JP2021516918A - 認証情報伝送方法、キー管理クライアントおよびコンピュータ装置 - Google Patents
認証情報伝送方法、キー管理クライアントおよびコンピュータ装置 Download PDFInfo
- Publication number
- JP2021516918A JP2021516918A JP2020550824A JP2020550824A JP2021516918A JP 2021516918 A JP2021516918 A JP 2021516918A JP 2020550824 A JP2020550824 A JP 2020550824A JP 2020550824 A JP2020550824 A JP 2020550824A JP 2021516918 A JP2021516918 A JP 2021516918A
- Authority
- JP
- Japan
- Prior art keywords
- key management
- authentication information
- application
- client
- abstraction layer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3231—Biological data, e.g. fingerprint, voice or retina
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Biomedical Technology (AREA)
- Biodiversity & Conservation Biology (AREA)
- Life Sciences & Earth Sciences (AREA)
- Telephonic Communication Services (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Abstract
本発明は、認証情報伝送方法、キー管理クライアントおよびコンピュータ装置に関し、通信の技術分野に属する。この方法は、キー管理クライアントが予め設定されたハードウェア抽象化層インタフェースを介してアプリケーションクライアントから送信された認証情報を受信するステップと、キー管理サービス端末が認証情報を信頼できる実行環境における信頼アプリケーションに送信するように、キー管理クライアントが認証情報をキー管理サービス端末に送信するステップと、キー管理クライアントがキー管理サービス端末から転送された信頼アプリケーションによる署名後の認証情報を取得するステップと、アプリケーションサーバが認証情報に対して正当性を検証するように、キー管理クライアントが署名後の認証情報を予め設定されたハードウェア抽象化層インタフェースを介してアプリケーションクライアントに対応するアプリケーションサーバに送信するステップとを含む。
Description
[関連出願への相互参照]
本発明は、2018年8月16日に提出された出願番号が201810936092.2、発明名称が「認証情報伝送方法、キー管理クライアントおよびコンピュータ装置」である中国特許出願に基づいた優先権を要求し、その全ての内容は参照により本発明に組み込まれる。
本発明は、2018年8月16日に提出された出願番号が201810936092.2、発明名称が「認証情報伝送方法、キー管理クライアントおよびコンピュータ装置」である中国特許出願に基づいた優先権を要求し、その全ての内容は参照により本発明に組み込まれる。
[技術分野]
本発明は、通信の技術分野に関し、特に、認証情報伝送方法、キー管理クライアントおよびコンピュータ装置に関する。
本発明は、通信の技術分野に関し、特に、認証情報伝送方法、キー管理クライアントおよびコンピュータ装置に関する。
従来、ユーザが携帯電話やパソコンなどの端末機器におけるサードパーティーアプリケーションを利用して決済を行ったり、携帯電話やパソコンなどの端末機器におけるプライバシーファイルやアプリケーションを開いたりする際には、セキュリティ認証技術を用いて、顔や指紋などの生体認証情報を検証することにより、ユーザの身分を検証する必要がある。
通常、サードパーティーアプリケーションクライアントは、生体認証情報を対応するアプリケーションサーバに送信して検証を行い、アプリケーションサーバで正当であると検証すると、決済を行う機能、プライバシーファイルやアプリケーションを開く機能などの機能を実現することができる。
本発明の実施例は、認証情報伝送方法、キー管理クライアント、コンピュータ装置、認証情報伝送システムおよびコンピュータ読み取り可能な記憶媒体を提供する。
本発明の実施例の一方面によれば、計算装置により実行される認証情報伝送方法であって、キー管理クライアントが予め設定されたハードウェア抽象化層インタフェースを介してアプリケーションクライアントから送信された認証情報を受信するステップと、キー管理サービス端末が前記認証情報を信頼できる実行環境における信頼アプリケーションに送信するように、前記キー管理クライアントが前記認証情報を前記キー管理サービス端末に送信するステップと、前記キー管理クライアントが前記キー管理サービス端末から転送された前記信頼アプリケーションによる署名後の認証情報を取得するステップと、アプリケーションサーバが前記認証情報に対して正当性を検証するように、前記キー管理クライアントが前記署名後の認証情報を前記予め設定されたハードウェア抽象化層インタフェースを介して前記アプリケーションクライアントに対応するアプリケーションサーバに送信するステップと、を含む認証情報伝送方法を提供する。
本発明の実施例の他方面によれば、アプリケーションクライアントから送信された認証情報を、予め設定されたハードウェア抽象化層インタフェースを介して受信する受信モジュールと、キー管理サービス端末が前記認証情報を信頼できる実行環境における信頼アプリケーションに送信するように、前記認証情報を前記キー管理サービス端末に送信するための第1の送信モジュールと、前記キー管理サービス端末から転送された前記信頼アプリケーションによる署名後の認証情報を取得するための第1の取得モジュールと、アプリケーションサーバが前記認証情報に対して正当性を検証するように、前記署名後の認証情報を前記予め設定されたハードウェア抽象化層インタフェースを介して前記アプリケーションクライアントに対応するアプリケーションサーバに送信するためのもの第2の送信モジュールと、を備えるキー管理クライアントを提供する。
本発明の実施例の別の方面によれば、キー管理クライアントがシステムサービスインタフェースを介してアプリケーションクライアントから送信された認証情報採取要求を受信するステップと、キー管理クライアントが前記認証情報採取要求をハードウェア抽象化層インタフェース指令にカプセル化し、かつ、キー管理サービス端末が前記認証情報採取要求を信頼できる実行環境における信頼アプリケーションに送信するように、前記ハードウェア抽象化層インタフェース指令をハードウェア抽象化層インタフェースを介してキー管理サービス端末に送信するステップと、キー管理クライアントが前記キー管理サービス端末から前記信頼アプリケーションによる署名後の認証情報を含むハードウェア抽象化層の指令結果を受信するステップと、アプリケーションサーバが前記認証情報に対して正当性を検証するように、前記キー管理クライアントが前記ハードウェア抽象化層の指令結果から署名後の認証情報を解析し、署名後の認証情報を前記アプリケーションクライアントに対応するアプリケーションサーバに送信するステップとを含む認証情報伝送方法を提供する。
本発明の実施例のまた別の方面によれば、メモリと、プロセッサと、メモリに記憶されるとともにプロセッサで動作可能なコンピュータプログラムとを備えており、前記プロセッサによって前記コンピュータプログラムを実行する際に、上記の実施例に記載の認証情報伝送方法を実現するコンピュータ装置を提供する。
本発明の実施例のまた別の方面によれば、アプリケーションクライアントと、アプリケーションサーバと、キー管理サービス端末と、信頼アプリケーションと、上記の実施例に記載のキー管理クライアントとを備える認証情報伝送システムを提供する。
本発明の実施例のまた別の方面によれば、コンピュータプログラムが記憶されるコンピュータ読み取り可能な記憶媒体であって、前記コンピュータプログラムがプロセッサによって実行される際に、上記の実施例に記載の認証情報伝送方法を実現するコンピュータ読み取り可能な記憶媒体を提供する。
なお、以上の簡単な説明や後の詳細な記載は、あくまでも例示的や解釈的なものに過ぎなく、本発明を限定するものではない。
ここでの図面は、明細書に組み込まれ、本明細書の一部を構成するものであり、本発明を適用可能な実施例を示し、明細書と共に本発明の原理を解釈するためのものである。
本発明の1つの例示的な実施例に係る認証情報伝送方法を説明するためのフローチャートである。
本発明の別の例示的な実施例に係る認証情報伝送方法を説明するためのフローチャートである。
本発明のまた別の例示的な実施例に係る認証情報伝送方法を説明するためのフローチャートである。
本発明の1つの例示的な実施例に係る認証情報伝送方法のシグナリング交換を示す図である。
本発明の1つの例示的な実施例に係る認証情報伝送方法の応用シーンを示す図である。
本発明の1つの例示的な実施例に係る認証情報伝送方法を説明するためのフローチャートである。
本発明のさらに別の例示的な実施例に係る認証情報伝送方法を説明するためのフローチャートである。
本発明の1つの例示的な実施例に係るキー管理クライアントの構成を示す図である。
本発明の1つの例示的な実施例に係るコンピュータ装置の構成を示す図である。
本発明の別の例示的な実施例に係るコンピュータ装置の構成を示す図である。 以上の図面により、本発明の実施例が明確に示されており、詳細な説明は後述する。これらの図面および文字的説明は何らかの方式により本発明の構想範囲を限定するものではなく、特定の実施例を参照することにより当業者に対して本発明の概念を説明するためのものである。
ここでは、本発明の例示的な実施例を詳細に説明するが、その例示を図面に示している。なお、以下の説明では、特に断らない限り、異なる図面における同じ符号は、同一または類似する要素を示す。以下の例示的な実施例に記載された実施形態は、本発明と一致する全ての実施形態を表すものではない。逆に、特許請求の範囲に詳細に記載されているような、本発明の幾つかの方面に係る装置および方法の一例に過ぎない。
従来、生体認証情報のセキュリティを向上させるために、端末機器の安全領域(Trusted Execution Environment、「TEE」と略称する)における信頼アプリケーション(Trusted Application、「TA」と略称する)がサードパーティーアプリケーションから取得した生体認証情報を署名した後、サードパーティーアプリケーションに対応するアプリケーションサーバが情報の検証を行うようにしている。また、サードパーティーアプリケーションが信頼アプリケーションとデータの交換を行う際に、通常、端末システムにおけるアプリケーションフレームワークインタフェースを介する必要があるので、サードパーティーアプリケーションは、新たに定義した新しいインタフェースが対応するアルゴリズムを実行することができ、ハードウェア抽象化層(Hardware Abstraction Layer、HAL)を呼び出して、さらにTEEにおけるTAにアクセス可能なように、アプリケーションフレームワークインタフェースの機能を定義する必要がある。
通常、端末システムの更新速度が速いため、従来の情報認証方法では、システムにおけるアプリケーションフレームワークの頻繁な更新に伴ってインタフェースの定義を頻繁に行う必要があり、そして、アプリケーションフレームワークにおける開放されている各インタフェースがフラグメント化され、かつ互いに結合されているため、上記のように情報認証を行うためのパスの構築が複雑かつ煩雑となり、コストも高くなってしまう。
本発明の実施例が提供する認証情報伝送方法は、ハードウェア抽象化層にキー管理クライアントおよびキー管理サービス端末を予め定義しておくことによって、情報認証を行う際に、アプリケーションクライアントが予め設定されたハードウェア抽象化層インタフェースを介してキー管理クライアントに認証情報を送信し、さらに、キー管理クライアントが認証情報を受信した後、キー管理サービス端末を介して認証情報を信頼可能な実行環境における信頼アプリケーションに送信することができる。また、信頼アプリケーションが認証情報を署名し、署名後の認証情報をキー管理サービス端末に送信すると、キー管理クライアントは、キー管理サービス端末から転送された信頼アプリケーションによる署名後の認証情報を、予め設定されたハードウェア抽象化層インタフェースを介してアプリケーションクライアントに対応するアプリケーションサーバに送信して、アプリケーションサーバが認証情報に対して正当性を検証することができる。これにより、システムの頻繁な更新に起因して情報認証のパスの構築が複雑かつ煩雑となり、コストも高くなるという課題を回避し、認証情報の伝送時間を低減させ、認証情報の信頼性を向上させることができる。
以下、本発明が提供する認証情報伝送方法、キー管理クライアント、コンピュータ装置、認証情報伝送システムおよびコンピュータ読み取り可能な記憶媒体について、図面を参照しながら詳細に説明する。
まず、図1を参照して、本発明の実施例が提供する認証情報伝送方法について詳細に説明する。
図1は、本発明の1つの例示的な実施例に係る認証情報伝送方法を説明するためのフローチャートである。
図1に示すように、当該認証情報伝送方法は、以下のようなステップを含むことができる。
ステップ101において、キー管理クライアントが予め設定されたハードウェア抽象化層インタフェースを介してアプリケーションクライアントから送信された認証情報を受信する。
また、本発明の実施例が提供する認証情報伝送方法は、本発明の実施例が提供するキー管理クライアントによって実行することができる。ここで、キー管理クライアントは、任意のコンピュータ装置に搭載されていてもよい。具体的には、本実施例のコンピュータ装置は、例えばスマートフォン、PDA、タブレット型コンピュータ、卓上型コンピュータなどのいずれかのデータ処理機能を有するハードウェア装置であってもよい。
また、認証情報は、指紋、パスワード、デジタル証明書などのような、ユーザの身分認証に利用可能な任意の情報であってよい。
アプリケーションクライアントは、端末機器におけるサードパーティーアプリケーションであってもよい。サードパーティーアプリケーションとは、端末機器におけるシステムアプリケーションと異なるアプリケーションであり、例えば、リアルタイム通信アプリケーション、ソーシャルアプリケーション、決済アプリケーション等であってもよい。
なお、ユーザがサードパーティーアプリケーションを利用して決済を行い(例えば、サードパーティーアプリケーションの決済確認画面を開く)、または端末機器におけるプライバシーアプリケーションやファイルを開く必要がある場合には、端末機器に指紋やパスワードなどの認証情報を入力することができる。本発明の実施例では、1つのハードウェア抽象化層インタフェースを予め定義しておくことで、アプリケーションクライアントは、認証情報を取得した後、予め設定されたハードウェア抽象化層インタフェースを介して、認証情報をキー管理クライアントに送信することができる。ハードウェア抽象化層は、オペレーティングシステムのカーネルとハードウェア回路との間に位置するインタフェース層であり、ハードウェアを抽象化させることを目的とする。
なお、アプリケーションクライアントが予め設定されたハードウェア抽象化層インタフェースを介して認証情報をキー管理クライアントに送信するためには、ハードウェア抽象化層インタフェースをアプリケーションクライアントに対して開放する必要がある。従って、本発明の実施例では、ステップ101の前に、キー管理クライアントが予め設定されたハードウェア抽象化層インタフェースの識別子をアプリケーションクライアントに送信するステップをさらに含んでもよい。
ここで、ハードウェア抽象化層インタフェースの識別子は、必要に応じて任意に設定することができる。
具体的には、キー管理クライアントは、予め設定されたハードウェア抽象化層インタフェースの識別子をアプリケーションクライアントに送信した後、予め設定されたハードウェア抽象化層インタフェースの識別子に基づいて、予め設定されたハードウェア抽象化層インタフェースを認識し、かつ予め設定されたハードウェア抽象化層インタフェースを介してアプリケーションクライアントから送信された認証情報を受信することができる。
ステップ102において、キー管理サービス端末が認証情報を信頼できる実行環境における信頼アプリケーションに送信するように、キー管理クライアントが認証情報をキー管理サービス端末に送信する。
ステップ103において、キー管理クライアントがキー管理サービス端末から転送された信頼アプリケーションによる署名後の認証情報を取得する。
なお、端末機器には、通常、安全領域、すなわち本発明の実施例における信頼できる実行環境が設定されており、この領域は、1つの信頼される環境であり、その内部に記憶や処理されるデータが外部環境と独立していることを保証することができる。端末機器における機密性、安全性または信頼性に対する要求が高い特別なアプリケーションは、いずれもこの環境で動作することができる。
本発明の実施例では、信頼アプリケーションは、信頼できる実行環境(TEE)で動作するアプリケーション(TA)である。信頼アプリケーションは、認証情報を署名することにより、認証情報が他のアプリケーションにより改ざんされにくくなり、認証情報の伝送時の安全性や信頼性を確保することができる。
具体的には、キー管理クライアントは、アプリケーションクライアントから送信された認証情報を受信した後、キー管理サービス端末が認証情報を信頼できる実行環境における信頼アプリケーションに送信するように、認証情報をキー管理サービス端末に送信する。信頼アプリケーションは、受信した認証情報を署名した後、署名後の認証情報をキー管理サービス端末に送信することにより、キー管理クライアントがキー管理サービス端末から転送された信頼アプリケーションによる署名後の認証情報を取得することができる。
なお、本発明の実施例では、キー管理クライアントとキー管理サービス端末との通信を実現するためには、キー管理クライアントとキー管理サービス端末との間にリンクパスが存在している必要がある。すなわち、ステップ102の前に、キー管理クライアントとキー管理サービス端末がハードウェア抽象化層にリンクパスを構築するステップをさらに含んでもよい。
具体的には、ハードウェア抽象化層におけるキー管理クライアントとキー管理サービス端末とのリンクパスを予め構築しておくことができる。また、リンクパスは、一旦構築すると永久的に存在するので、リンクパスを介してキー管理クライアントとキー管理サービス端末との間の通信を実現することができる。
ステップ104において、アプリケーションサーバが認証情報に対して正当性を検証するように、キー管理クライアントが署名後の認証情報を予め設定されたハードウェア抽象化層インタフェースを介してアプリケーションクライアントに対応するアプリケーションサーバに送信する。
具体的には、キー管理クライアントは、キー管理サービス端末から転送された信頼アプリケーションによる署名後の認証情報を受信すると、予め設定されたハードウェア抽象化層インタフェースを介して署名後の認証情報をアプリケーションクライアントに対応するアプリケーションサーバに送信して、アプリケーションサーバが認証情報に対して正当性を検証することができる。
なお、本発明の実施例では、アプリケーションクライアントおよびアプリケーションクライアントに対応するアプリケーションサーバは、予め定義されたハードウェア抽象化層インタフェースを介してキー管理クライアントと通信可能であり、キー管理クライアントは、ハードウェア抽象化層に構築されたリンクパスを介してキー管理サービス端末と通信可能であり、キー管理サービス端末は、信頼できる実行環境(TEE)における信頼アプリケーション(TA)と通信可能である。これにより、キー管理クライアントは、アプリケーションクライアントから送信された認証情報を受信した後、認証情報をキー管理サービス端末を介して信頼アプリケーションTAに送信して、信頼アプリケーションTAによるアプリケーションクライアントから送信された認証情報への署名を実現することができる。信頼アプリケーションTAが認証情報を署名した後、キー管理サービス端末およびキー管理クライアントによって署名後の認証情報をアプリケーションクライアントに対応するアプリケーションサーバに送信して、アプリケーションサーバが信頼アプリケーションTAによる署名後の認証情報に対して正当性の検証を行うことにより、認証情報に対する認証を実現することができる。
また、システムの更新は、通常ハードウェア抽象化層に関わらないので、直接ハードウェア抽象化層にキー管理クライアントとキー管理サービス端末を定義して、サードパーティーアプリケーションの認証情報の伝送にパスを提供することにより、システムの頻繁な更新に起因して情報認証のパスの構築が複雑かつ煩雑となり、およびコストが高くなるという課題を回避することができる。また、認証情報は、アプリケーションフレームワークにおけるインターフェイスを経由して転送する必要がなく、アプリケーションクライアントからハードウェア抽象化層インタフェースを介してキー管理クライアントに直接送信されるため、認証情報の伝送時間が短縮され、認証情報が改ざんされる可能性が低減され、認証情報の信頼性が向上される。
また、本発明の実施例が提供する認証情報伝送方法では、キー管理クライアントは、予め設定されたハードウェア抽象化層インタフェースを介してアプリケーションクライアントから送信された認証情報を受信した後、認証情報をキー管理サービス端末に送信して、キー管理サービス端末が認証情報を信頼できる実行環境における信頼アプリケーションに送信し、その後、キー管理クライアントは、キー管理サービス端末から転送されてきた信頼アプリケーションによる署名後の認証情報を取得し、最後に、署名後の認証情報を予め設定されたハードウェア抽象化層インタフェースを介してアプリケーションクライアントに対応するアプリケーションサーバに送信して、アプリケーションサーバが認証情報に対して正当性を検証するようになっている。これにより、ハードウェア抽象化層にキー管理クライアントとキー管理サービス端末を直接定義して、サードパーティーアプリケーションの認証情報の伝送にパスを提供することにより、システムの頻繁な更新に起因して情報認証のパスの構築が複雑かつ煩雑となり、およびコストが高くなるという課題を回避することができる。また、認証情報は、アプリケーションフレームワークにおけるインターフェイスを経由して転送する必要がなく、アプリケーションクライアントからハードウェア抽象化層インタフェースを介してキー管理クライアントに直接送信されるため、認証情報の伝送時間が短縮され、認証情報が改ざんされる可能性が低減され、認証情報の信頼性が向上される。
上記の解析から明らかなように、キー管理クライアントが予め設定されたハードウェア抽象化層インタフェースを介してアプリケーションクライアントから送信された認証情報を受信して、認証情報をキー管理サービス端末に送信した後、キー管理サービス端末は、認証情報を信頼できる実行環境における信頼アプリケーションに送信して署名を行い、信頼アプリケーションが認証情報に対して署名した後、署名後の認証情報をキー管理クライアントに転送することにより、キー管理クライアントは、予め設定されたハードウェア抽象化層インタフェースを介して、署名後の認証情報をアプリケーションクライアントに対応するアプリケーションサーバに送信して、アプリケーションサーバが認証情報に対して正当性を検証することができる。1つの可能な実施形態では、アプリケーションサーバは、さらに、信頼アプリケーションによる署名後の認証情報を取得した後、認証情報を取得して、認証情報に対して正当性を検証するために、署名後の認証情報に対して署名検証を行う必要がある。以下、図2を参照して、上記の事情について、本発明の認証情報伝送方法についてさらに説明する。
図2は、本発明の別の例示的な実施例に係る認証情報伝送方法を説明するためのフローチャートである。
図2に示すように、認証情報伝送方法は、以下のステップを含むことができる。
ステップ201において、キー管理クライアントが予め設定されたハードウェア抽象化層インタフェースの識別子をアプリケーションクライアントに送信する。
ステップ202において、キー管理クライアントが予め設定されたハードウェア抽象化層インタフェースを介してアプリケーションクライアントから送信された認証情報を受信する。
ステップ203において、キー管理クライアントとキー管理サービス端末とがハードウェア抽象化層にリンクパスを構築する。
なお、ステップ203は、ステップ202の後に実行されてもよいし、ステップ202の前に実行されてもよいし、ステップ202と同時に実行されてもよく、ステップ204の前に実行されればよく、本発明はこれを制限するものではない。
ステップ204において、キー管理サービス端末が認証情報を信頼できる実行環境における信頼アプリケーションに送信するように、キー管理クライアントがハードウェア抽象化層のリンクパスを介してキー管理サービス端末に認証情報を送信する。
ステップ205において、キー管理クライアントがキー管理サービス端末から転送された信頼アプリケーションによる署名後の認証情報を取得する。
なお、上記ステップ201〜ステップ205の具体的な実現過程および原理は、上記実施例に関する説明を参照することができるので、ここでは説明を省略する。
ステップ206において、キー管理クライアントがキー管理サービス端末から送信されたアプリケーションサーバの署名キー値を取得する。ここで、署名キー値は、信頼アプリケーションにより生成されるものである。
なお、キー管理クライアントは、キー管理サービス端末から転送された信頼アプリケーションによる署名後の認証情報を取得すると同時に、アプリケーションサーバの署名キー値を取得してもよい。
ステップ207において、キー管理クライアントが予め設定されたハードウェア抽象化層インタフェースを介して署名キー値をアプリケーションサーバに送信する。
ステップ208において、アプリケーションサーバが認証情報に対して正当性を検証するように、キー管理クライアントが署名後の認証情報を予め設定されたハードウェア抽象化層インタフェースを介してアプリケーションクライアントに対応するアプリケーションサーバに送信する。
なお、アプリケーションサーバが予め設定されたハードウェア抽象化層インタフェースを介して取得したのは、信頼アプリケーションによる署名後の認証情報であるので、認証情報に対して正当性を検証するために、アプリケーションサーバは、取得した署名後の認証情報に対して署名検証を行って認証情報を得る必要がある。そこで、本発明の実施例では、信頼アプリケーションは、まずアプリケーションサーバの署名キー値を生成し、かつアプリケーションサーバの署名キー値をキー管理サービス端末に送信することにより、キー管理クライアントは、キー管理サービス端末からアプリケーションサーバの署名キー値を取得して、取得した署名キー値に基づいて取得した署名後の認証情報に対して署名検証を行って認証情報を得られるように、署名キー値を予め設定されたハードウェア抽象化層インタフェースを介してアプリケーションサーバに送信することができる。
具体的には、アプリケーションサーバが取得した信頼アプリケーションが生成した署名キー値が取得した署名後の認証情報に対応する署名と一致すると、取得した署名後の認証情報に対する署名検証が完了し、認証情報を得ることができ、さらに、アプリケーションサーバが認証情報に対して正当性を検証することができる。
なお、ステップ206〜207は、ステップ205の後に実行されてもよいし、ステップ205の前に実行されてもよいし、ステップ205と同時に実行されてもよく、アプリケーションサーバが認証情報に対して正当性を検証する前に実行されればよく、本発明はこれを制限するものではない。
また、キー管理クライアントは、信頼アプリケーションが生成したアプリケーションサーバの署名キー値を、予め設定されたハードウェア抽象化層インタフェースを介してアプリケーションサーバに送信することにより、アプリケーションサーバは、キー管理クライアントから送信された信頼アプリケーションによる署名後の認証情報を取得した後、取得した署名キー値に基づいて認証情報を得られ、さらに認証情報に対して正当性を検証することができる。
また、本発明の実施例が提供する認証情報伝送方法では、キー管理クライアントは、予め設定されたハードウェア抽象化層インタフェースの識別子をアプリケーションクライアントに送信し、かつ予め設定されたハードウェア抽象化層インタフェースを介してアプリケーションクライアントから送信された認証情報を受信した後、先ず、キー管理サービス端末が認証情報を信頼できる実行環境における信頼アプリケーションに送信するように、認証情報をハードウェア抽象化層に予め構築されたリンクパスを介してキー管理サービス端末に送信し、その後、キー管理サービス端末から転送された信頼アプリケーションによる署名後の認証情報を取得し、かつキー管理サービス端末から取得したアプリケーションサーバの署名キー値を予め設定されたハードウェア抽象化層インタフェースを介してアプリケーションサーバに送信した後、アプリケーションサーバが認証情報に対して正当性を検証できるように、予め設定されたハードウェア抽象化層インタフェースを介して署名後の認証情報をアプリケーションクライアントに対応するアプリケーションサーバに送信することができる。これにより、システムの頻繁な更新に起因して情報認証のパスの構築が複雑かつ煩雑となり、およびコストが高くなるという課題が回避され、認証情報の伝送時間が低減され、認証情報の信頼性が向上される。
上記の解析から明らかなように、キー管理クライアントが予め設定されたハードウェア抽象化層インタフェースを介してアプリケーションクライアントから送信された認証情報を受信し、かつ認証情報をキー管理サービス端末に送信した後、キー管理サービス端末は、認証情報を信頼できる実行環境における信頼アプリケーションに送信して署名を行い、かつ信頼アプリケーションが認証情報に対して署名した後、署名後の認証情報をキー管理クライアントに転送することにより、キー管理クライアントは、アプリケーションサーバが認証情報に対して正当性を検証できるように、予め設定されたハードウェア抽象化層インタフェースを介して署名後の認証情報をアプリケーションクライアントに対応するアプリケーションサーバに送信する。また、実際の応用では、情報認証を行う必要があるアプリケーションクライアントが複数存在する可能性があるので、キー管理クライアントは、複数のアプリケーションクライアントから送信された認証情報を取得する可能性がある。以下、図3を参照して、上記の事情について、本発明の認証情報伝送方法についてさらに説明する。
図3は、本発明のまた別の例示的な実施例に係る認証情報伝送方法を説明するためのフローチャートである。
図3に示すように、当該認証情報伝送方法は、以下のステップを含むことができる。
ステップ301において、キー管理クライアントが予め設定されたハードウェア抽象化層インタフェースの識別子をアプリケーションクライアントに送信する。
ステップ302において、キー管理クライアントが、予め設定されたハードウェア抽象化層インタフェースを介して、アプリケーションクライアントから送信された認証情報、および認証情報に対応するアプリケーションクライアントの識別子を受信する。
ステップ303において、キー管理クライアントとキー管理サービス端末とがハードウェア抽象化層にリンクパスを構築する。
ステップ304において、キー管理サービス端末が認証情報を信頼できる実行環境における信頼アプリケーションに送信するように、キー管理クライアントが認証情報をキー管理サービス端末に送信する。
ステップ305において、キー管理クライアントがキー管理サービス端末から転送された信頼アプリケーションによる署名後の認証情報を取得する。
なお、ステップ301〜ステップ305の具体的な実現過程および原理は、上記実施例に関する説明を参照することができるので、ここでは説明を省略する。
ステップ306において、キー管理クライアントが、アプリケーションクライアントの識別子に基づいて、アプリケーションクライアントに対応するターゲットアプリケーションサーバを確定する。
なお、ステップ306は、ステップ305の後に実行されてもよいし、ステップ305の前に実行されてもよいし、ステップ305と同時に実行されてもよく、ステップ307の前に実行されればよく、ここでは制限されない。
ステップ307において、ターゲットアプリケーションサーバが認証情報に対して正当性を検証するように、キー管理クライアントが予め設定されたハードウェア抽象化層インタフェースを介して署名後の認証情報をターゲットアプリケーションサーバに送信する。
具体的には、アプリケーションクライアントは、予め設定されたハードウェア抽象化層インタフェースを介してキー管理クライアントに認証情報を送信すると同時に、認証情報に対応するアプリケーションクライアントの識別子をキー管理クライアントに送信することができる。これにより、キー管理クライアントは、キー管理サービス端末を介して信頼アプリケーションに認証情報を送信すると同時に、認証情報に対応するアプリケーションクライアントの識別子を信頼アプリケーションに送信することができる。また、信頼アプリケーションは、認証情報を署名した後、署名後の認証情報を認証情報に対応するアプリケーションクライアントの識別子と共にキー管理サービス端末に送信することができる。これにより、キー管理クライアントは、キー管理サービス端末から転送された信頼アプリケーションによる署名後の認証情報、および認証情報に対応するアプリケーションクライアントの識別子を取得した後、アプリケーションクライアントの識別子に基づいてアプリケーションクライアントに対応するターゲットアプリケーションサーバを確定し、かつ、ターゲットアプリケーションサーバが認証情報に対して正当性を検証するように、予め設定されたハードウェア抽象化層インタフェースを介して署名後の認証情報をターゲットアプリケーションサーバに送信することができる。
例えば、キー管理クライアントが予め設定されたハードウェア抽象化層インタフェースの識別子をアプリケーションクライアントAおよびアプリケーションクライアントBに送信した後、アプリケーションクライアントAは、予め設定されたハードウェア抽象化層インタフェースを介してキー管理クライアントに認証情報aを送信するとともに、アプリケーションクライアントAの識別子「A」を送信し、アプリケーションクライアントBは、予め設定されたハードウェア抽象化層インタフェースを介してキー管理クライアントに認証情報bを送信するとともに、アプリケーションクライアントBの識別子「B」を送信する。
すると、キー管理クライアントは、認証情報aおよび対応する識別子「A」、認証情報bおよび対応する識別子「B」を受信した後、認証情報aおよび対応する識別子「A」、認証情報bおよび対応する識別子「B」をキー管理サービス端末に送信して、キー管理サービス端末が認証情報aおよび対応する識別子「A」、認証情報bおよび対応する識別子「B」を信頼できる実行環境における信頼アプリケーションに送信することにより、信頼アプリケーションが認証情報aおよび認証情報bのそれぞれを署名することができる。
また、信頼アプリケーションは、認証情報aおよび認証情報bのそれぞれを署名した後、認証情報aが署名された認証情報a′および対応する識別子「A」、認証情報bが署名された認証情報b′および対応する識別子「B」をキー管理サービス端末に送信することにより、キー管理クライアントは、キー管理サービス端末から転送された認証情報a′および対応する識別子「A」、認証情報b′および対応する識別子「B」を取得し、かつ識別子「A」および「B」のそれぞれに基づいてアプリケーションクライアントAおよびBのそれぞれに対応するターゲットアプリケーションサーバを確定して、アプリケーションクライアントAに対応するターゲットアプリケーションサーバが認証情報aに対して正当性を検証し、アプリケーションクライアントBに対応するターゲットアプリケーションサーバが認証情報bに対して正当性を検証するように、署名後の認証情報a′をアプリケーションクライアントAに対応するターゲットアプリケーションサーバに送信し、署名後の認証情報b′をアプリケーションクライアントBに対応するターゲットアプリケーションサーバに送信することができる。
本発明の実施例が提供する認証情報伝送方法では、キー管理クライアントは、予め設定されたハードウェア抽象化層インタフェースの識別子をアプリケーションクライアントに送信し、かつ予め設定されたハードウェア抽象化層インタフェースを介してアプリケーションクライアントから送信された認証情報を受信した後、まずは、キー管理サービス端末が認証情報を信頼できる実行環境における信頼アプリケーションに送信するように、認証情報をハードウェア抽象化層に予め構築されたリンクパスを介してキー管理サービス端末に送信し、その後、キー管理サービス端末から転送された信頼アプリケーションによる署名後の認証情報を取得し、かつ、アプリケーションクライアントの識別子に基づいてアプリケーションクライアントに対応するターゲットアプリケーションサーバを確定した後、ターゲットアプリケーションサーバが認証情報に対して正当性を検証するように、予め設定されたハードウェア抽象化層インタフェースを介して署名後の認証情報をターゲットアプリケーションサーバに送信することができる。これにより、システムの頻繁な更新に起因して情報認証のパスの構築が複雑かつ煩雑となり、およびコストが高くなるという課題が回避され、認証情報の伝送時間が低減され、認証情報の信頼性が向上される。そして、キー管理クライアントがアプリケーションクライアントの識別子に基づいてアプリケーションクライアントに対応するターゲットアプリケーションサーバを確定し、さらに、ターゲットアプリケーションサーバが認証情報に対して正当性を検証するように署名後の認証情報をターゲットアプリケーションサーバに送信することにより、複数のターゲットクライアントから送信された認証情報に対して同時に情報認証を行うことができ、情報認証の効率が向上される。
以下、図4に示す認証情報伝送方法のシグナリング交換図を参照して、本発明の実施例が提供する認証情報伝送方法をさらに説明する。
図4は、本発明の1つの例示的な実施例に係る認証情報伝送方法のシグナリング交換を示す図である。
図4に示すように、この認証情報伝送方法は、アプリケーションクライアントM、アプリケーションクライアントMに対応するアプリケーションサーバN、キー管理クライアントP、キー管理サービス端末S、および信頼できる実行環境における信頼アプリケーションTAによって実行される。
ステップ401において、キー管理クライアントPが予め設定されたハードウェア抽象化層インタフェースの識別子をアプリケーションクライアントMに送信する。
ステップ402において、キー管理クライアントPが予め設定されたハードウェア抽象化層インタフェースを介して、アプリケーションクライアントMから送信された認証情報を受信する。
ステップ403において、キー管理クライアントPが認証情報をキー管理サービス端末Sに送信する。
ステップ404において、キー管理サービス端末Sが認証情報を信頼できる実行環境における信頼アプリケーションTAに送信する。
ステップ405において、信頼アプリケーションTAが認証情報に対して署名する。
ステップ406において、信頼アプリケーションTAが署名後の認証情報をキー管理サービス端末Sに送信する。
ステップ407において、キー管理サービス端末Sが署名後の認証情報をキー管理クライアントPに転送する。
ステップ408において、アプリケーションサーバNが認証情報に対して正当性を検証するように、キー管理クライアントPが予め設定されたハードウェア抽象化層インタフェースを介して署名後の認証情報をアプリケーションサーバNに送信する。
以上の過程により、アプリケーションクライアントMから送信された認証情報を、信頼できる実行環境における信頼アプリケーションTAに送信して署名し、かつ信頼アプリケーションTAが認証情報に対して署名した後、アプリケーションサーバNが認証情報に対して正当性を検証するように、署名後の認証情報をアプリケーションクライアントMに対応するアプリケーションサーバNに送信することにより、システムの頻繁な更新に起因して情報認証のパスの構築が複雑かつ煩雑となり、およびコストが高くなるという課題を回避し、認証情報の伝送時間を低減し、認証情報の信頼性を向上させることができる。
また、上記実施例が提供する認証情報伝送方法は、指紋決済、公式アカウント/ミニプログラムの指紋認証インタフェースなどの各シーンに適用することができる。以下、指紋決済シーンを例として、本発明の実施例が提供する認証情報伝送方法について説明する。
図5は、本発明の1つの例示的な実施例に係る認証情報伝送方法の応用シーンを示す図である。
図5に示すように、アプリケーションクライアントMが指紋決済機能を用いて決済を行い、アプリケーションクライアントMがアプリケーションサーバNに対応すると仮定すると、ユーザが端末機器の指紋採取装置を介して端末機器に指紋を入力した後(ステップ1)、アプリケーションクライアントMは、取得した指紋を予め定義されたハードウェア抽象化層を介してキー管理クライアントPに送信し(ステップ2−3)、その後、キー管理クライアントPは、予め構築したリンクパスを介して指紋をキー管理サービス端末Sに送信し(ステップ4)、さらに、キー管理サービス端末Sは、指紋を信頼できる実行環境における信頼アプリケーションTAに送信する(ステップ5)。
そして、信頼アプリケーションTAは、取得した指紋に対して署名した後(ステップ6)、署名後の指紋をキー管理サービス端末Sに送信し(ステップ7)、そして、キー管理サービス端末Sは、予め構築されたリンクパスを介して署名後の指紋をキー管理クライアントPに転送し(ステップ8)、さらに、キー管理クライアントPは、予め設定されたハードウェア抽象化層インタフェースを介して署名後の指紋をアプリケーションサーバNに送信する(ステップ9)。そして、アプリケーションサーバNは、署名後の指紋を取得した後、署名後の指紋に対して署名検証を行い、そして、署名検証後に得られた指紋に対して正当性の検証を行うことができる(ステップ10)。アプリケーションサーバNによって指紋が正当であると判断すると、決済が完了する。
図6Aは、本発明の1つの例示的な実施例に係る認証情報伝送方法を説明するためのフローチャートである。
当該認証情報伝送方法は、図6Aに示すように、以下のステップを含むことができる。
ステップ601において、キー管理クライアントがシステムサービスインタフェースを介してアプリケーションクライアントから送信された認証情報採取要求を受信する。
本発明の実施例によれば、前記キー管理クライアントは、端末機器のオペレーティングシステムに設けられた1つのシステムサービスであってもよい。前記キー管理クライアントは、前記システムサービスインタフェースを備える。前記アプリケーションクライアントは、前記キー管理クライアントのシステムサービスインタフェースを呼び出して認証情報採取要求を発出することができる。
本発明の実施例によれば、前記キー管理クライアントは、端末機器のオペレーティングシステムに設けられた1つのシステムサービスであってもよい。前記キー管理クライアントは、前記システムサービスインタフェースを備える。前記アプリケーションクライアントは、前記キー管理クライアントのシステムサービスインタフェースを呼び出して認証情報採取要求を発出することができる。
前記キー管理クライアントと前記アプリケーションクライアントとの間には、前記システムサービスインタフェースを介してシステムサービスリンクパスが予め構築される。前記システムサービスインタフェースは、システムインタフェース定義言語で定義されるものであって、アプリケーションクライアントとキー管理クライアントとの間で、プロセス間通信(Inter-process Communication、IPC)にて通信するためのインタフェースであってもよい。前記システムインタフェース定義言語は、例えばAndroidインタフェース定義言語(AIDL)であり、前記システムサービスインタフェースは、例えばAIDLインタフェースである。
ここで、前記認証情報採取要求は、例えば指紋採取要求であってもよい。前記認証情報採取要求は、前記アプリケーションクライアントの識別子を含むことができる。
ステップ602において、キー管理クライアントが前記認証情報採取要求をハードウェア抽象化層インタフェース指令にカプセル化して、前記ハードウェア抽象化層インタフェース指令をハードウェア抽象化層インタフェースを介してキー管理サービス端末に送信する。
本発明の実施例によれば、前記キー管理サービス端末は、前記ハードウェア抽象化層インタフェースを備え、前記キー管理クライアントは、前記キー管理サービス端末のハードウェア抽象化層インタフェースを呼び出して、前記ハードウェア抽象化層インタフェース指令を前記キー管理サービス端末に送信することができる。前記キー管理サービス端末は、例えば端末機器の安全領域内に設置される。
前記キー管理クライアントと前記キー管理サービス端末との間には、前記ハードウェア抽象化層インタフェースを介してハードウェア抽象化層のリンクパスが予め構築されている。前記ハードウェア抽象化層インタフェースは、例えばハードウェア抽象化層インタフェース定義言語(HIDL)により定義されたインタフェースである。
ステップ603において、キー管理サービス端末が受信したハードウェア抽象化層インタフェース指令から前記認証情報採取要求を解析して信頼アプリケーションに送信する。
本発明の実施例によれば、前記キー管理サービス端末は、パス・スルー(Pass-through)の方式により前記認証情報採取要求を信頼アプリケーションに送信する。
ステップ604において、信頼アプリケーションが前記認証情報採取要求に応じて、認証情報採取装置を呼び出して認証情報を採取し、かつ採取した認証情報に対して署名する。
ここで、前記認証情報採取装置は、例えば端末機器における指紋採取装置である。前記署名後の認証情報は、前記アプリケーションクライアントの識別子を含むことができる。前記署名後の認証情報は、署名キー値をさらに有してもよい。
ステップ605において、信頼アプリケーションが前記署名後の認証情報を前記キー管理サービス端末に送信する。
ステップ606において、前記キー管理サービス端末が前記署名後の認証情報をハードウェア抽象化層の指令結果にカプセル化して、前記ハードウェア抽象化層の指令結果を前記ハードウェア抽象化層インタフェースを介してキー管理クライアントに送信する。
ステップ607において、前記キー管理クライアントが前記ハードウェア抽象化層の指令結果から前記署名後の認証情報を解析し、かつ、前記アプリケーションサーバが前記認証情報に対して正当性を検証するように、署名後の認証情報を前記アプリケーションクライアントに対応するアプリケーションサーバに送信する。
具体的には、前記キー管理クライアントは、前記署名後の認証情報に含まれるアプリケーションクライアントの識別子に基づいて、アプリケーションクライアントに対応するアプリケーションサーバを確定して、署名後の認証情報を対応するアプリケーションサーバに送信することができる。
本発明の実施例に係る認証情報伝送方法によれば、システムの頻繁な更新に起因して情報認証のパスの構築が複雑かつ煩雑となり、およびコストが高くなるという課題を回避し、認証情報の伝送時間を低減させ、認証情報の信頼性を向上させることができる。
図6Bは、本発明のさらに別の例示的な実施例に係る認証情報伝送方法を説明するためのフローチャートである。このフローは、キー管理クライアントの認証情報伝送方法である。当該方法は、図6Bに示すように、以下のステップを含むことができる。
ステップ610において、キー管理クライアントがシステムサービスインタフェースを介してアプリケーションクライアントから送信された認証情報採取要求を受信する。
ステップ611において、キー管理クライアントが前記認証情報採取要求をハードウェア抽象化層インタフェース指令にカプセル化し、かつ、前記キー管理サービス端末が前記認証情報採取要求を信頼できる実行環境における信頼アプリケーションに送信させるように、前記ハードウェア抽象化層インタフェース指令をハードウェア抽象化層インタフェースを介してキー管理サービス端末に送信する。
ステップ612において、キー管理クライアントが前記キー管理サービス端末からハードウェア抽象化層の指令結果を受信する。ここで、前記ハードウェア抽象化層の指令結果には、前記信頼アプリケーションによる署名後の認証情報が含まれる。
ステップ613において、前記キー管理クライアントが前記ハードウェア抽象化層の指令結果から署名後の認証情報を解析し、かつ、前記アプリケーションサーバが前記認証情報に対して正当性を検証するように、署名後の認証情報を前記アプリケーションクライアントに対応するアプリケーションサーバに送信する。
図6Bにおける各ステップは、図6Aにおける対応するステップの具体的な説明を参照することができる。
図6Aおよび図6Bの認証情報伝送方法、および本発明の他の実施例における認証情報伝送方法は、互いに参照して使用することができる。
また、例示的な実施例では、キー管理クライアントをさらに提供している。
図7は、本発明の1つの例示的な実施例に係るキー管理クライアントの構成を示す図である。
本発明のキー管理クライアントは、図7に示すように、受信モジュール110と、第1の送信モジュール120と、第1の取得モジュール130と、第2の送信モジュール140とを備える。
受信モジュール110は、予め設定されたハードウェア抽象化層インタフェースを介して、アプリケーションクライアントから送信された認証情報を受信するためのものである。
第1の送信モジュール120は、キー管理サービス端末が認証情報を信頼できる実行環境における信頼アプリケーションに送信するように、認証情報をキー管理サービス端末に送信するためのものである。
第1の取得モジュール130は、キー管理サービス端末から転送された信頼アプリケーションによる署名後の認証情報を取得するためのものである。
第2の送信モジュール140は、アプリケーションサーバが認証情報に対して正当性を検証するように、署名後の認証情報を予め設定されたハードウェア抽象化層インタフェースを介してアプリケーションクライアントに対応するアプリケーションサーバに送信するためのものである。
具体的には、本発明の実施例が提供するキー管理クライアントは、本発明の実施例が提供する認証情報伝送方法を実行することができる。このキー管理クライアントは、データ処理機能を有する任意のコンピュータ装置に配置されていてもよい。
また、1つの可能な実施形態では、上記キー管理クライアントは、キー管理サービス端末から送信されたアプリケーションサーバの署名キー値を取得する第2の取得モジュールと、ここで、前記署名キー値が信頼アプリケーションにより生成されたものであり、予め設定されたハードウェア抽象化層インタフェースを介して署名キー値をアプリケーションサーバに送信するための第3の送信モジュールとをさらに備える。
また、別の可能な実施形態では、上記キー管理クライアントは、ハードウェア抽象化層においてキー管理クライアントとキー管理サービス端末とのリンクパスを構築するためのリンクパス構築モジュールをさらに備える。
また、別の可能な実施形態では、受信モジュール110は、予め設定されたハードウェア抽象化層インタフェースを介して、アプリケーションクライアントから送信された前記認証情報に対応するアプリケーションクライアントの識別子をさらに受信する。
また、上記キー管理クライアントは、アプリケーションクライアントの識別子に応じて、アプリケーションクライアントに対応するターゲットアプリケーションサーバを確定する確定モジュールをさらに備える。
これと対応して、上記第2の送信モジュール140は、具体的には、予め設定されたハードウェア抽象化層インタフェースを介して署名後の認証情報をターゲットアプリケーションサーバに送信するためのものである。
また、別の可能な実施形態では、上記キー管理クライアントは、予め設定されたハードウェア抽象化層インタフェースの識別子をアプリケーションクライアントに送信するための第4の送信モジュールをさらに備える。
なお、上記の認証情報伝送方法の実施例についての解釈説明は、本実施例に係るキー管理クライアントにも適用可能であり、その実現原理が同様であるので、ここでは説明を省略する。
本発明の実施例が提供するキー管理クライアントは、予め設定されたハードウェア抽象化層インタフェースを介してアプリケーションクライアントから送信された認証情報を受信した後、キー管理サービス端末が認証情報を信頼できる実行環境における信頼アプリケーションに送信するように、認証情報をキー管理サービス端末に送信し、その後、キー管理サービス端末から転送された信頼アプリケーションによる署名後の認証情報を取得し、最後に、アプリケーションサーバが認証情報に対して正当性を検証するように、予め設定されたハードウェア抽象化層インタフェースを介して署名後の認証情報をアプリケーションクライアントに対応するアプリケーションサーバに送信することができる。これにより、システムの頻繁な更新に起因して情報認証のパスの構築が複雑かつ煩雑となり、およびコストが高くなるという課題が回避され、認証情報の伝送時間が低減され、認証情報の信頼性が向上される。
また、例示的な実施例では、さらにコンピュータ装置も提供される。
図8は、本発明の1つの実施例に係るコンピュータ装置の構成を示す図である。図8に示すコンピュータ装置は、あくまでも一例に過ぎなく、本発明の実施例の機能や使用範囲を何ら制限しない。
コンピュータ装置200は、図8に示すように、コンピュータプログラムが記憶されるメモリ210とプロセッサ220とを備え、前記コンピュータプログラムは、プロセッサ220によって実行される際に、上記の実施例で説明したような認証情報伝送方法を前記プロセッサ220に実行させる。
また、1つの好適な実施形態では、コンピュータ装置200は、図9に示すように、コンピュータプログラムが記憶されるメモリ210と、プロセッサ220と、異なるコンポーネント(メモリ210とプロセッサ220とを含む)を接続するバス230とを備え、前記コンピュータプログラムは、プロセッサ220によって実行される際に、本発明の実施例で説明したような認証情報伝送方法を実現する。
バス230は、複数種類のバス構造のうちの1種または複数種を表し、メモリバスまたはメモリコントローラ、周辺バス、グラフィックス高速化ポート、プロセッサ、または複数種類のバス構造のうちのいずれかを用いたローカルバスを含む。例えて言えば、これらのアーキテクチャは、業界標準アーキテクチャ(ISA)バス、マイクロチャネルアーキテクチャ(MAC)バス、エンハンスメント型ISAバス、ビデオエレクトロニクススタンダーズアソシエーション(VESA)ローカルバスおよび周辺コンポーネント相互接続(PCI)バスを含むが、これらに限定されない。
また、コンピュータ装置200は、一般的に複数種類のコンピュータ装置読取可能な媒体を備える。なお、これらの媒体は、例えば揮発性や不揮発性の媒体、移動可能や移動不能な媒体などの、コンピュータ装置200がアクセス可能な任意の媒体であってもよい。
また、メモリ210は、例えば、RAM(Random Access Memory)240、および/またはキャッシュメモリ250などの揮発性メモリ型のコンピュータシステム読取可能な媒体を含んでもよい。また、コンピュータ装置200は、他の移動可能/移動不能、揮発性/不揮発性のコンピュータシステム記憶媒体をさらに含んでもよい。一例として、記憶システム260は、移動不能な不揮発性の磁気媒体(図9には図示されていないが、一般的に「ハードディスクドライブ」と呼ばれる)の読み書きに使用することができる。また、図9には図示されていないが、移動可能な不揮発性の磁気ディスク(例えば、フレキシブルディスク」)に対して読み書きを行うためのディスクドライブ、および移動可能な不揮発性の光ディスク(例えば、CD−ROM、DVD−ROM、またはその他の光媒体)に対して読み書きを行うための光ディスクドライブを提供することができる。これらの場合、各ドライブは、1つまたは複数のデータ媒体インタフェースを介してバス230に接続されてもよい。また、メモリ210は、少なくとも1つのプログラム製品を含んでもよく、このプログラム製品は、1組(例えば、少なくとも1つ)のプログラムモジュールを有し、これらのプログラムモジュールは、本発明の各実施例の機能を実行するように配置される。
プログラムモジュール270を1組(少なくとも1つ)有するプログラム/ユーティリティ280は、例えばメモリ210に記憶されていてもよく、このようなプログラムモジュール270は、オペレーティングシステム、1つまたは複数のアプリケーションプログラム、その他のプログラムモジュールおよびプログラムデータを含んでいるが、これに限定されるものではなく、これらの例示のそれぞれまたはある種類の組み合わせはネットワーク環境の実現を含んでいる可能性がある。また、プログラムモジュール270は、通常、本発明で説明した実施例における機能および/または方法を実行する。
コンピュータ装置200は、1つまたは複数の外部装置290(例えば、キーボード、ポインティングデバイス、ディスプレイ291等)と通信可能であってもよいし、ユーザが当該コンピュータ装置200と対話可能なようにする1つまたは複数の装置、および/または、当該コンピュータ装置200が1つまたは複数の他の計算装置と通信可能なようにする任意の装置(例えば、ネットワークカード、モデム等)と通信可能であってもよい。このような通信は、入出力(I/O)インタフェース292を介して行うことができる。また、コンピュータ装置200は、ネットワークアダプタ293を介して1つまたは複数のネットワーク(例えば、ローカルエリアネットワーク(LAN)、ワイドエリアネットワーク(WAN)、および/または公衆ネットワーク(例えばインターネット)と通信可能であってもよい。図9に示すように、ネットワークアダプタ293は、コンピュータ装置200の他のモジュールとバス230を介して通信する。なお、図9には図示されていないが、コンピュータ装置200と組み合わせて、他のハードウェアおよび/またはソフトウェアモジュールを使用してもよく、例えば、マイクロコード、デバイスドライバ、冗長処理手段、外部ディスクドライブアレイ、RAIDシステム、テープドライブ、データバックアップストレージシステム等が挙げられるが、これらに限定されるものではない。
なお、上記の認証情報伝送方法の実施例についての解釈説明は、本実施例のコンピュータ装置にも適用可能であり、その実現原理が同様であるので、ここでは説明を省略する。
本発明の実施例が提供するコンピュータ装置におけるキー管理クライアントは、予め設定されたハードウェア抽象化層インタフェースを介してアプリケーションクライアントから送信された認証情報を受信した後、キー管理サービス端末が認証情報を信頼できる実行環境における信頼アプリケーションに送信するように、認証情報をキー管理サービス端末に送信し、その後、キー管理サービス端末から転送された信頼アプリケーションによる署名後の認証情報を取得し、最後に、アプリケーションサーバが認証情報に対して正当性を検証するように、署名後の認証情報を予め設定されたハードウェア抽象化層インタフェースを介してアプリケーションクライアントに対応するアプリケーションサーバに送信することができる。これにより、システムの頻繁な更新に起因して情報認証のパスの構築が複雑かつ煩雑となり、およびコストが高くなるという課題が回避され、認証情報の伝送時間が低減され、認証情報の信頼性が向上される。
また、例示的な実施例では、本発明は、アプリケーションクライアントと、アプリケーションサーバと、キー管理サービス端末と、信頼アプリケーションと、上記の実施例に記載のキー管理クライアントとを備える認証情報伝送システムをさらに提供している。
本発明の実施例が提供する認証情報伝送システムは、アプリケーションクライアントと、アプリケーションサーバと、キー管理サービス端末と、信頼アプリケーションと、上記の実施例に記載のキー管理クライアントとを備えており、キー管理クライアントは、予め設定されたハードウェア抽象化層インタフェースを介してアプリケーションクライアントから送信された認証情報を受信した後、キー管理サービス端末を介して認証情報を信頼できる実行環境における信頼アプリケーションに送信して署名し、かつ、信頼アプリケーションが認証情報に対して署名した後、キー管理サービス端末を介して署名後の認証情報を受信し、かつ、アプリケーションサーバが認証情報に対して正当性を検証するように、署名後の認証情報をアプリケーションクライアントに対応するアプリケーションサーバに送信する。これにより、システムの頻繁な更新に起因して情報認証のパスの構築が複雑かつ煩雑となり、およびコストが高くなるという課題が回避され、認証情報の伝送時間が低減され、認証情報の信頼性が向上される。
また、例示的な実施例では、本発明は、コンピュータ読み取り可能な記憶媒体も提供している。
上記のコンピュータ読み取り可能な記憶媒体には、プロセッサによって実行される際に、上記の認証情報伝送方法を実現するためのコンピュータプログラムが記憶されている。
なお、上記の認証情報伝送方法の実施例についての解釈説明は、本実施例のコンピュータ読取可能な記憶媒体にも適用可能であり、その実現原理が同様であるので、ここでは説明を省略する。
本発明の実施例が提供するコンピュータ読み取り可能な記憶媒体は、情報認証を行うことが可能な任意のコンピュータ装置に搭載され、情報認証を行う際に、それに記憶された認証情報伝送方法を実行することにより、システムの頻繁な更新に起因して情報認証のパスの構築が複雑かつ煩雑となり、およびコストが高くなるという課題を回避し、認証情報の伝送時間を低減させ、認証情報の信頼性を向上させることができる。
また、例示的な実施例では、本発明は、その指令がプロセッサによって実行される際に、上記の実施例における認証情報伝送方法を実行するコンピュータプログラム製品も提供している。
本発明の実施例が提供するコンピュータプログラム製品は、情報認証を行うことが可能な任意のコンピュータ装置に書き込むことができ、情報認証を行う際に、対応する認証情報伝送方法のプログラムを実行することにより、システムの頻繁な更新に起因して情報認証のパスの構築が複雑かつ煩雑となり、およびコストが高くなるという課題を回避し、認証情報の伝送時間を低減させ、認証情報の信頼性を向上させることができる。
なお、本発明の説明では、「第1」、「第2」のような用語は、単に目的を説明するためのものであり、相対的な重要性を指示または暗示し、または指示された技術的特徴の数量を暗示的に示すものではないと理解すべきである。これにより、「第1」、「第2」が限定されている特徴は、当該特徴を明示的または暗黙的に1つまたはそれ以上含むことができる。なお、本発明の説明では、「複数」とは、特に明記しない限り、2つまたはそれ以上であることを意味する。
また、本明細書の説明では、「1つの実施例」、「いくつかの実施例」、「例示」、「具体例」、または「いくつかの例示」等の記載は、当該実施例または例示を参照して説明した具体的な特徴や特点が本発明の少なくとも1つの実施例または例示に含まれることを意味する。また、本明細書において、上記用語の概略的な表現は、必ずしも同一の実施例または例示に限定されるものではない。そして、説明した具体的な特徴または特点は、いずれか1つまたは複数の実施例または例示において適切な方式で結合されてもよい。また、互いに矛盾しない限り、当業者であれば、本明細書に記載されている異なる実施例や例示、および異なる実施例や例示の特徴を結合したり、組み合わせたりすることが可能である。
また、フローチャートまたはここで他の形態で説明されている任意の過程または方法につていの記載は、特定の論理機能または過程のステップを実現するための実行可能な指令のコードのモジュール、セグメントまたは部分を1つまたは複数含むことを表し、そして、本発明の好適な実施形態の範囲は、別の実現を含み、明示されまたは検討された順序に従わず、係る機能に基づいて、基本的に同時または逆の順序で機能を実行することを含み、これは、本発明の実施例が属する技術分野の当業者に理解されるべきである。
なお、フローチャートに示されまたはここで他の方式で記載される論理および/またはステップは、例えば、論理機能を実現するための実行可能な指令のシーケンスリストであると考えられるものであり、具体的には、指令実行システム、装置または機器(例えば、コンピュータに基づくシステム、プロセッサを含むシステムまたは指令実行システム、装置または機器から指令を取得して実行可能なシステム)が使用し、またはこれらの指令実行システム、装置または機器と組み合わせて使用するように、任意のコンピュータ読取可能な媒体に実現されてもよい。なお、本明細書において、「コンピュータ読取可能な媒体」は、指令実行システム、装置または機器が使用し、またはこれらの指令実行システム、装置または機器と組み合わせて使用するように、プログラムを包含、記憶、通信、伝播または伝送可能な任意の装置であってもよい。また、コンピュータ読取可能な媒体のより具体的な例(非網羅的リスト)は、1つまたは複数の配線を有する電気接続部(電子機器)、携帯式のコンピュータ・ディスクカートリッジ(磁気デバイス)、RAM、ROM、EPROMまたはフラッシュメモリ、光ファイバ装置、およびCDROMを含む。また、コンピュータ読み取り可能な媒体は、前記プログラムを印刷可能な紙やその他の適宜な媒体であってもよい。なぜならば、例えば紙やその他の媒体を光学的に走査して編集、解釈したり、必要に応じて他の適切な方式で処理したりすることにより、前記プログラムを電子的に取得してコンピュータのメモリに記憶させることができるためである。
なお、本発明の各部は、ハードウェア、ソフトウェア、ファームウェア、またはそれらの組み合わせによって実現されてもよい。また、上記実施形態において、複数のステップまたは方法は、メモリに記憶され、適切な指令実行システムにより実行されるソフトウェアまたはファームウェアで実現されてもよい。例えば、ハードウェアで実現される場合、他の実施形態と同様に、データ信号に対して論理機能を実現するための論理ゲート回路を有する離散論理回路、論理ゲート回路を適宜組み合わせた専用集積回路、プログラマブルゲートアレイ(PGA)、フィールドプログラマブルゲートアレイ(FPGA)等のいずれかまたはそれらの組み合わせで実現することができる。
本分野の一般的な技術者であれば、上記の実施例の方法が有する全てまたは一部のステップの実現は、プログラムによって関連するハードウェアを指示して完成することが可能であることを理解することができ、かかるプログラムは、コンピュータ読み取り可能な記憶媒体に記憶されていてもよく、当該プログラムは、実行時に方法の実施例のステップの1つまたはその組み合わせを含む。
また、本発明の各実施例における各機能ユニットは、1つの処理モジュールに集積されていてもよいし、個々のユニットが個別に物理的に存在していてもよいし、2以上のユニットが1つのモジュールに集積されていてもよい。上記集積されたモジュールは、ハードウェアで実現されてもよいし、ソフトウェア機能モジュールで実現されてもよい。上記集積されたモジュールがソフトウェア機能モジュールで実現されかつ独立した製品として販売または使用される場合、1つのコンピュータ読み取り可能な記憶媒体に記憶されてもよい。
上記の記憶媒体は、ROM、磁気ディスクまたは光ディスク等であってもよい。以上、本発明の実施例について説明したが、上記の実施例は例示的なものであって、本発明を限定するものではないと考えられるべきであり、当業者であれば、本発明の範囲内で上記実施例に対して変更、修正、置換、変形を加えることが可能である。
Claims (9)
- 計算装置が実行する認証情報伝送方法であって、
キー管理クライアントが予め設定されたハードウェア抽象化層インタフェースを介してアプリケーションクライアントから送信された認証情報を受信するステップと、
前記キー管理クライアントが前記認証情報をキー管理サービス端末に送信するステップと、
前記キー管理サービス端末が前記認証情報を信頼できる実行環境における信頼アプリケーションに送信するステップと、
前記キー管理クライアントが前記キー管理サービス端末から転送された前記信頼アプリケーションによる署名後の認証情報を取得するステップと、
前記キー管理クライアントが前記署名後の認証情報を前記予め設定されたハードウェア抽象化層インタフェースを介して前記アプリケーションクライアントに対応するアプリケーションサーバに送信するステップと、
前記アプリケーションサーバが前記認証情報に対して正当性を検証するステップと、を含む、
ことを特徴とする認証情報伝送方法。 - 前記キー管理クライアントが前記署名後の認証情報を前記予め設定されたハードウェア抽象化層インタフェースを介して前記アプリケーションクライアントに対応するアプリケーションサーバに送信する前に、
前記キー管理クライアントが、前記信頼アプリケーションにより生成された、前記キー管理サービス端末から送信された前記アプリケーションサーバの署名キー値を取得するステップと、
前記キー管理クライアントが前記予め設定されたハードウェア抽象化層インタフェースを介して前記署名キー値を前記アプリケーションサーバに送信するステップとを、さらに含む、
ことを特徴とする請求項1に記載の方法。 - 前記キー管理クライアントが前記認証情報をキー管理サービス端末に送信する前に、
前記キー管理クライアントと前記キー管理サービス端末とがハードウェア抽象化層にリンクパスを構築するステップをさらに含む、
ことを特徴とする請求項1または2に記載の方法。 - キー管理クライアントが予め設定されたハードウェア抽象化層インタフェースを介してアプリケーションクライアントから送信された前記認証情報に対応するアプリケーションクライアントの識別子を受信するステップをさらに含み、
前記キー管理クライアントが前記署名後の認証情報を前記予め設定されたハードウェア抽象化層インタフェースを介して前記アプリケーションクライアントに対応するアプリケーションサーバに送信する前に、
前記キー管理クライアントが前記アプリケーションクライアントの識別子に基づいて、前記アプリケーションクライアントに対応するターゲットアプリケーションサーバを確定するステップをさらに含み、
これと対応して、前記キー管理クライアントが前記署名後の認証情報を前記予め設定されたハードウェア抽象化層インタフェースを介して前記アプリケーションクライアントに対応するアプリケーションサーバに送信するステップは、
前記キー管理クライアントが前記署名後の認証情報を前記予め設定されたハードウェア抽象化層インタフェースを介して前記ターゲットアプリケーションサーバに送信することを含む、
ことを特徴とする請求項1乃至3のいずれか1項に記載の方法。 - 前記キー管理クライアントが予め設定されたハードウェア抽象化層インタフェースを介してアプリケーションクライアントから送信された認証情報を受信する前に、
前記キー管理クライアントが前記予め設定されたハードウェア抽象化層インタフェースの識別子を前記アプリケーションクライアントに送信するステップをさらに含む、
ことを特徴とする請求項1乃至4のいずれか1項に記載の方法。 - 予め設定されたハードウェア抽象化層インタフェースを介してアプリケーションクライアントから送信された認証情報を受信するための受信モジュールと、
キー管理サービス端末が前記認証情報を信頼できる実行環境における信頼アプリケーションに送信するように、前記認証情報を前記キー管理サービス端末に送信するための第1の送信モジュールと、
前記キー管理サービス端末から転送された前記信頼アプリケーションによる署名後の認証情報を取得するための第1の取得モジュールと、
アプリケーションサーバが前記認証情報に対して正当性を検証するように、前記署名後の認証情報を前記予め設定されたハードウェア抽象化層インタフェースを介して前記アプリケーションクライアントに対応するアプリケーションサーバに送信するための第2の送信モジュールと、を備える、
ことを特徴とするキー管理クライアント。 - メモリと、プロセッサと、メモリに記憶されるとともにプロセッサで動作可能なコンピュータプログラムとを備えており、
前記プロセッサによって前記コンピュータプログラムを実行する際に、請求項1乃至5のいずれか1項に記載の認証情報伝送方法を実現する、
ことを特徴とするコンピュータ装置。 - アプリケーションクライアントと、アプリケーションサーバと、キー管理サービス端末と、信頼アプリケーションと、請求項6に記載のキー管理クライアントとを備える、
ことを特徴とする認証情報伝送システム。 - コンピュータに請求項1乃至5のいずれか1項に記載の認証情報伝送方法を実行させる
ことを特徴とするコンピュータプログラム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810936092.2 | 2018-08-16 | ||
CN201810936092.2A CN109040088B (zh) | 2018-08-16 | 2018-08-16 | 认证信息传输方法、密钥管理客户端及计算机设备 |
PCT/CN2019/100004 WO2020034907A1 (zh) | 2018-08-16 | 2019-08-09 | 认证信息传输方法、密钥管理客户端及计算机设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2021516918A true JP2021516918A (ja) | 2021-07-08 |
JP6982199B2 JP6982199B2 (ja) | 2021-12-17 |
Family
ID=64631697
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020550824A Active JP6982199B2 (ja) | 2018-08-16 | 2019-08-09 | 認証情報伝送方法、キー管理クライアントおよびコンピュータ装置 |
Country Status (5)
Country | Link |
---|---|
US (1) | US20200412535A1 (ja) |
EP (1) | EP3754934B1 (ja) |
JP (1) | JP6982199B2 (ja) |
CN (1) | CN109040088B (ja) |
WO (1) | WO2020034907A1 (ja) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109040088B (zh) * | 2018-08-16 | 2022-02-25 | 腾讯科技(深圳)有限公司 | 认证信息传输方法、密钥管理客户端及计算机设备 |
US11327782B2 (en) * | 2019-07-19 | 2022-05-10 | Vmware, Inc. | Supporting migration of virtual machines containing enclaves |
CN111414638B (zh) * | 2020-04-23 | 2023-03-24 | 飞天诚信科技股份有限公司 | 一种区分密钥生成方式的实现方法及装置 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH117241A (ja) * | 1997-06-13 | 1999-01-12 | Mitsubishi Corp | 電子透かしを利用するデジタルコンテンツ管理システム |
JP2002101089A (ja) * | 1998-10-15 | 2002-04-05 | Mitsubishi Corp | 2重再暗号化によりデジタルデータを保護する方法及び装置 |
JP2006018825A (ja) * | 2004-06-30 | 2006-01-19 | Microsoft Corp | 状態検証を使用した保護されたオペレーティングシステムブートのためのシステムおよび方法 |
US20070058807A1 (en) * | 2005-04-22 | 2007-03-15 | Microsoft Corporation | Establishing a unique session key using a hardware functionality scan |
JP2010055593A (ja) * | 2008-08-28 | 2010-03-11 | Jacobian Innovation Unlimited Llc | パス・コード供給 |
US20150271677A1 (en) * | 2014-03-18 | 2015-09-24 | Stmicroelectronics (Rousset) Sas | Secure nfc routing |
CN107067250A (zh) * | 2015-09-09 | 2017-08-18 | 三星电子株式会社 | 用于执行支付的方法和装置 |
CN107133794A (zh) * | 2017-05-08 | 2017-09-05 | 奇酷互联网络科技(深圳)有限公司 | Ifaa指纹支付装置、系统、方法和移动终端 |
US20180019986A1 (en) * | 2016-07-12 | 2018-01-18 | Qualcomm Incorporated | User privacy protected location-based authentication on mobile devices |
US10031760B1 (en) * | 2016-05-20 | 2018-07-24 | Xilinx, Inc. | Boot and configuration management for accelerators |
Family Cites Families (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7644264B1 (en) * | 2006-10-17 | 2010-01-05 | Symantec Corporation | Method and system for creating and deploying disk images |
US9183361B2 (en) * | 2011-09-12 | 2015-11-10 | Microsoft Technology Licensing, Llc | Resource access authorization |
US10270748B2 (en) * | 2013-03-22 | 2019-04-23 | Nok Nok Labs, Inc. | Advanced authentication techniques and applications |
US9949115B2 (en) * | 2014-06-10 | 2018-04-17 | Qualcomm Incorporated | Common modulus RSA key pairs for signature generation and encryption/decryption |
CN106487511B (zh) * | 2015-08-27 | 2020-02-04 | 阿里巴巴集团控股有限公司 | 身份认证方法及装置 |
CN105574720A (zh) * | 2015-12-14 | 2016-05-11 | 联想(北京)有限公司 | 安全的信息处理方法以及信息处理装置 |
CN106899551B (zh) * | 2015-12-21 | 2020-04-17 | 中国电信股份有限公司 | 认证方法、认证终端以及系统 |
CN107733636B (zh) * | 2016-08-11 | 2021-03-02 | 中国电信股份有限公司 | 认证方法以及认证系统 |
US11036870B2 (en) * | 2016-08-22 | 2021-06-15 | Mastercard International Incorporated | Method and system for secure device based biometric authentication scheme |
CN107038363B (zh) * | 2017-03-20 | 2020-01-14 | Oppo广东移动通信有限公司 | 一种指纹消息的处理方法及移动终端 |
US10452381B2 (en) * | 2017-04-04 | 2019-10-22 | OpenPath Security Inc. | Fragmented updating of a distributed device using multiple clients |
US10721130B2 (en) * | 2017-05-15 | 2020-07-21 | Citrix Systems, Inc. | Upgrade/downtime scheduling using end user session launch data |
CN108282466B (zh) * | 2017-12-29 | 2021-02-02 | 北京握奇智能科技有限公司 | 用于在tee中提供数字证书功能的方法、系统 |
US10841291B2 (en) * | 2018-05-31 | 2020-11-17 | Vmware, Inc. | Method for block authentication using embedded virtual machines |
CN109960582B (zh) * | 2018-06-19 | 2020-04-28 | 华为技术有限公司 | 在tee侧实现多核并行的方法、装置及系统 |
US10754952B2 (en) * | 2018-07-23 | 2020-08-25 | Vmware, Inc. | Host software metadata verification during remote attestation |
CN109040088B (zh) * | 2018-08-16 | 2022-02-25 | 腾讯科技(深圳)有限公司 | 认证信息传输方法、密钥管理客户端及计算机设备 |
-
2018
- 2018-08-16 CN CN201810936092.2A patent/CN109040088B/zh active Active
-
2019
- 2019-08-09 JP JP2020550824A patent/JP6982199B2/ja active Active
- 2019-08-09 EP EP19849693.7A patent/EP3754934B1/en active Active
- 2019-08-09 WO PCT/CN2019/100004 patent/WO2020034907A1/zh unknown
-
2020
- 2020-09-11 US US17/018,559 patent/US20200412535A1/en active Pending
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH117241A (ja) * | 1997-06-13 | 1999-01-12 | Mitsubishi Corp | 電子透かしを利用するデジタルコンテンツ管理システム |
JP2002101089A (ja) * | 1998-10-15 | 2002-04-05 | Mitsubishi Corp | 2重再暗号化によりデジタルデータを保護する方法及び装置 |
JP2006018825A (ja) * | 2004-06-30 | 2006-01-19 | Microsoft Corp | 状態検証を使用した保護されたオペレーティングシステムブートのためのシステムおよび方法 |
US20070058807A1 (en) * | 2005-04-22 | 2007-03-15 | Microsoft Corporation | Establishing a unique session key using a hardware functionality scan |
JP2010055593A (ja) * | 2008-08-28 | 2010-03-11 | Jacobian Innovation Unlimited Llc | パス・コード供給 |
US20150271677A1 (en) * | 2014-03-18 | 2015-09-24 | Stmicroelectronics (Rousset) Sas | Secure nfc routing |
CN107067250A (zh) * | 2015-09-09 | 2017-08-18 | 三星电子株式会社 | 用于执行支付的方法和装置 |
US10031760B1 (en) * | 2016-05-20 | 2018-07-24 | Xilinx, Inc. | Boot and configuration management for accelerators |
US20180019986A1 (en) * | 2016-07-12 | 2018-01-18 | Qualcomm Incorporated | User privacy protected location-based authentication on mobile devices |
CN107133794A (zh) * | 2017-05-08 | 2017-09-05 | 奇酷互联网络科技(深圳)有限公司 | Ifaa指纹支付装置、系统、方法和移动终端 |
Also Published As
Publication number | Publication date |
---|---|
EP3754934B1 (en) | 2023-11-08 |
EP3754934A4 (en) | 2021-05-26 |
EP3754934A1 (en) | 2020-12-23 |
CN109040088B (zh) | 2022-02-25 |
WO2020034907A1 (zh) | 2020-02-20 |
CN109040088A (zh) | 2018-12-18 |
JP6982199B2 (ja) | 2021-12-17 |
US20200412535A1 (en) | 2020-12-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10097350B2 (en) | Privacy enhanced key management for a web service provider using a converged security engine | |
US10834086B1 (en) | Hybrid cloud-based authentication for flash storage array access | |
JP6982199B2 (ja) | 認証情報伝送方法、キー管理クライアントおよびコンピュータ装置 | |
JP2018116708A (ja) | ネットワーク接続自動化 | |
US11509537B2 (en) | Internet of things device discovery and deployment | |
CN107634951A (zh) | Docker容器安全管理方法、系统、设备及存储介质 | |
US10938572B2 (en) | Revocable biometric-based keys for digital signing | |
US11829478B2 (en) | Full server recovery architecture for cloud bare metal instances | |
CN112738253B (zh) | 基于区块链的数据处理方法、装置、设备及存储介质 | |
US20230034169A1 (en) | Non-fungible token authentication | |
CN108335105B (zh) | 数据处理方法及相关设备 | |
US20190340364A1 (en) | Secure bios attribute system | |
US10880302B2 (en) | Systems and methods for biometric authentication of certificate signing request processing | |
US11875605B2 (en) | User authentication for an information handling system using a secured stylus | |
US20220261570A1 (en) | Authentication of user information handling system through stylus | |
CN116529729A (zh) | 用于获得基于网络的资源的增强权限并根据其执行动作的集成电路 | |
GB2603204A (en) | Secure digital signing of a document | |
CN116661693A (zh) | 安全数据读写方法和装置 | |
EP4187420A1 (en) | Resource management method, computing device, computing equipment, and readable storage medium | |
US20210334380A1 (en) | Trusted firmware verification | |
CN112513905A (zh) | 用于实现虚拟智能卡服务的方法和系统 | |
US20240129289A1 (en) | User certificate with user authorizations | |
US20230308432A1 (en) | Authenticating and authorizing api calls with multiple factors | |
CN113505009A (zh) | 基于多个子系统接入的应用服务方法和系统、计算机设备 | |
WO2024112400A1 (en) | Region-based authentication and access policies for services |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200918 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20211109 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20211118 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6982199 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |