JP2019537185A - デバイスの信頼されたプールを作成する方法 - Google Patents
デバイスの信頼されたプールを作成する方法 Download PDFInfo
- Publication number
- JP2019537185A JP2019537185A JP2019549617A JP2019549617A JP2019537185A JP 2019537185 A JP2019537185 A JP 2019537185A JP 2019549617 A JP2019549617 A JP 2019549617A JP 2019549617 A JP2019549617 A JP 2019549617A JP 2019537185 A JP2019537185 A JP 2019537185A
- Authority
- JP
- Japan
- Prior art keywords
- service
- security device
- secure
- clock
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
- G06F21/335—User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/72—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
- G06F21/725—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits operating on a secure reference time value
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2115—Third party
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2151—Time stamp
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/121—Timestamp
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Abstract
本発明は、サービスプロバイダ(ADM)によって、セキュアサービスにおける暗号化動作を実行するように構成されたセキュリティデバイス(SDi)の信頼されたプールを作成するための方法であって、サービスプロバイダ(ADM)が、セキュアサービスを、第1のデバイス(SD1)をサービス内に割り振ることによってセットアップするステップと、第1のセキュリティデバイスのクロックを信用できる時間ソース(UTS)に設定するステップ(S2)と、リソースオーナーのセキュリティアプリケーション(App)とセキュアサービスのセキュリティデバイス(SD)部分との間の通信を保護するために使用される、少なくともサービスクロックインスタンス(SCI)とサービス固有暗号鍵と証明書とを定義する内部セキュアサービスオブジェクト(SSO)を作成し(S5)、前記セキュアサービスオブジェクト(SSO)が、セキュリティデバイス(SD1)によって内部で維持され、任意のサービスプロバイダがそれを恣意的に変更するのを防ぐ、ステップと、追加のセキュリティデバイス(SDi)が必要とされるとき、サービスプロバイダ(ADM)が、ターゲットセキュリティデバイスのクロックを正確な時間値(UTS)に設定し(S10)、セキュアサービスオブジェクト(SSO)において、プールの2つのデバイス間のドリフトを限定する最大デルタ時間(MDT)と1日当たり最大日次補正(MDC)値とを定義することによって、2つのセキュリティデバイスのクロック(Ti)が同期していることを保証することを通して、追加のセキュリティデバイス(SDi)をサービスに追加するステップとを含む、方法に関する。
Description
本発明は、サービスプロバイダによって、セキュアサービスにおける暗号化動作を実行するように構成されたセキュリティデバイスの信頼されたプールを作成するための方法に関する。
本発明はまた、前記方法を実装するセキュリティデバイスに関する。
スケーラブルベースの認証方式(scalable based authentication scheme)は、時間に大きく依存する。たとえば、OAUTH2トークンは、識別されたアクターが特定の時間においてそれ自体を成功裏に認証したことを確認する。トークンは、次いで、有効期間をもつ許可(authorization)データを運ぶ。したがって、このように、保護されるリソースは、OAUTH2トークンの悪用を防ぐために信頼できるクロックを有することが重要である。リソースがクラウドプロバイダによって管理されるとき、リソースオーナーは、正しいクロックを維持するためにそのプロバイダに依存することを強制される。これは、顧客の保護されるリソースについてのセキュリティリスクを生じる。プロバイダまたはプロバイダのスタッフは、アクセストークンをキャプチャし、次いで、単にホストの時間を捏造することによって、保護されるリソースを悪用することができる。これは、保護されるリソースが、セキュリティデバイス、一般にHSM、によって保護された暗号鍵であるとき、特に重要な問題点である。
クラウドベースHSMが高い保証を提供する1つのやり方は、プロバイダが鍵材料(key material)を悪用するのを防ぐことによるものである。HSMが、鍵がHSMによってのみ使用され得ることを保証し、HSMの機能が、デバイス製造業者と、関連する証明プロセスとによって厳しく制御されるので、鍵オーナーは、HSMが関与するとき、それらの鍵が安全であると確信することができる。しかしながら、プロバイダが、HSM支援(HSM−backed)サービスを提供することが実際的であるためには、HSMの大きいプールが、単一のリソースとして働くことが可能でなければならない。また、HSMのアクセス制御システムは、最も、クラウドのIAMサービスにさらに統合されなければならない。これは、2つの関連する課題、すなわち、クラウドベースHSMが、時間ベースの認証システムを使用するべきであることと、リソースオーナーが、プール中のどのデバイスがリソースオーナーのサービスを配信するのか確信できないこととを生じる。
したがって、システムの完全性を損なうことなしにクラウドベースHSMを実現可能にするために、HSMは、時間の完全性が保証された時間ベースの認証方式をサポートしなければならない。さらに、リソースオーナーが、プール中の個々のデバイスに対する可視性および/またはデバイスがいつ追加または削除されるかに対する可視性を決して与えられないという事実は、厄介な問題をもたらす。
したがって、当技術分野において、さらなる代替のおよび有利なソリューションが望ましいであろう。
本発明は、一般にクラウド環境において、セキュリティデバイスのセキュアプールの使用に基づいてセキュアサービスを提供することを目的とする。
本発明は、その最も広い意味では、サービスプロバイダによって、セキュアサービスにおける暗号化動作を実行するように構成されたセキュリティデバイスの信頼されたプールを作成するための方法として定義され、本方法は、
サービスプロバイダが、第1のデバイスをサービス内に割り振ることによって、セキュアサービスをセットアップするステップと、第1のセキュリティデバイスのクロックを信用できる時間ソースに設定するステップと、リソースオーナーのセキュリティアプリケーションとセキュアサービスのセキュリティデバイス部分との間の通信を保護するために使用される、少なくともサービスクロックインスタンス値とサービス固有暗号鍵と証明書とを定義する内部セキュアサービスオブジェクトを作成し、前記セキュアサービスオブジェクトが、セキュリティデバイスによって内部で維持され、任意のサービスプロバイダがそれを恣意的に変更するのを防、ステップと、
追加のセキュリティデバイスが必要とされるとき、サービスプロバイダが、ターゲットセキュリティデバイスのクロックを正確な時間値に設定し、セキュアサービスオブジェクトにおいて、プールの2つのデバイス間のドリフトを限定する最大デルタ時間(max−delta−time)と1日当たり最大日次補正(max−daily−correction per day)値とを定義することによって、2つのセキュリティデバイスのクロックが同期していることを保証することを通して、追加のセキュリティデバイスをサービスに追加するステップとを含む。
サービスプロバイダが、第1のデバイスをサービス内に割り振ることによって、セキュアサービスをセットアップするステップと、第1のセキュリティデバイスのクロックを信用できる時間ソースに設定するステップと、リソースオーナーのセキュリティアプリケーションとセキュアサービスのセキュリティデバイス部分との間の通信を保護するために使用される、少なくともサービスクロックインスタンス値とサービス固有暗号鍵と証明書とを定義する内部セキュアサービスオブジェクトを作成し、前記セキュアサービスオブジェクトが、セキュリティデバイスによって内部で維持され、任意のサービスプロバイダがそれを恣意的に変更するのを防、ステップと、
追加のセキュリティデバイスが必要とされるとき、サービスプロバイダが、ターゲットセキュリティデバイスのクロックを正確な時間値に設定し、セキュアサービスオブジェクトにおいて、プールの2つのデバイス間のドリフトを限定する最大デルタ時間(max−delta−time)と1日当たり最大日次補正(max−daily−correction per day)値とを定義することによって、2つのセキュリティデバイスのクロックが同期していることを保証することを通して、追加のセキュリティデバイスをサービスに追加するステップとを含む。
本発明は、サービスプロバイダが、デバイスのプール全体におけるすべてのクロックの精度および完全性にわたる可視性をリソースオーナーに与えながら、クラウドベースセキュアサービスにおいてHSMデバイスおよびそれらのクロックをサービスプロバイダ自体によって管理することを可能にする。ターゲットまたはターゲットにされるデバイスは、セキュアサービスに追加されるべきデバイスである。本発明は、実際に、サービスプロバイダが、デバイス上のクロックを自動様式で設定するが、同時に、それらがプール中のあらゆる他のデバイスと同期するように強制されることを可能にする。本発明は、リソースオーナーが、プール中にセキュリティデバイスを追加することによって新しいリソースを作成したときを含めて、いつでもプール中のすべてクロックの正しさを監査することを可能にする。本発明は、クロックが明確な許容差内で変更されない限り、リソース消費が勝手に進むことを可能にする。本発明は、許容される許容差外にクロックが変更されるかまたは再設定されるときはいつでも、リソースオーナーが、リソース使用を検出し、許容/拒否することを可能にする。本発明は、さらに、破局的な事象が生じた場合、たとえば、プロバイダのリソース世界におけるあらゆるデバイスが、それらのクロックを同時に破損されたとき、リソースオーナーのみが関与するように、人間相互作用の数を最小化する。本発明は、それが、サービスプロバイダがプールのセキュリティデバイスのクロックを管理することを可能にし、同時にそれが、設定された1日当たり最大日次補正を使用して、1日につき許容時間よりも多く恣意的にクロックが変更され得ないことの保証をリソースオーナーに与えるので、独特である。これは、サービスプロバイダが、時間を変更し、古いメッセージを恣意的に再生するのを防ぐ。最大デルタ時間と1日当たり最大日次補正値とを含んでいるセキュアサービスオブジェクトは、各セキュリティデバイスによって内部で維持される。本発明は、したがって、特定のセキュアサービスを実装するためのプールの各セキュリティデバイス中の最大デルタ時間と1日当たり最大日次補正値との存在に基づく。本発明では、クロックは、それらが既存の方法を使用して(NTPのようなものまたは任意のクロック維持方法を使用して)一般にそうするであろうやり方で、技術的に同期される。本発明は、サービスプロバイダが、サービスを作成する間、クロックをサービスプロバイダ自体で監視するが、セキュアサービスが実装されている任意のセキュリティデバイスによる最大変更が許可される、という事実から生じる。本発明は、リソースオーナーが、任意のセキュリティデバイスの真正性(genuineness)を、セキュアサービスを実装するデバイスの正しいプールに属することとして検査することを可能にする。一旦、サービスが作成されると、サービスプロバイダが、セキュリティデバイスに記憶されたセキュアサービスオブジェクトのうちのいずれの内容をも変更する手段を有せず、セキュアサービスオブジェクトが各セキュリティデバイスによって維持されるので、サービスプロバイダは、セキュリティデバイスの同期を変更するやり方を有しない。したがって、セキュアサービスが前もって実装されたセキュリティデバイスにおいて作成および維持された、セキュアサービスオブジェクト中の最大デルタ時間と1日当たり最大日次補正値との存在は、セキュアサービスを使用する任意のリソースオーナーが、セキュアサービスを正当に実装するセキュリティデバイスと関係があることを保証する。本質的特徴は、セキュアサービスを実装する任意のセキュリティデバイスに搭載されたセキュアサービスオブジェクトの存在であり、このセキュアサービスオブジェクトが、少なくとも最大デルタ時間と1日当たり最大日次補正値とを含むことである。
したがって、任意のサービスプロバイダが、セキュリティデバイスにセキュアサービスオブジェクトを作成させることができ、そのセキュアサービスオブジェクトは、次いでこのセキュリティデバイス中で完全に維持され、次いで、セキュアサービスを実装するために他のセキュリティデバイスに潜在的に移される。本発明において定義されたこのセキュアサービスオブジェクトは、さらに実行される同期に対する制御を保つために必要十分である。最大デルタ時間と1日当たり最大日次補正値との使用は、本発明の結果を可能にし、それは、セキュリティデバイスのうちの任意の1つのクロックのドリフトに対する制御である。
本発明では、プライベートサービス固有暗号鍵を有するセキュリティデバイスのみが要求を復号し、署名付き応答を発行することができるように、リソースオーナーのアプリケーションは一般に、最初に、サービス固有通信証明書を取得し、次いで、その要求のすべてを保護するためにその証明書を使用する。
歴史的に、HSMのようなセキュリティデバイスは、認証のためのセキュリティ関連要素として、時間を使用しない。同じく歴史的に、セキュリティ関連動作から、非セキュリティ関連物理および論理デバイス管理の大部分を分離するやり方がないので、HSMのすべての管理が、セキュリティオフィサー役割の制御下のままである。
本発明は、クラウドプロバイダテナントなど、サードパーティ顧客がサービスを信頼することを可能にする様式で、IaaS/PaaSパブリッククラウドプロバイダなど、信頼されていないサービスプロバイダによってデバイスの管理が扱われることを可能にする。本発明は、サードパーティ顧客が、セキュアサービスのセキュリティデバイス部分のうちの1つのクロック値について照会し、同じセキュアサービスのすべての他のセキュリティデバイス部分のクロック値が同期しているという保証を有するための方法を定義する。本発明はまた、消費者が、関与する必要はないが依然としてそれらのサービス/鍵の制御を保持する様式で、プロバイダが、デバイスの追加のコピーを代用して、たとえば、サービスを増大させること、故障したユニットを入れ替えることなどを可能にする。すなわち、消費者は、どのデバイスがそれらのサービスを配信しても、そのクロックが、それらのサービスを作成したのと同じデバイスと同期しているはずであることを確認することができる。
有利な特徴によれば、保護されるセキュアサービスオブジェクトは、セキュアサービスが作成されたときのサービス始動タイムスタンプを含む。
有利には、保護されるセキュアサービスオブジェクトは、ランダムに生成されたクロックインスタンス値を含む。
有利には、保護されるセキュアサービスオブジェクトは、ランダムに生成されたサービス固有暗号鍵と、対応する証明書とをも含む。
サービス固有暗号鍵を有するデバイスのみが、着信要求を復号し、アプリケーションにセキュア応答を発行することができるように、サービス固有暗号鍵および証明書が、リソースオーナーのアプリケーションとセキュリティデバイスとの間の通信を保護するために使用される。
それらの3つの値は、同期しているクロックを有する許可されたデバイスのみが同じ値を有するように、セキュリティデバイス間でセキュアに共有される。このようにして、顧客がクロックインスタンスを信頼するとき、顧客は、そのクロックインスタンスを共有するデバイスのプールを間接的に信頼する。それらの値は、サービスの状態を定義する。
特定の特徴によれば、本方法は、任意の時間において、セキュアサービスの消費者が、サービスのセキュリティデバイス部分の、現在のクロック設定を含むセキュアメッセージを要求するステップを含む。
この実施形態は、プール中のセキュリティデバイスの現在のクロック値の周期的および/または規則的検証を可能にする。
別の特定の特徴によれば、本方法は、任意の時間において、セキュアサービスの消費者が、サービスのセキュリティデバイス部分のクロックインスタンスを含むセキュアメッセージを要求するステップをさらに含む。
これは、プール中のセキュリティデバイスのクロックインスタンスの周期的または規則的検証を補強する。
次いで、リソースオーナーのアプリケーションは、サービスに属する任意のデバイスのクロックインスタンスを信頼し、ファームウェアは、2つのこと、すなわち、サービスのすべてのデバイスが、同じクロックおよびクロックインスタンスを有することと、デバイスが、デバイス上に構成されたクロックインスタンスとは異なるクロックインスタンスを有する要求を拒否することとを確かめる。
2つの最後の特徴を用いて、顧客、リソースオーナーは、有利には、デバイスのクロックの値を正確な外部時間ソースと比較することによって、セキュリティデバイスのクロックインスタンスを信頼することを決定することができる。クロックインスタンス値をさらに検査することによって、セキュリティは補強される。
特定の実装形態によれば、前記方法は、追加のセキュリティデバイスが必要とされるとき、ターゲットにされるセキュリティデバイスからの署名付き加入要求を、セキュアサービスのためにすでにアクティブ化されたセキュリティデバイスにおいて集め、セキュリティデバイスからの署名付き加入要求が、ターゲットにされるセキュリティデバイスのクロックのスナップショットを含む、ステップと、クロックのスナップショットが最大デルタ時間を遵守する場合のみ、ターゲットにされるセキュリティデバイスをセキュアサービスに割り振るステップとを含む。
この実装形態は、新しいセキュリティデバイスを挿入し、一方で、そのクロックとプール中のデバイスのクロックとの同期を保証することを可能にする。
有利には、ターゲットにされるセキュリティデバイスの割振りのステップは、セキュアサービスにすでに割り振られたセキュリティデバイスが、セキュアサービスオブジェクトを含む署名付き回答を、ターゲットにされるセキュリティデバイスに送るステップを含む。
セキュアサービスオブジェクトを送ることは、異なるセキュリティデバイスを同じオブジェクトにバインドすることを可能にする。このオブジェクトがデバイスによって知られていない場合、それはサービス要求を扱うことができないことになる。
さらなる特徴によれば、本方法は、セキュアサービスの暗号化動作が、サービスのセキュリティデバイス部分によって実行されることを要求されるとき、リソースオーナーの要求側セキュリティアプリケーションが、少なくとも、そのセキュアサービスのセキュリティデバイス部分の現在時間とサービスクロックインスタンスとを照会するステップと、セキュリティデバイスのクロックのスナップショットと、その対応するサービスクロックインスタンスとを含む、セキュリティデバイスからの回答を集めるステップと、取得された、セキュリティデバイスのクロックを、正確な時間ソースと比較するステップと、デバイスのクロックが正確な時間ソースに一致する場合、デバイスのクロックインスタンスを信頼するステップと、受信された信頼されたクロックインスタンスを、セキュアサービスに対しての後続の要求中に含めるステップと、デバイスのセキュアサービスオブジェクト上のクロックインスタンスと同じクロックインスタンスを有する要求のみをセキュリティデバイスに受諾させるステップとを含む。
この特徴は、サービスのために実行されるべき任意の機密性の高い動作が、その動作を実行することができるセキュリティデバイスのクロック同期性の前もっての検査に、サブミットされ得ることを保証する。この特徴はまた、リソースオーナーに、適切なクロック設定をもつデバイスのみがセキュアサービスを実行することを許可されるという保証を与える。アプリケーションは、要求をサービスの任意のセキュリティデバイス部分に送り、アプリケーションによって送られたサービスクロックインスタンスが正しい場合のみ、サービス要求を処理するためにセキュリティデバイスに依存する。この特徴を用いて、セキュアサービスに対しての要求は、信頼されたセキュリティデバイスから前もって受信されたサービスクロックインスタンス値を含み、サービスは、このサービスクロックインスタンスが、サービス要求時にこのセキュリティデバイスに記憶されたサービスクロックインスタンスに対応する場合のみ、セキュリティデバイスにおいて実行される。本発明によれば、アプリケーションは、固有のセキュリティデバイスをターゲットにする必要がない。実際、この状況は、リソースオーナーのアプリケーションが、セキュアサービスのどのセキュリティデバイスが要求を扱うことになるか知ることができないので、本発明の根源である。実際、サービスプロバイダのみが、セキュリティデバイスを制御する。
有利な特徴によれば、ポリシーがセキュアサービスオブジェクト中にさらに含まれ、それらのポリシーは、サービスプロバイダからの許可を必要とすることなしに、および/または非アクティブ化され、サービス要求を扱うことができなくなる前に、セキュリティデバイスのクロックがどのくらい変更され得るかを、さらに制御する。
この特徴は、無許可のアプリケーションが、最終顧客に影響を及ぼすであろうそれらのセキュリティデバイスのクロックに対する変更を実行することから、サービスプロバイダを保護する。ポリシーは、実際、デバイスが非アクティブ化される前にデバイスのクロックがどのくらい変更され得るかを制御する。この重要な特徴がなければ、サービスプロバイダは、セキュリティデバイスがプールに加入した後に、セキュリティデバイスのクロックを変更することができるであろう。したがって、ポリシーは、有利には、サービスプロバイダの関与なしにクロックがどのくらい変更され得るかを制御し、同じく、最大日次補正値との関係において、サービスプロバイダが、デバイスを非アクティブ化することなしにクロックをどのくらい更新することができるかを制御する。しきい値は、最大回数または最大オフセットである。
本発明はまた、セキュアサービスにおける暗号化動作を実行するように構成されたセキュリティデバイスのプールに属するように構成されたセキュリティデバイスに関し、
前記セキュリティデバイスが、リソースオーナーおよびそのセキュリティアプリケーションがプールの完全性を検査することを可能にするため、および、セキュアサービスプロバイダがセキュリティデバイスのプールを管理することを可能にするために、時間ベースの認証方式をサポートするファームウェアを有し、
前記ファームウェアは、ターゲットセキュリティデバイスのクロックを正確な時間値に設定することと、プールの2つのデバイス間のドリフトを限定する、最大デルタ時間と1日当たり最大日次補正値とを定義することとを行い、前記ファームウェアが、さらに、任意のセキュリティデバイスからの、このセキュリティデバイスのクロックのスナップショットを含む署名付き加入要求を受信し、処理することと、最大デルタ時間と1日当たり最大日次補正値とを使用して、このセキュリティデバイスのクロックのスナップショットをそれ自体の時間値と比較することとができる。
前記セキュリティデバイスが、リソースオーナーおよびそのセキュリティアプリケーションがプールの完全性を検査することを可能にするため、および、セキュアサービスプロバイダがセキュリティデバイスのプールを管理することを可能にするために、時間ベースの認証方式をサポートするファームウェアを有し、
前記ファームウェアは、ターゲットセキュリティデバイスのクロックを正確な時間値に設定することと、プールの2つのデバイス間のドリフトを限定する、最大デルタ時間と1日当たり最大日次補正値とを定義することとを行い、前記ファームウェアが、さらに、任意のセキュリティデバイスからの、このセキュリティデバイスのクロックのスナップショットを含む署名付き加入要求を受信し、処理することと、最大デルタ時間と1日当たり最大日次補正値とを使用して、このセキュリティデバイスのクロックのスナップショットをそれ自体の時間値と比較することとができる。
そのようなセキュリティデバイスは、本発明によるセキュアサービスを形成するための基本エンティティである。
本発明はまた、本発明によるセキュリティデバイスの信頼されたプールに関し、前記信頼されたプールがセキュアサービスを実装し、信頼されたプールの前記セキュリティデバイスが同じセキュアサービスオブジェクトを共有し、プール中に割り振られた第1のデバイスが、セキュアサービスオブジェクトを作成する責任を負い、プールに加入する他のセキュリティデバイスが、セキュリティデバイス間のセキュアプロトコルの加入要求を使用して、セキュアサービスオブジェクトのコピーを受信し、前記セキュアサービスオブジェクトが、リソースオーナーのセキュリティアプリケーションとサービスの任意のセキュリティデバイス部分との間の通信を保護するために使用される、少なくともサービスクロックインスタンスとサービス固有暗号鍵と証明書とを含んでいる。
本発明では、プライベートサービス固有暗号鍵を有するセキュリティデバイスのみが要求を復号し、署名付き応答を発行することができるように、リソースオーナーのアプリケーションは一般に、最初に、サービス固有通信証明書を取得し、次いで、その要求のすべてを保護するためにその証明書を使用する。
上記および関連する目的を達成するために、1つまたは複数の実施形態は、以下で十分に説明し、特に特許請求の範囲で指摘する特徴を備える。
以下の説明および添付の図面は、いくつかの例示的な態様を詳細に記載し、実施形態の原理が採用され得る様々なやり方のうちのほんのいくつかを示す。図面とともに考慮されるとき、以下の発明を実施するための形態から、他の利点および新規の特徴が明らかになり、開示される実施形態は、すべてのそのような態様およびそれらの均等物を含むことが意図される。
本発明のより完全な理解のために、次に、本発明は添付の図面を参照しながら詳細に説明される。発明を実施するための形態は、本発明の好ましい実施形態として考えられるものを示し、説明する。形態または詳細における様々な修正および変更が、本発明の趣旨から逸脱することなく容易に行われ得ることをもちろん理解されたい。したがって、本発明が、本明細書で図示および説明される厳密な形態および詳細に限定されず、本明細書で開示され、以下の特許請求の範囲で請求される本発明の全体よりも狭いものにも限定されないことが意図される。同じ要素が、異なる図面において同じ参照符号を用いて指定されている。明快のために、本発明の理解に有用である要素およびステップのみが、図面に示され、説明される。
図1は、本発明のコンテキストを示す。セキュアサービスは、サービスプロバイダのサービス管理者ADMによってユーザに提案されることが意図される。このサービスが実装されるために、サービスプロバイダ構内にいる人間である、管理者ADMは、セキュリティデバイスSDをセキュアに動作させる必要がある。本発明は、正確だが非セキュアな時間ソースUTSを使用する。
図2は、本発明によって、サービスがどのように作成されるかを示す。最初に、ステップS1において、セキュアサービスの管理者ADMが、セキュアサービスの形成を開始するためにセキュリティデバイスSD1に接触する。それは、ステップS2において、セキュリティデバイスSD1が、信用できる時間ソースUTSによって提供された時間Tを使用してそのクロックを設定することを必要とする。
サービスプロバイダADMは、したがって、ステップS3において、そのクロックが信用できる時間ソースUTSに設定されると、サービスポリシーPをプッシュすることにより第1のデバイスSD1をセキュアサービス内に割り振ることによって、セキュアサービスをセットアップする。次いで、ステップS4において、サービスはアクティブ化される。
これは、ステップS5におけるセキュアサービスオブジェクトSSOの作成につながる。内部セキュアサービスオブジェクトSSOは、サービスの状態と、有利には、ポリシーとを定義する。これは、サービスプロバイダが、このセキュリティデバイスSD1上のセキュアサービスの作成を生じる。サービスの状態は、有利には、セキュアサービスオブジェクトSSO中のデータ中の、サービスが作成されたときのタイムスタンプと、ランダムに生成されたクロックインスタンス値とサービス固有暗号鍵と証明書とを含む。セキュアサービスオブジェクトSSOポリシーは、最大デルタ時間値MDTと最大日次補正値MDCとを含む。セキュアサービスオブジェクトSSOは、任意のエンティティ、人間またはアプリケーションが恣意的に変更するのを防ぐ様式で、セキュリティデバイスSD1によって内部で維持される。
図3は、セキュリティデバイスSD2をセキュアサービスに追加するプロセスを概略的に示す。サービスプロバイダ管理者ADMは、2つのデバイスのクロックが同期していることを保証するプロセスを通して、追加のセキュリティデバイスSD2をサービスに追加する。この目的で、サービスプロバイダADMは、サービスポリシーにおいて、最大デルタ時間MDTと2つのデバイス間のドリフトを限定する1日当たり最大日次補正MDC値とを、前もって定義する。
次いで、図3に示されるように、最初のステップS10において、追加されるべきセキュリティデバイスSD2が、そのクロックを正確な信頼されていない時間値UTSに設定する。次いで、ステップS11において、セキュリティデバイスSD2は、そのクロックT2のスナップショットを、プロバイダADMによってセキュアサービスに前もって挿入された別のセキュリティデバイスSD1に、署名付き加入要求(REQj(T2))K2中で送る。
並行して、ステップS12において、セキュアサービス内に追加されるべきセキュリティデバイスSD2が、時間ベースカウンタtを開始する。
加入要求(REQj(T2))K2は、限定された経過時間内にセキュリティデバイスSD1において配信されることになる。ステップS13において、追加されるべきセキュリティデバイスSD2の時間T2が、最大デルタ時間MDTよりも大きい量だけ、前もって挿入されたセキュリティデバイスSD1のクロックと異なることが検出された場合、セキュリティデバイスSDA1は、要求を拒否し、要求側セキュリティデバイスに通知するための信号Abが、セキュリティデバイスSD2に送られる。
時間T2が、セキュリティデバイスSD1のクロックと比較して最大デルタ時間MDT内にある場合、セキュリティデバイスSD1は、セキュアサービスオブジェクトSSOとその現在時間T1とを含む署名付き応答ANSj(SSO,T1)K1を作成する。この回答は、ステップS14において、セキュリティデバイスSD2に送られる。
次いで、ステップS15において、追加されるべきセキュリティデバイスSD2は、応答シグネチャと、その時間ベースカウンタtが、管理者ADMによって前もって定義された最大デルタ時間MDTを超えないこととを検証する。
最大デルタ時間MDTを超える場合、したがって、最大時間が満了した場合、加入要求は中止される(Ab)。超えない場合、ステップS16において、セキュリティデバイスSD2は、誤差を最小限に抑えるために、その時間T2を、ソースデバイスのクロックT1にその時間ベースカウンタtの1/2を加えたものに調節し、セキュリティデバイスSD2は、受信されたセキュアサービスオブジェクトSSOを記憶する(ST(SSO))。
ここで、最大デルタ時間MDTは、プロバイダが、サイクルするデバイスを、大きいレートで時間的にそれらを前方にまたは後方にスライドさせようとして、シーケンシングするのを防ぐために、十分に小さくなければならないことに留意されたい。
図4は、本発明により、クロックがどのように維持されるかを概略的に示す。実際、一旦、セキュリティデバイスSDiが、同期しているクロックを伴ってセキュアサービスにおいて動作していると、セキュリティデバイスのファームウェアは、ローカルサービスがそのクロックTiを周期的に、ただし最大日次補正値内でのみ、調節することを可能にする。この値は、クロックTiが、極めて長い期間、たとえば10年にわたって、実時間から数分よりも多くスライドするのを防ぐために設定される。
クロック維持プロセスは、第1のステップS20で開始し、セキュリティデバイスSDiがタイマーtを開始する。このタイマーtは、異常な時間ドリフトが発生しないことを検査するために使用される。次いで、ステップS21において、セキュリティデバイスSDiは、そのクロックTiを正確な信頼されていない時間TソースUTSに更新する(UpD)。次いで、デバイスのファームウェアは、ステップS22において、その日の累積デルタが、ポリシーにおいて定義された最大日次補正MDCを超えるかどうかを検査する。最大日次補正MDCを超える場合、セキュリティデバイスは、セキュアサービスに対して非アクティブ化される(DeAct)。他の場合、ステップS23において、ファームウェアは、セキュリティデバイスSDiのクロックTiを調節し(ADJ)、累積日次デルタDを更新する(UpD)。
図5は、リソースオーナー、一般にセキュリティアプリケーションが、デバイスのプールからのサービスを消費するためのメッセージ交換を概略的に示す。
セキュアサービスを使用する前に、リソースオーナーのセキュリティアプリケーションAppが、サービス固有通信証明書を取得し、さらに、サービスに送られるすべての要求を保護するためにこれらの証明書を使用する。
また、セキュアサービスを使用する前に、リソースオーナーのセキュリティアプリケーションAppが、サービスのセキュリティデバイスSDa部分のサービスクロックおよびポリシー構成を要求する。
実際、本発明では、任意の時間において、リソースオーナーAppが、セキュリティデバイスの現在のクロック設定Taと、有利にはポリシーPaと、有利にはサービスクロックインスタンスSCIaとを含む、セキュアメッセージ(Ta,Pa,SCIa)Kaを要求することによって、サービスのクロックを確認することができる。それはまた、正確な信頼されていない時間ソースUTSから現在時間を要求する。リソースオーナーは、サービス始動タイムスタンプおよびサービスクロックインスタンス値をさらに記憶する。
これらの値は、リソースオーナーAppに、サービスのクロックが実世界に対して正確であることを検証させることができる。また、それは、リソースオーナーAppに、サービスの経過期間(age)とセキュリティポリシーにおいて定義された許容差とが与えられれば、デバイスのプール全体にわたる最大偏差を計算させることができる。サービスによって取得されたクロック値が正確であり、ポリシーがリソースオーナーAppにとって許容できる場合、リソースオーナーAppは、サービスが信頼されると決定し、取得されたサービスクロックインスタンスを、サービスに送られるすべての後続の要求中に含める。
セキュリティデバイスSDaから受信されるメッセージは、デバイス製造業者の鍵によって署名される。
消費プロセスは、ステップS30において、セキュリティアプリケーションAppが、クロックTaとポリシーPaとサービスクロックインスタンスSCIaとに対しての要求REQ(Ta,Pa,SCIa)を任意のアクティブセキュリティデバイスSDaに送るための第1のステップを含む。一方、それは、ステップS31において、正確な信頼されていない時間ソースUTSから時間Tを得る。次いで、ステップS32における、アクティブデバイスSDaのクロックTaを含む、アクティブセキュリティデバイスの署名付き回答(Ta,Pa,SCIa)Kaの受信後に、セキュリティアプリケーションAppは、ステップS33において、アクティブセキュリティデバイスSDaから受信されたクロックTaと比較して、クロック値Tを検査する。時間Tが、許容できる許容差内でセキュリティデバイスSDaの時間Taに一致しない場合、サービス要求は中止される(Ab)。そうではなく、時間TがアクティブデバイスのクロックTaに対応する場合、ステップS34において、サービスクロックインスタンス値SCIaは、信頼されるものとして保存される(ST(SCI))。
次いで、ステップS35において、セキュリティアプリケーションAppが、トランザクションTRANSをサービスにサブミットするとき、このサブミッションは、セキュアサービスのためにアクティブにされるセキュリティデバイスSDaに達する。サブミッションは、前もって記憶されたサービスクロックインスタンス値SCIをセキュアに含む。セキュリティデバイスSDaは、ステップS36において、それ自体のクロックインスタンス値DCIと比較して、サービスクロックインスタンス値SCIを検査する。セキュリティデバイスSDaは、供給されたサービスクロックインスタンスSCIが、アクティブデバイスがそのセキュアサービスオブジェクトSSO中に有するサービスクロックインスタンスSCIaに一致する場合のみ、サービスを実行する。この一致は、ステップS36において検査される。それが当てはまらない場合、手動許可に対しての要求REQ(MA)が、リソースオーナーセキュリティアプリケーションAppに返される。これは、破局的な災害の場合、サービスを復元することを可能にする。実際、たとえそれが発生したとしても、リソースオーナーは、異なるサービスクロックインスタンス値SCIをもつセキュリティデバイスによるサービス上でのリソースオーナーのリソースの使用を、手動で許可することができる。この許可は、リソースを新しいサービスクロックインスタンス値SCIにバインドすることになる。
クロックインスタンスが一致する場合、ステップS37において、トランザクションTRANSは、リソースオーナーのリソースを使用してアクティブセキュリティデバイスSDaによって実行される。次いで、トランザクションの結果RESが、ステップS38において、リソースオーナーセキュリティアプリケーションAppに返される。
図6は、本発明のセキュリティデバイスSDを概略的に示す。このデバイスは、実際、図6上のクラウドによって概略的に表されている信頼されたプールTrPの一部である。この信頼されたプールTrPは、図6上で図示および詳述されるセキュリティデバイスを含む。
このセキュリティデバイスSDは、少なくとも1つのセキュアサービスによって使用されるために暗号化動作を実行することが可能な暗号モジュールCMと、任意の関連する値を記憶するためのメモリMEMとを含む。セキュリティデバイスSDは、時間ベースの認証方式をサポートするファームウェアFWをも含み、セキュアサービスプロバイダが、デバイスの信頼されたプールTrPを管理することを可能にし、リソースオーナーが、デバイスのプールTrPのクロックの完全性を検査すること可能にする。セキュリティデバイスは、クロックCLKをさらに含む。前記ファームウェアFWは、セキュリティデバイスのクロックCLKを正確な時間値に設定し、プールTrPの2つのデバイス間のドリフトを限定する最大デルタ時間値と1日当たり最大日次補正値とを定義する。2つの最新の値が、メモリMEMに記憶される。ファームウェアFWは、さらに、信頼されたプールTrP中の任意の他のセキュリティデバイスから、このセキュリティデバイスのクロックのスナップショットを含む署名付き加入要求を受信および処理し、最大デルタ時間と1日当たり最大日次補正値とを使用して、このセキュリティデバイスのクロックのスナップショットをそれ自体の時間値と比較することが可能である。
上記の発明を実施するための形態において、例として、本発明が実施され得る特定の実施形態を示す添付の図面に対して参照が行われる。これらの実施形態は、当業者が本発明を実施することを可能にするために十分詳細に説明される。したがって、上記の発明を実施するための形態は、限定的な意味でとられるべきでなく、本発明の範囲は、添付の特許請求の範囲によってのみ定義され、特許請求の範囲と題された均等物の全範囲とともに、適切に解釈される。
Claims (13)
- サービスプロバイダ(ADM)によって、セキュアサービスにおける暗号化動作を実行するように構成されたセキュリティデバイス(SDi)の信頼されたプールを作成するための方法であって、
サービスプロバイダ(ADM)が、第1のデバイス(SD1)をサービス内に割り振ることによって、セキュアサービスをセットアップするステップと、第1のセキュリティデバイスのクロックを信用できる時間ソース(UTS)に設定するステップ(S2)と、リソースオーナーのセキュリティアプリケーション(App)とセキュアサービスのセキュリティデバイス(SD)部分との間の通信を保護するために使用される、少なくともサービスクロックインスタンス(SCI)とサービス固有暗号鍵と証明書とを定義する内部セキュアサービスオブジェクト(SSO)を作成し(S5)、前記セキュアサービスオブジェクト(SSO)が、セキュリティデバイス(SD1)によって内部で維持され、任意のサービスプロバイダがそれを恣意的に変更するのを防ぐ、ステップと、
追加のセキュリティデバイス(SDi)が必要とされるとき、サービスプロバイダ(ADM)が、ターゲットセキュリティデバイスのクロックを正確な時間値(UTS)に設定し(S10)、セキュアサービスオブジェクト(SSO)において、プールの2つのデバイス間のドリフトを限定する最大デルタ時間(MDT)と1日当たり最大日次補正(MDC)値とを定義することによって、2つのセキュリティデバイスのクロック(Ti)が同期していることを保証することを通して、追加のセキュリティデバイス(SDi)をサービスに追加するステップと
を含む、方法。 - 保護されるセキュアサービスオブジェクト(SSO)が、セキュアサービスが作成されたときのサービス始動タイムスタンプを含む、請求項1に記載の方法。
- 保護されるセキュアサービスオブジェクトが、ランダムに生成されたクロックインスタンス値を含む、請求項1に記載の方法。
- 保護されるセキュアサービスオブジェクトが、ランダムに生成されたサービス固有暗号鍵と、対応する証明書とをも含む、請求項1に記載の方法。
- 任意の時間において、セキュアサービスの消費者が、サービスのセキュリティデバイス部分の、現在のクロック設定を含むセキュアメッセージを要求するステップをさらに含む、請求項1に記載の方法。
- 任意の時間において、セキュアサービスの消費者が、サービスのセキュリティデバイス部分のクロックインスタンスを含むセキュアメッセージを要求するステップをさらに含む、請求項1に記載の方法。
- 前記方法が、追加のセキュリティデバイス(SD2)が必要とされるとき、ターゲットにされるセキュリティデバイス(SD2)からの署名付き加入要求を、セキュアサービスのためにすでにアクティブ化されたセキュリティデバイス(SD1)において集め(S11)、セキュリティデバイスからの署名付き加入要求が、ターゲットにされるセキュリティデバイスのクロック(T2)のスナップショットを含む、ステップと、クロックのスナップショット(T2)が最大デルタ時間(MDT)を遵守する場合のみ、ターゲットにされるセキュリティデバイス(SD2)をセキュアサービスに割り振るステップとを含む、請求項1から6のいずれか一項に記載の方法。
- ターゲットにされるセキュリティデバイス(SD2)の割振りのステップが、セキュアサービスにすでに割り振られたセキュリティデバイスが、セキュアサービスオブジェクト(SSO)を含む署名付き回答を、ターゲットにされるセキュリティデバイスに送るステップ(S14)を含む、請求項7に記載の方法。
- 前記方法が、セキュアサービスの暗号化動作が、サービスのセキュリティデバイス部分(SDa)によって実行されることを要求されるとき、リソースオーナーの要求側セキュリティアプリケーション(App)が、少なくとも、そのセキュアサービスのセキュリティデバイス部分の、現在時間(Ta)とサービスクロックインスタンス(SCIa)とを照会するステップ(S30)と、セキュリティデバイスのクロック(Ta)のスナップショットと、サービスクロックインスタンス(SCIa)とを含む、セキュリティデバイス(SDa)からの回答を集めるステップ(S32)と、取得された、ターゲットにされるセキュリティデバイスのクロック(Ta)を、正確な時間ソース(T)と比較するステップと、デバイスのクロック(Ta)が正確な時間ソース(T)に一致する場合、デバイスのサービスクロックインスタンス値(SCIa)を信頼するステップと、受信された信頼されたサービスクロックインスタンス値(SCI)を、セキュアサービスに対しての後続の要求中に含めるステップと、セキュリティデバイスのセキュアサービスオブジェクト上のクロックインスタンスと同じクロックインスタンスを有する要求のみを、セキュリティデバイスに受諾させるステップとをさらに含む、請求項1から8のいずれか一項に記載の方法。
- ポリシー(P)がセキュアサービスオブジェクト中にさらに含まれ、それらのポリシーが、さらに、サービスプロバイダ(ADM)からの許可を必要とすることなしに、および/または非アクティブ化され、サービス要求を扱うことができなくなる前に、セキュリティデバイスのクロックがどのくらい変更され得るかを制御する、請求項1から9のいずれか一項に記載の方法。
- セキュアサービスのための暗号化動作を実行するように構成されたセキュリティデバイスの信頼されたプール(TrP)に属するように構成されたセキュリティデバイス(SD)であって、
前記セキュリティデバイス(SD)は、リソースオーナーおよびそのセキュリティアプリケーション(App)が、プール(TrP)の完全性を検査することを可能にするため、および、セキュアサービスプロバイダがセキュリティデバイスのプール(TrP)を管理することを可能にするために、時間ベースの認証方式をサポートするファームウェア(FW)を有し、
前記ファームウェア(FW)が、リソースオーナーのセキュリティアプリケーション(App)とセキュアサービスのセキュリティデバイス(SD)部分との間の通信を保護するために使用される、少なくともサービスクロックインスタンス値とサービス固有暗号鍵と証明書とを定義し、少なくとも内部セキュアサービスオブジェクト(SSO)を記憶し、セキュリティデバイスのクロック(CLK)を正確な時間値に設定し、および、プール(TrP)の2つのセキュリティデバイス間のドリフトを限定する、最大デルタ時間値と1日当たり最大日次補正値とを定義し、
前記ファームウェア(FW)が、さらに、任意のセキュリティデバイス(SD)からの、このセキュリティデバイスのクロックのスナップショットを含む署名付き加入要求を受信し、処理することと、最大デルタ時間と1日当たり最大日次補正値とを使用して、このセキュリティデバイスのクロックのスナップショットをそれ自体の時間値と比較することと、両方の時間値が合った場合、加入要求に同意することができる、
セキュリティデバイス(SD)。 - 前記ファームウェア(FW)が、一旦、加入要求が同意されると、セキュアサービスオブジェクト(SSO)をターゲットにされるセキュリティデバイス(SDi)に送るように構成された、請求項11に記載のセキュリティデバイス(SD)。
- 請求項11および12のいずれか一項に記載のセキュリティデバイス(SD)の信頼されたプール(TrP)であって、前記信頼されたプール(TrP)がセキュアサービスを実装し、信頼されたプール(TrP)の前記セキュリティデバイス(SD)が同じセキュアサービスオブジェクト(SSO)を共有し、信頼されたプール(TrP)中に割り振られた第1のデバイス(SD1)が、セキュアサービスオブジェクト(SSO)を作成する責任を負い、信頼されたプール(TrP)に加入する他のセキュリティデバイス(SDi)が、セキュリティデバイス(SDi)間のセキュアプロトコルの加入要求を使用して、セキュアサービスオブジェクト(SSO)のコピーを受信し、前記セキュアサービスオブジェクト(SSO)が、リソースオーナーのセキュリティアプリケーション(App)とセキュアサービスの任意のセキュリティデバイス(SDi)部分との間の通信を保護するために使用される、少なくともサービスクロックインスタンス(SCI)とサービス固有暗号鍵と証明書とを含んでいる、信頼されたプール(TrP)。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP16202333.7 | 2016-12-06 | ||
| EP16202333.7A EP3333750A1 (en) | 2016-12-06 | 2016-12-06 | Method to create a trusted pool of devices |
| PCT/CA2017/051467 WO2018102917A1 (en) | 2016-12-06 | 2017-12-05 | Method to create a trusted pool of devices |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019537185A true JP2019537185A (ja) | 2019-12-19 |
| JP6912594B2 JP6912594B2 (ja) | 2021-08-04 |
Family
ID=57544223
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019549617A Active JP6912594B2 (ja) | 2016-12-06 | 2017-12-05 | デバイスの信頼されたプールを作成する方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11182463B2 (ja) |
| EP (2) | EP3333750A1 (ja) |
| JP (1) | JP6912594B2 (ja) |
| WO (1) | WO2018102917A1 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109814880B (zh) * | 2019-02-01 | 2022-05-27 | 上海帜讯信息技术股份有限公司 | 应用程序管理方法、装置、管理系统及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080244094A1 (en) * | 2000-12-15 | 2008-10-02 | International Business Machines Corporation | Method and Apparatus for Time Synchronization in a Network Data Processing System |
| US20150134953A1 (en) * | 2013-11-08 | 2015-05-14 | Motorola Solutions, Inc | Method and apparatus for offering cloud-based hsm services |
| JP2016518648A (ja) * | 2013-03-14 | 2016-06-23 | アマゾン テクノロジーズ インコーポレイテッド | サービスとしての装置の提供 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7949032B1 (en) * | 2005-05-16 | 2011-05-24 | Frost Edward G | Methods and apparatus for masking and securing communications transmissions |
| JP5223427B2 (ja) * | 2008-04-09 | 2013-06-26 | 日本電気株式会社 | クロック同期システム |
| CA2725065A1 (en) * | 2008-05-20 | 2009-11-26 | Live Meters, Inc. | Remote monitoring and control system comprising mesh and time synchronization technology |
| FR2944599B1 (fr) * | 2009-04-17 | 2011-08-05 | Michelin Soc Tech | Procede de synchronisation de mesures. |
| US10425411B2 (en) | 2012-04-05 | 2019-09-24 | Arizona Board Of Regents On Behalf Of Arizona State University | Systems and apparatuses for a secure mobile cloud framework for mobile computing and communication |
| CA2879819C (en) * | 2012-06-18 | 2021-04-20 | Ologn Technologies Ag | Systems, methods and apparatuses for secure time management |
| US9686077B2 (en) | 2014-03-06 | 2017-06-20 | Microsoft Technology Licensing, Llc | Secure hardware for cross-device trusted applications |
| US9614682B2 (en) * | 2014-04-11 | 2017-04-04 | Guardtime IP Holdings, Ltd. | System and method for sequential data signatures |
| CN105491656B (zh) * | 2015-10-12 | 2019-08-13 | 山东大学(威海) | 一种面向大规模自组网的轻量级时间同步方法 |
| US10460530B2 (en) * | 2016-01-19 | 2019-10-29 | Conduent Business Services, Llc | Localization of transaction of tags |
| GB2552135A (en) * | 2016-06-29 | 2018-01-17 | Crf Box Oy | Method and apparatus for adjusting event timestamp relating to clinical trial |
-
2016
- 2016-12-06 EP EP16202333.7A patent/EP3333750A1/en not_active Withdrawn
-
2017
- 2017-12-05 US US16/464,286 patent/US11182463B2/en active Active
- 2017-12-05 WO PCT/CA2017/051467 patent/WO2018102917A1/en unknown
- 2017-12-05 JP JP2019549617A patent/JP6912594B2/ja active Active
- 2017-12-05 EP EP17878635.6A patent/EP3552342B1/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080244094A1 (en) * | 2000-12-15 | 2008-10-02 | International Business Machines Corporation | Method and Apparatus for Time Synchronization in a Network Data Processing System |
| JP2016518648A (ja) * | 2013-03-14 | 2016-06-23 | アマゾン テクノロジーズ インコーポレイテッド | サービスとしての装置の提供 |
| US20150134953A1 (en) * | 2013-11-08 | 2015-05-14 | Motorola Solutions, Inc | Method and apparatus for offering cloud-based hsm services |
Also Published As
| Publication number | Publication date |
|---|---|
| US11182463B2 (en) | 2021-11-23 |
| WO2018102917A1 (en) | 2018-06-14 |
| EP3552342A4 (en) | 2020-05-27 |
| JP6912594B2 (ja) | 2021-08-04 |
| EP3552342A1 (en) | 2019-10-16 |
| US20200285728A1 (en) | 2020-09-10 |
| EP3333750A1 (en) | 2018-06-13 |
| EP3552342B1 (en) | 2021-08-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11606352B2 (en) | Time-based one time password (TOTP) for network authentication | |
| USRE48821E1 (en) | Apparatus and methods for protecting network resources | |
| US10678555B2 (en) | Host identity bootstrapping | |
| JP6826290B2 (ja) | 証明書配付システム、証明書配付方法、および証明書配付プログラム | |
| JP6154413B2 (ja) | ルート証明書の無効化 | |
| US8971539B2 (en) | Management of SSL certificate escrow | |
| US7548620B2 (en) | Token provisioning | |
| US8627083B2 (en) | Online secure device provisioning with online device binding using whitelists | |
| US10878080B2 (en) | Credential synchronization management | |
| US20170357784A1 (en) | Method and system for license management | |
| KR20150135032A (ko) | Puf를 이용한 비밀키 업데이트 시스템 및 방법 | |
| KR20190120559A (ko) | 블록체인 기반의 보안 자격증명 배포를 위한 장치 및 방법 | |
| US20160365985A1 (en) | Method and system for recursively embedded certificate renewal and revocation | |
| JP6912594B2 (ja) | デバイスの信頼されたプールを作成する方法 | |
| JP5768543B2 (ja) | 電子署名システム、署名サーバ、署名者クライアント、電子署名方法、およびプログラム | |
| US20220239504A1 (en) | Method and system for verifying secret decryption capability of escrow agents | |
| US9582685B2 (en) | Method to detect cloned software | |
| US20220109577A1 (en) | Method for verifying the state of a distributed ledger and distributed ledger | |
| KR20160026101A (ko) | 비밀키 업데이트 시스템 및 방법 | |
| CN114073038A (zh) | 更新数字证书的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190802 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200930 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20201013 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210112 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210629 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210708 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6912594 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |