor
ティ、マンジャ
カオ、ジュン
フアン、ツェンハイ
ライ、ジャオロン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Iwncomm Co Ltd
Original Assignee
China Iwncomm Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Iwncomm Co Ltd filed Critical China Iwncomm Co Ltd
Publication of JP2011507363A publication Critical patent/JP2011507363A/ja
Application granted granted Critical
Publication of JP5323857B2 publication Critical patent/JP5323857B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Computer And Data Communications (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

エンティティ双方向認証の方法およびシステム。この方法は以下を伴う。第1のエンティティが第1のメッセージを送る。第1のメッセージを受け取った後で、第2のエンティティが信頼できる第三者に第2のメッセージを送る。信頼できる第三者は、第2のメッセージを受け取った後で、第3のメッセージを返す。第2のエンティティは、第3のメッセージを受け取り、これを検証した後で、第4のメッセージを送る。第1のエンティティは、第4のメッセージを受け取り、これを検証し、認証を完了する。従来の認証機構と比べて、本発明は、公開鍵のオンラインでの検索および認証の機構を定義し、公開鍵の集中管理を実現し、プロトコルの動作条件を簡素化し、適用および実施を円滑に行わせる。

Description

本発明は、二方向エンティティ認証の方法およびシステムに関する。
非対象暗号化アルゴリズムに基づくエンティティ認証の方法は二種類、すなわち、一方向認証の方法と二方向認証の方法とに類別することができる。認証の一意性または適時性は時変パラメータによって識別され、時変パラメータは通常、タイムスタンプ、通し番号、乱数などとすることができる。時変パラメータとしてタイムスタンプまたは通し番号が使用される場合、エンティティ間の一方向認証はワンパス認証によって完了することができ、エンティティ間の二方向認証はツーパス認証によって完了することができる。また、時変パラメータとして乱数が使用される場合、エンティティ間の一方向認証はツーパス認証によって完了することができ、エンティティ間の二方向認証はスリーパス認証またはフォーパス認証(すなわち2つの並列の一方向認証)によって完了することができる。
これらの認証機構のいずれにおいても、検証者は、認証に先立ちまたは認証時に、請求者の有効な公開鍵を所有していなければならない。さもないと、認証プロセスが損なわれたり、完遂されなかったりする。一例として以下に、スリーパス二方向認証の方法を示す。
図1を参照されたい。図1では以下のトークンが使用される。
Figure 2011507363
 Xは、エンティティ識別子を表し、認証システムは2つの認証エンティティA、Bを含む。CertはエンティティXの証明書を表す。sSはエンティティXの署名を表す。Rは、エンティティXによって生成された乱数を表す。Textは任意選択のテキストフィールドを表す。
スリーパス二方向認証機構のプロセスは以下のように説明される。
ステップS11:エンティティBがエンティティAに、乱数Rおよび任意選択のテキストフィールドText1を送る。
ステップS12:エンティティAはエンティティBに、TokenABおよび任意選択の証明書Certを送る。
ステップS13:エンティティBは、エンティティAの証明書を検証することによってまたは他の何らかの手段によって、エンティティAの有効な公開鍵の所有を確信する。
ステップS14:エンティティBは、エンティティAの公開鍵を取得し、ステップS12のTokenAB内のエンティティAの署名を検証し、エンティティ識別子Bを検証し、ステップS11で送られた乱数RがTokenAB内の乱数Rと一致するかどうかチェックし、それによってエンティティBはエンティティAの検証を成し遂げる。
ステップS15:エンティティBはエンティティAに、TokenBAおよび任意選択の証明書Certを送る。
ステップS16:エンティティAは、エンティティBの証明書を検証することによってまたは他の何らかの手段によって、エンティティBの有効な公開鍵の所有を確信する。
ステップS17:エンティティAは、エンティティBの公開鍵を取得し、ステップS15のTokenBA内のエンティティBの署名を検証し、エンティティ識別子Aを検証し、ステップS12で送られた乱数RがTokenBA内の乱数Rと一致し、ステップS11で受け取られた乱数RがTokenBA内の乱数Rと一致するかどうかチェックし、それによってエンティティAはエンティティBの検証を成し遂げる。
以上のように、スリーパス認証機構を成し遂げるために、エンティティAとエンティティBとは、相手側の有効な公開鍵を所有していなければならない。しかしプロトコルには、相手側の公開鍵とその有効性をどのようにして取得すべきかが開示されていない。現在、多くの適用シナリオにおいて、そのような要件を満たすことができていない。例えば、通常、ユーザアクセス制御は、認証に合格するまでユーザによるネットワークへのアクセスが許されないようなエンティティ認証機構に基づく通信ネットワークで使用可能である。したがって、認証の前にユーザが、相手側エンティティ、すなわち、ネットワーク・アクセス・ポイントの公開鍵の有効性を取得するために認定機関にアクセスすることは不可能であるかまたは困難なはずであり、結果的に認証を行うことができなくなる。
上記を考慮して、本発明では、従来技術における、認証に成功する前にネットワークにアクセスすることができないために認証を行うことができないという問題に対処するために、二方向エンティティ認証の方法およびシステムを提供する。
本発明の一実施形態は、二方向エンティティ認証の方法であって、
第1のエンティティが、時変パラメータR、エンティティ識別情報IDおよび署名を搬送する第1のメッセージを送るステップと、
第2のエンティティが、第1のメッセージを受け取ると、信頼できる第三者機関に、時変パラメータR、R、第1のエンティティのエンティティ識別情報IDおよび第2のエンティティのエンティティ識別情報IDを送るステップと、
信頼できる第三者機関が、第2のメッセージを受け取ると、第2のエンティティに、信頼できる第三者機関の署名および時変パラメータR、Rを搬送する第3のメッセージを返すステップと、
第2のエンティティが、第3のメッセージを受け取ると、信頼できる第三者機関の署名の検証に合格し、且つ、時変パラメータRがローカルに記憶された時変パラメータRと一致する場合に、第1のエンティティの検証結果を取得し、その検証結果が、第1のエンティティが有効であることを示す場合に、第1のエンティティの公開鍵を取得して第1のメッセージ内の第1のエンティティの署名を検証し、その検証に合格した場合に、信頼できる第三者機関の署名、第2のエンティティの署名および時変パラメータRを搬送する第4のメッセージを送るステップと、
第1のエンティティが、第4のメッセージを受け取ると、信頼できる第三者機関の署名の検証に合格し、且つ、時変パラメータRがローカルに記憶された時変パラメータRと一致する場合に、第2のエンティティの検証結果を取得し、その検証結果が、第2のエンティティが有効であることを示す場合に、第2のエンティティの公開鍵を取得して第4のメッセージ内の第2のエンティティの署名を検証し、それによって認証を完了するステップと、
を含む方法を提供する。
好ましくは、前述の方法において、第3のメッセージは、第1のエンティティおよび第2のエンティティの有効性を検証した後で送られる。
好ましくは、前述の方法において、第1のエンティティおよび第2のエンティティが有効であるのは、第2のメッセージ内の第1のエンティティおよび第2のエンティティのエンティティ識別情報が証明書であり、それらの証明書が有効である場合である。
好ましくは、前述の方法において、第1のエンティティおよび第2のエンティティが有効であるのは、第2のメッセージ内の第1のエンティティおよび第2のエンティティのエンティティ識別情報がエンティティ識別子であり、第1のエンティティおよび第2のエンティティの公開鍵が存在し、有効である場合である。
好ましくは、前述の方法において、時変パラメータは、乱数、タイムスタンプ、または通し番号である。
本発明の一実施形態はさらに、第1のエンティティ、第2のエンティティ、および信頼できる第3のエンティティとしての第3のエンティティを含み、
第1のエンティティは、第2のエンティティに、時変パラメータR、第1のエンティティのエンティティ識別情報IDおよび署名を搬送する第1のメッセージ送り、第2のエンティティによって返される第3のエンティティの署名、第2のエンティティの署名および時変パラメータRを搬送する第4のメッセージを受け取ると、第3のエンティティの署名の検証に合格し、且つ、時変パラメータRがローカルに記憶された時変パラメータRと一致する場合に、第2のエンティティの検証結果を取得し、その検証結果が、第2のエンティティが有効であることを示す場合に、第2のエンティティの公開鍵を取得して第4のメッセージ内の第2のエンティティの署名を検証するように適合されており、
第2のエンティティは、第1のメッセージを受け取ると、第3のエンティティに、時変パラメータR、R、第1のエンティティのエンティティ識別情報ID、および第2のエンティティのエンティティ識別情報IDを搬送する第2のメッセージを送り、第3のエンティティによって返される第3のエンティティの署名および時変パラメータR、Rを搬送する第3のメッセージを受け取ると、第3のエンティティの署名の検証に合格し、且つ、第3のメッセージ内の時変パラメータRがローカルに記憶された時変パラメータRと一致する場合に、第1のエンティティの検証結果を取得し、その検証結果が、第1のエンティティが有効であることを示す場合に、第1のエンティティの公開鍵を取得して第1のエンティティの署名を検証し、その検証に合格した場合に、第4のメッセージを送るように適合されており、
信頼できる第三者機関は、第2のメッセージを受け取り、第2のエンティティに第3のメッセージを返すように適合されている、
3要素ピア認証システムを開示する。
好ましくは、前述のシステムにおいて、第3のメッセージは、第1のエンティティおよび第2のエンティティの有効性を検証した後で送られる。
好ましくは、前述のシステムにおいて、第1のエンティティおよび第2のエンティティが有効であるのは、第2のメッセージ内の第1のエンティティおよび第2のエンティティのエンティティ識別情報が証明書であり、それらの証明書が有効である場合である。
好ましくは、前述のシステムにおいて、第1のエンティティおよび第2のエンティティが有効であるのは、第2のメッセージ内の第1のエンティティおよび第2のエンティティのエンティティ識別情報が識別子であり、第1のエンティティおよび第2のエンティティの公開鍵が存在し、有効である場合である。
好ましくは、前述のシステムにおいて、時変パラメータは、乱数、タイムスタンプ、または通し番号である。
本発明は、相手側認証エンティティの有効な公開鍵を事前に知らなくても、認証の前に認証エンティティが公開鍵または信頼できる第三者機関の証明書を取得し、信頼できる第三者機関によって発行されたユーザ証明書を取得し、または、その認証エンティティ自体の公開鍵を信頼できる第三者機関に提出する、3エンティティアーキテクチャを用いる。プロトコル運用に際しては、信頼できる第三者機関における検索および検証によって、認証エンティティの公開鍵およびその有効性を相手側に自動的に送ることができる。従来の認証機構と比べて、本発明は、公開鍵のオンラインでの検索および認証の機構を定義し、この機構は、公開鍵の集中管理を可能にし、プロトコルの動作条件を簡略化し、その実行を円滑化するものである。
本発明または従来技術の各実施形態における技術的解決法は、添付の本発明または従来技術の各実施形態の図面を参照すればよりよく理解されるはずである。以下の図面は単に、本発明のいくつかの実施形態を例示するにすぎず、当分野の技術者であれば、これらの図面から難なく別の図面を導き出し得ることに留意すべきである。
従来技術におけるスリーパス認証機構の認証を示す図である。 本発明の一実施形態による二方向認証の方法を示す概略図である。 図1に示す方法におけるエンティティBによる検証プロセスを示す概略図である。 図1に示す方法におけるエンティティAによる検証プロセスを示す概略図である。 本発明の一実施形態による3要素ピア認証システムを示す概略図である。
本発明の技術的解決法は、以下の各実施形態の説明を、添付の本発明の各実施形態の図面を参照して読めばより良く理解されるはずである。説明される各実施形態は、本発明の可能な実施形態のほんの一部にすぎず、当分野の技術者であれば、本発明で説明される各実施形態に基づいて、発明的な努力なしに、本発明の範囲に含まれるべき他の実施形態を得ることもできることに留意すべきである。
本発明の一実施形態による二方向エンティティ認証の方法の概略図を示す図2を参照する。
本発明のこの実施形態による方法は、3つのエンティティ、すなわち、2つの認証エンティティA、B、および信頼できる第三者機関(Trusted Third Party)(TTP)に関するものである。TTPは、認証エンティティA、Bの信頼できる第三者機関である。信頼できる第三者機関を介して行われる2つのエンティティA、Bの間のピア認証を伴うそのようなシステムを、3要素ピア認証(Tri-element Peer Authentication)(TePA)システムという。Validは、証明書Certの有効性を表す。PublicKeyは、エンティティX(XはAまたはBを表す)の公開鍵を表す。IDはエンティティXの識別情報を表し、エンティティ識別子Xまたは証明書Certで表される。PubはエンティティXの検証結果を表し、証明書Certおよびその有効性Valid、またはエンティティ識別子Xおよびその公開鍵PublicKeyを含む。Tokenは以下のように定義されるトークンフィールドを表す。
Figure 2011507363
詳細なプロセスは以下の通りである。
ステップS21:エンティティAがエンティティBに、時変パラメータR、識別情報ID、トークンTokenABおよび任意選択のテキストフィールドText1を含むメッセージ1を送る。
ステップS22:メッセージ1を受け取ると、エンティティBはTTPに、時変パラメータR、R、エンティティ識別情報ID、ID、および任意選択のテキストフィールドText2を含むメッセージ2を送る。
ステップS23:メッセージ2を受け取ると、TTPはエンティティA、Bを検証する。
特に、メッセージ2内のエンティティA、Bのエンティティ識別情報が証明書である場合には、エンティティA、Bの証明書の有効性がチェックされ、証明書が無効である場合、メッセージ2は直ちに廃棄されるかまたはメッセージ3が返される。証明書が有効である場合、メッセージ3が返される。
メッセージ2内のエンティティA、Bのエンティティ識別情報がエンティティ識別子である場合には、エンティティA、Bのそれぞれの公開鍵が検索され、検証される。公開鍵が見つからないかまたはすべてが無効である場合、メッセージ2は直ちに廃棄されるかまたはメッセージ3が返される。公開鍵が検索され、それらが有効である場合、メッセージ3が返される。
ステップS24:エンティティA、Bを検証した後で、TTPはエンティティBに、トークンTokenTBおよび任意選択のテキストフィールドText3を含むか、またはトークンTokenTB1およびTokenTB2を含むメッセージ3を返す。
ステップS25:メッセージ3を受け取ると、エンティティBは検証を行う。
図3に示すように、エンティティBによる詳細な検証は、以下のステップを含む。
ステップS31:TTPによってTokenTBまたはTokenTB2に添付された署名が検証され、検証に合格した場合にはステップS32に進み、そうでない場合にはプロセスを終了する。
ステップS32:メッセージ2内の時変パラメータRがTokenTBまたはTokenTB1内の時変パラメータRと一致するかどうかチェックし、それらが一致する場合にはステップS33に進み、そうでない場合にはプロセスを終了する。
ステップS33:エンティティAの検証結果Pubが取得され、エンティティAが有効である場合にはステップS34に進み、そうでない場合にはプロセスを終了する。
ステップS34:エンティティAの公開鍵が取得され、エンティティAによってメッセージ1内のTokenABに添付された署名が検証され、署名が正しい場合には、その検証に合格したと判定する。
なお、実施形態によっては、TTPによってTokenTBまたはTokenTB1に添付された署名を検証するステップは、メッセージ2内の時変パラメータRがTokenTBまたはTokenTB1内の時変パラメータRと一致するかどうかチェックするステップの後に続いて行われてもよい。
なお、さらに代替として、ステップS33においてエンティティAが無効であると判定された場合には、ステップS26が直ちに行われてもよい。
ステップS26:メッセージ3を検証した後で、エンティティBはエンティティAに、トークンTokenTB、TokenBA1および2つの任意選択のテキストフィールドText3、Text4を含むか、またはトークンTokenTB2、TokenBA2および任意選択のテキストフィールドText4を含むメッセージ4を送る。メッセージ3がトークンTokenTBおよび任意選択のテキストText3を含む場合、メッセージ4は、トークンTokenTB、TokenBA1および2つの任意選択のテキストフィールドText3、Text4を含み、メッセージ3がトークンTokenTB1、TokenTB2を含む場合、メッセージ4は、トークンTokenTB2、TokenBA2および任意選択のテキストフィールドText4を含むことがわかるであろう。
ステップS27:エンティティAは、メッセージ4を受け取ると、検証を行う。
図4に示すように、エンティティAによる詳細な検証プロセスは、以下のステップを含む。
ステップS41:TTPによってTokenTBまたはTokenTB2に添付された署名が検証され、検証に合格した場合にはステップS42に進み、そうでない場合にはプロセスを終了する。
ステップS42:メッセージ1内の時変パラメータRがTokenTBまたはTokenTB2内の時変パラメータRと一致するかどうかチェックし、それらが一致する場合にはステップS42に進み、そうでない場合にはプロセスを終了する。
ステップS43:エンティティBの検証結果Pubが取得され、エンティティBが有効である場合にはステップS44に進み、そうでない場合にはプロセスを終了する。
ステップS44:エンティティBの公開鍵が取得され、エンティティBによってTokenBA1またはTokenTB2に添付された署名が検証され、検証に合格した場合には、認証が完了する。
なお、TTPによってTokenTBまたはTokenTB2に添付された署名を検証するステップは、メッセージ1内の時変パラメータRがTokenTBまたはTokenTB2内の時変パラメータと一致するかどうかチェックするステップの後に続いて行われてもよい。
なお、さらに、本発明における時変パラメータは、乱数、タイムスタンプまたは通し番号としてもよい。
前述の方法を考慮して、本発明の一実施形態はさらに、この方法を実施するシステム、すなわち、第1のエンティティ51、第2のエンティティ52および第3のエンティティ53を含む、図5に示すような3要素ピア認証(TePA)システムを提供する。
第3のエンティティ53は、第1のエンティティ51および第2のエンティティ52の信頼できる第三者機関である。
第1のエンティティ51は、第2のエンティティAに、時変パラメータR、それ自体の識別情報IDおよびトークンTokenABを搬送する第1のメッセージを送り、第2のエンティティ52から送られた、トークンTokenTBおよびTokenBA1を搬送するか、またはトークンTokenTB2およびTokenBA2を搬送する第4のメッセージを受け取り、第3のエンティティ53によってトークンTokenTBまたはTokenTB2に添付された署名を検証し、時変パラメータRがTokenTBまたはTokenTB2内の時変パラメータRと一致するかどうかチェックし、それらが一致する場合に、第2のエンティティ52の検証結果を取得し、その検証結果が、第2のエンティティ52が有効であることを示す場合に、第2のエンティティ52の公開鍵を取得して、第4のメッセージ内の第2のエンティティ52によってトークンTokenBA1またはTokenBA2に添付された署名を検証するように適合されている。
第2のエンティティ52は、第1のメッセージを受け取ると、第3のエンティティ53に、時変パラメータR、R、第1のエンティティ51の識別情報ID、およびそれ自体の識別情報IDを搬送する第2のメッセージを送り、トークンTokenTBを搬送するか、または第3のエンティティから返されるトークンTokenTB1、TokenTB2を搬送する第3のメッセージを受け取り、第3のエンティティ53によってトークンTokenTBまたはTokenTB1に添付された署名を検証し、時変パラメータRがTokenTBまたはTokenTB1内の時変パラメータRと一致するかどうかチェックし、それらが一致する場合に、第1のエンティティ51の検証結果を取得し、その検証結果が、第1のエンティティ51が有効であることを示す場合に、第1のエンティティ51の公開鍵を取得して、第1のメッセージ内の第1のエンティティ51によってTokenABに添付された署名を検証し、検証に成功すると、第4のメッセージを送るように適合されている。
第3のエンティティ53は、第2のメッセージを受け取り、第1のエンティティ51および第2のエンティティ52の検証を行った後で、第2のエンティティ52に第3のメッセージを返すように適合されている。
この実施形態における個々のエンティティ間の詳細な対話プロセスについては、前述の方法の前述の説明を参照されたい。
開示の各実施形態の以上の説明に基づけば、当分野の技術者は、本発明を実施し、または使用することができる。当分野の技術者には、各実施形態に加えられる様々な改変が理解されるはずである。本明細書において定義される一般原理は、本発明の精神または範囲を逸脱することなく、他の実施形態においても実施することができる。したがって本発明は、本明細書に示す実施形態だけに限定されず、本発明には、本明細書で開示される原理および新規な特徴との整合性を有する最大限の範囲が与えられるものである。
本出願は、参照によりその全文が本明細書に組み込まれる、2007年12月14日付けで中国特許庁に出願された、「Method for two-way entity authentication」という名称の中国特許出願第200710199241.3号の優先権を主張するものである。

Claims (10)

  1. 二方向エンティティ認証の方法であって、
    第1のエンティティが、時変パラメータR、エンティティ識別情報IDおよび署名を搬送する第1のメッセージを送ること、
    第2のエンティティが、前記第1のメッセージを受け取ると、信頼できる第三者機関に、時変パラメータR、R、前記第1のエンティティの前記エンティティ識別情報IDおよび前記第2のエンティティのエンティティ識別情報IDを送ること、
    前記信頼できる第三者機関が、前記第2のメッセージを受け取ると、前記第2のエンティティに、前記信頼できる第三者機関の署名および前記時変パラメータR、Rを搬送する第3のメッセージを返すこと、
    前記第2のエンティティが、前記第3のメッセージを受け取ると、前記信頼できる第三者機関の前記署名の検証に合格し、且つ、前記時変パラメータRがローカルに記憶された時変パラメータRと一致する場合に、前記第1のエンティティの検証結果を取得し、前記検証結果が、前記第1のエンティティが有効であることを示す場合に、前記第1のエンティティの公開鍵を取得して前記第1のメッセージ内の前記第1のエンティティの前記署名を検証し、前記検証に合格した場合に、前記信頼できる第三者機関の前記署名、前記第2のエンティティの署名および前記時変パラメータRを搬送する第4のメッセージを送ること、および
    前記第1のエンティティが、前記第4のメッセージを受け取ると、前記信頼できる第三者機関の前記署名の検証に合格し、且つ、前記時変パラメータRがローカルに記憶された時変パラメータRと一致する場合に、前記第2のエンティティの検証結果を取得し、前記検証結果が、前記第2のエンティティが有効であることを示す場合に、前記第2のエンティティの公開鍵を取得して前記第4のメッセージ内の前記第2のエンティティの前記署名を検証し、それによって前記認証を完了すること、
    を含む方法。
  2. 前記第3のメッセージは、前記第1のエンティティおよび前記第2のエンティティの有効性を検証した後で送られる、請求項1に記載の二方向エンティティ認証の方法。
  3. 前記第1のエンティティおよび前記第2のエンティティが有効であるのは、前記第2のメッセージ内の前記第1のエンティティおよび前記第2のエンティティの前記エンティティ識別情報が証明書であり、前記証明書が有効である場合である、請求項2に記載の二方向エンティティ認証の方法。
  4. 前記第1のエンティティおよび前記第2のエンティティが有効であるのは、前記第2のメッセージ内の前記第1のエンティティおよび前記第2のエンティティの前記エンティティ識別情報がエンティティ識別子であり、前記第1のエンティティおよび前記第2のエンティティの公開鍵が存在し、有効である場合である、請求項2に記載の二方向エンティティ認証の方法。
  5. 前記時変パラメータは、乱数、タイムスタンプ、または通し番号である、請求項1に記載の二方向エンティティ認証の方法。
  6. 第1のエンティティ、第2のエンティティ、および信頼できる第3のエンティティとしての第3のエンティティを備える3要素ピア認証システムであって、
    前記第1のエンティティは、前記第2のエンティティに時変パラメータR、前記第1のエンティティのエンティティ識別情報IDおよび署名を搬送する第1のメッセージを送り、前記第2のエンティティによって返される前記第3のエンティティの署名、前記第2のエンティティの署名および前記時変パラメータRを搬送する第4のメッセージを受け取ると、前記第3のエンティティの前記署名の検証に合格し、且つ、前記時変パラメータRがローカルに記憶された時変パラメータRと一致する場合に、前記第2のエンティティの検証結果を取得し、前記検証結果が、前記第2のエンティティが有効であることを示す場合に、前記第2のエンティティの公開鍵を取得し前記第4のメッセージ内の前記第2のエンティティの前記署名を検証するように適合されており、
    前記第2のエンティティは、前記第1のメッセージを受け取ると、前記第3のエンティティに、時変パラメータR、R、前記第1のエンティティの前記エンティティ識別情報ID、および前記第2のエンティティのエンティティ識別情報IDを搬送する第2のメッセージを送り、前記第3のエンティティによって返される前記第3のエンティティの前記署名および前記時変パラメータR、Rを搬送する第3のメッセージを受け取ると、前記第3のエンティティの前記署名の検証に合格し、且つ、前記第3のメッセージ内の前記時変パラメータRがローカルに記憶された時変パラメータRと一致する場合に、前記第1のエンティティの検証結果を取得し、前記検証結果が、前記第1のエンティティが有効であることを示す場合に、前記第1のエンティティの公開鍵を取得して前記第1のエンティティの前記署名を検証し、前記検証に合格した場合に、前記第4のメッセージを送るように適合されており、
    前記信頼できる第三者機関は、前記第2のメッセージを受け取り、前記第2のエンティティに前記第3のメッセージを返すように適合されている、
    システム。
  7. 前記第3のメッセージは、前記第1のエンティティおよび前記第2のエンティティの有効性を検証した後で送られる、請求項6に記載のシステム。
  8. 前記第1のエンティティおよび前記第2のエンティティが有効であるのは、前記第2のメッセージ内の前記第1のエンティティおよび前記第2のエンティティの前記エンティティ識別情報が証明書であり、前記証明書が有効である場合である、請求項7に記載のシステム。
  9. 前記第1のエンティティおよび前記第2のエンティティが有効であるのは、前記第2のメッセージ内の前記第1のエンティティおよび前記第2のエンティティの前記エンティティ識別情報がエンティティ識別子であり、前記第1のエンティティおよび前記第2のエンティティの公開鍵が存在し、有効である場合である、請求項7に記載のシステム。
  10. 前記時変パラメータは、乱数、タイムスタンプ、または通し番号である、請求項6に記載のシステム。
JP2010537240A 2007-12-14 2008-12-09 エンティティ双方向認証の方法およびシステム Active JP5323857B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN200710199241.3A CN101222328B (zh) 2007-12-14 2007-12-14 一种实体双向鉴别方法
CN200710199241.3 2007-12-14
PCT/CN2008/073389 WO2009076879A1 (zh) 2007-12-14 2008-12-09 一种实体双向鉴别方法和系统

Publications (2)

Publication Number Publication Date
JP2011507363A true JP2011507363A (ja) 2011-03-03
JP5323857B2 JP5323857B2 (ja) 2013-10-23

Family

ID=39631927

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010537240A Active JP5323857B2 (ja) 2007-12-14 2008-12-09 エンティティ双方向認証の方法およびシステム

Country Status (7)

Country Link
US (1) US8417955B2 (ja)
EP (1) EP2224638A4 (ja)
JP (1) JP5323857B2 (ja)
KR (1) KR101139547B1 (ja)
CN (1) CN101222328B (ja)
RU (1) RU2445741C1 (ja)
WO (1) WO2009076879A1 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013503512A (ja) * 2009-08-28 2013-01-31 西安西▲電▼捷通▲無▼綫▲網▼絡通信股▲分▼有限公司 オンライン第三者を導入するエンティティ双方向認証方法
JP2013503513A (ja) * 2009-08-28 2013-01-31 西安西▲電▼捷通▲無▼綫▲網▼絡通信股▲分▼有限公司 オンライン第三者を導入するエンティティ認証方法
JP2017529807A (ja) * 2014-10-17 2017-10-05 西安西▲電▼捷通▲無▼▲線▼▲網▼▲絡▼通信股▲ふん▼有限公司 事前共有鍵に基づくエンティティ認証方法及び装置
KR20180064498A (ko) * 2015-10-10 2018-06-14 차이나 아이더블유엔콤 씨오., 엘티디 엔티티의 신원의 유효성을 검증하기 위한 다중-ttp-기반의 방법 및 장치

Families Citing this family (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101222328B (zh) * 2007-12-14 2010-11-03 西安西电捷通无线网络通信股份有限公司 一种实体双向鉴别方法
US9443068B2 (en) * 2008-02-20 2016-09-13 Micheal Bleahen System and method for preventing unauthorized access to information
CN101635710B (zh) * 2009-08-25 2011-08-17 西安西电捷通无线网络通信股份有限公司 一种基于预共享密钥的网络安全访问控制方法及其系统
CN101635624B (zh) * 2009-09-02 2011-06-01 西安西电捷通无线网络通信股份有限公司 引入在线可信第三方的实体鉴别方法
CN101674182B (zh) * 2009-09-30 2011-07-06 西安西电捷通无线网络通信股份有限公司 引入在线可信第三方的实体公钥获取、证书验证及鉴别的方法及系统
CN101925060A (zh) 2010-08-27 2010-12-22 西安西电捷通无线网络通信股份有限公司 一种资源受限网络的实体鉴别方法及系统
CN102497273B (zh) * 2011-12-27 2018-09-28 西安西电捷通无线网络通信股份有限公司 一种实体鉴别方法和装置及系统
CN103312499B (zh) * 2012-03-12 2018-07-03 西安西电捷通无线网络通信股份有限公司 一种身份认证方法及系统
CN103944716B (zh) * 2013-01-17 2017-08-25 上海贝尔股份有限公司 用户认证的方法和装置
US8954546B2 (en) 2013-01-25 2015-02-10 Concurix Corporation Tracing with a workload distributor
US20140025572A1 (en) * 2013-01-25 2014-01-23 Concurix Corporation Tracing as a Service
US8997063B2 (en) 2013-02-12 2015-03-31 Concurix Corporation Periodicity optimization in an automated tracing system
US8924941B2 (en) 2013-02-12 2014-12-30 Concurix Corporation Optimization analysis using similar frequencies
US20130283281A1 (en) 2013-02-12 2013-10-24 Concurix Corporation Deploying Trace Objectives using Cost Analyses
US9665474B2 (en) 2013-03-15 2017-05-30 Microsoft Technology Licensing, Llc Relationships derived from trace data
US9575874B2 (en) 2013-04-20 2017-02-21 Microsoft Technology Licensing, Llc Error list and bug report analysis for configuring an application tracer
US10657523B2 (en) * 2013-08-16 2020-05-19 Arm Ip Limited Reconciling electronic transactions
US9292415B2 (en) 2013-09-04 2016-03-22 Microsoft Technology Licensing, Llc Module specific tracing in a shared module environment
CN105765528B (zh) 2013-11-13 2019-09-24 微软技术许可有限责任公司 具有可配置原点定义的应用执行路径跟踪的方法、系统和介质
CN104954130B (zh) * 2014-03-31 2019-08-20 西安西电捷通无线网络通信股份有限公司 一种实体鉴别方法及装置
US9331989B2 (en) * 2014-10-06 2016-05-03 Micron Technology, Inc. Secure shared key sharing systems and methods
US9785764B2 (en) * 2015-02-13 2017-10-10 Yoti Ltd Digital identity
US9852285B2 (en) 2015-02-13 2017-12-26 Yoti Holding Limited Digital identity
US10594484B2 (en) 2015-02-13 2020-03-17 Yoti Holding Limited Digital identity system
US9858408B2 (en) 2015-02-13 2018-01-02 Yoti Holding Limited Digital identity system
US9648496B2 (en) 2015-02-13 2017-05-09 Yoti Ltd Authentication of web content
US10853592B2 (en) 2015-02-13 2020-12-01 Yoti Holding Limited Digital identity system
US10692085B2 (en) 2015-02-13 2020-06-23 Yoti Holding Limited Secure electronic payment
CN106571921B (zh) * 2015-10-10 2019-11-22 西安西电捷通无线网络通信股份有限公司 一种实体身份有效性验证方法及其装置
CN106571919B (zh) * 2015-10-10 2019-10-29 西安西电捷通无线网络通信股份有限公司 一种实体身份有效性验证方法及其装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1588842A (zh) * 2004-09-30 2005-03-02 西安西电捷通无线网络通信有限公司 一种增强无线城域网安全性的方法
JP2006505203A (ja) * 2002-11-06 2006-02-09 西安西▲電▼捷通▲無▼綫▲網▼絡通信有限公司 Wlanへの移動端末のアクセスと安全に無線リンクを介したデータ通信とのための方法
CN1767429A (zh) * 2004-10-29 2006-05-03 大唐移动通信设备有限公司 移动通信用户认证与密钥协商方法
CN1929380A (zh) * 2006-09-23 2007-03-14 西安西电捷通无线网络通信有限公司 一种公钥证书状态的获取及验证方法

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB9903124D0 (en) * 1999-02-11 1999-04-07 Nokia Telecommunications Oy An authentication method
US20020157002A1 (en) * 2001-04-18 2002-10-24 Messerges Thomas S. System and method for secure and convenient management of digital electronic content
US8484333B2 (en) * 2001-08-22 2013-07-09 Aol Inc. Single universal authentication system for internet services
WO2003075530A1 (en) * 2002-03-01 2003-09-12 Research In Motion Limited System and method for providing secure message signature status and trust status indication
CN1656555A (zh) 2002-05-09 2005-08-17 松下电器产业株式会社 鉴别通信系统、鉴别通信设备和鉴别通信方法
BRPI0409844A (pt) * 2003-05-02 2006-05-16 Giritech As segurança de rede de usuário central ocupante habilitada por chave de datagrama dinámica e um esquema de codificação e de autenticação acessìvel à demanda através de portadores de dados inteligentes móveis
EP1601154A1 (en) * 2004-05-28 2005-11-30 Sap Ag Client authentication using a challenge provider
MX2007005037A (es) 2004-10-29 2007-06-19 Thomson Licensing Canal autorizado seguro.
CN100389555C (zh) * 2005-02-21 2008-05-21 西安西电捷通无线网络通信有限公司 一种适合有线和无线网络的接入认证方法
CN100550725C (zh) * 2005-06-17 2009-10-14 中兴通讯股份有限公司 一种用户与应用服务器协商共享密钥的方法
US20070245414A1 (en) * 2006-04-14 2007-10-18 Microsoft Corporation Proxy Authentication and Indirect Certificate Chaining
US20080235513A1 (en) * 2007-03-19 2008-09-25 Microsoft Corporation Three Party Authentication
CN101222328B (zh) 2007-12-14 2010-11-03 西安西电捷通无线网络通信股份有限公司 一种实体双向鉴别方法
CN101247223B (zh) * 2008-03-06 2010-06-09 西安西电捷通无线网络通信有限公司 一种基于可信第三方的实体双向鉴别方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006505203A (ja) * 2002-11-06 2006-02-09 西安西▲電▼捷通▲無▼綫▲網▼絡通信有限公司 Wlanへの移動端末のアクセスと安全に無線リンクを介したデータ通信とのための方法
CN1588842A (zh) * 2004-09-30 2005-03-02 西安西电捷通无线网络通信有限公司 一种增强无线城域网安全性的方法
CN1767429A (zh) * 2004-10-29 2006-05-03 大唐移动通信设备有限公司 移动通信用户认证与密钥协商方法
CN1929380A (zh) * 2006-09-23 2007-03-14 西安西电捷通无线网络通信有限公司 一种公钥证书状态的获取及验证方法

Non-Patent Citations (5)

* Cited by examiner, † Cited by third party
Title
CSNH199700222006; 杉山広幸,小畠雅典,田辺克弘: '"分散環境におけるユーザ認証システム"' NTT R&D 第45巻,第1号, 19960110, p.67-72, 日本電信電話株式会社 *
CSNH199700228007; 林誠一郎,斉藤泰一,村田祐一: '"情報セキュリティ 暗号認証プログラムとそのメカニズム"' NTT R&D 第44巻,第10号, 19951010, p.913-922, 社団法人 電気通信協会 *
JPN6012044734; "本人認証技術の現状に関する調査報告書" , 200303, p.13-18, 情報処理振興事業協会セキュリティセンター[オンライ *
JPN6012044736; 杉山広幸,小畠雅典,田辺克弘: '"分散環境におけるユーザ認証システム"' NTT R&D 第45巻,第1号, 19960110, p.67-72, 日本電信電話株式会社 *
JPN6012054213; 林誠一郎,斉藤泰一,村田祐一: '"情報セキュリティ 暗号認証プログラムとそのメカニズム"' NTT R&D 第44巻,第10号, 19951010, p.913-922, 社団法人 電気通信協会 *

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013503512A (ja) * 2009-08-28 2013-01-31 西安西▲電▼捷通▲無▼綫▲網▼絡通信股▲分▼有限公司 オンライン第三者を導入するエンティティ双方向認証方法
JP2013503513A (ja) * 2009-08-28 2013-01-31 西安西▲電▼捷通▲無▼綫▲網▼絡通信股▲分▼有限公司 オンライン第三者を導入するエンティティ認証方法
US8763100B2 (en) 2009-08-28 2014-06-24 China Iwncomm Co., Ltd. Entity authentication method with introduction of online third party
JP2017529807A (ja) * 2014-10-17 2017-10-05 西安西▲電▼捷通▲無▼▲線▼▲網▼▲絡▼通信股▲ふん▼有限公司 事前共有鍵に基づくエンティティ認証方法及び装置
KR20180064498A (ko) * 2015-10-10 2018-06-14 차이나 아이더블유엔콤 씨오., 엘티디 엔티티의 신원의 유효성을 검증하기 위한 다중-ttp-기반의 방법 및 장치
JP2018530264A (ja) * 2015-10-10 2018-10-11 西安西▲電▼捷通▲無▼▲線▼▲網▼▲絡▼通信股▲ふん▼有限公司 マルチttpが参与するエンティティアイデンティティ有効性検証方法及び装置
KR102104733B1 (ko) 2015-10-10 2020-04-24 차이나 아이더블유엔콤 씨오., 엘티디 엔티티의 신원의 유효성을 검증하기 위한 다중-ttp-기반의 방법 및 장치
US10681045B2 (en) 2015-10-10 2020-06-09 China Iwncomm Co., Ltd. Multi-TTP-based method and device for verifying validity of identity of entity

Also Published As

Publication number Publication date
KR101139547B1 (ko) 2012-04-27
RU2445741C1 (ru) 2012-03-20
EP2224638A1 (en) 2010-09-01
US8417955B2 (en) 2013-04-09
RU2010128379A (ru) 2012-01-20
WO2009076879A1 (zh) 2009-06-25
JP5323857B2 (ja) 2013-10-23
US20100262832A1 (en) 2010-10-14
EP2224638A4 (en) 2013-03-27
CN101222328A (zh) 2008-07-16
CN101222328B (zh) 2010-11-03
KR20100091257A (ko) 2010-08-18

Similar Documents

Publication Publication Date Title
JP5323857B2 (ja) エンティティ双方向認証の方法およびシステム
KR101483818B1 (ko) 신뢰성 있는 제 3자를 기반으로 한 양방향 엔티티 인증 방법
JP5099568B2 (ja) 信頼できる第三者に基づいたエンティティの相互認証の方法、及びシステム
JP5468137B2 (ja) オンライン第三者装置を導入するエンティティ双方向認証方法
US20070150744A1 (en) Dual authentications utilizing secure token chains
KR101254868B1 (ko) 고속 핸드오프를 지원하는 엔티티 양방향 신원 방법
US8763100B2 (en) Entity authentication method with introduction of online third party
WO2012062120A1 (zh) 匿名实体鉴别方法及装置
KR20120104193A (ko) 온라인 제 3 신뢰 기관을 도입함으로써 엔티티 공개키 획득, 인증서 검증 및 인증을 수행하는 방법 및 시스템
WO2011026296A1 (zh) 引入在线可信第三方的实体鉴别方法
CN116662950A (zh) 一种基于区块链的身份认证方法及装置
CN117439729A (zh) 证书管理方法、装置、设备及存储介质

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20121023

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130123

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130618

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130717

R150 Certificate of patent or registration of utility model

Ref document number: 5323857

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250