JP2828218B2 - 分散通信ネットワークにおける許可パスワードまたはキーの変更方法およびシステム - Google Patents
分散通信ネットワークにおける許可パスワードまたはキーの変更方法およびシステムInfo
- Publication number
- JP2828218B2 JP2828218B2 JP7509510A JP50951095A JP2828218B2 JP 2828218 B2 JP2828218 B2 JP 2828218B2 JP 7509510 A JP7509510 A JP 7509510A JP 50951095 A JP50951095 A JP 50951095A JP 2828218 B2 JP2828218 B2 JP 2828218B2
- Authority
- JP
- Japan
- Prior art keywords
- key
- kold
- knew
- user
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
【発明の詳細な説明】 [技術分野] 現在の通信ネットワークでは、ユーザ間の認証(本明
細書では後述のようにきわめて広く意味で用いる)は通
常、パスワードまたは暗号キーに基づいて暗号化された
秘密を交換することによって行われる。このようなキー
は一般に、セキュリティ上の理由から存続期間が限定さ
れており、その変更や関係ユーザ間での交換は特に重要
である。本発明は、このようなキーをネットワークを介
してオンラインで変更する堅固で安全な方法とシステム
を提供する。
細書では後述のようにきわめて広く意味で用いる)は通
常、パスワードまたは暗号キーに基づいて暗号化された
秘密を交換することによって行われる。このようなキー
は一般に、セキュリティ上の理由から存続期間が限定さ
れており、その変更や関係ユーザ間での交換は特に重要
である。本発明は、このようなキーをネットワークを介
してオンラインで変更する堅固で安全な方法とシステム
を提供する。
[背景技術] パスワードまたはキーを交換するための多くのプロト
コルが知られており、部分的にしか信用できないユーザ
のワークステーションから安全でない通信ネットワーク
回線を介して行う初期ログインを安全にするために多く
の努力が払われてきた。一般に、パスワードまたはキー
は、アプリケーション・プログラムにアクセスするた
め、および機密保護、保全性、認証などその他の目的の
ために、ユーザ間またはユーザとサーバの間で安全に通
信するのに必要である。認証はサーバにとっても必要で
あることに留意されたい。すなわち、侵入者がサーバを
装うことを防止するために、サーバでさえも自分のアイ
デンティティを証明する必要がある。
コルが知られており、部分的にしか信用できないユーザ
のワークステーションから安全でない通信ネットワーク
回線を介して行う初期ログインを安全にするために多く
の努力が払われてきた。一般に、パスワードまたはキー
は、アプリケーション・プログラムにアクセスするた
め、および機密保護、保全性、認証などその他の目的の
ために、ユーザ間またはユーザとサーバの間で安全に通
信するのに必要である。認証はサーバにとっても必要で
あることに留意されたい。すなわち、侵入者がサーバを
装うことを防止するために、サーバでさえも自分のアイ
デンティティを証明する必要がある。
二者間認証のために、きわめて多くの固有プロトコル
が存在する。これらのプロトコルは通常、二者がある時
点で共通の秘密キーを共有することを前提としている。
安全性と信用性が高く、通常は認証サーバと呼ばれる一
種の管理者ステーションを備える分散ネットワークにつ
いても、同様のプロトコルが周知である。この認証サー
バは、信用できる調停者の役割を果たすことによって、
通信を希望する通信者からの認証要求を処理する。これ
を実現するために、認証サーバはすべての関係者のパス
ワードまたはキーにアクセスすることができる。
が存在する。これらのプロトコルは通常、二者がある時
点で共通の秘密キーを共有することを前提としている。
安全性と信用性が高く、通常は認証サーバと呼ばれる一
種の管理者ステーションを備える分散ネットワークにつ
いても、同様のプロトコルが周知である。この認証サー
バは、信用できる調停者の役割を果たすことによって、
通信を希望する通信者からの認証要求を処理する。これ
を実現するために、認証サーバはすべての関係者のパス
ワードまたはキーにアクセスすることができる。
ネットワーク規模のログインのための周知の解決策
は、マサチューセッツ工科大学(MIT)で生まれ、
[1]に記載されている「ケルベロス」システムに含ま
れている。ケルベロス・システムには、新旧のパスワー
ドが通信回線でオープンに送信されないようにするパス
ワード変更プロトコルが含まれている。このプロトコル
を第1図に図示する。
は、マサチューセッツ工科大学(MIT)で生まれ、
[1]に記載されている「ケルベロス」システムに含ま
れている。ケルベロス・システムには、新旧のパスワー
ドが通信回線でオープンに送信されないようにするパス
ワード変更プロトコルが含まれている。このプロトコル
を第1図に図示する。
しかし、ケルベロスのパスワード変更プロトコルには
いくつかの欠点があり、以下の点が顕著である。
いくつかの欠点があり、以下の点が顕著である。
−第1に、パスワード/キー登録によりアプリケーショ
ン・サーバと要求側ワークステーションの間で4つのメ
ッセージを交換する必要がある。これは時間がかかり、
情報交換に攻撃を加える4つの可能性を潜在的侵入者に
与える。一般に、メッセージの数を減らすことが望まし
い。
ン・サーバと要求側ワークステーションの間で4つのメ
ッセージを交換する必要がある。これは時間がかかり、
情報交換に攻撃を加える4つの可能性を潜在的侵入者に
与える。一般に、メッセージの数を減らすことが望まし
い。
−第2に、ケルベロス・システムの省略時の設定では1
分間である特別のパスワード変更チケットの存続期間内
に、いわゆる「トロイの木馬」プログラムによって、パ
スワードをユーザにはわからないがトロイの木馬を制御
する侵入者にはわかる第3の値に変更する追加メッセー
ジが作成される可能性がある。(ケルベロス・システム
では、「チケット」とはサービスが受けられることを証
明するために使用する秘密キーが入った暗号化メッセー
ジのことである。)以下、これをトロイの木馬攻撃と呼
ぶ。
分間である特別のパスワード変更チケットの存続期間内
に、いわゆる「トロイの木馬」プログラムによって、パ
スワードをユーザにはわからないがトロイの木馬を制御
する侵入者にはわかる第3の値に変更する追加メッセー
ジが作成される可能性がある。(ケルベロス・システム
では、「チケット」とはサービスが受けられることを証
明するために使用する秘密キーが入った暗号化メッセー
ジのことである。)以下、これをトロイの木馬攻撃と呼
ぶ。
同様の問題は、ユーザがパスワードまたはキーを変更
した直後に自分の端末を離れて不在状態になった場合に
も生ずる可能性がある。その場合、侵入者が通りかかっ
て、システム内の他の場所に入っているプログラムを使
用して有効なパスワード変更チケットをアセンブルする
可能性がある。このチケットをアセンブルするために必
要な、ローカルのキャッシュに入っているキーにアクセ
スするためには、このプログラムを被害ユーザに代わっ
て実行しなければならない。UNIXで作成された多くのプ
ログラムは、セットアップ許可権があるために、この機
能を持っている。すなわち、プログラムは、ユーザのシ
ェルから始動されるとき、そのユーザの権利を入手す
る。これを通りがかり攻撃と呼ぶことにする。
した直後に自分の端末を離れて不在状態になった場合に
も生ずる可能性がある。その場合、侵入者が通りかかっ
て、システム内の他の場所に入っているプログラムを使
用して有効なパスワード変更チケットをアセンブルする
可能性がある。このチケットをアセンブルするために必
要な、ローカルのキャッシュに入っているキーにアクセ
スするためには、このプログラムを被害ユーザに代わっ
て実行しなければならない。UNIXで作成された多くのプ
ログラムは、セットアップ許可権があるために、この機
能を持っている。すなわち、プログラムは、ユーザのシ
ェルから始動されるとき、そのユーザの権利を入手す
る。これを通りがかり攻撃と呼ぶことにする。
−第3に、ケルベロス機能は、認証サーバとアプリケー
ション・サーバの間の「強力」キーの更新にも使用でき
るように汎用化されてはいない。
ション・サーバの間の「強力」キーの更新にも使用でき
るように汎用化されてはいない。
−第4に、主要な問題の1つは、(4つの)パスワード
変更メッセージの1つが失われる場合、オフライン手段
に訴えずに自動回復を行うことができるアルゴリズムが
ない。
変更メッセージの1つが失われる場合、オフライン手段
に訴えずに自動回復を行うことができるアルゴリズムが
ない。
ケルベロスの上記の欠点のうちのいくつかについて
は、ベロヴィンおよびメリット[2]が取り組んでい
る。
は、ベロヴィンおよびメリット[2]が取り組んでい
る。
参照文献 [1]J.G.Steiner,B.C.Neuman,J.I.Schiller:“Kerber
os:An Authentication Service for Open Network Syst
ems",Usenix Coference Proceedings,Dallas,Texas,pp.
191−202(February 1988). [2]S.M.Bellovin,M.Merrit:“Limitatios of the Ke
rberos Authention System",Computer Communication R
eview,vol.20(5),pp.119−132(October 1990). [発明の概要] 本発明は、周知のシステムの重要な利点を1つも犠牲
にすることなく、ユーザと認証サーバの間に安全でコン
パクトな認証プロトコルを提供することによって、周知
のシステムの上記の欠点を克服する。本発明によれば、
交換する必要のあるメッセージは2つだけであり、単純
で簡単なエラー回復が提供される。このプロトコルはト
ロイの木馬攻撃と通りがかり攻撃に対して安全であり、
パスワードおよび暗号キーの変更に使用することができ
る。
os:An Authentication Service for Open Network Syst
ems",Usenix Coference Proceedings,Dallas,Texas,pp.
191−202(February 1988). [2]S.M.Bellovin,M.Merrit:“Limitatios of the Ke
rberos Authention System",Computer Communication R
eview,vol.20(5),pp.119−132(October 1990). [発明の概要] 本発明は、周知のシステムの重要な利点を1つも犠牲
にすることなく、ユーザと認証サーバの間に安全でコン
パクトな認証プロトコルを提供することによって、周知
のシステムの上記の欠点を克服する。本発明によれば、
交換する必要のあるメッセージは2つだけであり、単純
で簡単なエラー回復が提供される。このプロトコルはト
ロイの木馬攻撃と通りがかり攻撃に対して安全であり、
パスワードおよび暗号キーの変更に使用することができ
る。
簡単に言うと、請求の範囲に記載された本発明は、1
人または複数のユーザおよび少なくとも1つの認証サー
バを有する通信ネットワークにおいて、新規パスワード
またはキーを交換する方法である。その際、まず、ユー
ザがサーバに特定のメッセージを送信することによって
キー変更を要求する。この第1のメッセージは、少なく
とも、鮮度に関する情報、ユーザ名または識別子、選択
された新しいキーを現行キーに基づいて暗号化するチケ
ット、および現行キーを新しいキーに基づいて暗号化す
るチケットを有する。次に、サーバがそのユーザを識別
し、前記ユーザの記憶済み現行キーを使用して新しいキ
ーを決定し、可能性のある現行キーを決定し、後者を実
際の現行キーと比較し、前記比較の結果とその他の何ら
かの条件に応じて、(すなわち前記新しいキーが所与の
キー選択規則に準拠していない場合、またはたとえば鮮
度情報など、送信された情報が所与の範囲外にある場
合)新しいキーを拒否するかまたは受け入れる。次に、
サーバは前記ユーザに対して特定の第2のメッセージで
応答することによって確認を行う。この第2のメッセー
ジには、少なくとも受入れ/拒否メッセージと、受信し
たキー変更要求を現行キーに基づいて暗号化したものが
含まれる。
人または複数のユーザおよび少なくとも1つの認証サー
バを有する通信ネットワークにおいて、新規パスワード
またはキーを交換する方法である。その際、まず、ユー
ザがサーバに特定のメッセージを送信することによって
キー変更を要求する。この第1のメッセージは、少なく
とも、鮮度に関する情報、ユーザ名または識別子、選択
された新しいキーを現行キーに基づいて暗号化するチケ
ット、および現行キーを新しいキーに基づいて暗号化す
るチケットを有する。次に、サーバがそのユーザを識別
し、前記ユーザの記憶済み現行キーを使用して新しいキ
ーを決定し、可能性のある現行キーを決定し、後者を実
際の現行キーと比較し、前記比較の結果とその他の何ら
かの条件に応じて、(すなわち前記新しいキーが所与の
キー選択規則に準拠していない場合、またはたとえば鮮
度情報など、送信された情報が所与の範囲外にある場
合)新しいキーを拒否するかまたは受け入れる。次に、
サーバは前記ユーザに対して特定の第2のメッセージで
応答することによって確認を行う。この第2のメッセー
ジには、少なくとも受入れ/拒否メッセージと、受信し
たキー変更要求を現行キーに基づいて暗号化したものが
含まれる。
ユーザが処理期限までにサーバから確認応答を受信し
ない場合、エラーが示される。エラーはユーザから第1
のメッセージを再送信するだけで回復する。その場合、
当然、新たに適合された鮮度情報を使用し、再び同じス
テップを実行する。
ない場合、エラーが示される。エラーはユーザから第1
のメッセージを再送信するだけで回復する。その場合、
当然、新たに適合された鮮度情報を使用し、再び同じス
テップを実行する。
本発明によるキー変更方法に利点は、以下の実施例の
説明から明らかになろう。これらの利点は以下のように
要約することができる。
説明から明らかになろう。これらの利点は以下のように
要約することができる。
− プロトコルは単一のアトミックな変更/応答交換に
基づいている。等べき再試行が可能なため、現在のプロ
トコルでは不可能なレベルの堅固さとセキュリティが実
現される。
基づいている。等べき再試行が可能なため、現在のプロ
トコルでは不可能なレベルの堅固さとセキュリティが実
現される。
− プロトコル・メッセージは、再生が有害な影響をも
たらす可能性がない、すなわち気づかれずに受信される
という意味で再生可能ではない。この特徴は、パスワー
ド変更要求におけるチケットの非対称特性によるもので
ある。
たらす可能性がない、すなわち気づかれずに受信される
という意味で再生可能ではない。この特徴は、パスワー
ド変更要求におけるチケットの非対称特性によるもので
ある。
− このプロトコルは、通りがかり攻撃とトロイの木馬
プログラムからの保護を実現する。
プログラムからの保護を実現する。
− チケット作成における2つの臨時語の1つとしてタ
イムスタンプを使用することによって、再使用キーの再
生に対する部分的保護を行う。
イムスタンプを使用することによって、再使用キーの再
生に対する部分的保護を行う。
− このプロトコルは、認証サーバ側または要求者本人
の側におけるシステム・クラッシュ後に再開することが
できる。
の側におけるシステム・クラッシュ後に再開することが
できる。
[図面の簡単な説明および表記] 第1図は、ユーザ(またはアプリケーション・サー
バ)と認証サーバの間のキーまたはパスワードを変更す
る従来技術のケルベロス・プロトコルを示すフロー・チ
ャートである。
バ)と認証サーバの間のキーまたはパスワードを変更す
る従来技術のケルベロス・プロトコルを示すフロー・チ
ャートである。
第2図は、本発明によるキー変更プロトコルを示す論
理フロー・チャートである。
理フロー・チャートである。
第3図は、本発明の使用することができる通信ネット
ワークの基本レイアウトを示す図である。
ワークの基本レイアウトを示す図である。
以下の説明および図面では、下記の表記を使用する。
凡例および表記 T(X)Y Yで封じ込められたXを含むチケット {Y}X キーXの下で暗号化されたメッセージ X+Y XとYの排他的論理和(XOR) AS 認証サーバ名 ADMIN 管理サーバ(ASと同じ場所にある別のプロ
セス) Np 本人が発行した臨時語(ナンス) N1、N2 臨時語 Ks (本人とADMINの間の)セッション・キー Kadm ASとADMINの間の共有キー Kold 本人とASが共有していた古いキーまたはパ
スワード Knew 本人とASとで共有することになる新しいキ
ーまたはパスワード P 本人の名前 PDB 認証サーバASにおける本人データベース [好ましい実施例の説明] 明瞭さと簡潔さのために、以下では「キー」という用
語はパスワードとキーの両方を指すために使用する。
セス) Np 本人が発行した臨時語(ナンス) N1、N2 臨時語 Ks (本人とADMINの間の)セッション・キー Kadm ASとADMINの間の共有キー Kold 本人とASが共有していた古いキーまたはパ
スワード Knew 本人とASとで共有することになる新しいキ
ーまたはパスワード P 本人の名前 PDB 認証サーバASにおける本人データベース [好ましい実施例の説明] 明瞭さと簡潔さのために、以下では「キー」という用
語はパスワードとキーの両方を指すために使用する。
本発明のパスワード変更(CPW)プロトコルは、認証
サーバの登録薄または本人データベース(PDB)に記憶
されている、ユーザのパスワードまたはアプリケーショ
ン・サーバのマスターキーを変更するために使用する。
サーバの登録薄または本人データベース(PDB)に記憶
されている、ユーザのパスワードまたはアプリケーショ
ン・サーバのマスターキーを変更するために使用する。
本発明は、以下の要件に対処するものである。
CPW要求には、送信者の認証が含まれていなければな
らない。送信者が保護の不十分なワークステーションに
いる人間のユーザである場合、これには、ユーザがログ
オンしているがそのユーザが現在は不在である不在ワー
クステーションからのパスワード変更が行えないように
するために、古いパスワードまたはキーを再入力する必
要がある。
らない。送信者が保護の不十分なワークステーションに
いる人間のユーザである場合、これには、ユーザがログ
オンしているがそのユーザが現在は不在である不在ワー
クステーションからのパスワード変更が行えないように
するために、古いパスワードまたはキーを再入力する必
要がある。
CPW要求は自己チェックを行わなければならない。す
なわち、ASは取り出した新しいキー(Knew)が正しいキ
ーであるかどうか、言い換えると、メッセージが変造さ
れていないと判断することができなければならない。
なわち、ASは取り出した新しいキー(Knew)が正しいキ
ーであるかどうか、言い換えると、メッセージが変造さ
れていないと判断することができなければならない。
ASは、本人に対してパスワード変更要求の状態(成功
か失敗か)を確認しなければならない。確認応答自体が
認証されなければならず、CPW要求メッセージの再送信
のたびに繰り返し発行することができる。
か失敗か)を確認しなければならない。確認応答自体が
認証されなければならず、CPW要求メッセージの再送信
のたびに繰り返し発行することができる。
CPW要求メッセージが再生される場合でも、有害な攻
撃のために配布される可能性のある侵入者にとって有用
な情報が入手されてはならない。ユーザが前の期間に使
用していたパスワードを繰り返し誤りを犯すとしても、
再生はほとんどすべての場合に防止される。
撃のために配布される可能性のある侵入者にとって有用
な情報が入手されてはならない。ユーザが前の期間に使
用していたパスワードを繰り返し誤りを犯すとしても、
再生はほとんどすべての場合に防止される。
以下の仮定を行う。
本人は、CPW要求の妥当性検査に合格するまでは新し
いキー(Knew)の値を変更しない。また、Knewを拒否す
る否定応答が送られた場合、Knewは導入されない。拒否
の理由としては、たとえばユーザのフルネームなど、新
しいキーの選定が不適切なことがある。
いキー(Knew)の値を変更しない。また、Knewを拒否す
る否定応答が送られた場合、Knewは導入されない。拒否
の理由としては、たとえばユーザのフルネームなど、新
しいキーの選定が不適切なことがある。
CPWが首尾よく完了できない場合、ユーザは、次のロ
グインを試行するまで、すなわちCPWプロトコルの再開
まで、新旧のキーを覚えていることができるものとみな
す。
グインを試行するまで、すなわちCPWプロトコルの再開
まで、新旧のキーを覚えていることができるものとみな
す。
通常、ASは所与の本人について「単一状態」である。
言い換えると、ASは1人の本人について複数のキーを記
憶していてもよいが、必ずしもそうする必要はない(す
なわち、キーの履歴を維持しなくてもよい)。
言い換えると、ASは1人の本人について複数のキーを記
憶していてもよいが、必ずしもそうする必要はない(す
なわち、キーの履歴を維持しなくてもよい)。
さらに、ASはかなり正確にクロックを持っている。か
なり正確とは、1分ごとまたは1時間ごとではなく、毎
日、毎週、毎月などたまに行われるCPWの頻度に対して
正確であるという意味である。
なり正確とは、1分ごとまたは1時間ごとではなく、毎
日、毎週、毎月などたまに行われるCPWの頻度に対して
正確であるという意味である。
(CPW要求が発行される)各ホストまたはワークステ
ーションも、かなり正確なクロックを持っている。しか
し、そのクロックはASのクロックと厳密に同期する必要
はない。
ーションも、かなり正確なクロックを持っている。しか
し、そのクロックはASのクロックと厳密に同期する必要
はない。
要求側端末のファイル・システムでは、そのユーザの
識別を持つどのプロセスでも、キャッシュに入っている
シングルサインオン・キーKssoを読み取るることができ
る。この種のキーは、初期ログオン時にユーザのプロセ
スとASの間で確立された強力なセッション・キーであ
る。このキーを使用して他のサービスにアクセスするこ
とができ、そのたびにパスワードを入力する必要がな
い。
識別を持つどのプロセスでも、キャッシュに入っている
シングルサインオン・キーKssoを読み取るることができ
る。この種のキーは、初期ログオン時にユーザのプロセ
スとASの間で確立された強力なセッション・キーであ
る。このキーを使用して他のサービスにアクセスするこ
とができ、そのたびにパスワードを入力する必要がな
い。
(KoldおよびKwenが入っている)メイン・メモリに入
っている変数は、それを割り振るプロセスだけが読み取
ることができる。
っている変数は、それを割り振るプロセスだけが読み取
ることができる。
以下に、本発明によるプロトコルについて説明する。
本発明の基本概念は、等べき「フリップフロップ」要
求を作成することである。第1のCPW要求が確認応答を
首尾よく受信せずに終わった後、本人は単に要求を再送
信するだけでよい。認証サーバASは、この場合、CPW要
求と確認応答のどちらが失われたかに応じて、現行キー
Koldか新しいキーKnewかを認識するが、要求のフリップ
フロップ特性によりどちらの状態でも要求メッセージを
正しく処理することができる。
求を作成することである。第1のCPW要求が確認応答を
首尾よく受信せずに終わった後、本人は単に要求を再送
信するだけでよい。認証サーバASは、この場合、CPW要
求と確認応答のどちらが失われたかに応じて、現行キー
Koldか新しいキーKnewかを認識するが、要求のフリップ
フロップ特性によりどちらの状態でも要求メッセージを
正しく処理することができる。
ASは、認証CPW要求を受信するとただちにそれを処理
し、確認応答で応答する。ASが同じ送信者から認証要求
を再度受信した場合、明らかに確認応答は失われている
はずであり、したがってAS内の本人データベースPDBは
変更されないままで、別の確認応答が出される。
し、確認応答で応答する。ASが同じ送信者から認証要求
を再度受信した場合、明らかに確認応答は失われている
はずであり、したがってAS内の本人データベースPDBは
変更されないままで、別の確認応答が出される。
この単純なプロトコルの結果、本人側ではASの状態に
関して一時的な不確定性が生ずる可能性があるが、しか
し、要求の再送信以上の本人による処置を必要としな
い。通信が再び機能するとただちに、最初の確認応答で
いわば両者を再同期させる。
関して一時的な不確定性が生ずる可能性があるが、しか
し、要求の再送信以上の本人による処置を必要としな
い。通信が再び機能するとただちに、最初の確認応答で
いわば両者を再同期させる。
第2図に本発明によるプロトコルをフロー・チャート
で示す。使用する用語と表記は上記の通りであるが、関
数gは以下のように扱われる。
で示す。使用する用語と表記は上記の通りであるが、関
数gは以下のように扱われる。
関数gは、侵入者が2つのチケットをスワップしてサ
ーバを古いキーに切り替えさせることができないよう
に、2つのチケットの間を非対称にするものである。ま
ず、gは非対称でなければならない。そうでないと、平
文N2(たとえば逆数値、またはN1とのXOR)の操作によ
って上記のスワップ攻撃が再度可能になってしまうこと
になる。第二に、関数gはシングルサインオン・キーKs
soに依存するものでもよい。ログオフによってKssoがク
リアされるため、これにはCPWプロトコルが完了するま
でユーザがログオフすることができないようにすること
が必要である。
ーバを古いキーに切り替えさせることができないよう
に、2つのチケットの間を非対称にするものである。ま
ず、gは非対称でなければならない。そうでないと、平
文N2(たとえば逆数値、またはN1とのXOR)の操作によ
って上記のスワップ攻撃が再度可能になってしまうこと
になる。第二に、関数gはシングルサインオン・キーKs
soに依存するものでもよい。ログオフによってKssoがク
リアされるため、これにはCPWプロトコルが完了するま
でユーザがログオフすることができないようにすること
が必要である。
たとえば、初期ログイン時に本人がすでに強力キーKs
soを入手していることがあり、CPWが要求されると関数
gがKssoに依存するようになり、たとえばg={N2}Ks
soになる。これによって、侵入者はKoldまたはKnewある
いはその両方を攻撃する前に、Kssoを解読しなければな
らなくなるため、プロトコルは辞書攻撃に対して耐えら
れるようになる。
soを入手していることがあり、CPWが要求されると関数
gがKssoに依存するようになり、たとえばg={N2}Ks
soになる。これによって、侵入者はKoldまたはKnewある
いはその両方を攻撃する前に、Kssoを解読しなければな
らなくなるため、プロトコルは辞書攻撃に対して耐えら
れるようになる。
一方、侵入者が、現行キーまたは古いキーKoldの導出
によって暗号化されたKssoを含む初期シングルサインオ
ン・チケットを記録していないと仮定すれば、この手法
にはCPW要求REQ_CPWが検証可能な平文ではないという利
点がある。(そうでない場合、自己チェック機能によっ
てREQ_CPWが検証可能になる。) 上記の要件を念頭に置くと、1つの可能性はg=(N2
+1)である。もう一つの可能性は、g={N1}Knewで
ある。しかしこれらはいずれも辞書攻撃に耐えられない
ことになる。
によって暗号化されたKssoを含む初期シングルサインオ
ン・チケットを記録していないと仮定すれば、この手法
にはCPW要求REQ_CPWが検証可能な平文ではないという利
点がある。(そうでない場合、自己チェック機能によっ
てREQ_CPWが検証可能になる。) 上記の要件を念頭に置くと、1つの可能性はg=(N2
+1)である。もう一つの可能性は、g={N1}Knewで
ある。しかしこれらはいずれも辞書攻撃に耐えられない
ことになる。
第1の臨時語N1は、現在時刻に設定することが好まし
い。第2の臨時語N2は、ランダムに選定する。ワークス
テーション・クロックのスキューは一般にキー変更の頻
度よりもはるかに小さいので、N1の設定には同期された
クロックは不要である。侵入者がワークステーションの
クロックを将来のランダムな時刻に設定しても、誤った
時間であるので、認証サーバASはその変更を拒否するこ
とになる。本人がそのときまでにまったく同じキーKold
を再使用したと仮定すれば、侵入者はその時点でそれを
再生できることになる。しかしこれはきわめてありそう
もないことと考えられる。(これを後で「部分的pwサイ
クル防止」と呼ぶ。)この臨時語の選定により、Koldと
「タイムスタンプ」N1の2つの項目が同期される。
い。第2の臨時語N2は、ランダムに選定する。ワークス
テーション・クロックのスキューは一般にキー変更の頻
度よりもはるかに小さいので、N1の設定には同期された
クロックは不要である。侵入者がワークステーションの
クロックを将来のランダムな時刻に設定しても、誤った
時間であるので、認証サーバASはその変更を拒否するこ
とになる。本人がそのときまでにまったく同じキーKold
を再使用したと仮定すれば、侵入者はその時点でそれを
再生できることになる。しかしこれはきわめてありそう
もないことと考えられる。(これを後で「部分的pwサイ
クル防止」と呼ぶ。)この臨時語の選定により、Koldと
「タイムスタンプ」N1の2つの項目が同期される。
ASはREQ_CPWを受信して、Kold(データベースに入っ
ている本人のキー)を使用して第1のチケットを読み取
り、Knewを取り出す。次にASはそのKnewを使用して第2
のチケットを読取り、K′oldを取り出す。Kold=K′o
ldである場合、ASはそれがまだ本人の古いキーを含んで
いると確信する。次に、Knewを本人データベースPDBに
記憶し、後述の確認応答、すなわちREP_CPWを送り返
す。
ている本人のキー)を使用して第1のチケットを読み取
り、Knewを取り出す。次にASはそのKnewを使用して第2
のチケットを読取り、K′oldを取り出す。Kold=K′o
ldである場合、ASはそれがまだ本人の古いキーを含んで
いると確信する。次に、Knewを本人データベースPDBに
記憶し、後述の確認応答、すなわちREP_CPWを送り返
す。
KoldがK′oldと異なる場合、メッセージはキー変更
を成功を示すREP_CPWメッセージを受信しなかった本人
からの再試行である可能性がある。その場合、データベ
ースに記憶されている本人の現行キーであるKoldは、実
際には本人が選定した新しいマスターキーKnewと等しい
ことになり、それがREQ_CPWとともに送信されると考え
られる。
を成功を示すREP_CPWメッセージを受信しなかった本人
からの再試行である可能性がある。その場合、データベ
ースに記憶されている本人の現行キーであるKoldは、実
際には本人が選定した新しいマスターキーKnewと等しい
ことになり、それがREQ_CPWとともに送信されると考え
られる。
ASは、現行Kold(Kold=チケットのKnew)によって第
2のチケットを読み取り、K″old(前のKoldを取り出
し、K″oldによって第1のチケットを読み取ってk′n
ewを取り出すことによってこれをチェックすることがで
きる。K′new=Koldの場合、ASはデータベースに記憶
されている新しいマスターキーをすでに持っていること
を認識し、単に本人にREP_CPWを送信するだけである。
2のチケットを読み取り、K″old(前のKoldを取り出
し、K″oldによって第1のチケットを読み取ってk′n
ewを取り出すことによってこれをチェックすることがで
きる。K′new=Koldの場合、ASはデータベースに記憶
されている新しいマスターキーをすでに持っていること
を認識し、単に本人にREP_CPWを送信するだけである。
確認応答の形式は次の通りである。
REP_CPW={accept/reject,REQ_CPW}Kold この確認応答によって、受入れ/拒否応答が適切な要
求に確実に結びつけられる。
求に確実に結びつけられる。
以下の場合の戻りコードを用意しなければならない。
− N1が誤った時刻である − Knewが受諾不能である − (初めて、またはすでに前のREQ_CPWで)キーが首
尾よく変更された 誤りまたは形式が正しくないREQ_CPWとは以下の場合
である。
尾よく変更された 誤りまたは形式が正しくないREQ_CPWとは以下の場合
である。
− Kold/Knewが前述の「フリップフロップ」構造を満
たしていない、または − N1によって表されるタイムスタンプが受諾不能であ
る、すなわち受諾可能なクロック・スキューの限度外に
ある。
たしていない、または − N1によって表されるタイムスタンプが受諾不能であ
る、すなわち受諾可能なクロック・スキューの限度外に
ある。
ASが「拒否」で応答するのは、Knewが何らかの理由
(たとえば容易に推測可能なパスワードなど)で受け入
れできない場合のみである。しかし、それでもKnewはRE
Q_CPWの「フリップフロップ」特性を満たしていなけれ
ばならない。ASは、REQ_CPWが真正である場合のみ、応
答(「受入れ」であろうと「拒否」であろうと)する。
(たとえば容易に推測可能なパスワードなど)で受け入
れできない場合のみである。しかし、それでもKnewはRE
Q_CPWの「フリップフロップ」特性を満たしていなけれ
ばならない。ASは、REQ_CPWが真正である場合のみ、応
答(「受入れ」であろうと「拒否」であろうと)する。
「フリップフロップ」特性を満たしていないREQ_CPW
は、同様の形で確認応答されない。そのようなREQ_CPW
に応答する認証確認応答はどのような種類のものでも問
題外である。そうするには、記憶されている本人の現行
キーを使用する必要があるからである。それによって、
既知の平文または辞書攻撃の機会が生ずることになる。
参照資料[2]を参照のこと。したがって、ユーザ側の
機構は、特定の数の応答のないREQ_CPWの後、すなわちC
PW要求タイムアウト後、ASの全般的可用性を調べ、再同
期化するにはオフライン手段を利用するよう示唆するエ
ラー・メッセージを少なくとも用意する必要がある。
は、同様の形で確認応答されない。そのようなREQ_CPW
に応答する認証確認応答はどのような種類のものでも問
題外である。そうするには、記憶されている本人の現行
キーを使用する必要があるからである。それによって、
既知の平文または辞書攻撃の機会が生ずることになる。
参照資料[2]を参照のこと。したがって、ユーザ側の
機構は、特定の数の応答のないREQ_CPWの後、すなわちC
PW要求タイムアウト後、ASの全般的可用性を調べ、再同
期化するにはオフライン手段を利用するよう示唆するエ
ラー・メッセージを少なくとも用意する必要がある。
確認応答メッセージREP_CPWも保護されなければなら
ない。そうしないと、侵入者が元のREQ_CPWを捕捉してA
Sに届かないようにし、変更が行われたと本人に信じさ
せる可能性がある、REP_CPWを保護するために使用する
キーは、Knew、Kold、またはKssoのどれでもよい。Knew
の使用に伴う問題は、ASが何らかの理由(たとえば弱い
キーなど)でKnewを拒否したときでも応答は真正でなけ
ればならないということである。その場合、Koldを使用
しなければならない。あるいは、一様性を得るために、
両方(すなわち成功または失敗)の場合Koldを使用する
こともできる。
ない。そうしないと、侵入者が元のREQ_CPWを捕捉してA
Sに届かないようにし、変更が行われたと本人に信じさ
せる可能性がある、REP_CPWを保護するために使用する
キーは、Knew、Kold、またはKssoのどれでもよい。Knew
の使用に伴う問題は、ASが何らかの理由(たとえば弱い
キーなど)でKnewを拒否したときでも応答は真正でなけ
ればならないということである。その場合、Koldを使用
しなければならない。あるいは、一様性を得るために、
両方(すなわち成功または失敗)の場合Koldを使用する
こともできる。
提案するプロトコルのセキュリティに関するいくつか
の注意事項を以下に述べる。前述のプロトコルの説明で
すでに扱った考えられる攻撃のほかに、以下のようなプ
ロトコル攻撃についても考慮しなければならない。
の注意事項を以下に述べる。前述のプロトコルの説明で
すでに扱った考えられる攻撃のほかに、以下のようなプ
ロトコル攻撃についても考慮しなければならない。
1.侵入者がREQ_CPWを盗んだ場合、自己チェック「フリ
ップフロップ」機能によってオフライン・キー探索攻撃
が可能になる。この攻撃が可能になるのは、ASがKnewと
Koldを検証することができるようにするREQ_CPWとまっ
たく同じ構造によって、侵入者がキー・スペースを通し
て反復することで自分の推測を検証することができるか
らである。
ップフロップ」機能によってオフライン・キー探索攻撃
が可能になる。この攻撃が可能になるのは、ASがKnewと
Koldを検証することができるようにするREQ_CPWとまっ
たく同じ構造によって、侵入者がキー・スペースを通し
て反復することで自分の推測を検証することができるか
らである。
非対称関係gがKssoを必要とする場合、侵入者はその
ほかにKoldを使用する初期SSOチケットも盗まなければ
ならない。したがって、この攻撃は、侵入者がその後の
挑戦でREQ_CPWをまったく必要とせずに直接パスワード
の推測を検証することができるので、重要ではない。g
がKssoに依存しない場合でもこの脅威が起こり得る。し
かし、初期ログオン(SSO)プロトコルは次のような理
由で依然として最大の弱点である。
ほかにKoldを使用する初期SSOチケットも盗まなければ
ならない。したがって、この攻撃は、侵入者がその後の
挑戦でREQ_CPWをまったく必要とせずに直接パスワード
の推測を検証することができるので、重要ではない。g
がKssoに依存しない場合でもこの脅威が起こり得る。し
かし、初期ログオン(SSO)プロトコルは次のような理
由で依然として最大の弱点である。
− 同程度の脆弱さ − (スマートカードまたは同様
の装置のない)支援なしのログインは、本プロトコルと
少なくとも同程度に脆弱である。
の装置のない)支援なしのログインは、本プロトコルと
少なくとも同程度に脆弱である。
− より高い頻度 − ユーザがログインする頻度はパ
スワードを変更する頻度よりもはるかに高く、したがっ
て侵入者にはるかに多くの機会を与えることになる。
スワードを変更する頻度よりもはるかに高く、したがっ
て侵入者にはるかに多くの機会を与えることになる。
これらのリスクはパスワードベースのすべてのログイ
ン・プロトコルにつきものなので、同じリスクは元のケ
ルベロス・プロトコルにもある。
ン・プロトコルにつきものなので、同じリスクは元のケ
ルベロス・プロトコルにもある。
2.ASは単一状態(すなわち1人の本人について複数のキ
ーを記憶する必要がない)であるため、プロトコルを実
行するためにはREQ_CPWに入っている2つのキーのうち
の1つが正しければよい。したがって、侵入者がKnewを
正しく推測した場合、Koldはオープン変数となる。
ーを記憶する必要がない)であるため、プロトコルを実
行するためにはREQ_CPWに入っている2つのキーのうち
の1つが正しければよい。したがって、侵入者がKnewを
正しく推測した場合、Koldはオープン変数となる。
とはいえ、正しいKnewを推測するのはKnewとKoldの両
方を発見するのと同じくらい困難なことに留意しなけれ
ばならない。その理由は、侵入者は、「フリップフロッ
プ」特性を利用して、2つのうちの一方だけを反復して
KnewとKoldの両方を発見することができるからである。
したがって、キー・スペース全体の大きさをMと仮定す
れば、侵入者がプロトコルを破るには最大M回の試行で
済む。しかし、正しいKnew(またはKold)を推測できる
確率は(1/M)である。これは、正しいキーを推測する
のにほぼM回の試行が必要であることを意味する。
方を発見するのと同じくらい困難なことに留意しなけれ
ばならない。その理由は、侵入者は、「フリップフロッ
プ」特性を利用して、2つのうちの一方だけを反復して
KnewとKoldの両方を発見することができるからである。
したがって、キー・スペース全体の大きさをMと仮定す
れば、侵入者がプロトコルを破るには最大M回の試行で
済む。しかし、正しいKnew(またはKold)を推測できる
確率は(1/M)である。これは、正しいキーを推測する
のにほぼM回の試行が必要であることを意味する。
第3図に通信ネットワークの概略を、ハードウェアに
ついて本発明の実施例を説明するのに十分な程度に詳細
に示す。このシステムは、ユーザ間またはユーザとアプ
リケーション・サーバの間で所望な安全な通信を実現す
る。図には暗号化/復号化手段(E/D)2およびロック
3を有するユーザ・ワークステーション1を備えたシス
テムの基本レイアウトが示してある。ワークステーショ
ン1は、任意の形態およびレイアウトのネットワークに
接続されている。このネットワーク4にはさらに認証サ
ーバ5がリンクされており、この認証サーバも暗号化/
復号化手段(E/D)6およびクロック7を備えている。
認証サーバ5は、本人データベース(PDB)8を備えて
おり、またはそれにアクセスすることができ、あるいは
その両方である。
ついて本発明の実施例を説明するのに十分な程度に詳細
に示す。このシステムは、ユーザ間またはユーザとアプ
リケーション・サーバの間で所望な安全な通信を実現す
る。図には暗号化/復号化手段(E/D)2およびロック
3を有するユーザ・ワークステーション1を備えたシス
テムの基本レイアウトが示してある。ワークステーショ
ン1は、任意の形態およびレイアウトのネットワークに
接続されている。このネットワーク4にはさらに認証サ
ーバ5がリンクされており、この認証サーバも暗号化/
復号化手段(E/D)6およびクロック7を備えている。
認証サーバ5は、本人データベース(PDB)8を備えて
おり、またはそれにアクセスすることができ、あるいは
その両方である。
第3図のシステムは以下のように機能する。最初に、
本人データベース8には古いユーザ・キー(Kold)が記
憶されている。(人間の)ユーザが自分のパスワードま
たはキーを変更しようとしてワークステーション1にア
クセスする。1つの例としては、自動預金支払機で、ク
レジット・カードまたはキャッシュ・カードの、通常PI
Nと呼ばれる自分の暗証番号を変更しようとしている銀
行の顧客が考えられる。ユーザは、好ましくは自動預金
支払機からの特定の質問によってガイドされて、識別情
報としての自分の古いキー(Kold)と所望の新しいキー
(Knew)を入力する。ワークステーション1すなわち自
動預金支払機は、入力された識別情報すなわち古いキー
(Kold)、新しいキー(Knew)、およびいわゆる鮮度情
報すなわちワークステーション・クロック3によって記
録されて現在時刻を、前述の方法に従ってそのE/D手段
2によって解読する。適切なキー変更コマンドを含む解
読されたメッセージは、ネットワーク4を介して認証サ
ーバ5に送られる。
本人データベース8には古いユーザ・キー(Kold)が記
憶されている。(人間の)ユーザが自分のパスワードま
たはキーを変更しようとしてワークステーション1にア
クセスする。1つの例としては、自動預金支払機で、ク
レジット・カードまたはキャッシュ・カードの、通常PI
Nと呼ばれる自分の暗証番号を変更しようとしている銀
行の顧客が考えられる。ユーザは、好ましくは自動預金
支払機からの特定の質問によってガイドされて、識別情
報としての自分の古いキー(Kold)と所望の新しいキー
(Knew)を入力する。ワークステーション1すなわち自
動預金支払機は、入力された識別情報すなわち古いキー
(Kold)、新しいキー(Knew)、およびいわゆる鮮度情
報すなわちワークステーション・クロック3によって記
録されて現在時刻を、前述の方法に従ってそのE/D手段
2によって解読する。適切なキー変更コマンドを含む解
読されたメッセージは、ネットワーク4を介して認証サ
ーバ5に送られる。
サーバ5内では、受信したメッセージが解釈され、そ
れによってE/D手段6がメッセージに含まれている情報
を復号化する。送信(および復号化)された鮮度情報す
なわちワークステーション・クロック時刻が、サーバ・
クロック7が示す時刻と比較され、(通常は存在する)
時間差が所定の限界内にあるかどうかが判断される。送
信(および復号化)された識別情報すなわち古いキー
(Kold)が、本人データベース8に記憶されているキー
と比較される。所望の新しいキー(Knew)が受諾可能か
どうか、すなわち所定の要件を満たしているかどうかが
調べられる。
れによってE/D手段6がメッセージに含まれている情報
を復号化する。送信(および復号化)された鮮度情報す
なわちワークステーション・クロック時刻が、サーバ・
クロック7が示す時刻と比較され、(通常は存在する)
時間差が所定の限界内にあるかどうかが判断される。送
信(および復号化)された識別情報すなわち古いキー
(Kold)が、本人データベース8に記憶されているキー
と比較される。所望の新しいキー(Knew)が受諾可能か
どうか、すなわち所定の要件を満たしているかどうかが
調べられる。
サーバ5は、 1.時間差が許容可能であり、 2.送信された古いキーが記憶されている古いキーと等し
く、 3.新しいキーが受諾可能である と判断するとキー変更を受け入れて、ワークステーショ
ン1に対して適切な受入れ表示と、受信したキー変更要
求の(E/D6による)暗号化で応答することによって肯定
応答する。新しいキー(Knew)は本人データベース8に
記憶される。上記の条件の1つまたは複数の条件が満た
されない場合、サーバ5はワークステーション1に対し
て、キー変更要求の拒否を示すメッセージで応答する。
く、 3.新しいキーが受諾可能である と判断するとキー変更を受け入れて、ワークステーショ
ン1に対して適切な受入れ表示と、受信したキー変更要
求の(E/D6による)暗号化で応答することによって肯定
応答する。新しいキー(Knew)は本人データベース8に
記憶される。上記の条件の1つまたは複数の条件が満た
されない場合、サーバ5はワークステーション1に対し
て、キー変更要求の拒否を示すメッセージで応答する。
以上は、当業者がそれを使用して本発明を実施するこ
とができる好ましい実施例の説明であることを理解され
たい。以上の説明には、すべての背景説明が含まれてい
るわけではなく、本発明の理論的基礎も示していない。
それらは当技術分野に関連する(引用されているものお
よびその他の)従来技術で知ることができる。
とができる好ましい実施例の説明であることを理解され
たい。以上の説明には、すべての背景説明が含まれてい
るわけではなく、本発明の理論的基礎も示していない。
それらは当技術分野に関連する(引用されているものお
よびその他の)従来技術で知ることができる。
フロントページの続き (72)発明者 モルヴァ、レフィック フランス国ジュアン・レ・パン、アンパ ス・ド・オリヴィエール 8 (72)発明者 ツデイック、ジェン スイス国タールヴィル、アオフ・デア・ マウア 3 (72)発明者 ファン ヘレヴェーゲン、エルジ スイス国タールヴィル、ブライテリシュ トラーセ 27 (56)参考文献 J.G.Steiner et.a l.,”Kerberos:An An thertication Servi ce for Open Networ k Systems”,Proceed ings of 1988 USENIX Association Winter Conference,(US)1988 年2月9−12日,p.191−202. (58)調査した分野(Int.Cl.6,DB名) G06F 15/00 H04L 9/00 G09C 1/00
Claims (8)
- 【請求項1】ユーザとサーバの間で通信ネットワークを
介してメッセージを交換することによりキーを変更する
方法であって、 a. 少なくとも一方が鮮度情報またはタイミング情報を
含む2つの臨時語(N1、N2)と、ユーザ名(P)と、現
行キー(Kold)に基づく選択された新しいキー(Knew)
の暗号化(T(Knew)Kold)と、新しいキー(Knew)に
基づく現行キー(Kold)の暗号化(T(Kold)Knew)と
を含むキー変更要求(REQ_CPW)をユーザからサーバ(A
S)に送信するステップと、 b. サーバがユーザを識別し、前記ユーザの記憶されて
いる現行キー(Kold)を使用して、現行キーに基づく新
しいキーの受信した暗号化(T(Knew)Kold)から潜在
的新しいキー(Knew′)を決定し、新しいキーに基づく
現行キーの受信した暗号化(T(Kold)Knew)から潜在
的現行キー(Kold′)を決定し、決定した潜在的現行キ
ー(Kold′)を記憶されている現行キー(Kold)と比較
し、 c1.前記比較によって等しくないことが判明した場合、
または前記潜在的新しいキーが所与のキー選択規則に従
っていない場合、または臨時語(N1、N2)の1つが所与
の範囲外にある場合、潜在的新しいキー(Knew′)を拒
否し、 c2.前記の比較によって等しいことが判明し、潜在的新
しいキー(Knew′)が正しく選定されており、臨時語
(N1、N2)が所与の範囲内にある場合、新しいキーを受
け入れ、 d. 前記ユーザに対して、少なくとも潜在的新しいキー
(Knew′)がサーバ(AS)によって受け入れられるかど
うかを示す受入れ/拒否表示と、受信したキー変更要求
(REQ_CPW)の暗号化とを含む応答メッセージ(REP_CP
W)で応答するステップと、 e. ユーザが受信した応答メッセージ(REP_CPW)から
選択した新しいキー(Knew)が受け入れられたかどうか
を判断し、戻されたキー変更要求(REQ_CPW)を復号化
することによってその判断を認証するステップとを含む
方法。 - 【請求項2】ユーザのキー変更要求内の暗号化(T(Kn
ew)Kold)が、以下のように、臨時語(N1、N2)と、ユ
ーザ名(P)と、サーバ名(AS)との現行キー(Kold)
のもとでの暗号化を、選択された新しいキー(Knew)と
XORしたものであって、 T(Knew)Kold={N1,N2,P,AS}Kold+Knew 暗号化(T(Kold)Knew)が、以下のように、少なくと
も一方の臨時語が事前選択された非対称関数(g)のも
とで変更される臨時語(N1、g[N2])と、ユーザ名
(P)と、サーバ名(AS)との、新しいキー(Knew)の
もとでの暗号化を、現行キー(Kold)とXORしたもので
ある T(Kold)Knew={N1,g(N2),P,AS}Knew+Kold ことを特徴とする、請求項1に記載のキー変更方法。 - 【請求項3】認証サーバの応答メッセージ(REP_CPW)
が、記憶されている現行キー(Kold)のもとでの受信キ
ー変更要求(REP_CPW)の暗号化({REQ_CPW}Kold)を
含むことを特徴とする、請求項1に記載のキー変更方
法。 - 【請求項4】認証サーバの応答メッセージ(REP_CPW)
が、記憶されている現行キー(Kold)のもとでの受入れ
/拒否表示の暗号化をさらに含むことを特徴とする、請
求項3に記載のキー変更方法。 - 【請求項5】認証サーバの応答メッセージ(REP_CPW)
が、受け入れられた新しいキー(Knew)の場合には受入
れ表示と、新しいキー(Knew)のもとでの元の要求(RE
Q_CPW)の暗号化であり、拒否された新しいキー(Kne
w)の場合には、拒否表示と、記憶されている現行キー
(Kold)のもとでの元の要求(REQ_CPW)の暗号化であ
ることを特徴とする、請求項1または2に記載のキー変
更方法。 - 【請求項6】一方の臨時語(N2)を変更する事前選択さ
れた関数(g)が、特に新しいキー(Knew)のもとでの
他方の臨時語(N1)の暗号化であることを特徴とする、
請求項2に記載のキー変更方法。 - 【請求項7】請求項1ないし6のいずれかに記載された
方法を用いて、通信ネットワークにおいてユーザ間(ま
たはユーザとアプリケーション・サーバ間)の安全な通
信を可能にするキーの変更を行うシステムであって、 a. 少なくとも1つの認証サーバと、 b. 前記サーバ内にあり、前記各ユーザの初期固有ユー
ザ・キー(Kold)を記憶する手段と、 c. キー変更を希望するユーザ内にあり、識別情報また
は鮮度情報あるいはその両方を暗号化し、キー変更要求
として前記サーバに伝送する手段と、 d. 受信したキー変更要求を、前記サーバにおいて、復
号化し、解釈する手段と、 e. 前記サーバ内にあり、前記キー変更要求の受入れま
たは拒否を決定する手段と、 f. 前記サーバ内にあり、受入れまたは拒否を示す応答
を暗号化し、前記ユーザに送信する手段と、 g. 前記ユーザ内にあり、前記サーバから応答を受信
し、受信した応答を解釈する手段とを含むシステム。 - 【請求項8】第1の複数のユーザと第2の複数のサーバ
とを有し、少なくとも1つのサーバが認証サーバであっ
て、ユーザと前記認証サーバとの間で排他的にキーを変
更する通信システムで使用される、請求項1ないし6の
いずれかに記載の方法。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/EP1993/002540 WO1995008885A1 (en) | 1993-09-20 | 1993-09-20 | System and method for changing the key or password in a secure distributed communications network |
US08/598,481 US5778065A (en) | 1993-09-20 | 1996-02-08 | Method and system for changing an authorization password or key in a distributed communication network |
Publications (2)
Publication Number | Publication Date |
---|---|
JPH08510581A JPH08510581A (ja) | 1996-11-05 |
JP2828218B2 true JP2828218B2 (ja) | 1998-11-25 |
Family
ID=26070064
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP7509510A Expired - Fee Related JP2828218B2 (ja) | 1993-09-20 | 1993-09-20 | 分散通信ネットワークにおける許可パスワードまたはキーの変更方法およびシステム |
Country Status (5)
Country | Link |
---|---|
US (1) | US5778065A (ja) |
EP (1) | EP0720796B1 (ja) |
JP (1) | JP2828218B2 (ja) |
DE (1) | DE69312328T2 (ja) |
WO (1) | WO1995008885A1 (ja) |
Families Citing this family (111)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5708710A (en) * | 1995-06-23 | 1998-01-13 | Motorola, Inc. | Method and apparatus for authentication in a communication system |
US5734718A (en) * | 1995-07-05 | 1998-03-31 | Sun Microsystems, Inc. | NIS+ password update protocol |
AU3214697A (en) * | 1996-06-03 | 1998-01-05 | Electronic Data Systems Corporation | Automated password reset |
DE19622630C1 (de) * | 1996-06-05 | 1997-11-20 | Siemens Ag | Verfahren zum gruppenbasierten kryptographischen Schlüsselmanagement zwischen einer ersten Computereinheit und Gruppencomputereinheiten |
JP4272714B2 (ja) * | 1996-07-19 | 2009-06-03 | キヤノン株式会社 | 画像記録装置及び画像記録方法 |
US6275941B1 (en) * | 1997-03-28 | 2001-08-14 | Hiatchi, Ltd. | Security management method for network system |
US6070243A (en) * | 1997-06-13 | 2000-05-30 | Xylan Corporation | Deterministic user authentication service for communication network |
IL122106A (en) * | 1997-11-04 | 2010-11-30 | Enco Tone Ltd | Method and algorithms for identification and validation |
KR19990041740A (ko) * | 1997-11-24 | 1999-06-15 | 구자홍 | 홈 뱅킹 시스템의 개인정보 입력장치 및 방법 |
US6263446B1 (en) * | 1997-12-23 | 2001-07-17 | Arcot Systems, Inc. | Method and apparatus for secure distribution of authentication credentials to roaming users |
US7328350B2 (en) * | 2001-03-29 | 2008-02-05 | Arcot Systems, Inc. | Method and apparatus for secure cryptographic key generation, certification and use |
US6151676A (en) * | 1997-12-24 | 2000-11-21 | Philips Electronics North America Corporation | Administration and utilization of secret fresh random numbers in a networked environment |
US7587044B2 (en) * | 1998-01-02 | 2009-09-08 | Cryptography Research, Inc. | Differential power analysis method and apparatus |
ATE429748T1 (de) * | 1998-01-02 | 2009-05-15 | Cryptography Res Inc | Leckresistentes kryptographisches verfahren und vorrichtung |
US6088805A (en) * | 1998-02-13 | 2000-07-11 | International Business Machines Corporation | Systems, methods and computer program products for authenticating client requests with client certificate information |
JP2002519722A (ja) | 1998-06-03 | 2002-07-02 | クリプターグラフィー リサーチ インコーポレイテッド | スマートカードおよび他の暗号システム用の、漏洩を最小に抑える、改良desおよび他の暗号プロセス |
DE69935913T2 (de) | 1998-07-02 | 2008-01-10 | Cryptography Research Inc., San Francisco | Leckresistente aktualisierung eines indexierten kryptographischen schlüssels |
ATE374490T1 (de) * | 1998-11-19 | 2007-10-15 | Arcot Systems Inc | Verfahren und vorrichtung zur sicheren verteilung von authentifizierungsdaten an umherstreifende teilnehmer |
US6510236B1 (en) | 1998-12-11 | 2003-01-21 | International Business Machines Corporation | Authentication framework for managing authentication requests from multiple authentication devices |
FR2789536B1 (fr) * | 1999-02-08 | 2001-03-09 | Bull Sa | Dispositif et procede d'authentification d'un utilisateur a distance |
US7257554B1 (en) | 1999-03-19 | 2007-08-14 | Hewlett-Packard Development Company, L.P. | Anonymous purchases while allowing verifiable identities for refunds returned along the paths taken to make the purchases |
US6424953B1 (en) * | 1999-03-19 | 2002-07-23 | Compaq Computer Corp. | Encrypting secrets in a file for an electronic micro-commerce system |
US6892308B1 (en) * | 1999-04-09 | 2005-05-10 | General Instrument Corporation | Internet protocol telephony security architecture |
CA2365856C (en) * | 1999-04-09 | 2011-11-01 | General Instrument Corporation | Key management between a cable telephony adapter and associated signaling controller |
US6678731B1 (en) * | 1999-07-08 | 2004-01-13 | Microsoft Corporation | Controlling access to a network server using an authentication ticket |
US6584505B1 (en) * | 1999-07-08 | 2003-06-24 | Microsoft Corporation | Authenticating access to a network server without communicating login information through the network server |
US6915431B1 (en) * | 1999-12-22 | 2005-07-05 | Intel Corporation | System and method for providing security mechanisms for securing network communication |
AU2001257280C1 (en) * | 2000-04-24 | 2009-01-15 | Visa International Service Association | Online payer authentication service |
US7373507B2 (en) * | 2000-08-10 | 2008-05-13 | Plethora Technology, Inc. | System and method for establishing secure communication |
US7107051B1 (en) * | 2000-09-28 | 2006-09-12 | Intel Corporation | Technique to establish wireless session keys suitable for roaming |
FI111423B (fi) * | 2000-11-28 | 2003-07-15 | Nokia Corp | Järjestelmä kanavanvaihdon jälkeen tapahtuvan tietoliikenteen salauksen varmistamiseksi |
FI115098B (fi) * | 2000-12-27 | 2005-02-28 | Nokia Corp | Todentaminen dataviestinnässä |
US8069116B2 (en) * | 2001-01-17 | 2011-11-29 | Contentguard Holdings, Inc. | System and method for supplying and managing usage rights associated with an item repository |
US20020122553A1 (en) * | 2001-03-01 | 2002-09-05 | International Business Machines Corporation | Method and apparatus for lightweight rekeying of a master key in a single sign-on system |
US20020129285A1 (en) * | 2001-03-08 | 2002-09-12 | Masateru Kuwata | Biometric authenticated VLAN |
US7203837B2 (en) * | 2001-04-12 | 2007-04-10 | Microsoft Corporation | Methods and systems for unilateral authentication of messages |
US7428749B2 (en) * | 2001-08-03 | 2008-09-23 | International Business Machines Corporation | Secure delegation using public key authorization |
US7249261B2 (en) * | 2001-10-16 | 2007-07-24 | Activcard Ireland Limited | Method for securely supporting password change |
US7921284B1 (en) | 2001-12-12 | 2011-04-05 | Gary Mark Kinghorn | Method and system for protecting electronic data in enterprise environment |
US10033700B2 (en) | 2001-12-12 | 2018-07-24 | Intellectual Ventures I Llc | Dynamic evaluation of access rights |
US8006280B1 (en) | 2001-12-12 | 2011-08-23 | Hildebrand Hal S | Security system for generating keys from access rules in a decentralized manner and methods therefor |
US7478418B2 (en) | 2001-12-12 | 2009-01-13 | Guardian Data Storage, Llc | Guaranteed delivery of changes to security policies in a distributed system |
US7921450B1 (en) | 2001-12-12 | 2011-04-05 | Klimenty Vainstein | Security system using indirect key generation from access rules and methods therefor |
US8065713B1 (en) | 2001-12-12 | 2011-11-22 | Klimenty Vainstein | System and method for providing multi-location access management to secured items |
US7783765B2 (en) * | 2001-12-12 | 2010-08-24 | Hildebrand Hal S | System and method for providing distributed access control to secured documents |
US7565683B1 (en) | 2001-12-12 | 2009-07-21 | Weiqing Huang | Method and system for implementing changes to security policies in a distributed security system |
US7631184B2 (en) | 2002-05-14 | 2009-12-08 | Nicholas Ryan | System and method for imposing security on copies of secured items |
US7260555B2 (en) | 2001-12-12 | 2007-08-21 | Guardian Data Storage, Llc | Method and architecture for providing pervasive security to digital assets |
US7562232B2 (en) | 2001-12-12 | 2009-07-14 | Patrick Zuili | System and method for providing manageability to security information for secured items |
US10360545B2 (en) | 2001-12-12 | 2019-07-23 | Guardian Data Storage, Llc | Method and apparatus for accessing secured electronic data off-line |
US7930756B1 (en) | 2001-12-12 | 2011-04-19 | Crocker Steven Toye | Multi-level cryptographic transformations for securing digital assets |
US7921288B1 (en) | 2001-12-12 | 2011-04-05 | Hildebrand Hal S | System and method for providing different levels of key security for controlling access to secured items |
US7380120B1 (en) | 2001-12-12 | 2008-05-27 | Guardian Data Storage, Llc | Secured data format for access control |
USRE41546E1 (en) | 2001-12-12 | 2010-08-17 | Klimenty Vainstein | Method and system for managing security tiers |
US7681034B1 (en) | 2001-12-12 | 2010-03-16 | Chang-Ping Lee | Method and apparatus for securing electronic data |
US7178033B1 (en) | 2001-12-12 | 2007-02-13 | Pss Systems, Inc. | Method and apparatus for securing digital assets |
US7950066B1 (en) | 2001-12-21 | 2011-05-24 | Guardian Data Storage, Llc | Method and system for restricting use of a clipboard application |
US8176334B2 (en) | 2002-09-30 | 2012-05-08 | Guardian Data Storage, Llc | Document security system that permits external users to gain access to secured files |
AU2003208199A1 (en) * | 2002-03-18 | 2003-09-29 | Colin Martin Schmidt | Session key distribution methods using a hierarchy of key servers |
US7707120B2 (en) | 2002-04-17 | 2010-04-27 | Visa International Service Association | Mobile account authentication service |
US8613102B2 (en) | 2004-03-30 | 2013-12-17 | Intellectual Ventures I Llc | Method and system for providing document retention using cryptography |
US20030204724A1 (en) * | 2002-04-30 | 2003-10-30 | Microsoft Corporation | Methods for remotely changing a communications password |
US7523490B2 (en) * | 2002-05-15 | 2009-04-21 | Microsoft Corporation | Session key security protocol |
US7370194B2 (en) * | 2002-06-10 | 2008-05-06 | Microsoft Corporation | Security gateway for online console-based gaming |
US7565537B2 (en) * | 2002-06-10 | 2009-07-21 | Microsoft Corporation | Secure key exchange with mutual authentication |
US20040009815A1 (en) * | 2002-06-26 | 2004-01-15 | Zotto Banjamin O. | Managing access to content |
US7370197B2 (en) * | 2002-07-12 | 2008-05-06 | Microsoft Corporation | Method and system for authenticating messages |
US7725730B2 (en) * | 2002-08-09 | 2010-05-25 | Emc Corporation | Cryptographic methods and apparatus for secure authentication |
AU2003267149B2 (en) | 2002-09-10 | 2010-03-11 | Visa International Service Association | Data authentication and provisioning method and system |
US7512810B1 (en) | 2002-09-11 | 2009-03-31 | Guardian Data Storage Llc | Method and system for protecting encrypted files transmitted over a network |
US7266201B1 (en) * | 2002-09-17 | 2007-09-04 | Foundry Networks, Inc. | Non-disruptive authentication administration |
US20040064725A1 (en) * | 2002-09-18 | 2004-04-01 | Microsoft Corporation | Method and system for detecting a communication problem in a computer network |
AU2003292299A1 (en) * | 2002-10-30 | 2004-06-03 | Thomson Licensing S.A. | Method for renewing symmetrical keys in a digital network |
US7836310B1 (en) * | 2002-11-01 | 2010-11-16 | Yevgeniy Gutnik | Security system that uses indirect password-based encryption |
DE60307498T2 (de) * | 2002-11-06 | 2007-09-13 | International Business Machines Corp. | Bereitstellen eines benutzergerätes mit einer zugangskodesammlung |
US7890990B1 (en) | 2002-12-20 | 2011-02-15 | Klimenty Vainstein | Security system with staging capabilities |
US7577838B1 (en) | 2002-12-20 | 2009-08-18 | Alain Rossmann | Hybrid systems for securing digital assets |
US7409544B2 (en) | 2003-03-27 | 2008-08-05 | Microsoft Corporation | Methods and systems for authenticating messages |
US8261062B2 (en) * | 2003-03-27 | 2012-09-04 | Microsoft Corporation | Non-cryptographic addressing |
US7610487B2 (en) | 2003-03-27 | 2009-10-27 | Microsoft Corporation | Human input security codes |
US7624264B2 (en) | 2003-03-27 | 2009-11-24 | Microsoft Corporation | Using time to determine a hash extension |
US8745715B2 (en) * | 2003-04-16 | 2014-06-03 | Telefonaktiebolaget Lm Ericsson (Publ) | Password-based authentication system and method in group network |
US7344882B2 (en) * | 2003-05-12 | 2008-03-18 | Bristol-Myers Squibb Company | Polynucleotides encoding variants of the TRP channel family member, LTRPC3 |
US8707034B1 (en) | 2003-05-30 | 2014-04-22 | Intellectual Ventures I Llc | Method and system for using remote headers to secure electronic files |
US7555558B1 (en) | 2003-08-15 | 2009-06-30 | Michael Frederick Kenrich | Method and system for fault-tolerant transfer of files across a network |
US8127366B2 (en) | 2003-09-30 | 2012-02-28 | Guardian Data Storage, Llc | Method and apparatus for transitioning between states of security policies used to secure electronic documents |
US7703140B2 (en) | 2003-09-30 | 2010-04-20 | Guardian Data Storage, Llc | Method and system for securing digital assets using process-driven security policies |
US7734929B2 (en) * | 2004-04-30 | 2010-06-08 | Hewlett-Packard Development Company, L.P. | Authorization method |
US8762283B2 (en) | 2004-05-03 | 2014-06-24 | Visa International Service Association | Multiple party benefit from an online authentication service |
US7929689B2 (en) * | 2004-06-30 | 2011-04-19 | Microsoft Corporation | Call signs |
US7707427B1 (en) | 2004-07-19 | 2010-04-27 | Michael Frederick Kenrich | Multi-level file digests |
JP2007034409A (ja) * | 2005-07-22 | 2007-02-08 | Oki Electric Ind Co Ltd | 暗証番号変更システム |
US9251323B2 (en) * | 2005-11-24 | 2016-02-02 | International Business Machines Corporation | Secure access to a plurality of systems of a distributed computer system by entering passwords |
US8086842B2 (en) * | 2006-04-21 | 2011-12-27 | Microsoft Corporation | Peer-to-peer contact exchange |
US8059819B2 (en) | 2007-01-17 | 2011-11-15 | Panasonic Electric Works Co., Ltd. | Systems and methods for distributing updates for a key at a maximum rekey rate |
US8588420B2 (en) | 2007-01-18 | 2013-11-19 | Panasonic Corporation | Systems and methods for determining a time delay for sending a key update request |
KR100879540B1 (ko) | 2007-03-28 | 2009-01-22 | 삼성전자주식회사 | Dmu 암호 키 갱신 시스템 및 방법 |
US8219494B1 (en) * | 2007-08-16 | 2012-07-10 | Corbis Corporation | End-to-end licensing of digital media assets |
US9595023B1 (en) | 2014-05-21 | 2017-03-14 | Plaid Technologies, Inc. | System and method for facilitating programmatic verification of transactions |
US9449346B1 (en) | 2014-05-21 | 2016-09-20 | Plaid Technologies, Inc. | System and method for programmatically accessing financial data |
US10050789B2 (en) * | 2015-04-24 | 2018-08-14 | Red Hat, Inc. | Kerberos preauthentication with J-PAKE |
EP4006755B1 (en) | 2015-09-08 | 2024-05-15 | Plaid Inc. | Secure permissioning of access to user accounts, including secure deauthorization of access to user accounts |
US10726491B1 (en) | 2015-12-28 | 2020-07-28 | Plaid Inc. | Parameter-based computer evaluation of user accounts based on user account data stored in one or more databases |
US10984468B1 (en) | 2016-01-06 | 2021-04-20 | Plaid Inc. | Systems and methods for estimating past and prospective attribute values associated with a user account |
US10878421B2 (en) | 2017-07-22 | 2020-12-29 | Plaid Inc. | Data verified deposits |
US11468085B2 (en) | 2017-07-22 | 2022-10-11 | Plaid Inc. | Browser-based aggregation |
US11316862B1 (en) | 2018-09-14 | 2022-04-26 | Plaid Inc. | Secure authorization of access to user accounts by one or more authorization mechanisms |
US11887069B2 (en) | 2020-05-05 | 2024-01-30 | Plaid Inc. | Secure updating of allocations to user accounts |
US11327960B1 (en) | 2020-10-16 | 2022-05-10 | Plaid Inc. | Systems and methods for data parsing |
US12069050B1 (en) | 2020-12-29 | 2024-08-20 | Strat ID GIC, Inc. | Reciprocal authentication of digital transmissions and method |
CN116318685B (zh) * | 2023-05-17 | 2023-07-21 | 湖南警察学院 | 一种移动存储设备数据安全交换系统 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5224163A (en) * | 1990-09-28 | 1993-06-29 | Digital Equipment Corporation | Method for delegating authorization from one entity to another through the use of session encryption keys |
US5148479A (en) * | 1991-03-20 | 1992-09-15 | International Business Machines Corp. | Authentication protocols in communication networks |
EP0566811A1 (en) * | 1992-04-23 | 1993-10-27 | International Business Machines Corporation | Authentication method and system with a smartcard |
US5418854A (en) * | 1992-04-28 | 1995-05-23 | Digital Equipment Corporation | Method and apparatus for protecting the confidentiality of passwords in a distributed data processing system |
US5369705A (en) * | 1992-06-03 | 1994-11-29 | International Business Machines Corporation | Multi-party secure session/conference |
US5371794A (en) * | 1993-11-02 | 1994-12-06 | Sun Microsystems, Inc. | Method and apparatus for privacy and authentication in wireless networks |
US5491750A (en) * | 1993-12-30 | 1996-02-13 | International Business Machines Corporation | Method and apparatus for three-party entity authentication and key distribution using message authentication codes |
US5629980A (en) * | 1994-11-23 | 1997-05-13 | Xerox Corporation | System for controlling the distribution and use of digital works |
-
1993
- 1993-09-20 WO PCT/EP1993/002540 patent/WO1995008885A1/en active IP Right Grant
- 1993-09-20 JP JP7509510A patent/JP2828218B2/ja not_active Expired - Fee Related
- 1993-09-20 DE DE69312328T patent/DE69312328T2/de not_active Expired - Lifetime
- 1993-09-20 EP EP93920773A patent/EP0720796B1/en not_active Expired - Lifetime
-
1996
- 1996-02-08 US US08/598,481 patent/US5778065A/en not_active Expired - Fee Related
Non-Patent Citations (1)
Title |
---|
J.G.Steiner et.al.,"Kerberos:An Anthertication Service for Open Network Systems",Proceedings of 1988 USENIX Association Winter Conference,(US)1988年2月9−12日,p.191−202. |
Also Published As
Publication number | Publication date |
---|---|
WO1995008885A1 (en) | 1995-03-30 |
DE69312328D1 (de) | 1997-08-21 |
US5778065A (en) | 1998-07-07 |
EP0720796A1 (en) | 1996-07-10 |
DE69312328T2 (de) | 1998-01-08 |
EP0720796B1 (en) | 1997-07-16 |
JPH08510581A (ja) | 1996-11-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2828218B2 (ja) | 分散通信ネットワークにおける許可パスワードまたはキーの変更方法およびシステム | |
US10897358B2 (en) | Method for mapping at least two authentication devices to a user account using an authentication server | |
US5491752A (en) | System for increasing the difficulty of password guessing attacks in a distributed authentication scheme employing authentication tokens | |
Chang et al. | An efficient and secure multi-server password authentication scheme using smart cards | |
US9544297B2 (en) | Method for secured data processing | |
US6073237A (en) | Tamper resistant method and apparatus | |
US6044154A (en) | Remote generated, device identifier key for use with a dual-key reflexive encryption security system | |
US8478998B2 (en) | Authenticated communication using a shared unpredictable secret | |
EP1927211B1 (en) | Authentication method and apparatus utilizing proof-of-authentication module | |
US8955077B1 (en) | Server-token lockstep systems and methods | |
US6173400B1 (en) | Methods and systems for establishing a shared secret using an authentication token | |
US7703130B2 (en) | Secure authentication systems and methods | |
KR102202547B1 (ko) | 액세스 요청을 검증하기 위한 방법 및 시스템 | |
US8621216B2 (en) | Method, system and device for synchronizing between server and mobile device | |
US20030172272A1 (en) | Authentication system and method | |
US20010044896A1 (en) | Authentication technique for electronic transactions | |
US20010034837A1 (en) | Method and apparatus for secure distribution of authentication credentials to roaming users | |
WO1992004671A1 (en) | Distributed user authentication protocol | |
WO2008156772A1 (en) | Token-based system and method for secure authentication to a service provider | |
EP1131911B1 (en) | Method and apparatus for secure distribution of authentication credentials to roaming users | |
JP2001069138A (ja) | 共有鍵暗号型のicカードによるインターネット上のユーザー認証方式 | |
Hauser et al. | Robust and secure password and key change method | |
JP2003529126A (ja) | ピアツーピアネットワークユーザ認証プロトコル | |
Hauser et al. | Robust and secure password and key change method | |
CN117081783A (zh) | 分布式网络下的身份认证方法、系统、终端、介质及应用 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
LAPS | Cancellation because of no payment of annual fees |