JP2021535497A - セキュリティ認証のためのデータ処理方法、サーバ、クライアント機器及び媒体 - Google Patents
セキュリティ認証のためのデータ処理方法、サーバ、クライアント機器及び媒体 Download PDFInfo
- Publication number
- JP2021535497A JP2021535497A JP2021510665A JP2021510665A JP2021535497A JP 2021535497 A JP2021535497 A JP 2021535497A JP 2021510665 A JP2021510665 A JP 2021510665A JP 2021510665 A JP2021510665 A JP 2021510665A JP 2021535497 A JP2021535497 A JP 2021535497A
- Authority
- JP
- Japan
- Prior art keywords
- identifier
- security
- application entity
- entity
- security identifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 29
- 238000004590 computer program Methods 0.000 claims description 5
- 238000004325 capillary sieving electrophoresis Methods 0.000 description 35
- 238000004891 communication Methods 0.000 description 20
- 238000000034 method Methods 0.000 description 19
- 230000005540 biological transmission Effects 0.000 description 13
- 230000015654 memory Effects 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 7
- 230000003287 optical effect Effects 0.000 description 7
- 230000006870 function Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000012790 confirmation Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- RYGMFSIKBFXOCR-UHFFFAOYSA-N Copper Chemical compound [Cu] RYGMFSIKBFXOCR-UHFFFAOYSA-N 0.000 description 1
- 240000007594 Oryza sativa Species 0.000 description 1
- 235000007164 Oryza sativa Nutrition 0.000 description 1
- 206010033799 Paralysis Diseases 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000008602 contraction Effects 0.000 description 1
- 229910052802 copper Inorganic materials 0.000 description 1
- 239000010949 copper Substances 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 235000009566 rice Nutrition 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000004984 smart glass Substances 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/04—Protocols for data compression, e.g. ROHC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
- Information Transfer Between Computers (AREA)
Abstract
セキュリティ認証のためのデータ処理方法、サーバ、クライアント機器及び媒体を開示している。前記データ処理方法は、アプリケーションエンティティの識別子を受信するステップ(S402)と、少なくとも前記識別子に基づいて、前記アプリケーションエンティティの動的セキュリティ識別子を生成するステップ(S404)と、前記セキュリティ識別子を前記アプリケーションエンティティへ伝送するステップ(S406)と、前記セキュリティ識別子に基づいて、前記アプリケーションエンティティに対し、セキュリティ認証操作を実行するステップ(S408)と、を含む。
Description
関連文献の相互参照
本開示は、2018年08月27日に提出された出願番号が第201810984347.2である中国特許出願の優先権を主張し、ここで、上記中国特許出願に開示されている内容の全体が本願の一部として援用される。
本開示は、2018年08月27日に提出された出願番号が第201810984347.2である中国特許出願の優先権を主張し、ここで、上記中国特許出願に開示されている内容の全体が本願の一部として援用される。
本開示は、モノのインターネットの分野、具体的に、モノのインターネットシステムにおいて、セキュリティ認証を実行するデータ処理方法、サーバ、クライアント機器及び媒体に関する。
モノのインターネットシステムにおいて、クライアントとサーバとの間でデータと要求とを伝送する必要がある。未登録のクライアントが登録されたクライアントに偽装して、サーバへ大量の要求とデータを伝送すると、サービスが麻痺されるおそれがある。したがって、大量の要求又はデータを伝送するデバイスが、ネットワークに接続されている唯一の登録されたデバイスであるか否かを効果的に判断して、データの漏洩とデータ伝送による輻輳を防ぐことができるセキュリティ認証メカニズムを提供する必要がある。
上記の問題を解決するために、本開示は、セキュリティ認証のためのデータ処理方法、サーバ、クライアント機器及び媒体を提供する。
本開示の一態様によれば、アプリケーションエンティティの識別子を受信するステップと、少なくとも前記識別子に基づいて、前記アプリケーションエンティティの動的セキュリティ識別子を生成するステップと、前記セキュリティ識別子を前記アプリケーションエンティティへ伝送するステップと、前記セキュリティ識別子に基づいて、前記アプリケーションエンティティに対し、セキュリティ認証操作を実行するステップと、を含むセキュリティ認証のための方法を提供する。
いくつかの実施例において、少なくとも前記識別子に基づいて、前記アプリケーションエンティティの動的セキュリティ識別子を生成するステップは、前記識別子とランダム識別子に基づいて、前記セキュリティ識別子を生成するステップを含む。
いくつかの実施例において、前記識別子とランダム識別子に基づいて、前記セキュリティ識別子を生成するステップは、前記識別子と前記ランダム識別子とを組み合わせることにより、文字列を生成するステップと、ハッシュアルゴリズムを使用して、前記文字列をハッシュ値に変換し、前記ハッシュ値を前記セキュリティ識別子とするステップと、を含む。
いくつかの実施例において、前記方法は、前記識別子に関連付けられる前記セキュリティ識別子を記憶するステップをさらに含む。
いくつかの実施例において、前記方法は、
事前に設定されたルールに基づいて、前記セキュリティ識別子に対し、更新操作を実行するステップと、
識別子に関連付けられて記憶されているセキュリティ識別子を、前記更新されたセキュリティ識別子に置き換えるステップとを、さらに含む。
事前に設定されたルールに基づいて、前記セキュリティ識別子に対し、更新操作を実行するステップと、
識別子に関連付けられて記憶されているセキュリティ識別子を、前記更新されたセキュリティ識別子に置き換えるステップとを、さらに含む。
いくつかの実施例において、前記ランダム識別子は、汎用一意識別子(UUID)を含む。
いくつかの実施例において、前記セキュリティ識別子に基づいて、前記アプリケーションエンティティに対し、セキュリティ認証操作を実行するステップは、前記アプリケーションエンティティから受信されたセキュリティ識別子と、識別子に関連付けられて記憶されているセキュリティ識別子とを比較し、受信されたセキュリティ識別子と、受信された識別子に関連付けられて記憶されているセキュリティ識別子とが一致することを、比較結果により示す場合、認証が成功し、そうでない場合、認証が失敗するステップと、を含む。
いくつかの実施例において、前記事前に設定されたルールは、前回の更新からの時間が事前に設定された時間閾値を超えているか否かを含む。
いくつかの実施例において、前記事前に設定されたルールは、セキュリティ認証に前記セキュリティ識別子が使用される回数が事前に設定された閾値を超えているか否かを含む。
本開示の別の態様によれば、アプリケーションエンティティの識別子を含む接続要求を共通サービスエンティティへ伝送するステップと、共通サービスエンティティにより、前記アプリケーションエンティティに使用されるために生成された動的セキュリティ識別子を受信するステップと、前記識別子に関連付けられて記憶されているセキュリティ識別子を、前記共通サービスエンティティから受信されたセキュリティ識別子に置き換えるステップと、を含むセキュリティ認証のためのデータ方法を提供する。
本開示の別の態様によれば、アプリケーションエンティティにより伝送された、前記アプリケーションエンティティに対応する識別子を含む接続要求を受信し、少なくとも前記識別子に基づいて、前記アプリケーションエンティティの動的セキュリティ識別子を生成し、前記識別子及び前記セキュリティ識別子に基づいて、前記アプリケーションエンティティに対してセキュリティ認証操作を実行し、生成されたセキュリティ識別子を前記アプリケーションエンティティへ伝送するように構成されるプロセッサと、前記識別子と前記識別子に関連付けられるセキュリティ識別子とを記憶するように構成されるデータベースと、を含むサーバを提供する。
本開示の別の態様によれば、アプリケーションエンティティに対応する識別子を含む接続要求を、共通サービスエンティティへ伝送するように構成される出力装置と、共通サービスエンティティにより、前記アプリケーションエンティティに使用されるために生成された動的セキュリティ識別子を受信するように構成される入力装置と、記憶された前記アプリケーションエンティティに使用されるセキュリティ識別子を、共通サービスエンティティから受信されたセキュリティ識別子に置き換えるように構成されるプロセッサと、を含むクライアント機器を提供する。
本開示によって提供される実施例を利用し、アプリケーションエンティティがサーバにアクセスするときのセキュリティを強化し、登録されたデバイスの情報が、httpプロトコルを介した伝送などのデータ伝送中に傍受又は監視され、他のデバイスが登録されたアプリケーションエンティティに偽装して、共通アプリケーションエンティティCSEの登録されたリソースを取得してアクセスし、引き起こされたデータ漏洩とデータによる輻輳の問題を解決する。
本開示の実施例の技術案をさらに明確に説明するために、以下に実施例に使用する必要のある図面について簡単に紹介する。明らかなように、下記に記載の図面は、本開示のいくつかの実施例に過ぎず、当業者にとって、創造的な労働なしに、これらの図面に基づいて、他の図面を得ることができる。以下の図面は、実際のサイズで比率に従って意図的にスケーリングして描画されたものではなく、本開示の主旨を示すことに焦点を当てる。
本開示の目的、技術案、及びメリットをさらに明確に説明するために、以下において実施例を挙げて、本開示をさらに詳細に説明する。明らかなように、記載した実施例は、本開示の一部の実施例であり、全ての実施例ではない。本開示の実施例に基づいて、当業者が創造的な労働ない前提において得るその他の実施例は、いずれも本開示の保護範囲に属するものとなる。
情報技術、特にインターネット技術の発展に伴い、情報化、遠隔管理と制御、及びインテリジェントネットワークを実現するために使用されるモノのインターネット技術は、徐々に成熟している。モノのインターネットは、ローカルネットワークやインターネットなどの通信技術を使用して、センサー、コントローラ、マシン、人及び物などを新しい方法で接続し、人と物、物と物の間の接続を形成する。モノのインターネットは、インターネットの拡張であり、インターネットとインターネット上の全てのリソースを含み、全てのインターネットアプリケーションと互換性がある。モノのインターネット技術を様々な分野に応用することで、スマートホーム、スマート交通、スマートヘルスなどの様々な新しい応用分野が出られている。図1に示すように、様々な端末のクライアント機器がネットワークにアクセスし、ネットワークを介して共通サービスレイヤにアクセスし、共通サービスレイヤが様々なアプリケーションをサポートするため、端末+ネットワーク+アプリケーションのアーキテクチャが形成されている。例えば、スマートホームの分野では、様々な家庭用デバイスがローカルエリアネットワーク(LAN)を使用して、ワイヤレスや有線などの方法で共通サービスプラットフォームにアクセスすることができる。必要に応じて、前記ローカルエリアネットワークは、パーソナルエリアネットワーク(PAN)であってもよく、例えば、ワイヤレスパーソナルエリアネットワーク(WPAN)を例として、Bluetooth、IrDA、Home RF、ZigBee、又は、UWB(Ultra−Wideband Radio)などの様々な技術を使用してアクセスを実現することができる。
前述のように、モノのインターネットエンティティが、例えば、モノのインターネット端末装置又はノード装置におけるソフトウェアモジュールであって、データ又は情報を共通サービスエンティティへ伝送した後、別個のリソースとして記憶させる。また、モノのインターネットエンティティは、当該モノのインターネットエンティティによって実行されるデバイスの状態を反映するために、要求を共通サービスエンティティへ伝送して、共通サービスエンティティに記憶された、当該モノのインターネットエンティティに対応するリソースを更新する。このような更新は、リアルタイム又は定期的に行われてもよく、或いは、特定の条件によってトリガーされてもよい。したがって、当該共通サービスエンティティと通信する他のモノのインターネットエンティティは、更新されたリソースにアクセスすることにより、当該モノのインターネットエンティティに対応するデバイスの状態を知り、又は、当該共通サービスエンティティと通信する他のモノのインターネットエンティティは、更新されたリソースを操作することができる。ここで言及されるリソースは、様々なエンティティ(例えば、AE、CSEなどのエンティティなど、モノのインターネット機器におけるソフトウェアモジュールとして具体化されてもよい)のリソースを含むことに注意してください。エンティティは、通信デバイスのソフトウェアモジュールを表すことができ、共通サービスエンティティは、サービスプラットフォームのソフトウェアモジュールを表すことができ、サービスプラットフォームは、ローカル又はリモートであってもよい。必要に応じて、更新されたリソースに対する操作は、例えば、更新されたリソースの情報の取得、更新されたリソースの情報の削除、更新されたリソースの情報のサードパーティへの通知、又は更新されたリソースの情報に基づいた他のリソースの操作を含む。
本開示では、アプリケーションエンティティAE、共通サービスエンティティCSE、及びデータなどの記載されたエンティティは、全て、リソースで表すことができる。リソースには、属性とサブリソースを含む一意の識別子を付けることができる。属性は、リソース関連の情報を記憶するために使用され、サブリソースは、リソースの次のレベルのリソースであり、リソースには、サブリソースを指すインデックスが含まれる。
図2は、本開示の実施例に係るサーバ/クライアント機器の概略図を示す。モノのインターネットシステムにおいて、サーバを使用して上記のサービスプラットフォームを実現し、クライアント機器を使用して上記の端末装置を実現することができる。
図2は、本開示のいくつかの実施例に係るコンピュータ機器のアーキテクチャである。このようなコンピュータ機器は、本開示で開示されるサーバ機器又はクライアント機器を実現するために使用することができる。このようなコンピュータには、パーソナルコンピュータ、ラップトップパソコン、タブレットコンピュータ、携帯電話、パーソナルデジタルアシスタント(personal digital assistance、PDA)、スマートグラス、スマートウォッチ、スマートリング、スマートヘルメット、及び任意のスマートポータブルデバイス又はウェアラブルデバイスが含まれる。いくつかの実施例において、図2に示すコンピューティングデバイスのアーキテクチャを使用して、スマートスイッチ、スマートゲートウェイ、スマートライスクッカー、スマート精製器などの、モノのインターネットシステムにおける様々なスマートホーム端末装置を実現することもできる。本実施例の特定のシステムは、機能ブロック図を使用して、ユーザインタフェースを含むハードウェアプラットフォームを説明する。このようなコンピュータ機器は、汎用コンピュータ機器又は特殊目的のコンピュータ機器であってもよい。両方のコンピュータ機器を使用して、本実施例におけるサーバ機器又は端末のクライアント機器を実現することができる。コンピュータシステム200は、モノのインターネット通信に必要な情報を提供する、現在説明されているコンポーネントのいずれかを実装することができる。例えば、コンピュータシステム200は、そのハードウェアデバイス、ソフトウェアプログラム、ファームウェア、及びそれらの組み合わせを介して、コンピュータ機器によって実装することができる。便宜上、図2には1つのコンピュータ機器のみを示しているが、モノのインターネット通信に必要な情報を提供するための、本実施例で説明された関連するコンピュータ機能は、類似のプラットフォームのグループによって分散方式で実装可能であり、システムの処理負荷を分散する。
コンピュータシステム200は、通信ポート250を含むことができ、通信ポート250にデータ通信実現のためのネットワークが接続されている。コンピュータシステム200はプログラム命令を実行するためのプロセッサ220をさらに含むことができる。前記プロセッサ220は、1つ又は複数のプロセッサにより構成されてもよい。コンピュータ200は、内部通信バス210を含むことができる。コンピュータ200は、コンピュータ処理及び/又は通信に必要な様々なデータファイル、及びプロセッサによって実行可能なプログラム命令を記憶するための、ハードディスク270、読み取り専用メモリ(ROM)230、及びランダムアクセスメモリ(RAM)240などの異なる形態のプログラム記憶ユニット及びデータ記憶ユニットを含むことができる。コンピュータシステム200は、コンピュータシステム200と他のコンポーネント(例えば、ユーザインタフェース280)との間のデータストリームの入力/出力をサポートするための入力/出力コンポーネント260をさらに含むことができる。コンピュータシステム200はさらに通信ポート250を介して情報及びデータを送受信することができる。
いくつかの実施例において、上記のコンピュータシステム200は、モノのインターネット通信システムにおけるサーバを形成するために使用することができる。モノのインターネット通信システムのサーバは、サーバハードウェアデバイス又はサーバグループであってもよい。サーバグループ内の各サーバは、有線又は無線ネットワークを介して接続されてもよい。サーバグループは、データセンターなどのように一元化されてもよい。サーバグループは、分散システムなどのように分散式であってもよい。
上記は、モノのインターネット通信のセキュリティ認証に必要な情報を提供する方法の異なる側面及び/又はプログラムを通じて他のステップを実現する方法を説明している。テクノロジーのプログラム部分は、実行可能なコード及び/又は関連データの形式で存在する「製品」又は「商品」と見なすことができ、コンピュータ読み取り可能な媒体を介して参加するか、又はそれによって実現される。有形の永続的な記憶媒体は、任意のコンピュータ、プロセッサ、又は同様のデバイス又は関連モジュールによって使用される内部メモリ又はメモリを含むことができる。例えば、様々な半導体メモリ、テープドライブ、ディスクドライブ、又はソフトウェアに記憶機能を提供可能な任意の同様のデバイスを含む。
図3は本開示に係るセキュリティ認証方法の概略フローチャートを示す。
モノのインターネットシステムのセキュリティ認証方法において、アプリケーションエンティティの識別子を使用して、アプリケーションエンティティのセキュリティ認証を実行することができる。例えば、アプリケーションエンティティの識別子とアプリケーションエンティティに関連付けられたデジタル証明書を使用して、アプリケーションエンティティのセキュリティ認証を実現することができる。
一般的に、アプリケーションエンティティの識別子AE−IDは、一意であり、かつ、一定である。事前に設定されたアプリケーションエンティティ識別子AE−IDを、セキュリティ認証の接続基準として常に使用すると、安全でない場合がある。例えば、サードパーティのデバイスが何らかの方法でアプリケーションエンティティの識別子AE−IDを取得し、当該識別子を使用してアプリケーションエンティティに偽装して、共通サービスエンティティとの接続を確立すると、アプリケーションエンティティは、盗まれたり占有されたりするおそれがある。
したがって、他のいくつかの実施例において、アプリケーションエンティティの識別子AE−IDを使用して、セキュリティ認証のための動的セキュリティ識別子を生成することにより、アプリケーションエンティティのセキュリティ認証を実現することができる。
図3に示すように、アプリケーションエンティティAEは、現在のアプリケーションエンティティの識別子と当該識別子に関連付けられたセキュリティ識別子を取得することができる。ここに記載されているアプリケーションエンティティの識別子は、アプリケーションエンティティのソフトウェアのファームウェアラベルを指すことができ、アプリケーションエンティティのハードウェアの一意の識別コードを指すこともできる。
アプリケーションエンティティAEがリソースの作成などのアクセス要求を共通サービスエンティティCSEへ伝送するとき、アプリケーションエンティティは、共通サービスエンティティCSEのサービスアドレスにアクセスすることにより、共通サービスエンティティCSEとの物理接続を確立する。アプリケーションエンティティAEから共通サービスエンティティCSEへ伝送される要求には、アプリケーションエンティティAEの識別子が含まれてもよい。いくつかの実施例において、当該要求には、アプリケーションエンティティのセキュリティ識別子が含まれてもよい。今回、アプリケーションエンティティAEは、初めて接続要求を共通サービスエンティティへ伝送する場合、アプリケーションエンティティAEから共通サービスエンティティCSEに今回伝送されるセキュリティ識別子が、デフォルトのセキュリティ識別子であるか、又は当該要求にセキュリティ識別子が含まれていない。デフォルトのセキュリティ識別子は、ユーザによって事前に設定されてもよい。今回、アプリケーションエンティティAEから、接続要求を共通サービスエンティティへ伝送するのが初めてではない場合、当該セキュリティ識別子は、現在のセキュリティ認証メカニズムによって使用されるセキュリティ識別子であってもよく、即ち、本開示によって提供される方法を用いて、アプリケーションエンティティのために生成されたセキュリティ識別子である。
共通サービスエンティティCSEがアプリケーションエンティティにより伝送されたアプリケーションエンティティAEの識別子及びセキュリティ識別子を受信した後、共通サービスエンティティCSEは、当該アプリケーションエンティティAEの識別子が共通サービスエンティティに記憶されているか否かを判定する。
当該アプリケーションエンティティAEの識別子と当該アプリケーションエンティティAEに関連付けられるセキュリティ識別子が、共通サービスエンティティCSEに記憶されていない場合、共通サービスエンティティCSEがランダム識別子を生成し、当該生成されたランダム識別子を使用して当該アプリケーションエンティティAEの識別子と新しい文字列を構成することができる。
いくつかの実施例において、ランダム識別子は、ランダム数であってもよい。共通サービスエンティティCSEは、事前に設定されたルールに基づいて、新しいランダム数を連続的に生成し、新しいランダム数とアプリケーションエンティティAEの識別子を、新しい文字列に組み合わせることにより、アプリケーションエンティティAEのセキュリティ識別子を動的に変更することを実現する。
いくつかの実施例において、当該ランダム識別子は、汎用一意識別子(Universally Unique Identifier)UUIDであってもよい。UUIDは、ソフトウェア構築の標準であり、オープンソフトウェアファンデーション(Open Software Foundation,OSF)の組織によって、分散コンピューティング環境(Distributed Computing Environment,DCE)の分野に使用される一部でもある。生成されると、当該UUIDは、一意の識別コードになる。共通のUUIDは、例えば、グローバルに一意の識別子GUIDであってもよい。
いくつかの実施例において、生成されたランダム識別子と当該アプリケーションエンティティAEの識別子を組み合わせて形成された文字列を、アプリケーションエンティティAEのセキュリティ識別子とすることができる。
いくつかの実現形態では、生成されたランダム識別子と当該アプリケーションエンティティAEの識別子を組み合わせて形成された文字列を、マッピング方法でより短い長さの文字列にマッピングすることができる。例えば、UUIDをランダム識別子とする場合、UUIDがより大きなスペースを占めるため、UUIDの記憶と伝送にも、より多くのシステムリソースが必要になる。したがって、生成されたランダム識別子とアプリケーションエンティティAEの識別子を組み合わせて形成された文字列を、マッピング方法でより短い長さの文字列にマッピングすることができ、それにより、セキュリティ識別子の記憶と伝送が容易になる。
いくつかの実施例において、ハッシュ(Hash)法を呼び出して、ランダム識別子とアプリケーションエンティティAEの識別子で構成される文字列を処理し、上記の文字列を、セキュリティ識別子としてのハッシュ値に変換することができる。MD4、MD5、SHAなどの一般的なハッシュアルゴリズムを使用して、上記のハッシュ値を生成することができる。
セキュリティ識別子をハッシュ値に変換することにより、セキュリティ識別子を圧縮して事前に設定された長さに保持し、セキュリティ識別子が占めるシステムリソースを削減することができる。
セキュリティ識別子としての上記のハッシュ値を生成した後、共通サービスエンティティCSEは、上記のセキュリティ識別子を、アプリケーションエンティティAEの識別子に関連付けるように共通サービスエンティティCSEのデータベースに記憶する。例えば、アプリケーションエンティティAEの識別子と、関連付けられるセキュリティ識別子を、キーと値のペアの形式で記憶することができる。同時に、共通サービスエンティティCSEが、セキュリティ識別子を対応するアプリケーションエンティティAEへ伝送可能であり、それにより、アプリケーションエンティティAEは、アプリケーションエンティティAEの識別子に関連付けられた当該セキュリティ識別子を記憶することができる。例えば、セキュリティ識別子とアプリケーションエンティティAEの識別子を、キーと値のペアの形式で記憶することができる。
いくつかの実施例において、アプリケーションエンティティAEは、セキュリティ識別子の確認情報を共通サービスエンティティCSEへ伝送することができる。確認情報を受信した後、共通サービスエンティティCSEは、アプリケーションエンティティAEの要求に応答して操作を実行し、例えば、アプリケーションエンティティAEによって伝送されたリソース作成の要求に応答して、リソースを作成する。
いくつかの実施例において、共通サービスエンティティCSEが、アプリケーションエンティティAEの識別子に関連付けられたセキュリティ識別子を記憶していると判断した場合、共通サービスエンティティCSEは、現在のアプリケーションエンティティによって伝送されたセキュリティ識別子と、共通サービスエンティティSCEに記憶されているセキュリティ識別子とが、一致するか否かを判断する。アプリケーションエンティティAEによって伝送されたセキュリティ識別子と、共通サービスエンティティSCEに記憶されているセキュリティ識別子とが、一致しないか、又はアプリケーションエンティティAEがアプリケーションエンティティAEの識別子のみを伝送し、同時にアプリケーションエンティティAEに関連付けられる識別子を伝送しない場合、共通サービスエンティティCSEは、アプリケーションエンティティAEのデータ接続を拒否する。
アプリケーションエンティティAEによって伝送されたセキュリティ識別子が、共通サービスエンティティCSEに記憶されているセキュリティ識別子に準拠している場合、共通サービスエンティティCSEは、アプリケーションエンティティAEがセキュリティ認証に成功したと見なす。アプリケーションエンティティAEと共通サービスエンティティCSEの間のデータ接続を確立して、データ伝送を実行する。
いくつかの実施例において、共通サービスエンティティCSEは、事前に設定されたルールに基づいて、アプリケーションエンティティAEに使用されるセキュリティ識別子を更新する。例えば、共通サービスエンティティCSEは、アプリケーションエンティティAEに使用されるランダム識別子を所定の時間間隔に更新することができる。例えば、ユーザが事前に設定した時間間隔(例えば、5分間、10分間など)に従って、ランダム識別子の更新を実行する。上記の時間間隔は、単なる例示的な実施例であり、本開示に対する限定を構成するものではない。当業者は、実際の状況に応じて更新の時間間隔を設定することができる。したがって、共通サービスエンティティCSEが、セキュリティ識別子の現在の使用時間がユーザによって事前に設定された時間間隔を超えていると判断した場合、セキュリティ識別子の更新を実行することができる。
また、例えば、共通サービスエンティティCSEは、前記セキュリティ識別子のセキュリティ認証に使用される回数が事前に設定された閾値を超えるか否かに応じて、ランダム識別子の更新を実行することができる。例えば、現在のセキュリティ識別子で所定の回数(例えば、5回、10回など)のセキュリティ認証を実行した場合、当該セキュリティ識別子を更新することができる。
いくつかの実施例において、更新操作は、共通サービスエンティティCSEが新しいランダム識別子を生成し、アプリケーションエンティティAEの識別子と新しいランダム識別子とに基づいて、新しいセキュリティ識別子を生成するステップを含むことができる。セキュリティ識別子が更新された後、共通サービスエンティティCSEは、更新されたセキュリティ識別子を対応するアプリケーションエンティティAEへ伝送し、それにより、アプリケーションエンティティAEが、アプリケーションエンティティAEに記憶されているセキュリティ識別子を更新することができる。
本開示によって提供されるセキュリティ認証のためのデータ処理方法を使用して、AE機器の動的セキュリティ認証を実現することができる。元のアプリケーションエンティティ識別子AE−ID及びランダムに変更されるランダム識別子に基づいて、アプリケーションエンティティAEの識別子AE−ID及び/又はセキュリティ識別子が盗まれても、アプリケーションエンティティAEと共通サービスエンティティCSEの間の通信中に、セキュリティ識別子が絶えず変化しているため、この期間中、新しいセキュリティ識別子が継続的に生成される。本開示によって提供されるセキュリティ認証メカニズムを使用して、アプリケーションエンティティのアクセスのセキュリティを強化し、httpプロトコルなどを介した他のデバイスによるデータ伝送中に、傍受又は監視され、他のデバイスが登録されたアプリケーションエンティティに偽装して、共通アプリケーションエンティティCSEの登録されたリソースを取得してアクセスし、引き起こされたデータ漏洩とデータによる輻輳の問題を解決する。
また、本開示では、UUIDをランダム識別子としての例を使用することができ、ハッシュ関数(Hash)を使用して、アプリケーションエンティティAEの識別子とランダム識別子(例えば、UUID)で構成される文字列を、一定長のハッシュ値に変換して、収縮写像を実現する。セキュリティ識別子のストレージスペースを節約する。
図4は、本開示の実施例に係るセキュリティ認証のためのデータ処理方法の例示的なフローチャートを示す。図4に示すデータ処理方法は、図2に示すサーバ機器によって実行することができる。図4に示すように、データ処理方法は、アプリケーションエンティティの識別子を受信するステップS402と、少なくとも前記識別子に基づいて、前記アプリケーションエンティティための動的セキュリティ識別子を生成するステップS404と、前記セキュリティ識別子を前記アプリケーションエンティティへ伝送するステップS406と、前記セキュリティ識別子に基づいて、前記アプリケーションエンティティに対し、セキュリティ認証操作を実行するステップS408と、を含むことができる。
いくつかの実施例において、ステップS404は、前記識別子とランダム識別子とに基づいて、前記セキュリティ識別子を生成するステップを含むことができる。
ステップS404において、前記セキュリティ識別子の生成は、前記識別子と前記ランダム識別子とを組み合わせて、文字列を生成するステップと、ハッシュアルゴリズムを用いて、前記文字列をハッシュ値に変換し、前記ハッシュ値を前記セキュリティ識別子とするステップとを含むことができる。ここで、アプリケーションエンティティの識別子及びランダム識別子を任意の方法で組み合わせてもよい。例えば、アプリケーションエンティティの識別子を前に、ランダム識別子を後ろにするように、アプリケーションエンティティの識別子及びランダム識別子を組み合わせてもよい。また、例えば、ランダム識別子を前に、アプリケーションエンティティの識別子を後ろにするように、アプリケーションエンティティの識別子とランダム識別子を組み合わせてもよい。また、例えば、アプリケーションエンティティの識別子とランダム識別子の文字順を、事前に設定された方法で再配列し、新しい組み合わせの文字列を形成することができる。いくつかの実施例において、ランダム識別子は、汎用一意識別子(UUID)であってもよい。
いくつかの実施例において、ステップS404は、生成された動的セキュリティ識別子をアプリケーションエンティティの識別子に関連付けてデータベースに記憶するステップと、生成された動的セキュリティ識別子を、セキュリティ識別子に関連付けられるアプリケーションエンティティへ伝送するステップと、を含むことができる。
ステップS406において、セキュリティ識別子を、アプリケーションエンティティへ伝送して記憶させる。
ステップS408において、前記アプリケーションエンティティから受信されたセキュリティ識別子と、受信された識別子に関連付けられて、データベースに記憶されたセキュリティ識別子とを比較し、受信されたセキュリティ識別子と、受信された識別子に関連付けられて、データベースに記憶されたセキュリティ識別子とが一致することを、比較結果により示す場合、認証に成功し、そうでない場合、認証に失敗する。
図4に示すデータ処理方法400は、更新操作を実現するための次のステップをさらに含むことができる。事前に設定されたルールに基づいて、前記アプリケーションエンティティに使用されるセキュリティ識別子を更新し、識別子に関連付けられ、データベースに記憶されたセキュリティ識別子を、前記更新されたセキュリティ識別子に置き換える。前記事前に設定されたルールは、前回の更新からの時間が、事前に設定された時間閾値を超えているか否かを含むことができる。例えば、ユーザによって事前に設定した時間間隔が経過した後に、上記の更新操作を実行することができる。又は、前記事前に設定されたルールは、前記セキュリティ識別子のセキュリティ認証に使用される回数が事前に設定された閾値を超えているか否かを含む。例えば、現在使用されているセキュリティ識別子が事前に設定された回数以上のセキュリティ認証操作を受けた場合に、上記の更新操作を実行することができる。
本開示によって提供されるセキュリティ認証のためのデータ処理方法を使用し、事前に設定されたルールに従って、アプリケーションエンティティに使用されるセキュリティ識別子を、定期的に新しいセキュリティ識別子に更新することができる。したがって、セキュリティ識別子が盗まれても、一定の時間が経過すると、以前に生成されたセキュリティ識別子でセキュリティ認証に成功することができない技術的効果を実現する。
図5は、本開示の実施例に係るセキュリティ認証のための方法を示す。図5に示すセキュリティ認証のための方法は、クライアント機器によって実現することができる。
図5に示すように、データ処理方法は、アプリケーションエンティティの識別子を含む接続要求を、共通サービスエンティティへ伝送するステップS502と、共通サービスエンティティにより生成された動的セキュリティ識別子を受信するステップS504と、前記識別子に関連付けられて記憶されているセキュリティ識別子を、前記共通サービスエンティティから受信されたセキュリティ識別子に置き換えるステップS506と、を含むことができる。
つまり、クライアント機器は、共通サービスエンティティにより伝送された、クライアント機器におけるアプリケーションエンティティに関連付けられるセキュリティ識別子を受信することにより、クライアント機器におけるアプリケーションエンティティと共通サービスエンティティとの間の動的セキュリティ認証を実現することができる。
いくつかの実施例において、上記のアプリケーションエンティティから共通サービスエンティティへ伝送される要求には、アプリケーションエンティティの識別子に関連付けられるセキュリティ識別子が含まれてもよい。
いくつかの実施例において、セキュリティ識別子は、前記アプリケーションエンティティの識別子とランダム識別子に基づいて生成される。前記ランダム識別子は、汎用一意識別子(UUID)であってもよい。
クライアント機器の場合、共通サービスエンティティCSEが、セキュリティ識別子に対して更新操作を実行した後、クライアント機器が更新されたセキュリティ識別子を受信して記憶し、次に共通サービスエンティティに接続要求を伝送するとき、セキュリティ認証操作のために、更新されたセキュリティ識別子を通用アプリケーションエンティティCSEへ伝送する。
本開示によって提供されるセキュリティ認証のためのデータ処理方法を使用して、アプリケーションエンティティのアクセスするときのセキュリティを強化する技術的効果を実現し、httpプロトコルを介した伝送などのデータ伝送中に傍受又は監視され、他のデバイスが登録されたアプリケーションエンティティに偽装して、共通アプリケーションエンティティCSEの登録されたリソースを取得してアクセスし、引き起こされたデータ漏洩とデータによる輻輳の問題を解決する。
本開示の別の態様によれば、コンピュータプログラム命令が記憶されているコンピュータ読み取り可能な記憶媒体であって、前記コンピュータプログラム命令がプロセッサによって実行されるとき、前述のようなデータ処理方法を実現するコンピュータ読み取り可能な記憶媒体をさらに提供する。
本開示の別の態様によれば、サーバ機器をさらに提供する。サーバ機器は、コンピュータプログラム命令がプロセッサによって読み取られるときに、サーバ機器に図4に記載のデータ処理方法を実行させるように構成されるプロセッサを含むことができる。サーバ機器は、データベースとして機能する記憶ユニットをさらに含むことができ、前記データベースが、前記識別子と前記識別子に関連付けられたセキュリティ識別子とを記憶するように構成されてもよい。
本開示の別の態様によれば、クライアント機器をさらに提供する。前記クライアント機器は、アプリケーションエンティティに対応する識別子を含む接続要求を、共通サービスエンティティへ伝送するように構成される出力装置と、共通サービスエンティティにより生成された動的セキュリティ識別子を受信するように構成される入力装置と、前記アプリケーションエンティティに使用されるセキュリティ識別子と前記識別子とを関連付けて記憶するように構成される記憶装置と、記憶された、前記アプリケーションエンティティに使用されるセキュリティ識別子を、共通サービスエンティティから受信されたセキュリティ識別子に置き換えるように構成されるプロセッサと、を含むことができる。
コンピュータで読み取り可能な媒体は、有形の記憶媒体、キャリア波媒体、又は物理的な伝送媒体などを含む多くの形態をとることができる。安定した記憶媒体は、光学ディスク又は磁気ディスク、及び、他のコンピュータ又は同様のデバイスで使用され、図に記載されているシステムコンポーネントを実現できる記憶システムを含むことができる。不安定な記憶媒体は、コンピュータプラットフォームのメインメモリなどの動的メモリを含むことができる。有形の伝送媒体は、コンピュータシステム内でバスを形成するケーブルなどの同軸ケーブル、銅ケーブル、及び光ファイバを含むことができる。キャリア波伝送媒体は、電気信号、電磁信号、音響波信号、又は光波信号などを伝送することができる。これらの信号は、無線周波数又は赤外線データ通信方式で生成することができる。一般的なコンピュータ読み取り可能な媒体は、ハードディスク、フロッピーディスク、磁気テープ、その他の磁気媒体、CD−ROM、DVD、DVD−ROM、その他の任意の光学媒体、パンチカード、小さな穴のパターンを含むその他の任意の物理的な記憶媒体、RAM、PROM、EPROM、FLASH(登録商標)−EPROM、その他の任意のメモリチップ又は磁気テープ、データ又は命令を伝送するキャリア波、ケーブル、又はキャリア波を伝送する接続装置、コンピュータで読み取り可能なその他の任意のプログラムコード及び/又はデータを含むことができる。これらのコンピュータ読み取り可能な媒体の形態において、多くの形態は、プロセッサが命令を実行し、1つ以上の結果を伝送するプロセスに現れる。
本出願の「モジュール」とは、ハードウェア、ファームウェアに記憶されているロジック又はソフトウェア命令のセットを指す。本明細書で言及される「モジュール」は、ソフトウェア及び/又はハードウェアモジュールによって実行することができるか、又は任意のコンピュータ読み取り可能な非一時的な媒体又は他の記憶装置に記憶することができる。いくつかの実施例において、ソフトウェアモジュールをコンパイルして、実行可能なプログラムにリンクすることができる。明らかなように、ここでのソフトウェアモジュールは、それ自体又は他のモジュールによって伝送された情報に応答することができ、及び/又は特定のイベント又は割り込みが検出されたときに応答することができる。ソフトウェアモジュールを、コンピュータ読み取り可能な媒体に提供してもよく、当該ソフトウェアモジュールは、コンピューティングデバイス(例えば、プロセッサ220)上で動作を実行するように構成されてもよい。ここでのコンピュータ読み取り可能な媒体は、光ディスク、デジタル光ディスク、フラッシュディスク、磁気ディスク、又は他の種類の任意の有形媒体であってもよい。ソフトウェアモジュールを、デジタルダウンロードモードでも取得できる(ここでのデジタルダウンロードは、圧縮パッケージ又はインストールパッケージに記憶されているデータが、実行される前に解凍又はデコードする必要があることを含む)。ここでのソフトウェアモジュールのコードは、操作を実行するコンピューティングデバイスの記憶装置に部分的又は完全に記憶され、コンピューティングデバイスの操作に使用される。ソフトウェア命令は、消去可能なプログラム可能な読み取り専用メモリ(EPROM)などのファームウェアに組み込むことができる。明らかなように、ハードウェアモジュールは、一体に接続可能な論理ユニットを含むことができ、例えば、ゲート、フリップフロップ、及び/又は、プログラム可能なゲートアレイ又はプロセッサなどのプログラム可能なユニットを含むことができる。ここで記載のモジュール又はコンピューティングデバイスの機能は、好ましくはソフトウェアモジュールとして実装されるが、ハードウェア又はファームウェアで表現することもできる。一般に、ここで説明するモジュールは論理モジュールであり、具体的な物理的形式やメモリによって制限されない。モジュールは、他のモジュールと組み合わせたり、一連のサブモジュールに分割したりすることができる。
全てのソフトウェア又はその一部は、インターネットやその他の通信ネットワークなどのネットワークを介して通信する場合がある。このタイプの通信では、ソフトウェアを、あるコンピュータ機器又はプロセッサから別のコンピュータ機器又はプロセッサにロードすることができる。例えば、モノのインターネット通信システムのサーバ又はホストコンピュータからコンピュータ環境のハードウェアプラットフォーム、又はシステムを実現するための他のコンピュータ環境、又はモノのインターネット通信システムに必要な情報の提供に関連する同様の機能を備えたシステムにロードする。したがって、ソフトウェア要素を伝送可能な別の媒体を、光波、電波、電磁波などのローカルデバイス間の物理接続として使用してもよく、ケーブル、光ケーブル、又は空気を介して、伝達を実現する。ケーブル、ワイヤレス接続、又は光ケーブルなどの、キャリア波に使用される物理媒体も、ソフトウェアを伝送する媒体と見なすことができる。ここでの使用が有形の「記憶」媒体を制限しない限り、コンピュータ又はマシンの「読み取り可能な媒体」を表す他の用語は全て、プロセッサによる命令の実行プロセスに関与する媒体を指す。
特に定義されない限り、ここで使用される全ての用語(技術用語及び科学用語を含む)は、本開示の当業者によって一般に理解されるのと同じ意味を有する。また、通常の辞書で定義されているような用語は、関連する技術の文脈での意味と一致する意味を持つものとして解釈されるべきであり、ここで明示的に述べられていない限り、理想的又は極端に形式化された意味で解釈されるべきではないことも理解されたい。
上記は本発明の説明であり、その限定と見なされるべきではない。本発明のいくつかの例示的な実施例が記載されているが、当業者は、本発明の新規の教示及び利点から逸脱することなく、例示的な実施例に多くの修正を加えることができることを容易に理解する。したがって、これら全ての修正は、特許請求の範囲によって定義される本発明の範囲に含まれることを意図している。上記は本発明の説明であり、開示された特定の実施例に限定されると見なされるべきではなく、開示された実施例及び他の実施例への修正は、添付の特許請求の範囲に含まれることが意図されることを理解されたい。本発明は、特許請求の範囲及びそれらの同等物によって定義される。
220 中央処理装置
250 通信ポート
260 入出力
270 ハードディスク
250 通信ポート
260 入出力
270 ハードディスク
Claims (20)
- セキュリティ認証のためのデータ処理方法であって、
アプリケーションエンティティの識別子を受信するステップと、
少なくとも前記識別子に基づいて、前記アプリケーションエンティティの動的セキュリティ識別子を生成するステップと、
前記セキュリティ識別子を前記アプリケーションエンティティへ伝送するステップと、
前記セキュリティ識別子に基づいて、前記アプリケーションエンティティに対し、セキュリティ認証操作を実行するステップとを含む、データ処理方法。 - 少なくとも前記識別子に基づいて、前記アプリケーションエンティティの動的セキュリティ識別子を生成するステップは、
前記識別子とランダム識別子とに基づいて、前記セキュリティ識別子を生成するステップを含む、請求項1に記載のデータ処理方法。 - 前記識別子とランダム識別子とに基づいて、前記セキュリティ識別子を生成するステップは、
前記識別子と前記ランダム識別子とを組み合わせることにより、文字列を生成するステップと、
ハッシュアルゴリズムを使用して、前記文字列をハッシュ値に変換し、前記ハッシュ値を前記セキュリティ識別子とするステップとを含む、請求項2に記載のデータ処理方法。 - 前記識別子に関連付けられる前記セキュリティ識別子を記憶するステップをさらに含む、請求項1に記載のデータ処理方法。
- 事前に設定されたルールに基づいて、前記セキュリティ識別子に対し、更新操作を実行するステップと、
識別子に関連付けられて記憶されているセキュリティ識別子を、更新された前記セキュリティ識別子に置き換えるステップとをさらに含む、請求項4に記載のデータ処理方法。 - 前記ランダム識別子は、汎用一意識別子(UUID)を含む、請求項2に記載のデータ処理方法。
- 前記セキュリティ識別子に基づいて、前記アプリケーションエンティティに対し、セキュリティ認証操作を実行するステップは、
前記アプリケーションエンティティから受信されたセキュリティ識別子と、識別子に関連付けられて記憶されているセキュリティ識別子とを比較し、受信されたセキュリティ識別子と、受信された識別子に関連付けられて記憶されているセキュリティ識別子とが一致することを比較結果が示す場合、認証に成功し、そうでない場合、認証に失敗するステップとを含む、請求項4に記載のデータ処理方法。 - 前記事前に設定されたルールは、前回の更新からの時間が事前に設定された時間閾値を超えることを含む、請求項5に記載のデータ処理方法。
- 前記事前に設定されたルールは、セキュリティ認証に前記セキュリティ識別子が使用される回数が事前に設定された閾値を超えることを含む、請求項5に記載のデータ処理方法。
- セキュリティ認証のためのデータ処理方法であって、
アプリケーションエンティティの識別子を含む接続要求を、共通サービスエンティティへ伝送するステップと、
共通サービスエンティティから、前記アプリケーションエンティティに使用されるために生成された動的セキュリティ識別子を受信するステップと、
前記識別子に関連付けられて記憶されているセキュリティ識別子を、前記共通サービスエンティティから受信されたセキュリティ識別子に置き換えるステップとを含む、データ処理方法。 - 前記セキュリティ識別子は、前記アプリケーションエンティティの識別子とランダム識別子に基づいて生成される、請求項10に記載のデータ処理方法。
- コンピュータプログラム命令が記憶されているコンピュータ読み取り可能な記憶媒体であって、
前記コンピュータプログラム命令がプロセッサによって実行される場合、請求項1〜11のいずれかに記載のデータ処理方法を実現する、コンピュータ読み取り可能な記憶媒体。 - アプリケーションエンティティにより伝送された、前記アプリケーションエンティティに対応する識別子を含む接続要求を受信すること、少なくとも前記識別子に基づいて、前記アプリケーションエンティティの動的セキュリティ識別子を生成すること、前記識別子及び前記セキュリティ識別子に基づいて、前記アプリケーションエンティティに対してセキュリティ認証操作を実行すること、生成されたセキュリティ識別子を前記アプリケーションエンティティへ伝送することを行うように構成されるプロセッサと、
前記識別子と前記識別子に関連付けられるセキュリティ識別子とを記憶するように構成されるデータベースとを含む、サーバ。 - 少なくとも前記識別子に基づいて、前記アプリケーションエンティティの動的セキュリティ識別子を生成することは、前記識別子とランダム識別子とに基づいて、前記セキュリティ識別子を生成することを含む、請求項13に記載のサーバ。
- 前記プロセッサは、さらに、
前記識別子と前記ランダム識別子とを組み合わせることにより、文字列を生成すること、
ハッシュアルゴリズムにより前記文字列をハッシュ値に変換し、前記ハッシュ値を前記セキュリティ識別子とすることを行うように構成される、請求項14に記載のサーバ。 - 前記プロセッサは、さらに、
事前に設定されたルールに基づいて、前記セキュリティ識別子に対し、更新操作を実行するように構成される、請求項14に記載のサーバ。 - 前記セキュリティ認証操作は、
前記アプリケーションエンティティから受信されたセキュリティ識別子と、受信された識別子に関連付けられてデータベースに記憶されているセキュリティ識別子とを比較し、受信されたセキュリティ識別子と、受信された識別子に関連付けられてデータベースに記憶されているセキュリティ識別子とが一致することを、比較結果が示す場合、認証に成功し、そうでない場合、認証に失敗することとを含む、請求項13に記載のサーバ。 - 前記事前に設定されたルールは、前回の更新からの時間が事前に設定された時間閾値を超えることを含む、請求項16に記載のサーバ。
- 前記事前に設定されたルールは、セキュリティ認証に前記セキュリティ識別子が使用される回数が事前に設定された閾値を超えることを含む請求項16に記載のサーバ。
- アプリケーションエンティティに対応する識別子を含む接続要求を、共通サービスエンティティへ伝送するように構成される出力装置と、
共通サービスエンティティにより、前記アプリケーションエンティティに使用されるために生成された動的セキュリティ識別子を受信するように構成される入力装置と、
前記アプリケーションエンティティに使用されるセキュリティ識別子と前記識別子とを関連付けて記憶するように構成される記憶装置と、
記憶された前記アプリケーションエンティティに使用されるセキュリティ識別子を、共通サービスエンティティから受信されたセキュリティ識別子に置き換えるように構成されるプロセッサと、を含むクライアント機器。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810984347.2A CN110868374A (zh) | 2018-08-27 | 2018-08-27 | 安全认证方法、服务器及客户端设备 |
| CN201810984347.2 | 2018-08-27 | ||
| PCT/CN2019/101645 WO2020042973A1 (zh) | 2018-08-27 | 2019-08-20 | 用于安全认证的数据处理方法、服务器、客户端设备和介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2021535497A true JP2021535497A (ja) | 2021-12-16 |
| JP7509753B2 JP7509753B2 (ja) | 2024-07-02 |
Family
ID=69645024
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021510665A Active JP7509753B2 (ja) | 2018-08-27 | 2019-08-20 | セキュリティ認証のためのデータ処理方法、サーバ、クライアント機器及び媒体 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US11621950B2 (ja) |
| EP (1) | EP3846054A4 (ja) |
| JP (1) | JP7509753B2 (ja) |
| KR (1) | KR102678671B1 (ja) |
| CN (1) | CN110868374A (ja) |
| WO (1) | WO2020042973A1 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11936525B2 (en) * | 2019-10-01 | 2024-03-19 | Lenovo (Singapore) Pte. Ltd. | Determining a time to perform an update |
| CN112232816A (zh) * | 2020-10-15 | 2021-01-15 | 北京新创智链科技有限公司 | 支付交易数据处理方法、装置、设备及存储介质 |
| EP4160978B1 (en) * | 2021-09-30 | 2024-07-31 | Tata Consultancy Services Limited | System and method to randomize distribution of cryptographic keys across multiple secure key storage devices |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005267433A (ja) * | 2004-03-19 | 2005-09-29 | Fujitsu Ltd | 利用者仮識別子を用いるネットワークサービスシステム |
| JP2006004149A (ja) * | 2004-06-17 | 2006-01-05 | Kddi Corp | 利用者認証システムおよび方法 |
| US20100106771A1 (en) * | 2008-10-24 | 2010-04-29 | Samsung Electronics Co., Ltd. | Method and apparatus for communication based on certification using static and dynamic identifier |
| JP2014515143A (ja) * | 2011-04-08 | 2014-06-26 | トレーディング テクノロジーズ インターナショナル インコーポレイテッド | 取引戦略アルゴリズムの承認 |
| JP2015215663A (ja) * | 2014-05-08 | 2015-12-03 | 日本電信電話株式会社 | 認証方法と認証装置と認証プログラム |
| JP2016099765A (ja) * | 2014-11-20 | 2016-05-30 | アプリックスIpホールディングス株式会社 | アプリケーション認証システム、無線通信システム、管理サーバ、および、認証情報発行方法 |
| JP2018516027A (ja) * | 2015-04-10 | 2018-06-14 | ツーアイピー カンパニー リミテッド | サーバとクライアントの動作方法、サーバ、及びクライアント装置 |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102932336B (zh) * | 2012-10-18 | 2015-11-25 | 北京奇虎科技有限公司 | 终端标识方法与装置 |
| JP6287122B2 (ja) * | 2013-01-24 | 2018-03-07 | 株式会社リコー | 情報処理システム及び情報処理方法 |
| CN103236927B (zh) * | 2013-04-16 | 2016-09-14 | 中国科学技术大学 | 一种基于动态身份标识的认证方法及系统 |
| US9087216B2 (en) * | 2013-11-01 | 2015-07-21 | Anonos Inc. | Dynamic de-identification and anonymity |
| CN103780620B (zh) * | 2014-01-22 | 2017-05-24 | 牟大同 | 一种网络安全方法和网络安全系统 |
| US10313858B2 (en) | 2014-07-21 | 2019-06-04 | Convida Wireless, Llc | Service layer interworking using MQTT protocol |
| CN104579694B (zh) * | 2015-02-09 | 2018-09-14 | 浙江大学 | 一种身份认证方法及系统 |
| CN104618120B (zh) | 2015-03-04 | 2018-01-23 | 青岛微智慧信息有限公司 | 一种移动终端密钥托管数字签名方法 |
| CN104980920B (zh) * | 2015-05-20 | 2018-10-02 | 小米科技有限责任公司 | 智能终端建立通信连接的方法及装置 |
| US10354279B2 (en) * | 2015-05-21 | 2019-07-16 | Cloudtraq Llc | Virtual teleportation systems and methods |
| CN106331772A (zh) | 2015-06-17 | 2017-01-11 | 阿里巴巴集团控股有限公司 | 数据校验方法、装置和智能电视系统 |
| CN106960148B (zh) * | 2016-01-12 | 2021-05-14 | 阿里巴巴集团控股有限公司 | 一种设备标识的分配方法和装置 |
| CN105743638B (zh) * | 2016-05-13 | 2018-10-23 | 江苏中天科技软件技术有限公司 | 基于b/s架构系统客户端授权认证的方法 |
| CN107404461B (zh) | 2016-05-19 | 2021-01-26 | 阿里巴巴集团控股有限公司 | 数据安全传输方法、客户端及服务端方法、装置及系统 |
| CN109716724A (zh) | 2016-07-11 | 2019-05-03 | 泰利特通讯股份公司 | 与服务器通信的通信设备的双网认证的方法和系统 |
| JP6779700B2 (ja) | 2016-08-04 | 2020-11-04 | 古野電気株式会社 | 制御機器の認証システム、制御機器の認証方法、及び制御機器のプログラム |
| US10320573B2 (en) | 2016-11-09 | 2019-06-11 | Arizona Board Of Regents On Behalf Of Northern Arizona University | PUF-based password generation scheme |
| CN108173662B (zh) | 2018-02-12 | 2019-12-24 | 海信集团有限公司 | 一种设备的认证方法和装置 |
-
2018
- 2018-08-27 CN CN201810984347.2A patent/CN110868374A/zh active Pending
-
2019
- 2019-08-20 US US17/270,533 patent/US11621950B2/en active Active
- 2019-08-20 EP EP19854559.2A patent/EP3846054A4/en active Pending
- 2019-08-20 KR KR1020217008682A patent/KR102678671B1/ko active IP Right Grant
- 2019-08-20 JP JP2021510665A patent/JP7509753B2/ja active Active
- 2019-08-20 WO PCT/CN2019/101645 patent/WO2020042973A1/zh unknown
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005267433A (ja) * | 2004-03-19 | 2005-09-29 | Fujitsu Ltd | 利用者仮識別子を用いるネットワークサービスシステム |
| JP2006004149A (ja) * | 2004-06-17 | 2006-01-05 | Kddi Corp | 利用者認証システムおよび方法 |
| US20100106771A1 (en) * | 2008-10-24 | 2010-04-29 | Samsung Electronics Co., Ltd. | Method and apparatus for communication based on certification using static and dynamic identifier |
| JP2014515143A (ja) * | 2011-04-08 | 2014-06-26 | トレーディング テクノロジーズ インターナショナル インコーポレイテッド | 取引戦略アルゴリズムの承認 |
| JP2015215663A (ja) * | 2014-05-08 | 2015-12-03 | 日本電信電話株式会社 | 認証方法と認証装置と認証プログラム |
| JP2016099765A (ja) * | 2014-11-20 | 2016-05-30 | アプリックスIpホールディングス株式会社 | アプリケーション認証システム、無線通信システム、管理サーバ、および、認証情報発行方法 |
| JP2018516027A (ja) * | 2015-04-10 | 2018-06-14 | ツーアイピー カンパニー リミテッド | サーバとクライアントの動作方法、サーバ、及びクライアント装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| US11621950B2 (en) | 2023-04-04 |
| KR20210041085A (ko) | 2021-04-14 |
| CN110868374A (zh) | 2020-03-06 |
| EP3846054A4 (en) | 2022-05-25 |
| EP3846054A1 (en) | 2021-07-07 |
| KR102678671B1 (ko) | 2024-06-27 |
| WO2020042973A1 (zh) | 2020-03-05 |
| US20210194869A1 (en) | 2021-06-24 |
| JP7509753B2 (ja) | 2024-07-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU2010249698B2 (en) | Model based multi-tier authentication | |
| US20180248879A1 (en) | Method and apparatus for setting access privilege, server and storage medium | |
| JP7509753B2 (ja) | セキュリティ認証のためのデータ処理方法、サーバ、クライアント機器及び媒体 | |
| US20170201378A1 (en) | Electronic device and method for authenticating identification information thereof | |
| JP2016512407A (ja) | トラステッドサービスマネージャデータの保護および秘密性のためのトラステッドセキュリティゾーンコンテナ | |
| KR101465966B1 (ko) | 클라우드 환경에서의 데이터 암호화 처리 장치 및 방법 | |
| CN109347839B (zh) | 集中式密码管理方法、装置、电子设备及计算机存储介质 | |
| US8190636B2 (en) | Method, apparatus and computer program product for providing object privilege modification | |
| US20170257367A1 (en) | Electronic devices and method for performing authentication between electronic devices | |
| US10469517B1 (en) | Centralized security for connected devices | |
| US9628567B2 (en) | Methods and systems for efficient discovery of devices in a peer-to-peer network | |
| US11928349B2 (en) | Access control configurations for shared memory | |
| US11899946B2 (en) | Customer-specific activation of functionality in a semiconductor device | |
| US20220086182A1 (en) | Risk-adaptive dns forwarder | |
| CN111937013B (zh) | 电子设备管理 | |
| US10237303B2 (en) | Prevalence-based reputations | |
| CN113468188A (zh) | 一种SELinux策略库更新的方法及装置 | |
| EP3243312A1 (en) | Permission management for contacts with multiple identities | |
| US20240106889A1 (en) | Data resource storage method and apparatus, data resource query method and apparatus, and electronic device | |
| US10848942B1 (en) | Validating over-the-air configuration commands | |
| US20220217158A1 (en) | System for detecting and remediating computing system breaches using computing network traffic monitoring | |
| KR102222006B1 (ko) | 홈허브 단말의 암호 관리 방법, 그 방법을 수행하는 장치 및 컴퓨터 프로그램 | |
| CN114902638A (zh) | 用于压缩配置文件分布的方法和装置 | |
| CN111414388A (zh) | 一种结构化数据处理方法和装置 | |
| KR20230056251A (ko) | 키 격리 기반의 서명 방법 및 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220817 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230815 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230828 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20231128 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20240109 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20240408 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240527 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240620 |